04/05/03 17:33
■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル
以下の情報はSASSER.AとSASSER.Bのものですが、さらに亜種が発生する可能性大。
【概要】
・Microsoft LSASS Sasser ワームの拡散
URLリンク(www.isskk.co.jp)
【基本情報】
トレンドマイクロ(手動削除手順はトレンドが詳しい)
SASSER.A
URLリンク(www.trendmicro.co.jp)
SASSER.B
URLリンク(www.trendmicro.co.jp)
シマンテック
SASSER.A
URLリンク(www.symantec.com)
SASSER.B
URLリンク(www.symantec.com)
関連スレ
【正式】ウィルス情報&質問 総合スレッド☆Part18
スレリンク(sec板)
Blasterスレ part5
スレリンク(sec板)
(303になってたら後継スレを探してください)
2:名無しさん@お腹いっぱい。
04/05/03 17:34
■こんなんなったらサッサーにやられてます。
【症状】以下のような窓が出てカウントダウンの後OSが強制的にシャットダウンする。
LSA Shell(Export Version) has encountered a problem
This system is shutting down...by NT AUTHORITY\SYSTEM
【予防法】WindowsのLSAに関するセキュリティホールにパッチを当てる。
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
URLリンク(www.microsoft.com)
【感染確認】 Windowsのシステムフォルダ内(\Windows\ または\WINNT\)に
"<ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")というファイルが
作成される。
【駆除方法】
・Microsoft純正Sasser駆除ツール
URLリンク(www.microsoft.com)
使い方 URLリンク(support.microsoft.com)
・手動:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
実行→regedit→以下の項目を削除
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
さらにウィルスとして発見されたファイルがあれば削除
3:名無しさん@お腹いっぱい。
04/05/03 17:34
【Winアップデートがワケワカメの人、まずファイアーウォール入れましょう】
Q Windowsのアップデート全然やってなかったんで…なんだかたくさん
あって、ワカワカメでつ…(泣
A 脆弱性(ぜいじゃくせいw)のあるパソコンをネットにつなぐとパッチをダウン
してる間にウィルスに感染しちゃう鴨です。まずファイアウォール入れてから
ゆっくりWindowsのアップデートしましょう。
Q ファイアーウォールって何?
A ファイアーウォール(FW)はデータ通路の玄関(port)の警備員みたい
なものです。通行許可証のない人(データ)を通さないようにします。
Q ファイアウォールでさっさーが防げるんですか?
A 防げます。「LSAというプログラムをインターネットに接続していいですか」
みたいなことをファイアウォールが尋ねてきますから「ダメ」とボタン押せばOK
Q ファイアーウォール入れてれば絶対安全?
A 可能性は少ないですが、OSがネットに接続してからFWソフトが立ち上がるまで
のわずかなスキに侵入される可能性があります。修正パッチ当てる前のOSを
立ち上げるときはケーブルを抜くか、モデムの電源を落としておけば安心。
Q 無料のファイアウォールってどうなのよ? ちゃんと役に立つ?
A 定番はZone Alarm、 Outpost、Kerioなどの製品。有料版もありますがフリー版
で機能は十分です。詳しいことは専用スレで。「Outpost まとめサイト」がファイア
ウォール関係の解説わかり易いです。他のFW使う場合でも見ておくといいです。
Agnitum Outpost Firewall part15
スレリンク(sec板)
ZoneAlarm Part19
スレリンク(sec板)
☆彡Kerio Personal Firewall 2.1.5 Rule 14☆彡
スレリンク(sec板)
Outpost 2ch まとめサイト
URLリンク(www.geocities.jp)
4:名無しさん@お腹いっぱい。
04/05/03 17:34
Sasser ワームについてのお知らせ(Microsoft)
URLリンク(www.microsoft.com)
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
URLリンク(www.microsoft.com)
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
URLリンク(www.microsoft.com)
W32.Sasser.Worm(Symantec)
URLリンク(www.symantec.com)
W32.Sasser.B.Worm(Symantec)
URLリンク(www.symantec.com)
W32.Sasser 駆除ツール(Symantec)
URLリンク(www.symantec.com)
WORM_SASSER.A(Trend Micro)
URLリンク(www.trendmicro.co.jp)
WORM_SASSER.B(Trend Micro)
URLリンク(www.trendmicro.co.jp)
5:名無しさん@お腹いっぱい。
04/05/03 17:34
■MSのSASSER駆除ツール
このツールは Windows XP、Windows 2000SP2以降に有効です。
URLリンク(www.microsoft.com)
【使い方とFAQ】
URLリンク(support.microsoft.com)
(概要)
MS04-011 [KB835732]修正パッチを適用する以前にシステムがSasser.A または
Sasser.Bに感染している場合があります。このツールはシステムからSasser.A、
Sasser.Bを除去する手助けをします。MS04-011 [KB835732]を適用しているシステム
の場合、このツールをインストールするだけでそれ以上の対策は必要ありません。
Q:このツールはSASSERの感染を防止してくれますか?
A:いええ。このツールはシステムからSASSER.A/Bを取り除きますが、感染の防止
はできません。感染を防止するには[KB835732]を適用してください。
訳注★感染したマシンにパッチを当てても感染を取り除けないので、このツールを使え、
ということ。まずこのパッチ当てろ。 (835732) (MS04-011) その前にファイアウォール入れろ。
URLリンク(www.microsoft.com)
Q:インストールの途中で止まってしまいましたが?
A:メモリ上でウィルスプログラムが実行されている場合、ツールは停止します。
訳注★タスクマネージャからavserve.exe avserve2.exeを停止してから改めて
Windows(WINNT)\system32\Sasscln.exeを実行する、といいかも試練。
6:名無しさん@お腹いっぱい。
04/05/03 17:35
初心者のためのWORM_SASSER(A.B)への対処法
・手動削除手順:
以下の手順を実行してください。
①セーフモードで起動します。
⇒WindowsをSafe Mode(セーフモード)で起動する方法
>>727 又は、下記URLから使用OS先を参照
URLリンク(www.trendmicro.co.jp)
②ウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ウィンドウズ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動
以下のレジストリの値を削除してください。
[WORM_SASSER.A] 場所: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値: avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 場所:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値: avserve.exe = <Windowsフォルダ>\avserve2.exe
③コンピュータを再起動し、通常モードで起動します。
URLリンク(www.trendmicro.co.jp) オンラインスキャンで
ウイルス検索を実行してください。「WORM_SASSER.A」又は「WORM_SASSER.B」として検出された
ファイルはすべて削除してください。
④Windows検索(先述のスタートボタン→検索 で起動)を使って「kazaabackupfiles」又は「WIN.LOG」フォルダを検索し、削除します。
註:WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows9x/Me/の場合、システムフォルダ= C:\Windows\System
WindowsNT/2000の場合、システムフォルダ= C:\WinNT\System32
WindowsXP の場合、システムフォルダ= C:\Windows\System32 です。
⑤WORM_SASSER対策に(A.B共通)セキュリティホール修正パッチを導入
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。
URLリンク(www.microsoft.com)
以上、トレンドマイクロ ウイルスデータベース(URLリンク(www.trendmicro.co.jp))の情報を元に改作。
7:名無しさん@お腹いっぱい。
04/05/03 17:36
sasserなんぞスタコラコサッサと駆除しよう!
8:名無しさん@お腹いっぱい。
04/05/03 17:37
URLリンク(www.symantec.co.jp)
ランダムに生成された IP アドレスの TCP ポート 445 上に接続することを試みます。
IP アドレスは、次のような確率で生成されます:
50% の確率で、完全にランダム
25% の確率で、1番目のオクテットが、感染したホストと同じ IP アドレス
25% の確率で、1番目、2番目のオクテットが、感染したホストと同じ IP アドレス
9:名無しさん@お腹いっぱい。
04/05/03 17:39
>>6 の手順では、3以降で再度感染する可能性があるので推奨できない
10:名無しさん@お腹いっぱい。
04/05/03 17:39
パッチ充ててルータ入れてりゃモーマンタイ!
11:名無しさん@お腹いっぱい。
04/05/03 17:40
そんじゃ誰か>>6の手順を修正してくれよ。
12:名無しさん@お腹いっぱい。
04/05/03 17:41
Sasser ワームについてのお知らせ(Microsoft)
URLリンク(www.microsoft.com)
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
URLリンク(www.microsoft.com)
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
URLリンク(www.microsoft.com)
W32.Sasser.Worm(Symantec)
URLリンク(www.symantec.com)
W32.Sasser.B.Worm(Symantec)
URLリンク(www.symantec.com)
W32.Sasser 駆除ツール(Symantec)
URLリンク(www.symantec.com)
WORM_SASSER.A(Trend Micro)
URLリンク(www.trendmicro.co.jp)
WORM_SASSER.B(Trend Micro)
URLリンク(www.trendmicro.co.jp)
13:名無しさん@お腹いっぱい。
04/05/03 17:42
>>11
修正しなくても
>>12読んだらわかる罠
14:名無しさん@お腹いっぱい。
04/05/03 17:52
久し振りにルーターのログみたらソゴカタ。
445番君へ一杯プレゼントが来てた。
15:佐々テンプレ人
04/05/03 17:57
>>1 スレ立て、乙
16:名無しさん@お腹いっぱい。
04/05/03 18:00
昨日、ブラスター用パッチ4個だけ落として
OSの再インストールしたけど、何故か感染してないっぽい。。。
XPFWをONしてからアップデートしに行ったから助かったのかな?
17:佐々テンプレ人
04/05/03 18:03
てか重複しちゃったけど、どうするよ。こっちの方がちょい遅い…
向こうもテンプレはいちおう貼ってある。
【BLASTの悪夢】Sasser情報【再び】04/05/03 16:46
スレリンク(sec板)
18:佐々テンプレ人
04/05/03 18:06
いちおう向こうに合流呼びかけておいたが…
19:名無しさん@お腹いっぱい。
04/05/03 18:12
> XPの香具師はとにかく最初にXPのファイアウォール機能を有効にしろ。
これは有効なんじゃ? >>6の2)と3)の間に入れたらどうでしょう?
20:名無しさん@お腹いっぱい。
04/05/03 18:15
ZoneAlarmいれてるけど、XP付属のFW切り設定で大丈夫かな?
FWあるから重複不具合起こるような気が・・
21:名無しさん@お腹いっぱい。
04/05/03 18:16
>>1
乙。つか2ちゃんめちゃ重いんだけど・・・これのせい?
22:名無しさん@お腹いっぱい。
04/05/03 18:17
>>20
アンチウイルスソフト入れてZA有効だったら
XPのFWは切った方がいい
23:名無しさん@お腹いっぱい。
04/05/03 18:21
ようやくというか
yahooのトップページ
のトピックス欄にsasser
24:Blasterスレからパクリ…
04/05/03 18:27
【SASSER FAQ XP付属ファイアウォール編】
Q Windows XPの付属ファイアウォールは有効ですか?
A Windows XPのファイアウォールはウィールスが入り込むポート
(TCPポート445、他)を閉じるのに有効です。ただし、このファイア
ウォールはデフォルトでは無効になってます。
【FWを有効にする手順】
コントロールパネル→ネットワークとインターネット接続→普段使っている
接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
「コンピュータとネットワークを保護する」にチェックを入れる
Q XPの「ネットワークの接続」がみつかんないよー?
A 以下の方法も試してください。
スタート→設定→ネットワーク接続
スタート→接続→全ての接続の表示
スタート→マイネットワーク→ネットワーク接続を表示
Q XPのファイアウォールで十分ですか?
A XPのおまけFWは外から中へ(inbound)の侵入は防ぎますが、いったん
感染してしまうと中から外へ(outbound)ウィールスをばら撒くのをチェック
できません。Zone Alarm、Outpostなど中から外もチェックする製品を
入れておきましょう。
Q FWはいくつも動作させるとダメですか?
A ダメです。XPのFWは無効にしておくだけでいいですが、
NISやVBの付属FW、ZA、Outpostのような専用アプリのFW同士は
インストしてあるだけで完全に喧嘩しますから注意。
25:名無しさん@お腹いっぱい。
04/05/03 18:32
どうりでここ数日TCP 445のアクセスが多いと思ったらこれか。
26:名無しさん@お腹いっぱい。
04/05/03 18:34
>>25
多いと思ったら調べろよ(w
27:Worm_Sasser対策班
04/05/03 18:36
・Safe Mode 起動方法:
Safe Modeで起動するには、以下の手順を実行します。
①コンピュータの電源投入後、コンピュータ製造元のロゴや BIOS の起動画面が
表示されたらキーボード上の[F8]キーを何度か押します。
②Windows(OSが2000の場合 Windows2000) 拡張オプション メニュー が表示されます。
③方向キー(↑/↓)を使用して「セーフモード」を選択し、Enter キーを押します。
続いてOSの選択画面が表示される場合は、Safe Mode で起動したいOSを選択してください。
④Windows2000の場合:「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
以上で完了です。
WindowsXPの場合:ユーザを選択する画面が表示されたら、ログオンするユーザをクリックで選択し、
画面上の[→]をクリックします。
「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
ログオン後、「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
以上で完了です。
注意:
・手順①のタイミングで、[F8]キーを押すタイミングが遅れた場合や早すぎる場合、
Windowsは通常起動します。その場合は、手順1からやり直してください。
・セーフモードでは、色数や解像度など画面の表示が通常とは異なります。
また、USBマウスなど一部の接続機器が使用できなくなります。
・マウスが動作しない場合は、キーボードにて操作をおこなってください。
この場合は Administrator を選択してください。
・NEC機などコンピュータによってはメニューが日本語表示されます。
・機種によりSafe Mode(セーフモード)の起動方法が異なる場合があります。
上記方法により起動できない場合はコンピュータ製造元へお問合せください。
・ログオン画面を表示する設定にしている場合は、手順4の前にWindows ログオン画面が表示されます。(Windows2000の場合)
28:名無しさん@お腹いっぱい。
04/05/03 18:38
ルーターのログ見たら
TCP2745
が異様なほど(ry
445は異常なし
29:名無しさん@お腹いっぱい。
04/05/03 18:39
警察庁@policeのサイトにも警告出てる
W32.Sasser.worm ウイルスの発生について
URLリンク(www.cyberpolice.go.jp)
30:名無しさん@お腹いっぱい。
04/05/03 18:45
>>26
今ここを調べますたw
31:名無しさん@お腹いっぱい。
04/05/03 18:50
Outpostのログみたら、TCP445が3分おきに・・・
32:名無しさん@お腹いっぱい。
04/05/03 18:52
感染したら、スタコラサッサと駆除せんかい!
33:名無しさん@お腹いっぱい。
04/05/03 18:52
>>31
ZoneAlarmだけど不正アクセスは0だよ。CATVだから向こうのルーターで規制してくれてるのかな?
34:31
04/05/03 19:03
うちもCATVでつ。445のポートスキャンが1時間で15件ってォィ
35:名無しさん@お腹いっぱい。
04/05/03 19:03
>>28
漏れも見てみたら結構来てた。
IP確認すると全国のOCNユーザーがわんさか来てるんだが
ISPなんてどこでも関係無いよなー?
36:名無しさん@お腹いっぱい。
04/05/03 19:10
445の数が爆発してる。こらすげーわ。
・・・ツレが感染してやがるし。
修復頼むような状況になる前に対策ちゃんと取れとあれほど言ってたのに。
放置するか。
そういうわけにもいかんよな。
連休小旅行がワーム駆除旅行になるとは。
37:名無しさん@お腹いっぱい。
04/05/03 19:13
445は普段でも来るからあまり実感湧かない
38:名無しさん@お腹いっぱい。
04/05/03 19:27
URLリンク(www.symantec.co.jp)
ランダムに生成された IP アドレスの TCP ポート 445 上に接続することを試みます。
IP アドレスは、次のような確率で生成されます:
50% の確率で、完全にランダム
25% の確率で、1番目のオクテットが、感染したホストと同じ IP アドレス
25% の確率で、1番目、2番目のオクテットが、感染したホストと同じ IP アドレス
39:名無しさん@お腹いっぱい。
04/05/03 19:43
そんな事より1よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。
このあいだ、近所のTCP445行ったんです。TCP445。
そしたらなんかパケットがめちゃくちゃいっぱいで入れないんです。
で、よく見たらなんか垂れ幕下がってて、W32.Sasser.Worm、とか書いてあるんです。
もうね、アホかと。馬鹿かと。
お前らな、W32.Sasser.Worm如きで普段来てないTCP445に来てんじゃねーよ、ボケが。
MS04-011だよ、MS04-011。
なんかTCP135に来てるのもいるし。年度が変わってもいまだにBLASTERか。おめでてーな。
よーしパパRPCサービス以上終了しちゃうぞー、とか言ってるの。もう見てらんない。
お前らな、FIX_BLAST.EXEやるからポート空けろと。
ネットワークポートってのはな、もっと殺伐としてるべきなんだよ。
スイッチングハブの並びに繋がった奴といつコンフリクトが始まってもおかしくない、
落とすか落とされるか、そんな雰囲気がいいんじゃねーか。マカーは、すっこんでろ。
で、やっと入れかと思ったら、隣の奴が、XP標準のFWで、とか言ってるんです。
そこでまたぶち切れですよ。
あのな、XP標準のFWなんてきょうび流行んねーんだよ。ボケが。
得意げな顔して何が、XP標準のFWで、だ。
お前は本当にXP標準のFWを使いたいのかと問いたい。問い詰めたい。小1時間問い詰めたい。
お前、XP標準のFWって言いたいだけちゃうんかと。
ネットワーク通の俺から言わせてもらえば今、ネットワーク通の間での最新流行はやっぱり、
ポート全開放、これだね。
ポート全開放かつセキュリティソフトアンインスコ。これが通の頼み方。
ポート全開放ってのはポートが多めに開いてる。そん代わりセキュリティが甘め。これ。
で、それにセキュリティソフトアンイスコ(シマンテック)。これ最強。
しかしこれを実行すると次からスーパーハカーにマークされるという危険も伴う、諸刃の剣。
素人にはお薦め出来ない。
まあお前、1は、ウイルスバスター2004でも入れてなさいってこった。
40:名無しさん@お腹いっぱい。
04/05/03 19:48
初心者のためのWORM_SASSER(A.B.C)への対処法
・手動削除手順:
以下の手順を実行してください。
①セーフモードで起動します。
⇒WindowsをSafe Mode(セーフモード)で起動する方法 本スレの>>27 又は、下記URLから。
URLリンク(www.trendmicro.co.jp)
②ウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ウィンドウズ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動
以下のレジストリの値を削除してください。
[WORM_SASSER.A B C] 場所: KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[WORM_SASSER.A] 値: avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 値: avserve.exe = <Windowsフォルダ>\avserve2.exe
[WORM_SASSER.C] 値: avserve2.exe = "%Windows%\avserve2.exe"
※ファイアウォールなどの機能を導入していない方は再感染を防ぐためにWindows XPの付属ファイアウォールを有効にしてください。
詳しくは>>24 を参照のこと。
③コンピュータを再起動し、通常モードで起動します。
URLリンク(www.trendmicro.co.jp) オンラインスキャンで ウイルス検索を実行してください。
「WORM_SASSER.A(又は.B C)として検出されたファイルはすべて削除してください。
④Windows検索(先述のスタートボタン→検索 で起動)を使って次のフォルダ検索し、削除します。
[WORM_SASSER.A]の場合「kazaabackupfiles」
[WORM_SASSER.B]の場合「WIN.LOG」
[WORM_SASSER.C]の場合「WIN.LOG」「WIN2.LOG」
註:WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、 [WindowsNT/2000の場合]、システムフォルダ= C:\WinNT\System32 [WindowsXP の場合]、システムフォルダ= C:\Windows\System32 です。
⑤セキュリティホール修正パッチを導入
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。
URLリンク(www.microsoft.com)
41:名無しさん@お腹いっぱい。
04/05/03 19:57
インターネットに接続したところ、どのサイトを開いてもページが表示できませんと
出てしまうのですが、sasserに感染しているのでしょうか?
42:名無しさん@お腹いっぱい。
04/05/03 20:00
>>41
違う
43:名無しさん@お腹いっぱい。
04/05/03 20:06
>>42
回答ありがとうございます。
44:名無しさん@お腹いっぱい。
04/05/03 20:09
>>41-43
これを拝んでおきなさい。さすれば解決の糸口が見つかろう。
URLリンク(www.jade.dti.ne.jp)
45:名無しさん@お腹いっぱい。
04/05/03 20:11
>>34
一時間で15件って少ないだろ
前に80数回されたことあった。
もちろん被害届けだしたけどな
46:41
04/05/03 20:12
>>44
どうもありがとうございます。よく読んで研究してみます。
47:名無しさん@お腹いっぱい。
04/05/03 20:12
金鳥サッサ
キタ━━━━━━━!!!!
ルーターで弾いてましたが
48:名無しさん@お腹いっぱい。
04/05/03 20:18
うちのシステムにはport1025へ半日で4000から5000ぐらい着てます
皆さんのport1025は大丈夫ですかぁ?
49:名無しさん@お腹いっぱい。
04/05/03 20:19
sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の
ことでしょうか
あと自分のパソコンが64ビットでないか否かはどこで調べられるでしょうか
教えてください
50:名無しさん@お腹いっぱい。
04/05/03 20:21
>>48
私んとこはアクセス0です 逆に心配に・・・
CATVだからルータないし。。
51:名無しさん@お腹いっぱい。
04/05/03 20:22
>>49
> sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の
> ことでしょうか
その通り。
> あと自分のパソコンが64ビットでないか否かはどこで調べられるでしょうか
> 教えてください
調べるまでも無く貴方のWindowsは63ビットじゃないです。
100パーセント断言できます。
52:51
04/05/03 20:22
×63ビット
○64ビット
53:名無しさん@お腹いっぱい。
04/05/03 20:24
>>51
両方のご回答どうもありがとうございます
54:名無しさん@お腹いっぱい。
04/05/03 20:25
>>49
MS04-011=835732ですよ。KBつくのかわからんけどたぶんね。
64BitでOSのことかニャ? そうであればマイコンピュータを右クリックでプロパティでわかると思いますけど。
55:Blasterスレからパクリ…
04/05/03 20:27
URLリンク(www.isskk.co.jp)
思い起こせば 昨年の夏・・・ あの教訓をいかそう!
2003年7月16日(日本時間)
X-Forceセキュリティアラート「Microsoft Windows での RPC 実装の不具合」
思い起こせば昨年の夏・・・日本はちょうどお盆の時期。2003年7月16日、「Microsoft Windows
での RPC 実装の不具合」が発表され、この発表の約1ヵ月後、この脆弱性をついたMS Blast
ワームが、日本時間の2003年8月12日より蔓延いたしました。そして、さらに追い討ちをかける
ように日本時間の2003年8月19日Nachi ワームは、MS Blastワームが使用するのと同じ脆弱性
を利用して、さらに企業ネットワークに被害をもたらしました。…
56:名無しさん@お腹いっぱい。
04/05/03 20:28
>>48
TCP1025も監視対象に入れてるけど
カウント0
57:名無しさん@お腹いっぱい。
04/05/03 20:28
>>54
KBがついていなかったのでもし違っていたらと思い質問しました
OSの確認の仕方の方法どうもありがとうございます
58:名無しさん@お腹いっぱい。
04/05/03 20:29
>>56
アセクスが全く無いのは異常?
59:名無しさん@お腹いっぱい。
04/05/03 20:29
2745に来るのはBagleかな。
60:名無しさん@お腹いっぱい。
04/05/03 20:32
ポート閉じるのはリモート、ローカル両方閉じたほうがいいのかな
61:名無しさん@お腹いっぱい。
04/05/03 20:32
>>56
@policeでは警告が出てます。
うちのシステムでは、異常に増えたのが4月27日でした。
最初は、ほとんど ぷらら の顧客でしたが、
最近はアジア全域から着てます。
62:名無しさん@お腹いっぱい。
04/05/03 20:33
1025、2745、6129、3127番のスキャンがやっと家にも来だしたよ。
でも、ルータのデフォルトルールが弾いてる。
最近のルータは良いね。
63:名無しさん@お腹いっぱい。
04/05/03 20:34
>>58
2745にはバンバン来てるけど、
パケットフィルタの前にFWで弾いてるかも
64:名無しさん@お腹いっぱい。
04/05/03 20:35
>>62
バッファローWHR2-G54
デフォで弾いてくれてる。
(・∀・)イイ!!
65:名無しさん@お腹いっぱい。
04/05/03 20:36
ルーターって
WAN→FW→パケットフィルタ→LAN
ってことかな?
66:名無しさん@お腹いっぱい。
04/05/03 20:39
port1025へ一度だけ弾くやつのIPは、ほとんど
第一オクテットが 220 です。
(俺の場合はne)
67:名無しさん@お腹いっぱい。
04/05/03 20:43
今のトコ塞ぐポートは445のみでおけ?
68:名無しさん@お腹いっぱい。
04/05/03 20:45
漏れの場合
TCP1025
TCP135-137
TCP2745
TCP6129
TCP5554
TCP9996
TCP445
UDP4000
69:名無しさん@お腹いっぱい。
04/05/03 20:49
道理で似たようなIPばっかりくるかと思ったら
70:名無しさん@お腹いっぱい。
04/05/03 20:51
>>24
URLリンク(www.isskk.co.jp)
> マニュアルプロテクションを行うには、TCP ポート 139, 445, 5554, 9996を
> ネットワークゲートウェイでブロックしてください。
要するにXPのおまけFWでTCP port [139, 445, 5554, 9996]を塞げということ。
71:名無しさん@お腹いっぱい。
04/05/03 20:51
>>69
多分自分と同じ第一オクテットに対してスキャンすると思われる
72:名無しさん@お腹いっぱい。
04/05/03 20:55
>>68
漏れは
113
135-139
445
1025-1027
5000
5554と9996は今回のため?
73:名無しさん@お腹いっぱい。
04/05/03 20:57
>>72
一応。感染しても他人に迷惑かけんように
その2つはINもOUTも閉じたよ
74:名無しさん@お腹いっぱい。
04/05/03 21:00
1-1025
これでモウマンタイ
75:名無しさん@お腹いっぱい。
04/05/03 21:00
ニュース読んで電源入れるの恐いんですが
ブロードバンドルータ噛ませていて
ウイルスバスターの定義ファイルは先月末更新
Windows Updateは4月中旬の「重要な更新」をアップデート
これだけやってれば大丈夫ですかね。
ウイルスバスターのFWはブロードバンドルーターモード(つまり最低)
WindowsXP HEのFWはOFFにしています。
76:名無しさん@お腹いっぱい。
04/05/03 21:03
>>74
なんでそれで書き込めてるんだ
77:名無しさん@お腹いっぱい。
04/05/03 21:03
>>75
ルーターが入っているならNATで何かやっていない限り
外からは届かないので大丈夫と思われ
78:75
04/05/03 21:05
>>76
すみません、Macからです。
79:名無しさん@お腹いっぱい。
04/05/03 21:05
>>75
先月末だったらダメだろボケ
頭弱いのか?
80:名無しさん@お腹いっぱい。
04/05/03 21:05
>>75
電源入れるのが怖いのに、2ちゃんにはカキコ
81:75
04/05/03 21:06
>>77
どうもです。
82:名無しさん@お腹いっぱい。
04/05/03 21:07
阿部のホームランを弾くにはどうしたらいいでしょうか
83:名無しさん@お腹いっぱい。
04/05/03 21:08
>>82
ピッチャーに金をかける
84:名無しさん@お腹いっぱい。
04/05/03 21:08
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新
今日も更新がありました。最新パターンファイルは1.833.00
85:75
04/05/03 21:08
>>79
5月に入ってからPC使う機会がなかったためです。
あくまで条件の一つとして挙げました。
ブロックのためのすべての条件を満たすつもりはないので。
86:名無しさん@お腹いっぱい。
04/05/03 21:09
>>85
念には念を入れないでどうするんだ?
完璧なものなんて無いんだぜ?
87:名無しさん@お腹いっぱい。
04/05/03 21:11
結局のところ今回もポート445なんだろ。
いいかげんF/Wでブロックしろよ。
88:名無しさん@お腹いっぱい。
04/05/03 21:13
>>75
ルーター(警備員)かましてても、ポート閉めるの忘れてたら(警備員が仕事してなかったら)意味ない
89:名無しさん@お腹いっぱい。
04/05/03 21:13
80以外すべてブロックが最強だな
90:75
04/05/03 21:13
>>86
十分条件より今回伺いたいのは必要条件なので。
具体的には4月中旬までのWindows Updateで
今回のパッチがあてられてるかを伺えれば確信は持てます。
今からウイルスバスターをアップデートしてもその前に回線つながってしまうので
そこまでの十分条件を満たすつもりはないのです。
91:名無しさん@お腹いっぱい。
04/05/03 21:17
>>90
起動してからPCにケーブル挿せばぁ
92:名無しさん@お腹いっぱい。
04/05/03 21:17
>>75
必要条件なら、ネットに接続せずにPCを立ち上げて
IPSEC Policy Agentサービスを無効に設定しろ。
lsasさえ動作拒否しとけば安全だ。
93:名無しさん@お腹いっぱい。
04/05/03 21:18
TCP ポート 445 ブロックしてればいじゃん
94:75
04/05/03 21:19
>>91
それだとケーブルを挿した後に侵入を防げるのですか?
95:名無しさん@お腹いっぱい。
04/05/03 21:21
>>94
XPのFWをONにしとけばいい
96:名無しさん@お腹いっぱい。
04/05/03 21:21
>>93
>75はF/Wやポートブロック、ルータのフィルタ機能などに
まったく無知な人間と思います。
97:名無しさん@お腹いっぱい。
04/05/03 21:26
なんかどさくさにまぎれてやばげなポートまとめてスキャンしてくるやつがいる。
全く同じ時間に同じIPから6つまとめてとばしてきやがった。
なに考えてんだ?
98:名無しさん@お腹いっぱい。
04/05/03 21:26
(´∀`)心配性だなぁ
99:名無しさん@お腹いっぱい。
04/05/03 21:27
>>97
6回だけで騒ぎすぎだろ
100:名無しさん@お腹いっぱい。
04/05/03 21:27
>>97
不正アクセスで警察に通報しろ
101:75
04/05/03 21:27
>>96
MacからルータのFWをいじる権限がないんですよ。
ついでに我が家のWindowsマシンも自分の使っているものではないので
(有り体に言うとNTベースのWinの使い方を知りません。マカーなので)
XPのFWがオフになっていることしか知りません。
その他の内々の事情で上の対策をとる権利が自分にはないのです。
今回特に伺いたいのは4月中旬配布までのWindows Update(重要な更新)が
今回のウイルスに対応されているものなのかどうかってことです。
102:名無しさん@お腹いっぱい。
04/05/03 21:29
>>101
>今回特に伺いたいのは4月中旬配布までのWindows Update(重要な更新)が
>今回のウイルスに対応されているものなのかどうかってことです。
このスレ全部読み返せ
103:名無しさん@お腹いっぱい。
04/05/03 21:30
MS04-011
104:名無しさん@お腹いっぱい。
04/05/03 21:30
>>101
四月中旬なんて抽象的に表現では何とも言えんよ。
PC立ち上げてMS04-11(KB835732)がインストールされている
されてることを確認しろ。
もちろんネットへの接続ケーブルは外した状態でだ。
105:75
04/05/03 21:33
>>102
今、読みかえしました。そのうえで伺いますが
(MS04-011)の更新日付はいつですか?
当方のMac用ブラウザではWindows Updateのページを
ActiveX非対応の関係で開けず確認できないんですよ。
106:名無しさん@お腹いっぱい。
04/05/03 21:34
>>105
2004/04/12
107:75
04/05/03 21:35
>>106
ありがとうございます。質問がまわりくどくなりすみませんでした。
108:名無しさん@お腹いっぱい。
04/05/03 21:35
>>105
2004年4月30日更新。
ちなみに登録日は2004年4月14日。
109:名無しさん@お腹いっぱい。
04/05/03 21:37
ちなみに2004/04/12(PST)は
修正パッチの登録日
110:名無しさん@お腹いっぱい。
04/05/03 21:37
>>105
と言うかここ読んでみれ。
URLリンク(www.microsoft.com)
111:75
04/05/03 21:38
ありがとうございます。Mac経由でパッチを転送します。
112:名無しさん@お腹いっぱい。
04/05/03 21:39
MS04-11って糞パッチだってMS自身が認めたパッチだろ
113:名無しさん@お腹いっぱい。
04/05/03 21:40
知り合いが勝手にシャットダウンするウィルスに感染したらしいけど
どっちだろ?今時ブラスタはあり得ないよね?
問題が発生しましたみたいな内容がでてカウントダウン後に落ちるらしい
感染に気付いたのが1日の夜らしい
タスクマネの開き方すらわからない厨房だから情報少なすぎ
駆除を麦酒一本で手を打つ俺は安すぎ…orz
114:名無しさん@お腹いっぱい。
04/05/03 21:40
地雷パッチMS04-011を修正する気はMicrosoftには無いのかな
それともパッチの問題ではないと言い張るのだろうか
URLリンク(support.microsoft.com)
115:名無しさん@お腹いっぱい。
04/05/03 21:41
>>113
そいつは乙だな。
116:名無しさん@お腹いっぱい。
04/05/03 21:42
パッチ修正中ってことをWin板で聞いたぞ
117:114
04/05/03 21:43
Keywords:kbBug kbfix kbQFE kbWin2000preSP5fix KB841382
> kbWin2000preSP5fix
はぁ?まさか地雷パッチ329170のようにSP5まで直す気は無いということなのかな。
118:名無しさん@お腹いっぱい。
04/05/03 21:43
>>75
windows 使ってるやつに確認させるのが確実ではないでしょうか?
windowsのupdateとルーターの機能とは関係ないしW
119:名無しさん@お腹いっぱい。
04/05/03 21:44
MS04-011が適用されてるか確認する方法。
NetMeeting のバージョン番号が 3.01 (4.4.3399) となっている場合、
修正プログラムは正しくインストールされています。
120:名無しさん@お腹いっぱい。
04/05/03 21:45
>>117
SP4が出た後のパッチはSP5として出る
121:名無しさん@お腹いっぱい。
04/05/03 21:45
>>116
どこのスレ?
122:名無しさん@お腹いっぱい。
04/05/03 21:46
同じMacユーザーとして言おう
>75氏ね
123:名無しさん@お腹いっぱい。
04/05/03 21:47
>>121
うpだてしたらあげるスレか
失敗したら上げるスレだったはず
124:名無しさん@お腹いっぱい。
04/05/03 21:48
>>117
>>120が言う通りSP4が出た後のパッチはすべてSP5として登録される。
125:名無しさん@お腹いっぱい。
04/05/03 21:48
>>121
ここに言い訳が書いてある
URLリンク(support.microsoft.com)
126:名無しさん@お腹いっぱい。
04/05/03 21:50
>>117
はKeywords(MSの情報検索用キーワード)の意味を全く理解していない
127:名無しさん@お腹いっぱい。
04/05/03 21:51
>>123
URLリンク(japan.internet.com)
ここですね。失敗スレで見つけたよ。
>>120,>>124
いや、KB841382は不具合を記しただけのドキュメントで、そのドキュメントに
「kbWin2000preSP5fix」なんて書いてあるからSP5まで修正されない不具合なのかなぁと。。。
128:名無しさん@お腹いっぱい。
04/05/03 21:52
>>126
まったく理解していないというのは言い過ぎ
preSP5の意味がわからなかっただけじゃない?
すくなくても>75よりは理解してるように思える。
129:114,117
04/05/03 21:52
>>126
理解できるように教えてくれませんか?
それか該当するドキュメントを提示して下されば幾らでも読みます。
130:114,117
04/05/03 21:54
「kbWin2000preSPxfix」ってSPxで修正される不具合に付く
検索キーワードだと思っていたけど違うのか。
131:名無しさん@お腹いっぱい。
04/05/03 21:59
>>130
SP5にKB835732が突っ込まれるってこと。
それまで修正しないって言ってるわけではない。
132:名無しさん@お腹いっぱい。
04/05/03 22:00
しかし、このウイルスの蔓延で無知なWindowsユーザーが
パッチあてまくってPCの不具合が出たら
それこそMS04-011のバグとして叩かれるだろうね。
133:名無しさん@お腹いっぱい。
04/05/03 22:01
だな。
>>127の
URLリンク(japan.internet.com)
にも
>Microsoft は、ソフトウエアの脆弱性に対処し、面倒な修正パッチを用意するという作業に追われている。
と書かれてるし
134:名無しさん@お腹いっぱい。
04/05/03 22:02
>>132
禿同
135:名無しさん@お腹いっぱい。
04/05/03 22:02
preSP5fixはSP5前の修正って意味だろ
136:名無しさん@お腹いっぱい。
04/05/03 22:02
LAN(TCP,port 445)
LAN(TCP,port 445)
LAN(TCP,port 135)
LAN(UDP,port 137)
LAN(TCP,port 2745)
LAN(TCP,port 1025)
LAN(TCP,port 6129)
LAN(TCP,port 80)
LAN(TCP,port 1025)
LAN(TCP,port 445)
LAN(TCP,port 6129)
LAN(TCP,port 445)
LAN(UDP,port 137)
LAN(TCP,port 445)
LAN(TCP,port 2745)
LAN(TCP,port 135)
LAN(UDP,port 137)
LAN(UDP,port 137)
LAN(TCP,port 80)
2745はあんまないな
137:名無しさん@お腹いっぱい。
04/05/03 22:05
>>136
2745
2つか。
漏れは数時間で30件ほど
いつからいつまでのログ?
138:137
04/05/03 22:07
>>136
ISPどこ?
漏れはYBB
139:名無しさん@お腹いっぱい。
04/05/03 22:08
>>137
上から30分ほどだから同じぐらいか
>>138
いまニュー速で話題のmesh(w
140:名無しさん@お腹いっぱい。
04/05/03 22:10
何故かクソスレばかりが目立つmesh
141:名無しさん@お腹いっぱい。
04/05/03 22:12
>>139
あんが㌧
142:名無しさん@お腹いっぱい。
04/05/03 22:17
どさくさにまぎれてイスラエルからキタ━━━(゚∀゚)━━━!!!!!
143:名無しさん@お腹いっぱい。
04/05/03 22:20
>>142
ウイルスてほとんどイスラエル製・・・
やっぱりナチに根絶されるべきだったな
144:名無しさん@お腹いっぱい。
04/05/03 22:20
誘導thx from pc2nanmin
145:名無しさん@お腹いっぱい。
04/05/03 22:21
ユダヤとチョンは他人の領域を勝手に侵食するからな
146:名無しさん@お腹いっぱい。
04/05/03 22:27
頼むからドイツもこいつもFWかルータくらいまともに使ってくれ。
147:113
04/05/03 22:28
どうもブラスタDの悪寒がする…あれが一番面倒だ…
間違えて本物のsvchost消したらあぼーんだし…
きょうびブラスタなんて流行んないよね…希望的憶測だけど
148:名無しさん@お腹いっぱい。
04/05/03 22:31
件の制限時間付き強制終了が頻発していたので脆弱性修正パッチあてました。
で、ウィルス消そうとタスクマネージャーのプロセス見たんですが、どこにもavserve.exeやavserve2.exeがないんです。
winntフォルダにも16416up.exeみたいなのないし。
で、やっぱり感染してないのかな、と思って確認の意味でnetstatかけたら
1025-1099がlistenされまくってるんですよ。
感染してるのかな?教えてエロイ人
149:名無しさん@お腹いっぱい。
04/05/03 22:32
>>147
そうとは言い切れないかも世?
実際ポート135のスキャンなんて飽きるほどくるし。
法人や企業とかならともかく、一般人あたりだとそのままってやつもいそうだし。
俺の知ってるやつに「パッチってなに?」って真顔で聞いてきたやつがいたシナ・・・
150:名無しさん@お腹いっぱい。
04/05/03 22:36
2004/05/03 21:56:12 2745
2004/05/03 21:56:12 1025
2004/05/03 21:56:12 3127
2004/05/03 21:56:12 6129
2004/05/03 21:56:12 80
同じ所から繰り返し来ますね。
151:笹公撃滅戦隊・火撃
04/05/03 22:36
|
/|7
./…||腐れsasserを
∥…||撃滅しに
∥ ||来たモナー
∥…|]`\
∥…||ロ.」
∥ |∧_∧
⊆三⊇´∀`)
⊂ ⊂/ )
∥/_|_|
□__)_)
((((∽))))笹公は
∥死ねやゴルァ!
⊿■三=━━─
ロ口∥> __пi
/⊥\┣/○⌒@I
~′ ̄ ̄|∟#゜Д゜)
【HH|/ ̄\⊇‡〓>━-
〈[※]> / ̄∥
152:名無しさん@お腹いっぱい。
04/05/03 22:38
佐々淳行 突入せよ 浅間山荘。
153:笹公撃滅戦隊・火撃
04/05/03 22:40
ヽヽヽ /∋∋∋⊃
( ゜∋゜)/⊃∋⊃∋
( 三<∋∋∋∋
| | |\∋⊃∋∋
(__)_) \⊃⊃∋
___ったくユダ公
/~⊂Ч⊃_とクソチョソは
(#・∀・)これだから
(つ]≡〓=━━─Σ
| |∥糞なんだよ
(_// ̄\ウラウラー!
 ̄ ̄ ̄ ̄ ̄ ̄ズドドン!
154:名無しさん@お腹いっぱい。
04/05/03 22:40
>>148
オンラインスキャンとか試してみたら?
URLリンク(www.trendmicro.co.jp)
URLリンク(www.symantec.com)
#テンプレにオンラインスキャンが無いのは失敗だな。
155:名無しさん@お腹いっぱい。
04/05/03 22:40
URLリンク(uploader.org)
こんな感じ。
156:名無しさん@お腹いっぱい。
04/05/03 22:41
>>150
うちとおなじやね。
たたいてくるポートも同じ。
ただしょっちゅうってわけじゃなくて、ちょっと間隔をあけてやってくる感じ。
もちろんIPは変わってるが第一オクテットは同じ。
原種はたしかポート445をたたくはずだが、こいつは亜種と言うことかな?
それとも別物?
どっちにしても情報少なすぎ。
157:154
04/05/03 22:41
トレンドマイクロのやつは>>6にあった。
158:名無しさん@お腹いっぱい。
04/05/03 22:42
MS04-011に関する調査結果
URLリンク(d.hatena.ne.jp)
159:名無しさん@お腹いっぱい。
04/05/03 22:43
>>149
タスクマネの開き方すら知らない厨房だからそんなタイプ
そいつはAに感染した経験があって俺が駆除した
パッチを落とすところまでやって時間がないからそいつにやらせて俺は仕事に行った
こーいう香具師ほど雑誌とか見て知識もないのに自動うぷだてはずしたり
FW切ったりするから始末が悪い…
j3…がんがりますわ…る
160:名無しさん@お腹いっぱい。
04/05/03 22:45
あした休日出勤する奴手挙げろ
161:149
04/05/03 22:46
>>159
確かにそういう傾向はあるよね。
生半可な「ネタ」知ってる割には生かし切れないで自爆するって言うパターン。
大変だけどがんばってくださいね-
162:名無しさん@お腹いっぱい。
04/05/03 22:47
2004-05-03 22:24:20 LAN(TCP,port 2745)
2004-05-03 22:24:20 LAN(TCP,port 135)
2004-05-03 22:24:20 LAN(TCP,port 1025)
2004-05-03 22:24:20 LAN(TCP,port 445)
2004-05-03 22:24:20 LAN(TCP,port 3127)
2004-05-03 22:24:20 LAN(TCP,port 6129)
2004-05-03 22:24:20 LAN(TCP,port 139)
2004-05-03 22:24:20 LAN(TCP,port 80)
2004-05-03 22:25:30 LAN(UDP,port 137)
2004-05-03 22:28:48 LAN(UDP,port 137)
2004-05-03 22:29:51 LAN(TCP,port 135)
2004-05-03 22:32:02 LAN(UDP,port 137)
2004-05-03 22:33:59 LAN(UDP,port 137)
2004-05-03 22:34:06 LAN(UDP,port 137)
2004-05-03 22:35:32 LAN(TCP,port 2745)
2004-05-03 2:35:32 LAN(TCP,port 1025)
2004-05-03 22:35:32 LAN(TCP,port 6129)
163:名無しさん@お腹いっぱい。
04/05/03 22:47
>>160
ちょうど今、指令がきたよ
port80しか開けてないから大丈夫だって言ってるのに
164:名無しさん@お腹いっぱい。
04/05/03 22:48
>>160
連休前にパッチ適用済みです。
FWはとうぜん塞いでいます。
少ない連休なんでマッタリ過ごさせてもらいます。
165:名無しさん@お腹いっぱい。
04/05/03 22:50
調べると自分と同じプロバイダから来るんだけど。
166:名無しさん@お腹いっぱい。
04/05/03 22:51
>>163
うちはポート80もまとめてたたきにくるんだが?
167:名無しさん@お腹いっぱい。
04/05/03 22:52
>>163
乙。
行ったとしてもすることないな。
168:名無しさん@お腹いっぱい。
04/05/03 22:52
>>166
もちFWもあるよ
169:お願いします
04/05/03 22:57
初めまして!どなたか知っている方がいたらお聞きしたいのですが、
タスクマネージャで、プロセスを見るとmspdox.exeというのがcpuを
非常に使っているのですが、何を起動しているのかわかりません。
cpu使用率が100パーセントになってしまっています。mspdoxは何を処理
しているのでしょうか?知っている方いましたら教えてくださいおね
がいします。説明が下手ですいません。
170:名無しさん@お腹いっぱい。
04/05/03 23:01
>>169
なんだろう?
171:名無しさん@お腹いっぱい。
04/05/03 23:02
僕のパソコンには、ないなあ。mspdox.exe
172:名無しさん@お腹いっぱい。
04/05/03 23:04
うちもないな。
XPproやけど。
173:名無しさん@お腹いっぱい。
04/05/03 23:04
>>158
>全サンプル数 65536 IP
>既に感染してしまった数 5.08%
ハァ・・・
174:名無しさん@お腹いっぱい。
04/05/03 23:11
2004/05/03 22:17:18 2745
2004/05/03 22:17:18 1025
2004/05/03 22:17:18 445
2004/05/03 22:17:18 3127
2004/05/03 22:17:18 6129
2004/05/03 22:17:18 139
2004/05/03 22:17:18 80
2004/05/03 22:17:21 445
元側でREJECTしているのかも知れませんが、いくつかパターンがある様ですね。
2745だけを叩くタイプもありました。
175:名無しさん@お腹いっぱい。
04/05/03 23:18
>169
msgbox.exeだろ
176:名無しさん@お腹いっぱい。
04/05/03 23:23
韓国からバンバン叩きに来ている。
また不正コピーでパッチを当てられない現象ですか?
177:名無しさん@お腹いっぱい。
04/05/03 23:28
>>176
毎度の事じゃ
178:名無しさん@お腹いっぱい。
04/05/03 23:33
.>>174
たたいていく順番にある程度規則性がありますね。
うちも80→139→6129→3127と言うパターンと
445→1025→135→2745と言うパターンが組み合わさってきますね。
どっちか前後はしますが。
179:名無しさん@お腹いっぱい。
04/05/03 23:40
>>169
分かんないけどウイルススレのこの人と同じ症状じゃない?
ms????.exeっての
【正式】ウィルス情報&質問 総合スレッド☆Part18
スレリンク(sec板:926-番)
180:名無しさん@お腹いっぱい。
04/05/03 23:42
D も出たよ。今度は skynetave.exe だと。
URLリンク(www.trendmicro.co.jp)
181:名無しさん@お腹いっぱい。
04/05/03 23:44
スレリンク(sec板:855-番)
不正アクセスを晒すスレでも報告多数あるよ。
182:名無しさん@お腹いっぱい。
04/05/03 23:46
ウイルスバスター2004入れてるんだけど、それだけで大丈夫かなぁ(´・ω・`)
183:名無しさん@お腹いっぱい。
04/05/03 23:49
ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
URLリンク(www.trendmicro.com)
FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。
スレリンク(sec板:321番)
184:名無しさん@お腹いっぱい。
04/05/03 23:51
━━━━━━━━━━━━━━━━
Kerio Personal Firewall 4
・「システムセキュリティ」というプログラム起動を監視する機能により、
キンタマウイルス URLリンク(www.symantec.com)
などのアイコンを偽装したEXEファイルをクリックしても警告が出て感染を防げる
(玄人向けで有料だがTiny5でも防げる。
Sygate・Zone Alarmには似たような機能があるが防げない。
Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない)
・現時点では日本語化できない
・2バイト文字には対応していない
・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし
kerio2のように詳細ルールも作れる
・SPIとIDS、トロイ対策のDLL監視機能もある(広告ブロックは有償版のみ)
・Outpostなみに軽い
スレリンク(win板:233番)
●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト
URLリンク(eazyfox.homelinux.org)
●Kerio Personal Firewall 4のログビューア
URLリンク(www.geocities.jp)
━━━━━━━━━━━━━━━━
185:名無しさん@お腹いっぱい。
04/05/03 23:54
/////////////////////////////////////////////////////////////////
System Safety Monitor(SSM)
・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のようにHTMLからのexe起動を含め、
キンタマウイルス URLリンク(internet.watch.impress.co.jp)
などの(ルールが)未決定のアクションを防げる(PFWではない)
・無料
・日本語化できる
・レジストリキーの変更も監視できる
●SSMヘルプ翻訳テキスト+HTML配布サイト
URLリンク(www.geocities.co.jp)
/////////////////////////////////////////////////////////////////
186:名無しさん@お腹いっぱい。
04/05/03 23:55
このコピペって先日から出没してるキチガイのコピペだよね。
187:名無しさん@お腹いっぱい。
04/05/03 23:56
901 名前:900[sage] 投稿日:04/04/02 22:14
アンチウイルスソフト検出力結果報告(・∀・)
ANTIDOTE / avast! 4 / AVG / AntiVir / BitDefender / eTrust
◇ウイルス
EBCVGにてBinary VirusesとVirus codesを合計722ファイル(重複あり)
全てzip圧縮に変換
Linux/Macウイルスあり
◇アンチウイルスソフト
4/2 18:00頃の最新パターン適用
比較対照としてトレンドマイクロオンラインスキャンを使用・・・したかったけど結果悪いのでBitDefenderを基準に
☆結果 (検出数/検出率)
BitDefender (*1) 580 100.0%
AVP (*2) 545 93.97%
Trend Micro 539 92.93%
Antidote (*3) 524 90.34%
avast!4 (*4) 470 81.03%
eTrust (*5) 444 76.55%
AVG (*6) 212 36.55%
*1 懐疑ファイル13含む
*2 懐疑ファイル2含む
*3 コード解析/圧縮ファイル/詳細検索にチェック。詳細検索にチェックを入れない場合は520。なお懐疑ファイルはどちらも3。
*4 迅速な検査=261 標準検査=286 完全な検査=470
*5 Heuristic有効。SafetyLevel → Reviewer ScanningEngine → InoculateIT
*6 Heuristic有効。
AVGの検出率が悪すぎる。何かおかしい気が・・・(・∀・)?
【cool】BitDefender Free Edition【free】
スレリンク(sec板:901番)
188:名無しさん@お腹いっぱい。
04/05/03 23:58
802 名前:Bitスレ901[sage] 投稿日:04/04/04 19:02
BitDefender(以下BD)が全てのウイルスを検出したわけではないです。
BDが検出したウイルス数の580を100%として出した結果です。
要するにAVGだとBDの37%ということです。
誤解してる人がいるかもしれないので念のため。
※AVGの検出は悪すぎたので"3回再インスト&4回検査”してます。
で、結果は全て同じ(゚д゚)
非圧縮時の検出率を知りたい人は適当にウイルス集めて試してください(´・ω・`)
【フリー】AVG Anti-Virus Version15
スレリンク(sec板:802番)
189:名無しさん@お腹いっぱい。
04/05/03 23:59
831 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/04/05 01:03
去年(031207)同じようにやった結果
定義ファイル、プログラムは当時最新
圧縮なんかの設定はebcvgから落としてきたまま(rar,zip,b64)
ただしほとんどはzipだから誤差は少ないと思う
Antidote (*1) 549 100.00%
eTrust (*2) 537 97.81%
BitDefender (*3) 502 91.44%
avast!4 (*4) 484 88.16%
AVG (*5) 366 66.67%
*1 コード解析,圧縮ファイル,電子メール, 懐疑5
*2 設定が多いから略。たぶん最高
*3 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
ただしvirus bodiesは584, 懐疑22
*4 圧縮ファイル
*5 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
(一応どれも設定は最高にしてやったつもり)
>>731と見比べると向こうはBitdefenderの検出数をvirus bodiesで
数えてるんじゃないかと思う。
おれはIdentified virusesが検出数だと思うから上はそっちを採用してる。
AVGの検出が悪いのはたぶん設定の問題。でも良くはない
むしろ>>742と同じような結果だから、AVGの検出力はこんなもんだと思ってる。
【フリー】AVG Anti-Virus Version15
スレリンク(sec板:831番)
190:名無しさん@お腹いっぱい。
04/05/03 23:59
こぴぺ厨マジうぜぇ
SSMは挙動不審だし
ウイルス検出率もデマだったと言う話だし
191:名無しさん@お腹いっぱい。
04/05/04 00:00
BitDefender(フリーの最新版)
・リアルタイムスキャンできない、メールスキャンできない
・まだ日本語化できない
URLリンク(ringonoki.net)
AntiVir(フリー版)
・リアルタイムスキャンできる
・メールスキャンできない(常駐オンでread and write時有効な場合、添付ファイルを選択すればチェックできる)
・まだ日本語化できないに等しい
URLリンク(eazyfox.homelinux.org)
avast! 4(フリー版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語版がある、2バイト文字に対応
URLリンク(iso-g.hp.infoseek.co.jp)
eTrust(フリーのプロモーション版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
・導入時に修正パッチをインストールするのがめんどう
URLリンク(etavfp.hp.infoseek.co.jp)
AVG(フリー版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
URLリンク(eazyfox.homelinux.org)
192:名無しさん@お腹いっぱい。
04/05/04 00:10
スタコラサッサDとうとう来たか。
こりゃ連休中にZまで逝くな。
193:名無しさん@お腹いっぱい。
04/05/04 00:10
ちう
194:名無しさん@お腹いっぱい。
04/05/04 00:11
>>193
???
195:名無しさん@お腹いっぱい。
04/05/04 00:14
>>193
パンダスレに(・∀・)カエレ!
196:名無しさん@お腹いっぱい。
04/05/04 00:30
私の朝は、
ウイルスバスターオンラインスキャン
URLリンク(www.trendmicro.co.jp)
とともにはじまり、
シマンテック・セキュリティチェック
URLリンク(www.symantec.com)
を実行しつつ、カフェにいそしむ。
そのあとは、
AVG Anti-Virus フリーバージョンを実行し、
URLリンク(www.grisoft.com)
オミトロンがちゃんと動いてるかチェックする
URLリンク(www.pluto.dti.ne.jp)
そのあと、ZoneAlarm ( URLリンク(www.zonelabs.com) )を眺めつつ、
パンを食べ、
セキュリティ板を巡回し、
URLリンク(pc3.2ch.net)
タバコを一服。
おもむろにウンコをしたあと、読書に耽る。
197:名無しさん@お腹いっぱい。
04/05/04 00:37
カフェにいそしむって何ですカ?
198:名無しさん@お腹いっぱい。
04/05/04 00:41
>>197
コーヒーを飲むことでしょ
199:名無しさん@お腹いっぱい。
04/05/04 00:52
ちう
200:名無しさん@お腹いっぱい。
04/05/04 00:55
200
201:名無しさん@お腹いっぱい。
04/05/04 01:08
スレリンク(sec板:276-278番)
起動時・シャットダウン時は
Tiny>ZoneAlarm>>>>Kerio4 = Kerio2
Kerioは糞だよ。
起動時kerioは感染します
Outpostは不明
202:名無しさん@お腹いっぱい。
04/05/04 01:10
良かった、MEで・・・
203:名無しさん@お腹いっぱい。
04/05/04 01:10
起動時、シャットダウン時に最強なのは
Windows XP SP2のFWだ
どんなソフトよりも強い
204:名無しさん@お腹いっぱい。
04/05/04 01:27
sygateは?
205:名無しさん@お腹いっぱい。
04/05/04 01:28
SP2に一票
206:名無しさん@お腹いっぱい。
04/05/04 01:35
ルーター
207:名無しさん@お腹いっぱい。
04/05/04 01:36
>>206
まぁそれは常識だろ
208:名無しさん@お腹いっぱい。
04/05/04 01:37
いい加減ルーターくらい挟んだらいいのに
ダイアルアップ時はファイアウォールを必ず入れろ
209:名無しさん@お腹いっぱい。
04/05/04 01:44
今、このワームに気づいたわけだが・・・
TCP445叩かれまくりな上に、他のポートも一緒に叩いてくるのもあるんだが亜種かなんか?
210:名無しさん@お腹いっぱい。
04/05/04 01:47
ABCD
がありますが、どれがいいですか?
211:名無しさん@お腹いっぱい。
04/05/04 01:48
>>35
OCNに入るくらいだから、ド素人・じいちゃんばあちゃんが
ユーザーに多い。
212:名無しさん@お腹いっぱい。
04/05/04 01:49
トレンドマイクロオンラインスキャンでサッサの検知は可能ですか?
一応鬼門と呼ばれるパッチ当てて、仕上げに感染してるか確認取りたいんだけど
定義パターンに登録されてなくて感染してませんと表示されても悲しい
どうかよろしくお願いします
213:名無しさん@お腹いっぱい。
04/05/04 01:49
665番のアタックが激しい
214:名無しさん@お腹いっぱい。
04/05/04 01:50
2004/05/03 15:50:12 IP_Filter REJECT TCP 219.***.*.***:3334 > ***.**.**.**:445 (IP-PORT=7)
これかな?
ルータの設定とか、自信ないんで
こういうワームが出現するたびに不安になるよ。
215:名無しさん@お腹いっぱい。
04/05/04 01:51
>>212
可能だよ。
というか可能じゃなかったら困るでしょ。
一応大手ウイルス対策ソフトベンダーなんだから。
216:名無しさん@お腹いっぱい。
04/05/04 01:53
>>210
A ください! C ばっかりなんで、オリジナルの A がいいで~す。
217:名無しさん@お腹いっぱい。
04/05/04 01:57
Blasterのときと一緒でICMP2048の叩きもきてるね。(pingだっけ?
218:名無しさん@お腹いっぱい。
04/05/04 01:58
持ってるって意味じゃなくて
A,B,C,Dが出てるって言いたかっただけ orz
219:名無しさん@お腹いっぱい。
04/05/04 01:59
連休開けは脚立と懐中電灯を倉庫から出しとくのを忘れないように。
つーネタがわかるのはブラスタスレ常連。
220:名無しさん@お腹いっぱい。
04/05/04 02:00
色々ポート番号で照るけど
221:名無しさん@お腹いっぱい。
04/05/04 02:00
445やばーい。
でもノートソ先生がいっぱい弾いてくれてまつヽ( ´∀`)ノ
222:名無しさん@お腹いっぱい。
04/05/04 02:01
またアメリカで大停電が起こるの?
223:名無しさん@お腹いっぱい。
04/05/04 02:01
結局445だけ塞いでもだめなのかな?
224:名無しさん@お腹いっぱい。
04/05/04 02:03
>>223
今回のは、445塞げばなんとかなるけど
いろんなワーム(ウイルス)弾くなら、いろんなポート閉じる必要がある
225:名無しさん@お腹いっぱい。
04/05/04 02:04
パッチあてて445を塞ぐ。
これで防御できるのかな?
226:名無しさん@お腹いっぱい。
04/05/04 02:04
>>219
そーいえば、ソフマップに「永久懐中電灯」があったなぁ。
値札がついてなかったけど、いくらだろ?
227:名無しさん@お腹いっぱい。
04/05/04 02:06
全部閉じればいいのに
ntpとdnsだけIPアドレス指定で開けとく
228:名無しさん@お腹いっぱい。
04/05/04 02:06
>>225
1レス上
229:名無しさん@お腹いっぱい。
04/05/04 02:07
135と445を交互に叩かれる
230:名無しさん@お腹いっぱい。
04/05/04 02:07
>>227
80は開けとけよ
231:名無しさん@お腹いっぱい。
04/05/04 02:07
445と同時に同じホストが叩いたポートは閉じるべきか
232:名無しさん@お腹いっぱい。
04/05/04 02:08
>>231
そいつのホスト拒否れば
モーマンタイ
233:名無しさん@お腹いっぱい。
04/05/04 02:08
>>229
うちもだ。
234:名無しさん@お腹いっぱい。
04/05/04 02:11
>>230
?
こんなのばっかり…
INとOUTの区別はつけなさいよ
235:名無しさん@お腹いっぱい。
04/05/04 02:12
230じゃないけど
>>227
にはINもOUTも書かれてない罠
236:名無しさん@お腹いっぱい。
04/05/04 02:13
>>235
馬鹿じゃないの
普通わかるだろ
237:名無しさん@お腹いっぱい。
04/05/04 02:16
>>215
ありがとうございます
結果、検出されませんでした
前回のリブートウイルスには見事やられたけど
今回は運がいいのか実害なく終われました
238:名無しさん@お腹いっぱい。
04/05/04 02:19
>>227のは、NTP鯖でDNSかつWWW鯖
239:名無しさん@お腹いっぱい。
04/05/04 02:23
今気付いたんだが
2004/05/03 16:28:35 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:30 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:22 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:18 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:14 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:12 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:08 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:07 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
2004/05/03 16:28:05 FILTER TCP connection denied from 202.248.***.***:443 to ***.***.***.***:2745
こいつは何が目的だ orz
240:名無しさん@お腹いっぱい。
04/05/04 02:27
うぜーな
241:名無しさん@お腹いっぱい。
04/05/04 02:27
ていうか、新たなワームが発見されるたびに
やれ135,137,139だ
やれ445だ
やれ1433,1434だ
って後手後手に対応しても大変じゃないですか?
IN方向は基本的に全拒否にしとけば、まず感染する危険性が激減します
万が一感染してしまったときのことを考えたときに
初めてOUT方向の”ポートを塞いでおこう”という発想になるのです
しかし、ここで”ポートを閉じる”議論を見てると
明らかにインバウンドのお話です
皆さん、ポートは外に向けて開放しておくものではありません
わかってください。お願いします
>>236は言葉が過ぎたので、謝ります。すいませんでした
>>238
ntpはクライアント側も開放しないと通信できません
ルーターはhttpdが動いてるので、80を開放したら大変ですね
では、おやすみなさい
242:名無しさん@お腹いっぱい。
04/05/04 02:29
お願いされちゃったよ、参ったなこりゃ
243:名無しさん@お腹いっぱい。
04/05/04 02:30
OUTを閉じる意見は
>>68,72,73
とかでやってるね
244:名無しさん@お腹いっぱい。
04/05/04 02:33
>>73
は偉い
では、おやすみ
245:113
04/05/04 02:35
活動を見る限りsasserだと思うんだけどavseveも無ければ*****_up.exeもない・・・
マイナーな亜種にでも感染したか?
246:名無しさん@お腹いっぱい。
04/05/04 02:36
まー本来ネットワークは繋げるためにある訳で
FWでinもoutもちくちく閉じてると、なんか空しくなる今日この頃だ
>>241の話は判るんだけどね。
247:定期貼り
04/05/04 02:44
■こんなんなったらサッサーにやられてます。
・変な窓が出てカウントダウンの後OSが強制的にシャットダウンする。
LSA Shell(Export Version) has encountered a problem
This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかしらないがパソコンの反応がメチャ遅い。
■トレンド、シマンテックのデータベース情報、MSの公式対策情報 >>12
■WindowsのLSASS脆弱性にパッチを当てる。
Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
URLリンク(www.microsoft.com)
■MSの駆除ツール >>5
■ちゃんとしたファイアウォールを入れましょう。解説とリンク >>3
248:名無しさん@お腹いっぱい。
04/05/04 02:46
アタック来てるのってどうやったら分かるんですか?すいません
249:定期貼り
04/05/04 02:46
スマソ。あと【SASSER FAQ XP付属ファイアウォール編】>>24
250:名無しさん@お腹いっぱい。
04/05/04 02:49
>>248
ログが取れるちゃんとしたファイアウォール入れてればわかる。
しかしその場合はちゃんと防いでいるということだから気にする
必要もないわけだw
>>3 >>24 見ておくように。
251:名無しさん@お腹いっぱい。
04/05/04 03:08
>>250
ありがとうございます
252:名無しさん@お腹いっぱい。
04/05/04 03:09
消しても消しても復活します
253:名無しさん@お腹いっぱい。
04/05/04 03:12
ゾネの警告&ログが異常に静かだ・・・・・
ゾネの警備員染んじゃったんだろうか・・・・?
254:名無しさん@お腹いっぱい。
04/05/04 03:14
>>253
それは貴方が仕事を奪っているからです。
ルータの穴を開けましょう。
255:名無しさん@お腹いっぱい。
04/05/04 03:14
>>253
気にすんな。あうぽの警備員も静かだ。445が派手に叩かれるのは
連休明け。
256:名無しさん@お腹いっぱい。
04/05/04 03:21
まだ1、2分置き位ですな。
ブラスタのときは半端じゃなかったが、連休明けにはあれぐらいになるのかなぁ・・・
257:113
04/05/04 03:23
>>252
システムの復元OFFにしてある?
ってかおいら釣られた?
258:名無しさん@お腹いっぱい。
04/05/04 03:27
久しぶりにルータのログ見たけど、445来てるな~
だが、その数倍の135,137へのアタックが来てるのは…
259:名無しさん@お腹いっぱい。
04/05/04 03:33
>>256
1時間2000回くらい来てたな。
あうぽ入れてたが、初心者だったので「許可したルール以外の接続全部遮断」
というルール入れてなかったからOS起動中の10秒くらいのFWの空白期間に
瞬殺で入り込まれてびっくらこいた。
今度はFW+修正パッチ+アンチスパイで鉄壁…のハズw
260:名無しさん@お腹いっぱい。
04/05/04 03:55
MSに鉄壁はアリエナーイ
261:名無しさん@お腹いっぱい。
04/05/04 03:56
連休明けに会社のPCが一斉にbootしたとたん (・∀・) うひょー
262:名無しさん@お腹いっぱい。
04/05/04 04:18
連休中に、OS再インストしようと思っているものです。
これってネット接続するだけで、感染するみたいだけど、こういう場合はどうすれば安全に再インストできるのでしょうか?
「HDDフォーマット >> OS(WIN2000)インスト >> WINDOWSUPDATE >> 各種アプリインスト」
以前はこうやってたけどこれだと感染してしまいますよね?
263:名無しさん@お腹いっぱい。
04/05/04 04:26
>>262
PFWで防御
264:名無しさん@お腹いっぱい。
04/05/04 04:29
P2P対策なんだろうか…
265:名無しさん@お腹いっぱい。
04/05/04 04:37
誰か、封鎖ポート一覧を作ってくれ_| ̄|○
266:名無しさん@お腹いっぱい。
04/05/04 04:37
>>262
263の言う通り、PFWをリムーバブル・メディアに保存した上で、
→ケーブルを抜く
→OSを再インストール
→PFWをインストール
→ケーブル繋ぐ
→Windows Update
→各種アプリをインストール
ルータが有るなら、PFWは不要。
TCP445のIncomingを拒否するフィルタリング設定を行えばよい。
267:名無しさん@お腹いっぱい。
04/05/04 04:42
>>265
TCP 139 Incoming & Outgoing
TCP 445 Incoming & Outgoing
TCP 5554 Incoming & Outgoing
TCP 9996 Incoming & Outgoing
268:名無しさん@お腹いっぱい。
04/05/04 04:48
>>263,266
つーか、該当パッチファイル先に落としとけばいいんでねぇの?
269:名無しさん@お腹いっぱい。
04/05/04 04:49
>245
漏れは同じような状況です。
abserve、*****_up.exe無し。
不定期に突然「~lsass.exe は、状態コード128 で突然終了しました。」
と出てカウントダウン60秒後に再起動がかかる。
原因が分からないから不気味だ…
270:名無しさん@お腹いっぱい。
04/05/04 04:50
>>268
HA!HA!HA!
コリャ一本取られたネ!
確かにその通りだ。
271:名無しさん@お腹いっぱい。
04/05/04 04:52
>>268
手間隙かけるのが苦痛で無ければな
272:名無しさん@お腹いっぱい。
04/05/04 04:58
明日は田代砲の日か…
またダウンする悪寒
273:名無しさん@お腹いっぱい。
04/05/04 05:11
TCP/UDP全ポートの受信を拒否するようにしたんですがこうすると安全なんですか?
274:名無しさん@お腹いっぱい。
04/05/04 05:16
>>273
そんなことするぐらいならLANケーブル引っこ抜け。
275:名無しさん@お腹いっぱい。
04/05/04 05:18
, -ー,
/ |
∧∧ / | TCP/UDP全ポートの
(*゚ー゚)/. | 受信を拒否するように
| つ'@ | したんですがこうすると
~_`)`). | 安全なんですか?
 ̄ ̄ ̄しU |
| |
~~~~~~~~~~~~
|
>>274
276:名無しさん@お腹いっぱい。
04/05/04 05:19
>>261
ハゲワラ!
277:262
04/05/04 05:20
>>263 >>266
レス、どうもです。
「HDDフォーマット >> OS(WIN2000)インスト >> Norton-PFWインスト >> Norton-PFW、UPDATE >> WINDOWSUPDATE >> 各種アプリインスト」
こんな感じで行ってみようと思います。
278:名無しさん@お腹いっぱい。
04/05/04 05:25
>>274
ケーブルじゃなくて無線なんです…
279:名無しさん@お腹いっぱい。
04/05/04 05:27
>>278
第一にどうやって2chのログを読んでいる。
第二に、それならFWのデフォで十分。
280:名無しさん@お腹いっぱい。
04/05/04 05:40
>>273
おい!
早くルーター買い換えろ
閉じてログ見えるんなら、おまいのルーターは壊れてるぞ
早く!急げ
281:名無しさん@お腹いっぱい。
04/05/04 06:26
Win98SE使ってますが
サッサーに感染しますか?
282:名無しさん@お腹いっぱい。
04/05/04 06:29
>>281
しない。相手にされてません。
283:名無しさん@お腹いっぱい。
04/05/04 06:40
>>281
しないよ。
高みの見物と以降じゃないか、同士よ。(・∀・) ウヒョー
284:名無しさん@お腹いっぱい。
04/05/04 06:44
In/Outの違いが分かってない奴多いな。
285:名無しさん@お腹いっぱい。
04/05/04 06:45
Windows Updateの重要な更新をインストールしておけば
URLリンク(www.microsoft.com)
ここのパッチはダウンロードしなくても感染しませんよね?
286:名無しさん@お腹いっぱい。
04/05/04 06:48
>>285
WindowsUpdateにそのパッチが入ってるので
ダウンロードする必要はありません。
287:名無しさん@お腹いっぱい。
04/05/04 06:49
>>281
WORM_SASSER.B
変種・亜種: WORM_SASSER.A
感染報告有無: あり
プラットフォーム: Windows 95,98,ME, NT, 2000, XP
288:名無しさん@お腹いっぱい。
04/05/04 06:52
>>287
その情報はおかしいだろ
URLリンク(www.symantec.com)
>影響を受けるシステム: Windows 2000, Windows Server 2003, Windows XP
289:名無しさん@お腹いっぱい。
04/05/04 06:53
この大法螺吹き>>287に、誰か正義の鉄槌を下し給わん事を
290:名無しさん@お腹いっぱい。
04/05/04 06:54
>>286
どうもありがとうございました。
291:287
04/05/04 06:57
トレンドマイクロでは98も対象になってるぽ
URLリンク(www.trendmicro.co.jp)
292:名無しさん@お腹いっぱい。
04/05/04 06:59
まぁ情報が錯乱してるから、どうにも言えんな。
1週間後には、まとまってるかな
293:名無しさん@お腹いっぱい。
04/05/04 07:03
9xにはワームは入るが活動はしない(できない)とか
あくまで憶測
294:287
04/05/04 07:06
MSのWEBには98については「緊急」ではないと書いてある
これはMSにとっては緊急ではないから98用のパッチを出さないということか?
295:287
04/05/04 07:09
トレンドマイクロから届いたウイルス警告メールでも
○感染の危険のあるプラットフォーム
Windows 95、98、Me、NT、2000、XP
となっている。
296:名無しさん@お腹いっぱい。
04/05/04 07:11
9x系を見放しただけ
297:名無しさん@お腹いっぱい。
04/05/04 07:14
2k/XP以外では、セキュリティホールを利用したリモートコントロールが出来ないと書いている。
だからFTP転送によるコピーも出来ない。
>Windows 95,98,ME, NT, 2000, XP
この無節操なラインナップから見て、通常ありえない形で強引に感染させたんじゃないの?
そしたらレジストリを変更したり、Systemフォルダに何かファイルを作った、と。
でも活動は、出来ない、と。
そういう事だろう。
298:名無しさん@お腹いっぱい。
04/05/04 07:19
サッサのA.B.Cが入ってたんですけど。。。
Cも出てるんですね。
299:名無しさん@お腹いっぱい。
04/05/04 07:20
>>298
Dもあるでよ。
300:名無しさん@お腹いっぱい。
04/05/04 07:21
サッサZはまだか?
301:名無しさん@お腹いっぱい。
04/05/04 07:22
Zの次はなに?
302:名無しさん@お腹いっぱい。
04/05/04 07:24
AA
303:次
04/05/04 07:24
AB
AC
...
304:名無しさん@お腹いっぱい。
04/05/04 07:27
コノ時間に即レス&マジレスがthx
ちなみに445より135が増えてきた
305:名無しさん@お腹いっぱい。
04/05/04 07:45
ルータってデフォでInは繋げないものですか?
306:名無しさん@お腹いっぱい。
04/05/04 07:52
>>305
うちのルーター、デフォルトではTCP&UDP137~139しか閉じてなかった。
307:名無しさん@お腹いっぱい。
04/05/04 07:58
サッサーが発生してからupdateしてないのに、今updateしてみたら
重要な更新は見つかりませんでした。
どうしたらいいでしょうか?
xpです。
308:名無しさん@お腹いっぱい。
04/05/04 07:59
>>305
家のルータ(I.O Data WN-G54/BBR)だとデフォルトでIn側TCP/UDP全ポート拒否になってる。
309:名無しさん@お腹いっぱい。
04/05/04 08:00
>>307
今回の件で問題になってるパッチはさっさ発生以前に既にリリースされてるよ
310:名無しさん@お腹いっぱい。
04/05/04 08:00
>>307
Sasserが出てからまだ新しい更新はUPされてないし。
311:287
04/05/04 08:02
>>307
4月の14日にうpdateしてたら大丈夫
312:名無しさん@お腹いっぱい。
04/05/04 08:02
I-Oってストレージ製品は結構良いけどネットワーク系弱いよな
313:名無しさん@お腹いっぱい。
04/05/04 08:02
>>307
534 名前:名無しさん@4周年[sage] 投稿日:04/05/04 06:14 ID:OVIHs4Kx
KB835732入ってるか気になって今WindowsUpdateの履歴調べてみたら
4月18日に自動更新されてたヽ(´ー`)ノ
314:307
04/05/04 08:07
>>309
>>310
>>311
>>313
皆さんありがとうございました。安心しました。
315:308
04/05/04 08:08
>>312
前に使ってたI-Oのルータ(名前忘れた)は落ちまくる糞ルータだったけど今のは特に不満ないよ。
316:名無しさん@お腹いっぱい。
04/05/04 08:10
要するに98SEの私はダウンするパッチもないので放置すればいいってことですね?
317:名無しさん@お腹いっぱい。
04/05/04 08:11
>>316
アンチウイルスソフトを入れて、定義を最新のものにする。
FWを入れる。
これでOK
318:312
04/05/04 08:14
おっ
今度買うとき参考にするよ。THX
319:名無しさん@お腹いっぱい。
04/05/04 08:29
漏れはHDD,DVD-RAM等はI-O
ルーターはバッファロー
LANカードはコレガ
320:31
04/05/04 08:34
>>245 >269
321:31
04/05/04 08:36
>>245 >>269
もれも同じ状況だったYO
とりあえず、修正パッチとファイアウォール(Outpost)を時限爆弾前にササッと入れておいたらポート445は塞げるから時限爆弾は登場しない。
そしてオンラインスキャンしてみたら、msblastとnachiに感染してますたよ。
322:名無しさん@お腹いっぱい。
04/05/04 08:37
>>320
その2つはDじゃないか?
skynetave.exe
だけど
323:名無しさん@お腹いっぱい。
04/05/04 09:57
ゴールデンウィークに出てくるのは
やっぱり日本狙ってるのか?
このせいでゴールデンウィーク明けに
仕事に支障が出るわけで
海外企業または何らかの組織の陰
324:名無しさん@お腹いっぱい。
04/05/04 10:04
>>323
この時期は中国とかマレーシアも長期の休みになるから
日本も含めてアジア地域を狙っている可能性はあるな
325:名無しさん@お腹いっぱい。
04/05/04 10:08
糞パッチ修正版(English)ができたらしい
まだ、公開はしてないぽ
326:名無しさん@お腹いっぱい。
04/05/04 10:31
もういやだ
パソコン使うのやめる
327:名無しさん@お腹いっぱい。
04/05/04 10:34
もまいら!!
サッサと言えば金鳥(r
328:名無しさん@お腹いっぱい。
04/05/04 10:38
>>325を補完します
URLリンク(support.microsoft.com)
[Hotfix information]に修正パッチのファイル情報があります。
329:名無しさん@お腹いっぱい。
04/05/04 10:39
ここにお集まりの2chの皆さん、お助けください。
義兄のPCがこのウィルスにやられたみたいです。
再起動を繰り返し立ち上がってきません。災厄データだけでも抜き取りたいのですが
他のPCへセカンダリとして接続しても、感染しないでしょうか?
また、他に良い方法があればご教授ください。
330:名無しさん@お腹いっぱい。
04/05/04 10:43
う~んネットを始めて4年経つが一度もウイルスに感染したことが無い
運がいいのかセキュリティーが完璧なのか
はたまた誰にも相手にされないのか
331:名無しさん@お腹いっぱい。
04/05/04 10:54
>>329
接続したPCが何も対策してなけりゃ、感染する。
データ移動については、USBメモリでも買ってくれば?
災厄データがどんなもんか知らんがw
332:名無しさん@お腹いっぱい。
04/05/04 11:02
>330
トロイはどっさり持ってそうだな、オマエ
333:名無しさん@お腹いっぱい。
04/05/04 11:04
>>329
再起動するまで時間差あるでしょ?
パッチあてて駆除ツール使え
334:名無しさん@お腹いっぱい。
04/05/04 11:08
>>331
>>333
ありがとう!
しかし、立ち上がる前に再起動になってしまいます。
立ち上がらなければ、何もできないですか?
335:名無しさん@お腹いっぱい。
04/05/04 11:13
>>334
>>4 に書いてあるMSの対策ページには目を通したのか? と小一時間・・・
336:名無しさん@お腹いっぱい。
04/05/04 11:13
>>326
大正解!
337:287
04/05/04 11:14
ここに書いてあるセーフモードで立ち上げてってのでどうだい
URLリンク(www.trendmicro.co.jp)
338:名無しさん@お腹いっぱい。
04/05/04 11:15
スレリンク(newsplus板:326番)
326 : ◆C.Hou68... :04/05/03 22:38 ID:RWPnrrSh
>>315
念のため言っとくとAirH"じゃ穴は塞げないぞ。
ところでIDからすると、PCはやっぱ不治痛?
*****
を見て、来ました。
AirH"+VB最新定義+WIN・update本日AM11:11現在利用可能な更新なし
でしなくてはならないことはあるでしょうか?
339:名無しさん@お腹いっぱい。
04/05/04 11:17
>>335
じゃあネットに繋がらない俺はどうしたらいいのかと小一時間t(ry
340:名無しさん@お腹いっぱい。
04/05/04 11:20
この1週間、私自身はアップデートしてないのですが (父がしたかも?)
アップデートの更新をしても「重要な更新項目はありません」
みたいな文章がでます。
…安心して良いんだよね……?ガクブル
341:名無しさん@お腹いっぱい。
04/05/04 11:24
>>338
AirH"やmoperaを使う時は、PFWを入れて完全stealthにした方がいい。
342:名無しさん@お腹いっぱい。
04/05/04 11:27
>>332
自分は8年目になるけどウィルスもトロイの類も無い…。
#しかし135と445へのアタックが凄いな。(十数秒刻みで…)
#適切なパッチ当てやルータ、ファイヤーウォール等を導入
#してない奴が多いんだな。
343:名無しさん@お腹いっぱい。
04/05/04 11:34
ルーターのログに見事に445が並んでる(´ー`)
344:名無しさん@お腹いっぱい。
04/05/04 11:34
>>330
自分もそのくらい経つけどなんもない。
たまにオンラインスキャンしてるけど何も出てこない。
345:287
04/05/04 11:38
今頃気づいたんだけど
阪神が単独首位やん
346:338
04/05/04 11:39
>>341
ありがとうございました。
347:名無しさん@お腹いっぱい。
04/05/04 11:40
昨日サッサーに感染したんだけど、今日WINDOWSのアップデートと
ファイアーオールをONにしたら、カウントダウンがなくなり、普通に繋げるようになってる
一応
・セーフモードでレジストリ確認
・トレンドのオンラインスキャン
・windowsの検索
やってみたけどなにも出てこない。このままにしておいていいんでしょうか。
348:名無しさん@お腹いっぱい。
04/05/04 11:41
FWのログ見てると445へのアタックもあるにはあるが
同時に4つくらいのポート(毎回同じ)をたたいていくやつの方が多い。
みなさんのところはどうですかい?
ちなみにたたいていくのは80,139,6129,3127と445,1025,135,2745
これを規則的にたたいていくんだが。
349:名無しさん@お腹いっぱい。
04/05/04 11:43
>>348
135,445が多いね。80,139,6129,3127は不定期に来る感じです。
350:名無しさん@お腹いっぱい。
04/05/04 11:47
>>344
まあ普通はそんなもんじゃない
351:名無しさん@お腹いっぱい。
04/05/04 11:49
>>339
じゃあここは何?ネットじゃないのか?
携帯で見てるのならスマン(w
352:名無しさん@お腹いっぱい。
04/05/04 11:56
ZoneAlarm使いだが
445単独のたたきはDNS逆引きができるのに、
ポートまとめたたきのやつはなぜか逆引きが出ない。
(すべて***.in-addr.arpaになる)
これはどういうことなのかな?
大したことじゃないけど、ログがこれで埋まっていくのは気味悪いし。
353:名無しさん@お腹いっぱい。
04/05/04 12:04
ルーター入れてれば、問題ないのにね。
354:名無しさん@お腹いっぱい。
04/05/04 12:16
>>353
禿胴。
この辺見て不要なポート塞ぐべし。
URLリンク(www.ipa.go.jp)
355:名無しさん@お腹いっぱい。
04/05/04 12:20
OSはウインドウズ98なんだけど
サッサーに感染しますか?
356:名無しさん@お腹いっぱい。
04/05/04 12:20
>>347
オンランインスキャンで、なんもでてこないならいいんじゃないの。
357:名無しさん@お腹いっぱい。
04/05/04 12:21
久々に、ADSLモデム(ルータ機能込)のログを見たが、
何じゃコリャって感じ。
韓国だの、台湾だの、おフランスだの…。
358:名無しさん@お腹いっぱい。
04/05/04 12:23
355です。
自己解決しました。
359:名無しさん@お腹いっぱい。
04/05/04 12:24
60SecカウントダウンPC再起動sasserに感染したら
>>40でもみておけ
360:名無しさん@お腹いっぱい。
04/05/04 12:37
既出かもしれませんが以下の症状もあるみたいですね。
・スタート→すべてのプログラム→(なし)になっている。
(もしくは一部のプログラムがなくなっている)
・ユーザー設定した覚えがないのに終了オプションで
「ユーザーの切り替え」が増えている。
(SP1をあてた事によってできるユーザーではなく。)
・スタートボタンがない。終了オプションがない。電源を切るがない。
361:名無しさん@お腹いっぱい。
04/05/04 12:39
ニュー速で”ウイルスマッチポンプ説”を持ち出してる人が居る。
ウイルスが蔓延して儲かるのはセキュリティ業界だからそう考えるのも
自然といえば自然だよね。
362:名無しさん@お腹いっぱい。
04/05/04 12:42
>>361
確かに何となく納得は行くが・・・
ばれれば自爆行為だろ。
世界中から袋叩きにあうだろうからね。
363:名無しさん@お腹いっぱい。
04/05/04 12:44
なんか急に おさまってきた悪寒
364:名無しさん@お腹いっぱい。
04/05/04 12:52
アキバ某店
店頭のPCが佐々に感染してた
ニヤニヤ
365:名無しさん@お腹いっぱい。
04/05/04 12:58
なんか同一IPからのアタックがすさまじいな。
10秒から30秒おきに8つのポートを同時にたたいてくる。
ちなみに第三オクテットまでうちのIPと同じ。
けど、カウントダウン式とはちょっと考えにくいような気もするんだが・・・ひょっとして別物か?
366:名無しさん@お腹いっぱい。
04/05/04 13:55
スタコラサッサと逝こうぜ。
367:名無しさん@お腹いっぱい。
04/05/04 13:58
>>362
でも、他人の不幸で儲けているために怨嗟の的になっているのは確か
368:名無しさん@お腹いっぱい。
04/05/04 13:59
全くアタックがないのはちと異常か?
369:名無しさん@お腹いっぱい。
04/05/04 14:03
休み明けサポセン大忙しの予感w
370:名無しさん@お腹いっぱい。
04/05/04 14:03
>>365
大規模感染タイプのワームはみなそうだが「システムをなるべく
クラッシュさせない」のがデザイン上の原則。LSASSがクラッシュ
→OS再起動してしまのは意図的なものではなくて、コードのバグ
とマシンの環境によっていろいろな「相性問題」wが出てるという
ことでは?
ただ[ランダム数字4桁_up.exe]が見あたらないケースはちょっと不審。
ほんとうにSASSERなのか、亜種なのか…?
371:名無しさん@お腹いっぱい。
04/05/04 14:09
誰かがカキコしてたが、犯人のリリースのタイミングが1週間
早すぎた。GW明けと同時にリリースだったらもっと混乱した
だろう。
大きなシステムは休み中でも当直がいるからせっせと対策している。
個人もインターネットから情報を入手している。去年ブラスタでイタイ
目にあった被害者の半分くらいは急いでパッチ当てるはず。
よってブラスタに比べたら流行はずっと小規模になる。
…はずだといいなw
372:名無しさん@お腹いっぱい。
04/05/04 14:13
>371
日本が標的ならな
GWなんて他の国はねーし
373:名無しさん@お腹いっぱい。
04/05/04 14:35
サッサ対策web
URLリンク(www.jade.dti.ne.jp)
374:名無しさん@お腹いっぱい。
04/05/04 14:53
質問。
最近、PCの状態が悪い。
先ほど、シャットダウンをするためすべてのデータを保存しログオフしてください。
なるものがでた。このプログラムでコードがなんたらかんたら・・
カウントダウン形式で1分前からカウントダウンが始まりました。
それに最近ははスタートアップ時に多分スパイウェアのせいでシステム情報が
出るなど・・Runtime Erorrがでるなど・・・そのためにスパイウェア駆除ソフトを
昨日いれました。あとスタートアップにGstartupなるものが・・・これが
情報を送ってウイルス感染・・・てのはないよね・・ノートンあるけど期限切れの予感。
これってやばいか?もしかしたらこのウイルスか?LSAシェルに問題発生っていう
警告も出た。
その後も何度も再起動させられてメモって見た。
NTAUTHORITY\SYSTEMに開始されたと書いてあった。
でメッセージみたいのが入ってて内容がC\WIDOWS\SYSTEMlsass32が
状態コード1073741819を突然終了させましただって。
急いでたから間違ってるかもしれないがなんかやばそう。また開始されました。どうっすりゃいんだ・・・
375:名無しさん@お腹いっぱい。
04/05/04 14:55
>>374
LSASS?Sasserにやられてるんじゃないの?
この機会にセキュリティに関心を持っては如何?
376:名無しさん@お腹いっぱい。
04/05/04 14:57
>>374
このスレまでたどり着いた君なら自力でなんとかできるさ。
377:374
04/05/04 15:05
しかしサッサではなくなんらかのウイルスの可能性はある?ウイルス全くわかんねぇからさ。でも60秒カウントダウンさせるのはやばいだろ?またシャットダウンさせらたから今携帯。