UnderForge of Lack

なかなか availaleavailable にならないので・・・
※Lさん、気が付いてるなら、早くおしえてよ（泣）

----------
ダメだ・・笑っちゃだめだ
トレンドマイクロ、ウイルスソフト「ガンブラー」対策で注目 [サーチナ]
腹筋を鍛えておかないとだめですねコレは・・・

参照その２：
[仕事][PC]駆除まで８時間。

----------
間違い？
間違いだらけのGumblar対策

少なくとも、
Q.　GumblarとはGENOウイルスの別名ですか、亜種ですか？
A.　細かく言うと現在Gumblarと呼ばれているものはGumblar.xのことです。亜種の定義がよくわかりませんが、攻撃する脆弱性も違いますし、作成されるファイルも、対策も違いますので別物と考えたほうがいいでしょう。
このへんから既に（この筆者自身が）錯綜してますが？

Gumblar.xの悪用脆弱性は、実はカテゴリー的には変わっていません。Microsoft系が１つ増えただけで、FlashもAdobe Readerも旧来のものです。
問題となっている 8080は 絶賛ゼロディの Adobe Reader CVE-2009-4324 と、Java JRE CVE-2008-5353 の双方がどちらも（メーカPCにプリインストールの多い日本では特に）クリティカルなので、こんだけパンデミックな問題になってるわけですが・・・

更に、8080系の使用している URL文字列をみても、明らかに日本をターゲットにした攻撃になっています。（でないと kakaku.comとか 2ch.netとかを埋め込んでくる意味がわかりません）
このURL文字列は IDS管理者がログをチェックした際に、日本で一般的なドメインが混じっているためスルーしてしまうことを狙ったものです。

相次ぐサイト改ざん(1) 注意が必要なのは「ガンブラー」ではなく「8080」
セキュ会社よりも so-net様のほうが的確ってのはどうなんでしょうね？


かなり恥ずかしいと思うんですが・・・


相次ぐサイト改ざん(2) 新たな改ざん告知サイト12～ヤフー、ブックオフ子会社等
また、Gumblar亜種により改ざん被害を受けたと告知しているサイトを編集部で確認したところ、実際はGumblar.xでも8080でもない、まったく別の種類の改ざんが行われていたことが判明したという事例がある。下記サイトのうち、編集部で種別を確認できなかった分についても同様のケースがあるかもしれないので、この点をご承知おきいただきたい。

実は、あまり表立ってませんが、現在同時進行中のインジェクションには

"元祖" bredlab
Waledac(?)
7o8.net系の残党（js.xxxx.xx.la/xxxxx.js 系）
３ワード.cn 系（8080の亜種かも？）

というマイナーな系列もあって、かなり錯綜しています。

Waledac(?)は、元旦に(puppet様のところでも）触れた、更にイミフメイなインジェクションで、fast-fluxで接続先が変動するためかなり厄介なシロモノです。
これが完全にWaledacかどうか確証はありませんが、Fast-fluxに組み込まれている感染サイトの大部分がWaledacとしてSpamhausにBlackListされているので、Waledacもしくは、その組織から Credentials を買い取った攻撃と思われます。

そういえば、中国では依然として .cssにPE型を埋め込むインジェクションが報告されていますが、これに引っかかる環境って何なんでしょうね（笑）

Q.　結局どうすればいいんですか？
A.　まず、感染していないかを確認してください。
F-secureは感染してたら検出できるんでしょうね～？

実際コイツの感染検出は極めて困難です。トリガーがランダムなマルチドロッパなので、何を埋め込まれているのか全く予測がつきません。はっきりいって、Security Tools をインストールされてしまった環境は、「まだ判りやすいほう」です。
Trojan Dropperの本体は、日々変化しつつ潜伏している可能性がありますので、一度感染してしまうと、一般の方には検出はきわめて困難です。
※だから、So-net様が「感染サイトは、訪問者に感染の危険性を呼びかけるように！」と訴えているわけですが・・・・

シス管の方で、社内に感染ノードがあった場合、炙り出すために１回 DHCP を斬って、全ノードに１個づつIPを振ったほうが早いかもしれません（DHCPのリセットを行い、コロコロIPを変えているケースが確認されています）。怪しげなセグメントが見つかったら、そのセグメントだけ隔離し、WireSharkでsniffしてください。きっと怪しい場所への送信を行おうとしているはずです。そのへんの送信ログを確保できたら、お手数ですが こちら に BotNet C&C と書いて送ってあげてください。(8080って書いて理解してくれるかどうかは？ですが・・・)

余談
Q.　FTPサーバにアクセスできるIPアドレスを制限しておけば大丈夫ですか？
A.　半分は大丈夫ですが、半分は防ぎきれません。防げないケースとして、サイト管理者のマシンが乗っ取られてFTPサーバに侵入されるというのがあります。
サイト管理者(Windows)のマシンが乗っ取られてFTPを使われるって・・どんなケースだよ！
誰か説明してください（笑）

※1 リ（い）モートデスクトップでFTPをそのIPから乗っ取られるとでも？
※2 SSHもろとも陥落して好き勝手にされることを "FTPサーバに侵入される" とは言いませんので念のため


EoF

スキーの日
1911年1月12日にオーストリア陸軍のレルヒ少佐が、新潟県高田（現在の上越市）の陸軍高田歩兵第58連隊の青年将校に、日本で初めてスキーの指導を行なった。このときのスキーは杖を1本だけ使うもので、現在主流の杖2本のものではなかった。
桜島の日
1914年（大正３）、鹿児島県の桜島で大正大噴火が始まったことにちなむ。この噴火によって、大隅半島と陸続きになった。
「科学不信の碑」

----------
今日はたいした話もないので何もなし・・・

にしたかったんですがネ

----------
Adobe's Blacklist
Adobe Reader and Acrobat JavaScript Blacklist Framework Mitigation for Security Advisory - APSA09-07
あまりにもイケてない(via ilion様:8080)、この "Adobe Blacklist Flamework"ですが、実際にどう働くのか、デモが紹介されていました。
Adobe Reader JavaScript Blacklist Framework AM7:45 301

うん、
やっぱりイケてません（笑）
RegEditで文字列入力させるあたりがダメダメです。

Adobe Readerの修正予定は日本時間で、明日の早朝（深夜）になる予定です。

----------
Droid09
Appleが小躍りしそうな事故が・・・

Fake Android Application
Warning on possible Android mobile trojan
Android app steals bank login details
Droid09という名前のマルウェア（製作者も同名）によって、オンラインバンクの情報がAndroid端末から窃取された模様。

不審な（しかもバンキング直結な）アプリを入れちゃいけないってのは当たり前の話なわけですが・・spamと一緒でターゲットが広範囲に拡大すると、それにつれてカモも増えるということです。

尚、第一報を報じた FiestTech は「うちの顧客がターゲットではない！ウチは安全だ！」と述べておられます。
Fraud -- Fiesr Tech

----------
Pidgin
version 2.6.5 (01/08/2010)
Pidgin Security Advisory
CVE-2010-0013
始めまして、CVE-2010（笑）

libpurple

MSN file download vulnerabilityを、当のMSNよりさきに塞いで来るあたりがさすがですね。

----------
realPlayer + activeX
Real Player ActiveX remote buffer overflow poc
そんな「鉄板」な組み合わせは結構です・・・

----------
eNom DOWN
enom
We are currently managing through a DDOS attack. All resources are focused on solving this issue ASAP. More updates shortly.

Customers should begin to see a significant improvement in services. We are still addressing some remaining issues. More updates pending

Update 10amPT: DDOS attack mitigated. Services almost 100% restored. Addressing minor issues now.

All services restored. We appreciate your patience as we worked through this issue today.
こんどはそっちに行きましたか・・・

----------
日本語わかんな・・
広範なIT実務者にセキュリティ知識が求められる理由
コミュニケーションのための共通言語と知識が必要となる。
たしかに、コノ文中の言語は理解できないので、翻訳必要ですネ

----------
PITの生まれる背景
デベロッパーに朗報―Adobeの新CS5はFlashアプリをiPhone向けに自動コンバート
iPhoneの機能に開いた非常に大きな穴だ。

今でもiPhoneアプリの数は膨大だ。しかしひとたびFlashの利用という水門が開かれたら、さらなるアプリの洪水が起きるにちがいない。
あーっ！

----------

ttp://d.hatena.ne.jp/terracao/20091209/1260368742を見て、個人のチラシの裏とはいえ、あんまり変なことは書くまいと心に誓った今日でした。

----------
新コーナー・
今日の 8080 ラウンドロビン　（イヤなコーナー・・・：）

domain : webnetenglish.ru
62.4.85.229 AS6461(MFNX)
62.212.74.148 AS16265(LEASEWEB) あ～ (hosted-by.leaseweb.com)
82.98.231.25 AS8455(ATOM86)
85.17.202.169 AS16265(LEASEWEB) あ～あ (hosted-by.amtex.nl)
195.242.98.212 AS16265(LEASEWEB) あ～あ～ (Internetworx)

AS6461(MFNX) 公式:http://www.mmfn.com/ 8:30AM 応答せず
AS8455(ATOM86) Amsterdam

というわけで、全部オランダに戻ってまいりました（笑）
search: "obfuscated"

どうしたっ！ LeaseWeb！
お前の誓いはそんなものかっ！？

----------
| 1263240023 | B | [goog-black-hash 1.48599 update]
| 1263240012 | M | [goog-malware-hash 1.18564 update]
| 319378 | +2755(316623)
| 1237939 |
EoF