UnderForge of Lack

変な経路で書いているので、短めに・・・

----------
統計の日
明治3年9月24日（1870年10月18日）に、現在の「生産統計」の起源となった府県物産表に関する太政官布告が公布された
冷凍食品の日
冷凍の凍（とう≒10）と、冷凍食品の標準管理温度がマイナス18℃である
木造住宅の日
住宅の「住」を読み替えると数字の「十」に、漢字の「木」を分解すると数字の「十」と「八」になる

----------
Gumblar strikes back?

[EMERGENCY]
先日、さまれぼ！管理人様より警報を受け取っていたのですが、Gumblarに強いScanSafeも警報を発しました。
Gumblar Website Botnet Awakes
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32
sqlsodbc.chm
という、悪夢のキーワードをもった Gumblar(GENO/zlkon/Martuz/JSRedir-R/Daonol)が、蠢動を再開した模様です。

現時点で使用されている脆弱性は
MS09-043 : Microsoft Office Web コンポーネントの脆弱性により、リモートでコードが実行される (957638)
という、９月に塞がれたものですが、それ以外にも脆弱性攻撃を仕掛けてくる可能性がありますので注意が必要です。

File HiwA7.dat received on 2009.10.13 16:44:45 (UTC)
Result: 7/41 (17.07%)

----------
Signatureあるいは呼称の問題

そういえば、Gumblarウィルスの呼称問題って、もうどうでもよくなったとおもっていましたが・・

サイト感染を防ぐ6つのTIPS～G DATAがアドバイス（附：ウイルス呼称への疑問）
■附：「GENOウイルス」呼称への疑問～「新たな脅威」生み出すおそれ
たしかに、誰かがこのウイルスを「GENOウイルス」と呼び始め、その呼び名が広がっていった事実はある。問題は、ある悪意をもってこのウイルスを「GENOウイルス」と呼び、この名が定着していくのを喜んでいる人たちがいたことだ。真の攻撃者の意図とは無関係ではあるが、その呼称が広まることを喜んでいた人たちは、セキュリティベンダーやメディアがそう呼び始めたことに喝采している。

ウイルスの名前が悪意をもった者の意図する通りに操作できるとなると、この点を狙った悪質な行為も起きかねない。ある企業のホームページにウイルスを仕掛け、そのウイルスが企業名で呼ばれるように仕向け、企業イメージに操作を加えるようなことも起こらないとはかぎらない。
ほんとですよね・・
初期のzlkonを追っかけていた人はご存知かと思いますが、同様の「シランプリ対応」をやらかしたところは他にも多数ありました（苦笑）。

こういうことを含めて、ウィルスの名称の決定は AMTSO や ICSG が積極的に統合を図ってもらいたいものです。

セキュリティ製品のテスト手法を標準化する団体「AMTSO」が発足
「ウイルス情報をXML形式で共有」、業界団体が標準化作業

----------
.NET Framework プラグイン問題

FirefoxのMicrosoftプラグインに脆弱性があるとか？ ―
「Microsoft .NET Framework Assistant」と「Windows Presentation Foundation」が強制的に無効にされてるらしい。
元々Fx 3.5で削除してたのですが、3.7a1preだと無効の状態で表示されるので、元から絶つことにしました。

.NET Framework Assistant Blocked to Disarm Security Vulnerability
Firefox Blocks MS Add-on to Tighten Security
Mozilla disables Microsoft plug-ins?

もともと、この問題は、
.NET Frameworkのアップデート、勝手にFirefoxにアドオンを追加して問題に -- 2009.06.04
あたりでも問題にされたのですが、
「ユーザの同意なく勝手にインストールされる拡張機能」の危険性を現実に露呈したケースとなってしまったようです。

----------
その他

落穂ひろい

あーあ
文科省サイト「ライフサイエンスの広場」、サーバーがウイルス感染

phpMyAdmin Plugs SQL Injection, XSS Flaws
PhpMyAdmin group urged all users to upgrade to phpMyAdmin 3.2.2.1 or 2.11.9.6 immediately.
New versions of phpMyAdmin close security holes

フィッシングメールっておいしいビジネスモデルなのか？
おいしいんでしょうね・・・タブン

Oracle to fix 38 database, product vulnerabilities
Oracleよ、お前もか

Protecting Users and Ads from Malware
What is "Malvertising?"
ZeusやらFakeAVやらViagraやらにたどり着きますヨネ

Congratulations Mozilla
Secuniaが自動プラグインチェックを実装したMozillaを称える。
※バージョンの不統一なベンダーを批判もよろしくおねがいします（苦笑）

Microsoft Security Essentials – Week One
One week of MSE: 1.5 million downloads, 4 million detections
着実に広まっています。

テクノラティ・ジャパンが全サービスを突然終了
/. が無くなるのは勘弁してください

----------
SANS : Knowledge for Your Port

Cyber Security Awareness Month - Day 16 - Port 1521 - Oracle TNS Listener
Cyber Security Awareness Month - Day 17 - Port 22/SSH
22番はしょっちゅう辞書攻撃が飛んできますね

----------
telnet（ばくしょ）で入れたので

[goog-malware-hash 1.16518 update]
[goog-black-hash 1.42415 update]

Total : 808892
Infected : 351075

EoF

-------------

:8080 injection (Gumblar/Zeus関連）

陥落サイトがだんだん絞られてきました。

77.37.19.173	2009.06.20
88.191.78.48	2009.06.19
69.59.28.225	2009.06.18
82.109.45.51	2009.06.17
91.121.146.101	2009.06.17
77.37.19.179	2009.06.17
82.109.45.51	2009.06.17
72.47.221.40	2009.06.16
77.37.14.18	2009.06.16

とりあえずこのへんを焼いておけば無難な感じです。

-------------

spam系の話はあまりやらないのがウチの方針だったのですが・・・・

迷惑メールの報告はどこへ？SNS「小野寺涼子」からのメール

ちょ・・！？
小野寺さんですか？（笑）

sapfront.info
すでに有効な A レコード無し

rnixi.com → RNIXI ですよ？
124.42.121.39
Langfang Development Area Huarui Xintong Network T 124.42.96.0 - 124.42.127.255 China Beijing

-------------

明らかに日本人狙いです

nicovedeo.com
61.139.126.14

尚、このレジストラント abc00623@163.com で検索すると
skywebsv.com
61.139.126.91
も引っかかります。

MAINT-CHINANET 61.139.0.0 - 61.139.127.255 CN (CHINANET-SC)
以前報告した際と IP が変動していませんので、そのまま焼き続行で

-------------

Lucky Sploits

mbmail.eu
91.212.65.15

最近おとなしくなってますが、まだ存在します。

-------------

Zeus/Zbot

91.212.65.13
59.125.231.252		999admins.cn
91.121.8.196		scananida.com.pl
122.224.5.189		shock--world.com
174.132.180.98		w-crook.com.ar
217.107.219.153		tsesar.jino.ru

Zbotもなかなか駆逐できません

ピコン！

207.182.136.106

今日のGumblar・・・
たぶん・・

ああ・・もうすぐ Microsoft Update日ですね（笑）

---------------
人質ware

最近あまり聞かなかった Ransom-wareですが、ロシアでは新種が発見された様子です。

Ransom - Pay me more! -- 2009.06.03
超意訳：
あんたのファイルは暗号化させてもらった、戻してほしけりゃ１０＄（350ルピー）払え
おっと、わすれんなよ？ vscryptって拡張子のファイルは消すんじゃないぞ？　消したら最後、二度と戻せないからな？

まぁ、払っても戻してくれそうにはありませんケドね

Ransom - Pay me more - Part II


もし不幸にして引っかかったら、
Doctor Web has released a free decryption utility to counteract the new extortion Trojan.Encoder.19
で復号できるそうですので、その後、コンピュータ内で使用したすべてのパスワードを変更し、バックアップをとり、システムをリストアしましょう。

Backup your data files and re-image infected machine.

---------------
TwitterもMalware Campaign中？
Rogueware Campaigns blending in with Twitter Trends

Rogueware campaign on Twitter continues...

More rogueware campaigns on Twitter...


Twitter trends attacks

だいたい、 PhishTube.com なんて名前を踏むのはおかしいと思いませんか？（苦笑）

ただ、Twitterの場合は短縮URLが使用されることが多いため、意図せずに危険URLを踏みつけてしまうことはあります。

そのテのサイトをウロツク時は、細心の注意を払いましょう
（Microsoft/Adobe/その他のコンポネンツを最新のものに）
そもそもウロツクナヨという説もありますが？


---------------
そういえば・・？
The Downadup Codex, Edition 2.0

最近、すっかり影を潜めた Conficker/Downadup ですけど、レポートではあまり減ってないらしい・・
でも、被害の実例もあまり聞かないので、なんとなく収束している印象です。

もっとも、イントラネットの奥深くで稼動するスキャッター（散布ノード）が潜んでる可能性は高いため、完全な安全宣言は出せないでしょう。

Symantec 謹製の Conficker 辞典 (全59ページ PDF)
The Downadup Codex, Edition 2.0.
読みたくないです（苦笑）

---------------
盗まれたアカウント情報はどうなる？
T-Mobile Data Breach Alleged

まぁ、考えていたとおり、「盗んだ情報の」生殺与奪の権利は犯人側が握っているので、「金になりそうな」情報はこうやって売買されているようです・・・・

FTP権限が盗また場合、どのくらいの被害範囲が広がるかは、その会社のセキュリティ意識次第ですが、同じパスを使いまわしているところは根こそぎやられていることでしょう。


---------------
TrendMicroも "Another Gumblar"として警報を出しています。
Another Wave of Mass Compromises Serve Info-Stealers

意外だったのは、感染すると以下のアプリケーションの ID/PASSも盗まれること
* INETCOMM Server
* Microsoft Outlook
* Mirabilis ICQ
* Opera Software
* The Bat!
* Total Commander
* Trillian

ICQ ってまだ稼動してるのか・・・・

同時に、現在危険な脆弱性として以下のものを挙げています。
Vulnerability in Windows Explorer Could Allow Remote Execution
Buffer overflow in Apple QuickTime 7.1.3
Buffer overflow in the WZFILEVIEW.FileViewCtrl.61 ActiveX control
Vulnerability in the Microsoft Data Access Components (MDAC) Function Could Allow Code Execution
Microsoft Internet Explorer 7 Memory Corruption Exploit

---------------
「情報通信の安心安全な利用のための標語」で小学5年生の後藤ゆうひさんが総務大臣賞を受賞

お・・・おかあさんですか！？

まぁ・・ほほえましいオチということにしておいてください。

EoF

現在の Gumblar（と思われる） IP :

213.165.80.179

移動してます・・・

なんかもう、いい加減にしてほしいと思いませんか？（苦笑）

全部を確認したわけではありませんが、87.106.103.122に差し込まれていた Domain群が、移動しています。

IP: 216.154.213.166

DOMAIN	Google Block	Google blocked count	Google Last Date
bestfindit.cn	SAFE	1	2009-06-04
bestfinderr.cn	SAFE	0	NOT YET
bestmortgagefind.cn	SAFE	1	2009-06-04
bestlitediscover.cn(*)	BLOCKED	1	2009-06-05
bigappletopworld.cn	SAFE	0	NOT YET
bigbestfind.cn(*)	SAFE	2	2009-05-31
bigtopsuper.cn	SAFE	0	NOT YET
bigappletopworld.cn	BLOCKED	213	2009-05-18
finditbig.cn(*)	SAFE	0	NOT YET
gianttoplocate.cn	SAFE	2	2009-06-07
greatnamemovie.cn	BLOCKED	1243	2009-06-07
homebrandname.cn	SAFE	0	NOT YET
hugebestbuys.cn(*)	BLOCKED	1023	2009-05-15
hugetopdiet.cn	SAFE	2	2009-05-31
litetopdiscoversite.cn(*)	BLOCKED	1457	2009-05-28
lotbetsite.cn(*)	SAFE	0	NOT YET
mediaalias.cn	SAFE	0	NOT YET
mediahomenameshoppicture.cn(*)	SAFE	1470	2009-06-07
mixgroupguide.cn	SAFE	0	NOT YET
mixreleasegroup.cn	SAFE	0	NOT YET
namebuyfilmlife.cn(*)	BLOCKED	3103	2009-06-07
nameclaimstore.cn	BLOCKED	272	2009-06-07
namecompanystore.cn	SAFE	1	2009-06-03
nameforshop.cn	BLOCKED	414	2009-06-07
namemartfilm.cn	SAFE	0	NOT YET
nonfathighestlocate.cn(*)	SAFE	1	2009-06-03
solmixgroup.cn	SAFE	0	NOT YET
technologybigtop.cn(*)	BLOCKED	707	2009-06-07
toplitesite.cn(*)	BLOCKED	661	2009-06-07
tvnameshop.cn(*)	BLOCKED	467	2009-06-07
worldnamebuy.cn	SAFE	0	NOT YET
yourlitetopfind.cn(*)	BLOCKED	1583	2009-05-21
yournameheremedia.cn	SAFE	0	NOT YET

2009.06.08 AM5:00 JST現在の調査 MDLリストを元にしたもの
(*)印は昨日と重複

また、別のIPも確認されています。

IP: 213.165.80.179

findbigmoneygame.cn	SAFE	0	NOT YET
hugetopseek.cn	SAFE	0	NOT YET
michaelsbestway2findalawyer.cn	SAFE	0	NOT YET
mixreleasegroup.cn	SAFE	0	NOT YET
solmixgroup.cn	SAFE	0	NOT YET

これを書いている間に、 IP: 216.154.213.166 に移動しました（汗）


現在の攻撃は IP: 216.154.213.166 が主体のようです・・・

というかドメインいくつあるんだ！！？？

こうコロコロ登録先を変更されると、追えなくなる可能性が高いですね・・

IP:
87.106.103.122

Domain:

DOMAIN	Google Block	Google blocked count	Google Last Date
autobestwestern.cn:8080	BLOCKED	8	2009-05-16
bestfindaloan.cn:8080	SAFE	0	NOT YET
bestlitediscover.cn:8080	BLOCKED	76	2009-06-05
bestlitetopfind.cn:8080	BLOCKED	5	2009-06-03
bestwebfind.cn:8080	BLOCKED	772	2009-06-06
bigbestfind.cn:8080	SAFE	2	2009-05-31
bigtopcabaret.cn:8080	BLOCKED	1830	2009-05-14
bigtopmanagement.cn:8080	SAFE	3	2009-06-01
giantbeaversdiet.cn:8080	BLOCKED	29	2009-05-25
giantnonfat.cn:8080	BLOCKED	4	2009-05-19
findbigbrother.cn:8080	BLOCKED	492	2009-06-06
finditbig.cn:8080	SAFE	0	NOT YET
findyourbigwhy.cn:8080	SAFE	1120	2009-06-06
greatbethere.cn:8080	SAFE	1	2009-03-27
homenameworld.cn:8080	SAFE	3	2009-05-29
hugebest.cn:8080	SAFE	1793	2009-06-06
hugebestbuys.cn:8080	BLOCKED	1023	2009-05-15
hugepremium.cn:8080	SAFE	0	NOT YET
hugetopdiscover.cn:8080	SAFE	1428	2009-06-06
litepremium.cn:8080	SAFE	0	NOT YET
litetopdiscoversite.cn:8080	BLOCKED	1457	2009-05-28
litetopfinddirect.cn:8080	BLOCKED	10	2009-05-29
litetopseeksite.cn:8080	BLOCKED	5	2009-05-25
lotbetsite.cn:8080	SAFE	0	NOT YET
lotwageronline.cn:8080	SAFE	0	NOT YET
namebuyfilmlife.cn:8080	BLOCKED	3096	2009-06-06
nanotopdiscover.cn:8080	BLOCKED	3	2009-06-02
nonfathighestlocate.cn:8080	SAFE	1	2009-06-03
mediahomenameshoppicture.cn:8080	BLOCKED	1467	2009-06-06
mediahousenamemartmovie.cn:8080	SAFE	1	2009-05-30
mynewnameshop.cn:8080	SAFE	0	NOT YET
technologybigtop.cn:8080	BLOCKED	705	2009-06-06
thefilmmusic.cn:8080	BLOCKED	1132	2009-06-06
topfindworld.cn:8080	SAFE	270	2009-06-06
toplitesite.cn:8080	BLOCKED	656	2009-06-06
thebestyoucanfind.cn:8080	SAFE	1058	2009-06-06
tvnameshop.cn:8080	BLOCKED	456	2009-06-06
usednamestore.cn:8080	SAFE	1	2009-06-03
yourlitetopfind.cn:8080	BLOCKED	1583	2009-05-21

ていうかしつこいよ（泣）
ぐぐる先生のブロック基準がよくわかりません・・・(2009.06.07 15:00-JST 時点の調査です)


-------------------
1&1 Internet AG SCHLUND-CUSTOMERS Great Britain(United Kingdom)
87.106.100.0 - 87.106.103.255

あれれ？ 1&1 ですか・・？？
こういうとこに差し込まれるのが一番困る

MSも泣いているかもしれない
海外での導入事例集:1&1 Internet AG
私も泣いてますよ、ええ・・関係者がモロにここホスティングだし！

とりあえず、他の悪事に引っかからないので単体指定です。
ドイツの1und1ルータ群から飛んでるので、本当に英国なのかどうかは？ですが（たぶん）英国内のデータセンターなのでしょう
ま、ドイツのデータセンター内の「英国向けラック群」かもですけどね

-------------------
もともと、4-job。com というサイトがあり、そのアカウント情報を不正使用されているのかもしれないという意見を貰いました。
4-job。com 自体は現在も運用中。

1und1のシステムに限らず、FTP PASSを知られるとDomainの移管なんかも可能なサイトは多いかもしれません。
つまり、自分が知らない間にサイトが乗っ取られて、どんどん悪事に加担しているかもしれないと・・・

これって、「過去に Gumblar に感染したサイトの末路はこうなるかもしれない？」という恐ろしい示唆なんですが・・・・

-------------------
現時点で過去の攻撃手順との明確な差異は見当たりません。

Adobe Flash Player の最新版へのアップデート
Adobe Acrobat Reader の最新版へのアップデート
　注意：最新版 9.1.1 は、まず 9.1をインストールした後、9.1.1 Updaterを使用します。

また予防措置的にAdobe Acrobat Reader の PDF-JavaScriptの機能停止を行いましょう。
Update on Adobe Reader Issue

できればブラウザの JavaScript も何らかの予防措置が必要ですが、恐れていた「陥落サイト内で全てを実行させられてしまう」環境が整ったことにより、NoScriptだけでの安全性保持が難しくなってきました。
現時点では、まだ有効ではありますが・・・

-------------------
人様の環境にウィルスなんかダウンロードできるわけもなく
出向中の身なので、解析とかできないんですけど、一応・・・
どうもコレらしい？というリンクをもらいました。

MD5:0xB9E6EC4AE89C7CBF5FB7AF30B5751F1A

何だか、従来型の Zlkon/Gumblar (sqlsodbc.chm使用 / drivers32:aux= に登録)とはうって変わっていますね・・
というか、LuckySploits のマルウェア動作に似ているような印象を受けます。

しかし・・・この悲惨な状況はいったい？
load.exe -- 2009.06.07 02:24:26 (UTC) 2/39 (5.13%)

ぇ～　まだGumblarネタ続けないといけないの？

Swine flu and Troj/JSRedir-R
レバノンの政府サイトが感染したまま放置されている様子・・・

Sophosのようなセキュリティ企業が警報しても反応無いんだから、個人で警報しても難しいのは当然かな・・？


あと、自分のサイトが Google BlackListed されている場合の解除方法が Unmask Parasiteに記載されていました。

Gumblar/Martuz Aftermath

--------------
そういえば、TrendMicroがようやくウィルス本体の識別名を出してきたようです。

インターネット脅威マンスリーレポート - 2009年5月度
5月は引き続き「BKDR_AGENT（エージェント）」の亜種「JS_AGENT」などを埋め込む、Webサイト改ざんが確認されています。改ざんされたサイトの中には、最終的にFTPサーバのアカウントを盗む「TROJ_SEEKWEL（シークウェル）」がダウンロードされるケースが確認されており、盗み取ったアカウントを悪用して別のWebサイトを改ざんしようとする狙いがあるようです。Webを閲覧するユーザは、こうした改ざんされたサイトから不正なサイトに誘導されないようにするためにも、セキュリティ製品の危険なWebサイトへのアクセスをブロックする機能を利用することが有効です。

って・・FlashとAcrobat Readerのアップデート注意喚起が抜けてるような気がしないでもない・・・

TROJ_SEEKWEL
って・・TROJ_SEEKWELだけ、詳細がないじゃないですか！？

図1：「JS_AGENT」などを使用した正規サイト改ざんの概念図
のウィルスが妙にかわいい（笑）

先日書いたArticleですが、ソース元がこちらでした。
nappa さん。ありがとうございます。

Experts: Gumblar attack is alive, worse than Conficker

訳：
「Gumblar」攻撃、いまだに沈静化せず--ScanSafe報告

ScanSafeのシニアセキュリティリサーチャーのMary Landesman氏は5月29日、攻撃者は攻撃したウェブサイトをホスティングするサーバ設定を変更したため、引き続きサーバを操ることが可能で、これらウェブサイトを訪問したユーザーのコンピュータに攻撃コードをダウンロードさせるドメインの追加を続けることも可能であると述べた。「ある時点で、（ウェブサイトへの）これらの攻撃が開始されるだろう」とLandesman氏は述べている。
という部分は、
実際にコード変更されたことが確認されているとは言っていないため、感染ユーザに対する注意喚起というところでしょうか？

実際問題として、感染してしまったユーザは、まったく気がつかないまま永遠に（自分の）機密情報をタレ流している可能性は否定できませんし、Botnet端末化して、犯人のアフィリに協力させられているかも知れません。

いずれにせよ、感染者への早急なケアが急務なのですが、セキュソフトも入れておらず、Microsoft UpdateもAdobe系Updateも行っていない（そもそもUpdateの存在すら知らない）ユーザはどうすることもできないのが実情です。

---------------
原文には Confickerよりもタチが悪いという話が出ていますが、これは私も同意します。

実際のところ、私の周辺で Conficker(DownAdUp)に感染した例は０ですが、Gumblarは３件居ます。

要するに Confickerの脆弱性である MS08-067は、普通の人は Windows/Microsoft Updateで塞いでいることが多いのです。

しかし、Acrobatやら Flashやらは、一般の人は「個々にUpdateしなければならない」ことすら知らないため、ここまで問題が大きくなりました。

Windowsが統合アップデートリポジトリを持たないことが、大きなセキュリティリスクとなっていることは自明の理です。

--------------

しかしアレですね。

同じ日の ScanSafeの Blog が
Gumblar Companion Finally Shutting Down?
こうなっていますので、ずいぶん論調が違うもんだなぁ・・とか思います（苦笑）

私の読解力に問題があるのかナ？

「Gumblar」攻撃、いまだに沈静化せず--ScanSafe報告
セキュリティ企業のScanSafeは現地時間5月28日、ウェブサイトを攻撃する「Gumblar」が新しいドメイン名を複数追加しているとして、注意を呼びかけた。

5/28の記事ってコレですよね？

Gumblar Companion Finally Shutting Down?

私は何度読み返しても、「攻撃者のDNSが閉鎖されたため、現時点での攻撃がとまっている」としか理解できないんですが、英語って難しいですね・・（苦笑）