ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/01.html#20040129_folder ■ 「フォルダ」に見せかけ任意のファイルを実行――Windows XPを狙う手口に警告
(ITmedia, 2004.01.28)
元ネタ: Self-Executing FOLDERS: Windows XP Explorer Part V。
(中略)
.folder 拡張子のファイルにフォルダアイコンを割りあてる、という仕様がそもそもの間違いであるように
思える。手元で調べたところ、これを無効にするには、レジストリ HKEY_CLASSES_ROOT\.Folder を削除
して再起動すればよいようだ。なお、Windows 2000 にはそのようなレジストリエントリはもともと含まれて
いなかった。Windows XP には存在した。
#こりゃすげー! かんたんで応用しやすい。WinXP なネラーは特に気をつけよう。
605 :
名無しさん@お腹いっぱい。 :04/01/29 22:01
>>604 おお。デモプログラムを解凍してみたら、種類 フォルダ になってる。確かに危ない。
フォルダオプションで変更しといた。
>>604 antinnyの入れものに使えるなこりゃ。
608 :
名無しさん@お腹いっぱい。 :04/01/29 22:30
>>604 マイクロソフトがセキュリティパッチを出すべきだね。これは。簡単だし。
これって…、永久に無くならない?
610 :
名無しさん@お腹いっぱい。 :04/01/30 10:41
サービス感染型大規模ワームウィルス&関連トピックスレ
611 :
名無しさん@お腹いっぱい。 :04/01/30 10:44
612 :
名無しさん@お腹いっぱい。 :04/01/30 10:54
>>604 フォルダオプションで.Folderを何も関連つけないように新規作成してもおkですか?
まだ先の話だが、次スレは↓こういった感じでどうでしょう? 【ブラスタ】大規模感染ウィルス&ワーム情報【後継】
>>611 今日はなんか多いね(; ̄▽ ̄)y-~~
>>614 グラフ突き抜けているね。なんの Backdoor なんだろう?
616 :
名無しさん@お腹いっぱい。 :04/02/02 00:52
>>615 うちのログ、3127が極端に増えてたから、例のmydoom関連だろう。
>604 そもそも「.Folder」拡張子って何に使うものなのか? ググっても今回のセキュリティーホールに関することばっか。 誰かこの拡張子の有効活用している人はいるのだろうか。 セキュリティーホールを作るための拡張子にしか思えない
618 :
名無しさん@お腹いっぱい。 :04/02/02 02:34
>>606 >>612 フォルダオプションで変更して、再起動などを経て数日たってから確認したら、
Folder拡張子の設定が元に戻ってた。わけわからん。
ついでだから、テキストファイルを作って拡張子を.Folderに変更してみたら、
ダブルクリックするとダウンロードの確認になった。
どういうファイルなんだろう?
うちのFolderタンはフォルダオプションでFOLDERの横が空欄の状態で今のとこ生きてる。
>>618 関連付けが戻るのか?
参ったなぁメモ帳にでも関連付けして
アクセス権でつぶすしかないのだろうか。
ためしに crashme のソースに
.Folder 拡張子をくっつけたら見事にやられた。
ローカルHTMLをオミトロンに通すのは
さすがに馬鹿馬鹿しいし。
>>619 俺はキーごと消したからない。
621 :
名無しさん@お腹いっぱい。 :04/02/02 05:38
>>620 関連付けってひょんなことから変わっちゃうじゃん。
いつのまにかmpgとかaviとかがWindows Media Playerに戻されてることなんか良くあるし。
何をしたらそうなるのかがわからんことが問題だよな。
>>620 フォルダオプションで拡張子の追加でfolderと入れてみると、すでに関連付けされていると出てくるかもよ。
一覧に表示がないだけで。
もともと.folderという拡張子は一覧になかったが 拡張子の追加でfolderを追加するとすでに定義されてるが変更するか?と聞かれて .Folderを何も関連づけないように設定したんだがどうなんだろう。 .Folderを開くと開けませぬと出る。
検証のためとかでデフォルトに戻す必要があるなら、 regedit で HKEY_CLASSES_ROOT\.Folder のキーを適当な名前でエクスポート してから、そのキーを削除しておくといい。 まぁ、WinXP なら同じなので、ほかのマシンのキーをエクスポートしてインポート しても、なんら不都合(不都合を再現する不都合)は無いが…(w
ttp://www.mainichi.co.jp/digital/flash/01.html ■「マイドゥーム」の攻撃で米SCOのサイトダウン
米SCOは1日(現地時間)、大規模なDoS攻撃により同社サイトが完全に利用不能になっていると発表
した。日本時間の2日正午現在もサイトが見られない状態が続いている。同社グループのITインフラスト
ラクチャー部門ディレクターのジェフ・カーロン氏は「この大規模攻撃は、世界中の何十万台ものコンピュ
ーターに感染したと見込まれるマイドゥーム・ウイルスによって引き起こされたものだ」と述べた。
# @police の Backdoor は、これだな。
627 :
名無しさん@お腹いっぱい。 :04/02/02 21:54
すいません。 駆除をしようとして「fixblast」をダウンロードして、駆除のスタートをしたのですが、 「C¥WINNY¥system32¥ipconf.tsp」 の所で、毎回アプリケーションエラーが出て中止してしまいます。 こんなときはどのように対処すればよいのでしょうか? よろしくお願いしますm(_)m
>>627 |
|
|
ぱくっ|
/V\
/◎;;;,;,,,,ヽそんなので
_ ム::::(,,゚Д゚)::| 俺様が釣られると思ってんのか!!
ヽツ.(ノ:::::::::.:::::.:..|)
ヾソ:::::::::::::::::.:ノ
` ー U'"U'
630 :
名無しさん@お腹いっぱい。 :04/02/02 22:08
マジで釣りではないですw リカバリということはまた一番最初の状態にもどすのでしょうか? すいません。 パソコンの事よくわからないので…。 よろしくお願いします。
631 :
名無しさん@お腹いっぱい。 :04/02/02 22:10
632 :
名無しさん@お腹いっぱい。 :04/02/02 22:15
すいませんw うち間違いですm(_)m もう一度初期化すれば、直るのでしょうか?
633 :
名無しさん@お腹いっぱい。 :04/02/02 22:18
>>632 スレの上のほうを良く見たり、シマンテックとかのページを見て正しくやればいいんじゃないの?
まずケーブルはずして、セーフモードでやってみたら?
634 :
名無しさん@お腹いっぱい。 :04/02/02 22:21
ありがとうございます。 がんばってみます!
635 :
名無しさん@お腹いっぱい。 :04/02/02 22:55
やはり止まってしまいます・・・。 今タスクマネジャーを見た所、TEEKIDS.EXEがなくなっているのですが、 これは駆除ができたということなのでしょうか?
>>635 修復インストールする。
マイクロソフトのセットアップCDがあるのならね。
637 :
名無しさん@お腹いっぱい。 :04/02/02 23:13
>>636 多分買ってないので、ないと思います。
それでは、それを近所で探してみたいと思います!
639 :
名無しさん@お腹いっぱい。 :04/02/03 14:07
640 :
名無しさん@お腹いっぱい。 :04/02/05 02:32
質問させてください。 Blasterのおおまかな感染の流れは、 ・攻撃先のIP生成 ・TCP135に攻撃用のデータを送信してMS03-026のセキュリティ・ホール検索 ・RPCのバッファ・オーバーフローをついてTCP4444で待機するリモート・シェルを作成 ・感染元からmsblast.exeの本体を取得するコマンドを送りこみ実行させる ・感染拡大マズー って、感じだと思います。 ローカルIPを生成した場合、LAN上のパソコンが感染するのは理解できます。 グローバルIPを生成した場合でも、攻撃先のパソコンがグローバルIPなら理解できます。 つづく・・・
判らないのが、グローバルIPを生成した場合で、下記の様な構成だったときです。 ルータを飛越えてパソコンにアクセスできる理由がわかりません。 感染元パソコン ↓ インターネット ↓ MN128のISDNルータ(192.168.0.1) ↓ パソコン(192.168.0.2) よろしく、ご教授ください。
642 :
名無しさん@お腹いっぱい。 :04/02/05 10:20
1.ルータの設定がまずい 2.一瞬でもルータを通さず直接ダイアルアップ接続した事がある
>642 レスありがとうございます。 >1.ルータの設定がまずい はい。フィルタかけてないです。PC側もファイアウォールしてないです。 >2.一瞬でもルータを通さず直接ダイアルアップ接続した事がある これは、ないです。 えっと、判らない点なんですが、 外側(インターネット側)からルータを挟んでローカルIPがふられているパソコンにアクセスできる点です。 これが、どうしても理解できないんです。 詳しい方、ご教授お願いいたします。
ISDNルータの時代はまだセキュリティに関しては平和だったんだろうな
と言うわけでISDNルータのデフォルト設定は
>>643 のような事が出来るようになっている可能性がある
ルータ フィルタリング でぐぐって説明書読みながらがんがれ
職場でたまたまパソコンの話になった時、 極たまにしかパソコンは触らない、というヤシが、 「最近使おうと思っても、シャットダウンがどうのっていうメッセージが出て、 カウントダウンが始まって切れてしまって使えない。家族みんなで首ひねってる」 といいだした。 とりあえずウィルスっぽいからネットには絶対つなぐな、と言っておいたけど、 自分のOSの種類もわからない、Windowsupdateて何?というそのヤシに どうやって駆除と防御の方法を教えたものか…。
>>646 2万くらいで駆除を請け負う。
いい小遣い稼ぎになる(w
>>647 後輩だし、たとえ出張したとしても、金取るとかはあんまりなあ。
電気屋の出張サービス頼めば確実だよ、とは言ってあるけど。
でも家が農家なヤシだから、お礼に大根とか白菜はくれそう。
まったく別のことで別の人(やっぱり農家の人)だけど、ちょっとした事のお礼にって
ごっそり野菜貰った事が過去に何度かあるんだ。
長閑でんなぁ!
>>648 いいね〜おまいと知り合いの人柄がしれる。
大根&白菜の方が、金より(・∀・)イイ!!
>>648 夕飯でも馳走になれば宜しかろう。
良酒を一献頂くのも良いでは御座りませぬか。
>>648-649 ども。
とりあえずOSの種類を聞き出して
タスクマネージャ見てもらってウィルスであることを確定して、
対処法載せてるサイトのうち一番分かりやすそうなのを印刷して、
さらに注釈でもつけて渡してみる。
あと、職場のパソコンである程度操作の仕方をレクチャーしてみる。
ネットは禁止しておいたし、もともと普段はネットしないヤシだから、少しずつやってもいいし、
今後のことを考えれば、なるべく自分でやっておいて欲しいとも思う。
それでも無理なら出張かな。
>>652 お疲れさん。
ネットワークで感染/攻撃しているユーザーで、自分のパソが「調子わるくなった」程度に思っていて、
ネットワークに大きな危害を加えている、ってゆう意識のかけらもないのを説明するのに疲れるね。
ていねいに指摘してやっても、「始末書でも書けということですか?」なんて逆ギレする者もリアルで
いるよ。
>>653 >「調子わるくなった」程度
まさにそんな感じでした。
後輩は、逆切れとかはしないけど、ねはあげそうな気はする。
ところで偶然休みが交代で入ってたので、次に会うのは木曜日でした。
まだ何にもしてません。資料だけそろえとこう。
ttp://www.cyberpolice.go.jp/important/20040210_132352.html ■TCP901番ポートに対するトラフィックの増加について(2/10) <2004/02/10>
2 月10 日現在、警察庁では多数のIP アドレスを発信元とするTCP901 番ポートに対するトラフィックの
増加を検知しています。
1 概要
・ 警察庁のファイアウォールにおいて、901/tcp のアクセスが増加。8 時14 分〜26分にかけて集中して
おり、ピークは15 分。
・ 発信元国別では、US とKR が3 割、以降CA,FR と続く(国内は0 件)。発信元IPアドレスは特段、集中
していない。
・10 日11 時現在、901/tcp アクセスは減少中。
#smpnameres 901/tcp, 901 swat, realsecure なんだけど…
657 :
名無しさん@お腹いっぱい。 :04/02/11 20:06
今度のセキュリティホールは、ファイアーウォールでは防げないか。 『セキュリティ情報の「回避策」の項には,ただ一言「なし」と記述されている。 設定変更やパーソナル・ファイアウオールなどで回避することはできない。』
>>657 感染の端緒のメール添付ファイルをスキャンしてればOK
660 :
名無しさん@お腹いっぱい。 :04/02/12 16:34
661 :
名無しさん@お腹いっぱい。 :04/02/12 17:23
・その他の情報: ・ウイルスコード内に以下の文字列が含まれます: LET HISTORY TELL FUTURE ! 1931.9.18 1937.7.7 1937.12.13 300,000 ! 1941.12.7 1945.8.6 Little boy 1945.8.9 Fatso 1945.8.15 Let history tell future ! だってさ。犯人は中国人かな。やれやれ。
662 :
名無しさん@お腹いっぱい。 :04/02/12 18:30
ヒグチちゃうの?
664 :
名無しさん@お腹いっぱい。 :04/02/12 19:51
3127への無駄アクセスが0時4分を境にぱたっとやんでた
ttp://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B&VSect=T WORM_NACHI.B
Network Propagation and Exploits
This Nachi variant takes advantage of the following vulnerabilities:
Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
WebDAV vulnerability
IIS5/WEBDAV Buffer Overrun vulnerability
For more information about these Windows vulnerabilities, please refer to the following
Microsoft Web pages:
Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS03-007
Microsoft Security Bulletin MS03-049
これか。能天気なサーバー(とくにイントラ)が、また やらかす悪寒の朝。
管理者にげるな!
668 :
名無しさん@お腹いっぱい。 :04/02/13 08:48
669 :
名無しさん@お腹いっぱい。 :04/02/13 13:03
トレンドのパターン763でNachi.aの残骸のsvchost.exeをNachi.bとして検知してるっぽい。 symantec情報だとwin2kではc:\winnt\system32\drivers\にsvchost.exeがあるようですが、上がってきたアラートはみんなwins配下だった。
670 :
名無しさん@お腹いっぱい。 :04/02/13 14:03
671 :
名無しさん@お腹いっぱい。 :04/02/13 14:12
米国時間の2004年2月10日に公開された、Windows の脆弱性MS04-007は、Windows に組み込まれ ている ASN.1 処理ルーチンのバグによるものです。 この ASN.1 ルーチンに、特定のデータを送りつけることにより、バッファオーバーフローを引き起こし、 その Windows 上で、任意のプログラムを実行できる、という物騒な物です。 ここでいう「データを送りつける」という行為は、ローカルシステム上からだけでなく、リモートからも可能 です。なぜなら、このルーチンは、Kerberos、NTLM などの認証サブシステムや、SSL を使用するアプリ ケーション(IIS や Internet Explorer、Outlook Express)が共通で使っているからです。 例えば IE は、https で他のサイトに接続するとき、相手のサーバから送られてくる電子証明書の解析 を、この ASN.1 ルーチンを使って行います。よって、悪意あるサイトが、この脆弱性を利用した変な証明 書を送りつけてくると、IE を走らせているパソコンがヤラれます。 逆に、IIS 上で SSL サイトを走らせている場合、クライアント認証の過程で、えげつない証明書を食わさ れてサーバが壊される危険性も孕んでいます。怖いですね。
672 :
名無しさん@お腹いっぱい。 :04/02/13 14:40
>トレンドのパターン763でNachi.aの残骸のsvchost.exeをNachi.bとして検知してるっぽい。 >symantec情報だとwin2kではc:\winnt\system32\drivers\にsvchost.exeがあるようですが、上がってきたアラートはみんなwins配下だった。 誤報で正解。今トレンド新パターン作成中らしい。簡便してくれ
673 :
名無しさん@お腹いっぱい。 :04/02/13 20:40
よくブラスター対策ページに書いてある、 『以下のファイルが見つかったら感染しています』ってあるんですけど、 症状はブラスターに似てるのに、その実行ファイルが見当たらないってことはあるのでしょうか 最終手段はやはりクリーンインストールするしかないのかな
>>669 svchost.exe が、なんで wins の中にあるんだ? ふつう空だが。
>>673 あるよ、よくある。 とくに初心者とかが使っている PC の中で。
あら、あら、あら!!
なんか回線すぐ落ちると思ったら、W32.Welchia.B.Wormに感染してしましました(;´Д⊂) 感染ファイルは以下 C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XAZGLIR\WksPatch[1].exe C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XAZGLIR\WksPatch[2].exe C:\WINDOWS\system32\drivers\svchost.exe セーフモードで上記ファイルの削除と、レジストリ削除したけど、 対策のパッチはまだかいな・・・
>>678 MS03-049ならとっくに出てるけど。
>>677 なんだよ、Nachi.Btってのはロケールが日本語だと永久に
終わらないのかよ。うぜー。
警察庁Welchia.B (=Nachi.B)を解析:日本語Webページを破壊、永久に停止せず
Nachi.Bは感染対象のロケールが日本語だった場合、IISが組み込まれていれば
Webページの内容を反日スローガンに改竄し、自動停止期日が過ぎても停止しない
などの動作をすることが明らかになった。
1 攻撃ポート port 445、port135、port80
2 活動期限 日本語以外の場合 2004年6月1日 (起動中の場合、感染から120日後)
日本語の場合、無期限に活動
3 WEBページ改竄 ロケールが日本語の場合、IISドキュメントルート直下のファイル
を「Let History Tell Future ... 1945.8.6 Little boy」などの反日スローガンに改竄
4 感染後の動作
本体プログラム <システムフォルダ<>\drivers\svchost.exe
レジストリ改変 HKLM\System\CurrentControlSet\Services\WksPatch
詳細はPDFファイル
http://www.cyberpolice.go.jp/detect/pdf/Welchia_worm.pdf
日本語狙い撃ちかよ…
なんでトレンドもシマンテックもNACHI.Bが日本語環境でめったくさ 破壊活動することを発表しないんだ? 警察庁よりそんなに解析 能力が低いのか?
>>683 BlasterやNachi.A対策でセキュリティパッチをあてていれば感染の危険性が
ない。そして去年の夏の騒動で懲りた企業はセキュリティ対策を強化している。
SymantecもTrend Microも日本時間で12日には解析を開始して情報を公開していた。
むしろ今頃同じ脆弱性を突くNachi.Bに感染するほうが・・・。ローソンとか・・・。
既出かも知れないが、 PDFを見ると某チケット屋のトップページを変えたのは これみたいだな。 あそこでチケットを買うのは危険だな..個人情報がダダ漏れになりそうで。
689 :
名無しさん@お腹いっぱい。 :04/02/15 19:27
>>684 甘いな。企業のセキュリティはそんなに上がっていないよ。
外部に開発を委託している場合,開発元がセキュリティパッチを
当てるのを嫌がるのだ。
現状は,企業内部の運用部が(もし技術力があればだが)パッチを当てて問題
無いことを確認し,
「問題無いからこれで行くよ」
「そちらでそういう判断をされるのであればどうぞ」
って感じで進んでいるのが実情。
690 :
名無しさん@お腹いっぱい。 :04/02/15 20:07
>>689 同感
SPも当てられないのも現実にある
今回のMSのパッチの条件はSP2だが
SP2当てたら動かなくなるソフトがあったりする
>>689 同感。システム屋さんに、おらしらねえよ、っていわれた日にはお手上げだ。
「ただのパソコン」として使っているPCは勝手にさわれるけど、
専用にプログラムが入れてあったりすると、ご指示に従うか、自己責任で
やるかどっちかだ。だれも責任を取りたくないもんで、ほったらかし。
責任ていうのは、パッチを入れたことで、専用の独自システムが動かない
ことに対する責任ね。
こういうPCは隔離しておきたいが、出来ないし。
だにゃ。 むやみにパッチは当てられない、勝手には動けない。
おめーら見たいのがいるから、俺が最後に泣きつかれて苦労すんだよ。氏ね。
できねーし。とか言って結果的に放置してる奴。
696 :
名無しさん@お腹いっぱい。 :04/02/16 13:16
697 :
名無しさん@お腹いっぱい。 :04/02/16 13:58
>>673 stinger
www.nai.com
698 :
名無しさん@お腹いっぱい。 :04/02/16 14:33
>>696 最低限、これらのパッチを当てていないW2K/WXPをLAN/WANともにネットに晒すべきではない。
699 :
名無しさん@お腹いっぱい。 :04/02/16 15:06
700 :
名無しさん@お腹いっぱい。 :04/02/16 15:18
ttp://www.asahi.com/national/update/0216/025.html 日本語ウインドウズにのみ働くPCウイルス発見 中国
香港の中国系紙・文匯報によると、北京のコンピューターソフト会社「中国瑞星」が、マイクロソフト社製
のOS、ウインドウズ2000と同XPの日本語版にのみ被害を与えるコンピューターウイルスを発見した。
ウイルスは「W32.Welchia.B」という名で、コンピューターのHTMLファイルを書き換えるという。
画面上に黒地に赤く「LET HISTORY TELL FUTURE」(歴史に未来を語らせよ)という英文が出現
し、満州事変や廬溝橋事件など日中間の事件の日付とみられる数字が表れる。
同社は「内容から見て、制作者は中国人の可能性が高い」としている。 (02/16 19:47)
#朝日いたすぎ(w
>>693 別におまいに迷惑かけてるわけじゃなし。一般PCの話じゃないんだ。
あ、感染はしてないからね。その点は誤解なきよう。
パッチをすぐにはあてない=なにも知らない、ではないから。
少なくとも、ここに来てるやつは、自力でやれる対策はとってると思うよ。
でなきゃ、こんな所へやって来ない。
706 :
名無しさん@お腹いっぱい。 :04/02/17 09:56
>別におまいに迷惑かけてるわけじゃなし。 という奴に限って思わぬ所で大勢の人に迷惑をかけるんだよな。
707 :
名無しさん@お腹いっぱい。 :04/02/17 11:28
708 :
名無しさん@お腹いっぱい。 :04/02/17 14:28
>>700 IDSのwormが漸増しているようだが。
709 :
名無しさん@お腹いっぱい。 :04/02/17 14:35
_ ,;;――――- 、 / ヽ / ,,_,,,,;;ヽ | / / | l ゝ / | -―‐ ヾ ヽ __ ゞ | | , ―― 、 , ―‐‐、ヽ | /〉=| ( ・ ) |⌒| ( ・ ) |ヽ | /" ー―‐' ヽ ―‐' | l; '' ヽ ( :::::) 、) | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ / | _____) < 、まじ、すまんかった |. | ( ___ヾ'l | \________ l; ./l ヽ _____ノ / _,ヾ-‐''| l | | ’`‐-;;,_ ヽ ヽ / /
>>702 マイナーな亜種であり、機能面では亜種 B と同じです。
パッチを当てない理由は実際ほとんど無い。 開発元が「SP2を当てると動かなくなる」と連絡してきたのも, 実際にこちらでテストしてみると何の問題も無かった。 それ以降,当てるとどういう問題があるのか具体的に説明をもてめるようにしている。 回答は「・・・の恐れがある」とか言って来るので試したのかと聞くと試していない。 まぁ〜 こういうのは元ソフトハウスで開発していた人間がスピンアウトして 発注元に回っているような特殊なケースでないとできないのかもしれないが。
>>711 さんみたいにリスクの判断ができる人だといいわけですが…
パッチ当てた後で動かんかったときに「直せ」といわれて、直るまで金
払わんとか言われたらどうします? 「試したか」と聞かれたときは
「パラメータの組み合わせ全部は試してません。」と答えてる。これは
事実w。
パッチ当てるのも当てないの管理者の「自己責任」でお願いしてます。
ひょんなことで、大規模基幹システムのサーバー管理担当者に事情をきく機会をえた。 パッチあてない理由: 1.運用中のマシンとソフトウェアの所有者が、はっきりしない 2.修正パッチによる、運用しているソフトウェアへの影響が確認できない 3.Windows NT (おそらく SP なし)なので、パッチがない 4.これまでウィルス感染がなかった(と思う)ので、そのままにしている
ttp://www.cyberpolice.go.jp/important/20040218_112145.html ■Beagle.B(Bagle.B、Alua)ウイルスの発生について(2/18) <2004/02/18>
平成16年2月18日
警 察 庁
Beagle.B(Bagle.B、Alua)ウイルスの発生について
2月18日現在、警察庁では、メールを介して感染するBeagle.B(Bagle.B、Alua)ウイルスが発
生しているとの情報を入手しました。このウィルスは、大量にメールを送信する機能があり、
バックドアを仕掛けるとの情報があります。不審なメールや添付ファイルを安易に開封しない
など、十分に警戒してください。
>>712 出荷するときにもパラメータの組み合わせ全部を試していないに違いない。
717 :
名無しさん@お腹いっぱい。 :04/02/19 01:55
うわぁぁぁぁぁぁぁっぁぁぁ あと、、、10秒で再起動しますっていっています。 8、7、6、うわぁあああああああああ どうしよ
>>717 再起動させりゃいいだろ? 行が無駄なので1行で済ます。(w
721 :
名無しさん@お腹いっぱい。 :04/02/19 08:37
>>713 自宅から離れた倉庫の鍵の脆弱性を放置したまま(=常時管理していないサーバーのパッチを当てないまま)で
泥棒に侵入されても(=ワーム・ウィルスなどに侵入されても)
その家主(=管理者)に責任は追及されないけれども、
そこを泥棒のアジトにされて(=ワームの元やバックドアなどを仕掛けられて)
周辺の家(=コンピュータ)に被害が及んだときには
容易にアジトを作られていた(=ワームの元やバックドアなどを仕掛けられていた)事に気づく事ができるような場合には
不法行為性があるぞ
大事になってみないと分からないもんだろうが、
そもそも物事が表面化して大事になる可能性もそう大きくはないわけで、
そこが困りどころだな。
>>722 不法行為性については、このような常識論はもとより、不正アクセス禁止法の努力義務違反にもなるので、
不法行為性があることは議論の余地がないだろう。
>>696 >>698 Windows NT4.0 (各種) SP6a以降
Windows 2000 (各種) SP2以降
Windows XP (各種)
Windows Server 2003 (各種)
が主な対象。UPnP については、Win98/98SE/Meも含まれる。
また上記より古いSPのレベルのOSは前記パッチが当てられなかったり、
もっと古い脆弱性(ICMPで死ぬとか)があったりするのでネットワークへの接続は停止すべきである。
やっと日本語版3.6ccb・・・
SP当てられないマシンに関しては アンチウィルス入れて対応してる ただシマンテックみたいにデフォルトの設定だと ターミナルサービスと相性が悪いのもある
>>727 世間一般ではSP当てられないマシンがあったら
サイバーノーガード戦法しか適用されていない現実がある。
他スレから来ました。 XPの場合、いわゆるブラスタの侵入を防ぐためのパッチは03-001 03-007 03-039と 認識していたのですが他すれでSP1必須と言われました。 ブラスタ防ぐにはSP1は必須ですか?
>>730 いったい どの「他スレ」の何番あたりから いらっさいますたか?
すこし前の方の「パッチあてない理由:」で気になったのですが、 Windows NT Server 3.5 で問題は起こらないのでしょうか? 某担当者:「あまりに古すぎるので、感染しなかったんでしょう」 とか話しておりました。 NT 3.5 あたりになると、ちょっと自分自身の経験と最近の情報から、 その事情がわかりません。 株式会社ラックの 2003年8月15日の“Blaster-worm_guideline.pdf”でも 2.影響を受けるコンピュータ Microsoft Windows NT Server 4.0 : となっています。そのあたりの事情について、どなたか情報をお持ちの方の コメントをいただければ、ありがたく思います。
影響あるかもしれないし無いかもしれないけど、誰もそんな古いバー ジョンまで調べてないので「知りません」だろうな。 まぁNT3.5だとExplorerも無いし、レジストリもまだあまり利用されてない、 IEがあってもせいぜいCOMコンポーネント化される前のIE2.0とかそんな レベルだったはずなので、今時出回ってるほとんどのウィルス/ワーム は動かない事の方が多いだろうけどね。 BlasterみたいにRPCSSのバッファオーバーフロー突くような奴はNT3.5 でも影響ありそうな気もするけど、DCOMサポート前で実装が違ってる からセーフとかあるのやもしれん。 いずれにせよもうNT3.5のセキュリティ情報など手に入らないのだから 影響は「てめーで調べろや」しか無いと思うが。
>>733 コメントありがとう。
もし「Windows NT Server 3.5 で問題は起こらない」のであれば、
そのままにしている某(引継ぎ)担当者の判断は正しかったのかもしれません。
「新しいモノを構築する検討をしています」とか苦しい釈明をしていましたが、
別のアプリで新しいモノが作成されて、たいへんな問題が起きてている中で、
投資対利益、成果追求、組織の中の立場とか、いろいろと考慮すると、某担当者に
及ばないかもしれませんが、自分もそうした状況判断をしているかもしれません。
>>730 レスがつかないようなのでちょっと・・
当方、SP1を当てずにBlaster対策パッチは適用出来ています。
もちろん、それ以外の WindowsUpdateは導入済み。
昨年9月頃(Blaster以降)、SP1を当てないとそれ以降のパッチは適用
出来ないよ、とMSが公表した事があるので、それのことを指しているのかも
しれないけど、言った人にきいてみないとわかりませんね。
こちらでは、SP1なしでそれ以降のパッチも導入できているので、MSが方針を
かえたのかも知れない。
SPは雑誌の付録ででなくなってどうしようかと思っていたけど、Blaster騒ぎで
CD-ROMで入手可能になったことはありがたい。
736 :
名無しさん@お腹いっぱい。 :04/02/25 09:57
先週あたりからport6881へのsynがもの凄い数なんだけど何これ?
737 :
名無しさん@お腹いっぱい。 :04/02/25 22:59
BitTorrent が他の BitTorrent をさがしていると… ルーターないと、たいへんですね
そりゃあwindows updateしてたんだろ
>>740 ブ、ブー! はずれ
Windows が古すぎてパッチあてられない、てゆーかパッチ無いし、
あまりに古いので最近のに感染しなかったんでしょう、とのこと。
742 :
名無しさん@お腹いっぱい。 :04/03/02 13:15
感染してしまったぽいです。 起動時にカウントダウンが始まってシャットダウンされてしまうので何もできません。 セーフモードでもシャットダウンされてしまいます。 このような場合はどうしたらよいのでしょうか。 どなたか御教授願います。
>>742 そのパソからHDD引っこ抜いて他のパソに2台目HDDとしてつなげて駆除する。
>>743 マ、マジッスカ
他には対処法ってないですかねぇ。
>>744 >>743 それが王道。(ノートだとつらいかな)
ただし、ウィルス対策ソフトがそのつなげたHDDのレジストリまで修復するかどうか。
(たぶん修復しないだろう)
起動時のエラーがでるかも。ウィルス起動するようになっていても、ウィルスがない
のでエラーメッセージ。Windows は、ちゃんと起動するので、ゆっくりレジストリを
吟味してみるといい。
★DCOM を無効にしておこう。(ウィルスは DCOM を使うから、使わせない)
コントロールパネル>管理ツール>コンポーネントサービス>コンピュータ>
マイコンピュータ>右クリック>既定のプロパティ>
「このコンピュータで分散COM を有効にする」のチェックを外す。>OK OK>再起動
Windows 修正パッチをあてよう。
重要な更新以外のよけいな「推奨する更新」とかもやっちまうと、とくに Windows 2000
で無線LAN がうまく動作しないとかがある。
Windows XP (SP なし) からだと、サウンドが鳴らなくなる場合があるので、PC メーカー
のサポート情報をよく見ることをお勧めする。
>>745 そうですか…。
ところでこれって2台のPCをUSBで繋げてもできますか?
>>746 「HDD引っこ抜いて」って書いてあったよね。それすら読めないなら、君には無理だ。
さっさとリカバリすることをお勧めする。
そいで、DCOM 無効にしてから、ネットワークにつないで Windows Update。
Windows XP なら無料の Microsoft “Windows XP セキュリティ対策 CD-ROM” が
あれば、なおよし。ネットワークにつなぐ危険性を回避できる。
最近 Microsoft は、Windows 98 98SE ME 2000 XP の対策 CD-ROM を、注文すれば、
送る措置もとっているようだ。
>>747 よく考えたらUSBでできるわけない罠。
いろいろ突っ込みたいところもあるけど
なんだかんだ言って教えてくれる君の態度に萌えたよ。
じゃ
>>741 dcomってw2kからだろ?
じゃあ、感染しているのに気づいてないか、感染しても活動しなかったかだな
2004-03-02
■関東農政局のパソコン7台がウイルス感染
農水省関東農政局(さいたま市中央区)の庁内LANに接続されているパソコン計7台がコンピューター
ウイルスに感染し、同農政局は2月27日から1日までLANと外部との接続を遮断していたことが2日まで
にわかった。感染によるシステム障害や、ネットワーク遮断による業務への影響などの被害はなかった
という。
同省大臣官房情報課によると、ウイルスは「ブラスター」で、27日午後5時ごろに庁内のパソコン1台を
ウイルススキャンしていて見つかった。他のパソコンを調べたところ7台の感染がわかり、ウイルスを駆
除し、基本ソフトに修正プログラムなどを当てるなどの対策を取った。感染は庁内にとどまり、本省や他
省庁への影響はなかった。また同局のホームページは庁内とは別のサーバーで運用しているため、閲
覧を停止するなどの影響は出なかった。
ttp://www.mainichi.co.jp/digital/network/today/1.html
752 :
名無しさん@お腹いっぱい。 :04/03/04 09:56
カウントダウンでシャットダウン=ブラスターというのは間違ってますか? なんかテンプレ参考にいろいろ探してみたんですけど abcdのどれでもないっぽい…。 ちなみにOSはWindows2000です
フォーマットして再インスコしる
754 :
名無しさん@お腹いっぱい。 :04/03/04 18:10
今日インターネットができる様になったんですけどどうやらブラストとかいうのに感染したみたいっす。 みなさんの言ってるディレクトリとかファイルはどうやって見たらいいんでしょうか?パソコン初心者すぎてなにもわかりません(´・ω・`)ちなみに今は携帯からです。
>>754 初心者はやたらにドライブ内を触らない方が良いかと思われ
まず満喫逝ってBlasterの駆除ツールと修正パッチを焼いて鯉
マジレスしちゃった……(´-`)
757 :
名無しさん@お腹いっぱい。 :04/03/04 18:59
>>755 さん ありがとうございましたm(_ _)m
>>756 さん ですがインターネットに接続もできないんです(;_;)
>>757 家の唯一のPCがBlasterにやられて接続できない、ってこと?
だれか知人の家、漫画喫茶などのPCでツール手に入れるか、
自分のPCを初期化再インストールか。
がんがれ。
>>757 前にも関連カキコあるけど、それを漏れの状況にあてはめてみよう。
たった1台しかないとして、感染したと判ったときには、その状態で PC は決して起動させないね。
たとえノートPC であっても、パーツショップから新しいそれに相当する HDD を買ってきて、自力で
HDD交換してからリカバリするね。(感染の状況の保全をする意味でもある)
内蔵HDD を USB接続などで外付HDD にすることができるケースがショップで販売されている。
それを使って自分の蓄積していたファイルは自在に扱うことができる。
一部の製品で、リカバリ情報が内蔵HDD のみに特殊な形で保存されている場合は、PC メーカー
へ有償で HDD交換の修理依頼するだろう。この場合には、蓄積していたファイルなどは戻らない。
DCOM for Windows 98なんてのもある。
標準ではインスコされないんだよね?>>NT4 / w98
ttp://www.cyberpolice.go.jp/important/20040308_231816.html ■TCP1025番ポートに対するトラフィックの増加について(3/8) <2004/03/08>
平成16年3月8日
警 察 庁
TCP1025番ポートに対するトラフィックの増加について
3月8日現在、警察庁では、TCP1025番ポートに対するトラフィックの増加を検知していま
す。
このポートはWindowsのRemote Procedure Call(RPC) を使用するDistributed
Component Object Model (DCOM) インターフェイスで利用されるものです。
脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの
再確認をお勧めします。
なお、TCP1025番ポートに対するアクセス状況は以下のとおりです。
TCP1025番ポートに対するアクセス状況(リンク先はPDFファイルです。)
ttp://www.cyberpolice.go.jp/important/20040314_143128.html ■Beagle(Bagle)ウイルスについて(3/14) <2004/03/14>
平成16年3月 8日
平成16年3月14日更新
警 察 庁
Beagle(Bagle)ウイルスについて
3月14日現在、メールを介して感染するBeagle(Bagle)ウイルス及びその多くの亜種が発
生しております。これらのウイルスは、大量にメールを送信する機能があり、またバックドア
を仕掛けるとの情報もあります。不審なメールや添付ファイルを開封しないなど、十分に警戒
して下さい。
なお、Beagle(Bagle)ウイルス及びその亜種の主な特徴は、以下のとおりです。
Beagle(Bagle)ウイルス及びその亜種の主な特徴(リンク先はPDFファイルです。)
[更新履歴]
3月14日 Beagle.Mについての情報を追加
OS再インストしてから頻繁にシャットダウンするようになって 調べたらblastっぽいんで一応対策してみたけど なんかいまいち釈然としない症状なのでアドバイスお願いしまつ。 OSはXP Home SP1。ファイヤウォールはXP付属の機能を使ってまつ。 ウイルスソフトはAVG 6.0Free 使ってて安心してたんだけど どもおかしいんでノートン体験版やらウイルスバスターオンラインスキャンやら かけましたが、今の時点ではどれでもウイルスは検出されません。 (つかblastという名前では今まで一回もかからなかった。 症状からおいらが勝手にblastっぽいと思ってるだけ) WindowsUpDateで検出される更新は全部かけました。 んでここまでやって、当初5分に一回シャットダウンしてたのが 一日に一回くらいに減りました。(忘れたころにシャットダウン) 気になってるのは[ 管理ツール>コンピュータの管理>イベントビューア>システム ]を開くと 未だに5分に一回ぐらいづつRPCに関するエラーが発生してる点。 どもこのRPCってのが悪さしてるような気がするんでつが 切り方がわかりません。(サービスから停止できない?) あと>745を読んでDCOMってのも切ってみたんですけどこれも関係あるんでつ。 釈然としませんが足りない情報あったらどぞ。
>>767 Windowsのアップデートかけててアンチウィールスでも検出されないならブラスタ
ではなさげ。しかし頻繁にシャットダウンするというのはやはり異常。接続ログを
きちんと取れるファイアウォール(Outpostとか)入れてログ見て味噌。怪しい接続
が見当たらないなら、
1 過去にウィルスが壊したシステム(レジストリその他)が完全に修復
されていない
2 ハードウェアの異常(メモリの相性、熱問題など)
なども考えられる
ところでRPCサービスは無効にしては絶対ダメ。OS入れなおしか、それに
近いくらい復旧に手間がかかる。
>>768 横から質問スマソです。
>RPCサービスは無効にしては絶対ダメ。
これ知らんかった。‥できれば詳細キボン。
復旧方法を知っておかないと大変だよな 知ってれば一分かからないけど
>>767 感染しているかどうかは、以下で確認できる。詳細は
http://www.microsoft.com/japan/technet/security/virus/blaster.asp#cond Step 3: Blaster ワームの感染の確認
1、Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開きます。
2、[タスクマネージャ] をクリックします。
3、[プロセス] タブをクリックします。
4、一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順
の表示にします。
5、"msblast.exe" を探します。存在する場合は、ワームに感染しています。
Step 4 に進み、駆除を行ってください。
存在しない場合は、Step 5 に進み、感染しないための対策を行います。
皆様アドバイスども。 やはり blast の可能性は低そうですね。(msblast.exeも無いし。) しかしそうなるとな何が原因か難しくなってしまいます。 シャットダウンするのは必ずブラウジング中(読み込み開始時) なのでハードウェアの異常の可能性も低そうだし。 なんかの弾みでレジストリが異常になってしまったんでしょうね・・・ Outpostは実は以前一回入れてみたんだけど 使い方が良くわからなくてXP付属機能に戻してしまった。(w レジストリ・その他が壊れてしまった場合 OSの上書き再インストールで復旧出来るんでしょうか? それともやはりクリーンインストールかけないと駄目? (そもそもこの症状の発端がOS上書き再インストールな訳ですが・・・)
>>770 漏れは去年ブラスタ騒動のときにRPC無効にしちまって、MSからツールを
落としてきて、使い方学習して、なんだかんだでネットに復帰するまで半日
かかった。(もうやり方忘れたけどw)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs の Start に 2 を入れて再起動
知ってしまうとあまりに簡単
なんか今日になって、ビッグローブとeo-netからのブラスタらしきポート叩きが やけに増えてる。なんかあったのかな?
ほう? φ(. . )メモメモ…
780 :
名無しさん@お腹いっぱい。 :04/04/16 20:21
>>781 更新でトラブル報告が多いのはWin2kだが…全更新をインストールしたが
無問題。PheonixBIOS、ASUSのマザボに、Win2Ksp4OEMをクリーン
インストール→以降の重要な更新はすべてインストールずみのマシン。
783 :
名無しさん@お腹いっぱい。 :04/04/19 04:12
>>785 の脆弱性の回避策 PCTを無効にする
HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\
SCHANNEL\Protocols\PCT 1.0\Server
[値の追加] [データ タイプ] REG_BINARY
[値の名前] Enabled
[値]00000000 (再度有効にするには 00000001 を入力)
ttp://www.cyberpolice.go.jp/important/2004/20040430_084140.html ■TCP1025番ポートに対するトラフィックの増加について(4/30) <2004/04/30>
平成16年4月30日
警 察 庁
TCP1025番ポートに対するトラフィックの増加について
4月30日現在、警察庁では、特定の国の多くのIPアドレスを発信元とする、TCP1025番ポートに
対するトラフィックの急激な増加を検知しています。トラフィックの増加の原因は今のところ不明
ですが、このポートはWindowsのRemote Procedure Call(RPC) を使用するDistributed Component
Object Model (DCOM) インターフェイスで利用されるものであり、大規模なスキャンである可能性
があります。
脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの再確認
をお勧めします。
なお、TCP1025番ポートに対するアクセス状況は以下のとおりです。
TCP1025番ポートに対するアクセス状況(リンク先はPDFファイルです。)
ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/04.html#20040430 ■ 2004.04.30
》 TCP1025番ポートに対するトラフィックの増加について(4/30) (@police)。 SANS ISC もそうだそうだ
と言っています:Handler's Diary April 29th 2004 (incidents.org)。
インターネット定点観測 (@police) には見事なピークが出ています。
……16:00 ぐらいから? またもや増えてきてるし……。
次スレはもっと分かりやすいテンプレにしよう。
Windowsの脆弱性を悪用するプログラム出回る--MSBlast再現の可能性も Robert Lemos (CNET News.com) 2004/04/30 10:53 Microsoftのソフトウェアにある2つの大規模な脆弱性を悪用し、コンピュータを攻撃するプログラムファイルが 出回っている。だがセキュリティ専門家らは、それよりさらに悪い事態を懸念している。MSBlastタイプのワーム が出現するおそれがあるのだ。 このきっかけとなったのは、数人のセキュリティプログラマが、Microsoftがリリースしたパッチをあてていない Windowsコンピュータを攻撃者が乗っ取れるようにしてしまうプログラムのソースコードを公開したことだった。 このプログラムは、Microsoftが4月13日に発表した2つの緊急な脆弱性をターゲットにしている。
791 :
名無しさん@お腹いっぱい。 :04/05/02 00:23
793 :
名無しさん@お腹いっぱい。 :04/05/02 01:04
795 :
名無しさん@お腹いっぱい。 :04/05/02 04:59
あうぽのログ見るとport 445へのattackが増えてる
...と思ったけど今はそうでもないな。 445単独でattackしてくるヤシはsasserの可能性大。
800 :
名無しさん@お腹いっぱい。 :04/05/02 11:43
>>795 Windows Updateしろとマイクロソフトは書いてるけど
ウチの環境だとKB828741のインストールで止まる
手動アップデートの仕方もマイクロソフト書いとけよ
802 :
名無しさん@お腹いっぱい。 :04/05/02 18:23
win2000を使っているのですが、起動後10分程度経過するとsvchost.exeのエラーという表示が出て、
コピペできない、クリックしたリンク先に飛ばないなどの現象が出るようになりました。
オンラインでウイルスチェックしたところWORM_MSBLAST.Fというウイルスに感染していることが発覚しました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.F ここで疑問があるのですが、当方、winMXやwinnyなど使用したことは一切ありません。
つまり、感染経路が不明なのであります。24時間接続できる環境にはありますが、フリーソフトなどの
ダウンロードもしたことがありません。ネットサーフインでウェブを閲覧しているだけです。
MSBLAST.Fもニムダのようにホームページをクリックするだけで感染するものなのでしょうか?
>>802 MSBLASTシリーズはWinnyやWinMXなんか全く関係無いよ。
Windowsのセキュリティホールを利用して感染する。
セキュリティホールが塞がれていないWindowsでは適切に設定された
ファイアウォール等を使用しない限りネットに接続しただけで感染する。
804 :
名無しさん@お腹いっぱい。 :04/05/02 18:39
>>802 どういう接続してるか分からないけど
LAN接続しているならば同じLAN内にいるPCからもらった
可能性が高い
805 :
名無しさん@お腹いっぱい。 :04/05/02 19:52
MS04-011 パッチのチェック (DSScan.exe 使用) IP Hostname NetBIOS Status xx.yy.xx.zz KOITSUDA KOITSUDA VULNERABLE こいつの PC、連休明けに また あばれそうな悪寒(w 氏名所属場所電話は、確認済みだけどね。
syslogが隣近所からの1025で埋まりはじめますた
傾向としては
>>799 に近いんだが隣が五月蝿過ぎて遠方の反応が拾えない状態だ
sasser単独スレ要るかもしれんな
808 :
名無しさん@お腹いっぱい。 :04/05/03 01:20
>>807 攻撃するセキュ穴が違うだけでBlaster一族には間違いないんだから
誰かもレスしてたようにSASSERをタイトルに入れてこのスレのPart6
立てたらいいんじゃないいかと思うが。
バッファオーバーフローを利用するとはいえ、違う名前なんだから 専用スレ立てたほうが他から来る人にとってはわかりやすい。
810 :
名無しさん@お腹いっぱい。 :04/05/03 01:44
Sasser ワームについてのお知らせ
公開日: 2004年5月1日 | 最終更新日: 2004年5月2日
現在、インターネット上では W32.Sasser.worm が活動を活発化しており、
マイクロソフトおよびセキュリティ関連組織は、このワームに対する調査を行っています。
このワームは 2004 年 4 月 14 日 (日本時間) のマイクロソフト セキュリティ情報
MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されました。
http://www.microsoft.com/japan/security/incident/sasser.mspx
811 :
じゃ専用スレテンプレ用資料… :04/05/03 01:46
>>809 そう思ったら藻前勃てとけ。
Personal Fire Wallを導入せずにWindows Updateもやってない
アフォな厨房を隔離するスレだ。
>>807 1025はsasserとは関係無いと思う。
漏れのところでは135単独と445単独が多いな。
1025は135,445,2745,3127,6129なんかと一緒にナメられてる感じ。
1、2ヶ月くらい前から異常に増えてるポートスキャンは、どのワームの仕業なの?
816 :
名無しさん@お腹いっぱい。 :04/05/03 06:35
sasserはAもBも15,872 Bytesとあるな。 マイナーチェンジってやつか?
Cも15872バイトだな
818 :
名無しさん@お腹いっぱい。 :04/05/03 12:21
休み明け ノートパソコンをこっそり社内LANに繋いで ウィルス蔓延がまた発生しそうだな クスン
>>814 どれがどれだかわからん。
今も445単独アタックでいかにもSASSERっぽいんだけどSASSERでないヤシ発見したし
820 :
名無しさん@お腹いっぱい。 :04/05/03 12:25
>>818 去年のMSBlasterの時と状況が似てる罠
821 :
名無しさん@お腹いっぱい。 :04/05/03 12:35
ふと思ったんだが このsasserがキンタマ搭載してメール経由でばら撒きなんてやったら どうなるんだろう
823 :
名無しさん@お腹いっぱい。 :04/05/03 17:04
----------------パンピーなユーザーにはじぇんじぇん生かされていない。----------
http://www.isskk.co.jp/security_center/169/solution.html 思い起こせば 昨年の夏・・・ あの教訓をいかそう!
2003年7月16日(日本時間)
X-Forceセキュリティアラート「Microsoft Windows での RPC 実装の不具合」
思い起こせば昨年の夏・・・日本はちょうどお盆の時期。2003年7月16日、「Microsoft Windows
での RPC 実装の不具合」が発表され、この発表の約1ヵ月後、この脆弱性をついたMS Blast
ワームが、日本時間の2003年8月12日より蔓延いたしました。そして、さらに追い討ちをかける
ように日本時間の2003年8月19日Nachi ワームは、MS Blastワームが使用するのと同じ脆弱性
を利用して、さらに企業ネットワークに被害をもたらしました。
--------------が、2ch回答者のスキルや処理態勢は上がっているようだw--------------
しかし、sasser 作成者、ちょっと数日タイミングが早すぎた悪寒。
>>824 確かに不謹慎だが日本時間5月5日ぐらいにAが出始めていれば
世界中が平日で蔓延しはじめてそこにゴールデンウイーク開けの
日本が参戦ってことになってた鴨
>>824 数年前だったか
某アンチウィルス会社がゴールデンウィークに引越しして、
アンチウィルスのアップデートが遅れた事があったな
827 :
名無しさん@お腹いっぱい。 :04/05/03 18:15
828 :
名無しさん@お腹いっぱい。 :04/05/03 20:26
ここは鯖管、シスアド、サポセン、その他関係者スレに戻りますた。
>>818 ファイアーウォールで完璧に防御しても、正門から堂々と入ってくるよ
(ノートパソコンで)と、うちの管理者さんも去年嘆いていました・・
今回もまたかな、ハア
感染すると必ず自覚症状が出るなら、話は早いんだけどな。
こいつはどうなんでしょうか。
>>829 故意に感染させた感触では、あらゆるタスクが重くなる。(裏でお盛んだから)
web でつながらないことも起こる。メールも無理でしょ。
それ以外の自覚症状は無し。Windows XP Pro SP1a
FW (PFW) では、侵入は はじくでしょ?
>>830 自覚症状があることに期待します。。
>FW (PFW) では、侵入は はじくでしょ?
外からの侵入は確かにはじくけど、感染ノートパソをLAN内に持ち込まれると
お手上げです。正門から入ってくるというのはそういう意味です。
大学LANでも企業LANでも、去年ノートパソで泣いたところは多いと思います。
832 :
名無しさん@お腹いっぱい。 :04/05/04 02:06
>>832 そーゆーことで、ここに age ないように…
このスレにいるのは、それなりのウォッチをしている香具師なんだから…
とはいっても、「永久懐中電灯」いくらだろ?(w
やっぱり別スレが正解だったか。あっちは最初まで巻き戻してビデオ 見てるような。これがdejavuというのかw 素人さんとニワカ回答者で 獅子てんや瀬戸わんや… ってそんな漫才いなかったっけ。ナツカシ映像みたいので見たような。
>>834 >ニワカ回答者
漏れのことか
カチンときた
ageてやる
836 :
名無しさん@お腹いっぱい。 :04/05/04 04:47
感染したときに強制シャットダウンに入るマシンとそうでないマシンがある? 違いはなんだろ?
今のSASSERはCばっかだな。 CはA,Bを上書きヴァージョンアップするような形でひろまってる感じ。
ばかなw わかりやすすぎるぞそれはw
841 :
名無しさん@お腹いっぱい。 :04/05/06 15:12
http://support.microsoft.com/default.aspx?scid=kb;ja;835732 [MS04-011] Microsoft Windows のセキュリティ修正プログラム
対象製品
マイクロソフトはセキュリティ情報 MS04-011 をリリースしました。このセキュリティ
情報には、ファイルの一覧情報、展開オプションを始め、セキュリティ修正プ
ログラムの関連情報がすべて記載されています。セキュリティ情報の詳細を参
照するには、次のマイクロソフトWeb サイトにアクセスしてください。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp 本セキュリティ更新プログラムのインストール後、次のサポート技術情報に記載されて
いる問題が発生する可能性があります。詳細については、サポート技術情報の
文書番号をクリックしてください。
840997 Adobe Illustrator で作成された拡張メタファイル形式のグラフィック ファイル
(EMF 画像ファイル) が表示されない
841384 Windows NT 4.0 に MS04-011 のセキュリティ修正プログラムをインストールした
後 "STOP 0x00000079" エラー が発生する
841382 MS04-011 のインストール後にコンピュータが応答を停止、ログオン不可、CPU
使用率 100% の現象が発生する
Ntoskrnl.exe ファイルを置き換えるソフトウェア更新プログラムをインストールする際に
発生する可能性のある一般的な問題に関する追加情報については、次のサポー
ト技術情報の文書番号をクリックしてご確認ください。
246507 Windows NT は、 Ntoskrnl.exe についてのエラー メッセージを起動しません。
224526 Windows NT 4.0 がサポートするシステム パーティションは最大 7.8 GB
>>842 一番情報が早くて、説明がわかりやすいのがここになったような。
IPAは情報は遅いは、説明は下手だわ、もうちょっとなんとかすりゃいいのに。
MSやシマンテックやその他も、どう読んでもまともな日本語には思えない。
やっとここまで・・
>>842 ちょっと待ったぁ! 警察庁のレポートと異なる “事案” がある。(w
2. Sasser.D の解析結果
2−1 対象 OS 比較
Windows XP Professional SP1a (元々それがインストールされているマシン)
感染後、リブートしない
>>844 それはサービスのエラー回復の設定によるんでは?
サービス→Security Account Manager (LSASSのサービス名称)
→プロパティ→「回復」タブ
でエラー回復のオプションはどうなってる?
>>845 起動と回復
管理者へ警告を送信する(N) ×
自動的に再起動する(R) ×
エラー報告
◎エラー報告を無効にする(S)
重大なエラーが発生した場合は通知する(N) ×
にしてる〜YO(w ↑ my default settings ↓
ちなみに、Security Account Manager 開始 自動
>>845 Security Account Manager (LSASSのサービス名称)
であるなら、停止 無効 にしていれば、sasser に感染しない? アマイカナ
>>847 LSASS無効はちょっとよくないことが起きそうな。
そのSecurity Account Managerをサービスで開いて
プロパティ…という話
Sasser書いたやつとAgobot書いたやつが捕まったわけだが、 ドイツ警察はこの2人の自供と押収した証拠からSkynet グループの一網打尽を狙っているらしい。2人M$の賞金に 目がくらんだダチ公にチクられた模様。やはり金の力は偉大w
MSBLAST騒動んときによく貼り付けられてた 侵入方法がよく分かる4コマくらいのAAキボンヌ
今日また、某会社の者がメール添付ファイルをクリックして、Bagle.AB をまきちらしたよ。 WORM_BAGLE.AB, W32.Beagle.gen, W32/Bagle, I-Worm.Bagle.z, Win32.Bagle.X メール送信者名を詐称しないようなのね。 それでネットワーク共有に拡散されると… This malware has backdoor capabilities. もう、○ホかと ○カかと…
856 :
名無しさん@お腹いっぱい。 :04/06/01 09:31
>>856 がんばれ!!ゲイツ君 だね 毎週読んでるYO
858 :
名無しさん@お腹いっぱい。 :04/06/03 16:20
>>856 言ってることがTeacup鯖あたりに巣食ってるプロ市民みたいでウザイ。
>>858 それが大量感染していることが今日わかった。
金曜(4日)午後から TCP/445 が妙なところから執拗に来ているので、
なんだろなぁ、と思っていたよ。
ポート445 へのアクセスをするマシンと MS04-011 パッチあててないマシンが
みごとに符合した。
>>861 本日、ウチと関係ありそうな近くの1台の感染マシンを捜索した。
問い合わせなどに強引に7名の協力を得た。
脚立と懐中電灯は使うことはなかったが、該当のマシンを発見した。
Windows XP Pro (SPなし) は、Windows Update は全くせず、アンチウィルスも無し。
みごとなまでに感染していて、ウィルス本体 (Korgo.G) があり、レジストリ改変も確認した。
管理担当者名を確認したので別の担当者に連絡対応をゆだね、今後の対処ぶりを傍観する。
>>862 さらに、独自調査でユーザーを確認できている複数のところへ電話アタック!w
該当者の反応はさまざま… おおむね善処の方向… (あとは海外の対処が課題)
いくつもの攻撃元をつぶしている中、なんと!某 ネットワーク ソリューション の セクション にたどり着く。 本来、細心の注意をはらって作業しているべき セクション が ネットワーク攻撃を行っていたことが発覚! 怒りを通り越して、あきれはててしまいました。ハハハァ <乾いた笑い
>>864 その会社、ダイヤモンド…とかいいませんか?
>>865 ブッブー♪
似たようなところ、多いみたいねw
先週末、自分の“あるアクション”をきっかけに、攻撃マシンの顔ぶれが1日で一変した。 常連攻撃メンバーが消え、新規参戦組が続々と登場しだした。 なにも権限のない「サポート」が、これまでの「結果公表」するだけから、実際に行動を起こしたようだ。 28日午前に半径20メートル以内に新規参戦の1台を検知した。その得られたデータをもとに自分の “嗅覚”で、在る人物に問い合わせをしてみた。 そして、なんと!自分の“あるアクション”を受けて動いてくれたナイスガイがメンテナンスしているマシン が攻撃していたことが確認できた。なにか皮肉な出来事ではある。 ともかく、官僚的な組織の中で、ウイルス攻撃に対応する これまでの定型的なものから、身体を動かす 実践的なものになってきだしているのかもしれない。そう期待したい。
今日は、たくさんのメールがきていました。w ふだんは疾風のように走り回って通り過ぎていくナイスガイらがやってきて、 漏れのもっている情報との照合と確認をするため、わざわざやってきた。 漏れの把握しきれていない情報もあってちょっとアレだったが、こちらの いくつかの情報提供と若干の実際的な対処のアドバイスなどをした。 汗だくになって奮闘している「サポート」に敬意を表したい。
イントラネットの中では、毎日どこかでマシンをリカバリしていることでしょう。 リカバリして、なんの注意もなしに、ネットワークにつなげます。 そして、一瞬にして感染。そうして攻撃マシンと化して参戦。 このパターンが最近の傾向であり、やまりませんとまりません。
それは単に管理者がバカなだけじゃ
いやいや。どこの世界でも「困ったチャン」はいるもので。 勝手にやるな!って言ってんのに、OS再インストールするワ、 リカバリCDを取り上げりゃぁ、いつの間にかCD-Rに複製してるワ、 ワレモノをどっかから拾ってきてインスコするワ。 コイツのやらかすことを「管理者がバカだから」と言われると、涙でるッス。
>>871 > リカバリCDを取り上げりゃぁ、いつの間にかCD-Rに複製してるワ
あ!漏れのことだ。w
ってゆーか、リカバリ領域あるし、リカバリCD-R 作成プログラムあるしぃ
しばらく前から攻撃を続けていた1つのマシンの管理所在を確定した。 管理者曰く「えぇ、IP さえ分かればこっちで対処できますよ。大丈夫っすよ。えぇえぇ」と軽い乗り。 別のもう1つのマシンにロックオンしている。今日、マシン名命名の「謎」が解けた。w
874 :
名無しさん@お腹いっぱい。 :04/07/22 08:51
日記は書かないで下さい
>>873 別の1つのマシンにロックオンしていたけど、別の香具師に先を越されてしまった。w
さらに別のところへ直電話したら、担当者不在とのこと。伝言をメモさせておいた。
翌日、担当者から「駆除完了」の報告あり。【駆除】と称す時点でアレだが…
また来週が楽しみである。
某日、前日と うってかわって、朝からまことに賑やかになっていました。 某「情報技術」関連のいくつものところからアクセスがあるので、狙いを定めてから 御指摘をしまくりさせていただきますた。 それはそうと、まじヤバイのを見つけてしまいますたよ。w ワームによる執拗なアクセスがあるので、いろいろ調べてみたら、あーら たいへん! 自分の給料やローン返済のことだけでなく、違法 mp3 ファイルがてんこもりで公開状態! しばらくしてマシン名を変更したようだけど、こっちはロックオンしているから意味なし。 日が変わってから、そのマシンは「地下潜航」したもよう。w 「浮上」の日があるならば、またお会いしましょう。
昨日も、某ネットワーク専門家集団などから、やたらめったらのアクセス。 専門家集団の方たちは、いったい何をやっていらっしゃるのでしょうか?w そこに某人事関係の若い方がいらっしゃっていたので、サポートされているかと 勘違いしそうになりますた。w
保守
本日、対外的に非常に重要なある組織のトップのマシンからアタックが複数回来ていた。 こっちは夕方には帰ったけど、そのマシンはユーザーの彼が電源を切るまで続いているだろう。 感染してバックドアを開けられているだろうに、組織には危機管理意識が無いようだ。
某トップは、攻撃の様子から判断すると、2日に1回程度で昼過ぎの出社の優雅さ。 「株式会社」としてまことにアブナイので、今回は特別に正式の「アタック攻撃報告」をした。 報告をしても依然として攻撃があったが、しばらくして攻撃がおさまった。 知っていることが多いのだが最低限の情報で報告した。サポートは攻撃元確定できて対応したのかな?w
アタック攻撃!!! 頭が頭痛になってきた...
883 :
名無しさん@お腹いっぱい。 :04/08/25 11:47
「アタック」という洗剤を使って攻撃するんだろう
アタタタ、アタック (意味不明) もぐら叩いているようで、しばらくおさまったんだけど、 またアタックいぱーい キタ━━━━━━(゚∀゚)━━━━━━ !!!!!
アタックがだんだん増えてきている… また某情報関係の今度は統括課長が攻撃していた。 某情報関係は「ウィルス攻撃機関」に名称変更した方がよさそうだ。
>>885 某アタック統括課長、日があけて確認したら、なんと!リカバリしちゃった模様!!
某情報関係だからと、自力対処をゆだねたけど…
ほんの10分ほどで対処できるのに、もすこしサポートした方がよかったかな?w
ここは日記スレになったんですか?
今日は、めずらしく皆無かと見ていたが、また某情報関係から1発 キタ━(゚∀゚)━ !
889 :
名無しさん@お腹いっぱい。 :04/09/14 10:06:33
ここは日記スレになったんですか?
またムクムクと複数マシンからアタックがキテいます。 某マシンから特異な TCP/445 UDP/161 TCP/139 ICMP もキテいます。w
某情報関係もチラホラありますが、だんぜん新規参戦組が幅を利かせてきています。 マシンの所在や所属もユーザー氏名も確定できたものもありますが、かったるい ので、アタックログに記載するだけにします。w
9月24日(金) 曇のち雨 休みと休みのあいだなので、人少ないです。 4つのところからアタックありました。 2つは、昼過ぎにおさまりました。(半ドンかな?) 1つは、何度か直電したら別の人が出て「今日は会社休みです」と。 パソコンみんな終夜通電なのかな? 自動感染/自動攻撃だね。 対処依頼後、約20分でネットワーク切り離し確認。(もつかれぇ) 最後の1つは、さかんに某「啓蒙活動」をしている本拠地。 直電直後にネットワーク切り離し確認。 5時間たってもネットワーク切り離しのまま。どうしたのかな?
いまだに攻撃が、いろいろなところから入れ替わり立ち代り、あるのだが、 長期間オッチしていると、特徴的なことが1つある。 仮説:感染マシン同士で『同期』をとっているような状況がしばしばある。 データがまだ少ないので、その有意なデータにはなりえない。 今後のさまざまな状況のデータにより、仮説が実証できるかどうかが分かるだろう。
10月6日(秋晴れ) またまたまた、いっぱい来ていました。帰りがけにも、新規が… 某情報関係から、また来たので、また直電。w 「またボクですか?なんでなんで?」とかのよまいごと返答w 「いや、前回のとき、たまたま DHCP で IP がお隣で、連絡後うまく対応されたのでねw」
895 :
名無しさん@お腹いっぱい。 :04/10/07 08:41:20
よく分からないのでageますね
10月12日(曇りのち雨) 某営業部門のユーザーが特定できたので、直電。 「ウィルス対策ソフトは?」 「10月に配属されたばかりで、これから入れようと…」 「ほんの少しの時間で速攻で『駆除』する用意がありますが?」 「いま呼ばれているので、こちらでやります。」 (飛ばされたんだな ボソ ガンガレヨ)
10月19日(雨) なんだかよく分かりませんが、まだまだ各方面からキテいます。 かなり“短命”になりまして、たいがい半日ていどでしょうか?w アジアン系がキモでしょうか?w
898 :
名無しさん@お腹いっぱい。 :04/10/20 08:59:59
日記ウザイ
10月28日(晴れ) このところ、こちらに攻撃がありますが、こちらからのスキャンツールをブロックする事例が いくつかあります。 感染したまま、Windows XP の “Windows ファイアウォール” 有効 にしているような感触です。
900 :
名無しさん@お腹いっぱい。 :04/10/29 00:01:05
シャットダウンを止めるにはどうすればいいんですか? セーフモードで立ち上げてから何をすればいいか、わからないです。 os win2000 通常で立ち上げると、シャットダウンを止める前に再起動してしまいます。
>>900 パソコン店で「ブロードバンドルーター」という機器を購入してつなぎましょう。
バッファローとかの安いのでいいでしょう。
リカバリしてから、Windows Update の「重要な更新」だけをおこないしましょう。
902 :
900 :04/10/29 19:06:33
>>901 ルーターつないでいます。
ノートパソコンなので、できれば再インストールせずにウィルスを駆除したいと思っています。
なので、とりあえず、あのカウントダウンが止まれば対処のしようが出てくるので
そのカウントダウンを止めたいのです。再インストールは最終手段と思ってます。
幾つかあった停止させる方法を試したのですが、その前に再起動したり
目的の項目が見つからなかったりしてうまくいきません。試したものは、
タスクマネージャのプロセスから、msblaster teekids penis32を停止させる。←見つからない。
ファイル名を指定して実行 「shutdown-a」←×印がでてパスが何たらかんたら・・・がでます。
コントロールパネル→管理ツール→サービス→Remote Procedure Call→回復タブ ←間に合いません。
11月2日(曇り) 29日午後からの世間を騒がせたワームメールが届いていましたが、添付ファイルは空っぽ。 しかし、某所の ML からデコードしてゲット。新種のコレクションにしますた。w 2日には、また新たなところから攻撃がきていて、2つのマシンのユーザーを特定できました。 1つは某製造系で、いろいろなルートで直電しても「話中」が続くため、コンタクト断念。 2つ目は某販売系で、いろいろ直電ルートを試み、やっとユーザー本人に接続。 この某セクションは、寒気がするほどのものすごいことを平気でやってのけていた履歴あり。 来年度には法施行がありますし、またものすごいことにならないよう切に願っています。
904 :
名無しさん@お腹いっぱい。 :04/11/04 00:44:06
>>902 もう遅いと思うけど、
LANケーブルをはずして起動する。
>>904 すでに感染している win2000 では、ケーブルはずしても同じような希ガス
11月11日(曇りのち小雨) やぁ、連日すごいです アクセスログ記録が楽しみですw 海外からのは、ネットワークサポートは手が出せないのかな?
907 :
名無しさん@お腹いっぱい。 :04/11/12 08:27:31
良スレage
908 :
初心者 :04/11/13 21:33:47
先週会社がwin2000が感染してしまいました OSをSP2からSP4にupして ブラスターをノートンで駆除しました これでもまだ不十分でしょうか? どなたかご指導願います
>>908 windows updateで重要なパッチを当てる
はい (ノД`)
913 :
名無しさん@お腹いっぱい。 :04/11/15 08:22:52
良スレage
飛び石連休で、人少な杉ではありますが、強烈に来ていますw やはり、国内のあそことあそこ、そして海外のサイトをぶっつぶさナイト…
915 :
名無しさん@お腹いっぱい。 :04/11/29 15:57:24
良スレage
あぼーん
あぼーん ケテーイ! ↑
918 :
名無しさん@お腹いっぱい。 :04/12/03 12:05:51
Part2も欲しいね。ときどきこのスレを見るのが習慣になってしまった。
12月3日(金)晴れのち曇り 今日は、とっても多い日でした。9ヵ所からありました。 アクセスログから攻撃元の調査と記録をするのに、てんてこまいですた。 先日、ヤマダ電機の PC買取⇒そのまま中古売り 事件が 某memo にでていました。 近所の金属ごみの日に、ピカピカ 新しめの HDD が捨ててありました。 「もったいないなぁ」と拾ってあげたら、ANTINNY がいっぱい入っていました。w
12月6日(月)晴れ 先月から継続してアタックしているマシンについて、できるかぎり調査をしましたが、 ユーザーを特定できない(共用マシンのもような)ので、某サポートに丸投げしますた。
12月13日(月)曇り 流星群が見えず… 先月からの某アタックの件、某サポートに丸投げして24時間以内に、やっと止まりました。 某サポートには、通りがてら、お礼の一言を寄せました。 Thanks
相変わらず日本語変だね・・・変な人なんだろうな〜
923 :
名無しさん@お腹いっぱい。 :04/12/14 08:53:23
え?人間だったの?
(・∀・)ニヤニヤ
1月6日(木)曇り一時小雨 謹賀新年 あけおめことよろ 昨年12月のある日から、すさまじいトラフィックだったのがパタッと消えて、 新年になりましたが、やはり複数箇所からアタックがありました。 まだまだポコポコでてきそうですね。
1月18日(晴れのち曇り) やっぱり予想通り、ポコポコでてきています。 販売系生産系そして外国語系が、今後も しぶとく活動していくでしょう。
2月2日(水)晴れ ポコポコありますが、一発ネタが多いですね。 自宅個人持ちPCは、いきなり内部ネットにつながないようにしましょう。 サポート系方面からも散見されますので、周知徹底をお願いしたいところです。
まだアタックが止まらないのかなぁ
まだガンガンきています
3月4日(金)雪のち曇り ある3つの所から、3種類の妙なアクセスがあります。 某サポート系のところから、リカバリしたてのマシンをいきなり接続しているようで、 即感染&攻撃がきていました。こまったものです。
なんかまた、イントラネットで妙なアクセスがあり、気にしています。w
この前の日、海外の1台のPCからものすごいアクセスがありましたよ。 漏れのへたれ英語メッセージを送ったら、ピタッと止まりました。w
その技術 数百億で売れるぜ
妙なアクセスあり枡w ⇒ port 12345, 54321
937 :
名無しさん@お腹いっぱい。 :2005/04/16(土) 15:21:38
ウィルス感染のアクセスのほかに、バースト状ブラウズやら探査と思わしきアクセスあり。w 話題の“価格com”の内部的惨状は、他山の石と傍観している場合ではないような…
いや、ageなくていいからw
>>940 > 他山の石と傍観 × → 対岸の火事と傍観 ○
カカクコムの事件を他山の石としていっそう注意深く対策していく。 ○
test
947 :
名無しさん@お腹いっぱい。 :2005/08/20(土) 12:18:50
うん。
949 :
名無しさん@お腹いっぱい。 :2005/09/28(水) 04:59:23
あげ
今見たら C:\WINDOWS\system32\wins というフォルダがあったんですが、 このフォルダは、デフォルトであるものなんですか? フォルダの中身は殻でした。 作成日時 2003年1月8日、7:04:54 WinXPsp1
知り合いがこないだ初めてネットにつないだんですが ネットつないだと同時にパソコンが再起動してしまうようなのです。 つながない状態だと重いんですが一応 使用できるみたいです。それと終了させようとすると、 ウインドウ・ステーションなんたらかんたら初期化に失敗し ましたと出てしまうみたいです。 ここに書いてあるMSBLAST.EXEのたぐいはタクスマネージャー にはないみたいです。 ノートンのウイルスソフトでスキャンさせれば解決するトラブル なのでしょうか? すいません、頼られたのですが、自分の方も素人なので困って います。よろしくお願いします。
>>952 亜種
リカバリ→セキュリティソフトインストール→ネット接続→ウィンドウズアップデート
954 :
名無しさん@お腹いっぱい。 :2005/10/24(月) 09:47:17
>>953 返答ありがとうございます。
ということは、普通のウイルススキャンでは厳しい
ということですね。
TCP/445 まだ たまにあるの(PCリカバリ直後)でage スレがまだあったのに カンゲキ!
956 :
名無しさん@お腹いっぱい。 :2006/10/08(日) 12:59:54
RPCなんたらで再起動され、ネットにもなかなか繋がらないのにタスクマネージャー見てもそれらしいファイルが見つからないから駆除できない どうすればいい?
957 :
名無しさん@お腹いっぱい。 :2006/10/09(月) 19:43:41
今だに感染者がいるみたいだな
958 :
名無しさん@お腹いっぱい。 :2006/12/12(火) 22:51:03
【UDP/54321 大量】 今日とつぜん妙なトラフィックが、大量に他の特定のマシンにありました。 ググると、 54321 (UDP) Back Orifice 2000 としか出ないのですが、なにかほかの情報はありませんか?
他の情報も何もそれが全てだろ。 そういう名前の超有名なトロイが存在するんだよ。
ここに来ると懐かしい君に逢える…
963 :
名無しさん@お腹いっぱい。 :2007/05/02(水) 21:35:12
windowsNT4.0 サービスパック6aなんですが 起動して1分で再起動を繰り返してしまい困り果てています。 色々対策を講じているのですが、シャットダウンの時間を長くすることはできますか? お願いします。
えらく懐かしいスレだな、おい
965 :
名無しさん@お腹いっぱい。 :2007/05/02(水) 21:40:40
助けてください〜><
967 :
名無しさん@お腹いっぱい。 :2007/05/28(月) 15:44:01
症状:最初はreal playerを使用すると勝手に再起動してしまう程度だったんですが 最近ではインターネットにつないだときにも再起動してしまいます 一応わからないなりに調べてみて対処しようとしたのですが タスクマネージャーを開いてもプロセスという項目が出てきません また、ネットワークケーブルをはずしてセーフモード?で起動しても再起動が起こってしまいます 解決するにはどうすればいいでしょうか? よろしくお願いします
968 :
名無しさん@お腹いっぱい。 :2007/05/28(月) 17:10:35
丸出し
969 :
名無しさん@お腹いっぱい。 :2007/05/30(水) 23:59:38
埋め
相変わらずSasserがくる
Blasterスレは不滅だ!
ume
973
974
975
976
977
978
979
980
981
982
983
984
985
986
987
988
989
990
991
992
993
千の時を越えて
ブロッカー軍団IVマシーンブラスター
996
997
998
999
994
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。