UnderForge of Lack

カチューシャの唄の日
バングラデシュ 独立記念日 (1971年)
楽聖忌 ルートヴィヒ・ヴァン・ベートーヴェン 没 （1827年）
犀星忌 室生犀星 没 (1962年)
パラメトロン計算機PC-1が完成。1958年

----------
PWNED #
セキュリティカンファレンス「CanSecWest」で、恒例のハッキングの腕を競うコンテスト Pwn2Own で今年もまた・・
「iPhone」「Safari」「IE8」「Firefox」がハッキングされる--Pwn2Ownコンテスト
IE8, Safari, iPhone All Fall At Pwn2Own Contest
iPhone, IE, Firefox, Safari get stomped at hacker contest
Pwn2Own 2010: iPhone hacked - as well as IE 8, Firefox and Safari
Firefox, IE8 and Safari hacked at CanSecWest
IE8, Safari 4, Firefox 3, iPhone fall on day 1 of Pwn2Own
Windows 7とSnow Leopard、ハックイベントで仲良く陥落

IE8 with Win7
Hacker exploits IE8 on Windows 7 to Win Pwn2Own
Hacker exploits IE8 on Windows 7 to win Pwn2Own

Firefox
Mozilla Firefox Hacked at Pwn2Own Contest
Pwn2Own hack topples Firefox on Windows

Safari on MacBook
Pwn2Own Safari Attack: Charlie Miller Hijacks MacBook
Charlie Miller on His Pwn2Own Win(インタビュー)
Pwn2Own MacBook attack: Charlie Miller hacks Safari again

iPhone
iPhone Hacked at Pwn2Own; SMS Database Stolen
Pwn2Own 2010: iPhone hacked, SMS database hijacked
iPhoneのブラウザに脆弱性、ページを開いただけで SMSやメールを漏洩

※ZDnetとThreatPostは寄稿者が同じなのですが、体裁がちょっと違っているので貼ってみました。

速攻で対処が望まれるのは iPhoneのReturn-into-libc攻撃でしょうか？ 軽減策がみあたりませんが、ユーザ "mobile"の権限を制限する方法があるのかな？

後々、問題になりそうなのがコレ
Researchers Finding New Ways to Bypass Exploit Mitigations
However, as several talks at the CanSecWest conference and the results of the related Pwn2Own hacking contest here have shown, difficult is not the same as impossible. The clearest example of this is the Pwn2Own victory by Peter Vreugdenhil, a Dutch researcher who was able to exploit a previously unknown vulnerability in Internet Explorer 8 on 64-bit Windows 7 after bypassing both ASLR and DEP.
完全に手法が確立しているわけでは無さそうですが、「困難」と「不可能」は違うというのは耳に痛いですね。

"The attackers can recreate the SEH chain," Suzuki said(Suichiro Suzuki, a researcher at Fourteenforty Research Institute).
お～

Hacker Bypasses Windows 7 Anti-Exploit Features In IE 8 Hack

それにしても、賞金1M$ かぁ・・ウラヤマシ

----------
クリックするな！ #
Millions continue to click on spam
Yet, only 36% of consumers believe they might get a virus and 46% of those who opened spam did so intentionally.
開かないで～！（苦笑）
このへんの教育って、どの時期にやるべきものなのでしょうね？

Source:
2010 MAAWG Email Security Awareness and Usage Report -- Issued March 2010
Spam goes down well

続く
----------
陥落すると・・ #
Bot陥落しちゃうと好き放題になるというお話
Hackers hit where they live
The vast majority of these junk mail messages came from compromised malware-infested networks of zombie PCs (aka botnets) MessageLabs reports that 77 per cent of spam sent from the Rustock botnet this month used secure TLS connections.
企業内の感染BotがTLSを使ったspam送信を行うので、更にトラフィックを上げられてしまうと・・

The outbound traffic frequently outweighs the size of the spam message itself and can significantly tax the workload on corporate email servers.
まさに踏んだりけったりですね

ネットワーク管理者は、（たま～にでいいですから）、ログを監視し、あるいは abuse にやってくるメールをチェックしたり、自分のドメインを検索して、ブラックリストに引っかかっていないかチェックしたりしてみるのもいいでしょう。

微妙に続く
----------
Apple App Store #
Fake Apple App Store Malicious Spam
！！（Dr.Waledacの登場でのけぞった）

updates.exe
2010.03.24 14:50:30 (UTC) 12/41 (29.27%)
updates.exe
2010.03.25 22:45:19 (UTC) 22/41 (53.66%)
spamにクッツイテる添付やURL先のものは、急速に検出率が上がりますね。
しかし、iPhoneネタで .exe ってのは何となく納得いかないものもあるのですが・・

Spammers Spoof the Apple Store

更に続く
----------
spam(s) #
今日はスパムネタが多いですね。

Zeus wants to do your taxes
If you want to check out your own logs to catch this and similar attacks, I'd suggest looking for domains that look like www.irs.gov. and downloaded executables with the word "tax" in them.
というわけで、いつもの IRSを騙るspam ですね。
hXXp://www.irs.gov.rccesi・net/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.we1sae・kr/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rcceko・com/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rccesa・com/fraud.applications/application/statement.php?以下略
hXXp://www.irs.gov.rfsderw.me・uk/fraud.applications/application/statement.php?以下略
あたりでしょうが、この辺をドメインベースで弾いても意味は無いでしょう。

Child Tax Credit is the New Phishing Bait
亜種もあるようで・・

まだ続く
----------
spam(s) #
今日はスパムネタが異常に多いですね。
こんどは訴訟です。
Mal/RtfExe-A: A bogus legal email campaign “Complaint filled against you.”
The case number is 3478254. The reason the lawsuit was filed was due to a completely inadequate response from your company for copyright infrigement that our client Danilison Inc is a victim of.
著作権侵害ですか・・・
貼ってあるlinkはRTF(.doc)ですが、中身は PPDFです（苦笑）
しかしコレ、本当にこういう書面が RIAAあたりから届くこともあるので、笑えないですね。

"Copyright Lawsuit filed against you"
Responding to "Copyright Lawsuit filed against you"
How bad is it for us?
Using those details it's time to evaluate the impact this attack has had on your firm. If you have anyone who downloaded the file, or evidence of a machine reaching out for the next-stage then you pull your Malware Incident response document off of the shelf and follow that. We all have differing levels of documentation to refer to, but there's always some sort of plan, even if it's "update resume."
suit_documents.doc
2010.03.25 14:58:53 (UTC) 10/42 (23.81%)
suit_documents.doc
2010.03.25 21:06:40 (UTC) 10/42 (23.81%)
7時間ではあまり検出上昇していませんね・・ちょっと厄介かも

Fake Lawsuit Notification Attack
偽の訴訟通知攻撃

----------
HURRY!

----------
20年 #
振り込め詐欺「キング」に懲役２０年判決
わいせつ事件の示談金などを名目とした振り込め詐欺事件で、組織犯罪処罰法違反（組織的詐欺）などに問われた詐欺グループの主犯格で、グループ内で「キング」と呼ばれていた無職戸田雅樹被告（３１）の判決が２４日、東京地裁であった。
菱田泰信裁判長は「被告は詐欺の手口ごとにグループを分けて収益を競わせるなど集団を高度に組織化し、主宰者として職業的に犯行を繰り返していた」と述べ、懲役２０年（求刑・懲役２３年）を言い渡した。
well!

続く
----------
こっちも20年 #
TJX hacker gets 20-year jail sentence
Convicted cyber-criminal Albert Gonzalez, the mastermind hacker behind the TJX and Hannaford data breaches, was today sentenced to 20 years in jail.
GJ!

TJX hacker sent to jail for 20 years after stealing 40 million credit cards

----------
Other #

「Kenzero」騒動～５千名超の被害者を出し「さらしサイト」閉鎖、終焉へ
和解金の振込先は、昨年11月に起きたKenzero騒動の時に指定されていた銀行口座と同じものが使われており、同一犯によるものとみられる。
突如、実家帰省 -- Outer Heaven
さて、記事内にて「この件に関しては書くと長くなるので、記事の一番最後に書きますね」ってのがありましたね？

オバマ大統領のTwitterアカウント乗っ取り犯が逮捕
Man arrested for attack on Twitter accounts
French suspect grilled over Obama Twitter hack
愉快犯とはいえ・・

Shadowserver's thoughts on the B49 Waledac Effort
Operation B49(Waledac掃討作戦）その後

Mac Malware – fact or fiction?
One of the questions I am most often asked has to do with the supposed “immunity” of Mac. The first thing I always explain is that no system is invulnerable, and that in the case of Apple, it is not renowned for paying much attention to leopard-logosecurity. Depending on the person’s fondness for Apple, the tone of my reply may vary, yet the reaction is invariably one of surprise: “Really? I’ve been using Mac for years, and as far as I know I haven’t been infected”.
感染してからでは遅い・・とはいえ、Mac上のウィルス・マルウェアを見たことが無いというのは一般のMacユーザの心証でしょうね。昔はMac上の"Joke"ウィルスのほうが圧倒的に多かったのですが・・・

大阪市水道局、プレスリリースに誤って個人情報を掲載
ちなみにこの添付ファイルは、「検定満期メータ取替票」をスキャナで読み込んだもので、ソフト上で個人情報が見えなくなるよう、加工し添付資料として、全体をPDF化したものだったが、PDF化した添付ファイル中の資料をコピーし、別のファイルに貼り付けたとき、見えなくなるよう加工したはずの個人情報が閲覧できたという。
黒塗り・・・

Rogue Toolbars Serve Up Facebook Phishing Pages
妙なツールバーをインストールしてはいけません。

IEの未修正の脆弱性を突く攻撃が急増――セキュリティ・ベンダーが警告
修正パッチはいまだ提供されず、専門家は早期リリースを進言中
もう修正しないでいいから、IE6とIE7を捨てるように勧告してください（笑）

03/14(日)～03/20(土) のセキュリティ関連情報

Targeted Attack uses FIFA World Cup 2010 as a hook
これもspam + PPDF

Shanghai Expo Spam Carries Backdoor
これもspam + PPDF

もう好きにして・・・・

出版大手31社が電子書籍の分野で団結
護送船団方式・・

bad advice: disable your av
yeah, this WTF moment was brought to you by a facebook application development company called chainn who thought it would be a good idea to tell users to disable (or even remove) norton anti-virus.
うはは（笑）

YouTube does a Lindsay and takes a tumble


ワォッ！ Ad.lyがTechCrunchのつぶやき1回を7000ドルで売リたいって
この話に乗るかって？ もちろん、やりますよ。純粋に調査目的なので、念のため。広告主が本当に払うかどうか見てみたいからね。7000ドルは、Golden Gate Lab Rescueに寄付する。
そうこなくっちゃ！（笑）

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	71611	AS16276	03/12 19:40:15	03/26 11:00:36
91.121.137.124	49406	AS16276	03/17 23:50:25	03/26 11:00:36
94.75.229.72	42909	AS16265	03/18 01:10:26	03/26 11:00:36
91.121.163.215	41229	AS16276	03/12 18:10:17	03/26 11:00:36
91.121.180.55	27990	AS16276	03/13 01:10:16	03/26 11:00:36
91.121.134.58	22982	AS16276	03/16 10:40:28	03/26 11:00:36
94.23.12.62	19767	AS16276	03/20 06:40:26	03/26 11:00:36
94.23.246.172	7408	AS16276	03/22 13:10:32	03/26 11:00:36
91.121.8.73	5663	AS16276	03/22 06:10:23	03/26 11:00:36
91.121.121.227	4768	AS16276	03/17 20:10:21	03/26 11:00:36
93.89.80.117	4536	AS39326	03/15 13:10:31	03/26 11:00:36
85.131.217.251	323	AS34309	03/26 01:50:40	03/26 11:00:36
94.23.235.93	7753	AS16276	03/20 10:10:32	03/26 10:40:32
94.23.231.140	1901	AS16276	03/16 20:40:34	03/26 10:40:32
91.121.24.139	94580	AS16276	02/17 10:35:20	03/26 10:00:37
91.121.155.20	2092	AS16276	03/17 21:10:22	03/26 09:40:34
95.168.183.126	995	AS28753	03/26 01:10:35	03/26 08:40:39
85.25.137.71	202	AS8972	03/26 03:10:48	03/26 03:40:43
91.191.167.14	211	AS28753	03/26 02:10:36	03/26 02:40:31
94.23.13.65	11613	AS16276	03/16 22:10:24	03/26 01:40:35
91.121.108.38	11447	AS16276	03/20 06:10:36	03/26 01:40:35
91.121.7.26	80225	AS16276	02/20 05:50:34	03/26 01:10:35
91.121.85.178	14094	AS16276	03/15 00:10:34	03/26 01:10:35
91.121.113.184	1576	AS16276	03/17 03:10:41	03/25 23:40:34
91.121.64.214	33413	AS16276	03/12 07:40:30	03/25 22:10:39
91.121.147.163	4988	AS16276	03/12 08:10:27	03/25 22:00:39
91.121.184.167	31558	AS16276	03/12 17:40:15	03/25 21:40:38
62.75.218.192	50785	AS8972	02/17 12:30:27	03/25 18:40:31
194.150.236.199	1013	AS44976	03/15 07:40:38	03/25 01:40:27
193.138.206.254	7486	AS35470	03/23 17:40:22	03/24 19:00:29
88.198.55.175	107	AS24940	03/24 05:50:25	03/24 06:10:27

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[68]IPs

----------
Google Safe Browsing #
| 1269558005 | B | [goog-black-hash 1.53862 update]
| 1269558001 | M | [goog-malware-hash 1.20306 update]
| 308734 | -453(309187)
| 1536142 |
EoF

国際女性デー(International Women's Day)
エスカレーターの日
みつばちの日 「みつ(3)ばち(8)」
みやげの日 「み(3)や(8)げ」
さやえんどうの日 「さ(3)や(8)」
鯖すしの日 「さ(3)ば(8)」
サワークリームの日 「サ(3)ワ(8)ー」
ビールサーバーの日 「サー(3)バー(8)」
※サーバーの日は無いようです・・・

----------
またTwitterか・・ #
John C. Dvorak falls victim to Twitter hacking
コンピュータやIT関連技術の評論家として著名な John C. Dvorak氏の Twitterアカウントが窃取され、フィッシング誘導のTweetSpamに使用されていた模様。
日本ではまだ被害者は少ないようですが、"I lost 20 lbs in 2 weeks!!"のようなメッセージを見、そのリンク上でIDか何かを入力した覚えのある方は、速やかにパスワードの変更を行い、（もし使いまわしパスワードが存在するなら）水平的漏洩を防いでください。

Dvorak admitted he had a weak password, it's possible this attack was brute force.
あーあーあー・・・
Twitterの場合、IDが確実にバレている（笑）ので、弱いパスワードはダメです。

----------
Opachki #
なんか懐かしい名前ですが、去年の暮れ頃にSpybotを大混乱に陥らせた RU発のトロイ
Opachki.a
が、戻ってきたとか？
March 2010 Opachki Trojan update and sample
Spybot found opachki.ru

でも、こういうのにひっかかるのはどうかと思うのです
dropper.exe
37/42 (88.10%) 2010.03.07 16:46:50 (UTC)

参考：
Spybot - Search & Destroy 1.6.2.46 エラー -- 2009.10.22

----------
難読化コードが「勝手に」UPされた？ #
Website(s) hacked; can anyone tell me what exactly this malicious code does or allows?
これはこれは・・派手な難読化コードですね。
今話題になっている .htaccess の PHP版のような感じでしょうか？
※同様のスクリプトは WordPressのコア･ファイル内にも差し込まれていたようです。

対策はいつもどおり・・・・のはずです。
ログを請求できるISPには、FTP/SSH(!?)のログを定期的に出してもらうのも良いかもしれません。
※解析するにはある程度のスキルも必要です。

びみょに続くのかもしれない
----------
ChocolateBox #
Explo.it のOffensive Securityが、「攻撃的」に解説するコーナー
QuickZip Stack BOF 0day: a box of chocolates
なんか、Damnやら Run ! Hunter Run ! やら、ノリがアレゲですが、最後が owned! で終わっていますので、この聞いたことの無いアーカイバツールでShellCodeの実行に成功しているようですね。

内容に関してはともかく、こうした難読化されたコードが日常的に使われるようになり、「ナントモ思わなくなる」ことのほうが恐ろしいですね。

----------
炉 #
lots of fake antivirus, zeus/wsnpoem and other badware domains
Over 200 trojan, ransomware, and other bad domains you don’t want you or your users visiting. Sources include www.malwaredomainlist.com, malwareurl.com, and unmaskparasites.com:
ZeuS系のドメインは、登録するだけムダ（次々に使い捨てにされるため）という説もありますが・・・

----------
実効性 #
Spamhaus: Microsoft's botnet cull had little effect
Microsoft's takedown of the Waledac botnet has not been effective, according to some security researchers.
まぁ、そんなもんですよねぇ・
ドメインが使い捨てなのは今に始まったことではありませんし、陥落しているZombieにMSRTがアタッチするよりも先に Waledac(あるいは別の）がアプローチしそうな気はしないでもないです。
かといって、何もしないまま放置するわけにも行かないので、私としては今回のMSの努力に心から敬意を表したいと思います。

"Microsoft might have decapitated [Waledac], it should be interesting to watch," said F-Secure researcher Sean Sullivan.
「ムダだろ」と言ってる暇と余裕があるならテイクダウンに協力したらどうなんです？ > Spamhaus& F-Secure

----------
apache shellcode? #
Apache 2.2.14 mod_isapi Dangling Pointer Remote SYSTEM Exploit
Verified: no

Apache Module mod_isapi
This module implements the Internet Server extension API. It allows Internet Server extensions (e.g. ISAPI .dll modules) to be served by Apache for Windows, subject to the noted restrictions.
これ何？って感じなのですが（IISはほんとにわかりません）・・・

----------
NoRedirect #
Firefox Add-on「NoRedirect」で HTTP レスポンスコードによるリダイレクトを防止する
私も、設定に手間喰っています（泣）
辞書とか翻訳とかを大量に使うのと、携帯用のサイト（リダイレクトの雨あられ）で、「通し」ルールを確定するためにをいろいろ試しているのですが、まだ上手く動いていません（Googleだけは通るんですが・・・）

NoRedirectを使ってみた
う・・再起動が必要なのかな？
後でやってみます。

----------
さようなら～ #
IE6、安らかに眠れ。ブログには葬儀の写真や動画。マイクロソフトからは献花もあり
コロラド州デンバーのデザイン企業のAten Design Groupが、世間から大いに疎んじられたInternet Explorer 6（IE6）の葬儀を執り行う予定だという記事を掲載した。この葬儀は3月4日に行われた。
（笑）こういうノリは大好きです。

葬儀に送られた献花に添えられたカードにもそういう趣旨のことが書いてある。カードの文言は次の通り。「Thanks for the good times, IE6. See you all @ MIX, where we’ll show a little piece of IE heaven. The Internet Explorer Team @ Microsoft」。
うははは

----------
8080 #

	count	ASN	登録	更新
91.121.24.139	61048	AS16276	02/17 10:35:20	03/08 08:10:22
91.121.108.53	58329	AS16276	02/17 10:35:20	03/08 08:10:22
91.121.7.26	44747	AS16276	02/20 05:50:34	03/08 08:10:22
91.204.116.79	20432	AS44976	02/20 04:50:59	03/08 08:10:22
213.251.133.159	3398	AS16276	02/17 18:00:50	03/08 08:10:22
91.204.116.114	3202	AS44976	02/24 23:30:07	03/08 08:00:16
78.41.156.236	5317	AS6908	02/18 20:00:43	03/08 07:40:15
62.75.218.192	30055	AS8972	02/17 12:30:27	03/08 07:00:21
84.200.227.144	3423	AS31400	02/17 12:30:27	03/08 05:10:13
87.106.247.193	1978	AS8560	02/17 19:40:50	03/08 04:40:13
86.58.190.93	808	AS16095	02/26 10:50:08	03/07 00:00:14
94.23.11.38	45692	AS16276	02/17 10:35:20	03/03 11:30:11

真っ赤:24H以内登録　赤:5日以内登録　薄赤:24H以内更新　5日経過:[50]IPs

ログを見ていると・・・ []内は同一ラウンドロビンのドメイン数
62.75.218.192/87.106.247.193/91.121.24.139/91.121.108.53/91.204.116.79/ :[42]
↓
62.75.218.192/84.200.227.144/91.121.24.139/91.121.108.53/91.204.116.79/ :[41]
62.75.218.192/87.106.247.193/91.121.24.139/91.121.108.53/91.204.116.79/ :[1]
↓
62.75.218.192/84.200.227.144/91.121.24.139/91.121.108.53/91.204.116.79/:[41]
62.75.218.192/91.121.24.139/91.204.116.79/91.204.116.114/213.251.133.159/:[1]
という感じで1個のドメインだけ別の設定で廻っていることがたまにあります。GoogleDNSのキャッシュの問題かもしれませんが、気になったので一応・・・

あと、countは ドメイン * 6 * 24 / Day (現在は6048) で増えていきます。
ドメイン（現在は42個)は増減しますので、一定ではありません。

----------
Google Safe Browsing #
| 1267992032 | B | [goog-black-hash 1.52555 update]
| 1267992002 | M | [goog-malware-hash 1.19876 update]
| 305819 | -1327 (307146) 漸減中
| 1452230 |
EoF

二・二六事件の日
脱出の日
パナマ運河開通記念日 1914年
咸臨丸の日
血液銀行開業記念日

----------
Operation b49 #
Cracking Down on Botnets
we have executed a major botnet takedown of Waledac, a large and well-known “spambot.”
*clap* *clap* *clap*
すばらしいっ！
トレードマークの Dr.Waledacもしばらくは出て来れないでしょう（笑）
Three days into the effort, Operation b49 has effectively shut down connections to the vast majority of Waledac-infected computers, and our goal is to make that disruption permanent. But the operation hasn’t cleaned the infected computers and is not a silver bullet for undoing all the damage we believe Waledac has caused. Although the zombies are now largely out of the bot-herders’ control, they are still infected with the original malware.
Botnetに「銀の弾丸（特効武器）」は無く、C&Cを失ったゾンビは今後も潜伏し続けることでしょう。このあたりの徹底的な掃討は各Cert、セキュリティ機関及びISPの連携が必要です。そして、それが無ければ Mega-Dのように再び復活してくることになるかもしれません。

Dismantling Waledac
Microsoft Ambushes Waledac Botnet, Shutters Whistleblower Site
正に「アンブッシュ」ですね。
いずれにせよ、Botnetに堕ちるようなPCを運用していることが問題であって、そういう環境を一日も早く払拭することが重要です。

続く？
----------
MS KILLED Whistleblower site, too? #
ところで、Cryptome.org と今回の一件の因果関係が良くわからないのですが・・・
Microsoft Takes Down Whistleblower Site, Read the Secret Doc Here

Microsoft's wiretap guide goes online, security site goes offline
Long-established privacy and cryptology website Cryptome.org was pulled offline on Wednesday after Microsoft launched a legal offensive over its publication of Redmond's guide to internet wiretapping.
Cryptome restored after Microsoft change of heart
Microsoft to Withdraw Copyright Complaint, Cryptome Coming Back Online
Network Solutions says it will announce the withdrawal of the DMCA copyright complaint by Microsoft and the return of Cryptome online later this morning.
DMCAの濫用ともとれる内容ですが、何だかよくわかりません。

----------
しくしく
MS の Complaint PDFを開こうとしたら固まるので時間取られました・・

----------
tDiary #
tDiary 付属のプラグイン tb-send.rb におけるクロスサイトスクリプティングの脆弱性
update: tDiaryの脆弱性に関する報告(2010-02-25)
問題が発現するブラウザに制約があり、現在のところ確認されているのはIE7を使って日記を更新する場合のみになります(これより古いブラウザでも発生する可能性がありますが、開発元では確認していません)。Firefox、Opera、Safariなどの主要なブラウザでは発生しておりません。
また、tDiary 2.2に特有の問題であり、tDiary 2.3では発生しません。さらに、tb-send.rbプラグイン(TrackBack送信プラグイン)が有効になっている場合のみに発生します。
すごいピンポイントなんですね。

tDiary Unspecified Cross-Site Scripting Vulnerability 2

----------
so-net articles #
サイト改ざん猛威：「8080」がコード変更、「Gumblar.x」も攻撃再開
大手サイトの改ざんがおおむね沈静化し、メディアでの露出度がめっきり減った「ガンブラー」だが、そんな表向きの情勢とは裏腹に、ネット上では相変わらずの改ざん/再改ざんが繰り広げられている。
サイト改ざん猛威：ウイルス感染を100％防げる「ソフトウェアの更新」を
これらは、ウイルス感染を防ぐための基本対策の一部に過ぎないのだが、たったこれだけで、現行のGumblar.x/8080のウイルス感染を100％防ぐことができる。これは、この数か月間変わらぬ内容なのだが、実施していない方が多いというのが実情のようだ。
サイト改ざん猛威：感染パソコンの修復は「OSの再インストール」が近道
ダウンロード機能やアップデート機能も持っているため、感染後もシステムをいじり放題。感染パソコンを感染前の状態に戻すのは、ほとんど絶望的と考えるのが賢明だ。
いつもいつも的確な記事をありがとうございます。

----------
SQL #
モンベルの報告書：
不正アクセスによる情報漏えいの内容
不正アクセスの日時・攻撃手法
日時：2010年1月25日午前3時39分～1月26日午前6時37分にかけて断続的に
攻撃元：海外（中国のIPアドレス）
攻撃手法：弊社ウェブサーバー内のデータベースに対する「SQLインジェクション」（コンピュータ言語を悪用し、データベースを不正に操作する攻撃方法）。
※ガンブラー・ウイルスによる攻撃ではありません。
SQLインジェクションなら、使用していたCMSも公開して欲しいなぁ・・オリジナルだったらショウガナイですが。

参考：
Anatomy of a SQL Injection Attack

----------
Picasa #
Google Picasa JPEG Processing Integer Overflow Vulnerability 3

Update to version 3.6 build 105.41.

----------
IBM Tokyo SOC #
ZeuSの国内レポートは貴重ですね
東京SOCでのZeus/Zbot検知状況【Tokyo SOC Report】
これは、1～3 のウィルス・ファイルのダウンロードがクライアントPCにて発生した件数をカウントしています。
毎月5件程度のダウンロードが確認されています。昨年、感染を拡大したGumblar.X攻撃によるウィルス・ダウンロードと比べると検知件数が大幅に少ないことが分かります (Gumblar.X攻撃によるウィルス・ダウンロードは、2009年10月には約2千件確認されていました(*2))。様々なベンダーから、 Zeus/Zbotに関連する不審なメールが出回っているという情報が日々公開されていますが、実際の被害に遭う事例は少ないようです。
グラフの縦軸が １桁なのに注目！

国内の ZeuS の感染事例は確かに少ないようですね。

----------
Skypeのspam #
skypeに届くspam
確かに最近多いですね・・

----------
RSA conference #
RSA 2010: Top 15 Conference Sessions You Shouldn't Miss

Conference Stuff

----------
(笑) #
Teaching Some Security. Asking for help!
最高！
日本語版も作ってあげてください。

----------
pass-the-hash攻撃 #
Pass The Hash
良く知らなかったのですが、暗号化（Hash'ed）された文字列そのものを盗んで、正規パスワードを知ることなくアクセスできるという攻撃手法です。

詳細：
Pass-the-hash attacks: Tools and Mitigation

----------
Twitter釣り続行中 #
「This you????」　TwitterのフィッシングDM、日本でも出回る

This you?? What's the point of phishing a Twitter account?

----------
Password #
「パスワードの使い回しを防ぐ方法教えます」――米セキュリティ企業
パスワード使い回しの危険を避ける便利な方法――Websenseが紹介

元：
Top Secrets About Your Passwords

もういっそ覚えられないパスワードにして、マスターパスワード設定できるアプリ（きちんとマスターパスワードとの合成暗号化を行っていることが必須条件ですが）に記憶させ、パスワード自体はtxtにメモって自分で暗号化かけてFD（笑）にでも保管しておくとか・・・いろいろ考えるのですがなかなかうまくいきませんね。

----------
8080 #

	count	ASN	登録	更新
94.23.11.38	25651	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.24.139	21513	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.108.53	20140	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.7.26	13879	AS16276	02/20 05:50:34	02/26 08:50:05
89.149.244.211	8656	AS28753	02/20 08:30:31	02/26 08:50:05
89.110.147.181	4545	AS24989	02/17 13:30:59	02/26 08:30:05
62.75.218.192	3069	AS8972	02/17 12:30:27	02/26 05:30:05
85.14.202.210	346	AS13301	02/20 04:50:59	02/25 05:30:05
91.204.116.114	81	AS44976	02/24 23:30:07	02/25 04:50:05
78.41.156.236	444	AS6908	02/18 20:00:43	02/25 03:40:08
92.51.132.101	63	AS20773	02/20 14:50:38	02/24 04:40:18
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
77.68.44.169	2036	AS15418	02/17 10:35:20	02/23 21:20:18
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---

----------
Google Safe Browsing #
| 1267128034 | B | [goog-black-hash 1.51835 update]
| 1267128002 | M | [goog-malware-hash 1.19636 update]
| 305324 | -1981(307305) 漸減中
| 1410089 |
EoF

----------
[possible IN ZERO DAY]
Possible new MySQL 0day
Intevydis has published a flash video showing what appears to be a new 0day exploit against MySQL 5.x. The demo(SWF) is for a new exploit included in their VulnDisco exploit pack for CANVAS. The demo shows as running against 5.0.51a-24+lenny2 but the description appears to be "MySQL 5.x Exploit" which suggests it may work against other versions as well. Current versions for MySQL are 5.1 (recommended) with a 5.5 release available.

Possible:shellcode実行
(uname コマンドが実行されてしまっている)

現時点で mitigare の方法がわからないため、注意喚起しかできません。
このPoCでは 5.0.51aとなっていますので、緩和できるかどうかわかりませんが、現行安定板の 5.1 へのアップデートを行いつつ情報収集を怠らないようにしましょう。

参考：(about Immunity)
侵入検知システムの開発元Immunity、SMB2脆弱性を突くリモートエクスプロイトを開発
2008年頃のCTOの様子：
続報 DefConの変化に見る、米セキュリティ事情の変貌(2)

----------
七草粥

名前	現在の名前	科名
芹（せり）	セリ	セリ科
薺（なずな）	ナズナ（ぺんぺん草）	アブラナ科
御形（ごぎょう）	ハハコグサ（母子草）	キク科
繁縷（はこべら）	ハコベ(蘩蔞)	ナデシコ科
仏の座（ほとけのざ）	コオニタビラコ（小鬼田平子）	キク科
菘（すずな）	カブ（蕪）	アブラナ科
蘿蔔（すずしろ）	ダイコン（大根）	アブラナ科

人日の節句
爪切りの日
新年になって初めて爪を切る日ともされ、七草を浸した水に爪をつけて、柔かくしてから切ると、その年は風邪をひかないと言われている。
千円札の日
1950(昭和25)年、初めて千円札が発行された日とされる。実際には1945年（昭和20年）に1000圓紙幣が発行されていたが、その流通数のあまりの少なさから「幻の1000円紙幣」と呼ばれることもある。
クリスマス(東方正教会など）
Рождество Христово！

----------
ガンブラー
激しく違和感のある呼び名ですが・・
朝TVを付けたら、白髪のアレゲな人が「ギャンブラーかと思った」とか言ってて、ちょっとわらいました。
しかし、その後ゲスト・コメンテーターのような人が「アップデートするとお金取られたりするんですよね～」とか言ってて失笑。
公の電波に乗せるのに、その程度の裏取りでよくもまぁ・・

今回の脆弱性攻撃でお金がかかるのは唯一
Microsoft Update
だけです（笑）
※正規の Microsoft ソフトウェア

だから、Gumblarじゃなくて 8080系だっての・・・といいつつ続く
----------
8080 Sprinkler wash over

8080
民主党もですか・・赤っ恥もイイトコですねぇ・・
いろいろ
追記
元栓が無いからどんどん浸水していきそうです。

search: dibs@freemailbox.ru
単発がイイ！という方はこの辺のIPを塞いで置いてください（キリないですが）

しかし、このテのInjectionに素早かったScanSafeが最近沈黙してますね・・
Cisco的に、こーいうネタはNGなんでしょうか？

で、その元栓を握ってるはずの・・
----------
忘れないで　あなたのそばの黒い影　対策一つで白い光へ
だから何の標語だ！？
ANS:
コンピュータウイルス・不正アクセスの届出状況[12月分および2009年年間]について

ウェブサイト利用者側の対策
・アプリケーションソフトの脆弱性（セキュリティホール）を解消しましょう。
（ご参考）
「JVN iPedia脆弱性対策情報データベース」（Japan Vulnerability Notes）
http://jvndb.jvn.jp/
・ウイルス対策ソフトのパターンファイルを常に最新の状態に更新して、ウイルス検知機能を常時有効にして使用しましょう。

そんだけかい！？

もう so-net に業務移管してしまえ！

とか思ったのは内緒にしておきましょう。

せめて Adobe (Acrobat) ReaderのJavaScript KILL の話くらいは入れて置いてください。

2009年のウイルス感染の4大脅威から学ぶべし――IPAが呼び掛け

----------
Firefox update
Firefox 3.5 セキュリティアドバイザリ
Firefox 3.5.7 にはセキュリティ問題の修正は含まれていません。

Firefox 3.5.7と3.0.17が公開　安定性の問題を修正
なお、3.0.xの更新は2010年1月までの予定で、同バージョンのFirefoxユーザーに対しMozillaは3.5へのアップグレードを強く勧めている。

Firefox 3.5.8 / 3.0.18のリリース日が2月16日に変更
この予想が正しければ、Firefox 3.6のリリースは1月19日あたりになりそうだ。

長かったですねぇ～

----------
あなぼっこ vol2

Movable Type には、アクセス制限回避が可能な脆弱性が存在します。
なお、本脆弱性は JVN#08369659 とは異なる問題です。
[重要] セキュリティアップデート Movable Type 5.01 および 4.27の提供を開始
Movable Type Unspecified Security Bypass 2

LightOpenCMS "cwd" File Inclusion Vulnerability 4
Unpatched
Edit the source code to ensure that input is properly verified.
Set "register_globals" to "Off".
参照：コア php.ini ディレクティブに関する説明 : register_globals

flashget 3.x IEHelper remote exec 0day poc
FlashGet -- Amaze Soft
Version:3.3 Date:2009.12.23

----------
その他

Researcher exposes Google spyware connections
Google謹製スパイウェアの存在とその挙動？
斜め読みではよくわかんなかったので詳報待ちです。

Researchers Infiltrate Storm Botnet Successor
In an undercover mission to learn more about the size and scope of the son of the infamous Storm botnet, Waledac, German researchers have discovered the spamming botnet is much bigger and more efficient than previously thought.
Walowdac { Analysis of a Peer-to-Peer Botnet
Taking into account that we monitored at least 10,000 bots online at any time of day, gives Waledac a spam capacity of
6,500×24×10,000×0.2532 ＝ 394,992,000
delivered mails per day.
もう、許して（苦笑）

Data Doctor 2010 encrypted files: we have a tool for that Data Doctor 2010というランサムウェア（勝手に暗号化して脅迫する偽セキュソフト）の対応方法

WASC Threat Classification to OWASP Top Ten RC1 Mapping

壁紙 - 回顧展
こんなのより、フィンランドの風景写真のほうがイイナ（とか希望してみる）

Denial of Service Attack Aftermath (and what did Iran have to do with it?)
イランのDDoS攻撃の余波と、何が重要だったのか？
These unprotected FTP accounts got used to upload a malicious ASP script, which was then used to attack our site.
結局根っこは Gumblar/8080と一緒・・・
日本での窃取アカウントもこういう国際テロに悪用される可能性もあります。
何しろ、「一番安全なアドレス」ですからね～
2990 -- 09:20

----------
| 1262808016 | B | [goog-black-hash 1.48241 update]
| 1262808002 | M | [goog-malware-hash 1.18452 update]
| 308435 | -1846(310281)
| 1210004 |
更に漸減：300,000を切るのか！？

mysql> select version();
+-----------+
| version() |
+-----------+
| 5.0.77 |
+-----------+
1 row in set (0.03 sec)
うう（；；）
EoF

初夢
書き初め
仕事始め (初荷)
初売り
姫始め (下ネタ禁止と怒られ・・・)

箱根駅伝往路 ５区すごかったですね～
皇室一般参賀

----------
初謝り
「Ameba」オフィシャルブログ、不正アクセス被害について
株式会社サイバーエージェントが運営する「Ameba」のオフィシャルブログにおいて、2010年1月1日未明、不正アクセスの被害を確認いたしました。
また同時に、オフィシャルブログのID、パスワード約450件等を記述したエクセルファイルが外部に流出したことを確認しております。
？

「アメブロ」で芸能人パスワード大量流出　不正アクセスも
流出したデータは、芸能人ブログのＩＤやパスワードなど約４５０件を記述したエクセルファイル。ネット上に書き込まれた情報によると１日午前１時ごろ、タレントの藤本美貴さん（２４）のブログに「お年玉」と題された画像が現れ、それをクリックすると、エクセルファイルが見られる状態になっていたという。
はぃ？

「Ameba」オフィシャルブログ、不正アクセス被害
要するにアレだ、パスワードをExcelファイルで管理する下地があったということですね。
しかもアカウントを複数の人間がアクセス、使いまわししていた可能性があると？

RAMPAGE!

ということで、Ameba Blog にアカウントをお持ちの方は、今すぐ（光速で）パスワードの変更を行ってください。
同時に同じパスワードを使用している別のアカウントも変更することをお奨めします。

まぁ、芸能人？のブログが売りのとこって、そんなもんなのかもしれませんね。

----------
SpamAssassin under the curse of Y2K
SpamAssassinを適用している方、SPAM判定の迷惑フォルダ内を注視してください。
Having Spamassassin Problems?
I thought we fixed all of these problems ten years ago when we went through the Y2K transition. Apparently not.
2000年問題の亡霊ですか・・・

SpamAssassin 2010 Bug
SpamAssassin 2010 bug -- Mike Cardwell | Blog
Last night I noticed that a legitimate email had a particularly high spam score.

現在bugfixが進行中です
FH_DATE_PAST_20XX scores on all mails dated 2010 or later.
status: RESOLVED FIXED

bugged:
----
header FH_DATE_PAST_20XX Date =~ /20[1-9][0-9]/ [if-unset: 2006]
describe FH_DATE_PAST_20XX The date is grossly in the future.
----

FIXED:
----
# grep FH_DATE_PAST_20XX
/var/lib/spamassassin/3.002005/updates_spamassassin_org/72_active.cf
##{ FH_DATE_PAST_20XX
header FH_DATE_PAST_20XX Date =~ /20[2-9][0-9]/ [if-unset: 2006]
describe FH_DATE_PAST_20XX The date is grossly in the future.
##} FH_DATE_PAST_20XX
----

とりあえずの対策：
SpamAssassin Rule: FH_DATE_PAST_20XX
If you need to disable this test, place the following in your local.cf file:

score FH_DATE_PAST_20XX 0.0

----------
SSH炉
Dealing With Unwanted SSH Bruteforcing

SSH辞書攻撃のブラックリストってのは、初めて知りました。
sshbl.org - (the SSH blacklist)
http://www.sshbl.org/list.txt

でもちょっと待ってください。
どこからでもSSHにアクセスできる環境のほうが変です。
TCP-Wrapperによって、アクセス制限を掛けるほうが無難だと思うのですが・・・

----------
New Year炉
燃しましておめでとうございます：
koobface, fastflux, scareware domains to block
Sources: atlas.arbor.net, ddanchev.blogspot.com, safebrowsing.clients.google.com, www.malwaredomainlist.com and others:

DNS-BHさんもがんばってます。

----------
No Thanks Waledac
It's almost 2010, yearly round of new year related malware is going on.
Waldec spreading through fake New Year's e-cards

New Year's Waledac Card -- GarWarner
もう戻ってこなくて良いのに・・・

framtr.com
# dig @8.8.8.8 noloid.com
70.101.10.185 ASN-ELIX Electric Lightwave(5650)
95.52.138.246 ASN-SPBNIT OJSC(8997)
98.230.186.164 Comcast(7725)
119.64.109.187 KRNIC-ASBLOCK-AP(17858)
121.145.43.209 KT-NET KORnet Korea Telecom(4766)
125.132.145.107 KT-NET KORnet Korea Telecom(4766)
210.217.73.108 KT-NET KORnet Korea Telecom(4766)
221.162.41.181 KORNET(Unresolved)

noloid.com
# dig @8.8.8.8 noloid.com
;; ANSWER SECTION:
24.161.223.61 RoadRunner RR-Orange(20001)
93.123.47.226 SKATTV-AS Skat Cable Television(34577)
121.127.220.29 KT-NET KORnet Korea Telecom(4766)
121.132.252.71 KT-NET KORnet Korea Telecom(4766)
121.138.86.16 KT-NET KORnet Korea Telecom(4766)
121.139.240.27 KT-NET KORnet Korea Telecom(4766)
124.80.54.190 GINAMHANVIT-AS-KR(17849)
205.214.245.242 KS CBS TRANSIT(33003)
220.120.43.45 KT-NET KORnet Korea Telecom(4766)

# dig @8.8.8.8 framtr.com
;; ANSWER SECTION:
61.106.69.200 KNCTV-AS Kangnam Cable(9943)
61.231.100.66 HiNet Chunghwa Telecom(3462)
68.53.188.117 Comcast Cable ibone(33491)
89.134.39.228 UPC Broadband(6830)
96.28.102.100 INS-NET Insight(36727)
98.224.160.221 Comcast Cable(33668)※
119.198.111.27 KT-NET KORnet Korea Telecom(4766)
121.138.86.16 KT-NET KORnet Korea Telecom(4766)
121.145.43.209 KT-NET KORnet Korea Telecom(4766)
121.158.186.239 KT-NET KORnet Korea Telecom(4766)
121.171.113.228 KT-NET KORnet Korea Telecom(4766)
220.86.252.217 KT-NET KORnet Korea Telecom(4766)

これはこれは・・ Fast-Fluxですねぇ
Koreaがかなり多いです。

他のドメイン
gumentha.com
purgand.com
aweleon.com

FakeAVのドロッパー
wcap.exe 19/40 (47.50%)
Trojan.Win32.FakeAV

えーっと、不審な New Year カードを開かないようにしましょう（特に URL/添付ファイル付き）
でいいですか？コレ（笑）

----------
| 1262412029 | B | [goog-black-hash 1.47912 update]
| 1262412004 | M | [goog-malware-hash 1.18342 update]
| 316954 | -3864(320818)
| 1198580 |
どんどん感染数が減っていますが、本当に減ってるのかは・・・？
EoF

鉄道の日
明治5年9月12日 (旧暦)（1872年）に、新橋駅（後の汐留貨物駅・現在廃止）～横浜駅（現在の根岸線桜木町駅）間に日本で初めての鉄道が正式開業したことに由来。
世界標準の日
国際標準化機構 (ISO) と国際電気標準会議(IEC) が制定。世界標準を策定した人たちに感謝し、労をねぎらう日。
クマのプーさん原作デビューの日
世界中で愛されている「クマのプーさん」の原作が発売された日（1926年10月14日）
PTA結成の日
1952年、PTAの全国組織、日本父母と先生全国協議会（現在の日本PTA全国協議会）が結成された。尚、杉並区立和田中学校はPTAを脱退して独自の指針で運用している。

----------
Skype

Skype 4.1.xをお使いの方は・・
Skype Extras Manager Unspecified Vulnerability
A vulnerability with an unspecified impact has been reported in Skype.
雲をつかむような脆弱性ですが、未公開のものはそのままにしておいたほうがいい気がします（笑）

最新版: 4.1.0.179.
Release Notes
12.10.2009 Skype 4.1.0.179 for Windows

----------
Day 13 - Proxy

Cyber Security Awareness Month - Day 13 Proxies (TCP 3128, 8080 & ......)
Proxies do have their evil twins, Open Proxies. Have you ever had that sinking feeling when looking at firewall rules or web usage and you have noticed that your firewall rule allows the Internet to access your proxy server. Your monthly usage has increased hundred fold, or of the 500 people in your organisation 9,876 of them are currently using your proxy server?

そもそも Open Proxyを恒常的に使う人って、よほど後ろ暗いことをネット上でやってるとしか・・（笑
しかし、インターネットの匿名性の重要性のみを喧伝するメディアによっては、Proxyの使用を暗喩する記事なども散見されます。

OpenでFreeなProxyのリストが多数存在するわけですが、そもそもなぜ、そんなことをボランティアでやってるのか？と考えれば、恐ろしくてとても使う気になれないと思います。

---------
GUEST user on Snow Leopard

Snow Leopardに深刻なバグ、ユーザーの個人データが失われるおそれ
問題の内容は、ユーザーがゲスト・アカウントでログインしたあとにログアウトし、通常使っているユーザーのアカウントでログインすると、Snow Leopardのホーム・ディレクトリ（Macの主なユーザーの名前が付けられている）が上書きされ、中身がすべて消えてしまうというもの。ホーム・ディレクトリ内のフォルダ（Documents、Downloads、Music、Pictureなど）はすべて空になり、DesktopとDockは工場出荷時の状態に戻る。

「MacBook Proでゲスト・アカウントを有効にしていた。たまたまログインするときにゲスト・アカウントのほうをクリックしてしまったところ、ログインするのに数分かかり、ログアウトして自分のアカウントに戻ったら、ホーム・ディレクトリの中身が、文書や音楽などを含めすべて消えていた」

Home folder lost - user account restored to default

えーっと・・（苦笑）
ゲスト・アカウントをメインで使用している方は、すぐにでも正規のアカウントで使用するようにしましょう。
OS 10.5では、最初にユーザ登録するような気もしてたのですが、イリーガルな用法なのかな？

Snow Leopard wiping home directory after guest log-in? -- 2009.09.08

----------
フーリガンもサイバー化

マラドーナのサイトが改ざん被害、ペルーが敗れた腹いせに？
W杯南米予選でマラドーナ監督率いるアルゼンチンに敗れたペルーのサッカーファンが、腹いせにマラドーナ監督の個人サイトを改ざんした。

・・・・

----------
センセイもがんばっています

新型インフルの流行で医薬品の宣伝スパムが猛威に
Canadian pharmaceuticalsの宣伝スパムがカナダから発信されているという証拠は何もないにもかかわらず、スパムの影響でカナダが「格安品」「粗悪品」のイメージと結びつき、カナダの企業や政府機関の活動に悪影響を及ぼす恐れもあるとMcAfeeは危惧する。
うはは・・（笑）

うちのヘッダに鎮座ましますのが、その Canadian Pharmacy の Dr.Waledacです。

最近は SNS なんかにも出没していますが・・・
facebookを利用したスパム

しかし、新型インフルエンザから結局 Viagraや Cialisを売りつけようとするのは笑うしかないんですが・・

----------
Trouble call more

地方競馬の馬券販売サイトでトラブル発生、情報流出だけでなく配当金を受け取れない事態に

「オッズパーク」システム障害に関するお知らせ（10月14日）
「オッズパーク」にアクセスした方の一部において、他の会員情報を見ることができた事象が確認されました。
（3）表示された可能性のある個人情報
氏名、住所、電話番号、生年月日、性別、メールアドレス、ニックネーム、オッズパークＩＤ、加入者番号、購入情報

馬券配当金受け取れず　ソフトバンク系、システム障害

そしてまた商品券かなぁ・・

----------
Googleに見られたい！

Google ストリートビューのエリア拡大
拡大されたエリアは、南の沖縄南西諸島、西の長崎、北の北海道旭川周辺と日本の端っこ方面、それと三大都市ながらこれまで入ってなかった名古屋方面です。
また、ハウステンボスや旭山動物園など、運営者から申し込みのあった一部の施設では内部の様子も見ることができるようになりました。
北海道大学も申請してたとは知りませんでした。

Googleストリートビュー、国内初のエリア拡大　名古屋や沖縄も

動物園とか植物園はいいですね～
ぜひ他のトコも内部公開してほしいかな（笑）

----------
Google Safe Browsing STATUS:
[goog-malware-hash 1.16422 update]
[goog-black-hash 1.42126 update]
Results: 322319 (-3490)
Logged Total: 768224 764511 (+3713)

EoF

ナミビアの日
国連が制定した国際デーの一つ。(EN)
1990年3月に独立した、アフリカ南西部にあるナミビアの自立を援助する日。

ユースホステルの日
1909年にリヒャルト・シルマンが計画した遠足（８泊徒歩旅行）中、大雨に遭って小学校に避難宿泊した際に、若者が安全に宿泊できる施設の重要性を痛感、ユースホステルの運動を展開するきっかけとなった日。
今年は100周年に当たる

----------
Adobe's Security descent upon ground

Flash attack vectors (and worms)
Now, before digging into what this worm does, I'd like to point out how dangerous embedding SWF files can be. It is very common that authors put basic XSS protection into their programs (for example, preventing users from entering the tag), however, Flash files can also be dangerous – I've successfully used them during various penetration tests to evade web application firewalls (which are not the solution to bad coding!).

Back to the worm – the playswf() function creates the following object:

<embed src=”"+o.filename+”” type=”application/x-shockwave-flash”
“+”width=”"+(o.width||”320″)+”” height=”"+(o.height||”240″)+”” allowFullScreen=”true”
wmode=”"+(o.wmode||”transparent”)+”” allowScriptAccess=”always” ></embed>

The allowScriptAccess parameter controls the level of access to the local HTML page by the Flash object. By default, this parameter is set to "sameDomain", which means that a Flash object can only access the HTML page if it was retrieved from the same domain. In other words, by omitting this parameter the Flash attack vector would be effectively disabled since the attacker wasn't able to put the Flash file in the same domain as the main site.

However, by setting this parameter to "always", the Flash file can directly access any element of the local HTML page, including (you guess) cookies.

この allowScriptAccess が Always(Flash 7までは Alwaysがデフォルトだった）に設定されていると、ブラウザやWebアプリのファイアウィールを貫通して直接XSSができる、実にステキな機能です。
で、中国で有名（らしい・・学校系）なSNSが、自動で alwaysを設定する embedタグを生成していたので、この脆弱性によりCross Site Flashing (XSF)を仕掛けられ、あるいは CSRFが成功している模様です。

攻撃に使用された evil.js のホスティングに使用されている
o.99081.comは、つい先日、Small but important update -- DNS-BHのブラックリストに追加されています。
※日本国内の掲示板スパムにも使用されていますね。

218.28.188.240 as AS4837 China-Network(CNC Group)
収容ドメイン：Results for IP 218.28.188.240
Displaying items 1 to 100, out of a total of 184 多いよ・・

えーっと、回避はどうすればいいんでしょう・・（苦笑）
it didn't matter what version of Flash you were running since the code on the web site was vulnerable.

参照：
インジェクション -- FFXI(仮)

XSS worm targeting Chinese website
/ I’m not a malicious worm.^^;
いや・・十分Maliciousです・・

----------
TEH Botnets
知らないBotnetも出てきていますね

Ilomo:
All Your Info Are Belong to Us

Waledac:
Spammers broadcast it for FREE!
Waledac, Part 3: A Spammer, Downloader, and Infostealer—Among Other Things

ZeuS(Zbot):
Zeus, King of the Underground Crimeware Toolkits

Zeus系は最近おさまってたようにも思っていたのですが、そうでもなかったようです・・・

----------
その価値は500円ですか？

アミューズ、情報流出の恐れがある14万人に500円の商品券
芸能プロダクションのアミューズは8月25日、通信販売サイト「アスマート」に対する不正アクセス攻撃に関する経過について説明した。情報流出の可能性がある14万8680人を対象に、お詫びとして500円分のQUOカードを9月上旬から発送することを決めた。

クレカ情報の変更って大変なんだけどなぁ・・
しかし、運用してたテイパーズに損害賠償が跳ぶんでしょうね・・きっと

----------
Snow Leopard has Malware Protection

8/28発売の決まった 新MacOS X : Snow Leopard ですが、評判のほうはどうなんでしょう？
MacOS X 10.6 Snow Leopardの発売日、8/28に決定

でも、使われてるユキヒョウはちょっと目つきが悪い（笑）
かわいい仔はこんなかんじです

本題：
Apple - Mac OS X - Security - Keeps safe from viruses and malware
マルウェアプロテクション機能が装備された模様です。

Snow Leopard Contains an Antivirus
"install.pkg" will damage your computer, You should move it to the Trash
という感じで、既知のMalware(偽iWork)を検出した実証もレポートされています。

3300円のアップグレードが安いか高いかは難しいところですが、セキュリティパッチの遅いAppleは今後、10.5のサポートも遅延する可能性があることは念頭に入れなければならないでしょう（苦笑）

----------
Chrome Update (automatically as well)

Stable Update: Security fixes
Google Chrome 2.0.172.43 has been released to the Stable channel to fix the security issues.
２つの重要なセキュリティfixがはいりました。
もっとも、自動アップデートで既にパッチが当たっているとは思いますが

----------
WordPress WP-Syntax Plugin Code Execution Vulnerability

WordPress で ソースコードなどを参照表記する際、PREタグを GeSHi(Generic Syntax Highlighter)の表記規則に従って、表示してくれるプラグイン WP-Syntax にリモートコード実行可能な脆弱性が確認されました。

Wordpress Plugin WP-Syntax <= 0.9.1 Remote Command Execution PoC

インストールされている Plugin フォルダ内の "wp-syntax/test" directory を削除してください。

----------
IBM Lotus Notes Client

Potential security issue with Lotus Notes file viewer for Microsoft Excel
iDefense Labs contacted IBM Lotus to report a potential keyview buffer overflow vulnerability in Lotus Notes. In specific situations it was found that there is the possibility to execute arbitrary code.

Lotus Notesってまだあるのか！？　なんて思った方、意外とあったりするんですよ（笑）

Notes 8.5.x, 8.0x, and 7.x はアップデートが出されますが、6以下はライフサイクルが終わっていますので、Viewerを切るしかなさそうです。

----------
Massive Injection via China 続報

Potent Trojan Cocktail / SQL Injection May be Regionally Targeted
だいたい、ScanSafeが連続で報じるときはホントに激しいことになっていることが多いので気をつけましょう。

もっとも、
インジェクション　61.232.154.43のリファラーチェック -- 2009/08/08
にもあるように、リージョンチェックを行っており、いまのところ中国国内のみ（ゲームパスワード窃取？）ターゲットにしているようです。

----------
ゆだんしてると
休暇中にTwitter（ツイッター）を利用していたイスラエル・ハイマン氏が空き巣の被害に遭ってしまったようだ。ハイマン氏および夫人の居場所が絶え間なくアップデートされ、泥棒が余裕で犯行におよぶことが出来たため、ツイッターが非難されている。

苦笑
まぁ、訴訟に発展してないだけマシなのかな？（笑）
Twitterの特許訴訟来たる。TechRadiumが先陣を切って提訴 -- 2009.08.06

Twitterがまたダウン、8月だけで4回目
ダウンネタはもういいかな・・

何かと話題の多いTwitterですが、実際みなさん使ってますか？（笑）

----------
来週ひょっとしたらいなくなるかもしれません。

EoF

五山送り火 -- 京都
大文字五山送り火

女子大生の日
1913年（大正2年）、東北帝國大学（現：東北大学）が女子受験生3人の合格を発表。日本に初めて女子大生が誕生した日。そのうちの1人は日本初の女性理学博士となった黒田チカ。

パプアニューギニア 独立記念日

----------
Mass Injection (*repeated*)

Mass Injection of Chinese College Web Sites
昨7月にMSは、MS-OfficeとDirectShowの脆弱性を公表、その攻撃は数千の正規(legitimate)サイトに拡散してしまい、現在も急速な拡大を続けています。中国では全国普通高等学校招生入学考試の後の学生募集期間と相まって、大学のウェブサイトと高等教育機関が攻撃の対象となりました。攻撃者は機密情報を盗んだり、システムをクラッシュさせたりするトロイの木馬を大規模に拡散するために大学のウェブサイトを悪用しています。
Websenseは７月下旬以降、約1000以上のインジェクションを受けている中国の大学と高校のサイトの監視を行っています。現時点でいくつかのサイトは除去されていますが、残ったままのサイトの数は高い水準にあり、それらのサイトでは悪意のJavaスクリプトの再注入が繰り返し発生しています。
以下（ｒｙ

攻撃は主として、

というおなじみのものです。

ただ、
インジェクション　msvidctl.dllの脆弱性を悪用する攻撃2 -- 2009.07.08
に見られるように、単独のスクリプトを複数のファイルに分割し、分割スクリプトも複数のドメインに分割する（非常にタチの悪い）手法が使われるようになり、セキュソフトの単独検知では困難になっているのが実情です。

HIPS的なものが、各PCに必要な時代になってしまっているのかもしれませんね
※Vista/Win7のUACをきちんと理解して運用していれば問題は緩和されますが・・（たぶん）

----------
ViewVC 1.1.2/1.0.9

Subversionのリポジトリビューワ ViewVCにXSS脆弱性がみつかり、最新版がリリースされています。

[UPDATE NOW]
# yum update viewvc ()

ViewVC source code releases
Version 1.0.9 (released 11-Aug-2009)
* security fix: validate the 'view' parameter to avoid XSS attack
* security fix: avoid printing illegal parameter names and values

Version 1.1.2 (released 11-Aug-2009)
* security fix: validate the 'view' parameter to avoid XSS attack
* security fix: avoid printing illegal parameter names and values
* add optional support for character encoding detection (issue #400)
* fix username case handling in svnauthz module (issue #419)
* fix cvsdbadmin/svnadmin rebuild error on missing repos (issue #420)
* don't drop leading blank lines from colorized file contents (issue #422)
* add file.ezt template logic for optionally hiding binary file contents

ViewVC "view" Cross-Site Scripting Vulnerability
指標:2 [Less Critical]

----------
どっちが親亀？

Scribble piggybacks Koobface
豚の背中に乗っていたのは・・・。

先週我々は、koobfaceがおびただしい数のBotを統制してアップデートするメカニズムがあることを発見しました（参考：Twitter-based Botnet Command Channel）。今、あなた（というか感染者）が最新版のトロイをダウンロードしようと試みた場合、既に感染しているほかの誰かのPCから直接取得されます。通常、アップデートは IPアドレスを直接指定して "setup.exe" の形でやってきます。

調査の結果、我々はこれらのファイルのうちかなりの割合で、通常の Koobface だけでは済まない脅威を含んでいることがわかりました。特に我々が発見したのは、Scribble, Virut, Vetor に複合感染しているのを確認しました。我々は以前、これらのファイルが同じ作者によって書かれたものではないか？と言及したことがあります。

結論は？　といいますと、可能性の一つとして、Koobfaceの作者は、より凶悪な存在(most bang)をKoobfaceの背中に乗せることで、一つのダウンロードで複数の感染拡大を狙っている恐れがあります。また別の可能性として、ウィルス感染したファイルがシステムに対してフラグを無効化し、感染拡大を狙っているかもしれません。
（注釈：Scribble(Virux), Virut は高確率で同じ作者のものです。これはポリモルフ型で、ファイルの末尾に潜むWormで、一度感染すると数百のシステムファイルに潜伏、LAN(NetBIOS)経由で感染拡大するため手がつけられません。）

もっとも、個人的にはどちらも真実ではないと思っています。Koobfaceの作者は、監視網を掻い潜って入り込む確率を上昇させるために、そのコードをかなり頻繁に書き換え（亜種を生み出し）てUpdateしていくであろうと予想しています。実際問題、これら（Scribbleなど）のウィルスはかなり古いため、（ウィルスとして）フラグを立てられる可能性が高いと想像します。

想像ですが、これらの（古株）ウィルスは、Bot感染していたPCに既に入り込んでいたものでしょう。それらがトロイのアップデートメカニズムの一部に組み込まれたとき、（旧来の）ウィルスファイルは新しいKoobfaceの実行型ファイル -setup.exe- に向け、とびかかり(pounced) 、まさしくWorm型の旧来のファイルが新しい Koobfaceの棲家を得て拡散の可能性を増大させたのです。



放置Botはもう犯罪の域に入っています。
2009年06月度サイバークリーンセンター活動実績によれば、６月の検出検体は 367,081、ユニークで 19,106。ISPから感染者への注意喚起は 3664人に 8092通が送られたそうです。
複合感染したBotと、MRSAと、どっちがタチが悪いです？（苦笑）

----------
Marc Andreessen

NetScapeの創始者であり、アメリカンドリームの一つの具現化したケースとして有名な マーク・アンドリーセン氏ですが、最近はあまり聞かなかったですね・・・ Ningとか・・？

しかしここへきて、またブラウザを創ると宣言したと NewYorkTimesが伝えています。
Netscape Founder Backs New Browser
Netscapeの生みの親が未来派ブラウザRockMeltの開発に着手–単なるFacebook閲覧用？それとも完全に型破り？

Facebook閲覧用ブラウザ？って何か意味があるのかどうかは謎ですが、どうなるんでしょうね？
それにしてもお姿が・・・

----------
spammer提唱の新(?)・ファイルフォーマット

Spammers Exploring New File Formats

.mht
Internet Explorer 5 の新機能 -- 2004.09.06
[Web アーカイブ、単一のファイル (*.mht) ] 形式
Web ページを [Web アーカイブ、単一のファイル (*.mht) ] 形式で保存すると、Web ページはこの情報を MHTML (Multipurpose Internet Mail Extension) 形式で保存し、ファイルには .mht 拡張子が付けられます。Web ページ内の相対リンクはすべてマップし直され、埋め込みコンテンツは別のフォルダに保存されるのではなく .mht ファイルに含まれます。Web ページ上の絶対参照または絶対ハイパーリンクは変更されません。.mht ファイルは Internet Explorer を使用して表示されます。

.efx
eFax (fax service)
eFax は j2 Global Communicationsが提供する、Faxの送受信のためのデジタルフォーマット

Spammerは、セキュリティソフトやフィルタを掻い潜るために、ありとあらゆる方法を試し、実行に移しています。
その努力を他に向ければ良いのに・・

一方で、米Yahooはこんな取り組みも
米ヤフー、スパム対策としての課金メールシステムを研究

----------
暑いのでこのへんでやめ・・

ヘッダのGnome氏が引退（笑）
代わりに、Dr.Waredac氏が監督します（そんなばかな！？）
BOTRIGHTS (B) WALEDAC 1998-2009 ALL SPAMS HAS BEEN DELIVERED... PROBABLY.

EoF

2009.07.21 the day after


Belgium (.be) 独立記念日

昨日の渋滞に巻き込まれた方、本当にお疲れ様でした。

----------

昨日の Firefox 3.5.1 脆弱性への反撃

milw0rm 9158 “stack overflow” crash not exploitable (CVE-2009-2479)
In the last few days, there have been several reports (including one via SANS) of a bug in Firefox related to handling of certain very long Unicode strings. While these strings can result in crashes of some versions of Firefox, the reports by press and various security agencies have incorrectly indicated that this is an exploitable bug. Our analysis indicates that it is not, and we have seen no example of exploitability.

ここ数日、Firefoxに関してのバグ報告が飛び交っており、それは「非常に長いUnicode文字列の取り扱い」に関連したレポート（SANSを含む）だと思われます。これらに示された、特定の文字列によってFirefoxのいくつかのバージョンにクラッシュが引き起こされますが、それらのレポートにあるような不正利用可能(exploitable)なバグであるという幾つかのプレスやセキュリティサ機関での検証は誤ったもの(incorrectly)です。我々の分析ではそれが発生しないことを示しており、不正利用可能な例を一切確認していません。

On Windows, Firefox 3.0.x and Firefox 3.5.x are terminated due to an uncaught exception during an attempt to allocate a very large string buffer; this termination is safe and immediate, and does not permit the execution of attacker code.

Windows上において、Firefox3.0.xと 3.5.xは非常に長い文字列バッファを実行しようとした際に、実行不能な例外処理として停止します。この停止は安全、かつ即座に行われるもので、攻撃者コードの実行を許す性質のものではありません。

Mac/Linuxに関しては、今のところ Drive by Download 攻撃の例が少ないのでアレですが、いずれにせよ今回の一件は Milw0rmに「釣られた」のかもしれませんね（苦笑）

まぁ、確かにクラッシュ＝リモートコード実行可能では無いのは事実です。
※正確にはクラッシュではなく、"terminated due to an uncaught exception" と言っていますので性質が違います。

----------

WordPress 2.8.2

WordPress 2.8.2
WordPress 2.8.2 fixes an XSS vulnerability. Comment author URLs were not fully sanitized when displayed in the admin. This could be exploited to redirect you away from the admin to another site.

WordPress 2.8.2 は XSS脆弱性を修正しました。
コメント投稿者のURLがAdmin権限で表示した際に完全に処理（sanitized)されておらず、Adminから別のサイトに対してリダイレクトされてしまう可能性がありました。

もう少し詳しい解説：
Why is WordPress 2.8.2 a Critical Update?

WordPressオーナーがコメントの投稿ページを開こうとした際に、全く予期しないページにリダイレクトされるということは、そこが Drive by Download のウィルスサイトだったり、


こんなサイトだったらどうします？
ということですね。

WordPress 2.8.1 サイトオーナの方は大至急(ASAP)にアップデートしてください。

----------

about Waledac ...

Waledac—an Overview

右に居座ってる腕組んだ先生（Canadian Phermacy)で有名な Waledacなのですが、とにかくソーシャルエンジニアリング的な手法を駆使し、ありとあらゆるスパムで感染者を拡大させているようです。

最近はマイケルジャクソン氏の死去に伴う色々な悪さをやってましたね・・・

今はまだ英語・スペイン語あたりが主流ですが、単純な翻訳を通しただけの日本語スパムで時事ネタが飛んでくるようになると引っかかってしまう人が拡大するのは避けられないでしょう。

もう一つの雄、Zbotもこんな感じでがんばってます（苦笑）
Photos From Michael Jackson’s Memorial Mask Malware

※ポルトガル語で飛んできたスパム
Trojan-Downloader.Win32.Banload.bej, Downloader, PWS-Banker, Mal/Generic-A

----------

Symbian should be called "Sexy Spammer"?

Q & A on "Sexy View" SMS worm

応答が面白かったので（英語のわかる方は）読んでみてください（笑）
「Sexy View」SMSワームについてのQ&A


Q: Which phones are affected by this?
A: All Symbian Series 60 3rd edition phones by Nokia, LG and Samsung. So, for example, best-selling phones like Nokia N95 or Nokia E71.
日本にはあまり関係ない話かな？

Symbian 60 series 3rd Gnと思われる機種：
SoftBank X01NK | SoftBank
SoftBank 705NK｜SoftBank
SoftBank X02NK｜SoftBank
グローバルモデル | SoftBank

FOMA NM850iG サポート情報
FOMA NM705i サポート情報
FOMA NM706i サポート情報

----------

ThePlanets

Beware of malicious Rapidshare links sent to you by a friend.
RapidShareやMegaUploadあたりのファイルをホイホイ信用しないのは、ここに来ている方には当然なわけですが（きっとそうですよね！）

Sophosが The Planet(AS21844)を防弾ホスト認定しました（笑）

----------

Inj3cti0ns

インジェクション FireFox3.5 Heap Spray Vulnerabilty 追記1

bvgg6.cn	BLOCKED	bvgg6.cn	470
59.34.197.151	AS4134	CHINA-TELECOM
3b3.org	BLOCKED	3b3.org	470
66aaaaaa.com	THROUGH	66aaaaaa.com	8
8866.org	THROUGH	8866.org	5270
h65uj.8866.org	BLOCKED	h65uj.8866.org	30
ds355.8866.org	BLOCKED	ds355.8866.org	4
qvodwf.com	THROUGH	qvodwf.com	NOT YET
buffer-ad.qvodwf.com	THROUGH	buffer-ad.qvodwf.com	NOT YET
59.34.197.154	AS4134	CHINA-TELECOM

この多段攻撃に使用されている他のドメイン：


hongse88.com (トロイ本体撒布先)

s31.cnzz.com (.php リダイレクション)

js.tongji.linezing.com (js リダイレクション)

中国語なので他はわからず・・・

----------

いつだってねらわれるのはカモから

カモだから狙われるのか、狙われるようなことをやるからカモなのか・・・
永遠の課題かナ？（笑）

----------

EoF

月曜の朝は大抵記事が無い（笑）

----------

More on ColdFusion hacks
according to the date in the script it was released on the 23rd of June by a Chinese hacker "Seraph".
何が seraph だよ！って感じなんですが（笑）

Cold Fusionを使用してサイトを構築している方は、（当座の確認法として） action="seraph" でサイト内を grep してみましょう。

-----

SANSのこちらの記事もUPDATEされていました。

Cold Fusion web sites getting compromised
この攻撃は２つのアプローチがあり、どちらも FCKEditorの脆弱性を悪用しています。

第一に、Cold FUsion 8.0.1 は 脆弱を持つFCKEditorをデフォルトでインストールしてしまいます。これは非常に悪いニュースです。このことにより攻撃者は、影響を受けるサーバーに直接任意のファイルをアップロードすることが可能です。この状況を無効化するための情報は、Cold Fusionサイト内、 CF8 and FCKEditor Security threatにあります。

第２に、サードパーティ製のアプリケーションによって（意図せず）インストールされた FCKEditorによって引き起こされているケースがあります。CFWebstore はもっとも普遍的な e-commerce のアプリケーションです。古いバージョン（※ June 03にアップデート）の CFWebstoreを使用しているサイトは、脆弱性のある FCKEditorを残しています。

CFWebstoreの脆弱性情報：
Details on Dealing with the File Upload Hack

それにしても、日本のセキュ会社は情報が無い・・・

この一連の攻撃は Adobeのオフィスが経費節減のためにクローズした合間を狙って発生しています。
Adobe is closed this week (and what that means) -- June30, 2009

----------

Waledacは既に「インフラ」化？

フィッシング usaa.com

June04, 2009 usaa.comの偽サイト
June05, 2009 usaa.comの偽サイト（続）

この Fast-Fluxをどうやって IDSに登録するか・・・（泣）

----------

情報収集中

MarcusB - OS X DNS Changer Thread
※注意：MDLはダイレクトにMalwareへのリンクがあることがあります。

music-megaupload.com
hot-exe-area.net
ecurerealy.com
free-full.com
let-exe-2009.com
av-scan-cool.com

MaxOS X をターゲットにした DNS changer？

DNS 変更先:

85.255.112.114
85.255.112.87


Zlob系かな？とは思いますが、MacOS X のシェルコードに割り込みを掛けて DNSをスイッチさせている手法を使っているかもしれませんので注意が必要です。

※現時点ではまだ不明ですが～

----------

で、そのMDLはまた DDoSを喰らって、現在 Database停止中

よほどどっかの Botnetに不都合なことでも書いていたんでしょう・・・

----------