sasser【スタコラサッサ】sasser　Part1

■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

以下の情報はSASSER.AとSASSER.Bのものですが、さらに亜種が発生する可能性大。

【概要】
・Microsoft LSASS Sasser ワームの拡散
　http://www.isskk.co.jp/support/techinfo/general/Sasser_172.html

【基本情報】
トレンドマイクロ(手動削除手順はトレンドが詳しい)
SASSER.A
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
SASSER.B
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
シマンテック
SASSER.A
　http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html#technicaldetails
SASSER.B
　http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html#technicaldetails

関連スレ
　【正式】ウィルス情報＆質問　総合スレッド☆Part18
　　http://pc3.2ch.net/test/read.cgi/sec/1081735712/
　Blasterスレ　part5
　　http://pc3.2ch.net/test/read.cgi/sec/1065964513/
（303になってたら後継スレを探してください）

■こんなんなったらサッサーにやられてます。

【症状】以下のような窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　LSA Shell(Export Version) has encountered a problem
　This system is shutting down...by NT AUTHORITY\SYSTEM

【予防法】WindowsのLSAに関するセキュリティホールにパッチを当てる。
　Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

【感染確認】 Windowsのシステムフォルダ内（\Windows\ または\WINNT\）に
　 "＜ランダムな数字＞_up.exe"（ファイル名例："12345_up.exe"）というファイルが
　作成される。

【駆除方法】
・Microsoft純正Sasser駆除ツール
　　 http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
　使い方　http://support.microsoft.com/?kbid=841720

・手動：セーフモードで（F8を連打しながら）起動→スタート→ファイル名を指定して
　実行→regedit→以下の項目を削除
　　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　　値　： avserve.exe = %Windows%\avserve.exe　（SASSER.Bの場合　avserve2.exe）
　→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
　さらにウィルスとして発見されたファイルがあれば削除

【Winアップデートがﾜｹﾜｶﾒの人、まずファイアーウォール入れましょう】

Ｑ　Windowsのアップデート全然やってなかったんで…なんだかたくさん
　　あって、ﾜｶﾜｶﾒでつ…（泣
Ａ　脆弱性（ぜいじゃくせいｗ）のあるパソコンをネットにつなぐとパッチをダウン
　　してる間にウィルスに感染しちゃう鴨です。まずファイアウォール入れてから
　　ゆっくりWindowsのアップデートしましょう。
Ｑ　ファイアーウォールって何？
Ａ　ファイアーウォール（FW）はデータ通路の玄関（port）の警備員みたい
　　なものです。通行許可証のない人（データ）を通さないようにします。
Ｑ　ファイアウォールでさっさーが防げるんですか？
Ａ　防げます。「LSAというプログラムをインターネットに接続していいですか」
　　みたいなことをファイアウォールが尋ねてきますから「ダメ」とボタン押せばOK
Ｑ　ファイアーウォール入れてれば絶対安全？
Ａ　可能性は少ないですが、ＯＳがネットに接続してからFWソフトが立ち上がるまで
　　のわずかなスキに侵入される可能性があります。修正パッチ当てる前のOSを
　　立ち上げるときはケーブルを抜くか、モデムの電源を落としておけば安心。
Ｑ　無料のファイアウォールってどうなのよ？ ちゃんと役に立つ？
Ａ　定番はZone Alarm、 Outpost、Kerioなどの製品。有料版もありますがフリー版
　　で機能は十分です。詳しいことは専用スレで。「Outpost　まとめサイト」がファイア
　　ウォール関係の解説わかり易いです。他のFW使う場合でも見ておくといいです。

Agnitum Outpost Firewall part15
　http://pc3.2ch.net/test/read.cgi/sec/1079512402/
ZoneAlarm Part19
　http://pc3.2ch.net/test/read.cgi/sec/1081594360/
☆彡Kerio Personal Firewall 2.1.5　Rule 14☆彡
　http://pc3.2ch.net/test/read.cgi/sec/1075173212/
Outpost 2ch　まとめサイト
　http://www.geocities.jp/outpost_2ch/

Sasser ワームについてのお知らせ(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser.mspx

Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx

Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_2k.mspx

W32.Sasser.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html

W32.Sasser.B.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html

W32.Sasser 駆除ツール(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html

WORM_SASSER.A(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A

WORM_SASSER.B(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

■MSのSASSER駆除ツール
　このツールは Windows XP、Windows 2000SP2以降に有効です。
　　 http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14c
【使い方とFAQ】
　　http://support.microsoft.com/?kbid=841720
（概要）
　MS04-011 [KB835732]修正パッチを適用する以前にシステムがSasser.A または
　Sasser.Bに感染している場合があります。このツールはシステムからSasser.A、
　Sasser.Bを除去する手助けをします。MS04-011 [KB835732]を適用しているシステム
　の場合、このツールをインストールするだけでそれ以上の対策は必要ありません。

Q：このツールはSASSERの感染を防止してくれますか？
A：いええ。このツールはシステムからSASSER.A/Bを取り除きますが、感染の防止
　はできません。感染を防止するには[KB835732]を適用してください。

　訳注★感染したマシンにパッチを当てても感染を取り除けないので、このツールを使え、
　ということ。まずこのパッチ当てろ。 (835732) (MS04-011)　その前にﾌｧｲｱｳｫｰﾙ入れろ。
　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

Q：インストールの途中で止まってしまいましたが？
A：メモリ上でウィルスプログラムが実行されている場合、ツールは停止します。

　訳注★タスクマネージャからavserve.exe avserve2.exeを停止してから改めて
　 Windows（WINNT）\system32\Sasscln.exeを実行する、といいかも試練。

初心者のためのWORM_SASSER(A.B)への対処法
・手動削除手順：
以下の手順を実行してください。
�@セーフモードで起動します。
⇒WindowsをSafe Mode（セーフモード）で起動する方法
>>727 又は、下記URLから使用OS先を参照
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2227

�Aウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ｳｨﾝﾄﾞｳｽﾞ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動　
以下のレジストリの値を削除してください。
[WORM_SASSER.A] 場所： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値： avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 場所：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値： avserve.exe = ＜Windowsフォルダ＞\avserve2.exe

�Bコンピュータを再起動し、通常モードで起動します。
http://www.trendmicro.co.jp/hcall/index.asp　オンラインスキャンで
ウイルス検索を実行してください。「WORM_SASSER.A」又は「WORM_SASSER.B」として検出された
ファイルはすべて削除してください。

�CWindows検索（先述のスタートボタン→検索 で起動）を使って「kazaabackupfiles」又は「WIN.LOG」フォルダを検索し、削除します。
註：WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows9x/Me/の場合、システムフォルダ＝　C:\Windows\System
WindowsNT/2000の場合、システムフォルダ＝　C:\WinNT\System32
WindowsXP の場合、システムフォルダ＝　C:\Windows\System32　です。

�DWORM_SASSER対策に（A.B共通）セキュリティホール修正パッチを導入　
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。　
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp　

以上、トレンドマイクロ　ウイルスデータベース(http://www.trendmicro.co.jp/vinfo/virusencyclo/)の情報を元に改作。

sasserなんぞスタコラコサッサと駆除しよう！

http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sasser.worm.html
ランダムに生成された IP アドレスの TCP ポート 445 上に接続することを試みます。

IP アドレスは、次のような確率で生成されます:
50% の確率で、完全にランダム
25% の確率で、１番目のオクテットが、感染したホストと同じ IP アドレス
25% の確率で、１番目、2番目のオクテットが、感染したホストと同じ IP アドレス

>>6 の手順では、3以降で再度感染する可能性があるので推奨できない

パッチ充ててルータ入れてりゃモーマンタイ！

そんじゃ誰か>>6の手順を修正してくれよ。

Sasser ワームについてのお知らせ(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser.mspx

Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx

Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_2k.mspx

W32.Sasser.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html

W32.Sasser.B.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html

W32.Sasser 駆除ツール(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html

WORM_SASSER.A(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A

WORM_SASSER.B(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

>>11
修正しなくても
>>12読んだらわかる罠

久し振りにルーターのログみたらｿｺﾞｶﾀ。
445番君へ一杯プレゼントが来てた。

>>１　スレ立て、乙

昨日、ブラスター用パッチ4個だけ落として
OSの再インストールしたけど、何故か感染してないっぽい。。。
XPFWをONしてからアップデートしに行ったから助かったのかな？

てか重複しちゃったけど、どうするよ。こっちの方がちょい遅い…
向こうもテンプレはいちおう貼ってある。

【BLASTの悪夢】Sasser情報【再び】04/05/03 16:46
http://pc3.2ch.net/test/read.cgi/sec/1083570404/

いちおう向こうに合流呼びかけておいたが…

> XPの香具師はとにかく最初にXPのファイアウォール機能を有効にしろ。

これは有効なんじゃ？　>>6の２）と３）の間に入れたらどうでしょう？

ZoneAlarmいれてるけど、XP付属のFW切り設定で大丈夫かな？
FWあるから重複不具合起こるような気が・・

>>1
乙。つか２ちゃんめちゃ重いんだけど・・・これのせい？

>>20
アンチウイルスソフト入れてZA有効だったら
XPのFWは切った方がいい

ようやくというか
yahooのトップページ
のトピックス欄にsasser

【SASSER　FAQ　ＸＰ付属ファイアウォール編】
Ｑ　Windows XPの付属ファイアウォールは有効ですか？
Ａ　Windows XPのファイアウォールはウィールスが入り込むポート
　　（TCPポート445、他）を閉じるのに有効です。ただし、このファイア
　　ウォールはデフォルトでは無効になってます。
　　【FWを有効にする手順】
　　　コントロールパネル→ネットワークとインターネット接続→普段使っている
　　　接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
　　　「コンピュータとネットワークを保護する」にチェックを入れる

Ｑ　XPの「ネットワークの接続」がみつかんないよー？
Ａ　以下の方法も試してください。
　　　スタート→設定→ネットワーク接続
　　　スタート→接続→全ての接続の表示
　　　スタート→マイネットワーク→ネットワーク接続を表示

Ｑ　XPのファイアウォールで十分ですか？
Ａ　XPのおまけFWは外から中へ（inbound）の侵入は防ぎますが、いったん
　　感染してしまうと中から外へ(outbound)ウィールスをばら撒くのをチェック
　　できません。Zone Alarm、Outpostなど中から外もチェックする製品を
　　入れておきましょう。

Ｑ　FWはいくつも動作させるとダメですか？
Ａ　ダメです。XPのFWは無効にしておくだけでいいですが、
　　NISやVBの付属FW、ZA、Outpostのような専用アプリのFW同士は
　　インストしてあるだけで完全に喧嘩しますから注意。

どうりでここ数日TCP ４４５のアクセスが多いと思ったらこれか。

>>25
多いと思ったら調べろよ（ｗ

･Safe Mode 起動方法:
Safe Modeで起動するには、以下の手順を実行します。
�@コンピュータの電源投入後、コンピュータ製造元のロゴや BIOS の起動画面が
表示されたらキーボード上の[F8]キーを何度か押します。
�AWindows(OSが2000の場合 Windows2000) 拡張オプション メニュー が表示されます。
�B方向キー（↑/↓）を使用して「セーフモード」を選択し、Enter キーを押します。
続いてOSの選択画面が表示される場合は、Safe Mode で起動したいOSを選択してください。
�CWindows2000の場合:「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
以上で完了です。

WindowsXPの場合:ユーザを選択する画面が表示されたら、ログオンするユーザをクリックで選択し、
画面上の[→]をクリックします。
「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
ログオン後、「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
以上で完了です。

注意：
・手順�@のタイミングで、[F8]キーを押すタイミングが遅れた場合や早すぎる場合、
Windowsは通常起動します。その場合は、手順1からやり直してください。
・セーフモードでは、色数や解像度など画面の表示が通常とは異なります。
また、USBマウスなど一部の接続機器が使用できなくなります。
・マウスが動作しない場合は、キーボードにて操作をおこなってください。
この場合は Administrator を選択してください。
・NEC機などコンピュータによってはメニューが日本語表示されます。
・機種によりSafe Mode（セーフモード）の起動方法が異なる場合があります。
上記方法により起動できない場合はコンピュータ製造元へお問合せください。
・ログオン画面を表示する設定にしている場合は、手順4の前にWindows ログオン画面が表示されます。(Windows2000の場合)

ルーターのログ見たら
TCP2745
が異様なほど（ｒｙ
445は異常なし

警察庁@policeのサイトにも警告出てる

W32.Sasser.worm ウイルスの発生について
http://www.cyberpolice.go.jp/important/2004/20040503_094530.html

>>26
今ここを調べますたｗ

Outpostのログみたら、TCP445が3分おきに・・・

感染したら、スタコラサッサと駆除せんかい！

>>31
ZoneAlarmだけど不正アクセスは０だよ。CATVだから向こうのルーターで規制してくれてるのかな？

うちもCATVでつ。445のﾎﾟｰﾄｽｷｬﾝが1時間で15件ってｫｨ

>>28
漏れも見てみたら結構来てた。
IP確認すると全国のOCNユーザーがわんさか来てるんだが
ISPなんてどこでも関係無いよなー？

445の数が爆発してる。こらすげーわ。

・・・ツレが感染してやがるし。
修復頼むような状況になる前に対策ちゃんと取れとあれほど言ってたのに。
放置するか。

そういうわけにもいかんよな。
連休小旅行がワーム駆除旅行になるとは。

445は普段でも来るからあまり実感湧かない

http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sasser.worm.html
ランダムに生成された IP アドレスの TCP ポート 445 上に接続することを試みます。

IP アドレスは、次のような確率で生成されます:
50% の確率で、完全にランダム
25% の確率で、１番目のオクテットが、感染したホストと同じ IP アドレス
25% の確率で、１番目、2番目のオクテットが、感染したホストと同じ IP アドレス

そんな事より１よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。
このあいだ、近所のTCP445行ったんです。TCP445。
そしたらなんかパケットがめちゃくちゃいっぱいで入れないんです。
で、よく見たらなんか垂れ幕下がってて、W32.Sasser.Worm、とか書いてあるんです。
もうね、アホかと。馬鹿かと。
お前らな、W32.Sasser.Worm如きで普段来てないTCP445に来てんじゃねーよ、ボケが。
MS04-011だよ、MS04-011。
なんかTCP135に来てるのもいるし。年度が変わってもいまだにBLASTERか。おめでてーな。
よーしパパRPCサービス以上終了しちゃうぞー、とか言ってるの。もう見てらんない。
お前らな、FIX_BLAST.EXEやるからポート空けろと。
ネットワークポートってのはな、もっと殺伐としてるべきなんだよ。
スイッチングハブの並びに繋がった奴といつコンフリクトが始まってもおかしくない、
落とすか落とされるか、そんな雰囲気がいいんじゃねーか。マカーは、すっこんでろ。
で、やっと入れかと思ったら、隣の奴が、XP標準のFWで、とか言ってるんです。
そこでまたぶち切れですよ。
あのな、XP標準のFWなんてきょうび流行んねーんだよ。ボケが。
得意げな顔して何が、XP標準のFWで、だ。
お前は本当にXP標準のFWを使いたいのかと問いたい。問い詰めたい。小１時間問い詰めたい。
お前、XP標準のFWって言いたいだけちゃうんかと。
ネットワーク通の俺から言わせてもらえば今、ネットワーク通の間での最新流行はやっぱり、
ポート全開放、これだね。
ポート全開放かつセキュリティソフトアンインスコ。これが通の頼み方。
ポート全開放ってのはポートが多めに開いてる。そん代わりセキュリティが甘め。これ。
で、それにセキュリティソフトアンイスコ（シマンテック）。これ最強。
しかしこれを実行すると次からスーパーハカーにマークされるという危険も伴う、諸刃の剣。
素人にはお薦め出来ない。
まあお前、１は、ウイルスバスター２００４でも入れてなさいってこった。

初心者のためのWORM_SASSER(A.B.C)への対処法　
･手動削除手順:
以下の手順を実行してください。　
�@セーフモードで起動します。　
⇒WindowsをSafe Mode（セーフモード）で起動する方法　本ｽﾚの>>27 又は、下記URLから。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2227　

�Aウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ｳｨﾝﾄﾞｳｽﾞ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動　
以下のレジストリの値を削除してください。　
[WORM_SASSER.A B C] 場所: KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[WORM_SASSER.A] 値： avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 値： avserve.exe = ＜Windowsフォルダ＞\avserve2.exe
[WORM_SASSER.C] 値： avserve2.exe = "%Windows%\avserve2.exe"
※ファイアウォールなどの機能を導入していない方は再感染を防ぐためにWindows XPの付属ファイアウォールを有効にしてください。
　詳しくは>>24 を参照のこと。　

�Bコンピュータを再起動し、通常モードで起動します。　
http://www.trendmicro.co.jp/hcall/index.asp　オンラインスキャンで　ウイルス検索を実行してください。
「WORM_SASSER.A（又は.B C）として検出されたファイルはすべて削除してください。　

�CWindows検索（先述のスタートボタン→検索 で起動）を使って次のフォルダ検索し、削除します。　
[WORM_SASSER.A]の場合「kazaabackupfiles」　
[WORM_SASSER.B]の場合「WIN.LOG」　
[WORM_SASSER.C]の場合「WIN.LOG」「WIN2.LOG」　
註：WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、　[WindowsNT/2000の場合]、システムフォルダ＝　C:\WinNT\System32　[WindowsXP の場合]、システムフォルダ＝　C:\Windows\System32　です。　

�Dセキュリティホール修正パッチを導入　
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。　
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

インターネットに接続したところ、どのサイトを開いてもページが表示できませんと
出てしまうのですが、sasserに感染しているのでしょうか？

>>41
違う

>>42
回答ありがとうございます。

>>41-43
これを拝んでおきなさい。さすれば解決の糸口が見つかろう。
http://www.jade.dti.ne.jp/~sassa/profile.htm

>>34
一時間で15件って少ないだろ
前に80数回されたことあった。
もちろん被害届けだしたけどな

>>44
どうもありがとうございます。よく読んで研究してみます。

金鳥サッサ
ｷﾀ━━━━━━━━━━━━━!!!!

ルーターで弾いてましたが

うちのシステムにはport1025へ半日で4000から5000ぐらい着てます
皆さんのport1025は大丈夫ですかぁ？

sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の
ことでしょうか

あと自分のパソコンが６４ビットでないか否かはどこで調べられるでしょうか
教えてください

>>48
私んとこはアクセス０です　逆に心配に・・・
CATVだからルータないし。。

>>49
> sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の
> ことでしょうか

その通り。

> あと自分のパソコンが６４ビットでないか否かはどこで調べられるでしょうか
> 教えてください

調べるまでも無く貴方のWindowsは63ビットじゃないです。
100パーセント断言できます。

×63ビット
○64ビット

>>51
両方のご回答どうもありがとうございます

>>49
MS04-011=835732ですよ。KBつくのかわからんけどたぶんね。
６４BitでOSのことかﾆｬ？　そうであればﾏｲｺﾝﾋﾟｭｰﾀを右ｸﾘｯｸでﾌﾟﾛﾊﾟﾃｨでわかると思いますけど。

http://www.isskk.co.jp/security_center/169/solution.html
思い起こせば　昨年の夏・・・　あの教訓をいかそう！
2003年7月16日（日本時間）
X-Forceセキュリティアラート「Microsoft Windows での RPC 実装の不具合」
思い起こせば昨年の夏・・・日本はちょうどお盆の時期。2003年7月16日、「Microsoft Windows
での RPC 実装の不具合」が発表され、この発表の約1ヵ月後、この脆弱性をついたMS　Blast
ワームが、日本時間の2003年8月12日より蔓延いたしました。そして、さらに追い討ちをかける
ように日本時間の2003年8月19日Nachi ワームは、MS Blastワームが使用するのと同じ脆弱性
を利用して、さらに企業ネットワークに被害をもたらしました。…

>>48
TCP1025も監視対象に入れてるけど
カウント0

>>54
KBがついていなかったのでもし違っていたらと思い質問しました
OSの確認の仕方の方法どうもありがとうございます

>>56
アセクスが全く無いのは異常？

2745に来るのはBagleかな。

ポート閉じるのはリモート、ローカル両方閉じたほうがいいのかな

>>56
＠policeでは警告が出てます。
うちのシステムでは、異常に増えたのが4月27日でした。
最初は、ほとんど　ぷらら　の顧客でしたが、
最近はアジア全域から着てます。

1025、2745、6129、3127番のスキャンがやっと家にも来だしたよ。
でも、ルータのデフォルトルールが弾いてる。
最近のルータは良いね。

>>58
2745にはバンバン来てるけど、
パケットフィルタの前にFWで弾いてるかも

>>62
バッファローWHR2-G54
デフォで弾いてくれてる。
（･∀･）ｲｲ!!

ルーターって
WAN→FW→パケットフィルタ→LAN
ってことかな？

port1025へ一度だけ弾くやつのIPは、ほとんど
第一オクテットが　220　です。
（俺の場合はne）

今のトコ塞ぐポートは445のみでおけ？

漏れの場合
TCP1025
TCP135-137
TCP2745
TCP6129
TCP5554
TCP9996
TCP445

UDP4000

道理で似たようなIPばっかりくるかと思ったら

>>24
http://www.isskk.co.jp/support/techinfo/general/Sasser_172.html
> マニュアルプロテクションを行うには、TCP ポート 139, 445, 5554, 9996を
> ネットワークゲートウェイでブロックしてください。

要するにXPのおまけFWでTCP porｔ [139, 445, 5554, 9996]を塞げということ。

>>69
多分自分と同じ第一オクテットに対してスキャンすると思われる

>>68
漏れは
113
135-139
445
1025-1027
5000

5554と9996は今回のため？

>>72
一応。感染しても他人に迷惑かけんように
その2つはINもOUTも閉じたよ

1-1025
これでモウマンタイ

ニュース読んで電源入れるの恐いんですが
ブロードバンドルータ噛ませていて
ウイルスバスターの定義ファイルは先月末更新
Windows Updateは４月中旬の「重要な更新」をアップデート
これだけやってれば大丈夫ですかね。
ウイルスバスターのFWはブロードバンドルーターモード（つまり最低）
WindowsXP HEのFWはOFFにしています。

>>74
なんでそれで書き込めてるんだ

>>75
ルーターが入っているならNATで何かやっていない限り
外からは届かないので大丈夫と思われ

>>76
すみません、Macからです。

>>75
先月末だったらダメだろボケ
頭弱いのか？

>>75
電源入れるのが怖いのに、２ちゃんにはカキコ

>>77
どうもです。

阿部のホームランを弾くにはどうしたらいいでしょうか

>>82
ピッチャーに金をかける

ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新

今日も更新がありました。最新パターンファイルは1.833.00

>>79
５月に入ってからPC使う機会がなかったためです。
あくまで条件の一つとして挙げました。
ブロックのためのすべての条件を満たすつもりはないので。

>>85
念には念を入れないでどうするんだ？
完璧なものなんて無いんだぜ？

結局のところ今回もポート４４５なんだろ。
いいかげんＦ／Ｗでブロックしろよ。

>>75
ルーター（警備員）かましてても、ポート閉めるの忘れてたら（警備員が仕事してなかったら）意味ない

80以外すべてブロックが最強だな

>>86
十分条件より今回伺いたいのは必要条件なので。
具体的には４月中旬までのWindows Updateで
今回のパッチがあてられてるかを伺えれば確信は持てます。

今からウイルスバスターをアップデートしてもその前に回線つながってしまうので
そこまでの十分条件を満たすつもりはないのです。

>>90
起動してからPCにケーブル挿せばぁ

>>75
必要条件なら、ネットに接続せずにＰＣを立ち上げて
IPSEC Policy Agentサービスを無効に設定しろ。
ｌｓａｓさえ動作拒否しとけば安全だ。

TCP ポート 445 ブロックしてればいじゃん

>>91
それだとケーブルを挿した後に侵入を防げるのですか？

>>94
XPのFWをONにしとけばいい

>>93
>75はＦ／Ｗやポートブロック、ルータのフィルタ機能などに
まったく無知な人間と思います。

なんかどさくさにまぎれてやばげなポートまとめてスキャンしてくるやつがいる。
全く同じ時間に同じIPから６つまとめてとばしてきやがった。
なに考えてんだ？

(´∀｀)心配性だなぁ

>>97
6回だけで騒ぎすぎだろ

>>97
不正アクセスで警察に通報しろ

>>96
MacからルータのFWをいじる権限がないんですよ。
ついでに我が家のWindowsマシンも自分の使っているものではないので
（有り体に言うとNTベースのWinの使い方を知りません。ﾏｶｰなので）
XPのFWがオフになっていることしか知りません。
その他の内々の事情で上の対策をとる権利が自分にはないのです。

今回特に伺いたいのは４月中旬配布までのWindows Update（重要な更新）が
今回のウイルスに対応されているものなのかどうかってことです。

>>101
＞今回特に伺いたいのは４月中旬配布までのWindows Update（重要な更新）が
＞今回のウイルスに対応されているものなのかどうかってことです。

このスレ全部読み返せ

MS04-011

>>101
四月中旬なんて抽象的に表現では何とも言えんよ。
ＰＣ立ち上げてMS04-11(KB835732)がインストールされている
されてることを確認しろ。

もちろんネットへの接続ケーブルは外した状態でだ。

>>102
今、読みかえしました。そのうえで伺いますが
(MS04-011)の更新日付はいつですか？
当方のMac用ブラウザではWindows Updateのページを
ActiveX非対応の関係で開けず確認できないんですよ。

>>105
2004/04/12

>>106
ありがとうございます。質問がまわりくどくなりすみませんでした。

>>105
2004年4月30日更新。
ちなみに登録日は2004年4月14日。

ちなみに2004/04/12(PST)は
修正パッチの登録日

>>105
と言うかここ読んでみれ。
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-011.asp

ありがとうございます。Mac経由でパッチを転送します。

MS04-11って糞パッチだってＭＳ自身が認めたパッチだろ

知り合いが勝手にシャットダウンするウィルスに感染したらしいけど
どっちだろ？今時ブラスタはあり得ないよね？
問題が発生しましたみたいな内容がでてカウントダウン後に落ちるらしい
感染に気付いたのが1日の夜らしい
タスクマネの開き方すらわからない厨房だから情報少なすぎ
駆除を麦酒一本で手を打つ俺は安すぎ…orz

地雷パッチMS04-011を修正する気はMicrosoftには無いのかな
それともパッチの問題ではないと言い張るのだろうか

http://support.microsoft.com/default.aspx?kbid=841382

>>113
そいつは乙だな。

パッチ修正中ってことをWin板で聞いたぞ

Keywords:kbBug kbfix kbQFE kbWin2000preSP5fix KB841382

> kbWin2000preSP5fix

はぁ？まさか地雷パッチ329170のようにSP5まで直す気は無いということなのかな。

>>75
windows 使ってるやつに確認させるのが確実ではないでしょうか？
windowsのupdateとルーターの機能とは関係ないしW

MS04-011が適用されてるか確認する方法。

NetMeeting のバージョン番号が 3.01 (4.4.3399) となっている場合、
修正プログラムは正しくインストールされています。

>>117
SP4が出た後のパッチはSP5として出る

>>116
どこのスレ？

同じMacユーザーとして言おう
>75氏ね

>>121
うｐだてしたらあげるスレか
失敗したら上げるスレだったはず

>>117
>>120が言う通りSP4が出た後のパッチはすべてSP5として登録される。

>>121
ここに言い訳が書いてある
http://support.microsoft.com/default.aspx?scid=kb;en-us;835732

>>117
はKeywords(MSの情報検索用キーワード)の意味を全く理解していない

>>123
http://japan.internet.com/webtech/20040430/12.html

ここですね。失敗スレで見つけたよ。

>>120,>>124
いや、KB841382は不具合を記しただけのドキュメントで、そのドキュメントに
「kbWin2000preSP5fix」なんて書いてあるからSP5まで修正されない不具合なのかなぁと。。。

>>126
まったく理解していないというのは言い過ぎ
preSP5の意味がわからなかっただけじゃない？

すくなくても>75よりは理解してるように思える。

>>126
理解できるように教えてくれませんか？
それか該当するドキュメントを提示して下されば幾らでも読みます。

「kbWin2000preSPxfix」ってSPxで修正される不具合に付く
検索キーワードだと思っていたけど違うのか。

>>130
SP5にKB835732が突っ込まれるってこと。
それまで修正しないって言ってるわけではない。

しかし、このウイルスの蔓延で無知なWindowsユーザーが
パッチあてまくってＰＣの不具合が出たら
それこそMS04-011のバグとして叩かれるだろうね。

だな。
>>127の
http://japan.internet.com/webtech/20040430/12.html
にも
＞Microsoft は、ソフトウエアの脆弱性に対処し、面倒な修正パッチを用意するという作業に追われている。

と書かれてるし

>>132
禿同

preSP5fixはSP5前の修正って意味だろ

LAN(TCP,port 445)
LAN(TCP,port 445)
LAN(TCP,port 135)
LAN(UDP,port 137)
LAN(TCP,port 2745)
LAN(TCP,port 1025)
LAN(TCP,port 6129)
LAN(TCP,port 80)
LAN(TCP,port 1025)
LAN(TCP,port 445)
LAN(TCP,port 6129)
LAN(TCP,port 445)
LAN(UDP,port 137)
LAN(TCP,port 445)
LAN(TCP,port 2745)
LAN(TCP,port 135)
LAN(UDP,port 137)
LAN(UDP,port 137)
LAN(TCP,port 80)

2745はあんまないな

>>136
2745
2つか。
漏れは数時間で30件ほど
いつからいつまでのログ？

>>136
ISPどこ？
漏れはYBB

>>137
上から30分ほどだから同じぐらいか

>>138
いまニュー速で話題のmesh(w

何故かクソスレばかりが目立つmesh

>>139
あんが�d

どさくさにまぎれてイスラエルからｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━!!!!!

>>142
ウイルスてほとんどイスラエル製･･･
やっぱりナチに根絶されるべきだったな

誘導thx from pc2nanmin

ユダヤとチョンは他人の領域を勝手に侵食するからな

頼むからドイツもこいつもFWかルータくらいまともに使ってくれ。

どうもブラスタDの悪寒がする…あれが一番面倒だ…
間違えて本物のsvchost消したらあぼーんだし…
きょうびブラスタなんて流行んないよね…希望的憶測だけど

件の制限時間付き強制終了が頻発していたので脆弱性修正パッチあてました。
で、ウィルス消そうとタスクマネージャーのプロセス見たんですが、どこにもavserve.exeやavserve2.exeがないんです。
winntフォルダにも16416up.exeみたいなのないし。

で、やっぱり感染してないのかな、と思って確認の意味でnetstatかけたら
1025-1099がlistenされまくってるんですよ。

感染してるのかな？教えてエロイ人

>>147
そうとは言い切れないかも世？
実際ポート135のスキャンなんて飽きるほどくるし。
法人や企業とかならともかく、一般人あたりだとそのままってやつもいそうだし。

俺の知ってるやつに「パッチってなに？」って真顔で聞いてきたやつがいたシナ・・・

2004/05/03 21:56:12 2745
2004/05/03 21:56:12 1025
2004/05/03 21:56:12 3127
2004/05/03 21:56:12 6129
2004/05/03 21:56:12 80

同じ所から繰り返し来ますね。

　　｜
　／|７
./…||腐れsasserを
‖…||撃滅しに
‖　||来たモナー
‖…|]`＼
‖…||ロ.」
‖　|∧＿∧
⊆三⊇´∀`)
　⊂　⊂/ ）
　‖/＿|＿|
　□＿_)＿）

((((∽))))笹公は
　　　‖死ねやｺﾞﾙｧ！
　�凵｡三＝━━━──
ロ口‖>　　＿＿пi
　／⊥＼┣/○⌒＠I
〜′￣￣|��#゜Д゜)
【HH|/￣＼⊇‡〓>━-
〈[※]>　　/￣‖

佐々淳行　突入せよ　浅間山荘。

ヽヽヽ　　／∋∋∋⊃
( ゜∋゜)／⊃∋⊃∋
(　　　 三＜∋∋∋∋
｜　｜ ｜＼∋⊃∋∋
(＿＿)＿) ＼⊃⊃∋
　＿＿_ったくユダ公
/~⊂Ч⊃＿とｸｿﾁｮｿは
(#・∀・)これだから
(つ]≡〓＝━━━─Σ
｜　｜‖糞なんだよ
(＿／/￣＼ｳﾗｳﾗｰ!
￣￣￣￣￣￣ｽﾞﾄﾞﾄﾞﾝ!

>>148
オンラインスキャンとか試してみたら？

http://www.trendmicro.co.jp/hcall/index.asp
http://www.symantec.com/region/jp/securitycheck/index.html

#テンプレにオンラインスキャンが無いのは失敗だな。

ttp://uploader.org/normal/data/up6364.jpg
こんな感じ。

>>150
うちとおなじやね。
たたいてくるポートも同じ。

ただしょっちゅうってわけじゃなくて、ちょっと間隔をあけてやってくる感じ。
もちろんIPは変わってるが第一オクテットは同じ。

原種はたしかポート445をたたくはずだが、こいつは亜種と言うことかな？
それとも別物？
どっちにしても情報少なすぎ。

トレンドマイクロのやつは>>6にあった。

MS04-011に関する調査結果

ttp://d.hatena.ne.jp/magisystem/comment?date=20040503

>>149
タスクマネの開き方すら知らない厨房だからそんなタイプ
そいつはAに感染した経験があって俺が駆除した
パッチを落とすところまでやって時間がないからそいつにやらせて俺は仕事に行った
こーいう香具師ほど雑誌とか見て知識もないのに自動うぷだてはずしたり
FW切ったりするから始末が悪い…
j3…がんがりますわ…る

あした休日出勤する奴手挙げろ

>>159
確かにそういう傾向はあるよね。
生半可な「ネタ」知ってる割には生かし切れないで自爆するって言うパターン。

大変だけどがんばってくださいね−

2004-05-03 22:24:20 LAN(TCP,port 2745)
2004-05-03 22:24:20 LAN(TCP,port 135)
2004-05-03 22:24:20 LAN(TCP,port 1025)
2004-05-03 22:24:20 LAN(TCP,port 445)
2004-05-03 22:24:20 LAN(TCP,port 3127)
2004-05-03 22:24:20 LAN(TCP,port 6129)
2004-05-03 22:24:20 LAN(TCP,port 139)
2004-05-03 22:24:20 LAN(TCP,port 80)
2004-05-03 22:25:30 LAN(UDP,port 137)
2004-05-03 22:28:48 LAN(UDP,port 137)
2004-05-03 22:29:51 LAN(TCP,port 135)
2004-05-03 22:32:02 LAN(UDP,port 137)
2004-05-03 22:33:59 LAN(UDP,port 137)
2004-05-03 22:34:06 LAN(UDP,port 137)
2004-05-03 22:35:32 LAN(TCP,port 2745)
2004-05-03 2:35:32 LAN(TCP,port 1025)
2004-05-03 22:35:32 LAN(TCP,port 6129)

>>160
ちょうど今、指令がきたよ
port80しか開けてないから大丈夫だって言ってるのに

>>160
連休前にパッチ適用済みです。
ＦＷはとうぜん塞いでいます。

少ない連休なんでマッタリ過ごさせてもらいます。

調べると自分と同じプロバイダから来るんだけど。

>>163
うちはポート80もまとめてたたきにくるんだが？

>>163
乙。
行ったとしてもすることないな。

>>166
もちFWもあるよ

初めまして！どなたか知っている方がいたらお聞きしたいのですが、
タスクマネージャで、プロセスを見るとmspdox.exeというのがcpuを
非常に使っているのですが、何を起動しているのかわかりません。
cpu使用率が100パーセントになってしまっています。mspdoxは何を処理
しているのでしょうか？知っている方いましたら教えてくださいおね
がいします。説明が下手ですいません。

>>169
なんだろう？

僕のパソコンには、ないなあ。mspdox.exe

うちもないな。
XPproやけど。

>>158

>全サンプル数 65536 IP
>既に感染してしまった数 5.08%

ハァ・・・

2004/05/03 22:17:18 2745
2004/05/03 22:17:18 1025
2004/05/03 22:17:18 445
2004/05/03 22:17:18 3127
2004/05/03 22:17:18 6129
2004/05/03 22:17:18 139
2004/05/03 22:17:18 80
2004/05/03 22:17:21 445

元側でREJECTしているのかも知れませんが、いくつかパターンがある様ですね。
2745だけを叩くタイプもありました。

>169
msgbox.exeだろ

韓国からバンバン叩きに来ている。
また不正コピーでパッチを当てられない現象ですか？

>>176
毎度の事じゃ

.>>174
たたいていく順番にある程度規則性がありますね。
うちも80→139→6129→3127と言うパターンと
445→1025→135→2745と言うパターンが組み合わさってきますね。
どっちか前後はしますが。

>>169
分かんないけどウイルススレのこの人と同じ症状じゃない？
ms????.exeっての

【正式】ウィルス情報＆質問　総合スレッド☆Part18
http://pc3.2ch.net/test/read.cgi/sec/1081735712/926-

D も出たよ。今度は skynetave.exe だと。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D

http://pc3.2ch.net/test/read.cgi/sec/1072086930/855-
不正アクセスを晒すスレでも報告多数あるよ。

ウイルスバスター2004入れてるんだけど、それだけで大丈夫かなぁ(´・ω・｀)

ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Kerio Personal Firewall 4

・「システムセキュリティ」というプログラム起動を監視する機能により、
　キンタマウイルス　http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
　などのアイコンを偽装したEXEファイルをクリックしても警告が出て感染を防げる
　（玄人向けで有料だがTiny5でも防げる。
　　Sygate・Zone Alarmには似たような機能があるが防げない。
　　Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない）

・現時点では日本語化できない
・2バイト文字には対応していない
・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし
　kerio2のように詳細ルールも作れる
・SPIとIDS、トロイ対策のDLL監視機能もある（広告ブロックは有償版のみ）
・Outpostなみに軽い
http://pc2.2ch.net/test/read.cgi/win/1077780039/233

●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト
http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm

●Kerio Personal Firewall 4のログビューア
http://www.geocities.jp/masagooooool/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

/////////////////////////////////////////////////////////////////

System Safety Monitor(SSM)

・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のようにHTMLからのexe起動を含め、
　キンタマウイルス　http://internet.watch.impress.co.jp/static/index/2004/04/09/antinny.htm
　などの(ルールが)未決定のアクションを防げる（PFWではない）

・無料
・日本語化できる
・レジストリキーの変更も監視できる

●SSMヘルプ翻訳テキスト+HTML配布サイト
http://www.geocities.co.jp/Outdoors-Mountain/9671/ssm/

/////////////////////////////////////////////////////////////////

このコピペって先日から出没してるキチガイのコピペだよね。

901 名前：900[sage] 投稿日：04/04/02 22:14
アンチウイルスソフト検出力結果報告(・∀・)

ANTIDOTE / avast! 4 / AVG / AntiVir / BitDefender / eTrust
◇ウイルス
EBCVGにてBinary VirusesとVirus codesを合計722ファイル（重複あり）
全てzip圧縮に変換
Linux/Macウイルスあり
◇アンチウイルスソフト
4/2 18：00頃の最新パターン適用
比較対照としてトレンドマイクロオンラインスキャンを使用・・・したかったけど結果悪いのでBitDefenderを基準に

☆結果 （検出数/検出率）
BitDefender (*1） 580　　100.0％
AVP (*2) 545　　93.97％
Trend Micro 539　　92.93％
Antidote (*3) 524 90.34％
avast!4 (*4) 470　　81.03％
eTrust (*5) 444　　76.55％
AVG (*6) 212　　36.55％

*1 懐疑ファイル13含む
*2 懐疑ファイル2含む
*3 コード解析/圧縮ファイル/詳細検索にチェック。詳細検索にチェックを入れない場合は520。なお懐疑ファイルはどちらも3。
*4　迅速な検査＝261　　標準検査＝286　　完全な検査＝470
*5 Heuristic有効。SafetyLevel → Reviewer　　 ScanningEngine → InoculateIT
*6 Heuristic有効。

AVGの検出率が悪すぎる。何かおかしい気が・・・(・∀・)？
【cool】BitDefender Free Edition【free】
http://pc3.2ch.net/test/read.cgi/sec/1029516867/901

802 名前：Bitｽﾚ901[sage] 投稿日：04/04/04 19:02
BitDefender（以下BD）が全てのウイルスを検出したわけではないです。
BDが検出したウイルス数の580を100%として出した結果です。
要するにAVGだとBDの37%ということです。

誤解してる人がいるかもしれないので念のため。

※AVGの検出は悪すぎたので"3回再ｲﾝｽﾄ＆4回検査”してます。
　で、結果は全て同じ(ﾟдﾟ)

非圧縮時の検出率を知りたい人は適当にウイルス集めて試してください（´・ω・｀）

【フリー】AVG Anti-Virus　Version１５
http://pc3.2ch.net/test/read.cgi/sec/1079833302/802

831 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：04/04/05 01:03
去年(031207)同じようにやった結果

定義ファイル、プログラムは当時最新
圧縮なんかの設定はebcvgから落としてきたまま(rar,zip,b64)
ただしほとんどはzipだから誤差は少ないと思う

Antidote (*1) 549 100.00%
eTrust (*2) 537 97.81%
BitDefender (*3) 502 91.44%
avast!4 (*4) 484 88.16%
AVG (*5) 366 66.67%

*1 ｺｰﾄﾞ解析,圧縮ﾌｧｲﾙ,電子ﾒｰﾙ, 懐疑5
*2 設定が多いから略。たぶん最高
*3 圧縮ﾌﾟﾛｸﾞﾗﾑ 圧縮ﾌｧｲﾙ, ﾒｰﾙ, ﾋｭｰﾘｽﾃｨｯｸ
ただしvirus bodiesは584, 懐疑22
*4 圧縮ﾌｧｲﾙ
*5 圧縮ﾌﾟﾛｸﾞﾗﾑ 圧縮ﾌｧｲﾙ, ﾒｰﾙ, ﾋｭｰﾘｽﾃｨｯｸ
（一応どれも設定は最高にしてやったつもり）

>>731と見比べると向こうはBitdefenderの検出数をvirus bodiesで
数えてるんじゃないかと思う。
おれはIdentified virusesが検出数だと思うから上はそっちを採用してる。

AVGの検出が悪いのはたぶん設定の問題。でも良くはない
むしろ>>742と同じような結果だから、AVGの検出力はこんなもんだと思ってる。

【フリー】AVG Anti-Virus　Version１５
http://pc3.2ch.net/test/read.cgi/sec/1079833302/831

こぴぺ厨マジうぜぇ
SSMは挙動不審だし
ウイルス検出率もデマだったと言う話だし

BitDefender（フリーの最新版）
・リアルタイムスキャンできない、メールスキャンできない
・まだ日本語化できない
http://ringonoki.net/tool/antiv/bitdef.html

AntiVir（フリー版）
・リアルタイムスキャンできる
・メールスキャンできない（常駐オンでread and write時有効な場合、添付ファイルを選択すればチェックできる）
・まだ日本語化できないに等しい
http://eazyfox.homelinux.org/SecuTool/AntiVir/AVguard1.htm

avast! 4（フリー版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語版がある、2バイト文字に対応
http://iso-g.hp.infoseek.co.jp/alwil/avast_home/avast_home.html

eTrust（フリーのプロモーション版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
・導入時に修正パッチをインストールするのがめんどう
http://etavfp.hp.infoseek.co.jp/

AVG（フリー版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
http://eazyfox.homelinux.org/SecuTool/AVG6/AVG61.htm

スタコラサッサDとうとう来たか。
こりゃ連休中にZまで逝くな。

ちう

>>193
？？？

>>193
パンダスレに（・∀・）カエレ!

私の朝は、

ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp

とともにはじまり、

シマンテック・セキュリティチェック
http://www.symantec.com/region/jp/securitycheck/index.html

を実行しつつ、カフェにいそしむ。

そのあとは、

AVG Anti-Virus フリーバージョンを実行し、
http://www.grisoft.com/us/us_dwnl_free.php

オミトロンがちゃんと動いてるかチェックする
http://www.pluto.dti.ne.jp/~tengu/proxomitron/

そのあと、ZoneAlarm　( http://www.zonelabs.com/ )を眺めつつ、
パンを食べ、

セキュリティ板を巡回し、
http://pc3.2ch.net/sec/

タバコを一服。
おもむろにウンコをしたあと、読書に耽る。

カフェにいそしむって何ですカ？

>>197
コーヒーを飲むことでしょ

ちう

200

http://pc3.2ch.net/test/read.cgi/sec/1080656639/276-278

起動時・シャットダウン時は
Tiny>ZoneAlarm>>>>Kerio4 = Kerio2
Kerioは糞だよ。


起動時kerioは感染します
Outpostは不明

良かった、MEで・・・

起動時、シャットダウン時に最強なのは
Windows XP SP2のFWだ
どんなソフトよりも強い

sygateは？

SP2に一票

ルーター

>>206
まぁそれは常識だろ

いい加減ルーターくらい挟んだらいいのに
ダイアルアップ時はファイアウォールを必ず入れろ

今、このﾜｰﾑに気づいたわけだが・・・

TCP445叩かれまくりな上に、他のポートも一緒に叩いてくるのもあるんだが亜種かなんか？

ABCD
がありますが、どれがいいですか？

>>35
OCNに入るくらいだから、ド素人・じいちゃんばあちゃんが
ユーザーに多い。

トレンドマイクロオンラインスキャンでサッサの検知は可能ですか？
一応鬼門と呼ばれるパッチ当てて、仕上げに感染してるか確認取りたいんだけど
定義パターンに登録されてなくて感染してませんと表示されても悲しい
どうかよろしくお願いします

665番のアタックが激しい

2004/05/03 15:50:12 IP_Filter REJECT TCP 219.***.*.***:3334 > ***.**.**.**:445 (IP-PORT=7)

これかな？
ルータの設定とか、自信ないんで
こういうワームが出現するたびに不安になるよ。

>>212
可能だよ。
というか可能じゃなかったら困るでしょ。
一応大手ウイルス対策ソフトベンダーなんだから。

>>210
A ください！　C ばっかりなんで、オリジナルの A がいいで〜す。

Blasterのときと一緒でICMP2048の叩きもきてるね。(pingだっけ？

持ってるって意味じゃなくて
A,B,C,Dが出てるって言いたかっただけ　orz

連休開けは脚立と懐中電灯を倉庫から出しとくのを忘れないように。

つーネタがわかるのはブラスタスレ常連。

色々ポート番号で照るけど

445やばーい。
でもﾉｰﾄｿ先生がいっぱい弾いてくれてまつヽ( ´∀`)ﾉ

またアメリカで大停電が起こるの？

結局４４５だけ塞いでもだめなのかな？

>>223
今回のは、445塞げばなんとかなるけど
いろんなワーム（ウイルス）弾くなら、いろんなポート閉じる必要がある

パッチあてて４４５を塞ぐ。
これで防御できるのかな？

>>219
そーいえば、ソフマップに「永久懐中電灯」があったなぁ。
値札がついてなかったけど、いくらだろ？

全部閉じればいいのに
ntpとdnsだけIPアドレス指定で開けとく

>>225
1レス上

135と445を交互に叩かれる

>>227
80は開けとけよ

445と同時に同じホストが叩いたポートは閉じるべきか

>>231
そいつのホスト拒否れば
ﾓｰﾏﾝﾀｲ

>>229
うちもだ。

>>230
？
こんなのばっかり…
INとOUTの区別はつけなさいよ

230じゃないけど
>>227
にはINもOUTも書かれてない罠

>>235
馬鹿じゃないの
普通わかるだろ

>>215
ありがとうございます
結果、検出されませんでした
前回のリブートウイルスには見事やられたけど
今回は運がいいのか実害なく終われました

>>227のは、NTP鯖でDNSかつWWW鯖

今気付いたんだが

2004/05/03 16:28:35 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:30 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:22 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:18 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:14 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:12 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:08 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:07 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:05 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745

こいつは何が目的だ　orz

うぜーな

ていうか、新たなワームが発見されるたびに
やれ135,137,139だ
やれ445だ
やれ1433,1434だ
って後手後手に対応しても大変じゃないですか？
IN方向は基本的に全拒否にしとけば、まず感染する危険性が激減します
万が一感染してしまったときのことを考えたときに
初めてOUT方向の”ポートを塞いでおこう”という発想になるのです

しかし、ここで”ポートを閉じる”議論を見てると
明らかにインバウンドのお話です
皆さん、ポートは外に向けて開放しておくものではありません
わかってください。お願いします
>>236は言葉が過ぎたので、謝ります。すいませんでした

>>238
ntpはクライアント側も開放しないと通信できません
ルーターはhttpdが動いてるので、80を開放したら大変ですね

では、おやすみなさい

お願いされちゃったよ、参ったなこりゃ

OUTを閉じる意見は
>>68,72,73
とかでやってるね

>>73
は偉い
では、おやすみ

活動を見る限りsasserだと思うんだけどavseveも無ければ*****_up.exeもない・・・
マイナーな亜種にでも感染したか?

まー本来ネットワークは繋げるためにある訳で

FWでinもoutもちくちく閉じてると、なんか空しくなる今日この頃だ
>>241の話は判るんだけどね。

■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　LSA Shell(Export Version) has encountered a problem
　This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかしらないがパソコンの反応がメチャ遅い。

■トレンド、シマンテックのデータベース情報、MSの公式対策情報　>>12

■WindowsのLSASS脆弱性にパッチを当てる。
　Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

■MSの駆除ツール　>>5

■ちゃんとしたファイアウォールを入れましょう。解説とリンク　>>3

アタック来てるのってどうやったら分かるんですか？すいません

スマソ。あと【SASSER　FAQ　ＸＰ付属ファイアウォール編】>>24

>>248
ログが取れるちゃんとしたファイアウォール入れてればわかる。
しかしその場合はちゃんと防いでいるということだから気にする
必要もないわけだｗ

>>3　>>24　見ておくように。

>>250
ありがとうございます　

消しても消しても復活します

ゾネの警告&ログが異常に静かだ・・・・・





ゾネの警備員染んじゃったんだろうか・・・・？

>>253
それは貴方が仕事を奪っているからです。
ルータの穴を開けましょう。

>>253
気にすんな。あうぽの警備員も静かだ。445が派手に叩かれるのは
連休明け。

まだ１、２分置き位ですな。
ﾌﾞﾗｽﾀのときは半端じゃなかったが、連休明けにはあれぐらいになるのかなぁ・・・

>>252
システムの復元OFFにしてある?
ってかおいら釣られた?

久しぶりにルータのログ見たけど、445来てるな〜
だが、その数倍の135,137へのアタックが来てるのは…

>>256
１時間2000回くらい来てたな。

あうぽ入れてたが、初心者だったので「許可したルール以外の接続全部遮断」
というルール入れてなかったからOS起動中の10秒くらいのFWの空白期間に
瞬殺で入り込まれてびっくらこいた。　

今度はFW+修正パッチ+アンチスパイで鉄壁…のハズｗ

MSに鉄壁はｱﾘｴﾅｰｲ

連休明けに会社のPCが一斉にbootしたとたん (･∀･) うひょー

連休中に、OS再インストしようと思っているものです。
これってネット接続するだけで、感染するみたいだけど、こういう場合はどうすれば安全に再インストできるのでしょうか？

「HDDフォーマット >> OS(WIN2000)インスト >> WINDOWSUPDATE >> 各種アプリインスト」

以前はこうやってたけどこれだと感染してしまいますよね？

>>262
PFWで防御

P2P対策なんだろうか…

誰か､封鎖ﾎﾟｰﾄ一覧を作ってくれ_|￣|○

>>262

263の言う通り、PFWをリムーバブル・メディアに保存した上で、
→ケーブルを抜く
→OSを再インストール
→PFWをインストール
→ケーブル繋ぐ
→Windows Update
→各種アプリをインストール

ルータが有るなら、PFWは不要。
TCP445のIncomingを拒否するフィルタリング設定を行えばよい。

>>265

TCP 139 Incoming & Outgoing
TCP 445 Incoming & Outgoing
TCP 5554 Incoming & Outgoing
TCP 9996 Incoming & Outgoing

>>263,266
つーか、該当ﾊﾟｯﾁファイル先に落としとけばいいんでねぇの？

>245
漏れは同じような状況です。
abserve、*****_up.exe無し。
不定期に突然「〜lsass.exe は、状態コード128 で突然終了しました。」
と出てカウントダウン60秒後に再起動がかかる。

原因が分からないから不気味だ…

>>268
HA!HA!HA!
コリャ一本取られたネ！

確かにその通りだ。

>>268
手間隙かけるのが苦痛で無ければな

明日は田代砲の日か…

またﾀﾞｳﾝする悪寒

TCP/UDP全ポートの受信を拒否するようにしたんですがこうすると安全なんですか？

>>273
そんなことするぐらいならLANケーブル引っこ抜け。

　　　　　　　　　 , -ｰ,
　　　　　　　 　 ／　　 | 　
　　 ∧∧　　／　　　　| 　 TCP/UDP全ポートの
　　(*ﾟーﾟ)／.　　 　 　 |　 受信を拒否するように
　　 |　つ'@　　　 　 　 |　 したんですがこうすると
　 〜＿`)｀).　　　　 　 |　 安全なんですか？
￣￣￣しU　　　　　　 |　
　　　　　|　　　　　　　 |　
〜〜〜〜〜〜〜〜〜〜〜〜
　　　　　　　　　　　　｜
　　　　　　　　　　　>>274

>>261
ﾊｹﾞﾜﾗ！

>>263 >>266
レス、どうもです。

「HDDフォーマット >> OS(WIN2000)インスト >> Norton-PFWインスト >> Norton-PFW、UPDATE >> WINDOWSUPDATE >> 各種アプリインスト」

こんな感じで行ってみようと思います。

>>274
ケーブルじゃなくて無線なんです…

>>278
第一にどうやって2chのログを読んでいる。
第二に、それならFWのデフォで十分。

>>273
おい！
早くルーター買い換えろ
閉じてログ見えるんなら、おまいのルーターは壊れてるぞ
早く！急げ

Win98SE使ってますが
サッサーに感染しますか？

>>281
しない。相手にされてません。

>>281
しないよ。
高みの見物と以降じゃないか、同士よ。(･∀･) ｳﾋｮｰ

In/Outの違いが分かってない奴多いな。

Windows Updateの重要な更新をインストールしておけば
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
ここのパッチはダウンロードしなくても感染しませんよね？

>>285
WindowsUpdateにそのパッチが入ってるので
ダウンロードする必要はありません。

>>281
WORM_SASSER.B
変種・亜種: WORM_SASSER.A
感染報告有無: あり
プラットフォーム: Windows 95,98,ME, NT, 2000, XP

>>287
その情報はおかしいだろ
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
＞影響を受けるシステム: Windows 2000, Windows Server 2003, Windows XP

この大法螺吹き>>287に、誰か正義の鉄槌を下し給わん事を

>>286
どうもありがとうございました。

トレンドマイクロでは98も対象になってるぽ

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

まぁ情報が錯乱してるから、どうにも言えんな。
1週間後には、まとまってるかな

9xにはワームは入るが活動はしない(できない)とか
あくまで憶測

MSのWEBには98については「緊急」ではないと書いてある

これはMSにとっては緊急ではないから98用のパッチを出さないということか？

トレンドマイクロから届いたウイルス警告メールでも

○感染の危険のあるプラットフォーム
　Windows 95、98、Me、NT、2000、XP

となっている。

9x系を見放しただけ

2k/XP以外では、セキュリティホールを利用したリモートコントロールが出来ないと書いている。
だからFTP転送によるコピーも出来ない。

＞Windows 95,98,ME, NT, 2000, XP
この無節操なラインナップから見て、通常ありえない形で強引に感染させたんじゃないの？
そしたらレジストリを変更したり、Systemフォルダに何かファイルを作った、と。
でも活動は、出来ない、と。
そういう事だろう。

サッサのA.B.Cが入ってたんですけど。。。
Cも出てるんですね。

>>298
Dもあるでよ。

サッサZはまだか？

Zの次はなに？

AA

AB
AC
...

コノ時間に即レス＆マジレスがthx
ちなみに445より135が増えてきた

ルータってデフォでInは繋げないものですか？

>>305
うちのルーター、デフォルトではTCP&UDP137~139しか閉じてなかった。

サッサーが発生してからupdateしてないのに、今updateしてみたら
重要な更新は見つかりませんでした。
どうしたらいいでしょうか？
xpです。

>>305
家のルータ(I.O Data WN-G54/BBR)だとデフォルトでIn側TCP/UDP全ポート拒否になってる。

>>307
今回の件で問題になってるパッチはさっさ発生以前に既にリリースされてるよ

>>307
Sasserが出てからまだ新しい更新はUPされてないし。

>>307
4月の14日にうpdateしてたら大丈夫

I-Oってストレージ製品は結構良いけどネットワーク系弱いよな

>>307
534 名前：名無しさん＠４周年[sage] 投稿日：04/05/04 06:14 ID:OVIHs4Kx
KB835732入ってるか気になって今WindowsUpdateの履歴調べてみたら
4月18日に自動更新されてたヽ（´ー`）ノ

>>309
>>310
>>311
>>313
皆さんありがとうございました。安心しました。

>>312
前に使ってたI-Oのルータ(名前忘れた)は落ちまくる糞ルータだったけど今のは特に不満ないよ。

要するに９８ＳＥの私はダウンするパッチもないので放置すればいいってことですね？

>>316
アンチウイルスソフトを入れて、定義を最新のものにする。
FWを入れる。
これでOK

おっ
今度買うとき参考にするよ。THX

漏れはHDD,DVD-RAM等はI-O
ルーターはバッファロー
LANカードはコレガ

>>245 >269

>>245 >>269
もれも同じ状況だったYO
とりあえず、修正パッチとファイアウォール(Outpost)を時限爆弾前にｻｻｯと入れておいたらポート445は塞げるから時限爆弾は登場しない。
そしてｵﾝﾗｲﾝｽｷｬﾝしてみたら、msblastとnachiに感染してますたよ。

>>320
その2つはDじゃないか？
skynetave.exe
だけど

ゴールデンウィークに出てくるのは
やっぱり日本狙ってるのか？
このせいでゴールデンウィーク明けに
仕事に支障が出るわけで
海外企業または何らかの組織の陰

>>323
この時期は中国とかマレーシアも長期の休みになるから
日本も含めてアジア地域を狙っている可能性はあるな

糞パッチ修正版(English)ができたらしい
まだ、公開はしてないぽ

もういやだ
パソコン使うのやめる

もまいら！！

サッサと言えば金鳥（ｒ

>>325を補完します

http://support.microsoft.com/default.aspx?scid=kb;EN-US;841382

[Hotfix information]に修正パッチのファイル情報があります。

ここにお集まりの2ｃｈの皆さん、お助けください。
義兄のPCがこのウィルスにやられたみたいです。
再起動を繰り返し立ち上がってきません。災厄データだけでも抜き取りたいのですが
他のPCへセカンダリとして接続しても、感染しないでしょうか？
また、他に良い方法があればご教授ください。

う〜んネットを始めて4年経つが一度もウイルスに感染したことが無い
運がいいのかセキュリティーが完璧なのか
はたまた誰にも相手にされないのか

>>329
接続したPCが何も対策してなけりゃ、感染する。
データ移動については、USBメモリでも買ってくれば？
災厄データがどんなもんか知らんがｗ

>330
トロイはどっさり持ってそうだな、オマエ

>>329
再起動するまで時間差あるでしょ？
パッチあてて駆除ツール使え

>>331
>>333
ありがとう！
しかし、立ち上がる前に再起動になってしまいます。
立ち上がらなければ、何もできないですか？

>>334
>>4 に書いてあるMSの対策ページには目を通したのか？　と小一時間・・・

>>326
大正解！

ここに書いてあるセーフモードで立ち上げてってのでどうだい

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

http://news5.2ch.net/test/read.cgi/newsplus/1083582626/326
326 ： ◆C.Hou68... ：04/05/03 22:38 ID:RWPnrrSh
>>315
念のため言っとくとAirH"じゃ穴は塞げないぞ。
ところでIDからすると、PCはやっぱ不治痛？
*****
を見て、来ました。
AirH"＋VB最新定義＋WIN・update本日AM11:11現在利用可能な更新なし
でしなくてはならないことはあるでしょうか？

>>335
じゃあﾈｯﾄに繋がらない俺はどうしたらいいのかと小一時間t(ry

この1週間、私自身はアップデートしてないのですが　（父がしたかも？）
アップデートの更新をしても「重要な更新項目はありません」
みたいな文章がでます。

…安心して良いんだよね……？ｶﾞｸﾌﾞﾙ

>>338
AirH"やmoperaを使う時は、PFWを入れて完全stealthにした方がいい。

>>332

自分は8年目になるけどウィルスもトロイの類も無い…。

＃しかし135と445へのアタックが凄いな。(十数秒刻みで…)
＃適切なパッチ当てやルータ、ファイヤーウォール等を導入
＃してない奴が多いんだな。

ルーターのログに見事に445が並んでる(´ー｀)

>>330
自分もそのくらい経つけどなんもない。
たまにオンラインスキャンしてるけど何も出てこない。

今頃気づいたんだけど
阪神が単独首位やん

>>341
ありがとうございました。

昨日サッサーに感染したんだけど、今日WINDOWSのアップデートと
ファイアーオールをONにしたら、カウントダウンがなくなり、普通に繋げるようになってる

一応

・セーフモードでレジストリ確認
・トレンドのオンラインスキャン
・windowsの検索

やってみたけどなにも出てこない。このままにしておいていいんでしょうか。

FWのログ見てると445へのアタックもあるにはあるが
同時に4つくらいのポート(毎回同じ)をたたいていくやつの方が多い。
みなさんのところはどうですかい？

ちなみにたたいていくのは80,139,6129,3127と445,1025,135,2745
これを規則的にたたいていくんだが。

>>348

135,445が多いね。80,139,6129,3127は不定期に来る感じです。

>>344
まあ普通はそんなもんじゃない

>>339
じゃあここは何？ネットじゃないのか？
携帯で見てるのならスマン（ｗ

ZoneAlarm使いだが
445単独のたたきはDNS逆引きができるのに、
ポートまとめたたきのやつはなぜか逆引きが出ない。
(すべて***.in-addr.arpaになる)

これはどういうことなのかな？
大したことじゃないけど、ログがこれで埋まっていくのは気味悪いし。

ルーター入れてれば、問題ないのにね。

>>353
禿胴。
この辺見て不要なポート塞ぐべし。
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap4/router.html

ＯＳはウインドウズ９８なんだけど
サッサーに感染しますか？

>>347
オンランインスキャンで、なんもでてこないならいいんじゃないの。

久々に、ADSLモデム（ルータ機能込）のログを見たが、
何じゃコリャって感じ。
韓国だの、台湾だの、おフランスだの…。

３５５です。
自己解決しました。

６０SecカウントダウンPC再起動sasserに感染したら
>>40でもみておけ

既出かもしれませんが以下の症状もあるみたいですね。

・スタート→すべてのプログラム→（なし）になっている。
　（もしくは一部のプログラムがなくなっている）

・ユーザー設定した覚えがないのに終了オプションで
　「ユーザーの切り替え」が増えている。
　（SP1をあてた事によってできるユーザーではなく。）

・スタートボタンがない。終了オプションがない。電源を切るがない。

ニュー速で”ウイルスマッチポンプ説”を持ち出してる人が居る。
ウイルスが蔓延して儲かるのはセキュリティ業界だからそう考えるのも
自然といえば自然だよね。

>>361
確かに何となく納得は行くが・・・
ばれれば自爆行為だろ。
世界中から袋叩きにあうだろうからね。

なんか急に おさまってきた悪寒

ｱｷﾊﾞ某店
店頭のPCが佐々に感染してた
ﾆﾔﾆﾔ

なんか同一IPからのアタックがすさまじいな。
10秒から30秒おきに8つのポートを同時にたたいてくる。
ちなみに第三オクテットまでうちのIPと同じ。

けど、カウントダウン式とはちょっと考えにくいような気もするんだが・・・ひょっとして別物か？

スタコラサッサと逝こうぜ。

>>362
でも、他人の不幸で儲けているために怨嗟の的になっているのは確か

全くｱﾀｯｸがないのはちと異常か?

休み明けサポセン大忙しの予感ｗ

>>365
大規模感染タイプのワームはみなそうだが「システムをなるべく
クラッシュさせない」のがデザイン上の原則。LSASSがクラッシュ
→OS再起動してしまのは意図的なものではなくて、コードのバグ
とマシンの環境によっていろいろな「相性問題」ｗが出てるという
ことでは？

ただ[ランダム数字4桁_up.exe]が見あたらないケースはちょっと不審。
ほんとうにＳASSERなのか、亜種なのか…？

誰かがカキコしてたが、犯人のリリースのタイミングが１週間
早すぎた。GW明けと同時にリリースだったらもっと混乱した
だろう。

大きなシステムは休み中でも当直がいるからせっせと対策している。
個人もインターネットから情報を入手している。去年ブラスタでイタイ
目にあった被害者の半分くらいは急いでパッチ当てるはず。

よってブラスタに比べたら流行はずっと小規模になる。




…はずだといいなｗ

>371
日本が標的ならな
GWなんて他の国はねーし

サッサ対策web
http://www.jade.dti.ne.jp/~sassa/

質問。
最近、ＰＣの状態が悪い。
先ほど、シャットダウンをするためすべてのデータを保存しログオフしてください。
なるものがでた。このプログラムでコードがなんたらかんたら・・
カウントダウン形式で１分前からカウントダウンが始まりました。
それに最近ははスタートアップ時に多分スパイウェアのせいでシステム情報が
出るなど・・Runtime　Erorrがでるなど・・・そのためにスパイウェア駆除ソフトを
昨日いれました。あとスタートアップにGstartupなるものが・・・これが
情報を送ってウイルス感染・・・てのはないよね・・ノートンあるけど期限切れの予感。
これってやばいか？もしかしたらこのウイルスか？ＬＳＡシェルに問題発生っていう
警告も出た。
その後も何度も再起動させられてﾒﾓって見た。

NTAUTHORITY\SYSTEMに開始されたと書いてあった。
でﾒｯｾｰｼﾞみたいのが入ってて内容がＣ\WIDOWS\SYSTEMlsass32が
状態コード１０７３７４１８１９を突然終了させましただって。
急いでたから間違ってるかもしれないがなんかやばそう。また開始されました。どうっすりゃいんだ・・・

>>374
LSASS？Sasserにやられてるんじゃないの？
この機会にセキュリティに関心を持っては如何？

>>374

このスレまでたどり着いた君なら自力でなんとかできるさ。

しかしサッサではなくなんらかのウイルスの可能性はある？ウイルス全くわかんねぇからさ。でも６０秒カウントダウンさせるのはやばいだろ？またシャットダウンさせらたから今携帯。

>>374
その症状はSasserの可能性が一番高いと言ってるのだと思うが。
それを信用する・しないは君の自由だ。好きにしろ。

喪前はｾｰﾌﾓｰﾄﾞを使ったことはないのか

>>378やはりそうだよな。しかし対処したいが勝手にシャットダウンして対処できないんだよな…どうすりゃいいのか…

>>374
漏れも同じ状態になります。
ただ、最初にその症状がでたのが４月２９日の夕方
昨日ａｈｏｏのニュースみてｵﾝﾗｲﾝｽｷｬﾝかけて、ＡＶＧ最新版で完全スキャンかけて
ｼﾏﾝﾃｯｸの駆除ツールを使ってみたが何も見つからなかった・・・

パッチ当てたら症状はでなくなりますた。

うーん、ノートンは入れてるけど、「統計」っていうの見ても
「最近の侵入の試み」０件、
「最近試みがあった攻撃者」なし…
6時間も起動してるのにこれじゃあ、うちのノートソ先生死んでるのかな？
って思ったら、ここで初めて「ルータの履歴」が見れる、っていうのを知って、
どうにかルータ（うちは無線LAN）の履歴を見たら…
ぎょえーー！！本当に445と135だらけでした！！こえええーーーーー
ルータのログ情報の「現在のアクセス数」2300っていう数も、このせいなのかな？

>>374
>>2

>>380
お前さんはこのスレの1-10ぐらいも読めないのかと…

シャットダウンされてる最中にファイル名を指定して実行で「shutdown -a」か
もしくはLANケーブルを抜くといいですよ。

>>370
漏れは感染してるのかどうかわかりませんが・・・

>ただ[ランダム数字4桁_up.exe]が見あたらないケースはちょっと不審。
これは見当たりません

ｾｰﾌﾓｰﾄﾞで起動してないけどダメかな？
ｵﾝﾗｲﾝｽｷｬﾝもｾｰﾌﾓｰﾄﾞで起動させるの？

>330
うちも4年だけど先日初めてsasserにやられました
（ウイルス製品も最新にしてたしFWも完璧にしてたのに・・）

>>374
帰れ

>>388
＞ウイルス製品も最新にしてたしFWも完璧にしてたのに
なぜWindowsUpdateをやらないのに完璧なのか…お前も帰れ。

そんな佐々ーに一言↓

なんでルータをかませてると平気なんですか？

ウイルス製品とやらが売られているのか？へー。

>>392
まずは>>1にも記載されているリンク先を読んで欲しい。
http://www.isskk.co.jp/support/techinfo/general/Sasser_172.html

で、ルータを使えばこの中にある
＞マニュアルプロテクションを行うには、TCP ポート 139, 445, 5554, 9996をネットワークゲートウェイでブロックしてください。
という処理が出来るから比較的安全になる。

勘違いして欲しく無いのは、「ルータが入っているから安全」ではなく、きちんと設定しなければ意味がない。
それと、ルータはウイルスを駆除してくれるわけじゃない。あくまでも「侵入を防ぐ」だけ。

>>393
尾満テックが業績快調で、笑いが止まらなくて思わず屁をこいたら身が出たって言うのが
ニュースになるくらいだからな。

ﾊｧ？

いつカウントダウンが始めるか分からないのに、終わらせられるか？

>>397
日本語でお願いします

放置汁

サッサに関しては例のパッチ当ててれば大丈夫だよね？

一応Norton AntiVirus 2004とXP標準FWはつけてます。

パターンファイル更新してれば安心だね

ルーターって通常445ってふさいでるでしょ？

え…げーとうぇいでぶろっく？？（;　´Д｀）
WAN側からのパケットを無視（拒否？）する、TCP135と445…とかにすればいいのかな。
とりあえず履歴に山ほど135と445は残ってるけど、感染はしてない。

すいません。
帰ってからセーフモードで起動していろいろやってからまた報告にきます。

lsass.exeが壊れたのが2004/4/29 19：26くらいだったから、感染してるんだったら
かなり早めの感染ですね＿|￣|○　ﾆﾎﾝﾃﾞｲﾁﾊﾞﾝｶﾓ
偶然lsass.exe壊れたってことは・・・ないな

サッサを駆除してるうちにカウントダウンが始まったらどうするのって言ってるんだが。カウントダウンが始まらない方法があるなら教えてほしい。みての通りあまりパソコンは得意じゃない。

それと、余談ですが漏れの消防の時のあだ名が「サッサ」だった＿|￣|○

ルーターのログがすごい事になってるね
TCP445が突かれまくりだわ・・・ルーター大丈夫だろうか・・・頑張ってくれ

>>403
通常はデフォルト設定でも通さないはずだけど、心配ならTCPの139, 445, 5554, 9996のIN・OUT両方をReject（破棄・拒否）するルールを追記しておけば良い。

なぜout

>>405
>>2

>>409
自分が感染した時の用心だけど？

ふーん

>>407
某ISP用の某ADSLモデムが昨日は落ちまくりだったよ。(w

5554はoutを塞いでおかないとね。

タダでばらまいてるやつ

フレッツADSLのNV,NV II 使ってる奴はデフォルトで塞がってるだろ。

aterm 202cはふさがってる？

初心者にこそルータは必須

なんで今日仕事しなきゃいけないんだよｳﾜｱｧｧｧｧｱヽ(`Д´)ﾉ

>>417
説明書を読んで、自分で設定を確認してくれ。

分からなければ、
http://www.symantec.com/region/jp/securitycheck/index.html
https://grc.com/x/ne.dll?bh0bkyd2
あたりでチェックしてくれ。

ルーターのログ見れないんだけど・・防いでくれてるのかな？

>>406
佐々クンor佐々木クン？

>>419
ウイルス駆除ソフト入れてればいいんじゃないの？

>>413
yahoo？

>>382 ネタだろ。

2300でなくて、23だろ。
netstat -na したら、2300個も出てくるなんて、幾つ接続してるんだYo！

no。

>>426=>>424へのRes。スマソ。

>>422

○○さ○　さ○○

なぜかこれであだ名がサッサ・・・

というかファイル指定しても途中でレジストリが消えるのだが・・

サッサーの攻撃が、激しい・・・ウイルスバスターが防御してくれているが・・・

>>428
ふじさわ　さちを　　　　（ｗ

ながさか　さとる

だな。

>>381の仮名募集中で〜す。（ｗ

>>428
たかさき さとし
でどうだ。

サッサがあだ名だと、おいサッサ、サッサとしろよとか言われてそうだな。

サッサ繋がりで、金鳥は夏だけでいいとか言われそうだな。

そんなサッサに一言↓

■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続
するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　LSA Shell(Export Version) has encountered a problem
　This system is shutting down...by NT AUTHORITY\SYSTEM
・ なんだかしらないがパソコンの反応がメチャ遅い。
・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで確認
　しましょう。
　　　http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120

■Microsoft公式ページ
・Sasser ワームについてのお知らせ
　　http://www.microsoft.com/japan/security/incident/sasser.mspx
・Sasser 対策 Windows XP
　　http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
　（XP付属ファイアウォールの使い方は >>24）
・Sasser 対策 Windows 2000
　　http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
・セキュリティ修正プログラム (835732) (MS04-011)
　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
・すでに感染しているマシンにパッチを当てる場合
　MSの駆除ツール>>5

■トレンド、シマンテックのデータベース情報　>>12

■ちゃんとしたファイアウォールを入れましょう。解説とリンク　>>3

>>432
(((（ ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>434
（ ;ﾟДﾟ))ｶﾞｸﾌﾞﾙ

>>435
なんで知ってるの・・・

佐々ちね！

佐々成正

>>407
…さっきから２度も落ちた…。
山のようーなアタックぅ…（涙）
…ぷららなせいか？
アタックもぷららからが多い…。
ＤＱＮなご近所さんが多いと…。

ブラスターが流行った頃のYahooBBからのメール（抜粋）

…━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…

　Yahoo! BBでは、今回の「エムエスブラスト」の蔓延に対する緊急対策
　として、現在、「エムエスブラスト」が流入する一部のポート番号
　（TCP/UDP：135,139,445）における通信を遮断しております。
　そのため、該当ポート番号を使用した一部の通信サービス、インターネット
　経由でのファイル共有（Netbios over TCP/IP）やExchangesサービス
　（Microsoft DS）等がご利用いただけない場合があります。
　これは、全国的なウイルス蔓延をかんがみての緊急対策であることを
　ご理解いただき、ご容赦いただけますようお願いいたします。

…━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…

臨時とか言いながらいまだに上記処置が継続中の模様。
よってウチのルーターは平穏そのもの。


．．．しっかし、上記ポート閉じちゃって仕事に影響出た人
いなかったんだろうか．．．（強引かとも思うんですがねぇ）

>>443
「エムエスブラスト」を「エクトプラズム」って読んじゃった。
ＹＢＢならありかと…ｗ

ぷららの意気地なし〜〜〜〜

わぁ、ぷららが立っ（ｒｙ

今、田舎何だけど､ｻ､ｻ､ｻ､ｻのアタックは来てない・・・・
明日、東京に戻ったら(((( ;ﾟдﾟ)))ｱﾜﾜﾜﾜってことになるのか？

　|￣￣￣￣￣￣￣￣￣|
　|　つぎでボケて！. 　　|
　|＿＿＿＿＿＿＿＿＿|
　　　 ∧∧ ||
　　　 ( ﾟдﾟ)||
　　　 /　づΦ

名前：381[sage] 投稿日：04/05/04 17:37
>>432
(((（ ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>434
（ ;ﾟДﾟ))ｶﾞｸﾌﾞﾙ

>>435
なんで知ってるの・・・



スルーされた>>431>>433 orz

…こないだルータ初期化したの忘れてた…。
せっかく色々登録していたフィルタが真っ白だった…（涙）

１３５も４４５ちゃんと防いでくれてたけど。
慌てて他のも登録し直したさーｗ

デフォでどれが入ってんのかなあ？

>>448

>>432　>>434はホントにビビッたんだｙｐ

>>433
もうヤメレ・・・

>>431
正直スマンカッタ

381を防ぐ方法を教えて下さい

>>451
もう書き込みませんので安心してください

ちょっと質問です
１日の夜からインターネットへ正常につながらなくなり、
常駐を見ると （数字）_up.exe が起動していました。
それからＯＳを再インストールして直したのですが、これはsasserでしょうか？

メッセでよく話す友人のＰＣにＬＳＡＳＳのエラーとか出て再起動がかかる症状が
出ていたので、そのあたりとの関係があるような気もします。

ルーター（ADSLモデム一体型）のログを見たら、今も一秒間に数通き続けているが
弾いている。全部445だよ。こりゃぁ、すげぇなぁ・・

>>453
書き込む前に>>1-10くらいまで読んでからきなさいな

>453
大当たり

末尾の文字変えてみたら既にDまでありますたｗ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.C
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D
Eもやったけどまだ無いみたい

>>455
こんな大物に感染したの初めてだったんで取り乱してました
今度からもっと落ち着いて書き込むようにします。

blast(ry

もう一台のPC、パッチ当ててないが
使用者はルーターで弾かれてるしXpのFW機能オンだから大丈夫と言ってやがる……

パケットフィルタリング機能オフにしておいてやろうかな

整理するとWindowsファイルに作られるのは・・
WORM_SASSER.A ＝＞数字_up.exe
WORM_SASSER.B ＝＞数字_up.exe
WORM_SASSER.C ＝＞数字_up.exe
WORM_SASSER.D ＝＞skynetave.exe
のようだ。

>>460
自動更新に設定させとけよ

Dも数字じゃなかった？

休暇から帰ってきてパソ立ち上げて感染してる香具師がどんどん増殖中なんだろうなあ…。
休暇中でもニュース見とけよ。
つーか、ネットやるならセキュリティを忘れるな！

>>460
実際大丈夫なんだから良いじゃない。人のやり方にケチつけないくても。

>>463
既出だがDはドイツで発見されており、数字ではないようだリーベ。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D

俺の知り合いはＰＣ買ってから１度もアップデートすらせずにつかってて
去年blasterに感染してsasserにも感染したよ
blasterも自分で治せなくてリモートで他人に治させた
今回あたり自分が犠牲者になりそうで怖い

>>454
おらも見てみたが、ほんとに来てる（（ ；ﾟДﾟ）））ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
ちゃんとREJECTできてるけど。　こりゃ、相当な勢いで広がりそう．．．

>>467
その知人にはネットをやるなと伝えてくれたまえｗ

さっきまで色んなポート叩かれてたけど、ここへ来て４４５一色に…。
旅行から疲れて帰って、パソ立ち上げてウイルス感染。
で、リカバリーで更にお疲れ？ｗ
対処法知らないと現在パニックになってる真っ最中かな？
サポートもお休み多そう…（人）ﾅﾑｰ

今日 18:18:59 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745
今日 18:18:59 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025
今日 18:18:59 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445
今日 18:18:59 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127
今日 18:18:59 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129
今日 18:18:59 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139
今日 18:19:00 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745
今日 18:19:00 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025
今日 18:19:00 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129
今日 18:19:00 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127
今日 18:19:00 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445
今日 18:19:00 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139
今日 18:19:00 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025
今日 18:19:00 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745
今日 18:19:00 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129
今日 18:19:00 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127
今日 18:19:00 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445
今日 18:19:01 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139

誰だか知らんが、2秒間にこんなに・・・・・・
ネット重くなってるだろうな。

去年の夏に引き続き今回もログ貼り付けが流行ってるのかw

これサッサーってよむの？

我が家のログ。他で貼る機会もないしｗ

2004年5月4日 17時58分15秒 フィルタ 220.186.197.* からNBT 又は Microsoft-DS パケットのルーティング UDPポート:137
2004年5月4日 17時58分15秒 フィルタ 220.186.197.* --> 我が家 UDPポート:137
2004年5月4日 17時57分09秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時57分09秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時57分03秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時57分03秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時57分01秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時57分01秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時55分56秒 フィルタ 24.79.122.* からNBT 又は Microsoft-DS パケットのルーティング UDPポート:137
2004年5月4日 17時55分56秒 フィルタ 24.79.122.* --> 我が家 UDPポート:137
2004年5月4日 17時54分16秒 フィルタ 220.108.79.*からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分16秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時54分10秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分10秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時54分07秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分07秒 フィルタ 220.108.79.1* --> 我が家 TCPポート:445
2004年5月4日 17時54分01秒 フィルタ 220.108.201.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分01秒 フィルタ 220.108.201.* --> 我が家 TCPポート:445
2004年5月4日 17時53分58秒 フィルタ 220.108.201.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時53分58秒 フィルタ 220.108.201.* --> 我が家TCPポート:445

>>473
そう。
東京タワーとは呼ばないらしい。。

ぷららだけどルーターのログ見ると445より135が若干多い。

うちはここ20分ぐらい、1分に1度程度で445と135が半々ぐらいかな〜。
XPのFWのログ取りをさっき始めたところだけど。

このFWを突破されることはなかろうけど、パッチは当てているし
ノートンもいるから安心。

今にたら197もあるけどなんだろ〜。197だからｲｸﾅｲのか？

ごめん
×　今にたら
○　今見たら
調理中だったもんで・・

うちは半々くらいかな。1発/10秒

数分前にログ見るまでは、俺の前に使ってた馬鹿がbittorrentやってたらしくて6881への接続要求が
現時点でのサッサーより多かった。PPPoEの接続しなおして回避。

ログみたら結構来てるねー。GW明けがもっと凄そうだけど。

WINアップデートは複雑でいかん

きょええええぇ〜
ttp://cgi.2chan.net/up2/src/f54316.jpg

>>483
この後のレスは全部君に任せた、君はプロだ！

>>483
(((( ；ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ　

>>483　エラーが出たけど何？

あ〜ぁ、もぅ、やめてくれぇ〜


ﾌﾟﾛｾｽ名は N/A
2004/05/04 19:32:58 スーパーバイザ 未使用ﾎﾟｰﾄ遮断機能が通信を遮断しました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 220.213.61.93,epmap(135)
2004/05/04 19:32:58 スーパーバイザ 未使用ﾎﾟｰﾄ遮断機能が通信を遮断しました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 220.213.61.93,2745
2004/05/04 19:22:40 スーパーバイザ 規則「Microsoft Windows 2000 SMBのﾃﾞﾌｫﾙﾄ遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは LT3005D-i2(220.144.179.121),microsoft-ds(445)
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 220.144.129.9,1043
ﾌﾟﾛｾｽ名は N/A
2004/05/04 19:22:15 スーパーバイザ 未使用ﾎﾟｰﾄ遮断機能が通信を遮断しました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ﾛｰｶﾙｻｰﾋﾞｽは 220.144.233.62,epmap(135)
2004/05/04 19:19:07 スーパーバイザ 規則「Microsoft Windows 2000 SMBのﾃﾞﾌｫﾙﾄ遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続
ﾛｰｶﾙｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは LT3005D-i2(220.144.179.121),microsoft-ds(445)
ﾘﾓｰﾄｱﾄﾞﾚｽ､ ｻｰﾋﾞｽは 220.146.29.151,2624
ﾌﾟﾛｾｽ名は N/A
2004/05/04 19:19:01 スーパーバイザ 規則「Microsoft Windows 2000 SMBのﾃﾞﾌｫﾙﾄ遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました｡ 詳細:
ｲﾝﾊﾞｳﾝﾄﾞ TCP 接続

>>483
解析しといてｗ

>>483
Ｂだけじゃないんだね・・・(((（ ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

過去スレなどを読むのに利用してください
http://makimo.to/cgi-bin/dat2html/dat2html.cgi?http://pc3.2ch.net/test/read.cgi/sec/1083573189/&ls=30

>>486
あたまにｈ付けたか？

Janeだから自動で付けてくれるみたいです。

某ｲﾏｲ君のパソ。

今朝、今井くんに会ってきました。
彼のパソコンは、数千ものウイルス攻撃にやられ、いまは全く使えないとか。
そこで口頭で、ここの掲示板のことや、募金活動のことを伝えてきました。
http://www3.creative.co.jp/bbs/mess.cgi?p=883


だそうです。

>>492
そりゃぁｽﾏﾝかった。
何のエラーか判らんが、あぷろだが重くてタイムオーバーになったんんか？

janeだけど普通に見られる。
ちなみに>>483は脳豚先生がSasserをいっぱい検出した画像ね。

>>493
数千ものウイルス攻撃って…ヤツのPCはMacじゃなかったか？

デスクトップは売男らしい。

>>494
いえいえ、
けっこうエラー出るんです。IEだと見れたりするんですけど。

昨日今日と何度か ﾀﾞｲﾔﾙｱｯﾌﾟ でつないでみてるんだが、ぱったり来なくなっている。
プロバイダが TCP/445 宛てパケット遮断したかな？

便乗して139,445,1025,2745,3157,6129をいっぺんに叩いてくる奴が
いると騒いでるやつがいるが・・・。
1ヵ月前からあったよ。ｻｯｻとは無関係。phatbotだろ

>>483
重いので別所にウプさせてもらったよ
http://lucky-tv.net/img-box/img20040504202135.jpg

ﾊｲｻｯｻｰで綺麗好き〜♪

>>500
で、ｻｯｻは？

ネットが重い気がするのはこのせいかな？
１秒に１０回とか来てる…。

と思ってhttp://www.bspeedtest.jp/でスピード計ったらいつもの半分…＿|￣|○；

>>504
旅行券２万円が当るを押してしまったよｗ

sasserまとめページ
ttp://www.sasser.ac/

>>506
ご苦労様。ダウンロードページが役に立った。
http://www.sasser.ac/download/index.html
2004年版がないようなのが残念。

かなり概出なことでょうが当方携帯からなのでお許しください
プロバイダには接続できるのですがＩＥがページを表示できませんと出てきます。検索からａｖｅｓｅｒｖｅ２．ｅｘｅと〜_ｕｐ． ｅｘｅとレジストリディタでａｖｓｅｒｖｅ２．ｅｘｅは消しました。

ルーターのログみてみましたところ、ログ最後に４４５が多数ありました。
防いでいるかいないか、ルーターのログのどの部分を
見ればわかるのでしょうか？
なにせログを見たのが今回初めてでして・・・すみま
せん。

>>509
blockとか書いてあれば防いでると思うが。
心配ならログを切り出して貼り付けてみなさい。

>>510
�凵@　　　 　○　　　∇　、,､´｀ﾞ；~､　　';冫　☆
　　　　　　　　　　　┏　 ━ゝヽ''人━人━从━〆Ａ!ﾟ━━┓。
　╋┓"〓┃　 ＜　ゝ＼',冫｡'　、　（＿_）Ν ; ゛△│´'´,.ゝ'┃.　　　　　 ●┃ ┃┃
　┃┃_.━┛ヤ━━━━━━━（＿＿）━━━━━━━━━━　　━┛ ・　・
　　　　　　　　∇ 　┠─Σ-　　　/,, ・∀・) ｳﾝｺｰ!冫┨'ﾟ,。 とんでもウンコ、パッカァーン！！！
　　 　 　 　 　 .。冫▽　＜　　 ⊂ 　 　　./⊃　　　　 乙　　≧　　　▽
　　　　　　　　　。　┃　　 Σ　　 （⌒ゞ　,l,　､'' 　│ 　 て　く
　　　　　　　　　　　┠─ム┼ 　　ゝ,,ﾉ　ﾉゝ.　､,,　 .┼ ｧ　Ζ┨　ミｏ''｀
　　　　　　　　　。､ﾟ`。､　　　i／　　　レ' o。了　､''　×　 个ｏ
　　　　　　　　○　 ┃ 　　`､,~´＋√ ▽　 　',!ヽ.◇　 　　ｏ┃
　　　　　　　　　 　 ┗〆━┷　Ｚ,.'　/┷━''ｏ ヾｏ┷+＼━┛,゛；
　　　　　　 ヾ　　　�凵@　　　　　　　　　　　　　　'、´　　　　∇

>>511
防ぎきれませんでした(´･ω･`)

2004/05/04 21:44:32 IP_Filter REJECT UDP 192.168.0.2:137 > 192.168.0.255:137 (IP-PORT=0)
は大丈夫？

大丈夫以前じゃ。

>>510
ありがとうございます。も１度調べてみまして
不安な部分がありましたら、ここに貼りたい
と思います。

>>513
それLAN内のじゃないの？？？
N○CのAt○rmのログじゃない？

>>483
すげー

＞＞５０８をお願いします

教えてください。 問題が発生した為、Generic Host Process forWin32 Servicesを終了…ってのがでてネット接続がきれます。タスクバ−にはアイコンが残ってます。でも接続はきれてる。Winのアッブデイトしてからおかしくなりました。助けてください。

すいません。質問させてください。
マイクロソフト社の「ワームについてのお知らせ」の中で
(ttp://www.microsoft.com/japan/security/incident/sasser.mspx)
「Sasserワームの感染の確認および駆除をします」のステップで
英語ページに飛んでチェックする所まで進んだのですが
結果が・・・
Required update is not installed
To use this tool, you must have already installed the security update associated
with Microsoft Security Bulletin MS04-011.

・・・と出てきました。
この表示が出た場合、どうしたらよいのかが分からずに途方にくれています。
表示の色からして、ヤバイという事は理解できたのですが・・・
もし良い解決策をご存知でしたら教えてください。

>>508
PFWでIE用ポート開ける。

>>519
ttp://support.microsoft.com/default.aspx?scid=kb%3Bja%3B821690

駆除の前にパッチ

>>520
まずUPDATE

>520
ヤバイんじゃなくてワームの感染確認するツールを使う前に
MS04-011のパッチをあてておけってメッセージでしょ？

ありがとうございます。
赤色で表示されてたのでヤバイと思い込んでいました。
もう一度最初からやり直してみます。

英語くらい読めよ

ちょっと教えて頂きたいのですが。
nachiにしろsasserにしろルータのwan側のアドレスの445他にアクセスしに来ている訳ですが、
これって、ルータのlan側にまで入って来れるもんなんでしょうか？

ちなみに、DMZの設定はしていません。

>>520のはエキサイト翻訳通せば十分理解出来るな。
英語アレルギーは良いけどせめて機械翻訳を。

必要な最新版はインストールされません。このツールを使用するために、
マイクロソフト・セキュリティ公報MS04-011に関連したセキュリティ最新版
を既にインストールしなければなりません。

>>527
ルーターの解説をするスレではないわけだが…

余計な設定してなければ答えはno

>>527
Rejectしてれば入ってこれない。

ただし、100%安全というわけでもない。
ルータの設定をきちんとやる事。
ルータとの接続に使うパスワードがデフォルトのままなんてのは問題外。

ルータの設定や解説とかしてるスレってハードウェア板かな？

>>529,530
スレ違いな質問にお答えいただきありがとうございます。

ハードウェア板に逝ってきます。

今のパソコンを買ってから半月ほどしか経ってないのですが、
１０分もパソコンを使っていたらネットでページが表示できなくなり、
全体的に重くなるんです。
ノートパソコン（Prius）です。ソフトなどは５つほどしかダウンロード
してないです。（その中に非常に重いというものもないです）
他のスレでnetskyに感染してるだろうと言われたんですけど、
netskyの対処法教えてください。

ルーターのログってどこみるんじゃ？

おいおいおい…　さっきから同じISPの同じIPから
135、445、1025、2745…叩かれまくり…
ルータでブロックしてくれてるからいいけど 気持ちわる〜

>>532
http://www.trendmicro.co.jp/vinfo/virusencyclo/default2.asp?m=q&virus=netsky&alt=netsky
とりあえずこのあたりかと・・・

Ｎ速＋のサッサスレ見たけど
全く関係ない話題で回ってた…

>>536
Ｎ速＋はバイキンネタだな。

■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続
するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　LSA Shell(Export Version) has encountered a problem...
　　This system is shutting down ... by NT AUTHORITY\SYSTEM
・ なんだかしらないがパソコンの反応がメチャ遅い。
・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
　してるか確認しましょう。
　　　http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120

■Microsoft公式ページ
・Sasser ワームについてのお知らせ
　　http://www.microsoft.com/japan/security/incident/sasser.mspx
・Sasser 対策 Windows XP篇
　　http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
　（XP付属ファイアウォールの詳しい使い方は >>24）
・Sasser 対策 Windows 2000篇
　　http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
・セキュリティ修正プログラム (835732) (MS04-011)
　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
・すでに感染しているマシンにパッチを当てた場合
　MSの駆除ツールを使って駆除>>5　（先にパッチ当ててないとｺﾞﾙｧされます）

■トレンド、シマンテックのデータベース情報　>>12

■ちゃんとしたファイアウォールを入れましょう。解説とリンク　>>3

》５２１
何度もくだらないこときいて恐縮なのですが
ＰＦＷとはなにかのヒァイアーウォールのことでしょうか、はたまた全然違うものでしょうか？

>>539
PersonalFireWall

>>539
PFW＝Personal Fire Wall。
つまり、パーソナルファイアーウォールのこと。
特定ソフト名のことを指しているわけではない。

>>539
http://search.yahoo.co.jp/bin/query?p=%a5%d1%a1%bc%a5%bd%a5%ca%a5%eb%a5%d5%a5%a1%a5%a4%a5%e4%a1%bc%a5%a6%a5%a9%a1%bc%a5%eb&hc=0&hs=0

>>535
教えてくださったページを見てもよく分からなかったのですが…。
ごめんなさい。初心者なもので(>_<)

>>543

【差出人】WORM_NETSKY【詐称】
http://pc3.2ch.net/test/read.cgi/sec/1080741342/l50

ここは？

Personal Hyaire Wall

>>543
とりあえず、
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
を実行する。
その後ウインドウズアップデート。
http://www.trendmicro.com/jp/security/general/what/prevent/update.htm

>>543
駆除が終わるまで、メールは開かないように。

普段はルータを通して常時接続してるけど、今夜はたまたま出先で
ダイヤルアップ接続してる。
この2時間で41回もVB2004が警告だしやがった。こりゃひでぇ…。

>>536
なぜか検便の話題になってるな（ｗ

>>543
まずhttp://www.trendmicro.co.jp/hcall/index.aspでｵﾝﾗｲﾝｽｷｬﾝして
発見されたウイルスの駆除ツールを使って駆除

>>543
なんかみんなやさしいな・・・
けどこれくらいは自力で何とかしていかないと、これから先もっとやっかいなのが出てきたとき
対処できないよ。
これを機にもっとセキュリティに敏感になってみることを強くおすすめする。

ホントみなさん優しいです。ありがとうございます。
これで出来るはずなんで、今からやってみます!!
少しずつパソコンの事を知っていかなきゃ…と実感しました…。

>>551
禿同

もし次にウイルスに感染したら今回経験したこと活かす
まず、どういうウイルスに感染したのか調べる
http://www.trendmicro.co.jp/hcall/index.asp←ここあたり

ウイルス名がわかったら2ｃｈのスレとかサイトで詳細を調べる
http://www.trendmicro.co.jp/vinfo/virusencyclo/←こことか


まずはアンチウイスルソフトを入れるべき・・・
あとインターネットセキュリティーとか

SASSERシリーズってNETSKYの作者たちが作ったんじゃないか?
NETSKY.ACで何か言ってるし、SASSER.Dのコピーするファイル名がskynetave.exeだし。


・・・といってみるテスト（逃

亜種作ったのがオリジナルを作成した人だとは限らないわけで・・・
と可能性を薄めてみるテス�d

>>554
NetSkyの作者がSasserシリーズのいずれかのソースをバイナリをクラックとか
Sasser作者と何らかのつながりがあってそこから入手して
それを改造したんじゃ無かろうか　途中からそのファイル名を出すのも変な話だし

しかし、NETSKY.ACのメッセージには自称NETSKY.Vと書いてあるから、普通に考えるとNETSKY.Vが出る前に作られたものであって
NETSKY.Vが出たころには当然SASSERは登場してないからオリジナルを作ったのもNETSKYの作者になるんじゃないかな?

それとも俺はNETSKYの作者に踊らされているのか?

>>533
ルータによるんじゃね？

漏れは機器診断→ログ情報

すいません。今やっとUPDATEして再チャレンジし、駆除しました。
くだらない質問して申し訳ございませんでした。

>>528わざわざ和訳ありがとうございました。
もっと知識増やさないといけませんね。お騒がせして申し訳ございません。
いきなり再起動再起動でかなり動揺してたもので・・・。

これってMeを使っている場合関係無いんですか？

コントロールパネルから接続をクリックして全ての接続のＦＷを開き、ノートンのＦＷを無効にしたのですがＩＥが表示できません。そもそもＰＦＷがどれなのかもちんぷんかんぷんです。

どうしょうも無いな

>>546サンが最初に実行するって書いてる所のリンクをクリックしたら
ページが表示されませんって出てきました…

>>560
Ｍ＄は関係ないって言ってる。
マイクロトレンドは関係あるって言ってる。

ネットワークのレスポンスが下がるってことを被害として考えたら
どんなOSも（ｒｙ

>>561
ＦＷとは関係なさそうな？
とりあえずＩＥの修復を試してみてからじゃないかな？

ウイルスバスターでSASSER、Ｃ検出されました。
しかし削除のところが・・・いいえに先に進めん・・。どうすりゃいい？

>>567
オンラインスキャンは検出のみ。

>>532
買ったばかりなえら、ノートン体験版が入ってるよ。
データ更新してスキャンした？

>>568
ｻﾝｸｽ。まじか・・きびしいな・・しかしｳｲﾙｽ感染ファイル４６０個。
復帰にはウイルス駆除ソフト買ったほうがいいかな・・

>>568
削除だけはできたような？
駆除はできないんじゃ？

>>570
回線切れよ

>>570
絶対買ったほうがいい
ってかみんなのために回線切ってください

>>572
かぶった　orz

>>567
ttp://www.trendmicro.co.jp/download/tsc.asp
使え

あとﾄﾚﾝﾄﾞﾏｲｸﾛの製品・サービスが「ページが表示できませんだって」
こんな時に困るな・・

【ネ申】佐々成政【佐々淳行】
http://hobby.2ch.net/test/read.cgi/warhis/1082175444/

トレンドやシマンテックのページが表示できんとか言ってる香具師ら、
サッサ以外のウイルスの感染を疑う必要も有るんじゃないか？
MS04-011を利用するのはサッサだけじゃ無いぞ。

そいやウイルス検出でSASSERとAGOBOTO発見したｗ

おとといサッサーにかかったと知り、昨日ノートンを買って入れた所
ＩＥを開くとページを表示できませんと出てきてしまいます

>>576
私もついさっきまで表示出来なかったけど
ログを追って、追って、、、追って、、、ｗｗ
やっと表示出来るまでに至ったので、578さんが言う様に
別のウィルスの可能性があるかもしれませんよ。

と言ってる私も10個あったウィルスを12時間かけて
残り2個・・・（ｻｯｻＣ。これでつまづいてます）

木曜日会社に行きたくないなぁ…

うちはsasserとagobotが波状攻撃でくる・・・
というか、agobotの方がうちは多いな・・・

>>582
最低限もしものために
各種Windows用パッチ　各社のウイルス駆除ツール　各社の最新ウイルス定義
の三つぐらいはCD-Rにでも焼いて持ってくのをお勧めする

会社でport445が開いてる自体おかしいだろ

こいつもまた亜種かなんかでどっかのサイトをDosアタックするとかなるんだろうか？

亜種で駆除してくれるウイルスも出そうだな（ｗ

でも、まいどおなじみ日本語OSは除外される。と

>>582
それぞれ３枚ずつ焼いとけよ。必ず「うちにも焼いてくれ」っていう隣の
課長とか出てくるｗ

漏れの会社は
深夜か社員の出勤前にSEがﾁｮｺﾁｮｺやってくれてるから大丈夫だ

sasser駆除ツールとか言ってNerskyを送りつけてくるメールが流れているらしい。

ウイルス除去装うメールに注意を
http://headlines.yahoo.co.jp/hl?a=20040505-00000689-jij-bus_all

あちらの話らしいが、国内でも巻き添え食らうやつ出るかもしれないな。

■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続
するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　LSA Shell(Export Version) has encountered a problem...
　　This system is shutting down ... by NT AUTHORITY\SYSTEM
・ なんだかしらないがパソコンの反応がメチャ遅い。
・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
　してるか確認しましょう。
　　　http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120

■Microsoft公式ページ
・Sasser ワームについてのお知らせ
　　http://www.microsoft.com/japan/security/incident/sasser.mspx
・Sasser 対策 Windows XP篇
　　http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
　（XP付属ファイアウォールの詳しい使い方は >>24）
・Sasser 対策 Windows 2000篇
　　http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
・セキュリティ修正プログラム (835732) (MS04-011)
　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
・すでに感染しているマシンにパッチを当てた場合
　MSの駆除ツールを使って駆除>>5　（先にパッチ当ててないとｺﾞﾙｧされます）

■トレンド、シマンテックのデータベース情報　>>12

■ちゃんとしたファイアウォールを入れましょう。解説とリンク　>>3

>>592
乙〜

オンラインスキャンって矛盾してるよな・・・
長い時間ネットワークに接続させといて、ウイルス見つけても何もしない。
感染を拡大させる原因にもなる。
削除しなくてもいいのでローカルにDL＆保存ができる形式にすればいいと思うのは、漏れだけ？

このSASSARとかってｳｲﾙｽﾊﾞｽﾀｰ使えば一瞬で滅びるの？

>>594
アホ？

>>595
検出できない亜種もあるかもしれんが、大体できる。
でも一瞬ではない。

>>594
確かに感染を拡大させる要因になることは確かだな

>>596
おまいがアホ

これって
本当はサザーらしいね

>>595
インストールしただけでは検出すらしないかも。
インストールした後アップデートを実行し最新のウイルスパターンファイルを
ダウンロードすれば、ダウンロードが完了してそれが適用された瞬間に感染して
いたSASSARは殺される。
あとは全ハードディスクを手動検索して一匹残らず隔離して作業終了。

>>600
隔離？
削除じゃなくて？

オンラインスキャンって検索終了した後削除の仕方どうやるわけ？

>>602
できない。あくまでも検出のみの無料サービスだから。
ウイルスバスター２００４評価版インストールすれば１ヶ月間はフル機能
使えるから削除でもなんでもできる。その後は購入するなりなんなり。

ｽﾏｿ。シマンテックのオンラインスキャンの後ならNIS2004の体験版でも
インストールすれば同じようにできるはず。

私Magabit Gear TE4121C のルーター使ってるんですが・・ログってどこで見れるのでしょうか？
もし、知っていらっしゃる方が居たら教えてください　すいません

オンラインスキャンって、なんか俺の恥ずかしいファイルが
みんな表示されてるし、オンラインってことでトレンドマイクロ社員に丸見えなのかな
と思うと、使うのに躊躇して使えない。

アップデートしてる最中に システムダウンして再起動してしまう(>_<)どうすればいいのー

>>607
shutdown -a

Microsoft純正Sasser駆除ツール
ダウソ http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
使い方 http://support.microsoft.com/?kbid=841720
事前にパッチを当てなかった(感染した)やつは非国民
http://www.soumu.go.jp/s-news/2004/040426_2.html

↑どういう意味？

いつになったらレッドコード、ブラスターの教訓が生かされるんだろうか？

せんせい！れっどこーどってなんですかぁ〜？

LAN側からWAN(インターネット)側へアドレス変換して通信した時の情報を表示します。で

漏れの端末→202.129.29.108 HTTP(TCPポート:80)

ってのはなんだろう？

>>611
人は同じ過ちを繰り返すものですよ。
それで成り立つ職業も多いのです。

パッチを当てていない。尚且つ、ファイアーウォールなども導入していない。
世の中、ごみパケットが飛び回ってまんがな。こう言うのって、損失利益って言うのかな？
きっと、何十兆円だよ。

>>613
夜中なのにタイカレー食べたくなった。。。

C:\RECYCLER\S-1-5-18\Dc1.exe は　W32.Sasser.C.Worm に感染しています。
C:\RECYCLER\S-1-5-18\Dc2.exe は　W32.Sasser.C.Worm に感染しています。

み・・・みつけられない・・・
ｱﾌｫだ・・・自分

>>617
RECYCLERフォルダをリネームしてから、削除する。
フォルダオプションでシステムファイルを表示する。

>>613
NATだよ

>>617
1.マイコンピューターを右クリック、プロパティ
システムの復元タブの「すべてのドライブでシステムの復元を無効にする」
にチェック。OKでプロパティを閉じる。

2.対象ファイルを削除。

3.マイコンピューターを右クリック、プロパティ
システムの復元タブの「すべてのドライブでシステムの復元を無効にする」
のチェックを外す。OKでプロパティを閉じる。

RESTORE≠RECYCLER

>>621
今見て気付いたよ　orz
ｽﾚ汚しｽﾏｿ

皆さん、ありがとうございます。
先程から一生懸命探しているんですが、ＲＥＣＹＣＬＥＲ自体が
見つからずに困っております・・・
1-5-18というのは見つけたんですが、対象となるモノも
見つからず・・・（検索、レジストリなどで探しています）

>>623
C:\RECYCLER〜はゴミ箱の中だ。
削除したヤツが引っかかってるって事だな。
PCから見ると
[ ごみ箱\ファイル名.exe ]だが
オンラインスキャンでは
[ RECYCLER\S数字\Dc数字.exe ]と表示されるはず。

必死にshutdown -aを叩きながらうｐデート中（ｗ

>>623
隠しフォルダ属性も付いているぞよ

>>625
サービスの設定から、svchostをエラー時に再起動しないに設定すればいいのに。

bat作ればいいのに

>>624
>>626さん
ありがとうございます。
ごみ箱が空になってる状態でスキャンしたので、
削除したつもりが削除されずにどこかにある、という事で
しょうか・・・
もう15時間この作業に費やしてるあほです

ALL初期化の方が速そう

>>629
C:\RECYCLER\S-1-5-18\
をアドレスバーに貼り付けるとかじゃ無理なんですか？

>>631
おお！！ありがとうございます！
「隠しファイル」として出て参りました。
・・・・・・・・（涙）

ポート135に来るのはagobotですか？

隠しをといたものの、０個のオブジェクト・・・０バイト
一体彼らはどこへ行ってしまったものやら・・・

イギリス沿岸警備隊で大々的にやられたと

BY　NHK　RADIO

SASSERだけに
さっさと解決してくれ

>>634
フォルダオプション→表示タブの
すべてのファイルとフォルダを表示するにチェックしても出てこない？

>>634
ゴミ箱のトラブルなら、何でもいいからいらないファイルを1つ
ゴミ箱に入れる（そのファイルを削除する）
それからゴミ箱を空にすると治るよ　（XPの場合）

これWindows2000Serverにも当然感染するんだよね？
マイクロソフトの修正パッチのページにはWindows2000SP2〜SP4と記されたパッチしかないけど
こいつを適用すればいいのかな。
2003Serverのパッチは個別にあるんだけど。

XP のFWが駄目なケースもあるだろ。
Blasterのときにもあったよな。
XP FWは、XPのTCP/IPが起動してから起動される。
このタイムラグの間に感染するケースがあった。
(だからXP Sp2で改良点となった)

アホーとかにモデムで直結しているケースはがいとうする。
フレッツ接続ツールとかPPPoE接続認証の時は平気だと思うがな。

ちなみに、以前トレンドに聞いたことがあるが、同様の危険は
あるそうだ(バスターのFW起動順番まで　わからん　ということ)

俺MEなんだけどﾈｯﾄに繋いだらsasserがどうとか英語ででてきたYO！
(ﾉД`)ｺﾜｲﾖｰ

内閣官房・警察庁・総務省・経済産業省による勧告
http://www.soumu.go.jp/s-news/2004/040426_2.html
を無視して感染したやつは
イラクは危険だから渡航を自粛するよう勧告されても
のこのこ出かけて拉致されるやつと同じだ。
「自己責任」で直せよ?

＞639
2000は2000Serverと2000Proを、XPはXPProとXPHomeを指す。
字を見ればわかるだろ?

>>641
How to Protect Yourself from the Sasser Worm and Other Attacks

とか出たんなら、マイクロソフトからのメッセージで対策をしれという警告だわ

なんか、自分のメアドを件名に入れて来るよね。
だからメールサーバの設定で、自分のメアドが件名に含まれる
メールを受信しないで削除するように設定したら
送られて来なくなったよ！サッサがアホで助かった。。。

>>640
そうか、今までフレッツ接続ツールは余計だと思いつつ使っていたが、
いいところもあるんだね。（XP Home）
あ、パッチは当ててます。Norton AntiVirusも常駐。

>>644
ｱﾘ�d
それなら気にしなくていいね
ヽ(´ー`)ﾉ

>>646
フレッツ接続ツールとかを使える状況になったときは、
FW起動後のはずだからということかな・・

Windows起動時にはネットに接続せず、その後に手動で接続することに
していて、その接続先に対してはXPのFWを適用する、という設定に
なっていれば、隙はないですかね？
（つまり、接続はされているがFWが起動されていない瞬間があるかどうか）

>>645
?

>>645
??

645 名前：名無しさん＠お腹いっぱい。 投稿日：04/05/05 07:52
なんか、自分のメアドを件名に入れて来るよね。
だからメールサーバの設定で、自分のメアドが件名に含まれる
メールを受信しないで削除するように設定したら
送られて来なくなったよ！サッサがアホで助かった。。。

ルータのログ見てたら、SQLSlammerってまだうろついていたのね。
サッサは昨日よりか減ったよ。

>>649
わからん
だれかわかる人回答キボーヌ

うちの会社のLAN、XPのファイアウォールをONにするとネットに接続できなくなる。
個人パソコンにPFW入れてない香具師もいるし。
別のパソコンで修正パッチや駆除ツールをダウンロードしてCD-Rに焼いて、１台ずつ回るしかないか。
うちの管理者、ブラスターの教訓を活かしていない・・・。

ところで、ネットにつながないでMS04-011の修正バッチが適用されているか確認する方法ってありますか？。
WindowsUpdateの「インストールの履歴の表示」ではネットにつながないと確認できないんですが。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
っていう場所が存在しないんですけど。
ネットにつないだ直後にシャットダウンされるわけでもないしサッサーじゃないんですかね？

■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsのupdateしてないパソコンはネットに
接続するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
　・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　　LSA Shell(Export Version) has encountered a problem...
　　　This system is shutting down ... by NT AUTHORITY\SYSTEM
　・ なんだかしらないがパソコンの反応がメチャ遅い。
　・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
　　してるか確認しましょう。
　　　http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120
■Microsoft公式ページ
　・Sasser ワームについてのお知らせ
　　　http://www.microsoft.com/japan/security/incident/sasser.mspx
　・Sasser 対策 Windows XP篇
　　　http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
　　　（XP付属ファイアウォールの詳しい使い方は >>24）
　・Sasser 対策 Windows 2000篇
　　　http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
　・セキュリティ修正プログラム (835732) (MS04-011)
　　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
　・すでに感染しているマシンにパッチを当てた場合
　　MSの駆除ツールを使って駆除 >>5　（先にパッチ当ててないとｺﾞﾙｧされます）
■トレンド、シマンテックのデータベース情報　>>12
　・ SASSERに感染するようなうかつなパソコンは他のウィルスにもやられてる鴨
　　行ったついでにオンラインスキャンしておきましょう。
■ちゃんとしたファイアウォール入れれ。解説とリンク　>>3

>>655
「プログラムの追加と削除」に出るはず。
「ホットフィックス　KB835732」っていうやつがあればパッチ適用ずみ

>>656
それがレジストリー内にないはずはない。
エクスプローラーでファイルを見てたりしてね。ははは

すいません。間違いです。見つからないのは
avserve.exe = %Windows%\avserve.exe
こっちのファイル自体です

>>649
つまり、「ローカルエリア接続」を無効、XPのファイアウォールを有効
にした状態でOS立ち上げて、「ローカルエリア接続」を有効にしたら、
という話か？　

Win2Kなんで実験できないが、それでXPのFWが接続に成功するならOK
だろう。FWによってはFWの起動時にLAN接続が有効になっていないと
以後LANを認識しないものもある。

>>661
XPだと、作成したダイヤルアップネットワーク(PPPoEもここにはいる)
ごとにFWを　つける/付けない を設定できるのねん

>>649はそのことだとおもう

Outpostは設定、運用が適切ならWindowsのコアのスタートとほとんど
同時に保護が開始されます。くわしい情報は…

まとめサイト
　システムルールの設定
http://www.geocities.jp/outpost_2ch/setting.html#2
　「念のため全部遮断ルール」が必要な理由
http://www.geocities.jp/outpost_2ch/faq.html#22

専用スレ
Agnitum Outpost Firewall part15
http://pc3.2ch.net/test/read.cgi/sec/1079512402/

さっきまでシマンテックいけなかったが、やっと評価板ダウンロードのとこまできた・・
いけるかも。これで進める。あと>>12のSasser ウイルスに関する情報 Windows XP 編(Microsoft)
ってのにも対策法かいてあるんだけどこれってソフトとか使わないようだけどしっかり
駆除できるの？

>>664
ActiveXコントロールとは、プログラムそのものの事だ。

>>655
社内LAN内のPCをチェックするのなら、↓こんなツールもあるぞ。
http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/dsscan.htm

感染してなかった(´･ω･`)
パッチも当ててノートン先生も常時フル活動
このままだとノートン先生がCPU乗っ取って心中する｡･ﾟ･(ﾉ□`)･ﾟ･｡

9x系や、ソフトウェアPFWを適切に導入すれば安全というのは
わかるのだが、笹に感染しないとはいえ、やはりポートを猛烈
に叩かれるとPCに負荷がかかるわけだから、ルータ（安物で上
等）を導入するのが正しい。

ノートンはインストールするものじゃない

>>655
つーか、ルータで445塞いでないの？

Nortonもパッチもアップデートもしたけど
パソコン綱ぎっぱましだったらどうなるの？

>>668
ノートンに金払うくらいなら3千円くらいのルータ入れてフリーの
アンチウィルス、ファイアウォール、アンチスパイを入れた方が
有効というならそのとおりｗ　ただ初心者は金払うこと自体に安心
を感じるわけで…

>>668
うむ、うちはコレガの安物（3000円）ルータだが、値段の割にはよく働いてくれるわい。

ええええええええっ！　今ルーターそんなに安いのか！！！

>>673
実はウチとこもそれだｗｗｗ　あまりの安さにダメモトで買ったが、
もう２月ぐらいとくに問題なく動いてる。

WORM_AGOBOT.IMに感染したのですが、概要のページ
（http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.IM#solution）
が英語で、翻訳サイトに行っても何故か翻訳されず、対応方法が分かりません。
"Trend Micro Damage Cleanup Services"に行こうとしても
「ページが表示されません」というのが出てきます。
どうすればいいのでしょうか？

スレ違い。ここはSasser専用スレだ。

ついでに言うと翻訳サイトに文章コピペするとか
辞書と睨めっこするとかできんのかキミは。

よし評価板ダウンロード完了・・あと少しで駆除できる・・眠い・・

>>677
スレ違いでしたか…。ごめんなさい…。
私はsasserという意味をよく知らなかったんで…。今度から気をつけます。
時間がないんです。至急正常なパソコンが必要なんで、
辞書とかひいてるヒマないです…。

ここに書き込むヒマはあるのか。帰れ。

>>679
こっちで聞け…同じこと言われるかもしれんがｗ
【正式】ウィルス情報＆質問　総合スレッド☆Part19
http://pc3.2ch.net/test/read.cgi/sec/1083586576/

つーか感染する奴が池沼

>>680
ここに書き込むヒマがある…てか、初心者の私が自分だけの力で
ウイルスを駆除するより、詳しそうな人が多いここで聞いたほうが
早く解決すると思ったんで…。他力本願な人間でごめんなさい。
もうこのスレには来ないんで安心してください。
>>681
ありがとうございました。

>672-673
ヽ(ﾟ∀ﾟ)メ(ﾟ∀ﾟ)メ(ﾟ∀ﾟ)ノﾅｶｰﾏ

ウチはMSBLAST騒ぎの直後にADSLにしたから
こんな安モンで大丈夫かと心配だったけど、
未だに良く働いてるw

13500叩いてくるやつが異常に増えたな。
おまいらのルータorFWのログはどうですか?

60210？

TCP: 135,445,1025,1433,2745,3127,6129
UDP: 137,1434
いまんとここんなパケットが多い

>>685
うちは相変わらず、3127、6129、1025、2745が定期的に叩かれてるが
昨日の夜中位から20088を叩くのが増えてきた。

サッサーに感染した場合に、最新の定義ファイルでスキャンすれば、
ウィルスは削除されるけど、追加されたレジストリの情報も削除
されるのですか？

遅レスですが
>>658
サンクス！。これで手間がかなり減りそうです。

>>666
自分はサーバに触れる身分じゃないし、IPアドレスは全部署を１台のDHCPで割り振ってるから、せっかくの
便利なツールも使えない。別の部署で英語の警告が出たらパニックだろうしｗ。

>>670
外からのは塞いでいるはずだが、GW中に自宅で感染したPCを社内LANにつなぐ香具師がいると思う。
ブラスターのときもそれにやられたし。

>>690
>>655です。ｽﾏｿ

>>689
レジストリの改ざんまで面倒を見てくれるセキュリティソフトは少ない。
感染する前ならファイルを検出してそれが起動する前に駆除してしまえば
問題ないけど一旦感染してしまった状態ならファイルを削除しただけでは
Runレジにゴミが残る。

>>662の通りのことがききたかったのでした。
今のPCは2月末に買い換えて、初めてXPになったんですが、ちょうどすぐ
NTT西のグリッド実験のBio@Homeに参加したので、フレッツ接続ツールを
使ってマルチセッションを組みました。１つは今までのプロバイダBIGLOBE、
もう１つがグリッドのネットワークですが、これは（詳しいことは判らないが）
インターネットと違うらしいので、そっちにはFWは当てず、BIGLOBEの方だけ
FWを当てる、という設定で来たのです。
グリッドはもう期間が終わったのでその接続は削除したんですが、こういう
１つ１つの接続に対してFWをつけるつけないを個別に設定する方式だと、
何だか　まず接続する→それからFWを被せる、みたいな感じがするんです。
そうでなくて先にFWがあって、それに接続要求を通して接続を確立する、
というのなら隙はないと思うんですが。
（サッサと直接関係ないし、ネットのことをもっと勉強しないと聞いてもよく
判らないと思うのでこれぐらいにします。失礼しました）

>692
レスありがとうございます。
自分もその様に思ったのですが、マイクロソフトのサッサー駆除ツールの
ページ（http://support.microsoft.com/?kbid=841720）に、”ほとんど
の場合、ウイルス対策プログラムを最新の状態にすることで、このワームを
駆除することが可能です。” って書いてあるので、レジストリも削除してくれる
のかな？って思ってしまいました。やはり感染していたら、駆除ツールで駆除
するか、手動で削除するしかないということですよね？

ネットワーク経由でパッチを適用する場合、その適用処理中に
Sasserにやられて、パッチ適用が完了する前にWindowsが再起動
してしまうことがあるようです。
その結果システムファイルが正しく更新できず、結果として
Windowsが起動しないトラブルが発生するケースがあるらしい。
以下のページあたりからまとめると、
http://www.f-secure.com/weblog/
http://www.securitytracker.com/alerts/2004/Apr/1009751.html

回避手順
1. %SystemRoot%\Debug\dcpromo.log を読み取りアクセス権限で作成する。
2. MS04-011パッチを適用
3. dcpromo.log を削除
4. PC再起動

当方Xguardと言うｾｷｭﾘﾃｨｿﾌﾄ(ﾌﾘｰ)使っているんですが、
Outpost等に乗り換えた方がいいですか？

>>695
サッサのプロセスを先に終了させておいても、パッチ適用処理中に再起動してしまうのですか？

>>696
もっと詳しく環境をかかないとなんとも言えない。
例えば、ルータ使ってるんだったらXｶﾞﾄﾞで無問題。

>>697
オレが経験した限りでは、タスクマネージャでavserve2.exeを
止めようとしても蹴られてしまった。他にテクニックがあるのかもしれんが。

>>698
すいません、ルータ使っているから大丈夫ですね、有難うございます、
ＸｶﾞﾄﾞのFWにﾎﾟｰﾄ拒否しておいた方がいいですよね

ルータのほう、ちゃんと設定できてますか？
そっち固めるのが先決ですよ。
SPI・アタックブロック等有効になってますか？

私は大学でヘルプデスク業務をしているのですが、Sasser対策ツールで
http://www.lac.co.jp/security/jsoc/tool/SNS_ABM.html
みたいなものってありますか？

大量のPCを次から次へとチェック・対策していくには結構使いやすい
ツールだったんですが…

>>702
まず、大学内にsasserを解き放て
そして感染したものを洗い出して対処すればいい

すいません、質問です




　ル　ー　タ　っ　て　な　ん　で　す　か　？

>>704
ネタ？　じゃなかたら検索汁

言っていいですか？。「逝ってよし」って。

>>704
中に人が入っていて、「いつものHな画像は田中だし」「このメールはおまいだし」
とか言って汗水流して振り分けてんだよ！
機嫌悪いと「もうあげない！」なんちって弾くんだよ。わかったれすか？

Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
を自分が既に当ててるかどうかってわかる？
アップデートやって重要な更新に何もなければおｋ？

>>707
704じゃないけど、凄くよくわかった

ルーター買ってセットしましたが
設定がお任せみたいなのがデフォルトなんですけど、
敢えてカスタム化しなければ駄目なんでしょうか？
あまり詳しくないので、訳の判らない設定にちょっかい出す勇気が湧きません。
標準設定では駄目なんでしょうか？
ｘｐホームエディションでNECのpcgateでファイアーウォール設定して
マカフィーのウイルススキャンで防備しております。
ルーターはバファローのBBRー4MGという安い有線式です。

>>710
アタックブロックって設定があればONにする

ルータ無しでモデムのみの場合どうすれば防げますか？
ｱｯﾌﾟﾃﾞｰﾄを利用しようとしたのですが、現在利用可能な重要な更新はありません、となっているんですが・・・・・・
自動更新した覚えも無いので・・・・・・・つД｀） ﾀｽｹﾚ !!

>>708
アップデートの左側に、その他のオプション「インストールの履歴を表示」って
あるでしょｯｶﾞ。

>>712
自動更新でｲﾝｽｺされてるんじゃない？

>>712
自動更新は設定によっては、気付かないうちにインストールされてる場合あるぞ

>>712
Windows9X･MEは対象でないかもです。

>>716
過去ログ見れ

>>712
オイラも現在利用可能な重要な更新はありませんってなった。
ｱｯﾌﾟﾃﾞｰﾄの自動更新はしないようにしてたのに・・・。

騒いでるのは9x小僧か

>>714>>715
更新の履歴見てみたら

4月16日にWindows XP 用ｾｷｭﾘﾃｨ問題の修正プログラムってのが入っていました

(KB835732)
(KB828741)
(KB837001)
の修正プログラムが自動更新されていました

同じく16日に
Q831167 : 重要な更新
OESP1の累積的な修正プログラム(KB837009)
が更新されていました・・・・この更新だけでいいのでしょうか？

9xはサッサは大丈夫じゃなかったか？

>>717
過去ログって、Part1れす。。
アナウンスではWin2k/XPになってるけど、トレンドの手動削除手順の中に
Win9X/MEのケースがあるのは？　それで・・「かも」なんす。

835732さえ入っていればサッサに対しては安全です。

>>722
ﾏﾁｶﾞｴﾀｰﾖｳﾂﾀﾞｼﾉｳ・・・・・・・

>>287
>>291

>>723
そうですか、　(´ー｀)y─┛~~ﾖｶｯﾀﾖｶｯﾀ
教えてくれた方ドモです

というか、少なくともここ見てる感染してるヤシ(ROM込み)だけでもFWくらい何とかしてでも使えよ。
それだけでも、被害の何パーセントかは減らせるだろうに。

つーか、感染者のポートって大解放状態なんだよな。
別の意味で危険だと思うぞ・・・

このスレは親切で涙が出るほど良いスレでつ。
http://life3.2ch.net/test/read.cgi/kankon/1083655645/
より感動しまｓつ。
ﾊｨ、次の方ど〜ぞ！

串の踏み台が減るのは困る。

ｶﾞｲｼｭﾂだが、Windowsの更新は「プログラム（アプリケーション）の追加と削除」
に「ホットフィックス　KB835732」のように出る。

FWでポート塞いでやった

荒らし板は通報せよ！荒らし狩りだっ！
愛と荒らしの掲示板(逃亡先）：http://bbs10.otd.co.jp/286214/bbs_plain
逃げても無駄だぜ！
ツーかぁ？ばーか！

>>727
どんなんかと思ってみてきたら・・・
確かにある意味感動だな。
こういうの見ると2chってまんざらでもないな・・・とか思うんだよな。

スレ違い失礼・・・次の方元気にいってみよう!

科学雑巾おそるべし

>>733
今じゃ10枚で200ｻｯｻだよ。

今のところサッサのせいでネット全体が重くなるというほどではないようだけど、
MSのアップデートは重くなっているんだろうな。
（俺はすぐやったから今の様子は知らん）
連休明けでまた感染が広がるとすれば、みんなが騒いでいる間にもう5月の
定例パッチが来るだろ。
ここでまた大物の脆弱性が明らかになって、そのパッチがまた糞でXPを含め
これを当てたWindowsがみな青息吐息の状態になるようなことになってみろｗ

今日はﾎﾟｰﾄ445が賑やかです。
3日-----------
4日-----
5日---------------

パソコンつけっぱなしでもげ平気ですか？

>>702
http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/dsscan.htm
こんなのどう?

ノートン先生で完全防御
パッチも当てて無問題
でも胸がどきどきするの(´･ω･`)
まだ安全じゃなかったりする？

>>739
あと、ルーターさえあれば文句なし

>>673
Coregaの低価格帯ルーターが、ですか？
頻繁に接続が切れるので
ネットからは隔離されて安全とは言えますが・・・。

どなたか詳しい方、お教え下さい。
ルータのログ見たら

2004/05/05 18:51:58 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.7 : 1086 > 222.2.42.192 : 7788 (IP-PORT=6)
2004/05/05 18:52:09 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.7 : 1086 > 222.2.42.192 : 7788 (IP-PORT=6)
2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0)
2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0)
2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0)
2004/05/05 18:54:52 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6)
2004/05/05 18:54:55 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6)
2004/05/05 18:55:01 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6)
2004/05/05 18:59:53 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 18:59:56 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:00:02 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:02 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:05 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:08 NAT RX Not Found : ICMP 168.11.165.1 > 210.170.223.37 (IP-PORT=6)
2004/05/05 19:02:11 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:26 NAT RX Not Found : ICMP 80.120.160.244 > 210.170.223.37 (IP-PORT=6)

となっていたんですが、これはキチンと防御されてるんでしょうか？

>>742
自分のIP晒してまで・・・（ｒｙ

りじぇくと

>>743
もうIPが変わってますんで、いいんですが
恥を承知で教えていただきたいもんで…

>>744
REJECTは心配ないんでしょうか？無知ですんません…

cmd.ftpは消しちゃってもいいですか

>>742,745
まぁ塞げてる

>>742
問題なし

>>747さん

レスありがとうございます。そうですか…
「まぁ」というのが何かビクビクですが　(((( ;゜Д゜)))

>>748さん
レスありがとうございます。少しホッとしました。

>>738
おそらくそのツールはフル活用でしょう。Blasterの時もネットワーク上で検索かけて、
NetBIOSマシン名（通常ユーザIDになっている）を叫んでまわって対策してました。

問題なのは自発的にチェックを受けに来た人をいかに早くチェックするかなのですが…
パッチがあたっているかのチェックと、感染の有無、亜種の判別、駆除までオフラインで
実行可能なツールなんてないでしょうか？

>>751
W32.Sasser 駆除ツール
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html

NECのWARPSTARシリーズはログが赤文字以外は大丈夫のはずだけど>>742

>>753さん
えっとNECのDR202Cです。WARPSTARじゃなく
確かダイレクトスターだったと思います。

氏万テック見れない…

KB835732がインストールできません。
インストールしようとしても
ファイルまたはヂレクトリを作成できません
になってしまいます。
どうしてれすかね？

>>754
そうでしたか、それは失礼・・・

>>756
それ以前の更新が入ってないんじゃないの？
それとOSやら情報全部秘密だとレスのしようがない。

>>757さん
いえいえ、あやまるのはコチラの方で（汗
同じNEC製なのでDR202Cも赤字になるのかな…
も少し勉強してみます。ありがとうございました。

>>754
俺も同じDR202Cっす。設定ツールDIRECTSTARのパケットフィルタ設定の種別
「拒否」を 見れば初期値でちゃんと「445」拒否になってるよ。安心して寝よ〜。

７５６れす
ＯＳはＸＰです。
パソコン初心者でぜんぜんわかんないんです。
このレスの最初の方のやり方でシャットダウンは
しなくなったんですが、KB835732のインストールだけ
できないんです。

>>760さん
｡･ﾟ･(ﾉД`)･ﾟ･｡　　ありがたきアドバイス。多謝です。

>761
windows updateしたときに上げるスレ 13
http://pc5.2ch.net/test/read.cgi/win/1081932957/
windows updateしたときに上げるスレ 14
http://pc5.2ch.net/test/read.cgi/win/1083647775/
Windows Update失敗したらageるスレ 6
http://pc5.2ch.net/test/read.cgi/win/1083512923/

とりあえず全部読んできなさい

明日は会社がどんな事になっているか。
よんよんごぉ〜、よんよんごぉ〜！止めとめ！とかコダマしてんのかなぁ・・

SASSERの症状がでたので、ここのスレと同じ対処して
なんとかシャットダウンもなくなり、ネットも見れるようになったんですが
PCがやけに重く、アプリケーションが勝手に動いてるみたいです。。
これってまだウィルス残ってるんでしょうか？

>>765
駆除はしたんか？FWは？

sasserよりもAGOBOTが・・攻撃してくる・・

>>742
安心汁!!
ログが残っているということは
防御してるという証拠だ

ルータ使用しているので安全だとは思ったのですが
念のためMSのパッチを入れました。
2日くらいは起動したのに今日の朝から全く起動しません。
OSは2000なんですけど、これはサッサーとは関係ないんですかね？

なんか初心者スレになってるな
どっかで誘導されてるのか？

>>764
おまいの明日の会社の予想。
係長「おはようございます。サッサー対処のため速やかにWindowsアップデートをしましょう」
社員「係長、電源入れた途端やられますた〜！」
係長「ﾎﾞｹﾞっ！アップデートの前にやられたんか？」
社員「普通、アップデートするに電源入れるっしょ」
係長「・・・・」

ウイルスバスターもパッチもいれたしひとまず安心だ。
これからWindousのアップデートまめにやらんと・・

>>769
とりあえず、>>763で上がっているスレを読んでみた方が良いかも。

ルーター入れてれば大丈夫？

押忍の精神があれば大丈夫。

適正なルータ設定とマメなWinUPと必勝の信念があれば大丈夫

派遣の身だから、こいつに罹ると契約ごと切られかねないなあ。

明日は人柱が出るまで、社内 LAN に繋がないでおこっと…。

2000 xp は感染する？
2000serverやNTserverはどう？

>>773
サンクスモニカ。
なんだ、2000に問題があったのか　orz

>>778
↓ここの「影響を受けるソフトウェア」をご参考まで。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp?frame=true

>>780
感染するのか............

昨日
C:\RECYCLER\S-1-5-18\Dc1.exe は　W32.Sasser.C.Worm に感染しています。
C:\RECYCLER\S-1-5-18\Dc2.exe は　W32.Sasser.C.Worm に感染しています。
が見つからないと書き込んだ617です・・・。
今日も頑張ってるのですが、未だ見つからず・・・
怪しいのを消してはスキャンの繰り返しで・・・

>>782
レジストリにもないですか？
HKEY_USERS\S-1-5-18\Software\Microsoft・・・・

>>783
ありがとうございます。
昨日からレジストリも探しているのですがそれらしいものが
見つからずに困っている次第です・・・。

>>782
ゴミ箱を空にする

■MSのSASSER駆除ツール
　このツールは Windows XP、Windows 2000SP2以降に有効です。
　　 http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14c
このツールをして今のところ落ち着いてるんですが、今度はエラー報告が消しても消しても消えなくなってしまいました・・・
対処法はあるんでしょうか？
それと、このツールで駆除したら安心なんでしょうか？

>>784
通常のゴミ箱ではなくワームによって作られたファイルだと思われます。
隠しファイルもエクスプローラで閲覧できるように設定していると思いますが
既に強制削除されていてデレクトリにだけ中途半端に残っているような
気がします。あくまでも推測ですが・・

>>785
ゴミ箱も常に空にした状態なんですよね・・・
それで八方塞りな状況になってしまっております。

スレ汚しな下らない質問で本当に皆様すみません

>>787
何度もすみませんです。
昨日、1-5-18が隠しファイルだったので、設定を変えて
隠しを解いたのですが、それでも全く見られなかったので
その可能性がある気がします・・・。
怪しいものは消しているので、これ以上どうしたら・・・という
状況です。

>>789
MSSTASK.EXE とか　REGCTRL.EXE　は作られてませんか？

445って共有ファイルの時使用される、ポート？

>>790
残念ながらない様です・・・
REGEDIT.EXE〜というファイルが似た名前ではありますが・・・

PC保守の仕事してるんだけど、ウイルス対策どうするべ
めんどくさい。
パターンファイルだけあげれば大丈夫かな？

>>792
REGEDIT.EXEは触らないで、それ消したらレジストリ編集できんくなる。
後は・・・・ん〜ん、判らんなぁ。ｽﾏｿ

>>794
はい。了解しました。
何度も何度もすみませんです。
Ｄｃ１．ｅｘｅっていうもの自体、全く見つからないもので
この二日はこれにかかりっきりですｗ
自分が悪いのでこれからはしっかりセキュリティー
考えなくては・・・と反省しております。

アンチウイルスソフトでも無理か？

ノートン壊されたーうわーん

>>795
既出でスレ違いで見当違いかもしれんが、あとはSpybotなんかで検索・駆除
を試みるしか考えつかん。ﾎﾝﾄｽﾏﾝ

>>798
いえいえ。とんでもないです。
そう言われて当たり前です。
そちら関係のスレで勉強してきます。
本当にありがとうございました。

A〜Dまで対応してる駆除ツール
http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V2.exe

■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsのupdateしてないパソコンはネットに
接続するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
　・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　　LSA Shell(Export Version) has encountered a problem...
　　　This system is shutting down ... by NT AUTHORITY\SYSTEM
　・ なんだかしらないがパソコンの反応がメチャ遅い。
　・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
　　してるか確認しましょう。
　　　http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120
■Microsoft公式ページ
　・Sasser ワームについてのお知らせ
　　　http://www.microsoft.com/japan/security/incident/sasser.mspx
　・Sasser 対策 Windows XP篇
　　　http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
　　　（XP付属ファイアウォールの詳しい使い方は >>24）
　・Sasser 対策 Windows 2000篇
　　　http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
　・セキュリティ修正プログラム (835732) (MS04-011)
　　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
　・すでに感染しているマシンにパッチを当てた場合
　　MSの駆除ツールを使って駆除 >>5　（先にパッチ当ててないとｺﾞﾙｧされます）
■トレンド、シマンテックのデータベース情報　>>12
　・ SASSERに感染するようなうかつなパソコンは他のウィルスにもやられてる鴨
　　行ったついでにオンラインスキャンしておきましょう。
■ちゃんとしたファイアウォール入れれ。解説とリンク　>>3

SASSERファミリー（A〜D）の感染動作概要

■感染経路のport番号
　感染マシン→ターゲットマシンのTCPポート445をスキャン
　感染マシン←ターゲットマシンの脆弱性の情報を確認
　感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り
　感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送

■レジストリの改変
　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・ウィルスが書き込む値：
　avserve.exe = %Windows%\avserve.exe
　avserve2.exe = %Windows%\avserve2.exe
　skynetave.exe = "%Windows%\skynetave.exe"

■その他ウィルスが作成するファイル名
　＜ランダムな数字＞_up.exe"（ファイル名例："12345_up.exe"）
　システムドライブのルート（C:\）にWIN2.LOG" というログファイル

スレタイで爆笑した俺は池沼。

このウイルスが駆除されたかどうか確かめるにはどうすればいいのでしょう？

だいたい「ネットに 接続するだけで何もしなくても感染」とはどういうこと？？？

>>805
それは質問か？　嘆きか？

CodeRed Nimda Blaster Sasser
ワームは増え続け、絶滅も活動停止もしない。
ネットがゴミパケットで溢れかえってしまう。

ルーターの電源入れたと同時に、待ってましたとばかりに猛攻撃が！
頑張れルーター

涙
ε=(´∞｀)ハァー
執行猶予六十秒では落ちないあっとふりーでぃ64

リリンの作ったトラフィックはゴミで満ち満ちている‥‥

ずっとご近所さんからばかりだったけど、オランダから来てるのがあった。
海外旅行もこれくらいお手軽だといいなあ…ｗ

445叩かれまくりだな
明日の祭りは確定だろ

■ sasser をとりあえず“駆除”する方法、または“駆除”されたことを確認する方法

０．ネットワークから物理的に離脱する
１．タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
２．レジストリで、
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　で　"avserve*.exe" = "C:\WINDOWS\avserve*.exe"　　（*：なし、または数字）
　　　　"skynetave.exe" = "C:\WINDOWS\skynetave.exe"　（Windows2000：WINNT）
　　の削除、または無いことを確認
３．%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
　　（%SystemRoot%：Windows, または WINNT）（*：なし、または数字）
４．%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
５．システムドライブ（ふつう C ドライブ）のルート（直下）の "win*.log" の削除、
　　または無いことを確認　　（このログは sasser の他への攻撃成功の戦利記録）
６．Windows を再起動

パソコン立ち上げたまま寝ても大丈夫でしょうか？
アップデート、Norton済みです

>>814
必要がなければ電源は落とせ、その方が無難
必要なら止むを得まい、
としか回答しようがないでしょ？

ネット上のどの鯖も重くなっているような…やっぱsasserの仕業か。

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
たくさんクリックする所があってどれをクリックするのかわかりません
助けてください．．．

>>814
それこそ自己責任。
コンビニに車で買い物に行って、
エンジン掛けっ放しにするかどうかってことと同じ。
なにが起こっても

責　任　取　る　の　は　お　前　だ

つか、そんなこといちいち聞くなよ　馬鹿じゃねーか

断る。
初心者スレ逝け。

と思ったら初心者スレがここに誘導してるやん(鬱

>>817
断る。よそ行きな。

>>820
おまいはオレか

>>821
分かりました．．．

かかったー__|￣|○

■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsのupdateしてないパソコンはネットに
接続するだけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

■こんなんなったらサッサーにやられてます。
　・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　　LSA Shell(Export Version) has encountered a problem...
　　　This system is shutting down ... by NT AUTHORITY\SYSTEM
　・ なんだかしらないがパソコンの反応がメチャ遅い。
　・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
　　してるか確認しましょう。
　　　http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120
■Microsoft公式ページ
　・Sasser ワームについてのお知らせ
　　　http://www.microsoft.com/japan/security/incident/sasser.mspx
　・Sasser 対策 Windows XP篇
　　　http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
　　　（XP付属ファイアウォールの詳しい使い方は >>24）
　・Sasser 対策 Windows 2000篇
　　　http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
　・セキュリティ修正プログラム (835732) (MS04-011)
　　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
　・すでに感染しているマシンにパッチを当てた場合
　　MSの駆除ツールを使って駆除 >>5　（先にパッチ当ててないとｺﾞﾙｧされます）
■トレンド、シマンテックのデータベース情報　>>12
　・ SASSERに感染するようなうかつなパソコンは他のウィルスにもやられてる鴨
　　行ったついでにオンラインスキャンしておきましょう。
■ちゃんとしたファイアウォール入れれ。解説とリンク　>>3

いらねーよ　うぜえな

ネットがsasserのゴミパケットであふれかえってて重い。

そんな重いかぁ？　さほどでもないよ。

感染してから自分の症状が何か確認しようとしてもインターネットにつながらないんだよな

>>817
あなたのPCがWindows2000なら上から4番目の左側
Windows XPなら上から5番目

>>830
ありがとうございます

>>827
やっぱり？重いのうちだけかと思ってた

SASSERに感染後駆除して、駆除された事も確認済みですが、
なぜか数分くらいするとネットに繋がらなくなるという症状が治りません。
これはまだ感染しているということなのでしょうか？

>>833
釣り？

>>834
だと思うなら反応するな　うぜー

>>833
Netskyだったかな
同じような症状を聞いたことがある。
ってか上の方で出てたような

東京房区のケーブルテレビからネットに繋いでいます

このプロバイダは他の会社にウィルス対策を依頼してて、
ここ３週間で３０通くらいのウィルスメールを削除しました
っていう通知がきました。こんなもんでしょうか…？

何かしらありましたら、ご足労ですがレスをいただきたいと
思います。ぜひともよろです。m ( _ _ ) m。

>>837
んで、どれが質問なの？こんなもんでしょうかってのがそう？
よく意味がわかんない…

>837
板＆スレ違い。去れ。

>>837
何が聞きたいのかさっぱりわからん。
第一Sasserはメール感染型じゃない。
スレ違い

>>839
かぶった　orz

XPだけどMSのパッチ当てておけば問題ないんでしょ？

今回ばかりは俺もう駄目かもしれない。感染してあぼ〜んだよきっと

>>617
まだ見てますか?
ふと思ったこと。
フォルダオプション→表示→保護されたオペ(ry
のチェックが入ってれば消してみると何か出てくるかも

さあね。余所逝きな。

833ですが釣りではなくて、本当に症状が治らないんです。
一度感染したのは確かですが駆除済みです。
今もMSの対策ページでもう一度確認しましたがやはり現在は感染していませんでした。
でもネットはだんだん重くなってやはり繋がらなくなってしまいます。

それがどうした

>>837です。漠然とした書き方すいませんでした。

>>838さんのおっしゃるようにこんなもんでしょうか≒
こんな例は沢山あるでしょうか？と聞きたかったのです。
スレ違いなようなので相応しいスレを探します。失礼しました。

>>833,846
>>836見た？

>>846
感染したのがSasserだけじゃ無かったんじゃない？
AGOBOTあたりもSasserと同じ脆弱性を狙うようだし、もう一度ウイルスチェックした方が良い。

>>846
再度ウイルスのスキャンを汁。他のヤツが何か見つかるかも。

>>846
名古屋コーチン

ME使ってればいいんじゃない？
MSも賠償しろ！

>>850
>AGOBOTあたりもSasserと同じ脆弱性を狙うようだし

それはどうかな？

自分はサッサ感染症状に該当していて、カウントダウン中にファイル削除して、再起動したらユーザー選択のところで矢印だけ出て背景は真っ黒でそこから進まないのですが、何か対策はありますか？ちなみに今は携帯からです。

1243が結構多いな・・・なんだろ、これ。

KB835732充てなきゃだめなのかよ
正直Sasserよりうぜえこのパッチ

>>857
じゃあ当てるな

ねえねえ、AGOBOTってなんて読むの？
エロいひと教えて

>>854
じゃあ、この辺は？
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.JF

>>854

http://pc3.2ch.net/test/read.cgi/sec/1083586576/93
> Trend Microの対応ウイルスでMS04-011の脆弱性を使うと言われているのは、
> http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.JF
> http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.IM
> http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.YX
> http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=HKTL_RPCLSA.A
> とSASSERのA〜Dだな。他にもあるかもしれんがこれ以上探し出せなかった。

明日会社逝きたくない・・・・
ﾊﾟｯﾁ当てとけって連休前に言ってたしFWあるし連休中にお呼び出しもなかったから大丈夫だと思うけど
早くセキュリティ担当外れたいよ(´･ω･`)

445アタックが０時くらいから３２回になりました。

spybotで駆除成功しました。
沢山アドバイス下さった方々、本当にありがとうございました！
自分がいかにアホな状態で居たかが、身にしみてわかりました・・・。

>>862
コーポレートエディションは入ってないの？

バッチ当てるとログオンは遅いので当てん！

>>862
ご愁傷様。体壊すなよ。（体験者談）

>>865
コーポのサーバ、いざという時に役立たずだ罠

>>856

1243 BackDoor-G, SubSeven, SubSeven Apocalypse, Tiles
必ずフィルタリングしてください トロイの木馬によるデータ盗難

だって。

なんかこの時間になって急にICMP(pingだろう)打ってくるやつが増えてきたんだが・・・
なんかblasterの時もこんな流れだったような気が・・・
ひょっとして亜種か？

亜種なんでこれから腐るように出てくるだろうさ

>>870
D だろう。

>>870
ping撃ってターゲット探す亜種が出てる
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040505/143789/

まさに企業なんかはblasterの時の教訓を試される訳か・・・

ping打たれてるかどうかってどうやって確認するんだろう？？

SASSER対策：経済産業省の呼びかけ
http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html

(3) ワームの侵入・拡大を防ぐようネットワークを設定する
・Sasserワームを防御するため、社内ネットワークとインターネットの境界に設置した
　ファイアウォールやルータの設定で、
　　UDP135、137、138、139及び445、
　　TCP135、138、139、445及び593
　のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
　を許可しない。

>>875
ファイアウォールのログ見ろよ。ICMPなんちゃらって、どっちゃり出てるでよ。

>>874
去年は某K電気屋のポスレジが２日くらいあぼーんして、
電卓手打ちで汗かいてたな。

>>877
NISには反応なし…。
ルーターのログは
2004年5月6日 01時36分39秒 フィルタ 200.82.57.106 --> 自分パソ TCPポート:80
2004年5月6日 01時33分43秒 フィルタ 4.7.208.139 からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月6日 01時33分43秒 フィルタ 4.7.208.139 --> 自分パソ TCPポート:445
2004年5月6日 01時33分37秒 フィルタ 4.7.208.139 からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月6日 01時33分37秒 フィルタ 4.7.208.139 --> 自分パソ TCPポート:445

…ＩＣＭＰは何処… ＿|￣|○；
見る所が間違ってるのかな？

うちは昨夜７時台にぽつぽつとICMPがあったけど、あとは電源を切ったので
不明。いまはない。（もう寝てるPCが多いということだろうけど）

うちもポツポツといった感じでＩＣＭＰ
（ここ8時間で3回）
この一時間ぐらいは5〜10分に一度ぐらいで落ち着いてる

うちだけかもしれないけど、この時間帯はやはり攻撃の頻度が低いな。
ウイルスに国境なしとはいうものの、来るのは近所が多いということか。
昼間になればもっと多くなるだろう。
でも外国にはゴールデンウィークなどはないわけだが、あまり大騒ぎに
なっている報道も聞かない。
MSBlastの教訓を生かして、今回はパッチを当てた人が前よりはだいぶ
多くなったのかもしれない。

>>869
サンクスです。
必ず、というほど重要なものだったのか・・・。
ルータ様さまだな。

Gaobot(Agobot)のLSASSアタックルーチンは動いてないか
localhostにしか働かないかだよ。
アラートレベルが低いのが変だと思って実験機で踏んでみた。
外部にパケ出てない。

ルータとは無縁な56kbpsのダイヤルアップの俺は勝ち組。
XPSP2のファイアウォール最強。

一眠りして起きたらネットワークトラフィックはどうなんってるんだろうか。
SEさんは引っ切り無しに呼ばれるんでしょうね・・・・

連休中は携帯電話切ってたよ…。

>>885
ルータ入れてる奴のほうがこういうバグ突き型に感染するリスクは低いだろう。
(設定いじくって穴だらけなら話は別だが)
ダイヤルアップだから、ファイアーウォールなんていらないと思ってる奴も結構いるみたいで。

いや56kbpsでＷｉｎｄｏｗｓＵｐｄａｔｅするのかと思うと眩暈がしそうｗ

サッサーには感染してはいないですがちょっとくだらない質問いいですか？

例えばメールを介したウィルスは理論上全PCが駆除してしまえば根絶出来るような
気がしますが
サッサーのようにネット上に存在するウィルスは感染の有無は置いといて、
常にネットワーク上に存在し続けるのでしょうか?
で、ブラスターはもう存在しないのでしょうか?

空気感染するウィルスの根絶は難しいように･･･

ルーターもある、アップデート失敗にもめげず、当日当てたのはただの偶然ですが
今後のためにも知りたいな、と思いました

ｶｷｺんでから思った･･･

全サーバーが対応してしまえばネットワーク上からもいなくなるのかな?

>>890
感染者が居なくなれば消えるだろう。
100%不可能だが
Blasterは未だに残ってる。
未だに感染者が居るため

>>891
サーバーもクライアントも全てのPCだ

>>892-893
即レスありがとう!
ブラスターはまだ残ってるんですか
という事はこれから買い換える時は
ルーター、FW等セキュリティに注意しつつ、
購入直後の各種アップデートしなければならないんですね
一月に買ったメインPCが何事もなくアップ出来たのも「偶然」ルーター入れてたからか
（NTTはただのモデム、って言ってたが良く見ればルーター機能付きモデムだった）

ありがとう勉強になりました

>>894
＞購入直後の各種アップデートしなければならないんですね

メーカー製のPC等は、こういうネットワーク感染型のウイルスがある場合、
そのパッチを当てて出荷する場合がある。
Blasterのパッチも当たってる場合が多い。

>>894
連休の間にADSL入れた（ルーター機能つきのモデムつきのモデム入れた）ら、
FWが静かになってしまったので、
どっか設定変えちゃって機能してないのかしら、と試しにダイヤルアップで繋ぎなおしたら、
鳴りっぱなしになりました。
ありがたいよな、物足りないよなｗ

もう一つ質問いいでしょうか

OSの修正ファイルや、ノートンの定義ファイルの差分についてググッて来ました
今後OS再インストールの際、ノートンも初期の状態に戻りますよね?
OSの修正ファイルをCDなどに焼いて保存するように
ノートンも差分を再インストール直前に取って置く事は可能でしょうか？
http://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/jp_docid/20011114151127930
ココにそれっぽい事書かれてますが、合ってますか?

こんな事、考えた事無かったな

>>864
そりゃ、よかった！

>>897
すいません
Intelligent Updater でいいようですね

スレ汚しすいません

うちのセキュリティー担当は明日出勤なわけだが・・・orz

俺はいやだ、やりたくない。夜勤明けで帰らせてくれ！でも、税理士が来るんだよなorz

おはよう
今から出勤するぽorz

おまいらの会社にはSEもおらんのか？

8時半少し前ぐらいから、445への攻撃が増えてきた。
違うIPが数回ずつやっていく。
どうやら各社のPCのスイッチが入り始めたようだｗ

>>903
インターネットの世界は日本だけですか？

>>904
でも深夜は少なかったよ。
攻撃に使われるIPアドレスの生成方式で、近所が多くなるのでは
ないか。

すいません、MS04-011 [KB835732]が当たってなくて攻撃受けたら
ノートンなりバスターなりのウイルスパターンファイルが最新でもあぼーんですか？

log見ても445への攻撃は少ないな。
Blasterの時はもっと凄まじかった

>>906
FWで455落とせ

ノートン2004はAuto-ProtectをONにして、定義も最新なら
とりあえず感染はしないはず。

パッチ当てるかFWしないとウィルスに感染しなかったとしても、
外部から管理者権限取り放題だが

＞先週末から拡大し始めたSasserワーム。海外での感染はひと段落付いた
＞模様だが、数ある大企業で感染報告が見られたようだ。ゴールデンウィーク
＞明けを迎え、多くのユーザーがオフィスに戻ってくる日本では、これから
＞被害が拡大する可能性がある。
http://www.itmedia.co.jp/enterprise/0405/06/epn03.html

まだ強力な亜種が出てきてないからかもしれないけど、海外ではひとまず
終息しつつあるのでしょうか。

待っているのだけれど、Sasserが来ない(´Д｀)!!

まさかとは思うが、メールで来るのを待ってるのではあるまいなｗ

早速、亜種がでますた

ttp://headlines.yahoo.co.jp/hl?a=20040506-00000001-cnet-sci

>>913
情報遅いね。もう D まで逝ってるよ。

すんまそん、読み違え。逝ってきます。

lsass.exeが状態コード128で落ちるのもSasser？

今頃糞パッチKB835732がｻｯｻｰ以上の猛威を振るってる悪寒

>>916
http://www.f-secure.co.jp/v-descs/v-descs3/sasser.htm

918thx
でもやっぱり０だよなー
他にも128で落ちてる人がいるっぽいんで亜種かと思ったんだが・・・
なんだー！！！

XPのファイヤウォールのログの
IPアドレス1個目、2個目、の後にある数字のどこかに、
445っていうのがあれば、sasserですよね？
…来ない(´Д｀)!!…違うのかな。

他の人、どれくらい来てます？？

↓朝からこのバカがうるさいのだが、どうにかしてください。

inetnum: 61.205.128.0 - 61.205.143.255
netname: KCC-NET
descr: Cablenet Kobe Ashiya Co.,Ltd.
country: JP
admin-c: YT4624JP
tech-c: YT4624JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
changed: [email protected] 20010507
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
changed: [email protected] 20040421
source: JPNIC

>>921
まず、おまいの頭をどうにかしてください。

>>921
回線を切ってしまえば楽になりますよ。

445をつついてくる香具師をﾎﾟﾄｽｶﾝしてみた

21 ftp File Transfer [Control] TCP 接続可
25 smtp Simple Mail Transfer TCP 接続可
80 www-http World Wide Web HTTP TCP 接続可
110 pop3 Post Office Protocol - Version 3 TCP 接続可
113 auth Authentication Service TCP 接続可
119 nntp Network News Transfer Protocol TCP 接続可
135 loc-srv Location Service TCP 接続可
443 https https MCom TCP 接続可
563 ＜不明＞ - TCP 接続可
1025 blackjack network blackjack TCP 接続可
1027 ＜不明＞ - TCP 接続可
1028 ＜不明＞ - TCP 接続可