【早く】 Blasterスレ Part3 【対策しろ】

このエントリーをはてなブックマークに追加
1名無しさん@お腹いっぱい。
最初の Blaster (msblast.exe) は沈静化する一方、
亜種とされる Welchia (DLLHOST.EXE, SVCHOST.EXE) が依然猛威を
ふるっており、ネットワークの負荷が上がっている模様。
あなたは大丈夫か?

Welchiaの名称はアンチウイルスソフト・ベンダによって異なるので注意

WORM_MSBLAST.D(トレンドマイクロ)=W32.Welchia.Worm(シマンテック)
WORM_MSBLAST.E(トレンドマイクロ)=W32.Blaster.D.Worm(シマンテック)

前スレ 【まだ】Blasterスレ Part2【終わっちゃいない】
http://pc.2ch.net/test/read.cgi/sec/1061002243/
21:03/08/23 22:59
前スレの 127, 937より

【miniFAQ】
Q svchost.exe dllhost.exeってそもそも何ですか?
A どちらもWindowsの重要なシステムファイルです
Q ニセモノと本物の見分け方は?
A ニセモノは\system32\winsというデイレクトリに巣食っています。
  ニセモノはなぜか大文字でSVCHOST.EXE DLLHOST.EXE
  ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。

Q タスクマネージャーでニセモノのSVCHOST.EXEが停止ができません。
A セーフモードで起動してからタスクマネージャーで停止する。

Q セーフモードって?
A まず再起動をかけます。OSの起動中にF8キーを何度か叩く。

A ファイアーウォール入れていても感染しますか?
Q OSがネットに接続してからFWが立ち上がるまでのわずかなスキに
  侵入されることがあります。パッチ当てる前のOSを立ち上げるときは
  ケーブルを抜くかモデムの電源を落としておきます。
お疲れ
41:03/08/23 23:02
スレタイに(ホントはPart7)を入れるつもりでしたが、
長いといって怒られたので削りました。

過去スレ(dat落ち)
http://pc.2ch.net/test/read.cgi/sec/1061226881/
http://pc.2ch.net/test/read.cgi/sec/1061226881/
http://pc.2ch.net/test/read.cgi/sec/1061223981/
http://pc.2ch.net/test/read.cgi/sec/1061205064/
http://pc.2ch.net/test/read.cgi/sec/1060982749/
http://pc.2ch.net/test/read.cgi/sec/1060853614/
______________________________________________
新種ウイルス続々、対策ソフトの売り上げ急増
http://headlines.yahoo.co.jp/hl?a=20030822-00000014-yom-soci
1サンクスです。1の中身もGoodです。
ミニfaq 長いバージョン作ってみまふた。重複スマソ。請うご批判。

【WORM_MSBLAST.D miniFAQ その1】 
Q 無償の対策CDはいつ、どこで手に入りますか?
A 8月27日から、全国の家電量販店、パソコンショップなどの店頭で配布されます
Q ブラスタDは別名がいろいろあるようですが?
A マイクロソフト、各アンチウィールスメーカーが独自に名前をつけるので
  まぎらわしいです。
  W32/Welchia.worm10240 [AhnLab],
  W32/Nachi.worm [McAfee],
  WORM_MSBLAST.D [Trend],
  Lovsan.D [F-Secure]
Q ウィールス本体のファイル名は?
A WINNT\system32\winsディレクトリ中のDLLHOST.EXE SVCHOST.EXEの二つです
Q svchost.exe dllhost.exeってそもそも何ですか?
A どちらもWindowsの重要なシステムファイルです。本物を停止させると
  Windowsが死にます
Q ニセモノと本物の見分け方は?
A ニセモノは\WINNT\system32\winsというデイレクトリに巣食っています。
  ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。
  また本物とはサイズも違います。
Q タスクマネージャーのプロセスイメージ欄で本物とニセモノの区別がつきますか?
A ニセモノは大文字でSVCHOST.EXE DLLHOST.EXEと表示されるという報告あり。
  (注 全ての場合にそうかどうか未確認)
Q タスクマネージャーでニセモノのSVCHOST.EXE DLLHOST.EXEが停止できません。
A セーフモードで起動してからタスクマネージャーで停止させます。
Q セーフモードって?
A まず再起動をかけます。OSの起動中にF8キーを何
faq その2

A ファイアーウォール入れていても感染しますか?
Q OSがネットに接続してからFWが立ち上がるまでのわずかなスキに
  侵入されることがあります。パッチ当てる前のOSを立ち上げるときは
  ケーブルを抜くかモデムの電源を落としておきます。
Q Windows XPの付属ファイアウォールは有効ですか?
A Windows XPのファイアウォールはport135をcloseするのに有効です。
  ただし、このファイアウォールはデフォルトでは無効になってます。 
  有効にする手順は以下のとおり。
   コントロールパネル→ネットワークとインターネット接続→普段使っている
   接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
   「コンピュータとネットワークを保護する」にチェックを入れる→(゚д゚)ウマー
Q XPのファイアーウォールどこだあ?
A 以下の方法も試してくださいでつ。
   スタート→設定→ネットワーク接続
   スタート→接続→全ての接続の表示
   スタート→マイネットワーク→ネットワーク接続を表示
Q XPのファイアウォールは機能は十分ですか?
A XPのおまけFWは外からの侵入は防ぎますが、いったん感染してしまうと中から外へ
  ウィールスをばら撒くのをチェックできません。中から外もチェックする製品
  入れておいたほうがいいでしょう。
>>1さん乙〜
faq その3

Q 無料のファイアウォールソフトはどこから手に入りますか?
A 次のような製品があります。詳しいことはそれぞれのサイトやスレで 
 アウトポスト Outpost
  http://www.agnitum.com/download/outpost1.html
 ゾーンアラーム Zone Alarm
  http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=zadb_zadown
 ケリオ Kerio Technologies Inc. | Kerio Personal Firewall
  http://www.kerio.com/us/kpf_home.html
 サイゲート SygatePersonalFireWall
  http://soho.sygate.com/free/default.php
Q ウィールスの動作の詳しい解説はどこで見られますか?
A 警察庁サイバーポリス公式解説
   http://www.cyberpolice.go.jp/important/20030819_131641.html
  情報処理振興事業協会公式解説
   http://www.ipa.go.jp/security/topics/newvirus/img/Welchi-worm-WinXP-ver10.pdf
Q 駆除ツールはどこからダウンロードできますか?
A トレンドマイクロ
   http://www.trendmicro.co.jp/hcall/index.asp
  サイゲート
   http://scan.sygate.com/prequickscan.html
  シマンテック
   http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
Q マイクロソフトのパッチってどれですか?
A マイクロソフトパッチ ms03-026(RPC)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026

.asp

とりあえず 以上でした。
11名無しさん@お腹いっぱい。:03/08/23 23:13
http://homepage2.nifty.com/winfaq/c/winupd.htm

アップグレード時にXP で SP や Hotfix 適用時「Update.inf の整合性を確認できません」エラーが発生します」
等のメッセージが出てアップデートできないヤシは、システムの復元を行使した際に上記のようなメッセージが出るぞ。

CatRoot2の2の部分を適当な数値に変更すればアップデート出来るようになるからやってみれ!
番号グチャグチャだから調べてみた。時間は引き継ぎ時間。

1.[08/14 18:33] 【流行中】msblast対策スレ【カウントダウン後再起動】
http://pc.2ch.net/test/read.cgi/sec/1060853614/
2.[08/16 06:25] msblast対策スレ【カウントダウン後再起動】2日目!
http://pc.2ch.net/test/read.cgi/sec/1060982749/
3.[08/18 20:11] msblast対策スレ【ICMP祭り開催中】3日目!
http://pc.2ch.net/test/read.cgi/sec/1061205064/
4.[08/19 01:26] ブラスト4
http://pc.2ch.net/test/read.cgi/sec/1061223981/
5.[08/19 22:48] msblast対策スレ【セカンドインパクト】4日目
http://pc.2ch.net/test/read.cgi/sec/1061226881/
6.[08/21 13:53] 【まだ】Blasterスレ Part2【終わっちゃいない】
http://pc.2ch.net/test/read.cgi/sec/1061002243/
7.[08/23 22:58] 【早く】 Blasterスレ Part3 【対策しろ】
http://pc.2ch.net/test/read.cgi/sec/1061647087/
1311:03/08/23 23:15
書き忘れスマソ。リンク先に解決法が有ります。
Windows NTってWelchiaに感染しますか?
15名無しさん@お腹いっぱい。:03/08/23 23:19
>>11
おっちゃん、リンク先Not Found
16名無しさん@お腹いっぱい。:03/08/23 23:21
>>14
します
17名無しさん@お腹いっぱい。:03/08/23 23:21
>>14
しました・・・・
>>14
します。しないのは98系だけ。
>>18
しちゃったのかよ
>>14
ネットワーク経由での感染はしない。

...が、わざと持ち込んで実行すれば感染(?)する。

NTにもBlaster/Welchiaが利用している脆弱性が存在するので、
必ずパッチは当てておけ。
>>15
混雑してんじゃないの?
>>22
マヂイヨ。今日は危ない日だとか今んなって言ってるし。
・・・・やるまえに言えよ。。。
2414:03/08/23 23:26
>>16>>18>>19>>21
マジっすか?
ありがとう。
2511:03/08/23 23:26
本当だ。ごめんね。以下コピペその1


Cryptographic Services が起動しているにもかかわらず、エラーが継続する場合は以下の手順を試すことも検討してください。
[スタート]−[ファイル名を指定して実行] から net stop cryptsvc を実行します。
[スタート]−[ファイル名を指定して実行] から %Systemroot%\System32 を開きます。
CatRoot2 フォルダをクリックし、F2 キーを押して別の名前に変更します。
ちょっと遅くなりましtが、>>1さん、 >>7さん乙。 参考になったでつ。
>1乙。だが、faq2の先頭がAQの順になっているぞ。
まあご愛嬌のレベルだが。
>>19
亜種のうちどれかはWindows 98、Windows Meも
感染対象なるって聞いたんだけど違うのかい?
3011:03/08/23 23:29
コピペ2

XP で Cryptographic サービスが停止されていると、署名が確認できないためにこのエラーが発生するため、次の手順でサービスを開始してから SP の適用を行ってください。

[スタート]−[ファイル名を指定して実行] から services.msc を起動します。
Cryptographic Services をダブルクリックします。
スタートアップの種類を「自動」にし、「開始」ボタンを押して「OK」します。
31名無しさん@お腹いっぱい。:03/08/23 23:31
自分のOSは98SEですが、最近pingが3時間に500回も来ます。
ここ2日間くらいずっとです。
ファイアーウォールはZONEだけで後は何もしていません。
これって大丈夫なんでしょうか?
それとももうウィルスに犯されているのでしょうか?
>>30
焦っているのは判るが4つ上のレスくらい見ような
337=前スレの127:03/08/23 23:33
>>28
スマソ。ただ、粗忽モノは>>1さんではありませんですw
3411:03/08/23 23:33
>>32
すみませんですた逝ってきます…。
35名無しさん@お腹いっぱい。:03/08/23 23:33
>>10 に補足

WelchiaはDCOM RPCだけでなく、IISの動作しているマシンのWebDAV脆弱性も
攻撃します。

Q マイクロソフトのパッチってどれですか?
A マイクロソフトパッチ ms03-026(RPC) および ms03-007(WebDAV)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp
>>34
イ`
>>31
pingが大量に来るのは普通(Dがばらまきまくってる)。
WIN98なら感染しないから安心すべし。
3814:03/08/23 23:39
>>21
MSブラスト用のパッチはあるけど、
亜種であるWelchiaのパッチってあるの?(NT用の)
>38

>35
PING打つ亜種の奴は感染したらどうやって駆除するの?
知り合いが感染したらしいのですが駆除方法がわからんらしい・・
41名無しさん@お腹いっぱい。:03/08/23 23:44
>>40
藻前が分からんのじゃないのかと、小一時間(ry
>40

>7
>>40
>>10
シマンテックなら
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.removal.tool.html
…まぁ、とりあえずおまいさんがもちつけ。
>>40
PingにはPingで対抗すんだよ
>>40

駆除するにはツールを使え。
>>10 を見れ。
>>40
まぁイカでも食って元気出せよ
>>40
ヒントは>>89にあるぞ。
>>40
(<●>_<●>)
>>40の肛門に栄光あれ!
>>40は先祖代々都昆布
>>40>>1は異母兄弟
( ´д)ヒソ(´д`)ヒソ(д` )>>40( ´д)ヒソ(´д`)ヒソ(д` )ヒソ
おまいら、ゴミレスつけるんだったら、前スレを埋めさげれ
>>40の言う友人は>>40
5740:03/08/23 23:50
>>41-54
サンクス・・・

>>40+>>55=タコ
時代の先駆者、それは>>40
                                                               >>40

工エエェェ('A`)ェェエエ工
                                                                    >40
>>40への最後の一言↓
俺も包茎だ気にするな
5点
6541:03/08/23 23:56
>>40
変な流れ作った詫びじゃ。

>>7
セーフモードで立ち上げてプロセス殺した後、MSのパッチを入れとけ。
MS03-026
MS03-007
再起動後もセーフモードで立ち上げて、
http://www.trendmicro.co.jp/support/VIRUS/fix_tool/tsc/auto_tsc.com
コイツでワーム殺しとけ。
その後、本格的にネットに繋いでWindowsUpdateしとけ。

最初にワーム駆除ツールでワームを殺しといた方が精神的に安心出来るならそれでも良い。

くれぐれもワーム殺すまではネットに繋がんように。
66名無しさん@お腹いっぱい。:03/08/23 23:59
DCOM98に今回のセキュリティホールはある?ない?
67名無しさん@お腹いっぱい。:03/08/24 00:00
>>66
MS03-033?
パッチあててるしそれなりの対策してるから
今のところは大丈夫なんだけど
記念に無料駆除CDもらいに逝っちゃダメ?(w
69名無しさん@お腹いっぱい。:03/08/24 00:03
>>68
良いよ。

俺は駆除ツールとMSパッチと簡易説明書を入れた物を会社で回した。
相当のアフォでない限り自力で駆除させた。
>>68
くれぐれもヤフオクで売らないように(藁
>>68

     冫─'  ~  ̄´^-、
   /          丶
  /             ノ、
 /  /ヽ丿彡彡彡彡彡ヽヽ
 |  丿           ミ
 | 彡 ____  ____  ミ/
 ゝ_//|    |⌒|    |ヽゞ
 |tゝ  \__/_  \__/ | |  
 ヽノ    /\_/\   |ノ  .______
  ゝ   /ヽ───‐ヽ /  /  
   /|ヽ   ヽ──'   / <  漏れが許す!
  / |  \    ̄  /   \
/ ヽ    ‐-            ̄ ̄ ̄ ̄ ̄ ̄
>68
再インスト時に必要
>>68
記念にって、猫よけにでもするん?
>>70
物凄く有り得る話だなw
>>71
ゲイシが「漏れ」という時代になったのかw。

さて、わたしの家ではルータ型モデム−HUBを
通してパソコンを二台つないでいます。
XPと98です。

普通は、モデムの電源を入れて、そのあとパソコン(XP)
の電源を入れるんです。これじゃ「タイムラグ」を突かれて
危ないんですよね?

しかし、順番を逆にしてパソコンを起動してからモデムの
電源を入れると、モデムは接続してもDNSエラーが出て
WEBは機能しないのです。

どうしたものでしょうか。

>>74
【注目の商品】効果絶大!ウイルス駆除ソフト【限定品】

市販されていない特別なCDで限定物らしいです。
騒ぎになったワームも完璧に駆除出来ます。

お届けするのはCDと付属の説明書のみです。

定型外でも発送可。

ノークリームノータリーンでおながいすます。

とか?
77名無しさん@お腹いっぱい。:03/08/24 00:11
>>75
ipconfig /renew
7877:03/08/24 00:13
77は勘違いによる間違い。ゴメン
79氷月鬼 ◆EuropaFcZU :03/08/24 00:13
>>75
てかルータの下だったらタイムラグなんて関係ないのでは。
大体はルータが止めてくれるからね。
>>75
98は、ファイル名を指定して実行 - winipcfg と入力 - OKを押す。
その後は開放とか所得とかあっから好きにせい。
GUIで操作出来る。
>>75
気になるなら、接続を無効にしてからPC切れ。
で、起動したあとに接続を有効にすればいいんじゃね?
>>82
それが確実だな。
84名無しさん@お腹いっぱい。:03/08/24 00:19
無償の対策CDはもちろん3ヶ月無料のBBとセット販売です
>>78
合ってんじゃ?
>>84
抱き合わせ販売かよっ!
駆除ツールだが、こちらがお勧め。
http://www.nai.com/japan/security/stinger.asp

他社の駆除ツールは1つのウィルスしか駆除してくれないが、
これ使うと最近出回っている奴を多数駆除できるぞ。

WelchiaとBlaster両方これでOK。

Network Assocites製品に金払う気はしないが、
Stingrはお勧めします。
>>84

     冫─'  ~  ̄´^-、
   /          丶
  /             ノ、
 /  /ヽ丿彡彡彡彡彡ヽヽ
 |  丿        #   ミ
 | 彡 ____  ____  ミ/
 ゝ_//|    |⌒|    |ヽゞ
 |tゝ  \__/_  \__/ | |  
 ヽノ    /\_/\   |ノ  .______
  ゝ   /ヽ───‐ヽ /  /  
   /|ヽ   ヽ──'   / <  漏れが許さん!
  / |  \    ̄  /   \
/ ヽ    ‐-            ̄ ̄ ̄ ̄ ̄
8975:03/08/24 00:21
みなさんレスありがとう。
とりあえず、パソコン→モデムで起動したら
やはり接続できませんでした。なんでだろ?

それで>77を試したら、OKでしたw。
今その状態でつないでいます。

98の方はまだ試していませんが、
77さんの方法もOKなので大丈夫なのでしょう。
メモ書きしておきます。ありがとう。

>79-80
そうらしいのですね。でも上のFAQ読んだら
ちょっと気になったものですから。

みなさんありがとうございました。
91名無しさん@お腹いっぱい。:03/08/24 00:23
しかし、今回のBlasterウイルス対策CD-ROMの無償配布。
M$がオンライン経由でしかパッチを配布してない事に対するバッシングを
かわすために企画されたらしいけど、その割にM$自体はCDをプレスする気が
全然ないのなー。M$に電話したらシマンテックを案内されたよ…
電話繋がらねえっつうの。
>>91
守銭奴だからね。
9377:03/08/24 00:28
>>85,89
あ、合ってた?(^^;
何と勘違いしたのか「あーオレ間違ってるよー」と思い込んでしまいました。

>>92
守銭奴だよねぇ。
>>93
知識に自信持て。
間違ってたら、そんときゃ誰かが指摘してくれるから逆切れせんと受け止めときゃ良い。
9587:03/08/24 00:31
>>90
TrendMiroのは勉強不足でした。情報Thanksです。
コマンドベースだったら動作も速いのかな?
9691:03/08/24 00:32
あと、トレンドがプレスした10000枚の対策CD、1000店舗に10枚ずつ
配って終了とかいう話らしい。無償配布というよりは製品を買った人に
付けるとか言う話を聞いたけど…
>>95
パターンの一致を見てるだけだから検索も駆除も早い。
但し、そのパターンが崩れてるのがあると..

シマンテックのとアソシエイツのはダラダラと探す分時間がかかるが
ブツが変な所に配置されてた場合でも(ry
>>97
うん。シマンテックの実行したが、確かに時間かかるね。
表示見ている限り、全フォルダチェックしてるんじゃないかな?
9987:03/08/24 00:39
>>97
Thanks againです。
素人に電話で指示を出すのであればStingerのままで良いかな。
今度自分でやるときはTrendMicroさんのも試してみますです。

SymantecのはWinsフォルダそのものも消してくれます。
c:\windows\system32\winは最初からあるから消さんでもいいのに…
>>99
駆除後の安心感を与えるのにはだらだら探してくれる物を紹介する方が良いかもね。
>>99
system32\wins はウィールスがこしらえるフォルダだという罠
Dタイプの読み物ハケーン

ttp://www.certcc-kr.jp/announce/Welchia/Welchia.html
10387:03/08/24 00:46
>>101
> system32\wins はウィールスがこしらえるフォルダだという罠

未感染のPCにもありますよ。タイムスタンプはウィルス報告より
だいぶ古いです。私が確認した限りだと全てのバージョンの
Win2000とXPに存在します。NTは面倒だから未確認。
>>103
だね。
105名無しさん@お腹いっぱい。:03/08/24 00:50
>>101
そう? 漏れのW2Kにはなかったが。警察庁資料ではウィールスが作ると書いて
あったような。情報サンクス。

>>102
ここでもニセモノは大文字だね。だれかWindowsのupper/lowerケース取り扱い
に詳しい神きぼんぬ
>>103
>>101みたいな馬鹿はほっとけ
こんな奴がデマ情報を流すんだよ
うちの2000とXPにもsystem32\winsあるから気にするな
300ping /h(22:30-23:30)
>>105
> ここでもニセモノは大文字だね。だれかWindowsのupper/lowerケース取り扱い
> に詳しい神きぼんぬ
そこは不可蝕領域。大きな穴がNT3.0の頃から放置されている。
110 :03/08/24 01:04
今回の騒ぎでDCOMをoffにしてみたが、別段何の不都合も無かったyo。
・・・ということは、究極の対策は 「DCOM無効化」 だな。

なんで こんな機能がデフォルト有効になっとるんだか・・・
>>110
他の使わないサービスも沢山デフォルトで動いてるから、
察するにどんな用途にも無難に対応出来る様になってんじゃないのかな?

システムの事なんか知らない俺みたいな人間にも対応出来るように。
まあ、お節介機能かな?

っつか要らんサービスガンガン切って出荷すりゃ良いのに。
(インスコ直後でもそうなるようにCD作ってほしいな)
>>110
DCOMって何だ?
DOCOMOなら知ってる
会社でシステム管理しています。
Firewallで最低必要なプロトコル以外はブロックしてるんで
感染するはずはないのだが見事に持ち込まれました。

ウィルス対策ソフトは全PC導入済みなので被害という被害は
なかったのですが、クラスCサブネット5つを約90秒で
スキャンし、パッチが当たっていなかったPCへ足跡を
残していきました。

足跡といっても、ウィルス対策ソフトの警告が出ただけです。
(検疫成功)


活動時のネットワークへの負荷のかけ方はすごいです。
感染元特定ははEtherealなのでパケット拾えばそれほど
難しくはないです。ping打つときに連続したarp requestが
出るのですぐに分かります。
>>113
持ち込んだヤシ減給汁。
M$がエシュロンのお先棒を担いで個人情報がネットで発する情報をチェックするため、に1票。
>>112
Distributed Component Object Model (DCOM) for Microsoft
https://www.microsoft.com/japan/com/
>>109
違います。
118 :03/08/24 01:15
>>111
>っつか要らんサービスガンガン切って出荷すりゃ良いのに。

とっても禿同なんだが、サービス一覧見ただけじゃよくワカランし・・・
ローカルセキリュティポリシーいじってガチガチにすると、マトモに動かなくなるし・・・ (ノД`;)ノ
>>112
DCOM 【分散COM】

読み方 : ディーコム
フルスペル : Distributed Component Object Model

 Microsoft社が定めた分散オブジェクト技術の仕様。
同社のCOM仕様にしたがって作成されたソフトウェア
部品(「COMオブジェクト」と呼ばれる)同士がネットワ
ークを通じて通信を行い、データの交換や処理依頼
のやり取りなどを行なうことができる。
COMと共にWindows以外のプラットフォームにも移植
されており、同社はこれをインターネット標準として普
及させるため、IETFに仕様案を提出している。

ttp://e-words.jp/w/DCOM.html
>しらんサービス
Messengerは切らんとな。被害者続出だし。
http://pc.2ch.net/test/read.cgi/sec/1035271935/l50
>>109
これの問題はUNIXと互換性をとるためのsambaの中の人のハナシだろ?
>>117
ここへ行くと良いかも。
ttp://pc2.2ch.net/test/read.cgi/win/1060584476/
123 :03/08/24 01:20
>>113
FWのインバウンド制限だけでは、企業ネットは守れないと思うのだが・・・。
これからは アウトバウンド制御 & LAN内セキリュティ が必須。
>>118
その辺り、MSが初心者にもわかり安い説明書を付けて販売すると良いと思うのだが。
日本人向けには漫画形式で付けると結構読む人が多いかも(w

でもやらねぇんだよな〜これが。
125 :03/08/24 01:24
>>124
ありそうでないよね > 非プログラマ向けのWinサービス内容解説本

元は英単語の組み合わせだから、英語ネイティブな人間ならピンとくるのかなぁ・・・。
>>123
社員へのセキュ関係教育の徹底必須ですな。
127113:03/08/24 01:25
>>123
アウトバウンド制御→実施済み
というかこれは当たり前でやってない会社のほうが少ないだろ。

サブネット間→L3スイッチ未対応のため(ry

話がそれてきたのでコテハンでの書き込み終了。
>>123
そりゃわかってるけどLAN内セキュってめんどいんだよなー。
だいたいNETBIOS over TCP殺したら…うう、もう…鬱だ。
>>125
PC関係の本も漫画形式にするとうけそう。
外国人にまたヴァカにされそうだけど。

誰か実用新案取れ(w
あ、前に税関係で何か漫画が出てたっけ。
単なるマンガではなく、某英単語学習みたいな「萌え系マンガ」なら売れるかも(w
131名無しさん@お腹いっぱい。:03/08/24 01:31
windows のサービスの説明。漏れはここなんか参考になったが。
http://www.geocities.co.jp/SiliconValley-SanJose/3220/XP-service.htm
132 :03/08/24 01:32
>>131
サンクスコ (*^ー^)ノ
>>131
頂きます。勉強になります。
>>128
それを機能停止するとどうなるの?
>>132-133

ワンポイントメモ

Terminal Servicesを切るとタスクマネージャのプロセスタブで、
出てくるはずのユーザー名が出てこなる。

俺は最初の頃これで焦った。
137名無しさん@お腹いっぱい。:03/08/24 01:44
全然収拾がつかない雰囲気だよな。
ネットワークはペングーに犯されつづけるのだろうな。
>>135
windowsでのファイルとプリンターの共有が出来なく(ry
139名無しさん@お腹いっぱい。:03/08/24 01:46
>1000店舗に10枚ずつ配って終了とかいう話らしい。
>無償配布というよりは製品を買った人に付けるとか言う話を聞いたけど…


    _.-~~/
    /  /   パカ
   / ∩∧ ∧
   / .|( ・∀・)_  エーーーッ!!
  // |   ヽ/  
  " ̄ ̄ ̄"∪
>>137
そこはダメッ!違う穴(略
>>135
マイ糞ソフトネットワークが使えなくなります。
ZAのアラートのマックスって500なんだな。
>>138
>>141
ありがとー。そうだったのか。知らなかった。
それでよく止めたほうがいいって指南してあるんだなあ。
勉強になりました。
>>143
うん、1台だけの場合はね。
ルーター - PC の場合切る。
ルーター - PCx2以上 共有フォルダ又はプリンターの共有無し の場合切る。
ルーター - PCx2以上 共有フォルダ又はプリンターの共有有り の場合入れとく。
質問。
うちのサーバーのポート135番に特定のデータ列付きでサービス要求が来たら
送って来たホストのポート135番に特定のデータを持つパケット列を返すと
いうサービスを提供するデーモンを走らせるのって法律的に問題あるのかな?
>>145
資源の無駄使いはやめれ。
>>145
MSBLASTか?
会社で、ネットワーク管理者がよく、

ウィルスを駆除しました。攻撃した ***.***.***.*** の管理者の方は
対処してください。

なぁ〜んて報告をあげるんだが、それって侵入されてるってことだろ!
ってツッコミを入れたくなる楽しい世の中…
>>145
送信元とやっていることは何も変わらんと思うが。
だいいちIP偽装していたら、お前が迷惑な奴扱い。
>>148
だな。
151145:03/08/24 02:19
そっかー。無駄と言うか、焼け石に水だし、やめとくね。
>>143
MSネットワーク(NETBIOS over TCP/IP)はケーブルつなげばいいだけだから
お手軽。しかしセキュ的にいえば全体が1台のPCみたいなもん。インターネット
とのゲートにルータ(とFW)噛ましてあれば、外からの侵入は防げるが、感染した
ノートPCをルータの内側に繋がれたらそのMSネットワーク全体があぼーん。

MSネットワークでLAN構築したつもりになってると、こういうときにあひゃ〜という
ことになる。ルータ1個にPC何十台もMSネットでぶらさげてると、そりゃ自殺行為。




153名無しさん@お腹いっぱい。:03/08/24 06:31
キタ━━━━━(゚∀゚)━━━━━ !!!!ぷらら、一分で100だ!!
154名無しさん@お腹いっぱい。:03/08/24 09:42
ブラスタが下火になってきたのでこっちを蒸し返しまつ

適切な手順で修正パッチを当てなければ、パッチを当てても無意味に

ttp://internet.watch.impress.co.jp/cda/news/2003/08/22/220.html
>>152
>ルータ1個にPC何十台もMSネットでぶらさげてると、そりゃ自殺行為。

管理が甘けりゃね。
>>154
セーフモードでMS03-033インスコしとけ。

>>156
やなこったこのたくあん野郎、こいつ↓の肛門にキスをしろ。
キ、キスして・・・
友人がついにPC&イソターネットを導入したと言うので遊びにいってみたら
なんと林檎屋の親父に引っ掛かっていた。何故林檎なのかと(
ISPはO●Nだそうだが、PCが落ちてるにも拘わらず凄い勢いでLEDが点滅してた。

ド素人には林檎が良いのかも知れないと思った土曜の宵ですた。

160名無しさん@お腹いっぱい。:03/08/24 12:16
この騒ぎにビビッた従兄弟から明日、新しいPCの設置を頼まれました。
OSはXP、ハードは富士通だそうです。
XP用のパッチとZA&日本語化パッチをCDに焼いて準備したので
あとはネットに繋ぐ前にセーフモードでパッチを当てて再起動してZAを入れてから
接続設定で、大丈夫でしょうか。
プレインスコのウィルススキャンが無かったら代替で廃棄するPCで使っている
ノートンをインスコの予定です。
自分、w2kで、XP触るのは明日が初めてなのです・・・。
161名無しさん@お腹いっぱい。:03/08/24 13:00
>>160
まあそんなとこで普通は大丈夫だろうが…
どうせならトレンドかシマンテックの駆除ツールも焼いとけ。
(サイトの場所は上のテンプレにある) おもいきり慎重に
行くなら↓のように。


ケーブル抜く
 駆除ツールでスキャン
 ウィルスいないのを確認
 パッチ当てる
 ぞぬインスト
 「ネットワークの接続」無効にする
ケーブルつなぐ
 シャットダウン、再起動
 「ネットワークの接続」有効にする
 念のため駆除ツールでもう一度スキャン
 ウィルスいない→(゚д゚)ウマー
>>160
いまのゾヌ、日本語化ないけど…
plalaの法則
220から始まるアドレスは、凄まじい勢いでICMP飛んでくる
190,180はそうでもない
こんな感じになってる

plala以外はスマソ
>>154
えっと、パッチを当てるときにodbc32.dllが作動してるとマズーってことですよね。

debugging tools for windows というプログラムをMSのサイトからダウンしてくる。その中の
tlist.exeというユーティリティーでdllの作動状態を調べる。odbc32.dllが作動していたら、
それを停止させてからパッチ当てる―つーことでいいのれすか?



>161
ありがとうございます。念のため駆除ツールも焼いていきます。
新しいPCはまだ箱の中です。
ニムダのときに感染したかもと連絡が来てスキャンして見たら
新旧取り混ぜて15個見つかったのでノートン先生を強制購入させた
強者なので電話が来たときに反射的に
「私が行くまで箱から出さないでね!」とお願いしてしまいましたw

>162
とりあえず、日本語化の一番新しいのが対応しているバージョンを
入れてきます。それから有償のFWを買えるか相談してきます。


166名無しさん@お腹いっぱい。:03/08/24 13:29
>>164
一度バッチを当ててみてちゃんと修正されてるかどうか確認して見る方がよい
過去ログ見ると普通にアップデートして修正されてる人もいるし
>>166
サンクスです。

今debugging tools 落としてきたとこですが、これはなかなかメンドそうでつ。
tilst.exeを実行すると、動いてるdllの一覧がちゃんと出てきて、odbc32.dllは
なかったから(゚д゚)ウマーと思ったが、もしあったらどうやって停止させるのか
わからんちん。

それから「ちゃんとパッチが当たってるか確認」というのはどこを見るのでつか?
レジストリー?
168名無しさん@お腹いっぱい。:03/08/24 13:46
>>165
このスレもCDに焼いて、ついでに紙に打ち出しておくと便利。
169名無しさん@お腹いっぱい。:03/08/24 13:48
>>167

下のでバージョンと日付の確認だよ
ttp://support.microsoft.com/default.aspx?scid=kb;ja;823718
初めてPC買った人はどうなるんだろうと思った。
メーカー品だとすでに対策済みなのだろうか?
PCの箱に「Blaster対策済み!」とか書かれてるのが出てくるのかな?
171名無しさん@お腹いっぱい。:03/08/24 14:18
早く対策知る!pingがuzeee!
172名無しさん@お腹いっぱい。:03/08/24 14:33
>>165
どうやってネットに繋いでいるかによって、対策は変わってくるな。

1)ルーター機能を使用し(ルーター機能付きモデムまたは購入ルーターありで
  高速接続を使用中)
  →普通にWindowsUpdateをし、ウイルス対策(XOのFW ON推奨)

2)ルーター機能はない(YBB、フレッツなど)が高速接続
 →ネットワークに接続する前に、XPのファイヤーウォールを ONにしておいて
  それからネットワークに接続しWindowsUpdateしておく。

3)アナログ&ISDN
  →CDに焼いたものを持っていく
  →ネットワークには接続しないで使う(w

>>170
MSが、XPのFW ONを標準にして出荷するらしい。
今はデフォルトでは、OFFになっている。
ただいつ出荷する分からそうなるのか、さっぱり分からない。

ところで、うちのルーターのチカチカ点滅が随分減ったんだけど、
感染者が気が付いて対策終えた?
173165:03/08/24 14:41
>168
このスレで張られているリンクをまとめてあるので、念のためそれも
持っていくことにします。そこまでは必要ないことを祈りつつ・・・。

>172
従兄弟のはふれっつISDNで、今は98なんだけど、
行くまでケーブル抜いてネットしないよう言って置きました。
・・・手間のかかるおにいちゃんでつ。

2000でパッチ当てたんですが
FW入れないとまずいですか?
今後まずい
セキュリティ意識の低さがまずい。
177名無しさん@お腹いっぱい。:03/08/24 15:03
>>167
よい質問でつ。

MDACパッチ適用後、ファイルマネージャーでファイル情報を確認する。
適用が成功していればファイル情報はそれぞれ以下のとおりとなる。
ただし、下の時刻はUDT(世界標準時)なので、日本は+9時間となる。

MDAC 2.7 用パッチ適用後
日付 時刻 バージョン サイズ パスとファイル名
-----------------------------------------------------------------------
21-May-2002 16:18 3.520.8721.0 200,704 %WINDIR%\System32\Odbc32.dll
21-May-2002 16:19 3.520.8721.0 94,208 %WINDIR%\System32\Odbccp32.dll


MDAC 2.6 用パッチ適用後
日付 時刻 バージョン サイズ パスとファイル名
------------------------------------------------------------------------
21-May-2002 16:49 3.520.8721.0 221,456 %WINDIR%\System32\Odbc32.dll
21-May-2002 16:49 3.520.8721.0 102,672 %WINDIR%\System32\Odbccp32.dll

MDAC2.5 用パッチ適用後
日付 時刻 バージョン サイズ パスとファイル名
------------------------------------------------------------------------
22-May-2002 14:58 3.520.8721.0 217,360 %WINDIR%\System32\Odbc32.dll
22-May-2002 14:58 3.520.8721.0 102,672 %WINDIR%\System32\Odbccp32.dll

レジストリの値が書き換えられていても本体ファイルの置換えが成功しているかどうか
わからんので、ファイル情報を確認しとくのが吉だとか…。もうアフォかと(ry
ブラスター対策状況のチェックのExcelシートの記入を求められた。
パッチ適用済みと書く欄があった。
バッチ適用済みと書いてる人が結構多かった…

いったい何を適用したんだ?
>>178
IME2000 郵便番号辞書
180名無しさん@お腹いっぱい。:03/08/24 15:09
ルーターが入ってればデフォルトで外からアクセスできないから
感染しないって言ってる ヤツが居たけどホント?
>>174
ネットにつなぐPCにFWは絶対条件です。
なおガイシュツだが、XPのファイアウォールは外→内への侵入しかチェック
しない。いったん感染してしまうと、内→外へウィルスを撒き散らすことに。
やはりZone Alarm、 Outpost、 Kerioなど入れておくのがよいです。

テンプレ>>8 >>9 あたり見といてね。
>>180
今回のブラスタDに関していえば、こやつはport135を通じて入り込むので、
ルータがport135を閉じていれば感染しない。しかしルータの下にLANを組んで
あって、そこへ感染したノートパソなどつながれたら(>>152)あぼーん。

また当然だが、メディア(フロッピー)やメールで感染するウィールス(流行中の
SobigFなど)にはルータは効果なし。

対策三か条
1 Windows Updateを常に実行
2 FWをインストール
3 アンチウィールスソフトをインストール


漏れの odbc (w

日付 時刻 バージョン サイズ パスとファイル名
-----------------------------------------------------------------------
20-Feb-2003 17:39 3.525.1022.0 221,184 %WINDIR%\System32\Odbc32.dll
20-Feb-2003 17:39 3.525.1022.0 102,400 %WINDIR%\System32\Odbccp32.dll
184167:03/08/24 15:23
>>169 >>177
サンクスです。よくわかりますた。
185177:03/08/24 15:29
>>183
じゃこれが最新版? そういやMSの技術情報はLast Reviewed:2003/01/28だった。
早く最新情報に更新せいや。それともどっかに最新版のファイル情報うpされてたっけ?


186名無しさん@お腹いっぱい。:03/08/24 15:32
>>185

169のが最新だよ
187180:03/08/24 15:36
>>172 で書いてあったけど、

NTTのフレッツ と YBB はルーター機能が無いから Blaster は
スルーしてるってこと?

じゃあ、日本の多数派は感染予備軍?
188あぼーん:あぼーん
あぼーん
>>187
フレッツにもルータ内蔵モデルはあるけど、標準モデル?(MN-II、MN-III)はルータなし。
YBBも無線にすればルータ機能が働くけど、有線では働かない。

ということで、大多数は感染予備軍でしょう。
190177:03/08/24 15:55
スマソ(汗 MDACパッチのファイル情報最新版は以下のとおり。
>>177は無視してくだされ。

MDAC 2.7 RTM
日付 時刻 バージョン サイズ ファイル名
--------------------------------------------------------------
2003/07/31 10:49 2000.81.9001.0040 61,440 Dbnetlib_270.Dll
2003/07/22 16:04 3.520.9001.0040 204,800 Odbc32_270.Dll
2003/07/22 16:10 2000.81.9001.0040 24,576 Odbcbcp_270.Dll
2003/07/22 0:00 3.520.9001.0040 94,208 Odbccp32_270.Dll
2003/07/31 0:00 2000.81.9001.0040 450,560 Sqloledb_270.Dll
2003/07/22 0:00 2000.81.9001.0040 356,352 Sqlsrv32_270.Dll

MDAC 2.7 Service Pack 1
日付 時刻 バージョン サイズ ファイル名
--------------------------------------------------------------
22-Jul-2003 18:27 2000.81.9041.40 61,440 Dbnetlib.dll
22-Jul-2003 18:22 3.520.9041.40 204,800 Odbc32.dll
22-Jul-2003 18:28 2000.81.9041.40 24,576 Odbcbcp.dll
22-Jul-2003 18:28 3.520.9041.40 98,304 Odbccp32.dll
31-Jul-2003 18:47 2000.81.9041.40 471,040 Sqloledb.dll
22-Jul-2003 18:27 2000.81.9041.40 385,024 Sqlsrv32.dll
191あぼーん:あぼーん
あぼーん
MDACパッチファイル情報その2

MDAC 2.5 Service Pack 2
日付 時刻 バージョン サイズ ファイル名
--------------------------------------------------------------
2003/07/23 13:56 3.520.6100.40 212,992 Odbc32.Dll
2003/07/21 15:24 3.70.11.40 24,848 Odbcbcp.Dll
2003/07/22 19:29 3.520.6100.40 102,672 Odbccp32.Dll
2003/07/21 0:00 3.70.11.40 524,560 Sqlsrv32.Dll

MDAC 2.5 Service Pack 3
日付 時刻 バージョン サイズ ファイル名
--------------------------------------------------------------
2003/07/23 17:13 3.520.6300.40 212,992 Odbc32.Dll
2003/07/21 15:24 3.70.11.40 24,848 Odbcbcp.Dll
2003/07/23 17:11 3.520.6300.40 102,672 Odbccp32.Dll
2003/07/21 0:00 3.70.11.40 524,560 Sqlsrv32.Dll

MDAC 2.6 Service Pack 2
日付 時刻 バージョン サイズ ファイル名
--------------------------------------------------------------
2003/07/21 10:28 2000.80.746.0 86,588 Dbnetlib.Dll
2003/07/22 15:04 3.520.7501.40 217,360 Odbc32.Dll
2003/07/21 10:28 2000.80.746.0 29,252 Odbcbcp.Dll
2003/07/22 0:00 3.520.7501.40 102,672 Odbccp32.Dll
2003/07/31 0:00 2000.80.746.0 479,800 Sqloledb.Dll
2003/07/21 0:00 2000.80.746.0 455,236 Sqlsrv32.Dll
193名無しさん@お腹いっぱい。:03/08/24 15:59
127.0.0.1
192.168.0.1
192.168.1.11
192.168.0.3

こいつら(`皿´)ウゼー
>>193
> 127.0.0.1
これってお前のPCな。
>>193
127.0.0.1って・・・ヽ(´ー`)ノ

釣りでつか?
196名無しさん@お腹いっぱい。:03/08/24 16:07
>>193
それ、みんなあんたとこの身内だよ
下手な釣り
198あぼーん:あぼーん
あぼーん
199193:03/08/24 16:49
( ̄▽ ̄;) ガーン!
200名無しさん@お腹いっぱい。:03/08/24 16:51
SPI機能(ステイトフル・パケット・インスペクション)
ステルス機能つきのルーター、例えばBA800PRO
ウィルスソフトくらいは買っとけ>貧乏人ドモッ(ёдё)ノ"
ウィルスソフトってウィルスそのものなのでは・・・?
>>201
工エエェェ('A`)ェェエエ工
ウィルスソフトは、どこに行けば買えるのでつか?
今回の騒動でアンチウィルスソフトメーカーは相当儲かった様だな。
正に笑いが止まらんとはこの事か。
>>204
が、その割に株価の反応が鈍いらしい。
>>200-203
ウィルス対策ソフト、あるいはアンチウィルスソフト、だな。
>>124
それで気付いたが
「絵で見る…」(MS03-XXe.asp)って日本語版だけなのか…
@ISDNなので、当方のIPはコロコロ変わりますが
 210.×.×.×の時にICMPのpingが来ます。
 それ以外の時は137がたまに来るくらいです。
ANETBIOS over TCP/IPの有効・無効以外に
 DHCP〜なんたらつーのがありますが
 これの脆弱性って、どれくらいですかね?
無効>>>DHCP>>>>>有効・・・ぐらいでしょうか?

LANの関係で、この設定です。無効にすると、駄目です。
210名無しさん@お腹いっぱい。:03/08/24 18:13

プロバってさ、ping大量に打ってるヤツ(D感染)、わかんないのかな?
今時期的にping大量に打ってるのってほとんどD感染者でしょ?
まあping打つの悪くはないんだけどさ、

一部CATVのプロバでは、ユーザー停止してるらしいが、
他のプロバも本気で対策して欲しいよね、
211名無しさん@お腹いっぱい。:03/08/24 18:24

☆楽しいことがたくさんあふれている☆

http://mfre.org/?140666
212名無しさん@お腹いっぱい。:03/08/24 19:04
>>187

>じゃあ、日本の多数派は感染予備軍?

そういうこと。

今回のに関しては、アッカ、イーアクユーザーは平和だろうな。
ただ、中からやってきたら、同じことだ。

対策4か条
1)WindousUpdateを自動にしておく
2)FWの導入(ルーターかソフト)
3)アンチウイルスソフトを導入
4)LAN内でファイル共有にする場合、パスワードをいれておく

これだけやっておけば「外」からの分も防ぎつつ、万一LANの「中」に
ノートPCとかで持ち込まれても、内なる感染をそれなりに防げる。

ただし、これでも100%ではないようだ。
XPでファイル共有にしてある場合、LAN感染型のは素人には防ぎにくいような
気がする。Nimdaの時にXPだったら、被害はもっと多かったように思える。

Blasterから外れた、スマソ
>>209
コンビニの化粧品かと思ったゾ。
NETBIOS over TCP/IP は、共有しないなら「無効」にしてもインターネットは
つながるから、よけいなものは動かさない方がいいだろう。

>>210
ちょっと誤解があるようだが、プロバイダはもっぱらインターネット接続の
環境を提供するところであって、それ以上のことは基本的にはおこなわない。
214名無しさん@お腹いっぱい。:03/08/24 19:15
OS再インスコしてからSP4+パッチあてるまでの15分程度で感染しやがりますた。
うちルータ無いから、捨て身でZoneAlarmダウソしてきてシマンテックの駆除ツールで駆除して
やっとパッチ当てられた。くそう。

ttp://www2.makani.to/akutoku/upload/dat/1061708261.gif

いまだにこんな感じ。みんなこんなんなの?
>>214
あらかじめポート閉じておけばよかったのに。
Windowsの標準の機能であるだろ?
>213
>209ではないんだが、NETBIOS over TCP/IPを無効にすると
接続できなくなる。8/8に再インスコして重要な更新をやったばかりで
環境設定はまだ何もいじっていないんだけど・・・。
どこがおかしいのかなぁ。

今回の対策は終わってます。
CATVモデム直結でFWはOutpost
>>208
哀しいかな日本人には漫画でないと。
挿絵じゃまだ見ないヤシが多いはず。
>>215
そりゃ天下のwin2000だからルーティングのひとつやふたつできるだろうとは思ったんだけどさ。
やり方調べてる間にもガンガン攻撃食らってるもんで、知ってる方法で早くなんとかしたかったのよ。

・・・やり方教えて。
>>215
SP4から察するに、使用OSはWindows2000だろう。
FWは
一時期よりだいぶ進行がゆっくりしてきたな
情報が出尽くした感じだし、亜種もDまでで止まっているからね。
進行ゆっくりしても攻撃は止まらず。
1時間50件ペース…。
ああ、こいつらに片っ端からnet sendで治せと送りてぇ…。
222214:03/08/24 19:59
>>221
俺送った
223名無しさん@お腹いっぱい。:03/08/24 20:05
これで被害が収まった頃にデフォルトFW-ONのSPが投入されて
大混乱か・・・。( ´Д`)ハァ・・・。

「ネットワークが繋がらない(=ネットワークにコンピュータのアイコンが無い)」
>>222
どんどん送れ
C:\>net send 219.165.226.239 "あなたのコンピュータからBlasterワームと思われるアクセスを受けており、迷惑しています。早急に対処してください。"
メッセージは 219.165.226.239 に正常に送信されました。

送りますた。
ポート135、137に大量にリクエストがきてるんですが、これ全部Blaster?
もし誤爆だったらすまんかった。
なんか、ポートにリクエストかけてきやがったあとにping通らないやついるけど、落ちてるのかな?
>net send
テキストエディタでbatファイル作成した方が手軽かもね。
IPアドレス変更して実行するだけで、片っ端から送り返せる。
ここ三日blastの亜種の強制終了をとめることができません。
だれかわかりませんか?
アップデートしようにも電源おちるんで無理です・・
どなたか助言おねがいします。
>>227
ネットのケーブル引っこ抜いて電源落としておく。
ネットカフェで駆除ツールをDLする。
XPならパーソナルファイアウォールの設定方法を調べておく。
2000ならゾーンアラームをDLしておく。インスコと設定の方法も調べておこう。
FD分割かCD-Rに焼いてもらうかして自宅に持ち帰り、ワーム駆除、ファイアウォール構築。
これであとはネットにつないでwindowsupdateするだけ。
これだけ世界規模で広がっちゃったら、収束するのに
しばらくかかりそうだな。落ち着く前に亜種がどんどん
作られていつまでたっても終わらない。

車の場合ならリコール当然だがOSの場合はどうなんでしょ?
230名無しさん@お腹いっぱい。:03/08/24 21:20
>>227
このスレのミニFAQ >>7 >>8 >>10 あたりも読んどけや

>>229
なんらかの責任を負うべきだけど、MSはCD配布で責任を果たしたとか言うんじゃない?
漏れんとこ、ICMP(2048)のpingは3分に1回くらい。ほぼ平常に回復。(プロバはYBB)
CATVはところによってpingの嵐がつづいてるらしい。ぷらら、フレッツあたりどーだ?
 
>>232
YBBはポートブロックしているから、YBB以外のISPからのアタックはブロックされているはず。
YBB → YBB
同じIPから連続20回以上pingが来るよ。だれか助けて〜
>>233
YBBがport135を閉じてからも二日くらいはpingの嵐だった。この2、3日で
YBB内の感染が急減したということなんだろ。port閉鎖は効果あったって
ことかね?

他のプロバはどうなん?

>>219
FWとは呼ばれてないけど、ネットワークの設定から奥の方にいくと
ポート番号ごとに遮断できるのがあったはず。
今はLinuxから書いてるからよくわかんないけど。
今日某電気屋にソフト買ったついでに
この無償の対策CDの張り紙を見つけたんで
店員に下さいって言ったら有料ですって言われたよ。(100円)
無料ですって張り紙にあったけど
欲しい人多すぎて有料になったの?
>>236
ぷららですが、ガンガンきてます。
240名無しさん@お腹いっぱい。:03/08/24 22:12
     冫─'  ~  ̄´^-、
   /          丶
  /             ノ、
 /  /ヽ丿彡彡彡彡彡ヽヽ
 |  丿           ミ
 | 彡 ____  ____  ミ/
 ゝ_//|    |⌒|    |ヽゞ
 |tゝ  \__/_  \__/ | |  
 ヽノ    /\_/\   |ノ  .______________
  ゝ   /ヽ───‐ヽ /  /  
   /|ヽ   ヽ──'   / <  >>238 ぬわにぃ? どこだその電気屋は?
  / |  \    ̄  /   \
/ ヽ    ‐-            ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
プロバ板見ると、ぷららは今だにpingがひどいみたいでつ。他のプロバは
ウィールス関係の情報少なくて(というかウィールス以外の情報もあまりない)
よくわからん…
>>237
TCP/IPフィルタリングですか? あの辺は素人には触らせたくない部分の悪寒。
>>232
関東のCATVでつ
1分に10回程度のping来てるね
>>238
それは電気屋が独自に焼いたCDじゃないの? MSが配布するやつは
27日からじゃなかったっけ?
245通りすがりのもの:03/08/24 22:24
ybbだけど、30秒に一回くらいは、ping来てるぞ。
以前よりは減ったけど。
246238:03/08/24 22:25
>240
>244
そうかも。ばっちり店名入ってるし。
どうりで店員もぽそぽそ有料ですって言った訳だ。
ちなみに壱百萬Vです。
>>242
それだ! FWに比べて難しいの?
LinuxでFWというとTCP/IPフィルタリングに対応するものを指すことが多いんで、
「パーソナルファイアウォール」っていまいち実感が。
今日になって随分ピングーがおとなしくなった。
昨日:195/h
今日:53/h
249名無しさん@お腹いっぱい。:03/08/24 22:36
>>236
ブロックしたのはポート135だけで、icmpはブロックしてない
ていうか、icmpブロックまではどこのISPでもしないだろ。

すげぇ高性能なルータで、ポート135を発信してるホストだけを
リストアップしそこからのicmpだけをブロックしてくれたらいいん
だけどな・・・
250某地方catv:03/08/24 22:48
ウィルスの大量発生について 03/08/24UP
「ブラスター」の亜種と思われるウイルスに感染されたお客様のパソコンが
大量のデータが流しているため、当社のセンターモデムや、感染していない
お客様のパソコンに影響を与え、ウイルスに感染していなくてもスピードが
極端に遅くなったり、断続的に切断されたりといった現象が発生しています。
 当社では、センター側設備ととケーブルモデムへの緊急対策を実施するとともに、
ウイルスに感染されているかたを調査し駆除して頂いております。
 現在、一時的に、135・139・445・ICMPのポートを制御しておりますのでご了承下さい。
251cheshire-cat ◆CATBCJABLA :03/08/24 22:48
>>247
コンパネ→ネットワーク接続→プロパティ→全般タブ→TCP/IP→「TCP/IP詳細設定」のオプション→TCP/IPフィルタリング
Windows2000にも搭載されている機能だけど。
起動時の空白期間は無い(はず)だったけど。
あるポートのみブロック、みたいな小回りが効いた設定はできなかった記憶。

詳しいのは、この辺りかなぁ。
http://www.atmarkit.co.jp/fwin2k/operation/personalsecurity/personalsecurity07.html
252名無しさん@お腹いっぱい。:03/08/24 22:50
ITS COMMUNICAITION

PINGも135もすごく多い。

MACAのパーソナルファイアーオール入れてるんだけど、
PINGのアラームが多すぎて見てられんので
PING拒否でアラームなしにした。
でも135アラームがうるさい。
253名無しさん@お腹いっぱい。:03/08/24 22:50
自分の使っているルータが135ポートを閉じているかどうかは、どうすれば確認できるのかな
254名無しさん@お腹いっぱい。:03/08/24 22:52
>>247
Windowsのファイアーウォールソフトは基本的に
デフォで不要なポートを全部閉じる→プログラムがどこかのポートを通ろう
とする→ポップアップ窓出してユーザーに警告→正常なアプリなら通す。
不審なプログラムならブロックする

という流れです。だからどのポートが何をやってるかをユーザーがいちいち
知ってる必要はない。UDP2049って閉じちゃうとなんかまずかったかなー
とかいってマニュアルを精読したりしないですみまつw
255cheshire-cat ◆CATBCJABLA :03/08/24 22:54
>>253
http://grc.com/default.htmの、ShieldUpとか。
と言うか、外からのPort135へのトラフィックが内部のパソへ届くかどうか、ブロードバンドルーターのサーバー公開機能とか簡易DMZとかをチェックするのが良さそうな。
ShieldUp はサイトの中身リニューアルしたんだね。
全然知らなかった。あんなブロック崩し風のポートチェックに
なっていたとは。全部ステルスで一安心?
>>242 >>251
Windows のTCP/IP フィルタリングは鬼のように使いにくいです。

TCPポートのフィルタリング
 ■すべて許可する
 □一部許可する
     port番号を追加

という悪魔の選択だからね。一部許可にしようとすると許可するポートを
ひたすら列挙することになる。ネットワーク管理者のツール。ユーザーが
使う機能としては想定されてないでしょう。
258cheshire-cat ◆CATBCJABLA :03/08/24 23:08
>>256
Messenger Spamとかも付きましたねん。

ステルスならとりあえずいいような。
Closeはブロックできていたとしても、「ここに誰かがいるよん!」ってアナウンスしているようなものだし。
と言うか個人のブロードバンドルーターが135をOpenして、ってのはまず無さそうな予感。

すんませんが。
どのポートをどースキャンするのか、一瞬失念してしまいましたんで。
スマソ。
>>258
Spam me!には笑いました。
そうだったのか。
てっきりiptablesと同様のものかと思ってた。
もしかして緊急避難として「一部許可する→追加のポート番号なし」
にするとアップデートすらできなくなるの?
261名無しさん@お腹いっぱい。:03/08/24 23:13
●川美香っていうホストから
135へアクセスがあった。
なんじゃ、ホストが美香つーのは?
262cheshire-cat ◆CATBCJABLA :03/08/24 23:19
>>259
こちらも数日前に更新に気付いて、同じ部分で笑いました。

>>260
さぁ。半年ほど前にいじくったきりだし、使い勝手が悪いんで数日しか扱って無いです。
ちょっと忘れてます、スマソ。
ただ今話題になってる、起動時の空白期間ってのは無い機能のはずでした。
Shields Up によれば
『システムの格付は完璧な「TruStealth」です。・・・
システムはすべての点で賢明に静かであり続けました。非常に良い。』
だと。うれぴぃ。
Shields Upやってる途中で回線が切れた。
ここ最近Moperaが不安定なのはたぶんPing野郎のせいだ。
参考のためにNetBIOS over TCP/IPの切り方を…

ネットワークとダイヤルアップ接続→ローカルエリア接続→プロパティ→
インターネットプロトコルを選択→プロパティ詳細設定→WINSタブ→
「NetBIOS over TCP/IP を無効にする」をチェック

ダンジョンの奥底に潜んでますな。
NBT切るのって対策になる?
>>260
アップデートも何も、ポートが全部閉じちゃってますから、送信はできても
なんにも受信できませんです。
>>267
そうなのか。
じゃ「Webサーバにするから80番だけ開けとこ」とか設定しても、
アップデートするときは全部開けなおさないといけないわけですか。
すいません、ちょいとよいでしょうか。
どうやらBlasterに感染されたようなので、ウイルスバスターでスキャンをしてみたんです。
すると案の定WORM_MSBLAST.Dが検出されたのですが、感染ファイルはDLLHOST.EXEというファイルで
駆除ソフトをシマンテックから落として使用しても
「not found」と表示され、駆除できません。

ファイル自体を削除しようとしても、使用しているので削除できませんと出てしまいます。
使用OSがXPなのですが、プロセスから終了しようとしてもmsblaster.exeが無く、終了もできません。

よろしければアドバイスをお願いします。
漏れがこのスレのチャンポンだ!
ping攻撃約30回/分
プロバybb。
271269:03/08/25 00:45
すいません、テンプレ見て解決しました。

あせって見逃していたようです。
どうもすいませんでした。

回線切ってケーブルで吊ってきます・・・
272209:03/08/25 01:38
>>266
W32.Bugbear@mm (発見日: 2002年9月30日)と
今回のBlaster軍団とごっちゃになってました。
NETBIOSは関係ないらしいです。
というか素人なので
RPC インターフェイスのバッファ オーバーランと言われても
チンプンカンプンです。
・・・以上、記念まきこでした。
>>257
閉じるポートを指定するんじゃなくて、使うポートを列挙するのか・・・
確かにいちいちやってられんな。
>>271
ワラタ 症状の説明が詳しいところなど、釣りではなさそう。なかなか真面目な
香具師と思いまふ。テンプレが役に立ってけっこうですた。

>>272
誰か、漏れなら「バッファオーバーラン」という現象を普通のPCユーザーに説明
する自信あるという勇士はいないですかや?


>>254
すげー亀レスだけどUDP2049はUNIXでSolarisのなんかじゃなかったっけw
>>274
バッファは入力などの一時保存領域です。
バッファオーバーランは、名前が長すぎて次の欄にはみ出たみたいな状態です。
普通は入力の長さを検査してはみ出ないように処理しますが、その処理に欠陥がある
プログラムもあります。
 オーバーランが起これば、普通はコンピュータの異常終了など予期せぬ動作をしますが、
上手く工夫すれば、書き込んだデータをプログラムとして実行させることが可能な場合が有ります。
それを利用して、外部からウィルスやワームを送り込みます。

つまり、門番を驚かして、慌てて「OPEN」ボタンを押させる、という方法です。
真夜中はポート137と445にパケ送られてきたけど、4時回ったらポート135に送られてきた。
ユーザ層が変わったせい?
278名無しさん@お腹いっぱい。:03/08/25 09:35
MSが配布してるってういうパッチが見つからないんだけどどこにあるの?
バッファオーバーランとは違うかもしれないが、エディタやメモ帳の
「ファイルを開く」でファイル名欄にMSIMEから「あああああ」と打って、
未変換のままファイル窓をキャンセルすると「ああああ」が未変換
状態のままメモ帳の中に落ちてくるね。最新版のMSIMEでは治ってる
のかな?



281280:03/08/25 10:01
アンカー忘れた。
>>278>>35見てってことね。
>>278
お前の記憶の中。
>>276
ワームやウィールスが利用するセキュ穴ってのは大部分が
バッファオーバーランみたいですね。これってプログラミング上
防ぐのがそんなに難しいんでしょうか。余ったデータを捨てる
だけなんて素人考えでは簡単そうなのに。
284名無しさん@お腹いっぱい。:03/08/25 11:45
>>283

人間が作るから、簡単ものでもたくさんあるとミスっちゃうんです
>>284
レス趣旨を如実に体現していらっさる貴レスを拝読して海よりも深く納得。
286氷月鬼 ◆EuropaFcZU :03/08/25 11:57
変数の数は山ほどあるだろうし、それぞれがプログラミング稼動中に
どんな値を取り得るかを「全て」網羅するのは大変だろうから、
オーバーランが起こるのはまあ仕方ないとしても、
起こったときにログイン状態に移行してしまう、もしくは管理者権限を奪われるというのがな・・・
デーモンのプログラムいじったことないから知らないけど、なんでそんなアルゴリズムになってるんだろう。
287名無しさん@お腹いっぱい。:03/08/25 11:58

ル ー タ ー 使えば普通にWindowsUpdateでいいじゃん

何を慌てているんだねきみたち。
>>285
おちつけ。
>>288
あはは。ほんまや。
>>284
ワラタ。正解。

VBでWinアプリ書いてるぶんには>>283なんだけど、デバイスドライバみたいの
書き始めたら(ry 神経使うわりに地味だしな。

組み込みプログラムなんかとんでもない穴があるのも。外部から電子レンジ操作
されて家があぼーん、とか。((((((;゚Д゚))))))ガクガクブルブル


>>290
> 外部から電子レンジ操作されて家があぼーん、とか。((((((;゚Д゚))))))ガクガクブルブル

それすごいね。映画のネタになりそうだ。
292名無しさん@お腹いっぱい。:03/08/25 13:11
>>284
じゃー人間がプログラム作成人工AIを作ってそいつに完璧なプログラミングさせるということは
できないんですか?
>>292

人工AIを作って
人工AIを作って
人工AIを作って

釣りか?
細かい細部を突っ込むなって。人間誰しもミスを間違えることはある。
295名無しさん@お腹いっぱい。:03/08/25 13:19
スカイネットはたしか1999年8月29日だったはず
>>295
へーそうなんだあ。日付までとは博覧強記だね。
297名無しさん@お腹いっぱい。:03/08/25 13:23
釣りだと思うけど一応マジレス

なら、その人工AIは何で作るのかな?
仮にロボットで作るにしてもそのロボットは何で作るのかな?
この時点で無限ループ完成w
はぁ・・・

                  ヽ(`Д´)ノ ワーイ!無限ループだウワァァァン!
                  (  )
         ,. -―- 、     ,. -/  >、
      // ̄ ̄\\ // ̄ ̄\\
     //      ヽ.∨/       ヽl
.     l/         ソ /        リ
     !ヽ、       / /、\      ./.l
.    \\__,,//  \\__,/ /
.        ` ー---‐"     ` ー---‐ "
>>299
ちゃんとネジレを表現したメビウスAAってのは初めてみた。資料にコピーしておく。
>>300
両側でネジれてるので、結局フツーの輪のような気もしますが・・・
>>301
すごいオチだ!
どれどれ、ここを起点にして、どんどこどんどこ辿ってみれば・・・
ありゃ!? 一周目で同じ所に来ちまったがな!
これは、輪っかにしてから捩った形でんな。
デバイスマネージャーで非表示のデバイスの表示にして
Non-Plug and Play DriversのNetbios over Tcpipを無効に
するのは効果あるかな?これをやるとFWのステータスで
445,135が消えるんだけど。FWでポート塞いであるから
こんな事しなくてもいいかと思うけど、万が一FW通過されても
これなら二重に安心かなと思って。ちなみにこれをやっても
インターネットは問題なく出来きてます。
305名無しさん@お腹いっぱい。:03/08/25 14:51
今更な質問ですが、フロッピーやらストレージでのファイル(たとえばWARDとか)でも、
ブラスタ君は移動したり感染するんでしょうか?
>>305
yes
>305
もれはフロッピにブラスタ飼ってるよ。
>>307
何種類集めた?
藻れはまだ2種類。
AとDだけ。

FDにはポケモンコレクションと書いてある。
309307ぢゃないが:03/08/25 15:30
>>308
AとDがあるけど、DはDLLHOST.EXEだけでSVCHOST.DLLが足りない。
DLLHOST.EXEを起動すると増殖するのか、誰か実験きぼん。
310名無しさん@お腹いっぱい。:03/08/25 15:33
ウイルスバスターは入ってますが、それ以上の対策の仕方が分かりません。
そして、この膨大な量のログを読む根性も有りません。
この初心者のくせに根性無しのわたくしにでも分かるように教えて下さい。お願いします。
>>304
それでもコマンドプロンプトで netstat -an すると
135と445が出てきませんか?
>>310
カエレ!
>>312
かわいそういじゃんw
>>310
一般的に考えられるウイルス対策を継続しているなら
大きな心配はないはずだが。

 OS
 WindowsならWindows Updateを訪れる頻度
 接続方法
 ルーター(式モデム含)の有無
 ウイルスバスターのバージョン
  アップデートの設定
 ファイアーウォール有無
 ファイアーウォールの名称
 その他気をつけていること・すでに対策したこと

どうっすか?
315278:03/08/25 16:33
>>271
どうもありがとうございました。
>>313
ありがとう。。。(^^;)

>>314
どうもありがとうございます。
Windows Update・・・自動更新になっているみたいです。
ルーター(式モデム含)の有無・・・わかりません。
ウイルスバスターアップデートの設定・・・たまに通知されるのでそのたびに更新してます。
ファイアーウォール有無・・・有効になっています。
ファイアーウォールの名称・・・わかりません。

その他気をつけていることは、
関係あるかどうか分かりませんが、Spybotも入れています。

OSは何ですか?

Windows Update
 一度手動で訪れて確かに更新されているのかどうか確かめましょう。
 重要な更新が残っているようならご一考を。

Internet Explorer 
 を使っていますか。
 使っている場合に、セキュリティを意識して自分で設定を
 調整したことはありますか。

Outlook Express
 を使っていますか。
 使っている場合に、セキュリティを意識して自分で設定を
 調整したことはありますか。

ファイーアウォールはウイルスバスター付属を使っているわけですね。
 設定は「高」になっていますか(中でいいと言う人もいますが)。

318名無しさん@お腹いっぱい。:03/08/25 16:55
>>316
一回ログ晒してみたらどうすかね。多分このスレの方達はやさしい方が多いので
ログを解析して結果報告してくれると思います。
自分のIPや相手のIPは****とかにすればいいし。
難しい要求だと思うけどなあ。とくに***にするって部分。。。
321名無しさん@お腹いっぱい。:03/08/25 17:20
知人のPCがブラスターに感染したらしくて、話を聞いているのだが、
windowsフォルダ内のPrefetchというフォルダ内にMSBLAST.EXE-09FF84F2.pf
というファイルが存在しているらしい。

これってやっぱり削除したほうがいいんでつか?
ちょっと漏れではわかりかねるので…
ちなみに、OSはwindowsXPです。
>>321
削除しろ!!!!
>>321
多分削除していいと思う
>>321
削除していいんじゃないかな・・・・・・
>>321
まっちょっと覚悟はしておけ!
関白宣言を歌うスレはここですか?
327氷月鬼 ◆EuropaFcZU :03/08/25 17:34
>>321
調べてみた。
そのフォルダにあるのはアクセスログらしい。
(プログラム実行の高速化が目的らしい)
消しても問題ないと思われる。
逆にそのファイルを放置しても問題ないと思う。

http://www.atmarkit.co.jp/fwin2k/special/winxp_over/winxp_over_19.html
セキュリティは自分で育てるも〜ので〜
スレ住人が〜苦労して
つくろうものではないはず
329321:03/08/25 18:49
みなさん、どうもありがとうございます。
削除するように伝えておきました。
最悪の事態も想定するように、とも添えて。

返事がおそくなり、申し訳ありませんでした。
当方時代遅れの98SEなので今回感染しないらしい。。
>>330
まぁイカでも食って乗り越えろよ
>>330
パッチや駆除法サイトをダウンロードしとくと誰かの役に立つかもよ
>>317
遅レスすみません。

win2000です。
IEのセキュリティレベルは「中」にしています。

Outlook Express のセキュリティの設定については良く分かりません。
ツールからセキュリティのところを見ても調整の仕方が分からないです・・・。

ウイルスバスターのファイーアウォール設定は「高」になっています。


>>318
実は、>>319さんの言うとおりだったりします(^^;)
334名無しさん@お腹いっぱい。:03/08/25 21:27
>>327
XPのprefetch機能。これね…
>(XPの)アクセス・ログは各プログラム・ファイルごとに記録され、その
>結果は%windir%\Prefetchディレクトリに格納される。各ファイルには、
>それぞれのプログラムごとのディスクへのアクセス・パターンのデータ
>が記録されており、プログラム起動時には、これらのデータに基づいて
>積極的に先読みすることにより、起動時間を短縮するようになっている。

ディスク先読み用のデータであってウィールス本体とは無関係だと。それなら
放置しても削除してもどっちでもいいわけだ。
335名無しさん@お腹いっぱい。:03/08/25 21:28
28に配布されるCDで今ウィルスかかってる人は、治るんでしょうか?亜種にかかって早四日です今だに電源おちちゃいます
336310=316=333:03/08/25 21:31
>>317
Windows Update の更新は自動でしかやったこと無くて、
このレスを見て、さっき初めて手動でやってみました。
そしたら、2つだけインストールできないのがありました。
>>335
ヽ(`Д´)ノ < 撒くな
>>335
今すぐ駆除しろ!ヽ(`Д´)ノ
配布CD入手までそのままでいるつもりかYO!!
>>338
そうです、もう連日Ping撃ちっ放しです。
340名無しさん@お腹いっぱい。:03/08/25 22:03
338 駆除の仕方がわからないんです。スティンガーあるんですが使い方わからないんです。昨日からネットにさえ繋がりません。。。
>>335
ヽ(`Д´)ノ < 撒くな
>>333
Outlook Express 一案。version6.0

ツールからオプション
1)読み取りタブ
 ・チェックオフ=プレビューウインドウで表示する
          メッセージを自動的にダウンロードする
 ・チェックオン=メッセージはすべてテキスト形式で読み取る

2)送信タブ
 ・チェックオフ=受信したメッセージと同じ形式で返信する
 ・選択=メールの送信形式→テキスト形式

3)セキュリティタブ
 ウイルス防止項目
 ・選択=制限付きサイトゾーン
 ・チェックオン=ほかのアプリケーションが私の名前でメールを送信しようとしたら…
 ・チェックオン=ウイルスの可能性がある添付ファイルはファイルを保存したり…

表示→レイアウト
 ・チェックオフ=プレビューウインドウで表示する
>>340
まあいいや。釣りじゃないとしてだな…

まずケーブル抜く。
 ウィールス本体のプログラムを停止させる。
 ウィールスプログラムをゴミ箱に捨てる
 XPなら付属のFW有効にする。
ケーブルつなぐ
 Win2000なら無料FWをダウンしてインスコ。
 MSのパッチをダウンしてパッチ当てる

やり方は>>7 >>8 >>10にあるからよく夜目。
それでわからないことはここへ聞きにこいや。
 

>>340はネットにつながんないのにどうやって書き込んでるんだ?
345343:03/08/25 23:05
>>344それで釣りじゃなければと断ってるんだがw 
携帯かネカフェか友達の家か…それで、と。>>343の補足
>>340
 ケーブルつないだら
   FWをダウンする。(Win2000の場合)
 ダウンロード終わったらケーブル抜く
   FWをインスコ。ZoneAlarm なら簡単

 FWを作動させた状態でケーブルつなぐ
   トレンドかシマンテックの駆除ツールをダウン
   駆除が成功したらMSにつなぐ→パッチをダウン
   パッチを当てたら再起動
   念のためもう一度駆除ツールかオンラインスキャン実行
   ウィールスいない→(゚д゚)ウマー

346名無しさん@お腹いっぱい。:03/08/25 23:06
343 プログラム停止ができないんです。タスクマネージャみても亜種がどれなのかわかりません。 344 携帯からです・・・
■ port135 を送信する設定

ttp://homepage2.nifty.com/winfaq/c/ntperf.html#1173 から引用
-----
Windows98/Me の共有を表示するのに長い時間がかかります

Windows 2000/XP から Windos98/Me の共有フォルダを表示させようとすると、長い時間がかかることが
あります。
これは、Windows98/Me の「タスク」の内容を取得するのに時間がかかっているためなので、Windows98/Me
のタスクの内容を知る必要がない場合は、次の手順でネームスペースからタスクを削除してください。
(Q245800)

 1.[スタート]−[ファイル名を指定して実行] から regedit を起動します。
 2.HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Explorer
  \RemoteComputer \NameSpace を展開します。
 3.{D6277990-4C6A-11CF-8D87-00AA0060F5BF} サブキー (フォルダのアイコン) を削除します。
  (必要な場合は、あらかじめこのキーを書き出しておいてください。)
-----

いまローカルなローカルネットで作業していたら、winXP で port:135 へ送信するマシンがあったので、
しばらく確認をしていた。
そのサブキーを削除しないで、リモートマシンの共有資源にアクセスしようとすると、port:135 へ
信号が送信される。
無用な誤解をさけるために、そのサブキーは削除した方がいいだろう。
348名無しさん@お腹いっぱい。:03/08/25 23:30
>>346
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
の「亜種によりネットワークが遅くなる」に亜種の停止の仕方があります。
以下引用
1:[スタート] メニューから [ファイル名を指定して実行] をクリックします
2:net stop rpcpatch と入力し、[OK] ボタンをクリックします
3:再び、[スタート] メニューから [ファイル名を指定して実行] をクリックします
4:net stop rpctftpd と入力し、[OK] ボタンをクリックします

こうして亜種停止してネット復旧後、
「Blaster ワームへの対策 - Windows XP 編」
「Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編」
通りに感染防止の対策を行った後、ブラスターワームや亜種対応の駆除ツールで駆除する。
ネット復旧しても無防備なままだとすぐ再感染するので、対策ページを読み込んだらすぐ接続を切る。
XPは駆除する時、システムの復元機能を切らないと駆除できない。
349名無しさん@お腹いっぱい。:03/08/26 00:08
会社の2000サバのIISが動かなくなった。
ブラスタDを手動で駆除した時、DLLHOST.EXEの本物まで
削除していた。アホでした。
350名無しさん@お腹いっぱい。:03/08/26 00:09
348さんのやり方で亜種をとめたんですがネットに繋がらなくてそうこうしてるうちに電源おとされました。ネトゲとかは、できるんですがMSNEXPOLOERERにつなげません。これは亜種と関係あるんでしょうか?
>>346
お前のOSはなんじゃ? XP か Win2000か?
Win2000だったらセーフモードで起動してタスクマネージャって
テンプレに書いてあるだろ。それでダメなん?

<テンプレ再掲>
A ニセモノは\system32\winsというデイレクトリに巣食っています。
  ニセモノはなぜか大文字でSVCHOST.EXE DLLHOST.EXEとなって
  いるとの報告あり。(すべての場合にそうかどうか未確認)
  ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。
Q タスクマネージャーでニセモノのSVCHOST.EXEが停止ができません。
A セーフモードで起動してからタスクマネージャーで停止する。
Q セーフモードって?
A まず再起動をかけます。OSの起動中にF8キーを何度か叩く。
やれやれ。このぶんじゃまだまだ感染してる香具師多そうだな
どうりでpingがまだイパーイ来るわけだ
353名無しさん@お腹いっぱい。:03/08/26 00:23
351 XPです。すいません かきわすれてました
354310=316=333:03/08/26 00:27
>>342
ものすごい分かりやすかったです。さっそくその通りに設定しました
ほんとありがとうございました。
何かあげたいくらい感謝してます(^^)
ほかのウイルスのときでも同じだけど、
OS聞かれて口ごもる人が結構いるよね。
パソコンの利用層もどんどん広がっているねえ。
356名無しさん@お腹いっぱい。:03/08/26 00:33
国内はすこーしだけ減ったみたい < ping
代わりに米国からのpingが増えた (^_^;)
357351:03/08/26 00:35
>>353
まずお前、次からは名前欄に自分の前回レス番号(この場合は353)を入れろ。
でなきゃ<感染者>とかコテハン名乗れw 誰が誰だかわかりにくいぞ。

BLAST.Dのプロセスは停止したっていうが、ホントか? プログラム本体
\winnt\system32\winsディレクトリのSVCHOST.EXE DLLHOST.EXE
はちゃんと削除したんだろうな? トレンド、シマンテックから駆除ツールは
ダウンできたのか? できたなら、そのツールを実行する。

それからXPのファイアウォールを有効にする。(やり方は)ファイアウォール
入れないで再起動すると再感染するぞ。>>8夜目。いちおう再掲
コントロールパネル→ネットワークとインターネット接続→普段使っている
   接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
   「コンピュータとネットワークを保護する」にチェックを入れる

うまくいかなくても、寝る前にはケーブル抜いておくんだぞ。最低限ウィールス
撒き散らしだけはやめちくれよな。



 


359348:03/08/26 00:46
>>357
348のやり方だけだとまだそこまで行っていないんですよきっと。
亜種を止めてまたネットにつないだものの、即再感染した恐れもある。
再感染したとしたら亜種かそれともブラスターかどっちだろうか。
万景峰号乗組員か?
>>360
ワロタ
362353:03/08/26 01:13
もうだめですわ・・おれにはできないみたいです。レスくれた方ありがとうでした。
>>362

ネットから切り離して初期化汁。
>>358
嗅ぎまわってるは言葉が過ぎるんじゃない?
>>364
過ぎたな。
366357:03/08/26 01:25
やれやれw >>353のプロバはまだアタックが激しくてケーブル
つなぐと即ブラスタDがコンニチハって出戻ってくる状態か?
それだとなかなか初心者の手には負えん罠。しかしとにかく
ケーブルだけは(ry







367348:03/08/26 01:44
348を踏まえつつ、亜種の活動停止からブラスター&亜種対策と駆除までXP編
XPの人は感染の症状がなくても対策と駆除を一通り行う必要があります。
(マイクロソフトのページ↓が見られない人用)
http://www.microsoft.com/japan/technet/security/virus/blaster.asp

1:ネットワークケーブルを抜く
電源投入前に、コンピュータのネットワークケーブルを抜く。これにより、インターネットなどのネットワークから攻撃を受けないようにする。
ダイアルアップ接続の場合には、電話回線の接続を切断する。

○LAN ケーブルを抜く。コンピュータの裏面には左図のような(四角3つが線に繋がってるようなマーク) (メーカーにより若干異なる) LAN ケーブルのポートを示すマークがある。
(ダイヤルアップの場合には電話回線を切断する。)(ハサミで切ったらあかんよ)

○LAN ケーブルを抜く際は、ツメ (左図赤枠内の部分) をつまんだ状態で抜く

2. インターネット接続ファイアウォールを有効にする
Windows XP のこの機能を使うことにより、ワームによる攻撃を防ぐことができる。

○[スタート] メニューから [コントロールパネル] を開き、[ネットワークとインターネット接続] を選択。この項目がなければ次の手順へ。
○続いて [ネットワーク接続] をクリックまたはダブルクリック。
○使用しているネットワーク接続設定を選択して、[ネットワークタスク] の [この接続の設定を変更する] をクリックする。
注意: 接続方法によって選択するものが異なるので注意。 インターネットを接続するために使用しているネットワーク接続を選択する。
例1:[LAN または高速インターネット] 内の「ローカルエリア接続」を選択
例2:モデムを使ってインターネットに接続している場合のネットワーク接続は [ダイヤルアップ] 内に表示される。

○[詳細設定] タブをクリックして、[インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] という項目のチェックをオンにする。
368348:03/08/26 01:44
3-1:亜種の停止
 ○[スタート] メニューから [ファイル名を指定して実行] をクリックします
 ○net stop rpcpatch と入力し、[OK] ボタンをクリックします
 ○再び、[スタート] メニューから [ファイル名を指定して実行] をクリックします
 ○net stop rpctftpd と入力し、[OK] ボタンをクリックします

3-2:あるいはブラスターワームの停止
 ○Ctrl + Shift キーを押しながら Esc キーを押し、タスクマネージャを実行する。
 ○次に [プロセス] タブを表示する。
 ○イメージ名の欄に、"msblast.exe" プログラムがあれば、そのファイル名をマウスでクリックし、[プロセスの終了] ボタンをクリックする。
(注意 :Blaster ワームが動作していない場合には "msblast.exe" は動作していない。
タスクマネージャ右上の [×] ボタンをクリックしタスクマネージャを終了し、 4. ネットワークケーブルをコンピュータに接続する へ進む。亜種についてはウイルス対策ソフトベンダーにも情報がある。)
  ○タスクマネージャーの警告が表示される。 [はい] をクリックする。
 ○msblast.exe プログラムが消えたことを確認し、[×] ボタンをクリックしタスクマネージャーを終了する。
369348:03/08/26 01:45
4:ネットワークケーブルをコンピュータに接続する
(ここまでで再感染予防ができているのでネット接続して)
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
4.ネットワークケーブルをコンピュータに接続します
5-1. MS03-026 を適用します
5-2. MS03-007 を適用します
6.ワームを駆除します
の通り行う。6.はブラスターワームと亜種にも対応しているものを使う。
それ以降の項目も今後のために良く読んで対応する。
370348:03/08/26 01:48
携帯だと読むの大変かもしれないけど、ここまで来ればネット接続できるはず……。
ネットゲームできるのにIE使えないのはなんだか良く分からないけれど。
でもゲームしてるうちには再感染するよね。
371名無しさん@お腹いっぱい。:03/08/26 04:34
結局この RPC をバッファオーバーフローさせるパケットってのは
どんなパケットなんですかね?
MSBlast、Nachiに続く第3のワームが登場
新たに登場したワーム「Gaobot」は、MSBlast同様にMS03-026のセキュリティ
ホールを悪用するほか、IRCなどを通じて感染を広めようとする。

http://www.zdnet.co.jp/enterprise/0308/26/epn02.html
373名無しさん@お腹いっぱい。:03/08/26 11:19
みなさん、Gaobot 注意報でし…

【名称】 W32/Gaobot.worm.y [McAfee], WORM_AGOBOT.P [Trend]
【概要】 GaobotはTCP 135番ポートを通じてMS03-026の脆弱性を、またTCP 445番
ポートを通じてMS03-001の脆弱性を悪用しようとする。また、バックドアプログラムの
ダウンロード待ち受け用にTCP 22226番ポートも利用する。
【ファイル名】 (注 Svchosl.exe でsvchost.exeではない)
%System%\Svchosl.exe
%System%\Winhl32.exe
【レジストリ修復】Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリ
の値を削除してください。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
 値 : Config Loader = "svchosl.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 値 : Config Loader = "svchosl.exe"
コンピュータを再起動した後、最新のウイルス対策プログラムを利用してウイルス検索を行い
「WORM_AGOBOT.P」で検出したファイルをすべて「削除」してください。
374氷月鬼 ◆EuropaFcZU :03/08/26 11:24
複合型だな。
MSBLAST+Nimdaって感じかな。
375名無しさん@お腹いっぱい。:03/08/26 11:32
自分で駆除できないやつはおとなしく販売店かPCショップにもってって
駆除or再インスコしてもらえ・・

その方が断然早いと思うよ(w<金はかかるだろうが・・
>>376
早くはならんぞ。そこが問題なの。量販店やショップでも駆除ができる店員の
数はかぎられてるからな。通常のキャパの何倍も持ち込まれたら速攻でパンク。
放ったらかしときゃきゃガンガン催促くるだろうし。うんと料金高く設定すれば
持ち込みの数は減るが、便乗商法とか悪口言われるだろうし…

と、知り合いの量販店の店長が嘆いていたわ。


>>377
パソヲタの学生アルバイトたくさん雇えばいいんじゃん?
379名無しさん@お腹いっぱい。:03/08/26 12:25
XP homeでodbc32.dllをアップデートできます?

XP homeでやってみたんだけど、winlogon.exeがodbc32.dllを
使っていて、winlogon.exeがシステムの重要なプログラムなの
で殺せない。そのため、odbc32.dllのアップデート不可。
セーフティモードでやってみても同じでした。
>>378
すでにオウムが新しい会社立ち上げてる悪寒…
>>379
MDAC2.8を入れたらどうかな?
382名無しさん@お腹いっぱい。:03/08/26 13:08
383名無しさん@お腹いっぱい。:03/08/26 13:10
新種ワームキタ━━━ヽ(∀゚ )人(゚∀゚)人(゚∀゚)人(゚∀゚)人(゚∀゚)人( ゚∀)ノ━━!!! 

ttp://www.zdnet.co.jp/enterprise/0308/26/epn02.html
>>383
Gaobot/Agobotのことだろ。>>373 >>375 に動作の概要と情報リンク先が出てる
【MS技術情報】
Blaster ワームおよび Blaster ワームの亜種に感染した場合の対策について
http://support.microsoft.com/default.aspx?scid=kb;ja;826977
Nachi ワームに関するウイルスの警告
http://support.microsoft.com/default.aspx?scid=kb;ja;826234


(リンク貼る香具師にお願い)
せっかく貼るんなら↑のようにタイトルをつけませう。
リンク踏んでみないと何のハナシなのかわからんと不便
NachiってのはMS Blast Dの事か?
新種登場、Kochi ワームに関するウイルスの警告
http://www.on.cs.keio.ac.jp/~yasu/jp_fonts.html
>>388
あは〜ん
>>387
>>7 見れ
>>250 :某地方catv :03/08/24 22:48
それ、うちのケーブル会社でつ・・・・_| ̄|○
数分おきに切断され、繋がってるときでも0.05%も速度が出ないという有様
DL速度が1Kbytes/秒にもいかないyp
この状況になって既に112時間(約4.5日)、
FWへの不正アクセスは今なお続き、モデムの受信ランプは常時点滅してます
他のプロバはどうなんでつかね・・・・うちだけ?
愚痴レスな上、板違いにつき、回線切ってケーブルで首吊ってきます・・・・_| ̄|○
>>391
当方YBB 現在pingは2分に1回ていど。平穏でつ。しかしYBBでも
まだpingの多い地区もあるらしい。ひとつのゲートウェイが収容している
ユーザーの数の違いのせいでしょうか?


新しいののせいで、今日は455ばかり叩かれてるのか・・・。
394393:03/08/26 16:13
>393
入力間違えた・・・。
○445
×455
スマソ。

ついでに。1102も今日は増えてます。135はたまーに来る程度になった。
>390
同じところだ・゚・(ノД`)・゚・
ソニー銀行で為替を若干しているので繋がらないと本当に困る。
これが株だったら損害賠償起こさないといけないくらい。
相変わらず飛んでくるパケットの99%がPingだ。
397名無しさん@お腹いっぱい。:03/08/26 19:26
ブラストのワームで最悪の場合リカバリてありえます?実家の親父がかかったらしくてメーカーに言ったらそういわれたらしくて。実家帰りたいけど仕事でい(ry
>>397
駆除、これでOK

.かなりの量のPCを駆除したが一台もリカバリは無し。
399名無しさん@お腹いっぱい。:03/08/26 19:34
》398 なんか電源いれると三分くらいで電源おちるらしいですがそれでもいけます?
>>399
いける。

反対に聞く、その質問はスレを良く読んだ上での質問だろうな?
401名無しさん@お腹いっぱい。:03/08/26 19:40
》400 もちろんほぼ読破しました。ただ電源おちる症状の方がいなかったので聞きました。
>> と 》
>401
ハァ?
19時ごろから、ttp://www.msn.co.jp/home.armx に繋がりにくいんだが。
感染したかな??
そのうち、カウントダウンが始まるか・・・
>>405
今も重いね。
時間おいてやってみては?
>>406
仲間がいた!・・・
ありがとう  \(^▽^@)
408名無しさん@お腹いっぱい。:03/08/26 23:16
トレンドマイクロ システム クリーナ
ttp://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

上の方にある問題から
>以下の手順に従いツールを実行することで、下記記載ウイルスを動作しないように設定
>することが可能です。これにより、ウイルス対策製品で下記記載ウイルスを駆除、削除
>することが可能になります。

下の方にある参考1:
> 以上でトレンドマイクロ システム クリーナで対応済みのシステム修復は完了します。
>その後コンピュータを再起動し、ウイルス検索を実行してください。ウイルス検索を行
>わない限りウイルス本体の駆除、削除は行われません。ご注意ください。

この2つを見る限りトレンドマイクロシステムクリーナーではBlasterの駆除まではおこわなれないの?
>>401
読破したのかよ
(三村がつっこんでるとこのAAきぼん)
ルータのログを見たけど、UDP135というのは
一切見られなかったね。
元々そのポートは閉じられているけどさ。
最も多いのがUDP137とUDP139。
あとは、TCP80。

        
 ∋oノハヽ
   川o・-・)     
 _(__つ/ ̄ ̄ ̄/_
   \/___/
カタカタ
411名無しさん@お腹いっぱい。:03/08/26 23:26
>>408
そのとおり。ブラスタなどのウィールスはユーザーが簡単に作動を停止できない
ようにいろいろ細工してきます。また再起動しても自動的に立ち上がるようにレジストリ
の値を改変したりしてます。

システムクリーナーはウィールスからシステムのコントロールを奪い返すための
ツールです。ウィールスの動作を停止させ、レジストリを修復してから駆除プログラムで
ウィルス本体のプログラムを検索して破棄(ゴミ箱直行)あるいは駆除(ウィールスが
寄生したファイルを正常なものに復元する)を実行します。

ツールを利用するときにはメーカーの指示を熟読し、正確に実行しませう。

>>408
auto_tsc.com で削除出来たよ。
system32フォルダにmsblastを置いた実験機で確認済。

WORM_MSBLAST.A[virus found]
-->delete file("C:\WINDOWS\System32\msblast.exe","","") success
413408:03/08/26 23:43
>>411 >>412
ども。
といいたいがどっちやねん。教えてえろいひと。
414412:03/08/26 23:51
>>413
俺は実際に実験した。
感染させた後ネットから切断。
その後、ツールを使って削除。

トレンドマイクロのauto_tsc.com
シマンテックのFixBlast.exe
アソシエイツのstinger.exe

3つ共に奇麗に消してくれた。

その後チェックしても出てこなかった。

もちろんPrefetchフォルダのxxxx.pf(TFTP、MsBlast)は最後に手動で消した。
(これはどうでも良い事だが)
415412:03/08/26 23:54
但し、3つ共にセーフモードで起動して削除してる。

さっきメインPCのノートンを無効にして、
system32フォルダにMsBlast.exe置いて上記ツール使ったが、
これも消してくれた。
(これは通常起動した状態でツールを動かした)

俺の実験機が変なのかな?
416408:03/08/26 23:54
>>412
ありがと。
ついでに質問。なんでトレンドマイクロのは他のに比べて処理速いの?
417412:03/08/26 23:57
>>416
単純にパターンマッチングだけやってるからだと思う。

例えばデスクトップに置いたMsBlast.exeは、auto_tsc.comじゃ見つけてくれない。
同じデスクトップに置いてあるのに。

もしsystem32フォルダ以外にあったら・・(((( ;゚Д゚)))ガクガクブルブル
418408:03/08/27 00:04
>>417
つーことはA〜Cはsystem32の直下を。
Dはsystem32のwinsを見るだけってことか。
他のウィルスもその指定された場所のみと。
全フォルダスキャンするその他のツールの方が無難っぽいですね。
某個人BBSをのぞいていたら、アンチウィルス・ソフトだけで、Blastに対処できると考えてるのがいた。
パターン・ファイルは随時更新してるから大丈夫だと見栄きってたけど、「最近急にPCが不安定になって・・」と嘆いていた。
「通りすがり」として、ここのURL貼ってきたけど、対処できないだろなあ?
世の中、こんな香具師がたくさんいる羊羹

420412:03/08/27 00:11
>>418
そう。
絶対に残したくない場合と安心感を得たい時はね。

もし残ってても auto_tsc.com は、レジストリも見てくれるので再起同時のワーム起動は防げるかもね。

トレンドマイクロの名誉の為に書くけど、
今の所 auto_tsc.com で駆除出来なかった物は無かったよ。
(駆除後他のツールを走らせてもワームは出て来なかったので)

#でも私が使っているのはNIS(w
>>419
個人のセキュリティ意識を高める為には失敗は必要だと思います。
失敗しない人間は成長が無い様に思えます。
422408:03/08/27 00:16
>>420
どもありがとう。いろいろ謎が解けました。

でもそれだとなんで>>408見たいな書き方だったのかという謎は残ったのか。。。
>>422
多分だけど、
さっき書いたようにパターン外の場所にファイルが有った場合、
ファイル自体の削除は出来ないけどレジストリは修正かけるので・・
で、動かなくなった本体は再度きちんと検索して削除してくれって事じゃないのかな?

まあ、逃げ口上とでも言うべきか。
タダなんだからしょうがないかもね。
自己責任って事で。
同時に12個pingが来ました。あーびっくりした
Stingerが一番楽チンだ。
電話越しとかの対応で、「赤い文字が出てきたら読み上げてください」でOK。
電話越しでサポートしてるとき検索中の待ち時間どうつぶしてる?
>>426
検索終了したらまた電話してもらうようにしてる。
それまで雑誌読んでる。
だってタダのサポートの時はこのくらいしても良いかと。

自分で駆除する時は画面をじっと見て監視してるようなふりしてる。
でもその時考えてるのは、昼飯とか晩飯とか子供の事とか。
あ、嫁さんの事もタマに。
睡魔と勝負ってな感じ。
428名無しさん@お腹いっぱい。:03/08/27 01:27
ドコモのmoperaサービス使っている奴さっさと対策しろ
ipgw.phs.yoyogi.mopera.ne.jp
↑ここの奴らとドコモは氏ね、本当にウザイ
>>423

俺の推測・・・

1. 通常のウイルス対策ソフトでスキャンかけて見つけた場合、ファイル感染型なら
 パターンが対応していればその場で駆除or削除できるが、既に感染し活動中で
 あった場合起動中のexeファイルなので削除したりすることはできない

2. TSCを使うことで感染し活動中のプロセスを停止させ、レジストリのRunの所などを
  削除し修復する。その後再起動しても自動でまたウイルスが起動され活動を始める
  ことはないので再度スキャンをかけて完全に駆除する

ってことだよね。423氏が言ってることを繰り返しただけかもしれんが(w

理想としてはだ、NIS(NAV)やバスターのスキャンで上記の2の処理まで自動的にやって
くれれば楽チンでいいと思うんだが、現状そうはなってないんかな?だから別途こういう
ツールが配布されてるのかな?
430j:03/08/27 01:33
>>429
1の所なんだけど、動かしてなくて置いてるだけでも駆除してくれないんです。
すごく単純なマッチングだけやってるって感じです。

オンラインスキャンで駆除修正まで自動でしてくれたら神!ですね。
>>275
そのリンク先はCrescent Moon Cafeというインターネットヲタの自宅
サーバで、用語集やら資料やらを公開してる。問題のテキストは
インターネットの仕様書(RFC) 特に怪しいふしはなさそうな

どういうアラートかわからんな。ファイヤウォールは何? ポートは?
方向は?


>>431
あ、ごめんなさい。1のところは駆除ツールではなく、普通の検出ソフトだけ使ってる場合を
意味してました。わかりにくくてごめんなさいです。。。


単純なパターンマッチングだと、ちょっとでもレジの値が違う亜種が出てきた場合は対応
できなくなったりする可能性があるけど、まあそれは通常の定義ファイルと同じで随時更新
されてるんでしょうね。>TSC
適切な場所にいない場合は検出されない=感染して適切な場所にいるときだけ検出されるって
ことは、まあ不安なような気もするけど役割分担としてはいいんじゃないかと思います。
速いし軽いし。


オンラインスキャンでそこまでやってくれると確かに便利ですが、それだと市販製品いらないような・・・(w
434432:03/08/27 01:49
>>432
シマタ。スレ違いにカキコした。無視してくだされ。
>>433
通常のウイルス対策ソフトでスキャンかけてって書いてありますね。
私が間違えてます。
スマソです。

今の所他のと比べたら爆速ですし、ちょこちょこ更新されてますので良いと思います。

>オンラインスキャンでそこまでやってくれると
確かに。
そして何時でも駆除出来るからと言った考えが生れ自体は悪化とか(w
436391:03/08/27 02:49
愚痴レスに有り難くもレスがついたのでレスしまつ
>392
くぅ、羨ますぅぃ(つД`)
うちは多いときで20回/分以上あります(396タンと同じく全パケットの99%以上)
おそらく、ゲートウェイ数8、加入数20000弱なので、地域差考慮しなくて、平均2500くらいかと
>395
くぅ、同志よ(つД`)
でも、損害賠償責任は約款34条で免責されてるみたいです_| ̄|○

あと、昨日電話したら、今の状態が続いても利用料はしっかり取られるらしぃ_| ̄|○
約款23条をどう解釈すれば利用料支払義務が発生するのかと小一時間問いつめたいところでしたが、
「担当者が別の電話にかかっている」そうでしたので、今日また電話してみまつ
既に5日間この状態が続いているので、単純計算ですが、
1月3000円>1日100円×5日間×20000ユーザー=1000万円
会社としては結構な損失なので支払ってほしいでしょうな・・・・
でも、損失というストッパーがないと、この状態がまだまだ続きそうな悪寒がしてならない_| ̄|○

250タンが会社名晒してなかったのでそれに準じましたが、今後の対応次第では晒してもいいかな
プロバイダ板の該当スレは過疎スレなので、スレ再利用のため、続きはそちらでやりまつ
ブラスター関係というだけで板違いにも関わらず長々と書いてしまい申し訳ない_| ̄|○
不正アクセスも止まないので、今度こそ回線切って首吊ってきまつ
>>436
逝`
438名無しさん@お腹いっぱい。:03/08/27 09:33
135が急激にまた増えてるんだけど
昨日でてた亜種に感染したのか?
モペラは酷いよね。
勢いが衰えない。
>>428
64Kつなぎ放題してる@FREEDだな


               ま た ド キ ュ モ か ・ ・ ・ ・ ・ 



441名無しさん@お腹いっぱい。:03/08/27 11:42
米国務省のコンピューター網に20日、ウイルスが侵入し、旅券部門の
システムなどで一時、システムの作動が遅くなるなどの被害が出た。
http://www.asahi.com/international/update/0826/006.html

…ですとさ。25日にもなってやっと記者会見して認めたということは駆除
にてこずったんだろう。「DQN職員が感染したノートパソを持ち込んだ」
に7セント。
24日辺りからモペラからのICMP急増してます、何かあったのか?
対策してないだけなのか? DDDQQQNNNが多い岳か 
443名無しさん@お腹いっぱい。:03/08/27 12:21
漏れのWEBサーバーのlogに
HTTP_USER_AGENT [Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)]
REMOTE_HOSTがIPアドレスと同じ
のアクセスが大量にあるんですが
こいつらの仕業でつか?
ガイシュツだったらすみません。
444名無しさん@お腹いっぱい。:03/08/27 13:25
世界中からnachi wormのパケットが。。。ゝ( ゚∀゚)メ(゚∀゚ )ノ アヒャヒャヒャ
445名無しさん@お腹いっぱい。:03/08/27 13:37
Name: 24.236.238.206.bay.mi.chartermi.net
Name: 6535245hfc31.tampabay.rr.com
Name: 66-215-192-180.rc-eres.charterpipeline.net
Name: aa2003031058006.userreverse.dion.ne.jp
Name: adsl-63-206-117-90.dsl.snfc21.pacbell.net
Name: adsl-64-175-114-75.dsl.lsan03.pacbell.net
Name: adsl-67-124-134-124.dsl.sktn01.pacbell.net
Name: adsl-68-74-113-33.dsl.emhril.ameritech.net
Name: adsl-68-74-151-13.dsl.emhril.ameritech.net
Name: adsl-68-74-223-189.dsl.dytnoh.ameritech.net
Name: adsl-68-76-51-84.dsl.lgtpmi.ameritech.net
Name: bgm-24-169-166-107.stny.rr.com
Name: cvg-65-27-182-60.cinci.rr.com
Name: dhcp024-208-186-228.columbus.rr.com
Name: dhcp3944.dhcp.unc.edu
Name: firewall.rodenstock.th.com
Name: h-68-164-251-74.mclnva23.covad.net
Name: h-68-164-251-74.MCLNVA23.covad.net
Name: h00e0183b8a61.swt.edu
446名無しさん@お腹いっぱい。:03/08/27 13:37
Name: host-38-254.directdsl.iac.net
Name: host81-152-53-33.range81-152.btcentralplus.com
Name: hse-montreal-ppp102473.qc.sympatico.ca
Name: hse-montreal-ppp135481.qc.sympatico.ca
Name: httpproxy.clear.net.nz
Name: i036208.ppp.dion.ne.jp
Name: i037144.ppp.dion.ne.jp
Name: I046030.ppp.dion.ne.jp
Name: I050037.ppp.dion.ne.jp
Name: i050037.ppp.dion.ne.jp
Name: ip67-93-255-203.z255-93-67.customer.algx.net
Name: kibca-1515p55.ppp.odn.ad.jp
Name: mdom6302-1.postech.ac.kr
Name: MDOM6302-1.postech.ac.kr
Name: netcache2-acld.auckland.clix.net.nz
Name: ns.stacklab.co.jp
Name: pcp04498379pcs.jersyc01.nj.comcast.net
Name: public4-lock1-4-cust15.cosh.broadband.ntl.com
Name: user68.209.42.38.dsli.com
Name: w250144.ppp.dion.ne.jp
Name: z236.219-103-230.ppp.wakwak.ne.jp
447あぼーん:あぼーん
あぼーん
電話番号書くと自動的に通報するスクリプトがあったんじゃ
449名無しさん@お腹いっぱい。:03/08/27 13:58
http://fk.ws26.arena.ne.jp/cgi-bin/r3/up/2003082713340920.jpg
ファイアーウォールのログ
えらいことになってません?
超級者はけーん
暇人アラシはけーん
452名無しさん@お腹いっぱい。:03/08/27 14:34
とりあえずNATルータのパケットフィルタを強化。

inbound default NG
TCP established inbound all OK
SYN inbound all NG
UDP domain(DNS 53) inbound OK

outbound default NG
TCP outbound all OK
SYN outbound all OK
UDP outbound all OK

でどうよ?(ICMPについては聞かないでくれ)
windows XPを使用しています。Blasterに感染してしまい、その後windows
editonの画像になり、そして画像が暗くなって、またwindows editionの画像が出て、
これを何度も繰り返す状態になりました。
F8を使いセーフモードから起動しようとしても、上記のような状態になってしまいます。
どのように処理したらよいのでしょうか。ご教授お願いします。
システムの復元
455名無しさん@お腹いっぱい。:03/08/27 15:12

 対策ポリシー

1.防御
 パーソナルファイアウォールを入れる。(起動漏れに注意)
 ルータを入れる(フィルタリング)

2.防疫
 緊急クラスのパッチを当てる。

3.検査
 ウィルススキャンの徹底。
 stingerを走らせる。

4.治療
 stingerを走らせる。

でどうよ?
456名無しさん@お腹いっぱい。:03/08/27 15:34
>>455 SecureOSを使わないとだめぽ。
その分かなりの技術が必要だからLinux板とか難しい板に
いって勉強してください。
ちなみにはじめは起動もままなりませんでした。
457名無しさん@お腹いっぱい。:03/08/27 16:04
緊急クラスのパッチ
Q816093_W2K_SP4_X86_JA.exe は w2kSP4 には適用でき*ない*。
windows update カタログ (windows updateではない)からDLしてインスコせよ。
うおおおおポート154叩かれまくり。
459名無しさん@お腹いっぱい。:03/08/27 16:06
あ、違った。154はグローバルIPの末尾だった(テヘ

        ┼─┐─┼─  /  ,.          `゙''‐、_\ | / /
        │  │─┼─ /| _,.イ,,.ィ'    ─────‐‐‐‐ 。←>>460
        │  |  │     |  |  | イン ,'´ ̄`ヘ、   // | \
                          __{_从 ノ}ノ/ / ./  |  \
                    ..__/}ノ  `ノく゚((/  ./   |
        /,  -‐===≡==‐-`つ/ ,.イ  ̄ ̄// ))  /   ;∵|:・.
     _,,,...//〃ー,_/(.      / /ミノ__  /´('´   /   .∴・|∵’
  ,,イ';;^;;;;;;;:::::""""'''''''' ::"〃,,__∠_/ ,∠∠_/゙〈ミ、、
/;;::◎'''::; );_____       @巛 く{ヾミヲ' ゙Y} ゙
≧_ノ  __ノ))三=    _..、'、"^^^     \ !  }'
  ~''''ー< ___、-~\(          ,'  /
      \(                 ,'.. /

テヘってお前はテヘラン出身か?ならばブラウンシュガーをくれ。
にしても、また激しくなってきてるな。
いい加減にしろよ。
プロバイダー板でも話題が出てたんだけど、
もう10日以上ずーっとatt.ne.jp系の135を
叩きまくってるkadenaのattmil.ne.jpの人
しっかりしてください…。
Blaster並に17300番を叩いてくるものがいるんだが
なんだこれ?
466名無しさん@お腹いっぱい。:03/08/27 16:40
>>464

17300はウイルスだよ
>>465
トロイだな。
うちにも時々来るが、Blaster並ってこたーないな。
468465:03/08/27 16:49
16:09から16:50の間に40回以上叩いてくる
しかも全部別IPからだ。今もキタ。うぜぇ
469名無しさん@お腹いっぱい。:03/08/27 16:52
h抜くなめんどくせー
>>470
そんだけの文字数をレスするより、h足して切り貼りする方が楽だって(w
472名無しさん@お腹いっぱい。:03/08/27 17:52
これの影響かどうかわからないけど
ニフティーが落ちた
ぷららだけど、相変わらず毎分30回攻撃される。
>>472
ニフティのホームページ、昨日だったかな、とっても重かった。
475232:03/08/27 18:38
YahooBB pingは毎分1回くらい。SobigFも来てない。会社&知り合いの
PCもみんな復旧ずみ。一段落ぽ。

そういやシマンテックの無償CD配布って今日からじゃなかったか?
誰か貰ってきた香具師いる?



476名無しさん@お腹いっぱい。:03/08/27 18:45
友達のPCがBlasterらしきものに感染したらしいのだが、
winXPのリモートアシスタンスで、そのPCにつないだら、
こっちも感染するかな?

ちなみにこっちのPCはノートン先生+ぞねが入ってる。
今日からブラ対策CD配布だったので渋谷ビック行った。
店頭になかったので「ブラスター対策用の無償CDありますか?」って聞いたら店の奥の方に取りに行き、
イヤそうな顔で「店に来たから一応お渡ししますけど自分でネットで対応してください」って言われた。
そりゃベンダーから言われて無償CD渡すなんて売上につながらないからめんどくさいのかもしれんが、
いちおう他の物買ったりしてる顧客なんだから愛想よくとは言わんが普通に接しる!
478名無しさん@お腹いっぱい。:03/08/27 19:13
ブラストDってIPの似た同じISPを攻撃する傾向があるのかな
メインのISPがアク規制喰らってるんでサブのを久し振りに使ったら、
似たIPの所からガンガン来るよ
>>478
そうだよ。


俺はDION使ってるんだけど、アホーとOCNから熱烈アタックがくるのはどういうことか
>>476
なるほど。言われると奥から出してくるのか。二十万枚で足りるのかと
思ったが、そういう出し惜しみでなんとかしのごうつーのだな。
481名無しさん@お腹いっぱい。:03/08/27 20:46
>>477
自分が巣食ってるPCのIPを種にしてその前後のIPを攻撃する。
どっかにそのアルゴリズムが貼ってあったような。
>>478
YBBはport135を規制中のはずだが、外→内だけ規制してるのかね?
ちょっとそれも考えにくいが。
4829:03/08/27 20:47
アジアンテイストただよう巨乳美女です。
このオッパイの張り具合はかなりのもんですよ。
押したらはじき返されそうな感じです。
顔の好き嫌いは分かれると思いますがエロ度が高いので
どのシーンでもボッキしてしまいます。
無料動画をどうぞ。
http://exciteroom.com/
>>453
。・゚・(ノД`)ヽ(゚Д゚ )ヨチヨチ
わかるだけでもフィリピン、マレーシア、ニュージーランド
台湾、カナダ・・・世界中からpinpin・・・ゝ( ゚∀゚)メ(゚∀゚ )ノ アヒャヒャヒャ
>>453
回復コンソール
486名無しさん@お腹いっぱい。:03/08/27 22:31
>>481
>YBBはport135を規制中のはずだが、外→内だけ規制してるのかね?

公式サイトによるとそのようだ。

487名無しさん@お腹いっぱい。:03/08/27 22:39
昨日はましだったんだが、今日は重くてかなわんな。ルーターの点滅が激しい。
どこのプロバもそうなんかな?


ここ24時間は特に凄まじいで砂。第一波の頃と同等のpinpin量・・・。
ピンピンuzeeeeeeeeeeeとルータからメールが来ますた。
あほーとか○CNとかぢゃないから、安泰であるぞ。 よきにはからえ。
やっぱそうだったのね
ここ五日くらい平均一分に4回くらいYBBからピンピンと・・
鬱陶しいったらありゃしない・・
ああ糞うぜえ
うちのところへのpinpin、今夜はマレーシアからのものが9割。
瞬く間にログが埋まっていくぽぽぽぽぽ。。。
こっちで対策講じても・・・・・
こんな派手なの今まで経験したことないよ。
メールチェックの時だけヴィルス駆除ソフトが警告だすのもウザいと思ってたけど、
絶え間なくだからな。
OSよりネットワーク自体への被害の方が甚大なんじゃないかな〜。
TCP2590のアタックでブラスター?
496名無しさん@お腹いっぱい。:03/08/28 02:03
…ようやくルーターのログの見方が解った…(初心者;)
頑張ってたんだね>ルーター
偉いぞ!

TCPポート:135 連打されまくり。
UDPポート:137 と TCPポート:80 が時々。
TCPポート:3389 が1度だけ。

NISには反応無いし、無縁の世界だと思ってたポ。
497名無しさん@お腹いっぱい。:03/08/28 02:16
2時ちょっと前から 27546 のアタックがではじめたんだけど
これガイシュツ?
10個以上の別々のIPアドレスからきてるぞ。
ぷららの人いる? どうですか?
499携帯:03/08/28 04:55
今日の昼からいきなり速度が1.2kbpsになってしまって一切観覧出来なくなった。Yahoo!チャットで会話してたらいきなり・・プロバにもnttにも問い合わせたけど問題ないと言われた。でもサブpcで繋いでも速度1.2ぐらい・・これは何が考えられますか?助けて下さい
>>498
ICMPが一分に何件も
ネトゲがクソラグるようになっちまった ウゼー
502名無しさん@お腹いっぱい。:03/08/28 07:42
今日は朝から69をツンツンされてる・・・
スケベな香具師だ・・・
MSあぷでーと823559 キタ━━━━━━(゚∀゚)━━━━━━!!!!!
504500:03/08/28 07:45
69ってNimdaかい
505名無しさん@お腹いっぱい。:03/08/28 07:48
あれれれれれ???
Ping Atack発生から三日目にはプロバイダが対応してくれてたのか、
一日中繋いでてもPing Atackだけは一度も来なかったのに、
昨日の夜からずっと来てる…。 >ファイアーウォールのログ

何故だろう?
プロバイダが設定戻したのかな?
506名無しさん@お腹いっぱい。:03/08/28 08:14
>>501

823559ってうpしてもファイルが更新されて無いってこと?
>>477
店側の対応をかばうつもりないけど、初回配布で枚数が限られてるだろうし、
PCを新規購入する客のために確保したいのでは?

「インターネットを始めたら再起動しまくりでつ」なんてクレームがきても
困るし。

本来はMSが全登録ユーザに送付すべきなんだろうが、他社製の駆除ツール
を収録するだろうし、なかなか難しいのかな。
508名無しさん@お腹いっぱい。:03/08/28 08:36
>>505
pingに対してプロバが対策とったところてあるんか?
ポート135だけじゃないか?

勝手にpingというかICMPパケット止められると文句でるだろ?
509名無しさん@お腹いっぱい。:03/08/28 09:20
>>508
ポート135とかは全部通常通り来てましたよ。
何故かPing Atackだけは防いでくれてたのに、
昨日からまた来るようになった…。
510名無しさん@お腹いっぱい。:03/08/28 10:20
>503
チェックしたけど無いよ・・・。
BackDoor-AXQでポート1976がつんつんされてないか?
513510:03/08/28 11:17
>512
ありがd
確認したらとっくに入ってますた。日付で並べたらずいぶん前みたいなんだけど
これでいいのかな・・・。
>>503
スレ違い
windows updateしたときに上げるスレ 7
http://pc2.2ch.net/test/read.cgi/win/1060942098/
>>504
ICMPのpingは接続確立の最初のステップだから止めたらネット
は即死w

>>506 >>507
アンカーずれてるw >>476 >>504へのレスだろ。ブラウザのレス
番号表示ずれてないか? (透明あぼーんとかで)

今日からシマンテック以外の無償CDも出回るんだよな? 
誰か貰ってきた香具師、解説きぼん。

516名無しさん@お腹いっぱい。:03/08/28 11:58
>>515
>ICMPのpingは…
って禿しく勘違い。
pingを止めてもセッション確立できる。
ずれてるか?
Ping Atackとか135叩きを防ぐには如何すれば?
ファイアーウォールの設定どう変えたら良いの?
こりゃー低速ネットとか被害甚大だな

パケ代かかる携帯PHSネットなんか(((((((((゜Д゜,,)))))))))))ガクガクブルブル
むしろ穴が塞がれてないPCはHDD消去するぐらいの気概を持っていただけるとありがたい>>亜種

>>518
わからんならいぢるな。
521氷月鬼 ◆EuropaFcZU :03/08/28 13:13
>>519
確かに定額接続じゃない人は大変だね。
>>518
ん? WAN->LANで、ICMP拒否、TCP&UDPの受信Port135拒否でいいんじゃない?
つーか、IPマスカレードの中ならあまり関係ないと思うが。
直結ならルータ買え。鯖晒しているなら、もっと勉強しる。

あと、叩かれる事自体はもっと上流じゃないと止められないと思う。
>>520
教えてエロい人!
教えてくれたら殺してあげるよ^^
>>515
一定のセッションを開くことはできるw しかしそもそも何の
ためにICMPがあるのか再考汁
525514:03/08/28 13:45
>>516
ありゃ? レス番ずれてるのは漏れの放火? openjane と operaでこのスレの表示が
1番ずれるな。しがしjaneでもこの二個所以外のアンカーの相対位置は合ってるんだが。

なんにしても、お騒がせスマソ(汗

>>514
昨日UPDATEサイトチェクしたらナッシングだったんで
よっぽど緊急なのかと思って取り急ぎカキコんだだ(とっくにリリース済だたみたいだけど)
ゴメンヨ、アロエリーナ
>>523
自殺しろ。
445へのアクセスが増えてきたのは新型の感染が増えてきたってことでしょうか?

>>525
447のあぼーんでずれたのでは?
透明あぼーんにするからレス番ずれるんだろ。
ログ削除して読み直せよバカどもが
バカどもなんて乱暴にいうもんじゃないって。
かるしうむ たんないな
暇になってきた証拠
まぁビッグカツでも食って落ち着けよ。
うちのプロバイダ、昨日までPing Atackにフィルター掛けてくれてたのに外しやがった。
電話したら、外から家にサーバーが正常に作動してるか試す為にPing打ってる奴から苦情が有ったからだと。
Pingなんて打たない大多数の会員よりもサーバー管理者優先するらしい。
このまま対応変わらなかったら、来年の契約終了と同時に知り合いと一緒に解約してやろっと。

○○rp! お前の所だ!! …担当者が今これ見てたら面白いんだがw
今、WindowsNT系がネットワークをお騒がせしておりまつ。
もう、その存在そのものがトラフィックの障害と化してまつよ。
537名無しさん@お腹いっぱい。:03/08/28 18:40
本日感染しました。
何もアクセスしてないのに、送信ランプがつきっぱなし。
タスクマネージャにはDLLHOSTとSVCHOSTがあります。
538名無しさん@お腹いっぱい。:03/08/28 18:45
この亜種を作ったのはマイクロソフトじゃない?
初期のブラスターって感染者がマイクロソフトに攻撃するだけでしょ?
Winユーザーがハッカーに怒りを爆発させる方向に持っていく為に、
マイクロソフトが改造してバラ撒いてるとしか思えない。
全然
540名無しさん@お腹いっぱい。:03/08/28 19:06
FWはkerioを使ってるんだけどICMPの何番を拒否すればいいの?
echoとかdestination…とかあるんだけど

ウチにくるのはほとんど80でたまに135が来ます。
8番
>>538
おまえばかだろ
543cheshire-cat ◆CATBCJABLA :03/08/28 19:46
すんません、質問です。
タスクマネージャーに出てこない、何か凝ったトリガーイベントが無いと発動しない、ウェルチ系の変種ってどこかで報告されてますか。
もしくはPingのソースIPを偽造(考えづらいけど)する変種とか。

ちょっと困ってまして。
感染したって通報があったけど、3日間メチャ時間をかけてどー調べてもクリアなんですよ。
うーーーーん。
>>542
馬鹿って言った方が馬鹿なんだぞ! バーカ!!

今回の騒ぎでマイクロソフトの株価がまた上がったじゃねーの?
初っ端からマイクロソフトのでっちあげの可能性さえもあるが。
545cheshire-cat ◆CATBCJABLA :03/08/28 20:11
543追記。
ちなみに各アンチウイルスソフトベンダーの製品では、発見できません。
また新規に作成された怪しいファイルは無いようでして。


悩む。
>>544
おまえ様はばかでございます
547名無しさん@お腹いっぱい。:03/08/28 20:42
>>543
お前のパソコンからpingが発信されているって連絡があったのか?
それなら、チャプチャーソフトを入れて自分のパソコンが本当に
発信しているかを確認しる。
話はそれからだ
電波ゆんゆん
549cheshire-cat ◆CATBCJABLA :03/08/28 20:46
>>547
対処済みでし。
デムパ(・∀・)タユンタユン
551名無しさん@お腹いっぱい。:03/08/28 20:48
YBBユーザーだが。本日17時頃からpingがやや増加。
それまで毎分1回くらいだったのが、毎分2回くらいに。
552名無しさん@お腹いっぱい。:03/08/28 20:49
>>549
んじゃ、その通報した奴の勘違いだろ
pingなんかでも、送信元偽造出来るがその偽造した送信元へも信号ながれるから
パケットキャプチャで感知可能。

ログなりなんなり、見せてもらったか?
>>545
ネコさんでわかんないんだとなー。新種ハケーンの可能性もありまつね
引き続き報告キボン。
>>540
Pingとは何者かを考えれば自明。
でもその書き方だとICMPすら理解してないと思われ。
説明まんどくさいので前スレからコピペ。

>802 名前:名無しさん@お腹いっぱい。 投稿日:03/08/23 00:51
>すびばせん。
>さしでがましいとは思うのですが。
>どうも勘違いしている方が多いようなので、
>(一部略)貼っときます。
> ttp://www.atmarkit.co.jp/fwin2k/serial/index/index.html
>の、特に
> ttp://www.atmarkit.co.jp/fwin2k/network/baswinlan006/baswinlan006_02.html
>このあたりから順番に熟読されることをオススメします。です。
555cheshire-cat ◆CATBCJABLA :03/08/28 21:05
>>552
通報後、即体制を整えましたが(普段は瑣末なログまで取ってないんで)。
こちらからのアタックは皆無で。
感染者が恥ずかしがってウソ付いているのかと考えたけど、該当パソのアンチウイルスソフトのログは無し。
気まぐれでPFWが入ってたけど、その時刻のトラフィックのログは、該当するものが無しで。

>>553
単純に通報者の勘違い説もあるんだけど。
これって信用につながる問題なんで。
必要以上に万全を期したく。
556名無しさん@お腹いっぱい。:03/08/28 21:11
このウィルスにかかったまま放置しておくとどうなっちゃいますか?
>>555
あんた仕事なにやってんの?
>>557
catセキュ板のコテハンw
>>557
あんた仕事なにやってんの?
560名無しさん@お腹いっぱい。:03/08/28 23:24
>>556
インターネットが逝きます
このウイルス作った奴が意図したか、どうかはわからないけど、
このやり方は、進化したらマジでネットワークそのものを崩壊させかねないと思う。
これまでは、ユーザーの端末にいだづらするのが主だったけど、インターネットが
こんなふうにICMPトラフィックで埋め尽くされたら・・・・・

つか、作った奴自身困ってるだろ?おい?バカヤロ!
>>561
> つか、作った奴自身困ってるだろ?おい?バカヤロ!
ワラタ
5967&9147ポート叩かれっぱなし
当方ぷらら

そのかわりICMPがほとんど来なくなった
564名無しさん@お腹いっぱい。:03/08/29 00:55
セキュ初心者スレでこちらのスレを参考にしろとあったので書き込みします。
ブラスターって、ネット環境有りのPCで焼いたDVDとかでも感染するものですか?
実際、環境有りPCで焼いたDVD(aviファイル)を環境無しPCで再生した日に、
何度も再起動の状態になりました。
環境無しPCは買ったばかりなので、初期不良かもとも思ったのですが、
ブラスターとちょっと似ているようなので・・・。
よろしかったら教えてください。。
winsフォルダ、タスクマネージャにはそれらしきものはありませんでした。
565名無しさん@お腹いっぱい。:03/08/29 00:57
いつになったら135叩かれずに済むようになるんだろう?
(@ぷらら)
ルーターのログしかわかんないけど。
ログで表示されてるIPって通過点なんですか?
ぷららとかディーエスネットワークスとかのIPでした。
>>565
HDDの中身をクリーンな状態にしてくれる亜種が出るまで終わらない・・といってみる
>>564
本当にaviしかコピーしてないのならBlasterやその亜種ではないだろう。
というかまずはウィルススキャンしてみんさい。
>>564
\system32\wins フォルダにSVCHOST.EXE DLLHOST.EXE
がなければブラスタDではないだろう。(>>7-10) しかし他になにが
入ってるかわかったもんじゃない。ネットにつないでオンライン
スキャンかけるか、

シマンテックセキュリティチェック
http://www.symantec.com/region/jp/securitycheck/index.html
ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp

それができなきゃ
【フリー】AVG Anti-Virus Version8
http://pc.2ch.net/test/read.cgi/sec/1056081554/
のようなフリーのアンチウィルスを焼いてインスコしる。


>>568
ネットに繋いでる方のPCで体験版でもDLしてCD-R等に焼いて
感染疑惑PCにインスコが正しいと思う
現状接続してない灰色PCをわざわざネットに接続して汚染拡大を助長するのはいかがかと
これってシステムファイルも破壊してしまうんでしょうか? WINDOWSが起動出来ない(´・ω・`)
571名無しさん@お腹いっぱい。:03/08/29 06:18
後から出たやつたちが悪いね。
感染者は全然気が付かないのだろうか。
ログを見る気にもならんけど、ルーターのWANは激しく点滅中。
毎日対策なしのXPが売れているだろうし、そいつがそのままネットに接続すれば
即新たな気が付かない感染マシンが現れるわけ?
いったいいつになったら収まるんだろう。
572cheshire-cat ◆CATBCJABLA :03/08/29 06:53
>>571
XP SP2導入済みPCが店頭に並ぶ頃かもしれない
トレンドのブラスト対策WEB見たら、

> レスキューCD-ROM配布終了のお知らせ

随分早いな。(w
今後出荷のバスターに、このCDが付くそうだけど。
574573:03/08/29 08:36
ごめん。バスタースレで外出ですた。
http://pc.2ch.net/test/read.cgi/sec/1061072133/932n
575名無しさん@お腹いっぱい。:03/08/29 09:20
何か日増しにsynアタックが増加しているんですが気のせい?
>>537
回線切って首吊ってウィルスを消せ
>>570
それはパッチを当てた副作用
このブラスター作った奴から見れば、宅間なんて可愛いもんだ、と言ってみるテスト。
これだけネット全土に被害が広がるとネットの接続不良が原因で死亡した奴も数人は居そうだw
579名無しさん@お腹いっぱい。:03/08/29 13:53
13:14 ブラスター作者は18歳男性。FBIが割り出し、近く逮捕の方針。
米政府当局者明かす。MS社攻撃のウイルス。
580名無しさん@お腹いっぱい。:03/08/29 13:54
被害者に罵声浴びせながら引きずり出されて死刑になりゃいいん
だが。ところで【Thank You!】Sobig.Fスレ
http://pc.2ch.net/test/read.cgi/sec/1061479494/
見るとこっちもメールボックスがパンクしたり、深刻らしいな。

ping 減ったなあ。どうして減ったんだろ。
582名無しさん@お腹いっぱい。:03/08/29 14:45
ブラスターの対策CDってマイクロソフトが無料で配布って
話じゃなかったの?
でもブラスターの対策じゃCDの容量がもったいないな
その内サポートが終了するME/98や
すでにサポートが終了した95の欠陥のパッチって
CDで配布されないのかな

583名無しさん@お腹いっぱい。:03/08/29 14:52
犯人は18歳の少年だそうな。
18歳男がブラスター作成 FBIが逮捕へ
http://news.goo.ne.jp/news/kyodo/kokusai/20030829/20030829a3320.html
一種か
オリジナルなのかがわからんな
586_:03/08/29 15:18
超初心者の質問なんですが、2chやっててブラスターウィルスを送り付けられるって事はあるんでしょうか?
587名無しさん@お腹いっぱい。:03/08/29 15:20
>>586

2ちゃんねるというよりネットの接続した時から
感染のリスクはある
588名無しさん@お腹いっぱい。:03/08/29 15:25
18歳の男ってどうやって特定したのか経緯が知りたいな
ウィルスの作者ってどうやってウィルスをばら撒くのかな?
自宅以外のネットカフェとか大学、会社などのPCから撒くのかな
でも今回特定したってことは自宅からばら撒いたのか?

アメリカって逆にこういうのが話題になると犯人が
セキリティ関係に就職したりするから
18歳の男にとってはいい宣伝?
>>588
すんごい穿ちだが、そういう傾向あるんだ。なるほどねえ。
590名無しさん@お腹いっぱい。:03/08/29 15:47
>>588
こんな感じでは?
FBIが発信元ホストを特定 > 地道な聞き込み > 不審人物のリストUP > 張り込みor家宅捜査

>セキリティ関係に就職したりするから
今の世の中、刑事罰は司法取引なんかで帳消しにしてもらっても被害を受けた企業なんかからの
民事請求はくるんじゃないかな?
591名無しさん@お腹いっぱい。:03/08/29 15:50
それに今回は逮捕事態を発表するから、司法取引も無しだな
確かにハッカーと呼ばれた人たちは、就職に有利だったりしたそうだけど
ワームやウイルスの作者の場合は表ざたになった時点で未来はないと
思うが・・・
>>590
通報した人がいたそうな
ttp://www.zdnet.co.jp/news/0308/29/xedj_fbi.html
公表されてる捜査内容では、少年がワームのテストをしてるところを見た
人から「通報しますた」があったらしい。結構まぬけ。
http://www.zdnet.co.jp/news/0308/29/xedj_fbi.html

んで、間接的にニューヨーク市の大停電の原因を作ったともいえる、このウィルス作者
が就職活動に利用するなどという悠長なことはまず無理。
コード自体はレベル低いし。
http://www.zdnet.co.jp/news/0308/26/cead_vamosi.html

18歳の男=夏厨のヨカン・・・夏休みだったから暇で・・・・
594名無しさん@お腹いっぱい。:03/08/29 16:53
また新しいのが出るんだと

ttp://www.cyberpolice.go.jp/important/20030829_160207.html
18歳にして損害賠償請求で
人生あぼーん。
あほなことはしたらあかんね。
18歳男がブラスター作成 FBIが逮捕へ

 【ワシントン29日AP=共同】米連邦捜査局(FBI)は28日、新種のコンピューターウイルス
「ブラスター」の一種の作成者として、米国の18歳の男を特定、29日にも逮捕する方針を固
めた。米政府当局者が確認した。
 米東部時間29日午後(日本時間30日午前)に記者会見で発表する予定。
 ブラスターは、世界で最も多く使われているマイクロソフト社のパソコン基本ソフト(OS)
「ウィンドウズXP」などの欠陥を突き、インターネットに接続されたパソコンを探して次々に
感染。今月中旬に現れ、世界各地で感染が確認された。(共同通信)
http://headlines.yahoo.co.jp/hl?a=20030829-00000077-kyodo-int
597名無しさん@お腹いっぱい。:03/08/29 18:18
皆さんのsvchost.exeのバージョンとファイルサイズと日付を教えて
5.0.2134.1
599名無しさん@お腹いっぱい。:03/08/29 18:30
ファイルネーム svchost.exe
説明 Generic Host Process for Win32 Services
ファイルサイズ 12.5 KB (12,800 バイト)
作成日時 2002年8月31日、21:00:00
更新日時 2002年8月31日、21:00:00
バージョン 5.1.2600.0
600599:03/08/29 18:33
やばっ
トロイにやられたかな?
こういうことだったのか・・・・
「困った時のLinux頼み」-Linuxサーバを使う米マイクロソフト
http://japan.cnet.com/news/ent/story/0,2000047623,20060667,00.htm
602名無しさん@お腹いっぱい。:03/08/29 18:44
svchost.exe 5.0.2134.1
1999年12月17日
WIN2Kだけどえらく古いな
603名無しさん@お腹いっぱい。:03/08/29 18:49
XPか2000でポートスキャンすると、
「BBN IAD」というサービスがあるんですが(1030〜)
これが何なのかご存知の方いますか?
ちょっと愚愚ってみたところ、
RFCで使ってるんじゃないかという話はあったんですが、
そのものずばりの内容をみつけることはできませんでした。
物知りの皆さんよろしくお願いします。
            _,,..i'"':,
            |\`、: i'、
            .\\`_',..-i
             \|_,..-┘
          /⌒ヽ/   / _)   呼んだ?    
          /   \\//         
          /    /.\/        
         /   ∧_二つ       
         /   /           
        /    \       
       /  /~\ \    
       /  /   >  )   
     / ノ    / /       
    / /   .  / ./         
    / ./     ( ヽ、          
   (  _)      \__つ     
605名無しさん@お腹いっぱい。:03/08/29 19:12
>>604
こちらにどうぞ
607名無しさん@お腹いっぱい。:03/08/29 19:14
>604
608cheshire-cat ◆CATBCJABLA :03/08/29 19:48
就職目的でウイルスを作成して配布かぁ。

ウイルス作者を高額で雇用するアホウな企業もあったし。
KLEZなんかは、それを狙ったものだったようだけど。

追記ですが。
知人の職場が今頃感染して、職場が崩壊しますた。
「ファイアーウォールがあるから安心!」って感じで、クライアント機にアンチウイルスソフトを導入していなかったのが敗因。
609名無しさん@お腹いっぱい。:03/08/29 19:53
数週間前・・・
「ウイルス対策ソフト会社がウイルス作ってるんだよ。今回もそうだよ。常識です」

・・なんてレス入れる香具師を各所で見かけたなw

>>608
Sobigは金目当てだったそうでつ
【Thank You!】Sobig.Fスレ
http://pc.2ch.net/test/read.cgi/sec/1061479494/200
611cheshire-cat ◆CATBCJABLA :03/08/29 19:58
>>610
あれは(zdnetの記事での憶測が正しければ)、変種作成の目的が興味深い例ですねん。
612名無しさん@お腹いっぱい。:03/08/29 19:59
>>608
負けて当然w
613名無しさん@お腹いっぱい。:03/08/29 20:16
>>608
updateでセキュ穴ふさぐ
要所にルータ入れる
FW入れる
アンチウィールス入れる
NetBIOS使わない

の5対策やっていて崩壊した職場は知らないです。


614名無しさん@お腹いっぱい。:03/08/29 20:25
>>608
アンチウイルス入れて無くても、WindowsUpdateは義務付けろ
F/W + WindowsUpdate + 個人の意識 が最低条件
>>608
なるほど。で、猫さん自身はどんなお仕事されてるんですか?
>>615
路上での肛門掃除サービスです。
1回30円とお安くしてます。
結構好評です。
しかしこいつ↓の肛門だけはお断りです。
こんな臭いいくら消毒してもオイニーが取れない肛門は初めてです↓
618cheshire-cat ◆CATBCJABLA :03/08/29 21:05
>>612-613
漏れもそう思いますが。なにぶん知人は、就職直後で管理権限も発言力も無いので。
>>614
Windows Updateは不具合が起きるかどーかを個別のパッチごとに検証した上じゃないと。。。。
まぁそれは置いておいて。

研修とかを一人一人にミッチリと行なってたとしてもですね。
その成果をすぐに期待するのは難しいのかもしれません。
企業の中で個人レベルの危機意識の向上は、人事教育とかインフラ?として取り組むべき課題の一つですが。
不況で経費削減の波の中であっても、信用問題なり業務の円滑さをどれだけ妨げるかという一点は、是非とも周知させたく。

>>615
アドバイザーとかインストラクターとか何でも屋とか修理屋みたいなのを、密かな副業で。
あとは内緒(らぶ
619cheshire-cat ◆CATBCJABLA :03/08/29 21:06
おっと。変な順番になってまった。
>>618
要するに無職ってことですか?
621cheshire-cat ◆CATBCJABLA :03/08/29 21:21
>>620
ちゃんと定職はありますよん。
こっちは退社後か休日で。
稼ぎは謝礼程度ですが金額とかは問題ではなくって、付き合いの延長みたいなものでし。
>>621
その定職というのについて詳しく教えて下さい!
>>617->>618
(・∀・)ワラタヨ
625名無しさん@お腹いっぱい。:03/08/29 21:51
>>628
まぁたいしたこと無いな
一番怖いのは、既にBLASTに感染しているPCを探し出し、トロイを仕込んだり
データ流出や破壊活動を行なうタイプだな。
オマエら作るなよ
626cheshire-cat ◆CATBCJABLA :03/08/29 21:55
>>623
こっちも笑いますた。
若いうちから拡張とかすると、将来オムツのお世話になるらしです。

>>625
実はそんな問題について言及して詰めた話をした人って、この板には居ないんですよねん。
(割と)無害なタイプが初期に配布されたのは、ある意味での僥倖なのかもしれませぬ。
>>626
で、本職は何なんですか?
ごまかさずに答えてください。
628cheshire-cat ◆CATBCJABLA :03/08/29 22:04
>>627
今度オフで皆と会ったら、色々話しましょう。
>>626
以前のスレでさんざんガイシュツです
>>628
嫌です。変態とはお友達になりたくありません。
それより質問に答えてください。
>>625
オフがたいしたこと無いのだろうか
  ICMPトラフィックです。あなたのWindowsには致命的な問題は起こす気はないですが・・・・
   /⌒ヽ
  / ´_ゝ`)    /⌒ヽ
  |    /    / ´_ゝ`)
  | /| |     |    /      /⌒ヽ  チャプッ
  // | |      | /| |      / ´_ゝ`)
 U  .U      // | |      |    /       /⌒ヽ  プクプクッ      プクプクプク・・・・
          U  .U     二| /| |二-_  -_/_´_ゝ`)二-    - /⌒ヽ= _        _   ッ・・・・・
                  ̄- ̄- ̄    ─  ─  ̄-      ̄- ̄  ̄-
                             インターネットを埋め立てます。
633 :03/08/29 23:01
テレホ近くになると決まってネット出来なくなるんですが
これもブラスターのせいなんでしょうか?

再起動にはならないので自分のPCは大丈夫だと思うんですが、
ネットできないのはきついです。
634名無しさん@お腹いっぱい。:03/08/29 23:03
おい!ブラスター作った奴18歳の男だったってニュースでやってたぞ
続出?
635名無しさん@お腹いっぱい。:03/08/29 23:17
アリゾナ州フェニックスのEasynewsというプロバ(ニュースグループサーバー屋)が
FBIのsubpoena(この場合は記録提出命令だろう)を受けた。FBIによれば8月18に
ポルノを装って最初のウィールスがこのサイトにアップされたもよう。(ロイター)
…とのことでつ。
(´-`).。oO(なんで「コテハンうざっ!」とかおもっちゃうんだろうな)
(´-`).。oO(早く「うざレスなんてスルーですわよおほほほ」という境地に達したいものだ)
637名無しさん@お腹いっぱい。:03/08/29 23:26
やっぱり捕まっちゃったのか。
やっぱり本気だされるとばれちゃうもんなのかな。
漫画喫茶からうpとかホットスポット経由とかお店の無料インターネットとかで
やっても捕まっちゃうもんなのかね。
>>633-634
釣れませんね。
639名無しさん@お腹いっぱい。:03/08/29 23:37
http://news.www.infoseek.co.jp/NComp?sv=SN&pg=article.html&arn=reut_inter_JAPAN-123786
↑なんだ変種だって元祖じゃないんだ
この記事みるとただ単にブラスターをマネしたウィルスを作ったマヌケが
逮捕されただけみたい

最初この事聴いた時、原種だと思ったのに
亜種で捕まるってこれからもありそうな話ですね
pingのパケット送り付けて来るマシンに向けて、blasterを除去するウィルスを
送り付けたい気分にかられるよ。
もちろん開いてるはずのセキュリティーホールMS03-026を利用して。
よく考えたら、ping送り付けてくるマシンって、MS03-026の穴、
攻撃可能ですよ宣言してるようなもんだよね。
>>637
防犯カメラに写ってたり、番台のあんちゃんに挙動不審で顔覚えられてたり。
キーボードに指紋残ってたり。がさ入れされるとHDDに80Gの(ry
642名無しさん@お腹いっぱい。:03/08/29 23:40
>>639
なんだ偽物だったか。
FBIもなんか逮捕しないことには
沽券に拘わるからとりあえず亜種から逮捕か。
お店のネット機とかなら大丈夫でしょ。


指紋って犯罪歴無ければ意味無いしね。
644氷月鬼 ◆EuropaFcZU :03/08/29 23:42
>>639
「悪質な」という文言があるところを見るとDかな?
BとCはAと変わらないし、Eは動かんからな
645名無しさん@お腹いっぱい。:03/08/29 23:54
>>644
Dって悪質だったか?
>>645
ネット全体への被害としてはDがいちばん悪質
>>646
そうかい。
うちのぞねーちゃんが悲鳴あげております
ポート番号 23623 に怒涛の攻撃が!
いったいコレは??
650名無しさん@お腹いっぱい。:03/08/30 00:28
mac使いには関係ない罠(プ
ウインドウズ使ってて楽しい?(プ
楽しいよ!仲間に入りたい?(藁
29日は一日で5496回のアタックがありました。うちはおでんなんだけど、
状況は悪化する一方です。
おでんの場合、135「だけ」はブロックしてくれているんだけど、他はping
含めて全て垂れ流し。

プロバイダにも社会的責任ってのを要求したいと強く思うでつ。

・妖しげにping連発する椰子には警告汁!
・非常事態なんだから、フツー使わないポート全部ブロック汁!
・pingも規制汁!「自鯖のチェック出来んだろ!」なんて椰子には
「他の方法でチェックおながいします。ペコリ」言う!!
・対策に関して、よくあるサイトへの誘導でお茶を濁すんではなくって
DM中に具体的に書く!!藻前が自分で書くんだYO!

できることはナンボでもあるんではないか?ちいとは努力汁!

おでんに関しては、あんまりに酷いんで明日電話するつもりです。
メールじゃ効果が無いだろうからね。
654qwer@通技:03/08/30 01:28
企業がVPNを行う場合pingを使って
IPSec使ったInternetVPNを利用してるユーザ(主に企業)は
勝手にあちこちブロックされると困るだろーな。
DHCPクライアントである一般ユーザに対して
感染していると思われる相手のみを特定してブロックするのも
ISP側ではほとんど不可能だろうね。

企業側にしても、突然SSL-VPNにシステム変更するのも不可能だろうし。

ISP側もネットワークの輻輳はかなり頭を痛めてるだろうけど、
P2PやSPAMメールのトラフィックに比べると大した事ないんだろうな。


現在の状況に対する、最も現実的で効果的なISP側の対処って・・・
一般ユーザへセキュリティ意識を啓発する(為にDM送付する)
くらいなのか・・・

無力だねえ。いくら言っても聞かないユーザなんて山ほどいるぞ。
656qwer@通技:03/08/30 01:44
#失礼途中で送ってしまいました

VPNで使う場合など、pingで相手の生存確認を
行う場合があります。
pingを止められてしまうとダウンと判断されて
バックアップのISDNがつなぎっぱなしになり
洒落にならない事態になったりします。

ISPはIPでの通信を提供しているわけですから
緊急時とはいえフィルタは最小限にすべきだと
思います。
今回の場合135を止めているのならば、pingを
止める必要はないように思います。
負荷でサービス品質を維持できなくなるのであれば
別ですが
ぶっちゃけ、pingが止められることを前提にしたコードなんてあんましないと思うよ
135とめてあればとりあえず感染は拡大しないわけだし、pingがうざいといっても
たいした実害はない。トラヒック的にはSobigFの方がはるかに頭イタイ問題。
cnn.comに捕まった奴の写真があるが、見るからにデブオタなのは
笑える。
tp://www.cnn.com/2003/TECH/internet/08/29/worm.arrest/index.html
>>659
Bを作った奴なのか…
661名無しさん@お腹いっぱい。:03/08/30 06:06
>>659
うほっ! イケル!

うまー
>>661

やはり太っているね。
>>659
Bなんてファイル名変えたぐらいでしょ。
かわいそうに、スケープゴートでしね。
>>659
Parson, described as 6-feet-4-inches tall and 320 pounds,
デカっ。186cm 145kgって幕内の相撲取りの平均くらいか?
確かに関取の髪型にも見える・・・・w
FBIのメンツのために「やっちゃった」少年が一人釣られますた。
>>663
やったことがしょぼいし,体型もあれなんで・・・
ソフト関連やセキュリティ関連会社への就職は無理だろう。
そーいやアメリカではデブは自己管理が出来ていないからと
就職or昇進で差別を受けるシステムはまだ生きているのか?
18歳にゃ見えんぞ
一見人はよさそうなんだがな。
パッチあてて駆除ソフト使ったはずなのにちょくちょく再起動する。
素で動作不良なのか、パッチの当て方が悪いのか…
672名無しさん@お腹いっぱい。:03/08/30 13:10
OSが立ち上がる前に再起動がかかってしまう場合、どうすれば良いのでしょうか?
WindowsXP SP1なのですが、Windows起動のブート画面まではいくものの、
「ようこそ」の画面に切り替わる前に再起動がかかってしまいます。
セーフモードですら立ち上げられない状態です。
>>672
ご愁傷さま。でもスレ違い。
顔立ちといい、曙の親戚かと…>>659
675672:03/08/30 13:54
>>673
このウィルスの症状ではない、ということでしょうか?
再起動が繰り返される症状がでると書いてあったので、このウィルスかと思ったのですが・・・

発症した方は、どのような症状でウィルスの感染を知ったのですか?
私の場合、ウィルスチェック(自動)の最中に突然再起動がかかり、以降再起動ループ
に陥ってます。
ウィルスチェック中、パソコンでは何も作業はしていませんでした。
ただ、ADSLなのでずっとネットには接続していました。
ウィルスが出回っているので、Windowsupdataやノートン(システムワークス&
インターネットセキュリティ2003)は最新版に更新して、気をつけていたつもり
だったのですが・・・。
>>675
サブマシンか携帯からだろうけど、
その汚染疑惑機は現在もそのまま?
最初に再起動がかかったときにダイアログ画面は
でませんでした?
>>675
>>7-8を読んで自身でチェックされよ
しかしログオンできないのでは、どう対処したものだかねえ。
起動してくれるまで気長に耐えるしかないんじゃねーの?
うちのPCは夜になるとログインしてくれるようになった
>>672
ウィルスによる症状ではなく,OSの不調もしくはハードの故障と判断するべき症状。
>>680
それいい答えだね。それを推定してくれるだけでも質問した
甲斐があるんじゃない?ところで、どうしてそう判断すべきなんでしょうか。
後学のためにヒントというかさわりを教えてもらえませんか?
682672:03/08/30 14:32
みなさんレスありがとうございます。

>>676
>最初に再起動がかかったときにダイアログ画面はでませんでした?
出ませんでした。いきなりの再起動です。
汚染疑惑機は当然LANケーブルを抜いて、ネット接続ははずしてます。
679氏のおっしゃるとおり、時間を空けて何度か起動トライ中です。

>>677
当然読みました。マイクロソフトやシマンテックほか、このスレに貼ってある関連リンク先も
目を通したのですが、いずれもWindowsを起動させてからの対策ばかりでどうにもこうにも・・・

>>680
ハードの故障は真っ先に考えました。
今朝から中をあけてケーブルなどの接触を確認したのですが、特に問題はなく・・・
HD自体がクラッシュしたならば、Windowsのブート画面は表示されないだろうし・・・うーん・・・
>>682
メモリーか電源ヘタってるっぽい
どうもWindows関係のスレがいいみたいだね。
Windows XP 質問スレッド Part 63
http://pc2.2ch.net/test/read.cgi/win/1061829522/
ここら辺りがいいのかな?どうでしょう。
(なんか書いておかないと「マ〜ルチ!」とか言われても気の毒だし)
685672:03/08/30 15:20
>>683
やっぱりそれでしょうか・・・どちらも安いものではないので、最後の対策にしたいです(⊃д`)

>>684
誘導ありがとうございます。
どうやらBlasterの症状とはまた違う現象のようですね。
そちらの過去スレと、ハードウェア板・PC板をまわってみようと思います。

レスを下さった皆様、どうもありがとうございました。
686tiny:03/08/30 16:27
>>685
Windows XP のログオン画面が表示されず、コンピュータが再起動し続ける
http://support.microsoft.com/default.aspx?scid=kb;ja;310396
また見てくれるといいね。
なんでKernel32.dll 破損するのかね
やっぱりノートンが原因?
690685ではないですが:03/08/30 17:51
>>686 Kernel32.dll の破損ですか。な〜るほど。

しかしこれXPのCDが必要みたいだけど、最近のパソってリカバリーCDも
ついてないモデル多いっぽいんだが…ERDディスクも作ってなかったら
どうするのかねー。めんどそうだなー。
>>689
それなら,すごい祭りになっているだろうから違うのではないかなぁ〜
今日はICMPが減ってUDPだらけ。
何番ポートかマイルータでは分からんけど。
マイルーラでは分からんだろうな。
594の詳細は既出?
Blasterの新しい亜種「Blaster.E」の感染活動を警察庁が警告
ttp://news.goo.ne.jp/news/internet/it/20030830/iw2003083004.html


> ただし、DDoS攻撃の対象が「windowsupdate.com」から「kimble.org」に変更されているほか、自身がPC起動時に実行されるために変更するレジストリキーと追加する値が以下のように変更されている。

>レジストリキー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

>値:"windows automation"="mslaugh.exe"
>>694
>ファイル検索などで「mslaugh.exe」を検索する方法が考えられる。
Blaster.E とか亜種が随分出てきたけど、
今までの対応で感染は防げるのかな。
ウイルスバスターはまだ何のアナウンスもないようなんだけど。
どうでしょうか。
どうでしょうね。
>>697
やはり今のところわからないんですかね。
インターネットにつながないとウイルスバスターのアップデートは
受けられないし、アップデートしないで接続していれば危険かもしれないし。
うーむ。
699名無しさん@お腹いっぱい。:03/08/30 21:01
>>696
感染した症状は違うけど、感染経路が同じだから
既存のBLASTの対策取っているのなら感染しない。
>>690
ERDDキタキタキタキタ━━━(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)━━━━!!
>>693
マイルーラキタキタキタキタ━━━(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)━━━━!!
702名無しさん@お腹いっぱい。:03/08/30 22:07
XP 初期化して、バスターをアップデートしようとした途端に
Blaster の仲間がやってきてしまう
XP のアップデートでも同じ事が起こった
あ〜〜〜やってらんない
今ひとつ理解がいかないのだが、
Blasterはインターネット中を自力遊泳していて、
勝手に入ってくる点が特徴ってことかな?

それで、防ぐにときにルーターとファイアーウォールと
アンチウイルスソフトの話があるけど、三つ揃っていないと
安心できないの??
おれなんかファイアウォール上では、すべてのICMPトラフィックを拒否
してるのに、しっかりsystem32\winsにDLLHOST.EXEとSVCHOST.EXE
作成された。そういう奴他にもいるでしょう?
たぶんファイアウォ−ルの立ち上げより早く侵入されてバックドアしかけら
れたんだろうね。幸い、起動と同時にウィルス駆除ソフトが警告出したけど。
ケーブルをいちいち抜き差しするのも('A`)マンドクセだし、
もうこうなると、感染する時は、しょうがないよ。・゚・(ノД`)・゚・。
system32\winsにDLLHOST.EXEとSVCHOST.EXEという名前のフォルダを作って
読み出し専用属性にして、アクセス権を誰にも与えない(=所有者がアクセス権設定する以外の作業不能)状態にして防衛しておきますた。
>>704
なるほどねえ。FAQにも書いてある一瞬のタイムラグに侵入される話だね。

>>705
それをやると、侵入してきても上書きしようとしてできなくなるからセーフってこと?
それが有効なら、これまたなるほどなあ的な方法だね。
>>703

>Blasterはインターネット中を自力遊泳していて、
>勝手に入ってくる点が特徴ってことかな?

Blastはワームだから当然だね。
ワームであることが特徴であるともいえるが。

>三つ揃っていないと
>安心できないの??
・ルータ
 外部からの侵入を防ぐ。
 社内LAN等、ルータの内側に持ち込まれたPCからの感染は防げない。
・PFW
 LANからの侵入を防ぐ。(ルータなしの環境では外部からの侵入も防ぐ)
 起動時のタイムラグに注意。(起動時にはケーブルを抜いておくと万全)
・アンチウィルス
 FDやCDなどのメディアからの侵入を防ぐ。
 万一感染したときに駆除してくれる。
あとは自分で判断しる。
>705
それだとexe名が違う亜種が来たらNG。
しかし、ポート69(tftpd)を予め使用してしまうとかtftp.exeを潰すのは難易度高。
(システム復元のせいで、tftp.exeは簡単には消せないし)
709705:03/08/30 22:52
>>706
BadTrans.Bの時の対処方法を思い出しまして・・
感染したときに使っていたFWを教えて
>>705
ワラタ
おまいは一休さんか!トンチをきかせてウィルス感染防止かよ(w
>>707
ふむふむふむ。なるほど丁寧にありがとうございます。

ワーム(まあミミズとかそういう自ら動くこと意を含んでいるのはわかるけど)
もメールに乗ってきたものの処理を誤ったり、汚染されたホームページに
たまさか行ったりしなければ侵入してこないものだと思ってた。違うんだなあ。
勉強になりました。ブラスターだけじゃないんだね。

「三種の神器」の解説は助かりました。
モヤーっとしていた点がクリアに。深謝。

しかし万全を期すならルータのケーブル抜いて立ち上げるのかあ。
大変な奴だね、こいつはやっぱり。
ルーターとパソコンはどのようにに立ち上げたら
より安全なのでしょうか?
>>713
完全を期すなら、セキュリティ関係のソフトが完全に立ち上がった
後、ケーブルを繋げるしかないでしょ。
そんなことフツーはやってらんないよ。でも職場でやってるところもあったな。
>>705さん
ありがとね。

>>713
いま教えてもらったことから考えると、
LANケーブルを抜いた状態でパソコンを起動して、
起動の完了を確認したらケーブル挿してルータの電源ON、かな。
よく考えると、ルータの電源を落としただけじゃ不完全ってことか。
ケーブルがつながっていれば、電源が落ちていても泳いでくる可能性がある?
そんなことあり得るの??
>>702
XPならポート塞げるだろうが。
先にポート塞いでからケーブル繋げろ!
718cheshire-cat ◆CATBCJABLA :03/08/30 23:10
>>716
ルーターの電源そのものが落ちていれば、WAN側からだろうがLAN内部だろうが、ルーティングされませぬ。
>>718
ありがと!
720cheshire-cat ◆CATBCJABLA :03/08/30 23:17
瑣末な話ですが。
718は家庭内で、ブロードバンドルーターに直接パソを接続している時の話ね。
>>720
いあ、そいう話が「大事なのよ。ココ見てる人間の大部分は、そゆ話・・。
722cheshire-cat ◆CATBCJABLA :03/08/30 23:23
>>721
漏れも多分、君と同じ事考えて追記しまして。スマソ。
ルータはパソコンが完全に立ち上がった後に電源投入したほうがいいんですね。
LANケーブル抜くのはめんどくさい・・・。
>723
"モデム"ならそうだが、NATなルータなら必要ない操作だろ。
PC内に既にワームが居るというならともかく。
@修正プログラムをDLしておく
ALANケーブルを引っこ抜く
BOS新規インスコ
C修正プログラムを適用
D回線に接続してWINDOWSアップデート

でどうよ?
今回のワームに限って言えば,Windows Updateをきちんとしていれば,進入されないはずだが・・・
念のため修正パッチと駆除ツールをDLすんの忘れてた。
>>723
ルータにはタイムラグ問題は無いから常時ONでいいよ。
729723:03/08/31 00:12
>>728
ルータ、モデム、パソコンの電源を同じとこから取っていて
ルータとモデム電源オン→PC起動→立ち上がって少し間が空いてから
ネットができるというふうにしてるのですが大丈夫でしょうか?
730705:03/08/31 00:19
>>729
ルータとモデムは24時間入れっぱなしていいと思うのだが。
>>729
無問題。
732名無しさん@お腹いっぱい。:03/08/31 00:33
W32.welchia.wormとTrojan.Adclickerに感染しています。
駆除しようと思っているのですが、当方Win2000のsp2なので、
修正プログラムが適応しないんです。
で、MSのsp4をDLしようと思ったのですが、ウイルスのせいなのか、
途中で異常終了してしまうんです。

どなたか良きアドバイスをしていただきたいです。
>725
最近購入したXPインストール済みPCを初めて起動するときも、
これやらないと一発で感染しますね。

販売店では対策とっているのかな?
修正かけて販売しているのか? それとも、対策CDを添付してるとか。。。
>>733
お客さんと話しながら、修正済み、添付のみ、何もナシを
分けて対応して、必要な手間賃を取れれば理想的だろうけど・・・
>>732
サービスのRemote Procedure Call (RPC)のプロパティの
回復タブの中の処理をサービスを再起動とかに変更すれば多分問答無用で再起動はなくなるはず。
その状態だとwindowsupdateはできないのでSP4は直接落としてからインストールしかないと思うが。
736733:03/08/31 00:59
>734
ですよね。メーカ側対策としても、回収し対策、済みシールはり再出荷とか。
どうなんでしょうね。そこまでやらないと、製造物なんたら法にひっかかるような。

通販でも、このあたりが気になりますね。
一番いいのは、リコールでしょうけど、
これはMSが決断して修正版OSださないと無理だしね。


一番良い方法は、新規PC購入では、Windows系以外のOSを選択ですかね。
737 :03/08/31 01:06
>>735 ありがとうございます。
   RPCなどのことはよくわかりませんが、
   その処理をして、SP4を落とし、win.updateをせよというわけですね。
>>736
リコールはメーカーの判断で出来るよ。
かかる費用をどうするかはメーカーとMSの問題だが。
>>737
1年も前のトロイにやられるなんて、ウィルス対策してない証拠。
これを機にPFW機能付きアンチウィルスソフトでも導入する!
740名無しさん@お腹いっぱい。:03/08/31 01:36
dllhost.exeとsvchost.exe、何種類か出回ってない?
捕獲したのが、微妙に違うっぽいんだけど。
>>740
PingでローカルIPにポートフォワーディングして
ICMPがNetBIOSになるように設定しる。
742732:03/08/31 01:45
>>739 一年前のトロイですか。。。確かに対策しませんでした。反省です。
   自覚症状はないんですが、何をされるのでしょうか?

>>735 サービスのRPCは二つあるのですが、どちらもサービスの再起動でいいんですよね。
    やはりSP4のDL中にサーバへの接続が異常終了してしまいます。
    サイトからのSP4入手は断念したほうがいいのでしょうか。
    
>>742
PingでローカルIPにポートフォワーディングして
ICMPがNetBIOSになるように設定しる。
>>705
それでうまくいったら、(・∀・)つ〃∩ヘェーヘェーヘェー
人柱さんファイヤウォール切って実験して結果報告きぼん

ところで無償対策CDってホントに20万枚も配ったの?
折れの近所の量販店ではどこも「売り切れますた」なんだけど。
誰かちゃんと貰えた香具師いる?
>>742
ttp://www.symantec.com/region/jp/sarcj/data/t/trojan.adclicker.html
> Trojan.Adclicker は、特定のWebページ上にあるバナー広告をクリックするように設計されているトロイの木馬です。
> これらのWebページはおそらく、トロイの木馬の作成者のページと思われます。
> このトロイの木馬が実行されると、自分自身のコピーを%system% フォルダに作成し、レジストリの\Runキーに自分自身を参照する値を追加します。
まあ他愛も無いといえば他愛も無い。
しかし何らかの方法で自分自身をばら撒いているはずなので、例えば感染ファイルつきメールなんかを撒き散らしている可能性も。

SP4はネットカフェなどで別途入手する手もあり。
ttp://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp4/download.asp
ネットワークインストール版(129 MB)を落としてCDに焼くべし。
>>743
それでアドバイスになると思う?
>>742
プロバイダのメールに関するウイルスフィルタリングサービスでも加入しておいたら?
自分の安全もそうだけど、自分が虫付きメールをばら撒く危険性を手間いらずで
抑えられるよ。

SPは悔しいけどMSに通販頼むという手もある。1000円じゃなくて300円くらいに
して欲しいもんだけどねえ。
今見たらsystem32にwinsって空のフォルダがあるけど、最初からあったの?
ノートンでは一度もチェックに引っ掛からなかったから感染したけど駆除されたって
事は無いと思うんだけど・・・
>>744
ttp://www.microsoft.com/japan/security/howtoget.asp
これによると、店頭配布は、シマンテック15,000枚+トレンドマイクロ10,000枚の計25,000枚。
プレミア物だな。
ちなみに近所の店ではメディア代のみでコピーしてくれる。
あとは製品抱き合わせっぽい。
>>748
最初からあるよ。
751748:03/08/31 02:19
>>750
ありがd
安心しますた
752732:03/08/31 02:26
>>745 ネットカフェで入手ですか。やってみます。
   しかし、ネットワーク版ではなくSP4自体がほしいのですが。
   現在Win2000の古いものなので。

>>747 その手もありますね。通販。悔しいです。

>>748 私のwinsフォルダには、DLLHOST.EXEとSVHOST.EXEが巣食っています。

各サイトの修正ファイルや駆除ツールを使わずに、ウイルス問題を解決する方法はないんでしょうか?
例えば、OSを入れ直すなどはどうでしょうか?

アドバイスしてくださった各位に感謝です。
>752
dcomcnfgでDCOM止めて、日付を2004にし、リブートしろ。
>>752

> 各サイトの修正ファイルや駆除ツールを使わずに、ウイルス問題を解決する方法はないんでしょうか?
> 例えば、OSを入れ直すなどはどうでしょうか?

Redhatにでもすれば医院で内科医。
>753
w2k-sp2 ではDCOM止められないらしいが。
>>752
ネットワーク版ってSP4そのものでつよ
757732:03/08/31 02:44
>>753 うーん、わかりません。
>>754 Redhatとはなんですか?
   初歩的なことがわからずにすいません。

>>756 そうでしたか。失礼しました。
>>752
winsフォルダのその2つがウィルスの正体。
対策は>>7。(セーフモードで起動>ウィルスタスク停止>ウィルスファイル削除)
759758:03/08/31 02:47
駆除したところで、対策せずにネットワークに接続すれば元の木阿弥ですが。
760732:03/08/31 02:56
>>758 え! MSサイトなどの駆除ツールを使わなくても、その方法でいいのですか?
   もちろん駆除後は対策したいと思っています。
>>744
TMのをもらった。Y橋で。Sのはなかった。
TMのはBlasterのみ、うえるちな駆除はできない版。

Sのは営業がもってきた。これはうえるちな駆除できる晩。
これコピーして部内配布したよ。コピーは問題ないのよね。
>>760
あんなあ〜。駆除しても対策パッチあてないと、
ネット接続の旅に再感染するのよね。

だから、どうしてもパッチをオフラインで当てないといけないの。
というわけで、パッチをどこかで手に入れるべし。

どこでかって? それがMS配布のCD、または感染対象外のOSで、
MSサイトよりゲット。LinuxでもMacOSでもなんでもいいわけだ。
そいつをCDRなりFDDなりMOなりに落として、オフラインの
対象PCにさしてパッチしること。そうでないと、あんたのPC迷惑かけまくりだぜ。
>761
> TMのはBlasterのみ、うえるちな駆除はできない版。
間違い。
トレンド版はMSブラストA-D対応。 Welchi =Blast.D故。
764732:03/08/31 03:10
>>762 はい。対処していきたいと思ってます。
765761:03/08/31 03:17
>>763
そういうことだったの?
パッチは確かに両方はいってたけど、
駆除ソフトおよび説明は、どうみてもAまでのままの
バージョンって感じなんだけど。

そうか、きっと駆除ソフトの中身だけはDまで版なのかな。
情報感謝。
>765
ココを見る限りBLAST.D対応ようだが(持ってないから知らん)
ttp://www.trendmicro.co.jp/msblast/cd.asp
MSのパッチCD20万枚配布というのは、現在の所、5万5千枚しか生産されておらず、残りについては生産委託の目処が立っていないらしい。
>>742
RPCのみの方、このサービスが落ちると再起動になるので。
RPC Locatorは別にいい。

それでもSP4を落とせないなら
OutpostかZoneAlarmを先に入れておく方がいいかもしれない。
SP4ほどでかくないし。
769744:03/08/31 05:30
>>767
(・∀・)つ〃∩ヘェーヘェーヘェー そっか。まだ生産されてないんだ。
でもなんで雑誌の付録とかにつけとかなかっただよ、MS。
バキャだな…


770732:03/08/31 10:45
>>768 SP4のDLはネットワークインストールですよね? 高速ではなく。
>>770
http://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp4/download.asp

高速インストール
接続PCに必要なファイルのみをダウンロードして自動的にインストール開始

ネットワーク インストール
SPに含まれるすべてをダウンロードする。インストールは手動で実行
流石にもう今さらだと思うけど・・・
万が一おニブさんが来たら誘導に使ってくんろ


トレンドマイクロ
【WORM_MSBLAST(エムエスブラスト)対策WEB】
http://www.trendmicro.co.jp/msblast/

【エムエスブラスト(WORM_MSBLAST)とは】
http://www.trendmicro.co.jp/msblast/whats.asp

ウィルスバスター2003での感染防止対処法
http://www.trendmicro.co.jp/msblast/tool.asp#4

MSの対策ページ
(セキュリティ修正パッチ摘要必須!!【MS03-007】【MS03-013】【MS03-026】)
http://www.microsoft.com/japan/technet/security/virus/blaster.asp

【早く】 Blasterスレ Part3 【対策しろ】
http://pc.2ch.net/test/read.cgi/sec/1061647087/
773772:03/08/31 13:30
すまぬ壮絶に誤爆したm( _ _ )m
代々木でモペラ使ってるバカ
いい加減除去しろよ。
775名無しさん@お腹いっぱい。:03/08/31 14:46
今日は22990のアタックが多いな。
>>774
それ俺
Jeffrey君タイーホ続報・・・・名前公表とかいろいろ。
http://internet.watch.impress.co.jp/cda/news/2003/08/30/301.html
778名無しさん@お腹いっぱい。:03/08/31 16:28
>>
なんだよ「改名した」だけじゃんかよw ヘタレなハッカーだなw
>「Blaster.B」(W32/Lovsan.worm.b)はBlasterに含まれていた
>「MSBLAST.EXE」を「teekids.exe」に改名していながら、行動は
>Blasterと全く同じ…

779氷月鬼 ◆EuropaFcZU :03/08/31 16:33
>Blaster.Bは調査の結果「www.t33kid.com」にアクセスし、
>そのWebサイトから指示を受けることが
>米Microsoftと米シークレットサービス特別捜査官によって確認された。

この文章を読むとプラスアルファの機能も付け足しているように思えるが・・・
ごちゃごちゃ言わずにさっさとパソコンショップ行ってブロードバンドルーター買ってこい。
また同じ騒ぎに巻き込まれないようにね。BRとモデムを間違えるなよ。モデム内蔵型もあるからな。
詳しくは店員に聞け。

1.BRを回線に繋ぐ前に該当ポートを塞ぐ(大抵はデフォルトでOKだと思うけどねぇ?)。
2.PC対策(ワームの無効化、もしくはOS再インスコ)する。
3.これでネット接続しても安心だからいくらでもパッチを落としてくる。
4.終了
>>780
家の(オフィスでもいいが)パソコンが複数あって、ファイル共有とかしたい
んだったら、しっかりしたルータ入れないと絶対だめです。しかし1台だけ
だったらWindowsパッチ+FWソフト+アンチウィールスソフトでもOK。
それにルータ入れたからすっかり安心じゃなくて、他の対策もやっぱり必要



>>780
該当ポートって、80番もふさぐんだろう?
でないと、Dにやられてしまうじゃんね。

で、80番ふさいで、どうやって、パッチおとしてくんのか
おしえてくんろ。

お前さんのような脳天気がいるから、こうやってDが蔓延してるんだよ。
ばかやろう!
>>782
盛れは780ではないが…
ブラスタDが侵入するのはport135。port80は無関係。
カルシューム不足してないか?
>>782
本当に分かってないのか荒らしなのか・・・

大体がBR導入してもポートを塞いでいないって言うのも信じられないし
ワクチンソフトすら入ってないのも信じられないし
セキュリティパッチすら当ててないのも信じられない

当てずっぽうでケチ付けて脳無しを晒しているのも信じられない
>>783
おい、いっぺんここ読んでからこいや。鉄分不足やろう!
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

WebDAVって何番ポートつかうんでしょたか? あほめが、反省しろよ。
つか780にレスするとループが始まるのでなかったことに。
過去ログで解決済み。
>>782
内側から外と外から内は違うんだけどな・・・
788氷月鬼 ◆EuropaFcZU :03/08/31 17:49
一応DはIISのセキュリティホールもつくから、
web鯖建ててる人は80も関係あるんだけどね。
モペラは感染者が多いなぁ。
代々木のドコモビル経由でガンガン来てます。
>>783
ブラスタDはWEBDAV脆弱性を利用してport80も狙うが、標的は
「Internet Information Server (IIS) が動作するサーバー」と書いてあるだろ。
普通のユーザーには影響ない。

>>785のようなアヴォが鯖立ててるわきゃない。…それとも立ててるのか?
それならそれで((((((;゚Д゚))))))ガクガクブルブル
>>790
普通のユーザーってなんよ?
NT4.0やXPの出荷設定のままは影響しない。。。だろ?

それを一般にOSの区別も書かず、ただ135番だけ塞げばいいなんて
かくなってことだよ。
>>792
普通ルーターかましてりゃpingなんざall blockだろうが。
ping返さなきゃ無効
あくまでルーターの外に対してだけどな。
>>782 >>783
夏休みも最終日だな。がんがれ。
795782:03/08/31 20:48
>>794
うん? うちの職場に夏休みはねえだす。
そうかがきどもは今日で休みおわりか。

この騒ぎが落ち着いたら、休暇とりたいです。
かるしうむもとりたいです。
君の言葉遣いは独特だね。
>>793
OutpostだってICMPの設定は細かくできまつが。
>>797
やめとけ、無知をかまってもしたかない。

「普通ルータ」っていう装置の話らしいから。(やれやれ)
ファイアウォールとルーターの区別が出来ない人々の集まるスレはここですか?
800名無しさん@お腹いっぱい。:03/08/31 21:36
>>782
> で、80番ふさいで、どうやって、パッチおとしてくんのか
> おしえてくんろ。
WAN側からの80番への要求って塞ぐのでは?
80番への要求を破棄したところでパッチくらい落ちると思うが
>>799
どう違うの?
ブラジルからもICMP来てる・・・
地球の裏からこんにちはゝ( ゚∀゚)メ(゚∀゚ )ノ アヒャヒャヒャ
>>803
おれは799自身の言葉で教えてもらいたいんだYO!
799じゃなきゃヤダ!!
正直、このスレに来るヤツでファイアウォールとルーターの区別がつかな
いのは799一人くらいだろう。
だいぶ盛り上がってまいりまつた
そろそろ次スレのタイトルを考えませう。
>>807
【まだ】Blasterスレ Part.D【対策してないの】
ってのは?
>>808 いいと思うんだが、前スレが 
【まだ】Blasterスレ Part2【終わっちゃいない】 
だったからなー。ちなみに、過去スレは >>12

【コラ】Blasterスレ Part.4【とっとと対策汁】
【一生】【感染してろ】
812名無しさん@お腹いっぱい。:03/08/31 23:33
【飼育】Blasterスレ Part.4【出来たら神】
.D は 2004年までの命だがな
【無料!】Blasterスレ Part.4【対策CD配布中】
【仕方がねえな】Blaster一族スレ Part4【対策相談所】はどう?
【バイナリエディタで】Blasterスレ Part.4【亜種増殖】
>>816
ヤメレ
>>816
不謹慎だがワラタ
>>814
看板に偽りありですな。
>>792
> NT4.0やXPの出荷設定のままは影響しない。。。だろ?

NT4.0SVは標準インストールでIIS動いていますが?
【明日は】Blasterスレ Part.4【我が身鴨?】
822名無しさん@お腹いっぱい。:03/09/01 01:20
システムファイル消す亜種がでてないか?
【お前だよ】Blasterスレ Part.4【さっさと直せ】
完全に駆除したはずなのにsvchostが他人のPCいじりに行く
【ノートで】Blasterスレ Part.4【持ち込むな】
【どうすりゃ】Blasterスレ Part.4【安心なのよ】
【右ボタンで】Blasterスレ Part.4【地上物】
【256発で】Blasterスレ Part.4【バキュラを壊せ】
>>822
【そいつは】Blasterスレ Part.4【厄介だな】
【またぞろ】Blasterスレ Part.4【亜種出現】
【早く】Blasterスレ Part.4【決めようよ】
832名無しさん@お腹いっぱい。:03/09/01 01:52
ログみるとcomとnetが圧倒的に多いな。
YBBとかもちらほら。
テンプレに手を加えるべき点は?
834>>832:03/09/01 02:08
【お前が】Blasterスレ Part.4【comとかnetだからだろ】
>>834
そういう攻撃的なタイトルはどうかと思いますが。。。まあ冗談でしょうけど。

>>833
>>772のリンク集きれいにまとまっていて、いいかな。
>>702-733の電源を入れる順番の話とか、
ルータ、FW、アンチウイルス、パッチ類の話とか。
まとまったらわかりいいかなあ。まとめたいけど自分の力量では困難です。。。
参考になりましたら。
OSの起動とFWソフトの立ち上がりのタイムラグの話だが…
LANケーブルのジャックなんてのは頻繁な抜き差しなんか
考えてないからぺなぺなで強度なさそうなんだよな。そこで、
FWにアウトポスト使っている場合、

「ネットワークの接続」を無効にする→OSシャットダウン
OS起動→Outpost を「完全シャットダウン」→
「ネットワークの接続」を有効にする→Outpost再起動→(゚д゚)ウマー

Outpostが起動してる状態で「ネットワークの接続」を有効にすると
アウポが何も通さなくなってしまうので注意。上記のやり方でも厳密
にいうとタイムラグはあるんだが、ほんのニ三秒になる。(雨あられ
と叩かれまくってるときには止めたほうがいいかも)
837名無しさん@お腹いっぱい。:03/09/01 03:45
[MS03-007] Windows コンポーネントの未チェックのバッファにより
Web サーバーが侵害される件だが、

WebDAVバグを狙う攻撃はIIS5.0が実行されているサーバーだけが
対象になる。(この場合はWebセッションを通じて攻撃をかけるから
port80を通って侵入する)

NT4.0はWebDAVをサポートしないので攻撃の対象ではない。
XPはIIS5.0をデフォではインストールしないので出荷状態では攻撃対象ではない。

出荷状態でWebDAV脆弱性攻撃が現実に実行されるOSは、Windows2000系の
サーバー製品だけ。

ただしWin2000、XPともユーザーがIIS5.0をインストールしていれば攻撃対象に
なる。

ということでいいのかにゃ?

>>836
俺がそれでやられたみたいなんだよ。
ログ見ると、アウポ再起動直後にICMPトラフィックを感知する場合がある。
っつうことは、接続完了とアウポ再起動の間に侵入されてる可能性大。
接続との問題は専用スレに詳しいけど。

しかし、今年はブラスターの夏だったなって、いやな夏だなぁ(;´Д`)
緊張の夏。ブラスターの夏。
ざぶとん、半分
山田くん、839のざぶとん全部もってって
>>841
お、円楽師匠、早起きだなー。では後はまかせたので漏れはもうね待つ。
843名無しさん@お腹いっぱい。:03/09/01 08:10
「郵政公社のブラスター感染はNECの作業ミスが原因――損害賠償も検討」
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030829/2/

だってよw
>>843
保守用パソコンにもFWはついてただろう。ウイルス駆除ソフトも完備してたろう。
つーことは、侵入はタイムラグの間かな・・・・
NECのITソリューションのSEたるものも、俺らと変わらんヘマしよる。
NEC → ネック → 首

と連想してみたり…
【百花繚乱】Blasterスレ Part.4【亜種花盛り】
>>844
逆に
「保守用だからインターネットに接続しないという事が大前提」
だったのかも

うちにも普段使わないメンテ用のPCにはアンチウイルス入れてないかも
特に、診断用のスニファーなんか入れた専用機は対策遅れる
>>845
落研系の人物がこのスレに感染しますた。845=839?

>>847
電話回線経由でってところが(w
作業員個人のアカウント使ったんじゃないのかなぁ。
>>843
住基ネットでも同様に可能だなw

(この先も含めて)保守にやってきた業者にまで、どうやって徹底するのかなww
>>843
この件に関しNEC広報は、「ご迷惑をおかけして大変申し訳ない。今後はセキュリティ
・ポリシーを更に強化し、職員には随時2chのBlasterスレを参照させるなど再発防止
に努めてまいりたい」






とは言ってないかw
>>843
「ネットにつながない前提のシステム→だから対策してないパソ→
なにげにネットにつなぐ→感染→システムあぼーん」というパターン
続出だろうな。
「どんなパソコンもパッチ+FW+アンチウィールスで対策しておく」
以外ないだろう。

それでも外部から持ち込まれるノートパソにはお手上げだな。
まさか玄関の警備員に対策済みかどうか検査させるわけにもいかんし。
それでも内部のパソに感染しなければ大規模なダウンは起こらない
はずだ。あと役員の私物のパソなー…
852名無しさん@お腹いっぱい。:03/09/01 13:02
鯖に空アクセス数急増はブラスタDの仕業だそうでつ
こんな症状で
☆ウィルス情報&質問 総合スレッド☆part13
http://pc.2ch.net/test/read.cgi/sec/1061454729/405
こんなアクセスログを残すとか
http://fumika.jp/nikki/archives/2003/08/access_count
気になってみたのでちょっとチェックなどしてみたら。

外部からTCP135へのアクセスについて、
一度に3回ノックしてるように見えるんだが、これってBlasterの仕様ですかね?
1回目と2回目の間隔3秒、2回目と3回目の間隔6秒で綺麗に並ぶんだけど。

あと、やたらにMoperaからのアクセス多いんだけどこんなもん?
>>853
もう気にすんなよ、そんなの
仕様だよ仕様
朝から毎日セキュ板でスタンバってる俺の身にもなってみろよ
飽きたんだよそれ
【来たら】Blasterスレ Part.4【ばら撒け】
856853:03/09/01 15:56
>>854 即レスありがと。 仕様ね、了解。
まぁ、確かに住民からすりゃ面白くない罠。 スマソ。
【引続き】Blaster スレ Part4【拡散中】
【駆除しねえなら】Blaster スレ Part4【ネットから離脱汁】
【亜種に期待】Blaster スレ Part4【大人気】
【存在自体に】Blaster スレ Part4【気づいてない】
【Elkarnも】Blaster スレ Part4【セットでお得】



【君も】Blaster スレ Part4【トップブリーダー】
>>860 ↑それいえてるかも ↓こういうのは?
【無自覚】Blaster スレ Part4 【保菌者多し】
【9月になって】Blaster スレ Part4 【大学で増えた】
【新学期】Blaster スレ Part4 【火に油】

ありえる話だけど本当に大丈夫かな。夏休み前
ぎりぎりくらいのパッチを当てていればセーフだったわけだけど。
(あと3月のもか)
【Zまで】Blaster スレ Part4 【亜種出ます】
全然だいじょうびじゃないね。
【亜種】Blaster スレ Part4【1号2号V3から555まで】
【ネタ切れ】Blaster スレ Part4 【閉店間近?】
【2004年まで】Blaster スレ Part4 【繋がないでください】
考えてみると、新しくPC買った初心者って当たり前のように感染するんだよな・・・
そして感染してることにも気付かない・・・

Dが時限付でほんとーに良かった。
今ログみたら、2200件/日程度だったpingが、7時間で2000件突破してんだけど、
また新しい亜種でも出た?
>>871
>>864-865 かもよ。学校絡み。

   さ、新学期だ!早く対策しなきゃ。
   えーとまずはWindows Updateからっと。
   これさえマメならまずは安心だよっと♪


   さ、新学期だ!早く対策しなきゃ。
   えーとまずはワクチンソフトからっと。
   これさえマメならまずは安心だよっと♪

こんな光景もあるかと…
WindowsUpdateやウィルス定義ファイルのDLをしようと
インターネットにつないだとたん(学校だとPC立ち上がった途端か)
あちこちから湧き上がる声

「なにこの数字? カウントダウンしてるよー」
874871:03/09/01 21:48
だったら夜になったらペース落ちてもいいと思うんだけど、
相変わらずハイペースで叩かれてるのはどういうわけだろう・・・。
ん?外国も9月1日から学校開始なんだっけ?
(元ワーム)   code red     MSblast.A
   ↓        ↓        ↓
(パッチ当て)  code blue    MSblast.D
   ↓        ↓        ↓
(時限なし)    code red II    MSblast.?




杞憂ならいいんだが・・・
876氷月鬼 ◆EuropaFcZU :03/09/01 22:15
何気にトレンドマイクロとネットワークアソシエイツで「E」が別ものっぽい。
そういや、WORM_MSBLAST.D = W32/Nachi.wormだからズレるんだな。

W32/Lovsan.worm.e
ファイル名 = MSLAUGH.EXE
・DoS(サービス拒否)攻撃のターゲットは、kimble.orgに変更されています
・W32/Lovsan.worm.eは、以下の文字列を含んでいます。
I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY !!!!

ファイル名の長さが同じだからやっぱりバイナリエディタで改変か?
機能的にはAと変わらなさそう。
>>865 【新学期】Blaster スレ Part4 【火に油】
に1票を投じまつ。 OpenJaneやなんかスレタイのタブは左詰だから
たくさんスレを開いてるときなんか先頭に目立つ文字がないとわかり
にくいんだよね。
878名無しさん@お腹いっぱい。:03/09/01 22:31
今回の一件で,ソフトウェアファイアウォールの無力さが浮き彫りになった。

もう売れないね,Good bye Symantec...
( ● ´ ー ` ● )Nachiありがとう
blasterのスレってこのスレで8個めじゃなかったか
>>880
>>12 によると7個目だが。
>>876
既出。(考察を除く)

>>880
死んだ子の年を数えるなよ。
03/08/12 16:23
【RPC】カウントダウン後、再起動してしまう
http://pc.2ch.net/test/read.cgi/sec/1060673014/

これは数えちゃいけなかったのか、、
>883
確かにソレが1.番スレのようだな。
>12 を修正するか、0番スレとして扱うか。。
>>883
ほほう…これを次スレの「過去スレ一覧」に加えるべきか否か?
黒丸買ってないので判断つきません。詳しい方の意見を伺い
たい。
>>883
やっぱり>>12を修正でしょ。さいわいスレタイの番号じゃないから
読む香具師が混乱するということもない。
「3日目」スレが5時間で消費されてるし(w 懐かしいのう。。
さーてうpでーとしよ
889名無しさん@お腹いっぱい。:03/09/02 01:10
今度パソコン買うんですがネットに繋げば即感染するんですか?
>>889
MSBlast.D/Nachi/Welchiaは画期的なウィールスで、箱開けただけのPCだったら
ネットにつないだとたん、おもしれーくらい簡単に感染する。

このスレ初めの方から読んどけよ。藻前にウィールス撒き散らされちゃ困る


メルコのブロードバンドルーター買ってきたのでどれだけ攻撃されてるのか
期待してログをチェックしてみたのだが、アタック遮断のログが相手のipだけで
どこのポートを攻撃されてるのか判らないアルよ……
2048スキャンされまくり。
893名無しさん@お腹いっぱい。:03/09/02 04:17
2991に大量にきてる
>>851

大体、ネットワークに繋いでいないPCというのは、
セキュリティパッチが導入されていないのが多いのよ。
これからは導入をしないとまずいね。


 ∋oノハヽ
   川o・-・)     
 _(__つ/ ̄ ̄ ̄/_
   \/___/
カタカタ
895名無しさん@お腹いっぱい。:03/09/02 07:30
Welchia (Lovsan, Nachi, MSBLAST.D) については XP の場合は次のバッチファイルを二度実行すれば
とりあえず駆除できて穴はふさがるのかな?

stop-welchia-and-reboot.bat
----- ここから ----- ここから ----- ここから ----- ここから -----
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole /v EnableDCOM /d N /f
net stop RpcPatch
net stop RpcTftpd
reg DELETE HKLM\SYSTEM\CurrentControlSet\Services\RpcPatch /f
reg DELETE HKLM\SYSTEM\CurrentControlSet\Services\RpcTftpd /f
del c:\windows\system32\Wins\Dllhost.exe
del c:\windows\system32\Wins\svchost.exe
shutdown -r -f -t 0
----- ここまで ----- ここまで ----- ここまで ----- ここまで -----
+ 問答無用で再起動する

+ バッチファイル一つでなんとかしたい
+ 最低限のことができればいい.
+ 2000 の場合 reg コマンドが標準では無いので 駆除はできるが
穴は開いたまま (手動で DCOM を無効にしてから実行すれば大丈夫)
+ net stop RpcPatch を実行してから再起動するまでの間に再度感染する可能性がある
二度実行するのはこの対策
+ もちろん本来はこの後で復元オプションを無効にして再度駆除したり修正パッチをあてるべき
う^ン。後期開始は10月からでっせ。まだ夏休みだ。
大学のほうがPC数おおいだろう。高等学校程度ならたいしたことないのでは?
>>896
最近の高校はそんな事は言ってられない状況です。
最近は小学校、中学校にもたくさんのPCが配備されています。
899名無しさん@お腹いっぱい。:03/09/02 08:44
じゃあ最近パソコン買った人はどうやってブラスター対策してるんでしょう?
このスレに書いてあるようなことを事前に知っておく必要があるわねえ。
実態としては、セットアップ
       →満身創痍で必要なソフト、ファイルをダウンロード
       →CDに焼く
       →再インストール
       →兜鎧を身につけてから接続
じゃないかのお。これでも自覚的でまずまず上手く対応した部類だだろうけど。
未だに135叩かれる。
同じ所から…。

相手に文句をいう方法はないもんだろうか?
そろそろ駆除してホスイ…。
最近のPCはメーカーか店のほうで対策してるんじゃなかろうか
903名無しさん@お腹いっぱい。:03/09/02 10:34

昨日、事情がありPCをリカバリしました、
ネットにつないだとたんどうも感染してしまいました・・
ですがパソコンがSP3も入ってない状態なので、
MS03-007などの修正プログラムなども
入れられない状態です。
SP4もDL途中でエラーで無理でした。
ほんとにお手上げです。

すみません、アドバイスお願いします
>>903
ネットカフェなどでパッチとSP4をダウンロード

CD-Rなどに焼いて持ち帰って自分のPCにインスコ

( ゚д゚)ウマー
>>901
net sendコマンドは?
907903:03/09/02 10:58
そうですね、、
オンラインで買って届くまで1週間待つしか方法はないですよね、、

>905 田舎なのでネットカフェもなく・・
アドバイスさんきゅでした。
>>902
それがね。今日納品されたPCをネットにつないだせつな,
感染しましたって,報告があがってきちゃったのよね。

ショップで事情を聞いた方がいいけど,一般人はそういうことしないよね。
たしか,起動かけると,アップデートしますか? って聞いてこなかった?
すなおに「はい」と答えると,ネットワークにつなげとでるんじゃなかった?

で,あっさり感染。これからも増えるんだろうね。
909名無しさん@お腹いっぱい。:03/09/02 11:17
ポート閉じたルータに繋げる
RPCサービスを一時的に止める
買ってきた状態で

--------------------------------
XPのファイヤーウォールを有効にする
--------------------------------
ネットにつなぐ

この手順でとりあえずすぐ感染することは防げて
パッチや駆除ツールのダウンロードに支障ない

ということではないの?
>>910
システム起動時はケーブルを抜いておく。
(FWの起動タイムラグ問題対策)
>>910
ということですよ。教科書的対処はね。

で,これは啓蒙教育? が必要なわけで,
そのあたりをショップで説明されて理解できるユーザなら,
そもそも問題ないでしょう。

問題は,販売店がそういう注意もせず,購入者も無知な場合ですわ。
そういうPCは見事に感染して,ネットワークに害をなすのです。

はやくMS社でリコールしてくれ!! たのむわ。
>>909
RPCサービスは止めたら大変なことになると思うのですが・・・
914名無しさん@お腹いっぱい。:03/09/02 12:31
とりあえず、新規購入パソコン1台につき修正パッチ入りCD-Rを1枚つけてくれれば
それなりに予防できないかなあ?
>>914
それを使いこなせない人が購入する悪寒、新規販売ごとに店頭でインストロールがいいんじゃない?
916名無しさん@お腹いっぱい。:03/09/02 12:47
出荷時のOSインストールで、パッチを当てとけばいいよ。
WINDOWS XP SP1.1とか?
>>916
それが,大学生協じゃあ,区別つかんそうだ。
パッケージに「Blaster対策済み」
ってなシールでもはっておいてくれんとね。>メーカ各位
919名無しさん@お腹いっぱい。:03/09/02 13:04
>>913
>RPCサービスは止めたら大変なことになると思うのですが・・・

そう?
Windows Update終わるまでとめて何か問題有るの?
920氷月鬼 ◆EuropaFcZU
ダイヤル接続が切断不能 「ブラスター」の影響で
http://headlines.yahoo.co.jp/hl?a=20030902-00000055-kyodo-bus_all