Blasterスレ　part5

前スレ　http://pc.2ch.net/test/read.cgi/sec/1062521353/

（･∀･∀･)ﾇｯﾍｯﾎｰ

（･∀･∀･)ﾊﾍｯﾎｰ

さむい>>1ですね

（･∀･∀･)ﾎﾟｯﾎﾟｯﾎﾟｰ

【WORM_MSBLAST.D miniFAQ　情報収集リンク編１】　
Ｑ　オンラインでウィルスをチェックしてくれるサイトはありますか？
Ａ　トレンドマイクロ（ウイルスバスターオンラインスキャン）
　　　http://www.trendmicro.co.jp/hcall/scan.htm
　　シマンテック（ウイルススキャン）
　　　http://www.symantec.com/region/jp/securitycheck/index.html
Ｑ　駆除ツールはどこからダウンロードできますか？
Ａ　トレンドマイクロ
　　　http://www.trendmicro.co.jp/hcall/index.asp
　　シマンテック
　　　http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
　　サイゲート
　　　http://scan.sygate.com/prequickscan.html
Ｑ　マイクロソフトのパッチってどういうのですか？
Ａ　修正パッチは２つあるので注意してくらさい。
　　ms03-026(RPC脆弱性→Win98,ME以外のすべての製品に関係）
　　　http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
　　ms03-007(WebDAV脆弱性→IIS5.0をインストールしているWebサーバーマシン）
　　　http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp

【WORM_MSBLAST.D miniFAQ　情報収集リンク編２】　
Ｑ　このウィールスの詳しい解説はどこで見られますか？
Ａ　マイクロソフト『Blaster ワーム』 および関連する情報の一覧（本家だけあって充実ｗ）
　　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blstlink.asp
　　トレンドマイクロWORM_MSBLAST
　　　http://www.trendmicro.co.jp/msblast/
　　シマンテックW32.Welchia.Worm
　　　http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
　　警察庁サイバーポリス公式解説（修復手順が詳しい。レジストリ情報もある）
　　　http://www.cyberpolice.go.jp/important/20030819_131641.html
　　情報処理振興事業協会公式解説（リンクが充実してます。勉強家におすすめ）
　　　http://www.ipa.go.jp/security/topics/newvirus/msblaster.html

【WORM_MSBLAST.D miniFAQ　緊急です！　感染しちゃったぽ】
Ｑ　突然パソコンが勝手にシャットダウンするようになったんですが？
Ａ　あひゃ、それは感染してますねー。ウィールス広めないようにまずケーブルを
　　抜きましょう。！！ウィールスは広めるあなたもウィールスじゃ！！
Ｑ　駆除ツールとか拾ってきたんですが、なんかうまくいきません。
Ａ　まずウィールス本体のプログラムの動作を停止する必要があります。
Ｑ　ウィールス本体のファイル名は何ですか？
Ａ　WINNT\system32\winsディレクトリ中のDLLHOST.EXE　SVCHOST.EXEの二つです
Ｑ　svchost.exe dllhost.exeってそもそも何ですか？
Ａ　どちらもWindowsの重要なシステムファイルです。本物を停止させちゃうと
　　Windowsが死にますです
Ｑ　ニセモノと本物の見分け方は？
Ａ　ニセモノは\WINNT\system32\winsというデイレクトリに巣食っています。
　　ニセモノはエクスプローラで作成日を見ると感染日（最近）になっています。
　　また本物とはサイズも違います。
Ｑ　タスクマネージャーのプロセスイメージ欄で本物とニセモノの区別がつきますか？
Ａ　ニセモノは大文字でSVCHOST.EXE DLLHOST.EXEと表示されるという報告あり。
　　（注　全ての場合にそうかどうか未確認）
Ｑ　タスクマネージャーでニセモノのSVCHOST.EXE　DLLHOST.EXEが停止できません。
Ａ　セーフモードで起動してからタスクマネージャーで停止させます。
Ｑ　セーフモードって？
Ａ　まずOSの再起動をかけます。OSの起動中にF8キーを何度か押す。セーフモードで
　　起動したらタスクマネージャーで糞プログラムを停止し、ゴミ箱に捨ててやります。
　　それからおもむろに駆除ツールで修復へ

２
【WORM_MSBLAST.D miniFAQ　初心者なんですが】
Ｑ　初心者なんですがこれからPC買いに行きます。なにか注意ある？
Ａ　箱開けてそのままＰＣネットにつなぐと十秒くらいでブラスタに感染しまつ。
Ｑ　ええっ…じゃ買うのよそうかな((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
Ａ　もちついてください。ＸＰの場合、とりあえずの対策は簡単です。
　　このFAQの後の方で「XPのファイアウォールを有効にする」を見てください。
　　Win2000 の場合、その後の「DCOMを無効にする」を見てください。
３
【WORM_MSBLAST.D miniFAQ　予防対策のお話】
Ｑ　どうすれば感染を予防できますか？
Ａ　ブラスターに限らず次のような対策をしていれば大きな被害を受けることは
　　まずないです。
　Windows をアップデート
　　ウィールス／ワームが利用するセキュリティの穴を塞ぐ
　インターネットとの接続にルータを設置
　　外部からの侵入を防ぐ。（社内LAN等ルータの内側に持ち込まれたPCからの
　　感染は防げない）
　各PCにファイアウォールソフトを常駐
　　LANからの侵入・拡散を防ぐ。（ルータなしの環境では外部からの侵入も防ぐ）
　　起動時のタイムラグに注意。（起動の際ケーブルを抜いておくと万全）
　アンチウィールスソフトを常駐
　　FDやCDなどのメディアからの侵入も防ぐ。万一感染したときに駆除してくれる。

【WORM_MSBLAST.D miniFAQ　一般的なお話】　
Ｑ　無償の対策CDはいつ、どこで手に入りますか？
Ａ　8月27日から、全国の家電量販店、パソコンショップの店頭で配布開始した
　　もののトレンドなど大手はすでに配布終了。すでに激レアものか？
Ｑ　このごろやたらにICMP(2048)とかいう接続要求がくるんですが？
Ａ　それがブラスタDのしわざです。
Ｑ　このICMPの接続要求って攻撃されてるってこと？　
Ａ　このウィールス（正確にはワーム）はICMP(2048)を自分の周囲のPCに猛烈に打ち
　　まくり、返事があるとport135というドアから入りこみます。鯖立ててる場合以外は
　　ファイアウォールでport135を閉めておけばOK。ping自体は無害です。
Ｑ　ブラスタＤってどのポートから入ってきやがりますか？
Ａ　普通はport135から入ってきてバックドアをport707に作りやがります。プログラム
　　本体が転送されるのはこのport707（なお、IIS5.0を利用しているサーバーマシンの
　　場合、port80を通じてWebセッションが攻撃されます）
Ｑ　ICPMのping、うぜーんだけど。どーにかなんね？
Ａ　残念ながら打つ手なし。ファイアーウォールやルータをしかるべく設定した上でシカト。
Ｑ　pingなんかプロバで止めろよ
Ａ　ICMP止めてもWebセッションにはほとんど影響ないんですが、プロバがユーザーの様子
　　見るのに使ってたり、企業ネットでも使われてたりして、止めにくいみたいでつ
Ｑ　ブラスタDは別名がいろいろあるようですが？
Ａ　マイクロソフト、各アンチウィールスメーカーが独自に名前をつけるのでまぎらわしい
　　です。ウェルチア、ナチ、ラブサン など。
　　WORM_MSBLAST.D [トレンドマイクロ]　W32.Welchia.Worm[シマンテック]
　　W32/Welchia.worm10240 [アンラボ]　W32/Nachi.worm [マカフィー]
　　Lovsan.D [F-セキュア]　さらにブラスタEとか新種が出てるという情報もありまつ。

【WORM_MSBLAST.D miniFAQ　ファイアーウォール編】
Ｑ　ファイアーウォールって何？
Ａ　ファイアーウォール（FW）はデータ通路の玄関（port）の警備員みたい
　　なものです。通行許可証のない人（データ）を通さないようにします。　
Ｑ　ファイアーウォール入れていても感染しますか？
Ａ　感染します。ＯＳがネットに接続してからFWソフトが立ち上がるまでの
　　わずかなスキに侵入されることがあります。修正パッチ当てる前のOSを立ち
　　上げるときはケーブルを抜くか、モデムの電源を落としておきます。
Ｑ　無料のファイアウォールってどうなのよ？ ちゃんと役に立つ？
Ａ　次のような製品があります。機能は十分です。詳しいことはそれぞれのサイトやスレで　
　アウトポスト　Outpost
　　http://www.agnitum.com/download/outpost1.html
　ゾーンアラーム Zone Alarm
　　

http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=zadb_

zadown
　ケリオ　Kerio Technologies Inc. | Kerio Personal Firewall
　　http://www.kerio.com/us/kpf_home.html
　サイゲート　SygatePersonalFireWall
　　http://soho.sygate.com/free/default.php

【WORM_MSBLAST.D miniFAQ　ＸＰ付属ファイアウォール編】
Ｑ　Windows XPの付属ファイアウォールは有効ですか？
Ａ　Windows XPのファイアウォールはウィールスが入り込むport135を閉じるのに
　　有効です。ただし、このファイアウォールはデフォルトでは無効になってます。　
　　有効にする手順は以下のとおり。
　　　コントロールパネル→ネットワークとインターネット接続→普段使っている
　　　接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
　　　「コンピュータとネットワークを保護する」にチェックを入れる
Ｑ　XPの「ネットワークの接続」がみつかんないよー？
Ａ　以下の方法も試してくださいでつ。
　　　スタート→設定→ネットワーク接続
　　　スタート→接続→全ての接続の表示
　　　スタート→マイネットワーク→ネットワーク接続を表示
Ｑ　XPのファイアウォールで十分でつか？
Ａ　XPのおまけFWは外から中へ（inbound）の侵入は防ぎますが、いったん感染して
　　しまうと中から外へ(outbound)ウィールスをばら撒くのをチェックできません。
　　Zone Alarm Outpostなど中から外もチェックする製品入れておくべき。

8で原ちゃん（人）
成功の暁にはうんこ丼喰う

【WORM_MSBLAST.D miniFAQ　Windows 2000編】
Ｑ　これからWindows2000 Pro をインストールしようと思ってますが、そのままつないで
　　大丈夫ですか？
Ａ　大丈夫ではありません。Win2000 SP4適用済み だったら、ネットにつなぐ前に
　　まず応急措置としてDCOMを無効にします。
　　　スタート→ファイル名を指定して実行→dcomcnfg.exe
　　　→「既定のプロパティ」タブ
　　　→「このコンピュータ上で分散COMを有効にする」のチェックを外す。
　　　→ネットにつないでパッチをダウンロード
　　Win2000 SP4未適用の場合はちょっとめんどいでつ。裸のまま捨て身でファイアウォール
　　ソフトを落としてきて…あと「感染しちゃったぽ」見てください。
Ｑ　Win2000のSP4適用しようと思うけどブラスタに邪魔されて落とせません(泣
Ａ　↑を参考にまずファイアウォールとアンチウィールスを入れる。どうしてもまずSP4
　　が欲しい場合はMSに通販頼むかネカフェでCDに焼き焼きしてくる。

１０
【WORM_MSBLAST.D miniFAQ　スレ違い編】
Ｑ　すげー量のウィールスメールが来るんです！　誰かに狙われてるんでしょうか？
Ａ　それはSobigFです。こっちで聞いてね→【Thank You!】Sobig.Fスレ
　　http://pc.2ch.net/test/read.cgi/sec/1061479494/

おぉ。訂正するの忘れてた。スマソ

【WORM_MSBLAST.D miniFAQ　緊急です！　感染しちゃったぽ】
Ｑ　よくわかりませんが、ブラスタに感染してるといわれますた
Ａ　あひゃ、それは感染してますねー。ウィールス広めないようにまずケーブルを
　　抜きましょう。！！ウィールスは広めるあなたもウィールスじゃ！！

【WORM_MSBLAST.D miniFAQ　ファイアーウォール編】
　ゾーンアラーム Zone Alarm
　　http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=zadb_zadown

Ｑ　感染してるといわれますた
Ａ　あひゃ、それは感染してますねー。ウィールス広めないようにまずケーブルを
　　抜きましょう。！！ウィールスは広めるあなたもウィールスじゃ！！

ブラスター関連　前スレ
1.[08/12 16:23]【RPC】カウントダウン後、再起動してしまう
http://pc.2ch.net/test/read.cgi/sec/1060673014/
2.[08/14 18:33]　【流行中】msblast対策スレ【ｶｳﾝﾄﾀﾞｳﾝ後再起動】
http://pc.2ch.net/test/read.cgi/sec/1060853614/
3.[08/16 06:25]　msblast対策スレ【ｶｳﾝﾄﾀﾞｳﾝ後再起動】2日目！
http://pc.2ch.net/test/read.cgi/sec/1060982749/
4.[08/18 20:11]　msblast対策スレ【ICMP祭り開催中】3日目！
http://pc.2ch.net/test/read.cgi/sec/1061205064/
5.[08/19 01:26]　ﾌﾞﾗｽﾄ４
http://pc.2ch.net/test/read.cgi/sec/1061223981/
6.[08/19 22:48]　msblast対策スレ【セカンドインパクト】4日目
http://pc.2ch.net/test/read.cgi/sec/1061226881/
7.[08/21 13:53]　【まだ】Blasterスレ Part2【終わっちゃいない】
http://pc.2ch.net/test/read.cgi/sec/1061002243/
8.[08/23 22:58]　【早く】 Blasterスレ　Part3 【対策しろ】
http://pc.2ch.net/test/read.cgi/sec/1061647087/

>>8
FAQの↓は、Ｄ（=Nachi Welchia Lovsan）以前のオリジナル系ブラスタの症状
でふ。Dは再起動しませぬ。

Ｑ　突然パソコンが勝手にシャットダウンするようになったんですが？
Ａ　あひゃ、それは感染してますねー。ウィールス広めないようにまずケーブルを
　　抜きましょう。！！ウィールスは広めるあなたもウィールスじゃ！！

↓ｽﾏｿ　訂正しまふ↓

Ａ　あひゃ、それはブラスタＡorＢroＣに感染してますねー。まだそんなのに感染する
　　なんてｶｺﾜﾙｰｲ。ウィールス広めないようにまずケーブルを抜きましょう。
　 　！！ウィールスは広めるあなたもウィールスじゃ！！
　　本体プログラム名はそれぞれ
　　　WORM_MSBLAST.A→"MSBLAST.EXE"
　　　WORM_MSBLAST.B→"PENIS32.EXE"　(←これがジェフリーたん作w)
　　　WORM_MSBLAST.Cの→"TEEKIDS.EXE"
　　ケーブル抜いたらセーフモードで起動（再起動の時F8を押す）してウィールス
　　本体を削除。修正パッチその他対策はブラスタＤと同じ。ここらとか
　　　トレンドマイクロ　http://www.trendmicro.co.jp/msblast/tool.asp
　　このスレのＦＡＱとか見てくらさい

ttp://pc.2ch.net/test/read.cgi/sec/1062521353/22
スマン;y=ｰ( ﾟдﾟ)･∵.　ﾀｰﾝ

>>1は都昆布

>6-16(13除く)
乙〜

テンプレの新バージョン（前スレの最後でminiFAQ屋さんがまとめたもの）

【WORM_MSBLAST.D miniFAQ　情報リンク】No.1
Ｑ　ええっとこのウィールス、いろんな名前があるみたいですけど？
Ａ　各アンチウィールスメーカーが独自に名前をつけるのでまぎらわしい
　　です。NACHI.Aがコンセンサスでしょうか。
　　WORM_MSBLAST.D [トレンドマイクロ]→WORM_NACHI.A に改名
　　W32.Welchia.Worm[シマンテック]
　　W32/Welchia.worm10240 [アンラボ]
　　W32/Nachi.worm [マカフィー]
　　Lovsan.D [F-セキュア]
Ｑ　このウィールスの詳しい情報はどこで見られますか？
Ａ　まずここら見てください。各社で駆除ツールも用意されてます
　　トレンドマイクロWORM_MSBLAST
　　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.A
　　シマンテックW32.Welchia.Worm
　　http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
　　Network Associates の簡易駆除ツール Sitnger　（おすすめ）
　　http://www.nai.com/japan/security/stinger.asp
Ｑ　マイクロソフトのパッチってどういうのですか？
Ａ　もうごちゃごちゃでよくわかんないでつ。修正パッチは次々に最新版が出
　　てるので注意してくらさい。以前のパッチms03-026はもうだめぽ（´･ω･`）ｼｮﾎﾞｰﾝ
　　たぶんこれが最新と思われ。詳しいことはMSのサイトで確認…
　　ms03-039(RPC脆弱性→Win98,ME以外のすべての製品に関係）
　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-039.asp
　　ms03-007(WebDAV脆弱性→IIS5.0をインストールしているWebサーバーマシン）
　　http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp

【WORM_MSBLAST.D miniFAQ　緊急です！　感染しちゃったらしいぽ】No.2
Ｑ　駆除ツールとか拾ってきたんですが、なんかうまくいきません。
Ａ　まずウィールス本体のプログラムの動作を停止する必要があります。
Ｑ　ウィールス本体のファイル名は何ですか？
Ａ　WINNT\system32\winsディレクトリ中のDLLHOST.EXE　SVCHOST.EXEの二つです
Ｑ　svchost.exe dllhost.exeってそもそも何ですか？
Ａ　どちらもWindowsの重要なシステムファイルです。本物を停止させちゃうと
　　Windowsが死にますです
Ｑ　ニセモノと本物の見分け方は？
Ａ　ニセモノは\WINNT\system32\winsというデイレクトリに巣食っています。
　　ニセモノはエクスプローラで作成日を見ると感染日（最近）になっています。
　　また本物とはサイズも違います。
Ｑ　タスクマネージャーのプロセスイメージ欄で本物とニセモノの区別がつきますか？
Ａ　ニセモノは大文字でSVCHOST.EXE DLLHOST.EXEと表示されるという報告あり。
　　（注　全ての場合にそうかどうか未確認）
Ｑ　タスクマネージャーでニセモノのSVCHOST.EXE　DLLHOST.EXEが停止できません。
Ａ　セーフモードで起動してからタスクマネージャーで停止させます。
Ｑ　セーフモードって？
Ａ　まずOSの再起動をかけます。OSの起動中にF8キーを何度か押す。セーフモードで
　　起動したらタスクマネージャーで糞プログラムを停止し、ゴミ箱に捨ててやります。
　　それからおもむろに駆除ツールで修復へ
【WORM_MSBLAST.D miniFAQ　緊急対策=DCOM無効化】
Ｑ　削除したら安心ですか？
Ａ　だめです。そのままだとあっというまに再感染。
Ｑ　どうすれば感染/再感染を予防できますか？
Ａ　緊急対策として、まずDCOMを無効にします。Shields Up!で有名なセキュリティ
サイトからこのツールを落としてきて実行するだけ。英文ですが操作はかんたんです。
http://grc.com/files/DCOMbob.exe　
左側の「DCOMbobulate Me!」というタブをクリック→Disable DCOMボタンをクリック
→Windows 再起動 これでもうブラスタＤ=Nachiには感染しません（ﾟдﾟ）ｳﾏｰ
（Win2000でSP4未適用の場合はがんばってまずSP4適用してくださいでつ）

【WORM_MSBLAST.D miniFAQ　緊急です！２　PCが勝手に再起動しちゃうです　】No.3
あひゃ、それはスレ違い。ブラスタDではなくて、ブラスタＡorＢroＣに感染してますねー。まだそんなのに感染するなんてｶｺﾜﾙｰｲ。ウィールス広めないようにまずケーブルを抜きましょう。
　 　！！ウィールスは広めるあなたもウィールスじゃ！！
　　本体プログラム名はそれぞれ
　　　WORM_MSBLAST.A→"MSBLAST.EXE"
　　　WORM_MSBLAST.B→"PENIS32.EXE"
　　　WORM_MSBLAST.Cの→"TEEKIDS.EXE"
　　ケーブル抜いたらセーフモードで起動（再起動の時F8を押す）してウィールス
　　本体を削除。修正パッチその他対策はブラスタＤと同じ。↑のほう見てトレンド
とかシマンテックで対策してください。

【WORM_MSBLAST.D miniFAQ　日ごろの対策】
Ｑ　日ごろどんなことに気をつければいいですか？
Ａ　ブラスターに限らず次のような対策をしていれば大きな被害を受けることは
　　まずないです。
　Windows をアップデート
　　ウィールス／ワームが利用するセキュリティの穴を塞ぐ
　Windows の不要なサービスを停止（↑にあるように、BlastD=Nachiの場合DCOM停止）
インターネットとの接続にルータを設置
　　外部からの侵入を防ぐ。（社内LAN等ルータの内側に持ち込まれたPCからの
　　感染は防げない）
　各PCにファイアウォールソフトを常駐
　　LANからの侵入・拡散を防ぐ。（ルータなしの環境では外部からの侵入も防ぐ）
　　起動時のタイムラグに注意。（起動の際ケーブルを抜いておくと万全）
　アンチウィールスソフトを常駐
　　FDやCDなどのメディアからの侵入も防ぐ。万一感染したときに駆除してくれる。

【WORM_MSBLAST.D miniFAQ　一般的なお話】No.4
Ｑ　このごろやたらにICMP(2048)とかいう接続要求がくるんですが？
Ａ　それがブラスタDのしわざです。
Ｑ　このICMPの接続要求って攻撃されてるってこと？　
Ａ　このウィールス（正確にはワーム）はICMP(2048)を自分の周囲のPCに猛烈に打ち
　　まくり、返事があるとport135というドアから入りこみます。鯖立ててる場合以外は
　　ファイアウォールでport135を閉めておけばOK。ping自体は無害です。
Ｑ　ブラスタＤってどのポートから入ってきやがりますか？
Ａ　普通はport135から入ってきてバックドアをport707に作りやがります。プログラム
　　本体が転送されるのはこのport707（なお、IIS5.0を利用しているサーバーマシンの
　　場合、port80を通じてWebセッションが攻撃されます）
Ｑ　ICPMのping、うぜーんだけど。どーにかなんね？
Ａ　残念ながら打つ手なし。ファイアーウォールやルータをしかるべく設定した上でシカト。
Ｑ　pingなんかプロバで止めろよ
Ａ　ICMP止めてもWebセッションにはほとんど影響ないんですが、プロバがユーザーの
　様子見るのに使ってたり、企業ネットでも使われてたりして、止めにくいみたいでつ

【WORM_MSBLAST.D miniFAQ　ファイアーウォール編】
Ｑ　ファイアーウォールって何？
Ａ　ファイアーウォール（FW）はデータ通路の玄関（port）の警備員みたい
　　なものです。通行許可証のない人（データ）を通さないようにします。　
Ｑ　ファイアーウォール入れていても感染しますか？
Ａ　感染します。ＯＳがネットに接続してからFWソフトが立ち上がるまでの
　　わずかなスキに侵入されることがあります。修正パッチ当てる前のOSを立ち
　　上げるときはケーブルを抜くか、モデムの電源を落としておきます。
Ｑ　無料のファイアウォールってどうなのよ？ ちゃんと役に立つ？
Ａ　次のような製品があります。機能は十分です。詳しいことはそれぞれのサイトやスレで

【WORM_MSBLAST.D miniFAQ　ファイアーウォール編２】No.5
　アウトポスト　Outpost
　　http://www.agnitum.com/download/outpost1.html
　ゾーンアラーム Zone Alarm
　　http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=zadb_zadown
　ケリオ　Kerio Technologies Inc. | Kerio Personal Firewall
　　http://www.kerio.com/us/kpf_home.html
　サイゲート　SygatePersonalFireWall
　　http://soho.sygate.com/free/default.php

【WORM_MSBLAST.D miniFAQ　ＸＰ付属ファイアウォール編】
Ｑ　Windows XPの付属ファイアウォールは有効ですか？
Ａ　Windows XPのファイアウォールはウィールスが入り込むport135を閉じるのに
　　有効です。ただし、このファイアウォールはデフォルトでは無効になってます。　
　　有効にする手順は以下のとおり。
　　　コントロールパネル→ネットワークとインターネット接続→普段使っている
　　　接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
　　　「コンピュータとネットワークを保護する」にチェックを入れる
Ｑ　XPの「ネットワークの接続」がみつかんないよー？
Ａ　以下の方法も試してくださいでつ。
　　　スタート→設定→ネットワーク接続
　　　スタート→接続→全ての接続の表示
　　　スタート→マイネットワーク→ネットワーク接続を表示
Ｑ　XPのファイアウォールで十分でつか？
Ａ　XPのおまけFWは外から中へ（inbound）の侵入は防ぎますが、いったん感染して
　　しまうと中から外へ(outbound)ウィールスをばら撒くのをチェックできません。
　　Zone Alarm Outpostなど中から外もチェックする製品入れておくべき。

【WORM_MSBLAST.D miniFAQ　Windows 2000編】No.6
Ｑ　これからWindows2000 Pro をインストールしようと思ってますが、そのままつないで
　　大丈夫ですか？
Ａ　大丈夫ではありません。Win2000 SP4適用済み だったら、ネットにつなぐ前に
　　まず応急措置としてDCOMを無効にします。>>20にあるツールを使うか、
　　　スタート→ファイル名を指定して実行→dcomcnfg.exe
　　　→「既定のプロパティ」タブ
　　　→「このコンピュータ上で分散COMを有効にする」のチェックを外す。
　　　→ネットにつないでパッチをダウンロード
Ｑ　Win2000のSP4適用しようと思うけどブラスタに邪魔されて落とせません(泣
Ａ　まずウィルス駆除。ファイアウォールとアンチウィールスを入れる。
　　それからSP4適用、DCOM無効化…たいへんでつね

【前スレ関係】No.7
1.[08/12 16:23]【RPC】カウントダウン後、再起動してしまう
http://pc.2ch.net/test/read.cgi/sec/1060673014/
2.[08/14 18:33]　【流行中】msblast対策スレ【ｶｳﾝﾄﾀﾞｳﾝ後再起動】
http://pc.2ch.net/test/read.cgi/sec/1060853614/
3.[08/16 06:25]　msblast対策スレ【ｶｳﾝﾄﾀﾞｳﾝ後再起動】2日目！
http://pc.2ch.net/test/read.cgi/sec/1060982749/
4.[08/18 20:11]　msblast対策スレ【ICMP祭り開催中】3日目！
http://pc.2ch.net/test/read.cgi/sec/1061205064/
5.[08/19 01:26]　ﾌﾞﾗｽﾄ４
http://pc.2ch.net/test/read.cgi/sec/1061223981/
6.[08/19 22:48]　msblast対策スレ【セカンドインパクト】4日目
http://pc.2ch.net/test/read.cgi/sec/1061226881/
7.[08/21 13:53]　【まだ】Blasterスレ Part2【終わっちゃいない】
http://pc.2ch.net/test/read.cgi/sec/1061002243/
8.[08/23 22:58]　【早く】 Blasterスレ　Part3 【対策しろ】
http://pc.2ch.net/test/read.cgi/sec/1061647087/
9.[09/03 01:49]【ネット】Blasterスレ　part4【埋めまっせ】
http://pc.2ch.net/test/read.cgi/sec/1062521353/

テンプレ新バージョン、以上miniFAQ屋さんがまとめたもの。乙でした

うーむ。。。
立ててくれた人には申し訳ないが、ずいぶん分かりづらいスレになってしまったねぇ。

DCOMを無効化することによって不都合は出ますか？

無効にしてから二年経つが、何もない

>>28
DCOMが使えない。

天麩羅多杉。（ｗ

>>31
口直しにビッグカツどぞ

>>27
前スレの時点で、すでにかなり分りづらかったんだから仕方がないのでは？
FAQが多すぎてわけがわからない。

だから>>19以降が正しい新バージョンのFAQ。

前ｽﾚの流れ読まないアフォがアフォなテンプレ貼った
のがアフォなん…余計なことすんじゃねーよ。これから
ずっとわかりにくいまんまじゃねーか。

責任取れアフォ>>6

まぁ、　牛　乳　で　も　飲　ん　で　　も　ち　つ　け　>>34

　もまえら煽るヒマがあったら吉牛に３回いっとけ
　すると１杯無料

>>34さんをはじめ皆さんごめんなさい、依頼ださせていただきました。
ttp://qb2.2ch.net/test/read.cgi/saku/1030535921/216
今は削除人の方の判断を待っています。

わざわざ削除依頼出しちゃったのか・・・。

>>38
削除人の方にお手数を掛けることになるのが心苦しいですが、
自分のできる範囲ではこれが精一杯です。遅くなりましてすみません。

まぁ気にするなYO!
スレ立ても、テンプレ張りもしないで放っておいた奴の言うことなど放っておけ。。
あっ、俺もか。

------------------------------------
　　　　　　　FAQは>>19-24
------------------------------------

これを定期貼りすればなんにも問題あるまい
マターリ行こうよ

おっとっと。>>6以降さん。そんなに慌てることないぞ。
悪気でやったんじゃないんだからな。別にこのままでいい。
>>34は言い過ぎだ。>>41さんの言うとーりｗ

ttp://qb2.2ch.net/test/read.cgi/saku/1030535921/217
↑このようになりました。
>>40−42の皆さん、お騒がせしました。そしてありがとうございます。

>>43
2ch の中のリンクなら、
http://qb2.2ch.net/test/read.cgi/saku/1030535921/217
で構いません。

サーバのログ見てもNETBIOS全然来てないな〜と思ってたら、
ルータのログ見たら1秒に一回近い頻度でpingとNETBIOSが来てた。
IP16。

>>43　乙でした

http://headlines.yahoo.co.jp/hl?a=20031015-00000167-kyodo-bus_all

またアホのせいで被害拡大
アホの一個人ならまだ許せるがアホの一企業、団体は許せん

院内感染だね

>>47
NECも郵政事業庁相手に大失態やってた。
NECの社員が保守のために持ち込んだPCを無断でネットに接続
↓
持ち込みPCから庁内LANのPCに感染
ていうやつ。

>>49
ちとちがうな。システム内設置のPCを外して、
外部接続し、その後システムに戻した。持ち込みPCではない。

NECは、顧客物品を目的外使用したわけで、感染させた以前の問題。
今回のケースは同種契約しているサービスであれば、どこでも起こりえる。

ちなみに、うちはUNIXだが、ベンダーより保守のためrloginさせている。
危険だが、それなりのチェックはしている。
顧客側での検証がなっていないだけと思われる。ようはあほなんじゃな。

>>50
外したんじゃなくて客先のスタンドアローンをいきなり接続して
感染したんじゃなかったっけ？まあいいか。
それより記事はブラストDって書いてるね。
でブラストＤってデータ破壊や流失危険ってもともとあったんだっけか。

Dってのが
ほのぼのしちゃうな

>>52
やっぱ太田阿利佐記者が異動して逝ったのが痛かったかも…
http://www.mainichi.co.jp/news/flash/shakai/20031015k0000e040057000c.html

ISS、「MS03-039」の修正パッチでは防げないRPC脆弱性があると指摘
http://internet.watch.impress.co.jp/cda/news/2003/10/15/769.html

バッファオーバーランでは★無い★が、DoSアタックを受ける可能性。

>>54　の脆弱性の…
> 回避策は、ファイアウォールにてUDPポート135/137/138/445
> およびTCPポート135/139/445/593を再度確認し、必要に応じて
> フィルタリングするというもの。
…だそうです。

この脆弱性についてはMSのパッチは未発表。しかしMSのパッチ
全部当てても脆弱性は残るということを前提に自衛するしかない。

>>54のって2003/10/15 20:01の記事でしょ、今日来たupdateで対処されてないのかな？

>>56
今日来たのは全く関係ないアップデート。

★★★　大規模感染警報　レッド・アラート　★★★

メッセンジャーサービス（137-139 RPC / UDP broadcast)に
バッファオーバーランの脆弱性

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp

★★★　大規模感染警報　レッド・アラート　★★★

>>58

http://internet.watch.impress.co.jp/cda/news/2003/10/16/773.html

>>54 DOSアタックか…心配事は無くなりそうにないなｧ

>>58
それよりもMS03-039が忘れ去られそうになってる気が・・・。

>>58-59
諸君、Messengerサービスちゃんと無効にしてあるだろうな？
もいっかい確認しる

コントロールパネル→管理ツール→サービス→Messenger →
プロパティ→スタートアップの種類→無効　（ﾟдﾟ）ｳﾏｰ

使わないサービスは無効、が基本。あとどんなバグが隠れてるか
わかったもんじゃありゃあせんぜ…

★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★

サーバープロセスのバッファオーバーランの脆弱性

メッセンジャーサービス　（port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp

★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★

>>54
たぶんISSがメッセンジャーサービス脆弱性に気づいていたと桃割れ
だからオーバーランもDoSもある＞＞messenger service

XPはSP1にしないとUpdate出来ないというやつはどうなったんだ？
オレまだだけど、Update出来てるよ。

>>65
緊急度の高いセキュリティホールは別なんじゃない？

>>65
俺もSP1にしてないけど、うｐでーとできてるよ。
以前、SP1入れたけど、めっちゃＰＣが不安定になって、XP再インスコするはめになった。

いよいよ携帯のウィルス対策が本格化したきたな。
携帯から家電をコントロールするなんてことが言われてるが、こんな所にブラスターもどきが侵入したら、考えるだに恐ろしい。
『20xx年x月x日 新手のウィルスにより電子レンジが暴走し、100�u全焼』

>>68
そうなの？おれは携帯をもっていないからいいけど、
携帯はある意味でパソコンを超える情報端末だから怖い話だなあ。

　品川区のマンション、ガス爆発で倒壊
　　　　　　　　死傷者多数
またもガス風呂が携帯ウィールスで暴走か？



とかあったら（（（（（（;ﾟДﾟ））））））ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

原発職員が携帯でリモート管理なんて時代は、はっきりいって恐い。
某国がういーるすまきそうだなといってみるテスト。

どうもsvchost.exeエラーが消えないと思って調べたら、DLLHOST.exeがいた。
しかし報告例にあるように \system32\wins ではなく、\system32 に直に
いるのだが削除してもいいのだろうか？ちなみに \system32 には
svchost.exe はいるが SVCHOST.exe はいない。

72つづき

シマンテックのFixWelchia.exe でも検出されなかった。激しく鬱だ。
右クリもコピペもできるし、日常使用に支障ないから放っておこうか。

それは本物です

>>73
バージョン情報を見てみればいいんでない？
正しいファイルなら、2000のやつだけど、

ファイル バージョン : 5.0.2134.1
説明 : Generic Host Process for Win32 Services
著作権 : Copyright (C) Microsoft Corp. 1981-1999

て書いてあると思うし。

>>75はsvchost.exe。

dllhost.exeは、

5.0.2195.6692
COM Surrogate
Copyright (C) Microsoft Corp. 1981-1999

漏れの持ってるNachi本体のサンプルにはバージョン情報が無い。
また、ファイルサイズはシマンテックの情報通りきっかり10KB（10,240bytes）。

>>75

微妙に違うけど本物くさいです。ちなみに6KB

ファイル バージョン : 5.0.2195.6692
説明 : COM Surrogate
著作権 : Copyright (C) Microsoft Corp. 1981-1999

>>77
だからニセモノはwinsディレクトリにあるﾔﾂだって…
それよりそもそもどういうエラーが出てんの？

タスクマネージャのプロセスを覗いて、DLLHOST.EXEが動いていたらWelchia.Worm

未だに区別が付けられ無い人間がここに居るというのは、如何なものか。

　　　　　　　　　　　　｜ ﾊﾟｸｯ
　　　　　　　　　　　／V＼
　　　　　　　　　　/◎;;;,;,,,,ヽ
　　　　　　　＿　ﾑ::::(,,ﾟДﾟ)| ＜漏れは釣られねーぞ!!
　　　　　　ヽﾂ.（ﾉ:::::::::.:::::.:..:|）
　　　　　　　 ヾソ::::::::::::::::: ﾉ
　　　　　　　　 ｀ ー U'"U'

>>78
「svchost.exeを終了します。プログラムをもう一度開始する必要があります。
エラーログを作成しています」
ネット接続後１秒で出ます。でも出ない時も多いです。

>>79
動いてないです。

ちなみに、win2000 SP4でパッチも全てあてていて、シマンテックの
FixBlasterも実施ズミでマカフィーのInternetSecurityも入ってます。
できることはすべて施したつもりですが。

釣りか、天然かは兎も角として、コレ(↓)で完全消去できる。
ttp://www.vector.co.jp/soft/dl/dos/util/se196626.html

>>82
その再現性の低さはなんかハードっぽいﾖｶﾝ。

プロバ、速度、局からの距離（距離がぎりぎりだと落ちやすい）、
保安器（古いタイプがよくトラブルの元になる）、電話ケーブルの引回し
（電灯線が交差してたり電子レンジの裏通ってたり）LANケーブル
（接触不良、断線しかかり）、LANカード（ハード不良）、ブリッジで
つないでるホーム電話の相性、とかそういう原因でも接続は切れる。
（どういう場合にsvchostエラーと表示されるかはﾜｶﾗﾝが…）

>>84
今日も出ますたよ、接続後１秒で。でも、接続が切れるわけじゃないんです。
動作自体はいたって良好です。Ｂｌａｓｔｅｒの諸症状もありませんし。

Nachiは感染してもブラスター特有のカウントダウン後再起動という症状は出ない罠。
まぁ、オリジナルに感染しても出ないときは出ないけど。

>>86
うちの会社でも、8月末に12台感染したが、感染した本人はまったく気がついていなかったよ。
LANが重いのでパケットをモニタしたら、ICMPが激しく飛び交っていたので、IPから、マシンを
特定できたが・・・。

>>84

http://support.microsoft.com/default.aspx?scid=kb;ja;319161

どうもこれくさい気がしてきました。
となると激しく板違いなのだが。

警察庁、TCP445番ポートに対するトラフィック増加を警告
http://internet.watch.impress.co.jp/cda/news/2003/10/20/794.html

>>87
アンチウィルスベンダーで、攻撃の対象範囲が解説されていて、
そのターゲットの IP アドレスが該当したので、妙に納得。（ｗ

>>89
ｷﾀｰｰｰ!?

Windrv.exeの形を取る亜種があるのか？
この名前で再起動の症状を現すものがあったんだが。

Ｋサツの監視範囲って、偏っているような気がするんだけど…
TCP 139 は、まぁ ありがちだけど、TCP 445 は ねぇ。
Ｋ内ネット監視の結果だったりして。（ｗ

一方、某社で １万台以上がパッチあててないという結果があって、
調査担当が “どーしたもんか？” と思案町…

>>92
http://www.google.com/search?num=100&hl=ja&ie=EUC-JP&q=Windrv.exe

>>94
MS03-039の脆弱性を利用したやつが現れないと思っていたら、
密かに現れてたのね・・・。

WORM_AGOBOT.H
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.H&VSect=T

tcp/135を何回か叩いた後にtcp/445を何回か叩くっていう
新しいパターンがファイヤーウォールのログにいくつか残ってるんだけど、
こいつのせいなのかな。

10/22 某社で妙なところの２台から TCP139 で たてつづけに３回ｱﾀｯｸがあった。
「なにやってんだぁ？」と、PFW 全部オーライにしてチェックしてみると、
例の修正パッチは適用している。　なんだろね（ｗ

>>97
修正パッチは適用してても、駆除はしてないといってみるテスト。

対策 or 駆除してない奴って、やっぱり大勢いるんだな。
ここのところものすごいよ。
ログに数時間でズラ〜ッと。
香港とか、カナダとか、j-comとか。
これじゃ広まって当然だ。

今日は攻撃が少ないな。＆100

ルータのログみると今日はよく1000番台突付かれてるけどなんかあるのかなぁ

>>101
http://www.isskk.co.jp/SOC_report.html
メッセンジャサービスが1024-1100番とか。

ttp://itpro.nikkeibp.co.jp/free/NC/NEWS/20031022/135801/
日本郵政公社でまたウイルス感染，未対策のパソコンが原因か

　日本郵政公社のパソコンがブラスター・ウイルスの亜種「ナチ」に感染した。感染したのは、北陸支社
管内の郵便局にあるパソコンと見られるが、場所や台数は不明。感染の拡大を防ぐために北陸支社
管内のパソコンをネットワークから切り離したため、北陸支社管内の郵便局で小包や書留の配送状況
を追跡するサービスが提供できない影響が出ている。

　同公社システム部によると、ウイルス感染がわかったのは10月21日昼すぎ。ウイルス対策ソフトを導
入してある金沢中央郵便局のパソコンから、「ウイルスを検出した」とのアラートが上がった。続いて、
福井県や石川県の局のパソコンからも同様のアラートが上がった。これを受けて北陸支社管内
（富山、石川、福井の3県）で800郵便局につながるネットワークを公社のWANから切り離した。

　日本郵政公社は8月にもパソコンが「ブラスター」と「ウェルチ」に感染したばかり（関連記事）。これを
受けて、順次パソコンにウイルス対策ソフトを導入し、Windowsを最新版にする対策を進めていた。
しかしこの作業はまだ完了しておらず、今回の感染源は未対策のパソコンが原因と見られている。


＃うーむ、郵政公社のパソには、容易に侵入することが可能なのな
侵入＞ファイル作成＞ウィルス検出＞ウィルス名判明

102 サンクス
まぁupdateしてあるし、ポート閉じてあるし、なによりメッセンジャー使う相手もいないし。

>>104
MSN とか Windows Messenger(メッセンジャー) ≠ Messenger Service

大学内でping数とかポート135へのアクセス数チェックしている方
いらっしゃいませんか？
うちの大学ではまだ日中には20回/時間程度のpingが飛び交っているんですが、
これって普通なんでしょうか。(クラスBです)

Blasterオリジナルは海外が多いね。

うん、日本は Nachi が潜在化しているので、Blaster が弾かれているし、
たとへ Blaster に感染したとしても、秒殺で Nachi に入れ替えられている。

もはや Nachi は国民病です。
Blaster 系の感染性質からも、海外 IP に感染する確率は低いとおもわれ。

>>106
少ない方じゃないですか、
うちはノーファイアーウォール（政治的にFW導入は無理なんや）
の固定グローバルIPなんで、もうそれはすごいですわ。

大事な部分だけFW装置とDHCPプライベートIPで守っています。

追補：「守っている」というのはウイルス感染からじゃないですよ。
目的は、ワームの吐き出すパケットによるトラフィック輻湊から
くるネットワークの速度低下を防ぐためです。

これしてないと、きみじかいアプリはタイムアウト続出で、仕事にならない。

>>102
SQL slammer　や　nimda　がまだ流行ってるのね

★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★

サーバープロセスのバッファオーバーランの脆弱性

メッセンジャーサービス　（port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp

★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★

>>111
code blue (code red の亜種)ですら

>>112
ZDNetでさっそく煽ってるけど、果たしてどうなることやら。

MSBlast級ワーム登場の恐れ
http://www.zdnet.co.jp/enterprise/0310/24/epn06.html

流行ると仕事が増えるけど盆の時のような事態は勘弁ですな

>>109

ちなみにうちは学外からのpingはFWで蹴られてしまうのでpingは
すべて学内の感染した端末からのものです。
未だにこんなにNachiが流行しているのはうちの大学があれだから
なのかと思ってしまったもので。。。(いわゆる駅弁大学です。)

>>116
うちは、汚染エリアにいるPCは放置しています。
いくら駆除やパッチ宛を励行しても、
当人にその意志がまったくない人が多くて、
対策はあきらめています。

来年になれば消滅するわけですから、ほっとくに限ります。
安全エリアをぎっちりガードして業務は支障なく行っています。

追補：安全エリア内に感染PCを発見した場合、
厳重に対策しています。持ち込みも厳禁。
ただちに駆除隊員が出動し、始末しています。
悪質なケースでは接続口を閉鎖しています。

うちは昨日の夜あたりからpingが急増してますが
なにかあったんでしょうか？
おまえらはおかわりないですか？

通常落ち込む夜明け付近の数がまったく落てない。
http://homepage3.nifty.com/hora/img-box/img20031024233740.gif
http://homepage3.nifty.com/hora/img-box/img20031024233910.gif
単にどっかのフィルタが外れただけかなあ

MRTGをそのまま使ったんで単位が変ですが、アタック／５分です。

>>119
IP変わると、飛んでくる量も全然変わる

>>120
そうだよね。
下手すると毎分100単位でpingが飛んでくる。
そんな時は接続しなおし。

スキャンウザイからpingやったんやけど

ここ一週間ＰＩＮＧがなかったが昨日からまた来始めました。自分のＰＣはケーブルのＬＡＮ内で繋がってます

>>123
今年一杯は収まらないと思う。

迷惑なんだよなぁ、スピードが落ちちゃって。

>>121
おれんとこもそう。特定のアドレスに当たるとルーターが常時点滅してる。

　icmpのecho requestはpingではない事に早く気付けよ

>>127
それでは何でつか？

>>127
ぷっ。（顔文字省略）

お前、真正のアフォだろ？
ping ICMP echo request でぐぐってみろ、知ったか厨

438 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：03/10/26 22:36
>>437
高にしてたらポップアップうるさかった。
つーかOS98だからﾌﾞﾗｽﾀ関係なかったし。




ま、これはこれで正しい認識だが……
ウイルスバスタースレより。

マスコミもブラスターよりタチが悪いことを知らせて欲しいですね

>>127
初心者をまどわすようなカキコすんじゃない。
ICMPのecho requestのことをpingということに早く気づけよ。

>>132
読んで理解できないものには惑わされようがない。

それもそうだったｗ

「pingが飛んでくる」は素人くさい言い方だといいたかったんじゃないのか?
pingはICMP echoを飛ばすプログラムだ。

>>135
echo requestパケットのことをpingというの。
だからぐぐってみれ、とゆーてるの。

pingというのはもともと潜水艦が出すピーンという「探信音」から
来てるの。探信音を出す機械はpingとはいわん。ソナーという。

生はんかな知ったかは恥の元

http://www.ietf.org/rfc/rfc792.txtのどこにそんなこと書いてある?

>>137
お前やっぱり>>127だろ。こういうアフォが同時に二人もいるというのは
確率的に考えにくいからな。pingはecho requestの通称だよ。RFCなんか
持ち出してきて真正のバカだな、お前。

ping ICMP echo request　でぐぐって出てきたタイトルを報告してみろや

>>137
RFC（規格）とコンピュータ用語辞典の区別がついてない…

>>137 = >>127
ここまで念入りに恥かいたら普通生きていけないべ

早朝から笑わしてくれるなよ(w
今朝の話のネタはこれに決定だな

>>127　>>135　>>137
あーあ、RFCなんか素手で触っちゃって、しーらね。ＲＦＣ触った手でチ●ポいじると
腐って落ちるんだぞー。便所掃除液を３倍に薄めたのでよーく洗っとけよ。

犬が水に落ちると、俄然元気出す香具師が増えるなぁ。オレも同じ穴の狢だが

★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★

サーバープロセスのバッファオーバーランの脆弱性

メッセンジャーサービス　（port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp

★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★

>>127
彗星のように現れて彗星のように消えて逝った>>127に( ^_^)/□☆□＼(^_^ )カンパーイ!

>>127　( ^_^)/□☆□＼(^_^ )カンパーイ!



…しかしくだらんことで盛り上がってしまった。反省…

　自分の間違いを指摘されると逆ギレする馬鹿が大勢居る模様

>>147
echo requestはpingしかないと思ってる奴、大杉。

異世界からの訪問者『 127.0.0.1 』
http://pc.2ch.net/test/read.cgi/sec/1064122787/120-125

虎ひっく

>>148
echo request は　pingと通称される。以上。

何か言いたいことがあれば最後までちゃんと書け。
でないと>>127と間違えられるぞ。

全言語のページからping ICMP echo requestを検索しました。 約48,800件中1 - 10件目 ・検索にかかった時間0.17秒
HP MPE/iX with ICMP Echo Request (ping) Vulnerability
ciac.llnl.gov/ciac/bulletins/h-42a.shtml - 9k - 2003年10月25日 - キャッシュ - 関連ページ
ICMP Echo-request (Ping)
www.shorewall.net/ping.html - 8k - キャッシュ - 関連ページ
MPE/iX Sec. Vulnerability with ICMP Echo Request (ping) (revised ...
pintday.org/advisories/vendor/hp/hpsbmp9703-004.html - 7k - キャッシュ - 関連ページ
[UCLA-LUG] Fur Herrn Robert Graham: ICMP Echo Request ('Ping')) ...
linux.ucla.edu/pipermail/linux/ 2002-September/007546.html - 6k - キャッシュ - 関連ページ
Bugtraq: MPE/iX Sec. Vulnerability with ICMP Echo Request (ping)
lists.insecure.org/lists/bugtraq/1997/Jul/0044.html - 19k - キャッシュ - 関連ページ
JTC 017 Ping Flood (ICMP Echo) Detection
advanced.comms.agilent.com/routertester/ member/journal/JTC_017.html - 15k - キャッシュ - 関連ページ
[PDF] PING(8) sping 1.1 PING(8) ping ? send ICMP ECHO request packets ...
www.mirrors.wiretapped.net/security/ network-monitoring/sping/ping.pdf - 関連ページ

カンパイするのは早まったか？
>>127
>>152　検索にかかった時間0.17秒
0.17秒でわかることが半日たってもﾜｹﾜｶﾗﾝらしい気配がする…

ICMP Echo Relayって、Pongとは呼ばないのかね。

む、間違えた。RelayじゃなくてReply。

>>155
Replayかもよ。

>>154
あまりポピュラーではないがそう呼ばれることはある。ぐぐればすぐ出てくるぞ

Re: What Port Does Ping Use?
... ICMP uses -types-, in other words the host sends > an ICMP packet with type 'n' or recieves an
ICMP > packet with type 'n'. > ICMP type 8 is an echo-request (ping). > ICMP type 0 is an echo-reply
(pong).
lists.debian.org/debian-user/1999/ debian-user-199911/msg01434.html - 7k - キャッシュ - 関連ページ

>>147
どのカキコが馬鹿でどのカキコが間違いなのかアンカー
入れないとお前が>>127かと誤解されるぞ。

馬鹿どもを晒しage

>>157
なるほど。
呼ぶ奴は呼ぶ、って程度ですかね。
�dｸｽ

>>156
ヽ(`Д´)ﾉ

>>158
∧＿∧
( ´･ω･)
( つ旦O
と＿)＿)

>>159
ヽ(`Д´)ﾉ

>>154
普通にPongですが？

>>161
俺なんかPengだぜ、この件についてようど↓

焼きそばはpeyang

http://info.astrian.net/jargon/terms/p/ping.html
権威有るJargon fileによるとICMP echoをpingと呼ぶのはslang=厨房用語とされているわけだ。
厨房どもわかったか?

と、イカ野郎が申しております。

http://www.atmarkit.co.jp/fnetwork/netcom/traceroute/traceroute.html

echo request / reply は traceroute (tracert)にも使われている

>>164
JargonはJargonだろ？
一般人に押し付けるのはどうかと思うが。
そんなことは粘着質のオタがやることだ。

>>167
お前が使うのは勝手だが、厨房用語を>>136のように押し付けるのはやめろ。

>>168
バカ？

かば　ちんどんや

↓の母ちゃん　ご懐妊

厨房用語は使うなと、厨房が「厨房」なんてslangを用いて、電波を発しております。

余計な知ったかして、恥かいちゃったね。
でも所詮2chの名無しなんだから、リアルで「ping飛んできた」などと発言して恥かかないように気をつけたまえ。

もう次スレは要らないな。

>>164　他
The Jargon Dictionaryはなかなか面白い軽い読み物だ。　
（別に「権威」を目指しているわけじゃないｗ　当たり前だろ）
http://info.astrian.net/jargon/
そこのpingの説明
http://info.astrian.net/jargon/terms/p/ping.html　
ping [from the submariners' term for a sonar pulse] 1. n. Slang term for a
small network message (ICMP ECHO) sent by a computer to check for
the presence and alertness of another.

The Jargon Dictionary を引用しながらそのslang jargon techspeakの定義
さえ読んでないのは困りもの
http://info.astrian.net/jargon/Introduction/Of_Slang_Jargon_and_Techspeak.html
`slang': informal language from mainstream English or non-technical subcultures
(bikers, rock fans, surfers, etc).
`jargon': without qualifier, denotes informal `slangy' language peculiar to or
predominantly found among hackers -- the subject of this lexicon.
`techspeak': the formal technical vocabulary of programming, computer science,
electronics, and other fields connected to hacking.

それから「権威」とか好きなら、オンライン辞書ではもっとも権威あるアメリカン
ヘリテージ辞書のslangの定義
NOUN:1. A kind of language occurring chiefly in casual and playful speech,
made up typically of short-lived coinages and figures of speech that are deliberately
used in place of standard terms for added raciness, humor, irreverence, or other
effect. 2. Language peculiar to a group; argot or jargon: thieves' slang.

中学２年生程度の英語力と田舎の高校１年パソコンクラブ員程度のコンピュータ
知識で英文資料を引用するのは無理。　あとで解説してやるが、その前に多少は自分
でも努力しないとな。英辞郎http://www.alc.co.jp/　とか使ってまず上の英文を読む
努力してみ。

>>166
そのとおり。ping(echo request)が利用される場面のひとつ。
WindowsのTracertコマンドはping（echo request）を連続的に打って
経路情報を調べる。UNIXのTracerouteコマンドではUDPパケットが
デフォだが、ping(echo request)を使うこともできる。

俺もPingのように明日に向かって飛んで行きたい。

>>175
> `slang': informal language from mainstream English or non-technical subcultures (bikers, rock fans, surfers, etc).
を君達向けにわかりやすく厨房用語と訳してあげたわけだが。引用している部分だけでなく前文も読む事をすすめる。

>それから「権威」とか好きなら、
権威が好きなわけじゃなくて、ぐぐってヒットすること==正しい用法と思ってる、お前たちが哀れすぎるんでな。

>オンライン辞書ではもっとも権威あるアメリカンヘリテージ辞書のslangの定義
アホか? jargon fileではslangを厨房用語と定義して使うとしてるのを、他の定義持ってきてどうしようというんだ?

>>127　>>135
ping=ICMP echo requestパケットなんだが、127（じゃないアフォも含む）はどういう
理由か不明だが、どこかで「ping=pingコマンド」と思い込んだんだな。pingコマンドを
pingと省略して呼ぶことはあるからそこまではよかったが、pingコマンドが発行する
パケットはpingではないと妄想してしまったのは恥ずかしかった。

シャネラーが持ってるカバンだからシャネルなんじゃなくて、シャネルを持ってる女が
シャネラーなのｗ

間違いは誰でもあるが、あまりアフォな粘着すると>>142のように罵倒されるのも仕方
ない。

>>152
その中でICMP echoパケットをpingというと書いてあるページをカウントしてみな。

Jargon Fileでは、「ICMP echoパケット」を表すためにpingを使う用法はslangとして分類されてる。
Jargon Fileでのslangの定義はhttp://info.astrian.net/jargon/Introduction/Of_Slang_Jargon_and_Techspeak.html
リアルで恥かきたくない奴は、自分で判断することだ。

所詮定義の問題だし、アホが恥かこうが知ったこっちゃないんで、そろそろ消えるわ。

では約束だから>>175を解説しておこう

The Jargon Dictionaryのpingの説明
ping　[潜水艦乗りのソナーのパルスを指す用語から]あるコンピュータから
他のコンピュータにその存在や反応を確認するために送信される小さいネット
ワーク・メッセージ（ICMP ECHO）を指すスラング

同サイトのslang jargon techspeakの定義
スラング'：一般英語または非技術的なサブカルチャー（バイカー、ロックファン、
サーファー）などの間で使われるインフォーマルな言葉
ジャーゴン：特にことわらない場合、スラングっぽいインフォーマルな言葉で特に
ハッカーの間で使われるもの―この用語集の対象
テックスピーク：プログラミング、コンピュータ科学、エレクトロニクス、その他
ハッキングに関連ある分野で使用されるフォーマルな用語

アメリカンヘリテージ辞書のslangの定義
名詞：１　主にカジュアルないしふざけた会話で使われる言葉。多くは短命な造語で
ユーモア、ナンセンス、薬味を効かせるなどの目的で通常の言葉のかわりにわざと
使われる。２　特定のグループ内で使われる言葉。argo jargon （を見よ）　thieves'
slang盗賊の隠語

以上のように、Tha Jargon Dictionaryではハッカー特有のスラングをjargonと
呼ぶとしている。pingをjargonでなくスラングとしたのはハッカー用語というには
あまりに一般的なコンピュータ用語だからだろう。いずれにせよこの定義によれば
jargonはslangの一部。

スラングの英語での意味はあくまでインフォーマル、カジュアルな言葉ということ。
背広がフォーマルなのに対してTシャツやジーンズのような言葉。スラングを使うな
というのはTシャツ着るなというのと同じでナンセンス。スラング＝下品というのは
一部の日本人の誤解。（下品だから使っていかんということにもならないがｗ）

英語が読めないで英語の資料を引用するのは無謀と言っただろう。The Jargon
Dictionary なんか引用するのは自滅。pingの定義は、>>136と潜水艦のソナー
の語源の説明までまったく同じ。ことわっとくが、別にこの項目を訳したわけでは
ないｗ　　単なる常識ということ。

>>181
自分で英語ソース持ち出す→持ち出したソースの英語が読めない→
他人に訳されてしまう→その英語資料に裏切られる→がーん…→
一生消えない恥→消えていく→哀れな話だなー

>>182-184
どっちでもいいが、高卒程度で理解できる英語を必死になって訳した上に、上げて自作自演まで...
お前暑苦しいよ。

と、イカ座衛門が負け惜しみを言っています。

>>185
初歩の英語も理解できず、自分の嘘をまっこうから否定しているソースを
貼り付けてオウンゴールしてしまったのはｵｵﾜﾗｲ。セキュ板をなめるな、
ということだな。

全ては>>127の一言から始まった

>>187
まあ、餅つけ！　嘘を否定したら真になっちまうべ

なんか俺、>>127がちょっと可哀想になってきたｗ

ビッグカツ食って百件落着だな。

ここはﾋﾟﾝﾋﾟﾝなインターネットですね。

相変わらず肥溜め臭いｽﾚですね！

Ping Po--------ng！！

このところ、社内ネットワークで、TCP port:138　TCP port:139　のアクセスが
ある遠方の特定のところの複数のマシンから来ている。（今日も　TCP port:139　あり）
いちおう、KB824146Scan.exe と nbtstat および「検索システム」のクロスオーバー検索で、
該当部署と該当者らをつきとめたが。

Blaster とも Nachi とも違うようだけど、何だと思う？

>>195
きっとpingだろ。

>>195
NetBIOSのゴミじゃないのか？

>>197
ゴミの可能性はあるが、「特定のところの複数のマシン」ってことが臭い。Mumu かな？

ルータによってpingがTCPやUDPに替わるってことある？
最近ルータを替えたんだけど、pingがログに残らなくなって
TCPとUDPだらけになってもうた。

この間までpingのアラシだったのに。(´･ω･｀)

>>199
単にICMP2048をログらない設定になってるのでは？
機種は？

何故、Pingを熱く語り合っているの？
セキュ板で語る程の物なの？
いつまで経っても、'Hello world' なの？

>>201
お前どっか抜けてるってよく言われるだろ？

>>195
NetBIOSで共有ドライブを探しているということは、ゴミでなければ
Nimda系の生き残りかな？

>>195

既出のワームやウィルスなら、スキャン掛ければたいてい検出できるでしょ。

>199を「pingのアザラシ」と読んでしまった。。。

(´･ω･｀) 　←きっとこれのせいだ。

>>204
自分が鳥取支社の経理部員兼システム担当で探知したマシンが
東京本社の役員のだったらどうよ。

小遣いせびる

アザラシを送りつける

　　き　さ　ま　ら　p　i　n　g　と　言　う　言　葉　一　つ　で　ど　う　し　て　こ　ん　な　に　暑　く　語　れ　る　ン　だ？　

>>209
これで貴様も晴れて仲間入りだな。ｗ

>>200
BAR SW-4P Pro から BA8000Pro に乗り換えました。
ICMP は無視する仕様なのかな。(´･ω･｀)

<<127
もしも、あの「 127 」が
「最近増えてきたicmpのecho requestは、単なるpingではない事に早く気付けよ」
と、言いたかったのならば、、、。

新種「W32/Welchi」ワームは、ランダムなIPアドレスに対して Ping を発信し、応答があったIPアドレスの 135/TCP に接続する。
この板に関しては、
「W32/MSBlaster」ワームは、TCP 135 番ポートを通じて、セキュリティ脆弱性を攻略し、msblast.exe という名のファイルをダウンロードし、実行を試みる。

>>212
<<127
ﾜﾗﾀ

で、何が言いたいの？

>>127
>>213
つまり「単なるpingではない」から、
PINGがきて
詳細: ルール「デフォルトアウトバウンド ICMP」が 218.42.209.51、0 を許可しました
メッセージタイプは「Echo Reply」
こうなって、そして
詳細: 218.42.209.51、dcom(135) を許可しました。
かくして、
「W32/Welchi」ワームが広がっていくと、言いたかったのかも
しれんと書いてみたかったのだ。

------------------------------------
　　　　　　　FAQは>>19-24
------------------------------------

----------------------------------------
　　　　　　　FAQは　>>19　から　>>24　まで
----------------------------------------
このほうが見やすいだろう。

>>216
>>215 の方がいいと思います。

漏れはOpenJaneDoeだが、>>216のほうがいい。>>215の
ように多数のレス番を参照されると、いきなり巨大なレス
内容のポップアップが出てデスクトップが見えなくなって
ちょっとうざい。

>>218

>>1-218

いけずやわぁ！

----------------------------------------
　　　　　　　FAQは　>>19,20,21,22,23,24
----------------------------------------

ちうか、次スレいるの？

--------------------------------------------------
　　　　　　　FAQは　>>19,>>20,>>21,>>22,>>23,>>24
--------------------------------------------------

このスレはFAQを指し示すスレになりました。

faqテンプレートチャンピオン選手権開催中。

こんな張り紙をハブの近辺、空きLANケーブルやサーバーの付近に貼ってみたよ

【ウィルス対策のための禁止事項】
・ 現在の社内にあるパソコン以外のパソコンを、管理者の承認無く、社内LANに接続しないこと
・ インターネットには、現在の社内LANから接続する方法以外の方法で接続しないこと（AirH"などで直接接続など）
【実際に官公庁等でのウィルス感染事故の報道がありました】
詳細は管理者まで

ご苦労様っす。大変ですね。
でも表現が弱くねえすか？あるいは直感的じゃねえというか。

こいつ↓がいい見本書いてくれるさ。

いやいやご謙遜。告知させて↑の右に出るものないというじゃありませんか。

>>227
まかせたぞ！

>>223
おお、これは意外に（･∀･)ｲｲ!

>>226
貼る場所は決っているんだよね。ほんじゃあでっかく。

【許可を取りましたか！】
・管理者誰某に許可を取らない限り、何も差し込んではいけません！
・管理者誰某に許可を取らない限り、何も持ち出してはいけません！

　　管理者誰某に許可を取らない限り、
　　社内ネットワークへの接続台数を増やしてはいけないのです！！

・無断で接続し、システムをダウンさせ、業務に支障を生じたら、困るのは……















俺なんです。

>>226
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

　　　　　　　　　MSブラスタ延焼中。無断LAN接続厳禁

　現在接続されている以外のパソコンを★絶対に★社内LANに接続
しないでください。
　マスコミですでに報道されているとおり、官公庁･企業等で、無断で接続した
パソコンのため社内LANがMSブラスタ（別名Welchia, Nachi）などのウィールス
に感染し、日常業務が停止するなど重大な支障をきたした例が多発しています。
　業務上どうしても接続が必要な場合は管理者まで申し出てください。連絡先：

|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||


あと、「火の用心」の札をスキャナで読んでカットに貼る。

||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

　　　　　　　　　MSブラスタ延焼中。無断LAN接続厳禁

　現在接続されている以外のパソコンを★絶対に★社内LANに接続
しないでください。
　マスコミですでに報道されているとおり、官公庁･企業等で、無断で接続した
パソコンのため社内LANがMSブラスタ（別名Welchia, Nachi）などのウィールス
に感染し、日常業務が停止するなど重大な支障をきたした例が多発しています。
　業務上どうしても接続が必要な場合は管理者まで申し出てください。連絡先：

＊　無断接続し損害を及ぼした者は、200万円以下の罰金、もしくは、5年以下の懲役に処す。
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

こんな事書いて貼り付けるより、自分の肛門をドアップで撮影して
それを貼った方がよっぽど効果あるな。
そこのモーホー野郎↓もそう思うだろ？

バックゲートに極太の栓をした画像ｷﾎﾞﾝﾇ

　　　∧∧
　　 (ﾟ∀ﾟ= )　　
　 （⊃⌒*⌒⊂)
　　/__ノωヽ__）

↑に栓（プラグ）はめました。　ああああー、なんてポルノなの。。。！

　　　∧∧
　　 (ﾟ∀ﾟ= )　　
　 （⊃⌒0⌒⊂)
　　/__ノωヽ__）

↑よい子はまねしちゃダメ！

こいつには敵わんだろ。
http://deimos.siliconsamurai.net/stuff/

------------------------------------------------------------
　　　　　　　FAQは　>>19,>>20,>>21,>>22,>>23,>>24 ですか？
------------------------------------------------------------

　　　　　　　＿　, ― ､
　 　 　　,−'　　｀　 　　 ￣ヽ_
　 　 　,'　　　　　　　　　　　　ヽ
　 　　(　　　　　　　　　　　 　　）
　 　 （　 　　 ノ｀ｰ'ｰ'ヽ　　　　　）
　 　 （　 　 ﾉ●　　●（　　　　　)
　 　　 (　　 〉 -――-(　 　　　 ）＿　 _
　 　 　 ｀ｰ'ｌ 　● 　 　（　 　 ノ　 　　ヽ )
　　　　　　 ､‘ｰ'ー’ _ノ｀ー'　　　　　　|
　　　　　　　 ￣|￣　　　　　　　　　 　|
　　　　　　 　　/　　/7　　/￣￣/ 　 /
　　　　　　 　　｀ー´ ｀ー ´　　　｀―´

>>242
テディベアカットのAA頼みます

ほしゅ

ネタスレになっちまったな。ここも。

>>242
おまいのﾚｽにはがっかりだよ。

平和でいいわけだが。しかし来年の１月１日に何が起きるのか不吉な余寒が…
漏れん家は帰る田舎ないから、なんかあったら速攻で緊急召集喰う。海外旅行
でも予約しとくかなー。

保守

>>246
そっちは、３月か４月の陽気なんだ。オーストラリア辺りから、ここ見てる悪寒。

今日はping攻撃すごいね！

この週末また増えたような気がするよ

＞今日はping攻撃すごいね！

ﾏﾀﾞﾊﾞｶｶﾞｲﾙﾖ…

>>250
生粋のバカﾊｹｰﾝw

つまり、バカしか居ないのか……。

>>252
ﾜﾛﾀ

>>250　ﾂﾏﾝﾈ

核心を突かれて逆ギレしている馬鹿が大勢いる模様

>>257
うっさいﾃﾞﾌﾞ

257：　ﾃﾞﾌﾞにﾃﾞﾌﾞゆわれる筋合いはねぇ、ﾏﾙﾁﾃﾞﾌﾞ！

　　　　　　　＿　, ― ､
　 　 　　,−'　　｀　 　　 ￣ヽ_
　 　 　,'　　　　　　　　　　　　ヽ
　 　　(　　　　　　　　　　　 　　）
　 　 （　 　　 ノ｀ｰ'ｰ'ヽ　　　　　）
　 　 （　 　 ﾉ●　　●（　　　　　)
　 　　 (　　 〉 -――-(　 　　　 ）＿　 _
　 　 　 ｀ｰ'ｌ 　● 　 　（　 　 ノ　 　　ヽ )
　　　　　　 ､‘ｰ'ー’ _ノ｀ー'　　　　　　|
　　　　　　　 ￣|￣　　　　　　　　　 　|
　　　　　　 　　/　　/7　　/￣￣/ 　 /
　　　　　　 　　｀ー´ ｀ー ´　　　｀―

-------------------------------------------------------
　　　　　　　FAQは　>>19,>>20,>>21,>>22,>>23,>>24
-------------------------------------------------------

>>259

乙

>>259
小津

腹減った、彼ーくいたい。

小中３１校　パソコン“集団感染”
http://www.yomiuri.co.jp/net/news/20031031ij51.htm

フロッピーで「ウェルチア」に感染するのか？

>>263
ばかじゃねぇの？
持ち込んだパソコンが感染してて、それをLANに接続しちまったに決まってるジャン。

>>264
口汚い人だね。

>>265
この記事の市教委に言ったつもりなんですが？

あのぉ・・・今更このウィルスひっかかっちゃって、とりあえず
タスクマネージャーつかって駆除してノートンでしのいでるんです
が、ウィンドウズのＣＤＲＯＭってもう、店頭にないですかね？
なんか１０月末まででしたよね・・・。４８０円ださないと無理かな。
ＡＤＳＬとかじゃないんで、ダウソは無理ですた。

>>267
アップデートはできたらしておいたほうがいいに決まってるが、それでWinの
セキュ穴が全部なくなるわけではない。MSBlast系各種ウィールスに関しては
>>24参考にしてDCOM無効にしとけばとりあえずOK。XPの場合も同じ手順
でよい。>>20で紹介されているDCOMBobulatorは便利。

その他FAQ読んでファイアウォール、アンチウィールス、アンチスパイで自衛。

>>266
そうなの。ちょっと勘違い。その点はご容赦。それにしても、ばっかじゃねえは少し。

>>269
２ちゃんで何を今更（(´ﾟc_,ﾟ` ) ﾌﾟｯ

>>267
>>1-30

　　　　　　　＿　, ― ､
　 　 　　,−'　　｀　 　　 ￣ヽ_
　 　 　,'　　　　　　　　　　　　ヽ
　 　　(　　　　　　　　　　　 　　）
　 　 （　 　　 ノ｀ｰ'ｰ'ヽ　　　　　）
　 　 （　 　 ﾉ●　　●（　　　　　)
　 　　 (　　 〉 -――-(　 　　　 ）＿　 _
　 　 　 ｀ｰ'ｌ 　● 　 　（　 　 ノ　 　　ヽ )
　　　　　　 ､‘ｰ'ー’ _ノ｀ー'　　　　　　|
　　　　　　　 ￣|￣　　　　　　　　　 　|
　　　　　　 　　/　　/7　　/￣￣/ 　 /
　　　　　　 　　｀ー´ ｀ー ´　　　｀―

>>272
だからテディベアカットのｶﾜｲｲのにしてちょ。それｶﾜｲｸﾅｲ。

>>273　おまえが貼れ！

ウム、確かに不細工じゃ。

>>263
「レッドロフ」「ラブレター」

今どき流行らねぇよカス＞教委

http://snow.prohosting.com/momaa/
かわいそうな人ｗ

　　　　　　　＿　, ― ､
　 　 　　,−'　　｀　 　　 ￣ヽ_
　 　 　,'　　　　　　　　　　　　ヽ
　 　　(　　　　　　　　　　　 　　）
　 　 （　 　　 ノ｀ｰ'ｰ'ヽ　　　　　）
　 　 （　 　 ﾉ★　　☆（　　　　　)
　 　　 (　　 〉 -――-(　 　　　 ）＿　 _
　 　 　 ｀ｰ'ｌ 　● 　 　（　 　 ノ　 　　ヽ )
　　　　　　 ､‘ｰ'ー’ _ノ｀ー'　　　　　　|
　　　　　　　 ￣|￣　　　　　　　　　 　|
　　　　　　 　　/　　/7　　/￣￣/ 　 /
　　　　　　 　　｀ー´ ｀ー ´　　　｀―

サービスパックはＣＤＲＯＭからインストールできたけど、その他の
アップデートはやっぱりＡＤＳＬとかじゃないと無理なのかな。
このウィルスってネット遮断する他になんかマズイことはあるんでしょうか？

>>279
まずいこと：他のPCに感染さしてまずー＆「他のPC」を探してインターネット
全体を重くしてまずー（企業などのLANでは仕事にならない場合もあるほど）
アップデート：WindowsUpdateのことなら、こまめにすればADSL等でなくてもOK
ISDNでもいけてる。

つーか難民ならしょうがないけどADSLか光は無理なのか？
アナログの場合であってもWindows Updateはやらんとマナーを問われる時代
になったと思うよ。

>>266
市教委もだけど、その記事を書いた記者にもね

>>276
http://www.isskk.co.jp/SOC_report.html

トレンドが「ミメイルC流行ってますよん」とかメール送ってよこしたが、
………………………………………………………………………………………
◇◇【目に見える特徴/ミメイルC】
………………………………………………………………………………………
■電子メールのタイトルが、「Re[2]: our private photos ….」ではじまって
　います。
■差出人のメールアドレスを詐称し、「james@……」で始まる偽のアドレスに
　なっています。
■添付ファイルの名称が「photos.zip」になっています。

こんなアフォ満開のメールでホントに流行なんかさせられんのかよ？
トレンドの宣伝じゃないかねー？

ちがった、トレンドじゃなくてシマンテックのメールだった。スマソ。
やはりシマンテックは宣伝うざい。

http://headlines.yahoo.co.jp/hl?a=20031105-00000004-cnet-sci
誰か捕まえて！

>>284
生死を問わず…ビル・ゲイツ

のAAきぼん。

最近、質問スレで藪パソの出現率高いよね。
ここは、落ち着くな♪
ageだと、藪が来るのでsage進行

最近薮駆除人さん（？）が出現して薮を禿とっちめるので薮があせって
弁解屁理屈レスをつけるので目立つようになったと思われ…sage

いま突然ICMP2048がめちゃ増えたが…当方YBB

ICMP2048って（苦笑

すいません、ICMP2048下さい。

DLLHOST.EXEとteekids.exeとmslugh.exeにやられてるようなのですが、
通常起動させてタスクマネージャーでみると出てくるし、ネットに繋ぐ
前に削除してノートン起動、ＤＣＯＭｂｏｂもやってみてるのですが、
ここで紹介されてるようにセーフモードで起動するとタクスマネージャー
にはウィルス名が出てきません・・。

きっと私の知識不足で何か勘違いしてるんでしょうけど、完全に削除する方法
をもうちょっと解りやすく教えていただけないでしょうか？
何度削除しても再感染してしまいます。ＸＰなんでファイアーウォールの設定も
しました。svchost.exeっていうのは小文字で４つあります。
サービスパックは入れて、現在アップデートはちょっとづつ（現在８０％）で、
アップデートできたら解決するでしょうか？

>>291

＞DLLHOST.EXEとteekids.exeとmslugh.exeにやられてるようなのですが、

そう判断した根拠は？

>>291
レス診た限り、それは感染していない。
完全に削除するなら、回復コンソールからデリートする方法もある。
結果、OSが使い物にならなくなるけどね。
NAVで検出されたのかい？
検出もされていないのに勘違いで騒いでいるなら死んだ方がいいよ。

25万＄か。せこいと思ったら、総額500万＄なのねん。

>>292
普通に起動すると、DLLHOST.EXEとteekids.exeとmslugh.exeがタスクマネージャー
に出て来て、そのままネットに繋ぐと再起動しちゃうんですよ。んで、ネットに繋ぐ
前にタスクマネージャーで消すと大丈夫。
でも消してもまた再起動するとDLLHOST.EXEとteekids.exeとmslugh.exeはタスクマネージャー
にでてくるので、セーフモードで起動して消そうとすると、セーフモードではタスクマネージャー
にはでてこないっていうことです。

>>295
セーフモードでウイルスをスキャンして削除すればいいでしょ。

>>295
アホ
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blasterE_xp.asp

>297
それはずっと前にみました。でもありがとう。

ノートンやめて、ウィルスバスターの体験入れたらちゃんとブロックして
くれてるみたいです。ノートンの時はネットに繋ぐたびに感染してたのに
不思議です。

１．Winのパッチは当てたか？
２．駆除ツールを使って消している？

この２点を知りたいな。

>299
アップデート完了で、ウィルスバスターで駆除したらＯＫになりました。
セーフモードではタスクマネージャーには出ませんでした。
ところで、ＩＣＰ要求とかいうの次々きますね。これは駆除してない人が
多いということなんでしょうか？

ウィルス情報&質問総合スレから誘導してもらってきました

ＸＰなのですが、起動してすぐにＲＰＣサービスが異常終了したのでウィンドウズを再起動する必要があると出て、タイマーが出て1分で再起動してしまいます。
ブラスターだろうと言われたのですが、タスクマネージャを見てもmsblast.exeとかpenis.exeとか、teekid.exeと言った物はありません。

Fix　Blastというソフトでは見つからなかったので
ブラスターDではないかと思い、ここの>>8を見て調べて見たんですが

ファイルの検索でdllhost　を調べた結果
DLLHOST.EXE-1ECB6754.pf　C:\WINDOWS\Prefetch　２３KB　PFファイル　2003/10/25
dllhost　　　　　　　　　　　　　　　C:\WINDOWS\system32　５KB　アプリケーション　2002/8/31
DLLHOST　　　　　　　　　　　　C:\WINDOWS\I386　　　　　３KB　EX_ファイル　2002/8/25

svchostの検索結果
svchost　　　　　　　　　　　　　C:\WINDOWS\system32　７KB　アプリケーション　2002/8/31
SVCHOST　　　　　　　　　　　C:\WINDOWS\I386　　　　　１３KB　EX_ファイル　　2002/8/31
もう一個あったけど、あやしいと思って消しちゃいました（＾＾；；　まずかったかな
そのsvchostは小文字か大文字か忘れました　￥PrefechにあったPFファイルで、更新日が2003/10/30です
たしかその日からおかしくなったので・・

\system32と言うフォルダにある物が本体なのでしょうか？
しかし、更新日が一年以上前になっています
PCをかったのは2003/10/25です

いままでWINDOWS９８で全然被害にあったことがなくて
ウイルス関係の知識が全くなくてすみません＾＾；

更新日ではなく作成日がもんだいなのか・・（＾＾；
\system32の　dllhost　svchost　の作成日は共に2003/5/9になっていました

やばっ、、\system　じゃなくて\system\winsか、、
winsはからっぽらしい・・・お騒がせしました

そうすると原因は何だろう？

>>301
再起動を止める方法を教えるから
システムのプロパティ　詳細設定　起動と回復にある設定　
システムエラーにある　自動的に再起動する(R)のチェックを外す
ウインドウズアップデートでパッチを全てあててくる。

あなたがこの後にするべきことは、セーフモードで起動して
ウイルスをスキャン後に削除すること。
ファイアーウオール使っていないのなら、ウインドウズアップデートしておかないと
ネットに繋いだ途端に、またすぐ感染するからね。

>301の後に、リカバリーディスクのタイブじゃないんなら、修復インストールする。
http://support.microsoft.com/default.aspx?scid=kb;JA;315341

↑
これやったら、ウインドウズアップデートしなくちゃ、ダメだからな。

>>303
RPCのセキュリティホールを狙うウィルスはMSBlast/Nachi系だけじゃない。

ここに載っているのがすべてというわけでもない。
http://www.microsoft.com/japan/technet/security/virus/blstvariants.asp

たとえば
Backdoor.IRC.Cirebot （シマンテック）
http://www.symantec.co.jp/region/jp/sarcj/data/b/backdoor.irc.cirebot.html
は載ってない

早速レス頂きありがとうございます！
>>304さんの方法を試みましたが、自動的に再起動する、の項目は最初からチェックが入っていませんでした
http://mitinoku.jp/msblast.html　の一番下にある方法でその場しのぎしています

今日夕方に帰ったらまた続きをします（＾＾；

>>300
未だにWormからのアタックは多い。
Winのパッチを当てていなかったため、駆除→感染を繰り返していたんだろう。
感染予防をしない(パッチ当て)と意味が無い。
今後は、治療より感染予防を心がけましょう。

--------------------------------------------------
　　　　　　　FAQは　>>19,>>20,>>21,>>22,>>23,>>24
--------------------------------------------------

再感染の防止のため、
　Windows Update
　危険なWindowsサービスの停止（DCOM、UPnP、Messenger）
　ファイアウォールソフト、アンチウィールスソフトの導入
をぜひ実行してください

いやもう相変わらず世界各地からいらっしゃってますから。
当分駄目だねこりゃ。

いつのまにかOpera7.21正式版が出ていた。バグフィックス版で特に
新機能はないようだが、とにかく入れておいた。

オペラがスパイウェアだという「都市伝説」があるが、オペラfree版は
adwareでspy行為はしない。Opera側が↓説明しているし、
http://www.opera.com/support/search/supsearch.dml?index=453
Outpostでコネクション動作を見張っていればそのとおりだとわかる。

Adsプラグインに>>422の　AGNIS-OPブロックリストを入れるとバナー
広告も完全にブロックできるので快適。OperaはIEコンポネントを
使わないので起動に多少時間かかるが、IEのセキュ穴と無縁になる
代償としては安いものかと。

誤爆か？ｗ

>>312
ありゃ誤爆。スマソ。
しかし、まあ、そういうことでしから参考にしちくだされｗ　

月曜になるとping攻撃が凄まじくなる！

>>315
肛門が臭い奴にはPingが寄ってくるよ。

ｵﾏｿｺ臭い香具師には？

脳味噌腐っているようなボケレスの応酬だな……。

臭ping に糞pong

>>318
小人閑居して不善をなすというからなー。

薮パソ対策の為、sage進行

まあなんだかんだ言って息の長いウィルスにはなりそうだ（nachiは年明けにあぼ〜ん→ﾌﾞﾗｽﾀ蔓延加速）

かいしゃのダイアルアップルーターが長時間通信するようになった
でもパソコン電源切れてる時でも通信してるみたい
それこれの影響って考えられるのかな？

>>323
>これの影響
外からひっきりなしにパケットが飛び込んでくるから、
無通信状態にならない罠。

★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★

サーバープロセスのバッファオーバーランの脆弱性

Workstation サービス (port 138-139,445 TCP/UDP)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-049.asp
メッセンジャーサービス　（port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp

★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★

>>325
乙


＿|⌒|〇 ﾏﾀｶﾖMS...

サービス脆弱性
　　　　　　　　　　　　　　　　 　　　　　　　　 __,,:::=========:::,,_,__
　　　　　　　　　　　　　　　　　　　　　　　 ...‐''ﾞ .　　｀　　　　,_　｀ 　 ''‐...
　　　　　　　　　　　　　　　　　　　　 ..‐´　　　　　　ﾞ 　　　　　　　　 　｀‐..
　─┼─　　 ／＼　　　　　　　　／　　　　　　　　　　　　　　　　　 ○ 　 ＼
　─┼─　／＼／＿.........;;;;;;;;;;;;;;;;::´　　 　　　(⌒,)　　　　　　　　 .l　　　　 　ヽ.:;;;;;;;;;;;;;;;;;;;;;;................. 　　　　｜｜｜｜｜
　　 │　　　　／　ﾞﾞ　　 　 　 .'　　　　 　　　　￣　　ヽ　＿＿ , ─|　 　　　　　ヽ　　　　　 ﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞ;;;;;;;;;;......。・　・ ・ ・　・
　　 ｜　　 ／ 　　　　　　　　/　　　　　　　　　　　　　ヽ　　 　　　 .|　　　　　　　　ﾞ:　　　 　 　 　 　 　 　 ﾞﾞﾞﾞﾞ;;;;;;
　　ﾞﾞﾞﾞﾞ;;;;;;;;............　 　　　　　 ;ﾞ　　　　　　　　　　　　　　　ヽ　　　　 l　 　 　　　　 　 ﾞ;　　　　　　　.............;;;;;;;;ﾞﾞﾞﾞﾞ
　　　　　　ﾞﾞﾞﾞﾞﾞﾞﾞﾞ;;;;;;;;;;;;;;;;;.......;.............................　　　　 　　　　 .ヽ　　 ./ ..................................;.......;;;;;;;;;;;;;;;;;ﾞﾞﾞﾞﾞﾞﾞﾞﾞ　　　　　____
　::::日F|xxx・,`::::::::::::::::::　ﾞﾞﾞﾞﾀ.ﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞ;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ヽ ./ﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞﾞ!!ﾞﾞﾞﾞﾞ　::::::::::::::::::`'*[] H].　|[][]|:
　::::日日II[][]'l*::::::::::::::::::　ﾉｷli;　i　. .;,　､ 　　 .,,　　　　　　　　　.V　　　` ;　､　　.;　´ ;,i!!|iγ　:::::::::::::::::::j;‘日/　.|[][]|::::
::::口旦 E=Д;‘｀::::::::::::::::::::: /ﾞ||lii|li||,;,.il|i;,　; . ., ,li　　　'　;　　 .`　.;　　　　il,.;;.:||i　.i| :;il|!!|;(ﾞ　::::::::::::::::::::::"‘、Дロ::::
　　::::Д日T†　;j;:::::::::::::::::::::::　｀;;i|l|li||lｌｌ|||il;i:ii,..,.i||l´i,,.;,..　.il　｀,　　,i|;.,l;;:`ii||iil||il||il||l||i|liiﾞゝ　:::::::::::::::::::::::・;日日T:::　日::::

ひさしぶれにスレの本題にもどれそぅだ

http://internet.watch.impress.co.jp/cda/news/2003/11/12/1096.html


http://www.zdnet.co.jp/enterprise/0310/10/epn05.html

>>325
こんだけサービス脆弱性がキタんだから、>>1-30あたりのFAQも更新するべきでは？

>>329
Microsoft、“ウィークリーパッチ”をやめて毎月のアップデートへ
http://www.zdnet.co.jp/enterprise/0310/10/epn05.html

>>325
注 : 10 月 16 日にリリースされた MS03-043 (828035) の Windows XP 用
のセキュリティ更新に、この脆弱性に対する保護の手助けとなる更新され
たファイルが含まれています。また、すでに MS03-043 (828035) の修正
プログラムを適用された Windows XP 環境では、Windows Update に、こ
のセキュリティ修正が表示されることはありません。

しかし、このセキュリテ
ィ情報 (MS03-049) の Windows 2000 用のセキュリティ修正プログラムに
は、MS03-043 (828035) に含まれていない更新されたファイルが含まれ
ています。MS03-043 (828035) の Windows 2000 用のセキュリティ更新を
適用したお客様も、この Windows 2000 のセキュリティ更新をインストール
する必要があります。

>>325
パッチダウソURL一覧（今現在。ｱﾌﾟﾃﾞﾀがｱﾌﾟﾃﾞﾄされるとリンク切れになると桃割れ。）

http://download.microsoft.com/download/1/7/6/1763ac15-f291-465f-8098-6fead494e8df/Windows2000-KB823980-x86-JPN.exe
http://download.microsoft.com/download/c/9/1/c9118574-50cd-48f7-b1ce-215428628bc6/Windows2000-KB824146-x86-JPN.exe
http://download.microsoft.com/download/8/f/a/8fa49920-986c-4c71-a6d0-7d42446499f8/Windows2000-KB828035-x86-JPN.exe
http://download.microsoft.com/download/d/6/2/d629ae17-0f50-4e8b-9962-41747c42bdb8/Windows2000-KB828749-x86-JPN.exe


前山さんはこれ
http://download.microsoft.com/download/3/b/7/3b70e075-0abc-4013-8a2f-6d251a6d232d/WindowsXP-KB823980-x86-JPN.exe
http://download.microsoft.com/download/c/9/3/c93838c2-2d8a-4b43-9a32-4846b5e950dc/WindowsXP-KB824146-x86-JPN.exe
http://download.microsoft.com/download/0/7/3/0732fe3b-0cc7-4355-a2b4-323d67311217/WindowsXP-KB828035-x86-JPN.exe

>>331
>前山さんはこれ
ﾌﾟｹﾞﾗ

XP使ってる知人の名前を晒してみたﾃｽﾂ

吊ってきます（ﾌﾟｹﾞﾗ

>>331
そりと、今回のパッチから/q /m オプションが無効になってるもよう。

あ〜ﾏﾝﾄﾞｸｾｰ

>>333
もとい、/z /m だった と言う事は無効になってないのか（将来的に無効になるとはm$も言っている）

q824145.exe /q:a /r:n

これも出来たとはな　(´ー`) フッ

>>334
(824141) (MS03-045)　とこれ以前に出たｳﾌﾟﾃﾞﾀ(Windows2000-KB??????)は、オプションの変更は実装されてないとM$が
言っているようだ。

　

>>335
office97のｳﾌﾟﾃﾞﾀもほとんど全部 /q オプションが効く。WMPのも然り。ほとんどのｳﾌﾟﾃﾞﾀは 最低 /q は効く。ただし　>>334

　

MS03-049が危険な理由
http://www.zdnet.co.jp/enterprise/0311/14/epn02.html

TCP139が増えてきましたよー

MS-03-049を発見したRetina社によると…
http://www.eeye.com/html/Research/Advisories/AD20031111.html
we can exploit FAT32 systems (which do not support ACLs on directories),
or systems where the "%SYSTEMROOT%\debug" directory is writeable by
everyone.　略

１　debugディレクトリにログを書き込むときにバグが実行される
２　NTFSフォーマットでdebugディレクトリをadmin権限で保護してあり、かつ
　　RPCが実行されないならこのバグは実行されない

つまりブラスタ対策してるヒトはそれに加えて、debugディレクトリから
everyoneを削除してadmin権限で保護しとくといいようです。（もちろん
できるかぎり早くパッチ当てるのが前提ですが）

ついでに↓試してみました。さすがに16IP用＄995の豪華版だけあっていたれり
つくせり。MSのセキュ穴全部見てまわって、パッチのリンクも出してくれます。
Retina Security Scanner 体験版ここからダウンできる
（Downloadボタンを押すとE-mailアドレス等の入力画面になる。送信する
と折り返しメールでダウンロードリンクを送ってくれる）
http://www.eeye.com/html/Products/Retina/index.html

だいぶ前から TCP port:139

さぁて、
“Windows XP セキュリティ対策 CD-R” １１月号
“Windows 2000 セキュリティ対策 CD-R” １１月号
でも作るかな

確かに139叩くの増えてきたかも。
今晩は15 hits/hourと言ったところ。
けど発信元があまり多くないので新種じゃなくて
実証コードとかいうので遊んでるひとびと？
＃ちなみにIPアドレスは218.*.*.*

>>344
139を２回ずつ叩かれるようになった。毎時20組30ヒットくらい。218が多いが、
KRだのDEだのも来る。本物が出るのも近いか？

>>342のリンク先読んでみたが（情報tnx）、やっぱりdebugディレクトリに
書き込みされなければいいらしい。てことは、いざというときにはdebugをadminで
書き込み禁止にしてしまえば緊急避難としてはOKかな？（うちとこは官僚的で
パッチ当てるのも手続きがﾒﾝﾄﾞｲのよん）

>>345
セキュアド的にいえば、管理者が率先して「パッチをあてろ！」というべき
なのだが・・・

>>345
さっきから遂にJPドメインからも139 叩かれるようになってきました。
(何れもISP)
週末に新種発生はやめて欲しいなあ。

嵐の予感にMSの社員の人たちは戦々恐々ってところだろうか

139なんていまだに来ないなあ
135と137ばかりだ

今日はpingが多い！

ICMP/0をpingと言う馬鹿、まだいたんだね。

おっ、また>>127の登場か？
今度もしっかり笑わせてくれよｗ

>>352
馬鹿が釣れた。0はECHO REPLYな。

釣れた

おまいら、最近うちの馬鹿PCが妙なパケット送受信してると思ったら
WORM_NACHI.Aとかいうのに感染してましたよ
さすが、winのSP一切あててないだけあるなとつくづく思ったｗ

SP当てろよ馬鹿

ICMP　Outgoing　　あっち側　port 0　＜　こっち側　port 8　　ping
ICMP　Incoming　　あっち側　port 0　＞　こっち側　port 0　　reply

とゆーことで、受け側で port:0 で ping という ｼﾁｭｴｰｼｮﾝ もあり（ｗ

まだport云々抜かしてる奴は一から出直してこい。

test

>>357
http://pc2.2ch.net/pcqa/

>>357
ICMPにポートという概念はない。初心者も見てるかもしれんから念のため。

>>351
また127が大恥かきにきたのか。

>>346　なのだが、現実には>>345みたいなところ多い。
だからいまだに大きな組織がブラスタ系にやられて新聞に
出る･･･････ー┐(´ー｀)┌〜　

>>127みたいなので盛り上がる時点で住人の程度がしれるだろ、おやめなさい

>>345
官僚的というよりも、権限を管理者に一任出来ない馬鹿な上司と組織。
どうせ問題が起こっても、自分じゃ責任なんて取れやしないくせに、それでも権力を持っていると誤解している。
権限の範囲を会社既定のマニュアルに、きちんと明示しておくべきなのだ。

ｶﾞﾝｶﾞﾚ!

>>365
初心者、部外者は>>127見てDQNが電波飛ばしてるなとどうやって判断できる？
ちなみに、お前は次のどっちだ？
　A　自分さえよければ他人はどうでもいい
　B　受け売りでちょっと偉そうなことが言ってみたい

１ヶ月も前のネタをよく続けられるよな（ｗ

ICMP　Outgoing　　あっち側　port 0　＜　こっち側　port 8　　ping
ICMP　Incoming　　あっち側　port 0　＞　こっち側　port 0　　reply

>>369
8月からやってますが？

信じられん…今更感染した。
os:win2k　sp4　パッチはこの前の緊急の一個前どまり、ZoneAralm常駐。

↑の状態で、いきなりマウスのアイコンが点滅しだして、綺麗に再起動。
起動してたのはopen janeとwinamp5だけ。
NAV２ｋ（OEM）を使ってるんだが、最新定義ファイルを使えないので
トレンドマイクロのオンラインスキャンやってみた。するとまぁ、見事に
msblast.Aに感染。こんな事って有るの？

既に感染して立って事は無い。絶対無い。…と思う。ZAのログにoutgoingなんて殆ど
無かったし。ブラスター祭りに参加してたし、感染してたら気付くはず。

すまん、書いた後に気付いた。
AはAでもWORM_NACHI.Aだった。
トレンドマイクロめぇぇ！

WINSってフォルダは消しちゃっていいの？

マザボのBiosの新版を落としに行く間、FWを切っていた。
（そうしないとFTPに入れてくれない）
落とし終わってFW再起動。

この間、２分余り。

感染した。
おそろしや。

>>373
トレンドマイクロのオンラインスキャンは見つけてくれたわけだから
「めぇぇ！」は筋違いでは？（ｗ

>>376
うむ。感謝でつ｡・ﾟ・( つд`)・ﾟ・｡
憎むべきはYBB…頼むから対策してくれ。

>>377
なんでも人のせいにすんなよこの糞チョンが
自分で対策しろ>>1-30

>>375
ZA切らないとFTPできないってﾎﾝﾄかいな？　設定おかしいんじゃないか？
OutpostはFTPでもPASV　FTPでも（とにかく指定した接続は）全然問題なく
許可できるぞ。

なにやってんだ、このやろう。
ip38-113-1-151.yourhostingaccount.com

>>379
あるぞ、そういうところ。
375も細かく設定すればできるんだろうけど。

IDPの評価のため、MSブラスターが欲しいのですが、どこかのサイトで入手できませんか？

>>381
そうか？　参考のためにのぞいてみたいからリンク貼ってくれ。

plala酷すぎ　感染ユーザだらけ
外部からのICMP弾くようにしたらアタックログ激減した（ｗ
ただしルータがダサイので外部にpingできなくなってしまってみたテスト

>>382
Win2000かWinXPでファイヤーウォール外してインターネットに接続すれば
即入手できると思われ(w

　　　　　　　　　　　　　　　 ＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿
　　　　　ﾃﾞｹﾃﾞｹ　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　　　　　 |
　　　　　　　　ﾄﾞｺﾄﾞｺ　　 ＜　MS03-049を突くウィルスまだーーー！！？　＞
　　　☆　　　　　　ﾄﾞﾑﾄﾞﾑ　|＿　 ＿　 ＿　＿　＿　＿　＿　＿　＿　＿　＿_|
　　　　　　　 ☆　　　ﾀﾞﾀﾞﾀﾞﾀﾞ! ∨　 ∨　∨　∨　∨　∨　∨　∨　∨　∨
　　ﾄﾞｼｬｰﾝ!　　ヽ　　　　　　　　　ｵﾗｵﾗｯ!!　　　 ♪
　　　　　　　　　＝≡＝　∧＿∧　　　　　☆
　　　　　　♪ 　　／　〃（･∀･ #）　　　　/　ｼｬﾝｼｬﾝ
　　　　♪　　　〆 　┌＼と＼と.ヾ∈≡∋ゞ
　　　　　　　　　|| 　γ ⌒ヽヽコ ノ　　||
　　　　　　　　　||　ΣΣ 　.|:::|∪〓 　||　　　♪
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼
　　　　　　　　　ﾄﾞﾁﾄﾞﾁ!

ああ、かったりいからまだ会社のマシンに全部当ててないや
オオカミ少年モード

―――――――――――――‐┬┘　　　　　　　　　　　　　 　＝≡＝
　　　　　　　　　　　 　 　 　 　 　 　 |　　　　　　　　　　　 　＿＿　 〆
　　 　 　 ＿＿＿＿.＿＿＿＿ 　　 | 　　　　　　　　　　　 ───　　＼
　　　　　|　 　 　 　 |　∧＿∧ |　　 | ﾄﾞｺﾄﾞｺうっせーんだよ　ｺﾞﾙｧ！ 　＼＿ ＝二 ∧＿∧
　　　　　|　 　 　 　 |. （#´Д｀）| 　　|　　　　　　　　　　　　　　　　　＿ 　　|ヽ　　＼ （； ･∀･）／
　　　　　|　 　 　 　 |⌒ 　 　 て)　　人　　　　　　　　＿　　―――‐　γ ⌒ヽヽ 　⊂　　　つ　 ∈≡∋
　　　　　|　 　 　 　 |（　　___三ﾜ ＜ 　＞　　―――　　 ―― ―二 　 |　　　|:::| 三ﾉ　ﾉ　ﾉ　 ≡ //
　　　　　|　 　 　 　 |　)　　）　 | 　　∨ 　 　 　 ￣￣￣　―――‐　 　人 ＿ノノ　（_ノ､_ノ　　＿//
　 　 　 　￣￣￣￣'￣￣￣￣　 　 |

>>382
XPかW2kで、ファイアーウォールなしでフレッツ（光でもOK）かヤフに接続。
10分もかからずに入手可能と思う。
フレッツでルーターがちかちか点滅状態になるほどのアタックがありますです・・

>>382 >>389
ダイヤルアップ ﾘﾘﾘ-ﾝ でもオッケーでつ

>>382　ﾊﾞｶ受けですた…座布団一枚どーじょ（　´∀｀）つ 彡◆

ping１個に２円くらい欲しい。正月休みにオーストラリアに行ける…

ISPによってはブラスタブロックしてる所もあるからそれは避けること

>>388

―――――――――――――〆
　　　　　　　　　　　 　 　 　 　 　 　 |　 ＼
　　 　 　 ＿＿＿＿.＿＿＿＿ 　　 |　　　＼＿　　　　　　―――　　　　うっせーの外に出すんじゃねーよｺﾞﾙｧ！！
　　　　　|　 　 　 　 |　　　　　 |　 　 | 　　　　|ヽ　　　―――　　　―　　　　　　　　　　　　　　　　　　⊂（´Д｀#）
　　　　　|　 　 　 　 | 　　∧＿∧　　　　 γ ⌒ヽヽ　　―――――　―　￣￣＿＿　　 　　　　人　　（⌒）⊂/
　　　　　|　 　 　 　 | ⊂（･∀･ ；）￣つ　 |　　　|:::|　　　　　　―――――　　　――――― ＜ 　＞彡 　,,ノ
　　　　　|　 　 　 　 | 　　　　⊂ノ＿＿つ人 ＿ノノ　∈≡∋　　　―――――　　――　　　　. ∨
　　　　　|　 　 　 　 | 　　　　　| 　　 |　　　　　　　　　 //　――　　――
　 　 　 　￣￣￣￣'￣￣￣￣　 　 |　　　.　　　　＿//　―
　　　　　　　　　　　　　　　　　　 　　.|　　　　　　　　/'|

　　　　　　　　　　　　　　　 ＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿
　　　　　ﾃﾞｹﾃﾞｹ　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　　 |
　　　　　　　　ﾄﾞｺﾄﾞｺ　　 ＜　　　　　戻ってきたぜ〜〜〜！　　　　　　＞
　　　☆　　　　　　ﾄﾞﾑﾄﾞﾑ　|＿　 ＿　 ＿　＿　＿　＿　＿　＿　＿　＿|
　　　　　　　 ☆　　　ﾀﾞﾀﾞﾀﾞﾀﾞ! ∨　 ∨　∨　∨　∨　∨　∨　∨　∨
　　ﾄﾞｼｬｰﾝ!　　ヽ　　　　　　　　　ｵﾗｵﾗｯ!!　　　 ♪
　　　　　　　　　＝≡＝　∧＿∧　　　　　☆
　　　　　　♪ 　　／　〃（・∀・ #）　　　　/　ｼｬﾝｼｬﾝ
　　　　♪　　　〆 　┌＼と＼と.ヾ∈≡∋ゞ
　　　　　　　　　|| 　γ ⌒ヽヽコ ノ　　||
　　　　　　　　　||　ΣΣ 　.|:::|∪〓 　||　　　♪
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼
　　　　　　　　　ﾄﾞﾁﾄﾞﾁ!

―――――――――――――‐┬┘
　　　　　　　　　　　 　 　 　 　 　 　 |　　　　　　　　　　　 　＿＿　 〆
　　 　 　 ＿＿＿＿.＿＿＿＿ 　　 | 　　　　　　　　　　　 ───　　＼
　　　　　|　 　 　 　 |　∧＿∧ |　　 | こんなものがあるからいけないんだ！＿
　　　　　|　 　 　 　 |. （#´Д｀）| 　　|　　　　　　　　　　　　　　　　　＿ 　　|ヽ
　　　　　|　 　 　 　 |⌒ 　 　 て)　　人　　　　　　　　＿　　―――‐　γ ⌒ヽヽ 　 ∈≡∋
　　　　　| ∧＿∧　|（　　___三ﾜ ＜ 　＞　　―――　　 ―― ―二 　 |　　　|:::| 三 //
　　　　　|（； ･∀･） |　)　　）　 | 　　∨ 　 　 　 ￣￣￣　―――‐　 　人 ＿ノノ　＿//
　 　 　 　￣￣￣￣'￣￣￣￣　 　 |　　　 　 　　 　 　 　 　　　￣￣　　　　　　　 　/'|

　　　　　　　　　　　　　　☆ ﾁﾝ　　　　　　　　
　　　　　　　　　　　　　　　　　　　　　　　　　　　　
..　　　 　 　 ☆　ﾁﾝ　　〃　Λ＿Λ 　 ／￣￣￣￣￣￣￣￣￣￣￣￣
　 　 　 　 　　ヽ　＿＿_＼（＼・∀・）＜　MS03-049を突くウィルスまだーーー！！？
　　 　 　 　 　 　 ＼＿／⊂　⊂＿)＿ ＼＿＿＿＿＿＿＿＿＿＿＿＿
　　 　 　 　 　 ／￣￣￣￣￣￣￣／|
　　　　　　　　| ￣ ￣￣￣￣￣￣:|　:|
　　　　　　　　|　Blaster級の被害|／

　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　 　　／　　　（・∀・　）
　　　　　　　　〆 　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|∪〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼

　　　　　　　　　　　　　　　 ＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿
　　　　　ﾃﾞｹﾃﾞｹ　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　　 |
　　　　　　　　ﾄﾞｺﾄﾞｺ　　 ＜　　　　　再開ーーーーーーー!　　　　　　＞
　　　☆　　　　　　ﾄﾞﾑﾄﾞﾑ　|＿　 ＿　 ＿　＿　＿　＿　＿　＿　＿　＿|
　　　　　　　 ☆　　　ﾀﾞﾀﾞﾀﾞﾀﾞ! ∨　 ∨　∨　∨　∨　∨　∨　∨　∨
　　ﾄﾞｼｬｰﾝ!　　ヽ　　　　　　　　　ｵﾗｵﾗｯ!!　　　 ♪
　　　　　　　　　＝≡＝　∧＿∧　　　　　☆
　　　　　　♪ 　　／　〃（・∀・ #）　　　　/　ｼｬﾝｼｬﾝ
　　　　♪　　　〆 　┌＼と＼と.ヾ∈≡∋ゞ
　　　　　　　　　|| 　γ ⌒ヽヽコ ノ　　||
　　　　　　　　　||　ΣΣ 　.|:::|∪〓 　||　　　♪
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼
　　　　　　　　　ﾄﾞﾁﾄﾞﾁ!

>>388

　　　　　　　　　　　　　　　　　　　　ｼｰﾝ
　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　 　　／　　　（・∀・　）
　　　　　　　　〆 　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|∪〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼



　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　 　　／　　　（ ・∀・ ）
　　　　　　　　〆 　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|∪〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼

思わずﾜﾛﾀ

　　　　　　　　　　　　　　　 ＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿
　　　　　ﾃﾞｹﾃﾞｹ　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　　 |
　　　　　　　　ﾄﾞｺﾄﾞｺ　　 ＜　　　　　　朝だ〜〜〜〜〜〜！　　　　　　＞
　　　☆　　　　　　ﾄﾞﾑﾄﾞﾑ　|＿　 ＿　 ＿　＿　＿　＿　＿　＿　＿　＿|
　　　　　　　 ☆　　　ﾀﾞﾀﾞﾀﾞﾀﾞ! ∨　 ∨　∨　∨　∨　∨　∨　∨　∨
　　ﾄﾞｼｬｰﾝ!　　ヽ　　　　　　　　　ｵﾗｵﾗｯ!!　　　 ♪
　　　　　　　　　＝≡＝　∧＿∧　　　　　☆
　　　　　　♪ 　　／　〃（・∀・ #）　　　　/　ｼｬﾝｼｬﾝ
　　　　♪　　　〆 　┌＼と＼と.ヾ∈≡∋ゞ
　　　　　　　　　|| 　γ ⌒ヽヽコ ノ　　||
　　　　　　　　　||　ΣΣ 　.|:::|∪〓 　||　　　♪
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼
　　　　　　　　　ﾄﾞﾁﾄﾞﾁ!

―――――――――――――‐┬┘　　　　　　　　　　　　　 　＝≡＝
　　　　　　　　　　　 　 　 　 　 　 　 |　　　　　　　　　　　 　＿＿　 〆
　　 　 　 ＿＿＿＿.＿＿＿＿ 　　 | 　　　　　　　　　　　 ───　　＼
　　　　　|　 　 　 　 |　∧＿∧ |　　 | ﾄﾞｺﾄﾞｺうっせーんだよ　ｺﾞﾙｧ！ 　＼＿ ＝二 ∧＿∧
　　　　　|　 　 　 　 |. （#´Д｀）| 　　|　　　　　　　　　　　　　　　　　＿ 　　|ヽ　　＼ （； ･∀･）／
　　　　　|　 　 　 　 |⌒ 　 　 て)　　人　　　　　　　　＿　　―――‐　γ ⌒ヽヽ 　⊂　　　つ　 ∈≡∋
　　　　　|　 　 　 　 |（　　___三ﾜ ＜ 　＞　　―――　　 ―― ―二 　 |　　　|:::| 三ﾉ　ﾉ　ﾉ　 ≡ //
　　　　　|　 　 　 　 |　)　　）　 | 　　∨ 　 　 　 ￣￣￣　―――‐　 　人 ＿ノノ　（_ノ､_ノ　　＿//
　 　 　 　￣￣￣￣'￣￣￣￣　 　 |

さて寝るか

　　　　　　　　　　　　　　　　　　　　ｼｰﾝ
　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　 　　／　　　（・∀・　）
　　　　　　　　〆 　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|∪〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼



　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　 　　／　　　(´・ω・｀)
　　　　　　　　〆 　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|∪〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼

　　　　　　　　　　　　　　　 ＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿∧＿
　　　　　ﾃﾞｹﾃﾞｹ　　　　　　|　　　　　　　　　　　　　　　　　　　　　　　　 |
　　　　　　　　ﾄﾞｺﾄﾞｺ　　 ＜　　　　　　夕方だ〜〜〜〜〜！　　　　　　＞
　　　☆　　　　　　ﾄﾞﾑﾄﾞﾑ　|＿　 ＿　 ＿　＿　＿　＿　＿　＿　＿　＿|
　　　　　　　 ☆　　　ﾀﾞﾀﾞﾀﾞﾀﾞ! ∨　 ∨　∨　∨　∨　∨　∨　∨　∨
　　ﾄﾞｼｬｰﾝ!　　ヽ　　　　　　　　　ｵﾗｵﾗｯ!!　　　 ♪
　　　　　　　　　＝≡＝　∧＿∧　　　　　☆
　　　　　　♪ 　　／　〃（・∀・ #）　　　　/　ｼｬﾝｼｬﾝ
　　　　♪　　　〆 　┌＼と＼と.ヾ∈≡∋ゞ
　　　　　　　　　|| 　γ ⌒ヽヽコ ノ　　||
　　　　　　　　　||　ΣΣ 　.|:::|∪〓 　||　　　♪
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼
　　　　　　　　　ﾄﾞﾁﾄﾞﾁ!

ドンドコドンスレですか

　凹凹
　|･ｪ･)
　⊂/
　|U ￣￣　　　　　／￣￣￣＼
／　　　　　　　　/ 　 　 　 　 　 ヽ
　　　　　　　　　 |::::..　●) 　●)　l
　　　　　　　　　 ヽ:::.. 　　∀′ 丿
　　　　　　　　　 　　〉 　 　 　..K
　　　　　　　　　　 〈_ノ 　　　.::l-'
　　　　　　　　　 　 　ﾄ､ 　 ）:ノ ｷｭﾑ
　　　　　　　　　 　 　　ヾﾆノ 　 ｷｭﾑ

　　　　　　　　　　∧　∧　∧　∧　∧　∧　∧
　　　　　　　　 |￣　￣　￣　￣　￣　￣　￣　￣|
　　　　　　　＜　　　　　　深夜だ〜〜！　　　　 ＞
　　　　　　　　 |＿　＿　＿　＿　＿　＿　＿　＿|
　　　　　　　　　　∨　∨　∨　∨　∨　∨　∨

　　　　　ﾁｷﾁｷ　　　 iﾞ　∧∧　 _　　　♪
　　　　　　　　　　　､_ヽ(・∀・)ﾉ_
　 　♪　　　　　　　　|. †^|V^†ｙ~　　ﾃｹﾃｹ
　　　　　　　　　　 　↓A ●)i,↓､
　　　　　　ﾄｺﾄｺ　　　　　　　　　　♪

AA ｳｾﾞｰ

Blasterよりマシ

　　　　　　　　　　　　　　　　　　　　ｼｰﾝ
　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　 　　／　　　（・∀・　）
　　　　　　　　〆 　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|∪〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼



　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　 　　／　　　(´・ω・｀)
　　　　　　　　〆 　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|∪〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼

http://www.cyberpolice.go.jp/important/20031122_103947.html
TCP445番ポートに対するトラフィックの増加について(11/22)

http://www.cyberpolice.go.jp/detect/observation.html
警察庁のグラフを見ると、
11/22 08:00　11/23 08:00　付近にピークがある。

http://www3.nhk.or.jp/news/2003/11/23/k20031123000092.html
だそうです。

あんでK察庁はpdfで情報出すんだや？　アドビに義理でもあるんかいな？

>>415
作成・管理が楽だからじゃねーの？

----------------------------------------
　　　　　　　FAQは　>>19,20,21,22,23,24
----------------------------------------
★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★
>>58-59
諸君、MessengerとDCOMちゃんと無効にしてあるだろうな？
もいっかい確認しる

Messenger 無効化
　コントロールパネル→管理ツール→サービス→Messenger →
　プロパティ→スタートアップの種類→無効
DCOM無効化
　スタート→ファイル名を指定して実行→dcomcnfg.exe→「既定のプロパティ」
　→「このコンピュータ上で分散COMを有効にする」のチェックを外す。
（dcomｃfgはXPとWin2000SP3以降で有効。Win2000SP1のヤシはSP4を入れる）

★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★

　　　　　　　　　　　　　　　　　　　　　ｼｰﾝ
　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　 　　／　　　（・∀・　）
　　　　　　　　〆 　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜043　|:::|∪〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼

>>418
ﾜﾗﾀ

　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　 　　／　　　（ ・∀・ ）
　　　　　　　　〆 　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜043　|:::|∪〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼

if 　(CurrentYear == 2004) Delete BlastD;
if 　(CurrentYear == 2004) Suspend BlastD;
if 　(CurrentYear >= 2004) Suspend BlastD;

どれが正解なん？

>>418-419
ｼﾞｴﾝｳｾﾞｰ

>>340　>>342などでｶﾞｲｼｭﾂのMS03-049脆弱性だが…
http://www.zdnet.co.jp/enterprise/0311/14/epn02.html
スタンドアローンマシンの場合には
★Workstationサービス自体を停止する★
のがいちばん簡単、確実。

MSによると、Workstationサービスに依存しているサービスは
Alerter/Browser/Messenger/Net Logon/RPC Locator
これらが同時に無効になる。ただしスタンドアローンマシンの
インターネット接続には★影響ない★とのこと。
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-049.asp

前々から不審なアクセス（UDP 138 TCP 139）を続けているところから、
複数のマシンよる一斉総攻撃を受けた。
続いて別のところから人為的な ICMP ping、
そして、さらに別のところから人為的な Port Scan。

ICMP ping かけたところに電話で問い合わせたら、
あわててカプラ装着して会話の録音を始めだした。
くわばら、くわばら…

>>415
やっぱり、作るの楽だからじゃないかな？
情報が早いほうがいいよ。最近はサイバーポリスが一番早い。
pdf程度ならOKじゃない？

>>415 >>425
重要なことなので、改変されたりテキスト抜き出しされては困るので、
制限をつけた pdf にしているものと思います。

http://internet.watch.impress.co.jp/static/column/jiken/index.htm
インターネット事件簿
第1回：廃棄パソコンへの知識不足が招いた事件を追う

こういった状況もありますから。警察でも。

>>424
どうやって発信元突き止めたんだよ

　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　 　　／　　　（・∀・　）
　　　　　　　　〆 　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|∪〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼

　　　　　　　　　＝≡＝　∧＿∧
　　　　　　　 　　／　　　（ ・∀・ ）
　　　　　　　　〆 　 ┌　 |　　　　| .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|∪〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼

　　　　　　　　　＝≡＝　∧＿∧ 　　　ｻﾃ･･･
　　　　　　　 　　／ ｻｯ |（・∀・| ） 　　　
　　　　　　　　〆 　　〃⊂　　 ⊂) .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 .||
　　　　　　　　　||　｜　　 .|:::|∪〓　　.||
　　　　　　　 .／|＼人 ＿.ノノ _||_　 .／|＼

ﾄﾞﾝﾄﾞｺやるなら派手にやっとくれ

　　　　　　　　　　　　　　　　∧　　　　　　　　∧　　ﾏﾁｸﾀﾋﾞﾚﾀ〜　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　ﾏﾁｸﾀﾋﾞﾚﾀ〜 　　　　　　./　 ヽ　　　　　 ./　 ヽ　　　　　 ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　　　　　　　　　　　　 /　　　ヽ―――/　　　ヽ 　　ﾏﾁｸﾀﾋﾞﾚﾀ〜　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜　 ／　　　　　　　l＿＿＿l　　　＼ 　　　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　　　　　　　　　　|　　　　　 ● 　|　　　 |　　●　 |　　／￣￣￣￣￣￣￣￣￣￣￣￣
　　　　　　　へ　　　 |　　 へ　　　　　ヽ　 ./　　　　　|　＜　んじゃお言葉に甘えまして
　　　　　　　 ＼＼　　＼　 ＼＼　　　　ヽ/　　　　 ／ 　　＼＿＿＿＿＿＿＿＿＿＿＿＿
チン　　　　　　　 ＼＼　　.＞　＼＼　　　　　　　　　　ヽ
　　　チン　　　　　　＼＼/　　　　＼＼　　＿　　　　　　 | 　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　　　　＼￣￣￣￣￣￣￣／　 /￣　　 ヽ　　　　/　　 ＿
　　　　　　　 ＼回回回回回／￣￣ヽ　　　　　　　　/￣￣ ／| 　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　　　　　　　＼＿＿＿／　　　　　 ヽ＿＿＿＿／　　／　 .| 　　　　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 ／　　 　| 　ﾏﾁｸﾀﾋﾞﾚﾀ〜
　　　＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿／　　　　 .|
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　|　　　　　　|　　　　　ﾏﾁｸﾀﾋﾞﾚﾀ〜

相手にすんなよバカどもが

　　　　　　　　　　　　　　　　　 ∧　　　　　　　 ∧　　イライライライラ
　　　　　　　　　 　 　 　 　 　 /　ヽ　　　 　 　 /　ヽ　　　イライライライラ
　　　　　　　　　　　　　　　　/　　　ヽ＿＿＿/　　　ヽ　　　　イライライライラ
　　　　　　　　　　　　　　／　ノ（ 　　　　　　　 　 　 　 ＼
　　　　　　　　　　　　　 |　　⌒ 　 ● 　　/＼　　　●　　|　 ／￣￣￣￣￣￣
　　　　　　　　 へ　　　 |　　 　 　 　 　　/　　＼　　　　　|＜　なんだとぉ〜？
　　　　　　 ／　＼＼　　＼　 　　　　 　/￣￣￣＼　 ／ 　＼＿＿＿＿＿＿
　　　　　／ 　　／＼＼　　.＞　　　　　　　　　　　　　ヽ
カンカンカン／／ 　＼＼/　i　i　 　　　　＿　　　　　　|
　カンカンカン　　　　　　i　| ‖| 　　 /￣　　 ヽ　　　 /　＿＿
　　　カンカンカン　Σ [￣￣￣￣￣ヽ　　　　　 　　/￣　　／|
　　　＼￣￣￣￣￣￣￣／￣￣ヽ＿＿＿＿＿ ／　　　／　 |
　　　　 ＼回回回回回／　　　　　　　　　　　　　　　　／　　　|
　　　　　　＼＿＿＿／　　　　　　　　　　　　　　 　 ／　　　　 |

ちょっとこりゃすさまじいなplala

毎分５０近くのpingが来やがる

ネットもPFWも重くてしょうがねーぜ！　ヽ(`Д´)ﾉ ｺﾞﾙｧ

XPのICF　起動時の空白時間は20秒余りもあるそうだ

http://www.atmarkit.co.jp/fwin2k/win2ktips/361fwcaution/fwcaution.html

　　　　　　　　　＝≡＝
　　　　　　　 　　／
　　　　　　　　〆 　　　　　　　　　. .∈≡∋
　　　　　　　　　|| 　γ ⌒ヽヽコノ　　 ||
　　　　　　　　　||　.｜　　　|:::|　..〓　 .||
　　　　　　　 .／|＼人 ＿.ノノ _||_.　／|＼

　　　　　　　　　 ∧＿∧
　　　　　　　　　（　・∀・）　静かでつね…
　　　　　　　　　（　∪ ∪
　　　　　　　　　と＿_）__） 　旦

　　　　　　　　　　／⌒ヽ
　　　　　　　　　/　´_ゝ`） すいません、またーりさせてくださいね。
　　　　　　　　　|　 　　/ 　 ∬
　　　　　　　　　と＿_）__）　旦

>>434
やっぱルーターか、ソフトが必須かなあ。
今ごろになって大流行してるおれんとこの・・・は、いつ終息するだろうか？

前に、懐中電灯をもって犯人探ししているって書いてたとこかの企業の人、
その後どうなった？根絶出来た？

大学内はウェルチアだらけ、って書いてたどっかの人、その後どう？

■Blaster等ワームの継続的な活動について(11/28)
http://www.cyberpolice.go.jp/

ネットワーク上の指定ホストがBlasterに感染していないか確認するフリーソフトってありませんか？
自分のネットワークのPCが感染しているか感染していないか確認がしたいのですが、
1台ずつ確認せず、/24ごとに確認ができればと思います。

http://www.cyberpolice.go.jp/detect/observation.html
グラフを見ると、減り続けてきた icmp がポコッと上がった。
買ったパソコンをなんも考えなしでつないだ効果がでている。

大手量販店あたりでも、ブラスター対策はしてないのかねぇ

これだけ広まってしまうと、コストかけるより、売ったもん勝ちです。

>438
KB 824146 スキャナ
ttp://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=ja

>>437
「大学内はウェルチアだらけ、って書いてたどっかの人」です。
うちの大学で飛び交っているpingの数はあまり変わっていません。
このまま年明けまで続きそうな感じです。

いつのまにか警察庁のグラフ更新頻度が増してますね。
過去データをcsvとかで公開してくれるととても嬉しいなあ。。。

マジかよ！？
「百ｘ銀行、ウィンドウズで銀行システム構築」だとよ。
騙されたんちゃうか？　銀行さん！

043関係のウィールスが出る出るといわれながら、今んとこ出たのは
ﾄﾞｺﾄﾞｺｳﾙｾｰAAばかりｗ　やっぱりウィールス書きもボバフェットに
MSに首を持ち込まれるのが怖いのか？

>>443
まだだめですか・・
某大学は、MACアドレス登録制＆許可制になってるから、犯人がすぐにわかる
から被害が広がらないのかしらん？

自覚症状のあるBlasterのうちに感染してほしかった・・・

WinMEで感染できなくて、少し寂しい・・・。

セキュリティ初心者質問スレッドpart34
http://pc.2ch.net/test/read.cgi/sec/1070035602/148
こんなのがまだいます。ブラスタスレ嫁、とｺﾞﾙｧしときますた。

まあそんなもんよ

http://headlines.yahoo.co.jp/hl?a=20031201-00000001-cnet-sci

>>450
また脆弱性か・・・

某家電量販店で、２週間前にノート買ったけど、
お店の人は何も言わなかったYO
感染収まらないわけだ。

脆弱性の無いﾌﾞﾗｳｻﾞｰなんて無い！

脆弱性が多すぎるOS/ブラウザ/アプリ＝ゲイシ製品

>>454
マイクソ製品が狙われるのはユーザーが多いから
ユーザーが少なければ誰も狙わん

>>455
だから？

>>455
じゃあ　使うなよ　使ってるなら文句言わないで　我慢しろ

>>455
１．ゲイシのやり口が汚い
２．製品がクソで攻撃しやすい
３．ユーザー数が多い
こんな感じでわ？

Japan.internet.com Webテクノロジー - 最も攻撃を受けている OS は Linux
http://japan.internet.com/webtech/20030916/12.html
ん

>>459
素人のLINUXほどおとろしいもんはないぞ。Winだったらセキュ穴は
（多いといっても）限定されてる。LINUXではいじりどころが無数に
あって、ひとつ間違えばそれが全部セキュ穴。しかもベンダーの出荷
のデフォの設定がMS以上にクソ。なんとかそこそこ安全な設定にしと
いても、知ったか厨のsuがばりばり穴開けてくれるしｗ

su ?
root ?
知ったかぶり厨は↑

何も知らない厨ですみませんが、rootkitって何ですか？本当にすみません！

>>459
クラッカーの大会でLinuxサーバーをクラックする方が点数高いからでしょ
点数が高い＝クラックが難しいってことじゃない？

>>462
http://www.zdnet.co.jp/enterprise/security/rootkit/

誠次

英次

>>463
ただ単にマイナーだから、一般にクラックの方法が知れ渡っていないから、点数が高い。
クラッカー大会なとで、ちまちまとセキュリティホールなんぞ突いているんでは、クラッカーとは呼べない。

攻撃対象がデスクトップ→ゲイツOS
攻撃対象がサーバ→UNIX系
ってだけだと思ふ

--------------------------------------------------
　　　　　　　FAQは　>>19,>>20,>>21,>>22,>>23,>>24
--------------------------------------------------

ノートサーバも仲間に混ぜてください。(´･ω･`)

>>469
>>329

>>470
ああそうか。忘れてた。
ﾏﾝﾄﾞｸｻｲねぇ。。。

広く使われている米マイクロソフト社製のオペレーション・システム(OS)で稼動している
2つの銀行のATM(現金自動預払機)が、今年8月にコンピューター・ウイルスに感染し
ていたことをATMメーカーが明らかにした。感染を最初に報じたのは『セキュリティーフ
ォーカス・コム』で、ATMにウイルスが直接侵入した初めてのケースだと考えられている。

コンピューター・セキュリティー専門家たちは、消費者にとって非常に重要なシステムに
ウィンドウズが導入されるにしたがって、さらに多くの問題が生じると予想していた。今回
感染したATMのメーカー、米ディーボルド社が明らかにしたところによると、いわゆる『ナ
チ』(Nachi)ワームが蔓延した際、台数は確定していないものの、『ウィンドウズXPエンベ
デッド』で稼動するATMが機能停止したいう。同社は、影響を受けた顧客名を明らかにし
ていない。

ナチは『ウェルチア』(Welchia)という別名でも知られており、『MSブラスター』(別名MSブラ
スト、ラブサン)ワームを削除させようというねらいで作成されたようだ(日本語版記事)。と
ころが、結果的には世界中のネットワークを機能停止、あるいはひどい混雑に陥れてしま
った。エア・カナダのチェックイン用システムも被害を被った。ナチおよびMSブラスターは、
『ウィンドウズXP』、『ウィンドウズ2000』、『ウィンドウズNT』、『ウィンドウズ・サーバー2003』
の脆弱性を利用して感染を広める

http://www.hotwired.co.jp/news/news/technology/story/20031211305.html

【ニュース速報+】windowsを搭載した銀行ATMがウィルス感染！
http://news5.2ch.net/test/read.cgi/newsplus/1071200487/

あ

信頼性が必要とされる場にMS製品を導入するなんてのは愚行以外の何物でもないな。
Fail Safeの思想が完全に欠落しているというのに。

同乗
かつてwin搭載のダ○○ブックの取説には、「医療機器等のコントローラとして使うな」とゆうようなことが書いてあった。

age

http://www.yomiuri.co.jp/main/news/20031216i515.htm

兵庫県宝塚市役所は１６日、庁内のパソコン１９台が先月、
コンピューターウイルス「ＭＳブラストＤ」に感染したのは、
ＮＥＣ（本社・東京都港区）が修理した際のチェックミスが原因だとして、
同社に対し損害賠償を求める方針を明らかにした。

また、えぬいーしーかよ

今更ながらFAQ
http://www.microsoft.com/japan/technet/security/virus/blaster.asp

★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★

サーバープロセスのバッファオーバーランの脆弱性

Workstation サービス (port 138-139,445 TCP/UDP)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-049.asp
メッセンジャーサービス　（port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp
SMB (port:139)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-024.asp

★★★　ブラスタ並み大規模感染警報　レッド・アラート　★★★


MS-03-024(817606)が抜けていた
exploitは出てるのかな？
W2KSP4でfix済
WXPSP1(a)/WNTSP6aではfix未済

ユーザ向け


このパソコンを、ネットワークの設定を変更せず、および必要かつ十分かつ高度なウィルス感染総合対策が取られていることを確認しないまま、
社内LANから切り離して、以下の事をしないでください（新聞報道のＭＳブラスト等のウィルス対策のため）

・電話線経由で電話回線や公衆電話につないで、直接インターネットに接続
・無線LANアダプタを接続
・LANケーブル／1394ケーブル／無線LAN経由で、光ファイバ／ADSL／CATVインターネット等のモデムやルータにつないで、直接インターネットに接続
・USB／PCカード／シリアルアダプタ経由で、アナログモデム／ISDNターミナルアダプタ／AirH"などのモバイル通信アダプタに接続して、直接インターネットに接続
・LANケーブル／1394／無線LANケーブル経由で、エイコー本社含む第三社／第三者のLANにおいて、ハブなどにつないで、LANに接続
・上記以外の方法により、直接インターネットに接続または第三社／第三者のLANに接続

※このPCには無線LANは標準装備されてません（1394は装備されてます）

>>481
>>エイコー本社
ﾌﾟｹﾞﾗ

エイコー！！

エイコーｷﾀ━━━( ﾟ∀ﾟ )━(∀ﾟ　)━(ﾟ　　)━(　　)━(　　ﾟ)━(　ﾟ∀)━( ﾟ∀ﾟ )━━━!!!!

　　　　♪　　　　　　　　　　　∩＿＿＿∩
　　　　　　　　　　　♪　　　 / 　　　　　 　ヽ　　
　　　　　　　　　　　　　　　/ ●　　　●　 丶　　　エイコーエイコーエイコーエイコー♪　
　　　　　　　　　　　　　　 |　　(_● _)　　　 丶　エイコー♪ エイコーエイコー♪
　　　　　　　　　　　♪　　彡､ 　|∪|　　　､ミ｀　♪エイコー！エイコー──！！
　　 　 　 　 　 　 ＿＿＿ ＿○ ヽノ＼ξつヾ＿＿_＿
　　 　 　 　 　 ／δ⊆・⊇ 。／†：：† ／δ ⊆・⊇｡／
　　　　　　　　|￣￣￣￣￣ |￣￣￣|￣￣￣￣￣| 　|
　　　　　　　　| 　 　 　 　 　 | ：：：　. | 　 　 　 　 　|

エイコー祭り会場はここですか？

ほんとにあと10日ほどでピタッと止まるのかなあ＞ICMP

ブラスタに始まり、ブラスタに終わった年であったことよ＞＞２００３年

ブラスターは８月のお盆休み前から流行しはじめ盆休み明けに一部の企業LANや
学内LANが麻痺した。
仮にそれが狙いだったとすれば次のターゲットは正月休みか・・・。

さすがにもうMS03-039を当ててないPCなんて存在しないと思う、思いたい(つД`)

>>488
おまいのカレンダーは8月から始まってるのか？

Nachiが消えた後、Blaster.Aに再感染する香具師がいそう

http://pcweb.mycom.co.jp/news/2003/12/22/24.html
だそうです。
これで減ってくれればいいけど。

Blasterの方が、自覚症状があるから感染者が対応せざるを得ない、からまし？
という考えは甘いか？今のとこ、指摘されるまで気が付かないヤツが多すぎ。

http://www.cyberpolice.go.jp/important/20031222_142810.html
の @police のオリジナルの pdf を掲げておいた方がいいと思います。

インターネットについては ルーターモデムなので無問題ですが、
イントラネットでは さかんに不審なアクセスが継続しています。

管理共有 無効、DCOM 無効、IIS 無効、Messenger 無効 にして、
Internet Explorer を使わない方がいいでしょう。

>>494
最後の２行意味不明

>>495
セキュリティ関係について、インターネット検索してみてください。

>>491
nachi2が出るでしょう

ICMPだいぶん減ってきた
IPは変わってないから、ホントに減少してるっぽい。
@policeの成果出てるってことかな。

>>498
感染PCの内蔵時計がズレまくってるのかもねｗ

うちは減った感じはないけども (´・ω・`)

>>499
ISPによって対応が違うんだろう

漏れはbiglobeだけどほとんど変化なしヽ（・∀・）ﾉ

休みに入ったからかもしれんけど
今日はICMPスゴイ多いね┐('〜`；)┌

あと３日、なんかドキドキしてくるね

うむ、なっちゃんとももうすぐお別れだね。

「なっちゃん」って！ ちみぃ、愛すてたの？

初めて君と出会ったのは今年の夏、僕がBlasterにやられて再起動を繰り返しているときでした
君は突然やってきて僕のパソコンをやさしく治してくれましたね
それからというもの僕は毎日君をクリックしたり、時には君の中をバイナリエディタで覗いたりしていました
でも楽しい時はもう終わりに近づいてきています
さようならなっちゃん、僕は君の事を忘れない








追伸、君の為にポートはずっと空けておくよ・・・

　　　　 　,一-、
　　　　 /￣　l |　　　／￣￣￣￣￣￣￣￣￣￣
　　　　■■-っ　＜　んなーこたーない
　　　　´∀｀/ 　　　＼＿＿＿＿＿＿＿＿＿＿
　　 ＿_／|Ｙ/＼.
　Ё|＿_　| /　　|
　 　　　| У..　　|

日本語 Windows は治せない。
なっちゃんの居た席に blaster が戻ってくる。

ICMP減ってきた(・∀・)
代わりに3066とか3082とかを連チャンで叩くのが増えてきた (´・ω・`)

漏れんとこは135と137が増えてきた。

いよいよ12月31日です。

警察庁のグラフで、139/tcp がグンと増えてるなぁ…　「共有」注意喚起

AVGで右クリックからウイルススキャンするとC:\WINDOWS\backup\TB031230.DATが
Worm/Nachiだと言われるのに、AVGのコンプリートスキャンやeTrustだと何も検出され
ない。なんなのだ…。

>>513
つーか、Worm/Nachiなんかに侵入される香具師が馬鹿。
OSのパッチ、PFW、アンチウイルスの常駐で防げるはず。

Windows Updateはしてたし、XPのファイアウォール有効でZAも入れてて
アンチウイルスソフトもオフにする必要がある時以外は常駐させてたのに…。

もうブラスターで騒ぐ時期過ぎてるでしょ？

未だに語ってるのみっともないよ！

>>516
明日からまた流行るから

さっき感染しそうになりました・・・

もうブラスターは忘れろ！今更感染したらそれこそ基地外と変わりないよ

忘れられない。あの夏の頃・・・そう今年のあの夏はブラスター一色だった。
ブラスターなんていい響きだ。

pingは減るが135が増加ってことか

>>516
きょうでタイマーの期限が来るからでしょ

ICMPめちゃくちゃ増えてきたぁ(；´Д`)

>>523
一分間に10以上来てるよ

あと１時間…
ブラスター　Break Out！！

なんかマジで137増えてきたわ (´・ω・`)

2004年になった
相変わらずICMPはじゃんじゃん来る

同じく、とまりましぇん。
で、しかたなく、おめでとうございます。

取りあえず日付が変わってから５発もらった (´・ω・`)

>>527
外国はまだ新年迎えてないからな。

>>530
あ、そっか

主に国内から来てる・・・

まさかガセだった？

Win機もバックアップ電池切れで日付がおかしくなったりするの？
うちのMacだと1956年8月27日になったりするんだけど。
今ICMP撃ってくる国内のPCってそういうのかな？って思ったから。

>>532
俺も。Plalaだけど、OCNとPlalaの会員から来てる。
発信元マシンのシステム時間が狂ってるのかな。

ひょっとするとBlasterのプログラムが日付チェックするのは起動時だけだったりして・・・

そうなると感染したままつけっぱなしのPCが全て再起動するまでおさまら（ｒｙ

>>536
なるほど。

なんか、うち、平常通りでちと寂しいのだが。
時代に取り残されてるのか、うちは。
ｳﾜｧｧｧｧｧｧヽ（`Д´）ﾉｧｧｧｧｧｧﾝ!

　　　　／￣| .　　人
　　　　|　　｜.　（＿_） ｲｪ〜ｨ！
　　　 ｜ 　｜. （＿＿）　ﾊｯﾋﾟｰﾆｭｰｲﾔｰ！
　 ,―　　　　＼（ ･∀･）　
　| ＿＿_） 　 ｜　　ノ　　
　| ＿＿_） 　 ｜）＿）　
　| ＿＿_） 　 ｜
　ヽ＿＿）＿／

ルーターのアクセス制限のログにTCP,port 22630が大量に来ているのは、
Blasterのせい？

これって何？これまずくない？お役所休みだからレポート出ないのかなぁ。
http://www.cyberpolice.go.jp/detect/observation.html

>>536 当たりかも
以前、blaster に感染させて、その後 nachi に感染させてから
PC の時計を 2003 年 12 月 31 日 23 時 59 分まで進めて
様子見てみたけど変化無し。
結局、再起動してタスクマネージャで確認したら起動直後に
一瞬だけ nachi が動いてすぐ消えた。
そのあと blaster に感染させたら元気よく 135 をたたき始めたけどね。

>>542
再起動してnachiがサービスから消えた状態で、また外部から
アタックされるとどうなるんだろ？やっぱり再感染？
国内からのping、ちっとも減った感じしないし。

このスレに常駐してるのは馬鹿ばかりだな

>>544
馬鹿じゃないところを見せてよ。

>>541
01/01 10:00 までに icmp の「山」がくずれてきているように見える。
01/01 22:00 までの「山」がどのような形になるか興味深い。
139/tcp が 12/29 12:00 ごろから活発になっている。

01/01 12:00 「山」が消えた！

blaster偉大なり

ICMPどどんと減った！

見事！山が消えた！

「発信元国別推移」にも注目！

Backdoor がグラフを突き抜けそうな勢い！

おい、USはそのままだが、JPが無くなったぞ。
JPは全てWelchiだったのかよ！

徐々に減ってはいるのね＞ICMP Echo Request

相変わらず10秒に一回くらいICMPが（略

http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=blaster%E6%84%9F%E6%9F%93%E5%AE%9F%E9%A8%93&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja

YBB、同じセグメントでまだ二人もかかったままなんだよね。
全体からみれば、半分から、三分の一になったんだけど・・・。

まさか、Pin打って、遊んでんじゃないでしょうね。

最大で300/hだったのが15/hだから減ってはいるんだけどね。

JP に続いて US も「山」が くずれてきた 01/01 23:00

末期患者の心電図見てるみたいだわ

WinXPのファイアウォールだけじゃBlaster対策に力不足かな？
やっぱりZAとかも入れなきゃ駄目？

絶対に迎え入れない自信があれば出て行く方を監視せずともいいわけだが・・・
送信のブロックはBlaster対策のためだけに考えればよいというものでもないからなあ。
そういう意味ではXP標準だけだと心許ないでしょう。

W32.Blaster.Worm
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html

>このワームは現在の日付の「月」が1月-8月の場合はその月の16日から月末まで、9月-12月の場合は毎日発病し、Windows Updateのwebサイトにサービス拒否(DoS)攻撃を仕掛けようとします。

W32.Welchia.Worm
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html

>コンピュータのシステムの日付を調べ、年の値が2004の場合、自分自身を無効化し削除します。

1月16日から心配・・・。

宛先ポート別推移
icmp は富士の裾野のように下っている…
135/tcp が上昇しているようにみえるが、気のせいか

発信元国別推移
JP は、スパッと切れて、いさぎよい
それにひきかえ、US は ﾀﾞﾗﾀﾞﾗ 垂れ流しで、しまりがない（ｗ

icmp祭りもいよいよ終焉ですね・・。引き換えに901/tcpが多くなった。
@policeを見ると、それほど増えてるようには見えないけど・・・

またICMP増えてきたぞ

>>541
そしてネットは平穏になった？

ウィルスの活動が沈静化して、免疫活動も沈静化しますた

そう考えるとnachiばらまいた香具師はM$から金を（ir

Windows Blaster ワーム駆除ツール (KB833330)
http://www.microsoft.com/downloads/details.aspx?FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf&DisplayLang=ja

漏れんとこはICMPはほとんど無いけど、UDP137とTCP135が増えてきた。

もうすぐ>>541のグラフも縦の倍率が変わって
「ICMP急に増えたぞ！」とか言い出す香具師も現れそうｗ

http://www.cyberpolice.go.jp/important/20040106_140933.html

Windows 再起動してもらいたいもんだな　とくに US

そだっ！
Nachi2 では、期限すぎたら、RunOnce で ReStart 組み込みｷﾎﾞﾝ ＞ vir 作成者

保守

ttp://www.isskk.co.jp/SOC_report.html より
2004年1月13日掲載
■CodeRed�U関連イベントの増加
SOCではCodeRed　II　関連のイベントが11日頃より多く観測されています。
発信元は中国からのものが大部分を占めています。
Windowsをお使いのシステム管理者の方は、今一度環境を見直し、必要な対応がなされていること
を確認することを推奨いたします。
＜CodeRed�U対策に関する参考URL＞
http://xforce.iss.net/xforce/alerts/id/advise90　（英文）

だそうです。また中国発の攻撃だよ。 ﾊｧ

★重要感染危険性情報

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-003.asp
UDP ポート 1434 脆弱性
　SQL client -> SQL server へのブロードキャストリクエスト
　の後の　server -> client のレスポンス処理時にバッファオーバーフロー

相対的に見ると、TCP/135とICMPが減り、
TCP/17300、TCP/4899、TCP/901、TCP/27374が増えた。
このスレもPart5で完結か。

あとTCP139が多くなったな（相対的に）

こういう厨の来ないウィルス情報スレが存続してると便利なんだが…

わしも。
こっからセキュ情報仕入れてるもんで存続ｷﾎﾞﾝ

★★★緊急感染危険性情報　（既出）

サーバープロセスのバッファオーバーランの脆弱性

Workstation サービス (port 138-139,445 TCP/UDP)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-049.asp
メッセンジャーサービス　（port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp
SMB (port:139)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-024.asp

MessengerとDCOMの無効化　>>417
Workstatinサービスの無効化　>>423
--------------------------------------------------
　　　　　　　FAQは　>>19,>>20,>>21,>>22,>>23,>>24
--------------------------------------------------

port1025にやたらアタックが来るんだが
これは新種？

という訳で、このスレはネットワークウイルス総合スレになりますた。


駄目？

ttp://www.cyberpolice.go.jp/detect/observation.html
135/tcp　ﾋﾟｸｰﾝ と増加傾向　ついに ｷﾀ━━!!!!?

>>583
ウイルス総合スレと言うよりは
インターネット定点観測を定点観測するスレ、ですなｗ

>>583
大規模ワームウィルス＆関連トピックスレ

139/tcpの出所って100％韓国のように見えるね

再起動する間隔が激短になり起動終了するなり再起動する状況で
サービスを停止することができない場合は
どないしたらエエンでしょうか･･･

という質問を上司から受けたのですがコノ場合はセーフモードで
起動してサービスを停止→修正ウェア007と039→駆除
って感じでエエんでしょうか。。。

回復コンソールでファイル削除してもいいし、
対策済み装置にマウントしてもいいし、
全フォーマットしてもいいし、
ごみ箱に放り込んでもよい。

>>588
いんや。
リカバリして、Microsoft 謹製“Windows XP セキュリティ対策 CD-ROM”
で修正してから、ネットワークにつないで、Windows Update してくれ。
Windows 2000 の場合は、リカバリしてから、
漏れの“Windows 2000 セキュリティ対策 CD-R”ver.3
で修正してくれ。（ｗ

>>588
stinger掛ければ駆除については考える必要はない

ttp://www.isskk.co.jp/SOC_report.html
2004年1月20日掲載
■ Bagle ウイルスについて
昨日より、Bagle と呼ばれるメールを使ったウイルスが、感染を拡大している模様です。
RealSecure では、Email_Virus_Double_Extension というイベントで、Bagle を含めた、実行形式のファイル
が添付されたメールをチェックすることが可能です。
RealSecure をご利用になっている場合、このイベントの推移に注意を払うようにしてください。

＃BAGLE は、その目的（踏み台 PC を確保）を達成したようだ。相当数の PC をゾンビとして操作する
ことができるようになったようだ。
しかし、ISSKK のグラフが 1/19 00:00 までなのが、おしいなぁ。

ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/
■ 2004.01.20
》 Microsoft Baseline Security Analyzer (MBSA) 1.2 日本語版 (Microsoft)
ttp://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=8B7A580D-0C91-45B7-91BA-FC47F7C3D6AD
出ました。Windows 2000 / XP / Server 2003 な人はぜひインストールしましょう。 詳細は Microsoft
Baseline Security Analyzer V1.2 (Microsoft) を。
……おや、日本語版 Microsoft Baseline Security Analyzer 1.2 早期提供のお知らせと利用上の注意点
(Microsoft) なんてページが。
日本語版 MBSA 1.2 用の修正プログラムデータベースは現在開発中でございます。(中略) 日本語版
MBSA 1.2 の MBSA ツールは、正式なものであり、ベータ版ではありません。ツールにより自動的に
ダウンロードされるデータベースのみベータ版でのご提供となります。
なんじゃそりゃ〜。

＃おちゃめではあるが、分かりやすく示されているので、自分のマシンをチェックしてみるといい。

W32.Novarg.A@mm　（シマンテック）
Mimail.R　（トレンド）
W32/Mydoom@MM (,マカフィー)

危険度高いウィルスMYDOOM発見
--------------------------------------------------------------
ウイルス対策ベンダー各社は米国時間26日、メールを大量に送信する新たな
コンピュータウイルスが、電子メールのエラーを装って数多くのPCに感染して
いることを警告した。

「MyDoom」と呼ばれるこのウイルスは、「Mail Delivery System」「Test」「Mail
Transaction Failed」など、いくつかある件名の1つが付いた形で受信箱に入って
くる。この電子メールには「The message contains Unicode characters and has
been sent as a binary attachment」（「本文にUnicodeが含まれているためバイナリ
形式で添付されています」）などの文とともに実行ファイルが添付されている。

セキュリティソフトウェアメーカーのNetwork Associatesでアンチウイルス緊急
対策チームを担当するバイスプレジデントのVincent Gullottoは、「このウイルスは
大規模に発生している。我々はこれを危険度の高いウイルスに分類している」と
語った。

http://headlines.yahoo.co.jp/hl?a=20040127-00000002-cnet-sci

MYDOOM(MIMAIL.R)概要
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R

別名: ミメイル, W32/Mydoom@MM, Win32.Mydoom.A, W32.Novarg.A@mm, Mydoom

感染確認方法：＜Windowsシステムフォルダ＞に以下のファイルが作成される
shimgapi.dll 　　taskmon.exe
ワームが送信するメール件名: 以下のいずれか
Error/Status/Server Report/Mail Transaction Failed
/Mail Delivery System/hello/hi
本文: 以下のいずれか
"The message contains Unicode characters and has been sent as a binary
　　attachment."
"The message cannot be represented in 7-bit ASCII encoding and has
　　been sent as a binary attachment."
"Mail transaction failed. Partial message is available."
"test"
添付ファイル名: ＜ランダムなファイル名＞.ZIP

レジストリ改変
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値： TaskMon = ＜Windowsシステムフォルダ＞\taskmon.exe （これをまず削除）
以下のキーを追加する
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version

こいつはSCOにDoS攻撃かけるのが目的らしい。その点では善玉。

Mydoom…こんなヤシ出たの？　知らんかった。

某企業の基幹ﾌｧｲｱｳｫｰﾙ管理者とﾒﾙｻﾊﾞの管理者がﾀﾞﾌﾞｸﾘしやがった！
身内の１人のﾎﾞｹｶｽもﾀﾞﾌﾞｸﾘしやがった！　_/￣|○ il||li

>>598
これにひっかかったんじゃないのか？
From: MAILER-DAEMON@****.***.**
Subject: Undelivered Mail Returned to Sender

鯖からの配達不能メッセージにウィルスが添付される
からくり↓

メール添付ウイルス「WORM_MIMAIL.R」が流行中
http://pc.2ch.net/test/read.cgi/sec/1075170355/140

もしもし…誰もいない…
みんなMIMAIL.Rスレへ引越しちゃったのかな？

>>600
・）

サービス感染型大規模ワームウィルス＆関連トピックスレ

いちおう貼っておく…

★セキュサイトへの接続を妨害する新型MYDOOM.B登場★
CNETの記事
http://japan.cnet.com/news/ent/story/0,2000047623,20064004,00.htm
F-Secure社の分析（日本語）
http://www.f-secure.co.jp/v-descs/v-descs3/mydoomb.html

オリジナルのMIMAIL.R (=MYDOOM.A)の情報はトレンドが詳しい
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R

ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/01.html#20040129_folder
■ 「フォルダ」に見せかけ任意のファイルを実行――Windows XPを狙う手口に警告
(ITmedia, 2004.01.28)
　元ネタ: Self-Executing FOLDERS: Windows XP Explorer Part V。
　　　　（中略）
　.folder 拡張子のファイルにフォルダアイコンを割りあてる、という仕様がそもそもの間違いであるように
思える。手元で調べたところ、これを無効にするには、レジストリ HKEY_CLASSES_ROOT\.Folder を削除
して再起動すればよいようだ。なお、Windows 2000 にはそのようなレジストリエントリはもともと含まれて
いなかった。Windows XP には存在した。

＃こりゃすげー！　かんたんで応用しやすい。WinXP なネラーは特に気をつけよう。

>>604
おお。デモプログラムを解凍してみたら、種類　フォルダ　になってる。確かに危ない。

フォルダオプションで変更しといた。

>>604
antinnyの入れものに使えるなこりゃ。

>>604
マイクロソフトがセキュリティパッチを出すべきだね。これは。簡単だし。

これって…、永久に無くならない？

サービス感染型大規模ワームウィルス＆関連トピックスレ

@police インターネット定点観測　復旧
http://www.cyberpolice.go.jp/detect/observation.html

>>604
フォルダオプションで.Folderを何も関連つけないように新規作成してもおｋですか？

まだ先の話だが、次スレは↓こういった感じでどうでしょう？

【ブラスタ】大規模感染ウィルス＆ワーム情報【後継】

>>611
今日はなんか多いね（；￣▽￣）y-~~

>>614
グラフ突き抜けているね。なんの Backdoor なんだろう？

>>615
うちのログ、3127が極端に増えてたから、例のmydoom関連だろう。

>604
そもそも「.Folder」拡張子って何に使うものなのか？
ググっても今回のセキュリティーホールに関することばっか。
誰かこの拡張子の有効活用している人はいるのだろうか。
セキュリティーホールを作るための拡張子にしか思えない

>>606
>>612

フォルダオプションで変更して、再起動などを経て数日たってから確認したら、
Folder拡張子の設定が元に戻ってた。わけわからん。

ついでだから、テキストファイルを作って拡張子を.Folderに変更してみたら、
ダブルクリックするとダウンロードの確認になった。
どういうファイルなんだろう？

うちのFolderﾀﾝはフォルダオプションでFOLDERの横が空欄の状態で今のとこ生きてる。

>>618
関連付けが戻るのか？
参ったなぁメモ帳にでも関連付けして
アクセス権でつぶすしかないのだろうか。
ためしに crashme のソースに
.Folder 拡張子をくっつけたら見事にやられた。
ローカルHTMLをｵﾐﾄﾛﾝに通すのは
さすがに馬鹿馬鹿しいし。

>>619
俺はキーごと消したからない。

>>620
関連付けってひょんなことから変わっちゃうじゃん。
いつのまにかmpgとかaviとかがWindows Media Playerに戻されてることなんか良くあるし。
何をしたらそうなるのかがわからんことが問題だよな。

>>620
フォルダオプションで拡張子の追加でfolderと入れてみると、すでに関連付けされていると出てくるかもよ。
一覧に表示がないだけで。

もともと.folderという拡張子は一覧になかったが
拡張子の追加でfolderを追加するとすでに定義されてるが変更するか？と聞かれて
.Folderを何も関連づけないように設定したんだがどうなんだろう。
.Folderを開くと開けませぬと出る。

検証のためとかでデフォルトに戻す必要があるなら、
regedit で HKEY_CLASSES_ROOT\.Folder のキーを適当な名前でエクスポート
してから、そのキーを削除しておくといい。
まぁ、WinXP なら同じなので、ほかのマシンのキーをエクスポートしてインポート
しても、なんら不都合（不都合を再現する不都合）は無いが…（ｗ

ttp://www.mainichi.co.jp/digital/flash/01.html

■「マイドゥーム」の攻撃で米SCOのサイトダウン

　米SCOは1日（現地時間）、大規模なDoS攻撃により同社サイトが完全に利用不能になっていると発表
した。日本時間の2日正午現在もサイトが見られない状態が続いている。同社グループのITインフラスト
ラクチャー部門ディレクターのジェフ・カーロン氏は「この大規模攻撃は、世界中の何十万台ものコンピュ
ーターに感染したと見込まれるマイドゥーム・ウイルスによって引き起こされたものだ」と述べた。

＃ @police の Backdoor は、これだな。

>>625
メール添付ウイルス「WORM_MIMAIL.R」が流行中
http://pc.2ch.net/test/read.cgi/sec/1075170355/501

すいません。
駆除をしようとして「fixblast」をダウンロードして、駆除のスタートをしたのですが、
「Ｃ￥ＷＩＮＮＹ￥ｓｙｓｔｅｍ３２￥ｉｐｃｏｎｆ．ｔｓｐ」
の所で、毎回アプリケーションエラーが出て中止してしまいます。
こんなときはどのように対処すればよいのでしょうか？
よろしくお願いしますｍ（＿）ｍ

>>627
リカバリ

>>627
　　　　　　｜
　　　　　　｜
　　　　　　｜
　　 ぱくっ｜
　　　　　／V＼
　　　　/◎;;;,;,,,,ヽそんなので
　＿　ﾑ::::(,,ﾟДﾟ)::| 俺様が釣られると思ってんのか!!
ヽﾂ.（ﾉ:::::::::.:::::.:..|）
　 ヾソ:::::::::::::::::.:ﾉ
　　 ｀ ー U'"U'

マジで釣りではないですｗ
リカバリということはまた一番最初の状態にもどすのでしょうか？
すいません。
パソコンの事よくわからないので…。
よろしくお願いします。

>>630
WINNYだから釣りだと思った

すいませんｗ
うち間違いですｍ（＿）ｍ
もう一度初期化すれば、直るのでしょうか？

>>632
スレの上のほうを良く見たり、シマンテックとかのページを見て正しくやればいいんじゃないの？
まずケーブルはずして、セーフモードでやってみたら？

ありがとうございます。
がんばってみます！

やはり止まってしまいます・・・。
今タスクマネジャーを見た所、TEEKIDS.EXEがなくなっているのですが、
これは駆除ができたということなのでしょうか？

>>635
修復インストールする。
マイクロソフトのセットアップCDがあるのならね。

>>636
多分買ってないので、ないと思います。
それでは、それを近所で探してみたいと思います！

>>637
むだな努力 or 大金をはたく必要
すなおにリカバリして、すこしはマニュアルを読むとか本を読むとかするのが、
近道なような気がする。中学英語ぐらいは必須。
ttp://www.liutilities.com/products/wintaskspro/processlibrary/teekids/
Description: You have the Lovesan worm.
って、検索すりゃすぐ出るじゃないかぁ。

【ブラスタ】大規模感染ウィルス＆ワーム情報5【後継】
http://pc.2ch.net/test/read.cgi/sec/1065964513/

質問させてください。
Blasterのおおまかな感染の流れは、
・攻撃先のIP生成
・TCP135に攻撃用のデータを送信してMS03-026のセキュリティ・ホール検索
・RPCのバッファ・オーバーフローをついてTCP4444で待機するリモート・シェルを作成
・感染元からmsblast.exeの本体を取得するコマンドを送りこみ実行させる
・感染拡大ﾏｽﾞｰ
って、感じだと思います。

ローカルIPを生成した場合、LAN上のパソコンが感染するのは理解できます。
グローバルIPを生成した場合でも、攻撃先のパソコンがグローバルIPなら理解できます。
つづく・・・

判らないのが、グローバルIPを生成した場合で、下記の様な構成だったときです。
ルータを飛越えてパソコンにアクセスできる理由がわかりません。

感染元パソコン
↓
インターネット
↓
MN128のISDNルータ(192.168.0.1)
↓
パソコン(192.168.0.2)

よろしく、ご教授ください。

１．ルータの設定がまずい
２．一瞬でもルータを通さず直接ダイアルアップ接続した事がある

>642　 レスありがとうございます。
>１．ルータの設定がまずい
はい。フィルタかけてないです。PC側もファイアウォールしてないです。
>２．一瞬でもルータを通さず直接ダイアルアップ接続した事がある
これは、ないです。

えっと、判らない点なんですが、
外側（インターネット側）からルータを挟んでローカルIPがふられているパソコンにアクセスできる点です。
これが、どうしても理解できないんです。
詳しい方、ご教授お願いいたします。

>>643
フィルタをかけていないのであれば、「IPスプーフィング」によってルータ内部に
不正侵入されたのかもしれませんね。
お使いのルータの取説やWebページに「スプーフィング対策用フィルタの例」が
載っているかも。

ttp://bit-drive.e-words.ne.jp/w/IPE382B9E38397E383BCE38395E382A3E383B3E382B0.html

ISDNルータの時代はまだセキュリティに関しては平和だったんだろうな
と言うわけでISDNルータのデフォルト設定は>>643のような事が出来るようになっている可能性がある
ルータ　フィルタリング　でぐぐって説明書読みながらがんがれ

職場でたまたまパソコンの話になった時、
極たまにしかパソコンは触らない、というﾔｼが、
「最近使おうと思っても、シャットダウンがどうのっていうメッセージが出て、
カウントダウンが始まって切れてしまって使えない。家族みんなで首ひねってる」
といいだした。
とりあえずウィルスっぽいからネットには絶対つなぐな、と言っておいたけど、
自分のOSの種類もわからない、Windowsupdateて何？というそのﾔｼに
どうやって駆除と防御の方法を教えたものか…。

>>646
２万くらいで駆除を請け負う。
いい小遣い稼ぎになる(w

>>647
後輩だし、たとえ出張したとしても、金取るとかはあんまりなあ。
電気屋の出張サービス頼めば確実だよ、とは言ってあるけど｡
でも家が農家なﾔｼだから、お礼に大根とか白菜はくれそう｡

まったく別のことで別の人(やっぱり農家の人)だけど、ちょっとした事のお礼にって
ごっそり野菜貰った事が過去に何度かあるんだ。

長閑でんなぁ！

>>648
いいね〜おまいと知り合いの人柄がしれる。
大根＆白菜の方が、金より(・∀・)ｲｲ!!

>>648
夕飯でも馳走になれば宜しかろう。
良酒を一献頂くのも良いでは御座りませぬか。

>>648-649
ども。
とりあえずOSの種類を聞き出して
タスクマネージャ見てもらってウィルスであることを確定して、
対処法載せてるサイトのうち一番分かりやすそうなのを印刷して、
さらに注釈でもつけて渡してみる｡
あと、職場のパソコンである程度操作の仕方をレクチャーしてみる。
ネットは禁止しておいたし、もともと普段はネットしないﾔｼだから、少しずつやってもいいし、
今後のことを考えれば、なるべく自分でやっておいて欲しいとも思う｡
それでも無理なら出張かな。

>>652
お疲れさん。
ネットワークで感染/攻撃しているユーザーで、自分のパソが「調子わるくなった」程度に思っていて、
ネットワークに大きな危害を加えている、ってゆう意識のかけらもないのを説明するのに疲れるね。
ていねいに指摘してやっても、「始末書でも書けということですか？」なんて逆ギレする者もリアルで
いるよ。

>>653
>「調子わるくなった」程度
まさにそんな感じでした｡
後輩は、逆切れとかはしないけど、ねはあげそうな気はする｡
ところで偶然休みが交代で入ってたので、次に会うのは木曜日でした。
まだ何にもしてません｡資料だけそろえとこう。

ttp://www.cyberpolice.go.jp/important/20040210_132352.html

■TCP901番ポートに対するトラフィックの増加について(2/10)　<2004/02/10>

2 月10 日現在、警察庁では多数のIP アドレスを発信元とするTCP901 番ポートに対するトラフィックの
増加を検知しています。

１ 概要
・ 警察庁のファイアウォールにおいて、901/tcp のアクセスが増加。8 時14 分〜26分にかけて集中して
おり、ピークは15 分。
・ 発信元国別では、US とKR が3 割、以降CA,FR と続く（国内は0 件）。発信元IPアドレスは特段、集中
していない。
・10 日11 時現在、901/tcp アクセスは減少中。

＃smpnameres 901/tcp, 901 swat, realsecure なんだけど…

オリジナルMYDOOM
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A

MYDOOMの亜種早くも3種類出現…
Mydoom.B
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.B
Mydoom.C=Doomjuice
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DOOMJUICE.A
　3127を叩く　
　悪さ：MSにDoS攻撃
　本体 intrenat.exe
Deadhat
　http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.deadhat.html
　3127、3128、1080を叩く
　Mydoomにとって代わる　
　悪さ：2766 (TCP) のバックドアで着信待機

今度のセキュリティホールは、ファイアーウォールでは防げないか。
『セキュリティ情報の「回避策」の項には，ただ一言「なし」と記述されている。
設定変更やパーソナル・ファイアウオールなどで回避することはできない。』

【ブラスタ】大規模感染ウィルス＆ワーム情報5【後継】
http://pc.2ch.net/test/read.cgi/sec/1065964513/

>>657
感染の端緒のメール添付ファイルをスキャンしてればOK

Welchia=Nachi (ブラスタ)に亜種がひさびさに登場しますた。
初感染報告↓
セキュリティ初心者質問スレッドpart36
http://pc.2ch.net/test/read.cgi/sec/1075135866/798-806

トレンドマイクロ　Nachi.B (= Welchia.B)　解析中…
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B
シマンテック、解析中…（タイトルだけ）
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801

・その他の情報：
・ウイルスコード内に以下の文字列が含まれます：

LET HISTORY TELL FUTURE !

1931.9.18
1937.7.7
1937.12.13 300,000 !

1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso

1945.8.15
Let history tell future !

だってさ。犯人は中国人かな。やれやれ。

>>661
本多勝一かも。

ヒグチちゃうの？

>>661
【ネット】ローソンチケットのサイトがクラック【どうなる個人情報】
http://news5.2ch.net/test/read.cgi/newsplus/1076582598/

ローソンクラックの取り込み中、失礼します。

ttp://www.cyberpolice.go.jp/important/20040211_111630.html
■TCP3127番ポートに対するトラフィックの増加について(2/11)　　<2004/02/11>

ttp://www.cyberpolice.go.jp/detect/pdf/H160211-3127.pdf

　　　　TCP3127 番ポートに対するトラフィックの増加について

　2 月 11 日 0:00 時現在、警察庁では比較的多数の IP アドレスを発信元とする TCP3127
番ポートに対するトラフィックの増加を検知しています。 本事象は、一連の MyDoom ウイ
ルスの蔓延とその感染 PC に対するスキャン行為に関連するものであると考えられます。

＃漏れがテストしたときは、TCP/3127 TCP/3128 が LISTENING ができていた。

3127への無駄アクセスが0時4分を境にぱたっとやんでた

ttp://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B&VSect=T
WORM_NACHI.B

Network Propagation and Exploits

This Nachi variant takes advantage of the following vulnerabilities:

Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
WebDAV vulnerability
IIS5/WEBDAV Buffer Overrun vulnerability

For more information about these Windows vulnerabilities, please refer to the following
Microsoft Web pages:

Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS03-007
Microsoft Security Bulletin MS03-049

これか。能天気なサーバー（とくにイントラ）が、また やらかす悪寒の朝。
管理者にげるな！

>>668

Symantec Security Response - W32.Welchia.B.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html

以下の脆弱性が追加。

>The Locator service vulnerability using TCP port 445 (described in Microsoft Security Bulletin MS03-001). The worm specifically targets Windows 2000 machines using this exploit.

トレンドのパターン７６３でNachi.aの残骸のsvchost.exeをNachi.bとして検知してるっぽい。
symantec情報だとwin2kではc:\winnt\system32\drivers\にsvchost.exeがあるようですが、上がってきたアラートはみんなwins配下だった。

ttp://www.itmedia.co.jp/enterprise/0402/12/epc12.html

Microsoftのセキュリティ対策センターでセキュリティプログラムマネジャーを務めるスティーブン・トゥールーズ氏は、
今回の脆弱性は昨年8月にMSBlastが拡散する原因となった脆弱性に似ていると指摘。
「影響を与える可能性があるコンピュータの数に関して比較的類似性がある。
（この脆弱性は）Windowsの全バージョンに存在する」と同氏。

米国時間の2004年2月10日に公開された、Windows の脆弱性MS04-007は、Windows に組み込まれ
ている ASN.1 処理ルーチンのバグによるものです。

　この ASN.1 ルーチンに、特定のデータを送りつけることにより、バッファオーバーフローを引き起こし、
その Windows 上で、任意のプログラムを実行できる、という物騒な物です。

　ここでいう「データを送りつける」という行為は、ローカルシステム上からだけでなく、リモートからも可能
です。なぜなら、このルーチンは、Kerberos、NTLM などの認証サブシステムや、SSL を使用するアプリ
ケーション(IIS や Internet Explorer、Outlook Express)が共通で使っているからです。
　例えば IE は、https で他のサイトに接続するとき、相手のサーバから送られてくる電子証明書の解析
を、この ASN.1 ルーチンを使って行います。よって、悪意あるサイトが、この脆弱性を利用した変な証明
書を送りつけてくると、IE を走らせているパソコンがヤラれます。
　逆に、IIS 上で SSL サイトを走らせている場合、クライアント認証の過程で、えげつない証明書を食わさ
れてサーバが壊される危険性も孕んでいます。怖いですね。

>トレンドのパターン７６３でNachi.aの残骸のsvchost.exeをNachi.bとして検知してるっぽい。
>symantec情報だとwin2kではc:\winnt\system32\drivers\にsvchost.exeがあるようですが、上がってきたアラートはみんなwins配下だった。

　誤報で正解。今トレンド新パターン作成中らしい。簡便してくれ

よくブラスター対策ページに書いてある、
『以下のファイルが見つかったら感染しています』ってあるんですけど、
症状はブラスターに似てるのに、その実行ファイルが見当たらないってことはあるのでしょうか
最終手段はやはりクリーンインストールするしかないのかな

>>669
svchost.exe が、なんで wins の中にあるんだ？　ふつう空だが。

>>673
あるよ、よくある。　とくに初心者とかが使っている PC の中で。

あら、あら、あら！！

ttp://www.cyberpolice.go.jp/important/20040213_223241.html

■Welchia.B（NACHI.B）ワームの概要について(2/13)　　　<2004/02/13>

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年２月１３日
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　 警　　　察　　　庁

　　　　　Welchia.B（NACHI.B）ワームの概要について(2/13)

　２月１２日にお知らせしました、日本のWEBページを対象に改ざんを試
みるWelchia.B（NACHI.B）ワームについて、検証を行いました。
　検証結果の詳細は、Welchia.B（NACHI.B）ワーム概要（PDFファイル）を
ご覧ください。
ttp://www.cyberpolice.go.jp/detect/pdf/Welchia_worm.pdf

なんか回線すぐ落ちると思ったら、W32.Welchia.B.Wormに感染してしましました（；´Д⊂）
感染ファイルは以下
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XAZGLIR\WksPatch[1].exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XAZGLIR\WksPatch[2].exe
C:\WINDOWS\system32\drivers\svchost.exe

セーフモードで上記ファイルの削除と、レジストリ削除したけど、
対策のパッチはまだかいな・・・

>>678
MS03-049ならとっくに出てるけど。

>>677
なんだよ、Nachi.Bｔってのはロケールが日本語だと永久に
終わらないのかよ。うぜー。

警察庁Welchia.B (=Nachi.B)を解析：日本語Webページを破壊、永久に停止せず

Nachi.Bは感染対象のロケールが日本語だった場合、IISが組み込まれていれば
Webページの内容を反日スローガンに改竄し、自動停止期日が過ぎても停止しない
などの動作をすることが明らかになった。

１　攻撃ポート　port 445、port135、port80
２　活動期限　日本語以外の場合　2004年6月1日　（起動中の場合、感染から120日後）
　　日本語の場合、無期限に活動
３　WEBページ改竄　ロケールが日本語の場合、IISドキュメントルート直下のファイル
を「Let History Tell Future ... 1945.8.6 Little boy」などの反日スローガンに改竄
４　感染後の動作
本体プログラム　<システムフォルダ<>\drivers\svchost.exe
レジストリ改変　HKLM\System\CurrentControlSet\Services\WksPatch

詳細はPDFファイル　http://www.cyberpolice.go.jp/detect/pdf/Welchia_worm.pdf

日本語狙い撃ちかよ…

なんでトレンドもシマンテックもNACHI.Bが日本語環境でめったくさ
破壊活動することを発表しないんだ？　警察庁よりそんなに解析
能力が低いのか？

>>683
BlasterやNachi.A対策でセキュリティパッチをあてていれば感染の危険性が
ない。そして去年の夏の騒動で懲りた企業はセキュリティ対策を強化している。

SymantecもTrend Microも日本時間で12日には解析を開始して情報を公開していた。

むしろ今頃同じ脆弱性を突くNachi.Bに感染するほうが・・・。ローソンとか・・・。

既出かも知れないが、
PDFを見ると某チケット屋のトップページを変えたのは
これみたいだな。
あそこでチケットを買うのは危険だな..個人情報がダダ漏れになりそうで。

NACHI.Bの破壊活動をトレンド、シマンテックはなぜ公表しないのか？

>>684は
> SymantecもTrend Microも日本時間で12日には解析を開始
> して 情報を公開していた。
というが、解析を開始したきりで、未だに破壊活動情報を公表しない。

NACHI.BはWEBサーバのデータファイルを改竄して、
　1945.8.6 Little boy(←広島の原爆)
　1945.8.9 Fatso (←長崎の原爆)
というような反日スローガンに書き換える

この情報をトレンドは未だにウィルスデータベースに発表してない。
> ウイルスコード内に以下の文字列が含まれます：
などとそしらぬ顔。

シマンテックは英語サイトでは
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html
10　Overwrites the files it finds with the following .htm file:
と破壊活動を行うことスクリーンショット入りで明確に表示しているのに、
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801
日本語サイトではタイトルだけでNACHI.Bの解説は全く出していない。

これはどういうことなのか？　それほど日本法人の能力は低いのか？


　

>>686
ttp://www.symantec.com/region/jp/sarcj/index.html
の下の方にある危険度の高いウィルス情報のTopに入ってるだろ
ttp://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.b.worm.html

コピペうざい上に自分の能力の低さを自慢すんな

>>687
ま、もちつけ。（ｗ

>>684
甘いな。企業のセキュリティはそんなに上がっていないよ。
外部に開発を委託している場合，開発元がセキュリティパッチを
当てるのを嫌がるのだ。

現状は，企業内部の運用部が（もし技術力があればだが）パッチを当てて問題
無いことを確認し，
「問題無いからこれで行くよ」
「そちらでそういう判断をされるのであればどうぞ」
って感じで進んでいるのが実情。

>>689
同感
SPも当てられないのも現実にある
今回のMSのパッチの条件はSP2だが
SP2当てたら動かなくなるソフトがあったりする

>>689
同感。システム屋さんに、おらしらねえよ、っていわれた日にはお手上げだ。
「ただのパソコン」として使っているPCは勝手にさわれるけど、
専用にプログラムが入れてあったりすると、ご指示に従うか、自己責任で
やるかどっちかだ。だれも責任を取りたくないもんで、ほったらかし。
責任ていうのは、パッチを入れたことで、専用の独自システムが動かない
ことに対する責任ね。
こういうPCは隔離しておきたいが、出来ないし。

だにゃ。
むやみにパッチは当てられない、勝手には動けない。

おめーら見たいのがいるから、俺が最後に泣きつかれて苦労すんだよ。氏ね。

>>693
>>689-692は、むしろ、「最後に泣きつかれて苦労」してる人達だと思ったりするわけだが。誰に対してのﾚｽなんだろうか？

できねーし。とか言って結果的に放置してる奴。

★★★★★★緊急感染危険性情報

主要サーバープロセスのバッファオーバーランの脆弱性

Q828028 msasn1.dll (https client and so on)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-007.asp
Q830352 WINS (42/tcp 137/udp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-006.asp
Q828749 Workstation service (138-139,445/tcp/udp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-049.asp
Q828035 Messenger service (137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
Q824146 RPCSS (137-139 MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
Q823980 RPC DCOM (137-139 MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp
Q817606 SMB (139,445)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-024.asp
Q815021 WebDAV (80/tcp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-007.asp
Q810833 Locator Service
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-001.asp
Q326830 SMB
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-045.asp
Q314941 UPnP
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS01-059.asp
Q307298 telnet
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-004.asp

>>673
stinger
www.nai.com

>>696
最低限、これらのパッチを当てていないW2K/WXPをLAN/WANともにネットに晒すべきではない。

【ｺﾝﾋﾟｭｰﾀ】政治的なメッセージを送りつける、今度のNachiワーム 中国人の仕業か？[02/13]
http://news2.2ch.net/test/read.cgi/news4plus/1076642142/
【週間ｱｯﾌﾟﾃﾞｰﾄ】欠陥だらけのＩＥ　今度も深刻度最高　ＭＳ社が修正ソフト配布
http://book.2ch.net/test/read.cgi/bizplus/1075806262/
【MS】「緊急」含む2月の月例パッチを公開、Virtual PC for Macにも脆弱性【週刊アップデート】
http://book.2ch.net/test/read.cgi/bizplus/1076516893/
【ブラスタ】大規模感染ウィルス＆ワーム情報5【後継】　　　Blasterスレ　part5
http://pc.2ch.net/test/read.cgi/sec/1065964513/

@police インターネット定点観測
ttp://www.cyberpolice.go.jp/detect/observation.html

ttp://www.asahi.com/national/update/0216/025.html
日本語ウインドウズにのみ働くＰＣウイルス発見　中国

　香港の中国系紙・文匯報によると、北京のコンピューターソフト会社「中国瑞星」が、マイクロソフト社製
のＯＳ、ウインドウズ２０００と同ＸＰの日本語版にのみ被害を与えるコンピューターウイルスを発見した。
　ウイルスは「Ｗ３２．Ｗｅｌｃｈｉａ．Ｂ」という名で、コンピューターのＨＴＭＬファイルを書き換えるという。
画面上に黒地に赤く「ＬＥＴ　ＨＩＳＴＯＲＹ　ＴＥＬＬ　ＦＵＴＵＲＥ」（歴史に未来を語らせよ）という英文が出現
し、満州事変や廬溝橋事件など日中間の事件の日付とみられる数字が表れる。
　同社は「内容から見て、制作者は中国人の可能性が高い」としている。 (02/16 19:47)

＃朝日いたすぎ（ｗ

Welchia.C.Wormが出現

ttp://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.c.worm.html

ttp://support.microsoft.com/default.aspx?scid=kb;ja;831167
マイクロソフト サポート技術情報 - 831167
Wininet により空白のヘッダーのみの POST 要求が再送される
現象
ユーザー名やパスワードなどのデータを Wininet 関数を使用して Web サーバーに送信するプログラム
は、Web サーバーで最初の接続要求が終了すると (またはリセットされると)、空白のヘッダーのみの
POST 要求を再送します。
原因
この問題は、セキュリティ修正プログラム (MS04-004) (832894) または修正プログラム (821814) の
適用後に発生します。
解決方法
修正プログラム情報
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
ダウンロード Q831167.exe (32-bit) パッケージ
Q831167.exe
http://download.microsoft.com/download/9/3/c/93c40dd8-bd75-42f8-a965-95c09f15fc7c/Q831167.exe
ダウンロード Q831167.exe (64-bit) パッケージ
リリース日 : 2004 年2 月 12 日 (米国時間)

＃こんな修正パッチもでてますよ。パッチあてますた。

ttp://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.E
WORM_MYDOOM.E

>>693
別におまいに迷惑かけてるわけじゃなし。一般PCの話じゃないんだ。
あ、感染はしてないからね。その点は誤解なきよう。
パッチをすぐにはあてない＝なにも知らない、ではないから。
少なくとも、ここに来てるやつは、自力でやれる対策はとってると思うよ。
でなきゃ、こんな所へやって来ない。

＞別におまいに迷惑かけてるわけじゃなし。

という奴に限って思わぬ所で大勢の人に迷惑をかけるんだよな。

【PC】日本語ウインドウズにのみ働くＰＣウイルス発見　中国
http://news5.2ch.net/test/read.cgi/newsplus/1076933503/

>>700
IDSのwormが漸増しているようだが。

　＿ ,;;――――- ､
　　　　／　　　　　　　　　　　　ヽ
　　　 /　　　　,,＿,,,,;;ヽ　　　　　 |
　　　/　　　/　　　　　| ｌ　　　　 ゝ
　　 / 　　　|　-―‐　 ヾ ヽ ＿_ ゞ
　　 | 　　　| 　, ―― ､　 , ―‐‐､ヽ
　　 | 　 　/〉=| (　・ ) |⌒| ( ・ )　|ヽ
　　 | 　／"　　ー―‐'　　ヽ ―‐' |
　　 ｌ; ''　ヽ　　　　　　(　 :::::） ､） |　／￣￣￣￣￣￣￣￣
　　/　　　 |　　　　 ＿＿＿＿_)　＜　、まじ、すまんかった
　　|.　　　 |　 　( ＿＿＿ヾ'ｌ　　|　　＼＿＿＿＿＿＿＿＿
　　ｌ;　　.／ｌ　ヽ ＿＿＿＿_ノ /
＿,ヾ-‐''|　 ｌ　　　　　　| 　|　’`‐-;;,＿
　　　　　ヽ　ヽ 　　　　/　/

>>702
マイナーな亜種であり、機能面では亜種 B と同じです。

パッチを当てない理由は実際ほとんど無い。
開発元が「SP２を当てると動かなくなる」と連絡してきたのも，
実際にこちらでテストしてみると何の問題も無かった。
それ以降，当てるとどういう問題があるのか具体的に説明をもてめるようにしている。
回答は「・・・の恐れがある」とか言って来るので試したのかと聞くと試していない。

まぁ〜　こういうのは元ソフトハウスで開発していた人間がスピンアウトして
発注元に回っているような特殊なケースでないとできないのかもしれないが。

>>711さんみたいにリスクの判断ができる人だといいわけですが…

パッチ当てた後で動かんかったときに「直せ」といわれて、直るまで金
払わんとか言われたらどうします？　「試したか」と聞かれたときは
「パラメータの組み合わせ全部は試してません。」と答えてる。これは
事実ｗ。

パッチ当てるのも当てないの管理者の「自己責任」でお願いしてます。

ひょんなことで、大規模基幹システムのサーバー管理担当者に事情をきく機会をえた。
パッチあてない理由：
１．運用中のマシンとソフトウェアの所有者が、はっきりしない
２．修正パッチによる、運用しているソフトウェアへの影響が確認できない
３．Windows NT （おそらく SP なし）なので、パッチがない
４．これまでウィルス感染がなかった（と思う）ので、そのままにしている

ttp://www.cyberpolice.go.jp/important/20040218_112145.html
■Beagle.B（Bagle.B、Alua）ウイルスの発生について(2/18)　　　　　　　　　　　 <2004/02/18>

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年２月１８日
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　警　　　　察　　　　庁

Beagle.B（Bagle.B、Alua）ウイルスの発生について

　2月18日現在、警察庁では、メールを介して感染するBeagle.B（Bagle.B、Alua）ウイルスが発
生しているとの情報を入手しました。このウィルスは、大量にメールを送信する機能があり、
バックドアを仕掛けるとの情報があります。不審なメールや添付ファイルを安易に開封しない
など、十分に警戒してください。

>>713
4. はﾜﾗﾀ

>>712
出荷するときにもパラメータの組み合わせ全部を試していないに違いない。

うわぁぁぁぁぁぁぁっぁぁぁ
あと、、、１０秒で再起動しますっていっています。

８、７、６、うわぁあああああああああ

どうしよ

>>717　再起動させりゃいいだろ？　行が無駄なので１行で済ます。（ｗ

>>717
勝手に再起動してろ！

>>717
（　´∀｀）σ）Д｀)

>>717
お前はそれを10秒で書いたのか？ｗ

>>713
自宅から離れた倉庫の鍵の脆弱性を放置したまま（＝常時管理していないサーバーのパッチを当てないまま）で
泥棒に侵入されても（＝ワーム・ウィルスなどに侵入されても）
その家主（＝管理者）に責任は追及されないけれども、
そこを泥棒のアジトにされて（＝ワームの元やバックドアなどを仕掛けられて）
周辺の家（＝コンピュータ）に被害が及んだときには
容易にアジトを作られていた（＝ワームの元やバックドアなどを仕掛けられていた）事に気づく事ができるような場合には
不法行為性があるぞ

大事になってみないと分からないもんだろうが、
そもそも物事が表面化して大事になる可能性もそう大きくはないわけで、
そこが困りどころだな。

>>722
不法行為性については、このような常識論はもとより、不正アクセス禁止法の努力義務違反にもなるので、
不法行為性があることは議論の余地がないだろう。

>>696
>>698
Windows NT4.0 （各種） SP6a以降
Windows 2000 （各種） SP2以降
Windows XP （各種）
Windows Server 2003　（各種）
が主な対象。UPnP については、Win98/98SE/Meも含まれる。
また上記より古いSPのレベルのOSは前記パッチが当てられなかったり、
もっと古い脆弱性（ICMPで死ぬとか)があったりするのでネットワークへの接続は停止すべきである。

やっと日本語版3.6ccb・・・

SP当てられないマシンに関しては
アンチウィルス入れて対応してる
ただシマンテックみたいにデフォルトの設定だと
ターミナルサービスと相性が悪いのもある

>>726
そりゃ単なる対症療法

>>727
世間一般ではSP当てられないマシンがあったら
サイバーノーガード戦法しか適用されていない現実がある。

>>728
FWも追加しとけ。

他スレから来ました。
XPの場合、いわゆるブラスタの侵入を防ぐためのパッチは03-001 03-007 03-039と
認識していたのですが他すれでSP1必須と言われました。
ブラスタ防ぐにはＳＰ１は必須ですか？

>>730　いったい どの「他スレ」の何番あたりから いらっさいますたか？

すこし前の方の「パッチあてない理由：」で気になったのですが、
Windows NT Server 3.5 で問題は起こらないのでしょうか？
某担当者：「あまりに古すぎるので、感染しなかったんでしょう」
とか話しておりました。
NT 3.5 あたりになると、ちょっと自分自身の経験と最近の情報から、
その事情がわかりません。
株式会社ラックの 2003年8月15日の“Blaster-worm_guideline.pdf”でも

２．影響を受けるコンピュータ
　　Microsoft Windows NT Server 4.0
　　　：

となっています。そのあたりの事情について、どなたか情報をお持ちの方の
コメントをいただければ、ありがたく思います。

影響あるかもしれないし無いかもしれないけど、誰もそんな古いバー
ジョンまで調べてないので「知りません」だろうな。

まぁNT3.5だとExplorerも無いし、レジストリもまだあまり利用されてない、
IEがあってもせいぜいCOMコンポーネント化される前のIE2.0とかそんな
レベルだったはずなので、今時出回ってるほとんどのウィルス/ワーム
は動かない事の方が多いだろうけどね。

BlasterみたいにRPCSSのバッファオーバーフロー突くような奴はNT3.5
でも影響ありそうな気もするけど、DCOMサポート前で実装が違ってる
からセーフとかあるのやもしれん。

いずれにせよもうNT3.5のセキュリティ情報など手に入らないのだから
影響は「てめーで調べろや」しか無いと思うが。

>>733　コメントありがとう。

もし「Windows NT Server 3.5 で問題は起こらない」のであれば、
そのままにしている某（引継ぎ）担当者の判断は正しかったのかもしれません。

「新しいモノを構築する検討をしています」とか苦しい釈明をしていましたが、
別のアプリで新しいモノが作成されて、たいへんな問題が起きてている中で、
投資対利益、成果追求、組織の中の立場とか、いろいろと考慮すると、某担当者に
及ばないかもしれませんが、自分もそうした状況判断をしているかもしれません。

>>730
レスがつかないようなのでちょっと・・
当方、SP1を当てずにBlaster対策パッチは適用出来ています。
もちろん、それ以外の　WindowsUpdateは導入済み。
昨年９月頃（Blaster以降）、SP1を当てないとそれ以降のパッチは適用
出来ないよ、とMSが公表した事があるので、それのことを指しているのかも
しれないけど、言った人にきいてみないとわかりませんね。

こちらでは、SP1なしでそれ以降のパッチも導入できているので、MSが方針を
かえたのかも知れない。
SPは雑誌の付録ででなくなってどうしようかと思っていたけど、Blaster騒ぎで
CD-ROMで入手可能になったことはありがたい。

先週あたりからport6881へのsynがもの凄い数なんだけど何これ？

>>736
ファイル交換ソフトが使ってるポートみたいですね
ttp://bitconjurer.org/BitTorrent/FAQ.html

BitTorrent が他の BitTorrent をさがしていると…
ルーターないと、たいへんですね

port 135
ttp://www.cyberpolice.go.jp/detect/observation.html
で、インターネットで、いまだに盛んな様子。
某イントラネットで、まさに port 135 （RPC DCOM）を必須とする Server-Client プログラムが
稼動していることを発見。　ふしぎなことでしょうが、ウィルス感染しなかったそうです。

そりゃあwindows updateしてたんだろ

>>740 ブ、ブー！　はずれ
Windows が古すぎてパッチあてられない、てゆーかパッチ無いし、
あまりに古いので最近のに感染しなかったんでしょう、とのこと。

感染してしまったぽいです。
起動時にカウントダウンが始まってシャットダウンされてしまうので何もできません。
セーフモードでもシャットダウンされてしまいます。
このような場合はどうしたらよいのでしょうか。
どなたか御教授願います。

>>742
そのパソからHDD引っこ抜いて他のパソに2台目HDDとしてつなげて駆除する。

>>743
ﾏ、ﾏｼﾞｯｽｶ
他には対処法ってないですかねぇ。

>>744
>>743 それが王道。（ノートだとつらいかな）
ただし、ウィルス対策ソフトがそのつなげたHDDのレジストリまで修復するかどうか。
（たぶん修復しないだろう）
起動時のエラーがでるかも。ウィルス起動するようになっていても、ウィルスがない
のでエラーメッセージ。Windows は、ちゃんと起動するので、ゆっくりレジストリを
吟味してみるといい。

★DCOM を無効にしておこう。（ウィルスは DCOM を使うから、使わせない）
コントロールパネル＞管理ツール＞コンポーネントサービス＞コンピュータ＞
マイコンピュータ＞右クリック＞既定のプロパティ＞
「このコンピュータで分散COM を有効にする」のチェックを外す。＞OK OK＞再起動

Windows 修正パッチをあてよう。
重要な更新以外のよけいな「推奨する更新」とかもやっちまうと、とくに Windows 2000
で無線LAN がうまく動作しないとかがある。
Windows XP (SP なし) からだと、サウンドが鳴らなくなる場合があるので、PC メーカー
のサポート情報をよく見ることをお勧めする。

>>745
そうですか…。
ところでこれって2台のPCをUSBで繋げてもできますか？

>>746
「HDD引っこ抜いて」って書いてあったよね。それすら読めないなら、君には無理だ。
さっさとリカバリすることをお勧めする。
そいで、DCOM 無効にしてから、ネットワークにつないで Windows Update。
Windows XP なら無料の Microsoft “Windows XP セキュリティ対策 CD-ROM” が
あれば、なおよし。ネットワークにつなぐ危険性を回避できる。
最近 Microsoft は、Windows 98 98SE ME 2000 XP の対策 CD-ROM を、注文すれば、
送る措置もとっているようだ。

>>747
よく考えたらUSBでできるわけない罠。
いろいろ突っ込みたいところもあるけど
なんだかんだ言って教えてくれる君の態度に萌えたよ。
じゃ

>>744
ネットワークのケーブルを引っこ抜け。

>>741
dcomってw2kからだろ？
じゃあ、感染しているのに気づいてないか、感染しても活動しなかったかだな

2004-03-02
■関東農政局のパソコン7台がウイルス感染
　農水省関東農政局（さいたま市中央区）の庁内LANに接続されているパソコン計7台がコンピューター
ウイルスに感染し、同農政局は2月27日から1日までLANと外部との接続を遮断していたことが2日まで
にわかった。感染によるシステム障害や、ネットワーク遮断による業務への影響などの被害はなかった
という。
　同省大臣官房情報課によると、ウイルスは「ブラスター」で、27日午後5時ごろに庁内のパソコン1台を
ウイルススキャンしていて見つかった。他のパソコンを調べたところ7台の感染がわかり、ウイルスを駆
除し、基本ソフトに修正プログラムなどを当てるなどの対策を取った。感染は庁内にとどまり、本省や他
省庁への影響はなかった。また同局のホームページは庁内とは別のサーバーで運用しているため、閲
覧を停止するなどの影響は出なかった。
ttp://www.mainichi.co.jp/digital/network/today/1.html

カウントダウンでシャットダウン＝ブラスターというのは間違ってますか？
なんかテンプレ参考にいろいろ探してみたんですけど
abcdのどれでもないっぽい…。
ちなみにOSはWindows2000です

フォーマットして再インスコしる

今日インターネットができる様になったんですけどどうやらブラストとかいうのに感染したみたいっす。 みなさんの言ってるディレクトリとかファイルはどうやって見たらいいんでしょうか？パソコン初心者すぎてなにもわかりません(´・ω・｀)ちなみに今は携帯からです。

>>754
親切に教えてくれるから、この板に行きなされ。
PC初心者
http://pc2.2ch.net/pcqa/

>>754
初心者はやたらにドライブ内を触らない方が良いかと思われ
まず満喫逝ってBlasterの駆除ツールと修正パッチを焼いて鯉



ﾏｼﾞﾚｽしちゃった……(´-｀)

>>755さん ありがとうございましたm(_ _)m >>756さん ですがインターネットに接続もできないんです(;_;)

>>757
家の唯一のＰＣがBlasterにやられて接続できない、ってこと？
だれか知人の家、漫画喫茶などのＰＣでツール手に入れるか、
自分のＰＣを初期化再インストールか。
がんがれ。

>>757
前にも関連カキコあるけど、それを漏れの状況にあてはめてみよう。
たった１台しかないとして、感染したと判ったときには、その状態で PC は決して起動させないね。
たとえノートPC であっても、パーツショップから新しいそれに相当する HDD を買ってきて、自力で
HDD交換してからリカバリするね。（感染の状況の保全をする意味でもある）

内蔵HDD を USB接続などで外付HDD にすることができるケースがショップで販売されている。
それを使って自分の蓄積していたファイルは自在に扱うことができる。

一部の製品で、リカバリ情報が内蔵HDD のみに特殊な形で保存されている場合は、PC メーカー
へ有償で HDD交換の修理依頼するだろう。この場合には、蓄積していたファイルなどは戻らない。

>>750
NT4から。

DCOM for Windows 98なんてのもある。

標準ではインスコされないんだよね？>>NT4 / w98

ttp://www.cyberpolice.go.jp/important/20040308_231816.html
■TCP1025番ポートに対するトラフィックの増加について(3/8)　　　　　　　　<2004/03/08>

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年３月８日
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　警　　　察　　　庁
TCP1025番ポートに対するトラフィックの増加について

　3月8日現在、警察庁では、TCP1025番ポートに対するトラフィックの増加を検知していま
す。
このポートはWindowsのRemote Procedure Call(RPC) を使用するDistributed
Component Object Model (DCOM) インターフェイスで利用されるものです。
　脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの
再確認をお勧めします。
　なお、TCP1025番ポートに対するアクセス状況は以下のとおりです。
　TCP1025番ポートに対するアクセス状況(リンク先はPDFファイルです。)

>>763
グラフ2個だけのPDFﾜﾛﾀ

ttp://www.cyberpolice.go.jp/important/20040309_145021.html
■Beagle（Bagle）ウイルスについて(3/9)　　<2004/03/09>
ttp://www.cyberpolice.go.jp/important/20040309_145112.html
■Netskyウイルスについて(3/9)　　　　　　<2004/03/09>

PDF アップデートしているね。大幅にレイアウト変更。一覧表イイ！

ttp://www.cyberpolice.go.jp/important/20040314_143128.html
■Beagle（Bagle）ウイルスについて(3/14)　　　　　　　　　　　　　　　　　　　　　<2004/03/14>

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年３月　８日
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年３月１４日更新
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　警　　　　察　　　　庁

Beagle（Bagle）ウイルスについて

　３月１４日現在、メールを介して感染するBeagle（Bagle）ウイルス及びその多くの亜種が発
生しております。これらのウイルスは、大量にメールを送信する機能があり、またバックドア
を仕掛けるとの情報もあります。不審なメールや添付ファイルを開封しないなど、十分に警戒
して下さい。
　なお、Beagle（Bagle）ウイルス及びその亜種の主な特徴は、以下のとおりです。
　Beagle（Bagle）ウイルス及びその亜種の主な特徴(リンク先はPDFファイルです。)
[更新履歴］
3月14日 Beagle.Mについての情報を追加

OS再インストしてから頻繁にシャットダウンするようになって
調べたらblastっぽいんで一応対策してみたけど
なんかいまいち釈然としない症状なのでアドバイスお願いしまつ。

OSはXP Home SP1。ファイヤウォールはXP付属の機能を使ってまつ。
ウイルスソフトはAVG 6.0Free 使ってて安心してたんだけど
どもおかしいんでノートン体験版やらウイルスバスターオンラインスキャンやら
かけましたが、今の時点ではどれでもウイルスは検出されません。
（つかblastという名前では今まで一回もかからなかった。
　症状からおいらが勝手にblastっぽいと思ってるだけ）
WindowsUpDateで検出される更新は全部かけました。
んでここまでやって、当初5分に一回シャットダウンしてたのが
一日に一回くらいに減りました。（忘れたころにシャットダウン）

気になってるのは[ 管理ツール＞コンピュータの管理＞イベントビューア＞システム ]を開くと
未だに5分に一回ぐらいづつRPCに関するエラーが発生してる点。
どもこのRPCってのが悪さしてるような気がするんでつが
切り方がわかりません。（サービスから停止できない？）
あと>745を読んでDCOMってのも切ってみたんですけどこれも関係あるんでつ。

釈然としませんが足りない情報あったらどぞ。

>>767
Windowsのアップデートかけててアンチウィールスでも検出されないならブラスタ
ではなさげ。しかし頻繁にシャットダウンするというのはやはり異常。接続ログを
きちんと取れるファイアウォール（Outpostとか）入れてログ見て味噌。怪しい接続
が見当たらないなら、
　１　過去にウィルスが壊したシステム（レジストリその他）が完全に修復
　　　されていない
　２　ハードウェアの異常（メモリの相性、熱問題など）
なども考えられる

ところでRPCサービスは無効にしては絶対ダメ。OS入れなおしか、それに
近いくらい復旧に手間がかかる。

>>768
横から質問ｽﾏｿです。
>RPCサービスは無効にしては絶対ダメ。
これ知らんかった。‥できれば詳細ｷﾎﾞﾝ｡

復旧方法を知っておかないと大変だよな
知ってれば一分かからないけど

>>767
感染しているかどうかは、以下で確認できる。詳細は
http://www.microsoft.com/japan/technet/security/virus/blaster.asp#cond

Step 3: Blaster ワームの感染の確認
1、Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開きます。
2、[タスクマネージャ] をクリックします。
3、[プロセス] タブをクリックします。
4、一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順
の表示にします。
5、"msblast.exe" を探します。存在する場合は、ワームに感染しています。
Step 4 に進み、駆除を行ってください。
存在しない場合は、Step 5 に進み、感染しないための対策を行います。

皆様アドバイスども。

やはり blast の可能性は低そうですね。（msblast.exeも無いし。）
しかしそうなるとな何が原因か難しくなってしまいます。
シャットダウンするのは必ずブラウジング中（読み込み開始時）
なのでハードウェアの異常の可能性も低そうだし。
なんかの弾みでレジストリが異常になってしまったんでしょうね・・・

Outpostは実は以前一回入れてみたんだけど
使い方が良くわからなくてXP付属機能に戻してしまった。（ｗ

レジストリ・その他が壊れてしまった場合
OSの上書き再インストールで復旧出来るんでしょうか？
それともやはりクリーンインストールかけないと駄目？
(そもそもこの症状の発端がOS上書き再インストールな訳ですが・・・）

>>770
漏れは去年ブラスタ騒動のときにRPC無効にしちまって、MSからツールを
落としてきて、使い方学習して、なんだかんだでネットに復帰するまで半日
かかった。（もうやり方忘れたけどｗ）

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs の Start に 2 を入れて再起動

知ってしまうとあまりに簡単

なんか今日になって、ビッグローブとeo-netからのブラスタらしきポート叩きが
やけに増えてる。なんかあったのかな？

ttp://www.cyberpolice.go.jp/important/20040320_221628.html

■UDP4000番ポートを発信元ポートとするトラフィックの増加について(3/20)　　　　　<2004/03/20>

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年３月２０日
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　警　　　　察　　　　庁

UDP4000番ポートを発信元ポートとするトラフィックの増加について
UDP4000番ポートを発信元ポートとするトラフィックの増加について（リンク先はPDFファイルです）
ttp://www.cyberpolice.go.jp/detect/pdf/20040320-4000udp.pdf

　3 月20 日21:00 現在、警察庁では多数のIP アドレスからの、UDP4000 番ポートを発信元ポートとする
アクセスの増加を検知しています。これは、ISS 社の複数の製品の脆弱性への攻撃に利用されるポート
であること、同脆弱性を利用して感染するWitty ワームが発生しているという情報を入手したことから、
同ワームの感染活動である可能性が考えられます。
今後の被害防止のため、ウイルス対策ソフトの使用や脆弱性の修正プログラムの適用を行うなど、使用
されているコンピュータのセキュリティの再確認をお勧めします。

ttp://www.cyberpolice.go.jp/important/2004/20040415_060131.html

■TCP135番ポートに対するトラフィックの増加について(4/15)　　　　　　　　　<2004/04/15>

平成１６年４月１５日
警　　　　察　　　　庁

TCP135番ポートに対するトラフィックの増加について

　4月15日現在、警察庁では、主としてヨーロッパの数カ国の不特定のIPアドレスを発信元と
する、TCP135番ポートに対するトラフィックの急激な増加を検知しています。トラフィックの増
加の原因は今のところ不明ですが、このポートはWindowsのRemote Procedure Call(RPC)等
で使用されるものであり、新種のワームの発生や大規模なスキャンである可能性があります。

　脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの
再確認をお勧めします。

　なお、TCP135番ポートに対するアクセス状況は以下のとおりです。

　TCP135番ポートに対するアクセス状況（リンク先はPDFファイルです。）
ttp://www.cyberpolice.go.jp/detect/pdf/20040415_tcp135.pdf

ほう？　　φ（. . ）メモメモ…

Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp

Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-012.asp

>>780
被害報告多数

windows updateしたときに上げるスレ 13
http://pc5.2ch.net/test/read.cgi/win/1081932957/
Windows Update失敗したらageるスレ 5
http://pc5.2ch.net/test/read.cgi/win/1068705330/

>>781
更新でトラブル報告が多いのはWin2kだが…全更新をインストールしたが
無問題。PheonixBIOS、ASUSのマザボに、Win2Ksp4OEMをクリーン
インストール→以降の重要な更新はすべてインストールずみのマシン。

製品情報 / Windowsの脆弱性に対する対応について | Ricoh Japan
http://www.ricoh.co.jp/imagio/info/msblast/

富士ゼロックス Color DocuTechシリーズ用FieryカラーサーバーMSBLAST修正プログラム適用手順について
http://www.fujixerox.co.jp/release/2003/0829_msblast05.html

ttp://www.cyberpolice.go.jp/important/2004/20040420_185246.html
■TCP1025,2745,6129番等のポートに対するトラフィックの増加について(4/20)更新　　　　<2004/04/20>

TCP1025, 2745, 6129番等のポートに対するトラフィックの増加について(リンク先はPDFファイルです)
ttp://www.cyberpolice.go.jp/detect/pdf/20040420_tcp1025.pdf

＃グラフがすごいんですけど、ほんとかなぁ？( ´Д｀)　＜ ﾀｲｰﾎ （･∀･ ；）

■Windowsの脆弱性（MS04-011）を攻撃するプログラムについて(4/24)　　　　<2004/04/24>

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年４月２４日
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　警　　　察　　　庁
　　　Windowsの脆弱性（MS04-011）を攻撃するプログラムについて

　４月２３日現在、警察庁では、Windowsの脆弱性（MS04-011）を攻撃するプログラムが公開
されているとの情報を入手しました。警察庁において当該攻撃プログラムを解析した結果、
ネットワークを通じてWindowsのSYSTEM権限が奪取されることが判明しています。
　該当する脆弱性を含むOSを使用している方は、マイクロソフト社のサイトから適切なパッチ
をダウンロードし適用して下さい。
　なお、パッチ適用作業は、同コンピュータ上で稼働中のアプリケーションへの影響を考慮し
た上で行って下さい。
＜関連サイト＞
Microsoft PCT/SSL の悪用を試みるコードに関する情報
http://www.microsoft.com/japan/security/incident/pctdisable.mspx
Microsoft MS04-011: Windows の重要な更新
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp

>>785　の脆弱性の回避策　PCTを無効にする

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\
SCHANNEL\Protocols\PCT 1.0\Server

[値の追加] [データ タイプ] REG_BINARY
[値の名前] Enabled
[値]00000000　（再度有効にするには　00000001　を入力）

《Blaster型攻撃が数日内に再来の兆し、専門家が警告》
ウイルス対策各社は、異常なポートスキャン行為が検出され、
MicrosoftのIISサーバの既知の脆弱性を突いてマシンが
トロイの木馬に感染している証拠があるとして警告を発した。
http://www.itmedia.co.jp/enterprise/0404/30/epic01.html
----------------------------------------------------
…だそうです。

ttp://www.cyberpolice.go.jp/important/2004/20040430_084140.html

■TCP1025番ポートに対するトラフィックの増加について(4/30)　　　　　　　　　<2004/04/30>
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年４月３０日
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　警　　　察　　　　庁
TCP1025番ポートに対するトラフィックの増加について

　4月30日現在、警察庁では、特定の国の多くのIPアドレスを発信元とする、TCP1025番ポートに
対するトラフィックの急激な増加を検知しています。トラフィックの増加の原因は今のところ不明
ですが、このポートはWindowsのRemote Procedure Call(RPC) を使用するDistributed Component
Object Model (DCOM) インターフェイスで利用されるものであり、大規模なスキャンである可能性
があります。
　脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの再確認
をお勧めします。
　なお、TCP1025番ポートに対するアクセス状況は以下のとおりです。

　TCP1025番ポートに対するアクセス状況(リンク先はPDFファイルです。)

ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/04.html#20040430
■ 2004.04.30
》 TCP1025番ポートに対するトラフィックの増加について(4/30) (@police)。 SANS ISC もそうだそうだ
と言っています:Handler's Diary April 29th 2004 (incidents.org)。
インターネット定点観測 (@police) には見事なピークが出ています。
……16:00 ぐらいから? またもや増えてきてるし……。

次スレはもっと分かりやすいテンプレにしよう。

Windowsの脆弱性を悪用するプログラム出回る--MSBlast再現の可能性も
Robert Lemos (CNET News.com)
2004/04/30 10:53

　Microsoftのソフトウェアにある2つの大規模な脆弱性を悪用し、コンピュータを攻撃するプログラムファイルが
出回っている。だがセキュリティ専門家らは、それよりさらに悪い事態を懸念している。MSBlastタイプのワーム
が出現するおそれがあるのだ。
　このきっかけとなったのは、数人のセキュリティプログラマが、Microsoftがリリースしたパッチをあてていない
Windowsコンピュータを攻撃者が乗っ取れるようにしてしまうプログラムのソースコードを公開したことだった。
　このプログラムは、Microsoftが4月13日に発表した2つの緊急な脆弱性をターゲットにしている。

【正式】ウィルス情報＆質問　総合スレッド☆Part18
http://pc3.2ch.net/test/read.cgi/sec/1081735712/582　以降に
新種かもしれないウィルス被害報告多数。要注意か…

Norton Internet Security 2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
スクリプト遮断機能がある
広告ブロックがアメリカ仕様で、お絵かき掲示板などの画像も消してしまう
スレに貼り付けてあるだけのウイルスコードに反応する
2chの過去ログ取得する時はFWを無効にしないといけない
Antispamが勝手にメーラーと統合する上に不安定（OEと相性が悪い？）
ポップアップ通知が鬱陶しい
LiveUpdateが遅い
ｗｅｂごとにスプリクト遮断やActiveX遮断やプライバシー制御の設定ができる
WEB閲覧するときHTMLファイルにスクリプトを埋め込む処理が重い
　（XPSP2ではデフォルトでポップアップ広告遮断機能があるので無駄になる）
回線速度が遅くなるという報告
ルールが適切ではないとの声もあるがPFWルールの自動作成が進んでいる
不正コピー・不正期限延長ユーザーが多い
個人情報を送ってるかについては疑惑は晴れず。
http://www.symantec.com/region/jp/products/nis/features.html
http://www.symantec.com/region/jp/products/nav/features.html

ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

■トレンドマイクロ、SASSERにイエローアラート発令■
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
> ワームはWindowsの「LSASSの脆弱性 (CAN-2003-0533)」と呼ばれる
> セキュリティホールを利用してワーム活動を行います。ワームの被害に
> 遭わないために以下のマイクロソフト社の説明を参照し、セキュリティ
> ホールを修正してください：

Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
（重い。すでに群集が殺到しているもよう）

> 汎用駆除ツール「トレンドマイクロ ダメージクリーンナップサービス」にて
> このワームのシステム改変の修復に対応いたしました。
> 「トレンドマイクロ ダメージクリーンナップサービス」の使用方法
　http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700i

lsass(LSASS)のエラーでシャットダウン→Sasserに感染しています。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
http://vil.nai.com/vil/content/v_125007.htm

攻撃はMS04-011のLSASSの脆弱性を利用します。
Blasterと同様、ネットに接続するだけで感染します。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
あなたはなぜ政府の警告を無視したのですか?
http://www.soumu.go.jp/s-news/2004/040426_2.html

MSのアラート北〜
http://www.microsoft.com/japan/security/incident/sasser.mspx

このままでいくと次スレは、
【SASSER】Blasterスレ　part6　【と対策しれ】
で決まりだろ。

あうぽのログ見るとport 445へのattackが増えてる

...と思ったけど今はそうでもないな。
445単独でattackしてくるﾔｼはsasserの可能性大。

>>795
Microsoft は、Win98, ME をみごとに影響評価からはずしてるなぁ。

ttp://www.foundstone.com/resources/proddesc/dsscan.htm
MS04-011 LSASS scanner　ほい

少し前のlog漁ったら
ご近所さん(一致.一致.*.*)から135/445/1025
遠くのとこ(一致.*.*.*)から1025/2745/3127/6129辺りを舐められてたぽいが
これGaobotだよなぁ…

直近のlogは単発の135/445が若干多めだけど沙紗ﾀﾝの仕業かどうかはﾜｶﾗﾝ

ttp://www.cyberpolice.go.jp/detect/observation.html
ﾁｮﾄﾜﾛﾀ

>>795
Windows Updateしろとマイクロソフトは書いてるけど
ウチの環境だとKB828741のインストールで止まる
手動アップデートの仕方もマイクロソフト書いとけよ

>>800
ttp://www.microsoft.com/japan/technet/security/bulletin/ms04-012.asp
Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)

win2000を使っているのですが、起動後10分程度経過するとsvchost.exeのエラーという表示が出て、
コピペできない、クリックしたリンク先に飛ばないなどの現象が出るようになりました。
オンラインでウイルスチェックしたところWORM_MSBLAST.Fというウイルスに感染していることが発覚しました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.F
ここで疑問があるのですが、当方、winMXやwinnyなど使用したことは一切ありません。
つまり、感染経路が不明なのであります。24時間接続できる環境にはありますが、フリーソフトなどの
ダウンロードもしたことがありません。ネットサーフインでウェブを閲覧しているだけです。
MSBLAST.Fもニムダのようにホームページをクリックするだけで感染するものなのでしょうか？

>>802
MSBLASTシリーズはWinnyやWinMXなんか全く関係無いよ。
Windowsのセキュリティホールを利用して感染する。
セキュリティホールが塞がれていないWindowsでは適切に設定された
ファイアウォール等を使用しない限りネットに接続しただけで感染する。

>>802
どういう接続してるか分からないけど
LAN接続しているならば同じLAN内にいるPCからもらった
可能性が高い

>>802
このスレでまたこの言葉を使うとは思わなかった…

テンプレ嫁。

>>14　>>16　あたり

MS04-011 パッチのチェック　（DSScan.exe 使用）

IP　　　　　　　Hostname　　　NetBIOS　　　　Status
xx.yy.xx.zz　　KOITSUDA　　 KOITSUDA　　　VULNERABLE

こいつの PC、連休明けに また あばれそうな悪寒（ｗ
氏名所属場所電話は、確認済みだけどね。

syslogが隣近所からの1025で埋まりはじめますた
傾向としては>>799に近いんだが隣が五月蝿過ぎて遠方の反応が拾えない状態だ

sasser単独スレ要るかもしれんな

>>807
攻撃するセキュ穴が違うだけでBlaster一族には間違いないんだから
誰かもレスしてたようにSASSERをタイトルに入れてこのスレのPart6
立てたらいいんじゃないいかと思うが。

バッファオーバーフローを利用するとはいえ、違う名前なんだから
専用スレ立てたほうが他から来る人にとってはわかりやすい。

Sasser ワームについてのお知らせ
公開日: 2004年5月1日 | 最終更新日: 2004年5月2日

現在、インターネット上では W32.Sasser.worm が活動を活発化しており、
マイクロソフトおよびセキュリティ関連組織は、このワームに対する調査を行っています。
このワームは 2004 年 4 月 14 日 （日本時間） のマイクロソフト セキュリティ情報
MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されました。

http://www.microsoft.com/japan/security/incident/sasser.mspx

《SASSER基本情報》
トレンドマイクロ(手動削除手順はこちらが詳しい)
SASSER.A
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
SASSER.B
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
シマンテック
SASSER.A
　http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html#technicaldetails
SASSER.B
　http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html#technicaldetails

■症状：以下のような窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　LSA Shell(Export Version) has encountered a problem
　This system is shutting down...by NT AUTHORITY\SYSTEM

■予防法：WindowsのLSAに関するセキュリティホールにパッチを当てる。
　Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

■感染確認： Windowsのシステムフォルダ内（\Windows\ または\WINNT\）に
　 "＜ランダムな数字＞_up.exe"（ファイル名例："12345_up.exe"）というファイルが
　作成される。

■駆除方法：セーフモードで（F8を連打しながら）起動→スタート→ファイル名を指定して
　実行→regedit→以下の項目を削除
　　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　　値　： avserve.exe = %Windows%\avserve.exe　（SASSER.Bの場合　avserve2.exe）
　→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
　さらにウィルスとして発見されたファイルがあれば削除

>>809
そう思ったら藻前勃てとけ。
Personal Fire Wallを導入せずにWindows Updateもやってない
アフォな厨房を隔離するスレだ。

>>807
1025はsasserとは関係無いと思う。
漏れのところでは135単独と445単独が多いな。
1025は135,445,2745,3127,6129なんかと一緒にナメられてる感じ。

1、2ヶ月くらい前から異常に増えてるポートスキャンは、どのワームの仕業なの？