UnderForge of Lack

Gumblar に酷似、新たな脅威発生に警告
このマルウェア (Trojan-Downloader.JS.Gumblar.x) による被害の最大の特徴は、改ざんによって正規のホームページが感染源になっている点と、そのサイトにアクセスした PC が不正プログラムに感染させられ、新たな感染源になって二次、三次の被害が拡大し続ける点にあります。
というわけで、今後は Gumblar.X と呼ぶことにしますか

今月の 14 日にこのマルウェアを検知してから、今日 22 日現在まででカスペルスキーでは既に国内の 60 以上の感染サイトを確認しており、大手 ISP や管理機関と共に、感染サイトのテイクダウンに関する連携を始めています。
かっこいい～

「Gumblar」の脅威再び―Kaspersky が警告

今回は感染拡大が抑えられればいいんですけどね～

wordpressがクラックされたよ症状と対策まとめ
クラックと断言されていますが・・・・
他のCMSでも同様のインジェクションが発生(JoomlaとDrupalで確認)していますので Wordpress 特有の問題では無いのでは？とは思います。もちろん、Wordpressのバージョンアップは重要です（現在は2.8.5が最新です）

A script auto add in my site ... pls HELP !!!
Googleの応対ですが、何か噛み合ってない様子。
現在も未だにインジェクション先の caplast. skはブロックされていません。

Adobe Reader / Acrobatを狙う攻撃が急増【Tokyo SOC Report】
Adobe Reader / Acrobatを狙う攻撃が急増（続報）【Tokyo SOC Report】

おきをつけ～あそばせ～

----------
追加

Yahooのヘッドラインにも出ましたね
国内60サイト以上が改ざん、Gumblar亜種が台頭か

あと、小野寺さんからこんな記事が
黒い画面にマウスカーソル (Win32/Daonol)
再起動後に、黒い画面 (またはログオンスクリーンの色) に、マウスカーソルのみが表示されてしまう・・・そんな現象が報告されています。
中略
さて、冒頭で紹介した、Windows XP で黒い画面で止まってしまう現象のかたは、一例として、以下のレジストリを削除することで回復できます。とはいえ、このレジストリを操作するために、 WinPEイメージによる起動か、Windows Vista 以降の回復コンソールが必要になりますし、不用意なレジストリ操作はいささか危険です。
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi9"="C:\\WINDOWS\\.tmp "

というかですね、さすがに今回の Gumblar.X を GENO と結びつけるのは問題があると思うんですが（苦笑）
Web 経由の感染は、いわゆる gumblar (GENO, JSRDir) の手法なわけですが、

EoF

電信電話記念日
津軽弁の日
1956年革命、および共和国宣言の記念日 ハンガリー

----------
Google Blockedになってしまったら？

もし、自分のサイトが陥落サイトになってしまったら？
Best Practices for Verifying and Cleaning up a Compromised Site
昨日も同じ話をしましたが、今日は Google 的な側面です。とりあえず、Google Safe Browsing の「攻撃サイト」警告を取り除かないとイロイロ支障があるでしょうしね・・・
Google Webmaster Tool で、何のマルウェアに感染しているのかという情報も確認することもできます。
要するに、Google Webmaster Tool のアカウントを持っていないとイザというときに右往左往して、解除に時間を食ってしまうということなのでしょうか

Google offers webmasters more malware details

----------
Rapid7がMetasploitを買収

Metasploitはシステム侵入検査（貫入試験）用のフレームワークで、Exploitsをパターン化して自動的に侵入を試みることができる機能を持っています。Rapid7社は NeXpose など、統合型貫入試験ソリューションを提供している会社で、このたび、Metasploitを買収しました。

Rapid7 snaps up the Metasploit Project
Metasploit + Rapid7 shakes up pen-test landscape
Rapid7 purchases Metasploit

さて、当然のことながら、このツールは悪用されると恐ろしいことになります。
Metasploit を使って脆弱性を発見する
Metasploit 3.0――ユーザの良心が試されるシステム貫入試験ツール -- 2007.05
ワーム「Conficker」，拡散にセキュリティ検証ツール「Metasploit」のペイロードを流用 -- 2009.01
この辺を読んでギクっときたシス管の方は、１回チェックをかけてみるのもいいかもしれません（ただし自分のサーバへ・笑）

----------
GoogleVoiceが公開されちゃったよ・・

About Voicemail and Privacy

一部がオンライン検索可能だったGoogle Voice--現在はグーグルが修正済
ボイスメールの情報をサイトに掲載するということは、そもそも他の人とその情報を共有しようと考えているということなので、われわれはユーザーがウェブ上に掲載したボイスメールメッセージに対するクローリングは制限していなかった。しかし、ユーザーがそれらのメッセージを自分のサイトには掲載したいが、自分のウェブサイトの外部から直接検索できて欲しくはないと考えることも確かに理解できる。このため、われわれはそれらのメッセージがクローリングされるのを制限し、サイトの所有者だけがそれらをインデックスに加えられるかどうかを判断できるように修正を加えた。
何か昔、GoogleMapsのマイマップでも似た事故があったような気が・・・

----------
身元を明かしたマルウェア作者

A black hat loses control
昨今の Malware作者は自分の身元を隠すことに心血を注いでいるはず・・ですよね？　でも違いました。とある Malware作者の立ち上げた（とみられる）新しいサービス（？）では、セキュリティ企業のオンラインスキャナのトラッキングを行い、その IPや情報をもってブロックするためのリストを提供したり、サービスそのものに対する DoS 攻撃ツールを提供したりしていました。
当然のことですが、この「攻撃ツール」とやらを実行すると、マルウェアはシステム内のユーザ情報などの環境をランダムな文字列に変更してしまいます。そしてマルウェア作者は正体を明らかにするとともに 2000 ユーロを要求してきました。我々（カスペルスキー）はこれらの情報全てを当社の顧問弁護士に送付する手続きを進行しています。

メッセージが口汚くてなんともいえませんね（苦笑）

----------
Google vs Apple ?

スクリーンショット入手！―Googleの音楽サービスはこんな雰囲気に

10/28を楽しみにしておきましょう。

----------
Windows7 now available!

Windows 7発売。秋葉原での深夜販売は大盛り上がり
周囲じゃ全然盛り上がってないような・・・
とりあえずファミリーパックでも買おうかな（笑）

----------
Google Safe Browsing STATUS:
| 1256241612 | B | [goog-black-hash 1.42774 update]
| 1256241603 | M | [goog-malware-hash 1.16638 update]
| 342521 | current blocked
| 843219 | total logged

EoF

やっと直ってた
皆様、ご心配とご迷惑をおかけいたしました。
今後もこのサーバで続けていくかどうかは？ですが、とりあえずは復帰です。

ついでにエクスポートができない部分もなんとかしてくれないかな・・
（移転できないじゃないか！苦笑）

----------
方言の日(要出展笑)
パラシュートの日
絹婚記念日 (結婚記念日 : ４周年)
平安遷都の日

----------
もしあなたのサイトが陥落したら？

Compromised という言葉は妥協とか訳されますが、セキュリティの世界では堕ちたとか陥落したとか表現しています。
で・・MDLにこんなまとめがありました。
Topic: [INFO] My website has been hacked, what do I do? (Read 723 times) -- 2009.06.12

特に重要なのはコレ
Passwords should be changed from a second machine, and NOT from the machine you normally use to connect to the sites FTP etc account.
パスワードを変更する際には必ず、感染していないとこが確認できるセカンドマシンから行うこと。
もし、感染しているPCからFTPのパスワード変更を行っても、その情報をさらに抜き取られるだけです。

Gumblarは６月中旬から微妙に潜伏し、10/15頃に攻撃を開始しています。
これは、穿った見方をすれば、感染者は6-10月の間ずっと情報を抜かれっぱなしだった可能性もあり、今頃対策してもテオクレという可能性もあります。

JRAレーシングビュアー サイト改ざんに関するお詫びとご説明
また、今回のサイト改ざんによる個人情報の流出はございません。
この根拠がどの辺に立脚したものなのか？　感染経路もしくはインジェクションの経緯が全く不明瞭なのに断言できないような気もします。

いずれにせよ、サーバ管理を行っているような会社の場合、そのクライアントPCには一定線以上のセキュリティ・ポリシーに準じた対策を求められる時代なのかもしれません。

----------
WordPress 2.8.5

WordPress 2.8.5: Hardening Release
セキュリティ強化のために以下の修正を行ったようです

PHPコードは eval()関数のような、悪意を持ったコーディングに使われる関数の排除を行いました。

Wordpressは、現在 ver2.9のベータテストが行われており、これからも進化し続けていくことでしょう。
どこかのように 2.6 をえんえんと使い続けている所はどんどんセキュリスクが上昇しているのですがネ！

WordPress Hardening

----------
Day - 20 - SIP 5060&5061

SIP
Cyber Security Awareness Month - Day 20 - Ports 5060 & 5061 - SIP (VoIP)
IP電話(VoIP)で使用される SIP プロトコルのためのポートで、一般的には 5060 が平文、5061が暗号化されています。しかしながら、SIPはその性質上、信頼性の低い伝送経路での通信を前提とするため、UDPをデフォルトに使用していることが多いのです。さて・・・UDPベースのSIPでSSLは成立すると思いますか？
※SSLはトランスポート層の上層に位置し、TCPプロトコルをラッピングする形で提供される性質のものです。

というお話。

5060/5061は多くの Firewall で Open設定になっていることが多いため、注意が必要だと警告しています

----------
Day - 21 - Port 135

Cyber Security Awareness Month - Day 21 - Port 135
Port135は、一番有名なものはWINS(Windows Internet Naming Service)で使用されるものです。そもそもは NetBIOSというWindows専用のプロトコルを、NBT(NetBios over TCP/IP)を介してTCP/IPに通したものでもあります。

このPort135へのI/Oは少なくともWAN上に流されるべきものではありません。実際問題、WinXP SP2以降はFirewallでブロックされているポートでもあります。

----------
クラウド・セキュリティって何？

「Panda Cloud Antivirusの内側をもっと知りたい！」 シニアリサーチアドバイザー Pedro Bustamante氏に聞く

追加質問したいなぁ・・
なぜ、スペインのセキュ会社なのにパンダなんですか？

----------
さまざまな時事ネタがマルウェアや偽セキュソフトへ

いいかげんそろそろ引っかかるヒトが減ってもよさそうなものですが・・

ハロウィン：
Halloween Job Spam Spooks Users

例の気球少年（自作自演だったらしい）：
Balloon Boy Spam Drifts Through Town

Windows7
Windows 7発売で便乗スパムも大盛況

Microsoft Update:
「install.zip」に注意！MSをかたるウイルスメールが流行中

Outlook Update:
Update for Microsoft Outlook / Outlook Express (KB910721)

.my domains
.my Websites Compromised
...etc

枚挙に暇がないとはこのことですね

----------
Google SB サーバ停止中

EoF

現在、サーバがおかしい状態になっており、携帯でしか見えないような状態です（苦笑）
かくいう私も、FireMobileSimulator を使って書いています。

データベースは動いているようですので、復旧するのかどうかわかりませんが、公式から何もアナウンスがありませんので、どうすることもできません。

ちなみに、PCで見た場合、処理応答が停止してしまい、事実上のブラクラ状態となっております。

というわけで、どうしようにもない状況下にあることをお詫び申し上げます。
My Aplogize for any inconvenience.

今来週は根無し草状態なんですが、Gumblarやら何やらで書くことが多いのは仕様！？

あかりの日
1879年10月21日にトーマス・エジソンが京都産の竹の繊維を炭化させたフィラメントを用いて白熱電球を完成させた。
早稲田大学創立記念日
1882年10月21日に大隈重信が早稲田大学の前身である東京専門学校を創立。
国際反戦デー

----------
嫌なコラボレーション

以前のGumblarでも指摘されたことがありますが、今回も根っこが同じなのではないか？というお話
Zeus Bot Joins Gumblar Attacks
The iframe pulls exploit code and malware from ncenterpanel .cn, a domain that has been associated with the Zeus botnet in the past.
新Gumblar(他にいい名称がないんです）に感染したサイトのいくつかに、別のiframe・インジェクションが行われているようで、そのインジェクション誘導先は過去に ZeuS/Zbot のダウンロード元としてブラックリストに載っているそうです。

まぁ・・載るでしょうね・・↓
ncenterpanel .ＣＮ

This method of attack complicates remediation via technologies that rely on blacklisting because the number of compromised websites (now acting as malware hosts) is in the thousands. It also makes the Gumblar compromised websites a triple threat - potentially exposing visitors to the malware contained on the compromised site, and the malware loaded from ncenterpanel.cn, and the malware loaded from other compromised sites.
従来の３倍の脅威～

ComputerWorldの記事
Researchers see Gumblar attacks surge again

IBM X-forceのblog：
Gumblar Reloaded

MalwareURL は一次散布サイトのひとつを "Kill Files"とシグネーチャしましたが・・
Exploit / Trojan KillFiles
１個だけ・・
anzantra.se -- 相変わらず Safe 判定

Pluto様の日記：
Genoウイルス(Gumblar)検出状況 -- Plutoの日記
このphpファイルは見に行くたびに変わりますが、カスペルスキーさんはまるで「おれにまかせろ」状態。かっこいい。
post_config.php -- 2009.10.20 14:33:09 1/41 (2.44%)
Kasperskyは何かパターン化のルールを掴んだ模様（パターンをバッサリ変えられる可能性はありますが・・・）

----------
キヤノンITソリューションズ製 ACCESSGUARDIAN

キヤノンITソリューションズ製 ACCESSGUARDIAN におけるクロスサイトスクリプティングの脆弱性
ACCESSGUARDIAN認証処理におけるクロスサイトスクリプティング脆弱性の問題について
(A)保守契約を結ばれているお客さま
保守契約の対象製品につきましては、本脆弱性の対策を盛り込んだ修正プログラムを公開しましたので、お手数をおかけいたしますが、新しいソフトウェアにバージョンアップしてくださいますようお願い申し上げます。
(B)保守契約を結ばれていないお客さま
誠に恐縮ですが、対象製品をご使用の場合には、サポート窓口までご連絡いただきますようお願い申し上げます。

まぁ、保守契約を結ばないような製品ではないのでしょうが・・・

----------
脆弱性情報 by Secunia

アクセス解析ツール Piwik (MoonGift記事)
Piwik Arbitrary File Creation Vulnerability
Solution:
Restrict access to the "/libs/open-flash-chart/php-ofc-library" directory (e.g. via an ".htaccess" file).

CMS Joomla (日本公式サイト)
Joomla AjaxChat Component File Inclusion Vulnerability
Solution:
Edit the source code to ensure that input is properly verified.
Joomla Component com_ajaxchat Remote File Include vulnerability

CMS TYPO3
Joomla AjaxChat Component File Inclusion Vulnerability
Solution:
Update to version 1.6.5:

ご使用中の方は気をつけましょう

----------
Re-nabled blocked plug-in

.NET Framework Assistant & Windows Presentation Foundation Plugin Blocking Update
WPF(Windows Presentation Foundation)関連でブロックされていたPlug-insの解除

参照：CNetの記事
モジラ、「.NET」向けFirefoxアドオンを一時的にブロック
とりあえず、振り子が元に戻されたようですネ

Microsoft flaw sends Mozilla scrambling
こういう状況って、泰山鳴動っていうのかな？（苦笑）

----------
（個人は）フリーなセキュソフト界

MSE(Morro a.k.a 岬ちゃん)の登場により、セキュ業界ではイロイロ騒動になっているようですが、フリー御三家（と勝手に呼んでいた）陣営のほうでも動きが活発化しています。

AVG 9.0 Free
AVG Anti-Virus Free Edition 9.0

Avira AntiVir
日本語版 : 2009.12.01 リリース予定

ウチは長年 Aviraの信奉者（笑）だったのですが、ちょっと MSE に浮気しています（笑）

----------
時間稼ぎにCAPTCHAを

偽Facebook、偽ビデオ、偽CAPTCHA
ユーザーがCAPTCHAテストと格闘している間に、マルウェアは「C:¥Windows」に2、3のファイルをコピーし、自身を削除し、いくつかのレジストリ・キーを作成する。

CAPTCHAが人間確認の役に立ってないという話は過去にもあるのですが、人間が CAPTってる時間にマルウェアをダウンロードさせるというのは何かの皮肉なのでしょうか・・

----------
Fedexも・・・

Fedex and the world of malware
Today while trawling through spam, I came across another variation of the good ol’ FedEx scam.
（苦笑）
次はゆうパックかなぁ・・（それはない）


----------
Human Error

Microsoft: Human error caused critical SMB2 vulnerability
SMBv2 の脆弱性は、単純なヒューマン。エラーだったかも知れないという話。

SDL:Security Development Lifecycle
The Trustworthy Computing Security Development Lifecycle

----------
インターネットの向かう先～匿名性の排除？

Epassports and anonymity - what I think
カスペルスキー氏曰く、「インターネットの匿名性を廃止したい」

難しい問題です。
しかし、いずれはそうなっちゃうのかな？と漠然と思っていることでもあります。

----------

| 1256068810 | B | [goog-black-hash 1.42630 update] |
| 1256068802 | M | [goog-malware-hash 1.16590 update] |
| 343339 | *affected*
| 829682 | *total*

EoF

どこが簡易版なんだ？というお叱りも受けてますが・・
リサイクルの日
「ひとまわり」(10)＆「ふたまわり」(20)にちなんで
BGMってコレかな？
新聞広告の日
ソフト化の日
意味がわからない用語のひとつ。経済のサービス化・ソフト化あたりの推進をしていた、「社団法人ソフト化経済センター」は 2005年に活動停止している。

----------
New-Gumblarの本当の地獄はこれからかも？

とりあえず、欧米では記事が出始めました。
'Gumblar' botnet beginning to mobilise
Gumblar Botnet Resurfaces to Target Windows Users, ScanSafe Says
まだまだ周知には程遠いですが、少しでも被害拡大を防げればいいなぁと思いますね（苦笑）
前回、いろいろ手を打ったりしてヒドイ目にあったので、もう個別対応はしませんですよ、ハイ。

zlkon、gumblar、martuz 再臨
これらも、やられちゃったサイトなんですよね。。。バーチャルホスティングだし。
今回の「一次陥落サイト群＝踏み台A」は慎重にバーチャルホストに収容されたサイトを狙っている印象です。ですので、仮にIPでブロックをかけると、その他大勢の「無関係サイト」まで巻き込むことになりそうです。

しかし、これって、検体の取得も解析もむちゃくちゃ大変じゃないですか？？？？？
I think so..

----------
Conficker感染の警告とともに添付ファイルが・・

Conficker.Bの蔓延をネタに偽アンチウィルスソフトをインストールさせようとするスパム
「10/18からConfickerが急に蔓延し始めたので、添付したファイルをインストールしてスキャンして！すぐに！　マイクロソフトより」

（苦笑）
まぁでも、zip添付で FakeAVが送りつけられてくるので、信じてしまうヒトは信じてしまうのかも・・
しかも、複数を短期間で送りつけてきますので、メールボックス内で目立つことは事実ですね。

Zipped Malware Attachments in Spam: Here comes Conflicker!
Scam Email
Microsoftが個別に、しかもメールでアップデートを送りつけるようなことはありません。

Windows7発売直前の案内はいっぱい届きますが・・
あと３日

----------
Oracle のメガパッチも明日

Oracle Critical Patch Update Pre-Release Announcement - October 2009
This Critical Patch Update contains 38 security vulnerability fixes across hundreds of Oracle products.
シス管の方、明日はハンカチを片手にがんばりましょうネ・・

----------
VMware系のパッチは多すぎませんか？

[Security-announce] VMSA-2009-0014 VMware ESX patches for DHCP, Service Console kernel, and JRE resolve multiple security issues
VMware Products DHCP and JRE Multiple Vulnerabilities 指標:4
VMware ESX Server update for DHCP, kernel, and JRE 指標:4

該当製品をご使用中の方は、パッチを・・・充てられないんですよ、そう簡単には（苦笑）

----------
複数の非Adobe系 PDF readerの問題

Foxitのほうはマダのようですが・・
Vulnerabilities in several PDF applications
The flaw was discovered in version 3.1.1.0928 and has also been confirmed to exist in the current version 3.1.2.1013 of Foxit Reader (with Firefox 3.5.3 ). A similar bug that affected the loading of objects was recently fixed in Adobe Reader. So far, no updates have been made available for Foxit Reader.
Foxit Reader Firefox Plugin Memory Corruption Vulnerability

同様の問題は Xpdf というOSSのPDFリーダにも存在するようですが、こちらは修正版がリリースされているようです。
Xpdf Multiple Vulnerabilities
Apply vendor patch:
ＦＴＰ://ftp.foolabs.com/pub/xpdf/xpdf-3.02pl4.patch

----------
SQL Server 2005

SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法
SQL Server 2005の更新プログラムを適用する際に、Microsoft Updateで 737d エラーが出てしまう事があるようです。
この 737d エラーは、SQL Server 2005で何らかの構成変更(更新やサービスパックの適用も含む)を行った際に、そのセットアップが正しく完了していない場合に起こります。

該当する方はインストラクションに沿って設定を行いましょう。

----------
.NET framework add-onのブロック解除

.NET Framework Assistant Blocked to Disarm Security Vulnerability
Microsoft has now confirmed that the Framework Assistant add-on is not a vector for this attack, and we have removed the entry from the blocklist.

というわけで、Addonの強制disabledは解除されたようです。
この件に関しては、いろいろ反論もあるようですが、「セキュリティリスクの可能性が発覚した場合、ドミノをリスクヘッジ側か、利便性あるいはユーザの判断に任せるか？」という命題に対し、Mozillaが常にリスクヘッジに動いている姿勢は賞賛されるべきだと思っています。

マイクロソフト製のFirefox向けプラグイン、脆弱性を理由に一時ブロック対象に

----------
さようなら ClamWin?

マルウェアや危険サイトのリスティングを行っている hpHostsのBlogに、こんな記事がありました。
Goodbye ClamWin, it was nice while it lasted
Thank you ClamWin, for deciding you'd rather not be a security vendor we can trust.

ClamWin(ClamAV for Windows)がAsk.comと提携を結び、そのフィードバックに Ask.com Toolbar をインストールさせることを決めた事への不信感から「Good-Bye」となっています。

Ask.comツールバーは以前から問題が指摘されています。
Ask.com Search画面の件

もっとも、OSSのソフトウェアがどうやって収益を上げるか？という部分は非常に難しいものがあります。

----------
DAY - 19 ICMP

これまで nnn 番ポートの形で続いていましたが、ICMPにはポート指定はありません。
ICMP
Cyber Security Awareness Month - Day 19 - ICMP

一番有名な ICMP は pingでしょうね。いくつかのセキュリティ・ソリューションでは DoS狙いの ICMP/8 Pingをフィルタしていることもあります。

----------
というところで時間切れ

落穂：
9/11 Pentagon Conspiracy Theory Spam Leads to Malware

“Mafia-style” cybercrime organizations
FAMILY -- 下部構成員 -- 鉄砲玉でしょうかネ

またも出現、ヤフーをかたるフィッシング詐欺に注意
Yahoo! Japanをかたる偽サイトが多数稼働中～フィッシングにご用心

AND:
インジェクション
Rogueware with new Ransomware Technology™
登録商標でも取ったのかしらん？（笑）


| 1255982406 | B | [goog-black-hash 1.42558 update] |
| 1255982402 | M | [goog-malware-hash 1.16566 update] |
+----------+
| count(*) |
+----------+
| 341844 |
+----------+
| count(*) |
+----------+
| 819485 |
+----------+

EoF

[EMERGENCY]

恐れていた事態になりつつあります。
現在進行中の 新・Gumblar は尻尾がつかめません。
さらに、CMS内に埋め込まれているものは base64 で難読化されている様子で、おそらく数倍～数百倍のケースで陥落サイトが存在しているのではないかと推測されます。

SEARCH = "<script src=http://" ".php ></script>"
キリガナイ・・・

hXXp://picshic.com/buxxx/25.ｐｈｐ
description: error: "eval()'d code on line 1"

hXXp://o0w0o.com/tmp/wedding.php
description: eval(Base64_decode -- Joomla forum

hXXp://movieinthepark.ca/scripts/MITP_2009_01.ｐｈｐ

hXXp://kanto.ac.jp/course/VIVID.ｐｈｐ
description: Hacked with eval(base64_decode - Please Help
McAfee Safe Adviser:THROUGH
Google Safe Browsing:THROUGH （11サイトを感染させているのは検出してる・・）
WoT:THROUGH
Norton Safe Web:THROUGH
いずれも壊滅状態 @ 2009.10.19 23:30-JST(+9)
Googleセンセイどうした！？

hXXp://75oal.k12.tr/aile_dosyalar/bina3.ｐｈｐ
description: Strange behavior...

hXXp://elpotrero.com.ar/seleccion/Maradona-Marsella.ｐｈｐ
description: Malicious attack

hXXp://mobydickrock.ru/hope/yandex_66a7973f6eaf9ba9.ｐｈｐ
description: Have been hacked -- Webdevelopper.com
description: Have been hacked--pls help -- php builder

hXXp://minusy.ru/logs/sendtoemail.ｐｈｐ
description: a strange change has been commited on my site -- OpenCart

hXXp://globe-safaris.com/Files/Travellers_Tips.ｐｈｐ
description: errored out, whole directory down? -- PHP Link Directory

hXXp://galladance.com/education/license-ru.ｐｈｐ

hXXp://luxuryretreatsatcapcana.com/userfiles/email.ｐｈｐ

hXXp://melstra-techniek.nl/images/contact.ｐｈｐ

hXXp://cafede.sakura.ne.jp/shibuya_staff_diary/cafe_links.ｐｈｐ
McAfee Safe Adviser:THROUGH
Google Safe Browsing:THROUGH
WoT:THROUGH
Norton Safe Web:THROUGH
いずれも壊滅状態 @ 2009.10.19 23:30-JST(+9)

hXXp://taxidermiaferron.com/Contacto/desktop.ｐｈｐ

hXXp://singingbowlcentre.com/images/pas1_bg.ｐｈｐ

hXXp://shoppingsurat.com/images/outputinfo.ｐｈｐ

----------
ど・・どうすりゃいんんだい！？
って感じなんですが・・・

こうした踏み台陥落サイト群は、次々と使い捨てにされる傾向があります。もし、ゼロデイの脆弱性を使われれば、自己防衛の方法が極めて狭められることになります。

Firefox+NoScript のような環境下で、iframe もデフォルトは OFF にしておき、相手と心中してもよいくらい信用しているサイトだけ JavaScript の実行を許可する癖をつけるしかなさそうです。

----------
あと、こっちも
メンテナンス・障害情報:www3サーバの表示速度改善のための緊急メンテナンスについて
本日、www3サーバにて表示速度改善のための緊急のメンテナンスを行っておりました。
現在、一時的に復旧しておりますが、メンテナンスは正常に終了できていないため、
後日、再メンテナンスを行います。
ご迷惑をおかけし申し訳ございません。
申し訳ありません（というか何もできませんけどね）
EoF

バーゲンの日
海外旅行の日
日ソ国交回復の日
ブラックマンデー

----------
[APLOGIZE]

現在 www3.aword.jp サーバが不調のようで、まったく繋がらない状況が多々あります。
無料なので文句は言えないんですがネ
移転先を探していますがなかなか見つかりません（苦笑）

----------
[EMERGENCY]

Gumblarの侵攻が始まっています。
今回は名前をなんてつくればいいんでしょうね・・？
今回の攻撃は、Martuz閉鎖後の 「英単語x3.cn」「３文字」:8080 インジェクション同様、 複数の「過去汚染された」サイトが感染ファイル配布元として機能しており、 Fast-Flux的なそれらの配布元は使い捨て踏み台にさせられています。
おそらく、危険サイト/IP をブラックリスト化する方法では追いつきません。

gumblar・martuz
このスクリプトは集めても徒労ですね…。
スクリプトも難読化のパターンを逐次変更しているようですので、ブラウザの時点での水際防護は困難のようです。

さて・・と
とりあえずやるべきことの復習

Windows Update の実施

Microsoft Update の実施 (特に Office ユーザ)

Adobe (Acrobat) Reader の最新版の適用 ver 9.2
※Ver 9.2 より JavaScript-OFF環境下でJavaScriptコードの入ったPDFが実行されると警告が発生し、ユーザに注意喚起をする設定になっているようです。ただ、JavaScriptそのものはデフォルトでは ON のままですので、JavaScript実行環境をOFFにすることを強くお奨めします。

Adobe Flash Player の最新版の適用 ver 10.0.32.18
Adobe Flash Player のバージョンテスト
※インストール時に McAfee Security Scan が「デフォルト」でインストールされますので、不要の人は注意
※IEと他のBrowserをインストールしている方は、必ず IE上とその他のWeb Browserでプラグインのチェックを行ってください。

Java JRE の最新版の適用 JRE6 update 16
※JREの古いバージョンが PC内に残っている場合は（よほどの理由がない限り）不要ですので削除しましょう。
※ JRE6 update 15 が最新として定義されていることもありますが、up15 と up16 の違いはデバックオプションの問題のみですのでセキュリティ・ポリシーが変更できない場合 up15でも現時点では有効です（長期的にはセキュリティポリシーの柔軟な運用のほうが重要です）

QuickTime Player for Windows の最新版の適用 QuickTime 7.6.4
※勝手にインストールされる Safariに注意しましょう
※QuickTime for Windows はあなたの Windows 環境下に本当に必要ですか？

そして、定期的なバックアップ！
転ばぬ先の杖とも言うではありませんか？（笑）
Backed up, lately ?

Webサーバを稼動させている方へ
自分の周辺のヒトに薦めているのは以下のようなコトです。

FTPの使用の中止
FTPはID/Passwordの情報が素で流れますので、Gumblarのようなパケットスニファの機能を持ったウィルスに感染すると、同一ネットワークセグメント内のすべてのID/Password情報が抜き取られる恐れがあります。
SFTP/FTPoSSLのようなセキュアな環境を使用するようにしましょう。

FirewallやTCP-wrapperの設定
許可したIP群やASN以外からのFTP/SFTP..etc のアクセスを弾いてしまうことは、根源を絶つという意味で非常に有効です。

定期的な改ざんチェック
rsync のような同期ツールを設定し、自分の意図していないファイル改変（改ざん）をチェックすることは、非常に単純なスクリプトで最後の防壁になってくれるでしょう。

使用中のソフトウェア・コンポネンツの脆弱性検査
Secunia
無償のPC導入ソフトぜい弱性検査ツールを評価する
PCにインストールされたソフトの脆弱性を一括調査する「Secunia PSI」が日本語化

----------
Day 18 -- Telnet

Computer Security Awareness Month - Day 18 - Telnet an oldie but a goodie
Telnet is a grandpa(ma) of protocols.
というか埋葬したほうがいいんでしょうかネ？

でも、ちょっと環境上の問題で使ってたりします（苦笑）

----------

短縮版なのでこんな感じで・・・

あと気になったニュースは

Hacked Newspaper loads Google News with malware sites

Source of badness: Group Vertical Ltd (AS49365)
JUNIK-RIGA-LV マタオマエカ

----------
status:
| 1255914019 | B | [goog-black-hash 1.42502 update] |
| 1255914015 | M | [goog-malware-hash 1.16547 update] |
| 815605 |
| 343764 |

EoF

変な経路で書いているので、短めに・・・

----------
統計の日
明治3年9月24日（1870年10月18日）に、現在の「生産統計」の起源となった府県物産表に関する太政官布告が公布された
冷凍食品の日
冷凍の凍（とう≒10）と、冷凍食品の標準管理温度がマイナス18℃である
木造住宅の日
住宅の「住」を読み替えると数字の「十」に、漢字の「木」を分解すると数字の「十」と「八」になる

----------
Gumblar strikes back?

[EMERGENCY]
先日、さまれぼ！管理人様より警報を受け取っていたのですが、Gumblarに強いScanSafeも警報を発しました。
Gumblar Website Botnet Awakes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
sqlsodbc.chm
という、悪夢のキーワードをもった Gumblar(GENO/zlkon/Martuz/JSRedir-R/Daonol)が、蠢動を再開した模様です。

現時点で使用されている脆弱性は
MS09-043 : Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (957638)
という、９月に塞がれたものですが、それ以外にも脆弱性攻撃を仕掛けてくる可能性がありますので注意が必要です。

File HiwA7.dat received on 2009.10.13 16:44:45 (UTC)
Result: 7/41 (17.07%)

----------
Signatureあるいは呼称の問題

そういえば、Gumblarウィルスの呼称問題って、もうどうでもよくなったとおもっていましたが・・

サイト感染を防ぐ6つのTIPS～G DATAがアドバイス（附：ウイルス呼称への疑問）
■附：「GENOウイルス」呼称への疑問～「新たな脅威」生み出すおそれ
たしかに、誰かがこのウイルスを「GENOウイルス」と呼び始め、その呼び名が広がっていった事実はある。問題は、ある悪意をもってこのウイルスを「GENOウイルス」と呼び、この名が定着していくのを喜んでいる人たちがいたことだ。真の攻撃者の意図とは無関係ではあるが、その呼称が広まることを喜んでいた人たちは、セキュリティベンダーやメディアがそう呼び始めたことに喝采している。

ウイルスの名前が悪意をもった者の意図する通りに操作できるとなると、この点を狙った悪質な行為も起きかねない。ある企業のホームページにウイルスを仕掛け、そのウイルスが企業名で呼ばれるように仕向け、企業イメージに操作を加えるようなことも起こらないとはかぎらない。
ほんとですよね・・
初期のzlkonを追っかけていた人はご存知かと思いますが、同様の「シランプリ対応」をやらかしたところは他にも多数ありました（苦笑）。

こういうことを含めて、ウィルスの名称の決定は AMTSO や ICSG が積極的に統合を図ってもらいたいものです。

セキュリティ製品のテスト手法を標準化する団体「AMTSO」が発足
「ウイルス情報をXML形式で共有」、業界団体が標準化作業

----------
.NET Framework プラグイン問題

FirefoxのMicrosoftプラグインに脆弱性があるとか？ ―
「Microsoft .NET Framework Assistant」と「Windows Presentation Foundation」が強制的に無効にされてるらしい。
元々Fx 3.5で削除してたのですが、3.7a1preだと無効の状態で表示されるので、元から絶つことにしました。

.NET Framework Assistant Blocked to Disarm Security Vulnerability
Firefox Blocks MS Add-on to Tighten Security
Mozilla disables Microsoft plug-ins?

もともと、この問題は、
.NET Frameworkのアップデート、勝手にFirefoxにアドオンを追加して問題に -- 2009.06.04
あたりでも問題にされたのですが、
「ユーザの同意なく勝手にインストールされる拡張機能」の危険性を現実に露呈したケースとなってしまったようです。

----------
その他

落穂ひろい

あーあ
文科省サイト「ライフサイエンスの広場」、サーバーがウイルス感染

phpMyAdmin Plugs SQL Injection, XSS Flaws
PhpMyAdmin group urged all users to upgrade to phpMyAdmin 3.2.2.1 or 2.11.9.6 immediately.
New versions of phpMyAdmin close security holes

フィッシングメールっておいしいビジネスモデルなのか？
おいしいんでしょうね・・・タブン

Oracle to fix 38 database, product vulnerabilities
Oracleよ、お前もか

Protecting Users and Ads from Malware
What is "Malvertising?"
ZeusやらFakeAVやらViagraやらにたどり着きますヨネ

Congratulations Mozilla
Secuniaが自動プラグインチェックを実装したMozillaを称える。
※バージョンの不統一なベンダーを批判もよろしくおねがいします（苦笑）

Microsoft Security Essentials – Week One
One week of MSE: 1.5 million downloads, 4 million detections
着実に広まっています。

テクノラティ・ジャパンが全サービスを突然終了
/. が無くなるのは勘弁してください

----------
SANS : Knowledge for Your Port

Cyber Security Awareness Month - Day 16 - Port 1521 - Oracle TNS Listener
Cyber Security Awareness Month - Day 17 - Port 22/SSH
22番はしょっちゅう辞書攻撃が飛んできますね

----------
telnet（ばくしょ）で入れたので

[goog-malware-hash 1.16518 update]
[goog-black-hash 1.42415 update]

Total : 808892
Infected : 351075

EoF

申し訳ありません。
明日(今日）から2週間の間、環境的な問題で不定期になります。

また、GSB(Google Safe Browsing)のサーバにアクセスできなくなるので
増減表はその間お休みさせてくださいませ。

よろしくお願いします