UnderForge of Lack

桜始開(さくらの日) 3×9(さくら)＝27
利休忌 大徳寺 (千利休の没年は天正19年2月28日(1591年4月21日))
NTTがポータルサイト「goo」開設。(1997年) ポップコーン事件

----------
spam #
昔はspamといえば、単に未承認広告系の「ウザイ広告」だったのですが、最近は完全に犯罪の域に入っています。ここ数ヶ月を振り返っても、spam系の話が多くなっていることに気が付かされます。

日本語メールによるターゲット型（スピア型）のspamは数こそ少ないですが、巧妙になってきているので注意しましょう。
プラグインやブラウザ、メールクライアント等のアップデートを怠らず、常に最新版を保つことも重要です。

また、システム管理者は「現在進行中の、spamキャンペーン」に目を通しておき、そうしたBotnetからのメールを弾くルール設定を先手を打って施工しておくことも重要です（メンドイですけどね）。

Copyright Infringement Lawsuit Email Scam
US Tax Season Phishing Scams and Malware Campaigns
USCertからの警報：現在進行中のspamキャンペーン

スパムメールの危険を認識するも、ついついクリック――業界団体の調査
特に、「自分は電子メールセキュリティに詳しい」との意識が強い35歳未満の男性は、スパムを開いたり、リンクをクリックしてしまったりするといった危険行為に出てしまう割合が、ほかの年齢層よりも高かった。
Consumers Don’t Relate Bot Infections to Risky Behavior As Millions Continue to Click on Spam
Idiot users still intentionally opening, clicking on spam
ARSは、「スパムメールを開く輩 = Idiot users」 と断じて居ます（苦笑）

増加と巧妙化を続ける医薬品広告のスパムメール
New Fake IRS Email Notice Leads to ZBOT
IRS Malspam Campaign

Yet another Facebook Spam – From Russia with Love
Facebookの新しいspamと何故SNSなのか

Apple Storeをかたる詐欺メール、リンクからマルウェアに感染か
Apple Diversifies Into Online Pharmaceuticals

W杯や上海万博に便乗するスパムが相次ぐ、添付のPDFに要注意
World Cup-themed PDF attack kicks off
PPDF(Poisoned PDF) はCVE-2010-0188脆弱性の悪用のものが飛び交っており、Reader 9.3.1 以外のバージョンでは炸裂する極めて剣呑な代物です。このPPDFはshellcode実行後、HIPSによるネットワークアウトバウンドチェックに引っかかることなくペイロードを投下でき、しかもAcrobat JavaScriptに依存しません。
CVE-2010-0188 Adobe Working Exploit

Getting the EXE out of the RTF again
.DOCのRTFファイルの中に内封されている.EXEファイルの解析。
suit.exe
2010.03.26 16:07:21 (UTC) 21/42 (50.00%)

微妙に続く
----------
ヒューリスティック #
評判分析に基づくセキュリティ
現在のNorton製品はSuspicious.Insightという検査結果でユーザーに警告するだけで、当該ファイルの動きをブロックしない。「安全性が確認されていない」という印を付け、最終判断をユーザーに委ねる。
ってことは？
setup.exe
2010.03.20 10:43:29 (UTC) 1/41 (2.44%)
Kenzero事件の当初は「ブロックしていなかった」ということでしょうかネ？　それとも「疑わしいファイル」という警報は出てたのかな？ Nortonユーザで踏んだ人のコメント求む（苦笑）

そんなピンポイントな人は居ないかな？（笑）

残念だが従来のウイルス対策技術は、もはや以前と違って強力な防衛能力を発揮できない。我々は、ITセキュリティを取り巻く脅威がこの数年で激変したと見ている。2年前の時点で、当社が新規発行するウイルス定義データは1週間当たり数百種類を少し上回る程度の規模だった。ところが新規発行数は急激に増え、今や平均で毎日1万5000種類をやすやすと超えるレベルになってしまった。
FFRの人もそんなことを言ってた気がする。
セキュ会社も大変だな～とは思いますね。インターネットに接続するユーザにも意識改革が必要です。

性善説が通用しない世界へようこそ！

----------
Oracle Java SE #
新製品？
いえいえ、Sun Microsystemsは既に存在せず、Oracle Java SE が正式名称です。
Oracle Java SE and Java for Business Critical Patch Update Pre-Release Announcement - March 2010
Security vulnerabilities addressed by this Critical Patch Update affect the following products, which will be released on Tuesday, March 30, 2010.
This Critical Patch Update contains 27 new security vulnerability fixes for the Java SE and Java for Business releases.
といわけで、Oracle Java JREは (多分）日本時間で3/31(水曜日) あたりに JRE 6 update 18 にバージョンアップされます。

----------
ギクっとしたら #
止まらぬサイト改ざん：訪問の心あたりはありませんか～新規告知サイト22件
いつもクリティカルな内容を惜しげもなく書いてくださるso-netに感謝！

これらのサイトを訪問した記憶のある方は、念のためシステムをチェックしましょう。

また、いわいる「PWNed」なサイトも結構あるようでして・・
止まらぬサイト改ざん：感染目的ではない例も～市教委/APバンク/三菱電機
企業イメージ的には大打撃でしょうね・・・
SQLインジェクションやディレクトリ・トラバーサリのチェックは、何種かのスキャナを使って定期的に（ただし Stagingでね！）行いましょう。

----------
The Big Issue #
ビッグイシュー
ホームレスの人々の社会復帰支援のための組織です・・・が、
Help The Homeless, Feed the Phishers?
At this moment in time, The Big Issue website is playing host to a French Paypal Phish – they have a zipped copy of the Phish uploaded to the server, and a live Phish directory too:
陥落し、RSSを取得すると、Paypalのフィッシングサイトになっていると・・
犯罪者には寛容とかそういう精神のカケラも無いということですね。

----------
CD-ROM？ #
セキュリティ企業として「Web改ざん」について最適解を考えてみた ＜第一話＞「根本的な対策」とは？
・・・・・・・・・・・・・・・・・・1:16
いまどき
なサイトってあるんですか？
いや・あるのかも？
ひょっとして多い？（苦笑）

----------
一網打尽にしてください #
Hacking forum or a sting operation?
Though it is true that malware is getting more and more sophisticated I am sometimes surprised by the lack of skills coming from wannabe botnet operators. Today, I stumbled upon a hacker’s forum which nicely demonstrates just how low is the technical knowledge level of the forum members.
なんか稚拙なやりとりだなぁ・・とは思います。

I just got an IRC channel and I need Zeus 1.3.1.1 added to it.
Zeus and IRC? Oh, come on…
ちょっと入ってみたいな（笑）

某巨大掲示板で「ダレダレを殺します」なんて書いただけで逮捕される世の中ですし、こーいうのはトラッキングして一網打尽にして欲しいな・・
でもきっと TOR とか使って経路詐称してるんだろうなぁ・・

----------
法則 #
米国のドメイン登録業者 GoDaddy.com、cnドメインの取り扱いを中止
いつの話をしてるんだろう？
CNNICによる.cnドメイン登録審査の見直し -- 2009/12/15
と思ったら、法則発動しててちょっと笑いました。

中国撤退表明の米ドメイン登録大手、実は無認可の違法営業だった？！―中国紙

.cnは、この制度ができてから（ドメインベースでは）圧倒的に減少しています。.ruも、認可を厳格化しますので、悪意ドメインは違うファセットに向かうことになるでしょう。

オッズ？
このへんが本命・・かな
.pl
.kr
.in


対抗
.cz
.nz
.vc

穴（笑）
.th
.uz
.br
.hn
.sc
.io
.gs
.la
.se
.ad

どれが何なのかは 国別コードトップレベルドメイン ccTLDでお願いします。

----------
パスワード #
pasuwaad
これ、某友人のSNSのパスワードだったのですが・・（苦笑）
さすがに変更させました。まぁ、日本人以外にはイミフメなのかもしれないけど・・

というわけで、Symantec版、パスワードに関するアンケートの結果
Password Survey Results
意外と「完全に使いまわし」は少ない（8%)ですね。

----------
バズワード #
そもそもセキュリティを高めるって？
ITコンプライアンスとかガバナンスとかいうポリシー関係の活動に傾倒しすぎたのではないかと思っています。
SaaSとか、IaaSとか、MaaSとか、インシデントとか、フォレンジックとか・・・

ポリシーを整備するためにポリシーを作っているみたいな錯覚に陥ってないかな、ということなのです。
まさにそうですね、Pマーク取得の問題とか、侵入検査の方法論とその対処とか、輻輳し続ける混乱状況で何が必要で何が不要なのか、だれも言及しなくなっています。
誰かエライい人に、「そんなの間違ってるよ！」と言って欲しいナ（切実）

そこから坂道を転げ落ちるように（表現間違えてます）
雪だるまをスキージャンプ台から転がしたような・・？
Bob Dylan - Like a Rolling Stone

----------
は？ #
マナーのあるメールの書き方
・・・・・・・・・・

メールの To には「様」を付けましょう、というビジネスマナー
Re:そもそも
あなたのアドレス帳には、宛先の名前がなく、住所の羅列なんですね、そうですか。
メールアドレスの住所に該当する部分は@より右側かと。
hoge様@example.co.jp
とするのが、正しい使い方だと思います。
爆笑

いやぁ・・インターネットの普及ってこういう面にも及ぶんですね・・そのうちRFCとか改定されそうで怖い

「マナーのあるメールの書き方」の内容が酷いので修正してみた
負け：はい。そして本文ですが。
拝啓＆敬具って・・・10年前ですか。
拝啓＆敬具を使うような文章（会社からの正式な告知など）であるならば、出来れば紙面、メールであってもPDFで添付ファイルで送るべきです。
メールはあくまで手紙の簡易版です。メールでなんでも済ませちゃダメです。
・・・・・・・・・・

こうして世の中が魑魅魍魎にまみれていくのです。

参考：
先生、このメールのどこがいけないのでしょうか？

おかしなマナーを押しつける人達
ところでマナーの話なのに、"拝啓　おはようございます。"に突っ込みが入れられない「西出博子」とかいう人は、マナーの講師としての資格があるのだろうか？
頭語と結語

そういえば、Wikipediaに「この記事は、広告宣伝活動のような記述内容になっています。」って書かれてました。さっきまで無かったのにな～

----------
Other #

VERTU、蒔絵を使った1台2000万円の携帯電話「シグネチャー 吉祥コレクション」を発表

携帯電話のSIMロック解除を検討へ--総務省が公開ヒアリングを開催

Kit attacks Microsoft keyboards (and a whole lot more)
ワイヤレス・キーボードのKeyLogger話

Young Steve Jobs and why 2010 might be like 1984
似てるかも（笑）
あとこれも、1984 and Renewal (間違い探し)

----------
8080 #

	count	ASN	登録	更新
91.121.24.139	98446	AS16276	02/17 10:35:20	03/27 09:40:33
91.121.137.124	49780	AS16276	03/17 23:50:25	03/27 09:40:33
94.75.229.72	43283	AS16265	03/18 01:10:26	03/27 09:40:33
94.23.12.62	26414	AS16276	03/20 06:40:26	03/27 09:40:33
91.121.134.58	23356	AS16276	03/16 10:40:28	03/27 09:40:33
94.23.246.172	12931	AS16276	03/22 13:10:32	03/27 09:40:33
94.23.235.93	12319	AS16276	03/20 10:10:32	03/27 09:40:33
91.121.155.20	5093	AS16276	03/17 21:10:22	03/27 09:40:33
91.121.160.217	71677	AS16276	03/12 19:40:15	03/27 09:30:40
91.121.163.215	41295	AS16276	03/12 18:10:17	03/27 09:30:40
91.121.180.55	28056	AS16276	03/13 01:10:16	03/27 09:30:40
91.121.8.73	5729	AS16276	03/22 06:10:23	03/27 09:30:40
91.121.121.227	9891	AS16276	03/17 20:10:21	03/27 09:00:37
93.89.80.117	7835	AS39326	03/15 13:10:31	03/27 09:00:37
95.168.183.126	2717	AS28753	03/26 01:10:35	03/27 09:00:37
94.23.231.140	4797	AS16276	03/16 20:40:34	03/27 08:00:40
91.191.167.14	664	AS28753	03/26 02:10:36	03/27 05:00:25
85.131.217.251	1453	AS34309	03/26 01:50:40	03/27 03:40:34
85.25.137.71	318	AS8972	03/26 03:10:48	03/27 03:00:40
188.40.82.70	212	AS24940	03/26 14:10:46	03/26 14:40:31
94.23.13.65	11613	AS16276	03/16 22:10:24	03/26 01:40:35
91.121.108.38	11447	AS16276	03/20 06:10:36	03/26 01:40:35
91.121.7.26	80225	AS16276	02/20 05:50:34	03/26 01:10:35
91.121.85.178	14094	AS16276	03/15 00:10:34	03/26 01:10:35
91.121.113.184	1576	AS16276	03/17 03:10:41	03/25 23:40:34
91.121.64.214	33413	AS16276	03/12 07:40:30	03/25 22:10:39
91.121.147.163	4988	AS16276	03/12 08:10:27	03/25 22:00:39
91.121.184.167	31558	AS16276	03/12 17:40:15	03/25 21:40:38
62.75.218.192	50785	AS8972	02/17 12:30:27	03/25 18:40:31
194.150.236.199	1013	AS44976	03/15 07:40:38	03/25 01:40:27
193.138.206.254	7486	AS35470	03/23 17:40:22	03/24 19:00:29

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[69]IPs

追記 : 七氏さんへ
現時点での全IPリストはこちら
現時点でチェックリストに入っている .ru ドメインはこちら

----------
Google Safe Browsing #
| 1269648003 | B | [goog-black-hash 1.53937 update]
| 1269648001 | M | [goog-malware-hash 1.20330 update]
| 308413 | -321(308734)
| 1539993 |
EoF

電気記念日
聖母マリアお告げの祝日 (受胎告知)
公立学校修了式
卒業おめでとう3/9
1943年、黒澤明監督の初監督作品『姿三四郎』封切り。
※昨日のgoogleは、黒澤明氏の誕生日(3/23) に因むもの。

----------
/.sys/?action= #
".sys" Directories Delivering Driveby Downloads
複数のサイトに /.sys/?action=というコードがインジェクションされているという警報です。
Before adding a specific block for ".sys", Paul's web filter caught about 60% of these exploits.
ふむふむ
@peter, much as it would nice to block all .exe's via the web filter that's just not workable in this environment...
それはイエてる（苦笑）

v2captcha21.exe
2010.03.24 04:28:16 (UTC) 36/42 (85.71%)
ヨイコの皆さんはこんなファイルは踏まないはず（苦笑）

/.sys/ Folders and Malware
This is actually a pretty old routine used by Koobface. Our blocks on malware from /.sys/ folders date back over a year, to February 2009.
古いよってことですね。

----------
Gmail #
そもそもGoogleの中国撤退のきっかけとなったのは、gmailへの不正侵入だったかな？
というわけで、gmailに「ログインログ」を表示する機能は前からあるのですが、不審なIPアドレスからのログインがあった場合、警告する機能が付加されました。
Detecting suspicious account activity
謝謝！

Google adds warnings for suspicious GMail activity
Google Bolsters Gmail Security

----------
HURRY!
ええええ～

↓今日の時間食った原因
----------
RSA #
悪人向け「ウイルス検査サービス」登場！ 対策ソフト回避が目的
このRSAのホワイトペーパーを探し回って結局見当たりませんでした・・

ウイルス対策ベンダーの先を行くオンライン犯罪者の手口
「アンチ・アンチウイルス」がサービス化、RSAセキュリティが指摘
専用サイトでウイルス対策ソフトをテストするハッカーたち ～ RSA調べ

同じニュースソースだと思うのですが、結構各誌で捕らえ方が違うな～と思って原文・・・ orz

----------
週間脆弱性＜2010.03.24＞ #
チェックしておきたいぜい弱性情報＜2010.03.24＞ BGM
Samba 3.5.1、3.4.7、3.3.12リリース（2010/03/08）
Internet Explorerに任意のコード実行につながるぜい弱性（2010/03/11）
（CVE-2010-0806）
Safari 4.0.5リリース（2010/03/12）
米シスコ製品に複数のぜい弱性（2010/03/03）

いつもありがとうございます.

微妙に続く
----------
cisco #
また！？
[111265] Cisco IOS Software H.323 Denial of Service Vulnerabilities
[111266] Cisco IOS Software IPsec Vulnerability
[111268] Cisco IOS Software NAT Skinny Call Control Protocol Vulnerability
[111448] Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerabilities
[111449] Cisco Unified Communications Manager Express Denial of Service Vulnerabilities
[111450] Cisco IOS Software Crafted TCP Packet Denial of Service Vulnerability
[111458] Cisco IOS Software Multiprotocol Label Switching Packet Vulnerability
ひ～ふ～み～の７つですね

導入しているところは、ベンダーに問い合わせを行った方がよいでしょう。

----------
ZeuS_Picture #
新しいZeuSのキャンペーン開始のお知らせ
Spam with “Pictures” Used to Spread ZBOT


さすがにこんな怪しいものを踏む人はいないと信じたい

Zeus Crimeware/Client-Side Exploits Serving Campaign in the Wild -- ddanchev
PhotoArchive.exe
2010.03.24 14:34:06 (UTC) 18/41 (43.90%)
From AS4134（よっ！）

他にも、
New ZBOT Variants Targeting European Banks
やら
AVprofit: Rogue AV + Zeus = $
やらと、いろいろキャンペーンを展開しています。

日本にはあまり影響はなさそうですが、気をつけましょう。

----------
完全に時間切れ
今日は数が多すぎます。

----------
Other #

New Scareware Tactic Lures in More FAKEAV Buyers

Spammers Get Creative with ASCII
このバイアグラには参った orz....

拡大するIE6/7のゼロデイ攻撃～国内の改ざんサイトにも攻撃のワナ
編集部の調査では、書籍名などの特定の項目に不正なscriptタグが埋め込まれており、SQLインジェクションによる改ざんではないかと思われる。
あら、そっちのベクトルでしたか？

Communist Party Of Britain’s website infected with malware (again)

Cross-Site Scripting through Flash in Gmail Based Services
食い合わせに注意？

Free website malware detection service
QualysGuard Malware Detection is a FREE

More Scareware, Zeus, Driveby-download Domains
160 new domains flagged as drive-by downloads, scareware, zeus, and harmful by malc0de.com, jsunpack.jeek.org, malwareint.blogspot.com and others:

It takes only one 'nice' person
I'm writing this with tears in my eyes,my fam and..
ナイジェリア・・

Your health, tax, and search data siphoned
MitM thru WPA and WiFi with SSL


中国政府、香港サイトへのトラフィックを検閲―Googleに報復開始
ま・・そうなるでしょうね

Yahooが広告マルウェア配信のトップに。曰く「当社の問題ではない」
※記事全文を読むことをお奨めします（一部抜粋は危険）

WiMAX 無線設備のケーブルが架線に落下、JR山手線などが3時間以上に渡り運休
（ケーブル）入ってる？
埼京線・山手線などストップ　帰宅客ら２６万人に影響

CVE-2010-0188: Exploit in the wild
It must be noted, however, that this exploit will fail if you disable Javascript or enabling hardware-enforced DEP. Yet, a researcher named “villy” recently released in his Blog post a proof of concept version (that just launches windows calculator…) that bypasses such protections — Disabling JavaScript and hardware-enforced DEP would not protect you from an attack using a similar strategy.

Who’s sending us Spam?
ブラジル、インド、ベトナム、韓国そしてアメリカっと

New social media? Pay to play online games with women?
t's embarrassing when the cover of video game magazines resemble something you'd normally find on the top shelf.
（笑）

Google-in-China saga: another hack, move to HK
Sunbelt的視線のGoogle撤退騒ぎ

セキュリ亭: ～新入社員へのセキュリティ研修～　(最終回)
最終回～

やっぱ持つべきものは友よね♪
しかめっ面してセキュリティの話をするよりはよっぽどいいです。
このブログ中における株式会社フォティーンフォティ技術研究所（以下FFR）の社員による発言やコメントは、FFRの正式な見解またはコメントではありません。

※この２つの記事を並べたのは他意はありませんので、はい・・・

フィッシング対策の現場から: インタビュー 第6回
これからは携帯電話にもURL表示や証明書の表示が必要
値下げしてください・・・

More security for root DNS servers
RIPE NCC Operated K-Root Server Distributing Root Zone Signed with DNSSEC
ルートサーバ

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	68819	AS16276	03/12 19:40:15	03/25 09:00:41
91.121.137.124	44879	AS16276	03/17 23:50:25	03/25 09:00:41
94.75.229.72	42464	AS16265	03/18 01:10:26	03/25 09:00:41
91.121.163.215	40528	AS16276	03/12 18:10:17	03/25 09:00:41
91.121.180.55	26447	AS16276	03/13 01:10:16	03/25 09:00:41
91.121.134.58	20551	AS16276	03/16 10:40:28	03/25 09:00:41
94.23.12.62	14810	AS16276	03/20 06:40:26	03/25 09:00:41
94.23.246.172	4087	AS16276	03/22 13:10:32	03/25 09:00:41
91.121.8.73	3822	AS16276	03/22 06:10:23	03/25 09:00:41
94.23.13.65	9942	AS16276	03/16 22:10:24	03/25 08:40:39
94.23.235.93	4120	AS16276	03/20 10:10:32	03/25 08:40:39
91.121.7.26	79495	AS16276	02/20 05:50:34	03/25 07:40:32
91.121.184.167	30546	AS16276	03/12 17:40:15	03/25 07:40:32
91.121.85.178	13191	AS16276	03/15 00:10:34	03/25 07:00:38
91.121.108.38	9317	AS16276	03/20 06:10:36	03/25 06:40:40
91.121.64.214	31882	AS16276	03/12 07:40:30	03/25 06:00:40
62.75.218.192	50567	AS8972	02/17 12:30:27	03/25 05:00:43
91.121.121.227	3212	AS16276	03/17 20:10:21	03/25 04:00:33
194.150.236.199	1013	AS44976	03/15 07:40:38	03/25 01:40:27
91.121.24.139	92542	AS16276	02/17 10:35:20	03/24 23:40:31
91.121.155.20	776	AS16276	03/17 21:10:22	03/24 21:40:23
193.138.206.254	7486	AS35470	03/23 17:40:22	03/24 19:00:29
88.198.55.175	107	AS24940	03/24 05:50:25	03/24 06:10:27
91.121.113.184	1363	AS16276	03/17 03:10:41	03/24 05:10:30
91.121.147.163	4894	AS16276	03/12 08:10:27	03/22 19:10:25
85.197.78.2	373	AS25220	03/17 06:10:33	03/22 11:40:20

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　3日経過:[69]IPs

----------
Google Safe Browsing #
| 1269475204 | B | [goog-black-hash 1.53793 update]
| 1269475202 | M | [goog-malware-hash 1.20286 update]
| 309187 | +1657(307530)
| 1533157 |
EoF

ミュージックの日 「ミュー(3)ジック(19)」
カメラ発明記念日
フォークランド紛争(1982年)

----------
Result of 100 Malwares test #
おもしろい～
100体のマルウェアでセキュリティテスト＿Security is tested with 100 malwares
作業大変だったでしょうね。（ほんとうに中学生さんなら）先が楽しみだな～

落ち着いたら、100検体のMD5(or)SHA-1を公開してくれると嬉しいかな
それにしても、MSEは厳しいなぁ（苦笑）

100 体のマルウェアでセキュリティソフトを比較してみた
意外と厳しいコメントが多くてちょっとびっくり。
セキュソフトはそれぞれ「信者」が多いから、琴線に触ったのかも・・・

----------
これはさすがに・・ #
Dangers of copy&paste
FOR %%A IN (%systemroot% system32 spool printers ■ *.*) DO DEL %%A
the author (accidentally?) added couple of white spaces so this script became extremely dangerous: it will try to delete all files in the %systemroot% directory, in C: and in the current directory.
white spaceが有効な引数として捉えられるほうにびっくり・・

気をつけましょう（対自分）

----------
週間脆弱性 by HIRT #
チェックしておきたいぜい弱性情報＜2010.03.18＞BGM

いつもありがとうございます
BINDにも気が付いてはいたのですが、脆弱性問題ではなかったので放置していました。現在は 9.6-ESV がリリースされています。
BIND 9.6-ESV is now available.
2852. [bug] Handle broken DNSSEC trust chains better. [RT #15619]

VBScriptは例の 「F1 押しちゃだめよ」問題ですね。

----------
ソレは仕様です™ #
Vulnerability in Virtual PC?
The functionality that Core calls out is not an actual vulnerability per se. Instead, they are describing a way for an attacker to more easily exploit security vulnerabilities that must already be present on the system.

まぁ、どうしてもレガシーなアプリを限定使用しなければならない人のための Virtual PC ソリューションであって、その環境からWAN(外部)に接続する運用指針そのものが変です。
そろそろ、テスト要件から IE6を外してください（本音）

「Virtual PCの脆弱性」にMicrosoftが反論
Dispute about Virtual PC security holes

----------
Bredolab #
Scam of the Day - Bredos targetting Facebook
DHLやらFedexやらのspamメールにクッツイテる、例の「汚物.zip」ですが、最近は何でもありですね

03-17-2010_Facebook_Password_Rese
16/42 (38.10%) 2010.03.18 17:20:01 (UTC)

添付ファイル付きの不審メールはポイしましょう。

Facebook Security
Facebook warns over password reset scam

----------
Chrome #
Stable Channel Update
The stable channel has been updated to 4.1.249.1036 for Windows, and includes the following features and security fixes

Congratulations to Sergey Glazunov on receiving the first $1337 Chromium Security Reward for bug [35724].

Detail:
Chromium Security
結構、賞金ゲットな人がいるな～（帝國にしてはアレな額ですが・・）

グーグル、Windows向け安定版などの「Chrome」ブラウザをアップデート

----------
安全なSQL（インジェクション） #
「安全なSQLの呼び出し方」を公開
～深刻な被害が発生しているSQLインジェクション攻撃への具体的な対策書～
図1を見ると、2008年頃から急増しているSQLインジェクション攻撃が全体の45%、ウェブサーバのパスワードファイルや環境設定ファイルの情報を狙ったディレクトリ・トラバーサル攻撃が38%を占めています。
ほんとかな？
うちのログを見ると、phpmyadmin を狙った攻撃が異常に多いんですけど、これって "SQLインジェクション"じゃないですよね？

ともあれ、SQL 句をガリガリコーディングしている方は、この文章に一度目を通され、頭の隅にとどめておくとよいかもしれません。（ただしPDFですが・・・）
安全なSQLの呼び出し方
執筆者がかなりすごいことになってる気もしないでもない・・

相次ぐWeb改ざん、手口は「SQLインジェクション」から「ウイルス」に
（笑）

----------
Mariposa into Android #
Vodafone がMariposaボットネットを拡散 - パート2
Vodafoneはこれを単独のインシデントとして、彼らのフォーラムでこのインシデントについて質問しているユーザーの全ての書き込みを削除する一方、二日後にHTC MagicのEnd-of-Life(生産終了)を発表しています。
他方で、ブログ界におけるユーザーからのリアクションは、この発見に対する賞賛から我々への非難まで多岐に渡りました。不可避でかつ面白い Androidファン対iPhoneファンの論争と同様に..。
なるほど、こういうことになっていたのですね・・・

Androidスマートフォンに2例目のマルウェアが発覚
Mariposa Bot Found Pre-Loaded on Second Vodafone Handset
Cybercriminals: computer genius or professional criminals?

----------
AppleOwned #
Pwn2Own Predictions: Apple iPhone Will Fall
ハッカーの祭典、Pwn2Ownでの「グランプリ」は iPhone へのリモートコード実行になるのでは？という話。

Pwn2Own predictions: iPhone will be hacked

また来週にも、MacOS X の２０もの「致命的な」脆弱性が公開されるかもしれないという話もあります。
Mac OS X: "safer, but less secure"

とはいえ、実際問題として MacOS X 用の実際のマルウェア（投下ペイロード）を書くのは困難（単にめんどくさい）で、あまり出回っていないのも事実です。
このあたりは、OSシェアとのバランスの問題で、iPhoneが将来的にターゲットになる可能性が高いのもまた事実です。

----------
ZeuSサーバ群 #
And another Bulletproof Hoster goes Offline…
A friend over MDL just informed me today that another bulletproof hoster called GR-VERTICAL-AS Group Vertical Ltd (AS49365) has gone offline this night.

"MalWeb"
AS-Troyak Exposes a Large Cybercrime Infrastructure
わかりやすい解説です

Researchers Map Multi-Network Cybercrime Infrastructure
このへんの遮断作戦はどこが主導してるのでしょうね？

----------
Other #

「LAN - WAN間に挟むだけ」のセキュリティ保護ブリッジ販売中 -- パケット調査でウイルスも駆除
コメントは控えておこう・・・

Windows Phone 7 シリーズのコピペ非対応は「意図的な判断」(マイクロソフト)
クリップボードを搭載しないのは「設計上の意図的な判断」。いわく、Windows Phone 7 シリーズは「ユーザーが求めているものは何か」をいちから問い直す手法で開発されており、同氏も「驚いた」「最初は信じられなかった」というさまざまなユーザビリティテストの結果、ほとんどのユーザーはコピー＆ペーストをしなかった・したがらなかったとのこと。
へぇ～

Google: Viacom wanted to buy YouTube, uploaded its own clips
ほほ～

‘March Madness’ Malware Spreading via Search Results

Webサイト管理者は痕跡確認とFTP利用制限を
似たような記事が連日出てる気もしないでもありませんね・・

Windows Vistaからの保護機能：保護モードと整合性レベル
あとでよく読みます・・

----------
8080 #

	count	ASN	登録	更新
91.121.160.217	35817	AS16276	03/12 19:40:15	03/19 09:00:28
91.121.64.214	23980	AS16276	03/12 07:40:30	03/19 09:00:28
91.121.184.167	20765	AS16276	03/12 17:40:15	03/19 09:00:28
91.121.137.124	8270	AS16276	03/17 23:50:25	03/19 09:00:28
91.121.134.58	6368	AS16276	03/16 10:40:28	03/19 09:00:28
91.121.163.215	26883	AS16276	03/12 18:10:17	03/19 08:40:21
94.23.13.65	3541	AS16276	03/16 22:10:24	03/19 08:40:21
91.121.121.227	1331	AS16276	03/17 20:10:21	03/19 08:40:21
91.121.7.26	75891	AS16276	02/20 05:50:34	03/19 08:00:18
91.121.85.178	7733	AS16276	03/15 00:10:34	03/19 08:00:18
94.75.229.72	7057	AS16265	03/18 01:10:26	03/19 07:40:38
91.121.108.53	108251	AS16276	02/17 10:35:20	03/19 07:00:26
91.121.180.55	14046	AS16276	03/13 01:10:16	03/19 06:40:26
91.204.116.114	5900	AS44976	02/24 23:30:07	03/19 05:40:32
94.23.231.140	723	AS16276	03/16 20:40:34	03/19 04:00:20
91.121.24.139	91569	AS16276	02/17 10:35:20	03/19 00:40:23
93.89.80.117	2176	AS39326	03/15 13:10:31	03/18 21:40:35
91.121.113.184	644	AS16276	03/17 03:10:41	03/18 02:00:28
91.121.155.20	453	AS16276	03/17 21:10:22	03/18 00:10:36
188.40.113.20	119	AS24940	03/17 20:40:27	03/17 21:10:22
82.98.193.211	24917	AS8455	03/13 23:40:23	03/17 18:00:30
62.75.218.192	50024	AS8972	02/17 12:30:27	03/17 08:10:34
85.197.78.2	179	AS25220	03/17 06:10:33	03/17 06:40:26
193.138.206.56	286	AS35470	03/16 22:40:47	03/17 02:40:49
85.17.137.93	5768	AS16265	03/16 05:40:34	03/17 01:40:37
91.121.147.163	4656	AS16276	03/12 08:10:27	03/17 01:00:23

真っ赤:24H以内登録　赤:5日以内登録　薄赤:24H以内更新　4日経過:[61]IPs

----------
Google Safe Browsing #
| 1268956806 | B | [goog-black-hash 1.53360 update]
| 1268956802 | M | [goog-malware-hash 1.20142 update]
| 300289 | -2776(303065) 減ってますね～
| 1502694 | 蒐集されたブラックリストが 150万に達しました。
EoF

半ドンの日
モーリシャス 独立記念日 1968年サイフの日 「さ(3)い(1)ふ(2)」
スイーツの日 「ス(3)イ(1)ーツ(2)」 also?:(笑)
モスの日 not モス

----------
ゼロデイ情報は秘匿されるべきか？ #
When too much is not enough too much.
McAfeeのblogで、URIの全情報とそのステップが公表されたことで、Exploitコードの拡散を招いたのではないか？というお話。

It seems pretty reasonable to list that information in a blog post, right? Surely someone writing IDS signatures would find the URL used by the malware useful, and other anti-virus researchers might gain benefit from knowing the file names associated with the attack.
と
My suggestion for researchers writing about live threats is simple. If the domain(s) hosting un-patched exploits are still active, don’t post the URL or filenames associated with the exploit: frequently Google will happily locate the page for you.
は、完全に二律背反する話で、非常にデリケートな部分でもあります。今回はSecuniaもSANSも蚊帳の外に置かれていた様子ですので、McAfeeとMicrosoftはよほど仲がいいのかもしれませんね。

ともあれ、既にMetasploit にモジュール登録されていますので、別のマルウェア作者が近日中にこの脆弱性を「利用」してくる事態は避けられないと思われます。

IE6/7をどうしても使用しなければならない方は、対策を講じる必要がありそうです。

IE -- FFXI(仮)
「女子自衛官の写真冊」。写真冊とは写真集のことのようです(標的型ということで、実際はメールが主力と思われます)。
もし 20100305rss.htmというファイル名が日時だとすればこちらのほうが早かったことになります。
もし防衛省や自衛隊を狙ったのだとすればAurora作戦の一環でしょうか。
2chのスレッドにも貼られていた様子です。
そういえば、IE6/7のTridentを使用しているブラウザも同じ脆弱性攻撃を受ける可能性があるのではないでしょうか？

Researcher publishes exploit for new IE hole
He was able to create the exploit code after figuring out where an existing exploit was in the wild, based on information in a McAfee blog post, he told Ryan Naraine of the Zero Day blog at CNET sister site ZDNet. It took him about 10 minutes to de-obfuscate the exploit and pinpoint the vulnerability, he said.
イスラエルの研究家はMcAfeeのblogを見て、10分でPoCが出来たと言及しています。

Zero-Day Attack on IE6 – JS.Sykipot Doesn’t Spare Retired Software
"retired"ですか・・
Internet Explorer 6 may have taken its path to retirement but it still remains a good target for exploits, as we can see from JS.Sykipot. This zero-day was found on March 8th and it exploits a vulnerability in some Internet Explorer versions (CVE-2010-0806 , BID 38615) that can lead to remote code execution. Upon successful exploitation, JS.Sykipot will download and run Backdoor.Sykipot, which is a back door capable of communicating with its control server to receive and run several commands.
相変わらずsymantec は自分のシグネチャを主張しますね。ポリシー的なものでしょうか？(苦笑)
So, seeing as IE6 is no longer supported by Microsoft, it is time to update your browser to a newer version or to use a different one.
さっさと墓に入ってほしいものです・・・

Demonstrating the Latest IE 0-day Vulnerability

Exploit for new IE hole
At the recent RSA conference, the creator of Metasploit, H.D. Moore, accused software vendors of only responding fast once an exploit is in circulation – it will be interesting to see if he's right again.
きたきた～

----------
Safari 4.0.5 #

About the security content of Safari 4.0.5
あ・・相変わらず山のようなCVE・・・

CVE-2009-2285
LZWDecodeCompat function in libtiff 3.8.2

CVE-2010-0205
解凍爆弾とよばれた The png_decompress_chunk function in pngrutil.c in libpngは入っていないようですが・・・影響ないのかな？

----------
Who res'ed? #
One-third of orphaned Zeus botnets find way home
Troyak の遮断により多数のZeuS C&C がテイクダウンされた・・・と思いきや結局は元にもどってしまいました。
Cyber security's short-lived victory
*sigh*

----------
Koobfaceもサーバ移動 #
Koobface gang refresh botnet to beat takedown
Twitter scourge changes pants
英国人的センスなの？・・・

Command and Control servers associated with the infamous Koobface worms have gone through a complete refresh over the last fortnight. Russian net security firm Kaspersky Lab reckons the change up might be aimed at making takedown efforts by cybercrime fighters more difficult.
一連のBot掃討作戦を受け、先手を打ってC&C などの悪意サーバの移転を図っているようです。
「逃がすかっ！」って意気込みでやってほしいのですけどね～

Koobface Worm Doubles C&C Servers in 48 Hours

関連：
New Twitter Feature Looks For Malicious URLs
ツイッター、フィッシング遮断サービスを提供開始
Twitterが提供する新しいサービスのなかには、短縮URLを可能にするツールがある。これはほかのユーザーから送付される通知メールやダイレクト・メッセージに含まれるURLを、「twt.tl」という短いリダイレクトURLに変換するというものだ。

関連注意？
212.175.173.88 via MDL search:Facebook
AS9121

Malicious Web Attack Using Executable With facebook.com in Name

----------
go JAIL! #
Allaple Virus Author Sentenced
Allapleウイルスの作者に判決
エストニアのウイルス・ライターが、エストニアのハリュで実刑判決を受けた。
Allapleウイルス・ファミリの作者、44歳のArtur Boiko氏は無罪を主張した。
とは言え、彼は有罪であるとされ、2年7カ月の懲役を言い渡された。
YES
なんか、「個人的な復讐のためにWORM作ったら蔓延しちゃったよ（てへっ）」って感じなんでしょうか？

Allaple worm -- 2007-03-14

----------
go JAIL! 2 #
PKK Hackers Arrested in Turkey
こっちは政治色強そうなので突っ込みはやめておきます・・・

----------
Bot involved Skype #
Cert write up on Skype IMBot Logic and Functionality.
SkypeやICQ(ふるっ！）のようなIMを使った新しい手法が、cert.at(オーストリア）から発表されたそうで・・・なんか面白（失礼）そうです。
This is a fairly new vector. I have seen other IM based malware using skype IM so it’s not brand new but not too common yet either. The malware detects many Reverse Engineering applications and attempts to make the system unbootable if any type of RE is detected. It uses a new (novel) method to hide its processes/files. It scans local networks for 445 probably to exploit one of the many Microsoft vulnerabilities that can be exploited via that service. It uses "conficker like" encryption. It had logic to "infect" usb drives.
うは・・それWormじゃないですか？

An Analysis of the Skype IMBot Logic and Functionality

更に FakeAVへの誘導も行われているようです。
Interesting SKYPE SPIM.

コンタクトリストに無いユーザからのメッセージは「受け取らない」ことが重要です。

----------
PITs #

ispCP Omega "net2ftp_globals[application_skinsdir]" File Inclusion 4
Successful exploitation requires that "register_globals" is enabled.
またか・・

Skype URI Handling "/Datapath" Vulnerability 3
Update to version 4.2.0.1.55 (v4.2 hotfix #1).

ViewVC Query View Cross-Site Scripting Vulnerabilities 2
Update to version 1.0.10 and 1.1.4.

----------
Other #

A new setting file for the .....
爆弾付きmailも最近増えてますね・・・
settings.zip 25/42 (59.52%)
2010.03.11 19:01:53 (UTC)

ネット上で健康食品の虚偽・誇大表示～消費者庁が320業者に指導

Cryptanalysis of the Sasfis Registry Key
Sasfis (Botnet/Trojan)の暗号化解析

Is that a bot in your pocket? Or does it just look like one?
"MOBOTS" SmartPhone Bot のテスト結果

PayPal restores Cryptome for real
"Your Account Access is Fully Restored"

Most malicious websites are hosted in the US
今に始まったことでは・・・

Foxit Reader 3.2
リリースノートはどこ？

Consoles for old games come with new malcode
PlayStation Malware

読み物：
Top 25 Series

----------
Crash at ..? #
Secret Obsession: Odd Windows Crash Alerts
笑っちゃいけないんでしょうが・・・

Bill Gates, Windows 98, Blue Screen of Death

----------
8080 #

	count	ASN	登録	更新
91.121.24.139	85321	AS16276	02/17 10:35:20	03/12 09:10:16
91.121.108.53	83320	AS16276	02/17 10:35:20	03/12 09:10:16
91.121.7.26	64732	AS16276	02/20 05:50:34	03/12 09:10:16
91.121.64.214	459	AS16276	03/12 07:40:30	03/12 09:10:16
91.121.147.163	322	AS16276	03/12 08:10:27	03/12 09:10:16
91.204.116.79	40762	AS44976	02/20 04:50:59	03/12 08:00:24
78.41.156.236	13333	AS6908	02/18 20:00:43	03/12 08:00:24
62.75.218.192	49582	AS8972	02/17 12:30:27	03/12 07:40:30
84.200.227.144	7228	AS31400	02/17 12:30:27	03/12 06:40:27
87.106.247.193	3381	AS8560	02/17 19:40:50	03/12 05:00:33
213.251.133.159	5967	AS16276	02/17 18:00:50	03/12 02:40:55
91.204.116.114	5416	AS44976	02/24 23:30:07	03/11 22:00:45
188.40.118.68	3591	AS24940	02/17 10:35:20	03/09 06:10:24
86.58.190.93	808	AS16095	02/26 10:50:08	03/07 00:00:14

真っ赤:24H以内登録　赤:5日以内登録　薄赤:24H以内更新　7日経過:[50]IPs

新IP 2個追加・・またおまえかっ！

----------
Google Safe Browsing #
| 1268337632 | B | [goog-black-hash 1.52843 update]
| 1268337603 | M | [goog-malware-hash 1.19972 update]
| 301120 | -1256(302376) ３０万切り目前！
| 1465874 |

----------
明日は更新できない可能性があります。

EoF

もう３月ですよ～早いですね。

----------
ビキニ・デー
豚の日
デコポンの日 (1991年初出荷)
労働組合法施行記念日 (1946年)
三一節(韓国)

微妙に続く
----------
DDoS注意の理由 #
歴史的な記念日と世界的なスポーツ大会に関連するDDoS
で今回ですが、３・１独立運動の記念日とバンクーバーオリンピック（競技の結果でもいろいろと、、、）が重なっているということで韓国の掲示板とかでDDoS予告なんかが出ているわけですね。
なぜDDoSにつながるのか感覚的にはよくわからないわけですが、アジア圏だけではなくヨーロッパでも同じような状況でのDDoSが発生していますし、ネットという武器をを使って、自分の意見を主張？してるといわけですかね。。。
私にもよくわかりません（笑）

----------
SEO毒のPDF誘導 #
Blackhat SEO turns to PDF with Chile and Hawaii disasters
As you can see above Google tells you the file format is PDF and not HTML. That's not true, it is infact a regular HTML page that when visited will redirect the user to a page that looks like this - just another rogue AV fake scanning page.
新手法と言われれば新手法ですが、 PDF だとクリックしたがらないヒトが多いような気も・・国によって違うのかな？
By making the search result look like a PDF it gives the link more authenticity. Perhaps it's a research paper or at least a more well written article. The likelihood that a user will click on these type of links is probably higher than if it were just another random web link.
PDFだと普通のリンクよりも権威があるように錯覚し、一般的なリンクよりもクリックする可能性があがる・・っと？

まぁ、アノテコノテでやってることだけは間違いありませんね。

packupdate_build6_179.exe
12/41 (29.27%) 2010.02.28 10:29:12 (UTC)

----------
お掃除を忘れずに #
Old websites are also used in spam SEOs
If you are no longer using/updating your web site think about deactivating it because having malware and/or spam on it will impact on your brand image.
特にWeb制作会社は気をつけなければなりません。又使うかもしれないといってテスト環境を放置していると万一のときは取り返しのつかないことになりかねません。

参考：
「ガンブラー攻撃」対象ソフトをJPCERTが確認～サイト管理者の注意点は？

----------
FakeVimes #
FIGHTING MALWARE(MalwareURL)に本日付で、大量にWin32/FakeVimesが登録されています。

最近SEO毒と相まってFakeAVの被害報告が増加傾向にありますので注意しましょう。

FakeVimes -- 2009/11:
「パスワードを盗むウイルス」と「偽ソフト」が猛威、米MSが警告
Rogues FakeVimes and PrivacyCenter added to MSRT

----------
ZeuSの新手法？ #
MDLからもなにやら警報が
※MDLフォーラムのリンクにはダイレクトでマルウェア直行のものがあったりしますので、注意してください。
payload of Neosploit

eH9ae811f6V0100f070006R0000000010
1/41 (2.44%) 2010.02.28 21:15:17(UTC)
Symantecのみ反応ですね。

jbaagpepjvc・com as 69.174.245.148
AS13768 (PEER1)
あれ・・昨日どっかで見かけませんでした？ ＞ (セゾンカード)

ZeuSは日本国内での感染例は今のところ少ないようですが、注意するに越したことはありません。

よくもまぁこれだけピンボールのようにあちこち飛ばされるもんだ～
New Zeus server -- by SysAdMini
ひーふーみーの・・・・

あと、comodoのMalware Analysisって初めて知りました。
Comodo Instant Malware Analysis

----------
絵文字 into Unicode #
グーグルが絵文字を世界標準に提案した理由--国際化エンジニアに聞くプロジェクトの舞台裏（前編）
グーグルが絵文字を世界標準に提案した理由--国際化エンジニアに聞くプロジェクトの舞台裏（後編）
ほえ～
メリットとデメリットが読めないけど、面白そうですね。

でも帝國主導だと、それだけで反対する人もいそう～（笑）

----------
8080 #

	count	ASN	登録	更新
94.23.11.38	37512	AS16276	02/17 10:35:20	03/01 08:00:11
91.121.24.139	33024	AS16276	02/17 10:35:20	03/01 08:00:11
91.121.108.53	31769	AS16276	02/17 10:35:20	03/01 08:00:11
91.121.7.26	23140	AS16276	02/20 05:50:34	03/01 08:00:11
89.149.244.211	19460	AS28753	02/20 08:30:31	03/01 08:00:11
62.75.218.192	8177	AS8972	02/17 12:30:27	03/01 07:50:11
78.41.156.236	1120	AS6908	02/18 20:00:43	03/01 07:20:12
91.204.116.114	1080	AS44976	02/24 23:30:07	03/01 05:50:12
87.106.247.193	500	AS8560	02/17 19:40:50	03/01 05:50:12
213.251.133.159	900	AS16276	02/17 18:00:50	03/01 04:40:12
89.110.147.181	5383	AS24989	02/17 13:30:59	02/27 03:00:06
77.68.44.169	2388	AS15418	02/17 10:35:20	02/27 01:40:05
81.18.190.210	238	AS39180	02/26 22:40:05	02/27 01:40:05
80.248.208.205	351	AS35830	02/26 10:50:08	02/27 01:30:07
83.168.238.66	184	AS35041	02/26 16:00:05	02/27 01:30:07
87.118.90.76	430	AS31103	02/26 12:10:05	02/27 01:00:05
85.14.202.210	610	AS13301	02/20 04:50:59	02/27 00:40:05
92.51.132.101	531	AS20773	02/20 14:50:38	02/27 00:40:05
80.93.49.223	93	AS35295	02/26 23:40:05	02/27 00:10:06
80.74.159.89	95	AS21069	02/26 23:10:06	02/26 23:40:05
212.146.105.75	183	AS5606	02/26 10:50:08	02/26 23:10:06
62.176.153.45	178	AS8426	02/26 10:50:08	02/26 22:10:06
213.137.2.118	178	AS13122	02/26 16:40:07	02/26 22:10:06
66.147.239.213	85	AS4323	02/26 21:40:08	02/26 22:10:06
69.60.10.2	85	AS26163	02/26 21:40:08	02/26 22:10:06
91.121.1.99	321	AS16276	02/17 21:00:39	02/26 20:40:05
217.13.215.186	68	AS12494	02/26 19:40:05	02/26 20:00:06
84.242.167.49	68	AS8672	02/26 19:40:05	02/26 20:00:06
86.58.190.93	599	AS16095	02/26 10:50:08	02/26 19:40:05
62.68.162.19	483	AS15467	02/26 12:10:05	02/26 19:40:05
78.137.161.186	201	AS31122	02/26 17:10:06	02/26 19:40:05
89.200.168.88	81	AS41078	02/26 11:40:05	02/26 12:00:06
67.210.97.244	81	AS15244	02/26 11:40:05	02/26 12:00:06
216.87.163.53	81	AS30217	02/26 11:40:05	02/26 12:00:06
91.199.104.50	74	AS44418	02/26 11:20:06	02/26 11:40:05
213.160.24.49	74	AS20676	02/26 11:20:06	02/26 11:40:05

真っ赤:24H以内登録　赤:3日以内登録　薄赤:24H以内更新　skipped(5日):[24]
スキップIP（使われなくなった古いIP)が増えてきました

----------
Google Safe Browsing #
| 1267387233 | B | [goog-black-hash 1.52051 update]
| 1267387202 | M | [goog-malware-hash 1.19708 update]
| 308624 | +500(308124) 微増
| 1424357 |
EoF

二・二六事件の日
脱出の日
パナマ運河開通記念日 1914年
咸臨丸の日
血液銀行開業記念日

----------
Operation b49 #
Cracking Down on Botnets
we have executed a major botnet takedown of Waledac, a large and well-known “spambot.”
*clap* *clap* *clap*
すばらしいっ！
トレードマークの Dr.Waledacもしばらくは出て来れないでしょう（笑）
Three days into the effort, Operation b49 has effectively shut down connections to the vast majority of Waledac-infected computers, and our goal is to make that disruption permanent. But the operation hasn’t cleaned the infected computers and is not a silver bullet for undoing all the damage we believe Waledac has caused. Although the zombies are now largely out of the bot-herders’ control, they are still infected with the original malware.
Botnetに「銀の弾丸（特効武器）」は無く、C&Cを失ったゾンビは今後も潜伏し続けることでしょう。このあたりの徹底的な掃討は各Cert、セキュリティ機関及びISPの連携が必要です。そして、それが無ければ Mega-Dのように再び復活してくることになるかもしれません。

Dismantling Waledac
Microsoft Ambushes Waledac Botnet, Shutters Whistleblower Site
正に「アンブッシュ」ですね。
いずれにせよ、Botnetに堕ちるようなPCを運用していることが問題であって、そういう環境を一日も早く払拭することが重要です。

続く？
----------
MS KILLED Whistleblower site, too? #
ところで、Cryptome.org と今回の一件の因果関係が良くわからないのですが・・・
Microsoft Takes Down Whistleblower Site, Read the Secret Doc Here

Microsoft's wiretap guide goes online, security site goes offline
Long-established privacy and cryptology website Cryptome.org was pulled offline on Wednesday after Microsoft launched a legal offensive over its publication of Redmond's guide to internet wiretapping.
Cryptome restored after Microsoft change of heart
Microsoft to Withdraw Copyright Complaint, Cryptome Coming Back Online
Network Solutions says it will announce the withdrawal of the DMCA copyright complaint by Microsoft and the return of Cryptome online later this morning.
DMCAの濫用ともとれる内容ですが、何だかよくわかりません。

----------
しくしく
MS の Complaint PDFを開こうとしたら固まるので時間取られました・・

----------
tDiary #
tDiary 付属のプラグイン tb-send.rb におけるクロスサイトスクリプティングの脆弱性
update: tDiaryの脆弱性に関する報告(2010-02-25)
問題が発現するブラウザに制約があり、現在のところ確認されているのはIE7を使って日記を更新する場合のみになります(これより古いブラウザでも発生する可能性がありますが、開発元では確認していません)。Firefox、Opera、Safariなどの主要なブラウザでは発生しておりません。
また、tDiary 2.2に特有の問題であり、tDiary 2.3では発生しません。さらに、tb-send.rbプラグイン(TrackBack送信プラグイン)が有効になっている場合のみに発生します。
すごいピンポイントなんですね。

tDiary Unspecified Cross-Site Scripting Vulnerability 2

----------
so-net articles #
サイト改ざん猛威：「8080」がコード変更、「Gumblar.x」も攻撃再開
大手サイトの改ざんがおおむね沈静化し、メディアでの露出度がめっきり減った「ガンブラー」だが、そんな表向きの情勢とは裏腹に、ネット上では相変わらずの改ざん/再改ざんが繰り広げられている。
サイト改ざん猛威：ウイルス感染を100％防げる「ソフトウェアの更新」を
これらは、ウイルス感染を防ぐための基本対策の一部に過ぎないのだが、たったこれだけで、現行のGumblar.x/8080のウイルス感染を100％防ぐことができる。これは、この数か月間変わらぬ内容なのだが、実施していない方が多いというのが実情のようだ。
サイト改ざん猛威：感染パソコンの修復は「OSの再インストール」が近道
ダウンロード機能やアップデート機能も持っているため、感染後もシステムをいじり放題。感染パソコンを感染前の状態に戻すのは、ほとんど絶望的と考えるのが賢明だ。
いつもいつも的確な記事をありがとうございます。

----------
SQL #
モンベルの報告書：
不正アクセスによる情報漏えいの内容
不正アクセスの日時・攻撃手法
日時：2010年1月25日午前3時39分～1月26日午前6時37分にかけて断続的に
攻撃元：海外（中国のIPアドレス）
攻撃手法：弊社ウェブサーバー内のデータベースに対する「SQLインジェクション」（コンピュータ言語を悪用し、データベースを不正に操作する攻撃方法）。
※ガンブラー・ウイルスによる攻撃ではありません。
SQLインジェクションなら、使用していたCMSも公開して欲しいなぁ・・オリジナルだったらショウガナイですが。

参考：
Anatomy of a SQL Injection Attack

----------
Picasa #
Google Picasa JPEG Processing Integer Overflow Vulnerability 3

Update to version 3.6 build 105.41.

----------
IBM Tokyo SOC #
ZeuSの国内レポートは貴重ですね
東京SOCでのZeus/Zbot検知状況【Tokyo SOC Report】
これは、1～3 のウィルス・ファイルのダウンロードがクライアントPCにて発生した件数をカウントしています。
毎月5件程度のダウンロードが確認されています。昨年、感染を拡大したGumblar.X攻撃によるウィルス・ダウンロードと比べると検知件数が大幅に少ないことが分かります (Gumblar.X攻撃によるウィルス・ダウンロードは、2009年10月には約2千件確認されていました(*2))。様々なベンダーから、 Zeus/Zbotに関連する不審なメールが出回っているという情報が日々公開されていますが、実際の被害に遭う事例は少ないようです。
グラフの縦軸が １桁なのに注目！

国内の ZeuS の感染事例は確かに少ないようですね。

----------
Skypeのspam #
skypeに届くspam
確かに最近多いですね・・

----------
RSA conference #
RSA 2010: Top 15 Conference Sessions You Shouldn't Miss

Conference Stuff

----------
(笑) #
Teaching Some Security. Asking for help!
最高！
日本語版も作ってあげてください。

----------
pass-the-hash攻撃 #
Pass The Hash
良く知らなかったのですが、暗号化（Hash'ed）された文字列そのものを盗んで、正規パスワードを知ることなくアクセスできるという攻撃手法です。

詳細：
Pass-the-hash attacks: Tools and Mitigation

----------
Twitter釣り続行中 #
「This you????」　TwitterのフィッシングDM、日本でも出回る

This you?? What's the point of phishing a Twitter account?

----------
Password #
「パスワードの使い回しを防ぐ方法教えます」――米セキュリティ企業
パスワード使い回しの危険を避ける便利な方法――Websenseが紹介

元：
Top Secrets About Your Passwords

もういっそ覚えられないパスワードにして、マスターパスワード設定できるアプリ（きちんとマスターパスワードとの合成暗号化を行っていることが必須条件ですが）に記憶させ、パスワード自体はtxtにメモって自分で暗号化かけてFD（笑）にでも保管しておくとか・・・いろいろ考えるのですがなかなかうまくいきませんね。

----------
8080 #

	count	ASN	登録	更新
94.23.11.38	25651	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.24.139	21513	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.108.53	20140	AS16276	02/17 10:35:20	02/26 08:50:05
91.121.7.26	13879	AS16276	02/20 05:50:34	02/26 08:50:05
89.149.244.211	8656	AS28753	02/20 08:30:31	02/26 08:50:05
89.110.147.181	4545	AS24989	02/17 13:30:59	02/26 08:30:05
62.75.218.192	3069	AS8972	02/17 12:30:27	02/26 05:30:05
85.14.202.210	346	AS13301	02/20 04:50:59	02/25 05:30:05
91.204.116.114	81	AS44976	02/24 23:30:07	02/25 04:50:05
78.41.156.236	444	AS6908	02/18 20:00:43	02/25 03:40:08
92.51.132.101	63	AS20773	02/20 14:50:38	02/24 04:40:18
91.121.172.32	11262	AS16276	02/17 10:35:20	02/24 03:40:20
80.69.74.73	10835	AS20857	02/17 10:35:20	02/24 03:40:20
188.72.211.253	6765	AS28753	02/17 10:35:20	02/24 03:40:20
87.233.139.100	3286	AS15703	02/17 10:35:20	02/24 03:20:08
77.68.44.169	2036	AS15418	02/17 10:35:20	02/23 21:20:18
213.251.164.84	2036	AS16276	02/17 10:35:20	02/23 21:20:18
78.31.107.49	2036	AS24931	02/17 10:35:20	02/23 21:20:18
188.40.118.68	2036	AS24940	02/17 10:35:20	02/23 21:20:18
94.23.199.154	2036	AS16276	02/17 10:35:20	02/23 21:20:18
91.121.180.112	2034	AS16276	02/20 00:30:36	02/23 17:30:22
91.121.221.181	4114	AS16276	02/19 23:30:35	02/23 15:40:16
85.17.58.10	375	AS16265	02/20 06:50:47	02/22 14:01:22
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---

----------
Google Safe Browsing #
| 1267128034 | B | [goog-black-hash 1.51835 update]
| 1267128002 | M | [goog-malware-hash 1.19636 update]
| 305324 | -1981(307305) 漸減中
| 1410089 |
EoF

国際友愛の日
エジプトのアブ・シンベル神殿の奥に陽が届く日(※1:37頃)
竹島の日
食器洗い乾燥機の日
猫の日 cuz [にゃー(2)にゃー(2)にゃー(2)] (cute)
おでんの日 cuz [ふー(2)ふー(2)ふー(2)]

----------
はい否定 #
昨日の「中国の２大学が Googleなどの Operation Auroraの拠点になっていた」という話に対して
Chinese schools deny Google cyber-attack links
いともあっさりと否定（笑）
"The report of the New York Times was based simply on an IP address. Given the highly developed network technology today, such a report is neither objective nor balanced."
昨今だと、これは事実でしょうね（もっとも、本当にIP Spoofされていたかどうかも悪魔の証明なのでなんとも・・・）

あんまり近寄ると政治の話になりそうですのでこの辺で・・・

でも微妙に続く
----------
Cyber Shockwave #
Cyber Shockwave
CNNの番組見てないのでなんともいえませんが、大規模インフラを狙ったサイバーテロの特集が組まれていたようで・・・
最近は日本でも流行ってるらしいですね。

あまり騒ぎすぎると FUD になりますし、かといって何も対策しないのは企業・自治体としてどうか？と思われそうです。
このへんの匙加減とか、「何をすれば良いのか」とかは各国によってそのベクトルも様々でしょうから機密保持的になかなか出てこないでしょう（ポンポン出てくるほうが怖い）
FUD化しそうな記事はこっち：
Spike In Power Grid Attacks Likely In Next 12 Months
関連：
基幹インフラの半数以上がサイバー攻撃を経験、McAfeeが調査 -- 2010.01.29
McAfee, Inc. Report Reveals Cyber Coldwar, with Critical Infrastructure Under Constant Cyberattack Causing Widespread Damage

個人的にはこっちのほうが面白かったかな:
「ブラッディ・マンデイ シーズン2」を考察する#01

----------
Xハコ #
Everything you ever wanted to know about Xbox hacking
Hacking and phishing threats that PC users have suffered for years are now becoming part and parcel of the online gaming experience for users of Microsoft's Xbox console.
X箱を持っている人は、"Three-ring circus"という言葉に過剰に反応していましたが（笑）たぶんコレのことでしょう。
高度化し、かつ現金（あるいは仮想マネー）が飛び交い、かつセキュリティの意識の薄い家庭用ゲーム機は、今後益々犯罪者のターゲットになってしまうことでしょう。

遅ればせながら、PaperGhost氏(vitalsecurity.org)、Sunbelt入社おめでとうございます。

----------
TCP/12174 #
TCP Port 12174 Request For Packets
TCP/12174のtarget Senseがハネあがっているようで、注意喚起が出ています。

確証はありませんが、LANDesk関連かもしれませんね。
TCP/9594とTCP/12174に関して妙なログが出ていないかチェックしてみるのも良いでしょう。

Multiple Symantec Alert Management System 2 components Intel LANDesk Common Base Agent (CBA) command execution
SAVCE 10 after applying MR8 patch still vulnurable (Intel LANDesk CBA) -- 2010.01.22

----------
MAEC #
Looking for "more useful" malware information? Help develop the format.
MAEC(Malware Attribute Enumeration and Characterization)
何だろうとおもったら HomeLand Security(つまり米国主導）支援のマルウェア研究機関ですね。（CVE/CWEと同じ系列）
AMTSOとの連携とかは不明ですが、今後の活動に期待します。

----------
なんとなく時間切れ気味

----------
ZeuSとBredolabの境 #
What the Bad Guys Know: We'll Click on ANYTHING!
やってることはどっちも同じですね・・それにしてもオゾマシイ数のURLです。
関連：
Man in the Browser
ZeuS: ‘A Virus Known as Botnet’
この２本はよく読んでおかなきゃ・・・（時間ないっ）

----------
MDL explode #
今日（02/21)のMDLは大量の登録でほとんど爆発状態です。
ZeuS, Koobfaceも多いですが、CUSTOMER.KRYPT.COM(AS35908)とかもあって、まだ解析できてません。
また、ZeuS Trackerさんのほうも、21日付けで大量の登録がありますので、「何かが」起きているのかもしれません。

IDSに妙なものが引っかかったかたは（こっそり）教えてください（笑）

----------
NTP Poizoning #
NICT、日本標準時のNTPサーバーをJPIXに設置
一般ユーザー側は意識している人でもフリーなNTPサーバーを使うことがほとんだろうと。ということを考えるとフリーのntpサーバーをDDoSで落とすとか、偽の時間情報を流すことで簡単に社会的混乱が引き起こされてしまうのではないかと思ってしまうわけです。
NTP汚染とか、そんな話を先週やってたばっかりなので、実にタイムリーでした。

----------
8080 #
改良終了： Stable(?) Ver 0.0.1c

	count	ASN	登録	更新
94.23.11.38	10169	AS16276	02/17 10:35:20	02/22 08:30:46
91.121.24.139	8453	AS16276	02/17 10:35:20	02/22 08:30:46
91.121.172.32	7760	AS16276	02/17 10:35:20	02/22 08:30:46
80.69.74.73	7260	AS20857	02/17 10:35:20	02/22 08:30:46
91.121.108.53	6684	AS16276	02/17 10:35:20	02/22 08:30:46
188.72.211.253	4469	AS28753	02/17 10:35:20	02/22 08:30:46
91.121.221.181	2444	AS16276	02/19 23:30:35	02/22 08:30:46
91.121.7.26	2267	AS16276	02/20 05:50:34	02/22 08:30:46
87.233.139.100	2007	AS15703	02/17 10:35:20	02/22 08:30:46
213.251.164.84	1598	AS16276	02/17 10:35:20	02/22 08:30:46
188.40.118.68	1598	AS24940	02/17 10:35:20	02/22 08:30:46
94.23.199.154	1598	AS16276	02/17 10:35:20	02/22 08:30:46
78.31.107.49	1598	AS24931	02/17 10:35:20	02/22 08:30:46
77.68.44.169	1598	AS15418	02/17 10:35:20	02/22 08:30:46
91.121.180.112	1162	AS16276	02/20 00:30:36	02/22 07:21:06
85.17.58.10	359	AS16265	02/20 06:50:47	02/22 06:40:52
89.149.244.211	279	AS28753	02/20 08:30:31	02/22 06:30:23
78.41.156.236	366	AS6908	02/18 20:00:43	02/22 05:30:51
85.14.202.210	250	AS13301	02/20 04:50:59	02/22 04:31:02
78.46.46.3	51	AS24940	02/20 04:30:27	02/22 03:00:48
88.80.221.41	380	AS39023	02/18 06:40:49	02/22 00:30:56
89.110.147.181	541	AS24989	02/17 13:30:59	02/21 15:00:48
91.204.116.79	76	AS44976	02/20 04:50:59	02/21 02:40:36
84.200.227.144	299	AS31400	02/17 12:30:27	02/20 23:30:33
87.106.247.193	55	AS8560	02/17 19:40:50	02/20 23:30:33
92.51.132.101	11	AS20773	02/20 14:50:38	02/20 15:00:33
91.121.78.185	144	AS16276	02/20 00:40:38	02/20 06:30:57
213.186.60.175	60	AS16276	02/20 00:30:36	02/20 05:20:33
62.75.218.192	257	AS8972	02/17 12:30:27	02/20 04:40:46
95.168.170.89	50	AS28753	02/19 22:40:46	02/20 04:20:39
91.121.1.99	101	AS16276	02/17 21:00:39	02/19 08:20:32
213.251.133.159	76	AS16276	02/17 18:00:50	02/19 06:20:46
88.191.63.28	7	AS12322	02/20 04:50:59	---
91.121.142.111	5	AS16276	02/19 21:20:43	---
217.23.5.27	5	AS49981	02/19 21:20:43	---
91.121.74.84	5	AS16276	02/19 21:20:43	---
82.192.88.35	5	AS16265	02/19 21:20:43	---
91.121.93.220	5	AS16276	02/19 21:20:43	---

----------
Google Safe Browsing #
| 1266782420 | B | [goog-black-hash 1.51547 update]
| 1266782402 | M | [goog-malware-hash 1.19541 update]
| 314245 | -4437(318682) 減少中
| 1396412 |

----------
余談 #
この記事書いてる真っ最中に、管理画面の変更が行われたらしく、ぐちゃぐちゃに・・
そしてまた戻るっと・・
何かやるときは、事前に報告して欲しぃなぁ・・

あとWordPressのバージョンもそろそろ・・

EoF

万国郵便連合加盟記念日 (1877年)
プロレスの日
宇宙ステーションミールの打ち上げ (1986年)

----------
Alureon rootkit

先に謝っておいてよかった～とか思ってませんってば！

[続報2] MS10-015での再起動やブルースクリーンは、マルウェアが原因
Update - Restart Issues After Installing MS10-015 and the Alureon Rootkit
Restart issues on an Alureon infected machine after MS10-015 is applied
The top ten filenames reported in the wild:

TOP10って、まだまだ他にもあるってことですね・・・
感染している可能性がある、もしくは感染しているかどうかが不明なお客様のために、マイクロソフトは、既にルートキットが動作しているシステムから Alureonを検出、駆除するツールを現在開発しており、数週間以内に提供予定です。
国内での感染事例は、そう多くない様子ですので、とりあえず待ちますか・・・

Microsoft: Got Bluescreen? Check for Rootkits
Brian Krebs氏は、現状でのCDベーススキャナー（外部起動スキャナ）として、avast! BART CDや、LinuxDefender Live!の使用を推奨しています。

Tidserv and BSoD
Symantecも自社のシグネチャ名にこだわるなぁ・・

----------
Mozilla Multiple
Mozilla Foundation Security Advisories
3 Critical, 2 Moderate
Mozilla Releases Security Advisories
Firefox users may upgrade to version 3.0.18, 3.5.8, or 3.6 to help mitigate the risks. Thunderbird users should upgrade to version 3.0.2, and SeaMonkey users should upgrade to version 2.0.3 once those updates are released by the vendor

というわけで、Firefox 3.5.x および 3.0.x ユーザはアップデートを行ってください。尚、Firefox 3.6はこの問題に関しては既にFixが行われているためアップデートはありません。
特に 3.0.x はライフサイクルが切れ・・・あれ？もう２月ですよね？（笑）
Firefox の最新版 (3.0.17/3.5.7) を公開 -- 2010/01/06
Firefox 3 向けのセキュリティ更新の提供は 2010 年 1 月で終了します。すべてのユーザに Firefox 3.5 への更新を推奨します。

Firefox 3.5.8 and 3.0.18 security updates now available
but we strongly recommend all users upgrade to Firefox 3.6 as soon as possible.
Mozilla Firefox Multiple Vulnerabilities 4
Mozilla Firefox Unspecified Code Execution Vulnerability 4

RedHat :
[RHSA-2010:0112-01] Critical: firefox security update
そういえば、リポジトリを弄らないと、ず～っと3.0xのままでしたね・・・

Thunderbird 3.0.2 に関してはまだアナウンスがありません。
Mozilla Thunderbird Multiple Vulnerabilities 4
Update to version 3.0.2 as soon as available.

SeaMonkey 2.0.3
SeaMonkey 2.0.3
Mozilla SeaMonkey Multiple Vulnerabilities 4

----------
Cisco
Cisco Releases Multiple Security Advisories
Cisco Catalyst 6500/Cisco 7600:
cisco-sa-20100217-fwsm

Cisco ASA 5500:
cisco-sa-20100217-asa
Cisco ASA5500 Security Updates - cisco-sa-20100217-asa
NTLMv1の認証をスルーできる問題は少し厄介かもしれません。SANSは、OSアップデートが至近で行えない場合は、一時的に NTLMv1(MD4)を使用禁止にする措置を推奨しています。
If an OS update is not easy to schedule in the near future, this might be a better approach short term (or even long term) than using NTLMv1.

Cisco Security Agent:
cisco-sa-20100217-csa
Cisco Security Agent Security Updates: cisco-sa-20100217-csa
From the advisory, specific CSA versions and components are vulnerable to SQL injection and directory traversal (allowing unauthorized config changes for instance), as well as a DOS (Denial of Service) condition.

Ciscoルータを導入しているトコも苦労が絶えませんね・・

----------
3129
インジェクション - 3129
3129って何だろう？と思ったので・・・
Port 3129
[trojan] Masters Paradise 御用達ですか・・・
このIPも、由緒正しい悪意サーバっぽく・・・
89.248.168.168 89.248.168.168

AS29073 29073 AS29073

続く
----------
Thanks for TEH Malware
Thanks for the malware sample!
Here at the X-Force, we catch our fair share of malware from random spammers and phishers just as any corporate or home user does. Today we dive into one of these attacks to show how it works and what these guys are after.
なんか楽しそう・・・

This is the piece of the script that sets up an iframe to download a malicious PDF file, containing exploits for util.printf, Collab.collectEmailInfo, app.doc.Collab.getIcon, and media.newPlayer.
う～ん（苦笑）
これでもかっってくらい、よくもまぁ脆弱性があるものです（感心してどうする！）

感心感心：
Adobe still distributing old vulnerable Reader

！？
PDF trick: getPageNthWord -- Marco

----------
SSL/TLS Report 2010
New Paper: SSL/TLS Hardening and Compatibility report 2010
At last. What started as an "I need an overview of best practise in SSL/TLS configuration"
(中略)
This paper aims at answering the following questions :

日本ではあまり騒がれていない SHA-1 2010年問題とかもあるので、今後の動向を注視しなければなりません・・たぶん

2010年問題こんにちは。
４．　で、そんなに危ないのか？
FUDに惑わされずに適切な方針を示すことが重要ですね。

----------
Kneber
“Kneber” = Zeus
Recently, Symantec observed some high-profile coverage of a threat being reported as a new type of computer virus known as “Kneber.” In reality Kneber is simply a pseudonym for the Zeus Trojan/botnet.

"kneber"
Hilary Kneber hilarykneber＠yahoo.com
なるほど・・

Zeus botnet continues: 2,500 victims estimated

----------
IaaSとかDaaSとかわけわかりません！
Defining Clouds - " A Cloud by any Other Name Would be a Lot Less Confusing"
そういう BuzzWordを増やさないでください（笑）

----------
亡霊
英国にはどっかに亡霊でもいるのかしらん？
Another NHS hospital stricken with Conficker virus
The infamous Conficker worm has infected yet another NHS facility.

----------
ま、そんなもんでしょう
「トロイの木馬はよく知らない」――オンラインサービス利用者のセキュリティ意識
どういう質問内容だったか知りたいですけどね～

----------
あとは落穂・・

Conficker Spam
Another Fake Conficker Infection Alert campaign

Conficker Spam
「iTunes」で多発する不正請求トラブル～消費者庁が公開質問状

eBay CSRF
eBay Security Vulnerabilities Found by Researcher

PIT: Lotus Notes
IBM Lotus Notes Unspecified Buffer Overflow Vulnerability 4
Unpatched

PIT: Google Desktop
Google Gadget ActiveX Control ATL Templates Vulnerability 4
Fixed in version 5.9
※本当に治っているかは確認できず（MS10-008の問題です）

possible?
政府が検討中のISPに対する「海賊版を自動検出する技術の導入」義務付け、影響範囲は広い？

----------
8080

へ？ Pegel なんですかそれは？（笑）

現在改良中：
countに、各ドメインの被参照数を加算してみた結果：
mysql> select ipstr, count, cdate, mdate from ips order by count desc;
+-----------------+-------+------------+------------+
| ipstr | count | cdate | mdate |
+-----------------+-------+------------+------------+
| 80.69.74.73 | 2197 | 1266370520 | 1266535840 |
| 94.23.11.38 | 1897 | 1266370520 | 1266535840 |
| 91.121.24.139 | 1825 | 1266370520 | 1266535840 |
| 91.121.172.32 | 1289 | 1266370520 | 1266535840 |
| 91.121.108.53 | 1262 | 1266370520 | 1266535840 |
| 188.72.211.253 | 1119 | 1266370520 | 1266535840 |
| 87.233.139.100 | 452 | 1266370520 | 1266535840 |
| 213.251.164.84 | 395 | 1266370520 | 1266535840 |
| 188.40.118.68 | 395 | 1266370520 | 1266535840 |
| 94.23.199.154 | 395 | 1266370520 | 1266535840 |
| 78.31.107.49 | 395 | 1266370520 | 1266535840 |
| 77.68.44.169 | 395 | 1266370520 | 1266535840 |
| 89.110.147.181 | 287 | 1266381059 | 1266535232 |
| 62.75.218.192 | 197 | 1266377427 | 1266533439 |
| 88.80.221.41 | 185 | 1266442849 | 1266535840 |
| 84.200.227.144 | 164 | 1266377427 | 1266511839 |
| 91.121.1.99 | 101 | 1266408039 | 1266535232 |
| 213.251.133.159 | 76 | 1266397250 | 1266528046 |
| 87.106.247.193 | 18 | 1266403250 | 1266525639 |
| 78.41.156.236 | 3 | 1266490843 | 1266492039 |
+-----------------+-------+------------+------------+
20 rows in set (0.00 sec)
ラウンドロビンはカナリ頻繁に変更されていますが、投入IP(陥落サーバ）はたいした量じゃないのかも
87.106.247.193 AS8560(ONEANDONE-AS)
が新IPです。

----------
Google Safe Browsing
| 1266523226 | B | [goog-black-hash 1.51331 update]
| 1266523202 | M | [goog-malware-hash 1.19468 update]
| 326762 | +5(326757) びみょう・・・
| 1387248 |
EoF

バレンタインデー
チョコレートの日 当然・・
ネクタイの日 二匹目のどじょう？
煮干しの日 2（に）1（ぼ = 棒）4（し）
1924年、C-T-RがIBMに社名変更。

----------

日曜なので平和そのもの・・・のはず

----------
真相は？
PAGE_FAULT_IN_NONPAGED_AREA
*** STOP: 0x00000050 (0xC1DB09A7, 0x00000000, 0x8050FD6A, 0x000000
と表示されてしまった！という人が近所にいないのでナントモ・・

Tracking down those XP crashes: Could the cause be malware?
I have found that the root cause is an infection of %System32\drivers\atapi.sys, and that replacing this file with a clean version will get the system booting normally.
というわけで、この疑わしい "atapi.sys" を正常なものにリプレスするだけで、（KB977165を差し戻さずに)通常起動できるようです。

Tidserv and MS10-015
What seems to have happened in Tidserv's case is that after this update, the RVAs for the above mentioned APIs changed—therefore causing the infected drivers out there to call invalid addresses and, in turn, cause blue screens every time Windows boots up:
Symantecのシグネチャ：Backdoor.Tidserv
メモリマップが相対参照なのに、ベースアドレスが変わってしまってrootkit側が不正参照をおこなった・・っと？

参考（RVAとは何か？）：
Common Object File Format (COFF)
PE(Portable Executable)ファイルフォーマット -- Optional Header -- sourcerian の物置き場

----------
ZeuS
それにしてもいつまでたっても終わりませんね・・
ZeuS/zbot - 所得増により税金が高くなってます
Macromedia Flash Playerが最新版じゃないのでアップデートしてください。
いや・・その会社もう無いんで・・

この "109.95.115.36" が属する
AS50215 (TROYAK) はイロイロ怪しいんですよね・・・
まず所在地が、マン島の中央（苦笑）、直前はロシア()なのですが、その手前は延々と英国内をぐるぐる引き回されています。
Dancho Danchev氏は、PhotoArchive Crimeware/Client-Side Exploits Serving Campaign in the Wild -- Feb 03で
"Fake Web Hosting Provider"の類ではないかと指摘しています。
ZeuS Tracker :: AS50369
真っ黒・・・

他にも
Warning About ZeuS Attack Used as Lure
こっちはサイバー戦争になりそうなネタなのであまり近寄りたくありませんね・・・

Please Queue Here For The Next Phish
フィッシング方面も、バンク・オブ・アメリカを再度狙ったものが多数着弾しています。

いずれにせよ、不審なメールを開封しない、リンクを踏まないのは当然として、システム管理者様はスパムメールの効率的な水際ブロックを検討しましょう。

参考：
SPAMBlock非公式マニュアル -- Stray Penguin
スパムブロックには一種の「育てゲー」的楽しさがあり、設定を煮詰めていくほどに、あれほど鬱陶しかった SPAM が「ほーら新しいパターンのヤツが来たね。どんなフィルタでブロックしてやろうかなぁ～ひひひひひ」という快感に変わってくる。
あるある！

----------
ぼご～ん
Time to update those IP Bogon Filters (again)

The Team Cymru Bogon List v5.2 12 Feb 2010
50/8 and 107/8 allocated to ARIN (Feb 2010). Removed from bogon lists.
50.0.0.0/8 107.0.0.0/8

内部的に使ってなければ解除を検討しましょう。

参考：
ISP Edge design
ここに出てくる「インターネット」がおどろおどろしくて好き！

----------
む～
20 Essential Tweaks and Tips Every Firefox User Should Know
いっぱいあるなぁ～

puppet様が苦しんでいる様子なので振っておこうっと（笑）
１日１個解説したら２０個稼げますよ！


こたえたりはしませんよ～（笑）
うちはトップから怪しいふいんき（変換不能）を強調してますので！


----------
ラジオ
民放ラジオ、ネット同時放送解禁へ
ちょっと楽しそうですけど、著作権とかでモメそうな一面も

Adobe Flash PlayerのインストールされたPCならそれだけで受信が可能な模様。
には敢えてなにも言わなっ！

本題と関係ないですが
Re:そしてまた謎の単語が
「保存」のアイコンがフロッピーディスクなのはなぜ？
に笑いました。
確かに何も考えずに I/Fにふろっぴのアイコンを載せてますが・・・現代風の「保存」アイコンって何でしょうね？（笑）
USBアイコンは却下ね（苦笑）

----------
8080
*NEW IP* *NEW ISP* TRUE.NL(via )
87.233.139.100 AS15703(TrueServer)
*New IP* (thru OVH)
91.121.103.107 AS16276(OVH Paris)

80.69.74.73 AS20857(TRANSIP)
91.121.7.26 AS16276(OVH Paris)
91.121.108.53 AS16276(OVH Paris)

今日は一つに収束しています。
スクリプトの変動もあったようですが、新しいISPも投入され、まだまだ元気な様子・・・

----------
Google Safe Browsing
| 1266091224 | B | [goog-black-hash 1.50971 update]
| 1266091201 | M | [goog-malware-hash 1.19349 update]
| 328118 | +1619(326499) まだまだ増加傾向・・・
| 1372243 |
EoF

北方領土の日
長野の日
福井県ふるさとの日
フナの日

----------
訂正
comment - “2010.02.04 木曜日”
ワンタイムパスワードトークンの導入はFFXIよりWoWのほうが先でした。
774様ありがとうございます。
トークンはてっきり FFが先だとおもっていました～

----------

日曜ですし何もない・・・よね？

----------
Wordpress something wrong?
WordPress iframe injection?
the compromise resulted in the injection of some obfuscated javascript that created a hidden iframe.
may be a permission problem or perhaps some sort of SQL injection issue with joomla or the tinymce editor (at least, that is what the log entries showed that someone is looking for).
怪しいログ：
GET /joomla/plugins/editors/tinymce/jscripts/tiny_mce/license.txt

Juumla!を使用中の方、もしくは、WordPressでTinyMCEを使っている方は、ログをチェック、システム内に存在する phpファイルを確認してみてください。
※TinyMCEは、予期せずインストールされている場合があります。

TinyMCE FileManager HACK

----------
.jpはいいけど・・
“.日本”と“.jp”は登録者を一致させるべき--ドメイン管理運用の業界団体が意見書
このほど表明した意見書では、“.日本”ドメインの導入にあたって利用者が混乱しないよう“.jp”と登録者を完全に一致させた上で、“.jp”と同程度の安全性と安定性が図られるべきだと主張している。
「？」
よくわからないけど、.jpを取ったら強制的に .日本 も取らされるとか？

というかUnicodeドメインは、WinXP IE6 が駆逐されるまでヤメてほしいんですけどね～
※素で間違えました。申し訳ありません。
ユニコードドメイン（国際化ドメイン）の問題は
国際化ドメイン名のフィッシング詐欺はブラウザの責任ではないとJPRSが見解
このへんかな？

----------
読み物：MacOS X の物理メモリ解析
Memory Analysis - time to move beyond XP
Mac OS X Physical Memory Analysis
Mac OS X Physical Memory Analysis(White Paper)
ほえ～
MacOSって別次元のものかと思ってましたけど、こうしてバラされると、BSD系Unixも色濃く混じってる(Darwin)んだなぁっと感心。

----------
ZeuS は .govやら .milをターゲットにしている？
Zeus Attack Spoofs NSA, Targets .gov and .mil
誤訳すると激しく恐ろしいセクションなので慎重に読んでみてください（笑）
Criminals are spamming the Zeus banking Trojan in a convincing e-mail that spoofs the National Security Agency. Initial reports indicate that a large number of government systems may have been compromised by the attack.
NSAの諮問機関のひとつ NICから、「ZeuSのようなもの」が送信されており、米政府内、もしくは軍へのスピア型攻撃に使用されているのではないか？　という話・・
2020.zip.txt 16/39 (41.03%)

----------
瓦はどこへ？
「iPad」関連のうわさを答え合わせ--予想の的中率は？
個人的に iSlate は結構よかったんですが、やっぱり一般的な用語ではなかったようで・・
そういえば富士通の件はどうするんでしょうね？

----------
Facebook
New Facebook Home Page, Important New Privacy Setting

Facebook やっと本格的なWebメールをサポート–Gmailキラーと騒ぐ人たちも
Facebook Connectと個人名URLをベースとして、本格的なWebメール製品を使える…これにはGoogleも震え上がるかもしれない。ほんとにGmailキラーか？　そうは思わないが、強力な製品であることは確かだ。
Gmail(Google Apps)とはちょっと違うような・・

----------
フォレンジック製品のページが ガンブラー'ed
個々の陥落サイトを挙げるのは既に止めてますが、スルーカ ＜ 事態なケース
NetEvidenceサイトの改ざんに関するお詫びとお知らせについて
フォレンジック製品のページが陥落ってのもアレですが、どうせなら、導入していた「フォレンジック」を駆使して、改ざんの経緯、経路、インパクトなどを公表して欲しかったですね。

ttp://www.netevidence.jp/products/
全ての通信データを記録・保存・解析するネットワークフォレンジックサーバ「NetEvidence」
「NetEvidence」は企業のネットワーク上で使われるパソコンからの電子メール、Webブラウザを使ってのウェブサイト閲覧、ファイル転送を行なうFTPなど、社外へ流れるすべての通信データを記録・解析・保存するネットワークフォレンジックサーバ製品です。
記録、保存した通信データは、Webブラウザの管理画面から閲覧・解析・調査が可能。技術に詳しくない方でも簡単に管理・調査が行なえます。
御社の貴重な情報の漏えいを抑止するとともに、万一漏えいが発生した場合における漏えい者の特定と証拠保全ができる装置（アプライアンス）です。

医者の不養生？
というか、同様のビジネスを展開していることも含め、フォレンジック・ビジネス全体の信頼低下につながると思うんですが、どうなんでしょ？

フォレンジックとは、参考：
内部不正による情報漏えいを許さない(前編)
フォレンジックで内部不正を発見せよ(後編)

----------
チクったろ（笑）
Technorati.com の広告が腐ってる -- てくてく糸巻き
コンテンツはありません。
（なんでoverture、つまりヤフー（日本）の審査で許可が通るんでしょうね）
これはヒドい・・
たぶん米国内に日本語の審査担当が居ないんでしょうネ

うちのメンバーに、学校関係者(ちょっと伝言ゲームになるけど)がいるので、チクっておくように依頼しておこうっと

用語
　MfA : Make for Adsense
　アービトラージ : Arbitrage sites (Google用語?)
コンテンツ連動広告で稼ぐ人々(1) - MFAサイトとは？ -- 2006.11

----------
8080
第１
*NEW* IP as PLUSSERVER
85.25.152.241 AS8972(PLUSSERVER)
78.41.156.236 AS6908(DATAHOP)
84.200.227.144 AS31400(ACCELERATED)
94.23.199.154 AS16276(OVH Paris)
94.199.240.61 AS39023(IU-AS)

第２
77.68.44.169 AS15418(FASTHOSTS)
78.31.107.49 AS24931(DEDIPOWER)
82.165.47.29 AS8560(SCHLUND)
87.118.90.76 AS31103(KEYWEB-AS)
217.160.110.21 AS8560(ONEANDONE-AS)

第３（重複除外）
188.40.118.68 AS24940(HETZNER)
213.251.164.84 AS16276(OVH Paris)

第４・・・・
80.69.74.73 AS20857(TRANSIP)
91.121.4.99 AS16276(OVH Paris)
91.121.86.130 AS16276(OVH Paris)
94.23.4.164 AS16276(OVH Paris)
217.23.5.27 AS49981(WORLDSTREAM)

というわけで、cache の関係か何か不明ですが、４系統に分離・・
もうタスケテ・・

----------
Google Safe Browsing
| 1265504418 | B | [goog-black-hash 1.50481 update]
| 1265504405 | M | [goog-malware-hash 1.19186 update]
| 314396 | -1734(316130) 利益確定売り（違！）
| 1334372 |
EoF