'code red'wormに続きw32/sircam

'code red'worm
webserver buffer vulnerability
'code red'worm distribution
distributed dos attack

w32/sircam
opens file
writes text until disk
space is gone
SirC32.exe
patch:pandasecurity.com

日本報道遅すぎだ…
サミットや将棋倒し、アホなFNS27時間テレビなんて
どっちでもええちゅーに！

2001-07-23
■破壊的な「W32.Sircam」警告／ウィルス対策ソフト各社
　ウィルス対策ソフト各社はこのほど、ウインドウズに感染する破壊的なワーム「W32.Sircam.Worm@mm」の被害報告が急増していると警告した。このワームは独自のSMTPエンジンを持ち、感染するとランダムなドキュメントを埋め込んだ大量のメールを勝手に送信したり、Cドライブのすべてのファイルとディレクトリを削除したりする。また、ワーム本体にハードドライブからランダムなドキュメントを付加して外部に送信し、秘密情報を漏らす可能性がある。
　このワームが添付されたメールの件名はランダムで、添付ファイル名と同じ。メッセージ本文は半ランダムだが、メッセージの最初と最後には英語またはスペイン語の文章が書かれている。英語の場合は1行目が「Hi! How are you?」、最終行が「See you later. Thanks」となっている。メールに加え、共有ドライブを探して自分自身を複製することで広がっている。

　ワームに感染すると、毎年10月16日に20分の1の確率でCドライブのすべてのファイルとフォルダを削除するほか、33分の1の確率でハードディスクの残りのスペースをテキストで埋めてしまう。

　このワームは「ごみ箱」フォルダ（RECYCLE BINフォルダ）に潜むため、通常の走査では検出されない。ウィルス対策ソフト各社は同ワームに対応する定義ファイルを用意するとともに、ごみ箱フォルダを走査対象に含めるよう勧めている。

[シマンテックの情報]
http://www.symantec.com/region/jp/news/year01/010723.html
[マカフィーの情報]
http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SirCam@MM&a=S
[トレンドマイクロの情報]
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_SIRCAM.A

（Mainichi　Dailymail　Internet）

俺のパソコンにもこのウィルス来やがった。
まぁ、開かなかったけどな。

以下がメールの内容。
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
そして、添付ファイルがMeals.doc.inkの２重拡張子。
怪しすぎ。
hanabi以来のウィルス到着にちょっと嬉しかったりして・・

サーカム

だれかウイルスうｐしてくれ

>>5
まだウィルスが添付されたメール取ってあるが、
うｐするか？

今までの経験上、連休明けの会社でメールを開いた人から一気に
感染が広まることくらい予測できたはず。日曜日のうちに
ニュースで注意を呼び掛けていればよかったのに。

兎に角　感染されたと思われるドメイン元？うｐ希望。
メッセージルールでハネたい。
さらし者にはるが、この際ヨシ。
とりあえず。[email protected]

このワームのメールの Content-Type は、次のようになっています。
これでゴミ箱行きに設定すればいいでしょう。

Content-Type: multipart/mixed; boundary="----********_Outlook_Express_message_boundary"
(******** はランダムな英数字8文字)

感染するのは個人のパソコン１台１台のことだから、
ドメインがどうとかは関係ない。

はぁ〜〜〜？？

漏れも今日出社してメール見たらいきなり来てたよ　（ﾟдﾟlll)
これってごみ箱に貯めずに直接捨てちゃえば大丈夫なんかな････
ちょっと今までのと挙動違う気がしたから　上げとく

と思ったらまた着てるよ　　(汗;;
同じ奴なんだけど、これってやばく無いか?
送信サーバ実装してるらしいけど、ループ防止してないのか！！！
勘弁してくれよもう、、、メールサーバー飛ぶじゃ無いかなこれ

しかも、１通 200KB以上のメールなのでウザイ

一度このウイルス見てみたかったんです
良かったらメアドまで送ってください

>>14
ウィルス付きメール取ってあるぜ。送ろうか？
ちなみに送り主は
[email protected]
たぶん外人だろう。なんで俺のアドレス知ってんだ？？

送ってください

おいおい、まさか送ってやる奴はいないよな

今回のはヤバすぎだよ、
WIN9X系では絶対開いちゃだめだよ

16の人って、なんかコワイ

>>18
なんで？

オレも>>8と全く同じメアドから二重拡張子のファイル付メールが来てた。
即Sircamとわかったんで開かずに削除したけど、[email protected]
なんてしらん。
全く知らない送信元からウイルスが飛んでくるってのが怖いな。

うｐ希望
メアド晒してもいいが、俺のって証明できんし、物が物だし。

サラシもんにする気はないが、とっととWeb上で謝るべきと思うがなぁ。
Webより
社名 株式会社 許斐
住所 〒107-0052 東京都港区赤坂1-11-36
電話 03-3505-5461
FAX 03-3505-5464
E-Mail [email protected]
資本金 払込資本 1,000万円
授権資本 2,400万円
設立年月日 1983年 7月 11日
事業内容 日本国外または国内への長期投融資仲介業務
役員 代表取締役社長 許斐勝夫
従業員数 6名

IEのキャッシュファイルからもメアド抽出して送るらしいんで
いつも行ってるサイトの管理人に迷惑かけまくり

いつもわけわからんDM送ってくる韓国のDM業者からも送られてきた
さいあく

以前、ソフトの違法コピーで訴えられた司法試験予備校から
http://www.zdnet.co.jp/news/0004/19/bsa.html

〜〜〜〜〜
拝啓　時下益々ご清祥のこととお慶び申し上げます。
平素は当社、ＬＥＣ東京リーガルマインドをご利用頂きまして誠にありがとうございます。

さて、本日正午、弊社内ネットワークの一部が、新種のウィルスに感染していることが判明しました。
これは、今月１８日に新たに発見された新種のウィルス
「Ｗ３２／Ｓｉｒｃａｍ（サーカム）」というものです。
※　W32/Sircamに関する情報：http://www.ipa.go.jp/security/topics/sircam.html

したがいまして、２００１年７月１８日前後から本日までの間に
貴殿にお送りしたメールは、このウィルスに感染している可能性があります。
既にサーカム対策をおとりいただいている方もいらっしゃるものとは思いますが、
まだおとりいただいていない場合には、
下記のとおり早急にご処置をおとりいただきますよう、お願い申し上げます。

１．まず、感染したメールのタイトルには、意味不明の文字が羅列されています。
　　万一そのようなメールを受け取った場合は、添付ファイルを開かずにそのまま削除願います。

２．万一、添付ファイルを開いてしまった方は、
　　下記URLにある駆除ツールをダウンロード後、実行してください。
http://www.symantec.com/region/jp/news/year01/010723.html
(株式会社シマンテック社プレスセンター）

まずは取り急ぎ、お詫び方々、ウィルス対策をおとりいただきますよう、
お願い申し上げる次第です。

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　敬　具

***************************************************
LEC東京リーガルマインド　インターネット事業本部
新宿区下落合1-6-9　卓謙ビル
http://www.lec-jp.com
E-mail:[email protected]
***************************************************

Code Redといい、Sircamといい、無駄なトラフィックが・・・

時限爆弾式「最悪ウイルス」の被害広がる
2001 年 7月 24日

--------------------------------------------------------------------------------

感染したパソコンのデータを１０月１６日に一斉に破壊してしまう、時限爆弾のようなコンピューターウイルスが日本に上陸し、被害を広げている。“潜伏期間中”にもパソコン内部の文書を外部へ無作為に流出させるウイルスで、自己増殖で拡大し、すでに大手オフィス用品通販会社や個人など被害件数が１００件を超えている。専門家は「従来の有害な機能を巧みに組み合わせた最悪のウイルス」と注意を呼びかけている。

ウイルスは「ＳｉｒＣａｍ（サーカム）」と呼ばれ、今月中旬、米国で発見された。２４日現在、ウイルス対策ソフト会社「トレンドマイクロ」（東京都）の「危険なウイルストップ１０」の１位にランクされている。

ウイルスは「Ｈｉ　Ｈｏｗ　ａｒｅ　ｙｏｕ？」などで始まる電子メール文書の添付ファイルとして送られ、開くと感染する。パソコンが社内ネットワークでつながっていると、全パソコンに感染が拡大する。パソコン内にある内部文書に自分のコピーを埋め込んで自己増殖し、添付ファイルの形でパソコンに記録されているすべてのメールアドレスに次々と送信する。１０月１６日になると、感染したパソコンの内部データが一斉に破壊されるよう仕組まれている。

被害にあった通販会社では、今月２０日に顧客から１台のパソコンにメールが送られてきた。

添付ファイルは普通の文書のように見えたため、従業員が疑わずに開いたところ、すぐに感染。結局、ネットワークでつながった５台のパソコンに侵入し、駆除されるまでの約１日間で推定１８０件の感染メールを外部へ送信した。

同社は以前から全パソコンにウイルス対策ソフトを導入し、頻繁に更新していたが、新種のため防御できなかった。

ウイルス対策ソフト会社などでは、サーカムは発見・駆除しにくいため、「とにかく不審な電子メールの添付ファイルは開かないように」と注意を呼びかけている。

いろんなファイルが送られてきて愉快だなオイ
ファイルはキレイに
ウイルス部分＋ファイル部分
に分かれるんだけど、この分かれ目が何バイト目かっていうのはファイルの種類に
よって違うみたいだな。
調べる方法知ってるヤツ教えて。

>>29
1個目の拡張子と同じファイルの先頭数バイト調べて
バイナリエディタで検索だな

このスレッド　参照

http://ton.2ch.net/test/read.cgi?bbs=sec&key=995941035&ls=50

うちも、[email protected] から来てたです。
ここの mail.konomi.co.jp というサーバが利用されたのかも？

こっちはファイルサイズは、１．４メガもあったぜ。なんで？？
同じく２重拡張子 ???.zip.pif だったかなぁ。

今回のメールって、あの通販ショップ サクセスから漏れた顧客情報が
利用されたのとは違うの？
俺も、サクセスを利用していたから、多分漏れた。

>32
サーカムはアドレス帳のほか、インターネットキャッシュファイルにある
ＨＴＭＬのなかから、メアドを抜き出して独自にリストを作ります。
サクセス関係なし

１０月１６日って誰の誕生日？ペーさん？

＞３３
それは知ってるけど、[email protected] なんて知らないし
俺のメアドは、何処にも乗せていない、本メアド宛だったよ。
勿論、ＢＢＳにも書いた事など無い。
サクセスでは、知らせて居たけどね。

>>32
参照したzipファイルが大きかったからウィルス部分を被せると、
1.4MBになっただけでは？

>>34
ベタやけどウィルス製作者とか？

07/24（火）　メール

巷で大流行中のワームウイルスが送られてきた。対策は万全だし、そもそも怪しげな添付ファイル付きのメールは開かないので何ら被害はなかったが、念のためということで各種チェックをするなど、余計な手間をかけさせられて不愉快。不愉快と言えば、i-mode宛の出会い系サイト宣伝メールが最近一段と増えてきたので、指定アドレス以外は着信拒否にした。こないだはメインＰＣの接続環境をケーブルネットにしたら、普段使ってるニフティのメール送信ができなくなったし、どうも最近はメール関係のトラブルが多い。

サイトの管理人は大変です

メールボックス使用量が99%になっていた。
威力業務妨害で訴えたい気分。(ウィルス作者とヴァカ初心者を)

>>49
シマンテックのページに駆除ツールがあるよ。
でもネットに繋いだら、君が発信者になっちゃうね。
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

>>40↑すれ違いすまそ。

今んとこ完全に削除しきれてないみたい(TechTV)

重複スレの削除依頼出したった（ｗ
三日遅れはボケすぎ…

>>32 35
http://www.konomi.co.jp
E-Mail [email protected]
株式会社 許斐は、１９８３年に許斐 勝夫（このみ まさお）により設立され、
日本を中心に国際間の長期投融資の促進を図るインターナショナル・
インベストメント・バンキング・サービスを提供しています。
ココに聞けば？つーか苦情逝ってよし。

個人的にも蔓延している模様・・

prodigy.net.mxとかkeio.ac.jpからも送られてきてる。

中には日本語「○○社長様.doc.pif」なんて添付ファイルもありました。

俺も感染してた。直したケド…
ロリータ画像がいっしょに持ってかれてるとヤバイ。

plala.or.jp
interq.or.jp
neweb.ne.jp
dti.ne.jp

とかのプロバイダドメインからも送られて来た・・
こりゃ被害は甚大かな・・

この手のメールが来たら手当たり次第に忠告レスしまくってるけど・・

どっかにも書いたけどハイブリスの時もだけどまったくウイルスこねぇ･･･
出会い系サイトとか自分のメアド晒せば来るかな･･･。

使って下さい。



大変重要なお知らせです。

あなたのアドレスから
「xxxxxxxxx.doc.pif」という添付ファイルとともに
下記のようなメールが送られて来ました

> From: "xxxxxxxx"<[email protected]>
> Date: Thu, 26 Jul 2001 11:09:48 JST
> To: [email protected]
> Subject: xxxxxxxxx
>
> Hi! How are you?
>
> I send you this file in order to have your advice
>
> See you later. Thanks

被害を最小限にとどめるべく
早急に対処して下さい

２ちゃんセキュリティ板の関連スレ
↓↓↓↓↓↓
http://ton.2ch.net/test/read.cgi?bbs=sec&key=995726416&ls=50

symantec社のサイト
↓↓↓↓↓↓
http://www.symantec.com/region/jp/

ウィルス情報の詳細はコチラ
↓↓↓↓↓↓
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

駆除ツールはコチラ
↓↓↓↓↓↓
http://www.symantec.com/region/jp/news/year01/010723.html

2ちゃんのアドレスはいらんような・・・（ｗ

SirCam送りつけたい相手がいるので、是非誰かうpしれ

↑アホ発見。
嫌がらせしたいだけなら他のでもいいだろ。

添付ファイルなしの、このメールはいたずらなんだろうか…？
アンチウィルスソフト反応しなかったし。

>>49
これはよいね。メーラーから送信されるわけじゃないので
気づいてないおバカは結構いそうだ。

届いた添付ファイル名も書いてやれば、相手もびっくりしてくれる。
今までに届いたウィルス入りメールを見ると、
給与明細.xls
管理職規定.doc
○○名簿.doc
などなど、外部に見られたらマズそうなファイル名がいっぱいで楽しい。
中身を読めなくても、ファイル名が
○○会社提携契約.doc
とかになっていれば、それだけで会社の機密が漏れる。

メールサーバに変なログが残ってた。。。
そうかもしれないし、ちがうかも、、

不動産会社から
害虫駆除.doc
なるファイル入りのサーカムが届いた。(藁
お宅のパソコンのウィルスを駆除しろ〜

某大学から来たよ、サーカム。もう2通もきてる。まだくるのか・・・。
馬鹿学生にはパソコン使わせるな。腹立たしい！

サーカムのソースコードを教えてください

履歴書，ラブレター，クレジットカード番号――SirCamは何でも暴露する
http://www.zdnet.co.jp/news/0107/24/e_sircam.html

バレたらマズいんじゃない？──SirCamは何でも暴露する（国内編）
http://www.zdnet.co.jp/news/0107/25/sircam2.html

滋賀県庁からサーカム付きメール受け取った人居ませんか？

ウィルスバスター、検出はしてくれるんだけど駆除してくれないから
元ファイル開けないのよ。方法ないかなあ

>>55
ネエネエ、それアップしてよ（ｗ

タダでさえ不安定な98/SE/Meなのに
更に不安定…
XPは再インストかなり制限されるようだし
95に戻すか？（ｗ

あっ、俺友達いないから
Outlookに送信先ねえんだ(^^；

なんだかみんな、楽しそう。
外人からしか来ないし、しかも英語圏はまれだから文字化けってんの。

>>65
アドレス帳は関係ないよ。
過去に見たHPにメールアドレスがのっていればそれに送信するから。
だから「かなりやっかい」な代物なの。

2001-07-27

■盛岡、宇都宮、長野にもSircamウイルス
　今月17日に発見された新種のコンピューターウイルス「W32/Sircam（サーカム）」の感染が25日、盛岡商工会議所（斎藤育夫会頭）のパソコンで確認された。このウイルスに感染すると、アドレス帳などに登録している人たちに、自分のパソコンのハードディスク内のファイルを勝手に送信する。個人情報がメール登録者にもれるだけでなく、受信した側のハードディスクの空き容量を埋めてしまうことが考えられるという。
　盛岡商議所では25日朝、感染を確認。発見前に所内の他のパソコンにファイル添付のメールが送信されたため、所内の半数以上のパソコンが感染した。情報処理振興事業協会（村岡茂生理事長）セキュリティーセンターによると、21日に初めて届け出があり、26日までに100件以上が確認されている。感染力が強く危険なウイルスとみて警戒している。

　同協会へのコンピューターウイルスに関する届け出は99年3645件、00年1万1109件で、今年はすでに9569件が報告されている。

　一方、宇都宮市広報課のパソコンもSircamに感染していることが26日、明らかになった。同課は25日に駆除作業を行い、庁内の他のパソコンなどには影響はないという。

　同課によると、Sircamは24日午前10時ごろ、「日本水道協会」が発信元のメール2通に添付されていた。25日朝、受信元から感染を指摘され、駆除を行った。感染した広報課のパソコンからは、約20通の感染メールが届けられているが、被害はなかったという。

　サーカムは今月18日、アメリカで初めて被害が確認された。日本語、英語、スペイン語など数バージョンがあり、被害は全世界に広がっている。

　また、長野県庁にも24日夕、Sircamに感染した大量の電子メールが届いた。受信メールを駆除したため、被害はなかったが、外部感染を防ぐため、県は25日午前9時から4時間にわたってメールの送信を停止した。県情報政策課によると、25日正午までに県庁の52課に102通のメールが届いた。

（Mainichi　Shimbun）

毎日新聞ってイマイチインターネットを理解してない？

Sircamは単なるウィルスではなく
アホ学生やエロ会社員への警告だな（ｗ

とりあえず
インターネットオプション＞ファイルの削除＞履歴のクリア
マメにやってりゃ大丈夫？

えっ、日本語もう出てるの？
Sofmapで売ってくれなないかな（ｗ

今までsircamが送ってくれた文書。

契約書
見積書
発注書
とある製品の仕様書(某社開発部)
台湾の宗教団体の会報
取引先社長へのFAX
カナダに住んでいる日本人が英語で書いた日記
メキシコ人の履歴書
パンダのgif画像(zip書庫)
安室奈美恵の記事スクラップ
飲み会の案内
地獄変 芥川龍之介 (青空文庫 http://www.aozora.gr.jp/ で公開のzip書庫）
他、意味不明のエクセルファイルが数個。

>>70
エロ画像はzipで固めてないかぎり流出しないぞ。

米はIT関連大リストラ中だからなあ…
実は結構シマンテック自身開発してたりしてぇっ(^^；

ソースみましたが、デルファイで書いてあります

受信したても添付ファイルをダブルクリックしないように

じゃ、一日於いたら開いてもいいのか？
大丈夫か頭。

「置いて」だろう？人のこと言えないじゃん。揚げ足とるなよ。

ネタだろうがぁ
そらすなYO
いったい何日なんだ？

×したても
○しても
だろ馬鹿

sircamが届いたアドレスのお客様に警告メールしたら
そんなメール出してないと叱られた…
鬱だ…

私信用のどこでも公表してないメアドに見知らぬ人からSirCam入りの
メールが届いた。
どこかで晒されてるのかな？

>>80
sircamは自身でsmtpもってるから、出してない発言は
通用しない。逆切れかましてやれ！
>>81
だからぁ、、ｱﾄﾞﾚｽﾊﾀﾞﾚｶが知ってるんだろう？

>>75
Outlook Express ですが、添付ファイルはダブルクリックできません。
選択画面しか出ないのですが、どうすればﾀﾞﾌﾞﾙｸﾘｸできますか。

>>78
ソース読んでないから知らないし、何も逸らしていない。

>>83
リストにされてるメールをダブルクリックして、添付ファイルをデスクトップに
ドラグ＆ドロップしたらダブルクリックできるだろ。

粘着揚げ足取りばっかでしょうもな。

やっぱりアドレス集めてる奴(会社)が送信してる可能性が有るのかな？
精神衛生に悪い。

>>80
お客さんがウィルス感染して、自動的に送信された可能性があるって
ちゃんと言った？

80さんが悪い人なら、CIHでも送り返してやろう。
80さんが良い人なら、トロイを仕込んで遠隔操作してウィルス駆除してあげよう(ﾜﾗ

>>80
自分は>>49のお手本を参考に、感染お知らせメールを送ったら、
感謝された。2chマンセー。

俺は殺られるほどやわなセキュリティじゃないぜ（ﾜﾗ

危険なCGIがいっぱい

http://000.zive.net
(危険保管庫)

Name: 000.zive.net
Address: 202.212.180.132

Name: st0132.nas911.matsue.nttpc.ne.jp
Address: 202.212.180.132
Aliases: 132.180.212.202.in-addr.arpa

危険なCGIがいっぱい

http://000.zive.net
(危険保管庫)

ハイハイ、危険なCGIなんて無いから。
もしかしてDUKEのこと言ってるの？まさかね

>>74
ソースなんて公開されてねーよ。ﾊﾞｶ

win2000でOutlook Expressだが、受信しただけなら平気だよね？

Win2000では感染しないそうです。

>>93
74ではないが、

大した機能が組み込まれていないウィルスなのに、あのファイルサイズは
Delphiで作った疑い濃厚ですな〜

サーカムの同じメッセージで別物が届いた…変異？

■コード・レッド活動再燃の恐れ／8月1日は要注意　米FBIが警告
　米連邦捜査局の（FBI）の米国家インフラ保護センター（NIPC）は29日（米国時間）、マイクロソフトのウェブ・サーバー・ソフト「IIS」に感染するワーム「コード・レッド」が、米東部夏時間7月31日午後8時（日本時間8月1日午前9時）に再び活動を再開する恐れがあるとの警告を発した。NIPCはIISユーザーに対し、直ちにセキュリティ修正パッチを当てるよう呼びかけている。
　コード・レッドは7月19日に発見されたワームで、感染すると次の標的を求めてIPアドレスを走査し、セキュリティ欠陥をもつIISサーバーを見つけて自己増殖する。7月19日には、感染したサーバーを踏み台としてホワイトハウスのサーバーに分散サービス拒否（DDoS）攻撃を仕掛けたが、ホワイトハウスはIPアドレスを変更して攻撃を回避した。

　NIPCは、コード・レッドが突然変異して、活動再開時には危険度が増している可能性があると警告。感染が拡大すると、頻繁にIPアドレスを走査することでトラフィックが増加し、企業や個人による電子商取引や電子メール、エンタテインメントといったインターネットの利用が一時不能になる恐れもある。

[NIPCの警告]
http://www.nipc.gov/warnings/alerts/2001/01-016.htm

（Mainichi　DailyMail　Internet）

データ送受信妨害する「ワーム」１日にまん延と警告
　米政府とコンピューター業界は30日、インターネットのデータ送受信を妨害する「コード・レッド」と呼ばれる新型ワームが米東部時間31日午後8時（日本時間8月1日午前9時）に世界にまん延する恐れがあるとする警告を共同で出した。ワームはウイルスと異なりユーザーがメールを開いたりしなくても感染し、爆発的な勢いで広まるため、マイクロソフトの予防ソフトで直ちに対策をとるよう呼びかけている。
　「コード・レッド」はネットのデータのやりとりを管理するサーバーに侵入し、送受信の渋滞を引き起こす。19日に米国でホワイトハウスのサーバーが被害を受け、9時間で25万台のサーバーに感染したことが確認されている。米国家情報インフラ保護センターによると、ワームに組み込まれた時計により、31日に一斉に感染が再開する見通しだ。被害を食い止めるには、いったんコンピューターの電源を切るしかない。予防ソフト使用法の詳細を示すホームページは以下の通り。http://www.digitalisland.net/codered/

>>98-99
うるさいなー、リンク先だけ貼りゃいいじゃん！

>>100
俺様がCATVでTechTV見ながらチンポ立てて立てたスレだ…
おめーこそ、うるせえ！

今日はCoadRed来なかったな〜。せっかくＩＩＳを使ってるヤツらを
嘲笑おうと思ってたのに。

つまらん。

台湾ドメインの奴がしつこくsircam送って来る。
早く感染に気づいて欲しいんだが。
とりあえず、受信拒否リストに加えておいた。

誰かsircam警告文(英語版)を作ってアプしてくれー

http://www.excite.co.jp/world/text/
ここでやれ！
どこかのセキュリティサイトで紹介していたが、忘れたわい。

>>104
そんないい加減なｳﾞｧｶ訳、あてにできるかっ！

***** VIRUS ALERT! *****

I received a computer virus from your e-mail address.

> Hi! How are you?
>
> I send you this file in order to have your advice
>
> See you later. Thanks

If a e-mail body contains such text, its appending file is the virus 'W32/sircam'.

It seems that your computer infected with 'W32/sircam'.

Please visit this web site.
http://www.sarc.com/avcenter/venc/data/[email protected]

CoadRed　来ねぇなあと思ってたらやっと来だした。何だか嬉しい。
今晩がヤマか？
adsl-63-205-115-199.dsl.lsan03.pacbell.net - - [01/Aug/2001:21:15:31 +0900] "GET /default.ida?

うちも来だしたよ。うれしいなぁ。
162.105.177.30 - - [01/Aug/2001:21:14:57 +0900] "GET /default.ida?

皆さん誤解しているかもしれませんけど、基本的にこのウイルスが送られてきたメールアドレスは実際のものとは違うようですよ。
だから、どこどこから送られてきた、と騒いでも無意味ですよ。

正確には感染者のメールアドレスとは違う、という事みたいです。

>>109-110
うっそん！　あまりに同じ奴から来るから、返信しちゃった。

CoadRedの話でもりあげてんのに変なこというんじゃねぇ！
何がメールアドレスだ！（藁

CoadRedの話されてもね。どうせならCodeRedの話にしてくれないか？

もりあがってまいりました。

とりあえず、CodeRedはこれぐらいだ。
212.188.31.221
61.72.51.30
211.116.41.169
141.150.202.235
206.8.81.97
212.1.148.201
61.218.157.179
194.165.225.59
195.181.148.130
4.41.35.61
209.26.105.2
12.40.51.204
64.219.216.106
216.196.251.126
12.40.86.92
61.127.11.90
62.41.134.142
12.99.26.44
203.239.60.228
65.0.117.85
64.56.166.245
216.115.241.11
202.104.117.37
193.8.140.198

CodeRedウゼー
昨日の夜からアタック増えたヨ…

>>109は嘘。
IPやPCの名前、添付ドキュメントの作成者を照合すると、
感染者自身のアドレスだとわかる。

同じ人から4.7MBと2.8MBのSIRCAM2通来た

クラック EVERYDAY PEOPLE
http://people.site.ne.jp/

なんでこんなに楽しい時期に夏休みするんだよ〜〜〜。

code redのスペルチェックしろ（藁
しかも思いっきりスレ違い

ネタがわからんのか？
時期同じくして皆兄弟とｲｳｺﾄﾃﾞ

ｽﾏｿ、でも「協同広告」ってなにさ？

会社の管理者にcode redって何？って聞いたら
シマンテックの w32/sircam 案内のリンクを教えて頂きました。
丁重に削除の仕方まで。こんな管理者に一言どうぞ。

「オー人事、オー人事」

>>123-124
ﾜﾛﾀ

くらぁ！浅田飴！　しっかりせんか。！
svho01.asadaame.co.jp - - [02/Aug/2001:21:23:57 +0900] "GET /default.ida?

まだ売れてんの？飴。


ところで、特定のWebサイトがIISやらapacheやら検索チェックしてくれるサイトがあったはずだが、失念したのでおしえてくださいまし。

WEBサーバーの種類知りたいだけなら
HEADでも送ったらどうか。ダメなとこもあるけど。

>>126
http://uptime.netcraft.com/

>>128 ありがと〜

CodeRedって１時間毎に行動するの？
ログ見ると０分＋−５分辺りに集中してるんだけど。

これ迄CodeRedと思われるリクエストは全て
GET /default.ida?NNNNNNNNNNNNNNNNNN〜
だったんだけど、PM8:30から急に
GET /default.ida?XXXXXXXXXXXXXX〜
に成ったよ・・・変種発動？

８：３０から既に３０件程来たけど、ぱっと見で解る日本人らしきIPは
zaq3d73b257.zaq.ne.jp - - [04/Aug/2001:20:30:18 +0900]
hcc3d73d5a5.bai.ne.jp - - [04/Aug/2001:21:33:14 +0900]
の二つ。　どうにかしれ

この期に及んで、IISが止まるだの、変だのと某ニューズグループへ
管理者さんからとおもわれる質問が多いのですが、何か一言。
msnews.microsoft.com

ZAQ下のIPからやたらCodeRed来るから [email protected] 宛に
御社からのCode Redアタックが多発しています。
LOG列挙
上記の会員、主に〜〜への警告もしくはポート封鎖等の対処をお
願いします。
て出しちった。

俺もNethomeに出してやろうかな

うちにはhome.comからが大量に…。
caドメインesドメインhuドメイン。どこよ？(^^;

>>133
>>134
どんどん出せー。
って書いてるうちにまた来た．．． ウチもZAQだ。（ｗ
1回/3分くらいの割合だな、こりゃ。

>>135
ca→カナダ
es→スペイン
hu→ハンガリー

あまりにも，哀れなので感染者にはコンソールメッセージを送ってあげました．
果たして気付いてくれるのやら…

NからXになって変わったところ。default.idaってファイルを実際に置いてみた。
Nではエラーコードが400でエラーで返しているけど、Xで来たヤツは200だった、とりあえずエラーコード気に入らなかったのでヨシとしてやる。
ついでにウインドウオープンで他のファイルを開けるようにしたんだけど。
(default.ida)
<HTML>
<HEAD>
<SCRIPT LANGUAGE="VBScript">
<!--
Sub window_onLoad()
window.window.location.href = "open.htm"
end sub
-->
</SCRIPT>
<TITLE>New Page</TITLE>
</HEAD>
<BODY>
</BODY>
</HTML>

open.htm
<html>

<head>
<meta http-equiv="Content-Type"
content="text/html; charset=x-sjis">
<meta name="GENERATOR" content="Microsoft FrontPage Express 2.0">
<title>CodeRED</title>
</head>

<body bgcolor="#FFFFFF">

<form method="POST">
<p align="center"><textarea name="S1" rows="8" cols="113">It is committed by CodeRED. Please do not send a packet to me. Management is random. Please intercept a power supply.

http://www.eeye.com/html/Research/Tools/codered.html</textarea></p>
</form>
</body>
</html>

これって相手の画面に出るのかしら？
Apacheからだと旨くいくのだが。

漏れの自作ポートスキャン、空いてるポート見つけたら
逝ってくれ×65535回送る様にしてんだけど、
「逝ってくれ」の代わりに「CodeRedに感染してるよん」て
送ったら気付いて貰えるかな

>>139
WormがIE使ってアクセスしてくると思ってる？

コンソールメッセージってもしかしてNT4.0だと使えんの？
なんか，半分以上のpingの通るコンピュータに弾かれる．

１４１
アホIISだからIEが「おれ呼んでる？」って 開いてくんないかな？と思ってさ。

毎分１６０ぐらいくる

>>140
それ作ってくれ。たのむ。
ついでに、テキストエリアに改行で入れたIPに順番にやってくれるようにして、送るテキストも自分で編集できるようにすれば完璧だ！！

そうだね、
少しはIISのアホ仕様はほっといても、アポ管理者を助ける手だても
いるのでは？と感じた。楽観視もいいが、これほどLogの肥大化と
ほったらかし管理者に（中にはずっときがつかない）注意ぐらい自動化
したいね。
強制コメント出すとか、（CRTとかoffだとだめだな）電源落とすとか(^_^;)
こっちがクラックしてるみたいだけど、やむ終えないでしょう。
アクセスされたらIIS停止させるヤツイイｶﾓね。

どこで見かけたんだったか…。
「ヘンな添付ファイル付のメールが来ました。開いてみたらウィルス
だったみたいです。感染しちゃったかもしれません」という書き込みを
していたヴァカがいた。
もちろんサーカム。
いや、書き込みする前に駆除対策をしろよって思った。
ウィルスに感染しても目立った症状が出てないから大丈夫、と思ってる
らしい。
お前からメール届いて迷惑してんだよ！

ダウソさせるのいいね。
ログに「くたばれクソ管理者！！」とのこしてダウソさせよう。
いくらクソ管理者でもダウソしたらログぐらい見るだろう。
とにかくクソ管理者をどうにかしよう。
つーか、クソ管理者がいなくなればIISなんてなくなると思われ。

IISを停止させられる様なセキュリティホールってあるの？

コードレッドで最初にこられると止まってるぜ、IIS。
でも、よそへはクラックに出てるんだ。
>>148
ダメです、IIS管理者からlogはどこへあるんですか？と聞かれました。
笑うどころか、くしゃみが出たわい。

VBSとかでコンソールメッセージを返すこととかできんの？
Messengerサービス止めていたら意味無いけど…

>>150
止まってるとは？
クソアクセスがきたページも見れるが何か？

>>152
おりが、くそ管理者の相談をうけて最初に確認したのは、
インデックスサーバーの状態にもよるが、最初に感染する場合
IISが止まる　＞　はて？　とアホがIISのコンソールから
開始ボタンを押す。
普通にうごいてんで感心無し。これへいきおいidaが来ても今度は
止まらない。普通にIISでのページがみれるんだよ。
最初の止まった時点で　情報収集すればぁなって思った。
だから150の見られたページってのは、止まった感染済みIISを
アホがそのまま起動したにすぎない。

そうなのか・・・

>>154
ウイルスサイトの対処方法にはIISの再起動だけで直るって書いてたから
普通は停止しないけど、IISが停止する亜種もあるって事じゃないのかな？

ZAQから返信が来た。。。
どうも問い合わせが多いらしく、意味不明の定型文らしき物が
返ってきた。。。んー

>　調査にあたり、実際にアクセスのあったサイトのURLとその時間やIPアドレス
>等の詳細な最新ログ等を頂けないと調査の術がございません。
>つきましては調査に必要な詳細なログ等をお手数ですが、再度ご返信頂けな
>いでしょうか。

とあったのですが、ISPってWWW鯖の稼働ログ等の他に、
各ユーザのセッションを細かく記録しているのでしょうか？
知らなかった。。怖い怖い

>>157
ISP はどの時間、どのユーザにどの IP アドレスを割り振っていたか
ちゃんと記録しています（従量制課金の場合はこのログをもとに課金します）。
SPAM を送った馬鹿野郎なんかの調査も、このログとメールの
Received ヘッダを突き合わせて犯人を特定します。

逆に言うと、IP アドレスから個人情報を特定するには、このログが
ないと不可能です。IP アドレスをさらすと個人情報が漏れると信じてる
厨房もいるようですが、このログと顧客データベースを照合できないと
個人情報はわかりません。

>>158
いや、
>実際にアクセスのあったサイトのURLとその時間やIPアドレス
のURLって、ISP側からはセッション単位迄細かく記録してないと
無意味じゃないですか。

こっちはhttpdのログを送ったんですが、それでも足りないと
言われたので、足りないとしたらうちのIP位かなと。。。

やっぱり無差別定型文だったんだろうかT-T

一応133の後に来たzaq下のIPを加えて
このhttpdログの他に何が必要なのでしょうか？
と返信しておきました。。

>>159
うーむ、透過型プロキシを使ってる ISP ならログを取ってるかもしれんが、
今回の場合は認証サーバのログでじゅうぶんだよなぁ。
何か勘違いしてるのかもしれん。

あれ？俺もJ-COM@Nethomeにログ付きメール出したばっかり
なんだけど、それだけじゃ足りないのかな

素早い返信
>言葉足らずで申し訳ございませんでした。
>　下記のようにIPアドレスを含んだ形でのログを提供いただけましたら、という
>意図でご返信させていただいた次第でございます。

ネームじゃなくIPで晒せや(ﾟДﾟ)ｺﾞﾙｧ と言う事だったらしいです。
しょうがないので全て手動で引いてやりました。 ﾊｧ zaqよ。。

なるほど、じゃあうちのログは　ホスト名(IP)って形式になってるから
平気かな。そもそもNethomeだからコンピュータ名みれば速攻だけど

なんで通報する側がそこまでやってやらにゃならんのだ。
zaqって・・・。

http://www.interlink.or.jp/notification/backno/2001/trb029.html

今度は同じISPからのアタックが増えてきたｗ
こっちも通報しとくか。。

素早い返信
>ご連絡頂きました情報を元にこちらで調査致しましたところ、該当す
>ると思われる会員を特定致しました。ウイルスによるものですのでご本
>人様もお気づきで無い可能性が高いと思われますので、こちらより該当
>のお客様へは事実確認、および注意喚起させて頂きます。
zaqとは一味違うｗ

同じISPからのアタックは激減したがzaqは相変わらず。
と言うかかなり増加してるｗ　zaqよ。。

zaqは糞。

あのーーーー　今日になってzaqから
>今回お送り頂きました情報で調査しましたところ該当のアクセスは
>弊社ユーザーの「ＣｏｄｅＲｅｄ」感染端末からのワーム活動と判明
>致しました。
こんなメールが来たんですが。 藁藁
何やっとんじゃ。。。

うち、win2000なんだけど、sircamのファイルをうっかり開けちゃいました。
そしたら送ったけど帰ってきた、みたいなsircum添付メールが3つほど送られてきました。
2000には感染しないとありましたが、実際はどうなんでしょうか〜？（汗
やばいっす。

>>172
それ感染してるよ。
アドレス帳にある使われていないアドレスに送ったんだと思う。
他のアドレスにも送ったと思われ。

>>172
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ%5FSIRCAM%2EA
ココ見てみると↑win2kも一応感染するらしいね。
HKEY_LOCAL_MACHINE\〜〜〜〜\RunServicesの値ってwin2kに有ったっけ？
HKEY_CLASSES_ROOT\exefile\shell\open\commandの値確認してみ。
C:\Recycled\SirC32.exe "%1" %* の値設定されてるとhook。exeに関連付け。
でも、俺の2k、C:\Recycledなんてディレクトリ無いぞ。
win9xからのアップグレード版2kだと残ってるのかな。。。

何をいまさら・・・

>>173-174
やっぱり〜？！どうしよう。でも全員に送ってるわけじゃないのかな・・・
友達（2人）に確認したら、2人とも来てないって言ってた・・・

>>174
ウイルス削除したらexeがほとんど動かなくなって、
レジストリもみれなくなりました〜。

です。

>>177
経験からいうと
すべての人に必ずしも送信するわけではないみたい。
パソコンの中にあるワープロや表計算ファイルを
勝手に添付ファイルとしてランダムに送信するから
たち悪いよね。

>>178
それも経験した。
ノートンで最新バージョンをダウンロードしても
ウイルスを発見することは可能だが
修復することはダメみたい。
選択項目が削除しかなくて、削除したら同様の現象に。
でもバックアップHDDをつんでいたから
被害は最小限で抑えられたけど。

>>180
うううう〜！もしかしてワシの描いたモロエロ汁たっぷりイラストとかも？
他の人に確認するのがこわい・・・マジで鬱だ死のう・・・
>>181
再インストールします〜。ワシも98とデュアルブートしてたから、とりあえず
そっちからデータのサルベージすることにします〜。

>>182
そのイラストアップして（Ｗ

ここんとこノートンアンチウィルスでliveupdateすると
毎日のように新しいウイルス定義が送られてくるよ。

−>172
ヂュアルブートなら感染するわな。。。

>>185
う〜ん、でも98の入ってるｃには感染してなかったよ。（ｃ＝98 E=2000）

落ち着いたかと思ったら
まだしつこいのが来る＞サーカムメール

発信者とその加入ISPのクレーム窓口アドレスに
宛てて対処してくれるようメールしたんだけど、
余計なお世話だったかな…

eu

凶牛病

keep

サーカム

（＾＾）

（＾＾）

釜玉の作り方

�@うどん（乾麺or生麺）を茹でる

�Aねぎ、ごまなど好みの薬味を準備

�B丼に卵一個を割り、溶く

�C茹で上がった熱々の麺を丼に移し卵とかき混ぜる。

�D薬味を入れる
これで東京のはなまるよりうまーな釜玉の出来上がり♪

（＾＾）

　　 ∧＿∧
　　（　　＾＾ ）＜ ぬるぽ（＾＾）

━―━―━―━―━―━―━―━―━[JR山崎駅（＾＾）]━―━―━―━―━―━―━―━―━―

　__∧＿∧_
　|（　　＾＾ ）|　＜寝るぽ（＾＾）
　|＼⌒⌒⌒＼
　＼ |⌒⌒⌒~|　　　　　　　　　山崎渉
　　 ~￣￣￣￣

ぬるぽ

(σ・∀・)σ200ｹﾞｯﾂ!!

　　　 　∧＿∧　 ∧＿∧
ﾋﾟｭ.ｰ　（　 ・３・） (　　＾＾ ） ＜これからも僕たちを応援して下さいね（＾＾）。
　　＝〔~∪￣￣￣∪￣￣〕
　　＝ ◎――――――◎ 　　　　　　　　　　　　　　　　　　　　　山崎渉&ぼるじょあ

　　　 (⌒V⌒)
　　　│ ＾ ＾ │＜これからも僕を応援して下さいね（＾＾）。
　　⊂|　　　　|つ
　　　（＿）（＿）　　　　　　　　　　　　　　　　　　　　　　山崎パン

http://elife.fam.cx/a011/

4

TEST

てｓｔ

omakk

test

http://mamono.2ch.net/test/read.cgi/newsplus/1200096572/18

焼き品質が

test

male.Body = vbcrlf&"kindly check the attached LOVELETTER coming from me."

　　∧＿∧
　 （　・∀・） 　　 　 |　| ｶﾞｶﾞｯ
　と　　　　） 　　 　 |　|
　　 Ｙ　/ノ 　　　　 .人
　　　 /　） .人　　 < 　>_∧∩
　 ＿/し'　< 　>_∧∩｀Д´）/
　（＿フ彡　Ｖ｀Д´）/　　 / ←>>196
　　　　　　　　 　 　/ ←>>199

あ

'code red'wormに続きw32/sircam

続き

w32/sircam

'code red'wormに続きw32/sircam

あ

ぬるぽ

◎2chスレッド勢いランキングサイトリスト◎

★+ニュース板
・ 2NN (推奨サイト)
・ 2chTimes
★+ニュース板新着
・ 2NN新着
・ Headline BBY
・ unker Headline
★+ニュース板その他
・ Desktop2ch
・ 記者別一覧
★全板
・ 全板縦断勢いランキング (推奨サイト)
・ スレッドランキング総合ランキング
・ ログ速
★全板実況込み
・ 2勢 (推奨サイト)
・ READ2CH
・ i-ikioi

※ 要タイトル検索
※ 2chブラウザ併用推奨

あ

'code red'wormに続きw32/sircam

w32/sircam