MSNでウイルス感染！？

1 ：01/09/19 〜 最終レス ：2012/10/11

ニュー速板では、あきらかにウイルスだと言う人も
出てますが、どうなんでしょう？
関連スレ
MSNにウィルス添付？
http://news.2ch.net/test/read.cgi?bbs=news&key=1000822776

2 ：

http://www.msn.co.jp
を開くとreadme.exeというファイルがDLするようになってるそうです。

3 ：

MSNがやられましたｗ
topを読むと送られてきます。
http://www.msn.co.jp/readme.eml

4 ：

おいおい、古い穴狙ってるな

5 ：

emlから直接Base64の部分抜き出してデコードしてみたけど、
なんでこのファイル、こんなアイコンなんだ。
つーか普通にレスしちゃったけど、>>3のリンクはIEにパッチ
当ててない奴はまずいだろ。

6 ：

>>5
あ、ごめん。ネスケなので気が付かなかったー。

7 ：

http://www.mv-tohoku.co.jp/
http://www.prland.co.jp/
ここも同じ現象らしいよ。

8 ：

ついでにバイナリエディタで覗いて見たけど、こいつも
Admin.dllとか言ってるな。最近はさすがにCodeRedスレ
見てなかったから知らんけど、そこらへんの新種が関係
してんのかね

9 ：

MIMEのデコードが上手くいかない(;´Д`)
readme.exeのみのヘッダ教えてﾁｮ

10 ：

ということで、CodeRedスレの人間に聞いた方が早そうだな。寝よ

11 ：

http://210.150.177.216/
ここもな。

12 ：

>>9
ん？readme.exeのみのヘッダ？

13 ：

>>9
base64デコーダを使え。

14 ：

>>2,7
IIS使う馬鹿に何が提案できるんだ

15 ：

>>12-13
RarUty使ってるのだが、base64として認識してくれない(;´Д`)

16 ：

寝ようと思ったけどまだ1時にもなってないのか。
見直してみたけど、やっぱりtftpとかも書いてあるわ。

17 ：

128 名前：　 投稿日：01/09/19 00:40 ID:KLLLh/gg
突然*.emlファイルが数千作成され、エクスプローラー開くと空き要領が5MB/secくらいの
スピードで減っていった。LANでつないでいるリブレットも同時進行(^^;

18 ：

>>17
実行したんかい（ｗ
それにしても、「不正なMIMEヘッダを含む〜」とCodeRedの
合作かな。なんか面白みないね

19 ：

ワシもバイナリ観察ちゅう。いろいろ手が込んでますな。
しかし>>17のように実行は出来ないｗ

20 ：

新種ウイルスという話になってる＜ニュース速報

21 ：

やっぱ、ここで、話題になってましたか・・・・
実は、実行しちゃいました＞＜
readme.exeですが、
concept virs (CV) v5
って文字列が含まれてます。(TT)
concept virsをちょっと、調べてみたのですが、
英語版wordに感染するマクロウィルスらしいです。

22 ：

ああ、VMwareのバーチャルマシン上で実行しようとしたら、
何日か前に消しちまったんだった。残念。まあ挙動はバイナリ
みるだけでほとんど書いてあるような気もするが。

23 ：

21です。
ニュース速報って、どこの、ニュース速報？＞２０

24 ：

>>23
あ、ややこしい書き方でｽﾏｿ、ココ（2ｃｈ）です。

25 ：

対策されたみたいです、もう開きません

26 ：

ん？ちと待てよ。これって今度は無差別にこのemlを
送信するわけか？だとしたらトラフィックがまた・・・。
一個76.6KBのファイルをガンガン送られたらかなわんな

27 ：

>>17
その128、俺。

28 ：

>>27
ネットワークの方はどうなってる？パケット送りまくり？

29 ：

>>28
Librettoとラブコールしまくりだった。

30 ：

該当バグ。IE5.5と5.01だけらしいです。それ以前以後のIEやネスケには無関係(らしい)
http://www.microsoft.com/JAPAN/support/kb/articles/JP290/1/08.htm
ん？するとバックドアで入ってweb閲覧者にも送りつけて繁殖？
IE5.01〜5.5限定とはいえ被害が広がるねえ。

31 ：

>>29
そうか、じゃあ後は自分で解析するのも面倒っつーか
意味ないからCodeRedスレのログでも読むかな。

32 ：

速報板のスレ。
http://news.2ch.net/test/read.cgi?bbs=news&key=1000822776&ls=50&nofirst=true

33 ：

過去ログ読んできたけどまだそれほど情報でてないな。
１のスレも読んでみたけど、メディアプレイヤーが立ち上がる？
「不正なMIMEヘッダ〜」に加えて、「MediaPlayerのスキンファイル〜」
の穴も突こうとしてんのかね。出遅れたからわからん。
CodeRedスレの人間教えれ

34 ：

http://www.trusecure.com/html/tspub/hypeorhot/rxalerts/tsa01024_cid177.shtml
かなぁ。

35 ：

詳細はここで。
http://memo.st.ryukoku.ac.jp/archive/200109.month/thread.html

36 ：

nimda？

37 ：

今日は夜から、なんかネットが重いなって思ってたけど、
こいつがでかいファイルを撒き散らしてたわけね

38 ：

>>35
サンクス、ざっと読んできた。また祭りか？とか思ってたけど、
洒落にならん・・・16種類。しかも良く考えたら「不正なMIME〜」は
IEだけじゃなく、OutLookもか・・・

39 ：

Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
って書いてあるよ？

40 ：

でかいって言っても高々79261バイトじゃないのｗ

41 ：

>>40
無差別に撒き散らすとしたら十分すぎるほどでかい

42 ：

>>40
認識甘すぎ・・・・

43 ：

すまん。鬱だ寝よう。

44 ：

>>43
まぁまぁ、ドンマイドンマイ
それにしても、こんどのコードネームは Nimda か

45 ：

つーかドンマイ言ってる場合じゃなかった。またも
ARP Floodが〜。1分にARPだけで1025パケット・・・

46 ：

readme.exeを実行して、ブルーなので寝ます。
はぁ〜

47 ：

実行したらexplorer.exeが落ちてﾜﾄｿﾝ博士が反応した
ﾒﾓﾘﾘﾌﾚｯｼｭするには便利なｱｲﾃﾑだよ

48 ：

ﾜﾗﾀ
しかし笑い事じゃない。どうでもいいけどこのreadme.exe、
リソース覗いてみたらアイコンが５つ。・・・意味ないぞ
とりあえず今回もJ-COM内からのアタックがガンガン来てる
上にARPの数はさらに増えつつある。とりあえずJ-COMに
メール出しとくか。

49 ：

　

50 ：

http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
結局、脆弱性”Unicode Web Traversal”のパッチは無し？
ってことは、IIS全部感染対象？
URLScanしか方法無いのかなぁ。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010914/1/

51 ：

しゃれにならんねえ


ﾜｼｮ-ｲ

52 ：

ぱっち。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078

53 ：

ﾜｹ ﾜｶ ﾗﾝ

54 ：

まだ読んでないけど、
Scary Hybrid Internet Worm Loose
http://wired.com/news/technology/0,1282,46944,00.html

55 ：

>>54
Nimdaは、先週起こったテロとは関係ないっちゅーことやろ

56 ：

感染サイト(^^;
http://search.fresheye.com/?kw=readme.eml&term=monthly
今日の昼頃には感染サイトが爆発するでしょう。

57 ：

シマンテックの解析が進んでるねぇ。凄い凄い。
がんばれしまんてくー。

58 ：

これってさぁ、「ウチはApache for Winだから関係ないもーん」とか
思ってても、メールから感染したら、やっぱwebページが改竄されるのかなぁ。

59 ：

>>58
感染したPC側はサーバーへのアタックもやるのかな。
それによると思う。
同じウィルスの感染手段が異なるだけのものだとすれば、
Webも改竄されるのでは。

60 ：

このワーム絶対ヤバイよ、、。どうも>>59っぽいし。
そういえば
http://www.msn.co.jp/
ふっかつしないね、、、。

61 ：

複数の感染方法を持ってるのかよ。

62 ：

http://www.mv-tohoku.co.jp/
http://www.prland.co.jp/
このサイトをクリックしたらPCがバリバリバリバリいうようになっちゃったよぉ〜。
もう30以上もつづいているよ。。。
ファイルのダウンロード画面が一瞬出たんだけど、
保存するってやらなくても落ちて来ちゃうの？
対処法はどうすればいいの？
ぁぁぁぁぁああああパニックだよぉぉぉぉぉおおおおお！

63 ：

Windowsファイル保護っていう画面が出て
Windowsを正しく動作するための必要なファイルが認識できない
バージョンのファイルに置き換えられています。システムの
安定を維持するために、これらのファイルを元のバージョンに
復元する必要があります。
Wndows2000 Professional CD-ROMを挿入してください。
ってなるんだけど、ただCDを入れれば勝手に処理してくれるのんですか？

64 ：

Un Installなんとか
Map....
っていうお知らせ画面がでてきました。

65 ：

駆除方法が確立されるまで、手出さないほうがいいんじゃない？

66 ：

あー、あんなの見てなくてよかった。
オレ、msnなんて昔から見たことないから・・・・・
あの錆、めちゃ遅いからね。
いまだに、立ち上げと同時にmsnが表示されたままの人が
多いようだし・・・・

67 ：

>>63
いやいや。
しばらくすると、各社から修復方法が発表になると思うので、
それまでは、予備のＰＣでやっていた方がいいと思う。

68 ：

静かです、、すごく静かになりました。。。。
なんだかPCの中にとんでもない悪者が潜んでいそうでとてもコワイです。

69 ：

このemlファイル使った穴を塞ぐパッチって、IE5.5SP2には
含まれてるよね？

70 ：

ＩＰアタック来てますか？

71 ：

まだ駆除方法は出てないわけだ？
ひっかっかっちゃったよヽ(´ー｀)ノ　実害出てないけどね。。
そのうちファイルあぼられたりするのかなあ？

72 ：

>>70
昨日だけで34回きた

73 ：

そうそう、各フォルダに009.emlとかいうファイルがいっぱいできてた。
ﾃﾞｽｸﾄﾌﾟﾝだけじゃなかったみたい(´Д｀)

74 ：

どんな解説見てる？

75 ：

これってアメリカの報復ﾊｶｰと関係あるのかなぁ？

76 ：

ラウンジにサイト貼られてたから開けちゃったよヽ(;´ー｀)ノ
ファイルのバックアップとっといた方がいいかな？　 　 　

77 ：

うちやられちゃったよ・・・。
http://mimizun.mine.nu/
ハードディスクいっぱいにしてくれました。一応、*.emlと*.tmp.exeを削除しました。
でもなぁNTsp6aのIISでSRPあてていたんだが・・・

78 ：

もしかしたらファイル消されたかもしれない。C:\のファイルが。。
気のせいかもしれないけどね。あと.eml消せなくなってるよ？？
>>77
ご愁傷様。。なんか実害あった？ファイル消されたりするのかなぁ？
意味ないんじゃないの？？

79 ：

ゴルァ、おれのサーバにアホみたいにきてるぞ。
CodeRedIIの比じゃないぐらいの割合で。

80 ：

>69
　このemlファイル使った穴を塞ぐパッチって、IE5.5SP2には
　含まれてるよね
IE6,0はどうなんでしょうか？

81 ：

新種ウイルス「Ｎｉｍｄａ」の感染拡大＝米司法長官
http://headlines.yahoo.co.jp/hl?a=20010919-00000116-jij-bus_all
　【シリコンバレー１８日時事】「Ｎｉｍｄａ（ニムダ）」と呼ばれる危険度の高い新種の
コンピューターウイルスが登場し、ウイルス対策会社などが注意を呼び掛けている。
　米ウイルス対策大手シマンテックによると、同ウイルスは、電子メールで届けられる添付
ファイル「ｒｅａｄｍｅ．ｅｘｅ」に潜み、これを利用者が不用意に開くことで感染する。
感染したコンピューターは、ウイルスメールを外部に発信。マイクロソフト製ウェブサーバー
ソフトを利用している他のコンピューターに対して同ソフトのセキュリティーホール
（欠陥）を狙った攻撃を仕掛ける。　（時事通信）[9月19日9時3分更新]

82 ：

>>80
確かめてみたら5.5SP2にはばっちり含まれてた。
悪いんだが6.0はわからん。でも対策されてない気がする

83 ：

http://help.msn.co.jp/notice.htm

84 ：

このスレで言ってるのって
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-075
のことだよね。
これとCodeBlueって関係してんの？
ウチも昨日からアタック受けてるけどあれとMSNのは別物じゃないかな。

85 ：

>マイクロソフト製ウェブサーバーソフトを利用している他の
^^^^^^^^^^^^^^^^
>コンピューターに対して同ソフトのセキュリティーホール
>（欠陥）を狙った攻撃を仕掛ける。（時事通信）[9月19日9時3分更新]
^^^^^^^^^
これって、損害賠償責任ないの？

86 ：

210.91.45.224 - - [19/Sep/2001:10:03:44 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 233
210.91.45.224 - - [19/Sep/2001:10:03:50 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:03:57 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:05 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:10 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:16 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:23 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:30 +0900] "GET /msadc/..%5c../..%5c../..%5c/..ﾁ../..ﾁ../..ﾁ../winnt/system32/cmd.exe HTTP/1.0" 400 205
210.91.45.224 - - [19/Sep/2001:10:04:38 +0900] "GET /scripts/..ﾁ../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:10:20 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 233
HRS-MSG - - [19/Sep/2001:10:10:22 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:37 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:41 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:44 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:48 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:51 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:54 +0900] "GET /msadc/..%5c../..%5c../..%5c/..ﾁ../..ﾁ../..ﾁ../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:10:58 +0900] "GET /scripts/..ﾁ../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:11:01 +0900] "GET /sc?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:03 +0900] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:11:06 +0900] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:11:09 +0900] "GET /scripts/..5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:11 +0900] "GET /scripts/..5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:14 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:20 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 214
永遠に続く。重いわけだ。

87 ：

米軍がやっとんとちゃうか？

88 ：

感染したが、GoBackで昨日の午前中に戻したからたぶん大丈夫だろう。

89 ：

PCとサーバの両方を狙う新種ワーム
http://www.zdnet.co.jp/news/0109/19/b_0918_01.html

90 ：

>>82
ありがとうございます。
6.0から5.5にバージョンアップ？と思いつつIEのページからDLしようとしたら
最新バージョンがインストール済みでバージョンアップできませんですって。
こわいよー！

91 ：

えっと。感染したのでいろいろ見てみたけど
ありとあらゆる実行ファイルにreadme.emlなる文字列が確認されたのでめんどいのでクリーンインストールします。。。
パッチあてめんどいんだよなぁ。

92 ：

えっと、>>91はIISのサーバーの場合です。普通に見ているだけでは問題ありません。

93 ：

>>91
GoBack入れとけば良かったのにな。
うちはGoBackで感染ファイルが根こそぎなくなったわ。よかったよかった。

94 ：

おいおい、ニュース速報板に書き込むとアタックが来る。

95 ：

>>90
6から5.5へはRません。6へは一方通行です。

96 ：

MSN復活しとるな。。。
お詫びも警告もないな。。。
やっぱりな。。。。

97 ：

http://headlines.yahoo.co.jp/hl?a=20010919-00000001-vgb-sci
複合的な攻撃、感染機能をもつウィルス　Nimda
Nimda＝ニダ？
なんて読むニダ

98 ：

>>94 >>96
米軍の作戦の1つニダ

99 ：

汚染源リスト
http://headlines.yahoo.co.jp/hl?a=20010919-00000002-vgb-sci

100read 1read

1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

【Pro版限定】Agnitum Outpost Firewall PRO 9 (422)
mixi"ﾈｯﾄﾜｰｸｾｷｭﾘﾃｨ"ｺﾐｭの今 (716)
トレンドマイクロ代表取締役社長兼CEOエバ・チェン (851)
トレンドマイクロの販売管理費 (232)
☆☆トロイの木馬☆☆5台目 (668)
ウイルスバスターって明らかに欠陥品じゃね? 2 (957)
--log9.info------------------
マイナーゲーム総合 (509)
【PS/SS/N64】ローポリゴンを愛でるスレ【職人芸】 (281)
風来のシレン(６４)を語るスレ　オ２襲来 (517)
ゴールデンアイ007(N64）のバグ・裏技 (378)
バーチャファイターに衝撃を受けた人 (664)
アランドラ　・・ (540)
牧場物語1と2【4年目】 (664)
スーパードンキーコング総合スレ (576)
がんばれゴエモン〜宇宙海賊アコギング〜 (350)
プリンセスクラウンを語ろう　6冊目 (952)
自治スレ２ (238)
アーマードコア〜マスターオブ・クリフト〜 (725)
機動戦士ガンダム　ギレンの野望【ESP】 (585)
ヨッシーストーリ64を語るスレ (301)
ツインビーRPGについて語ろう！！ (486)
【MOTHER】マザーとmoonが好きな奴⇒【ラブデ】 (367)
--log55.com------------------
介護業界「介護業はきつい、給料が安いなど思い込みで叩く人が多い。介護の魅力知って。」 [533895477]
大家「俺と週一おRなら家賃タダ、Wi-Fiも解放」5年で25万人の女性がセックス賃下げをしていた衝撃の調査結果 [981340838]
SCP原作のラノベが出版　これクリエイティブ・コモンズどうやって処理してんの？ [942418674]
日本のテレビ番組が「やらせ」「捏造」「仕込み」だらけになったのは何が原因なのか [922629831]
25歳中卒フリーター「貧乏なのは親のせい」竹原慎二「親のせいにする奴はクソ。中卒でフリーターはお前の責任じゃ」 [509143435]
嫌儲民愛用スマホ「Essential Phone」　国内販売開始　約50,000円 [765875572]
声優のキートン山田さん（72） 「今の苦労知らずの若い世代の声優には演技の深みが無いね。あと僕の妻は娘と同じ31歳年下です」 [522275885]
島田紳助、貯金額は県の予算に匹敵　収入ゼロなのに旅行とゴルフ三昧　筋トレで体型はレスラー化 [242521385]