Archive for 2 月 10th, 2010

Thanks and Farewell

Posted in Announce on 2 月 10th, 2010 by gnome

WIDEプロジェクトIRCワーキンググループによるIRCサーバ運用終了について

実際にクローズになると思うと寂寥の感があります。

これまで本当にお世話になりました。
改めて感謝します

どうもありがとうございました。

Leave A Comment »

2010.02.10 Microsoft - 如月

Posted in security on 2 月 10th, 2010 by gnome

海の安全祈念日
えひめ丸の沈没事故(※米国時間で2/9)
簿記の日
簿記の原点である福澤諭吉の訳本「帳合之法」が1873年2月10日に慶應義塾出版局から発行された
ふとんの日 [2(ふ)10(と)ん]
ニットの日 [に(2)、と(10)]
蕗の薹の日 [ふ(2)きのとう(10)]
キタノ記念日
漫才コンビツービートにありとの判断から [2(ツー)ビー10ト]
1998年、W3CXML 1.0を勧告

続く
----------
Microsoft2月パッチの日
2010 年 2 月のセキュリティ情報
数多すぎるので各個の脆弱性は、小野寺様のレポートを参照してください。
2010年2月10日のセキュリティ情報 (月例)

補完的な詳解が出ているのは以下の項目:
MS10-007: Additional information and recommendations for developers
MS10-007(Shell)
特別な細工がされたURIを処理する際に、リモートでコードが実行される可能性があります。

MS10-006 and MS10-012: SMB security bulletins
MS10-006(SMB Client)
特別な細工がされたSMBサーバーに接続する事で、サービス拒否または、リモートでコードが実行される可能性があります。
SMBに関する脆弱性ですが、Webブラウザを通じて、不正なSMBサーバーへの接続を誘導することも可能であるため、インターネットにルーター等を介さずに接続しており、 SMB通信がインターネット間で可能な場合は、更に注意が必要です。
MS10-012(SMB Server)
特別な細工がされた通信パケットを受信する事で、サービス拒否または、リモートでコードが実行される可能性があります。
※SMB(137-139/445) を外部(WAN)に開けている悪い子はいねがぁ~

Kernelの権限昇格問題([979682])も、間に合った([MS10-015](977165))のですね。

Details on the New TLS Advisory
[977377] Vulnerability in TLS/SSL Could Allow Spoofing
TLS/SSL の脆弱性により、なりすましが行われる
トランスポート層セキュリティ (TLS) および Secure Sockets Layer(SSL) プロトコルの脆弱性が確認され、Microsoftを含む多くのベンダーの製品にも影響があります。現在、業界全体で対応方法を検討しています。

February 2010 Black Tuesday Overview
Black が戻ってきました
Microsoft Releases February Security Bulletin
Microsoft Patch Tuesday - February 2010
Historic Advisories
Microsoftでオレンジがいっぱい・・・


さて、管理者諸氏様、がんばってパッチを充てますか!
Digg in !


----------
Adobe is Lazy
Jobs氏がFlashを導入しない理由の一つとして、 Adobe Is Lazy! とコキ下ろしたわけですが・・・(Jan.30)

Flash Bug Report
As has been pointed out by the community, there is an existing crash bug that was reported by Matthew Dempsky in the Flash Player bugbase (JIRA FP-677:Necessary Login) in September of 2008 that still exists in the release players.
あ~あ~
こうして、「ゼロデイのAdobe」の地位が不動のものになっていくのですよ・・・

Adobe screw-up leaves Flash flaw unpatched for 16 months
Adobe apologises for unpatched Flash vulnerability
AdobeがFlash Playerの脆弱性を放置、責任者が「過ち」を認める

----------
4Q 2009 Report by McAfee
McAfee Labs Quarterly Threat Report Posted
Spammers piggybacked heavily on leading headlines in 2009, taking advantage of breaking news stories, global tragedies, and other timely events.
spammer共の「時事ネタへの食いつき」っぷりには脱帽ですね。

China is the Worldwide Leader in SQL-Injection Attacks
これには警戒を強める必要があります。
特に phpmyadminをインストールしているユーザは気をつけてください。

----------
Eset report warn to..
ESET 2009年 年間マルウェアランキング
って・・Confickerですか?
いったいどこに潜んでいるのやら・・・

----------
ZeuS attack
VISAを騙るフィッシング(2010/2 /8)
概要:
VISAを騙って偽サイトに誘導しようとするフィッシングメールが出回っています。
メールの件名:
VISA 4XXXX-XXXX-XXXX-XXXX possible fraudulent transaction
czドメインの ZeuS陥落botですね~
ZeuS系のビヘイビアは、マルウェア感染(ゾンビ化)を狙ったものが多かったのですが、今回は釣りのようです。

visa.comの偽サイト -- February 07, 2010
nttkyo784201.tkyo.nt.ftth.ppp.infoweb・ne・jp ゾンビがいるいる・・
VISAをかたるメールにご用心~攻撃を仕掛けているのはボットネット
配下のパソコンがなくなれば、ボットネットは自ずと崩壊する。ネットを利用するユーザー一人ひとりが、ボットに感染しないように、万が一感染しても早期に駆除してボットネットを離脱できるように、しっかりとしたウイルス対策を行っていただきたい。
至極、名言です。

----------
Samba その2
When is a 0day not a 0day? Samba symlink bad default config
When is a 0day not a 0day? When the exploit ends up being just a poor default configuration issue.
そもそも SambaパケットをWAN側に流すようなことは無いでしょうしね
あるの!?

----------
言わなくて良かった・・
Black Hawk Down
いや・・だってベタすぎたし・・

で、当然のことながら、再構築されると
Hacker training site backup lives after takedown by China
鼬の穴を突く作業は延々と続く・・・

----------
Linus compromized Nexus
ケータイ大嫌いのLinus Torvalds(Linuxの作者): Nexus Oneだけはいいね, これなら許せる
認めざるをえないが、Nexus Oneは優れものだよ。ぼくは現物も見ずにネットで携帯電話を衝動買いするタイプじゃないが、でもNexus Oneでやっとピンチでズーム(pinch-to-zoom)ができるようになったというニュースを読んだときは、よし!買うぞ!と思ったね。それに、車に乗るときにはGPSがほしいと前から思っていたんだ。Googleのナビで、ケータイもやっと使えるものになったと感じるね。

いや、ほんとに使えるよ。昨日(きのう)までのぼくではないみたいだね。ケータイなんて、誰かに連絡しなきゃならないときのために、“一応持っている”ものにすぎなかったけど、Nexus Oneは実用性が高いし、しかもルックスがいい。電話機としても使える、なんてことは、まあどうでもいいけどね。
(苦笑)
いや、しかし、携帯嫌いで有名だった Linus氏をここまで変化させるとは・・・

Linuxのリーナス・トーバルズが Nexus Oneに陥落、べた褒め

----------

108 rogue antivirus, fastflux, trojan domains

Sources include www.malwaredomainlist.com, atlas.arbor.net, www.malwareurl.com:
a-roi .jp as AS2516(KDDI)

----------
12ab34
Feb 04 Downloader Trojan "Friends say I am free" from joan@fguang.com
こんな怪しい rar を解凍したりしてはいけません(笑)
※あとこんなパスワードもね!

----------
Google launched Twitter Killer?
その名は Google Buzz
Introducing Google Buzz
内容は・・時間切れ・・

----------
クマー spread worldwide
2 ちゃんねるの「クマー」AA、オリンピックの公式キャラクターに ?
(笑)

----------
8080
第一系統
78.41.156.236 AS6908(DATAHOP)
85.25.152.241 AS8972(PLUSSERVER)
91.121.96.181 AS16276(OVH Paris)
91.121.112.227 AS16276(OVH Paris)
94.23.199.154 AS16276(OVH Paris)

第二系統
77.68.44.169 AS15418(FASTHOSTS)
78.31.107.49 AS24931(DEDIPOWER)
94.23.199.154:重複
188.40.118.68 AS24940(HETZNER)
213.251.164.84 AS16276(OVH Paris)

今日はしっかり二系統に分離中
そろそろ、この計測が辛くなってきました。

また、スクリプトの方にも更に変化があったようで、どこまで勤勉なんだよ!と(不条理な)怒りを感じてしまいます(笑)
「Gumblar.8080」の改ざんコード、規則性が崩れて複数に分裂
こうなると、シグネーチャベースの「スクリプト」検出は意味をなさず、ジャンプ先をチェックするしか無くなりそうです。

※noooo_spam様より 「Gumblar.X陥落サイトのリストを差し上げましょうか?」という大変有難いオファーがありました。

本当にあり難い話なのですが、これ以上の観測をやると、自己破綻するのが目にみえていますので、お気持ちだけ感謝しておきます
m(_ _)m
※というか既に破綻寸前(笑)

もう疲れたよな人へ:
forbidden に対応した polipo で 8080系攻撃を防ぎたければ
とりあえず、しつこく .ru:8080 (nginx)を使っているのは変わってませんので、

^https?://([^/\.]+\.)+ru:8080/
^https?://([^/\.]+\.)+cn:8080/ (過去)

というのは有効な対策の一つです。

----------
Google Safe Browsing
| 1265745640 | B | [goog-black-hash 1.50682 update]
| 1265745602 | M | [goog-malware-hash 1.19252 update]
| 320819 | -358(321177) 微減
| 1350590 |
EoF

Leave A Comment »

ホットワード padding margin WIDE グループ IRCサーバ
割引クーポンまとめ情報 - クー割