2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

msblast対策スレ【ICMP祭り開催中】3日目!

1 :名無しさん@お腹いっぱい。:03/08/18 20:11

前スレ
msblast対策スレ【カウントダウン後再起動】2日目!
http://pc.2ch.net/test/read.cgi/sec/1060982749/


2 :名無しさん@お腹いっぱい。:03/08/18 20:11
2

3 :名無しさん@お腹いっぱい。:03/08/18 20:11
2

4 :名無しさん@お腹いっぱい。:03/08/18 20:12
>>1


5 :名無しさん@お腹いっぱい。:03/08/18 20:12
2

6 :名無しさん@お腹いっぱい。:03/08/18 20:12
1000

7 :名無しさん@お腹いっぱい。:03/08/18 20:12


8 :名無しさん@お腹いっぱい。:03/08/18 20:13
誰か国別アドレス範囲一覧を持ってませんか?

9 :名無しさん@お腹いっぱい。:03/08/18 20:13
[対策の手順]
TechNetセキュリティセンター Blasterに関する情報
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
TechNet Blasterワームへの対策 WindowsXP編
http://www.microsoft.com/japan/technet/security/virus/blasterE_xp.asp
TechNet Blasterワームへの対策 Windows2000編
http://www.microsoft.com/japan/technet/security/virus/blasterE_nt4w2k.asp

トレンドマイクロ エムエスブラスト対策WEB(AVソフトベンダーの方がよくまとまってるぽい?)
http://www.trendmicro.co.jp/msblast/index.asp
ソフォス W32/Blaster-A 駆除方法と FAQ
http://www.sophos.co.jp/support/disinfection/blastera.html

[MS03-26パッチ・駆除ツール]
MS03-026 に関する情報
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026ov.asp
WindowsUpdateにつながらない場合は上記ページのリンクからパッチが入手できます。
シマンテック W32.Blaster.Worm 駆除ツール
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.worm.removal.tool.html
トレンドマイクロシステムクリーナ
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

基本は、物理的にネットワークを遮断→DCOMの無効化→ブラスターワームの停止
→MS03-26パッチの適用→ブラスターワームの駆除の順番で行ってください。
万全を期するならば、パッチ・駆除ツールの入手は感染していないPCで行い、
それらの実行を物理的にネットワークから遮断された状態か、セーフモードで行ってください。
パッチを適用後もFWなどによってTCP 135、 TCP 4444、 UDP 69ポートをブロックすることが
肝要だと考えられます。

今回感染されてしまった方は、WindowsUpdateやセキュリティ情報の定期的な確認
および、早急にアンチウィルスソフト・ルータ・FWの導入を絶対に行うようにして下さい。

10 :名無しさん@お腹いっぱい。:03/08/18 20:13
>>1
オツカレチャーソ

11 :名無しさん@お腹いっぱい。:03/08/18 20:14
192.168.0.255から135とか137の接続がくるんですがなんなんでしょうか?
該当するIPはLAN内にありませんしルータのLAN側IPは192.168.0.1です。

12 :名無しさん@お腹いっぱい。:03/08/18 20:15
>>1
 ノノハヽ\
 ||σ_σ||| オツカレーション
⊂二、  \ プリッ 
    ヽ  ) )  
    / / / 
   (__ノ_丿

13 :名無しさん@お腹いっぱい。:03/08/18 20:17
怒涛のICMP祭りの開催を宣言しまつ!

14 :名無しさん@お腹いっぱい。:03/08/18 20:17
なんだよこれ。Port80を無駄に叩いてくる
211.160.9.130 - - [18/Aug/2003:12:59:46 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.13.44.165 - - [18/Aug/2003:13:04:16 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.4.223.244 - - [18/Aug/2003:13:10:58 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.174.136.184 - - [18/Aug/2003:13:20:15 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.144.119.191 - - [18/Aug/2003:13:24:06 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.29.255.228 - - [18/Aug/2003:13:31:54 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.95.64.37 - - [18/Aug/2003:13:32:32 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
211.234.112.229 - - [18/Aug/2003:13:33:50 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.6.41.90 - - [18/Aug/2003:13:36:00 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.95.79.243 - - [18/Aug/2003:13:41:57 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

15 :名無しさん@お腹いっぱい。:03/08/18 20:17
218.109.51.27 - - [18/Aug/2003:13:48:27 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.29.230.55 - - [18/Aug/2003:13:53:02 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.88.176.149 - - [18/Aug/2003:13:56:39 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.166.163.26 - - [18/Aug/2003:13:57:22 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.242.120.222 - - [18/Aug/2003:14:09:10 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.178.18.62 - - [18/Aug/2003:14:31:10 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.88.13.62 - - [18/Aug/2003:14:31:13 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.19.5.42 - - [18/Aug/2003:14:33:02 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.109.17.112 - - [18/Aug/2003:14:36:20 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.72.89.106 - - [18/Aug/2003:14:40:51 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"


16 :名無しさん@お腹いっぱい。:03/08/18 20:18
211.235.16.222 - - [18/Aug/2003:15:04:14 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.5.148.214 - - [18/Aug/2003:15:04:30 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.79.170.90 - - [18/Aug/2003:15:12:01 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.155.172.68 - - [18/Aug/2003:15:15:59 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.72.103.200 - - [18/Aug/2003:15:17:54 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.145.25.110 - - [18/Aug/2003:15:18:18 +0900] "GET / HTTP/1.0" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.55.212.232 - - [18/Aug/2003:15:32:47 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.174.157.52 - - [18/Aug/2003:15:37:12 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.15.106.171 - - [18/Aug/2003:15:39:31 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.18.193.7 - - [18/Aug/2003:15:48:43 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"


17 :名無しさん@お腹いっぱい。:03/08/18 20:18
61.177.236.206 - - [18/Aug/2003:15:52:16 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.145.25.46 - - [18/Aug/2003:15:57:25 +0900] "GET / HTTP/1.0" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.110.204.220 - - [18/Aug/2003:15:58:52 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.154.45.236 - - [18/Aug/2003:16:00:17 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.248.160.170 - - [18/Aug/2003:16:02:22 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.65.189.60 - - [18/Aug/2003:16:02:36 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
211.95.164.20 - - [18/Aug/2003:16:03:02 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.242.117.175 - - [18/Aug/2003:16:03:13 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
211.243.27.87 - - [18/Aug/2003:16:15:09 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.169.106.195 - - [18/Aug/2003:16:19:27 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"


18 :名無しさん@お腹いっぱい。:03/08/18 20:18
218.72.10.114 - - [18/Aug/2003:16:24:23 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.1.188.199 - - [18/Aug/2003:16:28:20 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.0.135.43 - - [18/Aug/2003:16:28:41 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
211.61.133.33 - - [18/Aug/2003:16:29:47 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.74.169.49 - - [18/Aug/2003:16:32:53 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
61.53.146.69 - - [18/Aug/2003:16:39:51 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.79.146.170 - - [18/Aug/2003:16:42:18 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
218.79.50.48 - - [18/Aug/2003:16:53:04 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
210.22.24.65 - - [18/Aug/2003:16:55:51 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"
219.137.63.121 - - [18/Aug/2003:17:02:05 +0900] "GET / HTTP/1.1" 200 387 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

以下大量(約1MB)

19 :名無しさん@お腹いっぱい。:03/08/18 20:18
閉じたほうがいいポートをまとめてくれ

20 :名無しさん@お腹いっぱい。:03/08/18 20:19
>>14-18
くだらないログで荒らすな!!

21 :名無しさん@お腹いっぱい。:03/08/18 20:19
>>14-18
無駄に大量に貼り付けてるやつがいるな

22 :名無しさん@お腹いっぱい。:03/08/18 20:20
>>19
今は
port135 を直接叩いてくるもの
ICMPを送信してくるもの
port 80 を叩いてくるもの
が主だったものみたいだけど。

23 :名無しさん@お腹いっぱい。:03/08/18 20:20
>>19
>>9をよくみれ

24 :名無しさん@お腹いっぱい。:03/08/18 20:21
感染源に対し、net sendでウザいとでも伝えようかね(ワラ
相手はNT系だから有効なはずだ。メッセンジャーサービス切ってなければ。

25 :19:03/08/18 20:22
>>23
みたのだが少ない気がして

26 :名無しさん@お腹いっぱい。:03/08/18 20:22
祭り太鼓がドンドコドンドコ叩いてくるねぇ

27 :名無しさん@お腹いっぱい。:03/08/18 20:23
>>24
ルータを挟んでなければ、ね。

28 :名無しさん@お腹いっぱい。:03/08/18 20:23
俺ICMPを打ちまくるやつに感染してるんだろうか…
早く情報出てくれ〜・゚・(ノД`)・゚・

29 :名無しさん@お腹いっぱい。:03/08/18 20:24
情報は出てるから理解しなさい

30 :名無しさん@お腹いっぱい。:03/08/18 20:25
>>27
ルータ挟んでればまず食らわないよ。
はう、こっちがルータかましてると届かないのか?

31 :名無しさん@お腹いっぱい。:03/08/18 20:27
依然として韓、中国が多い
HZCNCNETってなんだ?
これも中国?


32 :名無しさん@お腹いっぱい。:03/08/18 20:27
ポートの確実な閉じ方を是非とも教えてくだされ

33 :名無しさん@お腹いっぱい。:03/08/18 20:27
                _∧_∧_∧_∧_∧_∧_∧_∧_
     デケデケ      |                          |
        ドコドコ   <pingpingpingpingpingpingpingpingpingping
   ☆      ドムドム |_  _  _ _ _ _ _ _ _ _|
        ☆   ダダダダ! ∨  ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨
  ドシャーン!  ヽ         オラオラッ!!    ♪
         =≡= ∧_∧     ☆
      ♪   / 〃(・∀・ #)    / シャンシャン
    ♪   〆  ┌\と\と.ヾ∈≡∋ゞ
         ||  γ ⌒ヽヽコ ノ  ||
         || ΣΣ  .|:::|∪〓  ||   ♪
        ./|\人 _.ノノ _||_. /|\


34 :名無しさん@お腹いっぱい。:03/08/18 20:28
ポート閉じるのに確実も不確実もないような気が・・・・

35 :名無しさん@お腹いっぱい。:03/08/18 20:28
>>32
PCを窓から(ry

36 :名無しさん@お腹いっぱい。:03/08/18 20:28
FWのログを見て、びっくりしたので来ました。
情報くれや雑魚ども。

37 : :03/08/18 20:29
>>32
回線切れ

38 :名無しさん@お腹いっぱい。:03/08/18 20:29
>>11って別のウィルスですか?

39 :名無しさん@お腹いっぱい。:03/08/18 20:29
↓ ドコドコうるせーんだよのAA

40 :名無しさん@お腹いっぱい。:03/08/18 20:30
だれかblaster解析したやつっていない?

ちなみに俺はスキルなし。ついでに根性なしで、ろくでなし。

41 :名無しさん@お腹いっぱい。:03/08/18 20:30
>>34
クソMSのOS付属ファイアーウォールの方法だと閉じられてなかったので。
ポートスキャンさせたら開いていました。
ネットの情報をうまく拾えないので直接閉じる方法がわかりません

42 :名無しさん@お腹いっぱい。:03/08/18 20:30
                _∧_∧_∧_∧_∧_∧_∧_∧_
     デケデケ      |                          |
        ドコドコ   <pingpingpingpingpingpingpingpingpingping
   ☆      ドムドム |_  _  _ _ _ _ _ _ _ _|
        ☆   ダダダダ! ∨  ∨ ∨ ∨ ∨ ∨ ∨ ∨ ∨
  ドシャーン!  ヽ         オラオラッ!!    ♪
         =≡= ∧_∧     ☆
      ♪   / 〃(・∀・ #)    / シャンシャン
    ♪   〆  ┌\と\と.ヾ∈≡∋ゞ
         ||  γ ⌒ヽヽコ ノ  ||
         || ΣΣ  .|:::|∪〓  ||   ♪
        ./|\人 _.ノノ _||_. /|\


43 :名無しさん@お腹いっぱい。:03/08/18 20:30
*.hrって国からICMPキタ━━━━(゚∀゚)━━━━!!
何県だろ?これ

44 :名無しさん@お腹いっぱい。:03/08/18 20:31
>>41
ファイアーウォールソフト 総合スレッド Part4
http://pc.2ch.net/test/read.cgi/sec/1041820367/

45 :名無しさん@お腹いっぱい。:03/08/18 20:31
↓ ドコドコうるせーんだよのAA

46 :名無しさん@お腹いっぱい。:03/08/18 20:31
>>30
そうだった。スマソ!

47 :名無しさん@お腹いっぱい。:03/08/18 20:32
>>45
ああ、ひでぇ。

48 :名無しさん@お腹いっぱい。:03/08/18 20:32
>>36
>>9

1分間に10回ぐらいport135を叩かれてるぞゴルァ

49 :名無しさん@お腹いっぱい。:03/08/18 20:32
漏れもさっき大量に ICMP が投げられてくるのに気付いてなんか情報ないか
探そうと思てこの板に来たんだが、MSBlast だったのか。

まぁ rooter で port69/udp,135-139/tcp その他は塞いである上に local
側に Windows は置いてないし、ついでに外からくる ICMP には返事させな
いようにしてあるからどうでもいいっちゃいいんだが。

それにしてもうっとうしい話だ。

50 :名無しさん@お腹いっぱい。:03/08/18 20:33



      I C M P っ て 何 で す か ?



・・・ねぇ・・。


51 :名無しさん@お腹いっぱい。:03/08/18 20:33
オレ ぷららとエキサイト入ってるけど
ぷららだと 135と137が少々 ICMP多数
エキサイトだと 135多数 137少々 ICMPなし
って感じです。

52 :名無しさん@お腹いっぱい。:03/08/18 20:33
>>43
クロアチアですね。

53 :名無しさん@お腹いっぱい。:03/08/18 20:33
TCP/IPプロパティ

詳細設定

TCP/IPフィルタリングを有効

一部許可する

必要なポートを登録

これならママもOKさっ!( ・∀・)


54 :名無しさん@お腹いっぱい。:03/08/18 20:35
同じISPからばかり来るのが不思議とか言ってるやつはまずこれを嫁。
ttp://www.symantec.co.jp/region/jp/sarcj/data/w/w32.blaster.worm.html

3.IPアドレスを生成し、そのアドレスのコンピュータに感染を試みます。
 IPアドレスは次のアルゴリズムに基づいて生成されます。
・40%の確率で、 A.B.C.0の形式のIPアドレスが生成されます。A.B.は、感染元と
 なるコンピュータのIPアドレスの先頭2つの値と同じです。

 Cは、感染元となるシステムのIPアドレスの3番目の値に基づいて計算されます。
 ワームは、40%の確率でCの値が20よりも大きいかどうかを確認します。20より大
 きい場合は、Cの値から20未満のランダムな値を差し引いた値を使用します。
 IPアドレスの計算が終わると、ワームは算出されたIPアドレス(A.B.C.0)に
 該当するコンピュータを探して感染しようとします。
 その後、上記で計算したIPアドレスの0の部分に1を加え、そのアドレスに
 該当する他のコンピュータを探して攻撃しようとします。この操作をIPアドレス
 の0の部分が254に達するまで繰り返し行います。

・60%の確率で、完全にランダムなIPアドレスを使用します。

55 :名無しさん@お腹いっぱい。:03/08/18 20:36
>>51
オレもぷららだ
同じく135と137が少々 ICMP多数

56 :名無しさん@お腹いっぱい。:03/08/18 20:37
>>54
それは知ってるけど、なぜpingなの?

57 :名無しさん@お腹いっぱい。:03/08/18 20:37
>>53
ありがとうございます。
それ以外に、直接閉じる方法ってないんですかね?

58 :名無しさん@お腹いっぱい。:03/08/18 20:38
Blasterは40%の確率で自分に近いネットワークに、
60%の確率で全くランダムに接続先IPアドレスを作り出して、
そこにアクセスを試みるらしい


59 :名無しさん@お腹いっぱい。:03/08/18 20:38
>56
何らかの感染ルート探しじゃないの?

60 :名無しさん@お腹いっぱい。:03/08/18 20:38
>>56
そんなもん、俺が知るか。

61 :名無しさん@お腹いっぱい。:03/08/18 20:38
ccTLD はここで確認汁。
http://www.iana.org/cctld/cctld-whois.htm

漏の所はイタリア、ポーランド、オーストラリア他から来て
訳が解らん。世界中から ping で突つかれてる。

62 :名無しさん@お腹いっぱい。:03/08/18 20:39
国際派だな

63 :名無しさん@お腹いっぱい。:03/08/18 20:39
日本代表に選抜されたヤツがいるな

64 :名無しさん@お腹いっぱい。:03/08/18 20:40
前スレの>>997

ガッ(AAry

65 :名無しさん@お腹いっぱい。:03/08/18 20:40
俺もpingの意味がわからん
port135に直接送ってくるならわかるが
別にping打たれたって、それでセキュリティレベルが
分かるわけでもない

意図が全然わからんから怖すぎる

66 :56:03/08/18 20:40
>>59
新種・・・という可能性ありですか・・・。
というか、ブラスター発見当初のTCP135へのスキャンよりも
はるかに激しいんですよね。

>>60
そりゃそうですね。

67 :名無しさん@お腹いっぱい。:03/08/18 20:40
世界的にpingのあらして・・新種ワーム?世界規模で落ちたらおもろいんだけどなぁ。
でもおもしろさを共有できないからダメだな

68 :名無しさん@お腹いっぱい。:03/08/18 20:41
中国からのご訪問も多いな

69 :名無しさん@お腹いっぱい。:03/08/18 20:41
ワールドワイド

70 :名無しさん@お腹いっぱい。:03/08/18 20:41
こんなことならインターネットに接続しているマシンも生態系といっしょで
いろいろなOSがあったほうがいいと思ってしまった今日この頃…

71 :名無しさん@お腹いっぱい。:03/08/18 20:41
えーと、つまり、
ping打って返事を待つ→返事があった香具師の135が空いているか確かめる
→空いていたらブラスターぶちこむ→感染

ってのがこれの狙いですか?

72 :名無しさん@お腹いっぱい。:03/08/18 20:42
今こそBeOS

73 :前スレ997:03/08/18 20:42

  ( ・∀・)   | | ガッ
 と    )    | |
   Y /ノ    人
    / )    <  >__Λ∩
  _/し' //. V`Д´)/
 (_フ彡        /  ←漏れ

74 :名無しさん@お腹いっぱい。:03/08/18 20:42
>>65
tcpコネクションのタイムアウト値とICMPのタイムアウト値を調べてみろ。
おまえがたとえ馬鹿だろうが猿だろうが、効率のいい攻撃方法がわかるから。

75 :名無しさん@お腹いっぱい。:03/08/18 20:42
>>51
単純に加入者数が反映されるだけじゃねーの?
エキサイトの人って少ないんだろ?

76 :名無しさん@お腹いっぱい。:03/08/18 20:42
全世界の感染PCがもし一斉にping打ちまくったとしたらどうなるんだろう?
その程度じゃネットワークなんてなんとも無いんだろうか。

77 :名無しさん@お腹いっぱい。:03/08/18 20:42
>>56
pingを打つ→応答が返ってくる→そのアドレスにコンピュータが存在する
コンピュータが存在するアドレスに135攻撃を仕掛ける(゚Д゚ )ウマー

78 :名無しさん@お腹いっぱい。:03/08/18 20:43
同じセキュリティホールを使ってワームをやっつけにいくワームが現れたりして。

79 :名無しさん@お腹いっぱい。:03/08/18 20:43
pingってBlaster亜種の仕業?
本種じゃこんな事なかったのに

80 :名無しさん@お腹いっぱい。:03/08/18 20:43
>>71
そういう予想を立ててる人も居るね。

81 :名無しさん@お腹いっぱい。:03/08/18 20:43
port69/udp開いてたら、TFTP使えるんだよね。

82 :名無しさん@お腹いっぱい。:03/08/18 20:43
>>66
こんな説がある。

783 名前:名無しさん@お腹いっぱい。 投稿日:03/08/18 17:50
いまのところ2ちゃんで確認されてるブラスターの挙動としては

1、普通にTCP135にアタックしてくる
2、最初にping(ICMP)を打って反応があったPCにTCP135のアタックをかける
 (pingが拒絶された場合は135アタックはしない)

の2つのパターンになりますかね。

83 :名無しさん@お腹いっぱい。:03/08/18 20:43
インターネットやってて、こんなにアクセス来たのは初めて。

84 :名無しさん@お腹いっぱい。:03/08/18 20:44
>>70
日本も確か日本製OSがあって、
しかしながらアメちゃんに潰された


っちゅーのをどこかで聞いた。

85 :名無しさん@お腹いっぱい。:03/08/18 20:44
ものすごい勢いでPing打たれてます。

僕の肛門に・・。

86 :名無しさん@お腹いっぱい。:03/08/18 20:44
いきなりtcpでコネクション張りに行くのは時間のロスが非常に大きいということやね。
だから最初にicmpで存在を確認しておく。

87 :名無しさん@お腹いっぱい。:03/08/18 20:45
ていうか、ISPはなにやってんの?
まさかこれに気づいてないとか言うんじゃないよな?

88 :名無しさん@お腹いっぱい。:03/08/18 20:46
>>85
Pong!とやり返してあげな。


89 :名無しさん@お腹いっぱい。:03/08/18 20:46
よーしパパMZ-80Bでインターネットしちゃうぞー

90 :名無しさん@お腹いっぱい。:03/08/18 20:46
>>85
8月上旬にアナルセックスしたんだけど
気持ちよく無かったよ。
中身が出る感%8**。

91 :名無しさん@お腹いっぱい。:03/08/18 20:46
>>87
流石に気づいてるでしょ(w

92 :名無しさん@お腹いっぱい。:03/08/18 20:46
●  ξミヽ(・∀・)ノξ   (´⌒(´


93 :名無しさん@お腹いっぱい。:03/08/18 20:46
土器土器惑惑な自分がここにいる

94 :名無しさん@お腹いっぱい。:03/08/18 20:46
>85
やらないか

95 :名無しさん@お腹いっぱい。:03/08/18 20:47
ICMPじゃなくて裸のねーちゃんがどんどこやって来るなら大歓迎なんだけどな

96 :名無しさん@お腹いっぱい。:03/08/18 20:47
つうかこれがもしブラスターの亜種だとしたら
セカンドはファーストよりも礼儀正しいってことになるなw
いきなり土足で踏み込んでくるファーストとは育ちが違うようだ。

97 :名無しさん@お腹いっぱい。:03/08/18 20:48
>>84
トロンOSのこと?
今は携帯で頑張ってるね。



98 :名無しさん@お腹いっぱい。:03/08/18 20:48
セカンドインパクトだったのか・・・

99 :名無しさん@お腹いっぱい。:03/08/18 20:49
>>97
ぴゅう太のこと

100 :名無しさん@お腹いっぱい。:03/08/18 20:49
>>98
そのうち日本発のサードインパクトが起こるでしょう。

101 :84:03/08/18 20:49
>>97
それです!思い出した!ありがとうです。


102 :名無しさん@お腹いっぱい。:03/08/18 20:49
そしてサードインパクトで世界は滅びる…

103 :名無しさん@お腹いっぱい。:03/08/18 20:50
誰かFW切ってPCにどのような影響があるか確かめてくれ

104 :名無しさん@お腹いっぱい。:03/08/18 20:50
エヴァヲタがいるなw

105 :名無しさん@お腹いっぱい。:03/08/18 20:50
>>103
任せたぞ

106 :名無しさん@お腹いっぱい。:03/08/18 20:50
今日の山場は会社の始業時だったんだが意外な形で祭りになっているな



107 :名無しさん@お腹いっぱい。:03/08/18 20:50
WIN98も感染するの?

108 :名無しさん@お腹いっぱい。:03/08/18 20:50
>>102
俺と美女で処女の乙女のみが生き残るけどな。

109 :名無しさん@お腹いっぱい。:03/08/18 20:51
>>103
切ったけどノートン先生が守ってくれてる罠

110 :名無しさん@お腹いっぱい。:03/08/18 20:51
>>103
漢!男の中の男!

111 :名無しさん@お腹いっぱい。:03/08/18 20:51
ステルスモード一回解除してみようかな
そしたら135アッタクされまくりかな

112 :名無しさん@お腹いっぱい。:03/08/18 20:51
俺かよ!?

113 :名無しさん@お腹いっぱい。:03/08/18 20:51
ICMPが来る頻度はどう? 漏れの所は昼過ぎから
たいして変わってないんだけど。

114 :名無しさん@お腹いっぱい。:03/08/18 20:52
>>113
一旦収束しかけたように見えたけど、
夕方からまた鰻上り。

115 :名無しさん@お腹いっぱい。:03/08/18 20:53
つーかFW切ったらpingの後に何されてもわからないしな

116 :名無しさん@お腹いっぱい。:03/08/18 20:53
TCP/135 ならISPが対策で閉じちゃうこともできるけど…
うざー実害はないけど


117 :名無しさん@お腹いっぱい。:03/08/18 20:53
ネット全体が重くない?
今日は何処のページを開くのにも時間がかかってしまう。

118 :名無しさん@お腹いっぱい。:03/08/18 20:54
誰かルーターの設定許容にした上で
ノートン等をアンインストールしてPCにどのような影響があるか確かめてくれ

119 :名無しさん@お腹いっぱい。:03/08/18 20:54
おまえら実はMだろ?

120 :名無しさん@お腹いっぱい。:03/08/18 20:54
>113
うちは結構ばらばら。
1分間に5〜6回くるかと思うと、1回程度だったり。
ドサクサ紛れにポート137叩きにきやがる。

121 :名無しさん@お腹いっぱい。:03/08/18 20:54
40分間で124回攻撃
キタ━━━━(゚∀゚)━━━━ !!

122 :名無しさん@お腹いっぱい。:03/08/18 20:54
コレ、激しい方なのかな?
http://cgi.2chan.net/up2/src/f23187.jpg

123 :109:03/08/18 20:54
>>115
Blastが狙うとされてるポトも一応監視してます。

124 :名無しさん@お腹いっぱい。:03/08/18 20:55
一時間半で100発超えた

125 :名無しさん@お腹いっぱい。:03/08/18 20:55
>>121
うちもそんなもん
一分間に4〜3回

126 :名無しさん@お腹いっぱい。:03/08/18 20:55
FWの設定を変えて内向きのpingだけ許可してみたら、TCP135へのスキャンが急に増えた。
やっぱ、新種のブラスターかもね。

127 :名無しさん@お腹いっぱい。:03/08/18 20:56
>>122
みんなそんなもん

128 :名無しさん@お腹いっぱい。:03/08/18 20:56
10分で30発ってとこだな

129 :名無しさん@お腹いっぱい。:03/08/18 20:56
>>126
pingの発信元と135スキャンのアクセス元は同一?

130 :名無しさん@お腹いっぱい。:03/08/18 20:57
>>103
これからやってみるよ。
PC数台あるから、どれかを実験台にしてみる。



131 :名無しさん@お腹いっぱい。:03/08/18 20:57
>>119
subMarineだよもん。pingは漏れのアクチブソナーなのです。

132 :名無しさん@お腹いっぱい。:03/08/18 20:58
>>130
ウホッ、いい男

133 :126:03/08/18 20:58
>>129
う〜ん。それはわからない。
ブロックしたものしかログを取らない仕様なもので。
でも、再度ブロックする設定にしたらTCP135へのスキャンがぴたりと止んだ。

134 :名無しさん@お腹いっぱい。:03/08/18 20:58
うお!ブラスターの感染台数は30万台〜100万台超えたってさ。

ttp://www.zdnet.co.jp/enterprise/0308/18/epn16.html


135 :名無しさん@お腹いっぱい。:03/08/18 20:58
毎分5〜6回。 今さっきルータの設定を

「 インターネット側からのpingに応答する 」

に変えてみたYO!

136 :名無しさん@お腹いっぱい。:03/08/18 20:59
あら、10回/分だよ・・

137 :126:03/08/18 21:00
うーむ。TCP135へのスキャンが全く無くなった。

138 :名無しさん@お腹いっぱい。:03/08/18 21:00
うちも複数台PCあるがPCにFW入れてないもんだから
1台を実験台にしたら全部感染する罠(藁
実験できんわ・・・

139 :名無しさん@お腹いっぱい。:03/08/18 21:00
これがブラスターの亜種だとして
この亜種でブラスターに感染してしまうような香具師ってどうよ?

140 :名無しさん@お腹いっぱい。:03/08/18 21:00
ほんとだ
ICMP許可した途端に、135をつついてきた

でも許可しちゃったのでping打った奴のせいなのか
確かめられない・・・鬱

141 :名無しさん@お腹いっぱい。:03/08/18 21:01
>>129
>>126じゃないけど、ウチの場合はほぼ100%一緒。

それから今日のログみててきがついたんだけど、
同じIPアドレスからほぼ3時間おきに、もすくは2時間おきに
ICMPが1回ずつ飛んできてる。
同じような人いる?

142 :名無しさん@お腹いっぱい。:03/08/18 21:02
本種作者がブラスターをバージョンアップさせたんじゃないか?


143 :名無しさん@お腹いっぱい。:03/08/18 21:02
>>139
ネットが危険なものだという危機意識の全く無い初心者だと思います。

144 :名無しさん@お腹いっぱい。:03/08/18 21:03
シュラク隊のガンブラスターは飛びすぎる

145 :名無しさん@お腹いっぱい。:03/08/18 21:03
>>142
W32.Blaster.Worm Ver.2.1くらい?(w

146 :名無しさん@お腹いっぱい。:03/08/18 21:04
>>139
まだMS03-026パッチ当ててない奴ってことかしら?
詳しいことはこのスレの漢が身をもって試してくれるはず。

147 :名無しさん@お腹いっぱい。:03/08/18 21:04
>>135
うちは逆にしてみた。
「WAN側からのpingを受け付けない」に。
…変わらないなぁ。

148 :名無しさん@お腹いっぱい。:03/08/18 21:06
直後の1分間で135へのアタックが6回きたYO!
これまでの135アタックは単発(一回失敗すれば終わり)だったけど、
今度のは何度も繰り返し侵入を試みてるYO!

前の135アタックと明らかに振る舞いが違う今度の135アタックは新型だNE!

149 :名無しさん@お腹いっぱい。:03/08/18 21:06
(つД`)ちょっと前にLanでノートとやり取りしてたから1・2分ほど
うっかりpfwをallow allのまま繋げちまった・・・
ログを見ると確かにpingに返事を返した後に135につないできてるみたい

150 :名無しさん@お腹いっぱい。:03/08/18 21:07
>>149
危なかったね・・・。

151 :名無しさん@お腹いっぱい。:03/08/18 21:07
>>122
そんなに凄いんだ。
ルータのログ見てもあまりないんだよね。

152 :名無しさん@お腹いっぱい。:03/08/18 21:07
ネットに繋いだとたんに3分も経たずにping100発超えたよ。
あーなんて言うかこいつの肛門が羨ましい↓

153 :名無しさん@お腹いっぱい。:03/08/18 21:08
>>146
漏れ、まだパッチ当ててない…

154 :135:03/08/18 21:09
このスレで135取ったおいらは紙だNE!

155 :名無しさん@お腹いっぱい。:03/08/18 21:09
大陸間弾道弾がめっちゃきてるな

156 :名無しさん@お腹いっぱい。:03/08/18 21:09
下半身裸でハッテン場を散歩してるやつがいるな

157 :名無しさん@お腹いっぱい。:03/08/18 21:09
全然

158 :名無しさん@お腹いっぱい。:03/08/18 21:10
>>156
それ俺のじいちゃん

159 :名無しさん@お腹いっぱい。:03/08/18 21:10
ミューテックス見て感染してるかどうか調べて
古い奴なら新しいワームに切り替えてるなこれ

160 :名無しさん@お腹いっぱい。:03/08/18 21:11
>>159
プロセス殺して、置換えやってんの?ワームの。

161 :名無しさん@お腹いっぱい。:03/08/18 21:11
微妙に通信速度が落ちた気がする

162 :126,145:03/08/18 21:12
うむ。何度試しても同じパターンだ。
内向きpingを許可 → TCP135へのスキャンが急増
内向きpingをブロック → TCP135へのスキャンが止む

やっぱ、W32.Blaster.Worm Ver.2.1か?

163 :名無しさん@お腹いっぱい。:03/08/18 21:13
よく見ると、新型は3回アクセスに失敗すると侵入を諦めるようだね。

旧型 … いきなり135ポートにtcpコネクションを張り、一回失敗すると次の獲物を探す
新型 … まずpingでアライブを確認、次にtcpコネクションを張りに行き三回失敗すると次の獲物を探す

こんな感じか。

164 :名無しさん@お腹いっぱい。:03/08/18 21:13
やっぱ祭りはこうじゃなくちゃな!

165 :名無しさん@お腹いっぱい。:03/08/18 21:13
pingキタ─wwヘ√レvv~(゚∀゚)─wwヘ√レvv~─ !!!
http://sakots.pekori.jp/imgboard/imgs/img20030818211301.png

166 :名無しさん@お腹いっぱい。:03/08/18 21:13
pingってのはトイレの個室をノックして歩いてるようなもの
ノックして中から返事が返ってきたら、次はドア開けて入ってこようとする
対策はドアにちゃんと鍵をかけるか、レイプされても妊娠しないようにピルのんどく
ただ、いくら鍵をかけてもドアのノックは停められない

167 :名無しさん@お腹いっぱい。:03/08/18 21:14
近いアドレスからが多いですね

168 :名無しさん@お腹いっぱい。:03/08/18 21:14
>>166
ピル飲んで鍵もかけてます。

169 :名無しさん@お腹いっぱい。:03/08/18 21:15
>>166
なんつうえげつない例えだと思ったが、
禿同だ。

170 :名無しさん@お腹いっぱい。:03/08/18 21:15
>>166
鍵掛け過ぎて二度と出られなくなりますた

171 :名無しさん@お腹いっぱい。:03/08/18 21:15
>>166
ドアをたたけなくしちゃってる(ステルス化)人は多いと思われ。

172 :名無しさん@お腹いっぱい。:03/08/18 21:15
トイレでレイプは汚いのでしません

173 :@@:03/08/18 21:15
この娘完全に騙されてますね。撮影者は業界人を装ってます。
そんな男に生理中にもかかわらずぶち込まれちゃいます。
カワイイ顔して大きなオッパイしてやるときはやります。
アップが多いので血のついたチンポの出し入れがモロ見えです。
素人援交女がいっぱい!!
無料ムービーを観てちょ。
http://www.geisyagirl.com/


174 :名無しさん@お腹いっぱい。:03/08/18 21:16
>>166
鍵掛けたけど、その鍵失くしますた。

175 :名無しさん@お腹いっぱい。:03/08/18 21:16
>>166
うちは男(9x系)なので精子(blast)では妊娠出来ない・・・

176 :名無しさん@お腹いっぱい。:03/08/18 21:16
ドサクサにまぎれてUDP1434なんかも。なつかしぃ。

177 :名無しさん@お腹いっぱい。:03/08/18 21:16
ということは、

いきなりポート137を叩きにくる→旧型
とりあえずping打ってみる→新型

ということか?

何か両方が混在してる。

178 :名無しさん@お腹いっぱい。:03/08/18 21:16
>>45ほら

―――――――――――――‐┬┘               =≡=
                        |             __  〆
       ____.____    |             ───  \
     |        | ∧_∧ |   | pingpingうっせーんだよゴルァ! \_ =二 ∧_∧
     |        |. (#´Д`)|   |                 _   |ヽ  \ (; ・∀・)/
     |        |⌒     て)  人        _  ―――‐ γ ⌒ヽヽ  ⊂   つ  ∈≡∋
     |        |(  ___三ワ <  >  ―――   ―― ―二   |   |:::| 三ノ ノ ノ  ≡ //
     |        | )  )  |   ∨        ̄ ̄ ̄ ―――‐   人 _ノノ (_ノ、_ノ  _//
        ̄ ̄ ̄ ̄' ̄ ̄ ̄ ̄    |


179 :名無しさん@お腹いっぱい。:03/08/18 21:16
>>171
漏れもそのパターンです。ドアは見えません。

180 :名無しさん@お腹いっぱい。:03/08/18 21:17
結局、今もなおブラスターに感染してる奴が、
同じ仕組みでヘンなのに感染しちゃってるってこと?

181 :名無しさん@お腹いっぱい。:03/08/18 21:17
よくネットがパンクしないよな

182 :名無しさん@お腹いっぱい。:03/08/18 21:17
今みたら殆どがicmpの後同じIPからtcp135だったので
icmpをブロックしたら135へのアタックが激減した
この5分間でicmp7回、tcp135が無し
ブロック前の5分間はicmp10回にtcp30回
30回というのはSYNの10x3(retry)だな

183 :126:03/08/18 21:17
>>177
漏れのところはいきなりTCP135を叩いてくる奴は全くなくなりました。

184 :名無しさん@お腹いっぱい。:03/08/18 21:17
2100番台〜2200番台を良く叩かれてる

こいつもブラスタのせい?

185 :名無しさん@お腹いっぱい。:03/08/18 21:18
俺にはどんなドアも見えるぞ

186 :名無しさん@お腹いっぱい。:03/08/18 21:18
まさか巧妙に仕組まれてるドロッパーってことは無いわな


187 :名無しさん@お腹いっぱい。:03/08/18 21:18
>>178
AAキタワァ*・゚゚・*:.。..。.:*・゚(n‘∀‘)η゚・*:.。..。.:*・゚゚・* !!!!! 

188 :名無しさん@お腹いっぱい。:03/08/18 21:19
ICMP10回につき135一回って感じぃ〜

189 :名無しさん@お腹いっぱい。:03/08/18 21:19
感染してるmsblastがアップデートされてる?

190 :名無しさん@お腹いっぱい。:03/08/18 21:19
>>162
家も全く同じだ。

191 :名無しさん@お腹いっぱい。:03/08/18 21:20
新型に旧型が紛れ込んでるの図w

21:15:35 FIREWALL TCP connection denied from ***.**1.148.17:2827 to 俺のIP:135 (eth1)
21:15:34 FIREWALL TCP connection denied from ***.**2.212.84:2479 to 俺のIP:135 (eth1)
21:15:29 FIREWALL TCP connection denied from ***.**1.148.17:2827 to 俺のIP:135 (eth1)
21:15:28 FIREWALL TCP connection denied from ***.**2.212.84:2479 to 俺のIP:135 (eth1)
21:15:26 FIREWALL TCP connection denied from ***.**1.148.17:2827 to 俺のIP:135 (eth1)
21:15:25 FIREWALL TCP connection denied from ***.**2.212.84:2479 to 俺のIP:135 (eth1)
21:14:55 FIREWALL TCP connection denied from ***.**1.60.124:2358 to 俺のIP:135 (eth1) ←コイツ
21:14:31 FIREWALL TCP connection denied from ***.**1.144.42:4581 to 俺のIP:135 (eth1)
21:14:25 FIREWALL TCP connection denied from ***.**1.144.42:4581 to 俺のIP:135 (eth1)
21:14:22 FIREWALL TCP connection denied from ***.**1.144.42:4581 to 俺のIP:135 (eth1)
21:14:20 FIREWALL TCP connection denied from ***.**1.156.135:3909 to 俺のIP:135 (eth1)
21:14:14 FIREWALL TCP connection denied from ***.**1.156.135:3909 to 俺のIP:135 (eth1)
21:14:11 FIREWALL TCP connection denied from ***.**1.156.135:3909 to 俺のIP:135 (eth1)


192 :名無しさん@お腹いっぱい。:03/08/18 21:20
MSがWindows XPのファイアウオールのデフォルト設定を変更へ
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20030818/1/

XP SP2で対応の見込みってあるけど、SP2って2004年第3四半期に延期でしょ?
長いなぁ・・・。
と言う漏れは2000使い。

193 :名無しさん@お腹いっぱい。:03/08/18 21:21
ドアを叩けなくする=ステルス ではない

ノックされても居留守するのがステルス
ステルスでいようがいるまいがノックはされてしまう。

194 :名無しさん@お腹いっぱい。:03/08/18 21:22
>>193 そーだね。

195 :名無しさん@お腹いっぱい。:03/08/18 21:22
>>192
デフォで解除されるウイルスが作られるな。

196 :名無しさん@お腹いっぱい。:03/08/18 21:22
俺、全くの厨なんだけど、
>>134のリンク記事に以下の文があるんだよ。

>米Symantecは大規模な侵入検知ネットワークを使って
>感染したPCとサーバのインターネットアドレスを記録している。

この調査のために、ping連射を使ってるって事は無いよね・・・?

197 :名無しさん@お腹いっぱい。:03/08/18 21:22
>>193
てゆーか、その論だと空きIPもドア持ってることになるね。

198 :名無しさん@お腹いっぱい。:03/08/18 21:22
そうだな、そこにポートがあるのは明らかだし。
動いてるかどうか、返事をするかどうかは別にして。

199 :179:03/08/18 21:22
>>193
じゃあ訂正。
ピル飲んで鍵かけて居留守使ってます。

200 :名無しさん@お腹いっぱい。:03/08/18 21:23
気分はナンパされまくってる美人のねーちゃんて感じだ

201 :名無しさん@お腹いっぱい。:03/08/18 21:23
ちょっと少なくなってきた

202 :名無しさん@お腹いっぱい。:03/08/18 21:24
>197
んーじゃあ
なんだろ、壁のフリをする?(w

203 :名無しさん@お腹いっぱい。:03/08/18 21:24
>>200
うちは外人ばっか声かけてくるけどな…

204 :名無しさん@お腹いっぱい。:03/08/18 21:24
漢なら「居ませんよぉ〜」って返事しろ。

205 :名無しさん@お腹いっぱい。:03/08/18 21:25
>>203
キモチイイマサージイカカデスカー

206 :名無しさん@お腹いっぱい。:03/08/18 21:25
>>204
unreachable だと返事する?

207 :名無しさん@お腹いっぱい。:03/08/18 21:26
pingはドアを叩くというより 「 呼びかけて返事を待つ 」 のほうが適切な表現だと思う。

208 :名無しさん@お腹いっぱい。:03/08/18 21:27
ping打ってくるやつは基本的に同じプロバ相手か、それに近いIPがほとんど。
ポート135/137直打ちしてくるやつは海外のプロバがほとんどという感じ。

209 :名無しさん@お腹いっぱい。:03/08/18 21:27
なんかためになりつつあり。

210 :名無しさん@お腹いっぱい。:03/08/18 21:27
pingでログサイズを大きくする気だろうか?

211 :名無しさん@お腹いっぱい。:03/08/18 21:28
で、これに対して
僕らができることはないの?

212 :名無しさん@お腹いっぱい。:03/08/18 21:28
>>211
腕立て伏せ

213 :名無しさん@お腹いっぱい。:03/08/18 21:29
ログの取れないブロードバンドルーター外して、一度ダイレクトでモデムにつないでみるか。
接続ツールいれるのもマンドクセなんだが……

ついでにフレッツスクエアとやらで種ガンでも観賞し;y=-( ゚д゚)・∵ターン

214 :名無しさん@お腹いっぱい。:03/08/18 21:29
このログ見てもらうとわかるかもしれないけど
http://www.42ch.net/UploaderSmall/source/1061209594.htm

ほとんどがICMPのあとにTCP135叩いてる。

215 :名無しさん@お腹いっぱい。:03/08/18 21:29
>>211
感染してるタコをぬっころす!

216 :名無しさん@お腹いっぱい。:03/08/18 21:29
>>210
HDDに100GB単位の空きがある人は大変だな(w

217 :名無しさん@お腹いっぱい。:03/08/18 21:29
>>212
むしろ腹筋

218 :名無しさん@お腹いっぱい。:03/08/18 21:31
なんでTCP135なんか空けてるんだろ…

219 :名無しさん@お腹いっぱい。:03/08/18 21:31
>>216
ログサイズが最大になったらその後どうなるの?

220 :名無しさん@お腹いっぱい。:03/08/18 21:31
トーシロの質問で悪いんだが、
FWってナニ?

禿?
ヘナギ?
鱸?

これぐらいしかイメージできんのだけど。


221 :名無しさん@お腹いっぱい。:03/08/18 21:31
>>211
回線切って寝る

222 :名無しさん@お腹いっぱい。:03/08/18 21:31
>>214
なるほど・・・。やっぱVer.2.1(ry

223 :名無しさん@お腹いっぱい。:03/08/18 21:32
UDP 31338って何かあんの?

224 :130:03/08/18 21:32
実験結果。
ファイアウォール切ったけど何も変わらん。
念のためウイルスチェックしたけど、感染してない。

MSのパッチを削除して、また実験してみる。
マゾか・・・。
ちなみに当方XPのSP1ね。


225 :名無しさん@お腹いっぱい。:03/08/18 21:32
>>211
「びっくりするほどユートピア!びっくりするほどユートピア!」
とハイトーンで連呼しながらベットを昇り降りする

226 :名無しさん@お腹いっぱい。:03/08/18 21:32
>>220
FireWall = 防火壁

227 :名無しさん@お腹いっぱい。:03/08/18 21:33
pingを例えるならマンションの方がいいんじゃないのか?
PCは一つのマンションで、1〜65535番までの部屋がある。
pingとはオートロックの玄関のピンポンを押し逃げしていく手法で、
ポートスキャンは連打でマンションのドアを叩いていって反応を見る。みたいなさ。
そんでもって返ってきた返事で「あ、この返事の仕方はキングマンシ○ン特有の・・」とかって分かると・・

違うか・・

228 :名無しさん@お腹いっぱい。:03/08/18 21:33
まだ亜種情報出ないねー

229 :名無しさん@お腹いっぱい。:03/08/18 21:33
>>226
それかよ・・・_| ̄|○

ファイヤウォール関連で調べまくってた・・・


230 :名無しさん@お腹いっぱい。:03/08/18 21:33
>>224
乙!

231 :名無しさん@お腹いっぱい。:03/08/18 21:34
亜種情報より保守情報出さんかい

232 :名無しさん@お腹いっぱい。:03/08/18 21:34
おお!やっぱりecho request来てるのか
うちだけではなかったようでなんか安心した

233 :名無しさん@お腹いっぱい。:03/08/18 21:35
安心すんな土手珍

234 :名無しさん@お腹いっぱい。:03/08/18 21:36
気になったんだが、ping打ちまくっているほうのマシンっていったいどういう状況になってるんだろう?
旧型?のときみたいに落ちまくったりするものなんだろうか?
それとも自覚症状まったくなしとか?

235 :名無しさん@お腹いっぱい。:03/08/18 21:36
亜種ゲットしたひといないの?
AVベンダーより先に情報出せよ
2chの意味ねーじゃん

236 :名無しさん@お腹いっぱい。:03/08/18 21:36
port 0 って、何に使うん?

237 :直リン:03/08/18 21:36
http://homepage.mac.com/kyouko6/

238 :名無しさん@お腹いっぱい。:03/08/18 21:37
>>235
そこまでの勇者は居るのだろうか・・・。

239 :名無しさん@お腹いっぱい。:03/08/18 21:37
>234

ひょっとしたら新型は表面上は何事もないように見せかけてping打ちまくりしてる悪寒


240 :名無しさん@お腹いっぱい。:03/08/18 21:37
>>234
今のところ、これの感染者からの報告が上がってないから
どういう動きをするかは不明でしょ。
亜種ってのも状況証拠からの推測に過ぎないんだし

241 :名無しさん@お腹いっぱい。:03/08/18 21:38
ルータがマンションと考えた方がいいかも。
WAN=マンションの番地、LANアドレス=部屋番号として。
炎壁機能付きルータなら、入り口に警備員がいて怪しい侵入者をガードしてくれるから各部屋(ルータ内のマシン)まで届かない。
だから、自室(マシン)自体の警備員(PFW)は暇もてあましてる。

242 :名無しさん@お腹いっぱい。:03/08/18 21:39
打ってきた奴にnet sendで何に感染しているか聞いてみたい

243 :名無しさん@お腹いっぱい。:03/08/18 21:40
シマンテックより早くワームの亜種を見つけてド2chが世界で一番早く駆除ツール作ろうぜ。
俺には死んでもできないけど。この板の住人ならできるんじゃないの?

244 :名無しさん@お腹いっぱい。:03/08/18 21:40
>>242
はげどう

245 :名無しさん@お腹いっぱい。:03/08/18 21:40
>>213
やってみれ。祭りに参加しる!

246 :名無しさん@お腹いっぱい。:03/08/18 21:41
>>242
感染してる香具師はMessengerサービスもデフォで動いてるだろうしね。

247 :名無しさん@お腹いっぱい。:03/08/18 21:41
直接135や137叩いてくるやつの相手のポート番号を見るとみんな空きポートからってことになってる。
相手の情報(発信元)のIPも捏造されているんだろうか

248 :名無しさん@お腹いっぱい。:03/08/18 21:42
そうか、今なら135空けて素XPで待機してれば
新種をゲットできるのかー!!


誰かやれ

249 :名無しさん@お腹いっぱい。:03/08/18 21:43
>>248
運悪く旧型に感染してあぼーん

250 :名無しさん@お腹いっぱい。:03/08/18 21:43
>>246
が、送っても
カウントダウン→シャットダウン
所持者「マシンの調子わりーなー」のループで気づかないかもという罠(w

251 :名無しさん@お腹いっぱい。:03/08/18 21:43
ネットワークを監視するようなソフトは何かいいものありませんか?
教えて君で面目ないんですが。

252 :名無しさん@お腹いっぱい。:03/08/18 21:43
>>247
通信は元々そういうものです。

253 :名無しさん@お腹いっぱい。:03/08/18 21:43
>>247
?意味がよくわからんぞ。

254 :名無しさん@お腹いっぱい。:03/08/18 21:44
>>247
送信元のポートは空きポートがランダムに使われる。
特にスプーフィングしてるとは思えないな、ワームの性格上その必要性もないし。

255 :名無しさん@お腹いっぱい。:03/08/18 21:44
>>241
あーそれいいね。
そして警備員は侵入者を発見したら帰ってもらうと。
そして安い警備員は強行突破されても管理人に知らせずに何事もなかったかのように業務に戻る。と。



256 :名無しさん@お腹いっぱい。:03/08/18 21:45
IPとポートを混同している人が多いインターネットですね、ここは

257 :名無しさん@お腹いっぱい。:03/08/18 21:45
http://pc.2ch.net/test/read.cgi/pcnews/1060960406/608

キタ━━━━(゚∀゚)━━━━ !!??

258 :名無しさん@お腹いっぱい。:03/08/18 21:46
ひとつのIPは6万5千個のポートを持っているんだよ






…と言ってみるテスト

259 :名無しさん@お腹いっぱい。:03/08/18 21:46
>>251
どこからどこまでのネットワークを監視するのですか?

260 :名無しさん@お腹いっぱい。:03/08/18 21:46
>>前レス859...感謝

261 :名無しさん@お腹いっぱい。:03/08/18 21:47
>>257
DLLHOST.exeなんて動作してないが・・(w

262 :名無しさん@お腹いっぱい。:03/08/18 21:47
キタ-(∵)-!?

263 :名無しさん@お腹いっぱい。:03/08/18 21:47
結局これはHOAXだったのか?
それとも結論を出すのはまだ早い?

841 名前:名無しさん@お腹いっぱい。 投稿日:03/08/18 18:46
http://pc.2ch.net/test/read.cgi/pcnews/1060960406/543
http://pc.2ch.net/test/read.cgi/pcnews/1060960406/553
http://pc.2ch.net/test/read.cgi/pcnews/1060960406/575

これでICMPアタックの原因が新手のblasterだって証拠は集まりますた。
一番下のファイルは通常では存在しないので間違いないと思います。
提供者(感染者)の情報提供に感謝します。



842 名前:名無しさん@お腹いっぱい。 投稿日:03/08/18 18:49
あっ、一番下は565でした。

パッチ外してウォール停止に逝ってきます。

264 :名無しさん@お腹いっぱい。:03/08/18 21:49
漏れのPCからDestination Unreachableって
しきりにDNSサーバに打ってるんだけど
これは問題無い?

265 :名無しさん@お腹いっぱい。:03/08/18 21:50
ところでおまいら、順調にアタック受けてますか?

266 :名無しさん@お腹いっぱい。:03/08/18 21:50
飽きてきた
新展開希望

267 :名無しさん@お腹いっぱい。:03/08/18 21:51
大企業のネットワーク管理者とかいない?
とんでもない騒ぎになってるような気がするんだけど。。。

268 :名無しさん@お腹いっぱい。:03/08/18 21:51
>>266
そのうち新種のワームがどこかの鯖落とすだろうからそれまで待とう

269 :名無しさん@お腹いっぱい。:03/08/18 21:52
こいつ
http://support.microsoft.com/default.aspx?scid=kb;ja;826369
でechoや135打ってくるのを調べるとほぼ例外なくパッチ当たってない。
1個だけ当たってるのがあったが2000でパッチだけ当てて安心してるのか?


270 :名無しさん@お腹いっぱい。:03/08/18 21:52
>>265
快調に飛ばし(され?)てまつ(w。

271 :名無しさん@お腹いっぱい。:03/08/18 21:52
>>266
ここらでシマンテックやトレンドマイクロ、NAI辺りが
「新種ハケーン!! おまいら対策の用意はいいですか?」
くらい言ってくれると面白いんだけどね。

272 :名無しさん@お腹いっぱい。:03/08/18 21:52
朝のニュースでネットワークアソシエイツ社がBlaster(Lovsan)の亜種感染を
日本国内で発見したって話してたから、てっきりこいつの事かとおもてたよ

273 :名無しさん@お腹いっぱい。:03/08/18 21:53
>>269
> 1個だけ当たってるのがあったが2000でパッチだけ当てて安心してるのか?

そんな香具師に2000は勿体無いです。

274 :名無しさん@お腹いっぱい。:03/08/18 21:54
修正プログラムだけ充てて、駆除してない馬鹿多そう

275 :名無しさん@お腹いっぱい。:03/08/18 21:54
送られてきたアドレスに真似して
PINGしてみた

1ミリ秒間隔で


276 :名無しさん@お腹いっぱい。:03/08/18 21:54
>>272
それはW32.Blaster.B(WORM_MSBLAST.B)って奴な悪寒。

277 :名無しさん@お腹いっぱい。:03/08/18 21:54
>>251 こんなのどう?
http://www.oki.com/jp/Home/JIS/New/OKI-News/2002/02/z01118.html

278 :名無しさん@お腹いっぱい。:03/08/18 21:55
>>275
それを3時間続けよう

279 :名無しさん@お腹いっぱい。:03/08/18 21:55
>>275
可変IPならシャットダウンして回線が切り替わるんで、余り意味がないかも

280 :名無しさん@お腹いっぱい。:03/08/18 21:55
W32.Blaster.[A-C]

いろいろ揃ってるね。

281 :276:03/08/18 21:55
>>276
○W32.Blaster.B.Worm
×W32.Blaster.B

282 :名無しさん@お腹いっぱい。:03/08/18 21:56
>>277
snort 走らせとくってのもありか?

283 :名無しさん@お腹いっぱい。:03/08/18 21:56
>>267
ここ見てはいないとは思うけど、大企業にかぎらず
どこの管理者も結構大変らしい。
報道で出てるよりも被害受けてる企業は多いと思う。

284 :名無しさん@お腹いっぱい。:03/08/18 21:58
攻撃パターン青、使徒と確認されますた!

285 :名無しさん@お腹いっぱい。:03/08/18 21:58
ねえこの板リロードするとHaptime.Genってのに感染しましたって
出るんだけど、これ何?

286 :名無しさん@お腹いっぱい。:03/08/18 21:58
>>284
ATフィールドは?

287 :名無しさん@お腹いっぱい。:03/08/18 21:59
http://www.nai.com/japan/security/virL.asp?v=W32/Lovsan.worm.a

2003年8月18日更新情報

>参考情報:
>Lovsonウイルスを「特に手間暇かけることもなく気がついたら
>全自動で防げていた」というお客様の事例です。

NAIの命名がぜーんぜん流行らなかったからって、
自分らで付けた名前間違えんなよ

288 :名無しさん@お腹いっぱい。:03/08/18 21:59
>>285
((;゚Д゚)ガクガクブルブル

289 :名無しさん@お腹いっぱい。:03/08/18 22:00
>>285
そんな超有名なvirus知らない奴いたとは・・・

290 :名無しさん@お腹いっぱい。:03/08/18 22:00
>>287
汝のムスコを愛せよ。

291 :名無しさん@お腹いっぱい。:03/08/18 22:00
>>285
ノートン先生の誤検出。

292 :名無しさん@お腹いっぱい。:03/08/18 22:02
今日やたらPING撃たれてるけどなんでだろ

293 :名無しさん@お腹いっぱい。:03/08/18 22:03
>>292
もうだめぽ

294 :名無しさん@お腹いっぱい。:03/08/18 22:03
>>289
有名なんだ。ネット始めたの夏休みからなんで知らなかったよ
>>291
ありがとう。

295 :名無しさん@お腹いっぱい。:03/08/18 22:03
失礼、ログ読みます・・

296 :名無しさん@お腹いっぱい。:03/08/18 22:03
漏れは某企業の室部NEだが
自分とこのは初日に全部対応したので
他所のが何やってようがワシは知らん
ってか手の出しようが無い罠

297 :名無しさん@お腹いっぱい。:03/08/18 22:04
どれくらい来てる?
うちは平均4回/分

298 :名無しさん@お腹いっぱい。:03/08/18 22:04
>>292
2000回打たれるとPCが火を噴くらしいよ

299 :名無しさん@お腹いっぱい。:03/08/18 22:05
>>294
ネット始めたばかりでもう2ちゃんねるでセキュリティー板まで来たか
休み明けには((;゚Д゚)ガクガクブルブル

300 :名無しさん@お腹いっぱい。:03/08/18 22:05
>>297
うちは平均平均2回/分

301 :名無しさん@お腹いっぱい。:03/08/18 22:05
休み明けには立派なコピペ嵐になってアク禁に

302 :300:03/08/18 22:06
タイプミスだ・・・。駄目だなこりゃ。

303 :名無しさん@お腹いっぱい。:03/08/18 22:06
なんか少し前からハードになってる・・・
1分間に5〜6発ペース

304 :名無しさん@お腹いっぱい。:03/08/18 22:06
うちは平均平均10回/分

305 :名無しさん@お腹いっぱい。:03/08/18 22:07
ていうかなんでニュースサイトで問題になってないんだよ


306 :名無しさん@お腹いっぱい。:03/08/18 22:08
表面的に気づかないんじゃない?
へたすりゃ火壁のログ見なきゃ気づかんやつもいると思う。

307 :名無しさん@お腹いっぱい。:03/08/18 22:08
>297

ポート80だけど3分間で144回叩かれてますけど


308 :名無しさん@お腹いっぱい。:03/08/18 22:08
洩れなんか1分間に10〜20発くる>135
うちはyahooだが、内部からのアクセスがかなり多そうだ
頻度もかなり増えておる
ホントにだいじょうぶなんか?

309 :名無しさん@お腹いっぱい。:03/08/18 22:09
うちはまだ平均平均1回/分
「平均平均」とは「丁寧に平均」したということ

310 :cheshire-cat ◆CATBCJABLA :03/08/18 22:09
全部対策し尽くしたって安心してたら。
個人持込パソが喰らってたし。

何だか他のと多重感染してるんで、ウツ。

311 :名無しさん@お腹いっぱい。:03/08/18 22:09
うちは平均4回/分

312 :名無しさん@お腹いっぱい。:03/08/18 22:10
どさくさに紛れて17300叩いてる野次馬は(・∀・)カエレ!

313 :名無しさん@お腹いっぱい。:03/08/18 22:11
火壁のログなんて火壁入れていても
見ない奴は一生見ないかも・・・

314 :名無しさん@お腹いっぱい。:03/08/18 22:11
このping叩くやつはBlasterの亜種なん?

315 :名無しさん@お腹いっぱい。:03/08/18 22:12
>>314
わからない。

316 :名無しさん@お腹いっぱい。:03/08/18 22:12
昨日の夜までたまーに135くるくらいで問題なかったのに
今日になって急に同じocnの奴らからICMPきまくってるぞコルァ

317 :314:03/08/18 22:12
そうなのか…。
それにしてもとんでもない勢いだ…。

318 :名無しさん@お腹いっぱい。:03/08/18 22:13
トラフィック凄くない?速度が1/50に低下してるんだけど

319 :名無しさん@お腹いっぱい。:03/08/18 22:13
誰か余ったマシン感染させろや
マジで情報くれ

俺シマンテック社員だから、
その情報載せてやってもいいぞ

320 :名無しさん@お腹いっぱい。:03/08/18 22:13
感染者を 肌で感じる 火壁ログ

321 :名無しさん@お腹いっぱい。 :03/08/18 22:14
ウイルスの性質が変わった?(誰か改造した?)

今日の朝以降、同一IPから135へ2〜4発連射で来るんですけど・・・?

322 :名無しさん@お腹いっぱい。:03/08/18 22:15
で、どうすりゃいいの?

323 :名無しさん@お腹いっぱい。:03/08/18 22:15
>>319
自社マシンを生贄に汁。

324 :名無しさん@お腹いっぱい。:03/08/18 22:16
お役所は大した影響も見られない、などと呑気なこと
いっておるが、何を以てそういうのか?
うちのルータには、22時から15分間で165回あった


325 :名無しさん@お腹いっぱい。:03/08/18 22:16
>>316
漏れも攻撃食らってる

誰か、懲らしめ方法を伝授してくれ

326 :名無しさん@お腹いっぱい。:03/08/18 22:16
>>325
藁人形

327 :名無しさん@お腹いっぱい。:03/08/18 22:16
>>319
ウィルスで飯食ってるなら、率先して感染すべし

328 :名無しさん@お腹いっぱい。:03/08/18 22:17
日曜の朝の関口ひろしの反応見た?

329 :名無しさん@お腹いっぱい。:03/08/18 22:18
>>316
俺んとこは K-OPTICOM, DION が多い。海外では NY からきてやがった。
平均で3-5回/分ってとこか。

NY の奴はおとなしく停電しとけとおもた。

330 :名無しさん@お腹いっぱい。:03/08/18 22:18
>>328
見てない。

331 :名無しさん@お腹いっぱい。:03/08/18 22:18
pingは攻撃じゃないでしょ
IPもバラバラだし

332 :名無しさん@お腹いっぱい。:03/08/18 22:18
キモイくらいにocnばっかだ(((((((((;゚Д゚)))))))))ガクガクブルブル

333 :名無しさん@お腹いっぱい。:03/08/18 22:19
ipの見えない同じ奴から
かれこれ400回くらいスキャンされてるんだけど何なんだろ?

334 :名無しさん@お腹いっぱい。:03/08/18 22:20
>>329
漏れは、eonet と ocn だな

335 :名無しさん@お腹いっぱい。:03/08/18 22:20
うーん、会社に行けば、コンソール用として放置してあるWin2000マシンがあるんだが。
AirH"でつないだら一瞬でBlasterに感染すること間違いないノートPCだ。

でも明日になったら原因も究明されているかもしれないしな。

336 :名無しさん@お腹いっぱい。:03/08/18 22:20
俺もログ見たくてNISの設定で「ログを追跡」にしようとしたら

・・・インバウンドのICMPが許可になってたよ。 (´・ω・`)

337 :名無しさん@お腹いっぱい。:03/08/18 22:20
yahooはルータで135ポートを塞いだのかな?
アタック元に135のスキャンができなくなった。

E:\blast>scan 219.181.***.***

Microsoft (R) KB823980 Scanner Version 1.00.0002 for 80x86
Copyright (c) Microsoft Corporation 2003. All rights reserved.

<+> Starting scan (timeout = 5000 ms)

Checking 219.181.***.***
219.181.***.***: connection to tcp/135 refused

<-> Scan completed


E:\blast>scan 219.181.$$$.$$$

Microsoft (R) KB823980 Scanner Version 1.00.0002 f
Copyright (c) Microsoft Corporation 2003. All righ

<+> Starting scan (timeout = 5000 ms)

Checking 219.181.$$$.$$$
219.181.$$$.$$$: connection to tcp/135 refused


338 :名無しさん@お腹いっぱい。:03/08/18 22:20
>>316
yahooBBだが、名前解決できるホストから
ping届きまくりだ。5秒間隔ぐらいでくるから全体ではすごそう。
パンクしそうで、スニファ開けない。

339 :名無しさん@お腹いっぱい。:03/08/18 22:21
>>319
偽者消えろ。
世界中で数十万台も感染してるのに、今更情報くれなんて
ネタにしては下手すぎる。


340 :plala:03/08/18 22:21
Yahoo!BBが少々とplalaが大量。

341 :名無しさん@お腹いっぱい。:03/08/18 22:21
ルーターの設定なのですが、
135 , 137-139
って書いてあるのですが、
135-139
ってするとまずいでしょうか?
136というのは設定するとだめなことがありますでしょうか?

342 :名無しさん@お腹いっぱい。:03/08/18 22:22
>>334
つ〜かぁ、お前のPCが、かせーんしてると思われ

343 :.:03/08/18 22:22
>>267
Windows.FQAに管理者さんらしき書き込みがあった。
--
しかもVPN間の通信が135ポートに占有され全く使用できない状態に
なっています。
支店ごとにウィルスバスターかノートンが入っており、全端末最新
バッチ導入済みですがウィルス検知件数0件のためBlasterの亜種と
思われます。
---
支店全ての端末を合計すると感染してるしてない端末を含めて
数千台ありとても対応できる状態ではありまん。
--
大変そうでつ。
CyberPolice以外に情報はないのか。

344 :名無しさん@お腹いっぱい。:03/08/18 22:22
>341
もーまんたい

345 :名無しさん@お腹いっぱい。:03/08/18 22:22
>>333
"ipの見えない"ってどういうこと?










それ漏れかも

346 :名無しさん@お腹いっぱい。:03/08/18 22:23
今までルータのログなんて見たことなかったけど驚愕…
直に電話線になんてぜったいつなげない。
DIONやらCATV違うところからイパーイ叩かれている

347 :名無しさん@お腹いっぱい。:03/08/18 22:23
prin が凄いことになってますです…

348 :名無しさん@お腹いっぱい。:03/08/18 22:24
この1時間でpingが300回オーバー
TCP135が10回
UDP137が11回

(・∀・)アヒャ!!

349 :名無しさん@お腹いっぱい。:03/08/18 22:24
これはテロでつか?

350 :名無しさん@お腹いっぱい。:03/08/18 22:24
>>332
お前もocn利用者というオチか?
>>54

351 :名無しさん@お腹いっぱい。:03/08/18 22:24
>>282
snortだと、今さかんに来てるpingは「ICMP PING CyberKit 2.2 Windows」
(http://www.snort.org/snort-db/sid.html?sid=483)のルールに
引っかかってる(誤検知されてる)よ。


352 :名無しさん@お腹いっぱい。:03/08/18 22:26
バッチ導入してもダメ(感染する)なら、もうそれは
亜種じゃなくて別物のワームやん

ってかバッチ導入しといて、駆除してない悪寒

353 :名無しさん@お腹いっぱい。:03/08/18 22:26
張っておくか。
ICMPの具体的なトラフィック量。

http://www.dshield.org/port_report.php?port=0&recax=1&tarax=1&srcax=2&percent=N&days=1

354 :名無しさん@お腹いっぱい。:03/08/18 22:26
>>345
黒氷のログ見るとポート毎回変えてる上にIPが0.0.0.0なのよね
さっぱりわからん

355 :名無しさん@お腹いっぱい。:03/08/18 22:26
おい!誰か発信元を晒せ

356 :名無しさん@お腹いっぱい。:03/08/18 22:26
急にビッグローブが増えてきた

357 :337:03/08/18 22:27
おいらの勘違いだった。。。

インターネット側の135ポートが塞がれたノードからのアタックダターヨ...

358 :名無しさん@お腹いっぱい。:03/08/18 22:28
イギリスやマレーシアからもぴんぴんだぜ!
まあうちはMEだから・・・

359 :名無しさん@お腹いっぱい。:03/08/18 22:28
>>355
同プロバイダからが多いんで(>>54参照)自分のプロバイダを晒すことになるという罠。

360 :名無しさん@お腹いっぱい。:03/08/18 22:28
>>347
詳細キボンヌ。

Sig3+AirH"+ぽけギコ

361 :名無しさん@お腹いっぱい。:03/08/18 22:28
これは、何かのお祭りでつか?

362 :名無しさん@お腹いっぱい。:03/08/18 22:29
>>355
自分でログ取れ。

363 :名無しさん@お腹いっぱい。:03/08/18 22:29
おれはOCNだけど、ここへきてほかのISPからのアクセスが増えてきてる。

364 :名無しさん@お腹いっぱい。:03/08/18 22:29
ルーター導入して二週間目。
ブラスターといいICMPといい祭り騒ぎで楽しい!

365 :名無しさん@お腹いっぱい。:03/08/18 22:29
なんか今日になってICMP全く来なくなった。
昨日まではすごかったのに

366 :名無しさん@お腹いっぱい。:03/08/18 22:29
うちの会社もbiglobeからが多いな
ちなみにInfosphereのBizHikari8で鯖立ててます。

367 :名無しさん@お腹いっぱい。:03/08/18 22:30
>>351
http://pc.2ch.net/test/read.cgi/sec/1015535895/842
中身はほぼ同じだから
誤検知って言えるのか?

368 :名無しさん@お腹いっぱい。:03/08/18 22:30
>>366
鯖は何に使ってるの?

369 :名無しさん@お腹いっぱい。:03/08/18 22:30
>>335
シマンテックの社員なら家にいないで会社で対応シル!

370 :282:03/08/18 22:30
>>351
情報サンクスコ。誤検知じゃあかんね。

371 :名無しさん@お腹いっぱい。:03/08/18 22:33
>>368
 Web鯖とメール鯖 Turbolinux
 ルータはBA8000PROに替えました。
 NECのBR1500Hは負荷に耐え切れんでした。

372 :名無しさん@お腹いっぱい。:03/08/18 22:33
co.jpドメインからも飛んできたー
これってここのPC感染してるってことなのか?

373 :名無しさん@お腹いっぱい。:03/08/18 22:34
すでに感染済みのやつのところにはpingが止まる?

374 :名無しさん@お腹いっぱい。:03/08/18 22:36
(・∀・)マツーリ

375 :名無しさん@お腹いっぱい。:03/08/18 22:36
>>373
Yes

376 :名無しさん@お腹いっぱい。:03/08/18 22:36
http://pc.2ch.net/test/read.cgi/pcnews/1060960406/615

う〜む、前スレと同じ報告が3件目


377 :名無しさん@お腹いっぱい。:03/08/18 22:37
近くのIPアドレスから来るってこと?


378 :名無しさん@お腹いっぱい。:03/08/18 22:38
>>377 >>54

379 :名無しさん@お腹いっぱい。:03/08/18 22:38
1時間で52000回・・・なんで?

380 :名無しさん@お腹いっぱい。:03/08/18 22:38
感染してるとログはどうなる?
送信の山?

381 :名無しさん@お腹いっぱい。:03/08/18 22:39
>>379
ワラタ

382 :名無しさん@お腹いっぱい。:03/08/18 22:39
>>379
まさに祭りだな(w

383 :名無しさん@お腹いっぱい。:03/08/18 22:40
>>380
感染しているヤシはログなど取らんw


384 :379:03/08/18 22:40
ICMP Traffic2003/08/18 22:40:26送信n/aICMPType 8/0YahooBB220046121019.bbtec.netType 8/0LocalHost

こんなのばっか

385 :名無しさん@お腹いっぱい。:03/08/18 22:41
うち、しばらくこない ICMP

386 :名無しさん@お腹いっぱい。:03/08/18 22:41
>>379
 ワラタ ttp://pc2.2ch.net/test/read.cgi/win/1058273818/

387 :379:03/08/18 22:41
ちなみにoutpostです。

388 :名無しさん@お腹いっぱい。:03/08/18 22:41
>>383
そうなん?
じゃあ・・・


感染者!今すぐログ見て!!

389 :名無しさん@お腹いっぱい。:03/08/18 22:42
マジで何とかする方法ってないもんだろうか?
まだpingだからいいようなものの、ほかの手段とかだったらちょっと考え物じゃない?

390 :名無しさん@お腹いっぱい。:03/08/18 22:42
>>384
おいおいw

391 :名無しさん@お腹いっぱい。:03/08/18 22:42
ping来ない  (´・ω・`)

392 :名無しさん@お腹いっぱい。:03/08/18 22:42
送信?

393 :名無しさん@お腹いっぱい。:03/08/18 22:43
>>371
(´-`).。oO(かっこいいなぁ・・・)

>>379
(;・∀・)ダダイジョウブ・・・?

394 :名無しさん@お腹いっぱい。:03/08/18 22:43
pingめちゃ来てる。
何が起こった?亜種発生?

395 :名無しさん@お腹いっぱい。:03/08/18 22:44
>379=神!!

396 :名無しさん@お腹いっぱい。:03/08/18 22:44
>>394
わからない。情報待ち。

397 :名無しさん@お腹いっぱい。:03/08/18 22:44
>>384
晒しやがったw

398 :名無しさん@お腹いっぱい。:03/08/18 22:45
port135メインだったのが139メインに変わってるよ。
うちだけ?亜種かいな?

399 :名無しさん@お腹いっぱい。:03/08/18 22:45
port 80に昼ごろから来ているやつら
220.107.255.22 - - [18/Aug/2003:12:13:26 +0900] "GET / HTTP/1.1" 200 0
"-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)"

こいつら本当にwin98のIEなのか?

400 :379:03/08/18 22:46
ICMPの設定変えたら受信から送信にかわった

401 :名無しさん@お腹いっぱい。:03/08/18 22:46
ログを取ってるヤシがいた…

402 :名無しさん@お腹いっぱい。:03/08/18 22:46
>>399
こいつも晒しちゃったYO

403 :名無しさん@お腹いっぱい。:03/08/18 22:47
晒しage祭りか( ´ー`)y-~~

404 :名無しさん@お腹いっぱい。:03/08/18 22:47
>>399
98でも感染するのかな?

405 :名無しさん@お腹いっぱい。:03/08/18 22:47
>>400
え?それっていいの?

406 :名無しさん@お腹いっぱい。:03/08/18 22:48
>>399
 何のログ?Apache?

407 :名無しさん@お腹いっぱい。:03/08/18 22:48
あのー、ひょっとして漏れのPCになーんも反応がないのって、
ノーdで「デフォルトインバウンドICMP・許可」ってなってるからでつか?

∧‖∧

408 :名無しさん@お腹いっぱい。:03/08/18 22:48
>>400
あなたは紙でつ

409 :名無しさん@お腹いっぱい。:03/08/18 22:48
とりあえず確かめとけ

http://scan.sygate.com/

410 :379:03/08/18 22:48
ううん送信をブロックしてる
http://eucaly.net/monazilla_uploader/1061214456_korenandayo.GIF

411 :名無しさん@お腹いっぱい。:03/08/18 22:49
>>400
DLLHOST.exeとかない?


412 :名無しさん@お腹いっぱい。:03/08/18 22:49
>>410
うっせー

413 :371:03/08/18 22:50
>>393
鯖立ち上げ当時は大変でした。(もう4年半前になりますが)
立ち上げ1週間でBINDのホールのおかげでハックされ
FBIからメールが来ました。
翻訳した内容は
 「あなたのIPアドレスがハッカー集団のPCにリストされています。
 早急に対策を取ってください」
おろおろしていたらIPAから同じ内容の日本語翻訳版のメールが
来ました。
再インストールやらなんやら大変だったですよ

414 :名無しさん@お腹いっぱい。:03/08/18 22:51
ご愁傷様です。

415 :名無しさん@お腹いっぱい。:03/08/18 22:51
>>410
FWを晒すなよ(w

416 :名無しさん@お腹いっぱい。:03/08/18 22:51
>>413
うお!FBIからメール・・・すげー。

417 :名無しさん@お腹いっぱい。:03/08/18 22:52
>>410
回線切って(r

418 :名無しさん@お腹いっぱい。:03/08/18 22:52
>>410
やべっ

419 :名無しさん@お腹いっぱい。:03/08/18 22:52
FBIからのメールなんてスゴイYO!
見てみたいがきてほしくないもんだ・・

420 :379:03/08/18 22:52
でもなんかIPが順番に並んでPINGされてて
YAHOOしかこない・・・これもなぜ・・・

421 :名無しさん@お腹いっぱい。:03/08/18 22:52
俺も鯖買ってFBIからメールを貰いたいニダ

422 :名無しさん@お腹いっぱい。:03/08/18 22:52
>410
これって…マジモノ?
ちゃんとIPも順繰りだし

423 :名無しさん@お腹いっぱい。:03/08/18 22:53
>>419
FBIに侵入しようとすれば来るかも・・・

424 :名無しさん@お腹いっぱい。:03/08/18 22:53
で、結局のところ、ど〜〜〜すりゃいいの?

425 :名無しさん@お腹いっぱい。:03/08/18 22:53
>>384
別のアタックがまた増えちゃうよ…

426 :名無しさん@お腹いっぱい。:03/08/18 22:53
>>410
タスクマネージャも晒してくれ

427 :名無しさん@お腹いっぱい。:03/08/18 22:54
俺もFBIのメール欲しーーー家宝にしたいな

428 :名無しさん@お腹いっぱい。:03/08/18 22:54
俺はORDBからメール貰っちゃった。


429 :名無しさん@お腹いっぱい。:03/08/18 22:55
FW入れてるのに侵入されたてどういうことやねん
わざわざ135を許可してたのかー?

それとも別マシン(ry

430 :371:03/08/18 22:55
>>416
 なんでもハッカーのアジトを急襲してPCを押収して解析したら
 うちのIPアドレスがあったらしいです。

 すごいどころか大恥です。
 二度と貰わないよう戒めに残しています。

431 :名無しさん@お腹いっぱい。:03/08/18 22:56
>>416
ぜんぜん名誉なことじゃないよ。

432 :名無しさん@お腹いっぱい。:03/08/18 22:57
FBI

http://www.fbi-inc.com/

433 :名無しさん@お腹いっぱい。:03/08/18 22:57
>>399
漏れと同じでつ。apacheのログですね。
鯖立ててない人には関係なし?
ICMPよりよっぽどうざいんだけど。

434 :名無しさん@お腹いっぱい。:03/08/18 22:57
yahooをネットから切り離せ! ヽ(`Д´)ノ

435 :名無しさん@お腹いっぱい。:03/08/18 22:57
漏れさぁ、前はPC全然詳しくなくてさ、アップデートもウイルス駆除ソフトも入れずに
00年〜02年の間ネットに接続してたんだけど、これってやばくない?

436 :名無しさん@お腹いっぱい。:03/08/18 22:57
>>410
これって感染して、ウイルスばらまくのを一所懸命我慢汁状態では!

437 :名無しさん@お腹いっぱい。:03/08/18 22:57
>>420
感染してPING打っているんじゃないの?

438 :名無しさん@お腹いっぱい。:03/08/18 22:58
で、実際に98ormeで感染したやつっているのか?
亜種で感染するって話は聞くが感染したってのは出てないような気がするんだが・・

439 :379:03/08/18 22:58
ちがうとおもう・・・さっきまでICMPきょかしてたら
受信の許可してたから・・・

440 :名無しさん@お腹いっぱい。:03/08/18 22:59
おいおまいら、dls-monitorって何だ?

441 :名無しさん@お腹いっぱい。:03/08/18 22:59
これか
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T

442 :名無しさん@お腹いっぱい。:03/08/18 22:59
379の中の人は落ちつけ(w

443 :名無しさん@お腹いっぱい。:03/08/18 23:00
>>441
それですね。DLLHOST.EXE。ついにきましたか。

444 :名無しさん@お腹いっぱい。:03/08/18 23:00
>>410
フォルダ、
C:\WINNT\system32\wins
の中に何か在る?


445 :379:03/08/18 23:00
落ち着きますw

446 :名無しさん@お腹いっぱい。:03/08/18 23:00
なつかしいプロバイダーからpingtが増えてきた

447 :393:03/08/18 23:00
>>413 FBIからメール・・・凄いですね。

>>422
画像を見た感じ>>410が攻撃してると思われ。

448 :名無しさん@お腹いっぱい。:03/08/18 23:00
>>441
dキタ━━━━(゚∀゚)━━━━!!

449 :名無しさん@お腹いっぱい。:03/08/18 23:01
ぎゃース俺のPCどっかに137売ってるよ。ブロックしてるけど。
pingは売ってないな。とりあえずオフライヌ

450 :名無しさん@お腹いっぱい。:03/08/18 23:01
む、新展開か?

>>379は感染してるってこと?
自分もYBBなの?

451 :名無しさん@お腹いっぱい。:03/08/18 23:02
なんか23時でping止まった。

452 :名無しさん@お腹いっぱい。:03/08/18 23:02
受信はともかく
送信エコーがあると自分が感染してるってことですか?


453 :名無しさん@お腹いっぱい。:03/08/18 23:02
WORM_MSBLAST.D

特 徴:

「WORM_MSBLAST.A」の亜種と見られるワームです。DoS攻撃も行うものと考えられます。

現在ウイルス活動を解析中です。情報は随時アップデートしてまいります。

デフォルトでは 10,240 bytes 前後の"DLLHOST.EXE" のファイル名で侵入するものと考えられます。
Windows XP 上では"MSBLAST.EXE" という名前のプロセスを探し、存在した場合には強制終了させます。また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホール用のパッチをダウンロードし、再起動する活動も行います。



454 :名無しさん@お腹いっぱい。:03/08/18 23:02
>>441
発見日が26分前・・・。

455 :名無しさん@お腹いっぱい。:03/08/18 23:02
>>410
(゜ロ゜)ギヨエ!!

456 :379:03/08/18 23:02
YBBだけど・・・じゃあブロックしてるのは何で?

457 :名無しさん@お腹いっぱい。:03/08/18 23:02
>>452
夢遊病とかでなければそう

458 :名無しさん@お腹いっぱい。:03/08/18 23:03
>>454
結構ここからもネタを引っ張っていたりして ♥

459 :名無しさん@お腹いっぱい。:03/08/18 23:03
>>456
おまえが感染!

460 :名無しさん@お腹いっぱい。:03/08/18 23:03
NAIでも亜種発見
http://vil.nai.com/vil/content/v_100557.htm

461 :454:03/08/18 23:03
>>458
ははは・・・そんなの嫌です。

462 :名無しさん@お腹いっぱい。:03/08/18 23:04
>>456
(●´ー`)<嫌われてるんだよ

463 :名無しさん@お腹いっぱい。:03/08/18 23:04
ルーターを使ってると感染しづらいのかな?

464 :名無しさん@お腹いっぱい。:03/08/18 23:04
>456
感染源特定しないとこれ駆除してもまた(ry
Blaster騒ぎの後からFW入れたとか?

465 :名無しさん@お腹いっぱい。:03/08/18 23:04
DLLHOST.EXE
のファイルがシステムフォルダ内以外にないかどうか
確かめたほうがいいね。

466 :名無しさん@お腹いっぱい。:03/08/18 23:05
>463 うん

467 :名無しさん@お腹いっぱい。:03/08/18 23:05
>>456
ICMPの送信を許可していないから。

468 :名無しさん@お腹いっぱい。:03/08/18 23:05
Filename

MSPATCH.EXE
Registry key

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Runon "Nonton Antivirus " = mspatch.exe This is a patch to fixedRPC Problem! Y
The worm has been packed with Aspack.

469 :名無しさん@お腹いっぱい。:03/08/18 23:05
379は
中→外 ブロック
外→中 スルー
だったらおもしろいな(藁

470 :名無しさん@お腹いっぱい。:03/08/18 23:06
結局、379さんはどうなんですか?
感染?
夢遊病?
ネタ?

471 :名無しさん@お腹いっぱい。:03/08/18 23:06
>>435
やばくないから、もう寝なさい。

>>410は今すぐ回線切って(ry
ICMP Inogoing許可→感染

人為的作業により

ICMP Outgoing許可→外部へ攻撃を開始!

ICMPを内と外共に遮蔽してくれ!

472 :名無しさん@お腹いっぱい。:03/08/18 23:06
>>456
感染した君のPCから発信されようとしている外向きPINGをFirewallがブロックしているんだね。
外向き内向きを間違えていて感染してしまったんだろう。すぐに回線を切って対策をとりたまえ。

473 :名無しさん@お腹いっぱい。:03/08/18 23:07
>>469
小説より面白いんだよ。事実ってヤツはw

474 :名無しさん@お腹いっぱい。:03/08/18 23:07
なんか夕方より激しくなってるなPing。

475 :名無しさん@お腹いっぱい。:03/08/18 23:07

夏休みだから「亜種」作り放題だろ。。。


476 :名無しさん@お腹いっぱい。:03/08/18 23:07
まあ意見がまとまったところで、>>379くん、さようなら。お大事にw

477 :名無しさん@お腹いっぱい。:03/08/18 23:07
379はウェルカム腕噛むどこ噛むねん状態

478 :名無しさん@お腹いっぱい。:03/08/18 23:08
>>452
ノートン入れてる?

http://pc.2ch.net/test/read.cgi/sec/1060982749/761
http://pc.2ch.net/test/read.cgi/sec/1060982749/773
http://pc.2ch.net/test/read.cgi/sec/1060982749/779

479 :379:03/08/18 23:08
面白いくらい釣れたww
気分いいところでもう寝よっとww

480 :名無しさん@お腹いっぱい。:03/08/18 23:08
ぐはあ、やっぱ亜種かあ。

亜種の出現をリアルタイムで確認ちまったよ……

481 :名無しさん@お腹いっぱい。:03/08/18 23:08
新型はセキュリティホールを塞いで回るワームってこと?

482 :名無しさん@お腹いっぱい。:03/08/18 23:09
ウイルスバスターがまたUpdateしたわけだが、
発見日が30前とは・・・。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T


483 :名無しさん@お腹いっぱい。:03/08/18 23:09
俺達も亜種作ろうぜ
今ブラスター亜種作成コンテスト中みたいだし

484 :名無しさん@お腹いっぱい。:03/08/18 23:09
もうすぐ三十路ってことか

485 :名無しさん@お腹いっぱい。:03/08/18 23:10
定期的(1-2分に1度)
2003/08/18 23:01:25 FIREWALL 2 connection denied from 218.123.xxx.xxx:n/a to 224.0.0.1:n/a (eth1)
という風にログされるんですが、これってなんでしょうか?
218.123.xxx.xxx は私のIPではありませんがご近所さん(YBB)のようです。
224.0.0.1 も違うのですがどうしてこのログがこちらに記載されるのか分かりません


486 :379:03/08/18 23:10
報告します。windowsの検索を使って「DLLHOST.EXE 」と検索したら
DLLHOST.EXE-3FBD750D.pf

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\system32\wins\DLLHOST.EXE

が検出されました・・・ごめんなさい。

487 :名無しさん@お腹いっぱい。:03/08/18 23:10
>>453
そいつ漏れのところにもいた。とりあえずDLLHOST.exeを探して、名前を
DLLHOST_.exeに変えてリブートしたら治りますた。ただし、
リードオンリー属性がついてるのでそれをはずしてからね。
あとoutpostとか、ZoneAlarmとか入れないとまたそこらじゅうから感染させられると思われるけど。ちなみにWin2000+SP4,YBBでつ。

488 :名無しさん@お腹いっぱい。:03/08/18 23:10
繋いだとたんにPingだらけ、これはまだほんの極一部。
http://sakots.pekori.jp/imgboard/imgs/img20030818230938.png

489 :名無しさん@お腹いっぱい。:03/08/18 23:10
>>483
ばれたらFBIやらIPAやらからラブレターが届きますね。

490 :名無しさん@お腹いっぱい。:03/08/18 23:10
>>486
キタ━━━( ´∀`)・ω・) ゚Д゚)゚∀゚)・∀・) ̄ー ̄)´_ゝ`)−_)゚∋゚)´Д`)゚ー゚)━━━!!!!

491 :名無しさん@お腹いっぱい。:03/08/18 23:11
>>485
うっせ〜!!!それは漏れの仕業だ

492 :名無しさん@お腹いっぱい。:03/08/18 23:11
>>485
224.*.*.*って、クラスD、マルチキャストアドレスじゃねーのか?

493 :名無しさん@お腹いっぱい。:03/08/18 23:11
>>379
いや、あなたは神

494 :名無しさん@お腹いっぱい。:03/08/18 23:11
みんなping攻撃されたって言ってるけど、漏れのはログにpingが記録されないんだけど…。
zone alarmとXPのファイアウォールでpingのログ取る方法知ってる人いたら教えてくれませんか?

495 :379:03/08/18 23:12
479はにせものです。

DLLHOST.EXE-3FBD750D.pf

これはおいといて
残りのどちらを消せばいいでしょうか?

496 :名無しさん@お腹いっぱい。:03/08/18 23:12
>486
君は流行の最先端だよ!!
胸を張れヽ(゚∀゚)ノ

497 :名無しさん@お腹いっぱい。:03/08/18 23:12
つーことは一時間に52000回乱れ打ちしてるのか…
そりゃ祭りになるはずだ

498 :名無しさん@お腹いっぱい。:03/08/18 23:12
なるほど。MSBLAST.EXEを削除して代わりにDLLHOST.EXEが
置き換わるから急激な感染拡大があったわけか。
理解完了!

499 :名無しさん@お腹いっぱい。:03/08/18 23:12
?また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれるWindowsのセキュリティホール用のパッチをダウンロードし
ワラ


500 :名無しさん@お腹いっぱい。:03/08/18 23:12
ログにアタックの形跡が全くないのですが、
これもルーターのおかげですか?

501 :名無しさん@お腹いっぱい。:03/08/18 23:13
この新種もCodeBlueのような運命を辿りそうな悪寒

502 :名無しさん@お腹いっぱい。:03/08/18 23:13
よし、DLLHOST.EXE捕まえた。ちょっくら覗いてみよっと

503 :名無しさん@お腹いっぱい。:03/08/18 23:13
>>485
今、流行のやつです。

>>486
C:\WINDOWS\system32\wins\DLLHOST.EXE
↑はサクージョ汁!

504 :名無しさん@お腹いっぱい。:03/08/18 23:13
>>495
どっちも消す

505 :名無しさん@お腹いっぱい。:03/08/18 23:13
>>488
感染者のIPダダ漏れなんですが…

506 :名無しさん@お腹いっぱい。:03/08/18 23:14
trendmicroの

> Windows XP 上では"MSBLAST.EXE" という名前のプロセスを探し、
> 存在した場合には強制終了させます。

> また、一般的に「RPC DCOM バッファオーバーフロー」と呼ばれる
> Windowsのセキュリティホール用のパッチをダウンロードし、再起動する活動も行います。

でもでも、これって誰もがネタで言ってた
修復してくれる善玉ワームなのか?(w
でもDoS攻撃なのか結果的には


507 :名無しさん@お腹いっぱい。:03/08/18 23:14
>379

http://pc.2ch.net/test/read.cgi/pcnews/1060960406/553



508 :名無しさん@お腹いっぱい。:03/08/18 23:14
>>502
今回の作者さんからのメッセージは何ですか?

509 :379:03/08/18 23:14
487がほんとだとしたら
C:\WINDOWS\system32\wins\DLLHOST.EXE


510 :名無しさん@お腹いっぱい。:03/08/18 23:14
>>495
下のほうC:\WINDOWS\system32\wins\DLLHOST.EXE


511 :379:03/08/18 23:15
が読み取り専用だったのでこちらをけすことにします。

512 :名無しさん@お腹いっぱい。:03/08/18 23:16
間違えてsystem32\dllhost.exeを削除しないようにな。

513 :名無しさん@お腹いっぱい。:03/08/18 23:16
Windows XP 上では"MSBLAST.EXE" という名前の
プロセスを探し、存在した場合には強制終了させます。
また、一般的に「RPC DCOM バッファオーバーフロー」と
呼ばれるWindowsのセキュリティホール用のパッチを
ダウンロードし、再起動する活動も行います。

『結構いいやつ』なんじゃないの?間違い?


514 :名無しさん@お腹いっぱい。:03/08/18 23:16
C:\WINDOWS\system32\wins\DLLHOST.EXE

5.76 KBならおけ?

515 :名無しさん@お腹いっぱい。:03/08/18 23:16
しかし、このPing攻撃すごいねー
短い時は10秒おきくらい、長い時でも1分おきくらいの
間隔で 全部違うIPからやってくる。

そのうち、ルーターのログがPingで埋まりそうだ。(^^;

516 :名無しさん@お腹いっぱい。:03/08/18 23:17
げ。この亜種、98にも感染するのか?


517 :名無しさん@お腹いっぱい。:03/08/18 23:17
うちはXPだけどsystem32フォルダにdllhost.exeなんて無いな

518 :名無しさん@お腹いっぱい。:03/08/18 23:17
>>379
ブロックしてるなら実害は無いからヨシ!w

ブラスター対応のアプデトしててもDLLHOST.exeに感染してるんか?
もしそうならFW入れるかセキュリティ機能のあるルータ使うしか対処方法ないな・・
PCよくわからんやつらはどうすれば・・・(藁

519 :名無しさん@お腹いっぱい。:03/08/18 23:17
>>514
C:\WINDOWS\system32\wins\
↑のディレクトリは無菌状態ならば空です。

520 :名無しさん@お腹いっぱい。:03/08/18 23:17
>>515
^^;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;

521 :名無しさん@お腹いっぱい。:03/08/18 23:17
>>508
それらしきものは見当たらないが、たぶんVCで作られただろうことは想像できる。
もちっと念入りに読んでみる。

522 :名無しさん@お腹いっぱい。:03/08/18 23:17
zone alarmで普通にログ見れるじゃん

523 :名無しさん@お腹いっぱい。:03/08/18 23:17
>>516
オリジナルと比べて優秀だよね。

524 :379:03/08/18 23:19
送信はなくなりましたw
が!
受信が少しですが始まりましたがストップしてます。

なお送信しているときは受信しないようです。

525 :名無しさん@お腹いっぱい。:03/08/18 23:19
ぼちぼちパッチあてるか…

526 :名無しさん@お腹いっぱい。:03/08/18 23:19
>>485
218.123.**がマルチキャストのサービスをやってて、受信者がいるかどうかの
ポーリングを定期的にかけているんだね。気にすることはない。

527 :名無しさん@お腹いっぱい。:03/08/18 23:20
>>524
> なお送信しているときは受信しないようです。
そりゃそうだ(w

528 :名無しさん@お腹いっぱい。:03/08/18 23:20
>>506
ああ、それで、効率的にするために、まずpingで相手の存在を確認してから、
tcpで進入するのか。

で、システムにパッチを当てる………

まあ、この程度のping、海戦の末端では何のDosにもならんのだが。

529 :名無しさん@お腹いっぱい。:03/08/18 23:20
感染経路が知りたいね。

530 :名無しさん@お腹いっぱい。:03/08/18 23:20
>>516
95、98の記載あるね
 
マ ジ デ ス カ ?

531 :名無しさん@お腹いっぱい。:03/08/18 23:20
98系にはどうやって感染するんかな?
TrendMicro早く!

532 :名無しさん@お腹いっぱい。:03/08/18 23:20
とにかく大文字のDLLHOST.EXE
がなければへえきなんだな?
小文字のほうは絶対消しちゃいかんってのはわかるけど。

533 :名無しさん@お腹いっぱい。:03/08/18 23:20
よかったじゃん、98も祭りに参加できるし

534 :379:03/08/18 23:21
http://eucaly.net/monazilla_uploader/1061216274_DLLHOST.EXE

一応うpしときました本物です。

なおサイズは10,240バイトです

535 :名無しさん@お腹いっぱい。:03/08/18 23:21
C:\WINDOWS\systemにもdllhost.exeがある
から誤爆注意しる


536 :名無しさん@お腹いっぱい。:03/08/18 23:21
>>514
2003.6.19日製なら、たぶんOK。

537 :名無しさん@お腹いっぱい。:03/08/18 23:21
>>532
%windir%\system32\winsのDLLHOST.EXEだね。

538 :名無しさん@お腹いっぱい。:03/08/18 23:21
>>379はウインドウズアップデートしてなかったの?

539 :名無しさん@お腹いっぱい。:03/08/18 23:21
DLLHOST.EXE発見しました!!
スクリーンキャプ↓

http://rank.server.ne.jp/gazou/cgi-bin/img-box/img20030818231942.jpg

540 :539:03/08/18 23:22
これはOKなの?

541 :名無しさん@お腹いっぱい。:03/08/18 23:22
ニュー速の書き込みによれば
パッチダウソするだけで起動まではしてくれないみたい?

誰かフィックスしたバージョンを(ry

542 :名無しさん@お腹いっぱい。:03/08/18 23:22
>>539
でかした!削除汁!

543 :名無しさん@お腹いっぱい。:03/08/18 23:22
>>542
おいおいw

544 :名無しさん@お腹いっぱい。:03/08/18 23:22
TBS来ますた

545 :名無しさん@お腹いっぱい。:03/08/18 23:23
>>534
グッジョブ!!
保存&拡張子変更完了。

546 :名無しさん@お腹いっぱい。:03/08/18 23:23
>534
キキキ、キ(ry

547 :名無しさん@お腹いっぱい。:03/08/18 23:23
キタ━━━━(゚∀゚)━━━━ !!

548 :名無しさん@お腹いっぱい。:03/08/18 23:24
>534
VBでチェックに引っ掛かるのを確認しますた

549 :名無しさん@お腹いっぱい。:03/08/18 23:24
( ゚д゚) 
相変わらずTVでやる対策ってのは赤子レベルだな・・・・。

550 :名無しさん@お腹いっぱい。:03/08/18 23:24
あせって>>534をダブルクリックしちまった…

551 :名無しさん@お腹いっぱい。:03/08/18 23:24
dllhost.exeあったんだけどwinsなんてフォルダなかった

552 :名無しさん@お腹いっぱい。:03/08/18 23:25
>>550
(*^ー゚)b グッジョブ!!

553 :名無しさん@お腹いっぱい。:03/08/18 23:25
>>534の拡張子を変更しようとしてダブルクリックしてしまう展開きぼんぬ

554 :名無しさん@お腹いっぱい。:03/08/18 23:25
>379

DLLHOST.EXE消しても復活するって報告あるからもう一度タスクマネージャーで
確認してください。


555 :名無しさん@お腹いっぱい。:03/08/18 23:26
ノートン先生に買っときゃ良かった(´Д⊂グスン

ウイルスドクターじゃ安心感がねぇよ・・・。

556 :545:03/08/18 23:26
>>553
残念ながら無事完了しますた。

557 :名無しさん@お腹いっぱい。:03/08/18 23:26
´∀`)やべっ、うっかり>>534をダブルクリック&ping送信にしてた。
てへっ。

558 :名無しさん@お腹いっぱい。:03/08/18 23:27
>>532に補足。
Win2Kなら消しても次のリブート時にシステムが復帰させてくれる。(システムファイルプロテクションって名前だったっけ)
でもその対策は正解。

559 :名無しさん@お腹いっぱい。:03/08/18 23:27
はぁ・・・ ダウソするのはKORやCHSで、JPNはしないのか・・・

560 :名無しさん@お腹いっぱい。:03/08/18 23:27
>※注:Windowsのシステムファイルにも同名のファイルが存在しますので
>ワームのコピーと混同しないようにしてください

消しちゃう人いるんだろうなあ。

561 :名無しさん@お腹いっぱい。:03/08/18 23:27
>>508
特にメッセージらしきものは無し。
HKLM\SYSTEM\ControlSet001\Services\RpcPatch
にサービスとして登録される。これで自動実行させてるみたい。

562 :名無しさん@お腹いっぱい。:03/08/18 23:28
>557
(ノ∀`)アチャー

563 :379:03/08/18 23:28
今日クリーンインストールしたんですよ、
でそのときにXP標準のファイアーウォールつけとけば
大丈夫かなと思ったんですが、
そっからアップデートして
MSBLASTはもう大丈夫だと思ったらこんなことに・・・。
ちなみにもうタスクマネージャーではDLLHOSTはもうありませんでしたw

564 :名無しさん@お腹いっぱい。:03/08/18 23:28
>>561
やっぱりオリジナルより優秀ですね。

565 :名無しさん@お腹いっぱい。:03/08/18 23:28
俺必死で>534を落として喜んでたら、実はもう既に保菌者だった…(ノ∀`)アチャー

566 :名無しさん@お腹いっぱい。:03/08/18 23:28
なんか詳細見て思ったんだが

誰かが「このウィルス削除するウィルスあればなあ」
とかいってたよな
まさしくそれにあたるんじゃないか?

567 :名無しさん@お腹いっぱい。:03/08/18 23:29
F2で名前変更しる。>>550 >>557

568 :名無しさん@お腹いっぱい。:03/08/18 23:29
>>566
だから、さっきからそう言っておろう

569 :名無しさん@お腹いっぱい。:03/08/18 23:29
>555
ノートン先生はまだ寝てるよ( ´Д⊂ヽ

570 :名無しさん@お腹いっぱい。:03/08/18 23:29
>>566
だから Code Blue だってば

571 :cheshire-cat ◆CATBCJABLA :03/08/18 23:30
>>379
XPのファイアーウォールは、電源投入後のプロセスの起動の順番の都合で、わずかな時間だけどタイムラグ(とういか無防備な時間)が生じるって噂がありまするが。

572 :名無しさん@お腹いっぱい。:03/08/18 23:30
>>568
だー
しまったー
逝ってきます

573 :名無しさん@お腹いっぱい。:03/08/18 23:30
でも結局CodeBlueはワームそのものになった

574 :名無しさん@お腹いっぱい。:03/08/18 23:30
ただこの亜種はパッチ落とした後もpingは打ち続けるけどな

575 :名無しさん@お腹いっぱい。:03/08/18 23:30
クリーンインストール→アップデートしようとネットにつないだ瞬間に
カンセーン( ゚Д゚)

576 :名無しさん@お腹いっぱい。:03/08/18 23:30
24KのやつはOK?(98)

577 :名無しさん@お腹いっぱい。:03/08/18 23:30
うっかりさんが多いいんたーねっつですね (ノ∀`)

578 :名無しさん@お腹いっぱい。:03/08/18 23:30
msblastに関係なかった98等は、この亜種に感染してもいいことなしってことか?

579 :名無しさん@お腹いっぱい。:03/08/18 23:30
>>548
 >>534はノートン無反応。・゚・(ノД`)

>>551
なら大丈夫。

580 :名無しさん@お腹いっぱい。:03/08/18 23:31
>>379
まあ日が悪かっただな。
すごいものアプしてくれてありがとう

581 :名無しさん@お腹いっぱい。:03/08/18 23:31
>>561
なんかHTTPで通信しようとしてない?

582 :379:03/08/18 23:31
>>571じゃあそのせいかな?
ちゃんと切断してたから

583 :名無しさん@お腹いっぱい。:03/08/18 23:31
動作が不安定だと思ったらこれか
http://cgi.2chan.net/up2/src/f23250.jpg

実行されるプロセス名は何?
タスクマネージャーでそれらしいプロセスは無いんだけど

584 :名無しさん@お腹いっぱい。:03/08/18 23:31
>>579
バスターはパターンファイルをさっき更新してこいつに対応したからね。

585 :名無しさん@お腹いっぱい。:03/08/18 23:32
I love my wife & baby :-)~~~ Welcome Chian~~~
Notice: 2004 will remove myself:-)~~ sorry zhongli

だれか翻訳おながいします

586 :名無しさん@お腹いっぱい。:03/08/18 23:32
>>581
HTTP/って文字列がダンプ中にあるね

587 :名無しさん@お腹いっぱい。:03/08/18 23:32
>>583
さっくり削除し(r

588 :379:03/08/18 23:32
まぁお役に立てたみたいでよかったです

今見ても復活はしていませんでした。
本当にするんですか?

589 :名無しさん@お腹いっぱい。:03/08/18 23:33
>>534をDLLHOST.EXE.VIRUS030818にリネーム、コレクション虫篭追加w

590 :名無しさん@お腹いっぱい。:03/08/18 23:33
んで新種の95、98感染例は如何に?

591 :名無しさん@お腹いっぱい。:03/08/18 23:33
>>585
Chian = 蒋(介石)?
zhongli = (金)正日?

592 :名無しさん@お腹いっぱい。:03/08/18 23:34
pingがきまくりでウザイなんとかしてよ

593 :名無しさん@お腹いっぱい。:03/08/18 23:34
>>583
http://pc.2ch.net/test/read.cgi/pcnews/1060960406/553

594 :名無しさん@お腹いっぱい。:03/08/18 23:34
>>583
速攻、両方削除しる!

595 :名無しさん@お腹いっぱい。:03/08/18 23:34
>585
妻子愛してるぜー
蒋介石こんにちわー(作成元を皮肉ってる?)
2004年には自分自身を削除するよーん
金正日(これも?)悪いねヽ(゚∀゚)ノ

596 :名無しさん@お腹いっぱい。:03/08/18 23:34
>>590
それって公式発表されてるの?

597 :名無しさん@お腹いっぱい。:03/08/18 23:35
>588

別スレで見つけた未確認情報なので
念のため、PC再起動しても復活しなければもう大丈夫かと


598 :379:03/08/18 23:35
ICMP Traffic2003/08/18 23:32:57受信n/aICMPType 8/0YahooBB220045221072.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:29:27受信n/aICMPType 8/0YahooBB220044056047.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:29:07受信n/aICMPType 8/0YahooBB220041092012.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:34受信n/aICMPType 8/0YahooBB220047120050.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:27受信n/aICMPType 8/0YahooBB220047084170.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:24受信n/aICMPType 8/0YahooBB220042072011.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:28:14受信n/aICMPType 8/0YahooBB220043072039.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:53受信n/aICMPType 8/0YahooBB220047008146.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:35受信n/aICMPType 8/0YahooBB220044216006.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:25:46受信n/aICMPType 8/0YahooBB220044104131.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:25:27受信n/aICMPType 8/0YahooBB220046180208.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:24:19受信n/aICMPType 8/0YahooBB220047117074.bbtec.netType 8/0LocalHost


599 :名無しさん@お腹いっぱい。:03/08/18 23:35
379は氏ね

600 :379:03/08/18 23:35
ICMP Traffic2003/08/18 23:24:09受信n/aICMPType 8/0YahooBB220043148192.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:23:00受信n/aICMPType 8/0YahooBB220042048003.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:22:58受信n/aICMPType 8/0YahooBB220046221108.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:59受信n/aICMPType 8/0YahooBB220045144143.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:48受信n/aICMPType 8/0YahooBB220043092217.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:38受信n/aICMPType 8/0YahooBB220046184160.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:10受信n/aICMPType 8/0YahooBB220044241041.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:07受信n/aICMPType 8/0YahooBB220044020056.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:19:02受信n/aICMPType 8/0YahooBB220046220072.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:41受信n/aICMPType 8/0YahooBB220041149027.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:23受信n/aICMPType 8/0YahooBB220045044090.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:15受信n/aICMPType 8/0YahooBB220044208241.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:34:01受信n/aICMPType 8/0YahooBB220044250008.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:32:50受信n/aICMPType 8/0YahooBB220044208233.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:32:03受信n/aICMPType 8/0YahooBB220044105026.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:31:25受信n/aICMPType 8/0YahooBB220044016079.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:30:37受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:30:26受信n/aICMPType 8/0YahooBB220044112100.bbtec.netType 8/0LocalHost


601 :379:03/08/18 23:35
ICMP Traffic2003/08/18 23:30:16受信n/aICMPType 8/0YahooBB220044136044.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:52受信n/aICMPType 8/0YahooBB220044017015.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:26:05受信n/aICMPType 8/0YahooBB220044016104.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:25:39受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:24:45受信n/aICMPType 8/0YahooBB220044250008.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:24:01受信n/aICMPType 8/0YahooBB220044112039.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:23:27受信n/aICMPType 8/0YahooBB220044052046.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:48受信n/aICMPType 8/0YahooBB220044016243.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:20:40受信n/aICMPType 8/0YahooBB220044017015.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:19:26受信n/aICMPType 8/0YahooBB220044249002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:19:14受信n/aICMPType 8/0YahooBB220044105026.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:18:07受信n/aICMPType 8/0YahooBB220044105002.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:53受信n/aICMPType 8/0YahooBB220044052046.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:51受信n/aICMPType 8/0YahooBB220044104152.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:51受信n/aICMPType 8/0YahooBB220045168026.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:43受信n/aICMPType 8/0YahooBB220044112039.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:30受信n/aICMPType 8/0YahooBB220043076170.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:17:14受信n/aICMPType 8/0YahooBB220044052058.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:16:23受信n/aICMPType 8/0YahooBB220044208233.bbtec.netType 8/0LocalHost


602 :名無しさん@お腹いっぱい。:03/08/18 23:36
>>600
荒らすなボケ!!!!

603 :名無しさん@お腹いっぱい。:03/08/18 23:36
延々とバッチ拾って再起動するって香具師ですか?

604 :名無しさん@お腹いっぱい。:03/08/18 23:36
荒らしキター

605 :名無しさん@お腹いっぱい。:03/08/18 23:36
八つ当たりですか

606 :名無しさん@お腹いっぱい。:03/08/18 23:36
>>596
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T

607 :名無しさん@お腹いっぱい。:03/08/18 23:36
似非379うぜぇよ。


608 :名無しさん@お腹いっぱい。:03/08/18 23:36
>>379
おまえそうやって荒らしてると今回の送信元に認定するぞ!

609 :無料動画直リン:03/08/18 23:37
http://homepage.mac.com/hiro139/

610 :379:03/08/18 23:37
ICMP Traffic2003/08/18 23:16:07受信n/aICMPType 8/0YahooBB220047168014.bbtec.netType 8/0LocalHost
ICMP Traffic2003/08/18 23:16:13受信n/aICMPType 8/0YahooBB220044104098.bbtec.netType 8/0LocalHost

送信し終わってから受信しているのはこれだけでした・・・

逝ってきます〜

611 :591:03/08/18 23:37
全然違った( ´Д⊂ヽ
忘れてくれ

612 :YahooBB219181140001.bbtec.net:03/08/18 23:37
yahooなんだけど、夕方から回線切れまくりのアドレス変わりまくり。
これもmsblastの影響かな?

狙われやすそうなアドレスwになっちゃったんで、回線切って寝よっと。

613 :585:03/08/18 23:37
>>595
サンクス

614 :名無しさん@お腹いっぱい。:03/08/18 23:37
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=S

Made in Japanな悪寒

615 :名無しさん@お腹いっぱい。:03/08/18 23:37
>>596
TrendMicroのページでは、感染対象に95,98,Meが含まれてるよ。
いわゆる、win32ベースの全てのWindowsだよ

616 :名無しさん@お腹いっぱい。:03/08/18 23:37
>>585
俺様は妻と子を愛してるぜ!(・∀・)ニヤニヤ ようこそ チアンへ!

注意事項:2004年には勝手に自己消滅します(テヘ  ごめんよジョングリ

617 :名無しさん@お腹いっぱい。:03/08/18 23:37
>>379
おまえはニュー速にいけ
http://news4.2ch.net/test/read.cgi/news/1060959765/l50

618 :名無しさん@お腹いっぱい。:03/08/18 23:38
>>588 (=>>379)
ただ単に、感染してポカしてただけじゃねーか

619 :名無しさん@お腹いっぱい。:03/08/18 23:38
>>571
>>582
ファイアウォールの立ち上がりまでの間に、DLLHOST.EXE 確かに受け取りますた。しょぼん
これはもう手順無視して、本体電源⇒ファイアウォール立ち上げ⇒モデム電源
しかないわな。そらそうと、うちMeなんですけど、もらっちゃうみたいです。
ただし、動き出してはいないご様子。

620 :名無しさん@お腹いっぱい。:03/08/18 23:38
>>612
そんな簡単にIP変わって羨ましい

621 :名無しさん@お腹いっぱい。:03/08/18 23:39
ファイアウォール内で運用しているネットワークで感染した人います?
弊社は外部の持ち込みPCも接続できるのだが、今のところ大丈夫っぽい。

622 :名無しさん@お腹いっぱい。:03/08/18 23:39
作者はチャイナか?

623 :585:03/08/18 23:39
>>616
どもです
でもこれじゃ
作者はなにを考えてるのかわからんな

624 :名無しさん@お腹いっぱい。:03/08/18 23:40
破壊活動有りか・・・・。
明らかにオリジナルより優秀だ。
9xにも感染を広げるし・・・。

625 :名無しさん@お腹いっぱい。:03/08/18 23:40
ここにログ晒すな、邪魔じゃ

626 :名無しさん@お腹いっぱい。:03/08/18 23:40
つーことはPC時計を2004年にしたら勝手に消えるのかな

627 :名無しさん@お腹いっぱい。:03/08/18 23:40
>>621
企業感染のほとんどがそれ。

628 :名無しさん@お腹いっぱい。:03/08/18 23:40
昨日はYBBで今日はinfowebマジウザイ。

629 :名無しさん@お腹いっぱい。:03/08/18 23:40
悪戯だろう
pingでDOSなんて聞いたことが・・・

630 :名無しさん@お腹いっぱい。:03/08/18 23:41
I love my wife & baby :-)~~~ Welcome Chian~~~
Notice: 2004 will remove myself:-)~~ sorry zhongli

漏れはおまいらが大好きだ、チャンとじょんいる。
追伸:2004年におまいらあぼーん

みたいな感じかな。

631 :名無しさん@お腹いっぱい。:03/08/18 23:41
作者というかソースを公開したのが中国の
セキュリティ系グループだとか

632 :名無しさん@お腹いっぱい。:03/08/18 23:41
>>614
そうかなあ
日本人だったらダウソするパッチに日本語版を
含めると思うんだが・・・

633 :名無しさん@お腹いっぱい。:03/08/18 23:41
>>631
X Focusって言ったかな。

634 :名無しさん@お腹いっぱい。:03/08/18 23:42
ここでだいぶ前から騒いでいたからJAPANで届け出る人が多いんでは?

635 :名無しさん@お腹いっぱい。:03/08/18 23:42
作者は中国人だと思うよ。
Chianとかzhongli なんて中国人しか書かない。


636 :名無しさん@お腹いっぱい。:03/08/18 23:42
見方を変えれば、かなり効率的な方法だね。
ワームを持ってワームを征すとはね。


637 :名無しさん@お腹いっぱい。:03/08/18 23:42
おまえらWin3.1のユーザーの俺を誉め讃えろ。

638 :名無しさん@お腹いっぱい。:03/08/18 23:43
>>637
いいかげん氏ね

639 :名無しさん@お腹いっぱい。:03/08/18 23:43
>>636
遺伝子治療みたいだな

640 :名無しさん@お腹いっぱい。:03/08/18 23:43
RPCオーバーフローを解析した奴らが、
厨房にコードを利用されたのが気に入らず、
その報復ワームを作ったのではないかと愚考

641 :名無しさん@お腹いっぱい。:03/08/18 23:43
>621
内部のPCのバッチが行き届いてるのかな
それなら問題無いが、持ち込みPCが感染してたら
バッチあたってないPCはアボーン

FWは内部には無意味



642 :名無しさん@お腹いっぱい。:03/08/18 23:43
>>637
ワラ

643 :名無しさん@お腹いっぱい。:03/08/18 23:43
後始末が大変だけどね

644 :cheshire-cat ◆CATBCJABLA :03/08/18 23:44
>>619
こゆのはあまり聞かないレアケースなんで、他ではめったには信じてもらえなかったりするのがウツなんですよねん。
お疲れ様でし。

645 :名無しさん@お腹いっぱい。:03/08/18 23:44
というか、これパッチを当ててから再起動するのか?

646 :名無しさん@お腹いっぱい。:03/08/18 23:45
>>627
>企業感染のほとんどがそれ。

「それ」っていうのはやっぱり「持ち込み」のことを指しているんだよね?
ほかの会社が持ち込みをどう許容しているのかが興味あり。
個人的には完全禁止にしたいが、上がそう思っていないんだよね。

647 :名無しさん@お腹いっぱい。:03/08/18 23:45
>>594
漏れのPCにもDLLHOST.EXEってのが居たんだけど、
本当に削除して良いの?

釣りじゃ無いよね?嘘じゃ無いよね?

648 :名無しさん@お腹いっぱい。:03/08/18 23:45
>>614
どこの奴が作ろうが一発目を日本に打ち込めば日本で広まるんじゃない?

649 :cheshire-cat ◆CATBCJABLA :03/08/18 23:45
>>621
641の人も書いてるけど。
ワークグループ構成のLANで、個人パソ持込での感染例がありましたんで。

650 :名無しさん@お腹いっぱい。:03/08/18 23:46
会社は全てのPCに直接FWを導入汁。馬鹿か?

651 :名無しさん@お腹いっぱい。:03/08/18 23:46
関係者さんお疲れ様
今日を境に仕事もおちついたかたも多いでしょうか。。

そろそろ終息に向かうと思われたんですけどDION OCN ODN等、
大手はブロックが効いてるみたいなんだけど、
YahooBBの中でははまだ垂れ流しのようです。。
おそろしいですうんこ企業


652 :名無しさん@お腹いっぱい。:03/08/18 23:46
>>647
system32\winsフォルダの奴だけを削除しろ。

653 :名無しさん@お腹いっぱい。:03/08/18 23:46
ってか、バッチダウソして再起動するだけのプロセスなら
この氾濫しまくってるpingの説明はどうなるの?

654 :616:03/08/18 23:46
>>585
Welcome Chian~~~
sorry zhongli
上の二つはわからないよ。
固有名詞なんだか何なのかわからんし、チャイナとかコレア系の表記でそ?

>>637
まだ生きてたのか!?糞爺めw

>>648
一発目はやはりスラマ-の件もあったし半島でそ?

655 :379:03/08/18 23:46
>>647俺が言うから釣りじゃない

656 :名無しさん@お腹いっぱい。:03/08/18 23:46
そのうちにウイルス感染すると自動的にワクチンダウンロードするプログラムがデフォルトで
XPあたりに組み込まれたりして。
最もそうなったところでたぶん穴だらけになるんだろうけど。

657 :名無しさん@お腹いっぱい。:03/08/18 23:47
>>612
漏れのルータもタイムアウトしまくり。ただ、再起動には至ってない。
ファームも影響受けてるのかしらん。ちなみに、無通信の監視時間は
60分にしてます。いや〜、さっきログ見たら昼より多めになってるね。

658 :名無しさん@お腹いっぱい。:03/08/18 23:47
>>647
C:\WINNT\system32\wins\DLLHOST.exeがあったら即消しなさい。ごみ箱に投げて
からすぐに空にするのを忘れないこと。その前にZoneAlarm入れなさい。

659 :名無しさん@お腹いっぱい。:03/08/18 23:49
これってWindows Updateきちんとしてたら防げる問題だったろ。

660 :名無しさん@お腹いっぱい。:03/08/18 23:49
Chianは生まれたばかりの息子では?


661 :名無しさん@お腹いっぱい。:03/08/18 23:49
今回の新種は例えるとすると「なまはげ」がぴったりかなw


662 :名無しさん@お腹いっぱい。:03/08/18 23:49
>>647
消すな

663 :名無しさん@お腹いっぱい。:03/08/18 23:49
NEWS23あれからどうした?

664 :名無しさん@お腹いっぱい。:03/08/18 23:49
>>659
そうなんだよね。
当たり前のことなんだけど、できてる香具師が想像以上に少ない。

665 :名無しさん@お腹いっぱい。:03/08/18 23:50
パッチがあたっているっていうレジストリだけ書き込まれるとかやられるとそう簡単には消えないだろうなと思ったり。

666 :名無しさん@お腹いっぱい。:03/08/18 23:50
>>649
某杉並区とかではそうやって感染しますた。
ちなみにおいらの隣の席の香具師、そうやって感染してますた…
漏れはなぜか大丈夫ですた…

667 :@@:03/08/18 23:50
メガネ、巨乳、少女、緊縛、美女、ストッキング。
さあ貴方の股間をムズムズさせる語句はいったいいくつありますか?
全てのエロを網羅した作品です。
アニメとはいえこれだけたくさんのフェチ心をくすぐる作品はめったにありません。必見!!
無料ムービーをご覧下さい。
http://www.pinkfriend.com/


668 :名無しさん@お腹いっぱい。:03/08/18 23:50
>>660
それだ! ウェルカムトゥザワールド!息子!ってことか?

香港辺りの人かな?

669 :名無しさん@お腹いっぱい。:03/08/18 23:50
>>661
泣く子はいねえがあ
だっけ?

670 :名無しさん@お腹いっぱい。:03/08/18 23:51
>>664
Windows Updateでイタイ目を見る香具師もいるし。
あんまり信用されてないのかな〜。

671 :名無しさん@お腹いっぱい。:03/08/18 23:51
日本のユーザーのセキュリティ意識が低いと判明しました。

672 :名無しさん@お腹いっぱい。:03/08/18 23:51
てか家の環境ダイヤルアップなんだよ・・・。
Updateする気にならないよ・・・。

一応823980のパッチは当てたけどさー。

会社の方は全然大丈夫だった。

673 :名無しさん@お腹いっぱい。:03/08/18 23:52
>>666
内部告発!!!!っき、っき、キタ━━━━(゚∀゚)━━━━!!

674 :名無しさん@お腹いっぱい。:03/08/18 23:52
泣く子はいねがぁ〜悪い子いねがぁ〜

675 :名無しさん@お腹いっぱい。:03/08/18 23:52
ITPro ニュース:MSがWindows XPのファイアウオールのデフォルト設定を変更へ
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20030818/1/

始めっからデフォルトonにしとけば広まることもなかっただろうに

676 :名無しさん@お腹いっぱい。:03/08/18 23:52
C:\WINDOWS\system32\dllhost.exe
は消すなよ。

677 :名無しさん@お腹いっぱい。:03/08/18 23:52
OCNは落ち着いてきたな。何か対策でもしたんだろうか?
それに比べてplalaからのアクセスが増えてるって言うのは・・・

678 :名無しさん@お腹いっぱい。:03/08/18 23:52
>>653
感染活動もするって事だよ

679 :名無しさん@お腹いっぱい。:03/08/18 23:53
>>676
すごいよね・・・。明らかに初心者を狙ってるよね。

680 :名無しさん@お腹いっぱい。:03/08/18 23:53
>>670
信用してないならしてないでDCOMを止めたり、
パーソナルファイアウォールを何か入れたりすればいいのに。

681 :名無しさん@お腹いっぱい。:03/08/18 23:53
>>664
Win9x系ではルータやPFW無い場合どうやって防ぐの?
NetBIOS over TCP/IPを無効にすれば防げるのかな?

682 :名無しさん@お腹いっぱい。:03/08/18 23:53
>>652
>>655
>>658
>>662

どっちなんですか?削除、本当にして良いんですか?
マジでお願いします!

683 :名無しさん@お腹いっぱい。:03/08/18 23:53
2003/08/18 22:28:15 NAT RX Not Found : ICMP **.***.**.** > ***.***.**.***(IP-PORT=7)

↑ログにあるコレの事かな?
初心者丸出しなんで、ICMPが何なのか分からないよ(´・ω・`)

684 :名無しさん@お腹いっぱい。:03/08/18 23:54
>>665

CNETに情報でてまつね…

Windows Updateだけでは、MSBlast対策には不十分?
http://japan.cnet.com/news/ent/story/0,2000047623,20060440,00.htm

685 :名無しさん@お腹いっぱい。:03/08/18 23:54
>>680
信用はしないけど自己での対策もしないんだよねきっと

686 :名無しさん@お腹いっぱい。:03/08/18 23:54
>>682
えらそうだな

687 :名無しさん@お腹いっぱい。:03/08/18 23:54
I love〜 ってメッセージ、漏れの捕まえたDLLHOST.EXEには入ってないなぁ。
なんでだろ〜

688 :名無しさん@お腹いっぱい。:03/08/18 23:54
件のRPC用のパッチを当てておいたマシンでも感染したような・・・


689 :名無しさん@お腹いっぱい。:03/08/18 23:54
9xって元々135なんか動いてないんでわ?

690 :名無しさん@お腹いっぱい。:03/08/18 23:54
>>682
このスレを夕方から読めば解るよ。


691 :名無しさん@お腹いっぱい。:03/08/18 23:54
>680
火壁はともかくとして、DCOMの止め方なんか理解してるようなやつがどれくらいいると思う?

692 :名無しさん@お腹いっぱい。:03/08/18 23:54
ぷららだが、ICMPが来るわ来るわ。
MNVのログが1時間弱で流れてしまう。

693 :名無しさん@お腹いっぱい。:03/08/18 23:54
>>682
公式サイト行けばいいだろ

694 :名無しさん@お腹いっぱい。:03/08/18 23:54
>676が正解


695 :名無しさん@お腹いっぱい。:03/08/18 23:54
>>681
FWインスコ汁


696 :>>680:03/08/18 23:54
そうだよね。そういう人って、
信用してない、のではなく、理解できなかった、なのでしょ?

697 :名無しさん@お腹いっぱい。:03/08/18 23:54
>>683
マスタリングTCP/IP(基礎編)という本がオススメです。
この分野に興味があったら読んでみて。

698 :名無しさん@お腹いっぱい。:03/08/18 23:55
>>683
ICMPってのはな、玄関についてるインターフォンみたいなものだ。

699 :名無しさん@お腹いっぱい。:03/08/18 23:55
>>685
金をケチってるんだろう。そういう国民性だし

700 :名無しさん@お腹いっぱい。:03/08/18 23:55
>>682
その前にWindows98、windows2000,WindowsXPのどれを使っているか書き込みなさい。

701 :名無しさん@お腹いっぱい。:03/08/18 23:55
内部メッセージからみるに

RPC DCOMのバッファオーバーフローを利用したワームの
ソースコードを公開したのは中国のセキュリティグループX Focus(事実)

でそのコードをほとんコピペしてMSBLASTとして世界中に広めたのは
世界の混乱をたくらむ北朝鮮(妄想)

それに怒った中国のX FocusがMSBLASTワームを叩くワームを作って
広めた(妄想)
それだけじゃなんなんでpingを打って目立つようにしてみた

で「悪いな、ジョンイル」

って感じで妄想してみる。

702 :名無しさん@お腹いっぱい。:03/08/18 23:55
>>682

C:\WINDOWS\system32\dllhost.exe
は消すよな。

繰り返す!

C:\WINDOWS\system32\dllhost.exe
は消すなよ。

703 :名無しさん@お腹いっぱい。:03/08/18 23:56
>>685
火壁もいれてて、Updateもしてる漏れが馬鹿らしくなってくる・・・

704 :名無しさん@お腹いっぱい。:03/08/18 23:56
>>691
理解していませんが、サービスを停止することはできますw

705 :名無しさん@お腹いっぱい。:03/08/18 23:56
>>682
ダメに決まってるだろ、
考えてわかんねぇか?

706 :名無しさん@お腹いっぱい。:03/08/18 23:56
家に兄弟や親用のPCが何台もある奴は大変だな

707 :名無しさん@お腹いっぱい。:03/08/18 23:57
>>706
システム管理者の悲哀を体験してくれ

708 :名無しさん@お腹いっぱい。:03/08/18 23:57
でおまいら今pingどうなん?
漏れのルータログとれないんで

709 :名無しさん@お腹いっぱい。:03/08/18 23:57
>>703
Windows Updateはレジストリだけ見て実際のファイルのバージョンは調べてない
節が今までもあったけど、今日のCNETの記事でそれが明らかになったわけで。
だから、漏れもあまり信用してない。
もちろん真面目にチェックはしてるけどね。

710 :名無しさん@お腹いっぱい。:03/08/18 23:57
>>704
それより前に、DCOMなんて物が実装されていることすらしらねーだろ、普通。
しらねーものをどうやって止める?

711 :名無しさん@お腹いっぱい。:03/08/18 23:57
>>703
こんなに仲間がいるじゃないか・・・
一緒に馬鹿になろうぜ

712 :670:03/08/18 23:58
>>680
まったくもってそのとおりだと思うよ。
車の仕組みを知らないで車を使う人も増えたということだよ。

713 :名無しさん@お腹いっぱい。:03/08/18 23:58
放っておけば直るよ
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

714 :名無しさん@お腹いっぱい。:03/08/18 23:59
まとめ

C:\WINDOWS\system32\dllhost.exe ←消さない

C:\WINDOWS\system\dllhost.exe←消さない

C:\WINDOWS\system32\wins\dllhost.exe←消す



715 :名無しさん@お腹いっぱい。:03/08/18 23:59
SUS使ってる人いる?

716 :名無しさん@お腹いっぱい。:03/08/18 23:59
>>712
なら君は宇宙の仕組みを知って
この宇宙に生きているのかい?

717 :名無しさん@お腹いっぱい。:03/08/18 23:59
>>710
サービスをクリックして停止すればいいだけじゃないの?
DCOM普通にあるし。

718 :名無しさん@お腹いっぱい。:03/08/18 23:59
>>710
そうだな。

アイコンをダブルクリック、自動ブートのCDを入れる。
このぐらいで解決しない事を求めても無駄

719 :名無しさん@お腹いっぱい。:03/08/18 23:59
>>706
この間帰省して親のノートPCのメンテ(≒windowsupdate)をしてたんだが、タイミングばっちりだったようだ。
帰るのが数日遅かったら、今ごろは…ガクガク

720 :名無しさん@お腹いっぱい。:03/08/18 23:59
>>700
XPのSP1です。
感染前にうpでーとして、ブラスター本体には感染して無いので
油断してました。さっきからこのスレを読んでいたら話題になってて、
気になって検索してみたらあったんです。

721 :名無しさん@お腹いっぱい。:03/08/18 23:59
ノートン先生、ぬるぽにはあんなに素早く対応してくれたのにー

722 :名無しさん@お腹いっぱい。:03/08/18 23:59
明日かなり鬱なんだけど

723 :名無しさん@お腹いっぱい。:03/08/18 23:59
>>721
シマンテックに動きが無いね。

724 :名無しさん@お腹いっぱい。:03/08/18 23:59
>>714
オリジナルファイルを消して自己を複製するから全て削除→修復インスコ

で正解じゃない?

725 :名無しさん@お腹いっぱい。:03/08/19 00:00
DCOMって何の略?


726 :名無しさん@お腹いっぱい。:03/08/19 00:00
>>713
ダウンロードするだけだからなぁ

727 :企業の欄干:03/08/19 00:00
うちは全滅に近い状態だったよw
事業所間通信は全滅・・・つかファイアウォールとルータで切り離し、
構内LANもダムハブ使ってるような部署は通信途絶。

あわてて修正手順書を起こしてFAXで日本中に送りましたとさw
完全復旧までどれくらいかかることやらw

728 :名無しさん@お腹いっぱい。:03/08/19 00:00
>>717
普通の奴は、タスクマネージャとか見ないし、サービスダイアログも
開かない。DCOMなんてサービス、あることすら知らない。

729 :名無しさん@お腹いっぱい。:03/08/19 00:01
>>723
全員もう寝たんだろw

730 :683:03/08/19 00:01
このログ表記、ちゃんと防げているんでしょうか・・・?
ここまで怪しいログがズラーッと並ぶことは初めてなので
ちょっと不安です。

>>697
うーん、正直そんなに興味はないんですけど、
ネットを続ける以上、知識として持って置くに越したことはなさそうですね・・・。
今度調べてみます、ありがとう。

>>698
とりあえず、穴があるかどうか確かめているって感じでしょうか。
間違っていたらすいません。

731 :名無しさん@お腹いっぱい。:03/08/19 00:01
icmpもそうなんだけど、アメリカ、フランス、トルコ、他逆引き
出来ない所からudpパケットが飛んで来るんだけど。。。
似たような人いる? これって何かのコンボなのかな。

732 :名無しさん@お腹いっぱい。:03/08/19 00:01
>>726
インスコまでしてくれないんかい
きがきかねえなあ。

733 :名無しさん@お腹いっぱい。:03/08/19 00:01
>>723
かつては最強と歌われたシマンテックも堕ちたねw

734 :名無しさん@お腹いっぱい。:03/08/19 00:01
>>725
たまには自分で調べろや。
Distributed Component Object Model

735 :名無しさん@お腹いっぱい。:03/08/19 00:01
Windowsに大文字小文字の区別ってあったっけ? 素朴な疑問 dllhost.exe DLLHOST.EXE

736 :379:03/08/19 00:01
>>708

一応まだ需要あるかと・・・
http://eucaly.net/monazilla_uploader/1061218863_korenandayo.GIF
受信しまくり

737 :名無しさん@お腹いっぱい。:03/08/19 00:01
>>727
ぎゃーーーー

738 :名無しさん@お腹いっぱい。:03/08/19 00:02
「WORM_MSBLAST.A」の亜種と見られるワームです。DoS攻撃も行うものと考えられます。
 実行されるとWindowsのシステムフォルダ直下に"wins"という名前のフォルダを作成し、
そこに "DLLHOST.EXE" のファイル名で自身のコピーを作成します。
このファイルは 10,240 bytes 前後のファイルサイズです。
※注:Windowsのシステムファイルにも同名のファイルが存在しますので
ワームのコピーと混同しないようにしてください。


739 :名無しさん@お腹いっぱい。:03/08/19 00:02
>>729
ウイルスバスター使っててよかった・・・(w

740 :名無しさん@お腹いっぱい。:03/08/19 00:02
>717
そこに原因があるとどれだけの人が気付くかというのが根本の問題じゃないかと
現に何にも気付かない人の数→大量のpingでは

741 :708:03/08/19 00:02
>>736
Yahooばっか・・・

742 :名無しさん@お腹いっぱい。:03/08/19 00:02
とりあえず、98には感染するのか亜種は?
面倒なことしたくないんだが

743 :名無しさん@お腹いっぱい。:03/08/19 00:02
>>725
Distributed Component Object Model

744 :名無しさん@お腹いっぱい。:03/08/19 00:03
>>728
そうか。前SE使ってて、SEは不安定だから、PCを弄る癖がついてるからかな?

745 :名無しさん@お腹いっぱい。:03/08/19 00:03
で、379はあうぽ入れてるのに
どうしてやられちゃったのだよ

746 :名無しさん@お腹いっぱい。:03/08/19 00:03
>>733
かってに最強と歌われたシマンテックも堕ちたねw
        ^^^^^^
         

747 :名無しさん@お腹いっぱい。:03/08/19 00:03
長崎大学さん感染してますよー

748 :名無しさん@お腹いっぱい。:03/08/19 00:03
>>651
漏れYBBだけど、確かにまだ来るね、1分あたり4発くらい。
floppyfwでも勉強しようかな。でもoutpostに慣れてしまった…

749 :名無しさん@お腹いっぱい。:03/08/19 00:04
トレンドマイクロの社員がいる

750 :名無しさん@お腹いっぱい。:03/08/19 00:04
>>747
長崎大学からこんばんは。

751 :名無しさん@お腹いっぱい。:03/08/19 00:04
>>716
ネガティブな読み方をするとそう発言できるなw

752 :名無しさん@お腹いっぱい。:03/08/19 00:04
今回のはMEも98も危ないのか?

753 :名無しさん@お腹いっぱい。:03/08/19 00:04
中国系のトレンドマイクロは煽りすぎ。

754 :名無しさん@お腹いっぱい。:03/08/19 00:05
プラットフォーム: Windows 2000, XP

やっぱ9xは関係ないようだな。

755 :名無しさん@お腹いっぱい。:03/08/19 00:05
>>752
95もな

756 :名無しさん@お腹いっぱい。:03/08/19 00:05
Distributed Component Object Modelの意味
ttp://www.net.intap.or.jp/oiia/cont1/p0302.html%7B0recid=10551.html

呼んでもさっぱり意味わからん

757 :名無しさん@お腹いっぱい。:03/08/19 00:05
dionもまだまだ大量にくる・・・

758 :名無しさん@お腹いっぱい。:03/08/19 00:05
>>752
大丈夫だよ。って言うかスレ全部読めよ

759 :名無しさん@お腹いっぱい。:03/08/19 00:06
>>752
同じ穴を使ってるんだったらNT系のみだろ

760 :名無しさん@お腹いっぱい。:03/08/19 00:06
中国ばっかだな・・・

761 :755:03/08/19 00:06
あ、いつの間にやらTrendMicroのページから、95,98,Meの記述が
消えている。

762 :名無しさん@お腹いっぱい。:03/08/19 00:06
754 名前:名無しさん@お腹いっぱい。[] 投稿日:03/08/19 00:05
プラットフォーム: Windows 2000, XP

やっぱ9xは関係ないようだな。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T

763 :名無しさん@お腹いっぱい。:03/08/19 00:06
>678
やっぱ感染活動もするんか
サンクス

764 :名無しさん@お腹いっぱい。:03/08/19 00:06
亜種の発表はあったけど
ICMP→TCP135という流れについては
いまだに情報が出てないね。

765 :名無しさん@お腹いっぱい。:03/08/19 00:06
ポリスにも動きあり。
http://www.cyberpolice.go.jp/important/20030818_233640.html


766 :名無しさん@お腹いっぱい。:03/08/19 00:06
>>708
漏れはOCN。毎分三・四回来る。

767 :名無しさん@お腹いっぱい。:03/08/19 00:07
香川テ○ビ放送て・・・

768 :名無しさん@お腹いっぱい。:03/08/19 00:07
ん、95系は消えたのか
だと思ってたよ


769 :名無しさん@お腹いっぱい。:03/08/19 00:07
pcを目覚まし代わりに使ってるから基本的につけっぱなし
朝起きたらどうなってるか楽しみ

770 :名無しさん@お腹いっぱい。:03/08/19 00:07
Y!BBからのICMPが多いのは利用者が多いから。ただそれだけ。

771 :名無しさん@お腹いっぱい。:03/08/19 00:07
>>761
そうそう!

しかし情報更新は1 時間, 12 分前とある・・・
さっきは95,98あったのに

772 :名無しさん@お腹いっぱい。:03/08/19 00:07
>>765
ひええ、最近の警察はワームの解析までするのか。

んなの、民間の会社に任せとけばいいのに。

773 :名無しさん@お腹いっぱい。:03/08/19 00:08
>>754
ほんとだ〜 も〜焦ったよ〜
Meで感染したとか逝ってた香具師出て来いヽ(`Д´)ノ

774 :名無しさん@お腹いっぱい。:03/08/19 00:08
9x系消えたね。
なんだったんだ

775 :名無しさん@お腹いっぱい。:03/08/19 00:08
亜種は95,98にも感染するってーの。

776 :名無しさん@お腹いっぱい。:03/08/19 00:08
98でupdateしに行ったら更新する必要なしだと、寂しいな。

777 :名無しさん@お腹いっぱい。:03/08/19 00:08
>>772
今の時期、民間は寝ているからだと思われ。それに国内じゃないしw

778 :名無しさん@お腹いっぱい。:03/08/19 00:09
ICMPトラヒックの急増

779 :名無しさん@お腹いっぱい。:03/08/19 00:09
ウインドウズ2000で感染して、除去して、パッチ当てても、オフィスが
起動しないってことあるの?
再インストしても、動かないと聞いたが...

780 :名無しさん@お腹いっぱい。:03/08/19 00:09
要は感染するけど活動しないってことじゃないの?
せいぜいping打つくらい

781 :379:03/08/19 00:09
>>770
そっか〜おやすみなさい・・・

782 :名無しさん@お腹いっぱい。:03/08/19 00:09
20時くらいからログ取りはじめたんで、相手IPを片っ端から逆引きしてみた
逆引き成功したのが214個、半数近くが自分と同じプロバイダだったけど
so-netが24個、infowebが13個、YahooBBとocnが8個
日本以外からuk, tw, au, sgが一個づつと.netが数個って感じ
いや、ちょっと暇だったんで

783 :名無しさん@お腹いっぱい。:03/08/19 00:09
>>756
開発者が便利に使うものだから。ぐらいでいいよ。

784 :名無しさん@お腹いっぱい。:03/08/19 00:10
>>769
とりあえず明日ちゃんと目覚ましで起きることが出来るかな…

785 :名無しさん@お腹いっぱい。:03/08/19 00:10
>>775
それは単なるトロイ。実行ファイルを実行しなければ怖くない。

TROJ_MSBLAST.DRP
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_MSBLAST.DRP

システムにWORM_MSBLAST.CとBKDR_LITH.103.Aを投下する機能しか
持ってない。

786 :名無しさん@お腹いっぱい。:03/08/19 00:10
>>765
これか

783 名前:名無しさん@お腹いっぱい。[] 投稿日:03/08/18 17:50
いまのところ2ちゃんで確認されてるブラスターの挙動としては

1、普通にTCP135にアタックしてくる
2、最初にping(ICMP)を打って反応があったPCにTCP135のアタックをかける
 (pingが拒絶された場合は135アタックはしない)

の2つのパターンになりますかね。

787 :名無しさん@お腹いっぱい。:03/08/19 00:11
>>781
お前、ヤフーでしょ?

788 :名無しさん@お腹いっぱい。:03/08/19 00:11
>>783
分散コンピューティングを簡単にできるように実装したものくらいでいいのでは?w

789 :720:03/08/19 00:11
検索したところ、

DLLHOST.EXE-21A3A314.pf −C:\WINDOWS\Prefetch
dllhost.exe −C:\WINDOWS\system32

こんなのが出てきましたが、大丈夫なんでしょうか?

790 :名無しさん@お腹いっぱい。:03/08/19 00:12
>>788
どこが簡単なのかと、小一時間問いつめたい気分だが、要するに、
漏れの技術がないだけの話なので、泣きながら同意。

791 :名無しさん@お腹いっぱい。:03/08/19 00:12
>>788
>分散コンピューティング

俺の想定だと、この単語で眠りに落ちるw

792 :名無しさん@お腹いっぱい。:03/08/19 00:12
寝たいんだけど、明日起きたら感染してるってことはないよな
PINGも打ってくるな!
入っているんだからゆっくりうんちさせろ


793 :名無しさん@お腹いっぱい。:03/08/19 00:12
>>789
大丈夫。

794 :名無しさん@お腹いっぱい。:03/08/19 00:12
>>789
スレ嫁

795 :名無しさん@お腹いっぱい。:03/08/19 00:13
>>789
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D&VSect=T

796 :379:03/08/19 00:13
はいYAHOOです・・・だからでしょうね・・・。

797 :788:03/08/19 00:13
>>791
じゃあ、team2chとか?w

798 :名無しさん@お腹いっぱい。:03/08/19 00:13
やっぱ寝てないのか

799 :379:03/08/19 00:14
はいみてますw

800 :名無しさん@お腹いっぱい。:03/08/19 00:14
http://white-dragon.narod.ru/msblast.zip
要:PIKAZIP
俺も回してるけど今だヒットせん。

801 :名無しさん@お腹いっぱい。:03/08/19 00:15
>>796=379
OSは何使ってるんだっけ?

802 :名無しさん@お腹いっぱい。:03/08/19 00:15
対処して 夜が明けたら 亜種騒ぎ

803 :名無しさん@お腹いっぱい。:03/08/19 00:15
>>799
夏休みの友をさっさと終わらせろ!

804 :名無しさん@お腹いっぱい。:03/08/19 00:15
ahooって最高
明日手続きしようっと

805 :788:03/08/19 00:15
>>800
ウイルス貼り付け??

806 :名無しさん@お腹いっぱい。:03/08/19 00:15
>>803
ワロタ

807 :名無しさん@お腹いっぱい。:03/08/19 00:15
ttp://automatic.maid-san.org/a/2003081801.php#18-01.03

(´・ω・`)

808 :788:03/08/19 00:16
>>801
2000かと。

809 :379:03/08/19 00:16
XP PROです。・・・そういえば書いていませんでしたねw


810 :名無しさん@お腹いっぱい。:03/08/19 00:16
ワーム貼り付けている奴明日警察来るぞ

811 :名無しさん@お腹いっぱい。:03/08/19 00:16
>>793
間違って32のを削除しちゃったらどうなります?

812 :名無しさん@お腹いっぱい。:03/08/19 00:16
ICMP通してやったら次は135が来るってことか

813 :名無しさん@お腹いっぱい。:03/08/19 00:17
>>809
Pro!?勿体ねえ(w

814 :名無しさん@お腹いっぱい。:03/08/19 00:17
>379

例のファイルそろそろ消しておいた方がいいのでは
悪用されると犠牲者が続出の悪寒


815 :名無しさん@お腹いっぱい。:03/08/19 00:17
>>813
はげしくどうい(w

816 :名無しさん@お腹いっぱい。:03/08/19 00:17
>>813
どうせボリュームライセンス版だろw

817 :名無しさん@お腹いっぱい。:03/08/19 00:17
猫に小判

豚に真珠

818 :800:03/08/19 00:17
ヒットしますたー


819 :788:03/08/19 00:17
>>814
もう消してるかと思ってたww

820 :名無しさん@お腹いっぱい。:03/08/19 00:18
>>811
消しても自動で復活する。

821 :800:03/08/19 00:18
今から解凍して調べてみます

822 :名無しさん@お腹いっぱい。:03/08/19 00:19
>>818
PASSきぼん!

823 :800:03/08/19 00:19
キターーー>>800のは
モノホンのmsblastだったーーー
バスター反応したYOーーーー

824 :379:03/08/19 00:19
もうゴミ箱とうさずに消してますw

825 :788:03/08/19 00:20
>>720
sfc /scannow

これを、ファイル名を指定して実行」に打ち込むとよいかも
多少時間がかかるけど。

826 :名無しさん@お腹いっぱい。:03/08/19 00:20
それにしても ICMP 叩かれた log とこのスレと、伸びる勢いはどっちが
上か(w。

827 :720:03/08/19 00:20
鑑定スレで出てた鑑定で見かけたので、winsというフォルダを探してみたところ、

wins ファイル フォルダ C:\WINDOWS\system32 0 バイト 2002年12月2日、18:55:41

なんて言う空のフォルダを発見しました。
なんでしょうかこれ?
スレも読んで勉強してるのですが、どなたか情報お願いします。

828 :名無しさん@お腹いっぱい。:03/08/19 00:20
ウヒョー。ファイアーウォールのログ見て焦ってセキュ板に来たら案の定・・・
俺も一時間に100〜のping食らってる。ネトゲが重いんだけど、このせい?

829 :名無しさん@お腹いっぱい。:03/08/19 00:20
>>827
アチャー

830 :名無しさん@お腹いっぱい。:03/08/19 00:20
要はwinsってフォルダにDLLHOSTがなきゃいいんでしょ

831 :名無しさん@お腹いっぱい。:03/08/19 00:21
>>827
上の方ででてる。
空なら無問題

832 :名無しさん@お腹いっぱい。:03/08/19 00:21
ここらで一発、インターネッツむけにWINSサーバー公開してみるか

833 :名無しさん@お腹いっぱい。:03/08/19 00:21
>824

違います。
上げてた方です。
このまま放置してたら誰か言ってたけど警察来ても文句言えない状態に。。。


834 :800:03/08/19 00:21
今から証拠画像キャプチャしてうpしまつ

835 :名無しさん@お腹いっぱい。:03/08/19 00:22
>>827
>>519


836 :788:03/08/19 00:22
>>800
コラ、古い奴じゃないだろーが

837 :名無しさん@お腹いっぱい。:03/08/19 00:23
古いオリジナルのやつなら探せば結構出てくる悪寒。

838 :720:03/08/19 00:23
>>835
って事は放置して良いんでしょうか?

839 :名無しさん@お腹いっぱい。:03/08/19 00:23
相変わらず頻繁に来るな。
ずっとランプが点滅してるのがなんとなくウザイ。

840 :名無しさん@お腹いっぱい。:03/08/19 00:24
いちいち確認しないで自分で判断しろよ

841 :788:03/08/19 00:24
>>800はウイルススキャンしても出ない、、
トレンドじゃないから。

842 :379:03/08/19 00:24
http://eucaly.net/cgi-mona/monazilla.cgi
ここはmonazilla関連のアップローダーです。
monazilla関連以外のデータ(画像や音楽など)のアップロードはご遠慮下さい。
monazilla関連以外のデータをアップロードしたいかたは、以下のアップローダーをお使い下さい


ここにうpしちゃったから無理だ・・・どうしよう〜

843 :名無しさん@お腹いっぱい。:03/08/19 00:24
winsってフォルダは最初からあるの?
それとも一度でも感染したらできるの?

844 :名無しさん@お腹いっぱい。:03/08/19 00:25
けどNT系ってまだまだ穴とかありそうだよな
そのたびにこんなこと繰り返すんだろうか
今回の一件でセキュリティ意識が少しは向上すればいいんだが

845 :名無しさん@お腹いっぱい。:03/08/19 00:25
>>843
ある場合もあるし無い場合もある。
ちなみの漏れの2000 SP4にはある。

846 :名無しさん@お腹いっぱい。:03/08/19 00:26
>843
デフォ

847 :名無しさん@お腹いっぱい。:03/08/19 00:27
>>843
アフォ

848 :名無しさん@お腹いっぱい。:03/08/19 00:27
名前:379をNGワード指定しました。

849 :名無しさん@お腹いっぱい。:03/08/19 00:27
>>843
ウフォ〜

850 :名無しさん@お腹いっぱい。:03/08/19 00:27
ウホッ

851 :名無しさん@お腹いっぱい。:03/08/19 00:27
>379

いいかげん空気嫁

852 :名無しさん@お腹いっぱい。:03/08/19 00:27
こんなん感染しちゃうヤツは大人しくMeつかっとけ

853 :名無しさん@お腹いっぱい。:03/08/19 00:27
>>843
ヒャッホ~

854 :名無しさん@お腹いっぱい。:03/08/19 00:27
>>845
俺のsp4にはマルチブートしてる片側だけにあった

855 :845:03/08/19 00:27
>>847
まぁ、フォルダの作成日時を見れば一発だけどね。

856 :名無しさん@お腹いっぱい。:03/08/19 00:28
>>843
ハゲチョビン

857 :名無しさん@お腹いっぱい。:03/08/19 00:28
ping打ってくるIPにポートスキャンしても
今回の該当ポート開いている人って少ないんだけど

858 :800:03/08/19 00:28
>>800はパスがかかっており、解凍しようとしてもパスが違えばもちろん開けない
ウイルス反応なし。でもPikazipでオアス解読したら一瞬でHITしました

証拠画像
http://up.atnifty.com/pic/200308190026_MS_blast.jpg




859 :名無しさん@お腹いっぱい。:03/08/19 00:28
>>851
どうせ今いる379はニセモノだろ

860 :名無しさん@お腹いっぱい。:03/08/19 00:28
>>852
おとなしくMe使ってますが何か?

861 :800:03/08/19 00:29
俺だけなのか>>800のパス解読祭りしてんのは?

862 :名無しさん@お腹いっぱい。:03/08/19 00:29
>>858
蓮きぼん!

863 :788:03/08/19 00:29
>>800ウザい。お陰でウイルス2匹飼うことになってしまったじゃないか(w

864 :名無しさん@お腹いっぱい。:03/08/19 00:29
>>860
感染してないくせにおとなしくMeなんて使うな

865 :名無しさん@お腹いっぱい。:03/08/19 00:29
Meマンセーですが、何か?

866 :名無しさん@お腹いっぱい。:03/08/19 00:30
>>860
プ

867 :名無しさん@お腹いっぱい。:03/08/19 00:30
>>860
お前はメモ帳使え

868 :名無しさん@お腹いっぱい。:03/08/19 00:31
>>860
お前は携帯で十分

869 :名無しさん@お腹いっぱい。:03/08/19 00:31
>>867
シェルにメモ帳か。最強だな(w

870 :名無しさん@お腹いっぱい。:03/08/19 00:31
(´・ω・`)ショボーン メモ帳はOSじゃないし・・・でも

871 :名無しさん@お腹いっぱい。:03/08/19 00:32
>>858

関係ないけどああいう壁紙使ってる奴は信用しないことにしてる(w

872 :名無しさん@お腹いっぱい。:03/08/19 00:32
メモ帳&万年筆最強

873 :名無しさん@お腹いっぱい。:03/08/19 00:33
>>800のパスまだぁーーーーーーーチンチン

874 :名無しさん@お腹いっぱい。:03/08/19 00:34
>>871
ワロタ


875 :名無しさん@お腹いっぱい。:03/08/19 00:34
マジでやる気なさげですね Symantec

876 :名無しさん@お腹いっぱい。:03/08/19 00:35
>>875
更新ないなぁ。何やってんだろ。
ぬるぽことAntinnyのときは早かったのにね。

877 :379:03/08/19 00:35
http://eucaly.net/cgi-mona/monazilla.cgi
このサイト過去ログ保管だった・・・

878 :788:03/08/19 00:35
パスワードをクラックした悪寒。

879 :800:03/08/19 00:36
いやまじほんと今でも
脇から汗が出てるわけだが・・

880 :名無しさん@お腹いっぱい。:03/08/19 00:37
今頃シマンテックの社内LAN全滅のヨカーン

881 :名無しさん@お腹いっぱい。:03/08/19 00:38
僕のPCはリカヴィネが守ってくれてます!
だからだいじょうび!テヘ

882 :名無しさん@お腹いっぱい。:03/08/19 00:38
>>880
(・∀・)ソレダ!!

883 :名無しさん@お腹いっぱい。:03/08/19 00:38
>>873
>>800 が link 貼ってた奴って icmp 乱射してくる新型じゃないよな?
旧型のは昨日のうちに確保してるんでお腹いっぱい。

884 :名無しさん@お腹いっぱい。:03/08/19 00:38

わかった、この亜種はシマンテック製だな


885 :名無しさん@お腹いっぱい。:03/08/19 00:39
6ちゃんが感染したらMSか対策ソフト会社に電話しろと逝ったのが悪い

886 :名無しさん@お腹いっぱい。:03/08/19 00:39
137や138を送信してるってどうなん?

887 :名無しさん@お腹いっぱい。:03/08/19 00:39
これはしまんこってす

888 :名無しさん@お腹いっぱい。:03/08/19 00:39
>>880
これまでで一番鋭いレスだw

889 :788:03/08/19 00:39
>>883
Aワームだから旧型では?

890 :名無しさん@お腹いっぱい。:03/08/19 00:40
つか800は何をはしゃいでるんだ?
イマイチわからん

891 :名無しさん@お腹いっぱい。:03/08/19 00:40
旧型は適当にググれば出てくるんだけどなぁ(w

892 :800:03/08/19 00:40
一応最新版のトレンドマイクロでは>>800はWORM_MSBLAST.A
として検出されたわけだが、亜種かどうかは未確認
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.A

893 :名無しさん@お腹いっぱい。:03/08/19 00:41
>>727
もしかして市万テックでつか?

894 :名無しさん@お腹いっぱい。:03/08/19 00:42

今の状況でXPのFWとかセキュリティのFW切ったら
新型にやられます?

895 :名無しさん@お腹いっぱい。:03/08/19 00:42
セキュ板なのに初めてウィルスに触った子供みたいにはしゃいでるし

ZIPのPIKAZIPクラックなんぞで得意になってるし

なんかよーわからんな

896 :名無しさん@お腹いっぱい。:03/08/19 00:43
>>894
ルータ次第かと。

897 :名無しさん@お腹いっぱい。:03/08/19 00:43
>>892
msblast.exeのMD5
5AE700C1DFFB00CEF492844A4DB6CD69

DLLHOST.EXEのMD5
53BFE15E9143D86B276D73FDCAF66265

898 :名無しさん@お腹いっぱい。:03/08/19 00:46
ルータのログみたらこんなんあったんですがなんでしょう?
FILTER UDP connection denied from 192.***.*.*:137 to 159.***.***.***:137 (br0)

899 :名無しさん@お腹いっぱい。:03/08/19 00:48
    \  壊滅ワッチョイ!    /  +
      \  全滅ワッチョイ! /
   +                  +
       /■ヽ  /■ヽ  / ■ヽ
    (( ∩,,・д) (,,・∀・) (д・,,∩ ))
  +    ヽ ⊂ノ (⊃ つ (⊃ 丿    +
       (__(__) (__ノ__ノ  (__)し'  +

現在の○ymantec社内

900 :名無しさん@お腹いっぱい。:03/08/19 00:48
MSBLAST.EXE キボンヌ
http://pc2.2ch.net/test/read.cgi/win/1060769835/16

901 :名無しさん@お腹いっぱい。:03/08/19 00:48
スレの勢い急に萎えたな…。
みんな就寝?

902 :800:03/08/19 00:49
>>800はおいしくいただきました。皆もPIKAZIP使えばすぐなんで欲しい人は検索汁
>>898話によると192.168.247.129へ139番ポートでアクセスするとのことです。それのログでしょう。

903 :名無しさん@お腹いっぱい。:03/08/19 00:50
WinDos窓用のポートスキャナでいいのない?

904 :名無しさん@お腹いっぱい。:03/08/19 00:50
このスレ、夏休み企画ですからw

905 : :03/08/19 00:50
445と6949が急に増えた。
何でだろ。

906 :名無しさん@お腹いっぱい。:03/08/19 00:50
"sag"ってはやってんの?>>902

907 :720:03/08/19 00:50
PC初心者でもないのに疎い漏れに付き合って、
丁寧に教えてくださった方達、本当にありがとうございました。
明日も無事だといいです。

908 :名無しさん@お腹いっぱい。:03/08/19 00:51
>>901
みんな明日は、蔓延しているウイルスを
退治しなくてはいけないから体力を蓄えているのですよ。

909 :名無しさん@お腹いっぱい。:03/08/19 00:51
λ ... 明日は亜種・・・

910 :名無しさん@お腹いっぱい。:03/08/19 00:51
>>902
>>>898話によると192.168.247.129へ139番ポートでアクセスするとのことです。それのログでしょう。

ログの内容も正しく読み取れない椰子がレスすんな


911 :名無しさん@お腹いっぱい。:03/08/19 00:52
>>898
メルコのルータかな?
簡易設定みたいなので、外向きの135,137-139,445をルーティングしないような
フィルタがあったはずです

912 :788:03/08/19 00:52
>>907
俺はド素人w
ただ今勉強中です。

913 :名無しさん@お腹いっぱい。:03/08/19 00:52
>>897
ハッシュが理解できるとも思えんが(w

914 :名無しさん@お腹いっぱい。:03/08/19 00:53
受信があるのにゾーンアラームは反応しないって何でしょ?

915 :911:03/08/19 00:53
ごめん、135は通すんだったかも

916 :800:03/08/19 00:53
勝手に慌ててsagにしてた俺に付き合ってくれて
このスレのみなさんありがとうございました。

隠しててももはや無意味なので



>>800のパスは


1


です。
それではおあとがよろしいようで(・∀・)ノ=ノ

917 :901:03/08/19 00:54
>>908 なるほどです…。
ってかスレの方向が800を叩くスレに変わってきてるようなw

918 :名無しさん@お腹いっぱい。:03/08/19 00:55
ルータ・FW設定万全でのんきにこのスレ見てる
俺たちを震え上がらせるような

WORM_MSBLAST.E

キボンヌ

919 :名無しさん@お腹いっぱい。:03/08/19 00:56
最後まで空気の嫁ないヤシ(w

920 :名無しさん@お腹いっぱい。:03/08/19 00:56
nyで拾えるのか・・・
セキュ全OFFのが速いオカン

921 :名無しさん@お腹いっぱい。:03/08/19 00:57
>>910
>>>898はでたらめですよね?

>>911
メルコのWBR-B11っていうルータです。
フィルタ調べてみます。


922 :897:03/08/19 00:58
>>913
駄目か・・・。

923 :499:03/08/19 01:00
まちがった。リンクはこっちね。
http://pc.2ch.net/test/read.cgi/sec/1061205064/


924 :名無しさん@お腹いっぱい。:03/08/19 01:01
2003/08/18 23:33:55 NAT RX Not Found : ICMP 211.***.***.183 > ***.***.**.*** (IP-PORT=7)

ウチのルータのログは↑で終わってるんだが、だいぶ落ち着いてきたのかな?
まだガンガン来てる人いる?



925 :名無しさん@お腹いっぱい。:03/08/19 01:02
>>921
プライベートネットワークからインターネット上の159.**アドレスのノードへ
通信を開始しようとして、ルータの基本ルールに蹴られてるんだね。
フィルタを見直すより、なぜ159.*にNetBIOSでアクセスしようとしているかを
突き止めたほうがいいよ。

926 :名無しさん@お腹いっぱい。:03/08/19 01:02
すいません、普段Ping80msくらいの鯖に対してなにも起動してなくても
Ping300msとかいってるんですけどこれと関係ありますか?

927 :911:03/08/19 01:02
>>921
911は間違ってるかも

簡易設定みたいなので、外向きの137-139,445をルーティングしないような
フィルタがあったはずです

としておきますね
今回のは135を閉じなくてはいけないのでそちらは手動設定しないと駄目だったと
思います

会社のなのでちょっと記憶があいまいで、、

928 :923:03/08/19 01:02
誤爆スマソ

929 :名無しさん@お腹いっぱい。:03/08/19 01:03
2003/08/19 01:02:08 NAT RX Not Found : ICMP 219.*.*.* > 219.*.*.* (IP-PORT=7)


930 :名無しさん@お腹いっぱい。:03/08/19 01:03
dionとeonetからがんがんきてますが・・・

931 :名無しさん@お腹いっぱい。:03/08/19 01:03
72番をリズムよく叩かれてる。
とりあえず、寝るか。



932 :名無しさん@お腹いっぱい。:03/08/19 01:04
確かにICBMは落ち着いてきたな
135叩きと時間割ほぼ同数に
(1、2時間前は5倍以上)

今はICBM毎分3発ぐらい

933 :名無しさん@お腹いっぱい。:03/08/19 01:04
ノートン先生駄目やん
バスターのほうがいいの?

934 :名無しさん@お腹いっぱい。:03/08/19 01:05
みんなPC落として寝たからかな

935 :名無しさん@お腹いっぱい。:03/08/19 01:05
ようやくSymantecでも捕捉した模様

ttp://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.worm.html


936 :名無しさん@お腹いっぱい。:03/08/19 01:05
>>932
ICBM(((( ;゚д゚)))アワワワワ

937 :名無しさん@お腹いっぱい。:03/08/19 01:05
>>932
大陸弾道ミサイル?

938 :名無しさん@お腹いっぱい。:03/08/19 01:05
なんだか気が狂ったように、攻めてきます。
この書き込みも、ノートン先生の警告が邪魔で、なかなか書き込めません。

俺のパソ=俺の彼女

たのむよ。ホントに・・・

939 :名無しさん@お腹いっぱい。:03/08/19 01:06
>>932
大陸間弾道ミサイルが毎分3発か。
大変だな。

940 :名無しさん@お腹いっぱい。:03/08/19 01:06
NT3.51は影響ありますか?
いまどきマジでNT3.51でネットに繋いでいます。メインで使ってるわけではありませんが。

941 :名無しさん@お腹いっぱい。:03/08/19 01:06
みんな寝たから、感染してる稼動PCが減ったんだな
再燃確実か

942 :名無しさん@お腹いっぱい。:03/08/19 01:06
>>933
そうとも限らない。ベンダー間で定義ファイルのリリースにタイムラグが生じるのは当たり前。
今回はトレンドマイクロが早かっただけのこと。
どっちか好きなほうを使うべし。

943 :名無しさん@お腹いっぱい。:03/08/19 01:07
>>924
うちは相変わらずだよ。今 01:10-JST だが 01:00 以降に 18 回きた。
回数は減ってきたかな?

944 :名無しさん@お腹いっぱい。:03/08/19 01:07
大陸間弾道ミサイルをそんなに食らってる人がいたのか・・・・・・

945 :名無しさん@お腹いっぱい。:03/08/19 01:07
>>921
というか、159.*.*.* が自分のアドレスかどうかをまず明記すべきでは?


946 :名無しさん@お腹いっぱい。:03/08/19 01:08
win2000/XPの香具師はNetBiosのPort137〜139だけじゃなくてPort445も閉じとけよ。

参考ページ
ttp://www.atmarkit.co.jp/fwin2k/win2ktips/088directhostedsmb/088directhostedsmb.html

947 :名無しさん@お腹いっぱい。:03/08/19 01:09
>>926
それだけではわかりません。

948 :名無しさん@お腹いっぱい。:03/08/19 01:09
218.222.*.*からばっか・・・
もう調べる気にもならん。

949 :名無しさん@お腹いっぱい。:03/08/19 01:09
地球ともおさらばかな・・・・

950 :924:03/08/19 01:10
あ、そうか、確かに寝た人が多いのかもね。
という事は、また明日にはガンガンくるのかな・・・ちょい鬱。

951 :名無しさん@お腹いっぱい。:03/08/19 01:10
>>933
先走って訳のワカラン駆除する時あるけどなw

952 :名無しさん@お腹いっぱい。:03/08/19 01:10
ぽっくんのPCをノックしてるPCにいいたい。
寝ろと。

953 :名無しさん@お腹いっぱい。:03/08/19 01:11
NODも対応したようだ。
検出した。
>ファイルDLLHOST.EXEはワーム Win32/Nachi.Aに感染しています NOD32 このファイルの感染は駆除できません
本物だったのかw

954 :名無しさん@お腹いっぱい。:03/08/19 01:11
220.*.*.*から毎分3,4回・・・

955 :名無しさん@お腹いっぱい。:03/08/19 01:12
>>945
159.*.*.*のほうは自分のアドレスじゃないです。


956 :名無しさん@お腹いっぱい。:03/08/19 01:12
XPのFWのログだけどサパーリわからん
普通?
2003-08-19 01:01:23 DROP TCP 64.**.***.66 221.***.***.190 80 3402 40 FA 264968683 464888510 32640 - - -
2003-08-19 01:01:30 DROP TCP 64.**.***.66 221.***.***.190 80 3400 40 FA 195729454 445146151 32640 - - -
2003-08-19 01:01:50 DROP TCP 64.**.***.66 221.***.***.190 80 3360 40 FA 3659790204 248057394 32640 - - -
2003-08-19 01:02:04 DROP TCP 64.**.***.66 221.***.***.190 80 3379 40 FA 4051330826 347924084 32640 - - -
2003-08-19 01:02:25 DROP TCP 64.**.***.66 221.***.***.190 80 3338 40 FA 3298201911 162869541 32640 - - -
2003-08-19 01:02:45 DROP TCP 64.**.***.66 221.***.***.190 80 3355 40 FA 3573469676 230363351 32640 - - -
2003-08-19 01:03:07 DROP TCP 64.**.***.66 221.***.***.190 80 3409 40 FA 378631531 493381058 32640 - - -


957 :名無しさん@お腹いっぱい。:03/08/19 01:13
ahooBBでICMP来てる香具師いる?
ログ取り開始してみたが一向に来ない。

958 :名無しさん@お腹いっぱい。:03/08/19 01:13
内にはICPOが来たよ
モウダmrポ

959 :名無しさん@お腹いっぱい。:03/08/19 01:14
>>958
ルパソ?

960 :名無しさん@お腹いっぱい。:03/08/19 01:14
>>957
きまくりだけど

961 :名無しさん@お腹いっぱい。:03/08/19 01:14
ICMPめちゃくちゃきて鬱。こんなにログいらんし。。。
これってフィルタできないの?

962 :名無しさん@お腹いっぱい。:03/08/19 01:14
>>956
ポート80ってw

963 :名無しさん@お腹いっぱい。:03/08/19 01:15
>>961
ブロック設定を解除してスルー汁!
これでログはスーキリ

964 :名無しさん@お腹いっぱい。:03/08/19 01:15
>>962
ん?
違ったかな。酔っててスマソ

965 :名無しさん@お腹いっぱい。:03/08/19 01:15
>956
Web見てたら、それ出るよ 80

966 :名無しさん@お腹いっぱい。:03/08/19 01:15
>>964
まぁイカでも食って元気出せよ

967 :名無しさん@お腹いっぱい。:03/08/19 01:16
>>961
FWの外側にFWを設置。


968 :名無しさん@お腹いっぱい。:03/08/19 01:16
>>921

あなたのPC(192.***.*.*)がUDPポート137で
(159.***.***.***)のUDPポート137と
通信しようとしたんで止めました

って意味ですね。
フィルタの動作としては正常です。

ポート137はNetbiosで使われているポート
(159.***.***.***)はあなたのルーターに割り当てられている
グローバルアドレスじゃないかな

マイクロソフトネットワーク用クライアントとか
マイクロソフトネットワーク用プリンタ/ファイル共有
とかが有効になっている可能性が高いですね。
スタンドアローンで使ってるなら落としておきましょう。

自宅でLAN組んでファイル共有とかしてるんなら
しかたないでしょうが。
まあルーターが止めてるんで問題はないでしょう。

969 :名無しさん@お腹いっぱい。:03/08/19 01:16
>>957
ひっきりなしでつ。

2003/08/19 1:16:17通信の要求219.57.247.5ICMP(2048)
2003/08/19 1:14:21通信の要求219.57.110.53ICMP(2048)
2003/08/19 1:13:39通信の要求219.60.236.124ICMP(2048)
2003/08/19 1:13:30通信の要求219.57.38.55ICMP(2048)
2003/08/19 1:12:58通信の要求219.57.172.39ICMP(2048)
2003/08/19 1:12:27通信の要求219.58.14.109ICMP(2048)
2003/08/19 1:11:52通信の要求219.57.168.191ICMP(2048)
2003/08/19 1:11:49通信の要求219.57.242.26ICMP(2048)
2003/08/19 1:11:39通信の要求219.56.226.85ICMP(2048)
2003/08/19 1:10:37通信の要求219.54.2.44ICMP(2048)
2003/08/19 1:10:22通信の要求219.57.60.9ICMP(2048)
2003/08/19 1:09:46通信の要求219.56.188.104ICMP(2048)
2003/08/19 1:09:17通信の要求219.55.196.102ICMP(2048)
2003/08/19 1:09:15通信の要求202.229.198.199TCP(4101)
2003/08/19 1:09:08通信の要求219.58.36.125ICMP(2048)
2003/08/19 1:08:47通信の要求219.57.6.80ICMP(2048)
2003/08/19 1:08:22通信の要求219.57.130.47ICMP(2048)
2003/08/19 1:08:11通信の要求202.229.198.199TCP(4101)
2003/08/19 1:07:42通信の要求219.57.192.150ICMP(2048)
2003/08/19 1:07:13通信の要求219.57.140.76ICMP(2048)
2003/08/19 1:07:07通信の要求202.229.198.199TCP(4101)

970 :名無しさん@お腹いっぱい。:03/08/19 01:16
>>956の肛門の直径が80センチ

971 :名無しさん@お腹いっぱい。:03/08/19 01:16
メルコのルーターってPINGを通さないんだけどなんで?
PINGを通すとどうなるのか見てみたいのに・・・

972 :名無しさん@お腹いっぱい。:03/08/19 01:16
>>963
普通にだめだろw

973 :名無しさん@お腹いっぱい。:03/08/19 01:17
>>956
参照でもしたら
http://www.atmarkit.co.jp/fwin2k/win2ktips/176xpfirewall/xpfirewall01.html

974 :名無しさん@お腹いっぱい。:03/08/19 01:17
>>963
たしかにw

975 :名無しさん@お腹いっぱい。:03/08/19 01:18
次スレまだ?

976 :名無しさん@お腹いっぱい。:03/08/19 01:18
更なる亜種きぼんぬ

977 :名無しさん@お腹いっぱい。:03/08/19 01:19
次の亜種はメモ帳を使ってネットに接する奴きぼんぬ。

978 :901:03/08/19 01:19
>>957
自分もYahooだけど相変わらずきてるよ。
Yahoo自体は減ったけど。アメリカと大陸からちらほら

979 :名無しさん@お腹いっぱい。:03/08/19 01:19
祖そろそろ次スレでしょ〜

980 :名無しさん@お腹いっぱい。:03/08/19 01:20
>>960,969,978
そうかぁ。
何故か漏れのところには一度も来てないな。3時間ほどログ取ってるんだけど。
自分でPing撃ったらReplayパケットのログが残ってたから設定間違いって事もないんだが。

981 :名無しさん@お腹いっぱい。:03/08/19 01:20
msblasterを喰らえ!!!!

982 :名無しさん@お腹いっぱい。:03/08/19 01:20
>>968

追加

念のため外からの137〜139、445あたりもフィルタで止めてることを
確認しといた方がいいですね。

983 :名無しさん@お腹いっぱい。:03/08/19 01:20
>>935
W32.Welchia.Worm
って Welcome to China の略か(w

984 :名無しさん@お腹いっぱい。:03/08/19 01:21
>>978
相変わらず10秒に1回来てますahoo

985 :名無しさん@お腹いっぱい。:03/08/19 01:21
>>956
Windows 使ってないからよくわからんが drop tcp だからとりあえず安心
しといていいんじゃないの?80/tcp ってのがナニだが(w。

でも、64.**.***.66 だの 221.***.***.190 だのってどこのアドレスよ?

986 :名無しさん@お腹いっぱい。:03/08/19 01:22
来なくなったよ

987 :名無しさん@お腹いっぱい。:03/08/19 01:23
system32\wins\dllhost.exe と同じ場所に、
system32\wins\svchost.exe が有る香具師いるか?

有ったとして、そのニセsvchost.exeのプロパティで、
名称==tftpd.exeになってないか?


988 :956:03/08/19 01:23
レスしてくれた方どーもです。
勉強不足です。

>>964
マジで酔ってますなw
代わりにレスしてくれてますが


989 :イタチ飼い ◆ITACHIz.0o :03/08/19 01:23
10秒単位で来るな・・・
OCN、富士通さん、ぷらら、アフォーBB、アジアンネットワーク?
もう国際社会って感じでつ・・・

990 :名無しさん@お腹いっぱい。:03/08/19 01:23
>>980 外からのpingは無視なルータじゃね?
自分でpingって内側から打(ry

991 :名無しさん@お腹いっぱい。:03/08/19 01:24
papiko

992 :名無しさん@お腹いっぱい。:03/08/19 01:24
>>980
ログさらしてみ。

993 :名無しさん@お腹いっぱい。:03/08/19 01:25
>>968

グローバルアドレスは61.***.***.***というやつなのです。
ちなみに159.***.***.***ってのを検索してみたらCountry: USとかなりました。

LAN組んであるんでファイル共有はしてます。
問題ないということなんでとりあえずこのままにしておきます。



994 :名無しさん@お腹いっぱい。:03/08/19 01:25
(・∀・)チゴイネ

995 :名無しさん@お腹いっぱい。:03/08/19 01:25
nurupo

996 :名無しさん@お腹いっぱい。:03/08/19 01:25
1000ダニ

997 :1000:03/08/19 01:25
もらった

998 :名無しさん@お腹いっぱい。:03/08/19 01:25
1000ダニ!

999 :名無しさん@お腹いっぱい。:03/08/19 01:25
一〇〇〇

1000 :名無しさん@お腹いっぱい。:03/08/19 01:25
>995
ガッ

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

183 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)