UnderForge of Lack

[Notice]
メンテナンス・障害情報:www2,www4サーバのメンテナンスのお知らせとお願い（01月11日11時～18時予定）
となっておりますが、今日既に1度ダウン状態になりましたので、また堕ちるかもしれません。

移転先募集中（泣）

----------
風邪の日
寛政7年(1795)旧暦1月9日、横綱谷風梶之助が風邪（インフルエンザ）で亡くなったことに因む。「タニカゼ」というインフルエンザの俗称は、当時、谷風関が「土俵上で儂を倒すことはできない。倒れているのを見たければ儂が風邪にかかった時に来い」と語った（天明4年頃）ことに由来している。
クイズの日、とんちの日
一休さん（一休宗純）[いっ（1）きゅう（9）]

----------
泣きの一手
7三と
シマンテック、Amebaのウイルス問題で「ノートン」90日体験版を無料配布
シマンテックは、ブログサービス「Ameba」のキャンペーンで配布したブログパーツが改ざんされ、閲覧者をウイルスに感染させていた可能性があることを受け、感染の可能性があるユーザーにセキュリティソフトの90日体験版を無料提供する。
ふむふむ・・太っ腹ですね～

404

・・・・・・・・

追記：
Norton Police City in Ameba キャンペーン -- ブログパーツ改ざんに関する対処方法のご案内
なお、株式会社シマンテック様にて今回の件で影響の可能性のある方を考慮され、特別に、90日無償版の「ノートン インターネット セキュリティ2010」 をご用意していただきました。2010年1月12日より下記よりダウンロードが可能ですのでご利用ください。
ちょっと早かったカナ

----------
後手
6三香成
Web サイト改ざんに関する情報提供のお願い
インシデントの届出 (Web フォーム)
必須

検体提出も可能のようですね。

とりあえずはコレでも貼っておきますか？
ビングレ with "*/ try{window.onload"
※BINGは半角 * をキーワードで検索可能

残念ながら、このパンデミック状態で、1個1個感染ノードを潰していくしかないのが現状です。

先手であれば、去年の5/19の martuz.cn テイクダウンの時にこういう措置＋プラグイン等アップデートの徹底的な周知をやっておけば、ここまで感染拡大することは無かったでしょうに・・・・

放置によって汚染が拡大していく様子は
ウィルス感染サイト報告：さまれぼ！
をごらんになれば一目瞭然です。

JPCERT/CC、Web サイト改ざんおよび Gumblar ウイルス感染拡大に関して注意喚起

続く
----------
負の連鎖
サイト改ざん(1)「告知せず」で感染拡大の恐れ～負の連鎖を断ち切るために

凄惨な状況ですね：：
サイト改ざん(2)ハウス食品、民主党、ローソンなど被害サイト23の改ざん状況

8080のことが言及されていますが、so-netさんは既に去年の7月の段階で、この事態の警告を発しています。
その後の正規サイト改ざん〔後篇〕(3):新たな攻撃手法～「新Nine Ball」「8080」-- 2009.07.02
セキュリティベンダーがまだ命名していないので、ここでは便宜的に8080攻撃と呼ぶことにする。編集部では、この攻撃を6月初旬から観測しているが、見るたびに誘導先が違うほど大量のドメインをとっかえひっかえ使用。編集部が把握しているだけでも、約200のドメインが現在も稼働し続けている状況だ。大半はCN（中国）だが、最近はIN（インド）やPL（ポーランド）、RU（ロシア）、AT（オーストリア）などもチラホラ見受けられる。

　 Googleのセーフブラウジングの診断では、個々のドメインの汚染度は多いものでも3000程度だが、なにせ数が多いので総計は6万を超える。再改ざんによる重複が多数あるとは思うが、Gumblar以来の規模ではなかろうか。今のところまだ国内サイトの被害は見つかっていないが、海外サイトの日本語ページが改ざんされている例はあり、1日付のウェブセンスの記事では、人気の高いファイル共有ソフトTorrentの総合サイト「Torrent Reactor」も改ざん被害にあったという。

　使われている個々のドメインには、欧米のサーバー5基が1セットで登録されているが、全てのドメインが同じセットで動いているので、攻撃サイトは実質5基。早いサーバは1日で入れ替わるが、長いものは20日間以上使用されており、ボットネットの攻撃に見られるような短時間で入れ替わって行く、いわゆるFast-Fluxではない点がまだ救われる。
via
Torrentreactor Website compromised -- Date:07.01.2009

要するに、この時期のものがアップデートして戻ってきただけであって、根本は何も変わっていません。

更に続く
----------
8080（去年7月から仮称）
現在の状況：
インジェクション　/*LGPL*/

使用されている攻撃ドメインとそのURL文字列：
search : obfuscated iframe
blogcatalog-com.google.ie.google-co-jp.webnetloans・ru:8080/yandex.ua/yandex.ua/google.com.tw/google.com/robtex.com/
boston-com.symantec.com.cocolog-nifty-com.worldwebworld.ru:8080/msn.ca/msn.ca/iwiw.hu/google.com/yoka.com/
cbssports-com.shinobi.jp.gamer-com-tw.webnetenglish・ru:8080/foxsports.com/foxsports.com/google.com/statcounter.com/getiton.com/
google-com-sa.plala.or.jp.last-fm.webnetenglish・ru:8080/google.com/google.com/pchome.net/wrzuta.pl/careerbuilder.com/
immobilienscout24-de.zshare.net.ebay-com-au.worldwebworld・ru:8080/hudong.com/hudong.com/biglobe.ne.jp/google.com/wrzuta.pl/
iza-ne-jp.persianblog.ir.seriesyonkis-com.webnetenglish・ru:8080/google.com/google.com/yallakora.com/sabah.com.tr/orange.fr/
kohls-com.ibm.com.corriere-it.worldwebworld・ru:8080/yimg.com/yimg.com/google.com/jugem.jp/ebuddy.com/
meinvz-net.fifa.com.feedburner-com.thechocolateweb・ru:8080/hatena.ne.jp/hatena.ne.jp/ggpht.com/xinhuanet.com/google.com/
orbitz-com.yaplog.jp.tube8-com.webdesktopnet・ru:8080/google.com/google.com/dell.com/myfreepaysite.com/orkut.com/
petardas-com.sitepoint.com.yomiuri-co-jp.carswebnet・ru:8080/realitykings.com/realitykings.com/4shared.com/google.com/ifeng.com/
rottentomatoes-com.google.com.gazzetta-it.thelaceweb・ru:8080/google.com/google.com/dion.ne.jp/anonym.to/playstation.com/
seznam-cz.hsbc.co.uk.kakaku-com.webnetenglish・ru:8080/google.com/google.com/marca.com/allabout.co.jp/iza.ne.jp/
southwest-com.mapquest.com.secureserver-net.guidebat・ru:8080/tigerdirect.com/tigerdirect.com/google.com/uploading.com/yaplog.jp/
stern-de.linkhelper.cn.wikipedia-org.carswebnet・ru:8080/irctc.co.in/irctc.co.in/yaplog.jp/ovguide.com/google.com/
travelocity-com.google.co.za.vnexpress-net.xboxliveweb.ru:8080/google.com/google.com/robtex.com/slickdeals.net/fc2.com/
wiktionary-org.ameba.jp.freeones-com.thelaceweb・ru:8080/bu520.com/bu520.com/businessweek.com/scribd.com/google.com/
xici-net.infoseek.co.jp.wellsfargo-com.thelaceweb・ru:8080/google.com/google.com/sponichi.co.jp/megaclick.com/ipicture.ru/
2ch-net.topshareware.com.gmodules-com.webnetlender・ru:8080/exbii.com/exbii.com/biglobe.ne.jp/voila.fr/google.com/
ggpht-com.news3insider.com.sponichi-co-jp.superore・ru:8080/imdb.com/imdb.com/newegg.com/multiply.com/google.com/
geocities-jp.depositfiles.com.reuters-com.johnsite・ru:8080/en.wordpress.com/en.wordpress.com/ca.gov/google.com/craigslist.ca/

という感じでかなり日本にターゲットをシフトしている様子。
それだけガードが甘いと見られたのか、おいしいと思われたのか・・・

改ざんコードのライセンスを『/*GNU GPL*/』から『/*LGPL*/』へ変更
チェッカーを走らせてたすべてのサイトのコードがキレーにすげ変わってちょっと驚きました。（＾＾;

Gumblar.x vs 8080の宿命の対決（何か間違ってる）の関連話は
ガンブラーウイルスについての誤った情報にご注意ください。
を参照してください。
誤解とその危険点がよくわかります。

もうちょっと続く
----------
8080≒ZeuS?
by Symantec(US):
New Obfuscated Scripts in the Wild: /*LGPL*/
The final payload includes malware like Trojan.Bredolab, Downloader.Fostrem, and Trojan.Zbot, along with security risks such as PrivacyCenter and a number of other misleading applications that may be detected as Trojan.FakeAV. It's important to keep your definition files up-to-date as these files are frequently being updated.

xin765.comの攻撃って、WoWのInfoStealerだったかなぁ・・？
インジェクション
xin765.com 2009-07-04
Up to 55k Compromised by Potent Backdoor/Data Theft Cocktail
a0v・org/x.jsの流れを汲むと？

なんかありとあらゆるBotnet系がゴチャゴチャにされてるような・・・
さてはて？

----------
いつか来た道・・・
Office.Microsoft.Com Search Results Can Lead To Rogue Anti-Virus
Office.Microsoft.Comの検索結果が "Office.Microsoft.Com"のリダイレクションを使っているため、一見 Microsoft.comからの正規リンクに見えてしまう・・・っと

results on office.microsoft.com can lead users to a Rogue AV page.
リダイレクトされる先の Rogue AV(FakeAV)
Setup55530_2045-10.exe Result: 1/41 (2.44%)

googleにも昔ありましたね・・
Google SERPs Redirections Turn to Bots

----------
ZeuS attack against OWA
Targeting OWA users - A report from the Mailbag
We are informing you that because of the security upgrade of the mailing service your mailbox (targeted.user@our.org) settings were changed. In order to apply the new set of settings click on the following link:
httx://our.org/owa/service_directory/settings.php?email=targeted.user@our.org&from=our.org&fromname=targeted.user
Best regards, Our.org Technical Support.
ウチ宛にはまだ来てないなぁ・・残念（何が！？）

settings-file.exe Result: 16/41 (39.02%)

----------
すっかり忘れてましたよ・・
Security Bulletin - Adobe Illustrator CS4 and Adobe Illustrator CS3

Security updates available for Adobe Illustrator CS4 and CS3
なんか手順がカナリうっとおしいのですが、ユーザの方は手を打っておきましょう。

Adobe Illustratorのアップデート公開、深刻な脆弱性を修正

----------
まただ・・
VMware Releases Multiple Updates for ESX
[Security-announce] VMSA-2010-0001 ESX Service Console updates for nss and nspr
ESX 4.0 ESX ESX400-200912403-SG
セフセフ・・

4.0ESXの方はご愁傷様・・じゃなかったアップデートの準備をしましょう（笑）

----------
Microsoft Silent January
2010年1月13日のセキュリティリリース予定 (定例)
小野寺です。
本年もよろしくお願いいたします。
ことしもよろしくお願い致します。

余談ですが、今月のBulletin1は、「緊急」評価ですが、これはWindows 2000のみが緊急で、他の影響を受けるソフトウェアは、「注意」となっています。 Windows 2000も今年の7月でサポートを、いよいよ終了しますが、セキュリティインテリジェンスレポートでもまとめていますが、OSのバージョンの新旧による脅威の差が出ている一例なのかと考えてしまいます。
WindowsXP RTMって・・・まだ使ってる人いるのか・・・

2000SP4が意外と低いのは、そもそも妙なコンポネンツが動かないから・・・

----------
768RSA DOWN
768-bit RSA cracked, 1024-bit safe (for now)
768bitRSAの鍵が破られましたとさ～
768-bit RSA moduli can no longer be recommended." 1024-bit values should be good for a few years still.
あと数年・・・

この研究にはNTTのKazumaro Aoki氏も共同寄稿されています。
Factorization of a 768-bit RSA modulus

----------
Adobeの通ってきた道・・

Security bulletins and advisories

----------
ZIPでくれ
ダウンロード違法化、どこまで合法？　福井弁護士に聞く
Q10：２ちゃんねるなどの掲示板では、画像などをまとめて全部欲しいというユーザーが「ZIPでくれ」などと書き込むことがあります。音楽や映像のファイルをまとめたZIPファイルのリンクが掲示板に貼られて、それをダウンロードした場合は違法？
A10：まず、「ZIPでくれ」というのは、そもそも違法なアップロードを依頼しているという意味で、「教唆行為」と見なされる可能性があります。ZIP ファイルをダウンロードする行為については、誰でもダウンロードできる状態に置かれたケースであれば、違法ファイルと知りながら行えば、違法です。

----------
| 1262980807 | B | [goog-black-hash 1.48383 update]
| 1262980802 | M | [goog-malware-hash 1.18495 update]
| 306609 | -735(307344) もうちょっとで30万を切る！
| 1215616 |
EoF