msblast対策スレ【ICMP祭り開催中】3日目!
1時間で52000回・・・なんで?
感染してるとログはどうなる? 送信の山?
381 :
名無しさん@お腹いっぱい。 :03/08/18 22:39
382 :
名無しさん@お腹いっぱい。 :03/08/18 22:39
ICMP Traffic2003/08/18 22:40:26送信n/aICMPType 8/0YahooBB220046121019.bbtec.netType 8/0LocalHost こんなのばっか
うち、しばらくこない ICMP
ちなみにoutpostです。
>>383 そうなん?
じゃあ・・・
感染者!今すぐログ見て!!
マジで何とかする方法ってないもんだろうか? まだpingだからいいようなものの、ほかの手段とかだったらちょっと考え物じゃない?
390 :
名無しさん@お腹いっぱい。 :03/08/18 22:42
ping来ない (´・ω・`)
392 :
名無しさん@お腹いっぱい。 :03/08/18 22:42
送信?
393 :
名無しさん@お腹いっぱい。 :03/08/18 22:43
>>371 (´-`).。oO(かっこいいなぁ・・・)
>>379 (;・∀・)ダダイジョウブ・・・?
pingめちゃ来てる。 何が起こった?亜種発生?
>379=神!!
396 :
名無しさん@お腹いっぱい。 :03/08/18 22:44
397 :
名無しさん@お腹いっぱい。 :03/08/18 22:44
port135メインだったのが139メインに変わってるよ。 うちだけ?亜種かいな?
port 80に昼ごろから来ているやつら 220.107.255.22 - - [18/Aug/2003:12:13:26 +0900] "GET / HTTP/1.1" 200 0 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)" こいつら本当にwin98のIEなのか?
ICMPの設定変えたら受信から送信にかわった
ログを取ってるヤシがいた…
402 :
名無しさん@お腹いっぱい。 :03/08/18 22:46
403 :
名無しさん@お腹いっぱい。 :03/08/18 22:47
晒しage祭りか( ´ー`)y-~~
404 :
名無しさん@お腹いっぱい。 :03/08/18 22:47
407 :
名無しさん@お腹いっぱい。 :03/08/18 22:48
あのー、ひょっとして漏れのPCになーんも反応がないのって、 ノーdで「デフォルトインバウンドICMP・許可」ってなってるからでつか? ∧‖∧
408 :
名無しさん@お腹いっぱい。 :03/08/18 22:48
409 :
名無しさん@お腹いっぱい。 :03/08/18 22:48
411 :
名無しさん@お腹いっぱい。 :03/08/18 22:49
412 :
名無しさん@お腹いっぱい。 :03/08/18 22:49
>>393 鯖立ち上げ当時は大変でした。(もう4年半前になりますが)
立ち上げ1週間でBINDのホールのおかげでハックされ
FBIからメールが来ました。
翻訳した内容は
「あなたのIPアドレスがハッカー集団のPCにリストされています。
早急に対策を取ってください」
おろおろしていたらIPAから同じ内容の日本語翻訳版のメールが
来ました。
再インストールやらなんやら大変だったですよ
ご愁傷様です。
415 :
名無しさん@お腹いっぱい。 :03/08/18 22:51
418 :
名無しさん@お腹いっぱい。 :03/08/18 22:52
FBIからのメールなんてスゴイYO! 見てみたいがきてほしくないもんだ・・
でもなんかIPが順番に並んでPINGされてて YAHOOしかこない・・・これもなぜ・・・
俺も鯖買ってFBIからメールを貰いたいニダ
422 :
名無しさん@お腹いっぱい。 :03/08/18 22:52
>410 これって…マジモノ? ちゃんとIPも順繰りだし
>>419 FBIに侵入しようとすれば来るかも・・・
424 :
名無しさん@お腹いっぱい。 :03/08/18 22:53
で、結局のところ、ど〜〜〜すりゃいいの?
426 :
名無しさん@お腹いっぱい。 :03/08/18 22:53
427 :
名無しさん@お腹いっぱい。 :03/08/18 22:54
俺もFBIのメール欲しーーー家宝にしたいな
俺はORDBからメール貰っちゃった。
429 :
名無しさん@お腹いっぱい。 :03/08/18 22:55
FW入れてるのに侵入されたてどういうことやねん わざわざ135を許可してたのかー? それとも別マシン(ry
>>416 なんでもハッカーのアジトを急襲してPCを押収して解析したら
うちのIPアドレスがあったらしいです。
すごいどころか大恥です。
二度と貰わないよう戒めに残しています。
433 :
名無しさん@お腹いっぱい。 :03/08/18 22:57
>>399 漏れと同じでつ。apacheのログですね。
鯖立ててない人には関係なし?
ICMPよりよっぽどうざいんだけど。
434 :
名無しさん@お腹いっぱい。 :03/08/18 22:57
yahooをネットから切り離せ! ヽ(`Д´)ノ
漏れさぁ、前はPC全然詳しくなくてさ、アップデートもウイルス駆除ソフトも入れずに 00年〜02年の間ネットに接続してたんだけど、これってやばくない?
>>410 これって感染して、ウイルスばらまくのを一所懸命我慢汁状態では!
>>420 感染してPING打っているんじゃないの?
で、実際に98ormeで感染したやつっているのか? 亜種で感染するって話は聞くが感染したってのは出てないような気がするんだが・・
ちがうとおもう・・・さっきまでICMPきょかしてたら 受信の許可してたから・・・
440 :
名無しさん@お腹いっぱい。 :03/08/18 22:59
おいおまいら、dls-monitorって何だ?
441 :
名無しさん@お腹いっぱい。 :03/08/18 22:59
442 :
名無しさん@お腹いっぱい。 :03/08/18 22:59
379の中の人は落ちつけ(w
443 :
名無しさん@お腹いっぱい。 :03/08/18 23:00
>>441 それですね。DLLHOST.EXE。ついにきましたか。
>>410 フォルダ、
C:\WINNT\system32\wins
の中に何か在る?
落ち着きますw
なつかしいプロバイダーからpingtが増えてきた
448 :
名無しさん@お腹いっぱい。 :03/08/18 23:00
ぎゃース俺のPCどっかに137売ってるよ。ブロックしてるけど。 pingは売ってないな。とりあえずオフライヌ
450 :
名無しさん@お腹いっぱい。 :03/08/18 23:01
む、新展開か?
>>379 は感染してるってこと?
自分もYBBなの?
なんか23時でping止まった。
受信はともかく 送信エコーがあると自分が感染してるってことですか?
WORM_MSBLAST.D 特 徴: 「WORM_MSBLAST.A」の亜種と見られるワームです。DoS攻撃も行うものと考えられます。 現在ウイルス活動を解析中です。情報は随時アップデートしてまいります。 デフォルトでは 10,240 bytes 前後の"DLLHOST.EXE" のファイル名で侵入するものと考えられます。 Windows XP 上では"MSBLAST.EXE" という名前のプロセスを探し、存在した場合には強制終了させます。また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホール用のパッチをダウンロードし、再起動する活動も行います。
454 :
名無しさん@お腹いっぱい。 :03/08/18 23:02
455 :
名無しさん@お腹いっぱい。 :03/08/18 23:02
YBBだけど・・・じゃあブロックしてるのは何で?
>>454 結構ここからもネタを引っ張っていたりして ♥
460 :
名無しさん@お腹いっぱい。 :03/08/18 23:03
463 :
名無しさん@お腹いっぱい。 :03/08/18 23:04
ルーターを使ってると感染しづらいのかな?
464 :
名無しさん@お腹いっぱい。 :03/08/18 23:04
>456 感染源特定しないとこれ駆除してもまた(ry Blaster騒ぎの後からFW入れたとか?
DLLHOST.EXE のファイルがシステムフォルダ内以外にないかどうか 確かめたほうがいいね。
>463 うん
468 :
名無しさん@お腹いっぱい。 :03/08/18 23:05
Filename MSPATCH.EXE Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ Runon "Nonton Antivirus " = mspatch.exe This is a patch to fixedRPC Problem! Y The worm has been packed with Aspack.
469 :
名無しさん@お腹いっぱい。 :03/08/18 23:05
379は 中→外 ブロック 外→中 スルー だったらおもしろいな(藁
結局、379さんはどうなんですか? 感染? 夢遊病? ネタ?
>>435 やばくないから、もう寝なさい。
>>410 は今すぐ回線切って(ry
ICMP Inogoing許可→感染
↓
人為的作業により
↓
ICMP Outgoing許可→外部へ攻撃を開始!
ICMPを内と外共に遮蔽してくれ!
472 :
名無しさん@お腹いっぱい。 :03/08/18 23:06
>>456 感染した君のPCから発信されようとしている外向きPINGをFirewallがブロックしているんだね。
外向き内向きを間違えていて感染してしまったんだろう。すぐに回線を切って対策をとりたまえ。
>>469 小説より面白いんだよ。事実ってヤツはw
なんか夕方より激しくなってるなPing。
475 :
名無しさん@お腹いっぱい。 :03/08/18 23:07
夏休みだから「亜種」作り放題だろ。。。
476 :
名無しさん@お腹いっぱい。 :03/08/18 23:07
まあ意見がまとまったところで、
>>379 くん、さようなら。お大事にw
379はウェルカム腕噛むどこ噛むねん状態
面白いくらい釣れたww 気分いいところでもう寝よっとww
480 :
名無しさん@お腹いっぱい。 :03/08/18 23:08
ぐはあ、やっぱ亜種かあ。 亜種の出現をリアルタイムで確認ちまったよ……
481 :
名無しさん@お腹いっぱい。 :03/08/18 23:08
新型はセキュリティホールを塞いで回るワームってこと?
482 :
名無しさん@お腹いっぱい。 :03/08/18 23:09
483 :
名無しさん@お腹いっぱい。 :03/08/18 23:09
俺達も亜種作ろうぜ 今ブラスター亜種作成コンテスト中みたいだし
もうすぐ三十路ってことか
485 :
名無しさん@お腹いっぱい。 :03/08/18 23:10
定期的(1-2分に1度) 2003/08/18 23:01:25 FIREWALL 2 connection denied from 218.123.xxx.xxx:n/a to 224.0.0.1:n/a (eth1) という風にログされるんですが、これってなんでしょうか? 218.123.xxx.xxx は私のIPではありませんがご近所さん(YBB)のようです。 224.0.0.1 も違うのですがどうしてこのログがこちらに記載されるのか分かりません
報告します。windowsの検索を使って「DLLHOST.EXE 」と検索したら DLLHOST.EXE-3FBD750D.pf C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\wins\DLLHOST.EXE が検出されました・・・ごめんなさい。
487 :
名無しさん@お腹いっぱい。 :03/08/18 23:10
>>453 そいつ漏れのところにもいた。とりあえずDLLHOST.exeを探して、名前を
DLLHOST_.exeに変えてリブートしたら治りますた。ただし、
リードオンリー属性がついてるのでそれをはずしてからね。
あとoutpostとか、ZoneAlarmとか入れないとまたそこらじゅうから感染させられると思われるけど。ちなみにWin2000+SP4,YBBでつ。
489 :
名無しさん@お腹いっぱい。 :03/08/18 23:10
>>483 ばれたらFBIやらIPAやらからラブレターが届きますね。
>>486 キタ━━━( ´∀`)・ω・) ゚Д゚)゚∀゚)・∀・) ̄ー ̄)´_ゝ`)−_)゚∋゚)´Д`)゚ー゚)━━━!!!!
491 :
名無しさん@お腹いっぱい。 :03/08/18 23:11
492 :
名無しさん@お腹いっぱい。 :03/08/18 23:11
>>485 224.*.*.*って、クラスD、マルチキャストアドレスじゃねーのか?
493 :
名無しさん@お腹いっぱい。 :03/08/18 23:11
494 :
名無しさん@お腹いっぱい。 :03/08/18 23:11
みんなping攻撃されたって言ってるけど、漏れのはログにpingが記録されないんだけど…。 zone alarmとXPのファイアウォールでpingのログ取る方法知ってる人いたら教えてくれませんか?
479はにせものです。 DLLHOST.EXE-3FBD750D.pf これはおいといて 残りのどちらを消せばいいでしょうか?
496 :
名無しさん@お腹いっぱい。 :03/08/18 23:12
>486 君は流行の最先端だよ!! 胸を張れヽ(゚∀゚)ノ
つーことは一時間に52000回乱れ打ちしてるのか… そりゃ祭りになるはずだ
498 :
名無しさん@お腹いっぱい。 :03/08/18 23:12
なるほど。MSBLAST.EXEを削除して代わりにDLLHOST.EXEが 置き換わるから急激な感染拡大があったわけか。 理解完了!
?また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホール用のパッチをダウンロードし ワラ
500 :
名無しさん@お腹いっぱい。 :03/08/18 23:12
ログにアタックの形跡が全くないのですが、 これもルーターのおかげですか?
この新種もCodeBlueのような運命を辿りそうな悪寒
502 :
名無しさん@お腹いっぱい。 :03/08/18 23:13
よし、DLLHOST.EXE捕まえた。ちょっくら覗いてみよっと
>>485 今、流行のやつです。
>>486 C:\WINDOWS\system32\wins\DLLHOST.EXE
↑はサクージョ汁!
505 :
名無しさん@お腹いっぱい。 :03/08/18 23:13
506 :
名無しさん@お腹いっぱい。 :03/08/18 23:14
trendmicroの > Windows XP 上では"MSBLAST.EXE" という名前のプロセスを探し、 > 存在した場合には強制終了させます。 > また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれる > Windowsのセキュリティホール用のパッチをダウンロードし、再起動する活動も行います。 でもでも、これって誰もがネタで言ってた 修復してくれる善玉ワームなのか?(w でもDoS攻撃なのか結果的には
507 :
名無しさん@お腹いっぱい。 :03/08/18 23:14
508 :
名無しさん@お腹いっぱい。 :03/08/18 23:14
>>502 今回の作者さんからのメッセージは何ですか?
487がほんとだとしたら C:\WINDOWS\system32\wins\DLLHOST.EXE
>>495 下のほうC:\WINDOWS\system32\wins\DLLHOST.EXE
が読み取り専用だったのでこちらをけすことにします。
間違えてsystem32\dllhost.exeを削除しないようにな。
513 :
名無しさん@お腹いっぱい。 :03/08/18 23:16
Windows XP 上では"MSBLAST.EXE" という名前の プロセスを探し、存在した場合には強制終了させます。 また、一般的に「RPC DCOM バッファオーバーフロー」と 呼ばれるWindowsのセキュリティホール用のパッチを ダウンロードし、再起動する活動も行います。 『結構いいやつ』なんじゃないの?間違い?
514 :
名無しさん@お腹いっぱい。 :03/08/18 23:16
C:\WINDOWS\system32\wins\DLLHOST.EXE 5.76 KBならおけ?
515 :
名無しさん@お腹いっぱい。 :03/08/18 23:16
しかし、このPing攻撃すごいねー 短い時は10秒おきくらい、長い時でも1分おきくらいの 間隔で 全部違うIPからやってくる。 そのうち、ルーターのログがPingで埋まりそうだ。(^^;
げ。この亜種、98にも感染するのか?
うちはXPだけどsystem32フォルダにdllhost.exeなんて無いな
518 :
名無しさん@お腹いっぱい。 :03/08/18 23:17
>>379 ブロックしてるなら実害は無いからヨシ!w
ブラスター対応のアプデトしててもDLLHOST.exeに感染してるんか?
もしそうならFW入れるかセキュリティ機能のあるルータ使うしか対処方法ないな・・
PCよくわからんやつらはどうすれば・・・(藁
>>514 C:\WINDOWS\system32\wins\
↑のディレクトリは無菌状態ならば空です。
520 :
名無しさん@お腹いっぱい。 :03/08/18 23:17
>>515 ^^;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;
521 :
名無しさん@お腹いっぱい。 :03/08/18 23:17
>>508 それらしきものは見当たらないが、たぶんVCで作られただろうことは想像できる。
もちっと念入りに読んでみる。
522 :
名無しさん@お腹いっぱい。 :03/08/18 23:17
zone alarmで普通にログ見れるじゃん
523 :
名無しさん@お腹いっぱい。 :03/08/18 23:17
送信はなくなりましたw が! 受信が少しですが始まりましたがストップしてます。 なお送信しているときは受信しないようです。
ぼちぼちパッチあてるか…
526 :
名無しさん@お腹いっぱい。 :03/08/18 23:19
>>485 218.123.**がマルチキャストのサービスをやってて、受信者がいるかどうかの
ポーリングを定期的にかけているんだね。気にすることはない。
527 :
名無しさん@お腹いっぱい。 :03/08/18 23:20
>>524 > なお送信しているときは受信しないようです。
そりゃそうだ(w
528 :
名無しさん@お腹いっぱい。 :03/08/18 23:20
>>506 ああ、それで、効率的にするために、まずpingで相手の存在を確認してから、
tcpで進入するのか。
で、システムにパッチを当てる………
まあ、この程度のping、海戦の末端では何のDosにもならんのだが。
感染経路が知りたいね。
530 :
名無しさん@お腹いっぱい。 :03/08/18 23:20
>>516 95、98の記載あるね
マ ジ デ ス カ ?
98系にはどうやって感染するんかな? TrendMicro早く!
とにかく大文字のDLLHOST.EXE がなければへえきなんだな? 小文字のほうは絶対消しちゃいかんってのはわかるけど。
よかったじゃん、98も祭りに参加できるし
C:\WINDOWS\systemにもdllhost.exeがある から誤爆注意しる
536 :
名無しさん@お腹いっぱい。 :03/08/18 23:21
>>514 2003.6.19日製なら、たぶんOK。
537 :
名無しさん@お腹いっぱい。 :03/08/18 23:21
>>532 %windir%\system32\winsのDLLHOST.EXEだね。
538 :
名無しさん@お腹いっぱい。 :03/08/18 23:21
>>379 はウインドウズアップデートしてなかったの?
539 :
名無しさん@お腹いっぱい。 :03/08/18 23:21
これはOKなの?
541 :
名無しさん@お腹いっぱい。 :03/08/18 23:22
ニュー速の書き込みによれば パッチダウソするだけで起動まではしてくれないみたい? 誰かフィックスしたバージョンを(ry
543 :
名無しさん@お腹いっぱい。 :03/08/18 23:22
TBS来ますた
545 :
名無しさん@お腹いっぱい。 :03/08/18 23:23
>>534 グッジョブ!!
保存&拡張子変更完了。
546 :
名無しさん@お腹いっぱい。 :03/08/18 23:23
>534 キキキ、キ(ry
547 :
名無しさん@お腹いっぱい。 :03/08/18 23:23
キタ━━━━(゚∀゚)━━━━ !!
>534 VBでチェックに引っ掛かるのを確認しますた
( ゚д゚) 相変わらずTVでやる対策ってのは赤子レベルだな・・・・。
550 :
名無しさん@お腹いっぱい。 :03/08/18 23:24
dllhost.exeあったんだけどwinsなんてフォルダなかった
553 :
名無しさん@お腹いっぱい。 :03/08/18 23:25
>>534 の拡張子を変更しようとしてダブルクリックしてしまう展開きぼんぬ
554 :
名無しさん@お腹いっぱい。 :03/08/18 23:25
>379 DLLHOST.EXE消しても復活するって報告あるからもう一度タスクマネージャーで 確認してください。
ノートン先生に買っときゃ良かった(´Д⊂グスン ウイルスドクターじゃ安心感がねぇよ・・・。
´∀`)やべっ、うっかり
>>534 をダブルクリック&ping送信にしてた。
てへっ。
558 :
名無しさん@お腹いっぱい。 :03/08/18 23:27
>>532 に補足。
Win2Kなら消しても次のリブート時にシステムが復帰させてくれる。(システムファイルプロテクションって名前だったっけ)
でもその対策は正解。
はぁ・・・ ダウソするのはKORやCHSで、JPNはしないのか・・・
560 :
名無しさん@お腹いっぱい。 :03/08/18 23:27
>※注:Windowsのシステムファイルにも同名のファイルが存在しますので >ワームのコピーと混同しないようにしてください 消しちゃう人いるんだろうなあ。
561 :
名無しさん@お腹いっぱい。 :03/08/18 23:27
>>508 特にメッセージらしきものは無し。
HKLM\SYSTEM\ControlSet001\Services\RpcPatch
にサービスとして登録される。これで自動実行させてるみたい。
562 :
名無しさん@お腹いっぱい。 :03/08/18 23:28
>557 (ノ∀`)アチャー
今日クリーンインストールしたんですよ、 でそのときにXP標準のファイアーウォールつけとけば 大丈夫かなと思ったんですが、 そっからアップデートして MSBLASTはもう大丈夫だと思ったらこんなことに・・・。 ちなみにもうタスクマネージャーではDLLHOSTはもうありませんでしたw
564 :
名無しさん@お腹いっぱい。 :03/08/18 23:28
俺必死で>534を落として喜んでたら、実はもう既に保菌者だった…(ノ∀`)アチャー
なんか詳細見て思ったんだが 誰かが「このウィルス削除するウィルスあればなあ」 とかいってたよな まさしくそれにあたるんじゃないか?
568 :
名無しさん@お腹いっぱい。 :03/08/18 23:29
569 :
名無しさん@お腹いっぱい。 :03/08/18 23:29
>555 ノートン先生はまだ寝てるよ( ´Д⊂ヽ
>>379 XPのファイアーウォールは、電源投入後のプロセスの起動の順番の都合で、わずかな時間だけどタイムラグ(とういか無防備な時間)が生じるって噂がありまするが。
でも結局CodeBlueはワームそのものになった
ただこの亜種はパッチ落とした後もpingは打ち続けるけどな
クリーンインストール→アップデートしようとネットにつないだ瞬間に カンセーン( ゚Д゚)
24KのやつはOK?(98)
577 :
名無しさん@お腹いっぱい。 :03/08/18 23:30
うっかりさんが多いいんたーねっつですね (ノ∀`)
578 :
名無しさん@お腹いっぱい。 :03/08/18 23:30
msblastに関係なかった98等は、この亜種に感染してもいいことなしってことか?
580 :
名無しさん@お腹いっぱい。 :03/08/18 23:31
>>379 まあ日が悪かっただな。
すごいものアプしてくれてありがとう
>>561 なんかHTTPで通信しようとしてない?
>>571 じゃあそのせいかな?
ちゃんと切断してたから
584 :
名無しさん@お腹いっぱい。 :03/08/18 23:31
>>579 バスターはパターンファイルをさっき更新してこいつに対応したからね。
I love my wife & baby :-)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-)~~ sorry zhongli だれか翻訳おながいします
586 :
名無しさん@お腹いっぱい。 :03/08/18 23:32
>>581 HTTP/って文字列がダンプ中にあるね
まぁお役に立てたみたいでよかったです 今見ても復活はしていませんでした。 本当にするんですか?
>>534 をDLLHOST.EXE.VIRUS030818にリネーム、コレクション虫篭追加w
590 :
名無しさん@お腹いっぱい。 :03/08/18 23:33
んで新種の95、98感染例は如何に?
>>585 Chian = 蒋(介石)?
zhongli = (金)正日?
592 :
名無しさん@お腹いっぱい。 :03/08/18 23:34
pingがきまくりでウザイなんとかしてよ
595 :
名無しさん@お腹いっぱい。 :03/08/18 23:34
>585 妻子愛してるぜー 蒋介石こんにちわー(作成元を皮肉ってる?) 2004年には自分自身を削除するよーん 金正日(これも?)悪いねヽ(゚∀゚)ノ
596 :
名無しさん@お腹いっぱい。 :03/08/18 23:34
597 :
名無しさん@お腹いっぱい。 :03/08/18 23:35
>588 別スレで見つけた未確認情報なので 念のため、PC再起動しても復活しなければもう大丈夫かと
ICMP Traffic2003/08/18 23:32:57受信n/aICMPType 8/0YahooBB220045221072.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:29:27受信n/aICMPType 8/0YahooBB220044056047.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:29:07受信n/aICMPType 8/0YahooBB220041092012.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:28:34受信n/aICMPType 8/0YahooBB220047120050.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:28:27受信n/aICMPType 8/0YahooBB220047084170.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:28:24受信n/aICMPType 8/0YahooBB220042072011.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:28:14受信n/aICMPType 8/0YahooBB220043072039.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:26:53受信n/aICMPType 8/0YahooBB220047008146.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:26:35受信n/aICMPType 8/0YahooBB220044216006.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:25:46受信n/aICMPType 8/0YahooBB220044104131.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:25:27受信n/aICMPType 8/0YahooBB220046180208.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:24:19受信n/aICMPType 8/0YahooBB220047117074.bbtec.netType 8/0LocalHost
379は氏ね
ICMP Traffic2003/08/18 23:24:09受信n/aICMPType 8/0YahooBB220043148192.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:23:00受信n/aICMPType 8/0YahooBB220042048003.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:22:58受信n/aICMPType 8/0YahooBB220046221108.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:59受信n/aICMPType 8/0YahooBB220045144143.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:48受信n/aICMPType 8/0YahooBB220043092217.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:38受信n/aICMPType 8/0YahooBB220046184160.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:10受信n/aICMPType 8/0YahooBB220044241041.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:07受信n/aICMPType 8/0YahooBB220044020056.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:19:02受信n/aICMPType 8/0YahooBB220046220072.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:41受信n/aICMPType 8/0YahooBB220041149027.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:23受信n/aICMPType 8/0YahooBB220045044090.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:15受信n/aICMPType 8/0YahooBB220044208241.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:34:01受信n/aICMPType 8/0YahooBB220044250008.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:32:50受信n/aICMPType 8/0YahooBB220044208233.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:32:03受信n/aICMPType 8/0YahooBB220044105026.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:31:25受信n/aICMPType 8/0YahooBB220044016079.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:30:37受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:30:26受信n/aICMPType 8/0YahooBB220044112100.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:30:16受信n/aICMPType 8/0YahooBB220044136044.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:26:52受信n/aICMPType 8/0YahooBB220044017015.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:26:05受信n/aICMPType 8/0YahooBB220044016104.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:25:39受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:24:45受信n/aICMPType 8/0YahooBB220044250008.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:24:01受信n/aICMPType 8/0YahooBB220044112039.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:23:27受信n/aICMPType 8/0YahooBB220044052046.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:48受信n/aICMPType 8/0YahooBB220044016243.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:20:40受信n/aICMPType 8/0YahooBB220044017015.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:19:26受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:19:14受信n/aICMPType 8/0YahooBB220044105026.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:18:07受信n/aICMPType 8/0YahooBB220044105002.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:53受信n/aICMPType 8/0YahooBB220044052046.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:51受信n/aICMPType 8/0YahooBB220044104152.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:51受信n/aICMPType 8/0YahooBB220045168026.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:43受信n/aICMPType 8/0YahooBB220044112039.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:30受信n/aICMPType 8/0YahooBB220043076170.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:17:14受信n/aICMPType 8/0YahooBB220044052058.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:16:23受信n/aICMPType 8/0YahooBB220044208233.bbtec.netType 8/0LocalHost
602 :
名無しさん@お腹いっぱい。 :03/08/18 23:36
延々とバッチ拾って再起動するって香具師ですか?
荒らしキター
八つ当たりですか
606 :
名無しさん@お腹いっぱい。 :03/08/18 23:36
似非379うぜぇよ。
>>379 おまえそうやって荒らしてると今回の送信元に認定するぞ!
609 :
無料動画直リン :03/08/18 23:37
ICMP Traffic2003/08/18 23:16:07受信n/aICMPType 8/0YahooBB220047168014.bbtec.netType 8/0LocalHost ICMP Traffic2003/08/18 23:16:13受信n/aICMPType 8/0YahooBB220044104098.bbtec.netType 8/0LocalHost 送信し終わってから受信しているのはこれだけでした・・・ 逝ってきます〜
全然違った( ´Д⊂ヽ 忘れてくれ
yahooなんだけど、夕方から回線切れまくりのアドレス変わりまくり。 これもmsblastの影響かな? 狙われやすそうなアドレスwになっちゃったんで、回線切って寝よっと。
615 :
名無しさん@お腹いっぱい。 :03/08/18 23:37
>>596 TrendMicroのページでは、感染対象に95,98,Meが含まれてるよ。
いわゆる、win32ベースの全てのWindowsだよ
>>585 俺様は妻と子を愛してるぜ!(・∀・)ニヤニヤ ようこそ チアンへ!
注意事項:2004年には勝手に自己消滅します(テヘ ごめんよジョングリ
617 :
名無しさん@お腹いっぱい。 :03/08/18 23:37
>>571 >>582 ファイアウォールの立ち上がりまでの間に、DLLHOST.EXE 確かに受け取りますた。しょぼん
これはもう手順無視して、本体電源⇒ファイアウォール立ち上げ⇒モデム電源
しかないわな。そらそうと、うちMeなんですけど、もらっちゃうみたいです。
ただし、動き出してはいないご様子。
620 :
名無しさん@お腹いっぱい。 :03/08/18 23:38
621 :
名無しさん@お腹いっぱい。 :03/08/18 23:39
ファイアウォール内で運用しているネットワークで感染した人います? 弊社は外部の持ち込みPCも接続できるのだが、今のところ大丈夫っぽい。
作者はチャイナか?
>>616 どもです
でもこれじゃ
作者はなにを考えてるのかわからんな
624 :
名無しさん@お腹いっぱい。 :03/08/18 23:40
破壊活動有りか・・・・。 明らかにオリジナルより優秀だ。 9xにも感染を広げるし・・・。
ここにログ晒すな、邪魔じゃ
つーことはPC時計を2004年にしたら勝手に消えるのかな
628 :
名無しさん@お腹いっぱい。 :03/08/18 23:40
昨日はYBBで今日はinfowebマジウザイ。
629 :
名無しさん@お腹いっぱい。 :03/08/18 23:40
悪戯だろう pingでDOSなんて聞いたことが・・・
630 :
名無しさん@お腹いっぱい。 :03/08/18 23:41
I love my wife & baby :-)~~~ Welcome Chian~~~ Notice: 2004 will remove myself:-)~~ sorry zhongli 漏れはおまいらが大好きだ、チャンとじょんいる。 追伸:2004年におまいらあぼーん みたいな感じかな。
631 :
名無しさん@お腹いっぱい。 :03/08/18 23:41
作者というかソースを公開したのが中国の セキュリティ系グループだとか
>>614 そうかなあ
日本人だったらダウソするパッチに日本語版を
含めると思うんだが・・・
633 :
名無しさん@お腹いっぱい。 :03/08/18 23:41
634 :
名無しさん@お腹いっぱい。 :03/08/18 23:42
ここでだいぶ前から騒いでいたからJAPANで届け出る人が多いんでは?
作者は中国人だと思うよ。 Chianとかzhongli なんて中国人しか書かない。
見方を変えれば、かなり効率的な方法だね。 ワームを持ってワームを征すとはね。
637 :
名無しさん@お腹いっぱい。 :03/08/18 23:42
おまえらWin3.1のユーザーの俺を誉め讃えろ。
638 :
名無しさん@お腹いっぱい。 :03/08/18 23:43
640 :
名無しさん@お腹いっぱい。 :03/08/18 23:43
RPCオーバーフローを解析した奴らが、 厨房にコードを利用されたのが気に入らず、 その報復ワームを作ったのではないかと愚考
>621 内部のPCのバッチが行き届いてるのかな それなら問題無いが、持ち込みPCが感染してたら バッチあたってないPCはアボーン FWは内部には無意味
642 :
名無しさん@お腹いっぱい。 :03/08/18 23:43
後始末が大変だけどね
>>619 こゆのはあまり聞かないレアケースなんで、他ではめったには信じてもらえなかったりするのがウツなんですよねん。
お疲れ様でし。
というか、これパッチを当ててから再起動するのか?
646 :
名無しさん@お腹いっぱい。 :03/08/18 23:45
>>627 >企業感染のほとんどがそれ。
「それ」っていうのはやっぱり「持ち込み」のことを指しているんだよね?
ほかの会社が持ち込みをどう許容しているのかが興味あり。
個人的には完全禁止にしたいが、上がそう思っていないんだよね。
647 :
名無しさん@お腹いっぱい。 :03/08/18 23:45
>>594 漏れのPCにもDLLHOST.EXEってのが居たんだけど、
本当に削除して良いの?
釣りじゃ無いよね?嘘じゃ無いよね?
>>614 どこの奴が作ろうが一発目を日本に打ち込めば日本で広まるんじゃない?
>>621 641の人も書いてるけど。
ワークグループ構成のLANで、個人パソ持込での感染例がありましたんで。
650 :
名無しさん@お腹いっぱい。 :03/08/18 23:46
会社は全てのPCに直接FWを導入汁。馬鹿か?
651 :
名無しさん@お腹いっぱい。 :03/08/18 23:46
関係者さんお疲れ様 今日を境に仕事もおちついたかたも多いでしょうか。。 そろそろ終息に向かうと思われたんですけどDION OCN ODN等、 大手はブロックが効いてるみたいなんだけど、 YahooBBの中でははまだ垂れ流しのようです。。 おそろしいですうんこ企業
652 :
名無しさん@お腹いっぱい。 :03/08/18 23:46
>>647 system32\winsフォルダの奴だけを削除しろ。
ってか、バッチダウソして再起動するだけのプロセスなら この氾濫しまくってるpingの説明はどうなるの?
>>585 Welcome Chian~~~
sorry zhongli
上の二つはわからないよ。
固有名詞なんだか何なのかわからんし、チャイナとかコレア系の表記でそ?
>>637 まだ生きてたのか!?糞爺めw
>>648 一発目はやはりスラマ-の件もあったし半島でそ?
656 :
名無しさん@お腹いっぱい。 :03/08/18 23:46
そのうちにウイルス感染すると自動的にワクチンダウンロードするプログラムがデフォルトで XPあたりに組み込まれたりして。 最もそうなったところでたぶん穴だらけになるんだろうけど。
>>612 漏れのルータもタイムアウトしまくり。ただ、再起動には至ってない。
ファームも影響受けてるのかしらん。ちなみに、無通信の監視時間は
60分にしてます。いや〜、さっきログ見たら昼より多めになってるね。
658 :
名無しさん@お腹いっぱい。 :03/08/18 23:47
>>647 C:\WINNT\system32\wins\DLLHOST.exeがあったら即消しなさい。ごみ箱に投げて
からすぐに空にするのを忘れないこと。その前にZoneAlarm入れなさい。
これってWindows Updateきちんとしてたら防げる問題だったろ。
Chianは生まれたばかりの息子では?
661 :
名無しさん@お腹いっぱい。 :03/08/18 23:49
今回の新種は例えるとすると「なまはげ」がぴったりかなw
NEWS23あれからどうした?
>>659 そうなんだよね。
当たり前のことなんだけど、できてる香具師が想像以上に少ない。
パッチがあたっているっていうレジストリだけ書き込まれるとかやられるとそう簡単には消えないだろうなと思ったり。
666 :
名無しさん@お腹いっぱい。 :03/08/18 23:50
>>649 某杉並区とかではそうやって感染しますた。
ちなみにおいらの隣の席の香具師、そうやって感染してますた…
漏れはなぜか大丈夫ですた…
メガネ、巨乳、少女、緊縛、美女、ストッキング。
さあ貴方の股間をムズムズさせる語句はいったいいくつありますか?
全てのエロを網羅した作品です。
アニメとはいえこれだけたくさんのフェチ心をくすぐる作品はめったにありません。必見!!
無料ムービーをご覧下さい。
http://www.pinkfriend.com/
>>660 それだ! ウェルカムトゥザワールド!息子!ってことか?
香港辺りの人かな?
>>664 Windows Updateでイタイ目を見る香具師もいるし。
あんまり信用されてないのかな〜。
671 :
名無しさん@お腹いっぱい。 :03/08/18 23:51
日本のユーザーのセキュリティ意識が低いと判明しました。
てか家の環境ダイヤルアップなんだよ・・・。 Updateする気にならないよ・・・。 一応823980のパッチは当てたけどさー。 会社の方は全然大丈夫だった。
>>666 内部告発!!!!っき、っき、キタ━━━━(゚∀゚)━━━━!!
泣く子はいねがぁ〜悪い子いねがぁ〜
675 :
名無しさん@お腹いっぱい。 :03/08/18 23:52
C:\WINDOWS\system32\dllhost.exe は消すなよ。
OCNは落ち着いてきたな。何か対策でもしたんだろうか? それに比べてplalaからのアクセスが増えてるって言うのは・・・
679 :
名無しさん@お腹いっぱい。 :03/08/18 23:53
>>676 すごいよね・・・。明らかに初心者を狙ってるよね。
>>670 信用してないならしてないでDCOMを止めたり、
パーソナルファイアウォールを何か入れたりすればいいのに。
>>664 Win9x系ではルータやPFW無い場合どうやって防ぐの?
NetBIOS over TCP/IPを無効にすれば防げるのかな?
682 :
名無しさん@お腹いっぱい。 :03/08/18 23:53
2003/08/18 22:28:15 NAT RX Not Found : ICMP **.***.**.** > ***.***.**.***(IP-PORT=7) ↑ログにあるコレの事かな? 初心者丸出しなんで、ICMPが何なのか分からないよ(´・ω・`)
>>680 信用はしないけど自己での対策もしないんだよねきっと
687 :
名無しさん@お腹いっぱい。 :03/08/18 23:54
I love〜 ってメッセージ、漏れの捕まえたDLLHOST.EXEには入ってないなぁ。 なんでだろ〜
件のRPC用のパッチを当てておいたマシンでも感染したような・・・
689 :
名無しさん@お腹いっぱい。 :03/08/18 23:54
9xって元々135なんか動いてないんでわ?
>680 火壁はともかくとして、DCOMの止め方なんか理解してるようなやつがどれくらいいると思う?
ぷららだが、ICMPが来るわ来るわ。 MNVのログが1時間弱で流れてしまう。
694 :
名無しさん@お腹いっぱい。 :03/08/18 23:54
>676が正解
696 :
>>680 :03/08/18 23:54
そうだよね。そういう人って、 信用してない、のではなく、理解できなかった、なのでしょ?
>>683 マスタリングTCP/IP(基礎編)という本がオススメです。
この分野に興味があったら読んでみて。
>>683 ICMPってのはな、玄関についてるインターフォンみたいなものだ。
699 :
名無しさん@お腹いっぱい。 :03/08/18 23:55
>>685 金をケチってるんだろう。そういう国民性だし
700 :
名無しさん@お腹いっぱい。 :03/08/18 23:55
>>682 その前にWindows98、windows2000,WindowsXPのどれを使っているか書き込みなさい。
701 :
名無しさん@お腹いっぱい。 :03/08/18 23:55
内部メッセージからみるに RPC DCOMのバッファオーバーフローを利用したワームの ソースコードを公開したのは中国のセキュリティグループX Focus(事実) でそのコードをほとんコピペしてMSBLASTとして世界中に広めたのは 世界の混乱をたくらむ北朝鮮(妄想) それに怒った中国のX FocusがMSBLASTワームを叩くワームを作って 広めた(妄想) それだけじゃなんなんでpingを打って目立つようにしてみた で「悪いな、ジョンイル」 って感じで妄想してみる。
>>682 C:\WINDOWS\system32\dllhost.exe
は消すよな。
繰り返す!
C:\WINDOWS\system32\dllhost.exe
は消すなよ。
>>685 火壁もいれてて、Updateもしてる漏れが馬鹿らしくなってくる・・・
704 :
名無しさん@お腹いっぱい。 :03/08/18 23:56
>>691 理解していませんが、サービスを停止することはできますw
705 :
名無しさん@お腹いっぱい。 :03/08/18 23:56
>>682 ダメに決まってるだろ、
考えてわかんねぇか?
家に兄弟や親用のPCが何台もある奴は大変だな
707 :
名無しさん@お腹いっぱい。 :03/08/18 23:57
でおまいら今pingどうなん? 漏れのルータログとれないんで
>>703 Windows Updateはレジストリだけ見て実際のファイルのバージョンは調べてない
節が今までもあったけど、今日のCNETの記事でそれが明らかになったわけで。
だから、漏れもあまり信用してない。
もちろん真面目にチェックはしてるけどね。
>>704 それより前に、DCOMなんて物が実装されていることすらしらねーだろ、普通。
しらねーものをどうやって止める?
>>703 こんなに仲間がいるじゃないか・・・
一緒に馬鹿になろうぜ
>>680 まったくもってそのとおりだと思うよ。
車の仕組みを知らないで車を使う人も増えたということだよ。
まとめ C:\WINDOWS\system32\dllhost.exe ←消さない C:\WINDOWS\system\dllhost.exe←消さない C:\WINDOWS\system32\wins\dllhost.exe←消す
SUS使ってる人いる?
>>712 なら君は宇宙の仕組みを知って
この宇宙に生きているのかい?
717 :
名無しさん@お腹いっぱい。 :03/08/18 23:59
>>710 サービスをクリックして停止すればいいだけじゃないの?
DCOM普通にあるし。
718 :
名無しさん@お腹いっぱい。 :03/08/18 23:59
>>710 そうだな。
アイコンをダブルクリック、自動ブートのCDを入れる。
このぐらいで解決しない事を求めても無駄
>>706 この間帰省して親のノートPCのメンテ(≒windowsupdate)をしてたんだが、タイミングばっちりだったようだ。
帰るのが数日遅かったら、今ごろは…ガクガク
720 :
名無しさん@お腹いっぱい。 :03/08/18 23:59
>>700 XPのSP1です。
感染前にうpでーとして、ブラスター本体には感染して無いので
油断してました。さっきからこのスレを読んでいたら話題になってて、
気になって検索してみたらあったんです。
721 :
名無しさん@お腹いっぱい。 :03/08/18 23:59
ノートン先生、ぬるぽにはあんなに素早く対応してくれたのにー
明日かなり鬱なんだけど
723 :
名無しさん@お腹いっぱい。 :03/08/18 23:59
>>714 オリジナルファイルを消して自己を複製するから全て削除→修復インスコ
で正解じゃない?
DCOMって何の略?
うちは全滅に近い状態だったよw 事業所間通信は全滅・・・つかファイアウォールとルータで切り離し、 構内LANもダムハブ使ってるような部署は通信途絶。 あわてて修正手順書を起こしてFAXで日本中に送りましたとさw 完全復旧までどれくらいかかることやらw
>>717 普通の奴は、タスクマネージャとか見ないし、サービスダイアログも
開かない。DCOMなんてサービス、あることすら知らない。
このログ表記、ちゃんと防げているんでしょうか・・・?
ここまで怪しいログがズラーッと並ぶことは初めてなので
ちょっと不安です。
>>697 うーん、正直そんなに興味はないんですけど、
ネットを続ける以上、知識として持って置くに越したことはなさそうですね・・・。
今度調べてみます、ありがとう。
>>698 とりあえず、穴があるかどうか確かめているって感じでしょうか。
間違っていたらすいません。
icmpもそうなんだけど、アメリカ、フランス、トルコ、他逆引き 出来ない所からudpパケットが飛んで来るんだけど。。。 似たような人いる? これって何かのコンボなのかな。
>>726 インスコまでしてくれないんかい
きがきかねえなあ。
>>723 かつては最強と歌われたシマンテックも堕ちたねw
>>725 たまには自分で調べろや。
Distributed Component Object Model
Windowsに大文字小文字の区別ってあったっけ? 素朴な疑問 dllhost.exe DLLHOST.EXE
「WORM_MSBLAST.A」の亜種と見られるワームです。DoS攻撃も行うものと考えられます。 実行されるとWindowsのシステムフォルダ直下に"wins"という名前のフォルダを作成し、 そこに "DLLHOST.EXE" のファイル名で自身のコピーを作成します。 このファイルは 10,240 bytes 前後のファイルサイズです。 ※注:Windowsのシステムファイルにも同名のファイルが存在しますので ワームのコピーと混同しないようにしてください。
739 :
名無しさん@お腹いっぱい。 :03/08/19 00:02
>>729 ウイルスバスター使っててよかった・・・(w
>717 そこに原因があるとどれだけの人が気付くかというのが根本の問題じゃないかと 現に何にも気付かない人の数→大量のpingでは
とりあえず、98には感染するのか亜種は? 面倒なことしたくないんだが
>>725 Distributed Component Object Model
744 :
名無しさん@お腹いっぱい。 :03/08/19 00:03
>>728 そうか。前SE使ってて、SEは不安定だから、PCを弄る癖がついてるからかな?
745 :
名無しさん@お腹いっぱい。 :03/08/19 00:03
で、379はあうぽ入れてるのに どうしてやられちゃったのだよ
>>733 かってに最強と歌われたシマンテックも堕ちたねw
^^^^^^
長崎大学さん感染してますよー
748 :
名無しさん@お腹いっぱい。 :03/08/19 00:03
>>651 漏れYBBだけど、確かにまだ来るね、1分あたり4発くらい。
floppyfwでも勉強しようかな。でもoutpostに慣れてしまった…
749 :
名無しさん@お腹いっぱい。 :03/08/19 00:04
トレンドマイクロの社員がいる
750 :
名無しさん@お腹いっぱい。 :03/08/19 00:04
>>716 ネガティブな読み方をするとそう発言できるなw
752 :
名無しさん@お腹いっぱい。 :03/08/19 00:04
今回のはMEも98も危ないのか?
753 :
名無しさん@お腹いっぱい。 :03/08/19 00:04
中国系のトレンドマイクロは煽りすぎ。
754 :
名無しさん@お腹いっぱい。 :03/08/19 00:05
プラットフォーム: Windows 2000, XP やっぱ9xは関係ないようだな。
dionもまだまだ大量にくる・・・
>>752 同じ穴を使ってるんだったらNT系のみだろ
中国ばっかだな・・・
あ、いつの間にやらTrendMicroのページから、95,98,Meの記述が 消えている。
762 :
名無しさん@お腹いっぱい。 :03/08/19 00:06
>678 やっぱ感染活動もするんか サンクス
亜種の発表はあったけど ICMP→TCP135という流れについては いまだに情報が出てないね。
767 :
名無しさん@お腹いっぱい。 :03/08/19 00:07
香川テ○ビ放送て・・・
768 :
名無しさん@お腹いっぱい。 :03/08/19 00:07
ん、95系は消えたのか だと思ってたよ
pcを目覚まし代わりに使ってるから基本的につけっぱなし 朝起きたらどうなってるか楽しみ
Y!BBからのICMPが多いのは利用者が多いから。ただそれだけ。
>>761 そうそう!
しかし情報更新は1 時間, 12 分前とある・・・
さっきは95,98あったのに
>>765 ひええ、最近の警察はワームの解析までするのか。
んなの、民間の会社に任せとけばいいのに。
>>754 ほんとだ〜 も〜焦ったよ〜
Meで感染したとか逝ってた香具師出て来いヽ(`Д´)ノ
9x系消えたね。 なんだったんだ
亜種は95,98にも感染するってーの。
98でupdateしに行ったら更新する必要なしだと、寂しいな。
777 :
名無しさん@お腹いっぱい。 :03/08/19 00:08
>>772 今の時期、民間は寝ているからだと思われ。それに国内じゃないしw
ICMPトラヒックの急増
779 :
名無しさん@お腹いっぱい。 :03/08/19 00:09
ウインドウズ2000で感染して、除去して、パッチ当てても、オフィスが 起動しないってことあるの? 再インストしても、動かないと聞いたが...
780 :
名無しさん@お腹いっぱい。 :03/08/19 00:09
要は感染するけど活動しないってことじゃないの? せいぜいping打つくらい
20時くらいからログ取りはじめたんで、相手IPを片っ端から逆引きしてみた 逆引き成功したのが214個、半数近くが自分と同じプロバイダだったけど so-netが24個、infowebが13個、YahooBBとocnが8個 日本以外からuk, tw, au, sgが一個づつと.netが数個って感じ いや、ちょっと暇だったんで
783 :
名無しさん@お腹いっぱい。 :03/08/19 00:09
>>756 開発者が便利に使うものだから。ぐらいでいいよ。
>>769 とりあえず明日ちゃんと目覚ましで起きることが出来るかな…
785 :
名無しさん@お腹いっぱい。 :03/08/19 00:10
>>765 これか
783 名前:名無しさん@お腹いっぱい。[] 投稿日:03/08/18 17:50
いまのところ2ちゃんで確認されてるブラスターの挙動としては
1、普通にTCP135にアタックしてくる
2、最初にping(ICMP)を打って反応があったPCにTCP135のアタックをかける
(pingが拒絶された場合は135アタックはしない)
の2つのパターンになりますかね。
788 :
名無しさん@お腹いっぱい。 :03/08/19 00:11
>>783 分散コンピューティングを簡単にできるように実装したものくらいでいいのでは?w
検索したところ、 DLLHOST.EXE-21A3A314.pf −C:\WINDOWS\Prefetch dllhost.exe −C:\WINDOWS\system32 こんなのが出てきましたが、大丈夫なんでしょうか?
>>788 どこが簡単なのかと、小一時間問いつめたい気分だが、要するに、
漏れの技術がないだけの話なので、泣きながら同意。
791 :
名無しさん@お腹いっぱい。 :03/08/19 00:12
>>788 >分散コンピューティング
俺の想定だと、この単語で眠りに落ちるw
寝たいんだけど、明日起きたら感染してるってことはないよな PINGも打ってくるな! 入っているんだからゆっくりうんちさせろ
793 :
名無しさん@お腹いっぱい。 :03/08/19 00:12
はいYAHOOです・・・だからでしょうね・・・。
やっぱ寝てないのか
はいみてますw
対処して 夜が明けたら 亜種騒ぎ
ahooって最高 明日手続きしようっと
806 :
名無しさん@お腹いっぱい。 :03/08/19 00:15
XP PROです。・・・そういえば書いていませんでしたねw
ワーム貼り付けている奴明日警察来るぞ
811 :
名無しさん@お腹いっぱい。 :03/08/19 00:16
>>793 間違って32のを削除しちゃったらどうなります?
812 :
名無しさん@お腹いっぱい。 :03/08/19 00:16
ICMP通してやったら次は135が来るってことか
813 :
名無しさん@お腹いっぱい。 :03/08/19 00:17
814 :
名無しさん@お腹いっぱい。 :03/08/19 00:17
>379 例のファイルそろそろ消しておいた方がいいのでは 悪用されると犠牲者が続出の悪寒
815 :
名無しさん@お腹いっぱい。 :03/08/19 00:17
817 :
名無しさん@お腹いっぱい。 :03/08/19 00:17
猫に小判 豚に真珠
ヒットしますたー
820 :
名無しさん@お腹いっぱい。 :03/08/19 00:18
今から解凍して調べてみます
キターーー
>>800 のは
モノホンのmsblastだったーーー
バスター反応したYOーーーー
もうゴミ箱とうさずに消してますw
>>720 sfc /scannow
これを、ファイル名を指定して実行」に打ち込むとよいかも
多少時間がかかるけど。
826 :
名無しさん@お腹いっぱい。 :03/08/19 00:20
それにしても ICMP 叩かれた log とこのスレと、伸びる勢いはどっちが 上か(w。
鑑定スレで出てた鑑定で見かけたので、winsというフォルダを探してみたところ、 wins ファイル フォルダ C:\WINDOWS\system32 0 バイト 2002年12月2日、18:55:41 なんて言う空のフォルダを発見しました。 なんでしょうかこれ? スレも読んで勉強してるのですが、どなたか情報お願いします。
ウヒョー。ファイアーウォールのログ見て焦ってセキュ板に来たら案の定・・・ 俺も一時間に100〜のping食らってる。ネトゲが重いんだけど、このせい?
要はwinsってフォルダにDLLHOSTがなきゃいいんでしょ
832 :
名無しさん@お腹いっぱい。 :03/08/19 00:21
ここらで一発、インターネッツむけにWINSサーバー公開してみるか
833 :
名無しさん@お腹いっぱい。 :03/08/19 00:21
>824 違います。 上げてた方です。 このまま放置してたら誰か言ってたけど警察来ても文句言えない状態に。。。
今から証拠画像キャプチャしてうpしまつ
837 :
名無しさん@お腹いっぱい。 :03/08/19 00:23
古いオリジナルのやつなら探せば結構出てくる悪寒。
相変わらず頻繁に来るな。 ずっとランプが点滅してるのがなんとなくウザイ。
いちいち確認しないで自分で判断しろよ
>>800 はウイルススキャンしても出ない、、
トレンドじゃないから。
843 :
名無しさん@お腹いっぱい。 :03/08/19 00:24
winsってフォルダは最初からあるの? それとも一度でも感染したらできるの?
けどNT系ってまだまだ穴とかありそうだよな そのたびにこんなこと繰り返すんだろうか 今回の一件でセキュリティ意識が少しは向上すればいいんだが
845 :
名無しさん@お腹いっぱい。 :03/08/19 00:25
>>843 ある場合もあるし無い場合もある。
ちなみの漏れの2000 SP4にはある。
846 :
名無しさん@お腹いっぱい。 :03/08/19 00:26
>843 デフォ
名前:379をNGワード指定しました。
ウホッ
851 :
名無しさん@お腹いっぱい。 :03/08/19 00:27
>379 いいかげん空気嫁
こんなん感染しちゃうヤツは大人しくMeつかっとけ
854 :
名無しさん@お腹いっぱい。 :03/08/19 00:27
>>845 俺のsp4にはマルチブートしてる片側だけにあった
>>847 まぁ、フォルダの作成日時を見れば一発だけどね。
857 :
名無しさん@お腹いっぱい。 :03/08/19 00:28
ping打ってくるIPにポートスキャンしても 今回の該当ポート開いている人って少ないんだけど
>>800 ウザい。お陰でウイルス2匹飼うことになってしまったじゃないか(w
>>860 感染してないくせにおとなしくMeなんて使うな
865 :
名無しさん@お腹いっぱい。 :03/08/19 00:29
Meマンセーですが、何か?
869 :
名無しさん@お腹いっぱい。 :03/08/19 00:31
(´・ω・`)ショボーン メモ帳はOSじゃないし・・・でも
871 :
名無しさん@お腹いっぱい。 :03/08/19 00:32
>>858 関係ないけどああいう壁紙使ってる奴は信用しないことにしてる(w
メモ帳&万年筆最強
マジでやる気なさげですね Symantec
>>875 更新ないなぁ。何やってんだろ。
ぬるぽことAntinnyのときは早かったのにね。
パスワードをクラックした悪寒。
いやまじほんと今でも 脇から汗が出てるわけだが・・
今頃シマンテックの社内LAN全滅のヨカーン
僕のPCはリカヴィネが守ってくれてます! だからだいじょうび!テヘ
883 :
名無しさん@お腹いっぱい。 :03/08/19 00:38
>>873 >>800 が link 貼ってた奴って icmp 乱射してくる新型じゃないよな?
旧型のは昨日のうちに確保してるんでお腹いっぱい。
884 :
名無しさん@お腹いっぱい。 :03/08/19 00:38
わかった、この亜種はシマンテック製だな
6ちゃんが感染したらMSか対策ソフト会社に電話しろと逝ったのが悪い
137や138を送信してるってどうなん?
これはしまんこってす
888 :
名無しさん@お腹いっぱい。 :03/08/19 00:39
890 :
名無しさん@お腹いっぱい。 :03/08/19 00:40
つか800は何をはしゃいでるんだ? イマイチわからん
旧型は適当にググれば出てくるんだけどなぁ(w
893 :
名無しさん@お腹いっぱい。 :03/08/19 00:41
? 今の状況でXPのFWとかセキュリティのFW切ったら 新型にやられます?
895 :
名無しさん@お腹いっぱい。 :03/08/19 00:42
セキュ板なのに初めてウィルスに触った子供みたいにはしゃいでるし ZIPのPIKAZIPクラックなんぞで得意になってるし なんかよーわからんな
>>892 msblast.exeのMD5
5AE700C1DFFB00CEF492844A4DB6CD69
DLLHOST.EXEのMD5
53BFE15E9143D86B276D73FDCAF66265
ルータのログみたらこんなんあったんですがなんでしょう? FILTER UDP connection denied from 192.***.*.*:137 to 159.***.***.***:137 (br0)
\ 壊滅ワッチョイ! / + \ 全滅ワッチョイ! / + + /■ヽ /■ヽ / ■ヽ (( ∩,,・д) (,,・∀・) (д・,,∩ )) + ヽ ⊂ノ (⊃ つ (⊃ 丿 + (__(__) (__ノ__ノ (__)し' + 現在の○ymantec社内
スレの勢い急に萎えたな…。 みんな就寝?
>>800 はおいしくいただきました。皆もPIKAZIP使えばすぐなんで欲しい人は検索汁
>>898 話によると192.168.247.129へ139番ポートでアクセスするとのことです。それのログでしょう。
903 :
名無しさん@お腹いっぱい。 :03/08/19 00:50
WinDos窓用のポートスキャナでいいのない?
904 :
名無しさん@お腹いっぱい。 :03/08/19 00:50
このスレ、夏休み企画ですからw
445と6949が急に増えた。 何でだろ。
PC初心者でもないのに疎い漏れに付き合って、 丁寧に教えてくださった方達、本当にありがとうございました。 明日も無事だといいです。
>>901 みんな明日は、蔓延しているウイルスを
退治しなくてはいけないから体力を蓄えているのですよ。
λ ... 明日は亜種・・・
>>902 >
>>898 話によると192.168.247.129へ139番ポートでアクセスするとのことです。それのログでしょう。
ログの内容も正しく読み取れない椰子がレスすんな
>>898 メルコのルータかな?
簡易設定みたいなので、外向きの135,137-139,445をルーティングしないような
フィルタがあったはずです
913 :
名無しさん@お腹いっぱい。 :03/08/19 00:52
受信があるのにゾーンアラームは反応しないって何でしょ?
ごめん、135は通すんだったかも
勝手に慌ててsagにしてた俺に付き合ってくれて
このスレのみなさんありがとうございました。
隠しててももはや無意味なので
>>800 のパスは
1
です。
それではおあとがよろしいようで(・∀・)ノ=ノ
>>908 なるほどです…。
ってかスレの方向が800を叩くスレに変わってきてるようなw
918 :
名無しさん@お腹いっぱい。 :03/08/19 00:55
ルータ・FW設定万全でのんきにこのスレ見てる 俺たちを震え上がらせるような WORM_MSBLAST.E キボンヌ
919 :
名無しさん@お腹いっぱい。 :03/08/19 00:56
最後まで空気の嫁ないヤシ(w
nyで拾えるのか・・・ セキュ全OFFのが速いオカン
2003/08/18 23:33:55 NAT RX Not Found : ICMP 211.***.***.183 > ***.***.**.*** (IP-PORT=7) ウチのルータのログは↑で終わってるんだが、だいぶ落ち着いてきたのかな? まだガンガン来てる人いる?
925 :
名無しさん@お腹いっぱい。 :03/08/19 01:02
>>921 プライベートネットワークからインターネット上の159.**アドレスのノードへ
通信を開始しようとして、ルータの基本ルールに蹴られてるんだね。
フィルタを見直すより、なぜ159.*にNetBIOSでアクセスしようとしているかを
突き止めたほうがいいよ。
すいません、普段Ping80msくらいの鯖に対してなにも起動してなくても Ping300msとかいってるんですけどこれと関係ありますか?
>>921 911は間違ってるかも
簡易設定みたいなので、外向きの137-139,445をルーティングしないような
フィルタがあったはずです
としておきますね
今回のは135を閉じなくてはいけないのでそちらは手動設定しないと駄目だったと
思います
会社のなのでちょっと記憶があいまいで、、
誤爆スマソ
2003/08/19 01:02:08 NAT RX Not Found : ICMP 219.*.*.* > 219.*.*.* (IP-PORT=7)
dionとeonetからがんがんきてますが・・・
72番をリズムよく叩かれてる。 とりあえず、寝るか。
932 :
名無しさん@お腹いっぱい。 :03/08/19 01:04
確かにICBMは落ち着いてきたな 135叩きと時間割ほぼ同数に (1、2時間前は5倍以上) 今はICBM毎分3発ぐらい
ノートン先生駄目やん バスターのほうがいいの?
みんなPC落として寝たからかな
>>932 ICBM(((( ;゚д゚)))アワワワワ
937 :
名無しさん@お腹いっぱい。 :03/08/19 01:05
938 :
名無しさん@お腹いっぱい。 :03/08/19 01:05
なんだか気が狂ったように、攻めてきます。 この書き込みも、ノートン先生の警告が邪魔で、なかなか書き込めません。 俺のパソ=俺の彼女 たのむよ。ホントに・・・
>>932 大陸間弾道ミサイルが毎分3発か。
大変だな。
940 :
名無しさん@お腹いっぱい。 :03/08/19 01:06
NT3.51は影響ありますか? いまどきマジでNT3.51でネットに繋いでいます。メインで使ってるわけではありませんが。
941 :
名無しさん@お腹いっぱい。 :03/08/19 01:06
みんな寝たから、感染してる稼動PCが減ったんだな 再燃確実か
>>933 そうとも限らない。ベンダー間で定義ファイルのリリースにタイムラグが生じるのは当たり前。
今回はトレンドマイクロが早かっただけのこと。
どっちか好きなほうを使うべし。
943 :
名無しさん@お腹いっぱい。 :03/08/19 01:07
>>924 うちは相変わらずだよ。今 01:10-JST だが 01:00 以降に 18 回きた。
回数は減ってきたかな?
大陸間弾道ミサイルをそんなに食らってる人がいたのか・・・・・・
>>921 というか、159.*.*.* が自分のアドレスかどうかをまず明記すべきでは?
218.222.*.*からばっか・・・ もう調べる気にもならん。
地球ともおさらばかな・・・・
あ、そうか、確かに寝た人が多いのかもね。 という事は、また明日にはガンガンくるのかな・・・ちょい鬱。
951 :
名無しさん@お腹いっぱい。 :03/08/19 01:10
>>933 先走って訳のワカラン駆除する時あるけどなw
ぽっくんのPCをノックしてるPCにいいたい。 寝ろと。
NODも対応したようだ。 検出した。 >ファイルDLLHOST.EXEはワーム Win32/Nachi.Aに感染しています NOD32 このファイルの感染は駆除できません 本物だったのかw
954 :
名無しさん@お腹いっぱい。 :03/08/19 01:11
220.*.*.*から毎分3,4回・・・
>>945 159.*.*.*のほうは自分のアドレスじゃないです。
XPのFWのログだけどサパーリわからん 普通? 2003-08-19 01:01:23 DROP TCP 64.**.***.66 221.***.***.190 80 3402 40 FA 264968683 464888510 32640 - - - 2003-08-19 01:01:30 DROP TCP 64.**.***.66 221.***.***.190 80 3400 40 FA 195729454 445146151 32640 - - - 2003-08-19 01:01:50 DROP TCP 64.**.***.66 221.***.***.190 80 3360 40 FA 3659790204 248057394 32640 - - - 2003-08-19 01:02:04 DROP TCP 64.**.***.66 221.***.***.190 80 3379 40 FA 4051330826 347924084 32640 - - - 2003-08-19 01:02:25 DROP TCP 64.**.***.66 221.***.***.190 80 3338 40 FA 3298201911 162869541 32640 - - - 2003-08-19 01:02:45 DROP TCP 64.**.***.66 221.***.***.190 80 3355 40 FA 3573469676 230363351 32640 - - - 2003-08-19 01:03:07 DROP TCP 64.**.***.66 221.***.***.190 80 3409 40 FA 378631531 493381058 32640 - - -
ahooBBでICMP来てる香具師いる? ログ取り開始してみたが一向に来ない。
958 :
名無しさん@お腹いっぱい。 :03/08/19 01:13
内にはICPOが来たよ モウダmrポ
960 :
名無しさん@お腹いっぱい。 :03/08/19 01:14
961 :
名無しさん@お腹いっぱい。 :03/08/19 01:14
ICMPめちゃくちゃきて鬱。こんなにログいらんし。。。 これってフィルタできないの?
962 :
名無しさん@お腹いっぱい。 :03/08/19 01:14
963 :
名無しさん@お腹いっぱい。 :03/08/19 01:15
>>961 ブロック設定を解除してスルー汁!
これでログはスーキリ
964 :
名無しさん@お腹いっぱい。 :03/08/19 01:15
>>962 ん? 違ったかな。酔っててスマソ
965 :
名無しさん@お腹いっぱい。 :03/08/19 01:15
>956 Web見てたら、それ出るよ 80
968 :
名無しさん@お腹いっぱい。 :03/08/19 01:16
>>921 あなたのPC(192.***.*.*)がUDPポート137で
(159.***.***.***)のUDPポート137と
通信しようとしたんで止めました
って意味ですね。
フィルタの動作としては正常です。
ポート137はNetbiosで使われているポート
(159.***.***.***)はあなたのルーターに割り当てられている
グローバルアドレスじゃないかな
マイクロソフトネットワーク用クライアントとか
マイクロソフトネットワーク用プリンタ/ファイル共有
とかが有効になっている可能性が高いですね。
スタンドアローンで使ってるなら落としておきましょう。
自宅でLAN組んでファイル共有とかしてるんなら
しかたないでしょうが。
まあルーターが止めてるんで問題はないでしょう。
>>957 ひっきりなしでつ。
2003/08/19 1:16:17通信の要求219.57.247.5ICMP(2048)
2003/08/19 1:14:21通信の要求219.57.110.53ICMP(2048)
2003/08/19 1:13:39通信の要求219.60.236.124ICMP(2048)
2003/08/19 1:13:30通信の要求219.57.38.55ICMP(2048)
2003/08/19 1:12:58通信の要求219.57.172.39ICMP(2048)
2003/08/19 1:12:27通信の要求219.58.14.109ICMP(2048)
2003/08/19 1:11:52通信の要求219.57.168.191ICMP(2048)
2003/08/19 1:11:49通信の要求219.57.242.26ICMP(2048)
2003/08/19 1:11:39通信の要求219.56.226.85ICMP(2048)
2003/08/19 1:10:37通信の要求219.54.2.44ICMP(2048)
2003/08/19 1:10:22通信の要求219.57.60.9ICMP(2048)
2003/08/19 1:09:46通信の要求219.56.188.104ICMP(2048)
2003/08/19 1:09:17通信の要求219.55.196.102ICMP(2048)
2003/08/19 1:09:15通信の要求202.229.198.199TCP(4101)
2003/08/19 1:09:08通信の要求219.58.36.125ICMP(2048)
2003/08/19 1:08:47通信の要求219.57.6.80ICMP(2048)
2003/08/19 1:08:22通信の要求219.57.130.47ICMP(2048)
2003/08/19 1:08:11通信の要求202.229.198.199TCP(4101)
2003/08/19 1:07:42通信の要求219.57.192.150ICMP(2048)
2003/08/19 1:07:13通信の要求219.57.140.76ICMP(2048)
2003/08/19 1:07:07通信の要求202.229.198.199TCP(4101)
971 :
名無しさん@お腹いっぱい。 :03/08/19 01:16
メルコのルーターってPINGを通さないんだけどなんで? PINGを通すとどうなるのか見てみたいのに・・・
972 :
名無しさん@お腹いっぱい。 :03/08/19 01:16
次スレまだ?
更なる亜種きぼんぬ
次の亜種はメモ帳を使ってネットに接する奴きぼんぬ。
>>957 自分もYahooだけど相変わらずきてるよ。
Yahoo自体は減ったけど。アメリカと大陸からちらほら
祖そろそろ次スレでしょ〜
>>960 ,969,978
そうかぁ。
何故か漏れのところには一度も来てないな。3時間ほどログ取ってるんだけど。
自分でPing撃ったらReplayパケットのログが残ってたから設定間違いって事もないんだが。
msblasterを喰らえ!!!!
982 :
名無しさん@お腹いっぱい。 :03/08/19 01:20
>>968 追加
念のため外からの137〜139、445あたりもフィルタで止めてることを
確認しといた方がいいですね。
>>935 W32.Welchia.Worm
って Welcome to China の略か(w
>>978 相変わらず10秒に1回来てますahoo
985 :
名無しさん@お腹いっぱい。 :03/08/19 01:21
>>956 Windows 使ってないからよくわからんが drop tcp だからとりあえず安心
しといていいんじゃないの?80/tcp ってのがナニだが(w。
でも、64.**.***.66 だの 221.***.***.190 だのってどこのアドレスよ?
来なくなったよ
system32\wins\dllhost.exe と同じ場所に、 system32\wins\svchost.exe が有る香具師いるか? 有ったとして、そのニセsvchost.exeのプロパティで、 名称==tftpd.exeになってないか?
レスしてくれた方どーもです。
勉強不足です。
>>964 マジで酔ってますなw
代わりにレスしてくれてますが
989 :
イタチ飼い ◆ITACHIz.0o :03/08/19 01:23
10秒単位で来るな・・・ OCN、富士通さん、ぷらら、アフォーBB、アジアンネットワーク? もう国際社会って感じでつ・・・
990 :
名無しさん@お腹いっぱい。 :03/08/19 01:23
>>980 外からのpingは無視なルータじゃね?
自分でpingって内側から打(ry
991 :
名無しさん@お腹いっぱい。 :03/08/19 01:24
papiko
>>968 グローバルアドレスは61.***.***.***というやつなのです。
ちなみに159.***.***.***ってのを検索してみたらCountry: USとかなりました。
LAN組んであるんでファイル共有はしてます。
問題ないということなんでとりあえずこのままにしておきます。
(・∀・)チゴイネ
995 :
名無しさん@お腹いっぱい。 :03/08/19 01:25
nurupo
1000ダニ
もらった
1000ダニ!
999 :
名無しさん@お腹いっぱい。 :03/08/19 01:25
一〇〇〇
>995 ガッ
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。