UnderForge of Lack

いや・・表題どおりでいいのかどうかは謎ですが

Which they ate with a runcible spoon


英国の画家で詩人でもあった エドワード・リアの代表作の一つ、The Owl and the Pussycatの一節をもじった内容で、クリックすると例のCanadian Phamacy の腕組んだ先生が現れましたとさ（苦笑）

いやはや・・Spammer もいろいろ大変ですね（笑）
※でもWaledacはシブトイですよ？

「Waledac」ウイルスが急増中、あの手この手でユーザーをだます -- 2009.04.21

対抗馬のMovableTypeと同時期にWordPressも問題を抱えているようです。

Wordpressの脆弱性を突いたSEO攻撃が浮上
人気ブログソフトWordpressの脆弱性を突いた新手のSEO攻撃が浮上していると、セキュリティ企業のPanda Securityがブログで伝えた。

それによると、この攻撃では米転職サービスCareer Builder傘下サイトのTheWorkBuzz.comと、非政府組織が運営するCenter for International Media Assistanceのサイトが利用された。検索エンジンで悪質なページを上位に表示させ、偽ウイルス対策ソフトウェアの配布サイトに誘導する手口が使われている。

なんだかよくわかりませんが・・・

New Blackhat SEO attack exploits vulnerabilities in Wordpress to distribute rogue antivirus software

これは・・ ばいあｇ Waledacではありませんか（苦笑）

いずれもアップデートを怠っている古いバージョンで、 /wp-includes/ フォルダ内に悪意をもったリダイレクションを大量に流し込む方法を使用されており、偽のセキュリティソフトへのリンクを上位に持っていく手法が取られています。

古いバージョンのWordpressを運用している人は、この機会に最新バージョンへのアップデートを視野にいれた計画を立ててみてはいかがでしょう？

Confickerとのつながりを噂されている Spam Botnet、Waledacですが、活動を自粛なんて言葉は辞書にはないようです。

Online Casino, Geocities, and Waledac
Deviating from Conficker/Downad update and jigsaw puzzle menace, Waledac updated its spam emails and is now spamming online casino advertisements.
giocitiesのオンラインカジノを乗っ取ってみたり・・・


New Waledac Campaign: SMS ‘Snooping’ Software
After attempting to shock us with dire news of terrorist bombings, Waledac now attempts to entice us with offers of spying somebody else’s (notably a lover’s) SMS messages.
他人のSMS(ショートメッセージ）をのぞき見するツール（苦笑）を作ってみたり（実際に覗けるかどうかは知りませんよ？）・・

と活動の幅にバリエーションが増えてきました。


Waledac関連のシグネチャだけで・・・

• TROJ_WALEDAC.HX
  
• TROJ_WALEDAC.IC
  
• WORM_WALEDAC.KT
  
• WORM_WALEDAC.KW
  
• WORM_WALEDAC.LN
  
• WORM_WALEDAC.LT
  
• WORM_WALEDAC.LP

spam禁止（苦笑）

少なくとも、これまで私の周辺で感染した例を聞いたことがない「こんふぃっかぁ™」ですが・・・ニュースのネタとしては尽きることがないようでして・・

The DOWNAD/Conficker "Jigsaw Puzzle"
私的レジュメ

すこし前に、ConfickerA(WORM_DOWNAD.A)とConfickerB(WORM_DOWNAD.AD)が世に出て、世界中に蔓延しました。
三月になって新型の亜種 ConfickerC(Microsoft-Conficker.D, WORM_DOWNAD.KK)が登場し、これには4/1になると何らかの悪事を働くのではないか？と思わせるコードが内臓されていたため、世界中で（お祭り的に）注目されましたが結局のところ不発に終わり、みんなホッと（内心落胆）しました。

ところが、何もおきなかった４月も第二週に入ったころ、こっそりとConfickerが活動を開始(WORM_DOWNAD.E)、P2Pネットワークを介してペイロードを発注していることがわかりました。この件によって「こんふぃっかぁ・うぉっちゃーず」は俄に活気付き、さまざまな解析と憶測が流れ始めました。

Confickerとは違う系列のBotnetである Waledacと、嘘っぱちセキュリティソフトの代名詞の一つである FakeAV が、ほぼ時を同じくして活動が活発になり、ほぼ同時に同じPC内に同じような名前で感染ファイルをドロップされた事件が公表されて、ウィルス・マフィアの繋がりが報道されるようになりました。

この新種Conficker と、バイアグラを大量に売りたい Waledac, そして感染したことを逆手に取った偽セキュリティソフト群を率いる FakeAV の３種混合の攻撃はなかなか手ごわそうですので注意が必要です


ここまで書いててダレました（苦笑）

結局何をやらかすのか？ってまだ解析が完了してないんですよね～

P2Pネットワークから投下されるアップデート・コンポネントの内容と遮断方法くらい教えてほしいな？と思ったのですが、まだ内緒のようです。

どこまで続くの Confickerって感じなのですが

Kaspersky Lab、Kido (Conficker) の新たな亜種を解析

この Kido は、自分自身の更新をダウンロードする以外に、新たに 2 つのファイルを感染コンピュータにダウンロードします。そのうち 1 つは偽のアンチウイルスアプリケーション (検知名：FraudTool.Win32.SpywareProtect2009.s) であり、ウクライナに置かれたサイトから配布されています。このファイルは、実行されると、「検知されたウイルス」に対して $49.95 で削除を請け負う、という内容のメッセージを表示します。

この偽スパイウェアソフト
Spyware Protect 2009
の画面写真は、TrendMicroの記事に出ていますね。
DOWNAD/Conficker Watch: New Variant in The Mix?


------------
Kaspersky Lab の国際調査研究分析チームを率いるアレックス・ゴスチェフは、次のように現状を説明しています。「Iksmas は、12 時間にわたって世界各国にある自身の指令センターへ何度も接続し、スパムメールを送信する指令を受け取っていました。12 時間の間に、1 つのボットだけで 42,298 ものスパムメールを送信しています。実質的に、それぞれのメールにはそれぞれ一意のドメインが含まれていました。これが、アンチスパムによるフィルタリングを避けるためであるのは明らかです。アンチスパムは、特定ドメインの使用頻度を分析することでメールの大量配信を検知するからです。全体として、 40,542 件の第 3 レベルドメインと 33 件の第 2 レベルドメインの使用が確認されました。これらサイトは、ほぼすべてが中国におかれており、さまざまな人物の名前で登録されていますが、ほとんどは架空の名前です。」

Conficker感染マシンがスパムを大量送信
Conficker.Cは4月8日から9日にかけて活動を開始し、Confickerの新たな亜種とともに、各国でスパムメールを撒き散らしているボット型マルウェアのWaledacを呼び込んでいた。

Kasperskyが感染マシンの観察を続けたところ、Waledacはコントロールセンターに繰り返し接続してコマンドを受け取り、スパムの送信を始めた。今のところ、内容はすべて医薬品を宣伝するもので、ボット1台だけで過去12時間に4万2298通のスパムを送信したという。

なんかちょっとニュアンスが違う気もしないでもないわけですが・・・
Conficker = Waledac 説はまだ確定したわけではありませんので、念のため。

それにしても、たった１個の感染ノードから送られるメールが 80,000/day ってのは恐ろしい数ですね

「単純計算すると、1 つの Iksmas ボットが 24 時間以内に送信するメールの数は 80,000 ほどです。仮に 500 万台のコンピュータが感染しているとすると、そのボットネットから送信されるスパムメールの数は、24 時間で 40 億にも上ります。」

やめてくれ（苦笑）

------------

Report: Conficker worm bites University of Utah
More than 700 computers at the University of Utah have been infected with the Conficker worm.

The hit includes computers at the university's three hospitals, the Associated Press reported early Sunday.

大学でこんな具合だと、企業内にはまだまだ潜んでいそうですネ

------------
Kasperskyも kido とか変な名前つけないで、Confickerに統一してくださいよ（苦笑）
Symantec, TrendMicro もね！

Worm:Win32/Conficker.gen!A
各社まちまちな名称・・・

Confickerの件で、新しい（ヨタかも）ネタが上がってきました

Confickerワームと大規模ボットネットが結託か？
Waledacは大規模なボットネットを形成し、社会的なニュースや話題に便乗してさまざまな内容のスパムを流し続けているマルウェア。Symantec によると、Conficker.Cに感染したマシンのWindows Tempフォルダに、WaledacとConfickerの亜種が、それぞれ似たようなファイル名でほぼ同時刻に現れた。このことからSymantec は、Confickerの感染拡大にWaledacが関与している可能性があるとみて調査を続けている。

Downadup + Waledac?
We have come across a system infected with W32.Downadup.C that has provided some interesting information. We discovered some similarly named files, 484528750.exe and 484471375.exe, which had shown up in the \Windows\temp folder within one minute of each other. These files turned out to be W32.Waledac and a modified W32.Downadup variant, respectively.

興味深い事実を発見たとの報告を受けました。W32.Downadup.C(aka Conficker.C)に感染しているシステム上で、似たような名前を持つ .exeファイル、484528750.exe、および484471375.exeが発見されました。この両者は１分以内に windows/temp フォルダに現れました。これらはそれぞれ、W32.Waledacと、W32.Downadup(Conficker)の亜種であることが確認されました。

この新種のW32.Downadupには、瑣末な機能の違いが見られるものの、W32.Waledacの目前に存在したことによって疑念を抱かされました。

「Downadup(Conficker)はWaledacによって拡散しているのか？」

われわれが持っている情報は矮小すぎるため、全体を確認することはできませんが、今後ともより多くのデータを収集することで、本当にこの両者が複合感染しているものかどうかの調査を続行していくつもりです。

そういえば、早朝書いた TrendMicroの記事の後ろのほうにも

Conficker-Waledac connection? Possible, but we still have to dig deeper into this…
ConfickerとWaledacが結託してる！？　可能性はあるけど、慎重に見極めていきます・・・

って書いてあった気もするな（笑）

-----------------------
Waledacといえば、バイアグラ（苦笑）ってイメージしか湧かないんですが、なぜそうなのか？はこの辺をみてください。

WALEDAC Spamming Madness

WALEDACのスパムが気が狂った

-----------------------
余談：
Symantecはそろそろ Downadupの名称を Confickerにしてくれませんかね？（笑）