5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【早く】 Blasterスレ Part3 【対策しろ】

1 :名無しさん@お腹いっぱい。:03/08/23 22:58
最初の Blaster (msblast.exe) は沈静化する一方、
亜種とされる Welchia (DLLHOST.EXE, SVCHOST.EXE) が依然猛威を
ふるっており、ネットワークの負荷が上がっている模様。
あなたは大丈夫か?

Welchiaの名称はアンチウイルスソフト・ベンダによって異なるので注意

WORM_MSBLAST.D(トレンドマイクロ)=W32.Welchia.Worm(シマンテック)
WORM_MSBLAST.E(トレンドマイクロ)=W32.Blaster.D.Worm(シマンテック)

前スレ 【まだ】Blasterスレ Part2【終わっちゃいない】
http://pc.2ch.net/test/read.cgi/sec/1061002243/


2 :1:03/08/23 22:59
前スレの 127, 937より

【miniFAQ】
Q svchost.exe dllhost.exeってそもそも何ですか?
A どちらもWindowsの重要なシステムファイルです
Q ニセモノと本物の見分け方は?
A ニセモノは\system32\winsというデイレクトリに巣食っています。
  ニセモノはなぜか大文字でSVCHOST.EXE DLLHOST.EXE
  ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。

Q タスクマネージャーでニセモノのSVCHOST.EXEが停止ができません。
A セーフモードで起動してからタスクマネージャーで停止する。

Q セーフモードって?
A まず再起動をかけます。OSの起動中にF8キーを何度か叩く。

A ファイアーウォール入れていても感染しますか?
Q OSがネットに接続してからFWが立ち上がるまでのわずかなスキに
  侵入されることがあります。パッチ当てる前のOSを立ち上げるときは
  ケーブルを抜くかモデムの電源を落としておきます。


3 :名無しさん@お腹いっぱい。:03/08/23 23:01
お疲れ

4 :1:03/08/23 23:02
スレタイに(ホントはPart7)を入れるつもりでしたが、
長いといって怒られたので削りました。

過去スレ(dat落ち)
http://pc.2ch.net/test/read.cgi/sec/1061226881/
http://pc.2ch.net/test/read.cgi/sec/1061226881/
http://pc.2ch.net/test/read.cgi/sec/1061223981/
http://pc.2ch.net/test/read.cgi/sec/1061205064/
http://pc.2ch.net/test/read.cgi/sec/1060982749/
http://pc.2ch.net/test/read.cgi/sec/1060853614/
______________________________________________


5 :名無しさん@お腹いっぱい。:03/08/23 23:05
新種ウイルス続々、対策ソフトの売り上げ急増
http://headlines.yahoo.co.jp/hl?a=20030822-00000014-yom-soci

6 :名無しさん@お腹いっぱい。:03/08/23 23:06
1サンクスです。1の中身もGoodです。

7 :名無しさん@お腹いっぱい。:03/08/23 23:07
ミニfaq 長いバージョン作ってみまふた。重複スマソ。請うご批判。

【WORM_MSBLAST.D miniFAQ その1】 
Q 無償の対策CDはいつ、どこで手に入りますか?
A 8月27日から、全国の家電量販店、パソコンショップなどの店頭で配布されます
Q ブラスタDは別名がいろいろあるようですが?
A マイクロソフト、各アンチウィールスメーカーが独自に名前をつけるので
  まぎらわしいです。
  W32/Welchia.worm10240 [AhnLab],
  W32/Nachi.worm [McAfee],
  WORM_MSBLAST.D [Trend],
  Lovsan.D [F-Secure]
Q ウィールス本体のファイル名は?
A WINNT\system32\winsディレクトリ中のDLLHOST.EXE SVCHOST.EXEの二つです
Q svchost.exe dllhost.exeってそもそも何ですか?
A どちらもWindowsの重要なシステムファイルです。本物を停止させると
  Windowsが死にます
Q ニセモノと本物の見分け方は?
A ニセモノは\WINNT\system32\winsというデイレクトリに巣食っています。
  ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。
  また本物とはサイズも違います。
Q タスクマネージャーのプロセスイメージ欄で本物とニセモノの区別がつきますか?
A ニセモノは大文字でSVCHOST.EXE DLLHOST.EXEと表示されるという報告あり。
  (注 全ての場合にそうかどうか未確認)
Q タスクマネージャーでニセモノのSVCHOST.EXE DLLHOST.EXEが停止できません。
A セーフモードで起動してからタスクマネージャーで停止させます。
Q セーフモードって?
A まず再起動をかけます。OSの起動中にF8キーを何

8 :名無しさん@お腹いっぱい。:03/08/23 23:09
faq その2

A ファイアーウォール入れていても感染しますか?
Q OSがネットに接続してからFWが立ち上がるまでのわずかなスキに
  侵入されることがあります。パッチ当てる前のOSを立ち上げるときは
  ケーブルを抜くかモデムの電源を落としておきます。
Q Windows XPの付属ファイアウォールは有効ですか?
A Windows XPのファイアウォールはport135をcloseするのに有効です。
  ただし、このファイアウォールはデフォルトでは無効になってます。 
  有効にする手順は以下のとおり。
   コントロールパネル→ネットワークとインターネット接続→普段使っている
   接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
   「コンピュータとネットワークを保護する」にチェックを入れる→(゚д゚)ウマー
Q XPのファイアーウォールどこだあ?
A 以下の方法も試してくださいでつ。
   スタート→設定→ネットワーク接続
   スタート→接続→全ての接続の表示
   スタート→マイネットワーク→ネットワーク接続を表示
Q XPのファイアウォールは機能は十分ですか?
A XPのおまけFWは外からの侵入は防ぎますが、いったん感染してしまうと中から外へ
  ウィールスをばら撒くのをチェックできません。中から外もチェックする製品
  入れておいたほうがいいでしょう。


9 :名無しさん@お腹いっぱい。:03/08/23 23:10
>>1さん乙〜

10 :名無しさん@お腹いっぱい。:03/08/23 23:11
faq その3

Q 無料のファイアウォールソフトはどこから手に入りますか?
A 次のような製品があります。詳しいことはそれぞれのサイトやスレで 
 アウトポスト Outpost
  http://www.agnitum.com/download/outpost1.html
 ゾーンアラーム Zone Alarm
  http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=zadb_zadown
 ケリオ Kerio Technologies Inc. | Kerio Personal Firewall
  http://www.kerio.com/us/kpf_home.html
 サイゲート SygatePersonalFireWall
  http://soho.sygate.com/free/default.php
Q ウィールスの動作の詳しい解説はどこで見られますか?
A 警察庁サイバーポリス公式解説
   http://www.cyberpolice.go.jp/important/20030819_131641.html
  情報処理振興事業協会公式解説
   http://www.ipa.go.jp/security/topics/newvirus/img/Welchi-worm-WinXP-ver10.pdf
Q 駆除ツールはどこからダウンロードできますか?
A トレンドマイクロ
   http://www.trendmicro.co.jp/hcall/index.asp
  サイゲート
   http://scan.sygate.com/prequickscan.html
  シマンテック
   http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
Q マイクロソフトのパッチってどれですか?
A マイクロソフトパッチ ms03-026(RPC)
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-026

.asp

とりあえず 以上でした。


11 :名無しさん@お腹いっぱい。:03/08/23 23:13
http://homepage2.nifty.com/winfaq/c/winupd.htm

アップグレード時にXP で SP や Hotfix 適用時「Update.inf の整合性を確認できません」エラーが発生します」
等のメッセージが出てアップデートできないヤシは、システムの復元を行使した際に上記のようなメッセージが出るぞ。

CatRoot2の2の部分を適当な数値に変更すればアップデート出来るようになるからやってみれ!

12 :名無しさん@お腹いっぱい。:03/08/23 23:14
番号グチャグチャだから調べてみた。時間は引き継ぎ時間。

1.[08/14 18:33] 【流行中】msblast対策スレ【カウントダウン後再起動】
http://pc.2ch.net/test/read.cgi/sec/1060853614/
2.[08/16 06:25] msblast対策スレ【カウントダウン後再起動】2日目!
http://pc.2ch.net/test/read.cgi/sec/1060982749/
3.[08/18 20:11] msblast対策スレ【ICMP祭り開催中】3日目!
http://pc.2ch.net/test/read.cgi/sec/1061205064/
4.[08/19 01:26] ブラスト4
http://pc.2ch.net/test/read.cgi/sec/1061223981/
5.[08/19 22:48] msblast対策スレ【セカンドインパクト】4日目
http://pc.2ch.net/test/read.cgi/sec/1061226881/
6.[08/21 13:53] 【まだ】Blasterスレ Part2【終わっちゃいない】
http://pc.2ch.net/test/read.cgi/sec/1061002243/
7.[08/23 22:58] 【早く】 Blasterスレ Part3 【対策しろ】
http://pc.2ch.net/test/read.cgi/sec/1061647087/


13 :11:03/08/23 23:15
書き忘れスマソ。リンク先に解決法が有ります。

14 :名無しさん@お腹いっぱい。:03/08/23 23:18
Windows NTってWelchiaに感染しますか?

15 :名無しさん@お腹いっぱい。:03/08/23 23:19
>>11
おっちゃん、リンク先Not Found

16 :名無しさん@お腹いっぱい。:03/08/23 23:21
>>14
します

17 :名無しさん@お腹いっぱい。:03/08/23 23:21
MSの対策ページ

http://www.microsoft.com/japan/technet/security/virus/blaster.asp


18 :名無しさん@お腹いっぱい。:03/08/23 23:21
>>14
しました・・・・

19 :名無しさん@お腹いっぱい。:03/08/23 23:23
>>14
します。しないのは98系だけ。


20 :名無しさん@お腹いっぱい。:03/08/23 23:23
>>18
しちゃったのかよ


21 :名無しさん@お腹いっぱい。:03/08/23 23:24
>>14
ネットワーク経由での感染はしない。

...が、わざと持ち込んで実行すれば感染(?)する。

NTにもBlaster/Welchiaが利用している脆弱性が存在するので、
必ずパッチは当てておけ。

22 :名無しさん@お腹いっぱい。:03/08/23 23:24
>>15
混雑してんじゃないの?


23 :名無しさん@お腹いっぱい。:03/08/23 23:26
>>22
マヂイヨ。今日は危ない日だとか今んなって言ってるし。
・・・・やるまえに言えよ。。。

24 :14:03/08/23 23:26
>>16>>18>>19>>21
マジっすか?
ありがとう。

25 :11:03/08/23 23:26
本当だ。ごめんね。以下コピペその1


Cryptographic Services が起動しているにもかかわらず、エラーが継続する場合は以下の手順を試すことも検討してください。
[スタート]−[ファイル名を指定して実行] から net stop cryptsvc を実行します。
[スタート]−[ファイル名を指定して実行] から %Systemroot%\System32 を開きます。
CatRoot2 フォルダをクリックし、F2 キーを押して別の名前に変更します。


26 :名無しさん@お腹いっぱい。:03/08/23 23:27
>>15
http://homepage2.nifty.com/winfaq/c/winupd.html#1409
の模様


27 :名無しさん@お腹いっぱい。:03/08/23 23:27
ちょっと遅くなりましtが、>>1さん、 >>7さん乙。 参考になったでつ。


28 :名無しさん@お腹いっぱい。:03/08/23 23:27
>1乙。だが、faq2の先頭がAQの順になっているぞ。
まあご愛嬌のレベルだが。

29 :名無しさん@お腹いっぱい。:03/08/23 23:28
>>19
亜種のうちどれかはWindows 98、Windows Meも
感染対象なるって聞いたんだけど違うのかい?

30 :11:03/08/23 23:29
コピペ2

XP で Cryptographic サービスが停止されていると、署名が確認できないためにこのエラーが発生するため、次の手順でサービスを開始してから SP の適用を行ってください。

[スタート]−[ファイル名を指定して実行] から services.msc を起動します。
Cryptographic Services をダブルクリックします。
スタートアップの種類を「自動」にし、「開始」ボタンを押して「OK」します。


31 :名無しさん@お腹いっぱい。:03/08/23 23:31
自分のOSは98SEですが、最近pingが3時間に500回も来ます。
ここ2日間くらいずっとです。
ファイアーウォールはZONEだけで後は何もしていません。
これって大丈夫なんでしょうか?
それとももうウィルスに犯されているのでしょうか?

32 :名無しさん@お腹いっぱい。:03/08/23 23:32
>>30
焦っているのは判るが4つ上のレスくらい見ような


33 :7=前スレの127:03/08/23 23:33
>>28
スマソ。ただ、粗忽モノは>>1さんではありませんですw

34 :11:03/08/23 23:33
>>32
すみませんですた逝ってきます…。

35 :名無しさん@お腹いっぱい。:03/08/23 23:33
>>10 に補足

WelchiaはDCOM RPCだけでなく、IISの動作しているマシンのWebDAV脆弱性も
攻撃します。

Q マイクロソフトのパッチってどれですか?
A マイクロソフトパッチ ms03-026(RPC) および ms03-007(WebDAV)
http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp


36 :名無しさん@お腹いっぱい。:03/08/23 23:34
>>34
イ`

37 :名無しさん@お腹いっぱい。:03/08/23 23:36
>>31
pingが大量に来るのは普通(Dがばらまきまくってる)。
WIN98なら感染しないから安心すべし。

38 :14:03/08/23 23:39
>>21
MSブラスト用のパッチはあるけど、
亜種であるWelchiaのパッチってあるの?(NT用の)


39 :名無しさん@お腹いっぱい。:03/08/23 23:41
>38

>35

40 :名無しさん@お腹いっぱい。:03/08/23 23:41
PING打つ亜種の奴は感染したらどうやって駆除するの?
知り合いが感染したらしいのですが駆除方法がわからんらしい・・

41 :名無しさん@お腹いっぱい。:03/08/23 23:44
>>40
藻前が分からんのじゃないのかと、小一時間(ry

42 :名無しさん@お腹いっぱい。:03/08/23 23:45
>40

>7

43 :名無しさん@お腹いっぱい。:03/08/23 23:45
>>40
>>10
シマンテックなら
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.removal.tool.html
…まぁ、とりあえずおまいさんがもちつけ。

44 :名無しさん@お腹いっぱい。:03/08/23 23:45
>>40
PingにはPingで対抗すんだよ

45 :名無しさん@お腹いっぱい。:03/08/23 23:46
>>40

駆除するにはツールを使え。
>>10 を見れ。


46 :名無しさん@お腹いっぱい。:03/08/23 23:46
>>40
どぞ
http://www.shimachu.co.jp/index2.htm

47 :名無しさん@お腹いっぱい。:03/08/23 23:46
>>40
まぁイカでも食って元気出せよ

48 :名無しさん@お腹いっぱい。:03/08/23 23:47
>>40
ヒントは>>89にあるぞ。

49 :名無しさん@お腹いっぱい。:03/08/23 23:47
>>40
(<●>_<●>)

50 :名無しさん@お腹いっぱい。:03/08/23 23:47
>>40>>40>>40>>40>>40>>40>>40>>40>>40>>40
>>40>>40>>40>>40>>40>>40>>40>>40>>40>>40
>>40>>40>>40>>40>>40>>40>>40>>40>>40>>40

51 :名無しさん@お腹いっぱい。:03/08/23 23:48
>>40の肛門に栄光あれ!

52 :名無しさん@お腹いっぱい。:03/08/23 23:48
>>40は先祖代々都昆布

53 :名無しさん@お腹いっぱい。:03/08/23 23:48
>>40>>1は異母兄弟

54 :名無しさん@お腹いっぱい。:03/08/23 23:49
( ´д)ヒソ(´д`)ヒソ(д` )>>40( ´д)ヒソ(´д`)ヒソ(д` )ヒソ

55 :名無しさん@お腹いっぱい。:03/08/23 23:49
おまいら、ゴミレスつけるんだったら、前スレを埋めさげれ

56 :名無しさん@お腹いっぱい。:03/08/23 23:50
>>40の言う友人は>>40

57 :40:03/08/23 23:50
>>41-54
サンクス・・・

58 :名無しさん@お腹いっぱい。:03/08/23 23:50

>>40+>>55=タコ

59 :名無しさん@お腹いっぱい。:03/08/23 23:50
時代の先駆者、それは>>40

60 :名無しさん@お腹いっぱい。:03/08/23 23:51
                                                               >>40

工エエェェ('A`)ェェエエ工

61 :名無しさん@お腹いっぱい。:03/08/23 23:52
                                                                    >40

62 :名無しさん@お腹いっぱい。:03/08/23 23:52
>>40への最後の一言↓

63 :名無しさん@お腹いっぱい。:03/08/23 23:53
俺も包茎だ気にするな

64 :名無しさん@お腹いっぱい。:03/08/23 23:54
5点

65 :41:03/08/23 23:56
>>40
変な流れ作った詫びじゃ。

>>7
セーフモードで立ち上げてプロセス殺した後、MSのパッチを入れとけ。
MS03-026
MS03-007
再起動後もセーフモードで立ち上げて、
http://www.trendmicro.co.jp/support/VIRUS/fix_tool/tsc/auto_tsc.com
コイツでワーム殺しとけ。
その後、本格的にネットに繋いでWindowsUpdateしとけ。

最初にワーム駆除ツールでワームを殺しといた方が精神的に安心出来るならそれでも良い。

くれぐれもワーム殺すまではネットに繋がんように。

66 :名無しさん@お腹いっぱい。:03/08/23 23:59
DCOM98に今回のセキュリティホールはある?ない?

67 :名無しさん@お腹いっぱい。:03/08/24 00:00
>>66
MS03-033?

68 :名無しさん@お腹いっぱい。:03/08/24 00:00
パッチあててるしそれなりの対策してるから
今のところは大丈夫なんだけど
記念に無料駆除CDもらいに逝っちゃダメ?(w

69 :名無しさん@お腹いっぱい。:03/08/24 00:03
>>68
良いよ。

俺は駆除ツールとMSパッチと簡易説明書を入れた物を会社で回した。
相当のアフォでない限り自力で駆除させた。

70 :名無しさん@お腹いっぱい。:03/08/24 00:04
>>68
くれぐれもヤフオクで売らないように(藁

71 :名無しさん@お腹いっぱい。:03/08/24 00:04
>>68

     冫─'  ~  ̄´^-、
   /          丶
  /             ノ、
 /  /ヽ丿彡彡彡彡彡ヽヽ
 |  丿           ミ
 | 彡 ____  ____  ミ/
 ゝ_//|    |⌒|    |ヽゞ
 |tゝ  \__/_  \__/ | |  
 ヽノ    /\_/\   |ノ  .______
  ゝ   /ヽ───‐ヽ /  /  
   /|ヽ   ヽ──'   / <  漏れが許す!
  / |  \    ̄  /   \
/ ヽ    ‐-            ̄ ̄ ̄ ̄ ̄ ̄


72 :名無しさん@お腹いっぱい。:03/08/24 00:04
>68
再インスト時に必要

73 :名無しさん@お腹いっぱい。:03/08/24 00:04
>>68
記念にって、猫よけにでもするん?

74 :名無しさん@お腹いっぱい。:03/08/24 00:05
>>70
物凄く有り得る話だなw

75 :名無しさん@お腹いっぱい。:03/08/24 00:10
>>71
ゲイシが「漏れ」という時代になったのかw。

さて、わたしの家ではルータ型モデム−HUBを
通してパソコンを二台つないでいます。
XPと98です。

普通は、モデムの電源を入れて、そのあとパソコン(XP)
の電源を入れるんです。これじゃ「タイムラグ」を突かれて
危ないんですよね?

しかし、順番を逆にしてパソコンを起動してからモデムの
電源を入れると、モデムは接続してもDNSエラーが出て
WEBは機能しないのです。

どうしたものでしょうか。



76 :名無しさん@お腹いっぱい。:03/08/24 00:11
>>74
【注目の商品】効果絶大!ウイルス駆除ソフト【限定品】

市販されていない特別なCDで限定物らしいです。
騒ぎになったワームも完璧に駆除出来ます。

お届けするのはCDと付属の説明書のみです。

定型外でも発送可。

ノークリームノータリーンでおながいすます。

とか?

77 :名無しさん@お腹いっぱい。:03/08/24 00:11
>>75
ipconfig /renew

78 :77:03/08/24 00:13
77は勘違いによる間違い。ゴメン

79 :氷月鬼 ◆EuropaFcZU :03/08/24 00:13
>>75
てかルータの下だったらタイムラグなんて関係ないのでは。

80 :名無しさん@お腹いっぱい。:03/08/24 00:14
大体はルータが止めてくれるからね。

81 :名無しさん@お腹いっぱい。:03/08/24 00:15
>>75
98は、ファイル名を指定して実行 - winipcfg と入力 - OKを押す。
その後は開放とか所得とかあっから好きにせい。
GUIで操作出来る。

82 :名無しさん@お腹いっぱい。:03/08/24 00:15
>>75
気になるなら、接続を無効にしてからPC切れ。
で、起動したあとに接続を有効にすればいいんじゃね?

83 :名無しさん@お腹いっぱい。:03/08/24 00:17
>>82
それが確実だな。

84 :名無しさん@お腹いっぱい。:03/08/24 00:19
無償の対策CDはもちろん3ヶ月無料のBBとセット販売です

85 :名無しさん@お腹いっぱい。:03/08/24 00:19
>>78
合ってんじゃ?

86 :名無しさん@お腹いっぱい。:03/08/24 00:20
>>84
抱き合わせ販売かよっ!

87 :名無しさん@お腹いっぱい。:03/08/24 00:20
駆除ツールだが、こちらがお勧め。
http://www.nai.com/japan/security/stinger.asp

他社の駆除ツールは1つのウィルスしか駆除してくれないが、
これ使うと最近出回っている奴を多数駆除できるぞ。

WelchiaとBlaster両方これでOK。

Network Assocites製品に金払う気はしないが、
Stingrはお勧めします。

88 :名無しさん@お腹いっぱい。:03/08/24 00:21
>>84

     冫─'  ~  ̄´^-、
   /          丶
  /             ノ、
 /  /ヽ丿彡彡彡彡彡ヽヽ
 |  丿        #   ミ
 | 彡 ____  ____  ミ/
 ゝ_//|    |⌒|    |ヽゞ
 |tゝ  \__/_  \__/ | |  
 ヽノ    /\_/\   |ノ  .______
  ゝ   /ヽ───‐ヽ /  /  
   /|ヽ   ヽ──'   / <  漏れが許さん!
  / |  \    ̄  /   \
/ ヽ    ‐-            ̄ ̄ ̄ ̄ ̄

89 :75:03/08/24 00:21
みなさんレスありがとう。
とりあえず、パソコン→モデムで起動したら
やはり接続できませんでした。なんでだろ?

それで>77を試したら、OKでしたw。
今その状態でつないでいます。

98の方はまだ試していませんが、
77さんの方法もOKなので大丈夫なのでしょう。
メモ書きしておきます。ありがとう。

>79-80
そうらしいのですね。でも上のFAQ読んだら
ちょっと気になったものですから。

みなさんありがとうございました。

90 :名無しさん@お腹いっぱい。:03/08/24 00:22
>>87
auto tscもですよん。
ttp://www.trendmicro.co.jp/support/VIRUS/fix_tool/tsc/tsc_viruslist.txt

91 :名無しさん@お腹いっぱい。:03/08/24 00:23
しかし、今回のBlasterウイルス対策CD-ROMの無償配布。
M$がオンライン経由でしかパッチを配布してない事に対するバッシングを
かわすために企画されたらしいけど、その割にM$自体はCDをプレスする気が
全然ないのなー。M$に電話したらシマンテックを案内されたよ…
電話繋がらねえっつうの。

92 :名無しさん@お腹いっぱい。:03/08/24 00:25
>>91
守銭奴だからね。

93 :77:03/08/24 00:28
>>85,89
あ、合ってた?(^^;
何と勘違いしたのか「あーオレ間違ってるよー」と思い込んでしまいました。

>>92
守銭奴だよねぇ。

94 :名無しさん@お腹いっぱい。:03/08/24 00:30
>>93
知識に自信持て。
間違ってたら、そんときゃ誰かが指摘してくれるから逆切れせんと受け止めときゃ良い。

95 :87:03/08/24 00:31
>>90
TrendMiroのは勉強不足でした。情報Thanksです。
コマンドベースだったら動作も速いのかな?


96 :91:03/08/24 00:32
あと、トレンドがプレスした10000枚の対策CD、1000店舗に10枚ずつ
配って終了とかいう話らしい。無償配布というよりは製品を買った人に
付けるとか言う話を聞いたけど…

97 :名無しさん@お腹いっぱい。:03/08/24 00:34
>>95
パターンの一致を見てるだけだから検索も駆除も早い。
但し、そのパターンが崩れてるのがあると..

シマンテックのとアソシエイツのはダラダラと探す分時間がかかるが
ブツが変な所に配置されてた場合でも(ry

98 :名無しさん@お腹いっぱい。:03/08/24 00:38
>>97
うん。シマンテックの実行したが、確かに時間かかるね。
表示見ている限り、全フォルダチェックしてるんじゃないかな?

99 :87:03/08/24 00:39
>>97
Thanks againです。
素人に電話で指示を出すのであればStingerのままで良いかな。
今度自分でやるときはTrendMicroさんのも試してみますです。

SymantecのはWinsフォルダそのものも消してくれます。
c:\windows\system32\winは最初からあるから消さんでもいいのに…

100 :名無しさん@お腹いっぱい。:03/08/24 00:40
>>99
駆除後の安心感を与えるのにはだらだら探してくれる物を紹介する方が良いかもね。

101 :名無しさん@お腹いっぱい。:03/08/24 00:41
>>99
system32\wins はウィールスがこしらえるフォルダだという罠

102 :名無しさん@お腹いっぱい。:03/08/24 00:43
Dタイプの読み物ハケーン

ttp://www.certcc-kr.jp/announce/Welchia/Welchia.html

103 :87:03/08/24 00:46
>>101
> system32\wins はウィールスがこしらえるフォルダだという罠

未感染のPCにもありますよ。タイムスタンプはウィルス報告より
だいぶ古いです。私が確認した限りだと全てのバージョンの
Win2000とXPに存在します。NTは面倒だから未確認。

104 :名無しさん@お腹いっぱい。:03/08/24 00:48
>>103
だね。

105 :名無しさん@お腹いっぱい。:03/08/24 00:50
>>101
そう? 漏れのW2Kにはなかったが。警察庁資料ではウィールスが作ると書いて
あったような。情報サンクス。

>>102
ここでもニセモノは大文字だね。だれかWindowsのupper/lowerケース取り扱い
に詳しい神きぼんぬ


106 :名無しさん@お腹いっぱい。:03/08/24 00:50
>>103
>>101みたいな馬鹿はほっとけ
こんな奴がデマ情報を流すんだよ
うちの2000とXPにもsystem32\winsあるから気にするな

107 :名無しさん@お腹いっぱい。:03/08/24 00:57
300ping /h(22:30-23:30)


108 :名無しさん@お腹いっぱい。:03/08/24 00:58
>>105
> ここでもニセモノは大文字だね。だれかWindowsのupper/lowerケース取り扱い
> に詳しい神きぼんぬ
そこは不可蝕領域。大きな穴がNT3.0の頃から放置されている。

109 :名無しさん@お腹いっぱい。:03/08/24 01:00
>>105
ttp://www.samba.gr.jp/doc/contrib/name-mangling.html

こんなん?

110 : :03/08/24 01:04
今回の騒ぎでDCOMをoffにしてみたが、別段何の不都合も無かったyo。
・・・ということは、究極の対策は 「DCOM無効化」 だな。

なんで こんな機能がデフォルト有効になっとるんだか・・・

111 :名無しさん@お腹いっぱい。:03/08/24 01:09
>>110
他の使わないサービスも沢山デフォルトで動いてるから、
察するにどんな用途にも無難に対応出来る様になってんじゃないのかな?

システムの事なんか知らない俺みたいな人間にも対応出来るように。
まあ、お節介機能かな?

っつか要らんサービスガンガン切って出荷すりゃ良いのに。
(インスコ直後でもそうなるようにCD作ってほしいな)

112 :名無しさん@お腹いっぱい。:03/08/24 01:10
>>110
DCOMって何だ?
DOCOMOなら知ってる

113 :名無しさん@お腹いっぱい。:03/08/24 01:10
会社でシステム管理しています。
Firewallで最低必要なプロトコル以外はブロックしてるんで
感染するはずはないのだが見事に持ち込まれました。

ウィルス対策ソフトは全PC導入済みなので被害という被害は
なかったのですが、クラスCサブネット5つを約90秒で
スキャンし、パッチが当たっていなかったPCへ足跡を
残していきました。

足跡といっても、ウィルス対策ソフトの警告が出ただけです。
(検疫成功)


活動時のネットワークへの負荷のかけ方はすごいです。
感染元特定ははEtherealなのでパケット拾えばそれほど
難しくはないです。ping打つときに連続したarp requestが
出るのですぐに分かります。

114 :名無しさん@お腹いっぱい。:03/08/24 01:12
>>113
持ち込んだヤシ減給汁。

115 :名無しさん@お腹いっぱい。:03/08/24 01:13
M$がエシュロンのお先棒を担いで個人情報がネットで発する情報をチェックするため、に1票。


116 :名無しさん@お腹いっぱい。:03/08/24 01:14
>>112
Distributed Component Object Model (DCOM) for Microsoft
https://www.microsoft.com/japan/com/

117 :名無しさん@お腹いっぱい。:03/08/24 01:14
>>109
違います。

118 : :03/08/24 01:15
>>111
>っつか要らんサービスガンガン切って出荷すりゃ良いのに。

とっても禿同なんだが、サービス一覧見ただけじゃよくワカランし・・・
ローカルセキリュティポリシーいじってガチガチにすると、マトモに動かなくなるし・・・ (ノД`;)ノ

119 :名無しさん@お腹いっぱい。:03/08/24 01:16
>>112
DCOM 【分散COM】

読み方 : ディーコム
フルスペル : Distributed Component Object Model

 Microsoft社が定めた分散オブジェクト技術の仕様。
同社のCOM仕様にしたがって作成されたソフトウェア
部品(「COMオブジェクト」と呼ばれる)同士がネットワ
ークを通じて通信を行い、データの交換や処理依頼
のやり取りなどを行なうことができる。
COMと共にWindows以外のプラットフォームにも移植
されており、同社はこれをインターネット標準として普
及させるため、IETFに仕様案を提出している。

ttp://e-words.jp/w/DCOM.html

120 :名無しさん@お腹いっぱい。:03/08/24 01:16
>しらんサービス
Messengerは切らんとな。被害者続出だし。
http://pc.2ch.net/test/read.cgi/sec/1035271935/l50

121 :名無しさん@お腹いっぱい。:03/08/24 01:17
>>109
これの問題はUNIXと互換性をとるためのsambaの中の人のハナシだろ?


122 :名無しさん@お腹いっぱい。:03/08/24 01:17
>>117
ここへ行くと良いかも。
ttp://pc2.2ch.net/test/read.cgi/win/1060584476/

123 : :03/08/24 01:20
>>113
FWのインバウンド制限だけでは、企業ネットは守れないと思うのだが・・・。
これからは アウトバウンド制御 & LAN内セキリュティ が必須。

124 :名無しさん@お腹いっぱい。:03/08/24 01:22
>>118
その辺り、MSが初心者にもわかり安い説明書を付けて販売すると良いと思うのだが。
日本人向けには漫画形式で付けると結構読む人が多いかも(w

でもやらねぇんだよな〜これが。

125 : :03/08/24 01:24
>>124
ありそうでないよね > 非プログラマ向けのWinサービス内容解説本

元は英単語の組み合わせだから、英語ネイティブな人間ならピンとくるのかなぁ・・・。


126 :名無しさん@お腹いっぱい。:03/08/24 01:25
>>123
社員へのセキュ関係教育の徹底必須ですな。

127 :113:03/08/24 01:25
>>123
アウトバウンド制御→実施済み
というかこれは当たり前でやってない会社のほうが少ないだろ。

サブネット間→L3スイッチ未対応のため(ry

話がそれてきたのでコテハンでの書き込み終了。

128 :名無しさん@お腹いっぱい。:03/08/24 01:27
>>123
そりゃわかってるけどLAN内セキュってめんどいんだよなー。
だいたいNETBIOS over TCP殺したら…うう、もう…鬱だ。

129 :名無しさん@お腹いっぱい。:03/08/24 01:28
>>125
PC関係の本も漫画形式にするとうけそう。
外国人にまたヴァカにされそうだけど。

誰か実用新案取れ(w
あ、前に税関係で何か漫画が出てたっけ。

130 :名無しさん@お腹いっぱい。:03/08/24 01:30
単なるマンガではなく、某英単語学習みたいな「萌え系マンガ」なら売れるかも(w

131 :名無しさん@お腹いっぱい。:03/08/24 01:31
windows のサービスの説明。漏れはここなんか参考になったが。
http://www.geocities.co.jp/SiliconValley-SanJose/3220/XP-service.htm

132 : :03/08/24 01:32
>>131
サンクスコ (*^ー^)ノ

133 :名無しさん@お腹いっぱい。:03/08/24 01:34
>>131
頂きます。勉強になります。

134 :名無しさん@お腹いっぱい。:03/08/24 01:40
svchost.exeとは何ぞや?
http://unyorle.s25.xrea.com/svchost.htm
XPのsvchostの詳細
http://support.microsoft.com/default.aspx?scid=kb;ja;JP314056

135 :名無しさん@お腹いっぱい。:03/08/24 01:40
>>128
それを機能停止するとどうなるの?

136 :名無しさん@お腹いっぱい。:03/08/24 01:44
>>132-133

ワンポイントメモ

Terminal Servicesを切るとタスクマネージャのプロセスタブで、
出てくるはずのユーザー名が出てこなる。

俺は最初の頃これで焦った。

137 :名無しさん@お腹いっぱい。:03/08/24 01:44
全然収拾がつかない雰囲気だよな。
ネットワークはペングーに犯されつづけるのだろうな。

138 :名無しさん@お腹いっぱい。:03/08/24 01:46
>>135
windowsでのファイルとプリンターの共有が出来なく(ry

139 :名無しさん@お腹いっぱい。:03/08/24 01:46
>1000店舗に10枚ずつ配って終了とかいう話らしい。
>無償配布というよりは製品を買った人に付けるとか言う話を聞いたけど…


    _.-~~/
    /  /   パカ
   / ∩∧ ∧
   / .|( ・∀・)_  エーーーッ!!
  // |   ヽ/  
  " ̄ ̄ ̄"∪

140 :名無しさん@お腹いっぱい。:03/08/24 01:47
>>137
そこはダメッ!違う穴(略

141 :名無しさん@お腹いっぱい。:03/08/24 01:47
>>135
マイ糞ソフトネットワークが使えなくなります。

142 :名無しさん@お腹いっぱい。:03/08/24 01:56
ZAのアラートのマックスって500なんだな。

143 :名無しさん@お腹いっぱい。:03/08/24 02:00
>>138
>>141
ありがとー。そうだったのか。知らなかった。
それでよく止めたほうがいいって指南してあるんだなあ。
勉強になりました。

144 :名無しさん@お腹いっぱい。:03/08/24 02:05
>>143
うん、1台だけの場合はね。
ルーター - PC の場合切る。
ルーター - PCx2以上 共有フォルダ又はプリンターの共有無し の場合切る。
ルーター - PCx2以上 共有フォルダ又はプリンターの共有有り の場合入れとく。

145 :名無しさん@お腹いっぱい。:03/08/24 02:11
質問。
うちのサーバーのポート135番に特定のデータ列付きでサービス要求が来たら
送って来たホストのポート135番に特定のデータを持つパケット列を返すと
いうサービスを提供するデーモンを走らせるのって法律的に問題あるのかな?

146 :名無しさん@お腹いっぱい。:03/08/24 02:13
>>145
資源の無駄使いはやめれ。

147 :名無しさん@お腹いっぱい。:03/08/24 02:13
>>145
MSBLASTか?

148 :名無しさん@お腹いっぱい。:03/08/24 02:14
会社で、ネットワーク管理者がよく、

ウィルスを駆除しました。攻撃した ***.***.***.*** の管理者の方は
対処してください。

なぁ〜んて報告をあげるんだが、それって侵入されてるってことだろ!
ってツッコミを入れたくなる楽しい世の中…

149 :名無しさん@お腹すいた。:03/08/24 02:14
>>145
送信元とやっていることは何も変わらんと思うが。
だいいちIP偽装していたら、お前が迷惑な奴扱い。

150 :名無しさん@お腹いっぱい。:03/08/24 02:17
>>148
だな。

151 :145:03/08/24 02:19
そっかー。無駄と言うか、焼け石に水だし、やめとくね。

152 :名無しさん@お腹いっぱい。:03/08/24 05:08
>>143
MSネットワーク(NETBIOS over TCP/IP)はケーブルつなげばいいだけだから
お手軽。しかしセキュ的にいえば全体が1台のPCみたいなもん。インターネット
とのゲートにルータ(とFW)噛ましてあれば、外からの侵入は防げるが、感染した
ノートPCをルータの内側に繋がれたらそのMSネットワーク全体があぼーん。

MSネットワークでLAN構築したつもりになってると、こういうときにあひゃ〜という
ことになる。ルータ1個にPC何十台もMSネットでぶらさげてると、そりゃ自殺行為。






153 :名無しさん@お腹いっぱい。:03/08/24 06:31
キタ━━━━━(゚∀゚)━━━━━ !!!!ぷらら、一分で100だ!!

154 :名無しさん@お腹いっぱい。:03/08/24 09:42
ブラスタが下火になってきたのでこっちを蒸し返しまつ

適切な手順で修正パッチを当てなければ、パッチを当てても無意味に

ttp://internet.watch.impress.co.jp/cda/news/2003/08/22/220.html

155 :名無しさん@お腹いっぱい。:03/08/24 09:46
>>152
>ルータ1個にPC何十台もMSネットでぶらさげてると、そりゃ自殺行為。

管理が甘けりゃね。

156 :名無しさん@お腹いっぱい。:03/08/24 09:48
>>154
セーフモードでMS03-033インスコしとけ。



157 :名無しさん@お腹いっぱい。:03/08/24 11:10
>>156
やなこったこのたくあん野郎、こいつ↓の肛門にキスをしろ。

158 :名無しさん@お腹いっぱい。:03/08/24 11:26
キ、キスして・・・

159 :名無しさん@お腹いっぱい。:03/08/24 12:06
友人がついにPC&イソターネットを導入したと言うので遊びにいってみたら
なんと林檎屋の親父に引っ掛かっていた。何故林檎なのかと(
ISPはO●Nだそうだが、PCが落ちてるにも拘わらず凄い勢いでLEDが点滅してた。

ド素人には林檎が良いのかも知れないと思った土曜の宵ですた。



160 :名無しさん@お腹いっぱい。:03/08/24 12:16
この騒ぎにビビッた従兄弟から明日、新しいPCの設置を頼まれました。
OSはXP、ハードは富士通だそうです。
XP用のパッチとZA&日本語化パッチをCDに焼いて準備したので
あとはネットに繋ぐ前にセーフモードでパッチを当てて再起動してZAを入れてから
接続設定で、大丈夫でしょうか。
プレインスコのウィルススキャンが無かったら代替で廃棄するPCで使っている
ノートンをインスコの予定です。
自分、w2kで、XP触るのは明日が初めてなのです・・・。

161 :名無しさん@お腹いっぱい。:03/08/24 13:00
>>160
まあそんなとこで普通は大丈夫だろうが…
どうせならトレンドかシマンテックの駆除ツールも焼いとけ。
(サイトの場所は上のテンプレにある) おもいきり慎重に
行くなら↓のように。


ケーブル抜く
 駆除ツールでスキャン
 ウィルスいないのを確認
 パッチ当てる
 ぞぬインスト
 「ネットワークの接続」無効にする
ケーブルつなぐ
 シャットダウン、再起動
 「ネットワークの接続」有効にする
 念のため駆除ツールでもう一度スキャン
 ウィルスいない→(゚д゚)ウマー

162 :名無しさん@お腹いっぱい。:03/08/24 13:07
>>160
いまのゾヌ、日本語化ないけど…

163 :名無しさん@お腹いっぱい。:03/08/24 13:18
plalaの法則
220から始まるアドレスは、凄まじい勢いでICMP飛んでくる
190,180はそうでもない
こんな感じになってる

plala以外はスマソ

164 :名無しさん@お腹いっぱい。:03/08/24 13:26
>>154
えっと、パッチを当てるときにodbc32.dllが作動してるとマズーってことですよね。

debugging tools for windows というプログラムをMSのサイトからダウンしてくる。その中の
tlist.exeというユーティリティーでdllの作動状態を調べる。odbc32.dllが作動していたら、
それを停止させてからパッチ当てる―つーことでいいのれすか?





165 :名無しさん@お腹いっぱい。:03/08/24 13:27
>161
ありがとうございます。念のため駆除ツールも焼いていきます。
新しいPCはまだ箱の中です。
ニムダのときに感染したかもと連絡が来てスキャンして見たら
新旧取り混ぜて15個見つかったのでノートン先生を強制購入させた
強者なので電話が来たときに反射的に
「私が行くまで箱から出さないでね!」とお願いしてしまいましたw

>162
とりあえず、日本語化の一番新しいのが対応しているバージョンを
入れてきます。それから有償のFWを買えるか相談してきます。




166 :名無しさん@お腹いっぱい。:03/08/24 13:29
>>164
一度バッチを当ててみてちゃんと修正されてるかどうか確認して見る方がよい
過去ログ見ると普通にアップデートして修正されてる人もいるし

167 :名無しさん@お腹いっぱい。:03/08/24 13:37
>>166
サンクスです。

今debugging tools 落としてきたとこですが、これはなかなかメンドそうでつ。
tilst.exeを実行すると、動いてるdllの一覧がちゃんと出てきて、odbc32.dllは
なかったから(゚д゚)ウマーと思ったが、もしあったらどうやって停止させるのか
わからんちん。

それから「ちゃんとパッチが当たってるか確認」というのはどこを見るのでつか?
レジストリー?


168 :名無しさん@お腹いっぱい。:03/08/24 13:46
>>165
このスレもCDに焼いて、ついでに紙に打ち出しておくと便利。


169 :名無しさん@お腹いっぱい。:03/08/24 13:48
>>167

下のでバージョンと日付の確認だよ
ttp://support.microsoft.com/default.aspx?scid=kb;ja;823718

170 :名無しさん@お腹いっぱい。:03/08/24 13:58
初めてPC買った人はどうなるんだろうと思った。
メーカー品だとすでに対策済みなのだろうか?
PCの箱に「Blaster対策済み!」とか書かれてるのが出てくるのかな?

171 :名無しさん@お腹いっぱい。:03/08/24 14:18
早く対策知る!pingがuzeee!

172 :名無しさん@お腹いっぱい。:03/08/24 14:33
>>165
どうやってネットに繋いでいるかによって、対策は変わってくるな。

1)ルーター機能を使用し(ルーター機能付きモデムまたは購入ルーターありで
  高速接続を使用中)
  →普通にWindowsUpdateをし、ウイルス対策(XOのFW ON推奨)

2)ルーター機能はない(YBB、フレッツなど)が高速接続
 →ネットワークに接続する前に、XPのファイヤーウォールを ONにしておいて
  それからネットワークに接続しWindowsUpdateしておく。

3)アナログ&ISDN
  →CDに焼いたものを持っていく
  →ネットワークには接続しないで使う(w

>>170
MSが、XPのFW ONを標準にして出荷するらしい。
今はデフォルトでは、OFFになっている。
ただいつ出荷する分からそうなるのか、さっぱり分からない。

ところで、うちのルーターのチカチカ点滅が随分減ったんだけど、
感染者が気が付いて対策終えた?


173 :165:03/08/24 14:41
>168
このスレで張られているリンクをまとめてあるので、念のためそれも
持っていくことにします。そこまでは必要ないことを祈りつつ・・・。

>172
従兄弟のはふれっつISDNで、今は98なんだけど、
行くまでケーブル抜いてネットしないよう言って置きました。
・・・手間のかかるおにいちゃんでつ。



174 :名無しさん@お腹いっぱい。:03/08/24 14:46
2000でパッチ当てたんですが
FW入れないとまずいですか?

175 :名無しさん@お腹いっぱい。:03/08/24 14:52
今後まずい

176 :名無しさん@お腹いっぱい。:03/08/24 14:55
セキュリティ意識の低さがまずい。

177 :名無しさん@お腹いっぱい。:03/08/24 15:03
>>167
よい質問でつ。

MDACパッチ適用後、ファイルマネージャーでファイル情報を確認する。
適用が成功していればファイル情報はそれぞれ以下のとおりとなる。
ただし、下の時刻はUDT(世界標準時)なので、日本は+9時間となる。

MDAC 2.7 用パッチ適用後
日付 時刻 バージョン サイズ パスとファイル名
-----------------------------------------------------------------------
21-May-2002 16:18 3.520.8721.0 200,704 %WINDIR%\System32\Odbc32.dll
21-May-2002 16:19 3.520.8721.0 94,208 %WINDIR%\System32\Odbccp32.dll


MDAC 2.6 用パッチ適用後
日付 時刻 バージョン サイズ パスとファイル名
------------------------------------------------------------------------
21-May-2002 16:49 3.520.8721.0 221,456 %WINDIR%\System32\Odbc32.dll
21-May-2002 16:49 3.520.8721.0 102,672 %WINDIR%\System32\Odbccp32.dll

MDAC2.5 用パッチ適用後
日付 時刻 バージョン サイズ パスとファイル名
------------------------------------------------------------------------
22-May-2002 14:58 3.520.8721.0 217,360 %WINDIR%\System32\Odbc32.dll
22-May-2002 14:58 3.520.8721.0 102,672 %WINDIR%\System32\Odbccp32.dll

レジストリの値が書き換えられていても本体ファイルの置換えが成功しているかどうか
わからんので、ファイル情報を確認しとくのが吉だとか…。もうアフォかと(ry

178 :名無しさん@お腹いっぱい。:03/08/24 15:06
ブラスター対策状況のチェックのExcelシートの記入を求められた。
パッチ適用済みと書く欄があった。
バッチ適用済みと書いてる人が結構多かった…

いったい何を適用したんだ?

179 :名無しさん@お腹いっぱい。:03/08/24 15:09
>>178
IME2000 郵便番号辞書

180 :名無しさん@お腹いっぱい。:03/08/24 15:09
ルーターが入ってればデフォルトで外からアクセスできないから
感染しないって言ってる ヤツが居たけどホント?


181 :名無しさん@お腹いっぱい。:03/08/24 15:10
>>174
ネットにつなぐPCにFWは絶対条件です。
なおガイシュツだが、XPのファイアウォールは外→内への侵入しかチェック
しない。いったん感染してしまうと、内→外へウィルスを撒き散らすことに。
やはりZone Alarm、 Outpost、 Kerioなど入れておくのがよいです。

テンプレ>>8 >>9 あたり見といてね。

182 :名無しさん@お腹いっぱい。:03/08/24 15:20
>>180
今回のブラスタDに関していえば、こやつはport135を通じて入り込むので、
ルータがport135を閉じていれば感染しない。しかしルータの下にLANを組んで
あって、そこへ感染したノートパソなどつながれたら(>>152)あぼーん。

また当然だが、メディア(フロッピー)やメールで感染するウィールス(流行中の
SobigFなど)にはルータは効果なし。

対策三か条
1 Windows Updateを常に実行
2 FWをインストール
3 アンチウィールスソフトをインストール




183 :名無しさん@お腹いっぱい。:03/08/24 15:21
漏れの odbc (w

日付 時刻 バージョン サイズ パスとファイル名
-----------------------------------------------------------------------
20-Feb-2003 17:39 3.525.1022.0 221,184 %WINDIR%\System32\Odbc32.dll
20-Feb-2003 17:39 3.525.1022.0 102,400 %WINDIR%\System32\Odbccp32.dll

184 :167:03/08/24 15:23
>>169 >>177
サンクスです。よくわかりますた。

185 :177:03/08/24 15:29
>>183
じゃこれが最新版? そういやMSの技術情報はLast Reviewed:2003/01/28だった。
早く最新情報に更新せいや。それともどっかに最新版のファイル情報うpされてたっけ?




186 :名無しさん@お腹いっぱい。:03/08/24 15:32
>>185

169のが最新だよ

187 :180:03/08/24 15:36
>>172 で書いてあったけど、

NTTのフレッツ と YBB はルーター機能が無いから Blaster は
スルーしてるってこと?

じゃあ、日本の多数派は感染予備軍?

188 :あぼーん:あぼーん
あぼーん

189 :名無しさん@お腹いっぱい。:03/08/24 15:51
>>187
フレッツにもルータ内蔵モデルはあるけど、標準モデル?(MN-II、MN-III)はルータなし。
YBBも無線にすればルータ機能が働くけど、有線では働かない。

ということで、大多数は感染予備軍でしょう。

190 :177:03/08/24 15:55
スマソ(汗 MDACパッチのファイル情報最新版は以下のとおり。
>>177は無視してくだされ。

MDAC 2.7 RTM
日付 時刻 バージョン サイズ ファイル名
--------------------------------------------------------------
2003/07/31 10:49 2000.81.9001.0040 61,440 Dbnetlib_270.Dll
2003/07/22 16:04 3.520.9001.0040 204,800 Odbc32_270.Dll
2003/07/22 16:10 2000.81.9001.0040 24,576 Odbcbcp_270.Dll
2003/07/22 0:00 3.520.9001.0040 94,208 Odbccp32_270.Dll
2003/07/31 0:00 2000.81.9001.0040 450,560 Sqloledb_270.Dll
2003/07/22 0:00 2000.81.9001.0040 356,352 Sqlsrv32_270.Dll

MDAC 2.7 Service Pack 1
日付 時刻 バージョン サイズ ファイル名
--------------------------------------------------------------
22-Jul-2003 18:27 2000.81.9041.40 61,440 Dbnetlib.dll
22-Jul-2003 18:22 3.520.9041.40 204,800 Odbc32.dll
22-Jul-2003 18:28 2000.81.9041.40 24,576 Odbcbcp.dll
22-Jul-2003 18:28 3.520.9041.40 98,304 Odbccp32.dll
31-Jul-2003 18:47 2000.81.9041.40 471,040 Sqloledb.dll
22-Jul-2003 18:27 2000.81.9041.40 385,024 Sqlsrv32.dll


191 :あぼーん:あぼーん
あぼーん

192 :名無しさん@お腹いっぱい。:03/08/24 15:56
MDACパッチファイル情報その2

MDAC 2.5 Service Pack 2
日付 時刻 バージョン サイズ ファイル名
--------------------------------------------------------------
2003/07/23 13:56 3.520.6100.40 212,992 Odbc32.Dll
2003/07/21 15:24 3.70.11.40 24,848 Odbcbcp.Dll
2003/07/22 19:29 3.520.6100.40 102,672 Odbccp32.Dll
2003/07/21 0:00 3.70.11.40 524,560 Sqlsrv32.Dll

MDAC 2.5 Service Pack 3
日付 時刻 バージョン サイズ ファイル名
--------------------------------------------------------------
2003/07/23 17:13 3.520.6300.40 212,992 Odbc32.Dll
2003/07/21 15:24 3.70.11.40 24,848 Odbcbcp.Dll
2003/07/23 17:11 3.520.6300.40 102,672 Odbccp32.Dll
2003/07/21 0:00 3.70.11.40 524,560 Sqlsrv32.Dll

MDAC 2.6 Service Pack 2
日付 時刻 バージョン サイズ ファイル名
--------------------------------------------------------------
2003/07/21 10:28 2000.80.746.0 86,588 Dbnetlib.Dll
2003/07/22 15:04 3.520.7501.40 217,360 Odbc32.Dll
2003/07/21 10:28 2000.80.746.0 29,252 Odbcbcp.Dll
2003/07/22 0:00 3.520.7501.40 102,672 Odbccp32.Dll
2003/07/31 0:00 2000.80.746.0 479,800 Sqloledb.Dll
2003/07/21 0:00 2000.80.746.0 455,236 Sqlsrv32.Dll

193 :名無しさん@お腹いっぱい。:03/08/24 15:59
127.0.0.1
192.168.0.1
192.168.1.11
192.168.0.3

こいつら(`皿´)ウゼー

194 :名無しさん@お腹すいた。:03/08/24 16:05
>>193
> 127.0.0.1
これってお前のPCな。

195 :名無しさん@お腹いっぱい。:03/08/24 16:06
>>193
127.0.0.1って・・・ヽ(´ー`)ノ

釣りでつか?

196 :名無しさん@お腹いっぱい。:03/08/24 16:07
>>193
それ、みんなあんたとこの身内だよ

197 :名無しさん@お腹いっぱい。:03/08/24 16:08
下手な釣り

198 :あぼーん:あぼーん
あぼーん

199 :193:03/08/24 16:49
( ̄▽ ̄;) ガーン!

200 :名無しさん@お腹いっぱい。:03/08/24 16:51
SPI機能(ステイトフル・パケット・インスペクション)
ステルス機能つきのルーター、例えばBA800PRO
ウィルスソフトくらいは買っとけ>貧乏人ドモッ(ёдё)ノ"

201 :名無しさん@お腹いっぱい。:03/08/24 16:54
ウィルスソフトってウィルスそのものなのでは・・・?

202 :名無しさん@お腹いっぱい。:03/08/24 16:55
>>201
工エエェェ('A`)ェェエエ工

203 :名無しさん@お腹いっぱい。:03/08/24 16:56
ウィルスソフトは、どこに行けば買えるのでつか?

204 :名無しさん@お腹いっぱい。:03/08/24 16:56
今回の騒動でアンチウィルスソフトメーカーは相当儲かった様だな。
正に笑いが止まらんとはこの事か。

205 :名無しさん@お腹いっぱい。:03/08/24 16:57
>>203
どぞ
http://www.shimachu.co.jp/index2.htm

206 :名無しさん@お腹いっぱい。:03/08/24 16:58
>>204
が、その割に株価の反応が鈍いらしい。

207 :名無しさん@お腹いっぱい。:03/08/24 17:01
>>200-203
ウィルス対策ソフト、あるいはアンチウィルスソフト、だな。

208 :名無しさん@お腹いっぱい。:03/08/24 17:24
>>124
それで気付いたが
「絵で見る…」(MS03-XXe.asp)って日本語版だけなのか…

209 :名無しさん@お腹いっぱい。:03/08/24 17:41
@ISDNなので、当方のIPはコロコロ変わりますが
 210.×.×.×の時にICMPのpingが来ます。
 それ以外の時は137がたまに来るくらいです。
ANETBIOS over TCP/IPの有効・無効以外に
 DHCP〜なんたらつーのがありますが
 これの脆弱性って、どれくらいですかね?
無効>>>DHCP>>>>>有効・・・ぐらいでしょうか?

LANの関係で、この設定です。無効にすると、駄目です。

210 :名無しさん@お腹いっぱい。:03/08/24 18:13

プロバってさ、ping大量に打ってるヤツ(D感染)、わかんないのかな?
今時期的にping大量に打ってるのってほとんどD感染者でしょ?
まあping打つの悪くはないんだけどさ、

一部CATVのプロバでは、ユーザー停止してるらしいが、
他のプロバも本気で対策して欲しいよね、


211 :名無しさん@お腹いっぱい。:03/08/24 18:24

☆楽しいことがたくさんあふれている☆

http://mfre.org/?140666


212 :名無しさん@お腹いっぱい。:03/08/24 19:04
>>187

>じゃあ、日本の多数派は感染予備軍?

そういうこと。

今回のに関しては、アッカ、イーアクユーザーは平和だろうな。
ただ、中からやってきたら、同じことだ。

対策4か条
1)WindousUpdateを自動にしておく
2)FWの導入(ルーターかソフト)
3)アンチウイルスソフトを導入
4)LAN内でファイル共有にする場合、パスワードをいれておく

これだけやっておけば「外」からの分も防ぎつつ、万一LANの「中」に
ノートPCとかで持ち込まれても、内なる感染をそれなりに防げる。

ただし、これでも100%ではないようだ。
XPでファイル共有にしてある場合、LAN感染型のは素人には防ぎにくいような
気がする。Nimdaの時にXPだったら、被害はもっと多かったように思える。

Blasterから外れた、スマソ


213 :名無しさん@お腹いっぱい。:03/08/24 19:05
>>209
コンビニの化粧品かと思ったゾ。
NETBIOS over TCP/IP は、共有しないなら「無効」にしてもインターネットは
つながるから、よけいなものは動かさない方がいいだろう。

>>210
ちょっと誤解があるようだが、プロバイダはもっぱらインターネット接続の
環境を提供するところであって、それ以上のことは基本的にはおこなわない。

214 :名無しさん@お腹いっぱい。:03/08/24 19:15
OS再インスコしてからSP4+パッチあてるまでの15分程度で感染しやがりますた。
うちルータ無いから、捨て身でZoneAlarmダウソしてきてシマンテックの駆除ツールで駆除して
やっとパッチ当てられた。くそう。

ttp://www2.makani.to/akutoku/upload/dat/1061708261.gif

いまだにこんな感じ。みんなこんなんなの?

215 :名無しさん@お腹いっぱい。:03/08/24 19:28
>>214
あらかじめポート閉じておけばよかったのに。
Windowsの標準の機能であるだろ?


216 :名無しさん@お腹いっぱい。:03/08/24 19:39
>213
>209ではないんだが、NETBIOS over TCP/IPを無効にすると
接続できなくなる。8/8に再インスコして重要な更新をやったばかりで
環境設定はまだ何もいじっていないんだけど・・・。
どこがおかしいのかなぁ。

今回の対策は終わってます。
CATVモデム直結でFWはOutpost

217 :名無しさん@お腹いっぱい。:03/08/24 19:40
>>208
哀しいかな日本人には漫画でないと。
挿絵じゃまだ見ないヤシが多いはず。

218 :名無しさん@お腹いっぱい。:03/08/24 19:41
>>215
そりゃ天下のwin2000だからルーティングのひとつやふたつできるだろうとは思ったんだけどさ。
やり方調べてる間にもガンガン攻撃食らってるもんで、知ってる方法で早くなんとかしたかったのよ。

・・・やり方教えて。

219 :名無しさん@お腹いっぱい。:03/08/24 19:44
>>215
SP4から察するに、使用OSはWindows2000だろう。
FWは

220 :名無しさん@お腹いっぱい。:03/08/24 19:47
一時期よりだいぶ進行がゆっくりしてきたな


221 :名無しさん@お腹いっぱい。:03/08/24 19:57
情報が出尽くした感じだし、亜種もDまでで止まっているからね。
進行ゆっくりしても攻撃は止まらず。
1時間50件ペース…。
ああ、こいつらに片っ端からnet sendで治せと送りてぇ…。

222 :214:03/08/24 19:59
>>221
俺送った

223 :名無しさん@お腹いっぱい。:03/08/24 20:05
これで被害が収まった頃にデフォルトFW-ONのSPが投入されて
大混乱か・・・。( ´Д`)ハァ・・・。

「ネットワークが繋がらない(=ネットワークにコンピュータのアイコンが無い)」

224 :名無しさん@お腹いっぱい。:03/08/24 20:05
>>222
どんどん送れ

225 :名無しさん@お腹いっぱい。:03/08/24 20:25
C:\>net send 219.165.226.239 "あなたのコンピュータからBlasterワームと思われるアクセスを受けており、迷惑しています。早急に対処してください。"
メッセージは 219.165.226.239 に正常に送信されました。

送りますた。
ポート135、137に大量にリクエストがきてるんですが、これ全部Blaster?
もし誤爆だったらすまんかった。
なんか、ポートにリクエストかけてきやがったあとにping通らないやついるけど、落ちてるのかな?

226 :名無しさん@お腹いっぱい。:03/08/24 20:29
>net send
テキストエディタでbatファイル作成した方が手軽かもね。
IPアドレス変更して実行するだけで、片っ端から送り返せる。

227 :名無しさん@お腹いっぱい。:03/08/24 20:34
ここ三日blastの亜種の強制終了をとめることができません。
だれかわかりませんか?
アップデートしようにも電源おちるんで無理です・・
どなたか助言おねがいします。

228 :名無しさん@お腹いっぱい。:03/08/24 21:08
>>227
ネットのケーブル引っこ抜いて電源落としておく。
ネットカフェで駆除ツールをDLする。
XPならパーソナルファイアウォールの設定方法を調べておく。
2000ならゾーンアラームをDLしておく。インスコと設定の方法も調べておこう。
FD分割かCD-Rに焼いてもらうかして自宅に持ち帰り、ワーム駆除、ファイアウォール構築。
これであとはネットにつないでwindowsupdateするだけ。

229 :名無しさん@お腹いっぱい。:03/08/24 21:19
これだけ世界規模で広がっちゃったら、収束するのに
しばらくかかりそうだな。落ち着く前に亜種がどんどん
作られていつまでたっても終わらない。

車の場合ならリコール当然だがOSの場合はどうなんでしょ?


230 :名無しさん@お腹いっぱい。:03/08/24 21:20
>>227
このスレのミニFAQ >>7 >>8 >>10 あたりも読んどけや



231 :名無しさん@お腹いっぱい。:03/08/24 21:24
>>229
なんらかの責任を負うべきだけど、MSはCD配布で責任を果たしたとか言うんじゃない?

232 :名無しさん@お腹いっぱい。:03/08/24 21:28
漏れんとこ、ICMP(2048)のpingは3分に1回くらい。ほぼ平常に回復。(プロバはYBB)
CATVはところによってpingの嵐がつづいてるらしい。ぷらら、フレッツあたりどーだ?
 

233 :名無しさん@お腹すいた。:03/08/24 21:36
>>232
YBBはポートブロックしているから、YBB以外のISPからのアタックはブロックされているはず。


234 :名無しさん@お腹いっぱい。:03/08/24 21:54
YBB → YBB

235 :名無しさん@お腹いっぱい。:03/08/24 22:04
同じIPから連続20回以上pingが来るよ。だれか助けて〜

236 :名無しさん@お腹いっぱい。:03/08/24 22:05
>>233
YBBがport135を閉じてからも二日くらいはpingの嵐だった。この2、3日で
YBB内の感染が急減したということなんだろ。port閉鎖は効果あったって
ことかね?

他のプロバはどうなん?



237 :名無しさん@お腹いっぱい。:03/08/24 22:08
>>219
FWとは呼ばれてないけど、ネットワークの設定から奥の方にいくと
ポート番号ごとに遮断できるのがあったはず。
今はLinuxから書いてるからよくわかんないけど。


238 :名無しさん@お腹いっぱい。:03/08/24 22:08
今日某電気屋にソフト買ったついでに
この無償の対策CDの張り紙を見つけたんで
店員に下さいって言ったら有料ですって言われたよ。(100円)
無料ですって張り紙にあったけど
欲しい人多すぎて有料になったの?


239 :名無しさん@お腹いっぱい。:03/08/24 22:11
>>236
ぷららですが、ガンガンきてます。

240 :名無しさん@お腹いっぱい。:03/08/24 22:12
     冫─'  ~  ̄´^-、
   /          丶
  /             ノ、
 /  /ヽ丿彡彡彡彡彡ヽヽ
 |  丿           ミ
 | 彡 ____  ____  ミ/
 ゝ_//|    |⌒|    |ヽゞ
 |tゝ  \__/_  \__/ | |  
 ヽノ    /\_/\   |ノ  .______________
  ゝ   /ヽ───‐ヽ /  /  
   /|ヽ   ヽ──'   / <  >>238 ぬわにぃ? どこだその電気屋は?
  / |  \    ̄  /   \
/ ヽ    ‐-            ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄


241 :名無しさん@お腹いっぱい。:03/08/24 22:14
プロバ板見ると、ぷららは今だにpingがひどいみたいでつ。他のプロバは
ウィールス関係の情報少なくて(というかウィールス以外の情報もあまりない)
よくわからん…


242 :名無しさん@お腹いっぱい。:03/08/24 22:17
>>237
TCP/IPフィルタリングですか? あの辺は素人には触らせたくない部分の悪寒。


243 :名無しさん@お腹いっぱい。:03/08/24 22:17
>>232
関東のCATVでつ
1分に10回程度のping来てるね


244 :名無しさん@お腹いっぱい。:03/08/24 22:19
>>238
それは電気屋が独自に焼いたCDじゃないの? MSが配布するやつは
27日からじゃなかったっけ?


245 :通りすがりのもの:03/08/24 22:24
ybbだけど、30秒に一回くらいは、ping来てるぞ。
以前よりは減ったけど。

246 :238:03/08/24 22:25
>240
>244
そうかも。ばっちり店名入ってるし。
どうりで店員もぽそぽそ有料ですって言った訳だ。
ちなみに壱百萬Vです。

247 :名無しさん@お腹いっぱい。:03/08/24 22:26
>>242
それだ! FWに比べて難しいの?
LinuxでFWというとTCP/IPフィルタリングに対応するものを指すことが多いんで、
「パーソナルファイアウォール」っていまいち実感が。


248 :名無しさん@お腹いっぱい。:03/08/24 22:27
今日になって随分ピングーがおとなしくなった。
昨日:195/h
今日:53/h

249 :名無しさん@お腹いっぱい。:03/08/24 22:36
>>236
ブロックしたのはポート135だけで、icmpはブロックしてない
ていうか、icmpブロックまではどこのISPでもしないだろ。

すげぇ高性能なルータで、ポート135を発信してるホストだけを
リストアップしそこからのicmpだけをブロックしてくれたらいいん
だけどな・・・

250 :某地方catv:03/08/24 22:48
ウィルスの大量発生について 03/08/24UP
「ブラスター」の亜種と思われるウイルスに感染されたお客様のパソコンが
大量のデータが流しているため、当社のセンターモデムや、感染していない
お客様のパソコンに影響を与え、ウイルスに感染していなくてもスピードが
極端に遅くなったり、断続的に切断されたりといった現象が発生しています。
 当社では、センター側設備ととケーブルモデムへの緊急対策を実施するとともに、
ウイルスに感染されているかたを調査し駆除して頂いております。
 現在、一時的に、135・139・445・ICMPのポートを制御しておりますのでご了承下さい。

251 :cheshire-cat ◆CATBCJABLA :03/08/24 22:48
>>247
コンパネ→ネットワーク接続→プロパティ→全般タブ→TCP/IP→「TCP/IP詳細設定」のオプション→TCP/IPフィルタリング
Windows2000にも搭載されている機能だけど。
起動時の空白期間は無い(はず)だったけど。
あるポートのみブロック、みたいな小回りが効いた設定はできなかった記憶。

詳しいのは、この辺りかなぁ。
http://www.atmarkit.co.jp/fwin2k/operation/personalsecurity/personalsecurity07.html

252 :名無しさん@お腹いっぱい。:03/08/24 22:50
ITS COMMUNICAITION

PINGも135もすごく多い。

MACAのパーソナルファイアーオール入れてるんだけど、
PINGのアラームが多すぎて見てられんので
PING拒否でアラームなしにした。
でも135アラームがうるさい。

253 :名無しさん@お腹いっぱい。:03/08/24 22:50
自分の使っているルータが135ポートを閉じているかどうかは、どうすれば確認できるのかな


254 :名無しさん@お腹いっぱい。:03/08/24 22:52
>>247
Windowsのファイアーウォールソフトは基本的に
デフォで不要なポートを全部閉じる→プログラムがどこかのポートを通ろう
とする→ポップアップ窓出してユーザーに警告→正常なアプリなら通す。
不審なプログラムならブロックする

という流れです。だからどのポートが何をやってるかをユーザーがいちいち
知ってる必要はない。UDP2049って閉じちゃうとなんかまずかったかなー
とかいってマニュアルを精読したりしないですみまつw

255 :cheshire-cat ◆CATBCJABLA :03/08/24 22:54
>>253
http://grc.com/default.htmの、ShieldUpとか。
と言うか、外からのPort135へのトラフィックが内部のパソへ届くかどうか、ブロードバンドルーターのサーバー公開機能とか簡易DMZとかをチェックするのが良さそうな。

256 :名無しさん@お腹いっぱい。:03/08/24 23:00
ShieldUp はサイトの中身リニューアルしたんだね。
全然知らなかった。あんなブロック崩し風のポートチェックに
なっていたとは。全部ステルスで一安心?

257 :名無しさん@お腹いっぱい。:03/08/24 23:07
>>242 >>251
Windows のTCP/IP フィルタリングは鬼のように使いにくいです。

TCPポートのフィルタリング
 ■すべて許可する
 □一部許可する
     port番号を追加

という悪魔の選択だからね。一部許可にしようとすると許可するポートを
ひたすら列挙することになる。ネットワーク管理者のツール。ユーザーが
使う機能としては想定されてないでしょう。

258 :cheshire-cat ◆CATBCJABLA :03/08/24 23:08
>>256
Messenger Spamとかも付きましたねん。

ステルスならとりあえずいいような。
Closeはブロックできていたとしても、「ここに誰かがいるよん!」ってアナウンスしているようなものだし。
と言うか個人のブロードバンドルーターが135をOpenして、ってのはまず無さそうな予感。

すんませんが。
どのポートをどースキャンするのか、一瞬失念してしまいましたんで。
スマソ。

259 :名無しさん@お腹いっぱい。:03/08/24 23:10
>>258
Spam me!には笑いました。

260 :名無しさん@お腹いっぱい。:03/08/24 23:13
そうだったのか。
てっきりiptablesと同様のものかと思ってた。
もしかして緊急避難として「一部許可する→追加のポート番号なし」
にするとアップデートすらできなくなるの?


261 :名無しさん@お腹いっぱい。:03/08/24 23:13
●川美香っていうホストから
135へアクセスがあった。
なんじゃ、ホストが美香つーのは?

262 :cheshire-cat ◆CATBCJABLA :03/08/24 23:19
>>259
こちらも数日前に更新に気付いて、同じ部分で笑いました。

>>260
さぁ。半年ほど前にいじくったきりだし、使い勝手が悪いんで数日しか扱って無いです。
ちょっと忘れてます、スマソ。
ただ今話題になってる、起動時の空白期間ってのは無い機能のはずでした。

263 :名無しさん@お腹いっぱい。:03/08/24 23:42
Shields Up によれば
『システムの格付は完璧な「TruStealth」です。・・・
システムはすべての点で賢明に静かであり続けました。非常に良い。』
だと。うれぴぃ。

264 :名無しさん@お腹いっぱい。:03/08/24 23:45
Shields Upやってる途中で回線が切れた。
ここ最近Moperaが不安定なのはたぶんPing野郎のせいだ。


265 :名無しさん@お腹いっぱい。:03/08/24 23:54
参考のためにNetBIOS over TCP/IPの切り方を…

ネットワークとダイヤルアップ接続→ローカルエリア接続→プロパティ→
インターネットプロトコルを選択→プロパティ詳細設定→WINSタブ→
「NetBIOS over TCP/IP を無効にする」をチェック

ダンジョンの奥底に潜んでますな。

266 :名無しさん@お腹いっぱい。:03/08/25 00:13
NBT切るのって対策になる?

267 :名無しさん@お腹いっぱい。:03/08/25 00:19
>>260
アップデートも何も、ポートが全部閉じちゃってますから、送信はできても
なんにも受信できませんです。


268 :名無しさん@お腹いっぱい。:03/08/25 00:29
>>267
そうなのか。
じゃ「Webサーバにするから80番だけ開けとこ」とか設定しても、
アップデートするときは全部開けなおさないといけないわけですか。


269 :名無しさん@お腹いっぱい。:03/08/25 00:39
すいません、ちょいとよいでしょうか。
どうやらBlasterに感染されたようなので、ウイルスバスターでスキャンをしてみたんです。
すると案の定WORM_MSBLAST.Dが検出されたのですが、感染ファイルはDLLHOST.EXEというファイルで
駆除ソフトをシマンテックから落として使用しても
「not found」と表示され、駆除できません。

ファイル自体を削除しようとしても、使用しているので削除できませんと出てしまいます。
使用OSがXPなのですが、プロセスから終了しようとしてもmsblaster.exeが無く、終了もできません。

よろしければアドバイスをお願いします。

270 :名無しさん@お腹いっぱい。:03/08/25 00:41
漏れがこのスレのチャンポンだ!
ping攻撃約30回/分
プロバybb。

271 :269:03/08/25 00:45
すいません、テンプレ見て解決しました。

あせって見逃していたようです。
どうもすいませんでした。

回線切ってケーブルで吊ってきます・・・

272 :209:03/08/25 01:38
>>266
W32.Bugbear@mm (発見日: 2002年9月30日)と
今回のBlaster軍団とごっちゃになってました。
NETBIOSは関係ないらしいです。
というか素人なので
RPC インターフェイスのバッファ オーバーランと言われても
チンプンカンプンです。
・・・以上、記念まきこでした。

273 :名無しさん@お腹いっぱい。:03/08/25 02:43
>>257
閉じるポートを指定するんじゃなくて、使うポートを列挙するのか・・・
確かにいちいちやってられんな。

274 :名無しさん@お腹いっぱい。:03/08/25 03:26
>>271
ワラタ 症状の説明が詳しいところなど、釣りではなさそう。なかなか真面目な
香具師と思いまふ。テンプレが役に立ってけっこうですた。

>>272
誰か、漏れなら「バッファオーバーラン」という現象を普通のPCユーザーに説明
する自信あるという勇士はいないですかや?




275 :名無しさん@お腹いっぱい。:03/08/25 04:01
>>254
すげー亀レスだけどUDP2049はUNIXでSolarisのなんかじゃなかったっけw


276 :名無しさん@お腹いっぱい。:03/08/25 04:13
>>274
バッファは入力などの一時保存領域です。
バッファオーバーランは、名前が長すぎて次の欄にはみ出たみたいな状態です。
普通は入力の長さを検査してはみ出ないように処理しますが、その処理に欠陥がある
プログラムもあります。
 オーバーランが起これば、普通はコンピュータの異常終了など予期せぬ動作をしますが、
上手く工夫すれば、書き込んだデータをプログラムとして実行させることが可能な場合が有ります。
それを利用して、外部からウィルスやワームを送り込みます。

つまり、門番を驚かして、慌てて「OPEN」ボタンを押させる、という方法です。

277 :名無しさん@お腹いっぱい。:03/08/25 04:33
真夜中はポート137と445にパケ送られてきたけど、4時回ったらポート135に送られてきた。
ユーザ層が変わったせい?


278 :名無しさん@お腹いっぱい。:03/08/25 09:35
MSが配布してるってういうパッチが見つからないんだけどどこにあるの?

279 :名無しさん@お腹いっぱい。:03/08/25 09:58
バッファオーバーランとは違うかもしれないが、エディタやメモ帳の
「ファイルを開く」でファイル名欄にMSIMEから「あああああ」と打って、
未変換のままファイル窓をキャンセルすると「ああああ」が未変換
状態のままメモ帳の中に落ちてくるね。最新版のMSIMEでは治ってる
のかな?





280 :名無しさん@お腹いっぱい。:03/08/25 09:59
>>35


281 :280:03/08/25 10:01
アンカー忘れた。
>>278>>35見てってことね。

282 :名無しさん@お腹いっぱい。:03/08/25 10:16
>>278
お前の記憶の中。

283 :名無しさん@お腹いっぱい。:03/08/25 11:16
>>276
ワームやウィールスが利用するセキュ穴ってのは大部分が
バッファオーバーランみたいですね。これってプログラミング上
防ぐのがそんなに難しいんでしょうか。余ったデータを捨てる
だけなんて素人考えでは簡単そうなのに。


284 :名無しさん@お腹いっぱい。:03/08/25 11:45
>>283

人間が作るから、簡単ものでもたくさんあるとミスっちゃうんです


285 :名無しさん@お腹いっぱい。:03/08/25 11:47
>>284
レス趣旨を如実に体現していらっさる貴レスを拝読して海よりも深く納得。

286 :氷月鬼 ◆EuropaFcZU :03/08/25 11:57
変数の数は山ほどあるだろうし、それぞれがプログラミング稼動中に
どんな値を取り得るかを「全て」網羅するのは大変だろうから、
オーバーランが起こるのはまあ仕方ないとしても、
起こったときにログイン状態に移行してしまう、もしくは管理者権限を奪われるというのがな・・・
デーモンのプログラムいじったことないから知らないけど、なんでそんなアルゴリズムになってるんだろう。

287 :名無しさん@お腹いっぱい。:03/08/25 11:58

ル ー タ ー 使えば普通にWindowsUpdateでいいじゃん

何を慌てているんだねきみたち。

288 :名無しさん@お腹いっぱい。:03/08/25 11:59
>>285
おちつけ。

289 :名無しさん@お腹いっぱい。:03/08/25 12:03
>>288
あはは。ほんまや。

290 :名無しさん@お腹いっぱい。:03/08/25 12:08
>>284
ワラタ。正解。

VBでWinアプリ書いてるぶんには>>283なんだけど、デバイスドライバみたいの
書き始めたら(ry 神経使うわりに地味だしな。

組み込みプログラムなんかとんでもない穴があるのも。外部から電子レンジ操作
されて家があぼーん、とか。((((((;゚Д゚))))))ガクガクブルブル




291 :名無しさん@お腹いっぱい。:03/08/25 12:12
>>290
> 外部から電子レンジ操作されて家があぼーん、とか。((((((;゚Д゚))))))ガクガクブルブル

それすごいね。映画のネタになりそうだ。

292 :名無しさん@お腹いっぱい。:03/08/25 13:11
>>284
じゃー人間がプログラム作成人工AIを作ってそいつに完璧なプログラミングさせるということは
できないんですか?

293 :名無しさん@お腹いっぱい。:03/08/25 13:16
>>292

人工AIを作って
人工AIを作って
人工AIを作って

釣りか?

294 :名無しさん@お腹いっぱい。:03/08/25 13:17
細かい細部を突っ込むなって。人間誰しもミスを間違えることはある。

295 :名無しさん@お腹いっぱい。:03/08/25 13:19
スカイネットはたしか1999年8月29日だったはず

296 :名無しさん@お腹いっぱい。:03/08/25 13:21
>>295
へーそうなんだあ。日付までとは博覧強記だね。

297 :名無しさん@お腹いっぱい。:03/08/25 13:23
釣りだと思うけど一応マジレス

なら、その人工AIは何で作るのかな?
仮にロボットで作るにしてもそのロボットは何で作るのかな?
この時点で無限ループ完成w


298 :名無しさん@お腹いっぱい。:03/08/25 13:24
はぁ・・・

299 :名無しさん@お腹いっぱい。:03/08/25 13:24

                  ヽ(`Д´)ノ ワーイ!無限ループだウワァァァン!
                  (  )
         ,. -―- 、     ,. -/  >、
      // ̄ ̄\\ // ̄ ̄\\
     //      ヽ.∨/       ヽl
.     l/         ソ /        リ
     !ヽ、       / /、\      ./.l
.    \\__,,//  \\__,/ /
.        ` ー---‐"     ` ー---‐ "

300 :名無しさん@お腹いっぱい。:03/08/25 13:27
>>299
ちゃんとネジレを表現したメビウスAAってのは初めてみた。資料にコピーしておく。


301 :名無しさん@お腹いっぱい。:03/08/25 14:10
>>300
両側でネジれてるので、結局フツーの輪のような気もしますが・・・

302 :名無しさん@お腹いっぱい。:03/08/25 14:13
>>301
すごいオチだ!

303 :名無しさん@お腹いっぱい。:03/08/25 14:25
どれどれ、ここを起点にして、どんどこどんどこ辿ってみれば・・・
ありゃ!? 一周目で同じ所に来ちまったがな!
これは、輪っかにしてから捩った形でんな。

304 :名無しさん@お腹いっぱい。:03/08/25 14:34
デバイスマネージャーで非表示のデバイスの表示にして
Non-Plug and Play DriversのNetbios over Tcpipを無効に
するのは効果あるかな?これをやるとFWのステータスで
445,135が消えるんだけど。FWでポート塞いであるから
こんな事しなくてもいいかと思うけど、万が一FW通過されても
これなら二重に安心かなと思って。ちなみにこれをやっても
インターネットは問題なく出来きてます。


305 :名無しさん@お腹いっぱい。:03/08/25 14:51
今更な質問ですが、フロッピーやらストレージでのファイル(たとえばWARDとか)でも、
ブラスタ君は移動したり感染するんでしょうか?

306 :名無しさん@お腹いっぱい。:03/08/25 15:11
>>305
yes

307 :名無しさん@お腹いっぱい。:03/08/25 15:20
>305
もれはフロッピにブラスタ飼ってるよ。

308 :名無しさん@お腹いっぱい。:03/08/25 15:23
>>307
何種類集めた?
藻れはまだ2種類。
AとDだけ。

FDにはポケモンコレクションと書いてある。

309 :307ぢゃないが:03/08/25 15:30
>>308
AとDがあるけど、DはDLLHOST.EXEだけでSVCHOST.DLLが足りない。
DLLHOST.EXEを起動すると増殖するのか、誰か実験きぼん。


310 :名無しさん@お腹いっぱい。:03/08/25 15:33
ウイルスバスターは入ってますが、それ以上の対策の仕方が分かりません。
そして、この膨大な量のログを読む根性も有りません。
この初心者のくせに根性無しのわたくしにでも分かるように教えて下さい。お願いします。

311 :名無しさん@お腹いっぱい。:03/08/25 15:35
>>304
それでもコマンドプロンプトで netstat -an すると
135と445が出てきませんか?

312 :名無しさん@お腹いっぱい。:03/08/25 15:40
>>310
カエレ!

313 :名無しさん@お腹いっぱい。:03/08/25 15:57
>>312
かわいそういじゃんw

314 :名無しさん@お腹いっぱい。:03/08/25 16:04
>>310
一般的に考えられるウイルス対策を継続しているなら
大きな心配はないはずだが。

 OS
 WindowsならWindows Updateを訪れる頻度
 接続方法
 ルーター(式モデム含)の有無
 ウイルスバスターのバージョン
  アップデートの設定
 ファイアーウォール有無
 ファイアーウォールの名称
 その他気をつけていること・すでに対策したこと

どうっすか?

315 :278:03/08/25 16:33
>>271
どうもありがとうございました。

316 :名無しさん@お腹いっぱい。:03/08/25 16:39
>>313
ありがとう。。。(^^;)

>>314
どうもありがとうございます。
Windows Update・・・自動更新になっているみたいです。
ルーター(式モデム含)の有無・・・わかりません。
ウイルスバスターアップデートの設定・・・たまに通知されるのでそのたびに更新してます。
ファイアーウォール有無・・・有効になっています。
ファイアーウォールの名称・・・わかりません。

その他気をつけていることは、
関係あるかどうか分かりませんが、Spybotも入れています。



317 :名無しさん@お腹いっぱい。:03/08/25 16:52
OSは何ですか?

Windows Update
 一度手動で訪れて確かに更新されているのかどうか確かめましょう。
 重要な更新が残っているようならご一考を。

Internet Explorer 
 を使っていますか。
 使っている場合に、セキュリティを意識して自分で設定を
 調整したことはありますか。

Outlook Express
 を使っていますか。
 使っている場合に、セキュリティを意識して自分で設定を
 調整したことはありますか。

ファイーアウォールはウイルスバスター付属を使っているわけですね。
 設定は「高」になっていますか(中でいいと言う人もいますが)。



318 :名無しさん@お腹いっぱい。:03/08/25 16:55
>>316
一回ログ晒してみたらどうすかね。多分このスレの方達はやさしい方が多いので
ログを解析して結果報告してくれると思います。
自分のIPや相手のIPは****とかにすればいいし。

319 :名無しさん@お腹いっぱい。:03/08/25 16:56
難しい要求だと思うけどなあ。とくに***にするって部分。。。

320 :名無しさん@お腹いっぱい。:03/08/25 17:11
Microsoft Data Access Components (MDAC) 2.8
http://www.microsoft.com/downloads/details.aspx?FamilyID=6c050fe3-c795-4b7d-b037-185d0506396c&DisplayLang=ja
http://download.microsoft.com/download/f/c/3/fc3642af-58c2-422f-8491-0f881f3642f8/MDAC_TYP.EXE

日本語版 キタ━━━━(゚∀゚)━━━━!!

321 :名無しさん@お腹いっぱい。:03/08/25 17:20
知人のPCがブラスターに感染したらしくて、話を聞いているのだが、
windowsフォルダ内のPrefetchというフォルダ内にMSBLAST.EXE-09FF84F2.pf
というファイルが存在しているらしい。

これってやっぱり削除したほうがいいんでつか?
ちょっと漏れではわかりかねるので…
ちなみに、OSはwindowsXPです。

322 :名無しさん@お腹いっぱい。:03/08/25 17:30
>>321
削除しろ!!!!

323 :名無しさん@お腹いっぱい。:03/08/25 17:31
>>321
多分削除していいと思う

324 :名無しさん@お腹いっぱい。:03/08/25 17:31
>>321
削除していいんじゃないかな・・・・・・

325 :名無しさん@お腹いっぱい。:03/08/25 17:31
>>321
まっちょっと覚悟はしておけ!

326 :名無しさん@お腹いっぱい。:03/08/25 17:33
関白宣言を歌うスレはここですか?

327 :氷月鬼 ◆EuropaFcZU :03/08/25 17:34
>>321
調べてみた。
そのフォルダにあるのはアクセスログらしい。
(プログラム実行の高速化が目的らしい)
消しても問題ないと思われる。
逆にそのファイルを放置しても問題ないと思う。

http://www.atmarkit.co.jp/fwin2k/special/winxp_over/winxp_over_19.html

328 :名無しさん@お腹いっぱい。:03/08/25 17:35
セキュリティは自分で育てるも〜ので〜
スレ住人が〜苦労して
つくろうものではないはず


329 :321:03/08/25 18:49
みなさん、どうもありがとうございます。
削除するように伝えておきました。
最悪の事態も想定するように、とも添えて。

返事がおそくなり、申し訳ありませんでした。

330 :名無しさん@お腹いっぱい。:03/08/25 19:50
当方時代遅れの98SEなので今回感染しないらしい。。

331 :名無しさん@お腹いっぱい。:03/08/25 19:54
>>330
まぁイカでも食って乗り越えろよ

332 :名無しさん@お腹いっぱい。:03/08/25 21:19
>>330
パッチや駆除法サイトをダウンロードしとくと誰かの役に立つかもよ

333 :名無しさん@お腹いっぱい。:03/08/25 21:26
>>317
遅レスすみません。

win2000です。
IEのセキュリティレベルは「中」にしています。

Outlook Express のセキュリティの設定については良く分かりません。
ツールからセキュリティのところを見ても調整の仕方が分からないです・・・。

ウイルスバスターのファイーアウォール設定は「高」になっています。


>>318
実は、>>319さんの言うとおりだったりします(^^;)

334 :名無しさん@お腹いっぱい。:03/08/25 21:27
>>327
XPのprefetch機能。これね…
>(XPの)アクセス・ログは各プログラム・ファイルごとに記録され、その
>結果は%windir%\Prefetchディレクトリに格納される。各ファイルには、
>それぞれのプログラムごとのディスクへのアクセス・パターンのデータ
>が記録されており、プログラム起動時には、これらのデータに基づいて
>積極的に先読みすることにより、起動時間を短縮するようになっている。

ディスク先読み用のデータであってウィールス本体とは無関係だと。それなら
放置しても削除してもどっちでもいいわけだ。

335 :名無しさん@お腹いっぱい。:03/08/25 21:28
28に配布されるCDで今ウィルスかかってる人は、治るんでしょうか?亜種にかかって早四日です今だに電源おちちゃいます

336 :310=316=333:03/08/25 21:31
>>317
Windows Update の更新は自動でしかやったこと無くて、
このレスを見て、さっき初めて手動でやってみました。
そしたら、2つだけインストールできないのがありました。

337 :名無しさん@お腹いっぱい。:03/08/25 21:31
>>335
ヽ(`Д´)ノ < 撒くな

338 :名無しさん@お腹いっぱい。:03/08/25 21:52
>>335
今すぐ駆除しろ!ヽ(`Д´)ノ
配布CD入手までそのままでいるつもりかYO!!

339 :名無しさん@お腹いっぱい。:03/08/25 22:00
>>338
そうです、もう連日Ping撃ちっ放しです。

340 :名無しさん@お腹いっぱい。:03/08/25 22:03
338 駆除の仕方がわからないんです。スティンガーあるんですが使い方わからないんです。昨日からネットにさえ繋がりません。。。

341 :名無しさん@お腹いっぱい。:03/08/25 22:07
>>335
ヽ(`Д´)ノ < 撒くな

342 :名無しさん@お腹いっぱい。:03/08/25 22:38
>>333
Outlook Express 一案。version6.0

ツールからオプション
1)読み取りタブ
 ・チェックオフ=プレビューウインドウで表示する
          メッセージを自動的にダウンロードする
 ・チェックオン=メッセージはすべてテキスト形式で読み取る

2)送信タブ
 ・チェックオフ=受信したメッセージと同じ形式で返信する
 ・選択=メールの送信形式→テキスト形式

3)セキュリティタブ
 ウイルス防止項目
 ・選択=制限付きサイトゾーン
 ・チェックオン=ほかのアプリケーションが私の名前でメールを送信しようとしたら…
 ・チェックオン=ウイルスの可能性がある添付ファイルはファイルを保存したり…

表示→レイアウト
 ・チェックオフ=プレビューウインドウで表示する

343 :名無しさん@お腹いっぱい。:03/08/25 22:44
>>340
まあいいや。釣りじゃないとしてだな…

まずケーブル抜く。
 ウィールス本体のプログラムを停止させる。
 ウィールスプログラムをゴミ箱に捨てる
 XPなら付属のFW有効にする。
ケーブルつなぐ
 Win2000なら無料FWをダウンしてインスコ。
 MSのパッチをダウンしてパッチ当てる

やり方は>>7 >>8 >>10にあるからよく夜目。
それでわからないことはここへ聞きにこいや。
 



344 :名無しさん@お腹いっぱい。:03/08/25 22:56
>>340はネットにつながんないのにどうやって書き込んでるんだ?

345 :343:03/08/25 23:05
>>344それで釣りじゃなければと断ってるんだがw 
携帯かネカフェか友達の家か…それで、と。>>343の補足
>>340
 ケーブルつないだら
   FWをダウンする。(Win2000の場合)
 ダウンロード終わったらケーブル抜く
   FWをインスコ。ZoneAlarm なら簡単

 FWを作動させた状態でケーブルつなぐ
   トレンドかシマンテックの駆除ツールをダウン
   駆除が成功したらMSにつなぐ→パッチをダウン
   パッチを当てたら再起動
   念のためもう一度駆除ツールかオンラインスキャン実行
   ウィールスいない→(゚д゚)ウマー



346 :名無しさん@お腹いっぱい。:03/08/25 23:06
343 プログラム停止ができないんです。タスクマネージャみても亜種がどれなのかわかりません。 344 携帯からです・・・

347 :名無しさん@お腹いっぱい。:03/08/25 23:28
■ port135 を送信する設定

ttp://homepage2.nifty.com/winfaq/c/ntperf.html#1173 から引用
-----
Windows98/Me の共有を表示するのに長い時間がかかります

Windows 2000/XP から Windos98/Me の共有フォルダを表示させようとすると、長い時間がかかることが
あります。
これは、Windows98/Me の「タスク」の内容を取得するのに時間がかかっているためなので、Windows98/Me
のタスクの内容を知る必要がない場合は、次の手順でネームスペースからタスクを削除してください。
(Q245800)

 1.[スタート]−[ファイル名を指定して実行] から regedit を起動します。
 2.HKEY_LOCAL_MACHINE \Software \Microsoft \Windows \CurrentVersion \Explorer
  \RemoteComputer \NameSpace を展開します。
 3.{D6277990-4C6A-11CF-8D87-00AA0060F5BF} サブキー (フォルダのアイコン) を削除します。
  (必要な場合は、あらかじめこのキーを書き出しておいてください。)
-----

いまローカルなローカルネットで作業していたら、winXP で port:135 へ送信するマシンがあったので、
しばらく確認をしていた。
そのサブキーを削除しないで、リモートマシンの共有資源にアクセスしようとすると、port:135 へ
信号が送信される。
無用な誤解をさけるために、そのサブキーは削除した方がいいだろう。

348 :名無しさん@お腹いっぱい。:03/08/25 23:30
>>346
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
の「亜種によりネットワークが遅くなる」に亜種の停止の仕方があります。
以下引用
1:[スタート] メニューから [ファイル名を指定して実行] をクリックします
2:net stop rpcpatch と入力し、[OK] ボタンをクリックします
3:再び、[スタート] メニューから [ファイル名を指定して実行] をクリックします
4:net stop rpctftpd と入力し、[OK] ボタンをクリックします

こうして亜種停止してネット復旧後、
「Blaster ワームへの対策 - Windows XP 編」
「Blaster ワームへの対策 - Windows 2000/Windows NT 4.0 編」
通りに感染防止の対策を行った後、ブラスターワームや亜種対応の駆除ツールで駆除する。
ネット復旧しても無防備なままだとすぐ再感染するので、対策ページを読み込んだらすぐ接続を切る。
XPは駆除する時、システムの復元機能を切らないと駆除できない。

349 :名無しさん@お腹いっぱい。:03/08/26 00:08
会社の2000サバのIISが動かなくなった。
ブラスタDを手動で駆除した時、DLLHOST.EXEの本物まで
削除していた。アホでした。

350 :名無しさん@お腹いっぱい。:03/08/26 00:09
348さんのやり方で亜種をとめたんですがネットに繋がらなくてそうこうしてるうちに電源おとされました。ネトゲとかは、できるんですがMSNEXPOLOERERにつなげません。これは亜種と関係あるんでしょうか?

351 :名無しさん@お腹いっぱい。:03/08/26 00:10
>>346
お前のOSはなんじゃ? XP か Win2000か?
Win2000だったらセーフモードで起動してタスクマネージャって
テンプレに書いてあるだろ。それでダメなん?

<テンプレ再掲>
A ニセモノは\system32\winsというデイレクトリに巣食っています。
  ニセモノはなぜか大文字でSVCHOST.EXE DLLHOST.EXEとなって
  いるとの報告あり。(すべての場合にそうかどうか未確認)
  ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。
Q タスクマネージャーでニセモノのSVCHOST.EXEが停止ができません。
A セーフモードで起動してからタスクマネージャーで停止する。
Q セーフモードって?
A まず再起動をかけます。OSの起動中にF8キーを何度か叩く。


352 :名無しさん@お腹いっぱい。:03/08/26 00:13
やれやれ。このぶんじゃまだまだ感染してる香具師多そうだな
どうりでpingがまだイパーイ来るわけだ

353 :名無しさん@お腹いっぱい。:03/08/26 00:23
351 XPです。すいません かきわすれてました

354 :310=316=333:03/08/26 00:27
>>342
ものすごい分かりやすかったです。さっそくその通りに設定しました
ほんとありがとうございました。
何かあげたいくらい感謝してます(^^)

355 :名無しさん@お腹いっぱい。:03/08/26 00:32
ほかのウイルスのときでも同じだけど、
OS聞かれて口ごもる人が結構いるよね。
パソコンの利用層もどんどん広がっているねえ。


356 :名無しさん@お腹いっぱい。:03/08/26 00:33
国内はすこーしだけ減ったみたい < ping
代わりに米国からのpingが増えた (^_^;)

357 :351:03/08/26 00:35
>>353
まずお前、次からは名前欄に自分の前回レス番号(この場合は353)を入れろ。
でなきゃ<感染者>とかコテハン名乗れw 誰が誰だかわかりにくいぞ。

BLAST.Dのプロセスは停止したっていうが、ホントか? プログラム本体
\winnt\system32\winsディレクトリのSVCHOST.EXE DLLHOST.EXE
はちゃんと削除したんだろうな? トレンド、シマンテックから駆除ツールは
ダウンできたのか? できたなら、そのツールを実行する。

それからXPのファイアウォールを有効にする。(やり方は)ファイアウォール
入れないで再起動すると再感染するぞ。>>8夜目。いちおう再掲
コントロールパネル→ネットワークとインターネット接続→普段使っている
   接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
   「コンピュータとネットワークを保護する」にチェックを入れる

うまくいかなくても、寝る前にはケーブル抜いておくんだぞ。最低限ウィールス
撒き散らしだけはやめちくれよな。



 




358 :名無しさん@お腹いっぱい。:03/08/26 00:45
>>357

こいつ(>>353)はさ、セキュ板で色々嗅ぎ回ってるみた(ry
http://pc.2ch.net/test/read.cgi/sec/1061709969/73-77
http://pc.2ch.net/test/read.cgi/sec/1061521014/221-228
http://pc.2ch.net/test/read.cgi/sec/1041333463/572-578

359 :348:03/08/26 00:46
>>357
348のやり方だけだとまだそこまで行っていないんですよきっと。
亜種を止めてまたネットにつないだものの、即再感染した恐れもある。
再感染したとしたら亜種かそれともブラスターかどっちだろうか。

360 :名無しさん@お腹いっぱい。:03/08/26 00:47
万景峰号乗組員か?

361 :名無しさん@お腹いっぱい。:03/08/26 01:09
>>360
ワロタ

362 :353:03/08/26 01:13
もうだめですわ・・おれにはできないみたいです。レスくれた方ありがとうでした。

363 :名無しさん@お腹いっぱい。:03/08/26 01:16
>>362

ネットから切り離して初期化汁。

364 :名無しさん@お腹いっぱい。:03/08/26 01:16
>>358
嗅ぎまわってるは言葉が過ぎるんじゃない?

365 :名無しさん@お腹いっぱい。:03/08/26 01:18
>>364
過ぎたな。

366 :357:03/08/26 01:25
やれやれw >>353のプロバはまだアタックが激しくてケーブル
つなぐと即ブラスタDがコンニチハって出戻ってくる状態か?
それだとなかなか初心者の手には負えん罠。しかしとにかく
ケーブルだけは(ry









367 :348:03/08/26 01:44
348を踏まえつつ、亜種の活動停止からブラスター&亜種対策と駆除までXP編
XPの人は感染の症状がなくても対策と駆除を一通り行う必要があります。
(マイクロソフトのページ↓が見られない人用)
http://www.microsoft.com/japan/technet/security/virus/blaster.asp

1:ネットワークケーブルを抜く
電源投入前に、コンピュータのネットワークケーブルを抜く。これにより、インターネットなどのネットワークから攻撃を受けないようにする。
ダイアルアップ接続の場合には、電話回線の接続を切断する。

○LAN ケーブルを抜く。コンピュータの裏面には左図のような(四角3つが線に繋がってるようなマーク) (メーカーにより若干異なる) LAN ケーブルのポートを示すマークがある。
(ダイヤルアップの場合には電話回線を切断する。)(ハサミで切ったらあかんよ)

○LAN ケーブルを抜く際は、ツメ (左図赤枠内の部分) をつまんだ状態で抜く

2. インターネット接続ファイアウォールを有効にする
Windows XP のこの機能を使うことにより、ワームによる攻撃を防ぐことができる。

○[スタート] メニューから [コントロールパネル] を開き、[ネットワークとインターネット接続] を選択。この項目がなければ次の手順へ。
○続いて [ネットワーク接続] をクリックまたはダブルクリック。
○使用しているネットワーク接続設定を選択して、[ネットワークタスク] の [この接続の設定を変更する] をクリックする。
注意: 接続方法によって選択するものが異なるので注意。 インターネットを接続するために使用しているネットワーク接続を選択する。
例1:[LAN または高速インターネット] 内の「ローカルエリア接続」を選択
例2:モデムを使ってインターネットに接続している場合のネットワーク接続は [ダイヤルアップ] 内に表示される。

○[詳細設定] タブをクリックして、[インターネットからのこのコンピュータへのアクセスを制限したり防いだりして、コンピュータとネットワークを保護する] という項目のチェックをオンにする。

368 :348:03/08/26 01:44
3-1:亜種の停止
 ○[スタート] メニューから [ファイル名を指定して実行] をクリックします
 ○net stop rpcpatch と入力し、[OK] ボタンをクリックします
 ○再び、[スタート] メニューから [ファイル名を指定して実行] をクリックします
 ○net stop rpctftpd と入力し、[OK] ボタンをクリックします

3-2:あるいはブラスターワームの停止
 ○Ctrl + Shift キーを押しながら Esc キーを押し、タスクマネージャを実行する。
 ○次に [プロセス] タブを表示する。
 ○イメージ名の欄に、"msblast.exe" プログラムがあれば、そのファイル名をマウスでクリックし、[プロセスの終了] ボタンをクリックする。
(注意 :Blaster ワームが動作していない場合には "msblast.exe" は動作していない。
タスクマネージャ右上の [×] ボタンをクリックしタスクマネージャを終了し、 4. ネットワークケーブルをコンピュータに接続する へ進む。亜種についてはウイルス対策ソフトベンダーにも情報がある。)
  ○タスクマネージャーの警告が表示される。 [はい] をクリックする。
 ○msblast.exe プログラムが消えたことを確認し、[×] ボタンをクリックしタスクマネージャーを終了する。

369 :348:03/08/26 01:45
4:ネットワークケーブルをコンピュータに接続する
(ここまでで再感染予防ができているのでネット接続して)
http://www.microsoft.com/japan/technet/security/virus/blaster.asp
4.ネットワークケーブルをコンピュータに接続します
5-1. MS03-026 を適用します
5-2. MS03-007 を適用します
6.ワームを駆除します
の通り行う。6.はブラスターワームと亜種にも対応しているものを使う。
それ以降の項目も今後のために良く読んで対応する。

370 :348:03/08/26 01:48
携帯だと読むの大変かもしれないけど、ここまで来ればネット接続できるはず……。
ネットゲームできるのにIE使えないのはなんだか良く分からないけれど。
でもゲームしてるうちには再感染するよね。

371 :名無しさん@お腹いっぱい。:03/08/26 04:34
結局この RPC をバッファオーバーフローさせるパケットってのは
どんなパケットなんですかね?

372 :名無しさん@お腹いっぱい。:03/08/26 10:19
MSBlast、Nachiに続く第3のワームが登場
新たに登場したワーム「Gaobot」は、MSBlast同様にMS03-026のセキュリティ
ホールを悪用するほか、IRCなどを通じて感染を広めようとする。

http://www.zdnet.co.jp/enterprise/0308/26/epn02.html

373 :名無しさん@お腹いっぱい。:03/08/26 11:19
みなさん、Gaobot 注意報でし…

【名称】 W32/Gaobot.worm.y [McAfee], WORM_AGOBOT.P [Trend]
【概要】 GaobotはTCP 135番ポートを通じてMS03-026の脆弱性を、またTCP 445番
ポートを通じてMS03-001の脆弱性を悪用しようとする。また、バックドアプログラムの
ダウンロード待ち受け用にTCP 22226番ポートも利用する。
【ファイル名】 (注 Svchosl.exe でsvchost.exeではない)
%System%\Svchosl.exe
%System%\Winhl32.exe
【レジストリ修復】Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリ
の値を削除してください。
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
 値 : Config Loader = "svchosl.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
 値 : Config Loader = "svchosl.exe"
コンピュータを再起動した後、最新のウイルス対策プログラムを利用してウイルス検索を行い
「WORM_AGOBOT.P」で検出したファイルをすべて「削除」してください。

374 :氷月鬼 ◆EuropaFcZU :03/08/26 11:24
複合型だな。
MSBLAST+Nimdaって感じかな。

375 :名無しさん@お腹いっぱい。:03/08/26 11:32
【Goabot リンク】
シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/w32.hllw.gaobot.aa.html
トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.P
MSのMS03-001 脆弱性に関する情報
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms03-001ov.asp

376 :名無しさん@お腹いっぱい。:03/08/26 11:45
自分で駆除できないやつはおとなしく販売店かPCショップにもってって
駆除or再インスコしてもらえ・・

その方が断然早いと思うよ(w<金はかかるだろうが・・

377 :名無しさん@お腹いっぱい。:03/08/26 12:19
>>376
早くはならんぞ。そこが問題なの。量販店やショップでも駆除ができる店員の
数はかぎられてるからな。通常のキャパの何倍も持ち込まれたら速攻でパンク。
放ったらかしときゃきゃガンガン催促くるだろうし。うんと料金高く設定すれば
持ち込みの数は減るが、便乗商法とか悪口言われるだろうし…

と、知り合いの量販店の店長が嘆いていたわ。




378 :名無しさん@お腹いっぱい。:03/08/26 12:25
>>377
パソヲタの学生アルバイトたくさん雇えばいいんじゃん?

379 :名無しさん@お腹いっぱい。:03/08/26 12:25
XP homeでodbc32.dllをアップデートできます?

XP homeでやってみたんだけど、winlogon.exeがodbc32.dllを
使っていて、winlogon.exeがシステムの重要なプログラムなの
で殺せない。そのため、odbc32.dllのアップデート不可。
セーフティモードでやってみても同じでした。

380 :名無しさん@お腹いっぱい。:03/08/26 12:26
>>378
すでにオウムが新しい会社立ち上げてる悪寒…


381 :名無しさん@お腹いっぱい。:03/08/26 13:04
>>379
MDAC2.8を入れたらどうかな?

382 :名無しさん@お腹いっぱい。:03/08/26 13:08
http://support.microsoft.com/default.aspx?scid=kb;ja;826234
http://support.microsoft.com/default.aspx?scid=kb;ja;826977

383 :名無しさん@お腹いっぱい。:03/08/26 13:10
新種ワームキタ━━━ヽ(∀゚ )人(゚∀゚)人(゚∀゚)人(゚∀゚)人(゚∀゚)人( ゚∀)ノ━━!!! 

ttp://www.zdnet.co.jp/enterprise/0308/26/epn02.html


384 :名無しさん@お腹いっぱい。:03/08/26 14:07
>>383
>>372

385 :名無しさん@お腹いっぱい。:03/08/26 14:10
>>383
Gaobot/Agobotのことだろ。>>373 >>375 に動作の概要と情報リンク先が出てる

386 :名無しさん@お腹いっぱい。:03/08/26 14:22
【MS技術情報】
Blaster ワームおよび Blaster ワームの亜種に感染した場合の対策について
http://support.microsoft.com/default.aspx?scid=kb;ja;826977
Nachi ワームに関するウイルスの警告
http://support.microsoft.com/default.aspx?scid=kb;ja;826234


(リンク貼る香具師にお願い)
せっかく貼るんなら↑のようにタイトルをつけませう。
リンク踏んでみないと何のハナシなのかわからんと不便

387 :名無しさん@お腹いっぱい。:03/08/26 14:23
NachiってのはMS Blast Dの事か?

388 :名無しさん@お腹いっぱい。:03/08/26 14:25
新種登場、Kochi ワームに関するウイルスの警告
http://www.on.cs.keio.ac.jp/~yasu/jp_fonts.html

389 :名無しさん@お腹いっぱい。:03/08/26 14:26
>>388
あは〜ん

390 :名無しさん@お腹いっぱい。:03/08/26 15:40
>>387
>>7 見れ

391 :名無しさん@お腹いっぱい。:03/08/26 15:48
>>250 :某地方catv :03/08/24 22:48
それ、うちのケーブル会社でつ・・・・_| ̄|○
数分おきに切断され、繋がってるときでも0.05%も速度が出ないという有様
DL速度が1Kbytes/秒にもいかないyp
この状況になって既に112時間(約4.5日)、
FWへの不正アクセスは今なお続き、モデムの受信ランプは常時点滅してます
他のプロバはどうなんでつかね・・・・うちだけ?
愚痴レスな上、板違いにつき、回線切ってケーブルで首吊ってきます・・・・_| ̄|○

392 :名無しさん@お腹いっぱい。:03/08/26 16:01
>>391
当方YBB 現在pingは2分に1回ていど。平穏でつ。しかしYBBでも
まだpingの多い地区もあるらしい。ひとつのゲートウェイが収容している
ユーザーの数の違いのせいでしょうか?




393 :名無しさん@お腹いっぱい。:03/08/26 16:12
新しいののせいで、今日は455ばかり叩かれてるのか・・・。

394 :393:03/08/26 16:13
>393
入力間違えた・・・。
○445
×455
スマソ。

ついでに。1102も今日は増えてます。135はたまーに来る程度になった。

395 :名無しさん@お腹いっぱい。:03/08/26 17:27
>390
同じところだ・゚・(ノД`)・゚・
ソニー銀行で為替を若干しているので繋がらないと本当に困る。
これが株だったら損害賠償起こさないといけないくらい。


396 :名無しさん@お腹いっぱい。:03/08/26 17:28
相変わらず飛んでくるパケットの99%がPingだ。

397 :名無しさん@お腹いっぱい。:03/08/26 19:26
ブラストのワームで最悪の場合リカバリてありえます?実家の親父がかかったらしくてメーカーに言ったらそういわれたらしくて。実家帰りたいけど仕事でい(ry

398 :名無しさん@お腹いっぱい。:03/08/26 19:30
>>397
駆除、これでOK

.かなりの量のPCを駆除したが一台もリカバリは無し。

399 :名無しさん@お腹いっぱい。:03/08/26 19:34
》398 なんか電源いれると三分くらいで電源おちるらしいですがそれでもいけます?

400 :名無しさん@お腹いっぱい。:03/08/26 19:36
>>399
いける。

反対に聞く、その質問はスレを良く読んだ上での質問だろうな?

401 :名無しさん@お腹いっぱい。:03/08/26 19:40
》400 もちろんほぼ読破しました。ただ電源おちる症状の方がいなかったので聞きました。

402 :名無しさん@お腹いっぱい。:03/08/26 19:46
>> と 》


403 :名無しさん@お腹いっぱい。:03/08/26 19:48
>401
ハァ?

404 :名無しさん@お腹いっぱい。:03/08/26 19:54
>>401 >>335

ttp://www.google.co.jp/search?q=%E6%96%87%E4%BD%93%E3%81%A8%E6%80%A7%E6%A0%BC&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=

405 :名無しさん@お腹いっぱい。:03/08/26 20:19
19時ごろから、ttp://www.msn.co.jp/home.armx に繋がりにくいんだが。
感染したかな??
そのうち、カウントダウンが始まるか・・・

406 :名無しさん@お腹いっぱい。:03/08/26 20:21
>>405
今も重いね。
時間おいてやってみては?

407 :名無しさん@お腹いっぱい。:03/08/26 20:26
>>406
仲間がいた!・・・
ありがとう  \(^▽^@)

408 :名無しさん@お腹いっぱい。:03/08/26 23:16
トレンドマイクロ システム クリーナ
ttp://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

上の方にある問題から
>以下の手順に従いツールを実行することで、下記記載ウイルスを動作しないように設定
>することが可能です。これにより、ウイルス対策製品で下記記載ウイルスを駆除、削除
>することが可能になります。

下の方にある参考1:
> 以上でトレンドマイクロ システム クリーナで対応済みのシステム修復は完了します。
>その後コンピュータを再起動し、ウイルス検索を実行してください。ウイルス検索を行
>わない限りウイルス本体の駆除、削除は行われません。ご注意ください。

この2つを見る限りトレンドマイクロシステムクリーナーではBlasterの駆除まではおこわなれないの?

409 :名無しさん@お腹いっぱい。:03/08/26 23:17
>>401
読破したのかよ
(三村がつっこんでるとこのAAきぼん)

410 :名無しさん@お腹いっぱい。:03/08/26 23:21
ルータのログを見たけど、UDP135というのは
一切見られなかったね。
元々そのポートは閉じられているけどさ。
最も多いのがUDP137とUDP139。
あとは、TCP80。

        
 ∋oノハヽ
   川o・-・)     
 _(__つ/ ̄ ̄ ̄/_
   \/___/
カタカタ


411 :名無しさん@お腹いっぱい。:03/08/26 23:26
>>408
そのとおり。ブラスタなどのウィールスはユーザーが簡単に作動を停止できない
ようにいろいろ細工してきます。また再起動しても自動的に立ち上がるようにレジストリ
の値を改変したりしてます。

システムクリーナーはウィールスからシステムのコントロールを奪い返すための
ツールです。ウィールスの動作を停止させ、レジストリを修復してから駆除プログラムで
ウィルス本体のプログラムを検索して破棄(ゴミ箱直行)あるいは駆除(ウィールスが
寄生したファイルを正常なものに復元する)を実行します。

ツールを利用するときにはメーカーの指示を熟読し、正確に実行しませう。



412 :名無しさん@お腹いっぱい。:03/08/26 23:33
>>408
auto_tsc.com で削除出来たよ。
system32フォルダにmsblastを置いた実験機で確認済。

WORM_MSBLAST.A[virus found]
-->delete file("C:\WINDOWS\System32\msblast.exe","","") success

413 :408:03/08/26 23:43
>>411 >>412
ども。
といいたいがどっちやねん。教えてえろいひと。

414 :412:03/08/26 23:51
>>413
俺は実際に実験した。
感染させた後ネットから切断。
その後、ツールを使って削除。

トレンドマイクロのauto_tsc.com
シマンテックのFixBlast.exe
アソシエイツのstinger.exe

3つ共に奇麗に消してくれた。

その後チェックしても出てこなかった。

もちろんPrefetchフォルダのxxxx.pf(TFTP、MsBlast)は最後に手動で消した。
(これはどうでも良い事だが)

415 :412:03/08/26 23:54
但し、3つ共にセーフモードで起動して削除してる。

さっきメインPCのノートンを無効にして、
system32フォルダにMsBlast.exe置いて上記ツール使ったが、
これも消してくれた。
(これは通常起動した状態でツールを動かした)

俺の実験機が変なのかな?

416 :408:03/08/26 23:54
>>412
ありがと。
ついでに質問。なんでトレンドマイクロのは他のに比べて処理速いの?

417 :412:03/08/26 23:57
>>416
単純にパターンマッチングだけやってるからだと思う。

例えばデスクトップに置いたMsBlast.exeは、auto_tsc.comじゃ見つけてくれない。
同じデスクトップに置いてあるのに。

もしsystem32フォルダ以外にあったら・・(((( ;゚Д゚)))ガクガクブルブル


418 :408:03/08/27 00:04
>>417
つーことはA〜Cはsystem32の直下を。
Dはsystem32のwinsを見るだけってことか。
他のウィルスもその指定された場所のみと。
全フォルダスキャンするその他のツールの方が無難っぽいですね。

419 :名無しさん@お腹いっぱい。:03/08/27 00:10
某個人BBSをのぞいていたら、アンチウィルス・ソフトだけで、Blastに対処できると考えてるのがいた。
パターン・ファイルは随時更新してるから大丈夫だと見栄きってたけど、「最近急にPCが不安定になって・・」と嘆いていた。
「通りすがり」として、ここのURL貼ってきたけど、対処できないだろなあ?
世の中、こんな香具師がたくさんいる羊羹



420 :412:03/08/27 00:11
>>418
そう。
絶対に残したくない場合と安心感を得たい時はね。

もし残ってても auto_tsc.com は、レジストリも見てくれるので再起同時のワーム起動は防げるかもね。

トレンドマイクロの名誉の為に書くけど、
今の所 auto_tsc.com で駆除出来なかった物は無かったよ。
(駆除後他のツールを走らせてもワームは出て来なかったので)

#でも私が使っているのはNIS(w

421 :名無しさん@お腹いっぱい。:03/08/27 00:13
>>419
個人のセキュリティ意識を高める為には失敗は必要だと思います。
失敗しない人間は成長が無い様に思えます。

422 :408:03/08/27 00:16
>>420
どもありがとう。いろいろ謎が解けました。

でもそれだとなんで>>408見たいな書き方だったのかという謎は残ったのか。。。

423 :名無しさん@お腹いっぱい。:03/08/27 00:21
>>422
多分だけど、
さっき書いたようにパターン外の場所にファイルが有った場合、
ファイル自体の削除は出来ないけどレジストリは修正かけるので・・
で、動かなくなった本体は再度きちんと検索して削除してくれって事じゃないのかな?

まあ、逃げ口上とでも言うべきか。
タダなんだからしょうがないかもね。
自己責任って事で。

424 :名無しさん@お腹いっぱい。:03/08/27 00:41
同時に12個pingが来ました。あーびっくりした

425 :名無しさん@お腹すいた。:03/08/27 00:44
Stingerが一番楽チンだ。
電話越しとかの対応で、「赤い文字が出てきたら読み上げてください」でOK。

426 :名無しさん@お腹いっぱい。:03/08/27 00:48
電話越しでサポートしてるとき検索中の待ち時間どうつぶしてる?

427 :名無しさん@お腹いっぱい。:03/08/27 01:08
>>426
検索終了したらまた電話してもらうようにしてる。
それまで雑誌読んでる。
だってタダのサポートの時はこのくらいしても良いかと。

自分で駆除する時は画面をじっと見て監視してるようなふりしてる。
でもその時考えてるのは、昼飯とか晩飯とか子供の事とか。
あ、嫁さんの事もタマに。
睡魔と勝負ってな感じ。

428 :名無しさん@お腹いっぱい。:03/08/27 01:27
ドコモのmoperaサービス使っている奴さっさと対策しろ
ipgw.phs.yoyogi.mopera.ne.jp
↑ここの奴らとドコモは氏ね、本当にウザイ

429 :名無しさん@お腹いっぱい。:03/08/27 01:28
>>423

俺の推測・・・

1. 通常のウイルス対策ソフトでスキャンかけて見つけた場合、ファイル感染型なら
 パターンが対応していればその場で駆除or削除できるが、既に感染し活動中で
 あった場合起動中のexeファイルなので削除したりすることはできない

2. TSCを使うことで感染し活動中のプロセスを停止させ、レジストリのRunの所などを
  削除し修復する。その後再起動しても自動でまたウイルスが起動され活動を始める
  ことはないので再度スキャンをかけて完全に駆除する

ってことだよね。423氏が言ってることを繰り返しただけかもしれんが(w

理想としてはだ、NIS(NAV)やバスターのスキャンで上記の2の処理まで自動的にやって
くれれば楽チンでいいと思うんだが、現状そうはなってないんかな?だから別途こういう
ツールが配布されてるのかな?

430 :j:03/08/27 01:33
http://bbs.1oku.com/bbs/bbs.phtml?id=endou1

431 :名無しさん@お腹いっぱい。:03/08/27 01:43
>>429
1の所なんだけど、動かしてなくて置いてるだけでも駆除してくれないんです。
すごく単純なマッチングだけやってるって感じです。

オンラインスキャンで駆除修正まで自動でしてくれたら神!ですね。

432 :名無しさん@お腹いっぱい。:03/08/27 01:48
>>275
そのリンク先はCrescent Moon Cafeというインターネットヲタの自宅
サーバで、用語集やら資料やらを公開してる。問題のテキストは
インターネットの仕様書(RFC) 特に怪しいふしはなさそうな

どういうアラートかわからんな。ファイヤウォールは何? ポートは?
方向は?




433 :名無しさん@お腹いっぱい。:03/08/27 01:49
>>431
あ、ごめんなさい。1のところは駆除ツールではなく、普通の検出ソフトだけ使ってる場合を
意味してました。わかりにくくてごめんなさいです。。。


単純なパターンマッチングだと、ちょっとでもレジの値が違う亜種が出てきた場合は対応
できなくなったりする可能性があるけど、まあそれは通常の定義ファイルと同じで随時更新
されてるんでしょうね。>TSC
適切な場所にいない場合は検出されない=感染して適切な場所にいるときだけ検出されるって
ことは、まあ不安なような気もするけど役割分担としてはいいんじゃないかと思います。
速いし軽いし。


オンラインスキャンでそこまでやってくれると確かに便利ですが、それだと市販製品いらないような・・・(w

434 :432:03/08/27 01:49
>>432
シマタ。スレ違いにカキコした。無視してくだされ。

435 :名無しさん@お腹いっぱい。:03/08/27 01:54
>>433
通常のウイルス対策ソフトでスキャンかけてって書いてありますね。
私が間違えてます。
スマソです。

今の所他のと比べたら爆速ですし、ちょこちょこ更新されてますので良いと思います。

>オンラインスキャンでそこまでやってくれると
確かに。
そして何時でも駆除出来るからと言った考えが生れ自体は悪化とか(w


436 :391:03/08/27 02:49
愚痴レスに有り難くもレスがついたのでレスしまつ
>392
くぅ、羨ますぅぃ(つД`)
うちは多いときで20回/分以上あります(396タンと同じく全パケットの99%以上)
おそらく、ゲートウェイ数8、加入数20000弱なので、地域差考慮しなくて、平均2500くらいかと
>395
くぅ、同志よ(つД`)
でも、損害賠償責任は約款34条で免責されてるみたいです_| ̄|○

あと、昨日電話したら、今の状態が続いても利用料はしっかり取られるらしぃ_| ̄|○
約款23条をどう解釈すれば利用料支払義務が発生するのかと小一時間問いつめたいところでしたが、
「担当者が別の電話にかかっている」そうでしたので、今日また電話してみまつ
既に5日間この状態が続いているので、単純計算ですが、
1月3000円>1日100円×5日間×20000ユーザー=1000万円
会社としては結構な損失なので支払ってほしいでしょうな・・・・
でも、損失というストッパーがないと、この状態がまだまだ続きそうな悪寒がしてならない_| ̄|○

250タンが会社名晒してなかったのでそれに準じましたが、今後の対応次第では晒してもいいかな
プロバイダ板の該当スレは過疎スレなので、スレ再利用のため、続きはそちらでやりまつ
ブラスター関係というだけで板違いにも関わらず長々と書いてしまい申し訳ない_| ̄|○
不正アクセスも止まないので、今度こそ回線切って首吊ってきまつ


437 :名無しさん@お腹いっぱい。:03/08/27 02:57
>>436
逝`

438 :名無しさん@お腹いっぱい。:03/08/27 09:33
135が急激にまた増えてるんだけど
昨日でてた亜種に感染したのか?

439 :名無しさん@お腹いっぱい。:03/08/27 09:42
モペラは酷いよね。
勢いが衰えない。

440 :名無しさん@お腹いっぱい。:03/08/27 10:45
>>428
64Kつなぎ放題してる@FREEDだな


               ま た ド キ ュ モ か ・ ・ ・ ・ ・ 





441 :名無しさん@お腹いっぱい。:03/08/27 11:42
米国務省のコンピューター網に20日、ウイルスが侵入し、旅券部門の
システムなどで一時、システムの作動が遅くなるなどの被害が出た。
http://www.asahi.com/international/update/0826/006.html

…ですとさ。25日にもなってやっと記者会見して認めたということは駆除
にてこずったんだろう。「DQN職員が感染したノートパソを持ち込んだ」
に7セント。


442 :名無しさん@お腹いっぱい。:03/08/27 12:01
24日辺りからモペラからのICMP急増してます、何かあったのか?
対策してないだけなのか? DDDQQQNNNが多い岳か 

443 :名無しさん@お腹いっぱい。:03/08/27 12:21
漏れのWEBサーバーのlogに
HTTP_USER_AGENT [Mozilla/4.0 (compatible; MSIE 5.5; Windows 98)]
REMOTE_HOSTがIPアドレスと同じ
のアクセスが大量にあるんですが
こいつらの仕業でつか?
ガイシュツだったらすみません。


444 :名無しさん@お腹いっぱい。:03/08/27 13:25
世界中からnachi wormのパケットが。。。ゝ( ゚∀゚)メ(゚∀゚ )ノ アヒャヒャヒャ

445 :名無しさん@お腹いっぱい。:03/08/27 13:37
Name: 24.236.238.206.bay.mi.chartermi.net
Name: 6535245hfc31.tampabay.rr.com
Name: 66-215-192-180.rc-eres.charterpipeline.net
Name: aa2003031058006.userreverse.dion.ne.jp
Name: adsl-63-206-117-90.dsl.snfc21.pacbell.net
Name: adsl-64-175-114-75.dsl.lsan03.pacbell.net
Name: adsl-67-124-134-124.dsl.sktn01.pacbell.net
Name: adsl-68-74-113-33.dsl.emhril.ameritech.net
Name: adsl-68-74-151-13.dsl.emhril.ameritech.net
Name: adsl-68-74-223-189.dsl.dytnoh.ameritech.net
Name: adsl-68-76-51-84.dsl.lgtpmi.ameritech.net
Name: bgm-24-169-166-107.stny.rr.com
Name: cvg-65-27-182-60.cinci.rr.com
Name: dhcp024-208-186-228.columbus.rr.com
Name: dhcp3944.dhcp.unc.edu
Name: firewall.rodenstock.th.com
Name: h-68-164-251-74.mclnva23.covad.net
Name: h-68-164-251-74.MCLNVA23.covad.net
Name: h00e0183b8a61.swt.edu


446 :名無しさん@お腹いっぱい。:03/08/27 13:37
Name: host-38-254.directdsl.iac.net
Name: host81-152-53-33.range81-152.btcentralplus.com
Name: hse-montreal-ppp102473.qc.sympatico.ca
Name: hse-montreal-ppp135481.qc.sympatico.ca
Name: httpproxy.clear.net.nz
Name: i036208.ppp.dion.ne.jp
Name: i037144.ppp.dion.ne.jp
Name: I046030.ppp.dion.ne.jp
Name: I050037.ppp.dion.ne.jp
Name: i050037.ppp.dion.ne.jp
Name: ip67-93-255-203.z255-93-67.customer.algx.net
Name: kibca-1515p55.ppp.odn.ad.jp
Name: mdom6302-1.postech.ac.kr
Name: MDOM6302-1.postech.ac.kr
Name: netcache2-acld.auckland.clix.net.nz
Name: ns.stacklab.co.jp
Name: pcp04498379pcs.jersyc01.nj.comcast.net
Name: public4-lock1-4-cust15.cosh.broadband.ntl.com
Name: user68.209.42.38.dsli.com
Name: w250144.ppp.dion.ne.jp
Name: z236.219-103-230.ppp.wakwak.ne.jp


447 :あぼーん:あぼーん
あぼーん

448 :名無しさん@お腹いっぱい。:03/08/27 13:50
電話番号書くと自動的に通報するスクリプトがあったんじゃ

449 :名無しさん@お腹いっぱい。:03/08/27 13:58
http://fk.ws26.arena.ne.jp/cgi-bin/r3/up/2003082713340920.jpg
ファイアーウォールのログ
えらいことになってません?

450 :名無しさん@お腹いっぱい。:03/08/27 14:18
超級者はけーん

451 :名無しさん@お腹いっぱい。:03/08/27 14:26
暇人アラシはけーん

452 :名無しさん@お腹いっぱい。:03/08/27 14:34
とりあえずNATルータのパケットフィルタを強化。

inbound default NG
TCP established inbound all OK
SYN inbound all NG
UDP domain(DNS 53) inbound OK

outbound default NG
TCP outbound all OK
SYN outbound all OK
UDP outbound all OK

でどうよ?(ICMPについては聞かないでくれ)

453 :名無しさん@お腹いっぱい。:03/08/27 14:51
windows XPを使用しています。Blasterに感染してしまい、その後windows
editonの画像になり、そして画像が暗くなって、またwindows editionの画像が出て、
これを何度も繰り返す状態になりました。
F8を使いセーフモードから起動しようとしても、上記のような状態になってしまいます。
どのように処理したらよいのでしょうか。ご教授お願いします。


454 :名無しさん@お腹いっぱい。:03/08/27 15:08
システムの復元

455 :名無しさん@お腹いっぱい。:03/08/27 15:12

 対策ポリシー

1.防御
 パーソナルファイアウォールを入れる。(起動漏れに注意)
 ルータを入れる(フィルタリング)

2.防疫
 緊急クラスのパッチを当てる。

3.検査
 ウィルススキャンの徹底。
 stingerを走らせる。

4.治療
 stingerを走らせる。

でどうよ?

456 :名無しさん@お腹いっぱい。:03/08/27 15:34
>>455 SecureOSを使わないとだめぽ。
その分かなりの技術が必要だからLinux板とか難しい板に
いって勉強してください。
ちなみにはじめは起動もままなりませんでした。


457 :名無しさん@お腹いっぱい。:03/08/27 16:04
緊急クラスのパッチ
Q816093_W2K_SP4_X86_JA.exe は w2kSP4 には適用でき*ない*。
windows update カタログ (windows updateではない)からDLしてインスコせよ。

458 :名無しさん@お腹いっぱい。:03/08/27 16:06
うおおおおポート154叩かれまくり。

459 :名無しさん@お腹いっぱい。:03/08/27 16:06
>>457
http://support.microsoft.com/default.aspx?scid=kb;ja;820101

460 :名無しさん@お腹いっぱい。:03/08/27 16:08
あ、違った。154はグローバルIPの末尾だった(テヘ

461 :名無しさん@お腹いっぱい。:03/08/27 16:15

        ┼─┐─┼─  /  ,.          `゙''‐、_\ | / /
        │  │─┼─ /| _,.イ,,.ィ'    ─────‐‐‐‐ 。←>>460
        │  |  │     |  |  | イン ,'´ ̄`ヘ、   // | \
                          __{_从 ノ}ノ/ / ./  |  \
                    ..__/}ノ  `ノく゚((/  ./   |
        /,  -‐===≡==‐-`つ/ ,.イ  ̄ ̄// ))  /   ;∵|:・.
     _,,,...//〃ー,_/(.      / /ミノ__  /´('´   /   .∴・|∵’
  ,,イ';;^;;;;;;;:::::""""'''''''' ::"〃,,__∠_/ ,∠∠_/゙〈ミ、、
/;;::◎'''::; );_____       @巛 く{ヾミヲ' ゙Y} ゙
≧_ノ  __ノ))三=    _..、'、"^^^     \ !  }'
  ~''''ー< ___、-~\(          ,'  /
      \(                 ,'.. /



462 :名無しさん@お腹いっぱい。:03/08/27 16:15
テヘってお前はテヘラン出身か?ならばブラウンシュガーをくれ。

463 :名無しさん@お腹いっぱい。:03/08/27 16:16
にしても、また激しくなってきてるな。
いい加減にしろよ。

464 :名無しさん@お腹いっぱい。:03/08/27 16:20
プロバイダー板でも話題が出てたんだけど、
もう10日以上ずーっとatt.ne.jp系の135を
叩きまくってるkadenaのattmil.ne.jpの人
しっかりしてください…。

465 :名無しさん@お腹いっぱい。:03/08/27 16:38
Blaster並に17300番を叩いてくるものがいるんだが
なんだこれ?

466 :名無しさん@お腹いっぱい。:03/08/27 16:40
>>464

17300はウイルスだよ

467 :名無しさん@お腹いっぱい。:03/08/27 16:42
>>465
トロイだな。
うちにも時々来るが、Blaster並ってこたーないな。

468 :465:03/08/27 16:49
16:09から16:50の間に40回以上叩いてくる
しかも全部別IPからだ。今もキタ。うぜぇ

469 :名無しさん@お腹いっぱい。:03/08/27 16:52
>>467
これだ
ttps://www.netsecurity.ne.jp/article/2/8548.html

470 :名無しさん@お腹いっぱい。:03/08/27 17:25
h抜くなめんどくせー

471 :名無しさん@お腹いっぱい。:03/08/27 17:46
>>470
そんだけの文字数をレスするより、h足して切り貼りする方が楽だって(w

472 :名無しさん@お腹いっぱい。:03/08/27 17:52
これの影響かどうかわからないけど
ニフティーが落ちた

473 :名無しさん@お腹いっぱい。:03/08/27 17:52
ぷららだけど、相変わらず毎分30回攻撃される。

474 :名無しさん@お腹いっぱい。:03/08/27 18:00
>>472
ニフティのホームページ、昨日だったかな、とっても重かった。

475 :232:03/08/27 18:38
YahooBB pingは毎分1回くらい。SobigFも来てない。会社&知り合いの
PCもみんな復旧ずみ。一段落ぽ。

そういやシマンテックの無償CD配布って今日からじゃなかったか?
誰か貰ってきた香具師いる?





476 :名無しさん@お腹いっぱい。:03/08/27 18:45
友達のPCがBlasterらしきものに感染したらしいのだが、
winXPのリモートアシスタンスで、そのPCにつないだら、
こっちも感染するかな?

ちなみにこっちのPCはノートン先生+ぞねが入ってる。

477 :名無しさん@お腹いっぱい。:03/08/27 19:02
今日からブラ対策CD配布だったので渋谷ビック行った。
店頭になかったので「ブラスター対策用の無償CDありますか?」って聞いたら店の奥の方に取りに行き、
イヤそうな顔で「店に来たから一応お渡ししますけど自分でネットで対応してください」って言われた。
そりゃベンダーから言われて無償CD渡すなんて売上につながらないからめんどくさいのかもしれんが、
いちおう他の物買ったりしてる顧客なんだから愛想よくとは言わんが普通に接しる!

478 :名無しさん@お腹いっぱい。:03/08/27 19:13
ブラストDってIPの似た同じISPを攻撃する傾向があるのかな
メインのISPがアク規制喰らってるんでサブのを久し振りに使ったら、
似たIPの所からガンガン来るよ

479 :名無しさん@お腹いっぱい。:03/08/27 19:36
>>478
そうだよ。


俺はDION使ってるんだけど、アホーとOCNから熱烈アタックがくるのはどういうことか

480 :名無しさん@お腹いっぱい。:03/08/27 20:42
>>476
なるほど。言われると奥から出してくるのか。二十万枚で足りるのかと
思ったが、そういう出し惜しみでなんとかしのごうつーのだな。

481 :名無しさん@お腹いっぱい。:03/08/27 20:46
>>477
自分が巣食ってるPCのIPを種にしてその前後のIPを攻撃する。
どっかにそのアルゴリズムが貼ってあったような。
>>478
YBBはport135を規制中のはずだが、外→内だけ規制してるのかね?
ちょっとそれも考えにくいが。


482 :9:03/08/27 20:47
アジアンテイストただよう巨乳美女です。
このオッパイの張り具合はかなりのもんですよ。
押したらはじき返されそうな感じです。
顔の好き嫌いは分かれると思いますがエロ度が高いので
どのシーンでもボッキしてしまいます。
無料動画をどうぞ。
http://exciteroom.com/

483 :名無しさん@お腹いっぱい。:03/08/27 21:47
>>453
。・゚・(ノД`)ヽ(゚Д゚ )ヨチヨチ

484 :名無しさん@お腹いっぱい。:03/08/27 21:49
わかるだけでもフィリピン、マレーシア、ニュージーランド
台湾、カナダ・・・世界中からpinpin・・・ゝ( ゚∀゚)メ(゚∀゚ )ノ アヒャヒャヒャ

485 :名無しさん@お腹いっぱい。:03/08/27 22:26
>>453
回復コンソール

486 :名無しさん@お腹いっぱい。:03/08/27 22:31
>>481
>YBBはport135を規制中のはずだが、外→内だけ規制してるのかね?

公式サイトによるとそのようだ。



487 :名無しさん@お腹いっぱい。:03/08/27 22:39
昨日はましだったんだが、今日は重くてかなわんな。ルーターの点滅が激しい。
どこのプロバもそうなんかな?




488 :名無しさん@お腹いっぱい。:03/08/27 22:47
ここ24時間は特に凄まじいで砂。第一波の頃と同等のpinpin量・・・。

489 :名無しさん@お腹いっぱい。:03/08/27 22:50
ピンピンuzeeeeeeeeeeeとルータからメールが来ますた。

490 :名無しさん@お腹いっぱい。:03/08/27 22:57
あほーとか○CNとかぢゃないから、安泰であるぞ。 よきにはからえ。

491 :名無しさん@お腹いっぱい。:03/08/27 23:07
やっぱそうだったのね
ここ五日くらい平均一分に4回くらいYBBからピンピンと・・
鬱陶しいったらありゃしない・・

492 :名無しさん@お腹いっぱい。:03/08/28 00:07
ああ糞うぜえ

493 :名無しさん@お腹いっぱい。:03/08/28 00:31
うちのところへのpinpin、今夜はマレーシアからのものが9割。
瞬く間にログが埋まっていくぽぽぽぽぽ。。。

494 :名無しさん@お腹いっぱい。:03/08/28 01:07
こっちで対策講じても・・・・・
こんな派手なの今まで経験したことないよ。
メールチェックの時だけヴィルス駆除ソフトが警告だすのもウザいと思ってたけど、
絶え間なくだからな。
OSよりネットワーク自体への被害の方が甚大なんじゃないかな〜。

495 :名無しさん@お腹いっぱい。:03/08/28 01:56
TCP2590のアタックでブラスター?

496 :名無しさん@お腹いっぱい。:03/08/28 02:03
…ようやくルーターのログの見方が解った…(初心者;)
頑張ってたんだね>ルーター
偉いぞ!

TCPポート:135 連打されまくり。
UDPポート:137 と TCPポート:80 が時々。
TCPポート:3389 が1度だけ。

NISには反応無いし、無縁の世界だと思ってたポ。

497 :名無しさん@お腹いっぱい。:03/08/28 02:16
2時ちょっと前から 27546 のアタックがではじめたんだけど
これガイシュツ?
10個以上の別々のIPアドレスからきてるぞ。

498 :名無しさん@お腹いっぱい。:03/08/28 04:46
ぷららの人いる? どうですか?


499 :携帯:03/08/28 04:55
今日の昼からいきなり速度が1.2kbpsになってしまって一切観覧出来なくなった。Yahoo!チャットで会話してたらいきなり・・プロバにもnttにも問い合わせたけど問題ないと言われた。でもサブpcで繋いでも速度1.2ぐらい・・これは何が考えられますか?助けて下さい

500 :名無しさん@お腹いっぱい。:03/08/28 04:56
>>498
ICMPが一分に何件も

501 :名無しさん@お腹いっぱい。:03/08/28 07:02
ネトゲがクソラグるようになっちまった ウゼー

502 :名無しさん@お腹いっぱい。:03/08/28 07:42
今日は朝から69をツンツンされてる・・・
スケベな香具師だ・・・

503 :名無しさん@お腹いっぱい。:03/08/28 07:44
MSあぷでーと823559 キタ━━━━━━(゚∀゚)━━━━━━!!!!!

504 :500:03/08/28 07:45
69ってNimdaかい

505 :名無しさん@お腹いっぱい。:03/08/28 07:48
あれれれれれ???
Ping Atack発生から三日目にはプロバイダが対応してくれてたのか、
一日中繋いでてもPing Atackだけは一度も来なかったのに、
昨日の夜からずっと来てる…。 >ファイアーウォールのログ

何故だろう?
プロバイダが設定戻したのかな?

506 :名無しさん@お腹いっぱい。:03/08/28 08:14
>>501

823559ってうpしてもファイルが更新されて無いってこと?

507 :名無しさん@お腹いっぱい。:03/08/28 08:29
>>477
店側の対応をかばうつもりないけど、初回配布で枚数が限られてるだろうし、
PCを新規購入する客のために確保したいのでは?

「インターネットを始めたら再起動しまくりでつ」なんてクレームがきても
困るし。

本来はMSが全登録ユーザに送付すべきなんだろうが、他社製の駆除ツール
を収録するだろうし、なかなか難しいのかな。

508 :名無しさん@お腹いっぱい。:03/08/28 08:36
>>505
pingに対してプロバが対策とったところてあるんか?
ポート135だけじゃないか?

勝手にpingというかICMPパケット止められると文句でるだろ?


509 :名無しさん@お腹いっぱい。:03/08/28 09:20
>>508
ポート135とかは全部通常通り来てましたよ。
何故かPing Atackだけは防いでくれてたのに、
昨日からまた来るようになった…。

510 :名無しさん@お腹いっぱい。:03/08/28 10:20
>503
チェックしたけど無いよ・・・。

511 :名無しさん@お腹いっぱい。:03/08/28 10:40
BackDoor-AXQでポート1976がつんつんされてないか?

512 :名無しさん@お腹いっぱい。:03/08/28 10:52
>>510
2000だけかも
ttp://cgi.2chan.net/up2/src/f26188.jpg


513 :510:03/08/28 11:17
>512
ありがd
確認したらとっくに入ってますた。日付で並べたらずいぶん前みたいなんだけど
これでいいのかな・・・。


514 :名無しさん@お腹いっぱい。:03/08/28 11:17
>>503
スレ違い
windows updateしたときに上げるスレ 7
http://pc2.2ch.net/test/read.cgi/win/1060942098/


515 :名無しさん@お腹いっぱい。:03/08/28 11:27
>>504
ICMPのpingは接続確立の最初のステップだから止めたらネット
は即死w

>>506 >>507
アンカーずれてるw >>476 >>504へのレスだろ。ブラウザのレス
番号表示ずれてないか? (透明あぼーんとかで)

今日からシマンテック以外の無償CDも出回るんだよな? 
誰か貰ってきた香具師、解説きぼん。



516 :名無しさん@お腹いっぱい。:03/08/28 11:58
>>515
>ICMPのpingは…
って禿しく勘違い。
pingを止めてもセッション確立できる。

517 :名無しさん@お腹いっぱい。:03/08/28 12:52
ずれてるか?


518 :名無しさん@お腹いっぱい。:03/08/28 12:53
Ping Atackとか135叩きを防ぐには如何すれば?
ファイアーウォールの設定どう変えたら良いの?

519 :名無しさん@お腹いっぱい。:03/08/28 13:03
こりゃー低速ネットとか被害甚大だな

パケ代かかる携帯PHSネットなんか(((((((((゜Д゜,,)))))))))))ガクガクブルブル

520 :名無しさん@お腹いっぱい。:03/08/28 13:07
むしろ穴が塞がれてないPCはHDD消去するぐらいの気概を持っていただけるとありがたい>>亜種

>>518
わからんならいぢるな。

521 :氷月鬼 ◆EuropaFcZU :03/08/28 13:13
>>519
確かに定額接続じゃない人は大変だね。

522 :名無しさん@お腹いっぱい。:03/08/28 13:13
>>518
ん? WAN->LANで、ICMP拒否、TCP&UDPの受信Port135拒否でいいんじゃない?
つーか、IPマスカレードの中ならあまり関係ないと思うが。
直結ならルータ買え。鯖晒しているなら、もっと勉強しる。

あと、叩かれる事自体はもっと上流じゃないと止められないと思う。

523 :名無しさん@お腹いっぱい。:03/08/28 13:14
>>520
教えてエロい人!
教えてくれたら殺してあげるよ^^

524 :名無しさん@お腹いっぱい。:03/08/28 13:16
>>515
一定のセッションを開くことはできるw しかしそもそも何の
ためにICMPがあるのか再考汁

525 :514:03/08/28 13:45
>>516
ありゃ? レス番ずれてるのは漏れの放火? openjane と operaでこのスレの表示が
1番ずれるな。しがしjaneでもこの二個所以外のアンカーの相対位置は合ってるんだが。

なんにしても、お騒がせスマソ(汗



526 :名無しさん@お腹いっぱい。:03/08/28 13:56
>>514
昨日UPDATEサイトチェクしたらナッシングだったんで
よっぽど緊急なのかと思って取り急ぎカキコんだだ(とっくにリリース済だたみたいだけど)
ゴメンヨ、アロエリーナ

527 :名無しさん@お腹いっぱい。:03/08/28 14:17
>>523
自殺しろ。

528 :名無しさん@お腹いっぱい。:03/08/28 14:41
445へのアクセスが増えてきたのは新型の感染が増えてきたってことでしょうか?

>>525
447のあぼーんでずれたのでは?

529 :名無しさん@お腹いっぱい。:03/08/28 15:08
透明あぼーんにするからレス番ずれるんだろ。

530 :名無しさん@お腹いっぱい。:03/08/28 15:37
ログ削除して読み直せよバカどもが

531 :名無しさん@お腹いっぱい。:03/08/28 16:52
バカどもなんて乱暴にいうもんじゃないって。

532 :名無しさん@お腹いっぱい。:03/08/28 17:01
かるしうむ たんないな

533 :名無しさん@お腹いっぱい。:03/08/28 17:14
暇になってきた証拠


534 :名無しさん@お腹いっぱい。:03/08/28 17:20
まぁビッグカツでも食って落ち着けよ。

535 :名無しさん@お腹いっぱい。:03/08/28 17:29
うちのプロバイダ、昨日までPing Atackにフィルター掛けてくれてたのに外しやがった。
電話したら、外から家にサーバーが正常に作動してるか試す為にPing打ってる奴から苦情が有ったからだと。
Pingなんて打たない大多数の会員よりもサーバー管理者優先するらしい。
このまま対応変わらなかったら、来年の契約終了と同時に知り合いと一緒に解約してやろっと。

○○rp! お前の所だ!! …担当者が今これ見てたら面白いんだがw

536 :名無しさん@お腹いっぱい。:03/08/28 18:33
今、WindowsNT系がネットワークをお騒がせしておりまつ。
もう、その存在そのものがトラフィックの障害と化してまつよ。

537 :名無しさん@お腹いっぱい。:03/08/28 18:40
本日感染しました。
何もアクセスしてないのに、送信ランプがつきっぱなし。
タスクマネージャにはDLLHOSTとSVCHOSTがあります。

538 :名無しさん@お腹いっぱい。:03/08/28 18:45
この亜種を作ったのはマイクロソフトじゃない?
初期のブラスターって感染者がマイクロソフトに攻撃するだけでしょ?
Winユーザーがハッカーに怒りを爆発させる方向に持っていく為に、
マイクロソフトが改造してバラ撒いてるとしか思えない。

539 :名無しさん@お腹いっぱい。:03/08/28 18:55
全然

540 :名無しさん@お腹いっぱい。:03/08/28 19:06
FWはkerioを使ってるんだけどICMPの何番を拒否すればいいの?
echoとかdestination…とかあるんだけど

ウチにくるのはほとんど80でたまに135が来ます。

541 :名無しさん@お腹いっぱい。:03/08/28 19:31
8番

542 :名無しさん@お腹いっぱい。:03/08/28 19:41
>>538
おまえばかだろ

543 :cheshire-cat ◆CATBCJABLA :03/08/28 19:46
すんません、質問です。
タスクマネージャーに出てこない、何か凝ったトリガーイベントが無いと発動しない、ウェルチ系の変種ってどこかで報告されてますか。
もしくはPingのソースIPを偽造(考えづらいけど)する変種とか。

ちょっと困ってまして。
感染したって通報があったけど、3日間メチャ時間をかけてどー調べてもクリアなんですよ。
うーーーーん。

544 :名無しさん@お腹いっぱい。:03/08/28 19:52
>>542
馬鹿って言った方が馬鹿なんだぞ! バーカ!!

今回の騒ぎでマイクロソフトの株価がまた上がったじゃねーの?
初っ端からマイクロソフトのでっちあげの可能性さえもあるが。

545 :cheshire-cat ◆CATBCJABLA :03/08/28 20:11
543追記。
ちなみに各アンチウイルスソフトベンダーの製品では、発見できません。
また新規に作成された怪しいファイルは無いようでして。


悩む。

546 :名無しさん@お腹いっぱい。:03/08/28 20:15
>>544
おまえ様はばかでございます

547 :名無しさん@お腹いっぱい。:03/08/28 20:42
>>543
お前のパソコンからpingが発信されているって連絡があったのか?
それなら、チャプチャーソフトを入れて自分のパソコンが本当に
発信しているかを確認しる。
話はそれからだ

548 :名無しさん@お腹いっぱい。:03/08/28 20:45
電波ゆんゆん

549 :cheshire-cat ◆CATBCJABLA :03/08/28 20:46
>>547
対処済みでし。

550 :名無しさん@お腹いっぱい。:03/08/28 20:46
デムパ(・∀・)タユンタユン

551 :名無しさん@お腹いっぱい。:03/08/28 20:48
YBBユーザーだが。本日17時頃からpingがやや増加。
それまで毎分1回くらいだったのが、毎分2回くらいに。

552 :名無しさん@お腹いっぱい。:03/08/28 20:49
>>549
んじゃ、その通報した奴の勘違いだろ
pingなんかでも、送信元偽造出来るがその偽造した送信元へも信号ながれるから
パケットキャプチャで感知可能。

ログなりなんなり、見せてもらったか?


553 :名無しさん@お腹いっぱい。:03/08/28 20:51
>>545
ネコさんでわかんないんだとなー。新種ハケーンの可能性もありまつね
引き続き報告キボン。


554 :名無しさん@お腹いっぱい。:03/08/28 20:57
>>540
Pingとは何者かを考えれば自明。
でもその書き方だとICMPすら理解してないと思われ。
説明まんどくさいので前スレからコピペ。

>802 名前:名無しさん@お腹いっぱい。 投稿日:03/08/23 00:51
>すびばせん。
>さしでがましいとは思うのですが。
>どうも勘違いしている方が多いようなので、
>(一部略)貼っときます。
> ttp://www.atmarkit.co.jp/fwin2k/serial/index/index.html
>の、特に
> ttp://www.atmarkit.co.jp/fwin2k/network/baswinlan006/baswinlan006_02.html
>このあたりから順番に熟読されることをオススメします。です。

555 :cheshire-cat ◆CATBCJABLA :03/08/28 21:05
>>552
通報後、即体制を整えましたが(普段は瑣末なログまで取ってないんで)。
こちらからのアタックは皆無で。
感染者が恥ずかしがってウソ付いているのかと考えたけど、該当パソのアンチウイルスソフトのログは無し。
気まぐれでPFWが入ってたけど、その時刻のトラフィックのログは、該当するものが無しで。

>>553
単純に通報者の勘違い説もあるんだけど。
これって信用につながる問題なんで。
必要以上に万全を期したく。

556 :名無しさん@お腹いっぱい。:03/08/28 21:11
このウィルスにかかったまま放置しておくとどうなっちゃいますか?

557 :名無しさん@お腹いっぱい。:03/08/28 21:47
>>555
あんた仕事なにやってんの?

558 :名無しさん@お腹いっぱい。:03/08/28 21:53
>>557
catセキュ板のコテハンw


559 :名無しさん@お腹いっぱい。:03/08/28 22:10
>>557
あんた仕事なにやってんの?

560 :名無しさん@お腹いっぱい。:03/08/28 23:24
>>556
インターネットが逝きます

561 :名無しさん@お腹いっぱい。:03/08/28 23:43
このウイルス作った奴が意図したか、どうかはわからないけど、
このやり方は、進化したらマジでネットワークそのものを崩壊させかねないと思う。
これまでは、ユーザーの端末にいだづらするのが主だったけど、インターネットが
こんなふうにICMPトラフィックで埋め尽くされたら・・・・・

つか、作った奴自身困ってるだろ?おい?バカヤロ!

562 :名無しさん@お腹いっぱい。:03/08/28 23:49
>>561
> つか、作った奴自身困ってるだろ?おい?バカヤロ!
ワラタ


563 :名無しさん@お腹いっぱい。:03/08/29 00:49
5967&9147ポート叩かれっぱなし
当方ぷらら

そのかわりICMPがほとんど来なくなった

564 :名無しさん@お腹いっぱい。:03/08/29 00:55
セキュ初心者スレでこちらのスレを参考にしろとあったので書き込みします。
ブラスターって、ネット環境有りのPCで焼いたDVDとかでも感染するものですか?
実際、環境有りPCで焼いたDVD(aviファイル)を環境無しPCで再生した日に、
何度も再起動の状態になりました。
環境無しPCは買ったばかりなので、初期不良かもとも思ったのですが、
ブラスターとちょっと似ているようなので・・・。
よろしかったら教えてください。。
winsフォルダ、タスクマネージャにはそれらしきものはありませんでした。

565 :名無しさん@お腹いっぱい。:03/08/29 00:57
いつになったら135叩かれずに済むようになるんだろう?
(@ぷらら)
ルーターのログしかわかんないけど。
ログで表示されてるIPって通過点なんですか?
ぷららとかディーエスネットワークスとかのIPでした。

566 :名無しさん@お腹いっぱい。:03/08/29 01:05
>>565
HDDの中身をクリーンな状態にしてくれる亜種が出るまで終わらない・・といってみる

567 :名無しさん@お腹いっぱい。:03/08/29 01:12
>>564
本当にaviしかコピーしてないのならBlasterやその亜種ではないだろう。
というかまずはウィルススキャンしてみんさい。

568 :名無しさん@お腹いっぱい。:03/08/29 01:33
>>564
\system32\wins フォルダにSVCHOST.EXE DLLHOST.EXE
がなければブラスタDではないだろう。(>>7-10) しかし他になにが
入ってるかわかったもんじゃない。ネットにつないでオンライン
スキャンかけるか、

シマンテックセキュリティチェック
http://www.symantec.com/region/jp/securitycheck/index.html
ウイルスバスターオンラインスキャン
http://www.trendmicro.co.jp/hcall/index.asp

それができなきゃ
【フリー】AVG Anti-Virus Version8
http://pc.2ch.net/test/read.cgi/sec/1056081554/
のようなフリーのアンチウィルスを焼いてインスコしる。




569 :名無しさん@お腹いっぱい。:03/08/29 01:42
>>568
ネットに繋いでる方のPCで体験版でもDLしてCD-R等に焼いて
感染疑惑PCにインスコが正しいと思う
現状接続してない灰色PCをわざわざネットに接続して汚染拡大を助長するのはいかがかと

570 :名無しさん@お腹いっぱい。:03/08/29 02:47
これってシステムファイルも破壊してしまうんでしょうか? WINDOWSが起動出来ない(´・ω・`)

571 :名無しさん@お腹いっぱい。:03/08/29 06:18
後から出たやつたちが悪いね。
感染者は全然気が付かないのだろうか。
ログを見る気にもならんけど、ルーターのWANは激しく点滅中。
毎日対策なしのXPが売れているだろうし、そいつがそのままネットに接続すれば
即新たな気が付かない感染マシンが現れるわけ?
いったいいつになったら収まるんだろう。

572 :cheshire-cat ◆CATBCJABLA :03/08/29 06:53
>>571
XP SP2導入済みPCが店頭に並ぶ頃かもしれない

573 :名無しさん@お腹いっぱい。:03/08/29 07:26
トレンドのブラスト対策WEB見たら、

> レスキューCD-ROM配布終了のお知らせ

随分早いな。(w
今後出荷のバスターに、このCDが付くそうだけど。

574 :573:03/08/29 08:36
ごめん。バスタースレで外出ですた。
http://pc.2ch.net/test/read.cgi/sec/1061072133/932n

575 :名無しさん@お腹いっぱい。:03/08/29 09:20
何か日増しにsynアタックが増加しているんですが気のせい?

576 :名無しさん@お腹いっぱい。:03/08/29 09:20
>>537
回線切って首吊ってウィルスを消せ

577 :名無しさん@お腹いっぱい。:03/08/29 09:24
>>570
それはパッチを当てた副作用

578 :名無しさん@お腹いっぱい。:03/08/29 13:47
このブラスター作った奴から見れば、宅間なんて可愛いもんだ、と言ってみるテスト。
これだけネット全土に被害が広がるとネットの接続不良が原因で死亡した奴も数人は居そうだw

579 :名無しさん@お腹いっぱい。:03/08/29 13:53
13:14 ブラスター作者は18歳男性。FBIが割り出し、近く逮捕の方針。
米政府当局者明かす。MS社攻撃のウイルス。

580 :名無しさん@お腹いっぱい。:03/08/29 13:54
被害者に罵声浴びせながら引きずり出されて死刑になりゃいいん
だが。ところで【Thank You!】Sobig.Fスレ
http://pc.2ch.net/test/read.cgi/sec/1061479494/
見るとこっちもメールボックスがパンクしたり、深刻らしいな。



581 :名無しさん@お腹いっぱい。:03/08/29 14:03
ping 減ったなあ。どうして減ったんだろ。

582 :名無しさん@お腹いっぱい。:03/08/29 14:45
ブラスターの対策CDってマイクロソフトが無料で配布って
話じゃなかったの?
でもブラスターの対策じゃCDの容量がもったいないな
その内サポートが終了するME/98や
すでにサポートが終了した95の欠陥のパッチって
CDで配布されないのかな



583 :名無しさん@お腹いっぱい。:03/08/29 14:52
犯人は18歳の少年だそうな。

584 :名無しさん@お腹いっぱい。:03/08/29 14:53
18歳男がブラスター作成 FBIが逮捕へ
http://news.goo.ne.jp/news/kyodo/kokusai/20030829/20030829a3320.html

585 :名無しさん@お腹いっぱい。:03/08/29 15:13
一種か
オリジナルなのかがわからんな

586 :_:03/08/29 15:18
超初心者の質問なんですが、2chやっててブラスターウィルスを送り付けられるって事はあるんでしょうか?

587 :名無しさん@お腹いっぱい。:03/08/29 15:20
>>586

2ちゃんねるというよりネットの接続した時から
感染のリスクはある

588 :名無しさん@お腹いっぱい。:03/08/29 15:25
18歳の男ってどうやって特定したのか経緯が知りたいな
ウィルスの作者ってどうやってウィルスをばら撒くのかな?
自宅以外のネットカフェとか大学、会社などのPCから撒くのかな
でも今回特定したってことは自宅からばら撒いたのか?

アメリカって逆にこういうのが話題になると犯人が
セキリティ関係に就職したりするから
18歳の男にとってはいい宣伝?

589 :名無しさん@お腹いっぱい。:03/08/29 15:47
>>588
すんごい穿ちだが、そういう傾向あるんだ。なるほどねえ。

590 :名無しさん@お腹いっぱい。:03/08/29 15:47
>>588
こんな感じでは?
FBIが発信元ホストを特定 > 地道な聞き込み > 不審人物のリストUP > 張り込みor家宅捜査

>セキリティ関係に就職したりするから
今の世の中、刑事罰は司法取引なんかで帳消しにしてもらっても被害を受けた企業なんかからの
民事請求はくるんじゃないかな?

591 :名無しさん@お腹いっぱい。:03/08/29 15:50
それに今回は逮捕事態を発表するから、司法取引も無しだな
確かにハッカーと呼ばれた人たちは、就職に有利だったりしたそうだけど
ワームやウイルスの作者の場合は表ざたになった時点で未来はないと
思うが・・・

592 :名無しさん@お腹いっぱい。:03/08/29 15:52
>>590
通報した人がいたそうな
ttp://www.zdnet.co.jp/news/0308/29/xedj_fbi.html

593 :名無しさん@お腹いっぱい。:03/08/29 16:00
公表されてる捜査内容では、少年がワームのテストをしてるところを見た
人から「通報しますた」があったらしい。結構まぬけ。
http://www.zdnet.co.jp/news/0308/29/xedj_fbi.html

んで、間接的にニューヨーク市の大停電の原因を作ったともいえる、このウィルス作者
が就職活動に利用するなどという悠長なことはまず無理。
コード自体はレベル低いし。
http://www.zdnet.co.jp/news/0308/26/cead_vamosi.html

18歳の男=夏厨のヨカン・・・夏休みだったから暇で・・・・

594 :名無しさん@お腹いっぱい。:03/08/29 16:53
また新しいのが出るんだと

ttp://www.cyberpolice.go.jp/important/20030829_160207.html

595 :名無しさん@お腹いっぱい。:03/08/29 18:03
18歳にして損害賠償請求で
人生あぼーん。
あほなことはしたらあかんね。

596 :名無しさん@お腹いっぱい。:03/08/29 18:06
18歳男がブラスター作成 FBIが逮捕へ

 【ワシントン29日AP=共同】米連邦捜査局(FBI)は28日、新種のコンピューターウイルス
「ブラスター」の一種の作成者として、米国の18歳の男を特定、29日にも逮捕する方針を固
めた。米政府当局者が確認した。
 米東部時間29日午後(日本時間30日午前)に記者会見で発表する予定。
 ブラスターは、世界で最も多く使われているマイクロソフト社のパソコン基本ソフト(OS)
「ウィンドウズXP」などの欠陥を突き、インターネットに接続されたパソコンを探して次々に
感染。今月中旬に現れ、世界各地で感染が確認された。(共同通信)
http://headlines.yahoo.co.jp/hl?a=20030829-00000077-kyodo-int

597 :名無しさん@お腹いっぱい。:03/08/29 18:18
皆さんのsvchost.exeのバージョンとファイルサイズと日付を教えて

598 :名無しさん@お腹いっぱい。:03/08/29 18:28
5.0.2134.1

599 :名無しさん@お腹いっぱい。:03/08/29 18:30
ファイルネーム svchost.exe
説明 Generic Host Process for Win32 Services
ファイルサイズ 12.5 KB (12,800 バイト)
作成日時 2002年8月31日、21:00:00
更新日時 2002年8月31日、21:00:00
バージョン 5.1.2600.0

600 :599:03/08/29 18:33
やばっ
トロイにやられたかな?

601 :名無しさん@お腹いっぱい。:03/08/29 18:37
こういうことだったのか・・・・
「困った時のLinux頼み」-Linuxサーバを使う米マイクロソフト
http://japan.cnet.com/news/ent/story/0,2000047623,20060667,00.htm

602 :名無しさん@お腹いっぱい。:03/08/29 18:44
svchost.exe 5.0.2134.1
1999年12月17日
WIN2Kだけどえらく古いな


603 :名無しさん@お腹いっぱい。:03/08/29 18:49
XPか2000でポートスキャンすると、
「BBN IAD」というサービスがあるんですが(1030〜)
これが何なのかご存知の方いますか?
ちょっと愚愚ってみたところ、
RFCで使ってるんじゃないかという話はあったんですが、
そのものずばりの内容をみつけることはできませんでした。
物知りの皆さんよろしくお願いします。


604 :名無しさん@お腹いっぱい。:03/08/29 19:07
            _,,..i'"':,
            |\`、: i'、
            .\\`_',..-i
             \|_,..-┘
          /⌒ヽ/   / _)   呼んだ?    
          /   \\//         
          /    /.\/        
         /   ∧_二つ       
         /   /           
        /    \       
       /  /~\ \    
       /  /   >  )   
     / ノ    / /       
    / /   .  / ./         
    / ./     ( ヽ、          
   (  _)      \__つ     


605 :名無しさん@お腹いっぱい。:03/08/29 19:12
>>604
こちらにどうぞ

606 :名無しさん@お腹いっぱい。:03/08/29 19:13
>>604
http://tmp.2ch.net/test/read.cgi/download/1061888713/
こちらにどうぞ

607 :名無しさん@お腹いっぱい。:03/08/29 19:14
>604

608 :cheshire-cat ◆CATBCJABLA :03/08/29 19:48
就職目的でウイルスを作成して配布かぁ。

ウイルス作者を高額で雇用するアホウな企業もあったし。
KLEZなんかは、それを狙ったものだったようだけど。

追記ですが。
知人の職場が今頃感染して、職場が崩壊しますた。
「ファイアーウォールがあるから安心!」って感じで、クライアント機にアンチウイルスソフトを導入していなかったのが敗因。

609 :名無しさん@お腹いっぱい。:03/08/29 19:53
数週間前・・・
「ウイルス対策ソフト会社がウイルス作ってるんだよ。今回もそうだよ。常識です」

・・なんてレス入れる香具師を各所で見かけたなw



610 :名無しさん@お腹いっぱい。:03/08/29 19:54
>>608
Sobigは金目当てだったそうでつ
【Thank You!】Sobig.Fスレ
http://pc.2ch.net/test/read.cgi/sec/1061479494/200

611 :cheshire-cat ◆CATBCJABLA :03/08/29 19:58
>>610
あれは(zdnetの記事での憶測が正しければ)、変種作成の目的が興味深い例ですねん。

612 :名無しさん@お腹いっぱい。:03/08/29 19:59
>>608
負けて当然w

613 :名無しさん@お腹いっぱい。:03/08/29 20:16
>>608
updateでセキュ穴ふさぐ
要所にルータ入れる
FW入れる
アンチウィールス入れる
NetBIOS使わない

の5対策やっていて崩壊した職場は知らないです。




614 :名無しさん@お腹いっぱい。:03/08/29 20:25
>>608
アンチウイルス入れて無くても、WindowsUpdateは義務付けろ
F/W + WindowsUpdate + 個人の意識 が最低条件

615 :名無しさん@お腹いっぱい。:03/08/29 20:33
>>608
なるほど。で、猫さん自身はどんなお仕事されてるんですか?

616 :名無しさん@お腹いっぱい。:03/08/29 21:03
>>615
路上での肛門掃除サービスです。
1回30円とお安くしてます。
結構好評です。

617 :名無しさん@お腹いっぱい。:03/08/29 21:05
しかしこいつ↓の肛門だけはお断りです。
こんな臭いいくら消毒してもオイニーが取れない肛門は初めてです↓

618 :cheshire-cat ◆CATBCJABLA :03/08/29 21:05
>>612-613
漏れもそう思いますが。なにぶん知人は、就職直後で管理権限も発言力も無いので。
>>614
Windows Updateは不具合が起きるかどーかを個別のパッチごとに検証した上じゃないと。。。。
まぁそれは置いておいて。

研修とかを一人一人にミッチリと行なってたとしてもですね。
その成果をすぐに期待するのは難しいのかもしれません。
企業の中で個人レベルの危機意識の向上は、人事教育とかインフラ?として取り組むべき課題の一つですが。
不況で経費削減の波の中であっても、信用問題なり業務の円滑さをどれだけ妨げるかという一点は、是非とも周知させたく。

>>615
アドバイザーとかインストラクターとか何でも屋とか修理屋みたいなのを、密かな副業で。
あとは内緒(らぶ

619 :cheshire-cat ◆CATBCJABLA :03/08/29 21:06
おっと。変な順番になってまった。

620 :名無しさん@お腹いっぱい。:03/08/29 21:16
>>618
要するに無職ってことですか?

621 :cheshire-cat ◆CATBCJABLA :03/08/29 21:21
>>620
ちゃんと定職はありますよん。
こっちは退社後か休日で。
稼ぎは謝礼程度ですが金額とかは問題ではなくって、付き合いの延長みたいなものでし。

622 :名無しさん@お腹いっぱい。:03/08/29 21:25
>>621
その定職というのについて詳しく教えて下さい!

623 :名無しさん@お腹いっぱい。:03/08/29 21:29
>>617->>618
(・∀・)ワラタヨ

624 :名無しさん@お腹いっぱい。:03/08/29 21:34
>>601
http://internet.watch.impress.co.jp/cda/news/2003/08/29/297.html
これですな。

625 :名無しさん@お腹いっぱい。:03/08/29 21:51
>>628
まぁたいしたこと無いな
一番怖いのは、既にBLASTに感染しているPCを探し出し、トロイを仕込んだり
データ流出や破壊活動を行なうタイプだな。
オマエら作るなよ

626 :cheshire-cat ◆CATBCJABLA :03/08/29 21:55
>>623
こっちも笑いますた。
若いうちから拡張とかすると、将来オムツのお世話になるらしです。

>>625
実はそんな問題について言及して詰めた話をした人って、この板には居ないんですよねん。
(割と)無害なタイプが初期に配布されたのは、ある意味での僥倖なのかもしれませぬ。

627 :名無しさん@お腹いっぱい。:03/08/29 22:02
>>626
で、本職は何なんですか?
ごまかさずに答えてください。

628 :cheshire-cat ◆CATBCJABLA :03/08/29 22:04
>>627
今度オフで皆と会ったら、色々話しましょう。

629 :名無しさん@お腹いっぱい。:03/08/29 22:05
>>626
以前のスレでさんざんガイシュツです

630 :名無しさん@お腹いっぱい。:03/08/29 22:06
>>628
嫌です。変態とはお友達になりたくありません。
それより質問に答えてください。

631 :名無しさん@お腹いっぱい。:03/08/29 22:29
>>625
オフがたいしたこと無いのだろうか

632 :名無しさん@お腹いっぱい。:03/08/29 22:30
  ICMPトラフィックです。あなたのWindowsには致命的な問題は起こす気はないですが・・・・
   /⌒ヽ
  / ´_ゝ`)    /⌒ヽ
  |    /    / ´_ゝ`)
  | /| |     |    /      /⌒ヽ  チャプッ
  // | |      | /| |      / ´_ゝ`)
 U  .U      // | |      |    /       /⌒ヽ  プクプクッ      プクプクプク・・・・
          U  .U     二| /| |二-_  -_/_´_ゝ`)二-    - /⌒ヽ= _        _   ッ・・・・・
                  ̄- ̄- ̄    ─  ─  ̄-      ̄- ̄  ̄-
                             インターネットを埋め立てます。

633 : :03/08/29 23:01
テレホ近くになると決まってネット出来なくなるんですが
これもブラスターのせいなんでしょうか?

再起動にはならないので自分のPCは大丈夫だと思うんですが、
ネットできないのはきついです。

634 :名無しさん@お腹いっぱい。:03/08/29 23:03
おい!ブラスター作った奴18歳の男だったってニュースでやってたぞ
続出?

635 :名無しさん@お腹いっぱい。:03/08/29 23:17
アリゾナ州フェニックスのEasynewsというプロバ(ニュースグループサーバー屋)が
FBIのsubpoena(この場合は記録提出命令だろう)を受けた。FBIによれば8月18に
ポルノを装って最初のウィールスがこのサイトにアップされたもよう。(ロイター)
…とのことでつ。

636 :名無しさん@お腹いっぱい。:03/08/29 23:18
(´-`).。oO(なんで「コテハンうざっ!」とかおもっちゃうんだろうな)
(´-`).。oO(早く「うざレスなんてスルーですわよおほほほ」という境地に達したいものだ)

637 :名無しさん@お腹いっぱい。:03/08/29 23:26
やっぱり捕まっちゃったのか。
やっぱり本気だされるとばれちゃうもんなのかな。
漫画喫茶からうpとかホットスポット経由とかお店の無料インターネットとかで
やっても捕まっちゃうもんなのかね。


638 :名無しさん@お腹いっぱい。:03/08/29 23:30
>>633-634
釣れませんね。

639 :名無しさん@お腹いっぱい。:03/08/29 23:37
http://news.www.infoseek.co.jp/NComp?sv=SN&pg=article.html&arn=reut_inter_JAPAN-123786
↑なんだ変種だって元祖じゃないんだ
この記事みるとただ単にブラスターをマネしたウィルスを作ったマヌケが
逮捕されただけみたい

最初この事聴いた時、原種だと思ったのに
亜種で捕まるってこれからもありそうな話ですね

640 :名無しさん@お腹いっぱい。:03/08/29 23:39
pingのパケット送り付けて来るマシンに向けて、blasterを除去するウィルスを
送り付けたい気分にかられるよ。
もちろん開いてるはずのセキュリティーホールMS03-026を利用して。
よく考えたら、ping送り付けてくるマシンって、MS03-026の穴、
攻撃可能ですよ宣言してるようなもんだよね。

641 :名無しさん@お腹いっぱい。:03/08/29 23:39
>>637
防犯カメラに写ってたり、番台のあんちゃんに挙動不審で顔覚えられてたり。
キーボードに指紋残ってたり。がさ入れされるとHDDに80Gの(ry


642 :名無しさん@お腹いっぱい。:03/08/29 23:40
>>639
なんだ偽物だったか。
FBIもなんか逮捕しないことには
沽券に拘わるからとりあえず亜種から逮捕か。


643 :名無しさん@お腹いっぱい。:03/08/29 23:41
お店のネット機とかなら大丈夫でしょ。


指紋って犯罪歴無ければ意味無いしね。

644 :氷月鬼 ◆EuropaFcZU :03/08/29 23:42
>>639
「悪質な」という文言があるところを見るとDかな?
BとCはAと変わらないし、Eは動かんからな

645 :名無しさん@お腹いっぱい。:03/08/29 23:54
>>644
Dって悪質だったか?

646 :名無しさん@お腹いっぱい。:03/08/30 00:03
>>645
ネット全体への被害としてはDがいちばん悪質


647 :名無しさん@お腹いっぱい。:03/08/30 00:04
>>646
そうかい。

648 :名無しさん@お腹いっぱい。:03/08/30 00:05
うちのぞねーちゃんが悲鳴あげております

649 :名無しさん@お腹いっぱい。:03/08/30 00:17
ポート番号 23623 に怒涛の攻撃が!
いったいコレは??


650 :名無しさん@お腹いっぱい。:03/08/30 00:28
NEC藁
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030829/2/

651 :名無しさん@お腹いっぱい。:03/08/30 00:46
mac使いには関係ない罠(プ
ウインドウズ使ってて楽しい?(プ

652 :名無しさん@お腹いっぱい。:03/08/30 00:56
楽しいよ!仲間に入りたい?(藁

653 :名無しさん@お腹いっぱい。:03/08/30 01:07
29日は一日で5496回のアタックがありました。うちはおでんなんだけど、
状況は悪化する一方です。
おでんの場合、135「だけ」はブロックしてくれているんだけど、他はping
含めて全て垂れ流し。

プロバイダにも社会的責任ってのを要求したいと強く思うでつ。

・妖しげにping連発する椰子には警告汁!
・非常事態なんだから、フツー使わないポート全部ブロック汁!
・pingも規制汁!「自鯖のチェック出来んだろ!」なんて椰子には
「他の方法でチェックおながいします。ペコリ」言う!!
・対策に関して、よくあるサイトへの誘導でお茶を濁すんではなくって
DM中に具体的に書く!!藻前が自分で書くんだYO!

できることはナンボでもあるんではないか?ちいとは努力汁!

おでんに関しては、あんまりに酷いんで明日電話するつもりです。
メールじゃ効果が無いだろうからね。


654 :qwer@通技:03/08/30 01:28
企業がVPNを行う場合pingを使って

655 :名無しさん@お腹いっぱい。:03/08/30 01:30
IPSec使ったInternetVPNを利用してるユーザ(主に企業)は
勝手にあちこちブロックされると困るだろーな。
DHCPクライアントである一般ユーザに対して
感染していると思われる相手のみを特定してブロックするのも
ISP側ではほとんど不可能だろうね。

企業側にしても、突然SSL-VPNにシステム変更するのも不可能だろうし。

ISP側もネットワークの輻輳はかなり頭を痛めてるだろうけど、
P2PやSPAMメールのトラフィックに比べると大した事ないんだろうな。


現在の状況に対する、最も現実的で効果的なISP側の対処って・・・
一般ユーザへセキュリティ意識を啓発する(為にDM送付する)
くらいなのか・・・

無力だねえ。いくら言っても聞かないユーザなんて山ほどいるぞ。

656 :qwer@通技:03/08/30 01:44
#失礼途中で送ってしまいました

VPNで使う場合など、pingで相手の生存確認を
行う場合があります。
pingを止められてしまうとダウンと判断されて
バックアップのISDNがつなぎっぱなしになり
洒落にならない事態になったりします。

ISPはIPでの通信を提供しているわけですから
緊急時とはいえフィルタは最小限にすべきだと
思います。
今回の場合135を止めているのならば、pingを
止める必要はないように思います。
負荷でサービス品質を維持できなくなるのであれば
別ですが

657 :名無しさん@お腹いっぱい。:03/08/30 02:18
ぶっちゃけ、pingが止められることを前提にしたコードなんてあんましないと思うよ

658 :名無しさん@お腹いっぱい。:03/08/30 02:59
135とめてあればとりあえず感染は拡大しないわけだし、pingがうざいといっても
たいした実害はない。トラヒック的にはSobigFの方がはるかに頭イタイ問題。

659 :名無しさん@お腹いっぱい。:03/08/30 04:36
cnn.comに捕まった奴の写真があるが、見るからにデブオタなのは
笑える。
tp://www.cnn.com/2003/TECH/internet/08/29/worm.arrest/index.html

660 :名無しさん@お腹いっぱい。:03/08/30 04:45
>>659
Bを作った奴なのか…

661 :名無しさん@お腹いっぱい。:03/08/30 06:06
>>659
うほっ! イケル!

うまー

662 :名無しさん@お腹いっぱい。:03/08/30 07:16
>>661

やはり太っているね。

663 :名無しさん@お腹いっぱい。:03/08/30 10:10
>>659
Bなんてファイル名変えたぐらいでしょ。
かわいそうに、スケープゴートでしね。

664 :名無しさん@お腹いっぱい。:03/08/30 10:11
>>659
Parson, described as 6-feet-4-inches tall and 320 pounds,
デカっ。186cm 145kgって幕内の相撲取りの平均くらいか?

665 :名無しさん@お腹いっぱい。:03/08/30 10:47
確かに関取の髪型にも見える・・・・w

666 :名無しさん@お腹いっぱい。:03/08/30 10:53
FBIのメンツのために「やっちゃった」少年が一人釣られますた。

667 :名無しさん@お腹いっぱい。:03/08/30 10:58
>>663
やったことがしょぼいし,体型もあれなんで・・・
ソフト関連やセキュリティ関連会社への就職は無理だろう。

668 :名無しさん@お腹いっぱい。:03/08/30 11:14
そーいやアメリカではデブは自己管理が出来ていないからと
就職or昇進で差別を受けるシステムはまだ生きているのか?

669 :名無しさん@お腹いっぱい。:03/08/30 11:36
18歳にゃ見えんぞ

670 :名無しさん@お腹いっぱい。:03/08/30 12:00
一見人はよさそうなんだがな。

671 :名無しさん@お腹いっぱい。:03/08/30 13:02
パッチあてて駆除ソフト使ったはずなのにちょくちょく再起動する。
素で動作不良なのか、パッチの当て方が悪いのか…

672 :名無しさん@お腹いっぱい。:03/08/30 13:10
OSが立ち上がる前に再起動がかかってしまう場合、どうすれば良いのでしょうか?
WindowsXP SP1なのですが、Windows起動のブート画面まではいくものの、
「ようこそ」の画面に切り替わる前に再起動がかかってしまいます。
セーフモードですら立ち上げられない状態です。

673 :名無しさん@お腹いっぱい。:03/08/30 13:30
>>672
ご愁傷さま。でもスレ違い。


674 :名無しさん@お腹いっぱい。:03/08/30 13:35
顔立ちといい、曙の親戚かと…>>659

675 :672:03/08/30 13:54
>>673
このウィルスの症状ではない、ということでしょうか?
再起動が繰り返される症状がでると書いてあったので、このウィルスかと思ったのですが・・・

発症した方は、どのような症状でウィルスの感染を知ったのですか?
私の場合、ウィルスチェック(自動)の最中に突然再起動がかかり、以降再起動ループ
に陥ってます。
ウィルスチェック中、パソコンでは何も作業はしていませんでした。
ただ、ADSLなのでずっとネットには接続していました。
ウィルスが出回っているので、Windowsupdataやノートン(システムワークス&
インターネットセキュリティ2003)は最新版に更新して、気をつけていたつもり
だったのですが・・・。

676 :名無しさん@お腹いっぱい。:03/08/30 14:01
>>675
サブマシンか携帯からだろうけど、
その汚染疑惑機は現在もそのまま?
最初に再起動がかかったときにダイアログ画面は
でませんでした?

677 :名無しさん@お腹いっぱい。:03/08/30 14:02
>>675
>>7-8を読んで自身でチェックされよ

678 :名無しさん@お腹いっぱい。:03/08/30 14:05
しかしログオンできないのでは、どう対処したものだかねえ。

679 :名無しさん@お腹いっぱい。:03/08/30 14:12
起動してくれるまで気長に耐えるしかないんじゃねーの?
うちのPCは夜になるとログインしてくれるようになった

680 :名無しさん@お腹いっぱい。:03/08/30 14:12
>>672
ウィルスによる症状ではなく,OSの不調もしくはハードの故障と判断するべき症状。


681 :名無しさん@お腹いっぱい。:03/08/30 14:18
>>680
それいい答えだね。それを推定してくれるだけでも質問した
甲斐があるんじゃない?ところで、どうしてそう判断すべきなんでしょうか。
後学のためにヒントというかさわりを教えてもらえませんか?

682 :672:03/08/30 14:32
みなさんレスありがとうございます。

>>676
>最初に再起動がかかったときにダイアログ画面はでませんでした?
出ませんでした。いきなりの再起動です。
汚染疑惑機は当然LANケーブルを抜いて、ネット接続ははずしてます。
679氏のおっしゃるとおり、時間を空けて何度か起動トライ中です。

>>677
当然読みました。マイクロソフトやシマンテックほか、このスレに貼ってある関連リンク先も
目を通したのですが、いずれもWindowsを起動させてからの対策ばかりでどうにもこうにも・・・

>>680
ハードの故障は真っ先に考えました。
今朝から中をあけてケーブルなどの接触を確認したのですが、特に問題はなく・・・
HD自体がクラッシュしたならば、Windowsのブート画面は表示されないだろうし・・・うーん・・・

683 :名無しさん@お腹いっぱい。:03/08/30 14:43
>>682
メモリーか電源ヘタってるっぽい

684 :名無しさん@お腹いっぱい。:03/08/30 14:44
どうもWindows関係のスレがいいみたいだね。
Windows XP 質問スレッド Part 63
http://pc2.2ch.net/test/read.cgi/win/1061829522/
ここら辺りがいいのかな?どうでしょう。
(なんか書いておかないと「マ〜ルチ!」とか言われても気の毒だし)

685 :672:03/08/30 15:20
>>683
やっぱりそれでしょうか・・・どちらも安いものではないので、最後の対策にしたいです(⊃д`)

>>684
誘導ありがとうございます。
どうやらBlasterの症状とはまた違う現象のようですね。
そちらの過去スレと、ハードウェア板・PC板をまわってみようと思います。

レスを下さった皆様、どうもありがとうございました。

686 :tiny:03/08/30 16:27
>>685
Windows XP のログオン画面が表示されず、コンピュータが再起動し続ける
http://support.microsoft.com/default.aspx?scid=kb;ja;310396

687 :名無しさん@お腹いっぱい。:03/08/30 17:04
また見てくれるといいね。

688 :名無しさん@お腹いっぱい。:03/08/30 17:42
なんでKernel32.dll 破損するのかね

689 :名無しさん@お腹いっぱい。:03/08/30 17:43
やっぱりノートンが原因?

690 :685ではないですが:03/08/30 17:51
>>686 Kernel32.dll の破損ですか。な〜るほど。

しかしこれXPのCDが必要みたいだけど、最近のパソってリカバリーCDも
ついてないモデル多いっぽいんだが…ERDディスクも作ってなかったら
どうするのかねー。めんどそうだなー。


691 :名無しさん@お腹いっぱい。:03/08/30 18:13
>>689
それなら,すごい祭りになっているだろうから違うのではないかなぁ〜

692 :名無しさん@お腹いっぱい。:03/08/30 18:34
今日はICMPが減ってUDPだらけ。
何番ポートかマイルータでは分からんけど。

693 :名無しさん@お腹いっぱい。:03/08/30 19:00
マイルーラでは分からんだろうな。

694 :名無しさん@お腹いっぱい。:03/08/30 19:04
594の詳細は既出?
Blasterの新しい亜種「Blaster.E」の感染活動を警察庁が警告
ttp://news.goo.ne.jp/news/internet/it/20030830/iw2003083004.html


> ただし、DDoS攻撃の対象が「windowsupdate.com」から「kimble.org」に変更されているほか、自身がPC起動時に実行されるために変更するレジストリキーと追加する値が以下のように変更されている。

>レジストリキー:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

>値:"windows automation"="mslaugh.exe"

695 :名無しさん@お腹いっぱい。:03/08/30 19:57
>>694
>ファイル検索などで「mslaugh.exe」を検索する方法が考えられる。


696 :名無しさん@お腹いっぱい。:03/08/30 20:05
Blaster.E とか亜種が随分出てきたけど、
今までの対応で感染は防げるのかな。
ウイルスバスターはまだ何のアナウンスもないようなんだけど。
どうでしょうか。

697 :名無しさん@お腹いっぱい。:03/08/30 20:53
どうでしょうね。


698 :名無しさん@お腹いっぱい。:03/08/30 20:57
>>697
やはり今のところわからないんですかね。
インターネットにつながないとウイルスバスターのアップデートは
受けられないし、アップデートしないで接続していれば危険かもしれないし。
うーむ。

699 :名無しさん@お腹いっぱい。:03/08/30 21:01
>>696
感染した症状は違うけど、感染経路が同じだから
既存のBLASTの対策取っているのなら感染しない。


700 :名無しさん@お腹いっぱい。:03/08/30 21:05
>>690
ERDDキタキタキタキタ━━━(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)━━━━!!

701 :名無しさん@お腹いっぱい。:03/08/30 21:45
>>693
マイルーラキタキタキタキタ━━━(゚∀゚≡(゚∀゚≡゚∀゚)≡゚∀゚)━━━━!!

702 :名無しさん@お腹いっぱい。:03/08/30 22:07
XP 初期化して、バスターをアップデートしようとした途端に
Blaster の仲間がやってきてしまう
XP のアップデートでも同じ事が起こった
あ〜〜〜やってらんない

703 :名無しさん@お腹いっぱい。:03/08/30 22:22
今ひとつ理解がいかないのだが、
Blasterはインターネット中を自力遊泳していて、
勝手に入ってくる点が特徴ってことかな?

それで、防ぐにときにルーターとファイアーウォールと
アンチウイルスソフトの話があるけど、三つ揃っていないと
安心できないの??


704 :名無しさん@お腹いっぱい。:03/08/30 22:36
おれなんかファイアウォール上では、すべてのICMPトラフィックを拒否
してるのに、しっかりsystem32\winsにDLLHOST.EXEとSVCHOST.EXE
作成された。そういう奴他にもいるでしょう?
たぶんファイアウォ−ルの立ち上げより早く侵入されてバックドアしかけら
れたんだろうね。幸い、起動と同時にウィルス駆除ソフトが警告出したけど。
ケーブルをいちいち抜き差しするのも('A`)マンドクセだし、
もうこうなると、感染する時は、しょうがないよ。・゚・(ノД`)・゚・。

705 :名無しさん@お腹いっぱい。:03/08/30 22:40
system32\winsにDLLHOST.EXEとSVCHOST.EXEという名前のフォルダを作って
読み出し専用属性にして、アクセス権を誰にも与えない(=所有者がアクセス権設定する以外の作業不能)状態にして防衛しておきますた。

706 :名無しさん@お腹いっぱい。:03/08/30 22:49
>>704
なるほどねえ。FAQにも書いてある一瞬のタイムラグに侵入される話だね。

>>705
それをやると、侵入してきても上書きしようとしてできなくなるからセーフってこと?
それが有効なら、これまたなるほどなあ的な方法だね。


707 :名無しさん@お腹いっぱい。:03/08/30 22:50
>>703

>Blasterはインターネット中を自力遊泳していて、
>勝手に入ってくる点が特徴ってことかな?

Blastはワームだから当然だね。
ワームであることが特徴であるともいえるが。

>三つ揃っていないと
>安心できないの??
・ルータ
 外部からの侵入を防ぐ。
 社内LAN等、ルータの内側に持ち込まれたPCからの感染は防げない。
・PFW
 LANからの侵入を防ぐ。(ルータなしの環境では外部からの侵入も防ぐ)
 起動時のタイムラグに注意。(起動時にはケーブルを抜いておくと万全)
・アンチウィルス
 FDやCDなどのメディアからの侵入を防ぐ。
 万一感染したときに駆除してくれる。
あとは自分で判断しる。

708 :名無しさん@お腹いっぱい。:03/08/30 22:51
>705
それだとexe名が違う亜種が来たらNG。
しかし、ポート69(tftpd)を予め使用してしまうとかtftp.exeを潰すのは難易度高。
(システム復元のせいで、tftp.exeは簡単には消せないし)

709 :705:03/08/30 22:52
>>706
BadTrans.Bの時の対処方法を思い出しまして・・

710 :名無しさん@お腹いっぱい。:03/08/30 22:53
感染したときに使っていたFWを教えて

711 :名無しさん@お腹いっぱい。:03/08/30 22:56
>>705
ワラタ
おまいは一休さんか!トンチをきかせてウィルス感染防止かよ(w

712 :名無しさん@お腹いっぱい。:03/08/30 22:57
>>707
ふむふむふむ。なるほど丁寧にありがとうございます。

ワーム(まあミミズとかそういう自ら動くこと意を含んでいるのはわかるけど)
もメールに乗ってきたものの処理を誤ったり、汚染されたホームページに
たまさか行ったりしなければ侵入してこないものだと思ってた。違うんだなあ。
勉強になりました。ブラスターだけじゃないんだね。

「三種の神器」の解説は助かりました。
モヤーっとしていた点がクリアに。深謝。

しかし万全を期すならルータのケーブル抜いて立ち上げるのかあ。
大変な奴だね、こいつはやっぱり。

713 :名無しさん@お腹いっぱい。:03/08/30 22:59
ルーターとパソコンはどのようにに立ち上げたら
より安全なのでしょうか?

714 :名無しさん@お腹いっぱい。:03/08/30 23:05
>>713
完全を期すなら、セキュリティ関係のソフトが完全に立ち上がった
後、ケーブルを繋げるしかないでしょ。
そんなことフツーはやってらんないよ。でも職場でやってるところもあったな。

715 :名無しさん@お腹いっぱい。:03/08/30 23:06
>>705さん
ありがとね。

>>713
いま教えてもらったことから考えると、
LANケーブルを抜いた状態でパソコンを起動して、
起動の完了を確認したらケーブル挿してルータの電源ON、かな。


716 :名無しさん@お腹いっぱい。:03/08/30 23:08
よく考えると、ルータの電源を落としただけじゃ不完全ってことか。
ケーブルがつながっていれば、電源が落ちていても泳いでくる可能性がある?
そんなことあり得るの??

717 :名無しさん@お腹いっぱい。:03/08/30 23:10
>>702
XPならポート塞げるだろうが。
先にポート塞いでからケーブル繋げろ!

718 :cheshire-cat ◆CATBCJABLA :03/08/30 23:10
>>716
ルーターの電源そのものが落ちていれば、WAN側からだろうがLAN内部だろうが、ルーティングされませぬ。

719 :名無しさん@お腹いっぱい。:03/08/30 23:13
>>718
ありがと!

720 :cheshire-cat ◆CATBCJABLA :03/08/30 23:17
瑣末な話ですが。
718は家庭内で、ブロードバンドルーターに直接パソを接続している時の話ね。

721 :名無しさん@お腹いっぱい。:03/08/30 23:21
>>720
いあ、そいう話が「大事なのよ。ココ見てる人間の大部分は、そゆ話・・。

722 :cheshire-cat ◆CATBCJABLA :03/08/30 23:23
>>721
漏れも多分、君と同じ事考えて追記しまして。スマソ。

723 :名無しさん@お腹いっぱい。:03/08/30 23:29
ルータはパソコンが完全に立ち上がった後に電源投入したほうがいいんですね。
LANケーブル抜くのはめんどくさい・・・。

724 :名無しさん@お腹いっぱい。:03/08/30 23:36
>723
"モデム"ならそうだが、NATなルータなら必要ない操作だろ。
PC内に既にワームが居るというならともかく。

725 :名無しさん@お腹いっぱい。:03/08/30 23:51
@修正プログラムをDLしておく
ALANケーブルを引っこ抜く
BOS新規インスコ
C修正プログラムを適用
D回線に接続してWINDOWSアップデート

でどうよ?

726 :名無しさん@お腹いっぱい。:03/08/30 23:56
今回のワームに限って言えば,Windows Updateをきちんとしていれば,進入されないはずだが・・・


727 :名無しさん@お腹いっぱい。:03/08/30 23:56
念のため修正パッチと駆除ツールをDLすんの忘れてた。

728 :名無しさん@お腹いっぱい。:03/08/31 00:02
>>723
ルータにはタイムラグ問題は無いから常時ONでいいよ。

729 :723:03/08/31 00:12
>>728
ルータ、モデム、パソコンの電源を同じとこから取っていて
ルータとモデム電源オン→PC起動→立ち上がって少し間が空いてから
ネットができるというふうにしてるのですが大丈夫でしょうか?

730 :705:03/08/31 00:19
>>729
ルータとモデムは24時間入れっぱなしていいと思うのだが。

731 :名無しさん@お腹いっぱい。:03/08/31 00:21
>>729
無問題。

732 :名無しさん@お腹いっぱい。:03/08/31 00:33
W32.welchia.wormとTrojan.Adclickerに感染しています。
駆除しようと思っているのですが、当方Win2000のsp2なので、
修正プログラムが適応しないんです。
で、MSのsp4をDLしようと思ったのですが、ウイルスのせいなのか、
途中で異常終了してしまうんです。

どなたか良きアドバイスをしていただきたいです。

733 :名無しさん@お腹いっぱい。:03/08/31 00:38
>725
最近購入したXPインストール済みPCを初めて起動するときも、
これやらないと一発で感染しますね。

販売店では対策とっているのかな?
修正かけて販売しているのか? それとも、対策CDを添付してるとか。。。

734 :名無しさん@お腹いっぱい。:03/08/31 00:46
>>733
お客さんと話しながら、修正済み、添付のみ、何もナシを
分けて対応して、必要な手間賃を取れれば理想的だろうけど・・・


735 :名無しさん@お腹いっぱい。:03/08/31 00:52
>>732
サービスのRemote Procedure Call (RPC)のプロパティの
回復タブの中の処理をサービスを再起動とかに変更すれば多分問答無用で再起動はなくなるはず。
その状態だとwindowsupdateはできないのでSP4は直接落としてからインストールしかないと思うが。

736 :733:03/08/31 00:59
>734
ですよね。メーカ側対策としても、回収し対策、済みシールはり再出荷とか。
どうなんでしょうね。そこまでやらないと、製造物なんたら法にひっかかるような。

通販でも、このあたりが気になりますね。
一番いいのは、リコールでしょうけど、
これはMSが決断して修正版OSださないと無理だしね。


一番良い方法は、新規PC購入では、Windows系以外のOSを選択ですかね。

737 : :03/08/31 01:06
>>735 ありがとうございます。
   RPCなどのことはよくわかりませんが、
   その処理をして、SP4を落とし、win.updateをせよというわけですね。

738 :名無しさん@お腹いっぱい。:03/08/31 01:25
>>736
リコールはメーカーの判断で出来るよ。
かかる費用をどうするかはメーカーとMSの問題だが。

739 :名無しさん@お腹いっぱい。:03/08/31 01:28
>>737
1年も前のトロイにやられるなんて、ウィルス対策してない証拠。
これを機にPFW機能付きアンチウィルスソフトでも導入する!

740 :名無しさん@お腹いっぱい。:03/08/31 01:36
dllhost.exeとsvchost.exe、何種類か出回ってない?
捕獲したのが、微妙に違うっぽいんだけど。

741 :名無しさん@お腹いっぱい。:03/08/31 01:40
>>740
PingでローカルIPにポートフォワーディングして
ICMPがNetBIOSになるように設定しる。

742 :732:03/08/31 01:45
>>739 一年前のトロイですか。。。確かに対策しませんでした。反省です。
   自覚症状はないんですが、何をされるのでしょうか?

>>735 サービスのRPCは二つあるのですが、どちらもサービスの再起動でいいんですよね。
    やはりSP4のDL中にサーバへの接続が異常終了してしまいます。
    サイトからのSP4入手は断念したほうがいいのでしょうか。
    

743 :名無しさん@お腹いっぱい。:03/08/31 01:48
>>742
PingでローカルIPにポートフォワーディングして
ICMPがNetBIOSになるように設定しる。

744 :名無しさん@お腹いっぱい。:03/08/31 01:55
>>705
それでうまくいったら、(・∀・)つ〃∩ヘェーヘェーヘェー
人柱さんファイヤウォール切って実験して結果報告きぼん

ところで無償対策CDってホントに20万枚も配ったの?
折れの近所の量販店ではどこも「売り切れますた」なんだけど。
誰かちゃんと貰えた香具師いる?


745 :名無しさん@お腹いっぱい。:03/08/31 02:01
>>742
ttp://www.symantec.com/region/jp/sarcj/data/t/trojan.adclicker.html
> Trojan.Adclicker は、特定のWebページ上にあるバナー広告をクリックするように設計されているトロイの木馬です。
> これらのWebページはおそらく、トロイの木馬の作成者のページと思われます。
> このトロイの木馬が実行されると、自分自身のコピーを%system% フォルダに作成し、レジストリの\Runキーに自分自身を参照する値を追加します。
まあ他愛も無いといえば他愛も無い。
しかし何らかの方法で自分自身をばら撒いているはずなので、例えば感染ファイルつきメールなんかを撒き散らしている可能性も。

SP4はネットカフェなどで別途入手する手もあり。
ttp://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp4/download.asp
ネットワークインストール版(129 MB)を落としてCDに焼くべし。

746 :名無しさん@お腹いっぱい。:03/08/31 02:02
>>743
それでアドバイスになると思う?

747 :名無しさん@お腹いっぱい。:03/08/31 02:10
>>742
プロバイダのメールに関するウイルスフィルタリングサービスでも加入しておいたら?
自分の安全もそうだけど、自分が虫付きメールをばら撒く危険性を手間いらずで
抑えられるよ。

SPは悔しいけどMSに通販頼むという手もある。1000円じゃなくて300円くらいに
して欲しいもんだけどねえ。

748 :名無しさん@お腹いっぱい。:03/08/31 02:14
今見たらsystem32にwinsって空のフォルダがあるけど、最初からあったの?
ノートンでは一度もチェックに引っ掛からなかったから感染したけど駆除されたって
事は無いと思うんだけど・・・

749 :名無しさん@お腹いっぱい。:03/08/31 02:15
>>744
ttp://www.microsoft.com/japan/security/howtoget.asp
これによると、店頭配布は、シマンテック15,000枚+トレンドマイクロ10,000枚の計25,000枚。
プレミア物だな。
ちなみに近所の店ではメディア代のみでコピーしてくれる。
あとは製品抱き合わせっぽい。

750 :名無しさん@お腹いっぱい。:03/08/31 02:19
>>748
最初からあるよ。

751 :748:03/08/31 02:19
>>750
ありがd
安心しますた


752 :732:03/08/31 02:26
>>745 ネットカフェで入手ですか。やってみます。
   しかし、ネットワーク版ではなくSP4自体がほしいのですが。
   現在Win2000の古いものなので。

>>747 その手もありますね。通販。悔しいです。

>>748 私のwinsフォルダには、DLLHOST.EXEとSVHOST.EXEが巣食っています。

各サイトの修正ファイルや駆除ツールを使わずに、ウイルス問題を解決する方法はないんでしょうか?
例えば、OSを入れ直すなどはどうでしょうか?

アドバイスしてくださった各位に感謝です。

753 :名無しさん@お腹いっぱい。:03/08/31 02:33
>752
dcomcnfgでDCOM止めて、日付を2004にし、リブートしろ。

754 :名無しさん@お腹いっぱい。:03/08/31 02:35
>>752

> 各サイトの修正ファイルや駆除ツールを使わずに、ウイルス問題を解決する方法はないんでしょうか?
> 例えば、OSを入れ直すなどはどうでしょうか?

Redhatにでもすれば医院で内科医。

755 :名無しさん@お腹いっぱい。:03/08/31 02:35
>753
w2k-sp2 ではDCOM止められないらしいが。

756 :名無しさん@お腹いっぱい。:03/08/31 02:38
>>752
ネットワーク版ってSP4そのものでつよ

757 :732:03/08/31 02:44
>>753 うーん、わかりません。
>>754 Redhatとはなんですか?
   初歩的なことがわからずにすいません。

>>756 そうでしたか。失礼しました。

758 :名無しさん@お腹いっぱい。:03/08/31 02:45
>>752
winsフォルダのその2つがウィルスの正体。
対策は>>7。(セーフモードで起動>ウィルスタスク停止>ウィルスファイル削除)

759 :758:03/08/31 02:47
駆除したところで、対策せずにネットワークに接続すれば元の木阿弥ですが。

760 :732:03/08/31 02:56
>>758 え! MSサイトなどの駆除ツールを使わなくても、その方法でいいのですか?
   もちろん駆除後は対策したいと思っています。

761 :名無しさん@お腹いっぱい。:03/08/31 02:58
>>744
TMのをもらった。Y橋で。Sのはなかった。
TMのはBlasterのみ、うえるちな駆除はできない版。

Sのは営業がもってきた。これはうえるちな駆除できる晩。
これコピーして部内配布したよ。コピーは問題ないのよね。

762 :名無しさん@お腹いっぱい。:03/08/31 03:04
>>760
あんなあ〜。駆除しても対策パッチあてないと、
ネット接続の旅に再感染するのよね。

だから、どうしてもパッチをオフラインで当てないといけないの。
というわけで、パッチをどこかで手に入れるべし。

どこでかって? それがMS配布のCD、または感染対象外のOSで、
MSサイトよりゲット。LinuxでもMacOSでもなんでもいいわけだ。
そいつをCDRなりFDDなりMOなりに落として、オフラインの
対象PCにさしてパッチしること。そうでないと、あんたのPC迷惑かけまくりだぜ。

763 :名無しさん@お腹いっぱい。:03/08/31 03:05
>761
> TMのはBlasterのみ、うえるちな駆除はできない版。
間違い。
トレンド版はMSブラストA-D対応。 Welchi =Blast.D故。

764 :732:03/08/31 03:10
>>762 はい。対処していきたいと思ってます。

765 :761:03/08/31 03:17
>>763
そういうことだったの?
パッチは確かに両方はいってたけど、
駆除ソフトおよび説明は、どうみてもAまでのままの
バージョンって感じなんだけど。

そうか、きっと駆除ソフトの中身だけはDまで版なのかな。
情報感謝。

766 :名無しさん@お腹いっぱい。:03/08/31 03:21
>765
ココを見る限りBLAST.D対応ようだが(持ってないから知らん)
ttp://www.trendmicro.co.jp/msblast/cd.asp

767 :名無しさん@お腹いっぱい。:03/08/31 03:38
MSのパッチCD20万枚配布というのは、現在の所、5万5千枚しか生産されておらず、残りについては生産委託の目処が立っていないらしい。

768 :名無しさん@お腹いっぱい。:03/08/31 04:07
>>742
RPCのみの方、このサービスが落ちると再起動になるので。
RPC Locatorは別にいい。

それでもSP4を落とせないなら
OutpostかZoneAlarmを先に入れておく方がいいかもしれない。
SP4ほどでかくないし。

769 :744:03/08/31 05:30
>>767
(・∀・)つ〃∩ヘェーヘェーヘェー そっか。まだ生産されてないんだ。
でもなんで雑誌の付録とかにつけとかなかっただよ、MS。
バキャだな…




770 :732:03/08/31 10:45
>>768 SP4のDLはネットワークインストールですよね? 高速ではなく。

771 :名無しさん@お腹いっぱい。:03/08/31 12:32
>>770
http://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp4/download.asp

高速インストール
接続PCに必要なファイルのみをダウンロードして自動的にインストール開始

ネットワーク インストール
SPに含まれるすべてをダウンロードする。インストールは手動で実行

772 :名無しさん@お腹いっぱい。:03/08/31 13:29
流石にもう今さらだと思うけど・・・
万が一おニブさんが来たら誘導に使ってくんろ


トレンドマイクロ
【WORM_MSBLAST(エムエスブラスト)対策WEB】
http://www.trendmicro.co.jp/msblast/

【エムエスブラスト(WORM_MSBLAST)とは】
http://www.trendmicro.co.jp/msblast/whats.asp

ウィルスバスター2003での感染防止対処法
http://www.trendmicro.co.jp/msblast/tool.asp#4

MSの対策ページ
(セキュリティ修正パッチ摘要必須!!【MS03-007】【MS03-013】【MS03-026】)
http://www.microsoft.com/japan/technet/security/virus/blaster.asp

【早く】 Blasterスレ Part3 【対策しろ】
http://pc.2ch.net/test/read.cgi/sec/1061647087/


773 :772:03/08/31 13:30
すまぬ壮絶に誤爆したm( _ _ )m

774 :名無しさん@お腹いっぱい。:03/08/31 14:35
代々木でモペラ使ってるバカ
いい加減除去しろよ。

775 :名無しさん@お腹いっぱい。:03/08/31 14:46
今日は22990のアタックが多いな。

776 :名無しさん@お腹いっぱい。:03/08/31 14:53
>>774
それ俺

777 :名無しさん@お腹いっぱい。:03/08/31 16:09
Jeffrey君タイーホ続報・・・・名前公表とかいろいろ。
http://internet.watch.impress.co.jp/cda/news/2003/08/30/301.html

778 :名無しさん@お腹いっぱい。:03/08/31 16:28
>>
なんだよ「改名した」だけじゃんかよw ヘタレなハッカーだなw
>「Blaster.B」(W32/Lovsan.worm.b)はBlasterに含まれていた
>「MSBLAST.EXE」を「teekids.exe」に改名していながら、行動は
>Blasterと全く同じ…



779 :氷月鬼 ◆EuropaFcZU :03/08/31 16:33
>Blaster.Bは調査の結果「www.t33kid.com」にアクセスし、
>そのWebサイトから指示を受けることが
>米Microsoftと米シークレットサービス特別捜査官によって確認された。

この文章を読むとプラスアルファの機能も付け足しているように思えるが・・・

780 :名無しさん@お腹いっぱい。:03/08/31 16:48
ごちゃごちゃ言わずにさっさとパソコンショップ行ってブロードバンドルーター買ってこい。
また同じ騒ぎに巻き込まれないようにね。BRとモデムを間違えるなよ。モデム内蔵型もあるからな。
詳しくは店員に聞け。

1.BRを回線に繋ぐ前に該当ポートを塞ぐ(大抵はデフォルトでOKだと思うけどねぇ?)。
2.PC対策(ワームの無効化、もしくはOS再インスコ)する。
3.これでネット接続しても安心だからいくらでもパッチを落としてくる。
4.終了

781 :名無しさん@お腹いっぱい。:03/08/31 17:10
>>780
家の(オフィスでもいいが)パソコンが複数あって、ファイル共有とかしたい
んだったら、しっかりしたルータ入れないと絶対だめです。しかし1台だけ
だったらWindowsパッチ+FWソフト+アンチウィールスソフトでもOK。
それにルータ入れたからすっかり安心じゃなくて、他の対策もやっぱり必要





782 :名無しさん@お腹いっぱい。:03/08/31 17:18
>>780
該当ポートって、80番もふさぐんだろう?
でないと、Dにやられてしまうじゃんね。

で、80番ふさいで、どうやって、パッチおとしてくんのか
おしえてくんろ。

お前さんのような脳天気がいるから、こうやってDが蔓延してるんだよ。
ばかやろう!

783 :名無しさん@お腹いっぱい。:03/08/31 17:41
>>782
盛れは780ではないが…
ブラスタDが侵入するのはport135。port80は無関係。
カルシューム不足してないか?

784 :名無しさん@お腹いっぱい。:03/08/31 17:47
>>782
本当に分かってないのか荒らしなのか・・・

大体がBR導入してもポートを塞いでいないって言うのも信じられないし
ワクチンソフトすら入ってないのも信じられないし
セキュリティパッチすら当ててないのも信じられない

当てずっぽうでケチ付けて脳無しを晒しているのも信じられない

785 :名無しさん@お腹いっぱい。:03/08/31 17:47
>>783
おい、いっぺんここ読んでからこいや。鉄分不足やろう!
ttp://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MSBLAST.D

WebDAVって何番ポートつかうんでしょたか? あほめが、反省しろよ。

786 :名無しさん@お腹いっぱい。:03/08/31 17:47
つか780にレスするとループが始まるのでなかったことに。
過去ログで解決済み。

787 :名無しさん@お腹いっぱい。:03/08/31 17:48
>>782
内側から外と外から内は違うんだけどな・・・

788 :氷月鬼 ◆EuropaFcZU :03/08/31 17:49
一応DはIISのセキュリティホールもつくから、
web鯖建ててる人は80も関係あるんだけどね。

789 :名無しさん@お腹いっぱい。:03/08/31 18:06
モペラは感染者が多いなぁ。
代々木のドコモビル経由でガンガン来てます。

790 :名無しさん@お腹いっぱい。:03/08/31 18:23
>>783
ブラスタDはWEBDAV脆弱性を利用してport80も狙うが、標的は
「Internet Information Server (IIS) が動作するサーバー」と書いてあるだろ。
普通のユーザーには影響ない。



791 :名無しさん@お腹いっぱい。:03/08/31 18:26
>>785のようなアヴォが鯖立ててるわきゃない。…それとも立ててるのか?
それならそれで((((((;゚Д゚))))))ガクガクブルブル


792 :名無しさん@お腹いっぱい。:03/08/31 18:42
>>790
普通のユーザーってなんよ?
NT4.0やXPの出荷設定のままは影響しない。。。だろ?

それを一般にOSの区別も書かず、ただ135番だけ塞げばいいなんて
かくなってことだよ。

793 :名無しさん@お腹いっぱい。:03/08/31 18:58
>>792
普通ルーターかましてりゃpingなんざall blockだろうが。
ping返さなきゃ無効
あくまでルーターの外に対してだけどな。

794 :名無しさん@お腹いっぱい。:03/08/31 20:37
>>782 >>783
夏休みも最終日だな。がんがれ。


795 :782:03/08/31 20:48
>>794
うん? うちの職場に夏休みはねえだす。
そうかがきどもは今日で休みおわりか。

この騒ぎが落ち着いたら、休暇とりたいです。
かるしうむもとりたいです。

796 :名無しさん@お腹いっぱい。:03/08/31 21:02
君の言葉遣いは独特だね。

797 :名無しさん@お腹いっぱい。:03/08/31 21:10
>>793
OutpostだってICMPの設定は細かくできまつが。

798 :名無しさん@お腹いっぱい。:03/08/31 21:13
>>797
やめとけ、無知をかまってもしたかない。

「普通ルータ」っていう装置の話らしいから。(やれやれ)

799 :名無しさん@お腹いっぱい。:03/08/31 21:33
ファイアウォールとルーターの区別が出来ない人々の集まるスレはここですか?

800 :名無しさん@お腹いっぱい。:03/08/31 21:36
>>782
> で、80番ふさいで、どうやって、パッチおとしてくんのか
> おしえてくんろ。
WAN側からの80番への要求って塞ぐのでは?
80番への要求を破棄したところでパッチくらい落ちると思うが

801 :名無しさん@お腹いっぱい。:03/08/31 21:36
>>799
どう違うの?

802 :名無しさん@お腹いっぱい。:03/08/31 21:46
ブラジルからもICMP来てる・・・
地球の裏からこんにちはゝ( ゚∀゚)メ(゚∀゚ )ノ アヒャヒャヒャ

803 :名無しさん@お腹いっぱい。:03/08/31 21:49
>>801
マジか?

ttp://www.atmarkit.co.jp/icd/root/59/5787459.html
ttp://www.atmarkit.co.jp/fsecurity/rensai/fw01/fw01.html

これ読んで勉強してくれ。

804 :名無しさん@お腹いっぱい。:03/08/31 22:00
>>803
おれは799自身の言葉で教えてもらいたいんだYO!
799じゃなきゃヤダ!!

805 :名無しさん@お腹いっぱい。:03/08/31 22:03
正直、このスレに来るヤツでファイアウォールとルーターの区別がつかな
いのは799一人くらいだろう。

806 :名無しさん@お腹いっぱい。:03/08/31 22:18
だいぶ盛り上がってまいりまつた


807 :名無しさん@お腹いっぱい。:03/08/31 22:29
そろそろ次スレのタイトルを考えませう。


808 :名無しさん@お腹いっぱい。:03/08/31 22:32
>>807
【まだ】Blasterスレ Part.D【対策してないの】
ってのは?

809 :名無しさん@お腹いっぱい。:03/08/31 22:43
>>808 いいと思うんだが、前スレが 
【まだ】Blasterスレ Part2【終わっちゃいない】 
だったからなー。ちなみに、過去スレは >>12



810 :名無しさん@お腹いっぱい。:03/08/31 22:52
【コラ】Blasterスレ Part.4【とっとと対策汁】

811 :名無しさん@お腹いっぱい。:03/08/31 22:53
【一生】【感染してろ】

812 :名無しさん@お腹いっぱい。:03/08/31 23:33
【飼育】Blasterスレ Part.4【出来たら神】

813 :名無しさん@お腹いっぱい。:03/08/31 23:49
.D は 2004年までの命だがな

814 :名無しさん@お腹いっぱい。:03/08/31 23:57
【無料!】Blasterスレ Part.4【対策CD配布中】

815 :名無しさん@お腹いっぱい。:03/08/31 23:57
【仕方がねえな】Blaster一族スレ Part4【対策相談所】はどう?

816 :名無しさん@お腹いっぱい。:03/09/01 00:31
【バイナリエディタで】Blasterスレ Part.4【亜種増殖】

817 :名無しさん@お腹いっぱい。:03/09/01 00:43
>>816
ヤメレ

818 :名無しさん@お腹いっぱい。:03/09/01 00:46
>>816
不謹慎だがワラタ

819 :名無しさん@お腹いっぱい。:03/09/01 00:53
>>814
看板に偽りありですな。

820 :名無しさん@お腹すいた。:03/09/01 01:05
>>792
> NT4.0やXPの出荷設定のままは影響しない。。。だろ?

NT4.0SVは標準インストールでIIS動いていますが?

821 :名無しさん@お腹いっぱい。:03/09/01 01:11
【明日は】Blasterスレ Part.4【我が身鴨?】

822 :名無しさん@お腹いっぱい。:03/09/01 01:20
システムファイル消す亜種がでてないか?

823 :名無しさん@お腹すいた。:03/09/01 01:21
【お前だよ】Blasterスレ Part.4【さっさと直せ】

824 :名無しさん@お腹いっぱい。:03/09/01 01:28
完全に駆除したはずなのにsvchostが他人のPCいじりに行く

825 :名無しさん@お腹いっぱい。:03/09/01 01:35
【ノートで】Blasterスレ Part.4【持ち込むな】

826 :名無しさん@お腹いっぱい。:03/09/01 01:42
【どうすりゃ】Blasterスレ Part.4【安心なのよ】

827 :名無しさん@お腹いっぱい。:03/09/01 01:46
【右ボタンで】Blasterスレ Part.4【地上物】

828 :名無しさん@お腹いっぱい。:03/09/01 01:48
【256発で】Blasterスレ Part.4【バキュラを壊せ】

829 :名無しさん@お腹いっぱい。:03/09/01 01:49
>>822
【そいつは】Blasterスレ Part.4【厄介だな】

830 :名無しさん@お腹いっぱい。:03/09/01 01:49
【またぞろ】Blasterスレ Part.4【亜種出現】

831 :名無しさん@お腹いっぱい。:03/09/01 01:50
【早く】Blasterスレ Part.4【決めようよ】

832 :名無しさん@お腹いっぱい。:03/09/01 01:52
ログみるとcomとnetが圧倒的に多いな。
YBBとかもちらほら。

833 :名無しさん@お腹いっぱい。:03/09/01 02:07
テンプレに手を加えるべき点は?

834 :>>832:03/09/01 02:08
【お前が】Blasterスレ Part.4【comとかnetだからだろ】

835 :名無しさん@お腹いっぱい。:03/09/01 02:33
>>834
そういう攻撃的なタイトルはどうかと思いますが。。。まあ冗談でしょうけど。

>>833
>>772のリンク集きれいにまとまっていて、いいかな。
>>702-733の電源を入れる順番の話とか、
ルータ、FW、アンチウイルス、パッチ類の話とか。
まとまったらわかりいいかなあ。まとめたいけど自分の力量では困難です。。。
参考になりましたら。

836 :名無しさん@お腹いっぱい。:03/09/01 03:17
OSの起動とFWソフトの立ち上がりのタイムラグの話だが…
LANケーブルのジャックなんてのは頻繁な抜き差しなんか
考えてないからぺなぺなで強度なさそうなんだよな。そこで、
FWにアウトポスト使っている場合、

「ネットワークの接続」を無効にする→OSシャットダウン
OS起動→Outpost を「完全シャットダウン」→
「ネットワークの接続」を有効にする→Outpost再起動→(゚д゚)ウマー

Outpostが起動してる状態で「ネットワークの接続」を有効にすると
アウポが何も通さなくなってしまうので注意。上記のやり方でも厳密
にいうとタイムラグはあるんだが、ほんのニ三秒になる。(雨あられ
と叩かれまくってるときには止めたほうがいいかも)


837 :名無しさん@お腹いっぱい。:03/09/01 03:45
[MS03-007] Windows コンポーネントの未チェックのバッファにより
Web サーバーが侵害される件だが、

WebDAVバグを狙う攻撃はIIS5.0が実行されているサーバーだけが
対象になる。(この場合はWebセッションを通じて攻撃をかけるから
port80を通って侵入する)

NT4.0はWebDAVをサポートしないので攻撃の対象ではない。
XPはIIS5.0をデフォではインストールしないので出荷状態では攻撃対象ではない。

出荷状態でWebDAV脆弱性攻撃が現実に実行されるOSは、Windows2000系の
サーバー製品だけ。

ただしWin2000、XPともユーザーがIIS5.0をインストールしていれば攻撃対象に
なる。

ということでいいのかにゃ?



838 :名無しさん@お腹いっぱい。:03/09/01 03:58
>>836
俺がそれでやられたみたいなんだよ。
ログ見ると、アウポ再起動直後にICMPトラフィックを感知する場合がある。
っつうことは、接続完了とアウポ再起動の間に侵入されてる可能性大。
接続との問題は専用スレに詳しいけど。

しかし、今年はブラスターの夏だったなって、いやな夏だなぁ(;´Д`)

839 :名無しさん@お腹いっぱい。:03/09/01 04:23
緊張の夏。ブラスターの夏。


840 :名無しさん@お腹いっぱい。:03/09/01 04:33
ざぶとん、半分

841 :名無しさん@お腹いっぱい。:03/09/01 06:05
山田くん、839のざぶとん全部もってって

842 :名無しさん@お腹いっぱい。:03/09/01 06:22
>>841
お、円楽師匠、早起きだなー。では後はまかせたので漏れはもうね待つ。


843 :名無しさん@お腹いっぱい。:03/09/01 08:10
「郵政公社のブラスター感染はNECの作業ミスが原因――損害賠償も検討」
http://itpro.nikkeibp.co.jp/free/NC/NEWS/20030829/2/

だってよw


844 :名無しさん@お腹いっぱい。:03/09/01 08:27
>>843
保守用パソコンにもFWはついてただろう。ウイルス駆除ソフトも完備してたろう。
つーことは、侵入はタイムラグの間かな・・・・
NECのITソリューションのSEたるものも、俺らと変わらんヘマしよる。

845 :名無しさん@お腹いっぱい。:03/09/01 08:34
NEC → ネック → 首

と連想してみたり…

846 :名無しさん@お腹いっぱい。:03/09/01 08:38
【百花繚乱】Blasterスレ Part.4【亜種花盛り】

847 :名無しさん@お腹いっぱい。:03/09/01 08:47
>>844
逆に
「保守用だからインターネットに接続しないという事が大前提」
だったのかも

うちにも普段使わないメンテ用のPCにはアンチウイルス入れてないかも
特に、診断用のスニファーなんか入れた専用機は対策遅れる


848 :名無しさん@お腹いっぱい。:03/09/01 09:04
>>845
落研系の人物がこのスレに感染しますた。845=839?

>>847
電話回線経由でってところが(w
作業員個人のアカウント使ったんじゃないのかなぁ。

849 :名無しさん@お腹いっぱい。:03/09/01 10:03
>>843
住基ネットでも同様に可能だなw

(この先も含めて)保守にやってきた業者にまで、どうやって徹底するのかなww

850 :名無しさん@お腹いっぱい。:03/09/01 11:05
>>843
この件に関しNEC広報は、「ご迷惑をおかけして大変申し訳ない。今後はセキュリティ
・ポリシーを更に強化し、職員には随時2chのBlasterスレを参照させるなど再発防止
に努めてまいりたい」






とは言ってないかw


851 :名無しさん@お腹いっぱい。:03/09/01 11:21
>>843
「ネットにつながない前提のシステム→だから対策してないパソ→
なにげにネットにつなぐ→感染→システムあぼーん」というパターン
続出だろうな。
「どんなパソコンもパッチ+FW+アンチウィールスで対策しておく」
以外ないだろう。

それでも外部から持ち込まれるノートパソにはお手上げだな。
まさか玄関の警備員に対策済みかどうか検査させるわけにもいかんし。
それでも内部のパソに感染しなければ大規模なダウンは起こらない
はずだ。あと役員の私物のパソなー…


852 :名無しさん@お腹いっぱい。:03/09/01 13:02
鯖に空アクセス数急増はブラスタDの仕業だそうでつ
こんな症状で
☆ウィルス情報&質問 総合スレッド☆part13
http://pc.2ch.net/test/read.cgi/sec/1061454729/405
こんなアクセスログを残すとか
http://fumika.jp/nikki/archives/2003/08/access_count


853 :名無しさん@お腹いっぱい。:03/09/01 15:34
気になってみたのでちょっとチェックなどしてみたら。

外部からTCP135へのアクセスについて、
一度に3回ノックしてるように見えるんだが、これってBlasterの仕様ですかね?
1回目と2回目の間隔3秒、2回目と3回目の間隔6秒で綺麗に並ぶんだけど。

あと、やたらにMoperaからのアクセス多いんだけどこんなもん?

854 :名無しさん@お腹いっぱい。:03/09/01 15:42
>>853
もう気にすんなよ、そんなの
仕様だよ仕様
朝から毎日セキュ板でスタンバってる俺の身にもなってみろよ
飽きたんだよそれ

855 :名無しさん@お腹いっぱい。:03/09/01 15:55
【来たら】Blasterスレ Part.4【ばら撒け】

856 :853:03/09/01 15:56
>>854 即レスありがと。 仕様ね、了解。
まぁ、確かに住民からすりゃ面白くない罠。 スマソ。

857 :名無しさん@お腹いっぱい。:03/09/01 17:31
【引続き】Blaster スレ Part4【拡散中】


858 :名無しさん@お腹いっぱい。:03/09/01 18:46
【駆除しねえなら】Blaster スレ Part4【ネットから離脱汁】

859 :名無しさん@お腹いっぱい。:03/09/01 19:03
【亜種に期待】Blaster スレ Part4【大人気】


860 :名無しさん@お腹いっぱい。:03/09/01 19:31
【存在自体に】Blaster スレ Part4【気づいてない】

861 :名無しさん@お腹いっぱい。:03/09/01 19:58
【Elkarnも】Blaster スレ Part4【セットでお得】





862 :名無しさん@お腹いっぱい。:03/09/01 20:00
【君も】Blaster スレ Part4【トップブリーダー】

863 :名無しさん@お腹いっぱい。:03/09/01 20:00
>>860 ↑それいえてるかも ↓こういうのは?
【無自覚】Blaster スレ Part4 【保菌者多し】


864 :名無しさん@お腹いっぱい。:03/09/01 20:36
【9月になって】Blaster スレ Part4 【大学で増えた】

865 :名無しさん@お腹いっぱい。:03/09/01 20:39
【新学期】Blaster スレ Part4 【火に油】

ありえる話だけど本当に大丈夫かな。夏休み前
ぎりぎりくらいのパッチを当てていればセーフだったわけだけど。
(あと3月のもか)

866 :名無しさん@お腹いっぱい。:03/09/01 20:57
【Zまで】Blaster スレ Part4 【亜種出ます】
全然だいじょうびじゃないね。

867 :名無しさん@お腹いっぱい。:03/09/01 20:59
【亜種】Blaster スレ Part4【1号2号V3から555まで】

868 :名無しさん@お腹いっぱい。:03/09/01 21:07
【ネタ切れ】Blaster スレ Part4 【閉店間近?】

869 :名無しさん@お腹いっぱい。:03/09/01 21:17
【2004年まで】Blaster スレ Part4 【繋がないでください】

870 :名無しさん@お腹いっぱい。:03/09/01 21:19
考えてみると、新しくPC買った初心者って当たり前のように感染するんだよな・・・
そして感染してることにも気付かない・・・

Dが時限付でほんとーに良かった。

871 :名無しさん@お腹いっぱい。:03/09/01 21:22
今ログみたら、2200件/日程度だったpingが、7時間で2000件突破してんだけど、
また新しい亜種でも出た?

872 :名無しさん@お腹いっぱい。:03/09/01 21:27
>>871
>>864-865 かもよ。学校絡み。

   さ、新学期だ!早く対策しなきゃ。
   えーとまずはWindows Updateからっと。
   これさえマメならまずは安心だよっと♪


   さ、新学期だ!早く対策しなきゃ。
   えーとまずはワクチンソフトからっと。
   これさえマメならまずは安心だよっと♪

こんな光景もあるかと…

873 :名無しさん@お腹いっぱい。:03/09/01 21:36
WindowsUpdateやウィルス定義ファイルのDLをしようと
インターネットにつないだとたん(学校だとPC立ち上がった途端か)
あちこちから湧き上がる声

「なにこの数字? カウントダウンしてるよー」

874 :871:03/09/01 21:48
だったら夜になったらペース落ちてもいいと思うんだけど、
相変わらずハイペースで叩かれてるのはどういうわけだろう・・・。
ん?外国も9月1日から学校開始なんだっけ?

875 :名無しさん@お腹いっぱい。:03/09/01 21:54
(元ワーム)   code red     MSblast.A
   ↓        ↓        ↓
(パッチ当て)  code blue    MSblast.D
   ↓        ↓        ↓
(時限なし)    code red II    MSblast.?




杞憂ならいいんだが・・・

876 :氷月鬼 ◆EuropaFcZU :03/09/01 22:15
何気にトレンドマイクロとネットワークアソシエイツで「E」が別ものっぽい。
そういや、WORM_MSBLAST.D = W32/Nachi.wormだからズレるんだな。

W32/Lovsan.worm.e
ファイル名 = MSLAUGH.EXE
・DoS(サービス拒否)攻撃のターゲットは、kimble.orgに変更されています
・W32/Lovsan.worm.eは、以下の文字列を含んでいます。
I dedicate this particular strain to me ANG3L - hope yer enjoying yerself and dont forget the promise for me B/DAY !!!!

ファイル名の長さが同じだからやっぱりバイナリエディタで改変か?
機能的にはAと変わらなさそう。


877 :名無しさん@お腹いっぱい。:03/09/01 22:24
>>865 【新学期】Blaster スレ Part4 【火に油】
に1票を投じまつ。 OpenJaneやなんかスレタイのタブは左詰だから
たくさんスレを開いてるときなんか先頭に目立つ文字がないとわかり
にくいんだよね。


878 :名無しさん@お腹いっぱい。:03/09/01 22:31
今回の一件で,ソフトウェアファイアウォールの無力さが浮き彫りになった。

もう売れないね,Good bye Symantec...

879 :( ○ ´ ー ` ○ )Nachiありがとう:03/09/01 22:36
( ● ´ ー ` ● )Nachiありがとう

880 :名無しさん@お腹いっぱい。:03/09/01 22:39
blasterのスレってこのスレで8個めじゃなかったか

881 :名無しさん@お腹いっぱい。:03/09/01 22:55
>>880
>>12 によると7個目だが。

882 :名無しさん@お腹いっぱい。:03/09/01 22:58
>>876
既出。(考察を除く)

>>880
死んだ子の年を数えるなよ。

883 :名無しさん@お腹いっぱい。:03/09/01 23:07
03/08/12 16:23
【RPC】カウントダウン後、再起動してしまう
http://pc.2ch.net/test/read.cgi/sec/1060673014/

これは数えちゃいけなかったのか、、

884 :名無しさん@お腹いっぱい。:03/09/01 23:17
>883
確かにソレが1.番スレのようだな。
>12 を修正するか、0番スレとして扱うか。。

885 :名無しさん@お腹いっぱい。:03/09/01 23:18
>>883
ほほう…これを次スレの「過去スレ一覧」に加えるべきか否か?
黒丸買ってないので判断つきません。詳しい方の意見を伺い
たい。

886 :名無しさん@お腹いっぱい。:03/09/01 23:21
>>883
やっぱり>>12を修正でしょ。さいわいスレタイの番号じゃないから
読む香具師が混乱するということもない。

887 :名無しさん@お腹いっぱい。:03/09/01 23:27
「3日目」スレが5時間で消費されてるし(w 懐かしいのう。。

888 :名無しさん@お腹いっぱい。:03/09/01 23:42
さーてうpでーとしよ

889 :名無しさん@お腹いっぱい。:03/09/02 01:10
今度パソコン買うんですがネットに繋げば即感染するんですか?

890 :名無しさん@お腹いっぱい。:03/09/02 01:31
>>889
MSBlast.D/Nachi/Welchiaは画期的なウィールスで、箱開けただけのPCだったら
ネットにつないだとたん、おもしれーくらい簡単に感染する。

このスレ初めの方から読んどけよ。藻前にウィールス撒き散らされちゃ困る




891 :名無しさん@お腹いっぱい。:03/09/02 04:12
メルコのブロードバンドルーター買ってきたのでどれだけ攻撃されてるのか
期待してログをチェックしてみたのだが、アタック遮断のログが相手のipだけで
どこのポートを攻撃されてるのか判らないアルよ……

892 :名無しさん@お腹いっぱい。:03/09/02 04:14
2048スキャンされまくり。

893 :名無しさん@お腹いっぱい。:03/09/02 04:17
2991に大量にきてる

894 :名無しさん@お腹いっぱい。:03/09/02 06:13
>>851

大体、ネットワークに繋いでいないPCというのは、
セキュリティパッチが導入されていないのが多いのよ。
これからは導入をしないとまずいね。


 ∋oノハヽ
   川o・-・)     
 _(__つ/ ̄ ̄ ̄/_
   \/___/
カタカタ


895 :名無しさん@お腹いっぱい。:03/09/02 07:30
Welchia (Lovsan, Nachi, MSBLAST.D) については XP の場合は次のバッチファイルを二度実行すれば
とりあえず駆除できて穴はふさがるのかな?

stop-welchia-and-reboot.bat
----- ここから ----- ここから ----- ここから ----- ここから -----
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Ole /v EnableDCOM /d N /f
net stop RpcPatch
net stop RpcTftpd
reg DELETE HKLM\SYSTEM\CurrentControlSet\Services\RpcPatch /f
reg DELETE HKLM\SYSTEM\CurrentControlSet\Services\RpcTftpd /f
del c:\windows\system32\Wins\Dllhost.exe
del c:\windows\system32\Wins\svchost.exe
shutdown -r -f -t 0
----- ここまで ----- ここまで ----- ここまで ----- ここまで -----
+ 問答無用で再起動する

+ バッチファイル一つでなんとかしたい
+ 最低限のことができればいい.
+ 2000 の場合 reg コマンドが標準では無いので 駆除はできるが
穴は開いたまま (手動で DCOM を無効にしてから実行すれば大丈夫)
+ net stop RpcPatch を実行してから再起動するまでの間に再度感染する可能性がある
二度実行するのはこの対策
+ もちろん本来はこの後で復元オプションを無効にして再度駆除したり修正パッチをあてるべき


896 :名無しさん@お腹いっぱい。:03/09/02 07:46
う^ン。後期開始は10月からでっせ。まだ夏休みだ。
大学のほうがPC数おおいだろう。高等学校程度ならたいしたことないのでは?

897 :名無しさん@お腹いっぱい。:03/09/02 07:53
>>896
最近の高校はそんな事は言ってられない状況です。

898 :名無しさん@お腹いっぱい。:03/09/02 08:37
最近は小学校、中学校にもたくさんのPCが配備されています。

899 :名無しさん@お腹いっぱい。:03/09/02 08:44
じゃあ最近パソコン買った人はどうやってブラスター対策してるんでしょう?

900 :名無しさん@お腹いっぱい。:03/09/02 09:05
このスレに書いてあるようなことを事前に知っておく必要があるわねえ。
実態としては、セットアップ
       →満身創痍で必要なソフト、ファイルをダウンロード
       →CDに焼く
       →再インストール
       →兜鎧を身につけてから接続
じゃないかのお。これでも自覚的でまずまず上手く対応した部類だだろうけど。

901 :名無しさん@お腹いっぱい。:03/09/02 09:27
未だに135叩かれる。
同じ所から…。

相手に文句をいう方法はないもんだろうか?
そろそろ駆除してホスイ…。

902 :名無しさん@お腹いっぱい。:03/09/02 10:26
最近のPCはメーカーか店のほうで対策してるんじゃなかろうか

903 :名無しさん@お腹いっぱい。:03/09/02 10:34

昨日、事情がありPCをリカバリしました、
ネットにつないだとたんどうも感染してしまいました・・
ですがパソコンがSP3も入ってない状態なので、
MS03-007などの修正プログラムなども
入れられない状態です。
SP4もDL途中でエラーで無理でした。
ほんとにお手上げです。

すみません、アドバイスお願いします

904 :名無しさん@お腹いっぱい。:03/09/02 10:46
1050円で売ってくれるぞ。
ttp://www.microsoft.com/japan/windows2000/downloads/servicepacks/sp4/default.asp

905 :名無しさん@お腹いっぱい。:03/09/02 10:48
>>903
ネットカフェなどでパッチとSP4をダウンロード

CD-Rなどに焼いて持ち帰って自分のPCにインスコ

( ゚д゚)ウマー

906 :名無しさん@お腹いっぱい。:03/09/02 10:50
>>901
net sendコマンドは?

907 :903:03/09/02 10:58
そうですね、、
オンラインで買って届くまで1週間待つしか方法はないですよね、、

>905 田舎なのでネットカフェもなく・・
アドバイスさんきゅでした。

908 :名無しさん@お腹いっぱい。:03/09/02 11:15
>>902
それがね。今日納品されたPCをネットにつないだせつな,
感染しましたって,報告があがってきちゃったのよね。

ショップで事情を聞いた方がいいけど,一般人はそういうことしないよね。
たしか,起動かけると,アップデートしますか? って聞いてこなかった?
すなおに「はい」と答えると,ネットワークにつなげとでるんじゃなかった?

で,あっさり感染。これからも増えるんだろうね。

909 :名無しさん@お腹いっぱい。:03/09/02 11:17
ポート閉じたルータに繋げる
RPCサービスを一時的に止める


910 :名無しさん@お腹いっぱい。:03/09/02 11:44
買ってきた状態で

--------------------------------
XPのファイヤーウォールを有効にする
--------------------------------
ネットにつなぐ

この手順でとりあえずすぐ感染することは防げて
パッチや駆除ツールのダウンロードに支障ない

ということではないの?

911 :名無しさん@お腹いっぱい。:03/09/02 11:54
>>910
システム起動時はケーブルを抜いておく。
(FWの起動タイムラグ問題対策)

912 :名無しさん@お腹いっぱい。:03/09/02 11:58
>>910
ということですよ。教科書的対処はね。

で,これは啓蒙教育? が必要なわけで,
そのあたりをショップで説明されて理解できるユーザなら,
そもそも問題ないでしょう。

問題は,販売店がそういう注意もせず,購入者も無知な場合ですわ。
そういうPCは見事に感染して,ネットワークに害をなすのです。

はやくMS社でリコールしてくれ!! たのむわ。

913 :名無しさん@お腹いっぱい。:03/09/02 12:23
>>909
RPCサービスは止めたら大変なことになると思うのですが・・・

914 :名無しさん@お腹いっぱい。:03/09/02 12:31
とりあえず、新規購入パソコン1台につき修正パッチ入りCD-Rを1枚つけてくれれば
それなりに予防できないかなあ?

915 :名無しさん@お腹いっぱい。:03/09/02 12:37
>>914
それを使いこなせない人が購入する悪寒、新規販売ごとに店頭でインストロールがいいんじゃない?

916 :名無しさん@お腹いっぱい。:03/09/02 12:47
出荷時のOSインストールで、パッチを当てとけばいいよ。

917 :名無しさん@お腹いっぱい。:03/09/02 12:53
WINDOWS XP SP1.1とか?

918 :名無しさん@お腹いっぱい。:03/09/02 12:54
>>916
それが,大学生協じゃあ,区別つかんそうだ。
パッケージに「Blaster対策済み」
ってなシールでもはっておいてくれんとね。>メーカ各位

919 :名無しさん@お腹いっぱい。:03/09/02 13:04
>>913
>RPCサービスは止めたら大変なことになると思うのですが・・・

そう?
Windows Update終わるまでとめて何か問題有るの?


920 :氷月鬼 ◆EuropaFcZU :03/09/02 13:12
ダイヤル接続が切断不能 「ブラスター」の影響で
http://headlines.yahoo.co.jp/hl?a=20030902-00000055-kyodo-bus_all

921 :名無しさん@お腹いっぱい。:03/09/02 13:50
>>919
問題ありあり。大汗必至。「コンピュータの管理→サービス」では回復できない。
回復コンソール起動して回復することになる。折れはわけわかんなくなって
OS再インスコした。

絶対にRPCを無効にしてはいかん。理由は詳しい香具師が解説してくり。




922 :名無しさん@お腹いっぱい。:03/09/02 13:58
セキュリティを考えるならインターネットに繋がないのが一番ですね

923 :miniFAQ屋:03/09/02 14:02
このスレのFAQみたいなもの(>>7 >>8 >>10)をうpしたものでふ(汗
次スレのも用意してまふ。新学期にあわせてちょっと長いバージョンw

これだけは入れとけみたいのあったら教えてくださひ。









924 :名無しさん@お腹いっぱい。:03/09/02 14:03
>>922
はいはい。あなたもつながないでね。次のヒト…

925 :名無しさん@お腹いっぱい。:03/09/02 14:09
>>923 これからはやっぱり新しいPC買ってきて箱開けたひとたち対策が重要かと。
XPは>>910でFW有効にさせとけばとりあえずいいと思いますがWindows2000の場合、
初心者対策としてどうアドバイスしたらいいでしょう? 誰か指摘してたと思いますが、
Win2000内臓のパケットフィルタリングって使いにくいので。



926 :名無しさん@お腹いっぱい。:03/09/02 14:23
Win2000を今買うとしたらSP3以降になっていると思うからdcomcnfgからDCOMを無効化すればいい。

927 :名無しさん@お腹いっぱい。:03/09/02 14:26
【備えあれば】Blasterスレ Part.4【憂いなし】

928 :名無しさん@お腹いっぱい。:03/09/02 14:30
>>926
サンクスコ。Win2Kもってないので…それって

コマンドラインからdcomcfg.exe→タブから「DCOMを無効」をチェック

みたいな感じでせうか?



929 :名無しさん@お腹いっぱい。:03/09/02 14:34
もうなんでもありですなw

ダイヤルアップ接続の自動切断、MSブラストで機能せず
http://www.asahi.com/national/update/0902/027.html

930 :名無しさん@お腹いっぱい。:03/09/02 14:42
>>929
それって、バカなやつが莫大な電話代・接続料金を払うことになる
というだけの話だろう。

気をつけないやつがひどい目に会うのは、自然の摂理って気がする。

931 :926:03/09/02 14:45
>>928
そんな感じ。

ファイル名を指定して実行 dcomcnfg.exe
→規定のプロパティタブ
→このコンピュータ上で分散COMを有効にする(E)のチェックを外す。

という手順になります。

SP2以前の場合はこの対処法が使えないのが厳しい。

932 :名無しさん@お腹いっぱい。:03/09/02 14:45
>>923
お疲れ様です。
2kSP2の対処法(SP4の入手方法)
→msで購入(>747) or ネットカフェ等で入手(>745)
なんてのは要りませんか?

>>928
そんな感じ。(正しくはdcomcnfg)
MSに解説があったはずだけどURLは忘れますた。

>>929
>920

>>927
【備えあれば】Blasterスレ Part.4【うれしいな】

933 :名無しさん@お腹いっぱい。:03/09/02 15:05
>>929
ほかに最近のトピック無い?
>>928
dcomcnfg.exe
>>913
止めてるが、止めている以前と変わらずにゲイシOSは不調だが何か?
>>889
うん


934 :名無しさん@お腹いっぱい。:03/09/02 15:11
とりあえず95/98/Meでブラスタ並みの感染能力を持つワームは出てますか?

935 :名無しさん@お腹いっぱい。:03/09/02 15:20
2000のSP4のCD−ROM、注文してから10日過ぎたけど
いまだ送られてくる気配なし。

936 :名無しさん@お腹いっぱい。:03/09/02 15:29

 早くHDD全消去の亜種が出て → ゲイシ袋だたき を切望する

  誰も捕まりたくないか

   と言うかアルカイダさんあたりが作ってくれれば


937 :名無しさん@お腹いっぱい。:03/09/02 15:41
>>936
だめだろ。悪質なウィールスが出ると一番被害を受けるのは不正コピーや割れモノ
を使ってる香具師。痛い思いした企業ユーザーは(一部はLINUXに行くだろうが)
仕方なく製品を買う。ビルたん(゚д゚)ウマー


938 :名無しさん@お腹いっぱい。:03/09/02 15:54
>>937
(゚Д゚)ハァ?
スレの頭から出直して来いや

939 :名無しさん@お腹いっぱい。:03/09/02 16:15
>>938
お前が会社のIT担当だとして、今までWinのライセンス1本で20台にコピー
してたとするな。XPは認証が要る。だから認証を外したコピーは割れ物だ。
割れ物使ってて(それと関係あろうとなかろうと)ウィールスにやられて会社の
重要データあぼーんになりましたっていったらお前クビだ。経理が金出さな
かったといったら、経理も同罪。自分の身の安全考えたら担当者は正規の
製品買う。

LINUXだのMacだのに乗り換えりゃいいって口で言うのは簡単だが、会社
行ってそういってみろw 使い慣れたプラットフォーム変えるのがどれだけ
たいへんか分かるから。(ヲタのデザインスタジオなんかは言われなくても
すでにMac使ってるしな)

特に中国、韓国は正規製品は外資系企業くらいしか使ってない。コピー天国。
陰謀論者じゃないが、MSにはウィールスの流行を密かに歓迎する理由はあって
も、コードの品質を上げてバグを減らそうという動機づけにはならない。ウィールス
書くバカヲタは社会性ゼロの自己顕示欲のカタマリだから、ゲーツを攻撃してる
つもりだが、実は反対だというお笑い。






940 :名無しさん@お腹いっぱい。:03/09/02 16:18
一番割を食うのは正規ユーザな罠。

941 :名無しさん@お腹いっぱい。:03/09/02 17:04
>>940
もちろん正規ユーザーも迷惑する。当たり前だw しかしゲーツにとっては
修正パッチ当てられない非正規品を退治するウィールスの流行は確実に
プラスだってこと。世界中でウィールスの流行で迷惑しない唯一の人間が
ゲーツだというのが腹立たしい罠

デムパに誤解されないように断っとくが、漏れはすべてのウィールスの背後
でゲーツが糸を操っているとか妄想飛ばしてるんじゃないぞw 放っておけば
必ずヒッキー高校生だの失業プログラマだのがくだらんウィールスを書く。
小学生でも線路に置石して電車ひっくり返すことができるのと同じだ。ゲーツ
はただ待ってりゃいいだけ。

OSの販売売上から一定割合を上納させて「重要プログラム品質管理委員会」
みたいな第三者機関をつくってコードのバグチェックをやらせたらどうなんだ
と反MS陣営の技術屋に言ってみたが、「そんな委員会がバグを見つけた頃
にはそこらの高校生がもうウィールスを書いてる」と笑われた。なんかうまい
方法はないのかね。愚痴が長くなったw ソマソ。








942 :名無しさん@お腹いっぱい。:03/09/02 17:16
デムパ (・∀・)スンスン

943 :氷月鬼 ◆EuropaFcZU :03/09/02 17:17
>>941
>修正パッチ当てられない非正規品
この部分にダウト。

少なくとも今回の件に関しては割れだからとか全然関係ないし。

944 :名無しさん@お腹いっぱい。:03/09/02 18:22
>>943
だから今回の件については>>939で「それと関係あろうとなかろうと」と断ってるだろ。

MSはXPの認証を次の版では「さらに厳密化」すると言ってる。非正規品ユーザー
がアップデートできない(きわめて難しい、摘発されやすい)状況になるのは時間の
問題だ。サービスパックのCD雑誌配布をやめたのもその一環。(今回は渋々
ちょっとだけ再開したがw) 

どうでもいいが、藻前ら…ウィールス撒くとビル・ゲーツが困ると本気で思ってんのか?



945 :名無しさん@お腹いっぱい。:03/09/02 18:28
公的機関ではWindowsはまずいんでないの?

946 :名無しさん@お腹いっぱい。:03/09/02 18:29
>>944
おいおい、「藻前ら」はないだろう。「藻前」といえよ。

実際な、パソコン素人がPCかって、ネットつないで感染して、雨後かね〜、
ってショップへもってきて、感染とかしないのと交換してくれっていって、
間違ってマックでも買っていかれた日には、ちと困るんではないか?

947 :名無しさん@お腹いっぱい。:03/09/02 18:34
>>945
公的機関だからWindowsでないとまずいんよ。

よ〜く、みなはれ国産メーカーで非Windowsクライアント
だしてるとこあんの?

LindowsもMacもたーぼなんちゃらも赤帽も、、、みん〜ん外国さん。
98にくしでDOS/V導入したときから、運命はきまっていたのさ。

政府系のサイトいってごらんよ。Winでないと動かないとこだらけだぜ!

948 :氷月鬼 ◆EuropaFcZU :03/09/02 18:35
普通の人間はウィルスを撒いて得をするのは〜
と言う話をした時は、まっさきにシマンテックとかトレンドマイクロとかを持ち出すんだがなぁ。
Blaster騒ぎで株も上がったらしいし。

949 :名無しさん@お腹いっぱい。:03/09/02 18:38
>>948
そんな誘い水だしちゃうと、まっちぽんぷ伝説電波がでてくるから、
それ禁句ね。(笑)

950 :氷月鬼 ◆EuropaFcZU :03/09/02 18:39
>>949
御意。スマンカッタ。

951 :944:03/09/02 18:43
>>946
では藻前w…まあマックはともかくリヌクス屋はチャンス!って張り切ってるし、
実際企業向けにはある程度追い風にはなるだろうな。MSがあまり鬼の首取ったように
認証、認証ってうるさくやると、クソッタレもうそんな高い金払うくれーなら死ぬ気で
LINUX勉強しちゃるって香具師は出てくるだろう。

ただ、LINUXは大企業や個人ヲタにはいいんだが、中規模(数十台くらい)のシステム
にはまだまだ敷居が高い…ってますますスレ違いスマソ



952 :名無しさん@お腹いっぱい。:03/09/02 18:48
Radio (・∀・)Zoom Zoom

953 :miniFAQ屋でふ:03/09/02 18:50
難しい議論の最中失礼しまふ。ブラスタDの「新学期用ミニFAQ 長あ〜い
バージョン」β版つくってみまふた。これからちょっと出まふのでここへうp
しときまふ。次スレ立てる方、ご笑覧のうえ、取捨選択ご利用くだされりませ
1から11までありまふ。  m(. .)m

954 :名無しさん@お腹いっぱい。:03/09/02 18:51

【WORM_MSBLAST.D miniFAQ 緊急です! 感染しちゃったぽ】
Q 突然パソコンが勝手にシャットダウンするようになったんですが?
A あひゃ、それは感染してますねー。ウィールス広めないようにまずケーブルを
  抜きましょう。!!ウィールスは広めるあなたもウィールスじゃ!!
Q 駆除ツールとか拾ってきたんですが、なんかうまくいきません。
A まずウィールス本体のプログラムの動作を停止する必要があります。
Q ウィールス本体のファイル名は何ですか?
A WINNT\system32\winsディレクトリ中のDLLHOST.EXE SVCHOST.EXEの二つです
Q svchost.exe dllhost.exeってそもそも何ですか?
A どちらもWindowsの重要なシステムファイルです。本物を停止させちゃうと
  Windowsが死にますです
Q ニセモノと本物の見分け方は?
A ニセモノは\WINNT\system32\winsというデイレクトリに巣食っています。
  ニセモノはエクスプローラで作成日を見ると感染日(最近)になっています。
  また本物とはサイズも違います。
Q タスクマネージャーのプロセスイメージ欄で本物とニセモノの区別がつきますか?
A ニセモノは大文字でSVCHOST.EXE DLLHOST.EXEと表示されるという報告あり。
  (注 全ての場合にそうかどうか未確認)
Q タスクマネージャーでニセモノのSVCHOST.EXE DLLHOST.EXEが停止できません。
A セーフモードで起動してからタスクマネージャーで停止させます。
Q セーフモードって?
A まずOSの再起動をかけます。OSの起動中にF8キーを何度か押す。セーフモードで
  起動したらタスクマネージャーで糞プログラムを停止し、ゴミ箱に捨ててやります。
  それからおもむろに駆除ツールで修復へ

955 :名無しさん@お腹いっぱい。:03/09/02 18:52

【WORM_MSBLAST.D miniFAQ 初心者なんですが】
Q 初心者なんですがこれからPC買いに行きます。なにか注意ある?
A 箱開けてそのままPCネットにつなぐと十秒くらいでブラスタに感染しまつ。
Q ええっ…じゃ買うのよそうかな((((((;゚Д゚))))))ガクガクブルブル
A もちついてください。XPの場合、とりあえずの対策は簡単です。
  このFAQの後の方で「XPのファイアウォールを有効にする」を見てください。
  Win2000 の場合、その後の「DCOMを無効にする」を見てください。

【WORM_MSBLAST.D miniFAQ 予防対策のお話】
Q どうすれば感染を予防できますか?
A ブラスターに限らず次のような対策をしていれば大きな被害を受けることは
  まずないです。
 Windows をアップデート
  ウィールス/ワームが利用するセキュリティの穴を塞ぐ
 インターネットとの接続にルータを設置
  外部からの侵入を防ぐ。(社内LAN等ルータの内側に持ち込まれたPCからの
  感染は防げない)
 各PCにファイアウォールソフトを常駐
  LANからの侵入・拡散を防ぐ。(ルータなしの環境では外部からの侵入も防ぐ)
  起動時のタイムラグに注意。(起動の際ケーブルを抜いておくと万全)
 アンチウィールスソフトを常駐
  FDやCDなどのメディアからの侵入も防ぐ。万一感染したときに駆除してくれる。

956 :名無しさん@お腹いっぱい。:03/09/02 18:53

【WORM_MSBLAST.D miniFAQ 一般的なお話】 
Q 無償の対策CDはいつ、どこで手に入りますか?
A 8月27日から、全国の家電量販店、パソコンショップの店頭で配布開始した
  もののトレンドなど大手はすでに配布終了。すでに激レアものか?
Q このごろやたらにICMP(2048)とかいう接続要求がくるんですが?
A それがブラスタDのしわざです。
Q このICMPの接続要求って攻撃されてるってこと? 
A このウィールス(正確にはワーム)はICMP(2048)を自分の周囲のPCに猛烈に打ち
  まくり、返事があるとport135というドアから入りこみます。鯖立ててる場合以外は
  ファイアウォールでport135を閉めておけばOK。ping自体は無害です。
Q ブラスタDってどのポートから入ってきやがりますか?
A 普通はport135から入ってきてバックドアをport707に作りやがります。プログラム
  本体が転送されるのはこのport707(なお、IIS5.0を利用しているサーバーマシンの
  場合、port80を通じてWebセッションが攻撃されます)
Q ICPMのping、うぜーんだけど。どーにかなんね?
A 残念ながら打つ手なし。ファイアーウォールやルータをしかるべく設定した上でシカト。
Q pingなんかプロバで止めろよ
A ICMP止めてもWebセッションにはほとんど影響ないんですが、プロバがユーザーの様子
  見るのに使ってたり、企業ネットでも使われてたりして、止めにくいみたいでつ
Q ブラスタDは別名がいろいろあるようですが?
A マイクロソフト、各アンチウィールスメーカーが独自に名前をつけるのでまぎらわしい
  です。ウェルチア、ナチ、ラブサン など。
  WORM_MSBLAST.D [トレンドマイクロ] W32.Welchia.Worm[シマンテック]
  W32/Welchia.worm10240 [アンラボ] W32/Nachi.worm [マカフィー]
  Lovsan.D [F-セキュア] さらにブラスタEとか新種が出てるという情報もありまつ。


957 :名無しさん@お腹いっぱい。:03/09/02 18:54

【WORM_MSBLAST.D miniFAQ 情報収集リンク編1】 
Q オンラインでウィルスをチェックしてくれるサイトはありますか?
A トレンドマイクロ(ウイルスバスターオンラインスキャン)
   http://www.trendmicro.co.jp/hcall/scan.htm
  シマンテック(ウイルススキャン)
   http://www.symantec.com/region/jp/securitycheck/index.html
Q 駆除ツールはどこからダウンロードできますか?
A トレンドマイクロ
   http://www.trendmicro.co.jp/hcall/index.asp
  シマンテック
   http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
  サイゲート
   http://scan.sygate.com/prequickscan.html
Q マイクロソフトのパッチってどういうのですか?
A 修正パッチは2つあるので注意してくらさい。
  ms03-026(RPC脆弱性→Win98,ME以外のすべての製品に関係)
   http://www.microsoft.com/japan/technet/security/bulletin/MS03-026.asp
  ms03-007(WebDAV脆弱性→IIS5.0をインストールしているWebサーバーマシン)
   http://www.microsoft.com/japan/technet/security/bulletin/MS03-007.asp


958 :名無しさん@お腹いっぱい。:03/09/02 18:55

【WORM_MSBLAST.D miniFAQ 情報収集リンク編2】 
Q このウィールスの詳しい解説はどこで見られますか?
A マイクロソフト『Blaster ワーム』 および関連する情報の一覧(本家だけあって充実w)
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/virus/blstlink.asp
  トレンドマイクロWORM_MSBLAST
   http://www.trendmicro.co.jp/msblast/
  シマンテックW32.Welchia.Worm
   http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.welchia.worm.html
  警察庁サイバーポリス公式解説(修復手順が詳しい。レジストリ情報もある)
   http://www.cyberpolice.go.jp/important/20030819_131641.html
  情報処理振興事業協会公式解説(リンクが充実してます。勉強家におすすめ)
   http://www.ipa.go.jp/security/topics/newvirus/msblaster.html

959 :名無しさん@お腹いっぱい。:03/09/02 18:55
7  
【WORM_MSBLAST.D miniFAQ ファイアーウォール編】
Q ファイアーウォールって何?
A ファイアーウォール(FW)はデータ通路の玄関(port)の警備員みたい
  なものです。通行許可証のない人(データ)を通さないようにします。 
Q ファイアーウォール入れていても感染しますか?
A 感染します。OSがネットに接続してからFWソフトが立ち上がるまでの
  わずかなスキに侵入されることがあります。修正パッチ当てる前のOSを立ち
  上げるときはケーブルを抜くか、モデムの電源を落としておきます。
Q 無料のファイアウォールってどうなのよ? ちゃんと役に立つ?
A 次のような製品があります。機能は十分です。詳しいことはそれぞれのサイトやスレで 
 アウトポスト Outpost
  http://www.agnitum.com/download/outpost1.html
 ゾーンアラーム Zone Alarm
  

http://www.zonelabs.com/store/content/company/products/znalm/freeDownload.jsp?lid=zadb_

zadown
 ケリオ Kerio Technologies Inc. | Kerio Personal Firewall
  http://www.kerio.com/us/kpf_home.html
 サイゲート SygatePersonalFireWall
  http://soho.sygate.com/free/default.php

960 :名無しさん@お腹いっぱい。:03/09/02 18:57

【WORM_MSBLAST.D miniFAQ XP付属ファイアウォール編】
Q Windows XPの付属ファイアウォールは有効ですか?
A Windows XPのファイアウォールはウィールスが入り込むport135を閉じるのに
  有効です。ただし、このファイアウォールはデフォルトでは無効になってます。 
  有効にする手順は以下のとおり。
   コントロールパネル→ネットワークとインターネット接続→普段使っている
   接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
   「コンピュータとネットワークを保護する」にチェックを入れる
Q XPの「ネットワークの接続」がみつかんないよー?
A 以下の方法も試してくださいでつ。
   スタート→設定→ネットワーク接続
   スタート→接続→全ての接続の表示
   スタート→マイネットワーク→ネットワーク接続を表示
Q XPのファイアウォールで十分でつか?
A XPのおまけFWは外から中へ(inbound)の侵入は防ぎますが、いったん感染して
  しまうと中から外へ(outbound)ウィールスをばら撒くのをチェックできません。
  Zone Alarm Outpostなど中から外もチェックする製品入れておくべき。



961 :名無しさん@お腹いっぱい。:03/09/02 18:57

【WORM_MSBLAST.D miniFAQ Windows 2000編】
Q これからWindows2000 Pro をインストールしようと思ってますが、そのままつないで
  大丈夫ですか?
A 大丈夫ではありません。Win2000 SP4適用済み だったら、ネットにつなぐ前に
  まず応急措置としてDCOMを無効にします。
   スタート→ファイル名を指定して実行→dcomcnfg.exe
   →「既定のプロパティ」タブ
   →「このコンピュータ上で分散COMを有効にする」のチェックを外す。
   →ネットにつないでパッチをダウンロード
  Win2000 SP4未適用の場合はちょっとめんどいでつ。裸のまま捨て身でファイアウォール
  ソフトを落としてきて…あと「感染しちゃったぽ」見てください。
Q Win2000のSP4適用しようと思うけどブラスタに邪魔されて落とせません(泣
A ↑を参考にまずファイアウォールとアンチウィールスを入れる。どうしてもまずSP4
  が欲しい場合はMSに通販頼むかネカフェでCDに焼き焼きしてくる。

10
【WORM_MSBLAST.D miniFAQ スレ違い編】
Q すげー量のウィールスメールが来るんです! 誰かに狙われてるんでしょうか?
A それはSobigFです。こっちで聞いてね→【Thank You!】Sobig.Fスレ
  http://pc.2ch.net/test/read.cgi/sec/1061479494/

962 :名無しさん@お腹いっぱい。:03/09/02 18:58
11
ブラスター関連 前スレ
1.[08/12 16:23]【RPC】カウントダウン後、再起動してしまう
http://pc.2ch.net/test/read.cgi/sec/1060673014/
2.[08/14 18:33] 【流行中】msblast対策スレ【カウントダウン後再起動】
http://pc.2ch.net/test/read.cgi/sec/1060853614/
3.[08/16 06:25] msblast対策スレ【カウントダウン後再起動】2日目!
http://pc.2ch.net/test/read.cgi/sec/1060982749/
4.[08/18 20:11] msblast対策スレ【ICMP祭り開催中】3日目!
http://pc.2ch.net/test/read.cgi/sec/1061205064/
5.[08/19 01:26] ブラスト4
http://pc.2ch.net/test/read.cgi/sec/1061223981/
6.[08/19 22:48] msblast対策スレ【セカンドインパクト】4日目
http://pc.2ch.net/test/read.cgi/sec/1061226881/
7.[08/21 13:53] 【まだ】Blasterスレ Part2【終わっちゃいない】
http://pc.2ch.net/test/read.cgi/sec/1061002243/
8.[08/23 22:58] 【早く】 Blasterスレ Part3 【対策しろ】
http://pc.2ch.net/test/read.cgi/sec/1061647087/


963 :miniFAQ屋:03/09/02 19:00
以上でふ。たいへんお邪魔いたまふた。
M( . .)M


964 :名無しさん@お腹いっぱい。:03/09/02 19:01
ウイルス予防
ttp://i-bbs.sijex.net/servlet/ImageOutput?pa=bbs/4371/1061033512578o.jpg&id=4371&t=1062495927281

965 :名無しさん@お腹いっぱい。:03/09/02 19:12
http://www.zdnet.co.jp/news/0309/02/njbt_01.html
気づかないやつが悪いんだろ

966 :名無しさん@お腹いっぱい。:03/09/02 19:16
>>963
大変お疲れ様でした。
(私が必要と思うものは網羅されているようです。)

967 :名無しさん@お腹いっぱい。:03/09/02 19:21
>>965
ま、扉灯つけっぱなしで、夜中じゅうノックされている
家主がわるいのか、それとも近所迷惑虫で、ノックしつづけるやつが
わるいのかって問題だな。

ダイアルアップルータに接続している全部のPCが感染していなくても、
たまたまうえぶ閲覧していたり、メールしてたり中に、
外部の感染PCからPING打たれて、それがやまない。
でルータが回線を切れない。。。そういう事故なんだよな。

それでも一方的に、ルータ利用者が悪いといえるのかな?

さあ、弱い頭で考えてみよう。ぽくぽくぽく。

968 :名無しさん@お腹いっぱい。:03/09/02 20:02
>954 ご苦労様です。
> 1
> 【WORM_MSBLAST.D miniFAQ 緊急です! 感染しちゃったぽ】
> Q 突然パソコンが勝手にシャットダウンするようになったんですが?
> A あひゃ、それは感染してますねー。ウィールス広めないようにまずケーブルを
>   抜きましょう。!!ウィールスは広めるあなたもウィールスじゃ!!

ここでいきなりケーブルを抜いてしまう慌て者がいそうですw。
そして途方に暮れてつなぎ直すとw。
「抜きましょう。!!」の前の部分に、何をしたらよいか、
何を集めたらよいか(ソフトなど)、何を確認したらよいか、
をうまく誘導するようにできないでしょうか。

FAQとは別にちょっと疑問に思うのは、たとえ汚染された状態でも
Windows Update自体は完了できるの?もしできるなら第一はそれがいいかなあと。


969 :名無しさん@お腹いっぱい。:03/09/02 20:15
Dはカウントダウンかからないんじゃなかったっけ?

970 :名無しさん@お腹いっぱい。:03/09/02 20:26
>>969
かかる

971 :名無しさん@お腹いっぱい。:03/09/02 20:30
>>970
うんにゃ かからないから感染したことに気がつかない
Aに感染→カウントダウン→調子ワルゥ〜→Dに感染→直ったァ
で ping打ちまくって迷惑かけまくり


972 :名無しさん@お腹いっぱい。:03/09/02 20:30
>>968
ケーブル抜かずにウィールスプログラムを停止・駆除しても速攻再感染すると思われ。
「まずこのスレダウンロードしてからケーブル抜きましょ」かな?


973 :名無しさん@お腹いっぱい。:03/09/02 20:34
>>969
Dだと再起動かかんないね。おれはfwのポップアップが出て気づいた。
↓のように訂正を提案

Q 感染してるといわれますた
A あひゃ、それは感染してますねー。ウィールス広めないようにまずケーブルを
  抜きましょう。!!ウィールスは広めるあなたもウィールスじゃ!!


974 :名無しさん@お腹いっぱい。:03/09/02 20:34
ブラスターって感染した後にウインドウズアップデートしてもダメなの?
ツールで駆除してからあらためてアップデートしないとダメなの?


975 :名無しさん@お腹いっぱい。:03/09/02 20:36
ええ、ちがかった。これならどう?

Q よくわかりませんが、ブラスタに感染してるといわれますた
A このスレ保存してから、とりあえずウィールス広めないようにまず
  ケーブルを抜きましょう。
  !!ウィールスは広めるあなたもウィールスじゃ!!



976 :名無しさん@お腹いっぱい。:03/09/02 20:40
>>973
オリジナルのブラスタで再起動かかっちゃう香具師もまだいるような

977 :名無しさん@お腹いっぱい。:03/09/02 20:42
もう議論は後で…次スレ立てよう


978 :名無しさん@お腹いっぱい。:03/09/02 21:03
これは困ったぞ・・・・

979 :うおおおーー:03/09/02 21:12
ウイルスバスター2003 ログリスト
"種類","時刻","受信/送信","プロトコル","送信元IPアドレス","送信元ポート","送信先IPアドレス","送信先ポート","説明"
"ファイアウォール","00:02:01","送信","UDP","192.168.0.2","138","192.168.0.255","138","NetBIOS"
"ファイアウォール","00:02:01","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:02:02","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:02:02","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:02:05","送信","UDP","192.168.0.2","138","192.168.0.255","138","NetBIOS"
"ファイアウォール","00:02:05","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:02:06","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:02:07","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:02:09","送信","UDP","192.168.0.2","138","192.168.0.255","138","NetBIOS"
"ファイアウォール","00:02:09","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:02:10","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:02:11","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:02:14","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:02:14","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:02:15","送信","UDP","192.168.0.2","137","192.168.0.255","137","NetBIOS"
"ファイアウォール","00:14:16","送信","UDP","192.168.0.2","138","192.168.0.255","138","NetBIOS"


980 :名無しさん@お腹いっぱい。:03/09/02 21:21
>>979
とっとと対策白

981 :名無しさん@お腹いっぱい。:03/09/02 21:33
Windows98に感染する亜種も出るとか聞いてましたがもう98に感染する亜種
というのは広がってるんでしょうか?

982 :名無しさん@お腹いっぱい。:03/09/02 21:33
自分と似たIPからのICPMがとても多い
という事は…



さっさと対策白!!!!!!!!!!!

983 :名無しさん@お腹いっぱい。:03/09/02 21:34
ブラスターって感染した後にウインドウズアップデートしてもダメなの?
ツールで駆除してからあらためてアップデートしないとダメなの?


984 :うおおおーー:03/09/02 21:35
ファイアウォール","20:20:49","受信","ICMP","192.168.0.1","N/A","192.168.0.2","N/A","ICMP Destination Unreachable"
"ファイアウォール","20:20:49","受信","ICMP","192.168.0.1","N/A","192.168.0.2","N/A","ICMP Destination Unreachable"
"ファイアウォール","20:20:49","受信","ICMP","192.168.0.1","N/A","192.168.0.2","N/A","ICMP Destination Unreachable"
"ファイアウォール","20:20:50","受信","ICMP","192.168.0.1","N/A","192.168.0.2","N/A","ICMP Destination Unreachable"
"ファイアウォール","20:20:50","受信","ICMP","192.168.0.1","N/A","192.168.0.2","N/A","ICMP Destination Unreachable"
"ファイアウォール","20:20:50","受信","ICMP","192.168.0.1","N/A","192.168.0.2","N/A","ICMP Destination Unreachable"
"ファイアウォール","20:20:50","受信","ICMP","192.168.0.1","N/A","192.168.0.2","N/A","ICMP Destination Unreachable"
"ファイアウォール","20:20:51","受信","ICMP","192.168.0.1","N/A","192.168.0.2","N/A","ICMP Destination Unreachable"
"ファイアウォール","20:20:51","受信","ICMP","192.168.0.1","N/A","192.168.0.2","N/A","ICMP Destination Unreachable"

985 :名無しさん@お腹いっぱい。:03/09/02 21:35
それ、おれもわからんのよ。

986 :名無しさん@お腹いっぱい。:03/09/02 21:38
ゾーンアラームのログによると、最近もっともブロックしたのはエクセルの送信で119回。
ある意味、うおーーーーだな。何をしてるんだろう?正規ユーザーなのに。

987 :名無しさん@お腹いっぱい。:03/09/02 21:38
>>979,>>984
お前うっとうしい。
なんか日本語書け。

988 :名無しさん@お腹いっぱい。:03/09/02 22:10
symantecのブラスター亜種駆除法マニュアルの手順6に、
WinXPのみ「システムの復元を無効にしろ。」
とあります。
しかし、いったん無効にしたら、いつ有効にしたらよいんでしょうか?
いつまでも無効にしておくのも怖いんですが…。
教えてください。

989 :名無しさん@お腹いっぱい。:03/09/02 22:11
駆除を確認したら有効にしてもいいんでないの?

990 :名無しさん@お腹いっぱい。:03/09/02 22:20
>>988
ウイルスに感染してるシステムデータがなければ
確認後に有効にしてもいいのでは?

991 :名無しさん@お腹いっぱい。:03/09/02 22:30
>>988
「システムの復元」で復元フォルダにウィールスが保存されて
しまうのを防ぐためだから、駆除が終了したら復元を有効に
戻してくらさい。

992 :988:03/09/02 22:32
>>989, >>990
なるほど、そうなるんですね。
ありがとうございます。


993 :名無しさん@お腹いっぱい。:03/09/02 22:34
イケメンが10000get

994 :( ○ ´ ー ` ○ )Nachiありがとう:03/09/02 22:37
>>983
アップデートは、セキュリティホールの修正しかやらないと思うぞ。

995 :名無しさん@お腹いっぱい。:03/09/02 22:45
千頂きます。

996 :名無しさん@お腹いっぱい。:03/09/02 22:48
>>982
>自分と似たIPからの
それがぶラスタの仕様\\Y// ダッチュゥノ!

997 :名無しさん@お腹いっぱい。:03/09/02 23:01
1000n!

998 :名無しさん@お腹いっぱい。:03/09/02 23:03
次スレは?

999 :名無しさん@お腹いっぱい。:03/09/02 23:03
tugi

1000 :名無しさん@お腹いっぱい。:03/09/02 23:04
たてれ

1001 :1001:Over 1000 Thread
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。

277 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)