Archive for the 'security' Category

« Previous Entries
Next Entries »

[Announce] Mac OS X mega Patch

Posted in Announce, News, security on 3 月 30th, 2010 by gnome

[Announce] MacOS X Mega Patch

MSがようやくゼロデイを塞いだ時期を同じくして、「ゼロデイのアップル」の異名を払拭すべく、Appleもパッチを発表しました。
最新バージョンは Mac OS X v10.6.3 になります。

About the security content of Security Update 2010-002 / Mac OS X v10.6.3
Products Affected
Product Security, Mac OS X Server 10.5, Mac OS X 10.5, Mac OS X 10.6, Mac OS X Server 10.6
え~っと・・・なんですかこの数は・・・
CVE-2006-1329 とか混じってる気がするのは、キノセイでしょうね・・たぶん。
APPLE-SA-2010-03-29-1 Security Update 2010-002 / Mac OS X v10.6.3
さすがにこれだけ揃うと壮観ですね。

当該OSユーザの方は、Mac OS X:ソフトウェアをアップデートする のインストラクションに従い、アップデートを行ってください。

Apple Releases Security Update 2010-002 and Mac OS X v10.6.3

Apple plugs 88 Mac OS X security holes

Keep Secure!

EoF

Leave A Comment »

2010.03.30 火曜日

Posted in security on 3 月 30th, 2010 by gnome

マフィアの日
1282年、シチリアシャルル・ダンジューの圧制に対して暴動が発生(シチリアの晩祷
この暴動を起こした住民が口にした合言葉「Morte alla Francia Italia anela」(フランスに死を、これはイタリアの叫びだ)の各単語の頭文字が「マフィア」(mafia)の言葉の由来との説が、まことしやかに語られる。
国立競技場落成記念日 (1958年)
國松孝次警察庁長官自宅前で狙撃される(警察庁長官狙撃事件)。1995年
国松警察庁長官銃撃事件の時効成立

----------
2本もAnnounce出してまだ残ってるのが多い・・・
HURRY!

----------
OpenSSL #
0.9.8の下のアルファベットが足りなくなる懸念(笑)のあった OpenSSLですが、ついに!とうとう 1.0 が正式リリースされました。

OpenSSL 1.0.0 is now available, a major release
4010166 Mar 29 15:24:59 2010 openssl-1.0.0.tar.gz (MD5) (SHA1) (PGP sign) [LATEST]
*clap* *clap* *clap*

尚、OpenSSL 0.9.8f ~ 0.9.8m に以下の問題が発生していますが、OpenSSL 0.9.8n で修正されており、1.0.0にも問題が無いと思われます(未確認)。
'Record of Death' takes out OpenSSL servers

"Record of death" vulnerability in OpenSSL 0.9.8f through 0.9.8m
CVE-2010-0740
1.0.0に上げる良い機会かもしれません。

----------
Updateを騙る #
Trojan poses as Adobe update utility
AdobeやらJavaやらのアップデータを装ったマルウェアが多数存在するという話です。
that the recently detected Fakeupver trojan establishes a backdoor on compromised systems while camouflaging its presence by posing as an Adobe update utility. The malware camouflages itself by using the same icons and version number as the official package
今に始まったことではありませんが。

アップデートは必ず、オリジナルベンダーの供給するアップデータで行いましょう。メール添付のファイルや、怪しげなメールから誘導されたリンク、あるいは、Web閲覧中に出てくるアップデート表示は、疑ってかかりましょう。

こうして、インターネット上の性善説はどんどん否定されていくのです。

Adobe Update Trojan Claims are Invalid
What is located in the C:\Program Files\Adobe\Reader x.x folder is AdobeUpdater.dll (note that it's a DLL which means it would not be overwritten if an .exe with the same name were dropped to the folder). In short, there's currently no evidence that this malware is overwriting or even interfering with Adobe updates. It appears to be nothing more than the millions of run-of-the-mill trojans that try to disquise themselves by adopting the name of a valid program.
最近、ScanSafeがどんどんシニカルになっていく・・・

Remember, infections can be like real estate: it's all about location, location, location.

Update Your Bot Agent Using Fake Adobe Updater
The Fake Adobe Updater is notable in a sense that it utilizes Amazon EC2 to serve and control its bot agents.
またしてもCloud悪用・・・

----------
Fakebook #
Facebook AV
Facebook AV
Facebook専用のセキュリティソフトってそもそも意味があるんでしょうか?
USだとあるのかな・・?

セキュリティソフトは充分な数が頒布されています。見慣れないベンダーのソフトを不用意にインストールしないように注意しましょう。

関連:
Moscow Subway Explosions Result to FAKEAV
Moscow Bombings, TJX Hacker Spur Black Hat Campaigns
ほらもう、こんな時事ネタにも偽セキュがへばりついています。

----------
NetBiter #
IntelliCom NetBiter Config HICP におけるバッファオーバーフローの脆弱性
IntelliCom NetBiter Config HICP hostname buffer overflow
使用中の方はあっぷで・・

JVNがどういう基準でこの警報に乗せるものを選んでいるのか知りたいな・・

----------
SysInternals #
Process Explorer 12 identifies services
一部に大変なマニアを持つ(?) Microsoft謹製(元はMark Russinovich氏と Bryce Cogswell氏のプロダクツ)システムツールの中でも、人気の高い Process Explorerver12 にアップデートしました。
Process Explorer 12 features the ability to show IE8 processes in the process tooltip, display a svchost’s service host category in its tooltip and map service names to threads under the threads tab. Other changes include a tab for TCP/IP process properties on systems running Windows Vista or higher and a new.NET assembly information tab in the process properties dialogue.
SVChostのサービスホストのカテゴリ名称が見えるのが嬉しいかな。あとで見てみようっと

----------
NMAP #
Nmap 5.30BETA1 released
Nmap 5.30BETA1 is out. Many new features, new NSE scripts, nping, some syntax changes, some bug fixes and more. Nmap is hands down one of my favourite tools and a must have for any technical information security professional. Much more information and downloads available as always at:

http://nmap.org/
Nmap 5.20, our first stable release since July 2009, is now available! 30+ new scripts, enhanced performance, massive OS and version detection DB updates, and more!

----------
Avira #
Avira Antivir 10: No behaviour-based detection in 64-bit Windows
Avira's AntiVir 10 may offer behaviour-based ProActiv detection, but the feature is only available with 32-bit Windows systems. While this isn't a tragedy in itself, the vendor had failed to point out clearly enough that ProActiv doesn't work with 64-bit systems.
え~
AntiVir10 の「ウリ」である、ビヘイビアベースの検知システム ProActiv は64ビットベースではシステム的な問題により動作しないとのこと。

Avira AntiVir ProActiv is not available for 64 Bit systems at the moment
The module right now uses so called kernel hooks to monitor the system. Those kernel hooks are not available on 64 bit systems. Work on a technical solution for Windows Vista and Windows 7 64 bit systems is in progress. However, at the moment no statement concerning the availability can be given.
時間かかりそうですね

----------
P2P禁止 #
US government employees face file sharing ban
This is also to include government employees' home or personal computers if they are configured for remote access to government networks.
まぁ、政府関係者はショウガナイですね。
日本もとりあえず「法律で原則禁止」くらいしないと、一向に収まらないような気もします。

----------
時間切れ

----------
Other #

Scams Increase During U.S. Tax Season
US Tax Seasonですからね

Cybercrime and Hacktivism in the Headlines

インターネットセキュリティへの関心が浸透――推進組織が調査
中高生に情報セキュリティを知ってもらおう――MSとTBS、ヤフーが始動
コレとか
学生のみなさんによるインターネット安全けいびたい
コレの顛末?

「ボットネットが15ドル、初心者向け情報が満載」――闇サイトの実態
and
Zeus Botnet
他にも、現在開発中の機能についても書かれています。どうやってインタビューしたのでしょうか。以下の機能を持つ次期バージョンが開発中で今ベータテスト中だということです。
(笑)

XBox Live Director's Account Compromised
First of all – let’s see what happened to “Major Nelson” (as he’s better known). His Live account was hijacked, and numerous offensive messages were posted to the Biography section. Here’s a screenshot:
あ~あ~

How to obtain thousands World of Warcraft accounts for free

Why does www.avast.eu take me to the Avira website?…..or isn’t security built on trust?
Aviraの偽サイトの話はいつだったかな?

ネットの人権侵害急増~プライバシー侵害や名誉毀損など過去最多に(法務省)

“Lawsuits” Spur Spam Attacks
Copyright Lawsuit Filed Against You Themed Malware Campaign -- ddanchev
.docの中に内封されたPDF爆弾ですね。

Removing Viruses from a PC That Won’t Boot
備えあれば憂いなし

アップル、モバイル広告プラットフォーム iAd を来月発表?
昨日の密会はコレ!?

スウェーデンのIXが中国のDNSルート・サーバを遮断

無料で使えるオンラインスキャンサービス7選

ソフトバンク、ウィルコムの基地局を転用して「基地局倍増」へ

----------
要精読かも PDF話 #
Escape From PDF
時間無いのでナナメにしか読んでいません。
With Foxit Reader, no warning is displayed:

----------
8080 #
countASN登録更新
91.121.137.12450882 AS16276 03/17 23:50:2503/30 08:50:35
94.23.12.6246533 AS16276 03/20 06:40:2603/30 08:50:35
94.75.229.7244385 AS16265 03/18 01:10:2603/30 08:50:35
94.23.235.9330272 AS16276 03/20 10:10:3203/30 08:50:35
94.23.246.17229361 AS16276 03/22 13:10:3203/30 08:50:35
91.121.121.22726860 AS16276 03/17 20:10:2103/30 08:50:35
91.121.134.5824458 AS16276 03/16 10:40:2803/30 08:50:35
93.89.80.11720766 AS39326 03/15 13:10:3103/30 08:50:35
94.23.231.14010366 AS16276 03/16 20:40:3403/30 08:50:35
91.121.160.21771890 AS16276 03/12 19:40:1503/30 08:40:33
91.121.163.21541508 AS16276 03/12 18:10:1703/30 08:40:33
91.121.180.5528269 AS16276 03/13 01:10:1603/30 08:40:33
91.121.8.735942 AS16276 03/22 06:10:2303/30 08:40:33
85.131.217.2513663 AS34309 03/26 01:50:4003/30 08:40:33
91.121.155.2014040 AS16276 03/17 21:10:2203/30 07:10:41
91.191.167.141113 AS28753 03/26 02:10:3603/30 07:10:41
92.52.88.240131 AS15395 03/30 04:50:4303/30 05:10:36
91.121.24.139111453 AS16276 02/17 10:35:2003/30 04:40:42
95.168.183.1269792 AS28753 03/26 01:10:3503/29 23:30:44
85.25.137.71528 AS8972 03/26 03:10:4803/29 23:30:44
85.197.78.2483 AS25220 03/17 06:10:3303/29 19:00:42
78.46.116.136144 AS24940 03/28 21:50:3503/28 22:10:36
188.40.82.70438 AS24940 03/26 14:10:4603/28 19:40:41
62.75.218.19250897 AS8972 02/17 12:30:2703/28 19:00:31
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[78]IPs

----------
Google Safe Browsing #
| 1269903603 | B | [goog-black-hash 1.54147 update] |
| 1269900003 | M | [goog-malware-hash 1.20399 update]
| 310210 | -694(310904)
| 1555959 |
EoF

Leave A Comment »

2010.03.29 月曜日

Posted in security on 3 月 29th, 2010 by gnome

マリモ
1952年、北海道阿寒湖のマリモが国の特別天然記念物に指定された。
八百屋お七の日
1683年、八百屋の娘お七が恋人を思うあまりに放火したことに由来。
作業服の日 「さ(3)ぎょうふ(2)く(9)」

----------
今日は月曜なので(まだ)何もありません・・・・

----------
China Syndrome #
"rouge nation"はブッシュ大統領が濫用した言葉ですが、ここまでルール無視を行うのもスゴイと感心してしまいました。
Chinese Root Server Shut Down After DNS Problem
the 'root DNS server associated with the networking problems has been disconnected from the Internet,'
中国の「金盾(Great Firewall)」の DNS-db を 13 root servers の一つである、"I"サーバの中国側のノードに勝手にリプレスしたため、"I"サーバを認証している下流DNSにキャッシュ汚染が広がる懸念を避けるため、中国側のトラフィックを遮断した
って認識なんですが、間違ってたらごめんなさい。

普通に twitter.com を dig ってみると
128.242.240.20
168.143.162.52 (@8.8.8.8)
あたりが返ってきますが、中国のDNSに問い合わせると
243.185.187.39 as www.codec-xxx.com
37.61.54.158 as www.dailila.com
というわけで、事実上の封鎖状態です。

[dns-operations] Odd behaviour on one node in I root-server (facebook, youtube & twitter)
It seems that when you ask A records for facebook, youtube or twitter, you get
an IP and not the referral for .com

DNSやBGPの仕組みは性善説に習うものですので、こうなってくると本気で対策を講じないと、いろいろとおかしなことになってしまいそうです。
[BGP経路ハイジャック]誤った経路に導く,難しい根本対策の徹底

[dns-operations] Odd behaviour on one node in I root-server (facebook, youtube & twitter)
we wanna clarify that CNNIC never did any interceptions or other things for the mirror site of I root serer, CNNIC only provides the stable Internet connection, power and necessary hand support.

----------
EC2 #
Amazon EC2でサービスを始める際に・・
Amazon EC2のアドレスブロックのブラックリスト登録状況
これだとたとえばEC2を使ってメールサーバーを立ち上げてもメール送信できない場合が多々あるわけですね。メールサーバー関連では、これ以外にも DNS逆引き設定がない場合や、正逆が一致しない場合SMTP接続を拒否されることがあります。あとはSPFの設定なども。
なので、EC2 でちゃんとメールサーバーを立ち上げるには、このようなことをする必要があります。

Elastic IPの取得/解放を繰り返してブラックリストに載っていないIPアドレスを確保
・もしくは、取得したElastic IPがブラックリストに載っている場合は解除依頼をだす。
・AWSに対して、取得したElastic IPのDNS逆引き設定を依頼

1番の方法にちょっと笑ってしまいました。
でも、解除依頼は結構めんどくさいんですよね~特に複数のブラックリストに載っている場合・・・
とりあえず、サービス開始するまえに、当該IPを Robtex あたりで調べるのは必須ですね。

----------
Other #

Winny、 Shareウィルスを利用した著作権詐欺に注意 その4
まぁ、信頼性を査定できないルートは使わないのが一番。私もこの騒動を追いかけてはきたけど、Winny/Shareで入手してみようとは思わなかったし、検体として出回っているファイルをダウンロードしてもいない。
メールで送りつけてくださる人が居て、不幸にも入手いたしました(苦笑)
gmailに転送して、linuxで解凍しましたけどね!

Arrests on the Rise
上の2つは、サイバー犯罪というか本物のギャングっぽいですが・・

Honeynet Project: 2010 Forensic Challenge #3
Challenge 3 of the Forensic Challenge 2010 - Banking Troubles
このへんは誤解(誤訳)との兼ね合いがあるので、英語圏の人有利かもですね~

Almost half of poor Americans go to the library for Internet
"almost"なのか~ 日本なんかそもそも、インターネットに関心を持たない世代(携帯だけ)が増加してる気がしますが・・・

----------
SoftBank #
ソフトバンク電波改善宣言、フェムトセル無料提供・基地局を一年で倍増へ
・今後一年、2010年度中に基地局を現在よりさらに倍増
・自宅用にフェムトセル(ミニ3G基地局) を無料提供。専用ADSLサービスも無料提供
・さらに店舗・企業向けにもフェムトセルを無料提供。回線も同上。
・店舗・企業向けに、iPhone や WiFi 携帯で使える WiFiホットスポットを無償提供
また大きな風呂敷が広がりましたが、回収できるんでしょうかネ?

孫氏いわくアンケート調査では全体の約2%を占めている「ソフトバンク家の中でつながらないぞどうにかしろ」なユーザーにとっては朗報です。受付開始は5 月10日より。基地局敷設に総務省のお許しが必要なため、申し込みから実際の設置にはさらに1か月半ほど必要となる見込みです。

フェムトセル
ソフトバンク電波改善宣言 -- プレスリリース

また、
ソフトバンクX06HT『HTC Desire』発表、Android 2.1端末
Android 2.1携帯の発表と

----------
8080 #
countASN登録更新
91.121.137.12450463 AS16276 03/17 23:50:2503/29 08:40:28
94.75.229.7243966 AS16265 03/18 01:10:2603/29 08:40:28
94.23.12.6240167 AS16276 03/20 06:40:2603/29 08:40:28
91.121.134.5824039 AS16276 03/16 10:40:2803/29 08:40:28
94.23.246.17223823 AS16276 03/22 13:10:3203/29 08:40:28
91.121.121.22720505 AS16276 03/17 20:10:2103/29 08:40:28
91.121.155.2011057 AS16276 03/17 21:10:2203/29 08:40:28
95.168.183.1268455 AS28753 03/26 01:10:3503/29 08:40:28
94.23.231.1408222 AS16276 03/16 20:40:3403/29 08:40:28
91.121.160.21771820 AS16276 03/12 19:40:1503/29 08:20:33
91.121.163.21541438 AS16276 03/12 18:10:1703/29 08:20:33
91.121.180.5528199 AS16276 03/13 01:10:1603/29 08:20:33
91.121.8.735872 AS16276 03/22 06:10:2303/29 08:20:33
94.23.235.9324171 AS16276 03/20 10:10:3203/29 08:10:40
93.89.80.11715925 AS39326 03/15 13:10:3103/29 08:10:40
91.121.24.139107795 AS16276 02/17 10:35:2003/29 07:40:30
85.131.217.2512344 AS34309 03/26 01:50:4003/29 03:40:38
91.191.167.14968 AS28753 03/26 02:10:3603/29 02:00:42
78.46.116.136144 AS24940 03/28 21:50:3503/28 22:10:36
188.40.82.70438 AS24940 03/26 14:10:4603/28 19:40:41
62.75.218.19250897 AS8972 02/17 12:30:2703/28 19:00:31
85.25.137.71318 AS8972 03/26 03:10:4803/27 03:00:40
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[79]IPs

----------
Google Safe Browsing #
| 1269817218 | B | [goog-black-hash 1.54078 update]
| 1269817201 | M | [goog-malware-hash 1.20377 update]
| 310904 | +4628(306276)
| 1550205 |

----------
セキュ関係で「ウソ」はよくないよな~ と思いつつ何か無いかな?とか考えちゅ

EoF

Leave A Comment »

2010.03.28 日曜日

Posted in security on 3 月 28th, 2010 by gnome

シルクロードの日 流砂の果て
1900(明治33)年、スウェーデン探検家・地理学者のスウェン・ヘディンによって、廃虚になっていたシルクロードの古代都市・楼蘭が発見された。(3/23説もある)
スリーマイル島原発事故 (1979年)
三つ葉の日 「み(3)つ(2)ば(8)」
三ツ矢サイダーの日
1884年、三ツ矢サイダーの元となる「三ツ矢平野水」が発売された。
三ツ矢サイダー ニッポン・ロングセラー考 - COMZINE

----------
今日は日曜なので何もありません・・・・

ってたまには書きたいな

まぁでも、警報的なものは無いかもです。

----------
IE 6/7 ZERO DAY #
何度も警報を出している IE6/7のゼロデイ攻撃ですが、ますます攻撃がエスカレートかつ巧妙化しています。
Mar 27 CVE-2010-0806 IE 0-day Dozens missing after ship sinks near North Korea from kevin.bohn33@hotmail.com
韓国での哨戒艇沈没の騒ぎに乗じる形で、スピア型メールとその誘導URLがばら撒かれているようです。
spot-news・com
Registrant: fm74qss4ba2d733123e0@veiqqx84ba1f48e50457.privatewhois.net
Administrative Contact: d9xymhj4ba2d73320a49@veiqqx84ba1f48e50457.privatewhois.net
Technical Contact: w7auyp94ba2d7331bc2d@veiqqx84ba1f48e50457.privatewhois.net
という、あらかさまに怪しい登録です。登録地域は ナッソー(バハマ)

as 124.217.255.232 AS45839 (PIRADIUS-AS)
exploit: test.html
途中に /test/bypasskav.txt とか出たりして解析阻害されてる気がします
test.htm
2010.03.27 21:26:17 (UTC) 3/42 (7.14%)

ペイロード:
winint32.exe
2010.03.27 21:29:06 (UTC) 3/42 (7.14%)
SymantecもPandaも完全に検出しているとはいえない状況。

Microsoft: Trojan:Win32/Tapaoux.A
Trojan:Win32/Tapaoux.A connects to remote servers to report its infection and retrieve commands from a remote attacker. Observed examples of server connection domains include "dailysummary.net" and "somus.net". At the time of this writing, specific subdirectories of the sites were unavailable.
dailysummary・net and somus・net as 174.120.120.151
AS21844 (THEPLANET-AS2)
マタオマエカ・・・

IE6/7を使用し続けている方は、ほんとに危険ですよ?

----------
サブドメイン攻撃 #
よくある攻撃手法ですが・・・
ALERT: Please treat content from coneincorporated.com with extreme caution
MediaPlex(ValueClick)のドメインを装ったサブドメイン付加されたドメインが飛び回っているようです。
同様の手法は、google analytics にも及んでおり、膨大な数の不審ドメインが報告されています。
As always, domains mentioned in this blog entry (and highlighted in bold) should be treated with extreme caution.

インジェクションによるものなのか、単に不正サイトなのかは不明瞭ですが、自己サイトのADタグや解析タグをちらっとチェックしてみてはいかがでしょうか?

----------
paypal XSS flaw #
XSS Flaw on PayPal.com

Paypal XSS Vulnerability
サニタイズミスかなぁ

Update: As of 7pm EST, it appears that a mitigation has been implemented for this vulnerability on the PayPal web site where all requests to /xclick/business redirect to the PayPal homepage.
いちおう、対策が施されたようです。

----------
くらうどくわばら #
5人の業界キーパーソンが語る「クラウドのセキュリティが悩ましい理由」
なんか妙なとりあわせの5人だなぁ・・

----------
ZeuS #
ZeuS/zbot - PhotoArchive 2
昨年後半から引き続き.kr、.uk、.pl、.cz、.comあたりが使われていますが3月は.kr関連のドメインがほとんどを占めています。
ZeuS 系では.cnも.ruも昨年の後半からまったく利用されなくなってますね。。。
.ru も取得申請が大変になりそうですので、ますます TLDccの移行が進みそうです。

----------
Obfuscated PPDF #
Journey to the Center of the PDF Stream
However, in the particular file being analyzed I spotted the use of no fewer than nine JavaScript compression and encoding filters applied to a single stream, which is an unusually large number
検出を逃れるためにJavaScriptコードの圧縮を何種類か併用しているというお話。

In fact, they may have been somewhat successful in doing so—VirusTotal results indicate that many vendors did not detect the threat.
よほど、VirusTotalの存在が目の上のタンコブなんでしょうね(笑)
そこまでいうなら、MD5もあわせて公開してくださいよ

app.doc.Collab.geticon() : as CVE-2009-0927
Collab.collectEmailInfo() : as CVE-2007-5659

1こだけいえることは、一般ユーザが Acrobat JavaScript を ON にしても良い事は全く無いということでしょう(笑)

ねぇ・・
日本工業標準調査会:FAQ(よくある質問)
JIS検索の「JIS規格詳細画面」にあります最新のAcrobat Reader8.1.2を用いて閲覧していただけますようお願いします。
なお、これでも解決しない場合は、以下に添付の操作を行ってください。
こちらをご覧ください。
PDFを見て唖然としないでくださいね。

----------
炉 DNS-BH #
March 27 update – 173 new domains
173 new domains to add to your shunlist and blocklist… Sources: www.malwareurl.com, malc0de.com, phil-secu.over-blog.net and others:
いつもありがとうございます。

今日は .cn が多いですね

----------
陥落したサイトオーナーの苦悩 #
音素材サイト『ザ・マッチメイカァズ』閉鎖の危機?! 管理人が語る“ガンブラー”の脅威(前編)
音素材サイト『ザ・マッチメイカァズ』閉鎖の危機?! 管理人が語る“ガンブラー”の脅威(後編)
いろいろな意味で、「サイトオーナー」は必見です。

“ガンブラー”被害の実態と、その恐ろしさを生々しく語っていただいたOSA氏。速やかに被害について自分のサイトで情報を開示し、このように取材を受けるのは勇気が要る行動だったに違いありません。サイト継続を願うユーザーと一緒に、ガジェット通信も今後の『ザ・マッチメイカァズ』を応援していきたいと思います。
一日も早い復活を願っています。

ちなみに、私とその協力者の方々は去年の5.6月(zlkon/gumblar)のパンデミックの際、何十という陥落サイトに「警報」を送りましたが、まともな返事が返ってきたことは一度も無く、逆に脅迫を受けたことが数回ありました(苦笑)
それ以降はもう、個別のサイトに対して直接警報を送ることは避け、ISP に abuse warning だけを送ることにしています。

何も言わずに平然と再開しているサイトのほうが多いという事実も併記しなければなりません。また、告知したにもかかわらず、GENOが何故あれほど非難を浴びたか?ということも含めて、サイトオーナーは「自分がサイトを持っていることの意味」を問い直す時期に来ているのかもしれません。

あと、サイトーオーナー諸氏は、以前管理していて、今は管理していない、あるいは使用していないサイトは、消してしまったほうが良いでしょう。
「ガンブラー攻撃」対象ソフトをJPCERTが確認~サイト管理者の注意点は?
・引越し後の旧サイトが改ざん
・放置サイトの改ざん
・テストサイトも改ざん
・制作会社のパソコン感染の巻き添え
・広告用のサイトが全滅

----------
fotos.exe #
Xiangさんとこの Blast に新postがあったのでちょっと・・

2010.3.27 fotos.exe
Wgetしたらやけに巨大なjpgが堕ちてきました。MD5が変わっているので、亜種かもしれませんが・・
jusched.jpg
2010.03.28 00:50:36 (UTC) 18/42 (42.86%)
そこそこの検出ですが、相変わらずMSEは中国発に弱いなぁ

Analysis Report for jusched.jpg.suspicious
Performs File Modification and Destruction: まぁ、真っ赤ですね
www.contagotas.com・br/contador.php?p=23638
as 72.55.140.69 AS32613 IWEB-AS iWeb Technologies Inc.

----------
なんだこの密会は(笑 #
Steve Jobs and Eric Schmidt Spotted Together Again: Photos
お茶吹いた

Jobs And Schmidt: We’ve Seen This Movie Before, I’m Just Not Sure Which One It Is

さて、どんな動きが生まれるのか生まれないのか・・

----------
8080 #
countASN登録更新
91.121.160.21771737 AS16276 03/12 19:40:1503/28 10:00:31
91.121.137.12450130 AS16276 03/17 23:50:2503/28 10:00:31
94.75.229.7243633 AS16265 03/18 01:10:2603/28 10:00:31
91.121.163.21541355 AS16276 03/12 18:10:1703/28 10:00:31
94.23.12.6234792 AS16276 03/20 06:40:2603/28 10:00:31
91.121.180.5528116 AS16276 03/13 01:10:1603/28 10:00:31
91.121.134.5823706 AS16276 03/16 10:40:2803/28 10:00:31
94.23.235.9319047 AS16276 03/20 10:10:3203/28 10:00:31
94.23.246.17218298 AS16276 03/22 13:10:3203/28 10:00:31
91.121.155.207899 AS16276 03/17 21:10:2203/28 10:00:31
94.23.231.1406263 AS16276 03/16 20:40:3403/28 10:00:31
91.121.8.735789 AS16276 03/22 06:10:2303/28 10:00:31
91.121.24.139102597 AS16276 02/17 10:35:2003/28 09:40:29
91.121.121.22715351 AS16276 03/17 20:10:2103/28 09:40:29
93.89.80.11712141 AS39326 03/15 13:10:3103/28 09:40:29
95.168.183.1266286 AS28753 03/26 01:10:3503/28 09:00:46
85.131.217.2511787 AS34309 03/26 01:50:4003/27 18:40:29
91.191.167.14664 AS28753 03/26 02:10:3603/27 05:00:25
85.25.137.71318 AS8972 03/26 03:10:4803/27 03:00:40
188.40.82.70212 AS24940 03/26 14:10:4603/26 14:40:31
94.23.13.6511613 AS16276 03/16 22:10:2403/26 01:40:35
91.121.108.3811447 AS16276 03/20 06:10:3603/26 01:40:35
91.121.7.2680225 AS16276 02/20 05:50:3403/26 01:10:35
91.121.85.17814094 AS16276 03/15 00:10:3403/26 01:10:35
91.121.113.1841576 AS16276 03/17 03:10:4103/25 23:40:34
91.121.64.21433413 AS16276 03/12 07:40:3003/25 22:10:39
91.121.147.1634988 AS16276 03/12 08:10:2703/25 22:00:39
91.121.184.16731558 AS16276 03/12 17:40:1503/25 21:40:38
62.75.218.19250785 AS8972 02/17 12:30:2703/25 18:40:31
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[71]IPs

----------
Google Safe Browsing #
| 1269738009 | B | [goog-black-hash 1.54012 update]
| 1269738002 | M | [goog-malware-hash 1.20355 update]
| 306276 | -2137(308413)
| 1542779 |

----------
そろそろ 4/1 ですね・・・

EoF

Leave A Comment »

2010.03.27 土曜日

Posted in security on 3 月 27th, 2010 by gnome

桜始開(さくらの日) 3×9(さくら)=27
利休大徳寺 (千利休の没年は天正19年2月28日(1591年4月21日))
NTTがポータルサイト「goo」開設。(1997年) ポップコーン事件

----------
spam #
昔はspamといえば、単に未承認広告系の「ウザイ広告」だったのですが、最近は完全に犯罪の域に入っています。ここ数ヶ月を振り返っても、spam系の話が多くなっていることに気が付かされます。

日本語メールによるターゲット型(スピア型)のspamは数こそ少ないですが、巧妙になってきているので注意しましょう。
1. 不審なメールを開かない
2. 添付ファイル付きのメールには特に気をつける。
3. 不審なメールの URLリンクをクリックしない。(というか開いちゃダメ)
4. メールからのURLからジャンプした際に何らかのログインを求められたときにはドメインを確認する
5. spam フィルタの学習をONにしておく
プラグインやブラウザ、メールクライアント等のアップデートを怠らず、常に最新版を保つことも重要です。

また、システム管理者は「現在進行中の、spamキャンペーン」に目を通しておき、そうしたBotnetからのメールを弾くルール設定を先手を打って施工しておくことも重要です(メンドイですけどね)。

Copyright Infringement Lawsuit Email Scam
US Tax Season Phishing Scams and Malware Campaigns
USCertからの警報:現在進行中のspamキャンペーン

スパムメールの危険を認識するも、ついついクリック――業界団体の調査
特に、「自分は電子メールセキュリティに詳しい」との意識が強い35歳未満の男性は、スパムを開いたり、リンクをクリックしてしまったりするといった危険行為に出てしまう割合が、ほかの年齢層よりも高かった。
Consumers Don’t Relate Bot Infections to Risky Behavior As Millions Continue to Click on Spam
Idiot users still intentionally opening, clicking on spam
ARSは、「スパムメールを開く輩 = Idiot users」 と断じて居ます(苦笑)

増加と巧妙化を続ける医薬品広告のスパムメール
New Fake IRS Email Notice Leads to ZBOT
IRS Malspam Campaign

Yet another Facebook Spam – From Russia with Love
Facebookの新しいspamと何故SNSなのか

Apple Storeをかたる詐欺メール、リンクからマルウェアに感染か
Apple Diversifies Into Online Pharmaceuticals

W杯や上海万博に便乗するスパムが相次ぐ、添付のPDFに要注意
World Cup-themed PDF attack kicks off
PPDF(Poisoned PDF) はCVE-2010-0188脆弱性の悪用のものが飛び交っており、Reader 9.3.1 以外のバージョンでは炸裂する極めて剣呑な代物です。このPPDFはshellcode実行後、HIPSによるネットワークアウトバウンドチェックに引っかかることなくペイロードを投下でき、しかもAcrobat JavaScriptに依存しません。
CVE-2010-0188 Adobe Working Exploit

Getting the EXE out of the RTF again
.DOCのRTFファイルの中に内封されている.EXEファイルの解析。
suit.exe
2010.03.26 16:07:21 (UTC) 21/42 (50.00%)

微妙に続く
----------
ヒューリスティック #
評判分析に基づくセキュリティ
現在のNorton製品はSuspicious.Insightという検査結果でユーザーに警告するだけで、当該ファイルの動きをブロックしない。「安全性が確認されていない」という印を付け、最終判断をユーザーに委ねる。
ってことは?
setup.exe
2010.03.20 10:43:29 (UTC) 1/41 (2.44%)
Kenzero事件の当初は「ブロックしていなかった」ということでしょうかネ? それとも「疑わしいファイル」という警報は出てたのかな? Nortonユーザで踏んだ人のコメント求む(苦笑)

そんなピンポイントな人は居ないかな?(笑)

残念だが従来のウイルス対策技術は、もはや以前と違って強力な防衛能力を発揮できない。我々は、ITセキュリティを取り巻く脅威がこの数年で激変したと見ている。2年前の時点で、当社が新規発行するウイルス定義データは1週間当たり数百種類を少し上回る程度の規模だった。ところが新規発行数は急激に増え、今や平均で毎日1万5000種類をやすやすと超えるレベルになってしまった。
FFRの人もそんなことを言ってた気がする。
セキュ会社も大変だな~とは思いますね。インターネットに接続するユーザにも意識改革が必要です。

性善説が通用しない世界へようこそ!

----------
Oracle Java SE #
新製品?
いえいえ、Sun Microsystemsは既に存在せず、Oracle Java SE が正式名称です。
Oracle Java SE and Java for Business Critical Patch Update Pre-Release Announcement - March 2010
Security vulnerabilities addressed by this Critical Patch Update affect the following products, which will be released on Tuesday, March 30, 2010.
JDK and JRE 6 Update 18 and earlier for Windows, Solaris, and Linux
JDK and JRE 5.0 Update 23 and earlier for Windows, Solaris and Linux
SDK and JRE 1.4.2_25 and earlier for Windows, Solaris and Linux
This Critical Patch Update contains 27 new security vulnerability fixes for the Java SE and Java for Business releases.
といわけで、Oracle Java JREは (多分)日本時間で3/31(水曜日) あたりに JRE 6 update 18 にバージョンアップされます。

----------
ギクっとしたら #
止まらぬサイト改ざん:訪問の心あたりはありませんか~新規告知サイト22件
いつもクリティカルな内容を惜しげもなく書いてくださるso-netに感謝!

これらのサイトを訪問した記憶のある方は、念のためシステムをチェックしましょう。

また、いわいる「PWNed」なサイトも結構あるようでして・・
止まらぬサイト改ざん:感染目的ではない例も~市教委/APバンク/三菱電機
企業イメージ的には大打撃でしょうね・・・
SQLインジェクションやディレクトリ・トラバーサリのチェックは、何種かのスキャナを使って定期的に(ただし Stagingでね!)行いましょう。

----------
The Big Issue #
ビッグイシュー
ホームレスの人々の社会復帰支援のための組織です・・・が、
Help The Homeless, Feed the Phishers?
At this moment in time, The Big Issue website is playing host to a French Paypal Phish – they have a zipped copy of the Phish uploaded to the server, and a live Phish directory too:
陥落し、RSSを取得すると、Paypalのフィッシングサイトになっていると・・
犯罪者には寛容とかそういう精神のカケラも無いということですね。

----------
CD-ROM? #
セキュリティ企業として「Web改ざん」について最適解を考えてみた <第一話>「根本的な対策」とは?
・・・・・・・・・・・・・・・・・・1:16
いまどき
大手ECサイトのように大量のアクセス数ではない。
動的なコンテンツはなく、すべて静的なコンテンツである。
CMSによる管理も行っていない。
なサイトってあるんですか?
いや・あるのかも?
ひょっとして多い?(苦笑)

----------
一網打尽にしてください #
Hacking forum or a sting operation?
Though it is true that malware is getting more and more sophisticated I am sometimes surprised by the lack of skills coming from wannabe botnet operators. Today, I stumbled upon a hacker’s forum which nicely demonstrates just how low is the technical knowledge level of the forum members.
なんか稚拙なやりとりだなぁ・・とは思います。

I just got an IRC channel and I need Zeus 1.3.1.1 added to it.
Zeus and IRC? Oh, come on…
ちょっと入ってみたいな(笑)

某巨大掲示板で「ダレダレを殺します」なんて書いただけで逮捕される世の中ですし、こーいうのはトラッキングして一網打尽にして欲しいな・・
でもきっと TOR とか使って経路詐称してるんだろうなぁ・・

----------
法則 #
米国のドメイン登録業者 GoDaddy.com、cnドメインの取り扱いを中止
いつの話をしてるんだろう?
CNNICによる.cnドメイン登録審査の見直し -- 2009/12/15
と思ったら、法則発動しててちょっと笑いました。

中国撤退表明の米ドメイン登録大手、実は無認可の違法営業だった?!―中国紙

.cnは、この制度ができてから(ドメインベースでは)圧倒的に減少しています。.ruも、認可を厳格化しますので、悪意ドメインは違うファセットに向かうことになるでしょう。

オッズ?
このへんが本命・・かな
.pl
.kr
.in


対抗
.cz
.nz
.vc

穴(笑)
.th
.uz
.br
.hn
.sc
.io
.gs
.la
.se
.ad

どれが何なのかは 国別コードトップレベルドメイン ccTLDでお願いします。

----------
パスワード #
pasuwaad
これ、某友人のSNSのパスワードだったのですが・・(苦笑)
さすがに変更させました。まぁ、日本人以外にはイミフメなのかもしれないけど・・

というわけで、Symantec版、パスワードに関するアンケートの結果
Password Survey Results
意外と「完全に使いまわし」は少ない(8%)ですね。

----------
バズワード #
そもそもセキュリティを高めるって?
ITコンプライアンスとかガバナンスとかいうポリシー関係の活動に傾倒しすぎたのではないかと思っています。
SaaSとか、IaaSとか、MaaSとか、インシデントとか、フォレンジックとか・・・

ポリシーを整備するためにポリシーを作っているみたいな錯覚に陥ってないかな、ということなのです。
まさにそうですね、Pマーク取得の問題とか、侵入検査の方法論とその対処とか、輻輳し続ける混乱状況で何が必要で何が不要なのか、だれも言及しなくなっています。
誰かエライい人に、「そんなの間違ってるよ!」と言って欲しいナ(切実)

そこから坂道を転げ落ちるように(表現間違えてます)
雪だるまをスキージャンプ台から転がしたような・・?
Bob Dylan - Like a Rolling Stone

----------
は? #
マナーのあるメールの書き方
・・・・・・・・・・

メールの To には「様」を付けましょう、というビジネスマナー
Re:そもそも
あなたのアドレス帳には、宛先の名前がなく、住所の羅列なんですね、そうですか。
メールアドレスの住所に該当する部分は@より右側かと。
hoge@example.co.jp
とするのが、正しい使い方だと思います。
爆笑

いやぁ・・インターネットの普及ってこういう面にも及ぶんですね・・そのうちRFCとか改定されそうで怖い

「マナーのあるメールの書き方」の内容が酷いので修正してみた
負け:はい。そして本文ですが。
拝啓&敬具って・・・10年前ですか。
拝啓&敬具を使うような文章(会社からの正式な告知など)であるならば、出来れば紙面、メールであってもPDFで添付ファイルで送るべきです
メールはあくまで手紙の簡易版です。メールでなんでも済ませちゃダメです。
・・・・・・・・・・

こうして世の中が魑魅魍魎にまみれていくのです。

参考:
先生、このメールのどこがいけないのでしょうか?

おかしなマナーを押しつける人達
ところでマナーの話なのに、"拝啓 おはようございます。"に突っ込みが入れられない「西出博子」とかいう人は、マナーの講師としての資格があるのだろうか?
頭語と結語

そういえば、Wikipediaに「この記事は、広告宣伝活動のような記述内容になっています。」って書かれてました。さっきまで無かったのにな~

----------
Other #

VERTU、蒔絵を使った1台2000万円の携帯電話「シグネチャー 吉祥コレクション」を発表

携帯電話のSIMロック解除を検討へ--総務省が公開ヒアリングを開催

Kit attacks Microsoft keyboards (and a whole lot more)
ワイヤレス・キーボードのKeyLogger話

Young Steve Jobs and why 2010 might be like 1984
似てるかも(笑)
あとこれも、1984 and Renewal (間違い探し)

----------
8080 #
countASN登録更新
91.121.24.13998446 AS16276 02/17 10:35:2003/27 09:40:33
91.121.137.12449780 AS16276 03/17 23:50:2503/27 09:40:33
94.75.229.7243283 AS16265 03/18 01:10:2603/27 09:40:33
94.23.12.6226414 AS16276 03/20 06:40:2603/27 09:40:33
91.121.134.5823356 AS16276 03/16 10:40:2803/27 09:40:33
94.23.246.17212931 AS16276 03/22 13:10:3203/27 09:40:33
94.23.235.9312319 AS16276 03/20 10:10:3203/27 09:40:33
91.121.155.205093 AS16276 03/17 21:10:2203/27 09:40:33
91.121.160.21771677 AS16276 03/12 19:40:1503/27 09:30:40
91.121.163.21541295 AS16276 03/12 18:10:1703/27 09:30:40
91.121.180.5528056 AS16276 03/13 01:10:1603/27 09:30:40
91.121.8.735729 AS16276 03/22 06:10:2303/27 09:30:40
91.121.121.2279891 AS16276 03/17 20:10:2103/27 09:00:37
93.89.80.1177835 AS39326 03/15 13:10:3103/27 09:00:37
95.168.183.1262717 AS28753 03/26 01:10:3503/27 09:00:37
94.23.231.1404797 AS16276 03/16 20:40:3403/27 08:00:40
91.191.167.14664 AS28753 03/26 02:10:3603/27 05:00:25
85.131.217.2511453 AS34309 03/26 01:50:4003/27 03:40:34
85.25.137.71318 AS8972 03/26 03:10:4803/27 03:00:40
188.40.82.70212 AS24940 03/26 14:10:4603/26 14:40:31
94.23.13.6511613 AS16276 03/16 22:10:2403/26 01:40:35
91.121.108.3811447 AS16276 03/20 06:10:3603/26 01:40:35
91.121.7.2680225 AS16276 02/20 05:50:3403/26 01:10:35
91.121.85.17814094 AS16276 03/15 00:10:3403/26 01:10:35
91.121.113.1841576 AS16276 03/17 03:10:4103/25 23:40:34
91.121.64.21433413 AS16276 03/12 07:40:3003/25 22:10:39
91.121.147.1634988 AS16276 03/12 08:10:2703/25 22:00:39
91.121.184.16731558 AS16276 03/12 17:40:1503/25 21:40:38
62.75.218.19250785 AS8972 02/17 12:30:2703/25 18:40:31
194.150.236.1991013 AS44976 03/15 07:40:3803/25 01:40:27
193.138.206.2547486 AS35470 03/23 17:40:2203/24 19:00:29
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[69]IPs

追記 : 七氏さんへ
現時点での全IPリストはこちら
現時点でチェックリストに入っている .ru ドメインはこちら

----------
Google Safe Browsing #
| 1269648003 | B | [goog-black-hash 1.53937 update]
| 1269648001 | M | [goog-malware-hash 1.20330 update]
| 308413 | -321(308734)
| 1539993 |
EoF

2 Comments »

[ATTENTION] IEゼロデイ脆弱性がExploit Packに搭載される

Posted in Announce, News, RiskHedge, security on 3 月 26th, 2010 by gnome

[ATTENTION] CVE-2010-0806
再度注意喚起です。

IE6/7の深刻な脆弱性である、CVE-2010-0806 が、Malware Frameworkの Eleonore Exploits pack v1.4alpha に搭載された模様です。

via MDL
search: muas・in/1/
188.124.9.38 as AS44565 (VITAL TEKNOLOJI)
AS44565 - AS44565

レジストラントの jessica357ass@gmail.comですが
Celebrity-Themed Scareware Campaign Abusing DocStoc and Scribd -- Dec03/2009
昨年の12月頃の偽AVソフトキャンペーンの際、悪意ドメイン群のレジストラントの中に、gumblar.cnを取得したときと同じ pvcprotect@gmail.comがあったことが報告されています。

どうも嫌な感じなので、改めて注意喚起をしておきます。

尚、同時に Aurora で使用されていた CVE-2010-0249 も同時搭載されたようですが、こちらは既にパッチが出ていますので(たぶん)大丈夫だと思います。
[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)

IE6/7を使用中の方はIE8に上げるか、別のブラウザを検討してください。

IE6をどうしても使用し続けなければならない方は、必ず対策を取って下さい。
マイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により、リモートでコードが実行される
[981374] Internet Explorer の脆弱性により、リモートでコードが実行される(CVE-2010-0806)

参考:
IEの未修正の脆弱性を突く攻撃が急増――セキュリティ・ベンダーが警告
マイクロソフト、IE 6/7の脆弱性自動修正ツールを追加
拡大するIE6/7のゼロデイ攻撃~国内の改ざんサイトにも攻撃のワナ

Keep safety

EoF

Leave A Comment »

2010.03.26 金曜日

Posted in security on 3 月 26th, 2010 by gnome

カチューシャの唄の日
1914(大正3)年、劇団芸術座の第3回目の公演であるトルストイの『復活』の劇中歌として、主演女優の松井須磨子歌唱した。歌詞の「カチューシャかわいや わかれのつらさ」は爆発的な流行語となった。(石川さゆりver)
バングラデシュ 独立記念日 (1971年)
楽聖忌 ルートヴィヒ・ヴァン・ベートーヴェン 没 (1827年)
犀星忌 室生犀星 没 (1962年)
パラメトロン計算機PC-1が完成。1958年

----------
PWNED #
セキュリティカンファレンス「CanSecWest」で、恒例のハッキングの腕を競うコンテスト Pwn2Own で今年もまた・・
「iPhone」「Safari」「IE8」「Firefox」がハッキングされる--Pwn2Ownコンテスト
IE8, Safari, iPhone All Fall At Pwn2Own Contest
iPhone, IE, Firefox, Safari get stomped at hacker contest
Pwn2Own 2010: iPhone hacked - as well as IE 8, Firefox and Safari
Firefox, IE8 and Safari hacked at CanSecWest
IE8, Safari 4, Firefox 3, iPhone fall on day 1 of Pwn2Own
Windows 7とSnow Leopard、ハックイベントで仲良く陥落

IE8 with Win7
Hacker exploits IE8 on Windows 7 to Win Pwn2Own
Hacker exploits IE8 on Windows 7 to win Pwn2Own

Firefox
Mozilla Firefox Hacked at Pwn2Own Contest
Pwn2Own hack topples Firefox on Windows

Safari on MacBook
Pwn2Own Safari Attack: Charlie Miller Hijacks MacBook
Charlie Miller on His Pwn2Own Win(インタビュー)
Pwn2Own MacBook attack: Charlie Miller hacks Safari again

iPhone
iPhone Hacked at Pwn2Own; SMS Database Stolen
Pwn2Own 2010: iPhone hacked, SMS database hijacked
iPhoneのブラウザに脆弱性、ページを開いただけで SMSやメールを漏洩

※ZDnetとThreatPostは寄稿者が同じなのですが、体裁がちょっと違っているので貼ってみました。

速攻で対処が望まれるのは iPhoneのReturn-into-libc攻撃でしょうか? 軽減策がみあたりませんが、ユーザ "mobile"の権限を制限する方法があるのかな?

後々、問題になりそうなのがコレ
Researchers Finding New Ways to Bypass Exploit Mitigations
However, as several talks at the CanSecWest conference and the results of the related Pwn2Own hacking contest here have shown, difficult is not the same as impossible. The clearest example of this is the Pwn2Own victory by Peter Vreugdenhil, a Dutch researcher who was able to exploit a previously unknown vulnerability in Internet Explorer 8 on 64-bit Windows 7 after bypassing both ASLR and DEP.
完全に手法が確立しているわけでは無さそうですが、「困難」と「不可能」は違うというのは耳に痛いですね。

"The attackers can recreate the SEH chain," Suzuki said(Suichiro Suzuki, a researcher at Fourteenforty Research Institute).
お~

Hacker Bypasses Windows 7 Anti-Exploit Features In IE 8 Hack

それにしても、賞金1M$ かぁ・・ウラヤマシ

----------
クリックするな! #
Millions continue to click on spam
Yet, only 36% of consumers believe they might get a virus and 46% of those who opened spam did so intentionally.
開かないで~!(苦笑)
このへんの教育って、どの時期にやるべきものなのでしょうね?

Source:
2010 MAAWG Email Security Awareness and Usage Report -- Issued March 2010
Spam goes down well

続く
----------
陥落すると・・ #
Bot陥落しちゃうと好き放題になるというお話
Hackers hit where they live
The vast majority of these junk mail messages came from compromised malware-infested networks of zombie PCs (aka botnets) MessageLabs reports that 77 per cent of spam sent from the Rustock botnet this month used secure TLS connections.
企業内の感染BotがTLSを使ったspam送信を行うので、更にトラフィックを上げられてしまうと・・

The outbound traffic frequently outweighs the size of the spam message itself and can significantly tax the workload on corporate email servers.
まさに踏んだりけったりですね

ネットワーク管理者は、(たま~にでいいですから)、ログを監視し、あるいは abuse にやってくるメールをチェックしたり、自分のドメインを検索して、ブラックリストに引っかかっていないかチェックしたりしてみるのもいいでしょう。

微妙に続く
----------
Apple App Store #
Fake Apple App Store Malicious Spam
!!(Dr.Waledacの登場でのけぞった)

updates.exe
2010.03.24 14:50:30 (UTC) 12/41 (29.27%)
updates.exe
2010.03.25 22:45:19 (UTC) 22/41 (53.66%)
spamにクッツイテる添付やURL先のものは、急速に検出率が上がりますね。
しかし、iPhoneネタで .exe ってのは何となく納得いかないものもあるのですが・・

Spammers Spoof the Apple Store

更に続く
----------
spam(s) #
今日はスパムネタが多いですね。

Zeus wants to do your taxes
If you want to check out your own logs to catch this and similar attacks, I'd suggest looking for domains that look like www.irs.gov. and downloaded executables with the word "tax" in them.
というわけで、いつもの IRSを騙るspam ですね。
hXXp://www.irs.gov.rccesi・net/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.we1sae・kr/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rcceko・com/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rccesa・com/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rfsderw.me・uk/fraud.applications/application/statement.php?以下略
あたりでしょうが、この辺をドメインベースで弾いても意味は無いでしょう。

Child Tax Credit is the New Phishing Bait
亜種もあるようで・・

まだ続く
----------
spam(s) #
今日はスパムネタが異常に多いですね。
こんどは訴訟です。
Mal/RtfExe-A: A bogus legal email campaign “Complaint filled against you.”
The case number is 3478254. The reason the lawsuit was filed was due to a completely inadequate response from your company for copyright infrigement that our client Danilison Inc is a victim of.
著作権侵害ですか・・・
貼ってあるlinkはRTF(.doc)ですが、中身は PPDFです(苦笑)
しかしコレ、本当にこういう書面が RIAAあたりから届くこともあるので、笑えないですね。

"Copyright Lawsuit filed against you"
Responding to "Copyright Lawsuit filed against you"
How bad is it for us?
Using those details it's time to evaluate the impact this attack has had on your firm. If you have anyone who downloaded the file, or evidence of a machine reaching out for the next-stage then you pull your Malware Incident response document off of the shelf and follow that. We all have differing levels of documentation to refer to, but there's always some sort of plan, even if it's "update resume."
suit_documents.doc
2010.03.25 14:58:53 (UTC) 10/42 (23.81%)
suit_documents.doc
2010.03.25 21:06:40 (UTC) 10/42 (23.81%)
7時間ではあまり検出上昇していませんね・・ちょっと厄介かも

Fake Lawsuit Notification Attack
偽の訴訟通知攻撃

----------
HURRY!

----------
20年 #
振り込め詐欺「キング」に懲役20年判決
わいせつ事件の示談金などを名目とした振り込め詐欺事件で、組織犯罪処罰法違反(組織的詐欺)などに問われた詐欺グループの主犯格で、グループ内で「キング」と呼ばれていた無職戸田雅樹被告(31)の判決が24日、東京地裁であった。
菱田泰信裁判長は「被告は詐欺の手口ごとにグループを分けて収益を競わせるなど集団を高度に組織化し、主宰者として職業的に犯行を繰り返していた」と述べ、懲役20年(求刑・懲役23年)を言い渡した。
well!

続く
----------
こっちも20年 #
TJX hacker gets 20-year jail sentence
Convicted cyber-criminal Albert Gonzalez, the mastermind hacker behind the TJX and Hannaford data breaches, was today sentenced to 20 years in jail.
GJ!

TJX hacker sent to jail for 20 years after stealing 40 million credit cards

----------
Other #

「Kenzero」騒動~5千名超の被害者を出し「さらしサイト」閉鎖、終焉へ
和解金の振込先は、昨年11月に起きたKenzero騒動の時に指定されていた銀行口座と同じものが使われており、同一犯によるものとみられる。
突如、実家帰省 -- Outer Heaven
さて、記事内にて「この件に関しては書くと長くなるので、記事の一番最後に書きますね」ってのがありましたね?

オバマ大統領のTwitterアカウント乗っ取り犯が逮捕
Man arrested for attack on Twitter accounts
French suspect grilled over Obama Twitter hack
愉快犯とはいえ・・

Shadowserver's thoughts on the B49 Waledac Effort
Operation B49(Waledac掃討作戦)その後

Mac Malware – fact or fiction?
One of the questions I am most often asked has to do with the supposed “immunity” of Mac. The first thing I always explain is that no system is invulnerable, and that in the case of Apple, it is not renowned for paying much attention to leopard-logosecurity. Depending on the person’s fondness for Apple, the tone of my reply may vary, yet the reaction is invariably one of surprise: “Really? I’ve been using Mac for years, and as far as I know I haven’t been infected”.
感染してからでは遅い・・とはいえ、Mac上のウィルス・マルウェアを見たことが無いというのは一般のMacユーザの心証でしょうね。昔はMac上の"Joke"ウィルスのほうが圧倒的に多かったのですが・・・

大阪市水道局、プレスリリースに誤って個人情報を掲載
ちなみにこの添付ファイルは、「検定満期メータ取替票」をスキャナで読み込んだもので、ソフト上で個人情報が見えなくなるよう、加工し添付資料として、全体をPDF化したものだったが、PDF化した添付ファイル中の資料をコピーし、別のファイルに貼り付けたとき、見えなくなるよう加工したはずの個人情報が閲覧できたという。
黒塗り・・・

Rogue Toolbars Serve Up Facebook Phishing Pages
妙なツールバーをインストールしてはいけません。

IEの未修正の脆弱性を突く攻撃が急増――セキュリティ・ベンダーが警告
修正パッチはいまだ提供されず、専門家は早期リリースを進言中
もう修正しないでいいから、IE6とIE7を捨てるように勧告してください(笑)

03/14(日)~03/20(土) のセキュリティ関連情報

Targeted Attack uses FIFA World Cup 2010 as a hook
これもspam + PPDF

Shanghai Expo Spam Carries Backdoor
これもspam + PPDF

もう好きにして・・・・

出版大手31社が電子書籍の分野で団結
護送船団方式・・

bad advice: disable your av
yeah, this WTF moment was brought to you by a facebook application development company called chainn who thought it would be a good idea to tell users to disable (or even remove) norton anti-virus.
うはは(笑)

YouTube does a Lindsay and takes a tumble


ワォッ! Ad.lyがTechCrunchのつぶやき1回を7000ドルで売リたいって
この話に乗るかって? もちろん、やりますよ。純粋に調査目的なので、念のため。広告主が本当に払うかどうか見てみたいからね。7000ドルは、Golden Gate Lab Rescueに寄付する。
そうこなくっちゃ!(笑)

----------
8080 #
countASN登録更新
91.121.160.21771611 AS16276 03/12 19:40:1503/26 11:00:36
91.121.137.12449406 AS16276 03/17 23:50:2503/26 11:00:36
94.75.229.7242909 AS16265 03/18 01:10:2603/26 11:00:36
91.121.163.21541229 AS16276 03/12 18:10:1703/26 11:00:36
91.121.180.5527990 AS16276 03/13 01:10:1603/26 11:00:36
91.121.134.5822982 AS16276 03/16 10:40:2803/26 11:00:36
94.23.12.6219767 AS16276 03/20 06:40:2603/26 11:00:36
94.23.246.1727408 AS16276 03/22 13:10:3203/26 11:00:36
91.121.8.735663 AS16276 03/22 06:10:2303/26 11:00:36
91.121.121.2274768 AS16276 03/17 20:10:2103/26 11:00:36
93.89.80.1174536 AS39326 03/15 13:10:3103/26 11:00:36
85.131.217.251323 AS34309 03/26 01:50:4003/26 11:00:36
94.23.235.937753 AS16276 03/20 10:10:3203/26 10:40:32
94.23.231.1401901 AS16276 03/16 20:40:3403/26 10:40:32
91.121.24.13994580 AS16276 02/17 10:35:2003/26 10:00:37
91.121.155.202092 AS16276 03/17 21:10:2203/26 09:40:34
95.168.183.126995 AS28753 03/26 01:10:3503/26 08:40:39
85.25.137.71202 AS8972 03/26 03:10:4803/26 03:40:43
91.191.167.14211 AS28753 03/26 02:10:3603/26 02:40:31
94.23.13.6511613 AS16276 03/16 22:10:2403/26 01:40:35
91.121.108.3811447 AS16276 03/20 06:10:3603/26 01:40:35
91.121.7.2680225 AS16276 02/20 05:50:3403/26 01:10:35
91.121.85.17814094 AS16276 03/15 00:10:3403/26 01:10:35
91.121.113.1841576 AS16276 03/17 03:10:4103/25 23:40:34
91.121.64.21433413 AS16276 03/12 07:40:3003/25 22:10:39
91.121.147.1634988 AS16276 03/12 08:10:2703/25 22:00:39
91.121.184.16731558 AS16276 03/12 17:40:1503/25 21:40:38
62.75.218.19250785 AS8972 02/17 12:30:2703/25 18:40:31
194.150.236.1991013 AS44976 03/15 07:40:3803/25 01:40:27
193.138.206.2547486 AS35470 03/23 17:40:2203/24 19:00:29
88.198.55.175107 AS24940 03/24 05:50:2503/24 06:10:27
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[68]IPs

----------
Google Safe Browsing #
| 1269558005 | B | [goog-black-hash 1.53862 update]
| 1269558001 | M | [goog-malware-hash 1.20306 update]
| 308734 | -453(309187)
| 1536142 |
EoF

Leave A Comment »

2010.03.25 木曜日

Posted in security on 3 月 25th, 2010 by gnome

電気記念日
1878年、東京・銀座木挽町に開設された中央電信局の開局祝賀会が虎ノ門の工部大学校(現在の東京大学工学部)で開かれ、日本初の電灯(アーク灯)がともる
聖母マリアお告げの祝日 (受胎告知)
公立学校修了式
卒業おめでとう3/9
1943年、黒澤明監督の初監督作品『姿三四郎』封切り。
※昨日のgoogleは、黒澤明氏の誕生日(3/23) に因むもの。

----------
/.sys/?action= #
".sys" Directories Delivering Driveby Downloads
複数のサイトに /.sys/?action=というコードがインジェクションされているという警報です。
Before adding a specific block for ".sys", Paul's web filter caught about 60% of these exploits.
ふむふむ
@peter, much as it would nice to block all .exe's via the web filter that's just not workable in this environment...
それはイエてる(苦笑)

v2captcha21.exe
2010.03.24 04:28:16 (UTC) 36/42 (85.71%)
ヨイコの皆さんはこんなファイルは踏まないはず(苦笑)

/.sys/ Folders and Malware
This is actually a pretty old routine used by Koobface. Our blocks on malware from /.sys/ folders date back over a year, to February 2009.
古いよってことですね。

----------
Gmail #
そもそもGoogleの中国撤退のきっかけとなったのは、gmailへの不正侵入だったかな?
というわけで、gmailに「ログインログ」を表示する機能は前からあるのですが、不審なIPアドレスからのログインがあった場合、警告する機能が付加されました。
Detecting suspicious account activity
謝謝!

Google adds warnings for suspicious GMail activity
Google Bolsters Gmail Security

----------
HURRY!
ええええ~

↓今日の時間食った原因
----------
RSA #
悪人向け「ウイルス検査サービス」登場! 対策ソフト回避が目的
このRSAのホワイトペーパーを探し回って結局見当たりませんでした・・

ウイルス対策ベンダーの先を行くオンライン犯罪者の手口
「アンチ・アンチウイルス」がサービス化、RSAセキュリティが指摘
専用サイトでウイルス対策ソフトをテストするハッカーたち ~ RSA調べ

同じニュースソースだと思うのですが、結構各誌で捕らえ方が違うな~と思って原文・・・ orz

----------
週間脆弱性<2010.03.24> #
チェックしておきたいぜい弱性情報<2010.03.24> BGM
Samba 3.5.1、3.4.7、3.3.12リリース(2010/03/08)
Internet Explorerに任意のコード実行につながるぜい弱性(2010/03/11)
(CVE-2010-0806)
Safari 4.0.5リリース(2010/03/12)
米シスコ製品に複数のぜい弱性(2010/03/03)

いつもありがとうございます.

微妙に続く
----------
cisco #
また!?
[111265] Cisco IOS Software H.323 Denial of Service Vulnerabilities
[111266] Cisco IOS Software IPsec Vulnerability
[111268] Cisco IOS Software NAT Skinny Call Control Protocol Vulnerability
[111448] Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerabilities
[111449] Cisco Unified Communications Manager Express Denial of Service Vulnerabilities
[111450] Cisco IOS Software Crafted TCP Packet Denial of Service Vulnerability
[111458] Cisco IOS Software Multiprotocol Label Switching Packet Vulnerability
ひ~ふ~み~の7つですね

導入しているところは、ベンダーに問い合わせを行った方がよいでしょう。

----------
ZeuS_Picture #
新しいZeuSのキャンペーン開始のお知らせ
Spam with “Pictures” Used to Spread ZBOT


さすがにこんな怪しいものを踏む人はいないと信じたい

Zeus Crimeware/Client-Side Exploits Serving Campaign in the Wild -- ddanchev
PhotoArchive.exe
2010.03.24 14:34:06 (UTC) 18/41 (43.90%)
From AS4134(よっ!)

他にも、
New ZBOT Variants Targeting European Banks
やら
AVprofit: Rogue AV + Zeus = $
やらと、いろいろキャンペーンを展開しています。

日本にはあまり影響はなさそうですが、気をつけましょう。

----------
完全に時間切れ
今日は数が多すぎます。

----------
Other #

New Scareware Tactic Lures in More FAKEAV Buyers

Spammers Get Creative with ASCII
このバイアグラには参った orz....

拡大するIE6/7のゼロデイ攻撃~国内の改ざんサイトにも攻撃のワナ
編集部の調査では、書籍名などの特定の項目に不正なscriptタグが埋め込まれており、SQLインジェクションによる改ざんではないかと思われる。
あら、そっちのベクトルでしたか?

Communist Party Of Britain’s website infected with malware (again)

Cross-Site Scripting through Flash in Gmail Based Services
食い合わせに注意?

Free website malware detection service
QualysGuard Malware Detection is a FREE

More Scareware, Zeus, Driveby-download Domains
160 new domains flagged as drive-by downloads, scareware, zeus, and harmful by malc0de.com, jsunpack.jeek.org, malwareint.blogspot.com and others:

It takes only one 'nice' person
I'm writing this with tears in my eyes,my fam and..
ナイジェリア・・

Your health, tax, and search data siphoned
MitM thru WPA and WiFi with SSL


中国政府、香港サイトへのトラフィックを検閲―Googleに報復開始
ま・・そうなるでしょうね

Yahooが広告マルウェア配信のトップに。曰く「当社の問題ではない」
※記事全文を読むことをお奨めします(一部抜粋は危険)

WiMAX 無線設備のケーブルが架線に落下、JR山手線などが3時間以上に渡り運休
(ケーブル)入ってる?
埼京線・山手線などストップ 帰宅客ら26万人に影響

CVE-2010-0188: Exploit in the wild
It must be noted, however, that this exploit will fail if you disable Javascript or enabling hardware-enforced DEP. Yet, a researcher named “villy” recently released in his Blog post a proof of concept version (that just launches windows calculator…) that bypasses such protections — Disabling JavaScript and hardware-enforced DEP would not protect you from an attack using a similar strategy.

Who’s sending us Spam?
ブラジル、インド、ベトナム、韓国そしてアメリカっと

New social media? Pay to play online games with women?
t's embarrassing when the cover of video game magazines resemble something you'd normally find on the top shelf.
(笑)

Google-in-China saga: another hack, move to HK
Sunbelt的視線のGoogle撤退騒ぎ

セキュリ亭: ~新入社員へのセキュリティ研修~ (最終回)
最終回~

やっぱ持つべきものは友よね♪
しかめっ面してセキュリティの話をするよりはよっぽどいいです。
このブログ中における株式会社フォティーンフォティ技術研究所(以下FFR)の社員による発言やコメントは、FFRの正式な見解またはコメントではありません。

※この2つの記事を並べたのは他意はありませんので、はい

フィッシング対策の現場から: インタビュー 第6回
これからは携帯電話にもURL表示や証明書の表示が必要
値下げしてください・・・

More security for root DNS servers
RIPE NCC Operated K-Root Server Distributing Root Zone Signed with DNSSEC
ルートサーバ

----------
8080 #
countASN登録更新
91.121.160.21768819 AS16276 03/12 19:40:1503/25 09:00:41
91.121.137.12444879 AS16276 03/17 23:50:2503/25 09:00:41
94.75.229.7242464 AS16265 03/18 01:10:2603/25 09:00:41
91.121.163.21540528 AS16276 03/12 18:10:1703/25 09:00:41
91.121.180.5526447 AS16276 03/13 01:10:1603/25 09:00:41
91.121.134.5820551 AS16276 03/16 10:40:2803/25 09:00:41
94.23.12.6214810 AS16276 03/20 06:40:2603/25 09:00:41
94.23.246.1724087 AS16276 03/22 13:10:3203/25 09:00:41
91.121.8.733822 AS16276 03/22 06:10:2303/25 09:00:41
94.23.13.659942 AS16276 03/16 22:10:2403/25 08:40:39
94.23.235.934120 AS16276 03/20 10:10:3203/25 08:40:39
91.121.7.2679495 AS16276 02/20 05:50:3403/25 07:40:32
91.121.184.16730546 AS16276 03/12 17:40:1503/25 07:40:32
91.121.85.17813191 AS16276 03/15 00:10:3403/25 07:00:38
91.121.108.389317 AS16276 03/20 06:10:3603/25 06:40:40
91.121.64.21431882 AS16276 03/12 07:40:3003/25 06:00:40
62.75.218.19250567 AS8972 02/17 12:30:2703/25 05:00:43
91.121.121.2273212 AS16276 03/17 20:10:2103/25 04:00:33
194.150.236.1991013 AS44976 03/15 07:40:3803/25 01:40:27
91.121.24.13992542 AS16276 02/17 10:35:2003/24 23:40:31
91.121.155.20776 AS16276 03/17 21:10:2203/24 21:40:23
193.138.206.2547486 AS35470 03/23 17:40:2203/24 19:00:29
88.198.55.175107 AS24940 03/24 05:50:2503/24 06:10:27
91.121.113.1841363 AS16276 03/17 03:10:4103/24 05:10:30
91.121.147.1634894 AS16276 03/12 08:10:2703/22 19:10:25
85.197.78.2373 AS25220 03/17 06:10:3303/22 11:40:20
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[69]IPs

----------
Google Safe Browsing #
| 1269475204 | B | [goog-black-hash 1.53793 update]
| 1269475202 | M | [goog-malware-hash 1.20286 update]
| 309187 | +1657(307530)
| 1533157 |
EoF

Leave A Comment »

2010.03.24 水曜日

Posted in security on 3 月 24th, 2010 by gnome

世界結核デー (World Tuberculosis Day)
1882年3 月24日にロベルト・コッホが結核菌を発見したことから、世界保健機関が1997年に制定。
かつてに比べると大幅に減ってはいるものの、日本における結核発症者・死者数は近年横ばい状態にあり、先進国中でも高い水準にある。今後更なる高齢化により、患者数が再び増加に転じる恐れが強まっており、これを食い止めるため厚生労働省結核予防会などが結核予防の啓発活動を進めている。
檸檬
1932年3 月24日に31歳の若さでなくなった、作家梶井基次郎の命日。
壇ノ浦の戦い 元暦2年/寿永4年3月24日(1185年 新暦の4 月25日)
国際電信電話株式会社 (KDD、現在のKDDI) 設立。(1953年) バビョーン

----------
Browser(s) #
Keep Systems Safe: Patch Alternative Browsers
alternative browsers battle due to ZERO-DAY FLAW
Opera : 10.51
Safari : 4.0.5
Chrome : 4.1.249.1036
Firefox : 3.6.2
IEはバージョン番号変わらないのでよくわからず(笑)
8.0.7600.16385 って表記は最初から変わってないような気がします。

何度も言われることですが、「攻撃を受けた脆弱性」≠「ゼロデイ」に気をつけないと混乱しますね。
Firefox 3.6.2
Mozilla Firefoxは最近、バージョン3.6(のみ)に影響する脆弱性に対して攻撃を受けた
Firefox 3.6.2
Mozilla Firefox recently came under fire for a vulnerability that affected (only) the 3.6 version.
実際の攻撃が確認されたかどうかは寡聞にして存じません。

ともあれ、脆弱性指標:「緊急」であったことは事実ですので、Secuniaの指標マネージメントは間違ってはいなかったということになるのでしょうか?

というかバグ多いなぁ・・・
status1.9.2: .2-fixed
111 bugs found.

Mozilla Releases Firefox 3.6.2
Firefox 3.6.2 closes critical security hole
Mozilla swats Firefox zero-day bug a week early
Exploit code was available though not in the "weaponised" form beloved by script kiddies - instead the exploit was available as an add-on to the Immunity Canvas automated exploitation system.
Firefox 3.6.2 addresses critical vulnerability
Firefox 3.6.2 early edition
Mozilla fast-tracks critical Firefox security patch
A hacker known as “Nils” is planning to launch a code execution exploit against Firefox at this year’s Pwn2Own.

----------
DNSリバインディング #
2010年に最も警戒すべきセキュリティ脅威は「DNSリバインディング」

『2010年に最も警戒すべきセキュリティ脅威は「DNSリバインディング」』は誤報

やっぱり誤訳は怖いな~
※だから最近は原文引用が多いのです(笑)

ここまで理解して、私は以下のように妄想した。このプレゼンを担当したJeremiah Grossman氏は、セキュリティ脅威を10個集めるのに苦労したのではないか。苦労したあげく、DNSリバインディングの新しい脅威を担ぎ出したのではないか。そう感じるほどに、この攻撃手法にはトホホなものを感じたのだ。
苦笑

というわけで、「もっとも警戒すべき」かどうかはともかく、DNSリバインディングが警戒すべき脅威であることは間違いない。読者のセキュリティ対策の参考になれば幸いである。
TTLを異常に短くしたDNSに注意・・って、あれは別の側面もありますね。

DNS Rebinding
「かんたんログイン」DNSリバインディング耐性のチェック方法
DNSリバインディング問題の確認方法
携帯キャリアのゲートウェイ以外からのアクセスを拒否しているような場合


----------
HURRY

----------
ru #
ロシアの「.ru」ドメインの登録手続きが厳格化へ――サイバー犯罪の防止がねらい
4月1日から.ruドメインに登録する際、個人であればパスポートのコピーを、企業の場合は法的な登録書類などのコピーを提出することが義務づけられる。

近年.ruドメインが詐欺行為の温床になってきたことは認めるが、.ruドメインから犯罪者を駆逐しても、ベトナムの.vnやインドネシアの.idなど、今後同様の問題が起こる可能性のあるドメインは他にもあると指摘している。

2月に行われたインターネット・ドメイン名データベースの調査では、正確な記録は全体のわずか23%に留まっていた。

Public Comment: Draft Report on WHOIS Accuracy
Draft Report for the Study of the Accuracy of WHOIS Registrant Contact Information 15P あたり

From Russia with (objective) spam stats

----------
Malware作者はGoogleがお好き #
Using Windows “hosts” file to cut off the help line
セキュ会社のドメインは全部 Google(209.85.129.99)に接続するように hostsを書き換え・・・

----------
Skype #
Skype Toolbar for Outlook Scam

SkypeToolbarForOutlook.exe
2010.03.23 07:01:42 (UTC) 6/42 (14.29%)
SkypeToolbarForOutlook.exe
2010.03.23 16:07:24 (UTC) 8/41 (19.51%)

気をつけましょう。

----------
最も高リスクな「都市」 #
The Top 10 Riskiest US Cities for Cybercrime

What's the Riskiest City for Web Surfing?
list of the 10 riskiest online cities.
1. Seattle
2. Boston
3. Washington, D.C.
4. San Francisco
5. Raleigh, NC
6. Atlanta, GA
7. Minneapolis, MN
8. Denver, CO
9. Austin, TX
10. Porland, OR
おめでとう、シアトル・・・
どういう基準なのかは不明ですが

Norton’s Top 10 Riskiest Online Cities
Most Dangerous Cities for Cyber Crime? -- GarWarner
ぜひ、日本版もお願いします!

----------
予言どおり・・ #
Active Koobface C&C servers hit a record high – 200+ and counting
あまりにも予言どおりではないですか!?

昨日↓
Koobface C&C servers steadily dropping - new spike coming soon?

Twitter経由のspamに気をつけましょう

微妙に続く
----------
spam down #
State of Twitter SpamState of Twitter Spam
We’re constantly battling against spam to improve the Twitter experience and we're happy to report that it's working.
*clap* *clap* *clap*

運営側の毅然とした態度が(悪意アカウントの封鎖)が功を奏し始めましたね。

----------
Avira #
Avira AntiVir 10 released
Avira AntiVir 10 stumbles slightly

----------
未承認広告 #
KDDI、携帯メールの「未承諾広告」を規制する機能を廃止
KDDIは3月23日、au携帯電話利用者向けに提供している「メールフィルター」の「未承諾広告規制」機能を6月16日で終了すると発表した。
携帯は特に、spamはイヤですよね~

----------
kenzero #
P2Pユーザー狙うウイルス「Kenzero」再襲来、5千人近い被害者がさらし者に
Winny、 Shareウィルスを利用した著作権詐欺に注意
Winny、 Shareウィルスを利用した著作権詐欺に注意 その2
シマンテック、トレンドマイクロのようなセキュリティソフトウェア企業が、ウィルスを利用した詐欺にダシにされると言うのも皮肉なものだ。また、情報漏洩ウィルスによって痛い目にあった/あわせたIBMが、全く感知していないとはいえ、再びこうした情報漏洩(さらに詐欺)問題に巻き込まれるというのも、不幸な話だ。
ホームページ・ビルダー_13
ホームページ・ビルダー_14
ノートン_360_バージョン_4.0

なんというか・・詐欺の範疇を超えてますね。
setup.exe
2010.03.23 19:51:02 (UTC) 2/42 (4.76%)

----------
SecuniaCSI #
Secunia CSI 4.0 - integrated with Microsoft WSUS & SCCM for 3rd party patch management
The Public Beta of the Secunia Corporate Software Inspector (CSI) 4.0 has ended. The final version of the Secunia CSI 4.0 is now available to our customers.
Centralised software updates

PSIではなく、企業向けソリューションです。

----------
Skipfish #
[WebSec][Tools]skipfish skipfish -- SecuDiary
コンパイルエラーで難儀してます・・・(涙)

----------
がんぶら~ vs 警察 #
ガンブラー:ウイルス、欧州サーバー感染源に 警視庁が仏、独など当局に捜査協力要請
このため、閲覧者を誘導するサイトのドメイン(ネットの住所)を捜査したところ、いずれもロシアを示す「.ru」となっていたが、IPアドレスの分析で、フランスの19サーバー▽オランダ6サーバー▽ドイツ4サーバー▽英国1サーバー▽ルクセンブルク1サーバー--の5カ国計31サーバーを通じ、ガンブラーに感染していたことを突き止めた。
がんばれ、ピーポ君!

----------
8080 #
countASN登録更新
91.121.160.21764381 AS16276 03/12 19:40:1503/24 08:40:20
91.121.137.12438900 AS16276 03/17 23:50:2503/24 08:40:20
94.75.229.7238074 AS16265 03/18 01:10:2603/24 08:40:20
91.121.163.21537499 AS16276 03/12 18:10:1703/24 08:40:20
91.121.134.5818729 AS16276 03/16 10:40:2803/24 08:40:20
91.121.85.17812216 AS16276 03/15 00:10:3403/24 08:40:20
94.23.12.6211290 AS16276 03/20 06:40:2603/24 08:40:20
193.138.206.2544202 AS35470 03/23 17:40:2203/24 08:40:20
94.23.246.1722797 AS16276 03/22 13:10:3203/24 08:40:20
91.121.180.5524059 AS16276 03/13 01:10:1603/24 08:00:21
91.121.8.732333 AS16276 03/22 06:10:2303/24 08:00:21
91.121.108.387284 AS16276 03/20 06:10:3603/24 07:40:27
91.121.184.16728400 AS16276 03/12 17:40:1503/24 06:40:31
94.23.13.659320 AS16276 03/16 22:10:2403/24 06:40:31
88.198.55.175107 AS24940 03/24 05:50:2503/24 06:10:27
94.23.235.933502 AS16276 03/20 10:10:3203/24 05:10:30
91.121.113.1841363 AS16276 03/17 03:10:4103/24 05:10:30
91.121.64.21430624 AS16276 03/12 07:40:3003/24 04:40:22
91.121.7.2679072 AS16276 02/20 05:50:3403/24 01:00:20
91.121.121.2272891 AS16276 03/17 20:10:2103/23 18:00:31
91.121.155.20567 AS16276 03/17 21:10:2203/23 10:00:24
91.121.24.13992346 AS16276 02/17 10:35:2003/23 03:00:21
62.75.218.19250335 AS8972 02/17 12:30:2703/22 19:10:25
91.121.147.1634894 AS16276 03/12 08:10:2703/22 19:10:25
85.197.78.2373 AS25220 03/17 06:10:3303/22 11:40:20
194.150.236.199795 AS44976 03/15 07:40:3803/22 08:40:21
188.165.192.1062451 AS16276 03/20 09:40:2803/22 06:10:23
91.121.108.53114691 AS16276 02/17 10:35:2003/22 03:40:22
94.23.231.1401029 AS16276 03/16 20:40:3403/21 09:10:23
真っ赤:24H以内登録 :3日以内登録 薄赤:24H以内更新 3日経過:[66]IPs

----------
Google Safe Browsing #
| 1269385205 | B | [goog-black-hash 1.53717 update]
| 1269385201 | M | [goog-malware-hash 1.20261 update]
| 307530 | +4359(303171)
| 1526867 |
EoF

Leave A Comment »

[Notice] Firefox 3.6.2 released rapidly

Posted in Announce, News, security on 3 月 23rd, 2010 by gnome

3/30と発表があった「Firefox Zero Day」への対応パッチですが、取り急ぎ正式導入したようです。

Firefox 3.6 セキュリティアドバイザリ
MFSA 2010-08 WOFF の整数オーバーフローによるヒープ破損

[Bug 552216] WOFF heap corruption due to integer overflow
Evgeny L. from Vulndisco reported a crash due to a buffer overflow in our WOFF parser. I am able to reproduce the crash, but the stack I get doesn't appear to be in font parser code. I'll try it in a debug build shortly to see if it looks any different.
CVE-2010-1028
Unspecified vulnerability in Mozilla Firefox 3.6 on Windows XP SP3 and Vista allows remote attackers to execute arbitrary code via unknown vectors, as demonstrated by the vd_ff module in VulnDisco 9.0. NOTE: as of 20100226, this disclosure has no actionable information. However, because the VulnDisco author is a reliable researcher, the issue is being assigned a CVE identifier for tracking purposes.

Mozilla Firefox Unspecified Code Execution Vulnerability 4

とりあえず、脆弱性が特定されたことで、この騒動も落ち着くのかな?

Firefox 3.6.2緊急リリース
3.6.2RCのリリースなしに(ナイトリーのcandidatesから)いきなり正式リリースしたということは、それなりの大穴だったようです。
オッズ立てておけばよかったかな~


EoF

Leave A Comment »

« Previous Entries
Next Entries »
ホットワード padding margin Mac OS X Patch MacOS X
割引クーポンまとめ情報 - クー割