msblast対策スレ【ICMP祭り開催中】3日目！

前スレ
msblast対策スレ【ｶｳﾝﾄﾀﾞｳﾝ後再起動】2日目！
http://pc.2ch.net/test/read.cgi/sec/1060982749/

2

2

>>1
乙

2

1000

乙

誰か国別アドレス範囲一覧を持ってませんか？

[対策の手順]
TechNetセキュリティセンター Blasterに関する情報
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
TechNet Blasterワームへの対策 WindowsXP編
http://www.microsoft.com/japan/technet/security/virus/blasterE_xp.asp
TechNet Blasterワームへの対策 Windows2000編
http://www.microsoft.com/japan/technet/security/virus/blasterE_nt4w2k.asp

トレンドマイクロ エムエスブラスト対策WEB（AVソフトベンダーの方がよくまとまってるぽい？）
http://www.trendmicro.co.jp/msblast/index.asp
ソフォス W32/Blaster-A 駆除方法と FAQ
http://www.sophos.co.jp/support/disinfection/blastera.html

[MS03-26パッチ・駆除ツール]
MS03-026 に関する情報
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026ov.asp
WindowsUpdateにつながらない場合は上記ページのリンクからパッチが入手できます。
シマンテック W32.Blaster.Worm 駆除ツール
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html
トレンドマイクロシステムクリーナ
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

基本は、物理的にネットワークを遮断→DCOMの無効化→ブラスターワームの停止
→MS03-26パッチの適用→ブラスターワームの駆除の順番で行ってください。
万全を期するならば、パッチ・駆除ツールの入手は感染していないPCで行い、
それらの実行を物理的にネットワークから遮断された状態か、セーフモードで行ってください。
パッチを適用後もFWなどによってTCP 135、 TCP 4444、 UDP 69ポートをブロックすることが
肝要だと考えられます。

今回感染されてしまった方は、WindowsUpdateやセキュリティ情報の定期的な確認
および、早急にアンチウィルスソフト・ルータ・FWの導入を絶対に行うようにして下さい。

>>1
ｵﾂｶﾚﾁｬｰｿ

192.168.0.255から135とか137の接続がくるんですがなんなんでしょうか？
該当するIPはLAN内にありませんしルータのLAN側IPは192.168.0.1です。

>>1
　ノﾉﾊヽ＼
　||σ_σ|||　ｵﾂｶﾚｰｼｮﾝ
⊂二、　　＼ ﾌﾟﾘｯ　
　　　 ヽ　 ） ）　　
　　　　/ / /　
　　　(__ﾉ_丿

怒涛のＩＣＭＰ祭りの開催を宣言しまつ！

なんだよこれ。Port80を無駄に叩いてくる
211.160.9.130 - - [18/Aug/2003:12:59:46 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.13.44.165 - - [18/Aug/2003:13:04:16 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.4.223.244 - - [18/Aug/2003:13:10:58 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.174.136.184 - - [18/Aug/2003:13:20:15 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.144.119.191 - - [18/Aug/2003:13:24:06 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.29.255.228 - - [18/Aug/2003:13:31:54 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.95.64.37 - - [18/Aug/2003:13:32:32 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
211.234.112.229 - - [18/Aug/2003:13:33:50 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.6.41.90 - - [18/Aug/2003:13:36:00 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.95.79.243 - - [18/Aug/2003:13:41:57 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

218.109.51.27 - - [18/Aug/2003:13:48:27 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.29.230.55 - - [18/Aug/2003:13:53:02 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.88.176.149 - - [18/Aug/2003:13:56:39 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.166.163.26 - - [18/Aug/2003:13:57:22 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.242.120.222 - - [18/Aug/2003:14:09:10 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.178.18.62 - - [18/Aug/2003:14:31:10 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.88.13.62 - - [18/Aug/2003:14:31:13 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.19.5.42 - - [18/Aug/2003:14:33:02 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.109.17.112 - - [18/Aug/2003:14:36:20 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.72.89.106 - - [18/Aug/2003:14:40:51 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

211.235.16.222 - - [18/Aug/2003:15:04:14 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.5.148.214 - - [18/Aug/2003:15:04:30 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.79.170.90 - - [18/Aug/2003:15:12:01 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.155.172.68 - - [18/Aug/2003:15:15:59 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.72.103.200 - - [18/Aug/2003:15:17:54 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.145.25.110 - - [18/Aug/2003:15:18:18 +0900] "GET / HTTP/1.0" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.55.212.232 - - [18/Aug/2003:15:32:47 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.174.157.52 - - [18/Aug/2003:15:37:12 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.15.106.171 - - [18/Aug/2003:15:39:31 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.18.193.7 - - [18/Aug/2003:15:48:43 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

61.177.236.206 - - [18/Aug/2003:15:52:16 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.145.25.46 - - [18/Aug/2003:15:57:25 +0900] "GET / HTTP/1.0" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.110.204.220 - - [18/Aug/2003:15:58:52 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.154.45.236 - - [18/Aug/2003:16:00:17 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.248.160.170 - - [18/Aug/2003:16:02:22 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.65.189.60 - - [18/Aug/2003:16:02:36 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
211.95.164.20 - - [18/Aug/2003:16:03:02 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.242.117.175 - - [18/Aug/2003:16:03:13 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
211.243.27.87 - - [18/Aug/2003:16:15:09 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.169.106.195 - - [18/Aug/2003:16:19:27 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

218.72.10.114 - - [18/Aug/2003:16:24:23 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.1.188.199 - - [18/Aug/2003:16:28:20 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.0.135.43 - - [18/Aug/2003:16:28:41 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
211.61.133.33 - - [18/Aug/2003:16:29:47 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.74.169.49 - - [18/Aug/2003:16:32:53 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.53.146.69 - - [18/Aug/2003:16:39:51 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.79.146.170 - - [18/Aug/2003:16:42:18 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.79.50.48 - - [18/Aug/2003:16:53:04 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
210.22.24.65 - - [18/Aug/2003:16:55:51 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
219.137.63.121 - - [18/Aug/2003:17:02:05 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

以下大量（約1MB)

閉じたほうがいいポートをまとめてくれ

>>14-18
くだらないログで荒らすな！！

>>14-18
無駄に大量に貼り付けてるやつがいるな

>>19
今は
port135 を直接叩いてくるもの
ICMPを送信してくるもの
port 80 を叩いてくるもの
が主だったものみたいだけど。

>>19
>>9をよくみれ

感染源に対し、net sendでウザいとでも伝えようかね(ﾜﾗ
相手はＮＴ系だから有効なはずだ。メッセンジャーサービス切ってなければ。

>>23
みたのだが少ない気がして

祭り太鼓がﾄﾞﾝﾄﾞｺﾄﾞﾝﾄﾞｺ叩いてくるねぇ

>>24
ルータを挟んでなければ、ね。

俺ICMPを打ちまくるやつに感染してるんだろうか…
早く情報出てくれ〜･ﾟ･(ﾉД`)･ﾟ･

情報は出てるから理解しなさい

>>27
ルータ挟んでればまず食らわないよ。
はう、こっちがルータかましてると届かないのか？

依然として韓、中国が多い
HZCNCNETってなんだ？
これも中国？

ポートの確実な閉じ方を是非とも教えてくだされ

　　　　　　　　　　　　　　　 ＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿
　　　　　ﾃﾞｹﾃﾞｹ　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　　　 |
　　　　　　　　ﾄﾞｺﾄﾞｺ　　 ＜pingpingpingpingpingpingpingpingpingping
　　　☆　　　　　　ﾄﾞﾑﾄﾞﾑ　|＿　 ＿　 ＿　＿　＿　＿　＿　＿　＿　＿|
　　　　　　　 ☆　　　ﾀﾞﾀﾞﾀﾞﾀﾞ! ∨　 ∨　∨　∨　∨　∨　∨　∨　∨
　　ﾄﾞｼｬｰﾝ!　　ヽ　　　　　　　　　ｵﾗｵﾗｯ!!　　　 ♪
　　　　　　　　　＝≡＝　∧＿∧　　　　　☆
　　　　　　♪ 　　／　〃（･∀･ #）　　　　/　ｼｬﾝｼｬﾝ
　　　　♪　　　〆 　┌＼と＼と.ヾ∈≡∋ゞ
　　　　　　　　　|| 　γ ⌒ヽヽコ ノ　　||
　　　　　　　　　||　ΣΣ 　.|:::|∪〓 　||　　　♪
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼

ポート閉じるのに確実も不確実もないような気が・・・・

>>32
PCを窓から（ry

FWのログを見て、びっくりしたので来ました。
情報くれや雑魚ども。

>>32
回線切れ

>>11って別のウィルスですか？

↓　ドコドコうるせーんだよのＡＡ

だれかblaster解析したやつっていない？

ちなみに俺はスキルなし。ついでに根性なしで、ろくでなし。

>>34
ｸｿMSのOS付属ファイアーウォールの方法だと閉じられてなかったので。
ポートスキャンさせたら開いていました。
ネットの情報をうまく拾えないので直接閉じる方法がわかりません

　　　　　　　　　　　　　　　 ＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿
　　　　　ﾃﾞｹﾃﾞｹ　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　　　 |
　　　　　　　　ﾄﾞｺﾄﾞｺ　　 ＜pingpingpingpingpingpingpingpingpingping
　　　☆　　　　　　ﾄﾞﾑﾄﾞﾑ　|＿　 ＿　 ＿　＿　＿　＿　＿　＿　＿　＿|
　　　　　　　 ☆　　　ﾀﾞﾀﾞﾀﾞﾀﾞ! ∨　 ∨　∨　∨　∨　∨　∨　∨　∨
　　ﾄﾞｼｬｰﾝ!　　ヽ　　　　　　　　　ｵﾗｵﾗｯ!!　　　 ♪
　　　　　　　　　＝≡＝　∧＿∧　　　　　☆
　　　　　　♪ 　　／　〃（･∀･ #）　　　　/　ｼｬﾝｼｬﾝ
　　　　♪　　　〆 　┌＼と＼と.ヾ∈≡∋ゞ
　　　　　　　　　|| 　γ ⌒ヽヽコ ノ　　||
　　　　　　　　　||　ΣΣ 　.|:::|∪〓 　||　　　♪
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼

*.hrって国からICMPｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!
何県だろ？これ

>>41
ファイアーウォールソフト 総合スレッド Part4
http://pc.2ch.net/test/read.cgi/sec/1041820367/

↓　ドコドコうるせーんだよのＡＡ

>>30
そうだった。ｽﾏｿ!

>>45
ああ、ひでぇ。

>>36
>>9

１分間に１０回ぐらいport135を叩かれてるぞｺﾞﾙｧ

漏れもさっき大量に ICMP が投げられてくるのに気付いてなんか情報ないか
探そうと思てこの板に来たんだが、MSBlast だったのか。

まぁ rooter で port69/udp,135-139/tcp その他は塞いである上に local
側に Windows は置いてないし、ついでに外からくる ICMP には返事させな
いようにしてあるからどうでもいいっちゃいいんだが。

それにしてもうっとうしい話だ。

　　　　　　I　C　M　P　っ　て　何　で　す　か　？



・・・ねぇ・・。

オレ　ぷららとエキサイト入ってるけど
ぷららだと　135と137が少々　ICMP多数
エキサイトだと　135多数　137少々　ICMPなし
って感じです。

>>43
クロアチアですね。

TCP/IPプロパティ
↓
詳細設定
↓
TCP/IPフィルタリングを有効
↓
一部許可する
↓
必要なポートを登録
↓
これならママもOKさっ！（ ･∀･）

同じISPからばかり来るのが不思議とか言ってるやつはまずこれを嫁。
ttp://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html

3.IPアドレスを生成し、そのアドレスのコンピュータに感染を試みます。
　IPアドレスは次のアルゴリズムに基づいて生成されます。
・40%の確率で、 A.B.C.0の形式のIPアドレスが生成されます。A.B.は、感染元と
　なるコンピュータのIPアドレスの先頭2つの値と同じです。

　Cは、感染元となるシステムのIPアドレスの3番目の値に基づいて計算されます。
　ワームは、40%の確率でCの値が20よりも大きいかどうかを確認します。20より大
　きい場合は、Cの値から20未満のランダムな値を差し引いた値を使用します。
　IPアドレスの計算が終わると、ワームは算出されたIPアドレス(A.B.C.0)に
　該当するコンピュータを探して感染しようとします。
　その後、上記で計算したIPアドレスの0の部分に1を加え、そのアドレスに
　該当する他のコンピュータを探して攻撃しようとします。この操作をIPアドレス
　の0の部分が254に達するまで繰り返し行います。

・60%の確率で、完全にランダムなIPアドレスを使用します。

>>51
オレもぷららだ
同じく135と137が少々　ICMP多数

>>54
それは知ってるけど、なぜpingなの？

>>53
ありがとうございます。
それ以外に、直接閉じる方法ってないんですかね？

Blasterは40％の確率で自分に近いネットワークに、
60％の確率で全くランダムに接続先IPアドレスを作り出して、
そこにアクセスを試みるらしい

>56
何らかの感染ルート探しじゃないの？

>>56
そんなもん、俺が知るか。

ccTLD はここで確認汁。
http://www.iana.org/cctld/cctld-whois.htm

漏の所はイタリア、ポーランド、オーストラリア他から来て
訳が解らん。世界中から ping で突つかれてる。

国際派だな

日本代表に選抜されたヤツがいるな

前スレの>>997

ｶﾞｯ(AAry

俺もpingの意味がわからん
port135に直接送ってくるならわかるが
別にping打たれたって、それでセキュリティレベルが
分かるわけでもない

意図が全然わからんから怖すぎる

>>59
新種・・・という可能性ありですか・・・。
というか、ブラスター発見当初のTCP135へのスキャンよりも
はるかに激しいんですよね。

>>60
そりゃそうですね。

世界的にpingのあらして・・新種ワーム？世界規模で落ちたらおもろいんだけどなぁ。
でもおもしろさを共有できないからダメだな

中国からのご訪問も多いな

ワールドワイド

こんなことならインターネットに接続しているマシンも生態系といっしょで
いろいろなOSがあったほうがいいと思ってしまった今日この頃…

えーと、つまり、
ping打って返事を待つ→返事があった香具師の135が空いているか確かめる
→空いていたらブラスターぶちこむ→感染

ってのがこれの狙いですか？

今こそBeOS

　 （　・∀・）　　　|　|　ｶﾞｯ
　と　　　　）　 　 |　|
　　 Ｙ　/ノ　　　 人
　　　 /　）　 　 < 　>__Λ∩
　 ＿/し'　／／. Ｖ｀Д´）/
　（＿フ彡　　　　　 　　/ 　←漏れ

>>65
tcpコネクションのタイムアウト値とICMPのタイムアウト値を調べてみろ。
おまえがたとえ馬鹿だろうが猿だろうが、効率のいい攻撃方法がわかるから。

>>51
単純に加入者数が反映されるだけじゃねーの？
エキサイトの人って少ないんだろ？

全世界の感染PCがもし一斉にping打ちまくったとしたらどうなるんだろう？
その程度じゃネットワークなんてなんとも無いんだろうか。

>>56
pingを打つ→応答が返ってくる→そのアドレスにコンピュータが存在する
コンピュータが存在するアドレスに１３５攻撃を仕掛ける(ﾟДﾟ )ｳﾏｰ

同じセキュリティホールを使ってワームをやっつけにいくワームが現れたりして。

pingってBlaster亜種の仕業？
本種じゃこんな事なかったのに

>>71
そういう予想を立ててる人も居るね。

port69/udp開いてたら、TFTP使えるんだよね。

>>66
こんな説がある。

783 名前：名無しさん＠お腹いっぱい。 投稿日：03/08/18 17:50
いまのところ２ちゃんで確認されてるブラスターの挙動としては

１、普通にTCP１３５にアタックしてくる
２、最初にping（ICMP）を打って反応があったPCにTCP１３５のアタックをかける
　（pingが拒絶された場合は１３５アタックはしない）

の２つのパターンになりますかね。

インターネットやってて、こんなにアクセス来たのは初めて。

>>70
日本も確か日本製OSがあって、
しかしながらアメちゃんに潰された


っちゅーのをどこかで聞いた。

ものすごい勢いでPing打たれてます。

僕の肛門に・・。

いきなりtcpでコネクション張りに行くのは時間のロスが非常に大きいということやね。
だから最初にicmpで存在を確認しておく。

ていうか、ISPはなにやってんの？
まさかこれに気づいてないとか言うんじゃないよな？

>>85
Pong!とやり返してあげな。

よーしパパMZ-80Bでインターネットしちゃうぞー

>>85
８月上旬にアナルセックスしたんだけど
気持ちよく無かったよ。
中身が出る感%8**。

>>87
流石に気づいてるでしょ（w

●　 ξﾐヽ(･∀･)ﾉξ　　　(´⌒(´

土器土器惑惑な自分がここにいる

>85
やらないか

ICMPじゃなくて裸のねーちゃんがどんどこやって来るなら大歓迎なんだけどな

つうかこれがもしブラスターの亜種だとしたら
セカンドはファーストよりも礼儀正しいってことになるなｗ
いきなり土足で踏み込んでくるファーストとは育ちが違うようだ。

>>84
トロンOSのこと？
今は携帯で頑張ってるね。

セカンドインパクトだったのか・・・

>>97
ぴゅう太のこと

>>98
そのうち日本発のサードインパクトが起こるでしょう。

>>97
それです！思い出した！ありがとうです。

そしてサードインパクトで世界は滅びる…

誰かFW切ってPCにどのような影響があるか確かめてくれ

エヴァヲタがいるなｗ

>>103
任せたぞ

今日の山場は会社の始業時だったんだが意外な形で祭りになっているな

WIN98も感染するの？

>>102
俺と美女で処女の乙女のみが生き残るけどな。

>>103
切ったけどノートン先生が守ってくれてる罠

>>103
漢！男の中の男！

ステルスモード一回解除してみようかな
そしたら135アッタクされまくりかな

俺かよ！？

ICMPが来る頻度はどう? 漏れの所は昼過ぎから
たいして変わってないんだけど。

>>113
一旦収束しかけたように見えたけど、
夕方からまた鰻上り。

つーかFW切ったらpingの後に何されてもわからないしな

TCP/135 ならISPが対策で閉じちゃうこともできるけど…
うざー実害はないけど

ネット全体が重くない？
今日は何処のページを開くのにも時間がかかってしまう。

誰かルーターの設定許容にした上で
ノートン等をアンインストールしてPCにどのような影響があるか確かめてくれ

おまえら実はMだろ？

>113
うちは結構ばらばら。
１分間に５〜６回くるかと思うと、１回程度だったり。
ドサクサ紛れにポート137叩きにきやがる。

４０分間で124回攻撃
ｷﾀ━━━━(ﾟ∀ﾟ)━━━━ !!

コレ、激しい方なのかな？
http://cgi.2chan.net/up2/src/f23187.jpg

>>115
Blastが狙うとされてるﾎﾟﾄも一応監視してます。

一時間半で100発超えた

>>121
うちもそんなもん
一分間に4〜3回

FWの設定を変えて内向きのpingだけ許可してみたら、TCP135へのスキャンが急に増えた。
やっぱ、新種のブラスターかもね。

>>122
みんなそんなもん

10分で30発ってとこだな

>>126
pingの発信元と135スキャンのアクセス元は同一？

>>103
これからやってみるよ。
PC数台あるから、どれかを実験台にしてみる。

>>119
subMarineだよもん。pingは漏れのアクチブソナーなのです。

>>130
ウホッ、いい男

>>129
う〜ん。それはわからない。
ブロックしたものしかログを取らない仕様なもので。
でも、再度ブロックする設定にしたらTCP135へのスキャンがぴたりと止んだ。

うお！ブラスターの感染台数は30万台〜100万台超えたってさ。

ttp://www.zdnet.co.jp/enterprise/0308/18/epn16.html

毎分5〜6回。 今さっきルータの設定を

「 インターネット側からのpingに応答する 」

に変えてみたYO!

あら、10回/分だよ・・

うーむ。TCP135へのスキャンが全く無くなった。

うちも複数台ＰＣあるがＰＣにＦＷ入れてないもんだから
１台を実験台にしたら全部感染する罠（藁
実験できんわ・・・

これがブラスターの亜種だとして
この亜種でブラスターに感染してしまうような香具師ってどうよ？

ほんとだ
ICMP許可した途端に、135をつついてきた

でも許可しちゃったのでping打った奴のせいなのか
確かめられない・・・鬱

>>129
>>126じゃないけど、ウチの場合はほぼ１００％一緒。

それから今日のログみててきがついたんだけど、
同じIPアドレスからほぼ3時間おきに、もすくは2時間おきに
ICMPが1回ずつ飛んできてる。
同じような人いる？

本種作者がブラスターをバージョンアップさせたんじゃないか？

>>139
ネットが危険なものだという危機意識の全く無い初心者だと思います。

シュラク隊のガンブラスターは飛びすぎる

>>142
W32.Blaster.Worm Ver.2.1くらい？（w

>>139
まだMS03-026パッチ当ててない奴ってことかしら？
詳しいことはこのスレの漢が身をもって試してくれるはず。

>>135
うちは逆にしてみた。
「ＷＡＮ側からのpingを受け付けない」に。
…変わらないなぁ。

直後の1分間で135へのアタックが6回きたYO!
これまでの135アタックは単発（一回失敗すれば終わり）だったけど、
今度のは何度も繰り返し侵入を試みてるYO!

前の135アタックと明らかに振る舞いが違う今度の135アタックは新型だNE!

(つД`)ちょっと前にLanでノートとやり取りしてたから１・２分ほど
うっかりpfwをallow　allのまま繋げちまった･･・
ログを見ると確かにpingに返事を返した後に135につないできてるみたい

>>149
危なかったね・・・。

>>122
そんなに凄いんだ。
ルータのログ見てもあまりないんだよね。

ネットに繋いだとたんに3分も経たずにping100発超えたよ。
あーなんて言うかこいつの肛門が羨ましい↓

>>146
漏れ、まだパッチ当ててない…

このスレで135取ったおいらは紙だNE!

大陸間弾道弾がめっちゃきてるな

下半身裸でハッテン場を散歩してるやつがいるな

全然

>>156
それ俺のじいちゃん

ミューテックス見て感染してるかどうか調べて
古い奴なら新しいワームに切り替えてるなこれ

>>159
プロセス殺して、置換えやってんの？ワームの。

微妙に通信速度が落ちた気がする

うむ。何度試しても同じパターンだ。
内向きpingを許可 → TCP135へのスキャンが急増
内向きpingをブロック → TCP135へのスキャンが止む

やっぱ、W32.Blaster.Worm Ver.2.1か？

よく見ると、新型は3回アクセスに失敗すると侵入を諦めるようだね。

旧型 … いきなり135ポートにtcpコネクションを張り、一回失敗すると次の獲物を探す
新型 … まずpingでアライブを確認、次にtcpコネクションを張りに行き三回失敗すると次の獲物を探す

こんな感じか。

やっぱ祭りはこうじゃなくちゃな！

pingｷﾀ─wwﾍ√ﾚvv~(ﾟ∀ﾟ)─wwﾍ√ﾚvv~─ !!!
http://sakots.pekori.jp/imgboard/imgs/img20030818211301.png

pingってのはトイレの個室をノックして歩いてるようなもの
ノックして中から返事が返ってきたら、次はドア開けて入ってこようとする
対策はドアにちゃんと鍵をかけるか、レイプされても妊娠しないようにピルのんどく
ただ、いくら鍵をかけてもドアのノックは停められない

近いアドレスからが多いですね

>>166
ピル飲んで鍵もかけてます。

>>166
なんつうえげつない例えだと思ったが、
禿同だ。

>>166
鍵掛け過ぎて二度と出られなくなりますた

>>166
ドアをたたけなくしちゃってる（ステルス化）人は多いと思われ。

トイレでレイプは汚いのでしません

この娘完全に騙されてますね。撮影者は業界人を装ってます。
そんな男に生理中にもかかわらずぶち込まれちゃいます。
カワイイ顔して大きなオッパイしてやるときはやります。
アップが多いので血のついたチンポの出し入れがモロ見えです。
素人援交女がいっぱい！！
無料ムービーを観てちょ。
http://www.geisyagirl.com/

>>166
鍵掛けたけど、その鍵失くしますた。

>>166
うちは男（9x系）なので精子(blast)では妊娠出来ない・・・

ドサクサにまぎれてUDP1434なんかも。なつかしぃ。

ということは、

いきなりポート137を叩きにくる→旧型
とりあえずping打ってみる→新型

ということか？

何か両方が混在してる。

>>45ほら

―――――――――――――‐┬┘　　　　　　　　　　　　　 　＝≡＝
　　　　　　　　　　　 　 　 　 　 　 　 |　　　　　　　　　　　 　＿＿　 〆
　　 　 　 ＿＿＿＿.＿＿＿＿ 　　 | 　　　　　　　　　　　 ───　　＼
　　　　　|　 　 　 　 |　∧＿∧ |　　 | pingpingうっせーんだよｺﾞﾙｧ！　＼＿ ＝二 ∧＿∧
　　　　　|　 　 　 　 |. （#´Д｀）| 　　|　　　　　　　　　　　　　　　　　＿ 　　|ヽ　　＼ （； ･∀･）／
　　　　　|　 　 　 　 |⌒ 　 　 て)　　人　　　　　　　　＿　　―――‐　γ ⌒ヽヽ 　⊂　　　つ　 ∈≡∋
　　　　　|　 　 　 　 |（　　___三ﾜ ＜ 　＞　　―――　　 ―― ―二 　 |　　　|:::| 三ﾉ　ﾉ　ﾉ　 ≡ //
　　　　　|　 　 　 　 |　)　　）　 | 　　∨ 　 　 　 ￣￣￣　―――‐　 　人 ＿ノノ　（_ノ､_ノ　　＿//
　 　 　 　￣￣￣￣'￣￣￣￣　 　 |

>>171
漏れもそのパターンです。ドアは見えません。

結局、今もなおブラスターに感染してる奴が、
同じ仕組みでﾍﾝなのに感染しちゃってるってこと？

よくネットがパンクしないよな

今みたら殆どがicmpの後同じIPからtcp135だったので
icmpをブロックしたら135へのアタックが激減した
この5分間でicmp7回、tcp135が無し
ブロック前の5分間はicmp10回にtcp30回
30回というのはSYNの10x3(retry)だな

>>177
漏れのところはいきなりTCP135を叩いてくる奴は全くなくなりました。

２１００番台〜２２００番台を良く叩かれてる

こいつもブラスタのせい？

俺にはどんなドアも見えるぞ

まさか巧妙に仕組まれてるドロッパーってことは無いわな

>>178
ＡＡｷﾀﾜｧ*･ﾟﾟ･*:.｡..｡.:*･ﾟ(n‘∀‘)ηﾟ･*:.｡..｡.:*･ﾟﾟ･* !!!!!　

ICMP10回につき135一回って感じぃ〜

感染してるmsblastがアップデートされてる？

>>162
家も全く同じだ。

新型に旧型が紛れ込んでるの図ｗ

21:15:35 FIREWALL TCP connection denied from ***.**1.148.17:2827 to 俺のIP:135 (eth1)
21:15:34 FIREWALL TCP connection denied from ***.**2.212.84:2479 to 俺のIP:135 (eth1)
21:15:29 FIREWALL TCP connection denied from ***.**1.148.17:2827 to 俺のIP:135 (eth1)
21:15:28 FIREWALL TCP connection denied from ***.**2.212.84:2479 to 俺のIP:135 (eth1)
21:15:26 FIREWALL TCP connection denied from ***.**1.148.17:2827 to 俺のIP:135 (eth1)
21:15:25 FIREWALL TCP connection denied from ***.**2.212.84:2479 to 俺のIP:135 (eth1)
21:14:55 FIREWALL TCP connection denied from ***.**1.60.124:2358 to 俺のIP:135 (eth1) ←ｺｲﾂ
21:14:31 FIREWALL TCP connection denied from ***.**1.144.42:4581 to 俺のIP:135 (eth1)
21:14:25 FIREWALL TCP connection denied from ***.**1.144.42:4581 to 俺のIP:135 (eth1)
21:14:22 FIREWALL TCP connection denied from ***.**1.144.42:4581 to 俺のIP:135 (eth1)
21:14:20 FIREWALL TCP connection denied from ***.**1.156.135:3909 to 俺のIP:135 (eth1)
21:14:14 FIREWALL TCP connection denied from ***.**1.156.135:3909 to 俺のIP:135 (eth1)
21:14:11 FIREWALL TCP connection denied from ***.**1.156.135:3909 to 俺のIP:135 (eth1)

MSがWindows XPのファイアウオールのデフォルト設定を変更へ
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20030818/1/

XP SP2で対応の見込みってあるけど、SP2って2004年第3四半期に延期でしょ？
長いなぁ・・・。
と言う漏れは2000使い。

ドアを叩けなくする=ステルス ではない

ノックされても居留守するのがステルス
ステルスでいようがいるまいがノックはされてしまう。

>>193 そーだね。

>>192
デフォで解除されるウイルスが作られるな。

俺、全くの厨なんだけど、
>>134のリンク記事に以下の文があるんだよ。

>米Symantecは大規模な侵入検知ネットワークを使って
>感染したPCとサーバのインターネットアドレスを記録している。

この調査のために、ping連射を使ってるって事は無いよね･･･？

>>193
てゆーか、その論だと空きIPもドア持ってることになるね。

そうだな、そこにポートがあるのは明らかだし。
動いてるかどうか、返事をするかどうかは別にして。

>>193
じゃあ訂正。
ピル飲んで鍵かけて居留守使ってます。

気分はナンパされまくってる美人のねーちゃんて感じだ

ちょっと少なくなってきた

>197
んーじゃあ
なんだろ、壁のフリをする？(w

>>200
うちは外人ばっか声かけてくるけどな…

漢なら｢居ませんよぉ〜｣って返事しろ。

>>203
キモチイイマサージイカカデスカー

>>204
unreachable だと返事する？

pingはドアを叩くというより 「 呼びかけて返事を待つ 」 のほうが適切な表現だと思う。

ping打ってくるやつは基本的に同じプロバ相手か、それに近いIPがほとんど。
ポート135/137直打ちしてくるやつは海外のプロバがほとんどという感じ。

なんかためになりつつあり。

pingでログサイズを大きくする気だろうか？

で、これに対して
僕らができることはないの？

>>211
腕立て伏せ

ログの取れないブロードバンドルーター外して、一度ダイレクトでモデムにつないでみるか。
接続ツールいれるのもﾏﾝﾄﾞｸｾなんだが……

ついでにフレッツスクエアとやらで種ガンでも観賞し;y=-( ﾟдﾟ)・∵ﾀｰﾝ

このログ見てもらうとわかるかもしれないけど
http://www.42ch.net/UploaderSmall/source/1061209594.htm

ほとんどがICMPのあとにTCP135叩いてる。

>>211
感染してるタコをぬっころす！

>>210
HDDに100GB単位の空きがある人は大変だな（w

>>212
むしろ腹筋

なんでTCP135なんか空けてるんだろ…

>>216
ログサイズが最大になったらその後どうなるの？

ﾄｰｼﾛの質問で悪いんだが、
FWってナニ？

禿？
ヘナギ？
鱸？

これぐらいしかイメージできんのだけど。

>>211
回線切って寝る

>>214
なるほど・・・。やっぱVer.2.1（ry

UDP 31338って何かあんの？

実験結果。
ファイアウォール切ったけど何も変わらん。
念のためウイルスチェックしたけど、感染してない。

MSのパッチを削除して、また実験してみる。
マゾか・・・。
ちなみに当方XPのSP1ね。

>>211
「びっくりするほどユートピア！びっくりするほどユートピア！」
とハイトーンで連呼しながらベットを昇り降りする

>>220
FireWall = 防火壁

pingを例えるならマンションの方がいいんじゃないのか？
PCは一つのマンションで、１〜65535番までの部屋がある。
pingとはオートロックの玄関のピンポンを押し逃げしていく手法で、
ポートスキャンは連打でマンションのドアを叩いていって反応を見る。みたいなさ。
そんでもって返ってきた返事で「あ、この返事の仕方はキングマンシ○ン特有の・・」とかって分かると・・

違うか・・

まだ亜種情報出ないねー

>>226
それかよ・・・＿|￣|○

ファイヤウォール関連で調べまくってた・・・

>>224
乙！

亜種情報より保守情報出さんかい

おお！やっぱりecho request来てるのか
うちだけではなかったようでなんか安心した

安心すんな土手珍

気になったんだが、ping打ちまくっているほうのマシンっていったいどういう状況になってるんだろう？
旧型？のときみたいに落ちまくったりするものなんだろうか？
それとも自覚症状まったくなしとか？

亜種ゲットしたひといないの？
AVベンダーより先に情報出せよ
2chの意味ねーじゃん

port 0 って、何に使うん？

http://homepage.mac.com/kyouko6/

>>235
そこまでの勇者は居るのだろうか・・・。

>234

ひょっとしたら新型は表面上は何事もないように見せかけてｐｉｎｇ打ちまくりしてる悪寒

>>234
今のところ、これの感染者からの報告が上がってないから
どういう動きをするかは不明でしょ。
亜種ってのも状況証拠からの推測に過ぎないんだし

ルータがマンションと考えた方がいいかも。
ＷＡＮ＝マンションの番地、ＬＡＮアドレス＝部屋番号として。
炎壁機能付きルータなら、入り口に警備員がいて怪しい侵入者をガードしてくれるから各部屋（ルータ内のマシン）まで届かない。
だから、自室（マシン）自体の警備員（ＰＦＷ）は暇もてあましてる。

打ってきた奴にnet sendで何に感染しているか聞いてみたい

シマンテックより早くワームの亜種を見つけてﾄﾞ2chが世界で一番早く駆除ツール作ろうぜ。
俺には死んでもできないけど。この板の住人ならできるんじゃないの？

>>242
はげどう

>>213
やってみれ。祭りに参加しる！

>>242
感染してる香具師はMessengerサービスもデフォで動いてるだろうしね。

直接135や137叩いてくるやつの相手のポート番号を見るとみんな空きポートからってことになってる。
相手の情報（発信元）のIPも捏造されているんだろうか

そうか、今なら135空けて素XPで待機してれば
新種をゲットできるのかー！！


誰かやれ

>>248
運悪く旧型に感染してあぼーん

>>246
が、送っても
カウントダウン→シャットダウン
所持者「マシンの調子わりーなー」のループで気づかないかもという罠（ｗ

ネットワークを監視するようなソフトは何かいいものありませんか？
教えて君で面目ないんですが。

>>247
通信は元々そういうものです。

>>247
？意味がよくわからんぞ。

>>247
送信元のポートは空きポートがランダムに使われる。
特にスプーフィングしてるとは思えないな、ワームの性格上その必要性もないし。

>>241
あーそれいいね。
そして警備員は侵入者を発見したら帰ってもらうと。
そして安い警備員は強行突破されても管理人に知らせずに何事もなかったかのように業務に戻る。と。

IPとポートを混同している人が多いインターネットですね、ここは

http://pc.2ch.net/test/read.cgi/pcnews/1060960406/608

ｷﾀ━━━━(ﾟ∀ﾟ)━━━━ !!??

ひとつのIPは6万5千個のポートを持っているんだよ






…と言ってみるテスト

>>251
どこからどこまでのネットワークを監視するのですか？

>>前レス859...感謝

>>257
DLLHOST.exeなんて動作してないが・・（ｗ

ｷﾀ-(∵)-!?

結局これはHOAXだったのか？
それとも結論を出すのはまだ早い？

841 名前：名無しさん＠お腹いっぱい。 投稿日：03/08/18 18:46
http://pc.2ch.net/test/read.cgi/pcnews/1060960406/543
http://pc.2ch.net/test/read.cgi/pcnews/1060960406/553
http://pc.2ch.net/test/read.cgi/pcnews/1060960406/575

これでＩＣＭＰアタックの原因が新手のblasterだって証拠は集まりますた。
一番下のファイルは通常では存在しないので間違いないと思います。
提供者（感染者）の情報提供に感謝します。



842 名前：名無しさん＠お腹いっぱい。 投稿日：03/08/18 18:49
あっ、一番下は565でした。

パッチ外してウォール停止に逝ってきます。

漏れのPCからDestination Unreachableって
しきりにDNSサーバに打ってるんだけど
これは問題無い？

ところでおまいら、順調にアタック受けてますか？

飽きてきた
新展開希望

大企業のネットワーク管理者とかいない？
とんでもない騒ぎになってるような気がするんだけど。。。

>>266
そのうち新種のワームがどこかの鯖落とすだろうからそれまで待とう

こいつ
http://support.microsoft.com/default.aspx?scid=kb;ja;826369
でechoや135打ってくるのを調べるとほぼ例外なくパッチ当たってない。
１個だけ当たってるのがあったが2000でパッチだけ当てて安心してるのか？

>>265
快調に飛ばし（され？）てまつ（w。

>>266
ここらでシマンテックやトレンドマイクロ、NAI辺りが
「新種ﾊｹｰﾝ!! おまいら対策の用意はいいですか？」
くらい言ってくれると面白いんだけどね。

朝のニュースでネットワークアソシエイツ社がBlaster(Lovsan)の亜種感染を
日本国内で発見したって話してたから、てっきりこいつの事かとおもてたよ

>>269
> １個だけ当たってるのがあったが2000でパッチだけ当てて安心してるのか？

そんな香具師に2000は勿体無いです。

修正プログラムだけ充てて、駆除してない馬鹿多そう

送られてきたアドレスに真似して
PINGしてみた

1ミリ秒間隔で

>>272
それはW32.Blaster.B（WORM_MSBLAST.B）って奴な悪寒。

>>251 こんなのどう？
http://www.oki.com/jp/Home/JIS/New/OKI-News/2002/02/z01118.html

>>275
それを3時間続けよう

>>275
可変ＩＰならシャットダウンして回線が切り替わるんで、余り意味がないかも

W32.Blaster.[A-C]

いろいろ揃ってるね。

>>276
○W32.Blaster.B.Worm
×W32.Blaster.B

>>277
snort 走らせとくってのもありか？

>>267
ここ見てはいないとは思うけど、大企業にかぎらず
どこの管理者も結構大変らしい。
報道で出てるよりも被害受けてる企業は多いと思う。

攻撃パターン青、使徒と確認されますた！

ねえこの板リロードするとHaptime.Genってのに感染しましたって
出るんだけど、これ何？

>>284
ATフィールドは？

http://www.nai.com/japan/security/virL.asp?v=W32/Lovsan.worm.a

2003年8月18日更新情報

＞参考情報：
＞Lovsonウイルスを「特に手間暇かけることもなく気がついたら
＞全自動で防げていた」というお客様の事例です。

NAIの命名がぜーんぜん流行らなかったからって、
自分らで付けた名前間違えんなよ

>>285
((；ﾟДﾟ)ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>285
そんな超有名なvirus知らない奴いたとは・・・

>>287
汝のﾑｽｺを愛せよ。

>>285
ノートン先生の誤検出。

今日やたらPING撃たれてるけどなんでだろ

>>292
もうだめぽ

>>289
有名なんだ。ネット始めたの夏休みからなんで知らなかったよ
>>291
ありがとう。

失礼、ログ読みます・・

漏れは某企業の室部NEだが
自分とこのは初日に全部対応したので
他所のが何やってようがワシは知らん
ってか手の出しようが無い罠

どれくらい来てる？
うちは平均4回/分

>>292
2000回打たれるとPCが火を噴くらしいよ

>>294
ネット始めたばかりでもう２ちゃんねるでセキュリティー板まで来たか
休み明けには((；ﾟДﾟ)ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>297
うちは平均平均2回/分

休み明けには立派なコピペ嵐になってアク禁に

タイプミスだ・・・。駄目だなこりゃ。

なんか少し前からハードになってる・・・
１分間に5〜6発ペース

うちは平均平均10回/分

ていうかなんでニュースサイトで問題になってないんだよ

表面的に気づかないんじゃない？
へたすりゃ火壁のログ見なきゃ気づかんやつもいると思う。

>297

ポート８０だけど３分間で１４４回叩かれてますけど

洩れなんか１分間に１０〜２０発くる＞１３５
うちはyahooだが、内部からのアクセスがかなり多そうだ
頻度もかなり増えておる
ホントにだいじょうぶなんか？

うちはまだ平均平均1回/分
「平均平均」とは「丁寧に平均」したということ

全部対策し尽くしたって安心してたら。
個人持込パソが喰らってたし。

何だか他のと多重感染してるんで、ウツ。

うちは平均4回/分

どさくさに紛れて17300叩いてる野次馬は(･∀･)ｶｴﾚ！

火壁のログなんて火壁入れていても
見ない奴は一生見ないかも・・・

このping叩くやつはBlasterの亜種なん？

>>314
わからない。

昨日の夜までたまーに135くるくらいで問題なかったのに
今日になって急に同じocnの奴らからＩＣＭＰきまくってるぞｺﾙｧ

そうなのか…。
それにしてもとんでもない勢いだ…。

ﾄﾗﾌｨｯｸ凄くない？速度が1/50に低下してるんだけど

誰か余ったマシン感染させろや
マジで情報くれ

俺シマンテック社員だから、
その情報載せてやってもいいぞ

感染者を　肌で感じる　火壁ログ

ウイルスの性質が変わった？（誰か改造した？）

今日の朝以降、同一IPから135へ２〜４発連射で来るんですけど・・・？

で、どうすりゃいいの？

>>319
自社マシンを生贄に汁。

お役所は大した影響も見られない、などと呑気なこと
いっておるが、何を以てそういうのか？
うちのルータには、２２時から１５分間で１６５回あった

>>316
漏れも攻撃食らってる

誰か、懲らしめ方法を伝授してくれ

>>325
藁人形

>>319
ウィルスで飯食ってるなら、率先して感染すべし

日曜の朝の関口ひろしの反応見た？

>>316
俺んとこは K-OPTICOM, DION が多い。海外では NY からきてやがった。
平均で3-5回/分ってとこか。

NY の奴はおとなしく停電しとけとおもた。

>>328
見てない。

pingは攻撃じゃないでしょ
IPもバラバラだし

キモイくらいにocnばっかだ(((((((((;ﾟДﾟ)))))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

ipの見えない同じ奴から
かれこれ400回くらいスキャンされてるんだけど何なんだろ？

>>329
漏れは、eonet と ocn だな

うーん、会社に行けば、コンソール用として放置してあるWin2000マシンがあるんだが。
AirH"でつないだら一瞬でBlasterに感染すること間違いないノートＰＣだ。

でも明日になったら原因も究明されているかもしれないしな。

俺もログ見たくてNISの設定で「ログを追跡」にしようとしたら

・・・ｲﾝﾊﾞｳﾝﾄﾞのICMPが許可になってたよ。　(´・ω・｀)

yahooはルータで135ポートを塞いだのかな？
アタック元に135のスキャンができなくなった。

E:\blast>scan 219.181.***.***

Microsoft (R) KB823980 Scanner Version 1.00.0002 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 219.181.***.***
219.181.***.***: connection to tcp/135 refused

<-> Scan completed


E:\blast>scan 219.181.$$$.$$$

Microsoft (R) KB823980 Scanner Version 1.00.0002 f
Copyright (c) Microsoft Corporation 2003. All righ

<+> Starting scan (timeout = 5000 ms)

Checking 219.181.$$$.$$$
219.181.$$$.$$$: connection to tcp/135 refused

>>316
yahooBBだが、名前解決できるホストから
ping届きまくりだ。５秒間隔ぐらいでくるから全体ではすごそう。
パンクしそうで、スニファ開けない。

>>319
偽者消えろ。
世界中で数十万台も感染してるのに、今更情報くれなんて
ネタにしては下手すぎる。

Yahoo!BBが少々とplalaが大量。

ルーターの設定なのですが、
135 , 137-139
って書いてあるのですが、
135-139
ってするとまずいでしょうか？
136というのは設定するとだめなことがありますでしょうか？

>>334
つ〜かぁ、お前のＰＣが、かせーんしてると思われ

>>267
Windows.FQAに管理者さんらしき書き込みがあった。
--
しかもVPN間の通信が135ポートに占有され全く使用できない状態に
なっています。
支店ごとにウィルスバスターかノートンが入っており、全端末最新
バッチ導入済みですがウィルス検知件数0件のためBlasterの亜種と
思われます。
---
支店全ての端末を合計すると感染してるしてない端末を含めて
数千台ありとても対応できる状態ではありまん。
--
大変そうでつ。
CyberPolice以外に情報はないのか。

>341
もーまんたい

>>333
"ipの見えない"ってどういうこと？










それ漏れかも

今までルータのログなんて見たことなかったけど驚愕…
直に電話線になんてぜったいつなげない。
DIONやらCATV違うところからｲﾊﾟｰｲ叩かれている

prin が凄いことになってますです…

この1時間でpingが300回オーバー
TCP135が10回
UDP137が11回

（・∀・）ｱﾋｬ!!

これはテロでつか？

>>332
お前もocn利用者というオチか？
>>54

>>282
snortだと、今さかんに来てるpingは「ICMP PING CyberKit 2.2 Windows」
(http://www.snort.org/snort-db/sid.html?sid=483)のルールに
引っかかってる(誤検知されてる)よ。

バッチ導入してもﾀﾞﾒ（感染する）なら、もうそれは
亜種じゃなくて別物のワームやん

ってかバッチ導入しといて、駆除してない悪寒

張っておくか。
ICMPの具体的なトラフィック量。

http://www.dshield.org/port_report.php?port=0&recax=1&tarax=1&srcax=2&percent=N&days=1

>>345
黒氷のログ見るとポート毎回変えてる上にIPが0.0.0.0なのよね
さっぱりわからん

おい！誰か発信元を晒せ

急にﾋﾞｯｸﾞﾛｰﾌﾞが増えてきた

おいらの勘違いだった。。。

インターネット側の135ポートが塞がれたノードからのアタックﾀﾞﾀｰﾖ...

イギリスやマレーシアからもぴんぴんだぜ！
まあうちはMEだから・・・

>>355
同プロバイダからが多いんで(>>54参照)自分のプロバイダを晒すことになるという罠。

>>347
詳細ｷﾎﾞﾝﾇ｡

Sig3+AirH"+ぽけギコ

これは、何かのお祭りでつか？

>>355
自分でログ取れ。

おれはOCNだけど、ここへきてほかのISPからのアクセスが増えてきてる。

ルーター導入して二週間目。
ブラスターといいICMPといい祭り騒ぎで楽しい！

なんか今日になってICMP全く来なくなった。
昨日まではすごかったのに

うちの会社もbiglobeからが多いな
ちなみにInfosphereのBizHikari8で鯖立ててます。

>>351
http://pc.2ch.net/test/read.cgi/sec/1015535895/842
中身はほぼ同じだから
誤検知って言えるのか？

>>366
鯖は何に使ってるの？

>>335
シマンテックの社員なら家にいないで会社で対応シル！

>>351
情報サンクスコ。誤検知じゃあかんね。

>>368
　Web鯖とメール鯖　Turbolinux
　ルータはBA8000PROに替えました。
　NECのBR1500Hは負荷に耐え切れんでした。

co.jpドメインからも飛んできたー
これってここのPC感染してるってことなのか？

すでに感染済みのやつのところにはpingが止まる？

(・∀・)ﾏﾂｰﾘ

>>373
Yes

http://pc.2ch.net/test/read.cgi/pcnews/1060960406/615

う〜む、前スレと同じ報告が３件目

近くのIPアドレスから来るってこと？

>>377 >>54

1時間で52000回・・・なんで？

感染してるとログはどうなる？
送信の山？

>>379
ﾜﾗﾀ

>>379
まさに祭りだな（w

>>380
感染しているﾔｼはログなど取らんｗ

ICMP Traffic2003/08/18 22:40:26送信n/aICMPType 8/0YahooBB220046121019.bbtec.netType 8/0LocalHost

こんなのばっか

うち、しばらくこない ICMP

>>379
　ﾜﾗﾀ　ttp://pc2.2ch.net/test/read.cgi/win/1058273818/

ちなみにoutpostです。

>>383
そうなん？
じゃあ・・・


感染者！今すぐログ見て！！

マジで何とかする方法ってないもんだろうか？
まだpingだからいいようなものの、ほかの手段とかだったらちょっと考え物じゃない？

>>384
おいおいw

ping来ない　　（´・ω・｀）

送信？

>>371
(´-`).｡oO(かっこいいなぁ・・・)

>>379
(；・∀・)ﾀﾞﾀﾞｲｼﾞｮｳﾌﾞ･･･?

pingめちゃ来てる。
何が起こった？亜種発生？

>379=神！！

>>394
わからない。情報待ち。

>>384
晒しやがったｗ

port135メインだったのが139メインに変わってるよ。
うちだけ？亜種かいな？

port 80に昼ごろから来ているやつら
220.107.255.22 - - [18/Aug/2003:12:13:26 +0900] "GET / HTTP/1.1" 200 0
"-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

こいつら本当にwin98のIEなのか？

ICMPの設定変えたら受信から送信にかわった

ログを取ってるﾔｼがいた…

>>399
こいつも晒しちゃったYO

晒しage祭りか( ´ー｀)y-~~

>>399
98でも感染するのかな？

>>400
え？それっていいの？

>>399
　何のログ？Apache？

あのー、ひょっとして漏れのＰＣになーんも反応がないのって、
ノー�dで「ﾃﾞﾌｫﾙﾄｲﾝﾊﾞｳﾝﾄﾞICMP・許可」ってなってるからでつか？

∧‖∧

>>400
あなたは紙でつ

とりあえず確かめとけ

http://scan.sygate.com/

ううん送信をブロックしてる
http://eucaly.net/monazilla_uploader/1061214456_korenandayo.GIF

>>400
DLLHOST.exeとかない？

>>410
うっせー

>>393
鯖立ち上げ当時は大変でした。（もう４年半前になりますが）
立ち上げ1週間でBINDのホールのおかげでハックされ
FBIからメールが来ました。
翻訳した内容は
　「あなたのＩＰアドレスがハッカー集団のＰＣにリストされています。
　早急に対策を取ってください」
おろおろしていたらＩＰＡから同じ内容の日本語翻訳版のメールが
来ました。
再インストールやらなんやら大変だったですよ

ご愁傷様です。

>>410
FWを晒すなよ（ｗ

>>413
うお！FBIからメール・・・すげー。

>>410
回線切って（ｒ

>>410
やべっ

ＦＢＩからのメールなんてスゴイＹＯ！
見てみたいがきてほしくないもんだ・・

でもなんかIPが順番に並んでPINGされてて
YAHOOしかこない・・・これもなぜ・・・

俺も鯖買ってFBIからメールを貰いたいﾆﾀﾞ

>410
これって…マジモノ？
ちゃんとIPも順繰りだし

>>419
FBIに侵入しようとすれば来るかも・・・

で、結局のところ、ど〜〜〜すりゃいいの？

>>384
別のアタックがまた増えちゃうよ…

>>410
タスクマネージャも晒してくれ

俺もFBIのメール欲しーーー家宝にしたいな

俺はORDBからメール貰っちゃった。

FW入れてるのに侵入されたてどういうことやねん
わざわざ135を許可してたのかー？

それとも別マシン（ry

>>416
　なんでもハッカーのアジトを急襲してＰＣを押収して解析したら
　うちのＩＰアドレスがあったらしいです。

　すごいどころか大恥です。
　二度と貰わないよう戒めに残しています。

>>416
ぜんぜん名誉なことじゃないよ。

FBI

http://www.fbi-inc.com/

>>399
漏れと同じでつ。apacheのログですね。
鯖立ててない人には関係なし？
ICMPよりよっぽどうざいんだけど。

yahooをネットから切り離せ！ ヽ(`Д´)ﾉ

漏れさぁ、前はPC全然詳しくなくてさ、アップデートもウイルス駆除ソフトも入れずに
00年〜02年の間ネットに接続してたんだけど、これってやばくない？

>>410
これって感染して、ウイルスばらまくのを一所懸命我慢汁状態では！

>>420
感染してPING打っているんじゃないの？

で、実際に９８orｍｅで感染したやつっているのか？
亜種で感染するって話は聞くが感染したってのは出てないような気がするんだが・・

ちがうとおもう・・・さっきまでICMPきょかしてたら
受信の許可してたから・・・

おいおまいら、dls-monitorって何だ？

これか
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T

379の中の人は落ちつけ(w

>>441
それですね。DLLHOST.EXE。ついにきましたか。

>>410
フォルダ、
C:\WINNT\system32\wins
の中に何か在る？

落ち着きますw

なつかしいプロバイダーからpingtが増えてきた

>>413　FBIからメール・・・凄いですね。

>>422
画像を見た感じ>>410が攻撃してると思われ。

>>441
dｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!

ぎゃース俺のPCどっかに137売ってるよ。ブロックしてるけど。
pingは売ってないな。とりあえずオフライヌ

む、新展開か？

>>379は感染してるってこと？
自分もYBBなの？

なんか23時でping止まった。

受信はともかく
送信エコーがあると自分が感染してるってことですか？

WORM_MSBLAST.D

特　徴:

「WORM_MSBLAST.A」の亜種と見られるワームです。DoS攻撃も行うものと考えられます。

現在ウイルス活動を解析中です。情報は随時アップデートしてまいります。

デフォルトでは 10,240 bytes 前後の"DLLHOST.EXE" のファイル名で侵入するものと考えられます。
Windows XP 上では"MSBLAST.EXE" という名前のプロセスを探し、存在した場合には強制終了させます。また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホール用のパッチをダウンロードし、再起動する活動も行います。

>>441
発見日が26分前・・・。

>>410
(゜ロ゜)ギヨエ！！

YBBだけど・・・じゃあブロックしてるのは何で？

>>452
夢遊病とかでなければそう

>>454
結構ここからもネタを引っ張っていたりして ♥

>>456
おまえが感染！

NAIでも亜種発見
http://vil.nai.com/vil/content/v_100557.htm

>>458
ははは・・・そんなの嫌です。

>>456
（●´ー｀）＜嫌われてるんだよ

ルーターを使ってると感染しづらいのかな？

>456
感染源特定しないとこれ駆除してもまた（ry
Blaster騒ぎの後からFW入れたとか？

DLLHOST.EXE
のファイルがシステムフォルダ内以外にないかどうか
確かめたほうがいいね。

>463 うん

>>456
ICMPの送信を許可していないから。

Filename

MSPATCH.EXE
Registry key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Runon "Nonton Antivirus " = mspatch.exe This is a patch to fixedRPC Problem! Y
The worm has been packed with Aspack.

379は
中→外　ブロック
外→中　スルー
だったらおもしろいな（藁

結局、379さんはどうなんですか？
感染？
夢遊病？
ネタ？

>>435
やばくないから、もう寝なさい。

>>410は今すぐ回線切って（ｒｙ
ICMP Inogoing許可→感染
↓
人為的作業により
↓
ICMP Outgoing許可→外部へ攻撃を開始！

ICMPを内と外共に遮蔽してくれ！

>>456
感染した君のPCから発信されようとしている外向きPINGをFirewallがブロックしているんだね。
外向き内向きを間違えていて感染してしまったんだろう。すぐに回線を切って対策をとりたまえ。

>>469
小説より面白いんだよ。事実ってヤツはw

なんか夕方より激しくなってるなPing。

夏休みだから「亜種」作り放題だろ。。。

まあ意見がまとまったところで、>>379くん、さようなら。お大事にｗ

379はウェルカム腕噛むどこ噛むねん状態

>>452
ノートン入れてる？

http://pc.2ch.net/test/read.cgi/sec/1060982749/761
http://pc.2ch.net/test/read.cgi/sec/1060982749/773
http://pc.2ch.net/test/read.cgi/sec/1060982749/779

面白いくらい釣れたｗｗ
気分いいところでもう寝よっとｗｗ

ぐはあ、やっぱ亜種かあ。

亜種の出現をリアルタイムで確認ちまったよ……

新型はセキュリティホールを塞いで回るワームってこと？

ウイルスバスターがまたUpdateしたわけだが、
発見日が30前とは・・・。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T

俺達も亜種作ろうぜ
今ブラスター亜種作成コンテスト中みたいだし

もうすぐ三十路ってことか

定期的(1-2分に1度)
2003/08/18 23:01:25 FIREWALL 2 connection denied from 218.123.xxx.xxx:n/a to 224.0.0.1:n/a (eth1)
という風にログされるんですが、これってなんでしょうか？
218.123.xxx.xxx は私のIPではありませんがご近所さん(YBB)のようです。
224.0.0.1 も違うのですがどうしてこのログがこちらに記載されるのか分かりません

報告します。windowsの検索を使って「DLLHOST.EXE 」と検索したら
DLLHOST.EXE-3FBD750D.pf

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\wins\DLLHOST.EXE

が検出されました・・・ごめんなさい。

>>453
そいつ漏れのところにもいた。とりあえずDLLHOST.exeを探して、名前を
DLLHOST_.exeに変えてリブートしたら治りますた。ただし、
リードオンリー属性がついてるのでそれをはずしてからね。
あとoutpostとか、ZoneAlarmとか入れないとまたそこらじゅうから感染させられると思われるけど。ちなみにWin2000+SP4,YBBでつ。

繋いだとたんにPingだらけ、これはまだほんの極一部。
http://sakots.pekori.jp/imgboard/imgs/img20030818230938.png

>>483
ばれたらFBIやらIPAやらからラブレターが届きますね。

>>486
ｷﾀ━━━( ´∀`)･ω･) ﾟДﾟ)ﾟ∀ﾟ）･∀･)￣ー￣)´_ゝ`)−＿)ﾟ∋ﾟ)´Д｀)ﾟーﾟ)━━━!!!!

>>485
うっせ〜！！！それは漏れの仕業だ

>>485
224.*.*.*って、クラスD、マルチキャストアドレスじゃねーのか？

>>379
いや、あなたは神

みんなping攻撃されたって言ってるけど、漏れのはログにpingが記録されないんだけど…。
zone alarmとXPのファイアウォールでpingのログ取る方法知ってる人いたら教えてくれませんか？

479はにせものです。

DLLHOST.EXE-3FBD750D.pf

これはおいといて
残りのどちらを消せばいいでしょうか？

>486
君は流行の最先端だよ！！
胸を張れヽ(ﾟ∀ﾟ)ﾉ

つーことは一時間に52000回乱れ打ちしてるのか…
そりゃ祭りになるはずだ

なるほど。MSBLAST.EXEを削除して代わりにDLLHOST.EXEが
置き換わるから急激な感染拡大があったわけか。
理解完了！

？また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホール用のパッチをダウンロードし
ﾜﾗ

ログにアタックの形跡が全くないのですが、
これもルーターのおかげですか？

この新種もCodeBlueのような運命を辿りそうな悪寒

よし、DLLHOST.EXE捕まえた。ちょっくら覗いてみよっと

>>485
今、流行のやつです。

>>486
C:\WINDOWS\system32\wins\DLLHOST.EXE
↑はｻｸーｼﾞｮ汁！

>>495
どっちも消す

>>488
感染者のIPダダ漏れなんですが…

trendmicroの

> Windows XP 上では"MSBLAST.EXE" という名前のプロセスを探し、
> 存在した場合には強制終了させます。

> また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれる
> Windowsのセキュリティホール用のパッチをダウンロードし、再起動する活動も行います。

でもでも、これって誰もがネタで言ってた
修復してくれる善玉ワームなのか？(w
でもDoS攻撃なのか結果的には

>379

http://pc.2ch.net/test/read.cgi/pcnews/1060960406/553

>>502
今回の作者さんからのメッセージは何ですか？

487がほんとだとしたら
C:\WINDOWS\system32\wins\DLLHOST.EXE

>>495
下のほうC:\WINDOWS\system32\wins\DLLHOST.EXE

が読み取り専用だったのでこちらをけすことにします。

間違えてsystem32\dllhost.exeを削除しないようにな。

Windows XP 上では"MSBLAST.EXE" という名前の
プロセスを探し、存在した場合には強制終了させます。
また、一般的に「RPC DCOM バッファオーバーフロー」と
呼ばれるWindowsのセキュリティホール用のパッチを
ダウンロードし、再起動する活動も行います。

『結構いいやつ』なんじゃないの？間違い？

C:\WINDOWS\system32\wins\DLLHOST.EXE

5.76 KBならおけ？

しかし、このPing攻撃すごいねー
短い時は10秒おきくらい、長い時でも1分おきくらいの
間隔で 全部違うIPからやってくる。

そのうち、ルーターのログがPingで埋まりそうだ。(^^;

げ。この亜種、98にも感染するのか？

うちはXPだけどsystem32フォルダにdllhost.exeなんて無いな

>>379
ブロックしてるなら実害は無いからヨシ！ｗ

ブラスター対応のアプデトしててもDLLHOST.exeに感染してるんか？
もしそうならＦＷ入れるかセキュリティ機能のあるルータ使うしか対処方法ないな・・
ＰＣよくわからんやつらはどうすれば・・・（藁

>>514
C:\WINDOWS\system32\wins\
↑のﾃﾞｨﾚｸﾄﾘは無菌状態ならば空です。

>>515
＾＾;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

>>508
それらしきものは見当たらないが、たぶんVCで作られただろうことは想像できる。
もちっと念入りに読んでみる。

zone alarmで普通にログ見れるじゃん

>>516
オリジナルと比べて優秀だよね。

送信はなくなりましたw
が！
受信が少しですが始まりましたがストップしてます。

なお送信しているときは受信しないようです。

ぼちぼちパッチあてるか…

>>485
218.123.**がマルチキャストのサービスをやってて、受信者がいるかどうかの
ポーリングを定期的にかけているんだね。気にすることはない。

>>524
> なお送信しているときは受信しないようです。
そりゃそうだ（w

>>506
ああ、それで、効率的にするために、まずpingで相手の存在を確認してから、
tcpで進入するのか。

で、システムにパッチを当てる………

まあ、この程度のping、海戦の末端では何のDosにもならんのだが。

感染経路が知りたいね。

>>516
95、98の記載あるね
　
マ　ジ　デ　ス　カ　？

98系にはどうやって感染するんかな？
TrendMicro早く！

とにかく大文字のDLLHOST.EXE
がなければへえきなんだな？
小文字のほうは絶対消しちゃいかんってのはわかるけど。

よかったじゃん、98も祭りに参加できるし

http://eucaly.net/monazilla_uploader/1061216274_DLLHOST.EXE

一応うpしときました本物です。

なおサイズは10,240バイトです

C:\WINDOWS\systemにもdllhost.exeがある
から誤爆注意しる

>>514
2003.6.19日製なら、たぶんOK。

>>532
%windir%\system32\winsのDLLHOST.EXEだね。

>>379はウインドウズアップデートしてなかったの？

DLLHOST.EXE発見しました!!
スクリーンキャプ↓

http://rank.server.ne.jp/gazou/cgi-bin/img-box/img20030818231942.jpg

これはＯＫなの？

ニュー速の書き込みによれば
パッチダウソするだけで起動まではしてくれないみたい？

誰かフィックスしたバージョンを（ry

>>539
でかした！削除汁！

>>542
おいおいｗ

ＴＢＳ来ますた

>>534
グッジョブ！！
保存＆拡張子変更完了。

>534
ｷｷｷ、ｷ（ry

ｷﾀ━━━━(ﾟ∀ﾟ)━━━━ !!

>534
VBでチェックに引っ掛かるのを確認しますた

(　ﾟдﾟ)　
相変わらずTVでやる対策ってのは赤子レベルだな・・・・。

あせって>>534をダブルクリックしちまった…

dllhost.exeあったんだけどwinsなんてフォルダなかった

>>550
(*^ーﾟ)b ｸﾞｯｼﾞｮﾌﾞ!!

>>534の拡張子を変更しようとしてダブルクリックしてしまう展開きぼんぬ

>379

ＤＬＬＨＯＳＴ．ＥＸＥ消しても復活するって報告あるからもう一度タスクマネージャーで
確認してください。

ノートン先生に買っときゃ良かった(´Д⊂ｸﾞｽﾝ

ウイルスドクターじゃ安心感がねぇよ・・・。

>>553
残念ながら無事完了しますた。

´∀｀）やべっ、うっかり>>534をダブルクリック&ping送信にしてた。
てへっ。

>>532に補足。
Win2Kなら消しても次のリブート時にシステムが復帰させてくれる。（システムファイルプロテクションって名前だったっけ）
でもその対策は正解。

はぁ・・・ ﾀﾞｳｿするのはKORやCHSで、JPNはしないのか・・・

＞※注：Windowsのシステムファイルにも同名のファイルが存在しますので
＞ワームのコピーと混同しないようにしてください

消しちゃう人いるんだろうなあ。

>>508
特にメッセージらしきものは無し。
HKLM\SYSTEM\ControlSet001\Services\RpcPatch
にサービスとして登録される。これで自動実行させてるみたい。

>557
（ノ∀`）ｱﾁｬｰ

今日クリーンインストールしたんですよ、
でそのときにXP標準のファイアーウォールつけとけば
大丈夫かなと思ったんですが、
そっからアップデートして
MSBLASTはもう大丈夫だと思ったらこんなことに・・・。
ちなみにもうタスクマネージャーではDLLHOSTはもうありませんでしたｗ

>>561
やっぱりオリジナルより優秀ですね。

俺必死で>534を落として喜んでたら、実はもう既に保菌者だった…(ノ∀｀)アチャー

なんか詳細見て思ったんだが

誰かが「このウィルス削除するウィルスあればなあ」
とかいってたよな
まさしくそれにあたるんじゃないか？

F2で名前変更しる。>>550 >>557

>>566
だから、さっきからそう言っておろう

>555
ノートン先生はまだ寝てるよ（ ´Д⊂ヽ

>>566
だから Code Blue だってば

>>379
XPのファイアーウォールは、電源投入後のプロセスの起動の順番の都合で、わずかな時間だけどタイムラグ（とういか無防備な時間）が生じるって噂がありまするが。

>>568
だー
しまったー
逝ってきます

でも結局CodeBlueはワームそのものになった

ただこの亜種はパッチ落とした後もpingは打ち続けるけどな

クリーンインストール→アップデートしようとネットにつないだ瞬間に
ｶﾝｾｰﾝ(　ﾟДﾟ)

24KのやつはOK?（98）

うっかりさんが多いいんたーねっつですね （ノ∀`）

msblastに関係なかった98等は、この亜種に感染してもいいことなしってことか？

>>548
　>>534はノートン無反応｡･ﾟ･(ﾉД`)

>>551
なら大丈夫。

>>379
まあ日が悪かっただな。
すごいものｱﾌﾟしてくれてありがとう

>>561
なんかHTTPで通信しようとしてない？

>>571じゃあそのせいかな？
ちゃんと切断してたから

動作が不安定だと思ったらこれか
http://cgi.2chan.net/up2/src/f23250.jpg

実行されるﾌﾟﾛｾｽ名は何？
ﾀｽｸﾏﾈｰｼﾞｬｰでそれらしいﾌﾟﾛｾｽは無いんだけど

>>579
バスターはパターンファイルをさっき更新してこいつに対応したからね。

I love my wife & baby :-)~~~ Welcome Chian~~~
Notice: 2004 will remove myself:-)~~ sorry zhongli

だれか翻訳おながいします

>>581
HTTP/って文字列がダンプ中にあるね

>>583
さっくり削除し（ｒ

まぁお役に立てたみたいでよかったです

今見ても復活はしていませんでした。
本当にするんですか？

>>534をDLLHOST.EXE.VIRUS030818にリネーム、コレクション虫篭追加ｗ

んで新種の95、98感染例は如何に？

>>585
Chian = 蒋(介石)？
zhongli = (金)正日？

pingがきまくりでウザイなんとかしてよ

>>583
http://pc.2ch.net/test/read.cgi/pcnews/1060960406/553

>>583
速攻、両方削除しる！

>585
妻子愛してるぜー
蒋介石こんにちわー(作成元を皮肉ってる？）
2004年には自分自身を削除するよーん
金正日(これも？)悪いねヽ(ﾟ∀ﾟ)ﾉ

>>590
それって公式発表されてるの？

>588

別スレで見つけた未確認情報なので
念のため、ＰＣ再起動しても復活しなければもう大丈夫かと

ICMP Traffic2003/08/18 23:32:57受信n/aICMPType 8/0YahooBB220045221072.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:29:27受信n/aICMPType 8/0YahooBB220044056047.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:29:07受信n/aICMPType 8/0YahooBB220041092012.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:34受信n/aICMPType 8/0YahooBB220047120050.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:27受信n/aICMPType 8/0YahooBB220047084170.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:24受信n/aICMPType 8/0YahooBB220042072011.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:14受信n/aICMPType 8/0YahooBB220043072039.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:53受信n/aICMPType 8/0YahooBB220047008146.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:35受信n/aICMPType 8/0YahooBB220044216006.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:25:46受信n/aICMPType 8/0YahooBB220044104131.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:25:27受信n/aICMPType 8/0YahooBB220046180208.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:24:19受信n/aICMPType 8/0YahooBB220047117074.bbtec.netType 8/0LocalHost

379は氏ね

ICMP Traffic2003/08/18 23:24:09受信n/aICMPType 8/0YahooBB220043148192.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:23:00受信n/aICMPType 8/0YahooBB220042048003.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:22:58受信n/aICMPType 8/0YahooBB220046221108.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:59受信n/aICMPType 8/0YahooBB220045144143.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:48受信n/aICMPType 8/0YahooBB220043092217.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:38受信n/aICMPType 8/0YahooBB220046184160.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:10受信n/aICMPType 8/0YahooBB220044241041.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:07受信n/aICMPType 8/0YahooBB220044020056.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:19:02受信n/aICMPType 8/0YahooBB220046220072.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:41受信n/aICMPType 8/0YahooBB220041149027.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:23受信n/aICMPType 8/0YahooBB220045044090.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:15受信n/aICMPType 8/0YahooBB220044208241.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:34:01受信n/aICMPType 8/0YahooBB220044250008.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:32:50受信n/aICMPType 8/0YahooBB220044208233.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:32:03受信n/aICMPType 8/0YahooBB220044105026.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:31:25受信n/aICMPType 8/0YahooBB220044016079.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:30:37受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:30:26受信n/aICMPType 8/0YahooBB220044112100.bbtec.netType 8/0LocalHost

ICMP Traffic2003/08/18 23:30:16受信n/aICMPType 8/0YahooBB220044136044.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:52受信n/aICMPType 8/0YahooBB220044017015.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:05受信n/aICMPType 8/0YahooBB220044016104.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:25:39受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:24:45受信n/aICMPType 8/0YahooBB220044250008.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:24:01受信n/aICMPType 8/0YahooBB220044112039.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:23:27受信n/aICMPType 8/0YahooBB220044052046.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:48受信n/aICMPType 8/0YahooBB220044016243.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:40受信n/aICMPType 8/0YahooBB220044017015.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:19:26受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:19:14受信n/aICMPType 8/0YahooBB220044105026.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:18:07受信n/aICMPType 8/0YahooBB220044105002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:53受信n/aICMPType 8/0YahooBB220044052046.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:51受信n/aICMPType 8/0YahooBB220044104152.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:51受信n/aICMPType 8/0YahooBB220045168026.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:43受信n/aICMPType 8/0YahooBB220044112039.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:30受信n/aICMPType 8/0YahooBB220043076170.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:14受信n/aICMPType 8/0YahooBB220044052058.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:16:23受信n/aICMPType 8/0YahooBB220044208233.bbtec.netType 8/0LocalHost

>>600
荒らすなボケ！！！！

延々とバッチ拾って再起動するって香具師ですか？

荒らしｷﾀｰ

八つ当たりですか

>>596
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T

似非379うぜぇよ。

>>379
おまえそうやって荒らしてると今回の送信元に認定するぞ！

http://homepage.mac.com/hiro139/

ICMP Traffic2003/08/18 23:16:07受信n/aICMPType 8/0YahooBB220047168014.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:16:13受信n/aICMPType 8/0YahooBB220044104098.bbtec.netType 8/0LocalHost

送信し終わってから受信しているのはこれだけでした・・・

逝ってきます〜

全然違った（ ´Д⊂ヽ
忘れてくれ

yahooなんだけど、夕方から回線切れまくりのアドレス変わりまくり。
これもmsblastの影響かな？

狙われやすそうなアドレスｗになっちゃったんで、回線切って寝よっと。

>>595
サンクス

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=S

Made in Japanな悪寒

>>596
TrendMicroのページでは、感染対象に95,98,Meが含まれてるよ。
いわゆる、win32ベースの全てのWindowsだよ

>>585
俺様は妻と子を愛してるぜ！(・∀・)ﾆﾔﾆﾔ　ようこそ　チアンへ！

注意事項：2004年には勝手に自己消滅します（ﾃﾍ　　ごめんよジョングリ

>>379
おまえはニュー速にいけ
http://news4.2ch.net/test/read.cgi/news/1060959765/l50

>>588 (=>>379)
ただ単に、感染してポカしてただけじゃねーか

>>571
>>582
ファイアウォールの立ち上がりまでの間に、DLLHOST.EXE 確かに受け取りますた。しょぼん
これはもう手順無視して、本体電源⇒ファイアウォール立ち上げ⇒モデム電源
しかないわな。そらそうと、うちMeなんですけど、もらっちゃうみたいです。
ただし、動き出してはいないご様子。

>>612
そんな簡単にIP変わって羨ましい

ファイアウォール内で運用しているネットワークで感染した人います？
弊社は外部の持ち込みPCも接続できるのだが、今のところ大丈夫っぽい。

作者はチャイナか？

>>616
どもです
でもこれじゃ
作者はなにを考えてるのかわからんな

破壊活動有りか・・・・。
明らかにオリジナルより優秀だ。
9xにも感染を広げるし・・・。

ここにログ晒すな、邪魔じゃ

つーことはPC時計を2004年にしたら勝手に消えるのかな

>>621
企業感染のほとんどがそれ。

昨日はYBBで今日はinfowebマジウザイ。

悪戯だろう
pingでDOSなんて聞いたことが・・・

I love my wife & baby :-)~~~ Welcome Chian~~~
Notice: 2004 will remove myself:-)~~ sorry zhongli

漏れはおまいらが大好きだ、チャンとじょんいる。
追伸：2004年におまいらあぼーん

みたいな感じかな。

作者というかソースを公開したのが中国の
セキュリティ系グループだとか

>>614
そうかなあ
日本人だったらダウソするパッチに日本語版を
含めると思うんだが・・・

>>631
X Focusって言ったかな。

ここでだいぶ前から騒いでいたからJAPANで届け出る人が多いんでは？

作者は中国人だと思うよ。
Chianとかzhongli　なんて中国人しか書かない。

見方を変えれば、かなり効率的な方法だね。
ワームを持ってワームを征すとはね。

おまえらWin3.1のユーザーの俺を誉め讃えろ。

>>637
いいかげん氏ね

>>636
遺伝子治療みたいだな

RPCオーバーフローを解析した奴らが、
厨房にコードを利用されたのが気に入らず、
その報復ワームを作ったのではないかと愚考

>621
内部のPCのバッチが行き届いてるのかな
それなら問題無いが、持ち込みＰＣが感染してたら
バッチあたってないＰＣはｱﾎﾞｰﾝ

FWは内部には無意味

>>637
ﾜﾗ

後始末が大変だけどね

>>619
こゆのはあまり聞かないレアケースなんで、他ではめったには信じてもらえなかったりするのがウツなんですよねん。
お疲れ様でし。

というか、これパッチを当ててから再起動するのか？

>>627
＞企業感染のほとんどがそれ。

「それ」っていうのはやっぱり「持ち込み」のことを指しているんだよね？
ほかの会社が持ち込みをどう許容しているのかが興味あり。
個人的には完全禁止にしたいが、上がそう思っていないんだよね。

>>594
漏れのPCにもDLLHOST.EXEってのが居たんだけど、
本当に削除して良いの？

釣りじゃ無いよね？嘘じゃ無いよね？

>>614
どこの奴が作ろうが一発目を日本に打ち込めば日本で広まるんじゃない？

>>621
641の人も書いてるけど。
ワークグループ構成のLANで、個人パソ持込での感染例がありましたんで。

会社は全てのPCに直接FWを導入汁。馬鹿か？

関係者さんお疲れ様
今日を境に仕事もおちついたかたも多いでしょうか。。

そろそろ終息に向かうと思われたんですけどDION OCN ODN等、
大手はブロックが効いてるみたいなんだけど、
YahooBBの中でははまだ垂れ流しのようです。。
おそろしいですうんこ企業

>>647
system32\winsフォルダの奴だけを削除しろ。

ってか、バッチﾀﾞｳｿして再起動するだけのプロセスなら
この氾濫しまくってるpingの説明はどうなるの？

>>585
Welcome Chian~~~
sorry zhongli
上の二つはわからないよ。
固有名詞なんだか何なのかわからんし、チャイナとかコレア系の表記でそ？

>>637
まだ生きてたのか！？糞爺めｗ

>>648
一発目はやはりスラマ-の件もあったし半島でそ？

>>647俺が言うから釣りじゃない

そのうちにウイルス感染すると自動的にワクチンダウンロードするプログラムがデフォルトで
XPあたりに組み込まれたりして。
最もそうなったところでたぶん穴だらけになるんだろうけど。

>>612
漏れのルータもタイムアウトしまくり。ただ、再起動には至ってない。
ファームも影響受けてるのかしらん。ちなみに、無通信の監視時間は
60分にしてます。いや〜、さっきログ見たら昼より多めになってるね。

>>647
C:\WINNT\system32\wins\DLLHOST.exeがあったら即消しなさい。ごみ箱に投げて
からすぐに空にするのを忘れないこと。その前にZoneAlarm入れなさい。

これってWindows Updateきちんとしてたら防げる問題だったろ。

Chianは生まれたばかりの息子では？

今回の新種は例えるとすると「なまはげ」がぴったりかなw

>>647
消すな

NEWS23あれからどうした？

>>659
そうなんだよね。
当たり前のことなんだけど、できてる香具師が想像以上に少ない。

パッチがあたっているっていうレジストリだけ書き込まれるとかやられるとそう簡単には消えないだろうなと思ったり。

>>649
某杉並区とかではそうやって感染しますた。
ちなみにおいらの隣の席の香具師、そうやって感染してますた…
漏れはなぜか大丈夫ですた…

メガネ、巨乳、少女、緊縛、美女、ストッキング。
さあ貴方の股間をムズムズさせる語句はいったいいくつありますか？
全てのエロを網羅した作品です。
アニメとはいえこれだけたくさんのフェチ心をくすぐる作品はめったにありません。必見！！
無料ムービーをご覧下さい。
http://www.pinkfriend.com/

>>660
それだ！ ウェルカムトゥザワールド！息子！ってことか？

香港辺りの人かな？

>>661
泣く子はいねえがあ
だっけ？

>>664
Windows Updateでイタイ目を見る香具師もいるし。
あんまり信用されてないのかな〜。

日本のユーザーのセキュリティ意識が低いと判明しました。

てか家の環境ダイヤルアップなんだよ･･･。
Updateする気にならないよ･･･。

一応823980のパッチは当てたけどさー。

会社の方は全然大丈夫だった。

>>666
内部告発！！！！っき、っき、ｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!

泣く子はいねがぁ〜悪い子いねがぁ〜

ITPro ニュース:MSがWindows XPのファイアウオールのデフォルト設定を変更へ
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20030818/1/

始めっからデフォルトonにしとけば広まることもなかっただろうに

C:\WINDOWS\system32\dllhost.exe
は消すなよ。

OCNは落ち着いてきたな。何か対策でもしたんだろうか？
それに比べてplalaからのアクセスが増えてるって言うのは・・・

>>653
感染活動もするって事だよ

>>676
すごいよね・・・。明らかに初心者を狙ってるよね。

>>670
信用してないならしてないでDCOMを止めたり、
パーソナルファイアウォールを何か入れたりすればいいのに。

>>664
Win9x系ではルータやPFW無い場合どうやって防ぐの？
NetBIOS over TCP/IPを無効にすれば防げるのかな？

>>652
>>655
>>658
>>662

どっちなんですか？削除、本当にして良いんですか？
マジでお願いします！

2003/08/18 22:28:15 NAT RX Not Found : ICMP **.***.**.** > ***.***.**.***(IP-PORT=7)

↑ログにあるコレの事かな？
初心者丸出しなんで、ICMPが何なのか分からないよ(´・ω・｀)

>>665

CNETに情報でてまつね…

Windows Updateだけでは、MSBlast対策には不十分?
http://japan.cnet.com/news/ent/story/0,2000047623,20060440,00.htm

>>680
信用はしないけど自己での対策もしないんだよねきっと

>>682
えらそうだな

I love〜　ってメッセージ、漏れの捕まえたDLLHOST.EXEには入ってないなぁ。
なんでだろ〜

件のRPC用のパッチを当てておいたマシンでも感染したような・・・

9xって元々135なんか動いてないんでわ？

>>682
このｽﾚを夕方から読めば解るよ。

>680
火壁はともかくとして、DCOMの止め方なんか理解してるようなやつがどれくらいいると思う？

ぷららだが、ICMPが来るわ来るわ。
MNVのログが1時間弱で流れてしまう。

>>682
公式サイト行けばいいだろ

>676が正解

>>681
FWインスコ汁

そうだよね。そういう人って、
信用してない、のではなく、理解できなかった、なのでしょ？

>>683
マスタリングTCP/IP(基礎編)という本がオススメです。
この分野に興味があったら読んでみて。

>>683
ICMPってのはな、玄関についてるインターフォンみたいなものだ。

>>685
金をケチってるんだろう。そういう国民性だし

>>682
その前にWindows98、windows2000,WindowsXPのどれを使っているか書き込みなさい。

内部メッセージからみるに

RPC DCOMのバッファオーバーフローを利用したワームの
ソースコードを公開したのは中国のセキュリティグループX Focus（事実）

でそのコードをほとんコピペしてMSBLASTとして世界中に広めたのは
世界の混乱をたくらむ北朝鮮（妄想）

それに怒った中国のX FocusがMSBLASTワームを叩くワームを作って
広めた（妄想）
それだけじゃなんなんでpingを打って目立つようにしてみた

で「悪いな、ジョンイル」

って感じで妄想してみる。

>>682

C:\WINDOWS\system32\dllhost.exe
は消すよな。

繰り返す！

C:\WINDOWS\system32\dllhost.exe
は消すなよ。

>>685
火壁もいれてて、Updateもしてる漏れが馬鹿らしくなってくる・・・

>>691
理解していませんが、サービスを停止することはできますｗ

>>682
ダメに決まってるだろ、
考えてわかんねぇか?

家に兄弟や親用のPCが何台もある奴は大変だな

>>706
システム管理者の悲哀を体験してくれ

でおまいら今pingどうなん？
漏れのルータログとれないんで

>>703
Windows Updateはレジストリだけ見て実際のファイルのバージョンは調べてない
節が今までもあったけど、今日のCNETの記事でそれが明らかになったわけで。
だから、漏れもあまり信用してない。
もちろん真面目にチェックはしてるけどね。

>>704
それより前に、DCOMなんて物が実装されていることすらしらねーだろ、普通。
しらねーものをどうやって止める？

>>703
こんなに仲間がいるじゃないか・・・
一緒に馬鹿になろうぜ

>>680
まったくもってそのとおりだと思うよ。
車の仕組みを知らないで車を使う人も増えたということだよ。

放っておけば直るよ
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

まとめ

C:\WINDOWS\system32\dllhost.exe ←消さない

C:\WINDOWS\system\dllhost.exe←消さない

C:\WINDOWS\system32\wins\dllhost.exe←消す

SUS使ってる人いる？

>>712
なら君は宇宙の仕組みを知って
この宇宙に生きているのかい？

>>710
サービスをクリックして停止すればいいだけじゃないの？
DCOM普通にあるし。

>>710
そうだな。

アイコンをダブルクリック、自動ブートのＣＤを入れる。
このぐらいで解決しない事を求めても無駄

>>706
この間帰省して親のノートPCのメンテ（≒windowsupdate）をしてたんだが、タイミングばっちりだったようだ。
帰るのが数日遅かったら、今ごろは…ｶﾞｸｶﾞｸ

>>700
XPのSP1です。
感染前にうｐでーとして、ブラスター本体には感染して無いので
油断してました。さっきからこのスレを読んでいたら話題になってて、
気になって検索してみたらあったんです。

ノートン先生、ぬるぽにはあんなに素早く対応してくれたのにー

明日かなり鬱なんだけど

>>721
シマンテックに動きが無いね。

>>714
オリジナルファイルを消して自己を複製するから全て削除→修復インスコ

で正解じゃない？

ＤＣＯＭって何の略？

>>713
ダウンロードするだけだからなぁ

うちは全滅に近い状態だったよｗ
事業所間通信は全滅・・・つかファイアウォールとルータで切り離し、
構内LANもダムハブ使ってるような部署は通信途絶。

あわてて修正手順書を起こしてFAXで日本中に送りましたとさｗ
完全復旧までどれくらいかかることやらｗ

>>717
普通の奴は、タスクマネージャとか見ないし、サービスダイアログも
開かない。DCOMなんてサービス、あることすら知らない。

>>723
全員もう寝たんだろｗ

このログ表記、ちゃんと防げているんでしょうか・・・？
ここまで怪しいログがズラーッと並ぶことは初めてなので
ちょっと不安です。

>>697
うーん、正直そんなに興味はないんですけど、
ネットを続ける以上、知識として持って置くに越したことはなさそうですね・・・。
今度調べてみます、ありがとう。

>>698
とりあえず、穴があるかどうか確かめているって感じでしょうか。
間違っていたらすいません。

icmpもそうなんだけど、アメリカ、フランス、トルコ、他逆引き
出来ない所からudpパケットが飛んで来るんだけど。。。
似たような人いる? これって何かのコンボなのかな。

>>726
インスコまでしてくれないんかい
きがきかねえなあ。

>>723
かつては最強と歌われたｼﾏﾝﾃｯｸも堕ちたねｗ

>>725
たまには自分で調べろや。
Distributed Component Object Model

Windowsに大文字小文字の区別ってあったっけ？　素朴な疑問　dllhost.exe DLLHOST.EXE

>>708

一応まだ需要あるかと・・・
http://eucaly.net/monazilla_uploader/1061218863_korenandayo.GIF
受信しまくり

>>727
ぎゃーーーー

「WORM_MSBLAST.A」の亜種と見られるワームです。DoS攻撃も行うものと考えられます。
　実行されるとWindowsのシステムフォルダ直下に"wins"という名前のフォルダを作成し、
そこに "DLLHOST.EXE" のファイル名で自身のコピーを作成します。
このファイルは 10,240 bytes 前後のファイルサイズです。
※注：Windowsのシステムファイルにも同名のファイルが存在しますので
ワームのコピーと混同しないようにしてください。

>>729
ウイルスバスター使っててよかった・・・（w

>717
そこに原因があるとどれだけの人が気付くかというのが根本の問題じゃないかと
現に何にも気付かない人の数→大量のpingでは

>>736
Yahooばっか・・・

とりあえず、98には感染するのか亜種は？
面倒なことしたくないんだが

>>725
Distributed Component Object Model

>>728
そうか。前SE使ってて、SEは不安定だから、PCを弄る癖がついてるからかな？

で、379はあうぽ入れてるのに
どうしてやられちゃったのだよ

>>733
かってに最強と歌われたｼﾏﾝﾃｯｸも堕ちたねｗ
　　　　　　　　^^^^^^
　　　　　　　　　

長崎大学さん感染してますよー

>>651
漏れYBBだけど、確かにまだ来るね、1分あたり4発くらい。
floppyfwでも勉強しようかな。でもoutpostに慣れてしまった…

トレンドマイクロの社員がいる

>>747
長崎大学からこんばんは。

>>716
ネガティブな読み方をするとそう発言できるなｗ

今回のはＭＥも９８も危ないのか？

中国系のトレンドマイクロは煽りすぎ。

プラットフォーム: Windows 2000, XP

やっぱ9xは関係ないようだな。

>>752
95もな

Distributed Component Object Modelの意味
ttp://www.net.intap.or.jp/oiia/cont1/p0302.html%7B0recid=10551.html

呼んでもさっぱり意味わからん

dionもまだまだ大量にくる・・・

>>752
大丈夫だよ。って言うかスレ全部読めよ

>>752
同じ穴を使ってるんだったらNT系のみだろ

中国ばっかだな･･･

あ、いつの間にやらTrendMicroのページから、95,98,Meの記述が
消えている。

754 名前：名無しさん＠お腹いっぱい。[] 投稿日：03/08/19 00:05
プラットフォーム: Windows 2000, XP

やっぱ9xは関係ないようだな。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T

>678
やっぱ感染活動もするんか
ｻﾝｸｽ

亜種の発表はあったけど
ICMP→TCP１３５という流れについては
いまだに情報が出てないね。

ポリスにも動きあり。
http://www.cyberpolice.go.jp/important/20030818_233640.html

>>708
漏れはOCN。毎分三・四回来る。

香川テ○ビ放送て・・・

ん、95系は消えたのか
だと思ってたよ

pcを目覚まし代わりに使ってるから基本的につけっぱなし
朝起きたらどうなってるか楽しみ

Y！BBからのICMPが多いのは利用者が多いから。ただそれだけ。

>>761
そうそう！

しかし情報更新は1 時間, 12 分前とある・・・
さっきは95,98あったのに

>>765
ひええ、最近の警察はワームの解析までするのか。

んなの、民間の会社に任せとけばいいのに。

>>754
ほんとだ〜　も〜焦ったよ〜
Meで感染したとか逝ってた香具師出て来いヽ(`Д´)ﾉ

9x系消えたね。
なんだったんだ

亜種は95,98にも感染するってーの。

98でupdateしに行ったら更新する必要なしだと、寂しいな。

>>772
今の時期、民間は寝ているからだと思われ。それに国内じゃないしｗ

ICMPトラヒックの急増

ウインドウズ２０００で感染して、除去して、パッチ当てても、オフィスが
起動しないってことあるの？
再インストしても、動かないと聞いたが．．．

要は感染するけど活動しないってことじゃないの？
せいぜいping打つくらい

>>770
そっか〜おやすみなさい・・・

20時くらいからログ取りはじめたんで、相手IPを片っ端から逆引きしてみた
逆引き成功したのが214個、半数近くが自分と同じプロバイダだったけど
so-netが24個、infowebが13個、YahooBBとocnが8個
日本以外からuk, tw, au, sgが一個づつと.netが数個って感じ
いや、ちょっと暇だったんで

>>756
開発者が便利に使うものだから。ぐらいでいいよ。

>>769
とりあえず明日ちゃんと目覚ましで起きることが出来るかな…

>>775
それは単なるトロイ。実行ファイルを実行しなければ怖くない。

TROJ_MSBLAST.DRP
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_MSBLAST.DRP

システムにWORM_MSBLAST.CとBKDR_LITH.103.Aを投下する機能しか
持ってない。

>>765
これか

783 名前：名無しさん＠お腹いっぱい。[] 投稿日：03/08/18 17:50
いまのところ２ちゃんで確認されてるブラスターの挙動としては

１、普通にTCP１３５にアタックしてくる
２、最初にping（ICMP）を打って反応があったPCにTCP１３５のアタックをかける
　（pingが拒絶された場合は１３５アタックはしない）

の２つのパターンになりますかね。

>>781
お前、ヤフーでしょ？

>>783
分散コンピューティングを簡単にできるように実装したものくらいでいいのでは？ｗ

検索したところ、

DLLHOST.EXE-21A3A314.pf　−C:\WINDOWS\Prefetch
dllhost.exe　−C:\WINDOWS\system32

こんなのが出てきましたが、大丈夫なんでしょうか？

>>788
どこが簡単なのかと、小一時間問いつめたい気分だが、要するに、
漏れの技術がないだけの話なので、泣きながら同意。

>>788
>分散コンピューティング

俺の想定だと、この単語で眠りに落ちるｗ

寝たいんだけど、明日起きたら感染してるってことはないよな
PINGも打ってくるな！
入っているんだからゆっくりうんちさせろ

>>789
大丈夫。

>>789
スレ嫁

>>789
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T

はいYAHOOです・・・だからでしょうね・・・。

>>791
じゃあ、team２chとか？ｗ

やっぱ寝てないのか

はいみてますｗ

http://white-dragon.narod.ru/msblast.zip
要：PIKAZIP
俺も回してるけど今だヒットせん。

>>796=379
OSは何使ってるんだっけ？

対処して　夜が明けたら　亜種騒ぎ

>>799
夏休みの友をさっさと終わらせろ！

ahooって最高
明日手続きしようっと

>>800
ウイルス貼り付け？？

>>803
ﾜﾛﾀ

ttp://automatic.maid-san.org/a/2003081801.php#18-01.03

(´･ω･`)

>>801
2000かと。

XP PROです。・・・そういえば書いていませんでしたねｗ

ワーム貼り付けている奴明日警察来るぞ

>>793
間違って３２のを削除しちゃったらどうなります？

ＩＣＭＰ通してやったら次は１３５が来るってことか

>>809
Pro！？勿体ねえ（w

>379

例のファイルそろそろ消しておいた方がいいのでは
悪用されると犠牲者が続出の悪寒

>>813
はげしくどうい(w

>>813
どうせボリュームライセンス版だろｗ

猫に小判

豚に真珠

ヒットしますたー

>>814
もう消してるかと思ってたｗｗ

>>811
消しても自動で復活する。

今から解凍して調べてみます

>>818
PASSきぼん！

キターーー>>800のは
モノホンのmsblastだったーーー
バスター反応したＹＯーーーー

もうゴミ箱とうさずに消してますw

>>720
sfc /scannow

これを、ファイル名を指定して実行」に打ち込むとよいかも
多少時間がかかるけど。

それにしても ICMP 叩かれた log とこのスレと、伸びる勢いはどっちが
上か（w。

鑑定スレで出てた鑑定で見かけたので、winsというフォルダを探してみたところ、

wins　ファイル フォルダ　C:\WINDOWS\system32　0 バイト　2002年12月2日、18:55:41

なんて言う空のフォルダを発見しました。
なんでしょうかこれ？
スレも読んで勉強してるのですが、どなたか情報お願いします。

ウヒョー。ファイアーウォールのログ見て焦ってセキュ板に来たら案の定・・・
俺も一時間に100〜のping食らってる。ネトゲが重いんだけど、このせい？

>>827
ｱﾁｬｰ

要はwinsってフォルダにDLLHOSTがなきゃいいんでしょ

>>827
上の方ででてる。
空なら無問題

ここらで一発、ｲﾝﾀｰﾈｯﾂむけにWINSｻｰﾊﾞｰ公開してみるか

>824

違います。
上げてた方です。
このまま放置してたら誰か言ってたけど警察来ても文句言えない状態に。。。

今から証拠画像キャプチャしてうｐしまつ

>>827
>>519

>>800
ｺﾗ、古い奴じゃないだろーが

古いオリジナルのやつなら探せば結構出てくる悪寒。

>>835
って事は放置して良いんでしょうか？

相変わらず頻繁に来るな。
ずっとランプが点滅してるのがなんとなくウザイ。

いちいち確認しないで自分で判断しろよ

>>800はウイルススキャンしても出ない、、
トレンドじゃないから。

http://eucaly.net/cgi-mona/monazilla.cgi
ここはmonazilla関連のアップローダーです。
monazilla関連以外のデータ（画像や音楽など）のアップロードはご遠慮下さい。
monazilla関連以外のデータをアップロードしたいかたは、以下のアップローダーをお使い下さい


ここにうｐしちゃったから無理だ・・・どうしよう〜

winsってフォルダは最初からあるの？
それとも一度でも感染したらできるの？

けどNT系ってまだまだ穴とかありそうだよな
そのたびにこんなこと繰り返すんだろうか
今回の一件でセキュリティ意識が少しは向上すればいいんだが

>>843
ある場合もあるし無い場合もある。
ちなみの漏れの2000 SP4にはある。

>843
デフォ

>>843
アフォ

名前：３７９をNGワード指定しました。

>>843
ウフォ〜

ウホッ

>379

いいかげん空気嫁

こんなん感染しちゃうヤツは大人しくMeつかっとけ

>>843
ﾋｬｯﾎ~

>>845
俺のｓｐ４にはマルチブートしてる片側だけにあった

>>847
まぁ、フォルダの作成日時を見れば一発だけどね。

>>843
ﾊｹﾞﾁｮﾋﾞﾝ

ping打ってくるIPにポートスキャンしても
今回の該当ポート開いている人って少ないんだけど

>>800はパスがかかっており、解凍しようとしてもパスが違えばもちろん開けない
ウイルス反応なし。でもPikazipでオアス解読したら一瞬でＨＩＴしました

証拠画像
http://up.atnifty.com/pic/200308190026_MS_blast.jpg

>>851
どうせ今いる379はニセモノだろ

>>852
おとなしくMe使ってますが何か？

俺だけなのか>>800のパス解読祭りしてんのは？

>>858
蓮きぼん！

>>800ウザい。お陰でウイルス２匹飼うことになってしまったじゃないか（ｗ

>>860
感染してないくせにおとなしくMeなんて使うな

Meﾏﾝｾｰですが、何か？

>>860
ﾌﾟ

>>860
お前はメモ帳使え

>>860
お前は携帯で十分

>>867
シェルにメモ帳か。最強だな（w

(´･ω･`)ｼｮﾎﾞｰﾝ メモ帳はOSじゃないし・・・でも

>>858

関係ないけどああいう壁紙使ってる奴は信用しないことにしてる（ｗ

メモ帳＆万年筆最強

>>800のパスまだぁーーーーーーーﾁﾝﾁﾝ

>>871
ﾜﾛﾀ

ﾏｼﾞでやる気なさげですね　Symantec

>>875
更新ないなぁ。何やってんだろ。
ぬるぽことAntinnyのときは早かったのにね。

http://eucaly.net/cgi-mona/monazilla.cgi
このサイト過去ログ保管だった・・・

パスワードをクラックした悪寒。

いやまじほんと今でも
脇から汗が出てるわけだが・・

今頃シマンテックの社内LAN全滅のヨカーン

僕のPCはリカヴィネが守ってくれてます！
だからだいじょうび！ﾃﾍ

>>880
（･∀･）ｿﾚﾀﾞ!!

>>873
>>800 が link 貼ってた奴って icmp 乱射してくる新型じゃないよな？
旧型のは昨日のうちに確保してるんでお腹いっぱい。

わかった、この亜種はシマンテック製だな

６ちゃんが感染したらMSか対策ソフト会社に電話しろと逝ったのが悪い

137や138を送信してるってどうなん？

これはしまんこってす

>>880
これまでで一番鋭いレスだｗ

>>883
Aワームだから旧型では？

つか８００は何をはしゃいでるんだ？
イマイチわからん

旧型は適当にググれば出てくるんだけどなぁ（w

一応最新版のトレンドマイクロでは>>800はWORM_MSBLAST.A
として検出されたわけだが、亜種かどうかは未確認
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

>>727
もしかして市万テックでつか？

？
今の状況でXPのFWとかセキュリティのFW切ったら
新型にやられます？

セキュ板なのに初めてウィルスに触った子供みたいにはしゃいでるし

ZIPのPIKAZIPクラックなんぞで得意になってるし

なんかよーわからんな

>>894
ルータ次第かと。

>>892
msblast.exeのMD5
5AE700C1DFFB00CEF492844A4DB6CD69

DLLHOST.EXEのMD5
53BFE15E9143D86B276D73FDCAF66265

ルータのログみたらこんなんあったんですがなんでしょう？
FILTER UDP connection denied from 192.***.*.*:137 to 159.***.***.***:137 (br0)

　　　　＼　　壊滅ﾜｯﾁｮｲ！　　　　／　　+
　　　　　 ＼　　全滅ﾜｯﾁｮｲ！　／
　　　+ 　　　　　　　　　　　　　　　　　+
　　　　　　 /■ヽ　 /■ヽ　 / ■ヽ
　　　　（( ∩,,・д) （,,・∀・) (д・,,∩　)）
　　+ 　　　ヽ　⊂ﾉ （⊃　つ （⊃　丿　　　　+
　　　　　　　(__(__)　(__ﾉ__ﾉ　 (__)し'　　+

現在の○ymantec社内

MSBLAST.EXE キボンヌ
http://pc2.2ch.net/test/read.cgi/win/1060769835/16

ｽﾚの勢い急に萎えたな…。
みんな就寝？

>>800はおいしくいただきました。皆もPIKAZIP使えばすぐなんで欲しい人は検索汁
>>898話によると192.168.247.129へ139番ポートでアクセスするとのことです。それのログでしょう。

WinDos窓用のポートスキャナでいいのない？

このｽﾚ、夏休み企画ですからｗ

445と6949が急に増えた。
何でだろ。

"sag"ってはやってんの？>>902

PC初心者でもないのに疎い漏れに付き合って、
丁寧に教えてくださった方達、本当にありがとうございました。
明日も無事だといいです。

>>901
みんな明日は、蔓延しているウイルスを
退治しなくてはいけないから体力を蓄えているのですよ。

λ ... 明日は亜種･･･

>>902
>>>898話によると192.168.247.129へ139番ポートでアクセスするとのことです。それのログでしょう。

ログの内容も正しく読み取れない椰子がレスすんな

>>898
メルコのルータかな？
簡易設定みたいなので、外向きの135,137-139,445をルーティングしないような
フィルタがあったはずです

>>907
俺はド素人ｗ
ただ今勉強中です。

>>897
ハッシュが理解できるとも思えんが（ｗ

受信があるのにｿﾞｰﾝｱﾗｰﾑは反応しないって何でしょ？

ごめん、135は通すんだったかも

勝手に慌ててsagにしてた俺に付き合ってくれて
このスレのみなさんありがとうございました。

隠しててももはや無意味なので



>>800のパスは


1


です。
それではおあとがよろしいようで(・∀・)ﾉ=ﾉ

>>908 なるほどです…。
ってかｽﾚの方向が800を叩くｽﾚに変わってきてるようなｗ

ルータ・FW設定万全でのんきにこのスレ見てる
俺たちを震え上がらせるような

WORM_MSBLAST.E

ｷﾎﾞﾝﾇ

最後まで空気の嫁ないﾔｼ（ｗ

ｎｙで拾えるのか・・・
セキュ全OFFのが速いオカン

>>910
>>>898はでたらめですよね？

>>911
メルコのWBR-B11っていうルータです。
フィルタ調べてみます。

>>913
駄目か・・・。

まちがった。リンクはこっちね。
http://pc.2ch.net/test/read.cgi/sec/1061205064/

2003/08/18 23:33:55 NAT RX Not Found : ICMP 211.***.***.183 > ***.***.**.*** (IP-PORT=7)

ウチのルータのログは↑で終わってるんだが、だいぶ落ち着いてきたのかな？
まだガンガン来てる人いる？

>>921
プライベートネットワークからインターネット上の159.**アドレスのノードへ
通信を開始しようとして、ルータの基本ルールに蹴られてるんだね。
フィルタを見直すより、なぜ159.*にNetBIOSでアクセスしようとしているかを
突き止めたほうがいいよ。

すいません、普段Ping80msくらいの鯖に対してなにも起動してなくても
Ping300msとかいってるんですけどこれと関係ありますか？

>>921
911は間違ってるかも

簡易設定みたいなので、外向きの137-139,445をルーティングしないような
フィルタがあったはずです

としておきますね
今回のは135を閉じなくてはいけないのでそちらは手動設定しないと駄目だったと
思います

会社のなのでちょっと記憶があいまいで、、

誤爆ｽﾏｿ

2003/08/19 01:02:08 NAT RX Not Found : ICMP 219.*.*.* > 219.*.*.* (IP-PORT=7)

dionとeonetからがんがんきてますが・・・

72番をリズムよく叩かれてる。
とりあえず、寝るか。

確かにICBMは落ち着いてきたな
135叩きと時間割ほぼ同数に
（１、２時間前は５倍以上）

今はICBM毎分３発ぐらい

ノートン先生駄目やん
バスターのほうがいいの？

みんなPC落として寝たからかな

ようやくSymantecでも捕捉した模様

ttp://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

>>932
ICBM(((( ;ﾟдﾟ)))ｱﾜﾜﾜﾜ

>>932
大陸弾道ミサイル？

なんだか気が狂ったように、攻めてきます。
この書き込みも、ノートン先生の警告が邪魔で、なかなか書き込めません。

俺のパソ＝俺の彼女

たのむよ。ホントに・・・

>>932
大陸間弾道ミサイルが毎分3発か。
大変だな。

NT3.51は影響ありますか？
いまどきマジでNT3.51でネットに繋いでいます。メインで使ってるわけではありませんが。

みんな寝たから、感染してる稼動ＰＣが減ったんだな
再燃確実か

>>933
そうとも限らない。ベンダー間で定義ファイルのリリースにタイムラグが生じるのは当たり前。
今回はトレンドマイクロが早かっただけのこと。
どっちか好きなほうを使うべし。

>>924
うちは相変わらずだよ。今 01:10-JST だが 01:00 以降に 18 回きた。
回数は減ってきたかな？

大陸間弾道ミサイルをそんなに食らってる人がいたのか･･････

>>921
というか、159.*.*.* が自分のアドレスかどうかをまず明記すべきでは？

win2000/XPの香具師はNetBiosのPort137〜139だけじゃなくてPort445も閉じとけよ。

参考ページ
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/088directhostedsmb/088directhostedsmb.html

>>926
それだけではわかりません。

218.222.*.*からばっか・・・
もう調べる気にもならん。

地球ともおさらばかな・・・・

あ、そうか、確かに寝た人が多いのかもね。
という事は、また明日にはガンガンくるのかな・・・ちょい鬱。

>>933
先走って訳のﾜｶﾗﾝ駆除する時あるけどなｗ

ぽっくんのＰＣをノックしてるＰＣにいいたい。
寝ろと。

NODも対応したようだ。
検出した。
>ファイルDLLHOST.EXEはワーム Win32/Nachi.Aに感染しています NOD32 このファイルの感染は駆除できません
本物だったのかw

220.*.*.*から毎分３，４回・・・

>>945
159.*.*.*のほうは自分のアドレスじゃないです。

XPのFWのログだけどｻﾊﾟｰﾘわからん
普通？
2003-08-19 01:01:23 DROP TCP 64.**.***.66 221.***.***.190 80 3402 40 FA 264968683 464888510 32640 - - -
2003-08-19 01:01:30 DROP TCP 64.**.***.66 221.***.***.190 80 3400 40 FA 195729454 445146151 32640 - - -
2003-08-19 01:01:50 DROP TCP 64.**.***.66 221.***.***.190 80 3360 40 FA 3659790204 248057394 32640 - - -
2003-08-19 01:02:04 DROP TCP 64.**.***.66 221.***.***.190 80 3379 40 FA 4051330826 347924084 32640 - - -
2003-08-19 01:02:25 DROP TCP 64.**.***.66 221.***.***.190 80 3338 40 FA 3298201911 162869541 32640 - - -
2003-08-19 01:02:45 DROP TCP 64.**.***.66 221.***.***.190 80 3355 40 FA 3573469676 230363351 32640 - - -
2003-08-19 01:03:07 DROP TCP 64.**.***.66 221.***.***.190 80 3409 40 FA 378631531 493381058 32640 - - -

ahooBBでICMP来てる香具師いる？
ログ取り開始してみたが一向に来ない。

内にはＩＣＰＯが来たよ
モウダｍｒポ

>>958
ルパソ？

>>957
きまくりだけど

ICMPめちゃくちゃきて鬱。こんなにログいらんし。。。
これってフィルタできないの？

>>956
ポート８０ってｗ

>>961
ブロック設定を解除してスルー汁！
これでログはｽｰｷﾘ

＞＞９６２
ん？
違ったかな。酔っててスマソ

>956
Web見てたら、それ出るよ　80

>>964
まぁイカでも食って元気出せよ

>>961
FWの外側にFWを設置。

>>921

あなたのＰＣ（192.***.*.*)がＵＤＰポート１３７で
（159.***.***.***）のＵＤＰポート１３７と
通信しようとしたんで止めました

って意味ですね。
フィルタの動作としては正常です。

ポート１３７はNetbiosで使われているポート
(159.***.***.***)はあなたのルーターに割り当てられている
グローバルアドレスじゃないかな

マイクロソフトネットワーク用クライアントとか
マイクロソフトネットワーク用プリンタ/ファイル共有
とかが有効になっている可能性が高いですね。
スタンドアローンで使ってるなら落としておきましょう。

自宅でＬＡＮ組んでファイル共有とかしてるんなら
しかたないでしょうが。
まあルーターが止めてるんで問題はないでしょう。

>>957
ひっきりなしでつ。

2003/08/19 1:16:17通信の要求219.57.247.5ICMP(2048)
2003/08/19 1:14:21通信の要求219.57.110.53ICMP(2048)
2003/08/19 1:13:39通信の要求219.60.236.124ICMP(2048)
2003/08/19 1:13:30通信の要求219.57.38.55ICMP(2048)
2003/08/19 1:12:58通信の要求219.57.172.39ICMP(2048)
2003/08/19 1:12:27通信の要求219.58.14.109ICMP(2048)
2003/08/19 1:11:52通信の要求219.57.168.191ICMP(2048)
2003/08/19 1:11:49通信の要求219.57.242.26ICMP(2048)
2003/08/19 1:11:39通信の要求219.56.226.85ICMP(2048)
2003/08/19 1:10:37通信の要求219.54.2.44ICMP(2048)
2003/08/19 1:10:22通信の要求219.57.60.9ICMP(2048)
2003/08/19 1:09:46通信の要求219.56.188.104ICMP(2048)
2003/08/19 1:09:17通信の要求219.55.196.102ICMP(2048)
2003/08/19 1:09:15通信の要求202.229.198.199TCP(4101)
2003/08/19 1:09:08通信の要求219.58.36.125ICMP(2048)
2003/08/19 1:08:47通信の要求219.57.6.80ICMP(2048)
2003/08/19 1:08:22通信の要求219.57.130.47ICMP(2048)
2003/08/19 1:08:11通信の要求202.229.198.199TCP(4101)
2003/08/19 1:07:42通信の要求219.57.192.150ICMP(2048)
2003/08/19 1:07:13通信の要求219.57.140.76ICMP(2048)
2003/08/19 1:07:07通信の要求202.229.198.199TCP(4101)

>>956の肛門の直径が80センチ

メルコのルーターってPINGを通さないんだけどなんで？
PINGを通すとどうなるのか見てみたいのに・・・

>>963
普通にだめだろｗ

>>956
参照でもしたら
http://www.atmarkit.co.jp/fwin2k/win2ktips/176xpfirewall/xpfirewall01.html

>>963
たしかにｗ

次スレまだ？

更なる亜種きぼんぬ

次の亜種はメモ帳を使ってネットに接する奴きぼんぬ。

>>957
自分もYahooだけど相変わらずきてるよ。
Yahoo自体は減ったけど。アメリカと大陸からちらほら

祖そろそろ次スレでしょ〜

>>960,969,978
そうかぁ。
何故か漏れのところには一度も来てないな。3時間ほどログ取ってるんだけど。
自分でPing撃ったらReplayパケットのログが残ってたから設定間違いって事もないんだが。

msblasterを喰らえ！！！！

>>968

追加

念のため外からの137〜139、445あたりもフィルタで止めてることを
確認しといた方がいいですね。

>>935
W32.Welchia.Worm
って Welcome to China の略か（ｗ

>>978
相変わらず10秒に1回来てますahoo

>>956
Windows 使ってないからよくわからんが drop tcp だからとりあえず安心
しといていいんじゃないの？80/tcp ってのがナニだが（w。

でも、64.**.***.66 だの 221.***.***.190 だのってどこのアドレスよ？

来なくなったよ

system32\wins\dllhost.exe と同じ場所に、
system32\wins\svchost.exe が有る香具師いるか？

有ったとして、そのニセsvchost.exeのプロパティで、
名称==tftpd.exeになってないか？

レスしてくれた方どーもです。
勉強不足です。

>>964
マジで酔ってますなｗ
代わりにレスしてくれてますが

１０秒単位で来るな・・・
OCN、富士通さん、ぷらら、ｱﾌｫｰBB、アジアンネットワーク？
もう国際社会って感じでつ・・・

>>980 外からのpingは無視なルータじゃね？
自分でpingって内側から打（ｒｙ

papiko

>>980
ログさらしてみ。

>>968

グローバルアドレスは61.***.***.***というやつなのです。
ちなみに159.***.***.***ってのを検索してみたらCountry: USとかなりました。

ＬＡＮ組んであるんでファイル共有はしてます。
問題ないということなんでとりあえずこのままにしておきます。

(･∀･)ﾁｺﾞｲﾈ

nurupo

１０００ﾀﾞﾆ

もらった

１０００ﾀﾞﾆ！

一〇〇〇

>995
ｶﾞｯ

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。