☆ウィルス情報&質問 総合スレッド☆part13
890 :名無しさん@お腹いっぱい。:03/09/16 16:58
昨日辺りからポート80が凄い勢いで叩かれてるんですが
何かありました?
今朝からの集計でだいたい130回/h
何かありました?
今朝からの集計でだいたい130回/h
891 :名無しさん@お腹いっぱい。:03/09/16 17:29
SUBSEVENの最新バージョンって2.2?2.1.5 Legend?
892 :名無しさん@お腹いっぱい。:03/09/16 17:44
893 :名無しさん@お腹いっぱい。:03/09/16 20:36
894 :名無しさん@お腹いっぱい。:03/09/17 00:09
EchoRequest とは何ですか?
ググったりしたんですが、よく意味がわかりませんでした・・・
簡単に教えてもらえませんか?
ググったりしたんですが、よく意味がわかりませんでした・・・
簡単に教えてもらえませんか?
895 :名無しさん@お腹いっぱい。:03/09/17 00:22
10分〜30分毎に、画面一杯に、(日本の)女の幽霊のような写真と声が1秒位、突然出ます。
これって、ウィルスでしょうか。McACfee VirusScanでは検出できませんでした。
これって、ウィルスでしょうか。McACfee VirusScanでは検出できませんでした。
896 :名無しさん@お腹いっぱい。:03/09/17 00:29
897 :名無しさん@お腹いっぱい。:03/09/17 01:07
>>895
(((((((( ;゚Д゚)))))))ガクガクブルブルガタガタブルガタガクガクガクガクガク
怖いな・・・・
>ポート80が凄い勢いで叩かれてるんですが
ってあるけどどうやって叩かれてるってわかるの?
(((((((( ;゚Д゚)))))))ガクガクブルブルガタガタブルガタガクガクガクガクガク
怖いな・・・・
>ポート80が凄い勢いで叩かれてるんですが
ってあるけどどうやって叩かれてるってわかるの?
898 :名無しさん@お腹いっぱい。:03/09/17 01:11
キチガイには判るのよ。もう、ごんごんごんごんごんごんごんごんごん
tp://www.cc.mie-u.ac.jp/
の「本日検出されたウィルス」のとこです。
の「本日検出されたウィルス」のとこです。
900 :名無しさん@お腹いっぱい。:03/09/17 01:23
>>899
?
?
901 :名無しさん@お腹いっぱい。:03/09/17 01:28
>>899 も狂ったの。狂気がどんどんどんどんどんどん広がってる。
902 :名無しさん@お腹いっぱい。:03/09/17 01:28
ぎゃ
903 :名無しさん@お腹いっぱい。:03/09/17 01:35
>>895
ジョークプログラムだから対象にしていないアンチウィールス
ソフトもある。
オリジナルのファイル名は hikaru.exe だが、
リネームされている可能性もある。タスクマネージャ
で怪しいプロセスを探し、サイズが169,284 Bytes
だったら、そいつ。単に削除すればいい。詳細はここに
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JOKE_GHOST.A&VSect=T
ジョークプログラムだから対象にしていないアンチウィールス
ソフトもある。
オリジナルのファイル名は hikaru.exe だが、
リネームされている可能性もある。タスクマネージャ
で怪しいプロセスを探し、サイズが169,284 Bytes
だったら、そいつ。単に削除すればいい。詳細はここに
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=JOKE_GHOST.A&VSect=T
904 :名無しさん@お腹いっぱい。:03/09/17 01:41
>>896
ウィールスページへの直リン貼るとネタと認定されるぞ
ネタじゃないなら、このスレの最初の方を読んでオンライン
スキャンかけれ
何か見つかったらトレンドのウィールスデータベースで対処法夜目
単純に削除でいいなら削除、改変されたファイルの修復が必要なら
体験版でもダウンして駆除処理
アンチウィールスソフトくらい入れとけよなー。
ウィールスページへの直リン貼るとネタと認定されるぞ
ネタじゃないなら、このスレの最初の方を読んでオンライン
スキャンかけれ
何か見つかったらトレンドのウィールスデータベースで対処法夜目
単純に削除でいいなら削除、改変されたファイルの修復が必要なら
体験版でもダウンして駆除処理
アンチウィールスソフトくらい入れとけよなー。
905 :名無しさん@お腹いっぱい。:03/09/17 01:57
>>894
ping = EchoRequest = ICMP(2048)は指定したアドレスのPCに
「返事してくれ」と要求する特別なパケット。「EchoReplyを許可」
に設定してあるPCだと、「ここにますよ」という返事を発信してしまう。
今流行のブラスターDなどはランダムに生成したIPアドレスに向けて
このpingを打ちまくり、返事があるとさらに攻撃を試みる。
【ネット】Blasterスレ part4【埋めまっせ】
http://pc.2ch.net/test/read.cgi/sec/1062521353/6
あたり夜目
ping = EchoRequest = ICMP(2048)は指定したアドレスのPCに
「返事してくれ」と要求する特別なパケット。「EchoReplyを許可」
に設定してあるPCだと、「ここにますよ」という返事を発信してしまう。
今流行のブラスターDなどはランダムに生成したIPアドレスに向けて
このpingを打ちまくり、返事があるとさらに攻撃を試みる。
【ネット】Blasterスレ part4【埋めまっせ】
http://pc.2ch.net/test/read.cgi/sec/1062521353/6
あたり夜目
906 :名無しさん@お腹いっぱい。:03/09/17 02:47
>>905
Every host MUST implement an ICMP Echo server function that
receives Echo Requests and sends corresponding Echo Replies.
(全てのホストは Echo Request を受信し、対応する Echo Reply を
返す ICMP Echo サーバ機能を実装しなければならない。)
RFC1122 "Requirements for Internet Hosts - Communication Layers" より抜粋。
RFC1122 はいわばインターネットに継るホストの仕様を定めたものである
ICMP Echo に応答しないようにする事は RFC に違反しており、
いわば君達のPCをかたわにしてしまうようなものだ。
まぁ君達の脳味噌はかたわみたいなもんだからお似合いかな。
Every host MUST implement an ICMP Echo server function that
receives Echo Requests and sends corresponding Echo Replies.
(全てのホストは Echo Request を受信し、対応する Echo Reply を
返す ICMP Echo サーバ機能を実装しなければならない。)
RFC1122 "Requirements for Internet Hosts - Communication Layers" より抜粋。
RFC1122 はいわばインターネットに継るホストの仕様を定めたものである
ICMP Echo に応答しないようにする事は RFC に違反しており、
いわば君達のPCをかたわにしてしまうようなものだ。
まぁ君達の脳味噌はかたわみたいなもんだからお似合いかな。
908 :名無しさん@お腹いっぱい。:03/09/17 03:04
909 :名無しさん@お腹いっぱい。:03/09/17 03:28
ポートが叩かれてるってどうやったらわかるんだYO
910 :名無しさん@お腹いっぱい。:03/09/17 03:46
911 :名無しさん@お腹いっぱい。:03/09/17 03:46
>>909
ルータかファイアウォールのログだよ
ルータかファイアウォールのログだよ
912 :名無しさん@お腹いっぱい。:03/09/17 04:19
ルータとファイアウォールのログってどうやって見れるの?
913 :名無しさん@お腹いっぱい。:03/09/17 04:19
>>906
> ICMP Echo に応答しないようにする事は RFC に違反しており、
これは誤解ですね。RFCはあくまで仕様であり、そのような機能を
実装せよと言っているのであって、現実にその機能を使えといっている
わけではありません。特定の機能を利用するか否かはユーザーの判断
に任されています。
ICMPは現在でもUNIXシステムではよく使われていますし、プロバイダ
によってはレンタルした機器にpingを送ってくるところもありますから
過去の遺物とはいえませんが、主としてWEBサイトを利用するだけの
ユーザーにはほぼ無関係の機能です。
さらに今回のMSBlast.Dのようにpingを乱発するワームが流行した
場合、ping応答はネットワークの負荷を2倍にする要因ともなります。
ping応答によって悪意ある攻撃の標的になる危険性を考えると
一般ユーザーはping応答しない(ステルスモード)に設定して
おくことが強く推奨されています。
> ICMP Echo に応答しないようにする事は RFC に違反しており、
これは誤解ですね。RFCはあくまで仕様であり、そのような機能を
実装せよと言っているのであって、現実にその機能を使えといっている
わけではありません。特定の機能を利用するか否かはユーザーの判断
に任されています。
ICMPは現在でもUNIXシステムではよく使われていますし、プロバイダ
によってはレンタルした機器にpingを送ってくるところもありますから
過去の遺物とはいえませんが、主としてWEBサイトを利用するだけの
ユーザーにはほぼ無関係の機能です。
さらに今回のMSBlast.Dのようにpingを乱発するワームが流行した
場合、ping応答はネットワークの負荷を2倍にする要因ともなります。
ping応答によって悪意ある攻撃の標的になる危険性を考えると
一般ユーザーはping応答しない(ステルスモード)に設定して
おくことが強く推奨されています。
914 :名無しさん@お腹いっぱい。:03/09/17 04:44
915 :名無しさん@お腹いっぱい。:03/09/17 05:27
ファイアウォール今まで無効ダターヨ
ヤヴァイかな?(プゲラ
ヤヴァイかな?(プゲラ
916 :名無しさん@お腹いっぱい。:03/09/17 05:30
>>912
ルータやファイアウォールソフトを入れると見られる
つーか、いいからzone alarmでも入れとけや
ZoneAlarm Part14
http://pc.2ch.net/test/read.cgi/sec/1058984561/
ルータやファイアウォールソフトを入れると見られる
つーか、いいからzone alarmでも入れとけや
ZoneAlarm Part14
http://pc.2ch.net/test/read.cgi/sec/1058984561/
917 :895:03/09/17 06:36
>>906
ありがとうございました。症状はこのとおりです。
ただ同サイズのものはありませんでした。
win2000ですが、タスクマネージャー上では特に変なファイルはありません。
害は与えないということですが、突然画面が変わると心臓が止まりそうになります。
気長に探してみます。
ありがとうございました。症状はこのとおりです。
ただ同サイズのものはありませんでした。
win2000ですが、タスクマネージャー上では特に変なファイルはありません。
害は与えないということですが、突然画面が変わると心臓が止まりそうになります。
気長に探してみます。
918 :名無しさん@お腹いっぱい。:03/09/17 10:07
>>915
XPだったら、お前はすでに○○している。
XPだったら、お前はすでに○○している。
あっ、バッチを入れてない場合に限る。
920 :名無しさん@お腹いっぱい。:03/09/17 11:02
Nortonなのですが、ここで聞いてもいいでしょうか?
SP4を適用したら、SSCの表示からクライアントのほとんどが見えなくなりました。
GRC.datを入れなおしても駄目です。Corpolate Edition7.03を使用しています。
バージョンアップすればこの問題は解消するということなのですが、
しばらくはできそうにありません。
この障害について何かご存知の方、アドバイスをお願いします。
SP4を適用したら、SSCの表示からクライアントのほとんどが見えなくなりました。
GRC.datを入れなおしても駄目です。Corpolate Edition7.03を使用しています。
バージョンアップすればこの問題は解消するということなのですが、
しばらくはできそうにありません。
この障害について何かご存知の方、アドバイスをお願いします。
921 :名無しさん@お腹いっぱい。:03/09/17 11:11
>>920
やっぱりノートンスレで聞く方がよさそうでつ。
【ノートン】インターネットセキュリティ Ver.28【2003】
http://pc.2ch.net/test/read.cgi/sec/1063391597/
やっぱりノートンスレで聞く方がよさそうでつ。
【ノートン】インターネットセキュリティ Ver.28【2003】
http://pc.2ch.net/test/read.cgi/sec/1063391597/
922 :895,917:03/09/17 11:12
917の >>906 は >>903の間違いでした。すいません。
昨日作成されたexeファイルの条件で検索したら、syschek.exe 168KB が
見つかりました。タスクマネージャー上にもありましたので、何とか削除したら
お化けは出なくなりました。
syschek.exeのアイコンはウィンドーズのフラッグでした。
原因はダウンロードした「データ復活ソフト Final****2.0」でした。
昨日作成されたexeファイルの条件で検索したら、syschek.exe 168KB が
見つかりました。タスクマネージャー上にもありましたので、何とか削除したら
お化けは出なくなりました。
syschek.exeのアイコンはウィンドーズのフラッグでした。
原因はダウンロードした「データ復活ソフト Final****2.0」でした。
923 :名無しさん@お腹いっぱい。:03/09/17 11:35
>>917
トレンドのオンラインスキャンはかけたかや?
亜種だったらひっかからない可能性もあるが。
たぶんリネームされてntspool.exeみたいな名前になってるんだろう。
あとはレジストリを探してみ。まず探すところは、HK_LocalMachineの
HKLM\...\CurrentVersion\Run
HKLM\...\CurrentVersion\RunOnce
HKLM\...\CurrentVersion\RunServices
HKLM\...\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
特にこの最後のwinlogonに注意。普通はshell=Explorer.exeという値が
入っているはず。ここにごちゃごちゃ怪しい文字列があったらそれかも。
それとHK_CurrentUser内のいろいろな\Run項目
regedit使うのが怖いならベクターあたりでレジストリーツールを落として
きてみるといい。
トレンドのオンラインスキャンはかけたかや?
亜種だったらひっかからない可能性もあるが。
たぶんリネームされてntspool.exeみたいな名前になってるんだろう。
あとはレジストリを探してみ。まず探すところは、HK_LocalMachineの
HKLM\...\CurrentVersion\Run
HKLM\...\CurrentVersion\RunOnce
HKLM\...\CurrentVersion\RunServices
HKLM\...\CurrentVersion\RunServicesOnce
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
特にこの最後のwinlogonに注意。普通はshell=Explorer.exeという値が
入っているはず。ここにごちゃごちゃ怪しい文字列があったらそれかも。
それとHK_CurrentUser内のいろいろな\Run項目
regedit使うのが怖いならベクターあたりでレジストリーツールを落として
きてみるといい。
>>922
おっとかぶってしまったが…
やっぱりそれっぽい名前にリネームしていやがったかw
> 昨日作成されたexeファイルの条件で検索したら、
それは、アタマイイ。単純な実行プログラムなんだからそれが
手っ取りばやいやね。
乙かれ
おっとかぶってしまったが…
やっぱりそれっぽい名前にリネームしていやがったかw
> 昨日作成されたexeファイルの条件で検索したら、
それは、アタマイイ。単純な実行プログラムなんだからそれが
手っ取りばやいやね。
乙かれ
925 :名無しさん@お腹いっぱい。:03/09/17 11:44
926 :名無しさん@お腹いっぱい。:03/09/17 21:27
警告!! パッチ当て急ぐべし。
http://pc.2ch.net/test/read.cgi/sec/1062521353/551
http://pc.2ch.net/test/read.cgi/sec/1062521353/551
927 :名無しさん@お腹すいた。:03/09/18 01:10
928 :920:03/09/18 09:20
929 :名無しさん@お腹いっぱい。:03/09/18 09:40
アンチウイルスソフトでも検出できないバックドアなどで不正進入を
受けた場合、ノートンなどの進入検知などで知ることができるですか?
もうバックドアを仕掛けられた場合は、OSの再インストールしかないのでしょうか
受けた場合、ノートンなどの進入検知などで知ることができるですか?
もうバックドアを仕掛けられた場合は、OSの再インストールしかないのでしょうか
930 :名無しさん@お腹いっぱい。:03/09/18 10:12
>>929
> ノートンなどの進入検知
ん?FWのことか?
未知のトロイでも外部との通信を行おうとしたらFWから警告が
でるからその段階で察知できるけど。
トロイ自体の除去は簡単だから再インスコしなくてもいいけど
万が一でも、外部との接続を許してしまい、クラッカーが進入した可能性が
あるのなら必ず再インスコは必要。
いったん進入したクラッカーは他のトロイを複数仕込んだり。FWやNISの設定を弄ったり
好き放題されるんで。
> ノートンなどの進入検知
ん?FWのことか?
未知のトロイでも外部との通信を行おうとしたらFWから警告が
でるからその段階で察知できるけど。
トロイ自体の除去は簡単だから再インスコしなくてもいいけど
万が一でも、外部との接続を許してしまい、クラッカーが進入した可能性が
あるのなら必ず再インスコは必要。
いったん進入したクラッカーは他のトロイを複数仕込んだり。FWやNISの設定を弄ったり
好き放題されるんで。
931 : :03/09/18 10:35
済みませんがウイルスに関して教えてください。
以前MSブラスタ攻撃されましたがそれはREMOTE PROCEDURE CALLサービスが
異常終了・・・等表示があり確認出来ました。
最近でネットワークからと思われますが、青いDOS窓風のウインドウがブラウザ―前面でなく背面で開いて、
ブラウザ―終了時気づくのですが、すべて英文でタイトルバーにWINDOWS SECURITY UPDATEの表示
簡単な総英文説明書きがあり、SOAPとか変なことばも見うけられます。
そしてウインドウのどこでもクリックすれば実行するからとどこかクリックを英文で要求しています。
2度出現してクリックせず終了していますがウイルスだとすれば侵入経路があまり長く接続していないネットワークと思われますので
気味悪いです。
よろしく
以前MSブラスタ攻撃されましたがそれはREMOTE PROCEDURE CALLサービスが
異常終了・・・等表示があり確認出来ました。
最近でネットワークからと思われますが、青いDOS窓風のウインドウがブラウザ―前面でなく背面で開いて、
ブラウザ―終了時気づくのですが、すべて英文でタイトルバーにWINDOWS SECURITY UPDATEの表示
簡単な総英文説明書きがあり、SOAPとか変なことばも見うけられます。
そしてウインドウのどこでもクリックすれば実行するからとどこかクリックを英文で要求しています。
2度出現してクリックせず終了していますがウイルスだとすれば侵入経路があまり長く接続していないネットワークと思われますので
気味悪いです。
よろしく
932 :名無しさん@お腹いっぱい。:03/09/18 10:44
>>929
だいたい>>930の言うとおりと思うが、注意しておきたいのは、バンキングの
暗証番号やクレジットカード番号はもちろん、各種パスワード、住所、氏名、
電話番号などのデータをPCに入れておかないこと。個人情報はそのつど入力し、
セッション終了後はブラウザから一時ファイルや履歴をかならず消しておく。
住所氏名などの手入力が手間ならフロッピーにテキストファイルとして記録しておき、
コピペする方法もある。(その場合でも暗証番号など金銭にかかわる情報は入れ
ないこと)
また侵入されたような気がしたらOSを再インストールするしないに関わらず、
暗証番号、パスワードなどを変更しておく。
だいたい>>930の言うとおりと思うが、注意しておきたいのは、バンキングの
暗証番号やクレジットカード番号はもちろん、各種パスワード、住所、氏名、
電話番号などのデータをPCに入れておかないこと。個人情報はそのつど入力し、
セッション終了後はブラウザから一時ファイルや履歴をかならず消しておく。
住所氏名などの手入力が手間ならフロッピーにテキストファイルとして記録しておき、
コピペする方法もある。(その場合でも暗証番号など金銭にかかわる情報は入れ
ないこと)
また侵入されたような気がしたらOSを再インストールするしないに関わらず、
暗証番号、パスワードなどを変更しておく。
933 :931:03/09/18 13:11
ウイルスというよりハッキング、バックドアと関係するかもしれませんが
教えてください。
教えてください。
934 :名無しさん@お腹いっぱい。:03/09/18 14:03
>>929
アンチウイルスが検出漏らしてもファイアウォールで分かるでしょ。
ノートンだったら侵入検知に限らずプログラム制御警告とかで気づくんじゃないの。
マシン→外部の通信だったら仕込まれてる可能性は高い。
アンチウイルスが検出漏らしてもファイアウォールで分かるでしょ。
ノートンだったら侵入検知に限らずプログラム制御警告とかで気づくんじゃないの。
マシン→外部の通信だったら仕込まれてる可能性は高い。
935 :名無しさん@お腹いっぱい。:03/09/18 14:10
936 :名無しさん@お腹いっぱい。:03/09/18 20:37
Linux+apache の鯖なんですが、一昨日くらいからアクセスログに
\"#kS\x859\x0e\x84,C\x03\xd3\xc0\x83B_\x90\x96\xbc\xd0#'
\xa7G\x0c6\xd7\x9f\x86\rE\xd4]\
↑みたいのが大量に残ってるんだけど、なんでしょうか。
CodeRedとは違うみたいなんですが・・・。
ご存知の方教えてください。
\"#kS\x859\x0e\x84,C\x03\xd3\xc0\x83B_\x90\x96\xbc\xd0#'
\xa7G\x0c6\xd7\x9f\x86\rE\xd4]\
↑みたいのが大量に残ってるんだけど、なんでしょうか。
CodeRedとは違うみたいなんですが・・・。
ご存知の方教えてください。
937 :名無しさん@お腹いっぱい。:03/09/18 21:19
γ ⌒ ヽ
( )
( )
( )
( )
( )
( )
( )
( ツ丿ツ丿
( / ( ・)( ・) | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
( | つ \ < Good Job !!
C ___ノ |_________
| /
( )
( )
( )
( )
( )
( )
( )
( ツ丿ツ丿
( / ( ・)( ・) | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
( | つ \ < Good Job !!
C ___ノ |_________
| /
938 :名無しさん@お腹いっぱい。:03/09/18 21:31
>>931
>Windows security update
話聞く限りだと、それはただのポップアンダー広告だと思う。
Blasterとは関係ないはず。普通に閉じれば無害。
きちんとBlasterを駆除して、定期的にウィルススキャンや
Windows updateして、怪しいファイルをダウンロードしたりもらったり
しなければ、そうそうウィルスに感染することはないと思う。
>Windows security update
話聞く限りだと、それはただのポップアンダー広告だと思う。
Blasterとは関係ないはず。普通に閉じれば無害。
きちんとBlasterを駆除して、定期的にウィルススキャンや
Windows updateして、怪しいファイルをダウンロードしたりもらったり
しなければ、そうそうウィルスに感染することはないと思う。
AVGでmusicsearchってウイルス検出したんだが、これって何?
検索しても分かんないし、超不安
検索しても分かんないし、超不安