5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

sasser【スタコラサッサ】sasser Part2

1 :名無しさん@お腹いっぱい。:04/05/06 19:31
sasser【スタコラサッサ】sasser Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/

2 :名無しさん@お腹いっぱい。:04/05/06 19:32
| 冫、)ジー     |)彡サッ

3 :名無しさん@お腹いっぱい。:04/05/06 19:33
             .  + .  *     / ̄ ̄ ̄ ̄ ̄ ̄\                 ■ ■
 ■      ■■■     .      /   _ノ     ,_ノ\   .+  ☆  .      ■ ■
■■■■  ■  ■           /    / iニ)ヽ,   /rj:ヽヽ ヽ              ■ ■
  ■    ■  ■ ■■■■■■■l::::::::: ;〈 !:::::::c!  ' {.::::::;、! 〉 .|■■■■■■■■  ■ ■
.■■■■ ■ ■■           |::::::::::  (つ`''"   `'ー''(つ   |             ■ ■
   ■     ■  +.  ☆  。. . |:::::::::::::::::   \___/    | ☆ . *  +.
   ■     ■            ヽ:::::::::::::::::::.  \/     ノ  .  . .   +☆  .● ●


4 :名無しさん@お腹いっぱい。:04/05/06 19:35
    ∧_∧
  _( ‘∀‘)_<ダスチンマン参上>>1 ちょっと早いけど乙。
⊂) (ニ 。  。 ) (⊃
  l  }、  ,{ T´
 ノ_/. `つ' l_ゝ
   (__)(__)


5 :名無しさん@お腹いっぱい。:04/05/06 19:37
>>1

('A`)ノシ 乙でつ

6 :名無しさん@お腹いっぱい。:04/05/06 19:37
ヾ('A`)ゞエッサッサ

7 :名無しさん@お腹いっぱい。:04/05/06 19:41
■悪質ウィルスSASSER大暴れ中
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル
現在確認されている亜種はA〜Dの4種類ですが、動作、対処法はどれもほとんど同じ。

前スレ sasser【スタコラサッサ】sasser Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/

■症状
・妙な窓↓が出てカウントダウンの後OSが強制的にシャットダウンする。
  LSA Shell(Export Version) has encountered a problem
  This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかわからないが動作がメチャ重い。ネット接続がひんぱんに切れる。
・症状はパソコンの環境によっていろいろです。変だなと思ったらこの後のテンプレ
 読んでさっそく対策してください。ウィルスを広めるあなたもウィルスじゃ。


■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
 http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
 やルータの設定で、
  UDP135、137、138、139及び445、
  TCP135、138、139、445及び593
 のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
 を許可しない。

8 :名無しさん@お腹いっぱい。:04/05/06 19:42
《関連リンク》

Sasser ワームについてのお知らせ(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
W32.Sasser.Worm(Symantec)
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html
W32.Sasser.B.Worm(Symantec)
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
W32.Sasser 駆除ツール(Symantec) (亜種A-Dまで対応)
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
WORM_SASSER.A(Trend Micro)
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
WORM_SASSER.B(Trend Micro)
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

その他亜種はデータベースのトップからSasserで検索してください)
・トレンド(手動削除手順はトレンドが詳しいです)
 http://www.trendmicro.co.jp/vinfo/
・シマンテック
 http://www.symantec.com/region/jp/sarcj/vinfodb.html

9 :名無しさん@お腹いっぱい。:04/05/06 19:42
《SASSER動作概要》
■SASSERファミリー(A〜D)の感染動作概要

・感染経路のport番号
 感染マシン→ターゲットマシンのTCPポート445をスキャン
 感染マシン←ターゲットマシンの脆弱性の情報を確認
 感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り
 感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送

・レジストリの改変
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・ウィルスが書き込む値:
 avserve.exe = %Windows%\avserve.exe
 avserve2.exe = %Windows%\avserve2.exe
 skynetave.exe = "%Windows%\skynetave.exe"

・その他ウィルスが作成するファイル名
 <ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")
 システムドライブのルート(C:\)にWIN2.LOG" というログファイル

■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
 http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
 やルータの設定で、
  UDP135、137、138、139及び445、
  TCP135、138、139、445及び593
 のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
 を許可しない。

10 :名無しさん@お腹いっぱい。:04/05/06 19:43
■sasser を手動で“駆除”および“駆除”されたことを確認する方法
0.ネットワークから物理的に離脱する(ケーブルを抜く、モデムの電源OFF)
1.タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
2.レジストリで、
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  で "avserve*.exe" = "C:\WINDOWS\avserve*.exe"  (*:なし、または数字)
    "skynetave.exe" = "C:\WINDOWS\skynetave.exe" (Windows2000:WINNT)
  の削除、または無いことを確認
3.%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
  (%SystemRoot%:Windows, または WINNT)(*:なし、または数字)
4.%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
5.システムドライブ(ふつう C ドライブ)のルート(直下)の "win*.log" の削除、
  または無いことを確認  (このログは sasser の他への攻撃履歴が記録されている)
6.Windows を再起動

■ Windowsアップデート後、Microsoft純正Sasserツールで駆除
   http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
 使い方 http://support.microsoft.com/?kbid=841720
・手動:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
 実行→regedit→以下の項目を削除
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
 →本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
 さらにウィルスとして発見されたファイルがあれば削除

11 :名無しさん@お腹いっぱい。:04/05/06 19:44
■マイクロソフトのSasser感染・駆除チェックサイト
http://www.microsoft.com/security/incident/sasser.asp

画面をスクロールして↓下記のボタンを押す。
        ------------------------
         Check My PC for Infection
        ------------------------
能書窓が出るのでI agreeのラジオボタンにチェックを入れる。
        ------------------------
         Your PC Is Not Infected
        ------------------------   と出ればOK。

Windowsのアップデート「MS04-011」が未適用のPCだと
 To use this tool, you must be running Windows XP or Windows 2000,
 and you must have already installed MS04-011.
と表示されて検知・駆除ができない。→アップデート適用後再度検査

アップデート適用ずみだが、それ以前にSasserに感染していた場合、
The Sasser worm was successfully removed from your computer. 
と表示される。「駆除に成功した」のでこれでOK

12 :名無しさん@お腹いっぱい。:04/05/06 19:50
○感染の危険のあるOS
 Windows2000、XPはインターネットに接続するだけで、感染する可能性が
 あります。
 Windows 95、98、Me、NTに関しても、フロッピーやCD-ROMなど、外部メディア
 により感染する可能性があります。



13 :名無しさん@お腹いっぱい。:04/05/06 20:06
スレ立て乙

14 :名無しさん@お腹いっぱい。:04/05/06 20:08
ブラスターの2番煎じだからブラスターほどの破壊力は
ないようですね。よかった。

15 :名無しさん@お腹いっぱい。:04/05/06 20:11
オリジナリティが無いね。
ウィルス作者は、所詮、アーティストの器じゃないよ( ゚∀゚ )アヒャヒャヒャヒャヒャヒャヒャヒャバーカ

16 :名無しさん@お腹いっぱい。:04/05/06 20:11
NETSKYと作者が同じかも知れないって
そいで合体の可能性ありと言ってる

ttp://www.itmedia.co.jp/enterprise/0405/06/epr01.html

17 :名無しさん@お腹いっぱい。:04/05/06 20:39
2日待てど、誰も送ってこない。
誰かうpしてくれませんか?>ウイルス

18 :名無しさん@お腹いっぱい。:04/05/06 20:46
>>17
自分デ捕獲シレ

19 :17:04/05/06 21:01
開けっ放しにしても、やってこない。
MSblastの時もそうだった。

なんか、悲すい。
誰か頼む


20 :名無しさん@お腹いっぱい。:04/05/06 21:06
>>16
ハナシの出所がバカフィー

21 :名無しさん@お腹いっぱい。:04/05/06 21:13
>>14
破壊力がないせいで、強制シャットダウン以外の症状ならば
感染しても気づかない奴もいるとかいないとか
くわばらくわばら

22 :名無しさん@お腹いっぱい。:04/05/06 21:20
今日の朝、急いで自分の部署のPCだけ修正バッチを入れて回ったけど、修正バッチを当てて
いないPCがたくさんあるのに他の部署でもsasserの被害はなかった。

今日のPC関連の事件
 Netsky.Qに感染したから助けてくれ
 GW中にクリーンインストールしたから設定し直してくれ

なんか拍子抜けしてしまった・・・。

23 :名無しさん@お腹いっぱい。:04/05/06 21:20
♪エーッサ エーッサ エッサホイ Sasser オサル ノ ワーム ダ ホイ Sasser(゚∀゚)アヒャヒャ

24 :名無しさん@お腹いっぱい。:04/05/06 21:20
>>17
プロパがポート閉じたから。
残念だったね。

25 :17:04/05/06 21:24
そう鴨。
でもメールウイルススキャンサービスとかはやっていない。
単にトラフィックの問題か

ネ申、待っております

26 :名無しさん@お腹いっぱい。:04/05/06 21:38
>>25
だから今回のはメールは関係ないと何度言えば...

27 :名無しさん@お腹いっぱい。:04/05/06 21:41
今日取引先(年商5億程度)に顔を出したら「おぉ○○君!キミィパソコンに詳しいらしいな」
と社長室へ引っぱっていかれ、「調子が悪いんだコレ、すぐ落ちるんだなんとかならんか」

そりゃあれでしょとPCの前へ・・・・・・・( ̄− ̄;)??「あのうアンチウイルスソフトは?」と聞けば
「なんだねそれは?」(゚Д゚)・・マジィ? 女の子にVBを買いに走らす間にバッチファイルをと・・・・

フト画面に怪しげなフォルダアイコンショ-トカットハッケーン・・・・チョット覗いちゃお・・・・・・・Σ( ̄■ ̄;)

燦然と輝く「winny」「極窓」「BDBZM」 etc 「な!なにをやっとんじゃこのオッサ-ンは?」

(−_−;)取り引き止めようと正直オモタ・・・・・・・タブン「キンタマ」にも感染してるだろうしry

28 :名無しさん@お腹いっぱい。:04/05/06 21:41
うちポート19677に1時間当たり100回くらいアクセスあってるんだけど。。。
これってサッサは関係ないよね?

29 :名無しさん@お腹いっぱい。:04/05/06 21:45
>>27
ワロタ

30 :名無しさん@お腹いっぱい。:04/05/06 21:48
今田に445がバコバコ来てまつ。
昨夜からテレビニュースで騒いでいたけど、世間ではルータ・FWなどのポート管理が
行届いてきてるし、パッチが出れば意味判らずとりあえず即アップデート、ADSL使って
いる個人は黙っていても初期値でポートはクローズ。
とりあえず、何もなかったという事でよろしいでつか?

31 :名無しさん@お腹いっぱい。:04/05/06 21:49
>>27
ほんとのようなうその話であってくれw

32 :名無しさん@お腹いっぱい。:04/05/06 21:49
狭い世間だこと

33 :17:04/05/06 21:52
>>26
今回のウイルスはメール蔓延型ではないのは、承知しております。
ISPがウイルス対策に無頓着な例として挙げたまでです。

誤解を招きやすい発言をしてしまった点、お許し下さい

34 :名無しさん@お腹いっぱい。:04/05/06 21:58
>>17は何がしたい?
ソースコードの入手か?

35 :名無しさん@お腹いっぱい。:04/05/06 22:01
>>33
まだ ペキカン に勘違いしてるような… ハァ〜
ISP は、インターネット接続環境を提供して報酬を得る所だ。

36 :17:04/05/06 22:14
本体っす

37 :17:04/05/06 22:15
スマソ、本体のバイナリです

38 :名無しさん@お腹いっぱい。:04/05/06 22:17
>>30
出た〜!マジスカ。
http://www.asahi.com/business/update/0506/081.html

39 :名無しさん@お腹いっぱい。:04/05/06 22:20

2004/05/06 22:17:50通信の要求221.232.16.29TCP(80)
2004/05/06 22:17:30ポートスキャン219.164.150.101TCP(445)
2004/05/06 22:17:30通信の要求219.164.150.101TCP(445)
2004/05/06 22:16:12ポートスキャン219.164.42.10TCP(445)
2004/05/06 22:16:12通信の要求219.164.42.10TCP(445)
2004/05/06 22:13:49ポートスキャン219.164.84.179TCP(445)
2004/05/06 22:13:49通信の要求219.164.84.179TCP(445)
2004/05/06 22:12:12ポートスキャン219.164.136.230TCP(445)
2004/05/06 22:12:12通信の要求219.164.136.230TCP(445)
2004/05/06 22:11:26ポートスキャン219.164.98.111TCP(445)
2004/05/06 22:11:26通信の要求219.164.98.111TCP(445)
2004/05/06 22:09:15通信の要求219.164.77.220UDP(137)
2004/05/06 22:09:09ポートスキャン218.47.58.56TCP(445)
2004/05/06 22:09:09通信の要求218.47.58.56TCP(445)
2004/05/06 22:09:03ポートスキャン219.164.74.225TCP(445)
2004/05/06 22:09:03通信の要求219.164.74.225TCP(445)
2004/05/06 22:08:56ポートスキャン219.164.200.57TCP(445)
2004/05/06 22:08:56通信の要求219.164.200.57TCP(445)

来てる来てる〜

40 :名無しさん@お腹いっぱい。:04/05/06 22:21
Blasterほどじゃないね
あれのインパクトは凄かった

41 :名無しさん@お腹いっぱい。:04/05/06 22:27
ルータ入れて445やら135やらは塞いで当然でしょ、って人にはまったく関係ない
対岸の火事だね。

42 :名無しさん@お腹いっぱい。:04/05/06 22:32
火事は飛び火が一番怖いんだよ

43 :名無しさん@お腹いっぱい。:04/05/06 22:33
これだけ騒がれていながら127社がやっちまったとは驚いた。

44 :名無しさん@お腹いっぱい。:04/05/06 22:34
盛り上がらないねぇ。
ちょっとドキドキしながら出社したのに。

45 :名無しさん@お腹いっぱい。:04/05/06 22:57
なんか2869から大量に来てる・・・・サッサーと関係ないよね・・・・

46 :名無しさん@お腹いっぱい。:04/05/06 23:05
>>39
 お前のうちは第一オクテットが219が大半ですね
 うちは220がほどんどです。
  portは、2745、1025、3127、80、6129、3410
  1433、5000 というパターンが多いですね。

47 :名無しさん@お腹いっぱい。:04/05/06 23:12
今朝sasserのcに感染したんですけど、その瞬間に
メリーさんの羊の音楽が流れたんですが、何か意味が
あるんでしょうか?

48 :名無しさん@お腹いっぱい。:04/05/06 23:16
sasserに1300ファイル以上もヤラれてた私はどんなですかね?

49 :名無しさん@お腹いっぱい。:04/05/06 23:24
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Kerio Personal Firewall 4

・「システムセキュリティ」というプログラム起動を監視する機能により、
 キンタマウイルス http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
 などのアイコンを偽装したEXEファイルをクリックしても警告が出て感染を防げる
 (玄人向けで有料だがTiny5でも防げる。
  Sygate・Zone Alarmには似たような機能があるが防げない。
  Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない)

・現時点では日本語化できない
・2バイト文字には対応していない
・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし
 kerio2のように詳細ルールも作れる
・SPIとIDS、トロイ対策のDLL監視機能もある(広告ブロックは有償版のみ)
・Outpostなみに軽い
http://pc2.2ch.net/test/read.cgi/win/1077780039/233

●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト
http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm

●Kerio Personal Firewall 4のログビューア
http://www.geocities.jp/masagooooool/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

50 :名無しさん@お腹いっぱい。:04/05/06 23:25
/////////////////////////////////////////////////////////////////

System Safety Monitor(SSM)

・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のようにHTMLからのexe起動を含め、
 キンタマウイルス http://internet.watch.impress.co.jp/static/index/2004/04/09/antinny.htm
 などの(ルールが)未決定のアクションを防げる(PFWではない)

・無料
・日本語化できる
・レジストリキーの変更も監視できる

●SSMヘルプ翻訳テキスト+HTML配布サイト
http://www.geocities.co.jp/Outdoors-Mountain/9671/ssm/

/////////////////////////////////////////////////////////////////

51 :名無しさん@お腹いっぱい。:04/05/06 23:26
ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

52 :名無しさん@お腹いっぱい。:04/05/06 23:27
445たたきにこないな・・・3〜5分に一回くらいの割合。
同一プロバからも来てるんでポートふさいでるって感じじゃなさそうなんだけどね。

ひょっとしてblasterの時みたいに亜種が原種つぶして回ってるとかないヨナ?
16060へのアクセスが入れ替わりに増え始めてるのがちょいと気になる。

53 :名無しさん@お腹いっぱい。:04/05/06 23:27
901 名前:900[sage] 投稿日:04/04/02 22:14
アンチウイルスソフト検出力結果報告(・∀・)

ANTIDOTE / avast! 4 / AVG / AntiVir / BitDefender / eTrust
◇ウイルス
EBCVGにてBinary VirusesとVirus codesを合計722ファイル(重複あり)
全てzip圧縮に変換
Linux/Macウイルスあり
◇アンチウイルスソフト
4/2 18:00頃の最新パターン適用
比較対照としてトレンドマイクロオンラインスキャンを使用・・・したかったけど結果悪いのでBitDefenderを基準に

☆結果 (検出数/検出率)
BitDefender (*1) 580  100.0%
AVP (*2) 545  93.97%
Trend Micro 539  92.93%
Antidote (*3) 524 90.34%
avast!4 (*4) 470  81.03%
eTrust (*5) 444  76.55%
AVG (*6) 212  36.55%

*1 懐疑ファイル13含む
*2 懐疑ファイル2含む
*3 コード解析/圧縮ファイル/詳細検索にチェック。詳細検索にチェックを入れない場合は520。なお懐疑ファイルはどちらも3。
*4 迅速な検査=261  標準検査=286  完全な検査=470
*5 Heuristic有効。SafetyLevel → Reviewer   ScanningEngine → InoculateIT
*6 Heuristic有効。

AVGの検出率が悪すぎる。何かおかしい気が・・・(・∀・)?
【cool】BitDefender Free Edition【free】
http://pc3.2ch.net/test/read.cgi/sec/1029516867/901

54 :名無しさん@お腹いっぱい。:04/05/06 23:28
>>35
んだなっす。
ブラジルのISPで、認証鯖(AUTH)から攻撃を受けたっす。
んで、調べたらホトンド無防備の鯖だったっす。
港が、パスポート無しだったっす。
メル云々つーより、感染ルート複雑で攻撃もレインボー戦隊並のDoSでし。

防ぎ切れているけど、アクセスログの流れを見ていたらダリだって鬱になっちまいやす。


55 :名無しさん@お腹いっぱい。:04/05/06 23:28
802 名前:Bitスレ901[sage] 投稿日:04/04/04 19:02
BitDefender(以下BD)が全てのウイルスを検出したわけではないです。
BDが検出したウイルス数の580を100%として出した結果です。
要するにAVGだとBDの37%ということです。

誤解してる人がいるかもしれないので念のため。

※AVGの検出は悪すぎたので"3回再インスト&4回検査”してます。
 で、結果は全て同じ(゚д゚)

非圧縮時の検出率を知りたい人は適当にウイルス集めて試してください(´・ω・`)

【フリー】AVG Anti-Virus Version15
http://pc3.2ch.net/test/read.cgi/sec/1079833302/802

56 :名無しさん@お腹いっぱい。:04/05/06 23:29
831 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/04/05 01:03
去年(031207)同じようにやった結果

定義ファイル、プログラムは当時最新
圧縮なんかの設定はebcvgから落としてきたまま(rar,zip,b64)
ただしほとんどはzipだから誤差は少ないと思う

Antidote (*1) 549 100.00%
eTrust (*2) 537 97.81%
BitDefender (*3) 502 91.44%
avast!4 (*4) 484 88.16%
AVG (*5) 366 66.67%

*1 コード解析,圧縮ファイル,電子メール, 懐疑5
*2 設定が多いから略。たぶん最高
*3 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
ただしvirus bodiesは584, 懐疑22
*4 圧縮ファイル
*5 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
(一応どれも設定は最高にしてやったつもり)

>>731と見比べると向こうはBitdefenderの検出数をvirus bodiesで
数えてるんじゃないかと思う。
おれはIdentified virusesが検出数だと思うから上はそっちを採用してる。

AVGの検出が悪いのはたぶん設定の問題。でも良くはない
むしろ>>742と同じような結果だから、AVGの検出力はこんなもんだと思ってる。

【フリー】AVG Anti-Virus Version15
http://pc3.2ch.net/test/read.cgi/sec/1079833302/831

57 :名無しさん@お腹いっぱい。:04/05/06 23:30
BitDefender(フリーの最新版)
・リアルタイムスキャンできない、メールスキャンできない
・まだ日本語化できない、2バイト文字のファイルでも検出可能
http://ringonoki.net/tool/antiv/bitdef.html

AntiVir(フリー版)
・リアルタイムスキャンできる
・メールスキャンできない(常駐オンでread and write時有効な場合、添付ファイルを選択すればチェックできる)
・まだ日本語化できないに等しい
http://eazyfox.homelinux.org/SecuTool/AntiVir/AVguard1.htm

avast! 4(フリー版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語版がある、2バイト文字に対応
http://iso-g.hp.infoseek.co.jp/alwil/avast_home/avast_home.html

eTrust(フリーのプロモーション版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
・導入時に修正パッチをインストールするのがめんどう
http://etavfp.hp.infoseek.co.jp/

AVG(フリー版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
http://eazyfox.homelinux.org/SecuTool/AVG6/AVG61.htm

58 :名無しさん@お腹いっぱい。:04/05/06 23:40
このスレハ
コピペばかりかw

59 :名無しさん@お腹いっぱい。:04/05/06 23:45
Sasserを防ぐために必要なパッチを適用すると不具合が発生
http://internet.watch.impress.co.jp/cda/news/2004/05/06/2997.html

今回も笑わせるな、MSは。もうね、アフォかと。

60 :名無しさん@お腹いっぱい。:04/05/07 00:02
笑うなぁ!!

61 :名無しさん@お腹いっぱい。:04/05/07 00:09
とりあえず、XPで >>59 の不具合が出るのは、EMFファイルが表示されない
だけだよな?パッチ当てたいけど、何か怖くなってきたよ…(´・ω・`)

62 :名無しさん@お腹いっぱい。:04/05/07 00:16
>52
外部からのアクセスは弾いても、自分のネットワーク内部は放置状態
で内部で増殖しまくりなプロバイダも多いよ。うちが加入してる某ニフ系
のケーブルとか・・・

63 :名無しさん@お腹いっぱい。:04/05/07 00:17
W32.Sasser.C.Worm

↑自分のPCをシマンテックでオンラインスキャンしたらこんなのが・・・。
しかも50個位、XPです。一昨日までサッサーA,Bにかかってましたが・・・。

W32.Sasser.C.Worm
ウィルス名:
W32.Sasser.C.Worm

別名:


感染場所:


性質:


工エエエエェェ(;゚Д゚)ェェエエエエ工なんなのこれぇぇぇ

http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=36332

64 :名無しさん@お腹いっぱい。:04/05/07 00:17
W32.Sasser.C.Worm

↑自分のPCをシマンテックでオンラインスキャンしたらこんなのが・・・。
しかも50個位、XPです。一昨日までサッサーA,Bにかかってましたが・・・。

W32.Sasser.C.Worm
ウィルス名:
W32.Sasser.C.Worm

別名:


感染場所:


性質:


工エエエエェェ(;゚Д゚)ェェエエエエ工なんなのこれぇぇぇ

http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=36332

65 :名無しさん@お腹いっぱい。:04/05/07 00:24
>>43 釣りにしてはネタが古過ぎ。(最近の若い衆は知らんだろ)w

66 :65:04/05/07 00:25
×>>43
>>47
スマソ。

67 :名無しさん@お腹いっぱい。:04/05/07 00:27
うぷだてしにいっても、サッサに関するファイルっぽいので特にインストールしなさいと言われるものがないのですが
もう既にインストールされてると考えてよろしいのでしょうか?
4月半ば頃に緊急を要するアナが見つかったといわれたときにうぷだては済ませてあるのですが、この時期のうぷだてがサッサに関するものだったのでしょうか?

68 :名無しさん@お腹いっぱい。:04/05/07 00:29
>>63
です、サッサーCについて載っているところがありました、
スレ汚しスマソ。

69 : :04/05/07 00:30
PC起動後すぐに強制終了されちまうんで
手の施しようがなく初期化したよ。

70 :名無しさん@お腹いっぱい。:04/05/07 00:36
マイクロソフトの感染判断で「感染既往なし」て出たけど
シマンテックのHP入れないしノートン立ち上げるとフリーズするし…
Windows updateもうまくいかない。もう寝る。

71 :名無しさん@お腹いっぱい。:04/05/07 00:36
>>69
セーフモードで起動すれば良かったのでは?

72 :名無しさん@お腹いっぱい。:04/05/07 00:39
>>69
あなたのキーボードにはF8キーがないのですか。

73 :名無しさん@お腹いっぱい。:04/05/07 00:57
再せとうpすろほどでも無いと思うが、
一旦ウィルスに犯された環境ってのも
気味悪いからな。


74 :名無しさん@お腹いっぱい。:04/05/07 01:07
>>47
メリーさん・・・
4,5年ぐらい前だったか?

75 :名無しさん@お腹いっぱい。:04/05/07 01:31
メリージェーン オン マイ マインドォ〜

76 :名無しさん@お腹いっぱい。:04/05/07 01:31
つのだひろ から一言↓

77 :名無しさん@お腹いっぱい。:04/05/07 01:31
で、おまいらの会社ではどうだったのよ。

78 :名無しさん@お腹いっぱい。:04/05/07 01:33
花火を打ち上げてくれたりハッピーバースデーを歌ってくれたり
昔のは親切だったよな。

79 :名無しさん@お腹いっぱい。:04/05/07 01:47
http://www.symantec.com/region/jp/sarcj/data/y/yankee_doodle.html
メリーさんとはこれのことかな?Win3.1以前のウイルスみたいだけど…

もう、おまえらなんか年季入ってますね。

80 :名無しさん@お腹いっぱい。:04/05/07 01:49
>>67
そうです。
ちゃんと予防できたわけで、
はっきり言って感染したやつぁマヌケです。

81 :名無しさん@お腹いっぱい。:04/05/07 01:57
芋虫や救急車が表示されています!
これはSasserですか!

82 :名無しさん@お腹いっぱい。:04/05/07 02:04
>61
DLT(バックアップ用テープドライブ)で死ぬと聞いて
DATは大丈夫なのかとガクブルしながらサーバに当てた俺には
イラレのEMFがOfficeで表示されない、なんてのは些細なことだ
(想定されるシナリオ:うっは失敗→テープから戻すか→うっはテープ見えねぇ)。

あとNT4限定でマルチプロセッサ構成だとシングルプロセッサカーネル突っ込まれて
STOPエラーで起動しなくなるとか、2000限定でOracle起動しなくなるとか
サーバが結構やばい。

83 :名無しさん@お腹いっぱい。:04/05/07 02:17
"0x00900090"の命令が"0x00900090"のメモリを参照しました。
メモリが"read"になることはできませんでした。
プログラムを終了するには[OK]をクリックしてください
プログラムをデバッグするには[キャンセル]をクリックしてください

         [OK]   [キャンセル]

いやー最初出たときはなにかまちがって重要なファイルのひとつも
アンインスコしちゃったかと思ったわ

84 :名無しさん@お腹いっぱい。:04/05/07 03:11
MS04-011(835732)の地雷
・Oracle起動せず(2000)
http://support.oracle.co.jp/open/owa/external_krown2.show_text?c_document_id=81950&c_criterion={835732}
・マルチプロセッサだとSTOPエラーで起動せず(NT4)
http://support.microsoft.com/?kbid=841384
・DLT(テープ)やIPSecを使っていると起動しない
http://support.microsoft.com/?kbid=841382
・AdobeのIllustratorで作成したEMFが表示できない
http://support.microsoft.com/?kbid=840997

85 :名無しさん@お腹いっぱい。:04/05/07 03:23
今度のやつはタイマーはないんだよな?
なら長引くかもな。



86 :名無しさん@お腹いっぱい。:04/05/07 04:17
Blasterを超えたワーム「Sasser」 - 駆除ツール装うワームにも要注意
http://pcweb.mycom.co.jp/news/2004/05/06/006.html

シマンテックの担当者の取材記事ですが、「Blasterを超えた」というのは
出現後5日間の感染報告数だそうです。
Lsass.exeがクラッシュするのはウイルスのバグかもしれないとか。

87 :名無しさん@お腹いっぱい。:04/05/07 05:08
http://www.mainichi-msn.co.jp/it/network/news/20040506org00m300128000c.html
日本ネットワークアソシエイツによると、午後5時半現在、被害は127社、581台に上っている。
加藤義宏技術統括本部長は「世界では30万〜100万の被害が想定されているが、
日本ではウィンドウズNT、ME、98の企業ユーザーが以前多く、爆破的な感染はないとみているが、
亜種の発生が早く、ここ2日ぐらいは注意が必要だ」と話している。

88 :名無しさん@お腹いっぱい。:04/05/07 05:21
4時前からPCをつけているが、今朝はICMPが多いな。半分ぐらいある。
残りもほとんどが445への攻撃。
昨日に比べるとSasserCか何かが活性化している気がする。

89 :名無しさん@お腹いっぱい。:04/05/07 08:58
学校の実習室でリブートを繰り返す数十台のPC。
シュールだ。

休講になった。昨日。

90 :名無しさん@借金いっぱい。:04/05/07 08:59
>>83
親戚の叔父さんに「パソコン動かなくなったから来てくれ」って言われ
いってみたら、>>83 のエラー出ましたよ。
PCは1ヶ月前に買ったばかりで、ダイヤルアップの10時間コースでやってるみたいだ。
繋げた瞬間に カウントダウン 始まっちゃうんだもんなー。
俺自身もPC初心者なんですが、初めて自分でCD−Rに書き込んだ。(駆除するやつとWINのやつ)
叔父さんはまだ一回もアップデートしたことないようです。
ダイヤルアップ+FW・ウイルス駆除ソフト無し・・・・・・・・。
  
初心者でもウイルス駆除の勉強が出来るお勧めサイトは何処? ココ?


91 :名無しさん@お腹いっぱい。:04/05/07 09:01
セキュリティ初心者質問スレッドpart40
http://pc3.2ch.net/test/read.cgi/sec/1082207307/

92 :MS04-011情報更新:04/05/07 09:06
セキュリティ情報 MS04-011
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp
今回の更新内容 2004/05/05
=========================
「LSASS の脆弱性」の回避策 - CAN-2003-0533:
・ %systemroot%\debug\dcpromo.log という名前のファイルを
読み取り専用の属性で作成します
ファイルの作成には、次のコマンドを実行してください。
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
注意: この回避策により、脆弱なコードが実行されなくなるため、
もっとも有効な回避策です。
この回避策はあらゆる攻撃を受けやすいポートに送信される
パケットに対して有効です。

- Sasser ワームについてのお知らせ
http://www.microsoft.com/japan/security/incident/sasser.mspx

93 :名無しさん@お腹いっぱい。:04/05/07 10:01
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

>ファイアウォールで、以下の項目をブロックする
>UDP ポート 135、137、138、139、445 および TCP ポート 135、138、139、445、593
>1024 を越えるポートで、使用されていない入力ポート
>上記以外の、RPC のために設定しているポート

が最強じゃない?

94 :名無しさん@借金いっぱい。:04/05/07 11:10
MS04-011 のインストール後にコンピュータが応答を停止、ログオン不可、
CPU 使用率 100% の現象が発生する

コレはXPでは関係ないんですよね? WIN2000 だけですよね?


95 :名無しさん@お腹いっぱい。:04/05/07 11:24
>>94
さあ?Microsoftはそう言ってるけどXPでも滅茶苦茶に
なった人をちらほら見かけるよ。
2000でもMicrosoftが公表している以外の不具合が出たという
情報もあるし。
今回のような地雷パッチ以外の通常のパッチでも不具合は起こり得るから
XPに関して何とも言えないね。

96 :名無しさん@お腹いっぱい。:04/05/07 11:24
>>94
                         /⌒〜Y⌒"""ヘ   ヘ∨ ∨
                         /⌒/   へ    \|\
            /           /  /   /( ∧  ) ヘ ヘ      
           く           // ( /| | V )ノ( ( (  ヘ\   教  て
    ┘/^|    \         (  | |ヘ| レ  _ ヘ|ヘ ) _ヘ    し  め
    /|   .|              |  )) )/⌒""〜⌒""   iii\   え  |
     .|  α  _          ヘ レレ  "⌒""ヘ〜⌒"  ||||>   て  |
          _∠_       イ |  |  /⌒ソi   |/⌒ヘ  <    や  |
     _     (_        ) ヘ  | ‖ () ||  || () ||  _\   ん に
     /               (  ) ヘ |i,ヘゝ=彳  入ゝ=彳,i|\    ね  は
    /ー               ( /  """/   ー""""   >   |
      _)   |          ヘ(||ii    ii|||iiii_/iii)ノヘ|||iiiii<    !!!!! 
          |          ( ヘ|||||iiii∠;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;     フ  
    /////   ヘ_/       ) ヘ|||""ヘ===二二二===7フ / ム/∧ ∧ ∧
    /////              (  | ii  | |LL|_|_LLL// |    )( ∨| ∨)
   ・・・・・                ) )| || | |||||||||||||||||||||||| | |   ( ヘ | ヘ ) (
          ___        | | /| .| |||/⌒/⌒ヘ | | |  iiiiヘ ( | ( | /
            /         / (|.| | |       | | |  iii  ) | ヘ )( )
            (          ( /..|  | |_____/ | |  iii  ( )( // /
            \         ) )..|  |ヘL|_|_L/ / /  ,,,,--(/Vヘ)(

97 :95:04/05/07 11:25
>>96
残念。

98 :名無しさん@お腹いっぱい。:04/05/07 11:26
>>93
ブロードバンドルータでもADSLのルータタイプモデムでも、
その辺はデフォルトで双方向閉じてるよな。
NATを越えて突入してくる天才的ワームでもないし。
>>90の叔父さんみたいに初心者はやられまくるだろう。
ダイヤルアップやフレッツ接続ツールで直結だと一瞬で逝っちゃうのね。

99 :名無しさん@お腹いっぱい。:04/05/07 11:57
MS箱入りやOEMのW2kSP4なら比較的問題は少ない(イラレが
トラブるくらい)が、古いSP1やSPなしへアップデート重ねていくと
導入の順序や途中で抜かしたパッチなどによって完全迷路状態。
誰にもどういう状態でどういう問題が出るか把握できない。

ルータを入れて適切に設定してからクリーンインストール、Windows
Updateで全パッチをインストールというのがいちばんトラブルが少
ないはず。(ダイヤルアップじゃお手上げだが…)


100 :名無しさん@お腹いっぱい。:04/05/07 12:03
みんなADSLモデムのパケットフィルター設定使ってないの?

おれNV使ってるけど、パケットフィルターでエントリーはあるけど適用(チェ
ックされていない)14〜18番を適用するだけでSeaserみたいにファイル共有狙
って感染するウイルスは予防できるんだけどなぁ〜。

「また、エントリ14〜18番を適用すると、NetBIOS等による意図しないADSL側
への情報漏洩を防止することができます。」(NV機能詳細ガイドより)

101 :名無しさん@お腹いっぱい。:04/05/07 12:06
俺のMN-IIのような「ただのモデム」じゃあどうしようもないよな。

102 :名無しさん@お腹いっぱい。:04/05/07 12:09
>>92
なるほど。ただのテキストファイルで、中身はdcpromoという一行だけ。
こんなお呪いがSasser避けになるとは玄妙w

だれか効果試してみたかや?


103 :名無しさん@お腹いっぱい。:04/05/07 15:03
凄まじい勢いで火壁のログがたまっていくw
連休明けて一気に増えたね。

104 :名無しさん@お腹いっぱい。:04/05/07 15:36
>99
ルータ導入済みなら最新版SP適用済みのインスト用CD-R作ればいいだけの話。

Windows 2000 Proを安定させるインストール順序
ttp://pc5.2ch.net/test/read.cgi/win/1037443199/
↑参照。

つか無印2000でも普通にSP4落としておいてオフラインで適用すればいいだけ
な気も・・・
Windows UpdateでSPからその後のセキュリティパッチやら諸々を一気に
うpだてする方が不具合出そうで怖い。

105 :名無しさん@お腹いっぱい。:04/05/07 15:38
>>103
確かに…
破壊活動が無いので対策されず
かなりの台数が潜航して放置されてるようだ。

106 :名無しさん@お腹いっぱい。:04/05/07 16:04
今HP見れなくて困ってるんですがプロセス消したらHPは見れるようになったのですがLiveUpdateには繋がらずシマンテックも数秒で見れなくなりました
再セットアップしても ノートン2004のウイルス定義更新が完了前に侵入されそうなのですが大丈夫でしょうか? FTTHで終端端末装置直結です。 携帯から見れるサイトありませんか_| ̄|○

107 :名無しさん@お腹いっぱい。:04/05/07 16:11
>>106
コマンドプロンプトで↓をコピペしてリターンキーを押せ。

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log


108 :名無しさん@お腹いっぱい。:04/05/07 16:12
ポート445拒否にしていたと思ったら許可にしてあった・・・・・ウツダシノウ

109 :名無しさん@お腹いっぱい。:04/05/07 16:16
>>106
つかネットワーク接続でファイル共有削除してから接続すればとりあえ
ず感染はしないだろ。

110 :名無しさん@お腹いっぱい。:04/05/07 16:27
指定されたパスがみつかりません と表示されました_| ̄|○

111 :名無しさん@お腹いっぱい。:04/05/07 16:41
タイプミスでした アクセスが拒否されました

112 :名無しさん@お腹いっぱい。:04/05/07 16:42
全然ポートスキャンされん。
プロバに落とされてるのかな?
port135と137ばっか

113 :名無しさん@お腹いっぱい。:04/05/07 16:42
>>110
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
メモ帳にこぴぺして dcpromo.batという名前で
C:\に保存。エクスプローラから実行。

114 :名無しさん@お腹いっぱい。:04/05/07 16:59
>>113
成功しました
HPも繋がるようになったので修正ファイル適用できます
ありがとうございました

115 :名無しさん@お腹いっぱい。:04/05/07 17:59
まさかとは思いますが修正ファイル適用後再起動さたらXPが起動しなくなりセットアップCDも受け付けなりました_| ̄|○ NTLDR is missing Pleas Ctrl+Alt+Del to restart

116 :名無しさん@お腹いっぱい。:04/05/07 18:11
>115
起動ロゴを変えてないか?

117 :名無しさん@お腹いっぱい。:04/05/07 18:19
わからないので今CDで修復中です_| ̄|○

118 :名無しさん@お腹いっぱい。:04/05/07 18:23
ガンガレ!!

119 :名無しさん@お腹いっぱい。:04/05/07 19:01
>>116
昔、起動ロゴ変えたら起動しなくなって痛い目を見たなあ。

120 :名無しさん@お腹いっぱい。:04/05/07 19:29
乙、
5月1日から
送った覚えのないアドレスから「Delivery failure」(行き先不明)ってタイトルでメールが戻ってきてるんだけど
これって俺のアドレスを持ってる香具師が感染して俺のアドレスでメール送りまくってるわけ?

毎日300件送った覚えのないメールが戻ってくるんだけど
ちなみにマシンはMAC…

121 :名無しさん@お腹いっぱい。:04/05/07 19:37
XPなんですが、どうやったら感染防げるんですか?
良かったらやり方教えてください!!・・・初心者です。


122 :名無しさん@お腹いっぱい。:04/05/07 19:42
>>120鼬飼い
>>121スレ違い

あとは自分で探せボケ

123 :名無しさん@お腹いっぱい。:04/05/07 19:47
>>122
板違いとは主湾が
頭のない無駄レスすけんなチンカス

124 :名無しさん@お腹いっぱい。:04/05/07 19:50
>>121
1、4月のWindowsUpdateが実行されているかどうか
2、簡易ファイアーウォールがONにしてあるかどうか
3、ルーターまたはルーター機能付きのモデムを使用しているかどうか
4、アンチウイルスソフトは最新か

で違う。書いている事が全くわからないなら、本屋へ直行して適当な雑誌なり
入門書を購入し、あらかた読んでから質問。

2、3、が丸で、1、がまだなら、とりあえずWindowsUpdateを実行する事。



125 :ひよこ:04/05/07 20:00
サッサーにびびりマイクロうPデートしたけどPCの立ち上がり遅くなりません?

126 :名無しさん@お腹いっぱい。:04/05/07 20:37
>>125
アップデートした直後の起動だったら、遅くなっても不思議じゃないぞ。
それ以降毎回起動が遅いのなら地雷踏んだと見てほぼ間違いないと思うが。

127 :名無しさん@お腹いっぱい。:04/05/07 21:09
ttp://www.cyberpolice.go.jp/important/2004/20040507_195408.html
■Sasser.Dワームの概要について(5/7)                           <2004/05/07>

                                               平成16年5月7日
                                               警   察   庁
Sasser.Dワームの概要について

 警察庁では、5月3日にお知らせしましたWindowsに存在するLSASSの脆弱性(MS04-011)を悪用し感染
拡大するSasserワームに関連し、その亜種であるSasser.Dワームについて検証を行いました。
 Sasserワームの概要と検証結果については、 Sasser.Dワームの概要(リンク先はPDFファイルです。) 
をご覧ください。
ttp://www.cyberpolice.go.jp/detect/pdf/H160507sasserd.pdf

ttp://www.cyberpolice.go.jp/important/2004/20040507_194740.html
■ICMPトラフィックの増加について(5/7)                           <2004/05/07>

                                               平成16年 5月 7日
                                               警    察    庁
ICMPトラフィックの増加について

 5月7日現在、警察庁では、5月4日からICMPトラフィックの増加を検知しています。警察庁において、
W32.Sasser.Wormの亜種であるW32.Sasser.D.Wormと呼ばれるワームを解析したところ、同ワームは感染
活動を行う際、ICMPエコー要求を送出することが確認されています。したがって、今回のICMPトラフィック
の増加は同ワームの活動に起因するものと推測されます。
 ICMPトラフィックの増加状況(リンク先はPDFファイルです。)
ttp://www.cyberpolice.go.jp/detect/pdf/H160507icmp.pdf

128 :名無しさん@お腹いっぱい。:04/05/07 21:32
>>125漏れも万が一に備えうpdate施行したのだが…(ちなみにWin2000Professionalユーザー)
うpdateってMS04-011のセキュリティ修正プログラムとは別だよね?

129 :名無しさん@お腹いっぱい。:04/05/07 21:39
>128
もうPC使うの止めた方がいいよ・・・

130 :名無しさん@お腹いっぱい。:04/05/07 22:07
>>129
釣られてんのか釣られてあげてるのか

131 ::04/05/07 22:09
トレンドマイクロのtscって駆除できますか?いまいちよくわかりません。

132 :名無しさん@お腹いっぱい。:04/05/07 22:46
>>128
>>131
ぐーぐった方が賢くなれるぞ。

133 :名無しさん@お腹いっぱい。:04/05/07 22:56
Windows うpだた 重くて繋がんない
もっと鯖を増強しやがれゲイシめ!

134 :名無しさん@お腹いっぱい。:04/05/07 22:56
今、サッサーをブロックしました。
バスターのポップアップがでてきました。

135 :名無しさん@お腹いっぱい。:04/05/07 22:58
System Volume Informationってフォルダの中に
Sasser.Cが検出されるんですが、どうやって削除すればいいんでしょうか?
System Volume Informationにアクセスして手動削除しようとしても、アクセス出来ません。


136 :131:04/05/07 23:13
はひ、がんばります

137 :名無しさん@お腹いっぱい。:04/05/07 23:22
>>135
システムの復元を無効にしてから削除

138 :名無しさん@お腹いっぱい。:04/05/08 00:53
>>135
ぐぐろうな。
ttp://support.microsoft.com/default.aspx?scid=kb;JA;309531

139 :名無しさん@お腹いっぱい。:04/05/08 01:10
件名:【Microsoft】 重要なお知らせ:Sasser ワームに関する情報
というメールが来まして、本文には
> <本情報はマイクロソフト株式会社より、
> ユーザー登録いただいたお客様全員に配信しております
となっていましたが

1、メールの発信元がマイクロソフトではない
2、レンタル鯖のメアドの設定していないアドレスに来た
(設定してないアドレスに来た場合使っているアドレスに転送してる)
3、WindowsをOEMで購入していてユーザー登録をしていない

という事を前提として推測すると、発信元がスパム打ってるような
気がして仕方が無いのですがどうなんでしょうか?
そもそもマイクロソフトって他社にそんなメール配信する事を
依頼してるんでしょうか?

140 :名無しさん@お腹いっぱい。:04/05/08 01:35
>>139
そのメールはMicrosoftからのものです。

たまにユーザー登録者全員に送るメールがあるが、そういうメールは他社に依頼してる。
とサイトのどっかに書いてあった。

141 :名無しさん@お腹いっぱい。:04/05/08 01:38
>>139
自分で登録したものぐらい覚えとけ。
しかもWindowsのユーザー登録者とは書いてないだろ。

142 :名無しさん@お腹いっぱい。:04/05/08 01:58
本当のところ、みんなはどの程度さぁ、淳行くん@佐々の実体を掴んでいるの?
MSのサイト見ても今市。シマンテックも混乱してるとおもわれ。
例えばね、NT2000では感染するけどNT2003では感染しない。んで、XPproだと感染する。等々。
マジ判らん。
板の住人のマトメきぼん。

143 :名無しさん@お腹いっぱい。:04/05/08 02:03
あ、2003はサーバだけどね。
それ判って言ってんで、よろしこ。

144 :名無しさん@お腹いっぱい。:04/05/08 02:06
>>140
他社に依頼してる前例はあるということですね

>>141
Windows以外のソフトを含めて、マイクロソフト関係でユーザー登録を
した事は一度もないです。

>>139
> 2、レンタル鯖のメアドの設定していないアドレスに来た
> (設定してないアドレスに来た場合使っているアドレスに転送してる)
と書きましたが、具体的にはinfo@のアドレスにきました。
infoやbizやwebmasterなど辺りを適当に入れてくるスパムが
多々ありますので疑いを持ったわけです。

あとあくまで私の主観ですけど、送信元の会社も怪しい印象でして…


145 :名無しさん@お腹いっぱい。:04/05/08 02:24
>>144
マイクロソフトでない会社から来るというのは怪しい感じがしますが…
レンタル鯖のメアドの方はスパムに限らず、誰かのタイプミスやいたずらの可能性もあるかも…

146 :名無しさん@お腹いっぱい。:04/05/08 02:31
>>141
知りもしないで便乗つっこみやめとけ。
アタマ輪類
カッコ輪類

147 :名無しさん@お腹いっぱい。:04/05/08 02:36
>>144
MSKKのDMは2,3年前から代行業者がやってるよ。
不思議に思うことがあるならe-agnet.jpなりMSKKなりに問い合わせなさい。

148 :名無しさん@お腹いっぱい。:04/05/08 02:38
そうだそうだ (・∀・) !

149 :名無しさん@お腹いっぱい。:04/05/08 03:46
microsoft.jp
から送られてきたメールのどこが怪しい

150 :名無しさん@お腹いっぱい。:04/05/08 03:54
うちに来てるMSのセキュリティ情報メールのアドレスは

差出人 : Microsoft <0_61642_E0076124-5AE5-441F-8B79-BED908308CB1_JP@Newsletters.Microsoft.com>
返信先 : <3_61642_E0076124-5AE5-441F-8B79-BED908308CB1_JP@Newsletters.Microsoft.com>
件名 : マイクロソフト セキュリティ情報 MS04-011 更新

だった。
@より前の部分は毎回違う。

151 :名無しさん@お腹いっぱい。:04/05/08 06:53
ttp://www.cyberpolice.go.jp/important/2004/20040507_195408.html

よくまとめてあります

152 :名無しさん@お腹いっぱい。:04/05/08 13:20
警察庁の分析はSasser.Dについてのものだが、A〜Cにも
基本的に当てはまると思われる。
http://www.cyberpolice.go.jp/important/2004/20040507_195408.html

(要約)
■Sasser.Dの日本語環境における感染状況
 2000 Pro/Server→SPなし〜SP4 →感染しないがリブート(※)
 XPhome/Pro→SPなし〜SP1→感染後リブート
 2003 Server→感染しない

■感染動作
・準備動作 FTPサーバを生成し、TCP port 5554をオープンして待機
・攻撃動作 目標IPをランダムに生成→目標へICPM Echo Request(ping)→
 応答があった目標のTCP port 445に接続→TCP port 9995へexploit
 コード送信→(※日本語Windows2000の場合、この段階でLSASSがクラッシュ、
 マシンはリブートする。感染動作は中断するので感染はしない)→
 準備動作で用意したFTPサーバからport5554を通じてワーム本体を転送

※注 Windows2000の場合、ワームのコードのバグのため、攻撃対象の
LSASSをクラッシュさせてしまう。そのためWin2000システムがOSのシャット
ダウンを行う。しかし感染はしていないのでウィルススキャンしても反応はない。
しかしインターネットに接続して再び攻撃を受ければ、またシャットダウンして
しまうことになる。

153 :152:04/05/08 13:31
補足
★FWでEcho Repyは必ず無効にせよ★

ICMP Echo Reply (pingに対する応答)をFWでステルス(応答を
返さない)に設定するだけで感染は防止できるうえに、ウィルス側
では応答がタイムアウトするまで待つ必要があるので攻撃の速度
を低下させ、無用なpingパケットの輻輳を抑止する効果もある。

FW入れてるマシンではEcho Repyをステルス(無効)に設定
することを勧めます。

154 :名無しさん@お腹いっぱい。:04/05/08 13:35
だからルーターは必須。
ルーターでping止めれば無問題

155 :名無しさん@お腹いっぱい。:04/05/08 14:47
今のXPの標準FWはpingを止めるんだけど、SP2のFWはICMP通すとか
どこかで読んだ気がする。

156 :名無しさん@お腹いっぱい。:04/05/08 16:43
18歳が捕まったらしいね

157 :名無しさん@お腹いっぱい。:04/05/08 17:20
 日本ネットワークアソシエイツは7日、マイクロソフトのウィンドウズXP
などのぜい弱性を悪用する新種ウイルス「サッサー」の被害は依然、
衰えていないと発表した。10日から仕事を再開する企業もあることから、
引き続き警戒が必要としている。

 同社によると、7日午後4時現在、被害企業は前日より70社増え187社、
感染マシン数も450台増え980台と、被害は続いている。亜種別では
「サッサー.C」が最も多く、感染マシンは723台と7割を占めている。
http://www.mainichi-msn.co.jp/it/network/news/20040507org00m300127000c.html

158 :名無しさん@お腹いっぱい。:04/05/08 17:29
>>156 だれ?

159 :名無しさん@お腹いっぱい。:04/05/08 17:29
サッサー容疑者の少年逮捕 ドイツの司法当局
【17:05】【ベルリン8日AP=共同】
ドイツの司法当局は8日、コンピューターウイルス「サッサー」をつくった容疑者として、
高校生の少年(18)を逮捕したことを明らかにした。
http://flash24.kyodo.co.jp/?MID=RANDOM&PG=FLASH

160 :名無しさん@お腹いっぱい。:04/05/08 17:34
Netskyのソースコードに「Skynet」とSasserは我々が作った
みたいなこと書いてたよな?

161 :名無しさん@お腹いっぱい。:04/05/08 17:46
>>160
でもSasserのソースにはそういうおしゃべりはなかったらしい。
それで、あれはNetsky側の言いふらしだとも言われている。
(ITMediaだかで読んだ)

162 :名無しさん@お腹いっぱい。:04/05/08 17:57
凄いな、18歳がsasser作ったのか・・・・脆弱性をつくなんて良く出来たな

163 :名無しさん@お腹いっぱい。:04/05/08 17:59
18歳の男子高校生逮捕、ウイルス「サッサー」製作容疑
2004.05.08
Web posted at: 17:38 JST
- CNN/AP
ベルリン――ドイツ北部、ハノーバーの治安当局は8日、過去1週間、
世界各地で感染が相次いで報告された新型ウイルス「サッサー」の
製作者とみられる18歳の男子高校生を7日に逮捕した、と発表した。
AP通信によると、高校生はドイツ北部の町に居住している。

逮捕に至った経緯などは不明。

コンピューターウイルス対策各社などによると、「サッサー」には「SasserA」
「SasserB」「SasserC」「SasserD」の4種類あり、マイクロソフトの基本ソフト
(OS)「ウィンドウズ2000」「ウィンドウズXP」のほか、ウインドウズ2000と
同2003のサーバを標的にしている。インターネットに接続しただけで、
感染する恐れが出ることなどが特徴。

世界各地でこれまで、数十万規模のコンピューターが感染被害を受けたと
みられている。
http://cnn.co.jp/science/CNN200405080020.html

164 :名無しさん@お腹いっぱい。:04/05/08 18:40
>>162
こういうウィルスの場合たいてい…

爆弾の製造原理を発見する科学者
 →それ見て爆弾の製造方法を書いて発表するヤツ
         →それ見て本当に作って爆発させるバカ

という3段階。最初にセキュリティコンサルタント会社の専門家が
LSASSにセキュリティホールを発見してMSに警告する。MSがパッチ
を作成した時点でコンサルタント会社が論文を公表。それ読んで
クラッカーが実際にセキュリティホールを利用するヒナガタexploit
コードを匿名でアングラサイトに発表する。それを見てバカガキが…

この過程にだいたい1月〜45日くらいかかる。ガキが本式にバカ
だとそこら中でいいふらすから運がよければタイーホになる…



165 :名無しさん@お腹いっぱい。:04/05/08 19:03
>>164
残念賞

166 :名無しさん@お腹いっぱい。:04/05/08 19:29
>>164
( ´・∀・`)へーつまり

ガキが自慢げに友達に話す
    ↓
友達が親に話す
   ↓
噂が充満してくる
   ↓
親が通報
  ↓
タイ━━━━||Φ|(|゚|∀|゚|)|Φ||━━━━ホ!!
   ↓
"(((( ´,,_ゝ`)))) ププッ プルプルッ"

167 :名無しさん@お腹いっぱい。:04/05/08 19:50
いやそれよりありそうなのは…

ガキが自慢げに友達にメール
    ↓
友達が掲示板にカキコ
   ↓
噂がネット充満してくる
   ↓
FBI、CIA、NSAの網にひっかかる
  ↓
タイ━━━━||Φ|(|゚|∀|゚|)|Φ||━━━━ホ!!
   ↓
((((((;゚Д゚))))))ガクガクブルブル


168 :名無しさん@お腹いっぱい。:04/05/08 20:03
>>153
>FWでEcho Repyは必ず無効にせよ
PINGを無効にすると、スキャンやアタックをいきなりあきらめて攻撃を仕掛けてこない場合が多いから、
せっかくFWいれてもログに出ないから、攻撃を防いでいるのを体感できるように
PINGはきらないほうがいいんじゃないの?

58 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)