UnderForge of Lack

スイカの日
2（つ）7（な）→綱から、縞模様の夏の風物詩のスイカの日と定められている。
ちょっとそのゴロは苦しくありませんか？（苦笑）

----------

今日は大きなニュースはありません。
そりゃそうですよね・・こんな事態が進行中なのですから・・

Microsoft Internet Explorer
7/28(JSTで 7/29) に緊急パッチ予定

Adobe Flash Player
7/30(JSTで 7/31) に緊急パッチ予定 既にゼロデイ攻撃発生中

Adobe Acrobat Reader
7/31(JSTで 8/1) に緊急パッチ予定 既にゼロデイ攻撃発生中

----------
New Volatility plugins
There isn't a lot of activity on the Internet Storm Center radar at the moment, I suppose it is, as the saying goes, the calm before the storm.

SANS も何もないから暇してるようですネ（苦笑）

紹介されているツールはVolatility Frameworkというオープンソースの物理メモリ解析ツールで、ハイバネーションファイルを物理メモリのイメージに復元し、内容の精査をすることによってマルウェアの挙動を解析することができます。
このツールにマルウェア挙動検出に特化したプラグインがあるようです。

もっとも、私にはよくわかりませんが（苦笑）

----------

Futomi's CGI Cafe RevoCounter CGI Cross-Site Scripting Vulnerability

futomi's CGI Cafe 製 RevoCounter CGI (アニメーションカウンター) におけるクロスサイトスクリプティングの脆弱性
影響：
　ユーザのウェブブラウザ上で任意のスクリプトを実行される可能性があります。
対策：
　アップデートする
　開発者が提供する情報をもとに最新版へアップデートしてください。

RevoCounter CGI (アニメーションカウンター)をご利用の方へバージョンアップのお願い
Ver 1.4
RevoCounter CGI（アニメーションカウンター） Ver 1.4

ご使用の方は至急対処をしましょう。

また、使用している方を見かけたらバージョンチェック等の注意喚起をしてあげてください。

----------

MPEGに偽装されたウィルス

Sex Thrills And Kills
This malware manifests itself on your system in the form of this innocuous looking file called EroticPamela.mpg. To lull people into a false sense of security, it even tries to mimic itself to look like a Windows media file. However, just because the description says it’s a Windows Media Video, it has a Windows Media icon doesn’t mean it’s actually a Windows Media Video file. When it comes to malware, never ever take things at face value. In reality, it is actually a file executable.

このマルウェアは EroticPamela.mpg という一見無害そうなファイルで貴方のシステムに現れます。セキュリティ的な懸念が無いように見せかけるために、Windows Media Fileに似せた形になっています。しかし、そのファイルの情報が「Windows media」であると記述されていても、それが本当にWindows Media のファイルであることを保障するものではありません。マルウェアの情報をそのまま受け入れることは危険です。そして、それは実行可能な(.exe)ファイルでした。


要するに、拡張子表示をOFFにしている（デフォルトではOFF）人が多いということです。
上述の例も、TXTが拡張子非表示になっていますので、
  EroticPamela.mpg.exe
なのでしょう（苦笑）

＃ひょっとしたら .scrかもしれませんけどね

----------

さぁ・・月曜日、がんばっていきましょう～

EoF

幽霊の日

----------

このblogを始めたときは、単なる備忘録でした。その後、ウィルスを踏んづけたり、架空請求に引っかかったりした愉快な仲間のために様々なことを書いてきました。最近はもうセキュリティの話しかしてませんね（苦笑）

ひょっとしたら幽霊にでも祟られているのかもしれないと思う今日この頃・・・・

-----------

一つ積んでは・・・・



↑コレが何の問題もなく再生できる人、現状の認識を行っていますか？


Adobe Flash Player および他の Adobe 製品に影響を及ぼす Adobe Flash の脆弱性
2009年7月24日現在、対策方法はありません。
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
・Flash プラグインを無効にする

Adobe Flash に脆弱性
2009年7月24日現在、対策方法はありません。
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
・ウェブブラウザ上で Flash コンテンツ再生を無効にする
・Adobe Reader で Flash および 3D & Multimedia を無効にする

Update on Adobe Reader, Acrobat and Flash Player Issue
We are in the process of developing a fix for the issue, and expect to provide an update for Flash Player v9 and v10 for Windows, Macintosh, and Linux by July 30, 2009 (the date for Flash Player v9 and v10 for Solaris is still pending). We expect to provide an update for Adobe Reader and Acrobat v9.1.2 for Windows, Macintosh, and UNIX by July 31, 2009.

----------

二つ積んでは・・・

2009年7月29日のセキュリティリリース予定 (定例外)
小野寺です。

7月15日に、月例のセキュリティ リリースを行いましたが、それとは別に7月29日に定例外でセキュリティリリースを行います。定例外で公開する理由については現時点ではお話しませんが、公開時にはご説明したいと思っています。
公開するセキュリティ情報は、2 件 (緊急 1 件, 警告 1 件) となります。

Visual Studio	警告	リモートでコードが実行される
Internet Explorer	緊急	リモートでコードが実行される

コレと関係あるのかどうかは不明ですが・・・

----------

Microsoft™ DDoS attack(？)
別に攻撃する意図はないのでしょうが・・

www.msftncsi.com
知りませんでした、、、マイクロソフト、、、、、
最初にこのトラフィックをみたときはウィルス感染かと思いました。

要は勝手にwww.msftncsi.cpm/ncsi.txtにGETリクエスト飛ばしたり
dns.msftncsi.comの名前解決をしようとするんですね。

----------

セキュリーナ復活

経済産業省 CHECK PC!

更新情報 2009年5月29日 サイト再オープンしました。

って・・そんだけ？（苦笑）

----------

IIS (injection increases slightly)

delzzerro 系

delzzerro.cn
91.212.198.37
AS49314 NEVAL
要するに microsoft.cn系 です

--
8080系（どこの電車だ・・）

xb5.ru:8080
q0k.ru:8080
x8v.ru:8080
b1a.at:8080
u8i.ru:8080
x1i.ru:8080
x8o.ru:8080
xf7.in:8080
x0a.in:8080
q3t.in:8080
以下延々と続く・・・

78.47.25.168
AS24940 HETZNER (FastVPS Ltd)

91.121.86.130
91.121.89.185
91.121.146.101
91.121.167.41
91.121.174.19
94.23.47.47
213.251.165.29
213.251.176.169
AS16276 OVH (OVH SAS)

80.93.90.88
AS21409 IKOULA

79.170.89.217
AS35470 XL Network

92.51.146.237
AS20773 HOSTEUROPE

91.82.250.52
AS12301 INVITEL (Activesoft Kft.)

85.25.236.236
AS8972 PLUSSERVER

82.165.8.58
87.106.242.144
AS8560 SCHLUND (1&1 Internet AG)

212.95.57.201
AS28753 NETDIRECT (Infinite Technologies)

87.242.98.116
87.242.98.192
90.156.144.78
AS25532 MASTERHOST

62.109.21.254
AS29182 ISPSYSTEM

77.37.17.170
77.37.19.173
77.37.19.179
77.37.19.205
77.37.20.130
77.37.21.166
AS44146 STARHOSTING

194.105.128.34
AS8315 ARGEWEB

87.106.242.144
AS12968 CDP (1&1 Internet AG)

--
ZeuS/Zbot系
71spice.info
AS8206 JUNIK
マタオマエカ（*repeated)
その他多数

どこが slightly なんだよ！？ という突っ込みは受け付けません。

----------

NoScript のiframe問題がどんどん悪化中

NoScript単体でIFRAME禁止のすり抜けを確認 その4

新規タブで開いた場合でも思いっきりバイパスするようになりました・・・

これじゃ怖くてセキュ系のサイト踏めないですよ（苦笑）
しょうがないから CentOS上で書いてます。
あーemacsつかいにくい（泣）

NoScriptのフォーラムではちょっと毛色の違う話が書かれていますが、
Fx2 post 1.9.5 iframe regression
こんな特殊な環境化じゃないんですけどね・・
ひょっとして JP版でしかおきてないのかな？

----------

EoF

[EMERGENCY]

久しぶりに定例パッチ以外の緊急パッチが予告されました。
相当深刻な事態の様子ですので、パッチまではIEの使用を控えたほうがよさそうです。

Advance Notification for July 2009 Out-of-Band Releases

Microsoft Security Bulletin Advance Notification for July 2009

Affected solusions :

要するに全て・・・・

パッチ予定：
10:00 AM Pacific Time next Tuesday, July 28, 2009.


Microsoft Out of Band Patch

EoF

なんか問い合わせが多いので 単体 Articleに昇格

--
既に修正版のパターンファイルが配布されているようですが・・・・

iTunes trojan: Small.BOG!!
Unfortunately, the current virus database version may detect the mentioned virus on some legitimate applications. We can confirm that it is a false alarm. We would like to inform you that the false positive will be removed in the next Definitions update. Please update your AVG and if a new Definitions update was downloaded, check whether the file is still detected.

We are sorry for the inconvenience.

C:\Program Files\iTunes\iTunes.Resources\iTunesRegistry.dll

無料セキュソフトの中で、比較的日本でもインストールされていることが多い AVG ですが・・
iTunesのシステムファイル iTunesRegistry.dll を誤検知、隔離してしまったようで、iTunesが立ち上がらないという症状が出ているようです。

修正版のパターンファイルはすぐに出るでしょうが、どうしても今聞きたい or iPod転送したいという人は

AVG User Interface -> Resident Shield -> Manage exceptions -> Add Path
から 以下の２つのフォルダを「常駐監視除外」にすると良いかもしれません

iTunesを消せというAVGの声なのか！？（笑）

夏氷の日 かきごおり

雨、ひどかったですね～
被災者の方に心からお見舞い申し上げます。

----------

Adobeの技術者にもお見舞いしておこう・・・


現時点で YouTubeやらニコニコ動画やらが「見えている」アナタ！
危険を認識していますか？


Who is Exploiting the Adobe Flash 0-day? - Part 2
This exploit successfully worked on my VM under Firefox 3.5.1 and Flash player 10. It worked smoothly and just before FireFox crashed.

このExploitは WM上の Firefox 3.5.1とFlashPlayer 10で成功しました。挙動はスムーズで、見事にFirefoxがクラッシュしました。


Malware Downloaded:
tro2.6600.org
getport.2288.org
マタオマエカ・・・

6600.org	THROUGH	6600.org	5116
Malicious software includes 52572 scripting exploit(s), 40060 exploit(s), 1289 trojan(s).
2288.org	THROUGH	2288.org	2529
Malicious software includes 69809 scripting exploit(s), 1435 exploit(s), 345 trojan(s).
218.93.127.157	AS4134	CHINA-TELECOM

Google先生が Through判定なのは、サブドメインが多数使われているためで、ブロックしていないわけではありません。

なお、2009.07.25 AM6:00の段階で 6600.org と 2288.org は 192.168.0.254 に向けられています（苦笑）

AS4134 (の一部) 218.93.0.0/17

7/30および7/31のパッチまで Flash も PDF も迂闊に開くことができません。

----------

so-netさん怒って良いよ（苦笑）

Adobe 0-day攻撃 に使われていたドメインですが・・・・

a0v.org	BLOCKED	a0v.org	40
59.147.102.72	So-net Entertainment Corporation	So-net

いつ日本の国旗を登録するかなぁ・・とか思ってましたが、まさかso-netさん相手（失礼）とは・・

というかAS4134のDNSは全拒否でいいのかもしれない・・・・（苦笑）
ns.xinnet.cn
ns.xinnetdns.com

ちなみに、a0v.org でぐぐる先生に問い合わせると、それはそれは酷いことになっています。

参照：インジェクション

5u66j.cn	BLOCKED	5u66j.cn	229
59.34.197.150	AS4134	CHINA-TELECOM

AS4134 (の一部) 59.32.0.0/13

fenda20.com	BLOCKED	fenda20.com	6
121.14.218.162	AS4134	CHINA-TELECOM

AS4134 (の一部) 121.14.0.0/16

そのほか詳細にしらべてないですが・・


ylzf004.cn
yxj77.9966.org
tongji.linezing.com
のワンセット

8f8el3l.cn
5u66j.cn
fenda20.com/ : 上述/Trojan本体撒布先

など・・キリがありません。

----------

今日はこの辺で・・

皆様くれぐれも土砂災害とFlash/PDFにお気をつけて、よい週末を

----------

といいつつ追記

NoScript単体でIFRAME禁止のすり抜けを確認 その3

なるほど・・
「前回終了時のタブ」の状態保持ですね・・・

Firefox 3.5.1 NoScript 1.9.6.9
で見事にすり抜けました。

これはマズい・・・
さて・・どうしたものでしょう

おかげで、スッピンから通常状態（アドオン15個）までのセッティングが15分でできるようになりました。そんなスキル、ぜんぜんうれしくないです。
いえいえ、コレに出場するときの糧に・・・・（なるのか！？）
インストールマニアックス2009、決勝レポート

----------

更に追記・・・時事ネタspamに要注意

Rumor: Emma Watson Dies in Car Accident

ハリーポッターのヒロイン役で有名なエマ・ワトソンさんが交通事故で亡くなったというデマに便乗したSpamが飛び交い始めています。
変なメールを開封しないようにしましょう。

----------

Article 移動

EoF

河童忌 芥川龍之介の命日

----------
[WARNING]

昨日の Adobe Flash/PDF 脆弱性対応として、authplay.dll を消したりリネームした方へ：

お手数ですが元に戻して別の緩和策を使用してください。
authplay.dllが無い状態で、脆弱性攻撃を受けるとクラッシュし、別の脆弱性攻撃の要因になる可能性があります。

----------

Adobe Flash/PDF 関連追記

YA0D (Yet Another 0-Day) in Adobe Flash player
UPDATE 3
まず、Adobeから(最初に)提示された緩和策において、「マルチメディアの信頼性（従来形式）」などの、Adobe Reader上のいずれのオプションの変更もこの問題を緩和できません（いくつかの Blog がこのオプションのやりかたをインストラクションしていますが、これらは古い(Legacy)プレイヤーに関するものであり、この脆弱性攻撃をとめられないでしょう）

我がSANSのPDFの専門家であるDidier Stevensは、fileを取り除く以外に "AcroRd32.dll" をHexEditorを用いて素早くラフ(dirty hack)に解析し、RichMedia インスタンス(例： into Richmedia)をリプレスしていることを見つけました。すでに出回っているExploitが /RichMedia annotations(注釈)を悪用しており、これを停止することが有効だと考えられます。

また、hereEvil.pdf (:Result: 10/41 (24.39%)) に関する沢山の報告をいただきましたが、このファイルは危険なことに変わりはありませんが、この SWF-0-Day攻撃ではありませんでした（そう、RichMedia annotations が含まれていません）。また、このファイルのテストをを行いましたが、すでにいくつかのメーリングリストでも言及されているように Adobe Reader 9.1.0 でのExploits が成功しません (Adobe Reader 9.1.2 でも確かに動作しません）

（現時点での）最後に、良いニュースです。 この Flash 脆弱性攻撃はそれほど広範囲に拡散しているものではなく、ほんの２・３サイトがこれに加担しているに過ぎません。

残念なことに Adobeは、FlashPlayerが 完全自動で drive-by-download 攻撃を許してしまう問題が発生しているにも関わらず、そのアドバイザリに「使える緩和策」を出してくれません（実用的でない！）。
上述の NoScript のほかに、FirefoxにはFlashblock という FlashMovieをブラウザに読み込むことをブロックするアドオンがあります。これらは来週の木曜日（日本では July 31 金曜日あたり）にAdobe がパッチをリリースするまでのバンドエイドとして助けになることでしょう。

FireEyeのJulia Wolfが、ActionScript(Flashの言語環境）がどうやってJavaScriptに代わって pray the heapの悪用を実行可能か？という記事を書いています。これは JavaScript を OFFにすることが役に立たないことを意味しています。また、我々が発見したものとは異なる２種類の ShellCodeも記載されています。

----
その FireEye の記事

Who is Exploiting the Adobe Flash 0-day?

One easy step and you are safe ..:)
LOL
（爆笑）

CnC IP:
59.175.238.82
webswan.33iqst.com
webswan.zurge.org

そういえば、ScanSafeも手厳しい記事を書いていましたね
Adobe's Name is Mud
Before software came along, the word adobe was better known as the mud and straw bricks used to build structures popular in warm dry climates. And right now, the software vendor Adobe may just signify mud for computer users as well.

Softwareとしての Adobeが確立する以前、この Adobe という言葉は温かい乾燥した土地にもっとも良く建てられた建造物に使用する、泥と高品質のレンガのことでした。そして今は、ソフトウェア・ベンダーである Adobe は、コンピュータユーザから単に「泥」と呼ばれる存在になってしまったのかもしれません。
（苦笑）

現状、パッチが適用されるまで、Flashを見ないしか手が無いようです。

authplay.dll を消したり、一時的にリネームしても良いですが、もし RichMedia annotations が含まれた PDF を開いた瞬間クラッシュしますので、逆にクラッシュ時のリモートコード攻撃に使われかねません。

----------

無線Router のオープンソースファームウェアに脆弱性

DD-WRT Vulnerability
Paul wrote in to let us know about a new vulnerability in DD-WRT that was being reported in the Register at:
Open-source firmware vuln exposes wireless routers
DD-WRT runs on routers by Linksys, D-Link Buffalo, ASUS and well as other routers.

ん？　どっかで見たメーカーが・・・・

DD-WRT: Supported Devices: Buffalo

この脆弱性は、攻撃者が root 権限で脆弱なルータ上で任意コードを実行可能です。

既に Milw0rm に攻撃コードが出回っています（そういえば、おととい見た気もする・・・）

一応、Firmwareのアップデートが存在するようですが、どの機種にドレを入れれば良いのかはわかりません。

Buffaloの対応待ちかな？

----------

Vulnerability in dhclient - Check Your Vendor For Patches

以前に紹介した
Which ISS products are affected by ISC dhclient DHCP Client vulnerability (CVE-2009-0692)?
CVE-2009-0692
tack-based buffer overflow in the script_write_params method in client/dhclient.c in ISC DHCP dhclient 4.1 before 4.1.0p1, 4.0 before 4.0.1p1, 3.1 before 3.1.2p1, 3.0, and 2.0 allows remote DHCP servers to execute arbitrary code via a crafted subnet-mask option.
この脆弱性ですが、影響範囲が

と広範囲に渡るため、再度注意喚起しておきます。

Don’t read this post

----------

情報流出が相次ぐ、りそな銀行とアリコで発生

またか™;

----------

Another Inj3cti0n

Goscanpark: 13 Facts About Malicious Server-Wide Meta Redirects.
I’ve discovered a new emerging malware attack today. Actually two attacks, but in this post I’ll review only one of them – server-wide goscanpark .com/goscansoon .com meta redirects.

どうやら、例の Beladen の亡霊がうごめいているのかもしれません。

goscanpark.com	THROUGH	goscanpark.com	3
goscansoon.com	BLOCKED	goscansoon.com	1344
scan6atom.com	THROUGH	scan6atom.com	NOT YET
scan6lux.com	THROUGH	scan6lux.com	NOT YET
scan4work.info	THROUGH	scan4work.info	NOT YET
highscan4.info	THROUGH	highscan4.info	NOT YET
slimscan4.info	THROUGH	slimscan4.info	NOT YET
scan4bay.info	THROUGH	scan4bay.info	2
scanmore4.info	BLOCKED	scanmore4.info	91
inb4sk.com	THROUGH	inb4sk.com	NOT YET
inb4co.com	THROUGH	inb4co.com	NOT YET
top4scan.info	THROUGH	top4scan.info	15
scan4note.info	THROUGH	scan4note.info	NOT YET
204.27.57.227	AS19969	WINSTAR

----------

時間切れ
EoF

EMERGENCY

YA0D in Adobe Flash player
Well, it looks like the last two weeks have definitely been marked by multiple 0-day exploits actively used in the wild.

YA0D = Yet Another ZERO DAY

朝に書いた記事が、大事になっていました（苦笑）

Symantecのレポートにも既に攻撃コードが出回っている様子でしたが、どうやら本格的に蔓延していたようです。

緩和策：
Security advisory for Adobe Reader, Acrobat and Flash Player
Deleting, renaming, or removing access to the authplay.dll file that ships with Adobe Reader and Acrobat v9.x mitigates the threat for those products, but users will experience a non-exploitable crash or error message when opening a PDF that contains SWF content. Depending on the product, the authplay.dll that ships with Adobe Reader and Acrobat 9.x for Windows is typically located at C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll or C:\Program Files\Adobe\Acrobat 9.0]\Acrobat\authplay.dll.

C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll
を消すかリネームする
新たなクラッシュを招き、別の脆弱性攻撃誘引の可能性あり

緩和策２：
Flash Playerの脆弱性、0-day攻撃注意
Adobe Readerでは、[編集] > [環境設定] > [マルチメディアの信頼性（従来形式）] でAdobe Flash Playerの権限を選択し、ドロップダウンリストで[許可しない]か[確認する]を選択する。
今回の脆弱性攻撃への緩和策にならず

-----

Adobe Flash Player に脆弱性

Adobe Reader, Acrobat and Flash Player Vulnerability

Adobe Acrobat and Adobe Flash Remote Code Execution

New 0-Day Attacks Using PDF Documents

Adobe Flash zero-day attack underway; Harden PDF Reader immediately

Adobe Reader/Acrobat SWF Content Arbitrary Code Execution

Who is Exploiting the Adobe Flash 0-day?

Adobe's Name is Mud

Adobe Flash (Embedded in PDF) LIVE VIRUS/MALWARE Exploit

Flash Playerに新たな脆弱性、PDFを使うゼロデイ攻撃が発生
Adobeが公式パッチをリリースするまでの一時的な回避策として、US-CERTではFlash Playerを無効にするなどの対策を奨励している。


各社一斉に出してきましたね（笑）

TrendMicroは？

一斉に蝉が鳴きはじめました

----------
Adobe Insecure / Unpatched Version From Official Site
There has recently existed some confusion amongst the users of the Secunia PSI as they are puzzled as to why the latest downloaded Adobe Reader version from Adobe.com is reported as insecure by Secunia PSI.
...remember: The criminals only need one unpatched program to compromise your machine!

確かにコレはおかしいと前から思っていました。

Acrobat Reader をダウンロードすると 9.1.0という危険極まりないバージョンがダウンロードされ、9.1.1/9.1.2 へのアップデータが別添付という形になっています。

差分だけ落とせば域帯への影響が少ない？　とか思ってこうなってるのかどうかは判りませんが、普通一般のユーザはこの
Adobe Reader for Windows
インストラクションを見て、
Adobe Reader 9.1 - multiple languages
しか落とさない人がきっと多いはず・・・

現在 PDF 経由の攻撃が最も激化しているのですから、Adobeにはもうちょっと配慮してほしいものですね。
少なくとも 9.1.2 の入った Full Download を用意する義務があるはずです。

Adobe ships insecure version of Reader from official site

Adobeが脆弱性を抱える旧版Readerを配布、Secuniaが問題視

----------

Firefox 3.0.12 リリース リスク：最高４件を含む６件の脆弱性修正

Firefox 3.0.12 is Available

Firefox 旧バージョンのダウンロード

Firefox 3.5.1が既に発表されているため、3.0.xを使い続けることは、ゼロデイ対応の遅れ等のセキュリティリスクが伴うかもしれません。
2010/01までのサポートがアナウンスされています。

----------

Yahoo釣りに注意

フィッシング対策協議会、Yahoo! JAPANを騙るフィッシングに注意喚起
フィッシングメールは、「重要なお知らせです」というタイトルのメールで、送信者のアドレスはyahoo.co.jpドメインとなっている。「お客様の会員情報の更新をお願いします。」としてフィッシングサイトに誘導しようとする。本フィッシングメールによって誘導されるフィッシングサイト（http：//premiumsucsetions.●●●●●.com/yahoo-actions.co.jp/index.htm）は稼働中であり、JPCERT/CCにサイト閉鎖のための調査を依頼中だという。

Yahoo! JAPANをかたるフィッシング(2009/7/22)

稼働中といわれても・・・FreeHostingのサイトなんですよね、コレ。

攻撃サイトが１日くらいで閉鎖、新規開始を繰り返しているので、このテを潰していくのはかなり難しいです

Yahooツールバーを入れていると未然に防げるらしいですので、（私はゴテゴテしたツールバーは苦手ですが）Yahooアカウントでオークションなんかをやっている方は導入しておくのもいいかもしれません。

Yahoo!ツールバー
「フィッシング警告ボタン」を使うと、Yahoo! JAPANを装い個人情報を不正に取得しようとするサイトを表示したとき、警告画面を表示して注意を促します。Yahoo! JAPAN IDやパスワードなどをだまし取られるのを未然に防ぎます（※）。

----------

Bad Actors : FireEye's Block List

Bad Actors Part 7 - 3fn
That would be correct!
FTCが 防弾ホスト "3FN" を停止に追い込んでしばらく経過したわけですが、雨後のタケノコよろしく、悪意ホスティングは後を絶ちません。

Pushdo and Cutwail BotnetのIP群が公開されていますが多すぎ・・・

----------

PDF+Flash脆弱性？

Next-Generation Flash Vulnerability
In this exploitation the PDF exploiting the vulnerability includes multiple Flash streams (FWS). One of these is used to dynamically create the shellcode and uses a heap spray technique to increase the chances of success of the exploit. In this attack the heap is loaded with 64 MB of data.

このExploitsには、複数の Flashストリーム(FWS)を含んだ PDFが悪用されています。これらのうちひとつは悪意コードが成功する確立を高めるために、動的にshellcodeを作成し、Heap Sprayの技術を悪用しています。この攻撃では Heap は 64MBのデータをロードします。

PDFだと思って Adobe Reader の脆弱性かと思ったら Flash がらみだったということなのでしょうか？

As always, keep an eye out for the official patch from Adobe and ensure all products are up to date.
いつも Adobe製品の update に目を凝らさないといけないというのもナンダカナ・・という気はします。

とりあえず、現状で打てる対策は無い様子です。
（Vista + UACでは成功しない）

----------

bait (釣りえさ）

New set of Bait files

新たなおとりファイル

そんなエサでこの（ｒｙ

----------

あんしん処 セキュリ亭 ノート PC 紛失時の対策

あんしん処 セキュリ亭　第 4 回～ノート PC 紛失時の対策～
今月公開のセキュリ亭 (第 4 回 ～ノート PC 紛失時の対策～) では、セキュリティ レスポンス マネージャーの小野寺が出演しています。普段とは一味違う姿を、ぜひご覧ください。

!?
SoapBoxが見れないんですよね・・・

----------

iframe問題：ちょっと協力

NoScript単体でIFRAME禁止のすり抜けを確認 その2

Firefox 3.5.1 + NoScript 1.9.6.7

Windows Vista SP2
CentOS 5.3
Windows7 RC1
Windows XP SP3

から見てみましたが、すり抜け（右メニューバーの iframe) は確認できませんでした。
うーん・・原因不明ですね

----------
EoF

2009.07.22 日蝕の日（小雨 AM6:00）

みえるかな～？

ムリでした

----------

IPA recommend KILL JavaScript according Adobe Acrobat

「ツールを利用した標的型攻撃の広がり」についての調査結果の公開 －「脆弱性を利用した新たなる脅威の監視・分析による調査」最終報告書－

3つほど PDFがあって、全部読んでみましたが有益な情報は・・・

って感じでしょうか？

Malware Crafter の情報は古すぎ！
こんな脆弱性攻撃はもう成立しないはずですし、こんなのが成立する会社・人はもっと酷い状況に陥ってます

Creating Malicous PDF Files

脆弱性 （MS08-067：CVE-2008-4250）を悪用したハッキングツールを確認
[MS08-067]Server サービスの脆弱性により、リモートでコードが実行される (958644)

"Constructing" bad things...again


ただ、Malware Crafterが独自のツールを用いてMalwareを次々と生み出していることは事実です。

個々のMalware/Domainを潰すよりもまずは脆弱性を塞ぐこと、そして不審なメールや.Exeに近寄らない（カモにならない）ことが重要です。

こんなPDF書いて国から給料でるって、ある意味うらやましい（笑）

----------

XML 署名の検証において認証回避が可能な問題
XML 署名 (XMLDsig) で規定されている HMAC truncation に起因する認証回避が可能な問題が存在します。

これはXML署名において、必要とされるSHA-1のビット数(80bit)に満たない長さであっても、HMACOutputLength にその規定が欠落しているため署名検証が通ってしまうというもの。
参照： HMAC

で、この問題で Sun から JDK/JREに問題があることが発表されました。
US-CERT Vulnerability Note VU#466161 - XML signature HMAC truncation authentication bypass
JDK and JRE 6 Update 14 and earlier

This issue will be addressed with our upcoming Java SE security updates which are targeted to be released in late July 2009.

いちおう IN ZERO DAY になるんでしょうか？（苦笑）

参照２：
JVNVU#466161: XML 署名の検証において認証回避が可能な問題


----------

Michael Jackson malware is not dead
マイケル・ジャクソン・マルウェアは死せず

MichaelJackson.jpg.exe 2009.07.15 09:58:44 (UTC) 30/41 (73.17%)
195.239.225.155 AS3216 SOVAM-AS Golden Telecom

--

Real-world viruses vs computer viruses
現実世界のウィルス対コンピュータ・ウィルス

F-secureの日本法人はがんばってますね～
他も見習ってほしい

----------

何かと物議を醸すのは流行ってる証拠？

I need a ThousandFollowers
Earlier today I saw a very similar series of tweets and had a closer look. It seems that the folks behind Addfollowers have been busy in the last week. They have set up at least half a dozen more sites to do exactly the same thing.

I just become a member of this AWESOME site:

July 13	addfollowers.net	91.214.44.123	AS44042	ROOT-AS
July 15	extrafollowers.com	94.102.55.130	AS29073	ECATEL-AS
July 20	addfollowers.info	93.174.93.223	AS29073	ECATEL-AS
July 20	thousandfollowers.com	89.248.164.91	AS29073	ECATEL-AS
July 20	easyfollowers.com	91.214.44.123	AS44042	ROOT-AS
July 21	quickfollowers.com	91.214.44.123	AS44042	ROOT-AS
July 21	followersfast.com	91.214.44.123	AS44042	ROOT-AS

ROOT-AS はつい最近 84654321.cn のような 乱数.cn のインジェクションに使用されていました。

最近は beta.33drugs.com (212.117.160.18) の Trojanに使用されているようです。

----------

We're Excited to Announce the Release of the MMPC Portal V2!

Microsoft の Malware Protection Center がリニューアルした模様

We hope you enjoy the new portal as much as we do!

どうでもいいけど・・MMPCが繁盛するってこと自体をMSが喜んでいいんですかネ？
警察と消防署とセキュ屋は繁盛してほしくない

----------

インジェクション

bntn6.cn
59.34.197.150

過去に配置されていたIP:
59.34.197.35

存在ドメイン ALL THROUGH:
365tsf・com
43381・com
5173rx・com as 216.240.187.102
517bb・com
517qq・net
52000sf・com
55292・com
669ip・com
926886・com
chinamir2・net
dzyg365・com
haowjh・com
hh7788・com
hhcq188・com
idcyd・com
kissmir2・com
loveymir2・com
mail・55292・com
mail・926886・com
mail・loveymir2・com
mir2tl・com
niansf・com
tth4f・com
www・51juezhan・com
www・52000sf・com
wz007ip・com
zhaofoo・com
zhaohf・com

yysf6.com not respound
haotb.com not respound
517dd.net not respound

全部 いつもの AS4134

59.34.197.35の過去犯歴はありませんが、収容ドメインがコロコロ変わっているので危険な感じです。
とりあえず、ネットゲームをやっている方は IP/Domain ともに塞いでおいてください。

Ilion様の FFXI(仮) の情報は本格的にヤバイものが多いので要注意です。

----------

Milw0rm に 妙な文字が見えるなぁ・・・

Adobe Acrobat 9.1.2 NOS Local Privilege Escalation Exploit (alwaysdirtyneverclean.zip)

誤報でありますように（祈）

----------

子供の友人がマジコンユーザーだった！ どうすればよい？

草なぎさんを引っ張っていった警察署に通報！

----------

しかし、まわりこまれてしまった！

NoScript単体でIFRAME禁止のすり抜けを確認

いや・・あまり笑ってられなくなってきました。iframe禁止は重要な要素ですので・・

EoF

----------

ログインページにおける不正表示について
hXXp://www.value-domain.com/info.php?action=press&no=20090721-1

7月6日、ログインページにて、ウィルスダウンロードを誘導するページへのリ
ンクが設置されていました。ウィルスについては下記が参考になります。

Microsoft Video ActiveX コントロール の脆弱性(MS09-032)について
　http://www.ipa.go.jp/security/ciadr/vul/20090707-ms-activex.html


あのですね・・
このどこがウィルス情報なワケですか？

と、前回も怒った記憶があるので、今回はどんなインシデント（笑）なのか、まとめて見ましょう


----------
今回は「デジロウィルス」の名前を使っておきましょう（笑）

感染の疑いのある人へのフローチャート：

1). Windows Web Components CVE-2009-1136

影響を受けるシステム

以下の製品をインストールした覚えのある方、もしくはプレインストールされていた方
あるいは、 Office2007 で互換性モードのためにオプションで OWC(Office Web Components)をインストールした方

で、Microsoft Office Web コンポーネント コントロールの脆弱性により、リモートでコードが実行されるの適用を行う前に悪意サイトにアクセスした方

※1 いつもなら Vistaには Un-Affected! とか書いてきますが、どこにもその記述が無いため、完全に影響がないとは言い切れません。
※2 Windows2000は SP4以外のサポートが終了しています。
※3 Server2003/2008 は ActiveX Control がロードされないため、関係ありません。

参照：More information about the Office Web Components ActiveX vulnerability

2). Microsoft Video ActiveX 脆弱性 CVE-2008-0015
(MPEG2TuneRequest 脆弱性)

影響を受けるシステム

以上のシステムで、
[972890]Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行されるのFix it 適応を行わずに悪意サイトへの訪問を行った方(※5)

Vistaが除外される理由

※4 Windows 2000 SP4 にはそもそも存在しないコンポネンツです。
※5 7/15のパッチで
[MS09-032]ActiveX の Kill Bit の累積的なセキュリティ更新プログラムとして修正済みです。

3). Adobe AcrobatReader/Flash Player 脆弱性
CVE番号は割愛（多すぎ）

影響を受けるシステム

Adobe Acrobat Reader の累積的な脆弱性バージョンを放置している方 (最新版：9.1.2）
Adobe Flash Player の累積的な脆弱性バージョンを放置している方 (最新版：10.0.22.87)

※5 Vista上での感染を聞いたことがない～恐らくDEPの回避ができないものと思われます。

----------

以上に心当たりのある方は、システムフォルダ内の以下の場所を確認してください

Windows 2000 SP4:
　C:\Winnt\System32

Windows XP, Vista:
　C:\Windows\System32


チェックするファイル：

これらのファイルが存在した場合、速やかにウィルスチェックを行ってください。デジロウィルスに感染した可能性が極めて高いと思われます。

----------

デジロウィルスに感染した場合、特にネットワークゲームのID/Password情報が窃取された可能性があり、それに留まらずさまざまな ID/Passwordが窃取された可能性があります。

亜種の一例
Win-Trojan/OnlineGameHack.14433.B

多数の亜種があるらしいので、一概に対応策を提示できません。

亜種の中には IRC経由でのBotnetコマンド待ちうけを行っているものもあり、更に悪質なマルウェアを埋め込まれた可能性も否定できません。

また、自分の PC が Botnet 化（ゾンビPC化）した場合、あなたの意図に反して犯罪に使用されている可能性もあり、最悪のケースとしては見覚えのない犯罪に加担したことで訴追される可能性もあります。

----------

対処：
基本的には、バックアップを取り、リカバリポイントまで差し戻し、もしくはクリーンインストール

HijackThisに詳しく、ComboFix/MalwareBiteの動作を正確に理解できる方は、そのインストラクションに従って除去することが可能かもしれません

一部のセキュリティソフトは、検出しても完全に除去できない可能性があるものが存在します。

インシデントが懸念される際の対策の基本理念は
　常に最悪のケースを想定し、対処すること
だと思っています。

----------

For English Visitors:

Well, there's terribly injection that Japanese IT integrator compromised regarding Microsoft Office Web Components(OCW) exploits. The compromised site scattered malicious code almost 2 weeks without any attention. It seems NOOOOOB but they're IT company. Although they removed malicious code unless any attention for visitors that possibly infected via virus and victims have been theft their credentials as their risks. Do you think they're trusty?

----------

あー疲れた
EoF