5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

●セキュ板 雑談スレッド●[5]

313 :名無しさん@お腹いっぱい。:02/10/09 12:28
Bugbearスレ建てたほうがいいのかな?こんなかんじ?

メール題名
   Greets!、Hi!、$150 FREE Bonus!、Your Gift
   Tools For Your Online Business、News、its easy、SCAM alert!!! など多数
感染契機
   OEでメールプレビュー(IE脆弱性)
   感染添付ファイルを実行
対策
   [1]IE5.x、IE6はIE6sp1にアップグレード<Netscape利用者でも必須>
   [2]OEは「プレビューウィンドウを表示する」をOFF<OE利用者は必須>
       http://www.zdnet.co.jp/help/tips/windows/w0425.html
また、IE6sp1と同時にOEもアップグレードさせた場合は
[ツール]→[オプション]→[読み取り]から「メッセージはすべてテキスト形式で読み取る」
を選ぶことによってテキスト表示のみに切り替えることもできます
   [3]ウイルス対策ソフトの導入<必ずIE6sp1を導入してから>
   [4]Windows Updateで「重要な更新」などをインストール<全ユーザ必須>
       http://windowsupdate.microsoft.com/
   [5]怪しい添付ファイルを実行しない
送信先メールアドレス
   Windowsアドレス帳、受信トレイに存在するメールのアドレス
   .mmf .nch .mbx .eml .tbb .dbx .ocs ファイルから抽出
感染活動
   大量メール送信、不正アクセス(port 36794の開放)
   (日をおかずして変種が発生することが多分に予想されるので
    klezの様にファイル破壊等の活動を行うようになる可能性もあり)
犯人情報
   差出人アドレスの詐称
文献
   http://www.ipa.go.jp/security/topics/newvirus/bugbear.html

314 :名無しさん@お腹いっぱい。:02/10/09 12:35
名称:NATOSTA.A, Tanatos, バグベア-, W32/Bugbear-A, W32/Bugbear@MM

詳細情報:
symantec security respons [W32.Bugbear@mm]
http://www.symantec.com/region/jp/sarcj/data/w/w32.bugbear@mm.html

Trend Micro[WORM_BUGBEAR.A]
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_BUGBEAR.A

削除ツール Symantec
http://www.symantec.com/region/jp/sarcj/data/w/w32.bugbear@mm.removal.tool.html

削除ツール Trend Micro
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4939

315 :名無しさん@お腹いっぱい。:02/10/09 12:36
あとメールヘッダの見方か・・・こんなのいい加減に覚えろよ!ってやつだなぁ
--------------------------------------------
Return-Path: are@rere.com  ←★(A) 下記参照
Received: from
...
Received: from <1番目のMTA>
      by <2番目のMTA>
Received: from <送信者>   ←★(B) このホストが真犯人
      by <1番目のMTA> ←★(C) SMTPサーバ
From: hoge@hoge.com     ←★(D) Fromヘッダは偽装されているので犯人の可能性は低い
Date: <日付時刻>
--------------------------------------------
(A)と(B)のドメインが同じ場合は犯人のメアドの可能性が高い。
(A)と(C)が同一サブネットの場合、(C)は踏み台でありメアドが偽装されている。
  踏み台の例:mail.ru,dns.ne.jp(さくら),solid.ad.jp(solidnetworks)


316 :名無しさん@お腹いっぱい。:02/10/09 12:40
適宜添削して立ててもいいなら、誰かよさげなスレタイ考えて立ててくんなまし
ちなみにバグベアーってのはイングランドのウェールズ地方に伝わる民間伝承で
悪いことをするとやってきて食べちまうよ、って妖精らしい

ところでうちにはまだ一通もやってきていないのは内緒です

317 :名無しさん@お腹いっぱい。:02/10/09 13:00
KlezをしのぐBugbearウイルスの感染力
http://www.zdnet.co.jp/news/0210/04/ne00_bugbear.html
同ウイルスは、既存メッセージの「返信」あるいは「転送」としてメッセージを作成することができる。

犯人情報
   差出人アドレスの詐称のほか、「返信」や「転送」メールを偽装する。

最近Klezスレかどっかで知人からの「返信」メールだけども
全くわからない内容の添付ファイル付きメールがきました。って書き込みあったような気がするが
まぁ順調に進化してるってことだよね?これにNimdaの複雑な感染方法を身に付けたら大流行しそうだね

318 :cheshire-cat ◆PhCATJR.v6 :02/10/09 19:25
ちょと待ってくだされ。
一番大きな課題が残っているんですが。

MSネットワーク共有クライアントとMSネットワーク共有サービス全開で、ルートのドライブ丸ごとフルアクセス共有にしたパソを作って。
んで、アンチウイルスソフトを導入しました。
環境は捨てパソ君2号9x系でAir'Hです。
結果として。やってくるのはクマじゃなくて、オパだけです。

本題。
どういう訳か、137への(LAN内じゃなくて)ネットワーク間のポートプローブがオパじゃなくてクマだって書いているサイトがかなりたくさんあるようなんですけど。
おそらくオパよりも先にクマがネットワークワームとして発表されたって事で、その後137=クマって形式の考えが定着してまった可能性がありまする。
ワクチンベンダーの情報では、LAN外からの共有ファイルクラックによる感染はクマじゃなくてオパ説が濃厚なんですが。

感染経路についての統一見解を得たいんですけど。
偉そうにすんません。
気になったんで。

319 :名無しさん@お腹いっぱい。:02/10/09 19:33
W32.Opaserv.Wormと熊公って関係あるの
ようわからんけど熊公はport 36794の開放をするみたいだけど

320 :cheshire-cat ◆PhCATJR.v6 :02/10/09 20:01
>>319
何の関係も無いvilliっす。
でも137狙いって事で、どうも質問系BBSやパソ関係のメーリングリスト各種の回答者多数は、クマとオパを混同しとります。


321 :cheshire-cat ◆PhCATJR.v6 :02/10/09 20:05
ちなみに。
あまりにも混同がひどいためなのか。
トレンドマイクロではオパとクマの共用駆除ツールをだしましたん。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4939

253 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)