【緊急】Windows RPCの脆弱性狙ったワームが拡散を開始 ★2
('A`)マァオチツイテ 朝食食べよう。
|
|
|
ん〜・・・めんどくさくなって来たから名無しさんも閉じてきます
今始めて知ったけど、これどういう感染ルートなの?
704 :マァヴ ★:03/08/13 08:21 ID:???
>699
んー(^_^;)ネットワーク管理者に電話入れるくらいはしたほうがいいか
まともなネットワーク管理やってるなら、緊急時の連絡くらい取れるだろうし。
んー(^_^;)ネットワーク管理者に電話入れるくらいはしたほうがいいか
まともなネットワーク管理やってるなら、緊急時の連絡くらい取れるだろうし。
>>703
・・・・。
・・・・。
うちずっと135ばっかでつまらん。
707 :マァヴ ★:03/08/13 08:23 ID:???
>703
OSが未対策でかつ、FWなどがない、あるいはポート130番台が開いてるPCは、感染済みのPCからスキャンされたら即死らしいです(^_^;)
OSが未対策でかつ、FWなどがない、あるいはポート130番台が開いてるPCは、感染済みのPCからスキャンされたら即死らしいです(^_^;)
708 :マァヴ ★:03/08/13 08:25 ID:???
ま、かなり凶悪な侵入力持ってるっつーことですね(^_^;)
どの程度のユーザーがOSのアップデートをさぼるかによって
のちのちの影響が変わってくるなぁ・・・・・
どの程度のユーザーがOSのアップデートをさぼるかによって
のちのちの影響が変わってくるなぁ・・・・・
そう言えば職場のPCって2000インスコしてそのまんま放ったらかしなんだっけ・・・
でも今日俺非番だし・・・明後日辺りに本格的に話にまざれるかな。
でも今日俺非番だし・・・明後日辺りに本格的に話にまざれるかな。
710 :マァヴ ★:03/08/13 08:27 ID:???
知り合いのPCがモデム直結のWin2Kなんだよなぁ(^_^;)きっと感染してると思われ
>>658
男の性を理解して、豊かな夫婦性活を送られますように…。
男の性を理解して、豊かな夫婦性活を送られますように…。
712 :初投稿:03/08/13 08:28 ID:IHEvzWOY
こわぁ〜。
知らない内にワーム感染って怖いよね。
だれだ?ウィルス作成する奴は!
知らない内にワーム感染って怖いよね。
だれだ?ウィルス作成する奴は!
713 :超長門級戦艦(天皇陛下万歳!):03/08/13 08:32 ID:9zPUY/5y
そ・・・そうじゃ!!
萬々様じゃ!!!
萬々様を呼んで来るんじゃ!!!!
715 :マァヴ ★:03/08/13 08:35 ID:???
>714
ちなみにヤバイのはXP/2000/NT/2003Serverね(^_^;)16bit系は問題なしー
ちなみにヤバイのはXP/2000/NT/2003Serverね(^_^;)16bit系は問題なしー
716 :名無しさん@4周年:03/08/13 08:36 ID:I5ZIHrLA
というか、2000をあっぷでーとしようかなぁと思ったら、SP4が出てるのを知った _| ̄|○
>>714
PC落とす前にアップデートしる。
PC落とす前にアップデートしる。
718 :名無しさん@4周年:03/08/13 08:37 ID:BrOkTI/7
今アップデートすればいいんじゃないの?
>>714
逝っちゃった、南無('A`)
逝っちゃった、南無('A`)
721 :名無しさん@4周年:03/08/13 08:40 ID:Qu0Kxt7P
今、帰省中なんだが、
実家のPCが感染していた。
先ほど、駆除終了。
これだから、年よりは(以下略
実家のPCが感染していた。
先ほど、駆除終了。
これだから、年よりは(以下略
723 :マァヴ ★:03/08/13 08:42 ID:???
>721
おいらも実家に電話入れた(^_^;)ルータ使っててセーフ
>722
がんがれ(^_^;)
おいらも実家に電話入れた(^_^;)ルータ使っててセーフ
>722
がんがれ(^_^;)
724 :IEEE*TEKITO+03 ◆.KSCIEEE/o :03/08/13 08:43 ID:I/tkyvnp
▼まだ対策を取れていない方
▼再起動がうるさくて作業がとれないかた
▼駆除ツールの存在が知らない方
(画像つき解説あるので参考にしてください)
http://nara.cool.ne.jp/tekitonw
▼再起動がうるさくて作業がとれないかた
▼駆除ツールの存在が知らない方
(画像つき解説あるので参考にしてください)
http://nara.cool.ne.jp/tekitonw
>>723
親孝行でつね。
親孝行でつね。
Micro Soft: http://support.microsoft.com/default.aspx?scid=kb;ja;823980
Trend Micro: http://www.trendmicro.co.jp/msblast/
Symantec: http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html
■ 現象 ■
Windows起動後1分程度で「RPC の問題で…」などのメッセージが出て、
カウントダウン後、再起動してしまう。
■ 被害 ■
msblast.exe というプログラムが仕組まれる。これが外部と何かしている模様。
■ 緊急対策 ■
・ファイアウォールで TCP(&ついでにUDPも) 69,135,137,138,139,140-160,440-460,512,513,2049,4444 を閉じる。
・MSCONFIG で RPC を止める。
・MS03-26用パッチをあてる。 http://support.microsoft.com/default.aspx?scid=kb;ja;823980
■一連の簡潔な流れ■
パッチをダウンロード→再起動→msblast.exeを終了させる
→レジストリを編集してmsblast.exeが自動起動しないようにする
→再起動→無料駆除ツールで最終チェック
※ポートをふさぐとか、サービスを停止するとかは上級者向けです
※初心者はセキュリティホールをまず塞いでください、話はそれからだ
Trend Micro: http://www.trendmicro.co.jp/msblast/
Symantec: http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.html
■ 現象 ■
Windows起動後1分程度で「RPC の問題で…」などのメッセージが出て、
カウントダウン後、再起動してしまう。
■ 被害 ■
msblast.exe というプログラムが仕組まれる。これが外部と何かしている模様。
■ 緊急対策 ■
・ファイアウォールで TCP(&ついでにUDPも) 69,135,137,138,139,140-160,440-460,512,513,2049,4444 を閉じる。
・MSCONFIG で RPC を止める。
・MS03-26用パッチをあてる。 http://support.microsoft.com/default.aspx?scid=kb;ja;823980
■一連の簡潔な流れ■
パッチをダウンロード→再起動→msblast.exeを終了させる
→レジストリを編集してmsblast.exeが自動起動しないようにする
→再起動→無料駆除ツールで最終チェック
※ポートをふさぐとか、サービスを停止するとかは上級者向けです
※初心者はセキュリティホールをまず塞いでください、話はそれからだ
727 :名無しさん@4周年:03/08/13 08:46 ID:W8uQgqcI
マァヴ ★ ← 何かうざい物を感じる
728 :名無しさん@4周年:03/08/13 08:47 ID:A5353tWA
モデムって駅でタダで配ってるキカイ?
とりあえずスレに書いてあった通り
udpで69
tcp&udpで135,137-139,445
tcpで80,512-513,1025-1029,1433-1434,2049,4444,7743
を閉じてみた。他に閉じるとこありますか?
udpで69
tcp&udpで135,137-139,445
tcpで80,512-513,1025-1029,1433-1434,2049,4444,7743
を閉じてみた。他に閉じるとこありますか?
730 :名無しさん@4周年:03/08/13 08:49 ID:UyhdlZBO
おいらのマシンもどうやら感染した模様
さっきからRPCエラーで再起動しっぱなし(TqT)
すぐに再起動しちゃうからなにもできないよ
どうすりゃいいの?
さっきからRPCエラーで再起動しっぱなし(TqT)
すぐに再起動しちゃうからなにもできないよ
どうすりゃいいの?
>>728
駅で配ってるのは●ahooのモデム。FWはついてないらすぃよ。
駅で配ってるのは●ahooのモデム。FWはついてないらすぃよ。
もういい加減うちのボロマシンまでつつくのはやめてください。
win98だから。無理だから。
win98だから。無理だから。
733 :名無しさん@4周年:03/08/13 08:51 ID:BrOkTI/7
>>729
うっかりアスホール開けっ放しになってる人多いらしいぞ。
うっかりアスホール開けっ放しになってる人多いらしいぞ。
>>729
80番閉じて、どうしてこのスレが見れるん(ry
80番閉じて、どうしてこのスレが見れるん(ry
736 :名無しさん@4周年:03/08/13 08:57 ID:raHTuNO3
windows updateは8月のはじめにしておいたけど
xpにfirewallがあるなんて知らなくて昨日まで有効にして無かったよ。
同じCATVのものと思われるIPから137、138にしつこくアクセスがきてるなあ。
この人さっさとネット切ってくれないかな。
xpにfirewallがあるなんて知らなくて昨日まで有効にして無かったよ。
同じCATVのものと思われるIPから137、138にしつこくアクセスがきてるなあ。
この人さっさとネット切ってくれないかな。
この前川相の世界記録に異論を唱えていたら突然シャットダウンしたから
巨人ファンって気味悪いと思ったが、これが原因だったのか
巨人ファンって気味悪いと思ったが、これが原因だったのか
738 :名無しさん@4周年:03/08/13 08:58 ID:m2LkTAy+
はじめてPC買って、
はじめて今日ネットに繋ごうっていう
初心者には禿しく、辛いウイルスな悪寒・・・
はじめて今日ネットに繋ごうっていう
初心者には禿しく、辛いウイルスな悪寒・・・
739 :730:03/08/13 08:58 ID:UyhdlZBO
前川さんて何大臣?
741 :名無しさん@4周年:03/08/13 08:59 ID:j1da8kJJ
ホットフィックス-KB823980が入ってりゃいいんだろ?
742 :名無しさん@4周年:03/08/13 09:00 ID:BrOkTI/7
743 :名無しさん@4周年:03/08/13 09:01 ID:0Pt06zlj
すげえな・・・
メールとか拾い物を見たり開いたりして能動的に感染するんじゃなくて、
何もしていなくても勝手に感染するんだから・・・
メールとか拾い物を見たり開いたりして能動的に感染するんじゃなくて、
何もしていなくても勝手に感染するんだから・・・
744 :名無しさん@4周年:03/08/13 09:03 ID:QDmLDWIf
電源入れてない電話線繋いでなければ
かんせんしないよw
かんせんしないよw
745 :名無しさん@4周年:03/08/13 09:04 ID:9GllN98r
韓国のネットを麻痺させるくらいのウイルスだと思って期待したけど残念だったな
746 :名無しさん@4周年:03/08/13 09:05 ID:0Pt06zlj
748 :740:03/08/13 09:08 ID:A5353tWA
前川大臣と川相選手に心からお詫びいたします
749 :名無しさん@4周年:03/08/13 09:09 ID:0Pt06zlj
お盆休みで、よーしパパインターネットしちゃうぞーって人も多いだろうに・・・
ここ4日間くらいパソコンの起動がおかしいのはこのせいだったのか?
>>745
8月16日になってみないと分かんないよ。
8月16日になってみないと分かんないよ。
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A&VSect=S
地域別コンピュータ感染数 (2003/08/12より)
Asia 694
North America 632
Europe 503
Australia and New Zealand 79
South America 50
Africa 5
(unknown) 6
合 計 1,969
国別コンピュータ感染数
United States 490
Korea, Republic of 315
France 289
Japan 167
Canada 132
Taiwan 98
American Samoa 58
United Kingdom 48
Hong Kong 42
China 38
感染率
Australia and New Zealand 4.2%
Asia 3.9%
Europe 3.3%
North America 2.5%
Africa 2.4%
South America 2.1%
地域別コンピュータ感染数 (2003/08/12より)
Asia 694
North America 632
Europe 503
Australia and New Zealand 79
South America 50
Africa 5
(unknown) 6
合 計 1,969
国別コンピュータ感染数
United States 490
Korea, Republic of 315
France 289
Japan 167
Canada 132
Taiwan 98
American Samoa 58
United Kingdom 48
Hong Kong 42
China 38
感染率
Australia and New Zealand 4.2%
Asia 3.9%
Europe 3.3%
North America 2.5%
Africa 2.4%
South America 2.1%
>>730
セーフモードから起動して、winblast.exeを削除しろ。
セーフモードから起動して、winblast.exeを削除しろ。
754 :名無しさん@4周年:03/08/13 09:10 ID:m2LkTAy+
>747
この時期に買ったばかりに、
「やっぱし私には無理・・・・」と諦めてしまう人多そう・・・
この時期に買ったばかりに、
「やっぱし私には無理・・・・」と諦めてしまう人多そう・・・
755 :名無しさん@4周年:03/08/13 09:10 ID:r/MyRLxS
NT4.0のWorkstationは大丈夫なんでしょうか?
修正パッチもリリースされていないし。
どうなんでしょう?
修正パッチもリリースされていないし。
どうなんでしょう?
756 :名無しさん@4周年:03/08/13 09:11 ID:j1da8kJJ
この時期に売ってるPCのOSはアップデートされてないのなの?
どうやって感染するタイプなの?メール? それともサイトを見たときに感染するとか?
漏れのOSはWIN2000だけど
>>757
>743
>743
>>757
直接来ます
直接来ます
ゴガギーン
ドッカン
m ドッカン
=====) )) ☆
∧_∧ | | / / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
( )| |_____ ∧_∧ < おらっ!開けんか。
「 ⌒ ̄ | | || (´Д` ) \___________
| /  ̄ | |/ 「 \
| | | | || || /\\
| | | | | へ//| | | |
| | | ロ|ロ |/,へ \| | | |
| ∧ | | | |/ \ / ( )
| | | |〈 | | | |
/ / / / | / | 〈| | |
/ / / / | Port135 || | |
ドッカン
m ドッカン
=====) )) ☆
∧_∧ | | / / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
( )| |_____ ∧_∧ < おらっ!開けんか。
「 ⌒ ̄ | | || (´Д` ) \___________
| /  ̄ | |/ 「 \
| | | | || || /\\
| | | | | へ//| | | |
| | | ロ|ロ |/,へ \| | | |
| ∧ | | | |/ \ / ( )
| | | |〈 | | | |
/ / / / | / | 〈| | |
/ / / / | Port135 || | |
763 :オヤジ:03/08/13 09:17 ID:8LNgHDe4
だいたい、個人が使うパソコンなのに、
デフォルトでRPCのサーバー側プロセスが動き、
しかもそれを止めることが
できないっつう仕様がしようもないんだよ、MS。
デフォルトでRPCのサーバー側プロセスが動き、
しかもそれを止めることが
できないっつう仕様がしようもないんだよ、MS。
で、あこのワームの駆除の方法はどうやってするの?
>>764
▼まだ対策を取れていない方
▼再起動がうるさくて作業がとれないかた
▼駆除ツールの存在が知らない方
(画像つき解説あるので参考にしてください)
http://nara.cool.ne.jp/tekitonw
▼まだ対策を取れていない方
▼再起動がうるさくて作業がとれないかた
▼駆除ツールの存在が知らない方
(画像つき解説あるので参考にしてください)
http://nara.cool.ne.jp/tekitonw
766 :名無しさん@4周年:03/08/13 09:20 ID:PWo70pOM
昨日画面の右下に、某ウイルスソフトの警告(やばいから、早くアップデート汁!!)
って、出てたのはこれだったのか?
過去読んで、なんとなくだが理解できた。
サンクス>>ALL
って、出てたのはこれだったのか?
過去読んで、なんとなくだが理解できた。
サンクス>>ALL
くそー、家のルーター、ログみれないから祭りに参加できん。
今、OCN大阪北がアク禁喰らってるから、
これはシグマリオン3+AirH”で書き込んでいるわけだが、
H"をPCで使うと……おもしろいことになりそうな予感(゚∀゚)
……やっぱやめとこう。
今、OCN大阪北がアク禁喰らってるから、
これはシグマリオン3+AirH”で書き込んでいるわけだが、
H"をPCで使うと……おもしろいことになりそうな予感(゚∀゚)
……やっぱやめとこう。
768 :名無しさん@4周年:03/08/13 09:20 ID:BtLWmwxq
めんどくさいから2000-6999まで全部閉じたけど、大丈夫かな?
769 :名無しさん@4周年:03/08/13 09:21 ID:X9djZ7Od
どーせ俺の98タソには関係ねーんだろ?はいはい
−−−−−−−−−− 終了 −−−−−−−−−−−
−−−−−−−−−− 終了 −−−−−−−−−−−
770 :つーか:03/08/13 09:21 ID:28cSx69N
ネットとかあんまやんなくて、パソコンの知識が少ない人は
こういうとこに書き込むことさえできずにパニくってんだろうなあ、、。
おじいちゃん、おばあちゃんとか、、。
こういうとこに書き込むことさえできずにパニくってんだろうなあ、、。
おじいちゃん、おばあちゃんとか、、。
771 :名無しさん@4周年:03/08/13 09:21 ID:0Pt06zlj
こんなことがあってもマイクロソフトは侘びのひとつも出さないんだからなあ・・・
とりあえず、大混乱してた俺ですが
2chのお陰で、再起動しないようには出来ました。
で、これからどうすれば?
2chのお陰で、再起動しないようには出来ました。
で、これからどうすれば?
773 :名無しさん@4周年:03/08/13 09:23 ID:j1da8kJJ
ttp://www.microsoft.com/japan/technet/treeview/default.asp?url=/
japan/technet/security/virus/blaster.asp
ここでいいんだろ?
japan/technet/security/virus/blaster.asp
ここでいいんだろ?
linuxに逝こうか・・・
M$くたばれ
M$くたばれ
775 :名無しさん@4周年:03/08/13 09:24 ID:SfAWZgaf
FWソフトかルータ持ってないと任意のポートを閉じられないでつか?
778 :名無しさん@4周年:03/08/13 09:25 ID:0Pt06zlj
779 :名無しさん@4周年:03/08/13 09:27 ID:wWFEyAmP
>>774
68Kマック最強!
68Kマック最強!
780 :名無しさん@4周年:03/08/13 09:29 ID:A5353tWA
なんで16日?
この823980って奴をインスコすればいいんですよね?
782 :名無しさん@4周年:03/08/13 09:30 ID:0XhX4s/G
田舎のじっちゃん
この前XPのノートを買ったばかりなんだけど、大丈夫かな
この前XPのノートを買ったばかりなんだけど、大丈夫かな
update.infの整合性を確認できませんでした。
暗号化サービスがこのコンピュータで実行されている事を確認してください。
とか823980をインスコしようとしたら出てきました。
全く意味が分かりません。
誰か分かる人居ませんか。
暗号化サービスがこのコンピュータで実行されている事を確認してください。
とか823980をインスコしようとしたら出てきました。
全く意味が分かりません。
誰か分かる人居ませんか。
TCP/UDP 539
も包帯巻いたほうがいいらしいよ。
も包帯巻いたほうがいいらしいよ。
785 :名無しさん@4周年:03/08/13 09:32 ID:NV+eb+1p
ルータ使ってFW入れてあれば大丈夫?
朝おきてみたらつつかれる回数が増えてる
一時間に200回くらい137と138がつつかれてる
一時間に200回くらい137と138がつつかれてる
実家から電話かかってきて
実家のPCも逝ったそうだ
修理するために強制帰国決定・・・
実家のPCも逝ったそうだ
修理するために強制帰国決定・・・
788 :名無しさん@4周年:03/08/13 09:34 ID:3CENCY/J
某DI●N以外に繋ぎ変えたら
激減した
激減した
789 :名無しさん@4周年:03/08/13 09:35 ID:ip0tVMGc
なんか変なの入って来ると思ったらコレか・・・
790 :超長門級戦艦(天皇陛下万歳!):03/08/13 09:35 ID:9zPUY/5y
逝けーいとしあきよ!!
逝って萬々様を連れてくるのじゃー!!!
村の運命は貴様にかかっておるのじゃー!!!
4609とかもそうなの?
793 :オヤジ:03/08/13 09:37 ID:rYpdJk1m
許せんのは、このワームが使ってるセキュリティーホールの実証DoSコード書いて
(このワーム書いたヤシとは別人かもしれんが)、ネットでばらまいたのが、
中国人ってことやね。
しかも、数年前に、日本にサイバーテロを宣戦布告し、日本企業のHPに南京虐殺
と称する画像をはりつけたのとおなじヤシ。
(このワーム書いたヤシとは別人かもしれんが)、ネットでばらまいたのが、
中国人ってことやね。
しかも、数年前に、日本にサイバーテロを宣戦布告し、日本企業のHPに南京虐殺
と称する画像をはりつけたのとおなじヤシ。
794 :名無しさん@4周年:03/08/13 09:37 ID:i7PC3iQ3
昨日、一般の家庭に購入いただいたパソコンを配達に行き、OCNの加入CD-ROM
で、プロパ申し込みしている最中にRPCが出た。ものすごびっくりした。
アナログ回線でも感染するの?しかも箱から出して1時間もたってないのに
感染なんてアリ?
で、プロパ申し込みしている最中にRPCが出た。ものすごびっくりした。
アナログ回線でも感染するの?しかも箱から出して1時間もたってないのに
感染なんてアリ?
>>794
南無('A`)
南無('A`)
>>791
そうなんですか。でも、肝心のupdateが不調なんです。
なんか接続しても、ActiveXの設定ではこのページは正常に動作しませんとか出て…
IEの設定はちゃんとしてるはずなんですけど…
はぁ、困った…。
ま、再起動はしなくなったからいいか…。
このウイルスって放置してたらなんか問題あるんですか?
そうなんですか。でも、肝心のupdateが不調なんです。
なんか接続しても、ActiveXの設定ではこのページは正常に動作しませんとか出て…
IEの設定はちゃんとしてるはずなんですけど…
はぁ、困った…。
ま、再起動はしなくなったからいいか…。
このウイルスって放置してたらなんか問題あるんですか?
漏れのPCはいまのとこ感染してないみたい・・・
でもいつ来るのかと(((( ;゚Д゚)))ガクガクブルブルですわ
でもいつ来るのかと(((( ;゚Д゚)))ガクガクブルブルですわ
799 :超長門級戦艦(天皇陛下万歳!):03/08/13 09:42 ID:9zPUY/5y
漏れはルータで弾けてるが、うちの親父のパソコンは・・・
800 :名無しさん@4周年:03/08/13 09:46 ID:Wp8L9WS2
/||ミ
/ ::::||
/:::::::::::||_____
|:::::::::::::::|| ||
|:::::::::::::::|| ||
|:::::::::::::::|| ワーム
|:::::::::::::::|| ||
|:::::::::::::::|| _ ノ) ||
|:::::::::::::::||oγ~ \||
|:::::::::::::::||/ 从从) )
|:::::::::::::::||| | l l |〃 / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
|:::::::::::::::|| ハ~ ワノ)|| < ほえー ポート開いているよ〜
|:::::::::::::::||/)\><|つ| \_____________
|:::::::::::::::||/ 8/ ||
|:::::::::::::::||._ヘ_/ ..||
\:::::::::::|| し' ̄ ̄
\ ::::||
\||