UnderForge of Lack

Archive for 10 月 21st, 2009

2009.10.21.水曜日 (簡易版)

Posted in security on 10 月 21st, 2009 by gnome

今来週は根無し草状態なんですが、Gumblarやら何やらで書くことが多いのは仕様！？

あかりの日
1879年10月21日にトーマス・エジソンが京都産の竹の繊維を炭化させたフィラメントを用いて白熱電球を完成させた。
早稲田大学創立記念日
1882年10月21日に大隈重信が早稲田大学の前身である東京専門学校を創立。
国際反戦デー

----------
嫌なコラボレーション

以前のGumblarでも指摘されたことがありますが、今回も根っこが同じなのではないか？というお話
Zeus Bot Joins Gumblar Attacks
The iframe pulls exploit code and malware from ncenterpanel .cn, a domain that has been associated with the Zeus botnet in the past.
新Gumblar(他にいい名称がないんです）に感染したサイトのいくつかに、別のiframe・インジェクションが行われているようで、そのインジェクション誘導先は過去に ZeuS/Zbot のダウンロード元としてブラックリストに載っているそうです。

まぁ・・載るでしょうね・・↓
ncenterpanel .ＣＮ

This method of attack complicates remediation via technologies that rely on blacklisting because the number of compromised websites (now acting as malware hosts) is in the thousands. It also makes the Gumblar compromised websites a triple threat - potentially exposing visitors to the malware contained on the compromised site, and the malware loaded from ncenterpanel.cn, and the malware loaded from other compromised sites.
従来の３倍の脅威～

訪問者にデータ漏洩のTrojan埋設
ncenterpanel.ＣＮからのMalwareダウンロード
他のマルウェア散布サイトへの誘導

ComputerWorldの記事

Researchers see Gumblar attacks surge again

IBM X-forceのblog：

Gumblar Reloaded

MalwareURL は一次散布サイトのひとつを "Kill Files"とシグネーチャしましたが・・

Exploit / Trojan KillFiles
１個だけ・・

anzantra.se -- 相変わらず Safe 判定

Pluto様の日記：

Genoウイルス(Gumblar)検出状況 -- Plutoの日記
このphpファイルは見に行くたびに変わりますが、カスペルスキーさんはまるで「おれにまかせろ」状態。かっこいい。

post_config.php -- 2009.10.20 14:33:09 1/41 (2.44%)
Kasperskyは何かパターン化のルールを掴んだ模様（パターンをバッサリ変えられる可能性はありますが・・・）

----------
キヤノンITソリューションズ製 ACCESSGUARDIAN

キヤノンITソリューションズ製 ACCESSGUARDIAN におけるクロスサイトスクリプティングの脆弱性
ACCESSGUARDIAN認証処理におけるクロスサイトスクリプティング脆弱性の問題について
(A)保守契約を結ばれているお客さま
保守契約の対象製品につきましては、本脆弱性の対策を盛り込んだ修正プログラムを公開しましたので、お手数をおかけいたしますが、新しいソフトウェアにバージョンアップしてくださいますようお願い申し上げます。
(B)保守契約を結ばれていないお客さま
誠に恐縮ですが、対象製品をご使用の場合には、サポート窓口までご連絡いただきますようお願い申し上げます。

まぁ、保守契約を結ばないような製品ではないのでしょうが・・・

----------
脆弱性情報 by Secunia

アクセス解析ツール Piwik (

MoonGift記事)

Piwik Arbitrary File Creation Vulnerability
Solution:
Restrict access to the "/libs/open-flash-chart/php-ofc-library" directory (e.g. via an ".htaccess" file).

CMS

Joomla (日本公式サイト)

Joomla AjaxChat Component File Inclusion Vulnerability
Solution:
Edit the source code to ensure that input is properly verified.
Joomla Component com_ajaxchat Remote File Include vulnerability

CMS

TYPO3

Joomla AjaxChat Component File Inclusion Vulnerability
Solution:
Update to version 1.6.5:

ご使用中の方は気をつけましょう

----------
Re-nabled blocked plug-in

.NET Framework Assistant & Windows Presentation Foundation Plugin Blocking Update
WPF(Windows Presentation Foundation)関連でブロックされていたPlug-insの解除

参照：CNetの記事

モジラ、「.NET」向けFirefoxアドオンを一時的にブロック
とりあえず、振り子が元に戻されたようですネ

Microsoft flaw sends Mozilla scrambling
こういう状況って、泰山鳴動っていうのかな？（苦笑）

----------
（個人は）フリーなセキュソフト界

MSE(Morro a.k.a 岬ちゃん)の登場により、セキュ業界ではイロイロ騒動になっているようですが、フリー御三家（と勝手に呼んでいた）陣営のほうでも動きが活発化しています。

AVG 9.0 Free

AVG Anti-Virus Free Edition 9.0

Avira AntiVir

日本語版 : 2009.12.01 リリース予定

ウチは長年 Aviraの信奉者（笑）だったのですが、ちょっと MSE に浮気しています（笑）

----------
時間稼ぎにCAPTCHAを

偽Facebook、偽ビデオ、偽CAPTCHA
ユーザーがCAPTCHAテストと格闘している間に、マルウェアは「C:¥Windows」に2、3のファイルをコピーし、自身を削除し、いくつかのレジストリ・キーを作成する。

CAPTCHAが人間確認の役に立ってないという話は過去にもあるのですが、人間が CAPTってる時間にマルウェアをダウンロードさせるというのは何かの皮肉なのでしょうか・・

----------
Fedexも・・・

Fedex and the world of malware
Today while trawling through spam, I came across another variation of the good ol’ FedEx scam.
（苦笑）
次はゆうパックかなぁ・・（それはない）

----------
Human Error

Microsoft: Human error caused critical SMB2 vulnerability
SMBv2 の脆弱性は、単純なヒューマン。エラーだったかも知れないという話。

SDL:Security Development Lifecycle

The Trustworthy Computing Security Development Lifecycle

----------
インターネットの向かう先～匿名性の排除？

Epassports and anonymity - what I think

カスペルスキー氏曰く、「インターネットの匿名性を廃止したい」

難しい問題です。
しかし、いずれはそうなっちゃうのかな？と漠然と思っていることでもあります。

----------

| 1256068810 | B | [goog-black-hash 1.42630 update] |
| 1256068802 | M | [goog-malware-hash 1.16590 update] |
| 343339 | *affected*
| 829682 | *total*

EoF