2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Blasterスレ part5

1 :名無しさん@お腹いっぱい。:03/10/12 22:15
前スレ http://pc.2ch.net/test/read.cgi/sec/1062521353/

2 :名無しさん@お腹いっぱい。:03/10/12 22:33
(・∀・∀・)ヌッヘッホー

3 :名無しさん@お腹いっぱい。:03/10/12 22:40
(・∀・∀・)ハヘッホー

4 :名無しさん@お腹いっぱい。:03/10/12 22:46
さむい>>1ですね

5 :名無しさん@お腹いっぱい。:03/10/12 22:54
(・∀・∀・)ポッポッポー

6 :名無しさん@お腹いっぱい。:03/10/12 22:56
【WORM_MSBLAST.D miniFAQ 情報収集リンク編1】 
Q オンラインでウィルスをチェックしてくれるサイトはありますか?
A トレンドマイクロ(ウイルスバスターオンラインスキャン)
   http://www.trendmicro.co.jp/hcall/scan.htm
  シマンテック(ウイルススキャン)
   http://www.symantec.com/region/jp/securitycheck/index.html
Q 駆除ツールはどこからダウンロードできますか?
A トレンドマイクロ
   http://www.trendmicro.co.jp/hcall/index.asp
  シマンテック
   http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
  サイゲート
   http://scan.sygate.com/prequickscan.html
Q マイクロソフトのパッチってどういうのですか?
A 修正パッチは2つあるので注意してくらさい。
  ms03-026(RPC脆弱性→Win98,ME以外のすべての製品に関係)
   http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
  ms03-007(WebDAV脆弱性→IIS5.0をインストールしているWebサーバーマシン)
   http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp

7 :名無しさん@お腹いっぱい。:03/10/12 22:57
【WORM_MSBLAST.D miniFAQ 情報収集リンク編2】 
Q このウィールスの詳しい解説はどこで見られますか?
A マイクロソフト『Blaster ワーム』 および関連する情報の一覧(本家だけあって充実w)
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blstlink.asp
  トレンドマイクロWORM_MSBLAST
   http://www.trendmicro.co.jp/msblast/
  シマンテックW32.Welchia.Worm
   http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
  警察庁サイバーポリス公式解説(修復手順が詳しい。レジストリ情報もある)
   http://www.cyberpolice.go.jp/important/20030819_131641.html
  情報処理振興事業協会公式解説(リンクが充実してます。勉強家におすすめ)
   http://www.ipa.go.jp/security/topics/newvirus/msblaster.html

8 :名無しさん@お腹いっぱい。:03/10/12 22:57
【WORM_MSBLAST.D miniFAQ 緊急です! 感染しちゃったぽ】
Q 突然パソコンが勝手にシャットダウンするようになったんですが?
A あひゃ、それは感染してますねー。ウィールス広めないようにまずケーブルを
  抜きましょう。!!ウィールスは広めるあなたもウィールスじゃ!!
Q 駆除ツールとか拾ってきたんですが、なんかうまくいきません。
A まずウィールス本体のプログラムの動作を停止する必要があります。
Q ウィールス本体のファイル名は何ですか?
A WINNT\system32\winsディレクトリ中のDLLHOST.EXE SVCHOST.EXEの二つです
Q svchost.exe dllhost.exeってそもそも何ですか?
A どちらもWindowsの重要なシステムファイルです。本物を停止させちゃうと
  Windowsが死にますです
Q ニセモノと本物の見分け方は?
A ニセモノは\WINNT\system32\winsというデイレクトリに巣食っています。
  ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。
  また本物とはサイズも違います。
Q タスクマネージャーのプロセスイメージ欄で本物とニセモノの区別がつきますか?
A ニセモノは大文字でSVCHOST.EXE DLLHOST.EXEと表示されるという報告あり。
  (注 全ての場合にそうかどうか未確認)
Q タスクマネージャーでニセモノのSVCHOST.EXE DLLHOST.EXEが停止できません。
A セーフモードで起動してからタスクマネージャーで停止させます。
Q セーフモードって?
A まずOSの再起動をかけます。OSの起動中にF8キーを何度か押す。セーフモードで
  起動したらタスクマネージャーで糞プログラムを停止し、ゴミ箱に捨ててやります。
  それからおもむろに駆除ツールで修復へ

9 :名無しさん@お腹いぱーい。:03/10/12 22:58

【WORM_MSBLAST.D miniFAQ 初心者なんですが】
Q 初心者なんですがこれからPC買いに行きます。なにか注意ある?
A 箱開けてそのままPCネットにつなぐと十秒くらいでブラスタに感染しまつ。
Q ええっ…じゃ買うのよそうかな((((((;゚Д゚))))))ガクガクブルブル
A もちついてください。XPの場合、とりあえずの対策は簡単です。
  このFAQの後の方で「XPのファイアウォールを有効にする」を見てください。
  Win2000 の場合、その後の「DCOMを無効にする」を見てください。

【WORM_MSBLAST.D miniFAQ 予防対策のお話】
Q どうすれば感染を予防できますか?
A ブラスターに限らず次のような対策をしていれば大きな被害を受けることは
  まずないです。
 Windows をアップデート
  ウィールス/ワームが利用するセキュリティの穴を塞ぐ
 インターネットとの接続にルータを設置
  外部からの侵入を防ぐ。(社内LAN等ルータの内側に持ち込まれたPCからの
  感染は防げない)
 各PCにファイアウォールソフトを常駐
  LANからの侵入・拡散を防ぐ。(ルータなしの環境では外部からの侵入も防ぐ)
  起動時のタイムラグに注意。(起動の際ケーブルを抜いておくと万全)
 アンチウィールスソフトを常駐
  FDやCDなどのメディアからの侵入も防ぐ。万一感染したときに駆除してくれる。

10 :名無しさん@お腹いぱーい。:03/10/12 22:59
【WORM_MSBLAST.D miniFAQ 一般的なお話】 
Q 無償の対策CDはいつ、どこで手に入りますか?
A 8月27日から、全国の家電量販店、パソコンショップの店頭で配布開始した
  もののトレンドなど大手はすでに配布終了。すでに激レアものか?
Q このごろやたらにICMP(2048)とかいう接続要求がくるんですが?
A それがブラスタDのしわざです。
Q このICMPの接続要求って攻撃されてるってこと? 
A このウィールス(正確にはワーム)はICMP(2048)を自分の周囲のPCに猛烈に打ち
  まくり、返事があるとport135というドアから入りこみます。鯖立ててる場合以外は
  ファイアウォールでport135を閉めておけばOK。ping自体は無害です。
Q ブラスタDってどのポートから入ってきやがりますか?
A 普通はport135から入ってきてバックドアをport707に作りやがります。プログラム
  本体が転送されるのはこのport707(なお、IIS5.0を利用しているサーバーマシンの
  場合、port80を通じてWebセッションが攻撃されます)
Q ICPMのping、うぜーんだけど。どーにかなんね?
A 残念ながら打つ手なし。ファイアーウォールやルータをしかるべく設定した上でシカト。
Q pingなんかプロバで止めろよ
A ICMP止めてもWebセッションにはほとんど影響ないんですが、プロバがユーザーの様子
  見るのに使ってたり、企業ネットでも使われてたりして、止めにくいみたいでつ
Q ブラスタDは別名がいろいろあるようですが?
A マイクロソフト、各アンチウィールスメーカーが独自に名前をつけるのでまぎらわしい
  です。ウェルチア、ナチ、ラブサン など。
  WORM_MSBLAST.D [トレンドマイクロ] W32.Welchia.Worm[シマンテック]
  W32/Welchia.worm10240 [アンラボ] W32/Nachi.worm [マカフィー]
  Lovsan.D [F-セキュア] さらにブラスタEとか新種が出てるという情報もありまつ。

11 :名無しさん@お腹いぱーい。:03/10/12 23:00
【WORM_MSBLAST.D miniFAQ ファイアーウォール編】
Q ファイアーウォールって何?
A ファイアーウォール(FW)はデータ通路の玄関(port)の警備員みたい
  なものです。通行許可証のない人(データ)を通さないようにします。 
Q ファイアーウォール入れていても感染しますか?
A 感染します。OSがネットに接続してからFWソフトが立ち上がるまでの
  わずかなスキに侵入されることがあります。修正パッチ当てる前のOSを立ち
  上げるときはケーブルを抜くか、モデムの電源を落としておきます。
Q 無料のファイアウォールってどうなのよ? ちゃんと役に立つ?
A 次のような製品があります。機能は十分です。詳しいことはそれぞれのサイトやスレで 
 アウトポスト Outpost
  http://www.agnitum.com/download/outpost1.html
 ゾーンアラーム Zone Alarm
  

http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=zadb_

zadown
 ケリオ Kerio Technologies Inc. | Kerio Personal Firewall
  http://www.kerio.com/us/kpf_home.html
 サイゲート SygatePersonalFireWall
  http://soho.sygate.com/free/default.php

12 :名無しさん@お腹いぱーい。:03/10/12 23:00
【WORM_MSBLAST.D miniFAQ XP付属ファイアウォール編】
Q Windows XPの付属ファイアウォールは有効ですか?
A Windows XPのファイアウォールはウィールスが入り込むport135を閉じるのに
  有効です。ただし、このファイアウォールはデフォルトでは無効になってます。 
  有効にする手順は以下のとおり。
   コントロールパネル→ネットワークとインターネット接続→普段使っている
   接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
   「コンピュータとネットワークを保護する」にチェックを入れる
Q XPの「ネットワークの接続」がみつかんないよー?
A 以下の方法も試してくださいでつ。
   スタート→設定→ネットワーク接続
   スタート→接続→全ての接続の表示
   スタート→マイネットワーク→ネットワーク接続を表示
Q XPのファイアウォールで十分でつか?
A XPのおまけFWは外から中へ(inbound)の侵入は防ぎますが、いったん感染して
  しまうと中から外へ(outbound)ウィールスをばら撒くのをチェックできません。
  Zone Alarm Outpostなど中から外もチェックする製品入れておくべき。

13 :名無しさん@お腹いっぱい。:03/10/12 23:00
8で原ちゃん(人)
成功の暁にはうんこ丼喰う

14 :名無しさん@お腹いぱーい。:03/10/12 23:01
【WORM_MSBLAST.D miniFAQ Windows 2000編】
Q これからWindows2000 Pro をインストールしようと思ってますが、そのままつないで
  大丈夫ですか?
A 大丈夫ではありません。Win2000 SP4適用済み だったら、ネットにつなぐ前に
  まず応急措置としてDCOMを無効にします。
   スタート→ファイル名を指定して実行→dcomcnfg.exe
   →「既定のプロパティ」タブ
   →「このコンピュータ上で分散COMを有効にする」のチェックを外す。
   →ネットにつないでパッチをダウンロード
  Win2000 SP4未適用の場合はちょっとめんどいでつ。裸のまま捨て身でファイアウォール
  ソフトを落としてきて…あと「感染しちゃったぽ」見てください。
Q Win2000のSP4適用しようと思うけどブラスタに邪魔されて落とせません(泣
A ↑を参考にまずファイアウォールとアンチウィールスを入れる。どうしてもまずSP4
  が欲しい場合はMSに通販頼むかネカフェでCDに焼き焼きしてくる。

10
【WORM_MSBLAST.D miniFAQ スレ違い編】
Q すげー量のウィールスメールが来るんです! 誰かに狙われてるんでしょうか?
A それはSobigFです。こっちで聞いてね→【Thank You!】Sobig.Fスレ
  http://pc.2ch.net/test/read.cgi/sec/1061479494/

15 :名無しさん@お腹いぱーい。:03/10/12 23:06
おぉ。訂正するの忘れてた。スマソ

【WORM_MSBLAST.D miniFAQ 緊急です! 感染しちゃったぽ】
Q よくわかりませんが、ブラスタに感染してるといわれますた
A あひゃ、それは感染してますねー。ウィールス広めないようにまずケーブルを
  抜きましょう。!!ウィールスは広めるあなたもウィールスじゃ!!

【WORM_MSBLAST.D miniFAQ ファイアーウォール編】
 ゾーンアラーム Zone Alarm
  http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=zadb_zadown

Q 感染してるといわれますた
A あひゃ、それは感染してますねー。ウィールス広めないようにまずケーブルを
  抜きましょう。!!ウィールスは広めるあなたもウィールスじゃ!!

ブラスター関連 前スレ
1.[08/12 16:23]【RPC】カウントダウン後、再起動してしまう
http://pc.2ch.net/test/read.cgi/sec/1060673014/
2.[08/14 18:33] 【流行中】msblast対策スレ【カウントダウン後再起動】
http://pc.2ch.net/test/read.cgi/sec/1060853614/
3.[08/16 06:25] msblast対策スレ【カウントダウン後再起動】2日目!
http://pc.2ch.net/test/read.cgi/sec/1060982749/
4.[08/18 20:11] msblast対策スレ【ICMP祭り開催中】3日目!
http://pc.2ch.net/test/read.cgi/sec/1061205064/
5.[08/19 01:26] ブラスト4
http://pc.2ch.net/test/read.cgi/sec/1061223981/
6.[08/19 22:48] msblast対策スレ【セカンドインパクト】4日目
http://pc.2ch.net/test/read.cgi/sec/1061226881/
7.[08/21 13:53] 【まだ】Blasterスレ Part2【終わっちゃいない】
http://pc.2ch.net/test/read.cgi/sec/1061002243/
8.[08/23 22:58] 【早く】 Blasterスレ Part3 【対策しろ】
http://pc.2ch.net/test/read.cgi/sec/1061647087/

16 :名無しさん@お腹いぱーい。:03/10/12 23:08
>>8
FAQの↓は、D(=Nachi Welchia Lovsan)以前のオリジナル系ブラスタの症状
でふ。Dは再起動しませぬ。

Q 突然パソコンが勝手にシャットダウンするようになったんですが?
A あひゃ、それは感染してますねー。ウィールス広めないようにまずケーブルを
  抜きましょう。!!ウィールスは広めるあなたもウィールスじゃ!!

↓スマソ 訂正しまふ↓

A あひゃ、それはブラスタAorBroCに感染してますねー。まだそんなのに感染する
  なんてカコワルーイ。ウィールス広めないようにまずケーブルを抜きましょう。
   !!ウィールスは広めるあなたもウィールスじゃ!!
  本体プログラム名はそれぞれ
   WORM_MSBLAST.A→"MSBLAST.EXE"
   WORM_MSBLAST.B→"PENIS32.EXE" (←これがジェフリーたん作w)
   WORM_MSBLAST.Cの→"TEEKIDS.EXE"
  ケーブル抜いたらセーフモードで起動(再起動の時F8を押す)してウィールス
  本体を削除。修正パッチその他対策はブラスタDと同じ。ここらとか
   トレンドマイクロ http://www.trendmicro.co.jp/msblast/tool.asp
  このスレのFAQとか見てくらさい

ttp://pc.2ch.net/test/read.cgi/sec/1062521353/22
スマン;y=ー( ゚д゚)・∵. ターン

17 :名無しさん@お腹いっぱい。:03/10/13 01:56
>>1は都昆布

18 :名無しさん@お腹いっぱい。:03/10/13 02:26
>6-16(13除く)
乙〜

19 :前スレの967:03/10/13 05:16
テンプレの新バージョン(前スレの最後でminiFAQ屋さんがまとめたもの)

【WORM_MSBLAST.D miniFAQ 情報リンク】No.1
Q ええっとこのウィールス、いろんな名前があるみたいですけど?
A 各アンチウィールスメーカーが独自に名前をつけるのでまぎらわしい
  です。NACHI.Aがコンセンサスでしょうか。
  WORM_MSBLAST.D [トレンドマイクロ]→WORM_NACHI.A に改名
  W32.Welchia.Worm[シマンテック]
  W32/Welchia.worm10240 [アンラボ]
  W32/Nachi.worm [マカフィー]
  Lovsan.D [F-セキュア]
Q このウィールスの詳しい情報はどこで見られますか?
A まずここら見てください。各社で駆除ツールも用意されてます
  トレンドマイクロWORM_MSBLAST
  http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.A
  シマンテックW32.Welchia.Worm
  http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
  Network Associates の簡易駆除ツール Sitnger (おすすめ)
  http://www.nai.com/japan/security/stinger.asp
Q マイクロソフトのパッチってどういうのですか?
A もうごちゃごちゃでよくわかんないでつ。修正パッチは次々に最新版が出
  てるので注意してくらさい。以前のパッチms03-026はもうだめぽ(´・ω・`)ショボーン
  たぶんこれが最新と思われ。詳しいことはMSのサイトで確認…
  ms03-039(RPC脆弱性→Win98,ME以外のすべての製品に関係)
  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-039.asp
  ms03-007(WebDAV脆弱性→IIS5.0をインストールしているWebサーバーマシン)
  http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp

20 :前スレの967:03/10/13 05:22
【WORM_MSBLAST.D miniFAQ 緊急です! 感染しちゃったらしいぽ】No.2
Q 駆除ツールとか拾ってきたんですが、なんかうまくいきません。
A まずウィールス本体のプログラムの動作を停止する必要があります。
Q ウィールス本体のファイル名は何ですか?
A WINNT\system32\winsディレクトリ中のDLLHOST.EXE SVCHOST.EXEの二つです
Q svchost.exe dllhost.exeってそもそも何ですか?
A どちらもWindowsの重要なシステムファイルです。本物を停止させちゃうと
  Windowsが死にますです
Q ニセモノと本物の見分け方は?
A ニセモノは\WINNT\system32\winsというデイレクトリに巣食っています。
  ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。
  また本物とはサイズも違います。
Q タスクマネージャーのプロセスイメージ欄で本物とニセモノの区別がつきますか?
A ニセモノは大文字でSVCHOST.EXE DLLHOST.EXEと表示されるという報告あり。
  (注 全ての場合にそうかどうか未確認)
Q タスクマネージャーでニセモノのSVCHOST.EXE DLLHOST.EXEが停止できません。
A セーフモードで起動してからタスクマネージャーで停止させます。
Q セーフモードって?
A まずOSの再起動をかけます。OSの起動中にF8キーを何度か押す。セーフモードで
  起動したらタスクマネージャーで糞プログラムを停止し、ゴミ箱に捨ててやります。
  それからおもむろに駆除ツールで修復へ
【WORM_MSBLAST.D miniFAQ 緊急対策=DCOM無効化】
Q 削除したら安心ですか?
A だめです。そのままだとあっというまに再感染。
Q どうすれば感染/再感染を予防できますか?
A 緊急対策として、まずDCOMを無効にします。Shields Up!で有名なセキュリティ
サイトからこのツールを落としてきて実行するだけ。英文ですが操作はかんたんです。
http://grc.com/files/DCOMbob.exe 
左側の「DCOMbobulate Me!」というタブをクリック→Disable DCOMボタンをクリック
→Windows 再起動 これでもうブラスタD=Nachiには感染しません(゚д゚)ウマー
(Win2000でSP4未適用の場合はがんばってまずSP4適用してくださいでつ)

21 :前スレの967:03/10/13 05:23
【WORM_MSBLAST.D miniFAQ 緊急です!2 PCが勝手に再起動しちゃうです 】No.3
あひゃ、それはスレ違い。ブラスタDではなくて、ブラスタAorBroCに感染してますねー。まだそんなのに感染するなんてカコワルーイ。ウィールス広めないようにまずケーブルを抜きましょう。
   !!ウィールスは広めるあなたもウィールスじゃ!!
  本体プログラム名はそれぞれ
   WORM_MSBLAST.A→"MSBLAST.EXE"
   WORM_MSBLAST.B→"PENIS32.EXE"
   WORM_MSBLAST.Cの→"TEEKIDS.EXE"
  ケーブル抜いたらセーフモードで起動(再起動の時F8を押す)してウィールス
  本体を削除。修正パッチその他対策はブラスタDと同じ。↑のほう見てトレンド
とかシマンテックで対策してください。

【WORM_MSBLAST.D miniFAQ 日ごろの対策】
Q 日ごろどんなことに気をつければいいですか?
A ブラスターに限らず次のような対策をしていれば大きな被害を受けることは
  まずないです。
 Windows をアップデート
  ウィールス/ワームが利用するセキュリティの穴を塞ぐ
 Windows の不要なサービスを停止(↑にあるように、BlastD=Nachiの場合DCOM停止)
インターネットとの接続にルータを設置
  外部からの侵入を防ぐ。(社内LAN等ルータの内側に持ち込まれたPCからの
  感染は防げない)
 各PCにファイアウォールソフトを常駐
  LANからの侵入・拡散を防ぐ。(ルータなしの環境では外部からの侵入も防ぐ)
  起動時のタイムラグに注意。(起動の際ケーブルを抜いておくと万全)
 アンチウィールスソフトを常駐
  FDやCDなどのメディアからの侵入も防ぐ。万一感染したときに駆除してくれる。

22 :前スレの967:03/10/13 05:24
【WORM_MSBLAST.D miniFAQ 一般的なお話】No.4
Q このごろやたらにICMP(2048)とかいう接続要求がくるんですが?
A それがブラスタDのしわざです。
Q このICMPの接続要求って攻撃されてるってこと? 
A このウィールス(正確にはワーム)はICMP(2048)を自分の周囲のPCに猛烈に打ち
  まくり、返事があるとport135というドアから入りこみます。鯖立ててる場合以外は
  ファイアウォールでport135を閉めておけばOK。ping自体は無害です。
Q ブラスタDってどのポートから入ってきやがりますか?
A 普通はport135から入ってきてバックドアをport707に作りやがります。プログラム
  本体が転送されるのはこのport707(なお、IIS5.0を利用しているサーバーマシンの
  場合、port80を通じてWebセッションが攻撃されます)
Q ICPMのping、うぜーんだけど。どーにかなんね?
A 残念ながら打つ手なし。ファイアーウォールやルータをしかるべく設定した上でシカト。
Q pingなんかプロバで止めろよ
A ICMP止めてもWebセッションにはほとんど影響ないんですが、プロバがユーザーの
 様子見るのに使ってたり、企業ネットでも使われてたりして、止めにくいみたいでつ

【WORM_MSBLAST.D miniFAQ ファイアーウォール編】
Q ファイアーウォールって何?
A ファイアーウォール(FW)はデータ通路の玄関(port)の警備員みたい
  なものです。通行許可証のない人(データ)を通さないようにします。 
Q ファイアーウォール入れていても感染しますか?
A 感染します。OSがネットに接続してからFWソフトが立ち上がるまでの
  わずかなスキに侵入されることがあります。修正パッチ当てる前のOSを立ち
  上げるときはケーブルを抜くか、モデムの電源を落としておきます。
Q 無料のファイアウォールってどうなのよ? ちゃんと役に立つ?
A 次のような製品があります。機能は十分です。詳しいことはそれぞれのサイトやスレで

23 :前スレの967:03/10/13 05:29
【WORM_MSBLAST.D miniFAQ ファイアーウォール編2】No.5
 アウトポスト Outpost
  http://www.agnitum.com/download/outpost1.html
 ゾーンアラーム Zone Alarm
  http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=zadb_zadown
 ケリオ Kerio Technologies Inc. | Kerio Personal Firewall
  http://www.kerio.com/us/kpf_home.html
 サイゲート SygatePersonalFireWall
  http://soho.sygate.com/free/default.php

【WORM_MSBLAST.D miniFAQ XP付属ファイアウォール編】
Q Windows XPの付属ファイアウォールは有効ですか?
A Windows XPのファイアウォールはウィールスが入り込むport135を閉じるのに
  有効です。ただし、このファイアウォールはデフォルトでは無効になってます。 
  有効にする手順は以下のとおり。
   コントロールパネル→ネットワークとインターネット接続→普段使っている
   接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
   「コンピュータとネットワークを保護する」にチェックを入れる
Q XPの「ネットワークの接続」がみつかんないよー?
A 以下の方法も試してくださいでつ。
   スタート→設定→ネットワーク接続
   スタート→接続→全ての接続の表示
   スタート→マイネットワーク→ネットワーク接続を表示
Q XPのファイアウォールで十分でつか?
A XPのおまけFWは外から中へ(inbound)の侵入は防ぎますが、いったん感染して
  しまうと中から外へ(outbound)ウィールスをばら撒くのをチェックできません。
  Zone Alarm Outpostなど中から外もチェックする製品入れておくべき。

24 :前スレの967:03/10/13 05:34
【WORM_MSBLAST.D miniFAQ Windows 2000編】No.6
Q これからWindows2000 Pro をインストールしようと思ってますが、そのままつないで
  大丈夫ですか?
A 大丈夫ではありません。Win2000 SP4適用済み だったら、ネットにつなぐ前に
  まず応急措置としてDCOMを無効にします。>>20にあるツールを使うか、
   スタート→ファイル名を指定して実行→dcomcnfg.exe
   →「既定のプロパティ」タブ
   →「このコンピュータ上で分散COMを有効にする」のチェックを外す。
   →ネットにつないでパッチをダウンロード
Q Win2000のSP4適用しようと思うけどブラスタに邪魔されて落とせません(泣
A まずウィルス駆除。ファイアウォールとアンチウィールスを入れる。
  それからSP4適用、DCOM無効化…たいへんでつね

25 :前スレの967:03/10/13 05:35
【前スレ関係】No.7
1.[08/12 16:23]【RPC】カウントダウン後、再起動してしまう
http://pc.2ch.net/test/read.cgi/sec/1060673014/
2.[08/14 18:33] 【流行中】msblast対策スレ【カウントダウン後再起動】
http://pc.2ch.net/test/read.cgi/sec/1060853614/
3.[08/16 06:25] msblast対策スレ【カウントダウン後再起動】2日目!
http://pc.2ch.net/test/read.cgi/sec/1060982749/
4.[08/18 20:11] msblast対策スレ【ICMP祭り開催中】3日目!
http://pc.2ch.net/test/read.cgi/sec/1061205064/
5.[08/19 01:26] ブラスト4
http://pc.2ch.net/test/read.cgi/sec/1061223981/
6.[08/19 22:48] msblast対策スレ【セカンドインパクト】4日目
http://pc.2ch.net/test/read.cgi/sec/1061226881/
7.[08/21 13:53] 【まだ】Blasterスレ Part2【終わっちゃいない】
http://pc.2ch.net/test/read.cgi/sec/1061002243/
8.[08/23 22:58] 【早く】 Blasterスレ Part3 【対策しろ】
http://pc.2ch.net/test/read.cgi/sec/1061647087/
9.[09/03 01:49]【ネット】Blasterスレ part4【埋めまっせ】
http://pc.2ch.net/test/read.cgi/sec/1062521353/


26 :前スレの967:03/10/13 05:38
テンプレ新バージョン、以上miniFAQ屋さんがまとめたもの。乙でした


27 :名無しさん@お腹いっぱい。:03/10/13 10:45
うーむ。。。
立ててくれた人には申し訳ないが、ずいぶん分かりづらいスレになってしまったねぇ。

28 :名無しさん@お腹いっぱい。:03/10/13 11:46
DCOMを無効化することによって不都合は出ますか?

29 :名無しさん@お腹いっぱい。:03/10/13 11:54
無効にしてから二年経つが、何もない

30 :名無しさん@お腹いっぱい。:03/10/13 12:08
>>28
DCOMが使えない。

31 :名無しさん@お腹いっぱい。:03/10/13 12:26
天麩羅多杉。(w

32 :名無しさん@お腹いっぱい。:03/10/13 14:41
>>31
口直しにビッグカツどぞ

33 :名無しさん@お腹いっぱい。:03/10/13 18:37
>>27
前スレの時点で、すでにかなり分りづらかったんだから仕方がないのでは?
FAQが多すぎてわけがわからない。

34 :名無しさん@お腹いっぱい。:03/10/14 04:56
だから>>19以降が正しい新バージョンのFAQ。

前スレの流れ読まないアフォがアフォなテンプレ貼った
のがアフォなん…余計なことすんじゃねーよ。これから
ずっとわかりにくいまんまじゃねーか。

責任取れアフォ>>6



35 :名無しさん@お腹いっぱい。:03/10/14 08:55

まぁ、 牛 乳 で も 飲 ん で  も ち つ け >>34

36 :名無しさん@お腹いっぱい。:03/10/14 11:57

 もまえら煽るヒマがあったら吉牛に3回いっとけ
 すると1杯無料


37 :6:03/10/14 19:10
>>34さんをはじめ皆さんごめんなさい、依頼ださせていただきました。
ttp://qb2.2ch.net/test/read.cgi/saku/1030535921/216
今は削除人の方の判断を待っています。


38 :名無しさん@お腹いっぱい。:03/10/14 19:14
わざわざ削除依頼出しちゃったのか・・・。

39 :6:03/10/14 19:32
>>38
削除人の方にお手数を掛けることになるのが心苦しいですが、
自分のできる範囲ではこれが精一杯です。遅くなりましてすみません。

40 :名無しさん@お腹いっぱい。:03/10/14 20:04
まぁ気にするなYO!
スレ立ても、テンプレ張りもしないで放っておいた奴の言うことなど放っておけ。。
あっ、俺もか。

41 :名無しさん@お腹いっぱい。:03/10/14 20:10
------------------------------------
       FAQは>>19-24
------------------------------------

これを定期貼りすればなんにも問題あるまい
マターリ行こうよ

42 :前スレの967:03/10/14 20:48
おっとっと。>>6以降さん。そんなに慌てることないぞ。
悪気でやったんじゃないんだからな。別にこのままでいい。
>>34は言い過ぎだ。>>41さんの言うとーりw




43 :6:03/10/14 22:17
ttp://qb2.2ch.net/test/read.cgi/saku/1030535921/217
↑このようになりました。
>>40−42の皆さん、お騒がせしました。そしてありがとうございます。

44 :名無しさん@お腹いっぱい。:03/10/14 23:37
>>43
2ch の中のリンクなら、
http://qb2.2ch.net/test/read.cgi/saku/1030535921/217
で構いません。

45 :名無しさん@お腹いっぱい。:03/10/14 23:38
サーバのログ見てもNETBIOS全然来てないな〜と思ってたら、
ルータのログ見たら1秒に一回近い頻度でpingとNETBIOSが来てた。
IP16。

46 :名無しさん@お腹いっぱい。:03/10/15 05:34
>>43 乙でした

47 :名無しさん@お腹いっぱい。:03/10/15 20:11
http://headlines.yahoo.co.jp/hl?a=20031015-00000167-kyodo-bus_all

またアホのせいで被害拡大
アホの一個人ならまだ許せるがアホの一企業、団体は許せん

48 :名無しさん@お腹いっぱい。:03/10/15 20:15
院内感染だね

49 :名無しさん@お腹いっぱい。:03/10/15 20:23
>>47
NECも郵政事業庁相手に大失態やってた。
NECの社員が保守のために持ち込んだPCを無断でネットに接続

持ち込みPCから庁内LANのPCに感染
ていうやつ。

50 :名無しさん@お腹いっぱい。:03/10/15 20:52
>>49
ちとちがうな。システム内設置のPCを外して、
外部接続し、その後システムに戻した。持ち込みPCではない。

NECは、顧客物品を目的外使用したわけで、感染させた以前の問題。
今回のケースは同種契約しているサービスであれば、どこでも起こりえる。

ちなみに、うちはUNIXだが、ベンダーより保守のためrloginさせている。
危険だが、それなりのチェックはしている。
顧客側での検証がなっていないだけと思われる。ようはあほなんじゃな。

51 :名無しさん@お腹いっぱい。:03/10/15 21:00
>>50
外したんじゃなくて客先のスタンドアローンをいきなり接続して
感染したんじゃなかったっけ?まあいいか。
それより記事はブラストDって書いてるね。
でブラストDってデータ破壊や流失危険ってもともとあったんだっけか。

52 :名無しさん@お腹いっぱい。:03/10/15 21:23
Dってのが
ほのぼのしちゃうな

53 :名無しさん@お腹いっぱい。:03/10/15 21:39
>>52
やっぱ太田阿利佐記者が異動して逝ったのが痛かったかも…
http://www.mainichi.co.jp/news/flash/shakai/20031015k0000e040057000c.html

54 :名無しさん@お腹いっぱい。:03/10/16 10:15
ISS、「MS03-039」の修正パッチでは防げないRPC脆弱性があると指摘
http://internet.watch.impress.co.jp/cda/news/2003/10/15/769.html

バッファオーバーランでは★無い★が、DoSアタックを受ける可能性。

55 :名無しさん@お腹いっぱい。:03/10/16 11:12
>>54 の脆弱性の…
> 回避策は、ファイアウォールにてUDPポート135/137/138/445
> およびTCPポート135/139/445/593を再度確認し、必要に応じて
> フィルタリングするというもの。
…だそうです。

この脆弱性についてはMSのパッチは未発表。しかしMSのパッチ
全部当てても脆弱性は残るということを前提に自衛するしかない。


56 :名無しさん@お腹いっぱい。:03/10/16 14:59
>>54のって2003/10/15 20:01の記事でしょ、今日来たupdateで対処されてないのかな?

57 :名無しさん@お腹いっぱい。:03/10/16 15:36
>>56
今日来たのは全く関係ないアップデート。

58 :名無しさん@お腹いっぱい。:03/10/17 10:30

★★★ 大規模感染警報 レッド・アラート ★★★

メッセンジャーサービス(137-139 RPC / UDP broadcast)に
バッファオーバーランの脆弱性

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp

★★★ 大規模感染警報 レッド・アラート ★★★



59 :名無しさん@お腹いっぱい。:03/10/17 10:47
>>58

http://internet.watch.impress.co.jp/cda/news/2003/10/16/773.html


60 :名無しさん@お腹いっぱい。:03/10/17 11:21
>>54 DOSアタックか…心配事は無くなりそうにないなァ

61 :名無しさん@お腹いっぱい。:03/10/17 11:24
>>58
それよりもMS03-039が忘れ去られそうになってる気が・・・。

62 :名無しさん@お腹いっぱい。:03/10/17 11:28
>>58-59
諸君、Messengerサービスちゃんと無効にしてあるだろうな?
もいっかい確認しる

コントロールパネル→管理ツール→サービス→Messenger →
プロパティ→スタートアップの種類→無効 (゚д゚)ウマー

使わないサービスは無効、が基本。あとどんなバグが隠れてるか
わかったもんじゃありゃあせんぜ…

63 :じゃあこうか:03/10/17 13:19

★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★

サーバープロセスのバッファオーバーランの脆弱性

メッセンジャーサービス (port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp

★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★


64 :名無しさん@お腹いっぱい。:03/10/17 13:23
>>54
たぶんISSがメッセンジャーサービス脆弱性に気づいていたと桃割れ
だからオーバーランもDoSもある>>messenger service

65 :名無しさん@お腹いっぱい。:03/10/17 20:54
XPはSP1にしないとUpdate出来ないというやつはどうなったんだ?
オレまだだけど、Update出来てるよ。


66 :名無しさん@お腹いっぱい。:03/10/17 21:12
>>65
緊急度の高いセキュリティホールは別なんじゃない?

67 :名無しさん@お腹いっぱい。:03/10/17 21:36
>>65
俺もSP1にしてないけど、うpでーとできてるよ。
以前、SP1入れたけど、めっちゃPCが不安定になって、XP再インスコするはめになった。

68 :名無しさん@お腹いっぱい。:03/10/18 20:55
いよいよ携帯のウィルス対策が本格化したきたな。
携帯から家電をコントロールするなんてことが言われてるが、こんな所にブラスターもどきが侵入したら、考えるだに恐ろしい。
『20xx年x月x日 新手のウィルスにより電子レンジが暴走し、100u全焼』

69 :名無しさん@お腹いっぱい。:03/10/19 05:03
>>68
そうなの?おれは携帯をもっていないからいいけど、
携帯はある意味でパソコンを超える情報端末だから怖い話だなあ。

70 :名無しさん@お腹いっぱい。:03/10/19 06:30
 品川区のマンション、ガス爆発で倒壊
        死傷者多数
またもガス風呂が携帯ウィールスで暴走か?



とかあったら((((((;゚Д゚))))))ガクガクブルブル



71 :名無しさん@お腹いっぱい。:03/10/19 10:33
原発職員が携帯でリモート管理なんて時代は、はっきりいって恐い。
某国がういーるすまきそうだなといってみるテスト。

72 :名無しさん@お腹いっぱい。:03/10/19 12:14
どうもsvchost.exeエラーが消えないと思って調べたら、DLLHOST.exeがいた。
しかし報告例にあるように \system32\wins ではなく、\system32 に直に
いるのだが削除してもいいのだろうか?ちなみに \system32 には
svchost.exe はいるが SVCHOST.exe はいない。

73 :名無しさん@お腹いっぱい。:03/10/19 12:17
72つづき

シマンテックのFixWelchia.exe でも検出されなかった。激しく鬱だ。
右クリもコピペもできるし、日常使用に支障ないから放っておこうか。

74 :名無しさん@お腹いっぱい。:03/10/19 12:30
それは本物です

75 :名無しさん@お腹いっぱい。:03/10/19 12:32
>>73
バージョン情報を見てみればいいんでない?
正しいファイルなら、2000のやつだけど、

ファイル バージョン : 5.0.2134.1
説明 : Generic Host Process for Win32 Services
著作権 : Copyright (C) Microsoft Corp. 1981-1999

て書いてあると思うし。

76 :75:03/10/19 12:43
>>75はsvchost.exe。

dllhost.exeは、

5.0.2195.6692
COM Surrogate
Copyright (C) Microsoft Corp. 1981-1999

漏れの持ってるNachi本体のサンプルにはバージョン情報が無い。
また、ファイルサイズはシマンテックの情報通りきっかり10KB(10,240bytes)。

77 :名無しさん@お腹いっぱい。:03/10/19 12:49
>>75

微妙に違うけど本物くさいです。ちなみに6KB

ファイル バージョン : 5.0.2195.6692
説明 : COM Surrogate
著作権 : Copyright (C) Microsoft Corp. 1981-1999

78 :名無しさん@お腹いっぱい。:03/10/19 14:45
>>77
だからニセモノはwinsディレクトリにあるヤツだって…
それよりそもそもどういうエラーが出てんの?

79 :名無しさん@お腹いっぱい。:03/10/19 16:15
タスクマネージャのプロセスを覗いて、DLLHOST.EXEが動いていたらWelchia.Worm

80 :名無しさん@お腹いっぱい。:03/10/19 16:18
未だに区別が付けられ無い人間がここに居るというのは、如何なものか。

81 :名無しさん@お腹いっぱい。:03/10/19 16:24
            | パクッ
           /V\
          /◎;;;,;,,,,ヽ
       _ ム::::(,,゚Д゚)| <漏れは釣られねーぞ!!
      ヽツ.(ノ:::::::::.:::::.:..:|)
        ヾソ::::::::::::::::: ノ
         ` ー U'"U'

82 :名無しさん@お腹いっぱい。:03/10/19 22:53
>>78
「svchost.exeを終了します。プログラムをもう一度開始する必要があります。
エラーログを作成しています」
ネット接続後1秒で出ます。でも出ない時も多いです。

>>79
動いてないです。

ちなみに、win2000 SP4でパッチも全てあてていて、シマンテックの
FixBlasterも実施ズミでマカフィーのInternetSecurityも入ってます。
できることはすべて施したつもりですが。




83 :名無しさん@お腹いっぱい。:03/10/20 00:11
釣りか、天然かは兎も角として、コレ(↓)で完全消去できる。
ttp://www.vector.co.jp/soft/dl/dos/util/se196626.html

84 :名無しさん@お腹いっぱい。:03/10/20 02:12
>>82
その再現性の低さはなんかハードっぽいヨカン。

プロバ、速度、局からの距離(距離がぎりぎりだと落ちやすい)、
保安器(古いタイプがよくトラブルの元になる)、電話ケーブルの引回し
(電灯線が交差してたり電子レンジの裏通ってたり)LANケーブル
(接触不良、断線しかかり)、LANカード(ハード不良)、ブリッジで
つないでるホーム電話の相性、とかそういう原因でも接続は切れる。
(どういう場合にsvchostエラーと表示されるかはワカランが…)


85 :名無しさん@お腹いっぱい。:03/10/20 06:45
>>84
今日も出ますたよ、接続後1秒で。でも、接続が切れるわけじゃないんです。
動作自体はいたって良好です。Blasterの諸症状もありませんし。

86 :名無しさん@お腹いっぱい。:03/10/20 08:50
Nachiは感染してもブラスター特有のカウントダウン後再起動という症状は出ない罠。
まぁ、オリジナルに感染しても出ないときは出ないけど。

87 :名無しさん@お腹いっぱい。:03/10/20 16:49
>>86
うちの会社でも、8月末に12台感染したが、感染した本人はまったく気がついていなかったよ。
LANが重いのでパケットをモニタしたら、ICMPが激しく飛び交っていたので、IPから、マシンを
特定できたが・・・。

88 :名無しさん@お腹いっぱい。:03/10/20 21:39
>>84

http://support.microsoft.com/default.aspx?scid=kb;ja;319161

どうもこれくさい気がしてきました。
となると激しく板違いなのだが。

89 :名無しさん@お腹いっぱい。:03/10/21 01:11
警察庁、TCP445番ポートに対するトラフィック増加を警告
http://internet.watch.impress.co.jp/cda/news/2003/10/20/794.html

90 :名無しさん@お腹いっぱい。:03/10/21 01:24
>>87
アンチウィルスベンダーで、攻撃の対象範囲が解説されていて、
そのターゲットの IP アドレスが該当したので、妙に納得。(w

91 :名無しさん@お腹いっぱい。:03/10/21 08:24
>>89
キターーー!?

92 :名無しさん@お腹いっぱい。:03/10/22 00:56
Windrv.exeの形を取る亜種があるのか?
この名前で再起動の症状を現すものがあったんだが。

93 :名無しさん@お腹いっぱい。:03/10/22 00:59
Kサツの監視範囲って、偏っているような気がするんだけど…
TCP 139 は、まぁ ありがちだけど、TCP 445 は ねぇ。
K内ネット監視の結果だったりして。(w

一方、某社で 1万台以上がパッチあててないという結果があって、
調査担当が “どーしたもんか?” と思案町…

94 :名無しさん@お腹いっぱい。:03/10/22 01:05
>>92
http://www.google.com/search?num=100&hl=ja&ie=EUC-JP&q=Windrv.exe

95 :名無しさん@お腹いっぱい。:03/10/22 09:51
>>94
MS03-039の脆弱性を利用したやつが現れないと思っていたら、
密かに現れてたのね・・・。

WORM_AGOBOT.H
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.H&VSect=T

96 :名無しさん@お腹いっぱい。:03/10/22 23:49
tcp/135を何回か叩いた後にtcp/445を何回か叩くっていう
新しいパターンがファイヤーウォールのログにいくつか残ってるんだけど、
こいつのせいなのかな。

97 :名無しさん@お腹いっぱい。:03/10/23 00:07
10/22 某社で妙なところの2台から TCP139 で たてつづけに3回アタックがあった。
「なにやってんだぁ?」と、PFW 全部オーライにしてチェックしてみると、
例の修正パッチは適用している。 なんだろね(w

98 :名無しさん@お腹いっぱい。:03/10/23 00:54
>>97
修正パッチは適用してても、駆除はしてないといってみるテスト。

99 :名無しさん@お腹いっぱい。:03/10/23 18:44
対策 or 駆除してない奴って、やっぱり大勢いるんだな。
ここのところものすごいよ。
ログに数時間でズラ〜ッと。
香港とか、カナダとか、j-comとか。
これじゃ広まって当然だ。


100 :名無しさん@お腹いっぱい。:03/10/23 20:20
今日は攻撃が少ないな。&100

101 :名無しさん@お腹いっぱい。:03/10/24 00:20
ルータのログみると今日はよく1000番台突付かれてるけどなんかあるのかなぁ


102 :名無しさん@お腹いっぱい。:03/10/24 00:51
>>101
http://www.isskk.co.jp/SOC_report.html
メッセンジャサービスが1024-1100番とか。

103 :名無しさん@お腹いっぱい。:03/10/24 01:08
ttp://itpro.nikkeibp.co.jp/free/NC/NEWS/20031022/135801/
日本郵政公社でまたウイルス感染,未対策のパソコンが原因か

 日本郵政公社のパソコンがブラスター・ウイルスの亜種「ナチ」に感染した。感染したのは、北陸支社
管内の郵便局にあるパソコンと見られるが、場所や台数は不明。感染の拡大を防ぐために北陸支社
管内のパソコンをネットワークから切り離したため、北陸支社管内の郵便局で小包や書留の配送状況
を追跡するサービスが提供できない影響が出ている。

 同公社システム部によると、ウイルス感染がわかったのは10月21日昼すぎ。ウイルス対策ソフトを導
入してある金沢中央郵便局のパソコンから、「ウイルスを検出した」とのアラートが上がった。続いて、
福井県や石川県の局のパソコンからも同様のアラートが上がった。これを受けて北陸支社管内
(富山、石川、福井の3県)で800郵便局につながるネットワークを公社のWANから切り離した。

 日本郵政公社は8月にもパソコンが「ブラスター」と「ウェルチ」に感染したばかり(関連記事)。これを
受けて、順次パソコンにウイルス対策ソフトを導入し、Windowsを最新版にする対策を進めていた。
しかしこの作業はまだ完了しておらず、今回の感染源は未対策のパソコンが原因と見られている。


#うーむ、郵政公社のパソには、容易に侵入することが可能なのな
侵入>ファイル作成>ウィルス検出>ウィルス名判明

104 :101:03/10/24 01:24
102 サンクス
まぁupdateしてあるし、ポート閉じてあるし、なによりメッセンジャー使う相手もいないし。


105 :名無しさん@お腹いっぱい。:03/10/24 01:36
>>104
MSN とか Windows Messenger(メッセンジャー) ≠ Messenger Service

106 :名無しさん@お腹いっぱい。:03/10/24 02:28
大学内でping数とかポート135へのアクセス数チェックしている方
いらっしゃいませんか?
うちの大学ではまだ日中には20回/時間程度のpingが飛び交っているんですが、
これって普通なんでしょうか。(クラスBです)

107 :名無しさん@お腹いっぱい。:03/10/24 02:47
Blasterオリジナルは海外が多いね。

108 :名無しさん@お腹いっぱい。:03/10/24 06:48
うん、日本は Nachi が潜在化しているので、Blaster が弾かれているし、
たとへ Blaster に感染したとしても、秒殺で Nachi に入れ替えられている。

もはや Nachi は国民病です。
Blaster 系の感染性質からも、海外 IP に感染する確率は低いとおもわれ。

109 :名無しさん@お腹いっぱい。:03/10/24 06:54
>>106
少ない方じゃないですか、
うちはノーファイアーウォール(政治的にFW導入は無理なんや)
の固定グローバルIPなんで、もうそれはすごいですわ。

大事な部分だけFW装置とDHCPプライベートIPで守っています。

110 :109:03/10/24 07:00
追補:「守っている」というのはウイルス感染からじゃないですよ。
目的は、ワームの吐き出すパケットによるトラフィック輻湊から
くるネットワークの速度低下を防ぐためです。

これしてないと、きみじかいアプリはタイムアウト続出で、仕事にならない。

111 :名無しさん@お腹いっぱい。:03/10/24 10:35
>>102
SQL slammer や nimda がまだ流行ってるのね

112 :名無しさん@お腹いっぱい。:03/10/24 10:35

★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★

サーバープロセスのバッファオーバーランの脆弱性

メッセンジャーサービス (port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp

★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★



113 :名無しさん@お腹いっぱい。:03/10/24 10:38
>>111
code blue (code red の亜種)ですら

114 :名無しさん@お腹いっぱい。:03/10/24 10:52
>>112
ZDNetでさっそく煽ってるけど、果たしてどうなることやら。

MSBlast級ワーム登場の恐れ
http://www.zdnet.co.jp/enterprise/0310/24/epn06.html

115 :名無しさん@お腹いっぱい。:03/10/24 11:05
流行ると仕事が増えるけど盆の時のような事態は勘弁ですな

116 :106:03/10/24 12:26
>>109

ちなみにうちは学外からのpingはFWで蹴られてしまうのでpingは
すべて学内の感染した端末からのものです。
未だにこんなにNachiが流行しているのはうちの大学があれだから
なのかと思ってしまったもので。。。(いわゆる駅弁大学です。)

117 :109:03/10/24 22:35
>>116
うちは、汚染エリアにいるPCは放置しています。
いくら駆除やパッチ宛を励行しても、
当人にその意志がまったくない人が多くて、
対策はあきらめています。

来年になれば消滅するわけですから、ほっとくに限ります。
安全エリアをぎっちりガードして業務は支障なく行っています。

118 :109:03/10/24 22:40
追補:安全エリア内に感染PCを発見した場合、
厳重に対策しています。持ち込みも厳禁。
ただちに駆除隊員が出動し、始末しています。
悪質なケースでは接続口を閉鎖しています。

119 :_:03/10/24 23:45
うちは昨日の夜あたりからpingが急増してますが
なにかあったんでしょうか?
おまえらはおかわりないですか?

通常落ち込む夜明け付近の数がまったく落てない。
http://homepage3.nifty.com/hora/img-box/img20031024233740.gif
http://homepage3.nifty.com/hora/img-box/img20031024233910.gif
単にどっかのフィルタが外れただけかなあ

MRTGをそのまま使ったんで単位が変ですが、アタック/5分です。


120 :名無しさん@お腹いっぱい。:03/10/25 00:06
>>119
IP変わると、飛んでくる量も全然変わる

121 :ぷらっきー:03/10/25 08:33
>>120
そうだよね。
下手すると毎分100単位でpingが飛んでくる。
そんな時は接続しなおし。

122 :名無しさん@お腹いっぱい。:03/10/25 16:00
スキャンウザイからpingやったんやけど

123 :名無しさん@お腹いっぱい。:03/10/25 17:27
ここ一週間PINGがなかったが昨日からまた来始めました。自分のPCはケーブルのLAN内で繋がってます

124 :名無しさん@お腹いっぱい。:03/10/25 17:32
>>123
今年一杯は収まらないと思う。

125 :123:03/10/25 17:38
迷惑なんだよなぁ、スピードが落ちちゃって。

126 :名無しさん@お腹いっぱい。:03/10/25 22:50
>>121
おれんとこもそう。特定のアドレスに当たるとルーターが常時点滅してる。


127 :名無しさん@お腹いっぱい。:03/10/26 21:33

 icmpのecho requestはpingではない事に早く気付けよ


128 :名無しさん@お腹いっぱい。:03/10/26 22:33
>>127
それでは何でつか?

129 :名無しさん@お腹いっぱい。:03/10/26 22:39
>>127
ぷっ。(顔文字省略)

お前、真正のアフォだろ?
ping ICMP echo request でぐぐってみろ、知ったか厨



130 :名無しさん@お腹いっぱい。:03/10/26 22:39
438 名前:名無しさん@お腹いっぱい。[sage] 投稿日:03/10/26 22:36
>>437
高にしてたらポップアップうるさかった。
つーかOS98だからブラスタ関係なかったし。




ま、これはこれで正しい認識だが……
ウイルスバスタースレより。

131 :名無しさん@お腹いっぱい。:03/10/27 00:21
マスコミもブラスターよりタチが悪いことを知らせて欲しいですね

132 :名無しさん@お腹いっぱい。:03/10/27 01:20
>>127
初心者をまどわすようなカキコすんじゃない。
ICMPのecho requestのことをpingということに早く気づけよ。



133 :名無しさん@お腹いっぱい。:03/10/27 01:35
>>132
読んで理解できないものには惑わされようがない。

134 :132:03/10/27 01:53
それもそうだったw

135 :127じゃないが:03/10/27 02:18
「pingが飛んでくる」は素人くさい言い方だといいたかったんじゃないのか?
pingはICMP echoを飛ばすプログラムだ。

136 :名無しさん@お腹いっぱい。:03/10/27 02:31
>>135
echo requestパケットのことをpingというの。
だからぐぐってみれ、とゆーてるの。

pingというのはもともと潜水艦が出すピーンという「探信音」から
来てるの。探信音を出す機械はpingとはいわん。ソナーという。

生はんかな知ったかは恥の元



137 :名無しさん@お腹いっぱい。:03/10/27 02:38
http://www.ietf.org/rfc/rfc792.txtのどこにそんなこと書いてある?

138 :名無しさん@お腹いっぱい。:03/10/27 03:21
>>137
お前やっぱり>>127だろ。こういうアフォが同時に二人もいるというのは
確率的に考えにくいからな。pingはecho requestの通称だよ。RFCなんか
持ち出してきて真正のバカだな、お前。

ping ICMP echo request でぐぐって出てきたタイトルを報告してみろや


139 :名無しさん@お腹いっぱい。:03/10/27 03:42
>>137
RFC(規格)とコンピュータ用語辞典の区別がついてない…


140 :名無しさん@お腹いっぱい。:03/10/27 04:25
>>137 = >>127
ここまで念入りに恥かいたら普通生きていけないべ

141 :名無しさん@お腹いっぱい。:03/10/27 05:21
早朝から笑わしてくれるなよ(w
今朝の話のネタはこれに決定だな

142 :名無しさん@お腹いっぱい。:03/10/27 05:36
>>127 >>135 >>137
あーあ、RFCなんか素手で触っちゃって、しーらね。RFC触った手でチ●ポいじると
腐って落ちるんだぞー。便所掃除液を3倍に薄めたのでよーく洗っとけよ。






143 :名無しさん@お腹いっぱい。:03/10/27 06:41
犬が水に落ちると、俄然元気出す香具師が増えるなぁ。オレも同じ穴の狢だが

144 :名無しさん@お腹いっぱい。:03/10/27 09:40

★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★

サーバープロセスのバッファオーバーランの脆弱性

メッセンジャーサービス (port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp

★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★



145 :名無しさん@お腹いっぱい。:03/10/27 09:49
>>127
彗星のように現れて彗星のように消えて逝った>>127に( ^_^)/□☆□\(^_^ )カンパーイ!

146 :名無しさん@お腹いっぱい。:03/10/27 11:03
>>127 ( ^_^)/□☆□\(^_^ )カンパーイ!



…しかしくだらんことで盛り上がってしまった。反省…

147 :名無しさん@お腹いっぱい。:03/10/27 11:14

 自分の間違いを指摘されると逆ギレする馬鹿が大勢居る模様


148 :名無しさん@お腹いっぱい。:03/10/27 11:15
>>147
echo requestはpingしかないと思ってる奴、大杉。

149 :名無しさん@お腹いっぱい。:03/10/27 11:18
異世界からの訪問者『 127.0.0.1 』
http://pc.2ch.net/test/read.cgi/sec/1064122787/120-125

150 :名無しさん@お腹いっぱい。:03/10/27 11:33
虎ひっく

151 :名無しさん@お腹いっぱい。:03/10/27 12:00
>>148
echo request は pingと通称される。以上。

何か言いたいことがあれば最後までちゃんと書け。
でないと>>127と間違えられるぞ。

152 :名無しさん@お腹いっぱい。:03/10/27 12:11
全言語のページからping ICMP echo requestを検索しました。 約48,800件中1 - 10件目 ・検索にかかった時間0.17秒
HP MPE/iX with ICMP Echo Request (ping) Vulnerability
ciac.llnl.gov/ciac/bulletins/h-42a.shtml - 9k - 2003年10月25日 - キャッシュ - 関連ページ
ICMP Echo-request (Ping)
www.shorewall.net/ping.html - 8k - キャッシュ - 関連ページ
MPE/iX Sec. Vulnerability with ICMP Echo Request (ping) (revised ...
pintday.org/advisories/vendor/hp/hpsbmp9703-004.html - 7k - キャッシュ - 関連ページ
[UCLA-LUG] Fur Herrn Robert Graham: ICMP Echo Request ('Ping')) ...
linux.ucla.edu/pipermail/linux/ 2002-September/007546.html - 6k - キャッシュ - 関連ページ
Bugtraq: MPE/iX Sec. Vulnerability with ICMP Echo Request (ping)
lists.insecure.org/lists/bugtraq/1997/Jul/0044.html - 19k - キャッシュ - 関連ページ
JTC 017 Ping Flood (ICMP Echo) Detection
advanced.comms.agilent.com/routertester/ member/journal/JTC_017.html - 15k - キャッシュ - 関連ページ
[PDF] PING(8) sping 1.1 PING(8) ping ? send ICMP ECHO request packets ...
www.mirrors.wiretapped.net/security/ network-monitoring/sping/ping.pdf - 関連ページ

153 :名無しさん@お腹いっぱい。:03/10/27 12:18
カンパイするのは早まったか?
>>127
>>152 検索にかかった時間0.17秒
0.17秒でわかることが半日たってもワケワカランらしい気配がする…


154 :名無しさん@お腹いっぱい。:03/10/27 13:31
ICMP Echo Relayって、Pongとは呼ばないのかね。

155 :名無しさん@お腹いっぱい。:03/10/27 13:43
む、間違えた。RelayじゃなくてReply。

156 :名無しさん@お腹いっぱい。:03/10/27 14:15
>>155
Replayかもよ。

157 :名無しさん@お腹いっぱい。:03/10/27 14:26
>>154
あまりポピュラーではないがそう呼ばれることはある。ぐぐればすぐ出てくるぞ

Re: What Port Does Ping Use?
... ICMP uses -types-, in other words the host sends > an ICMP packet with type 'n' or recieves an
ICMP > packet with type 'n'. > ICMP type 8 is an echo-request (ping). > ICMP type 0 is an echo-reply
(pong).
lists.debian.org/debian-user/1999/ debian-user-199911/msg01434.html - 7k - キャッシュ - 関連ページ

158 :名無しさん@お腹いっぱい。:03/10/27 14:28
>>147
どのカキコが馬鹿でどのカキコが間違いなのかアンカー
入れないとお前が>>127かと誤解されるぞ。

159 :名無しさん@お腹いっぱい。:03/10/27 14:45
馬鹿どもを晒しage

160 :名無しさん@お腹いっぱい。:03/10/27 19:35
>>157
なるほど。
呼ぶ奴は呼ぶ、って程度ですかね。
dクス

>>156
ヽ(`Д´)ノ

>>158
∧_∧
( ´・ω・)
( つ旦O
と_)_)

>>159
ヽ(`Д´)ノ

161 :名無しさん@お腹いっぱい。:03/10/27 21:56
>>154
普通にPongですが?

162 :名無しさん@お腹いっぱい。:03/10/27 21:59
>>161
俺なんかPengだぜ、この件についてようど↓

163 :名無しさん@お腹いっぱい。:03/10/27 22:37
焼きそばはpeyang

164 :名無しさん@お腹いっぱい。:03/10/28 01:14
http://info.astrian.net/jargon/terms/p/ping.html
権威有るJargon fileによるとICMP echoをpingと呼ぶのはslang=厨房用語とされているわけだ。
厨房どもわかったか?

165 :名無しさん@お腹いっぱい。:03/10/28 09:09
と、イカ野郎が申しております。

166 :名無しさん@お腹いっぱい。:03/10/28 09:19
http://www.atmarkit.co.jp/fnetwork/netcom/traceroute/traceroute.html

echo request / reply は traceroute (tracert)にも使われている

167 :名無しさん@お腹いっぱい。:03/10/28 09:26
>>164
JargonはJargonだろ?
一般人に押し付けるのはどうかと思うが。
そんなことは粘着質のオタがやることだ。

168 :名無しさん@お腹いっぱい。:03/10/28 10:13
>>167
お前が使うのは勝手だが、厨房用語を>>136のように押し付けるのはやめろ。

169 :名無しさん@お腹いっぱい。:03/10/28 10:31
>>168
バカ?

170 :名無しさん@お腹いっぱい。:03/10/28 10:34
かば ちんどんや

171 :名無しさん@お腹いっぱい。:03/10/28 11:12
↓の母ちゃん ご懐妊

172 :名無しさん@お腹いっぱい。:03/10/28 11:32
厨房用語は使うなと、厨房が「厨房」なんてslangを用いて、電波を発しております。

173 :名無しさん@お腹いっぱい。:03/10/28 12:09
余計な知ったかして、恥かいちゃったね。
でも所詮2chの名無しなんだから、リアルで「ping飛んできた」などと発言して恥かかないように気をつけたまえ。

174 :名無しさん@お腹いっぱい。:03/10/28 12:19
もう次スレは要らないな。

175 :136:03/10/28 12:31
>>164 他
The Jargon Dictionaryはなかなか面白い軽い読み物だ。 
(別に「権威」を目指しているわけじゃないw 当たり前だろ)
http://info.astrian.net/jargon/
そこのpingの説明
http://info.astrian.net/jargon/terms/p/ping.html 
ping [from the submariners' term for a sonar pulse] 1. n. Slang term for a
small network message (ICMP ECHO) sent by a computer to check for
the presence and alertness of another.

The Jargon Dictionary を引用しながらそのslang jargon techspeakの定義
さえ読んでないのは困りもの
http://info.astrian.net/jargon/Introduction/Of_Slang_Jargon_and_Techspeak.html
`slang': informal language from mainstream English or non-technical subcultures
(bikers, rock fans, surfers, etc).
`jargon': without qualifier, denotes informal `slangy' language peculiar to or
predominantly found among hackers -- the subject of this lexicon.
`techspeak': the formal technical vocabulary of programming, computer science,
electronics, and other fields connected to hacking.

それから「権威」とか好きなら、オンライン辞書ではもっとも権威あるアメリカン
ヘリテージ辞書のslangの定義
NOUN:1. A kind of language occurring chiefly in casual and playful speech,
made up typically of short-lived coinages and figures of speech that are deliberately
used in place of standard terms for added raciness, humor, irreverence, or other
effect. 2. Language peculiar to a group; argot or jargon: thieves' slang.

中学2年生程度の英語力と田舎の高校1年パソコンクラブ員程度のコンピュータ
知識で英文資料を引用するのは無理。 あとで解説してやるが、その前に多少は自分
でも努力しないとな。英辞郎http://www.alc.co.jp/ とか使ってまず上の英文を読む
努力してみ。


176 :名無しさん@お腹いっぱい。:03/10/28 12:56
>>166
そのとおり。ping(echo request)が利用される場面のひとつ。
WindowsのTracertコマンドはping(echo request)を連続的に打って
経路情報を調べる。UNIXのTracerouteコマンドではUDPパケットが
デフォだが、ping(echo request)を使うこともできる。

177 :名無しさん@お腹いっぱい。:03/10/28 13:23
俺もPingのように明日に向かって飛んで行きたい。

178 :名無しさん@お腹いっぱい。:03/10/28 14:12
>>175
> `slang': informal language from mainstream English or non-technical subcultures (bikers, rock fans, surfers, etc).
を君達向けにわかりやすく厨房用語と訳してあげたわけだが。引用している部分だけでなく前文も読む事をすすめる。

>それから「権威」とか好きなら、
権威が好きなわけじゃなくて、ぐぐってヒットすること==正しい用法と思ってる、お前たちが哀れすぎるんでな。

>オンライン辞書ではもっとも権威あるアメリカンヘリテージ辞書のslangの定義
アホか? jargon fileではslangを厨房用語と定義して使うとしてるのを、他の定義持ってきてどうしようというんだ?

179 :名無しさん@お腹いっぱい。:03/10/28 14:15
>>127 >>135
ping=ICMP echo requestパケットなんだが、127(じゃないアフォも含む)はどういう
理由か不明だが、どこかで「ping=pingコマンド」と思い込んだんだな。pingコマンドを
pingと省略して呼ぶことはあるからそこまではよかったが、pingコマンドが発行する
パケットはpingではないと妄想してしまったのは恥ずかしかった。

シャネラーが持ってるカバンだからシャネルなんじゃなくて、シャネルを持ってる女が
シャネラーなのw

間違いは誰でもあるが、あまりアフォな粘着すると>>142のように罵倒されるのも仕方
ない。

180 :名無しさん@お腹いっぱい。:03/10/28 14:35
>>152
その中でICMP echoパケットをpingというと書いてあるページをカウントしてみな。

181 :名無しさん@お腹いっぱい。:03/10/28 14:55
Jargon Fileでは、「ICMP echoパケット」を表すためにpingを使う用法はslangとして分類されてる。
Jargon Fileでのslangの定義はhttp://info.astrian.net/jargon/Introduction/Of_Slang_Jargon_and_Techspeak.html
リアルで恥かきたくない奴は、自分で判断することだ。

所詮定義の問題だし、アホが恥かこうが知ったこっちゃないんで、そろそろ消えるわ。

182 :175:03/10/28 15:02
では約束だから>>175を解説しておこう

The Jargon Dictionaryのpingの説明
ping [潜水艦乗りのソナーのパルスを指す用語から]あるコンピュータから
他のコンピュータにその存在や反応を確認するために送信される小さいネット
ワーク・メッセージ(ICMP ECHO)を指すスラング

同サイトのslang jargon techspeakの定義
スラング':一般英語または非技術的なサブカルチャー(バイカー、ロックファン、
サーファー)などの間で使われるインフォーマルな言葉
ジャーゴン:特にことわらない場合、スラングっぽいインフォーマルな言葉で特に
ハッカーの間で使われるもの―この用語集の対象
テックスピーク:プログラミング、コンピュータ科学、エレクトロニクス、その他
ハッキングに関連ある分野で使用されるフォーマルな用語

アメリカンヘリテージ辞書のslangの定義
名詞:1 主にカジュアルないしふざけた会話で使われる言葉。多くは短命な造語で
ユーモア、ナンセンス、薬味を効かせるなどの目的で通常の言葉のかわりにわざと
使われる。2 特定のグループ内で使われる言葉。argo jargon (を見よ) thieves'
slang盗賊の隠語

以上のように、Tha Jargon Dictionaryではハッカー特有のスラングをjargonと
呼ぶとしている。pingをjargonでなくスラングとしたのはハッカー用語というには
あまりに一般的なコンピュータ用語だからだろう。いずれにせよこの定義によれば
jargonはslangの一部。

スラングの英語での意味はあくまでインフォーマル、カジュアルな言葉ということ。
背広がフォーマルなのに対してTシャツやジーンズのような言葉。スラングを使うな
というのはTシャツ着るなというのと同じでナンセンス。スラング=下品というのは
一部の日本人の誤解。(下品だから使っていかんということにもならないがw)

183 :182:03/10/28 15:04
英語が読めないで英語の資料を引用するのは無謀と言っただろう。The Jargon
Dictionary なんか引用するのは自滅。pingの定義は、>>136と潜水艦のソナー
の語源の説明までまったく同じ。ことわっとくが、別にこの項目を訳したわけでは
ないw  単なる常識ということ。

184 :名無しさん@お腹いっぱい。:03/10/28 15:11
>>181
自分で英語ソース持ち出す→持ち出したソースの英語が読めない→
他人に訳されてしまう→その英語資料に裏切られる→がーん…→
一生消えない恥→消えていく→哀れな話だなー

185 :名無しさん@お腹いっぱい。:03/10/28 15:54
>>182-184
どっちでもいいが、高卒程度で理解できる英語を必死になって訳した上に、上げて自作自演まで...
お前暑苦しいよ。

186 :名無しさん@お腹いっぱい。:03/10/28 17:08
と、イカ座衛門が負け惜しみを言っています。

187 :名無しさん@お腹いっぱい。:03/10/28 18:12
>>185
初歩の英語も理解できず、自分の嘘をまっこうから否定しているソースを
貼り付けてオウンゴールしてしまったのはオオワライ。セキュ板をなめるな、
ということだな。

188 :名無しさん@お腹いっぱい。:03/10/28 18:49
全ては>>127の一言から始まった


189 :名無しさん@お腹いっぱい。:03/10/28 18:57
>>187
まあ、餅つけ! 嘘を否定したら真になっちまうべ

190 :名無しさん@お腹いっぱい。:03/10/28 19:13
なんか俺、>>127がちょっと可哀想になってきたw

191 :名無しさん@お腹いっぱい。:03/10/28 19:52
ビッグカツ食って百件落着だな。

192 :名無しさん@お腹いっぱい。:03/10/28 20:28
ここはピンピンなインターネットですね。


193 :名無しさん@お腹いっぱい。:03/10/28 20:52
相変わらず肥溜め臭いスレですね!

194 :名無しさん@お腹いっぱい。:03/10/28 20:54
Ping Po--------ng!!

195 :名無しさん@お腹いっぱい。:03/10/28 20:54
このところ、社内ネットワークで、TCP port:138 TCP port:139 のアクセスが
ある遠方の特定のところの複数のマシンから来ている。(今日も TCP port:139 あり)
いちおう、KB824146Scan.exe と nbtstat および「検索システム」のクロスオーバー検索で、
該当部署と該当者らをつきとめたが。

Blaster とも Nachi とも違うようだけど、何だと思う?

196 :名無しさん@お腹いっぱい。:03/10/28 21:11
>>195
きっとpingだろ。

197 :名無しさん@お腹いっぱい。:03/10/28 21:51
>>195
NetBIOSのゴミじゃないのか?


198 :名無しさん@お腹いっぱい。:03/10/28 22:11
>>197
ゴミの可能性はあるが、「特定のところの複数のマシン」ってことが臭い。Mumu かな?

199 :名無しさん@お腹いっぱい。:03/10/28 22:12
ルータによってpingがTCPやUDPに替わるってことある?
最近ルータを替えたんだけど、pingがログに残らなくなって
TCPとUDPだらけになってもうた。

この間までpingのアラシだったのに。(´・ω・`)

200 :名無しさん@お腹いっぱい。:03/10/28 22:37
>>199
単にICMP2048をログらない設定になってるのでは?
機種は?

201 :名無しさん@お腹いっぱい。:03/10/28 22:41
何故、Pingを熱く語り合っているの?
セキュ板で語る程の物なの?
いつまで経っても、'Hello world' なの?

202 :名無しさん@お腹いっぱい。:03/10/28 23:26
>>201
お前どっか抜けてるってよく言われるだろ?

203 :名無しさん@お腹いっぱい。:03/10/28 23:34
>>195
NetBIOSで共有ドライブを探しているということは、ゴミでなければ
Nimda系の生き残りかな?

204 :名無しさん@お腹いっぱい。:03/10/28 23:37
>>195

既出のワームやウィルスなら、スキャン掛ければたいてい検出できるでしょ。

205 :名無しさん@お腹いっぱい。:03/10/29 00:06
>199を「pingのアザラシ」と読んでしまった。。。

(´・ω・`)  ←きっとこれのせいだ。

206 :名無しさん@お腹いっぱい。:03/10/29 01:56
>>204
自分が鳥取支社の経理部員兼システム担当で探知したマシンが
東京本社の役員のだったらどうよ。

207 :名無しさん@お腹いっぱい。:03/10/29 02:17
小遣いせびる

208 :名無しさん@お腹いっぱい。:03/10/29 03:19
アザラシを送りつける

209 :名無しさん@お腹いっぱい。:03/10/29 09:49

  き さ ま ら p i n g と 言 う 言 葉 一 つ で ど う し て こ ん な に 暑 く 語 れ る ン だ? 



210 :名無しさん@お腹いっぱい。:03/10/29 09:53
>>209
これで貴様も晴れて仲間入りだな。w

211 :199:03/10/29 10:51
>>200
BAR SW-4P Pro から BA8000Pro に乗り換えました。
ICMP は無視する仕様なのかな。(´・ω・`)

212 :もしも127@お腹いっぱい。:03/10/29 19:59
<<127
もしも、あの「 127 」が
「最近増えてきたicmpのecho requestは、単なるpingではない事に早く気付けよ」
と、言いたかったのならば、、、。

新種「W32/Welchi」ワームは、ランダムなIPアドレスに対して Ping を発信し、応答があったIPアドレスの 135/TCP に接続する。
この板に関しては、
「W32/MSBlaster」ワームは、TCP 135 番ポートを通じて、セキュリティ脆弱性を攻略し、msblast.exe という名のファイルをダウンロードし、実行を試みる。

213 :名無しさん@お腹いっぱい。:03/10/29 20:06
>>212
<<127
ワラタ

で、何が言いたいの?

214 :もしも127@お腹いっぱい。:03/10/29 20:33
>>127
>>213
つまり「単なるpingではない」から、
PINGがきて
詳細: ルール「デフォルトアウトバウンド ICMP」が 218.42.209.51、0 を許可しました
メッセージタイプは「Echo Reply」
こうなって、そして
詳細: 218.42.209.51、dcom(135) を許可しました。
かくして、
「W32/Welchi」ワームが広がっていくと、言いたかったのかも
しれんと書いてみたかったのだ。

215 :名無しさん@お腹いっぱい。:03/10/29 22:34
------------------------------------
       FAQは>>19-24
------------------------------------


216 :名無しさん@お腹いっぱい。:03/10/29 22:36
----------------------------------------
       FAQは >>19 から >>24 まで
----------------------------------------
このほうが見やすいだろう。


217 :名無しさん@お腹いっぱい。:03/10/29 22:51
>>216
>>215 の方がいいと思います。

218 :名無しさん@お腹いっぱい。:03/10/30 03:26
漏れはOpenJaneDoeだが、>>216のほうがいい。>>215
ように多数のレス番を参照されると、いきなり巨大なレス
内容のポップアップが出てデスクトップが見えなくなって
ちょっとうざい。


219 :名無しさん@お腹いっぱい。:03/10/30 07:25
>>218

>>1-218

220 :名無しさん@お腹いっぱい。:03/10/30 07:42
いけずやわぁ!

221 :名無しさん@お腹いっぱい。:03/10/30 11:35
----------------------------------------
       FAQは >>19,20,21,22,23,24
----------------------------------------

222 :名無しさん@お腹いっぱい。:03/10/30 11:36
ちうか、次スレいるの?

223 :名無しさん@お腹いっぱい。:03/10/30 11:47
--------------------------------------------------
       FAQは >>19,>>20,>>21,>>22,>>23,>>24
--------------------------------------------------

224 :名無しさん@お腹いっぱい。:03/10/30 11:53
このスレはFAQを指し示すスレになりました。

225 :名無しさん@お腹いっぱい。:03/10/30 11:57
faqテンプレートチャンピオン選手権開催中。

226 :名無しさん@お腹いっぱい。:03/10/30 15:42
こんな張り紙をハブの近辺、空きLANケーブルやサーバーの付近に貼ってみたよ

【ウィルス対策のための禁止事項】
・ 現在の社内にあるパソコン以外のパソコンを、管理者の承認無く、社内LANに接続しないこと
・ インターネットには、現在の社内LANから接続する方法以外の方法で接続しないこと(AirH"などで直接接続など)
【実際に官公庁等でのウィルス感染事故の報道がありました】
詳細は管理者まで



227 :名無しさん@お腹いっぱい。:03/10/30 16:17
ご苦労様っす。大変ですね。
でも表現が弱くねえすか?あるいは直感的じゃねえというか。

228 :名無しさん@お腹いっぱい。:03/10/30 17:33
こいつ↓がいい見本書いてくれるさ。

229 :名無しさん@お腹いっぱい。:03/10/30 17:57
いやいやご謙遜。告知させて↑の右に出るものないというじゃありませんか。

230 :名無しさん@お腹いっぱい。:03/10/31 09:12
>>227
まかせたぞ!

231 :名無しさん@お腹いっぱい。:03/10/31 15:55
>>223
おお、これは意外に(・∀・)イイ!



232 :名無しさん@お腹いっぱい。:03/10/31 16:08
>>226
貼る場所は決っているんだよね。ほんじゃあでっかく。

【許可を取りましたか!】
・管理者誰某に許可を取らない限り、何も差し込んではいけません!
・管理者誰某に許可を取らない限り、何も持ち出してはいけません!

  管理者誰某に許可を取らない限り、
  社内ネットワークへの接続台数を増やしてはいけないのです!!

・無断で接続し、システムをダウンさせ、業務に支障を生じたら、困るのは……















俺なんです。

233 :名無しさん@お腹いっぱい。:03/10/31 16:21
>>226
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

         MSブラスタ延焼中。無断LAN接続厳禁

 現在接続されている以外のパソコンを★絶対に★社内LANに接続
しないでください。
 マスコミですでに報道されているとおり、官公庁・企業等で、無断で接続した
パソコンのため社内LANがMSブラスタ(別名Welchia, Nachi)などのウィールス
に感染し、日常業務が停止するなど重大な支障をきたした例が多発しています。
 業務上どうしても接続が必要な場合は管理者まで申し出てください。連絡先:

|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||


あと、「火の用心」の札をスキャナで読んでカットに貼る。

234 :名無しさん@お腹いっぱい。:03/10/31 20:02
||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

         MSブラスタ延焼中。無断LAN接続厳禁

 現在接続されている以外のパソコンを★絶対に★社内LANに接続
しないでください。
 マスコミですでに報道されているとおり、官公庁・企業等で、無断で接続した
パソコンのため社内LANがMSブラスタ(別名Welchia, Nachi)などのウィールス
に感染し、日常業務が停止するなど重大な支障をきたした例が多発しています。
 業務上どうしても接続が必要な場合は管理者まで申し出てください。連絡先:

* 無断接続し損害を及ぼした者は、200万円以下の罰金、もしくは、5年以下の懲役に処す。
|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||

235 :名無しさん@お腹いっぱい。:03/10/31 21:06
こんな事書いて貼り付けるより、自分の肛門をドアップで撮影して
それを貼った方がよっぽど効果あるな。
そこのモーホー野郎↓もそう思うだろ?

236 :名無しさん@お腹いっぱい。:03/10/31 21:32
バックゲートに極太の栓をした画像キボンヌ

237 :名無しさん@お腹いっぱい。:03/10/31 22:13


   ∧∧
   (゚∀゚= )  
  (⊃⌒*⌒⊂)
  /__ノωヽ__)

238 :名無しさん@お腹いっぱい。:03/10/31 23:10
↑に栓(プラグ)はめました。 ああああー、なんてポルノなの。。。!

   ∧∧
   (゚∀゚= )  
  (⊃⌒0⌒⊂)
  /__ノωヽ__)


239 :名無しさん@お腹いっぱい。:03/10/31 23:14
↑よい子はまねしちゃダメ!

240 :名無しさん@お腹いっぱい。:03/10/31 23:50
こいつには敵わんだろ。
http://deimos.siliconsamurai.net/stuff/

241 :名無しさん@お腹いっぱい。:03/11/01 11:21
------------------------------------------------------------
       FAQは >>19,>>20,>>21,>>22,>>23,>>24 ですか?
------------------------------------------------------------

242 :名無しさん@お腹いっぱい。:03/11/01 20:41
       _ , ― 、
      ,−'  `      ̄ヽ_
     ,'            ヽ
    (              )
    (     ノ`ー'ー'ヽ     )
    (    ノ●  ●(     )
     (   〉 -――-(      )_  _
      `ー'l  ●    (    ノ    ヽ )
       、‘ー'ー’ _ノ`ー'      |
         ̄| ̄           |
         /  /7  / ̄ ̄/   /
         `ー´ `ー ´   `―´

243 :名無しさん@お腹いっぱい。:03/11/01 21:14
>>242
テディベアカットのAA頼みます

ほしゅ

244 :名無しさん@お腹いっぱい。:03/11/01 23:02
ネタスレになっちまったな。ここも。

245 :名無しさん@お腹いっぱい。:03/11/01 23:26
>>242
おまいのレスにはがっかりだよ。

246 :名無しさん@お腹いっぱい。:03/11/02 17:35
平和でいいわけだが。しかし来年の1月1日に何が起きるのか不吉な余寒が…
漏れん家は帰る田舎ないから、なんかあったら速攻で緊急召集喰う。海外旅行
でも予約しとくかなー。

保守

247 :名無しさん@お腹いっぱい。:03/11/02 19:37
>>246
そっちは、3月か4月の陽気なんだ。オーストラリア辺りから、ここ見てる悪寒。

248 :名無しさん@お腹いっぱい。:03/11/02 21:59
今日はping攻撃すごいね!

249 :名無しさん@お腹いっぱい。:03/11/03 07:35
この週末また増えたような気がするよ

250 :名無しさん@お腹いっぱい。:03/11/03 14:35
>今日はping攻撃すごいね!

マダバカガイルヨ…


251 :名無しさん@お腹いっぱい。:03/11/03 14:53
>>250
生粋のバカハケーンw

252 :名無しさん@お腹いっぱい。:03/11/03 18:39
つまり、バカしか居ないのか……。

253 :名無しさん@お腹いっぱい。:03/11/03 19:25
>>252
ワロタ

254 :名無しさん@お腹いっぱい。:03/11/03 19:44
>>250 ツマンネ

255 :名無しさん@お腹いっぱい。:03/11/03 20:20
核心を突かれて逆ギレしている馬鹿が大勢いる模様


256 :名無しさん@お腹いっぱい。:03/11/03 21:21
>>257
うっさいデブ

257 :名無しさん@お腹いっぱい。:03/11/03 21:28
257: デブにデブゆわれる筋合いはねぇ、マルチデブ!

258 :名無しさん@お腹いっぱい。:03/11/03 21:39
       _ , ― 、
      ,−'  `      ̄ヽ_
     ,'            ヽ
    (              )
    (     ノ`ー'ー'ヽ     )
    (    ノ●  ●(     )
     (   〉 -――-(      )_  _
      `ー'l  ●    (    ノ    ヽ )
       、‘ー'ー’ _ノ`ー'      |
         ̄| ̄           |
         /  /7  / ̄ ̄/   /
         `ー´ `ー ´   `―

259 :名無しさん@お腹いっぱい。:03/11/03 22:38
-------------------------------------------------------
       FAQは >>19,>>20,>>21,>>22,>>23,>>24
-------------------------------------------------------

260 :名無しさん@お腹いっぱい。:03/11/03 22:53
>>259



261 :名無しさん@お腹いっぱい。:03/11/03 22:59
>>259
小津

262 :名無しさん@お腹いっぱい。:03/11/03 23:00
腹減った、彼ーくいたい。

263 :名無しさん@お腹いっぱい。:03/11/04 01:52
小中31校 パソコン“集団感染”
http://www.yomiuri.co.jp/net/news/20031031ij51.htm

フロッピーで「ウェルチア」に感染するのか?

264 :名無しさん@お腹いっぱい。:03/11/04 02:28
>>263
ばかじゃねぇの?
持ち込んだパソコンが感染してて、それをLANに接続しちまったに決まってるジャン。

265 :名無しさん@お腹いっぱい。:03/11/04 02:30
>>264
口汚い人だね。

266 :名無しさん@お腹いっぱい。:03/11/04 04:30
>>265
この記事の市教委に言ったつもりなんですが?

267 :名無しさん@お腹いっぱい。:03/11/04 05:40
あのぉ・・・今更このウィルスひっかかっちゃって、とりあえず
タスクマネージャーつかって駆除してノートンでしのいでるんです
が、ウィンドウズのCDROMってもう、店頭にないですかね?
なんか10月末まででしたよね・・・。480円ださないと無理かな。
ADSLとかじゃないんで、ダウソは無理ですた。

268 :名無しさん@お腹いっぱい。:03/11/04 06:03
>>267
アップデートはできたらしておいたほうがいいに決まってるが、それでWinの
セキュ穴が全部なくなるわけではない。MSBlast系各種ウィールスに関しては
>>24参考にしてDCOM無効にしとけばとりあえずOK。XPの場合も同じ手順
でよい。>>20で紹介されているDCOMBobulatorは便利。

その他FAQ読んでファイアウォール、アンチウィールス、アンチスパイで自衛。

269 :名無しさん@お腹いっぱい。:03/11/04 08:44
>>266
そうなの。ちょっと勘違い。その点はご容赦。それにしても、ばっかじゃねえは少し。

270 :名無しさん@お腹いっぱい。:03/11/04 09:10
>>269
2ちゃんで何を今更((´゚c_,゚` ) プッ

271 :名無しさん@お腹いっぱい。:03/11/04 09:12
>>267
>>1-30

272 :名無しさん@お腹いっぱい。:03/11/04 18:23
       _ , ― 、
      ,−'  `      ̄ヽ_
     ,'            ヽ
    (              )
    (     ノ`ー'ー'ヽ     )
    (    ノ●  ●(     )
     (   〉 -――-(      )_  _
      `ー'l  ●    (    ノ    ヽ )
       、‘ー'ー’ _ノ`ー'      |
         ̄| ̄           |
         /  /7  / ̄ ̄/   /
         `ー´ `ー ´   `―

273 :名無しさん@お腹いっぱい。:03/11/04 19:14
>>272
だからテディベアカットのカワイイのにしてちょ。それカワイクナイ。

274 :名無しさん@お腹いっぱい。:03/11/04 20:44
>>273 おまえが貼れ!

275 :名無しさん@お腹いっぱい。:03/11/04 21:31
ウム、確かに不細工じゃ。

276 :名無しさん@お腹いっぱい。:03/11/04 22:44
>>263
「レッドロフ」「ラブレター」

今どき流行らねぇよカス>教委

277 :名無しさん@お腹いっぱい。:03/11/04 22:48
http://snow.prohosting.com/momaa/
かわいそうな人w

278 :名無しさん@お腹いっぱい。:03/11/04 23:13
       _ , ― 、
      ,−'  `      ̄ヽ_
     ,'            ヽ
    (              )
    (     ノ`ー'ー'ヽ     )
    (    ノ★  ☆(     )
     (   〉 -――-(      )_  _
      `ー'l  ●    (    ノ    ヽ )
       、‘ー'ー’ _ノ`ー'      |
         ̄| ̄           |
         /  /7  / ̄ ̄/   /
         `ー´ `ー ´   `―

279 :名無しさん@お腹いっぱい。:03/11/04 23:37
サービスパックはCDROMからインストールできたけど、その他の
アップデートはやっぱりADSLとかじゃないと無理なのかな。
このウィルスってネット遮断する他になんかマズイことはあるんでしょうか?


280 :名無しさん@お腹いっぱい。:03/11/05 01:18
>>279
まずいこと:他のPCに感染さしてまずー&「他のPC」を探してインターネット
全体を重くしてまずー(企業などのLANでは仕事にならない場合もあるほど)
アップデート:WindowsUpdateのことなら、こまめにすればADSL等でなくてもOK
ISDNでもいけてる。

つーか難民ならしょうがないけどADSLか光は無理なのか?
アナログの場合であってもWindows Updateはやらんとマナーを問われる時代
になったと思うよ。

>>266
市教委もだけど、その記事を書いた記者にもね

281 :名無しさん@お腹いっぱい。:03/11/05 09:22
>>276
http://www.isskk.co.jp/SOC_report.html

282 :名無しさん@お腹いっぱい。:03/11/05 12:30
トレンドが「ミメイルC流行ってますよん」とかメール送ってよこしたが、
………………………………………………………………………………………
◇◇【目に見える特徴/ミメイルC】
………………………………………………………………………………………
■電子メールのタイトルが、「Re[2]: our private photos ….」ではじまって
 います。
■差出人のメールアドレスを詐称し、「james@……」で始まる偽のアドレスに
 なっています。
■添付ファイルの名称が「photos.zip」になっています。

こんなアフォ満開のメールでホントに流行なんかさせられんのかよ?
トレンドの宣伝じゃないかねー?

283 :282:03/11/05 12:36
ちがった、トレンドじゃなくてシマンテックのメールだった。スマソ。
やはりシマンテックは宣伝うざい。


284 :名無しさん@お腹いっぱい。:03/11/05 20:22
http://headlines.yahoo.co.jp/hl?a=20031105-00000004-cnet-sci
誰か捕まえて!

285 :名無しさん@お腹いっぱい。:03/11/05 21:04
>>284
生死を問わず…ビル・ゲイツ

のAAきぼん。

286 :名無しさん@お腹いっぱい。:03/11/06 00:23
最近、質問スレで藪パソの出現率高いよね。
ここは、落ち着くな♪
ageだと、藪が来るのでsage進行

287 :名無しさん@お腹いっぱい。:03/11/06 03:05
最近薮駆除人さん(?)が出現して薮を禿とっちめるので薮があせって
弁解屁理屈レスをつけるので目立つようになったと思われ…sage

288 :名無しさん@お腹いっぱい。:03/11/06 11:45
いま突然ICMP2048がめちゃ増えたが…当方YBB

289 :名無しさん@お腹いっぱい。:03/11/06 14:09
ICMP2048って(苦笑

290 :名無しさん@お腹いっぱい。:03/11/06 15:27
すいません、ICMP2048下さい。

291 :名無しさん@お腹いっぱい。:03/11/06 17:22
DLLHOST.EXEとteekids.exeとmslugh.exeにやられてるようなのですが、
通常起動させてタスクマネージャーでみると出てくるし、ネットに繋ぐ
前に削除してノートン起動、DCOMbobもやってみてるのですが、
ここで紹介されてるようにセーフモードで起動するとタクスマネージャー
にはウィルス名が出てきません・・。

きっと私の知識不足で何か勘違いしてるんでしょうけど、完全に削除する方法
をもうちょっと解りやすく教えていただけないでしょうか?
何度削除しても再感染してしまいます。XPなんでファイアーウォールの設定も
しました。svchost.exeっていうのは小文字で4つあります。
サービスパックは入れて、現在アップデートはちょっとづつ(現在80%)で、
アップデートできたら解決するでしょうか?

292 :名無しさん@お腹いっぱい。:03/11/06 18:49
>>291

>DLLHOST.EXEとteekids.exeとmslugh.exeにやられてるようなのですが、

そう判断した根拠は?

293 :名無しさん@お腹いっぱい。:03/11/06 19:25
>>291
レス診た限り、それは感染していない。
完全に削除するなら、回復コンソールからデリートする方法もある。
結果、OSが使い物にならなくなるけどね。
NAVで検出されたのかい?
検出もされていないのに勘違いで騒いでいるなら死んだ方がいいよ。

294 :名無しさん@お腹いっぱい。:03/11/06 22:15
25万$か。せこいと思ったら、総額500万$なのねん。

295 :名無しさん@お腹いっぱい。:03/11/07 10:05
>>292
普通に起動すると、DLLHOST.EXEとteekids.exeとmslugh.exeがタスクマネージャー
に出て来て、そのままネットに繋ぐと再起動しちゃうんですよ。んで、ネットに繋ぐ
前にタスクマネージャーで消すと大丈夫。
でも消してもまた再起動するとDLLHOST.EXEとteekids.exeとmslugh.exeはタスクマネージャー
にでてくるので、セーフモードで起動して消そうとすると、セーフモードではタスクマネージャー
にはでてこないっていうことです。

296 :名無しさん@お腹いっぱい。:03/11/07 10:11
>>295
セーフモードでウイルスをスキャンして削除すればいいでしょ。

297 :名無しさん@お腹いっぱい。:03/11/07 10:14
>>295
アホ
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blasterE_xp.asp

298 :名無しさん@お腹いっぱい。:03/11/07 23:15
>297
それはずっと前にみました。でもありがとう。

ノートンやめて、ウィルスバスターの体験入れたらちゃんとブロックして
くれてるみたいです。ノートンの時はネットに繋ぐたびに感染してたのに
不思議です。

299 :名無しさん@お腹いっぱい。:03/11/07 23:45
1.Winのパッチは当てたか?
2.駆除ツールを使って消している?

この2点を知りたいな。

300 :名無しさん@お腹いっぱい。:03/11/07 23:49
>299
アップデート完了で、ウィルスバスターで駆除したらOKになりました。
セーフモードではタスクマネージャーには出ませんでした。
ところで、ICP要求とかいうの次々きますね。これは駆除してない人が
多いということなんでしょうか?

301 :ななし:03/11/08 02:33
ウィルス情報&質問総合スレから誘導してもらってきました

XPなのですが、起動してすぐにRPCサービスが異常終了したのでウィンドウズを再起動する必要があると出て、タイマーが出て1分で再起動してしまいます。
ブラスターだろうと言われたのですが、タスクマネージャを見てもmsblast.exeとかpenis.exeとか、teekid.exeと言った物はありません。

Fix Blastというソフトでは見つからなかったので
ブラスターDではないかと思い、ここの>>8を見て調べて見たんですが

ファイルの検索でdllhost を調べた結果
DLLHOST.EXE-1ECB6754.pf C:\WINDOWS\Prefetch 23KB PFファイル 2003/10/25
dllhost               C:\WINDOWS\system32 5KB アプリケーション 2002/8/31
DLLHOST            C:\WINDOWS\I386     3KB EX_ファイル 2002/8/25

svchostの検索結果
svchost             C:\WINDOWS\system32 7KB アプリケーション 2002/8/31
SVCHOST           C:\WINDOWS\I386     13KB EX_ファイル  2002/8/31
もう一個あったけど、あやしいと思って消しちゃいました(^^;; まずかったかな
そのsvchostは小文字か大文字か忘れました ¥PrefechにあったPFファイルで、更新日が2003/10/30です
たしかその日からおかしくなったので・・

\system32と言うフォルダにある物が本体なのでしょうか?
しかし、更新日が一年以上前になっています
PCをかったのは2003/10/25です

いままでWINDOWS98で全然被害にあったことがなくて
ウイルス関係の知識が全くなくてすみません^^;


302 :301:03/11/08 02:50
更新日ではなく作成日がもんだいなのか・・(^^;
\system32の dllhost svchost の作成日は共に2003/5/9になっていました

303 :301:03/11/08 03:17
やばっ、、\system じゃなくて\system\winsか、、
winsはからっぽらしい・・・お騒がせしました

そうすると原因は何だろう?


304 :名無しさん@お腹いっぱい。:03/11/08 04:59
>>301
再起動を止める方法を教えるから
システムのプロパティ 詳細設定 起動と回復にある設定 
システムエラーにある 自動的に再起動する(R)のチェックを外す
ウインドウズアップデートでパッチを全てあててくる。

あなたがこの後にするべきことは、セーフモードで起動して
ウイルスをスキャン後に削除すること。
ファイアーウオール使っていないのなら、ウインドウズアップデートしておかないと
ネットに繋いだ途端に、またすぐ感染するからね。

305 :名無しさん@お腹いっぱい。:03/11/08 05:04
>301の後に、リカバリーディスクのタイブじゃないんなら、修復インストールする。
http://support.microsoft.com/default.aspx?scid=kb;JA;315341

306 :名無しさん@お腹いっぱい。:03/11/08 05:07

これやったら、ウインドウズアップデートしなくちゃ、ダメだからな。

307 :名無しさん@お腹いっぱい。:03/11/08 05:19
>>303
RPCのセキュリティホールを狙うウィルスはMSBlast/Nachi系だけじゃない。

ここに載っているのがすべてというわけでもない。
http://www.microsoft.com/japan/technet/security/virus/blstvariants.asp

たとえば
Backdoor.IRC.Cirebot (シマンテック)
http://www.symantec.co.jp/region/jp/sarcj/data/b/backdoor.irc.cirebot.html
は載ってない

308 :301:03/11/09 05:35
早速レス頂きありがとうございます!
>>304さんの方法を試みましたが、自動的に再起動する、の項目は最初からチェックが入っていませんでした
http://mitinoku.jp/msblast.html の一番下にある方法でその場しのぎしています

今日夕方に帰ったらまた続きをします(^^;


309 :名無しさん@お腹いっぱい。:03/11/09 23:41
>>300
未だにWormからのアタックは多い。
Winのパッチを当てていなかったため、駆除→感染を繰り返していたんだろう。
感染予防をしない(パッチ当て)と意味が無い。
今後は、治療より感染予防を心がけましょう。

310 :名無しさん@お腹いっぱい。:03/11/10 01:17
--------------------------------------------------
       FAQは >>19,>>20,>>21,>>22,>>23,>>24
--------------------------------------------------

再感染の防止のため、
 Windows Update
 危険なWindowsサービスの停止(DCOM、UPnP、Messenger)
 ファイアウォールソフト、アンチウィールスソフトの導入
をぜひ実行してください

311 :名無しさん@お腹いっぱい。:03/11/10 03:00
いやもう相変わらず世界各地からいらっしゃってますから。
当分駄目だねこりゃ。

312 :名無しさん@お腹いっぱい。:03/11/10 15:12
いつのまにかOpera7.21正式版が出ていた。バグフィックス版で特に
新機能はないようだが、とにかく入れておいた。

オペラがスパイウェアだという「都市伝説」があるが、オペラfree版は
adwareでspy行為はしない。Opera側が↓説明しているし、
http://www.opera.com/support/search/supsearch.dml?index=453
Outpostでコネクション動作を見張っていればそのとおりだとわかる。

Adsプラグインに>>422の AGNIS-OPブロックリストを入れるとバナー
広告も完全にブロックできるので快適。OperaはIEコンポネントを
使わないので起動に多少時間かかるが、IEのセキュ穴と無縁になる
代償としては安いものかと。


313 :名無しさん@お腹いっぱい。:03/11/10 15:16
誤爆か?w

314 :名無しさん@お腹いっぱい。:03/11/10 15:16
>>312
ありゃ誤爆。スマソ。
しかし、まあ、そういうことでしから参考にしちくだされw 

315 :名無しさん@お腹いっぱい。:03/11/10 17:03
月曜になるとping攻撃が凄まじくなる!

316 :名無しさん@お腹いっぱい。:03/11/10 17:29
>>315
肛門が臭い奴にはPingが寄ってくるよ。

317 :名無しさん@お腹いっぱい。:03/11/10 17:39
オマソコ臭い香具師には?

318 :名無しさん@お腹いっぱい。:03/11/10 18:19
脳味噌腐っているようなボケレスの応酬だな……。

319 :名無しさん@お腹いっぱい。:03/11/10 19:52
臭ping に糞pong

320 :名無しさん@お腹いっぱい。:03/11/10 19:57
>>318
小人閑居して不善をなすというからなー。

321 :名無しさん@お腹いっぱい。:03/11/10 21:10
薮パソ対策の為、sage進行

322 :名無しさん@お腹いっぱい。:03/11/11 10:04
まあなんだかんだ言って息の長いウィルスにはなりそうだ(nachiは年明けにあぼ〜ん→ブラスタ蔓延加速)

323 :名無しさん@お腹いっぱい。:03/11/11 22:18
かいしゃのダイアルアップルーターが長時間通信するようになった
でもパソコン電源切れてる時でも通信してるみたい
それこれの影響って考えられるのかな?

324 :名無しさん@お腹いっぱい。:03/11/12 10:40
>>323
>これの影響
外からひっきりなしにパケットが飛び込んでくるから、
無通信状態にならない罠。


325 :名無しさん@お腹いっぱい。:03/11/12 14:02

★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★

サーバープロセスのバッファオーバーランの脆弱性

Workstation サービス (port 138-139,445 TCP/UDP)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-049.asp
メッセンジャーサービス (port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp

★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★



326 :名無しさん@お腹いっぱい。:03/11/12 14:30
>>325



_|⌒|〇 マタカヨMS...

327 :名無しさん@お腹いっぱい。:03/11/12 14:40
サービス脆弱性
                          __,,:::=========:::,,_,__
                        ...‐''゙ .  `    ,_ `   ''‐...
                     ..‐´      ゙           `‐..
 ─┼─   /\        /                  ○   \
 ─┼─ /\/_.........;;;;;;;;;;;;;;;;::´      (⌒,)         .l      ヽ.:;;;;;;;;;;;;;;;;;;;;;;.................     |||||
   │    / ゙゙       .'          ̄  ヽ __ , ─|       ヽ      ゙゙゙゙゙゙゙゙゙゙゙゙゙;;;;;;;;;;......。・ ・ ・ ・ ・
   |   /         /             ヽ       .|        ゙:                ゙゙゙゙゙;;;;;;
  ゙゙゙゙゙;;;;;;;;............        ;゙               ヽ     l           ゙;       .............;;;;;;;;゙゙゙゙゙
      ゙゙゙゙゙゙゙゙゙;;;;;;;;;;;;;;;;;.......;.............................          .ヽ   ./ ..................................;.......;;;;;;;;;;;;;;;;;゙゙゙゙゙゙゙゙゙     ____
 ::::日F|xxx・,`:::::::::::::::::: ゙゙゙゙タ.゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;ヽ ./゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙゙!!゙゙゙゙゙ ::::::::::::::::::`'*[] H]. |[][]|:
 ::::日日II[][]'l*:::::::::::::::::: ノキli; i . .;, 、    .,,         .V   ` ; 、  .; ´ ;,i!!|iγ :::::::::::::::::::j;‘日/ .|[][]|::::
::::口旦 E=Д;‘`::::::::::::::::::::: /゙||lii|li||,;,.il|i;, ; . ., ,li   ' ;   .` .;    il,.;;.:||i .i| :;il|!!|;(゙ ::::::::::::::::::::::"‘、Дロ::::
  ::::Д日T† ;j;::::::::::::::::::::::: `;;i|l|li||lll|||il;i:ii,..,.i||l´i,,.;,.. .il `,  ,i|;.,l;;:`ii||iil||il||il||l||i|lii゙ゝ :::::::::::::::::::::::・;日日T::: 日::::


328 :名無しさん@お腹いっぱい。:03/11/12 14:41
ひさしぶれにスレの本題にもどれそぅだ

329 :名無しさん@お腹いっぱい。:03/11/12 14:46
http://internet.watch.impress.co.jp/cda/news/2003/11/12/1096.html


http://www.zdnet.co.jp/enterprise/0310/10/epn05.html

>>325
こんだけサービス脆弱性がキタんだから、>>1-30あたりのFAQも更新するべきでは?


330 :名無しさん@お腹いっぱい。:03/11/12 14:57
>>329
Microsoft、“ウィークリーパッチ”をやめて毎月のアップデートへ
http://www.zdnet.co.jp/enterprise/0310/10/epn05.html

>>325
注 : 10 月 16 日にリリースされた MS03-043 (828035) の Windows XP 用
のセキュリティ更新に、この脆弱性に対する保護の手助けとなる更新され
たファイルが含まれています。また、すでに MS03-043 (828035) の修正
プログラムを適用された Windows XP 環境では、Windows Update に、こ
のセキュリティ修正が表示されることはありません。

しかし、このセキュリテ
ィ情報 (MS03-049) の Windows 2000 用のセキュリティ修正プログラムに
は、MS03-043 (828035) に含まれていない更新されたファイルが含まれ
ています。MS03-043 (828035) の Windows 2000 用のセキュリティ更新を
適用したお客様も、この Windows 2000 のセキュリティ更新をインストール
する必要があります。


331 :名無しさん@お腹いっぱい。:03/11/12 15:48
>>325
パッチダウソURL一覧(今現在。アプデタがアプデトされるとリンク切れになると桃割れ。)

http://download.microsoft.com/download/1/7/6/1763ac15-f291-465f-8098-6fead494e8df/Windows2000-KB823980-x86-JPN.exe
http://download.microsoft.com/download/c/9/1/c9118574-50cd-48f7-b1ce-215428628bc6/Windows2000-KB824146-x86-JPN.exe
http://download.microsoft.com/download/8/f/a/8fa49920-986c-4c71-a6d0-7d42446499f8/Windows2000-KB828035-x86-JPN.exe
http://download.microsoft.com/download/d/6/2/d629ae17-0f50-4e8b-9962-41747c42bdb8/Windows2000-KB828749-x86-JPN.exe


前山さんはこれ
http://download.microsoft.com/download/3/b/7/3b70e075-0abc-4013-8a2f-6d251a6d232d/WindowsXP-KB823980-x86-JPN.exe
http://download.microsoft.com/download/c/9/3/c93838c2-2d8a-4b43-9a32-4846b5e950dc/WindowsXP-KB824146-x86-JPN.exe
http://download.microsoft.com/download/0/7/3/0732fe3b-0cc7-4355-a2b4-323d67311217/WindowsXP-KB828035-x86-JPN.exe


332 :名無しさん@お腹いっぱい。:03/11/12 15:49
>>331
>前山さんはこれ
プゲラ

XP使ってる知人の名前を晒してみたテスツ

吊ってきます(プゲラ

333 :名無しさん@お腹いっぱい。:03/11/12 15:57
>>331
そりと、今回のパッチから/q /m オプションが無効になってるもよう。

あ〜マンドクセー

334 :名無しさん@お腹いっぱい。:03/11/12 16:48
>>333
もとい、/z /m だった と言う事は無効になってないのか(将来的に無効になるとはm$も言っている)

335 :名無しさん@お腹いっぱい。:03/11/12 19:17
q824145.exe /q:a /r:n

これも出来たとはな (´ー`) フッ

336 :名無しさん@お腹いっぱい。:03/11/12 20:11
>>334
(824141) (MS03-045) とこれ以前に出たウプデタ(Windows2000-KB??????)は、オプションの変更は実装されてないとM$が
言っているようだ。

337 : :03/11/13 09:11
 

338 :名無しさん@お腹いっぱい。:03/11/13 15:00
>>335
office97のウプデタもほとんど全部 /q オプションが効く。WMPのも然り。ほとんどのウプデタは 最低 /q は効く。ただし >>334

339 : :03/11/14 09:13
 

340 :名無しさん@お腹いっぱい。:03/11/14 16:21
MS03-049が危険な理由
http://www.zdnet.co.jp/enterprise/0311/14/epn02.html


341 :名無しさん@お腹いっぱい。:03/11/14 20:39
TCP139が増えてきましたよー

342 :名無しさん@お腹いっぱい。:03/11/15 05:13
MS-03-049を発見したRetina社によると…
http://www.eeye.com/html/Research/Advisories/AD20031111.html
we can exploit FAT32 systems (which do not support ACLs on directories),
or systems where the "%SYSTEMROOT%\debug" directory is writeable by
everyone. 略

1 debugディレクトリにログを書き込むときにバグが実行される
2 NTFSフォーマットでdebugディレクトリをadmin権限で保護してあり、かつ
  RPCが実行されないならこのバグは実行されない

つまりブラスタ対策してるヒトはそれに加えて、debugディレクトリから
everyoneを削除してadmin権限で保護しとくといいようです。(もちろん
できるかぎり早くパッチ当てるのが前提ですが)

ついでに↓試してみました。さすがに16IP用$995の豪華版だけあっていたれり
つくせり。MSのセキュ穴全部見てまわって、パッチのリンクも出してくれます。
Retina Security Scanner 体験版ここからダウンできる
(Downloadボタンを押すとE-mailアドレス等の入力画面になる。送信する
と折り返しメールでダウンロードリンクを送ってくれる)
http://www.eeye.com/html/Products/Retina/index.html





343 :名無しさん@お腹いっぱい。:03/11/15 11:58
だいぶ前から TCP port:139

さぁて、
“Windows XP セキュリティ対策 CD-R” 11月号
“Windows 2000 セキュリティ対策 CD-R” 11月号
でも作るかな

344 :名無しさん@お腹いっぱい。:03/11/16 00:40
確かに139叩くの増えてきたかも。
今晩は15 hits/hourと言ったところ。
けど発信元があまり多くないので新種じゃなくて
実証コードとかいうので遊んでるひとびと?
#ちなみにIPアドレスは218.*.*.*

345 :名無しさん@お腹いっぱい。:03/11/16 02:49
>>344
139を2回ずつ叩かれるようになった。毎時20組30ヒットくらい。218が多いが、
KRだのDEだのも来る。本物が出るのも近いか?

>>342のリンク先読んでみたが(情報tnx)、やっぱりdebugディレクトリに
書き込みされなければいいらしい。てことは、いざというときにはdebugをadminで
書き込み禁止にしてしまえば緊急避難としてはOKかな?(うちとこは官僚的で
パッチ当てるのも手続きがメンドイのよん)


346 :名無しさん@お腹いっぱい。:03/11/16 03:01
>>345
セキュアド的にいえば、管理者が率先して「パッチをあてろ!」というべき
なのだが・・・


347 :344:03/11/16 03:32
>>345
さっきから遂にJPドメインからも139 叩かれるようになってきました。
(何れもISP)
週末に新種発生はやめて欲しいなあ。

348 :名無しさん@お腹いっぱい。:03/11/16 08:00
嵐の予感にMSの社員の人たちは戦々恐々ってところだろうか

349 :名無しさん@お腹いっぱい。:03/11/16 15:37
139なんていまだに来ないなあ
135と137ばかりだ

350 :名無しさん@お腹いっぱい。:03/11/16 17:25
今日はpingが多い!

351 :名無しさん@お腹いっぱい。:03/11/16 21:20
ICMP/0をpingと言う馬鹿、まだいたんだね。

352 :名無しさん@お腹いっぱい。:03/11/16 21:34
おっ、また>>127の登場か?
今度もしっかり笑わせてくれよw

353 :名無しさん@お腹いっぱい。:03/11/16 23:24
>>352
馬鹿が釣れた。0はECHO REPLYな。

354 :名無しさん@お腹いっぱい。:03/11/17 00:40
釣れた

355 :名無しさん@お腹いっぱい。:03/11/17 00:58
おまいら、最近うちの馬鹿PCが妙なパケット送受信してると思ったら
WORM_NACHI.Aとかいうのに感染してましたよ
さすが、winのSP一切あててないだけあるなとつくづく思ったw

356 :名無しさん@お腹いっぱい。:03/11/17 01:08
SP当てろよ馬鹿

357 :名無しさん@お腹いっぱい。:03/11/17 02:52
ICMP Outgoing  あっち側 port 0 < こっち側 port 8  ping
ICMP Incoming  あっち側 port 0 > こっち側 port 0  reply

358 :名無しさん@お腹いっぱい。:03/11/17 03:02
とゆーことで、受け側で port:0 で ping という シチュエーション もあり(w

359 :名無しさん@お腹いっぱい。:03/11/17 05:05
まだport云々抜かしてる奴は一から出直してこい。

360 :名無しさん@お腹いっぱい。:03/11/17 06:29
test

361 :名無しさん@お腹いっぱい。:03/11/17 09:31
>>357
http://pc2.2ch.net/pcqa/

362 :名無しさん@お腹いっぱい。:03/11/17 11:45
>>357
ICMPにポートという概念はない。初心者も見てるかもしれんから念のため。



363 :名無しさん@お腹いっぱい。:03/11/17 11:48
>>351
また127が大恥かきにきたのか。

364 :名無しさん@お腹いっぱい。:03/11/17 11:53
>>346 なのだが、現実には>>345みたいなところ多い。
だからいまだに大きな組織がブラスタ系にやられて新聞に
出る・・・・・・・ー┐(´ー`)┌〜 

365 :名無しさん@お腹いっぱい。:03/11/17 12:13
>>127みたいなので盛り上がる時点で住人の程度がしれるだろ、おやめなさい

366 :名無しさん@お腹いっぱい。:03/11/17 12:17
>>345
官僚的というよりも、権限を管理者に一任出来ない馬鹿な上司と組織。
どうせ問題が起こっても、自分じゃ責任なんて取れやしないくせに、それでも権力を持っていると誤解している。
権限の範囲を会社既定のマニュアルに、きちんと明示しておくべきなのだ。


367 :名無しさん@お腹いっぱい。:03/11/17 13:57
ガンガレ!

368 :名無しさん@お腹いっぱい。:03/11/17 18:22
>>365
初心者、部外者は>>127見てDQNが電波飛ばしてるなとどうやって判断できる?
ちなみに、お前は次のどっちだ?
 A 自分さえよければ他人はどうでもいい
 B 受け売りでちょっと偉そうなことが言ってみたい


369 :名無しさん@お腹いっぱい。:03/11/17 20:54
1ヶ月も前のネタをよく続けられるよな(w

370 :名無しさん@お腹いっぱい。:03/11/17 23:01
ICMP Outgoing  あっち側 port 0 < こっち側 port 8  ping
ICMP Incoming  あっち側 port 0 > こっち側 port 0  reply

371 :名無しさん@お腹いっぱい。:03/11/18 01:54
>>369
8月からやってますが?

372 :名無しさん@お腹いっぱい。:03/11/18 02:03
信じられん…今更感染した。
os:win2k sp4 パッチはこの前の緊急の一個前どまり、ZoneAralm常駐。

↑の状態で、いきなりマウスのアイコンが点滅しだして、綺麗に再起動。
起動してたのはopen janeとwinamp5だけ。
NAV2k(OEM)を使ってるんだが、最新定義ファイルを使えないので
トレンドマイクロのオンラインスキャンやってみた。するとまぁ、見事に
msblast.Aに感染。こんな事って有るの?

既に感染して立って事は無い。絶対無い。…と思う。ZAのログにoutgoingなんて殆ど
無かったし。ブラスター祭りに参加してたし、感染してたら気付くはず。

373 :名無しさん@お腹いっぱい。:03/11/18 02:05
すまん、書いた後に気付いた。
AはAでもWORM_NACHI.Aだった。
トレンドマイクロめぇぇ!

374 :名無しさん@お腹いっぱい。:03/11/18 03:42
WINSってフォルダは消しちゃっていいの?

375 :名無しさん@お腹いっぱい。:03/11/18 03:44

マザボのBiosの新版を落としに行く間、FWを切っていた。
(そうしないとFTPに入れてくれない)
落とし終わってFW再起動。

この間、2分余り。

感染した。
おそろしや。

376 :名無しさん@お腹いっぱい。:03/11/18 06:51
>>373
トレンドマイクロのオンラインスキャンは見つけてくれたわけだから
「めぇぇ!」は筋違いでは?(w

377 :名無しさん@お腹いっぱい。:03/11/18 07:25
>>376
うむ。感謝でつ。・゚・( つд`)・゚・。
憎むべきはYBB…頼むから対策してくれ。

378 :名無しさん@お腹いっぱい。:03/11/18 09:58
>>377
なんでも人のせいにすんなよこの糞チョンが
自分で対策しろ>>1-30

379 :名無しさん@お腹いっぱい。:03/11/18 11:59
>>375
ZA切らないとFTPできないってホントかいな? 設定おかしいんじゃないか?
OutpostはFTPでもPASV FTPでも(とにかく指定した接続は)全然問題なく
許可できるぞ。

380 :名無しさん@お腹いっぱい。:03/11/18 18:16
なにやってんだ、このやろう。
ip38-113-1-151.yourhostingaccount.com

381 :名無しさん@お腹いっぱい。:03/11/19 08:22
>>379
あるぞ、そういうところ。
375も細かく設定すればできるんだろうけど。

382 :名無しさん@お腹いっぱい。:03/11/19 20:55
IDPの評価のため、MSブラスターが欲しいのですが、どこかのサイトで入手できませんか?

383 :名無しさん@お腹いっぱい。:03/11/19 21:13
>>381
そうか? 参考のためにのぞいてみたいからリンク貼ってくれ。


384 :名無しさん@お腹いっぱい。:03/11/20 16:34
plala酷すぎ 感染ユーザだらけ
外部からのICMP弾くようにしたらアタックログ激減した(w
ただしルータがダサイので外部にpingできなくなってしまってみたテスト

385 :名無しさん@お腹いっぱい。:03/11/20 21:06
>>382
Win2000かWinXPでファイヤーウォール外してインターネットに接続すれば
即入手できると思われ(w

386 :名無しさん@お腹いっぱい。:03/11/20 23:02
                _∧_∧_∧_∧_∧_∧_∧_∧_∧_
     デケデケ      |                            |
        ドコドコ   < MS03-049を突くウィルスまだーーー!!? >
   ☆      ドムドム |_  _  _ _ _ _ _ _ _ _ __|
        ☆   ダダダダ! ∨  ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨
  ドシャーン!  ヽ         オラオラッ!!    ♪
         =≡= ∧_∧     ☆
      ♪   / 〃(・∀・ #)    / シャンシャン
    ♪   〆  ┌\と\と.ヾ∈≡∋ゞ
         ||  γ ⌒ヽヽコ ノ  ||
         || ΣΣ  .|:::|∪〓  ||   ♪
        ./|\人 _.ノノ _||_. /|\
         ドチドチ!

387 :名無しさん@お腹いっぱい。:03/11/21 00:07
ああ、かったりいからまだ会社のマシンに全部当ててないや
オオカミ少年モード

388 :名無しさん@お腹いっぱい。:03/11/21 00:41
―――――――――――――‐┬┘               =≡=
                        |             __  〆
       ____.____    |             ───  \
     |        | ∧_∧ |   | ドコドコうっせーんだよ ゴルァ!  \_ =二 ∧_∧
     |        |. (#´Д`)|   |                 _   |ヽ  \ (; ・∀・)/
     |        |⌒     て)  人        _  ―――‐ γ ⌒ヽヽ  ⊂   つ  ∈≡∋
     |        |(  ___三ワ <  >  ―――   ―― ―二   |   |:::| 三ノ ノ ノ  ≡ //
     |        | )  )  |   ∨        ̄ ̄ ̄ ―――‐   人 _ノノ (_ノ、_ノ  _//
        ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄    |


389 :名無しさん@お腹いっぱい。:03/11/21 01:47
>>382
XPかW2kで、ファイアーウォールなしでフレッツ(光でもOK)かヤフに接続。
10分もかからずに入手可能と思う。
フレッツでルーターがちかちか点滅状態になるほどのアタックがありますです・・


390 :名無しさん@お腹いっぱい。:03/11/21 01:52
>>382 >>389
ダイヤルアップ リリリ-ン でもオッケーでつ

391 :名無しさん@お腹いっぱい。:03/11/21 03:24
>>382 バカ受けですた…座布団一枚どーじょ( ´∀`)つ 彡◆

392 :名無しさん@お腹いっぱい。:03/11/21 03:37
ping1個に2円くらい欲しい。正月休みにオーストラリアに行ける…


393 :名無しさん@お腹いっぱい。:03/11/21 09:50
ISPによってはブラスタブロックしてる所もあるからそれは避けること

394 :名無しさん@お腹いっぱい。:03/11/21 14:51
>>388

―――――――――――――〆
                        |  \
       ____.____    |   \_      ―――    うっせーの外に出すんじゃねーよゴルァ!!
     |        |      |    |     |ヽ   ―――   ―                  ⊂(´Д`#)
     |        |   ∧_∧     γ ⌒ヽヽ  ――――― ―  ̄ ̄__       人  (⌒)⊂/
     |        | ⊂(・∀・ ;) ̄つ  |   |:::|      ―――――   ――――― <  >彡  ,,ノ
     |        |     ⊂ノ__つ人 _ノノ ∈≡∋   ―――――  ――    . ∨
     |        |      |    |          // ――  ――
        ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄    |   .    _// ―
                     .|        /'|


395 :名無しさん@お腹いっぱい。:03/11/21 15:25
                _∧_∧_∧_∧_∧_∧_∧_∧_
     デケデケ      |                         |
        ドコドコ   <     戻ってきたぜ〜〜〜!      >
   ☆      ドムドム |_  _  _ _ _ _ _ _ _ _|
        ☆   ダダダダ! ∨  ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨
  ドシャーン!  ヽ         オラオラッ!!    ♪
         =≡= ∧_∧     ☆
      ♪   / 〃(・∀・ #)    / シャンシャン
    ♪   〆  ┌\と\と.ヾ∈≡∋ゞ
         ||  γ ⌒ヽヽコ ノ  ||
         || ΣΣ  .|:::|∪〓  ||   ♪
        ./|\人 _.ノノ _||_. /|\
         ドチドチ!

396 :名無しさん@お腹いっぱい。:03/11/21 15:30
―――――――――――――‐┬┘
                        |             __  〆
       ____.____    |             ───  \
     |        | ∧_∧ |   | こんなものがあるからいけないんだ!_
     |        |. (#´Д`)|   |                 _   |ヽ
     |        |⌒     て)  人        _  ―――‐ γ ⌒ヽヽ   ∈≡∋
     | ∧_∧ |(  ___三ワ <  >  ―――   ―― ―二   |   |:::| 三 //
     |(; ・∀・) | )  )  |   ∨        ̄ ̄ ̄ ―――‐   人 _ノノ _//
        ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄    |                   ̄ ̄         /'|



397 :名無しさん@お腹いっぱい。:03/11/21 15:50
              ☆ チン        
                            
..        ☆ チン  〃 Λ_Λ   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
          ヽ ___\(\・∀・)< MS03-049を突くウィルスまだーーー!!?
             \_/⊂ ⊂_)_ \____________
           / ̄ ̄ ̄ ̄ ̄ ̄ ̄/|
        |  ̄  ̄ ̄ ̄ ̄ ̄ ̄:| :|
        | Blaster級の被害|/


398 :名無しさん@お腹いっぱい。:03/11/21 16:13
         =≡= ∧_∧
          /   (・∀・ )
        〆   ┌  |    | .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|   |:::|∪〓  .||
        ./|\人 _.ノノ _||_. /|\


399 :名無しさん@お腹いっぱい。:03/11/21 16:23
                _∧_∧_∧_∧_∧_∧_∧_∧_
     デケデケ      |                         |
        ドコドコ   <     再開ーーーーーーー!      >
   ☆      ドムドム |_  _  _ _ _ _ _ _ _ _|
        ☆   ダダダダ! ∨  ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨
  ドシャーン!  ヽ         オラオラッ!!    ♪
         =≡= ∧_∧     ☆
      ♪   / 〃(・∀・ #)    / シャンシャン
    ♪   〆  ┌\と\と.ヾ∈≡∋ゞ
         ||  γ ⌒ヽヽコ ノ  ||
         || ΣΣ  .|:::|∪〓  ||   ♪
        ./|\人 _.ノノ _||_. /|\
         ドチドチ!

400 :名無しさん@お腹いっぱい。:03/11/21 18:59
>>388

401 :名無しさん@お腹いっぱい。:03/11/22 01:43
                    シーン
         =≡= ∧_∧
          /   (・∀・ )
        〆   ┌  |    | .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|   |:::|∪〓  .||
        ./|\人 _.ノノ _||_. /|\



         =≡= ∧_∧
          /   ( ・∀・ )
        〆   ┌  |    | .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|   |:::|∪〓  .||
        ./|\人 _.ノノ _||_. /|\

402 :名無しさん@お腹いっぱい。:03/11/22 02:40
思わずワロタ

403 :名無しさん@お腹いっぱい。:03/11/22 07:38
                _∧_∧_∧_∧_∧_∧_∧_∧_
     デケデケ      |                         |
        ドコドコ   <      朝だ〜〜〜〜〜〜!      >
   ☆      ドムドム |_  _  _ _ _ _ _ _ _ _|
        ☆   ダダダダ! ∨  ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨
  ドシャーン!  ヽ         オラオラッ!!    ♪
         =≡= ∧_∧     ☆
      ♪   / 〃(・∀・ #)    / シャンシャン
    ♪   〆  ┌\と\と.ヾ∈≡∋ゞ
         ||  γ ⌒ヽヽコ ノ  ||
         || ΣΣ  .|:::|∪〓  ||   ♪
        ./|\人 _.ノノ _||_. /|\
         ドチドチ!

404 :名無しさん@お腹いっぱい。:03/11/22 09:30
―――――――――――――‐┬┘               =≡=
                        |             __  〆
       ____.____    |             ───  \
     |        | ∧_∧ |   | ドコドコうっせーんだよ ゴルァ!  \_ =二 ∧_∧
     |        |. (#´Д`)|   |                 _   |ヽ  \ (; ・∀・)/
     |        |⌒     て)  人        _  ―――‐ γ ⌒ヽヽ  ⊂   つ  ∈≡∋
     |        |(  ___三ワ <  >  ―――   ―― ―二   |   |:::| 三ノ ノ ノ  ≡ //
     |        | )  )  |   ∨        ̄ ̄ ̄ ―――‐   人 _ノノ (_ノ、_ノ  _//
        ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄    |

さて寝るか

405 :名無しさん@お腹いっぱい。:03/11/22 11:16
                    シーン
         =≡= ∧_∧
          /   (・∀・ )
        〆   ┌  |    | .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|   |:::|∪〓  .||
        ./|\人 _.ノノ _||_. /|\



         =≡= ∧_∧
          /   (´・ω・`)
        〆   ┌  |    | .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|   |:::|∪〓  .||
        ./|\人 _.ノノ _||_. /|\

406 :名無しさん@お腹いっぱい。:03/11/22 16:05
                _∧_∧_∧_∧_∧_∧_∧_∧_
     デケデケ      |                         |
        ドコドコ   <      夕方だ〜〜〜〜〜!      >
   ☆      ドムドム |_  _  _ _ _ _ _ _ _ _|
        ☆   ダダダダ! ∨  ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨
  ドシャーン!  ヽ         オラオラッ!!    ♪
         =≡= ∧_∧     ☆
      ♪   / 〃(・∀・ #)    / シャンシャン
    ♪   〆  ┌\と\と.ヾ∈≡∋ゞ
         ||  γ ⌒ヽヽコ ノ  ||
         || ΣΣ  .|:::|∪〓  ||   ♪
        ./|\人 _.ノノ _||_. /|\
         ドチドチ!

407 :名無しさん@お腹いっぱい。:03/11/22 20:13
ドンドコドンスレですか

408 :名無しさん@お腹いっぱい。:03/11/22 20:32
 凹凹
 |・ェ・)
 ⊂/
 |U  ̄ ̄     / ̄ ̄ ̄\
/        /           ヽ
          |::::.. ●)  ●) l
          ヽ:::..   ∀′ 丿
            〉      ..K
           〈_ノ    .::l-'
             ト、   ):ノ キュム
              ヾニノ   キュム

409 :名無しさん@お腹いっぱい。:03/11/22 23:52

          ∧ ∧ ∧ ∧ ∧ ∧ ∧
         | ̄  ̄  ̄  ̄  ̄  ̄  ̄  ̄|
       <      深夜だ〜〜!     >
         |_ _ _ _ _ _ _ _|
          ∨ ∨ ∨ ∨ ∨ ∨ ∨

     チキチキ    i゙ ∧∧  _   ♪
           、_ヽ(・∀・)ノ_
   ♪        |. †^|V^†y~  テケテケ
            ↓A ●)i,↓、
      トコトコ          ♪

410 :名無しさん@お腹いっぱい。:03/11/23 00:54
AA ウゼー

411 :名無しさん@お腹いっぱい。:03/11/23 09:27
Blasterよりマシ

412 :名無しさん@お腹いっぱい。:03/11/23 21:05
                    シーン
         =≡= ∧_∧
          /   (・∀・ )
        〆   ┌  |    | .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|   |:::|∪〓  .||
        ./|\人 _.ノノ _||_. /|\



         =≡= ∧_∧
          /   (´・ω・`)
        〆   ┌  |    | .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|   |:::|∪〓  .||
        ./|\人 _.ノノ _||_. /|\

413 :名無しさん@お腹いっぱい。:03/11/23 23:59
http://www.cyberpolice.go.jp/important/20031122_103947.html
TCP445番ポートに対するトラフィックの増加について(11/22)

http://www.cyberpolice.go.jp/detect/observation.html
警察庁のグラフを見ると、
11/22 08:00 11/23 08:00 付近にピークがある。

414 :名無しさん@お腹いっぱい。:03/11/24 01:43
http://www3.nhk.or.jp/news/2003/11/23/k20031123000092.html
だそうです。

415 :名無しさん@お腹いっぱい。:03/11/24 03:36
あんでK察庁はpdfで情報出すんだや? アドビに義理でもあるんかいな?


416 :名無しさん@お腹いっぱい。:03/11/24 06:34
>>415
作成・管理が楽だからじゃねーの?


417 :名無しさん@お腹いっぱい。:03/11/24 15:00
----------------------------------------
       FAQは >>19,20,21,22,23,24
----------------------------------------
★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★
>>58-59
諸君、MessengerとDCOMちゃんと無効にしてあるだろうな?
もいっかい確認しる

Messenger 無効化
 コントロールパネル→管理ツール→サービス→Messenger →
 プロパティ→スタートアップの種類→無効
DCOM無効化
 スタート→ファイル名を指定して実行→dcomcnfg.exe→「既定のプロパティ」
 →「このコンピュータ上で分散COMを有効にする」のチェックを外す。
(dcomcfgはXPとWin2000SP3以降で有効。Win2000SP1のヤシはSP4を入れる)



418 :名無しさん@お腹いっぱい。:03/11/24 17:08
★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★

                     シーン
         =≡= ∧_∧
          /   (・∀・ )
        〆   ┌  |    | .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|043 |:::|∪〓  .||
        ./|\人 _.ノノ _||_. /|\


419 :名無しさん@お腹いっぱい。:03/11/24 17:10
>>418
ワラタ

420 :名無しさん@お腹いっぱい。:03/11/24 19:28

         =≡= ∧_∧
          /   ( ・∀・ )
        〆   ┌  |    | .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|043 |:::|∪〓  .||
        ./|\人 _.ノノ _||_. /|\



421 :名無しさん@お腹いっぱい。:03/11/24 20:51
if  (CurrentYear == 2004) Delete BlastD;
if  (CurrentYear == 2004) Suspend BlastD;
if  (CurrentYear >= 2004) Suspend BlastD;

どれが正解なん?

422 :名無しさん@お腹いっぱい。:03/11/25 09:22
>>418-419
ジエンウゼー

423 :名無しさん@お腹いっぱい。:03/11/25 10:27
>>340 >>342などでガイシュツのMS03-049脆弱性だが…
http://www.zdnet.co.jp/enterprise/0311/14/epn02.html
スタンドアローンマシンの場合には
★Workstationサービス自体を停止する★
のがいちばん簡単、確実。

MSによると、Workstationサービスに依存しているサービスは
Alerter/Browser/Messenger/Net Logon/RPC Locator
これらが同時に無効になる。ただしスタンドアローンマシンの
インターネット接続には★影響ない★とのこと。
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-049.asp



424 :名無しさん@お腹いっぱい。:03/11/25 21:29
前々から不審なアクセス(UDP 138 TCP 139)を続けているところから、
複数のマシンよる一斉総攻撃を受けた。
続いて別のところから人為的な ICMP ping、
そして、さらに別のところから人為的な Port Scan。

ICMP ping かけたところに電話で問い合わせたら、
あわててカプラ装着して会話の録音を始めだした。
くわばら、くわばら…

425 :名無しさん@お腹いっぱい。:03/11/25 21:55
>>415
やっぱり、作るの楽だからじゃないかな?
情報が早いほうがいいよ。最近はサイバーポリスが一番早い。
pdf程度ならOKじゃない?


426 :名無しさん@お腹いっぱい。:03/11/25 22:13
>>415 >>425
重要なことなので、改変されたりテキスト抜き出しされては困るので、
制限をつけた pdf にしているものと思います。

http://internet.watch.impress.co.jp/static/column/jiken/index.htm
インターネット事件簿
第1回:廃棄パソコンへの知識不足が招いた事件を追う

こういった状況もありますから。警察でも。

427 :名無しさん@お腹いっぱい。:03/11/26 09:13
>>424
どうやって発信元突き止めたんだよ

428 :名無しさん@お腹いっぱい。:03/11/26 12:50
         =≡= ∧_∧
          /   (・∀・ )
        〆   ┌  |    | .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|   |:::|∪〓  .||
        ./|\人 _.ノノ _||_. /|\

         =≡= ∧_∧
          /   ( ・∀・ )
        〆   ┌  |    | .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|   |:::|∪〓  .||
        ./|\人 _.ノノ _||_. /|\

         =≡= ∧_∧    サテ・・・
          / サッ |(・∀・| )    
        〆   〃⊂   ⊂) .∈≡∋
         ||  γ ⌒ヽヽコノ   .||
         || |   .|:::|∪〓  .||
        ./|\人 _.ノノ _||_  ./|\

429 :名無しさん@お腹いっぱい。:03/11/26 18:45
ドンドコやるなら派手にやっとくれ

430 :名無しさん@お腹いっぱい。:03/11/26 21:23

                ∧        ∧  マチクタビレタ〜     マチクタビレタ〜
 マチクタビレタ〜       ./  ヽ      ./  ヽ      マチクタビレタ〜
               /   ヽ―――/   ヽ   マチクタビレタ〜  マチクタビレタ〜
   マチクタビレタ〜  /       l___l   \        マチクタビレタ〜
            |      ●  |    |  ●  |  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
       へ    |   へ     ヽ  ./     | < んじゃお言葉に甘えまして
        \\  \  \\    ヽ/     /   \____________
チン        \\  .> \\          ヽ
   チン      \\/    \\  _       |  マチクタビレタ〜
      \ ̄ ̄ ̄ ̄ ̄ ̄ ̄/  / ̄   ヽ    /   _
        \回回回回回/ ̄ ̄ヽ        / ̄ ̄ /|    マチクタビレタ〜
         \___/      ヽ____/  /  .|         マチクタビレタ〜
                               /    |  マチクタビレタ〜
   __________________/     .|
                             |      |     マチクタビレタ〜

431 :名無しさん@お腹いっぱい。:03/11/27 09:23
相手にすんなよバカどもが

432 :名無しさん@お腹いっぱい。:03/11/27 23:04

                  ∧        ∧  イライライライラ
                    / ヽ        / ヽ   イライライライラ
                /   ヽ___/   ヽ    イライライライラ
              / ノ(               \
              |  ⌒   ●   /\   ●  |  / ̄ ̄ ̄ ̄ ̄ ̄
         へ    |           /  \     |< なんだとぉ〜?
       / \\  \        / ̄ ̄ ̄\  /  \______
     /   /\\  .>             ヽ
カンカンカン//  \\/ i i      _      |
 カンカンカン      i | ‖|    / ̄   ヽ    / __
   カンカンカン Σ [ ̄ ̄ ̄ ̄ ̄ヽ        / ̄  /|
   \ ̄ ̄ ̄ ̄ ̄ ̄ ̄/ ̄ ̄ヽ_____ /   /  |
     \回回回回回/                /   |
      \___/                 /     |


433 :名無しさん@お腹いっぱい。:03/11/28 01:13
ちょっとこりゃすさまじいなplala

毎分50近くのpingが来やがる

ネットもPFWも重くてしょうがねーぜ! ヽ(`Д´)ノ ゴルァ

434 :名無しさん@お腹いっぱい。:03/11/28 09:09
XPのICF 起動時の空白時間は20秒余りもあるそうだ

http://www.atmarkit.co.jp/fwin2k/win2ktips/361fwcaution/fwcaution.html


435 :名無しさん@お腹いっぱい。:03/11/28 19:46

         =≡=
          /
        〆          . .∈≡∋
         ||  γ ⌒ヽヽコノ   ||
         || .|   |:::| ..〓  .||
        ./|\人 _.ノノ _||_. /|\

          ∧_∧
         ( ・∀・) 静かでつね…
         ( ∪ ∪
         と__)__)  旦


436 :名無しさん@お腹いっぱい。:03/11/28 22:40

          /⌒ヽ
         / ´_ゝ`) すいません、またーりさせてくださいね。
         |    /   ∬
         と__)__) 旦

437 :名無しさん@お腹いっぱい。:03/11/29 23:25
>>434
やっぱルーターか、ソフトが必須かなあ。
今ごろになって大流行してるおれんとこの・・・は、いつ終息するだろうか?

前に、懐中電灯をもって犯人探ししているって書いてたとこかの企業の人、
その後どうなった?根絶出来た?

大学内はウェルチアだらけ、って書いてたどっかの人、その後どう?

■Blaster等ワームの継続的な活動について(11/28)
http://www.cyberpolice.go.jp/


438 :名無しさん@お腹いっぱい。:03/11/29 23:53
ネットワーク上の指定ホストがBlasterに感染していないか確認するフリーソフトってありませんか?
自分のネットワークのPCが感染しているか感染していないか確認がしたいのですが、
1台ずつ確認せず、/24ごとに確認ができればと思います。

439 :名無しさん@お腹いっぱい。:03/11/30 11:47
http://www.cyberpolice.go.jp/detect/observation.html
グラフを見ると、減り続けてきた icmp がポコッと上がった。
買ったパソコンをなんも考えなしでつないだ効果がでている。

440 :名無しさん@お腹いっぱい。:03/11/30 23:44
大手量販店あたりでも、ブラスター対策はしてないのかねぇ

441 :名無しさん@お腹いっぱい。:03/11/30 23:47
これだけ広まってしまうと、コストかけるより、売ったもん勝ちです。

442 :名無しさん@お腹いっぱい。:03/12/01 02:25
>438
KB 824146 スキャナ
ttp://www.microsoft.com/downloads/details.aspx?FamilyId=13AE421B-7BAB-41A2-843B-FAD838FE472E&displaylang=ja

443 :106:03/12/01 04:27
>>437
「大学内はウェルチアだらけ、って書いてたどっかの人」です。
うちの大学で飛び交っているpingの数はあまり変わっていません。
このまま年明けまで続きそうな感じです。

いつのまにか警察庁のグラフ更新頻度が増してますね。
過去データをcsvとかで公開してくれるととても嬉しいなあ。。。

444 :名無しさん@お腹いっぱい。:03/12/01 11:46
マジかよ!?
「百x銀行、ウィンドウズで銀行システム構築」だとよ。
騙されたんちゃうか? 銀行さん!

445 :名無しさん@お腹いっぱい。:03/12/01 14:55
043関係のウィールスが出る出るといわれながら、今んとこ出たのは
ドコドコウルセーAAばかりw やっぱりウィールス書きもボバフェットに
MSに首を持ち込まれるのが怖いのか?

446 :名無しさん@お腹いっぱい。:03/12/01 22:45
>>443
まだだめですか・・
某大学は、MACアドレス登録制&許可制になってるから、犯人がすぐにわかる
から被害が広がらないのかしらん?

自覚症状のあるBlasterのうちに感染してほしかった・・・

447 :名無しさん@お腹いっぱい。:03/12/01 22:59
WinMEで感染できなくて、少し寂しい・・・。

448 :名無しさん@お腹いっぱい。:03/12/02 03:41
セキュリティ初心者質問スレッドpart34
http://pc.2ch.net/test/read.cgi/sec/1070035602/148
こんなのがまだいます。ブラスタスレ嫁、とゴルァしときますた。

449 :名無しさん@お腹いっぱい。:03/12/02 09:18
まあそんなもんよ

450 :名無しさん@お腹いっぱい。:03/12/03 00:19
http://headlines.yahoo.co.jp/hl?a=20031201-00000001-cnet-sci

451 :名無しさん@お腹いっぱい。:03/12/03 00:39
>>450
また脆弱性か・・・

452 :名無しさん@お腹いっぱい。:03/12/03 00:54
某家電量販店で、2週間前にノート買ったけど、
お店の人は何も言わなかったYO
感染収まらないわけだ。

453 :名無しさん@お腹いっぱい。:03/12/03 08:04
脆弱性の無いブラウザーなんて無い!

454 :名無しさん@お腹いっぱい。:03/12/03 09:58
脆弱性が多すぎるOS/ブラウザ/アプリ=ゲイシ製品

455 :名無しさん@お腹いっぱい。:03/12/03 12:59
>>454
マイクソ製品が狙われるのはユーザーが多いから
ユーザーが少なければ誰も狙わん

456 :名無しさん@お腹いっぱい。:03/12/03 15:13
>>455
だから?

457 :名無しさん@お腹いっぱい。:03/12/03 15:33
>>455
じゃあ 使うなよ 使ってるなら文句言わないで 我慢しろ

458 :名無しさん@お腹いっぱい。:03/12/03 15:50
>>455
1.ゲイシのやり口が汚い
2.製品がクソで攻撃しやすい
3.ユーザー数が多い
こんな感じでわ?

459 :名無しさん@お腹いっぱい。:03/12/03 15:56
Japan.internet.com Webテクノロジー - 最も攻撃を受けている OS は Linux
http://japan.internet.com/webtech/20030916/12.html


460 :名無しさん@お腹いっぱい。:03/12/03 16:41
>>459
素人のLINUXほどおとろしいもんはないぞ。Winだったらセキュ穴は
(多いといっても)限定されてる。LINUXではいじりどころが無数に
あって、ひとつ間違えばそれが全部セキュ穴。しかもベンダーの出荷
のデフォの設定がMS以上にクソ。なんとかそこそこ安全な設定にしと
いても、知ったか厨のsuがばりばり穴開けてくれるしw

461 :名無しさん@お腹いっぱい。:03/12/04 09:09
su ?
root ?
知ったかぶり厨は↑

462 :名無しさん@お腹いっぱい。:03/12/04 09:24
何も知らない厨ですみませんが、rootkitって何ですか?本当にすみません!

463 :名無しさん@お腹いっぱい。:03/12/04 09:25
>>459
クラッカーの大会でLinuxサーバーをクラックする方が点数高いからでしょ
点数が高い=クラックが難しいってことじゃない?

464 :名無しさん@お腹いっぱい。:03/12/04 09:26
>>462
http://www.zdnet.co.jp/enterprise/security/rootkit/

465 :名無しさん@お腹いっぱい。:03/12/06 00:23
誠次

466 :名無しさん@お腹いっぱい。:03/12/07 06:51
英次

467 :名無しさん@お腹いっぱい。:03/12/08 09:47
>>463
ただ単にマイナーだから、一般にクラックの方法が知れ渡っていないから、点数が高い。
クラッカー大会なとで、ちまちまとセキュリティホールなんぞ突いているんでは、クラッカーとは呼べない。

468 :名無しさん@お腹いっぱい。:03/12/09 05:48
攻撃対象がデスクトップ→ゲイツOS
攻撃対象がサーバ→UNIX系
ってだけだと思ふ

469 :名無しさん@お腹いっぱい。:03/12/11 09:49
--------------------------------------------------
       FAQは >>19,>>20,>>21,>>22,>>23,>>24
--------------------------------------------------

ノートサーバも仲間に混ぜてください。(´・ω・`)

470 :名無しさん@お腹いっぱい。:03/12/12 15:34
>>469
>>329


471 :名無しさん@お腹いっぱい。:03/12/12 18:01
>>470
ああそうか。忘れてた。
マンドクサイねぇ。。。

472 :名無しさん@お腹いっぱい。:03/12/14 02:24
広く使われている米マイクロソフト社製のオペレーション・システム(OS)で稼動している
2つの銀行のATM(現金自動預払機)が、今年8月にコンピューター・ウイルスに感染し
ていたことをATMメーカーが明らかにした。感染を最初に報じたのは『セキュリティーフ
ォーカス・コム』で、ATMにウイルスが直接侵入した初めてのケースだと考えられている。

コンピューター・セキュリティー専門家たちは、消費者にとって非常に重要なシステムに
ウィンドウズが導入されるにしたがって、さらに多くの問題が生じると予想していた。今回
感染したATMのメーカー、米ディーボルド社が明らかにしたところによると、いわゆる『ナ
チ』(Nachi)ワームが蔓延した際、台数は確定していないものの、『ウィンドウズXPエンベ
デッド』で稼動するATMが機能停止したいう。同社は、影響を受けた顧客名を明らかにし
ていない。

ナチは『ウェルチア』(Welchia)という別名でも知られており、『MSブラスター』(別名MSブラ
スト、ラブサン)ワームを削除させようというねらいで作成されたようだ(日本語版記事)。と
ころが、結果的には世界中のネットワークを機能停止、あるいはひどい混雑に陥れてしま
った。エア・カナダのチェックイン用システムも被害を被った。ナチおよびMSブラスターは、
『ウィンドウズXP』、『ウィンドウズ2000』、『ウィンドウズNT』、『ウィンドウズ・サーバー2003』
の脆弱性を利用して感染を広める

http://www.hotwired.co.jp/news/news/technology/story/20031211305.html

【ニュース速報+】windowsを搭載した銀行ATMがウィルス感染!
http://news5.2ch.net/test/read.cgi/newsplus/1071200487/


473 :オナニスト ◆A4R0lAe0RQ :03/12/14 02:38


474 :名無しさん@お腹いっぱい。:03/12/14 09:43
信頼性が必要とされる場にMS製品を導入するなんてのは愚行以外の何物でもないな。
Fail Safeの思想が完全に欠落しているというのに。

475 :名無しさん@お腹いっぱい。:03/12/14 13:18
同乗
かつてwin搭載のダ○○ブックの取説には、「医療機器等のコントローラとして使うな」とゆうようなことが書いてあった。

476 :名無しさん@お腹いっぱい。:03/12/16 09:16
age

477 :名無しさん@お腹いっぱい。:03/12/17 21:24
http://www.yomiuri.co.jp/main/news/20031216i515.htm

兵庫県宝塚市役所は16日、庁内のパソコン19台が先月、
コンピューターウイルス「MSブラストD」に感染したのは、
NEC(本社・東京都港区)が修理した際のチェックミスが原因だとして、
同社に対し損害賠償を求める方針を明らかにした。


478 :名無しさん@お腹いっぱい。:03/12/17 22:15
また、えぬいーしーかよ

479 :名無しさん@お腹いっぱい。:03/12/18 18:46
今更ながらFAQ
http://www.microsoft.com/japan/technet/security/virus/blaster.asp


480 :名無しさん@お腹いっぱい。:03/12/18 19:21
★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★

サーバープロセスのバッファオーバーランの脆弱性

Workstation サービス (port 138-139,445 TCP/UDP)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-049.asp
メッセンジャーサービス (port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp
SMB (port:139)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-024.asp

★★★ ブラスタ並み大規模感染警報 レッド・アラート ★★★


MS-03-024(817606)が抜けていた
exploitは出てるのかな?
W2KSP4でfix済
WXPSP1(a)/WNTSP6aではfix未済

481 :名無しさん@お腹いっぱい。:03/12/19 11:09
ユーザ向け


このパソコンを、ネットワークの設定を変更せず、および必要かつ十分かつ高度なウィルス感染総合対策が取られていることを確認しないまま、
社内LANから切り離して、以下の事をしないでください(新聞報道のMSブラスト等のウィルス対策のため)

・電話線経由で電話回線や公衆電話につないで、直接インターネットに接続
・無線LANアダプタを接続
・LANケーブル/1394ケーブル/無線LAN経由で、光ファイバ/ADSL/CATVインターネット等のモデムやルータにつないで、直接インターネットに接続
・USB/PCカード/シリアルアダプタ経由で、アナログモデム/ISDNターミナルアダプタ/AirH"などのモバイル通信アダプタに接続して、直接インターネットに接続
・LANケーブル/1394/無線LANケーブル経由で、エイコー本社含む第三社/第三者のLANにおいて、ハブなどにつないで、LANに接続
・上記以外の方法により、直接インターネットに接続または第三社/第三者のLANに接続

※このPCには無線LANは標準装備されてません(1394は装備されてます)


482 :名無しさん@お腹いっぱい。:03/12/19 11:10
>>481
>>エイコー本社
プゲラ

483 :名無しさん@お腹いっぱい。:03/12/19 12:30
エイコー!!

484 :名無しさん@お腹いっぱい。:03/12/19 12:45
エイコーキタ━━━( ゚∀゚ )━(∀゚ )━(゚  )━(  )━(  ゚)━( ゚∀)━( ゚∀゚ )━━━!!!!

485 :名無しさん@お腹いっぱい。:03/12/20 19:42
    ♪           ∩___∩
           ♪    /        ヽ  
               / ●   ●  丶   エイコーエイコーエイコーエイコー♪ 
               |  (_● _)    丶 エイコー♪ エイコーエイコー♪
           ♪  彡、  |∪|   、ミ` ♪エイコー!エイコー──!!
             ___ _○ ヽノ\ξつヾ____
           /δ⊆・⊇ 。/†::† /δ ⊆・⊇。/
        | ̄ ̄ ̄ ̄ ̄ | ̄ ̄ ̄| ̄ ̄ ̄ ̄ ̄|  |
        |           | ::: . |          |

486 :名無しさん@お腹いっぱい。:03/12/22 10:07
エイコー祭り会場はここですか?

487 :名無しさん@お腹いっぱい。:03/12/22 17:11
ほんとにあと10日ほどでピタッと止まるのかなあ>ICMP

488 :名無しさん@お腹いっぱい。:03/12/22 19:40
ブラスタに始まり、ブラスタに終わった年であったことよ>>2003年

489 :名無しさん@お腹いっぱい。:03/12/22 23:40
ブラスターは8月のお盆休み前から流行しはじめ盆休み明けに一部の企業LANや
学内LANが麻痺した。
仮にそれが狙いだったとすれば次のターゲットは正月休みか・・・。

さすがにもうMS03-039を当ててないPCなんて存在しないと思う、思いたい(つД`)

490 :名無しさん@お腹いっぱい。:03/12/22 23:56
>>488
おまいのカレンダーは8月から始まってるのか?


491 :名無しさん@お腹いっぱい。:03/12/23 02:23
Nachiが消えた後、Blaster.Aに再感染する香具師がいそう

492 :名無しさん@お腹いっぱい。:03/12/23 02:28
http://pcweb.mycom.co.jp/news/2003/12/22/24.html
だそうです。
これで減ってくれればいいけど。

493 :名無しさん@お腹いっぱい。:03/12/23 02:41
Blasterの方が、自覚症状があるから感染者が対応せざるを得ない、からまし?
という考えは甘いか?今のとこ、指摘されるまで気が付かないヤツが多すぎ。



494 :名無しさん@お腹いっぱい。:03/12/23 20:55
http://www.cyberpolice.go.jp/important/20031222_142810.html
の @police のオリジナルの pdf を掲げておいた方がいいと思います。

インターネットについては ルーターモデムなので無問題ですが、
イントラネットでは さかんに不審なアクセスが継続しています。

管理共有 無効、DCOM 無効、IIS 無効、Messenger 無効 にして、
Internet Explorer を使わない方がいいでしょう。

495 :名無しさん@お腹いっぱい。:03/12/23 21:33
>>494
最後の2行意味不明

496 :名無しさん@お腹いっぱい。:03/12/23 22:20
>>495
セキュリティ関係について、インターネット検索してみてください。

497 :名無しさん@お腹いっぱい。:03/12/24 09:30
>>491
nachi2が出るでしょう

498 :名無しさん@お腹いっぱい。:03/12/27 00:38
ICMPだいぶん減ってきた
IPは変わってないから、ホントに減少してるっぽい。
@policeの成果出てるってことかな。

499 :名無しさん@お腹いっぱい。:03/12/27 06:34
>>498
感染PCの内蔵時計がズレまくってるのかもねw

うちは減った感じはないけども (´・ω・`)

500 :名無しさん@お腹いっぱい。:03/12/27 14:50
>>499
ISPによって対応が違うんだろう

501 :(・∀・)ウンコー ◆UNKOO50/GY :03/12/27 18:19
漏れはbiglobeだけどほとんど変化なしヽ(・∀・)ノ

502 :(・∀・)ウンコー ◆UNKOO50/GY :03/12/28 23:42
休みに入ったからかもしれんけど
今日はICMPスゴイ多いね┐('〜`;)┌

503 :名無しさん@お腹いっぱい。:03/12/29 12:42
あと3日、なんかドキドキしてくるね

504 :名無しさん@お腹いっぱい。:03/12/30 01:54
うむ、なっちゃんとももうすぐお別れだね。

505 :名無しさん@お腹いっぱい。:03/12/30 02:03
「なっちゃん」って! ちみぃ、愛すてたの?

506 :名無しさん@お腹いっぱい。:03/12/30 02:52
初めて君と出会ったのは今年の夏、僕がBlasterにやられて再起動を繰り返しているときでした
君は突然やってきて僕のパソコンをやさしく治してくれましたね
それからというもの僕は毎日君をクリックしたり、時には君の中をバイナリエディタで覗いたりしていました
でも楽しい時はもう終わりに近づいてきています
さようならなっちゃん、僕は君の事を忘れない








追伸、君の為にポートはずっと空けておくよ・・・


507 :名無しさん@お腹いっぱい。:03/12/30 02:52
      ,一-、
     / ̄ l |   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
    ■■-っ < んなーこたーない
    ´∀`/    \__________
   __/|Y/\.
 Ё|__ | /  |
     | У..  |


508 :名無しさん@お腹いっぱい。:03/12/30 05:20
日本語 Windows は治せない。
なっちゃんの居た席に blaster が戻ってくる。

509 :名無しさん@お腹いっぱい。:03/12/30 20:27
ICMP減ってきた(・∀・)
代わりに3066とか3082とかを連チャンで叩くのが増えてきた (´・ω・`)

510 :(・∀・)ウンコー ◆UNKOO50/GY :03/12/30 23:40
漏れんとこは135と137が増えてきた。

511 :名無しさん@お腹いっぱい。:03/12/31 00:54
いよいよ12月31日です。

512 :名無しさん@お腹いっぱい。:03/12/31 01:17
警察庁のグラフで、139/tcp がグンと増えてるなぁ… 「共有」注意喚起

513 :名無しさん@お腹いっぱい。:03/12/31 06:38
AVGで右クリックからウイルススキャンするとC:\WINDOWS\backup\TB031230.DATが
Worm/Nachiだと言われるのに、AVGのコンプリートスキャンやeTrustだと何も検出され
ない。なんなのだ…。

514 :名無しさん@お腹いっぱい。:03/12/31 06:44
>>513
つーか、Worm/Nachiなんかに侵入される香具師が馬鹿。
OSのパッチ、PFW、アンチウイルスの常駐で防げるはず。


515 :名無しさん@お腹いっぱい。:03/12/31 06:59
Windows Updateはしてたし、XPのファイアウォール有効でZAも入れてて
アンチウイルスソフトもオフにする必要がある時以外は常駐させてたのに…。

516 :名無しさん@お腹いっぱい。:03/12/31 07:36
もうブラスターで騒ぐ時期過ぎてるでしょ?

未だに語ってるのみっともないよ!

517 :名無しさん@お腹いっぱい。:03/12/31 07:48
>>516
明日からまた流行るから

518 :名無しさん@お腹いっぱい。:03/12/31 07:50
さっき感染しそうになりました・・・


519 :名無しさん@お腹いっぱい。:03/12/31 07:51
もうブラスターは忘れろ!今更感染したらそれこそ基地外と変わりないよ

520 :名無しさん@お腹いっぱい。:03/12/31 07:56
忘れられない。あの夏の頃・・・そう今年のあの夏はブラスター一色だった。
ブラスターなんていい響きだ。

521 :名無しさん@お腹いっぱい。:03/12/31 12:05
pingは減るが135が増加ってことか

522 :名無しさん@お腹いっぱい。:03/12/31 16:48
>>516
きょうでタイマーの期限が来るからでしょ

523 :(・∀・)ウンコー ◆UNKOO50/GY :03/12/31 18:33
ICMPめちゃくちゃ増えてきたぁ(;´Д`)

524 :名無しさん@お腹いっぱい。:03/12/31 22:02
>>523
一分間に10以上来てるよ

525 :名無しさん@お腹いっぱい。:03/12/31 23:02
あと1時間…
ブラスター Break Out!!

526 :名無しさん@お腹いっぱい。:03/12/31 23:47
なんかマジで137増えてきたわ (´・ω・`)

527 :名無しさん@お腹いっぱい。:04/01/01 00:02
2004年になった
相変わらずICMPはじゃんじゃん来る

528 :名無しさん@お腹いっぱい。:04/01/01 00:04
同じく、とまりましぇん。
で、しかたなく、おめでとうございます。

529 :名無しさん@お腹いっぱい。:04/01/01 00:04
取りあえず日付が変わってから5発もらった (´・ω・`)

530 :名無しさん@お腹いっぱい。:04/01/01 00:04
>>527
外国はまだ新年迎えてないからな。

531 :名無しさん@お腹いっぱい。:04/01/01 00:05
>>530
あ、そっか

532 :名無しさん@お腹いっぱい。:04/01/01 00:11
主に国内から来てる・・・

533 :名無しさん@お腹いっぱい。:04/01/01 00:19
まさかガセだった?

534 :名無しさん@お腹いっぱい。:04/01/01 00:28
Win機もバックアップ電池切れで日付がおかしくなったりするの?
うちのMacだと1956年8月27日になったりするんだけど。
今ICMP撃ってくる国内のPCってそういうのかな?って思ったから。

535 :名無しさん@お腹いっぱい。:04/01/01 00:29
>>532
俺も。Plalaだけど、OCNとPlalaの会員から来てる。
発信元マシンのシステム時間が狂ってるのかな。

536 :名無しさん@お腹いっぱい。:04/01/01 00:32
ひょっとするとBlasterのプログラムが日付チェックするのは起動時だけだったりして・・・

そうなると感染したままつけっぱなしのPCが全て再起動するまでおさまら(ry

537 :名無しさん@お腹いっぱい。:04/01/01 00:33
>>536
なるほど。

538 :名無しさん@お腹いっぱい。:04/01/01 01:41
なんか、うち、平常通りでちと寂しいのだが。
時代に取り残されてるのか、うちは。
ウワァァァァァァヽ(`Д´)ノァァァァァァン!

539 :(・∀・)ウンコー ◆UNKOO50/GY :04/01/01 02:21
    / ̄| .  人
    |  |. (__) イェ〜ィ!
    |  |. (__) ハッピーニューイヤー!
  ,―    \( ・∀・) 
 | ___)   |  ノ  
 | ___)   |)_) 
 | ___)   |
 ヽ__)_/


540 :名無しさん@お腹いっぱい。:04/01/01 02:51
ルーターのアクセス制限のログにTCP,port 22630が大量に来ているのは、
Blasterのせい?

541 :名無しさん@お腹いっぱい。:04/01/01 03:41
これって何?これまずくない?お役所休みだからレポート出ないのかなぁ。
http://www.cyberpolice.go.jp/detect/observation.html


542 :名無しさん@お腹いっぱい。:04/01/01 05:42
>>536 当たりかも
以前、blaster に感染させて、その後 nachi に感染させてから
PC の時計を 2003 年 12 月 31 日 23 時 59 分まで進めて
様子見てみたけど変化無し。
結局、再起動してタスクマネージャで確認したら起動直後に
一瞬だけ nachi が動いてすぐ消えた。
そのあと blaster に感染させたら元気よく 135 をたたき始めたけどね。

543 :名無しさん@お腹いっぱい。:04/01/01 07:21
>>542
再起動してnachiがサービスから消えた状態で、また外部から
アタックされるとどうなるんだろ?やっぱり再感染?
国内からのping、ちっとも減った感じしないし。

544 : :04/01/01 10:01
このスレに常駐してるのは馬鹿ばかりだな

545 :名無しさん@お腹いっぱい。:04/01/01 10:02
>>544
馬鹿じゃないところを見せてよ。

546 :名無しさん@お腹いっぱい。:04/01/01 10:35
>>541
01/01 10:00 までに icmp の「山」がくずれてきているように見える。
01/01 22:00 までの「山」がどのような形になるか興味深い。
139/tcp が 12/29 12:00 ごろから活発になっている。

547 :名無しさん@お腹いっぱい。:04/01/01 12:56
01/01 12:00 「山」が消えた!

548 :名無しさん@お腹いっぱい。:04/01/01 13:40
blaster偉大なり

549 :名無しさん@お腹いっぱい。:04/01/01 14:58
ICMPどどんと減った!

550 :名無しさん@お腹いっぱい。:04/01/01 15:09
見事!山が消えた!

551 :名無しさん@お腹いっぱい。:04/01/01 15:14
「発信元国別推移」にも注目!

552 :名無しさん@お腹いっぱい。:04/01/01 15:18
Backdoor がグラフを突き抜けそうな勢い!

553 :名無しさん@お腹いっぱい。:04/01/01 15:29
おい、USはそのままだが、JPが無くなったぞ。
JPは全てWelchiだったのかよ!

554 :名無しさん@お腹いっぱい。:04/01/01 15:44
徐々に減ってはいるのね>ICMP Echo Request

555 :名無しさん@お腹いっぱい。:04/01/01 17:31
相変わらず10秒に一回くらいICMPが(略


556 :名無しさん@お腹いっぱい。:04/01/01 17:36
http://www.google.co.jp/search?hl=ja&ie=UTF-8&oe=UTF-8&q=blaster%E6%84%9F%E6%9F%93%E5%AE%9F%E9%A8%93&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja

557 :名無しさん@お腹いっぱい。:04/01/01 18:01
YBB、同じセグメントでまだ二人もかかったままなんだよね。
全体からみれば、半分から、三分の一になったんだけど・・・。

まさか、Pin打って、遊んでんじゃないでしょうね。

558 :名無しさん@お腹いっぱい。:04/01/01 18:38
最大で300/hだったのが15/hだから減ってはいるんだけどね。

559 :名無しさん@お腹いっぱい。:04/01/01 23:25
JP に続いて US も「山」が くずれてきた 01/01 23:00

560 :名無しさん@お腹いっぱい。:04/01/01 23:33
末期患者の心電図見てるみたいだわ

561 :名無しさん@お腹いっぱい。:04/01/02 06:08
WinXPのファイアウォールだけじゃBlaster対策に力不足かな?
やっぱりZAとかも入れなきゃ駄目?

562 :名無しさん@お腹いっぱい。:04/01/02 06:20
絶対に迎え入れない自信があれば出て行く方を監視せずともいいわけだが・・・
送信のブロックはBlaster対策のためだけに考えればよいというものでもないからなあ。
そういう意味ではXP標準だけだと心許ないでしょう。

563 :名無しさん@お腹いっぱい。:04/01/02 15:47
W32.Blaster.Worm
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html

>このワームは現在の日付の「月」が1月-8月の場合はその月の16日から月末まで、9月-12月の場合は毎日発病し、Windows Updateのwebサイトにサービス拒否(DoS)攻撃を仕掛けようとします。

W32.Welchia.Worm
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html

>コンピュータのシステムの日付を調べ、年の値が2004の場合、自分自身を無効化し削除します。

1月16日から心配・・・。



564 :名無しさん@お腹いっぱい。:04/01/03 13:35
宛先ポート別推移
icmp は富士の裾野のように下っている…
135/tcp が上昇しているようにみえるが、気のせいか

発信元国別推移
JP は、スパッと切れて、いさぎよい
それにひきかえ、US は ダラダラ 垂れ流しで、しまりがない(w

565 :名無しさん@お腹いっぱい。:04/01/04 12:45
icmp祭りもいよいよ終焉ですね・・。引き換えに901/tcpが多くなった。
@policeを見ると、それほど増えてるようには見えないけど・・・

566 :名無しさん@お腹いっぱい。:04/01/04 14:54
またICMP増えてきたぞ

567 :名無しさん@お腹いっぱい。:04/01/05 11:18
>>541
そしてネットは平穏になった?

568 :名無しさん@お腹いっぱい。:04/01/05 11:24
ウィルスの活動が沈静化して、免疫活動も沈静化しますた

そう考えるとnachiばらまいた香具師はM$から金を(ir

569 :名無しさん@お腹いっぱい。:04/01/06 10:34
Windows Blaster ワーム駆除ツール (KB833330)
http://www.microsoft.com/downloads/details.aspx?FamilyID=e70a0d8b-fe98-493f-ad76-bf673a38b4cf&DisplayLang=ja

570 :(・∀・)ウンコー ◆UNKOO50/GY :04/01/06 20:56
漏れんとこはICMPはほとんど無いけど、UDP137とTCP135が増えてきた。

571 :名無しさん@お腹いっぱい。:04/01/06 21:57
もうすぐ>>541のグラフも縦の倍率が変わって
「ICMP急に増えたぞ!」とか言い出す香具師も現れそうw

572 :名無しさん@お腹いっぱい。:04/01/06 23:02
http://www.cyberpolice.go.jp/important/20040106_140933.html

Windows 再起動してもらいたいもんだな とくに US

573 :名無しさん@お腹いっぱい。:04/01/06 23:43
そだっ!
Nachi2 では、期限すぎたら、RunOnce で ReStart 組み込みキボン > vir 作成者

574 :名無しさん@お腹いっぱい。:04/01/13 00:22
保守

575 :名無しさん@お腹いっぱい。:04/01/13 20:37
ttp://www.isskk.co.jp/SOC_report.html より
2004年1月13日掲載
■CodeRedU関連イベントの増加
SOCではCodeRed II 関連のイベントが11日頃より多く観測されています。
発信元は中国からのものが大部分を占めています。
Windowsをお使いのシステム管理者の方は、今一度環境を見直し、必要な対応がなされていること
を確認することを推奨いたします。
<CodeRedU対策に関する参考URL>
http://xforce.iss.net/xforce/alerts/id/advise90 (英文)

だそうです。また中国発の攻撃だよ。 ハァ

576 :名無しさん@お腹いっぱい。:04/01/14 09:29
★重要感染危険性情報

http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-003.asp
UDP ポート 1434 脆弱性
 SQL client -> SQL server へのブロードキャストリクエスト
 の後の server -> client のレスポンス処理時にバッファオーバーフロー

577 :名無しさん@お腹いっぱい。:04/01/14 10:31
相対的に見ると、TCP/135とICMPが減り、
TCP/17300、TCP/4899、TCP/901、TCP/27374が増えた。
このスレもPart5で完結か。

578 :名無しさん@お腹いっぱい。:04/01/15 03:02
あとTCP139が多くなったな(相対的に)

こういう厨の来ないウィルス情報スレが存続してると便利なんだが…



579 :名無しさん@お腹いっぱい。:04/01/15 07:59
わしも。
こっからセキュ情報仕入れてるもんで存続キボン

580 :名無しさん@お腹いっぱい。:04/01/15 09:41
★★★緊急感染危険性情報 (既出)

サーバープロセスのバッファオーバーランの脆弱性

Workstation サービス (port 138-139,445 TCP/UDP)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-049.asp
メッセンジャーサービス (port:137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
RPCSSサービス (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
RPC DCOM (port:MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp
SMB (port:139)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-024.asp



581 :名無しさん@お腹いっぱい。:04/01/16 14:50
MessengerとDCOMの無効化 >>417
Workstatinサービスの無効化 >>423
--------------------------------------------------
       FAQは >>19,>>20,>>21,>>22,>>23,>>24
--------------------------------------------------

582 :名無しさん@お腹いっぱい。:04/01/16 20:08
port1025にやたらアタックが来るんだが
これは新種?

583 :名無しさん@お腹いっぱい。:04/01/17 00:07
という訳で、このスレはネットワークウイルス総合スレになりますた。


駄目?

584 :名無しさん@お腹いっぱい。:04/01/17 02:07
ttp://www.cyberpolice.go.jp/detect/observation.html
135/tcp ピクーン と増加傾向 ついに キタ━━!!!!?

585 :名無しさん@お腹いっぱい。:04/01/17 08:33
>>583
ウイルス総合スレと言うよりは
インターネット定点観測を定点観測するスレ、ですなw

586 :名無しさん@お腹いっぱい。:04/01/19 09:23
>>583
大規模ワームウィルス&関連トピックスレ

587 :名無しさん@お腹いっぱい。:04/01/19 13:41
139/tcpの出所って100%韓国のように見えるね

588 :名無しさん@お腹いっぱい。:04/01/19 20:10
再起動する間隔が激短になり起動終了するなり再起動する状況で
サービスを停止することができない場合は
どないしたらエエンでしょうか・・・

という質問を上司から受けたのですがコノ場合はセーフモードで
起動してサービスを停止→修正ウェア007と039→駆除
って感じでエエんでしょうか。。。

589 :名無しさん@お腹いっぱい。:04/01/19 20:41
回復コンソールでファイル削除してもいいし、
対策済み装置にマウントしてもいいし、
全フォーマットしてもいいし、
ごみ箱に放り込んでもよい。

590 :名無しさん@お腹いっぱい。:04/01/19 20:42
>>588
いんや。
リカバリして、Microsoft 謹製“Windows XP セキュリティ対策 CD-ROM”
で修正してから、ネットワークにつないで、Windows Update してくれ。
Windows 2000 の場合は、リカバリしてから、
漏れの“Windows 2000 セキュリティ対策 CD-R”ver.3
で修正してくれ。(w

591 :名無しさん@お腹いっぱい。:04/01/20 10:34
>>588
stinger掛ければ駆除については考える必要はない

592 :名無しさん@お腹いっぱい。:04/01/20 19:43
ttp://www.isskk.co.jp/SOC_report.html
2004年1月20日掲載
■ Bagle ウイルスについて
昨日より、Bagle と呼ばれるメールを使ったウイルスが、感染を拡大している模様です。
RealSecure では、Email_Virus_Double_Extension というイベントで、Bagle を含めた、実行形式のファイル
が添付されたメールをチェックすることが可能です。
RealSecure をご利用になっている場合、このイベントの推移に注意を払うようにしてください。

#BAGLE は、その目的(踏み台 PC を確保)を達成したようだ。相当数の PC をゾンビとして操作する
ことができるようになったようだ。
しかし、ISSKK のグラフが 1/19 00:00 までなのが、おしいなぁ。

593 :名無しさん@お腹いっぱい。:04/01/20 23:57
ttp://www.st.ryukoku.ac.jp/~kjm/security/memo/
■ 2004.01.20
》 Microsoft Baseline Security Analyzer (MBSA) 1.2 日本語版 (Microsoft)
ttp://www.microsoft.com/downloads/details.aspx?displaylang=ja&FamilyID=8B7A580D-0C91-45B7-91BA-FC47F7C3D6AD
出ました。Windows 2000 / XP / Server 2003 な人はぜひインストールしましょう。 詳細は Microsoft
Baseline Security Analyzer V1.2 (Microsoft) を。
……おや、日本語版 Microsoft Baseline Security Analyzer 1.2 早期提供のお知らせと利用上の注意点
(Microsoft) なんてページが。
日本語版 MBSA 1.2 用の修正プログラムデータベースは現在開発中でございます。(中略) 日本語版
MBSA 1.2 の MBSA ツールは、正式なものであり、ベータ版ではありません。ツールにより自動的に
ダウンロードされるデータベースのみベータ版でのご提供となります。
なんじゃそりゃ〜。

#おちゃめではあるが、分かりやすく示されているので、自分のマシンをチェックしてみるといい。

594 :名無しさん@お腹いっぱい。:04/01/27 14:13
W32.Novarg.A@mm (シマンテック)
Mimail.R (トレンド)
W32/Mydoom@MM (,マカフィー)

危険度高いウィルスMYDOOM発見
--------------------------------------------------------------
ウイルス対策ベンダー各社は米国時間26日、メールを大量に送信する新たな
コンピュータウイルスが、電子メールのエラーを装って数多くのPCに感染して
いることを警告した。

「MyDoom」と呼ばれるこのウイルスは、「Mail Delivery System」「Test」「Mail
Transaction Failed」など、いくつかある件名の1つが付いた形で受信箱に入って
くる。この電子メールには「The message contains Unicode characters and has
been sent as a binary attachment」(「本文にUnicodeが含まれているためバイナリ
形式で添付されています」)などの文とともに実行ファイルが添付されている。

セキュリティソフトウェアメーカーのNetwork Associatesでアンチウイルス緊急
対策チームを担当するバイスプレジデントのVincent Gullottoは、「このウイルスは
大規模に発生している。我々はこれを危険度の高いウイルスに分類している」と
語った。

http://headlines.yahoo.co.jp/hl?a=20040127-00000002-cnet-sci

595 :名無しさん@お腹いっぱい。:04/01/27 14:36
MYDOOM(MIMAIL.R)概要
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R

別名: ミメイル, W32/Mydoom@MM, Win32.Mydoom.A, W32.Novarg.A@mm, Mydoom

感染確認方法:<Windowsシステムフォルダ>に以下のファイルが作成される
shimgapi.dll   taskmon.exe
ワームが送信するメール件名: 以下のいずれか
Error/Status/Server Report/Mail Transaction Failed
/Mail Delivery System/hello/hi
本文: 以下のいずれか
"The message contains Unicode characters and has been sent as a binary
  attachment."
"The message cannot be represented in 7-bit ASCII encoding and has
  been sent as a binary attachment."
"Mail transaction failed. Partial message is available."
"test"
添付ファイル名: <ランダムなファイル名>.ZIP

レジストリ改変
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値: TaskMon = <Windowsシステムフォルダ>\taskmon.exe (これをまず削除)
以下のキーを追加する
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\Version


596 :名無しさん@お腹いっぱい。:04/01/27 14:46
こいつはSCOにDoS攻撃かけるのが目的らしい。その点では善玉。


597 :名無しさん@お腹いっぱい。:04/01/27 20:21
Mydoom…こんなヤシ出たの? 知らんかった。

598 :名無しさん@お腹いっぱい。:04/01/27 21:14
某企業の基幹ファイアウォール管理者とメルサバの管理者がダブクリしやがった!
身内の1人のボケカスもダブクリしやがった! _/ ̄|○ il||li


599 :名無しさん@お腹いっぱい。:04/01/28 12:44
>>598
これにひっかかったんじゃないのか?
From: MAILER-DAEMON@****.***.**
Subject: Undelivered Mail Returned to Sender

鯖からの配達不能メッセージにウィルスが添付される
からくり↓

メール添付ウイルス「WORM_MIMAIL.R」が流行中
http://pc.2ch.net/test/read.cgi/sec/1075170355/140


600 :名無しさん@お腹いっぱい。:04/01/29 02:42
もしもし…誰もいない…
みんなMIMAIL.Rスレへ引越しちゃったのかな?

601 :名無しさん@お腹いっぱい。:04/01/29 03:35
>>600
・)

602 :名無しさん@お腹いっぱい。:04/01/29 09:22
サービス感染型大規模ワームウィルス&関連トピックスレ

603 :名無しさん@お腹いっぱい。:04/01/29 11:22
いちおう貼っておく…

★セキュサイトへの接続を妨害する新型MYDOOM.B登場★
CNETの記事
http://japan.cnet.com/news/ent/story/0,2000047623,20064004,00.htm
F-Secure社の分析(日本語)
http://www.f-secure.co.jp/v-descs/v-descs3/mydoomb.html

オリジナルのMIMAIL.R (=MYDOOM.A)の情報はトレンドが詳しい
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R

604 :名無しさん@お腹いっぱい。:04/01/29 19:30
ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/01.html#20040129_folder
■ 「フォルダ」に見せかけ任意のファイルを実行――Windows XPを狙う手口に警告
(ITmedia, 2004.01.28)
 元ネタ: Self-Executing FOLDERS: Windows XP Explorer Part V。
    (中略)
 .folder 拡張子のファイルにフォルダアイコンを割りあてる、という仕様がそもそもの間違いであるように
思える。手元で調べたところ、これを無効にするには、レジストリ HKEY_CLASSES_ROOT\.Folder を削除
して再起動すればよいようだ。なお、Windows 2000 にはそのようなレジストリエントリはもともと含まれて
いなかった。Windows XP には存在した。

#こりゃすげー! かんたんで応用しやすい。WinXP なネラーは特に気をつけよう。

605 :名無しさん@お腹いっぱい。:04/01/29 22:01
>>604
おお。デモプログラムを解凍してみたら、種類 フォルダ になってる。確かに危ない。

606 :605:04/01/29 22:06
フォルダオプションで変更しといた。

607 :名無しさん@お腹いっぱい。:04/01/29 22:13
>>604
antinnyの入れものに使えるなこりゃ。

608 :名無しさん@お腹いっぱい。:04/01/29 22:30
>>604
マイクロソフトがセキュリティパッチを出すべきだね。これは。簡単だし。

609 :名無しさん@お腹いっぱい。:04/01/30 00:53
これって…、永久に無くならない?

610 :名無しさん@お腹いっぱい。:04/01/30 10:41
サービス感染型大規模ワームウィルス&関連トピックスレ


611 :名無しさん@お腹いっぱい。:04/01/30 10:44
@police インターネット定点観測 復旧
http://www.cyberpolice.go.jp/detect/observation.html


612 :名無しさん@お腹いっぱい。:04/01/30 10:54
>>604
フォルダオプションで.Folderを何も関連つけないように新規作成してもおkですか?

613 :名無しさん@お腹いっぱい。:04/01/30 15:33
まだ先の話だが、次スレは↓こういった感じでどうでしょう?

【ブラスタ】大規模感染ウィルス&ワーム情報【後継】




614 :(・∀・)ウンコー ◆UNKOO50/GY :04/02/01 01:40
>>611
今日はなんか多いね(; ̄▽ ̄)y-~~

615 :名無しさん@お腹いっぱい。:04/02/01 14:24
>>614
グラフ突き抜けているね。なんの Backdoor なんだろう?

616 :名無しさん@お腹いっぱい。:04/02/02 00:52
>>615
うちのログ、3127が極端に増えてたから、例のmydoom関連だろう。

617 :名無しさん@お腹いっぱい。:04/02/02 01:11
>604
そもそも「.Folder」拡張子って何に使うものなのか?
ググっても今回のセキュリティーホールに関することばっか。
誰かこの拡張子の有効活用している人はいるのだろうか。
セキュリティーホールを作るための拡張子にしか思えない

618 :名無しさん@お腹いっぱい。:04/02/02 02:34
>>606
>>612

フォルダオプションで変更して、再起動などを経て数日たってから確認したら、
Folder拡張子の設定が元に戻ってた。わけわからん。

ついでだから、テキストファイルを作って拡張子を.Folderに変更してみたら、
ダブルクリックするとダウンロードの確認になった。
どういうファイルなんだろう?

619 :612:04/02/02 04:09
うちのFolderタンはフォルダオプションでFOLDERの横が空欄の状態で今のとこ生きてる。

620 :名無しさん@お腹いっぱい。:04/02/02 04:22
>>618
関連付けが戻るのか?
参ったなぁメモ帳にでも関連付けして
アクセス権でつぶすしかないのだろうか。
ためしに crashme のソースに
.Folder 拡張子をくっつけたら見事にやられた。
ローカルHTMLをオミトロンに通すのは
さすがに馬鹿馬鹿しいし。

>>619
俺はキーごと消したからない。

621 :名無しさん@お腹いっぱい。:04/02/02 05:38
>>620
関連付けってひょんなことから変わっちゃうじゃん。
いつのまにかmpgとかaviとかがWindows Media Playerに戻されてることなんか良くあるし。
何をしたらそうなるのかがわからんことが問題だよな。

622 :621:04/02/02 05:45
>>620
フォルダオプションで拡張子の追加でfolderと入れてみると、すでに関連付けされていると出てくるかもよ。
一覧に表示がないだけで。

623 :612:04/02/02 09:55
もともと.folderという拡張子は一覧になかったが
拡張子の追加でfolderを追加するとすでに定義されてるが変更するか?と聞かれて
.Folderを何も関連づけないように設定したんだがどうなんだろう。
.Folderを開くと開けませぬと出る。

624 :名無しさん@お腹いっぱい。:04/02/02 10:39
検証のためとかでデフォルトに戻す必要があるなら、
regedit で HKEY_CLASSES_ROOT\.Folder のキーを適当な名前でエクスポート
してから、そのキーを削除しておくといい。
まぁ、WinXP なら同じなので、ほかのマシンのキーをエクスポートしてインポート
しても、なんら不都合(不都合を再現する不都合)は無いが…(w

625 :名無しさん@お腹いっぱい。:04/02/02 15:45
ttp://www.mainichi.co.jp/digital/flash/01.html

■「マイドゥーム」の攻撃で米SCOのサイトダウン

 米SCOは1日(現地時間)、大規模なDoS攻撃により同社サイトが完全に利用不能になっていると発表
した。日本時間の2日正午現在もサイトが見られない状態が続いている。同社グループのITインフラスト
ラクチャー部門ディレクターのジェフ・カーロン氏は「この大規模攻撃は、世界中の何十万台ものコンピュ
ーターに感染したと見込まれるマイドゥーム・ウイルスによって引き起こされたものだ」と述べた。

# @police の Backdoor は、これだな。

626 :名無しさん@お腹いっぱい。:04/02/02 18:23
>>625
メール添付ウイルス「WORM_MIMAIL.R」が流行中
http://pc.2ch.net/test/read.cgi/sec/1075170355/501

627 :名無しさん@お腹いっぱい。:04/02/02 21:54
すいません。
駆除をしようとして「fixblast」をダウンロードして、駆除のスタートをしたのですが、
「C¥WINNY¥system32¥ipconf.tsp」
の所で、毎回アプリケーションエラーが出て中止してしまいます。
こんなときはどのように対処すればよいのでしょうか?
よろしくお願いしますm(_)m

628 :名無しさん@お腹いっぱい。:04/02/02 22:03
>>627
リカバリ

629 :621:04/02/02 22:03
>>627
      |
      |
      |
   ぱくっ|
     /V\
    /◎;;;,;,,,,ヽそんなので
 _ ム::::(,,゚Д゚)::| 俺様が釣られると思ってんのか!!
ヽツ.(ノ:::::::::.:::::.:..|)
  ヾソ:::::::::::::::::.:ノ
   ` ー U'"U'

630 :名無しさん@お腹いっぱい。:04/02/02 22:08
マジで釣りではないですw
リカバリということはまた一番最初の状態にもどすのでしょうか?
すいません。
パソコンの事よくわからないので…。
よろしくお願いします。

631 :名無しさん@お腹いっぱい。:04/02/02 22:10
>>630
WINNYだから釣りだと思った

632 :名無しさん@お腹いっぱい。:04/02/02 22:15
すいませんw
うち間違いですm(_)m
もう一度初期化すれば、直るのでしょうか?

633 :名無しさん@お腹いっぱい。:04/02/02 22:18
>>632
スレの上のほうを良く見たり、シマンテックとかのページを見て正しくやればいいんじゃないの?
まずケーブルはずして、セーフモードでやってみたら?

634 :名無しさん@お腹いっぱい。:04/02/02 22:21
ありがとうございます。
がんばってみます!

635 :名無しさん@お腹いっぱい。:04/02/02 22:55
やはり止まってしまいます・・・。
今タスクマネジャーを見た所、TEEKIDS.EXEがなくなっているのですが、
これは駆除ができたということなのでしょうか?


636 :名無しさん@お腹いっぱい。:04/02/02 23:00
>>635
修復インストールする。
マイクロソフトのセットアップCDがあるのならね。

637 :名無しさん@お腹いっぱい。:04/02/02 23:13
>>636
多分買ってないので、ないと思います。
それでは、それを近所で探してみたいと思います!


638 :名無しさん@お腹いっぱい。:04/02/03 00:50
>>637
むだな努力 or 大金をはたく必要
すなおにリカバリして、すこしはマニュアルを読むとか本を読むとかするのが、
近道なような気がする。中学英語ぐらいは必須。
ttp://www.liutilities.com/products/wintaskspro/processlibrary/teekids/
Description: You have the Lovesan worm.
って、検索すりゃすぐ出るじゃないかぁ。

639 :名無しさん@お腹いっぱい。:04/02/03 14:07
【ブラスタ】大規模感染ウィルス&ワーム情報5【後継】
http://pc.2ch.net/test/read.cgi/sec/1065964513/

640 :名無しさん@お腹いっぱい。:04/02/05 02:32
質問させてください。
Blasterのおおまかな感染の流れは、
・攻撃先のIP生成
・TCP135に攻撃用のデータを送信してMS03-026のセキュリティ・ホール検索
・RPCのバッファ・オーバーフローをついてTCP4444で待機するリモート・シェルを作成
・感染元からmsblast.exeの本体を取得するコマンドを送りこみ実行させる
・感染拡大マズー
って、感じだと思います。

ローカルIPを生成した場合、LAN上のパソコンが感染するのは理解できます。
グローバルIPを生成した場合でも、攻撃先のパソコンがグローバルIPなら理解できます。
つづく・・・


641 :640:04/02/05 02:32
判らないのが、グローバルIPを生成した場合で、下記の様な構成だったときです。
ルータを飛越えてパソコンにアクセスできる理由がわかりません。

感染元パソコン

インターネット

MN128のISDNルータ(192.168.0.1)

パソコン(192.168.0.2)

よろしく、ご教授ください。


642 :名無しさん@お腹いっぱい。:04/02/05 10:20
1.ルータの設定がまずい
2.一瞬でもルータを通さず直接ダイアルアップ接続した事がある

643 :640:04/02/05 10:55
>642  レスありがとうございます。
>1.ルータの設定がまずい
はい。フィルタかけてないです。PC側もファイアウォールしてないです。
>2.一瞬でもルータを通さず直接ダイアルアップ接続した事がある
これは、ないです。

えっと、判らない点なんですが、
外側(インターネット側)からルータを挟んでローカルIPがふられているパソコンにアクセスできる点です。
これが、どうしても理解できないんです。
詳しい方、ご教授お願いいたします。



644 :名無しさん@お腹いっぱい。:04/02/05 12:46
>>643
フィルタをかけていないのであれば、「IPスプーフィング」によってルータ内部に
不正侵入されたのかもしれませんね。
お使いのルータの取説やWebページに「スプーフィング対策用フィルタの例」が
載っているかも。

ttp://bit-drive.e-words.ne.jp/w/IPE382B9E38397E383BCE38395E382A3E383B3E382B0.html

645 :名無しさん@お腹いっぱい。:04/02/06 17:45
ISDNルータの時代はまだセキュリティに関しては平和だったんだろうな
と言うわけでISDNルータのデフォルト設定は>>643のような事が出来るようになっている可能性がある
ルータ フィルタリング でぐぐって説明書読みながらがんがれ

646 :名無しさん@お腹いっぱい。:04/02/08 22:24
職場でたまたまパソコンの話になった時、
極たまにしかパソコンは触らない、というヤシが、
「最近使おうと思っても、シャットダウンがどうのっていうメッセージが出て、
カウントダウンが始まって切れてしまって使えない。家族みんなで首ひねってる」
といいだした。
とりあえずウィルスっぽいからネットには絶対つなぐな、と言っておいたけど、
自分のOSの種類もわからない、Windowsupdateて何?というそのヤシに
どうやって駆除と防御の方法を教えたものか…。

647 :名無しさん@お腹いっぱい。:04/02/08 22:26
>>646
2万くらいで駆除を請け負う。
いい小遣い稼ぎになる(w

648 :646:04/02/08 22:46
>>647
後輩だし、たとえ出張したとしても、金取るとかはあんまりなあ。
電気屋の出張サービス頼めば確実だよ、とは言ってあるけど。
でも家が農家なヤシだから、お礼に大根とか白菜はくれそう。

まったく別のことで別の人(やっぱり農家の人)だけど、ちょっとした事のお礼にって
ごっそり野菜貰った事が過去に何度かあるんだ。

649 :名無しさん@お腹いっぱい。:04/02/08 23:03
長閑でんなぁ!

650 :名無しさん@お腹いっぱい。:04/02/08 23:17
>>648
いいね〜おまいと知り合いの人柄がしれる。
大根&白菜の方が、金より(・∀・)イイ!!

651 :名無しさん@お腹いっぱい。:04/02/09 00:02
>>648
夕飯でも馳走になれば宜しかろう。
良酒を一献頂くのも良いでは御座りませぬか。

652 :646:04/02/09 00:20
>>648-649
ども。
とりあえずOSの種類を聞き出して
タスクマネージャ見てもらってウィルスであることを確定して、
対処法載せてるサイトのうち一番分かりやすそうなのを印刷して、
さらに注釈でもつけて渡してみる。
あと、職場のパソコンである程度操作の仕方をレクチャーしてみる。
ネットは禁止しておいたし、もともと普段はネットしないヤシだから、少しずつやってもいいし、
今後のことを考えれば、なるべく自分でやっておいて欲しいとも思う。
それでも無理なら出張かな。

653 :名無しさん@お腹いっぱい。:04/02/10 00:40
>>652
お疲れさん。
ネットワークで感染/攻撃しているユーザーで、自分のパソが「調子わるくなった」程度に思っていて、
ネットワークに大きな危害を加えている、ってゆう意識のかけらもないのを説明するのに疲れるね。
ていねいに指摘してやっても、「始末書でも書けということですか?」なんて逆ギレする者もリアルで
いるよ。

654 :646:04/02/10 01:23
>>653
>「調子わるくなった」程度
まさにそんな感じでした。
後輩は、逆切れとかはしないけど、ねはあげそうな気はする。
ところで偶然休みが交代で入ってたので、次に会うのは木曜日でした。
まだ何にもしてません。資料だけそろえとこう。

655 :名無しさん@お腹いっぱい。:04/02/10 23:19
ttp://www.cyberpolice.go.jp/important/20040210_132352.html

■TCP901番ポートに対するトラフィックの増加について(2/10) <2004/02/10>

2 月10 日現在、警察庁では多数のIP アドレスを発信元とするTCP901 番ポートに対するトラフィックの
増加を検知しています。

1 概要
・ 警察庁のファイアウォールにおいて、901/tcp のアクセスが増加。8 時14 分〜26分にかけて集中して
おり、ピークは15 分。
・ 発信元国別では、US とKR が3 割、以降CA,FR と続く(国内は0 件)。発信元IPアドレスは特段、集中
していない。
・10 日11 時現在、901/tcp アクセスは減少中。

#smpnameres 901/tcp, 901 swat, realsecure なんだけど…

656 :名無しさん@お腹いっぱい。:04/02/11 04:05
オリジナルMYDOOM
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A

MYDOOMの亜種早くも3種類出現…
Mydoom.B
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.B
Mydoom.C=Doomjuice
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DOOMJUICE.A
 3127を叩く 
 悪さ:MSにDoS攻撃
 本体 intrenat.exe
Deadhat
 http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.deadhat.html
 3127、3128、1080を叩く
 Mydoomにとって代わる 
 悪さ:2766 (TCP) のバックドアで着信待機


657 :名無しさん@お腹いっぱい。:04/02/11 20:06
今度のセキュリティホールは、ファイアーウォールでは防げないか。
『セキュリティ情報の「回避策」の項には,ただ一言「なし」と記述されている。
設定変更やパーソナル・ファイアウオールなどで回避することはできない。』


658 :名無しさん@お腹いっぱい。:04/02/12 16:20
【ブラスタ】大規模感染ウィルス&ワーム情報5【後継】
http://pc.2ch.net/test/read.cgi/sec/1065964513/


659 :名無しさん@お腹いっぱい。:04/02/12 16:22
>>657
感染の端緒のメール添付ファイルをスキャンしてればOK

660 :名無しさん@お腹いっぱい。:04/02/12 16:34
Welchia=Nachi (ブラスタ)に亜種がひさびさに登場しますた。
初感染報告↓
セキュリティ初心者質問スレッドpart36
http://pc.2ch.net/test/read.cgi/sec/1075135866/798-806

トレンドマイクロ Nachi.B (= Welchia.B) 解析中…
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B
シマンテック、解析中…(タイトルだけ)
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801

661 :名無しさん@お腹いっぱい。:04/02/12 17:23
・その他の情報:
・ウイルスコード内に以下の文字列が含まれます:

LET HISTORY TELL FUTURE !

1931.9.18
1937.7.7
1937.12.13 300,000 !

1941.12.7
1945.8.6 Little boy
1945.8.9 Fatso

1945.8.15
Let history tell future !

だってさ。犯人は中国人かな。やれやれ。

662 :名無しさん@お腹いっぱい。:04/02/12 18:30
>>661
本多勝一かも。

663 :名無しさん@お腹いっぱい。:04/02/12 18:33
ヒグチちゃうの?

664 :名無しさん@お腹いっぱい。:04/02/12 19:51
>>661
【ネット】ローソンチケットのサイトがクラック【どうなる個人情報】
http://news5.2ch.net/test/read.cgi/newsplus/1076582598/

665 :名無しさん@お腹いっぱい。:04/02/12 23:08
ローソンクラックの取り込み中、失礼します。

ttp://www.cyberpolice.go.jp/important/20040211_111630.html
■TCP3127番ポートに対するトラフィックの増加について(2/11)  <2004/02/11>

ttp://www.cyberpolice.go.jp/detect/pdf/H160211-3127.pdf

    TCP3127 番ポートに対するトラフィックの増加について

 2 月 11 日 0:00 時現在、警察庁では比較的多数の IP アドレスを発信元とする TCP3127
番ポートに対するトラフィックの増加を検知しています。 本事象は、一連の MyDoom ウイ
ルスの蔓延とその感染 PC に対するスキャン行為に関連するものであると考えられます。

#漏れがテストしたときは、TCP/3127 TCP/3128 が LISTENING ができていた。

666 :名無しさん@お腹いっぱい。:04/02/13 03:30
3127への無駄アクセスが0時4分を境にぱたっとやんでた


667 :名無しさん@お腹いっぱい。:04/02/13 07:23
ttp://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B&VSect=T
WORM_NACHI.B

Network Propagation and Exploits

This Nachi variant takes advantage of the following vulnerabilities:

Remote Procedure Call (RPC) Distributed Component Object Model (DCOM) vulnerability
WebDAV vulnerability
IIS5/WEBDAV Buffer Overrun vulnerability

For more information about these Windows vulnerabilities, please refer to the following
Microsoft Web pages:

Microsoft Security Bulletin MS03-026
Microsoft Security Bulletin MS03-007
Microsoft Security Bulletin MS03-049

これか。能天気なサーバー(とくにイントラ)が、また やらかす悪寒の朝。
管理者にげるな!

668 :名無しさん@お腹いっぱい。:04/02/13 08:48
>>668

Symantec Security Response - W32.Welchia.B.Worm
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html

以下の脆弱性が追加。

>The Locator service vulnerability using TCP port 445 (described in Microsoft Security Bulletin MS03-001). The worm specifically targets Windows 2000 machines using this exploit.



669 :名無しさん@お腹いっぱい。:04/02/13 13:03
トレンドのパターン763でNachi.aの残骸のsvchost.exeをNachi.bとして検知してるっぽい。
symantec情報だとwin2kではc:\winnt\system32\drivers\にsvchost.exeがあるようですが、上がってきたアラートはみんなwins配下だった。

670 :名無しさん@お腹いっぱい。:04/02/13 14:03
ttp://www.itmedia.co.jp/enterprise/0402/12/epc12.html

Microsoftのセキュリティ対策センターでセキュリティプログラムマネジャーを務めるスティーブン・トゥールーズ氏は、
今回の脆弱性は昨年8月にMSBlastが拡散する原因となった脆弱性に似ていると指摘。
「影響を与える可能性があるコンピュータの数に関して比較的類似性がある。
(この脆弱性は)Windowsの全バージョンに存在する」と同氏。

671 :名無しさん@お腹いっぱい。:04/02/13 14:12
米国時間の2004年2月10日に公開された、Windows の脆弱性MS04-007は、Windows に組み込まれ
ている ASN.1 処理ルーチンのバグによるものです。

 この ASN.1 ルーチンに、特定のデータを送りつけることにより、バッファオーバーフローを引き起こし、
その Windows 上で、任意のプログラムを実行できる、という物騒な物です。

 ここでいう「データを送りつける」という行為は、ローカルシステム上からだけでなく、リモートからも可能
です。なぜなら、このルーチンは、Kerberos、NTLM などの認証サブシステムや、SSL を使用するアプリ
ケーション(IIS や Internet Explorer、Outlook Express)が共通で使っているからです。
 例えば IE は、https で他のサイトに接続するとき、相手のサーバから送られてくる電子証明書の解析
を、この ASN.1 ルーチンを使って行います。よって、悪意あるサイトが、この脆弱性を利用した変な証明
書を送りつけてくると、IE を走らせているパソコンがヤラれます。
 逆に、IIS 上で SSL サイトを走らせている場合、クライアント認証の過程で、えげつない証明書を食わさ
れてサーバが壊される危険性も孕んでいます。怖いですね。

672 :名無しさん@お腹いっぱい。:04/02/13 14:40
>トレンドのパターン763でNachi.aの残骸のsvchost.exeをNachi.bとして検知してるっぽい。
>symantec情報だとwin2kではc:\winnt\system32\drivers\にsvchost.exeがあるようですが、上がってきたアラートはみんなwins配下だった。

 誤報で正解。今トレンド新パターン作成中らしい。簡便してくれ

673 :名無しさん@お腹いっぱい。:04/02/13 20:40
よくブラスター対策ページに書いてある、
『以下のファイルが見つかったら感染しています』ってあるんですけど、
症状はブラスターに似てるのに、その実行ファイルが見当たらないってことはあるのでしょうか
最終手段はやはりクリーンインストールするしかないのかな


674 :名無しさん@お腹いっぱい。:04/02/13 21:53
>>669
svchost.exe が、なんで wins の中にあるんだ? ふつう空だが。

675 :名無しさん@お腹いっぱい。:04/02/13 21:55
>>673
あるよ、よくある。 とくに初心者とかが使っている PC の中で。

676 :名無しさん@お腹いっぱい。:04/02/13 22:14
あら、あら、あら!!

677 :名無しさん@お腹いっぱい。:04/02/14 02:56
ttp://www.cyberpolice.go.jp/important/20040213_223241.html

■Welchia.B(NACHI.B)ワームの概要について(2/13)   <2004/02/13>

                               平成16年2月13日
                                 警   察   庁

     Welchia.B(NACHI.B)ワームの概要について(2/13)

 2月12日にお知らせしました、日本のWEBページを対象に改ざんを試
みるWelchia.B(NACHI.B)ワームについて、検証を行いました。
 検証結果の詳細は、Welchia.B(NACHI.B)ワーム概要(PDFファイル)を
ご覧ください。
ttp://www.cyberpolice.go.jp/detect/pdf/Welchia_worm.pdf

678 :名無しさん@お腹いっぱい。:04/02/14 18:47
なんか回線すぐ落ちると思ったら、W32.Welchia.B.Wormに感染してしましました(;´Д⊂)
感染ファイルは以下
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XAZGLIR\WksPatch[1].exe
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temporary Internet Files\Content.IE5\8XAZGLIR\WksPatch[2].exe
C:\WINDOWS\system32\drivers\svchost.exe

セーフモードで上記ファイルの削除と、レジストリ削除したけど、
対策のパッチはまだかいな・・・

679 :名無しさん@お腹いっぱい。:04/02/14 18:55
>>678
MS03-049ならとっくに出てるけど。

680 :名無しさん@お腹いっぱい。:04/02/15 02:18
>>677
なんだよ、Nachi.Btってのはロケールが日本語だと永久に
終わらないのかよ。うぜー。


681 :名無しさん@お腹いっぱい。:04/02/15 02:54
警察庁Welchia.B (=Nachi.B)を解析:日本語Webページを破壊、永久に停止せず

Nachi.Bは感染対象のロケールが日本語だった場合、IISが組み込まれていれば
Webページの内容を反日スローガンに改竄し、自動停止期日が過ぎても停止しない
などの動作をすることが明らかになった。

1 攻撃ポート port 445、port135、port80
2 活動期限 日本語以外の場合 2004年6月1日 (起動中の場合、感染から120日後)
  日本語の場合、無期限に活動
3 WEBページ改竄 ロケールが日本語の場合、IISドキュメントルート直下のファイル
を「Let History Tell Future ... 1945.8.6 Little boy」などの反日スローガンに改竄
4 感染後の動作
本体プログラム <システムフォルダ<>\drivers\svchost.exe
レジストリ改変 HKLM\System\CurrentControlSet\Services\WksPatch

詳細はPDFファイル http://www.cyberpolice.go.jp/detect/pdf/Welchia_worm.pdf


682 :名無しさん@お腹いっぱい。:04/02/15 03:01
日本語狙い撃ちかよ…

683 :名無しさん@お腹いっぱい。:04/02/15 03:23
なんでトレンドもシマンテックもNACHI.Bが日本語環境でめったくさ
破壊活動することを発表しないんだ? 警察庁よりそんなに解析
能力が低いのか?



684 :名無しさん@お腹いっぱい。:04/02/15 06:24
>>683
BlasterやNachi.A対策でセキュリティパッチをあてていれば感染の危険性が
ない。そして去年の夏の騒動で懲りた企業はセキュリティ対策を強化している。

SymantecもTrend Microも日本時間で12日には解析を開始して情報を公開していた。

むしろ今頃同じ脆弱性を突くNachi.Bに感染するほうが・・・。ローソンとか・・・。

685 :名無しさん@お腹いっぱい。:04/02/15 08:06
既出かも知れないが、
PDFを見ると某チケット屋のトップページを変えたのは
これみたいだな。
あそこでチケットを買うのは危険だな..個人情報がダダ漏れになりそうで。

686 :名無しさん@お腹いっぱい。:04/02/15 15:40
NACHI.Bの破壊活動をトレンド、シマンテックはなぜ公表しないのか?

>>684
> SymantecもTrend Microも日本時間で12日には解析を開始
> して 情報を公開していた。
というが、解析を開始したきりで、未だに破壊活動情報を公表しない。

NACHI.BはWEBサーバのデータファイルを改竄して、
 1945.8.6 Little boy(←広島の原爆)
 1945.8.9 Fatso (←長崎の原爆)
というような反日スローガンに書き換える

この情報をトレンドは未だにウィルスデータベースに発表してない。
> ウイルスコード内に以下の文字列が含まれます:
などとそしらぬ顔。

シマンテックは英語サイトでは
http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html
10 Overwrites the files it finds with the following .htm file:
と破壊活動を行うことスクリーンショット入りで明確に表示しているのに、
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801
日本語サイトではタイトルだけでNACHI.Bの解説は全く出していない。

これはどういうことなのか? それほど日本法人の能力は低いのか?


 

687 :名無しさん@お腹いっぱい。:04/02/15 17:46
>>686
ttp://www.symantec.com/region/jp/sarcj/index.html
の下の方にある危険度の高いウィルス情報のTopに入ってるだろ
ttp://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.b.worm.html

コピペうざい上に自分の能力の低さを自慢すんな

688 :名無しさん@お腹いっぱい。:04/02/15 19:11
>>687
ま、もちつけ。(w

689 :名無しさん@お腹いっぱい。:04/02/15 19:27
>>684
甘いな。企業のセキュリティはそんなに上がっていないよ。
外部に開発を委託している場合,開発元がセキュリティパッチを
当てるのを嫌がるのだ。

現状は,企業内部の運用部が(もし技術力があればだが)パッチを当てて問題
無いことを確認し,
「問題無いからこれで行くよ」
「そちらでそういう判断をされるのであればどうぞ」
って感じで進んでいるのが実情。

690 :名無しさん@お腹いっぱい。:04/02/15 20:07
>>689
同感
SPも当てられないのも現実にある
今回のMSのパッチの条件はSP2だが
SP2当てたら動かなくなるソフトがあったりする

691 :名無しさん@お腹いっぱい。:04/02/15 20:46
>>689
同感。システム屋さんに、おらしらねえよ、っていわれた日にはお手上げだ。
「ただのパソコン」として使っているPCは勝手にさわれるけど、
専用にプログラムが入れてあったりすると、ご指示に従うか、自己責任で
やるかどっちかだ。だれも責任を取りたくないもんで、ほったらかし。
責任ていうのは、パッチを入れたことで、専用の独自システムが動かない
ことに対する責任ね。
こういうPCは隔離しておきたいが、出来ないし。


692 :名無しさん@お腹いっぱい。:04/02/15 20:47
だにゃ。
むやみにパッチは当てられない、勝手には動けない。

693 :名無しさん@お腹いっぱい。:04/02/15 21:47
おめーら見たいのがいるから、俺が最後に泣きつかれて苦労すんだよ。氏ね。

694 :名無しさん@お腹いっぱい。:04/02/15 21:59
>>693
>>689-692は、むしろ、「最後に泣きつかれて苦労」してる人達だと思ったりするわけだが。誰に対してのレスなんだろうか?

695 :名無しさん@お腹いっぱい。:04/02/15 22:29
できねーし。とか言って結果的に放置してる奴。

696 :名無しさん@お腹いっぱい。:04/02/16 13:16
★★★★★★緊急感染危険性情報

主要サーバープロセスのバッファオーバーランの脆弱性

Q828028 msasn1.dll (https client and so on)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-007.asp
Q830352 WINS (42/tcp 137/udp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-006.asp
Q828749 Workstation service (138-139,445/tcp/udp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS03-049.asp
Q828035 Messenger service (137-139 MSRPC / UDP broadcast)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-043.asp
Q824146 RPCSS (137-139 MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-039.asp
Q823980 RPC DCOM (137-139 MSRPC svc:DCOM)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026.asp
Q817606 SMB (139,445)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-024.asp
Q815021 WebDAV (80/tcp)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-007.asp
Q810833 Locator Service
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-001.asp
Q326830 SMB
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS02-045.asp
Q314941 UPnP
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS01-059.asp
Q307298 telnet
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms02-004.asp


697 :名無しさん@お腹いっぱい。:04/02/16 13:58
>>673
stinger
www.nai.com

698 :名無しさん@お腹いっぱい。:04/02/16 14:33
>>696
最低限、これらのパッチを当てていないW2K/WXPをLAN/WANともにネットに晒すべきではない。

699 :名無しさん@お腹いっぱい。:04/02/16 15:06
【コンピュータ】政治的なメッセージを送りつける、今度のNachiワーム 中国人の仕業か?[02/13]
http://news2.2ch.net/test/read.cgi/news4plus/1076642142/
【週間アップデート】欠陥だらけのIE 今度も深刻度最高 MS社が修正ソフト配布
http://book.2ch.net/test/read.cgi/bizplus/1075806262/
【MS】「緊急」含む2月の月例パッチを公開、Virtual PC for Macにも脆弱性【週刊アップデート】
http://book.2ch.net/test/read.cgi/bizplus/1076516893/
【ブラスタ】大規模感染ウィルス&ワーム情報5【後継】   Blasterスレ part5
http://pc.2ch.net/test/read.cgi/sec/1065964513/


700 :名無しさん@お腹いっぱい。:04/02/16 15:18
@police インターネット定点観測
ttp://www.cyberpolice.go.jp/detect/observation.html


701 :名無しさん@お腹いっぱい。:04/02/16 21:12
ttp://www.asahi.com/national/update/0216/025.html
日本語ウインドウズにのみ働くPCウイルス発見 中国

 香港の中国系紙・文匯報によると、北京のコンピューターソフト会社「中国瑞星」が、マイクロソフト社製
のOS、ウインドウズ2000と同XPの日本語版にのみ被害を与えるコンピューターウイルスを発見した。
 ウイルスは「W32.Welchia.B」という名で、コンピューターのHTMLファイルを書き換えるという。
画面上に黒地に赤く「LET HISTORY TELL FUTURE」(歴史に未来を語らせよ)という英文が出現
し、満州事変や廬溝橋事件など日中間の事件の日付とみられる数字が表れる。
 同社は「内容から見て、制作者は中国人の可能性が高い」としている。 (02/16 19:47)

#朝日いたすぎ(w

702 :名無しさん@お腹いっぱい。:04/02/17 00:14
Welchia.C.Wormが出現

ttp://www.symantec.com/region/jp/sarcj/data/w/w32.welchia.c.worm.html

703 :名無しさん@お腹いっぱい。:04/02/17 00:18
ttp://support.microsoft.com/default.aspx?scid=kb;ja;831167
マイクロソフト サポート技術情報 - 831167
Wininet により空白のヘッダーのみの POST 要求が再送される
現象
ユーザー名やパスワードなどのデータを Wininet 関数を使用して Web サーバーに送信するプログラム
は、Web サーバーで最初の接続要求が終了すると (またはリセットされると)、空白のヘッダーのみの
POST 要求を再送します。
原因
この問題は、セキュリティ修正プログラム (MS04-004) (832894) または修正プログラム (821814) の
適用後に発生します。
解決方法
修正プログラム情報
下記のファイルは、「Microsoft ダウンロード センター」からダウンロードできます。
ダウンロード Q831167.exe (32-bit) パッケージ
Q831167.exe
http://download.microsoft.com/download/9/3/c/93c40dd8-bd75-42f8-a965-95c09f15fc7c/Q831167.exe
ダウンロード Q831167.exe (64-bit) パッケージ
リリース日 : 2004 年2 月 12 日 (米国時間)

#こんな修正パッチもでてますよ。パッチあてますた。

704 :名無しさん@お腹いっぱい。:04/02/17 00:27
ttp://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.E
WORM_MYDOOM.E

705 :名無しさん@お腹いっぱい。:04/02/17 02:01
>>693
別におまいに迷惑かけてるわけじゃなし。一般PCの話じゃないんだ。
あ、感染はしてないからね。その点は誤解なきよう。
パッチをすぐにはあてない=なにも知らない、ではないから。
少なくとも、ここに来てるやつは、自力でやれる対策はとってると思うよ。
でなきゃ、こんな所へやって来ない。

706 :名無しさん@お腹いっぱい。:04/02/17 09:56
>別におまいに迷惑かけてるわけじゃなし。

という奴に限って思わぬ所で大勢の人に迷惑をかけるんだよな。

707 :名無しさん@お腹いっぱい。:04/02/17 11:28
【PC】日本語ウインドウズにのみ働くPCウイルス発見 中国
http://news5.2ch.net/test/read.cgi/newsplus/1076933503/


708 :名無しさん@お腹いっぱい。:04/02/17 14:28
>>700
IDSのwormが漸増しているようだが。

709 :名無しさん@お腹いっぱい。:04/02/17 14:35
 _ ,;;――――- 、
    /            ヽ
    /    ,,_,,,,;;ヽ      |
   /   /     | l     ゝ
   /    | -―‐  ヾ ヽ __ ゞ
   |    |  , ―― 、  , ―‐‐、ヽ
   |    /〉=| ( ・ ) |⌒| ( ・ ) |ヽ
   |  /"  ー―‐'  ヽ ―‐' |
   l; '' ヽ      (  :::::) 、) | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  /    |     _____) < 、まじ、すまんかった
  |.    |   ( ___ヾ'l  |  \________
  l;  ./l ヽ _____ノ /
_,ヾ-‐''|  l      |  | ’`‐-;;,_
     ヽ ヽ     / /


710 :名無しさん@お腹いっぱい。:04/02/17 14:54
>>702
マイナーな亜種であり、機能面では亜種 B と同じです。

711 :名無しさん@お腹いっぱい。:04/02/18 02:26
パッチを当てない理由は実際ほとんど無い。
開発元が「SP2を当てると動かなくなる」と連絡してきたのも,
実際にこちらでテストしてみると何の問題も無かった。
それ以降,当てるとどういう問題があるのか具体的に説明をもてめるようにしている。
回答は「・・・の恐れがある」とか言って来るので試したのかと聞くと試していない。

まぁ〜 こういうのは元ソフトハウスで開発していた人間がスピンアウトして
発注元に回っているような特殊なケースでないとできないのかもしれないが。

712 :名無しさん@お腹いっぱい。:04/02/18 06:19
>>711さんみたいにリスクの判断ができる人だといいわけですが…

パッチ当てた後で動かんかったときに「直せ」といわれて、直るまで金
払わんとか言われたらどうします? 「試したか」と聞かれたときは
「パラメータの組み合わせ全部は試してません。」と答えてる。これは
事実w。

パッチ当てるのも当てないの管理者の「自己責任」でお願いしてます。


713 :名無しさん@お腹いっぱい。:04/02/18 20:00
ひょんなことで、大規模基幹システムのサーバー管理担当者に事情をきく機会をえた。
パッチあてない理由:
1.運用中のマシンとソフトウェアの所有者が、はっきりしない
2.修正パッチによる、運用しているソフトウェアへの影響が確認できない
3.Windows NT (おそらく SP なし)なので、パッチがない
4.これまでウィルス感染がなかった(と思う)ので、そのままにしている

714 :名無しさん@お腹いっぱい。:04/02/18 20:27
ttp://www.cyberpolice.go.jp/important/20040218_112145.html
■Beagle.B(Bagle.B、Alua)ウイルスの発生について(2/18)            <2004/02/18>

                                           平成16年2月18日
                                           警    察    庁

Beagle.B(Bagle.B、Alua)ウイルスの発生について

 2月18日現在、警察庁では、メールを介して感染するBeagle.B(Bagle.B、Alua)ウイルスが発
生しているとの情報を入手しました。このウィルスは、大量にメールを送信する機能があり、
バックドアを仕掛けるとの情報があります。不審なメールや添付ファイルを安易に開封しない
など、十分に警戒してください。

715 :名無しさん@お腹いっぱい。:04/02/18 20:44
>>713
4. はワラタ

716 :名無しさん@お腹いっぱい。:04/02/19 01:31
>>712
出荷するときにもパラメータの組み合わせ全部を試していないに違いない。

717 :名無しさん@お腹いっぱい。:04/02/19 01:55
うわぁぁぁぁぁぁぁっぁぁぁ
あと、、、10秒で再起動しますっていっています。

8、7、6、うわぁあああああああああ

どうしよ

718 :名無しさん@お腹いっぱい。:04/02/19 02:13
>>717 再起動させりゃいいだろ? 行が無駄なので1行で済ます。(w

719 :名無しさん@お腹いっぱい。:04/02/19 02:19
>>717
勝手に再起動してろ!

720 :(・∀・)ウンコー ◆UNKOO50/GY :04/02/19 02:43
>>717
( ´∀`)σ)Д`)

721 :名無しさん@お腹いっぱい。:04/02/19 08:37
>>717
お前はそれを10秒で書いたのか?w

722 :名無しさん@お腹いっぱい。:04/02/19 10:35
>>713
自宅から離れた倉庫の鍵の脆弱性を放置したまま(=常時管理していないサーバーのパッチを当てないまま)で
泥棒に侵入されても(=ワーム・ウィルスなどに侵入されても)
その家主(=管理者)に責任は追及されないけれども、
そこを泥棒のアジトにされて(=ワームの元やバックドアなどを仕掛けられて)
周辺の家(=コンピュータ)に被害が及んだときには
容易にアジトを作られていた(=ワームの元やバックドアなどを仕掛けられていた)事に気づく事ができるような場合には
不法行為性があるぞ

大事になってみないと分からないもんだろうが、
そもそも物事が表面化して大事になる可能性もそう大きくはないわけで、
そこが困りどころだな。

723 :名無しさん@お腹いっぱい。:04/02/19 10:36
>>722
不法行為性については、このような常識論はもとより、不正アクセス禁止法の努力義務違反にもなるので、
不法行為性があることは議論の余地がないだろう。

724 :名無しさん@お腹いっぱい。:04/02/19 11:04
>>696
>>698
Windows NT4.0 (各種) SP6a以降
Windows 2000 (各種) SP2以降
Windows XP (各種)
Windows Server 2003 (各種)
が主な対象。UPnP については、Win98/98SE/Meも含まれる。
また上記より古いSPのレベルのOSは前記パッチが当てられなかったり、
もっと古い脆弱性(ICMPで死ぬとか)があったりするのでネットワークへの接続は停止すべきである。

725 :名無しさん@お腹いっぱい。:04/02/19 23:40
やっと日本語版3.6ccb・・・

726 :名無しさん@お腹いっぱい。:04/02/20 00:19
SP当てられないマシンに関しては
アンチウィルス入れて対応してる
ただシマンテックみたいにデフォルトの設定だと
ターミナルサービスと相性が悪いのもある

727 :名無しさん@お腹いっぱい。:04/02/20 11:34
>>726
そりゃ単なる対症療法

728 :名無しさん@お腹いっぱい。:04/02/20 14:12
>>727
世間一般ではSP当てられないマシンがあったら
サイバーノーガード戦法しか適用されていない現実がある。

729 :名無しさん@お腹いっぱい。:04/02/20 17:19
>>728
FWも追加しとけ。

730 :名無しさん@お腹いっぱい。:04/02/20 17:56
他スレから来ました。
XPの場合、いわゆるブラスタの侵入を防ぐためのパッチは03-001 03-007 03-039と
認識していたのですが他すれでSP1必須と言われました。
ブラスタ防ぐにはSP1は必須ですか?

731 :名無しさん@お腹いっぱい。:04/02/21 00:13
>>730 いったい どの「他スレ」の何番あたりから いらっさいますたか?

732 :名無しさん@お腹いっぱい。:04/02/21 01:10
すこし前の方の「パッチあてない理由:」で気になったのですが、
Windows NT Server 3.5 で問題は起こらないのでしょうか?
某担当者:「あまりに古すぎるので、感染しなかったんでしょう」
とか話しておりました。
NT 3.5 あたりになると、ちょっと自分自身の経験と最近の情報から、
その事情がわかりません。
株式会社ラックの 2003年8月15日の“Blaster-worm_guideline.pdf”でも

2.影響を受けるコンピュータ
  Microsoft Windows NT Server 4.0
   :

となっています。そのあたりの事情について、どなたか情報をお持ちの方の
コメントをいただければ、ありがたく思います。

733 :名無しさん@お腹いっぱい。:04/02/21 03:13
影響あるかもしれないし無いかもしれないけど、誰もそんな古いバー
ジョンまで調べてないので「知りません」だろうな。

まぁNT3.5だとExplorerも無いし、レジストリもまだあまり利用されてない、
IEがあってもせいぜいCOMコンポーネント化される前のIE2.0とかそんな
レベルだったはずなので、今時出回ってるほとんどのウィルス/ワーム
は動かない事の方が多いだろうけどね。

BlasterみたいにRPCSSのバッファオーバーフロー突くような奴はNT3.5
でも影響ありそうな気もするけど、DCOMサポート前で実装が違ってる
からセーフとかあるのやもしれん。

いずれにせよもうNT3.5のセキュリティ情報など手に入らないのだから
影響は「てめーで調べろや」しか無いと思うが。

734 :名無しさん@お腹いっぱい。:04/02/21 13:59
>>733 コメントありがとう。

もし「Windows NT Server 3.5 で問題は起こらない」のであれば、
そのままにしている某(引継ぎ)担当者の判断は正しかったのかもしれません。

「新しいモノを構築する検討をしています」とか苦しい釈明をしていましたが、
別のアプリで新しいモノが作成されて、たいへんな問題が起きてている中で、
投資対利益、成果追求、組織の中の立場とか、いろいろと考慮すると、某担当者に
及ばないかもしれませんが、自分もそうした状況判断をしているかもしれません。

735 :名無しさん@お腹いっぱい。:04/02/22 10:58
>>730
レスがつかないようなのでちょっと・・
当方、SP1を当てずにBlaster対策パッチは適用出来ています。
もちろん、それ以外の WindowsUpdateは導入済み。
昨年9月頃(Blaster以降)、SP1を当てないとそれ以降のパッチは適用
出来ないよ、とMSが公表した事があるので、それのことを指しているのかも
しれないけど、言った人にきいてみないとわかりませんね。

こちらでは、SP1なしでそれ以降のパッチも導入できているので、MSが方針を
かえたのかも知れない。
SPは雑誌の付録ででなくなってどうしようかと思っていたけど、Blaster騒ぎで
CD-ROMで入手可能になったことはありがたい。

736 :名無しさん@お腹いっぱい。:04/02/25 09:57
先週あたりからport6881へのsynがもの凄い数なんだけど何これ?

737 :名無しさん@お腹いっぱい。:04/02/25 22:59
>>736
ファイル交換ソフトが使ってるポートみたいですね
ttp://bitconjurer.org/BitTorrent/FAQ.html

738 :名無しさん@お腹いっぱい。:04/02/26 01:01
BitTorrent が他の BitTorrent をさがしていると…
ルーターないと、たいへんですね

739 :名無しさん@お腹いっぱい。:04/02/29 02:16
port 135
ttp://www.cyberpolice.go.jp/detect/observation.html
で、インターネットで、いまだに盛んな様子。
某イントラネットで、まさに port 135 (RPC DCOM)を必須とする Server-Client プログラムが
稼動していることを発見。 ふしぎなことでしょうが、ウィルス感染しなかったそうです。

740 :名無しさん@お腹いっぱい。:04/03/01 15:32
そりゃあwindows updateしてたんだろ

741 :名無しさん@お腹いっぱい。:04/03/01 19:02
>>740 ブ、ブー! はずれ
Windows が古すぎてパッチあてられない、てゆーかパッチ無いし、
あまりに古いので最近のに感染しなかったんでしょう、とのこと。

742 :名無しさん@お腹いっぱい。:04/03/02 13:15
感染してしまったぽいです。
起動時にカウントダウンが始まってシャットダウンされてしまうので何もできません。
セーフモードでもシャットダウンされてしまいます。
このような場合はどうしたらよいのでしょうか。
どなたか御教授願います。

743 :名無しさん@お腹いっぱい。:04/03/02 13:38
>>742
そのパソからHDD引っこ抜いて他のパソに2台目HDDとしてつなげて駆除する。

744 :名無しさん@お腹いっぱい。:04/03/02 14:16
>>743
マ、マジッスカ
他には対処法ってないですかねぇ。

745 :名無しさん@お腹いっぱい。:04/03/02 15:03
>>744
>>743 それが王道。(ノートだとつらいかな)
ただし、ウィルス対策ソフトがそのつなげたHDDのレジストリまで修復するかどうか。
(たぶん修復しないだろう)
起動時のエラーがでるかも。ウィルス起動するようになっていても、ウィルスがない
のでエラーメッセージ。Windows は、ちゃんと起動するので、ゆっくりレジストリを
吟味してみるといい。

★DCOM を無効にしておこう。(ウィルスは DCOM を使うから、使わせない)
コントロールパネル>管理ツール>コンポーネントサービス>コンピュータ>
マイコンピュータ>右クリック>既定のプロパティ>
「このコンピュータで分散COM を有効にする」のチェックを外す。>OK OK>再起動

Windows 修正パッチをあてよう。
重要な更新以外のよけいな「推奨する更新」とかもやっちまうと、とくに Windows 2000
で無線LAN がうまく動作しないとかがある。
Windows XP (SP なし) からだと、サウンドが鳴らなくなる場合があるので、PC メーカー
のサポート情報をよく見ることをお勧めする。


746 :名無しさん@お腹いっぱい。:04/03/02 15:08
>>745
そうですか…。
ところでこれって2台のPCをUSBで繋げてもできますか?

747 :名無しさん@お腹いっぱい。:04/03/02 15:35
>>746
「HDD引っこ抜いて」って書いてあったよね。それすら読めないなら、君には無理だ。
さっさとリカバリすることをお勧めする。
そいで、DCOM 無効にしてから、ネットワークにつないで Windows Update。
Windows XP なら無料の Microsoft “Windows XP セキュリティ対策 CD-ROM” が
あれば、なおよし。ネットワークにつなぐ危険性を回避できる。
最近 Microsoft は、Windows 98 98SE ME 2000 XP の対策 CD-ROM を、注文すれば、
送る措置もとっているようだ。

748 :名無しさん@お腹いっぱい。:04/03/02 16:05
>>747
よく考えたらUSBでできるわけない罠。
いろいろ突っ込みたいところもあるけど
なんだかんだ言って教えてくれる君の態度に萌えたよ。
じゃ

749 :名無しさん@お腹いっぱい。:04/03/02 16:25
>>744
ネットワークのケーブルを引っこ抜け。

750 :名無しさん@お腹いっぱい。:04/03/03 14:01
>>741
dcomってw2kからだろ?
じゃあ、感染しているのに気づいてないか、感染しても活動しなかったかだな

751 :名無しさん@お腹いっぱい。:04/03/03 19:47
2004-03-02
■関東農政局のパソコン7台がウイルス感染
 農水省関東農政局(さいたま市中央区)の庁内LANに接続されているパソコン計7台がコンピューター
ウイルスに感染し、同農政局は2月27日から1日までLANと外部との接続を遮断していたことが2日まで
にわかった。感染によるシステム障害や、ネットワーク遮断による業務への影響などの被害はなかった
という。
 同省大臣官房情報課によると、ウイルスは「ブラスター」で、27日午後5時ごろに庁内のパソコン1台を
ウイルススキャンしていて見つかった。他のパソコンを調べたところ7台の感染がわかり、ウイルスを駆
除し、基本ソフトに修正プログラムなどを当てるなどの対策を取った。感染は庁内にとどまり、本省や他
省庁への影響はなかった。また同局のホームページは庁内とは別のサーバーで運用しているため、閲
覧を停止するなどの影響は出なかった。
ttp://www.mainichi.co.jp/digital/network/today/1.html

752 :名無しさん@お腹いっぱい。:04/03/04 09:56
カウントダウンでシャットダウン=ブラスターというのは間違ってますか?
なんかテンプレ参考にいろいろ探してみたんですけど
abcdのどれでもないっぽい…。
ちなみにOSはWindows2000です

753 :名無しさん@お腹いっぱい。:04/03/04 13:20
フォーマットして再インスコしる


754 :名無しさん@お腹いっぱい。:04/03/04 18:10
今日インターネットができる様になったんですけどどうやらブラストとかいうのに感染したみたいっす。 みなさんの言ってるディレクトリとかファイルはどうやって見たらいいんでしょうか?パソコン初心者すぎてなにもわかりません(´・ω・`)ちなみに今は携帯からです。

755 :名無しさん@お腹いっぱい。:04/03/04 18:52
>>754
親切に教えてくれるから、この板に行きなされ。
PC初心者
http://pc2.2ch.net/pcqa/

756 :名無しさん@お腹いっぱい。:04/03/04 18:54
>>754
初心者はやたらにドライブ内を触らない方が良いかと思われ
まず満喫逝ってBlasterの駆除ツールと修正パッチを焼いて鯉



マジレスしちゃった……(´-`)

757 :名無しさん@お腹いっぱい。:04/03/04 18:59
>>755さん ありがとうございましたm(_ _)m >>756さん ですがインターネットに接続もできないんです(;_;)

758 :名無しさん@お腹いっぱい。:04/03/04 19:16
>>757
家の唯一のPCがBlasterにやられて接続できない、ってこと?
だれか知人の家、漫画喫茶などのPCでツール手に入れるか、
自分のPCを初期化再インストールか。
がんがれ。

759 :名無しさん@お腹いっぱい。:04/03/04 22:11
>>757
前にも関連カキコあるけど、それを漏れの状況にあてはめてみよう。
たった1台しかないとして、感染したと判ったときには、その状態で PC は決して起動させないね。
たとえノートPC であっても、パーツショップから新しいそれに相当する HDD を買ってきて、自力で
HDD交換してからリカバリするね。(感染の状況の保全をする意味でもある)

内蔵HDD を USB接続などで外付HDD にすることができるケースがショップで販売されている。
それを使って自分の蓄積していたファイルは自在に扱うことができる。

一部の製品で、リカバリ情報が内蔵HDD のみに特殊な形で保存されている場合は、PC メーカー
へ有償で HDD交換の修理依頼するだろう。この場合には、蓄積していたファイルなどは戻らない。

760 :名無しさん@お腹いっぱい。:04/03/04 23:19
>>750
NT4から。

761 :名無しさん@お腹いっぱい。:04/03/05 22:33
DCOM for Windows 98なんてのもある。

762 :名無しさん@お腹いっぱい。:04/03/08 10:26
標準ではインスコされないんだよね?>>NT4 / w98

763 :名無しさん@お腹いっぱい。:04/03/09 11:50
ttp://www.cyberpolice.go.jp/important/20040308_231816.html
■TCP1025番ポートに対するトラフィックの増加について(3/8)        <2004/03/08>

                                           平成16年3月8日
                                            警   察   庁
TCP1025番ポートに対するトラフィックの増加について

 3月8日現在、警察庁では、TCP1025番ポートに対するトラフィックの増加を検知していま
す。
このポートはWindowsのRemote Procedure Call(RPC) を使用するDistributed
Component Object Model (DCOM) インターフェイスで利用されるものです。
 脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの
再確認をお勧めします。
 なお、TCP1025番ポートに対するアクセス状況は以下のとおりです。
 TCP1025番ポートに対するアクセス状況(リンク先はPDFファイルです。)

764 :名無しさん@お腹いっぱい。:04/03/09 22:09
>>763
グラフ2個だけのPDFワロタ

765 :名無しさん@お腹いっぱい。:04/03/10 00:07
ttp://www.cyberpolice.go.jp/important/20040309_145021.html
■Beagle(Bagle)ウイルスについて(3/9)  <2004/03/09>
ttp://www.cyberpolice.go.jp/important/20040309_145112.html
■Netskyウイルスについて(3/9)      <2004/03/09>

PDF アップデートしているね。大幅にレイアウト変更。一覧表イイ!

766 :名無しさん@お腹いっぱい。:04/03/15 08:21
ttp://www.cyberpolice.go.jp/important/20040314_143128.html
■Beagle(Bagle)ウイルスについて(3/14)                     <2004/03/14>

                                           平成16年3月 8日
                                           平成16年3月14日更新
                                           警    察    庁

Beagle(Bagle)ウイルスについて

 3月14日現在、メールを介して感染するBeagle(Bagle)ウイルス及びその多くの亜種が発
生しております。これらのウイルスは、大量にメールを送信する機能があり、またバックドア
を仕掛けるとの情報もあります。不審なメールや添付ファイルを開封しないなど、十分に警戒
して下さい。
 なお、Beagle(Bagle)ウイルス及びその亜種の主な特徴は、以下のとおりです。
 Beagle(Bagle)ウイルス及びその亜種の主な特徴(リンク先はPDFファイルです。)
[更新履歴]
3月14日 Beagle.Mについての情報を追加

767 :名無しさん@お腹いっぱい。:04/03/15 15:33
OS再インストしてから頻繁にシャットダウンするようになって
調べたらblastっぽいんで一応対策してみたけど
なんかいまいち釈然としない症状なのでアドバイスお願いしまつ。

OSはXP Home SP1。ファイヤウォールはXP付属の機能を使ってまつ。
ウイルスソフトはAVG 6.0Free 使ってて安心してたんだけど
どもおかしいんでノートン体験版やらウイルスバスターオンラインスキャンやら
かけましたが、今の時点ではどれでもウイルスは検出されません。
(つかblastという名前では今まで一回もかからなかった。
 症状からおいらが勝手にblastっぽいと思ってるだけ)
WindowsUpDateで検出される更新は全部かけました。
んでここまでやって、当初5分に一回シャットダウンしてたのが
一日に一回くらいに減りました。(忘れたころにシャットダウン)

気になってるのは[ 管理ツール>コンピュータの管理>イベントビューア>システム ]を開くと
未だに5分に一回ぐらいづつRPCに関するエラーが発生してる点。
どもこのRPCってのが悪さしてるような気がするんでつが
切り方がわかりません。(サービスから停止できない?)
あと>745を読んでDCOMってのも切ってみたんですけどこれも関係あるんでつ。

釈然としませんが足りない情報あったらどぞ。

768 :名無しさん@お腹いっぱい。:04/03/15 18:23
>>767
Windowsのアップデートかけててアンチウィールスでも検出されないならブラスタ
ではなさげ。しかし頻繁にシャットダウンするというのはやはり異常。接続ログを
きちんと取れるファイアウォール(Outpostとか)入れてログ見て味噌。怪しい接続
が見当たらないなら、
 1 過去にウィルスが壊したシステム(レジストリその他)が完全に修復
   されていない
 2 ハードウェアの異常(メモリの相性、熱問題など)
なども考えられる

ところでRPCサービスは無効にしては絶対ダメ。OS入れなおしか、それに
近いくらい復旧に手間がかかる。

769 :名無しさん@お腹いっぱい。:04/03/15 20:08
>>768
横から質問スマソです。
>RPCサービスは無効にしては絶対ダメ。
これ知らんかった。‥できれば詳細キボン。

770 :名無しさん@お腹いっぱい。:04/03/15 20:18
復旧方法を知っておかないと大変だよな
知ってれば一分かからないけど

771 :名無しさん@お腹いっぱい。:04/03/15 20:43
>>767
感染しているかどうかは、以下で確認できる。詳細は
http://www.microsoft.com/japan/technet/security/virus/blaster.asp#cond

Step 3: Blaster ワームの感染の確認
1、Ctrl + Alt + Delete キーを同時に押し、Windows のセキュリティを開きます。
2、[タスクマネージャ] をクリックします。
3、[プロセス] タブをクリックします。
4、一覧からの上部にある [イメージ名] ボタンをクリックし、アルファベット順
の表示にします。
5、"msblast.exe" を探します。存在する場合は、ワームに感染しています。
Step 4 に進み、駆除を行ってください。
存在しない場合は、Step 5 に進み、感染しないための対策を行います。


772 :767:04/03/16 00:04
皆様アドバイスども。

やはり blast の可能性は低そうですね。(msblast.exeも無いし。)
しかしそうなるとな何が原因か難しくなってしまいます。
シャットダウンするのは必ずブラウジング中(読み込み開始時)
なのでハードウェアの異常の可能性も低そうだし。
なんかの弾みでレジストリが異常になってしまったんでしょうね・・・

Outpostは実は以前一回入れてみたんだけど
使い方が良くわからなくてXP付属機能に戻してしまった。(w

レジストリ・その他が壊れてしまった場合
OSの上書き再インストールで復旧出来るんでしょうか?
それともやはりクリーンインストールかけないと駄目?
(そもそもこの症状の発端がOS上書き再インストールな訳ですが・・・)

773 :名無しさん@お腹いっぱい。:04/03/16 13:53
>>770
漏れは去年ブラスタ騒動のときにRPC無効にしちまって、MSからツールを
落としてきて、使い方学習して、なんだかんだでネットに復帰するまで半日
かかった。(もうやり方忘れたけどw)


774 :名無しさん@お腹いっぱい。:04/03/16 15:53
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RpcSs の Start に 2 を入れて再起動

775 :名無しさん@お腹いっぱい。:04/03/16 15:56
知ってしまうとあまりに簡単

776 :名無しさん@お腹いっぱい。:04/03/17 13:23
なんか今日になって、ビッグローブとeo-netからのブラスタらしきポート叩きが
やけに増えてる。なんかあったのかな?

777 :名無しさん@お腹いっぱい。:04/03/21 22:20
ttp://www.cyberpolice.go.jp/important/20040320_221628.html

■UDP4000番ポートを発信元ポートとするトラフィックの増加について(3/20)     <2004/03/20>

                                               平成16年3月20日
                                               警    察    庁

UDP4000番ポートを発信元ポートとするトラフィックの増加について
UDP4000番ポートを発信元ポートとするトラフィックの増加について(リンク先はPDFファイルです)
ttp://www.cyberpolice.go.jp/detect/pdf/20040320-4000udp.pdf

 3 月20 日21:00 現在、警察庁では多数のIP アドレスからの、UDP4000 番ポートを発信元ポートとする
アクセスの増加を検知しています。これは、ISS 社の複数の製品の脆弱性への攻撃に利用されるポート
であること、同脆弱性を利用して感染するWitty ワームが発生しているという情報を入手したことから、
同ワームの感染活動である可能性が考えられます。
今後の被害防止のため、ウイルス対策ソフトの使用や脆弱性の修正プログラムの適用を行うなど、使用
されているコンピュータのセキュリティの再確認をお勧めします。

778 :名無しさん@お腹いっぱい。:04/04/16 02:38
ttp://www.cyberpolice.go.jp/important/2004/20040415_060131.html

■TCP135番ポートに対するトラフィックの増加について(4/15)         <2004/04/15>

平成16年4月15日
警    察    庁

TCP135番ポートに対するトラフィックの増加について

 4月15日現在、警察庁では、主としてヨーロッパの数カ国の不特定のIPアドレスを発信元と
する、TCP135番ポートに対するトラフィックの急激な増加を検知しています。トラフィックの増
加の原因は今のところ不明ですが、このポートはWindowsのRemote Procedure Call(RPC)等
で使用されるものであり、新種のワームの発生や大規模なスキャンである可能性があります。

 脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの
再確認をお勧めします。

 なお、TCP135番ポートに対するアクセス状況は以下のとおりです。

 TCP135番ポートに対するアクセス状況(リンク先はPDFファイルです。)
ttp://www.cyberpolice.go.jp/detect/pdf/20040415_tcp135.pdf

779 :名無しさん@お腹いっぱい。:04/04/16 12:32
ほう?  φ(. . )メモメモ…

780 :名無しさん@お腹いっぱい。:04/04/16 20:21
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp

Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)
http://www.microsoft.com/japan/technet/security/bulletin/ms04-012.asp

781 :名無しさん@お腹いっぱい。:04/04/16 20:45
>>780
被害報告多数

windows updateしたときに上げるスレ 13
http://pc5.2ch.net/test/read.cgi/win/1081932957/
Windows Update失敗したらageるスレ 5
http://pc5.2ch.net/test/read.cgi/win/1068705330/


782 :名無しさん@お腹いっぱい。:04/04/18 17:34
>>781
更新でトラブル報告が多いのはWin2kだが…全更新をインストールしたが
無問題。PheonixBIOS、ASUSのマザボに、Win2Ksp4OEMをクリーン
インストール→以降の重要な更新はすべてインストールずみのマシン。



783 :名無しさん@お腹いっぱい。:04/04/19 04:12
製品情報 / Windowsの脆弱性に対する対応について | Ricoh Japan
http://www.ricoh.co.jp/imagio/info/msblast/

富士ゼロックス Color DocuTechシリーズ用FieryカラーサーバーMSBLAST修正プログラム適用手順について
http://www.fujixerox.co.jp/release/2003/0829_msblast05.html

784 :名無しさん@お腹いっぱい。:04/04/20 21:10
ttp://www.cyberpolice.go.jp/important/2004/20040420_185246.html
■TCP1025,2745,6129番等のポートに対するトラフィックの増加について(4/20)更新    <2004/04/20>

TCP1025, 2745, 6129番等のポートに対するトラフィックの増加について(リンク先はPDFファイルです)
ttp://www.cyberpolice.go.jp/detect/pdf/20040420_tcp1025.pdf

#グラフがすごいんですけど、ほんとかなぁ?( ´Д`) < タイーホ (・∀・ ;)

785 :名無しさん@お腹いっぱい。:04/04/25 00:30
■Windowsの脆弱性(MS04-011)を攻撃するプログラムについて(4/24)    <2004/04/24>

                                            平成16年4月24日
                                             警   察   庁
   Windowsの脆弱性(MS04-011)を攻撃するプログラムについて

 4月23日現在、警察庁では、Windowsの脆弱性(MS04-011)を攻撃するプログラムが公開
されているとの情報を入手しました。警察庁において当該攻撃プログラムを解析した結果、
ネットワークを通じてWindowsのSYSTEM権限が奪取されることが判明しています。
 該当する脆弱性を含むOSを使用している方は、マイクロソフト社のサイトから適切なパッチ
をダウンロードし適用して下さい。
 なお、パッチ適用作業は、同コンピュータ上で稼働中のアプリケーションへの影響を考慮し
た上で行って下さい。
<関連サイト>
Microsoft PCT/SSL の悪用を試みるコードに関する情報
http://www.microsoft.com/japan/security/incident/pctdisable.mspx
Microsoft MS04-011: Windows の重要な更新
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp

786 :名無しさん@お腹いっぱい。:04/04/25 03:40
>>785 の脆弱性の回避策 PCTを無効にする

HKey_Local_Machine\System\CurrentControlSet\Control\SecurityProviders\
SCHANNEL\Protocols\PCT 1.0\Server

[値の追加] [データ タイプ] REG_BINARY
[値の名前] Enabled
[値]00000000 (再度有効にするには 00000001 を入力)

787 :名無しさん@お腹いっぱい。:04/04/30 15:57
《Blaster型攻撃が数日内に再来の兆し、専門家が警告》
ウイルス対策各社は、異常なポートスキャン行為が検出され、
MicrosoftのIISサーバの既知の脆弱性を突いてマシンが
トロイの木馬に感染している証拠があるとして警告を発した。
http://www.itmedia.co.jp/enterprise/0404/30/epic01.html
----------------------------------------------------
…だそうです。

788 :名無しさん@お腹いっぱい。:04/04/30 18:13
ttp://www.cyberpolice.go.jp/important/2004/20040430_084140.html

■TCP1025番ポートに対するトラフィックの増加について(4/30)         <2004/04/30>
                                            平成16年4月30日
                                            警   察    庁
TCP1025番ポートに対するトラフィックの増加について

 4月30日現在、警察庁では、特定の国の多くのIPアドレスを発信元とする、TCP1025番ポートに
対するトラフィックの急激な増加を検知しています。トラフィックの増加の原因は今のところ不明
ですが、このポートはWindowsのRemote Procedure Call(RPC) を使用するDistributed Component
Object Model (DCOM) インターフェイスで利用されるものであり、大規模なスキャンである可能性
があります。
 脆弱性の修正プログラムの適用を行うなど、使用されているコンピュータのセキュリティの再確認
をお勧めします。
 なお、TCP1025番ポートに対するアクセス状況は以下のとおりです。

 TCP1025番ポートに対するアクセス状況(リンク先はPDFファイルです。)

ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/04.html#20040430
■ 2004.04.30
》 TCP1025番ポートに対するトラフィックの増加について(4/30) (@police)。 SANS ISC もそうだそうだ
と言っています:Handler's Diary April 29th 2004 (incidents.org)。
インターネット定点観測 (@police) には見事なピークが出ています。
……16:00 ぐらいから? またもや増えてきてるし……。

789 :名無しさん@お腹いっぱい。:04/04/30 22:13
次スレはもっと分かりやすいテンプレにしよう。

790 :名無しさん@お腹いっぱい。:04/04/30 22:28
Windowsの脆弱性を悪用するプログラム出回る--MSBlast再現の可能性も
Robert Lemos (CNET News.com)
2004/04/30 10:53

 Microsoftのソフトウェアにある2つの大規模な脆弱性を悪用し、コンピュータを攻撃するプログラムファイルが
出回っている。だがセキュリティ専門家らは、それよりさらに悪い事態を懸念している。MSBlastタイプのワーム
が出現するおそれがあるのだ。
 このきっかけとなったのは、数人のセキュリティプログラマが、Microsoftがリリースしたパッチをあてていない
Windowsコンピュータを攻撃者が乗っ取れるようにしてしまうプログラムのソースコードを公開したことだった。
 このプログラムは、Microsoftが4月13日に発表した2つの緊急な脆弱性をターゲットにしている。

791 :名無しさん@お腹いっぱい。:04/05/02 00:23
【正式】ウィルス情報&質問 総合スレッド☆Part18
http://pc3.2ch.net/test/read.cgi/sec/1081735712/582 以降に
新種かもしれないウィルス被害報告多数。要注意か…

792 :名無しさん@お腹いっぱい。:04/05/02 00:28
Norton Internet Security 2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
スクリプト遮断機能がある
広告ブロックがアメリカ仕様で、お絵かき掲示板などの画像も消してしまう
スレに貼り付けてあるだけのウイルスコードに反応する
2chの過去ログ取得する時はFWを無効にしないといけない
Antispamが勝手にメーラーと統合する上に不安定(OEと相性が悪い?)
ポップアップ通知が鬱陶しい
LiveUpdateが遅い
webごとにスプリクト遮断やActiveX遮断やプライバシー制御の設定ができる
WEB閲覧するときHTMLファイルにスクリプトを埋め込む処理が重い
 (XPSP2ではデフォルトでポップアップ広告遮断機能があるので無駄になる)
回線速度が遅くなるという報告
ルールが適切ではないとの声もあるがPFWルールの自動作成が進んでいる
不正コピー・不正期限延長ユーザーが多い
個人情報を送ってるかについては疑惑は晴れず。
http://www.symantec.com/region/jp/products/nis/features.html
http://www.symantec.com/region/jp/products/nav/features.html

ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

793 :名無しさん@お腹いっぱい。:04/05/02 01:04
■トレンドマイクロ、SASSERにイエローアラート発令■
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
> ワームはWindowsの「LSASSの脆弱性 (CAN-2003-0533)」と呼ばれる
> セキュリティホールを利用してワーム活動を行います。ワームの被害に
> 遭わないために以下のマイクロソフト社の説明を参照し、セキュリティ
> ホールを修正してください:

Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
 http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
(重い。すでに群集が殺到しているもよう)

> 汎用駆除ツール「トレンドマイクロ ダメージクリーンナップサービス」にて
> このワームのシステム改変の修復に対応いたしました。
> 「トレンドマイクロ ダメージクリーンナップサービス」の使用方法
 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700i

794 :名無しさん@お腹いっぱい。:04/05/02 01:05
lsass(LSASS)のエラーでシャットダウン→Sasserに感染しています。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.worm.html
http://vil.nai.com/vil/content/v_125007.htm

攻撃はMS04-011のLSASSの脆弱性を利用します。
Blasterと同様、ネットに接続するだけで感染します。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp
あなたはなぜ政府の警告を無視したのですか?
http://www.soumu.go.jp/s-news/2004/040426_2.html

795 :名無しさん@お腹いっぱい。:04/05/02 04:59
MSのアラート北〜
http://www.microsoft.com/japan/security/incident/sasser.mspx

このままでいくと次スレは、
【SASSER】Blasterスレ part6 【と対策しれ】
で決まりだろ。


796 :名無しさん@お腹いっぱい。:04/05/02 07:03
あうぽのログ見るとport 445へのattackが増えてる

797 :名無しさん@お腹いっぱい。:04/05/02 09:50
...と思ったけど今はそうでもないな。
445単独でattackしてくるヤシはsasserの可能性大。

798 :名無しさん@お腹いっぱい。:04/05/02 11:17
>>795
Microsoft は、Win98, ME をみごとに影響評価からはずしてるなぁ。

ttp://www.foundstone.com/resources/proddesc/dsscan.htm
MS04-011 LSASS scanner ほい

799 :名無しさん@お腹いっぱい。:04/05/02 11:41
少し前のlog漁ったら
ご近所さん(一致.一致.*.*)から135/445/1025
遠くのとこ(一致.*.*.*)から1025/2745/3127/6129辺りを舐められてたぽいが
これGaobotだよなぁ…

直近のlogは単発の135/445が若干多めだけど沙紗タンの仕業かどうかはワカラン

ttp://www.cyberpolice.go.jp/detect/observation.html
チョトワロタ

800 :名無しさん@お腹いっぱい。:04/05/02 11:43
>>795
Windows Updateしろとマイクロソフトは書いてるけど
ウチの環境だとKB828741のインストールで止まる
手動アップデートの仕方もマイクロソフト書いとけよ

801 :名無しさん@お腹いっぱい。:04/05/02 16:27
>>800
ttp://www.microsoft.com/japan/technet/security/bulletin/ms04-012.asp
Microsoft RPC/DCOM 用の累積的な修正プログラム (828741) (MS04-012)

802 :名無しさん@お腹いっぱい。:04/05/02 18:23
win2000を使っているのですが、起動後10分程度経過するとsvchost.exeのエラーという表示が出て、
コピペできない、クリックしたリンク先に飛ばないなどの現象が出るようになりました。
オンラインでウイルスチェックしたところWORM_MSBLAST.Fというウイルスに感染していることが発覚しました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.F
ここで疑問があるのですが、当方、winMXやwinnyなど使用したことは一切ありません。
つまり、感染経路が不明なのであります。24時間接続できる環境にはありますが、フリーソフトなどの
ダウンロードもしたことがありません。ネットサーフインでウェブを閲覧しているだけです。
MSBLAST.Fもニムダのようにホームページをクリックするだけで感染するものなのでしょうか?

803 :名無しさん@お腹いっぱい。:04/05/02 18:30
>>802
MSBLASTシリーズはWinnyやWinMXなんか全く関係無いよ。
Windowsのセキュリティホールを利用して感染する。
セキュリティホールが塞がれていないWindowsでは適切に設定された
ファイアウォール等を使用しない限りネットに接続しただけで感染する。

804 :名無しさん@お腹いっぱい。:04/05/02 18:39
>>802
どういう接続してるか分からないけど
LAN接続しているならば同じLAN内にいるPCからもらった
可能性が高い

805 :名無しさん@お腹いっぱい。:04/05/02 19:52
>>802
このスレでまたこの言葉を使うとは思わなかった…

テンプレ嫁。

>>14 >>16 あたり

806 :名無しさん@お腹いっぱい。:04/05/02 20:26
MS04-011 パッチのチェック (DSScan.exe 使用)

IP       Hostname   NetBIOS    Status
xx.yy.xx.zz  KOITSUDA   KOITSUDA   VULNERABLE

こいつの PC、連休明けに また あばれそうな悪寒(w
氏名所属場所電話は、確認済みだけどね。

807 :名無しさん@お腹いっぱい。:04/05/02 23:03
syslogが隣近所からの1025で埋まりはじめますた
傾向としては>>799に近いんだが隣が五月蝿過ぎて遠方の反応が拾えない状態だ

sasser単独スレ要るかもしれんな

808 :名無しさん@お腹いっぱい。:04/05/03 01:20
>>807
攻撃するセキュ穴が違うだけでBlaster一族には間違いないんだから
誰かもレスしてたようにSASSERをタイトルに入れてこのスレのPart6
立てたらいいんじゃないいかと思うが。

809 :名無しさん@お腹いっぱい。:04/05/03 01:33
バッファオーバーフローを利用するとはいえ、違う名前なんだから
専用スレ立てたほうが他から来る人にとってはわかりやすい。

810 :名無しさん@お腹いっぱい。:04/05/03 01:44
Sasser ワームについてのお知らせ
公開日: 2004年5月1日 | 最終更新日: 2004年5月2日

現在、インターネット上では W32.Sasser.worm が活動を活発化しており、
マイクロソフトおよびセキュリティ関連組織は、このワームに対する調査を行っています。
このワームは 2004 年 4 月 14 日 (日本時間) のマイクロソフト セキュリティ情報
MS04-011 で修正される Local Security Authority Subsystem Service (LSASS) の脆弱性を悪用している事が確認されました。

http://www.microsoft.com/japan/security/incident/sasser.mspx

811 :じゃ専用スレテンプレ用資料…:04/05/03 01:46
《SASSER基本情報》
トレンドマイクロ(手動削除手順はこちらが詳しい)
SASSER.A
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
SASSER.B
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
シマンテック
SASSER.A
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html#technicaldetails
SASSER.B
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html#technicaldetails

■症状:以下のような窓が出てカウントダウンの後OSが強制的にシャットダウンする。
 LSA Shell(Export Version) has encountered a problem
 This system is shutting down...by NT AUTHORITY\SYSTEM

■予防法:WindowsのLSAに関するセキュリティホールにパッチを当てる。
 Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
 http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

■感染確認: Windowsのシステムフォルダ内(\Windows\ または\WINNT\)に
  "<ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")というファイルが
 作成される。

■駆除方法:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
 実行→regedit→以下の項目を削除
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
 →本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
 さらにウィルスとして発見されたファイルがあれば削除

812 :名無しさん@お腹いっぱい。:04/05/03 01:50
>>809
そう思ったら藻前勃てとけ。
Personal Fire Wallを導入せずにWindows Updateもやってない
アフォな厨房を隔離するスレだ。


813 :名無しさん@お腹いっぱい。:04/05/03 02:07
>>807
1025はsasserとは関係無いと思う。
漏れのところでは135単独と445単独が多いな。
1025は135,445,2745,3127,6129なんかと一緒にナメられてる感じ。

814 :名無しさん@お腹いっぱい。:04/05/03 02:54
1、2ヶ月くらい前から異常に増えてるポートスキャンは、どのワームの仕業なの?




815 :名無しさん@お腹いっぱい。:04/05/03 04:21
Microsoft純正Sasser駆除ツール
ダウソ http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
使い方 http://support.microsoft.com/?kbid=841720

816 :名無しさん@お腹いっぱい。:04/05/03 06:35
sasserはAもBも15,872 Bytesとあるな。
マイナーチェンジってやつか?

817 :名無しさん@お腹いっぱい。:04/05/03 12:06
Cも15872バイトだな

818 :名無しさん@お腹いっぱい。:04/05/03 12:21
休み明け
ノートパソコンをこっそり社内LANに繋いで
ウィルス蔓延がまた発生しそうだな
クスン

819 :名無しさん@お腹いっぱい。:04/05/03 12:23
>>814
どれがどれだかわからん。
今も445単独アタックでいかにもSASSERっぽいんだけどSASSERでないヤシ発見したし

820 :名無しさん@お腹いっぱい。:04/05/03 12:25
>>818
去年のMSBlasterの時と状況が似てる罠

821 :名無しさん@お腹いっぱい。:04/05/03 12:35
ふと思ったんだが
このsasserがキンタマ搭載してメール経由でばら撒きなんてやったら
どうなるんだろう

822 :名無しさん@お腹いっぱい。:04/05/03 14:03
Microsoft LSASS Sasser ワームの拡散

http://www.isskk.co.jp/support/techinfo/general/Sasser_172.html

823 :名無しさん@お腹いっぱい。:04/05/03 17:04

----------------パンピーなユーザーにはじぇんじぇん生かされていない。----------
http://www.isskk.co.jp/security_center/169/solution.html
思い起こせば 昨年の夏・・・ あの教訓をいかそう!
2003年7月16日(日本時間)
X-Forceセキュリティアラート「Microsoft Windows での RPC 実装の不具合」
思い起こせば昨年の夏・・・日本はちょうどお盆の時期。2003年7月16日、「Microsoft Windows
での RPC 実装の不具合」が発表され、この発表の約1ヵ月後、この脆弱性をついたMS Blast
ワームが、日本時間の2003年8月12日より蔓延いたしました。そして、さらに追い討ちをかける
ように日本時間の2003年8月19日Nachi ワームは、MS Blastワームが使用するのと同じ脆弱性
を利用して、さらに企業ネットワークに被害をもたらしました。
--------------が、2ch回答者のスキルや処理態勢は上がっているようだw--------------


824 :名無しさん@お腹いっぱい。:04/05/03 17:43
しかし、sasser 作成者、ちょっと数日タイミングが早すぎた悪寒。

825 :名無しさん@お腹いっぱい。:04/05/03 17:47
>>824
確かに不謹慎だが日本時間5月5日ぐらいにAが出始めていれば
世界中が平日で蔓延しはじめてそこにゴールデンウイーク開けの
日本が参戦ってことになってた鴨

826 :名無しさん@お腹いっぱい。:04/05/03 18:02
>>824
数年前だったか
某アンチウィルス会社がゴールデンウィークに引越しして、
アンチウィルスのアップデートが遅れた事があったな

827 :名無しさん@お腹いっぱい。:04/05/03 18:15
サッサー専用スレopen
sasser【スタコラサッサ】sasser Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/


828 :名無しさん@お腹いっぱい。:04/05/03 20:26
ここは鯖管、シスアド、サポセン、その他関係者スレに戻りますた。

829 :名無しさん@お腹いっぱい。:04/05/03 22:38
>>818
ファイアーウォールで完璧に防御しても、正門から堂々と入ってくるよ
(ノートパソコンで)と、うちの管理者さんも去年嘆いていました・・
今回もまたかな、ハア
感染すると必ず自覚症状が出るなら、話は早いんだけどな。
こいつはどうなんでしょうか。




830 :名無しさん@お腹いっぱい。:04/05/03 23:13
>>829
故意に感染させた感触では、あらゆるタスクが重くなる。(裏でお盛んだから)
web でつながらないことも起こる。メールも無理でしょ。
それ以外の自覚症状は無し。Windows XP Pro SP1a
FW (PFW) では、侵入は はじくでしょ?

831 :名無しさん@お腹いっぱい。:04/05/04 00:06
>>830
自覚症状があることに期待します。。

>FW (PFW) では、侵入は はじくでしょ?
外からの侵入は確かにはじくけど、感染ノートパソをLAN内に持ち込まれると
お手上げです。正門から入ってくるというのはそういう意味です。
大学LANでも企業LANでも、去年ノートパソで泣いたところは多いと思います。


832 :名無しさん@お腹いっぱい。:04/05/04 02:06
>>831
専用スレで誰かが「脚立と懐中電灯」ネタを振ってますw
http://pc3.2ch.net/test/read.cgi/sec/1083573189/219


833 :名無しさん@お腹いっぱい。:04/05/04 02:18
>>832
そーゆーことで、ここに age ないように…
このスレにいるのは、それなりのウォッチをしている香具師なんだから…
とはいっても、「永久懐中電灯」いくらだろ?(w

834 :名無しさん@お腹いっぱい。:04/05/04 02:28
やっぱり別スレが正解だったか。あっちは最初まで巻き戻してビデオ
見てるような。これがdejavuというのかw 素人さんとニワカ回答者で
獅子てんや瀬戸わんや…

ってそんな漫才いなかったっけ。ナツカシ映像みたいので見たような。


835 :名無しさん@お腹いっぱい。:04/05/04 02:54
>>834
>ニワカ回答者
漏れのことか
カチンときた
ageてやる

836 :名無しさん@お腹いっぱい。:04/05/04 04:47
感染したときに強制シャットダウンに入るマシンとそうでないマシンがある?
違いはなんだろ?

837 :名無しさん@お腹いっぱい。:04/05/04 05:22
今のSASSERはCばっかだな。
CはA,Bを上書きヴァージョンアップするような形でひろまってる感じ。

838 :名無しさん@お腹いっぱい。:04/05/05 23:49
ttp://www.cyberpolice.go.jp/detect/observation.html
ゴールデンウィークの旅行から帰って、さぁて、ネットでも見てみるかぁ
といった塩梅でしょうか? ぐんぐん上昇!(w


839 :名無しさん@お腹いっぱい。:04/05/06 01:56
ばかなw
わかりやすすぎるぞそれはw

840 :名無しさん@お腹いっぱい。:04/05/06 02:10
SASSER対策:経済産業省の呼びかけ
http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html

(3) ワームの侵入・拡大を防ぐようネットワークを設定する
・Sasserワームを防御するため、社内ネットワークとインターネットの境界に設置した
 ファイアウォールやルータの設定で、
  UDP135、137、138、139及び445、
  TCP135、138、139、445及び593
 のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
 を許可しない。


841 :名無しさん@お腹いっぱい。:04/05/06 15:12
http://support.microsoft.com/default.aspx?scid=kb;ja;835732
[MS04-011] Microsoft Windows のセキュリティ修正プログラム
対象製品
マイクロソフトはセキュリティ情報 MS04-011 をリリースしました。このセキュリティ
情報には、ファイルの一覧情報、展開オプションを始め、セキュリティ修正プ
ログラムの関連情報がすべて記載されています。セキュリティ情報の詳細を参
照するには、次のマイクロソフトWeb サイトにアクセスしてください。

http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp

本セキュリティ更新プログラムのインストール後、次のサポート技術情報に記載されて
いる問題が発生する可能性があります。詳細については、サポート技術情報の
文書番号をクリックしてください。

840997 Adobe Illustrator で作成された拡張メタファイル形式のグラフィック ファイル
(EMF 画像ファイル) が表示されない

841384 Windows NT 4.0 に MS04-011 のセキュリティ修正プログラムをインストールした
後 "STOP 0x00000079" エラー が発生する

841382 MS04-011 のインストール後にコンピュータが応答を停止、ログオン不可、CPU
使用率 100% の現象が発生する
Ntoskrnl.exe ファイルを置き換えるソフトウェア更新プログラムをインストールする際に
発生する可能性のある一般的な問題に関する追加情報については、次のサポー
ト技術情報の文書番号をクリックしてご確認ください。

246507 Windows NT は、 Ntoskrnl.exe についてのエラー メッセージを起動しません。

224526 Windows NT 4.0 がサポートするシステム パーティションは最大 7.8 GB


842 :名無しさん@お腹いっぱい。:04/05/07 22:17
ttp://www.cyberpolice.go.jp/important/2004/20040507_195408.html
■Sasser.Dワームの概要について(5/7)                           <2004/05/07>

                                               平成16年5月7日
                                               警   察   庁
Sasser.Dワームの概要について

 警察庁では、5月3日にお知らせしましたWindowsに存在するLSASSの脆弱性(MS04-011)を悪用し感染
拡大するSasserワームに関連し、その亜種であるSasser.Dワームについて検証を行いました。
 Sasserワームの概要と検証結果については、 Sasser.Dワームの概要(リンク先はPDFファイルです。) 
をご覧ください。
ttp://www.cyberpolice.go.jp/detect/pdf/H160507sasserd.pdf

この PDF まとまっていてイイ!

843 :名無しさん@お腹いっぱい。:04/05/07 22:35
>>842
一番情報が早くて、説明がわかりやすいのがここになったような。
IPAは情報は遅いは、説明は下手だわ、もうちょっとなんとかすりゃいいのに。
MSやシマンテックやその他も、どう読んでもまともな日本語には思えない。

やっとここまで・・


844 :名無しさん@お腹いっぱい。:04/05/08 00:12
>>842
ちょっと待ったぁ! 警察庁のレポートと異なる “事案” がある。(w

2. Sasser.D の解析結果
2−1 対象 OS 比較

Windows XP Professional SP1a (元々それがインストールされているマシン)
感染後、リブートしない

845 :名無しさん@お腹いっぱい。:04/05/08 13:43
>>844
それはサービスのエラー回復の設定によるんでは?
 サービス→Security Account Manager (LSASSのサービス名称)
 →プロパティ→「回復」タブ
でエラー回復のオプションはどうなってる?

846 :名無しさん@お腹いっぱい。:04/05/08 13:45
さっさスレに書いてしまったが、こっちへ書いたほうがいい内容
だったかも…

sasser【スタコラサッサ】sasser Part2
http://pc3.2ch.net/test/read.cgi/sec/1083839516/152-153

847 :名無しさん@お腹いっぱい。:04/05/08 14:26
>>845
起動と回復
  管理者へ警告を送信する(N)  ×
  自動的に再起動する(R)     ×
エラー報告
  ◎エラー報告を無効にする(S)
   重大なエラーが発生した場合は通知する(N)  ×

にしてる〜YO(w  ↑ my default settings ↓

ちなみに、Security Account Manager  開始 自動

848 :名無しさん@お腹いっぱい。:04/05/08 14:31
>>845
Security Account Manager (LSASSのサービス名称)
であるなら、停止 無効 にしていれば、sasser に感染しない? アマイカナ

849 :名無しさん@お腹いっぱい。:04/05/08 15:35
>>847
LSASS無効はちょっとよくないことが起きそうな。

そのSecurity Account Managerをサービスで開いて
プロパティ…という話




272 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)