2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

sasser【スタコラサッサ】sasser Part1

1 :名無しさん@お腹いっぱい。:04/05/03 17:33
■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル

以下の情報はSASSER.AとSASSER.Bのものですが、さらに亜種が発生する可能性大。

【概要】
・Microsoft LSASS Sasser ワームの拡散
 http://www.isskk.co.jp/support/techinfo/general/Sasser_172.html

【基本情報】
トレンドマイクロ(手動削除手順はトレンドが詳しい)
SASSER.A
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
SASSER.B
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B
シマンテック
SASSER.A
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html#technicaldetails
SASSER.B
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html#technicaldetails

関連スレ
 【正式】ウィルス情報&質問 総合スレッド☆Part18
  http://pc3.2ch.net/test/read.cgi/sec/1081735712/
 Blasterスレ part5
  http://pc3.2ch.net/test/read.cgi/sec/1065964513/
(303になってたら後継スレを探してください)

2 :名無しさん@お腹いっぱい。:04/05/03 17:34
■こんなんなったらサッサーにやられてます。

【症状】以下のような窓が出てカウントダウンの後OSが強制的にシャットダウンする。
 LSA Shell(Export Version) has encountered a problem
 This system is shutting down...by NT AUTHORITY\SYSTEM

【予防法】WindowsのLSAに関するセキュリティホールにパッチを当てる。
 Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
 http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

【感染確認】 Windowsのシステムフォルダ内(\Windows\ または\WINNT\)に
  "<ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")というファイルが
 作成される。

【駆除方法】
・Microsoft純正Sasser駆除ツール
   http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
 使い方 http://support.microsoft.com/?kbid=841720

・手動:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
 実行→regedit→以下の項目を削除
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
 →本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
 さらにウィルスとして発見されたファイルがあれば削除

3 :名無しさん@お腹いっぱい。:04/05/03 17:34
【Winアップデートがワケワカメの人、まずファイアーウォール入れましょう】

Q Windowsのアップデート全然やってなかったんで…なんだかたくさん
  あって、ワカワカメでつ…(泣
A 脆弱性(ぜいじゃくせいw)のあるパソコンをネットにつなぐとパッチをダウン
  してる間にウィルスに感染しちゃう鴨です。まずファイアウォール入れてから
  ゆっくりWindowsのアップデートしましょう。
Q ファイアーウォールって何?
A ファイアーウォール(FW)はデータ通路の玄関(port)の警備員みたい
  なものです。通行許可証のない人(データ)を通さないようにします。
Q ファイアウォールでさっさーが防げるんですか?
A 防げます。「LSAというプログラムをインターネットに接続していいですか」
  みたいなことをファイアウォールが尋ねてきますから「ダメ」とボタン押せばOK
Q ファイアーウォール入れてれば絶対安全?
A 可能性は少ないですが、OSがネットに接続してからFWソフトが立ち上がるまで
  のわずかなスキに侵入される可能性があります。修正パッチ当てる前のOSを
  立ち上げるときはケーブルを抜くか、モデムの電源を落としておけば安心。
Q 無料のファイアウォールってどうなのよ? ちゃんと役に立つ?
A 定番はZone Alarm、 Outpost、Kerioなどの製品。有料版もありますがフリー版
  で機能は十分です。詳しいことは専用スレで。「Outpost まとめサイト」がファイア
  ウォール関係の解説わかり易いです。他のFW使う場合でも見ておくといいです。

Agnitum Outpost Firewall part15
 http://pc3.2ch.net/test/read.cgi/sec/1079512402/
ZoneAlarm Part19
 http://pc3.2ch.net/test/read.cgi/sec/1081594360/
☆彡Kerio Personal Firewall 2.1.5 Rule 14☆彡
 http://pc3.2ch.net/test/read.cgi/sec/1075173212/
Outpost 2ch まとめサイト
 http://www.geocities.jp/outpost_2ch/

4 :名無しさん@お腹いっぱい。:04/05/03 17:34
Sasser ワームについてのお知らせ(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser.mspx

Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx

Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_2k.mspx

W32.Sasser.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html

W32.Sasser.B.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html

W32.Sasser 駆除ツール(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html

WORM_SASSER.A(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A

WORM_SASSER.B(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

5 :名無しさん@お腹いっぱい。:04/05/03 17:34
■MSのSASSER駆除ツール
 このツールは Windows XP、Windows 2000SP2以降に有効です。
   http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14c
【使い方とFAQ】
  http://support.microsoft.com/?kbid=841720
(概要)
 MS04-011 [KB835732]修正パッチを適用する以前にシステムがSasser.A または
 Sasser.Bに感染している場合があります。このツールはシステムからSasser.A、
 Sasser.Bを除去する手助けをします。MS04-011 [KB835732]を適用しているシステム
 の場合、このツールをインストールするだけでそれ以上の対策は必要ありません。

Q:このツールはSASSERの感染を防止してくれますか?
A:いええ。このツールはシステムからSASSER.A/Bを取り除きますが、感染の防止
 はできません。感染を防止するには[KB835732]を適用してください。

 訳注★感染したマシンにパッチを当てても感染を取り除けないので、このツールを使え、
 ということ。まずこのパッチ当てろ。 (835732) (MS04-011) その前にファイアウォール入れろ。
  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

Q:インストールの途中で止まってしまいましたが?
A:メモリ上でウィルスプログラムが実行されている場合、ツールは停止します。

 訳注★タスクマネージャからavserve.exe avserve2.exeを停止してから改めて
  Windows(WINNT)\system32\Sasscln.exeを実行する、といいかも試練。

6 :名無しさん@お腹いっぱい。:04/05/03 17:35
初心者のためのWORM_SASSER(A.B)への対処法
・手動削除手順:
以下の手順を実行してください。
@セーフモードで起動します。
⇒WindowsをSafe Mode(セーフモード)で起動する方法
>>727 又は、下記URLから使用OS先を参照
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2227

Aウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ウィンドウズ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動 
以下のレジストリの値を削除してください。
[WORM_SASSER.A] 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値: avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値: avserve.exe = <Windowsフォルダ>\avserve2.exe

Bコンピュータを再起動し、通常モードで起動します。
http://www.trendmicro.co.jp/hcall/index.asp オンラインスキャンで
ウイルス検索を実行してください。「WORM_SASSER.A」又は「WORM_SASSER.B」として検出された
ファイルはすべて削除してください。

CWindows検索(先述のスタートボタン→検索 で起動)を使って「kazaabackupfiles」又は「WIN.LOG」フォルダを検索し、削除します。
註:WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows9x/Me/の場合、システムフォルダ= C:\Windows\System
WindowsNT/2000の場合、システムフォルダ= C:\WinNT\System32
WindowsXP の場合、システムフォルダ= C:\Windows\System32 です。

DWORM_SASSER対策に(A.B共通)セキュリティホール修正パッチを導入 
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。 
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp 

以上、トレンドマイクロ ウイルスデータベース(http://www.trendmicro.co.jp/vinfo/virusencyclo/)の情報を元に改作。

7 :名無しさん@お腹いっぱい。:04/05/03 17:36
sasserなんぞスタコラコサッサと駆除しよう!

8 :名無しさん@お腹いっぱい。:04/05/03 17:37
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sasser.worm.html
ランダムに生成された IP アドレスの TCP ポート 445 上に接続することを試みます。

IP アドレスは、次のような確率で生成されます:
50% の確率で、完全にランダム
25% の確率で、1番目のオクテットが、感染したホストと同じ IP アドレス
25% の確率で、1番目、2番目のオクテットが、感染したホストと同じ IP アドレス

9 :名無しさん@お腹いっぱい。:04/05/03 17:39
>>6 の手順では、3以降で再度感染する可能性があるので推奨できない


10 :名無しさん@お腹いっぱい。:04/05/03 17:39
パッチ充ててルータ入れてりゃモーマンタイ!

11 :名無しさん@お腹いっぱい。:04/05/03 17:40
そんじゃ誰か>>6の手順を修正してくれよ。

12 :名無しさん@お腹いっぱい。:04/05/03 17:41
Sasser ワームについてのお知らせ(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser.mspx

Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx

Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
http://www.microsoft.com/japan/security/incident/sasser_2k.mspx

W32.Sasser.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html

W32.Sasser.B.Worm(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html

W32.Sasser 駆除ツール(Symantec)
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html

WORM_SASSER.A(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A

WORM_SASSER.B(Trend Micro)
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

13 :名無しさん@お腹いっぱい。:04/05/03 17:42
>>11
修正しなくても
>>12読んだらわかる罠

14 :名無しさん@お腹いっぱい。:04/05/03 17:52
久し振りにルーターのログみたらソゴカタ。
445番君へ一杯プレゼントが来てた。

15 :佐々テンプレ人:04/05/03 17:57
>>1 スレ立て、乙



16 :名無しさん@お腹いっぱい。:04/05/03 18:00
昨日、ブラスター用パッチ4個だけ落として
OSの再インストールしたけど、何故か感染してないっぽい。。。
XPFWをONしてからアップデートしに行ったから助かったのかな?

17 :佐々テンプレ人:04/05/03 18:03
てか重複しちゃったけど、どうするよ。こっちの方がちょい遅い…
向こうもテンプレはいちおう貼ってある。

【BLASTの悪夢】Sasser情報【再び】04/05/03 16:46
http://pc3.2ch.net/test/read.cgi/sec/1083570404/

18 :佐々テンプレ人:04/05/03 18:06
いちおう向こうに合流呼びかけておいたが…

19 :名無しさん@お腹いっぱい。:04/05/03 18:12
> XPの香具師はとにかく最初にXPのファイアウォール機能を有効にしろ。

これは有効なんじゃ? >>6の2)と3)の間に入れたらどうでしょう?

20 :名無しさん@お腹いっぱい。:04/05/03 18:15
ZoneAlarmいれてるけど、XP付属のFW切り設定で大丈夫かな?
FWあるから重複不具合起こるような気が・・

21 :名無しさん@お腹いっぱい。:04/05/03 18:16
>>1
乙。つか2ちゃんめちゃ重いんだけど・・・これのせい?

22 :名無しさん@お腹いっぱい。:04/05/03 18:17
>>20
アンチウイルスソフト入れてZA有効だったら
XPのFWは切った方がいい

23 :名無しさん@お腹いっぱい。:04/05/03 18:21
ようやくというか
yahooのトップページ
のトピックス欄にsasser

24 :Blasterスレからパクリ…:04/05/03 18:27
【SASSER FAQ XP付属ファイアウォール編】
Q Windows XPの付属ファイアウォールは有効ですか?
A Windows XPのファイアウォールはウィールスが入り込むポート
  (TCPポート445、他)を閉じるのに有効です。ただし、このファイア
  ウォールはデフォルトでは無効になってます。
  【FWを有効にする手順】
   コントロールパネル→ネットワークとインターネット接続→普段使っている
   接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
   「コンピュータとネットワークを保護する」にチェックを入れる

Q XPの「ネットワークの接続」がみつかんないよー?
A 以下の方法も試してください。
   スタート→設定→ネットワーク接続
   スタート→接続→全ての接続の表示
   スタート→マイネットワーク→ネットワーク接続を表示

Q XPのファイアウォールで十分ですか?
A XPのおまけFWは外から中へ(inbound)の侵入は防ぎますが、いったん
  感染してしまうと中から外へ(outbound)ウィールスをばら撒くのをチェック
  できません。Zone Alarm、Outpostなど中から外もチェックする製品を
  入れておきましょう。

Q FWはいくつも動作させるとダメですか?
A ダメです。XPのFWは無効にしておくだけでいいですが、
  NISやVBの付属FW、ZA、Outpostのような専用アプリのFW同士は
  インストしてあるだけで完全に喧嘩しますから注意。



25 :名無しさん@お腹いっぱい。:04/05/03 18:32
どうりでここ数日TCP 445のアクセスが多いと思ったらこれか。

26 :名無しさん@お腹いっぱい。:04/05/03 18:34
>>25
多いと思ったら調べろよ(w

27 :Worm_Sasser対策班:04/05/03 18:36
・Safe Mode 起動方法:
Safe Modeで起動するには、以下の手順を実行します。
@コンピュータの電源投入後、コンピュータ製造元のロゴや BIOS の起動画面が
表示されたらキーボード上の[F8]キーを何度か押します。
AWindows(OSが2000の場合 Windows2000) 拡張オプション メニュー が表示されます。
B方向キー(↑/↓)を使用して「セーフモード」を選択し、Enter キーを押します。
続いてOSの選択画面が表示される場合は、Safe Mode で起動したいOSを選択してください。
CWindows2000の場合:「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
以上で完了です。

WindowsXPの場合:ユーザを選択する画面が表示されたら、ログオンするユーザをクリックで選択し、
画面上の[→]をクリックします。
「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
ログオン後、「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
以上で完了です。

注意:
・手順@のタイミングで、[F8]キーを押すタイミングが遅れた場合や早すぎる場合、
Windowsは通常起動します。その場合は、手順1からやり直してください。
・セーフモードでは、色数や解像度など画面の表示が通常とは異なります。
また、USBマウスなど一部の接続機器が使用できなくなります。
・マウスが動作しない場合は、キーボードにて操作をおこなってください。
この場合は Administrator を選択してください。
・NEC機などコンピュータによってはメニューが日本語表示されます。
・機種によりSafe Mode(セーフモード)の起動方法が異なる場合があります。
上記方法により起動できない場合はコンピュータ製造元へお問合せください。
・ログオン画面を表示する設定にしている場合は、手順4の前にWindows ログオン画面が表示されます。(Windows2000の場合)


28 :名無しさん@お腹いっぱい。:04/05/03 18:38
ルーターのログ見たら
TCP2745
が異様なほど(ry
445は異常なし

29 :名無しさん@お腹いっぱい。:04/05/03 18:39
警察庁@policeのサイトにも警告出てる

W32.Sasser.worm ウイルスの発生について
http://www.cyberpolice.go.jp/important/2004/20040503_094530.html

30 :名無しさん@お腹いっぱい。:04/05/03 18:45
>>26
今ここを調べますたw

31 :名無しさん@お腹いっぱい。:04/05/03 18:50
Outpostのログみたら、TCP445が3分おきに・・・

32 :名無しさん@お腹いっぱい。:04/05/03 18:52
感染したら、スタコラサッサと駆除せんかい!


33 :名無しさん@お腹いっぱい。:04/05/03 18:52
>>31
ZoneAlarmだけど不正アクセスは0だよ。CATVだから向こうのルーターで規制してくれてるのかな?

34 :31:04/05/03 19:03
うちもCATVでつ。445のポートスキャンが1時間で15件ってォィ

35 :名無しさん@お腹いっぱい。:04/05/03 19:03
>>28
漏れも見てみたら結構来てた。
IP確認すると全国のOCNユーザーがわんさか来てるんだが
ISPなんてどこでも関係無いよなー?

36 :名無しさん@お腹いっぱい。:04/05/03 19:10
445の数が爆発してる。こらすげーわ。

・・・ツレが感染してやがるし。
修復頼むような状況になる前に対策ちゃんと取れとあれほど言ってたのに。
放置するか。

そういうわけにもいかんよな。
連休小旅行がワーム駆除旅行になるとは。

37 :名無しさん@お腹いっぱい。:04/05/03 19:13
445は普段でも来るからあまり実感湧かない

38 :名無しさん@お腹いっぱい。:04/05/03 19:27
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sasser.worm.html
ランダムに生成された IP アドレスの TCP ポート 445 上に接続することを試みます。

IP アドレスは、次のような確率で生成されます:
50% の確率で、完全にランダム
25% の確率で、1番目のオクテットが、感染したホストと同じ IP アドレス
25% の確率で、1番目、2番目のオクテットが、感染したホストと同じ IP アドレス

39 :名無しさん@お腹いっぱい。:04/05/03 19:43
そんな事より1よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。
このあいだ、近所のTCP445行ったんです。TCP445。
そしたらなんかパケットがめちゃくちゃいっぱいで入れないんです。
で、よく見たらなんか垂れ幕下がってて、W32.Sasser.Worm、とか書いてあるんです。
もうね、アホかと。馬鹿かと。
お前らな、W32.Sasser.Worm如きで普段来てないTCP445に来てんじゃねーよ、ボケが。
MS04-011だよ、MS04-011。
なんかTCP135に来てるのもいるし。年度が変わってもいまだにBLASTERか。おめでてーな。
よーしパパRPCサービス以上終了しちゃうぞー、とか言ってるの。もう見てらんない。
お前らな、FIX_BLAST.EXEやるからポート空けろと。
ネットワークポートってのはな、もっと殺伐としてるべきなんだよ。
スイッチングハブの並びに繋がった奴といつコンフリクトが始まってもおかしくない、
落とすか落とされるか、そんな雰囲気がいいんじゃねーか。マカーは、すっこんでろ。
で、やっと入れかと思ったら、隣の奴が、XP標準のFWで、とか言ってるんです。
そこでまたぶち切れですよ。
あのな、XP標準のFWなんてきょうび流行んねーんだよ。ボケが。
得意げな顔して何が、XP標準のFWで、だ。
お前は本当にXP標準のFWを使いたいのかと問いたい。問い詰めたい。小1時間問い詰めたい。
お前、XP標準のFWって言いたいだけちゃうんかと。
ネットワーク通の俺から言わせてもらえば今、ネットワーク通の間での最新流行はやっぱり、
ポート全開放、これだね。
ポート全開放かつセキュリティソフトアンインスコ。これが通の頼み方。
ポート全開放ってのはポートが多めに開いてる。そん代わりセキュリティが甘め。これ。
で、それにセキュリティソフトアンイスコ(シマンテック)。これ最強。
しかしこれを実行すると次からスーパーハカーにマークされるという危険も伴う、諸刃の剣。
素人にはお薦め出来ない。
まあお前、1は、ウイルスバスター2004でも入れてなさいってこった。


40 :名無しさん@お腹いっぱい。:04/05/03 19:48
初心者のためのWORM_SASSER(A.B.C)への対処法 
・手動削除手順:
以下の手順を実行してください。 
@セーフモードで起動します。 
⇒WindowsをSafe Mode(セーフモード)で起動する方法 本スレの>>27 又は、下記URLから。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=2227 

Aウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ウィンドウズ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動 
以下のレジストリの値を削除してください。 
[WORM_SASSER.A B C] 場所: KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[WORM_SASSER.A] 値: avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 値: avserve.exe = <Windowsフォルダ>\avserve2.exe
[WORM_SASSER.C] 値: avserve2.exe = "%Windows%\avserve2.exe"
※ファイアウォールなどの機能を導入していない方は再感染を防ぐためにWindows XPの付属ファイアウォールを有効にしてください。
 詳しくは>>24 を参照のこと。 

Bコンピュータを再起動し、通常モードで起動します。 
http://www.trendmicro.co.jp/hcall/index.asp オンラインスキャンで ウイルス検索を実行してください。
「WORM_SASSER.A(又は.B C)として検出されたファイルはすべて削除してください。 

CWindows検索(先述のスタートボタン→検索 で起動)を使って次のフォルダ検索し、削除します。 
[WORM_SASSER.A]の場合「kazaabackupfiles」 
[WORM_SASSER.B]の場合「WIN.LOG」 
[WORM_SASSER.C]の場合「WIN.LOG」「WIN2.LOG」 
註:WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、 [WindowsNT/2000の場合]、システムフォルダ= C:\WinNT\System32 [WindowsXP の場合]、システムフォルダ= C:\Windows\System32 です。 

Dセキュリティホール修正パッチを導入 
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。 
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

41 :名無しさん@お腹いっぱい。:04/05/03 19:57
インターネットに接続したところ、どのサイトを開いてもページが表示できませんと
出てしまうのですが、sasserに感染しているのでしょうか?


42 :名無しさん@お腹いっぱい。:04/05/03 20:00
>>41
違う

43 :名無しさん@お腹いっぱい。:04/05/03 20:06
>>42
回答ありがとうございます。

44 :名無しさん@お腹いっぱい。:04/05/03 20:09
>>41-43
これを拝んでおきなさい。さすれば解決の糸口が見つかろう。
http://www.jade.dti.ne.jp/~sassa/profile.htm

45 :名無しさん@お腹いっぱい。:04/05/03 20:11
>>34
一時間で15件って少ないだろ
前に80数回されたことあった。
もちろん被害届けだしたけどな

46 :41:04/05/03 20:12
>>44
どうもありがとうございます。よく読んで研究してみます。

47 :名無しさん@お腹いっぱい。:04/05/03 20:12
金鳥サッサ
キタ━━━━━━━━━━━━━!!!!

ルーターで弾いてましたが

48 :名無しさん@お腹いっぱい。:04/05/03 20:18
うちのシステムにはport1025へ半日で4000から5000ぐらい着てます
皆さんのport1025は大丈夫ですかぁ?


49 :名無しさん@お腹いっぱい。:04/05/03 20:19
sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の
ことでしょうか

あと自分のパソコンが64ビットでないか否かはどこで調べられるでしょうか
教えてください

50 :名無しさん@お腹いっぱい。:04/05/03 20:21
>>48
私んとこはアクセス0です 逆に心配に・・・
CATVだからルータないし。。

51 :名無しさん@お腹いっぱい。:04/05/03 20:22
>>49
> sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の
> ことでしょうか

その通り。

> あと自分のパソコンが64ビットでないか否かはどこで調べられるでしょうか
> 教えてください

調べるまでも無く貴方のWindowsは63ビットじゃないです。
100パーセント断言できます。

52 :51:04/05/03 20:22
×63ビット
○64ビット

53 :名無しさん@お腹いっぱい。:04/05/03 20:24
>>51
両方のご回答どうもありがとうございます

54 :名無しさん@お腹いっぱい。:04/05/03 20:25
>>49
MS04-011=835732ですよ。KBつくのかわからんけどたぶんね。
64BitでOSのことかニャ? そうであればマイコンピュータを右クリックでプロパティでわかると思いますけど。

55 :Blasterスレからパクリ…:04/05/03 20:27
http://www.isskk.co.jp/security_center/169/solution.html
思い起こせば 昨年の夏・・・ あの教訓をいかそう!
2003年7月16日(日本時間)
X-Forceセキュリティアラート「Microsoft Windows での RPC 実装の不具合」
思い起こせば昨年の夏・・・日本はちょうどお盆の時期。2003年7月16日、「Microsoft Windows
での RPC 実装の不具合」が発表され、この発表の約1ヵ月後、この脆弱性をついたMS Blast
ワームが、日本時間の2003年8月12日より蔓延いたしました。そして、さらに追い討ちをかける
ように日本時間の2003年8月19日Nachi ワームは、MS Blastワームが使用するのと同じ脆弱性
を利用して、さらに企業ネットワークに被害をもたらしました。…

56 :名無しさん@お腹いっぱい。:04/05/03 20:28
>>48
TCP1025も監視対象に入れてるけど
カウント0

57 :名無しさん@お腹いっぱい。:04/05/03 20:28
>>54
KBがついていなかったのでもし違っていたらと思い質問しました
OSの確認の仕方の方法どうもありがとうございます

58 :名無しさん@お腹いっぱい。:04/05/03 20:29
>>56
アセクスが全く無いのは異常?


59 :名無しさん@お腹いっぱい。:04/05/03 20:29
2745に来るのはBagleかな。


60 :名無しさん@お腹いっぱい。:04/05/03 20:32
ポート閉じるのはリモート、ローカル両方閉じたほうがいいのかな

61 :名無しさん@お腹いっぱい。:04/05/03 20:32
>>56
@policeでは警告が出てます。
うちのシステムでは、異常に増えたのが4月27日でした。
最初は、ほとんど ぷらら の顧客でしたが、
最近はアジア全域から着てます。


62 :名無しさん@お腹いっぱい。:04/05/03 20:33
1025、2745、6129、3127番のスキャンがやっと家にも来だしたよ。
でも、ルータのデフォルトルールが弾いてる。
最近のルータは良いね。

63 :名無しさん@お腹いっぱい。:04/05/03 20:34
>>58
2745にはバンバン来てるけど、
パケットフィルタの前にFWで弾いてるかも

64 :名無しさん@お腹いっぱい。:04/05/03 20:35
>>62
バッファローWHR2-G54
デフォで弾いてくれてる。
(・∀・)イイ!!

65 :名無しさん@お腹いっぱい。:04/05/03 20:36
ルーターって
WAN→FW→パケットフィルタ→LAN
ってことかな?

66 :名無しさん@お腹いっぱい。:04/05/03 20:39
port1025へ一度だけ弾くやつのIPは、ほとんど
第一オクテットが 220 です。
(俺の場合はne)


67 :名無しさん@お腹いっぱい。:04/05/03 20:43
今のトコ塞ぐポートは445のみでおけ?

68 :名無しさん@お腹いっぱい。:04/05/03 20:45
漏れの場合
TCP1025
TCP135-137
TCP2745
TCP6129
TCP5554
TCP9996
TCP445

UDP4000

69 :名無しさん@お腹いっぱい。:04/05/03 20:49
道理で似たようなIPばっかりくるかと思ったら

70 :名無しさん@お腹いっぱい。:04/05/03 20:51
>>24
http://www.isskk.co.jp/support/techinfo/general/Sasser_172.html
> マニュアルプロテクションを行うには、TCP ポート 139, 445, 5554, 9996を
> ネットワークゲートウェイでブロックしてください。

要するにXPのおまけFWでTCP port [139, 445, 5554, 9996]を塞げということ。


71 :名無しさん@お腹いっぱい。:04/05/03 20:51
>>69
多分自分と同じ第一オクテットに対してスキャンすると思われる


72 :名無しさん@お腹いっぱい。:04/05/03 20:55
>>68
漏れは
113
135-139
445
1025-1027
5000

5554と9996は今回のため?


73 :名無しさん@お腹いっぱい。:04/05/03 20:57
>>72
一応。感染しても他人に迷惑かけんように
その2つはINもOUTも閉じたよ

74 :名無しさん@お腹いっぱい。:04/05/03 21:00
1-1025
これでモウマンタイ

75 :名無しさん@お腹いっぱい。:04/05/03 21:00
ニュース読んで電源入れるの恐いんですが
ブロードバンドルータ噛ませていて
ウイルスバスターの定義ファイルは先月末更新
Windows Updateは4月中旬の「重要な更新」をアップデート
これだけやってれば大丈夫ですかね。
ウイルスバスターのFWはブロードバンドルーターモード(つまり最低)
WindowsXP HEのFWはOFFにしています。


76 :名無しさん@お腹いっぱい。:04/05/03 21:03
>>74
なんでそれで書き込めてるんだ

77 :名無しさん@お腹いっぱい。:04/05/03 21:03
>>75
ルーターが入っているならNATで何かやっていない限り
外からは届かないので大丈夫と思われ

78 :75:04/05/03 21:05
>>76
すみません、Macからです。

79 :名無しさん@お腹いっぱい。:04/05/03 21:05
>>75
先月末だったらダメだろボケ
頭弱いのか?

80 :名無しさん@お腹いっぱい。:04/05/03 21:05
>>75
電源入れるのが怖いのに、2ちゃんにはカキコ

81 :75:04/05/03 21:06
>>77
どうもです。

82 :名無しさん@お腹いっぱい。:04/05/03 21:07
阿部のホームランを弾くにはどうしたらいいでしょうか

83 :名無しさん@お腹いっぱい。:04/05/03 21:08
>>82
ピッチャーに金をかける

84 :名無しさん@お腹いっぱい。:04/05/03 21:08
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新

今日も更新がありました。最新パターンファイルは1.833.00

85 :75:04/05/03 21:08
>>79
5月に入ってからPC使う機会がなかったためです。
あくまで条件の一つとして挙げました。
ブロックのためのすべての条件を満たすつもりはないので。

86 :名無しさん@お腹いっぱい。:04/05/03 21:09
>>85
念には念を入れないでどうするんだ?
完璧なものなんて無いんだぜ?

87 :名無しさん@お腹いっぱい。:04/05/03 21:11
結局のところ今回もポート445なんだろ。
いいかげんF/Wでブロックしろよ。

88 :名無しさん@お腹いっぱい。:04/05/03 21:13
>>75
ルーター(警備員)かましてても、ポート閉めるの忘れてたら(警備員が仕事してなかったら)意味ない

89 :名無しさん@お腹いっぱい。:04/05/03 21:13
80以外すべてブロックが最強だな

90 :75:04/05/03 21:13
>>86
十分条件より今回伺いたいのは必要条件なので。
具体的には4月中旬までのWindows Updateで
今回のパッチがあてられてるかを伺えれば確信は持てます。

今からウイルスバスターをアップデートしてもその前に回線つながってしまうので
そこまでの十分条件を満たすつもりはないのです。


91 :名無しさん@お腹いっぱい。:04/05/03 21:17
>>90
起動してからPCにケーブル挿せばぁ

92 :名無しさん@お腹いっぱい。:04/05/03 21:17
>>75
必要条件なら、ネットに接続せずにPCを立ち上げて
IPSEC Policy Agentサービスを無効に設定しろ。
lsasさえ動作拒否しとけば安全だ。

93 :名無しさん@お腹いっぱい。:04/05/03 21:18
TCP ポート 445 ブロックしてればいじゃん

94 :75:04/05/03 21:19
>>91
それだとケーブルを挿した後に侵入を防げるのですか?

95 :名無しさん@お腹いっぱい。:04/05/03 21:21
>>94
XPのFWをONにしとけばいい

96 :名無しさん@お腹いっぱい。:04/05/03 21:21
>>93
>75はF/Wやポートブロック、ルータのフィルタ機能などに
まったく無知な人間と思います。

97 :名無しさん@お腹いっぱい。:04/05/03 21:26
なんかどさくさにまぎれてやばげなポートまとめてスキャンしてくるやつがいる。
全く同じ時間に同じIPから6つまとめてとばしてきやがった。
なに考えてんだ?

98 :名無しさん@お腹いっぱい。:04/05/03 21:26
(´∀`)心配性だなぁ

99 :名無しさん@お腹いっぱい。:04/05/03 21:27
>>97
6回だけで騒ぎすぎだろ

100 :名無しさん@お腹いっぱい。:04/05/03 21:27
>>97
不正アクセスで警察に通報しろ

101 :75:04/05/03 21:27
>>96
MacからルータのFWをいじる権限がないんですよ。
ついでに我が家のWindowsマシンも自分の使っているものではないので
(有り体に言うとNTベースのWinの使い方を知りません。マカーなので)
XPのFWがオフになっていることしか知りません。
その他の内々の事情で上の対策をとる権利が自分にはないのです。

今回特に伺いたいのは4月中旬配布までのWindows Update(重要な更新)が
今回のウイルスに対応されているものなのかどうかってことです。

102 :名無しさん@お腹いっぱい。:04/05/03 21:29
>>101
>今回特に伺いたいのは4月中旬配布までのWindows Update(重要な更新)が
>今回のウイルスに対応されているものなのかどうかってことです。

このスレ全部読み返せ

103 :名無しさん@お腹いっぱい。:04/05/03 21:30
MS04-011

104 :名無しさん@お腹いっぱい。:04/05/03 21:30
>>101
四月中旬なんて抽象的に表現では何とも言えんよ。
PC立ち上げてMS04-11(KB835732)がインストールされている
されてることを確認しろ。

もちろんネットへの接続ケーブルは外した状態でだ。

105 :75:04/05/03 21:33
>>102
今、読みかえしました。そのうえで伺いますが
(MS04-011)の更新日付はいつですか?
当方のMac用ブラウザではWindows Updateのページを
ActiveX非対応の関係で開けず確認できないんですよ。

106 :名無しさん@お腹いっぱい。:04/05/03 21:34
>>105
2004/04/12

107 :75:04/05/03 21:35
>>106
ありがとうございます。質問がまわりくどくなりすみませんでした。

108 :名無しさん@お腹いっぱい。:04/05/03 21:35
>>105
2004年4月30日更新。
ちなみに登録日は2004年4月14日。

109 :名無しさん@お腹いっぱい。:04/05/03 21:37
ちなみに2004/04/12(PST)は
修正パッチの登録日

110 :名無しさん@お腹いっぱい。:04/05/03 21:37
>>105
と言うかここ読んでみれ。
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms04-011.asp

111 :75:04/05/03 21:38
ありがとうございます。Mac経由でパッチを転送します。

112 :名無しさん@お腹いっぱい。:04/05/03 21:39
MS04-11って糞パッチだってMS自身が認めたパッチだろ

113 :名無しさん@お腹いっぱい。:04/05/03 21:40
知り合いが勝手にシャットダウンするウィルスに感染したらしいけど
どっちだろ?今時ブラスタはあり得ないよね?
問題が発生しましたみたいな内容がでてカウントダウン後に落ちるらしい
感染に気付いたのが1日の夜らしい
タスクマネの開き方すらわからない厨房だから情報少なすぎ
駆除を麦酒一本で手を打つ俺は安すぎ…orz

114 :名無しさん@お腹いっぱい。:04/05/03 21:40
地雷パッチMS04-011を修正する気はMicrosoftには無いのかな
それともパッチの問題ではないと言い張るのだろうか

http://support.microsoft.com/default.aspx?kbid=841382

115 :名無しさん@お腹いっぱい。:04/05/03 21:41
>>113
そいつは乙だな。

116 :名無しさん@お腹いっぱい。:04/05/03 21:42
パッチ修正中ってことをWin板で聞いたぞ

117 :114:04/05/03 21:43
Keywords:kbBug kbfix kbQFE kbWin2000preSP5fix KB841382

> kbWin2000preSP5fix

はぁ?まさか地雷パッチ329170のようにSP5まで直す気は無いということなのかな。

118 :名無しさん@お腹いっぱい。:04/05/03 21:43
>>75
windows 使ってるやつに確認させるのが確実ではないでしょうか?
windowsのupdateとルーターの機能とは関係ないしW


119 :名無しさん@お腹いっぱい。:04/05/03 21:44
MS04-011が適用されてるか確認する方法。

NetMeeting のバージョン番号が 3.01 (4.4.3399) となっている場合、
修正プログラムは正しくインストールされています。

120 :名無しさん@お腹いっぱい。:04/05/03 21:45
>>117
SP4が出た後のパッチはSP5として出る

121 :名無しさん@お腹いっぱい。:04/05/03 21:45
>>116
どこのスレ?

122 :名無しさん@お腹いっぱい。:04/05/03 21:46
同じMacユーザーとして言おう
>75氏ね

123 :名無しさん@お腹いっぱい。:04/05/03 21:47
>>121
うpだてしたらあげるスレか
失敗したら上げるスレだったはず

124 :名無しさん@お腹いっぱい。:04/05/03 21:48
>>117
>>120が言う通りSP4が出た後のパッチはすべてSP5として登録される。

125 :名無しさん@お腹いっぱい。:04/05/03 21:48
>>121
ここに言い訳が書いてある
http://support.microsoft.com/default.aspx?scid=kb;en-us;835732

126 :名無しさん@お腹いっぱい。:04/05/03 21:50
>>117
はKeywords(MSの情報検索用キーワード)の意味を全く理解していない

127 :名無しさん@お腹いっぱい。:04/05/03 21:51
>>123
http://japan.internet.com/webtech/20040430/12.html

ここですね。失敗スレで見つけたよ。

>>120,>>124
いや、KB841382は不具合を記しただけのドキュメントで、そのドキュメントに
「kbWin2000preSP5fix」なんて書いてあるからSP5まで修正されない不具合なのかなぁと。。。

128 :名無しさん@お腹いっぱい。:04/05/03 21:52
>>126
まったく理解していないというのは言い過ぎ
preSP5の意味がわからなかっただけじゃない?

すくなくても>75よりは理解してるように思える。

129 :114,117:04/05/03 21:52
>>126
理解できるように教えてくれませんか?
それか該当するドキュメントを提示して下されば幾らでも読みます。

130 :114,117:04/05/03 21:54
「kbWin2000preSPxfix」ってSPxで修正される不具合に付く
検索キーワードだと思っていたけど違うのか。

131 :名無しさん@お腹いっぱい。:04/05/03 21:59
>>130
SP5にKB835732が突っ込まれるってこと。
それまで修正しないって言ってるわけではない。

132 :名無しさん@お腹いっぱい。:04/05/03 22:00
しかし、このウイルスの蔓延で無知なWindowsユーザーが
パッチあてまくってPCの不具合が出たら
それこそMS04-011のバグとして叩かれるだろうね。

133 :名無しさん@お腹いっぱい。:04/05/03 22:01
だな。
>>127
http://japan.internet.com/webtech/20040430/12.html
にも
>Microsoft は、ソフトウエアの脆弱性に対処し、面倒な修正パッチを用意するという作業に追われている。

と書かれてるし

134 :名無しさん@お腹いっぱい。:04/05/03 22:02
>>132
禿同

135 :名無しさん@お腹いっぱい。:04/05/03 22:02
preSP5fixはSP5前の修正って意味だろ

136 :名無しさん@お腹いっぱい。:04/05/03 22:02
LAN(TCP,port 445)
LAN(TCP,port 445)
LAN(TCP,port 135)
LAN(UDP,port 137)
LAN(TCP,port 2745)
LAN(TCP,port 1025)
LAN(TCP,port 6129)
LAN(TCP,port 80)
LAN(TCP,port 1025)
LAN(TCP,port 445)
LAN(TCP,port 6129)
LAN(TCP,port 445)
LAN(UDP,port 137)
LAN(TCP,port 445)
LAN(TCP,port 2745)
LAN(TCP,port 135)
LAN(UDP,port 137)
LAN(UDP,port 137)
LAN(TCP,port 80)

2745はあんまないな

137 :名無しさん@お腹いっぱい。:04/05/03 22:05
>>136
2745
2つか。
漏れは数時間で30件ほど
いつからいつまでのログ?

138 :137:04/05/03 22:07
>>136
ISPどこ?
漏れはYBB

139 :名無しさん@お腹いっぱい。:04/05/03 22:08
>>137
上から30分ほどだから同じぐらいか

>>138
いまニュー速で話題のmesh(w

140 :名無しさん@お腹いっぱい。:04/05/03 22:10
何故かクソスレばかりが目立つmesh

141 :名無しさん@お腹いっぱい。:04/05/03 22:12
>>139
あんがd

142 :名無しさん@お腹いっぱい。:04/05/03 22:17
どさくさにまぎれてイスラエルからキタ━━━━━━(゚∀゚)━━━━━━!!!!!

143 :名無しさん@お腹いっぱい。:04/05/03 22:20
>>142
ウイルスてほとんどイスラエル製・・・
やっぱりナチに根絶されるべきだったな

144 :名無しさん@お腹いっぱい。:04/05/03 22:20
誘導thx from pc2nanmin

145 :名無しさん@お腹いっぱい。:04/05/03 22:21
ユダヤとチョンは他人の領域を勝手に侵食するからな

146 :名無しさん@お腹いっぱい。:04/05/03 22:27
頼むからドイツもこいつもFWかルータくらいまともに使ってくれ。

147 :113:04/05/03 22:28
どうもブラスタDの悪寒がする…あれが一番面倒だ…
間違えて本物のsvchost消したらあぼーんだし…
きょうびブラスタなんて流行んないよね…希望的憶測だけど

148 :名無しさん@お腹いっぱい。:04/05/03 22:31
件の制限時間付き強制終了が頻発していたので脆弱性修正パッチあてました。
で、ウィルス消そうとタスクマネージャーのプロセス見たんですが、どこにもavserve.exeやavserve2.exeがないんです。
winntフォルダにも16416up.exeみたいなのないし。

で、やっぱり感染してないのかな、と思って確認の意味でnetstatかけたら
1025-1099がlistenされまくってるんですよ。

感染してるのかな?教えてエロイ人

149 :名無しさん@お腹いっぱい。:04/05/03 22:32
>>147
そうとは言い切れないかも世?
実際ポート135のスキャンなんて飽きるほどくるし。
法人や企業とかならともかく、一般人あたりだとそのままってやつもいそうだし。

俺の知ってるやつに「パッチってなに?」って真顔で聞いてきたやつがいたシナ・・・

150 :名無しさん@お腹いっぱい。:04/05/03 22:36
2004/05/03 21:56:12 2745
2004/05/03 21:56:12 1025
2004/05/03 21:56:12 3127
2004/05/03 21:56:12 6129
2004/05/03 21:56:12 80

同じ所から繰り返し来ますね。

151 :笹公撃滅戦隊・火撃:04/05/03 22:36
  |
 /|7
./…||腐れsasserを
‖…||撃滅しに
‖ ||来たモナー
‖…|]`\
‖…||ロ.」
‖ |∧_∧
⊆三⊇´∀`)
 ⊂ ⊂/ )
 ‖/_|_|
 □__)_)

((((∽))))笹公は
   ‖死ねやゴルァ!
 凵。三=━━━──
ロ口‖>  __пi
 /⊥\┣/○⌒@I
〜′ ̄ ̄|#゜Д゜)
【HH|/ ̄\⊇‡〓>━-
〈[※]>  / ̄‖



152 :名無しさん@お腹いっぱい。:04/05/03 22:38
佐々淳行 突入せよ 浅間山荘。

153 :笹公撃滅戦隊・火撃:04/05/03 22:40
ヽヽヽ  /∋∋∋⊃
( ゜∋゜)/⊃∋⊃∋
(    三<∋∋∋∋
| | |\∋⊃∋∋
(__)_) \⊃⊃∋
 ___ったくユダ公
/~⊂Ч⊃_とクソチョソは
(#・∀・)これだから
(つ]≡〓=━━━─Σ
| |‖糞なんだよ
(_// ̄\ウラウラー!
 ̄ ̄ ̄ ̄ ̄ ̄ズドドン!


154 :名無しさん@お腹いっぱい。:04/05/03 22:40
>>148
オンラインスキャンとか試してみたら?

http://www.trendmicro.co.jp/hcall/index.asp
http://www.symantec.com/region/jp/securitycheck/index.html

#テンプレにオンラインスキャンが無いのは失敗だな。

155 :名無しさん@お腹いっぱい。:04/05/03 22:40
ttp://uploader.org/normal/data/up6364.jpg
こんな感じ。

156 :名無しさん@お腹いっぱい。:04/05/03 22:41
>>150
うちとおなじやね。
たたいてくるポートも同じ。

ただしょっちゅうってわけじゃなくて、ちょっと間隔をあけてやってくる感じ。
もちろんIPは変わってるが第一オクテットは同じ。

原種はたしかポート445をたたくはずだが、こいつは亜種と言うことかな?
それとも別物?
どっちにしても情報少なすぎ。

157 :154:04/05/03 22:41
トレンドマイクロのやつは>>6にあった。

158 :名無しさん@お腹いっぱい。:04/05/03 22:42
MS04-011に関する調査結果

ttp://d.hatena.ne.jp/magisystem/comment?date=20040503

159 :名無しさん@お腹いっぱい。:04/05/03 22:43
>>149
タスクマネの開き方すら知らない厨房だからそんなタイプ
そいつはAに感染した経験があって俺が駆除した
パッチを落とすところまでやって時間がないからそいつにやらせて俺は仕事に行った
こーいう香具師ほど雑誌とか見て知識もないのに自動うぷだてはずしたり
FW切ったりするから始末が悪い…
j3…がんがりますわ…る

160 :名無しさん@お腹いっぱい。:04/05/03 22:45
あした休日出勤する奴手挙げろ

161 :149:04/05/03 22:46
>>159
確かにそういう傾向はあるよね。
生半可な「ネタ」知ってる割には生かし切れないで自爆するって言うパターン。

大変だけどがんばってくださいね−

162 :名無しさん@お腹いっぱい。:04/05/03 22:47
2004-05-03 22:24:20 LAN(TCP,port 2745)
2004-05-03 22:24:20 LAN(TCP,port 135)
2004-05-03 22:24:20 LAN(TCP,port 1025)
2004-05-03 22:24:20 LAN(TCP,port 445)
2004-05-03 22:24:20 LAN(TCP,port 3127)
2004-05-03 22:24:20 LAN(TCP,port 6129)
2004-05-03 22:24:20 LAN(TCP,port 139)
2004-05-03 22:24:20 LAN(TCP,port 80)
2004-05-03 22:25:30 LAN(UDP,port 137)
2004-05-03 22:28:48 LAN(UDP,port 137)
2004-05-03 22:29:51 LAN(TCP,port 135)
2004-05-03 22:32:02 LAN(UDP,port 137)
2004-05-03 22:33:59 LAN(UDP,port 137)
2004-05-03 22:34:06 LAN(UDP,port 137)
2004-05-03 22:35:32 LAN(TCP,port 2745)
2004-05-03 2:35:32 LAN(TCP,port 1025)
2004-05-03 22:35:32 LAN(TCP,port 6129)


163 :名無しさん@お腹いっぱい。:04/05/03 22:47
>>160
ちょうど今、指令がきたよ
port80しか開けてないから大丈夫だって言ってるのに

164 :名無しさん@お腹いっぱい。:04/05/03 22:48
>>160
連休前にパッチ適用済みです。
FWはとうぜん塞いでいます。

少ない連休なんでマッタリ過ごさせてもらいます。

165 :名無しさん@お腹いっぱい。:04/05/03 22:50
調べると自分と同じプロバイダから来るんだけど。



166 :名無しさん@お腹いっぱい。:04/05/03 22:51
>>163
うちはポート80もまとめてたたきにくるんだが?

167 :名無しさん@お腹いっぱい。:04/05/03 22:52
>>163
乙。
行ったとしてもすることないな。

168 :名無しさん@お腹いっぱい。:04/05/03 22:52
>>166
もちFWもあるよ

169 :お願いします:04/05/03 22:57
初めまして!どなたか知っている方がいたらお聞きしたいのですが、
タスクマネージャで、プロセスを見るとmspdox.exeというのがcpuを
非常に使っているのですが、何を起動しているのかわかりません。
cpu使用率が100パーセントになってしまっています。mspdoxは何を処理
しているのでしょうか?知っている方いましたら教えてくださいおね
がいします。説明が下手ですいません。

170 :名無しさん@お腹いっぱい。:04/05/03 23:01
>>169
なんだろう?

171 :名無しさん@お腹いっぱい。:04/05/03 23:02
僕のパソコンには、ないなあ。mspdox.exe

172 :名無しさん@お腹いっぱい。:04/05/03 23:04
うちもないな。
XPproやけど。

173 :名無しさん@お腹いっぱい。:04/05/03 23:04
>>158

>全サンプル数 65536 IP
>既に感染してしまった数 5.08%

ハァ・・・

174 :名無しさん@お腹いっぱい。:04/05/03 23:11
2004/05/03 22:17:18 2745
2004/05/03 22:17:18 1025
2004/05/03 22:17:18 445
2004/05/03 22:17:18 3127
2004/05/03 22:17:18 6129
2004/05/03 22:17:18 139
2004/05/03 22:17:18 80
2004/05/03 22:17:21 445

元側でREJECTしているのかも知れませんが、いくつかパターンがある様ですね。
2745だけを叩くタイプもありました。

175 :名無しさん@お腹いっぱい。:04/05/03 23:18
>169
msgbox.exeだろ

176 :名無しさん@お腹いっぱい。:04/05/03 23:23
韓国からバンバン叩きに来ている。
また不正コピーでパッチを当てられない現象ですか?

177 :名無しさん@お腹いっぱい。:04/05/03 23:28
>>176
毎度の事じゃ

178 :名無しさん@お腹いっぱい。:04/05/03 23:33
.>>174
たたいていく順番にある程度規則性がありますね。
うちも80→139→6129→3127と言うパターンと
445→1025→135→2745と言うパターンが組み合わさってきますね。
どっちか前後はしますが。

179 :名無しさん@お腹いっぱい。:04/05/03 23:40
>>169
分かんないけどウイルススレのこの人と同じ症状じゃない?
ms????.exeっての

【正式】ウィルス情報&質問 総合スレッド☆Part18
http://pc3.2ch.net/test/read.cgi/sec/1081735712/926-

180 :名無しさん@お腹いっぱい。:04/05/03 23:42
D も出たよ。今度は skynetave.exe だと。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D


181 :名無しさん@お腹いっぱい。:04/05/03 23:44
http://pc3.2ch.net/test/read.cgi/sec/1072086930/855-
不正アクセスを晒すスレでも報告多数あるよ。

182 :名無しさん@お腹いっぱい。:04/05/03 23:46
ウイルスバスター2004入れてるんだけど、それだけで大丈夫かなぁ(´・ω・`)

183 :名無しさん@お腹いっぱい。:04/05/03 23:49
ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

184 :名無しさん@お腹いっぱい。:04/05/03 23:51
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Kerio Personal Firewall 4

・「システムセキュリティ」というプログラム起動を監視する機能により、
 キンタマウイルス http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
 などのアイコンを偽装したEXEファイルをクリックしても警告が出て感染を防げる
 (玄人向けで有料だがTiny5でも防げる。
  Sygate・Zone Alarmには似たような機能があるが防げない。
  Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない)

・現時点では日本語化できない
・2バイト文字には対応していない
・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし
 kerio2のように詳細ルールも作れる
・SPIとIDS、トロイ対策のDLL監視機能もある(広告ブロックは有償版のみ)
・Outpostなみに軽い
http://pc2.2ch.net/test/read.cgi/win/1077780039/233

●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト
http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm

●Kerio Personal Firewall 4のログビューア
http://www.geocities.jp/masagooooool/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

185 :名無しさん@お腹いっぱい。:04/05/03 23:54
/////////////////////////////////////////////////////////////////

System Safety Monitor(SSM)

・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のようにHTMLからのexe起動を含め、
 キンタマウイルス http://internet.watch.impress.co.jp/static/index/2004/04/09/antinny.htm
 などの(ルールが)未決定のアクションを防げる(PFWではない)

・無料
・日本語化できる
・レジストリキーの変更も監視できる

●SSMヘルプ翻訳テキスト+HTML配布サイト
http://www.geocities.co.jp/Outdoors-Mountain/9671/ssm/

/////////////////////////////////////////////////////////////////

186 :名無しさん@お腹いっぱい。:04/05/03 23:55
このコピペって先日から出没してるキチガイのコピペだよね。

187 :名無しさん@お腹いっぱい。:04/05/03 23:56
901 名前:900[sage] 投稿日:04/04/02 22:14
アンチウイルスソフト検出力結果報告(・∀・)

ANTIDOTE / avast! 4 / AVG / AntiVir / BitDefender / eTrust
◇ウイルス
EBCVGにてBinary VirusesとVirus codesを合計722ファイル(重複あり)
全てzip圧縮に変換
Linux/Macウイルスあり
◇アンチウイルスソフト
4/2 18:00頃の最新パターン適用
比較対照としてトレンドマイクロオンラインスキャンを使用・・・したかったけど結果悪いのでBitDefenderを基準に

☆結果 (検出数/検出率)
BitDefender (*1) 580  100.0%
AVP (*2) 545  93.97%
Trend Micro 539  92.93%
Antidote (*3) 524 90.34%
avast!4 (*4) 470  81.03%
eTrust (*5) 444  76.55%
AVG (*6) 212  36.55%

*1 懐疑ファイル13含む
*2 懐疑ファイル2含む
*3 コード解析/圧縮ファイル/詳細検索にチェック。詳細検索にチェックを入れない場合は520。なお懐疑ファイルはどちらも3。
*4 迅速な検査=261  標準検査=286  完全な検査=470
*5 Heuristic有効。SafetyLevel → Reviewer   ScanningEngine → InoculateIT
*6 Heuristic有効。

AVGの検出率が悪すぎる。何かおかしい気が・・・(・∀・)?
【cool】BitDefender Free Edition【free】
http://pc3.2ch.net/test/read.cgi/sec/1029516867/901

188 :名無しさん@お腹いっぱい。:04/05/03 23:58
802 名前:Bitスレ901[sage] 投稿日:04/04/04 19:02
BitDefender(以下BD)が全てのウイルスを検出したわけではないです。
BDが検出したウイルス数の580を100%として出した結果です。
要するにAVGだとBDの37%ということです。

誤解してる人がいるかもしれないので念のため。

※AVGの検出は悪すぎたので"3回再インスト&4回検査”してます。
 で、結果は全て同じ(゚д゚)

非圧縮時の検出率を知りたい人は適当にウイルス集めて試してください(´・ω・`)

【フリー】AVG Anti-Virus Version15
http://pc3.2ch.net/test/read.cgi/sec/1079833302/802

189 :名無しさん@お腹いっぱい。:04/05/03 23:59
831 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/04/05 01:03
去年(031207)同じようにやった結果

定義ファイル、プログラムは当時最新
圧縮なんかの設定はebcvgから落としてきたまま(rar,zip,b64)
ただしほとんどはzipだから誤差は少ないと思う

Antidote (*1) 549 100.00%
eTrust (*2) 537 97.81%
BitDefender (*3) 502 91.44%
avast!4 (*4) 484 88.16%
AVG (*5) 366 66.67%

*1 コード解析,圧縮ファイル,電子メール, 懐疑5
*2 設定が多いから略。たぶん最高
*3 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
ただしvirus bodiesは584, 懐疑22
*4 圧縮ファイル
*5 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
(一応どれも設定は最高にしてやったつもり)

>>731と見比べると向こうはBitdefenderの検出数をvirus bodiesで
数えてるんじゃないかと思う。
おれはIdentified virusesが検出数だと思うから上はそっちを採用してる。

AVGの検出が悪いのはたぶん設定の問題。でも良くはない
むしろ>>742と同じような結果だから、AVGの検出力はこんなもんだと思ってる。

【フリー】AVG Anti-Virus Version15
http://pc3.2ch.net/test/read.cgi/sec/1079833302/831

190 :名無しさん@お腹いっぱい。:04/05/03 23:59
こぴぺ厨マジうぜぇ
SSMは挙動不審だし
ウイルス検出率もデマだったと言う話だし

191 :名無しさん@お腹いっぱい。:04/05/04 00:00
BitDefender(フリーの最新版)
・リアルタイムスキャンできない、メールスキャンできない
・まだ日本語化できない
http://ringonoki.net/tool/antiv/bitdef.html

AntiVir(フリー版)
・リアルタイムスキャンできる
・メールスキャンできない(常駐オンでread and write時有効な場合、添付ファイルを選択すればチェックできる)
・まだ日本語化できないに等しい
http://eazyfox.homelinux.org/SecuTool/AntiVir/AVguard1.htm

avast! 4(フリー版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語版がある、2バイト文字に対応
http://iso-g.hp.infoseek.co.jp/alwil/avast_home/avast_home.html

eTrust(フリーのプロモーション版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
・導入時に修正パッチをインストールするのがめんどう
http://etavfp.hp.infoseek.co.jp/

AVG(フリー版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
http://eazyfox.homelinux.org/SecuTool/AVG6/AVG61.htm

192 :名無しさん@お腹いっぱい。:04/05/04 00:10
スタコラサッサDとうとう来たか。
こりゃ連休中にZまで逝くな。

193 :名無しさん@お腹いっぱい。:04/05/04 00:10
ちう

194 :名無しさん@お腹いっぱい。:04/05/04 00:11
>>193
???

195 :名無しさん@お腹いっぱい。:04/05/04 00:14
>>193
パンダスレに(・∀・)カエレ!

196 :名無しさん@お腹いっぱい。:04/05/04 00:30
私の朝は、

ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp

とともにはじまり、

シマンテック・セキュリティチェック
http://www.symantec.com/region/jp/securitycheck/index.html

を実行しつつ、カフェにいそしむ。

そのあとは、

AVG Anti-Virus フリーバージョンを実行し、
http://www.grisoft.com/us/us_dwnl_free.php

オミトロンがちゃんと動いてるかチェックする
http://www.pluto.dti.ne.jp/~tengu/proxomitron/

そのあと、ZoneAlarm ( http://www.zonelabs.com/ )を眺めつつ、
パンを食べ、

セキュリティ板を巡回し、
http://pc3.2ch.net/sec/

タバコを一服。
おもむろにウンコをしたあと、読書に耽る。

197 :名無しさん@お腹いっぱい。:04/05/04 00:37
カフェにいそしむって何ですカ?

198 :名無しさん@お腹いっぱい。:04/05/04 00:41
>>197
コーヒーを飲むことでしょ

199 :名無しさん@お腹いっぱい。:04/05/04 00:52
ちう

200 :名無しさん@お腹いっぱい。:04/05/04 00:55
200

201 :名無しさん@お腹いっぱい。:04/05/04 01:08
http://pc3.2ch.net/test/read.cgi/sec/1080656639/276-278

起動時・シャットダウン時は
Tiny>ZoneAlarm>>>>Kerio4 = Kerio2
Kerioは糞だよ。


起動時kerioは感染します
Outpostは不明

202 :名無しさん@お腹いっぱい。:04/05/04 01:10
良かった、MEで・・・

203 :名無しさん@お腹いっぱい。:04/05/04 01:10
起動時、シャットダウン時に最強なのは
Windows XP SP2のFWだ
どんなソフトよりも強い

204 :名無しさん@お腹いっぱい。:04/05/04 01:27
sygateは?

205 :名無しさん@お腹いっぱい。:04/05/04 01:28
SP2に一票

206 :名無しさん@お腹いっぱい。:04/05/04 01:35
ルーター

207 :名無しさん@お腹いっぱい。:04/05/04 01:36
>>206
まぁそれは常識だろ

208 :名無しさん@お腹いっぱい。:04/05/04 01:37
いい加減ルーターくらい挟んだらいいのに
ダイアルアップ時はファイアウォールを必ず入れろ

209 :名無しさん@お腹いっぱい。:04/05/04 01:44
今、このワームに気づいたわけだが・・・

TCP445叩かれまくりな上に、他のポートも一緒に叩いてくるのもあるんだが亜種かなんか?

210 :名無しさん@お腹いっぱい。:04/05/04 01:47
ABCD
がありますが、どれがいいですか?

211 :名無しさん@お腹いっぱい。:04/05/04 01:48
>>35
OCNに入るくらいだから、ド素人・じいちゃんばあちゃんが
ユーザーに多い。

212 :名無しさん@お腹いっぱい。:04/05/04 01:49
トレンドマイクロオンラインスキャンでサッサの検知は可能ですか?
一応鬼門と呼ばれるパッチ当てて、仕上げに感染してるか確認取りたいんだけど
定義パターンに登録されてなくて感染してませんと表示されても悲しい
どうかよろしくお願いします

213 :名無しさん@お腹いっぱい。:04/05/04 01:49
665番のアタックが激しい

214 :名無しさん@お腹いっぱい。:04/05/04 01:50
2004/05/03 15:50:12 IP_Filter REJECT TCP 219.***.*.***:3334 > ***.**.**.**:445 (IP-PORT=7)

これかな?
ルータの設定とか、自信ないんで
こういうワームが出現するたびに不安になるよ。

215 :名無しさん@お腹いっぱい。:04/05/04 01:51
>>212
可能だよ。
というか可能じゃなかったら困るでしょ。
一応大手ウイルス対策ソフトベンダーなんだから。

216 :名無しさん@お腹いっぱい。:04/05/04 01:53
>>210
A ください! C ばっかりなんで、オリジナルの A がいいで〜す。

217 :名無しさん@お腹いっぱい。:04/05/04 01:57
Blasterのときと一緒でICMP2048の叩きもきてるね。(pingだっけ?

218 :名無しさん@お腹いっぱい。:04/05/04 01:58
持ってるって意味じゃなくて
A,B,C,Dが出てるって言いたかっただけ orz

219 :名無しさん@お腹いっぱい。:04/05/04 01:59
連休開けは脚立と懐中電灯を倉庫から出しとくのを忘れないように。

つーネタがわかるのはブラスタスレ常連。

220 :名無しさん@お腹いっぱい。:04/05/04 02:00
色々ポート番号で照るけど

221 :名無しさん@お腹いっぱい。:04/05/04 02:00
445やばーい。
でもノートソ先生がいっぱい弾いてくれてまつヽ( ´∀`)ノ

222 :名無しさん@お腹いっぱい。:04/05/04 02:01
またアメリカで大停電が起こるの?

223 :名無しさん@お腹いっぱい。:04/05/04 02:01
結局445だけ塞いでもだめなのかな?


224 :名無しさん@お腹いっぱい。:04/05/04 02:03
>>223
今回のは、445塞げばなんとかなるけど
いろんなワーム(ウイルス)弾くなら、いろんなポート閉じる必要がある

225 :名無しさん@お腹いっぱい。:04/05/04 02:04
パッチあてて445を塞ぐ。
これで防御できるのかな?


226 :名無しさん@お腹いっぱい。:04/05/04 02:04
>>219
そーいえば、ソフマップに「永久懐中電灯」があったなぁ。
値札がついてなかったけど、いくらだろ?

227 :名無しさん@お腹いっぱい。:04/05/04 02:06
全部閉じればいいのに
ntpとdnsだけIPアドレス指定で開けとく

228 :名無しさん@お腹いっぱい。:04/05/04 02:06
>>225
1レス上

229 :名無しさん@お腹いっぱい。:04/05/04 02:07
135と445を交互に叩かれる

230 :名無しさん@お腹いっぱい。:04/05/04 02:07
>>227
80は開けとけよ

231 :名無しさん@お腹いっぱい。:04/05/04 02:07
445と同時に同じホストが叩いたポートは閉じるべきか

232 :名無しさん@お腹いっぱい。:04/05/04 02:08
>>231
そいつのホスト拒否れば
モーマンタイ

233 :名無しさん@お腹いっぱい。:04/05/04 02:08
>>229
うちもだ。

234 :名無しさん@お腹いっぱい。:04/05/04 02:11
>>230

こんなのばっかり…
INとOUTの区別はつけなさいよ

235 :名無しさん@お腹いっぱい。:04/05/04 02:12
230じゃないけど
>>227
にはINもOUTも書かれてない罠

236 :名無しさん@お腹いっぱい。:04/05/04 02:13
>>235
馬鹿じゃないの
普通わかるだろ

237 :名無しさん@お腹いっぱい。:04/05/04 02:16
>>215
ありがとうございます
結果、検出されませんでした
前回のリブートウイルスには見事やられたけど
今回は運がいいのか実害なく終われました

238 :名無しさん@お腹いっぱい。:04/05/04 02:19
>>227のは、NTP鯖でDNSかつWWW鯖

239 :名無しさん@お腹いっぱい。:04/05/04 02:23
今気付いたんだが

2004/05/03 16:28:35 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:30 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:22 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:18 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:14 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:12 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:08 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:07 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:05 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745

こいつは何が目的だ orz

240 :名無しさん@お腹いっぱい。:04/05/04 02:27
うぜーな

241 :名無しさん@お腹いっぱい。:04/05/04 02:27
ていうか、新たなワームが発見されるたびに
やれ135,137,139だ
やれ445だ
やれ1433,1434だ
って後手後手に対応しても大変じゃないですか?
IN方向は基本的に全拒否にしとけば、まず感染する危険性が激減します
万が一感染してしまったときのことを考えたときに
初めてOUT方向の”ポートを塞いでおこう”という発想になるのです

しかし、ここで”ポートを閉じる”議論を見てると
明らかにインバウンドのお話です
皆さん、ポートは外に向けて開放しておくものではありません
わかってください。お願いします
>>236は言葉が過ぎたので、謝ります。すいませんでした

>>238
ntpはクライアント側も開放しないと通信できません
ルーターはhttpdが動いてるので、80を開放したら大変ですね

では、おやすみなさい

242 :名無しさん@お腹いっぱい。:04/05/04 02:29
お願いされちゃったよ、参ったなこりゃ

243 :名無しさん@お腹いっぱい。:04/05/04 02:30
OUTを閉じる意見は
>>68,72,73
とかでやってるね

244 :名無しさん@お腹いっぱい。:04/05/04 02:33
>>73
は偉い
では、おやすみ

245 :113:04/05/04 02:35
活動を見る限りsasserだと思うんだけどavseveも無ければ*****_up.exeもない・・・
マイナーな亜種にでも感染したか?


246 :名無しさん@お腹いっぱい。:04/05/04 02:36
まー本来ネットワークは繋げるためにある訳で

FWでinもoutもちくちく閉じてると、なんか空しくなる今日この頃だ
>>241の話は判るんだけどね。

247 :定期貼り:04/05/04 02:44
■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
 LSA Shell(Export Version) has encountered a problem
 This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかしらないがパソコンの反応がメチャ遅い。

■トレンド、シマンテックのデータベース情報、MSの公式対策情報 >>12

■WindowsのLSASS脆弱性にパッチを当てる。
 Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
 http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

■MSの駆除ツール >>5

■ちゃんとしたファイアウォールを入れましょう。解説とリンク >>3


248 :名無しさん@お腹いっぱい。:04/05/04 02:46

アタック来てるのってどうやったら分かるんですか?すいません

249 :定期貼り:04/05/04 02:46
スマソ。あと【SASSER FAQ XP付属ファイアウォール編】>>24


250 :名無しさん@お腹いっぱい。:04/05/04 02:49
>>248
ログが取れるちゃんとしたファイアウォール入れてればわかる。
しかしその場合はちゃんと防いでいるということだから気にする
必要もないわけだw

>>3 >>24 見ておくように。

251 :名無しさん@お腹いっぱい。:04/05/04 03:08
>>250
ありがとうございます 

252 :名無しさん@お腹いっぱい。:04/05/04 03:09
消しても消しても復活します

253 :名無しさん@お腹いっぱい。:04/05/04 03:12
ゾネの警告&ログが異常に静かだ・・・・・





ゾネの警備員染んじゃったんだろうか・・・・?

254 :名無しさん@お腹いっぱい。:04/05/04 03:14
>>253
それは貴方が仕事を奪っているからです。
ルータの穴を開けましょう。

255 :名無しさん@お腹いっぱい。:04/05/04 03:14
>>253
気にすんな。あうぽの警備員も静かだ。445が派手に叩かれるのは
連休明け。

256 :名無しさん@お腹いっぱい。:04/05/04 03:21
まだ1、2分置き位ですな。
ブラスタのときは半端じゃなかったが、連休明けにはあれぐらいになるのかなぁ・・・

257 :113:04/05/04 03:23
>>252
システムの復元OFFにしてある?
ってかおいら釣られた?

258 :名無しさん@お腹いっぱい。:04/05/04 03:27
久しぶりにルータのログ見たけど、445来てるな〜
だが、その数倍の135,137へのアタックが来てるのは…

259 :名無しさん@お腹いっぱい。:04/05/04 03:33
>>256
1時間2000回くらい来てたな。

あうぽ入れてたが、初心者だったので「許可したルール以外の接続全部遮断」
というルール入れてなかったからOS起動中の10秒くらいのFWの空白期間に
瞬殺で入り込まれてびっくらこいた。 

今度はFW+修正パッチ+アンチスパイで鉄壁…のハズw


260 :名無しさん@お腹いっぱい。:04/05/04 03:55
MSに鉄壁はアリエナーイ

261 :名無しさん@お腹いっぱい。:04/05/04 03:56
連休明けに会社のPCが一斉にbootしたとたん (・∀・) うひょー

262 :名無しさん@お腹いっぱい。:04/05/04 04:18
連休中に、OS再インストしようと思っているものです。
これってネット接続するだけで、感染するみたいだけど、こういう場合はどうすれば安全に再インストできるのでしょうか?

「HDDフォーマット >> OS(WIN2000)インスト >> WINDOWSUPDATE >> 各種アプリインスト」

以前はこうやってたけどこれだと感染してしまいますよね?

263 :名無しさん@お腹いっぱい。:04/05/04 04:26
>>262
PFWで防御

264 :名無しさん@お腹いっぱい。:04/05/04 04:29
P2P対策なんだろうか…

265 :名無しさん@お腹いっぱい。:04/05/04 04:37
誰か、封鎖ポート一覧を作ってくれ_| ̄|○

266 :名無しさん@お腹いっぱい。:04/05/04 04:37
>>262

263の言う通り、PFWをリムーバブル・メディアに保存した上で、
→ケーブルを抜く
→OSを再インストール
→PFWをインストール
→ケーブル繋ぐ
→Windows Update
→各種アプリをインストール

ルータが有るなら、PFWは不要。
TCP445のIncomingを拒否するフィルタリング設定を行えばよい。

267 :名無しさん@お腹いっぱい。:04/05/04 04:42
>>265

TCP 139 Incoming & Outgoing
TCP 445 Incoming & Outgoing
TCP 5554 Incoming & Outgoing
TCP 9996 Incoming & Outgoing

268 :名無しさん@お腹いっぱい。:04/05/04 04:48
>>263,266
つーか、該当パッチファイル先に落としとけばいいんでねぇの?

269 :名無しさん@お腹いっぱい。:04/05/04 04:49
>245
漏れは同じような状況です。
abserve、*****_up.exe無し。
不定期に突然「〜lsass.exe は、状態コード128 で突然終了しました。」
と出てカウントダウン60秒後に再起動がかかる。

原因が分からないから不気味だ…

270 :名無しさん@お腹いっぱい。:04/05/04 04:50
>>268
HA!HA!HA!
コリャ一本取られたネ!

確かにその通りだ。

271 :名無しさん@お腹いっぱい。:04/05/04 04:52
>>268
手間隙かけるのが苦痛で無ければな

272 :名無しさん@お腹いっぱい。:04/05/04 04:58
明日は田代砲の日か…

またダウンする悪寒

273 :名無しさん@お腹いっぱい。:04/05/04 05:11
TCP/UDP全ポートの受信を拒否するようにしたんですがこうすると安全なんですか?

274 :名無しさん@お腹いっぱい。:04/05/04 05:16
>>273
そんなことするぐらいならLANケーブル引っこ抜け。

275 :名無しさん@お腹いっぱい。:04/05/04 05:18
          , -ー,
          /   |  
   ∧∧  /    |   TCP/UDP全ポートの
  (*゚ー゚)/.       |  受信を拒否するように
   | つ'@        |  したんですがこうすると
  〜_`)`).       |  安全なんですか?
 ̄ ̄ ̄しU       | 
     |        | 
〜〜〜〜〜〜〜〜〜〜〜〜
            |
           >>274

276 :名無しさん@お腹いっぱい。:04/05/04 05:19
>>261
ハゲワラ!

277 :262:04/05/04 05:20
>>263 >>266
レス、どうもです。

「HDDフォーマット >> OS(WIN2000)インスト >> Norton-PFWインスト >> Norton-PFW、UPDATE >> WINDOWSUPDATE >> 各種アプリインスト」

こんな感じで行ってみようと思います。

278 :名無しさん@お腹いっぱい。:04/05/04 05:25
>>274
ケーブルじゃなくて無線なんです…

279 :名無しさん@お腹いっぱい。:04/05/04 05:27
>>278
第一にどうやって2chのログを読んでいる。
第二に、それならFWのデフォで十分。

280 :名無しさん@お腹いっぱい。:04/05/04 05:40
>>273
おい!
早くルーター買い換えろ
閉じてログ見えるんなら、おまいのルーターは壊れてるぞ
早く!急げ

281 :名無しさん@お腹いっぱい。:04/05/04 06:26
Win98SE使ってますが
サッサーに感染しますか?

282 :名無しさん@お腹いっぱい。:04/05/04 06:29
>>281
しない。相手にされてません。

283 :名無しさん@お腹いっぱい。:04/05/04 06:40
>>281
しないよ。
高みの見物と以降じゃないか、同士よ。(・∀・) ウヒョー

284 :名無しさん@お腹いっぱい。:04/05/04 06:44
In/Outの違いが分かってない奴多いな。

285 :名無しさん@お腹いっぱい。:04/05/04 06:45
Windows Updateの重要な更新をインストールしておけば
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
ここのパッチはダウンロードしなくても感染しませんよね?

286 :名無しさん@お腹いっぱい。:04/05/04 06:48
>>285
WindowsUpdateにそのパッチが入ってるので
ダウンロードする必要はありません。

287 :名無しさん@お腹いっぱい。:04/05/04 06:49
>>281
WORM_SASSER.B
変種・亜種: WORM_SASSER.A
感染報告有無: あり
プラットフォーム: Windows 95,98,ME, NT, 2000, XP

288 :名無しさん@お腹いっぱい。:04/05/04 06:52
>>287
その情報はおかしいだろ
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
>影響を受けるシステム: Windows 2000, Windows Server 2003, Windows XP

289 :名無しさん@お腹いっぱい。:04/05/04 06:53
この大法螺吹き>>287に、誰か正義の鉄槌を下し給わん事を

290 :名無しさん@お腹いっぱい。:04/05/04 06:54
>>286
どうもありがとうございました。

291 :287:04/05/04 06:57
トレンドマイクロでは98も対象になってるぽ

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

292 :名無しさん@お腹いっぱい。:04/05/04 06:59
まぁ情報が錯乱してるから、どうにも言えんな。
1週間後には、まとまってるかな

293 :名無しさん@お腹いっぱい。:04/05/04 07:03
9xにはワームは入るが活動はしない(できない)とか
あくまで憶測

294 :287:04/05/04 07:06
MSのWEBには98については「緊急」ではないと書いてある

これはMSにとっては緊急ではないから98用のパッチを出さないということか?

295 :287:04/05/04 07:09
トレンドマイクロから届いたウイルス警告メールでも

○感染の危険のあるプラットフォーム
 Windows 95、98、Me、NT、2000、XP

となっている。

296 :名無しさん@お腹いっぱい。:04/05/04 07:11
9x系を見放しただけ

297 :名無しさん@お腹いっぱい。:04/05/04 07:14
2k/XP以外では、セキュリティホールを利用したリモートコントロールが出来ないと書いている。
だからFTP転送によるコピーも出来ない。

>Windows 95,98,ME, NT, 2000, XP
この無節操なラインナップから見て、通常ありえない形で強引に感染させたんじゃないの?
そしたらレジストリを変更したり、Systemフォルダに何かファイルを作った、と。
でも活動は、出来ない、と。
そういう事だろう。

298 :名無しさん@お腹いっぱい。:04/05/04 07:19
サッサのA.B.Cが入ってたんですけど。。。
Cも出てるんですね。

299 :名無しさん@お腹いっぱい。:04/05/04 07:20
>>298
Dもあるでよ。

300 :名無しさん@お腹いっぱい。:04/05/04 07:21
サッサZはまだか?

301 :名無しさん@お腹いっぱい。:04/05/04 07:22
Zの次はなに?

302 :名無しさん@お腹いっぱい。:04/05/04 07:24
AA

303 ::04/05/04 07:24
AB
AC
...

304 :名無しさん@お腹いっぱい。:04/05/04 07:27
コノ時間に即レス&マジレスがthx
ちなみに445より135が増えてきた

305 :名無しさん@お腹いっぱい。:04/05/04 07:45
ルータってデフォでInは繋げないものですか?

306 :名無しさん@お腹いっぱい。:04/05/04 07:52
>>305
うちのルーター、デフォルトではTCP&UDP137~139しか閉じてなかった。

307 :名無しさん@お腹いっぱい。:04/05/04 07:58
サッサーが発生してからupdateしてないのに、今updateしてみたら
重要な更新は見つかりませんでした。
どうしたらいいでしょうか?
xpです。

308 :名無しさん@お腹いっぱい。:04/05/04 07:59
>>305
家のルータ(I.O Data WN-G54/BBR)だとデフォルトでIn側TCP/UDP全ポート拒否になってる。

309 :名無しさん@お腹いっぱい。:04/05/04 08:00
>>307
今回の件で問題になってるパッチはさっさ発生以前に既にリリースされてるよ

310 :名無しさん@お腹いっぱい。:04/05/04 08:00
>>307
Sasserが出てからまだ新しい更新はUPされてないし。

311 :287:04/05/04 08:02
>>307
4月の14日にうpdateしてたら大丈夫

312 :名無しさん@お腹いっぱい。:04/05/04 08:02
I-Oってストレージ製品は結構良いけどネットワーク系弱いよな

313 :名無しさん@お腹いっぱい。:04/05/04 08:02
>>307
534 名前:名無しさん@4周年[sage] 投稿日:04/05/04 06:14 ID:OVIHs4Kx
KB835732入ってるか気になって今WindowsUpdateの履歴調べてみたら
4月18日に自動更新されてたヽ(´ー`)ノ

314 :307:04/05/04 08:07
>>309
>>310
>>311
>>313
皆さんありがとうございました。安心しました。

315 :308:04/05/04 08:08
>>312
前に使ってたI-Oのルータ(名前忘れた)は落ちまくる糞ルータだったけど今のは特に不満ないよ。

316 :名無しさん@お腹いっぱい。:04/05/04 08:10
要するに98SEの私はダウンするパッチもないので放置すればいいってことですね?

317 :名無しさん@お腹いっぱい。:04/05/04 08:11
>>316
アンチウイルスソフトを入れて、定義を最新のものにする。
FWを入れる。
これでOK

318 :312:04/05/04 08:14
おっ
今度買うとき参考にするよ。THX

319 :名無しさん@お腹いっぱい。:04/05/04 08:29
漏れはHDD,DVD-RAM等はI-O
ルーターはバッファロー
LANカードはコレガ

320 :31:04/05/04 08:34
>>245 >269

321 :31:04/05/04 08:36
>>245 >>269
もれも同じ状況だったYO
とりあえず、修正パッチとファイアウォール(Outpost)を時限爆弾前にササッと入れておいたらポート445は塞げるから時限爆弾は登場しない。
そしてオンラインスキャンしてみたら、msblastとnachiに感染してますたよ。

322 :名無しさん@お腹いっぱい。:04/05/04 08:37
>>320
その2つはDじゃないか?
skynetave.exe
だけど

323 :名無しさん@お腹いっぱい。:04/05/04 09:57
ゴールデンウィークに出てくるのは
やっぱり日本狙ってるのか?
このせいでゴールデンウィーク明けに
仕事に支障が出るわけで
海外企業または何らかの組織の陰

324 :名無しさん@お腹いっぱい。:04/05/04 10:04
>>323
この時期は中国とかマレーシアも長期の休みになるから
日本も含めてアジア地域を狙っている可能性はあるな

325 :名無しさん@お腹いっぱい。:04/05/04 10:08
糞パッチ修正版(English)ができたらしい
まだ、公開はしてないぽ

326 :名無しさん@お腹いっぱい。:04/05/04 10:31
もういやだ
パソコン使うのやめる


327 :名無しさん@お腹いっぱい。:04/05/04 10:34
もまいら!!

サッサと言えば金鳥(r

328 :名無しさん@お腹いっぱい。:04/05/04 10:38
>>325を補完します

http://support.microsoft.com/default.aspx?scid=kb;EN-US;841382

[Hotfix information]に修正パッチのファイル情報があります。

329 :名無しさん@お腹いっぱい。:04/05/04 10:39
ここにお集まりの2chの皆さん、お助けください。
義兄のPCがこのウィルスにやられたみたいです。
再起動を繰り返し立ち上がってきません。災厄データだけでも抜き取りたいのですが
他のPCへセカンダリとして接続しても、感染しないでしょうか?
また、他に良い方法があればご教授ください。

330 :名無しさん@お腹いっぱい。:04/05/04 10:43
う〜んネットを始めて4年経つが一度もウイルスに感染したことが無い
運がいいのかセキュリティーが完璧なのか
はたまた誰にも相手にされないのか

331 :名無しさん@お腹いっぱい。:04/05/04 10:54
>>329
接続したPCが何も対策してなけりゃ、感染する。
データ移動については、USBメモリでも買ってくれば?
災厄データがどんなもんか知らんがw

332 :名無しさん@お腹いっぱい。:04/05/04 11:02
>330
トロイはどっさり持ってそうだな、オマエ

333 :名無しさん@お腹いっぱい。:04/05/04 11:04
>>329
再起動するまで時間差あるでしょ?
パッチあてて駆除ツール使え

334 :名無しさん@お腹いっぱい。:04/05/04 11:08
>>331
>>333
ありがとう!
しかし、立ち上がる前に再起動になってしまいます。
立ち上がらなければ、何もできないですか?


335 :名無しさん@お腹いっぱい。:04/05/04 11:13
>>334
>>4 に書いてあるMSの対策ページには目を通したのか? と小一時間・・・


336 :名無しさん@お腹いっぱい。:04/05/04 11:13
>>326
大正解!

337 :287:04/05/04 11:14
ここに書いてあるセーフモードで立ち上げてってのでどうだい

ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

338 :名無しさん@お腹いっぱい。:04/05/04 11:15
http://news5.2ch.net/test/read.cgi/newsplus/1083582626/326
326 : ◆C.Hou68... :04/05/03 22:38 ID:RWPnrrSh
>>315
念のため言っとくとAirH"じゃ穴は塞げないぞ。
ところでIDからすると、PCはやっぱ不治痛?
*****
を見て、来ました。
AirH"+VB最新定義+WIN・update本日AM11:11現在利用可能な更新なし
でしなくてはならないことはあるでしょうか?

339 :名無しさん@お腹いっぱい。:04/05/04 11:17
>>335
じゃあネットに繋がらない俺はどうしたらいいのかと小一時間t(ry

340 :名無しさん@お腹いっぱい。:04/05/04 11:20
この1週間、私自身はアップデートしてないのですが (父がしたかも?)
アップデートの更新をしても「重要な更新項目はありません」
みたいな文章がでます。

…安心して良いんだよね……?ガクブル

341 :名無しさん@お腹いっぱい。:04/05/04 11:24
>>338
AirH"やmoperaを使う時は、PFWを入れて完全stealthにした方がいい。

342 :名無しさん@お腹いっぱい。:04/05/04 11:27
>>332

自分は8年目になるけどウィルスもトロイの類も無い…。

#しかし135と445へのアタックが凄いな。(十数秒刻みで…)
#適切なパッチ当てやルータ、ファイヤーウォール等を導入
#してない奴が多いんだな。



343 :名無しさん@お腹いっぱい。:04/05/04 11:34
ルーターのログに見事に445が並んでる(´ー`)

344 :名無しさん@お腹いっぱい。:04/05/04 11:34
>>330
自分もそのくらい経つけどなんもない。
たまにオンラインスキャンしてるけど何も出てこない。

345 :287:04/05/04 11:38
今頃気づいたんだけど
阪神が単独首位やん

346 :338:04/05/04 11:39
>>341
ありがとうございました。

347 :名無しさん@お腹いっぱい。:04/05/04 11:40
昨日サッサーに感染したんだけど、今日WINDOWSのアップデートと
ファイアーオールをONにしたら、カウントダウンがなくなり、普通に繋げるようになってる

一応

・セーフモードでレジストリ確認
・トレンドのオンラインスキャン
・windowsの検索

やってみたけどなにも出てこない。このままにしておいていいんでしょうか。

348 :名無しさん@お腹いっぱい。:04/05/04 11:41
FWのログ見てると445へのアタックもあるにはあるが
同時に4つくらいのポート(毎回同じ)をたたいていくやつの方が多い。
みなさんのところはどうですかい?

ちなみにたたいていくのは80,139,6129,3127と445,1025,135,2745
これを規則的にたたいていくんだが。

349 :名無しさん@お腹いっぱい。:04/05/04 11:43
>>348

135,445が多いね。80,139,6129,3127は不定期に来る感じです。


350 :名無しさん@お腹いっぱい。:04/05/04 11:47
>>344
まあ普通はそんなもんじゃない



351 :名無しさん@お腹いっぱい。:04/05/04 11:49
>>339
じゃあここは何?ネットじゃないのか?
携帯で見てるのならスマン(w

352 :名無しさん@お腹いっぱい。:04/05/04 11:56
ZoneAlarm使いだが
445単独のたたきはDNS逆引きができるのに、
ポートまとめたたきのやつはなぜか逆引きが出ない。
(すべて***.in-addr.arpaになる)

これはどういうことなのかな?
大したことじゃないけど、ログがこれで埋まっていくのは気味悪いし。

353 :名無しさん@お腹いっぱい。:04/05/04 12:04
ルーター入れてれば、問題ないのにね。

354 :名無しさん@お腹いっぱい。:04/05/04 12:16
>>353
禿胴。
この辺見て不要なポート塞ぐべし。
http://www.ipa.go.jp/security/fy12/contents/crack/soho/soho/chap4/router.html

355 :名無しさん@お腹いっぱい。:04/05/04 12:20
OSはウインドウズ98なんだけど
サッサーに感染しますか?

356 :名無しさん@お腹いっぱい。:04/05/04 12:20
>>347
オンランインスキャンで、なんもでてこないならいいんじゃないの。


357 :名無しさん@お腹いっぱい。:04/05/04 12:21
久々に、ADSLモデム(ルータ機能込)のログを見たが、
何じゃコリャって感じ。
韓国だの、台湾だの、おフランスだの…。

358 :名無しさん@お腹いっぱい。:04/05/04 12:23
355です。
自己解決しました。


359 :名無しさん@お腹いっぱい。:04/05/04 12:24
60SecカウントダウンPC再起動sasserに感染したら
>>40でもみておけ



360 :名無しさん@お腹いっぱい。:04/05/04 12:37
既出かもしれませんが以下の症状もあるみたいですね。

・スタート→すべてのプログラム→(なし)になっている。
 (もしくは一部のプログラムがなくなっている)

・ユーザー設定した覚えがないのに終了オプションで
 「ユーザーの切り替え」が増えている。
 (SP1をあてた事によってできるユーザーではなく。)

・スタートボタンがない。終了オプションがない。電源を切るがない。

361 :名無しさん@お腹いっぱい。:04/05/04 12:39
ニュー速で”ウイルスマッチポンプ説”を持ち出してる人が居る。
ウイルスが蔓延して儲かるのはセキュリティ業界だからそう考えるのも
自然といえば自然だよね。

362 :名無しさん@お腹いっぱい。:04/05/04 12:42
>>361
確かに何となく納得は行くが・・・
ばれれば自爆行為だろ。
世界中から袋叩きにあうだろうからね。

363 :名無しさん@お腹いっぱい。:04/05/04 12:44
なんか急に おさまってきた悪寒

364 :名無しさん@お腹いっぱい。:04/05/04 12:52
アキバ某店
店頭のPCが佐々に感染してた
ニヤニヤ

365 :名無しさん@お腹いっぱい。:04/05/04 12:58
なんか同一IPからのアタックがすさまじいな。
10秒から30秒おきに8つのポートを同時にたたいてくる。
ちなみに第三オクテットまでうちのIPと同じ。

けど、カウントダウン式とはちょっと考えにくいような気もするんだが・・・ひょっとして別物か?

366 :名無しさん@お腹いっぱい。:04/05/04 13:55
スタコラサッサと逝こうぜ。

367 :名無しさん@お腹いっぱい。:04/05/04 13:58
>>362
でも、他人の不幸で儲けているために怨嗟の的になっているのは確か


368 :名無しさん@お腹いっぱい。:04/05/04 13:59
全くアタックがないのはちと異常か?

369 :名無しさん@お腹いっぱい。:04/05/04 14:03
休み明けサポセン大忙しの予感w

370 :名無しさん@お腹いっぱい。:04/05/04 14:03
>>365
大規模感染タイプのワームはみなそうだが「システムをなるべく
クラッシュさせない」のがデザイン上の原則。LSASSがクラッシュ
→OS再起動してしまのは意図的なものではなくて、コードのバグ
とマシンの環境によっていろいろな「相性問題」wが出てるという
ことでは?

ただ[ランダム数字4桁_up.exe]が見あたらないケースはちょっと不審。
ほんとうにSASSERなのか、亜種なのか…?

371 :名無しさん@お腹いっぱい。:04/05/04 14:09
誰かがカキコしてたが、犯人のリリースのタイミングが1週間
早すぎた。GW明けと同時にリリースだったらもっと混乱した
だろう。

大きなシステムは休み中でも当直がいるからせっせと対策している。
個人もインターネットから情報を入手している。去年ブラスタでイタイ
目にあった被害者の半分くらいは急いでパッチ当てるはず。

よってブラスタに比べたら流行はずっと小規模になる。




…はずだといいなw


372 :名無しさん@お腹いっぱい。:04/05/04 14:13
>371
日本が標的ならな
GWなんて他の国はねーし

373 :名無しさん@お腹いっぱい。:04/05/04 14:35
サッサ対策web
http://www.jade.dti.ne.jp/~sassa/

374 :名無しさん@お腹いっぱい。:04/05/04 14:53
質問。
最近、PCの状態が悪い。
先ほど、シャットダウンをするためすべてのデータを保存しログオフしてください。
なるものがでた。このプログラムでコードがなんたらかんたら・・
カウントダウン形式で1分前からカウントダウンが始まりました。
それに最近ははスタートアップ時に多分スパイウェアのせいでシステム情報が
出るなど・・Runtime Erorrがでるなど・・・そのためにスパイウェア駆除ソフトを
昨日いれました。あとスタートアップにGstartupなるものが・・・これが
情報を送ってウイルス感染・・・てのはないよね・・ノートンあるけど期限切れの予感。
これってやばいか?もしかしたらこのウイルスか?LSAシェルに問題発生っていう
警告も出た。
その後も何度も再起動させられてメモって見た。

NTAUTHORITY\SYSTEMに開始されたと書いてあった。
でメッセージみたいのが入ってて内容がC\WIDOWS\SYSTEMlsass32が
状態コード1073741819を突然終了させましただって。
急いでたから間違ってるかもしれないがなんかやばそう。また開始されました。どうっすりゃいんだ・・・


375 :名無しさん@お腹いっぱい。:04/05/04 14:55
>>374
LSASS?Sasserにやられてるんじゃないの?
この機会にセキュリティに関心を持っては如何?

376 :名無しさん@お腹いっぱい。:04/05/04 14:57
>>374

このスレまでたどり着いた君なら自力でなんとかできるさ。

377 :374:04/05/04 15:05
しかしサッサではなくなんらかのウイルスの可能性はある?ウイルス全くわかんねぇからさ。でも60秒カウントダウンさせるのはやばいだろ?またシャットダウンさせらたから今携帯。

378 :名無しさん@お腹いっぱい。:04/05/04 15:09
>>374
その症状はSasserの可能性が一番高いと言ってるのだと思うが。
それを信用する・しないは君の自由だ。好きにしろ。

379 :名無しさん@お腹いっぱい。:04/05/04 15:14
喪前はセーフモードを使ったことはないのか

380 :374:04/05/04 15:18
>>378やはりそうだよな。しかし対処したいが勝手にシャットダウンして対処できないんだよな…どうすりゃいいのか…

381 :名無しさん@お腹いっぱい。:04/05/04 15:21
>>374
漏れも同じ状態になります。
ただ、最初にその症状がでたのが4月29日の夕方
昨日ahooのニュースみてオンラインスキャンかけて、AVG最新版で完全スキャンかけて
シマンテックの駆除ツールを使ってみたが何も見つからなかった・・・

パッチ当てたら症状はでなくなりますた。


382 :名無しさん@お腹いっぱい。:04/05/04 15:21
うーん、ノートンは入れてるけど、「統計」っていうの見ても
「最近の侵入の試み」0件、
「最近試みがあった攻撃者」なし…
6時間も起動してるのにこれじゃあ、うちのノートソ先生死んでるのかな?
って思ったら、ここで初めて「ルータの履歴」が見れる、っていうのを知って、
どうにかルータ(うちは無線LAN)の履歴を見たら…
ぎょえーー!!本当に445と135だらけでした!!こえええーーーーー
ルータのログ情報の「現在のアクセス数」2300っていう数も、このせいなのかな?


383 :名無しさん@お腹いっぱい。:04/05/04 15:21
>>374
>>2

384 :名無しさん@お腹いっぱい。:04/05/04 15:22
>>380
お前さんはこのスレの1-10ぐらいも読めないのかと…

385 :名無しさん@お腹いっぱい。:04/05/04 15:22
シャットダウンされてる最中にファイル名を指定して実行で「shutdown -a」か
もしくはLANケーブルを抜くといいですよ。

386 :381:04/05/04 15:25
>>370
漏れは感染してるのかどうかわかりませんが・・・

>ただ[ランダム数字4桁_up.exe]が見あたらないケースはちょっと不審。
これは見当たりません

387 :381:04/05/04 15:28
セーフモードで起動してないけどダメかな?
オンラインスキャンもセーフモードで起動させるの?

388 :名無しさん@お腹いっぱい。:04/05/04 15:29
>330
うちも4年だけど先日初めてsasserにやられました
(ウイルス製品も最新にしてたしFWも完璧にしてたのに・・)

389 :名無しさん@お腹いっぱい。:04/05/04 15:30
>>374
帰れ

390 :名無しさん@お腹いっぱい。:04/05/04 15:33
>>388
>ウイルス製品も最新にしてたしFWも完璧にしてたのに
なぜWindowsUpdateをやらないのに完璧なのか…お前も帰れ。

391 :名無しさん@お腹いっぱい。:04/05/04 15:35
そんな佐々ーに一言↓

392 :名無しさん@お腹いっぱい。:04/05/04 15:37
なんでルータをかませてると平気なんですか?

393 :名無しさん@お腹いっぱい。:04/05/04 15:43
ウイルス製品とやらが売られているのか?へー。

394 :名無しさん@お腹いっぱい。:04/05/04 15:50
>>392
まずは>>1にも記載されているリンク先を読んで欲しい。
http://www.isskk.co.jp/support/techinfo/general/Sasser_172.html

で、ルータを使えばこの中にある
>マニュアルプロテクションを行うには、TCP ポート 139, 445, 5554, 9996をネットワークゲートウェイでブロックしてください。
という処理が出来るから比較的安全になる。

勘違いして欲しく無いのは、「ルータが入っているから安全」ではなく、きちんと設定しなければ意味がない。
それと、ルータはウイルスを駆除してくれるわけじゃない。あくまでも「侵入を防ぐ」だけ。

395 :名無しさん@お腹いっぱい。:04/05/04 15:51
>>393
尾満テックが業績快調で、笑いが止まらなくて思わず屁をこいたら身が出たって言うのが
ニュースになるくらいだからな。

396 :名無しさん@お腹いっぱい。:04/05/04 15:51
ハァ?

397 :名無しさん@お腹いっぱい。:04/05/04 15:56
いつカウントダウンが始めるか分からないのに、終わらせられるか?

398 :名無しさん@お腹いっぱい。:04/05/04 15:59
>>397
日本語でお願いします

399 :名無しさん@お腹いっぱい。:04/05/04 16:04
放置汁

400 :名無しさん@お腹いっぱい。:04/05/04 16:09
サッサに関しては例のパッチ当ててれば大丈夫だよね?

一応Norton AntiVirus 2004とXP標準FWはつけてます。

401 :名無しさん@お腹いっぱい。:04/05/04 16:10
パターンファイル更新してれば安心だね

402 :名無しさん@お腹いっぱい。:04/05/04 16:11
ルーターって通常445ってふさいでるでしょ?

403 :名無しさん@お腹いっぱい。:04/05/04 16:11
え…げーとうぇいでぶろっく??(; ´Д`)
WAN側からのパケットを無視(拒否?)する、TCP135と445…とかにすればいいのかな。
とりあえず履歴に山ほど135と445は残ってるけど、感染はしてない。


404 :381:04/05/04 16:13
すいません。
帰ってからセーフモードで起動していろいろやってからまた報告にきます。

lsass.exeが壊れたのが2004/4/29 19:26くらいだったから、感染してるんだったら
かなり早めの感染ですね_| ̄|○ ニホンデイチバンカモ
偶然lsass.exe壊れたってことは・・・ないな

405 :名無しさん@お腹いっぱい。:04/05/04 16:13
サッサを駆除してるうちにカウントダウンが始まったらどうするのって言ってるんだが。カウントダウンが始まらない方法があるなら教えてほしい。みての通りあまりパソコンは得意じゃない。

406 :381:04/05/04 16:14
それと、余談ですが漏れの消防の時のあだ名が「サッサ」だった_| ̄|○

407 :名無しさん@お腹いっぱい。:04/05/04 16:15
ルーターのログがすごい事になってるね
TCP445が突かれまくりだわ・・・ルーター大丈夫だろうか・・・頑張ってくれ

408 :名無しさん@お腹いっぱい。:04/05/04 16:21
>>403
通常はデフォルト設定でも通さないはずだけど、心配ならTCPの139, 445, 5554, 9996のIN・OUT両方をReject(破棄・拒否)するルールを追記しておけば良い。

409 :名無しさん@お腹いっぱい。:04/05/04 16:22
なぜout

410 :名無しさん@お腹いっぱい。:04/05/04 16:22
>>405
>>2

411 :名無しさん@お腹いっぱい。:04/05/04 16:23
>>409
自分が感染した時の用心だけど?

412 :名無しさん@お腹いっぱい。:04/05/04 16:24
ふーん

413 :名無しさん@お腹いっぱい。:04/05/04 16:25
>>407
某ISP用の某ADSLモデムが昨日は落ちまくりだったよ。(w

414 :名無しさん@お腹いっぱい。:04/05/04 16:25
5554はoutを塞いでおかないとね。

415 :名無しさん@お腹いっぱい。:04/05/04 16:25
タダでばらまいてるやつ

416 :名無しさん@お腹いっぱい。:04/05/04 16:26
フレッツADSLのNV,NV II 使ってる奴はデフォルトで塞がってるだろ。

417 :名無しさん@お腹いっぱい。:04/05/04 16:27
aterm 202cはふさがってる?

418 :名無しさん@お腹いっぱい。:04/05/04 16:30
初心者にこそルータは必須

419 :名無しさん@お腹いっぱい。:04/05/04 16:32
なんで今日仕事しなきゃいけないんだよウワアァァァァアヽ(`Д´)ノ

420 :名無しさん@お腹いっぱい。:04/05/04 16:35
>>417
説明書を読んで、自分で設定を確認してくれ。

分からなければ、
http://www.symantec.com/region/jp/securitycheck/index.html
https://grc.com/x/ne.dll?bh0bkyd2
あたりでチェックしてくれ。

421 :名無しさん@お腹いっぱい。:04/05/04 16:45
ルーターのログ見れないんだけど・・防いでくれてるのかな?

422 :名無しさん@お腹いっぱい。:04/05/04 16:49
>>406
佐々クンor佐々木クン?

423 :名無しさん@お腹いっぱい。:04/05/04 16:51
>>419
ウイルス駆除ソフト入れてればいいんじゃないの?


424 :名無しさん@お腹いっぱい。:04/05/04 16:52
>>413
yahoo?

425 :名無しさん@お腹いっぱい。:04/05/04 16:52
>>382 ネタだろ。

2300でなくて、23だろ。
netstat -na したら、2300個も出てくるなんて、幾つ接続してるんだYo!

426 :413:04/05/04 16:53
no。

427 :413:04/05/04 16:54
>>426=>>424へのRes。スマソ。

428 :381:04/05/04 16:54
>>422

○○さ○ さ○○

なぜかこれであだ名がサッサ・・・

429 :名無しさん@お腹いっぱい。:04/05/04 17:01
というかファイル指定しても途中でレジストリが消えるのだが・・

430 :名無しさん@お腹いっぱい。:04/05/04 17:11
サッサーの攻撃が、激しい・・・ウイルスバスターが防御してくれているが・・・


431 :名無しさん@お腹いっぱい。:04/05/04 17:13
>>428
ふじさわ さちを    (w

432 :名無しさん@お腹いっぱい。:04/05/04 17:14
ながさか さとる

だな。

433 :名無しさん@お腹いっぱい。:04/05/04 17:17
>>381の仮名募集中で〜す。(w

434 :名無しさん@お腹いっぱい。:04/05/04 17:24
>>428
たかさき さとし
でどうだ。

435 :名無しさん@お腹いっぱい。:04/05/04 17:31
サッサがあだ名だと、おいサッサ、サッサとしろよとか言われてそうだな。

436 :名無しさん@お腹いっぱい。:04/05/04 17:32
サッサ繋がりで、金鳥は夏だけでいいとか言われそうだな。

437 :名無しさん@お腹いっぱい。:04/05/04 17:32
そんなサッサに一言↓

438 :定期貼り:04/05/04 17:33
■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続
するだけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル

■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
 LSA Shell(Export Version) has encountered a problem
 This system is shutting down...by NT AUTHORITY\SYSTEM
・ なんだかしらないがパソコンの反応がメチャ遅い。
・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで確認
 しましょう。
   http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120

■Microsoft公式ページ
・Sasser ワームについてのお知らせ
  http://www.microsoft.com/japan/security/incident/sasser.mspx
・Sasser 対策 Windows XP
  http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
 (XP付属ファイアウォールの使い方は >>24
・Sasser 対策 Windows 2000
  http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
・セキュリティ修正プログラム (835732) (MS04-011)
  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
・すでに感染しているマシンにパッチを当てる場合
 MSの駆除ツール>>5

■トレンド、シマンテックのデータベース情報 >>12

■ちゃんとしたファイアウォールを入れましょう。解説とリンク >>3

439 :381:04/05/04 17:37
>>432
(((( ;゚Д゚)))ガクガクブルブル

>>434
( ;゚Д゚))ガクブル

>>435
なんで知ってるの・・・


440 :名無しさん@お腹いっぱい。:04/05/04 17:37
佐々ちね!

441 :名無しさん@お腹いっぱい。:04/05/04 17:39
佐々成正

442 :名無しさん@お腹いっぱい。:04/05/04 17:40
>>407
…さっきから2度も落ちた…。
山のようーなアタックぅ…(涙)
…ぷららなせいか?
アタックもぷららからが多い…。
DQNなご近所さんが多いと…。

443 :音速のゴト師:04/05/04 17:41
ブラスターが流行った頃のYahooBBからのメール(抜粋)

…━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…

 Yahoo! BBでは、今回の「エムエスブラスト」の蔓延に対する緊急対策
 として、現在、「エムエスブラスト」が流入する一部のポート番号
 (TCP/UDP:135,139,445)における通信を遮断しております。
 そのため、該当ポート番号を使用した一部の通信サービス、インターネット
 経由でのファイル共有(Netbios over TCP/IP)やExchangesサービス
 (Microsoft DS)等がご利用いただけない場合があります。
 これは、全国的なウイルス蔓延をかんがみての緊急対策であることを
 ご理解いただき、ご容赦いただけますようお願いいたします。

…━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━…

臨時とか言いながらいまだに上記処置が継続中の模様。
よってウチのルーターは平穏そのもの。


...しっかし、上記ポート閉じちゃって仕事に影響出た人
いなかったんだろうか...(強引かとも思うんですがねぇ)

444 :名無しさん@お腹いっぱい。:04/05/04 17:43
>>443
「エムエスブラスト」を「エクトプラズム」って読んじゃった。
YBBならありかと…w

445 :名無しさん@お腹いっぱい。:04/05/04 17:45
ぷららの意気地なし〜〜〜〜

わぁ、ぷららが立っ(ry

446 :名無しさん@お腹いっぱい。:04/05/04 17:47

今、田舎何だけど、サ、サ、サ、サのアタックは来てない・・・・
明日、東京に戻ったら(((( ;゚д゚)))アワワワワってことになるのか?

447 :名無しさん@お腹いっぱい。:04/05/04 17:47
 | ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|
 | つぎでボケて!.   |
 |_________|
    ∧∧ ||
    ( ゚д゚)||
    / づΦ

448 :名無しさん@お腹いっぱい。:04/05/04 17:50
名前:381[sage] 投稿日:04/05/04 17:37
>>432
(((( ;゚Д゚)))ガクガクブルブル

>>434
( ;゚Д゚))ガクブル

>>435
なんで知ってるの・・・



スルーされた>>431>>433 orz

449 :名無しさん@お腹いっぱい。:04/05/04 17:54
…こないだルータ初期化したの忘れてた…。
せっかく色々登録していたフィルタが真っ白だった…(涙)

135も445ちゃんと防いでくれてたけど。
慌てて他のも登録し直したさーw

デフォでどれが入ってんのかなあ?

450 :381:04/05/04 17:54
>>448

>>432 >>434はホントにビビッたんだyp

>>433
もうヤメレ・・・

>>431
正直スマンカッタ

451 :名無しさん@お腹いっぱい。:04/05/04 17:57
381を防ぐ方法を教えて下さい

452 :381:04/05/04 18:00
>>451
もう書き込みませんので安心してください

453 :名無しさん@お腹いっぱい。:04/05/04 18:00
ちょっと質問です
1日の夜からインターネットへ正常につながらなくなり、
常駐を見ると (数字)_up.exe が起動していました。
それからOSを再インストールして直したのですが、これはsasserでしょうか?

メッセでよく話す友人のPCにLSASSのエラーとか出て再起動がかかる症状が
出ていたので、そのあたりとの関係があるような気もします。

454 :名無しさん@お腹いっぱい。:04/05/04 18:02
ルーター(ADSLモデム一体型)のログを見たら、今も一秒間に数通き続けているが
弾いている。全部445だよ。こりゃぁ、すげぇなぁ・・

455 :名無しさん@お腹いっぱい。:04/05/04 18:04
>>453
書き込む前に>>1-10くらいまで読んでからきなさいな

456 :名無しさん@お腹いっぱい。:04/05/04 18:04
>453
大当たり

457 :名無しさん@お腹いっぱい。:04/05/04 18:10
末尾の文字変えてみたら既にDまでありますたw
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.C
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D
Eもやったけどまだ無いみたい

458 :名無しさん@お腹いっぱい。:04/05/04 18:10
>>455
こんな大物に感染したの初めてだったんで取り乱してました
今度からもっと落ち着いて書き込むようにします。

459 :名無しさん@お腹いっぱい。:04/05/04 18:12
blast(ry

460 :名無しさん@お腹いっぱい。:04/05/04 18:18
もう一台のPC、パッチ当ててないが
使用者はルーターで弾かれてるしXpのFW機能オンだから大丈夫と言ってやがる……

パケットフィルタリング機能オフにしておいてやろうかな

461 :名無しさん@お腹いっぱい。:04/05/04 18:20
整理するとWindowsファイルに作られるのは・・
WORM_SASSER.A =>数字_up.exe
WORM_SASSER.B =>数字_up.exe
WORM_SASSER.C =>数字_up.exe
WORM_SASSER.D =>skynetave.exe
のようだ。



462 :名無しさん@お腹いっぱい。:04/05/04 18:22
>>460
自動更新に設定させとけよ

463 :名無しさん@お腹いっぱい。:04/05/04 18:23
Dも数字じゃなかった?

464 :名無しさん@お腹いっぱい。:04/05/04 18:24
休暇から帰ってきてパソ立ち上げて感染してる香具師がどんどん増殖中なんだろうなあ…。
休暇中でもニュース見とけよ。
つーか、ネットやるならセキュリティを忘れるな!

465 :名無しさん@お腹いっぱい。:04/05/04 18:25
>>460
実際大丈夫なんだから良いじゃない。人のやり方にケチつけないくても。

466 :461:04/05/04 18:26
>>463
既出だがDはドイツで発見されており、数字ではないようだリーベ。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.D

467 :名無しさん@お腹いっぱい。:04/05/04 18:28
俺の知り合いはPC買ってから1度もアップデートすらせずにつかってて
去年blasterに感染してsasserにも感染したよ
blasterも自分で治せなくてリモートで他人に治させた
今回あたり自分が犠牲者になりそうで怖い

468 :名無しさん@お腹いっぱい。:04/05/04 18:31
>>454
おらも見てみたが、ほんとに来てる(( ;゚Д゚)))ガクガクブルブル
ちゃんとREJECTできてるけど。 こりゃ、相当な勢いで広がりそう...

469 :名無しさん@お腹いっぱい。:04/05/04 18:31
>>467
その知人にはネットをやるなと伝えてくれたまえw

470 :名無しさん@お腹いっぱい。:04/05/04 18:35
さっきまで色んなポート叩かれてたけど、ここへ来て445一色に…。
旅行から疲れて帰って、パソ立ち上げてウイルス感染。
で、リカバリーで更にお疲れ?w
対処法知らないと現在パニックになってる真っ最中かな?
サポートもお休み多そう…(人)ナムー

471 :名無しさん@お腹いっぱい。:04/05/04 18:36
今日 18:18:59 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745
今日 18:18:59 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025
今日 18:18:59 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445
今日 18:18:59 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127
今日 18:18:59 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129
今日 18:18:59 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139
今日 18:19:00 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745
今日 18:19:00 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025
今日 18:19:00 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129
今日 18:19:00 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127
今日 18:19:00 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445
今日 18:19:00 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139
今日 18:19:00 IP#0: rx filtered TCP from どこか/4910 to 漏れ/1025
今日 18:19:00 IP#0: rx filtered TCP from どこか/4907 to 漏れ/2745
今日 18:19:00 IP#0: rx filtered TCP from どこか/4914 to 漏れ/6129
今日 18:19:00 IP#0: rx filtered TCP from どこか/4913 to 漏れ/3127
今日 18:19:00 IP#0: rx filtered TCP from どこか/4912 to 漏れ/445
今日 18:19:01 IP#0: rx filtered TCP from どこか/4915 to 漏れ/139

誰だか知らんが、2秒間にこんなに・・・・・・
ネット重くなってるだろうな。


472 :名無しさん@お腹いっぱい。:04/05/04 18:43
去年の夏に引き続き今回もログ貼り付けが流行ってるのかw

473 :名無しさん@お腹いっぱい。:04/05/04 18:46
これサッサーってよむの?

474 :ぷらら。:04/05/04 18:47
我が家のログ。他で貼る機会もないしw

2004年5月4日 17時58分15秒 フィルタ 220.186.197.* からNBT 又は Microsoft-DS パケットのルーティング UDPポート:137
2004年5月4日 17時58分15秒 フィルタ 220.186.197.* --> 我が家 UDPポート:137
2004年5月4日 17時57分09秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時57分09秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時57分03秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時57分03秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時57分01秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時57分01秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時55分56秒 フィルタ 24.79.122.* からNBT 又は Microsoft-DS パケットのルーティング UDPポート:137
2004年5月4日 17時55分56秒 フィルタ 24.79.122.* --> 我が家 UDPポート:137
2004年5月4日 17時54分16秒 フィルタ 220.108.79.*からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分16秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時54分10秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分10秒 フィルタ 220.108.79.* --> 我が家 TCPポート:445
2004年5月4日 17時54分07秒 フィルタ 220.108.79.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分07秒 フィルタ 220.108.79.1* --> 我が家 TCPポート:445
2004年5月4日 17時54分01秒 フィルタ 220.108.201.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時54分01秒 フィルタ 220.108.201.* --> 我が家 TCPポート:445
2004年5月4日 17時53分58秒 フィルタ 220.108.201.* からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月4日 17時53分58秒 フィルタ 220.108.201.* --> 我が家TCPポート:445


475 :名無しさん@お腹いっぱい。:04/05/04 18:50
>>473
そう。
東京タワーとは呼ばないらしい。。

476 :名無しさん@お腹いっぱい。:04/05/04 18:52
ぷららだけどルーターのログ見ると445より135が若干多い。

477 :名無しさん@お腹いっぱい。:04/05/04 18:58
うちはここ20分ぐらい、1分に1度程度で445と135が半々ぐらいかな〜。
XPのFWのログ取りをさっき始めたところだけど。

このFWを突破されることはなかろうけど、パッチは当てているし
ノートンもいるから安心。

478 :名無しさん@お腹いっぱい。:04/05/04 19:03
今にたら197もあるけどなんだろ〜。197だからイクナイのか?

479 :478:04/05/04 19:05
ごめん
× 今にたら
○ 今見たら
調理中だったもんで・・

480 :名無しさん@お腹いっぱい。:04/05/04 19:09
うちは半々くらいかな。1発/10秒

数分前にログ見るまでは、俺の前に使ってた馬鹿がbittorrentやってたらしくて6881への接続要求が
現時点でのサッサーより多かった。PPPoEの接続しなおして回避。

481 :名無しさん@お腹いっぱい。:04/05/04 19:31
ログみたら結構来てるねー。GW明けがもっと凄そうだけど。

482 :名無しさん@お腹いっぱい。:04/05/04 19:42
WINアップデートは複雑でいかん

483 :名無しさん@お腹いっぱい。:04/05/04 19:47
きょええええぇ〜
ttp://cgi.2chan.net/up2/src/f54316.jpg


484 :名無しさん@お腹いっぱい。:04/05/04 19:51
>>483
この後のレスは全部君に任せた、君はプロだ!

485 :名無しさん@お腹いっぱい。:04/05/04 19:54
>>483
(((( ;゚Д゚)))ガクガクブルブル 

486 :名無しさん@お腹いっぱい。:04/05/04 19:57
>>483 エラーが出たけど何?

487 :名無しさん@お腹いっぱい。:04/05/04 19:57
あ〜ぁ、もぅ、やめてくれぇ〜


プロセス名は N/A
2004/05/04 19:32:58 スーパーバイザ 未使用ポート遮断機能が通信を遮断しました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 220.213.61.93,epmap(135)
2004/05/04 19:32:58 スーパーバイザ 未使用ポート遮断機能が通信を遮断しました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 220.213.61.93,2745
2004/05/04 19:22:40 スーパーバイザ 規則「Microsoft Windows 2000 SMBのデフォルト遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました。 詳細:
インバウンド TCP 接続
ローカルアドレス、 サービスは LT3005D-i2(220.144.179.121),microsoft-ds(445)
リモートアドレス、 サービスは 220.144.129.9,1043
プロセス名は N/A
2004/05/04 19:22:15 スーパーバイザ 未使用ポート遮断機能が通信を遮断しました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは 220.144.233.62,epmap(135)
2004/05/04 19:19:07 スーパーバイザ 規則「Microsoft Windows 2000 SMBのデフォルト遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました。 詳細:
インバウンド TCP 接続
ローカルアドレス、 サービスは LT3005D-i2(220.144.179.121),microsoft-ds(445)
リモートアドレス、 サービスは 220.146.29.151,2624
プロセス名は N/A
2004/05/04 19:19:01 スーパーバイザ 規則「Microsoft Windows 2000 SMBのデフォルト遮断」が LT3005D-i2(220.144.179.121),microsoft-ds(445) を遮断しました。 詳細:
インバウンド TCP 接続


488 :名無しさん@お腹いっぱい。:04/05/04 19:59
>>483
解析しといてw

489 :名無しさん@お腹いっぱい。:04/05/04 20:00
>>483
Bだけじゃないんだね・・・(((( ;゚Д゚)))ガクガクブルブル

490 :名無しさん@お腹いっぱい。:04/05/04 20:02

過去スレなどを読むのに利用してください
http://makimo.to/cgi-bin/dat2html/dat2html.cgi?http://pc3.2ch.net/test/read.cgi/sec/1083573189/&ls=30

491 :名無しさん@お腹いっぱい。:04/05/04 20:03
>>486
あたまにh付けたか?

492 :名無しさん@お腹いっぱい。:04/05/04 20:10
Janeだから自動で付けてくれるみたいです。

493 :名無しさん@お腹いっぱい。:04/05/04 20:14
某イマイ君のパソ。

今朝、今井くんに会ってきました。
彼のパソコンは、数千ものウイルス攻撃にやられ、いまは全く使えないとか。
そこで口頭で、ここの掲示板のことや、募金活動のことを伝えてきました。
http://www3.creative.co.jp/bbs/mess.cgi?p=883


だそうです。

494 :491:04/05/04 20:14
>>492
そりゃぁスマンかった。
何のエラーか判らんが、あぷろだが重くてタイムオーバーになったんんか?

495 :名無しさん@お腹いっぱい。:04/05/04 20:20
janeだけど普通に見られる。
ちなみに>>483は脳豚先生がSasserをいっぱい検出した画像ね。

496 :名無しさん@お腹いっぱい。:04/05/04 20:21
>>493
数千ものウイルス攻撃って…ヤツのPCはMacじゃなかったか?

497 :名無しさん@お腹いっぱい。:04/05/04 20:28
デスクトップは売男らしい。

498 :名無しさん@お腹いっぱい。:04/05/04 20:30
>>494
いえいえ、
けっこうエラー出るんです。IEだと見れたりするんですけど。

499 :名無しさん@お腹いっぱい。:04/05/04 20:41
昨日今日と何度か ダイヤルアップ でつないでみてるんだが、ぱったり来なくなっている。
プロバイダが TCP/445 宛てパケット遮断したかな?

500 :名無しさん@お腹いっぱい。:04/05/04 20:50
便乗して139,445,1025,2745,3157,6129をいっぺんに叩いてくる奴が
いると騒いでるやつがいるが・・・。
1ヵ月前からあったよ。サッサとは無関係。phatbotだろ

501 :名無しさん@お腹いっぱい。:04/05/04 20:53
>>483
重いので別所にウプさせてもらったよ
http://lucky-tv.net/img-box/img20040504202135.jpg

502 :名無しさん@お腹いっぱい。:04/05/04 20:55
ハイサッサーで綺麗好き〜♪

503 :名無しさん@お腹いっぱい。:04/05/04 20:59
>>500
で、サッサは?

504 :名無しさん@お腹いっぱい。:04/05/04 21:00
ネットが重い気がするのはこのせいかな?
1秒に10回とか来てる…。

と思ってhttp://www.bspeedtest.jp/でスピード計ったらいつもの半分…_| ̄|○;

505 :名無しさん@お腹いっぱい。:04/05/04 21:01
>>504
旅行券2万円が当るを押してしまったよw

506 :名無しさん@お腹いっぱい。:04/05/04 21:08
sasserまとめページ
ttp://www.sasser.ac/

507 :名無しさん@お腹いっぱい。:04/05/04 21:18
>>506
ご苦労様。ダウンロードページが役に立った。
http://www.sasser.ac/download/index.html
2004年版がないようなのが残念。

508 :名無しさん@お腹いっぱい。:04/05/04 21:21
かなり概出なことでょうが当方携帯からなのでお許しください
プロバイダには接続できるのですがIEがページを表示できませんと出てきます。検索からaveserve2.exeと〜_up. exeとレジストリディタでavserve2.exeは消しました。

509 :名無しさん@お腹いっぱい。:04/05/04 21:25
ルーターのログみてみましたところ、ログ最後に445が多数ありました。
防いでいるかいないか、ルーターのログのどの部分を
見ればわかるのでしょうか?
なにせログを見たのが今回初めてでして・・・すみま
せん。

510 :名無しさん@お腹いっぱい。:04/05/04 21:38
>>509
blockとか書いてあれば防いでると思うが。
心配ならログを切り出して貼り付けてみなさい。

511 :名無しさん@お腹いっぱい。:04/05/04 21:40
>>510
凵@     ○   ∇ 、,、´`゙;~、  ';冫 ☆
           ┏  ━ゝヽ''人━人━从━〆A!゚━━┓。
 ╋┓"〓┃  < ゝ\',冫。' 、 (__)Ν ; ゛△│´'´,.ゝ'┃.      ●┃ ┃┃
 ┃┃_.━┛ヤ━━━━━━━(__)━━━━━━━━━━  ━┛ ・ ・
        ∇  ┠─Σ-   /,, ・∀・) ウンコー!冫┨'゚,。 とんでもウンコ、パッカァーン!!!
           .。冫▽ <   ⊂     ./⊃     乙  ≧   ▽
         。 ┃   Σ   (⌒ゞ ,l, 、''  │   て く
           ┠─ム┼   ゝ,,ノ ノゝ. 、,,  .┼ ァ Ζ┨ ミo''`
         。、゚`。、   i/   レ' o。了 、'' ×  个o
        ○  ┃   `、,~´+√ ▽   ',!ヽ.◇    o┃
            ┗〆━┷ Z,.' /┷━''o ヾo┷+\━┛,゛;
       ヾ   凵@              '、´    ∇


512 :名無しさん@お腹いっぱい。:04/05/04 21:41
>>511
防ぎきれませんでした(´・ω・`)

513 :名無しさん@お腹いっぱい。:04/05/04 21:45
2004/05/04 21:44:32 IP_Filter REJECT UDP 192.168.0.2:137 > 192.168.0.255:137 (IP-PORT=0)
は大丈夫?


514 :名無しさん@お腹いっぱい。:04/05/04 21:50
大丈夫以前じゃ。

515 :名無しさん@お腹いっぱい。:04/05/04 21:52
>>510
ありがとうございます。も1度調べてみまして
不安な部分がありましたら、ここに貼りたい
と思います。

516 :名無しさん@お腹いっぱい。:04/05/04 21:54
>>513
それLAN内のじゃないの???
N○CのAt○rmのログじゃない?

517 :名無しさん@お腹いっぱい。:04/05/04 22:07
>>483
すげー

518 :名無しさん@お腹いっぱい。:04/05/04 22:13
>>508をお願いします

519 :これもサッサ?:04/05/04 22:27
教えてください。 問題が発生した為、Generic Host Process forWin32 Servicesを終了…ってのがでてネット接続がきれます。タスクバ−にはアイコンが残ってます。でも接続はきれてる。Winのアッブデイトしてからおかしくなりました。助けてください。

520 :名無しさん@お腹いっぱい。:04/05/04 22:28
すいません。質問させてください。
マイクロソフト社の「ワームについてのお知らせ」の中で
(ttp://www.microsoft.com/japan/security/incident/sasser.mspx)
「Sasserワームの感染の確認および駆除をします」のステップで
英語ページに飛んでチェックする所まで進んだのですが
結果が・・・
Required update is not installed
To use this tool, you must have already installed the security update associated
with Microsoft Security Bulletin MS04-011.

・・・と出てきました。
この表示が出た場合、どうしたらよいのかが分からずに途方にくれています。
表示の色からして、ヤバイという事は理解できたのですが・・・
もし良い解決策をご存知でしたら教えてください。

521 :名無しさん@お腹いっぱい。:04/05/04 22:30
>>508
PFWでIE用ポート開ける。

>>519
ttp://support.microsoft.com/default.aspx?scid=kb%3Bja%3B821690

522 :名無しさん@お腹いっぱい。:04/05/04 22:30
駆除の前にパッチ

523 :名無しさん@お腹いっぱい。:04/05/04 22:31
>>520
まずUPDATE

524 :名無しさん@お腹いっぱい。:04/05/04 22:32
>520
ヤバイんじゃなくてワームの感染確認するツールを使う前に
MS04-011のパッチをあてておけってメッセージでしょ?

525 :520:04/05/04 22:34
ありがとうございます。
赤色で表示されてたのでヤバイと思い込んでいました。
もう一度最初からやり直してみます。

526 :名無しさん@お腹いっぱい。:04/05/04 22:41
英語くらい読めよ

527 :名無しさん@お腹いっぱい。:04/05/04 23:01
ちょっと教えて頂きたいのですが。
nachiにしろsasserにしろルータのwan側のアドレスの445他にアクセスしに来ている訳ですが、
これって、ルータのlan側にまで入って来れるもんなんでしょうか?

ちなみに、DMZの設定はしていません。

528 :名無しさん@お腹いっぱい。:04/05/04 23:01
>>520のはエキサイト翻訳通せば十分理解出来るな。
英語アレルギーは良いけどせめて機械翻訳を。

必要な最新版はインストールされません。このツールを使用するために、
マイクロソフト・セキュリティ公報MS04-011に関連したセキュリティ最新版
を既にインストールしなければなりません。

529 :名無しさん@お腹いっぱい。:04/05/04 23:03
>>527
ルーターの解説をするスレではないわけだが…

余計な設定してなければ答えはno

530 :名無しさん@お腹いっぱい。:04/05/04 23:08
>>527
Rejectしてれば入ってこれない。

ただし、100%安全というわけでもない。
ルータの設定をきちんとやる事。
ルータとの接続に使うパスワードがデフォルトのままなんてのは問題外。

ルータの設定や解説とかしてるスレってハードウェア板かな?

531 :527:04/05/04 23:23
>>529,530
スレ違いな質問にお答えいただきありがとうございます。

ハードウェア板に逝ってきます。

532 :名無しさん@お腹いっぱい。:04/05/04 23:36
今のパソコンを買ってから半月ほどしか経ってないのですが、
10分もパソコンを使っていたらネットでページが表示できなくなり、
全体的に重くなるんです。
ノートパソコン(Prius)です。ソフトなどは5つほどしかダウンロード
してないです。(その中に非常に重いというものもないです)
他のスレでnetskyに感染してるだろうと言われたんですけど、
netskyの対処法教えてください。

533 :名無しさん@お腹いっぱい。:04/05/04 23:37
ルーターのログってどこみるんじゃ?

534 :名無しさん@お腹いっぱい。:04/05/04 23:38
おいおいおい… さっきから同じISPの同じIPから
135、445、1025、2745…叩かれまくり…
ルータでブロックしてくれてるからいいけど 気持ちわる〜

535 :名無しさん@お腹いっぱい。:04/05/04 23:40
>>532
http://www.trendmicro.co.jp/vinfo/virusencyclo/default2.asp?m=q&virus=netsky&alt=netsky
とりあえずこのあたりかと・・・

536 :名無しさん@お腹いっぱい。:04/05/04 23:42
N速+のサッサスレ見たけど
全く関係ない話題で回ってた…

537 :名無しさん@お腹いっぱい。:04/05/04 23:47
>>536
N速+はバイキンネタだな。


538 :定期貼り:04/05/04 23:50
■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続
するだけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル

■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
  LSA Shell(Export Version) has encountered a problem...
  This system is shutting down ... by NT AUTHORITY\SYSTEM
・ なんだかしらないがパソコンの反応がメチャ遅い。
・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
 してるか確認しましょう。
   http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120

■Microsoft公式ページ
・Sasser ワームについてのお知らせ
  http://www.microsoft.com/japan/security/incident/sasser.mspx
・Sasser 対策 Windows XP篇
  http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
 (XP付属ファイアウォールの詳しい使い方は >>24
・Sasser 対策 Windows 2000篇
  http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
・セキュリティ修正プログラム (835732) (MS04-011)
  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
・すでに感染しているマシンにパッチを当てた場合
 MSの駆除ツールを使って駆除>>5 (先にパッチ当ててないとゴルァされます)

■トレンド、シマンテックのデータベース情報 >>12

■ちゃんとしたファイアウォールを入れましょう。解説とリンク >>3


539 :508:04/05/04 23:53
》521
何度もくだらないこときいて恐縮なのですが
PFWとはなにかのヒァイアーウォールのことでしょうか、はたまた全然違うものでしょうか?

540 :名無しさん@お腹いっぱい。:04/05/04 23:57
>>539
PersonalFireWall

541 :名無しさん@お腹いっぱい。:04/05/04 23:57
>>539
PFW=Personal Fire Wall。
つまり、パーソナルファイアーウォールのこと。
特定ソフト名のことを指しているわけではない。

542 :名無しさん@お腹いっぱい。:04/05/04 23:57
>>539
http://search.yahoo.co.jp/bin/query?p=%a5%d1%a1%bc%a5%bd%a5%ca%a5%eb%a5%d5%a5%a1%a5%a4%a5%e4%a1%bc%a5%a6%a5%a9%a1%bc%a5%eb&hc=0&hs=0

543 :532:04/05/05 00:02
>>535
教えてくださったページを見てもよく分からなかったのですが…。
ごめんなさい。初心者なもので(>_<)

544 :名無しさん@お腹いっぱい。:04/05/05 00:04
>>543

【差出人】WORM_NETSKY【詐称】
http://pc3.2ch.net/test/read.cgi/sec/1080741342/l50

ここは?


545 :名無しさん@お腹いっぱい。:04/05/05 00:05
Personal Hyaire Wall

546 :名無しさん@お腹いっぱい。:04/05/05 00:06
>>543
とりあえず、
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
を実行する。
その後ウインドウズアップデート。
http://www.trendmicro.com/jp/security/general/what/prevent/update.htm

547 :名無しさん@お腹いっぱい。:04/05/05 00:07
>>543
駆除が終わるまで、メールは開かないように。

548 :名無しさん@お腹いっぱい。:04/05/05 00:07
普段はルータを通して常時接続してるけど、今夜はたまたま出先で
ダイヤルアップ接続してる。
この2時間で41回もVB2004が警告だしやがった。こりゃひでぇ…。

549 :名無しさん@お腹いっぱい。:04/05/05 00:08
>>536
なぜか検便の話題になってるな(w

550 :544:04/05/05 00:08
>>543
まずhttp://www.trendmicro.co.jp/hcall/index.aspでオンラインスキャンして
発見されたウイルスの駆除ツールを使って駆除

551 :名無しさん@お腹いっぱい。:04/05/05 00:12
>>543
なんかみんなやさしいな・・・
けどこれくらいは自力で何とかしていかないと、これから先もっとやっかいなのが出てきたとき
対処できないよ。
これを機にもっとセキュリティに敏感になってみることを強くおすすめする。

552 :532:04/05/05 00:18
ホントみなさん優しいです。ありがとうございます。
これで出来るはずなんで、今からやってみます!!
少しずつパソコンの事を知っていかなきゃ…と実感しました…。

553 :名無しさん@お腹いっぱい。:04/05/05 00:20
>>551
禿同

もし次にウイルスに感染したら今回経験したこと活かす
まず、どういうウイルスに感染したのか調べる
http://www.trendmicro.co.jp/hcall/index.asp←ここあたり

ウイルス名がわかったら2chのスレとかサイトで詳細を調べる
http://www.trendmicro.co.jp/vinfo/virusencyclo/←こことか


まずはアンチウイスルソフトを入れるべき・・・
あとインターネットセキュリティーとか

554 :名無しさん@お腹いっぱい。:04/05/05 00:21
SASSERシリーズってNETSKYの作者たちが作ったんじゃないか?
NETSKY.ACで何か言ってるし、SASSER.Dのコピーするファイル名がskynetave.exeだし。


・・・といってみるテスト(逃

555 :名無しさん@お腹いっぱい。:04/05/05 00:27
亜種作ったのがオリジナルを作成した人だとは限らないわけで・・・
と可能性を薄めてみるテスd

556 :名無しさん@お腹いっぱい。:04/05/05 00:29
>>554
NetSkyの作者がSasserシリーズのいずれかのソースをバイナリをクラックとか
Sasser作者と何らかのつながりがあってそこから入手して
それを改造したんじゃ無かろうか 途中からそのファイル名を出すのも変な話だし

557 :554:04/05/05 00:35
しかし、NETSKY.ACのメッセージには自称NETSKY.Vと書いてあるから、普通に考えるとNETSKY.Vが出る前に作られたものであって
NETSKY.Vが出たころには当然SASSERは登場してないからオリジナルを作ったのもNETSKYの作者になるんじゃないかな?

それとも俺はNETSKYの作者に踊らされているのか?

558 :名無しさん@お腹いっぱい。:04/05/05 00:38
>>533
ルータによるんじゃね?

漏れは機器診断→ログ情報

559 :520:04/05/05 00:50
すいません。今やっとUPDATEして再チャレンジし、駆除しました。
くだらない質問して申し訳ございませんでした。

>>528わざわざ和訳ありがとうございました。
もっと知識増やさないといけませんね。お騒がせして申し訳ございません。
いきなり再起動再起動でかなり動揺してたもので・・・。

560 :名無しさん@お腹いっぱい。:04/05/05 01:06
これってMeを使っている場合関係無いんですか?

561 :508:04/05/05 01:07
コントロールパネルから接続をクリックして全ての接続のFWを開き、ノートンのFWを無効にしたのですがIEが表示できません。そもそもPFWがどれなのかもちんぷんかんぷんです。

562 :名無しさん@お腹いっぱい。:04/05/05 01:16
どうしょうも無いな

563 :532:04/05/05 01:19
>>546サンが最初に実行するって書いてる所のリンクをクリックしたら
ページが表示されませんって出てきました…

564 :名無しさん@お腹いっぱい。:04/05/05 01:23
>>560
M$は関係ないって言ってる。
マイクロトレンドは関係あるって言ってる。

565 :名無しさん@お腹いっぱい。:04/05/05 01:29
ネットワークのレスポンスが下がるってことを被害として考えたら
どんなOSも(ry

566 :名無しさん@お腹いっぱい。:04/05/05 01:32
>>561
FWとは関係なさそうな?
とりあえずIEの修復を試してみてからじゃないかな?

567 :名無しさん@お腹いっぱい。:04/05/05 01:33
ウイルスバスターでSASSER、C検出されました。
しかし削除のところが・・・いいえに先に進めん・・。どうすりゃいい?

568 :名無しさん@お腹いっぱい。:04/05/05 01:37
>>567
オンラインスキャンは検出のみ。

569 :名無しさん@お腹いっぱい。:04/05/05 01:39
>>532
買ったばかりなえら、ノートン体験版が入ってるよ。
データ更新してスキャンした?


570 :名無しさん@お腹いっぱい。:04/05/05 01:46
>>568
サンクス。まじか・・きびしいな・・しかしウイルス感染ファイル460個。
復帰にはウイルス駆除ソフト買ったほうがいいかな・・


571 :名無しさん@お腹いっぱい。:04/05/05 01:47
>>568
削除だけはできたような?
駆除はできないんじゃ?

572 :名無しさん@お腹いっぱい。:04/05/05 01:47
>>570
回線切れよ

573 :名無しさん@お腹いっぱい。:04/05/05 01:47
>>570
絶対買ったほうがいい
ってかみんなのために回線切ってください

574 :名無しさん@お腹いっぱい。:04/05/05 01:48
>>572
かぶった orz

575 :名無しさん@お腹いっぱい。:04/05/05 01:48
>>567
ttp://www.trendmicro.co.jp/download/tsc.asp
使え

576 :名無しさん@お腹いっぱい。:04/05/05 01:48
あとトレンドマイクロの製品・サービスが「ページが表示できませんだって」
こんな時に困るな・・

577 :名無しさん@お腹いっぱい。:04/05/05 01:51
【ネ申】佐々成政【佐々淳行】
http://hobby.2ch.net/test/read.cgi/warhis/1082175444/

578 :名無しさん@お腹いっぱい。:04/05/05 01:54
トレンドやシマンテックのページが表示できんとか言ってる香具師ら、
サッサ以外のウイルスの感染を疑う必要も有るんじゃないか?
MS04-011を利用するのはサッサだけじゃ無いぞ。

579 :名無しさん@お腹いっぱい。:04/05/05 01:57
そいやウイルス検出でSASSERとAGOBOTO発見したw

580 :508:04/05/05 01:57
おとといサッサーにかかったと知り、昨日ノートンを買って入れた所
IEを開くとページを表示できませんと出てきてしまいます

581 :名無しさん@お腹いっぱい。:04/05/05 02:00
>>576
私もついさっきまで表示出来なかったけど
ログを追って、追って、、、追って、、、ww
やっと表示出来るまでに至ったので、578さんが言う様に
別のウィルスの可能性があるかもしれませんよ。

と言ってる私も10個あったウィルスを12時間かけて
残り2個・・・(サッサC。これでつまづいてます)

582 :名無しさん@お腹いっぱい。:04/05/05 02:09
木曜日会社に行きたくないなぁ…

583 :名無しさん@お腹いっぱい。:04/05/05 02:11
うちはsasserとagobotが波状攻撃でくる・・・
というか、agobotの方がうちは多いな・・・

584 :名無しさん@お腹いっぱい。:04/05/05 02:12
>>582
最低限もしものために
各種Windows用パッチ 各社のウイルス駆除ツール 各社の最新ウイルス定義
の三つぐらいはCD-Rにでも焼いて持ってくのをお勧めする

585 :名無しさん@お腹いっぱい。:04/05/05 02:13
会社でport445が開いてる自体おかしいだろ

586 :名無しさん@お腹いっぱい。:04/05/05 02:14
こいつもまた亜種かなんかでどっかのサイトをDosアタックするとかなるんだろうか?

587 :名無しさん@お腹いっぱい。:04/05/05 02:15
亜種で駆除してくれるウイルスも出そうだな(w

588 :名無しさん@お腹いっぱい。:04/05/05 02:16
でも、まいどおなじみ日本語OSは除外される。と

589 :名無しさん@お腹いっぱい。:04/05/05 02:21
>>582
それぞれ3枚ずつ焼いとけよ。必ず「うちにも焼いてくれ」っていう隣の
課長とか出てくるw

590 :名無しさん@お腹いっぱい。:04/05/05 02:24
漏れの会社は
深夜か社員の出勤前にSEがチョコチョコやってくれてるから大丈夫だ

591 :名無しさん@お腹いっぱい。:04/05/05 02:25
sasser駆除ツールとか言ってNerskyを送りつけてくるメールが流れているらしい。

ウイルス除去装うメールに注意を
http://headlines.yahoo.co.jp/hl?a=20040505-00000689-jij-bus_all

あちらの話らしいが、国内でも巻き添え食らうやつ出るかもしれないな。

592 :定期貼り:04/05/05 02:26
■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続
するだけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル

■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
  LSA Shell(Export Version) has encountered a problem...
  This system is shutting down ... by NT AUTHORITY\SYSTEM
・ なんだかしらないがパソコンの反応がメチャ遅い。
・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
 してるか確認しましょう。
   http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120

■Microsoft公式ページ
・Sasser ワームについてのお知らせ
  http://www.microsoft.com/japan/security/incident/sasser.mspx
・Sasser 対策 Windows XP篇
  http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
 (XP付属ファイアウォールの詳しい使い方は >>24
・Sasser 対策 Windows 2000篇
  http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
・セキュリティ修正プログラム (835732) (MS04-011)
  http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
・すでに感染しているマシンにパッチを当てた場合
 MSの駆除ツールを使って駆除>>5 (先にパッチ当ててないとゴルァされます)

■トレンド、シマンテックのデータベース情報 >>12

■ちゃんとしたファイアウォールを入れましょう。解説とリンク >>3

593 :名無しさん@お腹いっぱい。:04/05/05 02:27
>>592
乙〜

594 :名無しさん@お腹いっぱい。:04/05/05 02:34
オンラインスキャンって矛盾してるよな・・・
長い時間ネットワークに接続させといて、ウイルス見つけても何もしない。
感染を拡大させる原因にもなる。
削除しなくてもいいのでローカルにDL&保存ができる形式にすればいいと思うのは、漏れだけ?

595 :名無しさん@お腹いっぱい。:04/05/05 02:41
このSASSARとかってウイルスバスター使えば一瞬で滅びるの?

596 :名無しさん@お腹いっぱい。:04/05/05 02:41
>>594
アホ?

597 :名無しさん@お腹いっぱい。:04/05/05 02:42
>>595
検出できない亜種もあるかもしれんが、大体できる。
でも一瞬ではない。

598 :名無しさん@お腹いっぱい。:04/05/05 02:44
>>594
確かに感染を拡大させる要因になることは確かだな

>>596
おまいがアホ

599 :名無しさん@お腹いっぱい。:04/05/05 02:45
これって
本当はサザーらしいね

600 :名無しさん@お腹いっぱい。:04/05/05 02:47
>>595
インストールしただけでは検出すらしないかも。
インストールした後アップデートを実行し最新のウイルスパターンファイルを
ダウンロードすれば、ダウンロードが完了してそれが適用された瞬間に感染して
いたSASSARは殺される。
あとは全ハードディスクを手動検索して一匹残らず隔離して作業終了。

601 :名無しさん@お腹いっぱい。:04/05/05 02:51
>>600
隔離?
削除じゃなくて?

602 :名無しさん@お腹いっぱい。:04/05/05 02:52
オンラインスキャンって検索終了した後削除の仕方どうやるわけ?



603 :名無しさん@お腹いっぱい。:04/05/05 02:56
>>602
できない。あくまでも検出のみの無料サービスだから。
ウイルスバスター2004評価版インストールすれば1ヶ月間はフル機能
使えるから削除でもなんでもできる。その後は購入するなりなんなり。

604 :603:04/05/05 02:57
スマソ。シマンテックのオンラインスキャンの後ならNIS2004の体験版でも
インストールすれば同じようにできるはず。

605 :名無しさん@お腹いっぱい。:04/05/05 03:00
私Magabit Gear TE4121C のルーター使ってるんですが・・ログってどこで見れるのでしょうか?
もし、知っていらっしゃる方が居たら教えてください すいません

606 :名無しさん@お腹いっぱい。:04/05/05 03:00
オンラインスキャンって、なんか俺の恥ずかしいファイルが
みんな表示されてるし、オンラインってことでトレンドマイクロ社員に丸見えなのかな
と思うと、使うのに躊躇して使えない。

607 :名無しさん@お腹いっぱい。:04/05/05 03:03
アップデートしてる最中に システムダウンして再起動してしまう(>_<)どうすればいいのー

608 :名無しさん@お腹いっぱい。:04/05/05 03:12
>>607
shutdown -a

609 :名無しさん@お腹いっぱい。:04/05/05 03:21
Microsoft純正Sasser駆除ツール
ダウソ http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
使い方 http://support.microsoft.com/?kbid=841720
事前にパッチを当てなかった(感染した)やつは非国民
http://www.soumu.go.jp/s-news/2004/040426_2.html

610 :名無しさん@お腹いっぱい。:04/05/05 03:21
↑どういう意味?

611 :名無しさん@お腹いっぱい。:04/05/05 03:27
いつになったらレッドコード、ブラスターの教訓が生かされるんだろうか?

612 :名無しさん@お腹いっぱい。:04/05/05 03:31
せんせい!れっどこーどってなんですかぁ〜?

613 :名無しさん@お腹いっぱい。:04/05/05 03:32
LAN側からWAN(インターネット)側へアドレス変換して通信した時の情報を表示します。で

漏れの端末→202.129.29.108 HTTP(TCPポート:80)

ってのはなんだろう?

614 :名無しさん@お腹いっぱい。:04/05/05 03:34
>>611
人は同じ過ちを繰り返すものですよ。
それで成り立つ職業も多いのです。

615 :名無しさん@お腹いっぱい。:04/05/05 03:37
パッチを当てていない。尚且つ、ファイアーウォールなども導入していない。
世の中、ごみパケットが飛び回ってまんがな。こう言うのって、損失利益って言うのかな?
きっと、何十兆円だよ。

616 :名無しさん@お腹いっぱい。:04/05/05 03:39
>>613
夜中なのにタイカレー食べたくなった。。。

617 :名無しさん@お腹いっぱい。:04/05/05 03:59
C:\RECYCLER\S-1-5-18\Dc1.exe は W32.Sasser.C.Worm に感染しています。
C:\RECYCLER\S-1-5-18\Dc2.exe は W32.Sasser.C.Worm に感染しています。

み・・・みつけられない・・・
アフォだ・・・自分

618 :名無しさん@お腹いっぱい。:04/05/05 04:11
>>617
RECYCLERフォルダをリネームしてから、削除する。
フォルダオプションでシステムファイルを表示する。

619 :名無しさん@お腹いっぱい。:04/05/05 04:22
>>613
NATだよ

620 :名無しさん@お腹いっぱい。:04/05/05 04:26
>>617
1.マイコンピューターを右クリック、プロパティ
システムの復元タブの「すべてのドライブでシステムの復元を無効にする」
にチェック。OKでプロパティを閉じる。

2.対象ファイルを削除。

3.マイコンピューターを右クリック、プロパティ
システムの復元タブの「すべてのドライブでシステムの復元を無効にする」
のチェックを外す。OKでプロパティを閉じる。

621 :名無しさん@お腹いっぱい。:04/05/05 04:28
RESTORE≠RECYCLER

622 :620:04/05/05 04:32
>>621
今見て気付いたよ orz
スレ汚しスマソ

623 :617:04/05/05 04:40
皆さん、ありがとうございます。
先程から一生懸命探しているんですが、RECYCLER自体が
見つからずに困っております・・・
1-5-18というのは見つけたんですが、対象となるモノも
見つからず・・・(検索、レジストリなどで探しています)

624 :名無しさん@お腹いっぱい。:04/05/05 04:47
>>623
C:\RECYCLER〜はゴミ箱の中だ。
削除したヤツが引っかかってるって事だな。
PCから見ると
[ ごみ箱\ファイル名.exe ]だが
オンラインスキャンでは
[ RECYCLER\S数字\Dc数字.exe ]と表示されるはず。

625 :名無しさん@お腹いっぱい。:04/05/05 04:51
必死にshutdown -aを叩きながらうpデート中(w

626 :名無しさん@お腹いっぱい。:04/05/05 04:54
>>623
隠しフォルダ属性も付いているぞよ

627 :名無しさん@お腹いっぱい。:04/05/05 04:56
>>625
サービスの設定から、svchostをエラー時に再起動しないに設定すればいいのに。

628 :名無しさん@お腹いっぱい。:04/05/05 04:59
bat作ればいいのに

629 :617:04/05/05 05:04
>>624
>>626さん
ありがとうございます。
ごみ箱が空になってる状態でスキャンしたので、
削除したつもりが削除されずにどこかにある、という事で
しょうか・・・
もう15時間この作業に費やしてるあほです

630 :名無しさん@お腹いっぱい。:04/05/05 05:09
ALL初期化の方が速そう

631 :名無しさん@お腹いっぱい。:04/05/05 05:10
>>629
C:\RECYCLER\S-1-5-18\
をアドレスバーに貼り付けるとかじゃ無理なんですか?

632 :617:04/05/05 05:16
>>631
おお!!ありがとうございます!
「隠しファイル」として出て参りました。
・・・・・・・・(涙)

633 :名無しさん@お腹いっぱい。:04/05/05 05:23
ポート135に来るのはagobotですか?

634 :617:04/05/05 05:48
隠しをといたものの、0個のオブジェクト・・・0バイト
一体彼らはどこへ行ってしまったものやら・・・

635 :287:04/05/05 06:43
イギリス沿岸警備隊で大々的にやられたと

BY NHK RADIO

636 :名無しさん@お腹いっぱい。:04/05/05 06:43
SASSERだけに
さっさと解決してくれ

637 :名無しさん@お腹いっぱい。:04/05/05 06:51
>>634
フォルダオプション→表示タブの
すべてのファイルとフォルダを表示するにチェックしても出てこない?

638 :287:04/05/05 07:01
>>634
ゴミ箱のトラブルなら、何でもいいからいらないファイルを1つ
ゴミ箱に入れる(そのファイルを削除する)
それからゴミ箱を空にすると治るよ (XPの場合)


639 :名無しさん@お腹いっぱい。:04/05/05 07:02
これWindows2000Serverにも当然感染するんだよね?
マイクロソフトの修正パッチのページにはWindows2000SP2〜SP4と記されたパッチしかないけど
こいつを適用すればいいのかな。
2003Serverのパッチは個別にあるんだけど。

640 :名無しさん@お腹いっぱい。:04/05/05 07:32
XP のFWが駄目なケースもあるだろ。
Blasterのときにもあったよな。
XP FWは、XPのTCP/IPが起動してから起動される。
このタイムラグの間に感染するケースがあった。
(だからXP Sp2で改良点となった)

アホーとかにモデムで直結しているケースはがいとうする。
フレッツ接続ツールとかPPPoE接続認証の時は平気だと思うがな。

ちなみに、以前トレンドに聞いたことがあるが、同様の危険は
あるそうだ(バスターのFW起動順番まで わからん ということ)


641 :名無しさん@お腹いっぱい。:04/05/05 07:34
俺MEなんだけどネットに繋いだらsasserがどうとか英語ででてきたYO!
(ノД`)コワイヨー

642 :名無しさん@お腹いっぱい。:04/05/05 07:42
内閣官房・警察庁・総務省・経済産業省による勧告
http://www.soumu.go.jp/s-news/2004/040426_2.html
を無視して感染したやつは
イラクは危険だから渡航を自粛するよう勧告されても
のこのこ出かけて拉致されるやつと同じだ。
「自己責任」で直せよ?

643 :名無しさん@お腹いっぱい。:04/05/05 07:47
>639
2000は2000Serverと2000Proを、XPはXPProとXPHomeを指す。
字を見ればわかるだろ?

644 :287:04/05/05 07:50
>>641
How to Protect Yourself from the Sasser Worm and Other Attacks

とか出たんなら、マイクロソフトからのメッセージで対策をしれという警告だわ

645 :名無しさん@お腹いっぱい。:04/05/05 07:52
なんか、自分のメアドを件名に入れて来るよね。
だからメールサーバの設定で、自分のメアドが件名に含まれる
メールを受信しないで削除するように設定したら
送られて来なくなったよ!サッサがアホで助かった。。。

646 :名無しさん@お腹いっぱい。:04/05/05 07:55
>>640
そうか、今までフレッツ接続ツールは余計だと思いつつ使っていたが、
いいところもあるんだね。(XP Home)
あ、パッチは当ててます。Norton AntiVirusも常駐。

647 :名無しさん@お腹いっぱい。:04/05/05 08:08
>>644
アリd
それなら気にしなくていいね
ヽ(´ー`)ノ

648 :640:04/05/05 08:28
>>646
フレッツ接続ツールとかを使える状況になったときは、
FW起動後のはずだからということかな・・

649 :名無しさん@お腹いっぱい。:04/05/05 08:45
Windows起動時にはネットに接続せず、その後に手動で接続することに
していて、その接続先に対してはXPのFWを適用する、という設定に
なっていれば、隙はないですかね?
(つまり、接続はされているがFWが起動されていない瞬間があるかどうか)

650 :名無しさん@お腹いっぱい。:04/05/05 09:58
>>645
?


651 :名無しさん@お腹いっぱい。:04/05/05 10:02
>>645
??


652 :名無しさん@お腹いっぱい。:04/05/05 10:08
645 名前:名無しさん@お腹いっぱい。 投稿日:04/05/05 07:52
なんか、自分のメアドを件名に入れて来るよね。
だからメールサーバの設定で、自分のメアドが件名に含まれる
メールを受信しないで削除するように設定したら
送られて来なくなったよ!サッサがアホで助かった。。。

653 :名無しさん@お腹いっぱい。:04/05/05 10:30
ルータのログ見てたら、SQLSlammerってまだうろついていたのね。
サッサは昨日よりか減ったよ。

654 :640:04/05/05 10:39
>>649
わからん
だれかわかる人回答キボーヌ

655 :名無しさん@お腹いっぱい。:04/05/05 10:54
うちの会社のLAN、XPのファイアウォールをONにするとネットに接続できなくなる。
個人パソコンにPFW入れてない香具師もいるし。
別のパソコンで修正パッチや駆除ツールをダウンロードしてCD-Rに焼いて、1台ずつ回るしかないか。
うちの管理者、ブラスターの教訓を活かしていない・・・。

ところで、ネットにつながないでMS04-011の修正バッチが適用されているか確認する方法ってありますか?。
WindowsUpdateの「インストールの履歴の表示」ではネットにつながないと確認できないんですが。

656 :名無しさん@お腹いっぱい。:04/05/05 10:59
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
っていう場所が存在しないんですけど。
ネットにつないだ直後にシャットダウンされるわけでもないしサッサーじゃないんですかね?

657 :定期貼り:04/05/05 10:59
■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsのupdateしてないパソコンはネットに
接続するだけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル

■こんなんなったらサッサーにやられてます。
 ・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
   LSA Shell(Export Version) has encountered a problem...
   This system is shutting down ... by NT AUTHORITY\SYSTEM
 ・ なんだかしらないがパソコンの反応がメチャ遅い。
 ・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
  してるか確認しましょう。
   http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120
■Microsoft公式ページ
 ・Sasser ワームについてのお知らせ
   http://www.microsoft.com/japan/security/incident/sasser.mspx
 ・Sasser 対策 Windows XP篇
   http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
   (XP付属ファイアウォールの詳しい使い方は >>24
 ・Sasser 対策 Windows 2000篇
   http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
 ・セキュリティ修正プログラム (835732) (MS04-011)
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
 ・すでに感染しているマシンにパッチを当てた場合
  MSの駆除ツールを使って駆除 >>5 (先にパッチ当ててないとゴルァされます)
■トレンド、シマンテックのデータベース情報 >>12
 ・ SASSERに感染するようなうかつなパソコンは他のウィルスにもやられてる鴨
  行ったついでにオンラインスキャンしておきましょう。
■ちゃんとしたファイアウォール入れれ。解説とリンク >>3

658 :名無しさん@お腹いっぱい。:04/05/05 11:02
>>655
「プログラムの追加と削除」に出るはず。
「ホットフィックス KB835732」っていうやつがあればパッチ適用ずみ

659 :名無しさん@お腹いっぱい。:04/05/05 11:05
>>656
それがレジストリー内にないはずはない。
エクスプローラーでファイルを見てたりしてね。ははは

660 :656:04/05/05 11:07
すいません。間違いです。見つからないのは
avserve.exe = %Windows%\avserve.exe
こっちのファイル自体です

661 :名無しさん@お腹いっぱい。:04/05/05 11:10
>>649
つまり、「ローカルエリア接続」を無効、XPのファイアウォールを有効
にした状態でOS立ち上げて、「ローカルエリア接続」を有効にしたら、
という話か? 

Win2Kなんで実験できないが、それでXPのFWが接続に成功するならOK
だろう。FWによってはFWの起動時にLAN接続が有効になっていないと
以後LANを認識しないものもある。

662 :640:04/05/05 11:14
>>661
XPだと、作成したダイヤルアップネットワーク(PPPoEもここにはいる)
ごとにFWを つける/付けない を設定できるのねん

>>649はそのことだとおもう


663 :名無しさん@お腹いっぱい。:04/05/05 11:38
Outpostは設定、運用が適切ならWindowsのコアのスタートとほとんど
同時に保護が開始されます。くわしい情報は…

まとめサイト
 システムルールの設定
http://www.geocities.jp/outpost_2ch/setting.html#2
 「念のため全部遮断ルール」が必要な理由
http://www.geocities.jp/outpost_2ch/faq.html#22

専用スレ
Agnitum Outpost Firewall part15
http://pc3.2ch.net/test/read.cgi/sec/1079512402/


664 :名無しさん@お腹いっぱい。:04/05/05 11:40
さっきまでシマンテックいけなかったが、やっと評価板ダウンロードのとこまできた・・
いけるかも。これで進める。あと>>12のSasser ウイルスに関する情報 Windows XP 編(Microsoft)
ってのにも対策法かいてあるんだけどこれってソフトとか使わないようだけどしっかり
駆除できるの?

665 :名無しさん@お腹いっぱい。:04/05/05 11:43
>>664
ActiveXコントロールとは、プログラムそのものの事だ。

666 :名無しさん@お腹いっぱい。:04/05/05 11:46
>>655
社内LAN内のPCをチェックするのなら、↓こんなツールもあるぞ。
http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/dsscan.htm

667 :名無しさん@お腹いっぱい。:04/05/05 11:58
感染してなかった(´・ω・`)
パッチも当ててノートン先生も常時フル活動
このままだとノートン先生がCPU乗っ取って心中する。・゚・(ノ□`)・゚・。

668 :名無しさん@お腹いっぱい。:04/05/05 12:01
9x系や、ソフトウェアPFWを適切に導入すれば安全というのは
わかるのだが、笹に感染しないとはいえ、やはりポートを猛烈
に叩かれるとPCに負荷がかかるわけだから、ルータ(安物で上
等)を導入するのが正しい。

669 :名無しさん@お腹いっぱい。:04/05/05 12:06
ノートンはインストールするものじゃない

670 :名無しさん@お腹いっぱい。:04/05/05 12:07
>>655
つーか、ルータで445塞いでないの?

671 :名無しさん@お腹いっぱい。:04/05/05 12:08
Nortonもパッチもアップデートもしたけど
パソコン綱ぎっぱましだったらどうなるの?

672 :名無しさん@お腹いっぱい。:04/05/05 12:10
>>668
ノートンに金払うくらいなら3千円くらいのルータ入れてフリーの
アンチウィルス、ファイアウォール、アンチスパイを入れた方が
有効というならそのとおりw ただ初心者は金払うこと自体に安心
を感じるわけで…

673 :名無しさん@お腹いっぱい。:04/05/05 12:19
>>668
うむ、うちはコレガの安物(3000円)ルータだが、値段の割にはよく働いてくれるわい。

674 :名無しさん@お腹いっぱい。:04/05/05 12:30
ええええええええっ! 今ルーターそんなに安いのか!!!

675 :672:04/05/05 12:32
>>673
実はウチとこもそれだwww あまりの安さにダメモトで買ったが、
もう2月ぐらいとくに問題なく動いてる。

676 :名無しさん@お腹いっぱい。:04/05/05 12:41
WORM_AGOBOT.IMに感染したのですが、概要のページ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.IM#solution
が英語で、翻訳サイトに行っても何故か翻訳されず、対応方法が分かりません。
"Trend Micro Damage Cleanup Services"に行こうとしても
「ページが表示されません」というのが出てきます。
どうすればいいのでしょうか?

677 :名無しさん@お腹いっぱい。:04/05/05 12:48
スレ違い。ここはSasser専用スレだ。

ついでに言うと翻訳サイトに文章コピペするとか
辞書と睨めっこするとかできんのかキミは。

678 :名無しさん@お腹いっぱい。:04/05/05 12:49
よし評価板ダウンロード完了・・あと少しで駆除できる・・眠い・・

679 :名無しさん@お腹いっぱい。:04/05/05 12:53
>>677
スレ違いでしたか…。ごめんなさい…。
私はsasserという意味をよく知らなかったんで…。今度から気をつけます。
時間がないんです。至急正常なパソコンが必要なんで、
辞書とかひいてるヒマないです…。

680 :名無しさん@お腹いっぱい。:04/05/05 13:03
ここに書き込むヒマはあるのか。帰れ。

681 :名無しさん@お腹いっぱい。:04/05/05 13:07
>>679
こっちで聞け…同じこと言われるかもしれんがw
【正式】ウィルス情報&質問 総合スレッド☆Part19
http://pc3.2ch.net/test/read.cgi/sec/1083586576/

682 :名無しさん@お腹いっぱい。:04/05/05 13:16
つーか感染する奴が池沼

683 :名無しさん@お腹いっぱい。:04/05/05 13:22
>>680
ここに書き込むヒマがある…てか、初心者の私が自分だけの力で
ウイルスを駆除するより、詳しそうな人が多いここで聞いたほうが
早く解決すると思ったんで…。他力本願な人間でごめんなさい。
もうこのスレには来ないんで安心してください。
>>681
ありがとうございました。

684 :名無しさん@お腹いっぱい。:04/05/05 13:52
>672-673
ヽ(゚∀゚)メ(゚∀゚)メ(゚∀゚)ノナカーマ

ウチはMSBLAST騒ぎの直後にADSLにしたから
こんな安モンで大丈夫かと心配だったけど、
未だに良く働いてるw

685 :名無しさん@お腹いっぱい。:04/05/05 14:07
13500叩いてくるやつが異常に増えたな。
おまいらのルータorFWのログはどうですか?

686 :名無しさん@お腹いっぱい。:04/05/05 14:14
60210?

687 :名無しさん@お腹いっぱい。:04/05/05 14:25
TCP: 135,445,1025,1433,2745,3127,6129
UDP: 137,1434
いまんとここんなパケットが多い

688 :名無しさん@お腹いっぱい。:04/05/05 14:27
>>685
うちは相変わらず、3127、6129、1025、2745が定期的に叩かれてるが
昨日の夜中位から20088を叩くのが増えてきた。

689 :教えてください:04/05/05 14:37
サッサーに感染した場合に、最新の定義ファイルでスキャンすれば、
ウィルスは削除されるけど、追加されたレジストリの情報も削除
されるのですか?

690 :名無しさん@お腹いっぱい。:04/05/05 14:39
遅レスですが
>>658
サンクス!。これで手間がかなり減りそうです。

>>666
自分はサーバに触れる身分じゃないし、IPアドレスは全部署を1台のDHCPで割り振ってるから、せっかくの
便利なツールも使えない。別の部署で英語の警告が出たらパニックだろうしw。

>>670
外からのは塞いでいるはずだが、GW中に自宅で感染したPCを社内LANにつなぐ香具師がいると思う。
ブラスターのときもそれにやられたし。

691 :名無しさん@お腹いっぱい。:04/05/05 14:40
>>690
>>655です。スマソ

692 :名無しさん@お腹いっぱい。:04/05/05 14:49
>>689
レジストリの改ざんまで面倒を見てくれるセキュリティソフトは少ない。
感染する前ならファイルを検出してそれが起動する前に駆除してしまえば
問題ないけど一旦感染してしまった状態ならファイルを削除しただけでは
Runレジにゴミが残る。

693 :649:04/05/05 15:12
>>662の通りのことがききたかったのでした。
今のPCは2月末に買い換えて、初めてXPになったんですが、ちょうどすぐ
NTT西のグリッド実験のBio@Homeに参加したので、フレッツ接続ツールを
使ってマルチセッションを組みました。1つは今までのプロバイダBIGLOBE、
もう1つがグリッドのネットワークですが、これは(詳しいことは判らないが)
インターネットと違うらしいので、そっちにはFWは当てず、BIGLOBEの方だけ
FWを当てる、という設定で来たのです。
グリッドはもう期間が終わったのでその接続は削除したんですが、こういう
1つ1つの接続に対してFWをつけるつけないを個別に設定する方式だと、
何だか まず接続する→それからFWを被せる、みたいな感じがするんです。
そうでなくて先にFWがあって、それに接続要求を通して接続を確立する、
というのなら隙はないと思うんですが。
(サッサと直接関係ないし、ネットのことをもっと勉強しないと聞いてもよく
判らないと思うのでこれぐらいにします。失礼しました)

694 :教えてください:04/05/05 15:12
>692
レスありがとうございます。
自分もその様に思ったのですが、マイクロソフトのサッサー駆除ツールの
ページ(http://support.microsoft.com/?kbid=841720)に、”ほとんど
の場合、ウイルス対策プログラムを最新の状態にすることで、このワームを
駆除することが可能です。” って書いてあるので、レジストリも削除してくれる
のかな?って思ってしまいました。やはり感染していたら、駆除ツールで駆除
するか、手動で削除するしかないということですよね?


695 :名無しさん@お腹いっぱい。:04/05/05 15:18
ネットワーク経由でパッチを適用する場合、その適用処理中に
Sasserにやられて、パッチ適用が完了する前にWindowsが再起動
してしまうことがあるようです。
その結果システムファイルが正しく更新できず、結果として
Windowsが起動しないトラブルが発生するケースがあるらしい。
以下のページあたりからまとめると、
http://www.f-secure.com/weblog/
http://www.securitytracker.com/alerts/2004/Apr/1009751.html

回避手順
1. %SystemRoot%\Debug\dcpromo.log を読み取りアクセス権限で作成する。
2. MS04-011パッチを適用
3. dcpromo.log を削除
4. PC再起動

696 :名無しさん@お腹いっぱい。:04/05/05 15:24
当方Xguardと言うセキュリティソフト(フリー)使っているんですが、
Outpost等に乗り換えた方がいいですか?


697 :名無しさん@お腹いっぱい。:04/05/05 15:29
>>695
サッサのプロセスを先に終了させておいても、パッチ適用処理中に再起動してしまうのですか?

698 :名無しさん@お腹いっぱい。:04/05/05 15:45
>>696
もっと詳しく環境をかかないとなんとも言えない。
例えば、ルータ使ってるんだったらXガドで無問題。

699 :名無しさん@お腹いっぱい。:04/05/05 15:52
>>697
オレが経験した限りでは、タスクマネージャでavserve2.exeを
止めようとしても蹴られてしまった。他にテクニックがあるのかもしれんが。

700 :名無しさん@お腹いっぱい。:04/05/05 16:04
>>698
すいません、ルータ使っているから大丈夫ですね、有難うございます、
XガドのFWにポート拒否しておいた方がいいですよね

701 :名無しさん@お腹いっぱい。:04/05/05 16:06
ルータのほう、ちゃんと設定できてますか?
そっち固めるのが先決ですよ。
SPI・アタックブロック等有効になってますか?

702 :名無しさん@お腹いっぱい。:04/05/05 16:47
私は大学でヘルプデスク業務をしているのですが、Sasser対策ツールで
http://www.lac.co.jp/security/jsoc/tool/SNS_ABM.html
みたいなものってありますか?

大量のPCを次から次へとチェック・対策していくには結構使いやすい
ツールだったんですが…

703 :名無しさん@お腹いっぱい。:04/05/05 16:49
>>702
まず、大学内にsasserを解き放て
そして感染したものを洗い出して対処すればいい

704 :名無しさん@お腹いっぱい。:04/05/05 16:58
すいません、質問です




 ル ー タ っ て な ん で す か ?






705 :名無しさん@お腹いっぱい。:04/05/05 17:01
>>704
ネタ? じゃなかたら検索汁

706 :名無しさん@お腹いっぱい。:04/05/05 17:02
言っていいですか?。「逝ってよし」って。

707 :名無しさん@お腹いっぱい。:04/05/05 17:06
>>704
中に人が入っていて、「いつものHな画像は田中だし」「このメールはおまいだし」
とか言って汗水流して振り分けてんだよ!
機嫌悪いと「もうあげない!」なんちって弾くんだよ。わかったれすか?

708 :名無しさん@お腹いっぱい。:04/05/05 17:07
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
を自分が既に当ててるかどうかってわかる?
アップデートやって重要な更新に何もなければおk?

709 :名無しさん@お腹いっぱい。:04/05/05 17:08
>>707
704じゃないけど、凄くよくわかった

710 :名無しさん@お腹いっぱい。:04/05/05 17:12
ルーター買ってセットしましたが
設定がお任せみたいなのがデフォルトなんですけど、
敢えてカスタム化しなければ駄目なんでしょうか?
あまり詳しくないので、訳の判らない設定にちょっかい出す勇気が湧きません。
標準設定では駄目なんでしょうか?
xpホームエディションでNECのpcgateでファイアーウォール設定して
マカフィーのウイルススキャンで防備しております。
ルーターはバファローのBBRー4MGという安い有線式です。


711 :名無しさん@お腹いっぱい。:04/05/05 17:14
>>710
アタックブロックって設定があればONにする


712 :名無しさん@お腹いっぱい。:04/05/05 17:29
ルータ無しでモデムのみの場合どうすれば防げますか?
アップデートを利用しようとしたのですが、現在利用可能な重要な更新はありません、となっているんですが・・・・・・
自動更新した覚えも無いので・・・・・・・つД`) タスケレ !!

713 :名無しさん@お腹いっぱい。:04/05/05 17:31
>>708
アップデートの左側に、その他のオプション「インストールの履歴を表示」って
あるでしょッガ。

714 :名無しさん@お腹いっぱい。:04/05/05 17:31
>>712
自動更新でインスコされてるんじゃない?

715 :名無しさん@お腹いっぱい。:04/05/05 17:32
>>712
自動更新は設定によっては、気付かないうちにインストールされてる場合あるぞ

716 :名無しさん@お腹いっぱい。:04/05/05 17:32
>>712
Windows9X・MEは対象でないかもです。

717 :名無しさん@お腹いっぱい。:04/05/05 17:35
>>716
過去ログ見れ

718 :名無しさん@お腹いっぱい。:04/05/05 17:37
>>712
オイラも現在利用可能な重要な更新はありませんってなった。
アップデートの自動更新はしないようにしてたのに・・・。

719 :名無しさん@お腹いっぱい。:04/05/05 17:40
騒いでるのは9x小僧か

720 :712:04/05/05 17:43
>>714>>715
更新の履歴見てみたら

4月16日にWindows XP 用セキュリティ問題の修正プログラムってのが入っていました

(KB835732)
(KB828741)
(KB837001)
の修正プログラムが自動更新されていました

同じく16日に
Q831167 : 重要な更新
OESP1の累積的な修正プログラム(KB837009)
が更新されていました・・・・この更新だけでいいのでしょうか?

721 :名無しさん@お腹いっぱい。:04/05/05 17:44
9xはサッサは大丈夫じゃなかったか?

722 :716:04/05/05 17:45
>>717
過去ログって、Part1れす。。
アナウンスではWin2k/XPになってるけど、トレンドの手動削除手順の中に
Win9X/MEのケースがあるのは? それで・・「かも」なんす。

723 :名無しさん@お腹いっぱい。:04/05/05 17:45
835732さえ入っていればサッサに対しては安全です。

724 :717:04/05/05 17:48
>>722
マチガエターヨウツダシノウ・・・・・・・

>>287
>>291


725 :712:04/05/05 17:50
>>723
そうですか、 (´ー`)y─┛~~ヨカッタヨカッタ
教えてくれた方ドモです

726 :名無しさん@お腹いっぱい。:04/05/05 17:54
というか、少なくともここ見てる感染してるヤシ(ROM込み)だけでもFWくらい何とかしてでも使えよ。
それだけでも、被害の何パーセントかは減らせるだろうに。

つーか、感染者のポートって大解放状態なんだよな。
別の意味で危険だと思うぞ・・・

727 :名無しさん@お腹いっぱい。:04/05/05 17:55
このスレは親切で涙が出るほど良いスレでつ。
http://life3.2ch.net/test/read.cgi/kankon/1083655645/
より感動しまsつ。
ハィ、次の方ど〜ぞ!

728 :名無しさん@お腹いっぱい。:04/05/05 17:55
串の踏み台が減るのは困る。

729 :名無しさん@お腹いっぱい。:04/05/05 17:58
ガイシュツだが、Windowsの更新は「プログラム(アプリケーション)の追加と削除」
に「ホットフィックス KB835732」のように出る。

730 :i82550:04/05/05 18:07
FWでポート塞いでやった

731 :名無しさん@お腹いっぱい。:04/05/05 18:16
荒らし板は通報せよ!荒らし狩りだっ!
愛と荒らしの掲示板(逃亡先):http://bbs10.otd.co.jp/286214/bbs_plain
逃げても無駄だぜ!
ツーかぁ?ばーか!



732 :名無しさん@お腹いっぱい。:04/05/05 18:17
>>727
どんなんかと思ってみてきたら・・・
確かにある意味感動だな。
こういうの見ると2chってまんざらでもないな・・・とか思うんだよな。

スレ違い失礼・・・次の方元気にいってみよう!

733 :名無しさん@お腹いっぱい。:04/05/05 18:20
科学雑巾おそるべし

734 :名無しさん@お腹いっぱい。:04/05/05 18:21
>>733
今じゃ10枚で200サッサだよ。

735 :名無しさん@お腹いっぱい。:04/05/05 18:26
今のところサッサのせいでネット全体が重くなるというほどではないようだけど、
MSのアップデートは重くなっているんだろうな。
(俺はすぐやったから今の様子は知らん)
連休明けでまた感染が広がるとすれば、みんなが騒いでいる間にもう5月の
定例パッチが来るだろ。
ここでまた大物の脆弱性が明らかになって、そのパッチがまた糞でXPを含め
これを当てたWindowsがみな青息吐息の状態になるようなことになってみろw

736 :名無しさん@お腹いっぱい。:04/05/05 18:27
今日はポート445が賑やかです。
3日-----------
4日-----
5日---------------


737 :名無しさん@お腹いっぱい。:04/05/05 18:41
パソコンつけっぱなしでもげ平気ですか?

738 :名無しさん@お腹いっぱい。:04/05/05 18:50
>>702
http://www.foundstone.com/index.htm?subnav=resources/navigation.htm&subcontent=/resources/proddesc/dsscan.htm
こんなのどう?

739 :名無しさん@お腹いっぱい。:04/05/05 18:57
ノートン先生で完全防御
パッチも当てて無問題
でも胸がどきどきするの(´・ω・`)
まだ安全じゃなかったりする?

740 :名無しさん@お腹いっぱい。:04/05/05 18:58
>>739
あと、ルーターさえあれば文句なし

741 :名無しさん@お腹いっぱい。:04/05/05 19:06
>>673
Coregaの低価格帯ルーターが、ですか?
頻繁に接続が切れるので
ネットからは隔離されて安全とは言えますが・・・。

742 :名無しさん@お腹いっぱい。:04/05/05 19:07
どなたか詳しい方、お教え下さい。
ルータのログ見たら

2004/05/05 18:51:58 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.7 : 1086 > 222.2.42.192 : 7788 (IP-PORT=6)
2004/05/05 18:52:09 NAT TX-INFO TCP Synchronize Flag OFF : TCP 192.168.0.7 : 1086 > 222.2.42.192 : 7788 (IP-PORT=6)
2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0)
2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0)
2004/05/05 18:54:25 IP_Filter REJECT UDP 192.168.0.2:138 > 192.168.0.255:138 (IP-PORT=0)
2004/05/05 18:54:52 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6)
2004/05/05 18:54:55 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6)
2004/05/05 18:55:01 NAT RX Not Found : TCP 210.92.51.237 : 1520 > 210.170.223.37 : 2745 (IP-PORT=6)
2004/05/05 18:59:53 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 18:59:56 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:00:02 IP_Filter REJECT TCP 217.85.38.67:3749 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:02 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:05 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:08 NAT RX Not Found : ICMP 168.11.165.1 > 210.170.223.37 (IP-PORT=6)
2004/05/05 19:02:11 IP_Filter REJECT TCP 61.177.220.160:3569 > 192.168.0.1:445 (IP-PORT=6)
2004/05/05 19:02:26 NAT RX Not Found : ICMP 80.120.160.244 > 210.170.223.37 (IP-PORT=6)

となっていたんですが、これはキチンと防御されてるんでしょうか?

743 :名無しさん@お腹いっぱい。:04/05/05 19:09
>>742
自分のIP晒してまで・・・(ry

744 :名無しさん@お腹いっぱい。:04/05/05 19:11
りじぇくと

745 :742:04/05/05 19:14
>>743
もうIPが変わってますんで、いいんですが
恥を承知で教えていただきたいもんで…

>>744
REJECTは心配ないんでしょうか?無知ですんません…

746 :名無しさん@お腹いっぱい。:04/05/05 19:15
cmd.ftpは消しちゃってもいいですか

747 :名無しさん@お腹いっぱい。:04/05/05 19:17
>>742,745
まぁ塞げてる

748 :名無しさん@お腹いっぱい。:04/05/05 19:18
>>742
問題なし

749 :742:04/05/05 19:19
>>747さん

レスありがとうございます。そうですか…
「まぁ」というのが何かビクビクですが (((( ;゜Д゜)))

750 :742:04/05/05 19:21
>>748さん
レスありがとうございます。少しホッとしました。

751 :名無しさん@お腹いっぱい。:04/05/05 19:28
>>738
おそらくそのツールはフル活用でしょう。Blasterの時もネットワーク上で検索かけて、
NetBIOSマシン名(通常ユーザIDになっている)を叫んでまわって対策してました。

問題なのは自発的にチェックを受けに来た人をいかに早くチェックするかなのですが…
パッチがあたっているかのチェックと、感染の有無、亜種の判別、駆除までオフラインで
実行可能なツールなんてないでしょうか?

752 :名無しさん@お腹いっぱい。:04/05/05 19:32
>>751
W32.Sasser 駆除ツール
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html

753 :名無しさん@お腹いっぱい。:04/05/05 19:33
NECのWARPSTARシリーズはログが赤文字以外は大丈夫のはずだけど>>742

754 :742:04/05/05 19:43
>>753さん
えっとNECのDR202Cです。WARPSTARじゃなく
確かダイレクトスターだったと思います。

755 :名無しさん@お腹いっぱい。:04/05/05 19:55
氏万テック見れない…

756 :名無しさん@お腹いっぱい。:04/05/05 19:57
KB835732がインストールできません。
インストールしようとしても
ファイルまたはヂレクトリを作成できません
になってしまいます。
どうしてれすかね?

757 :753:04/05/05 20:04
>>754
そうでしたか、それは失礼・・・


758 :名無しさん@お腹いっぱい。:04/05/05 20:06
>>756
それ以前の更新が入ってないんじゃないの?
それとOSやら情報全部秘密だとレスのしようがない。

759 :742:04/05/05 20:10
>>757さん
いえいえ、あやまるのはコチラの方で(汗
同じNEC製なのでDR202Cも赤字になるのかな…
も少し勉強してみます。ありがとうございました。

760 :名無しさん@お腹いっぱい。:04/05/05 20:11
>>754
俺も同じDR202Cっす。設定ツールDIRECTSTARのパケットフィルタ設定の種別
「拒否」を 見れば初期値でちゃんと「445」拒否になってるよ。安心して寝よ〜。

761 :名無しさん@お腹いっぱい。:04/05/05 20:15
756れす
OSはXPです。
パソコン初心者でぜんぜんわかんないんです。
このレスの最初の方のやり方でシャットダウンは
しなくなったんですが、KB835732のインストールだけ
できないんです。

762 :742:04/05/05 20:15
>>760さん
。・゚・(ノД`)・゚・。  ありがたきアドバイス。多謝です。

763 :名無しさん@お腹いっぱい。:04/05/05 20:28
>761
windows updateしたときに上げるスレ 13
http://pc5.2ch.net/test/read.cgi/win/1081932957/
windows updateしたときに上げるスレ 14
http://pc5.2ch.net/test/read.cgi/win/1083647775/
Windows Update失敗したらageるスレ 6
http://pc5.2ch.net/test/read.cgi/win/1083512923/

とりあえず全部読んできなさい

764 :名無しさん@お腹いっぱい。:04/05/05 20:32
明日は会社がどんな事になっているか。
よんよんごぉ〜、よんよんごぉ〜!止めとめ!とかコダマしてんのかなぁ・・

765 :名無しさん@お腹いっぱい。 :04/05/05 20:33
SASSERの症状がでたので、ここのスレと同じ対処して
なんとかシャットダウンもなくなり、ネットも見れるようになったんですが
PCがやけに重く、アプリケーションが勝手に動いてるみたいです。。
これってまだウィルス残ってるんでしょうか?


766 :名無しさん@お腹いっぱい。:04/05/05 20:35
>>765
駆除はしたんか?FWは?

767 :名無しさん@お腹いっぱい。:04/05/05 20:35
sasserよりもAGOBOTが・・攻撃してくる・・

768 :名無しさん@お腹いっぱい。:04/05/05 20:36
>>742
安心汁!!
ログが残っているということは
防御してるという証拠だ

769 :名無しさん@セカンドマシーン:04/05/05 20:39
ルータ使用しているので安全だとは思ったのですが
念のためMSのパッチを入れました。
2日くらいは起動したのに今日の朝から全く起動しません。
OSは2000なんですけど、これはサッサーとは関係ないんですかね?

770 :名無しさん@お腹いっぱい。:04/05/05 20:40
なんか初心者スレになってるな
どっかで誘導されてるのか?

771 :名無しさん@お腹いっぱい。:04/05/05 20:42
>>764
おまいの明日の会社の予想。
係長「おはようございます。サッサー対処のため速やかにWindowsアップデートをしましょう」
社員「係長、電源入れた途端やられますた〜!」
係長「ボゲっ!アップデートの前にやられたんか?」
社員「普通、アップデートするに電源入れるっしょ」
係長「・・・・」

772 :名無しさん@お腹いっぱい。:04/05/05 20:45
ウイルスバスターもパッチもいれたしひとまず安心だ。
これからWindousのアップデートまめにやらんと・・

773 :名無しさん@お腹いっぱい。:04/05/05 20:46
>>769
とりあえず、>>763で上がっているスレを読んでみた方が良いかも。

774 :名無しさん@お腹いっぱい。:04/05/05 20:53
ルーター入れてれば大丈夫?

775 :名無しさん@お腹いっぱい。:04/05/05 20:55
押忍の精神があれば大丈夫。

776 :名無しさん@お腹いっぱい。:04/05/05 20:58
適正なルータ設定とマメなWinUPと必勝の信念があれば大丈夫

777 :名無しさん@お腹いっぱい。:04/05/05 21:03
派遣の身だから、こいつに罹ると契約ごと切られかねないなあ。

明日は人柱が出るまで、社内 LAN に繋がないでおこっと…。

778 :名無しさん@お腹いっぱい。:04/05/05 21:06
2000 xp は感染する?
2000serverやNTserverはどう?

779 :名無しさん@お腹いっぱい。:04/05/05 21:06
>>773
サンクスモニカ。
なんだ、2000に問題があったのか orz

780 :名無しさん@お腹いっぱい。:04/05/05 21:10
>>778
↓ここの「影響を受けるソフトウェア」をご参考まで。
http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp?frame=true

781 :名無しさん@お腹いっぱい。:04/05/05 21:14
>>780
感染するのか............

782 :617:04/05/05 21:15
昨日
C:\RECYCLER\S-1-5-18\Dc1.exe は W32.Sasser.C.Worm に感染しています。
C:\RECYCLER\S-1-5-18\Dc2.exe は W32.Sasser.C.Worm に感染しています。
が見つからないと書き込んだ617です・・・。
今日も頑張ってるのですが、未だ見つからず・・・
怪しいのを消してはスキャンの繰り返しで・・・

783 :名無しさん@お腹いっぱい。:04/05/05 21:25
>>782
レジストリにもないですか?
HKEY_USERS\S-1-5-18\Software\Microsoft・・・・

784 :617:04/05/05 21:31
>>783
ありがとうございます。
昨日からレジストリも探しているのですがそれらしいものが
見つからずに困っている次第です・・・。

785 :名無しさん@お腹いっぱい。:04/05/05 21:32
>>782
ゴミ箱を空にする

786 :名無しさん@お腹いっぱい。:04/05/05 21:34
■MSのSASSER駆除ツール
 このツールは Windows XP、Windows 2000SP2以降に有効です。
   http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14c
このツールをして今のところ落ち着いてるんですが、今度はエラー報告が消しても消しても消えなくなってしまいました・・・
対処法はあるんでしょうか?
それと、このツールで駆除したら安心なんでしょうか?

787 :783:04/05/05 21:36
>>784
通常のゴミ箱ではなくワームによって作られたファイルだと思われます。
隠しファイルもエクスプローラで閲覧できるように設定していると思いますが
既に強制削除されていてデレクトリにだけ中途半端に残っているような
気がします。あくまでも推測ですが・・

788 :617:04/05/05 21:38
>>785
ゴミ箱も常に空にした状態なんですよね・・・
それで八方塞りな状況になってしまっております。

スレ汚しな下らない質問で本当に皆様すみません

789 :617:04/05/05 21:41
>>787
何度もすみませんです。
昨日、1-5-18が隠しファイルだったので、設定を変えて
隠しを解いたのですが、それでも全く見られなかったので
その可能性がある気がします・・・。
怪しいものは消しているので、これ以上どうしたら・・・という
状況です。

790 :783:04/05/05 21:42
>>789
MSSTASK.EXE とか REGCTRL.EXE は作られてませんか?

791 :名無しさん@お腹いっぱい。:04/05/05 21:53
445って共有ファイルの時使用される、ポート?

792 :617:04/05/05 21:54
>>790
残念ながらない様です・・・
REGEDIT.EXE〜というファイルが似た名前ではありますが・・・

793 :名無しさん@お腹いっぱい。:04/05/05 21:54
PC保守の仕事してるんだけど、ウイルス対策どうするべ
めんどくさい。
パターンファイルだけあげれば大丈夫かな?

794 :783:04/05/05 21:56
>>792
REGEDIT.EXEは触らないで、それ消したらレジストリ編集できんくなる。
後は・・・・ん〜ん、判らんなぁ。スマソ

795 :617:04/05/05 21:59
>>794
はい。了解しました。
何度も何度もすみませんです。
Dc1.exeっていうもの自体、全く見つからないもので
この二日はこれにかかりっきりですw
自分が悪いのでこれからはしっかりセキュリティー
考えなくては・・・と反省しております。

796 :名無しさん@お腹いっぱい。:04/05/05 21:59
アンチウイルスソフトでも無理か?

797 :名無しさん@お腹いっぱい。:04/05/05 22:01
ノートン壊されたーうわーん

798 :794:04/05/05 22:04
>>795
既出でスレ違いで見当違いかもしれんが、あとはSpybotなんかで検索・駆除
を試みるしか考えつかん。ホントスマン

799 :617:04/05/05 22:06
>>798
いえいえ。とんでもないです。
そう言われて当たり前です。
そちら関係のスレで勉強してきます。
本当にありがとうございました。

800 :名無しさん@お腹いっぱい。:04/05/05 22:09
A〜Dまで対応してる駆除ツール
http://download.microsoft.com/download/1/e/b/1eba8a6e-a22a-431f-9df4-a0cd2873e3c5/Windows-KB841720-ENU-V2.exe

801 :定期貼り:04/05/05 22:20
■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsのupdateしてないパソコンはネットに
接続するだけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル

■こんなんなったらサッサーにやられてます。
 ・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
   LSA Shell(Export Version) has encountered a problem...
   This system is shutting down ... by NT AUTHORITY\SYSTEM
 ・ なんだかしらないがパソコンの反応がメチャ遅い。
 ・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
  してるか確認しましょう。
   http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120
■Microsoft公式ページ
 ・Sasser ワームについてのお知らせ
   http://www.microsoft.com/japan/security/incident/sasser.mspx
 ・Sasser 対策 Windows XP篇
   http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
   (XP付属ファイアウォールの詳しい使い方は >>24
 ・Sasser 対策 Windows 2000篇
   http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
 ・セキュリティ修正プログラム (835732) (MS04-011)
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
 ・すでに感染しているマシンにパッチを当てた場合
  MSの駆除ツールを使って駆除 >>5 (先にパッチ当ててないとゴルァされます)
■トレンド、シマンテックのデータベース情報 >>12
 ・ SASSERに感染するようなうかつなパソコンは他のウィルスにもやられてる鴨
  行ったついでにオンラインスキャンしておきましょう。
■ちゃんとしたファイアウォール入れれ。解説とリンク >>3

802 :定期貼りに追加しよう:04/05/05 22:21
SASSERファミリー(A〜D)の感染動作概要

■感染経路のport番号
 感染マシン→ターゲットマシンのTCPポート445をスキャン
 感染マシン←ターゲットマシンの脆弱性の情報を確認
 感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り
 感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送

■レジストリの改変
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・ウィルスが書き込む値:
 avserve.exe = %Windows%\avserve.exe
 avserve2.exe = %Windows%\avserve2.exe
 skynetave.exe = "%Windows%\skynetave.exe"

■その他ウィルスが作成するファイル名
 <ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")
 システムドライブのルート(C:\)にWIN2.LOG" というログファイル


803 :名無しさん@お腹いっぱい。:04/05/05 22:23
スレタイで爆笑した俺は池沼。

804 :名無しさん@お腹いっぱい。:04/05/05 22:24
このウイルスが駆除されたかどうか確かめるにはどうすればいいのでしょう?

805 :名無しさん@お腹いっぱい。:04/05/05 22:37
だいたい「ネットに 接続するだけで何もしなくても感染」とはどういうこと???

806 :名無しさん@お腹いっぱい。:04/05/05 22:42
>>805
それは質問か? 嘆きか?

807 :名無しさん@お腹いっぱい。:04/05/05 22:48
CodeRed Nimda Blaster Sasser
ワームは増え続け、絶滅も活動停止もしない。
ネットがゴミパケットで溢れかえってしまう。

808 :名無しさん@お腹いっぱい。:04/05/05 22:50
ルーターの電源入れたと同時に、待ってましたとばかりに猛攻撃が!
頑張れルーター

809 :名無しさん@お腹いっぱい。:04/05/05 22:54

ε=(´∞`)ハァー
執行猶予六十秒では落ちないあっとふりーでぃ64

810 :名無しさん@お腹いっぱい。:04/05/05 23:00
リリンの作ったトラフィックはゴミで満ち満ちている‥‥

811 :名無しさん@お腹いっぱい。:04/05/05 23:09
ずっとご近所さんからばかりだったけど、オランダから来てるのがあった。
海外旅行もこれくらいお手軽だといいなあ…w

812 :名無しさん@お腹いっぱい。:04/05/05 23:11
445叩かれまくりだな
明日の祭りは確定だろ

813 :名無しさん@お腹いっぱい。:04/05/05 23:13
■ sasser をとりあえず“駆除”する方法、または“駆除”されたことを確認する方法

0.ネットワークから物理的に離脱する
1.タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
2.レジストリで、
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  で "avserve*.exe" = "C:\WINDOWS\avserve*.exe"  (*:なし、または数字)
    "skynetave.exe" = "C:\WINDOWS\skynetave.exe" (Windows2000:WINNT)
  の削除、または無いことを確認
3.%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
  (%SystemRoot%:Windows, または WINNT)(*:なし、または数字)
4.%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
5.システムドライブ(ふつう C ドライブ)のルート(直下)の "win*.log" の削除、
  または無いことを確認  (このログは sasser の他への攻撃成功の戦利記録)
6.Windows を再起動

814 :名無しさん@お腹いっぱい。:04/05/05 23:16
パソコン立ち上げたまま寝ても大丈夫でしょうか?
アップデート、Norton済みです

815 :名無しさん@お腹いっぱい。:04/05/05 23:18
>>814
必要がなければ電源は落とせ、その方が無難
必要なら止むを得まい、
としか回答しようがないでしょ?

816 :名無しさん@お腹いっぱい。:04/05/05 23:20
ネット上のどの鯖も重くなっているような…やっぱsasserの仕業か。

817 :名無しさん@お腹いっぱい。:04/05/05 23:22
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
たくさんクリックする所があってどれをクリックするのかわかりません
助けてください...

818 :名無しさん@お腹いっぱい。:04/05/05 23:24
>>814
それこそ自己責任。
コンビニに車で買い物に行って、
エンジン掛けっ放しにするかどうかってことと同じ。
なにが起こっても

責 任 取 る の は お 前 だ


819 :名無しさん@お腹いっぱい。:04/05/05 23:25
つか、そんなこといちいち聞くなよ 馬鹿じゃねーか

820 :名無しさん@お腹いっぱい。:04/05/05 23:27
断る。
初心者スレ逝け。

と思ったら初心者スレがここに誘導してるやん(鬱

821 :名無しさん@お腹いっぱい。:04/05/05 23:28
>>817
断る。よそ行きな。

822 :名無しさん@お腹いっぱい。:04/05/05 23:28
>>820
おまいはオレか

823 :名無しさん@お腹いっぱい。:04/05/05 23:30
>>821
分かりました...

824 :名無しさん@お腹いっぱい。:04/05/05 23:31
かかったー__| ̄|○


825 :定期的に貼りましょう:04/05/05 23:32
■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsのupdateしてないパソコンはネットに
接続するだけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル

■こんなんなったらサッサーにやられてます。
 ・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
   LSA Shell(Export Version) has encountered a problem...
   This system is shutting down ... by NT AUTHORITY\SYSTEM
 ・ なんだかしらないがパソコンの反応がメチャ遅い。
 ・ SASSERの症状はPCの環境によっていろいろです。MSの対策ページで感染
  してるか確認しましょう。
   http://www.microsoft.com/japan/security/incident/sasser.mspx#XSLTsection126121120120
■Microsoft公式ページ
 ・Sasser ワームについてのお知らせ
   http://www.microsoft.com/japan/security/incident/sasser.mspx
 ・Sasser 対策 Windows XP篇
   http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
   (XP付属ファイアウォールの詳しい使い方は >>24
 ・Sasser 対策 Windows 2000篇
   http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
 ・セキュリティ修正プログラム (835732) (MS04-011)
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
 ・すでに感染しているマシンにパッチを当てた場合
  MSの駆除ツールを使って駆除 >>5 (先にパッチ当ててないとゴルァされます)
■トレンド、シマンテックのデータベース情報 >>12
 ・ SASSERに感染するようなうかつなパソコンは他のウィルスにもやられてる鴨
  行ったついでにオンラインスキャンしておきましょう。
■ちゃんとしたファイアウォール入れれ。解説とリンク >>3

826 :名無しさん@お腹いっぱい。:04/05/05 23:32
いらねーよ うぜえな

827 :名無しさん@お腹いっぱい。:04/05/05 23:34
ネットがsasserのゴミパケットであふれかえってて重い。

828 :名無しさん@お腹いっぱい。:04/05/05 23:35
そんな重いかぁ? さほどでもないよ。

829 :名無しさん@お腹いっぱい。:04/05/05 23:36
感染してから自分の症状が何か確認しようとしてもインターネットにつながらないんだよな

830 :名無しさん@お腹いっぱい。:04/05/05 23:37
>>817
あなたのPCがWindows2000なら上から4番目の左側
Windows XPなら上から5番目

831 :名無しさん@お腹いっぱい。:04/05/05 23:39
>>830
ありがとうございます

832 :名無しさん@お腹いっぱい。:04/05/05 23:40
>>827
やっぱり?重いのうちだけかと思ってた

833 :名無しさん@お腹いっぱい。:04/05/05 23:57
SASSERに感染後駆除して、駆除された事も確認済みですが、
なぜか数分くらいするとネットに繋がらなくなるという症状が治りません。
これはまだ感染しているということなのでしょうか?


834 :名無しさん@お腹いっぱい。:04/05/05 23:59
>>833
釣り?

835 :名無しさん@お腹いっぱい。:04/05/06 00:00
>>834
だと思うなら反応するな うぜー

836 :名無しさん@お腹いっぱい。:04/05/06 00:08
>>833
Netskyだったかな
同じような症状を聞いたことがある。
ってか上の方で出てたような

837 :名無CCDさん@画素いっぱい:04/05/06 00:10
東京房区のケーブルテレビからネットに繋いでいます

このプロバイダは他の会社にウィルス対策を依頼してて、
ここ3週間で30通くらいのウィルスメールを削除しました
っていう通知がきました。こんなもんでしょうか…?

何かしらありましたら、ご足労ですがレスをいただきたいと
思います。ぜひともよろです。m ( _ _ ) m。



838 :名無しさん@お腹いっぱい。:04/05/06 00:18
>>837
んで、どれが質問なの?こんなもんでしょうかってのがそう?
よく意味がわかんない…

839 :名無しさん@お腹いっぱい。:04/05/06 00:18
>837
板&スレ違い。去れ。

840 :名無しさん@お腹いっぱい。:04/05/06 00:18
>>837
何が聞きたいのかさっぱりわからん。
第一Sasserはメール感染型じゃない。
スレ違い

841 :840:04/05/06 00:18
>>839
かぶった orz

842 :名無しさん@お腹いっぱい。:04/05/06 00:24
XPだけどMSのパッチ当てておけば問題ないんでしょ?

843 :ミナツキ サヤ ◆SAYAC2HJWE :04/05/06 00:24
今回ばかりは俺もう駄目かもしれない。感染してあぼ〜んだよきっと

844 :名無しさん@お腹いっぱい。:04/05/06 00:24
>>617
まだ見てますか?
ふと思ったこと。
フォルダオプション→表示→保護されたオペ(ry
のチェックが入ってれば消してみると何か出てくるかも

845 :名無しさん@お腹いっぱい。:04/05/06 00:25
さあね。余所逝きな。

846 :名無しさん@お腹いっぱい。:04/05/06 00:25
833ですが釣りではなくて、本当に症状が治らないんです。
一度感染したのは確かですが駆除済みです。
今もMSの対策ページでもう一度確認しましたがやはり現在は感染していませんでした。
でもネットはだんだん重くなってやはり繋がらなくなってしまいます。


847 :名無しさん@お腹いっぱい。:04/05/06 00:26
それがどうした

848 :名無CCDさん@画素いっぱい:04/05/06 00:26
>>837です。漠然とした書き方すいませんでした。

>>838さんのおっしゃるようにこんなもんでしょうか≒
こんな例は沢山あるでしょうか?と聞きたかったのです。
スレ違いなようなので相応しいスレを探します。失礼しました。



849 :名無しさん@お腹いっぱい。:04/05/06 00:27
>>833,846
>>836見た?

850 :名無しさん@お腹いっぱい。:04/05/06 00:28
>>846
感染したのがSasserだけじゃ無かったんじゃない?
AGOBOTあたりもSasserと同じ脆弱性を狙うようだし、もう一度ウイルスチェックした方が良い。

851 :名無しさん@お腹いっぱい。:04/05/06 00:30
>>846
再度ウイルスのスキャンを汁。他のヤツが何か見つかるかも。

852 :穴瑠河菊乃輔 ◆Wbm2oUflB2 :04/05/06 00:34
>>846
名古屋コーチン

853 :名無しさん@お腹いっぱい。:04/05/06 00:35
ME使ってればいいんじゃない?
MSも賠償しろ!

854 :名無しさん@お腹いっぱい。:04/05/06 00:37
>>850
>AGOBOTあたりもSasserと同じ脆弱性を狙うようだし

それはどうかな?

855 :名無しさん@お腹いっぱい。:04/05/06 00:41
自分はサッサ感染症状に該当していて、カウントダウン中にファイル削除して、再起動したらユーザー選択のところで矢印だけ出て背景は真っ黒でそこから進まないのですが、何か対策はありますか?ちなみに今は携帯からです。

856 :名無しさん@お腹いっぱい。:04/05/06 00:45
1243が結構多いな・・・なんだろ、これ。

857 :名無しさん@お腹いっぱい。:04/05/06 00:47
KB835732充てなきゃだめなのかよ
正直Sasserよりうぜえこのパッチ

858 :名無しさん@お腹いっぱい。:04/05/06 00:48
>>857
じゃあ当てるな

859 :名無しさん@お腹いっぱい。:04/05/06 00:54
ねえねえ、AGOBOTってなんて読むの?
エロいひと教えて

860 :名無しさん@お腹いっぱい。:04/05/06 00:57
>>854
じゃあ、この辺は?
http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.JF

861 :名無しさん@お腹いっぱい。:04/05/06 00:59
>>854

http://pc3.2ch.net/test/read.cgi/sec/1083586576/93
> Trend Microの対応ウイルスでMS04-011の脆弱性を使うと言われているのは、
> http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.JF
> http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.IM
> http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.YX
> http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=HKTL_RPCLSA.A
> とSASSERのA〜Dだな。他にもあるかもしれんがこれ以上探し出せなかった。


862 :名無しさん@お腹いっぱい。:04/05/06 01:00
明日会社逝きたくない・・・・
パッチ当てとけって連休前に言ってたしFWあるし連休中にお呼び出しもなかったから大丈夫だと思うけど
早くセキュリティ担当外れたいよ(´・ω・`)

863 :名無しさん@お腹いっぱい。:04/05/06 01:02
445アタックが0時くらいから32回になりました。

864 :617:04/05/06 01:04
spybotで駆除成功しました。
沢山アドバイス下さった方々、本当にありがとうございました!
自分がいかにアホな状態で居たかが、身にしみてわかりました・・・。

865 :名無しさん@お腹いっぱい。:04/05/06 01:04
>>862
コーポレートエディションは入ってないの?

866 :名無しさん@お腹いっぱい。:04/05/06 01:05
バッチ当てるとログオンは遅いので当てん!

867 :名無しさん@お腹いっぱい。:04/05/06 01:23
>>862
ご愁傷様。体壊すなよ。(体験者談)

868 :名無しさん@お腹いっぱい。:04/05/06 01:26
>>865
コーポのサーバ、いざという時に役立たずだ罠

869 :名無しさん@お腹いっぱい。:04/05/06 01:38
>>856

1243 BackDoor-G, SubSeven, SubSeven Apocalypse, Tiles
必ずフィルタリングしてください トロイの木馬によるデータ盗難

だって。

870 :名無しさん@お腹いっぱい。:04/05/06 01:49
なんかこの時間になって急にICMP(pingだろう)打ってくるやつが増えてきたんだが・・・
なんかblasterの時もこんな流れだったような気が・・・
ひょっとして亜種か?

871 :名無しさん@お腹いっぱい。:04/05/06 01:52
亜種なんでこれから腐るように出てくるだろうさ

872 :名無しさん@お腹いっぱい。:04/05/06 01:55
>>870
D だろう。

873 :名無しさん@お腹いっぱい。:04/05/06 01:56
>>870
ping撃ってターゲット探す亜種が出てる
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20040505/143789/

874 :名無しさん@お腹いっぱい。:04/05/06 02:04
まさに企業なんかはblasterの時の教訓を試される訳か・・・


875 :ビギナー……:04/05/06 02:09
ping打たれてるかどうかってどうやって確認するんだろう??

876 :定期貼りに追加:04/05/06 02:11
SASSER対策:経済産業省の呼びかけ
http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html

(3) ワームの侵入・拡大を防ぐようネットワークを設定する
・Sasserワームを防御するため、社内ネットワークとインターネットの境界に設置した
 ファイアウォールやルータの設定で、
  UDP135、137、138、139及び445、
  TCP135、138、139、445及び593
 のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
 を許可しない。


877 :名無しさん@お腹いっぱい。:04/05/06 02:13
>>875
ファイアウォールのログ見ろよ。ICMPなんちゃらって、どっちゃり出てるでよ。

878 :名無しさん@お腹いっぱい。:04/05/06 02:15
>>874
去年は某K電気屋のポスレジが2日くらいあぼーんして、
電卓手打ちで汗かいてたな。

879 :ビギナー……:04/05/06 02:25
>>877
NISには反応なし…。
ルーターのログは
2004年5月6日 01時36分39秒 フィルタ 200.82.57.106 --> 自分パソ TCPポート:80
2004年5月6日 01時33分43秒 フィルタ 4.7.208.139 からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月6日 01時33分43秒 フィルタ 4.7.208.139 --> 自分パソ TCPポート:445
2004年5月6日 01時33分37秒 フィルタ 4.7.208.139 からNBT 又は Microsoft-DS パケットのルーティング TCPポート:445
2004年5月6日 01時33分37秒 フィルタ 4.7.208.139 --> 自分パソ TCPポート:445

…ICMPは何処… _| ̄|○;
見る所が間違ってるのかな?


880 :名無しさん@お腹いっぱい。:04/05/06 02:28
うちは昨夜7時台にぽつぽつとICMPがあったけど、あとは電源を切ったので
不明。いまはない。(もう寝てるPCが多いということだろうけど)

881 :名無しさん@お腹いっぱい。:04/05/06 02:33
うちもポツポツといった感じでICMP
(ここ8時間で3回)
この一時間ぐらいは5〜10分に一度ぐらいで落ち着いてる

882 :名無しさん@お腹いっぱい。:04/05/06 02:54
うちだけかもしれないけど、この時間帯はやはり攻撃の頻度が低いな。
ウイルスに国境なしとはいうものの、来るのは近所が多いということか。
昼間になればもっと多くなるだろう。
でも外国にはゴールデンウィークなどはないわけだが、あまり大騒ぎに
なっている報道も聞かない。
MSBlastの教訓を生かして、今回はパッチを当てた人が前よりはだいぶ
多くなったのかもしれない。

883 :名無しさん@お腹いっぱい。:04/05/06 03:20
>>869
サンクスです。
必ず、というほど重要なものだったのか・・・。
ルータ様さまだな。

884 :名無しさん@お腹いっぱい。:04/05/06 03:21
Gaobot(Agobot)のLSASSアタックルーチンは動いてないか
localhostにしか働かないかだよ。
アラートレベルが低いのが変だと思って実験機で踏んでみた。
外部にパケ出てない。

885 :名無しさん@お腹いっぱい。:04/05/06 03:40
ルータとは無縁な56kbpsのダイヤルアップの俺は勝ち組。
XPSP2のファイアウォール最強。

886 :名無しさん@お腹いっぱい。:04/05/06 03:53
一眠りして起きたらネットワークトラフィックはどうなんってるんだろうか。
SEさんは引っ切り無しに呼ばれるんでしょうね・・・・

887 :名無しさん@お腹いっぱい。:04/05/06 03:56
連休中は携帯電話切ってたよ…。

888 :名無しさん@お腹いっぱい。:04/05/06 03:56
>>885
ルータ入れてる奴のほうがこういうバグ突き型に感染するリスクは低いだろう。
(設定いじくって穴だらけなら話は別だが)
ダイヤルアップだから、ファイアーウォールなんていらないと思ってる奴も結構いるみたいで。

889 :名無しさん@お腹いっぱい。:04/05/06 04:05
いや56kbpsでWindowsUpdateするのかと思うと眩暈がしそうw

890 :名無しさん@お腹いっぱい。:04/05/06 06:18
サッサーには感染してはいないですがちょっとくだらない質問いいですか?

例えばメールを介したウィルスは理論上全PCが駆除してしまえば根絶出来るような
気がしますが
サッサーのようにネット上に存在するウィルスは感染の有無は置いといて、
常にネットワーク上に存在し続けるのでしょうか?
で、ブラスターはもう存在しないのでしょうか?

空気感染するウィルスの根絶は難しいように・・・

ルーターもある、アップデート失敗にもめげず、当日当てたのはただの偶然ですが
今後のためにも知りたいな、と思いました


891 :890:04/05/06 06:21
カキコんでから思った・・・

全サーバーが対応してしまえばネットワーク上からもいなくなるのかな?

892 :名無しさん@お腹いっぱい。:04/05/06 06:21
>>890
感染者が居なくなれば消えるだろう。
100%不可能だが
Blasterは未だに残ってる。
未だに感染者が居るため

893 :名無しさん@お腹いっぱい。:04/05/06 06:22
>>891
サーバーもクライアントも全てのPCだ

894 :890:04/05/06 06:30
>>892-893
即レスありがとう!
ブラスターはまだ残ってるんですか
という事はこれから買い換える時は
ルーター、FW等セキュリティに注意しつつ、
購入直後の各種アップデートしなければならないんですね
一月に買ったメインPCが何事もなくアップ出来たのも「偶然」ルーター入れてたからか
(NTTはただのモデム、って言ってたが良く見ればルーター機能付きモデムだった)

ありがとう勉強になりました

895 :名無しさん@お腹いっぱい。:04/05/06 06:41
>>894
>購入直後の各種アップデートしなければならないんですね

メーカー製のPC等は、こういうネットワーク感染型のウイルスがある場合、
そのパッチを当てて出荷する場合がある。
Blasterのパッチも当たってる場合が多い。

896 :名無しさん@お腹いっぱい。:04/05/06 06:41
>>894
連休の間にADSL入れた(ルーター機能つきのモデムつきのモデム入れた)ら、
FWが静かになってしまったので、
どっか設定変えちゃって機能してないのかしら、と試しにダイヤルアップで繋ぎなおしたら、
鳴りっぱなしになりました。
ありがたいよな、物足りないよなw

897 :890:04/05/06 06:59
もう一つ質問いいでしょうか

OSの修正ファイルや、ノートンの定義ファイルの差分についてググッて来ました
今後OS再インストールの際、ノートンも初期の状態に戻りますよね?
OSの修正ファイルをCDなどに焼いて保存するように
ノートンも差分を再インストール直前に取って置く事は可能でしょうか?
http://service1.symantec.com/SUPPORT/INTER/navjapanesekb.nsf/jp_docid/20011114151127930
ココにそれっぽい事書かれてますが、合ってますか?

こんな事、考えた事無かったな

898 :798:04/05/06 07:00
>>864
そりゃ、よかった!

899 :890:04/05/06 07:10
>>897
すいません
Intelligent Updater でいいようですね

スレ汚しすいません

900 :名無しさん@お腹いっぱい。:04/05/06 08:00
うちのセキュリティー担当は明日出勤なわけだが・・・orz

俺はいやだ、やりたくない。夜勤明けで帰らせてくれ!でも、税理士が来るんだよなorz

901 :名無しさん@お腹いっぱい。:04/05/06 08:04
おはよう
今から出勤するぽorz

902 :名無しさん@お腹いっぱい。:04/05/06 08:37
おまいらの会社にはSEもおらんのか?

903 :名無しさん@お腹いっぱい。:04/05/06 08:42
8時半少し前ぐらいから、445への攻撃が増えてきた。
違うIPが数回ずつやっていく。
どうやら各社のPCのスイッチが入り始めたようだw

904 :名無しさん@お腹いっぱい。:04/05/06 08:44
>>903
インターネットの世界は日本だけですか?

905 :名無しさん@お腹いっぱい。:04/05/06 08:48
>>904
でも深夜は少なかったよ。
攻撃に使われるIPアドレスの生成方式で、近所が多くなるのでは
ないか。

906 :名無しさん@お腹いっぱい。:04/05/06 09:38
すいません、MS04-011 [KB835732]が当たってなくて攻撃受けたら
ノートンなりバスターなりのウイルスパターンファイルが最新でもあぼーんですか?

907 :名無しさん@お腹いっぱい。:04/05/06 09:41
log見ても445への攻撃は少ないな。
Blasterの時はもっと凄まじかった

>>906
FWで455落とせ

908 :名無しさん@お腹いっぱい。:04/05/06 09:42
ノートン2004はAuto-ProtectをONにして、定義も最新なら
とりあえず感染はしないはず。

909 :名無しさん@お腹いっぱい。:04/05/06 09:44
パッチ当てるかFWしないとウィルスに感染しなかったとしても、
外部から管理者権限取り放題だが

910 :名無しさん@お腹いっぱい。:04/05/06 09:47
>先週末から拡大し始めたSasserワーム。海外での感染はひと段落付いた
>模様だが、数ある大企業で感染報告が見られたようだ。ゴールデンウィーク
>明けを迎え、多くのユーザーがオフィスに戻ってくる日本では、これから
>被害が拡大する可能性がある。
http://www.itmedia.co.jp/enterprise/0405/06/epn03.html

まだ強力な亜種が出てきてないからかもしれないけど、海外ではひとまず
終息しつつあるのでしょうか。

911 :名無しさん@お腹いっぱい。:04/05/06 10:10
待っているのだけれど、Sasserが来ない(´Д`)!!

912 :名無しさん@お腹いっぱい。:04/05/06 10:19
まさかとは思うが、メールで来るのを待ってるのではあるまいなw

913 :名無しさん@お腹いっぱい。:04/05/06 10:24
早速、亜種がでますた

ttp://headlines.yahoo.co.jp/hl?a=20040506-00000001-cnet-sci

914 :名無しさん@お腹いっぱい。:04/05/06 10:27
>>913
情報遅いね。もう D まで逝ってるよ。

915 :914:04/05/06 10:28
すんまそん、読み違え。逝ってきます。

916 :名無しさん@お腹いっぱい。:04/05/06 10:34
lsass.exeが状態コード128で落ちるのもSasser?

917 :名無しさん@お腹いっぱい。:04/05/06 10:37
今頃糞パッチKB835732がサッサー以上の猛威を振るってる悪寒

918 :名無しさん@お腹いっぱい。:04/05/06 10:37
>>916
http://www.f-secure.co.jp/v-descs/v-descs3/sasser.htm


919 :名無しさん@お腹いっぱい。:04/05/06 10:42
918thx
でもやっぱり0だよなー
他にも128で落ちてる人がいるっぽいんで亜種かと思ったんだが・・・
なんだー!!!

920 :911:04/05/06 11:00
XPのファイヤウォールのログの
IPアドレス1個目、2個目、の後にある数字のどこかに、
445っていうのがあれば、sasserですよね?
…来ない(´Д`)!!…違うのかな。

他の人、どれくらい来てます??

921 :名無しさん@お腹いっぱい。:04/05/06 11:02
↓朝からこのバカがうるさいのだが、どうにかしてください。

inetnum: 61.205.128.0 - 61.205.143.255
netname: KCC-NET
descr: Cablenet Kobe Ashiya Co.,Ltd.
country: JP
admin-c: YT4624JP
tech-c: YT4624JP
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
changed: apnic-ftp@nic.ad.jp 20010507
remarks: This information has been partially mirrored by APNIC from
remarks: JPNIC. To obtain more specific information, please use the
remarks: JPNIC whois server at whois.nic.ad.jp. (This defaults to
remarks: Japanese output, use the /e switch for English output)
changed: apnic-ftp@nic.ad.jp 20040421
source: JPNIC


922 :名無しさん@お腹いっぱい。:04/05/06 11:05
>>921
まず、おまいの頭をどうにかしてください。

923 :名無しさん@お腹いっぱい。:04/05/06 11:11
>>921
回線を切ってしまえば楽になりますよ。

924 :名無しさん@お腹いっぱい。:04/05/06 11:13
445をつついてくる香具師をポトスカンしてみた

21 ftp File Transfer [Control] TCP 接続可
25 smtp Simple Mail Transfer TCP 接続可
80 www-http World Wide Web HTTP TCP 接続可
110 pop3 Post Office Protocol - Version 3 TCP 接続可
113 auth Authentication Service TCP 接続可
119 nntp Network News Transfer Protocol TCP 接続可
135 loc-srv Location Service TCP 接続可
443 https https MCom TCP 接続可
563 <不明> - TCP 接続可
1025 blackjack network blackjack TCP 接続可
1027 <不明> - TCP 接続可
1028 <不明> - TCP 接続可


925 :次スレテンプレ案 1:04/05/06 11:24
■悪質ウィルスSASSER大暴れ中
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル
現在確認されている亜種はA〜Dの4種類ですが、動作、対処法はどれもほとんど同じ。

前スレ sasser【スタコラサッサ】sasser Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/

■症状
・妙な窓↓が出てカウントダウンの後OSが強制的にシャットダウンする。
  LSA Shell(Export Version) has encountered a problem
  This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかわからないが動作がメチャ重い。ネット接続がひんぱんに切れる。
・症状はパソコンの環境によっていろいろです。変だなと思ったらこの後のテンプレ
 読んでさっそく対策してください。ウィルスを広めるあなたもウィルスじゃ。


■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
 http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
 やルータの設定で、
  UDP135、137、138、139及び445、
  TCP135、138、139、445及び593
 のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
 を許可しない。

926 :名無しさん@お腹いっぱい。:04/05/06 11:24
マイクロのサッサ駆除ページの感染確認のところで

YOUR PC IS NOT INFECTED
と出て一安心なのですが

To help avoid worms such as Sasser in the future, visit the Protect Your PC site.

下のこの文章が理解出来なくてとてもとても怖いです
誰かへるぷみー

927 :sage:04/05/06 11:25
サッサーでいいの?
サッサ?セッサ?サッセ?

928 :次スレテンプレ案 2:04/05/06 11:25
《関連リンク》

Sasser ワームについてのお知らせ(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
W32.Sasser.Worm(Symantec)
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html
W32.Sasser.B.Worm(Symantec)
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
W32.Sasser 駆除ツール(Symantec) (亜種A-Dまで対応)
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
WORM_SASSER.A(Trend Micro)
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
WORM_SASSER.B(Trend Micro)
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

その他亜種はデータベースのトップからSasserで検索してください)
・トレンド(手動削除手順はトレンドが詳しいです)
 http://www.trendmicro.co.jp/vinfo/
・シマンテック
 http://www.symantec.com/region/jp/sarcj/vinfodb.html

929 :次スレテンプレ案 3:04/05/06 11:27
《SASSER動作概要》
■SASSERファミリー(A〜D)の感染動作概要

・感染経路のport番号
 感染マシン→ターゲットマシンのTCPポート445をスキャン
 感染マシン←ターゲットマシンの脆弱性の情報を確認
 感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り
 感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送

・レジストリの改変
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・ウィルスが書き込む値:
 avserve.exe = %Windows%\avserve.exe
 avserve2.exe = %Windows%\avserve2.exe
 skynetave.exe = "%Windows%\skynetave.exe"

・その他ウィルスが作成するファイル名
 <ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")
 システムドライブのルート(C:\)にWIN2.LOG" というログファイル

■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
 http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
 やルータの設定で、
  UDP135、137、138、139及び445、
  TCP135、138、139、445及び593
 のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
 を許可しない。

930 :次スレテンプレ案 4:04/05/06 11:29
■sasser を手動で“駆除”および“駆除”されたことを確認する方法
0.ネットワークから物理的に離脱する(ケーブルを抜く、モデムの電源OFF)
1.タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
2.レジストリで、
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  で "avserve*.exe" = "C:\WINDOWS\avserve*.exe"  (*:なし、または数字)
    "skynetave.exe" = "C:\WINDOWS\skynetave.exe" (Windows2000:WINNT)
  の削除、または無いことを確認
3.%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
  (%SystemRoot%:Windows, または WINNT)(*:なし、または数字)
4.%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
5.システムドライブ(ふつう C ドライブ)のルート(直下)の "win*.log" の削除、
  または無いことを確認  (このログは sasser の他への攻撃履歴が記録されている)
6.Windows を再起動

■ Windowsアップデート後、Microsoft純正Sasserツールで駆除
   http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
 使い方 http://support.microsoft.com/?kbid=841720
・手動:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
 実行→regedit→以下の項目を削除
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
 →本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
 さらにウィルスとして発見されたファイルがあれば削除



931 : 次スレテンプレ案 以上:04/05/06 11:32
…他にも有用情報はありますが、それはいつでも貼りなおせるし、
必要最小限というとこんなもんかと…

932 :名無しさん@お腹いっぱい。:04/05/06 11:34
乙〜

933 :名無しさん@お腹いっぱい。:04/05/06 11:36
>>927
セッセと呼ぶと云い
googleは
サッサー 1060
サッサ 32200
サッセ 80
セッセ 7220
セッサ 3690
セッシャ 954


934 :名無しさん@お腹いっぱい。:04/05/06 11:56
ササーかとおもた

935 :次スレ立つまで定期貼り:04/05/06 12:26
次スレ立てるひとはテンプレ案を参考にしてください。
>>925 >>928-930


936 :名無しさん@お腹いっぱい。:04/05/06 12:30
サッサのウィルス退治しても、しばらくするとまた感染
7件ってでる。セキュリティ修正プログラムもは入ってるのに!
なんかおかしい!ヘルプ

937 :名無しさん@お腹いっぱい。:04/05/06 12:32
一応対応パッチが地雷だと言うことも書いといた方が
ttp://support.microsoft.com/?kbid=841382

Win板のスレ見たら他にも問題ありそうだけど

938 :名無しさん@お腹いっぱい。:04/05/06 12:42
アストロロボ

939 :名無しさん@お腹いっぱい。:04/05/06 12:46
それでYAHOOだけが救われてるのかな
他にポート閉じてるプロバはないの?

940 :名無しさん@お腹いっぱい。:04/05/06 12:57
>>939
Yahooでも、内部だけなら通るんじゃないのか?


941 :名無しさん@お腹いっぱい。:04/05/06 13:07
>>933
ややこしい。経産省あたりが日本語名つけてほしい。

942 :名無しさん@お腹いっぱい。:04/05/06 13:09
日本名、ウィンダム。

943 :名無しさん@お腹いっぱい。:04/05/06 13:13
プロバにポート閉じられたら困る人もいるだろう。
感染者だけ半年くらい隔離してほしい

944 :名無しさん@お腹いっぱい。:04/05/06 14:06
やっほーだけど445叩かれたよ。たいしたことないけど

945 :名無しさん@お腹いっぱい。:04/05/06 14:19
>>940
全然感染しないよ_| ̄|○

ただいまダイヤルアップで待ち受け状態れつ(・∀・)ニヤニヤ

946 :次スレ立つまで定期貼り:04/05/06 14:30
次スレ立てるひとはテンプレ案を参考にしてください。
>>925 >>928-930
追加
 MS04-011 のインストール後にコンピュータが応答を停止する問題
 http://support.microsoft.com/?kbid=841382

947 :名無しさん@お腹いっぱい。:04/05/06 14:32
>>945
そりゃYahooのダイアルUPなんて誰も使っていないから、振られたIPに
近い奴が感染している確率なんて低いからだろ?

砂漠で一人ぼっちで立ってて、誰とも会わないのに、風邪に感染しないよと
言ってるようなもんだと思うけどな。

948 :名無しさん@お腹いっぱい。:04/05/06 14:47
>>945
通りかかったラクダにくしゃみ吹きかけられてあぼーん。

949 :名無しさん@お腹いっぱい。:04/05/06 15:01
以下の現象、昨今流行のSasserと関係があるんでしょうか?

同じような英文メールが数日前から大量に来るようになりました。
(1日300通から500通)

From:フィールドが
MAILER-DAEMON@なんとか (Mail Delivery System) で、

Subject: Undelivered Mail Returned to Sender
Subject: Returned mail: see transcript for details
Subject: failure notice

というSubjectのメールが数日前から大量に来るようになりました。
Sasserの流行と関係があるんでしょうか?
Sasserに感染したパソコンが、なんでFrom: MAILER-DAEMON@なんでしょうか?
Sasserってそういうことをやるの?

----- The following addresses had permanent fatal errors -----

とか

Sorry, your message to xxx@btinternet.com cannot be delivered.
This account is over quota.

とかなんていうもっともらいしいことが書いてあるんだけど…。

転送メールのヘッダーのReturn-Path: に僕のアドレスが入ってるん
だよね。From:はまた別人のアドレスが入っている。
これって詐称メールがばら撒かれてるってことかな?
それとも、僕のメールサーバーが感染して、
勝手にメールをばら撒いてるの?

950 :名無しさん@お腹いっぱい。:04/05/06 15:08
>>926
「サッサーみたいなワームを今後とも避けるために、「あなたのPCを守ろう」の
サイトをごらんください。」

というだけのことなのでご安心を。

951 :名無しさん@お腹いっぱい。:04/05/06 15:10
948ワロタ


952 :名無しさん@お腹いっぱい。:04/05/06 15:10
あんたが感染源なんだよ。

953 :名無しさん@お腹いっぱい。:04/05/06 15:11
>>952
おめぇが病原菌

954 :名無しさん@お腹いっぱい。:04/05/06 15:12
http://support.microsoft.com/default.aspx?scid=kb;ja;835732
http://support.microsoft.com/default.aspx?scid=kb;ja;835732
[MS04-011] Microsoft Windows のセキュリティ修正プログラム
対象製品
マイクロソフトはセキュリティ情報 MS04-011 をリリースしました。このセキュリティ
情報には、ファイルの一覧情報、展開オプションを始め、セキュリティ修正プ
ログラムの関連情報がすべて記載されています。セキュリティ情報の詳細を参
照するには、次のマイクロソフトWeb サイトにアクセスしてください。

http://www.microsoft.com/japan/technet/security/bulletin/ms04-011.asp

本セキュリティ更新プログラムのインストール後、次のサポート技術情報に記載されて
いる問題が発生する可能性があります。詳細については、サポート技術情報の
文書番号をクリックしてください。

840997 Adobe Illustrator で作成された拡張メタファイル形式のグラフィック ファイル
(EMF 画像ファイル) が表示されない

841384 Windows NT 4.0 に MS04-011 のセキュリティ修正プログラムをインストールした
後 "STOP 0x00000079" エラー が発生する

841382 MS04-011 のインストール後にコンピュータが応答を停止、ログオン不可、CPU
使用率 100% の現象が発生する
Ntoskrnl.exe ファイルを置き換えるソフトウェア更新プログラムをインストールする際に
発生する可能性のある一般的な問題に関する追加情報については、次のサポー
ト技術情報の文書番号をクリックしてご確認ください。

246507 Windows NT は、 Ntoskrnl.exe についてのエラー メッセージを起動しません。

224526 Windows NT 4.0 がサポートするシステム パーティションは最大 7.8 GB


955 :名無しさん@お腹いっぱい。:04/05/06 15:14
>>949
それは多分Netsky.ABがどこかで拾ったあなたのメアドを詐称して
大量のウイルスメールをばらまいているのだと思います。
http://www.symantec.com/region/jp/sarcj/data/w/w32.netsky.ab@mm.html

Netskyには多くの亜種がありますが、ここ数日ならABでしょうか。
あなた自身のPCが感染していないかどうかも念のためチェックしてください。

956 :名無しさん@お腹いっぱい。:04/05/06 15:20
>>955
ということは、Sasserに感染しても、アドレス詐称メールは
ばら撒かないってこと?
Sasserに感染すると、具体的にはどういう害があるんですか?
ざっくり読んでみたかぎりだと、
パソコンが遅くなる、くらいの害しか書いてないけど…。
メール詐称ばら撒きとかデータを破壊するとかいう症状は、
Sasser感染とは関係がない?

957 :名無しさん@お腹いっぱい。:04/05/06 15:30
これだけの説明だと、Sasser感染の実害がよくわからんね。
書いてるやつもわかってないんじゃないのか?
俺もわからんけど。

http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
W32.Sasser.B.Worm は、W32.Sasser.Worm の亜種です。このワームは、
マイクロソフト セキュリティ情報 MS04-011 で解説されている LSASS
の脆弱性の悪用を試み、ランダムに選択された IP アドレスを持つコン
ピュータをスキャンすることによって、上述の脆弱性に未対応のシス
テムを探し出して拡散します。


958 :名無しさん@お腹いっぱい。:04/05/06 15:30
>>956
Sasserはメールでは感染しない。
ネットに繋がってるパソコンを直接狙って来るのでNetskyより恐い。
勝手にシャットダウンとかするのでサーバーに使ってるPCは困るだろう。

959 :名無しさん@お腹いっぱい。:04/05/06 15:31
>>956
お前さんはこのスレの何を見ていたのかと…
せめて、>>1とその関連サイトをもう一度見直してくれ。

960 :名無しさん@お腹いっぱい。:04/05/06 15:32
>>956
Sasserはメールは使いません。
これに感染したことによる感染者自身の被害はパフォーマンスの低下
ぐらいが多いようです(詳細はウイルス対策各社のサイト参照)。

データの破壊や盗難は、今のところはないですが、そういうことをする
Sasserの亜種が今後登場しないとも限らないので、風邪程度と侮っては
なりません。

あと、「Sasserを除去するソフトをやる」と称してNetskyつきのメールを
送りつけられることがあるらしいので注意。

961 :名無しさん@お腹いっぱい。:04/05/06 15:39
>>960
>これに感染したことによる感染者自身の被害はパフォーマンスの低下
>ぐらいが多いようです

なーんだ、大騒ぎするほどでもない。

962 :名無しさん@お腹いっぱい。:04/05/06 15:40
>>961
そんなエサに釣られクマー

963 :名無しさん@お腹いっぱい。:04/05/06 15:45
しかしSasserと同じ脆弱性を使う他のウイルスの中には、もっと
凶悪なのもあるらしいよ。(Agobot系)

★この脆弱性を塞ぐパッチ(KB835732)を当てるとトラブルが起きる
件についての最新記事

Sasserを防ぐために必要なパッチを適用すると不具合が発生
http://internet.watch.impress.co.jp/cda/news/2004/05/06/2997.html

964 :名無しさん@お腹いっぱい。:04/05/06 15:48
君らマイクロソフトの質の悪い商品のおかげでてんてこ舞いだね。

965 :名無しさん@お腹いっぱい。:04/05/06 15:51
log
1025,3127,6129,1080,2745,80,1433,4899,21,8062,80,後は10000以上
全部Unrecognized access

966 :ぽるじょあ ◆yBEncckFOU :04/05/06 15:57
これのせいでもしかしてトラフィック増えてる?
何か回線重いんだけど。

967 :名無しさん@お腹いっぱい。:04/05/06 16:02
ウィルスよりMSのパッチの方が怖い

968 :ミナツキ サヤ ◆SAYAC2HJWE :04/05/06 16:07
重いと思うから重いのかもしれない。
普段気にせずヤフー開いたりとかしてるから分からない。

969 :名無しさん@お腹いっぱい。:04/05/06 16:21
自分の家でネズミ講の集会開かれてるけど、
自分には害が無いからまぁいいかと思える奴は平気だろうな。


970 :名無しさん@お腹いっぱい。:04/05/06 16:44
マイクロソフト、IE上で利用できる「Sasser」の検知・駆除ツール発表
http://internet.watch.impress.co.jp/cda/news/2004/05/06/2991.html

971 :名無しさん@お腹いっぱい。:04/05/06 16:47
http://support.microsoft.com/default.aspx?scid=kb;ja;841720
http://support.microsoft.com/default.aspx?scid=kb;ja;841728
http://support.microsoft.com/default.aspx?scid=kb;ja;841727

MSの中の人も大変だな

972 :名無しさん@お腹いっぱい。:04/05/06 16:58
Sasserって感染してても気が付かない人が多いのでは?
LANに繋いで無いと実害が分かりにくいし。
インターネット接続だけの単独パソコンなら感染は分からないかもね。

973 :名無しさん@お腹いっぱい。:04/05/06 16:58
MEだと大丈夫なの?

974 :名無しさん@お腹いっぱい。:04/05/06 17:05
…話がループしてるな。
過去レスくらい読まないのか?

975 :次スレ立つまで定期貼り:04/05/06 17:07
次スレ立てるひとはテンプレ案を参考にしてください。
>>925 >>928-930

976 :ミナツキ サヤ ◆SAYAC2HJWE :04/05/06 17:17
俺としては、これとっくに既出なんだけど…
http://headlines.yahoo.co.jp/hl?a=20040506-00000008-imp-sci

977 :名無しさん@お腹いっぱい。:04/05/06 17:22
>>976
既出すぎ。
>>928のリンクたどっても行けるし

978 :名無しさん@お腹いっぱい。:04/05/06 17:26
>>972
実害無いなら無問題じゃない?
光直結でルータもFWもウプデートすら施していない友人
何も異常が見られないって言ってたよ

979 :名無しさん@お腹いっぱい。:04/05/06 17:28
観戦したくても98SEだから無理ぽショモーン

980 :名無しさん@お腹いっぱい。:04/05/06 17:34
自分に害が無くても他で誰かが悲鳴を上げるかもしれないな

981 :名無しさん@お腹いっぱい。:04/05/06 17:42
>>979
パソコン持ってる奴なんて一杯いるんだから探してきなよ。

982 : テンプレ案 5追加…英語拒否反応もあるし:04/05/06 17:43
■マイクロソフトのSasser感染・駆除チェックサイト
http://headlines.yahoo.co.jp/hl?a=20040506-00000008-imp-sci

画面をスクロールして↓下記のボタンを押す。
        ------------------------
         Check My PC for Infection
        ------------------------
能書窓が出るのでI agreeのラジオボタンにチェックを入れる。
        ------------------------
         Your PC Is Not Infected
        ------------------------   と出ればOK。

Windowsのアップデート「MS04-011」が未適用のPCだと
 To use this tool, you must be running Windows XP or Windows 2000,
 and you must have already installed MS04-011.
と表示されて検知・駆除ができない。→アップデート適用後再度検査

アップデート適用ずみだが、それ以前にSasserに感染していた場合、
The Sasser worm was successfully removed from your computer. 
と表示される。「駆除に成功した」のでこれでOK

983 :名無しさん@お腹いっぱい。:04/05/06 17:46
>>982
リンク先をそのサイトにしないと意味ないじゃん

984 : テンプレ案 5追加…訂正 982は無視してね:04/05/06 17:50
■マイクロソフトのSasser感染・駆除チェックサイト
http://www.microsoft.com/security/incident/sasser.asp

画面をスクロールして↓下記のボタンを押す。
        ------------------------
         Check My PC for Infection
        ------------------------
能書窓が出るのでI agreeのラジオボタンにチェックを入れる。
        ------------------------
         Your PC Is Not Infected
        ------------------------   と出ればOK。

Windowsのアップデート「MS04-011」が未適用のPCだと
 To use this tool, you must be running Windows XP or Windows 2000,
 and you must have already installed MS04-011.
と表示されて検知・駆除ができない。→アップデート適用後再度検査

アップデート適用ずみだが、それ以前にSasserに感染していた場合、
The Sasser worm was successfully removed from your computer. 
と表示される。「駆除に成功した」のでこれでOK

985 :名無しさん@お腹いっぱい。:04/05/06 17:51
仕事から帰ってきて、PC立ち上げて、ここ見てみたら・・・

アレ?
なんか落ち着いてるやん・・・

FWのログ見てもなんか445なんかほとんど来てないし・・・



986 :定期貼り:04/05/06 17:58
次スレ立てるひとは以下のテンプレ案を参考にしてください。
>>925 >>928-930 >>984 (←MSのチェックサイト IEでしか作動しない)

987 :名無しさん@お腹いっぱい。:04/05/06 18:19
>>985
プロバイダにもよるが、ポートを閉じてる場合がある

988 :名無しさん@お腹いっぱい。:04/05/06 18:21
ぷららはガンガン来てるぞー!

989 :名無しさん@お腹いっぱい。:04/05/06 18:23
445たたきが落ち着いてきたと思ったら
今度は16060たたいてくるのがじわりと増えてきてる。
なんかもう何でも有りって感じだな。

990 :名無しさん@お腹いっぱい。:04/05/06 18:36
あほーは閉じてるっぽい

991 :名無しさん@お腹いっぱい。:04/05/06 18:36
すいません 頑張ってアップデートして 駆除ツール作動させたんですが。。。
ポートの閉じ方とかが良く分かりません。

992 :名無しさん@お腹いっぱい。:04/05/06 18:41
>>991
んで、あに?

993 :名無しさん@お腹いっぱい。:04/05/06 18:43
>>991
ポートを閉じるのは、「ファイアウォール」というもので行います。
WindowsXPなら、「スタート―接続―すべての接続の表示」で
お使いのプロバイダの接続を選んで、右クリックして「プロパティ」
を出します。
その「詳細設定」のタブを見ると、一番上にファイアウォールを
設定するところがあるので、それにチェックを入れてください。
これでウイルスが使うあらゆるポートが閉じられます。

※接続中に行うと完全にできないようなので、いったん接続を
切ってからするとよいと思います。

994 :名無しさん@お腹いっぱい。:04/05/06 18:53
a

995 :名無しさん@お腹いっぱい。:04/05/06 18:53
>>990
どうかな? YBBだが、445はYBBの近所からがもちろん多いが、
中国広東省あたりからもちらほら来ている。

996 :最後の定期貼り:04/05/06 18:54
次スレ立てるひとは以下のテンプレ案を参考にしてください。
>>925 >>928-930 >>984 (←MSのチェックサイト IEでしか作動しない)

997 :名無しさん@お腹いっぱい。:04/05/06 18:59
>>993
ありがとうございます

998 :名無しさん@お腹いっぱい。:04/05/06 19:03
>>993
>> これでウイルスが使うあらゆるポートが閉じられます。

へー

999 :名無しさん@お腹いっぱい。:04/05/06 19:03
このスレッドは999を超えました。
1000を取るのに生きがいを感じてる方。
         ↓

1000 :名無しさん@お腹いっぱい。:04/05/06 19:03
1000

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

255 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)