Blasterスレ part5
19 :前スレの967:
テンプレの新バージョン(前スレの最後でminiFAQ屋さんがまとめたもの)
【WORM_MSBLAST.D miniFAQ 情報リンク】No.1
Q ええっとこのウィールス、いろんな名前があるみたいですけど?
A 各アンチウィールスメーカーが独自に名前をつけるのでまぎらわしい
です。NACHI.Aがコンセンサスでしょうか。
WORM_MSBLAST.D [トレンドマイクロ]→WORM_NACHI.A に改名
W32.Welchia.Worm[シマンテック]
W32/Welchia.worm10240 [アンラボ]
W32/Nachi.worm [マカフィー]
Lovsan.D [F-セキュア]
Q このウィールスの詳しい情報はどこで見られますか?
A まずここら見てください。各社で駆除ツールも用意されてます
トレンドマイクロWORM_MSBLAST
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.A
シマンテックW32.Welchia.Worm
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
Network Associates の簡易駆除ツール Sitnger (おすすめ)
http://www.nai.com/japan/security/stinger.asp
Q マイクロソフトのパッチってどういうのですか?
A もうごちゃごちゃでよくわかんないでつ。修正パッチは次々に最新版が出
てるので注意してくらさい。以前のパッチms03-026はもうだめぽ(´・ω・`)ショボーン
たぶんこれが最新と思われ。詳しいことはMSのサイトで確認…
ms03-039(RPC脆弱性→Win98,ME以外のすべての製品に関係)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-039.asp
ms03-007(WebDAV脆弱性→IIS5.0をインストールしているWebサーバーマシン)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp
【WORM_MSBLAST.D miniFAQ 情報リンク】No.1
Q ええっとこのウィールス、いろんな名前があるみたいですけど?
A 各アンチウィールスメーカーが独自に名前をつけるのでまぎらわしい
です。NACHI.Aがコンセンサスでしょうか。
WORM_MSBLAST.D [トレンドマイクロ]→WORM_NACHI.A に改名
W32.Welchia.Worm[シマンテック]
W32/Welchia.worm10240 [アンラボ]
W32/Nachi.worm [マカフィー]
Lovsan.D [F-セキュア]
Q このウィールスの詳しい情報はどこで見られますか?
A まずここら見てください。各社で駆除ツールも用意されてます
トレンドマイクロWORM_MSBLAST
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.A
シマンテックW32.Welchia.Worm
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
Network Associates の簡易駆除ツール Sitnger (おすすめ)
http://www.nai.com/japan/security/stinger.asp
Q マイクロソフトのパッチってどういうのですか?
A もうごちゃごちゃでよくわかんないでつ。修正パッチは次々に最新版が出
てるので注意してくらさい。以前のパッチms03-026はもうだめぽ(´・ω・`)ショボーン
たぶんこれが最新と思われ。詳しいことはMSのサイトで確認…
ms03-039(RPC脆弱性→Win98,ME以外のすべての製品に関係)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-039.asp
ms03-007(WebDAV脆弱性→IIS5.0をインストールしているWebサーバーマシン)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp
|
|
|
20 :前スレの967:03/10/13 05:22
【WORM_MSBLAST.D miniFAQ 緊急です! 感染しちゃったらしいぽ】No.2
Q 駆除ツールとか拾ってきたんですが、なんかうまくいきません。
A まずウィールス本体のプログラムの動作を停止する必要があります。
Q ウィールス本体のファイル名は何ですか?
A WINNT\system32\winsディレクトリ中のDLLHOST.EXE SVCHOST.EXEの二つです
Q svchost.exe dllhost.exeってそもそも何ですか?
A どちらもWindowsの重要なシステムファイルです。本物を停止させちゃうと
Windowsが死にますです
Q ニセモノと本物の見分け方は?
A ニセモノは\WINNT\system32\winsというデイレクトリに巣食っています。
ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。
また本物とはサイズも違います。
Q タスクマネージャーのプロセスイメージ欄で本物とニセモノの区別がつきますか?
A ニセモノは大文字でSVCHOST.EXE DLLHOST.EXEと表示されるという報告あり。
(注 全ての場合にそうかどうか未確認)
Q タスクマネージャーでニセモノのSVCHOST.EXE DLLHOST.EXEが停止できません。
A セーフモードで起動してからタスクマネージャーで停止させます。
Q セーフモードって?
A まずOSの再起動をかけます。OSの起動中にF8キーを何度か押す。セーフモードで
起動したらタスクマネージャーで糞プログラムを停止し、ゴミ箱に捨ててやります。
それからおもむろに駆除ツールで修復へ
【WORM_MSBLAST.D miniFAQ 緊急対策=DCOM無効化】
Q 削除したら安心ですか?
A だめです。そのままだとあっというまに再感染。
Q どうすれば感染/再感染を予防できますか?
A 緊急対策として、まずDCOMを無効にします。Shields Up!で有名なセキュリティ
サイトからこのツールを落としてきて実行するだけ。英文ですが操作はかんたんです。
http://grc.com/files/DCOMbob.exe
左側の「DCOMbobulate Me!」というタブをクリック→Disable DCOMボタンをクリック
→Windows 再起動 これでもうブラスタD=Nachiには感染しません(゚д゚)ウマー
(Win2000でSP4未適用の場合はがんばってまずSP4適用してくださいでつ)
Q 駆除ツールとか拾ってきたんですが、なんかうまくいきません。
A まずウィールス本体のプログラムの動作を停止する必要があります。
Q ウィールス本体のファイル名は何ですか?
A WINNT\system32\winsディレクトリ中のDLLHOST.EXE SVCHOST.EXEの二つです
Q svchost.exe dllhost.exeってそもそも何ですか?
A どちらもWindowsの重要なシステムファイルです。本物を停止させちゃうと
Windowsが死にますです
Q ニセモノと本物の見分け方は?
A ニセモノは\WINNT\system32\winsというデイレクトリに巣食っています。
ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。
また本物とはサイズも違います。
Q タスクマネージャーのプロセスイメージ欄で本物とニセモノの区別がつきますか?
A ニセモノは大文字でSVCHOST.EXE DLLHOST.EXEと表示されるという報告あり。
(注 全ての場合にそうかどうか未確認)
Q タスクマネージャーでニセモノのSVCHOST.EXE DLLHOST.EXEが停止できません。
A セーフモードで起動してからタスクマネージャーで停止させます。
Q セーフモードって?
A まずOSの再起動をかけます。OSの起動中にF8キーを何度か押す。セーフモードで
起動したらタスクマネージャーで糞プログラムを停止し、ゴミ箱に捨ててやります。
それからおもむろに駆除ツールで修復へ
【WORM_MSBLAST.D miniFAQ 緊急対策=DCOM無効化】
Q 削除したら安心ですか?
A だめです。そのままだとあっというまに再感染。
Q どうすれば感染/再感染を予防できますか?
A 緊急対策として、まずDCOMを無効にします。Shields Up!で有名なセキュリティ
サイトからこのツールを落としてきて実行するだけ。英文ですが操作はかんたんです。
http://grc.com/files/DCOMbob.exe
左側の「DCOMbobulate Me!」というタブをクリック→Disable DCOMボタンをクリック
→Windows 再起動 これでもうブラスタD=Nachiには感染しません(゚д゚)ウマー
(Win2000でSP4未適用の場合はがんばってまずSP4適用してくださいでつ)
【WORM_MSBLAST.D miniFAQ 緊急です!2 PCが勝手に再起動しちゃうです 】No.3
あひゃ、それはスレ違い。ブラスタDではなくて、ブラスタAorBroCに感染してますねー。まだそんなのに感染するなんてカコワルーイ。ウィールス広めないようにまずケーブルを抜きましょう。
!!ウィールスは広めるあなたもウィールスじゃ!!
本体プログラム名はそれぞれ
WORM_MSBLAST.A→"MSBLAST.EXE"
WORM_MSBLAST.B→"PENIS32.EXE"
WORM_MSBLAST.Cの→"TEEKIDS.EXE"
ケーブル抜いたらセーフモードで起動(再起動の時F8を押す)してウィールス
本体を削除。修正パッチその他対策はブラスタDと同じ。↑のほう見てトレンド
とかシマンテックで対策してください。
【WORM_MSBLAST.D miniFAQ 日ごろの対策】
Q 日ごろどんなことに気をつければいいですか?
A ブラスターに限らず次のような対策をしていれば大きな被害を受けることは
まずないです。
Windows をアップデート
ウィールス/ワームが利用するセキュリティの穴を塞ぐ
Windows の不要なサービスを停止(↑にあるように、BlastD=Nachiの場合DCOM停止)
インターネットとの接続にルータを設置
外部からの侵入を防ぐ。(社内LAN等ルータの内側に持ち込まれたPCからの
感染は防げない)
各PCにファイアウォールソフトを常駐
LANからの侵入・拡散を防ぐ。(ルータなしの環境では外部からの侵入も防ぐ)
起動時のタイムラグに注意。(起動の際ケーブルを抜いておくと万全)
アンチウィールスソフトを常駐
FDやCDなどのメディアからの侵入も防ぐ。万一感染したときに駆除してくれる。
あひゃ、それはスレ違い。ブラスタDではなくて、ブラスタAorBroCに感染してますねー。まだそんなのに感染するなんてカコワルーイ。ウィールス広めないようにまずケーブルを抜きましょう。
!!ウィールスは広めるあなたもウィールスじゃ!!
本体プログラム名はそれぞれ
WORM_MSBLAST.A→"MSBLAST.EXE"
WORM_MSBLAST.B→"PENIS32.EXE"
WORM_MSBLAST.Cの→"TEEKIDS.EXE"
ケーブル抜いたらセーフモードで起動(再起動の時F8を押す)してウィールス
本体を削除。修正パッチその他対策はブラスタDと同じ。↑のほう見てトレンド
とかシマンテックで対策してください。
【WORM_MSBLAST.D miniFAQ 日ごろの対策】
Q 日ごろどんなことに気をつければいいですか?
A ブラスターに限らず次のような対策をしていれば大きな被害を受けることは
まずないです。
Windows をアップデート
ウィールス/ワームが利用するセキュリティの穴を塞ぐ
Windows の不要なサービスを停止(↑にあるように、BlastD=Nachiの場合DCOM停止)
インターネットとの接続にルータを設置
外部からの侵入を防ぐ。(社内LAN等ルータの内側に持ち込まれたPCからの
感染は防げない)
各PCにファイアウォールソフトを常駐
LANからの侵入・拡散を防ぐ。(ルータなしの環境では外部からの侵入も防ぐ)
起動時のタイムラグに注意。(起動の際ケーブルを抜いておくと万全)
アンチウィールスソフトを常駐
FDやCDなどのメディアからの侵入も防ぐ。万一感染したときに駆除してくれる。
【WORM_MSBLAST.D miniFAQ 一般的なお話】No.4
Q このごろやたらにICMP(2048)とかいう接続要求がくるんですが?
A それがブラスタDのしわざです。
Q このICMPの接続要求って攻撃されてるってこと?
A このウィールス(正確にはワーム)はICMP(2048)を自分の周囲のPCに猛烈に打ち
まくり、返事があるとport135というドアから入りこみます。鯖立ててる場合以外は
ファイアウォールでport135を閉めておけばOK。ping自体は無害です。
Q ブラスタDってどのポートから入ってきやがりますか?
A 普通はport135から入ってきてバックドアをport707に作りやがります。プログラム
本体が転送されるのはこのport707(なお、IIS5.0を利用しているサーバーマシンの
場合、port80を通じてWebセッションが攻撃されます)
Q ICPMのping、うぜーんだけど。どーにかなんね?
A 残念ながら打つ手なし。ファイアーウォールやルータをしかるべく設定した上でシカト。
Q pingなんかプロバで止めろよ
A ICMP止めてもWebセッションにはほとんど影響ないんですが、プロバがユーザーの
様子見るのに使ってたり、企業ネットでも使われてたりして、止めにくいみたいでつ
【WORM_MSBLAST.D miniFAQ ファイアーウォール編】
Q ファイアーウォールって何?
A ファイアーウォール(FW)はデータ通路の玄関(port)の警備員みたい
なものです。通行許可証のない人(データ)を通さないようにします。
Q ファイアーウォール入れていても感染しますか?
A 感染します。OSがネットに接続してからFWソフトが立ち上がるまでの
わずかなスキに侵入されることがあります。修正パッチ当てる前のOSを立ち
上げるときはケーブルを抜くか、モデムの電源を落としておきます。
Q 無料のファイアウォールってどうなのよ? ちゃんと役に立つ?
A 次のような製品があります。機能は十分です。詳しいことはそれぞれのサイトやスレで
Q このごろやたらにICMP(2048)とかいう接続要求がくるんですが?
A それがブラスタDのしわざです。
Q このICMPの接続要求って攻撃されてるってこと?
A このウィールス(正確にはワーム)はICMP(2048)を自分の周囲のPCに猛烈に打ち
まくり、返事があるとport135というドアから入りこみます。鯖立ててる場合以外は
ファイアウォールでport135を閉めておけばOK。ping自体は無害です。
Q ブラスタDってどのポートから入ってきやがりますか?
A 普通はport135から入ってきてバックドアをport707に作りやがります。プログラム
本体が転送されるのはこのport707(なお、IIS5.0を利用しているサーバーマシンの
場合、port80を通じてWebセッションが攻撃されます)
Q ICPMのping、うぜーんだけど。どーにかなんね?
A 残念ながら打つ手なし。ファイアーウォールやルータをしかるべく設定した上でシカト。
Q pingなんかプロバで止めろよ
A ICMP止めてもWebセッションにはほとんど影響ないんですが、プロバがユーザーの
様子見るのに使ってたり、企業ネットでも使われてたりして、止めにくいみたいでつ
【WORM_MSBLAST.D miniFAQ ファイアーウォール編】
Q ファイアーウォールって何?
A ファイアーウォール(FW)はデータ通路の玄関(port)の警備員みたい
なものです。通行許可証のない人(データ)を通さないようにします。
Q ファイアーウォール入れていても感染しますか?
A 感染します。OSがネットに接続してからFWソフトが立ち上がるまでの
わずかなスキに侵入されることがあります。修正パッチ当てる前のOSを立ち
上げるときはケーブルを抜くか、モデムの電源を落としておきます。
Q 無料のファイアウォールってどうなのよ? ちゃんと役に立つ?
A 次のような製品があります。機能は十分です。詳しいことはそれぞれのサイトやスレで
【WORM_MSBLAST.D miniFAQ ファイアーウォール編2】No.5
アウトポスト Outpost
http://www.agnitum.com/download/outpost1.html
ゾーンアラーム Zone Alarm
http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=zadb_zadown
ケリオ Kerio Technologies Inc. | Kerio Personal Firewall
http://www.kerio.com/us/kpf_home.html
サイゲート SygatePersonalFireWall
http://soho.sygate.com/free/default.php
【WORM_MSBLAST.D miniFAQ XP付属ファイアウォール編】
Q Windows XPの付属ファイアウォールは有効ですか?
A Windows XPのファイアウォールはウィールスが入り込むport135を閉じるのに
有効です。ただし、このファイアウォールはデフォルトでは無効になってます。
有効にする手順は以下のとおり。
コントロールパネル→ネットワークとインターネット接続→普段使っている
接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
「コンピュータとネットワークを保護する」にチェックを入れる
Q XPの「ネットワークの接続」がみつかんないよー?
A 以下の方法も試してくださいでつ。
スタート→設定→ネットワーク接続
スタート→接続→全ての接続の表示
スタート→マイネットワーク→ネットワーク接続を表示
Q XPのファイアウォールで十分でつか?
A XPのおまけFWは外から中へ(inbound)の侵入は防ぎますが、いったん感染して
しまうと中から外へ(outbound)ウィールスをばら撒くのをチェックできません。
Zone Alarm Outpostなど中から外もチェックする製品入れておくべき。
アウトポスト Outpost
http://www.agnitum.com/download/outpost1.html
ゾーンアラーム Zone Alarm
http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=zadb_zadown
ケリオ Kerio Technologies Inc. | Kerio Personal Firewall
http://www.kerio.com/us/kpf_home.html
サイゲート SygatePersonalFireWall
http://soho.sygate.com/free/default.php
【WORM_MSBLAST.D miniFAQ XP付属ファイアウォール編】
Q Windows XPの付属ファイアウォールは有効ですか?
A Windows XPのファイアウォールはウィールスが入り込むport135を閉じるのに
有効です。ただし、このファイアウォールはデフォルトでは無効になってます。
有効にする手順は以下のとおり。
コントロールパネル→ネットワークとインターネット接続→普段使っている
接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
「コンピュータとネットワークを保護する」にチェックを入れる
Q XPの「ネットワークの接続」がみつかんないよー?
A 以下の方法も試してくださいでつ。
スタート→設定→ネットワーク接続
スタート→接続→全ての接続の表示
スタート→マイネットワーク→ネットワーク接続を表示
Q XPのファイアウォールで十分でつか?
A XPのおまけFWは外から中へ(inbound)の侵入は防ぎますが、いったん感染して
しまうと中から外へ(outbound)ウィールスをばら撒くのをチェックできません。
Zone Alarm Outpostなど中から外もチェックする製品入れておくべき。
【WORM_MSBLAST.D miniFAQ Windows 2000編】No.6
Q これからWindows2000 Pro をインストールしようと思ってますが、そのままつないで
大丈夫ですか?
A 大丈夫ではありません。Win2000 SP4適用済み だったら、ネットにつなぐ前に
まず応急措置としてDCOMを無効にします。>>20にあるツールを使うか、
スタート→ファイル名を指定して実行→dcomcnfg.exe
→「既定のプロパティ」タブ
→「このコンピュータ上で分散COMを有効にする」のチェックを外す。
→ネットにつないでパッチをダウンロード
Q Win2000のSP4適用しようと思うけどブラスタに邪魔されて落とせません(泣
A まずウィルス駆除。ファイアウォールとアンチウィールスを入れる。
それからSP4適用、DCOM無効化…たいへんでつね
Q これからWindows2000 Pro をインストールしようと思ってますが、そのままつないで
大丈夫ですか?
A 大丈夫ではありません。Win2000 SP4適用済み だったら、ネットにつなぐ前に
まず応急措置としてDCOMを無効にします。>>20にあるツールを使うか、
スタート→ファイル名を指定して実行→dcomcnfg.exe
→「既定のプロパティ」タブ
→「このコンピュータ上で分散COMを有効にする」のチェックを外す。
→ネットにつないでパッチをダウンロード
Q Win2000のSP4適用しようと思うけどブラスタに邪魔されて落とせません(泣
A まずウィルス駆除。ファイアウォールとアンチウィールスを入れる。
それからSP4適用、DCOM無効化…たいへんでつね
【前スレ関係】No.7
1.[08/12 16:23]【RPC】カウントダウン後、再起動してしまう
http://pc.2ch.net/test/read.cgi/sec/1060673014/
2.[08/14 18:33] 【流行中】msblast対策スレ【カウントダウン後再起動】
http://pc.2ch.net/test/read.cgi/sec/1060853614/
3.[08/16 06:25] msblast対策スレ【カウントダウン後再起動】2日目!
http://pc.2ch.net/test/read.cgi/sec/1060982749/
4.[08/18 20:11] msblast対策スレ【ICMP祭り開催中】3日目!
http://pc.2ch.net/test/read.cgi/sec/1061205064/
5.[08/19 01:26] ブラスト4
http://pc.2ch.net/test/read.cgi/sec/1061223981/
6.[08/19 22:48] msblast対策スレ【セカンドインパクト】4日目
http://pc.2ch.net/test/read.cgi/sec/1061226881/
7.[08/21 13:53] 【まだ】Blasterスレ Part2【終わっちゃいない】
http://pc.2ch.net/test/read.cgi/sec/1061002243/
8.[08/23 22:58] 【早く】 Blasterスレ Part3 【対策しろ】
http://pc.2ch.net/test/read.cgi/sec/1061647087/
9.[09/03 01:49]【ネット】Blasterスレ part4【埋めまっせ】
http://pc.2ch.net/test/read.cgi/sec/1062521353/
1.[08/12 16:23]【RPC】カウントダウン後、再起動してしまう
http://pc.2ch.net/test/read.cgi/sec/1060673014/
2.[08/14 18:33] 【流行中】msblast対策スレ【カウントダウン後再起動】
http://pc.2ch.net/test/read.cgi/sec/1060853614/
3.[08/16 06:25] msblast対策スレ【カウントダウン後再起動】2日目!
http://pc.2ch.net/test/read.cgi/sec/1060982749/
4.[08/18 20:11] msblast対策スレ【ICMP祭り開催中】3日目!
http://pc.2ch.net/test/read.cgi/sec/1061205064/
5.[08/19 01:26] ブラスト4
http://pc.2ch.net/test/read.cgi/sec/1061223981/
6.[08/19 22:48] msblast対策スレ【セカンドインパクト】4日目
http://pc.2ch.net/test/read.cgi/sec/1061226881/
7.[08/21 13:53] 【まだ】Blasterスレ Part2【終わっちゃいない】
http://pc.2ch.net/test/read.cgi/sec/1061002243/
8.[08/23 22:58] 【早く】 Blasterスレ Part3 【対策しろ】
http://pc.2ch.net/test/read.cgi/sec/1061647087/
9.[09/03 01:49]【ネット】Blasterスレ part4【埋めまっせ】
http://pc.2ch.net/test/read.cgi/sec/1062521353/