UnderForge of Lack

タイガース記念日
死者の日(万霊節)
キッチン・バスの日(キッチン・バス工業会)
白秋忌 北原白秋 1942.11.2

----------
気温の差が激しくなっておりますので、体調管理に気をつけましょう。
（こればかりはpreventできそうにありません・笑）

----------
友人の友人の友人（以下再帰呼び出し）がウィルス感染したらどうしたらいい？

最大の回避策としては
「ワタシニホンゴワカリマセン」
として逃げておきましょう。

いや、ほんとなんですよ・・どういう事態が発生するか？といいますと

--
Bredolab系と思われるのインジェクションが発生したサイトオーナの友人という人物から、私の友人に変なメールが飛んできました。

曰く「ウィルスに感染したかもしれないのでチェックしてほしい」
具体的に言うと、Google BLOCKED状態をなんとかしてほしいと・・

いや、ソレ、サイトだけを掃除しても意味ないですから？
ということから始まって・・・

抗ウィルスソフトを入れてくれと頼む（懇願）
そんなもんに金払えない

無料でいいから入れてくれと頼む（哀願）
入れ方が分からない

なだめすかしながら抗ウィルスソフトを入れてもらう
MSEが入らない（正規OSチェッカに引っかかっている模様）

ここで初めて事態の深刻さに気がつく

マシンスペック等を（恐る恐る聞いてみる）
当然「わからない」という返答
OSのバージョン等も、調べようがない（左下に緑色で「スタート」と書いてあると言っているので XP かな？とか類推）

・・・・・・・

という話を、間に２つくらい伝言ゲームが挟まった状態で延々と続けた挙句わかったこと

・会社で使っていたPCを貰ってきた。
・OSのライセンスは不明（DELL OEMライセンスなので問題ないと思うけど、失効している可能性あり）
　→あるいは何か増設した後アクティベートに失敗して放置しているのかも
・（当然）OS Key Code なんか「ナニソレ」状態
・ISPはCATVで、ルータ無し（Cable MODEM直結）
・メモリはどうも 384MB らしい
・Officeも入っている

今後このオーナさんがやらなければならないこと

・自PCの掃除
・ID/Passwordの全変更
　（Password = 生年月日 a.k.a "1102"）
・OSライセンスの再設定（ライセンスカードは存在しない）
　→たぶんOSの購入
・メモリの増設
・ルータの導入・設定

これらを伝言ゲームでできるはずもなく、私的には匙を投げました（苦笑）

どなたか、良い手段があったら教えて下さい。

----------
Facebookのセキュリティ

Facebook Security -- Threat
Fake Notification Emails
Suspicious Posts and Messages
Money Transfer Scams
The Koobface Worm
False Chain Letters

Koobfaceの脅威の紹介が、オンラインスキャンとパスワードリセットだけにとどまっているのがアレなので・・

「不審な実行ファイルを動作しない」
「OS/Adobe製品の更新を常に心がける」

他のウィルス・マルウェア対策と何一つ変わりませんね。

----------
中国内のウィルス

日本ではあまり見かけないのですが、中国ではこの数カ月 .CSSに偽装したUPX実行型のインジェクションが飛び交っています。

z360 ●net/a ●js
これが確認されたのは８月下旬頃ですが、いまだに猛威（？）をふるっています。
Analysis report for hXXp://z360 .net/c .js
意外と検出率悪い
2009.09.09 12/41 (29.27%)

もっとも、CVE-2008-0015の脆弱性攻撃でしか実行されない様子なので、あまり流行しそうにないんですが・・・

----------
BlockList : DNS-BH

Huge Update - Over 300 domains added
Sources: www.malwareurl.com, www.malwaredomainlist.com and others:
３個ほど .jp ドメインが入っていますね

----------

月曜朝なので、こんなもんです。

Google Safe Browsing 収集サーバは11/4に起動します。
（チェックサーバは現在OFFLINE一般公開予定はありませぬ）

EoF

初恋の日 (島崎藤村)
香りの記念日(第7回国民文化祭 にで「世界香りフェアIN能登」開催)
たまごかけごはんの日
宇宙戦争の日

----------
ZeuS vs Bredolab

抗争してるのか、単に同じグループ内の「競争」なのかよくわからない２つのBotnetですが

Facebookのパスワード初期化メールを騙るスパム: Bledolab
Facebookのログインシステム変更を騙るスパム: ZeuS

という感じで似たようなことを似たようなシチュエーションで行っています。

ZeuS(Zbot)インストーラ
PWS:Win32/Zbot.gen!R[Microsoft] 2009.01.15
システムの下に twain32 ディレクトリを作成、そこに local.dsとuser.ds をドロップしています。
Trojan-Spy.Zbot.YETH[PC Tools] 2009.10.29
システムの下に lowsec ディレクトリを作成、そこに local.dsとuser.ds をドロップしています。

Bredolabインストーラ
Trojan-Downloader.Win32.Bredolab [Ikarus] 2009.10.29
やっぱり local.dsと user.dsのドロップが見られます。

この辺が共通してるのではないか？と思われている部分なのでしょうが、そもそも ZeuSはMalware SDK(苦笑）の名前ですので、同じマルウェア作成キットを使って作られた可能性も否定できません。

参考：
Win32/Bredolab
Trojan.Bredolab
Bredolab.gen
各社の詳細を見てもビヘイビアがバラバラ・・・

HINFOに"Casio" "Calculator"というデータが、、
カシオ計算機！？

----------
Secunia CSI3.0 released

Secunia CSI 3.0 - Final

企業向け脆弱性調査ツールの Secunia CSIがPublic betaを終え、正式にリリースされました。
Secunia Corporate Software Inspector (CSI) 3.0
料金体系がよくわからないのですが、とりあえず申し込んでみようかな（怒られるかな・笑）

----------
コンピュータはマルウェアの夢を見るか？

ミタクナイミタクナイ・・

ブレランの原作「アンドロイドは電気羊の夢を見るか?」(Do Androids Dream of Electric Sheep?)ですね。
Do machines dream of electric malware?
これだけ立て続けにこのようなpostが書かれているということは、相当数の「何でブロックされてるんだよ！」のような苦情が飛んでいるのでしょう・・

参考：
badwarebusters.org
飛び交う悲鳴・・・

余談：
「血のような」警告ウィンドウからの復旧手順が日本語化されています。
サイトが乗っ取られた

Google Webmaster Toolにおけるサイト所有権の確立方法
ウェブマスター/サイト所有者 ヘルプ/サイトの追加
ここのようにFTPも何も許可されていない場合、サイドバーに投げ込むしかないんですが・・・認識してくれません（笑）

----------
A ISP down regarding ZeuS

Well known ZeuS hosting ISP “Group Vertical” offline

ZeuS関連の wspoem configやら、C&C（と思われる）やらを大量にホスティングしていた "Group Vertical Ltd"(GR-VERTICAL-AS):AS49365 が応答停止になったそうです。

といっても、ZeuSの勢いが衰えているようには・・・・

----------
Gumblar続報

by so-netさん
Gumblarに異変(1)「攻撃コード」が一斉に書き換えられ無害化、その意味は？
Gumblarに異変(2) Adobe Reader攻撃も減少～なお残る多数の改ざんサイト
Webサイトの管理者の方は、ページに見知らぬリンクが埋め込まれていないか、見知らぬPHPファイル（ファイル名は不定）が設置されていないかを確認し、万が一、見つかった場合には、ウイルスに感染していないパソコンを使用してサイトのパスワードを変更。攻撃者の手からサイトを奪取し、再改ざんされないよう備えていただきたい。
こうなるともう戦争なんです。

警句として最も適しているのは、ilion様のコレでしょう
gumblar自己中心派
有害なコードから無害なコードに書き換えられてしまったサイトは
いつでも再び有害なコードに書き換えられるサイトでもあります。

天災は忘れた頃にやってくる 寺田寅彦
いや・・人災ですねこれは（笑）

----------
つぶやき釣り

Twitterのセキュリティリスクもなかなか無くなりません・・

No, it’s not you on there
Twitter phishers are after your password
"hi. this you on here?" という文面のspam mailが飛び交っており、フィッシングサイトに誘導されるというもの。

Twitterの偽ログイン・ページにご用心――新手のフィッシング詐欺が発覚
Twitterを狙う詐欺メールが流通、ログイン情報が標的？

どこかのID/Passwordを盗めば、同一のID(email addr)とPasswordが水平的に漏えいしますので、Passwordは各サービス毎に変更することが重要です・・・が・・それを遵守できる人がどれだけいることか

さらに別のフィッシング（住所なども）
Look and feel great! Try this pill (Or how to make your wallet lighter?)
別のフィッシングはダイエットを狙っているようです。
“I lost 25lbs using this ”
“whoa this works. i feel good and look good ”
“lol it’s amazing. look and feel great with ”
体重ではなく財布が軽くなるという寸法のようで・・

----------
もうすぐハロウィン

というわけで、Sophosはハロウィンを 「国際ゾンビPC撲滅の日」に制定しようと謳っています
International Kill-A-Zombie Day will be a thriller for Halloween, says Sophos
ハロウィンを「ゾンビPC撲滅デー」に――英Sophosが提唱

ぜひSophosだけではなく、AMTSO等と連携して広めてほしいです。

実際のHalloweenは・・・
Spooky Halloween - scareware or crimeware?

Blackhat SEO Aggressively Targets Halloween Related Keywords
ブラックハットSEO、積極的にハロウィン関連のキーワードをターゲットに

spamやらscareware(Jack'O lanternにかけてるのかな？)やらBlackHatSEOやらに汚染されているようですが・・・

----------
ATWORDがCSSを吹っ飛ばしてくれたので、再構築に時間を食われました。

Google Safe Browsing STATUS:
| 1256864405 | B | [goog-black-hash 1.43294 update]
| 1256864402 | M | [goog-malware-hash 1.16811 update]
| 324282 | current blocked
| 873270 | total logged

数日間収集サーバが堕ちていたので、loggedがおかしくなっているかも・・
（GSBは30分おきの更新ですが、ここでは４時間おきにcron取ってます）

EoF

読書の日(読書週間初日)
世界新記録の日(世界記録)
テディベアズ・デー

----------
[EMERGENCY]
言うまでも無く攻撃続行中なわけなんですが、何しろ今回はC&Cがはっきりしないので、Fast-Fluxを一つづつ潰していくしか対処法が無いんです。

で・・いつ記事になるかな～とかワクワク期待していた so-netさんが・・・・
Gumblar再襲来(1) 国内サイトも多数改ざん～以前の改ざんサイトが再改ざん
Gumblar再襲来(2) 「攻撃サイト」も一般サイト/カスペルスキーが確認と警告
Gumblar再襲来(3) Adobe Reader/Flash/IE/Office、攻撃は最新版でブロック
Gumblar再襲来(4) ゲームサイトや競馬サイトが相次ぎ改ざん報告
Gumblar再襲来(5) 感染でパソコン起動せず、サポート窓口に電話殺到

一気に５連弾（笑）気合入ってます
ちなみに Kates は Avira/BitDefender/Kaspersky の検出シグネチャ名称で、Daonolの別称と思ってください。
trojan.zip -- 2009.10.26 07:53:34 (UTC) 23/41 (56.10%)
Trojan-PSW.Win32.Kates.j, Lando

黒い画面にマウスカーソル (Win32/Daonol)
こうして各PCベンダーが一斉にウィルスによる機能回復の手順を出すような事態は相当深刻だと思うのですが、どのくらいの実害が発生しているのかはよくわかりません。

何度も同じコトを言って恐縮ですが、感染したＰＣからPasswordの変更をしないようにしましょう（何度でも盗まれ、再度改ざんされます）

----------
Guardian Down

英ガーディアン紙は中堅の一般紙ですが、その求人サイト Guardian.Jobs がクラックされた模様(USAのサイトは影響なし）・・・
UK newspaper Web site hacked; 500,000 job-seekers affected
登録ユーザの個人情報のうち最大で500,000件が流出した可能性があると発表されています。

Guardian Jobs Security Update

クラッキングの経路などは現時点では不明です。

----------
IPv6関連の脆弱性

IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性
IPv6 を実装した複数の製品には、Neighbor Discovery Protocol (RFC4861) に関連したパケットの処理に問題があります。細工されたパケットの処理に起因するサービス運用妨害 (DoS) の脆弱性が存在します。

参考：
IPv6 Secure Neighbor Discovery: Protecting Your IPv6 Layer 2 Access Network

影響下にある製品
IPv6のNDP実装におけるサービス運用妨害（DoS）の脆弱性 -- 古川電工
FITELnet-F80 ×（V01.02(00)以降）
FITELnet-F100 ×（V02.06(00)以降）
FITELnet-F120
FITELnet-F1000 ×V02.06(00)以降）
FITELnet-F2000 ×

IPv6対応製品にDoSの脆弱性、IPAらが注意喚起

IPv6は全然わかってないので、勉強しておきます（苦笑）

----------
IPv6 と 6to4プロトコル

IPv6 Tunneling Protocols: Good for Adoption, Not So Hot for Security
新技術に移行するに当たって様々なセキュリティ的懸念が発生するのは当然のことですが、なかなか知識が追いつきません。

Teredoとは
Teredoとは，Windows Vista端末からIPv6インターネットへの接続を試せる技術の一つ。IPv4のネットワーク経由でIPv6パケットを転送するトンネル技術を使ってIPv6インターネットへ接続する。

Again, I don’t want to scare anyone off. Just know the risks, and take appropriate precautions.

----------
検索するとマルウェアに遭遇する（確率の高い）キーワード

ネット検索で危険なセレブの日本版、マカフィーが報告
インターネット検索で最も危険な日本の有名人は? - マカフィー調査

もっとも、McAfee SiteAdvisorの信頼度の方はアレですが・・・
いちおう、MDL/MalwareURL等からの危険情報を（たぶんボランティアで）転記している方はいらっしゃるようですが、反映が遅い遅い・・・
このサイトは検査待ちです。自動検査の結果が出るまでしばらくお待ちください。

この辺は、NortonSafeWeb あたりも同じ問題を抱えています。
バッサリと危険リストに投げ込んで（血のように）真っ赤な警告ウィンドウを出す Googleセンセイのような迅速さが要求されているのではないでしょうか？（苦笑）

----------
エイリアン vs プレデター
じゃあるまいし・・・

DHLやらUPSやらの荷物不達メールに変なTrojanを添付している Bredolabですが、Botnetの雄（イヤな雄ですが・・）である Zbotにケンカをうっている模様・・・
Bredo vs. Zeus: The Battle of the Bots continues
We have seen bots go toe-to-toe with one another before; embedding logic into their armory to block or disable other malware. As such, it comes as no surprise to have seen a recent Bredo sample with additional code to disable installed Zbots. The sample loops through the list of known Zbot executable names…

Botに感染するようなガードの甘いパイはそれなりに少なくなってきているので Botnet同士でパイの奪い合いでもしてるんでしょうか？（嘆息）
もっとも、この両者はイロイロ類似点も多く、単にBredlabの作者（グループ）がZbotの内部を知り尽くしているだけなのかもしれませんが

で、そのZbotですが、MDLのアナリストがインジェクションにこんなメッセージが入っているのを見つけたそうです。
iframes are EVIL! Hate Zeus!
えーっと、何でしたっけ？
「お前が言うな！」
かな？

----------
SUN Java system web server

Sun Java System Web Server Unspecified Buffer Overflow
指標:4 High-Critcal
（いつもの）バッファ・オーバーフローとそれに伴う任意コード実行の可能性です。
The vulnerability is reported in version 7.0U6. Other versions may also be affected.
緩和策等の指示はありません。
Due to the very limited available information, it is not possible to suggest an effective workaround.
とりあえずベンダーの報告待ちですかネ？

----------
Day 25 -- 80 and 443

お馴染み過ぎるPort番号ですが、故に見落としがちな部分もあります。
Cyber Security Awareness Month - Day 25 - Port 80 and 443
インターネット（笑）に普通に接続していると、80および443のセッションは山のように存在し、おそらくはそのパケットの精査などはやっていないでしょう。
しかし、Malware: When <!-- comments --> become commands --2006.02 のようにHTMLコメントに偽装したコマンドなどもあり、完全に信頼できるものなど存在しないと警告しています。

ちなみに、ウチは TCP Monitor Plusのセッションモニターを常に表示して、妙なセッションが張られてないかを気が向いたら監視（というか漠然と見）していますが、コンナノではダメなんでしょうね・・・・

----------
Day 26 -- port1433/1434 MSSQL

Cyber Security Awareness Month - Day 26 port1433/1434 MSSQL
Port 1433 together with port 1434 are the ports most associated with MSSQL or to security people as the Slammer ports.
SQL Slammer Wormの悪夢の話ですね。

----------
DNS-BH New List

10/25 update: 114 new domains blocked
114 new domains added. Sources www.malwareurl.com, tech-linkblog.com, malwaredomainlist.com and others:

and..
rapidshare.com was delisted. （笑）

----------
Firefox 3.6は自動更新？

モジラ、「Firefox 3.6」をマイナーアップデートに位置づけか？--幹部が示唆
Firefox 3.6が3.5からの自動更新で提供される可能性高まるそして、Smedberg氏がわずかに言及しているが、Firefox 3.7 / 4.0の開発をしながら、Firefox 3.5 / 3.6のメンテナンスを続けることによって生じるコストを減らしたいのだ。3.6に一本化できれば、コストはかなり低下する。そうはいっても、このような開発者側の事情が、膨大なユーザーに対し、一時的とはいえかなりの不便を強いることを正当化できるだけのものといえるのか、疑問は残る。

エンジン Gecko 1.9.2はかなり変更されているということでしたので、大丈夫なのかな？という気もしますが、このあたりは多くの開発者の主張を統合しなければならないMozillaと、トップダウンでヤレ！とできる Google(Chrome)の違いなんでしょうね・・たぶん。

----------
Symantec的に・・・

Honor Among Thieves? Definitely Not.
46.9% Norton Antivirus
って部分が一番アタマにきてるのではないかと？（笑）

※注意
Windows Enterprise Defenderは偽アンチウィルスです。

----------
セカイカメラ・テロ

姉ヶ崎寧々エアタグテロ
ラブプラス
これだったのか～!

----------
Google Safe Browsing STATUS:
| 1256587204 | B | [goog-black-hash 1.43063 update]
| 1256587202 | M | [goog-malware-hash 1.16734 update]
| 327070 | current blocked
| 857106 | total logged
EoF

GIFファイルは復旧したようです・・・

コロンブス・デー
1492年10月12日に、サンタ・マリア号で航海していたカランバスが新大陸アメリカに到達したことに由来。
また、スペインによる侵略と殺戮、略奪が始まった日として、ブラジルを除く南アメリカ諸国でも同様の祝日が制定されており、Día de la Raza（ディア・デ・ラ・ラザ 民族の日）という名称などで呼ばれている。
芭蕉忌
元禄7年10月12日（新暦1694年11月28日）に松尾芭蕉が亡くなったことに由来。

----------
Day-10 : Several Unpopularity Ports

昨日オヤスミしたのでちょっと飛んでしまいましたが・・マズは１０日目

Cyber Security Awareness Month - Day 10 - The Questionsable Ports
10日目は、「質問の多いPort番号」だそうで
1214 - Limewire/Kazaa :P2P共有ソフトのデフォルトポート = WinnyやShareと同列
2773 - SubSeven : リモート監視ツール・悪く言えばバックドア
5631 - pcAnywhere : Symantec謹製のリモートデスクトップツール
1863 - （主として）MSN-Messenger。他にもMicrosoftの様々なアプリケーションで使用

使っていないサービスからのポートリクエストをログで発見したら、まずは疑って掛かりましょう。

そういえば、誰かがこんなこと言ってたナ
性善説はインターネットには通用しない

----------
Day-11 : Port111 and.. by RPCBind(PortMapper)

Cyber Security Awareness Month - Day 11 - RPCBind aka Portmapper
For the die hard security professionals, this month is nothing more than a review of things you have learned over the past 10-20 years.
ダレのことだろう？

RPC(Remote Procedure Call)は、クライアント=サーバシステムのような分散システムにおいて、別のアドレスマップ上にあるリソースの使用手続きのようなものです（この辺を解説すると本が２－３冊必要らしいので割愛・笑）。

Port TCP/UDP 111 を使用する RPCBind(PortMapper)は 111へのリクエストを行い、32770ポートよりも大きな数のポート番号をリッスンポートに自動割り振りします。この際に、リモート接続を認証無しに行うことができ、しかもログに残らないケースがありますので注意が必要です。

システム管理者は自分のUnixサーバにおいて以下の点に留意を払ってください。
1: Port 111へのTCP/UDPアクセスがある場合、32770以上のポートが Listenセッションを張っていないか？
2: その場合、Authがきちんと行われているかどうか
3: セキュリティ・イベントのログ監視を行う
4: RPCコールを許可している場合、TCPラッパーのような機能で所定のイントラ（あるいは信頼できるグローバルIPレンジ)の制限を行っているか・・
（以下略）

ちょっと青くなった人、いませんよね？（苦笑）

----------
Day-12 : Port 161/162 SNMP

SNMP(Simple Network Management Protocol)
素で、仕様書に SMAP って書いたことのある人はいませんか？
IPネットワーク上の機器を監視するためのプロトコルです。自分はMIB(Management information base)の読み方が判らなくて、未だに使いこなせません（泣）

SNMPに関しては
監視を自動化するSNMP -- 2003.02
SNMPによるネットワークモニタリング」-- 2001.05
SNMPによる異常値検出テクニック-- 2007.05
あたりを参照してください。

しかし、長年にわたって稼動・蓄積しているSNMPのMIB情報が、もし・・・
There have been a few security advisories relating to SNMP over the years, it tends to be an internal issue. However if you accept SNMP queries from the internet you may be leaking more information than you thought.
考えたくない事態ですね。

----------
THE Heritage of Adobe

A weekend of Old News

2009.02
Adobe Acrobat Readerが「最初の」ゼロデイ攻撃に晒される
Hackers exploit unpatched Adobe Reader bug

2009.04
パッチが公開されたのもつかの間、新たなゼロデイ攻撃が発生、ユーザへのJavaScript-OFFが推奨される。
Adobe confirms PDF zero-day, urges users to kill JavaScript

2009.05
Flash Playerの脆弱性を突いた攻撃が確認される
Adobe flash player vuln

2009.06
Flash Playerの別の脆弱性攻撃が指摘される
YA0D (Yet Another 0-Day) in Adobe Flash player

そして・・

----------
あなたはボットネットに感染しています [Y]/n

US ISP provider Comcast warns customers of virus infections

米大手CATV/ISP事業者の Comcastが、自社の顧客に対して "Constant Guard" というサービスを始めると発表、ボットネット感染によりゾンビ化した顧客に対して、トリアージを発布する模様です。
Security Scene: Introducing Constant Guard
問題は、サポセン的にどんな対応をとればいいのか？という部分でしょうか？

「おたくのPCがボットネットに感染しています」
「そうですか、どこの病院に行ったらワクチンを処方してくれますか？」
「・・・・・」

実話なのでこのへんで・・

Botnet-hosting subscribers soon to get warnings from Comcast

----------
spam with Bredolab

DHLを騙るスパム
UPSを騙るスパム
Western Union を騙るスパム

まぁ、性懲りも無く・・・というところでしょうか（苦笑）
しかし、DHLなんかは使ったことがある人もいるでしょうから注意が必要です。

次は Fedex あたりかな・・？（笑）

----------
どなたか、いい移転先しりませんか？（笑）

Google Safe Browsing STATUS:
[goog-malware-hash 1.16379 update]
[goog-black-hash 1.41998 update]
Results: 326357 (-4668)
Logged Total: 761095 753586 (+7509)

EoF