Blasterスレ part5
ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/01.html#20040129_folder
■ 「フォルダ」に見せかけ任意のファイルを実行――Windows XPを狙う手口に警告
(ITmedia, 2004.01.28)
元ネタ: Self-Executing FOLDERS: Windows XP Explorer Part V。
(中略)
.folder 拡張子のファイルにフォルダアイコンを割りあてる、という仕様がそもそもの間違いであるように
思える。手元で調べたところ、これを無効にするには、レジストリ HKEY_CLASSES_ROOT\.Folder を削除
して再起動すればよいようだ。なお、Windows 2000 にはそのようなレジストリエントリはもともと含まれて
いなかった。Windows XP には存在した。
#こりゃすげー! かんたんで応用しやすい。WinXP なネラーは特に気をつけよう。
■ 「フォルダ」に見せかけ任意のファイルを実行――Windows XPを狙う手口に警告
(ITmedia, 2004.01.28)
元ネタ: Self-Executing FOLDERS: Windows XP Explorer Part V。
(中略)
.folder 拡張子のファイルにフォルダアイコンを割りあてる、という仕様がそもそもの間違いであるように
思える。手元で調べたところ、これを無効にするには、レジストリ HKEY_CLASSES_ROOT\.Folder を削除
して再起動すればよいようだ。なお、Windows 2000 にはそのようなレジストリエントリはもともと含まれて
いなかった。Windows XP には存在した。
#こりゃすげー! かんたんで応用しやすい。WinXP なネラーは特に気をつけよう。
|
|
|
605 :名無しさん@お腹いっぱい。:04/01/29 22:01
>>604
おお。デモプログラムを解凍してみたら、種類 フォルダ になってる。確かに危ない。
おお。デモプログラムを解凍してみたら、種類 フォルダ になってる。確かに危ない。
606 :605:04/01/29 22:06
フォルダオプションで変更しといた。
607 :名無しさん@お腹いっぱい。:04/01/29 22:13
>>604
antinnyの入れものに使えるなこりゃ。
antinnyの入れものに使えるなこりゃ。
608 :名無しさん@お腹いっぱい。:04/01/29 22:30
>>604
マイクロソフトがセキュリティパッチを出すべきだね。これは。簡単だし。
マイクロソフトがセキュリティパッチを出すべきだね。これは。簡単だし。
609 :名無しさん@お腹いっぱい。:04/01/30 00:53
これって…、永久に無くならない?
610 :名無しさん@お腹いっぱい。:04/01/30 10:41
サービス感染型大規模ワームウィルス&関連トピックスレ
611 :名無しさん@お腹いっぱい。:04/01/30 10:44
612 :名無しさん@お腹いっぱい。:04/01/30 10:54
>>604
フォルダオプションで.Folderを何も関連つけないように新規作成してもおkですか?
フォルダオプションで.Folderを何も関連つけないように新規作成してもおkですか?
613 :名無しさん@お腹いっぱい。:04/01/30 15:33
まだ先の話だが、次スレは↓こういった感じでどうでしょう?
【ブラスタ】大規模感染ウィルス&ワーム情報【後継】
【ブラスタ】大規模感染ウィルス&ワーム情報【後継】
614 :(・∀・)ウンコー ◆UNKOO50/GY :04/02/01 01:40
>>611
今日はなんか多いね(; ̄▽ ̄)y-~~
今日はなんか多いね(; ̄▽ ̄)y-~~
615 :名無しさん@お腹いっぱい。:04/02/01 14:24
>>614
グラフ突き抜けているね。なんの Backdoor なんだろう?
グラフ突き抜けているね。なんの Backdoor なんだろう?
616 :名無しさん@お腹いっぱい。:04/02/02 00:52
>>615
うちのログ、3127が極端に増えてたから、例のmydoom関連だろう。
うちのログ、3127が極端に増えてたから、例のmydoom関連だろう。
617 :名無しさん@お腹いっぱい。:04/02/02 01:11
>604
そもそも「.Folder」拡張子って何に使うものなのか?
ググっても今回のセキュリティーホールに関することばっか。
誰かこの拡張子の有効活用している人はいるのだろうか。
セキュリティーホールを作るための拡張子にしか思えない
そもそも「.Folder」拡張子って何に使うものなのか?
ググっても今回のセキュリティーホールに関することばっか。
誰かこの拡張子の有効活用している人はいるのだろうか。
セキュリティーホールを作るための拡張子にしか思えない
618 :名無しさん@お腹いっぱい。:04/02/02 02:34
>>606
>>612
フォルダオプションで変更して、再起動などを経て数日たってから確認したら、
Folder拡張子の設定が元に戻ってた。わけわからん。
ついでだから、テキストファイルを作って拡張子を.Folderに変更してみたら、
ダブルクリックするとダウンロードの確認になった。
どういうファイルなんだろう?
>>612
フォルダオプションで変更して、再起動などを経て数日たってから確認したら、
Folder拡張子の設定が元に戻ってた。わけわからん。
ついでだから、テキストファイルを作って拡張子を.Folderに変更してみたら、
ダブルクリックするとダウンロードの確認になった。
どういうファイルなんだろう?
619 :612:04/02/02 04:09
うちのFolderタンはフォルダオプションでFOLDERの横が空欄の状態で今のとこ生きてる。
620 :名無しさん@お腹いっぱい。:04/02/02 04:22
>>618
関連付けが戻るのか?
参ったなぁメモ帳にでも関連付けして
アクセス権でつぶすしかないのだろうか。
ためしに crashme のソースに
.Folder 拡張子をくっつけたら見事にやられた。
ローカルHTMLをオミトロンに通すのは
さすがに馬鹿馬鹿しいし。
>>619
俺はキーごと消したからない。
関連付けが戻るのか?
参ったなぁメモ帳にでも関連付けして
アクセス権でつぶすしかないのだろうか。
ためしに crashme のソースに
.Folder 拡張子をくっつけたら見事にやられた。
ローカルHTMLをオミトロンに通すのは
さすがに馬鹿馬鹿しいし。
>>619
俺はキーごと消したからない。
621 :名無しさん@お腹いっぱい。:04/02/02 05:38
>>620
関連付けってひょんなことから変わっちゃうじゃん。
いつのまにかmpgとかaviとかがWindows Media Playerに戻されてることなんか良くあるし。
何をしたらそうなるのかがわからんことが問題だよな。
関連付けってひょんなことから変わっちゃうじゃん。
いつのまにかmpgとかaviとかがWindows Media Playerに戻されてることなんか良くあるし。
何をしたらそうなるのかがわからんことが問題だよな。
622 :621:04/02/02 05:45
623 :612:04/02/02 09:55
もともと.folderという拡張子は一覧になかったが
拡張子の追加でfolderを追加するとすでに定義されてるが変更するか?と聞かれて
.Folderを何も関連づけないように設定したんだがどうなんだろう。
.Folderを開くと開けませぬと出る。
拡張子の追加でfolderを追加するとすでに定義されてるが変更するか?と聞かれて
.Folderを何も関連づけないように設定したんだがどうなんだろう。
.Folderを開くと開けませぬと出る。
624 :名無しさん@お腹いっぱい。:04/02/02 10:39
検証のためとかでデフォルトに戻す必要があるなら、
regedit で HKEY_CLASSES_ROOT\.Folder のキーを適当な名前でエクスポート
してから、そのキーを削除しておくといい。
まぁ、WinXP なら同じなので、ほかのマシンのキーをエクスポートしてインポート
しても、なんら不都合(不都合を再現する不都合)は無いが…(w
regedit で HKEY_CLASSES_ROOT\.Folder のキーを適当な名前でエクスポート
してから、そのキーを削除しておくといい。
まぁ、WinXP なら同じなので、ほかのマシンのキーをエクスポートしてインポート
しても、なんら不都合(不都合を再現する不都合)は無いが…(w
625 :名無しさん@お腹いっぱい。:04/02/02 15:45
ttp://www.mainichi.co.jp/digital/flash/01.html
■「マイドゥーム」の攻撃で米SCOのサイトダウン
米SCOは1日(現地時間)、大規模なDoS攻撃により同社サイトが完全に利用不能になっていると発表
した。日本時間の2日正午現在もサイトが見られない状態が続いている。同社グループのITインフラスト
ラクチャー部門ディレクターのジェフ・カーロン氏は「この大規模攻撃は、世界中の何十万台ものコンピュ
ーターに感染したと見込まれるマイドゥーム・ウイルスによって引き起こされたものだ」と述べた。
# @police の Backdoor は、これだな。
■「マイドゥーム」の攻撃で米SCOのサイトダウン
米SCOは1日(現地時間)、大規模なDoS攻撃により同社サイトが完全に利用不能になっていると発表
した。日本時間の2日正午現在もサイトが見られない状態が続いている。同社グループのITインフラスト
ラクチャー部門ディレクターのジェフ・カーロン氏は「この大規模攻撃は、世界中の何十万台ものコンピュ
ーターに感染したと見込まれるマイドゥーム・ウイルスによって引き起こされたものだ」と述べた。
# @police の Backdoor は、これだな。
626 :名無しさん@お腹いっぱい。:04/02/02 18:23
627 :名無しさん@お腹いっぱい。:04/02/02 21:54
すいません。
駆除をしようとして「fixblast」をダウンロードして、駆除のスタートをしたのですが、
「C¥WINNY¥system32¥ipconf.tsp」
の所で、毎回アプリケーションエラーが出て中止してしまいます。
こんなときはどのように対処すればよいのでしょうか?
よろしくお願いしますm(_)m
駆除をしようとして「fixblast」をダウンロードして、駆除のスタートをしたのですが、
「C¥WINNY¥system32¥ipconf.tsp」
の所で、毎回アプリケーションエラーが出て中止してしまいます。
こんなときはどのように対処すればよいのでしょうか?
よろしくお願いしますm(_)m
628 :名無しさん@お腹いっぱい。:04/02/02 22:03
>>627
リカバリ
リカバリ
629 :621:04/02/02 22:03
>>627
|
|
|
ぱくっ|
/V\
/◎;;;,;,,,,ヽそんなので
_ ム::::(,,゚Д゚)::| 俺様が釣られると思ってんのか!!
ヽツ.(ノ:::::::::.:::::.:..|)
ヾソ:::::::::::::::::.:ノ
` ー U'"U'
|
|
|
ぱくっ|
/V\
/◎;;;,;,,,,ヽそんなので
_ ム::::(,,゚Д゚)::| 俺様が釣られると思ってんのか!!
ヽツ.(ノ:::::::::.:::::.:..|)
ヾソ:::::::::::::::::.:ノ
` ー U'"U'
630 :名無しさん@お腹いっぱい。:04/02/02 22:08
マジで釣りではないですw
リカバリということはまた一番最初の状態にもどすのでしょうか?
すいません。
パソコンの事よくわからないので…。
よろしくお願いします。
リカバリということはまた一番最初の状態にもどすのでしょうか?
すいません。
パソコンの事よくわからないので…。
よろしくお願いします。
631 :名無しさん@お腹いっぱい。:04/02/02 22:10
>>630
WINNYだから釣りだと思った
WINNYだから釣りだと思った
632 :名無しさん@お腹いっぱい。:04/02/02 22:15
すいませんw
うち間違いですm(_)m
もう一度初期化すれば、直るのでしょうか?
うち間違いですm(_)m
もう一度初期化すれば、直るのでしょうか?
633 :名無しさん@お腹いっぱい。:04/02/02 22:18
634 :名無しさん@お腹いっぱい。:04/02/02 22:21
ありがとうございます。
がんばってみます!
がんばってみます!
635 :名無しさん@お腹いっぱい。:04/02/02 22:55
やはり止まってしまいます・・・。
今タスクマネジャーを見た所、TEEKIDS.EXEがなくなっているのですが、
これは駆除ができたということなのでしょうか?
今タスクマネジャーを見た所、TEEKIDS.EXEがなくなっているのですが、
これは駆除ができたということなのでしょうか?
636 :名無しさん@お腹いっぱい。:04/02/02 23:00
637 :名無しさん@お腹いっぱい。:04/02/02 23:13
638 :名無しさん@お腹いっぱい。:04/02/03 00:50
>>637
むだな努力 or 大金をはたく必要
すなおにリカバリして、すこしはマニュアルを読むとか本を読むとかするのが、
近道なような気がする。中学英語ぐらいは必須。
ttp://www.liutilities.com/products/wintaskspro/processlibrary/teekids/
Description: You have the Lovesan worm.
って、検索すりゃすぐ出るじゃないかぁ。
むだな努力 or 大金をはたく必要
すなおにリカバリして、すこしはマニュアルを読むとか本を読むとかするのが、
近道なような気がする。中学英語ぐらいは必須。
ttp://www.liutilities.com/products/wintaskspro/processlibrary/teekids/
Description: You have the Lovesan worm.
って、検索すりゃすぐ出るじゃないかぁ。
639 :名無しさん@お腹いっぱい。:04/02/03 14:07
【ブラスタ】大規模感染ウィルス&ワーム情報5【後継】
http://pc.2ch.net/test/read.cgi/sec/1065964513/
http://pc.2ch.net/test/read.cgi/sec/1065964513/
640 :名無しさん@お腹いっぱい。:04/02/05 02:32
質問させてください。
Blasterのおおまかな感染の流れは、
・攻撃先のIP生成
・TCP135に攻撃用のデータを送信してMS03-026のセキュリティ・ホール検索
・RPCのバッファ・オーバーフローをついてTCP4444で待機するリモート・シェルを作成
・感染元からmsblast.exeの本体を取得するコマンドを送りこみ実行させる
・感染拡大マズー
って、感じだと思います。
ローカルIPを生成した場合、LAN上のパソコンが感染するのは理解できます。
グローバルIPを生成した場合でも、攻撃先のパソコンがグローバルIPなら理解できます。
つづく・・・
Blasterのおおまかな感染の流れは、
・攻撃先のIP生成
・TCP135に攻撃用のデータを送信してMS03-026のセキュリティ・ホール検索
・RPCのバッファ・オーバーフローをついてTCP4444で待機するリモート・シェルを作成
・感染元からmsblast.exeの本体を取得するコマンドを送りこみ実行させる
・感染拡大マズー
って、感じだと思います。
ローカルIPを生成した場合、LAN上のパソコンが感染するのは理解できます。
グローバルIPを生成した場合でも、攻撃先のパソコンがグローバルIPなら理解できます。
つづく・・・
641 :640:04/02/05 02:32
判らないのが、グローバルIPを生成した場合で、下記の様な構成だったときです。
ルータを飛越えてパソコンにアクセスできる理由がわかりません。
感染元パソコン
↓
インターネット
↓
MN128のISDNルータ(192.168.0.1)
↓
パソコン(192.168.0.2)
よろしく、ご教授ください。
ルータを飛越えてパソコンにアクセスできる理由がわかりません。
感染元パソコン
↓
インターネット
↓
MN128のISDNルータ(192.168.0.1)
↓
パソコン(192.168.0.2)
よろしく、ご教授ください。
642 :名無しさん@お腹いっぱい。:04/02/05 10:20
1.ルータの設定がまずい
2.一瞬でもルータを通さず直接ダイアルアップ接続した事がある
2.一瞬でもルータを通さず直接ダイアルアップ接続した事がある
643 :640:04/02/05 10:55
>642 レスありがとうございます。
>1.ルータの設定がまずい
はい。フィルタかけてないです。PC側もファイアウォールしてないです。
>2.一瞬でもルータを通さず直接ダイアルアップ接続した事がある
これは、ないです。
えっと、判らない点なんですが、
外側(インターネット側)からルータを挟んでローカルIPがふられているパソコンにアクセスできる点です。
これが、どうしても理解できないんです。
詳しい方、ご教授お願いいたします。
>1.ルータの設定がまずい
はい。フィルタかけてないです。PC側もファイアウォールしてないです。
>2.一瞬でもルータを通さず直接ダイアルアップ接続した事がある
これは、ないです。
えっと、判らない点なんですが、
外側(インターネット側)からルータを挟んでローカルIPがふられているパソコンにアクセスできる点です。
これが、どうしても理解できないんです。
詳しい方、ご教授お願いいたします。
644 :名無しさん@お腹いっぱい。:04/02/05 12:46
>>643
フィルタをかけていないのであれば、「IPスプーフィング」によってルータ内部に
不正侵入されたのかもしれませんね。
お使いのルータの取説やWebページに「スプーフィング対策用フィルタの例」が
載っているかも。
ttp://bit-drive.e-words.ne.jp/w/IPE382B9E38397E383BCE38395E382A3E383B3E382B0.html
フィルタをかけていないのであれば、「IPスプーフィング」によってルータ内部に
不正侵入されたのかもしれませんね。
お使いのルータの取説やWebページに「スプーフィング対策用フィルタの例」が
載っているかも。
ttp://bit-drive.e-words.ne.jp/w/IPE382B9E38397E383BCE38395E382A3E383B3E382B0.html
645 :名無しさん@お腹いっぱい。:04/02/06 17:45
ISDNルータの時代はまだセキュリティに関しては平和だったんだろうな
と言うわけでISDNルータのデフォルト設定は>>643のような事が出来るようになっている可能性がある
ルータ フィルタリング でぐぐって説明書読みながらがんがれ
と言うわけでISDNルータのデフォルト設定は>>643のような事が出来るようになっている可能性がある
ルータ フィルタリング でぐぐって説明書読みながらがんがれ
646 :名無しさん@お腹いっぱい。:04/02/08 22:24
職場でたまたまパソコンの話になった時、
極たまにしかパソコンは触らない、というヤシが、
「最近使おうと思っても、シャットダウンがどうのっていうメッセージが出て、
カウントダウンが始まって切れてしまって使えない。家族みんなで首ひねってる」
といいだした。
とりあえずウィルスっぽいからネットには絶対つなぐな、と言っておいたけど、
自分のOSの種類もわからない、Windowsupdateて何?というそのヤシに
どうやって駆除と防御の方法を教えたものか…。
極たまにしかパソコンは触らない、というヤシが、
「最近使おうと思っても、シャットダウンがどうのっていうメッセージが出て、
カウントダウンが始まって切れてしまって使えない。家族みんなで首ひねってる」
といいだした。
とりあえずウィルスっぽいからネットには絶対つなぐな、と言っておいたけど、
自分のOSの種類もわからない、Windowsupdateて何?というそのヤシに
どうやって駆除と防御の方法を教えたものか…。
647 :名無しさん@お腹いっぱい。:04/02/08 22:26
>>647
後輩だし、たとえ出張したとしても、金取るとかはあんまりなあ。
電気屋の出張サービス頼めば確実だよ、とは言ってあるけど。
でも家が農家なヤシだから、お礼に大根とか白菜はくれそう。
まったく別のことで別の人(やっぱり農家の人)だけど、ちょっとした事のお礼にって
ごっそり野菜貰った事が過去に何度かあるんだ。
後輩だし、たとえ出張したとしても、金取るとかはあんまりなあ。
電気屋の出張サービス頼めば確実だよ、とは言ってあるけど。
でも家が農家なヤシだから、お礼に大根とか白菜はくれそう。
まったく別のことで別の人(やっぱり農家の人)だけど、ちょっとした事のお礼にって
ごっそり野菜貰った事が過去に何度かあるんだ。
649 :名無しさん@お腹いっぱい。:04/02/08 23:03
長閑でんなぁ!
650 :名無しさん@お腹いっぱい。:04/02/08 23:17
651 :名無しさん@お腹いっぱい。:04/02/09 00:02
>>648-649
ども。
とりあえずOSの種類を聞き出して
タスクマネージャ見てもらってウィルスであることを確定して、
対処法載せてるサイトのうち一番分かりやすそうなのを印刷して、
さらに注釈でもつけて渡してみる。
あと、職場のパソコンである程度操作の仕方をレクチャーしてみる。
ネットは禁止しておいたし、もともと普段はネットしないヤシだから、少しずつやってもいいし、
今後のことを考えれば、なるべく自分でやっておいて欲しいとも思う。
それでも無理なら出張かな。
ども。
とりあえずOSの種類を聞き出して
タスクマネージャ見てもらってウィルスであることを確定して、
対処法載せてるサイトのうち一番分かりやすそうなのを印刷して、
さらに注釈でもつけて渡してみる。
あと、職場のパソコンである程度操作の仕方をレクチャーしてみる。
ネットは禁止しておいたし、もともと普段はネットしないヤシだから、少しずつやってもいいし、
今後のことを考えれば、なるべく自分でやっておいて欲しいとも思う。
それでも無理なら出張かな。
653 :名無しさん@お腹いっぱい。:04/02/10 00:40
>>652
お疲れさん。
ネットワークで感染/攻撃しているユーザーで、自分のパソが「調子わるくなった」程度に思っていて、
ネットワークに大きな危害を加えている、ってゆう意識のかけらもないのを説明するのに疲れるね。
ていねいに指摘してやっても、「始末書でも書けということですか?」なんて逆ギレする者もリアルで
いるよ。
お疲れさん。
ネットワークで感染/攻撃しているユーザーで、自分のパソが「調子わるくなった」程度に思っていて、
ネットワークに大きな危害を加えている、ってゆう意識のかけらもないのを説明するのに疲れるね。
ていねいに指摘してやっても、「始末書でも書けということですか?」なんて逆ギレする者もリアルで
いるよ。
>>653
>「調子わるくなった」程度
まさにそんな感じでした。
後輩は、逆切れとかはしないけど、ねはあげそうな気はする。
ところで偶然休みが交代で入ってたので、次に会うのは木曜日でした。
まだ何にもしてません。資料だけそろえとこう。
>「調子わるくなった」程度
まさにそんな感じでした。
後輩は、逆切れとかはしないけど、ねはあげそうな気はする。
ところで偶然休みが交代で入ってたので、次に会うのは木曜日でした。
まだ何にもしてません。資料だけそろえとこう。
655 :名無しさん@お腹いっぱい。:04/02/10 23:19
ttp://www.cyberpolice.go.jp/important/20040210_132352.html
■TCP901番ポートに対するトラフィックの増加について(2/10) <2004/02/10>
2 月10 日現在、警察庁では多数のIP アドレスを発信元とするTCP901 番ポートに対するトラフィックの
増加を検知しています。
1 概要
・ 警察庁のファイアウォールにおいて、901/tcp のアクセスが増加。8 時14 分〜26分にかけて集中して
おり、ピークは15 分。
・ 発信元国別では、US とKR が3 割、以降CA,FR と続く(国内は0 件)。発信元IPアドレスは特段、集中
していない。
・10 日11 時現在、901/tcp アクセスは減少中。
#smpnameres 901/tcp, 901 swat, realsecure なんだけど…
■TCP901番ポートに対するトラフィックの増加について(2/10) <2004/02/10>
2 月10 日現在、警察庁では多数のIP アドレスを発信元とするTCP901 番ポートに対するトラフィックの
増加を検知しています。
1 概要
・ 警察庁のファイアウォールにおいて、901/tcp のアクセスが増加。8 時14 分〜26分にかけて集中して
おり、ピークは15 分。
・ 発信元国別では、US とKR が3 割、以降CA,FR と続く(国内は0 件)。発信元IPアドレスは特段、集中
していない。
・10 日11 時現在、901/tcp アクセスは減少中。
#smpnameres 901/tcp, 901 swat, realsecure なんだけど…
656 :名無しさん@お腹いっぱい。:04/02/11 04:05
オリジナルMYDOOM
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A
MYDOOMの亜種早くも3種類出現…
Mydoom.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.B
Mydoom.C=Doomjuice
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DOOMJUICE.A
3127を叩く
悪さ:MSにDoS攻撃
本体 intrenat.exe
Deadhat
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.deadhat.html
3127、3128、1080を叩く
Mydoomにとって代わる
悪さ:2766 (TCP) のバックドアで着信待機
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A
MYDOOMの亜種早くも3種類出現…
Mydoom.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.B
Mydoom.C=Doomjuice
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DOOMJUICE.A
3127を叩く
悪さ:MSにDoS攻撃
本体 intrenat.exe
Deadhat
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.deadhat.html
3127、3128、1080を叩く
Mydoomにとって代わる
悪さ:2766 (TCP) のバックドアで着信待機
657 :名無しさん@お腹いっぱい。:04/02/11 20:06
今度のセキュリティホールは、ファイアーウォールでは防げないか。
『セキュリティ情報の「回避策」の項には,ただ一言「なし」と記述されている。
設定変更やパーソナル・ファイアウオールなどで回避することはできない。』
『セキュリティ情報の「回避策」の項には,ただ一言「なし」と記述されている。
設定変更やパーソナル・ファイアウオールなどで回避することはできない。』
658 :名無しさん@お腹いっぱい。:04/02/12 16:20
659 :名無しさん@お腹いっぱい。:04/02/12 16:22
>>657
感染の端緒のメール添付ファイルをスキャンしてればOK
感染の端緒のメール添付ファイルをスキャンしてればOK
660 :名無しさん@お腹いっぱい。:04/02/12 16:34
Welchia=Nachi (ブラスタ)に亜種がひさびさに登場しますた。
初感染報告↓
セキュリティ初心者質問スレッドpart36
http://pc.2ch.net/test/read.cgi/sec/1075135866/798-806
トレンドマイクロ Nachi.B (= Welchia.B) 解析中…
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B
シマンテック、解析中…(タイトルだけ)
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801
初感染報告↓
セキュリティ初心者質問スレッドpart36
http://pc.2ch.net/test/read.cgi/sec/1075135866/798-806
トレンドマイクロ Nachi.B (= Welchia.B) 解析中…
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B
シマンテック、解析中…(タイトルだけ)
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801
661 :名無しさん@お腹いっぱい。:04/02/12 17:23
・その他の情報:
・ウイルスコード内に以下の文字列が含まれます:
LET HISTORY TELL FUTURE !
1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso
1945.8.15
Let history tell future !
だってさ。犯人は中国人かな。やれやれ。
・ウイルスコード内に以下の文字列が含まれます:
LET HISTORY TELL FUTURE !
1931.9.18
1937.7.7
1937.12.13 300,000 !
1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso
1945.8.15
Let history tell future !
だってさ。犯人は中国人かな。やれやれ。
662 :名無しさん@お腹いっぱい。:04/02/12 18:30
>>661
本多勝一かも。
本多勝一かも。
663 :名無しさん@お腹いっぱい。:04/02/12 18:33
ヒグチちゃうの?
664 :名無しさん@お腹いっぱい。:04/02/12 19:51
665 :名無しさん@お腹いっぱい。:04/02/12 23:08
ローソンクラックの取り込み中、失礼します。
ttp://www.cyberpolice.go.jp/important/20040211_111630.html
■TCP3127番ポートに対するトラフィックの増加について(2/11) <2004/02/11>
ttp://www.cyberpolice.go.jp/detect/pdf/H160211-3127.pdf
TCP3127 番ポートに対するトラフィックの増加について
2 月 11 日 0:00 時現在、警察庁では比較的多数の IP アドレスを発信元とする TCP3127
番ポートに対するトラフィックの増加を検知しています。 本事象は、一連の MyDoom ウイ
ルスの蔓延とその感染 PC に対するスキャン行為に関連するものであると考えられます。
#漏れがテストしたときは、TCP/3127 TCP/3128 が LISTENING ができていた。
ttp://www.cyberpolice.go.jp/important/20040211_111630.html
■TCP3127番ポートに対するトラフィックの増加について(2/11) <2004/02/11>
ttp://www.cyberpolice.go.jp/detect/pdf/H160211-3127.pdf
TCP3127 番ポートに対するトラフィックの増加について
2 月 11 日 0:00 時現在、警察庁では比較的多数の IP アドレスを発信元とする TCP3127
番ポートに対するトラフィックの増加を検知しています。 本事象は、一連の MyDoom ウイ
ルスの蔓延とその感染 PC に対するスキャン行為に関連するものであると考えられます。
#漏れがテストしたときは、TCP/3127 TCP/3128 が LISTENING ができていた。
666 :名無しさん@お腹いっぱい。:04/02/13 03:30
3127への無駄アクセスが0時4分を境にぱたっとやんでた
667 :名無しさん@お腹いっぱい。:04/02/13 07:23
ttp://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B&VSect=T
WORM_NACHI.B
Network Propagation and Exploits
This Nachi variant takes advantage of the following vulnerabilities:
Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
WebDAV vulnerability
IIS5/WEBDAV Buffer Overrun vulnerability
For more information about these Windows vulnerabilities, please refer to the following
Microsoft Web pages:
Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS03-007
Microsoft Security Bulletin MS03-049
これか。能天気なサーバー(とくにイントラ)が、また やらかす悪寒の朝。
管理者にげるな!
WORM_NACHI.B
Network Propagation and Exploits
This Nachi variant takes advantage of the following vulnerabilities:
Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
WebDAV vulnerability
IIS5/WEBDAV Buffer Overrun vulnerability
For more information about these Windows vulnerabilities, please refer to the following
Microsoft Web pages:
Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS03-007
Microsoft Security Bulletin MS03-049
これか。能天気なサーバー(とくにイントラ)が、また やらかす悪寒の朝。
管理者にげるな!
668 :名無しさん@お腹いっぱい。:04/02/13 08:48
>>668
Symantec Security Response - W32.Welchia.B.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html
以下の脆弱性が追加。
>The Locator service vulnerability using TCP port 445 (described in Microsoft Security Bulletin MS03-001). The worm specifically targets Windows 2000 machines using this exploit.
Symantec Security Response - W32.Welchia.B.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html
以下の脆弱性が追加。
>The Locator service vulnerability using TCP port 445 (described in Microsoft Security Bulletin MS03-001). The worm specifically targets Windows 2000 machines using this exploit.
669 :名無しさん@お腹いっぱい。:04/02/13 13:03
トレンドのパターン763でNachi.aの残骸のsvchost.exeをNachi.bとして検知してるっぽい。
symantec情報だとwin2kではc:\winnt\system32\drivers\にsvchost.exeがあるようですが、上がってきたアラートはみんなwins配下だった。
symantec情報だとwin2kではc:\winnt\system32\drivers\にsvchost.exeがあるようですが、上がってきたアラートはみんなwins配下だった。
670 :名無しさん@お腹いっぱい。:04/02/13 14:03
ttp://www.itmedia.co.jp/enterprise/0402/12/epc12.html
Microsoftのセキュリティ対策センターでセキュリティプログラムマネジャーを務めるスティーブン・トゥールーズ氏は、
今回の脆弱性は昨年8月にMSBlastが拡散する原因となった脆弱性に似ていると指摘。
「影響を与える可能性があるコンピュータの数に関して比較的類似性がある。
(この脆弱性は)Windowsの全バージョンに存在する」と同氏。
Microsoftのセキュリティ対策センターでセキュリティプログラムマネジャーを務めるスティーブン・トゥールーズ氏は、
今回の脆弱性は昨年8月にMSBlastが拡散する原因となった脆弱性に似ていると指摘。
「影響を与える可能性があるコンピュータの数に関して比較的類似性がある。
(この脆弱性は)Windowsの全バージョンに存在する」と同氏。
671 :名無しさん@お腹いっぱい。:04/02/13 14:12
米国時間の2004年2月10日に公開された、Windows の脆弱性MS04-007は、Windows に組み込まれ
ている ASN.1 処理ルーチンのバグによるものです。
この ASN.1 ルーチンに、特定のデータを送りつけることにより、バッファオーバーフローを引き起こし、
その Windows 上で、任意のプログラムを実行できる、という物騒な物です。
ここでいう「データを送りつける」という行為は、ローカルシステム上からだけでなく、リモートからも可能
です。なぜなら、このルーチンは、Kerberos、NTLM などの認証サブシステムや、SSL を使用するアプリ
ケーション(IIS や Internet Explorer、Outlook Express)が共通で使っているからです。
例えば IE は、https で他のサイトに接続するとき、相手のサーバから送られてくる電子証明書の解析
を、この ASN.1 ルーチンを使って行います。よって、悪意あるサイトが、この脆弱性を利用した変な証明
書を送りつけてくると、IE を走らせているパソコンがヤラれます。
逆に、IIS 上で SSL サイトを走らせている場合、クライアント認証の過程で、えげつない証明書を食わさ
れてサーバが壊される危険性も孕んでいます。怖いですね。
ている ASN.1 処理ルーチンのバグによるものです。
この ASN.1 ルーチンに、特定のデータを送りつけることにより、バッファオーバーフローを引き起こし、
その Windows 上で、任意のプログラムを実行できる、という物騒な物です。
ここでいう「データを送りつける」という行為は、ローカルシステム上からだけでなく、リモートからも可能
です。なぜなら、このルーチンは、Kerberos、NTLM などの認証サブシステムや、SSL を使用するアプリ
ケーション(IIS や Internet Explorer、Outlook Express)が共通で使っているからです。
例えば IE は、https で他のサイトに接続するとき、相手のサーバから送られてくる電子証明書の解析
を、この ASN.1 ルーチンを使って行います。よって、悪意あるサイトが、この脆弱性を利用した変な証明
書を送りつけてくると、IE を走らせているパソコンがヤラれます。
逆に、IIS 上で SSL サイトを走らせている場合、クライアント認証の過程で、えげつない証明書を食わさ
れてサーバが壊される危険性も孕んでいます。怖いですね。
672 :名無しさん@お腹いっぱい。:04/02/13 14:40
>トレンドのパターン763でNachi.aの残骸のsvchost.exeをNachi.bとして検知してるっぽい。
>symantec情報だとwin2kではc:\winnt\system32\drivers\にsvchost.exeがあるようですが、上がってきたアラートはみんなwins配下だった。
誤報で正解。今トレンド新パターン作成中らしい。簡便してくれ
>symantec情報だとwin2kではc:\winnt\system32\drivers\にsvchost.exeがあるようですが、上がってきたアラートはみんなwins配下だった。
誤報で正解。今トレンド新パターン作成中らしい。簡便してくれ
673 :名無しさん@お腹いっぱい。:04/02/13 20:40
よくブラスター対策ページに書いてある、
『以下のファイルが見つかったら感染しています』ってあるんですけど、
症状はブラスターに似てるのに、その実行ファイルが見当たらないってことはあるのでしょうか
最終手段はやはりクリーンインストールするしかないのかな
『以下のファイルが見つかったら感染しています』ってあるんですけど、
症状はブラスターに似てるのに、その実行ファイルが見当たらないってことはあるのでしょうか
最終手段はやはりクリーンインストールするしかないのかな
674 :名無しさん@お腹いっぱい。:04/02/13 21:53
>>669
svchost.exe が、なんで wins の中にあるんだ? ふつう空だが。
svchost.exe が、なんで wins の中にあるんだ? ふつう空だが。
675 :名無しさん@お腹いっぱい。:04/02/13 21:55
>>673
あるよ、よくある。 とくに初心者とかが使っている PC の中で。
あるよ、よくある。 とくに初心者とかが使っている PC の中で。
676 :名無しさん@お腹いっぱい。:04/02/13 22:14
あら、あら、あら!!
677 :名無しさん@お腹いっぱい。:04/02/14 02:56
ttp://www.cyberpolice.go.jp/important/20040213_223241.html
■Welchia.B(NACHI.B)ワームの概要について(2/13) <2004/02/13>
平成16年2月13日
警 察 庁
Welchia.B(NACHI.B)ワームの概要について(2/13)
2月12日にお知らせしました、日本のWEBページを対象に改ざんを試
みるWelchia.B(NACHI.B)ワームについて、検証を行いました。
検証結果の詳細は、Welchia.B(NACHI.B)ワーム概要(PDFファイル)を
ご覧ください。
ttp://www.cyberpolice.go.jp/detect/pdf/Welchia_worm.pdf
■Welchia.B(NACHI.B)ワームの概要について(2/13) <2004/02/13>
平成16年2月13日
警 察 庁
Welchia.B(NACHI.B)ワームの概要について(2/13)
2月12日にお知らせしました、日本のWEBページを対象に改ざんを試
みるWelchia.B(NACHI.B)ワームについて、検証を行いました。
検証結果の詳細は、Welchia.B(NACHI.B)ワーム概要(PDFファイル)を
ご覧ください。
ttp://www.cyberpolice.go.jp/detect/pdf/Welchia_worm.pdf
678 :名無しさん@お腹いっぱい。:04/02/14 18:47
なんか回線すぐ落ちると思ったら、W32.Welchia.B.Wormに感染してしましました(;´Д⊂)
感染ファイルは以下
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XAZGLIR\WksPatch[1].exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XAZGLIR\WksPatch[2].exe
C:\WINDOWS\system32\drivers\svchost.exe
セーフモードで上記ファイルの削除と、レジストリ削除したけど、
対策のパッチはまだかいな・・・
感染ファイルは以下
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XAZGLIR\WksPatch[1].exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XAZGLIR\WksPatch[2].exe
C:\WINDOWS\system32\drivers\svchost.exe
セーフモードで上記ファイルの削除と、レジストリ削除したけど、
対策のパッチはまだかいな・・・
679 :名無しさん@お腹いっぱい。:04/02/14 18:55
>>678
MS03-049ならとっくに出てるけど。
MS03-049ならとっくに出てるけど。
680 :名無しさん@お腹いっぱい。:04/02/15 02:18
681 :名無しさん@お腹いっぱい。:04/02/15 02:54
警察庁Welchia.B (=Nachi.B)を解析:日本語Webページを破壊、永久に停止せず
Nachi.Bは感染対象のロケールが日本語だった場合、IISが組み込まれていれば
Webページの内容を反日スローガンに改竄し、自動停止期日が過ぎても停止しない
などの動作をすることが明らかになった。
1 攻撃ポート port 445、port135、port80
2 活動期限 日本語以外の場合 2004年6月1日 (起動中の場合、感染から120日後)
日本語の場合、無期限に活動
3 WEBページ改竄 ロケールが日本語の場合、IISドキュメントルート直下のファイル
を「Let History Tell Future ... 1945.8.6 Little boy」などの反日スローガンに改竄
4 感染後の動作
本体プログラム <システムフォルダ<>\drivers\svchost.exe
レジストリ改変 HKLM\System\CurrentControlSet\Services\WksPatch
詳細はPDFファイル http://www.cyberpolice.go.jp/detect/pdf/Welchia_worm.pdf
Nachi.Bは感染対象のロケールが日本語だった場合、IISが組み込まれていれば
Webページの内容を反日スローガンに改竄し、自動停止期日が過ぎても停止しない
などの動作をすることが明らかになった。
1 攻撃ポート port 445、port135、port80
2 活動期限 日本語以外の場合 2004年6月1日 (起動中の場合、感染から120日後)
日本語の場合、無期限に活動
3 WEBページ改竄 ロケールが日本語の場合、IISドキュメントルート直下のファイル
を「Let History Tell Future ... 1945.8.6 Little boy」などの反日スローガンに改竄
4 感染後の動作
本体プログラム <システムフォルダ<>\drivers\svchost.exe
レジストリ改変 HKLM\System\CurrentControlSet\Services\WksPatch
詳細はPDFファイル http://www.cyberpolice.go.jp/detect/pdf/Welchia_worm.pdf
682 :名無しさん@お腹いっぱい。:04/02/15 03:01
日本語狙い撃ちかよ…
683 :名無しさん@お腹いっぱい。:04/02/15 03:23
なんでトレンドもシマンテックもNACHI.Bが日本語環境でめったくさ
破壊活動することを発表しないんだ? 警察庁よりそんなに解析
能力が低いのか?
破壊活動することを発表しないんだ? 警察庁よりそんなに解析
能力が低いのか?
684 :名無しさん@お腹いっぱい。:04/02/15 06:24
>>683
BlasterやNachi.A対策でセキュリティパッチをあてていれば感染の危険性が
ない。そして去年の夏の騒動で懲りた企業はセキュリティ対策を強化している。
SymantecもTrend Microも日本時間で12日には解析を開始して情報を公開していた。
むしろ今頃同じ脆弱性を突くNachi.Bに感染するほうが・・・。ローソンとか・・・。
BlasterやNachi.A対策でセキュリティパッチをあてていれば感染の危険性が
ない。そして去年の夏の騒動で懲りた企業はセキュリティ対策を強化している。
SymantecもTrend Microも日本時間で12日には解析を開始して情報を公開していた。
むしろ今頃同じ脆弱性を突くNachi.Bに感染するほうが・・・。ローソンとか・・・。
685 :名無しさん@お腹いっぱい。:04/02/15 08:06
既出かも知れないが、
PDFを見ると某チケット屋のトップページを変えたのは
これみたいだな。
あそこでチケットを買うのは危険だな..個人情報がダダ漏れになりそうで。
PDFを見ると某チケット屋のトップページを変えたのは
これみたいだな。
あそこでチケットを買うのは危険だな..個人情報がダダ漏れになりそうで。
686 :名無しさん@お腹いっぱい。:04/02/15 15:40
NACHI.Bの破壊活動をトレンド、シマンテックはなぜ公表しないのか?
>>684は
> SymantecもTrend Microも日本時間で12日には解析を開始
> して 情報を公開していた。
というが、解析を開始したきりで、未だに破壊活動情報を公表しない。
NACHI.BはWEBサーバのデータファイルを改竄して、
1945.8.6 Little boy(←広島の原爆)
1945.8.9 Fatso (←長崎の原爆)
というような反日スローガンに書き換える
この情報をトレンドは未だにウィルスデータベースに発表してない。
> ウイルスコード内に以下の文字列が含まれます:
などとそしらぬ顔。
シマンテックは英語サイトでは
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html
10 Overwrites the files it finds with the following .htm file:
と破壊活動を行うことスクリーンショット入りで明確に表示しているのに、
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801
日本語サイトではタイトルだけでNACHI.Bの解説は全く出していない。
これはどういうことなのか? それほど日本法人の能力は低いのか?
>>684は
> SymantecもTrend Microも日本時間で12日には解析を開始
> して 情報を公開していた。
というが、解析を開始したきりで、未だに破壊活動情報を公表しない。
NACHI.BはWEBサーバのデータファイルを改竄して、
1945.8.6 Little boy(←広島の原爆)
1945.8.9 Fatso (←長崎の原爆)
というような反日スローガンに書き換える
この情報をトレンドは未だにウィルスデータベースに発表してない。
> ウイルスコード内に以下の文字列が含まれます:
などとそしらぬ顔。
シマンテックは英語サイトでは
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html
10 Overwrites the files it finds with the following .htm file:
と破壊活動を行うことスクリーンショット入りで明確に表示しているのに、
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801
日本語サイトではタイトルだけでNACHI.Bの解説は全く出していない。
これはどういうことなのか? それほど日本法人の能力は低いのか?
687 :名無しさん@お腹いっぱい。:04/02/15 17:46
>>686
ttp://www.symantec.com/region/jp/sarcj/index.html
の下の方にある危険度の高いウィルス情報のTopに入ってるだろ
ttp://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.b.worm.html
コピペうざい上に自分の能力の低さを自慢すんな
ttp://www.symantec.com/region/jp/sarcj/index.html
の下の方にある危険度の高いウィルス情報のTopに入ってるだろ
ttp://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.b.worm.html
コピペうざい上に自分の能力の低さを自慢すんな
688 :名無しさん@お腹いっぱい。:04/02/15 19:11
>>687
ま、もちつけ。(w
ま、もちつけ。(w
689 :名無しさん@お腹いっぱい。:04/02/15 19:27
>>684
甘いな。企業のセキュリティはそんなに上がっていないよ。
外部に開発を委託している場合,開発元がセキュリティパッチを
当てるのを嫌がるのだ。
現状は,企業内部の運用部が(もし技術力があればだが)パッチを当てて問題
無いことを確認し,
「問題無いからこれで行くよ」
「そちらでそういう判断をされるのであればどうぞ」
って感じで進んでいるのが実情。
甘いな。企業のセキュリティはそんなに上がっていないよ。
外部に開発を委託している場合,開発元がセキュリティパッチを
当てるのを嫌がるのだ。
現状は,企業内部の運用部が(もし技術力があればだが)パッチを当てて問題
無いことを確認し,
「問題無いからこれで行くよ」
「そちらでそういう判断をされるのであればどうぞ」
って感じで進んでいるのが実情。
690 :名無しさん@お腹いっぱい。:04/02/15 20:07
691 :名無しさん@お腹いっぱい。:04/02/15 20:46
>>689
同感。システム屋さんに、おらしらねえよ、っていわれた日にはお手上げだ。
「ただのパソコン」として使っているPCは勝手にさわれるけど、
専用にプログラムが入れてあったりすると、ご指示に従うか、自己責任で
やるかどっちかだ。だれも責任を取りたくないもんで、ほったらかし。
責任ていうのは、パッチを入れたことで、専用の独自システムが動かない
ことに対する責任ね。
こういうPCは隔離しておきたいが、出来ないし。
同感。システム屋さんに、おらしらねえよ、っていわれた日にはお手上げだ。
「ただのパソコン」として使っているPCは勝手にさわれるけど、
専用にプログラムが入れてあったりすると、ご指示に従うか、自己責任で
やるかどっちかだ。だれも責任を取りたくないもんで、ほったらかし。
責任ていうのは、パッチを入れたことで、専用の独自システムが動かない
ことに対する責任ね。
こういうPCは隔離しておきたいが、出来ないし。
692 :名無しさん@お腹いっぱい。:04/02/15 20:47
だにゃ。
むやみにパッチは当てられない、勝手には動けない。
むやみにパッチは当てられない、勝手には動けない。
693 :名無しさん@お腹いっぱい。:04/02/15 21:47
おめーら見たいのがいるから、俺が最後に泣きつかれて苦労すんだよ。氏ね。
694 :名無しさん@お腹いっぱい。:04/02/15 21:59
695 :名無しさん@お腹いっぱい。:04/02/15 22:29
できねーし。とか言って結果的に放置してる奴。
696 :名無しさん@お腹いっぱい。:04/02/16 13:16
★★★★★★緊急感染危険性情報
主要サーバープロセスのバッファオーバーランの脆弱性
Q828028 msasn1.dll (https client and so on)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-007.asp
Q830352 WINS (42/tcp 137/udp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-006.asp
Q828749 Workstation service (138-139,445/tcp/udp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-049.asp
Q828035 Messenger service (137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
Q824146 RPCSS (137-139 MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
Q823980 RPC DCOM (137-139 MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp
Q817606 SMB (139,445)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-024.asp
Q815021 WebDAV (80/tcp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-007.asp
Q810833 Locator Service
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-001.asp
Q326830 SMB
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-045.asp
Q314941 UPnP
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS01-059.asp
Q307298 telnet
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-004.asp
主要サーバープロセスのバッファオーバーランの脆弱性
Q828028 msasn1.dll (https client and so on)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-007.asp
Q830352 WINS (42/tcp 137/udp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-006.asp
Q828749 Workstation service (138-139,445/tcp/udp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-049.asp
Q828035 Messenger service (137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
Q824146 RPCSS (137-139 MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
Q823980 RPC DCOM (137-139 MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp
Q817606 SMB (139,445)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-024.asp
Q815021 WebDAV (80/tcp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-007.asp
Q810833 Locator Service
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-001.asp
Q326830 SMB
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-045.asp
Q314941 UPnP
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS01-059.asp
Q307298 telnet
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-004.asp
697 :名無しさん@お腹いっぱい。:04/02/16 13:58
698 :名無しさん@お腹いっぱい。:04/02/16 14:33
>>696
最低限、これらのパッチを当てていないW2K/WXPをLAN/WANともにネットに晒すべきではない。
最低限、これらのパッチを当てていないW2K/WXPをLAN/WANともにネットに晒すべきではない。
699 :名無しさん@お腹いっぱい。:04/02/16 15:06
【コンピュータ】政治的なメッセージを送りつける、今度のNachiワーム 中国人の仕業か?[02/13]
http://news2.2ch.net/test/read.cgi/news4plus/1076642142/
【週間アップデート】欠陥だらけのIE 今度も深刻度最高 MS社が修正ソフト配布
http://book.2ch.net/test/read.cgi/bizplus/1075806262/
【MS】「緊急」含む2月の月例パッチを公開、Virtual PC for Macにも脆弱性【週刊アップデート】
http://book.2ch.net/test/read.cgi/bizplus/1076516893/
【ブラスタ】大規模感染ウィルス&ワーム情報5【後継】 Blasterスレ part5
http://pc.2ch.net/test/read.cgi/sec/1065964513/
http://news2.2ch.net/test/read.cgi/news4plus/1076642142/
【週間アップデート】欠陥だらけのIE 今度も深刻度最高 MS社が修正ソフト配布
http://book.2ch.net/test/read.cgi/bizplus/1075806262/
【MS】「緊急」含む2月の月例パッチを公開、Virtual PC for Macにも脆弱性【週刊アップデート】
http://book.2ch.net/test/read.cgi/bizplus/1076516893/
【ブラスタ】大規模感染ウィルス&ワーム情報5【後継】 Blasterスレ part5
http://pc.2ch.net/test/read.cgi/sec/1065964513/
700 :名無しさん@お腹いっぱい。:04/02/16 15:18
701 :名無しさん@お腹いっぱい。:04/02/16 21:12
ttp://www.asahi.com/national/update/0216/025.html
日本語ウインドウズにのみ働くPCウイルス発見 中国
香港の中国系紙・文匯報によると、北京のコンピューターソフト会社「中国瑞星」が、マイクロソフト社製
のOS、ウインドウズ2000と同XPの日本語版にのみ被害を与えるコンピューターウイルスを発見した。
ウイルスは「W32.Welchia.B」という名で、コンピューターのHTMLファイルを書き換えるという。
画面上に黒地に赤く「LET HISTORY TELL FUTURE」(歴史に未来を語らせよ)という英文が出現
し、満州事変や廬溝橋事件など日中間の事件の日付とみられる数字が表れる。
同社は「内容から見て、制作者は中国人の可能性が高い」としている。 (02/16 19:47)
#朝日いたすぎ(w
日本語ウインドウズにのみ働くPCウイルス発見 中国
香港の中国系紙・文匯報によると、北京のコンピューターソフト会社「中国瑞星」が、マイクロソフト社製
のOS、ウインドウズ2000と同XPの日本語版にのみ被害を与えるコンピューターウイルスを発見した。
ウイルスは「W32.Welchia.B」という名で、コンピューターのHTMLファイルを書き換えるという。
画面上に黒地に赤く「LET HISTORY TELL FUTURE」(歴史に未来を語らせよ)という英文が出現
し、満州事変や廬溝橋事件など日中間の事件の日付とみられる数字が表れる。
同社は「内容から見て、制作者は中国人の可能性が高い」としている。 (02/16 19:47)
#朝日いたすぎ(w
702 :名無しさん@お腹いっぱい。:04/02/17 00:14
703 :名無しさん@お腹いっぱい。:04/02/17 00:18
ttp://support.microsoft.com/default.aspx?scid=kb;ja;831167
マイクロソフト サポート技術情報 - 831167
Wininet により空白のヘッダーのみの POST 要求が再送される
現象
ユーザー名やパスワードなどのデータを Wininet 関数を使用して Web サーバーに送信するプログラム
は、Web サーバーで最初の接続要求が終了すると (またはリセットされると)、空白のヘッダーのみの
POST 要求を再送します。
原因
この問題は、セキュリティ修正プログラム (MS04-004) (832894) または修正プログラム (821814) の
適用後に発生します。
解決方法
修正プログラム情報
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
ダウンロード Q831167.exe (32-bit) パッケージ
Q831167.exe
http://download.microsoft.com/download/9/3/c/93c40dd8-bd75-42f8-a965-95c09f15fc7c/Q831167.exe
ダウンロード Q831167.exe (64-bit) パッケージ
リリース日 : 2004 年2 月 12 日 (米国時間)
#こんな修正パッチもでてますよ。パッチあてますた。
マイクロソフト サポート技術情報 - 831167
Wininet により空白のヘッダーのみの POST 要求が再送される
現象
ユーザー名やパスワードなどのデータを Wininet 関数を使用して Web サーバーに送信するプログラム
は、Web サーバーで最初の接続要求が終了すると (またはリセットされると)、空白のヘッダーのみの
POST 要求を再送します。
原因
この問題は、セキュリティ修正プログラム (MS04-004) (832894) または修正プログラム (821814) の
適用後に発生します。
解決方法
修正プログラム情報
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
ダウンロード Q831167.exe (32-bit) パッケージ
Q831167.exe
http://download.microsoft.com/download/9/3/c/93c40dd8-bd75-42f8-a965-95c09f15fc7c/Q831167.exe
ダウンロード Q831167.exe (64-bit) パッケージ
リリース日 : 2004 年2 月 12 日 (米国時間)
#こんな修正パッチもでてますよ。パッチあてますた。
704 :名無しさん@お腹いっぱい。:04/02/17 00:27
705 :名無しさん@お腹いっぱい。:04/02/17 02:01
>>693
別におまいに迷惑かけてるわけじゃなし。一般PCの話じゃないんだ。
あ、感染はしてないからね。その点は誤解なきよう。
パッチをすぐにはあてない=なにも知らない、ではないから。
少なくとも、ここに来てるやつは、自力でやれる対策はとってると思うよ。
でなきゃ、こんな所へやって来ない。
別におまいに迷惑かけてるわけじゃなし。一般PCの話じゃないんだ。
あ、感染はしてないからね。その点は誤解なきよう。
パッチをすぐにはあてない=なにも知らない、ではないから。
少なくとも、ここに来てるやつは、自力でやれる対策はとってると思うよ。
でなきゃ、こんな所へやって来ない。
706 :名無しさん@お腹いっぱい。:04/02/17 09:56
>別におまいに迷惑かけてるわけじゃなし。
という奴に限って思わぬ所で大勢の人に迷惑をかけるんだよな。
という奴に限って思わぬ所で大勢の人に迷惑をかけるんだよな。
707 :名無しさん@お腹いっぱい。:04/02/17 11:28
708 :名無しさん@お腹いっぱい。:04/02/17 14:28
>>700
IDSのwormが漸増しているようだが。
IDSのwormが漸増しているようだが。
709 :名無しさん@お腹いっぱい。:04/02/17 14:35
_ ,;;――――- 、
/ ヽ
/ ,,_,,,,;;ヽ |
/ / | l ゝ
/ | -―‐ ヾ ヽ __ ゞ
| | , ―― 、 , ―‐‐、ヽ
| /〉=| ( ・ ) |⌒| ( ・ ) |ヽ
| /" ー―‐' ヽ ―‐' |
l; '' ヽ ( :::::) 、) | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
/ | _____) < 、まじ、すまんかった
|. | ( ___ヾ'l | \________
l; ./l ヽ _____ノ /
_,ヾ-‐''| l | | ’`‐-;;,_
ヽ ヽ / /
/ ヽ
/ ,,_,,,,;;ヽ |
/ / | l ゝ
/ | -―‐ ヾ ヽ __ ゞ
| | , ―― 、 , ―‐‐、ヽ
| /〉=| ( ・ ) |⌒| ( ・ ) |ヽ
| /" ー―‐' ヽ ―‐' |
l; '' ヽ ( :::::) 、) | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
/ | _____) < 、まじ、すまんかった
|. | ( ___ヾ'l | \________
l; ./l ヽ _____ノ /
_,ヾ-‐''| l | | ’`‐-;;,_
ヽ ヽ / /
710 :名無しさん@お腹いっぱい。:04/02/17 14:54
>>702
マイナーな亜種であり、機能面では亜種 B と同じです。
マイナーな亜種であり、機能面では亜種 B と同じです。
711 :名無しさん@お腹いっぱい。:04/02/18 02:26
パッチを当てない理由は実際ほとんど無い。
開発元が「SP2を当てると動かなくなる」と連絡してきたのも,
実際にこちらでテストしてみると何の問題も無かった。
それ以降,当てるとどういう問題があるのか具体的に説明をもてめるようにしている。
回答は「・・・の恐れがある」とか言って来るので試したのかと聞くと試していない。
まぁ〜 こういうのは元ソフトハウスで開発していた人間がスピンアウトして
発注元に回っているような特殊なケースでないとできないのかもしれないが。
開発元が「SP2を当てると動かなくなる」と連絡してきたのも,
実際にこちらでテストしてみると何の問題も無かった。
それ以降,当てるとどういう問題があるのか具体的に説明をもてめるようにしている。
回答は「・・・の恐れがある」とか言って来るので試したのかと聞くと試していない。
まぁ〜 こういうのは元ソフトハウスで開発していた人間がスピンアウトして
発注元に回っているような特殊なケースでないとできないのかもしれないが。
712 :名無しさん@お腹いっぱい。:04/02/18 06:19
>>711さんみたいにリスクの判断ができる人だといいわけですが…
パッチ当てた後で動かんかったときに「直せ」といわれて、直るまで金
払わんとか言われたらどうします? 「試したか」と聞かれたときは
「パラメータの組み合わせ全部は試してません。」と答えてる。これは
事実w。
パッチ当てるのも当てないの管理者の「自己責任」でお願いしてます。
パッチ当てた後で動かんかったときに「直せ」といわれて、直るまで金
払わんとか言われたらどうします? 「試したか」と聞かれたときは
「パラメータの組み合わせ全部は試してません。」と答えてる。これは
事実w。
パッチ当てるのも当てないの管理者の「自己責任」でお願いしてます。
713 :名無しさん@お腹いっぱい。:04/02/18 20:00
ひょんなことで、大規模基幹システムのサーバー管理担当者に事情をきく機会をえた。
パッチあてない理由:
1.運用中のマシンとソフトウェアの所有者が、はっきりしない
2.修正パッチによる、運用しているソフトウェアへの影響が確認できない
3.Windows NT (おそらく SP なし)なので、パッチがない
4.これまでウィルス感染がなかった(と思う)ので、そのままにしている
パッチあてない理由:
1.運用中のマシンとソフトウェアの所有者が、はっきりしない
2.修正パッチによる、運用しているソフトウェアへの影響が確認できない
3.Windows NT (おそらく SP なし)なので、パッチがない
4.これまでウィルス感染がなかった(と思う)ので、そのままにしている
714 :名無しさん@お腹いっぱい。:04/02/18 20:27
ttp://www.cyberpolice.go.jp/important/20040218_112145.html
■Beagle.B(Bagle.B、Alua)ウイルスの発生について(2/18) <2004/02/18>
平成16年2月18日
警 察 庁
Beagle.B(Bagle.B、Alua)ウイルスの発生について
2月18日現在、警察庁では、メールを介して感染するBeagle.B(Bagle.B、Alua)ウイルスが発
生しているとの情報を入手しました。このウィルスは、大量にメールを送信する機能があり、
バックドアを仕掛けるとの情報があります。不審なメールや添付ファイルを安易に開封しない
など、十分に警戒してください。
■Beagle.B(Bagle.B、Alua)ウイルスの発生について(2/18) <2004/02/18>
平成16年2月18日
警 察 庁
Beagle.B(Bagle.B、Alua)ウイルスの発生について
2月18日現在、警察庁では、メールを介して感染するBeagle.B(Bagle.B、Alua)ウイルスが発
生しているとの情報を入手しました。このウィルスは、大量にメールを送信する機能があり、
バックドアを仕掛けるとの情報があります。不審なメールや添付ファイルを安易に開封しない
など、十分に警戒してください。
715 :名無しさん@お腹いっぱい。:04/02/18 20:44
>>713
4. はワラタ
4. はワラタ
716 :名無しさん@お腹いっぱい。:04/02/19 01:31
>>712
出荷するときにもパラメータの組み合わせ全部を試していないに違いない。
出荷するときにもパラメータの組み合わせ全部を試していないに違いない。
717 :名無しさん@お腹いっぱい。:04/02/19 01:55
うわぁぁぁぁぁぁぁっぁぁぁ
あと、、、10秒で再起動しますっていっています。
8、7、6、うわぁあああああああああ
どうしよ
あと、、、10秒で再起動しますっていっています。
8、7、6、うわぁあああああああああ
どうしよ
718 :名無しさん@お腹いっぱい。:04/02/19 02:13
>>717 再起動させりゃいいだろ? 行が無駄なので1行で済ます。(w
719 :名無しさん@お腹いっぱい。:04/02/19 02:19
>>717
勝手に再起動してろ!
勝手に再起動してろ!
720 :(・∀・)ウンコー ◆UNKOO50/GY :04/02/19 02:43
>>717
( ´∀`)σ)Д`)
( ´∀`)σ)Д`)
721 :名無しさん@お腹いっぱい。:04/02/19 08:37
>>717
お前はそれを10秒で書いたのか?w
お前はそれを10秒で書いたのか?w
722 :名無しさん@お腹いっぱい。:04/02/19 10:35
>>713
自宅から離れた倉庫の鍵の脆弱性を放置したまま(=常時管理していないサーバーのパッチを当てないまま)で
泥棒に侵入されても(=ワーム・ウィルスなどに侵入されても)
その家主(=管理者)に責任は追及されないけれども、
そこを泥棒のアジトにされて(=ワームの元やバックドアなどを仕掛けられて)
周辺の家(=コンピュータ)に被害が及んだときには
容易にアジトを作られていた(=ワームの元やバックドアなどを仕掛けられていた)事に気づく事ができるような場合には
不法行為性があるぞ
大事になってみないと分からないもんだろうが、
そもそも物事が表面化して大事になる可能性もそう大きくはないわけで、
そこが困りどころだな。
自宅から離れた倉庫の鍵の脆弱性を放置したまま(=常時管理していないサーバーのパッチを当てないまま)で
泥棒に侵入されても(=ワーム・ウィルスなどに侵入されても)
その家主(=管理者)に責任は追及されないけれども、
そこを泥棒のアジトにされて(=ワームの元やバックドアなどを仕掛けられて)
周辺の家(=コンピュータ)に被害が及んだときには
容易にアジトを作られていた(=ワームの元やバックドアなどを仕掛けられていた)事に気づく事ができるような場合には
不法行為性があるぞ
大事になってみないと分からないもんだろうが、
そもそも物事が表面化して大事になる可能性もそう大きくはないわけで、
そこが困りどころだな。
723 :名無しさん@お腹いっぱい。:04/02/19 10:36
724 :名無しさん@お腹いっぱい。:04/02/19 11:04
>>696
>>698
Windows NT4.0 (各種) SP6a以降
Windows 2000 (各種) SP2以降
Windows XP (各種)
Windows Server 2003 (各種)
が主な対象。UPnP については、Win98/98SE/Meも含まれる。
また上記より古いSPのレベルのOSは前記パッチが当てられなかったり、
もっと古い脆弱性(ICMPで死ぬとか)があったりするのでネットワークへの接続は停止すべきである。
>>698
Windows NT4.0 (各種) SP6a以降
Windows 2000 (各種) SP2以降
Windows XP (各種)
Windows Server 2003 (各種)
が主な対象。UPnP については、Win98/98SE/Meも含まれる。
また上記より古いSPのレベルのOSは前記パッチが当てられなかったり、
もっと古い脆弱性(ICMPで死ぬとか)があったりするのでネットワークへの接続は停止すべきである。
725 :名無しさん@お腹いっぱい。:04/02/19 23:40
やっと日本語版3.6ccb・・・
726 :名無しさん@お腹いっぱい。:04/02/20 00:19
SP当てられないマシンに関しては
アンチウィルス入れて対応してる
ただシマンテックみたいにデフォルトの設定だと
ターミナルサービスと相性が悪いのもある
アンチウィルス入れて対応してる
ただシマンテックみたいにデフォルトの設定だと
ターミナルサービスと相性が悪いのもある
727 :名無しさん@お腹いっぱい。:04/02/20 11:34
>>726
そりゃ単なる対症療法
そりゃ単なる対症療法
728 :名無しさん@お腹いっぱい。:04/02/20 14:12
729 :名無しさん@お腹いっぱい。:04/02/20 17:19
>>728
FWも追加しとけ。
FWも追加しとけ。
730 :名無しさん@お腹いっぱい。:04/02/20 17:56
他スレから来ました。
XPの場合、いわゆるブラスタの侵入を防ぐためのパッチは03-001 03-007 03-039と
認識していたのですが他すれでSP1必須と言われました。
ブラスタ防ぐにはSP1は必須ですか?
XPの場合、いわゆるブラスタの侵入を防ぐためのパッチは03-001 03-007 03-039と
認識していたのですが他すれでSP1必須と言われました。
ブラスタ防ぐにはSP1は必須ですか?
731 :名無しさん@お腹いっぱい。:04/02/21 00:13
>>730 いったい どの「他スレ」の何番あたりから いらっさいますたか?
732 :名無しさん@お腹いっぱい。:04/02/21 01:10
すこし前の方の「パッチあてない理由:」で気になったのですが、
Windows NT Server 3.5 で問題は起こらないのでしょうか?
某担当者:「あまりに古すぎるので、感染しなかったんでしょう」
とか話しておりました。
NT 3.5 あたりになると、ちょっと自分自身の経験と最近の情報から、
その事情がわかりません。
株式会社ラックの 2003年8月15日の“Blaster-worm_guideline.pdf”でも
2.影響を受けるコンピュータ
Microsoft Windows NT Server 4.0
:
となっています。そのあたりの事情について、どなたか情報をお持ちの方の
コメントをいただければ、ありがたく思います。
Windows NT Server 3.5 で問題は起こらないのでしょうか?
某担当者:「あまりに古すぎるので、感染しなかったんでしょう」
とか話しておりました。
NT 3.5 あたりになると、ちょっと自分自身の経験と最近の情報から、
その事情がわかりません。
株式会社ラックの 2003年8月15日の“Blaster-worm_guideline.pdf”でも
2.影響を受けるコンピュータ
Microsoft Windows NT Server 4.0
:
となっています。そのあたりの事情について、どなたか情報をお持ちの方の
コメントをいただければ、ありがたく思います。
733 :名無しさん@お腹いっぱい。:04/02/21 03:13
影響あるかもしれないし無いかもしれないけど、誰もそんな古いバー
ジョンまで調べてないので「知りません」だろうな。
まぁNT3.5だとExplorerも無いし、レジストリもまだあまり利用されてない、
IEがあってもせいぜいCOMコンポーネント化される前のIE2.0とかそんな
レベルだったはずなので、今時出回ってるほとんどのウィルス/ワーム
は動かない事の方が多いだろうけどね。
BlasterみたいにRPCSSのバッファオーバーフロー突くような奴はNT3.5
でも影響ありそうな気もするけど、DCOMサポート前で実装が違ってる
からセーフとかあるのやもしれん。
いずれにせよもうNT3.5のセキュリティ情報など手に入らないのだから
影響は「てめーで調べろや」しか無いと思うが。
ジョンまで調べてないので「知りません」だろうな。
まぁNT3.5だとExplorerも無いし、レジストリもまだあまり利用されてない、
IEがあってもせいぜいCOMコンポーネント化される前のIE2.0とかそんな
レベルだったはずなので、今時出回ってるほとんどのウィルス/ワーム
は動かない事の方が多いだろうけどね。
BlasterみたいにRPCSSのバッファオーバーフロー突くような奴はNT3.5
でも影響ありそうな気もするけど、DCOMサポート前で実装が違ってる
からセーフとかあるのやもしれん。
いずれにせよもうNT3.5のセキュリティ情報など手に入らないのだから
影響は「てめーで調べろや」しか無いと思うが。
734 :名無しさん@お腹いっぱい。:04/02/21 13:59
>>733 コメントありがとう。
もし「Windows NT Server 3.5 で問題は起こらない」のであれば、
そのままにしている某(引継ぎ)担当者の判断は正しかったのかもしれません。
「新しいモノを構築する検討をしています」とか苦しい釈明をしていましたが、
別のアプリで新しいモノが作成されて、たいへんな問題が起きてている中で、
投資対利益、成果追求、組織の中の立場とか、いろいろと考慮すると、某担当者に
及ばないかもしれませんが、自分もそうした状況判断をしているかもしれません。
もし「Windows NT Server 3.5 で問題は起こらない」のであれば、
そのままにしている某(引継ぎ)担当者の判断は正しかったのかもしれません。
「新しいモノを構築する検討をしています」とか苦しい釈明をしていましたが、
別のアプリで新しいモノが作成されて、たいへんな問題が起きてている中で、
投資対利益、成果追求、組織の中の立場とか、いろいろと考慮すると、某担当者に
及ばないかもしれませんが、自分もそうした状況判断をしているかもしれません。
735 :名無しさん@お腹いっぱい。:04/02/22 10:58
>>730
レスがつかないようなのでちょっと・・
当方、SP1を当てずにBlaster対策パッチは適用出来ています。
もちろん、それ以外の WindowsUpdateは導入済み。
昨年9月頃(Blaster以降)、SP1を当てないとそれ以降のパッチは適用
出来ないよ、とMSが公表した事があるので、それのことを指しているのかも
しれないけど、言った人にきいてみないとわかりませんね。
こちらでは、SP1なしでそれ以降のパッチも導入できているので、MSが方針を
かえたのかも知れない。
SPは雑誌の付録ででなくなってどうしようかと思っていたけど、Blaster騒ぎで
CD-ROMで入手可能になったことはありがたい。
レスがつかないようなのでちょっと・・
当方、SP1を当てずにBlaster対策パッチは適用出来ています。
もちろん、それ以外の WindowsUpdateは導入済み。
昨年9月頃(Blaster以降)、SP1を当てないとそれ以降のパッチは適用
出来ないよ、とMSが公表した事があるので、それのことを指しているのかも
しれないけど、言った人にきいてみないとわかりませんね。
こちらでは、SP1なしでそれ以降のパッチも導入できているので、MSが方針を
かえたのかも知れない。
SPは雑誌の付録ででなくなってどうしようかと思っていたけど、Blaster騒ぎで
CD-ROMで入手可能になったことはありがたい。
736 :名無しさん@お腹いっぱい。:04/02/25 09:57
先週あたりからport6881へのsynがもの凄い数なんだけど何これ?
737 :名無しさん@お腹いっぱい。:04/02/25 22:59
738 :名無しさん@お腹いっぱい。:04/02/26 01:01
BitTorrent が他の BitTorrent をさがしていると…
ルーターないと、たいへんですね
ルーターないと、たいへんですね
739 :名無しさん@お腹いっぱい。:04/02/29 02:16
port 135
ttp://www.cyberpolice.go.jp/detect/observation.html
で、インターネットで、いまだに盛んな様子。
某イントラネットで、まさに port 135 (RPC DCOM)を必須とする Server-Client プログラムが
稼動していることを発見。 ふしぎなことでしょうが、ウィルス感染しなかったそうです。
ttp://www.cyberpolice.go.jp/detect/observation.html
で、インターネットで、いまだに盛んな様子。
某イントラネットで、まさに port 135 (RPC DCOM)を必須とする Server-Client プログラムが
稼動していることを発見。 ふしぎなことでしょうが、ウィルス感染しなかったそうです。
740 :名無しさん@お腹いっぱい。:04/03/01 15:32
そりゃあwindows updateしてたんだろ
741 :名無しさん@お腹いっぱい。:04/03/01 19:02
742 :名無しさん@お腹いっぱい。:04/03/02 13:15
感染してしまったぽいです。
起動時にカウントダウンが始まってシャットダウンされてしまうので何もできません。
セーフモードでもシャットダウンされてしまいます。
このような場合はどうしたらよいのでしょうか。
どなたか御教授願います。
起動時にカウントダウンが始まってシャットダウンされてしまうので何もできません。
セーフモードでもシャットダウンされてしまいます。
このような場合はどうしたらよいのでしょうか。
どなたか御教授願います。
743 :名無しさん@お腹いっぱい。:04/03/02 13:38
>>742
そのパソからHDD引っこ抜いて他のパソに2台目HDDとしてつなげて駆除する。
そのパソからHDD引っこ抜いて他のパソに2台目HDDとしてつなげて駆除する。
744 :名無しさん@お腹いっぱい。:04/03/02 14:16
745 :名無しさん@お腹いっぱい。:04/03/02 15:03
>>744
>>743 それが王道。(ノートだとつらいかな)
ただし、ウィルス対策ソフトがそのつなげたHDDのレジストリまで修復するかどうか。
(たぶん修復しないだろう)
起動時のエラーがでるかも。ウィルス起動するようになっていても、ウィルスがない
のでエラーメッセージ。Windows は、ちゃんと起動するので、ゆっくりレジストリを
吟味してみるといい。
★DCOM を無効にしておこう。(ウィルスは DCOM を使うから、使わせない)
コントロールパネル>管理ツール>コンポーネントサービス>コンピュータ>
マイコンピュータ>右クリック>既定のプロパティ>
「このコンピュータで分散COM を有効にする」のチェックを外す。>OK OK>再起動
Windows 修正パッチをあてよう。
重要な更新以外のよけいな「推奨する更新」とかもやっちまうと、とくに Windows 2000
で無線LAN がうまく動作しないとかがある。
Windows XP (SP なし) からだと、サウンドが鳴らなくなる場合があるので、PC メーカー
のサポート情報をよく見ることをお勧めする。
>>743 それが王道。(ノートだとつらいかな)
ただし、ウィルス対策ソフトがそのつなげたHDDのレジストリまで修復するかどうか。
(たぶん修復しないだろう)
起動時のエラーがでるかも。ウィルス起動するようになっていても、ウィルスがない
のでエラーメッセージ。Windows は、ちゃんと起動するので、ゆっくりレジストリを
吟味してみるといい。
★DCOM を無効にしておこう。(ウィルスは DCOM を使うから、使わせない)
コントロールパネル>管理ツール>コンポーネントサービス>コンピュータ>
マイコンピュータ>右クリック>既定のプロパティ>
「このコンピュータで分散COM を有効にする」のチェックを外す。>OK OK>再起動
Windows 修正パッチをあてよう。
重要な更新以外のよけいな「推奨する更新」とかもやっちまうと、とくに Windows 2000
で無線LAN がうまく動作しないとかがある。
Windows XP (SP なし) からだと、サウンドが鳴らなくなる場合があるので、PC メーカー
のサポート情報をよく見ることをお勧めする。
746 :名無しさん@お腹いっぱい。:04/03/02 15:08
747 :名無しさん@お腹いっぱい。:04/03/02 15:35
>>746
「HDD引っこ抜いて」って書いてあったよね。それすら読めないなら、君には無理だ。
さっさとリカバリすることをお勧めする。
そいで、DCOM 無効にしてから、ネットワークにつないで Windows Update。
Windows XP なら無料の Microsoft “Windows XP セキュリティ対策 CD-ROM” が
あれば、なおよし。ネットワークにつなぐ危険性を回避できる。
最近 Microsoft は、Windows 98 98SE ME 2000 XP の対策 CD-ROM を、注文すれば、
送る措置もとっているようだ。
「HDD引っこ抜いて」って書いてあったよね。それすら読めないなら、君には無理だ。
さっさとリカバリすることをお勧めする。
そいで、DCOM 無効にしてから、ネットワークにつないで Windows Update。
Windows XP なら無料の Microsoft “Windows XP セキュリティ対策 CD-ROM” が
あれば、なおよし。ネットワークにつなぐ危険性を回避できる。
最近 Microsoft は、Windows 98 98SE ME 2000 XP の対策 CD-ROM を、注文すれば、
送る措置もとっているようだ。
748 :名無しさん@お腹いっぱい。:04/03/02 16:05
749 :名無しさん@お腹いっぱい。:04/03/02 16:25
>>744
ネットワークのケーブルを引っこ抜け。
ネットワークのケーブルを引っこ抜け。
750 :名無しさん@お腹いっぱい。:04/03/03 14:01
751 :名無しさん@お腹いっぱい。:04/03/03 19:47
2004-03-02
■関東農政局のパソコン7台がウイルス感染
農水省関東農政局(さいたま市中央区)の庁内LANに接続されているパソコン計7台がコンピューター
ウイルスに感染し、同農政局は2月27日から1日までLANと外部との接続を遮断していたことが2日まで
にわかった。感染によるシステム障害や、ネットワーク遮断による業務への影響などの被害はなかった
という。
同省大臣官房情報課によると、ウイルスは「ブラスター」で、27日午後5時ごろに庁内のパソコン1台を
ウイルススキャンしていて見つかった。他のパソコンを調べたところ7台の感染がわかり、ウイルスを駆
除し、基本ソフトに修正プログラムなどを当てるなどの対策を取った。感染は庁内にとどまり、本省や他
省庁への影響はなかった。また同局のホームページは庁内とは別のサーバーで運用しているため、閲
覧を停止するなどの影響は出なかった。
ttp://www.mainichi.co.jp/digital/network/today/1.html
■関東農政局のパソコン7台がウイルス感染
農水省関東農政局(さいたま市中央区)の庁内LANに接続されているパソコン計7台がコンピューター
ウイルスに感染し、同農政局は2月27日から1日までLANと外部との接続を遮断していたことが2日まで
にわかった。感染によるシステム障害や、ネットワーク遮断による業務への影響などの被害はなかった
という。
同省大臣官房情報課によると、ウイルスは「ブラスター」で、27日午後5時ごろに庁内のパソコン1台を
ウイルススキャンしていて見つかった。他のパソコンを調べたところ7台の感染がわかり、ウイルスを駆
除し、基本ソフトに修正プログラムなどを当てるなどの対策を取った。感染は庁内にとどまり、本省や他
省庁への影響はなかった。また同局のホームページは庁内とは別のサーバーで運用しているため、閲
覧を停止するなどの影響は出なかった。
ttp://www.mainichi.co.jp/digital/network/today/1.html
752 :名無しさん@お腹いっぱい。:04/03/04 09:56
カウントダウンでシャットダウン=ブラスターというのは間違ってますか?
なんかテンプレ参考にいろいろ探してみたんですけど
abcdのどれでもないっぽい…。
ちなみにOSはWindows2000です
なんかテンプレ参考にいろいろ探してみたんですけど
abcdのどれでもないっぽい…。
ちなみにOSはWindows2000です
753 :名無しさん@お腹いっぱい。:04/03/04 13:20
フォーマットして再インスコしる
754 :名無しさん@お腹いっぱい。:04/03/04 18:10
今日インターネットができる様になったんですけどどうやらブラストとかいうのに感染したみたいっす。 みなさんの言ってるディレクトリとかファイルはどうやって見たらいいんでしょうか?パソコン初心者すぎてなにもわかりません(´・ω・`)ちなみに今は携帯からです。
755 :名無しさん@お腹いっぱい。:04/03/04 18:52
756 :名無しさん@お腹いっぱい。:04/03/04 18:54
757 :名無しさん@お腹いっぱい。:04/03/04 18:59
758 :名無しさん@お腹いっぱい。:04/03/04 19:16
759 :名無しさん@お腹いっぱい。:04/03/04 22:11
>>757
前にも関連カキコあるけど、それを漏れの状況にあてはめてみよう。
たった1台しかないとして、感染したと判ったときには、その状態で PC は決して起動させないね。
たとえノートPC であっても、パーツショップから新しいそれに相当する HDD を買ってきて、自力で
HDD交換してからリカバリするね。(感染の状況の保全をする意味でもある)
内蔵HDD を USB接続などで外付HDD にすることができるケースがショップで販売されている。
それを使って自分の蓄積していたファイルは自在に扱うことができる。
一部の製品で、リカバリ情報が内蔵HDD のみに特殊な形で保存されている場合は、PC メーカー
へ有償で HDD交換の修理依頼するだろう。この場合には、蓄積していたファイルなどは戻らない。
前にも関連カキコあるけど、それを漏れの状況にあてはめてみよう。
たった1台しかないとして、感染したと判ったときには、その状態で PC は決して起動させないね。
たとえノートPC であっても、パーツショップから新しいそれに相当する HDD を買ってきて、自力で
HDD交換してからリカバリするね。(感染の状況の保全をする意味でもある)
内蔵HDD を USB接続などで外付HDD にすることができるケースがショップで販売されている。
それを使って自分の蓄積していたファイルは自在に扱うことができる。
一部の製品で、リカバリ情報が内蔵HDD のみに特殊な形で保存されている場合は、PC メーカー
へ有償で HDD交換の修理依頼するだろう。この場合には、蓄積していたファイルなどは戻らない。
760 :名無しさん@お腹いっぱい。:04/03/04 23:19
>>750
NT4から。
NT4から。
761 :名無しさん@お腹いっぱい。:04/03/05 22:33
DCOM for Windows 98なんてのもある。
762 :名無しさん@お腹いっぱい。:04/03/08 10:26
標準ではインスコされないんだよね?>>NT4 / w98
763 :名無しさん@お腹いっぱい。:04/03/09 11:50
ttp://www.cyberpolice.go.jp/important/20040308_231816.html
■TCP1025番ポートに対するトラフィックの増加について(3/8) <2004/03/08>
平成16年3月8日
警 察 庁
TCP1025番ポートに対するトラフィックの増加について
3月8日現在、警察庁では、TCP1025番ポートに対するトラフィックの増加を検知していま
す。
このポートはWindowsのRemote Procedure Call(RPC) を使用するDistributed
Component Object Model (DCOM) インターフェイスで利用されるものです。
脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの
再確認をお勧めします。
なお、TCP1025番ポートに対するアクセス状況は以下のとおりです。
TCP1025番ポートに対するアクセス状況(リンク先はPDFファイルです。)
■TCP1025番ポートに対するトラフィックの増加について(3/8) <2004/03/08>
平成16年3月8日
警 察 庁
TCP1025番ポートに対するトラフィックの増加について
3月8日現在、警察庁では、TCP1025番ポートに対するトラフィックの増加を検知していま
す。
このポートはWindowsのRemote Procedure Call(RPC) を使用するDistributed
Component Object Model (DCOM) インターフェイスで利用されるものです。
脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの
再確認をお勧めします。
なお、TCP1025番ポートに対するアクセス状況は以下のとおりです。
TCP1025番ポートに対するアクセス状況(リンク先はPDFファイルです。)
764 :名無しさん@お腹いっぱい。:04/03/09 22:09
>>763
グラフ2個だけのPDFワロタ
グラフ2個だけのPDFワロタ
765 :名無しさん@お腹いっぱい。:04/03/10 00:07
ttp://www.cyberpolice.go.jp/important/20040309_145021.html
■Beagle(Bagle)ウイルスについて(3/9) <2004/03/09>
ttp://www.cyberpolice.go.jp/important/20040309_145112.html
■Netskyウイルスについて(3/9) <2004/03/09>
PDF アップデートしているね。大幅にレイアウト変更。一覧表イイ!
■Beagle(Bagle)ウイルスについて(3/9) <2004/03/09>
ttp://www.cyberpolice.go.jp/important/20040309_145112.html
■Netskyウイルスについて(3/9) <2004/03/09>
PDF アップデートしているね。大幅にレイアウト変更。一覧表イイ!
766 :名無しさん@お腹いっぱい。:04/03/15 08:21
ttp://www.cyberpolice.go.jp/important/20040314_143128.html
■Beagle(Bagle)ウイルスについて(3/14) <2004/03/14>
平成16年3月 8日
平成16年3月14日更新
警 察 庁
Beagle(Bagle)ウイルスについて
3月14日現在、メールを介して感染するBeagle(Bagle)ウイルス及びその多くの亜種が発
生しております。これらのウイルスは、大量にメールを送信する機能があり、またバックドア
を仕掛けるとの情報もあります。不審なメールや添付ファイルを開封しないなど、十分に警戒
して下さい。
なお、Beagle(Bagle)ウイルス及びその亜種の主な特徴は、以下のとおりです。
Beagle(Bagle)ウイルス及びその亜種の主な特徴(リンク先はPDFファイルです。)
[更新履歴]
3月14日 Beagle.Mについての情報を追加
■Beagle(Bagle)ウイルスについて(3/14) <2004/03/14>
平成16年3月 8日
平成16年3月14日更新
警 察 庁
Beagle(Bagle)ウイルスについて
3月14日現在、メールを介して感染するBeagle(Bagle)ウイルス及びその多くの亜種が発
生しております。これらのウイルスは、大量にメールを送信する機能があり、またバックドア
を仕掛けるとの情報もあります。不審なメールや添付ファイルを開封しないなど、十分に警戒
して下さい。
なお、Beagle(Bagle)ウイルス及びその亜種の主な特徴は、以下のとおりです。
Beagle(Bagle)ウイルス及びその亜種の主な特徴(リンク先はPDFファイルです。)
[更新履歴]
3月14日 Beagle.Mについての情報を追加
767 :名無しさん@お腹いっぱい。:04/03/15 15:33
OS再インストしてから頻繁にシャットダウンするようになって
調べたらblastっぽいんで一応対策してみたけど
なんかいまいち釈然としない症状なのでアドバイスお願いしまつ。
OSはXP Home SP1。ファイヤウォールはXP付属の機能を使ってまつ。
ウイルスソフトはAVG 6.0Free 使ってて安心してたんだけど
どもおかしいんでノートン体験版やらウイルスバスターオンラインスキャンやら
かけましたが、今の時点ではどれでもウイルスは検出されません。
(つかblastという名前では今まで一回もかからなかった。
症状からおいらが勝手にblastっぽいと思ってるだけ)
WindowsUpDateで検出される更新は全部かけました。
んでここまでやって、当初5分に一回シャットダウンしてたのが
一日に一回くらいに減りました。(忘れたころにシャットダウン)
気になってるのは[ 管理ツール>コンピュータの管理>イベントビューア>システム ]を開くと
未だに5分に一回ぐらいづつRPCに関するエラーが発生してる点。
どもこのRPCってのが悪さしてるような気がするんでつが
切り方がわかりません。(サービスから停止できない?)
あと>745を読んでDCOMってのも切ってみたんですけどこれも関係あるんでつ。
釈然としませんが足りない情報あったらどぞ。
調べたらblastっぽいんで一応対策してみたけど
なんかいまいち釈然としない症状なのでアドバイスお願いしまつ。
OSはXP Home SP1。ファイヤウォールはXP付属の機能を使ってまつ。
ウイルスソフトはAVG 6.0Free 使ってて安心してたんだけど
どもおかしいんでノートン体験版やらウイルスバスターオンラインスキャンやら
かけましたが、今の時点ではどれでもウイルスは検出されません。
(つかblastという名前では今まで一回もかからなかった。
症状からおいらが勝手にblastっぽいと思ってるだけ)
WindowsUpDateで検出される更新は全部かけました。
んでここまでやって、当初5分に一回シャットダウンしてたのが
一日に一回くらいに減りました。(忘れたころにシャットダウン)
気になってるのは[ 管理ツール>コンピュータの管理>イベントビューア>システム ]を開くと
未だに5分に一回ぐらいづつRPCに関するエラーが発生してる点。
どもこのRPCってのが悪さしてるような気がするんでつが
切り方がわかりません。(サービスから停止できない?)
あと>745を読んでDCOMってのも切ってみたんですけどこれも関係あるんでつ。
釈然としませんが足りない情報あったらどぞ。
768 :名無しさん@お腹いっぱい。:04/03/15 18:23
>>767
Windowsのアップデートかけててアンチウィールスでも検出されないならブラスタ
ではなさげ。しかし頻繁にシャットダウンするというのはやはり異常。接続ログを
きちんと取れるファイアウォール(Outpostとか)入れてログ見て味噌。怪しい接続
が見当たらないなら、
1 過去にウィルスが壊したシステム(レジストリその他)が完全に修復
されていない
2 ハードウェアの異常(メモリの相性、熱問題など)
なども考えられる
ところでRPCサービスは無効にしては絶対ダメ。OS入れなおしか、それに
近いくらい復旧に手間がかかる。
Windowsのアップデートかけててアンチウィールスでも検出されないならブラスタ
ではなさげ。しかし頻繁にシャットダウンするというのはやはり異常。接続ログを
きちんと取れるファイアウォール(Outpostとか)入れてログ見て味噌。怪しい接続
が見当たらないなら、
1 過去にウィルスが壊したシステム(レジストリその他)が完全に修復
されていない
2 ハードウェアの異常(メモリの相性、熱問題など)
なども考えられる
ところでRPCサービスは無効にしては絶対ダメ。OS入れなおしか、それに
近いくらい復旧に手間がかかる。
769 :名無しさん@お腹いっぱい。:04/03/15 20:08
770 :名無しさん@お腹いっぱい。:04/03/15 20:18
復旧方法を知っておかないと大変だよな
知ってれば一分かからないけど
知ってれば一分かからないけど
771 :名無しさん@お腹いっぱい。:04/03/15 20:43
>>767
感染しているかどうかは、以下で確認できる。詳細は
http://www.microsoft.com/japan/technet/security/virus/blaster.asp#cond
Step 3: Blaster ワームの感染の確認
1、Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開きます。
2、[タスクマネージャ] をクリックします。
3、[プロセス] タブをクリックします。
4、一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順
の表示にします。
5、"msblast.exe" を探します。存在する場合は、ワームに感染しています。
Step 4 に進み、駆除を行ってください。
存在しない場合は、Step 5 に進み、感染しないための対策を行います。
感染しているかどうかは、以下で確認できる。詳細は
http://www.microsoft.com/japan/technet/security/virus/blaster.asp#cond
Step 3: Blaster ワームの感染の確認
1、Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開きます。
2、[タスクマネージャ] をクリックします。
3、[プロセス] タブをクリックします。
4、一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順
の表示にします。
5、"msblast.exe" を探します。存在する場合は、ワームに感染しています。
Step 4 に進み、駆除を行ってください。
存在しない場合は、Step 5 に進み、感染しないための対策を行います。
皆様アドバイスども。
やはり blast の可能性は低そうですね。(msblast.exeも無いし。)
しかしそうなるとな何が原因か難しくなってしまいます。
シャットダウンするのは必ずブラウジング中(読み込み開始時)
なのでハードウェアの異常の可能性も低そうだし。
なんかの弾みでレジストリが異常になってしまったんでしょうね・・・
Outpostは実は以前一回入れてみたんだけど
使い方が良くわからなくてXP付属機能に戻してしまった。(w
レジストリ・その他が壊れてしまった場合
OSの上書き再インストールで復旧出来るんでしょうか?
それともやはりクリーンインストールかけないと駄目?
(そもそもこの症状の発端がOS上書き再インストールな訳ですが・・・)
やはり blast の可能性は低そうですね。(msblast.exeも無いし。)
しかしそうなるとな何が原因か難しくなってしまいます。
シャットダウンするのは必ずブラウジング中(読み込み開始時)
なのでハードウェアの異常の可能性も低そうだし。
なんかの弾みでレジストリが異常になってしまったんでしょうね・・・
Outpostは実は以前一回入れてみたんだけど
使い方が良くわからなくてXP付属機能に戻してしまった。(w
レジストリ・その他が壊れてしまった場合
OSの上書き再インストールで復旧出来るんでしょうか?
それともやはりクリーンインストールかけないと駄目?
(そもそもこの症状の発端がOS上書き再インストールな訳ですが・・・)
773 :名無しさん@お腹いっぱい。:04/03/16 13:53
774 :名無しさん@お腹いっぱい。:04/03/16 15:53
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs の Start に 2 を入れて再起動
775 :名無しさん@お腹いっぱい。:04/03/16 15:56
知ってしまうとあまりに簡単
776 :名無しさん@お腹いっぱい。:04/03/17 13:23
なんか今日になって、ビッグローブとeo-netからのブラスタらしきポート叩きが
やけに増えてる。なんかあったのかな?
やけに増えてる。なんかあったのかな?
777 :名無しさん@お腹いっぱい。:04/03/21 22:20
ttp://www.cyberpolice.go.jp/important/20040320_221628.html
■UDP4000番ポートを発信元ポートとするトラフィックの増加について(3/20) <2004/03/20>
平成16年3月20日
警 察 庁
UDP4000番ポートを発信元ポートとするトラフィックの増加について
UDP4000番ポートを発信元ポートとするトラフィックの増加について(リンク先はPDFファイルです)
ttp://www.cyberpolice.go.jp/detect/pdf/20040320-4000udp.pdf
3 月20 日21:00 現在、警察庁では多数のIP アドレスからの、UDP4000 番ポートを発信元ポートとする
アクセスの増加を検知しています。これは、ISS 社の複数の製品の脆弱性への攻撃に利用されるポート
であること、同脆弱性を利用して感染するWitty ワームが発生しているという情報を入手したことから、
同ワームの感染活動である可能性が考えられます。
今後の被害防止のため、ウイルス対策ソフトの使用や脆弱性の修正プログラムの適用を行うなど、使用
されているコンピュータのセキュリティの再確認をお勧めします。
■UDP4000番ポートを発信元ポートとするトラフィックの増加について(3/20) <2004/03/20>
平成16年3月20日
警 察 庁
UDP4000番ポートを発信元ポートとするトラフィックの増加について
UDP4000番ポートを発信元ポートとするトラフィックの増加について(リンク先はPDFファイルです)
ttp://www.cyberpolice.go.jp/detect/pdf/20040320-4000udp.pdf
3 月20 日21:00 現在、警察庁では多数のIP アドレスからの、UDP4000 番ポートを発信元ポートとする
アクセスの増加を検知しています。これは、ISS 社の複数の製品の脆弱性への攻撃に利用されるポート
であること、同脆弱性を利用して感染するWitty ワームが発生しているという情報を入手したことから、
同ワームの感染活動である可能性が考えられます。
今後の被害防止のため、ウイルス対策ソフトの使用や脆弱性の修正プログラムの適用を行うなど、使用
されているコンピュータのセキュリティの再確認をお勧めします。
778 :名無しさん@お腹いっぱい。:04/04/16 02:38
ttp://www.cyberpolice.go.jp/important/2004/20040415_060131.html
■TCP135番ポートに対するトラフィックの増加について(4/15) <2004/04/15>
平成16年4月15日
警 察 庁
TCP135番ポートに対するトラフィックの増加について
4月15日現在、警察庁では、主としてヨーロッパの数カ国の不特定のIPアドレスを発信元と
する、TCP135番ポートに対するトラフィックの急激な増加を検知しています。トラフィックの増
加の原因は今のところ不明ですが、このポートはWindowsのRemote Procedure Call(RPC)等
で使用されるものであり、新種のワームの発生や大規模なスキャンである可能性があります。
脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの
再確認をお勧めします。
なお、TCP135番ポートに対するアクセス状況は以下のとおりです。
TCP135番ポートに対するアクセス状況(リンク先はPDFファイルです。)
ttp://www.cyberpolice.go.jp/detect/pdf/20040415_tcp135.pdf
■TCP135番ポートに対するトラフィックの増加について(4/15) <2004/04/15>
平成16年4月15日
警 察 庁
TCP135番ポートに対するトラフィックの増加について
4月15日現在、警察庁では、主としてヨーロッパの数カ国の不特定のIPアドレスを発信元と
する、TCP135番ポートに対するトラフィックの急激な増加を検知しています。トラフィックの増
加の原因は今のところ不明ですが、このポートはWindowsのRemote Procedure Call(RPC)等
で使用されるものであり、新種のワームの発生や大規模なスキャンである可能性があります。
脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの
再確認をお勧めします。
なお、TCP135番ポートに対するアクセス状況は以下のとおりです。
TCP135番ポートに対するアクセス状況(リンク先はPDFファイルです。)
ttp://www.cyberpolice.go.jp/detect/pdf/20040415_tcp135.pdf
779 :名無しさん@お腹いっぱい。:04/04/16 12:32
ほう? φ(. . )メモメモ…
780 :名無しさん@お腹いっぱい。:04/04/16 20:21
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-012.asp
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-012.asp
781 :名無しさん@お腹いっぱい。:04/04/16 20:45
>>780
被害報告多数
windows updateしたときに上げるスレ 13
http://pc5.2ch.net/test/read.cgi/win/1081932957/
Windows Update失敗したらageるスレ 5
http://pc5.2ch.net/test/read.cgi/win/1068705330/
被害報告多数
windows updateしたときに上げるスレ 13
http://pc5.2ch.net/test/read.cgi/win/1081932957/
Windows Update失敗したらageるスレ 5
http://pc5.2ch.net/test/read.cgi/win/1068705330/
782 :名無しさん@お腹いっぱい。:04/04/18 17:34
>>781
更新でトラブル報告が多いのはWin2kだが…全更新をインストールしたが
無問題。PheonixBIOS、ASUSのマザボに、Win2Ksp4OEMをクリーン
インストール→以降の重要な更新はすべてインストールずみのマシン。
更新でトラブル報告が多いのはWin2kだが…全更新をインストールしたが
無問題。PheonixBIOS、ASUSのマザボに、Win2Ksp4OEMをクリーン
インストール→以降の重要な更新はすべてインストールずみのマシン。
783 :名無しさん@お腹いっぱい。:04/04/19 04:12
製品情報 / Windowsの脆弱性に対する対応について | Ricoh Japan
http://www.ricoh.co.jp/imagio/info/msblast/
富士ゼロックス Color DocuTechシリーズ用FieryカラーサーバーMSBLAST修正プログラム適用手順について
http://www.fujixerox.co.jp/release/2003/0829_msblast05.html
http://www.ricoh.co.jp/imagio/info/msblast/
富士ゼロックス Color DocuTechシリーズ用FieryカラーサーバーMSBLAST修正プログラム適用手順について
http://www.fujixerox.co.jp/release/2003/0829_msblast05.html
784 :名無しさん@お腹いっぱい。:04/04/20 21:10
ttp://www.cyberpolice.go.jp/important/2004/20040420_185246.html
■TCP1025,2745,6129番等のポートに対するトラフィックの増加について(4/20)更新 <2004/04/20>
TCP1025, 2745, 6129番等のポートに対するトラフィックの増加について(リンク先はPDFファイルです)
ttp://www.cyberpolice.go.jp/detect/pdf/20040420_tcp1025.pdf
#グラフがすごいんですけど、ほんとかなぁ?( ´Д`) < タイーホ (・∀・ ;)
■TCP1025,2745,6129番等のポートに対するトラフィックの増加について(4/20)更新 <2004/04/20>
TCP1025, 2745, 6129番等のポートに対するトラフィックの増加について(リンク先はPDFファイルです)
ttp://www.cyberpolice.go.jp/detect/pdf/20040420_tcp1025.pdf
#グラフがすごいんですけど、ほんとかなぁ?( ´Д`) < タイーホ (・∀・ ;)
785 :名無しさん@お腹いっぱい。:04/04/25 00:30
■Windowsの脆弱性(MS04-011)を攻撃するプログラムについて(4/24) <2004/04/24>
平成16年4月24日
警 察 庁
Windowsの脆弱性(MS04-011)を攻撃するプログラムについて
4月23日現在、警察庁では、Windowsの脆弱性(MS04-011)を攻撃するプログラムが公開
されているとの情報を入手しました。警察庁において当該攻撃プログラムを解析した結果、
ネットワークを通じてWindowsのSYSTEM権限が奪取されることが判明しています。
該当する脆弱性を含むOSを使用している方は、マイクロソフト社のサイトから適切なパッチ
をダウンロードし適用して下さい。
なお、パッチ適用作業は、同コンピュータ上で稼働中のアプリケーションへの影響を考慮し
た上で行って下さい。
<関連サイト>
Microsoft PCT/SSL の悪用を試みるコードに関する情報
http://www.microsoft.com/japan/security/incident/pctdisable.mspx
Microsoft MS04-011: Windows の重要な更新
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp
平成16年4月24日
警 察 庁
Windowsの脆弱性(MS04-011)を攻撃するプログラムについて
4月23日現在、警察庁では、Windowsの脆弱性(MS04-011)を攻撃するプログラムが公開
されているとの情報を入手しました。警察庁において当該攻撃プログラムを解析した結果、
ネットワークを通じてWindowsのSYSTEM権限が奪取されることが判明しています。
該当する脆弱性を含むOSを使用している方は、マイクロソフト社のサイトから適切なパッチ
をダウンロードし適用して下さい。
なお、パッチ適用作業は、同コンピュータ上で稼働中のアプリケーションへの影響を考慮し
た上で行って下さい。
<関連サイト>
Microsoft PCT/SSL の悪用を試みるコードに関する情報
http://www.microsoft.com/japan/security/incident/pctdisable.mspx
Microsoft MS04-011: Windows の重要な更新
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp
786 :名無しさん@お腹いっぱい。:04/04/25 03:40
>>785 の脆弱性の回避策 PCTを無効にする
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\
SCHANNEL\Protocols\PCT 1.0\Server
[値の追加] [データ タイプ] REG_BINARY
[値の名前] Enabled
[値]00000000 (再度有効にするには 00000001 を入力)
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\
SCHANNEL\Protocols\PCT 1.0\Server
[値の追加] [データ タイプ] REG_BINARY
[値の名前] Enabled
[値]00000000 (再度有効にするには 00000001 を入力)
787 :名無しさん@お腹いっぱい。:04/04/30 15:57
《Blaster型攻撃が数日内に再来の兆し、専門家が警告》
ウイルス対策各社は、異常なポートスキャン行為が検出され、
MicrosoftのIISサーバの既知の脆弱性を突いてマシンが
トロイの木馬に感染している証拠があるとして警告を発した。
http://www.itmedia.co.jp/enterprise/0404/30/epic01.html
----------------------------------------------------
…だそうです。
ウイルス対策各社は、異常なポートスキャン行為が検出され、
MicrosoftのIISサーバの既知の脆弱性を突いてマシンが
トロイの木馬に感染している証拠があるとして警告を発した。
http://www.itmedia.co.jp/enterprise/0404/30/epic01.html
----------------------------------------------------
…だそうです。
788 :名無しさん@お腹いっぱい。:04/04/30 18:13
ttp://www.cyberpolice.go.jp/important/2004/20040430_084140.html
■TCP1025番ポートに対するトラフィックの増加について(4/30) <2004/04/30>
平成16年4月30日
警 察 庁
TCP1025番ポートに対するトラフィックの増加について
4月30日現在、警察庁では、特定の国の多くのIPアドレスを発信元とする、TCP1025番ポートに
対するトラフィックの急激な増加を検知しています。トラフィックの増加の原因は今のところ不明
ですが、このポートはWindowsのRemote Procedure Call(RPC) を使用するDistributed Component
Object Model (DCOM) インターフェイスで利用されるものであり、大規模なスキャンである可能性
があります。
脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの再確認
をお勧めします。
なお、TCP1025番ポートに対するアクセス状況は以下のとおりです。
TCP1025番ポートに対するアクセス状況(リンク先はPDFファイルです。)
ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/04.html#20040430
■ 2004.04.30
》 TCP1025番ポートに対するトラフィックの増加について(4/30) (@police)。 SANS ISC もそうだそうだ
と言っています:Handler's Diary April 29th 2004 (incidents.org)。
インターネット定点観測 (@police) には見事なピークが出ています。
……16:00 ぐらいから? またもや増えてきてるし……。
■TCP1025番ポートに対するトラフィックの増加について(4/30) <2004/04/30>
平成16年4月30日
警 察 庁
TCP1025番ポートに対するトラフィックの増加について
4月30日現在、警察庁では、特定の国の多くのIPアドレスを発信元とする、TCP1025番ポートに
対するトラフィックの急激な増加を検知しています。トラフィックの増加の原因は今のところ不明
ですが、このポートはWindowsのRemote Procedure Call(RPC) を使用するDistributed Component
Object Model (DCOM) インターフェイスで利用されるものであり、大規模なスキャンである可能性
があります。
脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの再確認
をお勧めします。
なお、TCP1025番ポートに対するアクセス状況は以下のとおりです。
TCP1025番ポートに対するアクセス状況(リンク先はPDFファイルです。)
ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/04.html#20040430
■ 2004.04.30
》 TCP1025番ポートに対するトラフィックの増加について(4/30) (@police)。 SANS ISC もそうだそうだ
と言っています:Handler's Diary April 29th 2004 (incidents.org)。
インターネット定点観測 (@police) には見事なピークが出ています。
……16:00 ぐらいから? またもや増えてきてるし……。
789 :名無しさん@お腹いっぱい。:04/04/30 22:13
次スレはもっと分かりやすいテンプレにしよう。
790 :名無しさん@お腹いっぱい。:04/04/30 22:28
Windowsの脆弱性を悪用するプログラム出回る--MSBlast再現の可能性も
Robert Lemos (CNET News.com)
2004/04/30 10:53
Microsoftのソフトウェアにある2つの大規模な脆弱性を悪用し、コンピュータを攻撃するプログラムファイルが
出回っている。だがセキュリティ専門家らは、それよりさらに悪い事態を懸念している。MSBlastタイプのワーム
が出現するおそれがあるのだ。
このきっかけとなったのは、数人のセキュリティプログラマが、Microsoftがリリースしたパッチをあてていない
Windowsコンピュータを攻撃者が乗っ取れるようにしてしまうプログラムのソースコードを公開したことだった。
このプログラムは、Microsoftが4月13日に発表した2つの緊急な脆弱性をターゲットにしている。
Robert Lemos (CNET News.com)
2004/04/30 10:53
Microsoftのソフトウェアにある2つの大規模な脆弱性を悪用し、コンピュータを攻撃するプログラムファイルが
出回っている。だがセキュリティ専門家らは、それよりさらに悪い事態を懸念している。MSBlastタイプのワーム
が出現するおそれがあるのだ。
このきっかけとなったのは、数人のセキュリティプログラマが、Microsoftがリリースしたパッチをあてていない
Windowsコンピュータを攻撃者が乗っ取れるようにしてしまうプログラムのソースコードを公開したことだった。
このプログラムは、Microsoftが4月13日に発表した2つの緊急な脆弱性をターゲットにしている。
791 :名無しさん@お腹いっぱい。:04/05/02 00:23
【正式】ウィルス情報&質問 総合スレッド☆Part18
http://pc3.2ch.net/test/read.cgi/sec/1081735712/582 以降に
新種かもしれないウィルス被害報告多数。要注意か…
http://pc3.2ch.net/test/read.cgi/sec/1081735712/582 以降に
新種かもしれないウィルス被害報告多数。要注意か…
792 :名無しさん@お腹いっぱい。:04/05/02 00:28
Norton Internet Security 2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
スクリプト遮断機能がある
広告ブロックがアメリカ仕様で、お絵かき掲示板などの画像も消してしまう
スレに貼り付けてあるだけのウイルスコードに反応する
2chの過去ログ取得する時はFWを無効にしないといけない
Antispamが勝手にメーラーと統合する上に不安定(OEと相性が悪い?)
ポップアップ通知が鬱陶しい
LiveUpdateが遅い
webごとにスプリクト遮断やActiveX遮断やプライバシー制御の設定ができる
WEB閲覧するときHTMLファイルにスクリプトを埋め込む処理が重い
(XPSP2ではデフォルトでポップアップ広告遮断機能があるので無駄になる)
回線速度が遅くなるという報告
ルールが適切ではないとの声もあるがPFWルールの自動作成が進んでいる
不正コピー・不正期限延長ユーザーが多い
個人情報を送ってるかについては疑惑は晴れず。
http://www.symantec.com/region/jp/products/nis/features.html
http://www.symantec.com/region/jp/products/nav/features.html
ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm
FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。
http://pc3.2ch.net/test/read.cgi/sec/1067918099/321
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
スクリプト遮断機能がある
広告ブロックがアメリカ仕様で、お絵かき掲示板などの画像も消してしまう
スレに貼り付けてあるだけのウイルスコードに反応する
2chの過去ログ取得する時はFWを無効にしないといけない
Antispamが勝手にメーラーと統合する上に不安定(OEと相性が悪い?)
ポップアップ通知が鬱陶しい
LiveUpdateが遅い
webごとにスプリクト遮断やActiveX遮断やプライバシー制御の設定ができる
WEB閲覧するときHTMLファイルにスクリプトを埋め込む処理が重い
(XPSP2ではデフォルトでポップアップ広告遮断機能があるので無駄になる)
回線速度が遅くなるという報告
ルールが適切ではないとの声もあるがPFWルールの自動作成が進んでいる
不正コピー・不正期限延長ユーザーが多い
個人情報を送ってるかについては疑惑は晴れず。
http://www.symantec.com/region/jp/products/nis/features.html
http://www.symantec.com/region/jp/products/nav/features.html
ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm
FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。
http://pc3.2ch.net/test/read.cgi/sec/1067918099/321
793 :名無しさん@お腹いっぱい。:04/05/02 01:04
■トレンドマイクロ、SASSERにイエローアラート発令■
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
> ワームはWindowsの「LSASSの脆弱性 (CAN-2003-0533)」と呼ばれる
> セキュリティホールを利用してワーム活動を行います。ワームの被害に
> 遭わないために以下のマイクロソフト社の説明を参照し、セキュリティ
> ホールを修正してください:
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
(重い。すでに群集が殺到しているもよう)
> 汎用駆除ツール「トレンドマイクロ ダメージクリーンナップサービス」にて
> このワームのシステム改変の修復に対応いたしました。
> 「トレンドマイクロ ダメージクリーンナップサービス」の使用方法
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700i
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
> ワームはWindowsの「LSASSの脆弱性 (CAN-2003-0533)」と呼ばれる
> セキュリティホールを利用してワーム活動を行います。ワームの被害に
> 遭わないために以下のマイクロソフト社の説明を参照し、セキュリティ
> ホールを修正してください:
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
(重い。すでに群集が殺到しているもよう)
> 汎用駆除ツール「トレンドマイクロ ダメージクリーンナップサービス」にて
> このワームのシステム改変の修復に対応いたしました。
> 「トレンドマイクロ ダメージクリーンナップサービス」の使用方法
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700i
794 :名無しさん@お腹いっぱい。:04/05/02 01:05
lsass(LSASS)のエラーでシャットダウン→Sasserに感染しています。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
http://vil.nai.com/vil/content/v_125007.htm
攻撃はMS04-011のLSASSの脆弱性を利用します。
Blasterと同様、ネットに接続するだけで感染します。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
あなたはなぜ政府の警告を無視したのですか?
http://www.soumu.go.jp/s-news/2004/040426_2.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
http://vil.nai.com/vil/content/v_125007.htm
攻撃はMS04-011のLSASSの脆弱性を利用します。
Blasterと同様、ネットに接続するだけで感染します。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
あなたはなぜ政府の警告を無視したのですか?
http://www.soumu.go.jp/s-news/2004/040426_2.html
795 :名無しさん@お腹いっぱい。:04/05/02 04:59
MSのアラート北〜
http://www.microsoft.com/japan/security/incident/sasser.mspx
このままでいくと次スレは、
【SASSER】Blasterスレ part6 【と対策しれ】
で決まりだろ。
http://www.microsoft.com/japan/security/incident/sasser.mspx
このままでいくと次スレは、
【SASSER】Blasterスレ part6 【と対策しれ】
で決まりだろ。
796 :名無しさん@お腹いっぱい。:04/05/02 07:03
あうぽのログ見るとport 445へのattackが増えてる
797 :名無しさん@お腹いっぱい。:04/05/02 09:50
...と思ったけど今はそうでもないな。
445単独でattackしてくるヤシはsasserの可能性大。
445単独でattackしてくるヤシはsasserの可能性大。
798 :名無しさん@お腹いっぱい。:04/05/02 11:17
>>795
Microsoft は、Win98, ME をみごとに影響評価からはずしてるなぁ。
ttp://www.foundstone.com/resources/proddesc/dsscan.htm
MS04-011 LSASS scanner ほい
Microsoft は、Win98, ME をみごとに影響評価からはずしてるなぁ。
ttp://www.foundstone.com/resources/proddesc/dsscan.htm
MS04-011 LSASS scanner ほい
799 :名無しさん@お腹いっぱい。:04/05/02 11:41
少し前のlog漁ったら
ご近所さん(一致.一致.*.*)から135/445/1025
遠くのとこ(一致.*.*.*)から1025/2745/3127/6129辺りを舐められてたぽいが
これGaobotだよなぁ…
直近のlogは単発の135/445が若干多めだけど沙紗タンの仕業かどうかはワカラン
ttp://www.cyberpolice.go.jp/detect/observation.html
チョトワロタ
ご近所さん(一致.一致.*.*)から135/445/1025
遠くのとこ(一致.*.*.*)から1025/2745/3127/6129辺りを舐められてたぽいが
これGaobotだよなぁ…
直近のlogは単発の135/445が若干多めだけど沙紗タンの仕業かどうかはワカラン
ttp://www.cyberpolice.go.jp/detect/observation.html
チョトワロタ
800 :名無しさん@お腹いっぱい。:04/05/02 11:43
801 :名無しさん@お腹いっぱい。:04/05/02 16:27
>>800
ttp://www.microsoft.com/japan/technet/security/bulletin/ms04-012.asp
Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)
ttp://www.microsoft.com/japan/technet/security/bulletin/ms04-012.asp
Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)
802 :名無しさん@お腹いっぱい。:04/05/02 18:23
win2000を使っているのですが、起動後10分程度経過するとsvchost.exeのエラーという表示が出て、
コピペできない、クリックしたリンク先に飛ばないなどの現象が出るようになりました。
オンラインでウイルスチェックしたところWORM_MSBLAST.Fというウイルスに感染していることが発覚しました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.F
ここで疑問があるのですが、当方、winMXやwinnyなど使用したことは一切ありません。
つまり、感染経路が不明なのであります。24時間接続できる環境にはありますが、フリーソフトなどの
ダウンロードもしたことがありません。ネットサーフインでウェブを閲覧しているだけです。
MSBLAST.Fもニムダのようにホームページをクリックするだけで感染するものなのでしょうか?
コピペできない、クリックしたリンク先に飛ばないなどの現象が出るようになりました。
オンラインでウイルスチェックしたところWORM_MSBLAST.Fというウイルスに感染していることが発覚しました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.F
ここで疑問があるのですが、当方、winMXやwinnyなど使用したことは一切ありません。
つまり、感染経路が不明なのであります。24時間接続できる環境にはありますが、フリーソフトなどの
ダウンロードもしたことがありません。ネットサーフインでウェブを閲覧しているだけです。
MSBLAST.Fもニムダのようにホームページをクリックするだけで感染するものなのでしょうか?
803 :名無しさん@お腹いっぱい。:04/05/02 18:30
>>802
MSBLASTシリーズはWinnyやWinMXなんか全く関係無いよ。
Windowsのセキュリティホールを利用して感染する。
セキュリティホールが塞がれていないWindowsでは適切に設定された
ファイアウォール等を使用しない限りネットに接続しただけで感染する。
MSBLASTシリーズはWinnyやWinMXなんか全く関係無いよ。
Windowsのセキュリティホールを利用して感染する。
セキュリティホールが塞がれていないWindowsでは適切に設定された
ファイアウォール等を使用しない限りネットに接続しただけで感染する。
804 :名無しさん@お腹いっぱい。:04/05/02 18:39
805 :名無しさん@お腹いっぱい。:04/05/02 19:52
806 :名無しさん@お腹いっぱい。:04/05/02 20:26
MS04-011 パッチのチェック (DSScan.exe 使用)
IP Hostname NetBIOS Status
xx.yy.xx.zz KOITSUDA KOITSUDA VULNERABLE
こいつの PC、連休明けに また あばれそうな悪寒(w
氏名所属場所電話は、確認済みだけどね。
IP Hostname NetBIOS Status
xx.yy.xx.zz KOITSUDA KOITSUDA VULNERABLE
こいつの PC、連休明けに また あばれそうな悪寒(w
氏名所属場所電話は、確認済みだけどね。
807 :名無しさん@お腹いっぱい。:04/05/02 23:03
808 :名無しさん@お腹いっぱい。:04/05/03 01:20
809 :名無しさん@お腹いっぱい。:04/05/03 01:33
バッファオーバーフローを利用するとはいえ、違う名前なんだから
専用スレ立てたほうが他から来る人にとってはわかりやすい。
専用スレ立てたほうが他から来る人にとってはわかりやすい。
810 :名無しさん@お腹いっぱい。:04/05/03 01:44
Sasser ワームについてのお知らせ
公開日: 2004年5月1日 | 最終更新日: 2004年5月2日
現在、インターネット上では W32.Sasser.worm が活動を活発化しており、
マイクロソフトおよびセキュリティ関連組織は、このワームに対する調査を行っています。
このワームは 2004 年 4 月 14 日 (日本時間) のマイクロソフト セキュリティ情報
MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されました。
http://www.microsoft.com/japan/security/incident/sasser.mspx
公開日: 2004年5月1日 | 最終更新日: 2004年5月2日
現在、インターネット上では W32.Sasser.worm が活動を活発化しており、
マイクロソフトおよびセキュリティ関連組織は、このワームに対する調査を行っています。
このワームは 2004 年 4 月 14 日 (日本時間) のマイクロソフト セキュリティ情報
MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されました。
http://www.microsoft.com/japan/security/incident/sasser.mspx
811 :じゃ専用スレテンプレ用資料…:04/05/03 01:46
《SASSER基本情報》
トレンドマイクロ(手動削除手順はこちらが詳しい)
SASSER.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
SASSER.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
シマンテック
SASSER.A
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html#technicaldetails
SASSER.B
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html#technicaldetails
■症状:以下のような窓が出てカウントダウンの後OSが強制的にシャットダウンする。
LSA Shell(Export Version) has encountered a problem
This system is shutting down...by NT AUTHORITY\SYSTEM
■予防法:WindowsのLSAに関するセキュリティホールにパッチを当てる。
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
■感染確認: Windowsのシステムフォルダ内(\Windows\ または\WINNT\)に
"<ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")というファイルが
作成される。
■駆除方法:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
実行→regedit→以下の項目を削除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
さらにウィルスとして発見されたファイルがあれば削除
トレンドマイクロ(手動削除手順はこちらが詳しい)
SASSER.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
SASSER.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
シマンテック
SASSER.A
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html#technicaldetails
SASSER.B
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html#technicaldetails
■症状:以下のような窓が出てカウントダウンの後OSが強制的にシャットダウンする。
LSA Shell(Export Version) has encountered a problem
This system is shutting down...by NT AUTHORITY\SYSTEM
■予防法:WindowsのLSAに関するセキュリティホールにパッチを当てる。
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
■感染確認: Windowsのシステムフォルダ内(\Windows\ または\WINNT\)に
"<ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")というファイルが
作成される。
■駆除方法:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
実行→regedit→以下の項目を削除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
さらにウィルスとして発見されたファイルがあれば削除
812 :名無しさん@お腹いっぱい。:04/05/03 01:50
813 :名無しさん@お腹いっぱい。:04/05/03 02:07
814 :名無しさん@お腹いっぱい。:04/05/03 02:54
1、2ヶ月くらい前から異常に増えてるポートスキャンは、どのワームの仕業なの?
815 :名無しさん@お腹いっぱい。:04/05/03 04:21
Microsoft純正Sasser駆除ツール
ダウソ http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
使い方 http://support.microsoft.com/?kbid=841720
ダウソ http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
使い方 http://support.microsoft.com/?kbid=841720
816 :名無しさん@お腹いっぱい。:04/05/03 06:35
sasserはAもBも15,872 Bytesとあるな。
マイナーチェンジってやつか?
マイナーチェンジってやつか?
817 :名無しさん@お腹いっぱい。:04/05/03 12:06
Cも15872バイトだな
818 :名無しさん@お腹いっぱい。:04/05/03 12:21
休み明け
ノートパソコンをこっそり社内LANに繋いで
ウィルス蔓延がまた発生しそうだな
クスン
ノートパソコンをこっそり社内LANに繋いで
ウィルス蔓延がまた発生しそうだな
クスン
819 :名無しさん@お腹いっぱい。:04/05/03 12:23
820 :名無しさん@お腹いっぱい。:04/05/03 12:25
>>818
去年のMSBlasterの時と状況が似てる罠
去年のMSBlasterの時と状況が似てる罠
821 :名無しさん@お腹いっぱい。:04/05/03 12:35
ふと思ったんだが
このsasserがキンタマ搭載してメール経由でばら撒きなんてやったら
どうなるんだろう
このsasserがキンタマ搭載してメール経由でばら撒きなんてやったら
どうなるんだろう
822 :名無しさん@お腹いっぱい。:04/05/03 14:03
823 :名無しさん@お腹いっぱい。:04/05/03 17:04
----------------パンピーなユーザーにはじぇんじぇん生かされていない。----------
http://www.isskk.co.jp/security_center/169/solution.html
思い起こせば 昨年の夏・・・ あの教訓をいかそう!
2003年7月16日(日本時間)
X-Forceセキュリティアラート「Microsoft Windows での RPC 実装の不具合」
思い起こせば昨年の夏・・・日本はちょうどお盆の時期。2003年7月16日、「Microsoft Windows
での RPC 実装の不具合」が発表され、この発表の約1ヵ月後、この脆弱性をついたMS Blast
ワームが、日本時間の2003年8月12日より蔓延いたしました。そして、さらに追い討ちをかける
ように日本時間の2003年8月19日Nachi ワームは、MS Blastワームが使用するのと同じ脆弱性
を利用して、さらに企業ネットワークに被害をもたらしました。
--------------が、2ch回答者のスキルや処理態勢は上がっているようだw--------------
824 :名無しさん@お腹いっぱい。:04/05/03 17:43
しかし、sasser 作成者、ちょっと数日タイミングが早すぎた悪寒。
825 :名無しさん@お腹いっぱい。:04/05/03 17:47
826 :名無しさん@お腹いっぱい。:04/05/03 18:02
827 :名無しさん@お腹いっぱい。:04/05/03 18:15
828 :名無しさん@お腹いっぱい。:04/05/03 20:26
ここは鯖管、シスアド、サポセン、その他関係者スレに戻りますた。
829 :名無しさん@お腹いっぱい。:04/05/03 22:38
>>818
ファイアーウォールで完璧に防御しても、正門から堂々と入ってくるよ
(ノートパソコンで)と、うちの管理者さんも去年嘆いていました・・
今回もまたかな、ハア
感染すると必ず自覚症状が出るなら、話は早いんだけどな。
こいつはどうなんでしょうか。
ファイアーウォールで完璧に防御しても、正門から堂々と入ってくるよ
(ノートパソコンで)と、うちの管理者さんも去年嘆いていました・・
今回もまたかな、ハア
感染すると必ず自覚症状が出るなら、話は早いんだけどな。
こいつはどうなんでしょうか。
830 :名無しさん@お腹いっぱい。:04/05/03 23:13
>>829
故意に感染させた感触では、あらゆるタスクが重くなる。(裏でお盛んだから)
web でつながらないことも起こる。メールも無理でしょ。
それ以外の自覚症状は無し。Windows XP Pro SP1a
FW (PFW) では、侵入は はじくでしょ?
故意に感染させた感触では、あらゆるタスクが重くなる。(裏でお盛んだから)
web でつながらないことも起こる。メールも無理でしょ。
それ以外の自覚症状は無し。Windows XP Pro SP1a
FW (PFW) では、侵入は はじくでしょ?
831 :名無しさん@お腹いっぱい。:04/05/04 00:06
>>830
自覚症状があることに期待します。。
>FW (PFW) では、侵入は はじくでしょ?
外からの侵入は確かにはじくけど、感染ノートパソをLAN内に持ち込まれると
お手上げです。正門から入ってくるというのはそういう意味です。
大学LANでも企業LANでも、去年ノートパソで泣いたところは多いと思います。
自覚症状があることに期待します。。
>FW (PFW) では、侵入は はじくでしょ?
外からの侵入は確かにはじくけど、感染ノートパソをLAN内に持ち込まれると
お手上げです。正門から入ってくるというのはそういう意味です。
大学LANでも企業LANでも、去年ノートパソで泣いたところは多いと思います。
832 :名無しさん@お腹いっぱい。:04/05/04 02:06
833 :名無しさん@お腹いっぱい。:04/05/04 02:18
834 :名無しさん@お腹いっぱい。:04/05/04 02:28
やっぱり別スレが正解だったか。あっちは最初まで巻き戻してビデオ
見てるような。これがdejavuというのかw 素人さんとニワカ回答者で
獅子てんや瀬戸わんや…
ってそんな漫才いなかったっけ。ナツカシ映像みたいので見たような。
見てるような。これがdejavuというのかw 素人さんとニワカ回答者で
獅子てんや瀬戸わんや…
ってそんな漫才いなかったっけ。ナツカシ映像みたいので見たような。
835 :名無しさん@お腹いっぱい。:04/05/04 02:54
836 :名無しさん@お腹いっぱい。:04/05/04 04:47
感染したときに強制シャットダウンに入るマシンとそうでないマシンがある?
違いはなんだろ?
違いはなんだろ?
837 :名無しさん@お腹いっぱい。:04/05/04 05:22
今のSASSERはCばっかだな。
CはA,Bを上書きヴァージョンアップするような形でひろまってる感じ。
CはA,Bを上書きヴァージョンアップするような形でひろまってる感じ。
838 :名無しさん@お腹いっぱい。:04/05/05 23:49
ttp://www.cyberpolice.go.jp/detect/observation.html
ゴールデンウィークの旅行から帰って、さぁて、ネットでも見てみるかぁ
といった塩梅でしょうか? ぐんぐん上昇!(w
ゴールデンウィークの旅行から帰って、さぁて、ネットでも見てみるかぁ
といった塩梅でしょうか? ぐんぐん上昇!(w
839 :名無しさん@お腹いっぱい。:04/05/06 01:56
ばかなw
わかりやすすぎるぞそれはw
わかりやすすぎるぞそれはw
840 :名無しさん@お腹いっぱい。:04/05/06 02:10
SASSER対策:経済産業省の呼びかけ
http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
(3) ワームの侵入・拡大を防ぐようネットワークを設定する
・Sasserワームを防御するため、社内ネットワークとインターネットの境界に設置した
ファイアウォールやルータの設定で、
UDP135、137、138、139及び445、
TCP135、138、139、445及び593
のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
を許可しない。
http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
(3) ワームの侵入・拡大を防ぐようネットワークを設定する
・Sasserワームを防御するため、社内ネットワークとインターネットの境界に設置した
ファイアウォールやルータの設定で、
UDP135、137、138、139及び445、
TCP135、138、139、445及び593
のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
を許可しない。
841 :名無しさん@お腹いっぱい。:04/05/06 15:12
http://support.microsoft.com/default.aspx?scid=kb;ja;835732
[MS04-011] Microsoft Windows のセキュリティ修正プログラム
対象製品
マイクロソフトはセキュリティ情報 MS04-011 をリリースしました。このセキュリティ
情報には、ファイルの一覧情報、展開オプションを始め、セキュリティ修正プ
ログラムの関連情報がすべて記載されています。セキュリティ情報の詳細を参
照するには、次のマイクロソフトWeb サイトにアクセスしてください。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
本セキュリティ更新プログラムのインストール後、次のサポート技術情報に記載されて
いる問題が発生する可能性があります。詳細については、サポート技術情報の
文書番号をクリックしてください。
840997 Adobe Illustrator で作成された拡張メタファイル形式のグラフィック ファイル
(EMF 画像ファイル) が表示されない
841384 Windows NT 4.0 に MS04-011 のセキュリティ修正プログラムをインストールした
後 "STOP 0x00000079" エラー が発生する
841382 MS04-011 のインストール後にコンピュータが応答を停止、ログオン不可、CPU
使用率 100% の現象が発生する
Ntoskrnl.exe ファイルを置き換えるソフトウェア更新プログラムをインストールする際に
発生する可能性のある一般的な問題に関する追加情報については、次のサポー
ト技術情報の文書番号をクリックしてご確認ください。
246507 Windows NT は、 Ntoskrnl.exe についてのエラー メッセージを起動しません。
224526 Windows NT 4.0 がサポートするシステム パーティションは最大 7.8 GB
[MS04-011] Microsoft Windows のセキュリティ修正プログラム
対象製品
マイクロソフトはセキュリティ情報 MS04-011 をリリースしました。このセキュリティ
情報には、ファイルの一覧情報、展開オプションを始め、セキュリティ修正プ
ログラムの関連情報がすべて記載されています。セキュリティ情報の詳細を参
照するには、次のマイクロソフトWeb サイトにアクセスしてください。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
本セキュリティ更新プログラムのインストール後、次のサポート技術情報に記載されて
いる問題が発生する可能性があります。詳細については、サポート技術情報の
文書番号をクリックしてください。
840997 Adobe Illustrator で作成された拡張メタファイル形式のグラフィック ファイル
(EMF 画像ファイル) が表示されない
841384 Windows NT 4.0 に MS04-011 のセキュリティ修正プログラムをインストールした
後 "STOP 0x00000079" エラー が発生する
841382 MS04-011 のインストール後にコンピュータが応答を停止、ログオン不可、CPU
使用率 100% の現象が発生する
Ntoskrnl.exe ファイルを置き換えるソフトウェア更新プログラムをインストールする際に
発生する可能性のある一般的な問題に関する追加情報については、次のサポー
ト技術情報の文書番号をクリックしてご確認ください。
246507 Windows NT は、 Ntoskrnl.exe についてのエラー メッセージを起動しません。
224526 Windows NT 4.0 がサポートするシステム パーティションは最大 7.8 GB
842 :名無しさん@お腹いっぱい。:04/05/07 22:17
ttp://www.cyberpolice.go.jp/important/2004/20040507_195408.html
■Sasser.Dワームの概要について(5/7) <2004/05/07>
平成16年5月7日
警 察 庁
Sasser.Dワームの概要について
警察庁では、5月3日にお知らせしましたWindowsに存在するLSASSの脆弱性(MS04-011)を悪用し感染
拡大するSasserワームに関連し、その亜種であるSasser.Dワームについて検証を行いました。
Sasserワームの概要と検証結果については、 Sasser.Dワームの概要(リンク先はPDFファイルです。)
をご覧ください。
ttp://www.cyberpolice.go.jp/detect/pdf/H160507sasserd.pdf
この PDF まとまっていてイイ!
■Sasser.Dワームの概要について(5/7) <2004/05/07>
平成16年5月7日
警 察 庁
Sasser.Dワームの概要について
警察庁では、5月3日にお知らせしましたWindowsに存在するLSASSの脆弱性(MS04-011)を悪用し感染
拡大するSasserワームに関連し、その亜種であるSasser.Dワームについて検証を行いました。
Sasserワームの概要と検証結果については、 Sasser.Dワームの概要(リンク先はPDFファイルです。)
をご覧ください。
ttp://www.cyberpolice.go.jp/detect/pdf/H160507sasserd.pdf
この PDF まとまっていてイイ!
843 :名無しさん@お腹いっぱい。:04/05/07 22:35
>>842
一番情報が早くて、説明がわかりやすいのがここになったような。
IPAは情報は遅いは、説明は下手だわ、もうちょっとなんとかすりゃいいのに。
MSやシマンテックやその他も、どう読んでもまともな日本語には思えない。
やっとここまで・・
一番情報が早くて、説明がわかりやすいのがここになったような。
IPAは情報は遅いは、説明は下手だわ、もうちょっとなんとかすりゃいいのに。
MSやシマンテックやその他も、どう読んでもまともな日本語には思えない。
やっとここまで・・
844 :名無しさん@お腹いっぱい。:04/05/08 00:12
>>842
ちょっと待ったぁ! 警察庁のレポートと異なる “事案” がある。(w
2. Sasser.D の解析結果
2−1 対象 OS 比較
Windows XP Professional SP1a (元々それがインストールされているマシン)
感染後、リブートしない
ちょっと待ったぁ! 警察庁のレポートと異なる “事案” がある。(w
2. Sasser.D の解析結果
2−1 対象 OS 比較
Windows XP Professional SP1a (元々それがインストールされているマシン)
感染後、リブートしない
845 :名無しさん@お腹いっぱい。:04/05/08 13:43
>>844
それはサービスのエラー回復の設定によるんでは?
サービス→Security Account Manager (LSASSのサービス名称)
→プロパティ→「回復」タブ
でエラー回復のオプションはどうなってる?
それはサービスのエラー回復の設定によるんでは?
サービス→Security Account Manager (LSASSのサービス名称)
→プロパティ→「回復」タブ
でエラー回復のオプションはどうなってる?
846 :名無しさん@お腹いっぱい。:04/05/08 13:45
さっさスレに書いてしまったが、こっちへ書いたほうがいい内容
だったかも…
sasser【スタコラサッサ】sasser Part2
http://pc3.2ch.net/test/read.cgi/sec/1083839516/152-153
だったかも…
sasser【スタコラサッサ】sasser Part2
http://pc3.2ch.net/test/read.cgi/sec/1083839516/152-153
847 :名無しさん@お腹いっぱい。:04/05/08 14:26
>>845
起動と回復
管理者へ警告を送信する(N) ×
自動的に再起動する(R) ×
エラー報告
◎エラー報告を無効にする(S)
重大なエラーが発生した場合は通知する(N) ×
にしてる〜YO(w ↑ my default settings ↓
ちなみに、Security Account Manager 開始 自動
起動と回復
管理者へ警告を送信する(N) ×
自動的に再起動する(R) ×
エラー報告
◎エラー報告を無効にする(S)
重大なエラーが発生した場合は通知する(N) ×
にしてる〜YO(w ↑ my default settings ↓
ちなみに、Security Account Manager 開始 自動
848 :名無しさん@お腹いっぱい。:04/05/08 14:31
849 :名無しさん@お腹いっぱい。:04/05/08 15:35
850 :名無しさん@お腹いっぱい。:04/05/09 04:46
Sasser書いたやつとAgobot書いたやつが捕まったわけだが、
ドイツ警察はこの2人の自供と押収した証拠からSkynet
グループの一網打尽を狙っているらしい。2人M$の賞金に
目がくらんだダチ公にチクられた模様。やはり金の力は偉大w
ドイツ警察はこの2人の自供と押収した証拠からSkynet
グループの一網打尽を狙っているらしい。2人M$の賞金に
目がくらんだダチ公にチクられた模様。やはり金の力は偉大w
851 :名無しさん@お腹いっぱい。:04/05/11 21:24
MSBLAST騒動んときによく貼り付けられてた
侵入方法がよく分かる4コマくらいのAAキボンヌ
侵入方法がよく分かる4コマくらいのAAキボンヌ
852 :名無しさん@お腹いっぱい。:04/05/11 21:51
>>851 ここでは不要でしょ。
853 :名無しさん@お腹いっぱい。:04/05/11 21:53
854 :名無しさん@お腹いっぱい。:04/05/11 23:21
今日また、某会社の者がメール添付ファイルをクリックして、Bagle.AB をまきちらしたよ。
WORM_BAGLE.AB, W32.Beagle.gen, W32/Bagle, I-Worm.Bagle.z, Win32.Bagle.X
メール送信者名を詐称しないようなのね。
それでネットワーク共有に拡散されると…
This malware has backdoor capabilities.
もう、○ホかと ○カかと…
WORM_BAGLE.AB, W32.Beagle.gen, W32/Bagle, I-Worm.Bagle.z, Win32.Bagle.X
メール送信者名を詐称しないようなのね。
それでネットワーク共有に拡散されると…
This malware has backdoor capabilities.
もう、○ホかと ○カかと…
855 :名無しさん@お腹いっぱい。:04/05/20 20:39
ttp://www.cyberpolice.go.jp/detect/observation.html
TCP/445 TCP/135 なにやら不穏な増加…
TCP/445 TCP/135 なにやら不穏な増加…
856 :名無しさん@お腹いっぱい。:04/06/01 09:31
857 :名無しさん@お腹いっぱい。:04/06/01 23:44
>>856
がんばれ!!ゲイツ君 だね 毎週読んでるYO
がんばれ!!ゲイツ君 だね 毎週読んでるYO
858 :名無しさん@お腹いっぱい。:04/06/03 16:20
W32.Korgo.F
発見日: 2004年6月1日 (米国時間)
http://www.symantec.com/region/jp/sarcj/data/w/w32.korgo.f.html
W32.Korgo.F は、W32.Korgo.E のマイナーな亜種です。このワームは、TCP ポート 445 で Microsoft Windows
LSASS のバッファ・オーバーランの脆弱性 [マイクロソフト セキュリティ情報 MS04-011 参照] (BID 10108) を
悪用することで拡散し、TCP ポート 113/3067 にバックドアを開くワームです。
発見日: 2004年6月1日 (米国時間)
http://www.symantec.com/region/jp/sarcj/data/w/w32.korgo.f.html
W32.Korgo.F は、W32.Korgo.E のマイナーな亜種です。このワームは、TCP ポート 445 で Microsoft Windows
LSASS のバッファ・オーバーランの脆弱性 [マイクロソフト セキュリティ情報 MS04-011 参照] (BID 10108) を
悪用することで拡散し、TCP ポート 113/3067 にバックドアを開くワームです。
859 :名無しさん@お腹いっぱい。:04/06/04 16:41
860 :名無しさん@お腹いっぱい。:04/06/04 23:53
>>858
> W32.Korgo.F
> 発見日: 2004年6月1日 (米国時間)
> http://www.symantec.com/region/jp/sarcj/data/w/w32.korgo.f.html
> W32.Korgo.F は、W32.Korgo.E のマイナーな亜種です。このワームは、TCP ポート 445 で Microsoft Windows
> LSASS のバッファ・オーバーランの脆弱性 [マイクロソフト セキュリティ情報 MS04-011 参照] (BID 10108) を
> 悪用することで拡散し、TCP ポート 113/3067 にバックドアを開くワームです。
>
>
危険度・3
> W32.Korgo.F
> 発見日: 2004年6月1日 (米国時間)
> http://www.symantec.com/region/jp/sarcj/data/w/w32.korgo.f.html
> W32.Korgo.F は、W32.Korgo.E のマイナーな亜種です。このワームは、TCP ポート 445 で Microsoft Windows
> LSASS のバッファ・オーバーランの脆弱性 [マイクロソフト セキュリティ情報 MS04-011 参照] (BID 10108) を
> 悪用することで拡散し、TCP ポート 113/3067 にバックドアを開くワームです。
>
>
危険度・3
861 :名無しさん@お腹いっぱい。:04/06/07 18:38
>>858
それが大量感染していることが今日わかった。
金曜(4日)午後から TCP/445 が妙なところから執拗に来ているので、
なんだろなぁ、と思っていたよ。
ポート445 へのアクセスをするマシンと MS04-011 パッチあててないマシンが
みごとに符合した。
それが大量感染していることが今日わかった。
金曜(4日)午後から TCP/445 が妙なところから執拗に来ているので、
なんだろなぁ、と思っていたよ。
ポート445 へのアクセスをするマシンと MS04-011 パッチあててないマシンが
みごとに符合した。
862 :名無しさん@お腹いっぱい。:04/06/08 20:27
>>861
本日、ウチと関係ありそうな近くの1台の感染マシンを捜索した。
問い合わせなどに強引に7名の協力を得た。
脚立と懐中電灯は使うことはなかったが、該当のマシンを発見した。
Windows XP Pro (SPなし) は、Windows Update は全くせず、アンチウィルスも無し。
みごとなまでに感染していて、ウィルス本体 (Korgo.G) があり、レジストリ改変も確認した。
管理担当者名を確認したので別の担当者に連絡対応をゆだね、今後の対処ぶりを傍観する。
本日、ウチと関係ありそうな近くの1台の感染マシンを捜索した。
問い合わせなどに強引に7名の協力を得た。
脚立と懐中電灯は使うことはなかったが、該当のマシンを発見した。
Windows XP Pro (SPなし) は、Windows Update は全くせず、アンチウィルスも無し。
みごとなまでに感染していて、ウィルス本体 (Korgo.G) があり、レジストリ改変も確認した。
管理担当者名を確認したので別の担当者に連絡対応をゆだね、今後の対処ぶりを傍観する。
863 :名無しさん@お腹いっぱい。:04/06/09 22:00
864 :名無しさん@お腹いっぱい。:04/06/16 23:47
いくつもの攻撃元をつぶしている中、なんと!某 ネットワーク ソリューション の セクション にたどり着く。
本来、細心の注意をはらって作業しているべき セクション が ネットワーク攻撃を行っていたことが発覚!
怒りを通り越して、あきれはててしまいました。ハハハァ <乾いた笑い
本来、細心の注意をはらって作業しているべき セクション が ネットワーク攻撃を行っていたことが発覚!
怒りを通り越して、あきれはててしまいました。ハハハァ <乾いた笑い
865 :名無しさん@お腹いっぱい。:04/06/18 17:36
>>864
その会社、ダイヤモンド…とかいいませんか?
その会社、ダイヤモンド…とかいいませんか?
866 :名無しさん@お腹いっぱい。:04/06/19 00:07
867 :名無しさん@お腹いっぱい。:04/06/29 04:06
先週末、自分の“あるアクション”をきっかけに、攻撃マシンの顔ぶれが1日で一変した。
常連攻撃メンバーが消え、新規参戦組が続々と登場しだした。
なにも権限のない「サポート」が、これまでの「結果公表」するだけから、実際に行動を起こしたようだ。
28日午前に半径20メートル以内に新規参戦の1台を検知した。その得られたデータをもとに自分の
“嗅覚”で、在る人物に問い合わせをしてみた。
そして、なんと!自分の“あるアクション”を受けて動いてくれたナイスガイがメンテナンスしているマシン
が攻撃していたことが確認できた。なにか皮肉な出来事ではある。
ともかく、官僚的な組織の中で、ウイルス攻撃に対応する これまでの定型的なものから、身体を動かす
実践的なものになってきだしているのかもしれない。そう期待したい。
常連攻撃メンバーが消え、新規参戦組が続々と登場しだした。
なにも権限のない「サポート」が、これまでの「結果公表」するだけから、実際に行動を起こしたようだ。
28日午前に半径20メートル以内に新規参戦の1台を検知した。その得られたデータをもとに自分の
“嗅覚”で、在る人物に問い合わせをしてみた。
そして、なんと!自分の“あるアクション”を受けて動いてくれたナイスガイがメンテナンスしているマシン
が攻撃していたことが確認できた。なにか皮肉な出来事ではある。
ともかく、官僚的な組織の中で、ウイルス攻撃に対応する これまでの定型的なものから、身体を動かす
実践的なものになってきだしているのかもしれない。そう期待したい。
868 :名無しさん@お腹いっぱい。:04/07/06 22:27
今日は、たくさんのメールがきていました。w
ふだんは疾風のように走り回って通り過ぎていくナイスガイらがやってきて、
漏れのもっている情報との照合と確認をするため、わざわざやってきた。
漏れの把握しきれていない情報もあってちょっとアレだったが、こちらの
いくつかの情報提供と若干の実際的な対処のアドバイスなどをした。
汗だくになって奮闘している「サポート」に敬意を表したい。
ふだんは疾風のように走り回って通り過ぎていくナイスガイらがやってきて、
漏れのもっている情報との照合と確認をするため、わざわざやってきた。
漏れの把握しきれていない情報もあってちょっとアレだったが、こちらの
いくつかの情報提供と若干の実際的な対処のアドバイスなどをした。
汗だくになって奮闘している「サポート」に敬意を表したい。
869 :名無しさん@お腹いっぱい。:04/07/12 21:11
イントラネットの中では、毎日どこかでマシンをリカバリしていることでしょう。
リカバリして、なんの注意もなしに、ネットワークにつなげます。
そして、一瞬にして感染。そうして攻撃マシンと化して参戦。
このパターンが最近の傾向であり、やまりませんとまりません。
リカバリして、なんの注意もなしに、ネットワークにつなげます。
そして、一瞬にして感染。そうして攻撃マシンと化して参戦。
このパターンが最近の傾向であり、やまりませんとまりません。
870 :名無しさん@お腹いっぱい。:04/07/15 17:21
それは単に管理者がバカなだけじゃ
871 :名無しさん@お腹いっぱい。:04/07/16 09:41
いやいや。どこの世界でも「困ったチャン」はいるもので。
勝手にやるな!って言ってんのに、OS再インストールするワ、
リカバリCDを取り上げりゃぁ、いつの間にかCD-Rに複製してるワ、
ワレモノをどっかから拾ってきてインスコするワ。
コイツのやらかすことを「管理者がバカだから」と言われると、涙でるッス。
勝手にやるな!って言ってんのに、OS再インストールするワ、
リカバリCDを取り上げりゃぁ、いつの間にかCD-Rに複製してるワ、
ワレモノをどっかから拾ってきてインスコするワ。
コイツのやらかすことを「管理者がバカだから」と言われると、涙でるッス。
872 :名無しさん@お腹いっぱい。:04/07/16 20:16
873 :名無しさん@お腹いっぱい。:04/07/21 22:50
しばらく前から攻撃を続けていた1つのマシンの管理所在を確定した。
管理者曰く「えぇ、IP さえ分かればこっちで対処できますよ。大丈夫っすよ。えぇえぇ」と軽い乗り。
別のもう1つのマシンにロックオンしている。今日、マシン名命名の「謎」が解けた。w
管理者曰く「えぇ、IP さえ分かればこっちで対処できますよ。大丈夫っすよ。えぇえぇ」と軽い乗り。
別のもう1つのマシンにロックオンしている。今日、マシン名命名の「謎」が解けた。w
874 :名無しさん@お腹いっぱい。:04/07/22 08:51
日記は書かないで下さい
875 :名無しさん@お腹いっぱい。:04/07/24 23:36
>>873
別の1つのマシンにロックオンしていたけど、別の香具師に先を越されてしまった。w
さらに別のところへ直電話したら、担当者不在とのこと。伝言をメモさせておいた。
翌日、担当者から「駆除完了」の報告あり。【駆除】と称す時点でアレだが…
また来週が楽しみである。
別の1つのマシンにロックオンしていたけど、別の香具師に先を越されてしまった。w
さらに別のところへ直電話したら、担当者不在とのこと。伝言をメモさせておいた。
翌日、担当者から「駆除完了」の報告あり。【駆除】と称す時点でアレだが…
また来週が楽しみである。
876 :名無しさん@お腹いっぱい。:04/07/27 21:52
ttp://www.cyberpolice.go.jp/important/2004/20040727_101008.html
■Mydoomウイルスの蔓延について(7/27) <2004/07/27>
平成16年7月27日
警 察 庁
Mydoomウイルスの蔓延について
7月27日現在、警察庁では、メールを介して感染するMydoom.M(別名Mydoom.o)ウイルス
が蔓延しているとの情報を入手しました。不審なメールや添付ファイルを安易に開封しない
など、十分に警戒してください。
ttp://www.cyberpolice.go.jp/detect/observation.html
135/tcp がグラフを突き抜けてるね。
■Mydoomウイルスの蔓延について(7/27) <2004/07/27>
平成16年7月27日
警 察 庁
Mydoomウイルスの蔓延について
7月27日現在、警察庁では、メールを介して感染するMydoom.M(別名Mydoom.o)ウイルス
が蔓延しているとの情報を入手しました。不審なメールや添付ファイルを安易に開封しない
など、十分に警戒してください。
ttp://www.cyberpolice.go.jp/detect/observation.html
135/tcp がグラフを突き抜けてるね。
877 :名無しさん@お腹いっぱい。:04/07/30 00:15
某日、前日と うってかわって、朝からまことに賑やかになっていました。
某「情報技術」関連のいくつものところからアクセスがあるので、狙いを定めてから
御指摘をしまくりさせていただきますた。
それはそうと、まじヤバイのを見つけてしまいますたよ。w
ワームによる執拗なアクセスがあるので、いろいろ調べてみたら、あーら たいへん!
自分の給料やローン返済のことだけでなく、違法 mp3 ファイルがてんこもりで公開状態!
しばらくしてマシン名を変更したようだけど、こっちはロックオンしているから意味なし。
日が変わってから、そのマシンは「地下潜航」したもよう。w
「浮上」の日があるならば、またお会いしましょう。
某「情報技術」関連のいくつものところからアクセスがあるので、狙いを定めてから
御指摘をしまくりさせていただきますた。
それはそうと、まじヤバイのを見つけてしまいますたよ。w
ワームによる執拗なアクセスがあるので、いろいろ調べてみたら、あーら たいへん!
自分の給料やローン返済のことだけでなく、違法 mp3 ファイルがてんこもりで公開状態!
しばらくしてマシン名を変更したようだけど、こっちはロックオンしているから意味なし。
日が変わってから、そのマシンは「地下潜航」したもよう。w
「浮上」の日があるならば、またお会いしましょう。
878 :名無しさん@お腹いっぱい。:04/08/04 00:32
昨日も、某ネットワーク専門家集団などから、やたらめったらのアクセス。
専門家集団の方たちは、いったい何をやっていらっしゃるのでしょうか?w
そこに某人事関係の若い方がいらっしゃっていたので、サポートされているかと
勘違いしそうになりますた。w
専門家集団の方たちは、いったい何をやっていらっしゃるのでしょうか?w
そこに某人事関係の若い方がいらっしゃっていたので、サポートされているかと
勘違いしそうになりますた。w
879 :名無しさん@お腹いっぱい。:04/08/14 17:24
保守
880 :名無しさん@お腹いっぱい。:04/08/16 21:53
本日、対外的に非常に重要なある組織のトップのマシンからアタックが複数回来ていた。
こっちは夕方には帰ったけど、そのマシンはユーザーの彼が電源を切るまで続いているだろう。
感染してバックドアを開けられているだろうに、組織には危機管理意識が無いようだ。
こっちは夕方には帰ったけど、そのマシンはユーザーの彼が電源を切るまで続いているだろう。
感染してバックドアを開けられているだろうに、組織には危機管理意識が無いようだ。
881 :名無しさん@お腹いっぱい。:04/08/25 01:04
某トップは、攻撃の様子から判断すると、2日に1回程度で昼過ぎの出社の優雅さ。
「株式会社」としてまことにアブナイので、今回は特別に正式の「アタック攻撃報告」をした。
報告をしても依然として攻撃があったが、しばらくして攻撃がおさまった。
知っていることが多いのだが最低限の情報で報告した。サポートは攻撃元確定できて対応したのかな?w
「株式会社」としてまことにアブナイので、今回は特別に正式の「アタック攻撃報告」をした。
報告をしても依然として攻撃があったが、しばらくして攻撃がおさまった。
知っていることが多いのだが最低限の情報で報告した。サポートは攻撃元確定できて対応したのかな?w
882 :名無しさん@お腹いっぱい。:04/08/25 08:57
アタック攻撃!!!
頭が頭痛になってきた...
頭が頭痛になってきた...
883 :名無しさん@お腹いっぱい。:04/08/25 11:47
「アタック」という洗剤を使って攻撃するんだろう
884 :名無しさん@お腹いっぱい。:04/08/25 23:28
アタタタ、アタック (意味不明)
もぐら叩いているようで、しばらくおさまったんだけど、
またアタックいぱーい キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
もぐら叩いているようで、しばらくおさまったんだけど、
またアタックいぱーい キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
885 :名無しさん@お腹いっぱい。:04/09/08 22:59
アタックがだんだん増えてきている…
また某情報関係の今度は統括課長が攻撃していた。
某情報関係は「ウィルス攻撃機関」に名称変更した方がよさそうだ。
また某情報関係の今度は統括課長が攻撃していた。
某情報関係は「ウィルス攻撃機関」に名称変更した方がよさそうだ。
886 :名無しさん@お腹いっぱい。:04/09/11 00:28:32
>>885
某アタック統括課長、日があけて確認したら、なんと!リカバリしちゃった模様!!
某情報関係だからと、自力対処をゆだねたけど…
ほんの10分ほどで対処できるのに、もすこしサポートした方がよかったかな?w
某アタック統括課長、日があけて確認したら、なんと!リカバリしちゃった模様!!
某情報関係だからと、自力対処をゆだねたけど…
ほんの10分ほどで対処できるのに、もすこしサポートした方がよかったかな?w
887 :名無しさん@お腹いっぱい。:04/09/11 19:19:45
ここは日記スレになったんですか?
888 :名無しさん@お腹いっぱい。:04/09/13 22:57:03
今日は、めずらしく皆無かと見ていたが、また某情報関係から1発 キタ━(゚∀゚)━ !
889 :名無しさん@お腹いっぱい。:04/09/14 10:06:33
ここは日記スレになったんですか?
890 :名無しさん@お腹いっぱい。:04/09/17 23:03:55
またムクムクと複数マシンからアタックがキテいます。
某マシンから特異な TCP/445 UDP/161 TCP/139 ICMP もキテいます。w
某マシンから特異な TCP/445 UDP/161 TCP/139 ICMP もキテいます。w
891 :名無しさん@お腹いっぱい。:04/09/23 02:24:50
某情報関係もチラホラありますが、だんぜん新規参戦組が幅を利かせてきています。
マシンの所在や所属もユーザー氏名も確定できたものもありますが、かったるい
ので、アタックログに記載するだけにします。w
マシンの所在や所属もユーザー氏名も確定できたものもありますが、かったるい
ので、アタックログに記載するだけにします。w
892 :名無しさん@お腹いっぱい。:04/09/25 01:36:44
9月24日(金) 曇のち雨
休みと休みのあいだなので、人少ないです。
4つのところからアタックありました。
2つは、昼過ぎにおさまりました。(半ドンかな?)
1つは、何度か直電したら別の人が出て「今日は会社休みです」と。
パソコンみんな終夜通電なのかな? 自動感染/自動攻撃だね。
対処依頼後、約20分でネットワーク切り離し確認。(もつかれぇ)
最後の1つは、さかんに某「啓蒙活動」をしている本拠地。
直電直後にネットワーク切り離し確認。
5時間たってもネットワーク切り離しのまま。どうしたのかな?
休みと休みのあいだなので、人少ないです。
4つのところからアタックありました。
2つは、昼過ぎにおさまりました。(半ドンかな?)
1つは、何度か直電したら別の人が出て「今日は会社休みです」と。
パソコンみんな終夜通電なのかな? 自動感染/自動攻撃だね。
対処依頼後、約20分でネットワーク切り離し確認。(もつかれぇ)
最後の1つは、さかんに某「啓蒙活動」をしている本拠地。
直電直後にネットワーク切り離し確認。
5時間たってもネットワーク切り離しのまま。どうしたのかな?
893 :名無しさん@お腹いっぱい。:04/10/02 23:06:22
いまだに攻撃が、いろいろなところから入れ替わり立ち代り、あるのだが、
長期間オッチしていると、特徴的なことが1つある。
仮説:感染マシン同士で『同期』をとっているような状況がしばしばある。
データがまだ少ないので、その有意なデータにはなりえない。
今後のさまざまな状況のデータにより、仮説が実証できるかどうかが分かるだろう。
長期間オッチしていると、特徴的なことが1つある。
仮説:感染マシン同士で『同期』をとっているような状況がしばしばある。
データがまだ少ないので、その有意なデータにはなりえない。
今後のさまざまな状況のデータにより、仮説が実証できるかどうかが分かるだろう。
894 :名無しさん@お腹いっぱい。:04/10/06 23:11:52
10月6日(秋晴れ)
またまたまた、いっぱい来ていました。帰りがけにも、新規が…
某情報関係から、また来たので、また直電。w
「またボクですか?なんでなんで?」とかのよまいごと返答w
「いや、前回のとき、たまたま DHCP で IP がお隣で、連絡後うまく対応されたのでねw」
またまたまた、いっぱい来ていました。帰りがけにも、新規が…
某情報関係から、また来たので、また直電。w
「またボクですか?なんでなんで?」とかのよまいごと返答w
「いや、前回のとき、たまたま DHCP で IP がお隣で、連絡後うまく対応されたのでねw」
895 :名無しさん@お腹いっぱい。:04/10/07 08:41:20
よく分からないのでageますね
896 :名無しさん@お腹いっぱい。:04/10/12 23:17:36
10月12日(曇りのち雨)
某営業部門のユーザーが特定できたので、直電。
「ウィルス対策ソフトは?」
「10月に配属されたばかりで、これから入れようと…」
「ほんの少しの時間で速攻で『駆除』する用意がありますが?」
「いま呼ばれているので、こちらでやります。」
(飛ばされたんだな ボソ ガンガレヨ)
某営業部門のユーザーが特定できたので、直電。
「ウィルス対策ソフトは?」
「10月に配属されたばかりで、これから入れようと…」
「ほんの少しの時間で速攻で『駆除』する用意がありますが?」
「いま呼ばれているので、こちらでやります。」
(飛ばされたんだな ボソ ガンガレヨ)
897 :名無しさん@お腹いっぱい。:04/10/20 01:11:13
10月19日(雨)
なんだかよく分かりませんが、まだまだ各方面からキテいます。
かなり“短命”になりまして、たいがい半日ていどでしょうか?w
アジアン系がキモでしょうか?w
なんだかよく分かりませんが、まだまだ各方面からキテいます。
かなり“短命”になりまして、たいがい半日ていどでしょうか?w
アジアン系がキモでしょうか?w
898 :名無しさん@お腹いっぱい。:04/10/20 08:59:59
日記ウザイ
899 :名無しさん@お腹いっぱい。:04/10/28 22:54:01
10月28日(晴れ)
このところ、こちらに攻撃がありますが、こちらからのスキャンツールをブロックする事例が
いくつかあります。
感染したまま、Windows XP の “Windows ファイアウォール” 有効 にしているような感触です。
このところ、こちらに攻撃がありますが、こちらからのスキャンツールをブロックする事例が
いくつかあります。
感染したまま、Windows XP の “Windows ファイアウォール” 有効 にしているような感触です。
900 :名無しさん@お腹いっぱい。:04/10/29 00:01:05
シャットダウンを止めるにはどうすればいいんですか?
セーフモードで立ち上げてから何をすればいいか、わからないです。
os win2000
通常で立ち上げると、シャットダウンを止める前に再起動してしまいます。
セーフモードで立ち上げてから何をすればいいか、わからないです。
os win2000
通常で立ち上げると、シャットダウンを止める前に再起動してしまいます。
901 :名無しさん@お腹いっぱい。:04/10/29 01:44:05
>>900
パソコン店で「ブロードバンドルーター」という機器を購入してつなぎましょう。
バッファローとかの安いのでいいでしょう。
リカバリしてから、Windows Update の「重要な更新」だけをおこないしましょう。
パソコン店で「ブロードバンドルーター」という機器を購入してつなぎましょう。
バッファローとかの安いのでいいでしょう。
リカバリしてから、Windows Update の「重要な更新」だけをおこないしましょう。
902 :900:04/10/29 19:06:33
>>901
ルーターつないでいます。
ノートパソコンなので、できれば再インストールせずにウィルスを駆除したいと思っています。
なので、とりあえず、あのカウントダウンが止まれば対処のしようが出てくるので
そのカウントダウンを止めたいのです。再インストールは最終手段と思ってます。
幾つかあった停止させる方法を試したのですが、その前に再起動したり
目的の項目が見つからなかったりしてうまくいきません。試したものは、
タスクマネージャのプロセスから、msblaster teekids penis32を停止させる。←見つからない。
ファイル名を指定して実行 「shutdown-a」←×印がでてパスが何たらかんたら・・・がでます。
コントロールパネル→管理ツール→サービス→Remote Procedure Call→回復タブ ←間に合いません。
ルーターつないでいます。
ノートパソコンなので、できれば再インストールせずにウィルスを駆除したいと思っています。
なので、とりあえず、あのカウントダウンが止まれば対処のしようが出てくるので
そのカウントダウンを止めたいのです。再インストールは最終手段と思ってます。
幾つかあった停止させる方法を試したのですが、その前に再起動したり
目的の項目が見つからなかったりしてうまくいきません。試したものは、
タスクマネージャのプロセスから、msblaster teekids penis32を停止させる。←見つからない。
ファイル名を指定して実行 「shutdown-a」←×印がでてパスが何たらかんたら・・・がでます。
コントロールパネル→管理ツール→サービス→Remote Procedure Call→回復タブ ←間に合いません。
903 :名無しさん@お腹いっぱい。:04/11/03 01:45:17
11月2日(曇り)
29日午後からの世間を騒がせたワームメールが届いていましたが、添付ファイルは空っぽ。
しかし、某所の ML からデコードしてゲット。新種のコレクションにしますた。w
2日には、また新たなところから攻撃がきていて、2つのマシンのユーザーを特定できました。
1つは某製造系で、いろいろなルートで直電しても「話中」が続くため、コンタクト断念。
2つ目は某販売系で、いろいろ直電ルートを試み、やっとユーザー本人に接続。
この某セクションは、寒気がするほどのものすごいことを平気でやってのけていた履歴あり。
来年度には法施行がありますし、またものすごいことにならないよう切に願っています。
29日午後からの世間を騒がせたワームメールが届いていましたが、添付ファイルは空っぽ。
しかし、某所の ML からデコードしてゲット。新種のコレクションにしますた。w
2日には、また新たなところから攻撃がきていて、2つのマシンのユーザーを特定できました。
1つは某製造系で、いろいろなルートで直電しても「話中」が続くため、コンタクト断念。
2つ目は某販売系で、いろいろ直電ルートを試み、やっとユーザー本人に接続。
この某セクションは、寒気がするほどのものすごいことを平気でやってのけていた履歴あり。
来年度には法施行がありますし、またものすごいことにならないよう切に願っています。
904 :名無しさん@お腹いっぱい。:04/11/04 00:44:06
905 :名無しさん@お腹いっぱい。:04/11/05 23:57:00
>>904
すでに感染している win2000 では、ケーブルはずしても同じような希ガス
すでに感染している win2000 では、ケーブルはずしても同じような希ガス
906 :名無しさん@お腹いっぱい。:04/11/11 23:49:21
11月11日(曇りのち小雨)
やぁ、連日すごいです アクセスログ記録が楽しみですw
海外からのは、ネットワークサポートは手が出せないのかな?
やぁ、連日すごいです アクセスログ記録が楽しみですw
海外からのは、ネットワークサポートは手が出せないのかな?
907 :名無しさん@お腹いっぱい。:04/11/12 08:27:31
良スレage
908 :初心者:04/11/13 21:33:47
先週会社がwin2000が感染してしまいました
OSをSP2からSP4にupして ブラスターをノートンで駆除しました
これでもまだ不十分でしょうか?
どなたかご指導願います
OSをSP2からSP4にupして ブラスターをノートンで駆除しました
これでもまだ不十分でしょうか?
どなたかご指導願います
909 :名無しさん@お腹いっぱい。:04/11/14 00:09:05
>>908
windows updateで重要なパッチを当てる
windows updateで重要なパッチを当てる
910 :名無しさん@お腹いっぱい。:04/11/14 01:32:50
>>908
日本語も初心者のようだね
日本語も初心者のようだね
911 :名無しさん@お腹いっぱい。:04/11/14 02:23:35
>>906にも日本語勉強して欲しいな
はい (ノД`)
913 :名無しさん@お腹いっぱい。:04/11/15 08:22:52
良スレage
914 :名無しさん@お腹いっぱい。:04/11/24 00:13:12
飛び石連休で、人少な杉ではありますが、強烈に来ていますw
やはり、国内のあそことあそこ、そして海外のサイトをぶっつぶさナイト…
やはり、国内のあそことあそこ、そして海外のサイトをぶっつぶさナイト…
915 :名無しさん@お腹いっぱい。:04/11/29 15:57:24
良スレage
あぼーん
917 :名無しさん@お腹いっぱい。:04/11/29 18:52:37
あぼーん ケテーイ! ↑
918 :名無しさん@お腹いっぱい。:04/12/03 12:05:51
Part2も欲しいね。ときどきこのスレを見るのが習慣になってしまった。
919 :名無しさん@お腹いっぱい。:04/12/04 00:13:41
12月3日(金)晴れのち曇り
今日は、とっても多い日でした。9ヵ所からありました。
アクセスログから攻撃元の調査と記録をするのに、てんてこまいですた。
先日、ヤマダ電機の PC買取⇒そのまま中古売り 事件が 某memo にでていました。
近所の金属ごみの日に、ピカピカ 新しめの HDD が捨ててありました。
「もったいないなぁ」と拾ってあげたら、ANTINNY がいっぱい入っていました。w
今日は、とっても多い日でした。9ヵ所からありました。
アクセスログから攻撃元の調査と記録をするのに、てんてこまいですた。
先日、ヤマダ電機の PC買取⇒そのまま中古売り 事件が 某memo にでていました。
近所の金属ごみの日に、ピカピカ 新しめの HDD が捨ててありました。
「もったいないなぁ」と拾ってあげたら、ANTINNY がいっぱい入っていました。w
920 :名無しさん@お腹いっぱい。:04/12/06 23:54:39
12月6日(月)晴れ
先月から継続してアタックしているマシンについて、できるかぎり調査をしましたが、
ユーザーを特定できない(共用マシンのもような)ので、某サポートに丸投げしますた。
先月から継続してアタックしているマシンについて、できるかぎり調査をしましたが、
ユーザーを特定できない(共用マシンのもような)ので、某サポートに丸投げしますた。
921 :名無しさん@お腹いっぱい。:04/12/13 23:58:31
12月13日(月)曇り 流星群が見えず…
先月からの某アタックの件、某サポートに丸投げして24時間以内に、やっと止まりました。
某サポートには、通りがてら、お礼の一言を寄せました。 Thanks
先月からの某アタックの件、某サポートに丸投げして24時間以内に、やっと止まりました。
某サポートには、通りがてら、お礼の一言を寄せました。 Thanks
922 :名無しさん@お腹いっぱい。:04/12/14 00:22:55
相変わらず日本語変だね・・・変な人なんだろうな〜
923 :名無しさん@お腹いっぱい。:04/12/14 08:53:23
え?人間だったの?
924 :名無しさん@お腹いっぱい。:04/12/27 04:46:21
(・∀・)ニヤニヤ
925 :名無しさん@お腹いっぱい。:05/01/06 22:40:35
1月6日(木)曇り一時小雨
謹賀新年 あけおめことよろ
昨年12月のある日から、すさまじいトラフィックだったのがパタッと消えて、
新年になりましたが、やはり複数箇所からアタックがありました。
まだまだポコポコでてきそうですね。
謹賀新年 あけおめことよろ
昨年12月のある日から、すさまじいトラフィックだったのがパタッと消えて、
新年になりましたが、やはり複数箇所からアタックがありました。
まだまだポコポコでてきそうですね。
926 :名無しさん@お腹いっぱい。:05/01/18 22:00:52
1月18日(晴れのち曇り)
やっぱり予想通り、ポコポコでてきています。
販売系生産系そして外国語系が、今後も しぶとく活動していくでしょう。
やっぱり予想通り、ポコポコでてきています。
販売系生産系そして外国語系が、今後も しぶとく活動していくでしょう。
927 :名無しさん@お腹いっぱい。:05/02/02 22:16:45
2月2日(水)晴れ
ポコポコありますが、一発ネタが多いですね。
自宅個人持ちPCは、いきなり内部ネットにつながないようにしましょう。
サポート系方面からも散見されますので、周知徹底をお願いしたいところです。
ポコポコありますが、一発ネタが多いですね。
自宅個人持ちPCは、いきなり内部ネットにつながないようにしましょう。
サポート系方面からも散見されますので、周知徹底をお願いしたいところです。
928 :名無しさん@お腹いっぱい。:05/02/12 10:36:43
まだアタックが止まらないのかなぁ
929 :名無しさん@お腹いっぱい。:05/02/22 21:55:54
まだガンガンきています
930 :名無しさん@お腹いっぱい。:05/03/04 22:55:06
3月4日(金)雪のち曇り
ある3つの所から、3種類の妙なアクセスがあります。
某サポート系のところから、リカバリしたてのマシンをいきなり接続しているようで、
即感染&攻撃がきていました。こまったものです。
ある3つの所から、3種類の妙なアクセスがあります。
某サポート系のところから、リカバリしたてのマシンをいきなり接続しているようで、
即感染&攻撃がきていました。こまったものです。
931 :名無しさん@お腹いっぱい。:05/03/15 01:47:32
なんかまた、イントラネットで妙なアクセスがあり、気にしています。w
932 :名無しさん@お腹いっぱい。:05/03/15 11:30:39
933 :名無しさん@お腹いっぱい。:2005/03/26(土) 11:35:54
この前の日、海外の1台のPCからものすごいアクセスがありましたよ。
漏れのへたれ英語メッセージを送ったら、ピタッと止まりました。w
漏れのへたれ英語メッセージを送ったら、ピタッと止まりました。w
934 :名無しさん@お腹いっぱい。:2005/03/26(土) 18:28:45
935 :名無しさん@お腹いっぱい。:2005/03/27(日) 01:31:36
その技術 数百億で売れるぜ
936 :名無しさん@お腹いっぱい。:2005/04/13(水) 01:06:03
妙なアクセスあり枡w ⇒ port 12345, 54321
937 :名無しさん@お腹いっぱい。:2005/04/16(土) 15:21:38
一網打尽シリーズ入れてみたら?
http://hp.vector.co.jp/authors/VA037849/index.html
http://hp.vector.co.jp/authors/VA037849/index.html
938 :名無しさん@お腹いっぱい。:2005/04/26(火) 20:56:45
>>936
ttp://www.itmedia.co.jp/news/0201/23/b_0122_07.html
2002年1月23日 10:13 AM 更新
「TCPポート12345のスキャンが急増。原因はTrend Microのアンチウイルスソフト?」
TCP/12345 は、ports 解説ではよく Netbus (Windows Trojan) とでるけど、
どうやら Trend Micro OfficeScan サーバの動作のようだね。w
ttp://www.itmedia.co.jp/news/0201/23/b_0122_07.html
2002年1月23日 10:13 AM 更新
「TCPポート12345のスキャンが急増。原因はTrend Microのアンチウイルスソフト?」
TCP/12345 は、ports 解説ではよく Netbus (Windows Trojan) とでるけど、
どうやら Trend Micro OfficeScan サーバの動作のようだね。w
939 :名無しさん@お腹いっぱい。:2005/04/27(水) 10:05:00
940 :名無しさん@お腹いっぱい。:2005/05/16(月) 22:15:00
ウィルス感染のアクセスのほかに、バースト状ブラウズやら探査と思わしきアクセスあり。w
話題の“価格com”の内部的惨状は、他山の石と傍観している場合ではないような…
話題の“価格com”の内部的惨状は、他山の石と傍観している場合ではないような…
941 :名無しさん@お腹いっぱい。:2005/05/17(火) 13:44:30
942 :名無しさん@お腹いっぱい。:2005/05/17(火) 23:35:37
いや、ageなくていいからw
943 :名無しさん@お腹いっぱい。:2005/06/02(木) 17:54:48
944 :名無しさん@お腹いっぱい。:2005/06/02(木) 20:18:58
945 :名無しさん@お腹いっぱい。:2005/07/15(金) 23:35:57
TCP 1433 Microsoft-SQL-Server
ttp://www.jpcert.or.jp/at/2005/at050006.txt
TCP 1433番ポートへのスキャンの増加に関する注意喚起
価格.comメソッド関連かな?
ttp://www.jpcert.or.jp/at/2005/at050006.txt
TCP 1433番ポートへのスキャンの増加に関する注意喚起
価格.comメソッド関連かな?
946 :名無しさん@お腹いっぱい。:2005/08/12(金) 10:40:44
test
947 :名無しさん@お腹いっぱい。:2005/08/20(土) 12:18:50
うん。
948 :名無しさん@お腹いっぱい。:2005/08/29(月) 14:49:02
★★★★★★★★★★★★★★★★★★★★★★★★★
ウイルス対策ソフトの検出力結果
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/
★★★★★★★★★★★★★★★★★★★★★★★★★
ウイルス対策ソフトの検出力結果
http://www.geocities.co.jp/SiliconValley-Cupertino/2010/
★★★★★★★★★★★★★★★★★★★★★★★★★
949 :名無しさん@お腹いっぱい。:2005/09/28(水) 04:59:23
あげ
950 :名無しさん@お腹いっぱい。:2005/10/20(木) 04:20:00
今見たら
C:\WINDOWS\system32\wins
というフォルダがあったんですが、
このフォルダは、デフォルトであるものなんですか?
フォルダの中身は殻でした。
作成日時 2003年1月8日、7:04:54
WinXPsp1
C:\WINDOWS\system32\wins
というフォルダがあったんですが、
このフォルダは、デフォルトであるものなんですか?
フォルダの中身は殻でした。
作成日時 2003年1月8日、7:04:54
WinXPsp1
951 :名無しさん@お腹いっぱい。:2005/10/22(土) 15:54:13
952 :名無しさん@お腹いっぱい。:2005/10/23(日) 12:10:15
知り合いがこないだ初めてネットにつないだんですが
ネットつないだと同時にパソコンが再起動してしまうようなのです。
つながない状態だと重いんですが一応
使用できるみたいです。それと終了させようとすると、
ウインドウ・ステーションなんたらかんたら初期化に失敗し
ましたと出てしまうみたいです。
ここに書いてあるMSBLAST.EXEのたぐいはタクスマネージャー
にはないみたいです。
ノートンのウイルスソフトでスキャンさせれば解決するトラブル
なのでしょうか?
すいません、頼られたのですが、自分の方も素人なので困って
います。よろしくお願いします。
ネットつないだと同時にパソコンが再起動してしまうようなのです。
つながない状態だと重いんですが一応
使用できるみたいです。それと終了させようとすると、
ウインドウ・ステーションなんたらかんたら初期化に失敗し
ましたと出てしまうみたいです。
ここに書いてあるMSBLAST.EXEのたぐいはタクスマネージャー
にはないみたいです。
ノートンのウイルスソフトでスキャンさせれば解決するトラブル
なのでしょうか?
すいません、頼られたのですが、自分の方も素人なので困って
います。よろしくお願いします。
953 :名無しさん@お腹いっぱい。:2005/10/24(月) 08:58:54
954 :名無しさん@お腹いっぱい。:2005/10/24(月) 09:47:17
955 :名無しさん@お腹いっぱい。:2006/05/31(水) 03:34:17
TCP/445 まだ たまにあるの(PCリカバリ直後)でage
スレがまだあったのに カンゲキ!
スレがまだあったのに カンゲキ!
956 :名無しさん@お腹いっぱい。:2006/10/08(日) 12:59:54
RPCなんたらで再起動され、ネットにもなかなか繋がらないのにタスクマネージャー見てもそれらしいファイルが見つからないから駆除できない
どうすればいい?
どうすればいい?
957 :名無しさん@お腹いっぱい。:2006/10/09(月) 19:43:41
今だに感染者がいるみたいだな
958 :名無しさん@お腹いっぱい。:2006/12/12(火) 22:51:03
【UDP/54321 大量】
今日とつぜん妙なトラフィックが、大量に他の特定のマシンにありました。
ググると、
54321 (UDP) Back Orifice 2000
としか出ないのですが、なにかほかの情報はありませんか?
今日とつぜん妙なトラフィックが、大量に他の特定のマシンにありました。
ググると、
54321 (UDP) Back Orifice 2000
としか出ないのですが、なにかほかの情報はありませんか?
959 :名無しさん@お腹いっぱい。:2006/12/12(火) 22:56:47
他の情報も何もそれが全てだろ。
そういう名前の超有名なトロイが存在するんだよ。
そういう名前の超有名なトロイが存在するんだよ。
960 :名無しさん@お腹いっぱい。:2006/12/12(火) 23:01:42
>>959
速攻レスdw
速攻レスdw
961 :名無しさん@お腹いっぱい。:2006/12/21(木) 23:29:06
>>958
こりゃまた懐かしい名前が出ましたね。
こりゃまた懐かしい名前が出ましたね。
962 :名無しさん@お腹いっぱい。:2007/01/04(木) 22:16:56
ここに来ると懐かしい君に逢える…
963 :名無しさん@お腹いっぱい。:2007/05/02(水) 21:35:12
windowsNT4.0 サービスパック6aなんですが
起動して1分で再起動を繰り返してしまい困り果てています。
色々対策を講じているのですが、シャットダウンの時間を長くすることはできますか?
お願いします。
起動して1分で再起動を繰り返してしまい困り果てています。
色々対策を講じているのですが、シャットダウンの時間を長くすることはできますか?
お願いします。
964 :名無しさん@お腹いっぱい。:2007/05/02(水) 21:37:49
えらく懐かしいスレだな、おい
965 :名無しさん@お腹いっぱい。:2007/05/02(水) 21:40:40
助けてください〜><
966 :名無しさん@お腹いっぱい。:2007/05/02(水) 22:05:15
>>965
1. ネットワークから物理的に切断
2.セーフモード…NT4.0には無かったか?
…誰かNT4.0に詳しい奴が現れるのを待て
あるいは質問スレに行け
【ウィルス情報質問 総合スレッド★Part43】
http://pc11.2ch.net/test/read.cgi/sec/1178009646/
1. ネットワークから物理的に切断
2.セーフモード…NT4.0には無かったか?
…誰かNT4.0に詳しい奴が現れるのを待て
あるいは質問スレに行け
【ウィルス情報質問 総合スレッド★Part43】
http://pc11.2ch.net/test/read.cgi/sec/1178009646/
967 :名無しさん@お腹いっぱい。:2007/05/28(月) 15:44:01
症状:最初はreal playerを使用すると勝手に再起動してしまう程度だったんですが
最近ではインターネットにつないだときにも再起動してしまいます
一応わからないなりに調べてみて対処しようとしたのですが
タスクマネージャーを開いてもプロセスという項目が出てきません
また、ネットワークケーブルをはずしてセーフモード?で起動しても再起動が起こってしまいます
解決するにはどうすればいいでしょうか?
よろしくお願いします
最近ではインターネットにつないだときにも再起動してしまいます
一応わからないなりに調べてみて対処しようとしたのですが
タスクマネージャーを開いてもプロセスという項目が出てきません
また、ネットワークケーブルをはずしてセーフモード?で起動しても再起動が起こってしまいます
解決するにはどうすればいいでしょうか?
よろしくお願いします
968 :名無しさん@お腹いっぱい。:2007/05/28(月) 17:10:35
丸出し
969 :名無しさん@お腹いっぱい。:2007/05/30(水) 23:59:38
埋め
970 :名無しさん@お腹いっぱい。:2007/06/04(月) 09:54:47
相変わらずSasserがくる
971 :名無しさん@お腹いっぱい。:2007/08/14(火) 23:10:38
Blasterスレは不滅だ!
972 :名無しさん@お腹いっぱい。:2007/09/17(月) 15:33:25
ume
973 :名無しさん@お腹いっぱい。:2007/09/17(月) 15:37:54
973
974 :名無しさん@お腹いっぱい。:2007/09/17(月) 15:38:55
974
975 :名無しさん@お腹いっぱい。:2007/09/17(月) 15:39:55
975
976 :名無しさん@お腹いっぱい。:2007/09/17(月) 15:41:09
976
977 :名無しさん@お腹いっぱい。:2007/09/17(月) 15:43:33
977
978 :名無しさん@お腹いっぱい。:2007/09/17(月) 15:45:06
978
979 :名無しさん@お腹いっぱい。:2007/09/17(月) 15:47:01
979
980 :名無しさん@お腹いっぱい。:2007/09/17(月) 18:25:57
980
981 :名無しさん@お腹いっぱい。:2007/09/17(月) 18:27:00
981
982 :名無しさん@お腹いっぱい。:2007/09/17(月) 18:28:03
982
983 :名無しさん@お腹いっぱい。:2007/09/17(月) 18:29:04
983
984 :名無しさん@お腹いっぱい。:2007/09/17(月) 18:40:45
984
985 :名無しさん@お腹いっぱい。:2007/09/17(月) 18:42:21
985
986 :名無しさん@お腹いっぱい。:2007/09/17(月) 18:46:39
986
987 :名無しさん@お腹いっぱい。:2007/09/17(月) 18:47:46
987
988 :名無しさん@お腹いっぱい。:2007/09/17(月) 19:05:13
988
989 :名無しさん@お腹いっぱい。:2007/09/17(月) 19:06:19
989
990 :名無しさん@お腹いっぱい。:2007/09/17(月) 19:07:27
990
991 :名無しさん@お腹いっぱい。:2007/09/17(月) 19:31:01
991
992 :名無しさん@お腹いっぱい。:2007/09/17(月) 19:34:25
992
993 :名無しさん@お腹いっぱい。:2007/09/17(月) 19:35:53
993
994 :名無しさん@お腹いっぱい。:2007/09/17(月) 20:01:46
千の時を越えて
995 :名無しさん@お腹いっぱい。:2007/09/17(月) 20:05:15
ブロッカー軍団IVマシーンブラスター
996 :名無しさん@お腹いっぱい。:2007/09/17(月) 20:12:10
996
997 :名無しさん@お腹いっぱい。:2007/09/17(月) 20:14:17
997
998 :名無しさん@お腹いっぱい。:2007/09/17(月) 20:15:56
998
999 :名無しさん@お腹いっぱい。:2007/09/17(月) 20:17:20
999
1000 :名無しさん@お腹いっぱい。:2007/09/17(月) 20:18:47
994
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。