UnderForge of Lack

12/24 Pre-X'mas
----------
10月再来襲のウェブ改ざんGumblar、ついに攻撃終了へ -- 無題なブログ
Gumblarの攻撃コードが撤収作業に入っている様子。
つまりは、「目的は達成したので戦略的撤退」というとこなんでしょうか？

【gumblar報告】快挙！改竄サイト全て復旧
復旧というか、攻撃側が引いただけですね・・
恐らく、改ざんされた側はまったく気が付いていないのでは？

JR東のサイトが改ざん　ユーザーにGENOウイルス感染の恐れ
あーっ
もう GENO = Gumblarは確定なんでしょうか？

アメリカなら一撃で名誉毀損の訴訟食らいそうなんですが（少なくとも 10月以降の Gumblar.xとは無関係ですので、風評被害を指摘されると恐ろしいので私的には距離を置くことにしています。）

（お詫び）ホームページの再開について
2. 不正アクセスにより改ざんされたページ及び期間
・JR東日本ホームページ内キーワード検索　　　2009年12月8日（火）21：40～12月21日（月）23：55
・大人の休日倶楽部内の東京講座ページ　　　 2009年12月18日（金）11：00～12月22日（火）21：00
Google様のキャッシュは12/14のものが多いので、チェックできませんでした（BAIDUは日付不明）

3. 改ざんの原因となったウィルスについて
ウィルスの種類：「Gumblar」亜種
Gumblarウィルスとは、改ざんされたWebページを表示すると感染するウィルスの一種です。感染したパソコンでは、お客さまの意図しないサイトへ誘導される可能性があります。
しかし、攻撃を受けたのが 12/21で、12/23に攻撃撤収というのが、何とも言えませんね。
いずれにせよ、また多数のユーザが感染した可能性は否定できませんので、もう少し詳しい経緯を発表して欲しいものです。

----------
一方、8080系は、攻撃コードを改変して再インジェクションしている模様です。

『/*GNU GPL*/』『/*CODE1*/』のウェブ改ざん
今度の改竄は「/*CODE1*/」

GNU GPL malware?: Troj/JSRedir-AK

Search code for malware removal with grepwin

一難去ってまた一難というところでしょうか


----------
やっておくことは以前と全く変わりません。

・Windows/Microsoft Updateの適用
・Adobe (Acrobat) Reader の最新版適用、及び Reader Javascriptのカット
・Adobe Flash の最新版適用
・Java JRE/JDK の最新版適用（不要なら抹消）
・その他、脆弱性のあるコンポネンツのアップデート

現在、Adobe (Acrobat) Reader は絶賛ゼロデイ中ですので注意しましょう（何に！？）

----------
いやなクリスマス・イブの幕開けになってしまいましたが、皆様良いクリスマスをお過ごしくださいますよう～

天皇誕生日 1933年、今上天皇生誕。　７６歳
テレホンカードの日
こんなのありましたね～ ISO 14443
東京タワー完工の日 1958年、完工

----------
[WARNING]JR東日本サイト改ざん
ＪＲ東日本、ＨＰ改ざんされ一部停止
社内で調査したところ、サイト内の検索を行うサービスの一部にプログラムの改ざんが見つかり、２３日の午前２時前から機能の大部分を停止しています。運行情報や新幹線の予約などのサービスは利用できるということです。

ちらっとキャッシュ見てみましたが、わかりませんでした。

----------
X'masプレゼントにUSB
は止めましょうね～
Beware of Christmas presents with non-volatile memory

昨日の続き：
「USBウイルス対策してますか？」ブラウザーで確認できるツール

OS ※32bit版のみ対象	Microsoft Windows XP SP2, SP3 または Microsoft Windows Vista
ブラウザ	Internet Explorer 6, 7 または Firefox 3
JRE	Sun Java Runtime Environment 5.0, 6.0

現在、このOSでのバージョンチェックはサポート対象外となっております。
しくしく・・・
まぁでも、古いOSの脆弱性放置のほうが危険なので、コレで正しいといえば正しいのかもしれない・・・

微妙に続く
----------
休暇で実家に帰る人へ
Unofficial tech support returns home for the holidays
実家に戻ったら、ご両親のPCのチェックをし、ウィルススキャンをかけ、ブラウザのアップデートを行い、Adobe 製品のアップデートを行い、その他アプリケーションのアップデートを行い、無線LANのセキュリティチェックを行い、ルータのルールチェックをおこな・・・・

１日つぶれるじゃないですか！？

メリークリスマス～
Google、今年の広告パートナー向けギフトは、慈善団体へ寄付金$20M
Facebookも、パーティーをやめて慈善団体に寄付

----------
便利なツールは・・
Yahoo ID Helperを使ったBotのアカウント収集活動
当該のYahoo IDが使用中かどうか試すことができるということで、延々とIDの収集でもやってるんでしょうか？

あとは、FUP(Frequently Used Passwords)を総当りすると・・
「最もよく使われるパスワード」が判明：流出情報分析で -- 2009.10.07

参照：
安全なパスワードの作り方


私の知り合いが言ったセリフ：
４文字以上のパスワードなんか覚えられるか！
合掌

----------
がんばってるんですが・・・
Fuzzing Reader - Lessons Learned

Fuzzing:脆弱性検査の手法
ファジングはセキュリティにおける万能薬ではない。以下のようなものはファジングでは問題を見つけることができない。
メモリ破壊（スタックの書き換え等による権限昇格など）

Adobe (Acrobat) Reader系の問題って殆どが轢き逃げ（バッファ、スタック、ヒープ・・etc オーバーラン）じゃないですか～
Adobe社内でのメモリ系のインシデントは「桃色バケツ」というコードネームらしいです（笑）

----------
Zeusはいつも元気です
A donde se va Avalanche? BBVA! y United Bankers Association
さすがに、スペイン語のスパムのURLを開く人はいないかな？

フィッシング詐欺サイト情報
には、あいかわらず plala と t-com(ビック東海) が補足されていますが、全体的には日本での陥落Botが減った印象がありますね。

----------
mwcollect
ハニーポットサーバの mwcollectが4.0にバージョンアップ
現在はKasperskyからリリースされています。
mwcollectd released


会社のサーバでこんなもの運用してたら殴られそうですが


----------
Mr.Howard Schmidt
Introducing the New Cybersecurity Coordinator

Howard Schmidt named as new Cybersecurity Coordinator
米国のサイバー・セキュリティ責任者
White House appoints cybersecurity advisor

“元ホワイトハウスCSO”ハワード・シュミット氏が語る「今、ここにあるセキュリティ危機」 -- 2008.06.09

----------
その他

Qakbot, Data Thief Unmasked: Part II
again, the local TCP table will be hidden so use some other means to monitor this
rootkit的なbotは厄介ですね。

求人とマネー・ミュール詐欺
フィンランド在住者かぁ・・・（視点が違う？）

Google、「NEXUS ONE」を商標登録。フィリップ・K・ディックとは無関係
著作権は難しいですね
NEXUS(en)

MacクローンのPsystarが廃業、あるいは廃業しない（弁護士談）
うん、ほんとに難しい（苦笑）

PHPはエコじゃない？
もう意味不明すぎる・・・

----------
| 1261512048 | B | [goog-black-hash 1.47161 update]
| 1261512008 | M | [goog-malware-hash 1.18092 update]
| 335503 | +1104(334399)
| 1169481 |
EoF

改正民法公布記念日 1947年、民法改正法が施行、封建的な家族制度を撤廃し、戸籍が夫婦単位となる。
労働組合法制定記念日 1945年公布。
ルーマニア 革命記念日 1989年、チャウシェスク政権が崩壊

----------
Gumblar re-re-revived
しぶとい・・・
Gumblarの情報送信先？ 3
67.212.81.67 AS10929 [NETELLIGENT Hosting Services Inc.]

Gumblarの情報送信先？ 4
91.213.121.160 AS24826 [KHARKOV-TERMINALS-NET]
Ukraineと出てきますが、Google位置情報は何故かマン島を指してます（苦笑）

【ウィルス感染サイト報告】- ほぼリンク切れのないサロン情報リスト
12/18再感染事例あり
Gumblar（GENOウイルス）再来襲。福岡大学のサイト改ざん被害。 -- 無題なブログ
福岡大学の医学部（www.med.fukuoka-u.ac.jp）のサイト内のいくつかのページに10月再来襲なGumblar（通称GENOウイルス）による改ざんで、不正なコードが挿入されてます。

蛇足ですが、そろそろ今回のGumblar.xはGENOと切り離したほうがいいんじゃないでしょうか？、そのうち告訴されそうで怖い・笑

Please review my site - REDTANTRAMASSAGE●COM
help prevent sticking malwere page nfoebooks●com
fexon●com infected with a script? (Google Chrome Warnin
という感じで確実に被害拡大中です。

気をつけましょう～
※ここを見てる方には無意味な問いかけですね・・わかります。

微妙に続く
----------
GNU GPLその後
ラジオ関西「アニたまどっとコム」、新手の改ざんでウイルス感染のおそれ
ただしこのプログラム自体は、他の不正なプログラムダウンロード・実行するのが主な役目で、実行時にシステムに何がインストールされたかはわからない。
Bredolabで検出しているベンダーもありましたが、接続先がいつものBredolabとは異なるので、新手かまったく新しいセグメントの攻撃なのでしょうか？
特にJava JREは、2-3年前に購入したPCにプリインストールされ、その後全く関連アプリケーションのアップデートを行っていない場合、Java 6 update10 のまま放置されていることがかなり多いので注意が必要です。

Javaのバージョン確認

----------
年末年始に向けて
年末年始における注意喚起
年末年始は、普段使っていないPCを引っ張り出して年賀状作成したり、休暇中に普段使われていない実家のPCなどを操作することがあると思います。
特にUSBなどでデータを移動し、ファイル操作を行おうと思っている方は、まずUSBを差し込む前に対象のPCのウィルスチェック及び、AUTORUNが切られているかどうかのチェックを行う癖をつけましょう。

微妙に続く
----------
MyJVN セキュリティ設定チェッカ
簡単な操作でWindowsのセキュリティ設定をチェックできる「MyJVN セキュリティ設定チェッカ」を公開
一瞬 Secunia PSIのJVN版か！？と思った私が愚か者～

ターゲットがよくわからないツールですね。
Windows の自動実行機能を無効にする方法
Windows の自動再生機能の更新プログラム
このへんがわからない人向けなのかもしれませんけど、それならもっと簡素でわかりやすい導入を・・・

税金使ってるんですし！

初心者向けの記事が得意なso-netさんあたりに記事書いてもらって、それにリンクしたほうがいいんじゃないでしょうか？
わかりますか？ この言葉～「プラグインの更新なんて無理！」という方に
PC、USBメモリ、携帯電話紛失！ ～恐怖の「情報流出」を防ぐには
初心者必読！ しないと怖い「プラグイン」アップデートの方法

----------
ぬる・えくすぷといと
NULLED EXPLOIT PACK
myreadme.php(PDF) Result: 4/41 (9.76%)
trojan.exe Result: 15/41 (36.59%)

コレの亜種かな？
Worm.Win32.Bezopi.wd [Kaspersky Lab] -- Dec.08

送信先の dia2.cn は割と有名：
W32/Autorun-AWM
search:dia2.cn

----------
ブリタニー・マーフィ
ブリタニー・マーフィ 享年32

そして始まるSEO汚染
ブリタニー・マーフィSEO
Brittany Murphy Searching Dangers
Brittany Murphy's Death SEO Poisoning

----------
たこいか
ファイルを「魚介類の画像」で上書き、「タコイカウイルス」に注意
以前、サイドバーに貼っていたコレですね・・


あれこれ
この呼びかけで効果があるなら、私のピントがズレてるのかもしれませんが……。
意味の無い呼びかけですよね（笑）
いっそ、標語とか川柳にしたほうがいいかもしれません

----------
Microsoft推奨、マルウェア拡張子
Windows Server 2008 R2、Windows Server 2008、Windows Server 2003、Windows 2000、Windows XP、または Windows Vista を実行しているコンピューターでウイルス スキャンを行う場合の推奨事項
以下のファイルとフォルダーをスキャンしないでください。これらのファイルは感染のリスクがありません。これらのファイルをスキャンすると、ファイルがロックされて深刻なパフォーマンスの問題が発生する場合があります。特定のファイルセットを名前で指定している場合は、フォルダー全体ではなく、名前を記載したファイルのみを除外します。フォルダー全体を除外する必要がある場合もあります。除外の際は、ファイル名の拡張子を使用しないでください。たとえば、.dit 拡張子が付いたすべてのファイルを除外するのは避けます。以下のファイルと同じ拡張子を使用している可能性がある他のファイルについては、マイクロソフトは管理できません。

あ～（フラグゲット）・笑

Microsoft Virus Scanning Recommendations Bring Risks

----------
注意喚起：Mebroot
Search:Mebroot
MalwareURLに、Mebrootの情報がちらほら散見されるようになりましたので注意喚起
StealthMBR.a
昨年12月に蔓延したrootkitはきわめて悪質――F-Secureが注意を呼びかけ 2008.03.05

----------
時間切れ：

Some updates . . . Visa/Zeus and Google Jobs
ZeuSが活発なのはいつものことですが、「Google職探し」も告訴にメゲずがんばっている様子・・ま、日本にはあまり関係ないですか？

Check Your Friends! Facebook IMs May Lead To Trouble
こんなもん送ってくる「友人」は拒否リスト行きですね
（※マルウェア感染などで、意図しないメッセージを送ってきている可能性もありますが）

LAN上のメールをすべて収集していた社員
世の中には、そのへんのシス管よりも WireShark を使いこなす主婦なんかもいるわけでして・・

Qakbot, Data Thief Unmasked: Part I
W32.Qakbot -- 2009.05.07
流行ってる？

iPhone Botnet Analysis

Hacker’s Holiday – A Viral Video!
ハッカーの歌ってか壊してるだけじゃんか（笑）
のほうがインパクトあった・・

Rogue AV Scams Result in US$150M in Losses
as: FBI Releases Warning about Scareware
なんでこんなに儲かるんだ（カモが多いから！？）

Christmas Bo(g)us
日本だとデジタル年賀状あたりになるんでしょうか？

----------
| 1261425623 | B | [goog-black-hash 1.47089 update]
| 1261425602 | M | [goog-malware-hash 1.18069 update]
| 334399 | +77(334322)
| 1163010 |
EoF

クロスワードの日 1913年、ニューヨーク・ワールド紙(en)上に、クロスワード・パズルが掲載された。ニューヨーク・ワールド紙はピューリッツア賞の礎となった、ジョーゼフ・ピューリツァーによって再生されていた。
回文の日 1221の並び方が、前からも後からも同じ日に読めることに由来
遠距離恋愛の日 1221の並び方が、両端が離れた一人を表し、中の2が二人一緒に仲良くしていることを表す。当時、FM長野の大岩堅一氏が提唱。

----------
月曜の朝なので、特に目立ったものはありません。
今週もあまり深く掘り下げられないでしょう。

----------
Carmen
WordPress 2.9
このリリースは、ジャズボーカリスト カルメン・マクレー(Carmen McRae)に敬意を表して名付けました。

[CAUTION]
MySQLのバージョンが 4.1.2 以上でなければ動作しなくなりました。必ずMySQLのバージョンをチェックした上でアップデートしてください。

友人のとこは大丈夫かしらん？ということで確認：
select version();
+-----------+
| version() |
+-----------+
| 5.0.27 |
+-----------+
良し（笑）

----------
wicked pdf
Marco氏(UCSBの学生さん)の解析：
CVE-2009-3459, CVE-2009-4324, and one PDF trick
＜＜/ / / / /Filter/ASCIIHexDecode/Length 100000+12488＞＞
ちょ・・
こんなのでオーバーフローするわけですか？（苦笑）

MD5:f0370d2ed256a3783aee83fb5af9c186 1/39 (2.56%)

----------
Bing!
Bingが痛キャンペーンサイトを公開中
以下の、担当者のつぶやきから、ご察しください
12:08 PM Dec 9th : 来週からはじまる（予定）のキャンペーン企画を立ち上げました
こ・・こんなデスマーチまっしぐらな企画をこんなタイミングでやったのね・・

Bing
Comming Soon
（笑）

担当者の人は、ぐっすり寝たほうがいいかもですよ～

----------
最近、非公開希望コメントばっかり（笑）

----------
| 1261339230 | B | [goog-black-hash 1.47018 update]
| 1261339202 | M | [goog-malware-hash 1.18044 update]
| 334322 | -852(335174)
| 1158509 |
EoF

霧笛記念日 1879年、尻屋埼灯台に、蒸気式霧笛が採用された。 (釧路の霧笛)
デパート開業の日 1904年、東京・日本橋に三越呉服店を設立、「デパートメントストア宣言」を行う。
シーラカンスの日 1952年、コモロ諸島のアンジュアン島で、シーラカンスが捕獲されたことに由来（調査可能な形での初捕獲）
道路交通法施行記念日 1960年(昭和35年)6月25日法律第105号、12月20日施行
鰤の日 [師走 = 鰤、ぶ(2)り(0) = 20]

----------
修正：昨日の記事
Cisco WebEx WRF Playerの脆弱性は ZERO DAY ではなく、ベンダーパッチがリリースされています。使用中の方は、ベンダー及びディストリビュータに詳細を問い合わせください。
Multiple Cisco WebEx WRF Player Vulnerabilities

----------
GJ! (just right now)
CNNICが、.cnドメインの登録審査見直しを発表してから、どのくらい効果があるのか？ワクワクしていた方もいらっしゃるのではないでしょうか？（笑）
CNNIC changes have effect on spam tactics
12/15に .cn ドメインの "URL in spam"の量が激減し、他のフリーメールサービスに変わっている様子が判ります。

・・・・・・
要するにFreeMailに移行しただけ？
逆に言えば、今こうして移行したフリーメールの登録主を各CERTが協調して潰していけばより効率的な対策になると思うのですが、なんとなくMCcoloの二の舞になりそうな気も・・・

----------
Black Hat SEO
最近のキーワードで、よくわからないものの一つとして捕らえられがちですが、SEO Poisoning、検索汚染といった手法を使ったものです。
少し前(12/17)の記事ですが
グーグルのDoodle検索、結果の約半数が詐欺サイトへのリンクに
Googleが、エスペランドの記念日にあわせたキャンペーンを狙ったもので、その即効性と対応のすばやさに呆れるしかありません。
Scammers exploit Google Doodle to spread malware

個人でできる対処は、例によっていつものとおりなのですが、ここにZERO DAYの攻撃とか混ぜられると悲惨なことになりそうです。

微妙に続く
----------
リアルタイム検索が導くもの
Where will real-time search take us?
In my opinion, cybercriminals now have a great new opportunity to combine two major threat vectors - Black Hat Search Engine Optimization and social networks. Now turnaround will be faster and more people will see the malicious links created by black hat SEO – something search engines have already failed to control.
既にダッチロールに陥っている検索エンジン（主としてGoogle）が、更に即効性のある検索サービスを始めることへの警鐘。

RT @google: Tweets and updates and search, oh my!
@google Nice!

----------
偽AV
日本語で FakeAV と書くと別のものを連想されてしまうのですが（笑）
Microsoft privacy portal a target of rogue security software
Trojan:Win32/PrivacyCenter
Privacy Centerにご注意・・というかココを見てるような人には無縁の話ですネ。

セキュリティソフトは、VirusTotalに登録されているものだけでも
VirusTotal について
これだけの数があるわけで、見たこともないソフトウェアを使うくらいなら、この中から好きなものを使ってください。

あと、必ずベンダーのサイトから落とすように心がけましょうネ
Rogue AV raising the stakes
Avira AntiVirと、AVGの偽者（苦笑）

Data Doctor 2010 will make you sick

微妙に続いているかもしれない
----------
Google鷺ツール
Google Scam Kits
Googleの検索結果を狙い撃ちにした Scam siteの作成用ツールキットが出回っているというお話

訴訟：
Minipost: Google v. Pacific WebWorks

具体的手法：
Rogue blogs redirect search traffic to bogus AV sites. Part 1.
Rogue blogs redirect search traffic to bogus AV sites. Part 2.

陥落サイトの悲鳴：
Is infected my site or my hosting provider?

----------
Twitter |-|4(k3d
※hacked(l33t)
イランによる(?)Twitter攻撃の手口はこうだった
TwitterはDynDNSにDNS収容していたのですね
DynDNSは、
DDNSの無料サービスで有名なサービスプロバイダです。

このような攻撃は技術的に高度なものではないが、きわめて効果的だ。DNSサーバに
脆弱性があるのではなくて、アカウント処理の部分とメールアドレスに弱点がある。Twitter本体は被害を受けなかったが、HTTPの平文（非暗号化）でユーザ名とパスワードをTwitterに直接送るデスクトップアプリケーションやWebサイトは、その情報を犯人のIPアドレスに送ったことになる。その気があれば、情報を取り出すのは簡単だ。
以前にも、Twitter社の皆さん、サーバーのログイン・パスワードに“password”を使わないように という問題を引き起こしていますので、またぞろパスワード強度を疑われてもしょうがないのかもしれませんね。
いずれにせよ、自動パスワード復帰機能が問題を引き起こしている事例は他にもありますので、別のプロトコルなり何なりをデザインする必要に迫られているようです。

Twitter attacker had proper credentials

「人の振り見て我が振り直せ」
A New Years Resolution - Find out how your corporate domain name is managed.

----------
また余計なことを・・
Metasploit Framework : adobe_media_newplayer.rb @ 7882

----------
また・・？
Security Bulletin - Adobe Flash Media Server (FMS)

Security update available for Flash Media Server
CVE-2009-3792 (*reserved*)
update to Flash Media Server 3.5.3

----------
あぼ～ん
malware blocklist update 12/17
Sources include freepcsecurity.co.uk, blog.unmaskparasites.com, secuboxlabs.fr and others:

Huge Update: over 266 malicious domains added (12/15)
Added our “friend” foruminspace .com as well as over 260 more nasty domains. Sources include www.malwareurl.com, freepcsecurity.co.uk, garwarner.blogspot.com, and others:

----------
啓蒙
Educationing Our Communities
CSSのミスなのかもしれませんが、ちょっと冗長気味レイアウトですが・・

7. Which of these are not computer protection programs?
で躊躇無く[B] を選んだ私は、きっと性格が捻じ曲がっているのでしょう。
※ Norton( date('Y')-2 )なら、ちゃんと守ってくれますケドネ・・たぶん

----------
DNS経路調査
ネットワークアクセス全般が軽くなる「DNS サーバー指定の変更」
ちょうど、8.8.8.8とか、CCS/DNS(GSLB)とか調べていたので・・・

----------
BING始まったな
（何が？）
みんなで Bing 検索してデジタルアイテムをゲット!

もう好きにして・・
しかし、Silverlightにしなかっただけ、まだ良心があったというべきか・・？

----------
| 1261270821 | B | [goog-black-hash 1.46961 update]
| 1261270802 | M | [goog-malware-hash 1.18025 update]
| 335174 | -910 (336084)
| 1155830 |
EoF

日本人初飛行の日 1910年、東京の代々木錬兵場（現在の代々木公園）で徳川好敏工兵大尉が日本初の飛行に成功 (アンリ・ファルマン機)
国際南南協力デー(United Nations Day for South-South Cooperation)
世界初の「パソコン」（一般消費者向けに販売された世界初の個人向けコンピュータ）Altair 8800発売、CPUクロック2MHz, メモリ256バイト。

----------
風邪も引き連れて、出張から戻ってまいりました。

----------
GNU GPL injection
新8080インジェクションですが、頭に /* GNU GPL */が付いているので暫定的にこう呼ぶことにしますか・・？

WordPressだけの問題のように見られがちですが、PHPベースの他のCMSでも発生していますので注意が必要です。
Juumla!
Parse error help please - Joomla 1.5
Pligg CMS:
Suspicious code in my pligg site.

除去に関して
＜script＞/*GNU GPL*/ try{window.onload = function(){var

サーバ管理者へ
FTPの使用を止めましょう
FTPoSSLの設定を行いましょう。
SFTPに関しては、SSHのセキュリティポリシーに従ってください。

Web管理者へ
FTPの使用を止めましょう（何度繰り返せば～）
FileZillaを使用する場合には、絶対にパスワードを保存しないでください（XMLファイルに平文で保存されています）

----------
もう～幾つ～寝ると～
冬期の長期休暇を控えて 2009/12
休暇中に持ち出していた外部記憶装置などは、組織内の PC に接続する前にウイルスチェックを行う
も・・持ち出すんですか？（笑）

休暇中、仕事を自宅や実家でやってしまうケースがあるかもしれませんが、必ずウィルススキャンを２種類くらいかけておきましょう。

----------
最も脆弱性の多いアプリケーション
Bit9 Releases Annual Report on Top Vulnerable Applications - 2009

ん～
「一番」多いのはMicrosoft だと思うんですが・・？（OSだからいいのか！？）

----------
イランサイバー軍
Twitter Defaced by Iranian Hacktivists
Twitter outage via DNS hijacking
DNS Redirected 74.217.128.160 : AS11854(ASN-INTERNAP-BLK Internap Network Services)
Who is the "Iranian Cyber Army"? Twitter DNS Redirect
IP Redirection 66.147.244.182 : AS11798(ERILAB Ericsson Cyberlab West)
Twitter (not) hacked by Iranian Cyber Army
Twitter investigates DNS hijack

とりあえず、短時間ですんだようですが、サイト本体がクラックされたわけではなく、DNSハイジャックによるものです。

IRCに変なログが残ってて、おもわず吹いてしまった自分に嫌悪・・・
そんなもんイランわ

----------
鷺が１ダース
マカフィー、新年を迎えるにあたり「2010 年、12 のオンライン詐欺」を発表
チャリティフィッシング詐欺 - 誰にあげるのかに注意
宅配業者からの偽請求書
ソーシャルネットワーキング - 「出会いを求める」サイバー犯罪者
電子メールで送られる危険なグリーティングカードに注意してください。
豪華な宝飾品の偽購入案内
安全なオンラインショッピングを - 個人情報の盗難が増加中
危険の多いフリーソフト検索
仕事紹介の電子メール詐欺
オークションサイト詐欺
パスワード盗用詐欺
電子メールを使った銀行詐欺
ファイルを人質に - ランサムウェア詐欺

おきをつけ、あそばせ～ BGM:

----------
拡大するぎゃんぶらぁ
List of Gumblar Zombie URLs
413 items. Last update: Dec 18, 2009

----------
あなぼこ

Winamp Multiple Vulnerabilities 4
Update to version 5.57.
自動アップデートはありません

PHP Multiple Vulnerabilities 3
Update to version 5.2.12.
PHP 5.2系の方はアップデートしてください。

Wireshark Multiple Vulnerabilities 4
Update to version 1.2.5.
WireSharkも多いですね・・・

[IN ZERO DAY]
Max's Photo Album Arbitrary File Upload Vulnerability 4
Edit the source code to ensure that input is properly sanitised.
PHP F1 Upload Shell Upload Vulnerability

Cisco WebEx WRF Player Buffer Overflow Vulnerabilities 4
Please see the vendor's advisory for more information.
Multiple Cisco WebEx WRF Player Vulnerabilities

----------
その他：
レガシーOS
古いOSマシンのマルウェア対策は大丈夫？　セキュリティベンダーの対応状況

Malware in キャッシュ
In caches, danger lurks
Tales from the Crypt: malware rising from Google cached pages
検索サイトのキャッシュにもマルウェアの危険
そうやってマルウェア本体を解析してましたけど（今はやってない・・・）

NTLM反射攻撃
Reflecting on NTLM Reflection
Mozilla Foundation セキュリティアドバイザリ 2009-68

MP3
MP3 Spam Is Back!
「歌愛ユキ」って誰だろう？とか検索しちゃいました

----------
真のオープンソースとは？
サーバーノーガード＆スルー戦法
7&Yのネットショッピングサイトのソースコード、公開サーバー内の「.svn」ディレクトリより流出？
参考？：
システムへの飽くなき愛着が成長の原動力
愛着もいいけど・・脆弱性まで愛さなくてもいいんですよ

----------
| 1261184447 | B | [goog-black-hash 1.46889 update]
| 1261184402 | M | [goog-malware-hash 1.18002 update]
| 336084 |
| 1152139 |
EoF

URL編集できませんのでベタ打ちで

今日のヘッドラインは

Firefox 3.5.6 アップデート (3.0.16)

Adobe (Acrobat)Reader のゼロデイ継続 2010/1/12
※そしてゼロデイのadobeの名声をほしいままに
http://blogs.adobe.com/psirt/2009/12/security_advisory_apsa09-07_up.html

偽セキュソフト名鑑
http://blogs.technet.com/jpsecurity/archive/2009/12/16/3300629.aspx

Sea Monkey 2.0.1
http://www.seamonkey-project.org/releases/seamonkey2.0.1


Conficker data highlights infected networks
http://www.securityfocus.com/brief/1049
Conficker感染レート by ASN
http://www.shadowserver.org/wiki/pmwiki.php/Stats/Conficker
61位 OCN
213位 Emobile
271位 SoftBank
313位 InfoWeb(Fujitsu)
322位 Biglobe(NEC)
352位 Opticom
360位 DION(KDDI)
457位　KDDI
484位 so-net
圧倒的ですね～

ボット感染に注意：フィッシング等に悪用される国内ユーザーのパソコン多数
http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2095
so-netもずいぶん長い間感染ノードがあったんですけど、最近みなくなりましたね
テイクダウンしたのかな？

信州大学がファイアウォールを刷新、ファイル共有ソフトなどを遮断
http://www.itmedia.co.jp/enterprise/articles/0912/16/news042.html
どんなルールなんだろう～

電話創業の日 1890年（明治23年）東京と横浜の間で電話が開通した。
紙の記念日　1875(明治8)年、王子の抄紙会社（現在の王子製紙が営業運転を開始
ボストン茶会事件 1773年

----------
出張中：寒い

----------
X'mas Present from..?
なにやらまた改竄が始まったらしい
「アニたまどっとコム」のサイトが改ざん被害。さまざまな脆弱性を突く処理が・・・
8080系の亜種ですか・・
これ、達が悪いのが、
CVE-2008-5353
を突くJavaExploits攻撃を仕掛けてるタイプで、この脆弱性の残ったJRE/JDKを残しているユーザが非常に多いんです。
[レポート] クライアントアプリケーションの脆弱性を狙う攻撃ツール JustExploit -- 2009.12.02

JavaJREのバージョンチェックを至急行うとともに、必ず古いバージョンのJRE/JDKを削除しましょう。
※特定の地方公共団体で、電子入札を行わないといけない人には弔辞でも詠んでおきますか。

[解決済み] *GNU GPL*　管理画面のアクセスも不能に
短期的には、管理しているサイトすべてでパスワードを変更してください (WP のパスワード、DB のパスワード両方)。
それ、根本的な解決になってませんが・・（苦笑）
こうしたStolen FTP credentialの問題は、「どこから漏洩したのか？」という部分を徹底的に検証しないと意味がありません。漏洩しつづけるノードが１個でも社内に残っていれば、再改ざんや窃取の拡大を招きかねません。
突然エラー表示がされるようになりました

嫌なプレゼントはさらに続く
----------
from Adobe

Adobe 0-day in the wild - again
again , again, again and again
AdobeUpdate.exe
Trojan本体：
ab.exe
MD5:686738eb5bb8027c524303751117e8a9 8/40 (20.00%)
な～んか嫌な感じですね、この検出率は

封鎖：
hXXp://foruminspace ●com
Disable "Acrobat" JavaScript

Adobe Reader and Acrobat Remote Code Execution Vulnerability
When PDFs Attack II - New Adobe Acrobat [Reader] 0-Day On the Loose
New Adobe 0-day
Adobe Acrobat 0-Day Analysis
Adobe Acrobatゼロデイ分析
Adobe investigating Reader, Acrobat exploit reports
Zero-Day Xmas Present
Adobe confirms PDF zero-day attacks. Disable JavaScript now

わ～久々に見た
Adobe Reader/Acrobat Code Execution Vulnerability
指標 5 : Extremely critical

----------
時間がありません

--
Bredolab:
BREDOLAB Regifts Old Spam

ZeuS/Zbot:
ZBOT Targets Facebook Again
既に次のステージも
ZeuS/zbot - VISAカードの不正利用警告を騙って 2
visa.comの偽サイト -- 12/15
plalaは相変わらず・・・

Yahoo Blogも
Yahoo Blogs Used for Drug Spam

.cnドメインの話：
Trend Micro Advisory on CNNIC Domain Registration Requirements
CNNICによる.cnドメイン登録審査の見直し
しかし、これって審査通るまでそのドメインは使えないんですよね？じゃなくってオンライン登録後から５日たてば自動で削除してくれるテンポラリドメインとして使えるってことじゃないですよね？
だとしたら悪さに使うにはより便利じゃないですか。
ああっ・・・そんなフラグを！
China changes registration rules - will spam changes follow?

BIND fix regarding DNSSEC
Important BIND name server updates - DNSSEC
Proposal To Sign the Root Zone Made Public

P forum
P forum におけるディレクトリトラバーサルの脆弱性
本脆弱性は、2009/10/30 リリースの ver 1.28 にて修正されています。
Rocomotion P forum Local File Inclusion Vulnerability 3

Google:
「Googleによるデータ保有が人々の個性を奪う」――セキュリティ研究者シュナイアー氏
「他人に知られたくないようなことは、そもそもすべきではない」
な～んか昔、似たような言い回しあったなぁ・・？と思って探したらコレだったかな
いやならやめてもいいんじゃぞ

Google(2):
Bit.lyピンチ。FacebookとGoogleがURL短縮サービスに参入
帝國はどこまでやれば気が済むのかしらん？

ほとんど読んでない：
Intermediaries to Torpig Attack Sites
Unmask Parasiteの記事は注意して読まないといけないので、紹介のみ

おめでとうございます：
Slashdot.org、100,000 ストーリーに到達

----------
GSBサーバ応答取れません

EoF

年賀郵便特別扱い開始　12月15日から12月25日までの間に年賀状を投函すると、翌年の1月1日に配達される。
書きましたか？
観光バス記念日
ザメンホフの日 エスペラントの考案者の誕生日
※Google TOP がエスペラントの旗になっています。

----------
出張先からなので、快速モード

----------
[IN ZERO DAY]
New Adobe Reader and Acrobat Vulnerability
Adobe received reports of a vulnerability in Adobe Reader and Acrobat 9.2 and earlier versions being exploited in the wild.
またか・・・
We will provide an update as soon as we have more information.

アマゾンのクラウドサービス「EC2」に続く災難--ボットネットと停電障害
まるでボットネット攻撃に対処するだけでは不十分だと言うかのように、同じく12月9日、Amazonのデータセンターの1つが停電に見舞われ、数時間にわたってサービスが中断した。
泣きっ面になんとかですか？

Good News from China
“3. From the day of the submission of online application, if CNNIC does not receive the formal paper-based application material within 5 days or the application material auditing is not qualified, the domain name to be applied will be deleted.”
オンラインでドメイン登録した後、５日以内に「紙の」申請書をCNNICに届かない、もしくは書面に不備があれば、ドメインは無効となり消去される！
汚名払拭を狙っているのでしょうかね～
インジェクション
苦笑

FBI Releases Warning about Scareware
FBIの異例の警報です
Pop-Up Security Warnings Pose Threats
If you receive these anti-virus pop-ups, close the browser or shut down your computer system. You should run a full anti-virus scan whenever the computer is turned back on.
速やかにブラウザを閉じ、コンピュータをシャットダウンし、ウィルススキャンをかけなさい・・っと
参考：
The biggest rogue family

PostgreSQL Security FIXED
PostgreSQL 2009-12-14 Security Update
PostgreSQL 8.4.2 release note
同時に以下のサブブランチにも修正が入っています。
8.3.9
8.2.15
8.1.19
8.0.23
7.4.27
これだけ枝分かれしてると開発者の方大変ですね・・・

Anti-forensics, COFEE vs. DECAF
hXXp://decafme.org/ : 自己責任で

Naked elves distract nerds
What’s the best way to distract an online gamer while you drop some undesirable files onto their system?
日本人的にはドワ子のほうがいいんでない？というのが某氏の意見でしたが・・・（苦笑）

----------
GSBサーバに接続できない～（またミスった・・）
EoF

南極の日 1911年、ロアール・アムンセンが初の南極点到達。ロバート・スコットとの南極点初到達争いは熾烈で、スコットは帰らぬ人となった。
忠臣蔵の日 元禄15年12月14日(旧暦1703年1月30日) 、赤穂浪士（四十七士）が吉良上野介邸討ち入り（元禄赤穂事件）を行った。

----------
出張荷物まとめ中なので、タイトルだけ・・かな

----------
twakuwakuland
googleでyahoo.co.jpを検索すると、twakuwakulandという怪しげなサイトがトップに来ます
非常に危険なのは、Googleツールバーを使ってYahoo!JAPANにアクセスする場合。
「ya」あたりでyahoo.co.jpがグーグルツールバーによって候補として表示され、それを選ぶと、そのままtwakuwakuland.infoに飛ばされてしまうこと。
Google Toolbarの候補機能も考え物ですね・・・

一応、表示されているのは yahoo.co.jp そのものですね
;; ANSWER SECTION:
www.twakuwakuland.info. 1800 IN CNAME yahoo.co.jp.
yahoo.co.jp. 300 IN A 124.83.139.192
yahoo.co.jp. 300 IN A 203.216.227.176

でも何か似たようなドメインが大量にバラ撒かれています
9wakuwakuland.info
bwakuwakuland.info
fwakuwakuland.info
nwakuwakuland.info
wwakuwakuland.info

VALUE DOMEINで CNAMEだけ Yahooにしたのかな？
DNSクエリを増やすことでレピュテーションの向上でも狙ってるのかしらん？

今は無害でも、リダイレクトされて別のところに飛ばされるようになる可能性もありますので、念のためBANしておいてください。

----------
Tiger!
Tiger still hot stuff
ますます、過熱するタイガー・ウッズ報道ですが、当然マルウェアやスパムの標的にもされているわけで・・

Google Trends and EDU domains used by Black Hat SEO
.edu ドメインの悪用も指摘されています。

日本語が「まだ」ないのが幸いですね。

----------
318x
Scansafeが指摘していた Massive SQL Injectionですが、攻撃ドメインが変化しているようです。

7o8.net
Google は過去 90 日の間、このサイトを巡回していません。90 日以上前に不審な動作が検出されましたが、それ以降については提供できるデータがありません。
古い革袋ですか・・

----------
あぼ～ん
284 new malicious domains
zeus domains, koobface domains, rfi domains, fast-flux domains, and more. Sources include www.malwareurl.com, atlas.arbor.net, and freepcsecurity.co.uk

removal情報：
clipmarks.com is a false positive and is not associated with malware.

----------
gPhone?
［CG］Google Phoneですべてが変わる

----------
| 1260734424 | B | [goog-black-hash 1.46513 update]
| 1260734402 | M | [goog-malware-hash 1.17876 update]
| 346646 | +79(346567)
| 1123171 |
EoF