UnderForge of Lack

左義長、どんと、松焚祭（どんと祭）
最近はダイオキシン問題で取りやめている事例もある。
主の割礼祭 正教会の祭
愛と希望と勇気の日
1959年、南極大陸で1年間置き去りにされたカラフト犬タロとジロの生存が確認される

----------

皆様、Adobe Reader 9.3.0 (or 8.2.0) へのアップデートは済まされたでしょうか？
Adobe Acrobat の購入者の方々もアップデートをお忘れなきようお願いします。

----------
Java JRE 6 update 18
Sun Java JRE 6 Update 18 Released
そのうち、Oracle Java になるんでしょうか・・・
This release contains fixes for 358 bugs. You can see the release notes for this version here. You can download the update here.

Note: "This feature release does not contain any new fixes for security vulnerabilities to its previous release, Java SE 6 Update 17. Users who have Java SE 6 Update 17 have the latest security fixes and do not need to upgrade to this release to be current on security fixes."

バグフィックス x 358 あるって言われてて、セキュリティの問題は無いので updateしなくていいですよ？　というのもありえない話でして・・・・

Java SE ダウンロード : Java SE Runtime Environment JRE 6 Update 18
ぽちっと・・

----------
Goodbye China
政治が絡んだ問題には（怖いから）あんまり口を差し挟みたくないんですが・・・
A new approach to China
訳：
中国に対するあたらしい姿勢

Google、中国事業から撤退か - 大規模サイバー攻撃を報告
今回サイバー攻撃の情報を公開した理由についてGoogleは、「深刻なセキュリティ問題、そして人権問題が含まれているためだけではなく、この情報が"言論の自由"について世界規模でより大規模な論争を巻き起こす核になるからだ」と説明している。
なんかもう政治色でべっとりな印象なんですが・・

Google’s Threat Echoed Everywhere, Except China
もう献花されてるし・・（苦笑）

このへんは、読者の方々のリテラシー・ベクトルによって十人十色な判断がされる部分でしょう。

グーグル、中国での検索結果検閲を廃止へ--同国から撤退の可能性も
Google、中国からの大型サイバー攻撃に中国市場撤退も
Googleにとっての中国: 人権うんぬんよりも世界でのビジネスが第一
おそらく、もっとも衝撃的な部分は: かつてYahooは中国でGoogleよりはうまくやっていた。しかし数年前に撤退したのは、Alibabaには勝てない（Aliの40%近くの株主になることはできない）と悟ったからだ。Alibabaは、中国での成長の仕方をいちばんよく知っている企業だ。中国に住む起業家でエンジェル投資家のBill Bishop…彼は私が書く中国記事を批判することもある… は、そう言ってから次のように付け加えた:“YahooがGoogleよりもお利口と思えたことは、あまりないのにね”*。〔*: そのときだけはYahooがGoogleよりも賢いと見えた、の意。〕

微妙に続く
----------
Adobeも受けてたんです・・
アドビ、「洗練された組織的な」攻撃を受けたことを認める
Adobe Investigates Corporate Network Security Issue
なんだかよくわかりませんね

Google, Adobe attacked through China
SecurityFocusでは、確証はないとしながらも、この２つの事例を同列に扱っています。

一方、ScanSafeは独自見解：
Google Attack Reflects Sophistication of Today's Malware
ScanSafeは、昨年から執拗に続く中国の Password Stealerの事例を挙げ、PWS.Lineage や WoWStealerといった、一見ゲームのパスワードしか盗まないような印象を受けてしまうトロイが、実際には何をしでかしているか検証できていないことを警告しています。
Password Stealers: Few Names, Many Flavors -- 2009.06.23
うちにもありましたね・・・
2009.08.29 土曜日
om7890.com : a0vの系列

このあたりは、Ilion様のサイトが詳しいです。
インジェクション -- 2009-07-19

あと、バリュードメインの一部のラウンドロビンに潜んでいた（アクセス解析にも）コレも、その系統です。
hellh.net -- 2009-07-07

--
こうなってくるともう一般人には何もいえない
Adobe Flaws Alleged in Google Attacks
Google attack part of widespread spying effort

もうちょっとだけ続く
----------
Adobeがクラックを受けた原因は・・？
Hackers used rigged PDFs to hit Google -- and Adobe, says researcher
Analysts at Verisign's iDefense security group told Robert McMillan of IDGNews today that hackers had launched targeted attacks using a malicious document attached to e-mail messages.

Unpatched Adobe holes link Google and earlier attacks
マテ・・・・

これがほんとなら、あの「イケテナイ」Blacklistingは Adobe社内でも機能してなかったってことですね・・・
あはは・・（乾燥）

Googleに対する標的型攻撃
Screen Capture: Targeted Attack PDF Exploit Taking Over A Computer

この攻撃は昨年からずっと警告されていたものです
contagio -- malware dump

あと１個だけ・・
----------
だからgmailはhttpsに
Google (finally) enables default "https" access for GMail

チャイナ・シンドローム―Google、中国のハッカー攻撃を機にGmailのセキュリティーを引き締める
Googleは当然ながらGmailのセキュリティーを重大に受け止めており、今後、Gmailは暗号化されたバージョンをデフォールトとすると発表した。

GJ! ・・・なのかな？
「既に盗まれ済」なアカウントはど～にもならないわけですけどね。

あ・・あともう１個・・
----------
Adobe Readerの新機能
A Few Words on the January 2010 Security Update for Adobe Reader and Acrobat
And we're providing more fine-grained control for any future JavaScript API vulnerabilities with the JavaScript Blacklist Framework. Finally, disabling Legacy Multimedia by default protects users against any potential security vulnerabilities identified in these rarely used features.
Legacy Multimediaをデフォルトでブロックするんだったら、JavaScriptもそうなさいってばさ！

----------
Gumbられる
もう言うまいと思ったけど、ちょっとだけ・・・
「『ガンブラー』はウイルスの名前ではない」――シマンテックが解説
「『ガンブラー』はウイルスの名前ではない」――シマンテックが解説
セキュリティ企業のシマンテックは2010年1月12日、国内で猛威を振るっている「ガンブラー（Gumblar）」について解説した。
このソースが見当たらないんですけど、何かプレス向けのブリーフィングでもあったんですかネ？

シマンテックによれば、一般的にガンブラーと呼ばれているのは、別サイトに誘導してウイルスに感染させる攻撃手法のこと。同社では「ドライブバイダウンロード」と呼んでいて（図）、感染させられるウイルスの名称ではないという。同社では、最近の報道では「ガンブラー」を、ウイルスやマルウエアの一種と混同しているケースが見られるとして、誤解しないよう呼びかけている。
いや・・それ、どこもそう呼んでますが・・・・
Drive by Download = Gumblar って説ははじめて聞きました。
そういえば、SymantecさんはBloodhoundから、"Hacktool.Rootkit"という、なんとなくヒューリスティック的な名前しか付けてくれなかったんですよね・・・

----------
諸君、これは戦争だ！
Minipost: #CNIRcyberwar ? ? ?
昨日イランのサイバー軍を名乗る組織に（かのご高名な）Baidu がヤラれちゃったわけですが、人海戦術では絶対に負けない中国は報復に出たようです。

勝手にやってて・・・

----------
一方・・・Microsoftは渦の外
2010年1月13日のセキュリティ情報 (月例)
また、Adobe製品だけではなく、SUN Java Runtime Environment (JRE), Quicktime も利用している方は最新の状態にしておく事もおすすめします。
余裕ですね・・・

Rimecud and Hamweq - birds of a feather
Win32/Rimecud
IM経由で飛んでくるらしいですが、国内では感染事例を聞いたことがありません。
もっとも Pidginが MSNの穴を塞いだのはコレ対策のようですので、そこそこ流行しているのでしょう。

----------
Kerberos PoC
MIT krb5 Security Advisory 2009-004 -- release: 2010-01-12
AFFECTED SOFTWARE
KDC and application servers in MIT krb5-1.3 and later releases are vulnerable. Earlier releases did not contain the functionality implemented by the vulnerable code.
Third-party applications linked with the libraries from vulnerable releases are also vulnerable.
CVE-2009-4212 as *reserved*
patch:
for krb5-1.6
for krb5-1.7
PoC:
CVE-2009-4212: MIT Kerberos Multiple Integer Underflows
う・・・

Kerberos KDC RC4 and AES Decryption Integer Underflow Vulnerabilities 4
Update to version 1.6.4 and 1.7.1 as soon as available or apply patches.
RedHat系、Ubuntu、Debianには既にパッチが来ています。

----------
ZeuSだって元気です
USのTaxSeasonが近づいてますので・・・
eBayを騙るフィッシング
ただしアクセスしても「Not found」となってコンテンツはありません。
そのため単なるフィッシングなのかいつものようにZeuS関連のマルウェア配布なのかは未確認です
※cNotesさんのfaviconが元にもどった・・・

ebay.comの偽サイト -- Jan.13
110.54.126.137 == 110-54-126-137.ppps.bbiq.jp
bbiqは久しぶりですね・・・
ここもルータ挟んでないユーザがいっぱい居そうです。

IRS Warns of Online Scams
The U.S. Internal Revenue Service has issued a news release on its website warning consumers about potential scams. These scams are circulating via fraudulent email or other online messages appearing to come from the IRS.
IRSのspamも相変わらずの様子

----------
炉
rogue, trojan, exploit domains to sinkhole
130 domains to add to your dns sinkhole:
dns sinkholeってなってますが、コレは DNS拒否リストに入れるのかな？
まだそのへんは宿題中だったりします（笑）
※DNS siknhole routingによって不正リダイレクトされている「ドメイン」はこんな数じゃないはずです。

----------
あなぼこっ
Adobe getPlus DLM Multiple Vulnerabilities 4
Follow the update recommendations included in APSB10-02.
アップデータにも穴を掘るなんて・・・

Novell ZENWorks Asset Management SQL Injection Vulnerability 3
Update to version 7.5 Interim Release IR19 or later. visit

----------
その他

今日は数が多かった・・・

New Koobface variant saves researchers time from analysis

SMS Donations Advertised via Twitter
ハイチ募金を呼びかけるSMSがTwitterアカウントにリンク・・・
正規サイトは
http://www.mgive.com
http://mobilegivinginsider.com
だそうです。
日本国内ではあまりSMSが使われていませんのでなんとも・・

Yahoo!、Zimbra を VMware に売却で合意
VMware は買収後、Zimbra の既存のオープンソース プロジェクトおよび商用製品を引き続きサポートするほか、Zimbra の製品を自社の仮想化プラットフォーム『VMware vSphere』ベースのクラウド インフラに統合する計画だ。
ターゲットが鮮明ではありませんけど、一応期待しておきましょう。

----------
オチ（酷い）
踏み台に注意（オフトピ-10)
誰がうまいことを・・・(1:00頃
こうして DDoS攻撃の踏み台に（笑）

----------
8080
82.98.231.25 AS8455(ATOM86)
91.121.142.111 AS16276(OVH Paris)
94.23.206.229 AS16276(OVH Paris)
95.168.170.89 AS28753(NETDIRECT) NEW
212.117.165.149 AS5577(ROOT eSolutions)

----------
Google Safe Browsing
| 1263412806 | B | [goog-black-hash 1.48740 update]
| 1263412802 | M | [goog-malware-hash 1.18610 update]
| 317269 | +62(317207)
| 1244406 |
EoF

110番の日 全国の警察で、ダイヤル110番の有効・適切な利用を呼びかける モラルの低下にサイレンを。
明太子の日 福岡の食品会社ふくやが制定。
かんぴょうの日 かんぴょう（干瓢）の「干」が「一」と「十」の組み合わせ
十日戎 「商売繁盛、笹持ってこい!」
カエサルが、元老院の命令を無視してルビコン川を渡りイタリアに侵入。(紀元前49年)

----------
CVE-2008-5353
kaito834様がかなり詳細に解析されていたので紹介します。
CVE-2008-5353 の Exploit コードで脆弱な JRE が悪用されるのか確認する
脆弱な JRE を指定して Exploit コードが実行されるとどうなるか
＜param name="java_version" value="1.6.0_07"＞
この警告ダイアログで [実行] を選択すると、JRE 1.6.0_07 で Exploit コードが実行され、calc.exe が起動してしまいました。
スキルも環境も時間もなくなった私にとっては拝みたくるようなMalCode分析です。

--
さて、ここで何が問題なのか？もう一度考えてみると、最近は Vista / Windows7 ユーザが多くなり、UAC, DEP(あるいはASLR）によって保護されている環境が増えてきました。

一般的なエンドユーザは２つの傾向にわかれます。
一方は、こういった警告が表示されるとパニックに陥って、ひたすら [x] を押して消してしまう派 です。このタイプの方は、まぁこの際は良しとしましょう・・・
問題は ベンダ名だけを見てOKを押してしまう派 です。
このタイプは、時と場合によって OK を押してしまう危険性があります。

--
UACとは何なのか？、なぜ時と場合によって管理者の許可を必要とするのか？という部分はまだまだ Windowsユーザには浸透しているとは言い難い状況です。
Vista環境下で、自分は大丈夫とタカを括っている層は、今回の CVE-2008-5353 攻撃によって足をすくわれかねません。
こうした、プリインストールされた脆弱性のあるコンポネンツをきちんとアップデートする仕組みの浸透は IPA や JPCert/CCの啓蒙活動にかかっているのではないでしょうか？
※PCを初期状態に戻す（ベンダー配布のリカバリーCD/DVD使用）と、しっかり脆弱性のある JRE が戻ってきます・・・・

微妙に続く
----------
曽根崎・・・
「Yahoo!占い」の一部ページが改ざん被害 （Gumblar.x）
これらは今騒ぎになってる”ガンブラーウイルス”とは別物です。

世間一般では

なのですね・・・

そういえば、ディズニーの感染例も Gumblar.x でしたね
Gumblar.x の Injectorは現時点では動作停止していますので、「Infectorによって感染されるだけされて放置」というなんともかわいそうな状況になっています。
正確に言えば、複雑なヒエラルキーを持っているGumblar.xシステムの中間リングが機能中止しているだけで、感染ノードに対して別のInjectorからの指令ネットワークが再構成されれば、明日にでも復活する性質のものでもあります。
CKu.dat555 結果: 36/41 (87.80%)
さすがに、こんなのに感染するような環境の人は根本的に問題がありますね・・

NoScriptのWhitelistを見直し
KAI君のとこ（笑）は心中相手にはちょっと・・・

ただ、SoftBankを擁護するわけではありませんが、コンテンツ囲い込みのためにサイトそのものが肥大化し、自社のセキュリティ・ポリシーに則っているかどうか？確認することさえ困難になっているのでしょう。
うちの会社に「今回のガンプラの件は大丈夫ですか？」と問い合わせてきたのはわずか1社だけでした（笑）

----------
Virus/Malwareの名称
Consistent Computer Virus Malcode names
via
Malware threat reports fail to add up

前からいってる話ですが、なぜウィルス・マルウェアの名称統一をしないのか？
答えは簡単～
他社との連携が取れて無いから、取るつもりもないからです。
引き合いに出されている(DHLを装ったspam添付のzip)マルウェアはこんな感じ
DHL_Print_label_23974.zip 結果: 27/41 (65.85%)
これはまだ良い方です。少なくともシグネチャは BredolabとWin32/Kryptikしか見かけませんので・・
一番有名な名称不統一は Conficker, Downadup, Kidoでしょう。

こうした問題の解決の一助として、IE3内に Industry Connections Security Group (ICSG)が設立されたわけですが、実際には何もやってないような印象を受けます。
マルウェア対策の業界連合がIEEE内に設立
というわけで、今後も乱立・混乱したウィルス・マルウェア名称が飛び交う事態が続いていくのでしょう。
GENO、Gumblar、ガンブラーなどはそうした混乱のメビウスの輪から派生したものです。

参照：
The Game of the Name -- Malware Naming, Shape Shifters and Sympathetic Magic
だから、この時期にPDFでレポートを出すのは KY! って言われますよ・・・

----------
SMBは先送り
そういえば、今月のPATCH BLACK TUESDAYは、墓場に片足突っ込んでいる Win2k のみというアナウンスがありましたが・・・
January 2010 Bulletin Release Advance Notification
I also want to proactively point out that we will not be addressing Security Advisory 977544 (Vulnerability in SMB Could Allow Denial of Service). We are still working on an update for the issue at this time. We are not aware of any active attacks using the exploit code that was made public for this vulnerability and continue to encourage customers to follow the guidance in the advisory which outlines best practices to help protect systems against attacks that originate outside of the enterprise perimeter.
まぁ、MetasploitがPoCを（挑発的に）出したにもかかわらず、いまのところ攻撃が実施されている雰囲気はありませんからね・・

このへんの匙加減は、運にもよるのかもしれません（CVE-2009-4324とは対照的です）

----------
炉
155 zeus/wsnpoem,fastflux domains
fast-flux, zeus, other trojan and malicious domains. Sources include www.malwaredomainlist.com, malwareurl.com, atlas.arbor.net and others:

----------
Domino
IBM Lotus Domino Web Access Unspecified Vulnerabilities 2
Apply Cumulative Hotfix Pack 229.261 for Domino 8.0.2FP3:
8.0.2.3 Lotus iNotes (DWA) 229.261 Cumulative Interim Fix

----------
ロボ！
Firefox 3.6 RC1がリリース
各所既報だが、Firefox 3.6 RC1がリリースされた。本記事執筆時点で、オフィシャルなアナウンスはまだ出ていないようだ。Firefox 3.6の最初のリリース候補版にあたる本バージョンは、Mozillaの慣例に従い、目立った問題がなければそのまま正式版となる。問題があるようなら、 RC2、RC3……と定期的にアップデートされていく。

このロボの名前が知りたいのは私だけ？（笑）

----------
Nexus One
Googleの無料空港Wi-FiはNexus Oneの宣伝手段だった
というか当然でしょうに（笑）
まぁ、なんでもかんでも無料でやってきた Google の印象が強かったのかな？

「Nexus One」の先にあるグーグルの構想--携帯電話販売方法の変革

ていうか・・なぜ Docomo に来ないの（泣）

----------
IT業界の勤労モラル水準は低い？
IT業界の勤労モラル水準は低い？

低いですね（自己診断）
こんなこと毎日（3-4時間も）やってて、勤務時間内は、ぼーっと仕様書を眺めていることが多いかな～
繰り返し作業をやってるわけではないので、見た目のモラルが低いといわれれば「へへ～どうもすみません」と平身低頭するしかない今日この頃。
上司が見ていませんように！

----------
| 1263067216 | B | [goog-black-hash 1.48455 update]
| 1263067202 | M | [goog-malware-hash 1.18518 update]
| 310470 | +3861(306609)
| 1222926 |
orz...

Googleセンセへの通報先はコチラ：
スパム レポート
その他：「Malware」 でどうぞ
EoF

[Notice]
メンテナンス・障害情報:www2,www4サーバのメンテナンスのお知らせとお願い（01月11日11時～18時予定）
となっておりますが、今日既に1度ダウン状態になりましたので、また堕ちるかもしれません。

移転先募集中（泣）

----------
風邪の日
寛政7年(1795)旧暦1月9日、横綱谷風梶之助が風邪（インフルエンザ）で亡くなったことに因む。「タニカゼ」というインフルエンザの俗称は、当時、谷風関が「土俵上で儂を倒すことはできない。倒れているのを見たければ儂が風邪にかかった時に来い」と語った（天明4年頃）ことに由来している。
クイズの日、とんちの日
一休さん（一休宗純）[いっ（1）きゅう（9）]

----------
泣きの一手
7三と
シマンテック、Amebaのウイルス問題で「ノートン」90日体験版を無料配布
シマンテックは、ブログサービス「Ameba」のキャンペーンで配布したブログパーツが改ざんされ、閲覧者をウイルスに感染させていた可能性があることを受け、感染の可能性があるユーザーにセキュリティソフトの90日体験版を無料提供する。
ふむふむ・・太っ腹ですね～

404

・・・・・・・・

追記：
Norton Police City in Ameba キャンペーン -- ブログパーツ改ざんに関する対処方法のご案内
なお、株式会社シマンテック様にて今回の件で影響の可能性のある方を考慮され、特別に、90日無償版の「ノートン インターネット セキュリティ2010」 をご用意していただきました。2010年1月12日より下記よりダウンロードが可能ですのでご利用ください。
ちょっと早かったカナ

----------
後手
6三香成
Web サイト改ざんに関する情報提供のお願い
インシデントの届出 (Web フォーム)
必須

検体提出も可能のようですね。

とりあえずはコレでも貼っておきますか？
ビングレ with "*/ try{window.onload"
※BINGは半角 * をキーワードで検索可能

残念ながら、このパンデミック状態で、1個1個感染ノードを潰していくしかないのが現状です。

先手であれば、去年の5/19の martuz.cn テイクダウンの時にこういう措置＋プラグイン等アップデートの徹底的な周知をやっておけば、ここまで感染拡大することは無かったでしょうに・・・・

放置によって汚染が拡大していく様子は
ウィルス感染サイト報告：さまれぼ！
をごらんになれば一目瞭然です。

JPCERT/CC、Web サイト改ざんおよび Gumblar ウイルス感染拡大に関して注意喚起

続く
----------
負の連鎖
サイト改ざん(1)「告知せず」で感染拡大の恐れ～負の連鎖を断ち切るために

凄惨な状況ですね：：
サイト改ざん(2)ハウス食品、民主党、ローソンなど被害サイト23の改ざん状況

8080のことが言及されていますが、so-netさんは既に去年の7月の段階で、この事態の警告を発しています。
その後の正規サイト改ざん〔後篇〕(3):新たな攻撃手法～「新Nine Ball」「8080」-- 2009.07.02
セキュリティベンダーがまだ命名していないので、ここでは便宜的に8080攻撃と呼ぶことにする。編集部では、この攻撃を6月初旬から観測しているが、見るたびに誘導先が違うほど大量のドメインをとっかえひっかえ使用。編集部が把握しているだけでも、約200のドメインが現在も稼働し続けている状況だ。大半はCN（中国）だが、最近はIN（インド）やPL（ポーランド）、RU（ロシア）、AT（オーストリア）などもチラホラ見受けられる。

　 Googleのセーフブラウジングの診断では、個々のドメインの汚染度は多いものでも3000程度だが、なにせ数が多いので総計は6万を超える。再改ざんによる重複が多数あるとは思うが、Gumblar以来の規模ではなかろうか。今のところまだ国内サイトの被害は見つかっていないが、海外サイトの日本語ページが改ざんされている例はあり、1日付のウェブセンスの記事では、人気の高いファイル共有ソフトTorrentの総合サイト「Torrent Reactor」も改ざん被害にあったという。

　使われている個々のドメインには、欧米のサーバー5基が1セットで登録されているが、全てのドメインが同じセットで動いているので、攻撃サイトは実質5基。早いサーバは1日で入れ替わるが、長いものは20日間以上使用されており、ボットネットの攻撃に見られるような短時間で入れ替わって行く、いわゆるFast-Fluxではない点がまだ救われる。
via
Torrentreactor Website compromised -- Date:07.01.2009

要するに、この時期のものがアップデートして戻ってきただけであって、根本は何も変わっていません。

更に続く
----------
8080（去年7月から仮称）
現在の状況：
インジェクション　/*LGPL*/

使用されている攻撃ドメインとそのURL文字列：
search : obfuscated iframe
blogcatalog-com.google.ie.google-co-jp.webnetloans・ru:8080/yandex.ua/yandex.ua/google.com.tw/google.com/robtex.com/
boston-com.symantec.com.cocolog-nifty-com.worldwebworld.ru:8080/msn.ca/msn.ca/iwiw.hu/google.com/yoka.com/
cbssports-com.shinobi.jp.gamer-com-tw.webnetenglish・ru:8080/foxsports.com/foxsports.com/google.com/statcounter.com/getiton.com/
google-com-sa.plala.or.jp.last-fm.webnetenglish・ru:8080/google.com/google.com/pchome.net/wrzuta.pl/careerbuilder.com/
immobilienscout24-de.zshare.net.ebay-com-au.worldwebworld・ru:8080/hudong.com/hudong.com/biglobe.ne.jp/google.com/wrzuta.pl/
iza-ne-jp.persianblog.ir.seriesyonkis-com.webnetenglish・ru:8080/google.com/google.com/yallakora.com/sabah.com.tr/orange.fr/
kohls-com.ibm.com.corriere-it.worldwebworld・ru:8080/yimg.com/yimg.com/google.com/jugem.jp/ebuddy.com/
meinvz-net.fifa.com.feedburner-com.thechocolateweb・ru:8080/hatena.ne.jp/hatena.ne.jp/ggpht.com/xinhuanet.com/google.com/
orbitz-com.yaplog.jp.tube8-com.webdesktopnet・ru:8080/google.com/google.com/dell.com/myfreepaysite.com/orkut.com/
petardas-com.sitepoint.com.yomiuri-co-jp.carswebnet・ru:8080/realitykings.com/realitykings.com/4shared.com/google.com/ifeng.com/
rottentomatoes-com.google.com.gazzetta-it.thelaceweb・ru:8080/google.com/google.com/dion.ne.jp/anonym.to/playstation.com/
seznam-cz.hsbc.co.uk.kakaku-com.webnetenglish・ru:8080/google.com/google.com/marca.com/allabout.co.jp/iza.ne.jp/
southwest-com.mapquest.com.secureserver-net.guidebat・ru:8080/tigerdirect.com/tigerdirect.com/google.com/uploading.com/yaplog.jp/
stern-de.linkhelper.cn.wikipedia-org.carswebnet・ru:8080/irctc.co.in/irctc.co.in/yaplog.jp/ovguide.com/google.com/
travelocity-com.google.co.za.vnexpress-net.xboxliveweb.ru:8080/google.com/google.com/robtex.com/slickdeals.net/fc2.com/
wiktionary-org.ameba.jp.freeones-com.thelaceweb・ru:8080/bu520.com/bu520.com/businessweek.com/scribd.com/google.com/
xici-net.infoseek.co.jp.wellsfargo-com.thelaceweb・ru:8080/google.com/google.com/sponichi.co.jp/megaclick.com/ipicture.ru/
2ch-net.topshareware.com.gmodules-com.webnetlender・ru:8080/exbii.com/exbii.com/biglobe.ne.jp/voila.fr/google.com/
ggpht-com.news3insider.com.sponichi-co-jp.superore・ru:8080/imdb.com/imdb.com/newegg.com/multiply.com/google.com/
geocities-jp.depositfiles.com.reuters-com.johnsite・ru:8080/en.wordpress.com/en.wordpress.com/ca.gov/google.com/craigslist.ca/

という感じでかなり日本にターゲットをシフトしている様子。
それだけガードが甘いと見られたのか、おいしいと思われたのか・・・

改ざんコードのライセンスを『/*GNU GPL*/』から『/*LGPL*/』へ変更
チェッカーを走らせてたすべてのサイトのコードがキレーにすげ変わってちょっと驚きました。（＾＾;

Gumblar.x vs 8080の宿命の対決（何か間違ってる）の関連話は
ガンブラーウイルスについての誤った情報にご注意ください。
を参照してください。
誤解とその危険点がよくわかります。

もうちょっと続く
----------
8080≒ZeuS?
by Symantec(US):
New Obfuscated Scripts in the Wild: /*LGPL*/
The final payload includes malware like Trojan.Bredolab, Downloader.Fostrem, and Trojan.Zbot, along with security risks such as PrivacyCenter and a number of other misleading applications that may be detected as Trojan.FakeAV. It's important to keep your definition files up-to-date as these files are frequently being updated.

xin765.comの攻撃って、WoWのInfoStealerだったかなぁ・・？
インジェクション
xin765.com 2009-07-04
Up to 55k Compromised by Potent Backdoor/Data Theft Cocktail
a0v・org/x.jsの流れを汲むと？

なんかありとあらゆるBotnet系がゴチャゴチャにされてるような・・・
さてはて？

----------
いつか来た道・・・
Office.Microsoft.Com Search Results Can Lead To Rogue Anti-Virus
Office.Microsoft.Comの検索結果が "Office.Microsoft.Com"のリダイレクションを使っているため、一見 Microsoft.comからの正規リンクに見えてしまう・・・っと

results on office.microsoft.com can lead users to a Rogue AV page.
リダイレクトされる先の Rogue AV(FakeAV)
Setup55530_2045-10.exe Result: 1/41 (2.44%)

googleにも昔ありましたね・・
Google SERPs Redirections Turn to Bots

----------
ZeuS attack against OWA
Targeting OWA users - A report from the Mailbag
We are informing you that because of the security upgrade of the mailing service your mailbox (targeted.user@our.org) settings were changed. In order to apply the new set of settings click on the following link:
httx://our.org/owa/service_directory/settings.php?email=targeted.user@our.org&from=our.org&fromname=targeted.user
Best regards, Our.org Technical Support.
ウチ宛にはまだ来てないなぁ・・残念（何が！？）

settings-file.exe Result: 16/41 (39.02%)

----------
すっかり忘れてましたよ・・
Security Bulletin - Adobe Illustrator CS4 and Adobe Illustrator CS3

Security updates available for Adobe Illustrator CS4 and CS3
なんか手順がカナリうっとおしいのですが、ユーザの方は手を打っておきましょう。

Adobe Illustratorのアップデート公開、深刻な脆弱性を修正

----------
まただ・・
VMware Releases Multiple Updates for ESX
[Security-announce] VMSA-2010-0001 ESX Service Console updates for nss and nspr
ESX 4.0 ESX ESX400-200912403-SG
セフセフ・・

4.0ESXの方はご愁傷様・・じゃなかったアップデートの準備をしましょう（笑）

----------
Microsoft Silent January
2010年1月13日のセキュリティリリース予定 (定例)
小野寺です。
本年もよろしくお願いいたします。
ことしもよろしくお願い致します。

余談ですが、今月のBulletin1は、「緊急」評価ですが、これはWindows 2000のみが緊急で、他の影響を受けるソフトウェアは、「注意」となっています。 Windows 2000も今年の7月でサポートを、いよいよ終了しますが、セキュリティインテリジェンスレポートでもまとめていますが、OSのバージョンの新旧による脅威の差が出ている一例なのかと考えてしまいます。
WindowsXP RTMって・・・まだ使ってる人いるのか・・・

2000SP4が意外と低いのは、そもそも妙なコンポネンツが動かないから・・・

----------
768RSA DOWN
768-bit RSA cracked, 1024-bit safe (for now)
768bitRSAの鍵が破られましたとさ～
768-bit RSA moduli can no longer be recommended." 1024-bit values should be good for a few years still.
あと数年・・・

この研究にはNTTのKazumaro Aoki氏も共同寄稿されています。
Factorization of a 768-bit RSA modulus

----------
Adobeの通ってきた道・・

Security bulletins and advisories

----------
ZIPでくれ
ダウンロード違法化、どこまで合法？　福井弁護士に聞く
Q10：２ちゃんねるなどの掲示板では、画像などをまとめて全部欲しいというユーザーが「ZIPでくれ」などと書き込むことがあります。音楽や映像のファイルをまとめたZIPファイルのリンクが掲示板に貼られて、それをダウンロードした場合は違法？
A10：まず、「ZIPでくれ」というのは、そもそも違法なアップロードを依頼しているという意味で、「教唆行為」と見なされる可能性があります。ZIP ファイルをダウンロードする行為については、誰でもダウンロードできる状態に置かれたケースであれば、違法ファイルと知りながら行えば、違法です。

----------
| 1262980807 | B | [goog-black-hash 1.48383 update]
| 1262980802 | M | [goog-malware-hash 1.18495 update]
| 306609 | -735(307344) もうちょっとで30万を切る！
| 1215616 |
EoF

平成スタートの日 1989年、昭和天皇の崩御、皇太子明仁親王の皇位継承
当時、故小渕恵三総理が掲げた「平成」の額を記憶している人は多いかな
外国郵便の日 1875年、日本初の郵便条約がアメリカと結ばれた。
正月事納め (正月の終わり)
3学期の始業式 でも明日から3連休（笑）

----------
坂道を転がり落ちるように
Pre-Notification - Quarterly Security Update for Adobe Reader and Acrobat
the upcoming Adobe Reader and Acrobat updates scheduled for January 12, 2010.
と、Adobeがのんびりパッチを作成している間に事態はどんどん悪化しています。

Static analysis of malicious PDFs
While we are still waiting for the patch and the malicious PDFs which exploit CVE-2009-4324 become more and more nasty
このMalformed PDF はペイロードを自分自身の中からドロップするため、バッファオーバーランの後にShellcodeでwgetする必要がありません。

Backdoor:Win32/Poison.A [Microsoft]
not-a-virus:RemoteAdmin.Win32.PoisonIvy.20 [Kaspersky Lab]
いや・・notじゃないとおもう・・

接続先：
cecon・flower-show・org as 202.150.213.12
NEWMEDIAEXPRESS 過去暦のあまりないASなので注意が必要です（

PART2:
Static analysis of malicous PDFs (Part #2)
PDFのMalcodeのチェックはWepawetを使うことが多いのですが、今回のタイプは検出できません。
But given that more and more users no longer reboot their PC, and just basically put it into sleep mode between uses, the bad guys do not really need to strive for a persistent (on-disk) infection anymore.
多くのAVは再起動しないと挙動検知できず、一般ユーザの多くがあまり再起動せず（Sleepで）恒常的に電源が入った状態で使用しています。
この問題解決の方法はあるのでしょうか？


IDApro Disassemblerを使った検証：
PDF file loader to extract and analyse shellcode

Unpatched Adobe Vulnerability Is Still Being Exploited in the Wild
TROJ_PIDIEF.WIA :solution
Step 3: Disable JavaScript for Acrobat and Adobe Reader
Detectしても実行阻害できてないような？

----------
セキュリティ･ベンダーの名称不統一問題
一般紙やメディアが 8080系と Gumblarを混同してるのは、この際ショウガナイのかもしれませんが、セキュベンダーがコレでいいんでしょうかね？

急増するサイト改ざんとGumblar感染、対策の速やかな実施を
HTMLファイルや外部.js（JavaScript）ファイルに「/*GNU GPL*/ try」や「＜script＞／＊CODE1＊／try」（＜、＊、／は半角）といった不審な文字列が追記されていないかを確認する
ふむふむ・・

TSPY_KATES.SMOD
67.215.238.194
マテ・・・
こっちは確かに Gumblar.x ですが・・・
トレンドマイクロが2009年の不正プログラム動向を総括
トレンドマイクロは1月7日、不正プログラムの傾向と対策をテーマとした報道向けセミナーを開催した。
（中略）
これに対して同社は、まずFTP接続時の認証を強化し、電子証明書など、ベーシック認証以外の手段を採用することを対策として挙げた。ただ、「こうした手段が浸透すれば、今後は証明書を盗み出そうとするウイルスが登場するだろう。そう考えると認証の強化は、一時的な対策にしかならない。より根本的には、アクセスコントロールを確実に行うことが必要だと考えている」（同氏）。もちろん、Webアプリケーションの脆弱性を修正するなど、それ以外にも対策を取るべき項目は多いという。
もうぐちゃぐちゃ・・・

「電子証明書を使ったFTP認証」って、要はFTPSの話なんでしょうか？ 証明書を盗むとかイミフメイすぎます。そもそも、Gumblarも8080(QuickSilver)もFTPクライアントのコンフィギュレーションファイルを盗む機能が指摘されているので、SSL Certなんか見向きもしないと思います。また、アクセスコントロールは定められたIPアドレスのみしか Uploadを許さないって話であって、そんなものサーバーを自社運用しているWeb系会社はどこでもやってると思っていたのですが、私の認識と世間一般はひょっとしたらかなり乖離しているのかもしれません。

別記事：
「ガンブラー被害を食い止めるには？」---トレンドマイクロが不正プログラム動向を報告

新ウイルス Gumblar（ガンブラー/別名 GENO）にご注意ください -- 2010.01.05更新
コレなんか、Kasperskyが意図的にやってるのか、浮川夫妻のいなくなった Justの暴走なのか知りませんが、意図的なミスリードであり、少なくともセキュ会社がやっていいことじゃない気がします。
※本家Kasperskyを弁護しておきますが、Gumblar.xに関する最大のエキスパートは間違いなく Kasperskyです。
The Gumblar system

Nortonは今回は沈黙するしかなさそうですね（苦笑）
そろそろブログパーツはやめた方がいいんじゃね？


今回の Gumblar.x, 8080の台頭は、どうみても AdobeやJavaの脆弱性放置が原因であって、もっというならバッファランした後デフォルトでDEPを有効にできない Windows XP あたりの根源的問題だと思っています。


Windows7を安く提供すればいいだけなんじゃない？ > バルマー先生


更に続く
----------
再掲：
急増するサイト改ざんとGumblar感染、対策の速やかな実施を
HTMLファイルや外部.js（JavaScript）ファイルに「/*GNU GPL*/ try」や「＜script＞／＊CODE1＊／try」（＜、＊、／は半角）といった不審な文字列が追記されていないかを確認する

は

/*LGPL*/
に変更されています（苦笑）

今日のラウンドロビン：
themobilewindow・ru. 424 IN A 62.75.218.192 PLUSSERVER themobilewindow・ru. 424 IN A 91.121.49.129
themobilewindow・ru. 424 IN A 91.121.142.111
themobilewindow・ru. 424 IN A 94.23.14.110
themobilewindow・ru. 424 IN A 94.23.206.229
下の４つは調べるまでも無く OVH(AS16276) ですね（苦笑）

----------
もうそんな時期
Microsoft Security Bulletin Advance Notification for January 2010
January 12, 2010
Critical 1 のみ

Microsoft planning quiet Patch Tuesday this month
静かです・・・

というかAdobeの日と一緒ですから、そっちのほうが重要です。

----------
PowerDNS

1und1で採用されていることで微妙に有名な PowerDNSですが・・・

Critical security update for PowerDNS Recursor
PowerDNS Recursor Spoofing and Buffer Overflow Vulnerabilities 4
Update to version 3.1.7.2.

セキュリティホールの多かった BINDから乗り換えということで喧伝されてきた PowerDNSも、DNSSECの本格導入を前に躓いてしまいました。
がんばれ！　逆境に負けるな～！

第1回　RDBMSが使えるPowerDNS

----------
Googleスパイウェア！？の翻訳
Researcher exposes Google spyware connections
昨日ナナメ読みして投げた記事の翻訳：
グーグル、スパイウェアプログラムメーカーWhenUを断ち切れず--研究者が明らかに

なんだ・・ポップアップが嫌い（二重課金）なだけの話だったのか・・
Edelman also called on the search marketing giant to pay restitution to affected advertisers.
とかかかれてたので大事なのかと思ってしまいました。

----------
Juniper JUNOS
大型ネットワーク機器のもう一方の雄、Juniper(JUNOS)にもなにやら暗雲が・・・
Juniper routers may crash on certain malformed packets
Juniper JUNOS routers can be crashed or made to reboot with easily spoofed malformed packets.

IOS(Cisco)が落ち着いてきたかと思えば・・・

JUNOS (Juniper) Flaw Exposes Core Routers to Kernel Crash
JUNOSは触ったことすら無いので詳細はなんとも・・
Affected Devices がかなり多いです。

参考：
勝者はどっち！？ 激闘！ シスコ IOS×ジュニパー JUNOS スイッチ／ルータは搭載OSで比較せよ！

----------
時間切れ：その他

2010年は「サービスとしての犯罪（CaaS）」が本格化--フォーティネット脅威予測
参照：
CaaS、MaaS


Western Union を騙るスパム ２
westernunion.comの偽サイト -- Jan 07

そういえば、そろそろ
Open season on tax-payers
USのTax Seasonでまた増えそうです

Rootkit:
Some Observations on Rootkits
Win32/Rustock
かなり古いタイプのものですね。
Gumblar/Daonal/KATESなんかも挙動的にはrootkitsにあたると思うのですが、まだまだ正確な解析が出てきません。

チェックしておきたいぜい弱性情報＜2010.01.07＞

［CG］iFixItがNexus Oneを恒例のバラシ
もう解体ですか・・・

----------

：最近またドクが強くなってきたといわれてちょっと反省：

----------
| 1262894414 | B | [goog-black-hash 1.48311 update]
| 1262894402 | M | [goog-malware-hash 1.18473 update]
| 307344 | -1091(308435) さらに漸減中
| 1212467 |
EoF

え？　マジだったのコレ（笑）
ブログパーツ改ざんに関する報告とお詫び
弊社「Ameba」にて提供しているブログパーツにおいて、外注先が運営管理するサーバーに改ざんが確認され、当該期間に改ざんされたブログパーツを閲覧された方に、ウィルス感染の可能性があることが弊社の社内調査で判明いたしました。

「Norton Police City in Ameba」容疑者捜査ブログパーツ　該当のブログパーツは1月6日より利用停止としております。（「Norton Police City in Ameba」キャンペーンは2009年12月9日に終了しております。）

※株式会社シマンテックおよび株式会社ワタナベエンターテインメントは、本件ブログパーツの作製・管理に関して一切携わっておりません。両社に、ご迷惑おかけしたことを重ねてお詫びいたします。

あ～あ～あ～

Amebaのブログパーツ「ノートン警察」閲覧者にトロイの木馬感染のおそれ
Amebaでは1月1日、芸能人ブログ450件のパスワードが流出しているほか、昨年12月には「Amebaなう」でクロスサイトリクエストフォージェリ（CSRF）の脆弱性を突かれた問題が起きるなど、セキュリティ関連の不祥事が続いている。

最初メールで一報もらったとき、さすがに野呂圭介さんがプラカード持って出てくるような印象だったので放置してたのですが・・・

Nortonセンセイも泣いてますよ、きっと・・・

現時点ではどのインジェクションだったのかは不明ですが・・・・

----------
8080とGumblar
Gumblarとガンブラー
ほぼ、その通りなのですが、8080系がもっとも厄介なのは、感染＝Security Tool では無いという点でしょうか？

8080系に感染すると、MultiDropperという系統のダウンローダを埋め込まれます。
これは環境の構成により、C&Cからの遠隔操作で様々な悪意ツールを自由自在に出し入れさせられることになります。

特定のFTPクライアントの全環境ファイルを抜き取られ～
FTP送信の形跡があれば、それを抜かれてサーバーを悪用され～
あるときはメールサーバ化してspamの送信元になり～
明くる日はDDos攻撃に加担し～
偽セキュソフトを入れられてクレジットカードをスキミングし～
（これをスキミングと呼ぶかどうかは微妙ですが・・）
パケットスニファを入れて別のPCの通信の監視も行い～

と殴られ放題のサンドバッグ状態になってしまいます。

また、rootkit的な性質をもっており、いくつかのファイルを不可視にしたり、レジストリの痕跡を隠したりもしているようです。

さらに、バッファ・オーバーランを悪用したdrive-by-download は本来ならば、Vista以降のASLR機能によって緩和されていたはずなのです。

しかし今回、JavaJRE (CVE-2008-5353) の悪用により メモリマップのNXビット保護が関係なくなり、UAC回避（なんでもかんでもOKを押す人）されてしまえば、Vista/Win7 も攻撃に晒されることになってしまいました。
※厳密に言えば Windows7 の場合は自分で脆弱性のあるバージョンの JRE を入れない限り大丈夫です。

このへんが、8080/GNU GPL の爆発的な感染拡大につながったのではないか？と推測されます。

ガンブラーウイルスについての誤った情報にご注意ください。

----------
8080系の名称候補として

QuickSilver
命名： Unmask Parasites
Quicksilver Malware Network -- 2009.09.17
※この頃は "rncsys32.exe" を使用していた

というのがあります。

あまりにカッコよすぎるので、個人的にはイヤなんですがね～（笑）

あるいは・・
nginxの8080portリバースプロキシを使っているので、nginx インジェクションでもいいかもしれません（笑）

ウチの周辺では
Java JREと JR east をカケて JRE8080 と呼ばれていますが・・

----------
BTW.....
/*GNU GPL*/、/*CODE1*/ の次は
/*LGPL*/
だそうです・・・

----------
EoF

----------
[possible IN ZERO DAY]
Possible new MySQL 0day
Intevydis has published a flash video showing what appears to be a new 0day exploit against MySQL 5.x. The demo(SWF) is for a new exploit included in their VulnDisco exploit pack for CANVAS. The demo shows as running against 5.0.51a-24+lenny2 but the description appears to be "MySQL 5.x Exploit" which suggests it may work against other versions as well. Current versions for MySQL are 5.1 (recommended) with a 5.5 release available.

Possible:shellcode実行
(uname コマンドが実行されてしまっている)

現時点で mitigare の方法がわからないため、注意喚起しかできません。
このPoCでは 5.0.51aとなっていますので、緩和できるかどうかわかりませんが、現行安定板の 5.1 へのアップデートを行いつつ情報収集を怠らないようにしましょう。

参考：(about Immunity)
侵入検知システムの開発元Immunity、SMB2脆弱性を突くリモートエクスプロイトを開発
2008年頃のCTOの様子：
続報 DefConの変化に見る、米セキュリティ事情の変貌(2)

----------
七草粥

名前	現在の名前	科名
芹（せり）	セリ	セリ科
薺（なずな）	ナズナ（ぺんぺん草）	アブラナ科
御形（ごぎょう）	ハハコグサ（母子草）	キク科
繁縷（はこべら）	ハコベ(蘩蔞)	ナデシコ科
仏の座（ほとけのざ）	コオニタビラコ（小鬼田平子）	キク科
菘（すずな）	カブ（蕪）	アブラナ科
蘿蔔（すずしろ）	ダイコン（大根）	アブラナ科

人日の節句
爪切りの日
新年になって初めて爪を切る日ともされ、七草を浸した水に爪をつけて、柔かくしてから切ると、その年は風邪をひかないと言われている。
千円札の日
1950(昭和25)年、初めて千円札が発行された日とされる。実際には1945年（昭和20年）に1000圓紙幣が発行されていたが、その流通数のあまりの少なさから「幻の1000円紙幣」と呼ばれることもある。
クリスマス(東方正教会など）
Рождество Христово！

----------
ガンブラー
激しく違和感のある呼び名ですが・・
朝TVを付けたら、白髪のアレゲな人が「ギャンブラーかと思った」とか言ってて、ちょっとわらいました。
しかし、その後ゲスト・コメンテーターのような人が「アップデートするとお金取られたりするんですよね～」とか言ってて失笑。
公の電波に乗せるのに、その程度の裏取りでよくもまぁ・・

今回の脆弱性攻撃でお金がかかるのは唯一
Microsoft Update
だけです（笑）
※正規の Microsoft ソフトウェア

だから、Gumblarじゃなくて 8080系だっての・・・といいつつ続く
----------
8080 Sprinkler wash over

8080
民主党もですか・・赤っ恥もイイトコですねぇ・・
いろいろ
追記
元栓が無いからどんどん浸水していきそうです。

search: dibs@freemailbox.ru
単発がイイ！という方はこの辺のIPを塞いで置いてください（キリないですが）

しかし、このテのInjectionに素早かったScanSafeが最近沈黙してますね・・
Cisco的に、こーいうネタはNGなんでしょうか？

で、その元栓を握ってるはずの・・
----------
忘れないで　あなたのそばの黒い影　対策一つで白い光へ
だから何の標語だ！？
ANS:
コンピュータウイルス・不正アクセスの届出状況[12月分および2009年年間]について

ウェブサイト利用者側の対策
・アプリケーションソフトの脆弱性（セキュリティホール）を解消しましょう。
（ご参考）
「JVN iPedia脆弱性対策情報データベース」（Japan Vulnerability Notes）
http://jvndb.jvn.jp/
・ウイルス対策ソフトのパターンファイルを常に最新の状態に更新して、ウイルス検知機能を常時有効にして使用しましょう。

そんだけかい！？

もう so-net に業務移管してしまえ！

とか思ったのは内緒にしておきましょう。

せめて Adobe (Acrobat) ReaderのJavaScript KILL の話くらいは入れて置いてください。

2009年のウイルス感染の4大脅威から学ぶべし――IPAが呼び掛け

----------
Firefox update
Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.7 にはセキュリティ問題の修正は含まれていません。

Firefox 3.5.7と3.0.17が公開　安定性の問題を修正
なお、3.0.xの更新は2010年1月までの予定で、同バージョンのFirefoxユーザーに対しMozillaは3.5へのアップグレードを強く勧めている。

Firefox 3.5.8 / 3.0.18のリリース日が2月16日に変更
この予想が正しければ、Firefox 3.6のリリースは1月19日あたりになりそうだ。

長かったですねぇ～

----------
あなぼっこ vol2

Movable Type には、アクセス制限回避が可能な脆弱性が存在します。
なお、本脆弱性は JVN#08369659 とは異なる問題です。
[重要] セキュリティアップデート Movable Type 5.01 および 4.27の提供を開始
Movable Type Unspecified Security Bypass 2

LightOpenCMS "cwd" File Inclusion Vulnerability 4
Unpatched
Edit the source code to ensure that input is properly verified.
Set "register_globals" to "Off".
参照：コア php.ini ディレクティブに関する説明 : register_globals

flashget 3.x IEHelper remote exec 0day poc
FlashGet -- Amaze Soft
Version:3.3 Date:2009.12.23

----------
その他

Researcher exposes Google spyware connections
Google謹製スパイウェアの存在とその挙動？
斜め読みではよくわかんなかったので詳報待ちです。

Researchers Infiltrate Storm Botnet Successor
In an undercover mission to learn more about the size and scope of the son of the infamous Storm botnet, Waledac, German researchers have discovered the spamming botnet is much bigger and more efficient than previously thought.
Walowdac { Analysis of a Peer-to-Peer Botnet
Taking into account that we monitored at least 10,000 bots online at any time of day, gives Waledac a spam capacity of
6,500×24×10,000×0.2532 ＝ 394,992,000
delivered mails per day.
もう、許して（苦笑）

Data Doctor 2010 encrypted files: we have a tool for that Data Doctor 2010というランサムウェア（勝手に暗号化して脅迫する偽セキュソフト）の対応方法

WASC Threat Classification to OWASP Top Ten RC1 Mapping

壁紙 - 回顧展
こんなのより、フィンランドの風景写真のほうがイイナ（とか希望してみる）

Denial of Service Attack Aftermath (and what did Iran have to do with it?)
イランのDDoS攻撃の余波と、何が重要だったのか？
These unprotected FTP accounts got used to upload a malicious ASP script, which was then used to attack our site.
結局根っこは Gumblar/8080と一緒・・・
日本での窃取アカウントもこういう国際テロに悪用される可能性もあります。
何しろ、「一番安全なアドレス」ですからね～
2990 -- 09:20

----------
| 1262808016 | B | [goog-black-hash 1.48241 update]
| 1262808002 | M | [goog-malware-hash 1.18452 update]
| 308435 | -1846(310281)
| 1210004 |
更に漸減：300,000を切るのか！？

mysql> select version();
+-----------+
| version() |
+-----------+
| 5.0.77 |
+-----------+
1 row in set (0.03 sec)
うう（；；）
EoF

六日年越し
正月七日を「七日正月」といい、その前日を年越しとして祝う。
東京消防出初式（出初式）
公現節(Epiphany)／公現祭／主顕節／顕現節
色の日 [い(1)ろ(6)]

----------

世間で騒ぎになったときほど、淡々と進行しなければなりません。
さすがにMS-IME程度には学習したつもりです（笑）
うちのようなサイトは打たれ弱いので、前回のようなことはもうコリゴリですよ

----------
赤信号も改ざんも
みんなといっしょなら怖くない？

そんなわけない

Hot Searches : ガンブラー
ピーク: 14 時間前
なんか日本語で書かれると違和感あるんですが・・・

ガンブラーウイルスが猛威…ＪＲ東サイトも改ざん
原因はＧｕｍｂｌａｒ（ガンブラー、別名「ＧＥＮＯウイルス」）というウイルスで、１０月ごろから猛威をふるっているものだ。
ここを見てる方々は、「何言ってるんだ？」という内容でしょうが、Gumblar≒GENOは、どうやら Drive-by-Download 攻撃の総称になっているようですね。
読売さんは、ラックさんのアドバイザリを紹介し、Adobe(Acrobat)Readerの JavaScript OFF を呼びかけている点が高評価です。

ＪＲ東など５社ＨＰに新型ウイルス　閲覧者も感染の恐れ
洋菓子のモロゾフのＨＰは今月４～５日に改ざん。「ガンブラーかどうかは調査中」とするが、この間に約３８６０人が閲覧した。
Gumblarか？って言われれば、「違う」って言うしかないわけですが・・

企業ホームページにウイルス
モロゾフによりますと、この間、３７００件のアクセスがありましたが、これまでに感染が確認されたケースはないということです。
悪魔の証明・・・

良い悪いはともかく、世間一般な人の認識はこんなものなんでしょう

続く
----------
神の見えざる手
感染が確認されたケースの無いはずのウィルスが感染拡大しているのはなぜに？

search keyword:
"*/ try{window.onload"
パンデミック・アゲイン

また改竄が増加
検索にひっかからないように .js 内に埋め込むケースも増加しています。
しかも、芸能人のページが混ざってるので、後でどんなことになるのかおおよそ想像がつきますが・・

また、昨日も書いたのですが、現在の PDF exploits は、pdfをウェブブラウザで開かない設定にしていても、pdf内のペイロードに .dll を内封しています。
よって、一旦ローカルに保存し、内部アプリケーションとして Readerを開いても問題なく感染します（いや、問題あるんですがね・・）。
Adobe Readerゼロデイの検出

で・・そのPDFがメールでも飛んできます。
Jan. 5 CVE-2009-4324 Adobe 0 Day [NYTimes.com]Large Oil Spill Reported in China from nytimes2010＠hotmail.com Tue, 5 Jan 2010 04:58:37 +0000

そのうえ、8080系は Java JREの脆弱性攻撃CVE-2008-5353を併用しており、古い脆弱性であるにもかかわらず、成功率が極めて高いと警報が出されています。
Report of Java Object Serialization exploit in use in web drive-by attacks

そして・・（もういいよ）
WindowsのATL / Snapshot Viewer脆弱性も平行利用されています。

これらのどれか1個でも穴が開いている人は、容赦なく攻撃を受け陥落してしまいます。

果たしてこれは「見えざる手」なのかどうかは、誰かが（悪魔の）証明をしてくれるのを待つしかないのでしょう。

いずれにせよ、自分は自分で守るしかないのです。
ガンブラー（Gumblar）ウイルスからパソコンを守る”６つの対策”（無料）

微妙に続く
----------
祈り
murmur - chant - pray - invoke
盗まれたPCを追跡する「Prey」

あの・・
これって、公的バックドアってやつでしょうか？（苦笑）
使い方によって恐ろしいことになりそうな気が・・・

----------
IDN
Web系のプログラムをちょっとでもやってる人は嫌がってる（はず）の 国際化ドメイン名(IDN) ですが・・・

Can IDN Usage Open a Can of Unicode Worms?
一見見た目が一緒でも、UnicodeとASCIIでまったく違うドメインに飛ばされる危険があるとのこと。
当然、フィッシングやり放題ですね。

そういえば、例の(JPRSの)CMが、YouTubeに上がっていました。

----------
FIG
[IN ZERO DAY]
【緊急/重要】FIG(Flash Image Gallery)セキュリティ対策に関するお願い
スタンダード10プランでプリインストールいたしておりました FIG(Flash Image Gallery) に
おきまして、セキュリティホールが確認されております。

これかな
Flash Image Gallery 1.1 and maybe last version -- [2009-05-26]

Secuniaのアドバイザリが無いので、PoCが実証されていなかったのかもしれません。

使用中の方は取り急ぎ使用中止にしたほうが良さそうです。

----------
あなぼっこ

Linear eMerge のマネージメントコンポーネントにおけるサービス運用妨害 (DoS)
Linear eMerge のマネージメントコンポーネントには、認証されていない第三者によって工場出荷時の設定にリセットされる可能性があるという問題が存在します。
ask vendor
Linear eMerge Management Component Security Bypass 2


WordPress Events Manager "event_id" SQL Injection Vulnerability 3
UNPATCHED : Events Manager
Edit the source code to ensure that input is properly sanitised.
※WordPressの古いPlug-insに注意しましょう


Joomla! TPJobs Component "id_c[]" SQL Injection Vulnerability 3
UNPATCHED : TPJobs Component Update (v 1.0.2)
Filter malicious characters and character sequences using a proxy.
※Joomla!のpluginも多いですね。


Dating Agent PRO Multiple Vulnerabilities 3
UNPATCHED : Datetopia＞Free Scripts＞Dating Agent PRO
Edit the source code to ensure that input is properly sanitised.
なんですか、そのいかがわしい名前のソフトは・・？
PROFESSIONAL DATING SYSTEM!
Starting you own dating website may take years of time and thousands of dollars.


Left 4 Dead Stats "steamid" SQL Injection Vulnerability 3
UNPATCHED : Left 4 Dead Stats (Co-op)
Edit the source code to ensure that input is properly sanitised.
ゾンビ～LEFT 4 DEAD Official Web Site


MS-Pro Portal Scripti Database Disclosure Security Issue 3
UNPATCHED : MS-Pro Portal Scripti v1.2
Place the database file outside the webroot.
※Microsoftではありませんので念のため

----------
炉: 2010.0105 DNS-BH
lots of rogue antispyware domains, zeus domains, fake antivirus domains
rogue antivirus domains, fake antispyware domains, and other nasties which will drive your helpdesk staff crazy…
Sources include ddanchev.blogspot.com, www.scanw.com, dnsbl.abuse.ch, and others:
（笑）

----------
NEXUS-ONE
Our new approach to buying a mobile phone
帝國の野望　その・・・えっと・・いくつだ？

Web Meet Phone

Google Nexus One（ネクサス・ワン）ついに発表―TechCrunchが詳細レビューをお届けする

速報：Google Android プレスイベント

さて、第2の黒船（アンドロイドは遊弋中なので）になるのか？

続く
----------
iSlate and Kindle

［CG］アップルタブレットの出荷は３月とWSJ

The world doesn't need an Apple tablet, or any other
世界はタブレットを必要としていない！

The World Doesn’t Need Someone Telling Us What We Don’t Need In Tech

Oh, Joe, the world doesn’t need a Tablet? Really? -- Scobleizer Jan.3.2010

--
Apple タブレット vs Amazon Kindle―未来はどっちだ？

Kindle DX、Kindleに続いてグローバル通信対応へ？

すみません、斜め読みが精一杯でした

Nexus, Kindle, iSlate, そして SONYが予定している電子ブックと、いろいろ今年は楽しめそうです。

----------
時間切れ：その他

ヴイエムウェア、米ヤフーからZimbraを買収か
ね・・寝耳に水です。
今後を注視しましょう。

CaaS、MaaS
for example, cleaning of the botnet at a cost USD 50, as the malicious domain
change for the same value, USD 50.
お掃除までやってくれるのか・・・
relative: Zeus software behind one-in-ten botnets

解雇された店のＨＰ改ざん容疑　２７歳男を逮捕
via 8080
日本の改ざん力はそんなものか・・

2010年に身につけたい“○○力”は？
やっぱり「スルー力(θu:ka:）」でしょうかね？

Windows 7 に "GodMode" が発見される
「Windows 7」の管理機能を集約--「GodMode」の存在が明らかに
想像とちょっと違いましたが、まぁアリかもですね。

----------
| 1262721628 | B | [goog-black-hash 1.48169 update]
| 1262721601 | M | [goog-malware-hash 1.18428 update]
| 310281 | -2121(312402) 漸減傾向
| 1207322 |
EoF

メールで緊急報が入りましたので・・・

----------
gumblar.cn
gumblar.cn の診断ページ
Google が最後にこのサイトを巡回したのは2010-01-04で、このサイトで不審なコンテンツが最後に検出されたのは2010-01-04です。

----------
martuz.cn
martuz.cn の診断ページ
Google が最後にこのサイトを巡回したのは2010-01-04で、このサイトで不審なコンテンツが最後に検出されたのは2010-01-04です。

----------
AS21740 (ENOMAS1) DemandMedia Santa Monica, CA
AS21740
※Demand Media、ソーシャルソフトウェア企業Pluckを買収

search:21740
search:AS21740
あまり直近の事例は無いですね

----------
AS33070 (RMH) RACKSPACE San Antonio, TX
AS33070

search:33070
search:AS33070
こちらも直近の事例は確認できません。

----------
注意：
GoogleのASNレポートは DNS情報を基にしたもので、DNSレコードは勝手に制御可能なものです。
本当に当該ASにドメインが収容されていたのかどうかは確証がありません。
慌てて BGP単位で焼かないようにお願いいたします。

現状 gumblar.cn, martuz.cn ともに有効なAレコードはありません。

ただ、11月のGumblar.x 捲土重来の際に
Gumblar.cn - It's Baaaack -- 2009.11.05
gumblar.cn が復帰した事例が報告されています。

----------
いずれにせよ、何らかの事態が進行中のようです。
警戒を怠らないようにしてください。

----------
Lさん謹製のHeaderを実際に入れたらどうなるか見たい！という要求が多いので、明日の更新まで入れてみます・・・・

EoF

地下鉄記念日 1927年、地下鉄銀座線が開通
証券取引所の大納会
建国記念日（ルーマニア）
KEIRINグランプリ
日本レコード大賞

世田谷一家殺害事件 2000年から９年。
世田谷区の一家４人殺害：妻の姉が講演「犯人につながる情報を」

----------
GSM破られる？
26C3: GSM hacking made easy
斜め読みですが、GSM通信網（2G規格：日本では使用されていない）の暗号化アルゴリズム A5/1（ストリーム） がクラックされたという話。
"We thought we'd need six months, but we managed to do it with forty computers in three months instead"
思ったよりも簡単だったようで・・

2G規格は世界中200カ国で４億人のインフラとなっています。
※日本のW-CDMA(3G)での暗号はKASUMI(A5/3 : 64bitブロック-128bit鍵）が使用されています。

微妙に続く
----------
26C3
26C3: 26th Chaos Communication Congress
昔は怪しいハッカーのお祭りだったのですが、最近は立派なセキュリティー・カンファレンスに権限昇格（笑）しています。MD5のSSL証明書パニックを引き起こしたのは去年の話です。

Here Be Dragons: The 26th Chaos Communication Congress, Part 1
Dragons Everywhere: The 26th Chaos Communication Congress, Part 2

26C3: Network design weaknesses

----------
Gumblar再起動？
はえーよ！
Fox Sports Web Site Compromised
Our research shows that the site has been injected with two pieces of malicious code. One of them is the latest Gumblar(５月のリサーチ) campaign, and the other redirects individuals to a malicious Web site, whose link was unreachable at the time of this alert.

Gumblarの情報送信先？ 5
115.100.250.112 AS9803 JINGXUN, Beijing Jingxun Public Information Technology Co., Ltd
4134配下の時点で既にアレですが、MDLで検索するとトンデモナイ数がひっかかります。
ZeuSやら、Ruskillやら、ほにゃらら Exploit Kitやら・・博物館状態です。

微妙に続く
----------
塞ぐ穴
とりあえずFirewallで遮断しとけってIPは？
My Answer:
キリが無いのでもうやってません

ただ、友人のように（体面的に）何かやってないといけない部署の人は頑張って IDSを更新しているようです。
最近は、robtexでBGPリストをまるごと拒絶リストに放り込んでるようですが（苦笑）

とりあえずといわれるなら

ThePlanet AS2 (21844)
LeaseWeb (16265)
OVH (16276)
ROOT ES (5557)
HETZNER-AS (24940)
JINGXUN (9803)
NEVAL (49314)
4134（笑）

このへんを焼却しておいたほうが良いのではないでしょうか？
どのみち、ZeuSやGumblarは全てがコロコロ猫の目のように変わるので、IP/ドメインで対策をとっても後手に廻るだけです。
また、このあたりの防弾ホストはサイクルで使い捨てにされることが多く、例えば ラトビアの zlkonやjunikといった悪名高かったホストは現在はすっかり勢力を弱めて（正道に立ち戻って）います。

焼却好き（語弊があるかもしれませんが、後で後悔しないように事大主義を執る傾向があるのは事実です）の方は、
DNS-BH - Malware Domain Blocklist
をお勧めしておきます。
企業の方はちょっとくらい寄付してあげてください（笑）

#202.221.179.13 = slashdot.jp
----------
新しい穴
BigAnt Messenger AntServer "USV" Buffer Overflow Vulnerability 4
Unpatched
BigAnt Server 2.52 SEH (0day)
BigAnt Office Messenger

Kerberos KDC Cross-Realm Referral Denial of Service Vulnerability 3
patch : git a/src/kdc/do_tgs_req.c b/src/kdc/do_tgs_req.c
The vulnerability will also be fixed in the upcoming krb5-1.7.1.
Kerberos認証システムで、KDCが停止するとかなり厄介ですので、気をつけましょう。

あと、よく調べてませんが

AproxEngine Multiple Vulnerabilities 3
Unpatched

Joomla iF Portfolio Nexus Component "controller" File Inclusion Vulnerability 3
Unpatched
Edit the source code to ensure that input is properly verified.

MySimpleFileUploader File Upload Security Issue 3
Unpatched

Joomla!の日本でのシェアがよくわかりませんが、米国内ではそこそこ浸透しています。

----------
Symantec Incidents

What's up with port 12174? Possible Symantec server compromise?
Port 12174
うは・・

Symantec Alert Management System 2 multiple vulnerabilities -- April 28, 2009
If using Symantec AntiVirus Corporate Edition, Symantec Client Security, or Symantec Endpoint Protection, apply the appropriate update as described in Symantec's advisory referenced above.
Otherwise, contact the application's vendor for an update.

期限の切れたセキュソフトは地雷化するものです。

----------
その他

What do you see?
ロールシャッハ・テスト?
spammerのアノテコノテに感心してしまう今日この頃・・

Y2K
～年問題

近々のところでは、

2010年のSHA-1(1024)廃棄問題（本気でそうなるとは思えないほどノロマな進捗）
※間近に迫る「暗号の2010年問題」、企業が取るべき対応は？－RSAセキュリティ -- 2008.11.08

2010年 Windows 2000 廃棄問題
※Windows 2000 ファミリのサポート期間
延長サポートフェーズは、2010 年 6 月 30 日までを予定しております。

2010年 DNSSEC 移行問題
JPRS、2010年をめどにJPドメイン名サービスへDNSSECを導入

そういえば・・・
JPRSが「秘密結社 鷹の爪」とコラボ、JPドメイン啓発サイト開設
なんか妙なCMやってますよね・・(過去：)
日本語.jpなんか普及させなくていいんですよ・・・（余計な手間が増える）
どうしてもっていうなら、バルマー氏に懇願して XPのCP932を根絶させてからにしてください。

----------
| 1262116845 | B | [goog-black-hash 1.47666 update]
| 1262116805 | M | [goog-malware-hash 1.18260 update]
| 324353 | -1297(325650)
| 1190996 |
EoF

ボクシング・デー
元々は、教会が貧しい人たちのために寄付を募ったクリスマスプレゼントの箱(box)を開ける日。スポーツのボクシングとは関係ない
プロ野球誕生の日/ジャイアンツの日
1934年、大日本東京野球倶楽部（後の読売ジャイアンツ）が創立。
※日本初のプロ野球団は1920年に設立された日本運動協会である

----------
新年休暇を前に

シス管の皆様、激動の2009年、お疲れ様でした。

年内最後のお仕事として、以下のチェックをかけてみてはいかがでしょうか？

Firewall/IDSログをチェックし、以下のアドレスをgrepする。

THE GUMBLAR

67.212.81.67	AS10929	NETELLIGENT Hosting Services Inc.
67.215.246.34	AS22298	SecurePrivateNetwork
67.215.238.194	AS22298	SecurePrivateNetwork
91.213.121.160	AS24826	KHARKOV-TERMINALS-AS
91.215.156.	AS15435	KABELFOON CAIW
94.76.250.73	AS29550	Blueconnex Networks Ltd
94.229.65.174	AS42831	UKSERVERS-AS
195.24.76.250	AS5577	ROOT-AS
216.45.48.66	AS22298	SecurePrivateNetwork

このへんの通信が確認されると、社内に Gumblar陥落のノードがある可能性があります。

【注意喚起】Gumblarウイルスの組織内感染拡大とホームページ改ざん被害増加に伴う対策の確認
LACさんはもっと多くのIPを提示していますので、不安な方は更に調査してみましょう。

8080系
From Hidden Iframes to Obfuscated Scripts
Malicious Site (Redirector)

95.211.10.130	AS16265	LeaseWeb
95.211.4.193
91.121.166.221	AS16276	OVH Paris
91.121.211.226
94.23.4.164

Drive-by-Downloader

82.192.88.35	AS16265	LeaseWeb
95.211.4.193
95.211.10.130
91.121.49.129	AS16276	OVH Paris
91.121.166.221
91.121.211.226
94.23.4.164
94.23.206.229

参考！？：
ノーブルジョーカーのホームページ(トップナンバー／東急８０９０)

318x/7o8
一方、318x.com(SQL Injection?)系はメインが 7o8(7to8じゃありません・泣）に変更され、地味に余勢を誇っています。
インジェクション

bmsblog
一見普通のサイトのように見え、検索エンジンにだけ別リンクを返す、大規模なFakeAV誘導サイトも根絶はされていません。
Rogue blogs redirect search traffic to bogus AV sites. Part 1.
Rogue blogs redirect search traffic to bogus AV sites. Part 2.

Scan your account for directories with names mdblog, bmblog, bmsblogs, bsblog, blog. Search for files named index.php and css.js. You can also use the following keywords if you perform full-text searches: coooooool, HAHAHAHAHAH, Blogger Templates.

あと、自分のサイトを毎週１回くらい Google/Yahoo(Bing!) で検索してみるのもよいでしょう。
※隔離サイトの場合には Google/Yahoo バーでの検索は気をつけましょう。

take yourself
あと、納会にむけて胃腸の調整もやっておきましょうね（笑）

----------
déjà-vu
Gumblarと類似したWebサイト改ざんを利用する攻撃【Tokyo SOC Report】
Adobe Reader / Acrobatの脆弱性
どの脆弱性なのか特定できてないのか、種別が多すぎなのか、CVEナンバーがありません。
これまで「一般的に」使用されていたのは
CVE-2007-5659 (Collab.collect.EmailInfo)
CVE-2008-2997 (postnewsubmit via util.printf)
CVE-2009-0927 (Collab.getIcon)
CVE-2009-1492 (getAnnots)

今回は
CVE-2009-4324 (Doc.media.newPlayer)
で、相変わらず ZLibで圧縮・難読化されています。

Dec. 23. CVE-2009-4324 Adobe 0 Day. Attack of the Day VERY Merry Christmas from everyone
二宮隆弘 takahino_ninomiya＠yahoo.co.jp
なる人物から、
sub: merry x-mas
Merry Christmas and Happy New Year.
という PDF添付のメールが送られていることも報告されています。
AS24572 : YAHOO-JAPAN-2 Yahoo Japan

PDFファイルにJavaScriptなど必要ありません。（断言！）
永久に JavaScript機能をカットし、1/12まで Adobe (Acrobat) Readerの使用を中止し、他社PDFリーダであっても信頼の置けないPDFファイルを開かないようにしてください。
特にメール添付の PDF には細心の注意を払ってください。

だ・・・断言しちゃだめですか！？
amen
どこぞの電子入札と一緒で、こういうのは、IPX/SPXとかNetBEUIあたりの隔離プロトコルでやってほしいですね（笑）

----------
釣果
グリーをかたるフィッシング(2009/12/25)
モバゲーをかたるフィッシング(2009/12/25)
ミクシィをかたるフィッシング(2009/12/25)

hXXp://alpaslanyilmaz・com/gree/
AS21844 : ThePlanet AS2
マタオマエカ・・・

THE PLANETのBGP:
AS13884 THEPLANET-AS ThePlanet.com Internet Services, Inc.
AS21844 THEPLANET-AS2 ThePlanet.com Internet Services, Inc.
正規サービスも多々あるようですが、防弾ホストを使用し続けるリスクを意識することも大切です。

----------
IIS fell into PIT
Microsoft IIS File Parsing Extension Vulnerability
Microsoft IIS ASP Multiple Extensions Security Bypass 2
Restrict file uploads to trusted users only.

MicrosoftのIISに脆弱性、ファイル拡張子の処理に問題
SANSによると、例えば「malicious.asp;.jpg」のような複数の複数の拡張子を持つファイルを、ASPファイルとして処理してしまう問題があることが分かった。この問題を悪用すれば、攻撃者がファイル拡張子による制限をかわしてWebサーバ上に悪質な実行可能ファイルをアップロードすることができてしまうとしている。
キーワードは ";"

----------
お届けものは・・
Not-so funny jokes
見たことも無い面白い動物の動画
→偽Flash 誘導

(Not So) Happy Holidays from Koobface
A hidden Christmas greeting from Koobface
FacebookのようなMerry X'masカードは・・
→ Koobface

----------
その他

USEN、ISP事業を19億6800万円でSo-netに譲渡
so-netさんガンバレ（笑）

ID／パスワード不正利用の責任は誰にあるのか
利用規約を目を皿のようにして読めと？

過去10年でリリースされたOS、「ベスト」、「ワースト」は何？
XPを知らない私～（win2K→Visたぁん→Win7 / Slackware→SUSE→CentOS) にとっては、セキュ的な暗黒面の多い XP に文句がイロイロ・・・
でもそれゆえに「良いOS」なのは否定しません。
Win2Kは、そもそも余計な使用法をしないので、意外と堅牢かも（笑）
あ・・MacOSは完全にサポート外です・・

※cNotesさん(ise.chuo-u.ac.jp)がメンテ中

----------
| 1261771226 | B | [goog-black-hash 1.47377 update]
| 1261771206 | M | [goog-malware-hash 1.18164 update]
| 329981 | -2246(332227)
| 1179236 |
EoF