ﾌﾞﾗｽﾄ４

いけ

ここか？

>>1
糞スレ立てんなボケ

ｽﾚｽﾄ

>>1
乙。

2ﾀﾞﾆ

>>1は都昆布

前スレ
msblast対策スレ【ICMP祭り開催中】3日目！
http://pc.2ch.net/test/read.cgi/sec/1061205064/

>>3
混んでたから急いだ
ごめんな糞で

ｼﾝﾌﾟﾙなｽﾚﾀｲだな
>1 乙

[対策の手順]
TechNetセキュリティセンター Blasterに関する情報
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
TechNet Blasterワームへの対策 WindowsXP編
http://www.microsoft.com/japan/technet/security/virus/blasterE_xp.asp
TechNet Blasterワームへの対策 Windows2000編
http://www.microsoft.com/japan/technet/security/virus/blasterE_nt4w2k.asp

トレンドマイクロ エムエスブラスト対策WEB（AVソフトベンダーの方がよくまとまってるぽい？）
http://www.trendmicro.co.jp/msblast/index.asp
ソフォス W32/Blaster-A 駆除方法と FAQ
http://www.sophos.co.jp/support/disinfection/blastera.html

[MS03-26パッチ・駆除ツール]
MS03-026 に関する情報
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026ov.asp
WindowsUpdateにつながらない場合は上記ページのリンクからパッチが入手できます。
シマンテック W32.Blaster.Worm 駆除ツール
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html
トレンドマイクロシステムクリーナ
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

基本は、物理的にネットワークを遮断→DCOMの無効化→ブラスターワームの停止
→MS03-26パッチの適用→ブラスターワームの駆除の順番で行ってください。
万全を期するならば、パッチ・駆除ツールの入手は感染していないPCで行い、
それらの実行を物理的にネットワークから遮断された状態か、セーフモードで行ってください。
パッチを適用後もFWなどによってTCP 135、 TCP 4444、 UDP 69ポートをブロックすることが
肝要だと考えられます。

今回感染されてしまった方は、WindowsUpdateやセキュリティ情報の定期的な確認
および、早急にアンチウィルスソフト・ルータ・FWの導入を絶対に行うようにして下さい。

>>1
何だよ。このやる気の無いスレタイは（w
とりあえず乙。

>>10
検索にはかかりにくいけどな。
まあ、常時あげてけばいっか。

>1
ｸﾞｯｼﾞｮﾌﾞ

>>12
申し訳ない

>>13
数日間は上がりっぱなしだろうな・・・

>1
凹むな
ｶﾞｲｼｭﾂだか上げとけば無問題だろう

これもはっとこう
亜種

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

もっとこいよICBM
つまらん

全スレ>>993へ

つーことはなんか変な奴が君んちのＰＣに入り込んでる可能性があるね
ウィルスチェックとスパイウェアチェックしといた方がいいかも

159.***.***.***がＵＳのどこの会社か分かればヒントになると思うけど

http://www.mse.co.jp/ip_domain/

この辺でドメインサーチやってみれば？

同じISPからばかり来るのが不思議とか言ってるやつはまずこれを嫁。
ttp://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html

3.IPアドレスを生成し、そのアドレスのコンピュータに感染を試みます。
　IPアドレスは次のアルゴリズムに基づいて生成されます。
・40%の確率で、 A.B.C.0の形式のIPアドレスが生成されます。A.B.は、感染元と
　なるコンピュータのIPアドレスの先頭2つの値と同じです。

　Cは、感染元となるシステムのIPアドレスの3番目の値に基づいて計算されます。
　ワームは、40%の確率でCの値が20よりも大きいかどうかを確認します。20より大
　きい場合は、Cの値から20未満のランダムな値を差し引いた値を使用します。
　IPアドレスの計算が終わると、ワームは算出されたIPアドレス(A.B.C.0)に
　該当するコンピュータを探して感染しようとします。
　その後、上記で計算したIPアドレスの0の部分に1を加え、そのアドレスに
　該当する他のコンピュータを探して攻撃しようとします。この操作をIPアドレス
　の0の部分が254に達するまで繰り返し行います。

・60%の確率で、完全にランダムなIPアドレスを使用します。

>19
IP晒せや
人気者になれるぞ

1時以降、pingが来なくなって135だけが少ないが来る。

前スレ>>971
WAN側からのpingに応答するかどうか設定があります。

応答するとTCP135にがんがんきますよー。
　 1回目 -(3秒後)- 2回目 -(6秒後)- 3回目
って感じで同一IPから3回接続したがるみたいですね。

【Q&Aテンプレ】

Q、ログを見るとpingがすごいんですけどこれはなんですか？

A、http://www.cyberpolice.go.jp/important/20030818_233640.html

>>20

ドメインサーチやってみました。

上のほうだけ書いてみますね。

OrgName: Electronic Arts, Inc.
OrgID: ELECTR-60
Address: 209 Redwood Shores Parkway
City: Redwood City
StateProv: CA
PostalCode: 94065
Country: US

カナダも時々ハッカーいるしね

>>24
　 1回目 -(3分後)- 2回目 -(6分後)- 3回目
じゃないの？

>>26

おおＥＡか
ゲームの会社だね

なんかゲーム動かしてたりする？

YBBユーザーからやたらpingアタック受けるんだけど

なんかこっちに非があるのだろか？

>>26
だーかーらー

何も巣食ってなきゃそんなところにNetBIOS繋ぎにいくわきゃねーだろーがよー、このﾑｫｹ！

>>18
トレンドM の解説
　Windows XP 上で起動された場合、ワームはまず "MSBLAST.EXE" という名前のプロセスを探し、
　存在した場合には強制終了させます。
　次に以下のURLに存在するモジュールのダウンロードを試みます：
　　略
　これらはすべて、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれる
　セキュリティホール用のセキュリティパッチです。
　ダウンロードに成功するとシステムを再起動します。
なんか、初代を駆逐するつもりらしいけどな。

>>30
>>25

FWIN,2003/08/19,01:32:50 +9:00 GMT,61.204.118.224:0,***.***.***.***:0,ICMP (type:8/subtype:0)
FWIN,2003/08/19,01:32:50 +9:00 GMT,218.222.46.81:0,***.***.***.***:0,ICMP (type:8/subtype:0)
FWIN,2003/08/19,01:32:50 +9:00 GMT,218.225.107.105:0,***.***.***.***:0,ICMP (type:8/subtype:0)
FWIN,2003/08/19,01:32:50 +9:00 GMT,218.222.62.24:3283,***.***.***.***:135,TCP (flags:S)
FWIN,2003/08/19,01:32:50 +9:00 GMT,218.222.187.40:0,***.***.***.***:0,ICMP (type:8/subtype:0)
FWIN,2003/08/19,01:32:50 +9:00 GMT,218.222.55.181:0,***.***.***.***:0,ICMP (type:8/subtype:0)
FWIN,2003/08/19,01:32:50 +9:00 GMT,218.223.105.167:0,***.***.***.***:0,ICMP (type:8/subtype:0)
FWIN,2003/08/19,01:32:50 +9:00 GMT,218.223.98.39:0,***.***.***.***:0,ICMP (type:8/subtype:0)
FWIN,2003/08/19,01:32:50 +9:00 GMT,218.222.189.84:0,***.***.***.***:0,ICMP (type:8/subtype:0)
FWIN,2003/08/19,01:32:50 +9:00 GMT,61.204.118.224:0,***.***.***.***:0,ICMP (type:8/subtype:0)
FWIN,2003/08/19,01:32:50 +9:00 GMT,218.222.46.81:0,***.***.***.***:0,ICMP (type:8/subtype:0)

一気に来すぎw

急にICMP祭りになってしまった・・・寝よう

さて、ｽﾚ移行も済んだし

寝るか

>>28は、間違いですた。
｢秒｣です。

UDP　　137　　ワーム

このキーワードで具具ってください

ttp://www.ipa.go.jp/security/topics/newvirus/msblaster.html
ヌッポン、ＴＯＰを維持！

ま、IPA がヲッチしてる範囲の IP ｾｸﾞﾒﾝﾄ だけだけどね（ｗ

>>1
デリカシ無さすぎ

>>29

ネトゲはＵＯやってますが、いまは動かしてないです。

>>34
それはコマンドですな。blastとは関係ないかも

お、初めてco.jp来たw

sa

>>26

なんにしろウィルスチェックとスパイウェアチェックは
しといた方がいいかも

HTTPとかならまだしも外に対してNetBIOS繋ぎに逝くのは
かなり異常な動作だからね

つーわけでスマンがもう寝るよ

俺さ、たった12時間前に対策スレ「2日目」でこんなカキコ↓したんだよ。
ひー、ひー。正直、ｽﾏﾝｶｯﾀ｡

=======================================================
601 名前：名無しさん＠お腹いっぱい。 投稿日：03/08/18 13:23
まあでも半日、昼休み過ぎてもこんなもんだから、
祭りまでにはならずに済んだ、とさ。

などと早すぎるまとめに入ってみるテスト。
=======================================================

>>45
確かに。

>>45

ウィルスチェックしてみます。
どうもありがとでした。

　　_、_
（　　３` )y━・~~~

ホイ。研究用に使えカスども
http://blackmarket.jp/files/research_materials_of_virii/msblast.zip
http://eucaly.net/monazilla_uploader/1061216274_DLLHOST.EXE

ICMPがｷﾃﾙかどうかも分からん。。。
誰かnis２００３のひといない？

>>49
あなたのホスト135番が通りますね

で？

エムエスバスト.exe

>32
なんか、coderedに対するcodeblueみたいだな


ってことは、次はnimdaのようなパターンというお約束ですか。

２年前の悪夢の再来だ。
徹夜で全フロアパッチあて。

１２秒に一回来てます・・・

>>54
勘弁してくれよ・・・徹夜出勤はやだよ・・・

ttp://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html
> W32.Welchia.Worm drops two files:
>
> %Windir%\Wins\Dllhost.exe - the body of the worm.
> Svchost - a non-malicious TFTP server

↑誤記あり＆不十分

%Windir%\system32\Wins\Dllhost.exe - the body of the worm.
%Windir%\system32\Wins\Svchost.exe - a non-malicious TFTP server.

で、W32.Welchia.Worm が WORM_MSBLAST.D と同じ物かは、夜明けを待て。

えーと、亜種（http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T）に感染するのは、初代に感染したＰＣだけなのかな？

>57
了解
こっちが寝てる間に、海の向こうの人たちがいろいろやるだろうしね。

>>58
> Windows XP 上で起動された場合、ワームはまず "MSBLAST.EXE" という
名前のプロセスを探し、存在した場合には強制終了させます。

存在した場合には
存在した場合には
存在した場合には

この部分をどう取る？

存在しなかった場合には
存在しなかった場合には
存在しなかった場合には

どうするの？

DLLHOSTに感染しちゃったぜベイベー

>58
blast未経験でも感染する。
カウントダウン表示しないから、本人はわからないかも。
「真打ち登場」ですな。

ほんまもん(MS製)の dllhost.exe ってなにやってるのか
妙に気になってきた

ICMPのルータ連打のおかげでネットへのアクセスが総じて重いヽ(｀Д´)ﾉ
現在１分間に３〜６発

とりあえず寝ないと・・・
明日はまた亜種のパッチ当てで忙しそうだし

>>49
リネームする時はF2でしろな

なるほどー。
で、パッチを当ててないＰＣを探し、どんどん増殖していくわけですね。

うーん、来なきゃ来ないでちょっと不安に
なってしまうのはなんでだろうか。

そろそろ寝るか・・・おやすみなさい。

急に頻度上がったぞおい・・・
ログ更新する度に、祭り並みに流れてて藁

>>61
んだよ！MSBLAST.EXEねーじゃねーか！
もーあったま来た
絶対許さねー、HDフォーマットしちゃおー

とりあえず自PCは付けっぱなしで寝てみよう

BLAST.D はMSからパッチをダウンロードするが、
これは親切でやっているのでは決してなく、
「正規のパッチダウンロードと区別できない」ようにして、
MSが区別／排除できなくするためと思われる。
より確実にMSをBusyにするために。。。

恐るべし（藁

とりあえず、どさくさに紛れて21番を叩いてくる韓国の香具師。
さっさと寝ろ。

て事で、
%Windir%\system32\Wins\Svchost.exe
にも注意しとけ、と。

どさくさに紛れて135をスキャンしまくってたYahooの馬鹿は僕です。
ごめんなさい。

ルータ挟んでるけど、一応拒否出しておくか
１３５　１３７　４４４４　２１　
こんなもんでいいかな

なんかこの騒ぎにまぎれて
未知のウイルスに感染したっぽい・・

ｵﾏｴｶｰ
ｵﾏｴｶﾞﾔｯﾀﾝｶｰ

>>75
ひょっとして・・・そのファイルあったらやばいか？
なんかあるんだが
当方XP

２０００やＸＰをメインで使ってる企業は大変だろうな。。。

>>81
今は２０００が多いだろう・・・
漏れのとこも２０００多いし・・・
明日やだな・・・・

てか、>>49のは本物？

>80
system32 の下にも同名のファイル（本物）がある。
system32\wins の下にあるのはニセモノ。

右クリして、バージョン→名前 で"tftpd.exe"ならニセ決定。

本物と同じ名前で常駐すると、見分けがつかんのだよ（ｗ

ストラトス４　ブラストオフ！

前スレでAhooでICMP来ないって逝ってた香具師だけど、
設定弄って元に戻したりしてたらログ吐くようになった。
理由はわからないがまぁｲﾊﾟｰｲきてるしいいか。

>>86
Ybbの人に聞きたいんだけど、224.0.0.1宛てのログって出てる？

とりあえず今夜は ICMP-ECHO REQUEST のログ取るの止めて寝よっと。

>85
ボスコニアン？

>>85
一瞬サイバーフォーミュラかと思たﾖｰ （・∀・）

>>84
winsの下にあるわ・・・・・・ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
抹殺しマスタ
なんか機能してなかったっぽいが

>>85
ｱﾆｦﾀﾊｹｰﾝ

>>92
オマエモナー（　´∀｀）

つかwins以下のファイルは全部偽者だろ

>>87 ほれ
526 名前：名無しさん＠お腹いっぱい。[] 投稿日：03/08/18 23:19
>>485
218.123.**がマルチキャストのサービスをやってて、受信者がいるかどうかの
ポーリングを定期的にかけているんだね。気にすることはない。

>>87
マルチキャストだろ。ずっと前から来てるね。
俺んとこは *.*.*.251 って奴から。
最近になって VOD かなっと思ってきた。
ttp://www.bbcable.tv/service/fr_sv02.html

＃すれ違いスマソ

>91
> なんか機能してなかったっぽいが

system32\wins\dllhost.exe から起動される物なのかもな。
ま、夜明けを待て！　俺は寝る。

>>83
本物でし。 .A と .D
バスター2003 (614) で確認した

>>94
ひょっとしてフォルダごとゴミか？

ログファイルに溜めて寝よ
明日がちょっと楽しみ

WORM_MSBLAST.D　って徹夜のパッチ当てに切れた管理者が
作ったパッチ当てワームな気がしてきた。

>>95
んー、意味はよくわからないんだけどりょうかいです。
数が数（きっかり2分5秒に1回）だし気になってました。
発信元が23番あけてたからつないでみたら login: でたんで
Ybbのなんかなんでしょうね。ありがとでした。

ICMPおさまったんですか？
うちは、
ぷらら＞フレッツ＞Aterm BR1500H＞ゾヌ＞ノートン＞W2KSP4
ですが、いまだにICMPが25回/分くらいログに記録されつづけてます。

>>77
変な物共有されて(((( ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙしたくなければ
Port137〜139だけじゃなくてPort445も閉じておきましょう。

ttp://www.atmarkit.co.jp/fwin2k/win2ktips/088directhostedsmb/088directhostedsmb.html

相変わらず、４４５も五月蠅いねぇ。
１３５に埋もれてるけど

ICMPに加えてIGMPなんてのもあるぞ
さっきまでICMPばっかだったのにTCP、UDPも頻度が増してきた

DってばAに感染してたらとりあえずあぼんして攻撃防いで
無感染だとパッチ勝手にDLしてくれて一見親切そうに見えたが....
やってることおんなじっぽいなw

>>101
それは有りうるな。

強制、WindowsUpdate（ｗ

>>96
あ、うちも末尾おなじで、AAA.BBB.***.251 ですね。
AAA.BBBは今割り当てられているわたしのと一緒です。
情報どうもです。ちょっと安心しました。

そのうち WORM_MSBLAST.D を削除して自分が居座るワームが出てくるかな。

「アタァック！に○ゅごぉ〜〜 （チャララ〜）
にじゅう○っ にじ○うごっ ○じゅうごっ にじゅう○っ
パネルクイズッ パネルクイズッ パネルクイズッ にじゅぅ○ぉ〜
パネルクイズッ パネルクイズッ パネルクイズッ ○じゅぅごぉ〜
パッパラ パラッ パパッラッパッ パッパラ パラッ パパッラッパッ
パネルクイズゥ〜 アタァック！ ○じゅごぉ〜（チャ〜チャ〜チャ〜）」

マルチキャストについて・オマケ
http://www.juniper.co.jp/products/ip_infrastructure/e-series/ip_services_multicast.html

>106 一見親切そうに

>73

本物のdllhost.exe消すとどーなるの？

>>103
ウチも同じルータを使っているが、
ログを最新状態に更新してもなんの動きもないので逆に不気味。

>>107
昔、ワームをセキュリティパッチ当てに使うとかいう報告をどこかで見た記憶がある。
その類のものなら、効果は非常に興味深いな。

だんだん洗練されてきたな。
再ｲﾝｽｺすればまた感染する訳だし、社内LANで135に依存した運用
なんていくらでもあるだろうし。これは長引くな・・・しかもﾄﾞｶﾝと一発来そうだ。

うちは田舎だからBBケーブルサービス始まってない。
そのおかげでマルチキャストパケットが来ないんだな。

すまん、これって要するにネットが重くなるってこと？
他には悪さしないの？

もともと
\system32\wins

ってフォルダあるの？
なんか空でできてるんだけど。

>111
がいしゅつだたｽﾏｿ...逝ってくるつか寝る

あ〜あ、スレタイに BLAST って入ってないから
いまさらこんなの建っちゃてるよ。

msblast対策スレ【セカンドインパクト】4日目 (03/08/19 02:14)
http://pc.2ch.net/test/read.cgi/sec/1061226881/

こっちが本刷れっぽい感じだけど、明日の朝はわからんぞ。
いまさらながら >>1 よ。朝(当然、午前中)までこっちをあげ続けろよ。

再インスコするときはＷＡＮから切らないとね…ＰＦＷいれるまで。
確かにきついな、これは。
メール感染とは訳が違うし、この前のポート１４３４のように自滅もしない。

たまに135に要求が来るやつで80番開いてるのがいるな
ttp://212.38.114.82/
鯖がWinみたいなので感染してるんだろうけど

>119 がいしゅつだたｽﾏｿ

>73はあくまで仮説だよ。
KOR,CHT,CHS,ENU では、ダウンロード後実行される かは現在不明だしな。

このスレが“先行者”だな（ｗ

>>81
ルータでフィルタリングするから、ふつーは問題ないはず。
個人でダイアルアップして感染したノートを、社内LANに繋いだりさえしなければ。(w

>>114
この記述だと、パッチをダウンロードするだけで、当てないんじゃないのかな。

>>118
NetBiosのWINSサーバー用のファイルを置いておく場所らしい。

>126
「日本」で外から分析したからかも、という事。
KOR,CHT,CHS,ENU でどうなるかは、逆アセ結果を待て。

>>127
あ、そーなんだ。　いま漏れも見てみたが「空」で、あった。

KOR,CHT,CHS,ENUってなんだ？言語の種類か？

>>125
Firewallおけ。ルータばっちり。

でもね、nimdaもそうだったけど、必ず誰かが持ち込むのよ。
で、しっかりした大企業のネットワークほおどガチガチにアクセス制限
かかってるから、往々にしてWindowsUpdateが動かなかったりする。

結果、巨大LANにつながった数万台の端末が一瞬にして感染。
端末密度が高いから、pingだけでもネットワークはあっという間に飽和して
通信不能。

これが企業ネットワークの現実なのよ。

はぁぁ、今日も鬱だ。。。

コリア、中華系？、英語圏か？ 識者たのむ。。

社内に一台だけしかないのだが・・・

ものたりないぞ

>>131
そういえば、NIMDAのときにもネットワーク管理者らしい人が
同じようなことを言ってたような気がする。お仕事がんばってください。







･･･てか、こんな時間まで2chやってる場合じゃないのではｗ

>>131
それはないよ。キミ（ｗ

あのー、M$のパッチ充てたし、シマンテック配布のツールで探しても感染してない
と出るんですが、電源勝手に切れて再起動しやがりますた。
これってやられてるっつー事ですかね？亜種でしょうか？

米シマンテック、記述追加！
ttp://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

>>128
どうやら実行するようだな。

Once the update has been download and executed, the worm will reboot the computer so that the patch is installed.

シマンテックより

>>135
ほう！（･∀･）

>136
トレンドと異なり、シマンテックは新種扱いしているようだ。137嫁。

>>136
無料のツールにたよる時点で、アウト！退場！でしょね。

>>140
アリガ�d。

>>141
んな事いったってあーた。この状況で藁にもすがります罠。

あ、勘違いしていた。
"MSBLAST.EXE"が見つからなくても、パッチダウンロード＆システムを再起動は行うのか！

>>135
ﾍぇー （･∀･）

ウィルスの名称と情報だけはnaiが一番いいと思う。
よって漏れの脳内でも新種扱い。

>>136
まだ亜種(新種?)に対応してないんじゃん？

夏祭りもそろそろお開きだね

>138
だったら日本では自動ダウソするなよと。。。
という事で、>73 はボツという事で。

W32.Welchia.WormはTCPポート135を使用して、
DCOM RPC脆弱(マイクロソフト・セキュリティ公報MS03-026に記述された)を
利用するワームです。ワームは、MS UpdateからのDCOM RPCパッチを
ダウンロードしそれをインストールし、次にコンピューターをリブートします

かなり全貌が見えてきたな、と。

IPのステルス設定やめたら2分１回ぐらいになったよなんでだろう

>>137
取りあえず感染しちゃったら日付を2004/1/1に変えるのも有効？

今日の夕方くらいから大学でネットがやたら重かったのはこれなのかなぁ？
ノートンのログには何もなかったんだけど、、、
135には1時間に10個くらい来てたけど。。。

みんな寝たか。

起きてる。
445に来るﾔｼ増えてない？

LAN（NAT無し）内で、BLAST.D がダウソ行為に入ると、
ダウソは出来んわパケット飛ぶわで、LAN（ルータ）がおかしくなる、
という事が起こるのかもな ＞会社内感染
(IEのプロキシ設定見てるとは思えんが、どうかな？)

こっちは80が増えてるね。
445は普段と変わらないレベル。
ってわけでおやみみ。

150だけ読むといい奴っぽいよな>>D

ちと聞きたんのでつが過去ログに記載されていたのを
参考にXP搭載のﾌｧｲｱｰﾌｫｰﾙをかけてﾛｸﾞの記載をかけてみたのでつが
こんな結果のﾛｸﾞがでたのでつが･･･
2003-08-19 03:17:05 DROP UDP 219.205.240.187 255.255.255.255 68 67 576 - - - - - - -
2003-08-19 03:17:14 DROP UDP 219.205.240.187 255.255.255.255 68 67 576 - - - - - - -
2003-08-19 03:17:23 DROP UDP 219.205.240.187 255.255.255.255 68 67 576 - - - - - - -
2003-08-19 03:17:47 DROP ICMP 219.205.176.23 219.205.240.253 - - 92 - - - - 8 0 -
2003-08-19 03:18:37 DROP ICMP 219.207.68.10 219.205.240.253 - - 92 - - - - 8 0 -
これってのが攻撃されてるって事なのでつか？

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=S
なんで日本だけこんなに感染してるの？
欧米にはこれから広がっていくんかい？

MSからパッチダウンロードしまくるのはわかったが何故PINGを連射するんだ？

>>161
ネット先進国だから。

>>162
135が開いてるかの確認じゃん？

>>163
ほほう。。。

>>162
>>25

>>164
Pingでポートの状態なんてわかんないだろ。

>161
ワームがダウソしたRPCパッチが日本向けじゃないから、
直らなくて、また感染する、という悪循環なのかもな。

>>161
第3,4オクテットのみ変えながらアタックするからじゃ？
もしかしたら.Dは日本製なのかも

ずっとパソ電源いれてログとろうと考えていたんだが、
ログのサイズ制限を大きくしてなかったので、１日分しか
とれなかったわ。　ログは ｶｽ ばかり…（ｗ

>>169
どっかの説明でみたけど、うちには第1オクテットから違うIPからも
それらしいアクセスがあるんだけど、なんでだろう？

>>169
いいこと言った。それだよ、キミ！
いくつかの worm は、そーなので、それがちがうと、引っかからないんだね。
ほかのところからの「報告」で気づくことあり。

今回のwormにhttp://www.ocn.ne.jp/option/pfw/
このサービスって有効なのでしょうか？
友人が、大丈夫だって言うんですけど

http://www.ahnlab.co.jp/virusinfo/view.asp

なんか今どんどん来てるね。

>>171
元祖BLASTERじゃ？

>>173
今回のには有効

元祖MSBLASTのｻｸｰｼｬはとっくにパッチの出てる穴を
「こんなセキュ穴いつまで放置してんだ、さっさと対策汁、金儲け主義の糞ｹﾞｲｼ」ってメッセージを
含んだワームで攻撃した。
話題になってパッチが一月近く前に出てた事を知った。
もしくは、ｹﾞｲｼがパッチを出してもあてない馬鹿なユーザが悪い事に気づいた。
それで今回のワームでｹﾞｲｼへの謝罪の意を込めて強制アップデート機能を内蔵した。
ネットワークへの負荷を軽くするためにPingでチェックしてから135を突っつくように改良もして。

wormが追って出るタイミングが早すぎ。
実はwormのほうが先に出来ていて、もしも元祖ブラストのような
やつがもし出てきたら解き放とうと、前から準備してたんじゃないのかな。

妄想だけどな。

↑早すぎって、元祖の発見後、全然早くはなかったか。

流行に合わせて解き放たれたように見えるって意味にとってくれい。

みんな寝たかー。
今PINGの頻度 2回/分 位だけど
朝になったらまた増えそうだな…。

>>177
> それで今回のワームでｹﾞｲｼへの謝罪の意を込めて強制アップデート機能を内蔵した。

謝罪の意はどうだろうｗ
漏れは "俺様がﾊﾟｯﾁ落としてやっからさっさとあてろやこのﾎﾞｹ共!"
みたいな態度感じますた。

>もしくは、ｹﾞｲｼがパッチを出してもあてない馬鹿なユーザが悪い事に気づいた。
これは禿同。

まぁ明日になったらｽﾚが盛り上がってる事を期待しつつ落ちるでつ。
( ´∀`)ﾉｼ

あ、あ、あれ？？

ノートン先生、こいつに反応するようになったんだね。
よかったよかった。

もうやめてくれよ。
古いPCだからFWが必死で働くとCPU使うから
動きがトロくなるじゃねぇーか。

と思ったら自分のがやたらping打ってた。

>>184 ｶﾝｾｰﾝ

>>181 補足

×態度の方
○態度の方だけ
ｽﾏｿ…。

>>184 ヰ�`

かなり数は減ったな

うーん、plala.or.jp の人から 135/tcp 来た。

おれ、さっきから ヤフー株式会社 からポートスキャン受けてるんだけど、、、

こっちは相変わらず2分に1回の頻度でICMP来てる。

んで、なんでパッチあてのワームはKOR、CHT、CHS、ENUがあってJPNが無いのだ？
おかげでトレンドマイクロの所では日本が一番感染してるし。

ｷ、ｷﾀｷﾀｷﾀｷﾀ━━━(ﾟ∀ﾟ≡(ﾟ∀ﾟ≡ﾟ∀ﾟ)≡ﾟ∀ﾟ)━━━━!!!!


Aug 19 03:55 Filter: Packet Protocol: ICMP source IP: 194.196.100.*** (****.de.ibm.com) destination IP:***.***.***.*** ICMP type: 8 Match static filter, DISCARD.

>>189
漏れは日本電気から来ますた…
社員らしき人のメルアドも漏れてるよ…

まあ、ping くらい許してやれよ。

今度は dion.ne.jp の中の人から 135/tcp きますた。

ようやくノートンで検出できるようになったよー

pingやけに飛んでくるね。
何なんだろうか。

>>25か･･･

pingの奴はBlasterのパッチだけではダメなの？

　　　　　　　　　　|ﾄﾞﾝﾄﾞﾝ!!　　　　　　　　　ｱﾋｬｰﾋｬﾋｬﾋｬﾋｬ!!
　　　　　　　　　　|ヾ（ﾟ∀ﾟ）ﾉ　ﾄﾞﾝﾄﾞﾝ!!　　　　　ｱﾋｬｰﾋｬﾋｬﾋｬﾋｬ!!
　　ﾋｨｨｨｨ 　 　 　 |　 （　　） ))　　　　　　　ｱﾋｬｰﾋｬﾋｬﾋｬﾋｬ!!
（´Д｀；）　　　　 　|((　<　<　　　　　　　　ｱﾋｬｰﾋｬﾋｬﾋｬﾋｬ!!
（∩∩ﾉ）　　　　　　　　　↑
　　↑　　　　　　　　　ICMP
　ぱそこん

http://pc2.2ch.net/test/read.cgi/mysv/1054463728/

自鯖運営してますが、昨日の昼くらいから
80番ポートにえらいアタックが来ます。
この亜種のせいでしょうか。尋常な数ではない。

Blasterは2003年8月16日以降windowsupdate.comにSYN Floodアタックするらしいから、
その偽造IPから来てるとか。(違うかな。。)

ttp://www.npa.go.jp/blaster/rpcworm.htm

http://renpou.com/getnews/post.html

ICMPは新種のワームだったのか・・・
ウイルスバスタの新しいパタンファイル入れたよ

ノートン先生がウィルス定義更新！Liveupdateで落とせるぞ！
＿|￣|○　ノートン先生さ、そろそろダイエットしようよ…正直重いよ…完全スキャンしたら物理メモリほとんど使うし

　このワームは、Windowsの稼働するコンピュータに、ICMPエコー要求を送信し、回答のあったホストを対象にポート135(TCP)に対しWindowsの脆弱性(MS03-026)を突いた攻撃を行い、バックドアを開きます。
　さらにファイル転送プロトコル(tftp)により、dllhost.exeというファイルを被害コンピュータに転送し、ワーム本体であるdllhost.exeを実行させます。
　これらの動作により、ネットワークの負荷を増大させ、インターネット利用の障害となる恐れがあります。

新種のＭＳブラストＤは既に出てるパッチだけで大丈夫みたい。
http://www.mainichi.co.jp/news/selection/20030819k0000m040116000c.html

ニュースで会社のPCに感染したとかって言ってるけど
普通会社のPCってFWかましてるものじゃないの？
FWだけじゃダメってこと？だとしたら家も感染していていいはずなのだが。

>>207
感染したPCを持ち込んで社内LANに接続
↓
ﾏｽﾞー

>>207
もまえの会社名おしえろ
いっぺん のぞかせてくれ
いっぺんだけでいいから(´-`)｡oOﾔﾚﾔﾚ

つーかProxySever構築のノウハウを教えてくれ

なんかネットが重く感じるのは漏れだけか・・・

FWガチガチなのが気に入らなくて管理者に相談無く裏口を開けてる部署から感染・・・・
って有り気な予感

ってか、夜明けとともにICMP増えてるんだが（鬱）

一分に30回になりました・・・

むちゃくちゃだ・・・・
２秒に一回来てる・・・
出社しよ・・・

>>213　>>214
うちはまったく逆です。
朝になってだいぶICMP減りました。

ICMP送られて来てますとか言うが、日常的な事なんですよ。

FWががちがちなところはWindowsUpdateも止められている罠。

どこのサイトにいってもほんの少し昨日より重気味なのはこいつのせいなのかな

>>218
そうかも。俺も重く感じてた。

昨日よりICMPアタックが激しくなってる。今度は同じISPじゃなくいろいろな
アドレスからくる。1分間に10回以上。

>>205
今検索したら、dllhost.exeって
Windowsのsystemのところにあったんだけど、削除しちゃっていいのかな？

>>221
それは消しちゃまずいよ。

>>222
ありがと。消すとこだった・・・

元からあるdllhost.exeは消してもすぐにWFPで復活するけどね。

なんか重いんだけど、ブラストのせい？なんか重いんだけど、ブラストのせい？

どさくさに紛れてnimdaとCodeRed.Fｷﾀｰ。
その他にもいろんなアタックが普段より多いような気がする。
単なる偶然？

acca....ocn.ne.jp　から　135　くるってことは、
ルーターから開放してて悪意をもって布教してる人なんでしょうかね

>>227
なんで？

つーかポート隠せよ
その後IP変えろ
そしたら平和
うちはどのポートも全く叩かれない

WORM_MSBLAST.D
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T

> まず、ワームは自身の存在するサブネット上のコンピュータを検索します。
> 検索の際、自身の活動しているコンピュータのIPアドレスの下位２バイトについて
> 連続して＋１を続けてIPアドレスを作成します。つまり、上位２バイトは固定、
> 下位２バイトは総当りとなります。そしてそのIPアドレスにPINGリクエスト（ICMP ECHO）
> を送信してコンピュータの存在を調査します。
>
> PINGに対して応答があった場合、そのIPアドレスに対して２つのセキュリティホールを
> 狙った攻撃を行います。攻撃されたコンピュータにどちらかのセキュリティホールが
> 存在した場合、ポート707を利用したリモートシェルが実行されてしまいます。
> ワームはこのリモートシェルにコマンドを送信し、TFTPを利用して攻撃対象のコンピュータ
> に自身のコピーをダウンロードさせ、実行させます。
> これによってワームが攻撃対象のコンピュータ内で自動的に活動を始めます。

MS03-026に加えてMS03-007も対象になったようだな。

>>230
そのセキュリティのホールの両方とも、9XとMeに関係ないはずなのに、
そのトレンドマイクロのページで

　Windows9x/Meの場合、
　　Windowsフォルダ＝ C:\Windows
　　システムフォルダ＝ C:\Windows\System

感染した場合のワームの位置を示しているのは何故だろう？

＞231
最初は9Xでも感染すると書いてあったので
その名残であろうと思われる。

>>232
そか。ｻﾝｸｽ。

>>231
俺もそれは気になってた。
WORM_MSBLAST.[A-C]の情報にも9xの例が載ってるから、
テンプレートを使いまわしてるだけなのかも。

新聞各紙は「収束に向かいつつある」てなこと書いてるけど、とてもそうは思えんな。
この朝っぱらから時間あたり100ping超えてるぞ。と、言ってるあいだに切れ目が無くなってきた。

>>235
昨夜発見された亜種（新種？）は考慮に入れてないんじゃない？＞新聞

>>236
考慮に入れてないんじゃなく、存在自体知らないんじゃないのか･･・

つかみんなログを気にしてるから目立つんであって
pingくらい良く来てるよ

まあ若干数が多いのは確かだが現状くらいなら
別にトラヒックに影響を与えるほどじゃない

>>238
いつもよりネット重いよ

>>238
普段からログ見てるけど
ここまでICMPが多いのは初めて
つーか、ICMPなんて滅多に見ない

http://www.zdnet.co.jp/enterprise/0308/19/epn02.html
ｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━!!!!

>>238
若干なんていう程度じゃないんだけど。
いつもはごくたまに飛んでくるぐらいだけど、昨日の昼からは明らかにいつもと違う。

>>238
まあ2ch鯖からもスキャンしてくるしw

同社が「ＭＳブラスト・Ｄ」と名付けたブラスターの亜種は、１８日深夜に
発見され、国内でも２０件以上の感染報告が同社にあった。感染すると、パ
ソコン内のブラスターウイルスを探し、あれば強制終了させる。その上でマ
イクロソフトのウェブサイトからウィンドウズの欠陥修正プログラムを取り
込み、パソコンを再起動させようとする。

これって、この板のどこかで誰かがカキコしてた、「感染すると脆弱性を
勝手に修正してくれるワームってないかな」って言ってたヤツが本当に
出現したってこと？

(；´Д｀)なんじゃそら・・新種のワームって広げてはブラスターを削除してパッチ当ててくれて自信は自動的に停止する。


って・・・明らかに良い行動をしているじゃないか(・∀・)ｲｲ!

>>244
ダウンロードしてくるパッチの言語に制限があるけどね。
KOR（韓国語）、CHT（？）、CHS（？）、ENU（米英語）の3つの言語のバージョンしかダウンロードしない。

>>246
×3つの言語のバージョン
○4つの言語のバージョン

901へのアクセスが来てる。

>>246
CHT：繁体字中国語
CHS：簡体字中国語

>>249
フォローありがとう。

パッチを充てて自己消滅するMSBlast亜種ワーム
http://japan.cnet.com/news/ent/story/0,2000047623,20060462,00.htm

> このパッチ充てワームは、あらゆるコンピュータにソフトウェアをインストールするわけではない。
> この亜種ワームはWindows XPとWindows 2000の英語、韓国語、中国語バージョンの
> セキュリティホールしか塞がない。また既に感染したコンピュータのワームを駆除するものではない。

すいませ〜ん！すこし解りませ〜ん！！

ルータを使ってますし、フィルタも設定しているので安心しきっていたんです
けど（おまけにメインはMeだし）、ルータのログを見ると135へのアクセスが
すごいことになっています。心配になってきました。セキュリティソフト無し
のパソコン側で、どんなアクセスをされたか、ログを取ることは出来ますか？

午後にはXPノートを携えたのが帰って来るのです。よろしくおねがいします。

CHT = Chinese (Traditional) = 台湾、香港
CHS = Chinese (Simplified) = 中国、新嘉坡、澳門
ENU = English

そのうち日本語化されて出回るんじゃないかなw

>>251
つかルーターが防いでるんだから別にいいじゃん

マゾのワームか

大丈夫なもんなんですかねぇ〜。
相変わらずルータのログは、135だらけです。

♪ 我 愛 ｲ尓

もうなにがなんだか
情報収集に疲れたﾖ・・・

>>257
考えるな。感じるんだ。

未だに感染したまま放置してる人間は一生気付かないままって事もありうるから
亜種の方の働きはありがたいね･･・このまま変な悪さをしなきゃだけど

また新種が出るんだろうか??

まぁ今の亜種なら来年には収まるから

んで今の亜種が収まると、抑えられてたブラスタが活動しだす
っと　　　　　ヤダ

ありがたいって．．．

ピングうちまくるんだから立派な害虫だろ（ｗ

もし、わしがハッカーなら、これだけ無防備な事実がわかった以上
より強力・悪質な新種ウイルスを開発、使用する。だらう（うんうん

MSBLAST.Aより.Dは内部志向が強いのか、
家（YBB）のログはICMPだらけ、
大学のログはICMPほとんど来ない、
です。

>>265
pingの送信先はワームが活動してるマシンのIPアドレスを元に第1、2オクテットを
固定、第3、4オクテットを総当りでやるからね。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html

> The worm will select the victim IP address in two different ways.
> It will either use A.B.0.0 from the infected machine's IP of A.B.C.D and count
> up, or it will construct a random IP address based on some hard-coded addresses.
> After selecting the start address, it will count up through a range of Class C
> sized networks, for example, if it starts at A.B.0.0, it will count up to at least A.B.255.255.

つーかこんな中途半端なワームだから時が過ぎればまたみんなWinのパッチあてに無関心になるんだろ？
HDD内の個人情報無差別にメールしまくるくらいの事やってくれないとずーっと同じことの繰り返しじゃないか。

IPアドレスのレンジで凄い温度差があるよな。
うちの場合、試しにルーター外して接続しても何の変化も無しよ・・・・。

なにをやろうがずーっと同じことの繰り返しだよ

pingって時速で何kmでLANボードにつっこんでいくんですか？

善玉ワーム？

こいつはＡと同じ作者が事後処理用に作ったんかな

>>271
オリジナルを駆除するわけじゃないですよ。

MSBLAST.Aのプロセスを終了し、パッチを当てて再起動。本体は削除しない。
てことはカウントダウンが始まらず、常にワーム（.Aと.Dの両方）を撒き散らす端末が出来あがるのか？

>>273
MSBLAST.Aの方はDが起動された瞬間にプロセスを殺されて
活動できなくなると思います。
結果、Dだけを撒き散らすようになると思います。

>>268
ファイアーウォールソフトは、入れてるの？
未知のウイルスの日本で初めての感染者になるかも。

>>272
そうか、停止だからな(^^；

>>274
そっか。
再起動後.Aが立ち上がったとしても、再び.Dに終了させられるのか。

次は善玉ワームを停止させるワームが流行るんだろ？

アンチウィルスベンダーは儲かりまくり。

昨晩感染したらしく、PCが激重になって落としたところ、
windows2000のロゴ→青画面のパターンに陥りました。
セーフモードで起動不可、前回起動設定復旧してもセーフモードで立ち上がりません。
（常に青画面で止まる）

これはブラスタが原因ではなくて、物理的に逝ってしまったのでしょうか？。
また、OSを再インストールしようとしたところ、
Disk I/O error　とでて、インストールをままならない状況です。
FAT32のはずだったので、win98の起動DiskよりC/ Dir　と、打ってみても読み取れない様子。
ブラスターは物理的な破損も招くのでしょうか？。泣きそうです。

>>277
そう思います。
だから、昨日からTCP135をいきなりスキャンしてくるのはごく僅かになりましたね。

Ｄは何でＡを停止させようとするんだ？

>>279
青画面に何かエラーの文字は表示されてないの？

>>281
わかりません。
私はできの悪い奴を抹殺するものだと受け取っていますが。

>>279
オレも似たような状況になってる。
セーフモードで一応起動したけど、５分も経たないウチに突然リセットがかかる。
で、再フォーマットかけてインストールしようとしてもCD-ROMのエラーとかが出てダメダメ。
なんだろこれ？

ICMPに返事してあげればすぐに135を叩きだすよ

>>282
うろおぼえで申し訳ないのですが、

*** Virus on your computer. remove **** instelled hard disk and hard driver.
******* chkdsk /F **********

みたいなことが書かれていました。

ウィルス感染してる可能性あるからチェックしる。
だめっぽいならドライバとかチェックしる。
それでも駄目ならフォーマットしる。

という感じだったと思います。

>>245-249
>ダウンロードしてくるパッチの言語に制限

日本語版のPCは、日本語版のバッチを当てないとセキュリティホールを埋められないのでつか？
プログラム自体は同じだと思うのですが、駄目なのかしらん。

>>279
修復のほうは試してみた？

>>285
ええ。それは昨日確認してます。
>>280はpingを飛ばさずにTCP/135だけをスキャンしてくるタイプは
激減したという意味です。

>>287
駄目です。言語が一致しないと普通はインストールできないように作られてますから。

>>284
立ち上がるなら、回線ひっこぬいて、
DCOMのチェックはずして、プロセス停止して、
駆除してみてはいかがでしょうか？。

うちは起動すらしません・・・・。

>>288
前回起動なんとかってやつでしょうか？。それなら行いました。
profile1（？）　を"Ｌ"で復旧するってやつですよね・・・。

それを行えれば少なくともセーフモードで動くはずといわれたのですが、
なぜかセーフモードで起動ができません。
（同じ青画面がでます）

しかし、2004年1月1日以降は

http://headlines.yahoo.co.jp/hl?a=20030819-00000008-zdn-sci
＞ご丁寧なことに、コンピュータの日付が2004年1月1日になれば、自身を無効化する機能もあるという。

.Dは自身を削除するので、.Aを撒き散らす端末になる、と。
正月にカウントダウン祭り再来か？

>>290
セーフモードでも安定しなかった。
MSBLASTも無かったんだよね。

>>289

287です。情報どうもです。とすれば、明らかに中国・チョソの日本嫌いが作った
ウイルスですね。

自称IT大国の韓国や中国の被害が思ったより大きくないのは、ネット・カフェがインターネットの主役で、
恐らくルーターを使って分岐していたのが理由なのかも知れませんね。

日本の被害が大きいのは、自分たちでMy PCを持っていたからということですな。

早く日本語版に対応した.Dの亜種を作成してください。

>>291
再インストールの作業の時に、２０００だったら
システムの修復みたいな意味のメニューが
なかったかな？
>>292
きっと、その前に時計の時刻を変更するよ。
でも、ウイルスの言うことなんか信用できない。

>>296
再インストール作業ですが、そこまでいけません。
最初のドライバ（？）を入れるところで

Ｄｉｓｋ I/O error　とでてとまります。

ＭＳＢｌａｓｔって、ＣＤドライブも破壊するんでしょうか。。。
過去にウィルス食らったり、掃除のために
何度か再インストール作業はしてきましたが、こんなこと初めてです。
どうしていいのかさっぱりわかりません・・・。

バスタースレにこんな奴いたけど・・・

171 名前：名無しさん＠お腹いっぱい。： 投稿日：03/08/19 07:44
ずっと中にしてるけど今のとこ大丈夫。
XPのファイアウォールもかましてるからかな。

>>297
何したらいいかわからない時はPCメーカーのサポセンに今すぐ電話！GO！GO！GO

この時間になって逆引き出来ないホストからのpingが増えてきた。
まだ分当たり１〜５回位だけど、早朝に比べると増えてる。

>>294
> とすれば、明らかに中国・チョソの日本嫌いが作ったウイルスですね。

明らかか？
中漢英の3言語以外には日本語しか存在しないと？

>>299
買ったところ、ＤＯＳパラですけどサポートしてくれますでしょうか？。
ちなみに買ったの、・・・5年前・・・です・・・。

>>301
中韓英ね

Disk I/O　errorが出るんならハードの可能性が高いんじゃない

MSBLASTにハードを壊す力はないよ

そういう事態に自分で対処できない奴は
おとなしくメーカー製を買っとくべし

blastが雑魚ﾜｰﾑでよかったよｗ

>>297
それって、なんて言ったっけ・・・システムの状態を設定するやつ。
あれの設定が飛んでるんだよ。
Ｆ８（？）押して起動して、ＣＤドライブを使用可能状態にしなくちゃ。

わからなければ２９９の言うとおりにするか、パソコン屋の有償修理
だな。

>>307
F2じゃないの？

>>297
ハードディスクが壊れてるんじゃねーの？
たまたま、普段使わないところで、インストールの時に、
それが表面化したとか。

>>308
ありがとう。

「ここをね、４５度の角度で叩くのがコツなの」
のび太ママの方法はどうだろうか

>>307
ＢＩＯＳですか？。
ＢＩＯＳではドライブは認識してます。
ＨＤＤも、感染したＨＤＤのデータを消したくないので新しく買ってきた奴です。

最後は有償修理か・・・。うっうっうっ・・・・。

ついでに>>307の｢あれ｣の名前、誰か教えてください。
なんだか久しぶりに会った友達の名前が、思い出せそうで
思い出せない気分・・・。

Packet Protocol: ICMP source IP: 210.136.232.129 (firewall-gw.valuecommerce.com) destination IP:*.*.*.* type: 8 Match static filter, DISCARD.

>>313
BIOS？

>>313
「あれ」を当てたら●のIDとパスください。

>>312
とりあえずもう板違いだべ
ウィルスの直接的な影響じゃなかろーから
後は初心者板へ移動しなまい

「あれ」はあれだよ。ほら、あれ

>>314
晒し上げ乙
しかし、ログに記録するIPアドレスを一々逆引きしているのには感心しないな

>>314
自分のIP?w