sasser【スタコラサッサ】sasser　Part1

sasser【スタコラサッサ】sasser　Part1 at SEC

1:名無しさん＠お腹いっぱい。
04/05/03 17:33
■悪質ウィルスSASSER大暴れ中■
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

以下の情報はSASSER.AとSASSER.Bのものですが、さらに亜種が発生する可能性大。

【概要】
・Microsoft LSASS Sasser ワームの拡散
　URLﾘﾝｸ(www.isskk.co.jp)

【基本情報】
トレンドマイクロ(手動削除手順はトレンドが詳しい)
SASSER.A
　URLﾘﾝｸ(www.trendmicro.co.jp)
SASSER.B
　URLﾘﾝｸ(www.trendmicro.co.jp)
シマンテック
SASSER.A
　URLﾘﾝｸ(www.symantec.com)
SASSER.B
　URLﾘﾝｸ(www.symantec.com)

関連スレ
　【正式】ウィルス情報＆質問　総合スレッド☆Part18
　　ｽﾚﾘﾝｸ(sec板)
　Blasterスレ　part5
　　ｽﾚﾘﾝｸ(sec板)
（303になってたら後継スレを探してください）

2:名無しさん＠お腹いっぱい。
04/05/03 17:34
■こんなんなったらサッサーにやられてます。

【症状】以下のような窓が出てカウントダウンの後OSが強制的にシャットダウンする。
　LSA Shell(Export Version) has encountered a problem
　This system is shutting down...by NT AUTHORITY\SYSTEM

【予防法】WindowsのLSAに関するセキュリティホールにパッチを当てる。
　Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011)
　URLﾘﾝｸ(www.microsoft.com)

【感染確認】 Windowsのシステムフォルダ内（\Windows\ または\WINNT\）に
　 "＜ランダムな数字＞_up.exe"（ファイル名例："12345_up.exe"）というファイルが
　作成される。

【駆除方法】
・Microsoft純正Sasser駆除ツール
　　 URLﾘﾝｸ(www.microsoft.com)
　使い方　URLﾘﾝｸ(support.microsoft.com)

・手動：セーフモードで（F8を連打しながら）起動→スタート→ファイル名を指定して
　実行→regedit→以下の項目を削除
　　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
　　　値　： avserve.exe = %Windows%\avserve.exe　（SASSER.Bの場合　avserve2.exe）
　→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
　さらにウィルスとして発見されたファイルがあれば削除

3:名無しさん＠お腹いっぱい。
04/05/03 17:34
【Winアップデートがﾜｹﾜｶﾒの人、まずファイアーウォール入れましょう】

Ｑ　Windowsのアップデート全然やってなかったんで…なんだかたくさん
　　あって、ﾜｶﾜｶﾒでつ…（泣
Ａ　脆弱性（ぜいじゃくせいｗ）のあるパソコンをネットにつなぐとパッチをダウン
　　してる間にウィルスに感染しちゃう鴨です。まずファイアウォール入れてから
　　ゆっくりWindowsのアップデートしましょう。
Ｑ　ファイアーウォールって何？
Ａ　ファイアーウォール（FW）はデータ通路の玄関（port）の警備員みたい
　　なものです。通行許可証のない人（データ）を通さないようにします。
Ｑ　ファイアウォールでさっさーが防げるんですか？
Ａ　防げます。「LSAというプログラムをインターネットに接続していいですか」
　　みたいなことをファイアウォールが尋ねてきますから「ダメ」とボタン押せばOK
Ｑ　ファイアーウォール入れてれば絶対安全？
Ａ　可能性は少ないですが、ＯＳがネットに接続してからFWソフトが立ち上がるまで
　　のわずかなスキに侵入される可能性があります。修正パッチ当てる前のOSを
　　立ち上げるときはケーブルを抜くか、モデムの電源を落としておけば安心。
Ｑ　無料のファイアウォールってどうなのよ？ちゃんと役に立つ？
Ａ　定番はZone Alarm、 Outpost、Kerioなどの製品。有料版もありますがフリー版
　　で機能は十分です。詳しいことは専用スレで。「Outpost　まとめサイト」がファイア
　　ウォール関係の解説わかり易いです。他のFW使う場合でも見ておくといいです。

Agnitum Outpost Firewall part15
　ｽﾚﾘﾝｸ(sec板)
ZoneAlarm Part19
　ｽﾚﾘﾝｸ(sec板)
☆彡Kerio Personal Firewall 2.1.5　Rule 14☆彡
　ｽﾚﾘﾝｸ(sec板)
Outpost 2ch　まとめサイト
　URLﾘﾝｸ(www.geocities.jp)

4:名無しさん＠お腹いっぱい。
04/05/03 17:34
Sasser ワームについてのお知らせ(Microsoft)
URLﾘﾝｸ(www.microsoft.com)

Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
URLﾘﾝｸ(www.microsoft.com)

Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
URLﾘﾝｸ(www.microsoft.com)

W32.Sasser.Worm(Symantec)
URLﾘﾝｸ(www.symantec.com)

W32.Sasser.B.Worm(Symantec)
URLﾘﾝｸ(www.symantec.com)

W32.Sasser 駆除ツール(Symantec)
URLﾘﾝｸ(www.symantec.com)

WORM_SASSER.A(Trend Micro)
URLﾘﾝｸ(www.trendmicro.co.jp)

WORM_SASSER.B(Trend Micro)
URLﾘﾝｸ(www.trendmicro.co.jp)

5:名無しさん＠お腹いっぱい。
04/05/03 17:34
■MSのSASSER駆除ツール
　このツールは Windows XP、Windows 2000SP2以降に有効です。
　　 URLﾘﾝｸ(www.microsoft.com)
【使い方とFAQ】
　　URLﾘﾝｸ(support.microsoft.com)
（概要）
　MS04-011 [KB835732]修正パッチを適用する以前にシステムがSasser.A または
　Sasser.Bに感染している場合があります。このツールはシステムからSasser.A、
　Sasser.Bを除去する手助けをします。MS04-011 [KB835732]を適用しているシステム
　の場合、このツールをインストールするだけでそれ以上の対策は必要ありません。

Q：このツールはSASSERの感染を防止してくれますか？
A：いええ。このツールはシステムからSASSER.A/Bを取り除きますが、感染の防止
　はできません。感染を防止するには[KB835732]を適用してください。

　訳注★感染したマシンにパッチを当てても感染を取り除けないので、このツールを使え、
　ということ。まずこのパッチ当てろ。 (835732) (MS04-011)　その前にﾌｧｲｱｳｫｰﾙ入れろ。
　　URLﾘﾝｸ(www.microsoft.com)

Q：インストールの途中で止まってしまいましたが？
A：メモリ上でウィルスプログラムが実行されている場合、ツールは停止します。

　訳注★タスクマネージャからavserve.exe avserve2.exeを停止してから改めて
　 Windows（WINNT）\system32\Sasscln.exeを実行する、といいかも試練。

6:名無しさん＠お腹いっぱい。
04/05/03 17:35
初心者のためのWORM_SASSER(A.B)への対処法
・手動削除手順：
以下の手順を実行してください。
①セーフモードで起動します。
⇒WindowsをSafe Mode（セーフモード）で起動する方法
>>727 又は、下記URLから使用OS先を参照
URLﾘﾝｸ(www.trendmicro.co.jp)

②ウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ｳｨﾝﾄﾞｳｽﾞ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動　
以下のレジストリの値を削除してください。
[WORM_SASSER.A] 場所： HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値： avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 場所：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
値： avserve.exe = ＜Windowsフォルダ＞\avserve2.exe

③コンピュータを再起動し、通常モードで起動します。
URLﾘﾝｸ(www.trendmicro.co.jp)　オンラインスキャンで
ウイルス検索を実行してください。「WORM_SASSER.A」又は「WORM_SASSER.B」として検出された
ファイルはすべて削除してください。

④Windows検索（先述のスタートボタン→検索で起動）を使って「kazaabackupfiles」又は「WIN.LOG」フォルダを検索し、削除します。
註：WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、
Windows9x/Me/の場合、システムフォルダ＝　C:\Windows\System
WindowsNT/2000の場合、システムフォルダ＝　C:\WinNT\System32
WindowsXP の場合、システムフォルダ＝　C:\Windows\System32　です。

⑤WORM_SASSER対策に（A.B共通）セキュリティホール修正パッチを導入　
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。　
URLﾘﾝｸ(www.microsoft.com)　

以上、トレンドマイクロ　ウイルスデータベース(URLﾘﾝｸ(www.trendmicro.co.jp))の情報を元に改作。

7:名無しさん＠お腹いっぱい。
04/05/03 17:36
sasserなんぞスタコラコサッサと駆除しよう！

8:名無しさん＠お腹いっぱい。
04/05/03 17:37
URLﾘﾝｸ(www.symantec.co.jp)
ランダムに生成された IP アドレスの TCP ポート 445 上に接続することを試みます。

IP アドレスは、次のような確率で生成されます:
50% の確率で、完全にランダム
25% の確率で、１番目のオクテットが、感染したホストと同じ IP アドレス
25% の確率で、１番目、2番目のオクテットが、感染したホストと同じ IP アドレス

9:名無しさん＠お腹いっぱい。
04/05/03 17:39
>>6 の手順では、3以降で再度感染する可能性があるので推奨できない

10:名無しさん＠お腹いっぱい。
04/05/03 17:39
パッチ充ててルータ入れてりゃモーマンタイ！

11:名無しさん＠お腹いっぱい。
04/05/03 17:40
そんじゃ誰か>>6の手順を修正してくれよ。

12:名無しさん＠お腹いっぱい。
04/05/03 17:41
Sasser ワームについてのお知らせ(Microsoft)
URLﾘﾝｸ(www.microsoft.com)

Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
URLﾘﾝｸ(www.microsoft.com)

Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
URLﾘﾝｸ(www.microsoft.com)

W32.Sasser.Worm(Symantec)
URLﾘﾝｸ(www.symantec.com)

W32.Sasser.B.Worm(Symantec)
URLﾘﾝｸ(www.symantec.com)

W32.Sasser 駆除ツール(Symantec)
URLﾘﾝｸ(www.symantec.com)

WORM_SASSER.A(Trend Micro)
URLﾘﾝｸ(www.trendmicro.co.jp)

WORM_SASSER.B(Trend Micro)
URLﾘﾝｸ(www.trendmicro.co.jp)

13:名無しさん＠お腹いっぱい。
04/05/03 17:42
>>11
修正しなくても
>>12読んだらわかる罠

14:名無しさん＠お腹いっぱい。
04/05/03 17:52
久し振りにルーターのログみたらｿｺﾞｶﾀ。
445番君へ一杯プレゼントが来てた。

15:佐々テンプレ人
04/05/03 17:57
>>１　スレ立て、乙

16:名無しさん＠お腹いっぱい。
04/05/03 18:00
昨日、ブラスター用パッチ4個だけ落として
OSの再インストールしたけど、何故か感染してないっぽい。。。
XPFWをONしてからアップデートしに行ったから助かったのかな？

17:佐々テンプレ人
04/05/03 18:03
てか重複しちゃったけど、どうするよ。こっちの方がちょい遅い…
向こうもテンプレはいちおう貼ってある。

【BLASTの悪夢】Sasser情報【再び】04/05/03 16:46
ｽﾚﾘﾝｸ(sec板)

18:佐々テンプレ人
04/05/03 18:06
いちおう向こうに合流呼びかけておいたが…

19:名無しさん＠お腹いっぱい。
04/05/03 18:12
> XPの香具師はとにかく最初にXPのファイアウォール機能を有効にしろ。

これは有効なんじゃ？　>>6の２）と３）の間に入れたらどうでしょう？

20:名無しさん＠お腹いっぱい。
04/05/03 18:15
ZoneAlarmいれてるけど、XP付属のFW切り設定で大丈夫かな？
FWあるから重複不具合起こるような気が・・

21:名無しさん＠お腹いっぱい。
04/05/03 18:16
>>1
乙。つか２ちゃんめちゃ重いんだけど・・・これのせい？

22:名無しさん＠お腹いっぱい。
04/05/03 18:17
>>20
アンチウイルスソフト入れてZA有効だったら
XPのFWは切った方がいい

23:名無しさん＠お腹いっぱい。
04/05/03 18:21
ようやくというか
yahooのトップページ
のトピックス欄にsasser

24:Blasterスレからパクリ…
04/05/03 18:27
【SASSER　FAQ　ＸＰ付属ファイアウォール編】
Ｑ　Windows XPの付属ファイアウォールは有効ですか？
Ａ　Windows XPのファイアウォールはウィールスが入り込むポート
　　（TCPポート445、他）を閉じるのに有効です。ただし、このファイア
　　ウォールはデフォルトでは無効になってます。
　　【FWを有効にする手順】
　　　コントロールパネル→ネットワークとインターネット接続→普段使っている
　　　接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
　　　「コンピュータとネットワークを保護する」にチェックを入れる

Ｑ　XPの「ネットワークの接続」がみつかんないよー？
Ａ　以下の方法も試してください。
　　　スタート→設定→ネットワーク接続
　　　スタート→接続→全ての接続の表示
　　　スタート→マイネットワーク→ネットワーク接続を表示

Ｑ　XPのファイアウォールで十分ですか？
Ａ　XPのおまけFWは外から中へ（inbound）の侵入は防ぎますが、いったん
　　感染してしまうと中から外へ(outbound)ウィールスをばら撒くのをチェック
　　できません。Zone Alarm、Outpostなど中から外もチェックする製品を
　　入れておきましょう。

Ｑ　FWはいくつも動作させるとダメですか？
Ａ　ダメです。XPのFWは無効にしておくだけでいいですが、
　　NISやVBの付属FW、ZA、Outpostのような専用アプリのFW同士は
　　インストしてあるだけで完全に喧嘩しますから注意。

25:名無しさん＠お腹いっぱい。
04/05/03 18:32
どうりでここ数日TCP ４４５のアクセスが多いと思ったらこれか。

26:名無しさん＠お腹いっぱい。
04/05/03 18:34
>>25
多いと思ったら調べろよ（ｗ

27:Worm_Sasser対策班
04/05/03 18:36
･Safe Mode 起動方法:
Safe Modeで起動するには、以下の手順を実行します。
①コンピュータの電源投入後、コンピュータ製造元のロゴや BIOS の起動画面が
表示されたらキーボード上の[F8]キーを何度か押します。
②Windows(OSが2000の場合 Windows2000) 拡張オプションメニューが表示されます。
③方向キー（↑/↓）を使用して「セーフモード」を選択し、Enter キーを押します。
続いてOSの選択画面が表示される場合は、Safe Mode で起動したいOSを選択してください。
④Windows2000の場合:「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
以上で完了です。

WindowsXPの場合:ユーザを選択する画面が表示されたら、ログオンするユーザをクリックで選択し、
画面上の[→]をクリックします。
「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
ログオン後、「Windows は Safe モードで実行されています。」確認ダイアログボックスが表示されます。
[OK]ボタンをクリックすると、Safe Mode で起動します。
以上で完了です。

注意：
・手順①のタイミングで、[F8]キーを押すタイミングが遅れた場合や早すぎる場合、
Windowsは通常起動します。その場合は、手順1からやり直してください。
・セーフモードでは、色数や解像度など画面の表示が通常とは異なります。
また、USBマウスなど一部の接続機器が使用できなくなります。
・マウスが動作しない場合は、キーボードにて操作をおこなってください。
この場合は Administrator を選択してください。
・NEC機などコンピュータによってはメニューが日本語表示されます。
・機種によりSafe Mode（セーフモード）の起動方法が異なる場合があります。
上記方法により起動できない場合はコンピュータ製造元へお問合せください。
・ログオン画面を表示する設定にしている場合は、手順4の前にWindows ログオン画面が表示されます。(Windows2000の場合)

28:名無しさん＠お腹いっぱい。
04/05/03 18:38
ルーターのログ見たら
TCP2745
が異様なほど（ｒｙ
445は異常なし

29:名無しさん＠お腹いっぱい。
04/05/03 18:39
警察庁@policeのサイトにも警告出てる

W32.Sasser.worm ウイルスの発生について
URLﾘﾝｸ(www.cyberpolice.go.jp)

30:名無しさん＠お腹いっぱい。
04/05/03 18:45
>>26
今ここを調べますたｗ

31:名無しさん＠お腹いっぱい。
04/05/03 18:50
Outpostのログみたら、TCP445が3分おきに・・・

32:名無しさん＠お腹いっぱい。
04/05/03 18:52
感染したら、スタコラサッサと駆除せんかい！

33:名無しさん＠お腹いっぱい。
04/05/03 18:52
>>31
ZoneAlarmだけど不正アクセスは０だよ。CATVだから向こうのルーターで規制してくれてるのかな？

34:31
04/05/03 19:03
うちもCATVでつ。445のﾎﾟｰﾄｽｷｬﾝが1時間で15件ってｫｨ

35:名無しさん＠お腹いっぱい。
04/05/03 19:03
>>28
漏れも見てみたら結構来てた。
IP確認すると全国のOCNユーザーがわんさか来てるんだが
ISPなんてどこでも関係無いよなー？

36:名無しさん＠お腹いっぱい。
04/05/03 19:10
445の数が爆発してる。こらすげーわ。

・・・ツレが感染してやがるし。
修復頼むような状況になる前に対策ちゃんと取れとあれほど言ってたのに。
放置するか。

そういうわけにもいかんよな。
連休小旅行がワーム駆除旅行になるとは。

37:名無しさん＠お腹いっぱい。
04/05/03 19:13
445は普段でも来るからあまり実感湧かない

38:名無しさん＠お腹いっぱい。
04/05/03 19:27
URLﾘﾝｸ(www.symantec.co.jp)
ランダムに生成された IP アドレスの TCP ポート 445 上に接続することを試みます。

IP アドレスは、次のような確率で生成されます:
50% の確率で、完全にランダム
25% の確率で、１番目のオクテットが、感染したホストと同じ IP アドレス
25% の確率で、１番目、2番目のオクテットが、感染したホストと同じ IP アドレス

39:名無しさん＠お腹いっぱい。
04/05/03 19:43
そんな事より１よ、ちょいと聞いてくれよ。スレとあんま関係ないけどさ。
このあいだ、近所のTCP445行ったんです。TCP445。
そしたらなんかパケットがめちゃくちゃいっぱいで入れないんです。
で、よく見たらなんか垂れ幕下がってて、W32.Sasser.Worm、とか書いてあるんです。
もうね、アホかと。馬鹿かと。
お前らな、W32.Sasser.Worm如きで普段来てないTCP445に来てんじゃねーよ、ボケが。
MS04-011だよ、MS04-011。
なんかTCP135に来てるのもいるし。年度が変わってもいまだにBLASTERか。おめでてーな。
よーしパパRPCサービス以上終了しちゃうぞー、とか言ってるの。もう見てらんない。
お前らな、FIX_BLAST.EXEやるからポート空けろと。
ネットワークポートってのはな、もっと殺伐としてるべきなんだよ。
スイッチングハブの並びに繋がった奴といつコンフリクトが始まってもおかしくない、
落とすか落とされるか、そんな雰囲気がいいんじゃねーか。マカーは、すっこんでろ。
で、やっと入れかと思ったら、隣の奴が、XP標準のFWで、とか言ってるんです。
そこでまたぶち切れですよ。
あのな、XP標準のFWなんてきょうび流行んねーんだよ。ボケが。
得意げな顔して何が、XP標準のFWで、だ。
お前は本当にXP標準のFWを使いたいのかと問いたい。問い詰めたい。小１時間問い詰めたい。
お前、XP標準のFWって言いたいだけちゃうんかと。
ネットワーク通の俺から言わせてもらえば今、ネットワーク通の間での最新流行はやっぱり、
ポート全開放、これだね。
ポート全開放かつセキュリティソフトアンインスコ。これが通の頼み方。
ポート全開放ってのはポートが多めに開いてる。そん代わりセキュリティが甘め。これ。
で、それにセキュリティソフトアンイスコ（シマンテック）。これ最強。
しかしこれを実行すると次からスーパーハカーにマークされるという危険も伴う、諸刃の剣。
素人にはお薦め出来ない。
まあお前、１は、ウイルスバスター２００４でも入れてなさいってこった。

40:名無しさん＠お腹いっぱい。
04/05/03 19:48
初心者のためのWORM_SASSER(A.B.C)への対処法　
･手動削除手順:
以下の手順を実行してください。　
①セーフモードで起動します。　
⇒WindowsをSafe Mode（セーフモード）で起動する方法　本ｽﾚの>>27 又は、下記URLから。
URLﾘﾝｸ(www.trendmicro.co.jp)　

②ウイルスプログラムの自動起動設定を削除します。
⇒スタートボタン(通常ｳｨﾝﾄﾞｳｽﾞ画面左下)→ファイル名を指定して実行→入力欄に regedit でエディタが起動　
以下のレジストリの値を削除してください。　
[WORM_SASSER.A B C] 場所: KEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
[WORM_SASSER.A] 値： avserve.exe = %Windows%\avserve.exe
[WORM_SASSER.B] 値： avserve.exe = ＜Windowsフォルダ＞\avserve2.exe
[WORM_SASSER.C] 値： avserve2.exe = "%Windows%\avserve2.exe"
※ファイアウォールなどの機能を導入していない方は再感染を防ぐためにWindows XPの付属ファイアウォールを有効にしてください。
　詳しくは>>24 を参照のこと。　

③コンピュータを再起動し、通常モードで起動します。　
URLﾘﾝｸ(www.trendmicro.co.jp)　オンラインスキャンで　ウイルス検索を実行してください。
「WORM_SASSER.A（又は.B C）として検出されたファイルはすべて削除してください。　

④Windows検索（先述のスタートボタン→検索で起動）を使って次のフォルダ検索し、削除します。　
[WORM_SASSER.A]の場合「kazaabackupfiles」　
[WORM_SASSER.B]の場合「WIN.LOG」　
[WORM_SASSER.C]の場合「WIN.LOG」「WIN2.LOG」　
註：WindowsシステムフォルダはWindowsの種類とインストール時の設定などにより異なります。標準設定では、　[WindowsNT/2000の場合]、システムフォルダ＝　C:\WinNT\System32　[WindowsXP の場合]、システムフォルダ＝　C:\Windows\System32　です。　

⑤セキュリティホール修正パッチを導入　
⇒Microsoft Windows のセキュリティ修正プログラム (835732) (MS04-011) を下記URLから説明を参照し、導入してください。　
URLﾘﾝｸ(www.microsoft.com)

41:名無しさん＠お腹いっぱい。
04/05/03 19:57
インターネットに接続したところ、どのサイトを開いてもページが表示できませんと
出てしまうのですが、sasserに感染しているのでしょうか？

42:名無しさん＠お腹いっぱい。
04/05/03 20:00
>>41
違う

43:名無しさん＠お腹いっぱい。
04/05/03 20:06
>>42
回答ありがとうございます。

44:名無しさん＠お腹いっぱい。
04/05/03 20:09
>>41-43
これを拝んでおきなさい。さすれば解決の糸口が見つかろう。
URLﾘﾝｸ(www.jade.dti.ne.jp)

45:名無しさん＠お腹いっぱい。
04/05/03 20:11
>>34
一時間で15件って少ないだろ
前に80数回されたことあった。
もちろん被害届けだしたけどな

46:41
04/05/03 20:12
>>44
どうもありがとうございます。よく読んで研究してみます。

47:名無しさん＠お腹いっぱい。
04/05/03 20:12
金鳥サッサ
ｷﾀ━━━━━━━!!!!

ルーターで弾いてましたが

48:名無しさん＠お腹いっぱい。
04/05/03 20:18
うちのシステムにはport1025へ半日で4000から5000ぐらい着てます
皆さんのport1025は大丈夫ですかぁ？

49:名無しさん＠お腹いっぱい。
04/05/03 20:19
sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の
ことでしょうか

あと自分のパソコンが６４ビットでないか否かはどこで調べられるでしょうか
教えてください

50:名無しさん＠お腹いっぱい。
04/05/03 20:21
>>48
私んとこはアクセス０です　逆に心配に・・・
CATVだからルータないし。。

51:名無しさん＠お腹いっぱい。
04/05/03 20:22
>>49
> sasserのwinセキュリティ修正プログラム835732、MS04-011とはKB835732の
> ことでしょうか

その通り。

> あと自分のパソコンが６４ビットでないか否かはどこで調べられるでしょうか
> 教えてください

調べるまでも無く貴方のWindowsは63ビットじゃないです。
100パーセント断言できます。

52:51
04/05/03 20:22
×63ビット
○64ビット

53:名無しさん＠お腹いっぱい。
04/05/03 20:24
>>51
両方のご回答どうもありがとうございます

54:名無しさん＠お腹いっぱい。
04/05/03 20:25
>>49
MS04-011=835732ですよ。KBつくのかわからんけどたぶんね。
６４BitでOSのことかﾆｬ？　そうであればﾏｲｺﾝﾋﾟｭｰﾀを右ｸﾘｯｸでﾌﾟﾛﾊﾟﾃｨでわかると思いますけど。

55:Blasterスレからパクリ…
04/05/03 20:27
URLﾘﾝｸ(www.isskk.co.jp)
思い起こせば　昨年の夏・・・　あの教訓をいかそう！
2003年7月16日（日本時間）
X-Forceセキュリティアラート「Microsoft Windows での RPC 実装の不具合」
思い起こせば昨年の夏・・・日本はちょうどお盆の時期。2003年7月16日、「Microsoft Windows
での RPC 実装の不具合」が発表され、この発表の約1ヵ月後、この脆弱性をついたMS　Blast
ワームが、日本時間の2003年8月12日より蔓延いたしました。そして、さらに追い討ちをかける
ように日本時間の2003年8月19日Nachi ワームは、MS Blastワームが使用するのと同じ脆弱性
を利用して、さらに企業ネットワークに被害をもたらしました。…

56:名無しさん＠お腹いっぱい。
04/05/03 20:28
>>48
TCP1025も監視対象に入れてるけど
カウント0

57:名無しさん＠お腹いっぱい。
04/05/03 20:28
>>54
KBがついていなかったのでもし違っていたらと思い質問しました
OSの確認の仕方の方法どうもありがとうございます

58:名無しさん＠お腹いっぱい。
04/05/03 20:29
>>56
アセクスが全く無いのは異常？

59:名無しさん＠お腹いっぱい。
04/05/03 20:29
2745に来るのはBagleかな。

60:名無しさん＠お腹いっぱい。
04/05/03 20:32
ポート閉じるのはリモート、ローカル両方閉じたほうがいいのかな

61:名無しさん＠お腹いっぱい。
04/05/03 20:32
>>56
＠policeでは警告が出てます。
うちのシステムでは、異常に増えたのが4月27日でした。
最初は、ほとんど　ぷらら　の顧客でしたが、
最近はアジア全域から着てます。

62:名無しさん＠お腹いっぱい。
04/05/03 20:33
1025、2745、6129、3127番のスキャンがやっと家にも来だしたよ。
でも、ルータのデフォルトルールが弾いてる。
最近のルータは良いね。

63:名無しさん＠お腹いっぱい。
04/05/03 20:34
>>58
2745にはバンバン来てるけど、
パケットフィルタの前にFWで弾いてるかも

64:名無しさん＠お腹いっぱい。
04/05/03 20:35
>>62
バッファローWHR2-G54
デフォで弾いてくれてる。
（･∀･）ｲｲ!!

65:名無しさん＠お腹いっぱい。
04/05/03 20:36
ルーターって
WAN→FW→パケットフィルタ→LAN
ってことかな？

66:名無しさん＠お腹いっぱい。
04/05/03 20:39
port1025へ一度だけ弾くやつのIPは、ほとんど
第一オクテットが　220　です。
（俺の場合はne）

67:名無しさん＠お腹いっぱい。
04/05/03 20:43
今のトコ塞ぐポートは445のみでおけ？

68:名無しさん＠お腹いっぱい。
04/05/03 20:45
漏れの場合
TCP1025
TCP135-137
TCP2745
TCP6129
TCP5554
TCP9996
TCP445

UDP4000

69:名無しさん＠お腹いっぱい。
04/05/03 20:49
道理で似たようなIPばっかりくるかと思ったら

70:名無しさん＠お腹いっぱい。
04/05/03 20:51
>>24
URLﾘﾝｸ(www.isskk.co.jp)
> マニュアルプロテクションを行うには、TCP ポート 139, 445, 5554, 9996を
> ネットワークゲートウェイでブロックしてください。

要するにXPのおまけFWでTCP porｔ [139, 445, 5554, 9996]を塞げということ。

71:名無しさん＠お腹いっぱい。
04/05/03 20:51
>>69
多分自分と同じ第一オクテットに対してスキャンすると思われる

72:名無しさん＠お腹いっぱい。
04/05/03 20:55
>>68
漏れは
113
135-139
445
1025-1027
5000

5554と9996は今回のため？

73:名無しさん＠お腹いっぱい。
04/05/03 20:57
>>72
一応。感染しても他人に迷惑かけんように
その2つはINもOUTも閉じたよ

74:名無しさん＠お腹いっぱい。
04/05/03 21:00
1-1025
これでモウマンタイ

75:名無しさん＠お腹いっぱい。
04/05/03 21:00
ニュース読んで電源入れるの恐いんですが
ブロードバンドルータ噛ませていて
ウイルスバスターの定義ファイルは先月末更新
Windows Updateは４月中旬の「重要な更新」をアップデート
これだけやってれば大丈夫ですかね。
ウイルスバスターのFWはブロードバンドルーターモード（つまり最低）
WindowsXP HEのFWはOFFにしています。

76:名無しさん＠お腹いっぱい。
04/05/03 21:03
>>74
なんでそれで書き込めてるんだ

77:名無しさん＠お腹いっぱい。
04/05/03 21:03
>>75
ルーターが入っているならNATで何かやっていない限り
外からは届かないので大丈夫と思われ

78:75
04/05/03 21:05
>>76
すみません、Macからです。

79:名無しさん＠お腹いっぱい。
04/05/03 21:05
>>75
先月末だったらダメだろボケ
頭弱いのか？

80:名無しさん＠お腹いっぱい。
04/05/03 21:05
>>75
電源入れるのが怖いのに、２ちゃんにはカキコ

81:75
04/05/03 21:06
>>77
どうもです。

82:名無しさん＠お腹いっぱい。
04/05/03 21:07
阿部のホームランを弾くにはどうしたらいいでしょうか

83:名無しさん＠お腹いっぱい。
04/05/03 21:08
>>82
ピッチャーに金をかける

84:名無しさん＠お腹いっぱい。
04/05/03 21:08
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新
ウイルスバスターの定義ファイルは先月末更新

今日も更新がありました。最新パターンファイルは1.833.00

85:75
04/05/03 21:08
>>79
５月に入ってからPC使う機会がなかったためです。
あくまで条件の一つとして挙げました。
ブロックのためのすべての条件を満たすつもりはないので。

86:名無しさん＠お腹いっぱい。
04/05/03 21:09
>>85
念には念を入れないでどうするんだ？
完璧なものなんて無いんだぜ？

87:名無しさん＠お腹いっぱい。
04/05/03 21:11
結局のところ今回もポート４４５なんだろ。
いいかげんＦ／Ｗでブロックしろよ。

88:名無しさん＠お腹いっぱい。
04/05/03 21:13
>>75
ルーター（警備員）かましてても、ポート閉めるの忘れてたら（警備員が仕事してなかったら）意味ない

89:名無しさん＠お腹いっぱい。
04/05/03 21:13
80以外すべてブロックが最強だな

90:75
04/05/03 21:13
>>86
十分条件より今回伺いたいのは必要条件なので。
具体的には４月中旬までのWindows Updateで
今回のパッチがあてられてるかを伺えれば確信は持てます。

今からウイルスバスターをアップデートしてもその前に回線つながってしまうので
そこまでの十分条件を満たすつもりはないのです。

91:名無しさん＠お腹いっぱい。
04/05/03 21:17
>>90
起動してからPCにケーブル挿せばぁ

92:名無しさん＠お腹いっぱい。
04/05/03 21:17
>>75
必要条件なら、ネットに接続せずにＰＣを立ち上げて
IPSEC Policy Agentサービスを無効に設定しろ。
ｌｓａｓさえ動作拒否しとけば安全だ。

93:名無しさん＠お腹いっぱい。
04/05/03 21:18
TCP ポート 445 ブロックしてればいじゃん

94:75
04/05/03 21:19
>>91
それだとケーブルを挿した後に侵入を防げるのですか？

95:名無しさん＠お腹いっぱい。
04/05/03 21:21
>>94
XPのFWをONにしとけばいい

96:名無しさん＠お腹いっぱい。
04/05/03 21:21
>>93
>75はＦ／Ｗやポートブロック、ルータのフィルタ機能などに
まったく無知な人間と思います。

97:名無しさん＠お腹いっぱい。
04/05/03 21:26
なんかどさくさにまぎれてやばげなポートまとめてスキャンしてくるやつがいる。
全く同じ時間に同じIPから６つまとめてとばしてきやがった。
なに考えてんだ？

98:名無しさん＠お腹いっぱい。
04/05/03 21:26
(´∀｀)心配性だなぁ

99:名無しさん＠お腹いっぱい。
04/05/03 21:27
>>97
6回だけで騒ぎすぎだろ

100:名無しさん＠お腹いっぱい。
04/05/03 21:27
>>97
不正アクセスで警察に通報しろ

101:75
04/05/03 21:27
>>96
MacからルータのFWをいじる権限がないんですよ。
ついでに我が家のWindowsマシンも自分の使っているものではないので
（有り体に言うとNTベースのWinの使い方を知りません。ﾏｶｰなので）
XPのFWがオフになっていることしか知りません。
その他の内々の事情で上の対策をとる権利が自分にはないのです。

今回特に伺いたいのは４月中旬配布までのWindows Update（重要な更新）が
今回のウイルスに対応されているものなのかどうかってことです。

102:名無しさん＠お腹いっぱい。
04/05/03 21:29
>>101
＞今回特に伺いたいのは４月中旬配布までのWindows Update（重要な更新）が
＞今回のウイルスに対応されているものなのかどうかってことです。

このスレ全部読み返せ

103:名無しさん＠お腹いっぱい。
04/05/03 21:30
MS04-011

104:名無しさん＠お腹いっぱい。
04/05/03 21:30
>>101
四月中旬なんて抽象的に表現では何とも言えんよ。
ＰＣ立ち上げてMS04-11(KB835732)がインストールされている
されてることを確認しろ。

もちろんネットへの接続ケーブルは外した状態でだ。

105:75
04/05/03 21:33
>>102
今、読みかえしました。そのうえで伺いますが
(MS04-011)の更新日付はいつですか？
当方のMac用ブラウザではWindows Updateのページを
ActiveX非対応の関係で開けず確認できないんですよ。

106:名無しさん＠お腹いっぱい。
04/05/03 21:34
>>105
2004/04/12

107:75
04/05/03 21:35
>>106
ありがとうございます。質問がまわりくどくなりすみませんでした。

108:名無しさん＠お腹いっぱい。
04/05/03 21:35
>>105
2004年4月30日更新。
ちなみに登録日は2004年4月14日。

109:名無しさん＠お腹いっぱい。
04/05/03 21:37
ちなみに2004/04/12(PST)は
修正パッチの登録日

110:名無しさん＠お腹いっぱい。
04/05/03 21:37
>>105
と言うかここ読んでみれ。
URLﾘﾝｸ(www.microsoft.com)

111:75
04/05/03 21:38
ありがとうございます。Mac経由でパッチを転送します。

112:名無しさん＠お腹いっぱい。
04/05/03 21:39
MS04-11って糞パッチだってＭＳ自身が認めたパッチだろ

113:名無しさん＠お腹いっぱい。
04/05/03 21:40
知り合いが勝手にシャットダウンするウィルスに感染したらしいけど
どっちだろ？今時ブラスタはあり得ないよね？
問題が発生しましたみたいな内容がでてカウントダウン後に落ちるらしい
感染に気付いたのが1日の夜らしい
タスクマネの開き方すらわからない厨房だから情報少なすぎ
駆除を麦酒一本で手を打つ俺は安すぎ…orz

114:名無しさん＠お腹いっぱい。
04/05/03 21:40
地雷パッチMS04-011を修正する気はMicrosoftには無いのかな
それともパッチの問題ではないと言い張るのだろうか

URLﾘﾝｸ(support.microsoft.com)

115:名無しさん＠お腹いっぱい。
04/05/03 21:41
>>113
そいつは乙だな。

116:名無しさん＠お腹いっぱい。
04/05/03 21:42
パッチ修正中ってことをWin板で聞いたぞ

117:114
04/05/03 21:43
Keywords:kbBug kbfix kbQFE kbWin2000preSP5fix KB841382

> kbWin2000preSP5fix

はぁ？まさか地雷パッチ329170のようにSP5まで直す気は無いということなのかな。

118:名無しさん＠お腹いっぱい。
04/05/03 21:43
>>75
windows 使ってるやつに確認させるのが確実ではないでしょうか？
windowsのupdateとルーターの機能とは関係ないしW

119:名無しさん＠お腹いっぱい。
04/05/03 21:44
MS04-011が適用されてるか確認する方法。

NetMeeting のバージョン番号が 3.01 (4.4.3399) となっている場合、
修正プログラムは正しくインストールされています。

120:名無しさん＠お腹いっぱい。
04/05/03 21:45
>>117
SP4が出た後のパッチはSP5として出る

121:名無しさん＠お腹いっぱい。
04/05/03 21:45
>>116
どこのスレ？

122:名無しさん＠お腹いっぱい。
04/05/03 21:46
同じMacユーザーとして言おう
>75氏ね

123:名無しさん＠お腹いっぱい。
04/05/03 21:47
>>121
うｐだてしたらあげるスレか
失敗したら上げるスレだったはず

124:名無しさん＠お腹いっぱい。
04/05/03 21:48
>>117
>>120が言う通りSP4が出た後のパッチはすべてSP5として登録される。

125:名無しさん＠お腹いっぱい。
04/05/03 21:48
>>121
ここに言い訳が書いてある
URLﾘﾝｸ(support.microsoft.com)

126:名無しさん＠お腹いっぱい。
04/05/03 21:50
>>117
はKeywords(MSの情報検索用キーワード)の意味を全く理解していない

127:名無しさん＠お腹いっぱい。
04/05/03 21:51
>>123
URLﾘﾝｸ(japan.internet.com)

ここですね。失敗スレで見つけたよ。

>>120,>>124
いや、KB841382は不具合を記しただけのドキュメントで、そのドキュメントに
「kbWin2000preSP5fix」なんて書いてあるからSP5まで修正されない不具合なのかなぁと。。。

128:名無しさん＠お腹いっぱい。
04/05/03 21:52
>>126
まったく理解していないというのは言い過ぎ
preSP5の意味がわからなかっただけじゃない？

すくなくても>75よりは理解してるように思える。

129:114,117
04/05/03 21:52
>>126
理解できるように教えてくれませんか？
それか該当するドキュメントを提示して下されば幾らでも読みます。

130:114,117
04/05/03 21:54
「kbWin2000preSPxfix」ってSPxで修正される不具合に付く
検索キーワードだと思っていたけど違うのか。

131:名無しさん＠お腹いっぱい。
04/05/03 21:59
>>130
SP5にKB835732が突っ込まれるってこと。
それまで修正しないって言ってるわけではない。

132:名無しさん＠お腹いっぱい。
04/05/03 22:00
しかし、このウイルスの蔓延で無知なWindowsユーザーが
パッチあてまくってＰＣの不具合が出たら
それこそMS04-011のバグとして叩かれるだろうね。

133:名無しさん＠お腹いっぱい。
04/05/03 22:01
だな。
>>127の
URLﾘﾝｸ(japan.internet.com)
にも
＞Microsoft は、ソフトウエアの脆弱性に対処し、面倒な修正パッチを用意するという作業に追われている。

と書かれてるし

134:名無しさん＠お腹いっぱい。
04/05/03 22:02
>>132
禿同

135:名無しさん＠お腹いっぱい。
04/05/03 22:02
preSP5fixはSP5前の修正って意味だろ

136:名無しさん＠お腹いっぱい。
04/05/03 22:02
LAN(TCP,port 445)
LAN(TCP,port 445)
LAN(TCP,port 135)
LAN(UDP,port 137)
LAN(TCP,port 2745)
LAN(TCP,port 1025)
LAN(TCP,port 6129)
LAN(TCP,port 80)
LAN(TCP,port 1025)
LAN(TCP,port 445)
LAN(TCP,port 6129)
LAN(TCP,port 445)
LAN(UDP,port 137)
LAN(TCP,port 445)
LAN(TCP,port 2745)
LAN(TCP,port 135)
LAN(UDP,port 137)
LAN(UDP,port 137)
LAN(TCP,port 80)

2745はあんまないな

137:名無しさん＠お腹いっぱい。
04/05/03 22:05
>>136
2745
2つか。
漏れは数時間で30件ほど
いつからいつまでのログ？

138:137
04/05/03 22:07
>>136
ISPどこ？
漏れはYBB

139:名無しさん＠お腹いっぱい。
04/05/03 22:08
>>137
上から30分ほどだから同じぐらいか

>>138
いまニュー速で話題のmesh(w

140:名無しさん＠お腹いっぱい。
04/05/03 22:10
何故かクソスレばかりが目立つmesh

141:名無しさん＠お腹いっぱい。
04/05/03 22:12
>>139
あんが㌧

142:名無しさん＠お腹いっぱい。
04/05/03 22:17
どさくさにまぎれてイスラエルからｷﾀ━━━(ﾟ∀ﾟ)━━━!!!!!

143:名無しさん＠お腹いっぱい。
04/05/03 22:20
>>142
ウイルスてほとんどイスラエル製･･･
やっぱりナチに根絶されるべきだったな

144:名無しさん＠お腹いっぱい。
04/05/03 22:20
誘導thx from pc2nanmin

145:名無しさん＠お腹いっぱい。
04/05/03 22:21
ユダヤとチョンは他人の領域を勝手に侵食するからな

146:名無しさん＠お腹いっぱい。
04/05/03 22:27
頼むからドイツもこいつもFWかルータくらいまともに使ってくれ。

147:113
04/05/03 22:28
どうもブラスタDの悪寒がする…あれが一番面倒だ…
間違えて本物のsvchost消したらあぼーんだし…
きょうびブラスタなんて流行んないよね…希望的憶測だけど

148:名無しさん＠お腹いっぱい。
04/05/03 22:31
件の制限時間付き強制終了が頻発していたので脆弱性修正パッチあてました。
で、ウィルス消そうとタスクマネージャーのプロセス見たんですが、どこにもavserve.exeやavserve2.exeがないんです。
winntフォルダにも16416up.exeみたいなのないし。

で、やっぱり感染してないのかな、と思って確認の意味でnetstatかけたら
1025-1099がlistenされまくってるんですよ。

感染してるのかな？教えてエロイ人

149:名無しさん＠お腹いっぱい。
04/05/03 22:32
>>147
そうとは言い切れないかも世？
実際ポート135のスキャンなんて飽きるほどくるし。
法人や企業とかならともかく、一般人あたりだとそのままってやつもいそうだし。

俺の知ってるやつに「パッチってなに？」って真顔で聞いてきたやつがいたシナ・・・

150:名無しさん＠お腹いっぱい。
04/05/03 22:36
2004/05/03 21:56:12 2745
2004/05/03 21:56:12 1025
2004/05/03 21:56:12 3127
2004/05/03 21:56:12 6129
2004/05/03 21:56:12 80

同じ所から繰り返し来ますね。

151:笹公撃滅戦隊・火撃
04/05/03 22:36
　　｜
　／|７
./…||腐れsasserを
∥…||撃滅しに
∥　||来たモナー
∥…|]`＼
∥…||ロ.」
∥　|∧＿∧
⊆三⊇´∀`)
　⊂　⊂/ ）
　∥/＿|＿|
　□＿_)＿）

((((∽))))笹公は
　　　∥死ねやｺﾞﾙｧ！
　⊿■三＝━━─
ロ口∥>　　＿＿пi
　／⊥＼┣/○⌒＠I
～′￣￣|∟#゜Д゜)
【HH|/￣＼⊇‡〓>━-
〈[※]>　　/￣∥

152:名無しさん＠お腹いっぱい。
04/05/03 22:38
佐々淳行　突入せよ　浅間山荘。

153:笹公撃滅戦隊・火撃
04/05/03 22:40
ヽヽヽ　　／∋∋∋⊃
( ゜∋゜)／⊃∋⊃∋
(　　　三＜∋∋∋∋
｜　｜｜＼∋⊃∋∋
(＿＿)＿) ＼⊃⊃∋
　＿＿_ったくユダ公
/~⊂Ч⊃＿とｸｿﾁｮｿは
(#・∀・)これだから
(つ]≡〓＝━━─Σ
｜　｜∥糞なんだよ
(＿／/￣＼ｳﾗｳﾗｰ!
￣￣￣￣￣￣ｽﾞﾄﾞﾄﾞﾝ!

154:名無しさん＠お腹いっぱい。
04/05/03 22:40
>>148
オンラインスキャンとか試してみたら？

URLﾘﾝｸ(www.trendmicro.co.jp)
URLﾘﾝｸ(www.symantec.com)

#テンプレにオンラインスキャンが無いのは失敗だな。

155:名無しさん＠お腹いっぱい。
04/05/03 22:40
URLﾘﾝｸ(uploader.org)
こんな感じ。

156:名無しさん＠お腹いっぱい。
04/05/03 22:41
>>150
うちとおなじやね。
たたいてくるポートも同じ。

ただしょっちゅうってわけじゃなくて、ちょっと間隔をあけてやってくる感じ。
もちろんIPは変わってるが第一オクテットは同じ。

原種はたしかポート445をたたくはずだが、こいつは亜種と言うことかな？
それとも別物？
どっちにしても情報少なすぎ。

157:154
04/05/03 22:41
トレンドマイクロのやつは>>6にあった。

158:名無しさん＠お腹いっぱい。
04/05/03 22:42
MS04-011に関する調査結果

URLﾘﾝｸ(d.hatena.ne.jp)

159:名無しさん＠お腹いっぱい。
04/05/03 22:43
>>149
タスクマネの開き方すら知らない厨房だからそんなタイプ
そいつはAに感染した経験があって俺が駆除した
パッチを落とすところまでやって時間がないからそいつにやらせて俺は仕事に行った
こーいう香具師ほど雑誌とか見て知識もないのに自動うぷだてはずしたり
FW切ったりするから始末が悪い…
j3…がんがりますわ…る

160:名無しさん＠お腹いっぱい。
04/05/03 22:45
あした休日出勤する奴手挙げろ

161:149
04/05/03 22:46
>>159
確かにそういう傾向はあるよね。
生半可な「ネタ」知ってる割には生かし切れないで自爆するって言うパターン。

大変だけどがんばってくださいね－

162:名無しさん＠お腹いっぱい。
04/05/03 22:47
2004-05-03 22:24:20 LAN(TCP,port 2745)
2004-05-03 22:24:20 LAN(TCP,port 135)
2004-05-03 22:24:20 LAN(TCP,port 1025)
2004-05-03 22:24:20 LAN(TCP,port 445)
2004-05-03 22:24:20 LAN(TCP,port 3127)
2004-05-03 22:24:20 LAN(TCP,port 6129)
2004-05-03 22:24:20 LAN(TCP,port 139)
2004-05-03 22:24:20 LAN(TCP,port 80)
2004-05-03 22:25:30 LAN(UDP,port 137)
2004-05-03 22:28:48 LAN(UDP,port 137)
2004-05-03 22:29:51 LAN(TCP,port 135)
2004-05-03 22:32:02 LAN(UDP,port 137)
2004-05-03 22:33:59 LAN(UDP,port 137)
2004-05-03 22:34:06 LAN(UDP,port 137)
2004-05-03 22:35:32 LAN(TCP,port 2745)
2004-05-03 2:35:32 LAN(TCP,port 1025)
2004-05-03 22:35:32 LAN(TCP,port 6129)

次ページ