UnderForge of Lack

ちょっとイヤ～な感じっぽいので注意喚起です。

Mozilla Firefox Unspecified Code Execution Vulnerability 4
A vulnerability has been reported in Mozilla Firefox, which can be exploited by malicious people to compromise a user's system.
The vulnerability is caused due to an unspecified error and can be exploited to execute arbitrary code.
The vulnerability is reported in version 3.6. Other versions may also be affected.
え”？

VulnDisco 9.0
People who've seen firefox exploit agree with me - it is a really cool bug, it was an interesting challenge to find and exploit it. The exploit needs some work, but it was quite reliable in our testing.

Attack code for Firefox zero-day goes wild, says researcher

攻撃ベクトルがはっきりしないので、緩和策の提示ができませんが、注意喚起しておきます。

※ど・・どうすりゃいいんでしょう！？
Do not visit untrusted websites or follow untrusted links.
・・・・・・

万国郵便連合加盟記念日 (1877年)
プロレスの日
宇宙ステーションミールの打ち上げ (1986年)

----------
Alureon rootkit

先に謝っておいてよかった～とか思ってませんってば！

[続報2] MS10-015での再起動やブルースクリーンは、マルウェアが原因
Update - Restart Issues After Installing MS10-015 and the Alureon Rootkit
Restart issues on an Alureon infected machine after MS10-015 is applied
The top ten filenames reported in the wild:

TOP10って、まだまだ他にもあるってことですね・・・
感染している可能性がある、もしくは感染しているかどうかが不明なお客様のために、マイクロソフトは、既にルートキットが動作しているシステムから Alureonを検出、駆除するツールを現在開発しており、数週間以内に提供予定です。
国内での感染事例は、そう多くない様子ですので、とりあえず待ちますか・・・

Microsoft: Got Bluescreen? Check for Rootkits
Brian Krebs氏は、現状でのCDベーススキャナー（外部起動スキャナ）として、avast! BART CDや、LinuxDefender Live!の使用を推奨しています。

Tidserv and BSoD
Symantecも自社のシグネチャ名にこだわるなぁ・・

----------
Mozilla Multiple
Mozilla Foundation Security Advisories
3 Critical, 2 Moderate
Mozilla Releases Security Advisories
Firefox users may upgrade to version 3.0.18, 3.5.8, or 3.6 to help mitigate the risks. Thunderbird users should upgrade to version 3.0.2, and SeaMonkey users should upgrade to version 2.0.3 once those updates are released by the vendor

というわけで、Firefox 3.5.x および 3.0.x ユーザはアップデートを行ってください。尚、Firefox 3.6はこの問題に関しては既にFixが行われているためアップデートはありません。
特に 3.0.x はライフサイクルが切れ・・・あれ？もう２月ですよね？（笑）
Firefox の最新版 (3.0.17/3.5.7) を公開 -- 2010/01/06
Firefox 3 向けのセキュリティ更新の提供は 2010 年 1 月で終了します。すべてのユーザに Firefox 3.5 への更新を推奨します。

Firefox 3.5.8 and 3.0.18 security updates now available
but we strongly recommend all users upgrade to Firefox 3.6 as soon as possible.
Mozilla Firefox Multiple Vulnerabilities 4
Mozilla Firefox Unspecified Code Execution Vulnerability 4

RedHat :
[RHSA-2010:0112-01] Critical: firefox security update
そういえば、リポジトリを弄らないと、ず～っと3.0xのままでしたね・・・

Thunderbird 3.0.2 に関してはまだアナウンスがありません。
Mozilla Thunderbird Multiple Vulnerabilities 4
Update to version 3.0.2 as soon as available.

SeaMonkey 2.0.3
SeaMonkey 2.0.3
Mozilla SeaMonkey Multiple Vulnerabilities 4

----------
Cisco
Cisco Releases Multiple Security Advisories
Cisco Catalyst 6500/Cisco 7600:
cisco-sa-20100217-fwsm

Cisco ASA 5500:
cisco-sa-20100217-asa
Cisco ASA5500 Security Updates - cisco-sa-20100217-asa
NTLMv1の認証をスルーできる問題は少し厄介かもしれません。SANSは、OSアップデートが至近で行えない場合は、一時的に NTLMv1(MD4)を使用禁止にする措置を推奨しています。
If an OS update is not easy to schedule in the near future, this might be a better approach short term (or even long term) than using NTLMv1.

Cisco Security Agent:
cisco-sa-20100217-csa
Cisco Security Agent Security Updates: cisco-sa-20100217-csa
From the advisory, specific CSA versions and components are vulnerable to SQL injection and directory traversal (allowing unauthorized config changes for instance), as well as a DOS (Denial of Service) condition.

Ciscoルータを導入しているトコも苦労が絶えませんね・・

----------
3129
インジェクション - 3129
3129って何だろう？と思ったので・・・
Port 3129
[trojan] Masters Paradise 御用達ですか・・・
このIPも、由緒正しい悪意サーバっぽく・・・
89.248.168.168 89.248.168.168

AS29073 29073 AS29073

続く
----------
Thanks for TEH Malware
Thanks for the malware sample!
Here at the X-Force, we catch our fair share of malware from random spammers and phishers just as any corporate or home user does. Today we dive into one of these attacks to show how it works and what these guys are after.
なんか楽しそう・・・

This is the piece of the script that sets up an iframe to download a malicious PDF file, containing exploits for util.printf, Collab.collectEmailInfo, app.doc.Collab.getIcon, and media.newPlayer.
う～ん（苦笑）
これでもかっってくらい、よくもまぁ脆弱性があるものです（感心してどうする！）

感心感心：
Adobe still distributing old vulnerable Reader

！？
PDF trick: getPageNthWord -- Marco

----------
SSL/TLS Report 2010
New Paper: SSL/TLS Hardening and Compatibility report 2010
At last. What started as an "I need an overview of best practise in SSL/TLS configuration"
(中略)
This paper aims at answering the following questions :

日本ではあまり騒がれていない SHA-1 2010年問題とかもあるので、今後の動向を注視しなければなりません・・たぶん

2010年問題こんにちは。
４．　で、そんなに危ないのか？
FUDに惑わされずに適切な方針を示すことが重要ですね。

----------
Kneber
“Kneber” = Zeus
Recently, Symantec observed some high-profile coverage of a threat being reported as a new type of computer virus known as “Kneber.” In reality Kneber is simply a pseudonym for the Zeus Trojan/botnet.

"kneber"
Hilary Kneber hilarykneber＠yahoo.com
なるほど・・

Zeus botnet continues: 2,500 victims estimated

----------
IaaSとかDaaSとかわけわかりません！
Defining Clouds - " A Cloud by any Other Name Would be a Lot Less Confusing"
そういう BuzzWordを増やさないでください（笑）

----------
亡霊
英国にはどっかに亡霊でもいるのかしらん？
Another NHS hospital stricken with Conficker virus
The infamous Conficker worm has infected yet another NHS facility.

----------
ま、そんなもんでしょう
「トロイの木馬はよく知らない」――オンラインサービス利用者のセキュリティ意識
どういう質問内容だったか知りたいですけどね～

----------
あとは落穂・・

Conficker Spam
Another Fake Conficker Infection Alert campaign

Conficker Spam
「iTunes」で多発する不正請求トラブル～消費者庁が公開質問状

eBay CSRF
eBay Security Vulnerabilities Found by Researcher

PIT: Lotus Notes
IBM Lotus Notes Unspecified Buffer Overflow Vulnerability 4
Unpatched

PIT: Google Desktop
Google Gadget ActiveX Control ATL Templates Vulnerability 4
Fixed in version 5.9
※本当に治っているかは確認できず（MS10-008の問題です）

possible?
政府が検討中のISPに対する「海賊版を自動検出する技術の導入」義務付け、影響範囲は広い？

----------
8080

へ？ Pegel なんですかそれは？（笑）

現在改良中：
countに、各ドメインの被参照数を加算してみた結果：
mysql> select ipstr, count, cdate, mdate from ips order by count desc;
+-----------------+-------+------------+------------+
| ipstr | count | cdate | mdate |
+-----------------+-------+------------+------------+
| 80.69.74.73 | 2197 | 1266370520 | 1266535840 |
| 94.23.11.38 | 1897 | 1266370520 | 1266535840 |
| 91.121.24.139 | 1825 | 1266370520 | 1266535840 |
| 91.121.172.32 | 1289 | 1266370520 | 1266535840 |
| 91.121.108.53 | 1262 | 1266370520 | 1266535840 |
| 188.72.211.253 | 1119 | 1266370520 | 1266535840 |
| 87.233.139.100 | 452 | 1266370520 | 1266535840 |
| 213.251.164.84 | 395 | 1266370520 | 1266535840 |
| 188.40.118.68 | 395 | 1266370520 | 1266535840 |
| 94.23.199.154 | 395 | 1266370520 | 1266535840 |
| 78.31.107.49 | 395 | 1266370520 | 1266535840 |
| 77.68.44.169 | 395 | 1266370520 | 1266535840 |
| 89.110.147.181 | 287 | 1266381059 | 1266535232 |
| 62.75.218.192 | 197 | 1266377427 | 1266533439 |
| 88.80.221.41 | 185 | 1266442849 | 1266535840 |
| 84.200.227.144 | 164 | 1266377427 | 1266511839 |
| 91.121.1.99 | 101 | 1266408039 | 1266535232 |
| 213.251.133.159 | 76 | 1266397250 | 1266528046 |
| 87.106.247.193 | 18 | 1266403250 | 1266525639 |
| 78.41.156.236 | 3 | 1266490843 | 1266492039 |
+-----------------+-------+------------+------------+
20 rows in set (0.00 sec)
ラウンドロビンはカナリ頻繁に変更されていますが、投入IP(陥落サーバ）はたいした量じゃないのかも
87.106.247.193 AS8560(ONEANDONE-AS)
が新IPです。

----------
Google Safe Browsing
| 1266523226 | B | [goog-black-hash 1.51331 update]
| 1266523202 | M | [goog-malware-hash 1.19468 update]
| 326762 | +5(326757) びみょう・・・
| 1387248 |
EoF

嫌煙運動の日
エアメールの日
Microsoft Windows 2000発売日 (2000年) should be down 2010.06.30
冥王星の日 reason why I've been "Pluted"

----------
TOP 25
SANSとMITREが共同でまとめた、「最も危険なプログラム・エラー」TOP25が発表されました。
2010 CWE/SANS Top 25 Most Dangerous Programming Errors
様々な側面から書かれているので興味深いものがありますが、トップはやっぱり
[CWE-79] Cross-site Scripting (XSS)
ということになりました。
以下
と続きます。

いろいろ面白そうなので、時間があるときに読んでみてはいかがでしょうか？

What Errors Are Included in the Top 25 Programming Errors?
Experts reboot list of 25 most dangerous coding errors
※去年のリスト： Experts trumpet '25 most dangerous' programming errors -- 13th January 2009

2010 SANS Top 25 Most Dangerous Programming Errors Released

----------
Hyperplasia BOTs
最近、BOTの種類が多すぎてわけわからなくなりつつありますが・・
Keeping an Eye on the EYEBOT and a Possible Bot War
EYEBOT is still just a “newbie,” but should the ZBOT criminal minds choose to respond, there is some potential for a Bot war to ensue.
そこは "noob" でしょうに（違）
EyeBot : as SpyEye Bot versus Zeus Bot

Targeted Attacks Now Using Bredolab Malware
Bredorab(email添付型）
※Bredolabは 8080系との関係が指摘されていますが、実際のところは不明です。

Undead botnets blamed for big rise in email malware
Cutwail(Pushdoの系列？）の復活（ゾンビも真っ青の生命力だなぁ・・）
一部には Mega-D(Ozdok)も復活しているとの話もありますね
Smashing the Mega-d/Ozdok botnet in 24 hours の活躍もあまり長続きしなかったようです・・・

BOTに陥落するようなノードは数は少ない（はず）ですが、だからこそ全く気が付かないまま延々と感染し続けることでしょう。第三者によるテイクダウンのための取り組みが重要です。
また、周辺（親戚・友人など）の「あまりネットに詳しくない」ユーザへの啓蒙活動を進めていきましょう。

微妙に続く
----------
Confickerがきたぞ～
Dear Microsoft Customer:
Conficker.B Microsoft Warning spam rehashed
Bredolab型ですね・・
有名になりすぎたウィルスは、こういう使われ方をすると・・

「ガンブラーが来たぞ」スパムとか詐欺とかありそうですね

※既にあるってですか！？


----------
****タイマー
‘Time Bomb’ May Have Destroyed 800 Norfolk City PCs
バージニア州ノーフォークのPC及びラップトップのうち、784台が「得体の知れない何か」によって文字通り NUKE'ed されたとのこと。
外部からのウィルスではなく、何者かが仕込んだ「時限爆弾」によるものと見られています。
functioning System32 directory weighs in at around 1.5GB, but the computers infected with this as-yet-unidentified malware had their System32 folders chopped down to around a third of that size, rendering them unbootable.

嫌な時代になったものですね・・・

----------
こっちのアップデートのほうが早いぞ～
“死のブルー・スクリーン”を引き起こすルートキットをハッカーが改訂か？
セキュリティ研究者らは2月16日、このルートキットの作成者がプログラムに変更を加えたため、もはや、MS10-015とは干渉しなくなったと報告している。「一昨日の更新でブルー・スクリーンの発生が回避されるようになった」とロシアのセキュリティ・ベンター、Kasperskyの研究者であるロエル・スカウウェンバーグ（Roel Schouwenberg）氏は述べている。
リモートから「改定」rootkitを送られて「正常」に戻ったノードとかありそうですね（苦笑）

不安になった方は
の各ファイルのハッシュを取って、
Find a Hash
に投げてみるのもいいかもしれませんね。
※Windows7 のファイル群はまだ登録されていません。

Tidserv and MS10-015

----------
新サービスの強要は
Security bug opens Google Buzz to hackers
A new Buzz start-up experience based on your feedback

とうとう EPICからダメ出しされる始末：
EPIC fail: Google faces FTC complaint over Buzz privacy
EPIC Urges Federal Trade Commission to Investigate Google Buzz
EPIC's complaint cites clear harms to service subscribers, and alleges that the change in business practices "violated user expectations, diminished user privacy, contradicted Google's privacy policy, and may have violated federal wiretap laws.
あ～あ～

Google Buzz―新サービスを焦って無理強いするのは禁物
企業が新しい製品を既存の製品に無理やり押し込もうとする誘惑がいかに強いかという問題だ。新しいサービスを離陸させるのはどんな会社にとっても苦しい努力の連続になる。既存のサービスの一部として公開することによってユーザーに新製品を無理強いするほうがはるかに楽だ。しかし今まで私が見てきた例からいうと、ユーザーはサービスを無理強いされると必ずすぐに吐き出してしまう。
TechCrunchは、写真のチョイスが絶妙ですね

----------
Live Flawed?
Windows Live suffers user details identity crisis
after some users of the service complained that they could see other people’s accounts.
Short outage, now resolved
Outrageだけではなく、不正規ログインが行われた可能性があると・・

Windows Liveユーザは念のためパスワードの変更を行った方がいいかもしれません。

「Windows Live」で他ユーザーのアカウントにアクセスする不具合--MSが調査を開始

----------
銅メダル回避
2009年下半期 Tokyo SOC 情報分析レポート
日本でGumblar.X攻撃（注1）によって改ざんされたWebサイトの数は世界で4番目
（注1）本レポートでは、2009年10月から12月にかけて行われた一連のドライブ・バイ・ダウンロード攻撃と、この攻撃に関わる一連のWebサイト改ざん攻撃を、便宜上「Gumblar.X攻撃」と呼称します。

こんなメダルいりません！（笑）

微妙に続く
----------
2002/07/31
インジェクション
Ilion様のレポートにあるように、相変わらず日本語の解説はありませんが・・・
AdobeReader本体(AcroRd32.exeやAcroRd32.dll)は9.3.0のままです。
ダイアログに表示される「9.3.1」はレジストリに設定されています。
このAdobeの「やる気のなさ」はどの辺から生まれてくるんでしょうかね？（苦笑）

Microsoft ATL の脆弱性(MS09-037)について
わかってるだけでも、これだけの問題を引き起こしている ATL ですが・・・

そしてsecuniaも苦言を
Serving insecure software
Serving vulnerable versions is not going to improve these sad statistics.

Adobeのあの時代はもう戻ってこないのでしょうか？
20 Years of Adobe Photoshop -- WebDesigner Depot

----------
偏見
じゃないと思いますけど
やっぱり再生！黒鷹安全網（Dark Hawk Safety Net）

----------
pit

Multiple File Attachments Mail Form Arbitrary File Upload Security Issue 4
unpatched

Facebook Photo Uploader ActiveX Unspecified Vulnerability 3
Update to the latest version
[MS10-008] ActiveX の Kill Bit の累積的なセキュリティ更新関連

Kerberos KDC Authorization Denial of Service Vulnerability 3
MIT krb5 Security Advisory 2010-001
patch: krb5-1.7.2 and upcoming krb5-1.8

iTunes 9.0.1 .pls file handling buffer overflow
Verified: no

----------
逃げられない・・・
「電磁波アレルギー」の男、携帯電話や電子機器の利用中止を求め隣家を訴える
実際問題、どうやって逃げるんでしょうね・・・

----------
犯人は！
マイクロソフトのウイルスソフト

----------
8080
現在改良中：
cronで10分おきに廻して収集してみた結果：
countは各ドメインの参照数ではなく、「ラウンドロビングループ」の被参照数です。

mysql> select ipstr, count, cdate, mdate from ips;
+-----------------+-------+------------+------------+
| ipstr | count | cdate | mdate |
+-----------------+-------+------------+------------+
| 80.69.74.73 | 457 | 1266370520 | 1266448852 |
| 91.121.108.53 | 231 | 1266370520 | 1266448852 |
| 91.121.172.32 | 296 | 1266370520 | 1266448852 |
| 94.23.11.38 | 428 | 1266370520 | 1266448852 |
| 188.72.211.253 | 243 | 1266370520 | 1266448852 |
| 91.121.24.139 | 433 | 1266370520 | 1266448852 |
| 77.68.44.169 | 111 | 1266370520 | 1266448852 |
| 78.31.107.49 | 111 | 1266370520 | 1266448852 |
| 94.23.199.154 | 111 | 1266370520 | 1266448852 |
| 188.40.118.68 | 111 | 1266370520 | 1266448852 |
| 213.251.164.84 | 111 | 1266370520 | 1266448852 |
| 87.233.139.100 | 116 | 1266370520 | 1266448852 |
| 62.75.218.192 | 13 | 1266377427 | 1266443442 |
| 84.200.227.144 | 10 | 1266377427 | 1266420053 |
| 89.110.147.181 | 45 | 1266381059 | 1266445234 |
| 213.251.133.159 | 14 | 1266397250 | 1266448852 |
| 87.106.247.193 | 3 | 1266403250 | 1266404428 |
| 91.121.1.99 | 6 | 1266408039 | 1266430854 |
| 88.80.221.41 | 2 | 1266442849 | 1266443442 |
+-----------------+-------+------------+------------+
しくしく・・スペースがなくなってしまうのですよ・・・
※dateはunixtimeです・・って見ればわかりますね。

TRANSIPが圧倒的ですね（笑）

あ・・あと、Googleさんごめんなさい、そしてありがとう（笑）
# dig @8.8.8.8 (悪意ドメイン x 28) x 6 x 24 /day

----------
Google Safe Browsing
| 1266436835 | B | [goog-black-hash 1.51259 update]
| 1266436802 | M | [goog-malware-hash 1.19445 update]
| 326757 | +1126(325631) 増えてる増えてる
| 1383634 |
EoF

天使の囁きの日
中部国際空港開港記念日(2005)

----------
[UPDATE NOW]

Security updates available for Adobe Reader and Acrobat
CVE-2010-0186
The vulnerability could subvert the domain sandbox and make unauthorized cross-domain requests.
CVE-2010-0188 *Reserved*
The vulnerability could cause the application to crash and could potentially allow an attacker to take control of the affected system.

相変わらず、ホームページの更新は遅い（いつものこと）ですので、Reader起動後
ヘルプ → アップデートの有無をチェック でアップデートしてください。
今回も勝手に (Acrobat)JavaScriptが ONになることはありませんでしたが、念のため各自で確認することをお奨めします。
※Acrobat JavaScriptはデフォルトでONになっています。

JIT SPRAYに関しては全く言及がありませんので、現時点では不明のままです。

----------
HOLY PIT with Buzz
何か新しいことをやると必ずといっていいほど何かを引き起こす Google帝國ですが、今回もまた・・・
Googleの新機能「バズ」で思わぬ個人情報公開～個人情報管理に気をつけて
Googleによると、開始から2日で数千万人が利用し、900万件のつぶやきが交わされたという。ところが、ユーザーがバズを利用したら、Gmailで使用している自分や送信相手の氏名など個人情報が、意図せずに公開されてしまった。

何が起こっているのかわかりにくいので、puppet様に振ろうっ！（笑）
Google Buzzの落とし穴
ここまでやられると、確信犯的ですね（苦笑）
ちなみに Google Appsの各 Gmail Accountsには Buzzは出てきていなかったので、組織利用のところは（今のところ）安全のようです。が、ある日突然出てこないとも限りませんので、BrowserMailではなく、メールクライアントから取得するようにしたほうが無難です。
（ついでにChatもOFFにしたほうが良いでしょうね)

Googleのプロフィールもよく見れば、デフォルトで「表示」にチェックが入っていることがわかるはず。こうしたことをよく確かめて、自分自身で知らせていい情報と知られたくない情報を整理し、公開と非公開のいずれかを決めて実行するようでありたい。
というよりも、デフォルトで「公開」というGoogleの姿勢に問題があるのか、日本の環境と馴染んでいないのかは不明瞭ですね。(各国でも騒がれているので、やはり問題なのでしょう)
いずれにせよ、こうしたサービスに実名や、クリティカルな情報を登録しないことを各自が認識する必要があります。

「インターネット上」へのデータ保管は、意図しない第三者がそのデータにアクセスできる可能性を排除できない

参考：
今度はGoogleマップで意図しない個人情報流出騒ぎ -- Nov,2008
Google takes flak for sloppy privacy protection in Buzz
The Wizard of Buzz
What does it mean? If you have a Google Reader account, then your public posts and shared items are automatically displayed in Buzz. Similar to this, Picasa also shares public photos to Buzz by default.
Google Buzz bug exposes user geo location
That means an attacker might be able to hijack victims' account simply by tricking them into visiting a booby-trapped link.

----------
これじゃぁショウガナイね
Report: Malicious PDF files comprised 80 percent of all exploits for 2009
去年の８月のレポートですが、updateしていない (Acrobat)Readerユーザが 85%、Flashユーザも80% となっています。
実質的にはもう少し比率が下がってはいるでしょうが、それでも圧倒的に「アップデートしていない」ユーザが多いのもまた事実です。

どうやったら、こうした「アップデートしない」（そもそもアップデートという用語そのものの存在意義を知らない）ユーザに啓蒙できるのか・・・
誰かいい案あったら教えてください（笑）

参考：
わかりますか？ この言葉～「プラグインの更新なんて無理！」という方に
伯母がわからなかったという言葉は、「コード実行」「ブラウザ」「スパムメール」「アンインストール」の4つ。そう言われればそうかもなあ、と思わせるラインナップです。伯母以外にも、これらの言葉がわからない人がきっといるでしょう。

----------
週間脆弱性 2010.02.15
チェックしておきたいぜい弱性情報＜2010.02.15＞ BGM

いつもありがとうございます。
Tomcat 6.0.24は気が付いてませんでした。

----------
SCHANNEL強化
Harden SSL/TLS - Tool release
SSL/TLSの暗号化パッケージ SCHANNEL のCipherを明示的に変更できるツールがG-secより公開されています。
いろんなところと競合しそうな気もしないでもありませんが、試験的に導入してみようかな～

参考： ECC P-521
Sun Java System Web Server 7.0 が楕円曲線暗号 (ECC) に対応したことの意味

----------
そろそろ・・
Windows 7の「認証回避ツール」を検出するプログラム、MSが提供へ
そういえば、そろそろ RC1の使用期限が来ますネ。
3/1からは２時間おきに強制再起動＋保存されないという素敵な仕打ちが待っていますので気をつけましょう。

----------
黙祷、そして・・
リュージュの公式練習中に不慮の死を遂げたNodar Kumaritashvilii選手に哀悼を、
Olympic SEO Poisoning
Various Olympics Related Dangerous Google Searches
五輪関連の検索に要注意、結果ページに不正リンク

spammer共にデリカシーを求めることは無理のようです。

qooglesearch・com as 64.151.79.34
　AS26228 (SERVEPATH)
　
----------
Botnet List
Top-10 Botnet Outbreaks in 2009
2009 saw many many new botnet outbreaks and advancements in their criminal management.
Zeus, Koobface が多いのはわかるんですが、ClickfraudやSpamfraud というのは、複数のMalwareで構成されるものらしく、C&Cから判断した区分のようです。

----------
2001:0000:
IPv6表記にはどうしても慣れないのは私だけでしょうか？
Teredo request for packets
Teredo "stray packet" analysis
気味の悪いと感じる人（もちろんIPv6に無縁）は Port 3544(UDP)を塞いでおいたほうがいいかもしれません。

----------
WHOISの表記に関するパブコメ
Public Comment: Draft Report on WHOIS Accuracy
WHOISってウソだらけかと思ってましたよ！


「本町TSビル 6F」だらけですし（笑）


----------
炉
100 New Domains
Sources: www.malwaredomainlist.com, malwareint.com, abuse.ch and more:

----------
実験の結果
Cascading false positives

まだ続けるのか、これ・・・

----------
すわり心地のよさそうな・・
テレビを買ったお話。
君がそこに座っていられるのもあと数日の間やけんね！！

近所で買い物するときは 10円20円が重要だけど、大型の買い物のときはマヒ状態・・・

----------
進化
Gumblar.xの脆弱性を突く不正なコードにJavaを悪用する処理？
2010年2月に活動を再開した「Gumblar.x」の改ざん攻撃ですが、16日ぐらいにJava（JRE）の脆弱性を突くっぽい処理が出現してます。
いつもお世話になります。

Gumblar.xといい、8080(Pegel)といい、この技術力と根気を別のトコに費やして欲しいですね・・・

----------
8080
digってリスト化するルーチンができたので、試験運用のために、３０個くらいドメインを突っ込んでみたところ・・

結果：

[0] => 80.69.74.73
[1] => 87.233.139.100
[2] => 91.121.24.139
[3] => 91.121.172.32
[4] => 94.23.11.38

[0] => 62.75.218.192 *新* AS8972(PLUSSERVER)
[1] => 88.80.221.41 *新* AS39023(IU-AS)
[2] => 91.121.108.53
[3] => 94.23.11.38 (重複)
[4] => 213.251.133.159

[0] => 80.69.74.73 (重複)
[1] => 91.121.24.139 (重複)
[2] => 91.121.108.53 (重複)
[3] => 94.23.11.38 (重複)
[4] => 188.72.211.253

[0] => 77.68.44.169
[1] => 78.31.107.49
[2] => 94.23.199.154
[3] => 188.40.118.68
[4] => 213.251.164.84

[0] => 80.69.74.73 (重複)
[1] => 91.121.24.139 (重複)
[2] => 91.121.172.32 (重複)
[3] => 94.23.11.38 (重複)
[4] => 188.72.211.253 (重複)

多すぎだろ！！！ orz・・・
泣きが入りそうです。

----------
Google Safe Browsing
| 1266350452 | B | [goog-black-hash 1.51187 update]
| 1266350402 | M | [goog-malware-hash 1.19421 update]
| 325631 | -79(325710) 微減
| 1379809 |
EoF

天気図記念日
寒天の日
エコの日

----------

明日（今日夜半以降）、Adobe Reader/Acrobat のアップデートが予定されています。

あまり大きな話はありませんので、落穂ひろいモード（話半分）で読んでください。
※右側の怪しげなマーキングは、毒素注意報です（毒気に弱い方はご遠慮ください！）

----------
Whitelist Hash DB
New ISC Tool: Whitelist Hash Database
SANSの新しいサービス 正規ファイルかどうか調べるための MD5/Sha-1ハッシュデータベースが開設されました。
*clap* *clap* *clap*

Find a Hash
Current "good software" database size: 39,944,023 samples.
このデータベースは、NISTの発行しているNIST National Software reference Libraryを使用しており、現時点では Windows7のファイルは含まれていませんが、自分のシステムファイルが「汚染されて太ってないか（笑）」調べるのに大変重宝しそうです。

現在はまだベータテスト中ですので、何かあったら jullrich - ＠ - sans.edu までレポートして欲しいとのことです。

----------
Wormの拡散手法
Worms 2.0
I love my job, and one of the main reasons is that everyday I see something new or at least different. I am always surprised on how the cybercriminals are able to adapt themselves and their creations to new technologies. Today I’ll show you the worm Spybot.AKB.
P2P経由やメールで飛んでくるわけですが、前も紹介したように 明確に Firefoxをターゲットにしているのが特徴です。

感染すると、SERPを改ざんし、予期しない結果を表示させられるようになります。

もっとも多い感染源となっているのが TwitterやGoogle Buzz のツールを装って飛んで来るようです。（新しいもの好きに）Firefoxのインストール率が高いため、更に感染が拡大しているという図式なのでしょうか？

----------
どんなサポートだよ！
サポートを装い金銭を狙う偽ウイルス対策ソフトに注意――シマンテックが報告
だが、異例なことに、Live PC Careの無料試用版には、大きな黄色い「オンライン・サポート」ボタンが用意されている。
　ユーザーがこのボタンをクリックすると、担当者につながるようになっており、担当者はインスタント・メッセージでこの製品に関する質問に答えるのだ。
　Symantecによると、質問にはスクリプトで自動応答しているのではなく、生身の担当者が直接応対しているとのこと。「それが本物らしさを演出している」と、Symantec Security Response部門の開発マネジャー、マーク・フォシ（Marc Fossi）氏は指摘する。「オンラインでの技術サポート担当者を抱えているのだから、これは本物の製品に違いないと思うわけだ」
なんというか・・いろんな意味でスゴいですね・・・

引っかかった人向け：
Remove Live PC Care (Uninstall Guide)

関連：
Rogue AV exploiting Haiti earthquake
FakeAlert-PC-Care
newsystem-guard・in as 94.228.209.223
　AS47869 (NETROUTING )
securityearth・cn as 91.207.192.24
　AS9269 (CTIHK CITY TELECOM )
pay1.livepcguard・com as 94.102.63.61
　AS29073 (ECATEL )

----------
OOOo 3.2の日本語障害
「日本語環境改善拡張機能」とOpenOffice.org 3.2で起きる不具合を回避する拡張機能をリリース
2月11日にリリースされたOpenOffice.org 3.2に「日本語環境改善拡張機能」をインストールすると、Writerの起動時に「一般的なエラー」ダイアログが表示される問題があります。これは Writerの標準として設定したテンプレートの呼び出し時に起きる、OpenOffice.orgの不具合です。以下のように、 IssueTrackerに「不具合」として登録済みです。OpenOffice.org 3.3で修正される予定です。また、[OK]ボタンをクリックしてWriterを起動後、動作に支障がないことが確認されています。
それは「OK病」になるので、企業的にはNGでしょうね・・・・

しかし、毎回「一般的なエラー」画面が表示されるのは困るという方のために、Writerの標準テンプレートのみ無効とする「Writerテンプレート無効」拡張機能（ファイル名はNoWriterTemplate.oxt）を用意しました。OpenOffice.orgがバージョンアップされ、上記の Issue #108078が修正されれば、「Writerテンプレート無効」拡張機能はアンインストールしてください。
OpenOffice.org ドキュメントプロジェクト
内の、NoWriterTemplate.oxt(ダウンロード注意)を導入してください。
3.3がリリースされたら、拡張機能のアンインストールもお忘れなく。

迅速な対応の、OpenOffice.org ドキュメントプロジェクトに感謝します。

※OOOoOoOoOOooo ・・・・って知ってる人いるのかな？（苦笑）

----------
自転車の英雄もクラッキング？
Arrest Warrant for Floyd Landis
NYTのReferは怖いので無し（笑）
Floyd Landis

by Hacking Arrest Warrant Issued for Tour de France Cyclist
嫌な世の中になったものですね

----------
禁固13年
Criminal hacker 'Iceman' gets 13 years
Max Ray Butler, who used the hacker pseudonym Iceman, was sentenced Friday morning in U.S. District Court in Pittsburgh on charges of wire fraud and identity theft. In addition to his 13-year sentence, Butler will face five years of supervised release and must pay US$27.5 million in restitution to his victims, according to Assistant U.S. Attorney Luke Dembosky, who prosecuted the case for the federal government.

過去の記事(Iceman "Max Vision")：2001年
『正義の味方』のハッカーを収監(上)
『正義の味方』のハッカーを収監(下)

"I was homeless, staying on a friends couch. I couldn't get work,"
そして、ダークサイドに堕ちていったと・・

----------
Flashing Android
Adobe announces Flash Player and AIR for Android
わ～うれしいな（棒）
ああっ・・こうしてまた毒素が強いといわれるのかっ！

----------
認めません
有料音楽配信サイト「iTunes」で請求トラブル多発～消費者庁が注意喚起

知っておこう！インターネットをめぐる消費者トラブル
インターネットをめぐる消費者トラブルについて
確かに・・名指ししてないですね

このためか、消費者庁の注意喚起が発表されると、報道各社は有料音楽配信サイトをアップル社が運営する「iTunes」と特定し、同サイトの利用者に請求トラブルが多発していることを伝えた。
(中略)
1つは、IDとパスワードの管理責任は消費者側にあるため、アップル社が購入契約の解約に応じない。もう1つは、クレジットカード自体の不正利用ではなく、IDやアカウントの不正利用なので、基本的にカード会社は被害補てんをしない。
どのくらい「多発」しているのかにもよりますけどね・・・

ｉＴｕｎｅｓ不当請求１００件　被害の全容聴取へ
被害の数は判明しただけで約１００件に上っており
あら・・結構多いですね・・
さて、どうなることやら・・

----------
ゴミ箱の項目
WordPress Trashed Posts Security Bypass Vulnerability 2
The vulnerability is caused due to WordPress not properly restricting access to trashed posts, which can be exploited to e.g. view a trashed post by accessing it's page directly.
Successful exploitation requires a valid user account.
複数のアカウントを発行し、複数の編集者や閲覧者がいる WordPress上では 「ゴミ箱」に捨てたアーティクルに気をつけましょうというお話。
※ここは 2.6なので関係ないんです・・ orz

というか、上げる気全く無さそうですね・・
「セキュリティの話をセキュリティホール全開のCMSでやるのってどうよ？」と言われてはいるのですが・・・

追記：
早速アップデートされたようです
WordPress 2.9.2
Thomas Mackenzie alerted us to a problem where logged in users can peek at trashed posts belonging to other authors. If you have untrusted users signed up on your blog and sensitive posts in the trash, you should upgrade to 2.9.2. As always, you can visit the Tools->Upgrade menu to upgrade.

さすがというか、なんと言うか（笑）
現時点では en のみですので、ja版の方は少しお待ちください。

----------
どらごん
Chromium browser remixed as a security Dragon
Best known for its firewall software, Comodo's Chromium browser is called Dragon, and it promises better security features than those available in Google Chrome.
ComodoとChromeのコラボレーション Dragonをリリース。
（従来の）Google Safe Browsingに加えて、
has Domain Validation technology that identifies and segregates superior SSL certificates from inferior ones, stops cookies and other Web spies, and prevents all Browser download tracking to ensure your privacy.
証明書関連のscam対策を強化したもの・・らしいです。
面白そうですが、ちょっと様子見でしょうか？

----------
どうしましょ？
「Wikipedia」が利用できなくなったら…どうする？
寄付するしかっ！・・・ビンボですけどね～

----------
プラグイン？
第10回 Windows 7ならできる、もう1つのUSBメモリ対策 -- こんなにあるプラグイン脆弱性問題
差し込むことを plug-inと言わなくも無いけど、USBからのPE実行禁止は別の話だし、USBのAutoRun脆弱性とプラグイン脆弱性のミスリードを敢えてやらなくても・・・
あ～っ
Windows7ではそもそも、デフォルトで Autorunは無効ですし、USBに入ってるウィルススキャナなんかもあったりします。
一部企業ではUSBメモリの持ち込みそのものを禁止しているところもあったりしますネ

Windows7では AutoRun無効に、VistaとXPにも順次適用予定
AUTORUNは時流に合うとらん、ってことでしょうか。
ザブトンとっちゃえ！

※追記：
IRCで、前回の特集が「第9回 プラグイン脆弱性問題に決め手はあるのか」だったので、そのコピペミスじゃないの？
という指摘を受けました。
なるほど納得（笑）

----------
とんぼ～
Opera Dragonfly
し・・知りませんでした orz
Opera Dragonfly 入門 (Japanese)
見た感じ、かな～りよさげです。
問題は私が、FirebugのI/Fにどっぷり浸かってる・・・ですがまぁ慣れでしょうか？

----------
8080
第一系統（新IP有・でもOVH）
80.69.74.73 AS20857(TRANSIP)
91.121.24.139 AS16276(OVH Paris)
91.121.108.53 AS16276(OVH Paris)
91.121.172.32 AS16276(OVH Paris)
94.23.11.38 AS16276(OVH Paris)

第二系統
77.68.44.169 AS15418(FASTHOSTS)
78.31.107.49 AS24931(DEDIPOWER)
94.23.199.154 AS16276(OVH Paris)
188.40.118.68 AS24940(HETZNER)
213.251.164.84 AS16276(OVH Paris)

第三系統：
80.69.74.73 AS20857(TRANSIP) *重複*
87.233.139.100 AS15703(TrueServer)
91.121.24.139 AS16276(OVH Paris)
91.121.172.32 AS16276(OVH Paris) *重複*
94.23.11.38 AS16276(OVH Paris) *重複*

キャッシュの関係もありそうですが、三系統に分散中

----------
Google Safe Browsing
| 1266264025 | B | [goog-black-hash 1.51115 update]
| 1266264002 | M | [goog-malware-hash 1.19397 update]
| 325710 | -1363(327073) 漸減中
| 1376242 |
EoF

春一番名付けの日
涅槃会 via 釈迦
かまくら
ENIAC完成(1946年)
ケヴィン・ミトニック(en)逮捕(1995年) ※別名:Condor

----------

新しい週が始まりました。
Statesはお休みですが！

----------
EMV
EMVは（RFCがあるわけではありませんが）Europay、MasterCard 及び VISAの頭文字から取られた POSや ATMでのクレジットカードやデビットカードの標準規格です。
PIN check in EMV protocol for EC and credit cards bypassed
通常のカード認証にはPINの入力が必要にも拘わらず、特殊な機器を間に差し挟むことにより、PIN入力がバイパスされることが研究者より報告されました。
The attack cannot be used to withdraw cash from ATMs, however, because in this case it is the bank's server, rather than the card, which checks the PIN.
銀行のATMには通じないようですが・・

New flaws in chip and pin system revealed
Chip and PIN is broken -- LightBlue Touchpaper

攻撃が実際に行われているかどうかは「？」ですが、放置すると信頼の崩壊につながりそうですので、近い将来対策を講じなければならないのかもしれません。

----------
仮想化に潜む罠
Tech Insight: Securing The Virtualized Server Environment
While not quite a zero-day vulnerability (the researchers worked directly with VMware before releasing details), the directory traversal exploit against VMware Server and ESX/ESXi is still catching virtual server admins with their pants on the ground.
上記リンクがなぜかYoutubeなのは、きっと故意なんでしょうが・・・

VMwareのアップデートは難しいんですよ・・
下手にアップデートして VMDKごとブットんでしまうと目もあてられません。仮想環境のstagingを作って、アップデートができるかどうかテストし、評価完了したら本番に導入～
のコストをどこが支払ってくれるか？ということになると、ナカナカ踏み切れないところも多いのではないでしょうか？

VMware Products Directory Traversal File Disclosure Vulnerability 2 at 2009-10-28(CVE-2009-3733)
[Full-disclosure] Invalid #PF Exception Code in VMware can result in Guest Privilege Escalation (CVE-2009-2267)

エンタープライズ用途のアップデートに関する問題とその軽減策は、今後仮想化が増えるに従って、ますます重要になってくると思われます。

----------
不正規なDHCPサーバ
Rogue DHCP server fun
The first thought was that junior had botched the DHCP settings on the server.
楽しそうですね・・
前に不正なDHCPサーバを起動するMalwareというのもあったようですね
不正規な（意図しない）DHCPは、大きなセキュリティホールを生み出しかねません。NAPの導入も含めて対処を講じておくことも必要かもしれません。

参考：
ネットワーク アクセス保護 (NAP)
NAP に関する各種 Tips -- Oct.2007
不正なDHCPサーバを見付ける -- Mar.2003

----------
On Rough
タイトル勝ちだなぁ・・・っと
Tiger’s play too rough on Valentines Day
（笑）

さすがにバレンタインネタは今日で終わりでしょう～
Bonne Saint-Valentin’s
仏語はわかりませぬ。

----------
Sieg Xeon
インテル、組込み向け Xeon 新製品 C5500 番台・C3500 番台を発表
コードネーム : Jasper Forest

IDF Fall 2009 Preview - Nehalemの組み込み派生型「Jasper Forest」の直前情報 -- Sep.2009

----------
WordPress 2.9の何か
WordPress >= 2.9 Failure to Restrict URL Access
verify no なので、アレですが、制限アクセスURLが機能していないという話。
"Subscriber [User Level 0] - Somebody who can read comments/comment/receive news letters, etc." [2]

「購読者」というユーザを発行しているところは注意しましょう（あまり見かけませんが）

----------
**6 must DIE
英国で「IE6排除」を要求する署名活動が開始される
かなり前に紹介した IE6 takedownのペティションですが、「自由にエントリ項目を申請できる」というのは知りませんでした。

e-Petitions
abolish toplessness laws
Toplessness/Topfreedom is a fundamental women's right.
どんな権利やねん！

コメント読んでると、Win2kのユーザさん結構いるんだなぁと改めて思いましたね
/.諸氏なら大丈夫でしょうが、何も考えずにライフサイクル切れても使い続ける人が居そうで怖いですね。

寿命延長はヤメテ・・・
[FFR] FFR yarai 脆弱性防御機能 for Windows 2000
と思っていたのですが、某大学関係者から、Windows2000を使い続ける必要性の話をされて、考え方を少し改めました。
組み込みデバイスの計測系制御とかは、余計なものがない「スマート」なカーネルの Win2Kが最適なんだそうです。
※それなら Linux使ったほうがいいのでは？　とか思ったのは内緒

逆に言えば、TCP/IP(IPv4/6)を抜いてしまって、NetBIOSで使い続ければいいのかも・・（苦笑）

----------
おだいじに～
ブラウザ
周辺でもバタバタと倒れています。
子供にうつさないように隔離政策までとられて、（ドラえもんのように）押入れに押し込められてる人も約１名ほど・・・

本題の Opera まだ使ったことが無いんですよね～
Carakan搭載ブラウザ「Opera 10.50」のβ版公開
Opera 10.5、ACID3に100/100パス
Firebug の代替になるものがあれば、移ってもいいんですが・・・
Gogle Chromeエクステンション登場、Firebug Lite
ううっ・・こうしてどんどん Google に堕ちていくのかっ！

----------
8080
第一系統
80.69.74.73 AS20857(TRANSIP)
87.233.139.100 AS15703(TrueServer)
91.121.24.139 AS16276(OVH Paris)
91.121.108.53 AS16276(OVH Paris)
94.23.11.38 AS16276(OVH Paris)

第二系統（あるいはキャッシュ）
77.68.44.169 AS15418(FASTHOSTS)
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(SCHLUND)
87.118.90.76 AS31103(KEYWEB-AS)
217.160.110.21 AS8560(ONEANDONE-AS)

今日はほとんど変化ありません。
手作業がめんどくさくなってきたので、cron化作業中（笑）

----------
Google Safe Browsing
| 1266177612 | B | [goog-black-hash 1.51043 update]
| 1266177602 | M | [goog-malware-hash 1.19373 update]
| 327073 | -1045(328118) ようやく減少
| 1374123 |
EoF

バレンタインデー
チョコレートの日 当然・・
ネクタイの日 二匹目のどじょう？
煮干しの日 2（に）1（ぼ = 棒）4（し）
1924年、C-T-RがIBMに社名変更。

----------

日曜なので平和そのもの・・・のはず

----------
真相は？
PAGE_FAULT_IN_NONPAGED_AREA
*** STOP: 0x00000050 (0xC1DB09A7, 0x00000000, 0x8050FD6A, 0x000000
と表示されてしまった！という人が近所にいないのでナントモ・・

Tracking down those XP crashes: Could the cause be malware?
I have found that the root cause is an infection of %System32\drivers\atapi.sys, and that replacing this file with a clean version will get the system booting normally.
というわけで、この疑わしい "atapi.sys" を正常なものにリプレスするだけで、（KB977165を差し戻さずに)通常起動できるようです。

Tidserv and MS10-015
What seems to have happened in Tidserv's case is that after this update, the RVAs for the above mentioned APIs changed—therefore causing the infected drivers out there to call invalid addresses and, in turn, cause blue screens every time Windows boots up:
Symantecのシグネチャ：Backdoor.Tidserv
メモリマップが相対参照なのに、ベースアドレスが変わってしまってrootkit側が不正参照をおこなった・・っと？

参考（RVAとは何か？）：
Common Object File Format (COFF)
PE(Portable Executable)ファイルフォーマット -- Optional Header -- sourcerian の物置き場

----------
ZeuS
それにしてもいつまでたっても終わりませんね・・
ZeuS/zbot - 所得増により税金が高くなってます
Macromedia Flash Playerが最新版じゃないのでアップデートしてください。
いや・・その会社もう無いんで・・

この "109.95.115.36" が属する
AS50215 (TROYAK) はイロイロ怪しいんですよね・・・
まず所在地が、マン島の中央（苦笑）、直前はロシア()なのですが、その手前は延々と英国内をぐるぐる引き回されています。
Dancho Danchev氏は、PhotoArchive Crimeware/Client-Side Exploits Serving Campaign in the Wild -- Feb 03で
"Fake Web Hosting Provider"の類ではないかと指摘しています。
ZeuS Tracker :: AS50369
真っ黒・・・

他にも
Warning About ZeuS Attack Used as Lure
こっちはサイバー戦争になりそうなネタなのであまり近寄りたくありませんね・・・

Please Queue Here For The Next Phish
フィッシング方面も、バンク・オブ・アメリカを再度狙ったものが多数着弾しています。

いずれにせよ、不審なメールを開封しない、リンクを踏まないのは当然として、システム管理者様はスパムメールの効率的な水際ブロックを検討しましょう。

参考：
SPAMBlock非公式マニュアル -- Stray Penguin
スパムブロックには一種の「育てゲー」的楽しさがあり、設定を煮詰めていくほどに、あれほど鬱陶しかった SPAM が「ほーら新しいパターンのヤツが来たね。どんなフィルタでブロックしてやろうかなぁ～ひひひひひ」という快感に変わってくる。
あるある！

----------
ぼご～ん
Time to update those IP Bogon Filters (again)

The Team Cymru Bogon List v5.2 12 Feb 2010
50/8 and 107/8 allocated to ARIN (Feb 2010). Removed from bogon lists.
50.0.0.0/8 107.0.0.0/8

内部的に使ってなければ解除を検討しましょう。

参考：
ISP Edge design
ここに出てくる「インターネット」がおどろおどろしくて好き！

----------
む～
20 Essential Tweaks and Tips Every Firefox User Should Know
いっぱいあるなぁ～

puppet様が苦しんでいる様子なので振っておこうっと（笑）
１日１個解説したら２０個稼げますよ！


こたえたりはしませんよ～（笑）
うちはトップから怪しいふいんき（変換不能）を強調してますので！


----------
ラジオ
民放ラジオ、ネット同時放送解禁へ
ちょっと楽しそうですけど、著作権とかでモメそうな一面も

Adobe Flash PlayerのインストールされたPCならそれだけで受信が可能な模様。
には敢えてなにも言わなっ！

本題と関係ないですが
Re:そしてまた謎の単語が
「保存」のアイコンがフロッピーディスクなのはなぜ？
に笑いました。
確かに何も考えずに I/Fにふろっぴのアイコンを載せてますが・・・現代風の「保存」アイコンって何でしょうね？（笑）
USBアイコンは却下ね（苦笑）

----------
8080
*NEW IP* *NEW ISP* TRUE.NL(via )
87.233.139.100 AS15703(TrueServer)
*New IP* (thru OVH)
91.121.103.107 AS16276(OVH Paris)

80.69.74.73 AS20857(TRANSIP)
91.121.7.26 AS16276(OVH Paris)
91.121.108.53 AS16276(OVH Paris)

今日は一つに収束しています。
スクリプトの変動もあったようですが、新しいISPも投入され、まだまだ元気な様子・・・

----------
Google Safe Browsing
| 1266091224 | B | [goog-black-hash 1.50971 update]
| 1266091201 | M | [goog-malware-hash 1.19349 update]
| 328118 | +1619(326499) まだまだ増加傾向・・・
| 1372243 |
EoF

苗字制定記念日
銀行強盗の日

----------
BSoD due to malware, MS10 015 innocent?
昨日のBSoD騒ぎですが、MS10-015 が原因ではなく、Rootkit感染が原因ではないか？という話。
また・・ですか？
Rootkit May Be Culprit in Recent Windows Crashes
least three different customers came into his shop with the same blue screen of death after installing Tuesday’s patches on their XP systems. Barnes said that on closer inspection, he found that each had been previously infected with a rootkit, a set of tools sometimes installed by malware that are designed to hide the presence of the infection on the host system.
atapi.sys 29/41 (2010.02.12)
これかな？
Virus:Win32/Alureon.A
Win32/Alureonの亜種
Win32/Alureon is a family of data-stealing trojans. These trojans allow an attacker to intercept incoming and outgoing Internet traffic in order to gather confidential information such as user names, passwords, and credit card data. The Win32/Alureon trojan may also allow an attacker to transmit malicious data to the infected computer.
こんなシロモノが、USでは流行してるんですかネ？

Trojan:Win32/Alureon.CT
BackDoor.Tdss.565
h3456345.cn / h9237634.cn
なんかどっかで見たような見てないような・・
91.121.112.227 AS5577(ROOT AS)

とりあえず「MSさん、疑っちゃってごめんなさい」と謝っておきまして（最近謝り癖がつきました）
でも本当にこれが元凶かどうかはまだ不明です。

日本では BSoDに陥っている人は少ないようですが、もし再起動後「青くなっちゃって起動できない」という方は、詳しい人を捕まえてMS10-015(KB977165)の差し戻しを行ったあと、ウィルスチェックをかけてみてください。

Update - Restart Issues After Installing MS10-015

！？
月例パッチでWindows XPがダウン――“死のブルー・スクリーン”と共にPCが停止
「出勤して自分のMacを使って、昨晩のXPの更新トラブルについてオンラインで調べなければならなかった。永久にMacに乗り換えようという気持ちに非常に傾いている」と不満を漏らした。
（苦笑）

----------
Adobe三連弾 part.3
Security update available for BlazeDS
CVE-2009-3960(*reserved*)
When processing incoming requests, XML external entity references and injected tags can result in disclosure of information.

ColdFusionユーザはこちら：
ColdFusion : Security Bulletin APSB10-05
flex-messaging.jar, flex-messaging-common.jarの２ファイルの差し替えです。

----------
Google Disclosed as well
グーグル、「Google Buzz」のプライバシー問題に対応--非公開設定が容易に
Google バズ を快適にお使いいただくために
MS-IMEよりも学習能力が無いなぁ・・（苦笑）
米国の（Facebookのような）ような実名文化が無い日本は匿名デフォだってことをソロソロ自覚して欲しいものです。

「Google Buzz」で本名や居場所がばれる？　ネットで騒動に
投稿者名は「公開プロフィール」から変更できる。iPhoneの位置情報は、Google Buzzに最初にアクセスした際のダイアログで「位置情報の利用を許可しない」を選ぶか、投稿画面の現在地の右にある矢印をタップし、「現在地情報を非表示」を選べば表示されない。Android携帯からは位置情報なしで投稿することはできない。
Nexus(Android)からだと、自分の位置バレバレっと（笑）

Google バズはフルネームの公開がデフォルト

過去の事例：
マイマップの公開設定をご確認ください -- 2008.11.04
Amazonの「ほしい物リスト」で本名や趣味がばれる？　ネットで騒動に

個人情報には、ゆめゆめ気をつけましょう。

続く
----------
Google Buzz-Worm
もう出るのか！？
The Buzz is getting LOUDER
Google Buzzのツールを装い、Firefoxをターゲットにしたと見られる偽装Add-onです。
Firefox security 2.0 という名前のAdd-onを見たら感染済み・・・
Autorun経由でも広がるワームですが、さすがに USB-Autorunが無効になっていない人は居ない・・はず・・ですよね？

クロススクリプト実行：
searchrequest1・com AS28753(NETDIRECT)

関連：
Spammers already using Google Buzz -- 02.11.2010

----------
Oracle ooo 3.2
OpenOffice.org 3.2日本語版のダウンロード
3.2.0 (build OOO320_m12) - Release Notes
Oracle OpenOffice 3.2 が評価版より正式にリリースされました。

OpenOffice.org 3 Multiple Vulnerabilities 4
OpenOffice.org 2 Multiple Vulnerabilities 4
OOo2系はライフサイクルが止まっていますので、よほどの理由が無い限り最新版にアップデートしてください。

また、JREを必ず最新版(Java 6 Update 18)にアップデートし、Java 6 update10以前の古いバージョンが残っていないか今一度確認してください。
※自己責任で :
JavaRa
Java の古いバージョンのファイルを削除する -- まほろば

----------
leetゲット！
Stable Channel Update
Note that Timothy elected to donate the reward to the Haiti relief effort, so Google raised the donation to $1337.
いい話だなぁ・・とか言うとGoogleの術中に堕ちているのかな（笑）
GoogleがWindows向けChromeブラウザの脆弱性を修正、情報提供者に報酬も

Google Releases Chrome 4.0.249.89

----------
いいはなしだな～ part2
いや・・こんなコーナーを作った覚えはないんですが
Saint Valentine’s Day
Nerea, my wife, still has a piece of paper where I wrote 15 years ago about how she made me feel when I looked at her eyes.
末永くおしあわせに～

後、ヴァレンタインスパムには気をつけましょう（こっちが本題のはず）

続く
----------
時事スパム
Searches for Super Bowl News and Bill Cosby’s Supposed Death Lead to FAKEAV
SuperBowl
Bill Cosby
勝手に殺さないように！ Bill Cosby Is NOT Dead

バンクーバー冬季五輪に便乗の攻撃を確認、メッセージラボが注意喚起
オリンピックも・・・

----------
ScanSafe report overview 2009
ScanSafe Annual Global Threat Report
挿絵入りのレポート：
ScanSafe Annual Global Threat Report

Malware Businessの話が多いですね。Gumblar(Gumblar.X)のブロックが 14%に及んだとしていますが、8080系と思わしきものに関しては言及されていません。
Asproxは、最近見かけなくなったと思っていたのですが深層ではまだ健在のようですね。

ScanSafeの更新がちょっと停滞気味なので寂しいですね

----------
ぎくっとしたら・・
so-netさん恒例の、「陥落リスト」です。いつもありがとうございます。
訪問の心あたりはありませんか～改ざん告知サイト46（1）1月20日～2月8日
訪問の心あたりはありませんか～改ざん告知サイト46（2）1月5日～1月19日
一つだけ断っておかないといけないのは、このリストに載っているのは英断で「感染を告知」しているサイトです。
恐らくこの数倍のサイトが、無告知で再開しています。

いずれにせよ、「感染しない」「感染させない」ことが最重要課題ですので、きちんとした対処を行って自己防衛と周囲の人への啓発をお願いします。

ガンブラー（Gumblar）ウイルスからパソコンを守る"６つの対策" [無料]
「ガンブラー」「サイト改ざん」めぐる基本のＱ＆Ａ　～　何が起きている？ 対策は？
ホームページからの感染を防ぐために　　Gumblar(ガンブラー)対策
マルウェア解析の現場から-03 Gumblar攻撃

微妙に続く
----------
もちあげておいてアレですが・・・
So-netでメールサービス障害、8600通が消失し復旧不能
障害が発生したのは、2月5日午前10時51分から午前11時08分まで。この時間帯にメールサーバーで受信したメールの一部にあたる8600通が消失し、4543アカウントが影響を受けた。消失したメールについては復旧できないとしている。 ありゃ・・
メールサービスの障害による一部メールの破損に関するお知らせとお詫び

----------
JIT Spray
JIT Spraying in PDF
をいろいろごそごそ調べてみましたが、結局よくわからず投げ出し・・・

INTERPRETER EXPLOITATION: POINTER INFERENCE AND JIT SPRAYING
While testing this on a Windows Vista target with IE8, a straightforward JIT spray can be used and a predictable address is not hard to find
む～

Adobe Reader could play Flash file independently (without Adobe Flash Player installed in the system).
え”～、こんな機能は知りませんでしたよ・・・
Unfortunately, now the situation changes, the DEP on Adobe Reader became much easier to be attacked due to the Flash playing feature in PDF. And it is expected that the working JIT Spraying exploit will appear in the wild in the near future as the researchers (both Blackhats and Whitehats) are paying more attentions on this area, so PDF zero-days will get a brand new way to keep their lives. It is important information for our PDF zero-day defense as well.
やはり Reader/Acrobatの JavaScriptは許可すべきものではない・・という認識でいいんでしょうかネ？
今回の修正(2/16 2/17-JST)で、この問題が治っていることを祈るしかなさそうです。
----------
炉
120 New Domains to blacklist
Sources include malwareurl.com, safeweb.norton.com, zeustracker.abuse.ch:

----------
意外な視点
中国からのサイバー攻撃に米国はどう立ち向かうべきか
スパムは住宅バブル崩壊の要因のひとつであるという斬新な見解を示した。同氏ｊは、証券化されたサブプライム・ローンの販売にスパムが大きく貢献したと主張している。
この発想は無かった・・・

海外の組織が攻撃の足場となるサーバを構築するために米国のサービス・プロバイダーを利用することは見過ごされている。「空港では厳しく取り締まるのに、なぜISPでは見過ごされるのか。これが米国の実情だ」と同氏。
某惑星のISPですね、わかります（笑）
あと、フランスのどうしようにもないISPとか、Leas・・・は最近がんばっている様子ですが

一度陥落してしまうと、そのサーバにはありとあらゆるrootkit的なものを仕掛けられますので、検出が困難になるのは自明の理です。外部検出機関のブラックリストに、自分の管轄サーバを定期的に問い合わせしてみるのも一つの方法です（笑）

----------
CVE-2010-0027 の実証コードを実行する
ref:
かいと様よりコメ
ありがとうございます。
この例で行くと、リモートからのローカルへのペイロード投下は更に数ステップ必要のようですね。ただ、既存の"Trusted"アプリに特殊な変数をつけて起動されるとイロイロ厄介な局面はありそうです。

今後とも宜しくお願いします。

----------
あんかけ焼きそばとカーチャン
堅やきそばは、あんを早めにかけるとどろ～っとなってしまうので、サクサク感を（自分で）調節しろ！という愛情・・だとおもいます・・たぶん（笑）

----------
8080
第一系統
80.69.74.73 AS20857(TRANSIP)
91.121.7.26 AS16276(OVH Paris)
91.121.24.139 AS16276(OVH Paris)
91.121.108.53 AS16276(OVH Paris)
94.23.199.154 AS16276(OVH Paris)

第二系統（あるいはキャッシュが行き渡っていない？）
77.68.44.169 AS15418(FASTHOSTS)
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(SCHLUND)
87.118.90.76 AS31103(KEYWEB-AS)
217.160.110.21 AS8560(ONEANDONE-AS)

第三系統
77.68.44.169 重複
78.31.107.49 重複
94.23.199.154 重複
188.40.118.68 AS24940(HETZNER)
213.251.164.84 AS16276(OVH Paris)

新IPは無し

----------
Google Safe Browsing
| 1266004864 | B | [goog-black-hash 1.50899 update]
| 1266004803 | M | [goog-malware-hash 1.19325 update]
| 326499 | +2683(323816) どこがせっせと陥落してるんでしょうね
| 1367443 |
EoF

先日、16ヶ月も脆弱性放置していたということで批判を受けていた Adobe ですが、汚名返上を目指してがんばっています。
Security update available for Adobe Flash Player

Flash: version 10.0.45.2
※セキュリティソフトを既に導入されているところは、二重インストールを防ぐためにMcAfee Security Scan Plusのチェックボックスを外して下さい。　

Adobe Flash Player 9 — Debugger Versions (aka debug players or content debuggers) for Flex and Flash Developers

AIR: 1.5.3.1930

現時点で、この脆弱性 (CVE-2010-0186、CVE-2010-0187：どちらも *reserved*)が攻撃に使用されているという報告は無いようです。
IEとその他ブラウザを併用している方は、必ず両方の更新を行ってください。

Adobe Flash Player : バージョンチェックで、バージョン情報が変わらない場合は、一度アンインストールして再インストールが必要な場合があります。
ウチもそうなりました・・

アンインストーラ：入手先
Flash Player Uninstaller*

----------
Adobe Reader and Acrobat
Pre-Notification - Security update for Adobe Reader and Acrobat
Security Advisory for Adobe Reader and Acrobat
Adobe is planning to release an update for Adobe Reader 9.3 for Windows, Macintosh and UNIX, Adobe Acrobat 9.3 for Windows and Macintosh, and Adobe Reader 8.2 and Acrobat 8.2 for Windows and Macintosh to resolve critical security issues, including the Flash Player issue described in Security Bulletin APSB10-06. Adobe expects to make these updates available on February 16, 2010.
2/16(日本2/17)に、Adobe Reader/Acrobat のほうもアップデートが予定されています。


----------
keep update!
----------

リンカーン誕生日
ダーウィンの日 1809年誕生
菜の花忌 司馬遼太郎 忌日(1996 満72歳)
ペニシリンの日
ブラジャーの日
黄ニラ記念日
レトルトカレーの日

----------

VTの検出が古いものだというお叱りをいただきました。

以後は気が付いたら同一ハッシュのものを再検索するようにしますが、日々変化する性質のものですので、古い記事のものに関しましては、個別で再検索されることをお奨めいたします。

----------
PAGE_FAULT_IN_NONPAGED_AREA
New Patches Cause BSoD for Some Windows XP Users
Turns out, a non-trivial number of XP users are reporting that their systems suffer from the dreaded Blue Screen of Death (BSoD) and fall into an interminable reboot loop after installing the latest batch of patches from Redmond.
Windows XP の一部のユーザに 先日の Patch(Feb)を充てた後、BSoSにより起動不能になるケースが出ているようです。

こうなると、パッチを前に差し戻すしかなく、一般のユーザには困難だと思われます。

問題を起こしているのは、
MS10 015: Windows カーネルの脆弱性の特権昇格が起こる
ですね。直前の BlackHat DC+ で指摘され今回のパッチに「間に合った」ものです。

ゼロデイを防ぐのか、こうしたテスト不足によるパッチ障害を重要視するのか？という命題は、天秤に図るのが難しいです。
Windows XP は既にメインストリームではなく、延長フェーズでのサポートが行われているため、こうした問題は今後も起こる可能性があります。

Microsoft Answers(Forum): (火災発生中)
BLUE SCREEN, UNABLE TO BOOT AFTER WINDOWS XP UPDATE TODAY

WinXP users: hold off on installing MS010–15
Windows patch cripples XP with blue screen, users claim

----------
誤検出
先日の Firefox Addonに２つのトロイが紛れ込んでいたという話ですが
Update on the AMO Security Issue
We’ve worked with security experts and add-on developers to determine that the suspected trojan in Version 4.0 of Sothink Video Downloader was a false positive and the extension does not include malware.

We apologize to our users and the developers of Sothink for any inconvenience this has caused.

Sothink Video Downloaderへのウィルス混入は誤検出だったということが判明しました。

Firefox用アドオンにトロイの木馬、1種類は誤検知と判明

Mozilla admits to add-on malware false alarm
昨日のKasperskyの話も引き合いにされていますね。

----------
週間脆弱性 by HIRT
チェックしておきたいぜい弱性情報＜2010.02.10＞BGM

いつもありがとうございます。

----------
バレンタイン・トラップ
Cupid Struck
Backdoor:Win32/Bifrose
かわいい絵柄とは裏腹に、やってることは剣呑この上ありません。

検索結果も・・・
Valentine’s Day Searches Lead to Malware
5, 4, 3, 2, 1…malware!
多すぎ・・・

日本では引っかかりにくそうですけど、そのうち mo/po が飛び交うようになるんでしょうか？

----------
Tax Season
米国のtax season真っ盛りですので・・
Dear taxpayer – don’t

Tax Report Themed Zeus/Client-Side Exploits Serving Campaign in the Wild
誘導先にはシンプルな iframeが記述されており、その先は Fast-Fluxです。

使用されている DbDはかなり古い FlashPlayerの脆弱性のようですので、いつもの対策を取り、あらかさまな spam mail を一般ユーザまで届けさせないことが重要です。

続く
----------
ZeuS taunts ..
New ZBOT/Zeus Binary Comes with a Hidden Message
ZeuSの新しいマルウェアの中に いくつかのセキュベンダー宛て（と思われる）メッセージが・・
Thanks to KAV and to Avira for new quests, i like it! NOD32 and SAV is stupid!
・・・・
※KAV = Kaspersky Anti-Virus, SAV = Symantec Anti-Virus

----------
Firefox
Fixing security holes without introducing new bugs
「先祖返り」を防ぐための Mozilla の取り組みの話

過去に発生した176回の"regressions "を公開することで、今後こうしたことが無くなるように日夜テストしている、Mozillaのその努力に感謝します。

余談ですが、フォクすけの認知度が上がってきてるのかな～

----------
Google Buzz
Google、『Gmail』にソーシャル メディア機能『Buzz』を追加
新ソーシャル系サービス Google Buzz発表、Gmail ・Googleマップに統合
「うちはもうやっている」――MicrosoftがGoogle Buzzにコメント
そういえば、 Windows Live/Messenger ってまさにそうですからね・・・

Gmailといえば、
Iran Shutters Google's Gmail Service
と、Iranが Gmailサービスそのものを拒絶しました。

----------

時間切れ：

----------
SWIFT refused US
European Parliament blocks US access to SWIFT data
SWIFT

----------
CVE-2010-0027
CVE-2010-0027 の実証コードを実行する
kaito834様の検証：　かなり [OK]をしないと実行できなさそう？

----------
JIT Spray解説
JIT Spraying in PDF

----------
RMS
Critical Update for AD RMS

----------
Twitpicで位置バレバレ
Twitpic, EXIF and GPS: I Know Where You Did it Last Summer
EXIFの話

----------
新たな偽AVキャンペーン
Fake AV c/o PDF and Java exploits

----------
Biglobe blocked FTP thru oversea
FTPアクセス制御の実施について
これってどういうブロックレンジなんでしょうね？

----------
8080
第一系統 (新IP 1個 : OVH)
91.121.112.227 AS16276(OVH Paris)
80.69.74.73 AS20857(TRANSIP)
91.121.112.227 AS16276(OVH Paris)
94.23.11.38 AS16276(OVH Paris)
94.23.199.154 AS16276(OVH Paris)

第二系統
77.68.44.169 AS15418(FASTHOSTS)
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(SCHLUND)
87.118.90.76 AS31103(KEYWEB-AS)
217.160.110.21 AS8560(ONEANDONE-AS)

----------
Google Safe Browsing
| 1265918435 | B | [goog-black-hash 1.50827 update]
| 1265918402 | M | [goog-malware-hash 1.19301 update]
| 323816 | +3822(319994) また増加中
| 1361052 |
EoF