sasser【スタコラサッサ】sasser　Part２

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:31] sasser【スタコラサッサ】sasser　Part1 pc3.2ch.net/test/read.cgi/sec/1083573189/ 2 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:32] | 冫､)ｼﾞｰ　　　　　|)彡ｻｯ 3 名前：名無しさん＠お腹いっぱい。 [04/05/06 19:33] 　　　　　　　　　　　　　.　　+　.　　*　　　　　／￣￣￣￣￣￣＼ 　　　　　　　　　　　　　　　　■　■ 　■　　　　　 ■■■　　　　　.　　　　　　／　 　＿ノ　 　　　,＿ノ＼ 　　.+　　☆　　.　　　　　 ■　■ ■■■■　　■　 ■　　　　　　　　　　 /　　　 / iﾆ)ヽ,　　　/rj:ヽヽ ヽ　　　　　　　 　　　　　　■　■ 　　■　　　　■ 　■ ■■■■■■■l::::::::: ;〈　!:::::::c!　　' {.::::::;､! 〉　.|■■■■■■■■　 ■　■ .■■■■ ■　■■　　　　　　　　　　 |:::::::::: 　(つ`''"　　　`'ｰ''(つ 　 |　　　　　　　　　　　　　■　■ 　　　■　　　　　■　　+.　　☆　　。.　. |::::::::::::::::: 　 ＼＿＿_／　　　　| ☆　.　*　　+. 　　　■　　　　　■　　　　　　　　　　　 ヽ:::::::::::::::::::.　　＼／　　　　　ノ　　.　　.　.　　　+☆　　.●　● 4 名前：名無しさん＠お腹いっぱい。 [04/05/06 19:35] 　　　 ∧＿∧ 　 ＿（　‘∀‘）＿＜ダスチンマン参上>>1 ちょっと早いけど乙。 ⊂） (ﾆ　｡ 　｡ ) （⊃ 　 l　　｝､　　,｛　T´ 　ﾉ＿/. ｀つ'　l＿ゝ 　　 （＿_）（＿_） 5 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:37] >>1 ('A`)ﾉｼ　乙でつ 6 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:37] ヾ('A`)ゞｴｯｻｯｻ 7 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:41] ■悪質ウィルスSASSER大暴れ中 こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する だけで何もしなくても感染しちゃいます。((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ 現在確認されている亜種はA〜Dの４種類ですが、動作、対処法はどれもほとんど同じ。 前スレ　sasser【スタコラサッサ】sasser　Part1 pc3.2ch.net/test/read.cgi/sec/1083573189/ ■症状 ・妙な窓↓が出てカウントダウンの後OSが強制的にシャットダウンする。 　　LSA Shell(Export Version) has encountered a problem 　　This system is shutting down...by NT AUTHORITY\SYSTEM ・なんだかわからないが動作がメチャ重い。ネット接続がひんぱんに切れる。 ・症状はパソコンの環境によっていろいろです。変だなと思ったらこの後のテンプレ 　読んでさっそく対策してください。ウィルスを広めるあなたもウィルスじゃ。 ■ワームの侵入・拡大を防ぐようネットワークを設定する方法（経済産業省の呼びかけ） 　www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html ・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール 　やルータの設定で、 　　UDP135、137、138、139及び445、 　　TCP135、138、139、445及び593 　のポートへのアクセスを許可しない。 ・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス 　を許可しない。 8 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:42] 《関連リンク》 Sasser ワームについてのお知らせ(Microsoft) 　www.microsoft.com/japan/security/incident/sasser.mspx Sasser ウイルスに関する情報 Windows XP 編(Microsoft) 　www.microsoft.com/japan/security/incident/sasser_xp.mspx Sasser ウイルスに関する情報 Windows 2000 編(Microsoft) 　www.microsoft.com/japan/security/incident/sasser_2k.mspx セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft) 　　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp W32.Sasser.Worm(Symantec) 　www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html W32.Sasser.B.Worm(Symantec) 　www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html W32.Sasser 駆除ツール(Symantec) (亜種A-Dまで対応) 　www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html WORM_SASSER.A(Trend Micro) 　www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A WORM_SASSER.B(Trend Micro) 　www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B その他亜種はデータベースのトップからSasserで検索してください） ・トレンド(手動削除手順はトレンドが詳しいです) 　www.trendmicro.co.jp/vinfo/ ・シマンテック 　www.symantec.com/region/jp/sarcj/vinfodb.html 9 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:42] 《SASSER動作概要》 ■SASSERファミリー（A〜D）の感染動作概要 ・感染経路のport番号 　感染マシン→ターゲットマシンのTCPポート445をスキャン 　感染マシン←ターゲットマシンの脆弱性の情報を確認 　感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り 　感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送 ・レジストリの改変 　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run ・ウィルスが書き込む値： 　avserve.exe = %Windows%\avserve.exe 　avserve2.exe = %Windows%\avserve2.exe 　skynetave.exe = "%Windows%\skynetave.exe" ・その他ウィルスが作成するファイル名 　＜ランダムな数字＞_up.exe"（ファイル名例："12345_up.exe"） 　システムドライブのルート（C:\）にWIN2.LOG" というログファイル ■ワームの侵入・拡大を防ぐようネットワークを設定する方法（経済産業省の呼びかけ） 　www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html ・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール 　やルータの設定で、 　　UDP135、137、138、139及び445、 　　TCP135、138、139、445及び593 　のポートへのアクセスを許可しない。 ・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス 　を許可しない。 10 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:43] ■sasser を手動で“駆除”および“駆除”されたことを確認する方法 ０．ネットワークから物理的に離脱する（ケーブルを抜く、モデムの電源OFF） １．タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認 ２．レジストリで、 　　HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run 　　で　"avserve*.exe" = "C:\WINDOWS\avserve*.exe"　　（*：なし、または数字） 　　　　"skynetave.exe" = "C:\WINDOWS\skynetave.exe"　（Windows2000：WINNT） 　　の削除、または無いことを確認 ３．%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認 　　（%SystemRoot%：Windows, または WINNT）（*：なし、または数字） ４．%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認 ５．システムドライブ（ふつう C ドライブ）のルート（直下）の "win*.log" の削除、 　　または無いことを確認　　（このログは sasser の他への攻撃履歴が記録されている） ６．Windows を再起動 ■　Windowsアップデート後、Microsoft純正Sasserツールで駆除 　　 www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17 　使い方　support.microsoft.com/?kbid=841720 ・手動：セーフモードで（F8を連打しながら）起動→スタート→ファイル名を指定して 　実行→regedit→以下の項目を削除 　　　HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run 　　　値　： avserve.exe = %Windows%\avserve.exe　（SASSER.Bの場合　avserve2.exe） 　→本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→ 　さらにウィルスとして発見されたファイルがあれば削除 11 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:44] ■マイクロソフトのSasser感染・駆除チェックサイト www.microsoft.com/security/incident/sasser.asp 画面をスクロールして↓下記のボタンを押す。 　　　　　　　　------------------------ 　　　　　　　　 Check My PC for Infection 　　　　　　　　------------------------ 能書窓が出るのでI agreeのラジオボタンにチェックを入れる。 　　　　　　　　------------------------ 　　　　　　　　 Your PC Is Not Infected 　　　　　　　　------------------------　　　と出ればOK。 Windowsのアップデート「MS04-011」が未適用のPCだと 　To use this tool, you must be running Windows XP or Windows 2000, 　and you must have already installed MS04-011. と表示されて検知・駆除ができない。→アップデート適用後再度検査 アップデート適用ずみだが、それ以前にSasserに感染していた場合、 The Sasser worm was successfully removed from your computer.　 と表示される。「駆除に成功した」のでこれでOK 12 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 19:50] ○感染の危険のあるOS 　Windows2000、XPはインターネットに接続するだけで、感染する可能性が 　あります。 　Windows 95、98、Me、NTに関しても、フロッピーやCD-ROMなど、外部メディア 　により感染する可能性があります。 13 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 20:06] スレ立て乙 14 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 20:08] ブラスターの２番煎じだからブラスターほどの破壊力は ないようですね。よかった。 15 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 20:11] オリジナリティが無いね。 ウィルス作者は、所詮、アーティストの器じゃないよ( ﾟ∀ﾟ )ｱﾋｬﾋｬﾋｬﾋｬﾋｬﾋｬﾋｬﾋｬﾊﾞｰｶ 16 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 20:11] NETSKYと作者が同じかも知れないって そいで合体の可能性ありと言ってる ttp://www.itmedia.co.jp/enterprise/0405/06/epr01.html 17 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 20:39] 2日待てど、誰も送ってこない。 誰かうｐしてくれませんか？＞ウイルス 18 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 20:46] >>17 自分ﾃﾞ捕獲ｼﾚ 19 名前：17 mailto:sage [04/05/06 21:01] 開けっ放しにしても、やってこない。 MSblastの時もそうだった。 なんか、悲すい。 誰か頼む 20 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 21:06] >>16 ハナシの出所がバカフィー 21 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 21:13] >>14 破壊力がないせいで、強制シャットダウン以外の症状ならば 感染しても気づかない奴もいるとかいないとか くわばらくわばら 22 名前：名無しさん＠お腹いっぱい。 [04/05/06 21:20] 今日の朝、急いで自分の部署のPCだけ修正バッチを入れて回ったけど、修正バッチを当てて いないPCがたくさんあるのに他の部署でもsasserの被害はなかった。 今日のPC関連の事件 　Netsky.Qに感染したから助けてくれ 　GW中にクリーンインストールしたから設定し直してくれ なんか拍子抜けしてしまった・・・。 23 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 21:20] ♪ｴｰｯｻ ｴｰｯｻ ｴｯｻﾎｲ Sasser ｵｻﾙ ﾉ ﾜｰﾑ ﾀﾞ ﾎｲ Sasser（ﾟ∀ﾟ）ｱﾋｬﾋｬ 24 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 21:20] >>17 プロパがポート閉じたから。 残念だったね。 25 名前：17 mailto:sage [04/05/06 21:24] そう鴨。 でもメールウイルススキャンサービスとかはやっていない。 単にトラフィックの問題か ネ申、待っております 26 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 21:38] >>25 だから今回のはメールは関係ないと何度言えば... 27 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 21:41] 今日取引先（年商5億程度）に顔を出したら「おぉ○○君！キミィﾊﾟｿｺﾝに詳しいらしいな」 と社長室へ引っぱっていかれ、「調子が悪いんだｺﾚ、すぐ落ちるんだなんとかならんか」 そりゃあれでしょとPCの前へ･･･････(￣−￣;)？？「あのうｱﾝﾁｳｲﾙｽｿﾌﾄは？」と聞けば 「なんだねそれは？」(ﾟДﾟ)・・ﾏｼﾞｨ? 女の子にVBを買いに走らす間にﾊﾞｯﾁﾌｧｲﾙをと・・・・ ﾌﾄ画面に怪しげなﾌｫﾙﾀﾞｱｲｺﾝｼｮ-ﾄｶｯﾄﾊｯｹｰﾝ・・・・ﾁｮｯﾄ覗いちゃお･･･････Σ(￣■￣;) 燦然と輝く「winny」「極窓」「BDBZM」 etc 「な！なにをやっとんじゃこのｵｯｻ-ﾝは？」 （−＿−；）取り引き止めようと正直ｵﾓﾀ･･･････ﾀﾌﾞﾝ「ｷﾝﾀﾏ」にも感染してるだろうしｒｙ 28 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 21:41] うちポート19677に１時間当たり１００回くらいアクセスあってるんだけど。。。 これってサッサは関係ないよね？ 29 名前：名無しさん＠お腹いっぱい。 [04/05/06 21:45] >>27 ワロタ 30 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 21:48] 今田に445がバコバコ来てまつ。 昨夜からテレビニュースで騒いでいたけど、世間ではルータ・FWなどのポート管理が 行届いてきてるし、パッチが出れば意味判らずとりあえず即アップデート、ADSL使って いる個人は黙っていても初期値でポートはクローズ。 とりあえず、何もなかったという事でよろしいでつか？ 31 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 21:49] >>27 ほんとのようなうその話であってくれｗ 32 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 21:49] 狭い世間だこと 33 名前：17 mailto:sage [04/05/06 21:52] >>26 今回のウイルスはメール蔓延型ではないのは、承知しております。 ISPがウイルス対策に無頓着な例として挙げたまでです。 誤解を招きやすい発言をしてしまった点、お許し下さい 34 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 21:58] >>17は何がしたい？ ソースコードの入手か？ 35 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 22:01] >>33 まだ ﾍﾟｷｶﾝ に勘違いしてるような…　ﾊｧ〜 ISP は、インターネット接続環境を提供して報酬を得る所だ。 36 名前：17 mailto:sage [04/05/06 22:14] 本体っす 37 名前：17 mailto:sage [04/05/06 22:15] スマソ、本体のバイナリです 38 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 22:17] >>30 出た〜！ﾏｼﾞｽｶ。 www.asahi.com/business/update/0506/081.html 39 名前：名無しさん＠お腹いっぱい。 [04/05/06 22:20] 2004/05/06 22:17:50通信の要求221.232.16.29TCP(80) 2004/05/06 22:17:30ポートスキャン219.164.150.101TCP(445) 2004/05/06 22:17:30通信の要求219.164.150.101TCP(445) 2004/05/06 22:16:12ポートスキャン219.164.42.10TCP(445) 2004/05/06 22:16:12通信の要求219.164.42.10TCP(445) 2004/05/06 22:13:49ポートスキャン219.164.84.179TCP(445) 2004/05/06 22:13:49通信の要求219.164.84.179TCP(445) 2004/05/06 22:12:12ポートスキャン219.164.136.230TCP(445) 2004/05/06 22:12:12通信の要求219.164.136.230TCP(445) 2004/05/06 22:11:26ポートスキャン219.164.98.111TCP(445) 2004/05/06 22:11:26通信の要求219.164.98.111TCP(445) 2004/05/06 22:09:15通信の要求219.164.77.220UDP(137) 2004/05/06 22:09:09ポートスキャン218.47.58.56TCP(445) 2004/05/06 22:09:09通信の要求218.47.58.56TCP(445) 2004/05/06 22:09:03ポートスキャン219.164.74.225TCP(445) 2004/05/06 22:09:03通信の要求219.164.74.225TCP(445) 2004/05/06 22:08:56ポートスキャン219.164.200.57TCP(445) 2004/05/06 22:08:56通信の要求219.164.200.57TCP(445) 来てる来てる〜 40 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 22:21] Blasterほどじゃないね あれのインパクトは凄かった 41 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 22:27] ルータ入れて445やら135やらは塞いで当然でしょ、って人にはまったく関係ない 対岸の火事だね。 42 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 22:32] 火事は飛び火が一番怖いんだよ 43 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 22:33] これだけ騒がれていながら127社がやっちまったとは驚いた。 44 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 22:34] 盛り上がらないねぇ。 ちょっとドキドキしながら出社したのに。 45 名前：名無しさん＠お腹いっぱい。 [04/05/06 22:57] なんか2869から大量に来てる・・・・サッサーと関係ないよね・・・・ 46 名前：名無しさん＠お腹いっぱい。 [04/05/06 23:05] >>39 　お前のうちは第一オクテットが219が大半ですね 　うちは220がほどんどです。 　　portは、2745、1025、3127、80、6129、3410 　　1433、5000　というパターンが多いですね。 47 名前：名無しさん＠お腹いっぱい。 [04/05/06 23:12] 今朝sasserのcに感染したんですけど、その瞬間に メリーさんの羊の音楽が流れたんですが、何か意味が あるんでしょうか？ 48 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 23:16] sasserに１３００ファイル以上もヤラれてた私はどんなですかね？ 49 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 23:24] ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ Kerio Personal Firewall 4 ・「システムセキュリティ」というプログラム起動を監視する機能により、 　キンタマウイルス　www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html 　などのアイコンを偽装したEXEファイルをクリックしても警告が出て感染を防げる 　（玄人向けで有料だがTiny5でも防げる。 　　Sygate・Zone Alarmには似たような機能があるが防げない。 　　Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない） ・現時点では日本語化できない ・2バイト文字には対応していない ・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし 　kerio2のように詳細ルールも作れる ・SPIとIDS、トロイ対策のDLL監視機能もある（広告ブロックは有償版のみ） ・Outpostなみに軽い pc2.2ch.net/test/read.cgi/win/1077780039/233 ●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm ●Kerio Personal Firewall 4のログビューア www.geocities.jp/masagooooool/ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 50 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 23:25] ///////////////////////////////////////////////////////////////// System Safety Monitor(SSM) ・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のようにHTMLからのexe起動を含め、 　キンタマウイルス　internet.watch.impress.co.jp/static/index/2004/04/09/antinny.htm 　などの(ルールが)未決定のアクションを防げる（PFWではない） ・無料 ・日本語化できる ・レジストリキーの変更も監視できる ●SSMヘルプ翻訳テキスト+HTML配布サイト www.geocities.co.jp/Outdoors-Mountain/9671/ssm/ ///////////////////////////////////////////////////////////////// 51 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 23:26] ウイルスバスター2004 圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ FWレベル高にしないとアプリごとの制御ができない等、おまけ程度 スパイウェアの検出をするが削除は出来ない 迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる 代わりに不具合大盛りなNISって感じかな。 どちらもアンチウイルス機能自体には文句が出ないのは例年通り。 pc3.2ch.net/test/read.cgi/sec/1067918099/321 52 名前：名無しさん＠お腹いっぱい。 [04/05/06 23:27] 445たたきにこないな・・・3〜5分に一回くらいの割合。 同一プロバからも来てるんでポートふさいでるって感じじゃなさそうなんだけどね。 ひょっとしてblasterの時みたいに亜種が原種つぶして回ってるとかないヨナ？ 16060へのアクセスが入れ替わりに増え始めてるのがちょいと気になる。 53 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 23:27] 901 名前：900[sage] 投稿日：04/04/02 22:14 アンチウイルスソフト検出力結果報告(・∀・) ANTIDOTE / avast! 4 / AVG / AntiVir / BitDefender / eTrust ◇ウイルス EBCVGにてBinary VirusesとVirus codesを合計722ファイル（重複あり） 全てzip圧縮に変換 Linux/Macウイルスあり ◇アンチウイルスソフト 4/2 18：00頃の最新パターン適用 比較対照としてトレンドマイクロオンラインスキャンを使用・・・したかったけど結果悪いのでBitDefenderを基準に ☆結果 （検出数/検出率） BitDefender (*1） 580　　100.0％ AVP (*2) 545　　93.97％ Trend Micro 539　　92.93％ Antidote (*3) 524 90.34％ avast!4 (*4) 470　　81.03％ eTrust (*5) 444　　76.55％ AVG (*6) 212　　36.55％ *1 懐疑ファイル13含む *2 懐疑ファイル2含む *3 コード解析/圧縮ファイル/詳細検索にチェック。詳細検索にチェックを入れない場合は520。なお懐疑ファイルはどちらも3。 *4　迅速な検査＝261　　標準検査＝286　　完全な検査＝470 *5 Heuristic有効。SafetyLevel → Reviewer　　 ScanningEngine → InoculateIT *6 Heuristic有効。 AVGの検出率が悪すぎる。何かおかしい気が・・・(・∀・)？ 【cool】BitDefender Free Edition【free】 pc3.2ch.net/test/read.cgi/sec/1029516867/901 54 名前：名無しさん＠お腹いっぱい。 [04/05/06 23:28] >>35 んだなっす。 ブラジルのISPで、認証鯖（AUTH）から攻撃を受けたっす。 んで、調べたらホトンド無防備の鯖だったっす。 港が、パスポート無しだったっす。 メル云々つーより、感染ルート複雑で攻撃もレインボー戦隊並のDoSでし。 防ぎ切れているけど、アクセスログの流れを見ていたらダリだって鬱になっちまいやす。 55 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 23:28] 802 名前：Bitｽﾚ901[sage] 投稿日：04/04/04 19:02 BitDefender（以下BD）が全てのウイルスを検出したわけではないです。 BDが検出したウイルス数の580を100%として出した結果です。 要するにAVGだとBDの37%ということです。 誤解してる人がいるかもしれないので念のため。 ※AVGの検出は悪すぎたので"3回再ｲﾝｽﾄ＆4回検査”してます。 　で、結果は全て同じ(ﾟдﾟ) 非圧縮時の検出率を知りたい人は適当にウイルス集めて試してください（´・ω・｀） 【フリー】AVG Anti-Virus　Version１５ pc3.2ch.net/test/read.cgi/sec/1079833302/802 56 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 23:29] 831 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：04/04/05 01:03 去年(031207)同じようにやった結果 定義ファイル、プログラムは当時最新 圧縮なんかの設定はebcvgから落としてきたまま(rar,zip,b64) ただしほとんどはzipだから誤差は少ないと思う Antidote (*1) 549 100.00% eTrust (*2) 537 97.81% BitDefender (*3) 502 91.44% avast!4 (*4) 484 88.16% AVG (*5) 366 66.67% *1 ｺｰﾄﾞ解析,圧縮ﾌｧｲﾙ,電子ﾒｰﾙ, 懐疑5 *2 設定が多いから略。たぶん最高 *3 圧縮ﾌﾟﾛｸﾞﾗﾑ 圧縮ﾌｧｲﾙ, ﾒｰﾙ, ﾋｭｰﾘｽﾃｨｯｸ ただしvirus bodiesは584, 懐疑22 *4 圧縮ﾌｧｲﾙ *5 圧縮ﾌﾟﾛｸﾞﾗﾑ 圧縮ﾌｧｲﾙ, ﾒｰﾙ, ﾋｭｰﾘｽﾃｨｯｸ （一応どれも設定は最高にしてやったつもり） >>731と見比べると向こうはBitdefenderの検出数をvirus bodiesで 数えてるんじゃないかと思う。 おれはIdentified virusesが検出数だと思うから上はそっちを採用してる。 AVGの検出が悪いのはたぶん設定の問題。でも良くはない むしろ>>742と同じような結果だから、AVGの検出力はこんなもんだと思ってる。 【フリー】AVG Anti-Virus　Version１５ pc3.2ch.net/test/read.cgi/sec/1079833302/831 57 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/06 23:30] BitDefender（フリーの最新版） ・リアルタイムスキャンできない、メールスキャンできない ・まだ日本語化できない、2バイト文字のファイルでも検出可能 ringonoki.net/tool/antiv/bitdef.html AntiVir（フリー版） ・リアルタイムスキャンできる ・メールスキャンできない（常駐オンでread and write時有効な場合、添付ファイルを選択すればチェックできる） ・まだ日本語化できないに等しい eazyfox.homelinux.org/SecuTool/AntiVir/AVguard1.htm avast! 4（フリー版） ・リアルタイムスキャンできる、メールスキャンできる ・日本語版がある、2バイト文字に対応 iso-g.hp.infoseek.co.jp/alwil/avast_home/avast_home.html eTrust（フリーのプロモーション版） ・リアルタイムスキャンできる、メールスキャンできる ・日本語化できる、2バイト文字に対応 ・導入時に修正パッチをインストールするのがめんどう etavfp.hp.infoseek.co.jp/ AVG（フリー版） ・リアルタイムスキャンできる、メールスキャンできる ・日本語化できる、2バイト文字に対応 eazyfox.homelinux.org/SecuTool/AVG6/AVG61.htm 58 名前：名無しさん＠お腹いっぱい。 [04/05/06 23:40] このスレハ コピペばかりかｗ 59 名前：名無しさん＠お腹いっぱい。 [04/05/06 23:45] Sasserを防ぐために必要なパッチを適用すると不具合が発生 internet.watch.impress.co.jp/cda/news/2004/05/06/2997.html 今回も笑わせるな、MSは。もうね、アフォかと。 60 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 00:02] 笑うなぁ！！ 61 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 00:09] とりあえず、XPで >>59 の不具合が出るのは、EMFファイルが表示されない だけだよな？パッチ当てたいけど、何か怖くなってきたよ…(´・ω・｀) 62 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 00:16] >52 外部からのアクセスは弾いても、自分のネットワーク内部は放置状態 で内部で増殖しまくりなプロバイダも多いよ。うちが加入してる某ニフ系 のケーブルとか・・・ 63 名前：名無しさん＠お腹いっぱい。 [04/05/07 00:17] W32.Sasser.C.Worm ↑自分のPCをシマンテックでオンラインスキャンしたらこんなのが・・・。 しかも50個位、XPです。一昨日までサッサーA,Bにかかってましたが・・・。 W32.Sasser.C.Worm ウィルス名: W32.Sasser.C.Worm 別名: 感染場所: 性質: 工エエエｴェｪ(；ﾟДﾟ)ｪェｴエエエ工なんなのこれぇぇぇ www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=36332 64 名前：名無しさん＠お腹いっぱい。 [04/05/07 00:17] W32.Sasser.C.Worm ↑自分のPCをシマンテックでオンラインスキャンしたらこんなのが・・・。 しかも50個位、XPです。一昨日までサッサーA,Bにかかってましたが・・・。 W32.Sasser.C.Worm ウィルス名: W32.Sasser.C.Worm 別名: 感染場所: 性質: 工エエエｴェｪ(；ﾟДﾟ)ｪェｴエエエ工なんなのこれぇぇぇ www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=36332 65 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 00:24] >>43　釣りにしてはネタが古過ぎ。（最近の若い衆は知らんだろ）w 66 名前：65 mailto:sage [04/05/07 00:25] ×>>43 ○>>47 スマソ。 67 名前：名無しさん＠お腹いっぱい。 [04/05/07 00:27] うぷだてしにいっても、サッサに関するファイルっぽいので特にインストールしなさいと言われるものがないのですが もう既にインストールされてると考えてよろしいのでしょうか？ ４月半ば頃に緊急を要するアナが見つかったといわれたときにうぷだては済ませてあるのですが、この時期のうぷだてがサッサに関するものだったのでしょうか？ 68 名前：名無しさん＠お腹いっぱい。 [04/05/07 00:29] >>63 です、サッサーCについて載っているところがありました、 スレ汚しスマソ。 69 名前：　 [04/05/07 00:30] PC起動後すぐに強制終了されちまうんで 手の施しようがなく初期化したよ。 70 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 00:36] マイクロソフトの感染判断で「感染既往なし」て出たけど シマンテックのHP入れないしノートン立ち上げるとフリーズするし… Windows updateもうまくいかない。もう寝る。 71 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 00:36] >>69 セーフモードで起動すれば良かったのでは？ 72 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 00:39] >>69 あなたのキーボードにはF8キーがないのですか。 73 名前：名無しさん＠お腹いっぱい。 [04/05/07 00:57] 再せとうｐすろほどでも無いと思うが、 一旦ウィルスに犯された環境ってのも 気味悪いからな。 74 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 01:07] >>47 メリーさん・・・ 4,5年ぐらい前だったか？ 75 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 01:31] メリージェーン　オン　マイ　マインドォ〜 76 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 01:31] つのだひろ から一言↓ 77 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 01:31] で、おまいらの会社ではどうだったのよ。 78 名前：名無しさん＠お腹いっぱい。 [04/05/07 01:33] 花火を打ち上げてくれたりハッピーバースデーを歌ってくれたり 昔のは親切だったよな。 79 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 01:47] www.symantec.com/region/jp/sarcj/data/y/yankee_doodle.html メリーさんとはこれのことかな？Win3.1以前のウイルスみたいだけど… もう、おまえらなんか年季入ってますね。 80 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 01:49] >>67 そうです。 ちゃんと予防できたわけで、 はっきり言って感染したやつぁマヌケです。 81 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 01:57] 芋虫や救急車が表示されています! これはSasserですか! 82 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 02:04] ＞61 DLT(バックアップ用テープドライブ)で死ぬと聞いて DATは大丈夫なのかとガクブルしながらサーバに当てた俺には イラレのEMFがOfficeで表示されない、なんてのは些細なことだ (想定されるシナリオ:うっは失敗→テープから戻すか→うっはテープ見えねぇ)。 あとNT4限定でマルチプロセッサ構成だとシングルプロセッサカーネル突っ込まれて STOPエラーで起動しなくなるとか、2000限定でOracle起動しなくなるとか サーバが結構やばい。 83 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 02:17] "0x00900090"の命令が"0x00900090"のメモリを参照しました。 メモリが"read"になることはできませんでした。 プログラムを終了するには[OK]をクリックしてください プログラムをデバッグするには[キャンセル]をクリックしてください 　　　　　　　　　[OK]　　　[キャンセル] いやー最初出たときはなにかまちがって重要なファイルのひとつも アンインスコしちゃったかと思ったわ 84 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 03:11] MS04-011(835732)の地雷 ・Oracle起動せず(2000) support.oracle.co.jp/open/owa/external_krown2.show_text?c_document_id=81950&c_criterion={835732} ・マルチプロセッサだとSTOPエラーで起動せず(NT4) support.microsoft.com/?kbid=841384 ・DLT(テープ)やIPSecを使っていると起動しない support.microsoft.com/?kbid=841382 ・AdobeのIllustratorで作成したEMFが表示できない support.microsoft.com/?kbid=840997 85 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 03:23] 今度のやつはタイマーはないんだよな？ なら長引くかもな。 86 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 04:17] Blasterを超えたワーム「Sasser」 - 駆除ツール装うワームにも要注意 pcweb.mycom.co.jp/news/2004/05/06/006.html シマンテックの担当者の取材記事ですが、「Blasterを超えた」というのは 出現後５日間の感染報告数だそうです。 Lsass.exeがクラッシュするのはウイルスのバグかもしれないとか。 87 名前：名無しさん＠お腹いっぱい。 [04/05/07 05:08] www.mainichi-msn.co.jp/it/network/news/20040506org00m300128000c.html 日本ネットワークアソシエイツによると、午後5時半現在、被害は127社、581台に上っている。 加藤義宏技術統括本部長は「世界では30万〜100万の被害が想定されているが、 日本ではウィンドウズNT、ME、98の企業ユーザーが以前多く、爆破的な感染はないとみているが、 亜種の発生が早く、ここ2日ぐらいは注意が必要だ」と話している。 88 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 05:21] 4時前からPCをつけているが、今朝はICMPが多いな。半分ぐらいある。 残りもほとんどが445への攻撃。 昨日に比べるとSasserCか何かが活性化している気がする。 89 名前：名無しさん＠お腹いっぱい。 [04/05/07 08:58] 学校の実習室でリブートを繰り返す数十台のPC。 シュールだ。 休講になった。昨日。 90 名前：名無しさん＠借金いっぱい。 mailto:sage [04/05/07 08:59] >>83 親戚の叔父さんに「パソコン動かなくなったから来てくれ」って言われ いってみたら、>>83 のエラー出ましたよ。 ＰＣは１ヶ月前に買ったばかりで、ダイヤルアップの１０時間コースでやってるみたいだ。 繋げた瞬間に　カウントダウン　始まっちゃうんだもんなー。 俺自身もＰＣ初心者なんですが、初めて自分でＣＤ−Ｒに書き込んだ。（駆除するやつとWINのやつ） 叔父さんはまだ一回もアップデートしたことないようです。 ダイヤルアップ＋ＦＷ・ウイルス駆除ソフト無し・・・・・・・・。 　　 初心者でもウイルス駆除の勉強が出来るお勧めサイトは何処？　ココ？ 91 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 09:01] セキュリティ初心者質問スレッドpart40 pc3.2ch.net/test/read.cgi/sec/1082207307/ 92 名前：MS04-011情報更新 mailto:age [04/05/07 09:06] セキュリティ情報 MS04-011 www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp 今回の更新内容 2004/05/05 ========================= 「LSASS の脆弱性」の回避策 - CAN-2003-0533: ・ %systemroot%\debug\dcpromo.log という名前のファイルを 読み取り専用の属性で作成します ファイルの作成には、次のコマンドを実行してください。 echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log 注意: この回避策により、脆弱なコードが実行されなくなるため、 もっとも有効な回避策です。 この回避策はあらゆる攻撃を受けやすいポートに送信される パケットに対して有効です。 - Sasser ワームについてのお知らせ www.microsoft.com/japan/security/incident/sasser.mspx 93 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 10:01] www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp ＞ファイアウォールで、以下の項目をブロックする ＞UDP ポート 135、137、138、139、445 および TCP ポート 135、138、139、445、593 ＞1024 を越えるポートで、使用されていない入力ポート ＞上記以外の、RPC のために設定しているポート が最強じゃない？ 94 名前：名無しさん＠借金いっぱい。 mailto:sage [04/05/07 11:10] MS04-011 のインストール後にコンピュータが応答を停止、ログオン不可、 CPU 使用率 100% の現象が発生する コレはＸＰでは関係ないんですよね？　ＷＩＮ２０００　だけですよね？ 95 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 11:24] >>94 さあ？Microsoftはそう言ってるけどXPでも滅茶苦茶に なった人をちらほら見かけるよ。 2000でもMicrosoftが公表している以外の不具合が出たという 情報もあるし。 今回のような地雷パッチ以外の通常のパッチでも不具合は起こり得るから XPに関して何とも言えないね。 96 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 11:24] >>94 　　　　　　　　　　　　　　　　　　　　　　　　　／⌒〜Y⌒"""ヘ　　　ﾍ∨ ∨ 　　　　　　　　　　　　　　　　　　　　　　　　　／⌒／　　　へ　　　　＼|＼ 　　　　　　　　　　　 ／　　　　　　　　　　　/　 /　　 /( ∧　　）　ﾍ　ﾍ 　　　　　 　　　　　　　　　　 く　　　　　　　　　　　／/　（　/| | V　)ﾉ（　(　（　　ﾍ＼　　 教　 て 　　　　┘／＾|　　　 ＼　　　　　　　　 （　　|　|ﾍ|　ﾚ　　＿　ﾍ|ﾍ　)　＿ﾍ 　　　し　 め 　　　　/|　　 .|　　　　　　　　　　　　　　|　　）） )/⌒""〜⌒""　　 iii＼　　　え　 ｜ 　　　　 .|　　α　　＿　　　　　　　　　　ﾍ　ﾚﾚ　　"⌒""ﾍ〜⌒"　　||||＞　　　て　 ｜ 　　　　　　　　　 ＿∠＿　　　　　　　ｲ　|　　|　 /⌒ｿi　　 |/⌒ﾍ　　＜　　　　や　 ｜ 　　　　　＿　　　　 (＿　　　　　　　　) ﾍ　　|　‖ （） ||　　|| （） ||　 ＿＼　　　ん　に 　　　　　／　　　　　　　　　　　　　　 (　 )　ﾍ |i,ﾍゝ=彳　 入ゝ=彳,i|＼　　　　ね 　は 　　　 ／ー　　　　　　　　　　　　　　　（　／　　"""/　 　ー""""　　　＞　　　｜ 　　　　　 ＿）　　 ｜　　　　　　　　　 ﾍ（||ii　　　 ii|||iiii＿/iii)ノヘ|||iiiii＜　　　 !!!!!　 　　　　　　　　　　｜　　　　　　　　　 ( ﾍ|||||iiii∠;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;　 　　 ﾌ　　 　　　　/////　　　ﾍ＿／　　　　　　　) ﾍ|||""ﾍ===二二二===７ﾌ　/　ﾑ／∧　∧　∧ 　　　 /////　　　　　　　　　　　　　　(　 | ii　 | |ＬＬ|＿|＿ＬＬＬ//　|　 　 ）（　∨|　∨) 　　　・・・・・　　　　　　　　　　　　　　　 )　)| || | |||||||||||||||||||||||| |　|　 　（　ﾍ |　ﾍ ) ( 　　　　　　　　　　＿＿＿　　　　　　　　| | /|　.| |||/⌒／⌒ヘ | |　|　 iiiiﾍ　( |　（ | / 　　　　　　　　　　　　／　　　　　　　　　/　(|.|　| |　　　　　　　| |　|　 iii　 ) | ﾍ　）(　) 　　　　　　　　　　　 （　　　　　　　　　　(　/..|　 | |＿＿＿＿_/ |　|　 iii　 ( ）（　// / 　　　　　　　　　　　　＼　　　　　　　　 )　）..|　　|ﾍＬ|＿|＿Ｌ/ / /　 ,,,,--（/Vﾍ）( 97 名前：95 mailto:sage [04/05/07 11:25] >>96 残念。 98 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 11:26] >>93 ブロードバンドルータでもADSLのルータタイプモデムでも、 その辺はデフォルトで双方向閉じてるよな。 NATを越えて突入してくる天才的ワームでもないし。 >>90の叔父さんみたいに初心者はやられまくるだろう。 ダイヤルアップやフレッツ接続ツールで直結だと一瞬で逝っちゃうのね。 99 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 11:57] MS箱入りやOEMのW2kSP4なら比較的問題は少ない（イラレが トラブるくらい）が、古いSP1やSPなしへアップデート重ねていくと 導入の順序や途中で抜かしたパッチなどによって完全迷路状態。 誰にもどういう状態でどういう問題が出るか把握できない。 ルータを入れて適切に設定してからクリーンインストール、Windows Updateで全パッチをインストールというのがいちばんトラブルが少 ないはず。（ダイヤルアップじゃお手上げだが…） 100 名前：名無しさん＠お腹いっぱい。 [04/05/07 12:03] みんなADSLモデムのパケットフィルター設定使ってないの？ おれNV使ってるけど、パケットフィルターでエントリーはあるけど適用(チェ ックされていない)14〜18番を適用するだけでSeaserみたいにファイル共有狙 って感染するウイルスは予防できるんだけどなぁ〜。 「また、エントリ14〜18番を適用すると、NetBIOS等による意図しないADSL側 への情報漏洩を防止することができます。」（NV機能詳細ガイドより） 101 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 12:06] 俺のMN-IIのような「ただのモデム」じゃあどうしようもないよな。 102 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 12:09] >>92 なるほど。ただのテキストファイルで、中身はdcpromoという一行だけ。 こんなお呪いがSasser避けになるとは玄妙ｗ だれか効果試してみたかや？ 103 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 15:03] 凄まじい勢いで火壁のログがたまっていくｗ 連休明けて一気に増えたね。 104 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 15:36] >99 ルータ導入済みなら最新版SP適用済みのインスト用CD-R作ればいいだけの話。 Windows 2000 Proを安定させるインストール順序 ttp://pc5.2ch.net/test/read.cgi/win/1037443199/ ↑参照。 つか無印2000でも普通にSP4落としておいてオフラインで適用すればいいだけ な気も・・・ Windows UpdateでSPからその後のセキュリティパッチやら諸々を一気に うｐだてする方が不具合出そうで怖い。 105 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 15:38] >>103 確かに… 破壊活動が無いので対策されず かなりの台数が潜航して放置されてるようだ。 106 名前：名無しさん＠お腹いっぱい。 [04/05/07 16:04] 今HP見れなくて困ってるんですがプロセス消したらHPは見れるようになったのですがLiveUpdateには繋がらずシマンテックも数秒で見れなくなりました 再セットアップしても ノートン2004のウイルス定義更新が完了前に侵入されそうなのですが大丈夫でしょうか? FTTHで終端端末装置直結です。 携帯から見れるサイトありませんか＿|￣|○ 107 名前：名無しさん＠お腹いっぱい。 [04/05/07 16:11] >>106 コマンドプロンプトで↓をコピペしてリターンキーを押せ。 echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log 108 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 16:12] ﾎﾟｰﾄ445拒否にしていたと思ったら許可にしてあった・・・・・ｳﾂﾀﾞｼﾉｳ 109 名前：名無しさん＠お腹いっぱい。 [04/05/07 16:16] >>106 つかネットワーク接続でファイル共有削除してから接続すればとりあえ ず感染はしないだろ。 110 名前：名無しさん＠お腹いっぱい。 [04/05/07 16:27] 指定されたパスがみつかりません と表示されました＿|￣|○ 111 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 16:41] タイプミスでした アクセスが拒否されました 112 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 16:42] 全然ポートスキャンされん。 プロバに落とされてるのかな？ port135と137ばっか 113 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 16:42] >>110 echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log メモ帳にこぴぺして　dcpromo.batという名前で C:\に保存。エクスプローラから実行。 114 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 16:59] >>113 成功しました HPも繋がるようになったので修正ファイル適用できます ありがとうございました 115 名前：名無しさん＠お腹いっぱい。 [04/05/07 17:59] まさかとは思いますが修正ファイル適用後再起動さたらXPが起動しなくなりセットアップCDも受け付けなりました＿|￣|○ NTLDR is missing Pleas Ctrl＋Alt＋Del to restart 116 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 18:11] >115 起動ロゴを変えてないか？ 117 名前：名無しさん＠お腹いっぱい。 [04/05/07 18:19] わからないので今CDで修復中です＿|￣|○ 118 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 18:23] ｶﾞﾝｶﾞﾚ！！ 119 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 19:01] >>116 昔、起動ロゴ変えたら起動しなくなって痛い目を見たなあ。 120 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 19:29] 乙、 5月1日から 送った覚えのないアドレスから「Delivery failure」(行き先不明)ってタイトルでメールが戻ってきてるんだけど これって俺のアドレスを持ってる香具師が感染して俺のアドレスでメール送りまくってるわけ? 毎日300件送った覚えのないメールが戻ってくるんだけど ちなみにマシンはMAC… 121 名前：名無しさん＠お腹いっぱい。 [04/05/07 19:37] ＸＰなんですが、どうやったら感染防げるんですか？ 良かったらやり方教えてください！！・・・初心者です。 122 名前：名無しさん＠お腹いっぱい。 [04/05/07 19:42] >>120鼬飼い >>121ｽﾚ違い あとは自分で探せﾎﾞｹ 123 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 19:47] >>122 板違いとは主湾が 頭のない無駄レスすけんなチンカス 124 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 19:50] >>121 1、４月のWindowsUpdateが実行されているかどうか 2、簡易ファイアーウォールがONにしてあるかどうか 3、ルーターまたはルーター機能付きのモデムを使用しているかどうか 4、アンチウイルスソフトは最新か で違う。書いている事が全くわからないなら、本屋へ直行して適当な雑誌なり 入門書を購入し、あらかた読んでから質問。 2、3、が丸で、1、がまだなら、とりあえずWindowsUpdateを実行する事。 125 名前：ひよこ mailto:sage [04/05/07 20:00] サッサーにびびりマイクロうPデートしたけどPCの立ち上がり遅くなりません? 126 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 20:37] >>125 アップデートした直後の起動だったら、遅くなっても不思議じゃないぞ。 それ以降毎回起動が遅いのなら地雷踏んだと見てほぼ間違いないと思うが。 127 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 21:09] ttp://www.cyberpolice.go.jp/important/2004/20040507_195408.html ■Sasser.Dワームの概要について(5/7)　　　　　　　　　　　　　　　　　　　　　　　　　　　<2004/05/07> 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年５月７日 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　警　　　察　　　庁 Sasser.Dワームの概要について 　警察庁では、5月3日にお知らせしましたWindowsに存在するLSASSの脆弱性(MS04-011)を悪用し感染 拡大するSasserワームに関連し、その亜種であるSasser.Dワームについて検証を行いました。 　Sasserワームの概要と検証結果については、　Sasser.Dワームの概要(リンク先はPDFファイルです。)　 をご覧ください。 ttp://www.cyberpolice.go.jp/detect/pdf/H160507sasserd.pdf ttp://www.cyberpolice.go.jp/important/2004/20040507_194740.html ■ICMPトラフィックの増加について(5/7)　　　　　　　　　　　　　　　　　　　　　　　　　　　<2004/05/07> 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　平成１６年　５月　７日 　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　警　　　　察　　　　庁 ICMPトラフィックの増加について 　5月7日現在、警察庁では、5月4日からICMPトラフィックの増加を検知しています。警察庁において、 W32.Sasser.Wormの亜種であるW32.Sasser.D.Wormと呼ばれるワームを解析したところ、同ワームは感染 活動を行う際、ICMPエコー要求を送出することが確認されています。したがって、今回のICMPトラフィック の増加は同ワームの活動に起因するものと推測されます。 　ICMPトラフィックの増加状況(リンク先はPDFファイルです。) ttp://www.cyberpolice.go.jp/detect/pdf/H160507icmp.pdf 128 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 21:32] >>125漏れも万が一に備えうpdate施行したのだが…(ちなみにWin2000Professionalユーザー) うpdateってMS04-011のセキュリティ修正プログラムとは別だよね？ 129 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 21:39] >128 もうPC使うの止めた方がいいよ・・・ 130 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 22:07] >>129 釣られてんのか釣られてあげてるのか 131 名前：人 [04/05/07 22:09] トレンドマイクロのtscって駆除できますか？いまいちよくわかりません。 132 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 22:46] >>128 >>131 ぐーぐった方が賢くなれるぞ。 133 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/07 22:56] Windows うpだた　重くて繋がんない もっと鯖を増強しやがれゲイシめ！ 134 名前：名無しさん＠お腹いっぱい。 [04/05/07 22:56] 今、サッサーをブロックしました。 バスターのポップアップがでてきました。 135 名前：名無しさん＠お腹いっぱい。 [04/05/07 22:58] System Volume Informationってフォルダの中に Sasser.Cが検出されるんですが、どうやって削除すればいいんでしょうか？ System Volume Informationにアクセスして手動削除しようとしても、アクセス出来ません。 136 名前：131 [04/05/07 23:13] はひ、がんばります 137 名前：名無しさん＠お腹いっぱい。 [04/05/07 23:22] >>135 システムの復元を無効にしてから削除 138 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 00:53] >>135 ぐぐろうな。 ttp://support.microsoft.com/default.aspx?scid=kb;JA;309531 139 名前：名無しさん＠お腹いっぱい。 [04/05/08 01:10] 件名：【Microsoft】 重要なお知らせ:Sasser ワームに関する情報 というメールが来まして、本文には > <本情報はマイクロソフト株式会社より、 > ユーザー登録いただいたお客様全員に配信しております となっていましたが 1、メールの発信元がマイクロソフトではない 2、レンタル鯖のメアドの設定していないアドレスに来た （設定してないアドレスに来た場合使っているアドレスに転送してる） 3、WindowsをOEMで購入していてユーザー登録をしていない という事を前提として推測すると、発信元がスパム打ってるような 気がして仕方が無いのですがどうなんでしょうか？ そもそもマイクロソフトって他社にそんなメール配信する事を 依頼してるんでしょうか？ 140 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 01:35] >>139 そのメールはMicrosoftからのものです。 たまにユーザー登録者全員に送るメールがあるが、そういうメールは他社に依頼してる。 とサイトのどっかに書いてあった。 141 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 01:38] >>139 自分で登録したものぐらい覚えとけ。 しかもWindowsのユーザー登録者とは書いてないだろ。 142 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 01:58] 本当のところ、みんなはどの程度さぁ、淳行くん＠佐々の実体を掴んでいるの？ ＭＳのサイト見ても今市。シマンテックも混乱してるとおもわれ。 例えばね、NT2000では感染するけどNT2003では感染しない。んで、XPproだと感染する。等々。 マジ判らん。 板の住人のマトメきぼん。 143 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 02:03] あ、2003はサーバだけどね。 それ判って言ってんで、よろしこ。 144 名前：名無しさん＠お腹いっぱい。 [04/05/08 02:06] >>140 他社に依頼してる前例はあるということですね >>141 Windows以外のソフトを含めて、マイクロソフト関係でユーザー登録を した事は一度もないです。 >>139で > 2、レンタル鯖のメアドの設定していないアドレスに来た > （設定してないアドレスに来た場合使っているアドレスに転送してる） と書きましたが、具体的にはinfo@のアドレスにきました。 infoやbizやwebmasterなど辺りを適当に入れてくるスパムが 多々ありますので疑いを持ったわけです。 あとあくまで私の主観ですけど、送信元の会社も怪しい印象でして… 145 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 02:24] >>144 マイクロソフトでない会社から来るというのは怪しい感じがしますが… レンタル鯖のメアドの方はスパムに限らず、誰かのタイプミスやいたずらの可能性もあるかも… 146 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 02:31] >>141 知りもしないで便乗つっこみやめとけ。 ｱﾀﾏ輪類 ｶｯｺ輪類 147 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 02:36] >>144 MSKKのDMは2,3年前から代行業者がやってるよ。 不思議に思うことがあるならe-agnet.jpなりMSKKなりに問い合わせなさい。 148 名前：名無しさん＠お腹いっぱい。 [04/05/08 02:38] そうだそうだ　(・∀・)　！ 149 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 03:46] microsoft.jp から送られてきたメールのどこが怪しい 150 名前：名無しさん＠お腹いっぱい。 [04/05/08 03:54] うちに来てるMSのセキュリティ情報メールのアドレスは 差出人 : Microsoft <0_61642_E0076124-5AE5-441F-8B79-BED908308CB1_JP@Newsletters.Microsoft.com> 返信先 : <3_61642_E0076124-5AE5-441F-8B79-BED908308CB1_JP@Newsletters.Microsoft.com> 件名 : マイクロソフト セキュリティ情報 MS04-011 更新 だった。 ＠より前の部分は毎回違う。 151 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 06:53] ttp://www.cyberpolice.go.jp/important/2004/20040507_195408.html よくまとめてあります 152 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 13:20] 警察庁の分析はSasser.Dについてのものだが、A〜Cにも 基本的に当てはまると思われる。 www.cyberpolice.go.jp/important/2004/20040507_195408.html （要約） ■Sasser.Dの日本語環境における感染状況 　2000 Pro/Server→SPなし〜SP4　→感染しないがリブート（※） 　XPhome/Pro→SPなし〜SP1→感染後リブート 　2003 Server→感染しない ■感染動作 ・準備動作　FTPサーバを生成し、TCP port 5554をオープンして待機 ・攻撃動作　目標IPをランダムに生成→目標へICPM Echo Request(ping)→ 　応答があった目標のTCP port 445に接続→TCP port 9995へexploit 　コード送信→（※日本語Windows2000の場合、この段階でLSASSがクラッシュ、 　マシンはリブートする。感染動作は中断するので感染はしない）→ 　準備動作で用意したFTPサーバからport5554を通じてワーム本体を転送 ※注　Windows2000の場合、ワームのコードのバグのため、攻撃対象の LSASSをクラッシュさせてしまう。そのためWin2000システムがOSのシャット ダウンを行う。しかし感染はしていないのでウィルススキャンしても反応はない。 しかしインターネットに接続して再び攻撃を受ければ、またシャットダウンして しまうことになる。 153 名前：152 mailto:sage [04/05/08 13:31] 補足 ★FWでEcho Repyは必ず無効にせよ★ ICMP　Echo Reply (pingに対する応答)をFWでステルス（応答を 返さない）に設定するだけで感染は防止できるうえに、ウィルス側 では応答がタイムアウトするまで待つ必要があるので攻撃の速度 を低下させ、無用なpingパケットの輻輳を抑止する効果もある。 FW入れてるマシンではEcho Repyをステルス（無効）に設定 することを勧めます。 154 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 13:35] だからルーターは必須。 ルーターでping止めれば無問題 155 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 14:47] 今のXPの標準FWはpingを止めるんだけど、SP2のFWはICMP通すとか どこかで読んだ気がする。 156 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 16:43] 18歳が捕まったらしいね 157 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 17:20] 　日本ネットワークアソシエイツは7日、マイクロソフトのウィンドウズXP などのぜい弱性を悪用する新種ウイルス「サッサー」の被害は依然、 衰えていないと発表した。10日から仕事を再開する企業もあることから、 引き続き警戒が必要としている。 　同社によると、7日午後4時現在、被害企業は前日より70社増え187社、 感染マシン数も450台増え980台と、被害は続いている。亜種別では 「サッサー.C」が最も多く、感染マシンは723台と7割を占めている。 www.mainichi-msn.co.jp/it/network/news/20040507org00m300127000c.html 158 名前：名無しさん＠お腹いっぱい。 [04/05/08 17:29] >>156 だれ？ 159 名前：名無しさん＠お腹いっぱい。 [04/05/08 17:29] サッサー容疑者の少年逮捕　ドイツの司法当局 【17:05】【ベルリン８日ＡＰ＝共同】 ドイツの司法当局は８日、コンピューターウイルス「サッサー」をつくった容疑者として、 高校生の少年（１８）を逮捕したことを明らかにした。 flash24.kyodo.co.jp/?MID=RANDOM&PG=FLASH 160 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 17:34] Netskyのソースコードに「Skynet」とSasserは我々が作った みたいなこと書いてたよな？ 161 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 17:46] >>160 でもSasserのソースにはそういうおしゃべりはなかったらしい。 それで、あれはNetsky側の言いふらしだとも言われている。 （ITMediaだかで読んだ） 162 名前：名無しさん＠お腹いっぱい。 mailto:saga [04/05/08 17:57] 凄いな、18歳がsasser作ったのか・・・・脆弱性をつくなんて良く出来たな 163 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 17:59] １８歳の男子高校生逮捕、ウイルス「サッサー」製作容疑 2004.05.08 Web posted at: 17:38 JST - CNN/AP ベルリン――ドイツ北部、ハノーバーの治安当局は８日、過去１週間、 世界各地で感染が相次いで報告された新型ウイルス「サッサー」の 製作者とみられる１８歳の男子高校生を７日に逮捕した、と発表した。 ＡＰ通信によると、高校生はドイツ北部の町に居住している。 逮捕に至った経緯などは不明。 コンピューターウイルス対策各社などによると、「サッサー」には「SasserA」 「SasserB」「SasserC」「SasserD」の４種類あり、マイクロソフトの基本ソフト （ＯＳ）「ウィンドウズ２０００」「ウィンドウズＸＰ」のほか、ウインドウズ２０００と 同２００３のサーバを標的にしている。インターネットに接続しただけで、 感染する恐れが出ることなどが特徴。 世界各地でこれまで、数十万規模のコンピューターが感染被害を受けたと みられている。 cnn.co.jp/science/CNN200405080020.html 164 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 18:40] >>162 こういうウィルスの場合たいてい… 爆弾の製造原理を発見する科学者 　→それ見て爆弾の製造方法を書いて発表するヤツ 　　　　　　　　　→それ見て本当に作って爆発させるバカ という３段階。最初にセキュリティコンサルタント会社の専門家が LSASSにセキュリティホールを発見してMSに警告する。MSがパッチ を作成した時点でコンサルタント会社が論文を公表。それ読んで クラッカーが実際にセキュリティホールを利用するヒナガタexploit コードを匿名でアングラサイトに発表する。それを見てバカガキが… この過程にだいたい１月〜45日くらいかかる。ガキが本式にバカ だとそこら中でいいふらすから運がよければﾀｲｰﾎになる… 165 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 19:03] >>164 残念賞 166 名前：名無しさん＠お腹いっぱい。 mailto:saga [04/05/08 19:29] >>164 (　´･∀･`)へｰつまり ガキが自慢げに友達に話す 　　　　↓ 友達が親に話す 　　　↓ 噂が充満してくる 　　　↓ 親が通報 　　↓ ﾀｲ━━━━||Φ|(|ﾟ|∀|ﾟ|)|Φ||━━━━ﾎ!! 　　　↓ "(((( ´,,_ゝ｀)))) ﾌﾟﾌﾟｯ ﾌﾟﾙﾌﾟﾙｯ" 167 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 19:50] いやそれよりありそうなのは… ガキが自慢げに友達にメール 　　　　↓ 友達が掲示板にカキコ 　　　↓ 噂がネット充満してくる 　　　↓ FBI、CIA、NSAの網にひっかかる 　　↓ ﾀｲ━━━━||Φ|(|ﾟ|∀|ﾟ|)|Φ||━━━━ﾎ!! 　　　↓ ((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ 168 名前：名無しさん＠お腹いっぱい。 [04/05/08 20:03] >>153 ＞FWでEcho Repyは必ず無効にせよ PINGを無効にすると、スキャンやアタックをいきなりあきらめて攻撃を仕掛けてこない場合が多いから、 せっかくFWいれてもログに出ないから、攻撃を防いでいるのを体感できるように PINGはきらないほうがいいんじゃないの？ 169 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 20:56] テレ朝で作者逮捕のニュース見てちょっときてみました。 170 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 21:00] 18歳高校生、証言───「もうだめぽ」 171 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 21:58] 高校生にも無茶苦茶にされるWindows 172 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 21:58] すげぇ･･･どういう頭してんだろ。 つかこういう子供が作るのは、遊び半分目的？ 173 名前：doneblack mailto:sage [04/05/08 22:14] >>168 LogとれるFW Kerioとか入れればいいじゃん 174 名前：名無しさん＠お腹いっぱい。 [04/05/08 22:20] はっきり言って今回の事件じゃｻｯｻｰ自体の被害よりｻｯｻｰのせいで慌てて適用された MS04-011のﾊﾞｸﾞによる被害の方が大きいと思うぞ。 ｻｯｻｰはツールで簡単に駆除できるがMS04-011に引っかかったら下手すりゃOSクリーンインストール。 175 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/08 22:30] いつだかウイルス、厨が友達と感染速度競って作ったって言ってなかったか…ｗ 高校生はきっと年寄りの部類ｗ 176 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 01:53] プライベートアドレスまで対象にするSasser、週明けにも注意を www.itmedia.co.jp/enterprise/0405/08/epn01.html 177 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 02:20] 確かに新聞にFAXでの問い合わせ方法だ広告してあったなあ…。 んで不具合修正済みパッチはいつ出るんだろう？ 178 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 02:53] 少年がSasserワーム製作を自白 ドイツの18歳の高校生がSasserの製作を認めたと警察が発表。 このワームは先週、世界中で推定1800万台のコンピュータに感染し、 シャットダウンやリブートを引き起こしている。 少年は金曜にドイツ北部の町ローテンブルクで逮捕されたが、現在は 保釈されている。 捜査官はいくつかのコンピュータやディスクを彼の家から押収した。 単独犯行と考えられている。 少年の身元は公表されていないが、ドイツの週刊誌シュピーゲルは、 CIAとFBIが捜査に加わっており、容疑者はSven J.という名だとしている。 バージョンの違い 警察のフランク・フェデラウ報道官は「少年は自白し、マイクロソフトの 専門家は彼がこのワームを作ったことを確認した」と述べた。 ドイツの検察当局は土曜遅くに記者会見を予定している。 BBCのトリスタナ・ムーア（ベルリン）によると、警察はこの高校生の 単独犯行であり、大きなネットワークの一部としてやったのではないと 見ているという。 ドイツのIT安全局は、Sasserには4つの亜種があるが、その全部の背後に この容疑者がいたかどうかは不明だと述べている。 「最初のバージョンは素人っぽかった」が、「他のバージョンは被害の点で 明らかにそれと異なる」とミカエル・ディコプ報道官は述べた。 （後略） 179 名前：178 mailto:sage [04/05/09 02:55] 出典を書くのを忘れました。 BBCの記事です。 news.bbc.co.uk/2/hi/europe/3695857.stm ※1800万台に感染したというのは大げさに思えるけど、原文のまま。 "estimated 18 million computers"となってます。 180 名前：178 mailto:sage [04/05/09 03:04] CNNの記事。 www.cnn.com/2004/TECH/internet/05/08/sasser.arrest.ap/index.html BBCとあまり変わりません。容疑はコンピュータ損傷で、最高刑は5年とか。 1800万台とは言っていないようですが、台湾では郵便局の3分の1がSasserに やられたそうです。 181 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 03:06] 深夜、わざわざ故意に ﾀﾞｲﾔﾙｱｯﾌﾟ でつないでみる。また来るかな？（ｗ 182 名前：181 mailto:sage [04/05/09 03:25] 来ねぃや（ｗ 183 名前：名無しさん＠お腹いっぱい。 [04/05/09 03:54] マイクロソフトから情報　「サッサー」作成容疑者 ドイツの警察当局者は８日、新型コンピューターウイルス「サッサー」の作成容疑者について、 米マイクロソフト社から情報を得たと語った。 flash24.kyodo.co.jp/?MID=RANDOM&PG=FLASH headlines.yahoo.co.jp/hl?a=20040509-00000000-kyodo-bus_all 事情聴取後に釈放 headlines.yahoo.co.jp/hl?a=20040509-00000360-jij-int 184 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 04:20] ロイターの最新記事です… www.reuters.com/newsArticle.jhtml?type=internetNews&storyID=5080788 ■サイバー犯罪捜査史上最大の捕り物となるか マイクロソフトは…金曜日に逮捕された18歳の男がSasser以外にも Netskyの亜種28種類を書いた疑いがあると述べた。 土曜日、バーデンヴュルテンベルクで21歳の男が逮捕され、 最初 "Agobot"後で "Phatbot."と命名されたウィルス※を書いたことを 自白した。　（※WORM_AGOBOT.HJ(Trend)=HLLW.Phatbotのこと） ドイツ警察はこの２人とSkynetグループというハッカー集団との関係 を視野に置いて捜査を進めている。 185 名前：184 mailto:sage [04/05/09 04:32] ロイター■Sasser作者の逮捕は賞金の誘惑 www.reuters.com/newsArticle.jhtml?type=internetNews&storyID=5080724 マイクロソフトの主席法律顧問ブラッド・スミス氏が明らかに したところによると…先週、数人のグループが同社に接触し、 重要なウィルス作者の身元を明らかにしたら賞金が出るかと 尋ねた。同社は有罪となったら賞金を支払うことに同意した。 これらの数人は、技術的分析によって作者を特定したわけで はなく、個人的に作者と面識があったものである。 186 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 05:11] 自慢げに吹聴してたのが裏目に出たってことかな？ なんかいかにも厨房っぽい足のつき方だな。 187 名前：名無しさん＠お腹いっぱい。 [04/05/09 07:01] サッサー淳行 このダジャレ、俺が最初か。 188 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 09:05] >>187 釣りだと思うが、メチャンコ既出。 189 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 09:20] >>184-185 面白い記事ですね。まだ捜査の途中なので不明点も多く、Sasserを作った 18歳男がNetskyの28亜種をも作ったという話は、いずれもMSのスミスと いう人の発言なので、どういう根拠によるのかわからないけど、 もっと大きな背後関係はあるんでしょうね。 Agobotを作ったという21歳男が逮捕に至った経緯も記事では不明ですが、 Sasser男をMSにたれ込んだ数人のグループがこの男のことも知っていた のか、それともSasser男の家から押収されたPCにメールでもあったのか、 何にしても逮捕の時期が符合しているので関連性はあるように思える。 190 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 09:47] 上にあったCNNの記事 www.cnn.com/2004/TECH/internet/05/08/sasser.arrest.ap/index.html 更新されていたので、さわりを紹介。Netsky製作も少年が供述したらしい。 マイクロソフトによると情報提供者らは水曜に接触してきて、ワーム作者の 情報を提示した。MSの首席法律顧問ブラッド・スミスによると、同社の調査員 はドイツの捜査当局、FBI、シークレットサービスのエージェントと協力した。 同社は何人の容疑者が浮かんでいるかや、その氏名については明らかに しないが、ドイツではマイクロソフトのデータプロテクション担当者のサシャ・ ハンケによると、情報提供者らはワームのソースコードを提示して、密告の 確かさを示したという。 「これらの人たちがソースコードを作者から得たことは間違いない」と彼は ハノーバーで記者に述べた。ハンケはまた、彼が情報提供者らと木曜の夜に ドイツ北部で面会し、そのとき彼らが作者の名を告げたことを明らかにした。 （略） 少年は当局者に対して、もともとの意図は「Netsky.A」と呼ばれるウイルスを 作ることだったと供述した。このウイルスは「Mydoom」や「Bagle」という ウイルスと戦い、これを感染したコンピュータから取り除くのだ。その開発 過程で彼はSasserを作った。 「この学生は自分がしたことの結果や損害については何も考えてなかった」 と捜査官の声明は述べている。（訳おわり） #Agobot男との関係は今のところ出ていないと記事末尾にあり。 191 名前：187 [04/05/09 11:33] >>188 ちぃっ！遅かったかｗ ここ来たのMSブラスター以来だったから、トレンドにうとかったぜ。 192 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 12:21] >>191 じゃシマンテックに逝けば？ 193 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 12:25] トレンド違い。 194 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 12:43] だじゃれ なんだから笑ってやれよ 195 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 13:29] なんだこのエサホイサッサな展開はｗ 196 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 14:41] サッサー？サザー？ 197 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 14:44] サッセ 198 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 14:45] ウィルスバスターとかノートンとか入れてなくてルータも挟んでないんですけど 特定のポート番号だけ塞いだり出来ないんですかね？ XPです、誰か教えて‥ 199 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 14:54] >>198 TCPのプロパティーのIPルールで出来るよ 多分ちみには無理だと思うがな 200 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 15:20] >>199 それ、以前失敗して全く外部と通信できなくなった事がある。 プロトコル・ポート毎に一個一個ｼｺｼｺと 登録しないといけないのがなんとも・・・。 >>198 とりあえず、XP標準装備のヤツでも使えばどうですか。 ピンポンダッシュくらいは防げるでしょ? 201 名前：前スレ24 mailto:sage [04/05/09 17:01] 【SASSER　FAQ　ＸＰ付属ファイアウォール編】 Ｑ　Windows XPの付属ファイアウォールは有効ですか？ Ａ　Windows XPのファイアウォールはウィールスが入り込むポート 　　（TCPポート445、他）を閉じるのに有効です。ただし、このファイア 　　ウォールはデフォルトでは無効になってます。 　　【FWを有効にする手順】 　　　コントロールパネル→ネットワークとインターネット接続→普段使っている 　　　接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→ 　　　「コンピュータとネットワークを保護する」にチェックを入れる Ｑ　XPの「ネットワークの接続」がみつかんないよー？ Ａ　以下の方法も試してください。 　　　スタート→設定→ネットワーク接続 　　　スタート→接続→全ての接続の表示 　　　スタート→マイネットワーク→ネットワーク接続を表示 Ｑ　XPのファイアウォールで十分ですか？ Ａ　XPのおまけFWは外から中へ（inbound）の侵入は防ぎますが、いったん 　　感染してしまうと中から外へ(outbound)ウィールスをばら撒くのをチェック 　　できません。Zone Alarm、Outpostなど中から外もチェックする製品を 　　入れておきましょう。 Ｑ　FWはいくつも動作させるとダメですか？ Ａ　ダメです。XPのFWは無効にしておくだけでいいですが、 　　NISやVBの付属FW、ZA、Outpostのような専用アプリのFW同士は 　　インストしてあるだけで完全に喧嘩しますから注意。 202 名前：前スレ3 mailto:sage [04/05/09 17:03] 【Winアップデートがﾜｹﾜｶﾒの人、まずファイアーウォール入れましょう】 Ｑ　Windowsのアップデート全然やってなかったんで…なんだかたくさん 　　あって、ﾜｶﾜｶﾒでつ…（泣 Ａ　脆弱性（ぜいじゃくせいｗ）のあるパソコンをネットにつなぐとパッチをダウン 　　してる間にウィルスに感染しちゃう鴨です。まずファイアウォール入れてから 　　ゆっくりWindowsのアップデートしましょう。 Ｑ　ファイアーウォールって何？ Ａ　ファイアーウォール（FW）はデータ通路の玄関（port）の警備員みたい 　　なものです。通行許可証のない人（データ）を通さないようにします。 Ｑ　ファイアウォールでさっさーが防げるんですか？ Ａ　防げます。「LSAというプログラムをインターネットに接続していいですか」 　　みたいなことをファイアウォールが尋ねてきますから「ダメ」とボタン押せばOK Ｑ　ファイアーウォール入れてれば絶対安全？ Ａ　可能性は少ないですが、ＯＳがネットに接続してからFWソフトが立ち上がるまで 　　のわずかなスキに侵入される可能性があります。修正パッチ当てる前のOSを 　　立ち上げるときはケーブルを抜くか、モデムの電源を落としておけば安心。 Ｑ　無料のファイアウォールってどうなのよ？ ちゃんと役に立つ？ Ａ　定番はZone Alarm、 Outpost、Kerioなどの製品。有料版もありますがフリー版 　　で機能は十分です。詳しいことは専用スレで。「Outpost　まとめサイト」がファイア 　　ウォール関係の解説わかり易いです。他のFW使う場合でも見ておくといいです。 Agnitum Outpost Firewall part15 　pc3.2ch.net/test/read.cgi/sec/1079512402/ ZoneAlarm Part19 　pc3.2ch.net/test/read.cgi/sec/1081594360/ ☆彡Kerio Personal Firewall 2.1.5　Rule 14☆彡 　pc3.2ch.net/test/read.cgi/sec/1075173212/ Outpost 2ch　まとめサイト 　www.geocities.jp/outpost_2ch/ 203 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 17:30] Eが出たよん。 容疑者が逮捕されてもワーム自体が無くなるわけでもないし、 亜種の出現が止まるわけでも無いってことだね。 securityresponse.symantec.com/avcenter/venc/data/w32.sasser.e.worm.html 204 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 17:48] ■Sasser.Eの変更点（いずれもマイナー） ワームの実行ファイル名　lsass.exe FTP使用ポート 1023、1022 ログファイル名 C:\ftplog.txt 転送されたワーム本体ファイル名 [ランダム]_update.exe 205 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 17:51] 逮捕された18歳の子が1人で今までの4つ全部作ったかどうかもまだ はっきりしないしね。 Netskyも自分だというのは、本人はそう言ったかもしれないが、 少なくともあれ全部を作ったとは思えない気がする。 それに本来の目的がNetskyだとすると、そもそもSasserは何の「ために」 作ったのか等、供述によくわからない点もあるし。 206 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 17:52] >>203 「きみらもこうなったら無駄な抵抗はやめてワームども に犯行を止めるようにいいなさい。このままでは罪が重く なるばかりだぞ」 「はい」 …でワームの活動を停止できればいいんだがｗ 207 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 18:02] >>204 本体ファイル名が凶悪やのう…。 208 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 18:25] 子供番組（戦隊とか）なら、怪人が倒されれば病気になっていた人たちも みな起き上がって「あれ？」とか言うのだがｗ 209 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 19:09] まったく、ＦＷのアクセスログ見たら特定されたかと思っちまうよ。 >>204 中々にエグイ命名じゃｗ その内にＦカップも出るかな。 210 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 19:42] ITMediaの記事（日本語） Sasser作成容疑の少年逮捕 www.itmedia.co.jp/news/articles/0405/09/news003.html 「警察は、Sasserの亜種すべてを少年が作成したとみている。Sasserは ドイツ郵便局や英国の沿岸警備拠点などに大きな被害をもたらしている。」 「州検察によると、少年は4月29日に18歳になったばかりで、「コンピュータに よる破壊行為」に携わった時点では恐らく未成年だったことから少年裁判所で 裁かれる可能性が高い。」 「警察によると、少年は、ウイルスに対抗するNetSkyワームを作ってみたが、 友人全員に勧められて開発をさらに一歩進め、NetSkyの修正版となる Sasserを作成したという。」 211 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 19:46] >>204 小文字かよ・・・＿|￣|○ 212 名前：名無しさん＠お腹いっぱい。 [04/05/09 19:46] 友人に勧められ 挙句友人に売り飛ばされたの? なんか、ネラーみたいだな 213 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 20:42] この「友人」たちというのは、初めからM$の賞金狙いで アフォガキをハメたんじゃないのか？　ウィルス書こう というガキどもにはいい教訓だな。 214 名前：名無しさん＠お腹いっぱい。 [04/05/09 22:32] またウイルスソフトがバカ売れかな？ ウイルスソフト屋も少しは、ドイツの少年ありがとうの気持ちで。 弁護士代ぐらいは、出してあげたらいいのに。 215 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 22:55] ｳﾁのXPが感染しちまって今日再ｾｯﾄｱｯﾌﾟをしたよ そして直ったと思ったらまた直ぐにk(ry 無茶苦茶気が滅入ったよ…(´･ω･｀) 感染しない為にはどういう手順で設定すりゃいいのかな? 手元に例のｾｷｭﾘﾃｨCDと�d体験版ｾｯﾄがあるから… 1)物理的にｱﾛｰﾝ状態 2)再ｾｯﾄｱｯﾌﾟ 3)ｾｷｭﾘﾃｨCD投下 4)�d体験版投下 5)ｱﾛｰﾝのままﾌﾟﾛﾊﾞｲﾀﾞ設定を完了 6)ﾈｯﾄに接続､嵐の如く�dを更新 7)その足でWindowsｱｯﾌﾟﾃﾞｰﾄ これが最良の手かな…? ｱﾄﾞﾊﾞｲｽ宜しくお願いします_|￣|○ 216 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 23:00] ルータ買え。 217 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/09 23:11] >>215 本当は感染していないパソコンでパッチをダウンロードしてくるのが一番なんだが、 出来ない場合はファイアーウォールなりルータなりを使って接続しろ。 218 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 00:24] ネットに接続すんなよ！ 219 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 02:11] ルータ挟んでるけど突破されてノ−トンに反応しやがった＿|￣|○ 220 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 02:23] >>219 1.ルーター内に感染PCがある。 2.ルーターのFWをOFFにしてる。 221 名前：219 mailto:sage [04/05/10 02:59] マイクロソフトのSasser感染・駆除チェックサイトで大丈夫だったのに・・・ >>220 ルーターのFW見直してみます 222 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 03:06] ルーターのFWってどうやって見るの？ 223 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 03:09] ルーターのメーカー及び機種によって変わるので 説明書かメーカーサイトでも見てくだされ 224 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 03:29] ありが�d調べてくるわ。 IPマスカレードとかパケット・フィルタリングとか、 このあたりのことなのかな。 225 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 03:38] バッファロー(メルコ)ではアタックブロック 226 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 03:44] FWがないのもあるね。 227 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 03:48] こちらは、NEC Aterm DR30F/CEです。 228 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 03:56] 121ware.com/product/atermstation/product/directstar/spec_dr30h_dr35fh.html ＞セキュリティ フィルタリング／ポートマッピング／ＩＰマスカレード機能 FW自体はなさそうだね。 でも、下記のポートを閉じとけばいいかも TCP135-139 TCP445 TCP1025-1027 TCP2745 TCP5554 TCP6129 TCP9996 229 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 04:02] TCP1022-1023 を追加 TCP1022-1027 でもいいけどね 230 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 04:08] 皆様、ｻﾝｷｭｰです。 231 名前：215 mailto:sage [04/05/10 06:13] >>216-217 ﾚｽ�dｸｽ! 新規ﾙｰﾀ購入は金銭的に無理なので､ �dのﾊﾟｰｿﾅﾙFWでﾎﾟｰﾄ塞ぎます それと､外部から入手する手が有効な様なので 職場…元学校の使って落としてきます ｱﾄﾞﾊﾞｲｽｻﾝｸｽでした 232 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 06:32] 5時前からPCをつけているが、今朝は445が少ないな。 135が多い。（これはAgobotだっけ？） 233 名前：名無しさん＠お腹いっぱい。 [04/05/10 07:35] すっかり下火な雰囲気が漂ってますね a2の今日のUPでサッサーとnetsky絡みが来たようですが、はて? （はて?の後、何を言いたいかはお察し下さいw） 234 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 10:49] 今日になって、お馴染みのポートに加えて、UDP,port 6257にお客が来てるが、 何か新手の物でしょうか？ 235 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 11:16] 俺の場合、加入ISPのリモホからのDoSが酷いです。 皆の衆は、如何？ それと、ルータの件だけどルータのハードウェアFW機能が突破される事もあるみたい。 実際に俺の仲間がやられた。IPを振ってくるので、同一LANと認識したのか？ワケワカメ。 236 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 11:21] >>235 ルータの件: ルータが安物かオマエのともがきがバカ 237 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 11:26] >>236 235です。 ルータが安物なのは間違いなし、スマソ 是がの一番安いやつ。 238 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 12:56] サッサ案件対応のコールセンター業務に短期で明日から入るよ。 239 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 13:38] 名前晒してくれたら電話するよ 240 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 13:49] Sasserの作者逮捕につながったマイクロソフトの懸賞金 「われわれは迷うことなく25万ドルの賞金を支払う判断を下した」 www.itmedia.co.jp/enterprise/0405/10/epc01.html 241 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 15:10] やっちゃたよ職場のPC ほんの10秒くらいノートンを無効にしたら 突然 例の再起動のダイアログ これがワームですか、初めてでした。 ところで再起動後、最新定義でチェックしても感染なし、 マイクロソフトのHPからのチェックも異常なし こんなことってあり得るんですか？？？？？ 242 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 15:14] >>241 >>152に書いてあるけど、ワームのバグのためにLSASSがクラッシュして マシンが再起動してしまうが、それで感染動作が中断するため、あとで 調べても感染はしてない、ということでは。 （まあリブートも感染の一環ではあるけど） 243 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 15:20] どうもです>>152読みました。 OSはXP Proです 今日で３日目で、その後何も起きてないので 大丈夫なんですよね。 244 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 18:47] Sasserワーム作成者を逮捕 - ドイツの18歳少年 「逮捕につながったこの情報と同様に、こういった状況で正確に IPアドレスを特定する我々が昨年開発した技術が功を奏した」と、 容疑者逮捕の会見に同席したMicrosoftのBrad Smith氏は述べ、 同社が積極的に逮捕に貢献した点を強調した。 pcweb.mycom.co.jp/news/2004/05/10/011.html この技術ってどんなものなのかなあ。 別に足がつくと困ることをしてるわけじゃないが、ちょっと知りたいｗ 245 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 18:59] そんな技術を磨くより前にセキュリティ穴のない窓を作れや＞MS 246 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 21:12] >>245 いや、せめて当ててもトラブらないまともなパッチを… 247 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 21:13] >>244 IPアドレスを特定する技術 「犯人逮捕に結びつくIPアドレス１個ごとに１万ドル提供」 248 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 21:14] >>237 コレガの3千円ルータを今年のお正月過ぎから使ってるが 特に問題ないねー。大きなファイルのダウンロードとかして ないしねー。 249 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 21:28] MSがついにあっちの世界に逝ってしまいますた。 > 宇宙天啓データベース G.2 と、断続的な絞首刑が発生します。 support.microsoft.com/default.aspx?scid=kb;JA;74586 250 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/10 23:11] Ｍ＄ は、そこまで逝ってしまったか 251 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 00:05] >>244 やっぱXPには個人情報を送信する機能があったな。 おまいらもみんな抜かれてるぞ 252 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 00:10] プロバイダだろ 253 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 01:16] 半月ぶりに開いたPCが突然再起動を繰り返し、ネット（AirH"）もつながらない… 半泣きのカノジョをなだめつつ、自分のPC（９８とMe）＋AirH"でファイルをDLしまくり、なんとか復旧 自分は古いOSでよかった、と最近特に思う。 254 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 01:50] セカンド機は必要だよな…と思う。 古くて安いのでいいから。 漏れのセカンドも９８ｓｅ。 スピードは遅いけどネットも出来るし、もしもの時には 役に立ってくれる…ﾊｽﾞ。 255 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 11:03] 古いWinには放置されたままの穴が 新しいWinには放置されてはいないが未対応のどでかい穴が 藻前はどっちを選ぶ？ 256 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 11:08] 新しい方だな ルーター＋パーソナルファイアウォール＋アンチウイルスソフト でキッチリ管理してれば、大体防げるし 257 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 13:14] Sasserワームを作った犯人はほかにもいる？ 警察は「Sasserの唯一の作者」を逮捕したと考えているが、逮捕後に 新亜種Sasser.Eが発見された。容疑者が逮捕直前にばらまいた可能性も あるが、専門家は「ウイルス作者のグループ」が背後にいると主張する。 www.itmedia.co.jp/news/articles/0405/11/news019.html 258 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 13:15] Agobot作成容疑者もドイツで逮捕される www.itmedia.co.jp/news/articles/0405/11/news024.html 259 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 14:15] Sasserと同じ脆弱性を利用するワーム「Cycle.A」 internet.watch.impress.co.jp/cda/news/2004/05/11/3047.html これは5月18日になると、BBCとIRNA（イラン国営通信）にDoS攻撃を行う そうです。攻撃対象にIRNAが入っているところから考えると米国の愛国者？ の作成したものかも。 260 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 16:59] >>255 比較がおかしいぞ。 　　古いWin＝放置されたどでかい穴+未発見の穴 　　パッチ当てたWin＝未発見の穴+パッチによる新たな不具合 これを比較しろ。 261 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 17:15] 亜種、といっても基本的にSasser.Dの実行ファイルの名前変えただけ。 バカガキの種は尽きず。 Sasser.E 実行ファイル名 　LSASSS.EXE 窓が出て以下を表示 1. Your computer is affected by the MS04-011 vulnerability　（略） Sasser.F 実行ファイル名　napatch.exe トレンド、感染の可能性があるのはXPと2000のみとやっと認めたが。 ずいぶん長いこと「影響を受けるプラットフォーム」に98系を入れて いたのはどういうわけだったのか？　（ネットワークが輻輳して、とか 445を叩かれるとかいうオチはナシとしてｗ） 262 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 18:07] ワーム作成は「ママを助けるため」だった？ ドイツの少年がSasserを作成した動機は、母親が経営するコンピュータ メンテナンス会社への注文を増やすことだった可能性もあるというのが 当局の見方だ。（ロイター） www.itmedia.co.jp/news/articles/0405/11/news033.html 263 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 20:28] 駆除が完了してもLSA Shellのエラーウインドウは出るんですけど？ ダメージなんとかサービスみたいのは試してみたけど変わらなかった 264 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 21:43] 高校生と通報者って全く無関係なのかにょ？ 賞金せしめる為の自作自演の臭いがしないでもない。 265 名前：名無しさん＠お腹いっぱい。 mailto:age [04/05/11 21:46] 携帯からです。 ついさっき、突然シャットダウンします。と出て 60秒のカウントが終わったあと勝手にシャットダウン 再起動してしまいました。テンプレなどを見たんですが ネットに接続しようとしてもサーバが見つかりません になって困ってます。 それとレジリストから消せばネットで駆除しなくても ちゃんと消せるんでしょうか？ 初心者なのでレジリストの場所もわからなく困ってます。 266 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 21:47] >>263 OSは？ エラーメッセージは？ 267 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 21:50] >>264 >>212-213 268 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 22:07] 最近の携帯は改行できるのか。 269 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 22:11] >>265 だからOSは？ 270 名前：名無しさん＠お腹いっぱい。 mailto:age [04/05/11 22:33] >>269 XP HOWEです。 LSA Shellはエラーとが発生し閉じられる必要がありました。 というエラーが出ました。 とりあえず今はケーブル外してます。 エラーの技術情報を見ると以下のファイルが含まれます。 C:\DOCUME〜mdmpとC:\DOCUME〜txtの二つのファイルがかかれてます。 271 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 22:43] >>260 議論は、どうでもイイ。 古いWINの穴は、どこで、新しいWINの穴は、どこ？ 現実問題として、何処がどうなの？ ﾜｹﾜｶﾗﾝ 最近DoSもキツイんだよ。 272 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 23:05] >>263 自分もまったく同じ症状。 sasserBでavserve2.exe他を削除してチェックサイトで「駆除に成功」表示が 出たので安心して再起動したらLSA Shellのエラーが…今日はもうやめた＿|￣|○ 273 名前：名無しさん＠お腹いっぱい。 [04/05/11 23:24] 起動しなくなったぞ 274 名前：265 mailto:age [04/05/11 23:40] タスクマネージャやらレジリストやらでよくわからないので 初期化というのをしてみようと思います。 初期化すればウイルスもちゃんと消えてくれますか？ 275 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 23:44] >>274 再インストールしても、パッチ当てなきゃ再感染するぞ。 276 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/11 23:45] >>274 限りなく「はい！」です。　よろしくがんばってネ。 277 名前：名無しさん＠お腹いっぱい。 [04/05/11 23:48] すみません。 >>10 の『本体ファイルavserve.exeを削除』の本体ファイルってどこにあるのですか？ 278 名前：265 mailto:sage [04/05/11 23:53] なぜかCDにデータコピーしようとしてもなにも反応しないので すべてのデータを諦めます。こういう場合は再感染はなくなりますか？ （またネットやってかかるのとは別として） それと最後にもうひとつ質問させてください。 XPなのですが初期化はどこからやればいいのでしょうか？ 279 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 00:08] 自分だったら、いままでためてあったものを消さないで温存するために、 新しいハードディスクを買ったきて、元のものと入れ替えてリカバリするね。 元のハードディスクは、外付 USB HDD ケースが売っているから、ゆっくりと あとでつないで、なんとでもなるしね。 280 名前：265 mailto:sage [04/05/12 01:17] ついに壊れた・・まだPC買って２ヵ月くらいなのに＿｜￣｜〇 修理に出します。これで治してもらえますでしょうか。 281 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 01:41] >>280 再インストしたの？ 282 名前：268 mailto:sage [04/05/12 01:52] >>281 リカバリしようとしたら80％あたりになったところで ファイルエラーかなにかになり、そのままフリーズしてしまいました。 そして起動したら、WINDOWSの画面が出ないで真っ黒い画面になって、 左上で白いのが点滅してそこから進みません。 283 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 02:00] >>282 もう1回再インストかけられんのか？ 完全に起動しない状態からでも再インストの方法はあるだろ？ 取扱説明書を読んでみな。 284 名前：265 mailto:sage [04/05/12 02:02] F2キーを押すやつでしょうか？もう一度やってみます。 285 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 02:19] >>284 メーカー製のパソ使ってるんだろ？ そうなら、完全起動しない時の方法は必ず書いてあるはずだよ。 286 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 03:26] >>284 っで、上手くいってるのか？ 終わったら速攻Updateしなよ。 287 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 05:30] >272 対処法は簡単です。 まず、ウィルスに感染していないPCから lsass.exe lsasrv.dll ファイル拝借。 次に、自分のPCに両ファイルを %windir%\system32\ フォルダに lsass.bak lsasrv.bak とリネームしてコピー。 回復コンソールを使い 以下のコマンドを入力 C:\WINDOWS>cd system32 C:\WINDOWS\SYSTEM32>del lsass.exe C:\WINDOWS\SYSTEM32>del lsasrv.dll C:\WINDOWS\SYSTEM32>ren lsass.bak lsass.exe C:\WINDOWS\SYSTEM32>ren lsasrv.bak lsasrv.dll C:\WINDOWS\SYSTEM32>exit 上記を入力し再起動すれば shellの破損は修復されます。 288 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 05:35] パッチ当てろよ 289 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 05:37] >265 該当レジストリキー HKLM\Software\Microsoft\windows\CurrentVersion\Run 内の av2なんちゃらってキーを削除 キー削除は基本的にウィルス駆除後にやります。 290 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 05:42] >265 訂正。 該当レジストリキー HKLM\Software\Microsoft\CurrentVersion\Run 内の avrerve2キーを削除 キー削除は基本的にウィルス駆除後にやります。 60秒でシャットダウンする方は ファイル名を指定して実行に cmd と入力 コマンドプロントに shutdown -i ↓ 値を 9999 に変更 これで約３時間にウィルス駆除時間を拡張できます。 291 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 05:43] shutdown -a の方がいいような（ｗ 292 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 05:45] >291 そうかも 爆 手動で削除したい人にはさっきからちょっと書いた方法やってもらいたいだけ(^^;) 293 名前：263 mailto:sage [04/05/12 08:09] >>287 ありがとうやってみます そもそもどんなプログラムなのかと思ってググってみてもsasserの記事ばっかひっかかってあかん 作業に支障は出てないからそのままにしてたけど 294 名前：284 mailto:sage [04/05/12 11:18] >>285 全く起動してくれません。書いてあるとしたらどのへんにあるでしょうか。 それと、起動出来てもタスクマネジャやレジリストの場所がわからなくて 治せませんです＿｜￣｜〇 295 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 11:48] >>294 メーカー製のパソ？ もしそうなら、メーカーの取扱説明書にリカバリーの仕方書いてあるはずだが。 っで、必ずリカバリーCDっていうもんがあるはず。 296 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 12:02] >>295 そうです。今CD-R入れたら出来ました。 リカバリ中にウインドウが表示されたら、プロダクトリカバリーCD-ROWを 次のメディアに交換してとありますが、次のメディアとは なにかわかりますでしょうか？ 297 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 12:21] >>296 だから、説明書に事細かく書いてあると思うけど？ それとも説明書を無くしたとかか？ 君のがどのメーカー製のものがワカランし、 メイカーによってリカバリーの仕方はマチマチだろうから、答えようが無い・・・ 推測だけで書くけど、システムリカバリーCDは1枚か？ 2枚ってこともあるぞ。 あとアプリケーションが詰まってるソフトもあるはず。 298 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 12:32] >>297 リカビリをしても途中でメディアの交換をしてくださいになるので 中断をしてウインドウズを起動しても、ウインドウズが出ないで そこから全く進めないのです。説明書にもそこまで書いてないです。 299 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 12:36] >>297 それはリカバリーが終了してないのに起動しても 何もウィンドウズが立ち上がるわけ無いじゃんｗ 兎に角、リカバリーCDの作業が終われば まずXPが立ち上がるはず。 立ち上がってないってことは、 もう1枚リカバリーCDがあると思うけど。 1・2っていう風に2枚無いか？ 300 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 12:56] ネタだろ CD-ROWとかリカビリとか 301 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 13:10] >>299 付属されてるんでしょうか？ 記憶だと、CDｰRにリカバリDISKをさせてる途中で、60秒のカウントダウンが 始まって切れちゃった可能性があります。 それで、リカバリも出来ずにWINDOSをたちあげることも出来ません。 302 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 13:22] >>301 60秒しか持たないのに、よく80％までリカバリーできたな。 っていうか>>300さんが言うように、やっぱネタか？ 303 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 13:28] すいません。深夜までやっていたので、記憶が勝手に80％と思い込んでました。 朝やってみたところ、必ず26％でメディア交換が表示されます。 もうウインドウズも立ち上げられないので不可能でしょうか？ ネタじゃなくほんとに困ってます。 304 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 13:34] >>303 まぁなんだ、死ね。 305 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 13:35] 　　　　 　＿＿＿＿＿＿ 　　　 ／　　　　　　　　　 ））） 　　　/　　　／// /―――-ミ 　　 / 彡彡　// /　　　　　 ヽ)） 　　 / 彡彡　iiiiiiiiiiiiiii　　iiiiiiiiii| 　　 / 彡彡　＜　･ >　、<･ >l 　　/ 　　　|　 　　　　　ヽ　　 〉 　　/ 　（ | |　 　　 　＿＿)　 |　　　 ／￣￣￣￣￣￣￣￣￣ 　　/ 　 | ≡ 　／, ―――　 |ゝ　＜　馬鹿共にパソコンを与えるな！ 　 /　　 |　　　|　 L ＿＿_」　l ヾ　　＼＿＿＿＿＿＿＿＿＿ ＿ミ　　ｌ　　　＿＿＿＿＿_ﾉ　ゞ＿ 　 |　　l　ヾ　　　　ー　 　／ |　　ｌ 　 |　　| 　 ＼ｰ　　　 ‐／　　|　　| PC初心者板にでも逝けや、馬鹿が 306 名前：名無しさん＠お腹いっぱい。 [04/05/12 13:39] AAなんか貼っても携帯からじゃ見れません。 死ねクズ 307 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 13:56] マニュアルすら読もうとせず、脊髄反射で質問を繰り返す、 そんな香具師は、何時までたっても修復など出来るはずが無い。 仮に運良くリカバリーに成功したとしても、その後ネットに接続した段階で Blasterかさっさに再度やられるのがオチだろう。 金出して販売店かメーカーに修復してもらえ。 308 名前：名無しさん＠お腹いっぱい。 [04/05/12 14:00] リカバリはメーカーによってパソコンによってやり方が違うの。 うちのは２枚組で途中で入れ替えるよ。 そのへんは説明書に載ってるから 何が付属されてるのかとリカバリの方法をよく読んで。 309 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 14:05] 取説通りにやって出来ないのなら修理に出せ 310 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 14:05] 最近の携帯って改行できるのか？ 311 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 14:13] すいません。説明書もちゃんと読みました。 ﾃﾞｨｽｸは付属じゃなく、ツールからCDRに焼いてそれを使用するのですが、 さっきも言ったようにシャットダウンで途中で切れてしまい リカバリDISKが未完了のままなんです。 で、ﾃﾞｨｽｸを作成させようにもなにも出来ないのです。 312 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 14:20] メーカー行きしかないだろ 313 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 14:22] それが嫌だからここで聞いているんじゃないですか。 お願いします、そろそろ真面目に答えてください。 314 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 14:23] >>312 わかりました。サポートセンターに電話してみます。 ありがとうございました。 315 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 14:25] >>311 Remote Procedure Call(RPC) これを、エラーが起こっても、再起動しないの設定にしな。 それだダメなら、修理行きだな。 www.geocities.co.jp/SiliconValley-SanJose/3220/XP-service.htm 316 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 14:28] >>311 何もしないに設定だ。 317 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 14:34] ありがとうございます。 ただ設定しようにもCDｰRを入れてリカバリの画面にする以外 なにも出来ないです。 318 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 14:54] >317 最初にリカバリディスク作っておかなかった己が悪い。 己の迂闊さを後悔しながら、メーカ修理に出して高いお布施払ってこい。 319 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 15:00] ウイルスのものです。 今メーカーのサポートセンターに問い合わせたところ ウイルスが流行っているなどのアナウンスが流れて、 電話受け付けにつながるまで２分ほどかかりました。 そこで、リカバリDISKとアプリケーションのを買って9000円 ということで保証はきかないとのことでした。 発送は５日以内とのことでした。 質問に答えてくださったみなさまありがとうございました。 一応報告しときます。 320 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 16:47] この人また同じ目に会いそう、ルータはどうなってるんかな 321 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 17:52] ネット接続以前の問題だと思うぞ。 初心者でも最低限、自前のPCだったらマニュアルの確認（ｒｙ 322 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 18:08] >>319 リアルウイルスに感染していると思われ。 323 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 20:07] っていうか、どうやったら感染出来るんだろ？ ルーターとかPFWとか未だに導入してない人ばっかりなんすか？ それとも、そう言うレベルの話じゃないとか? 324 名前：319 mailto:sage [04/05/12 20:18] ADSLのときはATERMを使ってたので大丈夫でした。 つい昨日光にして、ウェブキャスターはまだ繋げなくていいや と思って2分ほどネットにつなげたらかかってしまいました。 なので自分の不注意です。 325 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 20:28] ｱﾁｬｰ、それじゃだめだわ。 再セットアップする前にこのスレなりなんなり見て勉強しときなさい。 326 名前：324 mailto:sage [04/05/12 20:56] >>325 ありがとうございます。 次はルータもちゃんと使ってこのスレなどで紹介されてるような ツールでも導入しようと思います。 それにしてもそんな簡単にウイルスにかかるとは思ってませんでした。 327 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 21:27] >>326 っていうか、復旧したら、まずはパッチあてろよ 328 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 21:36] >>327 サンキュー、早速穴の開いたジーンズにパッチ当てたよ。 329 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 21:45] パッチは>>11のサイトから落とせばいいんでしょうか？ 330 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 22:28] しかし、>>7-12に詳しく書かれているのに わざわざここで質問していくのが理解できない。 質問者はどういう脳の構造をしているんだ？ 331 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/12 23:33] >>323 世の中意識が低いんですよ 332 名前：名無しさん＠お腹いっぱい。 [04/05/12 23:36] 正直ウイルスなんて、へんなサイト見たりメール送られたり しないと感染しないと思った。 333 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 02:17] >>323 >ルーターとかPFWとか未だに導入してない人ばっかり ご近所でその手の人でも大被害被った人と全く被害ゼロの人と 不思議と混在してるの訪問するサイトによって罹患率が異なるのかな 334 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 09:13] >>326 何はともあれ Windowsupdateサイトに1週間に1度は訪問する癖をつけ 新たなパッチ無いか調べる（面倒なら自動updateをONにしておく） ノートンなどなんでもいいから、ウィルスソフトとFWソフトが付いている 総合セキュリティーソフト導入し常駐させる（updateを忘れない） 金かけたくないなら、どっちもフリーソフトが存在するので、少なくてもそれを導入。 ルーターをかます。 メールもHTMLメールを送受信できなく設定 （理想はOEを使わなず、他ソフト導入。優秀なフリーソフトも存在する） 最低でもこれぐらいはやってくれ。 335 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 09:15] ルーターはなるべくセキュリティモデルを選ぶ。 OEでもいいから、プレビュー画面切る。 336 名前：名無しさん＠お腹いっぱい。 [04/05/13 10:54] >>334 >ノートンなどなんでもいいから、ウィルスソフトとFWソフトが付いている アンチウィルスソフトな　　ケアレスミスだろうけど、一応ツッコミいれとくｗ まぁ、>>334が言っている事柄をやらない奴が多杉 してない輩はマジで実践しれ！！ 337 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 11:06] どうせアホなんだから、感染してオロオロしていな！ ごみパケット飛ばして、ネットワークトラフィック増大させてんじゃないぞ。 338 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 11:09] >>337 おまいのその書き込みがごみパケットなんだよ 339 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 11:51] ﾜﾛﾀ 340 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 15:43] >>333 さっさーは訪問サイトとは無関係。 サイト感染するワームはニムダが有名。 341 名前：326 mailto:sage [04/05/13 15:51] >>334ｰ336 ありがとうございます。リカバリDISKが届いたらすぐにでもやります。 342 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 16:11] >>340 そうだったのか、つまり感染した人は運が悪かったってことなんね 343 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 16:15] >342 感染しなかった人はすご〜〜〜〜〜く運が良かったってこと 344 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 16:17] ×→感染しなかった人はすご〜〜〜〜〜く運が良かったってこと ○→何の対策もせずに感染しなかった人はすご〜〜〜〜〜く運が良かったってこと 言葉が足りんかった 345 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 17:07] パッチ当てたらCPU使用率100%ｷﾀ━━━('A`)━━━!! XPでもなるとは知らなかったZe 346 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 17:25] >>345 環境が糞なんだよ 347 名前：名無しさん＠お腹いっぱい。 [04/05/13 17:55] sasserBとCの違いをスキャンツールなしで判断できない？ 348 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 20:22] >>333 どうなんでしょ？ >>344なんだとは思うけど。 自分はセットアップの時は物理的にネットから切り離してるし どうしてもネットに繋いでセットアップしたい時は ボロだけどルーター繋いでやってる。 用心深くなったのはﾏﾝｷﾝ食ってからなんスけどね。 ｻｯｻｰに感染するより恥かしいよ・・・。＿|￣|○ 349 名前：ウィルスっ子 mailto:sage [04/05/13 21:00] サッサー凄い。 ファイアウォールなんもせんかったらネットに繋げた瞬間感染する。 さっきサッサーEに感染した。 Fとかもあるんだね。 350 名前：名無しさん＠お腹いっぱい。 [04/05/13 21:44] 現在、Windowsの修正バッチは定期的に毎月第２水曜日に配布される。 ５月１２日（水）にも新しいのがアップされてる。 緊急を要するものは随時アップされるらしいけど、毎月第２水曜日にWindows Updateをかければ いいんじゃないかな 351 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 21:53] そんなもん常識だろ 352 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/13 23:53] 初物食いは腹を壊す…＞修正バッチ 人柱が立つのを待ちたい小心者…。 353 名前：名無しさん＠お腹いっぱい。 [04/05/14 04:30] >>350 俺は月一回の配布を原則とするって言う今の方針に反対だなぁ。 昔のように、パッチは随時配布というようにしてほしいよ。 一月に一回に限定する意味がわからない。 随時配布でも管理上の問題なんて発生しないと思うが。 354 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 05:13] どうでもいいが、バッチじゃなくてパッチだろ 355 名前：名無しさん＠お腹いっぱい。 [04/05/14 05:15] セーフモードでavserve.exeなどを削除したのに、 再起動させた瞬間落ちてまた再起動になるのはなぜだー！ avserve、avserve2、skynetave、lsasss、napatchの他に まだ消す項目があるのか？ 356 名前：名無しさん＠お腹いっぱい。 [04/05/14 05:55] キボンヌ www.pandora.nu/tv/src/img20040514054822.jpg 357 名前：３５５ [04/05/14 06:06] まだ削除できてない所があると考えていいのかな… 358 名前：３５５ [04/05/14 06:39] 誰か…一緒になやんでくれ… とりあえず、おはよう。 359 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 06:53] >>358 駆除中はLANケーブル抜いてネットから隔離。 WindowsUPDATEは？？？ 修正パッチ当てないとループになるよ。 PFWないなら駆除後XPのFWをオンにしてからネット繋いでWindowsUPDATE。 360 名前：３５５ [04/05/14 07:10] ３５９さん、答えてくれてありがとう！携帯からなので読みにくいのが申し訳ないです。 ケーブルは抜いてやっています。 windowsUpdateをやろうと思っても、なぜか接続できず（もちろんケーブル繋いでます） 「削除し忘れたかな？」と思って、もう一回セーフモードにして 削除し忘れがないことを確認したあと、再起動したら、 今度はすぐに落ちて自動再起動のループなんです… 361 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 07:13] シャットダウンのダイアログが出たら スタート→ファイル名を指定して実行 shutdown -a と入力 362 名前：３５５ [04/05/14 07:14] ３５９さんへ 最後の一行が何を言ってるのかさっぱりな俺を許してください 363 名前：３５５ [04/05/14 07:23] ３６１さんへ！ ありがとうございます。今やってみようとしたんですがダメです。それをしようとするまえに落ちて再起動をされてしまいます。 セーフモードでは自動再起動されないので入力してみたのですが通常モードは相変わらずです… 364 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 08:41] >>363 セーフモードで、sfc /scannow 365 名前：３５５ [04/05/14 09:18] ３６４さんへ！ ご協力ありがとうです！今sfc/scannowをファイル名を指定して実行に入力してみたのですが 「見つかりません。」と言われました…。 俺と同じ症状の人はいないのか…？ アドバイスどしどしお願いです！ 366 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 09:22] 半角英数でfscの後はスペースだよ 367 名前：３５５ [04/05/14 09:37] ３６６さん、スイマセン！スペース忘れてました！ 今入力したんですが…普通は窓か何か開くのでしょうか？俺のは何も起きないです… 通常モードも相変わらずすぐ落ちてしまいます。 どうなってんだ、パソコン！ 368 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 09:44] >>367 「落ちる」とは具体的にどうなるの？ エラーメッセージ等を書いてください。 369 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 09:48] >>367 C:\WINDOWS\SYSTEM32\sfc.exe これあるか？なければ、エラー表示になるだろうけど。 370 名前：３５５ [04/05/14 10:03] ３６８さん、３６９さん、ありがとうございます！ 今、システムの復元をした後に通常モードを開いたら自動再起動をすることはなくなりました！ そして、ネット接続もできるようになりました！ しかし…今度はwindows updateができないです…。「おい！」と言われそうなんですがマジなんです！ 今度はupdateしようとしても「ソフトウェアの更新が不完全です」とでるのです。再試行してもダメです。俺は呪われているのでしょうか…涙 371 名前：３５５ [04/05/14 10:07] ３６８さん！ 落ちるってのは、なんの前触れもなく画面が真っ暗になってたのです。その後再起動が始まってました。 もし、俺と同じ症状の人がいたら、システムの復元をしてみてくださいね！ 372 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 10:09] Sasser関係ねー（ｗ ドライバが、逝ってたっぽいね 373 名前：３５５ [04/05/14 10:15] ３７２さん！ ありがとうございます！ドライバのせいだったんですか…。 という事はサッサーとドライバの故障？が同時にきた俺はやはり呪われているのか…！ あとは！アップデートだけです！皆さん力を貸してくださいっ！ アドバイスどしどし待ってます！ 374 名前：３５５ [04/05/14 10:22] ちなみに申し遅れましたが、俺はxp使ってます。 1日からネット接続ができなくなり、5日くらいから謎の「イキナリ再起動」が始まりました。 そんで、昨日ネットカフェでここを見たら俺のパソコンの症状が一緒だったので「駆除方法」をメモって、今に至るというわけです。 そんなんで2ちゃんねるはホントに便利だと今痛感してるとこです。そして、アップデートができなくて試行錯誤してます。 375 名前：名無しさん＠お腹いっぱい。 [04/05/14 10:24] Sasserの欠陥を突く新たなワーム浮上 www.itmedia.co.jp/enterprise/0405/14/epc05.html 376 名前：名無しさん＠お腹いっぱい。 [04/05/14 10:28] 教えてくれないか？ 例えば、再インストールしました。 で、アップデートするのでインターネットに繋ぎます。 で、感染します。 どうすればいいの？ 377 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 10:40] 火壁 378 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 10:44] >>376 再インストール前に落としておく 379 名前：355 mailto:sage [04/05/14 10:48] 俺も聞いていいですか？ 修正プログラムをセットアップしようとしたら、 「update.infの整合性を確認できませんでした。暗号化サービスが このコンピュータで実行されていることを確認してください」と言われたです。 どーすればいいーんだーーーー！！ 380 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 11:09] >>379 これが暗号化サービスだ。自動に設定しろ。 IPSEC　Services　 381 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 11:18] >>380 返答ありがとうございます！ しかし…すいません、ぐぐってみたのですがIPSEC　Servicesが どこにあるのか、どう使えばいいのかわからないです。 ヒントをください！ 382 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 11:36] PPTP 383 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 11:58] >>382 頼む…答えを…！！ 384 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 12:17] >>383 382じゃないけど、”ファイル名を指定して実行”で　%SystemRoot%\system32\services.msc /sを入力 そしたらサービスが起動するのでIPSEC Policy Agentを選んで自動に変更、開始ボタンを押す。 だと思う。間違ってたらごめん。 385 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 12:30] ここは初心者質問スレでは無いと思ったのだが・・・ sasserに引っ掛かるような、普段からの心構えが出来ていないような馬鹿は スレ＆板違いな質問を延々と繰り返す傾向にあるな。 さっさとPC初心者板にでも行けばいいのに 386 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 12:52] >>384 うっひょおおおおお！！ありがとおおお！！ よくわかりました！！センキュウ！！(´∀｀*) >>385 確かに延々と質問すんのは悪いよ！ でもさ、このスレ見るやつって、今回のウイルスにかかったやつじゃん！ これからこのスレ初めて見るやつもいるだろうよ！ そいつらが一番欲しいのは、こんな症状が出ればこんな対処をすればいいとか、そういう 情報じゃねーんかな？？！ うっはー、眠すぎて意味わかんねー！ (つ∀-)ｵﾔｽﾐｰ ！！ 387 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 12:55] >>385 ネットワークの仕組みなどわかっていないから、ポート開けっ放しでも全く平気なんだよな。 バカに付ける薬はありませんな。 388 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 13:03] >>386 寝る前にPFW入れろよ。 389 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 13:04] >>386　ハイテンションなレスにﾜﾛﾀ。 390 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 13:29] up.negi-ma.net/img/140.jpg 391 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 15:59] サッサーがニュースになって随分たつのに今更感染するやつっていったい？ 392 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 16:34] 今頃Blasterにかかるやつもﾜﾝｻｶ居る 393 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 22:47] 漏れはサッサーどころかどんなウィルスにも感染したことが無いが このスレを見ているけど・・・ なんでかっつーと感染したことが無いので症状もわからんし どのくらい広がってるのかもわからんから。 あと自分の対策に穴が無いか確認の意味も含めて見てる。 感染者だけがこのスレを覗いてる訳ではないよという一例ね。 394 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 23:04] >>393 俺もその口だ。 極めて小心なセキュをやってる。 しかしな。必要と思われる情報や初めて経験した攻撃（防御はしている）の情報は、ウザイと思われてもうｐした。 そんな情報交換の場じゃないのかよ。 スレ読んでて思ったんだが、スレ勉してない奴もいるし、真剣に悩んで居る奴もいると思う。 彼らを同列に扱う（反応する）のは、正直どうだかと思うよ。 395 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 23:09] >>376 XPの場合、 1、再インストールする（このときLANケーブルは繋いではいけない） 2、XPのFWをONにする 3、その後、LANケーブルを繋ぎ、Updateする 今後の事もあるから、ルーターの購入をお勧めする。 LANケーブルを挿したままやると、無限ループに陥るので要注意。 ルーターを使用し（ルーターモデム含む）、かつ適切に設定してあれば、 この限りにあらず。というか、その場合は感染しない。 W2Kの場合（ルーターを使用していない場合） 1、どこかで対策CDなりパッチを入手しておく 2、再インストール（LANケーブルを繋いではいけない） 3、パッチをインストール 4、LANケーブルを挿し、最新のWindowsUpdateを実行 396 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/14 23:57] >>395 アホか？ ルーターなきゃ、ファイアーウォール入れとけばいいだけじゃねえかよ。 397 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 00:26] >>396 ないから感染してるんだろ？ そんな対策してるやつは感染しないよ。 398 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 00:30] >>396 そのファイアウォール入れてる間に感染するわアフォ。 399 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 00:32] >>396　がアホだと書こうとしたが先を越されてしまった。 みんな入力が速いなー。 400 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 01:23] >>396 …たたかれまくり…ｗ ファイアーウォール入れてあっても、ソフトが立ち上がる前に感染ってあったよね。 ネットが先に繋がっちゃう場合。 やっぱsasserに感染するのはルータ無し組なのかな。 >>>393 漏れも同じ。 ウイルス付きメールすら来たとこがない。 たまにNISの２ｃｈ誤検出で…ああ、ちゃんとｶﾞﾝｶﾞｯﾃるんだなー…とｗ 401 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 01:50] >>397-399 まとめて、叩き直してやる。 今はルーターのダイヤルアップがほとんどだよな。 バカ以外は不要なポートは開けとかないから、感染しない。 モデムに直付けの奴は、PPPoE接続だから、ファイアーウォールが立ち上がる前に、ダイアルアップしてしまうなんてのは、有り得ないよな。 せっかくリカバリーしたのに、丸裸でネットに繋ぐようなアホは、いるわけないわな。ハハハハ、ばか者達。 402 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 02:39] 会社の同僚がsasserに感染した個人のノートpcを会社のLANに接続したのですが それで社内のｐｃ全部に感染するんですか？？ 403 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 02:43] 社内のPCがちゃんと対策してないと感染するねぇ。 404 名前：名無しさん＠お腹いっぱい。 [04/05/15 02:43] ちなみにその後社内のネットやメールが一切つながらないのですが・・・ 405 名前：定期貼り mailto:sage [04/05/15 02:44] ■SASSER対策要約 　★修正パッチMS04-011(KB835732)は適用ずみか？ 　　→コントロールパネル→プログラム（アプリケーション）の追加と削除 　　→「ホットフィックス　KB835732」があれば適用ずみ。SASSERには 　　　　感染しない。 　★修正パッチ未適用（ルータがある場合、FWを導入している場合はただち 　　 にWindows Update を実行するだけでよい） 　　・XP：ケーブルを抜く→付属FWを有効に（>>201）→ケーブルを接続 　　　→Windows再起動→Windows Update→(MS04-011 = KB835732)適用 　　・2000：ケーブルを抜く→スタート→ファイル名を指定して実行→cmd→ 　　これをコピペして１行ごとにリターン 　　　echo dcpromo > %systemroot%\debug\dcpromo.log リターン 　　attrib +R %systemroot%\debug\dcpromo.log　リターン 　　　→ケーブルを接続→Windows再起動→Windows Update実行 　　　→(MS04-011 = KB835732)適用 ■情報リンク集 Sasser ワームについてのお知らせ(Microsoft) 　www.microsoft.com/japan/security/incident/sasser.mspx Sasser ウイルスに関する情報 Windows XP 編(Microsoft) 　www.microsoft.com/japan/security/incident/sasser_xp.mspx Sasser ウイルスに関する情報 Windows 2000 編(Microsoft) 　www.microsoft.com/japan/security/incident/sasser_2k.mspx セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft) 　　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp 概要　>>7　関連リンク　>>8　感染動作分析　>>152 MSパッチの不具合　>>84　MSのチェック＆駆除ツール　>>11 MSのLSASS脆弱性回避法　>>92 XP付属ファイアウォールの使い方　>>201　ファイアウォールを入れよう　>>202 406 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 02:45] >>404 それは社内のサーバがやられたのではないかな。 407 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 02:47] >>402みたいな話、Blaster騒ぎの時出なかったっけ LAN内にウイルスぶちまけて会社で村八分状態になったってやつ どこかのニュースサイトだったような気もするが 408 名前：404 mailto:sage [04/05/15 02:53] sasserでサーバーやられるのですか？？一応スレを始めから全部読んだのですが あまり会社とかで感染したとかの具体例がないもので・・・同僚が自分以上にｐｃ初心者 なんで（２ちゃんも知らなかった）　　 409 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 03:03] >>408 windows系のサーバならサッサーにやられます。 410 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 03:07] >>408 サーバーがやられているようなら、あなたの会社のパソコンはNT系は全滅です。 411 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 03:09] Server2003は感染しない。しかし鯖にどんなマシン使ってようと、 社内LANに接続しているマシンに感染が広がり始めたらシステム屋 は大慌てで鯖停止して、接続してるマシンにパッチ当てようとする。 ルータで感染に使われるポートを閉じればいい>>7わけだが、ルータ が社内LAN鯖の外側にしかない（内側はスイッチングハブ）という ような状況では鯖停止しかないか… 412 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 03:09] しかし>>404の会社は酷いねぇ。 流行りだしてから一週間以上経つのにね。 管理者はえらいこっちゃで。 413 名前：408 mailto:sage [04/05/15 03:14] まじっすか！？自分もスレ汚しなくらい初心者なんすけど、最悪の場合はサーバーが sasserにやられるとどーなるんすかね？？会社のpｃ全体がsasserに感染するのでしょうか？？ ？？ 414 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 03:24] あんたの会社のLAN構成がわからんから何ともいえん。 まぁ、対策してない端末がサーバに繋がってたらアウトでつ。 415 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 03:25] とりあえず自分が使うPCにはPFW入れとけ。 416 名前：408 mailto:sage [04/05/15 03:45] みなさん　本気でありがとう！！明日もうちと会社のＬAN詳しく調べて相談したいとおもいます。　 その時はマジまたくだらない質問に答えてください！！！できないなりにがんばってみます！ 417 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 05:17] ウイルスに初めて感染しました。 Windowsｱｯﾌﾟﾃﾞｰﾄをすればサッサーに感染しないのが自動的に 入るのでしょうか？ 418 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 07:24] >>417 卵より鶏の方が先だろ？ 419 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 07:50] Windowsアップデートをしているか、ファイアウォールをつけているか、 どちらか1つでもしていれば感染しないはずだが、してない人が多いのかね。 もっとも去年のMSBlastに比べると、Sasserは明らかに感染者が少ない。 アップデートのことを知っている人は増えているとは思う。 XPではアップデートのありかがちょっと判りにくいかもしれない。 「すべてのプログラム」の一番上に「Windows Update」とあるけど、 英語だし、ここをめったに開かない人も多いと思う。 「スタート」の右側あたりに指定席を作ってあって、赤いアイコンで 「Windowsの重要な更新」とか書いてあれば、初めて買った人でも 何だろうと思ってちょっと触ってみるのではないか。 420 名前：419 mailto:sage [04/05/15 08:12] あと、IEの「ツール」メニューの3番目にも「Windows Update」があるね。 これもちょっと目立ちにくいか。 XPのSP2ではセキュリティ・センターというのが作られるそうだけど、 これもコントロールパネルにアイコンが置かれるぐらいかな？ SP2ではWindowsの自動更新がデフォルトになるようだし、FWが標準で ONにされるからだいぶ安心だろうけど。 421 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 09:45] パソコン買って２ヵ月だけど感染して初めて、 Updateがそういうためにあるとわかった。 422 名前：名無しさん＠お腹いっぱい。 mailto:saga [04/05/15 11:30] >>421 ( ﾟ∀ﾟ)ｱﾊﾊ八八ﾉヽﾉヽﾉヽﾉ ＼ / ＼/ ＼ 423 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 11:46] >>421 ２ヶ月で気付いたあんたはエライ。ガンガレ。 424 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 11:48] >>421 ２ヶ月でネラーなあんたは・・・。 425 名前：名無しさん＠お腹いっぱい。 [04/05/15 12:12] すみません、ルータが無い場合の応急処置として ＸＰ標準のＦＷで関連ポートを手動で閉じておけば 大丈夫ですか？ 426 名前：名無しさん＠お腹いっぱい。 [04/05/15 12:21] 安いルータでも買えば済む話なのに、わざわざFWインスコして メモリ喰ってる香具師の気が知れません。 なぜでしょうか？ 427 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 12:39] >>426 １）ルータではトロイやスパイの侵入を防止できない ２）ルータではトロイやスパイに入り込まれたときに中 から外への不審な通信を遮断できない。（FW機能の 入った非常に高価なルータならできる場合もあるがｗ） ３）XPのおまけFWは中→外の通信をフィルタできない。 というわけで知識のあるユーザーはZone Alarm、Outpost、 Kerioのようなフリーで高機能なFWを利用する。 ちなみに、シマンテックのNIS付属のFWは激重なうえに 単独でアンイストできず他のFWが使えない。ノートン買う ならNAVが吉。 428 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 12:44] >>427 XPのSP2のファイアウォールは中→外もフィルタできるようになるらしい けどね。 429 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 12:46] >>422 笑わないでくり。 >>423 ありがとうございます。 NTTのｳｪﾌﾞｷｬｽﾀｰっていう最初についてたルータがあるんですけど、 それを繋げてUPdateでもすれば万全でしょうか？ 部屋に電話線がないから廊下からケーブル引かないといけないので、 めんどくさがって繋げなかったら感染 しちゃいますた。 430 名前：名無しさん＠お腹いっぱい。 [04/05/15 13:25] >>426 漏れは、モバイル用PCにいれてるんだ。 ルータは、電車の中で電源取れない あと、ルータにPHSや携帯電話にも接続できてつかえるのってあまりないしね 431 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 13:29] >>427 内→外って書いてくれない？ 432 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 13:30] >>430 フリーのでいいからファイアウォール導入したらいいよ 433 名前：反省汁！ ◆zE9d/c1mMc [04/05/15 15:12] 445いっぱいきてるねぇ 434 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 15:23] うちは445一回も記録されてない。 プロバイダで遮断してくれてるのかね？ そのかわり2745がいっぱいきてる。 435 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 15:41] >>434 禿同。Y!BBじゃない？ 436 名前：反省汁！ ◆zE9d/c1mMc mailto:sage [04/05/15 16:15] いや、昨日からＢフレッシ しかし、つないでいるだけで感染とは随分なやつだなぁ 437 名前：名無しさん＠お腹いっぱい。 mailto:saga [04/05/15 17:05] 漏れのところも445には全然来ないな、 @niftyなんだが・・・ 438 名前：パソコン初心者 [04/05/15 17:20] あのぉ、今更なんですが、修正パッチ(ＸＰ用)を当てたら、 ウィンドウズログオン時などに不具合がでるんですが、 どう対処すればいいんでしょうか？ マイクロソフトはずっと静観のままですかね？ 439 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 18:26] >>429 　　　　　　　　　　　　　　　　　　　　　　　　　/　＼ ( ~∀~)ｱﾊﾊﾉヽﾉヽﾉ ＼ / ＼/ ＼／　＼ ／　　 　＼　（改良版） それはそうと、フラットケーブル使えばドアの隙間から引き込めるぞ。 440 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 18:34] ＞部屋に電話線がないから廊下からケーブル引かないといけないので こう言う時、隙間だらけのボロ家だと好都合だな、こいつ↓の家とか。 441 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 19:03] フスマ越しにケーブル引いてますが、何か？ 442 名前：名無しさん＠お腹いっぱい。 mailto:saga [04/05/15 19:42] >>441 フスマ・・・・・・・・・ '`,､'`,､'`,､'`,､(´∀｀) '`,､'`,､'`,､'`,､ 443 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 19:59] フスマとサッサーの関係について一言↓ 444 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 20:53] Sasserはフスマで防ぐことができる。 445 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 21:29] >>444をテンプレに追加きぼんｗ 446 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 21:38] >>444 な、なんだってー！（AA略 447 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 22:32] >>441 伝統的日本家屋が、ネットの無い時代から既にそこまで見通していたとは知らなかった。 日本文化を見直した。 これからは、襖をルータ代わりに活用するよ。 448 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/15 22:40] やたらUDPパケットが飛んで来るなぁ 449 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/16 00:33] スマソ。 今んとこ、Dabberかどうだかワケワカメなんだが。 自分と同じプロバのヤシからのDoS酷くねか？ もうね、イイ加減にしろと。 ISPにも責任あるんじゃないのか？ 450 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/16 00:34] >>449 プロバイダにログ出して、文句言ったら、警告ぐらいしてもらえるはず。 451 名前：定期貼り mailto:sage [04/05/16 01:03] ■SASSER対策要約 　★修正パッチMS04-011(KB835732)は適用ずみか？ 　　→コントロールパネル→プログラム（アプリケーション）の追加と削除 　　→「ホットフィックス　KB835732」があれば適用ずみ。SASSERには 　　　　感染しない。 　★修正パッチ未適用（ルータがある場合、FWを導入している場合はただち 　　 にWindows Update を実行するだけでよい） 　　・XP：ケーブルを抜く→付属FWを有効に（>>201）→ケーブルを接続 　　　→Windows再起動→Windows Update→(MS04-011 = KB835732)適用 　　・2000：ケーブルを抜く→スタート→ファイル名を指定して実行→cmd→ 　　これをコピペして１行ごとにリターン 　　　echo dcpromo > %systemroot%\debug\dcpromo.log リターン 　　attrib +R %systemroot%\debug\dcpromo.log　リターン 　　　→ケーブルを接続→Windows再起動→Windows Update実行 　　　→(MS04-011 = KB835732)適用 ■情報リンク集 Sasser ワームについてのお知らせ(Microsoft) 　www.microsoft.com/japan/security/incident/sasser.mspx Sasser ウイルスに関する情報 Windows XP 編(Microsoft) 　www.microsoft.com/japan/security/incident/sasser_xp.mspx Sasser ウイルスに関する情報 Windows 2000 編(Microsoft) 　www.microsoft.com/japan/security/incident/sasser_2k.mspx セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft) 　　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp 概要　>>7　関連リンク　>>8　感染動作分析　>>152 MSパッチの不具合　>>84　MSのチェック＆駆除ツール　>>11 MSのLSASS脆弱性回避法　>>92 XP付属ファイアウォールの使い方　>>201　ファイアウォールを入れよう　>>202 452 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/16 01:59] Bﾌﾚｯｼ開通初日に感染しますた（´Д｀） 駆除してうｐだてして何とか回復。 ルータ繋ぐか… 453 名前：449です。 mailto:sage [04/05/16 02:07] >>450 449です。 アドバイス、マジありがと。 でもさ、悔しいじゃんか他力本願はよ。自分で解決できないと。 断わっとくけど、決してISPのエンジニアをバカにしてる訳じゃないよ。 テメーの領分やテリトリーは、テメーでオトシマエ付けたいだけなんだ。 そこで、ここの住民からの情報と俺の稚拙かも知れない情報で、なんとか解決したかった訳さ。 それにISPのサポセンが必ずしも充実しているとは言えないと思うぞ。 何処ぞは電話で受け付けてはいるが、実質核心部には触れさせない誘導尋問型のプログラム応答しかしてくれない。 ISPさえ信頼性に疑問がある以上、ここでお伺いするしか俺には思いつかなかった。 454 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/16 03:52] >>452 おれと全くおんなじだ。 光があまりに嬉しくて使ってたらすぐに感染しちまった。 455 名前：名無しさん＠お腹いっぱい。 [04/05/16 05:44] ルーター付けてるけど、アップデート中に自動で電源落ちるよ。 で、また再インストールして、念のためHDDのチェックをオンにして再起動。 で、チェックが始まる。数分後HDDが悶えた音を出している。 ２時間後、固まっていた。完全にHDDが死んでしまいました。 現在新しいHDDに付け替えて、再インストールして、ネット接続は待機しています。 ちなみに今書き込んでいるのはMac。 ルーターのログを見ると３分置きにあやしい接続が来ていて、ウザい・・・ 456 名前：名無しさん@お腹いっぱい [04/05/16 05:56] >>420 >FWが標準で >ONにされるからだいぶ安心だろうけど。 いきなりな質問で申し訳ないけど、 NISやバスターのFWを使ってる場合は、 SP２をインスコしてもXP付属のFWはそのままOFF設定のままになる？ ちなみにOSはXPhomeでNIS２００３を入れてます。 457 名前：420 mailto:sage [04/05/16 06:57] >>456 自分は実際にSP2のRC1を入れている訳ではないので、判りません。 Windows板のSP2スレで質問してみては。 pc5.2ch.net/test/read.cgi/win/1084012604/l50 458 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/16 16:32] >>452,454 光やCATVの場合、インフラ等ハード面は別として実質的に専用線接続と同じ状態だよ。 リンクが確立している時点で、ワームがPCへの接続口（レイヤ１）までスキャンしていると考えておいた方が無難だよ。 これはYahooBBモデムの場合にも言えると思う。ルータとモデムのリンクが確立している段階で、攻撃は来ているよ。 FWを先ず入れてPC立ち上げてからネットに入ったら？ ルータを噛ませていても、ポートを塞いでなきゃ感染する。 >>401,427が正解だよ。 459 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/17 00:27] ・新規PC購入者数十万（年間1千万台のうち半分が個人として） 既存XPユーザー1300万（約）のうち ・光への参入者十万、 ・フレッツADSL＆YBB参入者、20万程度？ このあたりが、毎月の予備軍だな。 あ、Welchiaの感染者12.31終了組もかな。 460 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/17 01:10] >>458 401のような日本語も不自由な煽りレスのどこが正解なのか 理解に苦しむが。 461 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/17 02:40] >>460 = >>397-399のどれか クックックッ 462 名前：458 mailto:sage [04/05/17 03:06] >>460 俺には、401は煽りとは考えられなかった。 饒舌ではあるかも知れないが、手順としては正解。 TCP/IPの認証やネゴを参照したら？ それにさ、今度のsasserはダブルバックドア（先行侵入用と本体導入用）を仕込むよ。 更にさぁ、駆除してもその残骸を踏んでDoS掛けるワームに頭が痛いんだよ！ 言葉尻取らないで、知恵を貸してくれよ、ったく！ ルータ越えのアタックも実際にはあってるって。サブネット掛けてもスルーだって。 万が一、おんなじＬＡＮだと認証しちまったらどーすんのかよ？？？ 第３オクテットまで一致してたら、業務用のセキュギチギチのお高いモンしかテーブル用意できないって。 漏れみたいなヤシは、一人でやってっから高機能ルータやレイヤ３スイッチ買えないの！ 判りる? 被害に遭ってからじゃ遅いって。。。 463 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/17 11:17] C:\WINDOWS\system32\lsass.exeは状態ｺｰﾄﾞ1073741819で突然終了しました｡ WINDOWSをｼｬｯﾄﾀﾞｳﾝします こういうメッセージが出て勝手に再起動されるんですが、ｻｯｻｰと見て間違いないでせうか・・ｼｮﾎﾞﾝﾇ 464 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/17 12:00] >>463 その通り。 465 名前：463 mailto:sage [04/05/17 12:18] >>464 レスありがとうございます ああ、やはり・・ 質問スレで、それｻｯｻｰじゃないのか、と教えていただいたので、こっちに来てみたのですが、案の定でした・・ svchost.exeがﾌﾟﾛｾｽに大量発生するのもｻｯｻｰのせいなのでしょうか・・ 質問スレでもご指摘いただいたのですが、ｳｪﾙﾁｱというウイルスの症状に似てるから、まさか同時感染か！？ とｶﾞｸﾌﾞﾙなのですが・・ せめてｻｯｻｰだけであってくれ・・ﾊﾌﾝ 466 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/17 12:31] >>465 っていうか、ウェルチアに今時感染してたら、アフォかって事になるぞ？ update最後にやったの何時だ？ 467 名前：463 mailto:sage [04/05/17 12:45] >>466 アップデートはやってたのですが・・ すみません自業自得ですね・・ 無知は罪だ・・ ネットに繋げないのでググる事もできず、何とか無い頭をフル回転させて考えたのですが、 1、知り合いのPCから駆除ツールをフロッピーかCDRに落としてくる 2、セーフモードだと強制終了されないようなので、ｾｰﾌﾓｰﾄﾞで駆除ツール起動 3、テンプレにある手順で状況をチェック でいいでしょうか・・？ 何とか勉強だと思ってｶﾞﾝｶﾞﾘたいと思います 468 名前：定期貼り mailto:sage [04/05/17 13:48] ■SASSER対策要約 　★修正パッチMS04-011(KB835732)は適用ずみか？ 　　→コントロールパネル→プログラム（アプリケーション）の追加と削除 　　→「ホットフィックス　KB835732」があれば適用ずみ。SASSERには 　　　　感染しない。 　★修正パッチ未適用（ルータがある場合、FWを導入している場合はただち 　　 にWindows Update を実行するだけでよい） 　　・XP：ケーブルを抜く→付属FWを有効に（>>201）→ケーブルを接続 　　　→Windows再起動→Windows Update→(MS04-011 = KB835732)適用 　　・2000：ケーブルを抜く→スタート→ファイル名を指定して実行→cmd→ 　　これをコピペして１行ごとにリターン 　　　echo dcpromo > %systemroot%\debug\dcpromo.log リターン 　　attrib +R %systemroot%\debug\dcpromo.log　リターン 　　　→ケーブルを接続→Windows再起動→Windows Update実行 　　　→(MS04-011 = KB835732)適用 ■情報リンク集 Sasser ワームについてのお知らせ(Microsoft) 　www.microsoft.com/japan/security/incident/sasser.mspx Sasser ウイルスに関する情報 Windows XP 編(Microsoft) 　www.microsoft.com/japan/security/incident/sasser_xp.mspx Sasser ウイルスに関する情報 Windows 2000 編(Microsoft) 　www.microsoft.com/japan/security/incident/sasser_2k.mspx セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft) 　　　www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp 概要　>>7　関連リンク　>>8　感染動作分析　>>152 MSパッチの不具合　>>84　MSのチェック＆駆除ツール　>>11 MSのLSASS脆弱性回避法　>>92 XP付属ファイアウォールの使い方　>>201　ファイアウォールを入れよう　>>202 469 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/17 14:22] ぐ・・ パッチを適用してないと駆除ツールが検知してくれないんですね・・ >>10 の手動駆除にチャレンジしてみるしかないのか・・ 470 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/17 21:02] >>467 上手くいったか？ 471 名前：467 mailto:sage [04/05/18 00:42] >>470 やりました・・ 手動で削除→駆除ツールで駆除→オンラインスキャン のコンボで何とかなったみたいです・・ PCから書き込めてます。 皆さんのおかげですありがとうございました。 これからはアップデートを怠らないようにします。。 重ね重ねお礼申し上げます 472 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/18 20:12] >>471 おめ！ 473 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/18 21:49] >>471 お(･∀･)め(･∀･)で(･∀･)と(･∀･)う！ 474 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/19 00:31] 週刊アスキーで日本では100件の感染報告と書いてありましたがソースだせやゴラ。 どこに報告されたやつだっての。 475 名前：名無しさん＠お腹いっぱい。 [04/05/19 00:35] Sasserに感染しました。 症状からして確実にSasserなんですが、NAVでも検出されないしどうしよう。 パッチを当てたいのですが、パッチを当てるとCPUを占有されてしまいます。 WindowsのHPにある回避策もだめでした。 パッチよりSasserを飼っていた方がコンピュータが動くだけまだましなんですが。 476 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/19 00:38] >>474 IPAに決まってるだろ 477 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/19 00:46] >>475 >>468 でもみて頑張ってみましょう。 478 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/19 00:50] >475 win２０００か？ 479 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/19 00:54] >>478 いえ、Win２　　　０　０ ０です 480 名前：名無しさん＠お腹いっぱい。 [04/05/19 00:57] >>477 Ipsecは無効にしてあるし、他に何をしてよいのか分からないので、 パッチが当てられないんです。 481 名前：名無しさん＠お腹いっぱい。 [04/05/19 01:00] >>10の↓の記述で ４．%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認 %SystemRoot%\system32 32\dumprep 0-u があったんですが、これを消去すればいいんでしょうか？ 他には見当たりません。 XPです。 ログみて書かれたと売りにやってるんですが、やはり再起動しても MSのチェック＆駆除ツールで感染してないとでても 何かのこってるようで駆除できませんでした。　 482 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/19 01:20] >>481 シマンテック愛用者なら目を通しておいた方がイイと思うけど。 www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html 483 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/19 01:37] >>482 ﾀﾝｷｭ。 意外とこんなトコ見落とすんだよねｗ 反省してるぽ。 484 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/19 02:02] >>481 10 だが、 | >>10の↓の記述で | ４．%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認 | | %SystemRoot%\system32 32\dumprep 0-u | があったんですが、これを消去すればいいんでしょうか？ なに言ってんだか、わけワカメ（ｗ　リカバリかな？ 485 名前：475 [04/05/19 03:15] >>478 そうです。 ところで誰だよ、479は。 勝手に訳わかんないレスつけやがって。 486 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/19 04:09] >>484 消すのは拡張子が.exeのもの 新型が徐々に出回っているから、駆除方法が少し違うかもよ。 487 名前：名無しさん＠お腹いっぱい。 [04/05/20 01:19] 自分のPCは、MEなのですが 友達のがXPでサッサーに感染したみたく 強制再起動を繰り返してupdateも駆除ツールもインストールできない状態です。 友人はド素人で助けを求めてくるんですが、自分も素人でよくわかりません。 どのタイプのサッサーに感染してるかもわからないし。 駆除ツールをCD-Rに焼くのがベストでしょうか？？ 488 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/20 01:34] MS純正ツールをFDにでも入れて持って行ったら？ Sasser (A-F) Worm Removal Tool (KB841720) www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en 489 名前：名無しさん＠お腹いっぱい。 [04/05/20 01:40] >>488 レスありがとうございます。 それを友人のPCにインストールすればOKですか？ SAFEモードではなくて通常時に？ 490 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/20 02:07] >>489 まぁそんなもん 491 名前：名無しさん＠お腹いっぱい。 [04/05/20 16:35] OSは、XP Home Edition 症状は、sasserと、似ていると思うんだけど。 以前、Windows Updateをしたときに、不安定になったので、システムの復元で 2ヶ月くらい前に戻してから、インターネットに接続中に再起動のカウントダウン・・。 regeditのRUNのところも調べたけど、特に問題なし。 ノートンのシステムの完全スキャンでも異常なし。 マイクロソフトのホームページの診断ツールでも問題なし。 どっかの会社のSasser (A-F) 試しました。 Sasserの亜種だと思うけど、もう思いつくところなし。 Windows Updateもできなくなってしまった。 タ・ス・ケ・テ。。 俺、ダイヤルアップなんだけど・・。 492 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/20 17:19] >>491 Blasterも試して来い 493 名前：491 [04/05/20 19:42] >>492 了解！！ 494 名前：名無しさん＠お腹いっぱい。 [04/05/20 20:24] >>491 >>152 495 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/21 12:25] >>491 ブラスタもいなければlsass.exeなどシステムファイルのどれかが 壊れている可能性もある。修復インストールを試してみ。 496 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/21 12:54] ttp://www.itmedia.co.jp/anchordesk/articles/0405/20/news059.html ↑のコラム、「Isass.exeの欠陥」と書いてあるんだが、「lsass.exe」で いいんだよね？ 原文も「lsass.exe」になっているんだが…。 497 名前：名無しさん＠お腹いっぱい。 [04/05/21 15:00] Local Security Authority Subsystem Serviceの略だからlsassでＯＫ 498 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/21 17:43] アイサッサー 499 名前：名無しさん＠お腹いっぱい。 mailto:saga [04/05/22 10:11] 騒ぎも既に忘れ去られて落ち着き始めてきたな 500 名前：ぬるぽ mailto:ぬるぽ [04/05/22 13:00] ぬるぽ 501 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/22 14:34] >>496 なるほど。 話は違うが、最近のgoogleの「公共広告」とやらﾊｹﾞｼｸうざい。 第三世界独裁者の親類が高給取ってふんぞりかえっている ユニセフだの赤軍勧誘員辻元プロデュースのピースボートだの の宣伝をなんで拝見しなきゃならん？ googleも株公開でアドウェア化の余寒。 502 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/23 01:05] >>501 話が変わるにもほどがあるぞ 503 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/23 01:22] >>501 藻舞、アホ?　ソリともｳﾞｧｶ?　若しくは池沼? ｸﾞｸﾞﾙ変な動きないぽ。。。 第一よ、サッサの動き監視してんのかよ!! 504 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/23 02:26] >>503 ぐぐってないのか字が読めないのか… 505 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/23 23:51] サッサの置き土産バックドアのリサイクル現実味があると思われ。 506 名前：ガッ mailto:ガッ [04/05/24 13:07] >>500 ガッ 507 名前：名無しさん＠お腹いっぱい。 [04/05/25 15:42] 金鳥はブラスタほど大騒ぎにはならなかったようだな。 508 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/25 18:02] 金鳥の夏、日本の夏 509 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/25 23:39] 最近AGOBOTのパケットがやたらと増えてきたな 510 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/25 23:44] うん また全体的に増えてきた 511 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/26 09:53] アゴボット？ 512 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/26 15:33] 作った奴らが重なってたんだっけ？　最新の顎はｶﾅｰﾘ悪質のようだ。 513 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/26 15:58] >>512 ttp://internet.watch.impress.co.jp/cda/news/2004/05/10/3039.html 514 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/26 15:59] >>511 ttp://internet.watch.impress.co.jp/www/article/2003/0408/agobot.htm 515 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/26 17:55] >>512 最新の顎の特徴を教えてくれ、ｽﾏｿ。 アクセス状況や何処の国のIPかなんかでも良い。 516 名前：名無しさん＠お腹いっぱい。 [04/05/26 17:58] 先週、閉鎖LANのなかでSasserがのさばって大混乱。 管理者は、ユーザーの誰か バカがメール添付踏んだかFDでも持ち込んだに違いない って言って、犯人探しして るけど… Sasserって、ファイル経由でも感染するの？ 517 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/26 19:39] >>515 Worm_AGOBOT.SK←ここらあたりの亜種が悪質 www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.SK 詳細情報見てみ。セキュソフトを停止する、セキュサイトへ の接続を妨害する、システムモニタソフトを削除する、など大暴れ。 ((((((；ﾟДﾟ))))))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ 518 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/26 19:43] >>517 515です。有難う ﾉｼ 519 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/26 22:47] >>516 感染動作は>>152だから、故意でなければファイル経由というのは 考えにくいね。閉鎖LANが閉鎖でなかったというオチか。シス管は 自分のせいじゃないことにしたくて必死なんじゃないのｗ 520 名前：516 [04/05/26 23:35] >>519 やっぱりファイルじゃ感染しませんよねぇ。 コンピュータに詳しいユーザーが少ない部門と思って 管理者にナメられてる気配。 管理不行き届きがバレたら始末書減俸は必至だから、 管理者必死だな。 このまま「持ち込みFDが感染源と思われるが 犯人特定は不可能」なんてお茶にごし報告書を 出してくるようなら、こちらもちょっと対応を考えないと。 521 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/26 23:38] >>520 ファイル感染はまずないよ。 ICMPスキャンから感染動作を始める。スレ読んでみて。 522 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/26 23:39] >>520 そういうのは、感染ノートパソの持込が原因ていうのがこれまでの 常識だったと思ったが。誰かが私有ノート持ち込んでないかい。 523 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/26 23:54] >>517 こいつにヤラれると他の亜種を呼び込んで、 その亜種がサーバーになってさらに他の亜種を呼び込む。 そんでそのままｲﾊﾟｰｲ飼育してると、ものすごい量の パケット吐きまくりで、まともにネットが出来なくなるよ。 ルーターが熱暴走するくらいすごい。 524 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/27 00:11] >>520 「バカがメール添付踏んだか」と言ってるわけだから、 外部からのメールを受信できるってことで、閉鎖LANじゃないのでは… 早いとこﾋﾞｰｸにしたほうが良さそうな管理者だなｗ 525 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/27 00:23] >>520 無線LANなんか引いて無いだろうね? 526 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/27 04:23] >>522 その可能性はある。ただその場合でも、ファイル感染ではない罠。 sassarがファイル感染するなんて主張してる管理者はﾋﾞｰｸにした ほうがよさげ。 527 名前：名無しさん＠お腹いっぱい。 [04/05/27 14:23] スタコラサッサ 528 名前：名無しさん＠お腹いっぱい。 [04/05/27 14:42] さっきからウイルスバスターの警告がポップアップしまくりだよ。 MS04-011　マイクロソフトウインドウズ　が悪さしようとしたので 頑張って防いでいるんだそうだ。 わけわからないんで調べたら、サッカーというウイルスなのね。 うちのPCは感染してないみたいだからいいけど、 ポップアップをなんとかしたい・・・ 529 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/27 14:59] ひーずファイヤー！ 530 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/27 15:04] >528 それってただのwindows update じゃねーの 531 名前：名無しさん＠お腹いっぱい。 mailto:age [04/05/27 17:02] ２、３週間前にウイルスに感染したものですが、 今日やっとリカバリDISKが届きました！！ リカバリ→ルータを繋ぐ→UPDATEでおＫですか？ 532 名前：名無しさん＠お腹いっぱい。 [04/05/27 17:05] >>531 馬鹿杉 533 名前：名無しさん＠お腹いっぱい。 [04/05/27 18:13] >>530 これはネットワークウイルスの攻撃なのだ　と ウイルスバスターが主張していますです。 534 名前：528 [04/05/27 18:19] ポップアップに載ってるリンクです。 www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=MS04-011_MICROSOFT_WINDOWS 535 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/27 19:13] リカバリしたらノートンというのがあったのですが、 速度が遅くなったりデメリットはありますか？ 536 名前：名無しさん＠お腹いっぱい。 [04/05/27 19:42] あ、それうちにもありました。 しばらくすると無くなりますよ。 537 名前：名無しさん＠お腹いっぱい。 [04/05/28 00:02] XP homeを使用していますが、先日からsasserの症状が現れました。 で、マイクロソフトのＨＰ www.microsoft.com/japan/security/incident/sasser_xp.mspx を参照して駆除を試みましたが avserve.exe 等のファイルが見つからずできませんでした。 また、シマンテックのＨＰ www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html を参照して駆除ツールを使用したけどウイルスは not found でした。 sasserの症状は今も続いているためwindows updateもできていません。 私の症状は感染よりも>>495のようにシステムファイルが破損してる可能性の方が高いのでしょうか？ 538 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/28 18:51] >>537 可能性として言うなら 高い。 539 名前：名無しさん＠お腹いっぱい。 mailto:age [04/05/29 03:37] 4月27日あたりにサッサー感染したものですが、 ＦＷオンにしてアップデートしたら５時間程繋げてても 全く感染しなくなりました！ 質問に答えてくださった方々ありがとうございます。 それとＰＣ買ってから３ヵ月なのに、アップデートしようとしたら 必要なものが２０ほどありました。 これからはアップデート毎週一回やろうと思います。。 540 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/05/29 11:55] >>539 マメにやってくれ ﾉｼ 俺の加入しているプロバを使っている連中も、おまいさんみたいにガンガッテくれると良いんだが。 放置プレイで、撒き散らしてる香具師が大杉。 541 名前：名無しさん＠お腹いっぱい。 [04/06/02 16:56] 一応ﾎｼｭ 542 名前：192 mailto:sage [04/06/02 19:51] >>540 禿同。 本人たちには、その自覚が無い(と思われ)のが痛杉。 543 名前：名無しさん＠お腹いっぱい。 [04/06/03 16:16] W32.Korgo.F 発見日: 2004年6月1日 (米国時間) www.symantec.com/region/jp/sarcj/data/w/w32.korgo.f.html W32.Korgo.F は、W32.Korgo.E のマイナーな亜種です。このワームは、TCP ポート 445 で Microsoft Windows LSASS のバッファ・オーバーランの脆弱性 [マイクロソフト セキュリティ情報 MS04-011 参照] (BID 10108) を 悪用することで拡散し、TCP ポート 113/3067 にバックドアを開くワームです。 544 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/03 16:19] また中途半端なもの引っ張ってきたな 545 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/08 16:18] 念のためヽ(ﾟ∀ﾟ)ﾉﾎｼｭ 546 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/09 22:46] こっちも参考にしてみてね pc5.2ch.net/test/read.cgi/sec/1065964513/l50 547 名前：名無しさん＠お腹いっぱい。 [04/06/10 11:16] スタコラサッサage 548 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/10 20:22] よっしゃーーーーーーー！！！！！！！ やっと駆除、更新完了した＝＝＝＝＝＝＝＝＝−！！ オラ、チンカスサッサー、よくも今まで再起動しまくってくれたな。 だが、時代は変わった。おめーの妨害工作なんて、もうきかねーんだよ。 ウェーッハッハッハッハッハッハ！！！無駄無駄無駄無駄無駄無駄ｧｯｯｯｯｯｯｯ!!!! 549 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/10 22:44] >>548 禿げ乙　ｖ（＾。＾） 550 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/18 16:02] 念のため保守ｱｯﾋｬｯﾋｬ!ヽ(ﾟ∀ﾟ)ﾉｱｯﾋｬｯﾋｬ! 551 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/21 11:29] ほしゅ。 552 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/06/23 21:35] サッサーって、Korgoファミリに席巻されて影がうすくなったねぇ 本日も Korgo感染/攻撃のマシンが２台ほど新規参戦ｗ 553 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/12 22:50] リカバリするマシンがあとをたたないので、攻撃もあとをたたない様相でつ。 554 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/25 21:03] 某公共施設のＰＣがくりかえし Sasser に感染するという今や珍しい現象を観察していた。 そのＰＣは再起動すると、どんなに変更が加えられても、一定の初期状態にもどるようになっている。 接続環境は、ＣＡＴＶを利用したものでモトローラのケーブルモデムを介して１台のＰＣが接続されている。 しばらく起動していると、とつぜんおなじみの「カウントダウン」（60秒前から）がでて、再起動。 この現象がエンドレスで続く。いちおう職員には教えてやった。 対策としては、何がいいだろう。 １．「一定の初期状態」を Windows修正パッチ（MS04-011等）があたった状態に設定する ２．ブロードバンドルーターを介在させる 職員には、１の方をアドバイスしたが、２の方がいいだろうと、いま思っている。 555 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/26 15:51] ３．お前は余計なことをしなくて良い 556 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/27 21:40] >>554 今週末に行ってみると まだエンドレスのまま、に １０００ぬるぽ 557 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/30 00:34] よく掲示板とかで「感染しますた」＜「ルーター使え」というパターンがある。 回答側の者としてルーター単体の動作確認をしてみたことがないので、バッファロー （メルコから社名変更、無線LAN脆弱性は放置でヤバイらしいｗ）の安いのを買ってみた。 説明書でいろいろ書かれているけど、そのままつないでオッケーなのを確認した。 週末には、ルーターかかえて「某公共施設」に乗り込んでみようか。ｗ 558 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/07/30 05:04] >>557 ぶっちゃけ余計なお世話だと思われるが、対処方ならルータがベストだろうね。 安いし今後の問題の対処にもなる。 559 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/08/01 19:02] >>556 １０００ぬるぽー だった...OTL 560 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/08/01 23:39] どうすれば感染するのかおしえて。開放してるのに全然こない 561 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/08/02 20:01] >>560 プロバイダがパケット叩き落していれば待っても来ないぉ。 562 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/08/03 03:32] 「接続環境は、ＣＡＴＶを利用したもの」というところがミソだね。 単純な LAN だから、世間では衰退したウィルスでも、ローカルなところで、 パッチあててないマシンがあると、それらがウィルスの感染/攻撃をくりかえし、 リカバリしたてとか新規購入マシンが参戦して、古いウィルスを LAN の中で 温存していることになる。 563 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/08/03 09:46] yahoobbはパケット叩き落してる? 564 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/08/03 12:23] >>563 ヤフの一般的な業務は7-10営業日以上仕事貯めるくせに ワームは出現後比較的早い段階から叩き落してる。 565 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/08/03 21:34] >>564 どのように叩き落してる？　port No.? 566 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/08/05 23:38] >>559 こんど週末に行ってみると、 まだエンドレスのまま、に １００００ぬるぽ 「故障中」の張り紙、に ２０００ぬるぽ 567 名前：名無しさん＠お腹いっぱい。 [04/08/08 00:33] セーフモードですら立ち上がらなくなりました。 こういう場合ってそのHDDを他のパソコンに繋げて 駆除ソフト使うのって有効なんですかね？ 568 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/08/08 05:05] >>567 スレちがいだけど…　ひまだから、お応えしましょう。 そのHDDを現状保存するのは、まことに適切。 あらたにHDDを購入して、ﾌｫｰﾏｯﾄ & OS インストールをしましょう。 「駆除ソフト」で対処するのは、それらのコピーをしたものでおこなうこと。 あ、それらの作業はネットワークにつながないでおこなってください。 569 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/08/08 22:40] >>566 ２０００ぬるぽ　だった _|￣|● 570 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/08/18 00:22] ぬるぽしゅ！ 571 名前：名無しさん＠お腹いっぱい。 mailto:age [04/08/26 12:02] 未だに感染したまま気付かない香具師が結構いるのな 久々にルーターのログ見たらかなりの数弾いてたよ という訳で一応保守しとくべ 572 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/02 23:30] さぁて、２０００ぬるぽ　のところは、まだ「張り紙」かね？ 573 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/06 00:42] >>572 やっとこさパッチあてたことを確認。ｗ　MS04-025 まで 症状でていながら、こんな基本的なことをするのに１ヵ月あまりを要す。 574 名前：保守 mailto:sage [04/09/14 02:06:46] こっちのスレも日記職人が保守してくれてる。てかこっちのほうが老舗だけどｗ Blasterスレ　part5 pc5.2ch.net/test/read.cgi/sec/1065964513/ 575 名前：名無しさん＠お腹いっぱい。 [04/09/16 15:20:37] 感染しました ヽ(`д´；)/　 576 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/17 02:51:54] >>575 とりあえずビール…ぢゃなくてぇ、その「検体」を確保しましょう。 577 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/09/26 09:12:24] Sasser作者が就職したらしいんだけど、どーなんだろ？ 578 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/05 01:28:12] 作者がセキュリティ企業に就職じゃ、もう「亜種」とか出ないのかなぁ… 579 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/15 23:07:40] Sasser　来ませんね 580 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/23 01:13:59] なんだかよく分かりませんが、MS04-032 の修正前の脆弱性をねらったものが でてくるようですね。 581 名前：名無しさん＠お腹いっぱい。 [04/10/26 09:29:40] TCP/445のアクセスが急増したけど，おまえらどう？ 582 名前：名無しさん＠お腹いっぱい。 [04/10/26 10:55:29] 新しい亜種くらったかも？ってな感じで会社がちょいと騒がしいくなってるんだが、ご飯はおいしいです。 583 名前：名無しさん＠お腹いっぱい。 [04/10/26 15:28:15] >>582 喰らったのか・・・．詳細よろすこ． 584 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/10/28 02:21:30] >>582 亜種とかの話あるけど、いつものアレだよｗ　ｸﾛｰｽﾞﾄﾞﾈｯﾄﾜｰｸの中でｸﾞﾙｸﾞﾙ… ご飯は、んまい！ 585 名前：582 mailto:sage [04/10/28 11:11:47] 俺、管理者じゃねえから、妙な仕事させられないよう、 ガン無視決め込んでるから、実際何がどうなってんのかワカンネ。 管理者の人が「トレンドマイクロ社からの返信待ちだぁ」とか言って煙草吸ってたところ、 エロい人が「休んでないでネット早く直せ！」って激昂してるところは目撃した。 そんなこんなで今日もご飯はおいしいです。 586 名前：582 [04/10/28 11:34:57] げへへへへ。パターンファイル更新で万事解決らしいぜ。 サッサじゃなかったらしい、とか今更言ってみるぜ、ぐへへへへ。 587 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/11/05 23:53:05] このところ sasser 系は、見ません。 588 名前：名無しさん＠お腹いっぱい。 [04/11/06 11:01:35] でかい会社のパッチ当ててないLANにつないだWinXpSp1のPCたちが、突然リブートしたりするんだけど やっぱ、Sasserかな? バスターCorp(最新エンジン・最新パターン)では、なにも検知しないのですよ 589 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/11/09 23:08:01] >>588 デカくはない会社であっても、マシンの不審な動作についてネットワークから 切り離してその動作確認をするでしょう、ふつう。 でかい会社で、「動作検証マシン」とかの大儀で、パッチ当てないマシンを 平然とネットワークにつなげてネットワーク攻撃をしているような開発セクション を放任している会社は、今期も営業赤字になり業界からそしてユーザーから 淘汰されていくでしょう。 590 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/11/18 20:29:10] 良スレほしゅ 591 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/11/28 22:48:47] まだ Sasser くるような人いる？ 592 名前：名無しさん＠お腹いっぱい。 [04/11/30 21:59:03] 先ほど同じラボのヒトがsassarを喰らいました。 んで echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log を行ったところ、ネットにつながらなくなった模様です。 OSはw2kでネットワークにはPCカードのスロットから無線LANを介して外につながっています。 なにか情報はあるでしょうか？ 593 名前：age [04/12/01 10:51:36] どうよ 594 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/12 21:50:06] ほっしゅ 595 名前：名無しさん＠お腹いっぱい。 mailto:sage [04/12/25 00:03:40] いまどき、よっぽどアレなＰＣでなければ、Sasser に感染は無いでしょ 596 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/10 02:52:47] 今年も よろしこ 597 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/01/25 08:11:29 ] 保守 598 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/04 02:56:39 ] セーフモードでも再起動カウントダウン始まるんですけどどうすればいいの？ タスクマネージャーやスタートメニューも出せないしなぁ。。 599 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/02/14 20:04:49 ] >>598 リカバリして、ルータかまして接続してください。 600 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/06 00:13:45 ] その後、いかがでしょうか？ 601 名前：名無しさん＠お腹いっぱい。 mailto:sage [05/03/18 20:55:53 ] ほしゅ６０１ 602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/03/31(木) 22:30:31 ] 603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/04/26(火) 23:07:36 ] 以前問題を起こし続けていた某自治体の Windows 2000 マシン、 まだ sasser で再起動してるのかなぁ．．． 604 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/25(水) 20:51:01 ] パソコンがウイルスもらったぽ、で、調べたらサッサーの症状が。 サッサー駆除ソフトをシマソテックとマイクロソフトからダウンロードしたら感染してませんとのこと。 次の日‥なぜかネットつなげなくなったー―――orz 漏れはどうしたら‥‥教えてくださいエロい人。。 605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/05/26(木) 23:57:33 ] >>604 その今や貴重となった状況を、そのままにして大切に保存しておきましょう。 新しいハードディスクに入れ替えて、リカバリまたは OS のインストールを すると、とてもイイことがめぐってくるかもしれません。 606 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/06/29(水) 21:15:13 ] ひさしぶりに、またアクセスあり。 リカバリして、そのままネットワーク接続のマシンだヨ。ｗ 607 名前：名無しさん＠お腹いっぱい。 mailto:age [2005/09/02(金) 00:28:22 ] このところ、新しいものなのか、なにか変なアクセスがあります。はい 608 名前：名無しさん＠お腹いっぱい。 [2005/11/12(土) 15:21:56 ] SASSERなんですが、いまさらですが、 感染すると即発病でしょうか？ シマンテックでは発症のタイミング: n/aとありますが、 どういうことですか？ 609 名前：名無しさん＠お腹いっぱい。 [2005/11/14(月) 17:48:32 ] >>1 610 名前：名無しさん＠お腹いっぱい。 [2005/11/15(火) 15:31:47 ] bb.watch.impress.co.jp/cda/news/11800.html @niftyの「常時安全セキュリティ24」、不具合で1,518名がSasserに感染 www.nifty.co.jp/cs/05shimo/detail/051115000548/1.htm 「常時安全セキュリティ24」利用者38,197名中、1,518名にて自己実行型ワームウイルス 「Sasser（サッサー）」の感染が判明。また、感染が判明した利用者以外でも、2,717名が、 ウイルスの感染活動を受けた形跡があることが判明。 611 名前：名無しさん＠お腹いっぱい。 [2005/11/15(火) 17:38:22 ] いまどきsasserに感染するようなユーザーにも問題があると思うが どうなんだろう。1年以上WindowsUpdateもせず、Nifの盾の内側だからと ウイルス対策ソフトも入れず（入れても更新して無かったとか） この件に関しては、Nifに同情してしまう漏れ。 612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/15(火) 21:00:46 ] >>610 ＞この時間帯に、もともとSasserに感染していたと想定されるサービス利用者のPCから、 ＞他のサービス利用者のPCへの感染活動が行なわれたという なんだかなぁ、とは思う。 613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/15(火) 21:37:58 ] この件で感染した奴はやっぱりニフティのサービスは必要だろｗ 614 名前：名無しさん＠お腹いっぱい。 [2005/11/16(水) 00:11:59 ] 感染するとすぐ発病だよね？ 615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/16(水) 00:21:35 ] niftyユーザーには1,518名もバカがいたって事か。 いっその事、再起不能にされちまえばいいのによ。 どうせ、他の脆弱性を利用するウィルスに遅かれ早かれ感染するだろうよ。 616 名前：名無しさん＠お腹いっぱい。 mailto:sage [2005/11/16(水) 21:13:28 ] 「ぁゃιぃ ファイルは開かないからセキュリティソフト(ﾟ�听)ｲﾗﾈ」 ってヤツが感染してるんだろうね。 617 名前：Today+ zaqd378953e.zaq.ne.jp+Dinner [2006/03/24(金) 15:52:19 ] Today+&rf&rus&rian&ras&ra&rn&r+Dinner 618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2006/04/19(水) 16:15:24 ] LAN内にSasserにかかったパソコンが1台あって 迷惑しています。 そのMAC address/IPがわかっているのですが 場所や持ち主はわかりません・・・・・ ポート445/5554などはふさいだので、 セグメント外には被害はありません。 他のパソコンからSasserを止めたりすることは 可能ですか? 619 名前：名無しさん＠お腹いっぱい。 [2006/07/13(木) 00:39:33 ] スタコラサッサー 620 名前：名無しさん＠お腹いっぱい。 mailto:sage [2007/08/02(木) 13:57:38 ] 2000ならsasser対策はしなくていいの？ 再起動になるだけだろ？ ブラクラと同じ程度の害しかならないよな？ シャットダウンまで:00:00:30 っていうダイアログは2000が出してるんだろ？ 621 名前：名無しさん＠お腹いっぱい。 [2007/08/18(土) 01:42:13 ] こんなスレからはスタコラサッサだぜぃ

---

---

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef