http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000870301
●前々スレ 「Nimda その弐!!」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617
●前スレ 「Nimda !! その産」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001177275
マイクロソフト「Nimda ワーム に関する情報」
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
IPAセキュリティセンター
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
シマンテック株式会社
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html
トレンドマイクロ株式会社
http://www.trendmicro.co.jp/nimda/
日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
トレンドマイクロ・Nimda駆除単体ツール
http://www.trendmicro.co.jp/nimda/tool.asp
現在でまわっているデマ情報
http://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000325.htm
IEバージョン確認法
http://www.geocities.co.jp/Technopolis/2082/Soft/Ie/OE5str.htm
オンラインスキャン
http://www.trendmicro.co.jp/hcall/scan.htm
ウィルス情報
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm
Samba における Nimda ワーム対策
http://www.samba.gr.jp/project/kb/J0/1/09.html
します。
(894)
9X系も感染するとある
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html
あります。
●フォルダの設定でWeb表示(.JPGを選択と左側に寒ネイルが表示されるような)で感染サイトの.lnkファイル(お気に入りのこと)を選択す
ると? (460)
(463)
感染可能ブラウザの場合、選択(開くではない)だけで感染すると思われる。
これ、感染前の.lnkでもリアルタイム更新してると思われる。
(464)
WEB表示にしててネットワーク経由で入れられた *.emlファイルを
確認するため右クリックして選択しただけで感染した例がある。
(IEが未対応だったので)
補足:.htmlなどのファイルでも同様と思われる
あります。
(569)
C:\WINNT\Temporary Internet Files\Content.IE5\LHMMLNGA のような所に格納されている
main[1].html
みたいなファイル(キャッシュファイル)にふれてしまうと場合によっては感染する。
●readme.emlファイル・reame.exeファイル・nimda感染ファイル(.htmlなど) を手動で検索、削除。安全?(701)
(701)
場合によってはさわっただけで感染する。
その場合ドラッグや右クリックで削除できない(感染する)
【みなさんの人柱精神はたとえささやかなものであってもムダにはいたしません(-人-)】
すいません、今回のコピペは>>1さんにお願いしちゃいました(^^ゞ
3では新しいFAQ項目も増えていないと思いますので・・。
>>1さん、ありがとうございますm(_ _)m
お疲れさまー。
今度から、関連リンクやFAQは>>2-10の辺り・・・とやると
よろしいかもー。
CoderedIIは既に新種になっていたみたい。
http://japan.cnet.com/News/2001/Item/010828-3.html?rn
で、WIN2K SP2のCD-ROMを頼んだ(24日9
今日届いた。
意外と早かったなぁ。
らしいねえ。CodeRedスレでも、10月になっても止まってないってカキコがあった。
まあ、世界中がまだ10月になったわけじゃないけど・・。
からNimda付きメールが来たぞ。
McAfeeが捕まえた、入れてて良かった。
来るのかぁ<ニムダメール
このスレでの報告は初?
できれば。
</body>が無いのでこれを書き換えてるのか?
ここから→
From aplanem395@zzyffrz.com Sun, 30 Sep 2001 06:23:47 -0700
Received: from [4.16.194.109] by hotmail.com (3.2) with ESMTP id ; Sun, 30 Sep 2001 06:22:42 -0700
Received:from rly7.fpf.slu.cz (rly7.fpf.slu.cz [172.31.109.14]); Sat, 29 Sep 2001 10:24:38 -0400 (EDT)
Received:from(209.156.84.66); Sat, 29 Sep 2001 10:24:38 -0400 (EDT)
X-Date: Sat, 29 Sep 2001 10:24:38
From: <aplanem395@zzyffrz.com>
Message-Id: <KbSmp24a.KFSm7i5IT4wlzYi.KtWmWi2C.KM5V7ueZO.KTJhqjq@rly7.fpf.slu.cz>
Subject: Get Rid Of Debt - Consolidate!
Mime-Version: 1.0
Content-Type: text/html; charset="us-ascii"
Date: Sat, 29 Sep 2001 21:25:40
<html>
<head>
</head>
<body bgcolor="#ffffff" topmargin=2 leftmargin=5 rightmargin=5 marginwidth=5 marginheight=0 >
<div id="divMsgrObject" style="display:none"></div>
<p>
<s
<CENTER>
<table border=0 width=100% cellpadding=0 cellspacing=0 bgcolor="#000000">
<tr><td valign=top>
<pre>
</pre>
<p align="center"><B>
<FONT SIZE=+3 FACE="Arial,Helvetica" color=#ffffff>CUT YOUR MONTHLY DEBT
PAYMENTS IN HALF !</FONT></B>
<p align="center"><B>
<FONT SIZE=+3 FACE="Arial,Helvetica" color=#ffffff><i>EVERYONE QUALIFIES!</i></FONT></B></p>
<p align="center"><B>
<FONT SIZE=+3 FACE="Arial,Helvetica" color=#ffffff>FREE PHONE CONSULTATION - NO
OBLIGATION!</p>
<P align="center"><a HREF="http://www.web-advs.net:81/debts/" xonMouseOver="window.status=''; return true;" target="_blank"><font color='HotPink'>CLICK
</font></a></FONT><a HREF="http://www.web-advs.net:81/debts/" xonMouseOver="window.status=''; return true;" target="_blank"><font color="HotPink" size="+3" face="Arial,Helvetica">HERE
FOR DETAILS!</font></a><P align="center"><a href="mailto:removes@web-advs.net"><font face="Arial,Helvetica" size="1" color="#FFFFFF">Click
Here To Be Removed</font></a></B><br>
<br>
</td></tr>
</table>
</form>
<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>
←ここまで
これは若干違うもののような気がするな。
ワームが送ってきたメールとは思えない…
思うに、このメールの原文がDISK上にHTMLファイルで保存されてて
そこにNimdaが感染して、最下行を書き換えて、
Nimdaは駆除したけど(?)そのままになってたのを、
単純にSPAMで送ってきた、という機序なのではないかと。
メールで誘導してるURLのポートが81番つうのが怪しいんだが(w
どちらにせよ送信元が間抜けなのは間違いなかろう。
いや、貴重なサンプルです。ありがとうございました。
http://www.f2.dion.ne.jp/~impact14/
駆除はしたみたいだけど、まだIIS/4.0なんだよなー
流行後一段落後に新聞に載ったのは初?
まだreadme.emlが残ってる。
いつ再感染するんかワクワク
http://www.bee.woodland.co.jp/readme.eml
だめぢゃん( ̄△ ̄;
なにやってんだよ。バックアップから上書きでリストアしただけか?
豪快なウイルス駆除法もあったもんだ・・。
ここは閉鎖中。
beeとどっちがさきにまともになるか。
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
Norton Antivirus2000がダメだって。。。。
はっきりいってやりたいのだが、ウイルススキャンソフトを実行して再起動するだけしかやらないなら、どのソフトだってダメだ<対にむだ
IEで「.exe」などのファイルにアクセスすると、「ファイルのダウンロード」
という確認ダイアログウィンドウが現れるわけですが、IE 5のときは、
次の場所からファイルをダウンロードするように選択しました。
このファイルの処理方法
○ このプログラムを上記の場所から実行する
◎ このプログラムをディスクに保存する
[ OK ] [キャンセル]
というように、デフォルトはディスクへの保存となっていて、直接開くには、
二回のクリック(「上記の場所から」と「OK」)が必要でした。
それが、なんと、IE 6では、「開く」がデフォルトになってます。
キャプチャ画像(上がIE 6、下がIE 5)
http://java-house.etl.go.jp/~takagi/security/misc/ie6-filedownload-dialog.png
これって危な過ぎるような。ワンクリック手がすべるだけでドカンでしょう。
http://japan.cnet.com/News/2001/Item/011001-3.html?mn
『Nimda』(ニムダ)攻撃の第2波は失敗したようだ。Nimdaワームが28日
に再発するとセキュリティー企業は警告していたが、この懸念は現実の
もとはならなかった。最初の感染から10日後に活動を再開するとされて
いたが、10日後にあたる28日の朝、Nimdaの再襲来を告げる徴候はほと
んど見られなかった。
>ウィルス駆除ソフトはシマンテックNorton Antivirus2000を使っていましたが効き目がありません
効き目がないというのは何を意味してるんだ?
自分がウイルスを助けるような操作をしても注意してくれないということか?
>な〜に寝ぼけたこと言ってるんですか。
>2ちゃんねるで晒されてまっせ。
>http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001864573
ワラタ&ユウキアル
にちゃんねらーにもいいひといるんだなぁ・・。
づめんそふとのヒトは前スレもみてくれるだろうか。
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1001177275
そそ危険危険デフォルトが開くってなんとかならんかな。
デフォルトの変更方法求む
http://www.hh.iij4u.or.jp/~noguti/docs/gaihuu/9gatunikkikou.html
http://www.d-link.co.jp/
http://www.with9.com/
看板に落書きされたようなもんだろう。
いつまでも閉鎖したままだったり、汚染されっぱなしで。
会社の看板もこうなのかね、こういう会社は。
http://nac-ltd.co.jp/
http://www.htsc.ap.titech.ac.jp
http://www.advaoptical.co.jp/
http://www.sano-mfg.co.jp
http://www1.fl.kansai-u.ac.jp/
http://www.inet-service.co.jp/
http://pc2.autechs-unet.ocn.ne.jp
http://www.with9.com/
なんなんだよここはっ(><)
土曜にホームページに載ってたアドレスにメールした。
けど、今日になっても直してな〜い。
日本在住韓国人?
なんだこりゃ
ワラタ
また鯖止めてるョ。
弐週間も何やってたんだ(--#
このヒトたちのカキコには最新パターンファイルにアップした形跡がないんだけど・・。
鯖がnimdaに汚染されて復旧できていない、とみなして良いのだろうか?
結構そういう会社があるのだが。
しかしそういうところは恥ずかしくないのかね。
>44の言う通りだよ。
きちんと管理できないなら最初から看板(サイト)なんて出さなければいいのに。
ttp://www.vwalker.com/news/0105/24_/24_190311.html
>なお,Windows2000SP2はDOS/Vmagazine 6月15日発売号のCD-ROMに収録予定。
ご存じの方はおせーて┌(_ _)┐
逆にききたい。
ダイアルアップ非固定アドレスの感染者がいたらどうやって
リアルタイムでわかるんだい?
攻撃されれば分かる(w
ダミーのroot.exeとかredeme.exeとか作っておいとけ(ww
リアルタイムとは言えないかもしれないが、専用のニムダ晒しサイトはなくとも、一般のサービスでなぜか教えてくれるところがある。
アタマ使うなり、過去ログ読むなりするんだな。
ここのヒトは読んでくれたのかね。
> ダイアルアップ非固定アドレスの感染者がいたらどうやって
> リアルタイムでわかるんだい?
もぉ〜ん、アタシ厨房なんです。揚げ足取られるとすぐ転んぢゃうんです。
訂正します。
ある程度まとまって、Nimda感染サイトを一覧できるところを教えてください。
目的は、IE6の動作を試してみたいんです。
ハア?
>>57の質問はリアルタイムって逝ってるんだから
攻撃されなきゃわかんないだろ。
それとも自分が攻撃されたらリアルタイムサイトも攻撃されてる
のか?(w
Nimda感染サイトは感染すると全世界のIPを攻撃してるのか?
それを踏まえてちょっとからかったんだよ。
過去ログ読め。
からかったつもりが自分の厨房ぶり晒してるぞ。
繰り返しになるが、ダイアルアップの人が感染者なら
攻撃受ける前にすぐPC落としちゃったらそいつが感染者か
どうかわかんないだろ?
自分で鯖たててみるのが一番手っ取り早いと思う。
この板でしばしば取り上げてる「また感染してるのかよ」なサイト
はフレッシュアイで検索してるだけだと思われるが、この方法
だとIIS以外ででっちあげた自作自演サイトも区別しないので
おすすめしない(w
どこが?
リアルタイムで知るっていうことは、今現在の感染サイトの実数
を知りたいと解釈したが?
それを鯖たてればわかるといわれてもね
一部しかわかんないよ(w
過去ログに実数がわかるサイトなんてあったか?
見たおぼえないので示してください。
そんなサイトはありません。
57=64でなくて、58=64だよぉ
なんか>>63の質問の趣旨を理解できない厨房がいるようだが・・。
このスレの感染しているよ、と晒されているサイトはあたってみたのかい?>>63
> このスレの感染しているよ、と晒されているサイトはあたってみたのかい?>>63
厨房でスマソ(;´Д`)
アタシ個人はいくつか逝ってみました。
何がやりたいかと云うと、私を含めて何人かで、OS再インストール予定マシンでIE6を試そーよと、ドキュソ計画を実行中なんです。
アタシはもう十分なんですが、アタシ以下の消防が感染サイトをきぼーん、ただしメールでURLを書いて送るな、バックアップした後もっぺんクリックしたら感染するだろーが、まとまった情報をながしている処をおせーろゴルァと責めるんです。
ここの「Nimda!!」1〜4を示したんですが、消防だからテメーで過去ログ読まないんです。
ぢゃあアタシが過去ログ読んで、それをまとめてアタシのホームページにアップするんかいと、今泣いているんです。
すみません、職人さんが集まっているところで、厨房がスレ汚したようです。
逝きます。
そうするとこのへんかねえ。
http://people.site.ne.jp/mirror2/Nimda/Nimda.txt
https://www.netsecurity.ne.jp/article/8/2923.html
https://www.netsecurity.ne.jp/article/9/2842.html
https://www.netsecurity.ne.jp/article/8/2874.html
https://www.netsecurity.ne.jp/article/8/2877.html
だが先週あたりまではまめに更新していたものの、今週は更新されてないし、
駆除・閉鎖されているところも多い。
(たぶん今も感染状態で開いているところはほとんどないはず。)
感染サイトは生もので、やはりというか当然というか普通は
晒されたら閉鎖・駆除をしてしまう。
73の趣旨からすると、現役感染サイトが知りたいのだろうから、
このスレをチエックして感染してるよ、となったらそれで動作確認、となるんだろう。
ただIE6はいくつかの条件で感染することがわかっているから、
実際に感染しているサイトで感染実験するのはあまり薦められないし、
そのうちひとつの条件で感染した・しないといってもあまり意味はないように
思う。
> そうするとこのへんかねえ。
わぁをぅ、有り難うございます。
https://www.netsecurity.ne.jp/
ここからたどると、ある程度最新が判るんですね。
これで消防に逝ってもらいます。
> ただIE6はいくつかの条件で感染することがわかっているから、
> 実際に感染しているサイトで感染実験するのはあまり薦められないし、
> そのうちひとつの条件で感染した・しないといってもあまり意味はないように
> 思う。
アタシがやった時はWindows Media Playerが起ち上がったんですが、ダウンロードで開くがデフォルト選択状態を試したいと消防が駄駄捏ねるんです。ほかの*.exeではダメなんです。
ちなみに消防とは上司です。
さらにアタシの目的は、消防以下ばかりの会社のマシンからIE6を駆逐しておかないと、大変なことになるのを実証したいんです。
面倒かけました。
とりあえず感染サイト。
http://211.96.111.55/
>ただしメールでURLを書いて送るな、
>バックアップした後もっぺんクリックしたら感染するだろーが、
>まとまった情報をながしている処をおせーろゴルァと責めるんです
ここらへんがホント頭悪いよね。
別にフルアドレス書かなくてもいいじゃん。
例えば、211.96.111.55 これだけ書いて
http://自分で付けさせりゃ済む話だと思うが。
と言いつつ、おまけ。
http://www.stride.co.jp/~z32/cgi-bin/worm.cgi
http://z.nttec.edu.cn
readme.eml ダウンロードのスクリプトが2行あるのは
2回改竄されたってこと?
>快適ネットが自慢です!! 大きな信頼!! 低コストが魅力です!!
が売り物のネットワークサービス会社だが。。。
index.* には2種類の感染経路があるので
2行書かれてしまうみたいです。
パッチを当てているとしても、
Webのコンテンツにスクリプト残したままでそれを公開ってのは
結構見た目不細工だと思うのだが、みなさん平気なのかな。。
(このタイプのサイト結構ある)
よごれてない原本使ってかきもどせばよかろうに。
ヨソに作ってもらってるから原本がない(なくしちゃった)だったり(w
いや、けっこうあるんです、こういうとこ(苦笑
そういうことなのか(w
じゃあこれなんかは・・?
http://ns.ers.minato.tokyo.jp/
バックドアはあいてるね。
こんなマヌケな法案審議する暇あったらこういうのをなんとかしろ
http://www.mainichi.co.jp/digital/houan/01.html
復活したのか?やればできるじゃん?
と、思ったが
ページが見つかりません
のリンクがいくつもあるな。
12か?12もか?
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
<html><script language="JavaScript"></script></html>
どうやらIISからApacheに変更したようだね。
http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=http://www.d-plan.ne.jp/
乗り換えたサイトってどのくらいあるんだろう。
IISから他への移行って難しいことが多いみたいだ
けど。
>>86 とか?
違うような気がするが。
http://uptime.netcraft.com/up/graph/?mode_u=off&mode_w=on&site=http://www.zumensoft.co.jp/
あ、Web鯖だけを、ってことね。
ここはWindowsごとおっぽりなげた、と。
安置うぃるすで除去してくれたけどね。
IE6なんて役に立たないジャン。
信じてはだめだよ。
アンチウィルスソフト入れてればわかるが
いれてない人は知らずに使用してると思うよ
この会社本当にアプリ開発してるんですか?
多分ユーザーにはパソコンに詳しい神様みたいな存在なんでしょうけどねー。
人間を観察するという立場で見れば興味あるサンプルではあるょ。
>2ちゃんえるというHPでワクチンを入手できるのですか?
再度ワラタ
かきこした人ちゃんと教えてやれ
当分BSD使います。
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
「Sophos Anti-Virus」ってどうよ[ソフォス] (130)
ノートンうぜええええええええええええええええええ (108)
【永久無料】サイバー・ツリーver.3.0【超最強】 (255)
【Free版限定】Agnitum Outpost Firewall part28 (366)
【永久無料】サイバー・ツリーver.3.0【超最強】 (255)
結局ノートンが一番いいんだな (704)
--log9.info------------------
「ノルウェイの森」について語ろう (273)
神保町スレッド13(復活1号) (376)
【本村洋】天国からのラブレター24【新潮社】 (277)
【さんりお】 藤田直哉7 【ランス・無双】 (906)
旭屋書店 (452)
村上春樹総合 36 (416)
芥川賞・直木賞、文学賞受賞作予想スレ6 (162)
村上龍を語る会 (522)
【続きもの】 夢枕獏 【書けよ】 (926)
【征夷大将軍】小谷野敦47【浜田山幕府】 (434)
【チュニック】岸本葉子5くらい【モモヒキ】 (234)
【派遣・委託】図書館非正規職って良い?【司書】8 (148)
【公金横領】有隣堂について語る4【創価・】 (199)
あなたが好きそうな本を紹介します part18 (625)
宮城谷昌光が見る風景 その7 (831)
萌えミリタリー、萌え学習系総合3 (388)
--log55.com------------------
北西太平洋でM7.8の地震(3/25 11:49) 気象庁発表
豊川市長の「マスク返して」受け、中国側がすぐさま5万枚調達!日本のネットユーザー「涙が出てきた」 ★2
【速報】日経平均株価、19,000円台回復 ★2
【武漢ウィルス】コロナで絶体絶命のイタリアと違い、日本で死者激増の可能性は低い理由 ★2
【芸能】小池都知事「ホッとしたけどこれからが大変」 五輪延期
【武漢肺炎】志村けん、新型コロナ陽性で入院 重度の肺炎 人工呼吸器装着 ★11
「五輪利権でボロ儲けしたのはコイツら!」 東京都の一等地を9割引きで入手した“選手村”開発会社に都OB幹部22人が天下り!
新「iPad Pro」はどこまでパソコンに近づいたのか 2020年モデルをいち早く試した