1read 100read
2013年03月セキュリティ559: MSNでウイルス感染!? (219) TOP カテ一覧 スレ一覧 2ch元 削除依頼
スパイウェアが仕込まれているサイトを晒すスレ (374)
GENOウイルススレ ★23 (860)
いまだにセキュリティソフト入れてないヤツいる? (238)
みんなのお気に入り優良セキュリティサイトを教えて (200)
VISTA標準ファイアウォールを語る (419)
COMODO Internet Security 56 (212)

MSNでウイルス感染!?


1 :01/09/19 〜 最終レス :2012/10/11
ニュー速板では、あきらかにウイルスだと言う人も
出てますが、どうなんでしょう?
関連スレ
MSNにウィルス添付?
http://news.2ch.net/test/read.cgi?bbs=news&key=1000822776

2 :
http://www.msn.co.jp
を開くとreadme.exeというファイルがDLするようになってるそうです。

3 :
MSNがやられましたw
topを読むと送られてきます。
http://www.msn.co.jp/readme.eml

4 :
おいおい、古い穴狙ってるな

5 :
emlから直接Base64の部分抜き出してデコードしてみたけど、
なんでこのファイル、こんなアイコンなんだ。
つーか普通にレスしちゃったけど、>>3のリンクはIEにパッチ
当ててない奴はまずいだろ。

6 :
>>5
あ、ごめん。ネスケなので気が付かなかったー。

7 :
http://www.mv-tohoku.co.jp/
http://www.prland.co.jp/
ここも同じ現象らしいよ。

8 :
ついでにバイナリエディタで覗いて見たけど、こいつも
Admin.dllとか言ってるな。最近はさすがにCodeRedスレ
見てなかったから知らんけど、そこらへんの新種が関係
してんのかね

9 :
MIMEのデコードが上手くいかない(;´Д`)
readme.exeのみのヘッダ教えてチョ

10 :
ということで、CodeRedスレの人間に聞いた方が早そうだな。寝よ

11 :
http://210.150.177.216/
ここもな。

12 :
>>9
ん?readme.exeのみのヘッダ?

13 :
>>9
base64デコーダを使え。

14 :
>>2,7
IIS使う馬鹿に何が提案できるんだ

15 :
>>12-13
RarUty使ってるのだが、base64として認識してくれない(;´Д`)

16 :
寝ようと思ったけどまだ1時にもなってないのか。
見直してみたけど、やっぱりtftpとかも書いてあるわ。

17 :
128 名前:  投稿日:01/09/19 00:40 ID:KLLLh/gg
突然*.emlファイルが数千作成され、エクスプローラー開くと空き要領が5MB/secくらいの
スピードで減っていった。LANでつないでいるリブレットも同時進行(^^;

18 :
>>17
実行したんかい(w
それにしても、「不正なMIMEヘッダを含む〜」とCodeRedの
合作かな。なんか面白みないね

19 :
ワシもバイナリ観察ちゅう。いろいろ手が込んでますな。
しかし>>17のように実行は出来ないw

20 :
新種ウイルスという話になってる<ニュース速報

21 :
やっぱ、ここで、話題になってましたか・・・・
実は、実行しちゃいました><
readme.exeですが、
concept virs (CV) v5
って文字列が含まれてます。(TT)
concept virsをちょっと、調べてみたのですが、
英語版wordに感染するマクロウィルスらしいです。

22 :
ああ、VMwareのバーチャルマシン上で実行しようとしたら、
何日か前に消しちまったんだった。残念。まあ挙動はバイナリ
みるだけでほとんど書いてあるような気もするが。

23 :
21です。
ニュース速報って、どこの、ニュース速報?>20

24 :
>>23
あ、ややこしい書き方でスマソ、ココ(2ch)です。

25 :
対策されたみたいです、もう開きません

26 :
ん?ちと待てよ。これって今度は無差別にこのemlを
送信するわけか?だとしたらトラフィックがまた・・・。
一個76.6KBのファイルをガンガン送られたらかなわんな

27 :
>>17
その128、俺。

28 :
>>27
ネットワークの方はどうなってる?パケット送りまくり?

29 :
>>28
Librettoとラブコールしまくりだった。

30 :
該当バグ。IE5.5と5.01だけらしいです。それ以前以後のIEやネスケには無関係(らしい)
http://www.microsoft.com/JAPAN/support/kb/articles/JP290/1/08.htm
ん?するとバックドアで入ってweb閲覧者にも送りつけて繁殖?
IE5.01〜5.5限定とはいえ被害が広がるねえ。

31 :
>>29
そうか、じゃあ後は自分で解析するのも面倒っつーか
意味ないからCodeRedスレのログでも読むかな。

32 :
速報板のスレ。
http://news.2ch.net/test/read.cgi?bbs=news&key=1000822776&ls=50&nofirst=true

33 :
過去ログ読んできたけどまだそれほど情報でてないな。
1のスレも読んでみたけど、メディアプレイヤーが立ち上がる?
「不正なMIMEヘッダ〜」に加えて、「MediaPlayerのスキンファイル〜」
の穴も突こうとしてんのかね。出遅れたからわからん。
CodeRedスレの人間教えれ

34 :
http://www.trusecure.com/html/tspub/hypeorhot/rxalerts/tsa01024_cid177.shtml
かなぁ。

35 :
詳細はここで。
http://memo.st.ryukoku.ac.jp/archive/200109.month/thread.html

36 :
nimda?

37 :
今日は夜から、なんかネットが重いなって思ってたけど、
こいつがでかいファイルを撒き散らしてたわけね

38 :
>>35
サンクス、ざっと読んできた。また祭りか?とか思ってたけど、
洒落にならん・・・16種類。しかも良く考えたら「不正なMIME〜」は
IEだけじゃなく、OutLookもか・・・

39 :
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
って書いてあるよ?

40 :
でかいって言っても高々79261バイトじゃないのw

41 :
>>40
無差別に撒き散らすとしたら十分すぎるほどでかい

42 :
>>40
認識甘すぎ・・・・

43 :
すまん。鬱だ寝よう。

44 :
>>43
まぁまぁ、ドンマイドンマイ
それにしても、こんどのコードネームは Nimda か

45 :
つーかドンマイ言ってる場合じゃなかった。またも
ARP Floodが〜。1分にARPだけで1025パケット・・・

46 :
readme.exeを実行して、ブルーなので寝ます。
はぁ〜

47 :
実行したらexplorer.exeが落ちてワトソン博士が反応した
メモリリフレッシュするには便利なアイテムだよ

48 :
ワラタ
しかし笑い事じゃない。どうでもいいけどこのreadme.exe、
リソース覗いてみたらアイコンが5つ。・・・意味ないぞ
とりあえず今回もJ-COM内からのアタックがガンガン来てる
上にARPの数はさらに増えつつある。とりあえずJ-COMに
メール出しとくか。

49 :
 

50 :
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
結局、脆弱性”Unicode Web Traversal”のパッチは無し?
ってことは、IIS全部感染対象?
URLScanしか方法無いのかなぁ。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010914/1/

51 :
しゃれにならんねえ


ワショ-イ

52 :
ぱっち。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078

53 :
ワケ ワカ ラン

54 :
まだ読んでないけど、
Scary Hybrid Internet Worm Loose
http://wired.com/news/technology/0,1282,46944,00.html

55 :
>>54
Nimdaは、先週起こったテロとは関係ないっちゅーことやろ

56 :
感染サイト(^^;
http://search.fresheye.com/?kw=readme.eml&term=monthly
今日の昼頃には感染サイトが爆発するでしょう。

57 :
シマンテックの解析が進んでるねぇ。凄い凄い。
がんばれしまんてくー。

58 :
これってさぁ、「ウチはApache for Winだから関係ないもーん」とか
思ってても、メールから感染したら、やっぱwebページが改竄されるのかなぁ。

59 :
>>58
感染したPC側はサーバーへのアタックもやるのかな。
それによると思う。
同じウィルスの感染手段が異なるだけのものだとすれば、
Webも改竄されるのでは。

60 :
このワーム絶対ヤバイよ、、。どうも>>59っぽいし。
そういえば
http://www.msn.co.jp/
ふっかつしないね、、、。

61 :
複数の感染方法を持ってるのかよ。

62 :
http://www.mv-tohoku.co.jp/
http://www.prland.co.jp/
このサイトをクリックしたらPCがバリバリバリバリいうようになっちゃったよぉ〜。
もう30以上もつづいているよ。。。
ファイルのダウンロード画面が一瞬出たんだけど、
保存するってやらなくても落ちて来ちゃうの?
対処法はどうすればいいの?
ぁぁぁぁぁああああパニックだよぉぉぉぉぉおおおおお!

63 :
Windowsファイル保護っていう画面が出て
Windowsを正しく動作するための必要なファイルが認識できない
バージョンのファイルに置き換えられています。システムの
安定を維持するために、これらのファイルを元のバージョンに
復元する必要があります。
Wndows2000 Professional CD-ROMを挿入してください。
ってなるんだけど、ただCDを入れれば勝手に処理してくれるのんですか?

64 :
Un Installなんとか
Map....
っていうお知らせ画面がでてきました。

65 :
駆除方法が確立されるまで、手出さないほうがいいんじゃない?

66 :
あー、あんなの見てなくてよかった。
オレ、msnなんて昔から見たことないから・・・・・
あの錆、めちゃ遅いからね。
いまだに、立ち上げと同時にmsnが表示されたままの人が
多いようだし・・・・

67 :
>>63
いやいや。
しばらくすると、各社から修復方法が発表になると思うので、
それまでは、予備のPCでやっていた方がいいと思う。

68 :
静かです、、すごく静かになりました。。。。
なんだかPCの中にとんでもない悪者が潜んでいそうでとてもコワイです。

69 :
このemlファイル使った穴を塞ぐパッチって、IE5.5SP2には
含まれてるよね?

70 :
IPアタック来てますか?

71 :
まだ駆除方法は出てないわけだ?
ひっかっかっちゃったよヽ(´ー`)ノ 実害出てないけどね。。
そのうちファイルあぼられたりするのかなあ?

72 :
>>70
昨日だけで34回きた

73 :
そうそう、各フォルダに009.emlとかいうファイルがいっぱいできてた。
デスクトプンだけじゃなかったみたい(´Д`)

74 :
どんな解説見てる?

75 :
これってアメリカの報復ハカーと関係あるのかなぁ?

76 :
ラウンジにサイト貼られてたから開けちゃったよヽ(;´ー`)ノ
ファイルのバックアップとっといた方がいいかな?     

77 :
うちやられちゃったよ・・・。
http://mimizun.mine.nu/
ハードディスクいっぱいにしてくれました。一応、*.emlと*.tmp.exeを削除しました。
でもなぁNTsp6aのIISでSRPあてていたんだが・・・

78 :
もしかしたらファイル消されたかもしれない。C:\のファイルが。。
気のせいかもしれないけどね。あと.eml消せなくなってるよ??
>>77
ご愁傷様。。なんか実害あった?ファイル消されたりするのかなぁ?
意味ないんじゃないの??

79 :
ゴルァ、おれのサーバにアホみたいにきてるぞ。
CodeRedIIの比じゃないぐらいの割合で。

80 :
>69
 このemlファイル使った穴を塞ぐパッチって、IE5.5SP2には
 含まれてるよね
IE6,0はどうなんでしょうか?

81 :
新種ウイルス「Nimda」の感染拡大=米司法長官
http://headlines.yahoo.co.jp/hl?a=20010919-00000116-jij-bus_all
 【シリコンバレー18日時事】「Nimda(ニムダ)」と呼ばれる危険度の高い新種の
コンピューターウイルスが登場し、ウイルス対策会社などが注意を呼び掛けている。
 米ウイルス対策大手シマンテックによると、同ウイルスは、電子メールで届けられる添付
ファイル「readme.exe」に潜み、これを利用者が不用意に開くことで感染する。
感染したコンピューターは、ウイルスメールを外部に発信。マイクロソフト製ウェブサーバー
ソフトを利用している他のコンピューターに対して同ソフトのセキュリティーホール
(欠陥)を狙った攻撃を仕掛ける。 (時事通信)[9月19日9時3分更新]

82 :
>>80
確かめてみたら5.5SP2にはばっちり含まれてた。
悪いんだが6.0はわからん。でも対策されてない気がする

83 :
http://help.msn.co.jp/notice.htm

84 :
このスレで言ってるのって
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-075
のことだよね。
これとCodeBlueって関係してんの?
ウチも昨日からアタック受けてるけどあれとMSNのは別物じゃないかな。

85 :
>マイクロソフト製ウェブサーバーソフトを利用している他の
^^^^^^^^^^^^^^^^
>コンピューターに対して同ソフトのセキュリティーホール
>(欠陥)を狙った攻撃を仕掛ける。(時事通信)[9月19日9時3分更新]
^^^^^^^^^
これって、損害賠償責任ないの?

86 :
210.91.45.224 - - [19/Sep/2001:10:03:44 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 233
210.91.45.224 - - [19/Sep/2001:10:03:50 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:03:57 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:05 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:10 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:16 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:23 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:30 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 400 205
210.91.45.224 - - [19/Sep/2001:10:04:38 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:10:20 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 233
HRS-MSG - - [19/Sep/2001:10:10:22 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:37 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:41 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:44 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:48 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:51 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:54 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:10:58 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:11:01 +0900] "GET /sc?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:03 +0900] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:11:06 +0900] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:11:09 +0900] "GET /scripts/..5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:11 +0900] "GET /scripts/..5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:14 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:20 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 214
永遠に続く。重いわけだ。

87 :
米軍がやっとんとちゃうか?

88 :
感染したが、GoBackで昨日の午前中に戻したからたぶん大丈夫だろう。

89 :
PCとサーバの両方を狙う新種ワーム
http://www.zdnet.co.jp/news/0109/19/b_0918_01.html

90 :
>>82
ありがとうございます。
6.0から5.5にバージョンアップ?と思いつつIEのページからDLしようとしたら
最新バージョンがインストール済みでバージョンアップできませんですって。
こわいよー!

91 :
えっと。感染したのでいろいろ見てみたけど
ありとあらゆる実行ファイルにreadme.emlなる文字列が確認されたのでめんどいのでクリーンインストールします。。。
パッチあてめんどいんだよなぁ。

92 :
えっと、>>91はIISのサーバーの場合です。普通に見ているだけでは問題ありません。

93 :
>>91
GoBack入れとけば良かったのにな。
うちはGoBackで感染ファイルが根こそぎなくなったわ。よかったよかった。

94 :
おいおい、ニュース速報板に書き込むとアタックが来る。

95 :
>>90
6から5.5へはRません。6へは一方通行です。

96 :
MSN復活しとるな。。。
お詫びも警告もないな。。。
やっぱりな。。。。

97 :
http://headlines.yahoo.co.jp/hl?a=20010919-00000001-vgb-sci
複合的な攻撃、感染機能をもつウィルス Nimda
Nimda=ニダ?
なんて読むニダ

98 :
>>94 >>96
米軍の作戦の1つニダ

99 :
汚染源リスト
http://headlines.yahoo.co.jp/hl?a=20010919-00000002-vgb-sci

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
※ウィルス※ Windows Live Messenger で感染!?2 (549)
【ノートン】ccapp.exeの負荷率【Norton】 (902)
Jetico Personal Firewall Part14 (344)
WebWasher (390)
googleで自分のフルネーム検索 (270)
eTrust Antivirus part6 (464)
--log9.info------------------
なぜスバルの軽は走りが良いのか?[パイオニア] (392)
燃費が悪くなるのに、なぜ軽は660ccが限度なのか? (636)
NA vs ターボ5 (624)
電気自動車総合スレ part8 (221)
軽自動車はエコカーだ (235)
【F1】軽自動車最速【マターリ】 (205)
550ccの軽に乗っている人のスレ (344)
【ミツビシ】  i  Part37 【アイ】 (386)
カプチーノを買おう!! (486)
スーパーチャージャーに萌えるスレ (715)
【ダイハツ】VS【スズキ】朝まで生スレッド (443)
欲しい、乗りたい軽自動車は? (485)
【マツダ】 スピアーノ 【SPIANO】 (245)
男が外観で選ぶ軽自動車 (645)
普通車って勿体無いよな (381)
軽板住人の平均年収・平均貯蓄 (544)
--log55.com------------------
【チラシより】カレンダーの裏712【大きめ】
☆千葉県在住奥様集合☆第109回
天皇ご一家大好き!上皇夫妻と秋しのの宮家大嫌い奥様 4
50代の奥様(ID梨) part578
【再構築】旦那の浮気 115【離婚】
【ポケ森】どうぶつの森を楽しむ奥様 54泊目
☆☆最近買ってみて良かったもの その315☆☆
☆☆☆45才から49才の奥様 177人目(ID梨)☆☆☆