1read 100read
2012年6月セキュリティ278: MSNでウイルス感染!? (218) TOP カテ一覧 スレ一覧 2ch元 削除依頼
ID表示ってやばくない? (492)
[Firewall ] PCGATE [もってる香具師集合] (331)
山田ウィルスをだます囮スレ (289)
【フィッシング対策】 SecureVM for AntiPhishing (237)
ぼるじょあ(・3・)質問箱 セキュ板出張所31 (329)
会社のネットワークでやってはいけない三箇条 (410)

MSNでウイルス感染!?


1 :01/09/19 〜 最終レス :12/04/15
ニュー速板では、あきらかにウイルスだと言う人も
出てますが、どうなんでしょう?
関連スレ
MSNにウィルス添付?
http://news.2ch.net/test/read.cgi?bbs=news&key=1000822776

2 :
http://www.msn.co.jp
を開くとreadme.exeというファイルがDLするようになってるそうです。

3 :
MSNがやられましたw
topを読むと送られてきます。
http://www.msn.co.jp/readme.eml

4 :
おいおい、古い穴狙ってるな

5 :
emlから直接Base64の部分抜き出してデコードしてみたけど、
なんでこのファイル、こんなアイコンなんだ。
つーか普通にレスしちゃったけど、>>3のリンクはIEにパッチ
当ててない奴はまずいだろ。

6 :
>>5
あ、ごめん。ネスケなので気が付かなかったー。

7 :
http://www.mv-tohoku.co.jp/
http://www.prland.co.jp/
ここも同じ現象らしいよ。

8 :
ついでにバイナリエディタで覗いて見たけど、こいつも
Admin.dllとか言ってるな。最近はさすがにCodeRedスレ
見てなかったから知らんけど、そこらへんの新種が関係
してんのかね

9 :
MIMEのデコードが上手くいかない(;´Д`)
readme.exeのみのヘッダ教えてチョ

10 :
ということで、CodeRedスレの人間に聞いた方が早そうだな。寝よ

11 :
http://210.150.177.216/
ここもな。

12 :
>>9
ん?readme.exeのみのヘッダ?

13 :
>>9
base64デコーダを使え。

14 :
>>2,7
IIS使う馬鹿に何が提案できるんだ

15 :
>>12-13
RarUty使ってるのだが、base64として認識してくれない(;´Д`)

16 :
寝ようと思ったけどまだ1時にもなってないのか。
見直してみたけど、やっぱりtftpとかも書いてあるわ。

17 :
128 名前:  投稿日:01/09/19 00:40 ID:KLLLh/gg
突然*.emlファイルが数千作成され、エクスプローラー開くと空き要領が5MB/secくらいの
スピードで減っていった。LANでつないでいるリブレットも同時進行(^^;

18 :
>>17
実行したんかい(w
それにしても、「不正なMIMEヘッダを含む〜」とCodeRedの
合作かな。なんか面白みないね

19 :
ワシもバイナリ観察ちゅう。いろいろ手が込んでますな。
しかし>>17のように実行は出来ないw

20 :
新種ウイルスという話になってる<ニュース速報

21 :
やっぱ、ここで、話題になってましたか・・・・
実は、実行しちゃいました><
readme.exeですが、
concept virs (CV) v5
って文字列が含まれてます。(TT)
concept virsをちょっと、調べてみたのですが、
英語版wordに感染するマクロウィルスらしいです。

22 :
ああ、VMwareのバーチャルマシン上で実行しようとしたら、
何日か前に消しちまったんだった。残念。まあ挙動はバイナリ
みるだけでほとんど書いてあるような気もするが。

23 :
21です。
ニュース速報って、どこの、ニュース速報?>20

24 :
>>23
あ、ややこしい書き方でスマソ、ココ(2ch)です。

25 :
対策されたみたいです、もう開きません

26 :
ん?ちと待てよ。これって今度は無差別にこのemlを
送信するわけか?だとしたらトラフィックがまた・・・。
一個76.6KBのファイルをガンガン送られたらかなわんな

27 :
>>17
その128、俺。

28 :
>>27
ネットワークの方はどうなってる?パケット送りまくり?

29 :
>>28
Librettoとラブコールしまくりだった。

30 :
該当バグ。IE5.5と5.01だけらしいです。それ以前以後のIEやネスケには無関係(らしい)
http://www.microsoft.com/JAPAN/support/kb/articles/JP290/1/08.htm
ん?するとバックドアで入ってweb閲覧者にも送りつけて繁殖?
IE5.01〜5.5限定とはいえ被害が広がるねえ。

31 :
>>29
そうか、じゃあ後は自分で解析するのも面倒っつーか
意味ないからCodeRedスレのログでも読むかな。

32 :
速報板のスレ。
http://news.2ch.net/test/read.cgi?bbs=news&key=1000822776&ls=50&nofirst=true

33 :
過去ログ読んできたけどまだそれほど情報でてないな。
1のスレも読んでみたけど、メディアプレイヤーが立ち上がる?
「不正なMIMEヘッダ〜」に加えて、「MediaPlayerのスキンファイル〜」
の穴も突こうとしてんのかね。出遅れたからわからん。
CodeRedスレの人間教えれ

34 :
http://www.trusecure.com/html/tspub/hypeorhot/rxalerts/tsa01024_cid177.shtml
かなぁ。

35 :
詳細はここで。
http://memo.st.ryukoku.ac.jp/archive/200109.month/thread.html

36 :
nimda?

37 :
今日は夜から、なんかネットが重いなって思ってたけど、
こいつがでかいファイルを撒き散らしてたわけね

38 :
>>35
サンクス、ざっと読んできた。また祭りか?とか思ってたけど、
洒落にならん・・・16種類。しかも良く考えたら「不正なMIME〜」は
IEだけじゃなく、OutLookもか・・・

39 :
Concept Virus(CV) V.5, Copyright(C)2001 R.P.China
って書いてあるよ?

40 :
でかいって言っても高々79261バイトじゃないのw

41 :
>>40
無差別に撒き散らすとしたら十分すぎるほどでかい

42 :
>>40
認識甘すぎ・・・・

43 :
すまん。鬱だ寝よう。

44 :
>>43
まぁまぁ、ドンマイドンマイ
それにしても、こんどのコードネームは Nimda か

45 :
つーかドンマイ言ってる場合じゃなかった。またも
ARP Floodが〜。1分にARPだけで1025パケット・・・

46 :
readme.exeを実行して、ブルーなので寝ます。
はぁ〜

47 :
実行したらexplorer.exeが落ちてワトソン博士が反応した
メモリリフレッシュするには便利なアイテムだよ

48 :
ワラタ
しかし笑い事じゃない。どうでもいいけどこのreadme.exe、
リソース覗いてみたらアイコンが5つ。・・・意味ないぞ
とりあえず今回もJ-COM内からのアタックがガンガン来てる
上にARPの数はさらに増えつつある。とりあえずJ-COMに
メール出しとくか。

49 :
 

50 :
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
結局、脆弱性”Unicode Web Traversal”のパッチは無し?
ってことは、IIS全部感染対象?
URLScanしか方法無いのかなぁ。
http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010914/1/

51 :
しゃれにならんねえ
ワショ-イ

52 :
ぱっち。
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-078

53 :
ワケ ワカ ラン

54 :
まだ読んでないけど、
Scary Hybrid Internet Worm Loose
http://wired.com/news/technology/0,1282,46944,00.html

55 :
>>54
Nimdaは、先週起こったテロとは関係ないっちゅーことやろ

56 :
感染サイト(^^;
http://search.fresheye.com/?kw=readme.eml&term=monthly
今日の昼頃には感染サイトが爆発するでしょう。

57 :
シマンテックの解析が進んでるねぇ。凄い凄い。
がんばれしまんてくー。

58 :
これってさぁ、「ウチはApache for Winだから関係ないもーん」とか
思ってても、メールから感染したら、やっぱwebページが改竄されるのかなぁ。

59 :
>>58
感染したPC側はサーバーへのアタックもやるのかな。
それによると思う。
同じウィルスの感染手段が異なるだけのものだとすれば、
Webも改竄されるのでは。

60 :
このワーム絶対ヤバイよ、、。どうも>>59っぽいし。
そういえば
http://www.msn.co.jp/
ふっかつしないね、、、。

61 :
複数の感染方法を持ってるのかよ。

62 :
http://www.mv-tohoku.co.jp/
http://www.prland.co.jp/
このサイトをクリックしたらPCがバリバリバリバリいうようになっちゃったよぉ〜。
もう30以上もつづいているよ。。。
ファイルのダウンロード画面が一瞬出たんだけど、
保存するってやらなくても落ちて来ちゃうの?
対処法はどうすればいいの?
ぁぁぁぁぁああああパニックだよぉぉぉぉぉおおおおお!

63 :
Windowsファイル保護っていう画面が出て
Windowsを正しく動作するための必要なファイルが認識できない
バージョンのファイルに置き換えられています。システムの
安定を維持するために、これらのファイルを元のバージョンに
復元する必要があります。
Wndows2000 Professional CD-ROMを挿入してください。
ってなるんだけど、ただCDを入れれば勝手に処理してくれるのんですか?

64 :
Un Installなんとか
Map....
っていうお知らせ画面がでてきました。

65 :
駆除方法が確立されるまで、手出さないほうがいいんじゃない?

66 :
あー、あんなの見てなくてよかった。
オレ、msnなんて昔から見たことないから・・・・・
あの錆、めちゃ遅いからね。
いまだに、立ち上げと同時にmsnが表示されたままの人が
多いようだし・・・・

67 :
>>63
いやいや。
しばらくすると、各社から修復方法が発表になると思うので、
それまでは、予備のPCでやっていた方がいいと思う。

68 :
静かです、、すごく静かになりました。。。。
なんだかPCの中にとんでもない悪者が潜んでいそうでとてもコワイです。

69 :
このemlファイル使った穴を塞ぐパッチって、IE5.5SP2には
含まれてるよね?

70 :
IPアタック来てますか?

71 :
まだ駆除方法は出てないわけだ?
ひっかっかっちゃったよヽ(´ー`)ノ 実害出てないけどね。。
そのうちファイルあぼられたりするのかなあ?

72 :
>>70
昨日だけで34回きた

73 :
そうそう、各フォルダに009.emlとかいうファイルがいっぱいできてた。
デスクトプンだけじゃなかったみたい(´Д`)

74 :
どんな解説見てる?

75 :
これってアメリカの報復ハカーと関係あるのかなぁ?

76 :
ラウンジにサイト貼られてたから開けちゃったよヽ(;´ー`)ノ
ファイルのバックアップとっといた方がいいかな?     

77 :
うちやられちゃったよ・・・。
http://mimizun.mine.nu/
ハードディスクいっぱいにしてくれました。一応、*.emlと*.tmp.exeを削除しました。
でもなぁNTsp6aのIISでSRPあてていたんだが・・・

78 :
もしかしたらファイル消されたかもしれない。C:\のファイルが。。
気のせいかもしれないけどね。あと.eml消せなくなってるよ??
>>77
ご愁傷様。。なんか実害あった?ファイル消されたりするのかなぁ?
意味ないんじゃないの??

79 :
ゴルァ、おれのサーバにアホみたいにきてるぞ。
CodeRedIIの比じゃないぐらいの割合で。

80 :
>69
 このemlファイル使った穴を塞ぐパッチって、IE5.5SP2には
 含まれてるよね
IE6,0はどうなんでしょうか?

81 :
新種ウイルス「Nimda」の感染拡大=米司法長官
http://headlines.yahoo.co.jp/hl?a=20010919-00000116-jij-bus_all
 【シリコンバレー18日時事】「Nimda(ニムダ)」と呼ばれる危険度の高い新種の
コンピューターウイルスが登場し、ウイルス対策会社などが注意を呼び掛けている。
 米ウイルス対策大手シマンテックによると、同ウイルスは、電子メールで届けられる添付
ファイル「readme.exe」に潜み、これを利用者が不用意に開くことで感染する。
感染したコンピューターは、ウイルスメールを外部に発信。マイクロソフト製ウェブサーバー
ソフトを利用している他のコンピューターに対して同ソフトのセキュリティーホール
(欠陥)を狙った攻撃を仕掛ける。 (時事通信)[9月19日9時3分更新]

82 :
>>80
確かめてみたら5.5SP2にはばっちり含まれてた。
悪いんだが6.0はわからん。でも対策されてない気がする

83 :
http://help.msn.co.jp/notice.htm

84 :
このスレで言ってるのって
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS00-075
のことだよね。
これとCodeBlueって関係してんの?
ウチも昨日からアタック受けてるけどあれとMSNのは別物じゃないかな。

85 :
>マイクロソフト製ウェブサーバーソフトを利用している他の
^^^^^^^^^^^^^^^^
>コンピューターに対して同ソフトのセキュリティーホール
>(欠陥)を狙った攻撃を仕掛ける。(時事通信)[9月19日9時3分更新]
^^^^^^^^^
これって、損害賠償責任ないの?

86 :
210.91.45.224 - - [19/Sep/2001:10:03:44 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 233
210.91.45.224 - - [19/Sep/2001:10:03:50 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:03:57 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:05 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:10 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:16 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:23 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
210.91.45.224 - - [19/Sep/2001:10:04:30 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 400 205
210.91.45.224 - - [19/Sep/2001:10:04:38 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:10:20 +0900] "GET /scripts/root.exe?/c+dir HTTP/1.0" 404 233
HRS-MSG - - [19/Sep/2001:10:10:22 +0900] "GET /MSADC/root.exe?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:37 +0900] "GET /c/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:41 +0900] "GET /d/winnt/system32/cmd.exe?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:44 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:48 +0900] "GET /_vti_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:51 +0900] "GET /_mem_bin/..%5c../..%5c../..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:10:54 +0900] "GET /msadc/..%5c../..%5c../..%5c/..チ../..チ../..チ../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:10:58 +0900] "GET /scripts/..チ../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:11:01 +0900] "GET /sc?/c+dir HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:03 +0900] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:11:06 +0900] "GET /scripts/..?../winnt/system32/cmd.exe HTTP/1.0" 400 205
HRS-MSG - - [19/Sep/2001:10:11:09 +0900] "GET /scripts/..5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:11 +0900] "GET /scripts/..5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:14 +0900] "GET /scripts/..%5c../winnt/system32/cmd.exe HTTP/1.0" 404 214
HRS-MSG - - [19/Sep/2001:10:11:20 +0900] "GET /scripts/..%2f../winnt/system32/cmd.exe HTTP/1.0" 404 214
永遠に続く。重いわけだ。

87 :
米軍がやっとんとちゃうか?

88 :
感染したが、GoBackで昨日の午前中に戻したからたぶん大丈夫だろう。

89 :
PCとサーバの両方を狙う新種ワーム
http://www.zdnet.co.jp/news/0109/19/b_0918_01.html

90 :
>>82
ありがとうございます。
6.0から5.5にバージョンアップ?と思いつつIEのページからDLしようとしたら
最新バージョンがインストール済みでバージョンアップできませんですって。
こわいよー!

91 :
えっと。感染したのでいろいろ見てみたけど
ありとあらゆる実行ファイルにreadme.emlなる文字列が確認されたのでめんどいのでクリーンインストールします。。。
パッチあてめんどいんだよなぁ。

92 :
えっと、>>91はIISのサーバーの場合です。普通に見ているだけでは問題ありません。

93 :
>>91
GoBack入れとけば良かったのにな。
うちはGoBackで感染ファイルが根こそぎなくなったわ。よかったよかった。

94 :
おいおい、ニュース速報板に書き込むとアタックが来る。

95 :
>>90
6から5.5へはません。6へは一方通行です。

96 :
MSN復活しとるな。。。
お詫びも警告もないな。。。
やっぱりな。。。。

97 :
http://headlines.yahoo.co.jp/hl?a=20010919-00000001-vgb-sci
複合的な攻撃、感染機能をもつウィルス Nimda
Nimda=ニダ?
なんて読むニダ

98 :
>>94 >>96
米軍の作戦の1つニダ

99 :
汚染源リスト
http://headlines.yahoo.co.jp/hl?a=20010919-00000002-vgb-sci

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
「500」「バスター厨」「相模原」粘着荒らし総合スレ (680)
いっぱいFW入れてます。当たり前だゴルァ大作戦 (462)
【併用可】gred AntiVirusアクセラレータ part3 (840)
fusianasanトラップになんらかの対処を (891)
ウイルスバスター2006のスパイウェア疑惑について (626)
ウィルスバスターに騙された! (565)
--log9.info------------------
☆ 藤井猛 System110 ☆ (681)
佐藤紳哉ですが、私のスレも作ってください (747)
【質問】☆★将棋初心者総合★☆【愚痴】 Part2 (488)
【振り飛車党】久保利明応援スレ 22【元総裁】 (440)
☆。.:*・゜森内俊之 Part49.。.:*・゜☆ (536)
女流棋士総合スレッド 第二十七局 (654)
棋譜貼り専門スレに関する疑問、議論用スレ★2 (308)
【携帯】将棋道場26【竜王戦】 (713)
室田伊緒応援スレ PART19 ☆彡 (910)
<新四段> 永瀬拓矢さん 応援スレッド  (938)
加藤桃子ちゃん応援スレPart2 (803)
●○囲碁・将棋フォーカス▲△Part2 (263)
【将棋24】指してはいけない【危険人物】その31 (553)
第60期王座戦 Part3 (289)
!ninjaテストスレ13枚目 (533)
NHK杯将棋トーナメント part358 (932)
--log55.com------------------
《新型コロナ対策》中国出身2人が取手市にマスク4000枚 「日本頑張れ」市民にエール [馬鹿島★]
【生きてた】金正恩の列車を確認 [ソメチメスッスッス★]
【安倍首相】「日本発の特効薬を世界に発信していきたい」 アビガン増産へ総力戦 ★2 [ばーど★]
徳島県の保育所が病院で働く職員の子供の登園を拒否 [朱鬼★]
【経済評論家】上念司氏「麻生と岸田がモタモタしてるからどんどん会社が潰れていく!」 [中山富康★]
【茨城】「他県ナンバーの車が駐車」「サーファーが海岸に」…住民から苦情相次ぐ [Hikaru★]
【東京都】路上でしゃがみこんでい男性が搬送され死亡 その後コロナ感染確認 自宅療養で容体急変2件 ★2 [ばーど★]
【武漢ウィルス】パチンコ店に客が次々に 海には釣り客 県外ナンバーの車も 休業要請に外出自粛は一体…静岡県 ★2 [砂漠のマスカレード★]