La ejecución de códigos maliciosos a través de ataques scripting forman parte del folklore actual de los códigos maliciosos. スクリプティング攻撃を介して 、 悪意のあるコードの実行は 、 現在のマルウェアの民俗学の一部です。 Sin embargo, detrás de toda esta batería de métodos de infección, se encuentran involucradas aplicaciones diseñadas íntegramente para cometer este tipo actos dañinos. しかし、この方法の全体の感染症のバッテリーの後ろには、アプリケーションを完全にそのような悪質な行為を犯すように設計を行っています。

Por lo general, se trata de aplicativos crimeware como zeus, barracuda, chamaleon, YES, etc., o shells remotas escritas en PHP, como en este caso, la conocida r57shell. 通常、このcrimewareアプリケーションゼウス、バラクーダ、 chamaleonとしては、はい、など。またはリモートシェルはPHPで書かれた、この場合、 r57shellとして知られている。

Existen muchas aplicaciones de este estilo (c99shell, c100shell, locus, netshell, etc.) que son implantadas, generalmente, en servidores vulnerados a través de RFI (Remote File Inclusion - Inclusión Remota de Archivos) y utilizadas para realizar massive-defacement; es decir, desfiguración masiva de páginas web.このスタイルの多くのアプリケーション（ c99shell 、 c100shell 、 NetShell座などがあります。 ）は、 （リモートファイルのインクルード-リモートファイルインクルード） RFIを経由して脆弱性が存在するサーバーは、通常の移植され、大量に使用されることですまめつと言うのWebページの大量まめつ。

Sin embargo, si bien es habitual que el fin sea este, también son plenamente empleadas para ataques vía web a través de códigos maliciosos como DDoS, SQL Injection y reclutamiento de computadoras zombis, entre otros.しかし、この目的のための慣習ですが、完全には、 Web経由の攻撃に、悪意のあるコードを使った分散DoS攻撃、 SQLインジェクションやゾンビコンピュータの採用、などなどを採用しています。

Como podemos apreciar a través de esta segunda captura, las funcionalidades que ofrece r57shell son muchísimas, y no responden a una condición casual ni trivial, ya que la intención es poder controlar completamente el servidor donde se haya implantado.またこの2番目のキャプチャを見抜くことができる、それに持っている多くの機能を提供していますr57shellと、ささいなカジュアルや、意図を完全に制御するためのサーバーが注入されているに対応していません。 Es decir, se trata de un backdoor a partir del cual un atacante toma control total del servidor, y de cada uno de los nodos alojados en el mismo.すなわち、それは、攻撃者がサーバーを完全に制御するには、バックドア、同じ宿泊施設内の各ノードです。

En este caso, la shell en PHP estaba siendo utilizada para propagar malware a través de la explotación de las siguientes vulnerabilidades:この場合においては、マルウェアの普及は、 PHPのシェルの脆弱性を悪用するには、以下が使用されていた：

* SuperBuddy LinkSBIcons . ( CVE-2006-5820 )
* Office Snapshot Viewer . ( CVE-2008-2463 )
* WksPictureInterface . ( CVE-2008-1898 )
*

OurGame various errors . ( SA30469 )
* GomPlayer OpenURL . ( CVE-2007-5779
* QuickTime RTSP . ( CVE-2007-0015 )
* NCTAudioFile2 SetFormatLikeSample .
*

SetFormatLikeSample 。 （ CVE - 2007 - 0018 ）
* Creative CacheFolder . ( CVE-2008-0955 )
* Windows Media Encoder . ( CVE-2008-3008
* Yahoo! ヤフー！ Webcam Uploader . ( CVE-2007-3147 )
* Aurigma Photo Uploader . ( CVE-2008-0660 )
* Yahoo! ヤフー！ Webcam Viewer . ( CVE-2007-3148 )
* Adobe Collab overflow . ( CVE-2007-5659 )
* Adobe util.printf overflow . ( CVE-2008-2992 )

Todos los exploits para estas vulnerabilidades se encuentran en un solo script cuya apariencia es similar al siguiente, que dicho sea de paso, la captura ha sido cortada.これらの脆弱性を悪用し、その外観はすべての方法では、カットされているキャッチに次のように似ている1つのスクリプトの中で発見されています。

Microsoft Windows Enhanced Metafile (EMF) buffer overflow (Image_EMF_Long_Description)

About this signature or vulnerability

Proventia G-Series, Proventia Network IPS, Proventia Desktop, Proventia M-Series, BlackICE Server Protection, Proventia Server for Windows, BlackICE PC Protection, BlackICE Agent for Server, RealSecure Network Sensor, RealSecure Server Sensor:

Trigger if the description field in an Enhanced Metafile (emf) exceeds pam.content.emf.description.threshold which defaults to 128 bytes

Default risk level

  High

Sensors that have this signature

Proventia G-Series: XPU 24.38, Proventia Network IPS: XPU 1.77, Proventia Desktop: 8.0.812.1770, Proventia M-Series: XPU 1.77, BlackICE Server Protection: 3.6.cpi, Proventia Server for Windows: 1.0.914.1770, BlackICE PC Protection: 3.6cpi, BlackICE Agent for Server: 3.6epi, RealSecure Network Sensor: XPU 24.38, RealSecure Server Sensor: XPU 24.38

Systems affected

Windows NT: 4.0 Server SP6a, Windows XP: 64-bit Edition SP1, Windows 2000: SP4, Windows Server 2003: Any version, Windows 2000: SP3, Windows XP: SP1, Windows NT: 4.0 Server TSE SP6, Windows XP: 64-bit Edition 2003, Windows Server 2003: 64-Bit Edition, Windows: 98 Second Edition, Windows: XP, Windows: Me, Windows: 98

Type

Unauthorized Access Attempt

Vulnerability description

Multiple versions of Microsoft Windows are vulnerable to a buffer overflow, caused by improper bounds checking when handling Enhanced Metafile (EMF) image formats. By creating a specially-crafted EMF image file containing malicious script, a remote attacker could overflow a buffer and execute arbitrary code on the system with privileges of the victim, once the file is opened. An attacker could exploit this vulnerability by hosting the malicious file on a Web site or by sending it to a victim as an HTML email.

Note: This vulnerability is different than the vulnerability addressed in Microsoft Bulletin MS04-011.

How to remove this vulnerability

Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS04-032. See References.

For Windows Server 2003:
Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS05-018. See References.

Microsoft originally provided a patch for this vulnerability in MS04-032, but it was superceded by the patch released with MS05-018.

References

Microsoft Security Bulletin MS04-032
Security Update for Microsoft Windows (840987)
http://www.microsoft.com/technet/security/bulletin/ms04-032.mspx

CIAC Information Bulletin P-008
Microsoft Security Update for Microsoft Windows (840987)
http://www.ciac.org/ciac/bulletins/p-008.shtml

Packet Storm Web site
HOD-ms04032-emf-expl2.c
http://packetstormsecurity.nl/0410-exploits/HOD-ms04032-emf-expl2.c

Microsoft Security Bulletin MS05-018
Vulnerabilities in Windows Kernel Could Allow Elevation of Privilege and Denial of Service (890859)
http://www.microsoft.com/technet/security/bulletin/MS05-018.mspx

ISS X-Force
Microsoft Windows Enhanced Metafile (EMF) buffer overflow
http://www.iss.net/security_center/static/16581.php

CVE
CVE-2004-0209
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2004-0209

■検知

Date/Time	2006-06-19 06:15:54 JST
Tag Name	Image_EMF_Long_Description
Alert Name	Image_EMF_Long_Description
Severity	High
Observance Type	Intrusion Detection
Combined Event Count	1
Cleared Flag	false
Target IP Address	192.168.221.106
Target Object Name	34638
Target Object Type	Target Port
Target Service	unknown
Source IP Address	192.168.221.110
SourcePort Name	80
Sensor IP Address	10.4.6.106
Sensor Name	Proventia_M-Series

:accessed	yes
:code	200
:Description Length	65535
:protocol	http
:Protocol Name	TCP
:server	192.168.221.110
:type	attack
:URL	/ms04032.wmf
:user-defined	false
algorithm-id	2104039
Blocked	false
IANAProtocolId	6
Namespace	pam
POST	Default

MSDTC message buffer overflow (MSRPC_MSDTC_Message_GUID_BO)

About this signature or vulnerability

Proventia G-Series, Proventia Desktop, Proventia Network IPS, RealSecure Server Sensor, RealSecure Network Sensor, BlackICE PC Protection, BlackICE Agent for Server, BlackICE Server Protection, Proventia Server for Windows, Proventia M-Series:

This signature looks for a specially-crafted MSRPC MSDTC Request that is used to conduct a buffer overflow.

Default risk level

 High

Sensors that have this signature

Proventia G-Series: XPU 24.38, Proventia Desktop: 8.0.812.1770, Proventia Network IPS: XPU 1.77, RealSecure Server Sensor: XPU 24.38, RealSecure Network Sensor: XPU 24.38, BlackICE PC Protection: 3.6cpi, BlackICE Agent for Server: 3.6epi, BlackICE Server Protection: 3.6.cpi, Proventia Server for Windows: 1.0.914.1770, Proventia M-Series: XPU 1.77

Systems affected

Windows 2000: SP4, Windows XP: SP1, Windows Server: 2003, Windows Server 2003: SP1 Itanium, CallPilot: Any Version, Windows Server 2003: Itanium

Type

Unauthorized Access Attempt

Vulnerability description

The Microsoft Distributed Transaction Service Coordinator (MSDTC) could allow a remote attacker to execute arbitrary code on the system, caused by a buffer overflow in the MSDTC. On Windows 2000, a remote attacker could send a specially-crafted network message and execute arbitrary code on the system. On Windows XP SP1 and Windows Server 2003, a local attacker could run a program followed by a specially-crafted application to gain elevated privileges and execute arbitrary code on the system.

Note: On Windows XP SP1, the vulnerability can be exploited remotely if the MSDTC is started. On Windows Server 2003, if support for Network DTC Access has been enabled, the vulnerability can be exploited remotely.

How to remove this vulnerability

Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS05-051. See References.

For Windows 2000:
Apply the appropriate patch for your system, as listed in Microsoft Security Bulletin MS06-018. See References.

Note: Microsoft originally provided a patch for this vulnerability in MS05-051, which was superceded by the patch released with MS06-018.

For CallPilot:
Apply the fix as listed in Security Advisory P-2005-0056-Global, available from the Nortel Networks Web site. See References. A login account is required for access.

References

Microsoft Security Bulletin MS05-051
Vulnerabilities in MSDTC and COM+ Could Allow Remote Code Execution (902400)
http://www.microsoft.com/technet/security/bulletin/ms05-051.mspx  

Internet Security Systems Protection Alert October 11, 2005
Multiple Microsoft Vulnerabilities ・October 2005
http://xforce.iss.net/xforce/alerts/id/206  

Security Advisory P-2005-0056-Global
Nortel Networks: Log In Required
http://www.nortel.com/  

Microsoft Security Bulletin MS06-018
Vulnerability in Microsoft Distributed Transaction Coordinator Could Allow Denial of Service (913580)
http://www.microsoft.com/technet/security/Bulletin/MS06-018.mspx  

ISS X-Force
MSDTC message buffer overflow
http://www.iss.net/security_center/static/22467.php  

CVE
CVE-2005-2119
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2119  

■検知

Date/Time	2006-06-18 09:07:52 JST
Tag Name	MSRPC_MSDTC_Message_GUID_BO
Alert Name	MSRPC_MSDTC_Message_GUID_BO
Severity	High
Observance Type	Intrusion Detection
Combined Event Count	16
Cleared Flag	false
Target IP Address	192.168.37.180
Target Object Name	1025
Target Object Type	Target Port
Source IP Address	219.147.22.100
Sensor IP Address	10.4.6.100
Sensor Name	network_sensor_1

:end-time	2006-06-18T09:07:32+09:00
:intruder-ip-addr	219.147.22.100
:len	16
:Opnum	0x7
:repeat-count	16
:start-time	2006-06-18T09:06:51+09:00
:victim-ip-addr	192.168.37.180
:victim-port	1025
algorithm-id	2118064
IANAProtocolId	6
Packet DestinationAddress	192.168.37.180
Packet DestinationPort	1025
Packet SourceAddress	219.147.22.100

Novell eDirectory iMonitor buffer overflow (HTTP_Novell_iMonitor_BO)

About this signature or vulnerability

Proventia G-Series, Proventia Desktop, Proventia Network IPS, RealSecure Server Sensor, RealSecure Network Sensor, Proventia M-Series, BlackICE Agent for Server, BlackICE PC Protection, BlackICE Server Protection, Proventia Server for Windows:

This signature detects an attempt to overflow Novell eDirectory Server iMonitor by sending a specially crafted URL

Default risk level

High

Sensors that have this signature

Proventia G-Series: XPU 24.38, Proventia Desktop: 8.0.812.1770, Proventia Network IPS: XPU 1.77, RealSecure Server Sensor: XPU 24.38, RealSecure Network Sensor: XPU 24.38, Proventia M-Series: XPU 1.77, BlackICE Agent for Server: 3.6epi, BlackICE PC Protection: 3.6cpi, BlackICE Server Protection: 3.6.cpi, Proventia Server for Windows: 1.0.914.1770

Systems affected

Windows NT: 4.0, Windows 2000: Any version, Novell eDirectory: 8.7.3, Windows 2003: Any version

Type

Unauthorized Access Attempt

Vulnerability description

Novell eDirectory is a software package that uses a Lightweight Directory Access Protocol (LDAP) directory service for integrating enterprise and eBusiness programs. Novell eDirectory version 8.7.3, when running on Microsoft Windows, is vulnerable to a buffer overflow caused by improper bounds checking in the iMonitor. A remote attacker could exploit this vulnerability to overflow a buffer and execute arbitrary code on the system with SYSTEM level privileges or possibly cause dhost.ext to crash.

How to remove this vulnerability

Upgrade to the patch for this vulnerability, as listed in Novell Technical Information Document TID10098568. See References.

References

Secunia Security Advisory: SA16393
Novell eDirectory iMonitor Buffer Overflow Vulnerability
http://secunia.com/advisories/16393/  

Novell Technical Information Document TID10098568
Buffer overflow vulnerability against eDirectory 8.7.3 imonitor on Windows
http://support.novell.com/cgi-bin/search/searchtid.cgi?/10098568.htm  

Novell Technical Information Document TID2972038
eDirectory 8.7.3 iMonitor for Win32 - TID2972038
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2972038.htm  

CERT Vulnerability Note VU#213165
Novell eDirectory iMonitor vulnerable to buffer overflow
http://www.kb.cert.org/vuls/id/213165  

ISS X-Force
Novell eDirectory iMonitor buffer overflow
http://www.iss.net/security_center/static/21794.php  

CVE
CVE-2005-2551
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2005-2551  

■実証コード

===========================

  Exploit:    Name      Default            Description
  --------    ------    ---------------    -----------------------------------

  optional    SSL                          Use SSL
  required    RHOST     192.168.221.180    The target address
  optional    VHOST                        The virtual host name of the server
  required    RPORT     8008               The target port

  Payload:    Name        Default    Description
  --------    --------    -------    ------------------------------------------

  required    EXITFUNC    thread     Exit technique: "process", "thread", "seh"
  required    LPORT       4444       Listening port for bind shell

  Target: Windows (ALL) - eDirectory 8.7.3 iMonitor

msf edirectory_imonitor(win32_bind) > exploit
[*] Starting Bind Handler.
[*] Attempting to exploit Windows (ALL) - eDirectory 8.7.3 iMonitor
[*] Overflow request sent, sleeping for four seconds
[*] Exiting Bind Handler.

msf edirectory_imonitor(win32_bind) >

■検知

Date/Time	2006-06-18 22:26:11 JST
Tag Name	HTTP_Novell_iMonitor_BO
Alert Name	HTTP_Novell_iMonitor_BO
Severity	High
Observance Type	Intrusion Detection
Combined Event Count	1
Cleared Flag	false
Target IP Address	192.168.37.180
Target Object Name	8008
Target Object Type	Target Port
Source IP Address	192.168.221.11
SourcePort Name	1633
Sensor IP Address	10.4.6.100
Sensor Name	network_sensor_1

:accessed	yes
:evasions	uses non-ASCII characters;
:intruder-ip-addr	192.168.221.11
:intruder-port	1633
:server	192.168.221.180:8008
:URL	/nds/佞7JBJ・A@GG@荘NJB屁C7J舛7FOFKKHJB傲・Fﾖ@'@B櫑O廿GB澄FH'ﾖHJI鋒FN桝廂G菅CB姆N妁訂僊O・@鎗@F・・GHON訪・泡OF滲GCO・・訂@C・蜂ﾖGO・吏湧・ﾖFNB7NF廿敦BK價鵰'ﾖ趨K友僭7'@ﾖ炉@O崇剞的BGB剞A・・CA只I'H'婁選'呂哲O銭・'O7N
:victim-ip-addr	192.168.37.180
:victim-port	8008
algorithm-id	2106212
IANAProtocolId	6
Packet DestinationAddress	192.168.37.180
Packet DestinationPort	8008
Packet DestinationPortName	http-alt
Packet SourceAddress	192.168.221.11
Packet SourcePort	1633

不正アクセス

http://internet.watch.impress.co.jp/cda/news/2004/08/20/4320.html

市場

http://japan.cnet.com/news/tech/story/0,2000056025,20124927,00.htm

ガイドライン

http://www.watch.impress.co.jp/game/docs/20060605/ogfguide.htm

（出展：ＳＡＮＳ）

May 18 2006 7:52AM ２００６年５月１８日午前７時５２分

With Myspace popularity exploding it was only a matter of time. There have been reports of a phishing attack which targets Myspace customers by requesting login details via a login page. The site was originally reported on "Technocrats" blog here: (http://djtechnocrat.blogspot.com/2006/05/myspace-phishing-attacks-on-rise.html ). Although the site was down at the time we tested it, we have no reason to believe this was not live bait and expect more attacks in the future. Myspace 人気でそれを爆発させることはただ時間の問題に過ぎませんでした。 ログインページによってログインの詳細を求めることによって、 Myspace 顧客をターゲットにするフィッシング攻撃の報告がありました。 サイトはここで「専門技術者」ブログで当初報告されました： (http://djtechnocrat.blogspot.com/2006/05/myspace-phishing-attacks-on-rise.html) 。 サイトが我々がそれをテストした時にダウンしていたけれども、我々はこれが電流が通じたえさではなかったと信じる理由を持っていないそして将来もっと多くの攻撃を予想します。 Site screenshot from "Technocrats" blog: 「専門技術者」ブログからのサイトスクリーンショット：

（出展：Websense)

Hacktivism...wide scale defacement on more than 20,000 sites. Hacktivism ．．．２０,０００以上のサイトの上の広いスケール defacement 。

May 19 2006 9:10AM ２００６年５月１９日午前９時１０分

Zone-H, the popular defacement reporting website, reported that more than 20,000 websites have been compromised and defaced. The sites were hacked by someone with the handle "Iskorpitx" and displayed the Turkish flag along with other information. See screenshot below. Luckily there appears to be no malicious code on the sites, however this shows the potential of how vulnerable machines are being exploited and have the potential for spreading malicious code in a widespread manner. 地域Ｈ、人気が高い defacement 報告ウェブサイト、が ２０,０００以上のウェブサイトが妥協解決されて、そして落書きされたと報告しました。 サイトはハンドル「Iskorpitx」と一緒の誰かによってたたき切られて、そして他のインフォメーションとともにトルコのフラグを表示しました。 見てください、下のスクリーンショット。  運良くサイトに悪意があるコードがあるように思われません、しかしながらこれは傷つきやすいマシンがどのように利用されていて、そして広範囲にわたる方法で悪意があるコードを広める可能性を持っているかの可能性を示します。 Zone-H information details:  http://www.zone-h.org/news/read/id=206009  (*warning, language that maybe offensive to some is on this site*) ゾーンＨインフォメーションの細部：  http://www.zone-h.org/news/read/id=206009  （* 多分いくらかへの攻撃がこのサイトの上にあるという言語警告 *） Example site screenshot: 例サイトスクリーンショット： （出展：Websense）

There's been quite a lot of buzz about the new 0-day Word vulnerability.
新しい０日間の Word 弱点について非常に多くのブンブンいう音がありました。

While talking about details of the vulnerability, it's easy to forget what the vulnerability was actually used for.
弱点の詳細について話をしている間に、弱点が実際に何のために使われたか忘れることは容易です。

According to the information we have, a US-based company was targeted with emails that were sent to the company from the outside but were spoofed to look like internal emails.
我々が持っているインフォメーションによれば、合衆国ベースの会社が外部から会社に送られた、しかし内部電子メールのように見えるために偽装された電子メールで狙いを定められました。

The emails contained a Word DOC file as an attachment. DOCs are a nasty attack vector. Few years ago, when macro viruses were the number one problem, many companies were not allowing native DOC files through their email gateways. Now that has changed, and DOCs typically get through just fine. But Word has vulnerabilities and users typically don't install Word patches nearly as well Windows patches.
電子メールはアタッチメントとして Word ドクターファイルを含みました。 DOCs は不快な攻撃ベクトルです。 ほとんど年前に、マクロウイルスがナンバー１の問題であったとき、多くの会社が（彼・それ）らの電子メールゲートウェイを通ってネイティブのドクターファイルを許していなくはありませんでした。 今それは変化しました、そして DOCs は典型的にただ素晴らしくて成し遂げます。 けれども Word は弱点を持っています、そしてユーザーが典型的にほとんど元気な Windows のパッチとして Word のパッチをインストールしません。

When run, the exploit file ran a backdoor, hid it with a rootkit and allowed unrestricted access to the machine for the attackers, operating from a host registered under the Chinese 3322.org domain.
走らせられるとき、 exploit ファイルはバックドアを走らせて、 rootkit でそれを隠して、そして、中国語の 3322.org ドメインの下で登録されたホストから稼働して、攻撃者にマシンへの無制限のアクセスを割り当てました。

3322.org is a free host bouncing service in China. Anybody can register any host name under 3322.org (like whatever.3322.org) and the service will point that hostname to any IP address you want. There's actually a series of such services, including 8866.org, 2288.org, 6600.org, 8800.org and 9966.org. There are tons of useful things you can do with such host-resolving service. And tons of bad things too.
3322.org は中国でサービスを跳ね上げる無料のホストです。 誰でも（whatever.3322.org のような） 3322.org の下でどんなホスト名でも登録することができます、そしてサービスはあなたが欲するどんな IP アドレスにでもそのホスト名を向けるでしょう。 8866.org 、 2288.org 、 6600.org 、 8800.org と 9966.org を含めて、実際にこのようなサービスのシリーズがあります。 あなたがこのようなホストを変換するサービスですることができる有用なことのトンがあります。 そして同じく良くないことのトン。

Now, we've seen these kinds of attack before.
今、我々は前にこれらの種類の攻撃を見ました。

In March 2005, somebody was sending out dozens of emails to US government email addresses, spoofed to be from Washington Post. The email content talked about "international IPR conventions China has acceded to". The attached DOC file dropped a backdoor that connected to a host under 8866.org.
２００５年３月に、誰かが、「ワシントン・ポスト」からであるためにペテンにかけられて、合衆国政府の電子メールアドレスに多数の電子メールを送っていました。 電子メール内容は「中国が応じた国際 IPR 会議」について話をしました。 付加されたドクターファイルは 8866.org の下でホストに接続したバックドアを落としました。

In September 2005, somebody sent several batches of EU-themed emails to addresses at the EU Parliament. Email topics included "Parliamentary Assembly", "Assembly of Council of Europe" and "Parliamentary Assembly Declaration". Emails contained a DOC that connected to a host under 3322.org.
２００５年９月に、誰かがＥＵ議会でアドレスに数回分のＥＵをテーマにした電子メールを送りました。 電子メールトピックが「議会の議会」、「ヨーロッパ会議の議会」と「議会の議会公表」を含みました。 電子メールが 3322.org の下でホストに接続したドクターを含みました。

In March 2006, a big European company received emails that were spoofed to look like internal job applications. The attached DOC file dropped a backdoor that connected to a host under 3322.org.
２００６年３月に、大きいヨーロッパの会社が内部の求職申し込みのように見えるために偽装された電子メールを受け取りました。 付加されたドクターファイルは 3322.org の下でホストに接続したバックドアを落としました。

In April 2006, another European company was targeted by a similar attack, this time connecting to a host under 8866.org.
２００６年４月に、もう１つのヨーロッパの会社が、今回は 8866.org 以下のホストに接続して、類似の攻撃によって目標を定められました。

And now in May 2006, this latest case complete with a zero-day exploit, connecting to a host under 3322.org.
そして２００６年５月、 3322.org の下でホストに接続しているゼロ日 exploit を完備したこの最近の事例で今。

So, should you block access to hosts under 3322.org, 8866.org and others? Depends. It's kind of like blocking access to Geocities: you'd block lots of bad stuff - and lots of good stuff. But then again, most users of these services are in China. If you're not in China and your users are not supposed to access different Chinese services, blocking might not break too many things.
それで、あなたは 3322.org 、 8866.org と他のものの下でホストへのアクセスを阻止するべきですか？ 事情によります。 それはまあ Geocities へのアクセスを阻止するようです：あなたはたくさんの良くない物 － そしてたくさんの良い物をブロックするでしょう。 けれどもそれから再び、これらのサービスのたいていのユーザーが中国にいます。 もしあなたが中国にいなく、そしてあなたのユーザーが異なった中国のサービスにアクセスするはずではないなら、ブロックすることはあまりに多くのことを破らないかもしれません。

We'd recommend you'd at least check your company's gateway logs to see what kind of traffic you have to such services.
我々はあなたがあなたがこのようなサービスにどんな種類のトラフィックを持っているか見るために少なくともあなたの会社のゲートウェイが木材を伐採することを調べるであろうことを勧めるでしょう。