UnderForge of Lack

Archive for 2 月 4th, 2010

2010.02.04 木曜日

Posted in security on 2 月 4th, 2010 by gnome

世界がんデー(

World Cancer Day)

UICC (国際対がん連合) 日本委員会
2010年世界対がんデー（2月4日）のポスター

ぷよの日

ぷよぷよの語呂合わせから
当サイトでは、誤検知（が連鎖することから）の隠語となっています（笑）

銀閣寺の日

足利義政（

室町幕府8代将軍）が、銀閣寺(慈照寺)の造営に着手した

スリランカ

1948年、イギリスから独立

北宋の建国

960年、

趙匡胤が皇帝に即位。この擁立劇(

陳橋の変)は、酒に酔った趙匡胤を軍人が無理矢理即位させたということになっている。

----------
R.I.P. apache 1.3
またこんなことを書くと何か飛んできそうですが・・・

Apache HTTP Server 1.3.42 released (final release of 1.3.x)
The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 1.3.42 of the Apache HTTP Server ("Apache"). This release is intended as the final release of version 1.3 of the Apache HTTP Server, which has reached end of life status.
これまで長い間ありがとうございました。
そういえば、最初に触ったApacheのバージョンっていくつだったかなぁ・・？
Upgrade to to the current 2.2 version as soon as possible. For information about how to upgrade, please see the documentation:

http://httpd.apache.org/docs/2.2/upgrading.html
現行サーバを apache 1.x で運用している方は、Apache 2.2 への移行を視野にいれたほうがいいでしょう。
現行の最終 stable は

2.2.14

Apache mod_proxy "ap_proxy_send_fb()" Integer Truncation Vulnerability 4

Apache HTTP Server 1.3's final update released

R.I.P. Apache 1.x: Apache 1.3.42 marks of end life

----------
[980088]

Security Advisory 980088 Released
じきに日本語も出るでしょうが
address a publicly disclosed vulnerability in Internet Explorer that may allow Information Disclosure for customers running on Windows XP or who have disabled Internet Explorer Protected Mode. At this time we are not aware of any attacks seeking to use the vulnerability.
WindowsXP+IE6で保護モードを OFF にしている場合、情報流出の恐れがあるとのこと。
リモートからローカルのファイルを盗み見れるということかな？

Vulnerability in Internet Explorer Could Allow Information Disclosure
Our investigation so far has shown that if a user is using a version of Internet Explorer that is not running in Protected Mode an attacker may be able to access files with an already known filename and location.
やっぱし・・・
Afficted softwareが IE8とかあるのはキノセイでしょうか？

とりあえず、（IE使ってる人は）

保護モードになっていることを確認して様子見ですね

微妙に続く
----------
Microsoftからのおてまみ

Microsoft Support informs you…
日本国内でも多数着弾しているようです。

9462.officexp-KB910721-FullFile-ENU.zip

officexp-KB910721-FullFile-ENU.exe

MSがこういう形で不特定多数ユーザにメールを送ることはありません（そのための Microsoft Updateですので）

微妙に続く
----------
でもTwitterは
やっちゃったんですよね～

Twitterがパスワード変更を促すメール、フィッシング詐欺で流出か
今後のセキュリティ・フィッシング対策として、一石を投げかける事態だと思うんですが、一般的にはあまり騒がれていません。

というか、こんな原因だったとは・・

Twitter攻撃の原因は Torrentサイトの裏口だった
Twitterが調べたところ、ここ数年来何者かがTorrentサイトを作り、Torrentサービス始めようとする人相手にサイトを売っていたことがわかった。問題は、この人物がサイトに裏口を仕掛けておき、そこが人気サイトになった時に侵入できるようにしていたらしいことだ。多くの人たちがウェブ上で同じIDとパスワードを使い回しているために、このデータによって大量のTwitterアカウントが漏えいした。
・・・・・・・・

Reason #4132 for Changing Your Password

----------
週間脆弱性 2010.02.01

チェックしておきたいぜい弱性情報＜2010.02.01＞

BGM

Internet Explorerのセキュリティ・アップデート（定例外）（2010/01/22）
米アドビシステムズ Shockwave Player 11.5.6.606リリース（2010/01/19）
米アップルセキュリティ・アップデート2010-001（2010/01/19）
RealPlayerのアップデート（2010/01/19）
米シスコ Cisco IOS XRのSSH処理にサービス不能のぜい弱性（2010/01/20）
米シスコ CiscoWorks Internetwork Performance Monitorにバッファ・オーバーフローのぜい弱性（2010/01/20）
Firefox 3.6、Thunderbird 3.0.1リリース（2010/01/21）
キヤノンITソリューションズ製ACCESSGUARDIANにXSSのぜい弱性（2010/01/13）

Firefox 3.6は自動ではupdateされませんので注意しましょう。
Firefox 3.0系のライフタイムは、2010 年 2 月で切れます。

----------
ガンブラーはFTPの夢を見るか
というより、FTP(

RFC959)というプロトコルそのものを破滅に追い込もうとしていますが・・・

コンピュータウイルス・不正アクセスの届出状況[1月分]について
1. 今月の呼びかけ
「 "ガンブラー" の手口を知り、対策を行いましょう」
英語の長文読むよりも疲れる・・・・

で、puppet様のとこ行ってコーヒー吹きました。

いろいろ
確かに、この位置関係だと加害者ですね（笑）

個人的に、gumblar/Gumblar.x/8080 の一番の恐ろしいところは、攻撃者が勤勉すぎる点だと思っています。アクセス先、インジェクション先、送付先、ホスティング、スクリプトをコロコロ手を変え品を変え攻撃してくるので、対処側が追いついてないのです。かといって、検出ルーチンを強化すると、

ぷよってしまうので、セキュ会社も頭が痛いでしょうね。

ちなみに、FTPのパケットモニタリングは gumblar/Gumblar.xにもあった機能ですが、FTPの環境保存ファイルやレジストリからの直接奪取は 8080/QuickSilverの機能であり、Gumblar.Xにも確認されていません。

「FFFTP」をやめてもガンブラーウイルス対策にはならない -- 無題なブログ
このような点から見ても、そろそろ区分をきちんとしないと危険な側面がでてきそうですけど、
ま、

nobody cares .. こまけーことはいいんだよ

という精神でいきましょうかね

参照：

サイト改ざんでウイルス感染を広げる「ガンブラー」対策を～IPAが呼びかけIPAは、「ガンブラー」という言葉を、「Webサイト改ざん」と「Webサイトを閲覧するだけで感染させられてしまうウイルス」を組み合わせ、パソコンにウイルスを感染させようとする一連の手口（攻撃手法）を指すものと定義。その手口を詳しく解説している。
なんとなく、「」が多いあたりに皮肉を感じてしまうのは穿ち過ぎなんでしょうね。

NRIセキュア、「Gumblar」の感染発見に有効なマルウェア検知サービスを提供開始
同サービス」の提供価格は、監視サーバ1台あたり月額36万8000円（税別）。

フォーティネットウイルス対処状況レポート (2010年1月度)

1月のウイルス状況、トップの「Gumblar」に加え「Aurora」も猛威－フォーティネット調べ
ウイルスの活動量によるトップ10では、1位にウェブ改ざんで話題となっている「Gumblar.Botnet」がランクイン。全体の攻撃割合は 31.3％に達した。同レポートによれば、Gumblarは1月6日以降を境に、一気に活動を広げていた。

----------
偽Firefoxアップデートには・・・

Fake Firefox site bundles undead adware

Fake Firefox Update Pages Push Adware
Victims of this scam install the “Hotbar” toolbar by Pinball Corp, formerly Zango.
おまえかっ（笑）

----------
WoWもトークン導入に

Blizzard warns of account theft in World of Warcraft
FFXIには既に導入されているワンタイム･パスワード発行のセキュリティ・トークンですが、世界最大規模で、フィッシングも最大規模な WoWにも導入されるようです。

そして、何個もじゃらじゃ・・

----------
シグネチャ･不正コピー

クラウド上で“カジュアル・コピー”が横行？
スルーカ権行使！

Killing Antivirus, One DLL At A Time

----------
Pushdo Rampages

Pushdo SSL DDoS Attacks
まだ続いている様子

----------
ZeuSも元気いっぱい

Minipost: Fake Photo Zeus -- GarWarner

PhotoArchive.exe7/40 (17.50%)

PhotoArchive Crimeware/Client-Side Exploits Serving Campaign in the Wild -- ddanchev
ZDnetでおなじみの、Dancho Danchev氏は pushdoとの関連も指摘しています。

and ! Happy Birthday !

Happy Birthday ZeuS Tracker!
During the last year, ZeuS Tracker has tracked more then 2′800 malicious ZeuS C&C servers. The ZeuS Tracker has captured more then 360MB ZeuS config files and 330MB binaries.
also Thanks 1und1

----------
MiFi cracked

Verizon MiFi Device Hacked
長い・・
Fortunately, there are a couple of options available to us to mitigate this attack.
* Change the Default PSK
* Change the Default SSIDC

Mifi : myWiFi

----------
Conficker掃討作戦
in マンチェスター警察

Manchester cops recover from Conficker
It is still not clear where the virus has come from but we are investigating how this has happened and are taking steps to prevent this from happening again.
感染経路は不明っと
The council infection of February wound up costing taxpayers £1.5m in lost parking ticket revenue and security clean-up fees.

----------
反撃

Adobe strikes back at Apple over iPad/Flash debacle

Open Access to Content and Applications

どっちもセキュリティホールを掘るのは得意なんですけどね・・・

----------
malcode with WordPress

Wordpress obfuscated javascript pointing to centiyo mal
ああ・・どっかでみたコードがっ（笑）

----------
沿革

8080系(いわゆるガンブラー系)記事のまとめ
結論：あるふぁぶろがーこわい
怖い怖い・・・
錬勤術のほうも気をつけましょうね（気をつけようがないのかっ！）
※手当てなしの勤務の場合はなんて呼ぶのかな（苦笑）

----------
8080
66.225.192.2

AS23352(SERVERCENTRAL)

IL(Chicago)
83.1.83.4

AS5617(Polish Telecom)

200.35.148.184

AS15083(INFOLINK)

FL
213.39.123.11

AS8928(INTEROUTE)

83.222.30.178

AS25532(MASTERHOST)

88.255.162.14

AS9121(TTNET)

212.146.105.75

AS5606(KQRO)

87.118.90.76

AS31103(KEYWEB-AS)

激しく攻撃サーバホスティングの変更が行われました。
というか勤勉にも程が・・

----------
Google Safe Browsing
| 1265227216 | B | [goog-black-hash 1.50250 update]
| 1265227201 | M | [goog-malware-hash 1.19108 update]
| 299554 | +6032(293522) 反転
| 1310611 |
EoF

1 Comment »