コードレッド (Code Red) 逝ってヨシ
あっと、>>847さんに同意、
自分も書いたので一応
●Win2000/NTのユーザーさんへ、
IISなんか使ってないから平気だよ、と思ってますね。
本人の知らないうちにIISが稼働している事があるようです。
タスクマネージャのプロセスにInetinfo.exe
が存在してたらIISが稼働中です。
また、
c:\explorer.exe
d:\explorer.exe
c:\inetpub\scripts\root.exe
c:\Program Files\Common Files\System\MSADC\root.exe
が存在、あるいは、
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\d
のレジストリキーが存在していれば感染してます。
なんらかの事情がありパッチを当てられない場合には
http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofothers
に従い、
.idq、.idaのidq.dlへのアプリケーションマッピングの削除を行いましょう
自分も書いたので一応
●Win2000/NTのユーザーさんへ、
IISなんか使ってないから平気だよ、と思ってますね。
本人の知らないうちにIISが稼働している事があるようです。
タスクマネージャのプロセスにInetinfo.exe
が存在してたらIISが稼働中です。
また、
c:\explorer.exe
d:\explorer.exe
c:\inetpub\scripts\root.exe
c:\Program Files\Common Files\System\MSADC\root.exe
が存在、あるいは、
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\Scripts
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\msadc
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\c
SYSTEM\CurrentControlSet\Services\W3SVC\Parameters\VirtualRoots\d
のレジストリキーが存在していれば感染してます。
なんらかの事情がありパッチを当てられない場合には
http://www.microsoft.com/japan/technet/security/codeptch.asp#counterofothers
に従い、
.idq、.idaのidq.dlへのアプリケーションマッピングの削除を行いましょう
|
|
|
849 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:35
850 :名無しさん@お腹いっぱい。:2001/08/08(水) 21:36
>>847
そうですね。
詳細は、比較的正確に書かれたサイトの情報(JPCERT, MS)に絞り、書かないほうが
混乱しないかも。
思い込み勝ちな誤りのみ、注意点を書けばいいんじゃないかな
・default.ida消してもダメ!
・MSの復旧策、個人レベルではともかく、裏口から色々やられて痕跡破壊されたらとき
には十分なポリシーじゃなく、本格的にサーバ立ててるなら徹底検証か再インストっ
てことなど
そうですね。
詳細は、比較的正確に書かれたサイトの情報(JPCERT, MS)に絞り、書かないほうが
混乱しないかも。
思い込み勝ちな誤りのみ、注意点を書けばいいんじゃないかな
・default.ida消してもダメ!
・MSの復旧策、個人レベルではともかく、裏口から色々やられて痕跡破壊されたらとき
には十分なポリシーじゃなく、本格的にサーバ立ててるなら徹底検証か再インストっ
てことなど