【PC】パスワードなどを盗む新型ワーム「Bugbear」

パスワードなどを盗む新型ワーム「Bugbear」
米ウイルス対策ソフトメーカー各社は9月30日、「Bugbear」（W32.bugbear@mm）
あるいは「Tanatos」と呼ばれる新型電子メールワームについて警告を発した。
Bugbearはトロイの木馬付きのインターネットワームで、パスワードやクレジットカード情報を盗もうとする。
（zdnet記事より http://www.zdnet.co.jp/news/0210/01/nebt_16.html）

W32BugBear情報
http://headlines.yahoo.co.jp/hl?a=20021001-00000042-zdn-sci
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Bugbear@MM
http://www.cert.org/current/current_activity.html#W32BugBear
http://vil.nai.com/vil/content/v_99728.htm

関連スレ
ファイアーウォールソフト 総合スレッド Part3
http://pc.2ch.net/test/read.cgi/sec/1016238340/664-
ZoneAlarm Part8
http://pc.2ch.net/test/read.cgi/sec/1032084553/247-
ウイルスバスター２００２ Part5
http://pc.2ch.net/test/read.cgi/sec/1029901988/453-

依頼
http://news2.2ch.net/test/read.cgi/newsplus/1033437089/36

ばぐはいやづら

新型ゲームに見えた。

うぃるすもいやづら

古っ！

蟲熊？

そんなことより、今日これからちゃんと電車走ってくれるのかよ！

１０！！！

つまり閣内不一致には決着を迎えたわけだな

トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BUGBEAR.A&VSect=S&Period=7d

クマネタ最近多いな（ｗ

ニュー速の関連スレ
【不正】お前らのところは大丈夫か？【アクセス】
http://ex.2ch.net/test/read.cgi/news/1033315671/l50
●●●　昨日あたりからノートンが反応してウザイ
http://ex.2ch.net/test/read.cgi/news/1033303527/l50

実はノートンがウィルスばら撒いてノートンがワクチン提供て事無いよな？

…………(ﾟ∀ﾟ)……………………(ﾟ∀ﾟ)…………


　　　　　　　　　ﾏﾀｸﾏｽﾚｶ


…………(ﾟ∀ﾟ)……………………(ﾟ∀ﾟ)…………

クマうざぇ
死んだらいいのに

今日の朝はそんなでもなかったけど、
夕方になったらほぼ３分おきに攻撃されてうざいよ

またUDP137アタックか！

http://pc.2ch.net/test/read.cgi/sec/1029901988/633
633　名前：名無しさん＠お腹いっぱい。　投稿日：02/09/30 (月) 10:41
ルータで137は閉じてるので静かです。ルータ使ってる人は以下参照し
てきちんと閉じましょう。137-139は必ず閉じるべきポートです。
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap4/router.html

http://pc.2ch.net/test/read.cgi/sec/1031796923/326
326　名前：cheshire-cat ◆CATJR.v6 　投稿日：02/09/30 (月) 19:44
全く理由がわからんのですが。
とりあえず137=Windowsの共有ファイル狙いちゅう仮定で。
ルーターのフィルタリング機能が無いとか、ダイヤルアップ接続（いるかな？）でプロバ側でブロックしてくれていないって人は。


NBT（NetBIOS over TCP/IPを無効化）
9x系はコンパネ→ネットワーク→TCP/IP→プロパティ→NetBIOSタブでNBTのチェックを外す。
NT系はコンパネ→ネットワークとダイヤルアップ設定→TCP/IP→詳細設定→WINSタブ→NBTのチェックを外す。

Windowsの共有サービスを一時的に停止
9x系はコンパネ→ネットワーク→TCP/IP→プロパティ→バインドタブで共有サービス等のチェックを外す。
NT系はコンパネ→ネットワークとダイヤルアップ設定→プロパティ→「Microsoftネットワーク用クライアント」「Microsoftネットワーク用ファイルとプリンタ共有」のチェックを外す。

ていうか、感染する香具師は２ちゃんとか見ない餓鬼かネット初心者だろ。

感染はして無いと思うけど、port137叩かれまくりでＦＷのログがえらいことに。
今はだいぶ落ち着いてきたかな。昨日、おとといが凄まじかった。

(　´�D｀)ノ<　パスワードとか、クレジット番号とかIEのキャッシュには残らないのれすかね。
　　　　　　　　残っていればキャッシュからその文字列だけを検索して送信とかできるのに。（ｗ

虫熊

一応あげとけ

>>13
ノートン先生もウイルスバスターもそうだけど、
そういうアンチウィルスを開発する会社がウィルスを作成して
当然ワクチンも開発してるのは周知の事実です。
商売ということを考えたら当たり前な話でもあります。

>>25
直接的なウイルス作成はしてないよ、と言っておく

>>25　俺は「IE6のユーザーは安全」を読んでMSを疑ったんだが。

>>27
それはこのウィルスが使う脆弱性に対するパッチをIE6がすでに内包しているからさ。

http://www.google.com/search?hl=ja&ie=Shift_JIS&q=Bugbear+%83g%83%8D%83C&btnG=Google+%8C%9F%8D%F5&lr=lang_ja

あげ

はぁ、まえひっかかったからなあ･･･　　　　　　　　　うつ。

port１３７の奴か？

ポートスキャン、マジうざい！
糞チョンめ

バスターのベル、点きっぱなしだよ

俺がウィルス作るなら、ノートン以外のアンチウィルスソフトを停止させるようなヤツを作ってばら撒くな。
ウィルス名は疑心暗鬼。

ウイルスってなんでもできちゃうんですね！

ウイルス開発者がOS作れば超完璧じゃん

ウイルスを開発するような根性の奴が作ったOSは、使いたくない。

夕方になってアタックが激しくなってきますた

ネット上にあるワームって、エクスプローラーのいい特性を利用して
悪用してるんだよな。
>>36
ＯＳなんぞそんな簡単に作れるかぼけ。

ﾌｧｲｱｳｫｰﾙは 210.xxx.xxx.xxx (UDP Port 1025). から、
このｺﾝﾋﾟｭｰﾀ (NetBIOS Name) への ｲﾝﾀｰﾈｯﾄ ｱｸｾｽをﾌﾞﾛｯｸしました。

日時: 02/10/01 18:57:16

最近こういうのがZoneAlarmの警告に出るんだけど
これがPort137ってやつですか？

詳細情報開いたら、確かに「Port137を通っての攻撃をブロックしました」
みたいな情報が出るんだけれど…

ｽﾚ延びないな−。

netstatコマンドを打ってすぐ画面が消えちゃうのを防ぐにはどうしたらいいんすかね？

>>40
会社でもその話してました。
先輩でしょうか？（笑
それからAVGユーザーさんupdate出来るよ。

こんなのルータ(パケットフィルタリング)で止めれる
感染してる馬鹿は氏ね

昔ASCII-NETに同じハンドルの奴がいたなーTRONヲタのヤツ
今はなにしてんだろ。

うっそ
クレジットカード情報盗まれてたらどうしよう

>>42 cmd

>>44
当該ウイルスについてもう少し詳しく調べるように。

>>48
そんなに心配してあげなくても>>44はメールで同ワームを垂れ流してるよw

>>47

それじゃ分からんて。
「ファイル名を指定して実行」でcmdを実行してから
netstat実行。

>>25
世界中のあらゆるウイルスは日コン連の（略

( *´∀｀*)ﾉ＜どうでもいいのれすが、たまにウィルス送られてこない日があると、
　　　　　　　　逆に寂しくなるのれすよねえ

http://images.google.co.jp/images?hl=ja&ie=UTF-8&oe=UTF-8&c2coff=1&q=%E3%83%AF%E3%83%BC%E3%83%A0&sa=N&tab=wi&lr=

なファイル共有で感染した場合ってどうやって盗んだパスワード
が漏れるのかなあ。盗んだ後、どうするのかが分からんね。
キーストローク記憶するって　押したキーのアスキーコードをファイルに
書き出すしくみかな

ルータがデフォルトでNBT と Microsoft-DS のルーティングを禁止する
になってるのだが、これでOk?

ZoneAlarm Part8
http://pc.2ch.net/test/read.cgi/sec/1032084553/505-

ｳﾞｧｶが１人いきがっています。遊んでやって下さい。

BBよろＫＢＢの方が強力ﾆﾀﾞ

>>55
ネタじゃん。つまらんが

>>1
Bugbearの情報しかこのスレに書かれてないな。これも付け足しておいてくれ。

W32.Opaserv.Worm、WORM_OPASOFT.A
http://www.symantec.com/region/jp/sarcj/data/w/w32.opaserv.worm.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_OPASOFT.A

Bugbearと違ってメール経由の感染はしないが、同様に137/udpを突いてくるやつだ。

>>58
こっちに感染してるらしいやつが、ＰＣ初心者の
ウィルススレにいたな

なぜレスが少ないんだろう…
ＦＷ使ってる人、少ないのかな？

「盗む」ってあるけど、こういう情報はドコに流されるの？

age

ウィルスバスターのファイアウォール機能って、信じていいの？
なんか、しょっちゅうベルが点灯するけど。

ぶーばーがー

>>63
動作している証拠じゃん。
(ﾟεﾟ)ｷﾆｼﾅｲ！！
常に最新版にアップデートされていれば、
大抵はﾀﾞｲｼﾞｮﾋﾞ

コードからくるんだろうが、なんでウイルスの名前は、だいたい
ｶｺｲｲんだろう？そんな名前つければｸﾗｶｰを昇天させるだけじゃん。
もっと「ﾄﾞﾘﾙﾁﾝｺ」とか「ﾅﾒｸｼﾞﾍﾞﾛﾝﾁｮ」とかいう名前つけろよ。

>>ホント、ホント
気が付けば　ベルマーク

>>66
それはそれで楽しいぞｗ

>>68
そか、ｼﾊﾟｰｲ。
でもｳｲﾙｽﾊﾞｽﾀｰとか見てると、DOSのころの古いｳｲﾙｽで
つまんねえ名前のあるよね。「1024」とか。

ZoneAlarmしか防護措置を施していない我がPC。
はよバッグアップとらないと逝けないな。

http://academic1.plala.or.jp/umikawa/index2.htm

>>70
ﾌﾘｰｿﾌﾄﾏﾝｾｰなあなたには、AVG。
おれはAVGでｳｲﾙｽ、ZoneAlarmでﾈｯﾄ規制してる。

>>72
昨日あたりからポップ出まくりでウザイね。

>>73
でないようにして、ひまなときにﾛｸﾞみてます。

>>66
「池■大△」とか「キンマンコ」とかそういう名前でもいいよな。
捕まった時に怖いが…

>>72
俺もぞねとAVGだ
フリーソフトマンセー

ここ最近、ウチのウイルスバスターが反応しているのはこのウイルスの
せいなのか？

http://isc.incidents.org/port_details.html?port=137
このグラフを見るとすごいね。

こんなにNetBIOS Nameに連発されてるのは始めてだよ。

>>76
ｲｴｲ

>>77
Unknown なら、そうじゃない？

ゾネアラームよりもアウトポスト

>>79
あ、今ﾛｸﾞみますた。　なんか2〜3分おきに、ｽﾞﾝﾁｬｶｽﾞﾝﾁｬｶ連発
されてるね。　ﾋﾏｼﾞｿというか、ｳｲﾙｽが勝手にやっているのか・・・？
どうせ攻撃してくるんなら、おみやげ持って来い。

Bugbearに彼女ができるまで続けるスレはここですか?

ああ、もう！

こんな夜中に部屋の蛍光灯がイカれたＹＯ！
チカチカしてムカつく！

きっとｳｲﾙｽに違いない・・・　くそー！ｳｲﾙｽ〜！

ケーブルひっこぬいてやった。ちょと暗いが我慢しよう。
それにしても火傷するかと思った。ふー。
つか、このｽﾚもう、だめぽ？

昼過ぎには被害者も増えてスレにも活気が出てんべ。
な？なーーぁ？

今晩は、二分おきにアタックされてまふ

ＩＥ６で、ポスペを使ってる。
怪しげな添付ファイルを開かないという対策だけで大丈夫だろうか？
おながい、誰か教えてください。

NetBIOSを外に垂れ流すような仕様にするなよMSさんよ

>>86
きっと、このﾜﾗﾜﾗと攻撃してくるのがｳｲﾙｽの正体だと思うんだが・・・
ほとんど外人ぽいけど、なかには俺のIPアドレスと最後の1ﾊﾞｲﾄが
違うだけのご近所さんもいるので鬱。　だれだ！ｺﾞﾙｧ！　ちゃんと
ウイルス対策しておけよな〜。

>>88
ウイルス対策しておけよな〜。 再び

ﾈｯﾄ上にある、MSOfficeﾌｧｲﾙも、Scriptも全部、鬱。
対策してないPCではﾈｯﾄにつないじゃいけない。

２ちゃんやってると
ときどきウイルス警告出るのよね
ブラウザのキャッシュに入るみたいだけど
その度に検疫しないといけない
リロードすると警告でまくり
警告でなくなるまでアクセスしないことにしてる

>>19の方法でNETBIOSのチェック外そうと思ったけど
チェックマーク付いた状態で項目全てが灰色になってて
チェック外せませんです。

ＦＷの設定でNETBIOSを使用不能にしているからでしょうか？
その割にはＦＷ切っても灰色のままだったりします。

当方Win98/IE5.0/outpostです。どなたか教えてください〜

ん、今、いやなこと思い出した・・・
今日（つか日付は昨日）の夕方に客先からﾒﾓ帳や電卓すら
立ち上がらなくなったというナキが入った。
「台風がきてますからね〜。ふぉふぉふぉ」
とかいってバカいってたけど、まさか、これか！！！
明日は忙しくなりそうだ、とほほ・・・

>>93
ん？なんだそりゃ？ＮＥＣのＮＸか、なにか？
ＮＸだとネットの設定いじるのに、なんかしないといけなかったような
記憶が・・・　忘れた。

ＸＰのＦＷ機能でも防げるんじゃないの？

本当はルーター使えばほぼ大丈夫なんだろ
ルーター超えてアタックされたやつ実際にたくさんいるのか？

無線LANはどお？平気？

デフォルトインバウンドＮｅｔＢＩＯＳ　遮断てのが
沢山あるけど、これの事？？

きっとムーミンからの贈り物だと思うんだけどフィンランドからわざわざnetbios２分おきに見に来てるよ

>>97
オレは念のため135-139,455は明示的にrejectしてるよ

miss
×455→○445

ウイルスを作ったら死刑確定。
ウイルスを意図的にばらまいたら禁固４０年以上（最高死刑）。
という国際法はまだ出来ないのですか？

>>97
ﾙｰﾀ超えてｱﾀｯｸされたことはないけど、ｻﾊﾞだと何か施してない
限り、いろいろといじめられる。会社で実験ｻﾊﾞ立てて、週末
放置しておいたら、外人がmp3をｲﾊﾟｰｲうぷしてたので
もらうだけもらって、ぶっちぎった。ｳﾏｰ

>>97
だから>>1の関連サイトを一度くらい読まんかい！

まさにワームホール

>>103
法を適用すると期せずしてビルゲイツが死刑第１号になったりして。

Ｓ　ｙ　ｇ　ａ　ｔ　ｅ　に　Ａ　Ｖ　Ｇ　で　す　

>>104
外人ｶﾜｳｿ…（ｗ

age

俺のノートン先生働いてるところ見た事ないんだがちゃんと機能してるのか心配だ・・・・

>>97
ありますよ〜。月に1〜2度ではありますが。お隣の国か米からが多いですね。
冬季五輪の時は多かったなぁ…

>>111
テキストエディタなどで
X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*
と書き込んで保存してください。
保存したファイルの名前を"Eicar.com"にしましょう。

※ ちなみにウイルスじゃないよ。

なんか昨日やたらと不正アクセス検出されるから
何事かと思ったけど・・・理由はこれか。

つーか、ｱﾒ公に払ってんじゃねーよ！日本企業を狙い撃ちにするｱﾒ公からは、徹底的に搾り上げろ！
アーティストによる中間搾取のない著作権料団体の設立と適正な販売価格の実現のため
アーティストと公取は蛇糞ラックと亜度日と闘うべし
>>104>>230 糞しかつくれない著作権者および蛇糞ラックの回し者よ
糞しかつくれない無能著作権者が何をホザイても説得力ないよ
糞を溢れさせといて、糞に「金払え」ってのが傲慢なんだよ
「聴いて下さい。試聴して下さい。糞でなかった買って下さい」
と、大道芸人を見習って謙虚になれ
「自分が感動を覚えた物」を作れない無能著作権者は、 いつまでもプロ面していないで潔くアマチュアになれ

なんか、BadTrans に似てる？

これみてZoneAlramを入れてしまいました。イイ！！

あーport137つついてるのはこいつかぁ

ただ実際にBugbearに感染したってカキコはまだ見てないなぁ。
W32.Opaserv.Wormの方は少しあるけど。

>>115 ｺﾞﾊﾞｸｶ

バスターですが、これだけ多くの人が不正アクセスされてる中で
俺は一度も全く反応がないんですが。

さっきなんかアラートの数字が
何かのカウンタの如く上昇していたよ。
藁うしかねえなこりゃ・・・

>>121
ルーター使わずに丸一日繋いでてごらん

また熊か

>>123
うちはルーター無しで一日中繋ぎっぱなし
にしてますがバスター反応なしです。
これやばいですか？ウイルスは検査しても出てきません

>>125
それってたぶん、ケーブルテレビなんじゃないの？
サーバの設置ができないサブネットタイプの。

ＺＡだけど今朝はなぜか一件も無い。
10/2午前0時ごろまでは嵐のようにあったけど。

と書いた途端にやってきた。
あら〜

これってやっぱりアタックしてきた相手に連絡すべきなの？

先生に用心棒してもらってから一度しかアタック喰らった事の無いから
＞＞１２８がちょっとうらやましいぞ( ﾟДﾟ)ｺﾞﾙｧ！

>>126
回線はISDNです

ウチもバスターなんだけどもクローキってなんっすか ?

macユーザーも関係ある？

あるならお昼休みにノートン先生かってくるんだけど

>>130
ログは？
陰で結構仕事してると思うよ。

http://www.annie.ne.jp/~simo/

Bugbearの彼女はまだですか?

3時間ちょいで70だな、フレッツISDN、普通のTA。
増えてきてる。

うちもうるさくてかなわない（苦笑

J-COM等
ケーブルＴＶ業界＝創価学会　ケーブルＴＶ業界＝創価学会
ケーブルＴＶ業界＝創価学会　ケーブルＴＶ業界＝創価学会
ケーブルＴＶ業界＝創価学会　ケーブルＴＶ業界＝創価学会
裏で悪行のかぎりをつくしている。
メディア使って
個人イジメ放送の
無法状態
ケーブル業界

みんな楽しそうだな

マカー(´・ω・`)ｼｮﾎﾞｰﾝ

>>140
FWやAVが反応して嬉しがるのは最初だけだって

まぁあげとけや。

同じ地方プロバイダ使ってる人から１３７番へのアタックｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━!!!!!

告知周知徹底あげ

ﾉｰﾄﾝ2003まだかー

いくらOEとか使うなっていってもこの手のは減らないんだよな…

ルータのログにあったアタック本日３７件。

ネタスレはsageでお願いします

UDP137を叩いてきてます。
やだなぁ。

218.164.12.93

こんなIPですた。
チャンコロのｺﾞｷﾌﾞﾘの仕業でしょうか？

正直叩かれても別に痛くないだろ。
どうせ今まで使ってもいないくせに。

NETBIOSって何かわかっている人０なのか?

ノートン先生の活躍する時がやってきたか…

>>151
おいおい(w

今回のはメールだけじゃないのか。
去年のcoderedとかnimdaとかはIISだったから漏れは対象外だったけど、
winの共有サービスとなると引っかかるおそれもなきにしもあらずか。
でも、あれってワークグループ名違っててもアクセスできるの？

とりあえずあげとけ。

みんな同じようなソフト使ってるからウィルスが猛威を振るうわけで、
クセのあるソフトを自作すればなんら気にすることないのにねぇ

まぁ、互換性、という単語もありますが。
ちょっと違うか。

うちのクソルータ、アクセスログ取れないんだよな。
つまんねーの。

>>154
できるよん。

ウイルス対策ソフトのアップデートをしようとしたら
期限切れだった
鬱だ

ドンマイ

所詮はIE+OEの最凶タッグをなんの対策もせんと使ってるヤツにしか縁は無い。

急におさまった。
何故だ。

>>163
腹痛？

アタックされたことがないのだが・・・

>>165
洗剤？

みんなどんな対策してるんですか？
わたしゃなんもしとらんのですが

これって感染したら、どこかで調べられないっすか？
>>1
みたけど、ファイル検索じゃだめっぽいね。
ウイルスバスターサイトのネットスキャンで大丈夫？

おさまらん。
ファイル共有で感染して気付いてないバカがいるのか。

ウイルス対策ソフトの期限更新が鬱だ。
半永久的に、更新だから悪徳商法に嵌った気分になるんだよな。
そういうウイルスが進入した気分にもなるよ。払えってさ。

>>170
ﾎﾟｶｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰﾝ｡

何の対策もしてないけど問題ないＹＯ

みんな叩かれて強くなるんだ。

とりあえずＯＥは使ってないし、
HTMLメールの表示にＩＥも使わないメールソフトを使ってるから、
メール絡みの感染は心配ないな。
こういうときだけはマイナーソフトの有り難みを感じる次第。

ヽ(`Д´)ﾉﾃﾞｨｽｺ!

感染しているっていうのは、どうすればわかるの？(*´Д｀)

パソコンから出て耳から入って脳にアクセスするワームが(･∀･)ｲｲ!!な。