UnderForge of Lack

世界結核デー (World Tuberculosis Day)
檸檬忌
壇ノ浦の戦い 元暦2年/寿永4年3月24日（1185年 新暦の4 月25日）
国際電信電話株式会社 (KDD、現在のKDDI) 設立。(1953年) バビョーン

----------
Browser(s) #
Keep Systems Safe: Patch Alternative Browsers
alternative browsers battle due to ZERO-DAY FLAW
Opera : 10.51
Safari : 4.0.5
Chrome : 4.1.249.1036
Firefox : 3.6.2
IEはバージョン番号変わらないのでよくわからず（笑）
8.0.7600.16385 って表記は最初から変わってないような気がします。

何度も言われることですが、「攻撃を受けた脆弱性」≠「ゼロデイ」に気をつけないと混乱しますね。
Firefox 3.6.2
Mozilla Firefoxは最近、バージョン3.6（のみ）に影響する脆弱性に対して攻撃を受けた。
Firefox 3.6.2
Mozilla Firefox recently came under fire for a vulnerability that affected (only) the 3.6 version.
実際の攻撃が確認されたかどうかは寡聞にして存じません。

ともあれ、脆弱性指標：「緊急」であったことは事実ですので、Secuniaの指標マネージメントは間違ってはいなかったということになるのでしょうか？

というかバグ多いなぁ・・・
status1.9.2: .2-fixed
111 bugs found.

Mozilla Releases Firefox 3.6.2
Firefox 3.6.2 closes critical security hole
Mozilla swats Firefox zero-day bug a week early
Exploit code was available though not in the "weaponised" form beloved by script kiddies - instead the exploit was available as an add-on to the Immunity Canvas automated exploitation system.
Firefox 3.6.2 addresses critical vulnerability
Firefox 3.6.2 early edition
Mozilla fast-tracks critical Firefox security patch
A hacker known as “Nils” is planning to launch a code execution exploit against Firefox at this year’s Pwn2Own.

----------
DNSリバインディング #
2010年に最も警戒すべきセキュリティ脅威は「DNSリバインディング」
↓
『2010年に最も警戒すべきセキュリティ脅威は「DNSリバインディング」』は誤報

やっぱり誤訳は怖いな～
※だから最近は原文引用が多いのです（笑）

ここまで理解して、私は以下のように妄想した。このプレゼンを担当したJeremiah Grossman氏は、セキュリティ脅威を10個集めるのに苦労したのではないか。苦労したあげく、DNSリバインディングの新しい脅威を担ぎ出したのではないか。そう感じるほどに、この攻撃手法にはトホホなものを感じたのだ。
苦笑

というわけで、「もっとも警戒すべき」かどうかはともかく、DNSリバインディングが警戒すべき脅威であることは間違いない。読者のセキュリティ対策の参考になれば幸いである。
TTLを異常に短くしたDNSに注意・・って、あれは別の側面もありますね。

DNS Rebinding
「かんたんログイン」DNSリバインディング耐性のチェック方法
DNSリバインディング問題の確認方法
携帯キャリアのゲートウェイ以外からのアクセスを拒否しているような場合


----------
HURRY

----------
ru #
ロシアの「.ru」ドメインの登録手続きが厳格化へ――サイバー犯罪の防止がねらい
4月1日から.ruドメインに登録する際、個人であればパスポートのコピーを、企業の場合は法的な登録書類などのコピーを提出することが義務づけられる。

近年.ruドメインが詐欺行為の温床になってきたことは認めるが、.ruドメインから犯罪者を駆逐しても、ベトナムの.vnやインドネシアの.idなど、今後同様の問題が起こる可能性のあるドメインは他にもあると指摘している。

2月に行われたインターネット・ドメイン名データベースの調査では、正確な記録は全体のわずか23％に留まっていた。

Public Comment: Draft Report on WHOIS Accuracy
Draft Report for the Study of the Accuracy of WHOIS Registrant Contact Information 15P あたり

From Russia with (objective) spam stats

----------
Malware作者はGoogleがお好き #
Using Windows “hosts” file to cut off the help line
セキュ会社のドメインは全部 Google(209.85.129.99)に接続するように hostsを書き換え・・・

----------
Skype #
Skype Toolbar for Outlook Scam

SkypeToolbarForOutlook.exe
2010.03.23 07:01:42 (UTC) 6/42 (14.29%)
SkypeToolbarForOutlook.exe
2010.03.23 16:07:24 (UTC) 8/41 (19.51%)

気をつけましょう。

----------
最も高リスクな「都市」 #
The Top 10 Riskiest US Cities for Cybercrime

What's the Riskiest City for Web Surfing?
list of the 10 riskiest online cities.
おめでとう、シアトル・・・
どういう基準なのかは不明ですが

Norton’s Top 10 Riskiest Online Cities
Most Dangerous Cities for Cyber Crime? -- GarWarner
ぜひ、日本版もお願いします！

----------
予言どおり・・ #
Active Koobface C&C servers hit a record high – 200+ and counting
あまりにも予言どおりではないですか！？

昨日↓
Koobface C&C servers steadily dropping - new spike coming soon?

Twitter経由のspamに気をつけましょう

微妙に続く
----------
spam down #
State of Twitter SpamState of Twitter Spam
We’re constantly battling against spam to improve the Twitter experience and we're happy to report that it's working.
*clap* *clap* *clap*

運営側の毅然とした態度が（悪意アカウントの封鎖）が功を奏し始めましたね。

----------
Avira #
Avira AntiVir 10 released
Avira AntiVir 10 stumbles slightly

----------
未承認広告 #
KDDI、携帯メールの「未承諾広告」を規制する機能を廃止
KDDIは3月23日、au携帯電話利用者向けに提供している「メールフィルター」の「未承諾広告規制」機能を6月16日で終了すると発表した。
携帯は特に、spamはイヤですよね～

----------
kenzero #
P2Pユーザー狙うウイルス「Kenzero」再襲来、5千人近い被害者がさらし者に
Winny、 Shareウィルスを利用した著作権詐欺に注意
Winny、 Shareウィルスを利用した著作権詐欺に注意 その2
シマンテック、トレンドマイクロのようなセキュリティソフトウェア企業が、ウィルスを利用した詐欺にダシにされると言うのも皮肉なものだ。また、情報漏洩ウィルスによって痛い目にあった/あわせたIBMが、全く感知していないとはいえ、再びこうした情報漏洩（さらに詐欺）問題に巻き込まれるというのも、不幸な話だ。
ホームページ・ビルダー_13
ホームページ・ビルダー_14
ノートン_360_バージョン_4.0

なんというか・・詐欺の範疇を超えてますね。
setup.exe
2010.03.23 19:51:02 (UTC) 2/42 (4.76%)

----------
SecuniaCSI #
Secunia CSI 4.0 - integrated with Microsoft WSUS & SCCM for 3rd party patch management
The Public Beta of the Secunia Corporate Software Inspector (CSI) 4.0 has ended. The final version of the Secunia CSI 4.0 is now available to our customers.
Centralised software updates

PSIではなく、企業向けソリューションです。

----------
Skipfish #
[WebSec][Tools]skipfish skipfish -- SecuDiary
コンパイルエラーで難儀してます・・・（涙）

----------
がんぶら～ vs 警察 #
ガンブラー：ウイルス、欧州サーバー感染源に　警視庁が仏、独など当局に捜査協力要請
このため、閲覧者を誘導するサイトのドメイン（ネットの住所）を捜査したところ、いずれもロシアを示す「．ｒｕ」となっていたが、ＩＰアドレスの分析で、フランスの１９サーバー▽オランダ６サーバー▽ドイツ４サーバー▽英国１サーバー▽ルクセンブルク１サーバー－－の５カ国計３１サーバーを通じ、ガンブラーに感染していたことを突き止めた。
がんばれ、ピーポ君！

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	64381	AS16276	03/12 19:40:15	03/24 08:40:20
91.121.137.124	38900	AS16276	03/17 23:50:25	03/24 08:40:20
94.75.229.72	38074	AS16265	03/18 01:10:26	03/24 08:40:20
91.121.163.215	37499	AS16276	03/12 18:10:17	03/24 08:40:20
91.121.134.58	18729	AS16276	03/16 10:40:28	03/24 08:40:20
91.121.85.178	12216	AS16276	03/15 00:10:34	03/24 08:40:20
94.23.12.62	11290	AS16276	03/20 06:40:26	03/24 08:40:20
193.138.206.254	4202	AS35470	03/23 17:40:22	03/24 08:40:20
94.23.246.172	2797	AS16276	03/22 13:10:32	03/24 08:40:20
91.121.180.55	24059	AS16276	03/13 01:10:16	03/24 08:00:21
91.121.8.73	2333	AS16276	03/22 06:10:23	03/24 08:00:21
91.121.108.38	7284	AS16276	03/20 06:10:36	03/24 07:40:27
91.121.184.167	28400	AS16276	03/12 17:40:15	03/24 06:40:31
94.23.13.65	9320	AS16276	03/16 22:10:24	03/24 06:40:31
88.198.55.175	107	AS24940	03/24 05:50:25	03/24 06:10:27
94.23.235.93	3502	AS16276	03/20 10:10:32	03/24 05:10:30
91.121.113.184	1363	AS16276	03/17 03:10:41	03/24 05:10:30
91.121.64.214	30624	AS16276	03/12 07:40:30	03/24 04:40:22
91.121.7.26	79072	AS16276	02/20 05:50:34	03/24 01:00:20
91.121.121.227	2891	AS16276	03/17 20:10:21	03/23 18:00:31
91.121.155.20	567	AS16276	03/17 21:10:22	03/23 10:00:24
91.121.24.139	92346	AS16276	02/17 10:35:20	03/23 03:00:21
62.75.218.192	50335	AS8972	02/17 12:30:27	03/22 19:10:25
91.121.147.163	4894	AS16276	03/12 08:10:27	03/22 19:10:25
85.197.78.2	373	AS25220	03/17 06:10:33	03/22 11:40:20
194.150.236.199	795	AS44976	03/15 07:40:38	03/22 08:40:21
188.165.192.106	2451	AS16276	03/20 09:40:28	03/22 06:10:23
91.121.108.53	114691	AS16276	02/17 10:35:20	03/22 03:40:22
94.23.231.140	1029	AS16276	03/16 20:40:34	03/21 09:10:23

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[66]IPs

----------
Google Safe Browsing #
| 1269385205 | B | [goog-black-hash 1.53717 update]
| 1269385201 | M | [goog-malware-hash 1.20261 update]
| 307530 | +4359(303171)
| 1526867 |
EoF

3/30と発表があった「Firefox Zero Day」への対応パッチですが、取り急ぎ正式導入したようです。

Firefox 3.6 セキュリティアドバイザリ
MFSA 2010-08 WOFF の整数オーバーフローによるヒープ破損

[Bug 552216] WOFF heap corruption due to integer overflow
Evgeny L. from Vulndisco reported a crash due to a buffer overflow in our WOFF parser. I am able to reproduce the crash, but the stack I get doesn't appear to be in font parser code. I'll try it in a debug build shortly to see if it looks any different.
CVE-2010-1028
Unspecified vulnerability in Mozilla Firefox 3.6 on Windows XP SP3 and Vista allows remote attackers to execute arbitrary code via unknown vectors, as demonstrated by the vd_ff module in VulnDisco 9.0. NOTE: as of 20100226, this disclosure has no actionable information. However, because the VulnDisco author is a reliable researcher, the issue is being assigned a CVE identifier for tracking purposes.

Mozilla Firefox Unspecified Code Execution Vulnerability 4

とりあえず、脆弱性が特定されたことで、この騒動も落ち着くのかな？

Firefox 3.6.2緊急リリース
3.6.2RCのリリースなしに（ナイトリーのcandidatesから）いきなり正式リリースしたということは、それなりの大穴だったようです。
オッズ立てておけばよかったかな～


EoF

世界気象デー(World Meteorological Day)
パキスタン 共和制記念日
フリードリヒ・フォン・ハイエク 1992年没、享年92

----------
Vulnerabilities in WordPress #
注意喚起です
Vulnerabilities in WordPress
These are Brute Force and Insufficient Authorization vulnerabilities.
There is no protection from picking up of a password (from Brute Force attacks) in function of protecting pages/posts by a password.
ここで言われている、"At every page/post in WP it's possible to set a password" というのは、各ページに掛けるパスワード保護のことかな？
要するに、パスワード保護を掛けて幾つも「秘密の」記事をポストしている場合、1個のパスワードを通せば、cookieに保存された認証により、他の（恐らくは違う）パスワード保護記事も閲覧できてしまうというもの。

At every page/post in WP it's possible to set a password and these passwords can be equal. But function of accessing by a password writes global cookie, which works for the whole site. And so, after setting the password one time for one page/post, it's possible to see all protected pages/posts (with the same password, even without knowing that the password matches), because at a request to them the access will be granted automatically.

秘密な記事をいっぱい投稿しているサイトは注意しましょう（笑）
※BFAへの軽減策も無いので、延々と攻撃を受ける可能性・・・というか、ロシアの小学校に攻撃した人はヒマというか、よっぽどそこに重要なことが書かれていたのか・・（苦笑）

----------
ドイツでは3/30までFirefox禁止！ #
Mozilla Firefox
ドイツ語読めない・・

German Government: Don't use Firefox
And it's worth bearing in mind - what are you going to do when your replacement browser itself turns out to contain a vulnerability? Are you going to switch yet again?
My advice is to only switch from Firefox if you really know what you are doing with the browser you're swapping to. If you stick with Firefox, apply the security update as soon as its available.
って言われましても・・
この脆弱性いったい全体何者なのか、まだまったく実像が見えてこないので・・・

Germany warns surfers against Firefox
The German government, which previously urged surfers to stay off IE in January for similar unpatched security bug reasons, has now taken a stand against Firefox.
これで残った選択肢は、帝國か、Safariか、いや・・欧州的にはOperaを使えってことなんでしょうか？

Security hole fixed in Firefox 3.6
Germany’s CERT warns against Firefox use

NoScriptのdeveloperはこんな発言をしていますので、JavaScript絡みなんでしょうね・・たぶん。
Firefox 3.6’s “0-Day” and You

微妙に続く
----------
Opera 10.51 #
Opera 10.51 addresses vulnerabilities


Opera 10.51 for Windows released
Opera 10.51 for Windows changelog
Opera 10.51 is a recommended security and stability upgrade. Opera highly recommends all users to upgrade to Opera 10.51 to take advantage of these improvements.

HTTP Content-Length header can be used to execute arbitrary code
The malformed Content-Length header Security Issue
XSLT can be used to retrieve random contents of unrelated documents
Operaはアドバイサリが非常に充実しているので好感が持てますね

Opera Buffer Overflow and Information Disclosure 4

使用中の方は、アップデートしましょう。
そして、勝手に「デフォルトのブラウザ」になってしまう・・・

２個前の記事からびみょうに続く
----------
Sophos! not spam me! #
Sophos - Stop Spamming Me and End Your SEO Campaign
Sophos - if you're listening - stop your comment spam campaign and end your SEO attacks. It's unprofessional.
UCCと同じようなことを・・（笑）

Sophos sorry for blog comment spam campaign
Comment Spam and SEO Campaign Apology
but by a worker at an external company hired by our marketing department.
言い訳としてはこんなもんでしょう・・

----------
予兆 #
春の兆しは来ていますが、こんな兆しは要りません
Koobface C&C servers steadily dropping - new spike coming soon?
漸減してはどっと増え、また漸減するというパターンマッチングによると、また増えそうというKasperskyの予想です（苦笑）

●Be cautious when opening links in suspicious messages, even if the sender is one of your trusted Facebook friends.
●Use an up-to-date, modern browser: Firefox 3.x, Internet Explorer 8, Google Chrome, Opera 10 etc.
●Divulge as little personal information as possible. Do not give out your home address, telephone number or other private details.
●Keep your antivirus software updated to prevent new versions of malware from attacking your computer.
日本では Facebookユーザがあまり居ない様子ですが、Twitter経由には気をつけてください。

----------
DbD #
種の起源ではありませんが、「Webページを踏んだだけで感染する」という Drive by Downloadの起源は意外と古いというお話。
2001年8月に確認された「JS_FLUG.A」を調べてみる
ウィルスの歴史的な動向って、まとめたら書籍にできそうですね。
zlkon(gumblarの前身）が怖ろしかったのって何故だろうという話で、ちょこっと盛り上がりましたが、私的には「マルウェア作者の異常な勤勉さ」だったような気がします。そういう意味では、今の 8080/Gumblar.x も偏執狂めいた執拗さがキモチワルイ。

早く捕まえてくれないかなぁ？（他力本願）

----------
google.cn slawn #
A new approach to China: an update
So earlier today we stopped censoring our search services—Google Search, Google News, and Google Images—on Google.cn. Users visiting Google.cn are now being redirected to Google.com.hk, where we are offering uncensored search in simplified Chinese, specifically designed for users in mainland China and delivered via our servers in Hong Kong.
帝國は、.cnをあきらめ、非検閲の検索結果を .hk で流すってことで決着・・？
なんか、また物議を醸しそうですが・・はてさて？

Google posts page monitoring Chinese censorship
Google has put up a page that shows what Web services are currently being blocked by the Chinese government.
Mainland China service availability
こんな感じで検閲されてるんですね～

Google vs. China — Who's Got the Most To Lose?

----------
音声CAPTCHAも・・ #
Botnet pierces Microsoft Live through audio captchas
A new version of the bot causes infected PCs to pull down Live.com audio captchas and return the correct response within 10 seconds, according to a researcher at anti-virus firm Webroot. The attack allows the zombi machines to send email through accounts with a Live.com address, which are whitelisted by many spam filters.
そのうち、人間にも読めず、聞き取れず、なCAPTCHAになってしまいそうな予感・・

Pushu Variant Spams Hotmail, Cracks Audio Captchas

----------
Other #

Debian update for spamass-milter 4
Spam-assassin milter plug-in 脆弱性へのfixが入り始めました。

Victorinox offers hackers £100,000 challenge
Swiss Army Knife maker Victorinox is asking the best of Britain's hackers to try and beat the biometric security built into its latest USB Flash drive-fitted penknife.
If you manage it, you stand to win £100,000.

いわゆる Gumblar ウイルスの活動に注意
■今週のひとくちメモ

Phishers cast their nets at Neopets Users
Neopoints・tk
ネオペット (Neopets)
※2008年12月31日をもって日本語・イタリア語・韓国語の更新が休止された。
が、まだ子供たちへの英語教育ツールとして使用されているケースもありそうですので、気をつけてください。

Merogo SMS worm
these worms try to spread on Symbian Series 60 3rd Edition devices
日本ではあまり影響はなさそうですが・・

FAKEAV with LSP Routine
LSP chainを書き換えるもの・・修復がメンドイ・・

Malicious Medical Ads Flood Users’ Inboxes
バイアグラ、シアリスは、もういいです・・

Icelandic Volcano Erupts, Fake Antivirus Spews Forth
そして、時事SEO毒も・・もういいです。

Jimmy Wales、「コラムニストを首にしろ」とバカ気た発言（注意：本記事の中立性は保証の限りにあらず）
ジミー・ウェールズ:Wikipedia創始者の一人の発言に関して。

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	59427	AS16276	03/12 19:40:15	03/23 08:40:26
91.121.163.215	35358	AS16276	03/12 18:10:17	03/23 08:40:26
91.121.137.124	32635	AS16276	03/17 23:50:25	03/23 08:40:26
94.75.229.72	32525	AS16265	03/18 01:10:26	03/23 08:40:26
91.121.180.55	22459	AS16276	03/13 01:10:16	03/23 08:40:26
91.121.134.58	15870	AS16276	03/16 10:40:28	03/23 08:40:26
94.23.12.62	9528	AS16276	03/20 06:40:26	03/23 08:40:26
94.23.13.65	8068	AS16276	03/16 22:10:24	03/23 08:40:26
94.23.235.93	2526	AS16276	03/20 10:10:32	03/23 08:40:26
94.23.246.172	1670	AS16276	03/22 13:10:32	03/23 08:40:26
91.121.64.214	29086	AS16276	03/12 07:40:30	03/23 08:00:39
91.121.121.227	2473	AS16276	03/17 20:10:21	03/23 08:00:39
91.121.8.73	1862	AS16276	03/22 06:10:23	03/23 08:00:39
91.121.184.167	26485	AS16276	03/12 17:40:15	03/23 07:00:26
91.121.7.26	78745	AS16276	02/20 05:50:34	03/23 06:00:21
91.121.108.38	5762	AS16276	03/20 06:10:36	03/23 06:00:21
91.121.85.178	11105	AS16276	03/15 00:10:34	03/23 05:40:22
91.121.24.139	92346	AS16276	02/17 10:35:20	03/23 03:00:21
91.121.113.184	1253	AS16276	03/17 03:10:41	03/22 22:00:20
62.75.218.192	50335	AS8972	02/17 12:30:27	03/22 19:10:25
91.121.147.163	4894	AS16276	03/12 08:10:27	03/22 19:10:25
85.197.78.2	373	AS25220	03/17 06:10:33	03/22 11:40:20
194.150.236.199	795	AS44976	03/15 07:40:38	03/22 08:40:21
188.165.192.106	2451	AS16276	03/20 09:40:28	03/22 06:10:23
91.121.108.53	114691	AS16276	02/17 10:35:20	03/22 03:40:22
94.23.231.140	1029	AS16276	03/16 20:40:34	03/21 09:10:23
91.204.116.114	6217	AS44976	02/24 23:30:07	03/21 04:40:33
213.251.133.159	6154	AS16276	02/17 18:00:50	03/20 15:40:29
93.89.80.117	3062	AS39326	03/15 13:10:31	03/20 09:10:33

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[64]IPs

.ru ドメイン取得の方法も .cn と同様に変更の予定
To fight scammers, Russia cracks down on .ru domain
がんばれロシア！
※そしてまた妙なTLDになるんでしょうが・・

----------
Google Safe Browsing #
| 1269298816 | B | [goog-black-hash 1.53645 update]
| 1269298802 | M | [goog-malware-hash 1.20237 update]
| 303171 | +1337(301834) + LEET !?
| 1519840 |
EoF

放送記念日
世界水の日
1993年、インテル社が最初のペンティアムプロセッサ（64ビット、60MHz）の販売開始。 →
2007年、PS3で、分散コンピューティングでの社会貢献の一環として、Folding@homeの提供開始。（現在は、Life with PlayStationに統合されている。）
via: Folding@home

----------
CVE-2010-0806 #
ブラウザ
CVE-2010-0806 (IE6/7のアレ)ですが、ilion 様より別のサイトを教えていただきました。ありがとうございます。

# IE6～7のあれについてはBlastさんが1週間早かったです。
　既に bbs.xcdx169・net/include/log.js → www.hngqt・cn/fw/ad/bm.htm
　のようにごくありふれた攻撃手法となっています。

というか、コレ「ありふれた」攻撃になっちゃってるんですか？
攻撃のメインストリームになってしまうのも時間の問題ですね。

IE 中的漏洞可能允许远程代码执行(金山：“极风漏洞”)
帝國翻訳：脆弱性がIEで 、 非常に穴の風"）（金山："リモートでコードが実行される可能性が orz...

Microsoft Internet Explorer iepeers.dll use-after-free exploit for the Metasploit Framework
だからマルウェア作者が Thanks to HD Moore って書くんですね。

最終的なペイロードは
UPX
2010.03.21 12:50:24 (UTC) 37/42 (88.10%)
TrojanDownloader:Win32/Dogkild.B
Updated: May 28, 2009
という、比較的古典的な UPX downloader のようです。
もちろん、ペイロードをコロコロ変更するのは常套手段ですので、全く安心できません。

IE7 を使用中の方は、IE8 へ至急アップデートしてください。
問題は、システム要件（特にメモリ）的に IE6 をどうしても使い続けなければならない方ですが、正直もう埋葬されているプロダクツなので（笑）今後も FixIt などを駆使しつつ脆弱性に留意しつづけなければなりません。
※疲れませんか？

社内システムが IE6 でしかテストされてないという理由でIE6 を排斥できないところは、社内システム専用のVM なり、XPMode なりを導入し、当該環境下では WAN にピアスできないように設定した方が将来的に見て「身のため」だと思うのですが・・・

レポート：
IE における解放済みメモリを使用する脆弱性（CVE-2010-0806）に関する検証レポート

微妙に続く
----------
XPmode #
「Windows XP Mode」、CPUが仮想化支援非対応でも利用可能に
仮想実行支援機能を備えていないCPUを搭載したWindows 7 PCで「Windows XP Mode」を利用可能にする更新プログラム「KB977206」の提供を開始した。

Windows 7の「XPモード」の動作条件が緩和
こうした数々の制約を解除し、Windows 7 Professional以上を搭載したすべてのパソコンでXPモードが使えるようにするのが、今回のアップデートプログラムだ。XPモードと Windows Virtual PC、XPモードアップデートの3つを順番にインストールすればよい。ただし、仮想化技術に対応した環境の方が、より高いパフォーマンスが得られるとしている。

仮想化非対応のCPU でマトモに動くかどうかは「？」ですが、一応障壁を取り払った形となりました。
どうせ取り払うなら、HomePremium でも仮想化可能にしてほしかったな・・

Windows 7のWindows XP Mode -- [2009/05/07]

Windows XP Mode および Windows Virtual PC
※パッチ：32bit版 64bit版

----------
BitDefender #
Trojan.FakeAlert.5 Update issue
We apologize for the issues that you are experiencing on behalf of the BitDefender update released today for Windows 64-bit systems.
ど・・どんまい・・
OSのシステムファイルまで検疫しちゃったのが痛いですけどね・・
Operating System: Windows Vista 64b & Windows 7 64b
Solution: Non-bootable Windows Vista 64b can be repaired using the Windows Recovery option included on the Windows Vista CD. For all Windows Vista 64b systems a patch that restores all quarantined files has been provided.
Information available at this link: False Positive on X64 systems with BitDefender 2010(要JavaScript Enabled)

Bad BitDefender Antivirus Update Hobbles Windows PCs

今後もこういう事態が発生する可能性はゼロではありません。
異常な数の検疫が発覚し始めたら、一度抗ウィルスソフトを切り、同様の状況が出ていないか Twitter あたりで検索してみるのが良いでしょう。

ただし、PE 型に寄生するWorm 型 (例えば、VIRUX)のようなタイプは、1台のPCから1000とかの感染ファイルが検出されることもありますので、一概に誤報と言い切れない点が、こうした事態の状況判断を更に複雑にしています。

尚、システムファイルが本当に正しいのかを調べるには
Find a Hash
に MD5(SHA-1には対応していません）ハッシュを投げ込んでチェックしてみるのも良いでしょう。
Current database size: 39,944,023 samples.
Additional Data
* Windows XP SP3 x86
* Windows XP SP3 x86 fully patched as of Feb 2010
* Windows 7 64bit
* Windows 7 64bit fully patched as of Feb 2010

今日初めて知りましたが、いつもお世話になっているTeam Cymru の Malware Hash Registryとも連動しているのですね。
今朝6時頃、ダウンしていたようですが・・・

----------
Skipfish #
Skipfish - Web Application Security Tool
So having the possibility to increase my tool set without spending a lot of money sits very well with our administration. From my initial testing yesterday, it did detect a few issues within a sample website which had not been detected prior. So in my book, this is a great plus.
お～！
まだ使ってないですが、楽しみだな（いや、楽しむなよ！ってツッコミ禁止で）

----------
FakeAV for Win7 #
Another FakeAV, for Windows 7!
Win7 で DbD が実行できたって話を聞いたことがまだありませんので、「ユーザが自分で」.exeを実行し、「UAC警告」を無視したということなのでしょう・・たぶん。

ただ、GoogleのSERP への汚染が激しくなっていますので、これに mo/po を使った「日本語版」が出回るようになってくると安閑とはしてられなくなるかもしれません。

一般企業での運用の際には、アドミン権限を持たない一般ユーザで使用してもらうのが無難ですね。

----------
釣り鳥 #
Screenshots of the latest Twitter phishing attack
TwitterのDM(ダイレクトメッセージ）の見方が長い間わからなかったのは内緒です。
TwitterからMySpaceのフィッシングということで、SNS的な使用法をされているということですね。

関連：
MySpace、ユーザー個人情報を販売中

----------
CVE-2010-0188 #
こっちもかなり深刻です。
Acrobat JavaScript のON/OFFに関係なく作動する PPDF(PDF爆弾）があちこちで飛び交っています。
Mar.12 CVE-2010-0188 Adobe PDF LibTiff Integer Overflow Code Execution.Exploit Code by Villy -- contagio

で、
The Latest Adobe Exploit and Session Upgrading
This exploit worked flawlessly against Adobe Reader 9.3 despite DEP being enabled. (For those who didn't know, Adobe Reader 9 enables DEP "permanently".) After I checked to make sure that DEP was indeed enabled (it was), I proceeded to try to figure out why this exploit worked.
Adobe ReaderはDEPが恒久的に enabled になっているにも拘わらず、このexploit は作動するとのこと・・

昨日の ROP の話と関係しているようですが、断言はできません。

Adobe Reader 9.3(無印）は危険です。速やかに 9.3.1 へのアップデートを確認してください。

----------
炉 DNS-BH #
scareware domains, zeus domains, fastflux domains and more
201 new domains to block. Sources include ddanchev.blogspot.com, blogs.paretologic.com, support.clean-mx.de:
いつもありがとうございます。

といっても、私はもう使ってませんが（笑）
ブロック大好きな人や、先制防衛を旨とする部署では有効策の一つでしょう。

----------
countryfilter #
countryfilterによるアクセス制御
ということで、このマルウェアはアメリカに存在する（IPアドレスの所有者的に）PCにのみ感染するということになります。
最近は、マルウェアに感染しすぎちゃって困る～ということで、検体蒐集の阻止に重点を置いているマルウェア・ネットワークも増えているようですね。

193.104.106.51 as AS34305 (EUROACCESS)
やっぱり、防弾ホスト認定ということで・・・

参考：
GeoLite Country -- MaxMind
Accuracy 99.5%
お～

----------
Hostヘッダー利用状況チェッカー #
Hostヘッダー利用状況チェッカー by yamagata21
いつもありがとうございます。

複雑にバーチャルホストが混在する環境が多い昨今、Host: にあまり気を払っていないことに気が付きました。

参考：
Host -- HTTP Header Fields
RFC2616 -- Hypertext Transfer Protocol -- HTTP/1.1 fig 5.2

どういうことが起こるかというと・・
透過型プロキシサーバが HTTP の Host ヘッダに依存して接続を行う問題
攻撃者はプロキシから接続可能なウェブサイトやリソースへアクセスする可能性があります。これらのサイトにはイントラネット上にある内部リソースも含まれることがあります。

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	54282	AS16276	03/12 19:40:15	03/22 09:10:23
91.121.64.214	28127	AS16276	03/12 07:40:30	03/22 09:10:23
94.75.229.72	27107	AS16265	03/18 01:10:26	03/22 09:10:23
91.121.137.124	26950	AS16276	03/17 23:50:25	03/22 09:10:23
91.121.180.55	19629	AS16276	03/13 01:10:16	03/22 09:10:23
94.23.13.65	7192	AS16276	03/16 22:10:24	03/22 09:10:23
94.23.12.62	6268	AS16276	03/20 06:40:26	03/22 09:10:23
91.121.8.73	253	AS16276	03/22 06:10:23	03/22 09:10:23
91.121.184.167	25572	AS16276	03/12 17:40:15	03/22 08:40:21
194.150.236.199	795	AS44976	03/15 07:40:38	03/22 08:40:21
91.121.134.58	13184	AS16276	03/16 10:40:28	03/22 08:10:25
91.121.108.38	3945	AS16276	03/20 06:10:36	03/22 08:10:25
94.23.235.93	1894	AS16276	03/20 10:10:32	03/22 07:40:22
91.121.85.178	10412	AS16276	03/15 00:10:34	03/22 07:10:32
91.121.7.26	77841	AS16276	02/20 05:50:34	03/22 06:40:19
188.165.192.106	2451	AS16276	03/20 09:40:28	03/22 06:10:23
91.121.163.215	32811	AS16276	03/12 18:10:17	03/22 05:10:22
91.121.121.227	1953	AS16276	03/17 20:10:21	03/22 04:40:24
91.121.108.53	114691	AS16276	02/17 10:35:20	03/22 03:40:22
91.121.24.139	92050	AS16276	02/17 10:35:20	03/21 23:40:26
94.23.231.140	1029	AS16276	03/16 20:40:34	03/21 09:10:23
91.204.116.114	6217	AS44976	02/24 23:30:07	03/21 04:40:33
91.121.147.163	4771	AS16276	03/12 08:10:27	03/21 04:10:26
62.75.218.192	50212	AS8972	02/17 12:30:27	03/21 01:40:36
213.251.133.159	6154	AS16276	02/17 18:00:50	03/20 15:40:29
93.89.80.117	3062	AS39326	03/15 13:10:31	03/20 09:10:33
91.121.113.184	1148	AS16276	03/17 03:10:41	03/20 03:10:37
78.41.156.236	13443	AS6908	02/18 20:00:43	03/19 14:00:19

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[64]IPs

Avast!的には HTML:Iframe-LZらしいです。
Would you like an iframe, sir?
served in a nicely roasted layer of obfuscation, really delicious.
いや・・食あたりしますってば・・

--
追記
Limit無し（閾値無し）が欲しいという要望を受けましたのでこちらへ
8080 No Limit List @ March22, 2010

後方のほうは、現在も生きているかどうかは不明です。

----------
Google Safe Browsing #
| 1269216003 | B | [goog-black-hash 1.53576 update]
| 1269216002 | M | [goog-malware-hash 1.20214 update]
| 301834 | +907(300927) 小康状態
| 1515547 |
EoF

国際人種差別撤廃デー
International Day for the Elimination of Racial Discrimination
世界詩歌記念日(World Poetry Day)
ノウルーズ イラン暦の元旦
ランドセルの日 3.2.1 を足すと小学校の義務教育期間 6 であることより
三井の日 3(み).2(ツー).1（い）より
催眠術の日 催眠術の掛け声、「スリー・ツー・ワン」より
ナミビア共和国 独立記念日
ツイッター誕生日

----------
脆弱性を放置する人々 #
What Your Users Don't Know About Vulnerabilities Can Hurt You
"In the last quarter of 2009, we saw that roughly 48 percent of Internet Explorer users were still using IE 6," he says. "Nontechnical users probably do not understand the security features that are missing [in IE 6]
48% !?
ZscalerはクラウドベースのWebセキュリティを提供する会社です。

"As a result, while end users may ensure that they regularly run Windows Update or update their antivirus definitions, they do not seem to be updating or patching their client applications as consistently."
Windows Updateを行っていないユーザは日本にも多そうですね。

SaaS型セキュリティサービスが「mixi」「2ちゃんねる」に対して使用可能に [2009/07/21]

----------
BitDefender #
BitDefender 2010 Update Problem
Unfortunately, these bad virus definitions appear to detect core DLL files and even parts of BitDefender, itself, as infected by "Trojan.FakeAlert.5".
Owned..(自分自身を検出して隔離っと)
Bad Update Or....? Trojan.fakealert.5 - Fp, title edit
絶賛炎上中

BitDefender(64bit版)を 使用中の方は、ちょっと落ち着いて、
I would heavily recommend that you disable auto-update of the definitions until corrected ones are released soon. Also, I would recommend preparing to do a lot of hands-on clean up to reverse those files which were quarantined by accident.
オートアップデートを停止し、自己によって検疫隔離されてしまったシステムファイル群を元に戻してください
※もし消しちゃった人は・・・（ご愁傷様です）

----------
AV Comparatives - Feb 2010 #
セキュソフトの信者様各位が一喜一憂する AVテストですが、その中で、よく引き合いに出される AV Comparativesが 2010年2月版を発表しました。
Main-Tests
On-demand Comparative February 2010

レジュメ：
AV-Comparatives February 2010 のテスト結果

----------
旧手 #
New Brazilian banking Trojans recycle old URL obfuscation tricks
また、レガシィな手をつかってくるもんですね・・

変換ツール by Yamaha
IP-Address translation for YAMAHA RT-Series User

----------
防弾ISP話 #
Keeping Money Mule Recruiters on a Short Leash - Part Three - Dancho Danchev

AS34305 EUROACCESS
34305 AS34305

EuroAccess は、かつてこんな話も
オランダ：BitTorrentホスト企業は追い詰められ、BitTorrentサイトはスウェーデンへ -- P2Pとかその辺のお話
Torrentサイト管理人の個人情報の提出を拒否したホスティングプロバイダーは、裁判官からその要求に応じるよう命じられた。サイト Torrent.toをホストしていたEuroAccessはまた、法廷に持ち込まれた裁判に関連したすべての費用を負担しなければならなくなった。
LeaseWebといい、EuroAccessといい、オランダのホスティング会社は苦労が絶えないようですね。

尚、Koobface C&C の mule は日本国内にも感染例が出ていますので他人事ではありません。
search='.jp'

----------
ROP #
Exploit's new technology trick dodges memory protection
最近、毎日のように目にする「DEP/ASLR」回避のお話。今回は、Return-oriented programming に関連したもの。

Return-Oriented Programming
原著：
When Good Instructions Go Bad: Generalizing Return-Oriented Programming to RISC
Return-oriented Programming: Exploitation without Code Injection

Initially, JDuck only intended to integrate the PDF exploit into his metasploit vulnerability testing platform.
またこの組み合わせか～～～！

----------
Shellcode Hash #
Win32 API Shellcode Hash Algorithm
1. のほうが面白かったのは内緒（ニモニックはもう読めない・・・）

----------
Chrome lose Google Test #
Google製の JavaScript規格準拠テストでOperaとSafariがChromeより好成績

via sputniktests
Sputnik
というか、IE8ヒドイなぁ（苦笑）

----------
CVE-2010-0806 #
拡散中
湘潭大学被植入恶意代码 -- 知道创宇
中国語わからないけど・・
CompromiZed : Exploit.JS.CVE-2010-0806.b
ということで、確実に進行中です。
IE6/7 を使い続ける方は、「必ず」対策を取ってください。できれば IE8 にアップデートするか、他のブラウザを使用してください。
マイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行される
[981374] Internet Explorer の脆弱性により、リモートでコードが実行される

小野寺さんのとこは
Security Wars: エピソード 2 - ボット大戦 - 匿名軍団の攻撃 -Security Wars: エピソード 2 - ボット大戦 - 匿名軍団の攻撃 -
小野寺です。
Security Wars エピソード 2が始まりました。
意外と余裕な様子です。

----------
血デジ #
4割近くが地デジ対応テレビの購入を検討―家電に関する定期調査（4）
最も回答を集めたのは「テレビ（地デジ対応）」で37.5％（410人）、4割近い回答者が地デジ対応テレビの購入を検討しているようだ。
いやぁ、だって・・
TVのアナログ放送が見れるのはあと 1年だったとか
こうなっちゃうんですよ！（苦笑）
via: 地デジの足音

----------
使うな！ #
個人サイト「ねたミシュラン」、仏ミシュランから「名前を使うな」との請求を受ける
人気ブログ「ねたミシュラン」に対し、仏ミシュランから「michelin」という名称を含めたドメインを使うな、ミシュランという表現も使うな」との請求が届いたそうだ（本家ミシュランからねたミシュランのドメインに物言いが付いたでござる）。
様々な過程や葛藤があったでしょうが、結果的にテイクダウンに従うことにしたようです。
ご苦労様でした。

うちも鍛冶屋から集団訴訟とか受けるのかな？（ガクガクブルブル）
ないよ！・・たぶん

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	48743	AS16276	03/12 19:40:15	03/21 11:20:25
91.121.64.214	27281	AS16276	03/12 07:40:30	03/21 11:20:25
91.121.137.124	21014	AS16276	03/17 23:50:25	03/21 11:20:25
94.75.229.72	20740	AS16265	03/18 01:10:26	03/21 11:20:25
91.121.180.55	17988	AS16276	03/13 01:10:16	03/21 11:20:25
94.23.13.65	5989	AS16276	03/16 22:10:24	03/21 11:20:25
94.23.12.62	3771	AS16276	03/20 06:40:26	03/21 11:20:25
91.121.108.53	113169	AS16276	02/17 10:35:20	03/21 10:40:25
91.121.134.58	10236	AS16276	03/16 10:40:28	03/21 10:40:25
91.121.7.26	77433	AS16276	02/20 05:50:34	03/21 10:10:22
91.121.85.178	10094	AS16276	03/15 00:10:34	03/21 10:10:22
91.121.163.215	31661	AS16276	03/12 18:10:17	03/21 09:40:22
94.23.231.140	1029	AS16276	03/16 20:40:34	03/21 09:10:23
91.121.108.38	2722	AS16276	03/20 06:10:36	03/21 08:40:25
94.23.235.93	1087	AS16276	03/20 10:10:32	03/21 08:40:25
91.121.184.167	24328	AS16276	03/12 17:40:15	03/21 06:10:21
91.204.116.114	6217	AS44976	02/24 23:30:07	03/21 04:40:33
91.121.147.163	4771	AS16276	03/12 08:10:27	03/21 04:10:26
188.165.192.106	1130	AS16276	03/20 09:40:28	03/21 04:10:26
62.75.218.192	50212	AS8972	02/17 12:30:27	03/21 01:40:36
194.150.236.199	485	AS44976	03/15 07:40:38	03/20 19:40:29
213.251.133.159	6154	AS16276	02/17 18:00:50	03/20 15:40:29
93.89.80.117	3062	AS39326	03/15 13:10:31	03/20 09:10:33
91.121.24.139	91851	AS16276	02/17 10:35:20	03/20 05:40:33
91.121.113.184	1148	AS16276	03/17 03:10:41	03/20 03:10:37
91.121.121.227	1660	AS16276	03/17 20:10:21	03/19 23:00:23
78.41.156.236	13443	AS6908	02/18 20:00:43	03/19 14:00:19

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[64]IPs

登録ラッシュのときは 閾値を 3日にします・・・
また、変更閾値が5日以内に設定された場合、「登録」IPの色閾値も、変更閾値にあわせます。

----------
Google Safe Browsing #
| 1269133212 | B | [goog-black-hash 1.53507 update]
| 1269133202 | M | [goog-malware-hash 1.20191 update]
| 300927 | -457(301384) 微減
| 1511436 |
EoF

春分 UTC: 3月20日 17:32 (JST: AM2:32)
上野動物園開園記念日
LPレコードの日
地下鉄サリン事件

----------
March 30 #
いつもなら、脆弱性が発表されるとすぐに手を打つ Mozilla ですが、今回はアレですね・・
Update on Secunia Advisory SA38608
Mozilla was contacted by Evgeny Legerov, the security researcher who discovered the bug referenced in the Secunia report, with sufficient details to reproduce and analyze the issue. The vulnerability was determined to be critical and could result in remote code execution by an attacker.
というわけで、懸案のSA38608 の何だかよくわからない(HOAX?)脆弱性が検証されたようです。
Mozilla Firefox Unspecified Code Execution Vulnerability 4
Nightly(B3)には既に入っていますが、10日も放置すると宣言しているのは、お察しくださいということなのでしょうか？

ちなみに、この脆弱性を「発見」したとされるintevydis はblog を閉鎖して雲隠れ中。Immunity の公式コミュニティも停滞中です。

一方、Secunia 側は皮肉ったBlog をPost しています
Mozilla To Fix Vulnerability Claimed To Be Fake...
but Mozilla has now fixed this vulnerability in their Beta build and it will also be included in the upcoming version 3.6.2.

こうした問題は、脆弱性を「発見」したリサーチャのビジネスモデルに左右されるものなのでしょうか？
How he designs his business model or whether or not he chooses to adhere to "responsible" disclosure is not something for us to judge.
少なくとも、指標４を発表する以上、Secunia 内部で再現可能かどうかチェックして欲しかったですね～

まぁ、細かいことは忘れて今後もがんばっていきましょう（一本締め！）

Firefox zero-day fix set up for 30 March release
Attack code for Firefox zero-day goes wild, says researcher(18th Feb)

Firefox 3.6.x - 0 day for document.write - yet another March 3

----------
CA #
CA Releases Updates for ARCserve Backup
US-certから何かでてます。

CA20100318-01: Security Notice for CA ARCserve Backup
ARCserve Backupにバンドルされている JREが古い（r12.5, r12.0 及び r11.5）ままなので、そのままだと様々な脆弱性を潜在的に抱え込むことになるということです。既にライフサイクルの終了を迎えており、使用し続けることは高リスクです。

CA ARCserve Backup JRE Multiple Vulnerabilities 4
CA updates ARCserve Backup

CA 製品は日本国内ではあまり見かけませんが、US では大企業に導入されていることが多いです。

----------
Drupal #
昨日忘れてました
Security updates for Drupal modules
日本でも導入事例が徐々に増えつつあるOSS のCMS 、Drupal ですが、複数のセキュリティFix のパッチが出ています。
数が多いので、現在導入されているコンポネンツとの互換に注意して適用してください。

Email Input Filter - Arbitrary code execution
Drupal Email Input Filter Module PHP Code Execution Vulnerability 4
Tag Order - Cross Site Scripting
Drupal Tag Order Module Script Insertion Vulnerability 2
Keys - Cross-site Request Forgery
Drupal Keys Module Cross-Site Reques Forgery Vulnerability 2

----------
悪意ISPは遮断できるか？ #
難しい命題ですね。
Dancho Danchev氏と、ウィーン工科大のThorsten Holz氏(honeyblog)とのQ&A （4ページもあって長いですが・・）
The current state of the crimeware threat - Q&A
読んでたら時間無くなりそうなので、あとで読もうっと（といって積まれていく）
※Troyakの話は3ページ以降

関連：
Naming and Shaming ‘Bad’ ISPs
ThePlanet’s Yvonne Donaldson declined to discuss FIRE numbers, the abuse longevity claims, or the company’s prevalence on eight out of ten of the reputation lists that flagged it as problematic. In a statement e-mailed to Krebs on Security, she said only that the company takes security very seriously, and that it takes action against customers that violate its acceptable use policies.
FIRE: FInding RoguE Networks
つまり確信犯だと・・・
それにしても、どっかでみたようなISPが一杯並んでいますねぇ（苦笑）

Should major ISPs join the fight against botnets?

----------
skipfish #
帝國の新サービス
Meet skipfish, our automated web security scanner
skipfish
web application security scanner
あとで試してみようっと

Google Releases Skipfish Application Security Scanner
The free scanner is designed to work within a variety of existing Web application frameworks and is built with an emphasis on speed and low false-positives, the company said.

----------
Malware in SmartPhone #
As Many as 3,000 Vodafone Memory Cards Infected by Malware
事態がどうなってるのかちっとも判りませぬ。

Memory Cards of 3,000 Phones Infected By Malware

----------
Dancho Danchev氏のレポート読んでたらタイムオーバー（英語長文は辛い・・）

----------
Other #

Beyond the Initial Compromise
陥落の連鎖(NTLM lv1とか使わないでくださいね)
CVE-2010-0231

強いパスワードを作るコツ
↓強くしないとこうなっちゃうぞ～？
ディーラーのシステムへ不正侵入、車100台を動けなくした元従業員を逮捕
このシステムはディーラーが販売した車に小さなボックスを取り付けて、遠隔操作でエンジンに点火できなくしたり、警笛を鳴らしたりできる仕組みになっていた。
怖いシステム・・

ネットの風評を“良き”流れに転換する方法
へ～（としかいえない・・）

Google、『Nexus One』の商標登録申請が却下される
帝國の取る次の手は？
※あと、ブレラン原作者の遺族はこの会社も訴えるべきですよね～

ネットの「名誉棄損」有罪確定：最高裁が個人の書き込みに初判断示す
背景がよく解説されています。さすが so-netさん
個人ユーザーの書き込みにも、マスコミ報道や出版と同等の事実確認が不可欠とする判決には、賛否両論があるだろう。ネットに行き過ぎた中傷が蔓延していることは確かだが、ネットならではの個人の本音の書き込みが社会悪を撃つ力となってきたことも否定できない。行き過ぎた中傷を諌める力と、自由な言論を委縮させる力と。どちらもありえることを念頭に、この判例が及ぼす影響に注目していきたい。

アメブロ個人情報流出：不正アクセス容疑でホリプロ元契約社員を逮捕
というか、xlsで生パスワードを保管してた会社の責任はどうなんでしょう？

I Know What Your Office Equipment Did Last Summer...
怖い・・・
最近の多機能コピー機に何が詰まってるのか？とかチェックしないとダメ？
via High-tech copy machines a gold mine for data thieves

Malicious Code Evolution from IE Zero-Day Exploit Code
CVE-2010-0806と、エスカレートし放題の難読化技術の解説。.jpg にスクリプトを埋める方法は、以前にもありましたね。

Lock, stock and two smoking Trojans: bank robbery in the 21st century
There was nothing new about the technique, but we did clock something else that was quite unexpected: while monitoring the Bredolab Trojan, we noticed that it was showing a rather unhealthy interest in the HLM\Software\BIFIT registry key. This key contains information about any programs installed on the computer that are used for online transactions and was developed by a company called BIFIT. A malicious program, which shows up as Trojan-Banker.Win32.Fibbit.a, was subsequently installed on the infected computer during the next update from botnet HQ.
Bredolab系の情報蒐集先まで解析できてるのかな？　この名指しされた会社との関連がいまいちわかりませんが・・・

Googleと Intelとソニー、Google TVを共同開発か
Google TVの発表で、Apple TVが「趣味」以上になる
帝國の野望

Google’s Pacific submarine cable "Unity" nearly complete
帝國はどこまでやれば気が済むのでしょう？（苦笑）
※千倉に通してくれたことに感謝すべきなのでしょうが

Confickerワームの検知状況（2009年4 月～2010年2月）
漸減中
今後、Confickerワームの感染ノードは順調に減少し絶滅に至るのか、 あるいはSlammerワームなどと同じく完全な収束には至らず、永くインターネットに遍在することになるのか、引き続き注視してまいります。
残念ながら、一度拡散したウィルス（特にワーム）はなかなか駆逐できないのです・・・
via Allaple の作者に判決

Viacom vs 帝國
YouTube、Viacom が自作自演と主張―「自分で密かに番組をアップした後でわれわれを訴えた」
訴訟文書の公開でYouTube買収の詳細明らかに―共同ファウンダー、Chad Hurleyの取り分は3億3400万ドル
訴訟文書って隠し事できませんからね～

Radiko
IPサイマルラジオ「radiko.jp」が示すラジオ業界の課題
おかげで大阪近辺の交通事情に詳しくなりました（苦笑）

----------
Share #
ウイルス入りエロゲームで個人情報流出祭り
あ～あ～あ～

これかな？
setup.exe
2010.03.20 00:28:56 (UTC) 1/41 (2.44%)
Symantec 20091.2.0.41 2010.03.20 Suspicious.Insight
Symantec以外は華麗にスルー（笑）

setup.exe
2010.03.20 10:43:29 (UTC) 1/41 (2.44%)
JST 19:45現在、まだ Nortonセンセのみ

MySpace は、特に音楽系に特化してたコミュニティで、インディーズレーベルのアーティストが盛んに自曲を公開してた頃は、かなりヒットがあったはずですが、最近はどうなんでしょうか？

----------
8080 #

	count	ASN	登録	更新
91.121.108.53	111132	AS16276	02/17 10:35:20	03/20 09:50:22
91.121.160.217	42445	AS16276	03/12 19:40:15	03/20 09:50:22
91.121.180.55	15915	AS16276	03/13 01:10:16	03/20 09:50:22
91.121.137.124	14339	AS16276	03/17 23:50:25	03/20 09:50:22
94.75.229.72	14293	AS16265	03/18 01:10:26	03/20 09:50:22
94.23.13.65	4613	AS16276	03/16 22:10:24	03/20 09:50:22
188.165.192.106	55	AS16276	03/20 09:40:28	03/20 09:50:22
91.121.163.215	29675	AS16276	03/12 18:10:17	03/20 09:40:28
94.23.12.62	544	AS16276	03/20 06:40:26	03/20 09:40:28
91.121.64.214	25866	AS16276	03/12 07:40:30	03/20 09:10:33
93.89.80.117	3062	AS39326	03/15 13:10:31	03/20 09:10:33
194.150.236.199	288	AS44976	03/15 07:40:38	03/20 08:40:27
91.121.7.26	77209	AS16276	02/20 05:50:34	03/20 08:10:36
91.121.108.38	288	AS16276	03/20 06:10:36	03/20 08:10:36
91.121.184.167	22687	AS16276	03/12 17:40:15	03/20 07:40:29
91.121.85.178	9026	AS16276	03/15 00:10:34	03/20 06:10:36
91.121.134.58	8335	AS16276	03/16 10:40:28	03/20 06:10:36
91.121.24.139	91851	AS16276	02/17 10:35:20	03/20 05:40:33
91.121.113.184	1148	AS16276	03/17 03:10:41	03/20 03:10:37
94.23.231.140	922	AS16276	03/16 20:40:34	03/20 01:40:32
91.121.121.227	1660	AS16276	03/17 20:10:21	03/19 23:00:23
78.41.156.236	13443	AS6908	02/18 20:00:43	03/19 14:00:19
91.204.116.114	5900	AS44976	02/24 23:30:07	03/19 05:40:32
91.121.155.20	453	AS16276	03/17 21:10:22	03/18 00:10:36
188.40.113.20	119	AS24940	03/17 20:40:27	03/17 21:10:22
82.98.193.211	24917	AS8455	03/13 23:40:23	03/17 18:00:30
62.75.218.192	50024	AS8972	02/17 12:30:27	03/17 08:10:34
85.197.78.2	179	AS25220	03/17 06:10:33	03/17 06:40:26
193.138.206.56	286	AS35470	03/16 22:40:47	03/17 02:40:49
85.17.137.93	5768	AS16265	03/16 05:40:34	03/17 01:40:37
91.121.147.163	4656	AS16276	03/12 08:10:27	03/17 01:00:23

真っ赤:24H以内登録　赤:5日以内登録　薄赤:24H以内更新　4日経過:[59]IPs

2つIPが追加されましたが、いつもの OVH です。

さらに1個追加されましたが、やっぱり OVH です。

追加された IP : 188.165.192.106をちょっと調べてみると・・
http:// (Port 80) で叩くと
HTTP/1.1 200 OK
Date: Sat, 20 Mar 2010 01:21:02 GMT
Server: Apache/2.2.9 (Debian) PHP/5.2.6-1+lenny4 with Suhosin-Patch Phusion_Passenger/2.2.9
Last-Modified: Sat, 24 Oct 2009 10:34:35 GMT
という形で「見た目はまともなサイト」に接続しますが、

:8080
をつけて叩くと・・
HTTP/1.1 200 OK
Server: nginx
Date: Sat, 20 Mar 2010 01:21:48 GMT
Content-Type: text/plain
Connection: close

何かが居るっ！（苦笑）

このVPSのオーナーが感染してしまったのか、そもそも管理パスワードが漏れてるのかはわかりませんが・・・

----------
Google Safe Browsing #
| 1269043205 | B | [goog-black-hash 1.53432 update]
| 1269043201 | M | [goog-malware-hash 1.20166 update]
| 301384 | +1095(300289) 微増
| 1507917 |
EoF

ミュージックの日 「ミュー(3)ジック(19)」
カメラ発明記念日
フォークランド紛争(1982年)

----------
Result of 100 Malwares test #
おもしろい～
100体のマルウェアでセキュリティテスト＿Security is tested with 100 malwares
作業大変だったでしょうね。（ほんとうに中学生さんなら）先が楽しみだな～

落ち着いたら、100検体のMD5(or)SHA-1を公開してくれると嬉しいかな
それにしても、MSEは厳しいなぁ（苦笑）

100 体のマルウェアでセキュリティソフトを比較してみた
意外と厳しいコメントが多くてちょっとびっくり。
セキュソフトはそれぞれ「信者」が多いから、琴線に触ったのかも・・・

----------
これはさすがに・・ #
Dangers of copy&paste
FOR %%A IN (%systemroot% system32 spool printers ■ *.*) DO DEL %%A
the author (accidentally?) added couple of white spaces so this script became extremely dangerous: it will try to delete all files in the %systemroot% directory, in C: and in the current directory.
white spaceが有効な引数として捉えられるほうにびっくり・・

気をつけましょう（対自分）

----------
週間脆弱性 by HIRT #
チェックしておきたいぜい弱性情報＜2010.03.18＞BGM

いつもありがとうございます
BINDにも気が付いてはいたのですが、脆弱性問題ではなかったので放置していました。現在は 9.6-ESV がリリースされています。
BIND 9.6-ESV is now available.
2852. [bug] Handle broken DNSSEC trust chains better. [RT #15619]

VBScriptは例の 「F1 押しちゃだめよ」問題ですね。

----------
ソレは仕様です™ #
Vulnerability in Virtual PC?
The functionality that Core calls out is not an actual vulnerability per se. Instead, they are describing a way for an attacker to more easily exploit security vulnerabilities that must already be present on the system.

まぁ、どうしてもレガシーなアプリを限定使用しなければならない人のための Virtual PC ソリューションであって、その環境からWAN(外部)に接続する運用指針そのものが変です。
そろそろ、テスト要件から IE6を外してください（本音）

「Virtual PCの脆弱性」にMicrosoftが反論
Dispute about Virtual PC security holes

----------
Bredolab #
Scam of the Day - Bredos targetting Facebook
DHLやらFedexやらのspamメールにクッツイテる、例の「汚物.zip」ですが、最近は何でもありですね

03-17-2010_Facebook_Password_Rese
16/42 (38.10%) 2010.03.18 17:20:01 (UTC)

添付ファイル付きの不審メールはポイしましょう。

Facebook Security
Facebook warns over password reset scam

----------
Chrome #
Stable Channel Update
The stable channel has been updated to 4.1.249.1036 for Windows, and includes the following features and security fixes

Congratulations to Sergey Glazunov on receiving the first $1337 Chromium Security Reward for bug [35724].

Detail:
Chromium Security
結構、賞金ゲットな人がいるな～（帝國にしてはアレな額ですが・・）

グーグル、Windows向け安定版などの「Chrome」ブラウザをアップデート

----------
安全なSQL（インジェクション） #
「安全なSQLの呼び出し方」を公開
～深刻な被害が発生しているSQLインジェクション攻撃への具体的な対策書～
図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイルや環境設定ファイルの情報を狙ったディレクトリ・トラバーサル攻撃が38%を占めています。
ほんとかな？
うちのログを見ると、phpmyadmin を狙った攻撃が異常に多いんですけど、これって "SQLインジェクション"じゃないですよね？

ともあれ、SQL 句をガリガリコーディングしている方は、この文章に一度目を通され、頭の隅にとどめておくとよいかもしれません。（ただしPDFですが・・・）
安全なSQLの呼び出し方
執筆者がかなりすごいことになってる気もしないでもない・・

相次ぐWeb改ざん、手口は「SQLインジェクション」から「ウイルス」に
（笑）

----------
Mariposa into Android #
Vodafone がMariposaボットネットを拡散 - パート2
Vodafoneはこれを単独のインシデントとして、彼らのフォーラムでこのインシデントについて質問しているユーザーの全ての書き込みを削除する一方、二日後にHTC MagicのEnd-of-Life(生産終了)を発表しています。
他方で、ブログ界におけるユーザーからのリアクションは、この発見に対する賞賛から我々への非難まで多岐に渡りました。不可避でかつ面白い Androidファン対iPhoneファンの論争と同様に..。
なるほど、こういうことになっていたのですね・・・

Androidスマートフォンに2例目のマルウェアが発覚
Mariposa Bot Found Pre-Loaded on Second Vodafone Handset
Cybercriminals: computer genius or professional criminals?

----------
AppleOwned #
Pwn2Own Predictions: Apple iPhone Will Fall
ハッカーの祭典、Pwn2Ownでの「グランプリ」は iPhone へのリモートコード実行になるのでは？という話。

Pwn2Own predictions: iPhone will be hacked

また来週にも、MacOS X の２０もの「致命的な」脆弱性が公開されるかもしれないという話もあります。
Mac OS X: "safer, but less secure"

とはいえ、実際問題として MacOS X 用の実際のマルウェア（投下ペイロード）を書くのは困難（単にめんどくさい）で、あまり出回っていないのも事実です。
このあたりは、OSシェアとのバランスの問題で、iPhoneが将来的にターゲットになる可能性が高いのもまた事実です。

----------
ZeuSサーバ群 #
And another Bulletproof Hoster goes Offline…
A friend over MDL just informed me today that another bulletproof hoster called GR-VERTICAL-AS Group Vertical Ltd (AS49365) has gone offline this night.

"MalWeb"
AS-Troyak Exposes a Large Cybercrime Infrastructure
わかりやすい解説です

Researchers Map Multi-Network Cybercrime Infrastructure
このへんの遮断作戦はどこが主導してるのでしょうね？

----------
Other #

「LAN - WAN間に挟むだけ」のセキュリティ保護ブリッジ販売中 -- パケット調査でウイルスも駆除
コメントは控えておこう・・・

Windows Phone 7 シリーズのコピペ非対応は「意図的な判断」(マイクロソフト)
クリップボードを搭載しないのは「設計上の意図的な判断」。いわく、Windows Phone 7 シリーズは「ユーザーが求めているものは何か」をいちから問い直す手法で開発されており、同氏も「驚いた」「最初は信じられなかった」というさまざまなユーザビリティテストの結果、ほとんどのユーザーはコピー＆ペーストをしなかった・したがらなかったとのこと。
へぇ～

Google: Viacom wanted to buy YouTube, uploaded its own clips
ほほ～

‘March Madness’ Malware Spreading via Search Results

Webサイト管理者は痕跡確認とFTP利用制限を
似たような記事が連日出てる気もしないでもありませんね・・

Windows Vistaからの保護機能：保護モードと整合性レベル
あとでよく読みます・・

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	35817	AS16276	03/12 19:40:15	03/19 09:00:28
91.121.64.214	23980	AS16276	03/12 07:40:30	03/19 09:00:28
91.121.184.167	20765	AS16276	03/12 17:40:15	03/19 09:00:28
91.121.137.124	8270	AS16276	03/17 23:50:25	03/19 09:00:28
91.121.134.58	6368	AS16276	03/16 10:40:28	03/19 09:00:28
91.121.163.215	26883	AS16276	03/12 18:10:17	03/19 08:40:21
94.23.13.65	3541	AS16276	03/16 22:10:24	03/19 08:40:21
91.121.121.227	1331	AS16276	03/17 20:10:21	03/19 08:40:21
91.121.7.26	75891	AS16276	02/20 05:50:34	03/19 08:00:18
91.121.85.178	7733	AS16276	03/15 00:10:34	03/19 08:00:18
94.75.229.72	7057	AS16265	03/18 01:10:26	03/19 07:40:38
91.121.108.53	108251	AS16276	02/17 10:35:20	03/19 07:00:26
91.121.180.55	14046	AS16276	03/13 01:10:16	03/19 06:40:26
91.204.116.114	5900	AS44976	02/24 23:30:07	03/19 05:40:32
94.23.231.140	723	AS16276	03/16 20:40:34	03/19 04:00:20
91.121.24.139	91569	AS16276	02/17 10:35:20	03/19 00:40:23
93.89.80.117	2176	AS39326	03/15 13:10:31	03/18 21:40:35
91.121.113.184	644	AS16276	03/17 03:10:41	03/18 02:00:28
91.121.155.20	453	AS16276	03/17 21:10:22	03/18 00:10:36
188.40.113.20	119	AS24940	03/17 20:40:27	03/17 21:10:22
82.98.193.211	24917	AS8455	03/13 23:40:23	03/17 18:00:30
62.75.218.192	50024	AS8972	02/17 12:30:27	03/17 08:10:34
85.197.78.2	179	AS25220	03/17 06:10:33	03/17 06:40:26
193.138.206.56	286	AS35470	03/16 22:40:47	03/17 02:40:49
85.17.137.93	5768	AS16265	03/16 05:40:34	03/17 01:40:37
91.121.147.163	4656	AS16276	03/12 08:10:27	03/17 01:00:23

真っ赤:24H以内登録　赤:5日以内登録　薄赤:24H以内更新　4日経過:[61]IPs

----------
Google Safe Browsing #
| 1268956806 | B | [goog-black-hash 1.53360 update]
| 1268956802 | M | [goog-malware-hash 1.20142 update]
| 300289 | -2776(303065) 減ってますね～
| 1502694 | 蒐集されたブラックリストが 150万に達しました。
EoF

博物館明治村開村 (1965年)
精霊の日

----------
Worm注意報 #
Trojan outbreak on a College Campus
"We are now in major clean up mode. All the file servers have been removed from the network to prevent further spread.
Basically the virus hides all the files in a directory and the directory itself. It then adds a file of 74K with the same name as the file with a .exe. So a user wishing to open
their word document would actually be infecting themselves with the virus."
なんだかとっても厄介なWorm のようですね。
検出名は Trojan.Win32.Scar.bwgf
これかな～？
2012.exe
18/42 (42.86%) 2010.03.16 04:57:32 (UTC)
wkshop.exe
31/42 (73.81%) 2010.03.17 22:09:19 (UTC)
わずかな期間で検出率がハネあがっているということは、現在流行中であるという指標でもあります。

Mal/Behav-043(Sophos)
Mal/Behav-043 Last UPD : 17 October 2007
古っ？

ちょっと気をつけておきましょう。

----------
ZeuSキャンペーン #
日本では流行っていない（と言われている）ZeuSですが、米国内では猛威を振るっています。
Zeus Trojan Campaign Warning
The attacks arrive via unsolicited email messages that may contain subject lines related to DHS or other government activity.
DHSやら他の政府機関を騙るspamが多数着弾している模様です。

ZeuSのトロイ本体とそのモジュール群の価格表（苦笑）
ZeuS Banking Trojan Report
ベースシステムと、拡張システムの価格体系まで細かく細分化されています。

How to Protect Yourself from ZeuS
The CTU recommends that businesses and home users carry out online banking and financial transactions on isolated workstations that are not used for general Internet activities, such as web browsing and reading email which could increase the risk of infection.
最低でも、マスターパスワードでの暗号化可能なブラウザにのみ保管するようにしましょう。

続く
----------
The Den #
で、そのZeuS 系C&C の巣窟となっている Troyak ですが、その周辺Peer のISP がRSA から公表されました。
Cybercrime's bulletproof hosting exposed
Near the center of the spiderweb are eight networks dedicated to keeping ISPs such as Troyak connected no matter what may happen. According to RSA, they are:

Surrounding these networks are the ISPs that host the command and control channels. Besides Troyak, they include:
日本在住の個人、企業でこの辺のISP に繋ぐ必要性はあまり無いでしょうね・・・

TROYAK-AS: the cybercrime-friendly ISP that just won't go away
Researchers Map Multi-Network Cybercrime Infrastructure

----------
スパムで死ぬ～！ #
Spam was killing us! Here is what we did to help!
spamとの戦いに疲れ果て・・のレポート。
Block + Quarantine = 96.4%
なんというか、「お疲れ様」としか言いようがありませんネ。

しかも、必ずこーいうことを言われるわけで・・・
My concern, if I were a customer of yours, would be how many legitimate email messages did I NOT get. Do you know how many false positives it actually dropped?
メールサーバの運用なんかやってられるか～（ちゃぶ台Drop）

関係ないけど、ホーメルがSPAM(缶)のCM やってますね・・

----------
AUでもAKでも #
Troj/JSRedir-AU: Troj/JSRedir-AK redux?
難読化技術だけはどんどん進化（？）していますね。

あと、Sophosさんもそろそろ名称つけてくれませんか？

----------
twt.tl #
Twitter launches shortening service
.tlって東ティモールだったんですね～
この国章はいかがなものか？という意見には同意（笑）

----------
HURRY!

----------
Firefox 3.0.x end of life #
Firefox 3.0 approaches end-of-life
CentOSなどの「リポジトリの更新の遅い」プロダクツを使用している方は注意しましょう。
※CentOS5.4 は3.6 がいきなりRPM からインストールされてちょっと驚きましたが・・・

3.7系開発の方は絶賛混乱中の様子（笑）
Minefield 3.7a4preでタブの表示が一番上にできるように

3.6.2がもうすぐリリースされる予定です。

----------
炉 DNS-BH #
New zeus/wsnpoem, fastflux, rogue domains
217 new domains associated with rogue antivirus, fastflux, trojan, iframes, botnets, etc. Souces include secuboxlabs.fr, malwaredomainlist.com, ddanchev.blogspot.com
いつもありがとうございます。
Dancho Danchev's Blog(ZDNet's Zero Dayの方)が入ってますね。

----------
Other #
時間切れ・・

Internals of Rogue Blogs
後で精読しよう・・
以前問題になった bmsblog 系の「見えないインジェクション」が更にパワーアップしている様子。
.htaccess への「がんぶら～」攻撃と謳っているのも、恐らく同一のベクトルです。

2010年に最も警戒すべきセキュリティ脅威は「DNSリバインディング」
DNS rebinding
Same origin policy

20 critical Apple vulnerabilities to be revealed

PHP6開発 UTF-16化を断念、5.3へロールバック
ありゃ・・

The new disclosure debate and the evil Mr Moore
長い・・

Virtual PC Hypervisor Memory Protection Vulnerability
Verified: yes

Adobe Reader PDF LibTiff Integer Overflow Code Execution
Verified: yes

企業内のマルウェア活動が増加傾向に、ラックの最新版報告書
PC対策の第一歩はぜい弱性確認
ああ、がんぶら～

消えゆく市場へのマーケティング
うらやまｓ

----------
8080 #

	count	ASN	登録	更新
91.121.108.53	106208	AS16276	02/17 10:35:20	03/18 10:40:22
91.121.7.26	74618	AS16276	02/20 05:50:34	03/18 10:40:22
91.121.160.217	30332	AS16276	03/12 19:40:15	03/18 10:40:22
91.121.137.124	2639	AS16276	03/17 23:50:25	03/18 10:40:22
94.75.229.72	1931	AS16265	03/18 01:10:26	03/18 10:40:22
91.121.85.178	6353	AS16276	03/15 00:10:34	03/18 10:00:26
93.89.80.117	1980	AS39326	03/15 13:10:31	03/18 10:00:26
91.121.163.215	24668	AS16276	03/12 18:10:17	03/18 09:40:28
91.121.64.214	22267	AS16276	03/12 07:40:30	03/18 09:40:28
91.121.184.167	18556	AS16276	03/12 17:40:15	03/18 08:40:22
94.23.13.65	2298	AS16276	03/16 22:10:24	03/18 08:00:21
91.121.134.58	4343	AS16276	03/16 10:40:28	03/18 07:10:42
94.23.231.140	625	AS16276	03/16 20:40:34	03/18 06:10:25
91.121.180.55	13221	AS16276	03/13 01:10:16	03/18 04:40:22
91.121.113.184	644	AS16276	03/17 03:10:41	03/18 02:00:28
91.121.155.20	453	AS16276	03/17 21:10:22	03/18 00:10:36
91.121.24.139	91208	AS16276	02/17 10:35:20	03/17 23:00:29
91.121.121.227	451	AS16276	03/17 20:10:21	03/17 23:00:29
188.40.113.20	119	AS24940	03/17 20:40:27	03/17 21:10:22
82.98.193.211	24917	AS8455	03/13 23:40:23	03/17 18:00:30
62.75.218.192	50024	AS8972	02/17 12:30:27	03/17 08:10:34
85.197.78.2	179	AS25220	03/17 06:10:33	03/17 06:40:26
193.138.206.56	286	AS35470	03/16 22:40:47	03/17 02:40:49
85.17.137.93	5768	AS16265	03/16 05:40:34	03/17 01:40:37
91.121.147.163	4656	AS16276	03/12 08:10:27	03/17 01:00:23
194.150.236.199	103	AS44976	03/15 07:40:38	03/15 08:00:22
91.204.116.114	5723	AS44976	02/24 23:30:07	03/14 23:40:50

真っ赤:24H以内登録　赤:5日以内登録　薄赤:24H以内更新　4日経過:[60]IPs

な・・長くなってきた・・ 閾値を4日にします

----------
Google Safe Browsing #
| 1268870414 | B | [goog-black-hash 1.53288 update]
| 1268870404 | M | [goog-malware-hash 1.20119 update]
| 303065 | -3581(306646) 減ってる減ってる
| 1499986 |
EoF

聖パトリックの祝日
漫画週刊誌の日
1953年、麻薬取締法（現 麻薬及び向精神薬取締法）公布

----------
鼻ぐずぐず・・

----------
釣られないぞっ #
フィッシング対策協議会、フィッシング対策を学べるゲーム「フィッシング フィル」を公開
「フィッシング フィル」は、ゲームを通してフィッシング詐欺にだまされない「URLの見分け方」を学べる教育用コンテンツです。小さい魚「フィル」が、正しいエサ(正しいサイトURL)を得るために、正しいサイトURLと偽物サイトURLを見分ける冒険をするもので、制限時間内に正しいサイトURLを見分けると、ポイントが加算されていきます。偽物サイトURLについては、どこで偽物と判断するかについての解説が用意されており、ゲームを通して、アドレスバーに表示されるURLが重要であるということ、そして表示されるURL中のドメイン名を見分けるポイントを体得することができます。
インターネット上で買い物等をする方は、こうした「教育」が必要な時代になっています。余暇時間にちょっとやってみてはいかがでしょうか？

フィッシング詐欺を見破ろう、学習サイト利用のススメ
フィッシングサイトとそうでないサイトを区別できますか?

釣られないぞ～（日本人は釣られないか・・）
Mass Phishing of Retail Electronic Payment Brands

----------
Trouble Ticket Express got Troubled #
オープンソースのインシデントチケット管理ツール、Trouble Ticket Expressの脆弱性攻撃が始まっているそうです。
Trouble Ticket Express Exploit in the Wild a Day After the Vulnerability Announcement

Trouble Ticket Express "fid" Arbitrary Command Execution Vulnerability
Apply patch : File Module Vulnerability 4
This can be exploited to inject arbitrary shell commands.

導入しているところは、至急アップデートを行いましょう。

PoC:
Trouble Ticket Express <= 3.01 Remote Code Execution/Directory Traversal

----------
Waledac has been SLAWN? #
Microsoftが行った Waledac 掃討作戦 "Operation b49" のその後
What we know (and learned) from the Waledac takedown
Other registered domain owners named in the legal filings have not yet exercised their due process rights by responding to the court, but the case is still ongoing.
中略
Look for more efforts like these as we work together to take a stand against botnets and make the internet safer and more secure for everyone.
Microsoft、本気で頑張っています。心から応援したいですね。

対ZeuSも、現在ISP遮断という大技に出ていますし（失敗していますが・苦笑）、Koobface あたりもそろそろ本格的に駆逐して欲しいものです。
いずれにせよ、こうした取り組みは一社、一国、一組織だけでは不可能です。横の連携を保ちつつ素早い対策をとるための指揮者の力量が試される部分でもあります。

Waledac botnet 'decimated' by MS takedown

Bots, bots, and again bots
In order to control all those infected computers some criminals may buy offshore virtual private server (VPS) systems. They can get these for as little as 10 USD per month (most probably paid with stolen credit cards or PayPal accounts) and with full root access. Once the IP from their VPS is reported and banned (for botnet activity), the criminals can buy another one.
まさに、OVH Paris がこの状況ですね・・・

----------
CVE-2010-0624 #
何かアップデートが入っていたので・・
Red Hat update for cpio 2
Red Hat update for tar 2
tarとcpioの脆弱性で DoS 及び remote access の潜在的危険性ということです。

rmtって何だろう？とおもったら・・
rmt
リモートプログラムから磁気テープの操作を行なうためのプロトコルモジュール
orz..
via CVE-2010-0624: Heap-based buffer overflow in GNU Tar and GNU Cpio

----------
HURRY!

----------
MSE #
MSE Users: Check for Updates, Piracy
Late last week, I just happened to notice that for who-knows-how-long, a pending upgrade to the program has left that system “potentially unprotected,” according to Microsoft.
起きた人多数：
マイクロソフトのセキュリティの基礎を最新のバージョンにアップグレードする方法
[今すぐアップグレード] を押せ！ということですね。

----------
VirtualPC #
Microsoft Virtual PC Flaw Lets Hackers Bypass Windows Defenses

Vulnerability in Microsoft Virtual PC exploits the unexploitable

どっち？

----------
標的型メール #
What do the Targeted Attack emails look like?
標的型攻撃メールはどのようなものか？

via Contagio Malware Dump
Contagioが紹介されていますね
ここも非常に有益な情報ソースなのですが、以下のようなことにならなければいいのですが・・・

続く
----------
McAfee no longer disclose any URIs #
Kasperskyの批判が原因かどうかはわかりませんが
The New Disclosure Debate and the Evil Mr. Moore
Unfortunately, this situation led to McAfee making the following declaration:
こうなってしまったのは本当に残念です。

----------
Troyak #
Troyak Gets Serviced by Zeus Provider
復活・・・しなくていいのに・・

----------
IE9 #
開発者向けプレビュー
Internet Explorer 9: Platform Demos
興味あるかたは・・
尚、IE9から XP のサポートは打ち切られます。

Internet Explorer 9 "Platform Preview" Now Available From Microsoft
Microsoft modernizes Web ambitions with IE9

----------
Spam Words #
Word usage in spam
FREE! にちょっと笑いました。

----------
難読化を紐解く #
How To Speak Malicious

----------
TLD #
驚異的な発展を遂げた「.com」ドメインの25年

1 へ～
キヤノン、「.canon」ドメインの取得を目指す
2 へ～
「jp.canon」とか「uk.canon」とかになったら混乱しそう部門より。
そりゃ混乱しそうです（笑）

----------
Gumblar #
鳥取県 水産試験場の外部ページが改ざん被害 （Gumblar.x）
忘れた頃にヤラれるわけですね・・

Unmask Parasiotes様の
Gumblar.x 陥落サイトリストが更新されていたので、こっちも更新（スクリプト書き換え）

----------
Other #

AppleとGoogleの戦いは「第3次世界大戦」――関係者語る
後ろでバルマー氏が踊ってますよ？

トレンドマイクロ、ニュース番組形式でセキュリティを解説するサイトをオープン

進化し続けるドライブバイ・ダウンロード攻撃
McAfeeは名称の根幹を「ドライブバイ・ダウンロード攻撃」にして下さいました。ありがとう！

大学生のPCはマルウェアの巣窟？
しかし偽ウイルス対策ソフトのように、あからさまな被害が出るマルウェアに感染したのは「運が良かった」と研究者は言い、
ほんとに・・

Microsoft社内でiPhoneの利用は許されるか? - 従業員と幹部の間で大激論
またBallmer氏との年1回のミーティングがセットされているある従業員は「誰が呼び出しをかけていようが、この間だけは絶対に電話に出ない」とコメントしている。
マイクロソフトのバルマーCEO、社員のiPhoneを奪って踏みつける (ふりをする)

ネット上の中傷書き込みで名誉棄損罪確定　最高裁初判断
ネット上の書き込みなら名誉棄損罪成立の判断が緩やかになるかどうかについて「個人利用者によるネット上の表現行為でも成立判断は緩やかにはならない」とする初判断を示した。

【韓フルタイム】韓国で２０００万件分の個人情報が漏洩！国民の２人に１人の割合
キムらが持っていた個人情報は約２３００万件。これを単純に人数と見るならば、韓国の国民は約４８００万人なので、２人に１人の個人情報がこのキムの手に渡っていたということになる。個人情報の一部には中国のハッカーにより漏洩した情報も含まれているそうで、関連を調査中だそうだ。
1件500円の商品券でもちょっとすごいことになりそう・・

PayPal says sorry to Cryptome
No you're not
(笑)

----------
8080 #

	count	ASN	登録	更新
91.121.108.53	102409	AS16276	02/17 10:35:20	03/17 08:50:20
91.121.7.26	73640	AS16276	02/20 05:50:34	03/17 08:50:20
82.98.193.211	22222	AS8455	03/13 23:40:23	03/17 08:50:20
91.121.85.178	3636	AS16276	03/15 00:10:34	03/17 08:50:20
94.23.13.65	1130	AS16276	03/16 22:10:24	03/17 08:50:20
91.121.163.215	20185	AS16276	03/12 18:10:17	03/17 08:40:34
91.121.64.214	18895	AS16276	03/12 07:40:30	03/17 08:40:34
62.75.218.192	50024	AS8972	02/17 12:30:27	03/17 08:10:34
91.121.184.167	16303	AS16276	03/12 17:40:15	03/17 08:10:34
91.121.134.58	1299	AS16276	03/16 10:40:28	03/17 08:10:34
91.121.160.217	27581	AS16276	03/12 19:40:15	03/17 07:10:35
91.121.180.55	10783	AS16276	03/13 01:10:16	03/17 06:40:26
85.197.78.2	179	AS25220	03/17 06:10:33	03/17 06:40:26
91.121.113.184	359	AS16276	03/17 03:10:41	03/17 04:40:45
193.138.206.56	286	AS35470	03/16 22:40:47	03/17 02:40:49
85.17.137.93	5768	AS16265	03/16 05:40:34	03/17 01:40:37
91.121.147.163	4656	AS16276	03/12 08:10:27	03/17 01:00:23
94.23.231.140	213	AS16276	03/16 20:40:34	03/16 23:10:29
91.121.24.139	90512	AS16276	02/17 10:35:20	03/16 19:00:28
93.89.80.117	934	AS39326	03/15 13:10:31	03/16 14:00:23
194.150.236.199	103	AS44976	03/15 07:40:38	03/15 08:00:22
91.204.116.114	5723	AS44976	02/24 23:30:07	03/14 23:40:50
91.204.116.79	42792	AS44976	02/20 04:50:59	03/13 15:00:28
188.40.118.68	3683	AS24940	02/17 10:35:20	03/13 09:00:27
188.40.58.145	92	AS24940	03/13 08:50:29	03/13 09:00:27
95.154.237.249	92	AS29131	03/13 08:50:29	03/13 09:00:27
89.149.226.132	526	AS28753	03/13 01:10:16	03/13 06:40:15

真っ赤:24H以内登録　赤:5日以内登録　薄赤:24H以内更新　5日経過:[55]IPs

また IP 追加が始まりましたね・・

----------
Google Safe Browsing #
| 1268780409 | B | [goog-black-hash 1.53213 update]
| 1268780403 | M | [goog-malware-hash 1.20094 update]
| 306646 | -2342(308988) 減少
| 1497502 |
EoF

国立公園指定記念日
財務の日 aka 「ざ(3)い(1)む(6)」
キリンレモンの販売が開始。(1928年)

----------
Spam Assassin exploit go wild #
Spamassassin Milter Plugin Remote Root Attack
SpamAssassin Milter Plugin 'mlfi_envrcpt()' Remote Arbitrary Command Injection Vulnerability
Currently we are not aware of any vendor-supplied patches.

Mitigation: There is a preliminary patch available at the SpamAssassin Milter Plugin project site, bug #29136: SpamAssassin Milter Plugin Input Validation Flaw Lets Remote Users Execute Arbitrary Code: SpamAssassin Milter Plugin - bug #29136, SpamAssassin Milter Plugin Input...
Alternatively, don't use the -x option when running this plugin, as well do not run it as root.

といわけで、Milter Plugin を使用している環境の方は、パッチを・・・Alpha パッチの導入が企業ポリシー的に難しい場合は -x オプションの使用を中止し、 root 権限で動作させないようにしてください。

SpamAssassin Milter Plugin Shell Command Injection 4

----------
IE ZERO DAY #
ZERO-DAYには3種類ありまして、
PoCが公開されていない「脆弱性があるよ～」状態
PoCが公開され、脆弱性攻撃の危険性のある状態
「既に攻撃が確認されている」状態
に分かれると考えています。今回のケースはその最悪のものですね・・・

マイクロソフト、IE 6とIE 7の脆弱性修正パッチをテスト中
「この問題に対処するためのセキュリティ・アップデートを、臨時にリリースすべきだという見方があることは承知している。しかし、今言えるのは、テスト中のアップデートを完成させるため懸命に作業をしているということだけだ」
Update on Security Advisory 981374
ということで、緊急パッチの可能性を否定しませんでした。
緊急、あるいは定例パッチに混ぜてしまうと、プリンタスプーラが動作しないといったクレーム対応に追われることになるでしょうから、MSとしても頭が痛いところでしょう。

しかし、1月のときといい今回といい、タイミングが悪いですね・・

Microsoft offers 'fix-it' workaround for IE zero-day
IEの脆弱性、臨時アップデートで対処の可能性も
Microsoft pushes temporary security fix to IE laggards
Shops and homes that can should immediately upgrade to IE 8. Those that can't should check out the temporary fixes, but don't say you weren't warned.
Simple workarounds for latest IE security vulnerability
Security experts have already demonstrated that it can be bypassed even for older IE exploits. It is therefore probable that an exploit adapted for DEP will be doing the rounds soon.
そういえば、IE5.5と7には影響しないという変なExploitも存在しましたね・・・
(注意：これはIE8 Bateの頃の話です。現在の IE8には影響しません)

微妙に続く
----------
もじばけっ！ #
Non-English Text in Add or Remove Programs tool
英語版、Excel 2003, Excel 2002の一部ユーザが、MS10-017 を適用すると、コントロールパネルのソフトウェア一覧に表示される文字が中国語になってしまうという問題（笑）

中身は問題無いようですが、キニナル方は、一度 KB978471 もしくは KB978474 をアンインストールした後、修正されたKBに入れなおしてくださいとのこと・・・

どこで Q/A テストを行っているのかよくわかりますネ
日本語版での不具合は確認されていません。

Windowsの画面が中国語に――3月のMSパッチで一部に不具合
Re: Microsoft Patch Tuesday March 2010 MovieMaker patch errors

----------
Fake and Fake #
SEO, spam, 陥落Webサイト・・・様々なベクトルから「インストール」させようとします。
Pacquiao-Clottey Live Streams Lead to FAKEAV
March Madness madness
Mac OS X SMS ransomware - hype or real threat?
What do you think? Is Mac OS X ransomware a real threat, or a hype, with cybercriminals basically experimenting in the short term?
ハイチ、チリ地震に関連した募金

Vista以降でUACをONにしているのであれば、脆弱性を放置した環境でない限り「自分から進んでインストールに応じ」ないかぎり、こうしたマルウェアが自動的にインストールされることは無いはずです。

「偽ウイルス対策ソフト」流行に注意～改ざんサイト経由での被害が多数
こうした被害にあわないためには、システムや使用しているソフトウェアを常に最新の状態にしておくことが重要かつ基本の予防策であることを忘れずに、こまめにパッチを適用するようにしたい。また、信頼できないサイトやメールは開かない、サイトの閲覧時などにプログラムのダウンロードや実行を警告するセキュリティの警告が表示されたらキャンセルするように、常に意識していただきたい。信頼できるウイルス対策ソフトを入れておくこともおすすめする。
今はまだ、日本語の偽セキュアプリが少ないですが、今後は増加してくる可能性がありますので注意が必要です。
※もっとも、本当に注意が必要な方への注意喚起がなかなか難しいわけですが・・・

‘Scareware’ Poses Danger to Consumers

----------
CVE-2010-0425 #
Apache HTTP Server Vulnerability Advisory for Adobe Flash Media Server Customers
あーっ！
Adobe is issuing this blog post as an advisory for customers of Adobe Flash Media Server 3.5.x (Windows only), which ships with version 2.2.9 of Apache HTTP Server:
盲点でした（苦笑）

Flash Media Server(Windows)を駆動中で、Apache 2.2.9 httpdエンジンを使用している場合、

To prevent the ISAPI module from loading, change the following line in the Flash Media Server Apache configuration at FMS_INSTALL_DIR/Apache2.2/conf/httpd.conf from
と、mod_isapiを無効化してくださいとのこと。
どうしても isapi ドライバが必要な方は Apache 2.2.15 へアップデートしてください。

Apache HTTP Server "mod_isapi" and "mod_headers" Vulnerabilities 4

びみょに続く
----------
Adobe Targeted, WHY? #
「Adobe Reader」を狙う標的型攻撃が増加傾向に
別に今にはじまったことじゃないですけどね～
なぜ Adobe なのか？ということを Adobe と Microsoft はもう少し真剣に考えて欲しいものです。
※プリインストールされていることが多く、脆弱性が放置される率が圧倒的に高い（自動でアップデートされない）から。
Adobe yet again

McAfeeとAdobeの夢のコラボ・・かとおもいきや？
マカフィー、Adobe LiveCycle ES2 と連携した情報漏えい防止ソリューションを提供開始
本製品を通し、マカフィーとアドビ システムズ社は、情報漏えい防止（Data Loss Prevention、DLP）とエンタープライズデジタル著作権管理（Digital Rights Management、DRM）の統合ソリューションを共同で提供し、データ保護領域を社外へと拡大していきます。
想像とちょっと違った・・・

----------
school blackboard for security #
Teaching Some Security (II)
今回のはイマイチかな？（苦笑）

Lesseon-1
via : The Simpsons

----------
KoobFace #
Koobface Redirectors and Scareware Campaigns Now Hosted in Moldova

AS43558 (EVENTISMOBILE) : モルドバ共和国
43558 / AS43558 どちらもあまり出てきませんね～
今後、こうした東欧諸国のISPには注意が必要なのかもしれません。

今日付けの MDL は Koobface であふれ返っています。

----------
がんぷら～ #
ガンブラー攻撃、ピークは過ぎたがまだまだ警戒は必要 - ラック・新井氏
またもや国内で相次いだWeb改ざん

コメントはありません（笑）

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	22603	AS16276	03/12 19:40:15	03/16 08:50:25
91.121.163.215	16029	AS16276	03/12 18:10:17	03/16 08:50:25
82.98.193.211	15837	AS8455	03/13 23:40:23	03/16 08:50:25
91.121.184.167	13729	AS16276	03/12 17:40:15	03/16 08:50:25
85.17.137.93	936	AS16265	03/16 05:40:34	03/16 08:50:25
91.121.7.26	73358	AS16276	02/20 05:50:34	03/16 08:40:30
91.121.64.214	15935	AS16276	03/12 07:40:30	03/16 08:40:30
91.121.108.53	99952	AS16276	02/17 10:35:20	03/16 07:40:38
91.121.85.178	2588	AS16276	03/15 00:10:34	03/16 06:40:34
91.121.180.55	9240	AS16276	03/13 01:10:16	03/16 06:00:28
91.121.24.139	90411	AS16276	02/17 10:35:20	03/16 05:40:34
91.121.147.163	4363	AS16276	03/12 08:10:27	03/16 01:40:30
93.89.80.117	833	AS39326	03/15 13:10:31	03/15 23:40:41
194.150.236.199	103	AS44976	03/15 07:40:38	03/15 08:00:22
91.204.116.114	5723	AS44976	02/24 23:30:07	03/14 23:40:50
91.204.116.79	42792	AS44976	02/20 04:50:59	03/13 15:00:28
188.40.118.68	3683	AS24940	02/17 10:35:20	03/13 09:00:27
188.40.58.145	92	AS24940	03/13 08:50:29	03/13 09:00:27
95.154.237.249	92	AS29131	03/13 08:50:29	03/13 09:00:27
89.149.226.132	526	AS28753	03/13 01:10:16	03/13 06:40:15
62.75.218.192	49920	AS8972	02/17 12:30:27	03/13 05:40:15
78.41.156.236	13333	AS6908	02/18 20:00:43	03/12 08:00:24
84.200.227.144	7228	AS31400	02/17 12:30:27	03/12 06:40:27
87.106.247.193	3381	AS8560	02/17 19:40:50	03/12 05:00:33
213.251.133.159	5967	AS16276	02/17 18:00:50	03/12 02:40:55

真っ赤:24H以内登録　赤:5日以内登録　薄赤:24H以内更新　7日経過:[51]IPs

ちょこちょこ陥落サーバが増えているということは、攻撃の手を緩める気が無いということなのでしょう。
LeaseWebって文字が見えるのはきっとキノセイ・・

----------
Google Safe Browsing #
| 1268683233 | B | [goog-black-hash 1.53132 update]
| 1268683202 | M | [goog-malware-hash 1.20068 update]
| 308988 | -896(309884) 微減
| 1491179 |
EoF