■ このスレッドは過去ログ倉庫に格納されています
Klez系,Klez.Eスレッド
- 1 :1:02/04/08 15:53
- Klez.E全盛時代の対策方法など
メール題名
ランダムな英単語。
トゥ
A excite game
など
感染契機
OEでメールプレビュー
感染ファイル実行
対策
OEで「プレビュー」をOFF
IE5.xはSP2 or IE6にアップグレード
メールアドレス
Windowsアドレス帳 全て
ローカルファイル(HTMLやテキストファイル) 全て
ICQデータベース 全て
など
http://www.watch.impress.co.jp/broadband/news/2002/03/07/ipa.htm 03/07
http://www.zdnet.co.jp/broadband/0203/07/kleze.html 03/07
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20020403/2/ 04/03
http://www.ipa.go.jp/security/topics/newvirus/klez.html
- 932 :cheshire-cat:02/05/11 18:42
- >>930
パソの電源入れて立ち上げる時、ロゴでたら「F8」キーっす。
そこでsafe modeを選択。
機種やOSによっては違うかもしれないけど(ctrlだったりする)。
パソの説明書、見てみ。
- 933 :cheshire-cat:02/05/11 18:45
- って、駆除ツールのサイトに書かれてるじゃん。
How to start Windows XP in Safe mode(英語)
How to start Windows 2000 in Safe mode(英語)
How to restart Windows 9x or Windows Me in Safe Mode.(英語)
- 934 :名無しさん@お腹すいた。:02/05/11 18:53
- >>933
THANKS
- 935 :925:02/05/11 18:58
- 大手ISPの場合、自社の顧客でもない人間からの
メールを元に個別の対応をしてくれるのかなあ。
klezのヘッダから送信者を割り出すには、
膨大な送信ログやら接続ログから調査をする
必要がある。
ワームこれだけ氾濫しているから、こういう
依頼の件数も膨大だろうが、この割り出し
作業は直接利益に結びつかない。
割り出し作業に余分な時間(=人権費)を
割かれる上、お金を払ってる自社の顧客に
「疑い」をかけるぐらいなら、
無視して、ウイルス駆除サーバの宣伝費用に
でもまわした方がマシだと判断されていそうな
気がしてならない。
- 936 :925:02/05/11 19:02
- ごめんなさい。935の発言は927へのレスです
というわけで、もしよかったら
何かしてもらえたのであれば、内容を詳しく
教えてください。
それでklezが減りそうだったら漏れもISPに
連絡取ってみます。
- 937 :名無しさん@お腹いっぱい。:02/05/11 19:29
- 大手ISPの中で、唯一、ウイルス駆除サービスを標準で提供しているのは
jens(旧at&t)だけです。
顧客がワームをインターネット拡散しないようにするのは、
プロバイダの責務と考えます。
- 938 :名無しさん@お腹すいた。:02/05/11 19:33
- >>933
ware found on your computer って出ればOKですか?
何度もすいません。
- 939 :名無しさん@お腹いっぱい。:02/05/11 19:39
- プロバイダに責務を負わせる為の法整備は
まだか・・・。
- 940 :923=927:02/05/11 19:48
- >>935-936
一応相手方ISPから返答が来ました。
意外に早くてビックリしました。
内容は
連絡ありがとう。
感染の疑いがあるのでネット接続しないよう警告した。
駆除ツールを送った。
ウイルス検知ソフトをアップデートするよう伝えた。
ご迷惑おかけしました。
(以上要約)
との返答でした。
その後ウイルスは送られてきてません。
(まあ、数時間しか経過してないので何とも言えませんが)
このISPは大手ではないですが、これが標準的な対応だと思います。
ログをあさるのは大変だろうけど、
・自社の回線(鯖)を使ってウイルスを発信している会員がいる。
・被害者より連絡があるのに対応しない
などというISPはまずないでしょう。信用問題ですから。
大手であればあるほど信用の失墜は大きいですし。
- 941 :923=927:02/05/11 19:54
- >>940
訂正
×自社の回線(鯖)を使ってウイルスを発信している会員がいる。
○自社の回線(鯖)を使ってウイルスを発信している会員がいることを分かっていて対応しない。
ちなみに今回はこちらからヘッダを送ってるので、
送信時間が分かるのでわりとログは絞りやすかったと思います。
ワーム感染によって送信されているのなら同時に大量にメールしてるはずだし、
一件一件チェックしなくても不自然な感じは一目瞭然だと思います。
- 942 :cheshire-cat:02/05/11 19:54
- >>938
>ware found on your computer
「....が君のパソから見つかった」、っしょ、その文章。
それって駆除時の表示かと。んで、駆除は一応成功したんしょ?
でも駆除後再起動して、もう1回駆除ツール使って、残ってないかチェックしてください。
残ってたら嫌だろうから、念のため。
- 943 :名無しさん@お腹すいた。:02/05/11 19:57
- >>942
ぐあ・・・
大丈夫だったとおもいこみまくって
普通に今つかっちゃってるよ(死ね
ありがとです。
もっかいやってきます
- 944 :cheshire-cat:02/05/11 19:59
- >>940
>駆除ツールを送った。
横レスですが。
駆除ツールや対策ツールを装ってウイルスが広まっているのに。
そのメル送られたユーザーは、「本当にプロバが駆除ツールを送ったのか」と疑念を持たないか?
SymantecやTrendMicroやプロバの対策ページのURLを送るのがベストだと。
- 945 :935-936:02/05/11 20:01
- >>940
即レスありがとうございます。
なるほど。こんな感じの対応になる訳ですね。
前に大手ISPにspamの件でヘッダを送ったけれど
「全文送ってください」と言われて頓挫した経験が
ありまして、疑心暗鬼になっていました。
- 946 :923=927:02/05/11 20:05
- >>944
そういわれてみればそうだね。
まあ、この場合は3日もウイルス放置して送り続けてくるようなアホだし、
そこまで知らないだろうけど。
あと、今のところ駆除ツールを装ったワームは英語で来てるようだから、
まあ見る人が見れば添付ファイルの内容とかで分かるだろうけど・・・
(添付みてワームかどうか分かる人はそもそも感染しないだろうが。)
- 947 :cheshire-cat:02/05/11 20:09
- >943
ひょっとして。
「None of XXXXX were found on your computer」か?
「XXXXXはあなたのパソから見つかりませんでした」の意味だよ。
この表示が出たらOK。おめでと。
- 948 :923=927:02/05/11 20:09
- ただ、駆除ツールを送ったってのはネットに繋ぐなと言う意味もあるかと。
シマンテックやトレンドマイクロのサイト見てる間、ネットに繋がなきゃいけない訳だし。
- 949 :cheshire-cat:02/05/11 20:15
- >>948
うーん。
「添付みてワームかどうか分かる人はそもそも感染しない」説に同意。
ただそれって、
「XXっていうプロバがウイルスメールを!(FROM欄偽造)」
「ウイルス対策ツールの名称でウイルスが」
こゆケースがあるんだから、「XX社が送ってきた対策ツール使ったらパソコン壊れた!」、なんて噂が形成されないかな、って思っただけ。
- 950 :cheshire-cat:02/05/11 20:18
- 言葉足らずなので、補足。
李下に冠を正さず、瓜田に沓を入れず。
実際企業やプロバがウイルスを送ってきたと勘違いして、抗議メール送ってるヤシがいるんだし。
そゆ田中さんだか佐藤さんみたいな人を、刺激しないかな、って考えたので。
- 951 :名無しさん@お腹すいた。:02/05/11 20:34
- >>950
いや、Nither of *****
で、直訳してみたら、
両方見つかったとなりました。
しかもそれ以上なにもしてくれません。
どうすればいいんでしょうか(汗
質問攻めですまそ。
- 952 :名無しさん@お腹いっぱい。:02/05/11 20:41
- >>951
義務教育受けてから質問しろ。周りに迷惑。
- 953 :名無しさん@お腹すいた。:02/05/11 20:51
- >>952
義務教育受け終わりました。
- 954 :cheshire-cat:02/05/11 20:53
- >>951
OS何?
- 955 :名無しさん@お腹すいた。:02/05/11 20:55
- >>954
Win98SEです
- 956 :cheshire-cat:02/05/11 20:57
- Neither of →「どちらも・・・で無い」
では仕組みが違う奴だから、気になるんならこっちでもう一度チェックとか。
http://www.trendmicro.co.jp/klez/tool.asp
- 957 :名無しさん@お腹いっぱい。:02/05/11 21:02
- 営利目的での駆除ツールの再配布は許諾されて
いないようですが、その点はどうでしょうか。
駆除ツールのメーカーにしてはいい宣伝機会では
ありますが。
ttp://www.trendmicro.co.jp/licence.asp
には、
お客様は、トレンドマイクロ株式会社の書面による
事前の承認を得ることなく、本ソフトウェア及び
マニュアルを第三者へ賃貸、貸与、販売または
譲渡できないものとし、かつ、本ソフトウェア及び
マニュアルに担保権を設定することはできないものとします。
加えて、お客様は、トレンドマイクロ株式会社の
書面による事前の承認を得ることなく、お客様の
顧客サービス(有償・無償を問わず営利目的又は
付加価値サービスとして第三者へ提供されるサービス)の
一環として本ソフトウェアを使用することは
できないものとします。
- 958 :名無しさん@お腹いっぱい。:02/05/11 21:02
- >>953
http://dic.lycos.co.jp/pej/result.html?query=neither&id=n-000511&encoding=shift-jis&th=1&th=1
英会話教室通え。
- 959 :cheshire-cat:02/05/11 21:05
- >>957
ウイルスベンダーの対策ページのURLを貼ればいい。
勝手に再配布なんて論外。
誰かが何か仕込んで「再配布」なんてのも、ありがちなんだから。
- 960 :名無しさん@お腹すいた。:02/05/11 21:10
- >>956
ありがとう!
- 961 :名無しさん@お腹いっぱい。:02/05/11 21:51
- Klez.Eに限ったことではないけど、ワーム送信の犯人は
OCNユーザやLivedoorユーザが多い。
前者は、会員数に拠るものだろうし、
後者は、無料ISP利用者はウイルス対策ソフトを買えない貧乏人が多いという
ことなのだろう。
- 962 :sage:02/05/11 22:00
-
今日だけで、怪しいメールが8通もキタ━━━━━━(゚∀゚)━━━━━━ !!!!!
- 963 :名無しさん@お腹いっぱい。:02/05/11 23:13
- >>961
うちも、OCNからのウイルスメールが止まらなくて困ってます。
何度も警告した&ISPにも連絡しているにもかかわらず、まだ来ます
多少心得のある人や身近に詳しい人がいる人は、nimdaとBadtrans騒ぎの時
に対策済みで、今ばんばん送って来やがるやつらは「対策?何それ?
ウイルスって何?」って言ってしまうドキュな方々ばかりなのかもしれん
と、思ってしまったよ。
- 964 : :02/05/12 00:00
-
- 965 :名無しさん@お腹いっぱい。:02/05/12 00:03
- しつもんです。まじめに答えてください。オンラインスキャンして
ウイルスは一つも出なかったら、感染してないですか?
知人からあんたのメアドから、ウイルスが送られていると
言われました。
- 966 :名無しさん@お腹いっぱい。:02/05/12 00:07
- >>965
友人にヘッダを確認してもらってください。
そのメールはFrom欄があなたのメールアドレスになっていたのですか?
From欄ならばウイルスがあなたのアドレスを詐称したと思われます。
- 967 :名無しさん@お腹いっぱい。:02/05/12 00:10
- ヘッダのReturn-Path:、もしくはX-Apparently-From: があなたのアドレス
になってる場合は、あなたが感染して(ウイルスをばらまいている)可能性
大です。
詳しくはトレンドマイクロかシマンテックのサイトへGo。
リンクはこのスレのどこかにある。
- 968 :名無しさん@お腹いっぱい。:02/05/12 00:26
- >>966さん早速ありがとう。で、トレンドマイクロは5日前から
してあって、ウイルスは発見されないんですけど。
- 969 :名無しさん@お腹いっぱい。:02/05/12 00:28
- return-path,X-apparently-fromは何、もう少し、詳しく教えてくれ
せんか?
- 970 :名無しさん@お腹いっぱい。:02/05/12 00:56
- >>969
メールのヘッダ参照。
- 971 :cheshire-cat:02/05/12 01:03
- はて、X-apparently-fromって何だろうか。
- 972 :名無しさん@お腹いっぱい。:02/05/12 01:56
- >>971
Klezの亜種についてきます。
- 973 :1:02/05/12 02:20
- 1000に近づいたのでpart2です
http://pc.2ch.net/test/read.cgi/sec/1021137509/
- 974 :名無しさん@お腹いっぱい。:02/05/12 10:28
- 発送元のホスト名とX-apparently-fromのメアドがおんなじ場合、こいつが犯人か?
- 975 :名無しさん@お腹いっぱい。:02/05/12 13:23
- >>974
多分。
- 976 :名無しさん@お腹いっぱい。:02/05/12 14:07
- 添付なしのがいっぱい来るんだけど、なんだろー。
- 977 :名無しさん@お腹いっぱい。:02/05/12 14:41
- >>976
送信者どうなってるの?
- 978 :名無しさん@お腹いっぱい。:02/05/12 14:55
- >>976-977
情報共有のために、Part2スレでやってくれると嬉しい。
http://pc.2ch.net/test/read.cgi/sec/1021137509/
- 979 :名無しさん@お腹いっぱい。:02/05/13 00:04
- KLEZに虫歯のレントゲン写真付いてきますた
- 980 :名無しさん@お腹いっぱい。:02/05/13 07:46
- 6日以降ぱったり来なくなった
寂しい
- 981 : :02/05/13 08:50
- Klez.E、Klez系スレッド part2
http://pc.2ch.net/test/read.cgi/sec/1021137509/
Klez.E、Klez系スレッド part2
http://pc.2ch.net/test/read.cgi/sec/1021137509/
Klez.E、Klez系スレッド part2
http://pc.2ch.net/test/read.cgi/sec/1021137509/
■ このスレッドは過去ログ倉庫に格納されています
★スマホ版★
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)