UnderForge of Lack

[WARNING!]

http://www.malwaredomainlist.com/
malwaredomainlists.com

78.47.91.153 AS24940 Hetzner Online AG

malwaredomainlists.com	THROUGH	NOT YET
advanedpromalwarescanner.com	BLOCKED	1
advanedpromalwarescanner.com	BLOCKED	1
buy-premium-software.com	THROUGH	NOT YET
cats-manipulations.com	THROUGH	NOT YET
centralamrecanculture.com	THROUGH	0
firstrunsystem.com	THROUGH	NOT YET
livewwwupdates.com	THROUGH	NOT YET
mail.unsecuredomains.com	THROUGH	NOT YET
paymentonlinesystem.com	THROUGH	NOT YET
pricelessfinish.cn	BLOCKED	1
securitysoftwarepayments.com	THROUGH	NOT YET
unsecuredomains.com	THROUGH	NOT YET
website-blacklist.com	THROUGH	NOT YET
www.advanedpromalwarescanner.com	BLOCKED	1
yellow-taxi-cab.com	THROUGH	NOT YET

WARNING: Malware Domain List has a new impersonator
Holger over at MDL has warned of a new impersonator, whose sole purpose is to infect the living daylights out of those that unwittingly mistype the MDL domain.

Attention !! Malwaredomainlist(s).com distributes Rogue AV
Some of our visitors has just sent me note about a new Rogue Antivirus site.
This site uses the domain name malwaredomainlists.com.
Notice the s at the end of the name !!

The entry point to this crap is url
Code:
malwaredomainlists.com/block.php

Don't mix it up with our site.

DDoS受けたり、偽サイトができたりと大変ですが、がんばってください。

８月最初の日曜日です。
青森ねぶた祭りの開始日でもあるようです（行ったこと無いけど）
・学制発布記念日
1872年（明治5年）8月2日、太政官布告が近代的教育制度の基礎となった。当時は下等小学4年間、高等小学4年間の4・4制。
・パンツの日　8.2だから・・制定した磯貝布帛工業（イソカイ）は現在再建中
他にも[博多人形の日] [ホコ天記念日] [ハーブの日] [Honey（ハニー）の日] [金銀の日]など・・

----------
Apple Keyboard make sure to Apple KeyLogger™?

BlackHat直後は色々な脆弱性やらPoCやらが(FUDも含めて）飛び交い、様々な業種の人が忙しくなるようです。

Apple Keyboard Firmware Hack Demonstrated
The concept is simple: a modern Apple keyboard has about 8K of flash memory, and 256 bytes of working RAM. For the intelligent, this is more than enough space to have a field day. ... The new firmware can do anything you want it to. Chen demonstrated code which, when you put in a password and hit return, starts playing back the last five characters typed in, LIFO. It is a rudimentary keylogger; a proof of concept more than anything else. Since there is about 1K of flash free in the keyboard itself, you can log quite a few keystrokes totally transparently.

コンセプトは単純なものです。現行のApple Keyboardには 8KBのFlash Memoryと256Bのワーク用RAMを搭載しています。常識的に考えても、この領域はハメをはずして楽しめる程に過大なスペースです。新しいFirmware(HIDFirmwareUpdaterTool)はあなたが望むことなら何でも可能です。K.Chen氏（仮名）は "password"と Return keyがヒットされた後の最後の５文字の LIFO を表示するデモンストレーションを行いました。これは初歩的なキーロガーです。PoCがそれを実証しています。約1KBのフリースペースがキーボード内にあるがゆえに、あなたのキーストロークの相当量が透明化されてしまうでしょう。

BlackHat 2009+USA でのレポート：
Reversing and exploiting an Apple firmware update

他記事
Apple keyboards hacked and possessed
ttp://www.digitalsociety.org/apple-keyboards-hacked-and-possessed/

Apple keyboard firmware hack demonstrated
ttp://www.semiaccurate.com/2009/07/31/apple-keyboard-firmware-hack-demonstrated/
Apple needs to patch it ASAP

さてはて・・
Appleの対処を見守るしかないでしょうね・・・

余談：
プログラマーの秘かな楽しみ：コードに隠された文章のいろいろ

----------
他の "BlackHat 2009 Briefing"

Black Hat 2009: Drive-by Improvements

『Black Hat 2009』で披露された『Mac OS X』と『Oracle』への侵入ツール

Black Hat déjà vu - Stoned again
Greetings from Las Vegas
Sean-Paul氏の全身・・・ぱんだ！？

----------
Spamhaus がやってくる
Spamhaus は日本ではほとんど知られていないが、ワールドワイドのスパム対策で非常に評判の高いブロックリストだ。
今回、この Spamhaus 公認データフィードベンダーであるカナダの mxtools が日本法人を設立、日本国内でのサービス向けて活動を開始した。
Welcome!

現在 mxtools に対して、全世界から1秒当たり10万件規模のクエリがあるそうだが、あまりに規模が大きすぎ、これをボランティアベースで対応するのはほぼ不可能だ。
ひぃぃぃぃぃ！

SPAMHAUS

----------
OffVis

MSがBlackHat 2009で発表した新しいMicrosoft Office向けのセキュリティツール
正式名称は [Microsoft Office Visualization Tool] で、Officeのバイナリファイルフォーマットを視覚化することでOfficeをターゲットにしたマルウェアの分析に役立てられることが期待されている。

Announcing OffVis 1.0 Beta


MAPP Partnerにのみ先行供与されていましたが、今回誰でもダウンロード可能になりました。Officeのバイナリファイルを解体して遊びたい人には必須のツールとなるでしょう。

New advances in Office/Excel/Powerpoint Malware detection and analysis

----------
悪意の矛先

Website Warnings
我々は今日、行方不明の子供達を探し居場所を突き止めるための手助けを行っているサイトを運営している女性からメールを受け取りました。彼女は子供達自身の居場所を特定するための情報発信に Google Alerts を使用しています。不幸なことに、そのリンク内の１つが感染しており、そのリンクを訪問したことで更に感染者を増やす結果となってしまいました。その女性はひどく失望し、誰がどんな理由でこのような酷いことをするのか？と怒っていました。

残念なことに、こうした事態は現実にはもっと発生しています。世の中を良くしたいと考える人、自分で事態収拾を出来ない人を手助けしたい人、ビジネスのサイト、そしてソーシャルネットワーキングのサイト・・・これらに分け隔てなく悪意の人間により犠牲者になってしまっています。

昨日私は、私の顧客のウェブサイトが "Gumblar'd" していた件を紹介しました。Websiteを一時的に停止し、FTPとAdminのパスワードを変更しました。それは本当に有効な方法でした。私は今朝、FTPのログをチェックし、FTPを窃取した犯人が、彼のインジェクションした小さなBOTが死んでいることを確認し、再度それをよみがえらせようと試みていることを確認しました。幸いなことにその試みは成功せず、私達は彼らが再度我々のサーバに何かを仕込めないように "Firewalled" しました。

これは単に警句にすぎません。

あなたは、マルウェアが埋め込まれているかもしれないウェブサイトから自身を守るために「あらゆるページの訪問を止める」ことができますか？　良質なアンチウィルスソフトを使用し、ファイアウォールを正しく運用し、強度の高いパスワードを使用し、そしてしばしば変更を行うことを行ってください。私が使用しているパスワード強度のチェックは、以下の２サイトです。。

www.microsoft.com/protect/yourself/password/checker.mspx

www.securitystats.com/tools/password.php


我々は皆、悪意を持った BAD GUYS からのダメージを最小限にとどめ、我々の友人、親類、隣人を守るための方法を教える必要があります。それを行っている全ての人に、多謝を表したいと思います。あなたはインターネットを安全にするための手助けを行っているのですから。

インターネットは悪意に満ちた側面があります。ソーシャルワーカー活動のような善意も沢山あります。そうしたバランスシートを限りなく善意の側に持っていくための一助になることを望みます。

問題は、うちのサイトがあちこちで「むずかしい」とか「理解不能」とか言われてることかな・・（汗）
----------

Tracking Block List:

不確定なものが多いので別リンク（笑）


EoF

アマチュア無線の日
日本アマチュア無線連盟
太平洋戦争勃発で禁止されていたアマチュア無線が復活した事で、戦後初めてのアマチュア無線局予備免許が、1952 年7 月29 日、全国の30人に発給されたことから、この日が選ばれたのです。

----------

YYAMCCBA
なんですかその略語は・・・
Yes Yet Another Massive Credit Card Breach Alas

The breach happened some time before 12 March 2009, and was discovered some time after 08 June 2009. Thousands of merchants and almost 600,000 credit cards may be affected.

このbreachは、2009/03/12以前に発生し、2009.06.08に発覚しました。数千のmerchantのおよそ600,000のカード情報が影響しています。

Data Security Alert - Problem Fix and Customers Notified
In the ordinary course of business, Network Solutions identified unauthorized code on servers supporting some of our E-Commerce merchants’ websites. We promptly removed this code, and all of our E-Commerce servers are functioning properly. No servers supporting networksolutions.com were affected.
ベンダー側は、現在は安全と言い切ってますが・・

----------

また Twitter・・・
Twitter spam/phish

twitterview.net

いっぱいドメイン収容されてますが、悪意判定は一つもなし

twitterview.net	THROUGH	NOT YET
19april.com	THROUGH	NOT YET
accounthelper.com	THROUGH	NOT YET
buellcoinc.com	THROUGH	NOT YET
choicetravelexpress.com	THROUGH	NOT YET
gottheworx.com	THROUGH	NOT YET
heavyequipmentsurplus.com	THROUGH	NOT YET
inservo.com	THROUGH	NOT YET
lakeo.org	THROUGH	NOT YET
leads2money.com	THROUGH	NOT YET
masterground.com	THROUGH	NOT YET
matricdance.com	THROUGH	NOT YET
myegenda.com	THROUGH	NOT YET
wemakehits.com	THROUGH	NOT YET
74.208.84.61	AS8560	1&1 Internet AG

----------

時間切れ：

最新のインジェクション情報：
Malicious Domain :
61.232.154.43:8888
xiqiji.cn
xiaominggogo4.9966.org
xiaominggogo.9966.org
yxj26.9966.org
ylzf004.cn
img.tongji.linezing.com
js.tongji.linezing.com

中国のトレント系のサイトが感染したそうですので注意を

EoF

----------
昼休み追加

Cisco Releases Security Advisory for Vulnerabilities in Cisco Wireless LAN Controllers

Multiple Vulnerabilities in Cisco Wireless LAN Controllers

Cisco Wireless LAN Controllerのアップデートが公開
影響を受けるのは、Cisco 1500 Series／2000 Series／2100 Series／4400 Series／4100 Series／4200 Series、Wireless Services Modules（WiSM）、WLC Modules for Integrated Services Routers、Cisco Catalyst 3750G Integrated Wireless LAN Controllersの各製品。

----------

AT&T Statement Regarding img.4chan.org
img.4chan.org から DoS 攻撃っぽいトラフィックを検出したので遮断したと・・

現在は遮断は解除されている模様ですが、digg あたりで大騒ぎになっていたようです。


閲覧注意 > 仕事中のヒト（笑）
AT&T、4chan遮断はDOS攻撃回避が目的と説明
米大手通信業者のAT&Tは7月27日、米国で人気の匿名画像掲示板4chan.orgへのアクセスが一部不能になっていた件について、DOS攻撃の回避が目的の遮断だったと説明した。4chanは日本の画像掲示板「ふたば☆ちゃんねる」の非公式海外版ともいえる存在で、アニメの画像や写真が多数掲載されている。26日に4chanの公式ブログが、AT&Tが説明なく掲示板の1つimg.4chan.orgを遮断したと発表し、ユーザーやネット擁護者などからのAT&T批判が高まっていた。

なんというか、こんな巨大なサムネを入れなくてもよさそうなものなのに・・・

----------

JUNIK again !

ま～たラトビア旅行が再燃しているようです。

起点：iframe元
71spice.info	THROUGH	71spice.info	1
7addition.info	THROUGH	7addition.info	12
8addition.info	THROUGH	8addition.info	524
8addition.org	THROUGH	8addition.org	31
add-content-filter.info	THROUGH	add-content-filter.info	537
deonix.biz	THROUGH	deonix.biz	NOT YET
hel90.biz	THROUGH	hel90.biz	NOT YET
people-vip.ru	THROUGH	people-vip.ru	NOT YET
vip-internal.ru	THROUGH	vip-internal.ru	NOT YET
213.182.197.236	AS8206	JUNIK
PDF/SWF/OCWなどのマルウェア(Mal-Crufted file)撒布先
zyejanag.cn	THROUGH	zyejanag.cn	513
cazkafuq.cn	THROUGH	cazkafuq.cn	2626
doflolab.cn	BLOCKED	doflolab.cn	1282
jagbibiv.cn	THROUGH	jagbibiv.cn	NOT YET
yawxowaj.cn	THROUGH	yawxowaj.cn	1503
zekxowiv.cn	THROUGH	zekxowiv.cn	NOT YET
195.88.191.46	AS49093	Bigness Group Ltd.
トロイ本体撒布先
xbx.tw	BLOCKED	xbx.tw	286
ake.kz	THROUGH	ake.kz	3
bmt.tw	BLOCKED	bmt.tw	107
bro.tw	BLOCKED	bro.tw	1008
crd.tw	BLOCKED	crd.tw	17
dmr.tw	BLOCKED	dmr.tw	2379
esli.tw	BLOCKED	esli.tw	118
jkk.tw	BLOCKED	jkk.tw	1337
molo.tw	BLOCKED	molo.tw	1688
orep.tw	BLOCKED	orep.tw	42
rmi.tw	BLOCKED	rmi.tw	4152
rnw.kz	BLOCKED	rnw.kz	3522
sovi.tw	BLOCKED	sovi.tw	445
trustedtrf.info	BLOCKED	trustedtrf.info	NOT YET
213.163.84.28	AS20495	WEDARE(We Dare BV Autonomous System)

やぁ、おひさしぶりですね
molo.tw

cnameに nikodomain.info という文字が見えたりしてるので、日本をターゲットにしている可能性もあります。

急いで作ったのでミスがあったらごめんなさい

なお、Googleで不正サイトへの媒体やら、感染させているやらの数が出ているにもかかわらず、THROUGH になっているものは、サブドメインがブロックされている可能性があります。

----------

Murphy said..
Whenever you need a crucial file from your hard drive, your computer will crash.

よくあること

お・・お見舞い申し上げます（汗

最近はほんと、セキュのためにComputerやってる気がしないでもないデスネ・・
本末転倒もいいとこなんですが、出口の見えないトンネルです
出口が無いのかもしれない

EoF

Google Blocked ! （苦笑）
www.stemcellproject.mext.go.jp の診断ページ
疑わしいサイトとして認識されています。このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
さすが Google 先生、容赦ありません（笑）

再生医療の実現化プロジェクトのWeb改ざんについて
　文部科学省は、内閣官房情報セキュリティセンターより、平成21年7月26日日曜日、文部科学省の「再生医療の実現化プロジェクト」のWebが一部改ざんされているとの連絡を受けました。文部科学省では、直ちに、同Webの管理・運営を委託している（財団法人）先端医療振興財団にサーバーの停止を指示しました。詳細については確認中ですが、現在の状況は以下のとおりです。

文科省のサイトが改ざん　中国サイト？にリンク
中国のサイト？ってなってますけど、 .cn だからって中国だと決め付けるのは .to ドメインの人はみんなトンガの人って決めるのと同じだとおもいます（笑）

delzzerro.cn	BLOCKED	delzzerro.cn	3887
updatedate.cn	BLOCKED	updatedate.cn	6152
91.212.198.37	AS49314	NEVAL(Hosting company LIR.KZ)

NEVAL Russian Federation
となっていますが、TraceRouteしてみると直前のGatewayが
213.182.206.26 JUNIK Latvia
なのでお察しください・・・って感じですかね？（笑）

--
他の DELZZERRO 感染サイトから最終的にインストールされる（と思われる）トロイ本体の挙動
Report MD5:e41e16d0ec09d694caab8f0350add417

チェックすべき場所：レジストリ：
HKLM\​Software\​Microsoft\​Windows\​CurrentVersion\​Run
Name = braviax
Name = sysldtray
に不審な exe が登録されていないかどうか
(注) nameは変動する可能性が高いです

もし、不幸にもトロイがインストールされてしまうと、キーロガー的な挙動を行うと思われています。
別の亜種の挙動：
Mal/EncPk-JB, TrojanDownloader:Win32/Harnig.gen!P, Hoax.Win32.Renos.vchc..

mcsmc.org	THROUGH	mcsmc.org	NOT YET
micronetsys.org	THROUGH	micronetsys.org	NOT YET
chkwl.com	BLOCKED	chkwl.com	73
dnscustomsite.info	THROUGH	dnscustomsite.info	NOT YET
dvdserv.com	THROUGH	dvdserv.com	7
forummoda.net	THROUGH	forummoda.net	NOT YET
94.75.207.170	AS16265	LeaseWeb
はい・・おなじみ LeaseWebです（笑）
mnprfix.cn	THROUGH	mnprfix.cn	NOT YET
eventmng.cn	THROUGH	eventmng.cn	NOT YET
118.126.7.223	AS4837	China Network Communications
bureltanovaderta.com	BLOCKED	bureltanovaderta.com	47
1024service.com	THROUGH	1024service.com	NOT YET
66.79.178.200	AS27645	Managed Solutions Group, Inc.

installb.exe0 received 2009.07.25 02:33:29 (UTC)
現時点ではもうちょっとは検出率上がってるとは思いますが・・・

幽霊の日

----------

このblogを始めたときは、単なる備忘録でした。その後、ウィルスを踏んづけたり、架空請求に引っかかったりした愉快な仲間のために様々なことを書いてきました。最近はもうセキュリティの話しかしてませんね（苦笑）

ひょっとしたら幽霊にでも祟られているのかもしれないと思う今日この頃・・・・

-----------

一つ積んでは・・・・



↑コレが何の問題もなく再生できる人、現状の認識を行っていますか？


Adobe Flash Player および他の Adobe 製品に影響を及ぼす Adobe Flash の脆弱性
2009年7月24日現在、対策方法はありません。
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
・Flash プラグインを無効にする

Adobe Flash に脆弱性
2009年7月24日現在、対策方法はありません。
対策版が公開されるまでの間、以下の回避策を適用することで、本脆弱性の影響を軽減することが可能です。
・ウェブブラウザ上で Flash コンテンツ再生を無効にする
・Adobe Reader で Flash および 3D & Multimedia を無効にする

Update on Adobe Reader, Acrobat and Flash Player Issue
We are in the process of developing a fix for the issue, and expect to provide an update for Flash Player v9 and v10 for Windows, Macintosh, and Linux by July 30, 2009 (the date for Flash Player v9 and v10 for Solaris is still pending). We expect to provide an update for Adobe Reader and Acrobat v9.1.2 for Windows, Macintosh, and UNIX by July 31, 2009.

----------

二つ積んでは・・・

2009年7月29日のセキュリティリリース予定 (定例外)
小野寺です。

7月15日に、月例のセキュリティ リリースを行いましたが、それとは別に7月29日に定例外でセキュリティリリースを行います。定例外で公開する理由については現時点ではお話しませんが、公開時にはご説明したいと思っています。
公開するセキュリティ情報は、2 件 (緊急 1 件, 警告 1 件) となります。

Visual Studio	警告	リモートでコードが実行される
Internet Explorer	緊急	リモートでコードが実行される

コレと関係あるのかどうかは不明ですが・・・

----------

Microsoft™ DDoS attack(？)
別に攻撃する意図はないのでしょうが・・

www.msftncsi.com
知りませんでした、、、マイクロソフト、、、、、
最初にこのトラフィックをみたときはウィルス感染かと思いました。

要は勝手にwww.msftncsi.cpm/ncsi.txtにGETリクエスト飛ばしたり
dns.msftncsi.comの名前解決をしようとするんですね。

----------

セキュリーナ復活

経済産業省 CHECK PC!

更新情報 2009年5月29日 サイト再オープンしました。

って・・そんだけ？（苦笑）

----------

IIS (injection increases slightly)

delzzerro 系

delzzerro.cn
91.212.198.37
AS49314 NEVAL
要するに microsoft.cn系 です

--
8080系（どこの電車だ・・）

xb5.ru:8080
q0k.ru:8080
x8v.ru:8080
b1a.at:8080
u8i.ru:8080
x1i.ru:8080
x8o.ru:8080
xf7.in:8080
x0a.in:8080
q3t.in:8080
以下延々と続く・・・

78.47.25.168
AS24940 HETZNER (FastVPS Ltd)

91.121.86.130
91.121.89.185
91.121.146.101
91.121.167.41
91.121.174.19
94.23.47.47
213.251.165.29
213.251.176.169
AS16276 OVH (OVH SAS)

80.93.90.88
AS21409 IKOULA

79.170.89.217
AS35470 XL Network

92.51.146.237
AS20773 HOSTEUROPE

91.82.250.52
AS12301 INVITEL (Activesoft Kft.)

85.25.236.236
AS8972 PLUSSERVER

82.165.8.58
87.106.242.144
AS8560 SCHLUND (1&1 Internet AG)

212.95.57.201
AS28753 NETDIRECT (Infinite Technologies)

87.242.98.116
87.242.98.192
90.156.144.78
AS25532 MASTERHOST

62.109.21.254
AS29182 ISPSYSTEM

77.37.17.170
77.37.19.173
77.37.19.179
77.37.19.205
77.37.20.130
77.37.21.166
AS44146 STARHOSTING

194.105.128.34
AS8315 ARGEWEB

87.106.242.144
AS12968 CDP (1&1 Internet AG)

--
ZeuS/Zbot系
71spice.info
AS8206 JUNIK
マタオマエカ（*repeated)
その他多数

どこが slightly なんだよ！？ という突っ込みは受け付けません。

----------

NoScript のiframe問題がどんどん悪化中

NoScript単体でIFRAME禁止のすり抜けを確認 その4

新規タブで開いた場合でも思いっきりバイパスするようになりました・・・

これじゃ怖くてセキュ系のサイト踏めないですよ（苦笑）
しょうがないから CentOS上で書いてます。
あーemacsつかいにくい（泣）

NoScriptのフォーラムではちょっと毛色の違う話が書かれていますが、
Fx2 post 1.9.5 iframe regression
こんな特殊な環境化じゃないんですけどね・・
ひょっとして JP版でしかおきてないのかな？

----------

EoF

夏氷の日 かきごおり

雨、ひどかったですね～
被災者の方に心からお見舞い申し上げます。

----------

Adobeの技術者にもお見舞いしておこう・・・


現時点で YouTubeやらニコニコ動画やらが「見えている」アナタ！
危険を認識していますか？


Who is Exploiting the Adobe Flash 0-day? - Part 2
This exploit successfully worked on my VM under Firefox 3.5.1 and Flash player 10. It worked smoothly and just before FireFox crashed.

このExploitは WM上の Firefox 3.5.1とFlashPlayer 10で成功しました。挙動はスムーズで、見事にFirefoxがクラッシュしました。


Malware Downloaded:
tro2.6600.org
getport.2288.org
マタオマエカ・・・

6600.org	THROUGH	6600.org	5116
Malicious software includes 52572 scripting exploit(s), 40060 exploit(s), 1289 trojan(s).
2288.org	THROUGH	2288.org	2529
Malicious software includes 69809 scripting exploit(s), 1435 exploit(s), 345 trojan(s).
218.93.127.157	AS4134	CHINA-TELECOM

Google先生が Through判定なのは、サブドメインが多数使われているためで、ブロックしていないわけではありません。

なお、2009.07.25 AM6:00の段階で 6600.org と 2288.org は 192.168.0.254 に向けられています（苦笑）

AS4134 (の一部) 218.93.0.0/17

7/30および7/31のパッチまで Flash も PDF も迂闊に開くことができません。

----------

so-netさん怒って良いよ（苦笑）

Adobe 0-day攻撃 に使われていたドメインですが・・・・

a0v.org	BLOCKED	a0v.org	40
59.147.102.72	So-net Entertainment Corporation	So-net

いつ日本の国旗を登録するかなぁ・・とか思ってましたが、まさかso-netさん相手（失礼）とは・・

というかAS4134のDNSは全拒否でいいのかもしれない・・・・（苦笑）
ns.xinnet.cn
ns.xinnetdns.com

ちなみに、a0v.org でぐぐる先生に問い合わせると、それはそれは酷いことになっています。

参照：インジェクション

5u66j.cn	BLOCKED	5u66j.cn	229
59.34.197.150	AS4134	CHINA-TELECOM

AS4134 (の一部) 59.32.0.0/13

fenda20.com	BLOCKED	fenda20.com	6
121.14.218.162	AS4134	CHINA-TELECOM

AS4134 (の一部) 121.14.0.0/16

そのほか詳細にしらべてないですが・・


ylzf004.cn
yxj77.9966.org
tongji.linezing.com
のワンセット

8f8el3l.cn
5u66j.cn
fenda20.com/ : 上述/Trojan本体撒布先

など・・キリがありません。

----------

今日はこの辺で・・

皆様くれぐれも土砂災害とFlash/PDFにお気をつけて、よい週末を

----------

といいつつ追記

NoScript単体でIFRAME禁止のすり抜けを確認 その3

なるほど・・
「前回終了時のタブ」の状態保持ですね・・・

Firefox 3.5.1 NoScript 1.9.6.9
で見事にすり抜けました。

これはマズい・・・
さて・・どうしたものでしょう

おかげで、スッピンから通常状態（アドオン15個）までのセッティングが15分でできるようになりました。そんなスキル、ぜんぜんうれしくないです。
いえいえ、コレに出場するときの糧に・・・・（なるのか！？）
インストールマニアックス2009、決勝レポート

----------

更に追記・・・時事ネタspamに要注意

Rumor: Emma Watson Dies in Car Accident

ハリーポッターのヒロイン役で有名なエマ・ワトソンさんが交通事故で亡くなったというデマに便乗したSpamが飛び交い始めています。
変なメールを開封しないようにしましょう。

----------

Article 移動

EoF

河童忌 芥川龍之介の命日

----------
[WARNING]

昨日の Adobe Flash/PDF 脆弱性対応として、authplay.dll を消したりリネームした方へ：

お手数ですが元に戻して別の緩和策を使用してください。
authplay.dllが無い状態で、脆弱性攻撃を受けるとクラッシュし、別の脆弱性攻撃の要因になる可能性があります。

----------

Adobe Flash/PDF 関連追記

YA0D (Yet Another 0-Day) in Adobe Flash player
UPDATE 3
まず、Adobeから(最初に)提示された緩和策において、「マルチメディアの信頼性（従来形式）」などの、Adobe Reader上のいずれのオプションの変更もこの問題を緩和できません（いくつかの Blog がこのオプションのやりかたをインストラクションしていますが、これらは古い(Legacy)プレイヤーに関するものであり、この脆弱性攻撃をとめられないでしょう）

我がSANSのPDFの専門家であるDidier Stevensは、fileを取り除く以外に "AcroRd32.dll" をHexEditorを用いて素早くラフ(dirty hack)に解析し、RichMedia インスタンス(例： into Richmedia)をリプレスしていることを見つけました。すでに出回っているExploitが /RichMedia annotations(注釈)を悪用しており、これを停止することが有効だと考えられます。

また、hereEvil.pdf (:Result: 10/41 (24.39%)) に関する沢山の報告をいただきましたが、このファイルは危険なことに変わりはありませんが、この SWF-0-Day攻撃ではありませんでした（そう、RichMedia annotations が含まれていません）。また、このファイルのテストをを行いましたが、すでにいくつかのメーリングリストでも言及されているように Adobe Reader 9.1.0 でのExploits が成功しません (Adobe Reader 9.1.2 でも確かに動作しません）

（現時点での）最後に、良いニュースです。 この Flash 脆弱性攻撃はそれほど広範囲に拡散しているものではなく、ほんの２・３サイトがこれに加担しているに過ぎません。

残念なことに Adobeは、FlashPlayerが 完全自動で drive-by-download 攻撃を許してしまう問題が発生しているにも関わらず、そのアドバイザリに「使える緩和策」を出してくれません（実用的でない！）。
上述の NoScript のほかに、FirefoxにはFlashblock という FlashMovieをブラウザに読み込むことをブロックするアドオンがあります。これらは来週の木曜日（日本では July 31 金曜日あたり）にAdobe がパッチをリリースするまでのバンドエイドとして助けになることでしょう。

FireEyeのJulia Wolfが、ActionScript(Flashの言語環境）がどうやってJavaScriptに代わって pray the heapの悪用を実行可能か？という記事を書いています。これは JavaScript を OFFにすることが役に立たないことを意味しています。また、我々が発見したものとは異なる２種類の ShellCodeも記載されています。

----
その FireEye の記事

Who is Exploiting the Adobe Flash 0-day?

One easy step and you are safe ..:)
LOL
（爆笑）

CnC IP:
59.175.238.82
webswan.33iqst.com
webswan.zurge.org

そういえば、ScanSafeも手厳しい記事を書いていましたね
Adobe's Name is Mud
Before software came along, the word adobe was better known as the mud and straw bricks used to build structures popular in warm dry climates. And right now, the software vendor Adobe may just signify mud for computer users as well.

Softwareとしての Adobeが確立する以前、この Adobe という言葉は温かい乾燥した土地にもっとも良く建てられた建造物に使用する、泥と高品質のレンガのことでした。そして今は、ソフトウェア・ベンダーである Adobe は、コンピュータユーザから単に「泥」と呼ばれる存在になってしまったのかもしれません。
（苦笑）

現状、パッチが適用されるまで、Flashを見ないしか手が無いようです。

authplay.dll を消したり、一時的にリネームしても良いですが、もし RichMedia annotations が含まれた PDF を開いた瞬間クラッシュしますので、逆にクラッシュ時のリモートコード攻撃に使われかねません。

----------

無線Router のオープンソースファームウェアに脆弱性

DD-WRT Vulnerability
Paul wrote in to let us know about a new vulnerability in DD-WRT that was being reported in the Register at:
Open-source firmware vuln exposes wireless routers
DD-WRT runs on routers by Linksys, D-Link Buffalo, ASUS and well as other routers.

ん？　どっかで見たメーカーが・・・・

DD-WRT: Supported Devices: Buffalo

この脆弱性は、攻撃者が root 権限で脆弱なルータ上で任意コードを実行可能です。

既に Milw0rm に攻撃コードが出回っています（そういえば、おととい見た気もする・・・）

一応、Firmwareのアップデートが存在するようですが、どの機種にドレを入れれば良いのかはわかりません。

Buffaloの対応待ちかな？

----------

Vulnerability in dhclient - Check Your Vendor For Patches

以前に紹介した
Which ISS products are affected by ISC dhclient DHCP Client vulnerability (CVE-2009-0692)?
CVE-2009-0692
tack-based buffer overflow in the script_write_params method in client/dhclient.c in ISC DHCP dhclient 4.1 before 4.1.0p1, 4.0 before 4.0.1p1, 3.1 before 3.1.2p1, 3.0, and 2.0 allows remote DHCP servers to execute arbitrary code via a crafted subnet-mask option.
この脆弱性ですが、影響範囲が

と広範囲に渡るため、再度注意喚起しておきます。

Don’t read this post

----------

情報流出が相次ぐ、りそな銀行とアリコで発生

またか™;

----------

Another Inj3cti0n

Goscanpark: 13 Facts About Malicious Server-Wide Meta Redirects.
I’ve discovered a new emerging malware attack today. Actually two attacks, but in this post I’ll review only one of them – server-wide goscanpark .com/goscansoon .com meta redirects.

どうやら、例の Beladen の亡霊がうごめいているのかもしれません。

goscanpark.com	THROUGH	goscanpark.com	3
goscansoon.com	BLOCKED	goscansoon.com	1344
scan6atom.com	THROUGH	scan6atom.com	NOT YET
scan6lux.com	THROUGH	scan6lux.com	NOT YET
scan4work.info	THROUGH	scan4work.info	NOT YET
highscan4.info	THROUGH	highscan4.info	NOT YET
slimscan4.info	THROUGH	slimscan4.info	NOT YET
scan4bay.info	THROUGH	scan4bay.info	2
scanmore4.info	BLOCKED	scanmore4.info	91
inb4sk.com	THROUGH	inb4sk.com	NOT YET
inb4co.com	THROUGH	inb4co.com	NOT YET
top4scan.info	THROUGH	top4scan.info	15
scan4note.info	THROUGH	scan4note.info	NOT YET
204.27.57.227	AS19969	WINSTAR

----------

時間切れ
EoF

2009.07.22 日蝕の日（小雨 AM6:00）

みえるかな～？

ムリでした

----------

IPA recommend KILL JavaScript according Adobe Acrobat

「ツールを利用した標的型攻撃の広がり」についての調査結果の公開 －「脆弱性を利用した新たなる脅威の監視・分析による調査」最終報告書－

3つほど PDFがあって、全部読んでみましたが有益な情報は・・・

って感じでしょうか？

Malware Crafter の情報は古すぎ！
こんな脆弱性攻撃はもう成立しないはずですし、こんなのが成立する会社・人はもっと酷い状況に陥ってます

Creating Malicous PDF Files

脆弱性 （MS08-067：CVE-2008-4250）を悪用したハッキングツールを確認
[MS08-067]Server サービスの脆弱性により、リモートでコードが実行される (958644)

"Constructing" bad things...again


ただ、Malware Crafterが独自のツールを用いてMalwareを次々と生み出していることは事実です。

個々のMalware/Domainを潰すよりもまずは脆弱性を塞ぐこと、そして不審なメールや.Exeに近寄らない（カモにならない）ことが重要です。

こんなPDF書いて国から給料でるって、ある意味うらやましい（笑）

----------

XML 署名の検証において認証回避が可能な問題
XML 署名 (XMLDsig) で規定されている HMAC truncation に起因する認証回避が可能な問題が存在します。

これはXML署名において、必要とされるSHA-1のビット数(80bit)に満たない長さであっても、HMACOutputLength にその規定が欠落しているため署名検証が通ってしまうというもの。
参照： HMAC

で、この問題で Sun から JDK/JREに問題があることが発表されました。
US-CERT Vulnerability Note VU#466161 - XML signature HMAC truncation authentication bypass
JDK and JRE 6 Update 14 and earlier

This issue will be addressed with our upcoming Java SE security updates which are targeted to be released in late July 2009.

いちおう IN ZERO DAY になるんでしょうか？（苦笑）

参照２：
JVNVU#466161: XML 署名の検証において認証回避が可能な問題


----------

Michael Jackson malware is not dead
マイケル・ジャクソン・マルウェアは死せず

MichaelJackson.jpg.exe 2009.07.15 09:58:44 (UTC) 30/41 (73.17%)
195.239.225.155 AS3216 SOVAM-AS Golden Telecom

--

Real-world viruses vs computer viruses
現実世界のウィルス対コンピュータ・ウィルス

F-secureの日本法人はがんばってますね～
他も見習ってほしい

----------

何かと物議を醸すのは流行ってる証拠？

I need a ThousandFollowers
Earlier today I saw a very similar series of tweets and had a closer look. It seems that the folks behind Addfollowers have been busy in the last week. They have set up at least half a dozen more sites to do exactly the same thing.

I just become a member of this AWESOME site:

July 13	addfollowers.net	91.214.44.123	AS44042	ROOT-AS
July 15	extrafollowers.com	94.102.55.130	AS29073	ECATEL-AS
July 20	addfollowers.info	93.174.93.223	AS29073	ECATEL-AS
July 20	thousandfollowers.com	89.248.164.91	AS29073	ECATEL-AS
July 20	easyfollowers.com	91.214.44.123	AS44042	ROOT-AS
July 21	quickfollowers.com	91.214.44.123	AS44042	ROOT-AS
July 21	followersfast.com	91.214.44.123	AS44042	ROOT-AS

ROOT-AS はつい最近 84654321.cn のような 乱数.cn のインジェクションに使用されていました。

最近は beta.33drugs.com (212.117.160.18) の Trojanに使用されているようです。

----------

We're Excited to Announce the Release of the MMPC Portal V2!

Microsoft の Malware Protection Center がリニューアルした模様

We hope you enjoy the new portal as much as we do!

どうでもいいけど・・MMPCが繁盛するってこと自体をMSが喜んでいいんですかネ？
警察と消防署とセキュ屋は繁盛してほしくない

----------

インジェクション

bntn6.cn
59.34.197.150

過去に配置されていたIP:
59.34.197.35

存在ドメイン ALL THROUGH:
365tsf・com
43381・com
5173rx・com as 216.240.187.102
517bb・com
517qq・net
52000sf・com
55292・com
669ip・com
926886・com
chinamir2・net
dzyg365・com
haowjh・com
hh7788・com
hhcq188・com
idcyd・com
kissmir2・com
loveymir2・com
mail・55292・com
mail・926886・com
mail・loveymir2・com
mir2tl・com
niansf・com
tth4f・com
www・51juezhan・com
www・52000sf・com
wz007ip・com
zhaofoo・com
zhaohf・com

yysf6.com not respound
haotb.com not respound
517dd.net not respound

全部 いつもの AS4134

59.34.197.35の過去犯歴はありませんが、収容ドメインがコロコロ変わっているので危険な感じです。
とりあえず、ネットゲームをやっている方は IP/Domain ともに塞いでおいてください。

Ilion様の FFXI(仮) の情報は本格的にヤバイものが多いので要注意です。

----------

Milw0rm に 妙な文字が見えるなぁ・・・

Adobe Acrobat 9.1.2 NOS Local Privilege Escalation Exploit (alwaysdirtyneverclean.zip)

誤報でありますように（祈）

----------

子供の友人がマジコンユーザーだった！ どうすればよい？

草なぎさんを引っ張っていった警察署に通報！

----------

しかし、まわりこまれてしまった！

NoScript単体でIFRAME禁止のすり抜けを確認

いや・・あまり笑ってられなくなってきました。iframe禁止は重要な要素ですので・・

EoF

2009.07.21 the day after


Belgium (.be) 独立記念日

昨日の渋滞に巻き込まれた方、本当にお疲れ様でした。

----------

昨日の Firefox 3.5.1 脆弱性への反撃

milw0rm 9158 “stack overflow” crash not exploitable (CVE-2009-2479)
In the last few days, there have been several reports (including one via SANS) of a bug in Firefox related to handling of certain very long Unicode strings. While these strings can result in crashes of some versions of Firefox, the reports by press and various security agencies have incorrectly indicated that this is an exploitable bug. Our analysis indicates that it is not, and we have seen no example of exploitability.

ここ数日、Firefoxに関してのバグ報告が飛び交っており、それは「非常に長いUnicode文字列の取り扱い」に関連したレポート（SANSを含む）だと思われます。これらに示された、特定の文字列によってFirefoxのいくつかのバージョンにクラッシュが引き起こされますが、それらのレポートにあるような不正利用可能(exploitable)なバグであるという幾つかのプレスやセキュリティサ機関での検証は誤ったもの(incorrectly)です。我々の分析ではそれが発生しないことを示しており、不正利用可能な例を一切確認していません。

On Windows, Firefox 3.0.x and Firefox 3.5.x are terminated due to an uncaught exception during an attempt to allocate a very large string buffer; this termination is safe and immediate, and does not permit the execution of attacker code.

Windows上において、Firefox3.0.xと 3.5.xは非常に長い文字列バッファを実行しようとした際に、実行不能な例外処理として停止します。この停止は安全、かつ即座に行われるもので、攻撃者コードの実行を許す性質のものではありません。

Mac/Linuxに関しては、今のところ Drive by Download 攻撃の例が少ないのでアレですが、いずれにせよ今回の一件は Milw0rmに「釣られた」のかもしれませんね（苦笑）

まぁ、確かにクラッシュ＝リモートコード実行可能では無いのは事実です。
※正確にはクラッシュではなく、"terminated due to an uncaught exception" と言っていますので性質が違います。

----------

WordPress 2.8.2

WordPress 2.8.2
WordPress 2.8.2 fixes an XSS vulnerability. Comment author URLs were not fully sanitized when displayed in the admin. This could be exploited to redirect you away from the admin to another site.

WordPress 2.8.2 は XSS脆弱性を修正しました。
コメント投稿者のURLがAdmin権限で表示した際に完全に処理（sanitized)されておらず、Adminから別のサイトに対してリダイレクトされてしまう可能性がありました。

もう少し詳しい解説：
Why is WordPress 2.8.2 a Critical Update?

WordPressオーナーがコメントの投稿ページを開こうとした際に、全く予期しないページにリダイレクトされるということは、そこが Drive by Download のウィルスサイトだったり、


こんなサイトだったらどうします？
ということですね。

WordPress 2.8.1 サイトオーナの方は大至急(ASAP)にアップデートしてください。

----------

about Waledac ...

Waledac—an Overview

右に居座ってる腕組んだ先生（Canadian Phermacy)で有名な Waledacなのですが、とにかくソーシャルエンジニアリング的な手法を駆使し、ありとあらゆるスパムで感染者を拡大させているようです。

最近はマイケルジャクソン氏の死去に伴う色々な悪さをやってましたね・・・

今はまだ英語・スペイン語あたりが主流ですが、単純な翻訳を通しただけの日本語スパムで時事ネタが飛んでくるようになると引っかかってしまう人が拡大するのは避けられないでしょう。

もう一つの雄、Zbotもこんな感じでがんばってます（苦笑）
Photos From Michael Jackson’s Memorial Mask Malware

※ポルトガル語で飛んできたスパム
Trojan-Downloader.Win32.Banload.bej, Downloader, PWS-Banker, Mal/Generic-A

----------

Symbian should be called "Sexy Spammer"?

Q & A on "Sexy View" SMS worm

応答が面白かったので（英語のわかる方は）読んでみてください（笑）
「Sexy View」SMSワームについてのQ&A


Q: Which phones are affected by this?
A: All Symbian Series 60 3rd edition phones by Nokia, LG and Samsung. So, for example, best-selling phones like Nokia N95 or Nokia E71.
日本にはあまり関係ない話かな？

Symbian 60 series 3rd Gnと思われる機種：
SoftBank X01NK | SoftBank
SoftBank 705NK｜SoftBank
SoftBank X02NK｜SoftBank
グローバルモデル | SoftBank

FOMA NM850iG サポート情報
FOMA NM705i サポート情報
FOMA NM706i サポート情報

----------

ThePlanets

Beware of malicious Rapidshare links sent to you by a friend.
RapidShareやMegaUploadあたりのファイルをホイホイ信用しないのは、ここに来ている方には当然なわけですが（きっとそうですよね！）

Sophosが The Planet(AS21844)を防弾ホスト認定しました（笑）

----------

Inj3cti0ns

インジェクション FireFox3.5 Heap Spray Vulnerabilty 追記1

bvgg6.cn	BLOCKED	bvgg6.cn	470
59.34.197.151	AS4134	CHINA-TELECOM
3b3.org	BLOCKED	3b3.org	470
66aaaaaa.com	THROUGH	66aaaaaa.com	8
8866.org	THROUGH	8866.org	5270
h65uj.8866.org	BLOCKED	h65uj.8866.org	30
ds355.8866.org	BLOCKED	ds355.8866.org	4
qvodwf.com	THROUGH	qvodwf.com	NOT YET
buffer-ad.qvodwf.com	THROUGH	buffer-ad.qvodwf.com	NOT YET
59.34.197.154	AS4134	CHINA-TELECOM

この多段攻撃に使用されている他のドメイン：


hongse88.com (トロイ本体撒布先)

s31.cnzz.com (.php リダイレクション)

js.tongji.linezing.com (js リダイレクション)

中国語なので他はわからず・・・

----------

いつだってねらわれるのはカモから

カモだから狙われるのか、狙われるようなことをやるからカモなのか・・・
永遠の課題かナ？（笑）

----------

EoF