2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【BLASTの悪夢】Sasser情報【再び】

1 :サッサ:04/05/03 16:46
情報求む

2 :名無しさん@お腹いっぱい。:04/05/03 16:47
avast愛してます

3 :名無しさん@お腹いっぱい。:04/05/03 16:52
あーあ、香ばしいスレがたってしまったようだな・・・

素直にサバ管などが多く出入りしてるこのスレ見ておけ
Blasterスレ part5
http://pc3.2ch.net/test/read.cgi/sec/1065964513/

4 :ちぇるしぃ:04/05/03 16:52
あなたにも Love Letter あげたい。

5 :名無しさん@お腹いっぱい。:04/05/03 17:13
で、これ使うの?

6 :名無しさん@お腹いっぱい。:04/05/03 17:14
Sasser ワームについてのお知らせ(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser.mspx

Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx

Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_2k.mspx

W32.Sasser.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html

W32.Sasser.B.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html

W32.Sasser 駆除ツール(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html

WORM_SASSER.A(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A

WORM_SASSER.B(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

7 :名無しさん@お腹いっぱい。:04/05/03 17:19
>>5
Personal Fire Wallを導入せずにWindows Updateもやってない
アフォな厨房を隔離するスレ

ということで使えばいいんじゃない?

過去の反省が何も活かされてなかった人々が集うスレ
同じ過ちを繰り返す人々が集うスレ


8 :名無しさん@お腹いっぱい。:04/05/03 17:25
おもしろくなってきたぞw 俺は関係ないからダイジョウブイ

9 :名無しさん@お腹いっぱい。:04/05/03 17:30
■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル

以下の情報はSASSER.AとSASSER.Bのものですが、さらに亜種が発生する可能性大。

【概要】
・Microsoft LSASS Sasser ワームの拡散
 http://www.isskk.co.jp/support/techinfo/general/Sasser_172.html

【基本情報】
トレンドマイクロ(手動削除手順はトレンドが詳しい)
SASSER.A
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
SASSER.B
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
シマンテック
SASSER.A
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html#technicaldetails
SASSER.B
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html#technicaldetails

関連スレ
 【正式】ウィルス情報&質問 総合スレッド☆Part18
  http://pc3.2ch.net/test/read.cgi/sec/1081735712/
 Blasterスレ part5
  http://pc3.2ch.net/test/read.cgi/sec/1065964513/
(303になってたら後継スレを探してください)

10 :名無しさん@お腹いっぱい。:04/05/03 17:30
■こんなんなったらサッサーにやられてます。

【症状】以下のような窓が出てカウントダウンの後OSが強制的にシャットダウンする。
 LSA Shell(Export Version) has encountered a problem
 This system is shutting down...by NT AUTHORITY\SYSTEM

【予防法】WindowsのLSAに関するセキュリティホールにパッチを当てる。
 Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
 http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

【感染確認】 Windowsのシステムフォルダ内(\Windows\ または\WINNT\)に
  "<ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")というファイルが
 作成される。

【駆除方法】
・Microsoft純正Sasser駆除ツール
   http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
 使い方 http://support.microsoft.com/?kbid=841720

・手動:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
 実行→regedit→以下の項目を削除
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
 →本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
 さらにウィルスとして発見されたファイルがあれば削除



11 :名無しさん@お腹いっぱい。:04/05/03 17:31
はっはっは〜   どんどん感染しろぃw

12 :名無しさん@お腹いっぱい。:04/05/03 17:31
【Winアップデートがワケワカメの人、まずファイアーウォール入れましょう】

Q Windowsのアップデート全然やってなかったんで…なんだかたくさん
  あって、ワカワカメでつ…(泣
A 脆弱性(ぜいじゃくせいw)のあるパソコンをネットにつなぐとパッチをダウン
  してる間にウィルスに感染しちゃう鴨です。まずファイアウォール入れてから
  ゆっくりWindowsのアップデートしましょう。
Q ファイアーウォールって何?
A ファイアーウォール(FW)はデータ通路の玄関(port)の警備員みたい
  なものです。通行許可証のない人(データ)を通さないようにします。
Q ファイアウォールでさっさーが防げるんですか?
A 防げます。「LSAというプログラムをインターネットに接続していいですか」
  みたいなことをファイアウォールが尋ねてきますから「ダメ」とボタン押せばOK
Q ファイアーウォール入れてれば絶対安全?
A 可能性は少ないですが、OSがネットに接続してからFWソフトが立ち上がるまで
  のわずかなスキに侵入される可能性があります。修正パッチ当てる前のOSを
  立ち上げるときはケーブルを抜くか、モデムの電源を落としておけば安心。
Q 無料のファイアウォールってどうなのよ? ちゃんと役に立つ?
A 定番はZone Alarm、 Outpost、Kerioなどの製品。有料版もありますがフリー版
  で機能は十分です。詳しいことは専用スレで。「Outpost まとめサイト」がファイア
  ウォール関係の解説わかり易いです。他のFW使う場合でも見ておくといいです。

Agnitum Outpost Firewall part15
 http://pc3.2ch.net/test/read.cgi/sec/1079512402/
ZoneAlarm Part19
 http://pc3.2ch.net/test/read.cgi/sec/1081594360/
☆彡Kerio Personal Firewall 2.1.5 Rule 14☆彡
 http://pc3.2ch.net/test/read.cgi/sec/1075173212/
Outpost 2ch まとめサイト
 http://www.geocities.jp/outpost_2ch/



13 :名無しさん@お腹いっぱい。:04/05/03 17:34
■MSのSASSER駆除ツール
 このツールは Windows XP、Windows 2000SP2以降に有効です。
   http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14c
【使い方とFAQ】
  http://support.microsoft.com/?kbid=841720
(概要)
 MS04-011 [KB835732]修正パッチを適用する以前にシステムがSasser.A または
 Sasser.Bに感染している場合があります。このツールはシステムからSasser.A、
 Sasser.Bを除去する手助けをします。MS04-011 [KB835732]を適用しているシステム
 の場合、このツールをインストールするだけでそれ以上の対策は必要ありません。

Q:このツールはSASSERの感染を防止してくれますか?
A:いええ。このツールはシステムからSASSER.A/Bを取り除きますが、感染の防止
 はできません。感染を防止するには[KB835732]を適用してください。

 訳注★感染したマシンにパッチを当てても感染を取り除けないので、このツールを使え、
 ということ。まずこのパッチ当てろ。 (835732) (MS04-011) その前にファイアウォール入れろ。
  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

Q:インストールの途中で止まってしまいましたが?
A:メモリ上でウィルスプログラムが実行されている場合、ツールは停止します。

 訳注★タスクマネージャからavserve.exe avserve2.exeを停止してから改めて
  Windows(WINNT)\system32\Sasscln.exeを実行する、といいかも試練。


14 :名無しさん@お腹いっぱい。:04/05/03 17:34
初心者のためのWORM_SASSER(A.B)への対処法
・手動削除手順:
以下の手順を実行してください。
@セーフモードで起動します。
⇒WindowsをSafe Mode(セーフモード)で起動する方法
>>727 又は、下記URLから使用OS先を参照
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2227

Aウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ウィンドウズ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動 
以下のレジストリの値を削除してください。
[WORM_SASSER.A] 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値: avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値: avserve.exe = <Windowsフォルダ>\avserve2.exe

Bコンピュータを再起動し、通常モードで起動します。
http://www.trendmicro.co.jp/hcall/index.asp オンラインスキャンで
ウイルス検索を実行してください。「WORM_SASSER.A」又は「WORM_SASSER.B」として検出された
ファイルはすべて削除してください。

CWindows検索(先述のスタートボタン→検索 で起動)を使って「kazaabackupfiles」又は「WIN.LOG」フォルダを検索し、削除します。
註:WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows9x/Me/の場合、システムフォルダ= C:\Windows\System
WindowsNT/2000の場合、システムフォルダ= C:\WinNT\System32
WindowsXP の場合、システムフォルダ= C:\Windows\System32 です。

DWORM_SASSER対策に(A.B共通)セキュリティホール修正パッチを導入 
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。 
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp 

以上、トレンドマイクロ ウイルスデータベース(http://www.trendmicro.co.jp/vinfo/virusencyclo/)の情報を元に改作。

15 :名無しさん@お腹いっぱい。:04/05/03 17:35
ヨーロッパから感染してるな

16 :名無しさん@お腹いっぱい。:04/05/03 17:39
アメリカからって聞いてるけど

17 :名無しさん@お腹いっぱい。:04/05/03 18:05
重複スレになっちゃってます。
お手数ですがこっちに合流しましょう!

sasser【スタコラサッサ】sasser Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/

18 :sasserWARNING!:04/05/03 18:47
((((∽))))
  ‖
 凵。三=━━━──
ロ口‖>  __пi
 /⊥\┣/○⌒@I
〜′ ̄ ̄| ゜Д゜)
【HH|/ ̄\⊇‡〓>━-
〈[※]>  / ̄‖

WARNING!
A HUGE BATTLESHIP
゙sasser゙
IS APPROACHING FAST.

19 :名無しさん@お腹いっぱい。:04/05/03 20:24
-------------- 休 止 ----------------

本スレに事故などあったときに利用できますから
ときどき保守ということでヨロスコ

20 :名無しさん@お腹いっぱい。:04/05/03 23:47
ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

21 :名無しさん@お腹いっぱい。:04/05/03 23:50
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Kerio Personal Firewall 4

・「システムセキュリティ」というプログラム起動を監視する機能により、
 キンタマウイルス http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
 などのアイコンを偽装したEXEファイルをクリックしても警告が出て感染を防げる
 (玄人向けで有料だがTiny5でも防げる。
  Sygate・Zone Alarmには似たような機能があるが防げない。
  Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない)

・現時点では日本語化できない
・2バイト文字には対応していない
・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし
 kerio2のように詳細ルールも作れる
・SPIとIDS、トロイ対策のDLL監視機能もある(広告ブロックは有償版のみ)
・Outpostなみに軽い
http://pc2.2ch.net/test/read.cgi/win/1077780039/233

●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト
http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm

●Kerio Personal Firewall 4のログビューア
http://www.geocities.jp/masagooooool/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

22 :名無しさん@お腹いっぱい。:04/05/03 23:52
/////////////////////////////////////////////////////////////////

System Safety Monitor(SSM)

・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のようにHTMLからのexe起動を含め、
 キンタマウイルス http://internet.watch.impress.co.jp/static/index/2004/04/09/antinny.htm
 などの(ルールが)未決定のアクションを防げる(PFWではない)

・無料
・日本語化できる
・レジストリキーの変更も監視できる

●SSMヘルプ翻訳テキスト+HTML配布サイト
http://www.geocities.co.jp/Outdoors-Mountain/9671/ssm/

/////////////////////////////////////////////////////////////////

23 :名無しさん@お腹いっぱい。:04/05/03 23:55
901 名前:900[sage] 投稿日:04/04/02 22:14
アンチウイルスソフト検出力結果報告(・∀・)

ANTIDOTE / avast! 4 / AVG / AntiVir / BitDefender / eTrust
◇ウイルス
EBCVGにてBinary VirusesとVirus codesを合計722ファイル(重複あり)
全てzip圧縮に変換
Linux/Macウイルスあり
◇アンチウイルスソフト
4/2 18:00頃の最新パターン適用
比較対照としてトレンドマイクロオンラインスキャンを使用・・・したかったけど結果悪いのでBitDefenderを基準に

☆結果 (検出数/検出率)
BitDefender (*1) 580  100.0%
AVP (*2) 545  93.97%
Trend Micro 539  92.93%
Antidote (*3) 524 90.34%
avast!4 (*4) 470  81.03%
eTrust (*5) 444  76.55%
AVG (*6) 212  36.55%

*1 懐疑ファイル13含む
*2 懐疑ファイル2含む
*3 コード解析/圧縮ファイル/詳細検索にチェック。詳細検索にチェックを入れない場合は520。なお懐疑ファイルはどちらも3。
*4 迅速な検査=261  標準検査=286  完全な検査=470
*5 Heuristic有効。SafetyLevel → Reviewer   ScanningEngine → InoculateIT
*6 Heuristic有効。

AVGの検出率が悪すぎる。何かおかしい気が・・・(・∀・)?
【cool】BitDefender Free Edition【free】
http://pc3.2ch.net/test/read.cgi/sec/1029516867/901

24 :名無しさん@お腹いっぱい。:04/05/03 23:57
802 名前:Bitスレ901[sage] 投稿日:04/04/04 19:02
BitDefender(以下BD)が全てのウイルスを検出したわけではないです。
BDが検出したウイルス数の580を100%として出した結果です。
要するにAVGだとBDの37%ということです。

誤解してる人がいるかもしれないので念のため。

※AVGの検出は悪すぎたので"3回再インスト&4回検査”してます。
 で、結果は全て同じ(゚д゚)

非圧縮時の検出率を知りたい人は適当にウイルス集めて試してください(´・ω・`)

【フリー】AVG Anti-Virus Version15
http://pc3.2ch.net/test/read.cgi/sec/1079833302/802

25 :名無しさん@お腹いっぱい。:04/05/03 23:58
831 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/04/05 01:03
去年(031207)同じようにやった結果

定義ファイル、プログラムは当時最新
圧縮なんかの設定はebcvgから落としてきたまま(rar,zip,b64)
ただしほとんどはzipだから誤差は少ないと思う

Antidote (*1) 549 100.00%
eTrust (*2) 537 97.81%
BitDefender (*3) 502 91.44%
avast!4 (*4) 484 88.16%
AVG (*5) 366 66.67%

*1 コード解析,圧縮ファイル,電子メール, 懐疑5
*2 設定が多いから略。たぶん最高
*3 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
ただしvirus bodiesは584, 懐疑22
*4 圧縮ファイル
*5 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
(一応どれも設定は最高にしてやったつもり)

>>731と見比べると向こうはBitdefenderの検出数をvirus bodiesで
数えてるんじゃないかと思う。
おれはIdentified virusesが検出数だと思うから上はそっちを採用してる。

AVGの検出が悪いのはたぶん設定の問題。でも良くはない
むしろ>>742と同じような結果だから、AVGの検出力はこんなもんだと思ってる。

【フリー】AVG Anti-Virus Version15
http://pc3.2ch.net/test/read.cgi/sec/1079833302/831

26 :名無しさん@お腹いっぱい。:04/05/04 00:00
BitDefender(フリーの最新版)
・リアルタイムスキャンできない、メールスキャンできない
・まだ日本語化できない
http://ringonoki.net/tool/antiv/bitdef.html

AntiVir(フリー版)
・リアルタイムスキャンできる
・メールスキャンできない(常駐オンでread and write時有効な場合、添付ファイルを選択すればチェックできる)
・まだ日本語化できないに等しい
http://eazyfox.homelinux.org/SecuTool/AntiVir/AVguard1.htm

avast! 4(フリー版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語版がある、2バイト文字に対応
http://iso-g.hp.infoseek.co.jp/alwil/avast_home/avast_home.html

eTrust(フリーのプロモーション版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
・導入時に修正パッチをインストールするのがめんどう
http://etavfp.hp.infoseek.co.jp/

AVG(フリー版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
http://eazyfox.homelinux.org/SecuTool/AVG6/AVG61.htm

27 :ThreadStopper:04/05/07 02:46
■■■■Sasserはセキュ板に移転しました。■■■■
http://pc3.2ch.net/sec/
http://pc3.2ch.net/test/read.cgi/sec/1083839516/

28 :名無しさん@お腹いっぱい。:04/05/07 07:09
ここもセキュ板

19 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)