アナログ
RSS  
<< 2009/10 >>
01 02 03
04 05 06 07 08 09 10
11 12 13 14 15 16 17
18 19 20 21 22 23 24
25 26 27 28 29 30 31

RSS

ちょっと更新頻度が落ちるかも2009/10/23 07:15

Malicious PDFs-Gumblar Activity - IBM ISS
新Gumblarはじわじわ増えてるようです。Frequency X Blog - IBM ISS

国内の陥落サイトも増えてます……ただブログはやられにくい(ユーザが管理者ではないから)ので、前回のように(個人Webサイト管理者が感染して)爆発的な増加はないと思いたいのですよね。
二度目の感染者ももちろんいる訳ですけれど。-_-)

「2と1は等しい」 数学界で論議
真面目に読んで真面目に考えて、よく分からず「a」を代入してようやく気がついた私は中学生に戻った方がいいのかもしれない。orz
つうか、その後「虚構新聞」と気がついた……時間返せ!!!

窓の杜 - 【REVIEW】セキュリティ対策ソフトを装った偽ソフトを一掃できる「Remove Fake Antivirus」
 セキュリティ対策には、“常に最新版のソフトを利用する”“不用意にファイルを開かない”ことに加え、“定評のあるセキュリティ対策ソフトを利用する”のが重要。セキュリティ対策ソフトを導入する場合は、それが本物かどうか、信頼できるものかどうかを必ず確認する習慣をつけよう。
セキュリティ対策ソフトを導入する場合に限らず、悪意あるプログラムか悪意はないけれど自分にとって不利益になるプログラムではないかとか、ソフトをインストールするときには気をつけないとねぇ。

マイクロソフト製品ならびにサービスにおける外来語カタカナ用語末尾の長音表記の変更について
会社に入ったころプリンターとかコントローラーと書いて先輩たちに馬鹿にされたのを思い出した……

Windows 7と同様、Vistaも好評だった――発売前レビューでは - ITmedia News
ユーザーからは不評だったWindows Vistaだが、発売前のレビューでは高評価だった。ライターは「過去に戻れるなら、もっとネガティブな評価をしていた」と後悔を口にしている。(ロイター)
鼻ッからあてにしてないし、Win 3.1のころからいつもそうだったしw
Windows NT 4.0(日本語パッケージ版はSP1からしかない)も2kもXPもVistaも無印は酷い出来だった、Win 7はVista SP2並なだけましなんだと期待したい。

Windows 7が届いたけれど、年末までインストールを保留しようかと思ってたのですが、調べるだけでもと色々と検索しててブログのネタ仕込む暇がなかったりするので、更新頻度落ちるかもです(いや落ちてるしw)。

by puppet [戯言] [コメント(0)トラックバック(0)]

どうしてこうなった2009/10/23 19:48

他人の不幸が面白いのガイドライン 16速報
766 :水先案名無い人:2009/10/22(木) 20:05:53 ID:dvPKVJDw0
Firefoxを使っていてイラつくこと

775 名前: ノイズa(東日本)[] 投稿日:2009/10/21(水) 18:00:35.24 ID:H3JG0t7r
  お前らも訪問回数一回以下の履歴掃除しようぜ
  ttp://puppet.asablo.jp/blog/2009/08/25/4535123

  大事な履歴消えても知らんけど

844 名前: ノイズc(三重県)[] 投稿日:2009/10/22(木) 19:50:34.05 ID:UpGuAfp4
  >>775
  お前のいうとおりに履歴を削除したら
  100個以上開いていたタブがすべて消えた
  復元もできない

  東日本お前だけは絶対に許さない

846 名前: ノイズc(三重県)[] 投稿日:2009/10/22(木) 19:56:21.11 ID:UpGuAfp4
  しかしセッション復元が履歴を参照にしてるとは思わなかったわ
  なんていうか今は逆にすがすがしい気分だわ
  東日本にお礼が言いたい



俺の心は秋の空!

          \(^ν^)/
\(^ν^)×(^ν^)/| | \(^ν^)/
  | |     | |  < >  | |
  <  >  / >      / \


                        気まぐれ速報
                        http://tsushima.2ch.net/news/

ネタにブログを巻き込まないで……orz
なんか2ちゃんねるから来てると思ったらν速からだったのか(ソフトウェアを探してたよ)。

by puppet [戯言] [コメント(0)トラックバック(0)]

新Gumblar関連?真っ黒の画面にマウスカーソルだけ2009/10/23 20:36

黒い画面にマウスカーソル (Win32/Daonol) - セキュリティホール memo
Windows PE を使ったレジストリ修正については、たとえば、Windows PE 完全活用ガイド[Technique 3]オフラインの状態でレジストリを編集するには?(ComputerWorld.jp) を参照。

日本のセキュリティチーム (Japan Security Team) : 黒い画面にマウスカーソル (Win32/Daonol)
さて、このマルウェアですが、(1) 最近出回った、メールに添付されたマルウェア(A)を、ユーザーが実行して感染、その後、マルウェア(A)が、Daonol等別のマルウェアをダウンロードするケースと、 (2) Webを参照した際に、アプリケーションの脆弱性を悪用されて、不正なコードが実行され、Daonol等のマルウェアをダウンロードするケースのおおむね2経路での感染が多いようです。

Web 経由の感染は、いわゆる gumblar (GENO, JSRDir) の手法なわけですが
(中略)
Windows XP で黒い画面で止まってしまう現象のかたは、一例として、以下のレジストリを削除することで回復できます。とはいえ、このレジストリを操作するために、 WinPEイメージによる起動か、Windows Vista 以降の回復コンソールが必要になりますし、不用意なレジストリ操作はいささか危険です。

 [HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]
 "midi9"="C:\\WINDOWS\\<random>.tmp <random>"

追記:2009.10.24 土曜日 急 - UnderForge of Lack
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]
aux(nnn)= midi(nnn)= の各エントリに妙なファイルが設定されている部分です。
midi?=だけでなくaux?=もですか。
妙というのが判断しづらいですよね……「<random>.拡張子(tmpとか) <random>」な感じという認識でいいのかな?

うちのレジストリを見たところ
"aux"="wdmaud.drv"
"aux1"="wdmaud.drv"
"midi"="wdmaud.drv"
 :
"midi4"="wdmaud.drv"
のようにaux?とmidi?は全て"wdmaud.drv"でした。

追記2:判断しづらいなんて書いてしまったものだからG`nome様がわざわざ解説を……
す、すいません。m(_ _)m

2009.10.25 日曜日 - UnderForge of Lack
Drivers32 に設定されるファイルは eisvmyu.tmp, ayndn.bak, diq.dat, hgwcmg.oldなど、ランダム + tmp bak dat old
登録時に Document~1\user\LOCALS~1\Temp のように、マイドキュメントへのフルパスが入っている

というところでしょうか?
詳細は「UnderForge of Lack」を見ていただくとして、大雑把に
[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Drivers32]
"midi9"="C:\\WINDOWS\\<random>.tmp <random>"
は真っ黒で
aux?やmidi?にフルパスがあったらかなり黒いグレーで
tmp、bak、dat、oldのようなドライバーと関係なさそうな拡張子だったら限りなく黒と思えばよさそうですね。

今のぞいてみたらDrivers32でフルパスなのは
"msacm.l3acm"="C:\Windows\System32\l3codeca.acm"
だけでした(カスタマイズによって違うでしょうけれど)。

新しいGumblarはレジストリを隠蔽するようになったので、感染したWindows上からはmidi9が確認できなくなっています。


富士通のサポートがつながりにくくなるくらい多発中のようです。
電話お問い合わせ窓口の混雑について(お詫び) - AzbyClub サポート : 富士通

前回程酷いことにはならないのではと思っていたのですけれど、陥落サイトが前回程ではなくても、感染するユーザは爆発的に発生するってことですか……考えが甘かった。orz

いや、前回は感染しても気がつかなかった(なにしろ改竄を告知しなかったり、告知してもウイルスには全く触れてないサイトがたくさんありましたから)けれど、今回はWindowsが起動しないために発覚したとも考えられるなぁ……


関連
Gumblar攻撃再開(要注意)……対策
新Gumblar感染拡大中(要注意)……対策のリンクなど
Gumblar再襲来?……特徴など
(前回)gumblarが話題になり始めたのはいいのだけど……

参考
今のところ、対Gumblarはカスペルスキーがベストらしい。
バリバリー! - pluto の日記
いろいろ試してみましたがカスペルスキー先生はことごとく検出しました。
マルゼンスキー並の独走を見せるカスペルスキー先生の今後の活躍にご期待ください。
ニュース・リリース|アンチウイルス・アンチウイルスソフトの【 カスペルスキー 】
カスペルスキー製品では、現在出まわっている 新型 Gumblar に対応していますので、感染の確認ならびに駆除を行うには、評価版をご利用ください。

□ 評価版 http://www.kaspersky.co.jp/trials

レジストリの破損により Windows XP を起動できなくなった場合の回復方法 - Microsoft

Windows XPが立ち上がらない! そのときの対処法 - @IT
4. 回復コンソールによる復旧(1)
Windows XPが立ち上がらない! そのときの対処法 - @IT
5. 回復コンソールによる復旧(2)

Gumblar再襲来(5) 感染でパソコン起動せず、サポート窓口に電話殺到 - So-net セキュリティ
以前のDaonolは、自身をシステムのオーディオドライバとしてauxに登録。今回のDaonolは、midi(現行はmidi9)に登録

Win32/Daonolの亜種に感染!セーフモードでも起動できないパソコンを復旧するには? - 情報漏えいと戦う現...:ITpro
起動できないPCのレジストリを操作可能な「REG LOADコマンド」を活用

[Windows XP] Win32/Daonolウイルスに感染したときの対処方法を教えてください。 - AzbyClub - サポート : 富士通

by puppet [PC] [セキュリティ] [Gumblar] [コメント(2)トラックバック(0)]