sasser【スタコラサッサ】sasser　Part２

sasser【スタコラサッサ】sasser　Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/

| 冫､)ｼﾞｰ　　　　　|)彡ｻｯ

　　　　　　　　　　　　　.　　+　.　　*　　　　　／￣￣￣￣￣￣＼ 　　　　　　　　　　　　　　　　■　■
　■　　　　　 ■■■　　　　　.　　　　　　／　 　＿ノ　 　　　,＿ノ＼ 　　.+　　☆　　.　　　　　 ■　■
■■■■　　■　 ■　　　　　　　　　　 /　　　 / iﾆ)ヽ,　　　/rj:ヽヽ ヽ　　　　　　　 　　　　　　■　■
　　■　　　　■ 　■ ■■■■■■■l::::::::: ;〈　!:::::::c!　　' {.::::::;､! 〉　.|■■■■■■■■　 ■　■
.■■■■ ■　■■　　　　　　　　　　 |:::::::::: 　(つ`''"　　　`'ｰ''(つ 　 |　　　　　　　　　　　　　■　■
　　　■　　　　　■　　+.　　☆　　。.　. |::::::::::::::::: 　 ＼＿＿_／　　　　| ☆　.　*　　+.
　　　■　　　　　■　　　　　　　　　　　 ヽ:::::::::::::::::::.　　＼／　　　　　ノ　　.　　.　.　　　+☆　　.●　●

　　　 ∧＿∧
　 ＿（　‘∀‘）＿＜ダスチンマン参上>>1 ちょっと早いけど乙。
⊂） (ﾆ　｡ 　｡ ) （⊃
　 l　　｝､　　,｛　T´
　ﾉ＿/. ｀つ'　l＿ゝ
　　 （＿_）（＿_）

>>1

('A`)ﾉｼ　乙でつ

ヾ('A`)ゞｴｯｻｯｻ

■悪質ウィルスSASSER大暴れ中
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ
現在確認されている亜種はA〜Dの４種類ですが、動作、対処法はどれもほとんど同じ。

前スレ　sasser【スタコラサッサ】sasser　Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/

■症状
・妙な窓↓が出てカウントダウンの後OSが強制的にシャットダウンする。
　　LSA Shell(Export Version) has encountered a problem
　　This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかわからないが動作がメチャ重い。ネット接続がひんぱんに切れる。
・症状はパソコンの環境によっていろいろです。変だなと思ったらこの後のテンプレ
　読んでさっそく対策してください。ウィルスを広めるあなたもウィルスじゃ。


■ワームの侵入・拡大を防ぐようネットワークを設定する方法（経済産業省の呼びかけ）
　http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
　やルータの設定で、
　　UDP135、137、138、139及び445、
　　TCP135、138、139、445及び593
　のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
　を許可しない。

《関連リンク》

Sasser ワームについてのお知らせ(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
　　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
W32.Sasser.Worm(Symantec)
　http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html
W32.Sasser.B.Worm(Symantec)
　http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
W32.Sasser 駆除ツール(Symantec) (亜種A-Dまで対応)
　http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
WORM_SASSER.A(Trend Micro)
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
WORM_SASSER.B(Trend Micro)
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

その他亜種はデータベースのトップからSasserで検索してください）
・トレンド(手動削除手順はトレンドが詳しいです)
　http://www.trendmicro.co.jp/vinfo/
・シマンテック
　http://www.symantec.com/region/jp/sarcj/vinfodb.html

《SASSER動作概要》
■SASSERファミリー（A〜D）の感染動作概要

・感染経路のport番号
　感染マシン→ターゲットマシンのTCPポート445をスキャン
　感染マシン←ターゲットマシンの脆弱性の情報を確認
　感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り
　感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送

・レジストリの改変
　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・ウィルスが書き込む値：
　avserve.exe = %Windows%\avserve.exe
　avserve2.exe = %Windows%\avserve2.exe
　skynetave.exe = "%Windows%\skynetave.exe"

・その他ウィルスが作成するファイル名
　＜ランダムな数字＞_up.exe"（ファイル名例："12345_up.exe"）
　システムドライブのルート（C:\）にWIN2.LOG" というログファイル

■ワームの侵入・拡大を防ぐようネットワークを設定する方法（経済産業省の呼びかけ）
　http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
　やルータの設定で、
　　UDP135、137、138、139及び445、
　　TCP135、138、139、445及び593
　のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
　を許可しない。

■sasser を手動で“駆除”および“駆除”されたことを確認する方法
０．ネットワークから物理的に離脱する（ケーブルを抜く、モデムの電源OFF）
１．タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
２．レジストリで、
　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
　　で　"avserve*.exe" = "C:\WINDOWS\avserve*.exe"　　（*：なし、または数字）
　　　　"skynetave.exe" = "C:\WINDOWS\skynetave.exe"　（Windows2000：WINNT）
　　の削除、または無いことを確認
３．%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
　　（%SystemRoot%：Windows, または WINNT）（*：なし、または数字）
４．%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
５．システムドライブ（ふつう C ドライブ）のルート（直下）の "win*.log" の削除、
　　または無いことを確認　　（このログは sasser の他への攻撃履歴が記録されている）
６．Windows を再起動

■　Windowsアップデート後、Microsoft純正Sasserツールで駆除
　　 http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
　使い方　http://support.microsoft.com/?kbid=841720
・手動：セーフモードで（F8を連打しながら）起動→スタート→ファイル名を指定して
　実行→regedit→以下の項目を削除
　　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　　値　： avserve.exe = %Windows%\avserve.exe　（SASSER.Bの場合　avserve2.exe）
　→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
　さらにウィルスとして発見されたファイルがあれば削除

■マイクロソフトのSasser感染・駆除チェックサイト
http://www.microsoft.com/security/incident/sasser.asp

画面をスクロールして↓下記のボタンを押す。
　　　　　　　　------------------------
　　　　　　　　 Check My PC for Infection
　　　　　　　　------------------------
能書窓が出るのでI agreeのラジオボタンにチェックを入れる。
　　　　　　　　------------------------
　　　　　　　　 Your PC Is Not Infected
　　　　　　　　------------------------　　　と出ればOK。

Windowsのアップデート「MS04-011」が未適用のPCだと
　To use this tool, you must be running Windows XP or Windows 2000,
　and you must have already installed MS04-011.
と表示されて検知・駆除ができない。→アップデート適用後再度検査

アップデート適用ずみだが、それ以前にSasserに感染していた場合、
The Sasser worm was successfully removed from your computer.　
と表示される。「駆除に成功した」のでこれでOK

○感染の危険のあるOS
　Windows2000、XPはインターネットに接続するだけで、感染する可能性が
　あります。
　Windows 95、98、Me、NTに関しても、フロッピーやCD-ROMなど、外部メディア
　により感染する可能性があります。

スレ立て乙

ブラスターの２番煎じだからブラスターほどの破壊力は
ないようですね。よかった。

オリジナリティが無いね。
ウィルス作者は、所詮、アーティストの器じゃないよ( ﾟ∀ﾟ )ｱﾋｬﾋｬﾋｬﾋｬﾋｬﾋｬﾋｬﾋｬﾊﾞｰｶ

NETSKYと作者が同じかも知れないって
そいで合体の可能性ありと言ってる

ttp://www.itmedia.co.jp/enterprise/0405/06/epr01.html

2日待てど、誰も送ってこない。
誰かうｐしてくれませんか？＞ウイルス

>>17
自分ﾃﾞ捕獲ｼﾚ

開けっ放しにしても、やってこない。
MSblastの時もそうだった。

なんか、悲すい。
誰か頼む

>>16
ハナシの出所がバカフィー

>>14
破壊力がないせいで、強制シャットダウン以外の症状ならば
感染しても気づかない奴もいるとかいないとか
くわばらくわばら

今日の朝、急いで自分の部署のPCだけ修正バッチを入れて回ったけど、修正バッチを当てて
いないPCがたくさんあるのに他の部署でもsasserの被害はなかった。

今日のPC関連の事件
　Netsky.Qに感染したから助けてくれ
　GW中にクリーンインストールしたから設定し直してくれ

なんか拍子抜けしてしまった・・・。

♪ｴｰｯｻ ｴｰｯｻ ｴｯｻﾎｲ Sasser ｵｻﾙ ﾉ ﾜｰﾑ ﾀﾞ ﾎｲ Sasser（ﾟ∀ﾟ）ｱﾋｬﾋｬ

>>17
プロパがポート閉じたから。
残念だったね。

そう鴨。
でもメールウイルススキャンサービスとかはやっていない。
単にトラフィックの問題か

ネ申、待っております

>>25
だから今回のはメールは関係ないと何度言えば...

今日取引先（年商5億程度）に顔を出したら「おぉ○○君！キミィﾊﾟｿｺﾝに詳しいらしいな」
と社長室へ引っぱっていかれ、「調子が悪いんだｺﾚ、すぐ落ちるんだなんとかならんか」

そりゃあれでしょとPCの前へ･･･････(￣−￣;)？？「あのうｱﾝﾁｳｲﾙｽｿﾌﾄは？」と聞けば
「なんだねそれは？」(ﾟДﾟ)・・ﾏｼﾞｨ? 女の子にVBを買いに走らす間にﾊﾞｯﾁﾌｧｲﾙをと・・・・

ﾌﾄ画面に怪しげなﾌｫﾙﾀﾞｱｲｺﾝｼｮ-ﾄｶｯﾄﾊｯｹｰﾝ・・・・ﾁｮｯﾄ覗いちゃお･･･････Σ(￣■￣;)

燦然と輝く「winny」「極窓」「BDBZM」 etc 「な！なにをやっとんじゃこのｵｯｻ-ﾝは？」

（−＿−；）取り引き止めようと正直ｵﾓﾀ･･･････ﾀﾌﾞﾝ「ｷﾝﾀﾏ」にも感染してるだろうしｒｙ

うちポート19677に１時間当たり１００回くらいアクセスあってるんだけど。。。
これってサッサは関係ないよね？

>>27
ワロタ

今田に445がバコバコ来てまつ。
昨夜からテレビニュースで騒いでいたけど、世間ではルータ・FWなどのポート管理が
行届いてきてるし、パッチが出れば意味判らずとりあえず即アップデート、ADSL使って
いる個人は黙っていても初期値でポートはクローズ。
とりあえず、何もなかったという事でよろしいでつか？

>>27
ほんとのようなうその話であってくれｗ

狭い世間だこと

>>26
今回のウイルスはメール蔓延型ではないのは、承知しております。
ISPがウイルス対策に無頓着な例として挙げたまでです。

誤解を招きやすい発言をしてしまった点、お許し下さい

>>17は何がしたい？
ソースコードの入手か？

>>33
まだ ﾍﾟｷｶﾝ に勘違いしてるような…　ﾊｧ〜
ISP は、インターネット接続環境を提供して報酬を得る所だ。

本体っす

スマソ、本体のバイナリです

>>30
出た〜！ﾏｼﾞｽｶ。
http://www.asahi.com/business/update/0506/081.html

2004/05/06 22:17:50通信の要求221.232.16.29TCP(80)
2004/05/06 22:17:30ポートスキャン219.164.150.101TCP(445)
2004/05/06 22:17:30通信の要求219.164.150.101TCP(445)
2004/05/06 22:16:12ポートスキャン219.164.42.10TCP(445)
2004/05/06 22:16:12通信の要求219.164.42.10TCP(445)
2004/05/06 22:13:49ポートスキャン219.164.84.179TCP(445)
2004/05/06 22:13:49通信の要求219.164.84.179TCP(445)
2004/05/06 22:12:12ポートスキャン219.164.136.230TCP(445)
2004/05/06 22:12:12通信の要求219.164.136.230TCP(445)
2004/05/06 22:11:26ポートスキャン219.164.98.111TCP(445)
2004/05/06 22:11:26通信の要求219.164.98.111TCP(445)
2004/05/06 22:09:15通信の要求219.164.77.220UDP(137)
2004/05/06 22:09:09ポートスキャン218.47.58.56TCP(445)
2004/05/06 22:09:09通信の要求218.47.58.56TCP(445)
2004/05/06 22:09:03ポートスキャン219.164.74.225TCP(445)
2004/05/06 22:09:03通信の要求219.164.74.225TCP(445)
2004/05/06 22:08:56ポートスキャン219.164.200.57TCP(445)
2004/05/06 22:08:56通信の要求219.164.200.57TCP(445)

来てる来てる〜

Blasterほどじゃないね
あれのインパクトは凄かった

ルータ入れて445やら135やらは塞いで当然でしょ、って人にはまったく関係ない
対岸の火事だね。

火事は飛び火が一番怖いんだよ

これだけ騒がれていながら127社がやっちまったとは驚いた。

盛り上がらないねぇ。
ちょっとドキドキしながら出社したのに。

なんか2869から大量に来てる・・・・サッサーと関係ないよね・・・・

>>39
　お前のうちは第一オクテットが219が大半ですね
　うちは220がほどんどです。
　　portは、2745、1025、3127、80、6129、3410
　　1433、5000　というパターンが多いですね。

今朝sasserのcに感染したんですけど、その瞬間に
メリーさんの羊の音楽が流れたんですが、何か意味が
あるんでしょうか？

sasserに１３００ファイル以上もヤラれてた私はどんなですかね？

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Kerio Personal Firewall 4

・「システムセキュリティ」というプログラム起動を監視する機能により、
　キンタマウイルス　http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
　などのアイコンを偽装したEXEファイルをクリックしても警告が出て感染を防げる
　（玄人向けで有料だがTiny5でも防げる。
　　Sygate・Zone Alarmには似たような機能があるが防げない。
　　Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない）

・現時点では日本語化できない
・2バイト文字には対応していない
・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし
　kerio2のように詳細ルールも作れる
・SPIとIDS、トロイ対策のDLL監視機能もある（広告ブロックは有償版のみ）
・Outpostなみに軽い
http://pc2.2ch.net/test/read.cgi/win/1077780039/233

●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト
http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm

●Kerio Personal Firewall 4のログビューア
http://www.geocities.jp/masagooooool/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

/////////////////////////////////////////////////////////////////

System Safety Monitor(SSM)

・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のようにHTMLからのexe起動を含め、
　キンタマウイルス　http://internet.watch.impress.co.jp/static/index/2004/04/09/antinny.htm
　などの(ルールが)未決定のアクションを防げる（PFWではない）

・無料
・日本語化できる
・レジストリキーの変更も監視できる

●SSMヘルプ翻訳テキスト+HTML配布サイト
http://www.geocities.co.jp/Outdoors-Mountain/9671/ssm/

/////////////////////////////////////////////////////////////////

ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

445たたきにこないな・・・3〜5分に一回くらいの割合。
同一プロバからも来てるんでポートふさいでるって感じじゃなさそうなんだけどね。

ひょっとしてblasterの時みたいに亜種が原種つぶして回ってるとかないヨナ？
16060へのアクセスが入れ替わりに増え始めてるのがちょいと気になる。

901 名前：900[sage] 投稿日：04/04/02 22:14
アンチウイルスソフト検出力結果報告(・∀・)

ANTIDOTE / avast! 4 / AVG / AntiVir / BitDefender / eTrust
◇ウイルス
EBCVGにてBinary VirusesとVirus codesを合計722ファイル（重複あり）
全てzip圧縮に変換
Linux/Macウイルスあり
◇アンチウイルスソフト
4/2 18：00頃の最新パターン適用
比較対照としてトレンドマイクロオンラインスキャンを使用・・・したかったけど結果悪いのでBitDefenderを基準に

☆結果 （検出数/検出率）
BitDefender (*1） 580　　100.0％
AVP (*2) 545　　93.97％
Trend Micro 539　　92.93％
Antidote (*3) 524 90.34％
avast!4 (*4) 470　　81.03％
eTrust (*5) 444　　76.55％
AVG (*6) 212　　36.55％

*1 懐疑ファイル13含む
*2 懐疑ファイル2含む
*3 コード解析/圧縮ファイル/詳細検索にチェック。詳細検索にチェックを入れない場合は520。なお懐疑ファイルはどちらも3。
*4　迅速な検査＝261　　標準検査＝286　　完全な検査＝470
*5 Heuristic有効。SafetyLevel → Reviewer　　 ScanningEngine → InoculateIT
*6 Heuristic有効。

AVGの検出率が悪すぎる。何かおかしい気が・・・(・∀・)？
【cool】BitDefender Free Edition【free】
http://pc3.2ch.net/test/read.cgi/sec/1029516867/901

>>35
んだなっす。
ブラジルのISPで、認証鯖（AUTH）から攻撃を受けたっす。
んで、調べたらホトンド無防備の鯖だったっす。
港が、パスポート無しだったっす。
メル云々つーより、感染ルート複雑で攻撃もレインボー戦隊並のDoSでし。

防ぎ切れているけど、アクセスログの流れを見ていたらダリだって鬱になっちまいやす。

802 名前：Bitｽﾚ901[sage] 投稿日：04/04/04 19:02
BitDefender（以下BD）が全てのウイルスを検出したわけではないです。
BDが検出したウイルス数の580を100%として出した結果です。
要するにAVGだとBDの37%ということです。

誤解してる人がいるかもしれないので念のため。

※AVGの検出は悪すぎたので"3回再ｲﾝｽﾄ＆4回検査”してます。
　で、結果は全て同じ(ﾟдﾟ)

非圧縮時の検出率を知りたい人は適当にウイルス集めて試してください（´・ω・｀）

【フリー】AVG Anti-Virus　Version１５
http://pc3.2ch.net/test/read.cgi/sec/1079833302/802

831 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：04/04/05 01:03
去年(031207)同じようにやった結果

定義ファイル、プログラムは当時最新
圧縮なんかの設定はebcvgから落としてきたまま(rar,zip,b64)
ただしほとんどはzipだから誤差は少ないと思う

Antidote (*1) 549 100.00%
eTrust (*2) 537 97.81%
BitDefender (*3) 502 91.44%
avast!4 (*4) 484 88.16%
AVG (*5) 366 66.67%

*1 ｺｰﾄﾞ解析,圧縮ﾌｧｲﾙ,電子ﾒｰﾙ, 懐疑5
*2 設定が多いから略。たぶん最高
*3 圧縮ﾌﾟﾛｸﾞﾗﾑ 圧縮ﾌｧｲﾙ, ﾒｰﾙ, ﾋｭｰﾘｽﾃｨｯｸ
ただしvirus bodiesは584, 懐疑22
*4 圧縮ﾌｧｲﾙ
*5 圧縮ﾌﾟﾛｸﾞﾗﾑ 圧縮ﾌｧｲﾙ, ﾒｰﾙ, ﾋｭｰﾘｽﾃｨｯｸ
（一応どれも設定は最高にしてやったつもり）

>>731と見比べると向こうはBitdefenderの検出数をvirus bodiesで
数えてるんじゃないかと思う。
おれはIdentified virusesが検出数だと思うから上はそっちを採用してる。

AVGの検出が悪いのはたぶん設定の問題。でも良くはない
むしろ>>742と同じような結果だから、AVGの検出力はこんなもんだと思ってる。

【フリー】AVG Anti-Virus　Version１５
http://pc3.2ch.net/test/read.cgi/sec/1079833302/831

BitDefender（フリーの最新版）
・リアルタイムスキャンできない、メールスキャンできない
・まだ日本語化できない、2バイト文字のファイルでも検出可能
http://ringonoki.net/tool/antiv/bitdef.html

AntiVir（フリー版）
・リアルタイムスキャンできる
・メールスキャンできない（常駐オンでread and write時有効な場合、添付ファイルを選択すればチェックできる）
・まだ日本語化できないに等しい
http://eazyfox.homelinux.org/SecuTool/AntiVir/AVguard1.htm

avast! 4（フリー版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語版がある、2バイト文字に対応
http://iso-g.hp.infoseek.co.jp/alwil/avast_home/avast_home.html

eTrust（フリーのプロモーション版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
・導入時に修正パッチをインストールするのがめんどう
http://etavfp.hp.infoseek.co.jp/

AVG（フリー版）
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
http://eazyfox.homelinux.org/SecuTool/AVG6/AVG61.htm

このスレハ
コピペばかりかｗ

Sasserを防ぐために必要なパッチを適用すると不具合が発生
http://internet.watch.impress.co.jp/cda/news/2004/05/06/2997.html

今回も笑わせるな、MSは。もうね、アフォかと。

笑うなぁ！！

とりあえず、XPで >>59 の不具合が出るのは、EMFファイルが表示されない
だけだよな？パッチ当てたいけど、何か怖くなってきたよ…(´・ω・｀)

>52
外部からのアクセスは弾いても、自分のネットワーク内部は放置状態
で内部で増殖しまくりなプロバイダも多いよ。うちが加入してる某ニフ系
のケーブルとか・・・

W32.Sasser.C.Worm

↑自分のPCをシマンテックでオンラインスキャンしたらこんなのが・・・。
しかも50個位、XPです。一昨日までサッサーA,Bにかかってましたが・・・。

W32.Sasser.C.Worm
ウィルス名:
W32.Sasser.C.Worm

別名:


感染場所:


性質:


工エエエｴェｪ(；ﾟДﾟ)ｪェｴエエエ工なんなのこれぇぇぇ

http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=36332

W32.Sasser.C.Worm

↑自分のPCをシマンテックでオンラインスキャンしたらこんなのが・・・。
しかも50個位、XPです。一昨日までサッサーA,Bにかかってましたが・・・。

W32.Sasser.C.Worm
ウィルス名:
W32.Sasser.C.Worm

別名:


感染場所:


性質:


工エエエｴェｪ(；ﾟДﾟ)ｪェｴエエエ工なんなのこれぇぇぇ

http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=36332

>>43　釣りにしてはネタが古過ぎ。（最近の若い衆は知らんだろ）w

×>>43
○>>47
スマソ。

うぷだてしにいっても、サッサに関するファイルっぽいので特にインストールしなさいと言われるものがないのですが
もう既にインストールされてると考えてよろしいのでしょうか？
４月半ば頃に緊急を要するアナが見つかったといわれたときにうぷだては済ませてあるのですが、この時期のうぷだてがサッサに関するものだったのでしょうか？

>>63
です、サッサーCについて載っているところがありました、
スレ汚しスマソ。

PC起動後すぐに強制終了されちまうんで
手の施しようがなく初期化したよ。

マイクロソフトの感染判断で「感染既往なし」て出たけど
シマンテックのHP入れないしノートン立ち上げるとフリーズするし…
Windows updateもうまくいかない。もう寝る。

>>69
セーフモードで起動すれば良かったのでは？

>>69
あなたのキーボードにはF8キーがないのですか。

再せとうｐすろほどでも無いと思うが、
一旦ウィルスに犯された環境ってのも
気味悪いからな。

>>47
メリーさん・・・
4,5年ぐらい前だったか？

メリージェーン　オン　マイ　マインドォ〜

つのだひろ から一言↓

で、おまいらの会社ではどうだったのよ。

花火を打ち上げてくれたりハッピーバースデーを歌ってくれたり
昔のは親切だったよな。

http://www.symantec.com/region/jp/sarcj/data/y/yankee_doodle.html
メリーさんとはこれのことかな？Win3.1以前のウイルスみたいだけど…

もう、おまえらなんか年季入ってますね。

>>67
そうです。
ちゃんと予防できたわけで、
はっきり言って感染したやつぁマヌケです。

芋虫や救急車が表示されています!
これはSasserですか!

＞61
DLT(バックアップ用テープドライブ)で死ぬと聞いて
DATは大丈夫なのかとガクブルしながらサーバに当てた俺には
イラレのEMFがOfficeで表示されない、なんてのは些細なことだ
(想定されるシナリオ:うっは失敗→テープから戻すか→うっはテープ見えねぇ)。

あとNT4限定でマルチプロセッサ構成だとシングルプロセッサカーネル突っ込まれて
STOPエラーで起動しなくなるとか、2000限定でOracle起動しなくなるとか
サーバが結構やばい。

"0x00900090"の命令が"0x00900090"のメモリを参照しました。
メモリが"read"になることはできませんでした。
プログラムを終了するには[OK]をクリックしてください
プログラムをデバッグするには[キャンセル]をクリックしてください

　　　　　　　　　[OK]　　　[キャンセル]

いやー最初出たときはなにかまちがって重要なファイルのひとつも
アンインスコしちゃったかと思ったわ

MS04-011(835732)の地雷
・Oracle起動せず(2000)
http://support.oracle.co.jp/open/owa/external_krown2.show_text?c_document_id=81950&c_criterion={835732}
・マルチプロセッサだとSTOPエラーで起動せず(NT4)
http://support.microsoft.com/?kbid=841384
・DLT(テープ)やIPSecを使っていると起動しない
http://support.microsoft.com/?kbid=841382
・AdobeのIllustratorで作成したEMFが表示できない
http://support.microsoft.com/?kbid=840997

今度のやつはタイマーはないんだよな？
なら長引くかもな。

Blasterを超えたワーム「Sasser」 - 駆除ツール装うワームにも要注意
http://pcweb.mycom.co.jp/news/2004/05/06/006.html

シマンテックの担当者の取材記事ですが、「Blasterを超えた」というのは
出現後５日間の感染報告数だそうです。
Lsass.exeがクラッシュするのはウイルスのバグかもしれないとか。

http://www.mainichi-msn.co.jp/it/network/news/20040506org00m300128000c.html
日本ネットワークアソシエイツによると、午後5時半現在、被害は127社、581台に上っている。
加藤義宏技術統括本部長は「世界では30万〜100万の被害が想定されているが、
日本ではウィンドウズNT、ME、98の企業ユーザーが以前多く、爆破的な感染はないとみているが、
亜種の発生が早く、ここ2日ぐらいは注意が必要だ」と話している。

4時前からPCをつけているが、今朝はICMPが多いな。半分ぐらいある。
残りもほとんどが445への攻撃。
昨日に比べるとSasserCか何かが活性化している気がする。

学校の実習室でリブートを繰り返す数十台のPC。
シュールだ。

休講になった。昨日。

>>83
親戚の叔父さんに「パソコン動かなくなったから来てくれ」って言われ
いってみたら、>>83 のエラー出ましたよ。
ＰＣは１ヶ月前に買ったばかりで、ダイヤルアップの１０時間コースでやってるみたいだ。
繋げた瞬間に　カウントダウン　始まっちゃうんだもんなー。
俺自身もＰＣ初心者なんですが、初めて自分でＣＤ−Ｒに書き込んだ。（駆除するやつとWINのやつ）
叔父さんはまだ一回もアップデートしたことないようです。
ダイヤルアップ＋ＦＷ・ウイルス駆除ソフト無し・・・・・・・・。
　　
初心者でもウイルス駆除の勉強が出来るお勧めサイトは何処？　ココ？

セキュリティ初心者質問スレッドpart40
http://pc3.2ch.net/test/read.cgi/sec/1082207307/

セキュリティ情報 MS04-011
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp
今回の更新内容 2004/05/05
=========================
「LSASS の脆弱性」の回避策 - CAN-2003-0533:
・ %systemroot%\debug\dcpromo.log という名前のファイルを
読み取り専用の属性で作成します
ファイルの作成には、次のコマンドを実行してください。
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
注意: この回避策により、脆弱なコードが実行されなくなるため、
もっとも有効な回避策です。
この回避策はあらゆる攻撃を受けやすいポートに送信される
パケットに対して有効です。

- Sasser ワームについてのお知らせ
http://www.microsoft.com/japan/security/incident/sasser.mspx

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

＞ファイアウォールで、以下の項目をブロックする
＞UDP ポート 135、137、138、139、445 および TCP ポート 135、138、139、445、593
＞1024 を越えるポートで、使用されていない入力ポート
＞上記以外の、RPC のために設定しているポート

が最強じゃない？

MS04-011 のインストール後にコンピュータが応答を停止、ログオン不可、
CPU 使用率 100% の現象が発生する

コレはＸＰでは関係ないんですよね？　ＷＩＮ２０００　だけですよね？

>>94
さあ？Microsoftはそう言ってるけどXPでも滅茶苦茶に
なった人をちらほら見かけるよ。
2000でもMicrosoftが公表している以外の不具合が出たという
情報もあるし。
今回のような地雷パッチ以外の通常のパッチでも不具合は起こり得るから
XPに関して何とも言えないね。

>>94
　　　　　　　　　　　　　　　　　　　　　　　　　／⌒〜Y⌒"""ヘ　　　ﾍ∨ ∨
　　　　　　　　　　　　　　　　　　　　　　　　　／⌒／　　　へ　　　　＼|＼
　　　　　　　　　　　 ／　　　　　　　　　　　/　 /　　 /( ∧　　）　ﾍ　ﾍ 　　　　　
　　　　　　　　　　 く　　　　　　　　　　　／/　（　/| | V　)ﾉ（　(　（　　ﾍ＼　　 教　 て
　　　　┘／＾|　　　 ＼　　　　　　　　 （　　|　|ﾍ|　ﾚ　　＿　ﾍ|ﾍ　)　＿ﾍ 　　　し　 め
　　　　/|　　 .|　　　　　　　　　　　　　　|　　）） )/⌒""〜⌒""　　 iii＼　　　え　 ｜
　　　　 .|　　α　　＿　　　　　　　　　　ﾍ　ﾚﾚ　　"⌒""ﾍ〜⌒"　　||||＞　　　て　 ｜
　　　　　　　　　 ＿∠＿　　　　　　　ｲ　|　　|　 /⌒ｿi　　 |/⌒ﾍ　　＜　　　　や　 ｜
　　　　　＿　　　　 (＿　　　　　　　　) ﾍ　　|　‖ （） ||　　|| （） ||　 ＿＼　　　ん　に
　　　　　／　　　　　　　　　　　　　　 (　 )　ﾍ |i,ﾍゝ=彳　 入ゝ=彳,i|＼　　　　ね 　は
　　　 ／ー　　　　　　　　　　　　　　　（　／　　"""/　 　ー""""　　　＞　　　｜
　　　　　 ＿）　　 ｜　　　　　　　　　 ﾍ（||ii　　　 ii|||iiii＿/iii)ノヘ|||iiiii＜　　　 !!!!!　
　　　　　　　　　　｜　　　　　　　　　 ( ﾍ|||||iiii∠;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;　 　　 ﾌ　　
　　　　/////　　　ﾍ＿／　　　　　　　) ﾍ|||""ﾍ===二二二===７ﾌ　/　ﾑ／∧　∧　∧
　　　 /////　　　　　　　　　　　　　　(　 | ii　 | |ＬＬ|＿|＿ＬＬＬ//　|　 　 ）（　∨|　∨)
　　　・・・・・　　　　　　　　　　　　　　　 )　)| || | |||||||||||||||||||||||| |　|　 　（　ﾍ |　ﾍ ) (
　　　　　　　　　　＿＿＿　　　　　　　　| | /|　.| |||/⌒／⌒ヘ | |　|　 iiiiﾍ　( |　（ | /
　　　　　　　　　　　　／　　　　　　　　　/　(|.|　| |　　　　　　　| |　|　 iii　 ) | ﾍ　）(　)
　　　　　　　　　　　 （　　　　　　　　　　(　/..|　 | |＿＿＿＿_/ |　|　 iii　 ( ）（　// /
　　　　　　　　　　　　＼　　　　　　　　 )　）..|　　|ﾍＬ|＿|＿Ｌ/ / /　 ,,,,--（/Vﾍ）(

>>96
残念。

>>93
ブロードバンドルータでもADSLのルータタイプモデムでも、
その辺はデフォルトで双方向閉じてるよな。
NATを越えて突入してくる天才的ワームでもないし。
>>90の叔父さんみたいに初心者はやられまくるだろう。
ダイヤルアップやフレッツ接続ツールで直結だと一瞬で逝っちゃうのね。

MS箱入りやOEMのW2kSP4なら比較的問題は少ない（イラレが
トラブるくらい）が、古いSP1やSPなしへアップデート重ねていくと
導入の順序や途中で抜かしたパッチなどによって完全迷路状態。
誰にもどういう状態でどういう問題が出るか把握できない。

ルータを入れて適切に設定してからクリーンインストール、Windows
Updateで全パッチをインストールというのがいちばんトラブルが少
ないはず。（ダイヤルアップじゃお手上げだが…）

みんなADSLモデムのパケットフィルター設定使ってないの？

おれNV使ってるけど、パケットフィルターでエントリーはあるけど適用(チェ
ックされていない)14〜18番を適用するだけでSeaserみたいにファイル共有狙
って感染するウイルスは予防できるんだけどなぁ〜。

「また、エントリ14〜18番を適用すると、NetBIOS等による意図しないADSL側
への情報漏洩を防止することができます。」（NV機能詳細ガイドより）

俺のMN-IIのような「ただのモデム」じゃあどうしようもないよな。

>>92
なるほど。ただのテキストファイルで、中身はdcpromoという一行だけ。
こんなお呪いがSasser避けになるとは玄妙ｗ

だれか効果試してみたかや？

凄まじい勢いで火壁のログがたまっていくｗ
連休明けて一気に増えたね。

>99
ルータ導入済みなら最新版SP適用済みのインスト用CD-R作ればいいだけの話。

Windows 2000 Proを安定させるインストール順序
ttp://pc5.2ch.net/test/read.cgi/win/1037443199/
↑参照。

つか無印2000でも普通にSP4落としておいてオフラインで適用すればいいだけ
な気も・・・
Windows UpdateでSPからその後のセキュリティパッチやら諸々を一気に
うｐだてする方が不具合出そうで怖い。

>>103
確かに…
破壊活動が無いので対策されず
かなりの台数が潜航して放置されてるようだ。

今HP見れなくて困ってるんですがプロセス消したらHPは見れるようになったのですがLiveUpdateには繋がらずシマンテックも数秒で見れなくなりました
再セットアップしても ノートン2004のウイルス定義更新が完了前に侵入されそうなのですが大丈夫でしょうか? FTTHで終端端末装置直結です。 携帯から見れるサイトありませんか＿|￣|○

>>106
コマンドプロンプトで↓をコピペしてリターンキーを押せ。

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log

ﾎﾟｰﾄ445拒否にしていたと思ったら許可にしてあった・・・・・ｳﾂﾀﾞｼﾉｳ

>>106
つかネットワーク接続でファイル共有削除してから接続すればとりあえ
ず感染はしないだろ。

指定されたパスがみつかりません と表示されました＿|￣|○

タイプミスでした アクセスが拒否されました

全然ポートスキャンされん。
プロバに落とされてるのかな？
port135と137ばっか

>>110
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
メモ帳にこぴぺして　dcpromo.batという名前で
C:\に保存。エクスプローラから実行。

>>113
成功しました
HPも繋がるようになったので修正ファイル適用できます
ありがとうございました

まさかとは思いますが修正ファイル適用後再起動さたらXPが起動しなくなりセットアップCDも受け付けなりました＿|￣|○ NTLDR is missing Pleas Ctrl＋Alt＋Del to restart

>115
起動ロゴを変えてないか？

わからないので今CDで修復中です＿|￣|○

ｶﾞﾝｶﾞﾚ！！

>>116
昔、起動ロゴ変えたら起動しなくなって痛い目を見たなあ。

乙、
5月1日から
送った覚えのないアドレスから「Delivery failure」(行き先不明)ってタイトルでメールが戻ってきてるんだけど
これって俺のアドレスを持ってる香具師が感染して俺のアドレスでメール送りまくってるわけ?

毎日300件送った覚えのないメールが戻ってくるんだけど
ちなみにマシンはMAC…

ＸＰなんですが、どうやったら感染防げるんですか？
良かったらやり方教えてください！！・・・初心者です。

>>120鼬飼い
>>121ｽﾚ違い

あとは自分で探せﾎﾞｹ

>>122
板違いとは主湾が
頭のない無駄レスすけんなチンカス

>>121
1、４月のWindowsUpdateが実行されているかどうか
2、簡易ファイアーウォールがONにしてあるかどうか
3、ルーターまたはルーター機能付きのモデムを使用しているかどうか
4、アンチウイルスソフトは最新か

で違う。書いている事が全くわからないなら、本屋へ直行して適当な雑誌なり
入門書を購入し、あらかた読んでから質問。

2、3、が丸で、1、がまだなら、とりあえずWindowsUpdateを実行する事。

サッサーにびびりマイクロうPデートしたけどPCの立ち上がり遅くなりません?

>>125
アップデートした直後の起動だったら、遅くなっても不思議じゃないぞ。
それ以降毎回起動が遅いのなら地雷踏んだと見てほぼ間違いないと思うが。

ttp://www.cyberpolice.go.jp/important/2004/20040507_195408.html
■Sasser.Dワームの概要について(5/7)　　　　　　　　　　　　　　　　　　　　　　　　　　　<2004/05/07>

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年５月７日
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　警　　　察　　　庁
Sasser.Dワームの概要について

　警察庁では、5月3日にお知らせしましたWindowsに存在するLSASSの脆弱性(MS04-011)を悪用し感染
拡大するSasserワームに関連し、その亜種であるSasser.Dワームについて検証を行いました。
　Sasserワームの概要と検証結果については、　Sasser.Dワームの概要(リンク先はPDFファイルです。)　
をご覧ください。
ttp://www.cyberpolice.go.jp/detect/pdf/H160507sasserd.pdf

ttp://www.cyberpolice.go.jp/important/2004/20040507_194740.html
■ICMPトラフィックの増加について(5/7)　　　　　　　　　　　　　　　　　　　　　　　　　　　<2004/05/07>

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年　５月　７日
　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　警　　　　察　　　　庁
ICMPトラフィックの増加について

　5月7日現在、警察庁では、5月4日からICMPトラフィックの増加を検知しています。警察庁において、
W32.Sasser.Wormの亜種であるW32.Sasser.D.Wormと呼ばれるワームを解析したところ、同ワームは感染
活動を行う際、ICMPエコー要求を送出することが確認されています。したがって、今回のICMPトラフィック
の増加は同ワームの活動に起因するものと推測されます。
　ICMPトラフィックの増加状況(リンク先はPDFファイルです。)
ttp://www.cyberpolice.go.jp/detect/pdf/H160507icmp.pdf

>>125漏れも万が一に備えうpdate施行したのだが…(ちなみにWin2000Professionalユーザー)
うpdateってMS04-011のセキュリティ修正プログラムとは別だよね？

>128
もうPC使うの止めた方がいいよ・・・

>>129
釣られてんのか釣られてあげてるのか

トレンドマイクロのtscって駆除できますか？いまいちよくわかりません。

>>128
>>131
ぐーぐった方が賢くなれるぞ。

Windows うpだた　重くて繋がんない
もっと鯖を増強しやがれゲイシめ！

今、サッサーをブロックしました。
バスターのポップアップがでてきました。

System Volume Informationってフォルダの中に
Sasser.Cが検出されるんですが、どうやって削除すればいいんでしょうか？
System Volume Informationにアクセスして手動削除しようとしても、アクセス出来ません。

はひ、がんばります

>>135
システムの復元を無効にしてから削除

>>135
ぐぐろうな。
ttp://support.microsoft.com/default.aspx?scid=kb;JA;309531

件名：【Microsoft】 重要なお知らせ:Sasser ワームに関する情報
というメールが来まして、本文には
> <本情報はマイクロソフト株式会社より、
> ユーザー登録いただいたお客様全員に配信しております
となっていましたが

1、メールの発信元がマイクロソフトではない
2、レンタル鯖のメアドの設定していないアドレスに来た
（設定してないアドレスに来た場合使っているアドレスに転送してる）
3、WindowsをOEMで購入していてユーザー登録をしていない

という事を前提として推測すると、発信元がスパム打ってるような
気がして仕方が無いのですがどうなんでしょうか？
そもそもマイクロソフトって他社にそんなメール配信する事を
依頼してるんでしょうか？

>>139
そのメールはMicrosoftからのものです。

たまにユーザー登録者全員に送るメールがあるが、そういうメールは他社に依頼してる。
とサイトのどっかに書いてあった。

>>139
自分で登録したものぐらい覚えとけ。
しかもWindowsのユーザー登録者とは書いてないだろ。

本当のところ、みんなはどの程度さぁ、淳行くん＠佐々の実体を掴んでいるの？
ＭＳのサイト見ても今市。シマンテックも混乱してるとおもわれ。
例えばね、NT2000では感染するけどNT2003では感染しない。んで、XPproだと感染する。等々。
マジ判らん。
板の住人のマトメきぼん。

あ、2003はサーバだけどね。
それ判って言ってんで、よろしこ。

>>140
他社に依頼してる前例はあるということですね

>>141
Windows以外のソフトを含めて、マイクロソフト関係でユーザー登録を
した事は一度もないです。

>>139で
> 2、レンタル鯖のメアドの設定していないアドレスに来た
> （設定してないアドレスに来た場合使っているアドレスに転送してる）
と書きましたが、具体的にはinfo@のアドレスにきました。
infoやbizやwebmasterなど辺りを適当に入れてくるスパムが
多々ありますので疑いを持ったわけです。

あとあくまで私の主観ですけど、送信元の会社も怪しい印象でして…

>>144
マイクロソフトでない会社から来るというのは怪しい感じがしますが…
レンタル鯖のメアドの方はスパムに限らず、誰かのタイプミスやいたずらの可能性もあるかも…

>>141
知りもしないで便乗つっこみやめとけ。
ｱﾀﾏ輪類
ｶｯｺ輪類

>>144
MSKKのDMは2,3年前から代行業者がやってるよ。
不思議に思うことがあるならe-agnet.jpなりMSKKなりに問い合わせなさい。

そうだそうだ　(・∀・)　！

microsoft.jp
から送られてきたメールのどこが怪しい

うちに来てるMSのセキュリティ情報メールのアドレスは

差出人 : Microsoft <0_61642_E0076124-5AE5-441F-8B79-BED908308CB1_JP@Newsletters.Microsoft.com>
返信先 : <3_61642_E0076124-5AE5-441F-8B79-BED908308CB1_JP@Newsletters.Microsoft.com>
件名 : マイクロソフト セキュリティ情報 MS04-011 更新

だった。
＠より前の部分は毎回違う。

ttp://www.cyberpolice.go.jp/important/2004/20040507_195408.html

よくまとめてあります

警察庁の分析はSasser.Dについてのものだが、A〜Cにも
基本的に当てはまると思われる。
http://www.cyberpolice.go.jp/important/2004/20040507_195408.html

（要約）
■Sasser.Dの日本語環境における感染状況
　2000 Pro/Server→SPなし〜SP4　→感染しないがリブート（※）
　XPhome/Pro→SPなし〜SP1→感染後リブート
　2003 Server→感染しない

■感染動作
・準備動作　FTPサーバを生成し、TCP port 5554をオープンして待機
・攻撃動作　目標IPをランダムに生成→目標へICPM Echo Request(ping)→
　応答があった目標のTCP port 445に接続→TCP port 9995へexploit
　コード送信→（※日本語Windows2000の場合、この段階でLSASSがクラッシュ、
　マシンはリブートする。感染動作は中断するので感染はしない）→
　準備動作で用意したFTPサーバからport5554を通じてワーム本体を転送

※注　Windows2000の場合、ワームのコードのバグのため、攻撃対象の
LSASSをクラッシュさせてしまう。そのためWin2000システムがOSのシャット
ダウンを行う。しかし感染はしていないのでウィルススキャンしても反応はない。
しかしインターネットに接続して再び攻撃を受ければ、またシャットダウンして
しまうことになる。

補足
★FWでEcho Repyは必ず無効にせよ★

ICMP　Echo Reply (pingに対する応答)をFWでステルス（応答を
返さない）に設定するだけで感染は防止できるうえに、ウィルス側
では応答がタイムアウトするまで待つ必要があるので攻撃の速度
を低下させ、無用なpingパケットの輻輳を抑止する効果もある。

FW入れてるマシンではEcho Repyをステルス（無効）に設定
することを勧めます。

だからルーターは必須。
ルーターでping止めれば無問題

今のXPの標準FWはpingを止めるんだけど、SP2のFWはICMP通すとか
どこかで読んだ気がする。

18歳が捕まったらしいね

　日本ネットワークアソシエイツは7日、マイクロソフトのウィンドウズXP
などのぜい弱性を悪用する新種ウイルス「サッサー」の被害は依然、
衰えていないと発表した。10日から仕事を再開する企業もあることから、
引き続き警戒が必要としている。

　同社によると、7日午後4時現在、被害企業は前日より70社増え187社、
感染マシン数も450台増え980台と、被害は続いている。亜種別では
「サッサー.C」が最も多く、感染マシンは723台と7割を占めている。
http://www.mainichi-msn.co.jp/it/network/news/20040507org00m300127000c.html

>>156 だれ？

サッサー容疑者の少年逮捕　ドイツの司法当局
【17:05】【ベルリン８日ＡＰ＝共同】
ドイツの司法当局は８日、コンピューターウイルス「サッサー」をつくった容疑者として、
高校生の少年（１８）を逮捕したことを明らかにした。
http://flash24.kyodo.co.jp/?MID=RANDOM&PG=FLASH

Netskyのソースコードに「Skynet」とSasserは我々が作った
みたいなこと書いてたよな？

>>160
でもSasserのソースにはそういうおしゃべりはなかったらしい。
それで、あれはNetsky側の言いふらしだとも言われている。
（ITMediaだかで読んだ）

凄いな、18歳がsasser作ったのか・・・・脆弱性をつくなんて良く出来たな

１８歳の男子高校生逮捕、ウイルス「サッサー」製作容疑
2004.05.08
Web posted at: 17:38 JST
- CNN/AP
ベルリン――ドイツ北部、ハノーバーの治安当局は８日、過去１週間、
世界各地で感染が相次いで報告された新型ウイルス「サッサー」の
製作者とみられる１８歳の男子高校生を７日に逮捕した、と発表した。
ＡＰ通信によると、高校生はドイツ北部の町に居住している。

逮捕に至った経緯などは不明。

コンピューターウイルス対策各社などによると、「サッサー」には「SasserA」
「SasserB」「SasserC」「SasserD」の４種類あり、マイクロソフトの基本ソフト
（ＯＳ）「ウィンドウズ２０００」「ウィンドウズＸＰ」のほか、ウインドウズ２０００と
同２００３のサーバを標的にしている。インターネットに接続しただけで、
感染する恐れが出ることなどが特徴。

世界各地でこれまで、数十万規模のコンピューターが感染被害を受けたと
みられている。
http://cnn.co.jp/science/CNN200405080020.html

>>162
こういうウィルスの場合たいてい…

爆弾の製造原理を発見する科学者
　→それ見て爆弾の製造方法を書いて発表するヤツ
　　　　　　　　　→それ見て本当に作って爆発させるバカ

という３段階。最初にセキュリティコンサルタント会社の専門家が
LSASSにセキュリティホールを発見してMSに警告する。MSがパッチ
を作成した時点でコンサルタント会社が論文を公表。それ読んで
クラッカーが実際にセキュリティホールを利用するヒナガタexploit
コードを匿名でアングラサイトに発表する。それを見てバカガキが…

この過程にだいたい１月〜45日くらいかかる。ガキが本式にバカ
だとそこら中でいいふらすから運がよければﾀｲｰﾎになる…

>>164
残念賞

>>164
(　´･∀･`)へｰつまり

ガキが自慢げに友達に話す
　　　　↓
友達が親に話す
　　　↓
噂が充満してくる
　　　↓
親が通報
　　↓
ﾀｲ━━━━||Φ|(|ﾟ|∀|ﾟ|)|Φ||━━━━ﾎ!!
　　　↓
"(((( ´,,_ゝ｀)))) ﾌﾟﾌﾟｯ ﾌﾟﾙﾌﾟﾙｯ"

いやそれよりありそうなのは…

ガキが自慢げに友達にメール
　　　　↓
友達が掲示板にカキコ
　　　↓
噂がネット充満してくる
　　　↓
FBI、CIA、NSAの網にひっかかる
　　↓
ﾀｲ━━━━||Φ|(|ﾟ|∀|ﾟ|)|Φ||━━━━ﾎ!!
　　　↓
((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>153
＞FWでEcho Repyは必ず無効にせよ
PINGを無効にすると、スキャンやアタックをいきなりあきらめて攻撃を仕掛けてこない場合が多いから、
せっかくFWいれてもログに出ないから、攻撃を防いでいるのを体感できるように
PINGはきらないほうがいいんじゃないの？

テレ朝で作者逮捕のニュース見てちょっときてみました。

18歳高校生、証言───「もうだめぽ」

高校生にも無茶苦茶にされるWindows

すげぇ･･･どういう頭してんだろ。
つかこういう子供が作るのは、遊び半分目的？

>>168
LogとれるFW Kerioとか入れればいいじゃん

はっきり言って今回の事件じゃｻｯｻｰ自体の被害よりｻｯｻｰのせいで慌てて適用された
MS04-011のﾊﾞｸﾞによる被害の方が大きいと思うぞ。
ｻｯｻｰはツールで簡単に駆除できるがMS04-011に引っかかったら下手すりゃOSクリーンインストール。

いつだかウイルス、厨が友達と感染速度競って作ったって言ってなかったか…ｗ
高校生はきっと年寄りの部類ｗ

プライベートアドレスまで対象にするSasser、週明けにも注意を
http://www.itmedia.co.jp/enterprise/0405/08/epn01.html

確かに新聞にFAXでの問い合わせ方法だ広告してあったなあ…。

んで不具合修正済みパッチはいつ出るんだろう？

少年がSasserワーム製作を自白

ドイツの18歳の高校生がSasserの製作を認めたと警察が発表。
このワームは先週、世界中で推定1800万台のコンピュータに感染し、
シャットダウンやリブートを引き起こしている。
少年は金曜にドイツ北部の町ローテンブルクで逮捕されたが、現在は
保釈されている。
捜査官はいくつかのコンピュータやディスクを彼の家から押収した。
単独犯行と考えられている。
少年の身元は公表されていないが、ドイツの週刊誌シュピーゲルは、
CIAとFBIが捜査に加わっており、容疑者はSven J.という名だとしている。

バージョンの違い

警察のフランク・フェデラウ報道官は「少年は自白し、マイクロソフトの
専門家は彼がこのワームを作ったことを確認した」と述べた。
ドイツの検察当局は土曜遅くに記者会見を予定している。
BBCのトリスタナ・ムーア（ベルリン）によると、警察はこの高校生の
単独犯行であり、大きなネットワークの一部としてやったのではないと
見ているという。
ドイツのIT安全局は、Sasserには4つの亜種があるが、その全部の背後に
この容疑者がいたかどうかは不明だと述べている。
「最初のバージョンは素人っぽかった」が、「他のバージョンは被害の点で
明らかにそれと異なる」とミカエル・ディコプ報道官は述べた。
（後略）

出典を書くのを忘れました。
BBCの記事です。
http://news.bbc.co.uk/2/hi/europe/3695857.stm

※1800万台に感染したというのは大げさに思えるけど、原文のまま。
"estimated 18 million computers"となってます。

CNNの記事。
http://www.cnn.com/2004/TECH/internet/05/08/sasser.arrest.ap/index.html
BBCとあまり変わりません。容疑はコンピュータ損傷で、最高刑は5年とか。
1800万台とは言っていないようですが、台湾では郵便局の3分の1がSasserに
やられたそうです。

深夜、わざわざ故意に ﾀﾞｲﾔﾙｱｯﾌﾟ でつないでみる。また来るかな？（ｗ

来ねぃや（ｗ

マイクロソフトから情報　「サッサー」作成容疑者
ドイツの警察当局者は８日、新型コンピューターウイルス「サッサー」の作成容疑者について、
米マイクロソフト社から情報を得たと語った。
http://flash24.kyodo.co.jp/?MID=RANDOM&PG=FLASH
http://headlines.yahoo.co.jp/hl?a=20040509-00000000-kyodo-bus_all
事情聴取後に釈放
http://headlines.yahoo.co.jp/hl?a=20040509-00000360-jij-int

ロイターの最新記事です…
http://www.reuters.com/newsArticle.jhtml?type=internetNews&storyID=5080788
■サイバー犯罪捜査史上最大の捕り物となるか

マイクロソフトは…金曜日に逮捕された18歳の男がSasser以外にも
Netskyの亜種28種類を書いた疑いがあると述べた。

土曜日、バーデンヴュルテンベルクで21歳の男が逮捕され、 最初
"Agobot"後で "Phatbot."と命名されたウィルス※を書いたことを
自白した。　（※WORM_AGOBOT.HJ(Trend)=HLLW.Phatbotのこと）

ドイツ警察はこの２人とSkynetグループというハッカー集団との関係
を視野に置いて捜査を進めている。

ロイター■Sasser作者の逮捕は賞金の誘惑
http://www.reuters.com/newsArticle.jhtml?type=internetNews&storyID=5080724
マイクロソフトの主席法律顧問ブラッド・スミス氏が明らかに
したところによると…先週、数人のグループが同社に接触し、
重要なウィルス作者の身元を明らかにしたら賞金が出るかと
尋ねた。同社は有罪となったら賞金を支払うことに同意した。
これらの数人は、技術的分析によって作者を特定したわけで
はなく、個人的に作者と面識があったものである。

自慢げに吹聴してたのが裏目に出たってことかな？
なんかいかにも厨房っぽい足のつき方だな。

サッサー淳行

このダジャレ、俺が最初か。

>>187
釣りだと思うが、メチャンコ既出。

>>184-185
面白い記事ですね。まだ捜査の途中なので不明点も多く、Sasserを作った
18歳男がNetskyの28亜種をも作ったという話は、いずれもMSのスミスと
いう人の発言なので、どういう根拠によるのかわからないけど、
もっと大きな背後関係はあるんでしょうね。
Agobotを作ったという21歳男が逮捕に至った経緯も記事では不明ですが、
Sasser男をMSにたれ込んだ数人のグループがこの男のことも知っていた
のか、それともSasser男の家から押収されたPCにメールでもあったのか、
何にしても逮捕の時期が符合しているので関連性はあるように思える。

上にあったCNNの記事
http://www.cnn.com/2004/TECH/internet/05/08/sasser.arrest.ap/index.html
更新されていたので、さわりを紹介。Netsky製作も少年が供述したらしい。

マイクロソフトによると情報提供者らは水曜に接触してきて、ワーム作者の
情報を提示した。MSの首席法律顧問ブラッド・スミスによると、同社の調査員
はドイツの捜査当局、FBI、シークレットサービスのエージェントと協力した。

同社は何人の容疑者が浮かんでいるかや、その氏名については明らかに
しないが、ドイツではマイクロソフトのデータプロテクション担当者のサシャ・
ハンケによると、情報提供者らはワームのソースコードを提示して、密告の
確かさを示したという。

「これらの人たちがソースコードを作者から得たことは間違いない」と彼は
ハノーバーで記者に述べた。ハンケはまた、彼が情報提供者らと木曜の夜に
ドイツ北部で面会し、そのとき彼らが作者の名を告げたことを明らかにした。
（略）
少年は当局者に対して、もともとの意図は「Netsky.A」と呼ばれるウイルスを
作ることだったと供述した。このウイルスは「Mydoom」や「Bagle」という
ウイルスと戦い、これを感染したコンピュータから取り除くのだ。その開発
過程で彼はSasserを作った。

「この学生は自分がしたことの結果や損害については何も考えてなかった」
と捜査官の声明は述べている。（訳おわり）

#Agobot男との関係は今のところ出ていないと記事末尾にあり。

>>188
ちぃっ！遅かったかｗ
ここ来たのMSブラスター以来だったから、トレンドにうとかったぜ。

>>191
じゃシマンテックに逝けば？

トレンド違い。

だじゃれ なんだから笑ってやれよ

なんだこのエサホイサッサな展開はｗ

サッサー？サザー？

サッセ

ウィルスバスターとかノートンとか入れてなくてルータも挟んでないんですけど
特定のポート番号だけ塞いだり出来ないんですかね？
XPです、誰か教えて‥

>>198
TCPのプロパティーのIPルールで出来るよ
多分ちみには無理だと思うがな

>>199
それ、以前失敗して全く外部と通信できなくなった事がある。
プロトコル・ポート毎に一個一個ｼｺｼｺと
登録しないといけないのがなんとも・・・。

>>198
とりあえず、XP標準装備のヤツでも使えばどうですか。
ピンポンダッシュくらいは防げるでしょ?

【SASSER　FAQ　ＸＰ付属ファイアウォール編】
Ｑ　Windows XPの付属ファイアウォールは有効ですか？
Ａ　Windows XPのファイアウォールはウィールスが入り込むポート
　　（TCPポート445、他）を閉じるのに有効です。ただし、このファイア
　　ウォールはデフォルトでは無効になってます。
　　【FWを有効にする手順】
　　　コントロールパネル→ネットワークとインターネット接続→普段使っている
　　　接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
　　　「コンピュータとネットワークを保護する」にチェックを入れる

Ｑ　XPの「ネットワークの接続」がみつかんないよー？
Ａ　以下の方法も試してください。
　　　スタート→設定→ネットワーク接続
　　　スタート→接続→全ての接続の表示
　　　スタート→マイネットワーク→ネットワーク接続を表示

Ｑ　XPのファイアウォールで十分ですか？
Ａ　XPのおまけFWは外から中へ（inbound）の侵入は防ぎますが、いったん
　　感染してしまうと中から外へ(outbound)ウィールスをばら撒くのをチェック
　　できません。Zone Alarm、Outpostなど中から外もチェックする製品を
　　入れておきましょう。

Ｑ　FWはいくつも動作させるとダメですか？
Ａ　ダメです。XPのFWは無効にしておくだけでいいですが、
　　NISやVBの付属FW、ZA、Outpostのような専用アプリのFW同士は
　　インストしてあるだけで完全に喧嘩しますから注意。

【Winアップデートがﾜｹﾜｶﾒの人、まずファイアーウォール入れましょう】

Ｑ　Windowsのアップデート全然やってなかったんで…なんだかたくさん
　　あって、ﾜｶﾜｶﾒでつ…（泣
Ａ　脆弱性（ぜいじゃくせいｗ）のあるパソコンをネットにつなぐとパッチをダウン
　　してる間にウィルスに感染しちゃう鴨です。まずファイアウォール入れてから
　　ゆっくりWindowsのアップデートしましょう。
Ｑ　ファイアーウォールって何？
Ａ　ファイアーウォール（FW）はデータ通路の玄関（port）の警備員みたい
　　なものです。通行許可証のない人（データ）を通さないようにします。
Ｑ　ファイアウォールでさっさーが防げるんですか？
Ａ　防げます。「LSAというプログラムをインターネットに接続していいですか」
　　みたいなことをファイアウォールが尋ねてきますから「ダメ」とボタン押せばOK
Ｑ　ファイアーウォール入れてれば絶対安全？
Ａ　可能性は少ないですが、ＯＳがネットに接続してからFWソフトが立ち上がるまで
　　のわずかなスキに侵入される可能性があります。修正パッチ当てる前のOSを
　　立ち上げるときはケーブルを抜くか、モデムの電源を落としておけば安心。
Ｑ　無料のファイアウォールってどうなのよ？ ちゃんと役に立つ？
Ａ　定番はZone Alarm、 Outpost、Kerioなどの製品。有料版もありますがフリー版
　　で機能は十分です。詳しいことは専用スレで。「Outpost　まとめサイト」がファイア
　　ウォール関係の解説わかり易いです。他のFW使う場合でも見ておくといいです。

Agnitum Outpost Firewall part15
　http://pc3.2ch.net/test/read.cgi/sec/1079512402/
ZoneAlarm Part19
　http://pc3.2ch.net/test/read.cgi/sec/1081594360/
☆彡Kerio Personal Firewall 2.1.5　Rule 14☆彡
　http://pc3.2ch.net/test/read.cgi/sec/1075173212/
Outpost 2ch　まとめサイト
　http://www.geocities.jp/outpost_2ch/

Eが出たよん。
容疑者が逮捕されてもワーム自体が無くなるわけでもないし、
亜種の出現が止まるわけでも無いってことだね。
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.e.worm.html

■Sasser.Eの変更点（いずれもマイナー）
ワームの実行ファイル名　lsass.exe
FTP使用ポート 1023、1022
ログファイル名 C:\ftplog.txt
転送されたワーム本体ファイル名 [ランダム]_update.exe

逮捕された18歳の子が1人で今までの4つ全部作ったかどうかもまだ
はっきりしないしね。
Netskyも自分だというのは、本人はそう言ったかもしれないが、
少なくともあれ全部を作ったとは思えない気がする。
それに本来の目的がNetskyだとすると、そもそもSasserは何の「ために」
作ったのか等、供述によくわからない点もあるし。

>>203
「きみらもこうなったら無駄な抵抗はやめてワームども
に犯行を止めるようにいいなさい。このままでは罪が重く
なるばかりだぞ」
「はい」

…でワームの活動を停止できればいいんだがｗ

>>204
本体ファイル名が凶悪やのう…。

子供番組（戦隊とか）なら、怪人が倒されれば病気になっていた人たちも
みな起き上がって「あれ？」とか言うのだがｗ

まったく、ＦＷのアクセスログ見たら特定されたかと思っちまうよ。
>>204
中々にエグイ命名じゃｗ
その内にＦカップも出るかな。

ITMediaの記事（日本語）
Sasser作成容疑の少年逮捕
http://www.itmedia.co.jp/news/articles/0405/09/news003.html

「警察は、Sasserの亜種すべてを少年が作成したとみている。Sasserは
ドイツ郵便局や英国の沿岸警備拠点などに大きな被害をもたらしている。」

「州検察によると、少年は4月29日に18歳になったばかりで、「コンピュータに
よる破壊行為」に携わった時点では恐らく未成年だったことから少年裁判所で
裁かれる可能性が高い。」

「警察によると、少年は、ウイルスに対抗するNetSkyワームを作ってみたが、
友人全員に勧められて開発をさらに一歩進め、NetSkyの修正版となる
Sasserを作成したという。」

>>204
小文字かよ・・・＿|￣|○

友人に勧められ
挙句友人に売り飛ばされたの?
なんか、ネラーみたいだな

この「友人」たちというのは、初めからM$の賞金狙いで
アフォガキをハメたんじゃないのか？　ウィルス書こう
というガキどもにはいい教訓だな。

またウイルスソフトがバカ売れかな？
ウイルスソフト屋も少しは、ドイツの少年ありがとうの気持ちで。
弁護士代ぐらいは、出してあげたらいいのに。

ｳﾁのXPが感染しちまって今日再ｾｯﾄｱｯﾌﾟをしたよ
そして直ったと思ったらまた直ぐにk(ry
無茶苦茶気が滅入ったよ…(´･ω･｀)

感染しない為にはどういう手順で設定すりゃいいのかな?
手元に例のｾｷｭﾘﾃｨCDと�d体験版ｾｯﾄがあるから…

1)物理的にｱﾛｰﾝ状態
2)再ｾｯﾄｱｯﾌﾟ
3)ｾｷｭﾘﾃｨCD投下
4)�d体験版投下
5)ｱﾛｰﾝのままﾌﾟﾛﾊﾞｲﾀﾞ設定を完了
6)ﾈｯﾄに接続､嵐の如く�dを更新
7)その足でWindowsｱｯﾌﾟﾃﾞｰﾄ

これが最良の手かな…?
ｱﾄﾞﾊﾞｲｽ宜しくお願いします_|￣|○

ルータ買え。

>>215
本当は感染していないパソコンでパッチをダウンロードしてくるのが一番なんだが、
出来ない場合はファイアーウォールなりルータなりを使って接続しろ。

ネットに接続すんなよ！

ルータ挟んでるけど突破されてノ−トンに反応しやがった＿|￣|○

>>219
1.ルーター内に感染PCがある。
2.ルーターのFWをOFFにしてる。

マイクロソフトのSasser感染・駆除チェックサイトで大丈夫だったのに・・・
>>220
ルーターのFW見直してみます

ルーターのFWってどうやって見るの？

ルーターのメーカー及び機種によって変わるので
説明書かメーカーサイトでも見てくだされ

ありが�d調べてくるわ。
IPマスカレードとかパケット・フィルタリングとか、
このあたりのことなのかな。

バッファロー(メルコ)ではアタックブロック

FWがないのもあるね。

こちらは、NEC Aterm DR30F/CEです。

http://121ware.com/product/atermstation/product/directstar/spec_dr30h_dr35fh.html
＞セキュリティ フィルタリング／ポートマッピング／ＩＰマスカレード機能

FW自体はなさそうだね。
でも、下記のポートを閉じとけばいいかも
TCP135-139
TCP445
TCP1025-1027
TCP2745
TCP5554
TCP6129
TCP9996

TCP1022-1023
を追加
TCP1022-1027
でもいいけどね

皆様、ｻﾝｷｭｰです。

>>216-217
ﾚｽ�dｸｽ!
新規ﾙｰﾀ購入は金銭的に無理なので､
�dのﾊﾟｰｿﾅﾙFWでﾎﾟｰﾄ塞ぎます

それと､外部から入手する手が有効な様なので
職場…元学校の使って落としてきます

ｱﾄﾞﾊﾞｲｽｻﾝｸｽでした

5時前からPCをつけているが、今朝は445が少ないな。
135が多い。（これはAgobotだっけ？）

すっかり下火な雰囲気が漂ってますね

a2の今日のUPでサッサーとnetsky絡みが来たようですが、はて?
（はて?の後、何を言いたいかはお察し下さいw）

今日になって、お馴染みのポートに加えて、UDP,port 6257にお客が来てるが、

何か新手の物でしょうか？

俺の場合、加入ISPのリモホからのDoSが酷いです。
皆の衆は、如何？
それと、ルータの件だけどルータのハードウェアFW機能が突破される事もあるみたい。
実際に俺の仲間がやられた。IPを振ってくるので、同一LANと認識したのか？ワケワカメ。

>>235
ルータの件:
ルータが安物かオマエのともがきがバカ

>>236
235です。
ルータが安物なのは間違いなし、スマソ
是がの一番安いやつ。

サッサ案件対応のコールセンター業務に短期で明日から入るよ。

名前晒してくれたら電話するよ

Sasserの作者逮捕につながったマイクロソフトの懸賞金

「われわれは迷うことなく25万ドルの賞金を支払う判断を下した」
http://www.itmedia.co.jp/enterprise/0405/10/epc01.html

やっちゃたよ職場のPC
ほんの10秒くらいノートンを無効にしたら

突然 例の再起動のダイアログ

これがワームですか、初めてでした。

ところで再起動後、最新定義でチェックしても感染なし、
マイクロソフトのHPからのチェックも異常なし

こんなことってあり得るんですか？？？？？

>>241
>>152に書いてあるけど、ワームのバグのためにLSASSがクラッシュして
マシンが再起動してしまうが、それで感染動作が中断するため、あとで
調べても感染はしてない、ということでは。
（まあリブートも感染の一環ではあるけど）

どうもです>>152読みました。

OSはXP Proです
今日で３日目で、その後何も起きてないので
大丈夫なんですよね。

Sasserワーム作成者を逮捕 - ドイツの18歳少年

「逮捕につながったこの情報と同様に、こういった状況で正確に
IPアドレスを特定する我々が昨年開発した技術が功を奏した」と、
容疑者逮捕の会見に同席したMicrosoftのBrad Smith氏は述べ、
同社が積極的に逮捕に貢献した点を強調した。
http://pcweb.mycom.co.jp/news/2004/05/10/011.html

この技術ってどんなものなのかなあ。
別に足がつくと困ることをしてるわけじゃないが、ちょっと知りたいｗ

そんな技術を磨くより前にセキュリティ穴のない窓を作れや＞MS

>>245
いや、せめて当ててもトラブらないまともなパッチを…

>>244
IPアドレスを特定する技術
「犯人逮捕に結びつくIPアドレス１個ごとに１万ドル提供」

>>237
コレガの3千円ルータを今年のお正月過ぎから使ってるが
特に問題ないねー。大きなファイルのダウンロードとかして
ないしねー。

MSがついにあっちの世界に逝ってしまいますた。
> 宇宙天啓データベース G.2 と、断続的な絞首刑が発生します。
http://support.microsoft.com/default.aspx?scid=kb;JA;74586

Ｍ＄ は、そこまで逝ってしまったか

>>244
やっぱXPには個人情報を送信する機能があったな。
おまいらもみんな抜かれてるぞ

プロバイダだろ

半月ぶりに開いたPCが突然再起動を繰り返し、ネット（AirH"）もつながらない…
半泣きのカノジョをなだめつつ、自分のPC（９８とMe）＋AirH"でファイルをDLしまくり、なんとか復旧

自分は古いOSでよかった、と最近特に思う。

セカンド機は必要だよな…と思う。
古くて安いのでいいから。

漏れのセカンドも９８ｓｅ。
スピードは遅いけどネットも出来るし、もしもの時には
役に立ってくれる…ﾊｽﾞ。

古いWinには放置されたままの穴が
新しいWinには放置されてはいないが未対応のどでかい穴が

藻前はどっちを選ぶ？

新しい方だな
ルーター＋パーソナルファイアウォール＋アンチウイルスソフト
でキッチリ管理してれば、大体防げるし

Sasserワームを作った犯人はほかにもいる？

警察は「Sasserの唯一の作者」を逮捕したと考えているが、逮捕後に
新亜種Sasser.Eが発見された。容疑者が逮捕直前にばらまいた可能性も
あるが、専門家は「ウイルス作者のグループ」が背後にいると主張する。
http://www.itmedia.co.jp/news/articles/0405/11/news019.html

Agobot作成容疑者もドイツで逮捕される
http://www.itmedia.co.jp/news/articles/0405/11/news024.html

Sasserと同じ脆弱性を利用するワーム「Cycle.A」
http://internet.watch.impress.co.jp/cda/news/2004/05/11/3047.html

これは5月18日になると、BBCとIRNA（イラン国営通信）にDoS攻撃を行う
そうです。攻撃対象にIRNAが入っているところから考えると米国の愛国者？
の作成したものかも。

>>255
比較がおかしいぞ。
　　古いWin＝放置されたどでかい穴+未発見の穴
　　パッチ当てたWin＝未発見の穴+パッチによる新たな不具合
これを比較しろ。

亜種、といっても基本的にSasser.Dの実行ファイルの名前変えただけ。
バカガキの種は尽きず。

Sasser.E
実行ファイル名 　LSASSS.EXE
窓が出て以下を表示
1. Your computer is affected by the MS04-011 vulnerability　（略）

Sasser.F
実行ファイル名　napatch.exe


トレンド、感染の可能性があるのはXPと2000のみとやっと認めたが。
ずいぶん長いこと「影響を受けるプラットフォーム」に98系を入れて
いたのはどういうわけだったのか？　（ネットワークが輻輳して、とか
445を叩かれるとかいうオチはナシとしてｗ）

ワーム作成は「ママを助けるため」だった？

ドイツの少年がSasserを作成した動機は、母親が経営するコンピュータ
メンテナンス会社への注文を増やすことだった可能性もあるというのが
当局の見方だ。（ロイター）
http://www.itmedia.co.jp/news/articles/0405/11/news033.html

駆除が完了してもLSA Shellのエラーウインドウは出るんですけど？
ダメージなんとかサービスみたいのは試してみたけど変わらなかった

高校生と通報者って全く無関係なのかにょ？
賞金せしめる為の自作自演の臭いがしないでもない。

携帯からです。
ついさっき、突然シャットダウンします。と出て
60秒のカウントが終わったあと勝手にシャットダウン
再起動してしまいました。テンプレなどを見たんですが
ネットに接続しようとしてもサーバが見つかりません
になって困ってます。
それとレジリストから消せばネットで駆除しなくても
ちゃんと消せるんでしょうか？
初心者なのでレジリストの場所もわからなく困ってます。

>>263
OSは？
エラーメッセージは？

>>264
>>212-213

最近の携帯は改行できるのか。

>>265
だからOSは？

>>269
XP HOWEです。
LSA Shellはエラーとが発生し閉じられる必要がありました。
というエラーが出ました。
とりあえず今はケーブル外してます。
エラーの技術情報を見ると以下のファイルが含まれます。
C:\DOCUME〜mdmpとC:\DOCUME〜txtの二つのファイルがかかれてます。

>>260
議論は、どうでもイイ。
古いWINの穴は、どこで、新しいWINの穴は、どこ？
現実問題として、何処がどうなの？
ﾜｹﾜｶﾗﾝ
最近DoSもキツイんだよ。

>>263
自分もまったく同じ症状。
sasserBでavserve2.exe他を削除してチェックサイトで「駆除に成功」表示が
出たので安心して再起動したらLSA Shellのエラーが…今日はもうやめた＿|￣|○

起動しなくなったぞ

タスクマネージャやらレジリストやらでよくわからないので
初期化というのをしてみようと思います。
初期化すればウイルスもちゃんと消えてくれますか？

>>274
再インストールしても、パッチ当てなきゃ再感染するぞ。

>>274
限りなく「はい！」です。　よろしくがんばってネ。

すみません。
>>10
の『本体ファイルavserve.exeを削除』の本体ファイルってどこにあるのですか？

なぜかCDにデータコピーしようとしてもなにも反応しないので
すべてのデータを諦めます。こういう場合は再感染はなくなりますか？
（またネットやってかかるのとは別として）
それと最後にもうひとつ質問させてください。
XPなのですが初期化はどこからやればいいのでしょうか？

自分だったら、いままでためてあったものを消さないで温存するために、
新しいハードディスクを買ったきて、元のものと入れ替えてリカバリするね。
元のハードディスクは、外付 USB HDD ケースが売っているから、ゆっくりと
あとでつないで、なんとでもなるしね。

ついに壊れた・・まだPC買って２ヵ月くらいなのに＿｜￣｜〇
修理に出します。これで治してもらえますでしょうか。

>>280
再インストしたの？

>>281
リカバリしようとしたら80％あたりになったところで
ファイルエラーかなにかになり、そのままフリーズしてしまいました。
そして起動したら、WINDOWSの画面が出ないで真っ黒い画面になって、
左上で白いのが点滅してそこから進みません。

>>282
もう1回再インストかけられんのか？
完全に起動しない状態からでも再インストの方法はあるだろ？
取扱説明書を読んでみな。

F2キーを押すやつでしょうか？もう一度やってみます。

>>284
メーカー製のパソ使ってるんだろ？

そうなら、完全起動しない時の方法は必ず書いてあるはずだよ。

>>284
っで、上手くいってるのか？
終わったら速攻Updateしなよ。

>272

対処法は簡単です。

まず、ウィルスに感染していないPCから
lsass.exe
lsasrv.dll
ファイル拝借。

次に、自分のPCに両ファイルを
%windir%\system32\
フォルダに
lsass.bak
lsasrv.bak
とリネームしてコピー。
回復コンソールを使い
以下のコマンドを入力

C:\WINDOWS>cd system32
C:\WINDOWS\SYSTEM32>del lsass.exe
C:\WINDOWS\SYSTEM32>del lsasrv.dll
C:\WINDOWS\SYSTEM32>ren lsass.bak lsass.exe
C:\WINDOWS\SYSTEM32>ren lsasrv.bak lsasrv.dll
C:\WINDOWS\SYSTEM32>exit

上記を入力し再起動すれば shellの破損は修復されます。

パッチ当てろよ

>265

該当レジストリキー
HKLM\Software\Microsoft\windows\CurrentVersion\Run

内の av2なんちゃらってキーを削除

キー削除は基本的にウィルス駆除後にやります。

>265

訂正。

該当レジストリキー
HKLM\Software\Microsoft\CurrentVersion\Run

内の avrerve2キーを削除

キー削除は基本的にウィルス駆除後にやります。

60秒でシャットダウンする方は

ファイル名を指定して実行に
cmd
と入力

コマンドプロントに
shutdown -i
↓
値を 9999 に変更

これで約３時間にウィルス駆除時間を拡張できます。

shutdown -a
の方がいいような（ｗ

>291
そうかも 爆

手動で削除したい人にはさっきからちょっと書いた方法やってもらいたいだけ(^^;)

>>287
ありがとうやってみます
そもそもどんなプログラムなのかと思ってググってみてもsasserの記事ばっかひっかかってあかん
作業に支障は出てないからそのままにしてたけど

>>285
全く起動してくれません。書いてあるとしたらどのへんにあるでしょうか。
それと、起動出来てもタスクマネジャやレジリストの場所がわからなくて
治せませんです＿｜￣｜〇

>>294
メーカー製のパソ？
もしそうなら、メーカーの取扱説明書にリカバリーの仕方書いてあるはずだが。
っで、必ずリカバリーCDっていうもんがあるはず。

>>295
そうです。今CD-R入れたら出来ました。
リカバリ中にウインドウが表示されたら、プロダクトリカバリーCD-ROWを
次のメディアに交換してとありますが、次のメディアとは
なにかわかりますでしょうか？

>>296
だから、説明書に事細かく書いてあると思うけど？
それとも説明書を無くしたとかか？
君のがどのメーカー製のものがワカランし、
メイカーによってリカバリーの仕方はマチマチだろうから、答えようが無い・・・

推測だけで書くけど、システムリカバリーCDは1枚か？
2枚ってこともあるぞ。
あとアプリケーションが詰まってるソフトもあるはず。

>>297
リカビリをしても途中でメディアの交換をしてくださいになるので
中断をしてウインドウズを起動しても、ウインドウズが出ないで
そこから全く進めないのです。説明書にもそこまで書いてないです。

>>297
それはリカバリーが終了してないのに起動しても
何もウィンドウズが立ち上がるわけ無いじゃんｗ

兎に角、リカバリーCDの作業が終われば
まずXPが立ち上がるはず。
立ち上がってないってことは、
もう1枚リカバリーCDがあると思うけど。
1・2っていう風に2枚無いか？

ネタだろ
CD-ROWとかリカビリとか

>>299
付属されてるんでしょうか？
記憶だと、CDｰRにリカバリDISKをさせてる途中で、60秒のカウントダウンが
始まって切れちゃった可能性があります。
それで、リカバリも出来ずにWINDOSをたちあげることも出来ません。

>>301
60秒しか持たないのに、よく80％までリカバリーできたな。

っていうか>>300さんが言うように、やっぱネタか？

すいません。深夜までやっていたので、記憶が勝手に80％と思い込んでました。
朝やってみたところ、必ず26％でメディア交換が表示されます。
もうウインドウズも立ち上げられないので不可能でしょうか？
ネタじゃなくほんとに困ってます。

>>303
まぁなんだ、死ね。

　　　　 　＿＿＿＿＿＿
　　　 ／　　　　　　　　　 ）））
　　　/　　　／// /―――-ミ
　　 / 彡彡　// /　　　　　 ヽ)）
　　 / 彡彡　iiiiiiiiiiiiiii　　iiiiiiiiii|
　　 / 彡彡　＜　･ >　、<･ >l
　　/ 　　　|　 　　　　　ヽ　　 〉
　　/ 　（ | |　 　　 　＿＿)　 |　　　 ／￣￣￣￣￣￣￣￣￣
　　/ 　 | ≡ 　／, ―――　 |ゝ　＜　馬鹿共にパソコンを与えるな！
　 /　　 |　　　|　 L ＿＿_」　l ヾ　　＼＿＿＿＿＿＿＿＿＿
＿ミ　　ｌ　　　＿＿＿＿＿_ﾉ　ゞ＿
　 |　　l　ヾ　　　　ー　 　／ |　　ｌ
　 |　　| 　 ＼ｰ　　　 ‐／　　|　　|

PC初心者板にでも逝けや、馬鹿が

AAなんか貼っても携帯からじゃ見れません。
死ねクズ

マニュアルすら読もうとせず、脊髄反射で質問を繰り返す、
そんな香具師は、何時までたっても修復など出来るはずが無い。
仮に運良くリカバリーに成功したとしても、その後ネットに接続した段階で
Blasterかさっさに再度やられるのがオチだろう。
金出して販売店かメーカーに修復してもらえ。

リカバリはメーカーによってパソコンによってやり方が違うの。
うちのは２枚組で途中で入れ替えるよ。
そのへんは説明書に載ってるから
何が付属されてるのかとリカバリの方法をよく読んで。

取説通りにやって出来ないのなら修理に出せ

最近の携帯って改行できるのか？

すいません。説明書もちゃんと読みました。
ﾃﾞｨｽｸは付属じゃなく、ツールからCDRに焼いてそれを使用するのですが、
さっきも言ったようにシャットダウンで途中で切れてしまい
リカバリDISKが未完了のままなんです。
で、ﾃﾞｨｽｸを作成させようにもなにも出来ないのです。

メーカー行きしかないだろ

それが嫌だからここで聞いているんじゃないですか。
お願いします、そろそろ真面目に答えてください。

>>312
わかりました。サポートセンターに電話してみます。
ありがとうございました。

>>311
Remote Procedure Call(RPC)
これを、エラーが起こっても、再起動しないの設定にしな。
それだダメなら、修理行きだな。
http://www.geocities.co.jp/SiliconValley-SanJose/3220/XP-service.htm

>>311
何もしないに設定だ。

ありがとうございます。
ただ設定しようにもCDｰRを入れてリカバリの画面にする以外
なにも出来ないです。

>317
最初にリカバリディスク作っておかなかった己が悪い。
己の迂闊さを後悔しながら、メーカ修理に出して高いお布施払ってこい。

ウイルスのものです。
今メーカーのサポートセンターに問い合わせたところ
ウイルスが流行っているなどのアナウンスが流れて、
電話受け付けにつながるまで２分ほどかかりました。
そこで、リカバリDISKとアプリケーションのを買って9000円
ということで保証はきかないとのことでした。
発送は５日以内とのことでした。
質問に答えてくださったみなさまありがとうございました。
一応報告しときます。

この人また同じ目に会いそう、ルータはどうなってるんかな

ネット接続以前の問題だと思うぞ。
初心者でも最低限、自前のPCだったらマニュアルの確認（ｒｙ

>>319
リアルウイルスに感染していると思われ。

っていうか、どうやったら感染出来るんだろ？
ルーターとかPFWとか未だに導入してない人ばっかりなんすか？
それとも、そう言うレベルの話じゃないとか?

ADSLのときはATERMを使ってたので大丈夫でした。
つい昨日光にして、ウェブキャスターはまだ繋げなくていいや
と思って2分ほどネットにつなげたらかかってしまいました。
なので自分の不注意です。

ｱﾁｬｰ、それじゃだめだわ。
再セットアップする前にこのスレなりなんなり見て勉強しときなさい。

>>325
ありがとうございます。
次はルータもちゃんと使ってこのスレなどで紹介されてるような
ツールでも導入しようと思います。
それにしてもそんな簡単にウイルスにかかるとは思ってませんでした。

>>326
っていうか、復旧したら、まずはパッチあてろよ

>>327
サンキュー、早速穴の開いたジーンズにパッチ当てたよ。

パッチは>>11のサイトから落とせばいいんでしょうか？

しかし、>>7-12に詳しく書かれているのに
わざわざここで質問していくのが理解できない。
質問者はどういう脳の構造をしているんだ？

>>323
世の中意識が低いんですよ

正直ウイルスなんて、へんなサイト見たりメール送られたり
しないと感染しないと思った。

>>323
>ルーターとかPFWとか未だに導入してない人ばっかり

ご近所でその手の人でも大被害被った人と全く被害ゼロの人と
不思議と混在してるの訪問するサイトによって罹患率が異なるのかな

>>326

何はともあれ
Windowsupdateサイトに1週間に1度は訪問する癖をつけ
新たなパッチ無いか調べる（面倒なら自動updateをONにしておく）

ノートンなどなんでもいいから、ウィルスソフトとFWソフトが付いている
総合セキュリティーソフト導入し常駐させる（updateを忘れない）
金かけたくないなら、どっちもフリーソフトが存在するので、少なくてもそれを導入。

ルーターをかます。

メールもHTMLメールを送受信できなく設定
（理想はOEを使わなず、他ソフト導入。優秀なフリーソフトも存在する）

最低でもこれぐらいはやってくれ。

ルーターはなるべくセキュリティモデルを選ぶ。
OEでもいいから、プレビュー画面切る。

>>334
>ノートンなどなんでもいいから、ウィルスソフトとFWソフトが付いている

アンチウィルスソフトな　　ケアレスミスだろうけど、一応ツッコミいれとくｗ

まぁ、>>334が言っている事柄をやらない奴が多杉
してない輩はマジで実践しれ！！

どうせアホなんだから、感染してオロオロしていな！
ごみパケット飛ばして、ネットワークトラフィック増大させてんじゃないぞ。

>>337
おまいのその書き込みがごみパケットなんだよ

ﾜﾛﾀ

>>333
さっさーは訪問サイトとは無関係。
サイト感染するワームはニムダが有名。

>>334ｰ336
ありがとうございます。リカバリDISKが届いたらすぐにでもやります。

>>340
そうだったのか、つまり感染した人は運が悪かったってことなんね

>342
感染しなかった人はすご〜〜〜〜〜く運が良かったってこと

×→感染しなかった人はすご〜〜〜〜〜く運が良かったってこと
○→何の対策もせずに感染しなかった人はすご〜〜〜〜〜く運が良かったってこと

言葉が足りんかった

パッチ当てたらCPU使用率100%ｷﾀ━━━('A`)━━━!!
XPでもなるとは知らなかったZe

>>345
環境が糞なんだよ

sasserBとCの違いをスキャンツールなしで判断できない？

>>333
どうなんでしょ？
>>344なんだとは思うけど。
自分はセットアップの時は物理的にネットから切り離してるし
どうしてもネットに繋いでセットアップしたい時は
ボロだけどルーター繋いでやってる。

用心深くなったのはﾏﾝｷﾝ食ってからなんスけどね。
ｻｯｻｰに感染するより恥かしいよ・・・。＿|￣|○

サッサー凄い。
ファイアウォールなんもせんかったらネットに繋げた瞬間感染する。
さっきサッサーEに感染した。
Fとかもあるんだね。

現在、Windowsの修正バッチは定期的に毎月第２水曜日に配布される。
５月１２日（水）にも新しいのがアップされてる。
緊急を要するものは随時アップされるらしいけど、毎月第２水曜日にWindows Updateをかければ
いいんじゃないかな

そんなもん常識だろ

初物食いは腹を壊す…＞修正バッチ
人柱が立つのを待ちたい小心者…。

>>350 俺は月一回の配布を原則とするって言う今の方針に反対だなぁ。
昔のように、パッチは随時配布というようにしてほしいよ。
一月に一回に限定する意味がわからない。
随時配布でも管理上の問題なんて発生しないと思うが。

どうでもいいが、バッチじゃなくてパッチだろ

セーフモードでavserve.exeなどを削除したのに、 再起動させた瞬間落ちてまた再起動になるのはなぜだー！ avserve、avserve2、skynetave、lsasss、napatchの他に まだ消す項目があるのか？

キボンヌ
http://www.pandora.nu/tv/src/img20040514054822.jpg

まだ削除できてない所があると考えていいのかな…

誰か…一緒になやんでくれ…

とりあえず、おはよう。

>>358
駆除中はLANケーブル抜いてネットから隔離。
WindowsUPDATEは？？？
修正パッチ当てないとループになるよ。
PFWないなら駆除後XPのFWをオンにしてからネット繋いでWindowsUPDATE。

３５９さん、答えてくれてありがとう！携帯からなので読みにくいのが申し訳ないです。
ケーブルは抜いてやっています。
windowsUpdateをやろうと思っても、なぜか接続できず（もちろんケーブル繋いでます）
「削除し忘れたかな？」と思って、もう一回セーフモードにして
削除し忘れがないことを確認したあと、再起動したら、
今度はすぐに落ちて自動再起動のループなんです…

シャットダウンのダイアログが出たら
スタート→ファイル名を指定して実行
shutdown -a
と入力

３５９さんへ
最後の一行が何を言ってるのかさっぱりな俺を許してください

３６１さんへ！
ありがとうございます。今やってみようとしたんですがダメです。それをしようとするまえに落ちて再起動をされてしまいます。
セーフモードでは自動再起動されないので入力してみたのですが通常モードは相変わらずです…

>>363
セーフモードで、sfc /scannow

３６４さんへ！
ご協力ありがとうです！今sfc/scannowをファイル名を指定して実行に入力してみたのですが
「見つかりません。」と言われました…。
俺と同じ症状の人はいないのか…？
アドバイスどしどしお願いです！

半角英数でfscの後はスペースだよ

３６６さん、スイマセン！スペース忘れてました！
今入力したんですが…普通は窓か何か開くのでしょうか？俺のは何も起きないです…
通常モードも相変わらずすぐ落ちてしまいます。
どうなってんだ、パソコン！

>>367
「落ちる」とは具体的にどうなるの？
エラーメッセージ等を書いてください。

>>367
C:\WINDOWS\SYSTEM32\sfc.exe
これあるか？なければ、エラー表示になるだろうけど。

３６８さん、３６９さん、ありがとうございます！
今、システムの復元をした後に通常モードを開いたら自動再起動をすることはなくなりました！
そして、ネット接続もできるようになりました！
しかし…今度はwindows updateができないです…。「おい！」と言われそうなんですがマジなんです！
今度はupdateしようとしても「ソフトウェアの更新が不完全です」とでるのです。再試行してもダメです。俺は呪われているのでしょうか…涙

３６８さん！
落ちるってのは、なんの前触れもなく画面が真っ暗になってたのです。その後再起動が始まってました。
もし、俺と同じ症状の人がいたら、システムの復元をしてみてくださいね！

Sasser関係ねー（ｗ
ドライバが、逝ってたっぽいね

３７２さん！
ありがとうございます！ドライバのせいだったんですか…。
という事はサッサーとドライバの故障？が同時にきた俺はやはり呪われているのか…！
あとは！アップデートだけです！皆さん力を貸してくださいっ！
アドバイスどしどし待ってます！

ちなみに申し遅れましたが、俺はxp使ってます。
1日からネット接続ができなくなり、5日くらいから謎の「イキナリ再起動」が始まりました。
そんで、昨日ネットカフェでここを見たら俺のパソコンの症状が一緒だったので「駆除方法」をメモって、今に至るというわけです。
そんなんで2ちゃんねるはホントに便利だと今痛感してるとこです。そして、アップデートができなくて試行錯誤してます。

Sasserの欠陥を突く新たなワーム浮上
http://www.itmedia.co.jp/enterprise/0405/14/epc05.html

教えてくれないか？
例えば、再インストールしました。
で、アップデートするのでインターネットに繋ぎます。
で、感染します。
どうすればいいの？

火壁

>>376
再インストール前に落としておく

俺も聞いていいですか？
修正プログラムをセットアップしようとしたら、
「update.infの整合性を確認できませんでした。暗号化サービスが
このコンピュータで実行されていることを確認してください」と言われたです。

どーすればいいーんだーーーー！！

>>379
これが暗号化サービスだ。自動に設定しろ。
IPSEC　Services　

>>380
返答ありがとうございます！
しかし…すいません、ぐぐってみたのですがIPSEC　Servicesが
どこにあるのか、どう使えばいいのかわからないです。
ヒントをください！

PPTP

>>382
頼む…答えを…！！

>>383
382じゃないけど、”ファイル名を指定して実行”で　%SystemRoot%\system32\services.msc /sを入力
そしたらサービスが起動するのでIPSEC Policy Agentを選んで自動に変更、開始ボタンを押す。
だと思う。間違ってたらごめん。

ここは初心者質問スレでは無いと思ったのだが・・・

sasserに引っ掛かるような、普段からの心構えが出来ていないような馬鹿は
スレ＆板違いな質問を延々と繰り返す傾向にあるな。
さっさとPC初心者板にでも行けばいいのに

>>384
うっひょおおおおお！！ありがとおおお！！
よくわかりました！！センキュウ！！(´∀｀*)

>>385
確かに延々と質問すんのは悪いよ！
でもさ、このスレ見るやつって、今回のウイルスにかかったやつじゃん！
これからこのスレ初めて見るやつもいるだろうよ！
そいつらが一番欲しいのは、こんな症状が出ればこんな対処をすればいいとか、そういう
情報じゃねーんかな？？！
うっはー、眠すぎて意味わかんねー！ (つ∀-)ｵﾔｽﾐｰ ！！

>>385
ネットワークの仕組みなどわかっていないから、ポート開けっ放しでも全く平気なんだよな。
バカに付ける薬はありませんな。

>>386
寝る前にPFW入れろよ。

>>386　ハイテンションなレスにﾜﾛﾀ。

http://up.negi-ma.net/img/140.jpg

サッサーがニュースになって随分たつのに今更感染するやつっていったい？

今頃Blasterにかかるやつもﾜﾝｻｶ居る

漏れはサッサーどころかどんなウィルスにも感染したことが無いが
このスレを見ているけど・・・
なんでかっつーと感染したことが無いので症状もわからんし
どのくらい広がってるのかもわからんから。
あと自分の対策に穴が無いか確認の意味も含めて見てる。
感染者だけがこのスレを覗いてる訳ではないよという一例ね。

>>393
俺もその口だ。
極めて小心なセキュをやってる。
しかしな。必要と思われる情報や初めて経験した攻撃（防御はしている）の情報は、ウザイと思われてもうｐした。
そんな情報交換の場じゃないのかよ。
スレ読んでて思ったんだが、スレ勉してない奴もいるし、真剣に悩んで居る奴もいると思う。
彼らを同列に扱う（反応する）のは、正直どうだかと思うよ。

>>376
XPの場合、
1、再インストールする（このときLANケーブルは繋いではいけない）
2、XPのFWをONにする
3、その後、LANケーブルを繋ぎ、Updateする

今後の事もあるから、ルーターの購入をお勧めする。


LANケーブルを挿したままやると、無限ループに陥るので要注意。
ルーターを使用し（ルーターモデム含む）、かつ適切に設定してあれば、
この限りにあらず。というか、その場合は感染しない。

W2Kの場合（ルーターを使用していない場合）
1、どこかで対策CDなりパッチを入手しておく
2、再インストール（LANケーブルを繋いではいけない）
3、パッチをインストール
4、LANケーブルを挿し、最新のWindowsUpdateを実行

>>395
アホか？
ルーターなきゃ、ファイアーウォール入れとけばいいだけじゃねえかよ。

>>396
ないから感染してるんだろ？
そんな対策してるやつは感染しないよ。

>>396
そのファイアウォール入れてる間に感染するわアフォ。

>>396　がアホだと書こうとしたが先を越されてしまった。
みんな入力が速いなー。

>>396
…たたかれまくり…ｗ
ファイアーウォール入れてあっても、ソフトが立ち上がる前に感染ってあったよね。
ネットが先に繋がっちゃう場合。

やっぱsasserに感染するのはルータ無し組なのかな。

>>>393
漏れも同じ。
ウイルス付きメールすら来たとこがない。
たまにNISの２ｃｈ誤検出で…ああ、ちゃんとｶﾞﾝｶﾞｯﾃるんだなー…とｗ

>>397-399
まとめて、叩き直してやる。
今はルーターのダイヤルアップがほとんどだよな。
バカ以外は不要なポートは開けとかないから、感染しない。
モデムに直付けの奴は、PPPoE接続だから、ファイアーウォールが立ち上がる前に、ダイアルアップしてしまうなんてのは、有り得ないよな。
せっかくリカバリーしたのに、丸裸でネットに繋ぐようなアホは、いるわけないわな。ハハハハ、ばか者達。

会社の同僚がsasserに感染した個人のノートpcを会社のLANに接続したのですが
それで社内のｐｃ全部に感染するんですか？？

社内のPCがちゃんと対策してないと感染するねぇ。

ちなみにその後社内のネットやメールが一切つながらないのですが・・・

■SASSER対策要約
　★修正パッチMS04-011(KB835732)は適用ずみか？
　　→コントロールパネル→プログラム（アプリケーション）の追加と削除
　　→「ホットフィックス　KB835732」があれば適用ずみ。SASSERには
　　　　感染しない。
　★修正パッチ未適用（ルータがある場合、FWを導入している場合はただち
　　 にWindows Update を実行するだけでよい）
　　・XP：ケーブルを抜く→付属FWを有効に（>>201）→ケーブルを接続
　　　→Windows再起動→Windows Update→(MS04-011 = KB835732)適用
　　・2000：ケーブルを抜く→スタート→ファイル名を指定して実行→cmd→
　　これをコピペして１行ごとにリターン
　　　echo dcpromo > %systemroot%\debug\dcpromo.log リターン
　　attrib +R %systemroot%\debug\dcpromo.log　リターン
　　　→ケーブルを接続→Windows再起動→Windows Update実行
　　　→(MS04-011 = KB835732)適用

■情報リンク集
Sasser ワームについてのお知らせ(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
　　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

概要　>>7　関連リンク　>>8　感染動作分析　>>152
MSパッチの不具合　>>84　MSのチェック＆駆除ツール　>>11
MSのLSASS脆弱性回避法　>>92
XP付属ファイアウォールの使い方　>>201　ファイアウォールを入れよう　>>202

>>404
それは社内のサーバがやられたのではないかな。

>>402みたいな話、Blaster騒ぎの時出なかったっけ
LAN内にウイルスぶちまけて会社で村八分状態になったってやつ

どこかのニュースサイトだったような気もするが

sasserでサーバーやられるのですか？？一応スレを始めから全部読んだのですが
あまり会社とかで感染したとかの具体例がないもので・・・同僚が自分以上にｐｃ初心者
なんで（２ちゃんも知らなかった）　　

>>408
windows系のサーバならサッサーにやられます。

>>408
サーバーがやられているようなら、あなたの会社のパソコンはNT系は全滅です。

Server2003は感染しない。しかし鯖にどんなマシン使ってようと、
社内LANに接続しているマシンに感染が広がり始めたらシステム屋
は大慌てで鯖停止して、接続してるマシンにパッチ当てようとする。

ルータで感染に使われるポートを閉じればいい>>7わけだが、ルータ
が社内LAN鯖の外側にしかない（内側はスイッチングハブ）という
ような状況では鯖停止しかないか…

しかし>>404の会社は酷いねぇ。
流行りだしてから一週間以上経つのにね。
管理者はえらいこっちゃで。

まじっすか！？自分もスレ汚しなくらい初心者なんすけど、最悪の場合はサーバーが
sasserにやられるとどーなるんすかね？？会社のpｃ全体がsasserに感染するのでしょうか？？
？？

あんたの会社のLAN構成がわからんから何ともいえん。
まぁ、対策してない端末がサーバに繋がってたらアウトでつ。

とりあえず自分が使うPCにはPFW入れとけ。

みなさん　本気でありがとう！！明日もうちと会社のＬAN詳しく調べて相談したいとおもいます。　
その時はマジまたくだらない質問に答えてください！！！できないなりにがんばってみます！

ウイルスに初めて感染しました。
Windowsｱｯﾌﾟﾃﾞｰﾄをすればサッサーに感染しないのが自動的に
入るのでしょうか？

>>417
卵より鶏の方が先だろ？

Windowsアップデートをしているか、ファイアウォールをつけているか、
どちらか1つでもしていれば感染しないはずだが、してない人が多いのかね。
もっとも去年のMSBlastに比べると、Sasserは明らかに感染者が少ない。
アップデートのことを知っている人は増えているとは思う。

XPではアップデートのありかがちょっと判りにくいかもしれない。
「すべてのプログラム」の一番上に「Windows Update」とあるけど、
英語だし、ここをめったに開かない人も多いと思う。
「スタート」の右側あたりに指定席を作ってあって、赤いアイコンで
「Windowsの重要な更新」とか書いてあれば、初めて買った人でも
何だろうと思ってちょっと触ってみるのではないか。

あと、IEの「ツール」メニューの3番目にも「Windows Update」があるね。
これもちょっと目立ちにくいか。

XPのSP2ではセキュリティ・センターというのが作られるそうだけど、
これもコントロールパネルにアイコンが置かれるぐらいかな？
SP2ではWindowsの自動更新がデフォルトになるようだし、FWが標準で
ONにされるからだいぶ安心だろうけど。

パソコン買って２ヵ月だけど感染して初めて、
Updateがそういうためにあるとわかった。

>>421
( ﾟ∀ﾟ)ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ ＼ / ＼/ ＼

>>421
２ヶ月で気付いたあんたはエライ。ガンガレ。

>>421
２ヶ月でネラーなあんたは・・・。

すみません、ルータが無い場合の応急処置として
ＸＰ標準のＦＷで関連ポートを手動で閉じておけば
大丈夫ですか？

安いルータでも買えば済む話なのに、わざわざFWインスコして
メモリ喰ってる香具師の気が知れません。
なぜでしょうか？

>>426
１）ルータではトロイやスパイの侵入を防止できない
２）ルータではトロイやスパイに入り込まれたときに中
から外への不審な通信を遮断できない。（FW機能の
入った非常に高価なルータならできる場合もあるがｗ）
３）XPのおまけFWは中→外の通信をフィルタできない。

というわけで知識のあるユーザーはZone Alarm、Outpost、
Kerioのようなフリーで高機能なFWを利用する。

ちなみに、シマンテックのNIS付属のFWは激重なうえに
単独でアンイストできず他のFWが使えない。ノートン買う
ならNAVが吉。

>>427
XPのSP2のファイアウォールは中→外もフィルタできるようになるらしい
けどね。

>>422
笑わないでくり。
>>423
ありがとうございます。
NTTのｳｪﾌﾞｷｬｽﾀｰっていう最初についてたルータがあるんですけど、
それを繋げてUPdateでもすれば万全でしょうか？
部屋に電話線がないから廊下からケーブル引かないといけないので、
めんどくさがって繋げなかったら感染
しちゃいますた。

>>426
漏れは、モバイル用PCにいれてるんだ。
ルータは、電車の中で電源取れない
あと、ルータにPHSや携帯電話にも接続できてつかえるのってあまりないしね

>>427
内→外って書いてくれない？

>>430
フリーのでいいからファイアウォール導入したらいいよ

445いっぱいきてるねぇ

うちは445一回も記録されてない。
プロバイダで遮断してくれてるのかね？
そのかわり2745がいっぱいきてる。

>>434
禿同。Y!BBじゃない？

いや、昨日からＢフレッシ
しかし、つないでいるだけで感染とは随分なやつだなぁ

漏れのところも445には全然来ないな、
@niftyなんだが・・・

あのぉ、今更なんですが、修正パッチ(ＸＰ用)を当てたら、
ウィンドウズログオン時などに不具合がでるんですが、
どう対処すればいいんでしょうか？

マイクロソフトはずっと静観のままですかね？

>>429
　　　　　　　　　　　　　　　　　　　　　　　　　/　＼
( ~∀~)ｱﾊﾊﾉヽﾉヽﾉ ＼ / ＼/ ＼／　＼ ／　　 　＼　（改良版）

それはそうと、フラットケーブル使えばドアの隙間から引き込めるぞ。

＞部屋に電話線がないから廊下からケーブル引かないといけないので
こう言う時、隙間だらけのボロ家だと好都合だな、こいつ↓の家とか。

フスマ越しにケーブル引いてますが、何か？

>>441
フスマ・・・・・・・・・ '`,､'`,､'`,､'`,､(´∀｀) '`,､'`,､'`,､'`,､

フスマとサッサーの関係について一言↓

Sasserはフスマで防ぐことができる。

>>444をテンプレに追加きぼんｗ

>>444
な、なんだってー！（AA略

>>441
伝統的日本家屋が、ネットの無い時代から既にそこまで見通していたとは知らなかった。
日本文化を見直した。
これからは、襖をルータ代わりに活用するよ。

やたらUDPパケットが飛んで来るなぁ

スマソ。
今んとこ、Dabberかどうだかワケワカメなんだが。
自分と同じプロバのヤシからのDoS酷くねか？
もうね、イイ加減にしろと。
ISPにも責任あるんじゃないのか？

>>449
プロバイダにログ出して、文句言ったら、警告ぐらいしてもらえるはず。

■SASSER対策要約
　★修正パッチMS04-011(KB835732)は適用ずみか？
　　→コントロールパネル→プログラム（アプリケーション）の追加と削除
　　→「ホットフィックス　KB835732」があれば適用ずみ。SASSERには
　　　　感染しない。
　★修正パッチ未適用（ルータがある場合、FWを導入している場合はただち
　　 にWindows Update を実行するだけでよい）
　　・XP：ケーブルを抜く→付属FWを有効に（>>201）→ケーブルを接続
　　　→Windows再起動→Windows Update→(MS04-011 = KB835732)適用
　　・2000：ケーブルを抜く→スタート→ファイル名を指定して実行→cmd→
　　これをコピペして１行ごとにリターン
　　　echo dcpromo > %systemroot%\debug\dcpromo.log リターン
　　attrib +R %systemroot%\debug\dcpromo.log　リターン
　　　→ケーブルを接続→Windows再起動→Windows Update実行
　　　→(MS04-011 = KB835732)適用

■情報リンク集
Sasser ワームについてのお知らせ(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
　　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

概要　>>7　関連リンク　>>8　感染動作分析　>>152
MSパッチの不具合　>>84　MSのチェック＆駆除ツール　>>11
MSのLSASS脆弱性回避法　>>92
XP付属ファイアウォールの使い方　>>201　ファイアウォールを入れよう　>>202

Bﾌﾚｯｼ開通初日に感染しますた（´Д｀）
駆除してうｐだてして何とか回復。
ルータ繋ぐか…

>>450
449です。
アドバイス、マジありがと。
でもさ、悔しいじゃんか他力本願はよ。自分で解決できないと。
断わっとくけど、決してISPのエンジニアをバカにしてる訳じゃないよ。
テメーの領分やテリトリーは、テメーでオトシマエ付けたいだけなんだ。
そこで、ここの住民からの情報と俺の稚拙かも知れない情報で、なんとか解決したかった訳さ。
それにISPのサポセンが必ずしも充実しているとは言えないと思うぞ。
何処ぞは電話で受け付けてはいるが、実質核心部には触れさせない誘導尋問型のプログラム応答しかしてくれない。
ISPさえ信頼性に疑問がある以上、ここでお伺いするしか俺には思いつかなかった。

>>452
おれと全くおんなじだ。
光があまりに嬉しくて使ってたらすぐに感染しちまった。

ルーター付けてるけど、アップデート中に自動で電源落ちるよ。
で、また再インストールして、念のためHDDのチェックをオンにして再起動。
で、チェックが始まる。数分後HDDが悶えた音を出している。
２時間後、固まっていた。完全にHDDが死んでしまいました。
現在新しいHDDに付け替えて、再インストールして、ネット接続は待機しています。
ちなみに今書き込んでいるのはMac。
ルーターのログを見ると３分置きにあやしい接続が来ていて、ウザい・・・

>>420

>FWが標準で
>ONにされるからだいぶ安心だろうけど。

いきなりな質問で申し訳ないけど、
NISやバスターのFWを使ってる場合は、
SP２をインスコしてもXP付属のFWはそのままOFF設定のままになる？
ちなみにOSはXPhomeでNIS２００３を入れてます。

>>456
自分は実際にSP2のRC1を入れている訳ではないので、判りません。
Windows板のSP2スレで質問してみては。
http://pc5.2ch.net/test/read.cgi/win/1084012604/l50

>>452,454
光やCATVの場合、インフラ等ハード面は別として実質的に専用線接続と同じ状態だよ。
リンクが確立している時点で、ワームがPCへの接続口（レイヤ１）までスキャンしていると考えておいた方が無難だよ。
これはYahooBBモデムの場合にも言えると思う。ルータとモデムのリンクが確立している段階で、攻撃は来ているよ。
FWを先ず入れてPC立ち上げてからネットに入ったら？
ルータを噛ませていても、ポートを塞いでなきゃ感染する。
>>401,427が正解だよ。

・新規PC購入者数十万（年間1千万台のうち半分が個人として）
既存XPユーザー1300万（約）のうち
・光への参入者十万、
・フレッツADSL＆YBB参入者、20万程度？
このあたりが、毎月の予備軍だな。
あ、Welchiaの感染者12.31終了組もかな。

>>458
401のような日本語も不自由な煽りレスのどこが正解なのか
理解に苦しむが。

>>460 = >>397-399のどれか
クックックッ

>>460
俺には、401は煽りとは考えられなかった。
饒舌ではあるかも知れないが、手順としては正解。
TCP/IPの認証やネゴを参照したら？
それにさ、今度のsasserはダブルバックドア（先行侵入用と本体導入用）を仕込むよ。
更にさぁ、駆除してもその残骸を踏んでDoS掛けるワームに頭が痛いんだよ！
言葉尻取らないで、知恵を貸してくれよ、ったく！

ルータ越えのアタックも実際にはあってるって。サブネット掛けてもスルーだって。
万が一、おんなじＬＡＮだと認証しちまったらどーすんのかよ？？？
第３オクテットまで一致してたら、業務用のセキュギチギチのお高いモンしかテーブル用意できないって。
漏れみたいなヤシは、一人でやってっから高機能ルータやレイヤ３スイッチ買えないの！
判りる?
被害に遭ってからじゃ遅いって。。。

C:\WINDOWS\system32\lsass.exeは状態ｺｰﾄﾞ1073741819で突然終了しました｡
WINDOWSをｼｬｯﾄﾀﾞｳﾝします


こういうメッセージが出て勝手に再起動されるんですが、ｻｯｻｰと見て間違いないでせうか・・ｼｮﾎﾞﾝﾇ

>>463
その通り。

>>464
レスありがとうございます
ああ、やはり・・
質問スレで、それｻｯｻｰじゃないのか、と教えていただいたので、こっちに来てみたのですが、案の定でした・・
svchost.exeがﾌﾟﾛｾｽに大量発生するのもｻｯｻｰのせいなのでしょうか・・

質問スレでもご指摘いただいたのですが、ｳｪﾙﾁｱというウイルスの症状に似てるから、まさか同時感染か！？
とｶﾞｸﾌﾞﾙなのですが・・

せめてｻｯｻｰだけであってくれ・・ﾊﾌﾝ

>>465
っていうか、ウェルチアに今時感染してたら、アフォかって事になるぞ？
update最後にやったの何時だ？

>>466
アップデートはやってたのですが・・

すみません自業自得ですね・・
無知は罪だ・・

ネットに繋げないのでググる事もできず、何とか無い頭をフル回転させて考えたのですが、

1、知り合いのPCから駆除ツールをフロッピーかCDRに落としてくる

2、セーフモードだと強制終了されないようなので、ｾｰﾌﾓｰﾄﾞで駆除ツール起動

3、テンプレにある手順で状況をチェック

でいいでしょうか・・？
何とか勉強だと思ってｶﾞﾝｶﾞﾘたいと思います

■SASSER対策要約
　★修正パッチMS04-011(KB835732)は適用ずみか？
　　→コントロールパネル→プログラム（アプリケーション）の追加と削除
　　→「ホットフィックス　KB835732」があれば適用ずみ。SASSERには
　　　　感染しない。
　★修正パッチ未適用（ルータがある場合、FWを導入している場合はただち
　　 にWindows Update を実行するだけでよい）
　　・XP：ケーブルを抜く→付属FWを有効に（>>201）→ケーブルを接続
　　　→Windows再起動→Windows Update→(MS04-011 = KB835732)適用
　　・2000：ケーブルを抜く→スタート→ファイル名を指定して実行→cmd→
　　これをコピペして１行ごとにリターン
　　　echo dcpromo > %systemroot%\debug\dcpromo.log リターン
　　attrib +R %systemroot%\debug\dcpromo.log　リターン
　　　→ケーブルを接続→Windows再起動→Windows Update実行
　　　→(MS04-011 = KB835732)適用

■情報リンク集
Sasser ワームについてのお知らせ(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
　http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
　　　http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

概要　>>7　関連リンク　>>8　感染動作分析　>>152
MSパッチの不具合　>>84　MSのチェック＆駆除ツール　>>11
MSのLSASS脆弱性回避法　>>92
XP付属ファイアウォールの使い方　>>201　ファイアウォールを入れよう　>>202

ぐ・・
パッチを適用してないと駆除ツールが検知してくれないんですね・・

>>10
の手動駆除にチャレンジしてみるしかないのか・・

>>467
上手くいったか？

>>470
やりました・・
手動で削除→駆除ツールで駆除→オンラインスキャン
のコンボで何とかなったみたいです・・

PCから書き込めてます。
皆さんのおかげですありがとうございました。
これからはアップデートを怠らないようにします。。
重ね重ねお礼申し上げます

>>471
おめ！

>>471
お(･∀･)め(･∀･)で(･∀･)と(･∀･)う！

週刊アスキーで日本では100件の感染報告と書いてありましたがソースだせやゴラ。
どこに報告されたやつだっての。

Sasserに感染しました。
症状からして確実にSasserなんですが、NAVでも検出されないしどうしよう。
パッチを当てたいのですが、パッチを当てるとCPUを占有されてしまいます。
WindowsのHPにある回避策もだめでした。
パッチよりSasserを飼っていた方がコンピュータが動くだけまだましなんですが。

>>474
IPAに決まってるだろ

>>475

>>468
でもみて頑張ってみましょう。

>475
win２０００か？

>>478
いえ、Win２　　　０　０ ０です

>>477
Ipsecは無効にしてあるし、他に何をしてよいのか分からないので、
パッチが当てられないんです。

>>10の↓の記述で
４．%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認

%SystemRoot%\system32 32\dumprep 0-u
があったんですが、これを消去すればいいんでしょうか？
他には見当たりません。
XPです。
ログみて書かれたと売りにやってるんですが、やはり再起動しても
MSのチェック＆駆除ツールで感染してないとでても
何かのこってるようで駆除できませんでした。　

>>481
シマンテック愛用者なら目を通しておいた方がイイと思うけど。

http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html

>>482
ﾀﾝｷｭ。
意外とこんなトコ見落とすんだよねｗ
反省してるぽ。

>>481
10 だが、
| >>10の↓の記述で
| ４．%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
|
| %SystemRoot%\system32 32\dumprep 0-u
| があったんですが、これを消去すればいいんでしょうか？

なに言ってんだか、わけワカメ（ｗ　リカバリかな？

>>478
そうです。

ところで誰だよ、479は。
勝手に訳わかんないレスつけやがって。

>>484
消すのは拡張子が.exeのもの
新型が徐々に出回っているから、駆除方法が少し違うかもよ。

自分のPCは、MEなのですが
友達のがXPでサッサーに感染したみたく
強制再起動を繰り返してupdateも駆除ツールもインストールできない状態です。
友人はド素人で助けを求めてくるんですが、自分も素人でよくわかりません。
どのタイプのサッサーに感染してるかもわからないし。

駆除ツールをCD-Rに焼くのがベストでしょうか？？

MS純正ツールをFDにでも入れて持って行ったら？
Sasser (A-F) Worm Removal Tool (KB841720)
http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en

>>488
レスありがとうございます。
それを友人のPCにインストールすればOKですか？
SAFEモードではなくて通常時に？

>>489
まぁそんなもん

OSは、XP Home Edition
症状は、sasserと、似ていると思うんだけど。

以前、Windows Updateをしたときに、不安定になったので、システムの復元で
2ヶ月くらい前に戻してから、インターネットに接続中に再起動のカウントダウン・・。
regeditのRUNのところも調べたけど、特に問題なし。
ノートンのシステムの完全スキャンでも異常なし。
マイクロソフトのホームページの診断ツールでも問題なし。
どっかの会社のSasser (A-F) 試しました。

Sasserの亜種だと思うけど、もう思いつくところなし。
Windows Updateもできなくなってしまった。
タ・ス・ケ・テ。。
俺、ダイヤルアップなんだけど・・。

>>491
Blasterも試して来い

>>492
了解！！

>>491
>>152

>>491
ブラスタもいなければlsass.exeなどシステムファイルのどれかが
壊れている可能性もある。修復インストールを試してみ。

ttp://www.itmedia.co.jp/anchordesk/articles/0405/20/news059.html
↑のコラム、「Isass.exeの欠陥」と書いてあるんだが、「lsass.exe」で
いいんだよね？ 原文も「lsass.exe」になっているんだが…。

Local Security Authority Subsystem Serviceの略だからlsassでＯＫ

アイサッサー

騒ぎも既に忘れ去られて落ち着き始めてきたな

ぬるぽ

>>496
なるほど。

話は違うが、最近のgoogleの「公共広告」とやらﾊｹﾞｼｸうざい。

第三世界独裁者の親類が高給取ってふんぞりかえっている
ユニセフだの赤軍勧誘員辻元プロデュースのピースボートだの
の宣伝をなんで拝見しなきゃならん？

googleも株公開でアドウェア化の余寒。

>>501
話が変わるにもほどがあるぞ

>>501
藻舞、アホ?　ソリともｳﾞｧｶ?　若しくは池沼?
ｸﾞｸﾞﾙ変な動きないぽ。。。

第一よ、サッサの動き監視してんのかよ!!

>>503
ぐぐってないのか字が読めないのか…

サッサの置き土産バックドアのリサイクル現実味があると思われ。

>>500
ガッ

金鳥はブラスタほど大騒ぎにはならなかったようだな。

金鳥の夏、日本の夏

最近AGOBOTのパケットがやたらと増えてきたな

うん
また全体的に増えてきた

アゴボット？

作った奴らが重なってたんだっけ？　最新の顎はｶﾅｰﾘ悪質のようだ。

>>512
ttp://internet.watch.impress.co.jp/cda/news/2004/05/10/3039.html

>>511
ttp://internet.watch.impress.co.jp/www/article/2003/0408/agobot.htm

>>512
最新の顎の特徴を教えてくれ、ｽﾏｿ。
アクセス状況や何処の国のIPかなんかでも良い。

先週、閉鎖LANのなかでSasserがのさばって大混乱。
管理者は、ユーザーの誰か
バカがメール添付踏んだかFDでも持ち込んだに違いない
って言って、犯人探しして
るけど…
Sasserって、ファイル経由でも感染するの？

>>515
Worm_AGOBOT.SK←ここらあたりの亜種が悪質
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.SK
詳細情報見てみ。セキュソフトを停止する、セキュサイトへ
の接続を妨害する、システムモニタソフトを削除する、など大暴れ。
((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

>>517
515です。有難う ﾉｼ

>>516
感染動作は>>152だから、故意でなければファイル経由というのは
考えにくいね。閉鎖LANが閉鎖でなかったというオチか。シス管は
自分のせいじゃないことにしたくて必死なんじゃないのｗ

>>519
やっぱりファイルじゃ感染しませんよねぇ。
コンピュータに詳しいユーザーが少ない部門と思って
管理者にナメられてる気配。
管理不行き届きがバレたら始末書減俸は必至だから、
管理者必死だな。
このまま「持ち込みFDが感染源と思われるが
犯人特定は不可能」なんてお茶にごし報告書を
出してくるようなら、こちらもちょっと対応を考えないと。

>>520
ファイル感染はまずないよ。
ICMPスキャンから感染動作を始める。スレ読んでみて。

>>520
そういうのは、感染ノートパソの持込が原因ていうのがこれまでの
常識だったと思ったが。誰かが私有ノート持ち込んでないかい。

>>517
こいつにヤラれると他の亜種を呼び込んで、
その亜種がサーバーになってさらに他の亜種を呼び込む。
そんでそのままｲﾊﾟｰｲ飼育してると、ものすごい量の
パケット吐きまくりで、まともにネットが出来なくなるよ。
ルーターが熱暴走するくらいすごい。

>>520
「バカがメール添付踏んだか」と言ってるわけだから、
外部からのメールを受信できるってことで、閉鎖LANじゃないのでは…
早いとこﾋﾞｰｸにしたほうが良さそうな管理者だなｗ

>>520
無線LANなんか引いて無いだろうね?

>>522
その可能性はある。ただその場合でも、ファイル感染ではない罠。
sassarがファイル感染するなんて主張してる管理者はﾋﾞｰｸにした
ほうがよさげ。

スタコラサッサ

さっきからウイルスバスターの警告がポップアップしまくりだよ。
MS04-011　マイクロソフトウインドウズ　が悪さしようとしたので
頑張って防いでいるんだそうだ。

わけわからないんで調べたら、サッカーというウイルスなのね。

うちのPCは感染してないみたいだからいいけど、
ポップアップをなんとかしたい・・・

ひーずファイヤー！

>528
それってただのwindows update じゃねーの

２、３週間前にウイルスに感染したものですが、
今日やっとリカバリDISKが届きました！！
リカバリ→ルータを繋ぐ→UPDATEでおＫですか？

>>531
馬鹿杉

>>530

これはネットワークウイルスの攻撃なのだ　と
ウイルスバスターが主張していますです。

ポップアップに載ってるリンクです。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=MS04-011_MICROSOFT_WINDOWS

リカバリしたらノートンというのがあったのですが、
速度が遅くなったりデメリットはありますか？

あ、それうちにもありました。
しばらくすると無くなりますよ。

XP homeを使用していますが、先日からsasserの症状が現れました。
で、マイクロソフトのＨＰ
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
を参照して駆除を試みましたが avserve.exe 等のファイルが見つからずできませんでした。

また、シマンテックのＨＰ
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
を参照して駆除ツールを使用したけどウイルスは not found でした。

sasserの症状は今も続いているためwindows updateもできていません。
私の症状は感染よりも>>495のようにシステムファイルが破損してる可能性の方が高いのでしょうか？

>>537
可能性として言うなら



高い。

4月27日あたりにサッサー感染したものですが、
ＦＷオンにしてアップデートしたら５時間程繋げてても
全く感染しなくなりました！
質問に答えてくださった方々ありがとうございます。
それとＰＣ買ってから３ヵ月なのに、アップデートしようとしたら
必要なものが２０ほどありました。
これからはアップデート毎週一回やろうと思います。。

>>539
マメにやってくれ ﾉｼ
俺の加入しているプロバを使っている連中も、おまいさんみたいにガンガッテくれると良いんだが。
放置プレイで、撒き散らしてる香具師が大杉。

一応ﾎｼｭ

>>540 禿同。
本人たちには、その自覚が無い(と思われ)のが痛杉。

W32.Korgo.F
発見日: 2004年6月1日 (米国時間)
http://www.symantec.com/region/jp/sarcj/data/w/w32.korgo.f.html
W32.Korgo.F は、W32.Korgo.E のマイナーな亜種です。このワームは、TCP ポート 445 で Microsoft Windows
LSASS のバッファ・オーバーランの脆弱性 [マイクロソフト セキュリティ情報 MS04-011 参照] (BID 10108) を
悪用することで拡散し、TCP ポート 113/3067 にバックドアを開くワームです。

また中途半端なもの引っ張ってきたな

念のためヽ(ﾟ∀ﾟ)ﾉﾎｼｭ

こっちも参考にしてみてね
http://pc5.2ch.net/test/read.cgi/sec/1065964513/l50

スタコラサッサage

よっしゃーーーーーーー！！！！！！！
やっと駆除、更新完了した＝＝＝＝＝＝＝＝＝−！！
オラ、チンカスサッサー、よくも今まで再起動しまくってくれたな。
だが、時代は変わった。おめーの妨害工作なんて、もうきかねーんだよ。
ウェーッハッハッハッハッハッハ！！！無駄無駄無駄無駄無駄無駄ｧｯｯｯｯｯｯｯ!!!!

>>548
禿げ乙　ｖ（＾。＾）

念のため保守ｱｯﾋｬｯﾋｬ!ヽ(ﾟ∀ﾟ)ﾉｱｯﾋｬｯﾋｬ!

ほしゅ。

サッサーって、Korgoファミリに席巻されて影がうすくなったねぇ
本日も Korgo感染/攻撃のマシンが２台ほど新規参戦ｗ

リカバリするマシンがあとをたたないので、攻撃もあとをたたない様相でつ。

某公共施設のＰＣがくりかえし Sasser に感染するという今や珍しい現象を観察していた。

そのＰＣは再起動すると、どんなに変更が加えられても、一定の初期状態にもどるようになっている。
接続環境は、ＣＡＴＶを利用したものでモトローラのケーブルモデムを介して１台のＰＣが接続されている。

しばらく起動していると、とつぜんおなじみの「カウントダウン」（60秒前から）がでて、再起動。
この現象がエンドレスで続く。いちおう職員には教えてやった。

対策としては、何がいいだろう。
１．「一定の初期状態」を Windows修正パッチ（MS04-011等）があたった状態に設定する
２．ブロードバンドルーターを介在させる

職員には、１の方をアドバイスしたが、２の方がいいだろうと、いま思っている。

３．お前は余計なことをしなくて良い

>>554
今週末に行ってみると まだエンドレスのまま、に １０００ぬるぽ

よく掲示板とかで「感染しますた」＜「ルーター使え」というパターンがある。
回答側の者としてルーター単体の動作確認をしてみたことがないので、バッファロー
（メルコから社名変更、無線LAN脆弱性は放置でヤバイらしいｗ）の安いのを買ってみた。
説明書でいろいろ書かれているけど、そのままつないでオッケーなのを確認した。
週末には、ルーターかかえて「某公共施設」に乗り込んでみようか。ｗ

>>557
ぶっちゃけ余計なお世話だと思われるが、対処方ならルータがベストだろうね。
安いし今後の問題の対処にもなる。

>>556
１０００ぬるぽー だった...OTL

どうすれば感染するのかおしえて。開放してるのに全然こない

>>560
プロバイダがパケット叩き落していれば待っても来ないぉ。

「接続環境は、ＣＡＴＶを利用したもの」というところがミソだね。
単純な LAN だから、世間では衰退したウィルスでも、ローカルなところで、
パッチあててないマシンがあると、それらがウィルスの感染/攻撃をくりかえし、
リカバリしたてとか新規購入マシンが参戦して、古いウィルスを LAN の中で
温存していることになる。

yahoobbはパケット叩き落してる?

>>563
ヤフの一般的な業務は7-10営業日以上仕事貯めるくせに
ワームは出現後比較的早い段階から叩き落してる。

>>564
どのように叩き落してる？　port No.?

>>559
こんど週末に行ってみると、
まだエンドレスのまま、に １００００ぬるぽ
「故障中」の張り紙、に ２０００ぬるぽ

セーフモードですら立ち上がらなくなりました。
こういう場合ってそのHDDを他のパソコンに繋げて
駆除ソフト使うのって有効なんですかね？

>>567
スレちがいだけど…　ひまだから、お応えしましょう。

そのHDDを現状保存するのは、まことに適切。
あらたにHDDを購入して、ﾌｫｰﾏｯﾄ & OS インストールをしましょう。
「駆除ソフト」で対処するのは、それらのコピーをしたものでおこなうこと。
あ、それらの作業はネットワークにつながないでおこなってください。

>>566
２０００ぬるぽ　だった _|￣|●

ぬるぽしゅ！

未だに感染したまま気付かない香具師が結構いるのな
久々にルーターのログ見たらかなりの数弾いてたよ

という訳で一応保守しとくべ

さぁて、２０００ぬるぽ　のところは、まだ「張り紙」かね？

>>572
やっとこさパッチあてたことを確認。ｗ　MS04-025 まで
症状でていながら、こんな基本的なことをするのに１ヵ月あまりを要す。

こっちのスレも日記職人が保守してくれてる。てかこっちのほうが老舗だけどｗ
Blasterスレ　part5
http://pc5.2ch.net/test/read.cgi/sec/1065964513/

感染しました ヽ(`д´；)/　

>>575
とりあえずビール…ぢゃなくてぇ、その「検体」を確保しましょう。

Sasser作者が就職したらしいんだけど、どーなんだろ？

作者がセキュリティ企業に就職じゃ、もう「亜種」とか出ないのかなぁ…

Sasser　来ませんね

なんだかよく分かりませんが、MS04-032 の修正前の脆弱性をねらったものが
でてくるようですね。

TCP/445のアクセスが急増したけど，おまえらどう？

新しい亜種くらったかも？ってな感じで会社がちょいと騒がしいくなってるんだが、ご飯はおいしいです。

>>582
喰らったのか・・・．詳細よろすこ．

>>582
亜種とかの話あるけど、いつものアレだよｗ　ｸﾛｰｽﾞﾄﾞﾈｯﾄﾜｰｸの中でｸﾞﾙｸﾞﾙ…
ご飯は、んまい！

俺、管理者じゃねえから、妙な仕事させられないよう、
ガン無視決め込んでるから、実際何がどうなってんのかワカンネ。
管理者の人が「トレンドマイクロ社からの返信待ちだぁ」とか言って煙草吸ってたところ、
エロい人が「休んでないでネット早く直せ！」って激昂してるところは目撃した。
そんなこんなで今日もご飯はおいしいです。

げへへへへ。パターンファイル更新で万事解決らしいぜ。
サッサじゃなかったらしい、とか今更言ってみるぜ、ぐへへへへ。

このところ sasser 系は、見ません。

でかい会社のパッチ当ててないLANにつないだWinXpSp1のPCたちが、突然リブートしたりするんだけど
やっぱ、Sasserかな?
バスターCorp(最新エンジン・最新パターン)では、なにも検知しないのですよ

>>588
デカくはない会社であっても、マシンの不審な動作についてネットワークから
切り離してその動作確認をするでしょう、ふつう。
でかい会社で、「動作検証マシン」とかの大儀で、パッチ当てないマシンを
平然とネットワークにつなげてネットワーク攻撃をしているような開発セクション
を放任している会社は、今期も営業赤字になり業界からそしてユーザーから
淘汰されていくでしょう。

良スレほしゅ

まだ Sasser くるような人いる？

先ほど同じラボのヒトがsassarを喰らいました。
んで echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
を行ったところ、ネットにつながらなくなった模様です。

OSはw2kでネットワークにはPCカードのスロットから無線LANを介して外につながっています。

なにか情報はあるでしょうか？

どうよ

ほっしゅ

いまどき、よっぽどアレなＰＣでなければ、Sasser に感染は無いでしょ

今年も よろしこ

保守

セーフモードでも再起動カウントダウン始まるんですけどどうすればいいの？
タスクマネージャーやスタートメニューも出せないしなぁ。。

>>598
リカバリして、ルータかまして接続してください。

その後、いかがでしょうか？

ほしゅ６０１

以前問題を起こし続けていた某自治体の Windows 2000 マシン、
まだ sasser で再起動してるのかなぁ．．．

パソコンがウイルスもらったぽ、で、調べたらサッサーの症状が。
サッサー駆除ソフトをシマソテックとマイクロソフトからダウンロードしたら感染してませんとのこと。
次の日‥なぜかネットつなげなくなったー―――orz
漏れはどうしたら‥‥教えてくださいエロい人。。

>>604
その今や貴重となった状況を、そのままにして大切に保存しておきましょう。
新しいハードディスクに入れ替えて、リカバリまたは OS のインストールを
すると、とてもイイことがめぐってくるかもしれません。

ひさしぶりに、またアクセスあり。
リカバリして、そのままネットワーク接続のマシンだヨ。ｗ

このところ、新しいものなのか、なにか変なアクセスがあります。はい

SASSERなんですが、いまさらですが、
感染すると即発病でしょうか？
シマンテックでは発症のタイミング: n/aとありますが、
どういうことですか？

>>1

http://bb.watch.impress.co.jp/cda/news/11800.html
@niftyの「常時安全セキュリティ24」、不具合で1,518名がSasserに感染

http://www.nifty.co.jp/cs/05shimo/detail/051115000548/1.htm
「常時安全セキュリティ24」利用者38,197名中、1,518名にて自己実行型ワームウイルス
「Sasser（サッサー）」の感染が判明。また、感染が判明した利用者以外でも、2,717名が、
ウイルスの感染活動を受けた形跡があることが判明。

いまどきsasserに感染するようなユーザーにも問題があると思うが
どうなんだろう。1年以上WindowsUpdateもせず、Nifの盾の内側だからと
ウイルス対策ソフトも入れず（入れても更新して無かったとか）

この件に関しては、Nifに同情してしまう漏れ。

>>610
＞この時間帯に、もともとSasserに感染していたと想定されるサービス利用者のPCから、
＞他のサービス利用者のPCへの感染活動が行なわれたという

なんだかなぁ、とは思う。

この件で感染した奴はやっぱりニフティのサービスは必要だろｗ

感染するとすぐ発病だよね？

niftyユーザーには1,518名もバカがいたって事か。
いっその事、再起不能にされちまえばいいのによ。
どうせ、他の脆弱性を利用するウィルスに遅かれ早かれ感染するだろうよ。

「ぁゃιぃ ファイルは開かないからセキュリティソフト(ﾟ�听)ｲﾗﾈ」
ってヤツが感染してるんだろうね。

Today+&rf&rus&rian&ras&ra&rn&r+Dinner

LAN内にSasserにかかったパソコンが1台あって
迷惑しています。
そのMAC address/IPがわかっているのですが
場所や持ち主はわかりません・・・・・
ポート445/5554などはふさいだので、
セグメント外には被害はありません。

他のパソコンからSasserを止めたりすることは
可能ですか?

スタコラサッサー

2000ならsasser対策はしなくていいの？
再起動になるだけだろ？
ブラクラと同じ程度の害しかならないよな？
シャットダウンまで:00:00:30
っていうダイアログは2000が出してるんだろ？

こんなスレからはスタコラサッサだぜぃ