Archive for 3 月 18th, 2010

2010.03.18 木曜日

Posted in security on 3 月 18th, 2010 by gnome

博物館明治村開村 (1965年)
精霊の日
柿本人麻呂和泉式部小野小町の3人の忌日がこの日であると伝えられている

----------
Worm注意報 #
Trojan outbreak on a College Campus
"We are now in major clean up mode. All the file servers have been removed from the network to prevent further spread.
Basically the virus hides all the files in a directory and the directory itself. It then adds a file of 74K with the same name as the file with a .exe. So a user wishing to open
their word document would actually be infecting themselves with the virus."
なんだかとっても厄介なWorm のようですね。
検出名は Trojan.Win32.Scar.bwgf
これかな~?
2012.exe
18/42 (42.86%) 2010.03.16 04:57:32 (UTC)
wkshop.exe
31/42 (73.81%) 2010.03.17 22:09:19 (UTC)
わずかな期間で検出率がハネあがっているということは、現在流行中であるという指標でもあります。

Mal/Behav-043(Sophos)
Mal/Behav-043 Last UPD : 17 October 2007
古っ?

ちょっと気をつけておきましょう。

----------
ZeuSキャンペーン #
日本では流行っていない(と言われている)ZeuSですが、米国内では猛威を振るっています。
Zeus Trojan Campaign Warning
The attacks arrive via unsolicited email messages that may contain subject lines related to DHS or other government activity.
DHSやら他の政府機関を騙るspamが多数着弾している模様です。

ZeuSのトロイ本体とそのモジュール群の価格表(苦笑)
ZeuS Banking Trojan Report
ベースシステムと、拡張システムの価格体系まで細かく細分化されています。

How to Protect Yourself from ZeuS
The CTU recommends that businesses and home users carry out online banking and financial transactions on isolated workstations that are not used for general Internet activities, such as web browsing and reading email which could increase the risk of infection.
最低でも、マスターパスワードでの暗号化可能なブラウザにのみ保管するようにしましょう。

続く
----------
The Den #
で、そのZeuS 系C&C の巣窟となっている Troyak ですが、その周辺Peer のISP がRSA から公表されました。
Cybercrime's bulletproof hosting exposed
Near the center of the spiderweb are eight networks dedicated to keeping ISPs such as Troyak connected no matter what may happen. According to RSA, they are:
Citygame, AS12604 as
Vishclub, AS50369 as
Smila, AS50390 as
Mariam UA, AS42229 as
Prombuddetal, AS44107 as
VVPN, AS49934 as
Vesteh, AS47560 as
Bogonet, AS47821 as

Surrounding these networks are the ISPs that host the command and control channels. Besides Troyak, they include:
Profitlan, AS12383 as
Taba, AS8287 as
Profitlan, AS31366 as
Profitlan, AS44051 as
日本在住の個人、企業でこの辺のISP に繋ぐ必要性はあまり無いでしょうね・・・

TROYAK-AS: the cybercrime-friendly ISP that just won't go away
Researchers Map Multi-Network Cybercrime Infrastructure

----------
スパムで死ぬ~! #
Spam was killing us! Here is what we did to help!
spamとの戦いに疲れ果て・・のレポート。
Block + Quarantine = 96.4%
なんというか、「お疲れ様」としか言いようがありませんネ。

しかも、必ずこーいうことを言われるわけで・・・
My concern, if I were a customer of yours, would be how many legitimate email messages did I NOT get. Do you know how many false positives it actually dropped?
メールサーバの運用なんかやってられるか~(ちゃぶ台Drop)

関係ないけど、ホーメルがSPAM(缶)のCM やってますね・・

----------
AUでもAKでも #
Troj/JSRedir-AU: Troj/JSRedir-AK redux?
難読化技術だけはどんどん進化(?)していますね。

あと、Sophosさんもそろそろ名称つけてくれませんか?

----------
twt.tl #
Twitter launches shortening service
.tlって東ティモールだったんですね~
この国章はいかがなものか?という意見には同意(笑)

----------
HURRY!

----------
Firefox 3.0.x end of life #
Firefox 3.0 approaches end-of-life
CentOSなどの「リポジトリの更新の遅い」プロダクツを使用している方は注意しましょう。
※CentOS5.4 は3.6 がいきなりRPM からインストールされてちょっと驚きましたが・・・

3.7系開発の方は絶賛混乱中の様子(笑)
Minefield 3.7a4preでタブの表示が一番上にできるように

3.6.2がもうすぐリリースされる予定です。

----------
炉 DNS-BH #
New zeus/wsnpoem, fastflux, rogue domains
217 new domains associated with rogue antivirus, fastflux, trojan, iframes, botnets, etc. Souces include secuboxlabs.fr, malwaredomainlist.com, ddanchev.blogspot.com
いつもありがとうございます。
Dancho Danchev's Blog(ZDNet's Zero Dayの方)が入ってますね。

----------
Other #
時間切れ・・

Internals of Rogue Blogs
後で精読しよう・・
以前問題になった bmsblog 系の「見えないインジェクション」が更にパワーアップしている様子。
.htaccess への「がんぶら~」攻撃と謳っているのも、恐らく同一のベクトルです。

2010年に最も警戒すべきセキュリティ脅威は「DNSリバインディング」
DNS rebinding
Same origin policy

20 critical Apple vulnerabilities to be revealed

PHP6開発 UTF-16化を断念、5.3へロールバック
ありゃ・・

The new disclosure debate and the evil Mr Moore
長い・・

Virtual PC Hypervisor Memory Protection Vulnerability
Verified: yes

Adobe Reader PDF LibTiff Integer Overflow Code Execution
Verified: yes

企業内のマルウェア活動が増加傾向に、ラックの最新版報告書
PC対策の第一歩はぜい弱性確認
ああ、がんぶら~

消えゆく市場へのマーケティング
うらやまs

----------
8080 #
countASN登録更新
91.121.108.53106208 AS16276 02/17 10:35:2003/18 10:40:22
91.121.7.2674618 AS16276 02/20 05:50:3403/18 10:40:22
91.121.160.21730332 AS16276 03/12 19:40:1503/18 10:40:22
91.121.137.1242639 AS16276 03/17 23:50:2503/18 10:40:22
94.75.229.721931 AS16265 03/18 01:10:2603/18 10:40:22
91.121.85.1786353 AS16276 03/15 00:10:3403/18 10:00:26
93.89.80.1171980 AS39326 03/15 13:10:3103/18 10:00:26
91.121.163.21524668 AS16276 03/12 18:10:1703/18 09:40:28
91.121.64.21422267 AS16276 03/12 07:40:3003/18 09:40:28
91.121.184.16718556 AS16276 03/12 17:40:1503/18 08:40:22
94.23.13.652298 AS16276 03/16 22:10:2403/18 08:00:21
91.121.134.584343 AS16276 03/16 10:40:2803/18 07:10:42
94.23.231.140625 AS16276 03/16 20:40:3403/18 06:10:25
91.121.180.5513221 AS16276 03/13 01:10:1603/18 04:40:22
91.121.113.184644 AS16276 03/17 03:10:4103/18 02:00:28
91.121.155.20453 AS16276 03/17 21:10:2203/18 00:10:36
91.121.24.13991208 AS16276 02/17 10:35:2003/17 23:00:29
91.121.121.227451 AS16276 03/17 20:10:2103/17 23:00:29
188.40.113.20119 AS24940 03/17 20:40:2703/17 21:10:22
82.98.193.21124917 AS8455 03/13 23:40:2303/17 18:00:30
62.75.218.19250024 AS8972 02/17 12:30:2703/17 08:10:34
85.197.78.2179 AS25220 03/17 06:10:3303/17 06:40:26
193.138.206.56286 AS35470 03/16 22:40:4703/17 02:40:49
85.17.137.935768 AS16265 03/16 05:40:3403/17 01:40:37
91.121.147.1634656 AS16276 03/12 08:10:2703/17 01:00:23
194.150.236.199103 AS44976 03/15 07:40:3803/15 08:00:22
91.204.116.1145723 AS44976 02/24 23:30:0703/14 23:40:50
真っ赤:24H以内登録 :5日以内登録 薄赤:24H以内更新 4日経過:[60]IPs

な・・長くなってきた・・ 閾値を4日にします

----------
Google Safe Browsing #
| 1268870414 | B | [goog-black-hash 1.53288 update]
| 1268870404 | M | [goog-malware-hash 1.20119 update]
| 303065 | -3581(306646) 減ってる減ってる
| 1499986 |
EoF

Leave A Comment »

ホットワード padding margin 木曜日 博物館明治村 精霊
割引クーポンまとめ情報 - クー割