UnderForge of Lack

オーケストラの日 as 「み(3)み(3)に一番」or「み(3)み(3)にいい(1)ひ」
エッフェル塔落成記念日 (1889年)
マルタの解放の日 (Freedom Day 1979)
日本国有鉄道最後の日
ポケベル最後の日

----------
今日あたりから忙しくなりそうなので、Other扱いが増えそうです
HURRY!

----------
Out-of-Band #
Internet Explorerのセキュリティ更新の事前告知 (定例外)
小野寺さんから、「エイプリルフールではありません」と釘を刺された、MS10-018 ですが、皆様適用は済ませましたか？

Microsoft Releases Out-of-Band Security Bulletin Update


IE6/7だけではなく、IE8にも影響がありますのでご注意を。

Security Bulletin MS10-018 Released
OOB Update for Internet Explorer MS10-018
あれ？ CVE-2010-0483が入ってないようなきもする・・
IEのVBScriptとHelpファイルの「F1攻撃」脆弱性の検証レポート

あと“pwn2own”の脆弱性は間に合わず（タイミング的に無理でしょう）
Since we announced yesterday that we would be releasing this bulletin out-of-band, we have been asked if it addresses the vulnerability that was used in the “pwn2own” contest at the CanSecWest security conference last week. We are still investigating that issue at this time so we do not have an update available.

Active Exploitation of CVE-2010-0806
Targets have spanned over 50 countries, but the most frequently targeted computers have been in China and Korea, with the US trailing a distant third place:
圧倒的ではありませんか？　

Microsoft Releases Out of Cycle Bulletin MS10-018
Reported exploit detections from McAfee home users are significant, though well below the top 20 detections at the the time of this blog post. None the less, vulnerable users should patch soon.
McAfeeの所為でウィルス拡散が広まったと苦言を呈されていますので、ちょっとテンション低いですね
When too much is not enough too much. -- Mar11

Microsoft Releases "Out of Band" IE Update
Yeah, I think we ought to install that patch!

マイクロソフト、IEのゼロデイ・バグに対応する緊急アップデートをリリース

----------
Java JRE #
Java SE 6 Update Release Notes
1.6.0_19 (6u19)
というわけで、 Oracle Java SE 6 update 19 がリリースされました。

----------
MacOS X #
Critical Mac OS X update patches security holes
Just look at last week's Pwn2Own competition at the CanSecWest security show, where Charlie Miller won $10,000 by hacking Safari running on Mac OS X. Miller was able to exploit Apple's default browser and compromise the Apple Mac after visiting a website hosting malicious code. (The vulnerabilities exploited by Miller are not mentioned in Apple's security advisory, so we have to assume that they are not patched with this update).
こっちも（当然）間に合わず。via @0xcharlie

----------
php session #
PHP blunders with random numbers
ちょっと長いですが、PHPのセッションIDを生成するためのRNG(random number generator)に脆弱性があり、推測可能なランダム文字列になってしまうというお話。
線形合同法（Linear congruential generators,LCGs）
Advisory: Weak RNG in PHP session ID generation leads to session hijacking
A modern GPU can handle about 2^30 MD5 ops per second, so we're looking into 2^21 GPU seconds. This is within the reach of big organizations.
ま・・理論的にはそうですけど、そこまで BFA を掛けられたら、普通気が付きませんかネ？

----------
exploited PDF #
昨日、ちょっとだけ紹介した
Escape From PDF -- Didier Stevens
ですが、ZDnetでも Ryan Naraine氏に取り上げられていました。
Hacker finds a way to exploit PDF files, without a vulnerability
Stevens said Adobe’s PDF Reader will block the file from automatically opening but he warned that an attacker could use social engineering tricks to get users to allow the file to be opened.
With Foxit Reader, there is no warning whatsoever:
というわけで、Foxit ユーザの方は、怪しげなPDFに注意しましょう。

With Adobe Reader, the only thing preventing execution is a warning. Disabling JavaScript will not prevent this (I don’t use JavaScript in my PoC PDF), and patching Adobe Reader isn’t possible (I’m not exploiting a vulnerability, just being creative with the PDF language specs).
Stevens tested his research on Adobe Reader 9.3.1 (Windows XP SP3 and Windows 7).
「Readerの唯一の対処は、怪しげな警告ウィンドウが開いたときに実行しない（ウィンドウをPDF内に貼り付けたソーシャル・エンジニアリング的な手口の可能性に注意するように」っと。
JavaScriptもExploitsも関係無いということで・・・

※というか PDFから別アプリがラウンチ可能、ペイロード投下可能という仕様に問題があるような気が・・・

----------
Word爆弾 #
EXEs in word docs
.DOC爆弾の新しいタイプです。
you see a “PDF”, but it’s actually not. It’s a JPG, which links to an executable.
neuksw3.exe
2010.03.30 12:09:47 (UTC) 19/42 (45.24%)

----------
I root server 汚染話 #
中国国内ルートDNS停止事件 雑感
こういう視点も必要ですね。

DNSキャッシュポイゾニングがあれだけ問題視されるのは何故なんでしょう？

----------
iTunes #
iTunes 9.1 がリリースされました。
セキュリティ関連：
About the security content of iTunes 9.1
CVE-2009-2285
Tiff解凍爆弾の修正を含んでいます。

尚、企業としてセキュリティポリシー的にQuickTimeが受け入れられない方は、不用意にインストールしないようにしてください。

----------
PS3 no longer with Linux #
PlayStation®3をご利用のお客様へ
2010年4月1日（木）に提供が予定されているPlayStation®3 (PS3®)システムソフトウェア バージョン3.21にて、新型PS3®（CECH-2000シリーズ）を除く従来モデルのPS3®に搭載されていた「他のシステムのインストール」に関する機能を削除いたしますので、お知らせ申し上げます。従来は本機能を用いて「他のシステム」をPS3®にインストール・起動することができましたが、セキュリティの脆弱性に起因する問題に対応するため、本アップデートを実施するに至りました。
え～ VPS用の端末に使おうと思ってたのに！（マテ）

「PS3でLinux」が不可能に　4月1日のアップデートで
米空軍や陸軍はアップデートしちゃダメですね（笑）

----------
VMware #
VMWare Security Advisories Out
まただ～
[Security-announce] VMSA-2010-0005 VMware products address vulnerabilities in WebAccess
Virtual Center 2.5 with WebAccess
Virtual Center 2.0.2 with WebAccess
VMware Server 2.0.2 with WebAccess
VMware Server 1.0.10
ESX 3.5 with WebAccess
ESX 3.0.3 with WebAccess

[Security-announce] UPDATED VMSA-2009-0016.5 VMware vCenter and ESX update release and vMA patch release address multiple security issues in third party components.
vCenter Server 4.0 before Update 1
Virtual Center 2.5 before Update 6
ESXi 4.0/3.5 のいくつか（パッチ適用により除外）
ESX 4.0/3.5/3.03 のいくつか（パッチ適用により除外）
vMA 4.0 before patch 02

UPDATED VMSA-2010-0002.1 VMware vCenter update release addresses multiple security issues in Java JRE
Virtual Center 2.5 before Update 6
ESX 3.5 without patch ESX350-201003403-SG

----------
時間切れ～

----------
Other #

宅急便・クロネコ等を騙る迷惑メールについて
最近、宅急便、クロネコ等を騙る迷惑メールが多発しております。
タイトルは「宅急便お届けのお知らせ」となっておりますが、本文にはヤマト運輸とは一切関係ない内容が記載されております。
ヤマト運輸から発信されるメールのアドレスは「●●●@kuronekoyamato.co.jp」となっており、内容は原則としてお荷物のお届けに関するお知らせ及び新商品・新サービスのご案内になります。

The chilling effects of malware
Tue
This particular malware broadly targeted Vietnamese computer users around the world.
Aurora関連？

Phishing phree
釣り

Australian Internet censorship row warms up

東京都、ネット通販の不当表示で2業者に改善指示～健康食品やストールなど
アクリル≠カシミア

Google to build Flash into Chrome browser
And note also that Adobe is adopting next-generation Web standards, too.
HTML5とFlashで陣営が割れそうな予感

Back to Basics with Fake AV
なんか、かえって新鮮ですね

Why Some Webmail Services May Be Favored in Targeted Attacks
Overall these are the free-to-use web mail services that are frequently used by hackers and cyber criminals. They are smart people and write very sophisticated malware and are almost certainly aware that there are a number of free-to-use web mail services available that will not reveal their true location to the recipient of the mail. This offers a reasonable explanation as to why they favor them now and why they will continue to use them in the future.
地域情報の隠蔽が主目的？

「Windows 7」の脆弱性対策、管理者権限の制限が効果的
それができれば苦労はないですよね～～
※何かアプリをインストールする度に呼び出されることに

Kids’ Choice Awards Used for FAKEAV
なんかもう何でもありですね・・

Persistent Domain-Renewal Scam Alive and Kicking
返金されますよ～（苦笑）

一般医薬品のネット販売規制は違法と言えず--東京地裁がケンコーコムらの行政訴訟に判決
棄却！？
#otcEC

帯域外のアップデート：Internet Explorer
いや確かに、out-of-band = 帯域外ですけど・・（苦笑）

iPhone新モデルは「iPhone HD」・6月22日発表？
さらにたびたびのスクープで著名なJohn Gruberは、WSJの「スクープ」が実質的には新 iPhone 夏登場しか伝えていないと揶揄しつつ、新iPhoneが（iPad同様の）アップルA4ファミリ SoCチップ、960 x 640解像度ディスプレイ、前面カメラを採用、おまけにサードパーティによるマルチタスクが可能なiPhone OS 4搭載といった情報は掴んではいないようだ、と新仕様をほのめかしています。960x640が「HD」かはさておき、ピクセル数では現行iPhoneの4 倍にあたり、Nexus OneやDroidを一気に飛び越える解像度。いずれにせよスマートフォン戦争がますます面白くなりそうなのは確かです。

ほしいな（ぼそっ）


----------
8080 #

	count	ASN	登録	更新
94.23.12.62	53470	AS16276	03/20 06:40:26	03/31 09:00:42
91.121.137.124	51308	AS16276	03/17 23:50:25	03/31 09:00:42
94.75.229.72	44811	AS16265	03/18 01:10:26	03/31 09:00:42
94.23.235.93	37477	AS16276	03/20 10:10:32	03/31 09:00:42
94.23.246.172	35649	AS16276	03/22 13:10:32	03/31 09:00:42
91.121.121.227	31886	AS16276	03/17 20:10:21	03/31 09:00:42
93.89.80.117	25599	AS39326	03/15 13:10:31	03/31 09:00:42
91.121.134.58	24884	AS16276	03/16 10:40:28	03/31 09:00:42
94.23.231.140	13481	AS16276	03/16 20:40:34	03/31 09:00:42
91.121.160.217	71963	AS16276	03/12 19:40:15	03/31 08:50:55
91.121.163.215	41581	AS16276	03/12 18:10:17	03/31 08:50:55
91.121.180.55	28342	AS16276	03/13 01:10:16	03/31 08:50:55
91.121.8.73	6015	AS16276	03/22 06:10:23	03/31 08:50:55
91.121.24.139	115250	AS16276	02/17 10:35:20	03/31 08:11:10
85.131.217.251	4018	AS34309	03/26 01:50:40	03/31 05:40:59
91.121.155.20	17394	AS16276	03/17 21:10:22	03/31 03:11:00
91.191.167.14	1113	AS28753	03/26 02:10:36	03/30 07:10:41
92.52.88.240	131	AS15395	03/30 04:50:43	03/30 05:10:36
95.168.183.126	9792	AS28753	03/26 01:10:35	03/29 23:30:44
85.25.137.71	528	AS8972	03/26 03:10:48	03/29 23:30:44
85.197.78.2	483	AS25220	03/17 06:10:33	03/29 19:00:42
78.46.116.136	144	AS24940	03/28 21:50:35	03/28 22:10:36
188.40.82.70	438	AS24940	03/26 14:10:46	03/28 19:40:41
62.75.218.192	50897	AS8972	02/17 12:30:27	03/28 19:00:31

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[78]IPs

----------
Google Safe Browsing #
| 1269993611 | B | [goog-black-hash 1.54222 update]
| 1269993602 | M | [goog-malware-hash 1.20424 update]
| 311831 | +1621(310210)
| 1563737 |
EoF

[Announce]

発見からずっと攻撃中だった IE ZERO DAY(KB981374 as CVE-2010-0806)ですが、なかなか緊急パッチがこないので、IE6埋葬キャンペーンかと思っていましたよ！

Internet Explorer Cumulative Update Releasing Out-of-Band
Today we issued our Advanced Notification Service (ANS) to advise customers that we will be releasing security update MS10-018 tomorrow, March 30, 2010, at approximately10:00 a.m. PDT (UTC-8).
（日本時間 3/31 AM2:00頃）

[MS10-18]
Microsoft Security Bulletin Advance Notification for March 2010
おろ？何故 IE8/Win7が入ってるの？　しかも Critical・・・

UPDATE:
We have received several questions about this bulletin today. Basically, if Internet Explorer 6 and 7 are the only versions affected by the active attacks, why does the Advance Notification page state that Internet Explorer 8 and Windows 7 are affected? To clarify, the Security Advisory was released due to one vulnerability that is under active attack. That vulnerability only affects Internet Explorer 6 and 7. However, the bulletin, MS10-018, that we will release tomorrow, addresses 9 additional vulnerabilities. Some of those also affect Internet Explorer 8. All of the 9 additional vulnerabilities were responsibly disclosed and we are not aware of any active attacks against them.
なるほど、この際、他の脆弱性も塞いでしまったのですね。

というわけで、シス管諸氏は、定例外パッチに備えましょう

Microsoft: Emergency IE patch coming tomorrow
Microsoft Readies Emergency IE Patch to Thwart Attacks
The out-of-band update comes exactly 21 days after Microsoft said it was aware of targeted attacks against Windows users running its flagship browser.
IE6/7が「Flagship」ブラウザかどうかは意見が分かれるところでしょう。
MS to release emergency IE fix on Tuesday
Microsoft out-of-band patch tomorrow
Microsoft to release emergency Internet Explorer patch on Tuesday
But, in all honesty, what are you doing running such old versions of IE anyway? Shouldn't you have upgraded to Internet Explorer 8 by now?
Microsoft to Issue Emergency IE Fix

追記：
Internet Explorerのセキュリティ更新の事前告知 (定例外)
なお、4/1 (エイプリルフール)が近いですが、このブログやセキュリティ関連のサイト・サービスでは、ネタを仕込むことはしません。仮に、4/1に情報が公開・更新した場合でも情報は本物ですのでご注意を。
（苦笑）

Keep Secure!

EoF

[Announce] MacOS X Mega Patch

MSがようやくゼロデイを塞いだ時期を同じくして、「ゼロデイのアップル」の異名を払拭すべく、Appleもパッチを発表しました。
最新バージョンは Mac OS X v10.6.3 になります。

About the security content of Security Update 2010-002 / Mac OS X v10.6.3
Products Affected
Product Security, Mac OS X Server 10.5, Mac OS X 10.5, Mac OS X 10.6, Mac OS X Server 10.6
え～っと・・・なんですかこの数は・・・
CVE-2006-1329 とか混じってる気がするのは、キノセイでしょうね・・たぶん。
APPLE-SA-2010-03-29-1 Security Update 2010-002 / Mac OS X v10.6.3
さすがにこれだけ揃うと壮観ですね。

当該OSユーザの方は、Mac OS X：ソフトウェアをアップデートする のインストラクションに従い、アップデートを行ってください。

Apple Releases Security Update 2010-002 and Mac OS X v10.6.3

Apple plugs 88 Mac OS X security holes

Keep Secure!

EoF

マフィアの日
国立競技場落成記念日 (1958年)
國松孝次警察庁長官自宅前で狙撃される（警察庁長官狙撃事件）。1995年
国松警察庁長官銃撃事件の時効成立

----------
２本もAnnounce出してまだ残ってるのが多い・・・
HURRY!

----------
OpenSSL #
0.9.8の下のアルファベットが足りなくなる懸念（笑）のあった OpenSSLですが、ついに！とうとう 1.0 が正式リリースされました。

OpenSSL 1.0.0 is now available, a major release
4010166 Mar 29 15:24:59 2010 openssl-1.0.0.tar.gz (MD5) (SHA1) (PGP sign) [LATEST]
*clap* *clap* *clap*

尚、OpenSSL 0.9.8f ～ 0.9.8m に以下の問題が発生していますが、OpenSSL 0.9.8n で修正されており、1.0.0にも問題が無いと思われます（未確認）。
'Record of Death' takes out OpenSSL servers

"Record of death" vulnerability in OpenSSL 0.9.8f through 0.9.8m
CVE-2010-0740
1.0.0に上げる良い機会かもしれません。

----------
Updateを騙る #
Trojan poses as Adobe update utility
AdobeやらJavaやらのアップデータを装ったマルウェアが多数存在するという話です。
that the recently detected Fakeupver trojan establishes a backdoor on compromised systems while camouflaging its presence by posing as an Adobe update utility. The malware camouflages itself by using the same icons and version number as the official package
今に始まったことではありませんが。

アップデートは必ず、オリジナルベンダーの供給するアップデータで行いましょう。メール添付のファイルや、怪しげなメールから誘導されたリンク、あるいは、Web閲覧中に出てくるアップデート表示は、疑ってかかりましょう。

こうして、インターネット上の性善説はどんどん否定されていくのです。

Adobe Update Trojan Claims are Invalid
What is located in the C:\Program Files\Adobe\Reader x.x folder is AdobeUpdater.dll (note that it's a DLL which means it would not be overwritten if an .exe with the same name were dropped to the folder). In short, there's currently no evidence that this malware is overwriting or even interfering with Adobe updates. It appears to be nothing more than the millions of run-of-the-mill trojans that try to disquise themselves by adopting the name of a valid program.
最近、ScanSafeがどんどんシニカルになっていく・・・

Remember, infections can be like real estate: it's all about location, location, location.

Update Your Bot Agent Using Fake Adobe Updater
The Fake Adobe Updater is notable in a sense that it utilizes Amazon EC2 to serve and control its bot agents.
またしてもCloud悪用・・・

----------
Fakebook #
Facebook AV
Facebook AV
Facebook専用のセキュリティソフトってそもそも意味があるんでしょうか？
USだとあるのかな・・？

セキュリティソフトは充分な数が頒布されています。見慣れないベンダーのソフトを不用意にインストールしないように注意しましょう。

関連：
Moscow Subway Explosions Result to FAKEAV
Moscow Bombings, TJX Hacker Spur Black Hat Campaigns
ほらもう、こんな時事ネタにも偽セキュがへばりついています。

----------
NetBiter #
IntelliCom NetBiter Config HICP におけるバッファオーバーフローの脆弱性
IntelliCom NetBiter Config HICP hostname buffer overflow
使用中の方はあっぷで・・

JVNがどういう基準でこの警報に乗せるものを選んでいるのか知りたいな・・

----------
SysInternals #
Process Explorer 12 identifies services
一部に大変なマニアを持つ（？） Microsoft謹製（元はMark Russinovich氏と Bryce Cogswell氏のプロダクツ）システムツールの中でも、人気の高い Process Explorerが ver12 にアップデートしました。
Process Explorer 12 features the ability to show IE8 processes in the process tooltip, display a svchost’s service host category in its tooltip and map service names to threads under the threads tab. Other changes include a tab for TCP/IP process properties on systems running Windows Vista or higher and a new.NET assembly information tab in the process properties dialogue.
SVChostのサービスホストのカテゴリ名称が見えるのが嬉しいかな。あとで見てみようっと

----------
NMAP #
Nmap 5.30BETA1 released
Nmap 5.30BETA1 is out. Many new features, new NSE scripts, nping, some syntax changes, some bug fixes and more. Nmap is hands down one of my favourite tools and a must have for any technical information security professional. Much more information and downloads available as always at:

http://nmap.org/
Nmap 5.20, our first stable release since July 2009, is now available! 30+ new scripts, enhanced performance, massive OS and version detection DB updates, and more!

----------
Avira #
Avira Antivir 10: No behaviour-based detection in 64-bit Windows
Avira's AntiVir 10 may offer behaviour-based ProActiv detection, but the feature is only available with 32-bit Windows systems. While this isn't a tragedy in itself, the vendor had failed to point out clearly enough that ProActiv doesn't work with 64-bit systems.
え～
AntiVir10 の「ウリ」である、ビヘイビアベースの検知システム ProActiv は64ビットベースではシステム的な問題により動作しないとのこと。

Avira AntiVir ProActiv is not available for 64 Bit systems at the moment
The module right now uses so called kernel hooks to monitor the system. Those kernel hooks are not available on 64 bit systems. Work on a technical solution for Windows Vista and Windows 7 64 bit systems is in progress. However, at the moment no statement concerning the availability can be given.
時間かかりそうですね

----------
P2P禁止 #
US government employees face file sharing ban
This is also to include government employees' home or personal computers if they are configured for remote access to government networks.
まぁ、政府関係者はショウガナイですね。
日本もとりあえず「法律で原則禁止」くらいしないと、一向に収まらないような気もします。

----------
時間切れ

----------
Other #

Scams Increase During U.S. Tax Season
US Tax Seasonですからね

Cybercrime and Hacktivism in the Headlines

インターネットセキュリティへの関心が浸透――推進組織が調査
中高生に情報セキュリティを知ってもらおう――MSとTBS、ヤフーが始動
コレとか
学生のみなさんによるインターネット安全けいびたい
コレの顛末？

「ボットネットが15ドル、初心者向け情報が満載」――闇サイトの実態
and
Zeus Botnet
他にも、現在開発中の機能についても書かれています。どうやってインタビューしたのでしょうか。以下の機能を持つ次期バージョンが開発中で今ベータテスト中だということです。
（笑）

XBox Live Director's Account Compromised
First of all – let’s see what happened to “Major Nelson” (as he’s better known). His Live account was hijacked, and numerous offensive messages were posted to the Biography section. Here’s a screenshot:
あ～あ～

How to obtain thousands World of Warcraft accounts for free

Why does www.avast.eu take me to the Avira website?…..or isn’t security built on trust?
Aviraの偽サイトの話はいつだったかな？

ネットの人権侵害急増～プライバシー侵害や名誉毀損など過去最多に(法務省)

“Lawsuits” Spur Spam Attacks
Copyright Lawsuit Filed Against You Themed Malware Campaign -- ddanchev
.docの中に内封されたPDF爆弾ですね。

Removing Viruses from a PC That Won’t Boot
備えあれば憂いなし

アップル、モバイル広告プラットフォーム iAd を来月発表？
昨日の密会はコレ！？

スウェーデンのIXが中国のDNSルート・サーバを遮断

無料で使えるオンラインスキャンサービス7選

ソフトバンク、ウィルコムの基地局を転用して「基地局倍増」へ

----------
要精読かも PDF話 #
Escape From PDF
時間無いのでナナメにしか読んでいません。
With Foxit Reader, no warning is displayed:

----------
8080 #

	count	ASN	登録	更新
91.121.137.124	50882	AS16276	03/17 23:50:25	03/30 08:50:35
94.23.12.62	46533	AS16276	03/20 06:40:26	03/30 08:50:35
94.75.229.72	44385	AS16265	03/18 01:10:26	03/30 08:50:35
94.23.235.93	30272	AS16276	03/20 10:10:32	03/30 08:50:35
94.23.246.172	29361	AS16276	03/22 13:10:32	03/30 08:50:35
91.121.121.227	26860	AS16276	03/17 20:10:21	03/30 08:50:35
91.121.134.58	24458	AS16276	03/16 10:40:28	03/30 08:50:35
93.89.80.117	20766	AS39326	03/15 13:10:31	03/30 08:50:35
94.23.231.140	10366	AS16276	03/16 20:40:34	03/30 08:50:35
91.121.160.217	71890	AS16276	03/12 19:40:15	03/30 08:40:33
91.121.163.215	41508	AS16276	03/12 18:10:17	03/30 08:40:33
91.121.180.55	28269	AS16276	03/13 01:10:16	03/30 08:40:33
91.121.8.73	5942	AS16276	03/22 06:10:23	03/30 08:40:33
85.131.217.251	3663	AS34309	03/26 01:50:40	03/30 08:40:33
91.121.155.20	14040	AS16276	03/17 21:10:22	03/30 07:10:41
91.191.167.14	1113	AS28753	03/26 02:10:36	03/30 07:10:41
92.52.88.240	131	AS15395	03/30 04:50:43	03/30 05:10:36
91.121.24.139	111453	AS16276	02/17 10:35:20	03/30 04:40:42
95.168.183.126	9792	AS28753	03/26 01:10:35	03/29 23:30:44
85.25.137.71	528	AS8972	03/26 03:10:48	03/29 23:30:44
85.197.78.2	483	AS25220	03/17 06:10:33	03/29 19:00:42
78.46.116.136	144	AS24940	03/28 21:50:35	03/28 22:10:36
188.40.82.70	438	AS24940	03/26 14:10:46	03/28 19:40:41
62.75.218.192	50897	AS8972	02/17 12:30:27	03/28 19:00:31

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[78]IPs

----------
Google Safe Browsing #
| 1269903603 | B | [goog-black-hash 1.54147 update] |
| 1269900003 | M | [goog-malware-hash 1.20399 update]
| 310210 | -694(310904)
| 1555959 |
EoF

マリモ日
八百屋お七の日
作業服の日 「さ(3)ぎょうふ(2)く(9)」

----------
今日は月曜なので（まだ）何もありません・・・・

----------
China Syndrome #
"rouge nation"はブッシュ大統領が濫用した言葉ですが、ここまでルール無視を行うのもスゴイと感心してしまいました。
Chinese Root Server Shut Down After DNS Problem
the 'root DNS server associated with the networking problems has been disconnected from the Internet,'
中国の「金盾（Great Firewall)」の DNS-db を 13 root servers の一つである、"I"サーバの中国側のノードに勝手にリプレスしたため、"I"サーバを認証している下流DNSにキャッシュ汚染が広がる懸念を避けるため、中国側のトラフィックを遮断した
って認識なんですが、間違ってたらごめんなさい。

普通に twitter.com を dig ってみると
128.242.240.20
168.143.162.52 (@8.8.8.8)
あたりが返ってきますが、中国のDNSに問い合わせると
243.185.187.39 as www.codec-xxx.com
37.61.54.158 as www.dailila.com
というわけで、事実上の封鎖状態です。

[dns-operations] Odd behaviour on one node in I root-server (facebook, youtube & twitter)
It seems that when you ask A records for facebook, youtube or twitter, you get
an IP and not the referral for .com

DNSやBGPの仕組みは性善説に習うものですので、こうなってくると本気で対策を講じないと、いろいろとおかしなことになってしまいそうです。
［BGP経路ハイジャック］誤った経路に導く，難しい根本対策の徹底

[dns-operations] Odd behaviour on one node in I root-server (facebook, youtube & twitter)
we wanna clarify that CNNIC never did any interceptions or other things for the mirror site of I root serer, CNNIC only provides the stable Internet connection, power and necessary hand support.

----------
EC2 #
Amazon EC2でサービスを始める際に・・
Amazon EC2のアドレスブロックのブラックリスト登録状況
これだとたとえばEC2を使ってメールサーバーを立ち上げてもメール送信できない場合が多々あるわけですね。メールサーバー関連では、これ以外にも DNS逆引き設定がない場合や、正逆が一致しない場合SMTP接続を拒否されることがあります。あとはSPFの設定なども。
なので、EC2 でちゃんとメールサーバーを立ち上げるには、このようなことをする必要があります。

・Elastic IPの取得/解放を繰り返してブラックリストに載っていないIPアドレスを確保
・もしくは、取得したElastic IPがブラックリストに載っている場合は解除依頼をだす。
・AWSに対して、取得したElastic IPのDNS逆引き設定を依頼

1番の方法にちょっと笑ってしまいました。
でも、解除依頼は結構めんどくさいんですよね～特に複数のブラックリストに載っている場合・・・
とりあえず、サービス開始するまえに、当該IPを Robtex あたりで調べるのは必須ですね。

----------
Other #

Winny、 Shareウィルスを利用した著作権詐欺に注意 その4
まぁ、信頼性を査定できないルートは使わないのが一番。私もこの騒動を追いかけてはきたけど、Winny/Shareで入手してみようとは思わなかったし、検体として出回っているファイルをダウンロードしてもいない。
メールで送りつけてくださる人が居て、不幸にも入手いたしました（苦笑）
gmailに転送して、linuxで解凍しましたけどね！

Arrests on the Rise
上の２つは、サイバー犯罪というか本物のギャングっぽいですが・・

Honeynet Project: 2010 Forensic Challenge #3
Challenge 3 of the Forensic Challenge 2010 - Banking Troubles
このへんは誤解(誤訳)との兼ね合いがあるので、英語圏の人有利かもですね～

Almost half of poor Americans go to the library for Internet
"almost"なのか～　日本なんかそもそも、インターネットに関心を持たない世代（携帯だけ）が増加してる気がしますが・・・

----------
SoftBank #
ソフトバンク電波改善宣言、フェムトセル無料提供・基地局を一年で倍増へ
・今後一年、2010年度中に基地局を現在よりさらに倍増。
・自宅用にフェムトセル(ミニ3G基地局) を無料提供。専用ADSLサービスも無料提供。
・さらに店舗・企業向けにもフェムトセルを無料提供。回線も同上。
・店舗・企業向けに、iPhone や WiFi 携帯で使える WiFiホットスポットを無償提供。
また大きな風呂敷が広がりましたが、回収できるんでしょうかネ？

孫氏いわくアンケート調査では全体の約2%を占めている「ソフトバンク家の中でつながらないぞどうにかしろ」なユーザーにとっては朗報です。受付開始は5 月10日より。基地局敷設に総務省のお許しが必要なため、申し込みから実際の設置にはさらに1か月半ほど必要となる見込みです。

フェムトセル
ソフトバンク電波改善宣言 -- プレスリリース

また、
ソフトバンクX06HT『HTC Desire』発表、Android 2.1端末
Android 2.1携帯の発表と

----------
8080 #

	count	ASN	登録	更新
91.121.137.124	50463	AS16276	03/17 23:50:25	03/29 08:40:28
94.75.229.72	43966	AS16265	03/18 01:10:26	03/29 08:40:28
94.23.12.62	40167	AS16276	03/20 06:40:26	03/29 08:40:28
91.121.134.58	24039	AS16276	03/16 10:40:28	03/29 08:40:28
94.23.246.172	23823	AS16276	03/22 13:10:32	03/29 08:40:28
91.121.121.227	20505	AS16276	03/17 20:10:21	03/29 08:40:28
91.121.155.20	11057	AS16276	03/17 21:10:22	03/29 08:40:28
95.168.183.126	8455	AS28753	03/26 01:10:35	03/29 08:40:28
94.23.231.140	8222	AS16276	03/16 20:40:34	03/29 08:40:28
91.121.160.217	71820	AS16276	03/12 19:40:15	03/29 08:20:33
91.121.163.215	41438	AS16276	03/12 18:10:17	03/29 08:20:33
91.121.180.55	28199	AS16276	03/13 01:10:16	03/29 08:20:33
91.121.8.73	5872	AS16276	03/22 06:10:23	03/29 08:20:33
94.23.235.93	24171	AS16276	03/20 10:10:32	03/29 08:10:40
93.89.80.117	15925	AS39326	03/15 13:10:31	03/29 08:10:40
91.121.24.139	107795	AS16276	02/17 10:35:20	03/29 07:40:30
85.131.217.251	2344	AS34309	03/26 01:50:40	03/29 03:40:38
91.191.167.14	968	AS28753	03/26 02:10:36	03/29 02:00:42
78.46.116.136	144	AS24940	03/28 21:50:35	03/28 22:10:36
188.40.82.70	438	AS24940	03/26 14:10:46	03/28 19:40:41
62.75.218.192	50897	AS8972	02/17 12:30:27	03/28 19:00:31
85.25.137.71	318	AS8972	03/26 03:10:48	03/27 03:00:40

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[79]IPs

----------
Google Safe Browsing #
| 1269817218 | B | [goog-black-hash 1.54078 update]
| 1269817201 | M | [goog-malware-hash 1.20377 update]
| 310904 | +4628(306276)
| 1550205 |

----------
セキュ関係で「ウソ」はよくないよな～　と思いつつ何か無いかな？とか考えちゅ

EoF

シルクロードの日 流砂の果て
スリーマイル島原発事故 (1979年)
三つ葉の日 「み(3)つ(2)ば(8)」
三ツ矢サイダーの日

----------
今日は日曜なので何もありません・・・・

ってたまには書きたいな

まぁでも、警報的なものは無いかもです。

----------
IE 6/7 ZERO DAY #
何度も警報を出している IE6/7のゼロデイ攻撃ですが、ますます攻撃がエスカレートかつ巧妙化しています。
Mar 27 CVE-2010-0806 IE 0-day Dozens missing after ship sinks near North Korea from kevin.bohn33@hotmail.com
韓国での哨戒艇沈没の騒ぎに乗じる形で、スピア型メールとその誘導URLがばら撒かれているようです。
spot-news・com
Registrant: fm74qss4ba2d733123e0@veiqqx84ba1f48e50457.privatewhois.net
Administrative Contact: d9xymhj4ba2d73320a49@veiqqx84ba1f48e50457.privatewhois.net
Technical Contact: w7auyp94ba2d7331bc2d@veiqqx84ba1f48e50457.privatewhois.net
という、あらかさまに怪しい登録です。登録地域は ナッソー(バハマ)

as 124.217.255.232 AS45839 (PIRADIUS-AS)
exploit: test.html
途中に /test/bypasskav.txt とか出たりして解析阻害されてる気がします
test.htm
2010.03.27 21:26:17 (UTC) 3/42 (7.14%)

ペイロード:
winint32.exe
2010.03.27 21:29:06 (UTC) 3/42 (7.14%)
SymantecもPandaも完全に検出しているとはいえない状況。

Microsoft: Trojan:Win32/Tapaoux.A
Trojan:Win32/Tapaoux.A connects to remote servers to report its infection and retrieve commands from a remote attacker. Observed examples of server connection domains include "dailysummary.net" and "somus.net". At the time of this writing, specific subdirectories of the sites were unavailable.
dailysummary・net and somus・net as 174.120.120.151
AS21844 (THEPLANET-AS2)
マタオマエカ・・・

IE6/7を使用し続けている方は、ほんとに危険ですよ？

----------
サブドメイン攻撃 #
よくある攻撃手法ですが・・・
ALERT: Please treat content from coneincorporated.com with extreme caution
MediaPlex(ValueClick)のドメインを装ったサブドメイン付加されたドメインが飛び回っているようです。
同様の手法は、google analytics にも及んでおり、膨大な数の不審ドメインが報告されています。
As always, domains mentioned in this blog entry (and highlighted in bold) should be treated with extreme caution.

インジェクションによるものなのか、単に不正サイトなのかは不明瞭ですが、自己サイトのADタグや解析タグをちらっとチェックしてみてはいかがでしょうか？

----------
paypal XSS flaw #
XSS Flaw on PayPal.com

Paypal XSS Vulnerability
サニタイズミスかなぁ

Update: As of 7pm EST, it appears that a mitigation has been implemented for this vulnerability on the PayPal web site where all requests to /xclick/business redirect to the PayPal homepage.
いちおう、対策が施されたようです。

----------
くらうどくわばら #
5人の業界キーパーソンが語る「クラウドのセキュリティが悩ましい理由」
なんか妙なとりあわせの5人だなぁ・・

----------
ZeuS #
ZeuS/zbot - PhotoArchive 2
昨年後半から引き続き.kr、.uk、.pl、.cz、.comあたりが使われていますが３月は.kr関連のドメインがほとんどを占めています。
ZeuS 系では.cnも.ruも昨年の後半からまったく利用されなくなってますね。。。
.ru も取得申請が大変になりそうですので、ますます TLDccの移行が進みそうです。

----------
Obfuscated PPDF #
Journey to the Center of the PDF Stream
However, in the particular file being analyzed I spotted the use of no fewer than nine JavaScript compression and encoding filters applied to a single stream, which is an unusually large number
検出を逃れるためにJavaScriptコードの圧縮を何種類か併用しているというお話。

In fact, they may have been somewhat successful in doing so—VirusTotal results indicate that many vendors did not detect the threat.
よほど、VirusTotalの存在が目の上のタンコブなんでしょうね（笑）
そこまでいうなら、MD5もあわせて公開してくださいよ

app.doc.Collab.geticon() : as CVE-2009-0927
Collab.collectEmailInfo() : as CVE-2007-5659

１こだけいえることは、一般ユーザが Acrobat JavaScript を ON にしても良い事は全く無いということでしょう（笑）

ねぇ・・
日本工業標準調査会：FAQ（よくある質問）
ＪＩＳ検索の「ＪＩＳ規格詳細画面」にあります最新のAcrobat Reader8.1.2を用いて閲覧していただけますようお願いします。
なお、これでも解決しない場合は、以下に添付の操作を行ってください。
こちらをご覧ください。
PDFを見て唖然としないでくださいね。

----------
炉 DNS-BH #
March 27 update – 173 new domains
173 new domains to add to your shunlist and blocklist… Sources: www.malwareurl.com, malc0de.com, phil-secu.over-blog.net and others:
いつもありがとうございます。

今日は .cn が多いですね

----------
陥落したサイトオーナーの苦悩 #
音素材サイト『ザ・マッチメイカァズ』閉鎖の危機?! 管理人が語る“ガンブラー”の脅威（前編）
音素材サイト『ザ・マッチメイカァズ』閉鎖の危機?! 管理人が語る“ガンブラー”の脅威（後編）
いろいろな意味で、「サイトオーナー」は必見です。

“ガンブラー”被害の実態と、その恐ろしさを生々しく語っていただいたOSA氏。速やかに被害について自分のサイトで情報を開示し、このように取材を受けるのは勇気が要る行動だったに違いありません。サイト継続を願うユーザーと一緒に、ガジェット通信も今後の『ザ・マッチメイカァズ』を応援していきたいと思います。
一日も早い復活を願っています。

ちなみに、私とその協力者の方々は去年の5.6月(zlkon/gumblar)のパンデミックの際、何十という陥落サイトに「警報」を送りましたが、まともな返事が返ってきたことは一度も無く、逆に脅迫を受けたことが数回ありました（苦笑）
それ以降はもう、個別のサイトに対して直接警報を送ることは避け、ISP に abuse warning だけを送ることにしています。

何も言わずに平然と再開しているサイトのほうが多いという事実も併記しなければなりません。また、告知したにもかかわらず、GENOが何故あれほど非難を浴びたか？ということも含めて、サイトオーナーは「自分がサイトを持っていることの意味」を問い直す時期に来ているのかもしれません。

あと、サイトーオーナー諸氏は、以前管理していて、今は管理していない、あるいは使用していないサイトは、消してしまったほうが良いでしょう。
「ガンブラー攻撃」対象ソフトをJPCERTが確認～サイト管理者の注意点は？
・引越し後の旧サイトが改ざん
・放置サイトの改ざん
・テストサイトも改ざん
・制作会社のパソコン感染の巻き添え
・広告用のサイトが全滅

----------
fotos.exe #
Xiangさんとこの Blast に新postがあったのでちょっと・・

2010.3.27 fotos.exe
Wgetしたらやけに巨大なjpgが堕ちてきました。MD5が変わっているので、亜種かもしれませんが・・
jusched.jpg
2010.03.28 00:50:36 (UTC) 18/42 (42.86%)
そこそこの検出ですが、相変わらずMSEは中国発に弱いなぁ

Analysis Report for jusched.jpg.suspicious
Performs File Modification and Destruction: まぁ、真っ赤ですね
www.contagotas.com・br/contador.php?p=23638
as 72.55.140.69 AS32613 IWEB-AS iWeb Technologies Inc.

----------
なんだこの密会は（笑 #
Steve Jobs and Eric Schmidt Spotted Together Again: Photos
お茶吹いた

Jobs And Schmidt: We’ve Seen This Movie Before, I’m Just Not Sure Which One It Is

さて、どんな動きが生まれるのか生まれないのか・・

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	71737	AS16276	03/12 19:40:15	03/28 10:00:31
91.121.137.124	50130	AS16276	03/17 23:50:25	03/28 10:00:31
94.75.229.72	43633	AS16265	03/18 01:10:26	03/28 10:00:31
91.121.163.215	41355	AS16276	03/12 18:10:17	03/28 10:00:31
94.23.12.62	34792	AS16276	03/20 06:40:26	03/28 10:00:31
91.121.180.55	28116	AS16276	03/13 01:10:16	03/28 10:00:31
91.121.134.58	23706	AS16276	03/16 10:40:28	03/28 10:00:31
94.23.235.93	19047	AS16276	03/20 10:10:32	03/28 10:00:31
94.23.246.172	18298	AS16276	03/22 13:10:32	03/28 10:00:31
91.121.155.20	7899	AS16276	03/17 21:10:22	03/28 10:00:31
94.23.231.140	6263	AS16276	03/16 20:40:34	03/28 10:00:31
91.121.8.73	5789	AS16276	03/22 06:10:23	03/28 10:00:31
91.121.24.139	102597	AS16276	02/17 10:35:20	03/28 09:40:29
91.121.121.227	15351	AS16276	03/17 20:10:21	03/28 09:40:29
93.89.80.117	12141	AS39326	03/15 13:10:31	03/28 09:40:29
95.168.183.126	6286	AS28753	03/26 01:10:35	03/28 09:00:46
85.131.217.251	1787	AS34309	03/26 01:50:40	03/27 18:40:29
91.191.167.14	664	AS28753	03/26 02:10:36	03/27 05:00:25
85.25.137.71	318	AS8972	03/26 03:10:48	03/27 03:00:40
188.40.82.70	212	AS24940	03/26 14:10:46	03/26 14:40:31
94.23.13.65	11613	AS16276	03/16 22:10:24	03/26 01:40:35
91.121.108.38	11447	AS16276	03/20 06:10:36	03/26 01:40:35
91.121.7.26	80225	AS16276	02/20 05:50:34	03/26 01:10:35
91.121.85.178	14094	AS16276	03/15 00:10:34	03/26 01:10:35
91.121.113.184	1576	AS16276	03/17 03:10:41	03/25 23:40:34
91.121.64.214	33413	AS16276	03/12 07:40:30	03/25 22:10:39
91.121.147.163	4988	AS16276	03/12 08:10:27	03/25 22:00:39
91.121.184.167	31558	AS16276	03/12 17:40:15	03/25 21:40:38
62.75.218.192	50785	AS8972	02/17 12:30:27	03/25 18:40:31

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[71]IPs

----------
Google Safe Browsing #
| 1269738009 | B | [goog-black-hash 1.54012 update]
| 1269738002 | M | [goog-malware-hash 1.20355 update]
| 306276 | -2137(308413)
| 1542779 |

----------
そろそろ 4/1 ですね・・・

EoF

桜始開(さくらの日) 3×9(さくら)＝27
利休忌 大徳寺 (千利休の没年は天正19年2月28日(1591年4月21日))
NTTがポータルサイト「goo」開設。(1997年) ポップコーン事件

----------
spam #
昔はspamといえば、単に未承認広告系の「ウザイ広告」だったのですが、最近は完全に犯罪の域に入っています。ここ数ヶ月を振り返っても、spam系の話が多くなっていることに気が付かされます。

日本語メールによるターゲット型（スピア型）のspamは数こそ少ないですが、巧妙になってきているので注意しましょう。
プラグインやブラウザ、メールクライアント等のアップデートを怠らず、常に最新版を保つことも重要です。

また、システム管理者は「現在進行中の、spamキャンペーン」に目を通しておき、そうしたBotnetからのメールを弾くルール設定を先手を打って施工しておくことも重要です（メンドイですけどね）。

Copyright Infringement Lawsuit Email Scam
US Tax Season Phishing Scams and Malware Campaigns
USCertからの警報：現在進行中のspamキャンペーン

スパムメールの危険を認識するも、ついついクリック――業界団体の調査
特に、「自分は電子メールセキュリティに詳しい」との意識が強い35歳未満の男性は、スパムを開いたり、リンクをクリックしてしまったりするといった危険行為に出てしまう割合が、ほかの年齢層よりも高かった。
Consumers Don’t Relate Bot Infections to Risky Behavior As Millions Continue to Click on Spam
Idiot users still intentionally opening, clicking on spam
ARSは、「スパムメールを開く輩 = Idiot users」 と断じて居ます（苦笑）

増加と巧妙化を続ける医薬品広告のスパムメール
New Fake IRS Email Notice Leads to ZBOT
IRS Malspam Campaign

Yet another Facebook Spam – From Russia with Love
Facebookの新しいspamと何故SNSなのか

Apple Storeをかたる詐欺メール、リンクからマルウェアに感染か
Apple Diversifies Into Online Pharmaceuticals

W杯や上海万博に便乗するスパムが相次ぐ、添付のPDFに要注意
World Cup-themed PDF attack kicks off
PPDF(Poisoned PDF) はCVE-2010-0188脆弱性の悪用のものが飛び交っており、Reader 9.3.1 以外のバージョンでは炸裂する極めて剣呑な代物です。このPPDFはshellcode実行後、HIPSによるネットワークアウトバウンドチェックに引っかかることなくペイロードを投下でき、しかもAcrobat JavaScriptに依存しません。
CVE-2010-0188 Adobe Working Exploit

Getting the EXE out of the RTF again
.DOCのRTFファイルの中に内封されている.EXEファイルの解析。
suit.exe
2010.03.26 16:07:21 (UTC) 21/42 (50.00%)

微妙に続く
----------
ヒューリスティック #
評判分析に基づくセキュリティ
現在のNorton製品はSuspicious.Insightという検査結果でユーザーに警告するだけで、当該ファイルの動きをブロックしない。「安全性が確認されていない」という印を付け、最終判断をユーザーに委ねる。
ってことは？
setup.exe
2010.03.20 10:43:29 (UTC) 1/41 (2.44%)
Kenzero事件の当初は「ブロックしていなかった」ということでしょうかネ？　それとも「疑わしいファイル」という警報は出てたのかな？ Nortonユーザで踏んだ人のコメント求む（苦笑）

そんなピンポイントな人は居ないかな？（笑）

残念だが従来のウイルス対策技術は、もはや以前と違って強力な防衛能力を発揮できない。我々は、ITセキュリティを取り巻く脅威がこの数年で激変したと見ている。2年前の時点で、当社が新規発行するウイルス定義データは1週間当たり数百種類を少し上回る程度の規模だった。ところが新規発行数は急激に増え、今や平均で毎日1万5000種類をやすやすと超えるレベルになってしまった。
FFRの人もそんなことを言ってた気がする。
セキュ会社も大変だな～とは思いますね。インターネットに接続するユーザにも意識改革が必要です。

性善説が通用しない世界へようこそ！

----------
Oracle Java SE #
新製品？
いえいえ、Sun Microsystemsは既に存在せず、Oracle Java SE が正式名称です。
Oracle Java SE and Java for Business Critical Patch Update Pre-Release Announcement - March 2010
Security vulnerabilities addressed by this Critical Patch Update affect the following products, which will be released on Tuesday, March 30, 2010.
This Critical Patch Update contains 27 new security vulnerability fixes for the Java SE and Java for Business releases.
といわけで、Oracle Java JREは (多分）日本時間で3/31(水曜日) あたりに JRE 6 update 18 にバージョンアップされます。

----------
ギクっとしたら #
止まらぬサイト改ざん：訪問の心あたりはありませんか～新規告知サイト22件
いつもクリティカルな内容を惜しげもなく書いてくださるso-netに感謝！

これらのサイトを訪問した記憶のある方は、念のためシステムをチェックしましょう。

また、いわいる「PWNed」なサイトも結構あるようでして・・
止まらぬサイト改ざん：感染目的ではない例も～市教委/APバンク/三菱電機
企業イメージ的には大打撃でしょうね・・・
SQLインジェクションやディレクトリ・トラバーサリのチェックは、何種かのスキャナを使って定期的に（ただし Stagingでね！）行いましょう。

----------
The Big Issue #
ビッグイシュー
ホームレスの人々の社会復帰支援のための組織です・・・が、
Help The Homeless, Feed the Phishers?
At this moment in time, The Big Issue website is playing host to a French Paypal Phish – they have a zipped copy of the Phish uploaded to the server, and a live Phish directory too:
陥落し、RSSを取得すると、Paypalのフィッシングサイトになっていると・・
犯罪者には寛容とかそういう精神のカケラも無いということですね。

----------
CD-ROM？ #
セキュリティ企業として「Web改ざん」について最適解を考えてみた ＜第一話＞「根本的な対策」とは？
・・・・・・・・・・・・・・・・・・1:16
いまどき
なサイトってあるんですか？
いや・あるのかも？
ひょっとして多い？（苦笑）

----------
一網打尽にしてください #
Hacking forum or a sting operation?
Though it is true that malware is getting more and more sophisticated I am sometimes surprised by the lack of skills coming from wannabe botnet operators. Today, I stumbled upon a hacker’s forum which nicely demonstrates just how low is the technical knowledge level of the forum members.
なんか稚拙なやりとりだなぁ・・とは思います。

I just got an IRC channel and I need Zeus 1.3.1.1 added to it.
Zeus and IRC? Oh, come on…
ちょっと入ってみたいな（笑）

某巨大掲示板で「ダレダレを殺します」なんて書いただけで逮捕される世の中ですし、こーいうのはトラッキングして一網打尽にして欲しいな・・
でもきっと TOR とか使って経路詐称してるんだろうなぁ・・

----------
法則 #
米国のドメイン登録業者 GoDaddy.com、cnドメインの取り扱いを中止
いつの話をしてるんだろう？
CNNICによる.cnドメイン登録審査の見直し -- 2009/12/15
と思ったら、法則発動しててちょっと笑いました。

中国撤退表明の米ドメイン登録大手、実は無認可の違法営業だった？！―中国紙

.cnは、この制度ができてから（ドメインベースでは）圧倒的に減少しています。.ruも、認可を厳格化しますので、悪意ドメインは違うファセットに向かうことになるでしょう。

オッズ？
このへんが本命・・かな
.pl
.kr
.in


対抗
.cz
.nz
.vc

穴（笑）
.th
.uz
.br
.hn
.sc
.io
.gs
.la
.se
.ad

どれが何なのかは 国別コードトップレベルドメイン ccTLDでお願いします。

----------
パスワード #
pasuwaad
これ、某友人のSNSのパスワードだったのですが・・（苦笑）
さすがに変更させました。まぁ、日本人以外にはイミフメなのかもしれないけど・・

というわけで、Symantec版、パスワードに関するアンケートの結果
Password Survey Results
意外と「完全に使いまわし」は少ない（8%)ですね。

----------
バズワード #
そもそもセキュリティを高めるって？
ITコンプライアンスとかガバナンスとかいうポリシー関係の活動に傾倒しすぎたのではないかと思っています。
SaaSとか、IaaSとか、MaaSとか、インシデントとか、フォレンジックとか・・・

ポリシーを整備するためにポリシーを作っているみたいな錯覚に陥ってないかな、ということなのです。
まさにそうですね、Pマーク取得の問題とか、侵入検査の方法論とその対処とか、輻輳し続ける混乱状況で何が必要で何が不要なのか、だれも言及しなくなっています。
誰かエライい人に、「そんなの間違ってるよ！」と言って欲しいナ（切実）

そこから坂道を転げ落ちるように（表現間違えてます）
雪だるまをスキージャンプ台から転がしたような・・？
Bob Dylan - Like a Rolling Stone

----------
は？ #
マナーのあるメールの書き方
・・・・・・・・・・

メールの To には「様」を付けましょう、というビジネスマナー
Re:そもそも
あなたのアドレス帳には、宛先の名前がなく、住所の羅列なんですね、そうですか。
メールアドレスの住所に該当する部分は@より右側かと。
hoge様@example.co.jp
とするのが、正しい使い方だと思います。
爆笑

いやぁ・・インターネットの普及ってこういう面にも及ぶんですね・・そのうちRFCとか改定されそうで怖い

「マナーのあるメールの書き方」の内容が酷いので修正してみた
負け：はい。そして本文ですが。
拝啓＆敬具って・・・10年前ですか。
拝啓＆敬具を使うような文章（会社からの正式な告知など）であるならば、出来れば紙面、メールであってもPDFで添付ファイルで送るべきです。
メールはあくまで手紙の簡易版です。メールでなんでも済ませちゃダメです。
・・・・・・・・・・

こうして世の中が魑魅魍魎にまみれていくのです。

参考：
先生、このメールのどこがいけないのでしょうか？

おかしなマナーを押しつける人達
ところでマナーの話なのに、"拝啓　おはようございます。"に突っ込みが入れられない「西出博子」とかいう人は、マナーの講師としての資格があるのだろうか？
頭語と結語

そういえば、Wikipediaに「この記事は、広告宣伝活動のような記述内容になっています。」って書かれてました。さっきまで無かったのにな～

----------
Other #

VERTU、蒔絵を使った1台2000万円の携帯電話「シグネチャー 吉祥コレクション」を発表

携帯電話のSIMロック解除を検討へ--総務省が公開ヒアリングを開催

Kit attacks Microsoft keyboards (and a whole lot more)
ワイヤレス・キーボードのKeyLogger話

Young Steve Jobs and why 2010 might be like 1984
似てるかも（笑）
あとこれも、1984 and Renewal (間違い探し)

----------
8080 #

	count	ASN	登録	更新
91.121.24.139	98446	AS16276	02/17 10:35:20	03/27 09:40:33
91.121.137.124	49780	AS16276	03/17 23:50:25	03/27 09:40:33
94.75.229.72	43283	AS16265	03/18 01:10:26	03/27 09:40:33
94.23.12.62	26414	AS16276	03/20 06:40:26	03/27 09:40:33
91.121.134.58	23356	AS16276	03/16 10:40:28	03/27 09:40:33
94.23.246.172	12931	AS16276	03/22 13:10:32	03/27 09:40:33
94.23.235.93	12319	AS16276	03/20 10:10:32	03/27 09:40:33
91.121.155.20	5093	AS16276	03/17 21:10:22	03/27 09:40:33
91.121.160.217	71677	AS16276	03/12 19:40:15	03/27 09:30:40
91.121.163.215	41295	AS16276	03/12 18:10:17	03/27 09:30:40
91.121.180.55	28056	AS16276	03/13 01:10:16	03/27 09:30:40
91.121.8.73	5729	AS16276	03/22 06:10:23	03/27 09:30:40
91.121.121.227	9891	AS16276	03/17 20:10:21	03/27 09:00:37
93.89.80.117	7835	AS39326	03/15 13:10:31	03/27 09:00:37
95.168.183.126	2717	AS28753	03/26 01:10:35	03/27 09:00:37
94.23.231.140	4797	AS16276	03/16 20:40:34	03/27 08:00:40
91.191.167.14	664	AS28753	03/26 02:10:36	03/27 05:00:25
85.131.217.251	1453	AS34309	03/26 01:50:40	03/27 03:40:34
85.25.137.71	318	AS8972	03/26 03:10:48	03/27 03:00:40
188.40.82.70	212	AS24940	03/26 14:10:46	03/26 14:40:31
94.23.13.65	11613	AS16276	03/16 22:10:24	03/26 01:40:35
91.121.108.38	11447	AS16276	03/20 06:10:36	03/26 01:40:35
91.121.7.26	80225	AS16276	02/20 05:50:34	03/26 01:10:35
91.121.85.178	14094	AS16276	03/15 00:10:34	03/26 01:10:35
91.121.113.184	1576	AS16276	03/17 03:10:41	03/25 23:40:34
91.121.64.214	33413	AS16276	03/12 07:40:30	03/25 22:10:39
91.121.147.163	4988	AS16276	03/12 08:10:27	03/25 22:00:39
91.121.184.167	31558	AS16276	03/12 17:40:15	03/25 21:40:38
62.75.218.192	50785	AS8972	02/17 12:30:27	03/25 18:40:31
194.150.236.199	1013	AS44976	03/15 07:40:38	03/25 01:40:27
193.138.206.254	7486	AS35470	03/23 17:40:22	03/24 19:00:29

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[69]IPs

追記 : 七氏さんへ
現時点での全IPリストはこちら
現時点でチェックリストに入っている .ru ドメインはこちら

----------
Google Safe Browsing #
| 1269648003 | B | [goog-black-hash 1.53937 update]
| 1269648001 | M | [goog-malware-hash 1.20330 update]
| 308413 | -321(308734)
| 1539993 |
EoF

[ATTENTION] CVE-2010-0806
再度注意喚起です。

IE6/7の深刻な脆弱性である、CVE-2010-0806 が、Malware Frameworkの Eleonore Exploits pack v1.4alpha に搭載された模様です。

via MDL
search: muas・in/1/
188.124.9.38 as AS44565 (VITAL TEKNOLOJI)
AS44565 - AS44565

レジストラントの jessica357ass＠gmail.comですが
Celebrity-Themed Scareware Campaign Abusing DocStoc and Scribd -- Dec03/2009
昨年の12月頃の偽AVソフトキャンペーンの際、悪意ドメイン群のレジストラントの中に、gumblar.cnを取得したときと同じ pvcprotect＠gmail.comがあったことが報告されています。

どうも嫌な感じなので、改めて注意喚起をしておきます。

尚、同時に Aurora で使用されていた CVE-2010-0249 も同時搭載されたようですが、こちらは既にパッチが出ていますので（たぶん）大丈夫だと思います。
[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)

IE6/7を使用中の方はIE8に上げるか、別のブラウザを検討してください。

IE6をどうしても使用し続けなければならない方は、必ず対策を取って下さい。
マイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行される
[981374] Internet Explorer の脆弱性により、リモートでコードが実行される(CVE-2010-0806)

参考：
IEの未修正の脆弱性を突く攻撃が急増――セキュリティ・ベンダーが警告
マイクロソフト、IE 6/7の脆弱性自動修正ツールを追加
拡大するIE6/7のゼロデイ攻撃～国内の改ざんサイトにも攻撃のワナ

Keep safety

EoF

カチューシャの唄の日
バングラデシュ 独立記念日 (1971年)
楽聖忌 ルートヴィヒ・ヴァン・ベートーヴェン 没 （1827年）
犀星忌 室生犀星 没 (1962年)
パラメトロン計算機PC-1が完成。1958年

----------
PWNED #
セキュリティカンファレンス「CanSecWest」で、恒例のハッキングの腕を競うコンテスト Pwn2Own で今年もまた・・
「iPhone」「Safari」「IE8」「Firefox」がハッキングされる--Pwn2Ownコンテスト
IE8, Safari, iPhone All Fall At Pwn2Own Contest
iPhone, IE, Firefox, Safari get stomped at hacker contest
Pwn2Own 2010: iPhone hacked - as well as IE 8, Firefox and Safari
Firefox, IE8 and Safari hacked at CanSecWest
IE8, Safari 4, Firefox 3, iPhone fall on day 1 of Pwn2Own
Windows 7とSnow Leopard、ハックイベントで仲良く陥落

IE8 with Win7
Hacker exploits IE8 on Windows 7 to Win Pwn2Own
Hacker exploits IE8 on Windows 7 to win Pwn2Own

Firefox
Mozilla Firefox Hacked at Pwn2Own Contest
Pwn2Own hack topples Firefox on Windows

Safari on MacBook
Pwn2Own Safari Attack: Charlie Miller Hijacks MacBook
Charlie Miller on His Pwn2Own Win(インタビュー)
Pwn2Own MacBook attack: Charlie Miller hacks Safari again

iPhone
iPhone Hacked at Pwn2Own; SMS Database Stolen
Pwn2Own 2010: iPhone hacked, SMS database hijacked
iPhoneのブラウザに脆弱性、ページを開いただけで SMSやメールを漏洩

※ZDnetとThreatPostは寄稿者が同じなのですが、体裁がちょっと違っているので貼ってみました。

速攻で対処が望まれるのは iPhoneのReturn-into-libc攻撃でしょうか？ 軽減策がみあたりませんが、ユーザ "mobile"の権限を制限する方法があるのかな？

後々、問題になりそうなのがコレ
Researchers Finding New Ways to Bypass Exploit Mitigations
However, as several talks at the CanSecWest conference and the results of the related Pwn2Own hacking contest here have shown, difficult is not the same as impossible. The clearest example of this is the Pwn2Own victory by Peter Vreugdenhil, a Dutch researcher who was able to exploit a previously unknown vulnerability in Internet Explorer 8 on 64-bit Windows 7 after bypassing both ASLR and DEP.
完全に手法が確立しているわけでは無さそうですが、「困難」と「不可能」は違うというのは耳に痛いですね。

"The attackers can recreate the SEH chain," Suzuki said(Suichiro Suzuki, a researcher at Fourteenforty Research Institute).
お～

Hacker Bypasses Windows 7 Anti-Exploit Features In IE 8 Hack

それにしても、賞金1M$ かぁ・・ウラヤマシ

----------
クリックするな！ #
Millions continue to click on spam
Yet, only 36% of consumers believe they might get a virus and 46% of those who opened spam did so intentionally.
開かないで～！（苦笑）
このへんの教育って、どの時期にやるべきものなのでしょうね？

Source:
2010 MAAWG Email Security Awareness and Usage Report -- Issued March 2010
Spam goes down well

続く
----------
陥落すると・・ #
Bot陥落しちゃうと好き放題になるというお話
Hackers hit where they live
The vast majority of these junk mail messages came from compromised malware-infested networks of zombie PCs (aka botnets) MessageLabs reports that 77 per cent of spam sent from the Rustock botnet this month used secure TLS connections.
企業内の感染BotがTLSを使ったspam送信を行うので、更にトラフィックを上げられてしまうと・・

The outbound traffic frequently outweighs the size of the spam message itself and can significantly tax the workload on corporate email servers.
まさに踏んだりけったりですね

ネットワーク管理者は、（たま～にでいいですから）、ログを監視し、あるいは abuse にやってくるメールをチェックしたり、自分のドメインを検索して、ブラックリストに引っかかっていないかチェックしたりしてみるのもいいでしょう。

微妙に続く
----------
Apple App Store #
Fake Apple App Store Malicious Spam
！！（Dr.Waledacの登場でのけぞった）

updates.exe
2010.03.24 14:50:30 (UTC) 12/41 (29.27%)
updates.exe
2010.03.25 22:45:19 (UTC) 22/41 (53.66%)
spamにクッツイテる添付やURL先のものは、急速に検出率が上がりますね。
しかし、iPhoneネタで .exe ってのは何となく納得いかないものもあるのですが・・

Spammers Spoof the Apple Store

更に続く
----------
spam(s) #
今日はスパムネタが多いですね。

Zeus wants to do your taxes
If you want to check out your own logs to catch this and similar attacks, I'd suggest looking for domains that look like www.irs.gov. and downloaded executables with the word "tax" in them.
というわけで、いつもの IRSを騙るspam ですね。
hXXp://www.irs.gov.rccesi・net/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.we1sae・kr/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rcceko・com/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rccesa・com/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rfsderw.me・uk/fraud.applications/application/statement.php?以下略
あたりでしょうが、この辺をドメインベースで弾いても意味は無いでしょう。

Child Tax Credit is the New Phishing Bait
亜種もあるようで・・

まだ続く
----------
spam(s) #
今日はスパムネタが異常に多いですね。
こんどは訴訟です。
Mal/RtfExe-A: A bogus legal email campaign “Complaint filled against you.”
The case number is 3478254. The reason the lawsuit was filed was due to a completely inadequate response from your company for copyright infrigement that our client Danilison Inc is a victim of.
著作権侵害ですか・・・
貼ってあるlinkはRTF(.doc)ですが、中身は PPDFです（苦笑）
しかしコレ、本当にこういう書面が RIAAあたりから届くこともあるので、笑えないですね。

"Copyright Lawsuit filed against you"
Responding to "Copyright Lawsuit filed against you"
How bad is it for us?
Using those details it's time to evaluate the impact this attack has had on your firm. If you have anyone who downloaded the file, or evidence of a machine reaching out for the next-stage then you pull your Malware Incident response document off of the shelf and follow that. We all have differing levels of documentation to refer to, but there's always some sort of plan, even if it's "update resume."
suit_documents.doc
2010.03.25 14:58:53 (UTC) 10/42 (23.81%)
suit_documents.doc
2010.03.25 21:06:40 (UTC) 10/42 (23.81%)
7時間ではあまり検出上昇していませんね・・ちょっと厄介かも

Fake Lawsuit Notification Attack
偽の訴訟通知攻撃

----------
HURRY!

----------
20年 #
振り込め詐欺「キング」に懲役２０年判決
わいせつ事件の示談金などを名目とした振り込め詐欺事件で、組織犯罪処罰法違反（組織的詐欺）などに問われた詐欺グループの主犯格で、グループ内で「キング」と呼ばれていた無職戸田雅樹被告（３１）の判決が２４日、東京地裁であった。
菱田泰信裁判長は「被告は詐欺の手口ごとにグループを分けて収益を競わせるなど集団を高度に組織化し、主宰者として職業的に犯行を繰り返していた」と述べ、懲役２０年（求刑・懲役２３年）を言い渡した。
well!

続く
----------
こっちも20年 #
TJX hacker gets 20-year jail sentence
Convicted cyber-criminal Albert Gonzalez, the mastermind hacker behind the TJX and Hannaford data breaches, was today sentenced to 20 years in jail.
GJ!

TJX hacker sent to jail for 20 years after stealing 40 million credit cards

----------
Other #

「Kenzero」騒動～５千名超の被害者を出し「さらしサイト」閉鎖、終焉へ
和解金の振込先は、昨年11月に起きたKenzero騒動の時に指定されていた銀行口座と同じものが使われており、同一犯によるものとみられる。
突如、実家帰省 -- Outer Heaven
さて、記事内にて「この件に関しては書くと長くなるので、記事の一番最後に書きますね」ってのがありましたね？

オバマ大統領のTwitterアカウント乗っ取り犯が逮捕
Man arrested for attack on Twitter accounts
French suspect grilled over Obama Twitter hack
愉快犯とはいえ・・

Shadowserver's thoughts on the B49 Waledac Effort
Operation B49(Waledac掃討作戦）その後

Mac Malware – fact or fiction?
One of the questions I am most often asked has to do with the supposed “immunity” of Mac. The first thing I always explain is that no system is invulnerable, and that in the case of Apple, it is not renowned for paying much attention to leopard-logosecurity. Depending on the person’s fondness for Apple, the tone of my reply may vary, yet the reaction is invariably one of surprise: “Really? I’ve been using Mac for years, and as far as I know I haven’t been infected”.
感染してからでは遅い・・とはいえ、Mac上のウィルス・マルウェアを見たことが無いというのは一般のMacユーザの心証でしょうね。昔はMac上の"Joke"ウィルスのほうが圧倒的に多かったのですが・・・

大阪市水道局、プレスリリースに誤って個人情報を掲載
ちなみにこの添付ファイルは、「検定満期メータ取替票」をスキャナで読み込んだもので、ソフト上で個人情報が見えなくなるよう、加工し添付資料として、全体をPDF化したものだったが、PDF化した添付ファイル中の資料をコピーし、別のファイルに貼り付けたとき、見えなくなるよう加工したはずの個人情報が閲覧できたという。
黒塗り・・・

Rogue Toolbars Serve Up Facebook Phishing Pages
妙なツールバーをインストールしてはいけません。

IEの未修正の脆弱性を突く攻撃が急増――セキュリティ・ベンダーが警告
修正パッチはいまだ提供されず、専門家は早期リリースを進言中
もう修正しないでいいから、IE6とIE7を捨てるように勧告してください（笑）

03/14(日)～03/20(土) のセキュリティ関連情報

Targeted Attack uses FIFA World Cup 2010 as a hook
これもspam + PPDF

Shanghai Expo Spam Carries Backdoor
これもspam + PPDF

もう好きにして・・・・

出版大手31社が電子書籍の分野で団結
護送船団方式・・

bad advice: disable your av
yeah, this WTF moment was brought to you by a facebook application development company called chainn who thought it would be a good idea to tell users to disable (or even remove) norton anti-virus.
うはは（笑）

YouTube does a Lindsay and takes a tumble


ワォッ！ Ad.lyがTechCrunchのつぶやき1回を7000ドルで売リたいって
この話に乗るかって？ もちろん、やりますよ。純粋に調査目的なので、念のため。広告主が本当に払うかどうか見てみたいからね。7000ドルは、Golden Gate Lab Rescueに寄付する。
そうこなくっちゃ！（笑）

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	71611	AS16276	03/12 19:40:15	03/26 11:00:36
91.121.137.124	49406	AS16276	03/17 23:50:25	03/26 11:00:36
94.75.229.72	42909	AS16265	03/18 01:10:26	03/26 11:00:36
91.121.163.215	41229	AS16276	03/12 18:10:17	03/26 11:00:36
91.121.180.55	27990	AS16276	03/13 01:10:16	03/26 11:00:36
91.121.134.58	22982	AS16276	03/16 10:40:28	03/26 11:00:36
94.23.12.62	19767	AS16276	03/20 06:40:26	03/26 11:00:36
94.23.246.172	7408	AS16276	03/22 13:10:32	03/26 11:00:36
91.121.8.73	5663	AS16276	03/22 06:10:23	03/26 11:00:36
91.121.121.227	4768	AS16276	03/17 20:10:21	03/26 11:00:36
93.89.80.117	4536	AS39326	03/15 13:10:31	03/26 11:00:36
85.131.217.251	323	AS34309	03/26 01:50:40	03/26 11:00:36
94.23.235.93	7753	AS16276	03/20 10:10:32	03/26 10:40:32
94.23.231.140	1901	AS16276	03/16 20:40:34	03/26 10:40:32
91.121.24.139	94580	AS16276	02/17 10:35:20	03/26 10:00:37
91.121.155.20	2092	AS16276	03/17 21:10:22	03/26 09:40:34
95.168.183.126	995	AS28753	03/26 01:10:35	03/26 08:40:39
85.25.137.71	202	AS8972	03/26 03:10:48	03/26 03:40:43
91.191.167.14	211	AS28753	03/26 02:10:36	03/26 02:40:31
94.23.13.65	11613	AS16276	03/16 22:10:24	03/26 01:40:35
91.121.108.38	11447	AS16276	03/20 06:10:36	03/26 01:40:35
91.121.7.26	80225	AS16276	02/20 05:50:34	03/26 01:10:35
91.121.85.178	14094	AS16276	03/15 00:10:34	03/26 01:10:35
91.121.113.184	1576	AS16276	03/17 03:10:41	03/25 23:40:34
91.121.64.214	33413	AS16276	03/12 07:40:30	03/25 22:10:39
91.121.147.163	4988	AS16276	03/12 08:10:27	03/25 22:00:39
91.121.184.167	31558	AS16276	03/12 17:40:15	03/25 21:40:38
62.75.218.192	50785	AS8972	02/17 12:30:27	03/25 18:40:31
194.150.236.199	1013	AS44976	03/15 07:40:38	03/25 01:40:27
193.138.206.254	7486	AS35470	03/23 17:40:22	03/24 19:00:29
88.198.55.175	107	AS24940	03/24 05:50:25	03/24 06:10:27

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[68]IPs

----------
Google Safe Browsing #
| 1269558005 | B | [goog-black-hash 1.53862 update]
| 1269558001 | M | [goog-malware-hash 1.20306 update]
| 308734 | -453(309187)
| 1536142 |
EoF

電気記念日
聖母マリアお告げの祝日 (受胎告知)
公立学校修了式
卒業おめでとう3/9
1943年、黒澤明監督の初監督作品『姿三四郎』封切り。
※昨日のgoogleは、黒澤明氏の誕生日(3/23) に因むもの。

----------
/.sys/?action= #
".sys" Directories Delivering Driveby Downloads
複数のサイトに /.sys/?action=というコードがインジェクションされているという警報です。
Before adding a specific block for ".sys", Paul's web filter caught about 60% of these exploits.
ふむふむ
@peter, much as it would nice to block all .exe's via the web filter that's just not workable in this environment...
それはイエてる（苦笑）

v2captcha21.exe
2010.03.24 04:28:16 (UTC) 36/42 (85.71%)
ヨイコの皆さんはこんなファイルは踏まないはず（苦笑）

/.sys/ Folders and Malware
This is actually a pretty old routine used by Koobface. Our blocks on malware from /.sys/ folders date back over a year, to February 2009.
古いよってことですね。

----------
Gmail #
そもそもGoogleの中国撤退のきっかけとなったのは、gmailへの不正侵入だったかな？
というわけで、gmailに「ログインログ」を表示する機能は前からあるのですが、不審なIPアドレスからのログインがあった場合、警告する機能が付加されました。
Detecting suspicious account activity
謝謝！

Google adds warnings for suspicious GMail activity
Google Bolsters Gmail Security

----------
HURRY!
ええええ～

↓今日の時間食った原因
----------
RSA #
悪人向け「ウイルス検査サービス」登場！ 対策ソフト回避が目的
このRSAのホワイトペーパーを探し回って結局見当たりませんでした・・

ウイルス対策ベンダーの先を行くオンライン犯罪者の手口
「アンチ・アンチウイルス」がサービス化、RSAセキュリティが指摘
専用サイトでウイルス対策ソフトをテストするハッカーたち ～ RSA調べ

同じニュースソースだと思うのですが、結構各誌で捕らえ方が違うな～と思って原文・・・ orz

----------
週間脆弱性＜2010.03.24＞ #
チェックしておきたいぜい弱性情報＜2010.03.24＞ BGM
Samba 3.5.1、3.4.7、3.3.12リリース（2010/03/08）
Internet Explorerに任意のコード実行につながるぜい弱性（2010/03/11）
（CVE-2010-0806）
Safari 4.0.5リリース（2010/03/12）
米シスコ製品に複数のぜい弱性（2010/03/03）

いつもありがとうございます.

微妙に続く
----------
cisco #
また！？
[111265] Cisco IOS Software H.323 Denial of Service Vulnerabilities
[111266] Cisco IOS Software IPsec Vulnerability
[111268] Cisco IOS Software NAT Skinny Call Control Protocol Vulnerability
[111448] Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerabilities
[111449] Cisco Unified Communications Manager Express Denial of Service Vulnerabilities
[111450] Cisco IOS Software Crafted TCP Packet Denial of Service Vulnerability
[111458] Cisco IOS Software Multiprotocol Label Switching Packet Vulnerability
ひ～ふ～み～の７つですね

導入しているところは、ベンダーに問い合わせを行った方がよいでしょう。

----------
ZeuS_Picture #
新しいZeuSのキャンペーン開始のお知らせ
Spam with “Pictures” Used to Spread ZBOT


さすがにこんな怪しいものを踏む人はいないと信じたい

Zeus Crimeware/Client-Side Exploits Serving Campaign in the Wild -- ddanchev
PhotoArchive.exe
2010.03.24 14:34:06 (UTC) 18/41 (43.90%)
From AS4134（よっ！）

他にも、
New ZBOT Variants Targeting European Banks
やら
AVprofit: Rogue AV + Zeus = $
やらと、いろいろキャンペーンを展開しています。

日本にはあまり影響はなさそうですが、気をつけましょう。

----------
完全に時間切れ
今日は数が多すぎます。

----------
Other #

New Scareware Tactic Lures in More FAKEAV Buyers

Spammers Get Creative with ASCII
このバイアグラには参った orz....

拡大するIE6/7のゼロデイ攻撃～国内の改ざんサイトにも攻撃のワナ
編集部の調査では、書籍名などの特定の項目に不正なscriptタグが埋め込まれており、SQLインジェクションによる改ざんではないかと思われる。
あら、そっちのベクトルでしたか？

Communist Party Of Britain’s website infected with malware (again)

Cross-Site Scripting through Flash in Gmail Based Services
食い合わせに注意？

Free website malware detection service
QualysGuard Malware Detection is a FREE

More Scareware, Zeus, Driveby-download Domains
160 new domains flagged as drive-by downloads, scareware, zeus, and harmful by malc0de.com, jsunpack.jeek.org, malwareint.blogspot.com and others:

It takes only one 'nice' person
I'm writing this with tears in my eyes,my fam and..
ナイジェリア・・

Your health, tax, and search data siphoned
MitM thru WPA and WiFi with SSL


中国政府、香港サイトへのトラフィックを検閲―Googleに報復開始
ま・・そうなるでしょうね

Yahooが広告マルウェア配信のトップに。曰く「当社の問題ではない」
※記事全文を読むことをお奨めします（一部抜粋は危険）

WiMAX 無線設備のケーブルが架線に落下、JR山手線などが3時間以上に渡り運休
（ケーブル）入ってる？
埼京線・山手線などストップ　帰宅客ら２６万人に影響

CVE-2010-0188: Exploit in the wild
It must be noted, however, that this exploit will fail if you disable Javascript or enabling hardware-enforced DEP. Yet, a researcher named “villy” recently released in his Blog post a proof of concept version (that just launches windows calculator…) that bypasses such protections — Disabling JavaScript and hardware-enforced DEP would not protect you from an attack using a similar strategy.

Who’s sending us Spam?
ブラジル、インド、ベトナム、韓国そしてアメリカっと

New social media? Pay to play online games with women?
t's embarrassing when the cover of video game magazines resemble something you'd normally find on the top shelf.
（笑）

Google-in-China saga: another hack, move to HK
Sunbelt的視線のGoogle撤退騒ぎ

セキュリ亭: ～新入社員へのセキュリティ研修～　(最終回)
最終回～

やっぱ持つべきものは友よね♪
しかめっ面してセキュリティの話をするよりはよっぽどいいです。
このブログ中における株式会社フォティーンフォティ技術研究所（以下FFR）の社員による発言やコメントは、FFRの正式な見解またはコメントではありません。

※この２つの記事を並べたのは他意はありませんので、はい・・・

フィッシング対策の現場から: インタビュー 第6回
これからは携帯電話にもURL表示や証明書の表示が必要
値下げしてください・・・

More security for root DNS servers
RIPE NCC Operated K-Root Server Distributing Root Zone Signed with DNSSEC
ルートサーバ

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	68819	AS16276	03/12 19:40:15	03/25 09:00:41
91.121.137.124	44879	AS16276	03/17 23:50:25	03/25 09:00:41
94.75.229.72	42464	AS16265	03/18 01:10:26	03/25 09:00:41
91.121.163.215	40528	AS16276	03/12 18:10:17	03/25 09:00:41
91.121.180.55	26447	AS16276	03/13 01:10:16	03/25 09:00:41
91.121.134.58	20551	AS16276	03/16 10:40:28	03/25 09:00:41
94.23.12.62	14810	AS16276	03/20 06:40:26	03/25 09:00:41
94.23.246.172	4087	AS16276	03/22 13:10:32	03/25 09:00:41
91.121.8.73	3822	AS16276	03/22 06:10:23	03/25 09:00:41
94.23.13.65	9942	AS16276	03/16 22:10:24	03/25 08:40:39
94.23.235.93	4120	AS16276	03/20 10:10:32	03/25 08:40:39
91.121.7.26	79495	AS16276	02/20 05:50:34	03/25 07:40:32
91.121.184.167	30546	AS16276	03/12 17:40:15	03/25 07:40:32
91.121.85.178	13191	AS16276	03/15 00:10:34	03/25 07:00:38
91.121.108.38	9317	AS16276	03/20 06:10:36	03/25 06:40:40
91.121.64.214	31882	AS16276	03/12 07:40:30	03/25 06:00:40
62.75.218.192	50567	AS8972	02/17 12:30:27	03/25 05:00:43
91.121.121.227	3212	AS16276	03/17 20:10:21	03/25 04:00:33
194.150.236.199	1013	AS44976	03/15 07:40:38	03/25 01:40:27
91.121.24.139	92542	AS16276	02/17 10:35:20	03/24 23:40:31
91.121.155.20	776	AS16276	03/17 21:10:22	03/24 21:40:23
193.138.206.254	7486	AS35470	03/23 17:40:22	03/24 19:00:29
88.198.55.175	107	AS24940	03/24 05:50:25	03/24 06:10:27
91.121.113.184	1363	AS16276	03/17 03:10:41	03/24 05:10:30
91.121.147.163	4894	AS16276	03/12 08:10:27	03/22 19:10:25
85.197.78.2	373	AS25220	03/17 06:10:33	03/22 11:40:20

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[69]IPs

----------
Google Safe Browsing #
| 1269475204 | B | [goog-black-hash 1.53793 update]
| 1269475202 | M | [goog-malware-hash 1.20286 update]
| 309187 | +1657(307530)
| 1533157 |
EoF