UnderForge of Lack

東京都平和の日
陸軍記念日
山陽新幹線全通記念日 [1975年]
※東海道・山陽新幹線の食堂車がこの日限りで廃止された日 [2000年]
水戸の日 「み(3)と(10)」
ミントの日 「ミ(3)ント(10)」
佐渡の日 「さ(3)ど(10)」
砂糖の日 「さ(3)とう(10)」

呪いの解けた日

----------
皮肉ですね #
今月は「緊急」もなく、平和なパッチ日かなぁとかタカを括っていたのですが・・・
2010 年 3 月のセキュリティ情報
[MS10-016] Windows ムービー メーカーの脆弱性により、リモートでコードが実行される (975561)
[MS10-017] Microsoft Office Excel の脆弱性により、リモートでコードが実行される (980150)

March 2010 Security Bulletin Release
Today we are releasing two Important security bulletins addressing eight vulnerabilities in Windows and Microsoft Office. Both bulletins have an aggregate Exploitability Index rating of “1” so we recommend that customers deploy these updates as soon as possible.
とりあえず、IE問題は置いておくとして、パッチの適用を行いましょう。

追加された項目：
[MS09-033] Virtual PC および Virtual Server の脆弱性により、特権が昇格する (969856)
2010/03/10: このセキュリティ情報を更新し、影響を受けるソフトウェアに Microsoft Virtual Server 2005 を追加しました。 その他の更新プログラムについては、この再リリースによる影響はありません。

VBScript の脆弱性により、リモートでコードが実行される(981169)
の「F1問題」は絶賛放置中ですが、現時点で悪用された形跡はないようです。

Microsoft Releases March Security Bulletin
Microsoft Patch Tuesday - March 2010
March 2010 - Microsoft Patch Tuesday Diary
SANSはExcel脆弱性を Criticalにレーティングしていますね。

March Patch Tuesday …. pay attention Mac users
As such, Mac Microsoft Office users will need to download and install an update to protect themselves.
Mac版Officeのユーザもアップデートを各自で行う必要があります。パッチ忘れが無いように気をつけてください。

----------
CVE-2010-0188 in the wild #
CVE-2010-0188: Patched Adobe Reader Vulnerability is Actively Exploited in the Wild
ついこの間、Reader 9.3.1によって塞がれた CVE-2010-0188 が攻撃に使用されていることをMSが確認、最新パッチを充てるように警報を出しています。

他所のことを突っ込むと自分の足元に火がつくのは、何かの法則なんでしょうね

ともあれ、Adobe (Acrobat) Reader を使用中の方は、バージョン9.3.1 にアップデートされていることを再確認してください。
Security updates available for Adobe Reader and Acrobat -- Feb.16

Exploit:Win32/Pidief.AX
SHA1:908ae499a474e3006253417c658e055a633e75a1
Win32/Pidief.AY
14/42 (33.33%) 2010.03.09 22:45:08 (UTC)
ペイロード：
TrojanDownloader:Win32/Qaantiz.A

参考：
It's official: Adobe Reader is world's most-exploited app
The new Microsoft
(苦笑)
PDF Based Targeted Attacks are Increasing

----------
「ガンブラー」型 #
コンピュータ利用者に知ってほしいGumblar型攻撃の影響、シマンテックの見解
とうとうZeuSも「ガンブラー」のカテゴリに入れられてしまった・・・

進化し続けるGumblarとは
なんかいっぱい書いてあるんですが・・・
残念ながら、既に知っている人にこんなこと言っても意味無いんですよねぇ。問題を拡大させているのは、「プラグインって何？」というレベルの人がホームページを持ったり、企業のホームページの改変を行っていたりしていることにあります。
FTP/Telnetの危険性の周知も、実際にはなかなか進みません。

自分的に、わかってなさそうな人に見せるリンクは・・・
まずこれ！
ガンブラー（Gumblar）ウイルスからパソコンを守る"６つの対策" [無料] -- 無題なブログ
ちょっと内容が古くなってますがコレ：
初心者必読！ しないと怖い「プラグイン」アップデートの方法
ホームページからの感染を防ぐために　　Gumblar(ガンブラー)対策
そしてこれ
「ガンブラー」「サイト改ざん」めぐる基本のＱ＆Ａ　～　何が起きている？ 対策は？
って感じでしょうか？

----------
HURRY
----------
Apache #
Update for Apache 2.2 web server closes various security holes
Apache HTTP Server 2.2.15 Released

----------
DHL系の進化版？ #
scan upon download
Thunderbird3系になって、ファイルをローカルにダウンロードするようになったのはいいのですが、この手のファイルまでローカル保存するので、セキュソフトがウルサイこと煩いこと・・・

Contract.zip
7/42 (16.67%) 2010.03.09 12:22:29 (UTC)
640f880c5b6e6718942e063b7c9b0c5d(MD5)
29/40 (72.50%) 2010.03.09 20:53:15 (UTC)
わずかの間に検出率はハネあがっています。

----------
Profitable Malware #
An Evolution of Profit Driven Malware
China has now formed a malware industry chain from malware programming to malware spreading. Usually, after malware writers write malware, commercial agents on the Internet will sell access to it, sharing incredible profits with these malware writers.
中国事情の話：マルウェアは儲かると・・・

----------
誰が勤勉？ #
Who’s the hardest working researcher of all time? Of 2009?
Many inquires are made to the X-Force, some self serving, requesting the names of the researchers who find the most vulnerabilities. I imagine that it is a great resume bullet to say that you are on this list. It is time to update our list of vulnerability discoverers of all time and to recap the past year’s top discoverers.
なかなか興味深い切り口ですね～

そういえばこんな話もありましたね
不況のなか IT セキュリティ専門家の給与が増加
アリエン！

----------
PITs #

SpamAssassin Milter Plugin Shell Command Injection 4
Unpatched
Use another product.
え”～～？

MediaWiki Multiple Vulnerabilities 2
Update to version 1.15.2 or later.

TikiWiki CMS/Groupware Multiple Vulnerabilities 3
TikiWiki CMS/Groupware Multiple Vulnerabilities 3
Update to version 4.2 or 3.5.

eGroupWare Cross-Site Scripting and Arbitrary Command Execution Vulnerabilities 4
Update to version 1.6.003.

----------
Other #
東京都、ドロップシッピング事業者2社に業務停止命令～虚偽説明や誇大広告

偽ウイルス対策ソフトが2010年最大の脅威になる恐れ、マカフィーが警告

常套化する検索結果を汚染する手口、今度はアカデミー賞に便乗
注目のニュースや話題に便乗して偽ウイルス対策ソフトに感染させる手口は攻撃側の常套手段になりつつある。
なってます、既に
Apple Announces iPad Availability: Watch Out for Scams!
でも、iPadほしい・・

MSRT: Helping us de-Helpud you
頑強にセキュソフトを入れることを拒むヒトへの最後の防壁

Vodafone ships Mariposa-infected HTC Magic
Android phone comes riddled with bots
Vodafone distributes Mariposa botnet
There’s also a Confiker and a Lineage password stealing malware. I wonder who’s doing QA at Vodafone and HTC these days
こ・・conficker on Vodafone ですか？

----------
8080 #

	count	ASN	登録	更新
91.121.24.139	72492	AS16276	02/17 10:35:20	03/10 08:50:15
91.121.108.53	70607	AS16276	02/17 10:35:20	03/10 08:50:15
91.121.7.26	54131	AS16276	02/20 05:50:34	03/10 08:50:15
62.75.218.192	38827	AS8972	02/17 12:30:27	03/10 08:50:15
84.200.227.144	5595	AS31400	02/17 12:30:27	03/10 08:50:15
91.204.116.79	30386	AS44976	02/20 04:50:59	03/10 08:40:16
78.41.156.236	10009	AS6908	02/18 20:00:43	03/10 07:40:27
91.204.116.114	4530	AS44976	02/24 23:30:07	03/10 07:00:15
213.251.133.159	4625	AS16276	02/17 18:00:50	03/10 06:40:16
87.106.247.193	2611	AS8560	02/17 19:40:50	03/10 02:40:15
188.40.118.68	3591	AS24940	02/17 10:35:20	03/09 06:10:24
86.58.190.93	808	AS16095	02/26 10:50:08	03/07 00:00:14

真っ赤:24H以内登録　赤:5日以内登録　薄赤:24H以内更新　5日経過:[50]IPs
ドメインを新規に４つ追加。

----------
Google Safe Browsing #
| 1268164843 | B | [goog-black-hash 1.52699 update]
| 1268164802 | M | [goog-malware-hash 1.19924 update]
| 303036 | -1805(304841)
| 1459310 |
EoF

万国郵便連合加盟記念日 (1877年)
プロレスの日
宇宙ステーションミールの打ち上げ (1986年)

----------
Alureon rootkit

先に謝っておいてよかった～とか思ってませんってば！

[続報2] MS10-015での再起動やブルースクリーンは、マルウェアが原因
Update - Restart Issues After Installing MS10-015 and the Alureon Rootkit
Restart issues on an Alureon infected machine after MS10-015 is applied
The top ten filenames reported in the wild:

TOP10って、まだまだ他にもあるってことですね・・・
感染している可能性がある、もしくは感染しているかどうかが不明なお客様のために、マイクロソフトは、既にルートキットが動作しているシステムから Alureonを検出、駆除するツールを現在開発しており、数週間以内に提供予定です。
国内での感染事例は、そう多くない様子ですので、とりあえず待ちますか・・・

Microsoft: Got Bluescreen? Check for Rootkits
Brian Krebs氏は、現状でのCDベーススキャナー（外部起動スキャナ）として、avast! BART CDや、LinuxDefender Live!の使用を推奨しています。

Tidserv and BSoD
Symantecも自社のシグネチャ名にこだわるなぁ・・

----------
Mozilla Multiple
Mozilla Foundation Security Advisories
3 Critical, 2 Moderate
Mozilla Releases Security Advisories
Firefox users may upgrade to version 3.0.18, 3.5.8, or 3.6 to help mitigate the risks. Thunderbird users should upgrade to version 3.0.2, and SeaMonkey users should upgrade to version 2.0.3 once those updates are released by the vendor

というわけで、Firefox 3.5.x および 3.0.x ユーザはアップデートを行ってください。尚、Firefox 3.6はこの問題に関しては既にFixが行われているためアップデートはありません。
特に 3.0.x はライフサイクルが切れ・・・あれ？もう２月ですよね？（笑）
Firefox の最新版 (3.0.17/3.5.7) を公開 -- 2010/01/06
Firefox 3 向けのセキュリティ更新の提供は 2010 年 1 月で終了します。すべてのユーザに Firefox 3.5 への更新を推奨します。

Firefox 3.5.8 and 3.0.18 security updates now available
but we strongly recommend all users upgrade to Firefox 3.6 as soon as possible.
Mozilla Firefox Multiple Vulnerabilities 4
Mozilla Firefox Unspecified Code Execution Vulnerability 4

RedHat :
[RHSA-2010:0112-01] Critical: firefox security update
そういえば、リポジトリを弄らないと、ず～っと3.0xのままでしたね・・・

Thunderbird 3.0.2 に関してはまだアナウンスがありません。
Mozilla Thunderbird Multiple Vulnerabilities 4
Update to version 3.0.2 as soon as available.

SeaMonkey 2.0.3
SeaMonkey 2.0.3
Mozilla SeaMonkey Multiple Vulnerabilities 4

----------
Cisco
Cisco Releases Multiple Security Advisories
Cisco Catalyst 6500/Cisco 7600:
cisco-sa-20100217-fwsm

Cisco ASA 5500:
cisco-sa-20100217-asa
Cisco ASA5500 Security Updates - cisco-sa-20100217-asa
NTLMv1の認証をスルーできる問題は少し厄介かもしれません。SANSは、OSアップデートが至近で行えない場合は、一時的に NTLMv1(MD4)を使用禁止にする措置を推奨しています。
If an OS update is not easy to schedule in the near future, this might be a better approach short term (or even long term) than using NTLMv1.

Cisco Security Agent:
cisco-sa-20100217-csa
Cisco Security Agent Security Updates: cisco-sa-20100217-csa
From the advisory, specific CSA versions and components are vulnerable to SQL injection and directory traversal (allowing unauthorized config changes for instance), as well as a DOS (Denial of Service) condition.

Ciscoルータを導入しているトコも苦労が絶えませんね・・

----------
3129
インジェクション - 3129
3129って何だろう？と思ったので・・・
Port 3129
[trojan] Masters Paradise 御用達ですか・・・
このIPも、由緒正しい悪意サーバっぽく・・・
89.248.168.168 89.248.168.168

AS29073 29073 AS29073

続く
----------
Thanks for TEH Malware
Thanks for the malware sample!
Here at the X-Force, we catch our fair share of malware from random spammers and phishers just as any corporate or home user does. Today we dive into one of these attacks to show how it works and what these guys are after.
なんか楽しそう・・・

This is the piece of the script that sets up an iframe to download a malicious PDF file, containing exploits for util.printf, Collab.collectEmailInfo, app.doc.Collab.getIcon, and media.newPlayer.
う～ん（苦笑）
これでもかっってくらい、よくもまぁ脆弱性があるものです（感心してどうする！）

感心感心：
Adobe still distributing old vulnerable Reader

！？
PDF trick: getPageNthWord -- Marco

----------
SSL/TLS Report 2010
New Paper: SSL/TLS Hardening and Compatibility report 2010
At last. What started as an "I need an overview of best practise in SSL/TLS configuration"
(中略)
This paper aims at answering the following questions :

日本ではあまり騒がれていない SHA-1 2010年問題とかもあるので、今後の動向を注視しなければなりません・・たぶん

2010年問題こんにちは。
４．　で、そんなに危ないのか？
FUDに惑わされずに適切な方針を示すことが重要ですね。

----------
Kneber
“Kneber” = Zeus
Recently, Symantec observed some high-profile coverage of a threat being reported as a new type of computer virus known as “Kneber.” In reality Kneber is simply a pseudonym for the Zeus Trojan/botnet.

"kneber"
Hilary Kneber hilarykneber＠yahoo.com
なるほど・・

Zeus botnet continues: 2,500 victims estimated

----------
IaaSとかDaaSとかわけわかりません！
Defining Clouds - " A Cloud by any Other Name Would be a Lot Less Confusing"
そういう BuzzWordを増やさないでください（笑）

----------
亡霊
英国にはどっかに亡霊でもいるのかしらん？
Another NHS hospital stricken with Conficker virus
The infamous Conficker worm has infected yet another NHS facility.

----------
ま、そんなもんでしょう
「トロイの木馬はよく知らない」――オンラインサービス利用者のセキュリティ意識
どういう質問内容だったか知りたいですけどね～

----------
あとは落穂・・

Conficker Spam
Another Fake Conficker Infection Alert campaign

Conficker Spam
「iTunes」で多発する不正請求トラブル～消費者庁が公開質問状

eBay CSRF
eBay Security Vulnerabilities Found by Researcher

PIT: Lotus Notes
IBM Lotus Notes Unspecified Buffer Overflow Vulnerability 4
Unpatched

PIT: Google Desktop
Google Gadget ActiveX Control ATL Templates Vulnerability 4
Fixed in version 5.9
※本当に治っているかは確認できず（MS10-008の問題です）

possible?
政府が検討中のISPに対する「海賊版を自動検出する技術の導入」義務付け、影響範囲は広い？

----------
8080

へ？ Pegel なんですかそれは？（笑）

現在改良中：
countに、各ドメインの被参照数を加算してみた結果：
mysql> select ipstr, count, cdate, mdate from ips order by count desc;
+-----------------+-------+------------+------------+
| ipstr | count | cdate | mdate |
+-----------------+-------+------------+------------+
| 80.69.74.73 | 2197 | 1266370520 | 1266535840 |
| 94.23.11.38 | 1897 | 1266370520 | 1266535840 |
| 91.121.24.139 | 1825 | 1266370520 | 1266535840 |
| 91.121.172.32 | 1289 | 1266370520 | 1266535840 |
| 91.121.108.53 | 1262 | 1266370520 | 1266535840 |
| 188.72.211.253 | 1119 | 1266370520 | 1266535840 |
| 87.233.139.100 | 452 | 1266370520 | 1266535840 |
| 213.251.164.84 | 395 | 1266370520 | 1266535840 |
| 188.40.118.68 | 395 | 1266370520 | 1266535840 |
| 94.23.199.154 | 395 | 1266370520 | 1266535840 |
| 78.31.107.49 | 395 | 1266370520 | 1266535840 |
| 77.68.44.169 | 395 | 1266370520 | 1266535840 |
| 89.110.147.181 | 287 | 1266381059 | 1266535232 |
| 62.75.218.192 | 197 | 1266377427 | 1266533439 |
| 88.80.221.41 | 185 | 1266442849 | 1266535840 |
| 84.200.227.144 | 164 | 1266377427 | 1266511839 |
| 91.121.1.99 | 101 | 1266408039 | 1266535232 |
| 213.251.133.159 | 76 | 1266397250 | 1266528046 |
| 87.106.247.193 | 18 | 1266403250 | 1266525639 |
| 78.41.156.236 | 3 | 1266490843 | 1266492039 |
+-----------------+-------+------------+------------+
20 rows in set (0.00 sec)
ラウンドロビンはカナリ頻繁に変更されていますが、投入IP(陥落サーバ）はたいした量じゃないのかも
87.106.247.193 AS8560(ONEANDONE-AS)
が新IPです。

----------
Google Safe Browsing
| 1266523226 | B | [goog-black-hash 1.51331 update]
| 1266523202 | M | [goog-malware-hash 1.19468 update]
| 326762 | +5(326757) びみょう・・・
| 1387248 |
EoF

海の安全祈念日
簿記の日
ふとんの日 [2(ふ)10(と)ん]
ニットの日 [に(2)、と(10)]
蕗の薹の日 [ふ(2)きのとう(10)]
キタノ記念日
1998年、W3CがXML 1.0を勧告

続く
----------
Microsoft２月パッチの日
2010 年 2 月のセキュリティ情報
数多すぎるので各個の脆弱性は、小野寺様のレポートを参照してください。
2010年2月10日のセキュリティ情報 (月例)

補完的な詳解が出ているのは以下の項目：
MS10-007: Additional information and recommendations for developers
MS10-007(Shell)
特別な細工がされたURIを処理する際に、リモートでコードが実行される可能性があります。

MS10-006 and MS10-012: SMB security bulletins
MS10-006(SMB Client)
特別な細工がされたSMBサーバーに接続する事で、サービス拒否または、リモートでコードが実行される可能性があります。
SMBに関する脆弱性ですが、Webブラウザを通じて、不正なSMBサーバーへの接続を誘導することも可能であるため、インターネットにルーター等を介さずに接続しており、 SMB通信がインターネット間で可能な場合は、更に注意が必要です。
MS10-012(SMB Server)
特別な細工がされた通信パケットを受信する事で、サービス拒否または、リモートでコードが実行される可能性があります。
※SMB(137-139/445) を外部(WAN)に開けている悪い子はいねがぁ～

Kernelの権限昇格問題([979682])も、間に合った([MS10-015](977165))のですね。

Details on the New TLS Advisory
[977377] Vulnerability in TLS/SSL Could Allow Spoofing
TLS/SSL の脆弱性により、なりすましが行われる
トランスポート層セキュリティ (TLS) および Secure Sockets Layer(SSL) プロトコルの脆弱性が確認され、Microsoftを含む多くのベンダーの製品にも影響があります。現在、業界全体で対応方法を検討しています。

February 2010 Black Tuesday Overview
Black が戻ってきました
Microsoft Releases February Security Bulletin
Microsoft Patch Tuesday - February 2010
Historic Advisories
Microsoftでオレンジがいっぱい・・・


さて、管理者諸氏様、がんばってパッチを充てますか！
Digg in !


----------
Adobe is Lazy
Jobs氏がFlashを導入しない理由の一つとして、 Adobe Is Lazy! とコキ下ろしたわけですが・・・(Jan.30)

Flash Bug Report
As has been pointed out by the community, there is an existing crash bug that was reported by Matthew Dempsky in the Flash Player bugbase (JIRA FP-677:Necessary Login) in September of 2008 that still exists in the release players.
あ～あ～
こうして、「ゼロデイのAdobe」の地位が不動のものになっていくのですよ・・・

Adobe screw-up leaves Flash flaw unpatched for 16 months
Adobe apologises for unpatched Flash vulnerability
AdobeがFlash Playerの脆弱性を放置、責任者が「過ち」を認める

----------
4Q 2009 Report by McAfee
McAfee Labs Quarterly Threat Report Posted
Spammers piggybacked heavily on leading headlines in 2009, taking advantage of breaking news stories, global tragedies, and other timely events.
spammer共の「時事ネタへの食いつき」っぷりには脱帽ですね。

China is the Worldwide Leader in SQL-Injection Attacks
これには警戒を強める必要があります。
特に phpmyadminをインストールしているユーザは気をつけてください。

----------
Eset report warn to..
ESET 2009年 年間マルウェアランキング
って・・Confickerですか？
いったいどこに潜んでいるのやら・・・

----------
ZeuS attack
VISAを騙るフィッシング(2010/2 /8)
概要:
VISAを騙って偽サイトに誘導しようとするフィッシングメールが出回っています。
メールの件名:
VISA　4XXXX-XXXX-XXXX-XXXX possible fraudulent transaction
czドメインの ZeuS陥落botですね～
ZeuS系のビヘイビアは、マルウェア感染（ゾンビ化）を狙ったものが多かったのですが、今回は釣りのようです。

visa.comの偽サイト -- February 07, 2010
nttkyo784201.tkyo.nt.ftth.ppp.infoweb・ne・jp ゾンビがいるいる・・
VISAをかたるメールにご用心～攻撃を仕掛けているのはボットネット
配下のパソコンがなくなれば、ボットネットは自ずと崩壊する。ネットを利用するユーザー一人ひとりが、ボットに感染しないように、万が一感染しても早期に駆除してボットネットを離脱できるように、しっかりとしたウイルス対策を行っていただきたい。
至極、名言です。

----------
Samba その２
When is a 0day not a 0day? Samba symlink bad default config
When is a 0day not a 0day? When the exploit ends up being just a poor default configuration issue.
そもそも SambaパケットをWAN側に流すようなことは無いでしょうしね
（あるの！？）

----------
言わなくて良かった・・
Black Hawk Down
いや・・だってベタすぎたし・・

で、当然のことながら、再構築されると
Hacker training site backup lives after takedown by China
鼬の穴を突く作業は延々と続く・・・

----------
Linus compromized Nexus
ケータイ大嫌いのLinus Torvalds(Linuxの作者): Nexus Oneだけはいいね, これなら許せる
認めざるをえないが、Nexus Oneは優れものだよ。ぼくは現物も見ずにネットで携帯電話を衝動買いするタイプじゃないが、でもNexus Oneでやっとピンチでズーム(pinch-to-zoom)ができるようになったというニュースを読んだときは、よし！買うぞ！と思ったね。それに、車に乗るときにはGPSがほしいと前から思っていたんだ。Googleのナビで、ケータイもやっと使えるものになったと感じるね。

いや、ほんとに使えるよ。昨日（きのう）までのぼくではないみたいだね。ケータイなんて、誰かに連絡しなきゃならないときのために、“一応持っている”ものにすぎなかったけど、Nexus Oneは実用性が高いし、しかもルックスがいい。電話機としても使える、なんてことは、まあどうでもいいけどね。
（苦笑）
いや、しかし、携帯嫌いで有名だった Linus氏をここまで変化させるとは・・・

Linuxのリーナス・トーバルズが Nexus Oneに陥落、べた褒め

----------
炉
108 rogue antivirus, fastflux, trojan domains

Sources include www.malwaredomainlist.com, atlas.arbor.net, www.malwareurl.com:
a-roi .jp as AS2516(KDDI)

----------
12ab34
Feb 04 Downloader Trojan "Friends say I am free" from joan@fguang.com
こんな怪しい rar を解凍したりしてはいけません（笑）
※あとこんなパスワードもね！

----------
Google launched Twitter Killer?
その名は Google Buzz
Introducing Google Buzz
内容は・・時間切れ・・

----------
クマー spread worldwide
2 ちゃんねるの「クマー」AA、オリンピックの公式キャラクターに ?
（笑）

----------
8080
第一系統
78.41.156.236 AS6908(DATAHOP)
85.25.152.241 AS8972(PLUSSERVER)
91.121.96.181 AS16276(OVH Paris)
91.121.112.227 AS16276(OVH Paris)
94.23.199.154 AS16276(OVH Paris)

第二系統
77.68.44.169 AS15418(FASTHOSTS)
78.31.107.49 AS24931(DEDIPOWER)
94.23.199.154:重複
188.40.118.68 AS24940(HETZNER)
213.251.164.84 AS16276(OVH Paris)

今日はしっかり二系統に分離中
そろそろ、この計測が辛くなってきました。

また、スクリプトの方にも更に変化があったようで、どこまで勤勉なんだよ！と（不条理な）怒りを感じてしまいます（笑）
「Gumblar.8080」の改ざんコード、規則性が崩れて複数に分裂
こうなると、シグネーチャベースの「スクリプト」検出は意味をなさず、ジャンプ先をチェックするしか無くなりそうです。

※noooo_spam様より 「Gumblar.X陥落サイトのリストを差し上げましょうか？」という大変有難いオファーがありました。

本当にあり難い話なのですが、これ以上の観測をやると、自己破綻するのが目にみえていますので、お気持ちだけ感謝しておきます
m(_ _)m
※というか既に破綻寸前（笑）

もう疲れたよな人へ：
forbidden に対応した polipo で 8080系攻撃を防ぎたければ
とりあえず、しつこく .ru:8080 (nginx)を使っているのは変わってませんので、

^https?://([^/\.]+\.)+ru:8080/
^https?://([^/\.]+\.)+cn:8080/ (過去)

というのは有効な対策の一つです。

----------
Google Safe Browsing
| 1265745640 | B | [goog-black-hash 1.50682 update]
| 1265745602 | M | [goog-malware-hash 1.19252 update]
| 320819 | -358(321177) 微減
| 1350590 |
EoF

世界がんデー(World Cancer Day)
ぷよの日
銀閣寺の日
スリランカ
北宋の建国

----------
R.I.P. apache 1.3
またこんなことを書くと何か飛んできそうですが・・・
Apache HTTP Server 1.3.42 released (final release of 1.3.x)
The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 1.3.42 of the Apache HTTP Server ("Apache"). This release is intended as the final release of version 1.3 of the Apache HTTP Server, which has reached end of life status.
これまで長い間ありがとうございました。
そういえば、最初に触ったApacheのバージョンっていくつだったかなぁ・・？
Upgrade to to the current 2.2 version as soon as possible. For information about how to upgrade, please see the documentation:
http://httpd.apache.org/docs/2.2/upgrading.html
現行サーバを apache 1.x で運用している方は、Apache 2.2 への移行を視野にいれたほうがいいでしょう。
現行の最終 stable は 2.2.14

Apache mod_proxy "ap_proxy_send_fb()" Integer Truncation Vulnerability 4
Apache HTTP Server 1.3's final update released
R.I.P. Apache 1.x: Apache 1.3.42 marks of end life

----------
[980088]
Security Advisory 980088 Released
じきに日本語も出るでしょうが
address a publicly disclosed vulnerability in Internet Explorer that may allow Information Disclosure for customers running on Windows XP or who have disabled Internet Explorer Protected Mode. At this time we are not aware of any attacks seeking to use the vulnerability.
WindowsXP+IE6で保護モードを OFF にしている場合、情報流出の恐れがあるとのこと。
リモートからローカルのファイルを盗み見れるということかな？

Vulnerability in Internet Explorer Could Allow Information Disclosure
Our investigation so far has shown that if a user is using a version of Internet Explorer that is not running in Protected Mode an attacker may be able to access files with an already known filename and location.
やっぱし・・・
Afficted softwareが IE8とかあるのはキノセイでしょうか？

とりあえず、（IE使ってる人は）保護モードになっていることを確認して様子見ですね

微妙に続く
----------
Microsoftからのおてまみ
Microsoft Support informs you…
日本国内でも多数着弾しているようです。
9462.officexp-KB910721-FullFile-ENU.zip
officexp-KB910721-FullFile-ENU.exe

MSがこういう形で不特定多数ユーザにメールを送ることはありません（そのための Microsoft Updateですので）

微妙に続く
----------
でもTwitterは
やっちゃったんですよね～
Twitterがパスワード変更を促すメール、フィッシング詐欺で流出か
今後のセキュリティ・フィッシング対策として、一石を投げかける事態だと思うんですが、一般的にはあまり騒がれていません。

というか、こんな原因だったとは・・
Twitter攻撃の原因は Torrentサイトの裏口だった
Twitterが調べたところ、ここ数年来何者かがTorrentサイトを作り、Torrentサービス始めようとする人相手にサイトを売っていたことがわかった。問題は、この人物がサイトに裏口を仕掛けておき、そこが人気サイトになった時に侵入できるようにしていたらしいことだ。多くの人たちがウェブ上で同じIDとパスワードを使い回しているために、このデータによって大量のTwitterアカウントが漏えいした。
・・・・・・・・

Reason #4132 for Changing Your Password

----------
週間脆弱性 2010.02.01
チェックしておきたいぜい弱性情報＜2010.02.01＞ BGM
Firefox 3.6は自動ではupdateされませんので注意しましょう。
Firefox 3.0系のライフタイムは、2010 年 2 月で切れます。

----------
ガンブラーはFTPの夢を見るか
というより、FTP(RFC959)というプロトコルそのものを破滅に追い込もうとしていますが・・・
コンピュータウイルス・不正アクセスの届出状況[1月分]について
1. 今月の呼びかけ
「 "ガンブラー" の手口を知り、対策を行いましょう 」
英語の長文読むよりも疲れる・・・・

で、puppet様のとこ行ってコーヒー吹きました。
いろいろ
確かに、この位置関係だと加害者ですね（笑）

個人的に、gumblar/Gumblar.x/8080 の一番の恐ろしいところは、攻撃者が勤勉すぎる点だと思っています。アクセス先、インジェクション先、送付先、ホスティング、スクリプトをコロコロ手を変え品を変え攻撃してくるので、対処側が追いついてないのです。かといって、検出ルーチンを強化すると、ぷよってしまうので、セキュ会社も頭が痛いでしょうね。

ちなみに、FTPのパケットモニタリングは gumblar/Gumblar.xにもあった機能ですが、FTPの環境保存ファイルやレジストリからの直接奪取は 8080/QuickSilverの機能であり、Gumblar.Xにも確認されていません。
「FFFTP」をやめてもガンブラーウイルス対策にはならない -- 無題なブログ
このような点から見ても、そろそろ区分をきちんとしないと危険な側面がでてきそうですけど、
ま、

nobody cares .. こまけーことはいいんだよ

という精神でいきましょうかね

参照：
サイト改ざんでウイルス感染を広げる「ガンブラー」対策を～IPAが呼びかけIPAは、「ガンブラー」という言葉を、「Webサイト改ざん」と「Webサイトを閲覧するだけで感染させられてしまうウイルス」を組み合わせ、パソコンにウイルスを感染させようとする一連の手口（攻撃手法）を指すものと定義。その手口を詳しく解説している。
なんとなく、「」が多いあたりに皮肉を感じてしまうのは穿ち過ぎなんでしょうね。
NRIセキュア、「Gumblar」の感染発見に有効なマルウェア検知サービスを提供開始
同サービス」の提供価格は、監視サーバ1台あたり月額36万8000円（税別）。
フォーティネットウイルス対処状況レポート (2010年1月度)
1月のウイルス状況、トップの「Gumblar」に加え「Aurora」も猛威－フォーティネット調べ
ウイルスの活動量によるトップ10では、1位にウェブ改ざんで話題となっている「Gumblar.Botnet」がランクイン。全体の攻撃割合は 31.3％に達した。同レポートによれば、Gumblarは1月6日以降を境に、一気に活動を広げていた。

----------
偽Firefoxアップデートには・・・
Fake Firefox site bundles undead adware
Fake Firefox Update Pages Push Adware
Victims of this scam install the “Hotbar” toolbar by Pinball Corp, formerly Zango.
おまえかっ（笑）

----------
WoWもトークン導入に
Blizzard warns of account theft in World of Warcraft
FFXIには既に導入されているワンタイム･パスワード発行のセキュリティ・トークンですが、世界最大規模で、フィッシングも最大規模な WoWにも導入されるようです。

そして、何個もじゃらじゃ・・

----------
シグネチャ･不正コピー
クラウド上で“カジュアル・コピー”が横行？
スルーカ権行使！

Killing Antivirus, One DLL At A Time

----------
Pushdo Rampages
Pushdo SSL DDoS Attacks
まだ続いている様子

----------
ZeuSも元気いっぱい
Minipost: Fake Photo Zeus -- GarWarner
PhotoArchive.exe7/40 (17.50%)

PhotoArchive Crimeware/Client-Side Exploits Serving Campaign in the Wild -- ddanchev
ZDnetでおなじみの、Dancho Danchev氏は pushdoとの関連も指摘しています。

and ! Happy Birthday !
Happy Birthday ZeuS Tracker!
During the last year, ZeuS Tracker has tracked more then 2′800 malicious ZeuS C&C servers. The ZeuS Tracker has captured more then 360MB ZeuS config files and 330MB binaries.
also Thanks 1und1

----------
MiFi cracked
Verizon MiFi Device Hacked
長い・・
Fortunately, there are a couple of options available to us to mitigate this attack.
* Change the Default PSK
* Change the Default SSIDC
Mifi : myWiFi

----------
Conficker掃討作戦
in マンチェスター警察
Manchester cops recover from Conficker
It is still not clear where the virus has come from but we are investigating how this has happened and are taking steps to prevent this from happening again.
感染経路は不明っと
The council infection of February wound up costing taxpayers £1.5m in lost parking ticket revenue and security clean-up fees.

----------
反撃
Adobe strikes back at Apple over iPad/Flash debacle
Open Access to Content and Applications

どっちもセキュリティホールを掘るのは得意なんですけどね・・・

----------
malcode with WordPress
Wordpress obfuscated javascript pointing to centiyo mal
ああ・・どっかでみたコードがっ（笑）

----------
沿革
8080系(いわゆるガンブラー系)記事のまとめ
結論：あるふぁぶろがーこわい
怖い怖い・・・
錬勤術のほうも気をつけましょうね（気をつけようがないのかっ！）
※手当てなしの勤務の場合はなんて呼ぶのかな（苦笑）

----------
8080
66.225.192.2 AS23352(SERVERCENTRAL) IL(Chicago)
83.1.83.4 AS5617(Polish Telecom)
200.35.148.184 AS15083(INFOLINK) FL
213.39.123.11 AS8928(INTEROUTE)
83.222.30.178 AS25532(MASTERHOST)
88.255.162.14 AS9121(TTNET)
212.146.105.75 AS5606(KQRO)
87.118.90.76 AS31103(KEYWEB-AS)

激しく攻撃サーバホスティングの変更が行われました。
というか勤勉にも程が・・

----------
Google Safe Browsing
| 1265227216 | B | [goog-black-hash 1.50250 update]
| 1265227201 | M | [goog-malware-hash 1.19108 update]
| 299554 | +6032(293522) 反転
| 1310611 |
EoF

slugは冗談ですので、本気にしないでね（苦笑）

節分
のり巻きの日
大岡越前の日
チューリップ・バブル崩壊。(1637)
オープンソース誕生の日 (1998)

----------

今日は、大きな話は無いんですが、細かいのが沢山・・・

----------
C.I.A
C.I.Aサイバー・インテリジェント・エンジェルズ
presented by TBS, Microsoft and Yahoo

秘密組織“C.I.A”がネットの平和を守る！---TBSなど3社が情報セキュリティ啓発キャンペーン
中高生に情報セキュリティを知ってもらおう――MSとTBS、ヤフーが始動
小野寺さんは脱がないのかっ（笑）
サイバー・インテリジェント・エンジェルズ
ネットの安全特集2010春
インターネットと情報セキュリティの基礎知識

２月は情報セキュリティ月間です。
スルー力を発揮して、余計なことそれにしてもすごいコラボ・・・は言わないでおこう・・

----------
MASS Password Reset via Twitter
@safety
Got an email from us saying we've reset your password? A small # of accts seemed possibly affected offsite & we took a precautionary step.
ご注意―Twitter、フィッシング攻撃を受けたと認める
Twitter Mass Password Reset due to Phishing
フィッシングではなく本当にパスワード変更が行われています。
メールがやってきた方は、まずメールを破棄、以下のサイトからパスワードの変更を行ってください。
https://www.twitter.com

do not reuse the password, do not use a simple password scheme (like "twitterpassword" and "facebookpassword")
also don't "123456" and similar =) and of course not "password"

関連：
Most consumers reuse banking passwords
Online security firm Trusteer reports that 73 per cent of bank customers use their online account password to access at least one other, less sensitive website. Even worse, around half (47 per cent) use the same online banking username and password for other website logins.
Reused Login Credentials

----------

About the security content of iPhone OS 3.1.3 and iPhone OS 3.1.3 for iPod touch
Code execution holes in iPhone OS, iPod Touch
The most serious flaw could allow remote code execution if an iPhone/iPod Touch user opens audio and image files.

This iPhone/iPod Touch update is only available through iTunes and will not appear in the software update utility available in Mac and Windows systems.
iPod Touchは無償で受けられるのかな？

続く
----------
iPhone Certの脆弱性？
iPhones Vulnerable to New Remote Attack
ナナメ読みなのでアレですが、
Appleのroot CAが iPhone用とその他でIDが違うと、違う証明書発行元(CN)、違うシリアル番号なのに、KeyIDが同じっては、同一の証明書をIDだけ変えて使い回ししてるんじゃない？
という話かな？
即、リモートコード実行や、不正規なソフトの自動アップグレードにつながる性質のものでは無いようですが、何とも言えない脆弱性（？）ですね・・
"You can make any part of the phone not work. You definitely don't get to run code, but there's lots of nasty things you can do. You can make applications not work, make it so that you can't remove this config file," Miller said. "At the very least, you can make someone's day miserable."

ソース：匿名のpost
iPhone PKI handling flaws -- Cryptopath

微妙に続く
----------
Koobface thru MacOS
How the Koobface Gang Monetizes Mac OS X Traffic
MacOSからのアクセスだけを別の場所に飛ばすKoobfaceの新手法
MacOS系のウィルス・マルウェアはあまり聞かないですが、こういった形でアフィ踏み台になってる人は意外と多いのかも？

AS9394(CRNET-CHINA RAILWAY)
相変わらず、謎なBGP運用してるなァ・・

こっちはウクライナの（偽）デートサイト
62.90.136.237 AS1680(NV-ASN 013)

アクセスログにこういったのが残っていたら注意しましょう。

----------
Pushdo rampage continues
Pushdo Update
続いているようですね・・国内の感染ノードも存在するようですので、注意しましょう（どうやって！？）
※自自律系の中に 443を撃ちまくってるノードが無いか確認カナ

----------
Conficker
Manchester cops clobbered by Conficker
Greater Manchester Police's computer network has been infected by the infamous Conficker worm, leaving beat cops unable to run computer checks on suspected criminals and vehicles for the last three days.
やっぱりまだ居るんですね・・
天然痘とか、コレラみたいな印象ですが・・・

Conficker cause of Greater Manchester Police disconnection
Conficker virus hits Manchester Police computers

----------
イカ君
Squid update fixes DoS vulnerability
Squid DNS Packet Processing Denial of Service Vulnerability 2
Squid DNS Packet Processing Denial of Service Vulnerability 2
Update to Squid 3.0.STABLE22 or apply patch.

----------
WordPress
Wordpress injection attack and “affiliate ping-pong”
激しく既視感のあるインジェクションコードですね・・

WordPressの現行バージョンは 2.9.1 です
なのですよ！ > ATWORDさん

----------
？
On the Trustworthiness of the AV Industry and AV Tests
で・・？（とか書くと、またあちこちで物議を醸すのカナ？）

AMTSOに権限をもっと持たせろ！という点にだけは賛成！

----------
オンラインヘルプにご注意
Be careful on help files
Earlier variants of “Muster” drop encoded copies of main backdoor components in filenames with the extension “.hlp”. These “.hlp”files are later decrypted with Microsoft CryptAPI with hardcoded keys and executed by loaders.
“upgraderUI.exe”with the registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch

----------
Zimuse
Password-Protected Word Document In W32.Zimuse
こないだの、チェコ語のパズルウィルスですね

----------
やばい！
Anatomy of a free Starbucks gift card scam
コーヒー狂な（私）人は、こーいうのに引っかかってしま・・・わないですよね（苦笑）
スタバだとちょっと開きそうだなとか思ったのは内緒

----------
P2P共有
年末年始のP2P（つづき）
減ってるのか、減ってないのか・・
喉元すぎれば・・とか言いますしね～

----------
ああ GreaseMonkey
Firefox出し抜かれる。Greasemonkeyの作者が、Chromeにネイティブサポートを追加
TechCrunchの見出しは相変わらず上手いナァ

----------
Flashホール？
Adobe Flash Security on Menu at Black Hat
抽象的なので、なんとも・・
「Adobeですから」、で終わってしまいそうな今日この頃・・

----------
もぐら叩きの果てに・・・
第13回 「脆弱性根絶なんてできっこない」と嘆く前に
私は前職で、日本で初めて「セキュリティの脆弱性検査」を事業として立ち上げた経験があるのですが、始めた当初から「セキュアなプログラミングが普及すれば脆弱性検査の市場はなくなる」と考えていました。しかし、脆弱性検査はすっかり定着して、不況にもかかわらず、市場規模は縮小する気配がありません。
いま、一番儲かるとこですしね・・（嘆息）
※ムシられる側の愚痴です、ええ・・

関連？
名古屋市長が住基ネットの侵入実験を構想「今ならもっと面白い実験ができる」
「オープンソースの注意点」、オープンソースを利用する際はまず開発企業を調べろ？
私もわかりません・・

----------
ふむ～
ベネッセが中高生に「安心・安全に携帯電話を使う」ためのサービスを提供
ベネッセモバイル FREO

自ら決めたルールの中に、本当の自由はある
このコピーはちょっと感心しました。

----------
な・・なんじゃこりゃ
URGENT! Help needed w/ Virus
また新しいタイプですね・・・
デコードする時間がなかったのでこのまま・・

----------
AS47560
trojan Gozi?
search:47560
91.200.164.44 AS475601(VESTEH)
なんか IDSに引っかかってたらしいので、注意喚起です。

----------
8080
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(SCHLUND)
94.23.199.154 AS16276(OVH Paris)
*NEW(2010.02.02 23:00 +9 JST)
188.40.118.68 AS24940(HETZNER)
213.251.164.84 AS16276(OVH Paris)

１個 NEW IP/ISP が発生・・・って NETZNERか・・

----------
Google Safe Browsing
| 1265140838 | B | [goog-black-hash 1.50178 update]
| 1265140802 | M | [goog-malware-hash 1.19084 update]
| 293522 | -1271(294793) なんとなく膠着状態・・
| 1302894 |
EoF

囲碁の日 [1(い)5(ご)]
いちごの日 高校受験を控えた15歳に応援を送る日・がんばれ～
魚河岸初競り

----------
8080汚染が止まらない
# 4 公式ウェブサイトのウイルス汚染問題
Wikipedia職人早いな～
1/5 AM5時の時点でまだ感染状態にありますので注意

hXXp://www.morozoff.co.jp/ -- 2010-01-04 06:25:53

一時期は /*CODE1*/ に鞍替えしたのかな？と思いましたが、また /*GNU GPL*/ に戻ってきた模様。
8080
Ilion様も指摘していますが、妙な (MD5っぽい) ハッシュがコメントで添付されています。
ナンダロコレ・・・
＜!--86fa61201e3ca3a075145a1d33d3c209--＞
当該URLを Google Safe Browsing 的にイロイロやってみたけど合致するmd5は得られず・・・

91.121.49.129 at OVH(16276)
91.121.142.111 at OVH(16276)
94.23.14.110 at OVH(16276)
94.23.89.95 at OVH(16276)
94.23.206.229 at OVH(16276)
全部OVHじゃありませんか・・・

naplamで焼くなら
87.98.128.0/17
91.121.0.0/16
94.23.0.0/16
188.165.0.0/16

続く
----------
Adobe・・・
Sophisticated, targeted malicious PDF documents exploiting CVE-2009-4324
Additionally, the PDF document contains everything it needs to fully exploit the victim's machine – it does not have to download anything off the net.
完璧ではありませんか・・（嘆息）
at least, disable JavaScript in your Adobe Reader applications.

が・・・

長文です：（斜め読みしただけ）
Despite Danger, Adobe Says JavaScript Support Important
Most of the portions of the JavaScript API are important and relied on by some user somewhere, and some of them are ubiquitous. You know, anyone who uses JavaScript is gonna use this function.
だからどこの一般人が PDFの中に JavaScriptを使いたいと言ったか説明してください。

Simple question coming from a lot of folks. Why don't you just remove JavaScript support from Adobe Reader? Can you do that without causing too much compatibility problems?
Brad Arkin: No. JavaScript is really an integral part of how people do form submissions. And so, anytime you’re working with a PDF where you’re entering information, JavaScript is used to do things like verify that the date you entered is the right format. If you’re entering a phone number for a certain country it’ll verify that you’ve got the right number of digits. When you click “submit” on the form it’ll go to the right place. All of this stuff has JavaScript behind the scenes making it work and it's difficult to remove without causing problems.
Adobe Readerの構造的欠陥ですかこれは？
Adobe排斥運動が起きても擁護のしようが無い姿勢ですね。

評価できるのは
We wanna be able to support that. But, for most of the people who, you know, they don’t wanna be bothered by it, but at the same time they need to be protected, that’s why we’ve got that automatic in-the-background update.
早くしてください！
Adobe working on new automatic (silent) updater

----------
暗号化（したかもしれない）USB
NIST-certified USB Flash drives with hardware encryption cracked
AES-256 によって暗号化された FIPS 140-2 規格の暗号化USBメモリが、実際にはパスワード無しで暗号化部分へのアクセスを許してしまう欠陥が指摘されました。
AES-256が破られたわけではなく、
the main point of attack for accessing the plain text data stored on the drive is the password entry mechanism.
パスワードを平文でフラッシュメモリ上に展開しているルーチン的な問題・・・
その高い金出して、筒抜け暗号化の装置を買った人はバカにされてますね。

The real question, however, remains unanswered – how could USB Flash drives that exhibit such a serious security hole be given one of the highest certificates for crypto devices? Even more importantly, perhaps – what is the value of a certification that fails to detect such holes?
証明書を発行した NIST にも暗に問題があるかもしれません。

----------
インストールは必ず大元から

Flash, Christmas and the new year
だいたい、なんで薬屋から Flash を落とさないといけないことやら・・

----------
【注意喚起】OpenSSL攻撃
OpenSSLを標的とした攻撃を広域で検知【Tokyo SOC Report】
2010年1月3日19時頃より、OpenSSLを狙った不審な通信を検知しています。この通信は以下のIPアドレスから送信先ポート443番に向けて送信されています。
67.23.44.140 RACKSPACE .com DFW1 AS33070
む？
昨晩書いた gumblar/martuz の ASではありませんか・・

OpenSSL Multiple Vulnerabilities -- 2006.09.28 4
OpenSSL Security Advisory [28th September 2006]

OpenSSLの現行バージョンは （判りにくいですが）OpenSSL 0.9.8l(L)です。

----------
注意喚起

From MalwareURL

おめでとうございます> Rakuten
203.190.60.131 AS23820 (RAKUTEN) が見事に捕捉されています。
YM6.x_7.x_Yahoo_Cool_Id.exe 35/41 (85.37%)
現在もダウンロード可能（苦笑）

204.188.206.0/28 AS46844(SHARKTECH) から大量の Trojan (.exe) が報告されています。
8886という変なPortを使っています。

----------
あなぼこっ

時間切れ風味なので、Secunia レポートのみで

Net Transport eDonkey Protocol Buffer Overflow Vulnerability 4
昨日紹介しました。

Joomla! Component Ozio Gallery "writeToFile.php" File Manipulation Vulnerability 4
Joomla! Dailymeals Component "controller" Local File Inclusion Vulnerability 3
Joomla! Memory Book! Component SQL Injection and File Upload Vulnerability 3
Joomla!も最近多いですね

phpYellow File Upload Vulnerability 4
Solution: Unpatched
Restrict access to .php files in the "userlogo" directory.

IMAGIN "writeToFile.php" File Manipulation Vulnerability 4
Solution: Unpatched
Edit the source code to ensure that input is properly verified.

Rezervi "root" File Inclusion Vulnerability 4
Solution: Unpatched
Edit the source code to ensure that input is properly verified.

Xoops Cross-Site Scripting and SQL Injection Vulnerabilities 2
Update to version 2.4.3.

and..

Skype for Linux (<=2.1 Beta) multiple strange behavior
orz..

also..

Symantec SEPM having 2010 date problems
SEPM: Symantec Endpoint Protection
Symantec Endpoint Protection Manager considers any definition update with a date newer than 11:59PM December 31 2009 will be considered out of date.
2010年問題がここにも・・
SEPM Definitions stay at 31-12-2009 (LAST UPDATED: 04-JAN-2010)

----------
そのた

Conficker infections drop overnight
年始に一気に１００万単位で Confickerノードが消失したとのこと。
でも、ちょっと変でない？
※好意的に、「年始休みに一般家庭のPCが帰省掃除された」と考えるべきでしょうか？

Apple (Snow Leopard) malware blocker collecting cobwebs
２個しかないとか散々ケナされた Snow LeopardのMalwareブロック機能ですが、徐々に精度をあげ、MacOSで最大の脅威になっている（というか、それ以外に聞かない） DNS changer にも対応した模様です。
（悪い意味ではなく）MacOSは平和でよさそうですね・・・

Researcher Uncovers Twitter, Google Calendar Security Vulnerabilities
TwitterとGoogle CalenderにXSS脆弱性があると、セキュリティ研究家が指摘

Zeus 4 U
Over the holiday break I had the opportunity to examine version 1.2.4.2 of the Zeus DiY kit – released around May of 2009. Newer versions are already available in the hacker market (specifically 1.3.0.0) being sold for as much as $700 as seen in our recent blog “Botnet Feature Advancement and Zeus Tweaking”
ZeuS DiY Tool Kit = 700$
高いのか安いのかは・・・？

偽「mixi」に偽「モバゲー」、国内ユーザーを狙うフィッシングが続出
いくら年末年始をはさんだとはいえ、遅すぎると思うんです・・・・

----------
今日から出勤の方もいらっしゃるでしょうが、今一度

※Adobe (Acrobat) Reader の JavaScript OFF

※Java JRE の古いバージョンが潜んでいないかチェック
　最新版は Java 6 update 17

を行ってみてください。

----------
| 1262635233 | B | [goog-black-hash 1.48097 update]
| 1262635203 | M | [goog-malware-hash 1.18404 update]
| 312402 | -2549(314951)
| 1204550 |
EoF

成道会（じょうどうえ）: 釈迦が悟りを開いた日
聖母マリア無原罪の御宿りの祝日(聖母受胎) : カトリック教会の大祭日。聖母信仰はプロテスタント派との大きな相違がある。
針供養
1980年,元・ビートルズのジョン・レノンが、ファンに射殺された。
1941年,日本がハワイ・真珠湾攻撃を開始、太平洋戦争の勃発。

----------
駆け足～

----------
Conficker?
マルウェアマンスリーレポート：2009年11月
1.2.3位すべてが、Kido(Conficker)ファミリって・・いったいどこに潜んでいるのやら？。国別のリストを出して欲しいですね。

Web上の脅威は圧倒的に Gumblar.x・・
２位との数の差が恐ろしいですね。

微妙に続く
----------
Gumblar Harvester
で、その Gumblarの収集情報の回収先のIPですが
Gumblarの情報送信先？

Lacの発表：
【注意喚起】Gumblarおよびその亜種に関する大量の感染事例について -- 2009.11.19

195.24.76.250/32	AS5577	ROOT eSolutions
216.45.48.66/32	AS22298	SECURE PRIVATE NETWORK by MZIMA
67.215.246.34/32
67.215.238.194/3

今回、jyake様の解析で判明したIPは
94.229.65.174 AS42831 UKSERVERS-AS(UK)
AS42831
AS42831
Koobface系もちらほら散見されますね

67.212.81.67(AS10929)は、最近よく見かけるFakeAVのスプリンクラーですね。
Crimeware friendly ISP's: Netelligent -- 2009.10.14
AS10929
AS10929

これらのGumblar構造体をつぶすには、Harvesterを潰すのが最適だと思ってるのですが、防弾ホスト相手は骨が折れそうです。

list of Gumblar zombie URLs
369 items. Last update: Dec 6, 2009

----------
セキュリティ報告書のガイドライン（カンペ）
Cheat Sheet: Analyzing Malicious Documents
納品物にセキュリティ系の報告書等を必ず盛り込まなければならない機会があると思いますが、そのフォーマットを考えるのが一苦労・・・そんなあなたに・・
Information Technology Cheat Sheets
ライセンスはCCv3です。
ていうか日本語版欲しいですよ（切望）

このLenny Zeltser社は、（いろんな意味で）高名な Savvisのセキュリティコンサルティング会社です。

----------
EC-CUBE rolling down
EC-CUBE における情報漏えいの脆弱性
遠隔の第三者により、当該製品に保存されている顧客情報が漏えいする可能性があります。
ぉぃぉぃ・・・
顧客情報漏洩の脆弱性
// 認証可否の判定
$objSess = new SC_Session();
SC_Utils_Ex::sfIsSuccess($objSess);
無認証？（汗

使用中の方は速やかに処置しましょう。

EC-CUBEに情報漏えいにつながる脆弱性、早急な対処を
システム内の顧客情報が一般ユーザーのブラウザ上で閲覧できてしまうもので、遠隔の第三者に顧客情報が漏えいする恐れがある。
EC-CUBE Security Bypass Vulnerability 2
２(Less Critical)じゃないと思うんですけど、どうなんでしょう？

----------
Security belong PSP
トレンドマイクロ、PSPのネット利用を保護するサービスを有償化
ペアレンタル・コントロールの精度向上って結構重要な問題だとおもうんですが

トレンドマイクロ、PSPにもWebセキュリティサービス -- 2009/04/21
キッズセーフティ for PSPでは、設定された「アダルト／成人向け」「カルト／オカルト」「ギャンブル」「違法行為」といったカテゴリに応じて、ユーザーのアクセスをブロックする。カテゴリの設定変更はできない。ウェブセキュリティ for PSPでは、同社ユーザーから提供された悪質サイトの情報を参照して、フィッシング詐欺サイトなどへの接続を自動的に遮断する。
・・・・・・

----------
某紙廃刊へ
ネトラン休刊　資金繰り悪化で
何言ってるんだか？と思ってるのは私だけではなかったようですので、深くは言及しないことにしましょう（苦笑）

参照：
違法サイトなどの情報掲載自粛を12出版社に要請【ACCS】
『ネトラン』が違法になる前の駆け込みダウンロードを推奨
著作権改正法案が成立、来年1月1日施行 - ダウンロード違法化など盛り込み
波及？：
PCJapan、休刊

----------
このへんで時間切れ：

Layer 2 Network Protections – reloaded!
時間なのであまり読んでませんが・・・中間者攻撃とその対処（Layer2 : データリンク層）のお話・かな？
BroadcastやらMACアドレスの洪水攻撃とか、素人レベルで制御できる話じゃないですよね・・

[P2P情報流出]:NTTコミュニケーションズ/NTT西日本/文部科学省
使うなと言っても聞かない人は、サンドボックス内に物理隔離したほうがよさそうです。

The Risks of Holiday Online Shopping
オンラインショッピングにはきをつけましょう（別にクリスマスでなくてもネ）

Christmas-Themed KOOBFACE Campaign Seen
そしてサンタがSNS経由でマルウェアをプレゼント（いらね～～）

frontlinecom.co.uk: Oh dear
Who's Mark Jones?

とりあえず今すぐ使えるChromeエクステンション、11種類ご紹介Firefoxもあんまりのろのろしてると、Google帝國がやってきますよ？（笑）

----------
| 1260216026 | B | [goog-black-hash 1.46081 update]
| 1260216002 | M | [goog-malware-hash 1.17732 update]
| 351097 | -1973(353070)
| 1091226 |
EoF

----------
お知らせ

11月になりました。BGM:November Rain

今週は事務所の引越などがあり、遅延が予定されています。

今後どうなるかわかりませんが、出来る限り続けていきますのでお願いします。

----------
だいたい、月の初めの日はいろいろ記念日が多い・・

紅茶の日
灯台記念日
点字記念日
諸聖人の日（万聖節）
自衛隊記念日
寿司の日
犬の日
本格焼酎の日
泡盛の日
計量記念日計量法
友の日(ハローキティの誕生日)
古典の日

----------
最終日

Cyber Security Awareness Month - Day 31, ident
Welcome to day 31 of Cybersecurity Awareness Month!. I hope that you have enjoyed reading and responding to it as much as we have enjoyed writing it!

ちょっと分からないサービスやポートがあったりして調べ物をしたり、ごまかしたりしましたが、楽しかったですよ（笑）

最後は Ident(Identification Protocol)

TCP/113 Identについては以下が詳細に解説されています。
TCP/113 AUTH/IDENT に関して

このとき、Identプロトコルによって付与される所有者情報に何が記載されているのか、あるいは偽装されていないか？といった懸念を払拭するためにはどうしたらいいのか？
最大の防御は何も記述しないことになってしまうのではないでしょうか？（苦笑）

Ident について -- 1999.01

----------
Chat-in-the-Middle攻撃

銀行員を装いチャットで接近、ますます巧妙化するオンライン詐欺
一般的なフィッシング詐欺では、正規サイトに似せたサイト上でユーザーにIDやパスワードを入力させて情報を盗み出す。これに加えて、Chat-in- the-Middle攻撃ではライブチャットが始まると、ソーシャルエンジニアリングの手法を用いてユーザーに攻撃者を銀行担当者と信じさせる。会話を通じてユーザーの氏名や住所、メールアドレス、電話番号などのほか、ユーザー認証の際に使われる「秘密の質問」とその回答などの情報を聞き出そうとする。
ああ・・XMPPの評判がこんなとこで下がってしまう（笑）

----------
言霊って信じますか？

先日、Donbotのことを書いたときに Pushdo/Cutwail の勢力が低下とか書いちゃったわけですが・・
Cutwailを添付したスパム
えっと、まさかのCutwailスパムの大量受信です。。。
フラグを建ててはいけないという神（紙）のお告げなんでしょうか・・
From : boss@xxxx.yy.zz
Please read the attached letter and get back to my office for more details to proceed further.
Thanks and have a very nice day.
「ボスより。添付した文書を読んでから私のオフィスに来て詳しく説明してくれ。じゃ。」
こんなメールに引っかかる人はインターネット（笑）適性検査を受けた方がいいかもしれない・・・

----------
Conficker

もうすっかり存在を忘れてますが、結構勢力をキープしているようで・・？
After one year, Conficker infects 7 million computers
The Conficker worm has passed a dubious milestone. It has now infected more than 7 million [m] computers, security experts estimate.
7百万ユニークIPの感染BOTですか・・
Despite its size, Conficker has rarely been used by the criminals who control it. Why it hasn't been used more is a bit of a mystery.
spamの発信に使われるでもなし、DDoS攻撃に使われるでもなし・・なんか「ただ感染し、拡大を続けている」オートマトンのような存在になっています。

Infection Tracking

そういえば、Microsoftが出した25万ドルの懸賞金はどうなったのでしょう・・？（笑）

----------
人それぞれ

青色LEDが氾濫中、「目障り」？
青色LEDは輝度が高く目立ちやすいほか、また人間に不快・不安を感じさせたり、睡眠パターンの乱れや免疫システムに影響を与えるという研究もあるそうだが

JR東日本が、自殺防止目的で山手線全駅に青色LED照明を導入
ＪＲ東日本東京支社は１５日、山手線全２９駅のホームに青色ＬＥＤ（発光ダイオード）照明を導入すると発表した。青色は人の心を落ち着かせるとされ、増える飛び込み自殺を防ぐ狙いだ。全線での導入は全国的にも珍しい。

----------
もうそんな時期が・・

年賀状のフォントとハードリンク
もう年賀状の時期なのかぁ・・・
emailで済ませちゃだめですか？（笑）

----------
GSB中継サーバを落としてしまったので今日・明日はありません。

EoF

どこが簡易版なんだ？というお叱りも受けてますが・・
リサイクルの日
「ひとまわり」(10)＆「ふたまわり」(20)にちなんで
BGMってコレかな？
新聞広告の日
ソフト化の日
意味がわからない用語のひとつ。経済のサービス化・ソフト化あたりの推進をしていた、「社団法人ソフト化経済センター」は 2005年に活動停止している。

----------
New-Gumblarの本当の地獄はこれからかも？

とりあえず、欧米では記事が出始めました。
'Gumblar' botnet beginning to mobilise
Gumblar Botnet Resurfaces to Target Windows Users, ScanSafe Says
まだまだ周知には程遠いですが、少しでも被害拡大を防げればいいなぁと思いますね（苦笑）
前回、いろいろ手を打ったりしてヒドイ目にあったので、もう個別対応はしませんですよ、ハイ。

zlkon、gumblar、martuz 再臨
これらも、やられちゃったサイトなんですよね。。。バーチャルホスティングだし。
今回の「一次陥落サイト群＝踏み台A」は慎重にバーチャルホストに収容されたサイトを狙っている印象です。ですので、仮にIPでブロックをかけると、その他大勢の「無関係サイト」まで巻き込むことになりそうです。

しかし、これって、検体の取得も解析もむちゃくちゃ大変じゃないですか？？？？？
I think so..

----------
Conficker感染の警告とともに添付ファイルが・・

Conficker.Bの蔓延をネタに偽アンチウィルスソフトをインストールさせようとするスパム
「10/18からConfickerが急に蔓延し始めたので、添付したファイルをインストールしてスキャンして！すぐに！　マイクロソフトより」

（苦笑）
まぁでも、zip添付で FakeAVが送りつけられてくるので、信じてしまうヒトは信じてしまうのかも・・
しかも、複数を短期間で送りつけてきますので、メールボックス内で目立つことは事実ですね。

Zipped Malware Attachments in Spam: Here comes Conflicker!
Scam Email
Microsoftが個別に、しかもメールでアップデートを送りつけるようなことはありません。

Windows7発売直前の案内はいっぱい届きますが・・
あと３日

----------
Oracle のメガパッチも明日

Oracle Critical Patch Update Pre-Release Announcement - October 2009
This Critical Patch Update contains 38 security vulnerability fixes across hundreds of Oracle products.
シス管の方、明日はハンカチを片手にがんばりましょうネ・・

----------
VMware系のパッチは多すぎませんか？

[Security-announce] VMSA-2009-0014 VMware ESX patches for DHCP, Service Console kernel, and JRE resolve multiple security issues
VMware Products DHCP and JRE Multiple Vulnerabilities 指標:4
VMware ESX Server update for DHCP, kernel, and JRE 指標:4

該当製品をご使用中の方は、パッチを・・・充てられないんですよ、そう簡単には（苦笑）

----------
複数の非Adobe系 PDF readerの問題

Foxitのほうはマダのようですが・・
Vulnerabilities in several PDF applications
The flaw was discovered in version 3.1.1.0928 and has also been confirmed to exist in the current version 3.1.2.1013 of Foxit Reader (with Firefox 3.5.3 ). A similar bug that affected the loading of objects was recently fixed in Adobe Reader. So far, no updates have been made available for Foxit Reader.
Foxit Reader Firefox Plugin Memory Corruption Vulnerability

同様の問題は Xpdf というOSSのPDFリーダにも存在するようですが、こちらは修正版がリリースされているようです。
Xpdf Multiple Vulnerabilities
Apply vendor patch:
ＦＴＰ://ftp.foolabs.com/pub/xpdf/xpdf-3.02pl4.patch

----------
SQL Server 2005

SQL Server 2005の更新プログラムで 737d エラーが出てしまう時の対処方法
SQL Server 2005の更新プログラムを適用する際に、Microsoft Updateで 737d エラーが出てしまう事があるようです。
この 737d エラーは、SQL Server 2005で何らかの構成変更(更新やサービスパックの適用も含む)を行った際に、そのセットアップが正しく完了していない場合に起こります。

該当する方はインストラクションに沿って設定を行いましょう。

----------
.NET framework add-onのブロック解除

.NET Framework Assistant Blocked to Disarm Security Vulnerability
Microsoft has now confirmed that the Framework Assistant add-on is not a vector for this attack, and we have removed the entry from the blocklist.

というわけで、Addonの強制disabledは解除されたようです。
この件に関しては、いろいろ反論もあるようですが、「セキュリティリスクの可能性が発覚した場合、ドミノをリスクヘッジ側か、利便性あるいはユーザの判断に任せるか？」という命題に対し、Mozillaが常にリスクヘッジに動いている姿勢は賞賛されるべきだと思っています。

マイクロソフト製のFirefox向けプラグイン、脆弱性を理由に一時ブロック対象に

----------
さようなら ClamWin?

マルウェアや危険サイトのリスティングを行っている hpHostsのBlogに、こんな記事がありました。
Goodbye ClamWin, it was nice while it lasted
Thank you ClamWin, for deciding you'd rather not be a security vendor we can trust.

ClamWin(ClamAV for Windows)がAsk.comと提携を結び、そのフィードバックに Ask.com Toolbar をインストールさせることを決めた事への不信感から「Good-Bye」となっています。

Ask.comツールバーは以前から問題が指摘されています。
Ask.com Search画面の件

もっとも、OSSのソフトウェアがどうやって収益を上げるか？という部分は非常に難しいものがあります。

----------
DAY - 19 ICMP

これまで nnn 番ポートの形で続いていましたが、ICMPにはポート指定はありません。
ICMP
Cyber Security Awareness Month - Day 19 - ICMP

一番有名な ICMP は pingでしょうね。いくつかのセキュリティ・ソリューションでは DoS狙いの ICMP/8 Pingをフィルタしていることもあります。

----------
というところで時間切れ

落穂：
9/11 Pentagon Conspiracy Theory Spam Leads to Malware

“Mafia-style” cybercrime organizations
FAMILY -- 下部構成員 -- 鉄砲玉でしょうかネ

またも出現、ヤフーをかたるフィッシング詐欺に注意
Yahoo! Japanをかたる偽サイトが多数稼働中～フィッシングにご用心

AND:
インジェクション
Rogueware with new Ransomware Technology™
登録商標でも取ったのかしらん？（笑）


| 1255982406 | B | [goog-black-hash 1.42558 update] |
| 1255982402 | M | [goog-malware-hash 1.16566 update] |
+----------+
| count(*) |
+----------+
| 341844 |
+----------+
| count(*) |
+----------+
| 819485 |
+----------+

EoF

清掃の日
廃棄物の処理及び清掃に関する法律が施行されたことに由来。

南洲忌
西郷隆盛の命日
西南戦争終結の日

----------
Conficker never died

最近あまり騒がれなくなった Conficker/Downadup/Kido ですが

Addendum to SRI's Conficker C Analysis Published

SRIが Conficker C の P2Pネットワーク経由での C&C伝播に関してレポートしています。
An Analysis of Conficker's Logic and Rendezvous Points

また、ZDnetによれば、
From Gimmiv to Conficker: The lucrative MS08-067 flaw

現在でも5,000,000の感染ボットが存在しているとしています。

まぁ・・MS08-067(2008.10.24)を、現在でも未適用のような環境は、「論外」というしかないわけですが、こういった例もありますので、一応注意喚起でもしておきましょうか？

東大病院のウイルス感染はUSBメモリ経由、「MS08-067」未適用 -- 2009.03.09

----------
iTunes 9.0.1

About the security content of iTunes 9.0.1
A buffer overflow exists in the handling of .pls files. Opening a maliciously crafted .pls file may lead to an unexpected application termination or arbitrary code execution. This update addresses the issue through improved bounds checking. Credit to Roger Hart of IP3, and Steven Woolley at Oogli LLC for reporting this issue.
悪意をもって作成された(Malcrafted).pls ファイルを実行させられることにより、任意コード実行の可能性があった問題の修正
iTunes 使用中の方は、ヘルプ→更新ファイルを確認からアップデートしてください。

----------
時間切れ・・かな

EoF