UnderForge of Lack

[WARNING]

IRC経由で警報が飛んできました。
立命館大学　2009年度学園祭ホームページが陥落しています。

Googleセンセイの設定では
rits-fes-by-e2　.net/ : THROUGH
rits-fes-by-e2　.net/bkc/ : MALICIOUS
となってますが、どっちにも悪意コードが埋められています。

学園祭が今日までのところと翌週のところがあるようですので、今日、このページを踏む方が増えると思われます。

--
更に攻撃が多段化してますね

スクリプト埋め込み先：
atddlgeo-ucad　.dk
Google : THROUGH

ダウンロード先：
articles　.koraja　.com/
Google : THROUGH
逆引き:
p4p-i .geo .vip .re4 .yahoo .com
AS14779(INKTOMI)
Yahoo-RE1 Yahoo RE1 datacenter

Yahooサーバ内、AltaVista管轄の部分ですか・・・
被害者とはいえイメージダウンは避けられないでしょうね
しかもこのサーバ、あちこちで悪意物（汚物）を撒き散らしている様子・・
MalwareURL search "AS14779"
MDL search "14779"

注意しましょう（棒読み）
※そろそろ注意のまとめを作らなきゃ・・・

[WARNING]

インテルが新型SSDの販売を一時停止、データ破損のおそれ
インテルが新型SSDの販売を一時停止、データ破損のおそれ
Intelによると、SSDでBIOSパスワードを設定し、その後パスワードを無効にするか、または変更してコンピュータをリブートしたときにのみデータ破損が発生する。この問題が発生したSSDは、操作不能になり、データを引き出すこともできなくなるという。

Computerworld米国版の電子メールによる取材に対し、Intelは、この問題はコンピュータやネットワーク、OSのパスワードとは無関係だと強調した。

対象となるのは X-25M と X-18M の新モデルです。(X-18Mは未発売)
Intel Delivers Industry's First 34-Nanometer NAND Flash Solid-State Drives; Advancement Lowers Prices by Up to 60 Percent

新型の 34nm(ナノメートル)製造プロセスによって価格を大幅に下げてきたモデルで、7/21に発表されたばかり。
インテル、ソリッドステートドライブの速度向上と価格引き下げを発表

所持している方は、BIOS上で パスワードを設定してはいけません。
もし、「既に設定しちゃったよ～」という方は、しばらく BIOS 画面からアクセスしないほうがよさそうです（笑）

同社では、この問題の解消に向け、ファームウェア・アップグレードを準備中だ。テスト終了後、数週間以内に修正プログラムをリリースするとしている。

また、ファームウェアがアップデートされるまでは製品の販売を見合わせる。「顧客に対応を求めるよりも、出荷を一時停止し、こちらで問題を修正するほうが合理的だと判断した」とIntelは述べている。

これを受け、オンライン小売業者のNeweggやZipZoomFlyも、受注システムからこれらの製品を撤去したという。

試金石になりそうな状況がまた・・・

インテルX25-M G2 SSDのバグ続報、修正ファームは近日提供 -- 2009.07.28

はちみつの日
ハモの日
ハサミの日
破産の日
全部ゴロ合わせではないですか！（苦笑）

----------
月曜の朝なのでまだ何もありません。

そう
「今日は何も無い日です」
と書くことが出来ました！

一応、以下のものを確認してください。

Adobe Reader 9.1.3
Adobe Acrobat 9.1.3
Adobe Flash Player 10.0.32.18
Adobe AIR 1.5.2
Adobe Shockwave 11.5.1.601

Microsoft Windows しつこく更新のチェックを行い、オプションしか表示されないことを確認
（※オプションの言語パックとかを入れると、後で地獄をみますのでご注意を）

Java Runtime Environment(JRE) 6 Update 14（1.6.0_14）

BIND 9系のアップデート(Linux系はDistributionによりバージョンが錯綜しています）
VUpen -- search as "CVE-2009-0696"

DHCP Clientのアップデート(コレもバージョンマチマチ)
VUpen -- search as "CVE-2009-0692"


----------
/rude bad guys !

Ours not to wonder why
窓から見えるもの～愛しい日差しの日、緑の芝生、木々の木漏れ日、スケーティングの出来る小さな公園（たった今誰かがキックフリップに失敗しました）。で、何故私はSophosLabの窓から外を眺めているかって？　そりゃ日曜日だというのに悪者(bad guys)はまだ働いてるから～故に我々もそうせざるを得ません。

そうはいっても、Sophosは他のアンチウィルス・ベンダとは違いビジネス顧客に視点を合わせていますので、（日曜は）通常の日よりは静かです。顧客からのMalwareの報告は週末においてはかなり少なくなり、概ね月曜日がそのピークとなります。いまここには２人だけがいて、やってくる懸案の全てに迅速に応答し、皆をhappyにすることが可能でした。そして我々は 99.5% の spamをブロックしています～Svetlanaに関連した１通を除いて～あなたはきっと寂しく美しく、誰かにそのことを広げ、話したかったのかもしれませんが、あなたが美しいGraphをスポイルしたので、我々はあなたに共感を感じえませんでした。
（訳注：ロシア発の変なspamだと思われます）

私は、全ての顧客が週末を楽しみ、全てのMalware作者が窓の無い部屋で週末の感染拡大を画策し、月曜にspamとMalwareを送りつけるウェーブの仕込みに入っていることをイメージできます。たぶん、彼らはランチブレークしか許されないでしょう～数ダースのCAPTCHA破りと30の新しいViagraの文章を書かない限りは。

で、あなたがもしこれを読んでいて "the side of good" の方であるなら、あなたが出来うる限り自分の時間を持てることを願っています。楽しんでください！　君が窓の無い部屋に居て、V1@9rと似たようにハマッテいるのなら、ah-hah! 君にはたぶんランチブレイクもないよ。

（笑）

----------
CVE-2009-2463
Integer overflow in a base64 decoding function in Mozilla Firefox before 3.0.12 and Thunderbird allows remote attackers to cause a denial of service (memory corruption and application crash) or possibly execute arbitrary code via unspecified vectors.
のPoCらしきものが出回っています。

Mozilla Foundation Security Advisory 2009-34
Disable JavaScript until a version containing these fixes can be installed.
またですか・・

----------

むずかしいとか
ぎくっ（汗）
しっかり捕捉されました（笑）

Google先生とかで自サイトのリンクとかたまにみてるんですが、「何書いてあるかわからん！」とか言われててちょっとヘコんだことがあったりします。
黒基調なのは、タイトルからして怪しいので・・・こんど移転するときに考えます
しかし、puppet様の仰るように、全くＰＣの知識の無い人にウィルスの話をするのは大変を通り越して殆ど不可能の域に入ってしまいます。

「今、あなたが利用している古いFlash Playerは、ウイスルに感染する恐れがあります。（記事）の手順で最新版に更新してください」
って言ったとしても、何故それが必要なのか？という部分の説明から始めないといけないので・・・

どーしようにもなさそうな人に見て貰うlink集というのはあります

まずコレを見せて恐怖感を植えつけ、
サイバークリーンセンター(CCC)｜ボット ウイルスとは

さらに脅して（笑）
So-netのボット(BOT)ウイルス対策 パソコン内に忍び込む～ボット(BOT)ウイルスってなに？

Botの恐怖のトドメを刺し、
被害者が加害者に！　PCに再来するボット脅威

ＵＳＢも脅し、
USBメモリで広がるウイルスの脅威――感染からPCを守る方法

P2P共有ソフトの恐怖も喧伝し、
Winny利用の果て――家族崩壊した銀行マンの悲劇

さらにセキュソフトの欠陥も喧伝
「ウイルス対策ソフトは万能」という神話を改めよう

で、ここでプラグインのアップデートの重要性を改めて知って貰う
初心者必読！ しないと怖い「プラグイン」アップデートの方法

って感じでしょうか？（笑）

----------
さて、今週もがんばっていきましょう～

EoF

アマチュア無線の日
日本アマチュア無線連盟
太平洋戦争勃発で禁止されていたアマチュア無線が復活した事で、戦後初めてのアマチュア無線局予備免許が、1952 年7 月29 日、全国の30人に発給されたことから、この日が選ばれたのです。

----------

YYAMCCBA
なんですかその略語は・・・
Yes Yet Another Massive Credit Card Breach Alas

The breach happened some time before 12 March 2009, and was discovered some time after 08 June 2009. Thousands of merchants and almost 600,000 credit cards may be affected.

このbreachは、2009/03/12以前に発生し、2009.06.08に発覚しました。数千のmerchantのおよそ600,000のカード情報が影響しています。

Data Security Alert - Problem Fix and Customers Notified
In the ordinary course of business, Network Solutions identified unauthorized code on servers supporting some of our E-Commerce merchants’ websites. We promptly removed this code, and all of our E-Commerce servers are functioning properly. No servers supporting networksolutions.com were affected.
ベンダー側は、現在は安全と言い切ってますが・・

----------

また Twitter・・・
Twitter spam/phish

twitterview.net

いっぱいドメイン収容されてますが、悪意判定は一つもなし

twitterview.net	THROUGH	NOT YET
19april.com	THROUGH	NOT YET
accounthelper.com	THROUGH	NOT YET
buellcoinc.com	THROUGH	NOT YET
choicetravelexpress.com	THROUGH	NOT YET
gottheworx.com	THROUGH	NOT YET
heavyequipmentsurplus.com	THROUGH	NOT YET
inservo.com	THROUGH	NOT YET
lakeo.org	THROUGH	NOT YET
leads2money.com	THROUGH	NOT YET
masterground.com	THROUGH	NOT YET
matricdance.com	THROUGH	NOT YET
myegenda.com	THROUGH	NOT YET
wemakehits.com	THROUGH	NOT YET
74.208.84.61	AS8560	1&1 Internet AG

----------

時間切れ：

最新のインジェクション情報：
Malicious Domain :
61.232.154.43:8888
xiqiji.cn
xiaominggogo4.9966.org
xiaominggogo.9966.org
yxj26.9966.org
ylzf004.cn
img.tongji.linezing.com
js.tongji.linezing.com

中国のトレント系のサイトが感染したそうですので注意を

EoF

[EMERGENCY]

久しぶりに定例パッチ以外の緊急パッチが予告されました。
相当深刻な事態の様子ですので、パッチまではIEの使用を控えたほうがよさそうです。

Advance Notification for July 2009 Out-of-Band Releases

Microsoft Security Bulletin Advance Notification for July 2009

Affected solusions :

要するに全て・・・・

パッチ予定：
10:00 AM Pacific Time next Tuesday, July 28, 2009.


Microsoft Out of Band Patch

EoF

EMERGENCY

YA0D in Adobe Flash player
Well, it looks like the last two weeks have definitely been marked by multiple 0-day exploits actively used in the wild.

YA0D = Yet Another ZERO DAY

朝に書いた記事が、大事になっていました（苦笑）

Symantecのレポートにも既に攻撃コードが出回っている様子でしたが、どうやら本格的に蔓延していたようです。

緩和策：
Security advisory for Adobe Reader, Acrobat and Flash Player
Deleting, renaming, or removing access to the authplay.dll file that ships with Adobe Reader and Acrobat v9.x mitigates the threat for those products, but users will experience a non-exploitable crash or error message when opening a PDF that contains SWF content. Depending on the product, the authplay.dll that ships with Adobe Reader and Acrobat 9.x for Windows is typically located at C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll or C:\Program Files\Adobe\Acrobat 9.0]\Acrobat\authplay.dll.

C:\Program Files\Adobe\Reader 9.0\Reader\authplay.dll
C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll
を消すかリネームする
新たなクラッシュを招き、別の脆弱性攻撃誘引の可能性あり

緩和策２：
Flash Playerの脆弱性、0-day攻撃注意
Adobe Readerでは、[編集] > [環境設定] > [マルチメディアの信頼性（従来形式）] でAdobe Flash Playerの権限を選択し、ドロップダウンリストで[許可しない]か[確認する]を選択する。
今回の脆弱性攻撃への緩和策にならず

-----

Adobe Flash Player に脆弱性

Adobe Reader, Acrobat and Flash Player Vulnerability

Adobe Acrobat and Adobe Flash Remote Code Execution

New 0-Day Attacks Using PDF Documents

Adobe Flash zero-day attack underway; Harden PDF Reader immediately

Adobe Reader/Acrobat SWF Content Arbitrary Code Execution

Who is Exploiting the Adobe Flash 0-day?

Adobe's Name is Mud

Adobe Flash (Embedded in PDF) LIVE VIRUS/MALWARE Exploit

Flash Playerに新たな脆弱性、PDFを使うゼロデイ攻撃が発生
Adobeが公式パッチをリリースするまでの一時的な回避策として、US-CERTではFlash Playerを無効にするなどの対策を奨励している。


各社一斉に出してきましたね（笑）

TrendMicroは？

EMERGENCY vol2


本日２個目の警報

Firefox3.5 の jit(TraceMonkey)エンジン脆弱性を突いた（ような）攻撃が早速始まっているようです。

インジェクション FireFox3.5 Heap Spray Vulnerabilty
Thanks to HD Moore for the Insight and Metasploit for the payload

MetaSploit Project の H.D.Moore氏が見たら何ていうのやら（苦笑）
参考：『Metasploit』、最新版で『Windows』をフルサポート

本気なのか、Milw0rmを見て入れてみただけなのか、よくわかりません。

okm4.org	BLOCKED	okm4.org	305
118.123.11.29	AS4134	CHINA-TELECOM
56jrr.cn	BLOCKED	56jrr.cn	169
59.34.197.151	AS4134	CHINA-TELECOM

AS4134はそろそろ覚えていただけましたか？（笑）

MDL/MalwareURLともに犯歴無し

----------
対策：

Firefox 3.5.0 ユーザ
速やかに 3.5.1 へのアップデートを行ってください。

Windows ユーザ
Windows/Microsoft Update を行い、msvidctl.dll脆弱性の穴を塞いでください。
Microsoft Office Web コンポーネント コントロールの脆弱性の対処（Fix it)を行ってください。

----------

追加：

cnzz.com	THROUGH	cnzz.com	1
59.151.41.22	AS9308	CHINA-ABITCOOL
linezing.com	THROUGH	linezing.com	333
119.42.227.248	AS37963	CNNIC-ALIBABA-CN-NET-AP
hongse88.com	THROUGH	hongse88.com	NOT YET
121.14.218.162	AS4134	CHINA-TELECOM

----------
EoF

EMERGENCY


少し前から発生していた microsoft.cn系のインジェクションですが、ここへ来て国内への飛び火が拡大している様子です。
使用されているのは、従来どおりの脆弱性ですが、Exploitsが成功した後の .exe の状況が
File load.exe received on 2009.07.08 01:18:57 (UTC) Result: 1/41 (2.44%)
という状況ですので警報にしておきます。

updatedate.cn	BLOCKED	updatedate.cn	232
microsotf.cn	BLOCKED	microsotf.cn	78

91.212.198.37 AS49314 NEVAL.
NEVALは他にも色々とヤバそうなものがあるのでこの際・・・
91.212.198.0 - 91.212.198.255

レジストラント abuseemaildhcp＠gmail.com で登録されている他の Mal-Domain：

imagehut3.cn	BLOCKED	imagehut3.cn	20
imagehut5.cn	BLOCKED	imagehut5.cn	39

213.182.197.229 AS8206 JUNIK
・・・・・マタオマエカ
92.241.190.53 AS41947 WEBALTA
ここも防弾ホストっぽいですね。デモ、ちょっと範囲が広いので判断はお任せします。
92.241.160.0/19

--

imagehut4.cn

THROUGH

imagehut4.cn

NOT YET

212.117.173.92 AS44042 ROOT-AS
やぁ・・お久しぶり・・
ns: 208.76.56.56
このアドレスは gumblar.cn のネームサーバとして使用されていました。

----------
そろそろオデカケ・・
何かあったら順次追加します

EoF

EMERGENCY

汚染源拡大：
例の ActiveX (msvidctl.dll) 攻撃を思いっきり助長している Xreaですが
とうとう、アクセス解析のサイトトップにもインジェクションコードが埋め込まれています。

ここまで事態が拡大しているにも関わらず、何も手を打とうとしないのは何故なのか？
よくわかりません。

hellh.net

ax.xrea.com
Aレコード：
219.101.229.189
219.101.229.188

どういうラウンドロビンになっているのか判りませんが、219.101.229.188のみが感染コードの撒布を行っているようです。

Analysis report for hXXp://219.101.229.188/

hXXp://１856317799:888/jp.js
hXXp://０x6EA52967:888/dir2/show.php
hXXp://０x6EA52967:888/dir2/go.jpg
hXXp://１856317799:888/counter.htm

1856317799(10進表記) 0x6ea52967(16進表記)
110.165.41.103

幸いなことに、現在 110.165.41.103 は無応答状態ですが、今後はわかりません

APNIC-HM Hong Kong

110.165.*.* で検索しても、過去犯歴は見当たりません。

尚、hellh.net は現在はなぜか FC2管轄のリモートホストに向けられています。

sata4.fc2.com

208.71.106.124
59.151.23.102
211.152.51.110

---
同様の改竄が FC2 を中心に広まっている模様。

個人サイトを書くと迷惑になる可能性がありますので、各自でgoogle先生にお尋ねください。

-------------

感染確認：

（恐らく) WIndows Vista, Server2008 のユーザ様には関係ありません。

最近、Webを閲覧している最中に突然
「"MicrosoftCorporation"からの
ActiveX control for steaming videoアドオンを実行しようとしてます」
が開いた記憶のある方は、Windowsフォルダ内の以下のファイルの有無をチェックしてください。

もし存在していた場合は、残念ながら
懸念があります。

亜種も飛び交い始めており、今後更に激しくなる可能性を否定できません。
Worm.AutoRun!sd6, Packed.Generic.181, Worm.Win32.AutoRun.lul, Generic.. -- 2009/06/04 0:34:38
not-a-virus:NetTool.Win32.ZXProxy.h -- 2009/07/07 3:09:10
Suspicious.MH690, Worm.Win32.AutoRun.gfq, New Malware.u, Mal/Packer.. -- 2009/07/07 14:33:02

念のために、ゲーム(MMORPGなど)を含む有価情報のパスワード変更を必ず、「感染していないことが確認された環境」から行ってください。
※KeyLoggerが埋め込まれている場合、パスワードの変更を行ったという情報が記録、送信されてしまうため、かえって危険です。

SSH 通信において一部データが漏えいする可能性
CBC（Cipher Block Chaining）モードではなく CTR（CounTR）モードを使用する。

うーん・・おもいっきり CBCだな（笑）