UnderForge of Lack

長崎二十六聖人殉教の日
プロ野球の日
笑顔の日 [2-5]
ふたごの日 [2-5]

----------
[WARNING]
2010年2月 「Gumblar.x」の改ざん攻撃再開 -- 無題なブログ
最近おとなしくなっていた「本家」Gumblar.x側も再開している模様です。
手持ちの陥落リストのサイトで再改ざんされたところは見当たらなかったのですが、しつこさには定評のあるgumblarですので更に手口を変えてくるかもしれません。
攻撃自体は
Analysis report for hXXp://enpucon.cl/
あまり代わり映えしない感じですね。
ひょっとしたら一部の Infectorだけが再起動したのかもしれませんが、いずれにせよ要注意です。

マルウェアマンスリーレポート : 2010 年 1 月
Gumblar の大流行 については、2 回目である今回はかなり早く収束したと言えるでしょう。
言霊・・・

[セキュリティ]ガンブラー対策
逆FTP-DDoSとか、環境が整えば楽しいのかもしれませんね・・
（やっていいのかどうかは別ですが・笑）

続く
----------
一方、8080
TokyoSOCさんのほうからレポートがでていましたが
Gumblarと類似したWebサイト改ざんを利用する攻撃 -2010年1月検知状況-【Tokyo SOC Report】
PDFのヒット率が高いなぁ・・

また、JPCERT/CC のFTP Client 報告書を受け、いろいろ記事が飛び交っています。
保存したパスワードを盗むウイルスに注意、「ガンブラー」で感染
ガンブラー攻撃の対象ソフトをJPCERTが確認～アカウント情報盗み外部送信
自分が管理できる環境下は、「感染しないように」で済む話ですが、レジストリやテンポラリ領域の一時ファイルにCredentialが意識せずに残ると、忘れた頃に漏洩するというケースにつながりかねません。
FTPの接続情報は、基本的には保存しないようにするしかなさそうです。
※秘密鍵の登録可能なSSH(SFTP)環境の場合、必ずパスフレーズ付きの鍵を生成し、鍵認証を行ってください。できれば SSH1(SCP)は使用を避け、22番以外のPortを使用してください。
もっとも、キーロガーを埋め込まれてるなら何をやっても同じですが、そこまで墜ちている環境の話はやってもショウガナイですね・・・

----------
MEGA patch
おかしいな・・1月初頭はあんなに平和だったのに・・・
February 2010 Bulletin Release Advance Notification
ひ～ふ～み～の・・２６！？

Date: Wednesday, Feb 10
Time: 11:00 a.m. PST (UTC -8)

Microsoft Releases Advance Notification for February Security Bulletin

続く
----------
IEの情報流出
わざわざ保護モードを無効にしているユーザはともかく、残りは XP+IE6の話では？と思っていたのですが、割と広範な話なのかな？
[980088] Internet Explorer の脆弱性により、情報漏えいが起こる
回避策のセクションの、Internet Explorer のネットワーク プロトコルのロックダウンの FixIt は、何をしますか?
Internet Explorer のネットワーク プロトコルのロックダウンの FixIt は、file:// プロトコルを制限するので、スクリプトおよび ActiveX コントロールがインターネット ゾーンで file:// プロトコルを使用して実行するのを防ぎます。
Fix IT: マイクロソフト セキュリティ アドバイザリ: Internet Explorer の脆弱性により情報漏えいが起こる
ActiveX経由で ローカルの file:// にアクセスされることって、結構あるんですけどね（特にダウンロードしないタイプのオンラインスキャン）
FixItすると、そのへんも動かなくなったりして（笑）<-- 試してません

IEに情報流出の脆弱性、Microsoftがアドバイザリー公開

フルパスでそのファイルの存在が特定できるケースというと、ユーザ名が漏洩した場合少し厄介かもしれませんね。
Releaseでコンパイルした実行ファイルにユーザ名が埋め込まれる

ちなみに、このExploit は BlackHat DC+2010で公表されたものだそうです。

----------
新ツールキット SpyEye
Botnet同士が仲が悪いのは、少ない（でもけっこうある）脆弱ノードのパイの取り合いをやってるから・・？
SpyEye Bot versus Zeus Bot
機能リストの中に・・・
Zeus killer
（笑）
まぁ、お互いにいがみあって潰しあってくれればいいんですけど、お互いに切磋琢磨するのはやめてください。

iframes are EVIL! Hate Zeus! -- October 26th, 2009

----------
pushdoじゃない！
そういえば、過去に特集(1 2 3 4 5)を組んで、Pushdoの権威だと思っていた TrendMicroが、今回のDDoSの件に何も言及していなかったので変だナとは思っていましたが・・・
The Pushdo Puzzle – DDoS or not DDoS?
we can affirm that this attack does not come from Pushdo.
あらら？
The common detection name used for this is Harebot or Shgray but there is a reason why people are putting the tag Pushdo onto this new threat. Some AV vendors are detecting it as Pandex and that was another name for Pushdo so that’s where the name association came from.
botnetの勢力圏マップもいろいろありすぎてよくわかりませんね・・・

----------
ああ・・もうヤメテ・・
Researchers penetrate last bastion of Windows security
DEPやASLRの保護下にあってもそれを無効化する JITスプレーという脆弱性攻撃の手法が紹介されました。
The "JIT-spray" allows attackers to overcome ASLR, which normally thwarts execution by picking a different memory location to load system components each time an operating system is started.
"With this JIT-spray, it works fairly reliably, so at least nine out of 10 times you'll guess the right position,"

視なかったことにしよう・・

"ASLR and DEP in IE 8 on Windows 7 provides a really good protection against these kinds of exploits,"

----------
iPhone PKI問題
とてもいやらしくて厄介なセキュリティの欠陥がiPhoneに見つかった
なるほど、どのへんが危険なのかというのがよくわかりました。
大量のiPhoneを全社規模で導入しているようなところは、ソフトウェアのアップデートに無線を使ってCAのコードサイニング証明を経てダウンロードさせる仕組みがあるようです。その mobileconfigを偽造することで、出所を“Apple Computer”にしたアプリケーションをインストールさせることができるっと・・

無線でのアップデートの仕組みそのものを考え直さなければならないようですので、結構大変そうです。

iPhoneユーザ諸氏は、オンラインでいきなりこんな画面が出たら気をつけましょう。


----------
Google and NSA
Google to enlist NSA to help it ward off cyberattacks
なんか、すごくイヤな取り合わせなんですが・・政治の話はこわいからヤメ

----------
8080
* NEW *
84.200.227.144 AS31400(ACCELERATED)
* NEW *
94.199.240.61 AS39023(IU-AS)

78.31.107.49 AS24931(DEDIPOWER)
94.23.199.154 AS16276(OVH Paris)
213.251.164.84 AS16276(OVH Paris)
77.68.44.169 AS15418(FASTHOSTS)
82.165.47.29 AS8560(SCHLUND)
87.118.90.76 AS31103(KEYWEB-AS)
217.160.110.21 AS8560(ONEANDONE-AS)

----------
Google Safe Browsing
| 1265313640 | B | [goog-black-hash 1.50322 update]
| 1265313602 | M | [goog-malware-hash 1.19132 update]
| 308160 | +8606(299554) ちょっ！
| 1322885 |
EoF

世界がんデー(World Cancer Day)
ぷよの日
銀閣寺の日
スリランカ
北宋の建国

----------
R.I.P. apache 1.3
またこんなことを書くと何か飛んできそうですが・・・
Apache HTTP Server 1.3.42 released (final release of 1.3.x)
The Apache Software Foundation and the Apache HTTP Server Project are pleased to announce the release of version 1.3.42 of the Apache HTTP Server ("Apache"). This release is intended as the final release of version 1.3 of the Apache HTTP Server, which has reached end of life status.
これまで長い間ありがとうございました。
そういえば、最初に触ったApacheのバージョンっていくつだったかなぁ・・？
Upgrade to to the current 2.2 version as soon as possible. For information about how to upgrade, please see the documentation:
http://httpd.apache.org/docs/2.2/upgrading.html
現行サーバを apache 1.x で運用している方は、Apache 2.2 への移行を視野にいれたほうがいいでしょう。
現行の最終 stable は 2.2.14

Apache mod_proxy "ap_proxy_send_fb()" Integer Truncation Vulnerability 4
Apache HTTP Server 1.3's final update released
R.I.P. Apache 1.x: Apache 1.3.42 marks of end life

----------
[980088]
Security Advisory 980088 Released
じきに日本語も出るでしょうが
address a publicly disclosed vulnerability in Internet Explorer that may allow Information Disclosure for customers running on Windows XP or who have disabled Internet Explorer Protected Mode. At this time we are not aware of any attacks seeking to use the vulnerability.
WindowsXP+IE6で保護モードを OFF にしている場合、情報流出の恐れがあるとのこと。
リモートからローカルのファイルを盗み見れるということかな？

Vulnerability in Internet Explorer Could Allow Information Disclosure
Our investigation so far has shown that if a user is using a version of Internet Explorer that is not running in Protected Mode an attacker may be able to access files with an already known filename and location.
やっぱし・・・
Afficted softwareが IE8とかあるのはキノセイでしょうか？

とりあえず、（IE使ってる人は）保護モードになっていることを確認して様子見ですね

微妙に続く
----------
Microsoftからのおてまみ
Microsoft Support informs you…
日本国内でも多数着弾しているようです。
9462.officexp-KB910721-FullFile-ENU.zip
officexp-KB910721-FullFile-ENU.exe

MSがこういう形で不特定多数ユーザにメールを送ることはありません（そのための Microsoft Updateですので）

微妙に続く
----------
でもTwitterは
やっちゃったんですよね～
Twitterがパスワード変更を促すメール、フィッシング詐欺で流出か
今後のセキュリティ・フィッシング対策として、一石を投げかける事態だと思うんですが、一般的にはあまり騒がれていません。

というか、こんな原因だったとは・・
Twitter攻撃の原因は Torrentサイトの裏口だった
Twitterが調べたところ、ここ数年来何者かがTorrentサイトを作り、Torrentサービス始めようとする人相手にサイトを売っていたことがわかった。問題は、この人物がサイトに裏口を仕掛けておき、そこが人気サイトになった時に侵入できるようにしていたらしいことだ。多くの人たちがウェブ上で同じIDとパスワードを使い回しているために、このデータによって大量のTwitterアカウントが漏えいした。
・・・・・・・・

Reason #4132 for Changing Your Password

----------
週間脆弱性 2010.02.01
チェックしておきたいぜい弱性情報＜2010.02.01＞ BGM
Firefox 3.6は自動ではupdateされませんので注意しましょう。
Firefox 3.0系のライフタイムは、2010 年 2 月で切れます。

----------
ガンブラーはFTPの夢を見るか
というより、FTP(RFC959)というプロトコルそのものを破滅に追い込もうとしていますが・・・
コンピュータウイルス・不正アクセスの届出状況[1月分]について
1. 今月の呼びかけ
「 "ガンブラー" の手口を知り、対策を行いましょう 」
英語の長文読むよりも疲れる・・・・

で、puppet様のとこ行ってコーヒー吹きました。
いろいろ
確かに、この位置関係だと加害者ですね（笑）

個人的に、gumblar/Gumblar.x/8080 の一番の恐ろしいところは、攻撃者が勤勉すぎる点だと思っています。アクセス先、インジェクション先、送付先、ホスティング、スクリプトをコロコロ手を変え品を変え攻撃してくるので、対処側が追いついてないのです。かといって、検出ルーチンを強化すると、ぷよってしまうので、セキュ会社も頭が痛いでしょうね。

ちなみに、FTPのパケットモニタリングは gumblar/Gumblar.xにもあった機能ですが、FTPの環境保存ファイルやレジストリからの直接奪取は 8080/QuickSilverの機能であり、Gumblar.Xにも確認されていません。
「FFFTP」をやめてもガンブラーウイルス対策にはならない -- 無題なブログ
このような点から見ても、そろそろ区分をきちんとしないと危険な側面がでてきそうですけど、
ま、

nobody cares .. こまけーことはいいんだよ

という精神でいきましょうかね

参照：
サイト改ざんでウイルス感染を広げる「ガンブラー」対策を～IPAが呼びかけIPAは、「ガンブラー」という言葉を、「Webサイト改ざん」と「Webサイトを閲覧するだけで感染させられてしまうウイルス」を組み合わせ、パソコンにウイルスを感染させようとする一連の手口（攻撃手法）を指すものと定義。その手口を詳しく解説している。
なんとなく、「」が多いあたりに皮肉を感じてしまうのは穿ち過ぎなんでしょうね。
NRIセキュア、「Gumblar」の感染発見に有効なマルウェア検知サービスを提供開始
同サービス」の提供価格は、監視サーバ1台あたり月額36万8000円（税別）。
フォーティネットウイルス対処状況レポート (2010年1月度)
1月のウイルス状況、トップの「Gumblar」に加え「Aurora」も猛威－フォーティネット調べ
ウイルスの活動量によるトップ10では、1位にウェブ改ざんで話題となっている「Gumblar.Botnet」がランクイン。全体の攻撃割合は 31.3％に達した。同レポートによれば、Gumblarは1月6日以降を境に、一気に活動を広げていた。

----------
偽Firefoxアップデートには・・・
Fake Firefox site bundles undead adware
Fake Firefox Update Pages Push Adware
Victims of this scam install the “Hotbar” toolbar by Pinball Corp, formerly Zango.
おまえかっ（笑）

----------
WoWもトークン導入に
Blizzard warns of account theft in World of Warcraft
FFXIには既に導入されているワンタイム･パスワード発行のセキュリティ・トークンですが、世界最大規模で、フィッシングも最大規模な WoWにも導入されるようです。

そして、何個もじゃらじゃ・・

----------
シグネチャ･不正コピー
クラウド上で“カジュアル・コピー”が横行？
スルーカ権行使！

Killing Antivirus, One DLL At A Time

----------
Pushdo Rampages
Pushdo SSL DDoS Attacks
まだ続いている様子

----------
ZeuSも元気いっぱい
Minipost: Fake Photo Zeus -- GarWarner
PhotoArchive.exe7/40 (17.50%)

PhotoArchive Crimeware/Client-Side Exploits Serving Campaign in the Wild -- ddanchev
ZDnetでおなじみの、Dancho Danchev氏は pushdoとの関連も指摘しています。

and ! Happy Birthday !
Happy Birthday ZeuS Tracker!
During the last year, ZeuS Tracker has tracked more then 2′800 malicious ZeuS C&C servers. The ZeuS Tracker has captured more then 360MB ZeuS config files and 330MB binaries.
also Thanks 1und1

----------
MiFi cracked
Verizon MiFi Device Hacked
長い・・
Fortunately, there are a couple of options available to us to mitigate this attack.
* Change the Default PSK
* Change the Default SSIDC
Mifi : myWiFi

----------
Conficker掃討作戦
in マンチェスター警察
Manchester cops recover from Conficker
It is still not clear where the virus has come from but we are investigating how this has happened and are taking steps to prevent this from happening again.
感染経路は不明っと
The council infection of February wound up costing taxpayers £1.5m in lost parking ticket revenue and security clean-up fees.

----------
反撃
Adobe strikes back at Apple over iPad/Flash debacle
Open Access to Content and Applications

どっちもセキュリティホールを掘るのは得意なんですけどね・・・

----------
malcode with WordPress
Wordpress obfuscated javascript pointing to centiyo mal
ああ・・どっかでみたコードがっ（笑）

----------
沿革
8080系(いわゆるガンブラー系)記事のまとめ
結論：あるふぁぶろがーこわい
怖い怖い・・・
錬勤術のほうも気をつけましょうね（気をつけようがないのかっ！）
※手当てなしの勤務の場合はなんて呼ぶのかな（苦笑）

----------
8080
66.225.192.2 AS23352(SERVERCENTRAL) IL(Chicago)
83.1.83.4 AS5617(Polish Telecom)
200.35.148.184 AS15083(INFOLINK) FL
213.39.123.11 AS8928(INTEROUTE)
83.222.30.178 AS25532(MASTERHOST)
88.255.162.14 AS9121(TTNET)
212.146.105.75 AS5606(KQRO)
87.118.90.76 AS31103(KEYWEB-AS)

激しく攻撃サーバホスティングの変更が行われました。
というか勤勉にも程が・・

----------
Google Safe Browsing
| 1265227216 | B | [goog-black-hash 1.50250 update]
| 1265227201 | M | [goog-malware-hash 1.19108 update]
| 299554 | +6032(293522) 反転
| 1310611 |
EoF

slugは冗談ですので、本気にしないでね（苦笑）

節分
のり巻きの日
大岡越前の日
チューリップ・バブル崩壊。(1637)
オープンソース誕生の日 (1998)

----------

今日は、大きな話は無いんですが、細かいのが沢山・・・

----------
C.I.A
C.I.Aサイバー・インテリジェント・エンジェルズ
presented by TBS, Microsoft and Yahoo

秘密組織“C.I.A”がネットの平和を守る！---TBSなど3社が情報セキュリティ啓発キャンペーン
中高生に情報セキュリティを知ってもらおう――MSとTBS、ヤフーが始動
小野寺さんは脱がないのかっ（笑）
サイバー・インテリジェント・エンジェルズ
ネットの安全特集2010春
インターネットと情報セキュリティの基礎知識

２月は情報セキュリティ月間です。
スルー力を発揮して、余計なことそれにしてもすごいコラボ・・・は言わないでおこう・・

----------
MASS Password Reset via Twitter
@safety
Got an email from us saying we've reset your password? A small # of accts seemed possibly affected offsite & we took a precautionary step.
ご注意―Twitter、フィッシング攻撃を受けたと認める
Twitter Mass Password Reset due to Phishing
フィッシングではなく本当にパスワード変更が行われています。
メールがやってきた方は、まずメールを破棄、以下のサイトからパスワードの変更を行ってください。
https://www.twitter.com

do not reuse the password, do not use a simple password scheme (like "twitterpassword" and "facebookpassword")
also don't "123456" and similar =) and of course not "password"

関連：
Most consumers reuse banking passwords
Online security firm Trusteer reports that 73 per cent of bank customers use their online account password to access at least one other, less sensitive website. Even worse, around half (47 per cent) use the same online banking username and password for other website logins.
Reused Login Credentials

----------

About the security content of iPhone OS 3.1.3 and iPhone OS 3.1.3 for iPod touch
Code execution holes in iPhone OS, iPod Touch
The most serious flaw could allow remote code execution if an iPhone/iPod Touch user opens audio and image files.

This iPhone/iPod Touch update is only available through iTunes and will not appear in the software update utility available in Mac and Windows systems.
iPod Touchは無償で受けられるのかな？

続く
----------
iPhone Certの脆弱性？
iPhones Vulnerable to New Remote Attack
ナナメ読みなのでアレですが、
Appleのroot CAが iPhone用とその他でIDが違うと、違う証明書発行元(CN)、違うシリアル番号なのに、KeyIDが同じっては、同一の証明書をIDだけ変えて使い回ししてるんじゃない？
という話かな？
即、リモートコード実行や、不正規なソフトの自動アップグレードにつながる性質のものでは無いようですが、何とも言えない脆弱性（？）ですね・・
"You can make any part of the phone not work. You definitely don't get to run code, but there's lots of nasty things you can do. You can make applications not work, make it so that you can't remove this config file," Miller said. "At the very least, you can make someone's day miserable."

ソース：匿名のpost
iPhone PKI handling flaws -- Cryptopath

微妙に続く
----------
Koobface thru MacOS
How the Koobface Gang Monetizes Mac OS X Traffic
MacOSからのアクセスだけを別の場所に飛ばすKoobfaceの新手法
MacOS系のウィルス・マルウェアはあまり聞かないですが、こういった形でアフィ踏み台になってる人は意外と多いのかも？

AS9394(CRNET-CHINA RAILWAY)
相変わらず、謎なBGP運用してるなァ・・

こっちはウクライナの（偽）デートサイト
62.90.136.237 AS1680(NV-ASN 013)

アクセスログにこういったのが残っていたら注意しましょう。

----------
Pushdo rampage continues
Pushdo Update
続いているようですね・・国内の感染ノードも存在するようですので、注意しましょう（どうやって！？）
※自自律系の中に 443を撃ちまくってるノードが無いか確認カナ

----------
Conficker
Manchester cops clobbered by Conficker
Greater Manchester Police's computer network has been infected by the infamous Conficker worm, leaving beat cops unable to run computer checks on suspected criminals and vehicles for the last three days.
やっぱりまだ居るんですね・・
天然痘とか、コレラみたいな印象ですが・・・

Conficker cause of Greater Manchester Police disconnection
Conficker virus hits Manchester Police computers

----------
イカ君
Squid update fixes DoS vulnerability
Squid DNS Packet Processing Denial of Service Vulnerability 2
Squid DNS Packet Processing Denial of Service Vulnerability 2
Update to Squid 3.0.STABLE22 or apply patch.

----------
WordPress
Wordpress injection attack and “affiliate ping-pong”
激しく既視感のあるインジェクションコードですね・・

WordPressの現行バージョンは 2.9.1 です
なのですよ！ > ATWORDさん

----------
？
On the Trustworthiness of the AV Industry and AV Tests
で・・？（とか書くと、またあちこちで物議を醸すのカナ？）

AMTSOに権限をもっと持たせろ！という点にだけは賛成！

----------
オンラインヘルプにご注意
Be careful on help files
Earlier variants of “Muster” drop encoded copies of main backdoor components in filenames with the extension “.hlp”. These “.hlp”files are later decrypted with Microsoft CryptAPI with hardcoded keys and executed by loaders.
“upgraderUI.exe”with the registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run AutoPatch

----------
Zimuse
Password-Protected Word Document In W32.Zimuse
こないだの、チェコ語のパズルウィルスですね

----------
やばい！
Anatomy of a free Starbucks gift card scam
コーヒー狂な（私）人は、こーいうのに引っかかってしま・・・わないですよね（苦笑）
スタバだとちょっと開きそうだなとか思ったのは内緒

----------
P2P共有
年末年始のP2P（つづき）
減ってるのか、減ってないのか・・
喉元すぎれば・・とか言いますしね～

----------
ああ GreaseMonkey
Firefox出し抜かれる。Greasemonkeyの作者が、Chromeにネイティブサポートを追加
TechCrunchの見出しは相変わらず上手いナァ

----------
Flashホール？
Adobe Flash Security on Menu at Black Hat
抽象的なので、なんとも・・
「Adobeですから」、で終わってしまいそうな今日この頃・・

----------
もぐら叩きの果てに・・・
第13回 「脆弱性根絶なんてできっこない」と嘆く前に
私は前職で、日本で初めて「セキュリティの脆弱性検査」を事業として立ち上げた経験があるのですが、始めた当初から「セキュアなプログラミングが普及すれば脆弱性検査の市場はなくなる」と考えていました。しかし、脆弱性検査はすっかり定着して、不況にもかかわらず、市場規模は縮小する気配がありません。
いま、一番儲かるとこですしね・・（嘆息）
※ムシられる側の愚痴です、ええ・・

関連？
名古屋市長が住基ネットの侵入実験を構想「今ならもっと面白い実験ができる」
「オープンソースの注意点」、オープンソースを利用する際はまず開発企業を調べろ？
私もわかりません・・

----------
ふむ～
ベネッセが中高生に「安心・安全に携帯電話を使う」ためのサービスを提供
ベネッセモバイル FREO

自ら決めたルールの中に、本当の自由はある
このコピーはちょっと感心しました。

----------
な・・なんじゃこりゃ
URGENT! Help needed w/ Virus
また新しいタイプですね・・・
デコードする時間がなかったのでこのまま・・

----------
AS47560
trojan Gozi?
search:47560
91.200.164.44 AS475601(VESTEH)
なんか IDSに引っかかってたらしいので、注意喚起です。

----------
8080
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(SCHLUND)
94.23.199.154 AS16276(OVH Paris)
*NEW(2010.02.02 23:00 +9 JST)
188.40.118.68 AS24940(HETZNER)
213.251.164.84 AS16276(OVH Paris)

１個 NEW IP/ISP が発生・・・って NETZNERか・・

----------
Google Safe Browsing
| 1265140838 | B | [goog-black-hash 1.50178 update]
| 1265140802 | M | [goog-malware-hash 1.19084 update]
| 293522 | -1271(294793) なんとなく膠着状態・・
| 1302894 |
EoF

[投稿日時 : 2010.01.31 AM 9:40]
生命保険の日

愛妻の日
晦日正月，晦日節

----------

これが最後の記事になったら笑ってやってください。

----------
CVE-2010-0249 in Operation Aurora
CVE-2010-0249 Exploit コード生成ツール
CVE-2010-0249 Exploit コード生成ツール (by 暗黒工作組) を使ったExploitの作成とその実証。
非常に詳細な検証に、いつも頭が下がります。
生成された Exploit コード ie.html を同環境の Internet Explorer 6（IE6）で開くと、cmd.exe が起動しました。この日記での Exploit コードの実行については、おまけ程度です。成功しちゃいましたよ～ぐらいですね。
成功しちゃうのですね～

一応、MSサイドは、MS10-002を適応していれば大丈夫！ ということになっては居るのですが、色々な意見があって評価待ちになっています。
Researcher to reveal more Internet Explorer problems
'Aurora' Exploit Retooled To Bypass Internet Explorer's DEP Security
特にVUPENのDEP Bypassは、成功するならクリティカルヒットなのですが、PoCも不明ですのでなんとも・・・

参考（際限なく増え続ける汚染散布元の情報）：
IE 0day CVE-2010-0249 – Blocking and Tracking

必須
　1/21適用の Microsoft パッチを適応してください。
運用回避策
　Windows XP SP2 以前のものは SP3にあげてください
　Internet Explorer 6は Internet Explorer 8に上げてください。
　DEPを有効にしてください。

----------
Pushdo(cutwail) scatter DDoS it owns
Pushdo DDoS'ing or Blending In?
What's going on here? Well it seems the Pushdo botnet recently made changes to its code to cause infected nodes to create junk SSL connections to approximately 315 different websites.
かなり広範な、BFA(with SSL というかほとんどDDoS)が検知されているようです。
www.sans.org:
Got PushDo SSL packets?
ZeusTracker:
secure.skype.com:
Skypeのフィッシングサイトの報告が今月頭にありましたが、特に大きく広まっては居ないようです。

影響を受けるシステム：
　攻撃対象になっているサーバ（IP/ドメイン)
対策：
　DDoS対処
　自システム・環境の汚染調査
　自管轄ISP内に攻撃ノードが存在しないかどうか

※PushdoはBredlab(Bredolab)に陥落した結果のzombie-nodeである可能性があります。

----------
FileZillaの見解
FFFTP同様、8080系マルウェアによってID/PASS/接続先を抜かれているとされる FileZillaですが以下のような見解です。
私の意見は差し挟まないことにしておきます。
Filezilla security virus exploit
1) Is the Filezilla team aware
Naturally.
This isn't a vulnerability in FileZilla. If you get infected by Gumblar it's through other means, not because you are using FileZilla. To my knowledge the attack vector of Gumblar is through malicious PDF and Flash documents. If you are worried about getting infected, stop using proprietary programs that have a track record of tons of vulnerabilities. This includes all software made by Adobe.

2) Is there going to be an encryption upgrade to the package for the stored FTP details.
Gumblar actually fetches the user's FTP credentials by sniffing the outgoing network traffic. Even if no passwords are ever stored on an infected computer, as soon as you use it to connect to some FTP server, your credentials are compromised.

Here's a simple rule: If your computer got infected, you've lost already, it's game over. You need to prevent the infection in the first place.

yikes!

----------
「ガンブラー」対策
これももう、自分の意見は何もいわないことにしておきますか
ガンブラー型ウイルス猛威、サイト改ざん悪質化
さらに、同じ攻撃手法の“新型”も登場。ウイルス対策会社によると、この１か月間で４００近い企業サイトの改ざんが確認された。新タイプでは、従来型と違い、クレジットカード番号を盗む仕組みが加わるなど、犯罪の意図が明確になってきているという。
!?

ガンブラーは昨春、世界的に出回り始め、いったん沈静化したものの昨年１０月頃に再燃。改ざんされたサイトを閲覧すると、不正サイトに誘導され、ＩＤやパスワードなどを抜き取られるというものだったが、実害が報告されないまま同１２月中旬に攻撃は静まった。

　ところが、この頃から今年にかけて“第３波”が来襲。今度は、不正サイトに誘導された後、偽のウイルス対策ソフトをインストールさせて、クレジットカード番号などを盗んだり、スパムメール（迷惑メール）配信に利用されたりする恐れがあるという。
*sigh*

住民などの個人情報が盗まれる恐れがあるとして、総務省では、所管の財団法人「地方自治情報センター」が作成したガンブラー専用の検知システムを利用するよう全国の自治体に呼びかけている。
Web感染型マルウェア能動的検知事業
？
※詳細は、『「Web 感染型マルウェア能動的検知事業」開始に当たって』をダウンロードし、ご参照ください。(LGWAN接続環境が必要です。）
総合行政ネットワーク
*shrug*

ガンブラー対策とは
クライアントサイド：

サーバーサイド：

----------
Day-2 : RFI
SANSの新シリーズ「Weblogを解析する」
第２回は RFI です。
Weathering the Storm Part 2: A Day of Weblogs at the Internet Storm Center
RFIはPHPの脆弱性を元にサーバにテキストファイルの形でスクリプトを注入する攻撃で、数年前に大流行しましたが、現在は下火になっているように見受けられます。
参考：
サーバーも狙われる ～RFI攻撃によるボットの感染～ 2008/04/07
下火になったといっても、完全に攻撃が収束しているわけでもなく、.gif .txt .doc .dat のような拡張子で差し込まれている例がちらほら散見されます。
まずは、phpinfo();を取ってみて、以下を確認してみましょうか？
There are a number of simple configuration choices which will prevent exploitation of most of these problems, even if the old software is still install. For example:

• turn off register_globals
• turn off allow_url_include

ちなみに第一回は GET,POST,OPTION以外のクエリメソッドのお話
Weathering the Storm: A Day of Weblogs at the Internet Storm Center
\x81って何だ！？
AN HTTPD ゲストブック/コメント集(2002年6月27日17:51)

考察その他：
Hardened-PHP Project
register_globals boolean
警告
この機能は PHP 5.3.0 で 非推奨となり、PHP 6.0.0 で削除されます。この機能を使用しないことを強く推奨します
PHP と Web アプリケーションのセキュリティについてのメモ : wv7y-kmr氏

----------

・・・・・・
ぐったり

ここまで書いて音を上げました。
とてもこんな感じでは毎日続けられそうにありません。

やはり私のような根がいいかげんな人間がセキュリティを語るのがおこがましかったようですネ。

----------
その他：リンクのみ

部内にキーロガーを仕組んだ男性社員――不正を生ませない人的対策

ガンブラー対策とクラウド型セキュリティ―G Data Software
ドイツのセキュリティベンダーである G Data は、当時、GENO ウイルスという名称で注意喚起を行い、かつワクチンが対応していたベンダーの一つだった。

BoA Offline?
it works

Simmering Over a ‘Cyber Cold War’

Weaning the Web off of Session Cookies

Google DocsとGoogle Sitesが3月からIE6のサポートを停止

The Flash is always greener: Why the iPhone won’t have Flash anytime soon

iPadと石ころを比較する

Welcome(?) back
ガンブラー 感染動画2
なぜか最近感染したくてもできない状態が続いていたいわゆるガンブラー(8080系)が、元気になってあなたの元へかえってきましたよ！

FFFTPの「設定をINIファイルに保存」を有効にしている場合どうなるの？なんて質問もあったので、今回はレジストリに登録されている情報を削除して、その設定を有効にしておきました！

これで様子を見て改ざんされないようなら、今の所INIファイルの情報までは読みに行ってないっていう事かもしれないけど結局ハッキリした事は言い切れないので微妙なところだよね！

----------
8080
*NEW*
81.28.96.129 AS41770(IMINGO)

77.68.44.169 AS15418(FASTHOSTS)
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(ONEANDONE-AS)
87.118.90.76 AS31103(KEYWEB-AS)
217.160.110.21 AS8560(ONEANDONE-AS)

やはりラウンドロビンに２系統ある模様です。

----------
Google Safe Browsing
| 1264881614 | B | [goog-black-hash 1.49962 update]
| 1264881601 | M | [goog-malware-hash 1.19012 update]
| 296154 | -628(296782) 微減
| 1295312 |

--------------------------
お詫びに書いていたものを移動しました。

一応、お詫びのお詫びということで、FFFTPの作者のSota様から、何かポストやメールがあったわけではないことを（必要ないとは思っていたのですが）明確にお知らせしておきます。
作者のsota様には重ねてお詫び申し上げます。

直接の対象である某Li●○にはいろいろ言いたいことはありますが、あえて何もいわないことにします。

以下、お詫びから移動した部分
--------------------------

と書いて閉鎖しようかなとか思ってますけどダメですか？

--------------------------

Nifty-serveの一件のときもそうですが、記事の一部を抽出して前後関係を見ずに広めるのはやめていただけませんか？

今後もそうなるというのなら、私はその日その日、１件の記事に必ず前後関係の問題を書かなければならないのでしょうか？

ウィルスに感染しないとか、コンポネンツ系のアップデートを必ず行うとか、大前提を毎日数行書かなければなりませんか？

当該記事の修正を迫るなら、自分はこう書くべきだという模範解答を自分のblogに書いて、それを公開してください。謹んでこちらからリンクを貼らせて頂きます。

--------------------------

EoF

----------

みなさん、Microsoft Updateは適用されましたでしょうか？
ついでに IE6をまだ使っている方は、そろそろアナログ表示を見飽きたのではないでしょうか？（笑）


----------
電子メールの日 [1（いい）23（ふみ）]
電子メッセージング協議会（現 Eジャパン協議会）が1994年に制定。
全メールの9割が迷惑メールに、流通量は1年で40兆通
八甲田山の日
1902年,陸軍歩兵第五聯隊が八甲田山で遭難
真白き富士の嶺の日
1910年、逗子開成中学校の生徒ら12名が乗ったボートが遭難、全員が死亡。
ワンツースリーの日
これ？ ザ・ベストハウス123

----------
MS10-002で
[MS10-002] Internet Explorer 用の累積的なセキュリティ更新プログラム (978207)
さて・・この適用で本当に事態は終わったのでしょうか？

IEの臨時パッチ公開、できるだけ早く適用を
「mshtml.dll」をレンダリングエンジンとして使っているOutlookなどのアプリケーションを介して仕掛けられる可能性も指摘されている。しかし、これらのアプリケーションに脆弱性があるわけではないとMicrosoftは強調。今回のIEの更新プログラムを適用すれば、すべてのアプリケーションにかかわる脆弱性が解決されると説明している。
Trident系のエンジン使用のプロダクツは、本当に安全宣言してしまっていいものやら・・・
Now you too can mount your own Operation Aurora Attacks!!!
nが多いんですが・・・
Reproducing the "Aurora" IE Exploit
IE6 running on XP SP3 with the following patches missing is invulnerable to your exploit:
まずは一段落というところでしょうかネ
Thanks to H.D.Moore(もう余計なことはヤメテ）

Could Microsoft have fixed "Google hack" prior to attacks?
Kaminsky told Ars. "What, you think an organization like this has just one vulnerability? I don't even think it's very likely that all 33 companies were attacked with this fairly limited, IE6-only exploit—nor do I think it matters. What's interesting here is the who and the why, not at all the how.

あぁ・・不安を増やさないで（苦笑）

----------
さらば～IEよ～
Will switching from Internet Explorer make you safer?
長い・・・
今北産業！って言いたくなってしまう今日この頃・・・

あくまでも私的な話ですが（と断っておかないと怖い）

Ed Bott氏も言っている様に、IE6を使っていることが諸悪の根源であり、できれば根絶させてしまいたい。IE6を使っている理由は、きっと表に出せないような怪しいOSを使っているところがあるんだと邪推しています（XP SP3に上げるためにはGenuineを通さねばならず、だから某国のIE6使用率は60%超）。そういうアングラな環境下の「安全」の確保とか考えるだけナンセンスだと思っています。
※もう一方の某国のIE使用率は90%越という話ですが、これはActiveXを使っているサイトが異常に多く、どーにもならないかららしいです。
ついでに （完全に失敗作の）IE7もなくなってしまうと更に平和になります。少なくともIE7を使っていてIE8に上げたくない理由って何かあるんでしょうか？

というわけで、私としては別に IE8 であればつかっててもいいのでは？という結論は変わっていません。

ただ、毎回セキュリティ懸念の話になるたびに JavaScriptを（壊れた電球のように）切ったり点けたりするよりは、Firefox+NoScriptで「本当に心中してもかまわないサイト」だけ信頼したほうが精神衛生上よろしいのではありませんか？と提案しているに過ぎません。

こんな感じでいかがでしょうか？ > Lさん

参考：
自動更新が始まった“IE 8”はインストールすべきか？

----------
Pushdo
毎度頭が下がる FireEyeの Deep Insightですが、今回はお茶吹きました
Infiltrating Pushdo -- Part 1
SoftLayerに関しては
Keeping in mind the good relationship between FireEye and SoftLayer, we requested access to one of the CnCs. Nick Hale from the SoftLayer abuse department replied very quickly based on the evidence provided by FireEye.
というように、テイクダウンのための取り決めや、トラップ協力体制が確立しているようですので、以後の動きを楽しみにしておきましょう。

そして・・テイクダウン要求をだして、残ったのは・・・
These are the live servers:
WHOIS for 94.75.233.172 is like this:
netname: LEASEWEB
ぶーっ
やっぱアレですね、なかなか汚名を雪ぐのは大変のようです。

ちなみに、Pushdo/CutwailはBredrab/Bredolab系との関連が指摘されています。

----------
TLDで塞ぐなら
最初にお断りしておきますが、TLDで塞ぐという手段を私は１度も是認したことはありません（たぶん・・）
cNotesさんにもそんな意図はないはずです。
Zeus/zbot - aol.com
Zeus/zbot - sendspace.com 2
.cnのドメイン取得方法の変更により、最近のスパムメールの "TLD" は .pl が多くなってきました。
しかも、expireするまでの時間が１週間という、完全な使い捨てドメインですね。

こーゆードメインをDNSに取り込まない取り決めができないものかと思ったり・・・
ねぇ・・Google(8.8.8.8)さん？

----------
だから余計なことは言わ・・・
Mozilla、Firefox 3.6 正式版を発表！！
新型ウイルス「ガンブラー」対策に有効なプラグインチェックツールを提供、
あーっ！(ビットXORフラグON!)
Fx3.6:8080
あ～あ・・・

一瞬で看破されるような余計なことは書かないほうがいいと思いますよ・・・
どっかの首相もね（政治には深入りしない！）

余談：
ナースエンジェルりりかSOS 原作：秋元康ってマジですか！？（笑）

なぜか続くらしい
----------
ガンブラー vs SQL インジェクション
ガンブラー再燃を契機にセキュリティの基本を見直そう
一般的に、Web改ざんの手口はWebアプリケーションのぜい弱性を攻撃する「SQLインジェクション」が主流です。今回のガンブラー攻撃によるWeb改ざんにも、SQLインジェクションが使われた可能性があると推測しています

だからSQL（というかデータベース）のどこに FTPのID/PASSを平文で書くバカモノがいるんだYO。
※いや、いるかもしれないけど（笑）

Gumblarにしても Gumblar.8080にしても、過去から連綿と続くDrive by Downloadによるマルウェア汚染、スニファ埋め込みの被害であって、SQLの全く関係ない静的ページで構成されたサイトも陥落しているのはどうやって説明するんでしょうね？

余計なことは言わないに越したことがないので、これで終わり（笑）

埋め込みコード変えドメインも一新、拡散続ける正規サイト改ざん
ガンブラーと呼ばれている一連のサイト改ざん（Gumblar.x、8080）は、ウイルスに感染したサイト管理者のパソコンからサイト更新用のFTPアカウントを盗み出し、それを使って行っている。SQLインジェクションのようにWebサイトの穴を探して入り込んでくるのではなく、正面玄関から堂々と入って来てしまうのだ。
言っちゃらめ～（笑）

もちっと続く
----------
諦観
あなたのGumblar、わたしのGumblar
悟ったよ。しかめっ面でセキュリティの話をするのはセキュ会社に任せるよ派（underforge of lack派）
悟ってませんってば（笑）
まえから言ってることです

ちょっとここでずらずらっとタイムラインを自分的に整理だらだらと羅列してみました。

恥ずかしいので Hide ::

まず、最初に事態が発生したのは 2009年３月ごろ
lite～.cnとかいう変なドメインから "drive by download"なる攻撃手法が発生しました。
当初、原因ははっきりせず、やがて Adobe Flash/Readerの「最新版では塞がれている脆弱性」をつかった自動マルウェア埋め込みの手法であることが判明しました。
これは、当時としては「なにタワゴト言ってるんだ」というレベルの「Webを見ただけで感染」という手法であり、あまりそれを信用してもらえず、セキュリティ各社もあまり報道せず、事態は水面下で流れていきます。

そして、運命の 2009.04.05 PC通販ショップのGENOで感染が確認され、一度は感染コードの除去が行われたにもかかわらず、再感染というセンセーショナルな事態を引き起こします。

GENOが感染した際には gumblar.cnではなく、zlkon.lv(94.247.2.195 as hs.2-195.zlkon.lv)でした。このときには単純な難読化コードに jQuery.js への誘導コードが記述され、さらにそこからドライブ・バイ・ダウンロード攻撃のためのリンクに飛ばされました。

GENOが事あるごとに叩かれるのは、「コンピュータを売ってる店がそんな認識でいいのか？」という部分と「キャッシュを消せば大丈夫」ってあたり（笑）だとおもいますけど、同時期に感染した楽天系の２つの店はもっと対応が酷かったことはあまりしられておらず、私的には 「GENOウィルス」という呼称は好きではアリマセン。

ここで重要なことは従来言われていた「怪しいサイトにいかなければ大丈夫」という神話が崩壊したことです。普通一般のどこにでもあるサイトがある日突然、陥落して毒を吐き出すようになるというのは想像すらしていなかった攻撃ベクトルになりました。

その後、94.247.2.195は応答停止となり、終焉したかにおもわれましたが、わずかのブランクの後、初代Gumblar（Gumblar/Martuz)として凱旋してきました。このとき、初めて事態の深刻さがわかりました。初期の zlkon の攻撃時に「インストール」されていたマルウェアは潜伏中に感染ノードからありとあらゆる情報を盗み、一番有効な撹拌手段として、FTPアカウントを盗んでサイトを改ざんし、さらに感染者を増やすというねずみ講的手法に転じたのです。

しかも、このねずみ講には、大きな違いがありました。

zlkon.lv時代になかった「感染しない環境には普通のコードを返す」という逆発想的rootkit手法を導入したのです。更にはIP制限により、一度マルウェアをダウンロードした相手には一定期間配布しないという「ケチ政策」も施行されました。これにより、感染する可能性の低い環境には何も起きず、脆弱性のある環境への「無差別ターゲット型」攻撃という言語的にもにアリエナイ攻撃手法が確立しました。この手法により脆弱性を放置していた環境にのみ爆発的に広まり、かつ、普通にセキュリティ意識の高いユーザは何が起きているのかわからず、セキュリティ会社は検体を取得できないという、きわめて皮肉な結果が更なるパンデミックを引き起こしたのです。
しかも、この勤勉なマルウェア作者はほとんど毎日のように、javascriptコード、マルウェア本体の更新を行い、セキュ会社とのイタチゴッコなせめぎ合いの主導権を握り続けました。

このとき、悔やまれることは zlkon.lvのテイクダウンの際に、（ITパスポートのCMをうつ金があるなら）きちんとした対応策を IPAあたりが音頭を取って報道等で告知していれば、こんな事態になることはなかったのではないか？と思われることです。

しかし、まだこのときは救いがありました。gumblar.cnもmartuz.cnも、単独のIPであり、極端なことを言えばたった３つのIPを塞いでしまえば、この攻撃は無効化されたのです。
そして、このことをいまだに引きずって「危険なIP/TLDを塞げば大丈夫」という幻想を生む皮肉な結果になりました。

一方、攻撃手法として確立してしまった ドライブ・バイ・ダウンロードは、ますます嫌な進化を続け、8080ポートへのリバースプロキシを悪用した攻撃が水面下で進行していました。
この攻撃は、細かいスパンで切り替わる５基のラウンドロビンを使った大量のドメイン投入で、名称がつけられないまま 8080（仮）として、延々とラウンドロビンを差し替えながら感染ノードを増やしていました。

やがて、この 8080系も姿を消したかに見えた矢先の 2009年11月、ScanSafeとKasperskyが突然アラートを発し、「Gumblar復活」の烽火を上げたのです。

この新しいGumblar(Gumblar.X)は、以前の gumblarよりも更に洗練された攻撃で、その恐ろしく緻密に計算された陥落サイト群のヒエラルキー構成により、幾つものBOTが、複数の役目を絡み合いながら機能する、超並列Botサーバとなっていました。

しかし、この攻撃に使用されていた脆弱性は、既に塞がれていたものばかりで、これまで散々脅されていたユーザはきちんと Adobe系の穴を塞いでいたため、それほど深刻な事態にはなりませんでした。

ところが、その背後で 8080系が古くい癖に極めて有効なJava JREの脆弱性を取り入れ、一気に感染ノードを広げにかかりました。
これは、日本においてメーカ販売のPCに「プリインストール」されており、かつ自動更新の手続きがとられていないものが多いため、一気に日本で拡散する原因となりました。
また、マルウェア誘導コードに有名な日本のドメインがサブドメイン名やフォルダ名に羅列され、ホワイトリストと単純なORチェックを行っているIDSではスルーされてしまうという悲惨な状況も確認されています。
しかも悪いことに 12月初旬に Adobe Readerの脆弱性が公表、PoCが公開されたにもかかわらず 1/13まで放置されたことが致命傷に追い討ちを掛けました。
あー長かった。

というわけで、もしウチ的に "Gumblar"って何？と応えるとするなら

「いやなもの」

ということでどうでしょう（殴）

参考：
Malware Web Threats
GENO(ZLKON)ウイルス 新たな脅威？
Malware Domain List > Malware Related > Malicious Domains > Zlkon.lv
folumの検索結果: 8080
その後の正規サイト改ざん〔後篇〕(3):新たな攻撃手法～「新Nine Ball」「8080」
gumblar.cn

----------
忘れないように
自分へのメモ：

・MySQL の不明な脆弱性はまだ詳報がない（ということはFUDかな！？）
・VUPENの主張するDEP回避はまだ詳細不明（MS10-002で塞がれたのか！？）
・Juumla!のXSSが減らないため、一部のJuumlaサイトに切り替えを勧告中（難しいけど）
・ZeuSがOutlookへの CVE-2010-0249を使っているという情報有（未確認）ていうかヤメテ・・
・怪しげな Excel添付のメールが飛び交っている(開くなよ！）

----------
今日の楽しみ
ガンブラー(/*Exception*/) vs avast!
あーあーあ
しかし、Kasperskyはブロックルールの更新が早いのかな？　自分のTLDだけに、独自の何かを持ってるのかもしれない・・・
※Kasperskyはロシアの会社です。

----------
Gumblar.8080
91.121.74.84 AS16276(OVH Paris) *NEW IP
91.121.79.191 AS16276(OVH Paris)
91.121.88.218 AS16276(OVH Paris)
94.23.11.38 AS16276(OVH Paris) *NEW IP
217.23.5.27 AS49981(WORLDSTREAM) Netherlands
OVHに更に２つのIPが投入、もうこのISPは完全にダメだ・・

----------
Google Safe Browsing
| 1264190410 | B | [goog-black-hash 1.49386 update]
| 1264190402 | M | [goog-malware-hash 1.18826 update]
| 295465 | -1335(296800) 減っていく・・
| 1268902 |
EoF

世界糖尿病デー
埼玉県民の日
大分県民の日
パチンコの日 (1930.11.14 名古屋で初のパチンコ店営業許可)
いい石の日(石工) 「いい(11)石(14)」
アンチエイジングの日 「いい(11)とし(14)」

----------
同一生成元ポリシー

Same origin policy
リンクミス：結城さま、ご指摘感謝です。
同一生成元ポリシー
動的なブラウザプログラムが、その生成元のホストにしかネットワークアクセスできないこと、主としてJavaScript等ですが、Flash(Actionscript)も当然、この規範内に入ってなければならない性質のものです。

が、
Flash Origin Policy Attack
Adobe has been advised but has not issued an advisory as of yet, and no patch or easy mitigation information is available. It is possible of course to disable Flash entirely, or even selectively using addons and plugins for your browser of choice.

Flash Origin Policy Issues
ちょっとわかりにくいかもしれませんが、
GMail Flash Exploit
CSRF的な動作が成功しています（別のタグの中にgmailの内容が表示されている）

I would wonder what methods of detecting this exploit exist?
さてはて・・どうなることやら？

----------
Conficker Alert?

ウチにも来てましたね
Conficker patch via email?
典型的な FROM ヘッダ偽装でやってくるので、注意散漫な人は危険かもしれません。
Microsoft does not send patches, updates, anti-virus, or anti-spyware via email (hopefully ever). The following ended up in my inbox this aft. The subject was: Conflicker.B Infection Alert

添付物： Pushdo/Cutwail
2009.11.13 11/41

Pushdo/Cutwail Spambot - A Little Known BIG Problem

----------
WordPress 2.8.6

WordPress 2.8.6 セキュリティリリース
一つ目の問題点は、ベンジャミン・フレッシュ氏が発見した「Press This」ブックマークレットの XSS 脆弱性です。二つ目の問題点はダウィッド・ゴランスキ氏が発見したアップロードファイル名のサニタイズに関するものです。ある Apache 設定のもとでは脆弱性があることが確認されました。これらを発見し、報告してくれたベンジャミンとダヴィッドに感謝します。

WordPress ダッシュボード内、オートアップデートもしくは
WordPress 2.8.6 日本語版リリースのお知らせ
よりアップデートしましょう。

WordPress File Upload and Script Insertion 指標:2
POC:
[Full-disclosure] WordPress <= 2.8.5 Unrestricted File Upload Arbitrary PHP Code Execution

----------
Come in! XP!?

Microsoft Updateの後にWindows XPが起動しない？？
小野寺です。

Microsoft Update (11月のセキュリティ更新)を行った後に、Windows XPが起動しないという報告がWeb等でも散見されています。
この件、ですが、 ATI Radeon HD 2400 シリーズの古いバージョンのドライバに起因することが判明しました。
というわけで、セーフモードで起動した後、[Windows XP セキュリティ更新 (KB969947)]を削除（インストールした順番に削除を行う）し、古いRADEONのドライバを削除し、新しいRadeonドライバをダウンロードし、再インストールします。
（※ RADEON 2400 pci-e for WindowsXP : ATI Catalyst™ 9.10 Display Driver for Windows XP Professional/Home Edition

----------
Gumblar hit InterQ

interQ
Gumblar再来襲。interQのホームページスペース「404エラー」改ざん

InterQ
もう何が起きても驚きませんがネ・・

----------
iframe injection into mootools.js

Famous chip shop website battered by malicious Iframe injection
Fish&Chipsで有名なHarry Ramsden'sの公式サイトが陥落している模様。
といってもコレ、mootools.jsの中にインジェクションコードが挿入されているため、判りにくい・・・

86.109.164.61 AS16338 AUNA_Telecom-AS Cableuropa

logcentre.de
www.logcentre.de
www.logcentre.es
logcentre.org
www.movilitas.es
movilitas-consulting.com
www.logcentre.com
logcenter.org
www.logcentre.org
www.logcentre.cz
www.movilitas-consulting.com
Google先生、全スルー

以前もjQuery.jsにインジェクションされた例もありますので注意が必要ですが、改ざんチェックは更に厄介なものになるでしょう。

----------
プラグイン問題

第9回 プラグイン脆弱性問題に決め手はあるのか

by TrendMicro"cneter"
というか、問題提起だけして終わりってのもアレですね・・
そもそも、一般企業にどのくらいFirefoxが浸透してるのでしょうか？
XP+IE6が恐ろしく多いのが実情・・・

----------
Chrome OS next week?

GoogleのChrome OSが来週中にリリースされる
7月に発表されたGoogleのChrome OSプロジェクトは、信頼できる情報筋によると、来週中にはダウンロードして入手できるようになる（今日は11月13日）。Google自身は以前、このOSの初期的バージョンは秋ごろと言っていた。

さ～て、ふたを開けるのが楽しみです。

----------
ぐくった？

Googleの新言語「Go」、10年前に同じ名前の言語が開発されていた？
この件を受けて、フォーラムには「なんでGoogleは名前を付ける前にググらなかったんだ？」などの書き込みが寄せられている。

----------
RIP str0ke 1974-04-29 - 2009-11-03 09:23

Str0ke @ Milworm's Funeral is This Friday
I've just received information that str0ke @ milw0rm has passed away due to cardiac arrest early this morning at 9:23 AM.

ご冥福をお祈りいたします。
dmnlk 様、情報感謝です。

----------
Google Safe Browsing STATUS:
| 1258160416 | B | [goog-black-hash 1.44374 update]
| 1258160402 | M | [goog-malware-hash 1.17169 update]
| 351260 | 現在ブロック中
| 963372 | 過去にブロックされたものを含むログ
EoF

文化の日は1948年までは明治節）
文化勲章授章式
まんがの日(手塚治虫氏の誕生日。漫画の日は2/9の命日に制定されている）
ハンカチーフの日(マリー・アントワネットがルイ16世に「ハンカチーフの形は正方形にすべき」という政令を発布させたことに因む)
レコードの日
いいお産の日
ゴジラの日
みかんの日
文具の日
全日本剣道選手権大会

----------
2009 1H(Q1-Q2) Security Intelligence Report

Microsoftより、2009年上半期のセキュリティ・レポートが公開されました。

マイクロソフト セキュリティ インテリジェンス レポート 第 7 版 (2009 年 1 月 ～ 6 月)
日本語サマリだけでも27ページあります。

Security Intelligence Report v7 is Now Available
セキュリティ インテリジェンス レポート 第7版(2009年上半期)
最後に、日本は、今回感染率が、悪化したものの世界的に感染率の低い国には変わりなく、この低い理由を、IPA様の協力を得てベストプラクティス(最善策)としてまとめています。普段目にすることのない、いろいろな人の活動が少しだけ垣間見えるかもしれません。
※上述、日本語サマリ(Microsoft_Security_Intelligence_Report_volume_7_Key_Findings_Summary_Japanese.pdf)の最終頁参照

流し読みで見てとれるのは・・・・・
Win32/Taterfファミリ（ネットゲームのパスワード窃取トロイ）が相変わらず多いこと。
参考：オンラインゲームのパスワードを狙うウイルスが猛威、目的は「金銭」

Confickerの感染例が一般にはほとんどなく、企業内が多いこと（イントラの内側から侵食されるケースが多い）
XPの感染例が圧倒的に多いこと
CVE-2007-0071 (9.0.115.0 and earlier, and 8.0.39.0 and earlier) なんて代物がまだ影響を及ぼしていること（苦笑）
参考：Flash Playerのセキュリティ脆弱性に対処するためのアップデート公開 -- リリース日：2008年４月８日

ちなみに、この情報は MSRTにより実際に駆除された数のサマリーをベースにしていますので、（正常に稼働している）セキュソフトによって駆逐された数は含まれていません。
逆説的にいえば、ノーガードに近いPCの最後の防壁として MSRTが機能していることを示しています。

----------
Gumblar Magnified

Gumblarは現在機能停止中らしいのですが（自主規制なのか、インジェクショングループの抗争なのかは不明）
Gumblar update

7798	7271	＝1	UNITED STATES*
1765	499	↑7	INDIA
1332	345	↑12	ARGENTINA
1244	540	↑5	TURKEY
1094	704	↓2	RUSSIAN FEDERATION
1084	510	↓6	GERMANY
968	--	↑20+	SPAIN
950	619	↓4	ISLAMIC REPUBLIC OF IRAN
881	675	↓3	REPUBLIC OF KOREA
878	--	↑20+	MOROCCO
822	--	↑20+	CANADA
822	--	↑20+	PERU
792	487	↓8	JAPAN
712	400	↓9	THAILAND
689	--	↑20+	AUSTRIA
678	163	↑17	ROMANIA
655	382	↓10	POLAND
654	--	↑20+	ISRAEL
628	--	↑20+	SWEDEN
599	173	↓16	ITALY

Chinaが無いのが何故？とか思うんですが、ウォッチしている中国系のセキュリティレポートにも Gumblar系の話はあまり上がっていません。
あと、VTを使うなら実URLを載せるか、MD5/SHA1を公表するかしてほしいな

そういえば、真っ暗病の回復手段の詳細がITproに記載されていました。
Win32/Daonolの亜種に感染！セーフモードでも起動できないパソコンを復旧するには？
復旧方法はいいんですが、その後オーナがしなければならない対処を全く記述しないってのもどうなんでしょう？とか思うんですが・・・

----------
Pushdo/Cutwail revived

だれだ、レイズデッドさせたのは？（苦笑）
Malware Conceals Itself as Boss’s Letter
Cutwailスパム継続中 「Hello Darling」
しかし、古典的なスパムですね。やっぱ、スルーしてもいいか、、、
（笑）

年末年始のBotnet-spamの活動時期に差し掛かっていますので、メールサーバのspamフィルタ管理をされている方は注意を怠らないようにしましょう。

----------
National Cyber Security Awareness Month
は終わりました。

SANSの特集へのリンク集
Cyber Security Awareness Month 2009 - Summary and Links

終わりましたが、セキュリティへの取り組みはエンドレスです。
Next steps in cyber security awareness

セキュリティに対する認識やリテラシーを高める為には、日々の研鑚が必要ですが、それはほんの些細なことです。穴に落ちてしまう前に穴の位置を知っておくことが最も重要なことだと考えています。

・パスワードを入力する前に、本当にそれが必要なのかどうか１０秒くらい考えてみる。
・いままで普通に使えていたサービスが突然パスワードを聞いてきたとき、そのサイトが本当に自分のログインしようとしている先なのかチェックしてみる。
・モバイル通信を行う際に、WiFiやFONでパスワード送信しても大丈夫かどうか考えてみる。
・emailでソフトウェアアップデートの御案内が来たとき、その送信元が本当に正しいものなのか確認してみる。
・emailに記載されたURLをクリックした後、URLが見知らぬところにリダイレクトされていないかどうかチェックしてみる。
　※クリックしてる時点でアウトって説もありますが・・・

こいうったことは、習慣化することが必要なのでしょう。
※パスワード強度の話は、また別ですかね？

----------
Passwordの寿命

Password rules: Change them every 25 years

一般的に言われているパスワードの寿命は 90日です。
これは、謂わば呪文のように何度も聞かされ耳にタコが出来ている方もいらっしゃるかもしれません。

そうした、「パスワードを９０日ごとに変更しなさい」というルールは、この四半世紀変わっておらず、パスワードの寿命に関するルール定義そのものを２５年たった今、見直す必要があるのではないか？というオハナシです。

あなたは９０日御気にパスワードを変更していますか？
システムが強制的にパスワードを変更させる場合でも、一度違うパスワードを入力後、即元のパスワードに戻したりしていませんか？（苦笑）

----------
Joomla Jumi Components

CMS Joomla! の プラグイン、Jumiに深刻な脆弱性があり、任意PHPコードをサーバ内で動作させられてしまうとのことです

Issue 45: BACKDOOR in JUMI 2.0.5
Please remove JUMI2.0.5 from the download page immediately to stop people falling victim to this.
It will be simple enough to remove the compromised code from this download, but you need to do
a full security audit on your site as well as you have been compromised.

当該プラグインを使用中の方は急いで対処しましょう。


----------
ナイジェリア詐欺：イラク版

WTF is britisharmy.co.uk?
Lt.Col James Dox of the 1st Battalion 63rd Armor Regiment recently contacted me.
やけにまた具体的な部隊名ですこと・・

----------
ny!

NTTコミュニケーションズ、Winnyのウイルス感染で顧客情報流出
同社は再発防止に向けて、全社員および委託先に対し情報管理のさらなる徹底・強化を図るとしている。

自社でP2P域帯規制しておいて身内が使ってるんじゃ、根拠薄弱って言われそうですが・・

----------
クリーンインストール

Windows 7 upgrade version: The dos and don'ts
『Windows 7』アップグレード版のクリーン インストールに MS が警告

さて・・そろそろ Win7を入れないといけないんですが、なにも予備知識がない（笑）
というか Vistaから上げる必要も本当は無いんですが、テスト環境で１台は必要なので・・

勉強しておきますかネ・・
Windows 7、実はややこしいアップグレードの条件
Windows 7 のアップグレード版とアップグレードインストール -- 世の中は不思議なことだらけ

----------
gaming-scam

詐欺まがいが蔓延―ソーシャル・ゲームの邪悪のエコシステムは放っておけない
私がなぜこれを「エコシステム」と呼ぶかといえば、放置しておけばそれ自身でどんどん悪質化するサイクルが生じているからだ。ユーザーは紹介料目当てのインチキに誘い込まれる。ゲーム・サイトは金を儲ける。儲けた金はFacebookとMySpaceでのゲームの広告に使われ、ますます多くのユーザーを集める。

日本でも、ゲーム内アバターにひどい値段をつけて、「無料」「無料」と連呼しているトコは未だに健在なんですけどね～

----------
今朝は寒かったですね・・

EoF

----------
お知らせ

11月になりました。BGM:November Rain

今週は事務所の引越などがあり、遅延が予定されています。

今後どうなるかわかりませんが、出来る限り続けていきますのでお願いします。

----------
だいたい、月の初めの日はいろいろ記念日が多い・・

紅茶の日
灯台記念日
点字記念日
諸聖人の日（万聖節）
自衛隊記念日
寿司の日
犬の日
本格焼酎の日
泡盛の日
計量記念日計量法
友の日(ハローキティの誕生日)
古典の日

----------
最終日

Cyber Security Awareness Month - Day 31, ident
Welcome to day 31 of Cybersecurity Awareness Month!. I hope that you have enjoyed reading and responding to it as much as we have enjoyed writing it!

ちょっと分からないサービスやポートがあったりして調べ物をしたり、ごまかしたりしましたが、楽しかったですよ（笑）

最後は Ident(Identification Protocol)

TCP/113 Identについては以下が詳細に解説されています。
TCP/113 AUTH/IDENT に関して

このとき、Identプロトコルによって付与される所有者情報に何が記載されているのか、あるいは偽装されていないか？といった懸念を払拭するためにはどうしたらいいのか？
最大の防御は何も記述しないことになってしまうのではないでしょうか？（苦笑）

Ident について -- 1999.01

----------
Chat-in-the-Middle攻撃

銀行員を装いチャットで接近、ますます巧妙化するオンライン詐欺
一般的なフィッシング詐欺では、正規サイトに似せたサイト上でユーザーにIDやパスワードを入力させて情報を盗み出す。これに加えて、Chat-in- the-Middle攻撃ではライブチャットが始まると、ソーシャルエンジニアリングの手法を用いてユーザーに攻撃者を銀行担当者と信じさせる。会話を通じてユーザーの氏名や住所、メールアドレス、電話番号などのほか、ユーザー認証の際に使われる「秘密の質問」とその回答などの情報を聞き出そうとする。
ああ・・XMPPの評判がこんなとこで下がってしまう（笑）

----------
言霊って信じますか？

先日、Donbotのことを書いたときに Pushdo/Cutwail の勢力が低下とか書いちゃったわけですが・・
Cutwailを添付したスパム
えっと、まさかのCutwailスパムの大量受信です。。。
フラグを建ててはいけないという神（紙）のお告げなんでしょうか・・
From : boss@xxxx.yy.zz
Please read the attached letter and get back to my office for more details to proceed further.
Thanks and have a very nice day.
「ボスより。添付した文書を読んでから私のオフィスに来て詳しく説明してくれ。じゃ。」
こんなメールに引っかかる人はインターネット（笑）適性検査を受けた方がいいかもしれない・・・

----------
Conficker

もうすっかり存在を忘れてますが、結構勢力をキープしているようで・・？
After one year, Conficker infects 7 million computers
The Conficker worm has passed a dubious milestone. It has now infected more than 7 million [m] computers, security experts estimate.
7百万ユニークIPの感染BOTですか・・
Despite its size, Conficker has rarely been used by the criminals who control it. Why it hasn't been used more is a bit of a mystery.
spamの発信に使われるでもなし、DDoS攻撃に使われるでもなし・・なんか「ただ感染し、拡大を続けている」オートマトンのような存在になっています。

Infection Tracking

そういえば、Microsoftが出した25万ドルの懸賞金はどうなったのでしょう・・？（笑）

----------
人それぞれ

青色LEDが氾濫中、「目障り」？
青色LEDは輝度が高く目立ちやすいほか、また人間に不快・不安を感じさせたり、睡眠パターンの乱れや免疫システムに影響を与えるという研究もあるそうだが

JR東日本が、自殺防止目的で山手線全駅に青色LED照明を導入
ＪＲ東日本東京支社は１５日、山手線全２９駅のホームに青色ＬＥＤ（発光ダイオード）照明を導入すると発表した。青色は人の心を落ち着かせるとされ、増える飛び込み自殺を防ぐ狙いだ。全線での導入は全国的にも珍しい。

----------
もうそんな時期が・・

年賀状のフォントとハードリンク
もう年賀状の時期なのかぁ・・・
emailで済ませちゃだめですか？（笑）

----------
GSB中継サーバを落としてしまったので今日・明日はありません。

EoF

一斉に蝉が鳴きはじめました

----------
Adobe Insecure / Unpatched Version From Official Site
There has recently existed some confusion amongst the users of the Secunia PSI as they are puzzled as to why the latest downloaded Adobe Reader version from Adobe.com is reported as insecure by Secunia PSI.
...remember: The criminals only need one unpatched program to compromise your machine!

確かにコレはおかしいと前から思っていました。

Acrobat Reader をダウンロードすると 9.1.0という危険極まりないバージョンがダウンロードされ、9.1.1/9.1.2 へのアップデータが別添付という形になっています。

差分だけ落とせば域帯への影響が少ない？　とか思ってこうなってるのかどうかは判りませんが、普通一般のユーザはこの
Adobe Reader for Windows
インストラクションを見て、
Adobe Reader 9.1 - multiple languages
しか落とさない人がきっと多いはず・・・

現在 PDF 経由の攻撃が最も激化しているのですから、Adobeにはもうちょっと配慮してほしいものですね。
少なくとも 9.1.2 の入った Full Download を用意する義務があるはずです。

Adobe ships insecure version of Reader from official site

Adobeが脆弱性を抱える旧版Readerを配布、Secuniaが問題視

----------

Firefox 3.0.12 リリース リスク：最高４件を含む６件の脆弱性修正

Firefox 3.0.12 is Available

Firefox 旧バージョンのダウンロード

Firefox 3.5.1が既に発表されているため、3.0.xを使い続けることは、ゼロデイ対応の遅れ等のセキュリティリスクが伴うかもしれません。
2010/01までのサポートがアナウンスされています。

----------

Yahoo釣りに注意

フィッシング対策協議会、Yahoo! JAPANを騙るフィッシングに注意喚起
フィッシングメールは、「重要なお知らせです」というタイトルのメールで、送信者のアドレスはyahoo.co.jpドメインとなっている。「お客様の会員情報の更新をお願いします。」としてフィッシングサイトに誘導しようとする。本フィッシングメールによって誘導されるフィッシングサイト（http：//premiumsucsetions.●●●●●.com/yahoo-actions.co.jp/index.htm）は稼働中であり、JPCERT/CCにサイト閉鎖のための調査を依頼中だという。

Yahoo! JAPANをかたるフィッシング(2009/7/22)

稼働中といわれても・・・FreeHostingのサイトなんですよね、コレ。

攻撃サイトが１日くらいで閉鎖、新規開始を繰り返しているので、このテを潰していくのはかなり難しいです

Yahooツールバーを入れていると未然に防げるらしいですので、（私はゴテゴテしたツールバーは苦手ですが）Yahooアカウントでオークションなんかをやっている方は導入しておくのもいいかもしれません。

Yahoo!ツールバー
「フィッシング警告ボタン」を使うと、Yahoo! JAPANを装い個人情報を不正に取得しようとするサイトを表示したとき、警告画面を表示して注意を促します。Yahoo! JAPAN IDやパスワードなどをだまし取られるのを未然に防ぎます（※）。

----------

Bad Actors : FireEye's Block List

Bad Actors Part 7 - 3fn
That would be correct!
FTCが 防弾ホスト "3FN" を停止に追い込んでしばらく経過したわけですが、雨後のタケノコよろしく、悪意ホスティングは後を絶ちません。

Pushdo and Cutwail BotnetのIP群が公開されていますが多すぎ・・・

----------

PDF+Flash脆弱性？

Next-Generation Flash Vulnerability
In this exploitation the PDF exploiting the vulnerability includes multiple Flash streams (FWS). One of these is used to dynamically create the shellcode and uses a heap spray technique to increase the chances of success of the exploit. In this attack the heap is loaded with 64 MB of data.

このExploitsには、複数の Flashストリーム(FWS)を含んだ PDFが悪用されています。これらのうちひとつは悪意コードが成功する確立を高めるために、動的にshellcodeを作成し、Heap Sprayの技術を悪用しています。この攻撃では Heap は 64MBのデータをロードします。

PDFだと思って Adobe Reader の脆弱性かと思ったら Flash がらみだったということなのでしょうか？

As always, keep an eye out for the official patch from Adobe and ensure all products are up to date.
いつも Adobe製品の update に目を凝らさないといけないというのもナンダカナ・・という気はします。

とりあえず、現状で打てる対策は無い様子です。
（Vista + UACでは成功しない）

----------

bait (釣りえさ）

New set of Bait files

新たなおとりファイル

そんなエサでこの（ｒｙ

----------

あんしん処 セキュリ亭 ノート PC 紛失時の対策

あんしん処 セキュリ亭　第 4 回～ノート PC 紛失時の対策～
今月公開のセキュリ亭 (第 4 回 ～ノート PC 紛失時の対策～) では、セキュリティ レスポンス マネージャーの小野寺が出演しています。普段とは一味違う姿を、ぜひご覧ください。

!?
SoapBoxが見れないんですよね・・・

----------

iframe問題：ちょっと協力

NoScript単体でIFRAME禁止のすり抜けを確認 その2

Firefox 3.5.1 + NoScript 1.9.6.7

Windows Vista SP2
CentOS 5.3
Windows7 RC1
Windows XP SP3

から見てみましたが、すり抜け（右メニューバーの iframe) は確認できませんでした。
うーん・・原因不明ですね

----------
EoF

月曜日・・・西のほうでは雨が少なくて危険信号のようですが・・

------------------

最近、炉にくべるべきかどうか悩むシチュエーションが多く、リスト追加はペンディングになっていることが多いのですが・・・

TrendMicroが特集を組んでいた Botnetのひとつ、 Pushdo(Cutwail)ですが、Fireeyeがその C&CのIPを公表しました。

Killing the beast...Part I

McColoがシャットダウンさせられた(2008.11)後、コレだけの数に分散しているようです。中にはどこかで見かけたホストもありますね？

3FNがシャットダウンさせられてホッとしたのもつかの間、まだまだ Botnet対策はユーザの判断にゆだねられる部分が多いような気がします。

参考：
スパム容認ホスティング　McColo (AS26780)がインターネットから遮断 2008.11.14

Botnet Research on WALEDAC and PUSHDO

------------------

「なんでもかんでもスクリプトを使わせればいいってもんじゃない」
PDFなんかがその最たる例だと思っているのですが・・・

ドコモのN-06A/P-07A、ソフト更新未適用でiモード利用不可に
NTTドコモは、不具合が原因で販売停止中の夏モデル「N-06A」「P-07A」の2機種について、ユーザーだけに通達する形でソフトウェアアップデートを提供したことを明らかにした。適用しなければ、28日16時以降、当該機種でiモードが利用できなくなっているという。

ソフトウェア更新が行われていると、iモードブラウザのJavaScript機能が強制的に無効化されており、ドコモでは今後準備が整い次第、有効化する考え。なお、RefererやCookieは有効のままという。またソフトウェア更新が適用されていない端末では、音声通話やテレビ電話は利用できるものの、メールやiチャネルなどiモードサービスは一切利用できなくなっている。そのため、iモードを使ったソフトウェア更新サービスも利用できず、アップデートするには最寄りのドコモショップへ持ち込む必要がある。

「N-06A」および「P-07A」の不具合に伴う対応について -- 2009.05.28

大慌てで、こんなベタな穴塞ぎを行ったのは・・・？

ソフトウェア更新未適用端末がiモードへ接続できないようにした背景として、ドコモでは「たとえばiモード公式の有料サイトへアクセスすると、課金登録をしていなくてもコンテンツを利用できる可能性があった」としている。

なるほど、納得（苦笑）

気になったのは
iモードブラウザ2.0新機能一覧
JavaScript機能
ECMA-262に準拠したJavaScriptに対応します。

え？これだけ？　全部動くの？（というか動いていいの？）
LiMoベースの携帯に関しては勉強不足なのでなんともいえませんけど・・

------------------

世界で30,000(一部報道では40,000)サイトが感染している！と警報を出した Websenseですが

Beladen Update: Drastic Decrease in Infected Sites
The decrease in infections is highly suspicious, and we believe that the infected hosts are still under the control of the attackers. We suspect that those behind the infections may be automatically removing the injected scripts, getting ready to launch a new injection campaign soon.

インジェクションが急激に減少している様子をグラフで表示し、これらのサイトは現在も攻撃者の制御下にあり、自動的にインジェクションコードを除去された可能性が高いとして、新しい攻撃の前兆とみて警告しています。

Beladenの感染サイトは見当たらないけど、現在進行中の .cn を多数含むインジェクションに感染したサイトはすぐに見つかります。

------------------

あれ・・えっと・・
オチになりそうなネタがみつからなかった（汗）