UnderForge of Lack

Thanks and Farewell FFFTP
banana様の貴重な実検証結果により、FFFTPが完全にターゲットになっていることを受け、FFFTPへの手向けの花を・・・


Dedicated to FFFTP

FFFTPは非常に優れたフリーのFTPクライアントでした。本当に感謝いたします。
しかし、 Version 1.96d [2008/9/23]を最後に更新停止されており、レジストリに ID/Password/接続先 を書き込むため、現在 8080系のマルウェアによって、感染と同時に窃取される危険性があります。
これまでの使用実績に感謝しつつ、ソフトをアンインストールし、以下のレジストリを必ず消去してください

HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host(n) : nは数字
例：
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host0
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host1
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host2
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host3
HKEY_USERS\ユーザー識別番号\Software\Sota\FFFTP\Options\Host4
以下、登録しておいたホストの数だけ・・

代替のFTPクライアントは、何がいいのか、私にもよくわかりません。
私は WinSCPのFTPSモードを使用しています。
※WinSCP の設定方法
保存したパスワードは簡単に復元できるように格納されています。自動的（非対話）な使用を許可する場合では安全にパスワードを暗号化するのは不可能です。もし、パスワードを保存しようとしているシステムの物理的電気的なセキュリティが完全でない場合パスワードを保存しないこと。

FileZillaを使用する際には、絶対にパスワードを保存しないでください。

※FFFTPは、パスワードをきちんと暗号化して、レジストリに書き込んでいます。しかし、OSS(オープンソース）の宿命で、ソースコードを解析されてしまうと、それは意味がなくなります。8080系の攻撃者は日本への攻撃のウェイトかなり重視している証明でもあります。

----------
追記 2010.01.30
流れを見ないでこの記事だけ見たら何のことかわからないかもしれないので補足しておきます。

何が問題なの？
日本語で開発され、日本で圧倒的シェアをもっていると思われるアプリケーションをターゲットに狙われたという点です。

どのみちFTPは平文転送なんだから同じでしょ？
過去に１回でもFFFTPをインストールして使用した環境は、現在は使用していなくてもその残骸がレジストリに残っています。そして運悪くマルウェアに感染したら意図していないにもかかわらずその情報が窃取されます。
※例えば、自分が出先でFTPを使うためにちょっとインストールして、使用後、そのフォルダだけ消したとします。しかしそのレジストリが残っており、もしパスワードを保存してしまったとしたら、誰かがレジストリを消さない限り延々と残り続けるのです。そしてFFFTPを起動できない環境であっても、マルウェア感染の有無にかかわらず、ID/PASS/接続先が窃取される恐れがあります。

対策は無いのでは？
既存の全てのFTPのID/PASSWORDを変更し、現時点でアクセスすることのないIDを消去するしかありません。

他のFTPソフトを使えば安全なの？
パスワードを保存しなければ安全・・・といいきれない点が問題です。
例えば umcTmk7ZhoX2sk6 のようなパスワードを、複数、暗記して置ける人がいるでしょうか？暗記できない場合、どこに保管するのですか？　ポストイットで貼るのですか？　特にFTPの場合、相手からパスワードが発行され、自分では変更できないケースが多々あり、往々にして10桁以上のランダム文字列のことが多いのではないでしょうか？
FUDを煽るつもりはありませんが、初期のGumblar(Martuz)には、キーロガーの存在が確認されていた時期（亜種）も存在します。

なぜFFFTPをやめなればならないの？
FFFTPはFTPのみのプロトコルにしか対応しておらず、当方としては FTPS(21+PASV)の使用を推奨している以上、平文FTPにしか対応していないFFFTPは根本的にNGだと考えています。また、独自パスワードをソースから解析したマルウェア作者ですので、感染すれば当然 iniファイルも窃取されるものと考えなければなりません。現実問題として、FileZillaのconfig fileは既に窃取対象となっていることは実証されています。

----------
セキュリーナ
税金の無駄
という意見には概ね同意しますが、経済産業省そのものが悪いのかどうかは、私は態度保留にしておきます。

【パート①】小中学生のためのインターネット安全教室
【パート②】小中学生のためのインターネット安全教室

こういった擬人化キャラクターや、ビデオ広報によって、セキュリティの啓蒙を図ることそのものには、私は別に否定はしません。むしろ、もっとおおっぴらにやって欲しいと思います。問題は、そのベクトルがあまりにも斜め上に向かっている点ではないでしょうか？

小中学生相手の啓蒙活動なら、例えばTBSのこういう取り組みと全く連携が取れていません。

去年の4月のzlkon.lvから始まった、一連の攻撃がなぜここまで拡大しているのか？、どうしてパンデミックが払拭できないのか？　そういった点を、日本でだれか真剣に考えたことがあるのでしょうか？

少なくとも、CCCにここまで書いてるのですから、それをきちんと CHECK PC 側にも、IPAの警報にもフィードバックしてください。税金を使って、日本でも有数のセキュリティ研究家の人が「監修」してるんですから、もう少しちゃんとして欲しいというのが本音です。

今のままだと、so-netセキュリティ通信 に完全に負けてます・・・
※so-netは、変なメールじゃなくて、ISPの一つであって、セキュ会社ではありませんので念のため。

----------
Adobe
わぁい、日本語だぁ（棒読み）
Adobe ReaderおよびAcrobat用セキュリティアップデート公開
Adobe Illustrator CS3およびCS4用セキュリティアップデート公開

個人的感想は控えさせていただきます(笑)

----------
攻防戦展開中

iPad買って
ダメ！

旗色悪し orz...

----------
　　　　　　　　　　　　　　　　　　　　　
明日は早朝出向なので、ひょっとしたら書けないかもしれません。

ごめんなさいっ２行ほど消し（笑）
Thanks > Iさん
EoF

宇宙からの警告の日
逸話の日
コピーライターの日
初不動
初荒神

----------
久しぶりにウィルスっぽいものを見た
知能テストに見せかけHDDのデータを破壊、危険なワームが拡大
これを実行すると、Windowsシステムの重要部分にワームのコピーが複数作成されるが、厄介なのは、感染してすぐには動作を開始しないため、ユーザーがその時点で感染に気付くのがほとんど不可能な点。しかし感染から20～40日がたった時点で不審なエラーメッセージが表示され、その次に再起動すると、 PC起動時にまず読み込まれるHDDの先頭部分、マスターブートレコード（MBR）の最初の50Kバイトを上書きして破壊してしまう。

どんな知能テストなんだろうと思って探してみましたが・・
Virus Writers Produce Hardware Damaging Code with Win32.Worm.Zimuse
Malware Alert - Win32.Worm.Zimuse.A - The Hard-Disk Wrecker
チェコ語なんてわかりません orz ...

The Hell Angels or, better said, the Malware Angels…
W32/Mseus.Aっと・・これでしょうか？
MD5:0x63A6A43F94C06334E3B9249D374B8114

Computers Worldwide Targetted by a MBR Worm
Esetは Zimuse Removal Tool を用意しています。

VTが見当たりませんでしたが、そこそこ検出してるのではないでしょうか？
MBRを書き潰すというのはよくある手法ですが、最近はデータ窃取系ばっかりだったのでちょっと新鮮な気がするのはきっとキノセイでしょう。

----------
ネーミング・・
Aurora(MS10-002)の穴はもう塞ぎましたか？
MS10-002 Exploit Constructor
あ・・暗黒工作組・・・・

天井から金タライが降ってきそうなネーミングセンスですが、こういうのが出回るようになるとあちこちにブービートラップが仕掛けられるようになる可能性があります。
IE 0day CVE-2010-0249 – Blocking and Tracking
.ms8.cc
.babooa562.com
.fenghuashi.com
.xfbfgw.com
.21npc.com
.9istyle.com NEW
.qvodcom1.com NEW
.d5d3.com NEW
.c5c3.com NEW
.tsqzsb.cn
.21sys21.cn
.23sys23.cn
.fsus.cn
.latax.gov.cn NEW
.nba1001.net
.ynew.net
キリがない気がするのは、いつものことですね・・・・

----------
Facebookの匿名化？
unNamed App
Phantom app risk used to bait scareware trap

そんなものは無い！ということで。

----------
e107
e107 CMS system website compromised
CMSの配布サイトが陥落して、マルウェアへの誘導が行われる・・
なんだかもう、「いつもの光景」になってしまった今日この頃が怖くありませんか？

Possible backdoor in the e107 CMS
そもそもシステム内にもバックドアがあり、それを突かれてホームページが陥落ということ？
失墜した信用を快復するのは大変でしょうが、がんばってください。

e107 Unspecified Vulnerability 4
Update to version 0.7.17 or later.
NOTE: The full install .zip file hosted on the vendor site contained a backdoor. Ensure to install or re-install a clean package from sourceforge.
最新にアップデートしないといけないけど、最新版にバックドアが含まれていた、ということでしょうか？　公式版からではなく SourceForgeからダウンロードするように・・といわれても・・

「ソフトウェアは公式からダウンロードしましょう！」という根底が崩れ去りました。

----------
バレンタインシーズン到来
A Brilliant Proposal: Stay Away from Valentine’s Day Spam!
はいはい・・

去年のは卑怯だったなぁ・・

----------
今日もZeuS
Zeus/zbot - aba.com
aba.com -「American Banker Association」を騙る版です。
ネタはつきませんね。
ほんとに・・
American Bankers Association version of Zeus Bot / Zbot
transactionreport.exe 6/40 (15.00%)

----------
穴ぼこっ

yaSSL Certificate Processing Buffer Overflow Vulnerability 4
Update to version 1.9.9.

Sun Java System Web Proxy Server Multiple Vulnerabilities 4
Restrict network access to the affected services.
A final solution is pending completion.

----------
その他

Hackers Exploit Actor Johnny Depp’s Death Hoax
そのうち、デマを自分で撒き始めそうな気が・・・

Nmap 5.21 released
It is a bug-fix only release instead

Jan 26 dns-bh update
107 new domains to add to your dns sinkhole or malware shunlist:

最近急に Firefox 3.6 が落ちるようになった場合の対処法（YSlow 利用者向け）
もしかして YSlow 2.0.5 を使ってません？
2.0.6 に更新しましょう（2.0.6 のリリースノートには「Firefox 3.6 起動時のクラッシュを修正」とだけ...）
使ってないけど堕ちるのはどうしたらいいんでしょう（泣）
※タブ200枚いっき！いっき！とかするからだ！と言われた・・・

Inside the PlayStation 3 Exploit
ナナメ読みだけではよくわかりませんが Glitch attacks revealed という、Glitch=裏技 のような用法でしょうか？

セキュリティ文化を醸成するための具体策 (1/2)
そのまえに教育を・・・

中小組織の情報セキュリティ相談に対応、「情報セキュリティ相談センター」が設立
情報セキュリティ専任者を設置するのが難しい中小企業などを支援する一般社団法人「情報セキュリティ相談センター」がこのほど設立され、相談対応や専門事業者を紹介するサービスを2月2日に始めると発表した。
期待しておきましょうか
Q:ガンブラーにヤラれちゃったんですけど
A:キャッシュを消してください
のような対応にならなければいいんですけどね

----------
$499だとっ～ぉぉぉ！
ううっ・・・お金ないのに・・・
Apple、タブレット「iPad」を発表　499ドルから

ストレージ容量	Wi-Fi	Wi-Fi+3G
16Gバイト	499ドル	629ドル
32Gバイト	599ドル	729ドル
64Gバイト	699ドル	829ドル

TechCrunch:
名前はiPadだった ―Appleのタブレット、ついにベールを脱ぐ
［CG］電子ブックストアも発表
［CG］iPadの詳しい情報がアップルサイトに
iPadのデモビデオ
AppleがiPadを発表―目玉はiBooks、価格は$500から$830

engadget:
アップル iPad 実機ギャラリー＆インプレッション
速報：アップル "latest creation"イベント
アップル、iBooksで電子ブック市場に参入
アップル iPad はiPhoneアプリがそのまま動作、対応SDKは本日公開
アップル、タブレット端末iPadを発表。499ドルから（仕様詳細&ギャラリー追加）

印象として、「でかいiPhone」なんですが、インパクトはありますね。

あと、当然ながら・・
Apple Tablet Announcement Black SEO -- Date:01.27.2010
やっぱりそう来たか・・・

----------
Gumblar.8080
ラウンドロビンの系列が２つに分離（以前にもそういうことがありました）
yourtruemate.ru.
82.192.88.35 AS16265(LEASEWEB)
91.121.1.99 AS16276(OVH Paris)
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM)

genuinecolors.ru.
80.69.74.73 AS20857(TRANSIP)
91.121.4.99 AS16276(OVH Paris) ***
91.121.86.130 AS16276(OVH Paris)
94.23.4.164 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM) ***

IPは変更なし *** 印は重複
ひょっとしたら他にも分岐しているのかもしれません。

----------
Google Safe Browsing
| 1264604410 | B | [goog-black-hash 1.49731 update]
| 1264604402 | M | [goog-malware-hash 1.18935 update]
| 297049 | -722(297771) 微減
| 1283571 |
EoF