sasser【スタコラサッサ】sasser Part1
1 :
名無しさん@お腹いっぱい。 :
04/05/03 17:33
2 :
名無しさん@お腹いっぱい。 :04/05/03 17:34
3 :
名無しさん@お腹いっぱい。 :04/05/03 17:34
【Winアップデートがワケワカメの人、まずファイアーウォール入れましょう】
Q Windowsのアップデート全然やってなかったんで…なんだかたくさん
あって、ワカワカメでつ…(泣
A 脆弱性(ぜいじゃくせいw)のあるパソコンをネットにつなぐとパッチをダウン
してる間にウィルスに感染しちゃう鴨です。まずファイアウォール入れてから
ゆっくりWindowsのアップデートしましょう。
Q ファイアーウォールって何?
A ファイアーウォール(FW)はデータ通路の玄関(port)の警備員みたい
なものです。通行許可証のない人(データ)を通さないようにします。
Q ファイアウォールでさっさーが防げるんですか?
A 防げます。「LSAというプログラムをインターネットに接続していいですか」
みたいなことをファイアウォールが尋ねてきますから「ダメ」とボタン押せばOK
Q ファイアーウォール入れてれば絶対安全?
A 可能性は少ないですが、OSがネットに接続してからFWソフトが立ち上がるまで
のわずかなスキに侵入される可能性があります。修正パッチ当てる前のOSを
立ち上げるときはケーブルを抜くか、モデムの電源を落としておけば安心。
Q 無料のファイアウォールってどうなのよ? ちゃんと役に立つ?
A 定番はZone Alarm、 Outpost、Kerioなどの製品。有料版もありますがフリー版
で機能は十分です。詳しいことは専用スレで。「Outpost まとめサイト」がファイア
ウォール関係の解説わかり易いです。他のFW使う場合でも見ておくといいです。
Agnitum Outpost Firewall part15
http://pc3.2ch.net/test/read.cgi/sec/1079512402/ ZoneAlarm Part19
http://pc3.2ch.net/test/read.cgi/sec/1081594360/ ☆彡Kerio Personal Firewall 2.1.5 Rule 14☆彡
http://pc3.2ch.net/test/read.cgi/sec/1075173212/ Outpost 2ch まとめサイト
http://www.geocities.jp/outpost_2ch/
5 :
名無しさん@お腹いっぱい。 :04/05/03 17:34
6 :
名無しさん@お腹いっぱい。 :04/05/03 17:35
7 :
名無しさん@お腹いっぱい。 :04/05/03 17:36
sasserなんぞスタコラコサッサと駆除しよう!
8 :
名無しさん@お腹いっぱい。 :04/05/03 17:37
>>6 の手順では、3以降で再度感染する可能性があるので推奨できない
10 :
名無しさん@お腹いっぱい。 :04/05/03 17:39
パッチ充ててルータ入れてりゃモーマンタイ!
11 :
名無しさん@お腹いっぱい。 :04/05/03 17:40
久し振りにルーターのログみたらソゴカタ。 445番君へ一杯プレゼントが来てた。
>>1 スレ立て、乙
16 :
名無しさん@お腹いっぱい。 :04/05/03 18:00
昨日、ブラスター用パッチ4個だけ落として OSの再インストールしたけど、何故か感染してないっぽい。。。 XPFWをONしてからアップデートしに行ったから助かったのかな?
いちおう向こうに合流呼びかけておいたが…
> XPの香具師はとにかく最初にXPのファイアウォール機能を有効にしろ。
これは有効なんじゃ?
>>6 の2)と3)の間に入れたらどうでしょう?
20 :
名無しさん@お腹いっぱい。 :04/05/03 18:15
ZoneAlarmいれてるけど、XP付属のFW切り設定で大丈夫かな? FWあるから重複不具合起こるような気が・・
21 :
名無しさん@お腹いっぱい。 :04/05/03 18:16
>>1 乙。つか2ちゃんめちゃ重いんだけど・・・これのせい?
>>20 アンチウイルスソフト入れてZA有効だったら
XPのFWは切った方がいい
23 :
名無しさん@お腹いっぱい。 :04/05/03 18:21
ようやくというか yahooのトップページ のトピックス欄にsasser
【SASSER FAQ XP付属ファイアウォール編】 Q Windows XPの付属ファイアウォールは有効ですか? A Windows XPのファイアウォールはウィールスが入り込むポート (TCPポート445、他)を閉じるのに有効です。ただし、このファイア ウォールはデフォルトでは無効になってます。 【FWを有効にする手順】 コントロールパネル→ネットワークとインターネット接続→普段使っている 接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→ 「コンピュータとネットワークを保護する」にチェックを入れる Q XPの「ネットワークの接続」がみつかんないよー? A 以下の方法も試してください。 スタート→設定→ネットワーク接続 スタート→接続→全ての接続の表示 スタート→マイネットワーク→ネットワーク接続を表示 Q XPのファイアウォールで十分ですか? A XPのおまけFWは外から中へ(inbound)の侵入は防ぎますが、いったん 感染してしまうと中から外へ(outbound)ウィールスをばら撒くのをチェック できません。Zone Alarm、Outpostなど中から外もチェックする製品を 入れておきましょう。 Q FWはいくつも動作させるとダメですか? A ダメです。XPのFWは無効にしておくだけでいいですが、 NISやVBの付属FW、ZA、Outpostのような専用アプリのFW同士は インストしてあるだけで完全に喧嘩しますから注意。
どうりでここ数日TCP 445のアクセスが多いと思ったらこれか。
27 :
Worm_Sasser対策班 :04/05/03 18:36
・Safe Mode 起動方法: Safe Modeで起動するには、以下の手順を実行します。 @コンピュータの電源投入後、コンピュータ製造元のロゴや BIOS の起動画面が 表示されたらキーボード上の[F8]キーを何度か押します。 AWindows(OSが2000の場合 Windows2000) 拡張オプション メニュー が表示されます。 B方向キー(↑/↓)を使用して「セーフモード」を選択し、Enter キーを押します。 続いてOSの選択画面が表示される場合は、Safe Mode で起動したいOSを選択してください。 CWindows2000の場合:「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。 [OK]ボタンをクリックすると、Safe Mode で起動します。 以上で完了です。 WindowsXPの場合:ユーザを選択する画面が表示されたら、ログオンするユーザをクリックで選択し、 画面上の[→]をクリックします。 「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。 [OK]ボタンをクリックすると、Safe Mode で起動します。 ログオン後、「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。 [OK]ボタンをクリックすると、Safe Mode で起動します。 以上で完了です。 注意: ・手順@のタイミングで、[F8]キーを押すタイミングが遅れた場合や早すぎる場合、 Windowsは通常起動します。その場合は、手順1からやり直してください。 ・セーフモードでは、色数や解像度など画面の表示が通常とは異なります。 また、USBマウスなど一部の接続機器が使用できなくなります。 ・マウスが動作しない場合は、キーボードにて操作をおこなってください。 この場合は Administrator を選択してください。 ・NEC機などコンピュータによってはメニューが日本語表示されます。 ・機種によりSafe Mode(セーフモード)の起動方法が異なる場合があります。 上記方法により起動できない場合はコンピュータ製造元へお問合せください。 ・ログオン画面を表示する設定にしている場合は、手順4の前にWindows ログオン画面が表示されます。(Windows2000の場合)
ルーターのログ見たら TCP2745 が異様なほど(ry 445は異常なし
Outpostのログみたら、TCP445が3分おきに・・・
32 :
名無しさん@お腹いっぱい。 :04/05/03 18:52
感染したら、スタコラサッサと駆除せんかい!
33 :
名無しさん@お腹いっぱい。 :04/05/03 18:52
>>31 ZoneAlarmだけど不正アクセスは0だよ。CATVだから向こうのルーターで規制してくれてるのかな?
うちもCATVでつ。445のポートスキャンが1時間で15件ってォィ
35 :
名無しさん@お腹いっぱい。 :04/05/03 19:03
>>28 漏れも見てみたら結構来てた。
IP確認すると全国のOCNユーザーがわんさか来てるんだが
ISPなんてどこでも関係無いよなー?
445の数が爆発してる。こらすげーわ。 ・・・ツレが感染してやがるし。 修復頼むような状況になる前に対策ちゃんと取れとあれほど言ってたのに。 放置するか。 そういうわけにもいかんよな。 連休小旅行がワーム駆除旅行になるとは。
445は普段でも来るからあまり実感湧かない
そんな事より1よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。 このあいだ、近所のTCP445行ったんです。TCP445。 そしたらなんかパケットがめちゃくちゃいっぱいで入れないんです。 で、よく見たらなんか垂れ幕下がってて、W32.Sasser.Worm、とか書いてあるんです。 もうね、アホかと。馬鹿かと。 お前らな、W32.Sasser.Worm如きで普段来てないTCP445に来てんじゃねーよ、ボケが。 MS04-011だよ、MS04-011。 なんかTCP135に来てるのもいるし。年度が変わってもいまだにBLASTERか。おめでてーな。 よーしパパRPCサービス以上終了しちゃうぞー、とか言ってるの。もう見てらんない。 お前らな、FIX_BLAST.EXEやるからポート空けろと。 ネットワークポートってのはな、もっと殺伐としてるべきなんだよ。 スイッチングハブの並びに繋がった奴といつコンフリクトが始まってもおかしくない、 落とすか落とされるか、そんな雰囲気がいいんじゃねーか。マカーは、すっこんでろ。 で、やっと入れかと思ったら、隣の奴が、XP標準のFWで、とか言ってるんです。 そこでまたぶち切れですよ。 あのな、XP標準のFWなんてきょうび流行んねーんだよ。ボケが。 得意げな顔して何が、XP標準のFWで、だ。 お前は本当にXP標準のFWを使いたいのかと問いたい。問い詰めたい。小1時間問い詰めたい。 お前、XP標準のFWって言いたいだけちゃうんかと。 ネットワーク通の俺から言わせてもらえば今、ネットワーク通の間での最新流行はやっぱり、 ポート全開放、これだね。 ポート全開放かつセキュリティソフトアンインスコ。これが通の頼み方。 ポート全開放ってのはポートが多めに開いてる。そん代わりセキュリティが甘め。これ。 で、それにセキュリティソフトアンイスコ(シマンテック)。これ最強。 しかしこれを実行すると次からスーパーハカーにマークされるという危険も伴う、諸刃の剣。 素人にはお薦め出来ない。 まあお前、1は、ウイルスバスター2004でも入れてなさいってこった。
初心者のためのWORM_SASSER(A.B.C)への対処法
・手動削除手順:
以下の手順を実行してください。
@セーフモードで起動します。
⇒WindowsをSafe Mode(セーフモード)で起動する方法 本スレの
>>27 又は、下記URLから。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2227 Aウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ウィンドウズ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動
以下のレジストリの値を削除してください。
[WORM_SASSER.A B C] 場所: KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[WORM_SASSER.A] 値: avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 値: avserve.exe = <Windowsフォルダ>\avserve2.exe
[WORM_SASSER.C] 値: avserve2.exe = "%Windows%\avserve2.exe"
※ファイアウォールなどの機能を導入していない方は再感染を防ぐためにWindows XPの付属ファイアウォールを有効にしてください。
詳しくは
>>24 を参照のこと。
Bコンピュータを再起動し、通常モードで起動します。
http://www.trendmicro.co.jp/hcall/index.asp オンラインスキャンで ウイルス検索を実行してください。
「WORM_SASSER.A(又は.B C)として検出されたファイルはすべて削除してください。
CWindows検索(先述のスタートボタン→検索 で起動)を使って次のフォルダ検索し、削除します。
[WORM_SASSER.A]の場合「kazaabackupfiles」
[WORM_SASSER.B]の場合「WIN.LOG」
[WORM_SASSER.C]の場合「WIN.LOG」「WIN2.LOG」
註:WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、 [WindowsNT/2000の場合]、システムフォルダ= C:\WinNT\System32 [WindowsXP の場合]、システムフォルダ= C:\Windows\System32 です。
Dセキュリティホール修正パッチを導入
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
41 :
名無しさん@お腹いっぱい。 :04/05/03 19:57
インターネットに接続したところ、どのサイトを開いてもページが表示できませんと 出てしまうのですが、sasserに感染しているのでしょうか?
43 :
名無しさん@お腹いっぱい。 :04/05/03 20:06
44 :
名無しさん@お腹いっぱい。 :04/05/03 20:09
>>34 一時間で15件って少ないだろ
前に80数回されたことあった。
もちろん被害届けだしたけどな
>>44 どうもありがとうございます。よく読んで研究してみます。
47 :
名無しさん@お腹いっぱい。 :04/05/03 20:12
金鳥サッサ キタ━━━━━━━━━━━━━!!!! ルーターで弾いてましたが
48 :
名無しさん@お腹いっぱい。 :04/05/03 20:18
うちのシステムにはport1025へ半日で4000から5000ぐらい着てます 皆さんのport1025は大丈夫ですかぁ?
49 :
名無しさん@お腹いっぱい。 :04/05/03 20:19
sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の ことでしょうか あと自分のパソコンが64ビットでないか否かはどこで調べられるでしょうか 教えてください
50 :
名無しさん@お腹いっぱい。 :04/05/03 20:21
>>48 私んとこはアクセス0です 逆に心配に・・・
CATVだからルータないし。。
>>49 > sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の
> ことでしょうか
その通り。
> あと自分のパソコンが64ビットでないか否かはどこで調べられるでしょうか
> 教えてください
調べるまでも無く貴方のWindowsは63ビットじゃないです。
100パーセント断言できます。
×63ビット ○64ビット
54 :
名無しさん@お腹いっぱい。 :04/05/03 20:25
>>49 MS04-011=835732ですよ。KBつくのかわからんけどたぶんね。
64BitでOSのことかニャ? そうであればマイコンピュータを右クリックでプロパティでわかると思いますけど。
http://www.isskk.co.jp/security_center/169/solution.html 思い起こせば 昨年の夏・・・ あの教訓をいかそう!
2003年7月16日(日本時間)
X-Forceセキュリティアラート「Microsoft Windows での RPC 実装の不具合」
思い起こせば昨年の夏・・・日本はちょうどお盆の時期。2003年7月16日、「Microsoft Windows
での RPC 実装の不具合」が発表され、この発表の約1ヵ月後、この脆弱性をついたMS Blast
ワームが、日本時間の2003年8月12日より蔓延いたしました。そして、さらに追い討ちをかける
ように日本時間の2003年8月19日Nachi ワームは、MS Blastワームが使用するのと同じ脆弱性
を利用して、さらに企業ネットワークに被害をもたらしました。…
>>48 TCP1025も監視対象に入れてるけど
カウント0
>>54 KBがついていなかったのでもし違っていたらと思い質問しました
OSの確認の仕方の方法どうもありがとうございます
58 :
名無しさん@お腹いっぱい。 :04/05/03 20:29
2745に来るのはBagleかな。
ポート閉じるのはリモート、ローカル両方閉じたほうがいいのかな
61 :
名無しさん@お腹いっぱい。 :04/05/03 20:32
>>56 @policeでは警告が出てます。
うちのシステムでは、異常に増えたのが4月27日でした。
最初は、ほとんど ぷらら の顧客でしたが、
最近はアジア全域から着てます。
1025、2745、6129、3127番のスキャンがやっと家にも来だしたよ。 でも、ルータのデフォルトルールが弾いてる。 最近のルータは良いね。
>>58 2745にはバンバン来てるけど、
パケットフィルタの前にFWで弾いてるかも
>>62 バッファローWHR2-G54
デフォで弾いてくれてる。
(・∀・)イイ!!
ルーターって WAN→FW→パケットフィルタ→LAN ってことかな?
66 :
名無しさん@お腹いっぱい。 :04/05/03 20:39
port1025へ一度だけ弾くやつのIPは、ほとんど 第一オクテットが 220 です。 (俺の場合はne)
67 :
名無しさん@お腹いっぱい。 :04/05/03 20:43
今のトコ塞ぐポートは445のみでおけ?
漏れの場合 TCP1025 TCP135-137 TCP2745 TCP6129 TCP5554 TCP9996 TCP445 UDP4000
道理で似たようなIPばっかりくるかと思ったら
71 :
名無しさん@お腹いっぱい。 :04/05/03 20:51
>>69 多分自分と同じ第一オクテットに対してスキャンすると思われる
>>68 漏れは
113
135-139
445
1025-1027
5000
5554と9996は今回のため?
>>72 一応。感染しても他人に迷惑かけんように
その2つはINもOUTも閉じたよ
74 :
名無しさん@お腹いっぱい。 :04/05/03 21:00
1-1025 これでモウマンタイ
75 :
名無しさん@お腹いっぱい。 :04/05/03 21:00
ニュース読んで電源入れるの恐いんですが ブロードバンドルータ噛ませていて ウイルスバスターの定義ファイルは先月末更新 Windows Updateは4月中旬の「重要な更新」をアップデート これだけやってれば大丈夫ですかね。 ウイルスバスターのFWはブロードバンドルーターモード(つまり最低) WindowsXP HEのFWはOFFにしています。
>>75 ルーターが入っているならNATで何かやっていない限り
外からは届かないので大丈夫と思われ
>>75 先月末だったらダメだろボケ
頭弱いのか?
80 :
名無しさん@お腹いっぱい。 :04/05/03 21:05
>>75 電源入れるのが怖いのに、2ちゃんにはカキコ
阿部のホームランを弾くにはどうしたらいいでしょうか
ウイルスバスターの定義ファイルは先月末更新 ウイルスバスターの定義ファイルは先月末更新 ウイルスバスターの定義ファイルは先月末更新 ウイルスバスターの定義ファイルは先月末更新 今日も更新がありました。最新パターンファイルは1.833.00
>>79 5月に入ってからPC使う機会がなかったためです。
あくまで条件の一つとして挙げました。
ブロックのためのすべての条件を満たすつもりはないので。
>>85 念には念を入れないでどうするんだ?
完璧なものなんて無いんだぜ?
87 :
名無しさん@お腹いっぱい。 :04/05/03 21:11
結局のところ今回もポート445なんだろ。 いいかげんF/Wでブロックしろよ。
>>75 ルーター(警備員)かましてても、ポート閉めるの忘れてたら(警備員が仕事してなかったら)意味ない
80以外すべてブロックが最強だな
>>86 十分条件より今回伺いたいのは必要条件なので。
具体的には4月中旬までのWindows Updateで
今回のパッチがあてられてるかを伺えれば確信は持てます。
今からウイルスバスターをアップデートしてもその前に回線つながってしまうので
そこまでの十分条件を満たすつもりはないのです。
92 :
名無しさん@お腹いっぱい。 :04/05/03 21:17
>>75 必要条件なら、ネットに接続せずにPCを立ち上げて
IPSEC Policy Agentサービスを無効に設定しろ。
lsasさえ動作拒否しとけば安全だ。
TCP ポート 445 ブロックしてればいじゃん
>>91 それだとケーブルを挿した後に侵入を防げるのですか?
96 :
名無しさん@お腹いっぱい。 :04/05/03 21:21
>>93 >75はF/Wやポートブロック、ルータのフィルタ機能などに
まったく無知な人間と思います。
97 :
名無しさん@お腹いっぱい。 :04/05/03 21:26
なんかどさくさにまぎれてやばげなポートまとめてスキャンしてくるやつがいる。 全く同じ時間に同じIPから6つまとめてとばしてきやがった。 なに考えてんだ?
(´∀`)心配性だなぁ
100 :
名無しさん@お腹いっぱい。 :04/05/03 21:27
>>96 MacからルータのFWをいじる権限がないんですよ。
ついでに我が家のWindowsマシンも自分の使っているものではないので
(有り体に言うとNTベースのWinの使い方を知りません。マカーなので)
XPのFWがオフになっていることしか知りません。
その他の内々の事情で上の対策をとる権利が自分にはないのです。
今回特に伺いたいのは4月中旬配布までのWindows Update(重要な更新)が
今回のウイルスに対応されているものなのかどうかってことです。
>>101 >今回特に伺いたいのは4月中旬配布までのWindows Update(重要な更新)が
>今回のウイルスに対応されているものなのかどうかってことです。
このスレ全部読み返せ
MS04-011
104 :
名無しさん@お腹いっぱい。 :04/05/03 21:30
>>101 四月中旬なんて抽象的に表現では何とも言えんよ。
PC立ち上げてMS04-11(KB835732)がインストールされている
されてることを確認しろ。
もちろんネットへの接続ケーブルは外した状態でだ。
>>102 今、読みかえしました。そのうえで伺いますが
(MS04-011)の更新日付はいつですか?
当方のMac用ブラウザではWindows Updateのページを
ActiveX非対応の関係で開けず確認できないんですよ。
>>106 ありがとうございます。質問がまわりくどくなりすみませんでした。
108 :
名無しさん@お腹いっぱい。 :04/05/03 21:35
>>105 2004年4月30日更新。
ちなみに登録日は2004年4月14日。
ちなみに2004/04/12(PST)は 修正パッチの登録日
ありがとうございます。Mac経由でパッチを転送します。
112 :
名無しさん@お腹いっぱい。 :04/05/03 21:39
MS04-11って糞パッチだってMS自身が認めたパッチだろ
113 :
名無しさん@お腹いっぱい。 :04/05/03 21:40
知り合いが勝手にシャットダウンするウィルスに感染したらしいけど どっちだろ?今時ブラスタはあり得ないよね? 問題が発生しましたみたいな内容がでてカウントダウン後に落ちるらしい 感染に気付いたのが1日の夜らしい タスクマネの開き方すらわからない厨房だから情報少なすぎ 駆除を麦酒一本で手を打つ俺は安すぎ…orz
115 :
名無しさん@お腹いっぱい。 :04/05/03 21:41
パッチ修正中ってことをWin板で聞いたぞ
Keywords:kbBug kbfix kbQFE kbWin2000preSP5fix KB841382 > kbWin2000preSP5fix はぁ?まさか地雷パッチ329170のようにSP5まで直す気は無いということなのかな。
118 :
名無しさん@お腹いっぱい。 :04/05/03 21:43
>>75 windows 使ってるやつに確認させるのが確実ではないでしょうか?
windowsのupdateとルーターの機能とは関係ないしW
MS04-011が適用されてるか確認する方法。 NetMeeting のバージョン番号が 3.01 (4.4.3399) となっている場合、 修正プログラムは正しくインストールされています。
>>117 SP4が出た後のパッチはSP5として出る
同じMacユーザーとして言おう >75氏ね
>>121 うpだてしたらあげるスレか
失敗したら上げるスレだったはず
125 :
名無しさん@お腹いっぱい。 :04/05/03 21:48
>>117 はKeywords(MSの情報検索用キーワード)の意味を全く理解していない
128 :
名無しさん@お腹いっぱい。 :04/05/03 21:52
>>126 まったく理解していないというのは言い過ぎ
preSP5の意味がわからなかっただけじゃない?
すくなくても>75よりは理解してるように思える。
>>126 理解できるように教えてくれませんか?
それか該当するドキュメントを提示して下されば幾らでも読みます。
「kbWin2000preSPxfix」ってSPxで修正される不具合に付く 検索キーワードだと思っていたけど違うのか。
>>130 SP5にKB835732が突っ込まれるってこと。
それまで修正しないって言ってるわけではない。
132 :
名無しさん@お腹いっぱい。 :04/05/03 22:00
しかし、このウイルスの蔓延で無知なWindowsユーザーが パッチあてまくってPCの不具合が出たら それこそMS04-011のバグとして叩かれるだろうね。
135 :
名無しさん@お腹いっぱい。 :04/05/03 22:02
preSP5fixはSP5前の修正って意味だろ
LAN(TCP,port 445) LAN(TCP,port 445) LAN(TCP,port 135) LAN(UDP,port 137) LAN(TCP,port 2745) LAN(TCP,port 1025) LAN(TCP,port 6129) LAN(TCP,port 80) LAN(TCP,port 1025) LAN(TCP,port 445) LAN(TCP,port 6129) LAN(TCP,port 445) LAN(UDP,port 137) LAN(TCP,port 445) LAN(TCP,port 2745) LAN(TCP,port 135) LAN(UDP,port 137) LAN(UDP,port 137) LAN(TCP,port 80) 2745はあんまないな
>>136 2745
2つか。
漏れは数時間で30件ほど
いつからいつまでのログ?
何故かクソスレばかりが目立つmesh
どさくさにまぎれてイスラエルからキタ━━━━━━(゚∀゚)━━━━━━!!!!!
143 :
名無しさん@お腹いっぱい。 :04/05/03 22:20
>>142 ウイルスてほとんどイスラエル製・・・
やっぱりナチに根絶されるべきだったな
誘導thx from pc2nanmin
145 :
名無しさん@お腹いっぱい。 :04/05/03 22:21
ユダヤとチョンは他人の領域を勝手に侵食するからな
146 :
名無しさん@お腹いっぱい。 :04/05/03 22:27
頼むからドイツもこいつもFWかルータくらいまともに使ってくれ。
どうもブラスタDの悪寒がする…あれが一番面倒だ… 間違えて本物のsvchost消したらあぼーんだし… きょうびブラスタなんて流行んないよね…希望的憶測だけど
148 :
名無しさん@お腹いっぱい。 :04/05/03 22:31
件の制限時間付き強制終了が頻発していたので脆弱性修正パッチあてました。 で、ウィルス消そうとタスクマネージャーのプロセス見たんですが、どこにもavserve.exeやavserve2.exeがないんです。 winntフォルダにも16416up.exeみたいなのないし。 で、やっぱり感染してないのかな、と思って確認の意味でnetstatかけたら 1025-1099がlistenされまくってるんですよ。 感染してるのかな?教えてエロイ人
149 :
名無しさん@お腹いっぱい。 :04/05/03 22:32
>>147 そうとは言い切れないかも世?
実際ポート135のスキャンなんて飽きるほどくるし。
法人や企業とかならともかく、一般人あたりだとそのままってやつもいそうだし。
俺の知ってるやつに「パッチってなに?」って真顔で聞いてきたやつがいたシナ・・・
2004/05/03 21:56:12 2745 2004/05/03 21:56:12 1025 2004/05/03 21:56:12 3127 2004/05/03 21:56:12 6129 2004/05/03 21:56:12 80 同じ所から繰り返し来ますね。
| /|7 ./…||腐れsasserを ‖…||撃滅しに ‖ ||来たモナー ‖…|]`\ ‖…||ロ.」 ‖ |∧_∧ ⊆三⊇´∀`) ⊂ ⊂/ ) ‖/_|_| □__)_) ((((∽))))笹公は ‖死ねやゴルァ! 凵。三=━━━── ロ口‖> __пi /⊥\┣/○⌒@I 〜′ ̄ ̄|#゜Д゜) 【HH|/ ̄\⊇‡〓>━- 〈[※]> / ̄‖
152 :
名無しさん@お腹いっぱい。 :04/05/03 22:38
佐々淳行 突入せよ 浅間山荘。
ヽヽヽ /∋∋∋⊃ ( ゜∋゜)/⊃∋⊃∋ ( 三<∋∋∋∋ | | |\∋⊃∋∋ (__)_) \⊃⊃∋ ___ったくユダ公 /~⊂Ч⊃_とクソチョソは (#・∀・)これだから (つ]≡〓=━━━─Σ | |‖糞なんだよ (_// ̄\ウラウラー!  ̄ ̄ ̄ ̄ ̄ ̄ズドドン!
155 :
名無しさん@お腹いっぱい。 :04/05/03 22:40
156 :
名無しさん@お腹いっぱい。 :04/05/03 22:41
>>150 うちとおなじやね。
たたいてくるポートも同じ。
ただしょっちゅうってわけじゃなくて、ちょっと間隔をあけてやってくる感じ。
もちろんIPは変わってるが第一オクテットは同じ。
原種はたしかポート445をたたくはずだが、こいつは亜種と言うことかな?
それとも別物?
どっちにしても情報少なすぎ。
159 :
名無しさん@お腹いっぱい。 :04/05/03 22:43
>>149 タスクマネの開き方すら知らない厨房だからそんなタイプ
そいつはAに感染した経験があって俺が駆除した
パッチを落とすところまでやって時間がないからそいつにやらせて俺は仕事に行った
こーいう香具師ほど雑誌とか見て知識もないのに自動うぷだてはずしたり
FW切ったりするから始末が悪い…
j3…がんがりますわ…る
あした休日出勤する奴手挙げろ
>>159 確かにそういう傾向はあるよね。
生半可な「ネタ」知ってる割には生かし切れないで自爆するって言うパターン。
大変だけどがんばってくださいね−
2004-05-03 22:24:20 LAN(TCP,port 2745) 2004-05-03 22:24:20 LAN(TCP,port 135) 2004-05-03 22:24:20 LAN(TCP,port 1025) 2004-05-03 22:24:20 LAN(TCP,port 445) 2004-05-03 22:24:20 LAN(TCP,port 3127) 2004-05-03 22:24:20 LAN(TCP,port 6129) 2004-05-03 22:24:20 LAN(TCP,port 139) 2004-05-03 22:24:20 LAN(TCP,port 80) 2004-05-03 22:25:30 LAN(UDP,port 137) 2004-05-03 22:28:48 LAN(UDP,port 137) 2004-05-03 22:29:51 LAN(TCP,port 135) 2004-05-03 22:32:02 LAN(UDP,port 137) 2004-05-03 22:33:59 LAN(UDP,port 137) 2004-05-03 22:34:06 LAN(UDP,port 137) 2004-05-03 22:35:32 LAN(TCP,port 2745) 2004-05-03 2:35:32 LAN(TCP,port 1025) 2004-05-03 22:35:32 LAN(TCP,port 6129)
>>160 ちょうど今、指令がきたよ
port80しか開けてないから大丈夫だって言ってるのに
164 :
名無しさん@お腹いっぱい。 :04/05/03 22:48
>>160 連休前にパッチ適用済みです。
FWはとうぜん塞いでいます。
少ない連休なんでマッタリ過ごさせてもらいます。
調べると自分と同じプロバイダから来るんだけど。
166 :
名無しさん@お腹いっぱい。 :04/05/03 22:51
>>163 うちはポート80もまとめてたたきにくるんだが?
169 :
お願いします :04/05/03 22:57
初めまして!どなたか知っている方がいたらお聞きしたいのですが、 タスクマネージャで、プロセスを見るとmspdox.exeというのがcpuを 非常に使っているのですが、何を起動しているのかわかりません。 cpu使用率が100パーセントになってしまっています。mspdoxは何を処理 しているのでしょうか?知っている方いましたら教えてくださいおね がいします。説明が下手ですいません。
170 :
名無しさん@お腹いっぱい。 :04/05/03 23:01
171 :
名無しさん@お腹いっぱい。 :04/05/03 23:02
僕のパソコンには、ないなあ。mspdox.exe
うちもないな。 XPproやけど。
>>158 >全サンプル数 65536 IP
>既に感染してしまった数 5.08%
ハァ・・・
2004/05/03 22:17:18 2745 2004/05/03 22:17:18 1025 2004/05/03 22:17:18 445 2004/05/03 22:17:18 3127 2004/05/03 22:17:18 6129 2004/05/03 22:17:18 139 2004/05/03 22:17:18 80 2004/05/03 22:17:21 445 元側でREJECTしているのかも知れませんが、いくつかパターンがある様ですね。 2745だけを叩くタイプもありました。
>169 msgbox.exeだろ
韓国からバンバン叩きに来ている。 また不正コピーでパッチを当てられない現象ですか?
.
>>174 たたいていく順番にある程度規則性がありますね。
うちも80→139→6129→3127と言うパターンと
445→1025→135→2745と言うパターンが組み合わさってきますね。
どっちか前後はしますが。
ウイルスバスター2004入れてるんだけど、それだけで大丈夫かなぁ(´・ω・`)
このコピペって先日から出没してるキチガイのコピペだよね。
901 名前:900[sage] 投稿日:04/04/02 22:14
アンチウイルスソフト検出力結果報告(・∀・)
ANTIDOTE / avast! 4 / AVG / AntiVir / BitDefender / eTrust
◇ウイルス
EBCVGにてBinary VirusesとVirus codesを合計722ファイル(重複あり)
全てzip圧縮に変換
Linux/Macウイルスあり
◇アンチウイルスソフト
4/2 18:00頃の最新パターン適用
比較対照としてトレンドマイクロオンラインスキャンを使用・・・したかったけど結果悪いのでBitDefenderを基準に
☆結果 (検出数/検出率)
BitDefender (*1) 580 100.0%
AVP (*2) 545 93.97%
Trend Micro 539 92.93%
Antidote (*3) 524 90.34%
avast!4 (*4) 470 81.03%
eTrust (*5) 444 76.55%
AVG (*6) 212 36.55%
*1 懐疑ファイル13含む
*2 懐疑ファイル2含む
*3 コード解析/圧縮ファイル/詳細検索にチェック。詳細検索にチェックを入れない場合は520。なお懐疑ファイルはどちらも3。
*4 迅速な検査=261 標準検査=286 完全な検査=470
*5 Heuristic有効。SafetyLevel → Reviewer ScanningEngine → InoculateIT
*6 Heuristic有効。
AVGの検出率が悪すぎる。何かおかしい気が・・・(・∀・)?
【cool】BitDefender Free Edition【free】
http://pc3.2ch.net/test/read.cgi/sec/1029516867/901
802 名前:Bitスレ901[sage] 投稿日:04/04/04 19:02
BitDefender(以下BD)が全てのウイルスを検出したわけではないです。
BDが検出したウイルス数の580を100%として出した結果です。
要するにAVGだとBDの37%ということです。
誤解してる人がいるかもしれないので念のため。
※AVGの検出は悪すぎたので"3回再インスト&4回検査”してます。
で、結果は全て同じ(゚д゚)
非圧縮時の検出率を知りたい人は適当にウイルス集めて試してください(´・ω・`)
【フリー】AVG Anti-Virus Version15
http://pc3.2ch.net/test/read.cgi/sec/1079833302/802
831 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/04/05 01:03
去年(031207)同じようにやった結果
定義ファイル、プログラムは当時最新
圧縮なんかの設定はebcvgから落としてきたまま(rar,zip,b64)
ただしほとんどはzipだから誤差は少ないと思う
Antidote (*1) 549 100.00%
eTrust (*2) 537 97.81%
BitDefender (*3) 502 91.44%
avast!4 (*4) 484 88.16%
AVG (*5) 366 66.67%
*1 コード解析,圧縮ファイル,電子メール, 懐疑5
*2 設定が多いから略。たぶん最高
*3 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
ただしvirus bodiesは584, 懐疑22
*4 圧縮ファイル
*5 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
(一応どれも設定は最高にしてやったつもり)
>>731 と見比べると向こうはBitdefenderの検出数をvirus bodiesで
数えてるんじゃないかと思う。
おれはIdentified virusesが検出数だと思うから上はそっちを採用してる。
AVGの検出が悪いのはたぶん設定の問題。でも良くはない
むしろ
>>742 と同じような結果だから、AVGの検出力はこんなもんだと思ってる。
【フリー】AVG Anti-Virus Version15
http://pc3.2ch.net/test/read.cgi/sec/1079833302/831
こぴぺ厨マジうぜぇ SSMは挙動不審だし ウイルス検出率もデマだったと言う話だし
スタコラサッサDとうとう来たか。 こりゃ連休中にZまで逝くな。
193 :
名無しさん@お腹いっぱい。 :04/05/04 00:10
ちう
196 :
名無しさん@お腹いっぱい。 :04/05/04 00:30
カフェにいそしむって何ですカ?
198 :
名無しさん@お腹いっぱい。 :04/05/04 00:41
199 :
名無しさん@お腹いっぱい。 :04/05/04 00:52
ちう
200
良かった、MEで・・・
起動時、シャットダウン時に最強なのは Windows XP SP2のFWだ どんなソフトよりも強い
sygateは?
SP2に一票
ルーター
いい加減ルーターくらい挟んだらいいのに ダイアルアップ時はファイアウォールを必ず入れろ
今、このワームに気づいたわけだが・・・ TCP445叩かれまくりな上に、他のポートも一緒に叩いてくるのもあるんだが亜種かなんか?
ABCD がありますが、どれがいいですか?
211 :
名無しさん@お腹いっぱい。 :04/05/04 01:48
>>35 OCNに入るくらいだから、ド素人・じいちゃんばあちゃんが
ユーザーに多い。
トレンドマイクロオンラインスキャンでサッサの検知は可能ですか? 一応鬼門と呼ばれるパッチ当てて、仕上げに感染してるか確認取りたいんだけど 定義パターンに登録されてなくて感染してませんと表示されても悲しい どうかよろしくお願いします
213 :
名無しさん@お腹いっぱい。 :04/05/04 01:49
665番のアタックが激しい
2004/05/03 15:50:12 IP_Filter REJECT TCP 219.***.*.***:3334 > ***.**.**.**:445 (IP-PORT=7) これかな? ルータの設定とか、自信ないんで こういうワームが出現するたびに不安になるよ。
>>212 可能だよ。
というか可能じゃなかったら困るでしょ。
一応大手ウイルス対策ソフトベンダーなんだから。
>>210 A ください! C ばっかりなんで、オリジナルの A がいいで〜す。
Blasterのときと一緒でICMP2048の叩きもきてるね。(pingだっけ?
持ってるって意味じゃなくて A,B,C,Dが出てるって言いたかっただけ orz
連休開けは脚立と懐中電灯を倉庫から出しとくのを忘れないように。 つーネタがわかるのはブラスタスレ常連。
220 :
名無しさん@お腹いっぱい。 :04/05/04 02:00
色々ポート番号で照るけど
221 :
名無しさん@お腹いっぱい。 :04/05/04 02:00
445やばーい。 でもノートソ先生がいっぱい弾いてくれてまつヽ( ´∀`)ノ
またアメリカで大停電が起こるの?
223 :
名無しさん@お腹いっぱい。 :04/05/04 02:01
結局445だけ塞いでもだめなのかな?
>>223 今回のは、445塞げばなんとかなるけど
いろんなワーム(ウイルス)弾くなら、いろんなポート閉じる必要がある
225 :
名無しさん@お腹いっぱい。 :04/05/04 02:04
パッチあてて445を塞ぐ。 これで防御できるのかな?
>>219 そーいえば、ソフマップに「永久懐中電灯」があったなぁ。
値札がついてなかったけど、いくらだろ?
227 :
名無しさん@お腹いっぱい。 :04/05/04 02:06
全部閉じればいいのに ntpとdnsだけIPアドレス指定で開けとく
135と445を交互に叩かれる
445と同時に同じホストが叩いたポートは閉じるべきか
>>230 ?
こんなのばっかり…
INとOUTの区別はつけなさいよ
230じゃないけど
>>227 にはINもOUTも書かれてない罠
>>215 ありがとうございます
結果、検出されませんでした
前回のリブートウイルスには見事やられたけど
今回は運がいいのか実害なく終われました
今気付いたんだが 2004/05/03 16:28:35 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745 2004/05/03 16:28:30 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745 2004/05/03 16:28:22 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745 2004/05/03 16:28:18 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745 2004/05/03 16:28:14 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745 2004/05/03 16:28:12 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745 2004/05/03 16:28:08 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745 2004/05/03 16:28:07 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745 2004/05/03 16:28:05 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745 こいつは何が目的だ orz
うぜーな
ていうか、新たなワームが発見されるたびに
やれ135,137,139だ
やれ445だ
やれ1433,1434だ
って後手後手に対応しても大変じゃないですか?
IN方向は基本的に全拒否にしとけば、まず感染する危険性が激減します
万が一感染してしまったときのことを考えたときに
初めてOUT方向の”ポートを塞いでおこう”という発想になるのです
しかし、ここで”ポートを閉じる”議論を見てると
明らかにインバウンドのお話です
皆さん、ポートは外に向けて開放しておくものではありません
わかってください。お願いします
>>236 は言葉が過ぎたので、謝ります。すいませんでした
>>238 ntpはクライアント側も開放しないと通信できません
ルーターはhttpdが動いてるので、80を開放したら大変ですね
では、おやすみなさい
お願いされちゃったよ、参ったなこりゃ
OUTを閉じる意見は
>>68 ,72,73
とかでやってるね
活動を見る限りsasserだと思うんだけどavseveも無ければ*****_up.exeもない・・・ マイナーな亜種にでも感染したか?
まー本来ネットワークは繋げるためにある訳で
FWでinもoutもちくちく閉じてると、なんか空しくなる今日この頃だ
>>241 の話は判るんだけどね。
248 :
名無しさん@お腹いっぱい。 :04/05/04 02:46
アタック来てるのってどうやったら分かるんですか?すいません
スマソ。あと【SASSER FAQ XP付属ファイアウォール編】
>>24
>>248 ログが取れるちゃんとしたファイアウォール入れてればわかる。
しかしその場合はちゃんと防いでいるということだから気にする
必要もないわけだw
>>3 >>24 見ておくように。
251 :
名無しさん@お腹いっぱい。 :04/05/04 03:08
消しても消しても復活します
ゾネの警告&ログが異常に静かだ・・・・・ ゾネの警備員染んじゃったんだろうか・・・・?
>>253 それは貴方が仕事を奪っているからです。
ルータの穴を開けましょう。
>>253 気にすんな。あうぽの警備員も静かだ。445が派手に叩かれるのは
連休明け。
まだ1、2分置き位ですな。 ブラスタのときは半端じゃなかったが、連休明けにはあれぐらいになるのかなぁ・・・
>>252 システムの復元OFFにしてある?
ってかおいら釣られた?
久しぶりにルータのログ見たけど、445来てるな〜 だが、その数倍の135,137へのアタックが来てるのは…
>>256 1時間2000回くらい来てたな。
あうぽ入れてたが、初心者だったので「許可したルール以外の接続全部遮断」
というルール入れてなかったからOS起動中の10秒くらいのFWの空白期間に
瞬殺で入り込まれてびっくらこいた。
今度はFW+修正パッチ+アンチスパイで鉄壁…のハズw
MSに鉄壁はアリエナーイ
連休明けに会社のPCが一斉にbootしたとたん (・∀・) うひょー
連休中に、OS再インストしようと思っているものです。 これってネット接続するだけで、感染するみたいだけど、こういう場合はどうすれば安全に再インストできるのでしょうか? 「HDDフォーマット >> OS(WIN2000)インスト >> WINDOWSUPDATE >> 各種アプリインスト」 以前はこうやってたけどこれだと感染してしまいますよね?
263 :
名無しさん@お腹いっぱい。 :04/05/04 04:26
264 :
名無しさん@お腹いっぱい。 :04/05/04 04:29
P2P対策なんだろうか…
誰か、封鎖ポート一覧を作ってくれ_| ̄|○
>>262 263の言う通り、PFWをリムーバブル・メディアに保存した上で、
→ケーブルを抜く
→OSを再インストール
→PFWをインストール
→ケーブル繋ぐ
→Windows Update
→各種アプリをインストール
ルータが有るなら、PFWは不要。
TCP445のIncomingを拒否するフィルタリング設定を行えばよい。
267 :
名無しさん@お腹いっぱい。 :04/05/04 04:42
>>265 TCP 139 Incoming & Outgoing
TCP 445 Incoming & Outgoing
TCP 5554 Incoming & Outgoing
TCP 9996 Incoming & Outgoing
>>263 ,266
つーか、該当パッチファイル先に落としとけばいいんでねぇの?
>245 漏れは同じような状況です。 abserve、*****_up.exe無し。 不定期に突然「〜lsass.exe は、状態コード128 で突然終了しました。」 と出てカウントダウン60秒後に再起動がかかる。 原因が分からないから不気味だ…
270 :
名無しさん@お腹いっぱい。 :04/05/04 04:50
>>268 HA!HA!HA!
コリャ一本取られたネ!
確かにその通りだ。
271 :
名無しさん@お腹いっぱい。 :04/05/04 04:52
明日は田代砲の日か… またダウンする悪寒
TCP/UDP全ポートの受信を拒否するようにしたんですがこうすると安全なんですか?
>>273 そんなことするぐらいならLANケーブル引っこ抜け。
275 :
名無しさん@お腹いっぱい。 :04/05/04 05:18
, -ー,
/ |
∧∧ / | TCP/UDP全ポートの
(*゚ー゚)/. | 受信を拒否するように
| つ'@ | したんですがこうすると
〜_`)`). | 安全なんですか?
 ̄ ̄ ̄しU |
| |
〜〜〜〜〜〜〜〜〜〜〜〜
|
>>274
>>263 >>266 レス、どうもです。
「HDDフォーマット >> OS(WIN2000)インスト >> Norton-PFWインスト >> Norton-PFW、UPDATE >> WINDOWSUPDATE >> 各種アプリインスト」
こんな感じで行ってみようと思います。
279 :
名無しさん@お腹いっぱい。 :04/05/04 05:27
>>278 第一にどうやって2chのログを読んでいる。
第二に、それならFWのデフォで十分。
>>273 おい!
早くルーター買い換えろ
閉じてログ見えるんなら、おまいのルーターは壊れてるぞ
早く!急げ
Win98SE使ってますが サッサーに感染しますか?
282 :
名無しさん@お腹いっぱい。 :04/05/04 06:29
283 :
名無しさん@お腹いっぱい。 :04/05/04 06:40
>>281 しないよ。
高みの見物と以降じゃないか、同士よ。(・∀・) ウヒョー
In/Outの違いが分かってない奴多いな。
>>285 WindowsUpdateにそのパッチが入ってるので
ダウンロードする必要はありません。
>>281 WORM_SASSER.B
変種・亜種: WORM_SASSER.A
感染報告有無: あり
プラットフォーム: Windows 95,98,ME, NT, 2000, XP
289 :
名無しさん@お腹いっぱい。 :04/05/04 06:53
この大法螺吹き
>>287 に、誰か正義の鉄槌を下し給わん事を
まぁ情報が錯乱してるから、どうにも言えんな。 1週間後には、まとまってるかな
9xにはワームは入るが活動はしない(できない)とか あくまで憶測
MSのWEBには98については「緊急」ではないと書いてある これはMSにとっては緊急ではないから98用のパッチを出さないということか?
トレンドマイクロから届いたウイルス警告メールでも ○感染の危険のあるプラットフォーム Windows 95、98、Me、NT、2000、XP となっている。
9x系を見放しただけ
297 :
名無しさん@お腹いっぱい。 :04/05/04 07:14
2k/XP以外では、セキュリティホールを利用したリモートコントロールが出来ないと書いている。 だからFTP転送によるコピーも出来ない。 >Windows 95,98,ME, NT, 2000, XP この無節操なラインナップから見て、通常ありえない形で強引に感染させたんじゃないの? そしたらレジストリを変更したり、Systemフォルダに何かファイルを作った、と。 でも活動は、出来ない、と。 そういう事だろう。
298 :
名無しさん@お腹いっぱい。 :04/05/04 07:19
サッサのA.B.Cが入ってたんですけど。。。 Cも出てるんですね。
299 :
名無しさん@お腹いっぱい。 :04/05/04 07:20
サッサZはまだか?
Zの次はなに?
AA
AB AC ...
コノ時間に即レス&マジレスがthx ちなみに445より135が増えてきた
ルータってデフォでInは繋げないものですか?
>>305 うちのルーター、デフォルトではTCP&UDP137~139しか閉じてなかった。
307 :
名無しさん@お腹いっぱい。 :04/05/04 07:58
サッサーが発生してからupdateしてないのに、今updateしてみたら 重要な更新は見つかりませんでした。 どうしたらいいでしょうか? xpです。
>>305 家のルータ(I.O Data WN-G54/BBR)だとデフォルトでIn側TCP/UDP全ポート拒否になってる。
>>307 今回の件で問題になってるパッチはさっさ発生以前に既にリリースされてるよ
>>307 Sasserが出てからまだ新しい更新はUPされてないし。
>>307 4月の14日にうpdateしてたら大丈夫
I-Oってストレージ製品は結構良いけどネットワーク系弱いよな
313 :
名無しさん@お腹いっぱい。 :04/05/04 08:02
>>307 534 名前:名無しさん@4周年[sage] 投稿日:04/05/04 06:14 ID:OVIHs4Kx
KB835732入ってるか気になって今WindowsUpdateの履歴調べてみたら
4月18日に自動更新されてたヽ(´ー`)ノ
>>312 前に使ってたI-Oのルータ(名前忘れた)は落ちまくる糞ルータだったけど今のは特に不満ないよ。
316 :
名無しさん@お腹いっぱい。 :04/05/04 08:10
要するに98SEの私はダウンするパッチもないので放置すればいいってことですね?
>>316 アンチウイルスソフトを入れて、定義を最新のものにする。
FWを入れる。
これでOK
おっ 今度買うとき参考にするよ。THX
漏れはHDD,DVD-RAM等はI-O ルーターはバッファロー LANカードはコレガ
>>245 >>269 もれも同じ状況だったYO
とりあえず、修正パッチとファイアウォール(Outpost)を時限爆弾前にササッと入れておいたらポート445は塞げるから時限爆弾は登場しない。
そしてオンラインスキャンしてみたら、msblastとnachiに感染してますたよ。
>>320 その2つはDじゃないか?
skynetave.exe
だけど
ゴールデンウィークに出てくるのは やっぱり日本狙ってるのか? このせいでゴールデンウィーク明けに 仕事に支障が出るわけで 海外企業または何らかの組織の陰
>>323 この時期は中国とかマレーシアも長期の休みになるから
日本も含めてアジア地域を狙っている可能性はあるな
糞パッチ修正版(English)ができたらしい まだ、公開はしてないぽ
326 :
名無しさん@お腹いっぱい。 :04/05/04 10:31
もういやだ パソコン使うのやめる
327 :
名無しさん@お腹いっぱい。 :04/05/04 10:34
もまいら!! サッサと言えば金鳥(r
329 :
名無しさん@お腹いっぱい。 :04/05/04 10:39
ここにお集まりの2chの皆さん、お助けください。 義兄のPCがこのウィルスにやられたみたいです。 再起動を繰り返し立ち上がってきません。災厄データだけでも抜き取りたいのですが 他のPCへセカンダリとして接続しても、感染しないでしょうか? また、他に良い方法があればご教授ください。
う〜んネットを始めて4年経つが一度もウイルスに感染したことが無い 運がいいのかセキュリティーが完璧なのか はたまた誰にも相手にされないのか
331 :
名無しさん@お腹いっぱい。 :04/05/04 10:54
>>329 接続したPCが何も対策してなけりゃ、感染する。
データ移動については、USBメモリでも買ってくれば?
災厄データがどんなもんか知らんがw
>330 トロイはどっさり持ってそうだな、オマエ
333 :
名無しさん@お腹いっぱい。 :04/05/04 11:04
>>329 再起動するまで時間差あるでしょ?
パッチあてて駆除ツール使え
334 :
名無しさん@お腹いっぱい。 :04/05/04 11:08
>>331 >>333 ありがとう!
しかし、立ち上がる前に再起動になってしまいます。
立ち上がらなければ、何もできないですか?
>>334 >>4 に書いてあるMSの対策ページには目を通したのか? と小一時間・・・
338 :
名無しさん@お腹いっぱい。 :04/05/04 11:15
>>335 じゃあネットに繋がらない俺はどうしたらいいのかと小一時間t(ry
この1週間、私自身はアップデートしてないのですが (父がしたかも?) アップデートの更新をしても「重要な更新項目はありません」 みたいな文章がでます。 …安心して良いんだよね……?ガクブル
>>338 AirH"やmoperaを使う時は、PFWを入れて完全stealthにした方がいい。
>>332 自分は8年目になるけどウィルスもトロイの類も無い…。
#しかし135と445へのアタックが凄いな。(十数秒刻みで…)
#適切なパッチ当てやルータ、ファイヤーウォール等を導入
#してない奴が多いんだな。
ルーターのログに見事に445が並んでる(´ー`)
>>330 自分もそのくらい経つけどなんもない。
たまにオンラインスキャンしてるけど何も出てこない。
今頃気づいたんだけど 阪神が単独首位やん
昨日サッサーに感染したんだけど、今日WINDOWSのアップデートと ファイアーオールをONにしたら、カウントダウンがなくなり、普通に繋げるようになってる 一応 ・セーフモードでレジストリ確認 ・トレンドのオンラインスキャン ・windowsの検索 やってみたけどなにも出てこない。このままにしておいていいんでしょうか。
348 :
名無しさん@お腹いっぱい。 :04/05/04 11:41
FWのログ見てると445へのアタックもあるにはあるが 同時に4つくらいのポート(毎回同じ)をたたいていくやつの方が多い。 みなさんのところはどうですかい? ちなみにたたいていくのは80,139,6129,3127と445,1025,135,2745 これを規則的にたたいていくんだが。
>>348 135,445が多いね。80,139,6129,3127は不定期に来る感じです。
351 :
名無しさん@お腹いっぱい。 :04/05/04 11:49
>>339 じゃあここは何?ネットじゃないのか?
携帯で見てるのならスマン(w
352 :
名無しさん@お腹いっぱい。 :04/05/04 11:56
ZoneAlarm使いだが 445単独のたたきはDNS逆引きができるのに、 ポートまとめたたきのやつはなぜか逆引きが出ない。 (すべて***.in-addr.arpaになる) これはどういうことなのかな? 大したことじゃないけど、ログがこれで埋まっていくのは気味悪いし。
353 :
名無しさん@お腹いっぱい。 :04/05/04 12:04
ルーター入れてれば、問題ないのにね。
355 :
名無しさん@お腹いっぱい。 :04/05/04 12:20
OSはウインドウズ98なんだけど サッサーに感染しますか?
356 :
名無しさん@お腹いっぱい。 :04/05/04 12:20
>>347 オンランインスキャンで、なんもでてこないならいいんじゃないの。
久々に、ADSLモデム(ルータ機能込)のログを見たが、 何じゃコリャって感じ。 韓国だの、台湾だの、おフランスだの…。
358 :
名無しさん@お腹いっぱい。 :04/05/04 12:23
355です。 自己解決しました。
359 :
名無しさん@お腹いっぱい。 :04/05/04 12:24
60SecカウントダウンPC再起動sasserに感染したら
>>40 でもみておけ
既出かもしれませんが以下の症状もあるみたいですね。 ・スタート→すべてのプログラム→(なし)になっている。 (もしくは一部のプログラムがなくなっている) ・ユーザー設定した覚えがないのに終了オプションで 「ユーザーの切り替え」が増えている。 (SP1をあてた事によってできるユーザーではなく。) ・スタートボタンがない。終了オプションがない。電源を切るがない。
ニュー速で”ウイルスマッチポンプ説”を持ち出してる人が居る。 ウイルスが蔓延して儲かるのはセキュリティ業界だからそう考えるのも 自然といえば自然だよね。
>>361 確かに何となく納得は行くが・・・
ばれれば自爆行為だろ。
世界中から袋叩きにあうだろうからね。
なんか急に おさまってきた悪寒
364 :
名無しさん@お腹いっぱい。 :04/05/04 12:52
アキバ某店 店頭のPCが佐々に感染してた ニヤニヤ
365 :
名無しさん@お腹いっぱい。 :04/05/04 12:58
なんか同一IPからのアタックがすさまじいな。 10秒から30秒おきに8つのポートを同時にたたいてくる。 ちなみに第三オクテットまでうちのIPと同じ。 けど、カウントダウン式とはちょっと考えにくいような気もするんだが・・・ひょっとして別物か?
スタコラサッサと逝こうぜ。
367 :
名無しさん@お腹いっぱい。 :04/05/04 13:58
>>362 でも、他人の不幸で儲けているために怨嗟の的になっているのは確か
全くアタックがないのはちと異常か?
休み明けサポセン大忙しの予感w
>>365 大規模感染タイプのワームはみなそうだが「システムをなるべく
クラッシュさせない」のがデザイン上の原則。LSASSがクラッシュ
→OS再起動してしまのは意図的なものではなくて、コードのバグ
とマシンの環境によっていろいろな「相性問題」wが出てるという
ことでは?
ただ[ランダム数字4桁_up.exe]が見あたらないケースはちょっと不審。
ほんとうにSASSERなのか、亜種なのか…?
誰かがカキコしてたが、犯人のリリースのタイミングが1週間 早すぎた。GW明けと同時にリリースだったらもっと混乱した だろう。 大きなシステムは休み中でも当直がいるからせっせと対策している。 個人もインターネットから情報を入手している。去年ブラスタでイタイ 目にあった被害者の半分くらいは急いでパッチ当てるはず。 よってブラスタに比べたら流行はずっと小規模になる。 …はずだといいなw
>371 日本が標的ならな GWなんて他の国はねーし
質問。 最近、PCの状態が悪い。 先ほど、シャットダウンをするためすべてのデータを保存しログオフしてください。 なるものがでた。このプログラムでコードがなんたらかんたら・・ カウントダウン形式で1分前からカウントダウンが始まりました。 それに最近ははスタートアップ時に多分スパイウェアのせいでシステム情報が 出るなど・・Runtime Erorrがでるなど・・・そのためにスパイウェア駆除ソフトを 昨日いれました。あとスタートアップにGstartupなるものが・・・これが 情報を送ってウイルス感染・・・てのはないよね・・ノートンあるけど期限切れの予感。 これってやばいか?もしかしたらこのウイルスか?LSAシェルに問題発生っていう 警告も出た。 その後も何度も再起動させられてメモって見た。 NTAUTHORITY\SYSTEMに開始されたと書いてあった。 でメッセージみたいのが入ってて内容がC\WIDOWS\SYSTEMlsass32が 状態コード1073741819を突然終了させましただって。 急いでたから間違ってるかもしれないがなんかやばそう。また開始されました。どうっすりゃいんだ・・・
>>374 LSASS?Sasserにやられてるんじゃないの?
この機会にセキュリティに関心を持っては如何?
>>374 このスレまでたどり着いた君なら自力でなんとかできるさ。
しかしサッサではなくなんらかのウイルスの可能性はある?ウイルス全くわかんねぇからさ。でも60秒カウントダウンさせるのはやばいだろ?またシャットダウンさせらたから今携帯。
>>374 その症状はSasserの可能性が一番高いと言ってるのだと思うが。
それを信用する・しないは君の自由だ。好きにしろ。
379 :
名無しさん@お腹いっぱい。 :04/05/04 15:14
喪前はセーフモードを使ったことはないのか
>>378 やはりそうだよな。しかし対処したいが勝手にシャットダウンして対処できないんだよな…どうすりゃいいのか…
>>374 漏れも同じ状態になります。
ただ、最初にその症状がでたのが4月29日の夕方
昨日ahooのニュースみてオンラインスキャンかけて、AVG最新版で完全スキャンかけて
シマンテックの駆除ツールを使ってみたが何も見つからなかった・・・
パッチ当てたら症状はでなくなりますた。
うーん、ノートンは入れてるけど、「統計」っていうの見ても 「最近の侵入の試み」0件、 「最近試みがあった攻撃者」なし… 6時間も起動してるのにこれじゃあ、うちのノートソ先生死んでるのかな? って思ったら、ここで初めて「ルータの履歴」が見れる、っていうのを知って、 どうにかルータ(うちは無線LAN)の履歴を見たら… ぎょえーー!!本当に445と135だらけでした!!こえええーーーーー ルータのログ情報の「現在のアクセス数」2300っていう数も、このせいなのかな?
>>380 お前さんはこのスレの1-10ぐらいも読めないのかと…
シャットダウンされてる最中にファイル名を指定して実行で「shutdown -a」か もしくはLANケーブルを抜くといいですよ。
>>370 漏れは感染してるのかどうかわかりませんが・・・
>ただ[ランダム数字4桁_up.exe]が見あたらないケースはちょっと不審。
これは見当たりません
セーフモードで起動してないけどダメかな? オンラインスキャンもセーフモードで起動させるの?
>330 うちも4年だけど先日初めてsasserにやられました (ウイルス製品も最新にしてたしFWも完璧にしてたのに・・)
>>388 >ウイルス製品も最新にしてたしFWも完璧にしてたのに
なぜWindowsUpdateをやらないのに完璧なのか…お前も帰れ。
そんな佐々ーに一言↓
なんでルータをかませてると平気なんですか?
ウイルス製品とやらが売られているのか?へー。
>>393 尾満テックが業績快調で、笑いが止まらなくて思わず屁をこいたら身が出たって言うのが
ニュースになるくらいだからな。
ハァ?
いつカウントダウンが始めるか分からないのに、終わらせられるか?
放置汁
サッサに関しては例のパッチ当ててれば大丈夫だよね? 一応Norton AntiVirus 2004とXP標準FWはつけてます。
401 :
名無しさん@お腹いっぱい。 :04/05/04 16:10
パターンファイル更新してれば安心だね
402 :
名無しさん@お腹いっぱい。 :04/05/04 16:11
ルーターって通常445ってふさいでるでしょ?
え…げーとうぇいでぶろっく??(; ´Д`) WAN側からのパケットを無視(拒否?)する、TCP135と445…とかにすればいいのかな。 とりあえず履歴に山ほど135と445は残ってるけど、感染はしてない。
すいません。 帰ってからセーフモードで起動していろいろやってからまた報告にきます。 lsass.exeが壊れたのが2004/4/29 19:26くらいだったから、感染してるんだったら かなり早めの感染ですね_| ̄|○ ニホンデイチバンカモ 偶然lsass.exe壊れたってことは・・・ないな
サッサを駆除してるうちにカウントダウンが始まったらどうするのって言ってるんだが。カウントダウンが始まらない方法があるなら教えてほしい。みての通りあまりパソコンは得意じゃない。
それと、余談ですが漏れの消防の時のあだ名が「サッサ」だった_| ̄|○
407 :
名無しさん@お腹いっぱい。 :04/05/04 16:15
ルーターのログがすごい事になってるね TCP445が突かれまくりだわ・・・ルーター大丈夫だろうか・・・頑張ってくれ
>>403 通常はデフォルト設定でも通さないはずだけど、心配ならTCPの139, 445, 5554, 9996のIN・OUT両方をReject(破棄・拒否)するルールを追記しておけば良い。
なぜout
ふーん
>>407 某ISP用の某ADSLモデムが昨日は落ちまくりだったよ。(w
5554はoutを塞いでおかないとね。
タダでばらまいてるやつ
フレッツADSLのNV,NV II 使ってる奴はデフォルトで塞がってるだろ。
417 :
名無しさん@お腹いっぱい。 :04/05/04 16:27
aterm 202cはふさがってる?
418 :
名無しさん@お腹いっぱい。 :04/05/04 16:30
初心者にこそルータは必須
なんで今日仕事しなきゃいけないんだよウワアァァァァアヽ(`Д´)ノ
421 :
名無しさん@お腹いっぱい。 :04/05/04 16:45
ルーターのログ見れないんだけど・・防いでくれてるのかな?
423 :
名無しさん@お腹いっぱい。 :04/05/04 16:51
>>419 ウイルス駆除ソフト入れてればいいんじゃないの?
424 :
名無しさん@お腹いっぱい。 :04/05/04 16:52
>>382 ネタだろ。
2300でなくて、23だろ。
netstat -na したら、2300個も出てくるなんて、幾つ接続してるんだYo!
no。
>>422 ○○さ○ さ○○
なぜかこれであだ名がサッサ・・・
というかファイル指定しても途中でレジストリが消えるのだが・・
430 :
名無しさん@お腹いっぱい。 :04/05/04 17:11
サッサーの攻撃が、激しい・・・ウイルスバスターが防御してくれているが・・・
ながさか さとる だな。
サッサがあだ名だと、おいサッサ、サッサとしろよとか言われてそうだな。
サッサ繋がりで、金鳥は夏だけでいいとか言われそうだな。
そんなサッサに一言↓
440 :
名無しさん@お腹いっぱい。 :04/05/04 17:37
佐々ちね!
佐々成正
442 :
名無しさん@お腹いっぱい。 :04/05/04 17:40
>>407 …さっきから2度も落ちた…。
山のようーなアタックぅ…(涙)
…ぷららなせいか?
アタックもぷららからが多い…。
DQNなご近所さんが多いと…。
ブラスターが流行った頃のYahooBBからのメール(抜粋) …━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━… Yahoo! BBでは、今回の「エムエスブラスト」の蔓延に対する緊急対策 として、現在、「エムエスブラスト」が流入する一部のポート番号 (TCP/UDP:135,139,445)における通信を遮断しております。 そのため、該当ポート番号を使用した一部の通信サービス、インターネット 経由でのファイル共有(Netbios over TCP/IP)やExchangesサービス (Microsoft DS)等がご利用いただけない場合があります。 これは、全国的なウイルス蔓延をかんがみての緊急対策であることを ご理解いただき、ご容赦いただけますようお願いいたします。 …━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━… 臨時とか言いながらいまだに上記処置が継続中の模様。 よってウチのルーターは平穏そのもの。 ...しっかし、上記ポート閉じちゃって仕事に影響出た人 いなかったんだろうか...(強引かとも思うんですがねぇ)
444 :
名無しさん@お腹いっぱい。 :04/05/04 17:43
>>443 「エムエスブラスト」を「エクトプラズム」って読んじゃった。
YBBならありかと…w
ぷららの意気地なし〜〜〜〜 わぁ、ぷららが立っ(ry
今、田舎何だけど、サ、サ、サ、サのアタックは来てない・・・・ 明日、東京に戻ったら(((( ;゚д゚)))アワワワワってことになるのか?
| ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄| | つぎでボケて!. | |_________| ∧∧ || ( ゚д゚)|| / づΦ
449 :
名無しさん@お腹いっぱい。 :04/05/04 17:54
…こないだルータ初期化したの忘れてた…。 せっかく色々登録していたフィルタが真っ白だった…(涙) 135も445ちゃんと防いでくれてたけど。 慌てて他のも登録し直したさーw デフォでどれが入ってんのかなあ?
381を防ぐ方法を教えて下さい
>>451 もう書き込みませんので安心してください
ちょっと質問です 1日の夜からインターネットへ正常につながらなくなり、 常駐を見ると (数字)_up.exe が起動していました。 それからOSを再インストールして直したのですが、これはsasserでしょうか? メッセでよく話す友人のPCにLSASSのエラーとか出て再起動がかかる症状が 出ていたので、そのあたりとの関係があるような気もします。
ルーター(ADSLモデム一体型)のログを見たら、今も一秒間に数通き続けているが 弾いている。全部445だよ。こりゃぁ、すげぇなぁ・・
>453 大当たり
>>455 こんな大物に感染したの初めてだったんで取り乱してました
今度からもっと落ち着いて書き込むようにします。
blast(ry
もう一台のPC、パッチ当ててないが 使用者はルーターで弾かれてるしXpのFW機能オンだから大丈夫と言ってやがる…… パケットフィルタリング機能オフにしておいてやろうかな
整理するとWindowsファイルに作られるのは・・ WORM_SASSER.A =>数字_up.exe WORM_SASSER.B =>数字_up.exe WORM_SASSER.C =>数字_up.exe WORM_SASSER.D =>skynetave.exe のようだ。
Dも数字じゃなかった?
464 :
名無しさん@お腹いっぱい。 :04/05/04 18:24
休暇から帰ってきてパソ立ち上げて感染してる香具師がどんどん増殖中なんだろうなあ…。 休暇中でもニュース見とけよ。 つーか、ネットやるならセキュリティを忘れるな!
>>460 実際大丈夫なんだから良いじゃない。人のやり方にケチつけないくても。
俺の知り合いはPC買ってから1度もアップデートすらせずにつかってて 去年blasterに感染してsasserにも感染したよ blasterも自分で治せなくてリモートで他人に治させた 今回あたり自分が犠牲者になりそうで怖い
468 :
名無しさん@お腹いっぱい。 :04/05/04 18:31
>>454 おらも見てみたが、ほんとに来てる(( ;゚Д゚)))ガクガクブルブル
ちゃんとREJECTできてるけど。 こりゃ、相当な勢いで広がりそう...
469 :
名無しさん@お腹いっぱい。 :04/05/04 18:31
>>467 その知人にはネットをやるなと伝えてくれたまえw
470 :
名無しさん@お腹いっぱい。 :04/05/04 18:35
さっきまで色んなポート叩かれてたけど、ここへ来て445一色に…。 旅行から疲れて帰って、パソ立ち上げてウイルス感染。 で、リカバリーで更にお疲れ?w 対処法知らないと現在パニックになってる真っ最中かな? サポートもお休み多そう…(人)ナムー
今日 18:18:59 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745 今日 18:18:59 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025 今日 18:18:59 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445 今日 18:18:59 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127 今日 18:18:59 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129 今日 18:18:59 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139 今日 18:19:00 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745 今日 18:19:00 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025 今日 18:19:00 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129 今日 18:19:00 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127 今日 18:19:00 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445 今日 18:19:00 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139 今日 18:19:00 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025 今日 18:19:00 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745 今日 18:19:00 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129 今日 18:19:00 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127 今日 18:19:00 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445 今日 18:19:01 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139 誰だか知らんが、2秒間にこんなに・・・・・・ ネット重くなってるだろうな。
去年の夏に引き続き今回もログ貼り付けが流行ってるのかw
これサッサーってよむの?
我が家のログ。他で貼る機会もないしw 2004年5月4日 17時58分15秒 フィルタ 220.186.197.* からNBT 又は Microsoft-DS パケットのルーティング UDPポート:137 2004年5月4日 17時58分15秒 フィルタ 220.186.197.* --> 我が家 UDPポート:137 2004年5月4日 17時57分09秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445 2004年5月4日 17時57分09秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445 2004年5月4日 17時57分03秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445 2004年5月4日 17時57分03秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445 2004年5月4日 17時57分01秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445 2004年5月4日 17時57分01秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445 2004年5月4日 17時55分56秒 フィルタ 24.79.122.* からNBT 又は Microsoft-DS パケットのルーティング UDPポート:137 2004年5月4日 17時55分56秒 フィルタ 24.79.122.* --> 我が家 UDPポート:137 2004年5月4日 17時54分16秒 フィルタ 220.108.79.*からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445 2004年5月4日 17時54分16秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445 2004年5月4日 17時54分10秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445 2004年5月4日 17時54分10秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445 2004年5月4日 17時54分07秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445 2004年5月4日 17時54分07秒 フィルタ 220.108.79.1* --> 我が家 TCPポート:445 2004年5月4日 17時54分01秒 フィルタ 220.108.201.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445 2004年5月4日 17時54分01秒 フィルタ 220.108.201.* --> 我が家 TCPポート:445 2004年5月4日 17時53分58秒 フィルタ 220.108.201.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445 2004年5月4日 17時53分58秒 フィルタ 220.108.201.* --> 我が家TCPポート:445
>>473 そう。
東京タワーとは呼ばないらしい。。
ぷららだけどルーターのログ見ると445より135が若干多い。
うちはここ20分ぐらい、1分に1度程度で445と135が半々ぐらいかな〜。 XPのFWのログ取りをさっき始めたところだけど。 このFWを突破されることはなかろうけど、パッチは当てているし ノートンもいるから安心。
今にたら197もあるけどなんだろ〜。197だからイクナイのか?
ごめん × 今にたら ○ 今見たら 調理中だったもんで・・
うちは半々くらいかな。1発/10秒 数分前にログ見るまでは、俺の前に使ってた馬鹿がbittorrentやってたらしくて6881への接続要求が 現時点でのサッサーより多かった。PPPoEの接続しなおして回避。
ログみたら結構来てるねー。GW明けがもっと凄そうだけど。
482 :
名無しさん@お腹いっぱい。 :04/05/04 19:42
WINアップデートは複雑でいかん
>>483 この後のレスは全部君に任せた、君はプロだ!
>>483 (((( ;゚Д゚)))ガクガクブルブル
あ〜ぁ、もぅ、やめてくれぇ〜 プロセス名は N/A 2004/05/04 19:32:58 スーパーバイザ 未使用ポート遮断機能が通信を遮断しました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスは 220.213.61.93,epmap(135) 2004/05/04 19:32:58 スーパーバイザ 未使用ポート遮断機能が通信を遮断しました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスは 220.213.61.93,2745 2004/05/04 19:22:40 スーパーバイザ 規則「Microsoft Windows 2000 SMBのデフォルト遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました。 詳細: インバウンド TCP 接続 ローカルアドレス、 サービスは LT3005D-i2(220.144.179.121),microsoft-ds(445) リモートアドレス、 サービスは 220.144.129.9,1043 プロセス名は N/A 2004/05/04 19:22:15 スーパーバイザ 未使用ポート遮断機能が通信を遮断しました。 詳細: インバウンド TCP 接続 リモートアドレス、 ローカルサービスは 220.144.233.62,epmap(135) 2004/05/04 19:19:07 スーパーバイザ 規則「Microsoft Windows 2000 SMBのデフォルト遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました。 詳細: インバウンド TCP 接続 ローカルアドレス、 サービスは LT3005D-i2(220.144.179.121),microsoft-ds(445) リモートアドレス、 サービスは 220.146.29.151,2624 プロセス名は N/A 2004/05/04 19:19:01 スーパーバイザ 規則「Microsoft Windows 2000 SMBのデフォルト遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました。 詳細: インバウンド TCP 接続
>>483 Bだけじゃないんだね・・・(((( ;゚Д゚)))ガクガクブルブル
490 :
名無しさん@お腹いっぱい。 :04/05/04 20:02
Janeだから自動で付けてくれるみたいです。
>>492 そりゃぁスマンかった。
何のエラーか判らんが、あぷろだが重くてタイムオーバーになったんんか?
janeだけど普通に見られる。
ちなみに
>>483 は脳豚先生がSasserをいっぱい検出した画像ね。
>>493 数千ものウイルス攻撃って…ヤツのPCはMacじゃなかったか?
デスクトップは売男らしい。
>>494 いえいえ、
けっこうエラー出るんです。IEだと見れたりするんですけど。
昨日今日と何度か ダイヤルアップ でつないでみてるんだが、ぱったり来なくなっている。 プロバイダが TCP/445 宛てパケット遮断したかな?
便乗して139,445,1025,2745,3157,6129をいっぺんに叩いてくる奴が いると騒いでるやつがいるが・・・。 1ヵ月前からあったよ。サッサとは無関係。phatbotだろ
ハイサッサーで綺麗好き〜♪
>>504 旅行券2万円が当るを押してしまったよw
506 :
名無しさん@お腹いっぱい。 :04/05/04 21:08
508 :
名無しさん@お腹いっぱい。 :04/05/04 21:21
かなり概出なことでょうが当方携帯からなのでお許しください プロバイダには接続できるのですがIEがページを表示できませんと出てきます。検索からaveserve2.exeと〜_up. exeとレジストリディタでavserve2.exeは消しました。
509 :
名無しさん@お腹いっぱい。 :04/05/04 21:25
ルーターのログみてみましたところ、ログ最後に445が多数ありました。 防いでいるかいないか、ルーターのログのどの部分を 見ればわかるのでしょうか? なにせログを見たのが今回初めてでして・・・すみま せん。
510 :
名無しさん@お腹いっぱい。 :04/05/04 21:38
>>509 blockとか書いてあれば防いでると思うが。
心配ならログを切り出して貼り付けてみなさい。
>>510 凵@ ○ ∇ 、,、´`゙;~、 ';冫 ☆
┏ ━ゝヽ''人━人━从━〆A!゚━━┓。
╋┓"〓┃ < ゝ\',冫。' 、 (__)Ν ; ゛△│´'´,.ゝ'┃. ●┃ ┃┃
┃┃_.━┛ヤ━━━━━━━(__)━━━━━━━━━━ ━┛ ・ ・
∇ ┠─Σ- /,, ・∀・) ウンコー!冫┨'゚,。 とんでもウンコ、パッカァーン!!!
.。冫▽ < ⊂ ./⊃ 乙 ≧ ▽
。 ┃ Σ (⌒ゞ ,l, 、'' │ て く
┠─ム┼ ゝ,,ノ ノゝ. 、,, .┼ ァ Ζ┨ ミo''`
。、゚`。、 i/ レ' o。了 、'' × 个o
○ ┃ `、,~´+√ ▽ ',!ヽ.◇ o┃
┗〆━┷ Z,.' /┷━''o ヾo┷+\━┛,゛;
ヾ 凵@ '、´ ∇
513 :
名無しさん@お腹いっぱい。 :04/05/04 21:45
2004/05/04 21:44:32 IP_Filter REJECT UDP 192.168.0.2:137 > 192.168.0.255:137 (IP-PORT=0) は大丈夫?
大丈夫以前じゃ。
515 :
名無しさん@お腹いっぱい。 :04/05/04 21:52
>>510 ありがとうございます。も1度調べてみまして
不安な部分がありましたら、ここに貼りたい
と思います。
>>513 それLAN内のじゃないの???
N○CのAt○rmのログじゃない?
517 :
名無しさん@お腹いっぱい。 :04/05/04 22:07
518 :
名無しさん@お腹いっぱい。 :04/05/04 22:13
>>508をお願いします
519 :
これもサッサ? :04/05/04 22:27
教えてください。 問題が発生した為、Generic Host Process forWin32 Servicesを終了…ってのがでてネット接続がきれます。タスクバ−にはアイコンが残ってます。でも接続はきれてる。Winのアッブデイトしてからおかしくなりました。助けてください。
520 :
名無しさん@お腹いっぱい。 :04/05/04 22:28
すいません。質問させてください。
マイクロソフト社の「ワームについてのお知らせ」の中で
(
ttp://www.microsoft.com/japan/security/incident/sasser.mspx )
「Sasserワームの感染の確認および駆除をします」のステップで
英語ページに飛んでチェックする所まで進んだのですが
結果が・・・
Required update is not installed
To use this tool, you must have already installed the security update associated
with Microsoft Security Bulletin MS04-011.
・・・と出てきました。
この表示が出た場合、どうしたらよいのかが分からずに途方にくれています。
表示の色からして、ヤバイという事は理解できたのですが・・・
もし良い解決策をご存知でしたら教えてください。
駆除の前にパッチ
>520 ヤバイんじゃなくてワームの感染確認するツールを使う前に MS04-011のパッチをあてておけってメッセージでしょ?
ありがとうございます。 赤色で表示されてたのでヤバイと思い込んでいました。 もう一度最初からやり直してみます。
英語くらい読めよ
ちょっと教えて頂きたいのですが。 nachiにしろsasserにしろルータのwan側のアドレスの445他にアクセスしに来ている訳ですが、 これって、ルータのlan側にまで入って来れるもんなんでしょうか? ちなみに、DMZの設定はしていません。
>>520 のはエキサイト翻訳通せば十分理解出来るな。
英語アレルギーは良いけどせめて機械翻訳を。
必要な最新版はインストールされません。このツールを使用するために、
マイクロソフト・セキュリティ公報MS04-011に関連したセキュリティ最新版
を既にインストールしなければなりません。
>>527 ルーターの解説をするスレではないわけだが…
余計な設定してなければ答えはno
>>527 Rejectしてれば入ってこれない。
ただし、100%安全というわけでもない。
ルータの設定をきちんとやる事。
ルータとの接続に使うパスワードがデフォルトのままなんてのは問題外。
ルータの設定や解説とかしてるスレってハードウェア板かな?
>>529 ,530
スレ違いな質問にお答えいただきありがとうございます。
ハードウェア板に逝ってきます。
532 :
名無しさん@お腹いっぱい。 :04/05/04 23:36
今のパソコンを買ってから半月ほどしか経ってないのですが、 10分もパソコンを使っていたらネットでページが表示できなくなり、 全体的に重くなるんです。 ノートパソコン(Prius)です。ソフトなどは5つほどしかダウンロード してないです。(その中に非常に重いというものもないです) 他のスレでnetskyに感染してるだろうと言われたんですけど、 netskyの対処法教えてください。
533 :
名無しさん@お腹いっぱい。 :04/05/04 23:37
ルーターのログってどこみるんじゃ?
534 :
名無しさん@お腹いっぱい。 :04/05/04 23:38
おいおいおい… さっきから同じISPの同じIPから 135、445、1025、2745…叩かれまくり… ルータでブロックしてくれてるからいいけど 気持ちわる〜
536 :
名無しさん@お腹いっぱい。 :04/05/04 23:42
N速+のサッサスレ見たけど 全く関係ない話題で回ってた…
》521 何度もくだらないこときいて恐縮なのですが PFWとはなにかのヒァイアーウォールのことでしょうか、はたまた全然違うものでしょうか?
>>539 PFW=Personal Fire Wall。
つまり、パーソナルファイアーウォールのこと。
特定ソフト名のことを指しているわけではない。
>>535 教えてくださったページを見てもよく分からなかったのですが…。
ごめんなさい。初心者なもので(>_<)
Personal Hyaire Wall
>>543 駆除が終わるまで、メールは開かないように。
普段はルータを通して常時接続してるけど、今夜はたまたま出先で ダイヤルアップ接続してる。 この2時間で41回もVB2004が警告だしやがった。こりゃひでぇ…。
549 :
名無しさん@お腹いっぱい。 :04/05/05 00:08
>>543 なんかみんなやさしいな・・・
けどこれくらいは自力で何とかしていかないと、これから先もっとやっかいなのが出てきたとき
対処できないよ。
これを機にもっとセキュリティに敏感になってみることを強くおすすめする。
ホントみなさん優しいです。ありがとうございます。 これで出来るはずなんで、今からやってみます!! 少しずつパソコンの事を知っていかなきゃ…と実感しました…。
554 :
名無しさん@お腹いっぱい。 :04/05/05 00:21
SASSERシリーズってNETSKYの作者たちが作ったんじゃないか? NETSKY.ACで何か言ってるし、SASSER.Dのコピーするファイル名がskynetave.exeだし。 ・・・といってみるテスト(逃
亜種作ったのがオリジナルを作成した人だとは限らないわけで・・・ と可能性を薄めてみるテスd
>>554 NetSkyの作者がSasserシリーズのいずれかのソースをバイナリをクラックとか
Sasser作者と何らかのつながりがあってそこから入手して
それを改造したんじゃ無かろうか 途中からそのファイル名を出すのも変な話だし
しかし、NETSKY.ACのメッセージには自称NETSKY.Vと書いてあるから、普通に考えるとNETSKY.Vが出る前に作られたものであって NETSKY.Vが出たころには当然SASSERは登場してないからオリジナルを作ったのもNETSKYの作者になるんじゃないかな? それとも俺はNETSKYの作者に踊らされているのか?
>>533 ルータによるんじゃね?
漏れは機器診断→ログ情報
すいません。今やっとUPDATEして再チャレンジし、駆除しました。
くだらない質問して申し訳ございませんでした。
>>528 わざわざ和訳ありがとうございました。
もっと知識増やさないといけませんね。お騒がせして申し訳ございません。
いきなり再起動再起動でかなり動揺してたもので・・・。
これってMeを使っている場合関係無いんですか?
コントロールパネルから接続をクリックして全ての接続のFWを開き、ノートンのFWを無効にしたのですがIEが表示できません。そもそもPFWがどれなのかもちんぷんかんぷんです。
どうしょうも無いな
>>546 サンが最初に実行するって書いてる所のリンクをクリックしたら
ページが表示されませんって出てきました…
>>560 M$は関係ないって言ってる。
マイクロトレンドは関係あるって言ってる。
ネットワークのレスポンスが下がるってことを被害として考えたら どんなOSも(ry
>>561 FWとは関係なさそうな?
とりあえずIEの修復を試してみてからじゃないかな?
567 :
名無しさん@お腹いっぱい。 :04/05/05 01:33
ウイルスバスターでSASSER、C検出されました。 しかし削除のところが・・・いいえに先に進めん・・。どうすりゃいい?
569 :
名無しさん@お腹いっぱい。 :04/05/05 01:39
>>532 買ったばかりなえら、ノートン体験版が入ってるよ。
データ更新してスキャンした?
570 :
名無しさん@お腹いっぱい。 :04/05/05 01:46
>>568 サンクス。まじか・・きびしいな・・しかしウイルス感染ファイル460個。
復帰にはウイルス駆除ソフト買ったほうがいいかな・・
571 :
名無しさん@お腹いっぱい。 :04/05/05 01:47
>>568 削除だけはできたような?
駆除はできないんじゃ?
>>570 絶対買ったほうがいい
ってかみんなのために回線切ってください
575 :
名無しさん@お腹いっぱい。 :04/05/05 01:48
576 :
名無しさん@お腹いっぱい。 :04/05/05 01:48
あとトレンドマイクロの製品・サービスが「ページが表示できませんだって」 こんな時に困るな・・
トレンドやシマンテックのページが表示できんとか言ってる香具師ら、 サッサ以外のウイルスの感染を疑う必要も有るんじゃないか? MS04-011を利用するのはサッサだけじゃ無いぞ。
579 :
名無しさん@お腹いっぱい。 :04/05/05 01:57
そいやウイルス検出でSASSERとAGOBOTO発見したw
おとといサッサーにかかったと知り、昨日ノートンを買って入れた所 IEを開くとページを表示できませんと出てきてしまいます
>>576 私もついさっきまで表示出来なかったけど
ログを追って、追って、、、追って、、、ww
やっと表示出来るまでに至ったので、578さんが言う様に
別のウィルスの可能性があるかもしれませんよ。
と言ってる私も10個あったウィルスを12時間かけて
残り2個・・・(サッサC。これでつまづいてます)
木曜日会社に行きたくないなぁ…
583 :
名無しさん@お腹いっぱい。 :04/05/05 02:11
うちはsasserとagobotが波状攻撃でくる・・・ というか、agobotの方がうちは多いな・・・
>>582 最低限もしものために
各種Windows用パッチ 各社のウイルス駆除ツール 各社の最新ウイルス定義
の三つぐらいはCD-Rにでも焼いて持ってくのをお勧めする
会社でport445が開いてる自体おかしいだろ
こいつもまた亜種かなんかでどっかのサイトをDosアタックするとかなるんだろうか?
亜種で駆除してくれるウイルスも出そうだな(w
でも、まいどおなじみ日本語OSは除外される。と
>>582 それぞれ3枚ずつ焼いとけよ。必ず「うちにも焼いてくれ」っていう隣の
課長とか出てくるw
漏れの会社は 深夜か社員の出勤前にSEがチョコチョコやってくれてるから大丈夫だ
591 :
名無しさん@お腹いっぱい。 :04/05/05 02:25
オンラインスキャンって矛盾してるよな・・・ 長い時間ネットワークに接続させといて、ウイルス見つけても何もしない。 感染を拡大させる原因にもなる。 削除しなくてもいいのでローカルにDL&保存ができる形式にすればいいと思うのは、漏れだけ?
595 :
名無しさん@お腹いっぱい。 :04/05/05 02:41
このSASSARとかってウイルスバスター使えば一瞬で滅びるの?
>>595 検出できない亜種もあるかもしれんが、大体できる。
でも一瞬ではない。
これって 本当はサザーらしいね
>>595 インストールしただけでは検出すらしないかも。
インストールした後アップデートを実行し最新のウイルスパターンファイルを
ダウンロードすれば、ダウンロードが完了してそれが適用された瞬間に感染して
いたSASSARは殺される。
あとは全ハードディスクを手動検索して一匹残らず隔離して作業終了。
602 :
名無しさん@お腹いっぱい。 :04/05/05 02:52
オンラインスキャンって検索終了した後削除の仕方どうやるわけ?
>>602 できない。あくまでも検出のみの無料サービスだから。
ウイルスバスター2004評価版インストールすれば1ヶ月間はフル機能
使えるから削除でもなんでもできる。その後は購入するなりなんなり。
スマソ。シマンテックのオンラインスキャンの後ならNIS2004の体験版でも インストールすれば同じようにできるはず。
605 :
名無しさん@お腹いっぱい。 :04/05/05 03:00
私Magabit Gear TE4121C のルーター使ってるんですが・・ログってどこで見れるのでしょうか? もし、知っていらっしゃる方が居たら教えてください すいません
オンラインスキャンって、なんか俺の恥ずかしいファイルが みんな表示されてるし、オンラインってことでトレンドマイクロ社員に丸見えなのかな と思うと、使うのに躊躇して使えない。
607 :
名無しさん@お腹いっぱい。 :04/05/05 03:03
アップデートしてる最中に システムダウンして再起動してしまう(>_<)どうすればいいのー
610 :
名無しさん@お腹いっぱい。 :04/05/05 03:21
↑どういう意味?
いつになったらレッドコード、ブラスターの教訓が生かされるんだろうか?
せんせい!れっどこーどってなんですかぁ〜?
LAN側からWAN(インターネット)側へアドレス変換して通信した時の情報を表示します。で 漏れの端末→202.129.29.108 HTTP(TCPポート:80) ってのはなんだろう?
>>611 人は同じ過ちを繰り返すものですよ。
それで成り立つ職業も多いのです。
パッチを当てていない。尚且つ、ファイアーウォールなども導入していない。 世の中、ごみパケットが飛び回ってまんがな。こう言うのって、損失利益って言うのかな? きっと、何十兆円だよ。
>>613 夜中なのにタイカレー食べたくなった。。。
C:\RECYCLER\S-1-5-18\Dc1.exe は W32.Sasser.C.Worm に感染しています。 C:\RECYCLER\S-1-5-18\Dc2.exe は W32.Sasser.C.Worm に感染しています。 み・・・みつけられない・・・ アフォだ・・・自分
>>617 RECYCLERフォルダをリネームしてから、削除する。
フォルダオプションでシステムファイルを表示する。
>>617 1.マイコンピューターを右クリック、プロパティ
システムの復元タブの「すべてのドライブでシステムの復元を無効にする」
にチェック。OKでプロパティを閉じる。
2.対象ファイルを削除。
3.マイコンピューターを右クリック、プロパティ
システムの復元タブの「すべてのドライブでシステムの復元を無効にする」
のチェックを外す。OKでプロパティを閉じる。
RESTORE≠RECYCLER
>>621 今見て気付いたよ orz
スレ汚しスマソ
皆さん、ありがとうございます。 先程から一生懸命探しているんですが、RECYCLER自体が 見つからずに困っております・・・ 1-5-18というのは見つけたんですが、対象となるモノも 見つからず・・・(検索、レジストリなどで探しています)
>>623 C:\RECYCLER〜はゴミ箱の中だ。
削除したヤツが引っかかってるって事だな。
PCから見ると
[ ごみ箱\ファイル名.exe ]だが
オンラインスキャンでは
[ RECYCLER\S数字\Dc数字.exe ]と表示されるはず。
625 :
名無しさん@お腹いっぱい。 :04/05/05 04:51
必死にshutdown -aを叩きながらうpデート中(w
>>625 サービスの設定から、svchostをエラー時に再起動しないに設定すればいいのに。
bat作ればいいのに
>>624 >>626 さん
ありがとうございます。
ごみ箱が空になってる状態でスキャンしたので、
削除したつもりが削除されずにどこかにある、という事で
しょうか・・・
もう15時間この作業に費やしてるあほです
630 :
名無しさん@お腹いっぱい。 :04/05/05 05:09
ALL初期化の方が速そう
>>629 C:\RECYCLER\S-1-5-18\
をアドレスバーに貼り付けるとかじゃ無理なんですか?
>>631 おお!!ありがとうございます!
「隠しファイル」として出て参りました。
・・・・・・・・(涙)
ポート135に来るのはagobotですか?
隠しをといたものの、0個のオブジェクト・・・0バイト 一体彼らはどこへ行ってしまったものやら・・・
イギリス沿岸警備隊で大々的にやられたと BY NHK RADIO
636 :
名無しさん@お腹いっぱい。 :04/05/05 06:43
SASSERだけに さっさと解決してくれ
>>634 フォルダオプション→表示タブの
すべてのファイルとフォルダを表示するにチェックしても出てこない?
>>634 ゴミ箱のトラブルなら、何でもいいからいらないファイルを1つ
ゴミ箱に入れる(そのファイルを削除する)
それからゴミ箱を空にすると治るよ (XPの場合)
これWindows2000Serverにも当然感染するんだよね? マイクロソフトの修正パッチのページにはWindows2000SP2〜SP4と記されたパッチしかないけど こいつを適用すればいいのかな。 2003Serverのパッチは個別にあるんだけど。
640 :
名無しさん@お腹いっぱい。 :04/05/05 07:32
XP のFWが駄目なケースもあるだろ。 Blasterのときにもあったよな。 XP FWは、XPのTCP/IPが起動してから起動される。 このタイムラグの間に感染するケースがあった。 (だからXP Sp2で改良点となった) アホーとかにモデムで直結しているケースはがいとうする。 フレッツ接続ツールとかPPPoE接続認証の時は平気だと思うがな。 ちなみに、以前トレンドに聞いたことがあるが、同様の危険は あるそうだ(バスターのFW起動順番まで わからん ということ)
俺MEなんだけどネットに繋いだらsasserがどうとか英語ででてきたYO! (ノД`)コワイヨー
>639 2000は2000Serverと2000Proを、XPはXPProとXPHomeを指す。 字を見ればわかるだろ?
>>641 How to Protect Yourself from the Sasser Worm and Other Attacks
とか出たんなら、マイクロソフトからのメッセージで対策をしれという警告だわ
645 :
名無しさん@お腹いっぱい。 :04/05/05 07:52
なんか、自分のメアドを件名に入れて来るよね。 だからメールサーバの設定で、自分のメアドが件名に含まれる メールを受信しないで削除するように設定したら 送られて来なくなったよ!サッサがアホで助かった。。。
>>640 そうか、今までフレッツ接続ツールは余計だと思いつつ使っていたが、
いいところもあるんだね。(XP Home)
あ、パッチは当ててます。Norton AntiVirusも常駐。
>>644 アリd
それなら気にしなくていいね
ヽ(´ー`)ノ
>>646 フレッツ接続ツールとかを使える状況になったときは、
FW起動後のはずだからということかな・・
Windows起動時にはネットに接続せず、その後に手動で接続することに していて、その接続先に対してはXPのFWを適用する、という設定に なっていれば、隙はないですかね? (つまり、接続はされているがFWが起動されていない瞬間があるかどうか)
651 :
名無しさん@お腹いっぱい。 :04/05/05 10:02
652 :
名無しさん@お腹いっぱい。 :04/05/05 10:08
645 名前:名無しさん@お腹いっぱい。 投稿日:04/05/05 07:52 なんか、自分のメアドを件名に入れて来るよね。 だからメールサーバの設定で、自分のメアドが件名に含まれる メールを受信しないで削除するように設定したら 送られて来なくなったよ!サッサがアホで助かった。。。
ルータのログ見てたら、SQLSlammerってまだうろついていたのね。 サッサは昨日よりか減ったよ。
うちの会社のLAN、XPのファイアウォールをONにするとネットに接続できなくなる。 個人パソコンにPFW入れてない香具師もいるし。 別のパソコンで修正パッチや駆除ツールをダウンロードしてCD-Rに焼いて、1台ずつ回るしかないか。 うちの管理者、ブラスターの教訓を活かしていない・・・。 ところで、ネットにつながないでMS04-011の修正バッチが適用されているか確認する方法ってありますか?。 WindowsUpdateの「インストールの履歴の表示」ではネットにつながないと確認できないんですが。
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run っていう場所が存在しないんですけど。 ネットにつないだ直後にシャットダウンされるわけでもないしサッサーじゃないんですかね?
>>655 「プログラムの追加と削除」に出るはず。
「ホットフィックス KB835732」っていうやつがあればパッチ適用ずみ
>>656 それがレジストリー内にないはずはない。
エクスプローラーでファイルを見てたりしてね。ははは
すいません。間違いです。見つからないのは avserve.exe = %Windows%\avserve.exe こっちのファイル自体です
>>649 つまり、「ローカルエリア接続」を無効、XPのファイアウォールを有効
にした状態でOS立ち上げて、「ローカルエリア接続」を有効にしたら、
という話か?
Win2Kなんで実験できないが、それでXPのFWが接続に成功するならOK
だろう。FWによってはFWの起動時にLAN接続が有効になっていないと
以後LANを認識しないものもある。
>>661 XPだと、作成したダイヤルアップネットワーク(PPPoEもここにはいる)
ごとにFWを つける/付けない を設定できるのねん
>>649 はそのことだとおもう
さっきまでシマンテックいけなかったが、やっと評価板ダウンロードのとこまできた・・
いけるかも。これで進める。あと
>>12 のSasser ウイルスに関する情報 Windows XP 編(Microsoft)
ってのにも対策法かいてあるんだけどこれってソフトとか使わないようだけどしっかり
駆除できるの?
>>664 ActiveXコントロールとは、プログラムそのものの事だ。
感染してなかった(´・ω・`) パッチも当ててノートン先生も常時フル活動 このままだとノートン先生がCPU乗っ取って心中する。・゚・(ノ□`)・゚・。
668 :
名無しさん@お腹いっぱい。 :04/05/05 12:01
9x系や、ソフトウェアPFWを適切に導入すれば安全というのは わかるのだが、笹に感染しないとはいえ、やはりポートを猛烈 に叩かれるとPCに負荷がかかるわけだから、ルータ(安物で上 等)を導入するのが正しい。
ノートンはインストールするものじゃない
Nortonもパッチもアップデートもしたけど パソコン綱ぎっぱましだったらどうなるの?
>>668 ノートンに金払うくらいなら3千円くらいのルータ入れてフリーの
アンチウィルス、ファイアウォール、アンチスパイを入れた方が
有効というならそのとおりw ただ初心者は金払うこと自体に安心
を感じるわけで…
>>668 うむ、うちはコレガの安物(3000円)ルータだが、値段の割にはよく働いてくれるわい。
ええええええええっ! 今ルーターそんなに安いのか!!!
>>673 実はウチとこもそれだwww あまりの安さにダメモトで買ったが、
もう2月ぐらいとくに問題なく動いてる。
676 :
名無しさん@お腹いっぱい。 :04/05/05 12:41
スレ違い。ここはSasser専用スレだ。 ついでに言うと翻訳サイトに文章コピペするとか 辞書と睨めっこするとかできんのかキミは。
よし評価板ダウンロード完了・・あと少しで駆除できる・・眠い・・
679 :
名無しさん@お腹いっぱい。 :04/05/05 12:53
>>677 スレ違いでしたか…。ごめんなさい…。
私はsasserという意味をよく知らなかったんで…。今度から気をつけます。
時間がないんです。至急正常なパソコンが必要なんで、
辞書とかひいてるヒマないです…。
ここに書き込むヒマはあるのか。帰れ。
つーか感染する奴が池沼
683 :
名無しさん@お腹いっぱい。 :04/05/05 13:22
>>680 ここに書き込むヒマがある…てか、初心者の私が自分だけの力で
ウイルスを駆除するより、詳しそうな人が多いここで聞いたほうが
早く解決すると思ったんで…。他力本願な人間でごめんなさい。
もうこのスレには来ないんで安心してください。
>>681 ありがとうございました。
>672-673 ヽ(゚∀゚)メ(゚∀゚)メ(゚∀゚)ノナカーマ ウチはMSBLAST騒ぎの直後にADSLにしたから こんな安モンで大丈夫かと心配だったけど、 未だに良く働いてるw
13500叩いてくるやつが異常に増えたな。 おまいらのルータorFWのログはどうですか?
60210?
687 :
名無しさん@お腹いっぱい。 :04/05/05 14:25
TCP: 135,445,1025,1433,2745,3127,6129 UDP: 137,1434 いまんとここんなパケットが多い
>>685 うちは相変わらず、3127、6129、1025、2745が定期的に叩かれてるが
昨日の夜中位から20088を叩くのが増えてきた。
689 :
教えてください :04/05/05 14:37
サッサーに感染した場合に、最新の定義ファイルでスキャンすれば、 ウィルスは削除されるけど、追加されたレジストリの情報も削除 されるのですか?
遅レスですが
>>658 サンクス!。これで手間がかなり減りそうです。
>>666 自分はサーバに触れる身分じゃないし、IPアドレスは全部署を1台のDHCPで割り振ってるから、せっかくの
便利なツールも使えない。別の部署で英語の警告が出たらパニックだろうしw。
>>670 外からのは塞いでいるはずだが、GW中に自宅で感染したPCを社内LANにつなぐ香具師がいると思う。
ブラスターのときもそれにやられたし。
>>689 レジストリの改ざんまで面倒を見てくれるセキュリティソフトは少ない。
感染する前ならファイルを検出してそれが起動する前に駆除してしまえば
問題ないけど一旦感染してしまった状態ならファイルを削除しただけでは
Runレジにゴミが残る。
>>662 の通りのことがききたかったのでした。
今のPCは2月末に買い換えて、初めてXPになったんですが、ちょうどすぐ
NTT西のグリッド実験のBio@Homeに参加したので、フレッツ接続ツールを
使ってマルチセッションを組みました。1つは今までのプロバイダBIGLOBE、
もう1つがグリッドのネットワークですが、これは(詳しいことは判らないが)
インターネットと違うらしいので、そっちにはFWは当てず、BIGLOBEの方だけ
FWを当てる、という設定で来たのです。
グリッドはもう期間が終わったのでその接続は削除したんですが、こういう
1つ1つの接続に対してFWをつけるつけないを個別に設定する方式だと、
何だか まず接続する→それからFWを被せる、みたいな感じがするんです。
そうでなくて先にFWがあって、それに接続要求を通して接続を確立する、
というのなら隙はないと思うんですが。
(サッサと直接関係ないし、ネットのことをもっと勉強しないと聞いてもよく
判らないと思うのでこれぐらいにします。失礼しました)
694 :
教えてください :04/05/05 15:12
>692
レスありがとうございます。
自分もその様に思ったのですが、マイクロソフトのサッサー駆除ツールの
ページ(
http://support.microsoft.com/?kbid=841720 )に、”ほとんど
の場合、ウイルス対策プログラムを最新の状態にすることで、このワームを
駆除することが可能です。” って書いてあるので、レジストリも削除してくれる
のかな?って思ってしまいました。やはり感染していたら、駆除ツールで駆除
するか、手動で削除するしかないということですよね?
695 :
名無しさん@お腹いっぱい。 :04/05/05 15:18
696 :
名無しさん@お腹いっぱい。 :04/05/05 15:24
当方Xguardと言うセキュリティソフト(フリー)使っているんですが、 Outpost等に乗り換えた方がいいですか?
>>695 サッサのプロセスを先に終了させておいても、パッチ適用処理中に再起動してしまうのですか?
>>696 もっと詳しく環境をかかないとなんとも言えない。
例えば、ルータ使ってるんだったらXガドで無問題。
699 :
名無しさん@お腹いっぱい。 :04/05/05 15:52
>>697 オレが経験した限りでは、タスクマネージャでavserve2.exeを
止めようとしても蹴られてしまった。他にテクニックがあるのかもしれんが。
700 :
名無しさん@お腹いっぱい。 :04/05/05 16:04
>>698 すいません、ルータ使っているから大丈夫ですね、有難うございます、
XガドのFWにポート拒否しておいた方がいいですよね
701 :
名無しさん@お腹いっぱい。 :04/05/05 16:06
ルータのほう、ちゃんと設定できてますか? そっち固めるのが先決ですよ。 SPI・アタックブロック等有効になってますか?
702 :
名無しさん@お腹いっぱい。 :04/05/05 16:47
703 :
名無しさん@お腹いっぱい。 :04/05/05 16:49
>>702 まず、大学内にsasserを解き放て
そして感染したものを洗い出して対処すればいい
704 :
名無しさん@お腹いっぱい。 :04/05/05 16:58
すいません、質問です ル ー タ っ て な ん で す か ?
言っていいですか?。「逝ってよし」って。
>>704 中に人が入っていて、「いつものHな画像は田中だし」「このメールはおまいだし」
とか言って汗水流して振り分けてんだよ!
機嫌悪いと「もうあげない!」なんちって弾くんだよ。わかったれすか?
708 :
名無しさん@お腹いっぱい。 :04/05/05 17:07
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を自分が既に当ててるかどうかってわかる? アップデートやって重要な更新に何もなければおk?
710 :
名無しさん@お腹いっぱい。 :04/05/05 17:12
ルーター買ってセットしましたが 設定がお任せみたいなのがデフォルトなんですけど、 敢えてカスタム化しなければ駄目なんでしょうか? あまり詳しくないので、訳の判らない設定にちょっかい出す勇気が湧きません。 標準設定では駄目なんでしょうか? xpホームエディションでNECのpcgateでファイアーウォール設定して マカフィーのウイルススキャンで防備しております。 ルーターはバファローのBBRー4MGという安い有線式です。
>>710 アタックブロックって設定があればONにする
712 :
名無しさん@お腹いっぱい。 :04/05/05 17:29
ルータ無しでモデムのみの場合どうすれば防げますか? アップデートを利用しようとしたのですが、現在利用可能な重要な更新はありません、となっているんですが・・・・・・ 自動更新した覚えも無いので・・・・・・・つД`) タスケレ !!
>>708 アップデートの左側に、その他のオプション「インストールの履歴を表示」って
あるでしょッガ。
>>712 自動更新でインスコされてるんじゃない?
>>712 自動更新は設定によっては、気付かないうちにインストールされてる場合あるぞ
>>712 Windows9X・MEは対象でないかもです。
717 :
名無しさん@お腹いっぱい。 :04/05/05 17:35
>>712 オイラも現在利用可能な重要な更新はありませんってなった。
アップデートの自動更新はしないようにしてたのに・・・。
騒いでるのは9x小僧か
>>714 >>715 更新の履歴見てみたら
4月16日にWindows XP 用セキュリティ問題の修正プログラムってのが入っていました
(KB835732)
(KB828741)
(KB837001)
の修正プログラムが自動更新されていました
同じく16日に
Q831167 : 重要な更新
OESP1の累積的な修正プログラム(KB837009)
が更新されていました・・・・この更新だけでいいのでしょうか?
9xはサッサは大丈夫じゃなかったか?
>>717 過去ログって、Part1れす。。
アナウンスではWin2k/XPになってるけど、トレンドの手動削除手順の中に
Win9X/MEのケースがあるのは? それで・・「かも」なんす。
835732さえ入っていればサッサに対しては安全です。
>>723 そうですか、 (´ー`)y─┛~~ヨカッタヨカッタ
教えてくれた方ドモです
726 :
名無しさん@お腹いっぱい。 :04/05/05 17:54
というか、少なくともここ見てる感染してるヤシ(ROM込み)だけでもFWくらい何とかしてでも使えよ。 それだけでも、被害の何パーセントかは減らせるだろうに。 つーか、感染者のポートって大解放状態なんだよな。 別の意味で危険だと思うぞ・・・
串の踏み台が減るのは困る。
ガイシュツだが、Windowsの更新は「プログラム(アプリケーション)の追加と削除」 に「ホットフィックス KB835732」のように出る。
730 :
i82550 :04/05/05 18:07
FWでポート塞いでやった
>>727 どんなんかと思ってみてきたら・・・
確かにある意味感動だな。
こういうの見ると2chってまんざらでもないな・・・とか思うんだよな。
スレ違い失礼・・・次の方元気にいってみよう!
科学雑巾おそるべし
今のところサッサのせいでネット全体が重くなるというほどではないようだけど、 MSのアップデートは重くなっているんだろうな。 (俺はすぐやったから今の様子は知らん) 連休明けでまた感染が広がるとすれば、みんなが騒いでいる間にもう5月の 定例パッチが来るだろ。 ここでまた大物の脆弱性が明らかになって、そのパッチがまた糞でXPを含め これを当てたWindowsがみな青息吐息の状態になるようなことになってみろw
今日はポート445が賑やかです。 3日----------- 4日----- 5日---------------
パソコンつけっぱなしでもげ平気ですか?
ノートン先生で完全防御 パッチも当てて無問題 でも胸がどきどきするの(´・ω・`) まだ安全じゃなかったりする?
>>673 Coregaの低価格帯ルーターが、ですか?
頻繁に接続が切れるので
ネットからは隔離されて安全とは言えますが・・・。
742 :
名無しさん@お腹いっぱい。 :04/05/05 19:07
どなたか詳しい方、お教え下さい。 ルータのログ見たら 2004/05/05 18:51:58 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.7 : 1086 > 222.2.42.192 : 7788 (IP-PORT=6) 2004/05/05 18:52:09 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.7 : 1086 > 222.2.42.192 : 7788 (IP-PORT=6) 2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0) 2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0) 2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0) 2004/05/05 18:54:52 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6) 2004/05/05 18:54:55 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6) 2004/05/05 18:55:01 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6) 2004/05/05 18:59:53 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6) 2004/05/05 18:59:56 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6) 2004/05/05 19:00:02 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6) 2004/05/05 19:02:02 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6) 2004/05/05 19:02:05 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6) 2004/05/05 19:02:08 NAT RX Not Found : ICMP 168.11.165.1 > 210.170.223.37 (IP-PORT=6) 2004/05/05 19:02:11 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6) 2004/05/05 19:02:26 NAT RX Not Found : ICMP 80.120.160.244 > 210.170.223.37 (IP-PORT=6) となっていたんですが、これはキチンと防御されてるんでしょうか?
りじぇくと
>>743 もうIPが変わってますんで、いいんですが
恥を承知で教えていただきたいもんで…
>>744 REJECTは心配ないんでしょうか?無知ですんません…
cmd.ftpは消しちゃってもいいですか
>>747 さん
レスありがとうございます。そうですか…
「まぁ」というのが何かビクビクですが (((( ;゜Д゜)))
>>748 さん
レスありがとうございます。少しホッとしました。
751 :
名無しさん@お腹いっぱい。 :04/05/05 19:28
>>738 おそらくそのツールはフル活用でしょう。Blasterの時もネットワーク上で検索かけて、
NetBIOSマシン名(通常ユーザIDになっている)を叫んでまわって対策してました。
問題なのは自発的にチェックを受けに来た人をいかに早くチェックするかなのですが…
パッチがあたっているかのチェックと、感染の有無、亜種の判別、駆除までオフラインで
実行可能なツールなんてないでしょうか?
NECのWARPSTARシリーズはログが赤文字以外は大丈夫のはずだけど
>>742
>>753 さん
えっとNECのDR202Cです。WARPSTARじゃなく
確かダイレクトスターだったと思います。
氏万テック見れない…
756 :
名無しさん@お腹いっぱい。 :04/05/05 19:57
KB835732がインストールできません。 インストールしようとしても ファイルまたはヂレクトリを作成できません になってしまいます。 どうしてれすかね?
>>756 それ以前の更新が入ってないんじゃないの?
それとOSやら情報全部秘密だとレスのしようがない。
>>757 さん
いえいえ、あやまるのはコチラの方で(汗
同じNEC製なのでDR202Cも赤字になるのかな…
も少し勉強してみます。ありがとうございました。
>>754 俺も同じDR202Cっす。設定ツールDIRECTSTARのパケットフィルタ設定の種別
「拒否」を 見れば初期値でちゃんと「445」拒否になってるよ。安心して寝よ〜。
756れす OSはXPです。 パソコン初心者でぜんぜんわかんないんです。 このレスの最初の方のやり方でシャットダウンは しなくなったんですが、KB835732のインストールだけ できないんです。
>>760 さん
。・゚・(ノД`)・゚・。 ありがたきアドバイス。多謝です。
明日は会社がどんな事になっているか。 よんよんごぉ〜、よんよんごぉ〜!止めとめ!とかコダマしてんのかなぁ・・
SASSERの症状がでたので、ここのスレと同じ対処して なんとかシャットダウンもなくなり、ネットも見れるようになったんですが PCがやけに重く、アプリケーションが勝手に動いてるみたいです。。 これってまだウィルス残ってるんでしょうか?
sasserよりもAGOBOTが・・攻撃してくる・・
>>742 安心汁!!
ログが残っているということは
防御してるという証拠だ
769 :
名無しさん@セカンドマシーン :04/05/05 20:39
ルータ使用しているので安全だとは思ったのですが 念のためMSのパッチを入れました。 2日くらいは起動したのに今日の朝から全く起動しません。 OSは2000なんですけど、これはサッサーとは関係ないんですかね?
なんか初心者スレになってるな どっかで誘導されてるのか?
>>764 おまいの明日の会社の予想。
係長「おはようございます。サッサー対処のため速やかにWindowsアップデートをしましょう」
社員「係長、電源入れた途端やられますた〜!」
係長「ボゲっ!アップデートの前にやられたんか?」
社員「普通、アップデートするに電源入れるっしょ」
係長「・・・・」
ウイルスバスターもパッチもいれたしひとまず安心だ。 これからWindousのアップデートまめにやらんと・・
774 :
名無しさん@お腹いっぱい。 :04/05/05 20:53
ルーター入れてれば大丈夫?
押忍の精神があれば大丈夫。
適正なルータ設定とマメなWinUPと必勝の信念があれば大丈夫
派遣の身だから、こいつに罹ると契約ごと切られかねないなあ。 明日は人柱が出るまで、社内 LAN に繋がないでおこっと…。
778 :
名無しさん@お腹いっぱい。 :04/05/05 21:06
2000 xp は感染する? 2000serverやNTserverはどう?
779 :
名無しさん@お腹いっぱい。 :04/05/05 21:06
>>773 サンクスモニカ。
なんだ、2000に問題があったのか orz
781 :
名無しさん@お腹いっぱい。 :04/05/05 21:14
昨日 C:\RECYCLER\S-1-5-18\Dc1.exe は W32.Sasser.C.Worm に感染しています。 C:\RECYCLER\S-1-5-18\Dc2.exe は W32.Sasser.C.Worm に感染しています。 が見つからないと書き込んだ617です・・・。 今日も頑張ってるのですが、未だ見つからず・・・ 怪しいのを消してはスキャンの繰り返しで・・・
>>782 レジストリにもないですか?
HKEY_USERS\S-1-5-18\Software\Microsoft・・・・
>>783 ありがとうございます。
昨日からレジストリも探しているのですがそれらしいものが
見つからずに困っている次第です・・・。
>>784 通常のゴミ箱ではなくワームによって作られたファイルだと思われます。
隠しファイルもエクスプローラで閲覧できるように設定していると思いますが
既に強制削除されていてデレクトリにだけ中途半端に残っているような
気がします。あくまでも推測ですが・・
>>785 ゴミ箱も常に空にした状態なんですよね・・・
それで八方塞りな状況になってしまっております。
スレ汚しな下らない質問で本当に皆様すみません
>>787 何度もすみませんです。
昨日、1-5-18が隠しファイルだったので、設定を変えて
隠しを解いたのですが、それでも全く見られなかったので
その可能性がある気がします・・・。
怪しいものは消しているので、これ以上どうしたら・・・という
状況です。
>>789 MSSTASK.EXE とか REGCTRL.EXE は作られてませんか?
791 :
名無しさん@お腹いっぱい。 :04/05/05 21:53
445って共有ファイルの時使用される、ポート?
>>790 残念ながらない様です・・・
REGEDIT.EXE〜というファイルが似た名前ではありますが・・・
793 :
名無しさん@お腹いっぱい。 :04/05/05 21:54
PC保守の仕事してるんだけど、ウイルス対策どうするべ めんどくさい。 パターンファイルだけあげれば大丈夫かな?
>>792 REGEDIT.EXEは触らないで、それ消したらレジストリ編集できんくなる。
後は・・・・ん〜ん、判らんなぁ。スマソ
>>794 はい。了解しました。
何度も何度もすみませんです。
Dc1.exeっていうもの自体、全く見つからないもので
この二日はこれにかかりっきりですw
自分が悪いのでこれからはしっかりセキュリティー
考えなくては・・・と反省しております。
アンチウイルスソフトでも無理か?
ノートン壊されたーうわーん
>>795 既出でスレ違いで見当違いかもしれんが、あとはSpybotなんかで検索・駆除
を試みるしか考えつかん。ホントスマン
>>798 いえいえ。とんでもないです。
そう言われて当たり前です。
そちら関係のスレで勉強してきます。
本当にありがとうございました。
800 :
名無しさん@お腹いっぱい。 :04/05/05 22:09
SASSERファミリー(A〜D)の感染動作概要 ■感染経路のport番号 感染マシン→ターゲットマシンのTCPポート445をスキャン 感染マシン←ターゲットマシンの脆弱性の情報を確認 感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り 感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送 ■レジストリの改変 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ・ウィルスが書き込む値: avserve.exe = %Windows%\avserve.exe avserve2.exe = %Windows%\avserve2.exe skynetave.exe = "%Windows%\skynetave.exe" ■その他ウィルスが作成するファイル名 <ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe") システムドライブのルート(C:\)にWIN2.LOG" というログファイル
スレタイで爆笑した俺は池沼。
このウイルスが駆除されたかどうか確かめるにはどうすればいいのでしょう?
805 :
名無しさん@お腹いっぱい。 :04/05/05 22:37
だいたい「ネットに 接続するだけで何もしなくても感染」とはどういうこと???
CodeRed Nimda Blaster Sasser ワームは増え続け、絶滅も活動停止もしない。 ネットがゴミパケットで溢れかえってしまう。
ルーターの電源入れたと同時に、待ってましたとばかりに猛攻撃が! 頑張れルーター
809 :
名無しさん@お腹いっぱい。 :04/05/05 22:54
涙 ε=(´∞`)ハァー 執行猶予六十秒では落ちないあっとふりーでぃ64
リリンの作ったトラフィックはゴミで満ち満ちている‥‥
ずっとご近所さんからばかりだったけど、オランダから来てるのがあった。 海外旅行もこれくらいお手軽だといいなあ…w
445叩かれまくりだな 明日の祭りは確定だろ
■ sasser をとりあえず“駆除”する方法、または“駆除”されたことを確認する方法 0.ネットワークから物理的に離脱する 1.タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認 2.レジストリで、 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run で "avserve*.exe" = "C:\WINDOWS\avserve*.exe" (*:なし、または数字) "skynetave.exe" = "C:\WINDOWS\skynetave.exe" (Windows2000:WINNT) の削除、または無いことを確認 3.%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認 (%SystemRoot%:Windows, または WINNT)(*:なし、または数字) 4.%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認 5.システムドライブ(ふつう C ドライブ)のルート(直下)の "win*.log" の削除、 または無いことを確認 (このログは sasser の他への攻撃成功の戦利記録) 6.Windows を再起動
パソコン立ち上げたまま寝ても大丈夫でしょうか? アップデート、Norton済みです
815 :
名無しさん@お腹いっぱい。 :04/05/05 23:18
>>814 必要がなければ電源は落とせ、その方が無難
必要なら止むを得まい、
としか回答しようがないでしょ?
ネット上のどの鯖も重くなっているような…やっぱsasserの仕業か。
>>814 それこそ自己責任。
コンビニに車で買い物に行って、
エンジン掛けっ放しにするかどうかってことと同じ。
なにが起こっても
責 任 取 る の は お 前 だ
つか、そんなこといちいち聞くなよ 馬鹿じゃねーか
断る。 初心者スレ逝け。 と思ったら初心者スレがここに誘導してるやん(鬱
かかったー__| ̄|○
いらねーよ うぜえな
ネットがsasserのゴミパケットであふれかえってて重い。
そんな重いかぁ? さほどでもないよ。
感染してから自分の症状が何か確認しようとしてもインターネットにつながらないんだよな
>>817 あなたのPCがWindows2000なら上から4番目の左側
Windows XPなら上から5番目
SASSERに感染後駆除して、駆除された事も確認済みですが、 なぜか数分くらいするとネットに繋がらなくなるという症状が治りません。 これはまだ感染しているということなのでしょうか?
>>833 Netskyだったかな
同じような症状を聞いたことがある。
ってか上の方で出てたような
東京房区のケーブルテレビからネットに繋いでいます このプロバイダは他の会社にウィルス対策を依頼してて、 ここ3週間で30通くらいのウィルスメールを削除しました っていう通知がきました。こんなもんでしょうか…? 何かしらありましたら、ご足労ですがレスをいただきたいと 思います。ぜひともよろです。m ( _ _ ) m。
>>837 んで、どれが質問なの?こんなもんでしょうかってのがそう?
よく意味がわかんない…
>837 板&スレ違い。去れ。
>>837 何が聞きたいのかさっぱりわからん。
第一Sasserはメール感染型じゃない。
スレ違い
XPだけどMSのパッチ当てておけば問題ないんでしょ?
今回ばかりは俺もう駄目かもしれない。感染してあぼ〜んだよきっと
844 :
名無しさん@お腹いっぱい。 :04/05/06 00:24
>>617 まだ見てますか?
ふと思ったこと。
フォルダオプション→表示→保護されたオペ(ry
のチェックが入ってれば消してみると何か出てくるかも
さあね。余所逝きな。
833ですが釣りではなくて、本当に症状が治らないんです。 一度感染したのは確かですが駆除済みです。 今もMSの対策ページでもう一度確認しましたがやはり現在は感染していませんでした。 でもネットはだんだん重くなってやはり繋がらなくなってしまいます。
それがどうした
>>837 です。漠然とした書き方すいませんでした。
>>838 さんのおっしゃるようにこんなもんでしょうか≒
こんな例は沢山あるでしょうか?と聞きたかったのです。
スレ違いなようなので相応しいスレを探します。失礼しました。
>>846 感染したのがSasserだけじゃ無かったんじゃない?
AGOBOTあたりもSasserと同じ脆弱性を狙うようだし、もう一度ウイルスチェックした方が良い。
>>846 再度ウイルスのスキャンを汁。他のヤツが何か見つかるかも。
853 :
名無しさん@お腹いっぱい。 :04/05/06 00:35
ME使ってればいいんじゃない? MSも賠償しろ!
>>850 >AGOBOTあたりもSasserと同じ脆弱性を狙うようだし
それはどうかな?
855 :
名無しさん@お腹いっぱい。 :04/05/06 00:41
自分はサッサ感染症状に該当していて、カウントダウン中にファイル削除して、再起動したらユーザー選択のところで矢印だけ出て背景は真っ黒でそこから進まないのですが、何か対策はありますか?ちなみに今は携帯からです。
1243が結構多いな・・・なんだろ、これ。
857 :
名無しさん@お腹いっぱい。 :04/05/06 00:47
KB835732充てなきゃだめなのかよ 正直Sasserよりうぜえこのパッチ
859 :
名無しさん@お腹いっぱい。 :04/05/06 00:54
ねえねえ、AGOBOTってなんて読むの? エロいひと教えて
明日会社逝きたくない・・・・ パッチ当てとけって連休前に言ってたしFWあるし連休中にお呼び出しもなかったから大丈夫だと思うけど 早くセキュリティ担当外れたいよ(´・ω・`)
445アタックが0時くらいから32回になりました。
spybotで駆除成功しました。 沢山アドバイス下さった方々、本当にありがとうございました! 自分がいかにアホな状態で居たかが、身にしみてわかりました・・・。
865 :
名無しさん@お腹いっぱい。 :04/05/06 01:04
>>862 コーポレートエディションは入ってないの?
866 :
名無しさん@お腹いっぱい。 :04/05/06 01:05
バッチ当てるとログオンは遅いので当てん!
>>865 コーポのサーバ、いざという時に役立たずだ罠
>>856 1243 BackDoor-G, SubSeven, SubSeven Apocalypse, Tiles
必ずフィルタリングしてください トロイの木馬によるデータ盗難
だって。
870 :
名無しさん@お腹いっぱい。 :04/05/06 01:49
なんかこの時間になって急にICMP(pingだろう)打ってくるやつが増えてきたんだが・・・ なんかblasterの時もこんな流れだったような気が・・・ ひょっとして亜種か?
亜種なんでこれから腐るように出てくるだろうさ
まさに企業なんかはblasterの時の教訓を試される訳か・・・
ping打たれてるかどうかってどうやって確認するんだろう??
>>875 ファイアウォールのログ見ろよ。ICMPなんちゃらって、どっちゃり出てるでよ。
>>874 去年は某K電気屋のポスレジが2日くらいあぼーんして、
電卓手打ちで汗かいてたな。
>>877 NISには反応なし…。
ルーターのログは
2004年5月6日 01時36分39秒 フィルタ 200.82.57.106 --> 自分パソ TCPポート:80
2004年5月6日 01時33分43秒 フィルタ 4.7.208.139 からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月6日 01時33分43秒 フィルタ 4.7.208.139 --> 自分パソ TCPポート:445
2004年5月6日 01時33分37秒 フィルタ 4.7.208.139 からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月6日 01時33分37秒 フィルタ 4.7.208.139 --> 自分パソ TCPポート:445
…ICMPは何処… _| ̄|○;
見る所が間違ってるのかな?
うちは昨夜7時台にぽつぽつとICMPがあったけど、あとは電源を切ったので 不明。いまはない。(もう寝てるPCが多いということだろうけど)
うちもポツポツといった感じでICMP (ここ8時間で3回) この一時間ぐらいは5〜10分に一度ぐらいで落ち着いてる
うちだけかもしれないけど、この時間帯はやはり攻撃の頻度が低いな。 ウイルスに国境なしとはいうものの、来るのは近所が多いということか。 昼間になればもっと多くなるだろう。 でも外国にはゴールデンウィークなどはないわけだが、あまり大騒ぎに なっている報道も聞かない。 MSBlastの教訓を生かして、今回はパッチを当てた人が前よりはだいぶ 多くなったのかもしれない。
>>869 サンクスです。
必ず、というほど重要なものだったのか・・・。
ルータ様さまだな。
Gaobot(Agobot)のLSASSアタックルーチンは動いてないか localhostにしか働かないかだよ。 アラートレベルが低いのが変だと思って実験機で踏んでみた。 外部にパケ出てない。
ルータとは無縁な56kbpsのダイヤルアップの俺は勝ち組。 XPSP2のファイアウォール最強。
一眠りして起きたらネットワークトラフィックはどうなんってるんだろうか。 SEさんは引っ切り無しに呼ばれるんでしょうね・・・・
連休中は携帯電話切ってたよ…。
>>885 ルータ入れてる奴のほうがこういうバグ突き型に感染するリスクは低いだろう。
(設定いじくって穴だらけなら話は別だが)
ダイヤルアップだから、ファイアーウォールなんていらないと思ってる奴も結構いるみたいで。
いや56kbpsでWindowsUpdateするのかと思うと眩暈がしそうw
サッサーには感染してはいないですがちょっとくだらない質問いいですか? 例えばメールを介したウィルスは理論上全PCが駆除してしまえば根絶出来るような 気がしますが サッサーのようにネット上に存在するウィルスは感染の有無は置いといて、 常にネットワーク上に存在し続けるのでしょうか? で、ブラスターはもう存在しないのでしょうか? 空気感染するウィルスの根絶は難しいように・・・ ルーターもある、アップデート失敗にもめげず、当日当てたのはただの偶然ですが 今後のためにも知りたいな、と思いました
カキコんでから思った・・・ 全サーバーが対応してしまえばネットワーク上からもいなくなるのかな?
>>890 感染者が居なくなれば消えるだろう。
100%不可能だが
Blasterは未だに残ってる。
未だに感染者が居るため
>>892-893 即レスありがとう!
ブラスターはまだ残ってるんですか
という事はこれから買い換える時は
ルーター、FW等セキュリティに注意しつつ、
購入直後の各種アップデートしなければならないんですね
一月に買ったメインPCが何事もなくアップ出来たのも「偶然」ルーター入れてたからか
(NTTはただのモデム、って言ってたが良く見ればルーター機能付きモデムだった)
ありがとう勉強になりました
>>894 >購入直後の各種アップデートしなければならないんですね
メーカー製のPC等は、こういうネットワーク感染型のウイルスがある場合、
そのパッチを当てて出荷する場合がある。
Blasterのパッチも当たってる場合が多い。
>>894 連休の間にADSL入れた(ルーター機能つきのモデムつきのモデム入れた)ら、
FWが静かになってしまったので、
どっか設定変えちゃって機能してないのかしら、と試しにダイヤルアップで繋ぎなおしたら、
鳴りっぱなしになりました。
ありがたいよな、物足りないよなw
>>897 すいません
Intelligent Updater でいいようですね
スレ汚しすいません
うちのセキュリティー担当は明日出勤なわけだが・・・orz 俺はいやだ、やりたくない。夜勤明けで帰らせてくれ!でも、税理士が来るんだよなorz
おはよう 今から出勤するぽorz
おまいらの会社にはSEもおらんのか?
8時半少し前ぐらいから、445への攻撃が増えてきた。 違うIPが数回ずつやっていく。 どうやら各社のPCのスイッチが入り始めたようだw
>>903 インターネットの世界は日本だけですか?
>>904 でも深夜は少なかったよ。
攻撃に使われるIPアドレスの生成方式で、近所が多くなるのでは
ないか。
すいません、MS04-011 [KB835732]が当たってなくて攻撃受けたら ノートンなりバスターなりのウイルスパターンファイルが最新でもあぼーんですか?
log見ても445への攻撃は少ないな。
Blasterの時はもっと凄まじかった
>>906 FWで455落とせ
ノートン2004はAuto-ProtectをONにして、定義も最新なら とりあえず感染はしないはず。
パッチ当てるかFWしないとウィルスに感染しなかったとしても、 外部から管理者権限取り放題だが
待っているのだけれど、Sasserが来ない(´Д`)!!
まさかとは思うが、メールで来るのを待ってるのではあるまいなw
913 :
名無しさん@お腹いっぱい。 :04/05/06 10:24
>>913 情報遅いね。もう D まで逝ってるよ。
すんまそん、読み違え。逝ってきます。
916 :
名無しさん@お腹いっぱい。 :04/05/06 10:34
lsass.exeが状態コード128で落ちるのもSasser?
今頃糞パッチKB835732がサッサー以上の猛威を振るってる悪寒
918 :
名無しさん@お腹いっぱい。 :04/05/06 10:37
919 :
名無しさん@お腹いっぱい。 :04/05/06 10:42
918thx でもやっぱり0だよなー 他にも128で落ちてる人がいるっぽいんで亜種かと思ったんだが・・・ なんだー!!!
XPのファイヤウォールのログの IPアドレス1個目、2個目、の後にある数字のどこかに、 445っていうのがあれば、sasserですよね? …来ない(´Д`)!!…違うのかな。 他の人、どれくらい来てます??
921 :
名無しさん@お腹いっぱい。 :04/05/06 11:02
↓朝からこのバカがうるさいのだが、どうにかしてください。
inetnum: 61.205.128.0 - 61.205.143.255
netname: KCC-NET
descr: Cablenet Kobe Ashiya Co.,Ltd.
country: JP
admin-c: YT4624JP
tech-c: YT4624JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
changed:
[email protected] 20010507
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
changed:
[email protected] 20040421
source: JPNIC
>>921 まず、おまいの頭をどうにかしてください。
924 :
名無しさん@お腹いっぱい。 :04/05/06 11:13
445をつついてくる香具師をポトスカンしてみた 21 ftp File Transfer [Control] TCP 接続可 25 smtp Simple Mail Transfer TCP 接続可 80 www-http World Wide Web HTTP TCP 接続可 110 pop3 Post Office Protocol - Version 3 TCP 接続可 113 auth Authentication Service TCP 接続可 119 nntp Network News Transfer Protocol TCP 接続可 135 loc-srv Location Service TCP 接続可 443 https https MCom TCP 接続可 563 <不明> - TCP 接続可 1025 blackjack network blackjack TCP 接続可 1027 <不明> - TCP 接続可 1028 <不明> - TCP 接続可
■悪質ウィルスSASSER大暴れ中
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル
現在確認されている亜種はA〜Dの4種類ですが、動作、対処法はどれもほとんど同じ。
前スレ sasser【スタコラサッサ】sasser Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/ ■症状
・妙な窓↓が出てカウントダウンの後OSが強制的にシャットダウンする。
LSA Shell(Export Version) has encountered a problem
This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかわからないが動作がメチャ重い。ネット接続がひんぱんに切れる。
・症状はパソコンの環境によっていろいろです。変だなと思ったらこの後のテンプレ
読んでさっそく対策してください。ウィルスを広めるあなたもウィルスじゃ。
■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html ・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
やルータの設定で、
UDP135、137、138、139及び445、
TCP135、138、139、445及び593
のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
を許可しない。
マイクロのサッサ駆除ページの感染確認のところで YOUR PC IS NOT INFECTED と出て一安心なのですが To help avoid worms such as Sasser in the future, visit the Protect Your PC site. 下のこの文章が理解出来なくてとてもとても怖いです 誰かへるぷみー
サッサーでいいの? サッサ?セッサ?サッセ?
《SASSER動作概要》
■SASSERファミリー(A〜D)の感染動作概要
・感染経路のport番号
感染マシン→ターゲットマシンのTCPポート445をスキャン
感染マシン←ターゲットマシンの脆弱性の情報を確認
感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り
感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送
・レジストリの改変
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・ウィルスが書き込む値:
avserve.exe = %Windows%\avserve.exe
avserve2.exe = %Windows%\avserve2.exe
skynetave.exe = "%Windows%\skynetave.exe"
・その他ウィルスが作成するファイル名
<ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")
システムドライブのルート(C:\)にWIN2.LOG" というログファイル
■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html ・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
やルータの設定で、
UDP135、137、138、139及び445、
TCP135、138、139、445及び593
のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
を許可しない。
■sasser を手動で“駆除”および“駆除”されたことを確認する方法
0.ネットワークから物理的に離脱する(ケーブルを抜く、モデムの電源OFF)
1.タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
2.レジストリで、
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
で "avserve*.exe" = "C:\WINDOWS\avserve*.exe" (*:なし、または数字)
"skynetave.exe" = "C:\WINDOWS\skynetave.exe" (Windows2000:WINNT)
の削除、または無いことを確認
3.%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
(%SystemRoot%:Windows, または WINNT)(*:なし、または数字)
4.%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
5.システムドライブ(ふつう C ドライブ)のルート(直下)の "win*.log" の削除、
または無いことを確認 (このログは sasser の他への攻撃履歴が記録されている)
6.Windows を再起動
■ Windowsアップデート後、Microsoft純正Sasserツールで駆除
http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17 使い方
http://support.microsoft.com/?kbid=841720 ・手動:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
実行→regedit→以下の項目を削除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
さらにウィルスとして発見されたファイルがあれば削除
…他にも有用情報はありますが、それはいつでも貼りなおせるし、 必要最小限というとこんなもんかと…
乙〜
>>927 セッセと呼ぶと云い
googleは
サッサー 1060
サッサ 32200
サッセ 80
セッセ 7220
セッサ 3690
セッシャ 954
ササーかとおもた
936 :
名無しさん@お腹いっぱい。 :04/05/06 12:30
サッサのウィルス退治しても、しばらくするとまた感染 7件ってでる。セキュリティ修正プログラムもは入ってるのに! なんかおかしい!ヘルプ
アストロロボ
939 :
名無しさん@お腹いっぱい。 :04/05/06 12:46
それでYAHOOだけが救われてるのかな 他にポート閉じてるプロバはないの?
940 :
名無しさん@お腹いっぱい。 :04/05/06 12:57
>>939 Yahooでも、内部だけなら通るんじゃないのか?
941 :
名無しさん@お腹いっぱい。 :04/05/06 13:07
>>933 ややこしい。経産省あたりが日本語名つけてほしい。
日本名、ウィンダム。
プロバにポート閉じられたら困る人もいるだろう。 感染者だけ半年くらい隔離してほしい
やっほーだけど445叩かれたよ。たいしたことないけど
>>940 全然感染しないよ_| ̄|○
ただいまダイヤルアップで待ち受け状態れつ(・∀・)ニヤニヤ
947 :
名無しさん@お腹いっぱい。 :04/05/06 14:32
>>945 そりゃYahooのダイアルUPなんて誰も使っていないから、振られたIPに
近い奴が感染している確率なんて低いからだろ?
砂漠で一人ぼっちで立ってて、誰とも会わないのに、風邪に感染しないよと
言ってるようなもんだと思うけどな。
>>945 通りかかったラクダにくしゃみ吹きかけられてあぼーん。
949 :
名無しさん@お腹いっぱい。 :04/05/06 15:01
以下の現象、昨今流行のSasserと関係があるんでしょうか?
同じような英文メールが数日前から大量に来るようになりました。
(1日300通から500通)
From:フィールドが
MAILER-DAEMON@なんとか (Mail Delivery System) で、
Subject: Undelivered Mail Returned to Sender
Subject: Returned mail: see transcript for details
Subject: failure notice
というSubjectのメールが数日前から大量に来るようになりました。
Sasserの流行と関係があるんでしょうか?
Sasserに感染したパソコンが、なんでFrom: MAILER-DAEMON@なんでしょうか?
Sasserってそういうことをやるの?
----- The following addresses had permanent fatal errors -----
とか
Sorry, your message to
[email protected] cannot be delivered.
This account is over quota.
とかなんていうもっともらいしいことが書いてあるんだけど…。
転送メールのヘッダーのReturn-Path: に僕のアドレスが入ってるん
だよね。From:はまた別人のアドレスが入っている。
これって詐称メールがばら撒かれてるってことかな?
それとも、僕のメールサーバーが感染して、
勝手にメールをばら撒いてるの?
>>926 「サッサーみたいなワームを今後とも避けるために、「あなたのPCを守ろう」の
サイトをごらんください。」
というだけのことなのでご安心を。
951 :
名無しさん@お腹いっぱい。 :04/05/06 15:10
948ワロタ
952 :
名無しさん@お腹いっぱい。 :04/05/06 15:10
あんたが感染源なんだよ。
953 :
名無しさん@お腹いっぱい。 :04/05/06 15:11
954 :
名無しさん@お腹いっぱい。 :04/05/06 15:12
956 :
名無しさん@お腹いっぱい。 :04/05/06 15:20
>>955 ということは、Sasserに感染しても、アドレス詐称メールは
ばら撒かないってこと?
Sasserに感染すると、具体的にはどういう害があるんですか?
ざっくり読んでみたかぎりだと、
パソコンが遅くなる、くらいの害しか書いてないけど…。
メール詐称ばら撒きとかデータを破壊するとかいう症状は、
Sasser感染とは関係がない?
957 :
名無しさん@お腹いっぱい。 :04/05/06 15:30
>>956 Sasserはメールでは感染しない。
ネットに繋がってるパソコンを直接狙って来るのでNetskyより恐い。
勝手にシャットダウンとかするのでサーバーに使ってるPCは困るだろう。
959 :
名無しさん@お腹いっぱい。 :04/05/06 15:31
>>956 お前さんはこのスレの何を見ていたのかと…
せめて、
>>1 とその関連サイトをもう一度見直してくれ。
>>956 Sasserはメールは使いません。
これに感染したことによる感染者自身の被害はパフォーマンスの低下
ぐらいが多いようです(詳細はウイルス対策各社のサイト参照)。
データの破壊や盗難は、今のところはないですが、そういうことをする
Sasserの亜種が今後登場しないとも限らないので、風邪程度と侮っては
なりません。
あと、「Sasserを除去するソフトをやる」と称してNetskyつきのメールを
送りつけられることがあるらしいので注意。
961 :
名無しさん@お腹いっぱい。 :04/05/06 15:39
>>960 >これに感染したことによる感染者自身の被害はパフォーマンスの低下
>ぐらいが多いようです
なーんだ、大騒ぎするほどでもない。
964 :
名無しさん@お腹いっぱい。 :04/05/06 15:48
君らマイクロソフトの質の悪い商品のおかげでてんてこ舞いだね。
log 1025,3127,6129,1080,2745,80,1433,4899,21,8062,80,後は10000以上 全部Unrecognized access
これのせいでもしかしてトラフィック増えてる? 何か回線重いんだけど。
ウィルスよりMSのパッチの方が怖い
重いと思うから重いのかもしれない。 普段気にせずヤフー開いたりとかしてるから分からない。
自分の家でネズミ講の集会開かれてるけど、 自分には害が無いからまぁいいかと思える奴は平気だろうな。
972 :
名無しさん@お腹いっぱい。 :04/05/06 16:58
Sasserって感染してても気が付かない人が多いのでは? LANに繋いで無いと実害が分かりにくいし。 インターネット接続だけの単独パソコンなら感染は分からないかもね。
MEだと大丈夫なの?
…話がループしてるな。 過去レスくらい読まないのか?
>>972 実害無いなら無問題じゃない?
光直結でルータもFWもウプデートすら施していない友人
何も異常が見られないって言ってたよ
観戦したくても98SEだから無理ぽショモーン
自分に害が無くても他で誰かが悲鳴を上げるかもしれないな
>>979 パソコン持ってる奴なんて一杯いるんだから探してきなよ。
■マイクロソフトのSasser感染・駆除チェックサイト
http://headlines.yahoo.co.jp/hl?a=20040506-00000008-imp-sci 画面をスクロールして↓下記のボタンを押す。
------------------------
Check My PC for Infection
------------------------
能書窓が出るのでI agreeのラジオボタンにチェックを入れる。
------------------------
Your PC Is Not Infected
------------------------ と出ればOK。
Windowsのアップデート「MS04-011」が未適用のPCだと
To use this tool, you must be running Windows XP or Windows 2000,
and you must have already installed MS04-011.
と表示されて検知・駆除ができない。→アップデート適用後再度検査
アップデート適用ずみだが、それ以前にSasserに感染していた場合、
The Sasser worm was successfully removed from your computer.
と表示される。「駆除に成功した」のでこれでOK
>>982 リンク先をそのサイトにしないと意味ないじゃん
■マイクロソフトのSasser感染・駆除チェックサイト
http://www.microsoft.com/security/incident/sasser.asp 画面をスクロールして↓下記のボタンを押す。
------------------------
Check My PC for Infection
------------------------
能書窓が出るのでI agreeのラジオボタンにチェックを入れる。
------------------------
Your PC Is Not Infected
------------------------ と出ればOK。
Windowsのアップデート「MS04-011」が未適用のPCだと
To use this tool, you must be running Windows XP or Windows 2000,
and you must have already installed MS04-011.
と表示されて検知・駆除ができない。→アップデート適用後再度検査
アップデート適用ずみだが、それ以前にSasserに感染していた場合、
The Sasser worm was successfully removed from your computer.
と表示される。「駆除に成功した」のでこれでOK
985 :
名無しさん@お腹いっぱい。 :04/05/06 17:51
仕事から帰ってきて、PC立ち上げて、ここ見てみたら・・・ アレ? なんか落ち着いてるやん・・・ FWのログ見てもなんか445なんかほとんど来てないし・・・
>>985 プロバイダにもよるが、ポートを閉じてる場合がある
ぷららはガンガン来てるぞー!
989 :
名無しさん@お腹いっぱい。 :04/05/06 18:23
445たたきが落ち着いてきたと思ったら 今度は16060たたいてくるのがじわりと増えてきてる。 なんかもう何でも有りって感じだな。
990 :
名無しさん@お腹いっぱい。 :04/05/06 18:36
あほーは閉じてるっぽい
991 :
名無しさん@お腹いっぱい。 :04/05/06 18:36
すいません 頑張ってアップデートして 駆除ツール作動させたんですが。。。 ポートの閉じ方とかが良く分かりません。
>>991 ポートを閉じるのは、「ファイアウォール」というもので行います。
WindowsXPなら、「スタート―接続―すべての接続の表示」で
お使いのプロバイダの接続を選んで、右クリックして「プロパティ」
を出します。
その「詳細設定」のタブを見ると、一番上にファイアウォールを
設定するところがあるので、それにチェックを入れてください。
これでウイルスが使うあらゆるポートが閉じられます。
※接続中に行うと完全にできないようなので、いったん接続を
切ってからするとよいと思います。
a
>>990 どうかな? YBBだが、445はYBBの近所からがもちろん多いが、
中国広東省あたりからもちらほら来ている。
997 :
名無しさん@お腹いっぱい。 :04/05/06 18:59
>>993 >> これでウイルスが使うあらゆるポートが閉じられます。
へー
このスレッドは999を超えました。 1000を取るのに生きがいを感じてる方。 ↓
1000
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。