2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

sasser【スタコラサッサ】sasser Part2

1 :名無しさん@お腹いっぱい。:04/05/06 19:31
sasser【スタコラサッサ】sasser Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/

2 :名無しさん@お腹いっぱい。:04/05/06 19:32
| 冫、)ジー     |)彡サッ

3 :名無しさん@お腹いっぱい。:04/05/06 19:33
             .  + .  *     / ̄ ̄ ̄ ̄ ̄ ̄\                 ■ ■
 ■      ■■■     .      /   _ノ     ,_ノ\   .+  ☆  .      ■ ■
■■■■  ■  ■           /    / iニ)ヽ,   /rj:ヽヽ ヽ              ■ ■
  ■    ■  ■ ■■■■■■■l::::::::: ;〈 !:::::::c!  ' {.::::::;、! 〉 .|■■■■■■■■  ■ ■
.■■■■ ■ ■■           |::::::::::  (つ`''"   `'ー''(つ   |             ■ ■
   ■     ■  +.  ☆  。. . |:::::::::::::::::   \___/    | ☆ . *  +.
   ■     ■            ヽ:::::::::::::::::::.  \/     ノ  .  . .   +☆  .● ●


4 :名無しさん@お腹いっぱい。:04/05/06 19:35
    ∧_∧
  _( ‘∀‘)_<ダスチンマン参上>>1 ちょっと早いけど乙。
⊂) (ニ 。  。 ) (⊃
  l  }、  ,{ T´
 ノ_/. `つ' l_ゝ
   (__)(__)


5 :名無しさん@お腹いっぱい。:04/05/06 19:37
>>1

('A`)ノシ 乙でつ

6 :名無しさん@お腹いっぱい。:04/05/06 19:37
ヾ('A`)ゞエッサッサ

7 :名無しさん@お腹いっぱい。:04/05/06 19:41
■悪質ウィルスSASSER大暴れ中
こないだのMSブラスタと同様、Windowsの欠陥をついてくるのでネットに接続する
だけで何もしなくても感染しちゃいます。((((((;゚Д゚))))))ガクガクブルブル
現在確認されている亜種はA〜Dの4種類ですが、動作、対処法はどれもほとんど同じ。

前スレ sasser【スタコラサッサ】sasser Part1
http://pc3.2ch.net/test/read.cgi/sec/1083573189/

■症状
・妙な窓↓が出てカウントダウンの後OSが強制的にシャットダウンする。
  LSA Shell(Export Version) has encountered a problem
  This system is shutting down...by NT AUTHORITY\SYSTEM
・なんだかわからないが動作がメチャ重い。ネット接続がひんぱんに切れる。
・症状はパソコンの環境によっていろいろです。変だなと思ったらこの後のテンプレ
 読んでさっそく対策してください。ウィルスを広めるあなたもウィルスじゃ。


■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
 http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
 やルータの設定で、
  UDP135、137、138、139及び445、
  TCP135、138、139、445及び593
 のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
 を許可しない。

8 :名無しさん@お腹いっぱい。:04/05/06 19:42
《関連リンク》

Sasser ワームについてのお知らせ(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp
W32.Sasser.Worm(Symantec)
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html
W32.Sasser.B.Worm(Symantec)
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.b.worm.html
W32.Sasser 駆除ツール(Symantec) (亜種A-Dまで対応)
 http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
WORM_SASSER.A(Trend Micro)
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.A
WORM_SASSER.B(Trend Micro)
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SASSER.B

その他亜種はデータベースのトップからSasserで検索してください)
・トレンド(手動削除手順はトレンドが詳しいです)
 http://www.trendmicro.co.jp/vinfo/
・シマンテック
 http://www.symantec.com/region/jp/sarcj/vinfodb.html

9 :名無しさん@お腹いっぱい。:04/05/06 19:42
《SASSER動作概要》
■SASSERファミリー(A〜D)の感染動作概要

・感染経路のport番号
 感染マシン→ターゲットマシンのTCPポート445をスキャン
 感染マシン←ターゲットマシンの脆弱性の情報を確認
 感染マシン→ターゲットマシンのTCPポート9996を通じて乗っ取り
 感染マシン→ターゲットマシンのTCPポート5554を通じて本体をFTPで転送

・レジストリの改変
 HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
・ウィルスが書き込む値:
 avserve.exe = %Windows%\avserve.exe
 avserve2.exe = %Windows%\avserve2.exe
 skynetave.exe = "%Windows%\skynetave.exe"

・その他ウィルスが作成するファイル名
 <ランダムな数字>_up.exe"(ファイル名例:"12345_up.exe")
 システムドライブのルート(C:\)にWIN2.LOG" というログファイル

■ワームの侵入・拡大を防ぐようネットワークを設定する方法(経済産業省の呼びかけ)
 http://www.meti.go.jp/policy/netsecurity/Alert_sasser_gyoukai.html
・Sasserワームを防御するため、LANとインターネットの境界に設置したファイアウォール
 やルータの設定で、
  UDP135、137、138、139及び445、
  TCP135、138、139、445及び593
 のポートへのアクセスを許可しない。
・Sasserワームの感染源とならないよう、TCP5554、9995、9996のポートへのアクセス
 を許可しない。

10 :名無しさん@お腹いっぱい。:04/05/06 19:43
■sasser を手動で“駆除”および“駆除”されたことを確認する方法
0.ネットワークから物理的に離脱する(ケーブルを抜く、モデムの電源OFF)
1.タスクマネージャで、"<数字列>_up.exe" を終了、または無いことを確認
2.レジストリで、
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  で "avserve*.exe" = "C:\WINDOWS\avserve*.exe"  (*:なし、または数字)
    "skynetave.exe" = "C:\WINDOWS\skynetave.exe" (Windows2000:WINNT)
  の削除、または無いことを確認
3.%SystemRoot% の "avserve*.exe" または "skynetave.exe" の削除、または無いことを確認
  (%SystemRoot%:Windows, または WINNT)(*:なし、または数字)
4.%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
5.システムドライブ(ふつう C ドライブ)のルート(直下)の "win*.log" の削除、
  または無いことを確認  (このログは sasser の他への攻撃履歴が記録されている)
6.Windows を再起動

■ Windowsアップデート後、Microsoft純正Sasserツールで駆除
   http://www.microsoft.com/downloads/details.aspx?FamilyID=76c6de7e-1b6b-4fc3-90d4-9fa42d14cc17
 使い方 http://support.microsoft.com/?kbid=841720
・手動:セーフモードで(F8を連打しながら)起動→スタート→ファイル名を指定して
 実行→regedit→以下の項目を削除
   HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
   値 : avserve.exe = %Windows%\avserve.exe (SASSER.Bの場合 avserve2.exe)
 →本体ファイルavserve.exeを削除→再起動→再度オンラインスキャンをかける→
 さらにウィルスとして発見されたファイルがあれば削除

11 :名無しさん@お腹いっぱい。:04/05/06 19:44
■マイクロソフトのSasser感染・駆除チェックサイト
http://www.microsoft.com/security/incident/sasser.asp

画面をスクロールして↓下記のボタンを押す。
        ------------------------
         Check My PC for Infection
        ------------------------
能書窓が出るのでI agreeのラジオボタンにチェックを入れる。
        ------------------------
         Your PC Is Not Infected
        ------------------------   と出ればOK。

Windowsのアップデート「MS04-011」が未適用のPCだと
 To use this tool, you must be running Windows XP or Windows 2000,
 and you must have already installed MS04-011.
と表示されて検知・駆除ができない。→アップデート適用後再度検査

アップデート適用ずみだが、それ以前にSasserに感染していた場合、
The Sasser worm was successfully removed from your computer. 
と表示される。「駆除に成功した」のでこれでOK

12 :名無しさん@お腹いっぱい。:04/05/06 19:50
○感染の危険のあるOS
 Windows2000、XPはインターネットに接続するだけで、感染する可能性が
 あります。
 Windows 95、98、Me、NTに関しても、フロッピーやCD-ROMなど、外部メディア
 により感染する可能性があります。



13 :名無しさん@お腹いっぱい。:04/05/06 20:06
スレ立て乙

14 :名無しさん@お腹いっぱい。:04/05/06 20:08
ブラスターの2番煎じだからブラスターほどの破壊力は
ないようですね。よかった。

15 :名無しさん@お腹いっぱい。:04/05/06 20:11
オリジナリティが無いね。
ウィルス作者は、所詮、アーティストの器じゃないよ( ゚∀゚ )アヒャヒャヒャヒャヒャヒャヒャヒャバーカ

16 :名無しさん@お腹いっぱい。:04/05/06 20:11
NETSKYと作者が同じかも知れないって
そいで合体の可能性ありと言ってる

ttp://www.itmedia.co.jp/enterprise/0405/06/epr01.html

17 :名無しさん@お腹いっぱい。:04/05/06 20:39
2日待てど、誰も送ってこない。
誰かうpしてくれませんか?>ウイルス

18 :名無しさん@お腹いっぱい。:04/05/06 20:46
>>17
自分デ捕獲シレ

19 :17:04/05/06 21:01
開けっ放しにしても、やってこない。
MSblastの時もそうだった。

なんか、悲すい。
誰か頼む


20 :名無しさん@お腹いっぱい。:04/05/06 21:06
>>16
ハナシの出所がバカフィー

21 :名無しさん@お腹いっぱい。:04/05/06 21:13
>>14
破壊力がないせいで、強制シャットダウン以外の症状ならば
感染しても気づかない奴もいるとかいないとか
くわばらくわばら

22 :名無しさん@お腹いっぱい。:04/05/06 21:20
今日の朝、急いで自分の部署のPCだけ修正バッチを入れて回ったけど、修正バッチを当てて
いないPCがたくさんあるのに他の部署でもsasserの被害はなかった。

今日のPC関連の事件
 Netsky.Qに感染したから助けてくれ
 GW中にクリーンインストールしたから設定し直してくれ

なんか拍子抜けしてしまった・・・。

23 :名無しさん@お腹いっぱい。:04/05/06 21:20
♪エーッサ エーッサ エッサホイ Sasser オサル ノ ワーム ダ ホイ Sasser(゚∀゚)アヒャヒャ

24 :名無しさん@お腹いっぱい。:04/05/06 21:20
>>17
プロパがポート閉じたから。
残念だったね。

25 :17:04/05/06 21:24
そう鴨。
でもメールウイルススキャンサービスとかはやっていない。
単にトラフィックの問題か

ネ申、待っております

26 :名無しさん@お腹いっぱい。:04/05/06 21:38
>>25
だから今回のはメールは関係ないと何度言えば...

27 :名無しさん@お腹いっぱい。:04/05/06 21:41
今日取引先(年商5億程度)に顔を出したら「おぉ○○君!キミィパソコンに詳しいらしいな」
と社長室へ引っぱっていかれ、「調子が悪いんだコレ、すぐ落ちるんだなんとかならんか」

そりゃあれでしょとPCの前へ・・・・・・・( ̄− ̄;)??「あのうアンチウイルスソフトは?」と聞けば
「なんだねそれは?」(゚Д゚)・・マジィ? 女の子にVBを買いに走らす間にバッチファイルをと・・・・

フト画面に怪しげなフォルダアイコンショ-トカットハッケーン・・・・チョット覗いちゃお・・・・・・・Σ( ̄■ ̄;)

燦然と輝く「winny」「極窓」「BDBZM」 etc 「な!なにをやっとんじゃこのオッサ-ンは?」

(−_−;)取り引き止めようと正直オモタ・・・・・・・タブン「キンタマ」にも感染してるだろうしry

28 :名無しさん@お腹いっぱい。:04/05/06 21:41
うちポート19677に1時間当たり100回くらいアクセスあってるんだけど。。。
これってサッサは関係ないよね?

29 :名無しさん@お腹いっぱい。:04/05/06 21:45
>>27
ワロタ

30 :名無しさん@お腹いっぱい。:04/05/06 21:48
今田に445がバコバコ来てまつ。
昨夜からテレビニュースで騒いでいたけど、世間ではルータ・FWなどのポート管理が
行届いてきてるし、パッチが出れば意味判らずとりあえず即アップデート、ADSL使って
いる個人は黙っていても初期値でポートはクローズ。
とりあえず、何もなかったという事でよろしいでつか?

31 :名無しさん@お腹いっぱい。:04/05/06 21:49
>>27
ほんとのようなうその話であってくれw

32 :名無しさん@お腹いっぱい。:04/05/06 21:49
狭い世間だこと

33 :17:04/05/06 21:52
>>26
今回のウイルスはメール蔓延型ではないのは、承知しております。
ISPがウイルス対策に無頓着な例として挙げたまでです。

誤解を招きやすい発言をしてしまった点、お許し下さい

34 :名無しさん@お腹いっぱい。:04/05/06 21:58
>>17は何がしたい?
ソースコードの入手か?

35 :名無しさん@お腹いっぱい。:04/05/06 22:01
>>33
まだ ペキカン に勘違いしてるような… ハァ〜
ISP は、インターネット接続環境を提供して報酬を得る所だ。

36 :17:04/05/06 22:14
本体っす

37 :17:04/05/06 22:15
スマソ、本体のバイナリです

38 :名無しさん@お腹いっぱい。:04/05/06 22:17
>>30
出た〜!マジスカ。
http://www.asahi.com/business/update/0506/081.html

39 :名無しさん@お腹いっぱい。:04/05/06 22:20

2004/05/06 22:17:50通信の要求221.232.16.29TCP(80)
2004/05/06 22:17:30ポートスキャン219.164.150.101TCP(445)
2004/05/06 22:17:30通信の要求219.164.150.101TCP(445)
2004/05/06 22:16:12ポートスキャン219.164.42.10TCP(445)
2004/05/06 22:16:12通信の要求219.164.42.10TCP(445)
2004/05/06 22:13:49ポートスキャン219.164.84.179TCP(445)
2004/05/06 22:13:49通信の要求219.164.84.179TCP(445)
2004/05/06 22:12:12ポートスキャン219.164.136.230TCP(445)
2004/05/06 22:12:12通信の要求219.164.136.230TCP(445)
2004/05/06 22:11:26ポートスキャン219.164.98.111TCP(445)
2004/05/06 22:11:26通信の要求219.164.98.111TCP(445)
2004/05/06 22:09:15通信の要求219.164.77.220UDP(137)
2004/05/06 22:09:09ポートスキャン218.47.58.56TCP(445)
2004/05/06 22:09:09通信の要求218.47.58.56TCP(445)
2004/05/06 22:09:03ポートスキャン219.164.74.225TCP(445)
2004/05/06 22:09:03通信の要求219.164.74.225TCP(445)
2004/05/06 22:08:56ポートスキャン219.164.200.57TCP(445)
2004/05/06 22:08:56通信の要求219.164.200.57TCP(445)

来てる来てる〜

40 :名無しさん@お腹いっぱい。:04/05/06 22:21
Blasterほどじゃないね
あれのインパクトは凄かった

41 :名無しさん@お腹いっぱい。:04/05/06 22:27
ルータ入れて445やら135やらは塞いで当然でしょ、って人にはまったく関係ない
対岸の火事だね。

42 :名無しさん@お腹いっぱい。:04/05/06 22:32
火事は飛び火が一番怖いんだよ

43 :名無しさん@お腹いっぱい。:04/05/06 22:33
これだけ騒がれていながら127社がやっちまったとは驚いた。

44 :名無しさん@お腹いっぱい。:04/05/06 22:34
盛り上がらないねぇ。
ちょっとドキドキしながら出社したのに。

45 :名無しさん@お腹いっぱい。:04/05/06 22:57
なんか2869から大量に来てる・・・・サッサーと関係ないよね・・・・

46 :名無しさん@お腹いっぱい。:04/05/06 23:05
>>39
 お前のうちは第一オクテットが219が大半ですね
 うちは220がほどんどです。
  portは、2745、1025、3127、80、6129、3410
  1433、5000 というパターンが多いですね。

47 :名無しさん@お腹いっぱい。:04/05/06 23:12
今朝sasserのcに感染したんですけど、その瞬間に
メリーさんの羊の音楽が流れたんですが、何か意味が
あるんでしょうか?

48 :名無しさん@お腹いっぱい。:04/05/06 23:16
sasserに1300ファイル以上もヤラれてた私はどんなですかね?

49 :名無しさん@お腹いっぱい。:04/05/06 23:24
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

Kerio Personal Firewall 4

・「システムセキュリティ」というプログラム起動を監視する機能により、
 キンタマウイルス http://www.symantec.com/region/jp/sarcj/data/w/w32.antinny.k.html
 などのアイコンを偽装したEXEファイルをクリックしても警告が出て感染を防げる
 (玄人向けで有料だがTiny5でも防げる。
  Sygate・Zone Alarmには似たような機能があるが防げない。
  Outpost・Kerio2・ノートン・バスター・マカフィー・ウイルスセキュリティに至っては類似機能もない)

・現時点では日本語化できない
・2バイト文字には対応していない
・Kerio2よりはわかりやすく、Zone AlarmのようにYES/NOだけでもいけるし
 kerio2のように詳細ルールも作れる
・SPIとIDS、トロイ対策のDLL監視機能もある(広告ブロックは有償版のみ)
・Outpostなみに軽い
http://pc2.2ch.net/test/read.cgi/win/1077780039/233

●「Firewallと森で遊ぼう」Kerio Personal Firewall 4解説サイト
http://eazyfox.homelinux.org/Firewall/Kerio/Kerio41.htm

●Kerio Personal Firewall 4のログビューア
http://www.geocities.jp/masagooooool/

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

50 :名無しさん@お腹いっぱい。:04/05/06 23:25
/////////////////////////////////////////////////////////////////

System Safety Monitor(SSM)

・リアルタイムでシステムの活動をモニターし、常駐させればKerio4のようにHTMLからのexe起動を含め、
 キンタマウイルス http://internet.watch.impress.co.jp/static/index/2004/04/09/antinny.htm
 などの(ルールが)未決定のアクションを防げる(PFWではない)

・無料
・日本語化できる
・レジストリキーの変更も監視できる

●SSMヘルプ翻訳テキスト+HTML配布サイト
http://www.geocities.co.jp/Outdoors-Mountain/9671/ssm/

/////////////////////////////////////////////////////////////////

51 :名無しさん@お腹いっぱい。:04/05/06 23:26
ウイルスバスター2004
圧縮ファイルもリアルタイムで監視可能だが、ONにすると重すぎ
FWレベル高にしないとアプリごとの制御ができない等、おまけ程度
スパイウェアの検出をするが削除は出来ない
迷惑メール検出の判定精度が悪い上に検出しても件名に[MEIWAKU]と付けるだけで意味がない
ユーザー登録しないとウィルス定義をUPできないので不正コピーユーザーは少ない
http://www.trendmicro.com/jp/products/desktop/vb/evaluate/features.htm

FWがしょぼい代わりに不具合が少ないバスターとFWにいろいろと機能が付いてる
代わりに不具合大盛りなNISって感じかな。
どちらもアンチウイルス機能自体には文句が出ないのは例年通り。

http://pc3.2ch.net/test/read.cgi/sec/1067918099/321

52 :名無しさん@お腹いっぱい。:04/05/06 23:27
445たたきにこないな・・・3〜5分に一回くらいの割合。
同一プロバからも来てるんでポートふさいでるって感じじゃなさそうなんだけどね。

ひょっとしてblasterの時みたいに亜種が原種つぶして回ってるとかないヨナ?
16060へのアクセスが入れ替わりに増え始めてるのがちょいと気になる。

53 :名無しさん@お腹いっぱい。:04/05/06 23:27
901 名前:900[sage] 投稿日:04/04/02 22:14
アンチウイルスソフト検出力結果報告(・∀・)

ANTIDOTE / avast! 4 / AVG / AntiVir / BitDefender / eTrust
◇ウイルス
EBCVGにてBinary VirusesとVirus codesを合計722ファイル(重複あり)
全てzip圧縮に変換
Linux/Macウイルスあり
◇アンチウイルスソフト
4/2 18:00頃の最新パターン適用
比較対照としてトレンドマイクロオンラインスキャンを使用・・・したかったけど結果悪いのでBitDefenderを基準に

☆結果 (検出数/検出率)
BitDefender (*1) 580  100.0%
AVP (*2) 545  93.97%
Trend Micro 539  92.93%
Antidote (*3) 524 90.34%
avast!4 (*4) 470  81.03%
eTrust (*5) 444  76.55%
AVG (*6) 212  36.55%

*1 懐疑ファイル13含む
*2 懐疑ファイル2含む
*3 コード解析/圧縮ファイル/詳細検索にチェック。詳細検索にチェックを入れない場合は520。なお懐疑ファイルはどちらも3。
*4 迅速な検査=261  標準検査=286  完全な検査=470
*5 Heuristic有効。SafetyLevel → Reviewer   ScanningEngine → InoculateIT
*6 Heuristic有効。

AVGの検出率が悪すぎる。何かおかしい気が・・・(・∀・)?
【cool】BitDefender Free Edition【free】
http://pc3.2ch.net/test/read.cgi/sec/1029516867/901

54 :名無しさん@お腹いっぱい。:04/05/06 23:28
>>35
んだなっす。
ブラジルのISPで、認証鯖(AUTH)から攻撃を受けたっす。
んで、調べたらホトンド無防備の鯖だったっす。
港が、パスポート無しだったっす。
メル云々つーより、感染ルート複雑で攻撃もレインボー戦隊並のDoSでし。

防ぎ切れているけど、アクセスログの流れを見ていたらダリだって鬱になっちまいやす。


55 :名無しさん@お腹いっぱい。:04/05/06 23:28
802 名前:Bitスレ901[sage] 投稿日:04/04/04 19:02
BitDefender(以下BD)が全てのウイルスを検出したわけではないです。
BDが検出したウイルス数の580を100%として出した結果です。
要するにAVGだとBDの37%ということです。

誤解してる人がいるかもしれないので念のため。

※AVGの検出は悪すぎたので"3回再インスト&4回検査”してます。
 で、結果は全て同じ(゚д゚)

非圧縮時の検出率を知りたい人は適当にウイルス集めて試してください(´・ω・`)

【フリー】AVG Anti-Virus Version15
http://pc3.2ch.net/test/read.cgi/sec/1079833302/802

56 :名無しさん@お腹いっぱい。:04/05/06 23:29
831 名前:名無しさん@お腹いっぱい。[sage] 投稿日:04/04/05 01:03
去年(031207)同じようにやった結果

定義ファイル、プログラムは当時最新
圧縮なんかの設定はebcvgから落としてきたまま(rar,zip,b64)
ただしほとんどはzipだから誤差は少ないと思う

Antidote (*1) 549 100.00%
eTrust (*2) 537 97.81%
BitDefender (*3) 502 91.44%
avast!4 (*4) 484 88.16%
AVG (*5) 366 66.67%

*1 コード解析,圧縮ファイル,電子メール, 懐疑5
*2 設定が多いから略。たぶん最高
*3 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
ただしvirus bodiesは584, 懐疑22
*4 圧縮ファイル
*5 圧縮プログラム 圧縮ファイル, メール, ヒューリスティック
(一応どれも設定は最高にしてやったつもり)

>>731と見比べると向こうはBitdefenderの検出数をvirus bodiesで
数えてるんじゃないかと思う。
おれはIdentified virusesが検出数だと思うから上はそっちを採用してる。

AVGの検出が悪いのはたぶん設定の問題。でも良くはない
むしろ>>742と同じような結果だから、AVGの検出力はこんなもんだと思ってる。

【フリー】AVG Anti-Virus Version15
http://pc3.2ch.net/test/read.cgi/sec/1079833302/831

57 :名無しさん@お腹いっぱい。:04/05/06 23:30
BitDefender(フリーの最新版)
・リアルタイムスキャンできない、メールスキャンできない
・まだ日本語化できない、2バイト文字のファイルでも検出可能
http://ringonoki.net/tool/antiv/bitdef.html

AntiVir(フリー版)
・リアルタイムスキャンできる
・メールスキャンできない(常駐オンでread and write時有効な場合、添付ファイルを選択すればチェックできる)
・まだ日本語化できないに等しい
http://eazyfox.homelinux.org/SecuTool/AntiVir/AVguard1.htm

avast! 4(フリー版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語版がある、2バイト文字に対応
http://iso-g.hp.infoseek.co.jp/alwil/avast_home/avast_home.html

eTrust(フリーのプロモーション版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
・導入時に修正パッチをインストールするのがめんどう
http://etavfp.hp.infoseek.co.jp/

AVG(フリー版)
・リアルタイムスキャンできる、メールスキャンできる
・日本語化できる、2バイト文字に対応
http://eazyfox.homelinux.org/SecuTool/AVG6/AVG61.htm

58 :名無しさん@お腹いっぱい。:04/05/06 23:40
このスレハ
コピペばかりかw

59 :名無しさん@お腹いっぱい。:04/05/06 23:45
Sasserを防ぐために必要なパッチを適用すると不具合が発生
http://internet.watch.impress.co.jp/cda/news/2004/05/06/2997.html

今回も笑わせるな、MSは。もうね、アフォかと。

60 :名無しさん@お腹いっぱい。:04/05/07 00:02
笑うなぁ!!

61 :名無しさん@お腹いっぱい。:04/05/07 00:09
とりあえず、XPで >>59 の不具合が出るのは、EMFファイルが表示されない
だけだよな?パッチ当てたいけど、何か怖くなってきたよ…(´・ω・`)

62 :名無しさん@お腹いっぱい。:04/05/07 00:16
>52
外部からのアクセスは弾いても、自分のネットワーク内部は放置状態
で内部で増殖しまくりなプロバイダも多いよ。うちが加入してる某ニフ系
のケーブルとか・・・

63 :名無しさん@お腹いっぱい。:04/05/07 00:17
W32.Sasser.C.Worm

↑自分のPCをシマンテックでオンラインスキャンしたらこんなのが・・・。
しかも50個位、XPです。一昨日までサッサーA,Bにかかってましたが・・・。

W32.Sasser.C.Worm
ウィルス名:
W32.Sasser.C.Worm

別名:


感染場所:


性質:


工エエエエェェ(;゚Д゚)ェェエエエエ工なんなのこれぇぇぇ

http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=36332

64 :名無しさん@お腹いっぱい。:04/05/07 00:17
W32.Sasser.C.Worm

↑自分のPCをシマンテックでオンラインスキャンしたらこんなのが・・・。
しかも50個位、XPです。一昨日までサッサーA,Bにかかってましたが・・・。

W32.Sasser.C.Worm
ウィルス名:
W32.Sasser.C.Worm

別名:


感染場所:


性質:


工エエエエェェ(;゚Д゚)ェェエエエエ工なんなのこれぇぇぇ

http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=36332

65 :名無しさん@お腹いっぱい。:04/05/07 00:24
>>43 釣りにしてはネタが古過ぎ。(最近の若い衆は知らんだろ)w

66 :65:04/05/07 00:25
×>>43
>>47
スマソ。

67 :名無しさん@お腹いっぱい。:04/05/07 00:27
うぷだてしにいっても、サッサに関するファイルっぽいので特にインストールしなさいと言われるものがないのですが
もう既にインストールされてると考えてよろしいのでしょうか?
4月半ば頃に緊急を要するアナが見つかったといわれたときにうぷだては済ませてあるのですが、この時期のうぷだてがサッサに関するものだったのでしょうか?

68 :名無しさん@お腹いっぱい。:04/05/07 00:29
>>63
です、サッサーCについて載っているところがありました、
スレ汚しスマソ。

69 : :04/05/07 00:30
PC起動後すぐに強制終了されちまうんで
手の施しようがなく初期化したよ。

70 :名無しさん@お腹いっぱい。:04/05/07 00:36
マイクロソフトの感染判断で「感染既往なし」て出たけど
シマンテックのHP入れないしノートン立ち上げるとフリーズするし…
Windows updateもうまくいかない。もう寝る。

71 :名無しさん@お腹いっぱい。:04/05/07 00:36
>>69
セーフモードで起動すれば良かったのでは?

72 :名無しさん@お腹いっぱい。:04/05/07 00:39
>>69
あなたのキーボードにはF8キーがないのですか。

73 :名無しさん@お腹いっぱい。:04/05/07 00:57
再せとうpすろほどでも無いと思うが、
一旦ウィルスに犯された環境ってのも
気味悪いからな。


74 :名無しさん@お腹いっぱい。:04/05/07 01:07
>>47
メリーさん・・・
4,5年ぐらい前だったか?

75 :名無しさん@お腹いっぱい。:04/05/07 01:31
メリージェーン オン マイ マインドォ〜

76 :名無しさん@お腹いっぱい。:04/05/07 01:31
つのだひろ から一言↓

77 :名無しさん@お腹いっぱい。:04/05/07 01:31
で、おまいらの会社ではどうだったのよ。

78 :名無しさん@お腹いっぱい。:04/05/07 01:33
花火を打ち上げてくれたりハッピーバースデーを歌ってくれたり
昔のは親切だったよな。

79 :名無しさん@お腹いっぱい。:04/05/07 01:47
http://www.symantec.com/region/jp/sarcj/data/y/yankee_doodle.html
メリーさんとはこれのことかな?Win3.1以前のウイルスみたいだけど…

もう、おまえらなんか年季入ってますね。

80 :名無しさん@お腹いっぱい。:04/05/07 01:49
>>67
そうです。
ちゃんと予防できたわけで、
はっきり言って感染したやつぁマヌケです。

81 :名無しさん@お腹いっぱい。:04/05/07 01:57
芋虫や救急車が表示されています!
これはSasserですか!

82 :名無しさん@お腹いっぱい。:04/05/07 02:04
>61
DLT(バックアップ用テープドライブ)で死ぬと聞いて
DATは大丈夫なのかとガクブルしながらサーバに当てた俺には
イラレのEMFがOfficeで表示されない、なんてのは些細なことだ
(想定されるシナリオ:うっは失敗→テープから戻すか→うっはテープ見えねぇ)。

あとNT4限定でマルチプロセッサ構成だとシングルプロセッサカーネル突っ込まれて
STOPエラーで起動しなくなるとか、2000限定でOracle起動しなくなるとか
サーバが結構やばい。

83 :名無しさん@お腹いっぱい。:04/05/07 02:17
"0x00900090"の命令が"0x00900090"のメモリを参照しました。
メモリが"read"になることはできませんでした。
プログラムを終了するには[OK]をクリックしてください
プログラムをデバッグするには[キャンセル]をクリックしてください

         [OK]   [キャンセル]

いやー最初出たときはなにかまちがって重要なファイルのひとつも
アンインスコしちゃったかと思ったわ

84 :名無しさん@お腹いっぱい。:04/05/07 03:11
MS04-011(835732)の地雷
・Oracle起動せず(2000)
http://support.oracle.co.jp/open/owa/external_krown2.show_text?c_document_id=81950&c_criterion={835732}
・マルチプロセッサだとSTOPエラーで起動せず(NT4)
http://support.microsoft.com/?kbid=841384
・DLT(テープ)やIPSecを使っていると起動しない
http://support.microsoft.com/?kbid=841382
・AdobeのIllustratorで作成したEMFが表示できない
http://support.microsoft.com/?kbid=840997

85 :名無しさん@お腹いっぱい。:04/05/07 03:23
今度のやつはタイマーはないんだよな?
なら長引くかもな。



86 :名無しさん@お腹いっぱい。:04/05/07 04:17
Blasterを超えたワーム「Sasser」 - 駆除ツール装うワームにも要注意
http://pcweb.mycom.co.jp/news/2004/05/06/006.html

シマンテックの担当者の取材記事ですが、「Blasterを超えた」というのは
出現後5日間の感染報告数だそうです。
Lsass.exeがクラッシュするのはウイルスのバグかもしれないとか。

87 :名無しさん@お腹いっぱい。:04/05/07 05:08
http://www.mainichi-msn.co.jp/it/network/news/20040506org00m300128000c.html
日本ネットワークアソシエイツによると、午後5時半現在、被害は127社、581台に上っている。
加藤義宏技術統括本部長は「世界では30万〜100万の被害が想定されているが、
日本ではウィンドウズNT、ME、98の企業ユーザーが以前多く、爆破的な感染はないとみているが、
亜種の発生が早く、ここ2日ぐらいは注意が必要だ」と話している。

88 :名無しさん@お腹いっぱい。:04/05/07 05:21
4時前からPCをつけているが、今朝はICMPが多いな。半分ぐらいある。
残りもほとんどが445への攻撃。
昨日に比べるとSasserCか何かが活性化している気がする。

89 :名無しさん@お腹いっぱい。:04/05/07 08:58
学校の実習室でリブートを繰り返す数十台のPC。
シュールだ。

休講になった。昨日。

90 :名無しさん@借金いっぱい。:04/05/07 08:59
>>83
親戚の叔父さんに「パソコン動かなくなったから来てくれ」って言われ
いってみたら、>>83 のエラー出ましたよ。
PCは1ヶ月前に買ったばかりで、ダイヤルアップの10時間コースでやってるみたいだ。
繋げた瞬間に カウントダウン 始まっちゃうんだもんなー。
俺自身もPC初心者なんですが、初めて自分でCD−Rに書き込んだ。(駆除するやつとWINのやつ)
叔父さんはまだ一回もアップデートしたことないようです。
ダイヤルアップ+FW・ウイルス駆除ソフト無し・・・・・・・・。
  
初心者でもウイルス駆除の勉強が出来るお勧めサイトは何処? ココ?


91 :名無しさん@お腹いっぱい。:04/05/07 09:01
セキュリティ初心者質問スレッドpart40
http://pc3.2ch.net/test/read.cgi/sec/1082207307/

92 :MS04-011情報更新:04/05/07 09:06
セキュリティ情報 MS04-011
http://www.microsoft.com/japan/technet/security/bulletin/MS04-011.asp
今回の更新内容 2004/05/05
=========================
「LSASS の脆弱性」の回避策 - CAN-2003-0533:
・ %systemroot%\debug\dcpromo.log という名前のファイルを
読み取り専用の属性で作成します
ファイルの作成には、次のコマンドを実行してください。
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
注意: この回避策により、脆弱なコードが実行されなくなるため、
もっとも有効な回避策です。
この回避策はあらゆる攻撃を受けやすいポートに送信される
パケットに対して有効です。

- Sasser ワームについてのお知らせ
http://www.microsoft.com/japan/security/incident/sasser.mspx

93 :名無しさん@お腹いっぱい。:04/05/07 10:01
http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

>ファイアウォールで、以下の項目をブロックする
>UDP ポート 135、137、138、139、445 および TCP ポート 135、138、139、445、593
>1024 を越えるポートで、使用されていない入力ポート
>上記以外の、RPC のために設定しているポート

が最強じゃない?

94 :名無しさん@借金いっぱい。:04/05/07 11:10
MS04-011 のインストール後にコンピュータが応答を停止、ログオン不可、
CPU 使用率 100% の現象が発生する

コレはXPでは関係ないんですよね? WIN2000 だけですよね?


95 :名無しさん@お腹いっぱい。:04/05/07 11:24
>>94
さあ?Microsoftはそう言ってるけどXPでも滅茶苦茶に
なった人をちらほら見かけるよ。
2000でもMicrosoftが公表している以外の不具合が出たという
情報もあるし。
今回のような地雷パッチ以外の通常のパッチでも不具合は起こり得るから
XPに関して何とも言えないね。

96 :名無しさん@お腹いっぱい。:04/05/07 11:24
>>94
                         /⌒〜Y⌒"""ヘ   ヘ∨ ∨
                         /⌒/   へ    \|\
            /           /  /   /( ∧  ) ヘ ヘ      
           く           // ( /| | V )ノ( ( (  ヘ\   教  て
    ┘/^|    \         (  | |ヘ| レ  _ ヘ|ヘ ) _ヘ    し  め
    /|   .|              |  )) )/⌒""〜⌒""   iii\   え  |
     .|  α  _          ヘ レレ  "⌒""ヘ〜⌒"  ||||>   て  |
          _∠_       イ |  |  /⌒ソi   |/⌒ヘ  <    や  |
     _     (_        ) ヘ  | ‖ () ||  || () ||  _\   ん に
     /               (  ) ヘ |i,ヘゝ=彳  入ゝ=彳,i|\    ね  は
    /ー               ( /  """/   ー""""   >   |
      _)   |          ヘ(||ii    ii|||iiii_/iii)ノヘ|||iiiii<    !!!!! 
          |          ( ヘ|||||iiii∠;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;;     フ  
    /////   ヘ_/       ) ヘ|||""ヘ===二二二===7フ / ム/∧ ∧ ∧
    /////              (  | ii  | |LL|_|_LLL// |    )( ∨| ∨)
   ・・・・・                ) )| || | |||||||||||||||||||||||| | |   ( ヘ | ヘ ) (
          ___        | | /| .| |||/⌒/⌒ヘ | | |  iiiiヘ ( | ( | /
            /         / (|.| | |       | | |  iii  ) | ヘ )( )
            (          ( /..|  | |_____/ | |  iii  ( )( // /
            \         ) )..|  |ヘL|_|_L/ / /  ,,,,--(/Vヘ)(

97 :95:04/05/07 11:25
>>96
残念。

98 :名無しさん@お腹いっぱい。:04/05/07 11:26
>>93
ブロードバンドルータでもADSLのルータタイプモデムでも、
その辺はデフォルトで双方向閉じてるよな。
NATを越えて突入してくる天才的ワームでもないし。
>>90の叔父さんみたいに初心者はやられまくるだろう。
ダイヤルアップやフレッツ接続ツールで直結だと一瞬で逝っちゃうのね。

99 :名無しさん@お腹いっぱい。:04/05/07 11:57
MS箱入りやOEMのW2kSP4なら比較的問題は少ない(イラレが
トラブるくらい)が、古いSP1やSPなしへアップデート重ねていくと
導入の順序や途中で抜かしたパッチなどによって完全迷路状態。
誰にもどういう状態でどういう問題が出るか把握できない。

ルータを入れて適切に設定してからクリーンインストール、Windows
Updateで全パッチをインストールというのがいちばんトラブルが少
ないはず。(ダイヤルアップじゃお手上げだが…)


100 :名無しさん@お腹いっぱい。:04/05/07 12:03
みんなADSLモデムのパケットフィルター設定使ってないの?

おれNV使ってるけど、パケットフィルターでエントリーはあるけど適用(チェ
ックされていない)14〜18番を適用するだけでSeaserみたいにファイル共有狙
って感染するウイルスは予防できるんだけどなぁ〜。

「また、エントリ14〜18番を適用すると、NetBIOS等による意図しないADSL側
への情報漏洩を防止することができます。」(NV機能詳細ガイドより)

101 :名無しさん@お腹いっぱい。:04/05/07 12:06
俺のMN-IIのような「ただのモデム」じゃあどうしようもないよな。

102 :名無しさん@お腹いっぱい。:04/05/07 12:09
>>92
なるほど。ただのテキストファイルで、中身はdcpromoという一行だけ。
こんなお呪いがSasser避けになるとは玄妙w

だれか効果試してみたかや?


103 :名無しさん@お腹いっぱい。:04/05/07 15:03
凄まじい勢いで火壁のログがたまっていくw
連休明けて一気に増えたね。

104 :名無しさん@お腹いっぱい。:04/05/07 15:36
>99
ルータ導入済みなら最新版SP適用済みのインスト用CD-R作ればいいだけの話。

Windows 2000 Proを安定させるインストール順序
ttp://pc5.2ch.net/test/read.cgi/win/1037443199/
↑参照。

つか無印2000でも普通にSP4落としておいてオフラインで適用すればいいだけ
な気も・・・
Windows UpdateでSPからその後のセキュリティパッチやら諸々を一気に
うpだてする方が不具合出そうで怖い。

105 :名無しさん@お腹いっぱい。:04/05/07 15:38
>>103
確かに…
破壊活動が無いので対策されず
かなりの台数が潜航して放置されてるようだ。

106 :名無しさん@お腹いっぱい。:04/05/07 16:04
今HP見れなくて困ってるんですがプロセス消したらHPは見れるようになったのですがLiveUpdateには繋がらずシマンテックも数秒で見れなくなりました
再セットアップしても ノートン2004のウイルス定義更新が完了前に侵入されそうなのですが大丈夫でしょうか? FTTHで終端端末装置直結です。 携帯から見れるサイトありませんか_| ̄|○

107 :名無しさん@お腹いっぱい。:04/05/07 16:11
>>106
コマンドプロンプトで↓をコピペしてリターンキーを押せ。

echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log


108 :名無しさん@お腹いっぱい。:04/05/07 16:12
ポート445拒否にしていたと思ったら許可にしてあった・・・・・ウツダシノウ

109 :名無しさん@お腹いっぱい。:04/05/07 16:16
>>106
つかネットワーク接続でファイル共有削除してから接続すればとりあえ
ず感染はしないだろ。

110 :名無しさん@お腹いっぱい。:04/05/07 16:27
指定されたパスがみつかりません と表示されました_| ̄|○

111 :名無しさん@お腹いっぱい。:04/05/07 16:41
タイプミスでした アクセスが拒否されました

112 :名無しさん@お腹いっぱい。:04/05/07 16:42
全然ポートスキャンされん。
プロバに落とされてるのかな?
port135と137ばっか

113 :名無しさん@お腹いっぱい。:04/05/07 16:42
>>110
echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
メモ帳にこぴぺして dcpromo.batという名前で
C:\に保存。エクスプローラから実行。

114 :名無しさん@お腹いっぱい。:04/05/07 16:59
>>113
成功しました
HPも繋がるようになったので修正ファイル適用できます
ありがとうございました

115 :名無しさん@お腹いっぱい。:04/05/07 17:59
まさかとは思いますが修正ファイル適用後再起動さたらXPが起動しなくなりセットアップCDも受け付けなりました_| ̄|○ NTLDR is missing Pleas Ctrl+Alt+Del to restart

116 :名無しさん@お腹いっぱい。:04/05/07 18:11
>115
起動ロゴを変えてないか?

117 :名無しさん@お腹いっぱい。:04/05/07 18:19
わからないので今CDで修復中です_| ̄|○

118 :名無しさん@お腹いっぱい。:04/05/07 18:23
ガンガレ!!

119 :名無しさん@お腹いっぱい。:04/05/07 19:01
>>116
昔、起動ロゴ変えたら起動しなくなって痛い目を見たなあ。

120 :名無しさん@お腹いっぱい。:04/05/07 19:29
乙、
5月1日から
送った覚えのないアドレスから「Delivery failure」(行き先不明)ってタイトルでメールが戻ってきてるんだけど
これって俺のアドレスを持ってる香具師が感染して俺のアドレスでメール送りまくってるわけ?

毎日300件送った覚えのないメールが戻ってくるんだけど
ちなみにマシンはMAC…

121 :名無しさん@お腹いっぱい。:04/05/07 19:37
XPなんですが、どうやったら感染防げるんですか?
良かったらやり方教えてください!!・・・初心者です。


122 :名無しさん@お腹いっぱい。:04/05/07 19:42
>>120鼬飼い
>>121スレ違い

あとは自分で探せボケ

123 :名無しさん@お腹いっぱい。:04/05/07 19:47
>>122
板違いとは主湾が
頭のない無駄レスすけんなチンカス

124 :名無しさん@お腹いっぱい。:04/05/07 19:50
>>121
1、4月のWindowsUpdateが実行されているかどうか
2、簡易ファイアーウォールがONにしてあるかどうか
3、ルーターまたはルーター機能付きのモデムを使用しているかどうか
4、アンチウイルスソフトは最新か

で違う。書いている事が全くわからないなら、本屋へ直行して適当な雑誌なり
入門書を購入し、あらかた読んでから質問。

2、3、が丸で、1、がまだなら、とりあえずWindowsUpdateを実行する事。



125 :ひよこ:04/05/07 20:00
サッサーにびびりマイクロうPデートしたけどPCの立ち上がり遅くなりません?

126 :名無しさん@お腹いっぱい。:04/05/07 20:37
>>125
アップデートした直後の起動だったら、遅くなっても不思議じゃないぞ。
それ以降毎回起動が遅いのなら地雷踏んだと見てほぼ間違いないと思うが。

127 :名無しさん@お腹いっぱい。:04/05/07 21:09
ttp://www.cyberpolice.go.jp/important/2004/20040507_195408.html
■Sasser.Dワームの概要について(5/7)                           <2004/05/07>

                                               平成16年5月7日
                                               警   察   庁
Sasser.Dワームの概要について

 警察庁では、5月3日にお知らせしましたWindowsに存在するLSASSの脆弱性(MS04-011)を悪用し感染
拡大するSasserワームに関連し、その亜種であるSasser.Dワームについて検証を行いました。
 Sasserワームの概要と検証結果については、 Sasser.Dワームの概要(リンク先はPDFファイルです。) 
をご覧ください。
ttp://www.cyberpolice.go.jp/detect/pdf/H160507sasserd.pdf

ttp://www.cyberpolice.go.jp/important/2004/20040507_194740.html
■ICMPトラフィックの増加について(5/7)                           <2004/05/07>

                                               平成16年 5月 7日
                                               警    察    庁
ICMPトラフィックの増加について

 5月7日現在、警察庁では、5月4日からICMPトラフィックの増加を検知しています。警察庁において、
W32.Sasser.Wormの亜種であるW32.Sasser.D.Wormと呼ばれるワームを解析したところ、同ワームは感染
活動を行う際、ICMPエコー要求を送出することが確認されています。したがって、今回のICMPトラフィック
の増加は同ワームの活動に起因するものと推測されます。
 ICMPトラフィックの増加状況(リンク先はPDFファイルです。)
ttp://www.cyberpolice.go.jp/detect/pdf/H160507icmp.pdf

128 :名無しさん@お腹いっぱい。:04/05/07 21:32
>>125漏れも万が一に備えうpdate施行したのだが…(ちなみにWin2000Professionalユーザー)
うpdateってMS04-011のセキュリティ修正プログラムとは別だよね?

129 :名無しさん@お腹いっぱい。:04/05/07 21:39
>128
もうPC使うの止めた方がいいよ・・・

130 :名無しさん@お腹いっぱい。:04/05/07 22:07
>>129
釣られてんのか釣られてあげてるのか

131 ::04/05/07 22:09
トレンドマイクロのtscって駆除できますか?いまいちよくわかりません。

132 :名無しさん@お腹いっぱい。:04/05/07 22:46
>>128
>>131
ぐーぐった方が賢くなれるぞ。

133 :名無しさん@お腹いっぱい。:04/05/07 22:56
Windows うpだた 重くて繋がんない
もっと鯖を増強しやがれゲイシめ!

134 :名無しさん@お腹いっぱい。:04/05/07 22:56
今、サッサーをブロックしました。
バスターのポップアップがでてきました。

135 :名無しさん@お腹いっぱい。:04/05/07 22:58
System Volume Informationってフォルダの中に
Sasser.Cが検出されるんですが、どうやって削除すればいいんでしょうか?
System Volume Informationにアクセスして手動削除しようとしても、アクセス出来ません。


136 :131:04/05/07 23:13
はひ、がんばります

137 :名無しさん@お腹いっぱい。:04/05/07 23:22
>>135
システムの復元を無効にしてから削除

138 :名無しさん@お腹いっぱい。:04/05/08 00:53
>>135
ぐぐろうな。
ttp://support.microsoft.com/default.aspx?scid=kb;JA;309531

139 :名無しさん@お腹いっぱい。:04/05/08 01:10
件名:【Microsoft】 重要なお知らせ:Sasser ワームに関する情報
というメールが来まして、本文には
> <本情報はマイクロソフト株式会社より、
> ユーザー登録いただいたお客様全員に配信しております
となっていましたが

1、メールの発信元がマイクロソフトではない
2、レンタル鯖のメアドの設定していないアドレスに来た
(設定してないアドレスに来た場合使っているアドレスに転送してる)
3、WindowsをOEMで購入していてユーザー登録をしていない

という事を前提として推測すると、発信元がスパム打ってるような
気がして仕方が無いのですがどうなんでしょうか?
そもそもマイクロソフトって他社にそんなメール配信する事を
依頼してるんでしょうか?

140 :名無しさん@お腹いっぱい。:04/05/08 01:35
>>139
そのメールはMicrosoftからのものです。

たまにユーザー登録者全員に送るメールがあるが、そういうメールは他社に依頼してる。
とサイトのどっかに書いてあった。

141 :名無しさん@お腹いっぱい。:04/05/08 01:38
>>139
自分で登録したものぐらい覚えとけ。
しかもWindowsのユーザー登録者とは書いてないだろ。

142 :名無しさん@お腹いっぱい。:04/05/08 01:58
本当のところ、みんなはどの程度さぁ、淳行くん@佐々の実体を掴んでいるの?
MSのサイト見ても今市。シマンテックも混乱してるとおもわれ。
例えばね、NT2000では感染するけどNT2003では感染しない。んで、XPproだと感染する。等々。
マジ判らん。
板の住人のマトメきぼん。

143 :名無しさん@お腹いっぱい。:04/05/08 02:03
あ、2003はサーバだけどね。
それ判って言ってんで、よろしこ。

144 :名無しさん@お腹いっぱい。:04/05/08 02:06
>>140
他社に依頼してる前例はあるということですね

>>141
Windows以外のソフトを含めて、マイクロソフト関係でユーザー登録を
した事は一度もないです。

>>139
> 2、レンタル鯖のメアドの設定していないアドレスに来た
> (設定してないアドレスに来た場合使っているアドレスに転送してる)
と書きましたが、具体的にはinfo@のアドレスにきました。
infoやbizやwebmasterなど辺りを適当に入れてくるスパムが
多々ありますので疑いを持ったわけです。

あとあくまで私の主観ですけど、送信元の会社も怪しい印象でして…


145 :名無しさん@お腹いっぱい。:04/05/08 02:24
>>144
マイクロソフトでない会社から来るというのは怪しい感じがしますが…
レンタル鯖のメアドの方はスパムに限らず、誰かのタイプミスやいたずらの可能性もあるかも…

146 :名無しさん@お腹いっぱい。:04/05/08 02:31
>>141
知りもしないで便乗つっこみやめとけ。
アタマ輪類
カッコ輪類

147 :名無しさん@お腹いっぱい。:04/05/08 02:36
>>144
MSKKのDMは2,3年前から代行業者がやってるよ。
不思議に思うことがあるならe-agnet.jpなりMSKKなりに問い合わせなさい。

148 :名無しさん@お腹いっぱい。:04/05/08 02:38
そうだそうだ (・∀・) !

149 :名無しさん@お腹いっぱい。:04/05/08 03:46
microsoft.jp
から送られてきたメールのどこが怪しい

150 :名無しさん@お腹いっぱい。:04/05/08 03:54
うちに来てるMSのセキュリティ情報メールのアドレスは

差出人 : Microsoft <0_61642_E0076124-5AE5-441F-8B79-BED908308CB1_JP@Newsletters.Microsoft.com>
返信先 : <3_61642_E0076124-5AE5-441F-8B79-BED908308CB1_JP@Newsletters.Microsoft.com>
件名 : マイクロソフト セキュリティ情報 MS04-011 更新

だった。
@より前の部分は毎回違う。

151 :名無しさん@お腹いっぱい。:04/05/08 06:53
ttp://www.cyberpolice.go.jp/important/2004/20040507_195408.html

よくまとめてあります

152 :名無しさん@お腹いっぱい。:04/05/08 13:20
警察庁の分析はSasser.Dについてのものだが、A〜Cにも
基本的に当てはまると思われる。
http://www.cyberpolice.go.jp/important/2004/20040507_195408.html

(要約)
■Sasser.Dの日本語環境における感染状況
 2000 Pro/Server→SPなし〜SP4 →感染しないがリブート(※)
 XPhome/Pro→SPなし〜SP1→感染後リブート
 2003 Server→感染しない

■感染動作
・準備動作 FTPサーバを生成し、TCP port 5554をオープンして待機
・攻撃動作 目標IPをランダムに生成→目標へICPM Echo Request(ping)→
 応答があった目標のTCP port 445に接続→TCP port 9995へexploit
 コード送信→(※日本語Windows2000の場合、この段階でLSASSがクラッシュ、
 マシンはリブートする。感染動作は中断するので感染はしない)→
 準備動作で用意したFTPサーバからport5554を通じてワーム本体を転送

※注 Windows2000の場合、ワームのコードのバグのため、攻撃対象の
LSASSをクラッシュさせてしまう。そのためWin2000システムがOSのシャット
ダウンを行う。しかし感染はしていないのでウィルススキャンしても反応はない。
しかしインターネットに接続して再び攻撃を受ければ、またシャットダウンして
しまうことになる。

153 :152:04/05/08 13:31
補足
★FWでEcho Repyは必ず無効にせよ★

ICMP Echo Reply (pingに対する応答)をFWでステルス(応答を
返さない)に設定するだけで感染は防止できるうえに、ウィルス側
では応答がタイムアウトするまで待つ必要があるので攻撃の速度
を低下させ、無用なpingパケットの輻輳を抑止する効果もある。

FW入れてるマシンではEcho Repyをステルス(無効)に設定
することを勧めます。

154 :名無しさん@お腹いっぱい。:04/05/08 13:35
だからルーターは必須。
ルーターでping止めれば無問題

155 :名無しさん@お腹いっぱい。:04/05/08 14:47
今のXPの標準FWはpingを止めるんだけど、SP2のFWはICMP通すとか
どこかで読んだ気がする。

156 :名無しさん@お腹いっぱい。:04/05/08 16:43
18歳が捕まったらしいね

157 :名無しさん@お腹いっぱい。:04/05/08 17:20
 日本ネットワークアソシエイツは7日、マイクロソフトのウィンドウズXP
などのぜい弱性を悪用する新種ウイルス「サッサー」の被害は依然、
衰えていないと発表した。10日から仕事を再開する企業もあることから、
引き続き警戒が必要としている。

 同社によると、7日午後4時現在、被害企業は前日より70社増え187社、
感染マシン数も450台増え980台と、被害は続いている。亜種別では
「サッサー.C」が最も多く、感染マシンは723台と7割を占めている。
http://www.mainichi-msn.co.jp/it/network/news/20040507org00m300127000c.html

158 :名無しさん@お腹いっぱい。:04/05/08 17:29
>>156 だれ?

159 :名無しさん@お腹いっぱい。:04/05/08 17:29
サッサー容疑者の少年逮捕 ドイツの司法当局
【17:05】【ベルリン8日AP=共同】
ドイツの司法当局は8日、コンピューターウイルス「サッサー」をつくった容疑者として、
高校生の少年(18)を逮捕したことを明らかにした。
http://flash24.kyodo.co.jp/?MID=RANDOM&PG=FLASH

160 :名無しさん@お腹いっぱい。:04/05/08 17:34
Netskyのソースコードに「Skynet」とSasserは我々が作った
みたいなこと書いてたよな?

161 :名無しさん@お腹いっぱい。:04/05/08 17:46
>>160
でもSasserのソースにはそういうおしゃべりはなかったらしい。
それで、あれはNetsky側の言いふらしだとも言われている。
(ITMediaだかで読んだ)

162 :名無しさん@お腹いっぱい。:04/05/08 17:57
凄いな、18歳がsasser作ったのか・・・・脆弱性をつくなんて良く出来たな

163 :名無しさん@お腹いっぱい。:04/05/08 17:59
18歳の男子高校生逮捕、ウイルス「サッサー」製作容疑
2004.05.08
Web posted at: 17:38 JST
- CNN/AP
ベルリン――ドイツ北部、ハノーバーの治安当局は8日、過去1週間、
世界各地で感染が相次いで報告された新型ウイルス「サッサー」の
製作者とみられる18歳の男子高校生を7日に逮捕した、と発表した。
AP通信によると、高校生はドイツ北部の町に居住している。

逮捕に至った経緯などは不明。

コンピューターウイルス対策各社などによると、「サッサー」には「SasserA」
「SasserB」「SasserC」「SasserD」の4種類あり、マイクロソフトの基本ソフト
(OS)「ウィンドウズ2000」「ウィンドウズXP」のほか、ウインドウズ2000と
同2003のサーバを標的にしている。インターネットに接続しただけで、
感染する恐れが出ることなどが特徴。

世界各地でこれまで、数十万規模のコンピューターが感染被害を受けたと
みられている。
http://cnn.co.jp/science/CNN200405080020.html

164 :名無しさん@お腹いっぱい。:04/05/08 18:40
>>162
こういうウィルスの場合たいてい…

爆弾の製造原理を発見する科学者
 →それ見て爆弾の製造方法を書いて発表するヤツ
         →それ見て本当に作って爆発させるバカ

という3段階。最初にセキュリティコンサルタント会社の専門家が
LSASSにセキュリティホールを発見してMSに警告する。MSがパッチ
を作成した時点でコンサルタント会社が論文を公表。それ読んで
クラッカーが実際にセキュリティホールを利用するヒナガタexploit
コードを匿名でアングラサイトに発表する。それを見てバカガキが…

この過程にだいたい1月〜45日くらいかかる。ガキが本式にバカ
だとそこら中でいいふらすから運がよければタイーホになる…



165 :名無しさん@お腹いっぱい。:04/05/08 19:03
>>164
残念賞

166 :名無しさん@お腹いっぱい。:04/05/08 19:29
>>164
( ´・∀・`)へーつまり

ガキが自慢げに友達に話す
    ↓
友達が親に話す
   ↓
噂が充満してくる
   ↓
親が通報
  ↓
タイ━━━━||Φ|(|゚|∀|゚|)|Φ||━━━━ホ!!
   ↓
"(((( ´,,_ゝ`)))) ププッ プルプルッ"

167 :名無しさん@お腹いっぱい。:04/05/08 19:50
いやそれよりありそうなのは…

ガキが自慢げに友達にメール
    ↓
友達が掲示板にカキコ
   ↓
噂がネット充満してくる
   ↓
FBI、CIA、NSAの網にひっかかる
  ↓
タイ━━━━||Φ|(|゚|∀|゚|)|Φ||━━━━ホ!!
   ↓
((((((;゚Д゚))))))ガクガクブルブル


168 :名無しさん@お腹いっぱい。:04/05/08 20:03
>>153
>FWでEcho Repyは必ず無効にせよ
PINGを無効にすると、スキャンやアタックをいきなりあきらめて攻撃を仕掛けてこない場合が多いから、
せっかくFWいれてもログに出ないから、攻撃を防いでいるのを体感できるように
PINGはきらないほうがいいんじゃないの?

169 :名無しさん@お腹いっぱい。:04/05/08 20:56
テレ朝で作者逮捕のニュース見てちょっときてみました。

170 :名無しさん@お腹いっぱい。:04/05/08 21:00
18歳高校生、証言───「もうだめぽ」

171 :名無しさん@お腹いっぱい。:04/05/08 21:58
高校生にも無茶苦茶にされるWindows

172 :名無しさん@お腹いっぱい。:04/05/08 21:58
すげぇ・・・どういう頭してんだろ。
つかこういう子供が作るのは、遊び半分目的?

173 :doneblack:04/05/08 22:14
>>168
LogとれるFW Kerioとか入れればいいじゃん

174 :名無しさん@お腹いっぱい。:04/05/08 22:20
はっきり言って今回の事件じゃサッサー自体の被害よりサッサーのせいで慌てて適用された
MS04-011のバグによる被害の方が大きいと思うぞ。
サッサーはツールで簡単に駆除できるがMS04-011に引っかかったら下手すりゃOSクリーンインストール。

175 :名無しさん@お腹いっぱい。:04/05/08 22:30
いつだかウイルス、厨が友達と感染速度競って作ったって言ってなかったか…w
高校生はきっと年寄りの部類w

176 :名無しさん@お腹いっぱい。:04/05/09 01:53
プライベートアドレスまで対象にするSasser、週明けにも注意を
http://www.itmedia.co.jp/enterprise/0405/08/epn01.html

177 :名無しさん@お腹いっぱい。:04/05/09 02:20
確かに新聞にFAXでの問い合わせ方法だ広告してあったなあ…。

んで不具合修正済みパッチはいつ出るんだろう?

178 :名無しさん@お腹いっぱい。:04/05/09 02:53
少年がSasserワーム製作を自白

ドイツの18歳の高校生がSasserの製作を認めたと警察が発表。
このワームは先週、世界中で推定1800万台のコンピュータに感染し、
シャットダウンやリブートを引き起こしている。
少年は金曜にドイツ北部の町ローテンブルクで逮捕されたが、現在は
保釈されている。
捜査官はいくつかのコンピュータやディスクを彼の家から押収した。
単独犯行と考えられている。
少年の身元は公表されていないが、ドイツの週刊誌シュピーゲルは、
CIAとFBIが捜査に加わっており、容疑者はSven J.という名だとしている。

バージョンの違い

警察のフランク・フェデラウ報道官は「少年は自白し、マイクロソフトの
専門家は彼がこのワームを作ったことを確認した」と述べた。
ドイツの検察当局は土曜遅くに記者会見を予定している。
BBCのトリスタナ・ムーア(ベルリン)によると、警察はこの高校生の
単独犯行であり、大きなネットワークの一部としてやったのではないと
見ているという。
ドイツのIT安全局は、Sasserには4つの亜種があるが、その全部の背後に
この容疑者がいたかどうかは不明だと述べている。
「最初のバージョンは素人っぽかった」が、「他のバージョンは被害の点で
明らかにそれと異なる」とミカエル・ディコプ報道官は述べた。
(後略)

179 :178:04/05/09 02:55
出典を書くのを忘れました。
BBCの記事です。
http://news.bbc.co.uk/2/hi/europe/3695857.stm

※1800万台に感染したというのは大げさに思えるけど、原文のまま。
"estimated 18 million computers"となってます。

180 :178:04/05/09 03:04
CNNの記事。
http://www.cnn.com/2004/TECH/internet/05/08/sasser.arrest.ap/index.html
BBCとあまり変わりません。容疑はコンピュータ損傷で、最高刑は5年とか。
1800万台とは言っていないようですが、台湾では郵便局の3分の1がSasserに
やられたそうです。

181 :名無しさん@お腹いっぱい。:04/05/09 03:06
深夜、わざわざ故意に ダイヤルアップ でつないでみる。また来るかな?(w

182 :181:04/05/09 03:25
来ねぃや(w

183 :名無しさん@お腹いっぱい。:04/05/09 03:54
マイクロソフトから情報 「サッサー」作成容疑者
ドイツの警察当局者は8日、新型コンピューターウイルス「サッサー」の作成容疑者について、
米マイクロソフト社から情報を得たと語った。
http://flash24.kyodo.co.jp/?MID=RANDOM&PG=FLASH
http://headlines.yahoo.co.jp/hl?a=20040509-00000000-kyodo-bus_all
事情聴取後に釈放
http://headlines.yahoo.co.jp/hl?a=20040509-00000360-jij-int

184 :名無しさん@お腹いっぱい。:04/05/09 04:20
ロイターの最新記事です…
http://www.reuters.com/newsArticle.jhtml?type=internetNews&storyID=5080788
■サイバー犯罪捜査史上最大の捕り物となるか

マイクロソフトは…金曜日に逮捕された18歳の男がSasser以外にも
Netskyの亜種28種類を書いた疑いがあると述べた。

土曜日、バーデンヴュルテンベルクで21歳の男が逮捕され、 最初
"Agobot"後で "Phatbot."と命名されたウィルス※を書いたことを
自白した。 (※WORM_AGOBOT.HJ(Trend)=HLLW.Phatbotのこと)

ドイツ警察はこの2人とSkynetグループというハッカー集団との関係
を視野に置いて捜査を進めている。


185 :184:04/05/09 04:32
ロイター■Sasser作者の逮捕は賞金の誘惑
http://www.reuters.com/newsArticle.jhtml?type=internetNews&storyID=5080724
マイクロソフトの主席法律顧問ブラッド・スミス氏が明らかに
したところによると…先週、数人のグループが同社に接触し、
重要なウィルス作者の身元を明らかにしたら賞金が出るかと
尋ねた。同社は有罪となったら賞金を支払うことに同意した。
これらの数人は、技術的分析によって作者を特定したわけで
はなく、個人的に作者と面識があったものである。

186 :名無しさん@お腹いっぱい。:04/05/09 05:11
自慢げに吹聴してたのが裏目に出たってことかな?
なんかいかにも厨房っぽい足のつき方だな。

187 :名無しさん@お腹いっぱい。:04/05/09 07:01
サッサー淳行

このダジャレ、俺が最初か。

188 :名無しさん@お腹いっぱい。:04/05/09 09:05
>>187
釣りだと思うが、メチャンコ既出。

189 :名無しさん@お腹いっぱい。:04/05/09 09:20
>>184-185
面白い記事ですね。まだ捜査の途中なので不明点も多く、Sasserを作った
18歳男がNetskyの28亜種をも作ったという話は、いずれもMSのスミスと
いう人の発言なので、どういう根拠によるのかわからないけど、
もっと大きな背後関係はあるんでしょうね。
Agobotを作ったという21歳男が逮捕に至った経緯も記事では不明ですが、
Sasser男をMSにたれ込んだ数人のグループがこの男のことも知っていた
のか、それともSasser男の家から押収されたPCにメールでもあったのか、
何にしても逮捕の時期が符合しているので関連性はあるように思える。

190 :名無しさん@お腹いっぱい。:04/05/09 09:47
上にあったCNNの記事
http://www.cnn.com/2004/TECH/internet/05/08/sasser.arrest.ap/index.html
更新されていたので、さわりを紹介。Netsky製作も少年が供述したらしい。

マイクロソフトによると情報提供者らは水曜に接触してきて、ワーム作者の
情報を提示した。MSの首席法律顧問ブラッド・スミスによると、同社の調査員
はドイツの捜査当局、FBI、シークレットサービスのエージェントと協力した。

同社は何人の容疑者が浮かんでいるかや、その氏名については明らかに
しないが、ドイツではマイクロソフトのデータプロテクション担当者のサシャ・
ハンケによると、情報提供者らはワームのソースコードを提示して、密告の
確かさを示したという。

「これらの人たちがソースコードを作者から得たことは間違いない」と彼は
ハノーバーで記者に述べた。ハンケはまた、彼が情報提供者らと木曜の夜に
ドイツ北部で面会し、そのとき彼らが作者の名を告げたことを明らかにした。
(略)
少年は当局者に対して、もともとの意図は「Netsky.A」と呼ばれるウイルスを
作ることだったと供述した。このウイルスは「Mydoom」や「Bagle」という
ウイルスと戦い、これを感染したコンピュータから取り除くのだ。その開発
過程で彼はSasserを作った。

「この学生は自分がしたことの結果や損害については何も考えてなかった」
と捜査官の声明は述べている。(訳おわり)

#Agobot男との関係は今のところ出ていないと記事末尾にあり。

191 :187:04/05/09 11:33
>>188
ちぃっ!遅かったかw
ここ来たのMSブラスター以来だったから、トレンドにうとかったぜ。

192 :名無しさん@お腹いっぱい。:04/05/09 12:21
>>191
じゃシマンテックに逝けば?

193 :名無しさん@お腹いっぱい。:04/05/09 12:25
トレンド違い。

194 :名無しさん@お腹いっぱい。:04/05/09 12:43
だじゃれ なんだから笑ってやれよ

195 :名無しさん@お腹いっぱい。:04/05/09 13:29
なんだこのエサホイサッサな展開はw

196 :名無しさん@お腹いっぱい。:04/05/09 14:41
サッサー?サザー?

197 :名無しさん@お腹いっぱい。:04/05/09 14:44
サッセ

198 :名無しさん@お腹いっぱい。:04/05/09 14:45
ウィルスバスターとかノートンとか入れてなくてルータも挟んでないんですけど
特定のポート番号だけ塞いだり出来ないんですかね?
XPです、誰か教えて‥

199 :名無しさん@お腹いっぱい。:04/05/09 14:54
>>198
TCPのプロパティーのIPルールで出来るよ
多分ちみには無理だと思うがな

200 :名無しさん@お腹いっぱい。:04/05/09 15:20
>>199
それ、以前失敗して全く外部と通信できなくなった事がある。
プロトコル・ポート毎に一個一個シコシコと
登録しないといけないのがなんとも・・・。

>>198
とりあえず、XP標準装備のヤツでも使えばどうですか。
ピンポンダッシュくらいは防げるでしょ?

201 :前スレ24:04/05/09 17:01
【SASSER FAQ XP付属ファイアウォール編】
Q Windows XPの付属ファイアウォールは有効ですか?
A Windows XPのファイアウォールはウィールスが入り込むポート
  (TCPポート445、他)を閉じるのに有効です。ただし、このファイア
  ウォールはデフォルトでは無効になってます。
  【FWを有効にする手順】
   コントロールパネル→ネットワークとインターネット接続→普段使っている
   接続設定→ネットワークタスク→この接続の設定を変更→詳細設定→
   「コンピュータとネットワークを保護する」にチェックを入れる

Q XPの「ネットワークの接続」がみつかんないよー?
A 以下の方法も試してください。
   スタート→設定→ネットワーク接続
   スタート→接続→全ての接続の表示
   スタート→マイネットワーク→ネットワーク接続を表示

Q XPのファイアウォールで十分ですか?
A XPのおまけFWは外から中へ(inbound)の侵入は防ぎますが、いったん
  感染してしまうと中から外へ(outbound)ウィールスをばら撒くのをチェック
  できません。Zone Alarm、Outpostなど中から外もチェックする製品を
  入れておきましょう。

Q FWはいくつも動作させるとダメですか?
A ダメです。XPのFWは無効にしておくだけでいいですが、
  NISやVBの付属FW、ZA、Outpostのような専用アプリのFW同士は
  インストしてあるだけで完全に喧嘩しますから注意。

202 :前スレ3:04/05/09 17:03
【Winアップデートがワケワカメの人、まずファイアーウォール入れましょう】

Q Windowsのアップデート全然やってなかったんで…なんだかたくさん
  あって、ワカワカメでつ…(泣
A 脆弱性(ぜいじゃくせいw)のあるパソコンをネットにつなぐとパッチをダウン
  してる間にウィルスに感染しちゃう鴨です。まずファイアウォール入れてから
  ゆっくりWindowsのアップデートしましょう。
Q ファイアーウォールって何?
A ファイアーウォール(FW)はデータ通路の玄関(port)の警備員みたい
  なものです。通行許可証のない人(データ)を通さないようにします。
Q ファイアウォールでさっさーが防げるんですか?
A 防げます。「LSAというプログラムをインターネットに接続していいですか」
  みたいなことをファイアウォールが尋ねてきますから「ダメ」とボタン押せばOK
Q ファイアーウォール入れてれば絶対安全?
A 可能性は少ないですが、OSがネットに接続してからFWソフトが立ち上がるまで
  のわずかなスキに侵入される可能性があります。修正パッチ当てる前のOSを
  立ち上げるときはケーブルを抜くか、モデムの電源を落としておけば安心。
Q 無料のファイアウォールってどうなのよ? ちゃんと役に立つ?
A 定番はZone Alarm、 Outpost、Kerioなどの製品。有料版もありますがフリー版
  で機能は十分です。詳しいことは専用スレで。「Outpost まとめサイト」がファイア
  ウォール関係の解説わかり易いです。他のFW使う場合でも見ておくといいです。

Agnitum Outpost Firewall part15
 http://pc3.2ch.net/test/read.cgi/sec/1079512402/
ZoneAlarm Part19
 http://pc3.2ch.net/test/read.cgi/sec/1081594360/
☆彡Kerio Personal Firewall 2.1.5 Rule 14☆彡
 http://pc3.2ch.net/test/read.cgi/sec/1075173212/
Outpost 2ch まとめサイト
 http://www.geocities.jp/outpost_2ch/

203 :名無しさん@お腹いっぱい。:04/05/09 17:30
Eが出たよん。
容疑者が逮捕されてもワーム自体が無くなるわけでもないし、
亜種の出現が止まるわけでも無いってことだね。
http://securityresponse.symantec.com/avcenter/venc/data/w32.sasser.e.worm.html


204 :名無しさん@お腹いっぱい。:04/05/09 17:48
■Sasser.Eの変更点(いずれもマイナー)
ワームの実行ファイル名 lsass.exe
FTP使用ポート 1023、1022
ログファイル名 C:\ftplog.txt
転送されたワーム本体ファイル名 [ランダム]_update.exe

205 :名無しさん@お腹いっぱい。:04/05/09 17:51
逮捕された18歳の子が1人で今までの4つ全部作ったかどうかもまだ
はっきりしないしね。
Netskyも自分だというのは、本人はそう言ったかもしれないが、
少なくともあれ全部を作ったとは思えない気がする。
それに本来の目的がNetskyだとすると、そもそもSasserは何の「ために」
作ったのか等、供述によくわからない点もあるし。

206 :名無しさん@お腹いっぱい。:04/05/09 17:52
>>203
「きみらもこうなったら無駄な抵抗はやめてワームども
に犯行を止めるようにいいなさい。このままでは罪が重く
なるばかりだぞ」
「はい」

…でワームの活動を停止できればいいんだがw


207 :名無しさん@お腹いっぱい。:04/05/09 18:02
>>204
本体ファイル名が凶悪やのう…。

208 :名無しさん@お腹いっぱい。:04/05/09 18:25
子供番組(戦隊とか)なら、怪人が倒されれば病気になっていた人たちも
みな起き上がって「あれ?」とか言うのだがw

209 :名無しさん@お腹いっぱい。:04/05/09 19:09
まったく、FWのアクセスログ見たら特定されたかと思っちまうよ。
>>204
中々にエグイ命名じゃw
その内にFカップも出るかな。

210 :名無しさん@お腹いっぱい。:04/05/09 19:42
ITMediaの記事(日本語)
Sasser作成容疑の少年逮捕
http://www.itmedia.co.jp/news/articles/0405/09/news003.html

「警察は、Sasserの亜種すべてを少年が作成したとみている。Sasserは
ドイツ郵便局や英国の沿岸警備拠点などに大きな被害をもたらしている。」

「州検察によると、少年は4月29日に18歳になったばかりで、「コンピュータに
よる破壊行為」に携わった時点では恐らく未成年だったことから少年裁判所で
裁かれる可能性が高い。」

「警察によると、少年は、ウイルスに対抗するNetSkyワームを作ってみたが、
友人全員に勧められて開発をさらに一歩進め、NetSkyの修正版となる
Sasserを作成したという。」

211 :名無しさん@お腹いっぱい。:04/05/09 19:46
>>204
小文字かよ・・・_| ̄|○

212 :名無しさん@お腹いっぱい。:04/05/09 19:46
友人に勧められ
挙句友人に売り飛ばされたの?
なんか、ネラーみたいだな

213 :名無しさん@お腹いっぱい。:04/05/09 20:42
この「友人」たちというのは、初めからM$の賞金狙いで
アフォガキをハメたんじゃないのか? ウィルス書こう
というガキどもにはいい教訓だな。

214 :名無しさん@お腹いっぱい。:04/05/09 22:32
またウイルスソフトがバカ売れかな?
ウイルスソフト屋も少しは、ドイツの少年ありがとうの気持ちで。
弁護士代ぐらいは、出してあげたらいいのに。


215 :名無しさん@お腹いっぱい。:04/05/09 22:55
ウチのXPが感染しちまって今日再セットアップをしたよ
そして直ったと思ったらまた直ぐにk(ry
無茶苦茶気が滅入ったよ…(´・ω・`)

感染しない為にはどういう手順で設定すりゃいいのかな?
手元に例のセキュリティCDとd体験版セットがあるから…

1)物理的にアローン状態
2)再セットアップ
3)セキュリティCD投下
4)d体験版投下
5)アローンのままプロバイダ設定を完了
6)ネットに接続、嵐の如くdを更新
7)その足でWindowsアップデート

これが最良の手かな…?
アドバイス宜しくお願いします_| ̄|○

216 :名無しさん@お腹いっぱい。:04/05/09 23:00
ルータ買え。

217 :名無しさん@お腹いっぱい。:04/05/09 23:11
>>215
本当は感染していないパソコンでパッチをダウンロードしてくるのが一番なんだが、
出来ない場合はファイアーウォールなりルータなりを使って接続しろ。

218 :名無しさん@お腹いっぱい。:04/05/10 00:24
ネットに接続すんなよ!

219 :名無しさん@お腹いっぱい。:04/05/10 02:11
ルータ挟んでるけど突破されてノ−トンに反応しやがった_| ̄|○

220 :名無しさん@お腹いっぱい。:04/05/10 02:23
>>219
1.ルーター内に感染PCがある。
2.ルーターのFWをOFFにしてる。

221 :219:04/05/10 02:59
マイクロソフトのSasser感染・駆除チェックサイトで大丈夫だったのに・・・
>>220
ルーターのFW見直してみます

222 :名無しさん@お腹いっぱい。:04/05/10 03:06
ルーターのFWってどうやって見るの?

223 :名無しさん@お腹いっぱい。:04/05/10 03:09
ルーターのメーカー及び機種によって変わるので
説明書かメーカーサイトでも見てくだされ

224 :名無しさん@お腹いっぱい。:04/05/10 03:29
ありがd調べてくるわ。
IPマスカレードとかパケット・フィルタリングとか、
このあたりのことなのかな。


225 :名無しさん@お腹いっぱい。:04/05/10 03:38
バッファロー(メルコ)ではアタックブロック

226 :名無しさん@お腹いっぱい。:04/05/10 03:44
FWがないのもあるね。

227 :名無しさん@お腹いっぱい。:04/05/10 03:48
こちらは、NEC Aterm DR30F/CEです。




228 :名無しさん@お腹いっぱい。:04/05/10 03:56
http://121ware.com/product/atermstation/product/directstar/spec_dr30h_dr35fh.html
>セキュリティ フィルタリング/ポートマッピング/IPマスカレード機能

FW自体はなさそうだね。
でも、下記のポートを閉じとけばいいかも
TCP135-139
TCP445
TCP1025-1027
TCP2745
TCP5554
TCP6129
TCP9996


229 :名無しさん@お腹いっぱい。:04/05/10 04:02
TCP1022-1023
を追加
TCP1022-1027
でもいいけどね

230 :名無しさん@お腹いっぱい。:04/05/10 04:08
皆様、サンキューです。

231 :215:04/05/10 06:13
>>216-217
レスdクス!
新規ルータ購入は金銭的に無理なので、
dのパーソナルFWでポート塞ぎます

それと、外部から入手する手が有効な様なので
職場…元学校の使って落としてきます

アドバイスサンクスでした

232 :名無しさん@お腹いっぱい。:04/05/10 06:32
5時前からPCをつけているが、今朝は445が少ないな。
135が多い。(これはAgobotだっけ?)

233 :名無しさん@お腹いっぱい。:04/05/10 07:35
すっかり下火な雰囲気が漂ってますね

a2の今日のUPでサッサーとnetsky絡みが来たようですが、はて?
(はて?の後、何を言いたいかはお察し下さいw)

234 :名無しさん@お腹いっぱい。:04/05/10 10:49
今日になって、お馴染みのポートに加えて、UDP,port 6257にお客が来てるが、

何か新手の物でしょうか?

235 :名無しさん@お腹いっぱい。:04/05/10 11:16
俺の場合、加入ISPのリモホからのDoSが酷いです。
皆の衆は、如何?
それと、ルータの件だけどルータのハードウェアFW機能が突破される事もあるみたい。
実際に俺の仲間がやられた。IPを振ってくるので、同一LANと認識したのか?ワケワカメ。

236 :名無しさん@お腹いっぱい。:04/05/10 11:21
>>235
ルータの件:
ルータが安物かオマエのともがきがバカ

237 :名無しさん@お腹いっぱい。:04/05/10 11:26
>>236
235です。
ルータが安物なのは間違いなし、スマソ
是がの一番安いやつ。


238 :名無しさん@お腹いっぱい。:04/05/10 12:56
サッサ案件対応のコールセンター業務に短期で明日から入るよ。

239 :名無しさん@お腹いっぱい。:04/05/10 13:38
名前晒してくれたら電話するよ

240 :名無しさん@お腹いっぱい。:04/05/10 13:49
Sasserの作者逮捕につながったマイクロソフトの懸賞金

「われわれは迷うことなく25万ドルの賞金を支払う判断を下した」
http://www.itmedia.co.jp/enterprise/0405/10/epc01.html

241 :名無しさん@お腹いっぱい。:04/05/10 15:10
やっちゃたよ職場のPC
ほんの10秒くらいノートンを無効にしたら

突然 例の再起動のダイアログ

これがワームですか、初めてでした。

ところで再起動後、最新定義でチェックしても感染なし、
マイクロソフトのHPからのチェックも異常なし

こんなことってあり得るんですか?????

242 :名無しさん@お腹いっぱい。:04/05/10 15:14
>>241
>>152に書いてあるけど、ワームのバグのためにLSASSがクラッシュして
マシンが再起動してしまうが、それで感染動作が中断するため、あとで
調べても感染はしてない、ということでは。
(まあリブートも感染の一環ではあるけど)

243 :名無しさん@お腹いっぱい。:04/05/10 15:20
どうもです>>152読みました。

OSはXP Proです
今日で3日目で、その後何も起きてないので
大丈夫なんですよね。


244 :名無しさん@お腹いっぱい。:04/05/10 18:47
Sasserワーム作成者を逮捕 - ドイツの18歳少年

「逮捕につながったこの情報と同様に、こういった状況で正確に
IPアドレスを特定する我々が昨年開発した技術が功を奏した」と、
容疑者逮捕の会見に同席したMicrosoftのBrad Smith氏は述べ、
同社が積極的に逮捕に貢献した点を強調した。
http://pcweb.mycom.co.jp/news/2004/05/10/011.html

この技術ってどんなものなのかなあ。
別に足がつくと困ることをしてるわけじゃないが、ちょっと知りたいw

245 :名無しさん@お腹いっぱい。:04/05/10 18:59
そんな技術を磨くより前にセキュリティ穴のない窓を作れや>MS

246 :名無しさん@お腹いっぱい。:04/05/10 21:12
>>245
いや、せめて当ててもトラブらないまともなパッチを…

247 :名無しさん@お腹いっぱい。:04/05/10 21:13
>>244
IPアドレスを特定する技術
「犯人逮捕に結びつくIPアドレス1個ごとに1万ドル提供」

248 :名無しさん@お腹いっぱい。:04/05/10 21:14
>>237
コレガの3千円ルータを今年のお正月過ぎから使ってるが
特に問題ないねー。大きなファイルのダウンロードとかして
ないしねー。

249 :名無しさん@お腹いっぱい。:04/05/10 21:28
MSがついにあっちの世界に逝ってしまいますた。
> 宇宙天啓データベース G.2 と、断続的な絞首刑が発生します。
http://support.microsoft.com/default.aspx?scid=kb;JA;74586

250 :名無しさん@お腹いっぱい。:04/05/10 23:11
M$ は、そこまで逝ってしまったか

251 :名無しさん@お腹いっぱい。:04/05/11 00:05
>>244
やっぱXPには個人情報を送信する機能があったな。
おまいらもみんな抜かれてるぞ

252 :名無しさん@お腹いっぱい。:04/05/11 00:10
プロバイダだろ

253 :名無しさん@お腹いっぱい。:04/05/11 01:16
半月ぶりに開いたPCが突然再起動を繰り返し、ネット(AirH")もつながらない…
半泣きのカノジョをなだめつつ、自分のPC(98とMe)+AirH"でファイルをDLしまくり、なんとか復旧

自分は古いOSでよかった、と最近特に思う。

254 :名無しさん@お腹いっぱい。:04/05/11 01:50
セカンド機は必要だよな…と思う。
古くて安いのでいいから。

漏れのセカンドも98se。
スピードは遅いけどネットも出来るし、もしもの時には
役に立ってくれる…ハズ。

255 :名無しさん@お腹いっぱい。:04/05/11 11:03
古いWinには放置されたままの穴が
新しいWinには放置されてはいないが未対応のどでかい穴が

藻前はどっちを選ぶ?

256 :名無しさん@お腹いっぱい。:04/05/11 11:08
新しい方だな
ルーター+パーソナルファイアウォール+アンチウイルスソフト
でキッチリ管理してれば、大体防げるし

257 :名無しさん@お腹いっぱい。:04/05/11 13:14
Sasserワームを作った犯人はほかにもいる?

警察は「Sasserの唯一の作者」を逮捕したと考えているが、逮捕後に
新亜種Sasser.Eが発見された。容疑者が逮捕直前にばらまいた可能性も
あるが、専門家は「ウイルス作者のグループ」が背後にいると主張する。
http://www.itmedia.co.jp/news/articles/0405/11/news019.html

258 :名無しさん@お腹いっぱい。:04/05/11 13:15
Agobot作成容疑者もドイツで逮捕される
http://www.itmedia.co.jp/news/articles/0405/11/news024.html

259 :名無しさん@お腹いっぱい。:04/05/11 14:15
Sasserと同じ脆弱性を利用するワーム「Cycle.A」
http://internet.watch.impress.co.jp/cda/news/2004/05/11/3047.html

これは5月18日になると、BBCとIRNA(イラン国営通信)にDoS攻撃を行う
そうです。攻撃対象にIRNAが入っているところから考えると米国の愛国者?
の作成したものかも。

260 :名無しさん@お腹いっぱい。:04/05/11 16:59
>>255
比較がおかしいぞ。
  古いWin=放置されたどでかい穴+未発見の穴
  パッチ当てたWin=未発見の穴+パッチによる新たな不具合
これを比較しろ。

261 :名無しさん@お腹いっぱい。:04/05/11 17:15
亜種、といっても基本的にSasser.Dの実行ファイルの名前変えただけ。
バカガキの種は尽きず。

Sasser.E
実行ファイル名  LSASSS.EXE
窓が出て以下を表示
1. Your computer is affected by the MS04-011 vulnerability (略)

Sasser.F
実行ファイル名 napatch.exe


トレンド、感染の可能性があるのはXPと2000のみとやっと認めたが。
ずいぶん長いこと「影響を受けるプラットフォーム」に98系を入れて
いたのはどういうわけだったのか? (ネットワークが輻輳して、とか
445を叩かれるとかいうオチはナシとしてw)



262 :名無しさん@お腹いっぱい。:04/05/11 18:07
ワーム作成は「ママを助けるため」だった?

ドイツの少年がSasserを作成した動機は、母親が経営するコンピュータ
メンテナンス会社への注文を増やすことだった可能性もあるというのが
当局の見方だ。(ロイター)
http://www.itmedia.co.jp/news/articles/0405/11/news033.html

263 :名無しさん@お腹いっぱい。:04/05/11 20:28
駆除が完了してもLSA Shellのエラーウインドウは出るんですけど?
ダメージなんとかサービスみたいのは試してみたけど変わらなかった

264 :名無しさん@お腹いっぱい。:04/05/11 21:43
高校生と通報者って全く無関係なのかにょ?
賞金せしめる為の自作自演の臭いがしないでもない。

265 :名無しさん@お腹いっぱい。:04/05/11 21:46
携帯からです。
ついさっき、突然シャットダウンします。と出て
60秒のカウントが終わったあと勝手にシャットダウン
再起動してしまいました。テンプレなどを見たんですが
ネットに接続しようとしてもサーバが見つかりません
になって困ってます。
それとレジリストから消せばネットで駆除しなくても
ちゃんと消せるんでしょうか?
初心者なのでレジリストの場所もわからなく困ってます。

266 :名無しさん@お腹いっぱい。:04/05/11 21:47
>>263
OSは?
エラーメッセージは?


267 :名無しさん@お腹いっぱい。:04/05/11 21:50
>>264
>>212-213

268 :名無しさん@お腹いっぱい。:04/05/11 22:07
最近の携帯は改行できるのか。

269 :名無しさん@お腹いっぱい。:04/05/11 22:11
>>265
だからOSは?

270 :名無しさん@お腹いっぱい。:04/05/11 22:33
>>269
XP HOWEです。
LSA Shellはエラーとが発生し閉じられる必要がありました。
というエラーが出ました。
とりあえず今はケーブル外してます。
エラーの技術情報を見ると以下のファイルが含まれます。
C:\DOCUME〜mdmpとC:\DOCUME〜txtの二つのファイルがかかれてます。

271 :名無しさん@お腹いっぱい。:04/05/11 22:43
>>260
議論は、どうでもイイ。
古いWINの穴は、どこで、新しいWINの穴は、どこ?
現実問題として、何処がどうなの?
ワケワカラン
最近DoSもキツイんだよ。


272 :名無しさん@お腹いっぱい。:04/05/11 23:05
>>263
自分もまったく同じ症状。
sasserBでavserve2.exe他を削除してチェックサイトで「駆除に成功」表示が
出たので安心して再起動したらLSA Shellのエラーが…今日はもうやめた_| ̄|○

273 :名無しさん@お腹いっぱい。:04/05/11 23:24
起動しなくなったぞ

274 :265:04/05/11 23:40
タスクマネージャやらレジリストやらでよくわからないので
初期化というのをしてみようと思います。
初期化すればウイルスもちゃんと消えてくれますか?

275 :名無しさん@お腹いっぱい。:04/05/11 23:44
>>274
再インストールしても、パッチ当てなきゃ再感染するぞ。

276 :名無しさん@お腹いっぱい。:04/05/11 23:45
>>274
限りなく「はい!」です。 よろしくがんばってネ。

277 :名無しさん@お腹いっぱい。:04/05/11 23:48
すみません。
>>10
の『本体ファイルavserve.exeを削除』の本体ファイルってどこにあるのですか?

278 :265:04/05/11 23:53
なぜかCDにデータコピーしようとしてもなにも反応しないので
すべてのデータを諦めます。こういう場合は再感染はなくなりますか?
(またネットやってかかるのとは別として)
それと最後にもうひとつ質問させてください。
XPなのですが初期化はどこからやればいいのでしょうか?

279 :名無しさん@お腹いっぱい。:04/05/12 00:08
自分だったら、いままでためてあったものを消さないで温存するために、
新しいハードディスクを買ったきて、元のものと入れ替えてリカバリするね。
元のハードディスクは、外付 USB HDD ケースが売っているから、ゆっくりと
あとでつないで、なんとでもなるしね。

280 :265:04/05/12 01:17
ついに壊れた・・まだPC買って2ヵ月くらいなのに_| ̄|〇
修理に出します。これで治してもらえますでしょうか。

281 :名無しさん@お腹いっぱい。:04/05/12 01:41
>>280
再インストしたの?



282 :268:04/05/12 01:52
>>281
リカバリしようとしたら80%あたりになったところで
ファイルエラーかなにかになり、そのままフリーズしてしまいました。
そして起動したら、WINDOWSの画面が出ないで真っ黒い画面になって、
左上で白いのが点滅してそこから進みません。

283 :名無しさん@お腹いっぱい。:04/05/12 02:00
>>282
もう1回再インストかけられんのか?
完全に起動しない状態からでも再インストの方法はあるだろ?
取扱説明書を読んでみな。


284 :265:04/05/12 02:02
F2キーを押すやつでしょうか?もう一度やってみます。

285 :名無しさん@お腹いっぱい。:04/05/12 02:19
>>284
メーカー製のパソ使ってるんだろ?

そうなら、完全起動しない時の方法は必ず書いてあるはずだよ。

286 :名無しさん@お腹いっぱい。:04/05/12 03:26
>>284
っで、上手くいってるのか?
終わったら速攻Updateしなよ。


287 :名無しさん@お腹いっぱい。:04/05/12 05:30
>272

対処法は簡単です。

まず、ウィルスに感染していないPCから
lsass.exe
lsasrv.dll
ファイル拝借。

次に、自分のPCに両ファイルを
%windir%\system32\
フォルダに
lsass.bak
lsasrv.bak
とリネームしてコピー。
回復コンソールを使い
以下のコマンドを入力

C:\WINDOWS>cd system32
C:\WINDOWS\SYSTEM32>del lsass.exe
C:\WINDOWS\SYSTEM32>del lsasrv.dll
C:\WINDOWS\SYSTEM32>ren lsass.bak lsass.exe
C:\WINDOWS\SYSTEM32>ren lsasrv.bak lsasrv.dll
C:\WINDOWS\SYSTEM32>exit

上記を入力し再起動すれば shellの破損は修復されます。

288 :名無しさん@お腹いっぱい。:04/05/12 05:35
パッチ当てろよ

289 :名無しさん@お腹いっぱい。:04/05/12 05:37
>265

該当レジストリキー
HKLM\Software\Microsoft\windows\CurrentVersion\Run

内の av2なんちゃらってキーを削除

キー削除は基本的にウィルス駆除後にやります。

290 :名無しさん@お腹いっぱい。:04/05/12 05:42
>265

訂正。

該当レジストリキー
HKLM\Software\Microsoft\CurrentVersion\Run

内の avrerve2キーを削除

キー削除は基本的にウィルス駆除後にやります。

60秒でシャットダウンする方は

ファイル名を指定して実行に
cmd
と入力

コマンドプロントに
shutdown -i

値を 9999 に変更

これで約3時間にウィルス駆除時間を拡張できます。

291 :名無しさん@お腹いっぱい。:04/05/12 05:43
shutdown -a
の方がいいような(w

292 :名無しさん@お腹いっぱい。:04/05/12 05:45
>291
そうかも 爆

手動で削除したい人にはさっきからちょっと書いた方法やってもらいたいだけ(^^;)

293 :263:04/05/12 08:09
>>287
ありがとうやってみます
そもそもどんなプログラムなのかと思ってググってみてもsasserの記事ばっかひっかかってあかん
作業に支障は出てないからそのままにしてたけど

294 :284:04/05/12 11:18
>>285
全く起動してくれません。書いてあるとしたらどのへんにあるでしょうか。
それと、起動出来てもタスクマネジャやレジリストの場所がわからなくて
治せませんです_| ̄|〇

295 :名無しさん@お腹いっぱい。:04/05/12 11:48
>>294
メーカー製のパソ?
もしそうなら、メーカーの取扱説明書にリカバリーの仕方書いてあるはずだが。
っで、必ずリカバリーCDっていうもんがあるはず。



296 :名無しさん@お腹いっぱい。:04/05/12 12:02
>>295
そうです。今CD-R入れたら出来ました。
リカバリ中にウインドウが表示されたら、プロダクトリカバリーCD-ROWを
次のメディアに交換してとありますが、次のメディアとは
なにかわかりますでしょうか?

297 :名無しさん@お腹いっぱい。:04/05/12 12:21
>>296
だから、説明書に事細かく書いてあると思うけど?
それとも説明書を無くしたとかか?
君のがどのメーカー製のものがワカランし、
メイカーによってリカバリーの仕方はマチマチだろうから、答えようが無い・・・

推測だけで書くけど、システムリカバリーCDは1枚か?
2枚ってこともあるぞ。
あとアプリケーションが詰まってるソフトもあるはず。




298 :名無しさん@お腹いっぱい。:04/05/12 12:32
>>297
リカビリをしても途中でメディアの交換をしてくださいになるので
中断をしてウインドウズを起動しても、ウインドウズが出ないで
そこから全く進めないのです。説明書にもそこまで書いてないです。


299 :名無しさん@お腹いっぱい。:04/05/12 12:36
>>297
それはリカバリーが終了してないのに起動しても
何もウィンドウズが立ち上がるわけ無いじゃんw

兎に角、リカバリーCDの作業が終われば
まずXPが立ち上がるはず。
立ち上がってないってことは、
もう1枚リカバリーCDがあると思うけど。
1・2っていう風に2枚無いか?



300 :名無しさん@お腹いっぱい。:04/05/12 12:56
ネタだろ
CD-ROWとかリカビリとか

301 :名無しさん@お腹いっぱい。:04/05/12 13:10
>>299
付属されてるんでしょうか?
記憶だと、CDーRにリカバリDISKをさせてる途中で、60秒のカウントダウンが
始まって切れちゃった可能性があります。
それで、リカバリも出来ずにWINDOSをたちあげることも出来ません。

302 :名無しさん@お腹いっぱい。:04/05/12 13:22
>>301
60秒しか持たないのに、よく80%までリカバリーできたな。

っていうか>>300さんが言うように、やっぱネタか?

303 :名無しさん@お腹いっぱい。:04/05/12 13:28
すいません。深夜までやっていたので、記憶が勝手に80%と思い込んでました。
朝やってみたところ、必ず26%でメディア交換が表示されます。
もうウインドウズも立ち上げられないので不可能でしょうか?
ネタじゃなくほんとに困ってます。

304 :名無しさん@お腹いっぱい。:04/05/12 13:34
>>303
まぁなんだ、死ね。

305 :名無しさん@お腹いっぱい。:04/05/12 13:35
      ______
    /          )))
   /   /// /―――-ミ
   / 彡彡 // /      ヽ))
   / 彡彡 iiiiiiiiiiiiiii  iiiiiiiiii|
   / 彡彡 < ・ > 、<・ >l
  /    |       ヽ   〉
  /  ( | |      __)  |    / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
  /   | ≡  /, ―――  |ゝ < 馬鹿共にパソコンを与えるな!
  /   |   |  L ___」 l ヾ  \_________
_ミ  l   ______ノ ゞ_
  |  l ヾ    ー   / |  l
  |  |   \ー    ‐/  |  |

PC初心者板にでも逝けや、馬鹿が

306 :名無しさん@お腹いっぱい。:04/05/12 13:39
AAなんか貼っても携帯からじゃ見れません。
死ねクズ

307 :名無しさん@お腹いっぱい。:04/05/12 13:56
マニュアルすら読もうとせず、脊髄反射で質問を繰り返す、
そんな香具師は、何時までたっても修復など出来るはずが無い。
仮に運良くリカバリーに成功したとしても、その後ネットに接続した段階で
Blasterかさっさに再度やられるのがオチだろう。
金出して販売店かメーカーに修復してもらえ。

308 :名無しさん@お腹いっぱい。:04/05/12 14:00
リカバリはメーカーによってパソコンによってやり方が違うの。
うちのは2枚組で途中で入れ替えるよ。
そのへんは説明書に載ってるから
何が付属されてるのかとリカバリの方法をよく読んで。


309 :名無しさん@お腹いっぱい。:04/05/12 14:05
取説通りにやって出来ないのなら修理に出せ

310 :名無しさん@お腹いっぱい。:04/05/12 14:05
最近の携帯って改行できるのか?

311 :名無しさん@お腹いっぱい。:04/05/12 14:13
すいません。説明書もちゃんと読みました。
ディスクは付属じゃなく、ツールからCDRに焼いてそれを使用するのですが、
さっきも言ったようにシャットダウンで途中で切れてしまい
リカバリDISKが未完了のままなんです。
で、ディスクを作成させようにもなにも出来ないのです。

312 :名無しさん@お腹いっぱい。:04/05/12 14:20
メーカー行きしかないだろ

313 :名無しさん@お腹いっぱい。:04/05/12 14:22
それが嫌だからここで聞いているんじゃないですか。
お願いします、そろそろ真面目に答えてください。

314 :名無しさん@お腹いっぱい。:04/05/12 14:23
>>312
わかりました。サポートセンターに電話してみます。
ありがとうございました。

315 :名無しさん@お腹いっぱい。:04/05/12 14:25
>>311
Remote Procedure Call(RPC)
これを、エラーが起こっても、再起動しないの設定にしな。
それだダメなら、修理行きだな。
http://www.geocities.co.jp/SiliconValley-SanJose/3220/XP-service.htm

316 :名無しさん@お腹いっぱい。:04/05/12 14:28
>>311
何もしないに設定だ。

317 :名無しさん@お腹いっぱい。:04/05/12 14:34
ありがとうございます。
ただ設定しようにもCDーRを入れてリカバリの画面にする以外
なにも出来ないです。

318 :名無しさん@お腹いっぱい。:04/05/12 14:54
>317
最初にリカバリディスク作っておかなかった己が悪い。
己の迂闊さを後悔しながら、メーカ修理に出して高いお布施払ってこい。

319 :名無しさん@お腹いっぱい。:04/05/12 15:00
ウイルスのものです。
今メーカーのサポートセンターに問い合わせたところ
ウイルスが流行っているなどのアナウンスが流れて、
電話受け付けにつながるまで2分ほどかかりました。
そこで、リカバリDISKとアプリケーションのを買って9000円
ということで保証はきかないとのことでした。
発送は5日以内とのことでした。
質問に答えてくださったみなさまありがとうございました。
一応報告しときます。


320 :名無しさん@お腹いっぱい。:04/05/12 16:47
この人また同じ目に会いそう、ルータはどうなってるんかな

321 :名無しさん@お腹いっぱい。:04/05/12 17:52
ネット接続以前の問題だと思うぞ。
初心者でも最低限、自前のPCだったらマニュアルの確認(ry

322 :名無しさん@お腹いっぱい。:04/05/12 18:08
>>319
リアルウイルスに感染していると思われ。

323 :名無しさん@お腹いっぱい。:04/05/12 20:07
っていうか、どうやったら感染出来るんだろ?
ルーターとかPFWとか未だに導入してない人ばっかりなんすか?
それとも、そう言うレベルの話じゃないとか?

324 :319:04/05/12 20:18
ADSLのときはATERMを使ってたので大丈夫でした。
つい昨日光にして、ウェブキャスターはまだ繋げなくていいや
と思って2分ほどネットにつなげたらかかってしまいました。
なので自分の不注意です。

325 :名無しさん@お腹いっぱい。:04/05/12 20:28
アチャー、それじゃだめだわ。
再セットアップする前にこのスレなりなんなり見て勉強しときなさい。

326 :324:04/05/12 20:56
>>325
ありがとうございます。
次はルータもちゃんと使ってこのスレなどで紹介されてるような
ツールでも導入しようと思います。
それにしてもそんな簡単にウイルスにかかるとは思ってませんでした。

327 :名無しさん@お腹いっぱい。:04/05/12 21:27
>>326
っていうか、復旧したら、まずはパッチあてろよ

328 :名無しさん@お腹いっぱい。:04/05/12 21:36
>>327
サンキュー、早速穴の開いたジーンズにパッチ当てたよ。

329 :名無しさん@お腹いっぱい。:04/05/12 21:45
パッチは>>11のサイトから落とせばいいんでしょうか?


330 :名無しさん@お腹いっぱい。:04/05/12 22:28
しかし、>>7-12に詳しく書かれているのに
わざわざここで質問していくのが理解できない。
質問者はどういう脳の構造をしているんだ?

331 :名無しさん@お腹いっぱい。:04/05/12 23:33
>>323
世の中意識が低いんですよ

332 :名無しさん@お腹いっぱい。:04/05/12 23:36
正直ウイルスなんて、へんなサイト見たりメール送られたり
しないと感染しないと思った。

333 :名無しさん@お腹いっぱい。:04/05/13 02:17
>>323
>ルーターとかPFWとか未だに導入してない人ばっかり

ご近所でその手の人でも大被害被った人と全く被害ゼロの人と
不思議と混在してるの訪問するサイトによって罹患率が異なるのかな

334 :名無しさん@お腹いっぱい。:04/05/13 09:13
>>326

何はともあれ
Windowsupdateサイトに1週間に1度は訪問する癖をつけ
新たなパッチ無いか調べる(面倒なら自動updateをONにしておく)

ノートンなどなんでもいいから、ウィルスソフトとFWソフトが付いている
総合セキュリティーソフト導入し常駐させる(updateを忘れない)
金かけたくないなら、どっちもフリーソフトが存在するので、少なくてもそれを導入。

ルーターをかます。

メールもHTMLメールを送受信できなく設定
(理想はOEを使わなず、他ソフト導入。優秀なフリーソフトも存在する)

最低でもこれぐらいはやってくれ。


335 :名無しさん@お腹いっぱい。:04/05/13 09:15
ルーターはなるべくセキュリティモデルを選ぶ。
OEでもいいから、プレビュー画面切る。

336 :名無しさん@お腹いっぱい。:04/05/13 10:54
>>334
>ノートンなどなんでもいいから、ウィルスソフトとFWソフトが付いている

アンチウィルスソフトな  ケアレスミスだろうけど、一応ツッコミいれとくw

まぁ、>>334が言っている事柄をやらない奴が多杉
してない輩はマジで実践しれ!!

337 :名無しさん@お腹いっぱい。:04/05/13 11:06
どうせアホなんだから、感染してオロオロしていな!
ごみパケット飛ばして、ネットワークトラフィック増大させてんじゃないぞ。

338 :名無しさん@お腹いっぱい。:04/05/13 11:09
>>337
おまいのその書き込みがごみパケットなんだよ

339 :名無しさん@お腹いっぱい。:04/05/13 11:51
ワロタ

340 :名無しさん@お腹いっぱい。:04/05/13 15:43
>>333
さっさーは訪問サイトとは無関係。
サイト感染するワームはニムダが有名。

341 :326:04/05/13 15:51
>>334ー336
ありがとうございます。リカバリDISKが届いたらすぐにでもやります。

342 :名無しさん@お腹いっぱい。:04/05/13 16:11
>>340
そうだったのか、つまり感染した人は運が悪かったってことなんね

343 :名無しさん@お腹いっぱい。:04/05/13 16:15
>342
感染しなかった人はすご〜〜〜〜〜く運が良かったってこと

344 :名無しさん@お腹いっぱい。:04/05/13 16:17
×→感染しなかった人はすご〜〜〜〜〜く運が良かったってこと
○→何の対策もせずに感染しなかった人はすご〜〜〜〜〜く運が良かったってこと

言葉が足りんかった

345 :名無しさん@お腹いっぱい。:04/05/13 17:07
パッチ当てたらCPU使用率100%キタ━━━('A`)━━━!!
XPでもなるとは知らなかったZe

346 :名無しさん@お腹いっぱい。:04/05/13 17:25
>>345
環境が糞なんだよ

347 :名無しさん@お腹いっぱい。:04/05/13 17:55
sasserBとCの違いをスキャンツールなしで判断できない?

348 :名無しさん@お腹いっぱい。:04/05/13 20:22
>>333
どうなんでしょ?
>>344なんだとは思うけど。
自分はセットアップの時は物理的にネットから切り離してるし
どうしてもネットに繋いでセットアップしたい時は
ボロだけどルーター繋いでやってる。

用心深くなったのはマンキン食ってからなんスけどね。
サッサーに感染するより恥かしいよ・・・。_| ̄|○

349 :ウィルスっ子:04/05/13 21:00
サッサー凄い。
ファイアウォールなんもせんかったらネットに繋げた瞬間感染する。
さっきサッサーEに感染した。
Fとかもあるんだね。

350 :名無しさん@お腹いっぱい。:04/05/13 21:44
現在、Windowsの修正バッチは定期的に毎月第2水曜日に配布される。
5月12日(水)にも新しいのがアップされてる。
緊急を要するものは随時アップされるらしいけど、毎月第2水曜日にWindows Updateをかければ
いいんじゃないかな

351 :名無しさん@お腹いっぱい。:04/05/13 21:53
そんなもん常識だろ

352 :名無しさん@お腹いっぱい。:04/05/13 23:53
初物食いは腹を壊す…>修正バッチ
人柱が立つのを待ちたい小心者…。

353 :名無しさん@お腹いっぱい。:04/05/14 04:30
>>350 俺は月一回の配布を原則とするって言う今の方針に反対だなぁ。
昔のように、パッチは随時配布というようにしてほしいよ。
一月に一回に限定する意味がわからない。
随時配布でも管理上の問題なんて発生しないと思うが。

354 :名無しさん@お腹いっぱい。:04/05/14 05:13
どうでもいいが、バッチじゃなくてパッチだろ

355 :名無しさん@お腹いっぱい。:04/05/14 05:15
セーフモードでavserve.exeなどを削除したのに、 再起動させた瞬間落ちてまた再起動になるのはなぜだー! avserve、avserve2、skynetave、lsasss、napatchの他に まだ消す項目があるのか?

356 :名無しさん@お腹いっぱい。:04/05/14 05:55
キボンヌ
http://www.pandora.nu/tv/src/img20040514054822.jpg

357 :355:04/05/14 06:06
まだ削除できてない所があると考えていいのかな…

358 :355:04/05/14 06:39
誰か…一緒になやんでくれ…

とりあえず、おはよう。

359 :名無しさん@お腹いっぱい。:04/05/14 06:53
>>358
駆除中はLANケーブル抜いてネットから隔離。
WindowsUPDATEは???
修正パッチ当てないとループになるよ。
PFWないなら駆除後XPのFWをオンにしてからネット繋いでWindowsUPDATE。

360 :355:04/05/14 07:10
359さん、答えてくれてありがとう!携帯からなので読みにくいのが申し訳ないです。
ケーブルは抜いてやっています。
windowsUpdateをやろうと思っても、なぜか接続できず(もちろんケーブル繋いでます)
「削除し忘れたかな?」と思って、もう一回セーフモードにして
削除し忘れがないことを確認したあと、再起動したら、
今度はすぐに落ちて自動再起動のループなんです…

361 :名無しさん@お腹いっぱい。:04/05/14 07:13
シャットダウンのダイアログが出たら
スタート→ファイル名を指定して実行
shutdown -a
と入力

362 :355:04/05/14 07:14
359さんへ
最後の一行が何を言ってるのかさっぱりな俺を許してください

363 :355:04/05/14 07:23
361さんへ!
ありがとうございます。今やってみようとしたんですがダメです。それをしようとするまえに落ちて再起動をされてしまいます。
セーフモードでは自動再起動されないので入力してみたのですが通常モードは相変わらずです…

364 :名無しさん@お腹いっぱい。:04/05/14 08:41
>>363
セーフモードで、sfc /scannow

365 :355:04/05/14 09:18
364さんへ!
ご協力ありがとうです!今sfc/scannowをファイル名を指定して実行に入力してみたのですが
「見つかりません。」と言われました…。
俺と同じ症状の人はいないのか…?
アドバイスどしどしお願いです!

366 :名無しさん@お腹いっぱい。:04/05/14 09:22
半角英数でfscの後はスペースだよ

367 :355:04/05/14 09:37
366さん、スイマセン!スペース忘れてました!
今入力したんですが…普通は窓か何か開くのでしょうか?俺のは何も起きないです…
通常モードも相変わらずすぐ落ちてしまいます。
どうなってんだ、パソコン!

368 :名無しさん@お腹いっぱい。:04/05/14 09:44
>>367
「落ちる」とは具体的にどうなるの?
エラーメッセージ等を書いてください。

369 :名無しさん@お腹いっぱい。:04/05/14 09:48
>>367
C:\WINDOWS\SYSTEM32\sfc.exe
これあるか?なければ、エラー表示になるだろうけど。

370 :355:04/05/14 10:03
368さん、369さん、ありがとうございます!
今、システムの復元をした後に通常モードを開いたら自動再起動をすることはなくなりました!
そして、ネット接続もできるようになりました!
しかし…今度はwindows updateができないです…。「おい!」と言われそうなんですがマジなんです!
今度はupdateしようとしても「ソフトウェアの更新が不完全です」とでるのです。再試行してもダメです。俺は呪われているのでしょうか…涙

371 :355:04/05/14 10:07
368さん!
落ちるってのは、なんの前触れもなく画面が真っ暗になってたのです。その後再起動が始まってました。
もし、俺と同じ症状の人がいたら、システムの復元をしてみてくださいね!

372 :名無しさん@お腹いっぱい。:04/05/14 10:09
Sasser関係ねー(w
ドライバが、逝ってたっぽいね

373 :355:04/05/14 10:15
372さん!
ありがとうございます!ドライバのせいだったんですか…。
という事はサッサーとドライバの故障?が同時にきた俺はやはり呪われているのか…!
あとは!アップデートだけです!皆さん力を貸してくださいっ!
アドバイスどしどし待ってます!

374 :355:04/05/14 10:22
ちなみに申し遅れましたが、俺はxp使ってます。
1日からネット接続ができなくなり、5日くらいから謎の「イキナリ再起動」が始まりました。
そんで、昨日ネットカフェでここを見たら俺のパソコンの症状が一緒だったので「駆除方法」をメモって、今に至るというわけです。
そんなんで2ちゃんねるはホントに便利だと今痛感してるとこです。そして、アップデートができなくて試行錯誤してます。

375 :名無しさん@お腹いっぱい。:04/05/14 10:24
Sasserの欠陥を突く新たなワーム浮上
http://www.itmedia.co.jp/enterprise/0405/14/epc05.html

376 :名無しさん@お腹いっぱい。:04/05/14 10:28
教えてくれないか?
例えば、再インストールしました。
で、アップデートするのでインターネットに繋ぎます。
で、感染します。
どうすればいいの?

377 :名無しさん@お腹いっぱい。:04/05/14 10:40
火壁

378 :名無しさん@お腹いっぱい。:04/05/14 10:44
>>376
再インストール前に落としておく

379 :355:04/05/14 10:48
俺も聞いていいですか?
修正プログラムをセットアップしようとしたら、
「update.infの整合性を確認できませんでした。暗号化サービスが
このコンピュータで実行されていることを確認してください」と言われたです。

どーすればいいーんだーーーー!!

380 :名無しさん@お腹いっぱい。:04/05/14 11:09
>>379
これが暗号化サービスだ。自動に設定しろ。
IPSEC Services 

381 :名無しさん@お腹いっぱい。:04/05/14 11:18
>>380
返答ありがとうございます!
しかし…すいません、ぐぐってみたのですがIPSEC Servicesが
どこにあるのか、どう使えばいいのかわからないです。
ヒントをください!

382 :名無しさん@お腹いっぱい。:04/05/14 11:36
PPTP

383 :名無しさん@お腹いっぱい。:04/05/14 11:58
>>382
頼む…答えを…!!

384 :名無しさん@お腹いっぱい。:04/05/14 12:17
>>383
382じゃないけど、”ファイル名を指定して実行”で %SystemRoot%\system32\services.msc /sを入力
そしたらサービスが起動するのでIPSEC Policy Agentを選んで自動に変更、開始ボタンを押す。
だと思う。間違ってたらごめん。

385 :名無しさん@お腹いっぱい。:04/05/14 12:30
ここは初心者質問スレでは無いと思ったのだが・・・

sasserに引っ掛かるような、普段からの心構えが出来ていないような馬鹿は
スレ&板違いな質問を延々と繰り返す傾向にあるな。
さっさとPC初心者板にでも行けばいいのに

386 :名無しさん@お腹いっぱい。:04/05/14 12:52
>>384
うっひょおおおおお!!ありがとおおお!!
よくわかりました!!センキュウ!!(´∀`*)

>>385
確かに延々と質問すんのは悪いよ!
でもさ、このスレ見るやつって、今回のウイルスにかかったやつじゃん!
これからこのスレ初めて見るやつもいるだろうよ!
そいつらが一番欲しいのは、こんな症状が出ればこんな対処をすればいいとか、そういう
情報じゃねーんかな??!
うっはー、眠すぎて意味わかんねー! (つ∀-)オヤスミー !!

387 :名無しさん@お腹いっぱい。:04/05/14 12:55
>>385
ネットワークの仕組みなどわかっていないから、ポート開けっ放しでも全く平気なんだよな。
バカに付ける薬はありませんな。

388 :名無しさん@お腹いっぱい。:04/05/14 13:03
>>386
寝る前にPFW入れろよ。

389 :名無しさん@お腹いっぱい。:04/05/14 13:04
>>386 ハイテンションなレスにワロタ。

390 :名無しさん@お腹いっぱい。:04/05/14 13:29


http://up.negi-ma.net/img/140.jpg


391 :名無しさん@お腹いっぱい。:04/05/14 15:59
サッサーがニュースになって随分たつのに今更感染するやつっていったい?

392 :名無しさん@お腹いっぱい。:04/05/14 16:34
今頃Blasterにかかるやつもワンサカ居る

393 :名無しさん@お腹いっぱい。:04/05/14 22:47
漏れはサッサーどころかどんなウィルスにも感染したことが無いが
このスレを見ているけど・・・
なんでかっつーと感染したことが無いので症状もわからんし
どのくらい広がってるのかもわからんから。
あと自分の対策に穴が無いか確認の意味も含めて見てる。
感染者だけがこのスレを覗いてる訳ではないよという一例ね。

394 :名無しさん@お腹いっぱい。:04/05/14 23:04
>>393
俺もその口だ。
極めて小心なセキュをやってる。
しかしな。必要と思われる情報や初めて経験した攻撃(防御はしている)の情報は、ウザイと思われてもうpした。
そんな情報交換の場じゃないのかよ。
スレ読んでて思ったんだが、スレ勉してない奴もいるし、真剣に悩んで居る奴もいると思う。
彼らを同列に扱う(反応する)のは、正直どうだかと思うよ。


395 :名無しさん@お腹いっぱい。:04/05/14 23:09
>>376
XPの場合、
1、再インストールする(このときLANケーブルは繋いではいけない)
2、XPのFWをONにする
3、その後、LANケーブルを繋ぎ、Updateする

今後の事もあるから、ルーターの購入をお勧めする。


LANケーブルを挿したままやると、無限ループに陥るので要注意。
ルーターを使用し(ルーターモデム含む)、かつ適切に設定してあれば、
この限りにあらず。というか、その場合は感染しない。

W2Kの場合(ルーターを使用していない場合)
1、どこかで対策CDなりパッチを入手しておく
2、再インストール(LANケーブルを繋いではいけない)
3、パッチをインストール
4、LANケーブルを挿し、最新のWindowsUpdateを実行

396 :名無しさん@お腹いっぱい。:04/05/14 23:57
>>395
アホか?
ルーターなきゃ、ファイアーウォール入れとけばいいだけじゃねえかよ。

397 :名無しさん@お腹いっぱい。:04/05/15 00:26
>>396
ないから感染してるんだろ?
そんな対策してるやつは感染しないよ。


398 :名無しさん@お腹いっぱい。:04/05/15 00:30
>>396
そのファイアウォール入れてる間に感染するわアフォ。

399 :名無しさん@お腹いっぱい。:04/05/15 00:32
>>396 がアホだと書こうとしたが先を越されてしまった。
みんな入力が速いなー。

400 :名無しさん@お腹いっぱい。:04/05/15 01:23
>>396
…たたかれまくり…w
ファイアーウォール入れてあっても、ソフトが立ち上がる前に感染ってあったよね。
ネットが先に繋がっちゃう場合。

やっぱsasserに感染するのはルータ無し組なのかな。

>>>393
漏れも同じ。
ウイルス付きメールすら来たとこがない。
たまにNISの2ch誤検出で…ああ、ちゃんとガンガッテるんだなー…とw


401 :名無しさん@お腹いっぱい。:04/05/15 01:50
>>397-399
まとめて、叩き直してやる。
今はルーターのダイヤルアップがほとんどだよな。
バカ以外は不要なポートは開けとかないから、感染しない。
モデムに直付けの奴は、PPPoE接続だから、ファイアーウォールが立ち上がる前に、ダイアルアップしてしまうなんてのは、有り得ないよな。
せっかくリカバリーしたのに、丸裸でネットに繋ぐようなアホは、いるわけないわな。ハハハハ、ばか者達。


402 :名無しさん@お腹いっぱい。:04/05/15 02:39
会社の同僚がsasserに感染した個人のノートpcを会社のLANに接続したのですが
それで社内のpc全部に感染するんですか??

403 :名無しさん@お腹いっぱい。:04/05/15 02:43
社内のPCがちゃんと対策してないと感染するねぇ。

404 :名無しさん@お腹いっぱい。:04/05/15 02:43
ちなみにその後社内のネットやメールが一切つながらないのですが・・・

405 :定期貼り:04/05/15 02:44
■SASSER対策要約
 ★修正パッチMS04-011(KB835732)は適用ずみか?
  →コントロールパネル→プログラム(アプリケーション)の追加と削除
  →「ホットフィックス KB835732」があれば適用ずみ。SASSERには
    感染しない。
 ★修正パッチ未適用(ルータがある場合、FWを導入している場合はただち
   にWindows Update を実行するだけでよい)
  ・XP:ケーブルを抜く→付属FWを有効に(>>201)→ケーブルを接続
   →Windows再起動→Windows Update→(MS04-011 = KB835732)適用
  ・2000:ケーブルを抜く→スタート→ファイル名を指定して実行→cmd→
  これをコピペして1行ごとにリターン
   echo dcpromo > %systemroot%\debug\dcpromo.log リターン
  attrib +R %systemroot%\debug\dcpromo.log リターン
   →ケーブルを接続→Windows再起動→Windows Update実行
   →(MS04-011 = KB835732)適用

■情報リンク集
Sasser ワームについてのお知らせ(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

概要 >>7 関連リンク >>8 感染動作分析 >>152
MSパッチの不具合 >>84 MSのチェック&駆除ツール >>11
MSのLSASS脆弱性回避法 >>92
XP付属ファイアウォールの使い方 >>201 ファイアウォールを入れよう >>202

406 :名無しさん@お腹いっぱい。:04/05/15 02:45
>>404
それは社内のサーバがやられたのではないかな。

407 :名無しさん@お腹いっぱい。:04/05/15 02:47
>>402みたいな話、Blaster騒ぎの時出なかったっけ
LAN内にウイルスぶちまけて会社で村八分状態になったってやつ

どこかのニュースサイトだったような気もするが

408 :404:04/05/15 02:53
sasserでサーバーやられるのですか??一応スレを始めから全部読んだのですが
あまり会社とかで感染したとかの具体例がないもので・・・同僚が自分以上にpc初心者
なんで(2ちゃんも知らなかった)  

409 :名無しさん@お腹いっぱい。:04/05/15 03:03
>>408
windows系のサーバならサッサーにやられます。

410 :名無しさん@お腹いっぱい。:04/05/15 03:07
>>408
サーバーがやられているようなら、あなたの会社のパソコンはNT系は全滅です。

411 :名無しさん@お腹いっぱい。:04/05/15 03:09
Server2003は感染しない。しかし鯖にどんなマシン使ってようと、
社内LANに接続しているマシンに感染が広がり始めたらシステム屋
は大慌てで鯖停止して、接続してるマシンにパッチ当てようとする。

ルータで感染に使われるポートを閉じればいい>>7わけだが、ルータ
が社内LAN鯖の外側にしかない(内側はスイッチングハブ)という
ような状況では鯖停止しかないか…


412 :名無しさん@お腹いっぱい。:04/05/15 03:09
しかし>>404の会社は酷いねぇ。
流行りだしてから一週間以上経つのにね。
管理者はえらいこっちゃで。

413 :408:04/05/15 03:14
まじっすか!?自分もスレ汚しなくらい初心者なんすけど、最悪の場合はサーバーが
sasserにやられるとどーなるんすかね??会社のpc全体がsasserに感染するのでしょうか??
??


414 :名無しさん@お腹いっぱい。:04/05/15 03:24
あんたの会社のLAN構成がわからんから何ともいえん。
まぁ、対策してない端末がサーバに繋がってたらアウトでつ。

415 :名無しさん@お腹いっぱい。:04/05/15 03:25
とりあえず自分が使うPCにはPFW入れとけ。

416 :408:04/05/15 03:45
みなさん 本気でありがとう!!明日もうちと会社のLAN詳しく調べて相談したいとおもいます。 
その時はマジまたくだらない質問に答えてください!!!できないなりにがんばってみます!

417 :名無しさん@お腹いっぱい。:04/05/15 05:17
ウイルスに初めて感染しました。
Windowsアップデートをすればサッサーに感染しないのが自動的に
入るのでしょうか?

418 :名無しさん@お腹いっぱい。:04/05/15 07:24
>>417
卵より鶏の方が先だろ?

419 :名無しさん@お腹いっぱい。:04/05/15 07:50
Windowsアップデートをしているか、ファイアウォールをつけているか、
どちらか1つでもしていれば感染しないはずだが、してない人が多いのかね。
もっとも去年のMSBlastに比べると、Sasserは明らかに感染者が少ない。
アップデートのことを知っている人は増えているとは思う。

XPではアップデートのありかがちょっと判りにくいかもしれない。
「すべてのプログラム」の一番上に「Windows Update」とあるけど、
英語だし、ここをめったに開かない人も多いと思う。
「スタート」の右側あたりに指定席を作ってあって、赤いアイコンで
「Windowsの重要な更新」とか書いてあれば、初めて買った人でも
何だろうと思ってちょっと触ってみるのではないか。

420 :419:04/05/15 08:12
あと、IEの「ツール」メニューの3番目にも「Windows Update」があるね。
これもちょっと目立ちにくいか。

XPのSP2ではセキュリティ・センターというのが作られるそうだけど、
これもコントロールパネルにアイコンが置かれるぐらいかな?
SP2ではWindowsの自動更新がデフォルトになるようだし、FWが標準で
ONにされるからだいぶ安心だろうけど。

421 :名無しさん@お腹いっぱい。:04/05/15 09:45
パソコン買って2ヵ月だけど感染して初めて、
Updateがそういうためにあるとわかった。


422 :名無しさん@お腹いっぱい。:04/05/15 11:30
>>421
( ゚∀゚)アハハ八八ノヽノヽノヽノ \ / \/ \

423 :名無しさん@お腹いっぱい。:04/05/15 11:46
>>421
2ヶ月で気付いたあんたはエライ。ガンガレ。

424 :名無しさん@お腹いっぱい。:04/05/15 11:48
>>421
2ヶ月でネラーなあんたは・・・。

425 :名無しさん@お腹いっぱい。:04/05/15 12:12
すみません、ルータが無い場合の応急処置として
XP標準のFWで関連ポートを手動で閉じておけば
大丈夫ですか?

426 :名無しさん@お腹いっぱい。:04/05/15 12:21
安いルータでも買えば済む話なのに、わざわざFWインスコして
メモリ喰ってる香具師の気が知れません。
なぜでしょうか?


427 :名無しさん@お腹いっぱい。:04/05/15 12:39
>>426
1)ルータではトロイやスパイの侵入を防止できない
2)ルータではトロイやスパイに入り込まれたときに中
から外への不審な通信を遮断できない。(FW機能の
入った非常に高価なルータならできる場合もあるがw)
3)XPのおまけFWは中→外の通信をフィルタできない。

というわけで知識のあるユーザーはZone Alarm、Outpost、
Kerioのようなフリーで高機能なFWを利用する。

ちなみに、シマンテックのNIS付属のFWは激重なうえに
単独でアンイストできず他のFWが使えない。ノートン買う
ならNAVが吉。


428 :名無しさん@お腹いっぱい。:04/05/15 12:44
>>427
XPのSP2のファイアウォールは中→外もフィルタできるようになるらしい
けどね。

429 :名無しさん@お腹いっぱい。:04/05/15 12:46
>>422
笑わないでくり。
>>423
ありがとうございます。
NTTのウェブキャスターっていう最初についてたルータがあるんですけど、
それを繋げてUPdateでもすれば万全でしょうか?
部屋に電話線がないから廊下からケーブル引かないといけないので、
めんどくさがって繋げなかったら感染
しちゃいますた。


430 :名無しさん@お腹いっぱい。:04/05/15 13:25
>>426
漏れは、モバイル用PCにいれてるんだ。
ルータは、電車の中で電源取れない
あと、ルータにPHSや携帯電話にも接続できてつかえるのってあまりないしね



431 :名無しさん@お腹いっぱい。:04/05/15 13:29
>>427
内→外って書いてくれない?

432 :名無しさん@お腹いっぱい。:04/05/15 13:30
>>430
フリーのでいいからファイアウォール導入したらいいよ

433 :反省汁! ◆zE9d/c1mMc :04/05/15 15:12
445いっぱいきてるねぇ

434 :名無しさん@お腹いっぱい。:04/05/15 15:23
うちは445一回も記録されてない。
プロバイダで遮断してくれてるのかね?
そのかわり2745がいっぱいきてる。

435 :名無しさん@お腹いっぱい。:04/05/15 15:41
>>434
禿同。Y!BBじゃない?

436 :反省汁! ◆zE9d/c1mMc :04/05/15 16:15
いや、昨日からBフレッシ
しかし、つないでいるだけで感染とは随分なやつだなぁ

437 :名無しさん@お腹いっぱい。:04/05/15 17:05
漏れのところも445には全然来ないな、
@niftyなんだが・・・

438 :パソコン初心者:04/05/15 17:20
あのぉ、今更なんですが、修正パッチ(XP用)を当てたら、
ウィンドウズログオン時などに不具合がでるんですが、
どう対処すればいいんでしょうか?

マイクロソフトはずっと静観のままですかね?

439 :名無しさん@お腹いっぱい。:04/05/15 18:26
>>429
                         / \
( ~∀~)アハハノヽノヽノ \ / \/ \/ \ /    \ (改良版)

それはそうと、フラットケーブル使えばドアの隙間から引き込めるぞ。

440 :名無しさん@お腹いっぱい。:04/05/15 18:34
>部屋に電話線がないから廊下からケーブル引かないといけないので
こう言う時、隙間だらけのボロ家だと好都合だな、こいつ↓の家とか。

441 :名無しさん@お腹いっぱい。:04/05/15 19:03
フスマ越しにケーブル引いてますが、何か?

442 :名無しさん@お腹いっぱい。:04/05/15 19:42
>>441
フスマ・・・・・・・・・ '`,、'`,、'`,、'`,、(´∀`) '`,、'`,、'`,、'`,、

443 :名無しさん@お腹いっぱい。:04/05/15 19:59
フスマとサッサーの関係について一言↓

444 :名無しさん@お腹いっぱい。:04/05/15 20:53
Sasserはフスマで防ぐことができる。

445 :名無しさん@お腹いっぱい。:04/05/15 21:29
>>444をテンプレに追加きぼんw

446 :名無しさん@お腹いっぱい。:04/05/15 21:38
>>444
な、なんだってー!(AA略

447 :名無しさん@お腹いっぱい。:04/05/15 22:32
>>441
伝統的日本家屋が、ネットの無い時代から既にそこまで見通していたとは知らなかった。
日本文化を見直した。
これからは、襖をルータ代わりに活用するよ。

448 :名無しさん@お腹いっぱい。:04/05/15 22:40
やたらUDPパケットが飛んで来るなぁ

449 :名無しさん@お腹いっぱい。:04/05/16 00:33
スマソ。
今んとこ、Dabberかどうだかワケワカメなんだが。
自分と同じプロバのヤシからのDoS酷くねか?
もうね、イイ加減にしろと。
ISPにも責任あるんじゃないのか?

450 :名無しさん@お腹いっぱい。:04/05/16 00:34
>>449
プロバイダにログ出して、文句言ったら、警告ぐらいしてもらえるはず。

451 :定期貼り:04/05/16 01:03
■SASSER対策要約
 ★修正パッチMS04-011(KB835732)は適用ずみか?
  →コントロールパネル→プログラム(アプリケーション)の追加と削除
  →「ホットフィックス KB835732」があれば適用ずみ。SASSERには
    感染しない。
 ★修正パッチ未適用(ルータがある場合、FWを導入している場合はただち
   にWindows Update を実行するだけでよい)
  ・XP:ケーブルを抜く→付属FWを有効に(>>201)→ケーブルを接続
   →Windows再起動→Windows Update→(MS04-011 = KB835732)適用
  ・2000:ケーブルを抜く→スタート→ファイル名を指定して実行→cmd→
  これをコピペして1行ごとにリターン
   echo dcpromo > %systemroot%\debug\dcpromo.log リターン
  attrib +R %systemroot%\debug\dcpromo.log リターン
   →ケーブルを接続→Windows再起動→Windows Update実行
   →(MS04-011 = KB835732)適用

■情報リンク集
Sasser ワームについてのお知らせ(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

概要 >>7 関連リンク >>8 感染動作分析 >>152
MSパッチの不具合 >>84 MSのチェック&駆除ツール >>11
MSのLSASS脆弱性回避法 >>92
XP付属ファイアウォールの使い方 >>201 ファイアウォールを入れよう >>202

452 :名無しさん@お腹いっぱい。:04/05/16 01:59
Bフレッシ開通初日に感染しますた(´Д`)
駆除してうpだてして何とか回復。
ルータ繋ぐか…

453 :449です。:04/05/16 02:07
>>450
449です。
アドバイス、マジありがと。
でもさ、悔しいじゃんか他力本願はよ。自分で解決できないと。
断わっとくけど、決してISPのエンジニアをバカにしてる訳じゃないよ。
テメーの領分やテリトリーは、テメーでオトシマエ付けたいだけなんだ。
そこで、ここの住民からの情報と俺の稚拙かも知れない情報で、なんとか解決したかった訳さ。
それにISPのサポセンが必ずしも充実しているとは言えないと思うぞ。
何処ぞは電話で受け付けてはいるが、実質核心部には触れさせない誘導尋問型のプログラム応答しかしてくれない。
ISPさえ信頼性に疑問がある以上、ここでお伺いするしか俺には思いつかなかった。


454 :名無しさん@お腹いっぱい。:04/05/16 03:52
>>452
おれと全くおんなじだ。
光があまりに嬉しくて使ってたらすぐに感染しちまった。

455 :名無しさん@お腹いっぱい。:04/05/16 05:44
ルーター付けてるけど、アップデート中に自動で電源落ちるよ。
で、また再インストールして、念のためHDDのチェックをオンにして再起動。
で、チェックが始まる。数分後HDDが悶えた音を出している。
2時間後、固まっていた。完全にHDDが死んでしまいました。
現在新しいHDDに付け替えて、再インストールして、ネット接続は待機しています。
ちなみに今書き込んでいるのはMac。
ルーターのログを見ると3分置きにあやしい接続が来ていて、ウザい・・・

456 :名無しさん@お腹いっぱい:04/05/16 05:56
>>420

>FWが標準で
>ONにされるからだいぶ安心だろうけど。

いきなりな質問で申し訳ないけど、
NISやバスターのFWを使ってる場合は、
SP2をインスコしてもXP付属のFWはそのままOFF設定のままになる?
ちなみにOSはXPhomeでNIS2003を入れてます。

457 :420:04/05/16 06:57
>>456
自分は実際にSP2のRC1を入れている訳ではないので、判りません。
Windows板のSP2スレで質問してみては。
http://pc5.2ch.net/test/read.cgi/win/1084012604/l50

458 :名無しさん@お腹いっぱい。:04/05/16 16:32
>>452,454
光やCATVの場合、インフラ等ハード面は別として実質的に専用線接続と同じ状態だよ。
リンクが確立している時点で、ワームがPCへの接続口(レイヤ1)までスキャンしていると考えておいた方が無難だよ。
これはYahooBBモデムの場合にも言えると思う。ルータとモデムのリンクが確立している段階で、攻撃は来ているよ。
FWを先ず入れてPC立ち上げてからネットに入ったら?
ルータを噛ませていても、ポートを塞いでなきゃ感染する。
>>401,427が正解だよ。

459 :名無しさん@お腹いっぱい。:04/05/17 00:27
・新規PC購入者数十万(年間1千万台のうち半分が個人として)
既存XPユーザー1300万(約)のうち
・光への参入者十万、
・フレッツADSL&YBB参入者、20万程度?
このあたりが、毎月の予備軍だな。
あ、Welchiaの感染者12.31終了組もかな。


460 :名無しさん@お腹いっぱい。:04/05/17 01:10
>>458
401のような日本語も不自由な煽りレスのどこが正解なのか
理解に苦しむが。

461 :名無しさん@お腹いっぱい。:04/05/17 02:40
>>460 = >>397-399のどれか
クックックッ

462 :458:04/05/17 03:06
>>460
俺には、401は煽りとは考えられなかった。
饒舌ではあるかも知れないが、手順としては正解。
TCP/IPの認証やネゴを参照したら?
それにさ、今度のsasserはダブルバックドア(先行侵入用と本体導入用)を仕込むよ。
更にさぁ、駆除してもその残骸を踏んでDoS掛けるワームに頭が痛いんだよ!
言葉尻取らないで、知恵を貸してくれよ、ったく!

ルータ越えのアタックも実際にはあってるって。サブネット掛けてもスルーだって。
万が一、おんなじLANだと認証しちまったらどーすんのかよ???
第3オクテットまで一致してたら、業務用のセキュギチギチのお高いモンしかテーブル用意できないって。
漏れみたいなヤシは、一人でやってっから高機能ルータやレイヤ3スイッチ買えないの!
判りる?
被害に遭ってからじゃ遅いって。。。


463 :名無しさん@お腹いっぱい。:04/05/17 11:17
C:\WINDOWS\system32\lsass.exeは状態コード1073741819で突然終了しました。
WINDOWSをシャットダウンします


こういうメッセージが出て勝手に再起動されるんですが、サッサーと見て間違いないでせうか・・ショボンヌ

464 :名無しさん@お腹いっぱい。:04/05/17 12:00
>>463
その通り。

465 :463:04/05/17 12:18
>>464
レスありがとうございます
ああ、やはり・・
質問スレで、それサッサーじゃないのか、と教えていただいたので、こっちに来てみたのですが、案の定でした・・
svchost.exeがプロセスに大量発生するのもサッサーのせいなのでしょうか・・

質問スレでもご指摘いただいたのですが、ウェルチアというウイルスの症状に似てるから、まさか同時感染か!?
とガクブルなのですが・・

せめてサッサーだけであってくれ・・ハフン

466 :名無しさん@お腹いっぱい。:04/05/17 12:31
>>465
っていうか、ウェルチアに今時感染してたら、アフォかって事になるぞ?
update最後にやったの何時だ?

467 :463:04/05/17 12:45
>>466
アップデートはやってたのですが・・

すみません自業自得ですね・・
無知は罪だ・・

ネットに繋げないのでググる事もできず、何とか無い頭をフル回転させて考えたのですが、

1、知り合いのPCから駆除ツールをフロッピーかCDRに落としてくる

2、セーフモードだと強制終了されないようなので、セーフモードで駆除ツール起動

3、テンプレにある手順で状況をチェック

でいいでしょうか・・?
何とか勉強だと思ってガンガリたいと思います

468 :定期貼り:04/05/17 13:48
■SASSER対策要約
 ★修正パッチMS04-011(KB835732)は適用ずみか?
  →コントロールパネル→プログラム(アプリケーション)の追加と削除
  →「ホットフィックス KB835732」があれば適用ずみ。SASSERには
    感染しない。
 ★修正パッチ未適用(ルータがある場合、FWを導入している場合はただち
   にWindows Update を実行するだけでよい)
  ・XP:ケーブルを抜く→付属FWを有効に(>>201)→ケーブルを接続
   →Windows再起動→Windows Update→(MS04-011 = KB835732)適用
  ・2000:ケーブルを抜く→スタート→ファイル名を指定して実行→cmd→
  これをコピペして1行ごとにリターン
   echo dcpromo > %systemroot%\debug\dcpromo.log リターン
  attrib +R %systemroot%\debug\dcpromo.log リターン
   →ケーブルを接続→Windows再起動→Windows Update実行
   →(MS04-011 = KB835732)適用

■情報リンク集
Sasser ワームについてのお知らせ(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser.mspx
Sasser ウイルスに関する情報 Windows XP 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
Sasser ウイルスに関する情報 Windows 2000 編(Microsoft)
 http://www.microsoft.com/japan/security/incident/sasser_2k.mspx
セキュリティ修正プログラム (KB835732) (MS04-011)(Microsoft)
   http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/MS04-011.asp

概要 >>7 関連リンク >>8 感染動作分析 >>152
MSパッチの不具合 >>84 MSのチェック&駆除ツール >>11
MSのLSASS脆弱性回避法 >>92
XP付属ファイアウォールの使い方 >>201 ファイアウォールを入れよう >>202

469 :名無しさん@お腹いっぱい。:04/05/17 14:22
ぐ・・
パッチを適用してないと駆除ツールが検知してくれないんですね・・

>>10
の手動駆除にチャレンジしてみるしかないのか・・

470 :名無しさん@お腹いっぱい。:04/05/17 21:02
>>467
上手くいったか?



471 :467:04/05/18 00:42
>>470
やりました・・
手動で削除→駆除ツールで駆除→オンラインスキャン
のコンボで何とかなったみたいです・・

PCから書き込めてます。
皆さんのおかげですありがとうございました。
これからはアップデートを怠らないようにします。。
重ね重ねお礼申し上げます

472 :名無しさん@お腹いっぱい。:04/05/18 20:12
>>471
おめ!


473 :名無しさん@お腹いっぱい。:04/05/18 21:49
>>471
お(・∀・)め(・∀・)で(・∀・)と(・∀・)う!

474 :名無しさん@お腹いっぱい。:04/05/19 00:31
週刊アスキーで日本では100件の感染報告と書いてありましたがソースだせやゴラ。
どこに報告されたやつだっての。

475 :名無しさん@お腹いっぱい。:04/05/19 00:35
Sasserに感染しました。
症状からして確実にSasserなんですが、NAVでも検出されないしどうしよう。
パッチを当てたいのですが、パッチを当てるとCPUを占有されてしまいます。
WindowsのHPにある回避策もだめでした。
パッチよりSasserを飼っていた方がコンピュータが動くだけまだましなんですが。

476 :名無しさん@お腹いっぱい。:04/05/19 00:38
>>474
IPAに決まってるだろ

477 :名無しさん@お腹いっぱい。:04/05/19 00:46
>>475

>>468
でもみて頑張ってみましょう。

478 :名無しさん@お腹いっぱい。:04/05/19 00:50
>475
win2000か?

479 :名無しさん@お腹いっぱい。:04/05/19 00:54
>>478
いえ、Win2   0 0 0です

480 :名無しさん@お腹いっぱい。:04/05/19 00:57
>>477
Ipsecは無効にしてあるし、他に何をしてよいのか分からないので、
パッチが当てられないんです。

481 :名無しさん@お腹いっぱい。:04/05/19 01:00
>>10の↓の記述で
4.%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認

%SystemRoot%\system32 32\dumprep 0-u
があったんですが、これを消去すればいいんでしょうか?
他には見当たりません。
XPです。
ログみて書かれたと売りにやってるんですが、やはり再起動しても
MSのチェック&駆除ツールで感染してないとでても
何かのこってるようで駆除できませんでした。 



482 :名無しさん@お腹いっぱい。:04/05/19 01:20
>>481
シマンテック愛用者なら目を通しておいた方がイイと思うけど。

http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.worm.html

483 :名無しさん@お腹いっぱい。:04/05/19 01:37
>>482
タンキュ。
意外とこんなトコ見落とすんだよねw
反省してるぽ。



484 :名無しさん@お腹いっぱい。:04/05/19 02:02
>>481
10 だが、
| >>10の↓の記述で
| 4.%SystemRoot%\system32 のすべての "<数字列>_up.exe" を削除、または無いことを確認
|
| %SystemRoot%\system32 32\dumprep 0-u
| があったんですが、これを消去すればいいんでしょうか?

なに言ってんだか、わけワカメ(w リカバリかな?

485 :475:04/05/19 03:15
>>478
そうです。

ところで誰だよ、479は。
勝手に訳わかんないレスつけやがって。

486 :名無しさん@お腹いっぱい。:04/05/19 04:09
>>484
消すのは拡張子が.exeのもの
新型が徐々に出回っているから、駆除方法が少し違うかもよ。

487 :名無しさん@お腹いっぱい。:04/05/20 01:19
自分のPCは、MEなのですが
友達のがXPでサッサーに感染したみたく
強制再起動を繰り返してupdateも駆除ツールもインストールできない状態です。
友人はド素人で助けを求めてくるんですが、自分も素人でよくわかりません。
どのタイプのサッサーに感染してるかもわからないし。

駆除ツールをCD-Rに焼くのがベストでしょうか??

488 :名無しさん@お腹いっぱい。:04/05/20 01:34
MS純正ツールをFDにでも入れて持って行ったら?
Sasser (A-F) Worm Removal Tool (KB841720)
http://www.microsoft.com/downloads/details.aspx?FamilyId=76C6DE7E-1B6B-4FC3-90D4-9FA42D14CC17&displaylang=en

489 :名無しさん@お腹いっぱい。:04/05/20 01:40
>>488
レスありがとうございます。
それを友人のPCにインストールすればOKですか?
SAFEモードではなくて通常時に?

490 :名無しさん@お腹いっぱい。:04/05/20 02:07
>>489
まぁそんなもん

491 :名無しさん@お腹いっぱい。:04/05/20 16:35
OSは、XP Home Edition
症状は、sasserと、似ていると思うんだけど。

以前、Windows Updateをしたときに、不安定になったので、システムの復元で
2ヶ月くらい前に戻してから、インターネットに接続中に再起動のカウントダウン・・。
regeditのRUNのところも調べたけど、特に問題なし。
ノートンのシステムの完全スキャンでも異常なし。
マイクロソフトのホームページの診断ツールでも問題なし。
どっかの会社のSasser (A-F) 試しました。

Sasserの亜種だと思うけど、もう思いつくところなし。
Windows Updateもできなくなってしまった。
タ・ス・ケ・テ。。
俺、ダイヤルアップなんだけど・・。


492 :名無しさん@お腹いっぱい。:04/05/20 17:19
>>491
Blasterも試して来い

493 :491:04/05/20 19:42
>>492
了解!!


494 :名無しさん@お腹いっぱい。:04/05/20 20:24
>>491
>>152

495 :名無しさん@お腹いっぱい。:04/05/21 12:25
>>491
ブラスタもいなければlsass.exeなどシステムファイルのどれかが
壊れている可能性もある。修復インストールを試してみ。

496 :名無しさん@お腹いっぱい。:04/05/21 12:54
ttp://www.itmedia.co.jp/anchordesk/articles/0405/20/news059.html
↑のコラム、「Isass.exeの欠陥」と書いてあるんだが、「lsass.exe」で
いいんだよね? 原文も「lsass.exe」になっているんだが…。

497 :名無しさん@お腹いっぱい。:04/05/21 15:00
Local Security Authority Subsystem Serviceの略だからlsassでOK

498 :名無しさん@お腹いっぱい。:04/05/21 17:43
アイサッサー

499 :名無しさん@お腹いっぱい。:04/05/22 10:11
騒ぎも既に忘れ去られて落ち着き始めてきたな

500 :ぬるぽ:04/05/22 13:00
ぬるぽ

501 :名無しさん@お腹いっぱい。:04/05/22 14:34
>>496
なるほど。

話は違うが、最近のgoogleの「公共広告」とやらハゲシクうざい。

第三世界独裁者の親類が高給取ってふんぞりかえっている
ユニセフだの赤軍勧誘員辻元プロデュースのピースボートだの
の宣伝をなんで拝見しなきゃならん?

googleも株公開でアドウェア化の余寒。

502 :名無しさん@お腹いっぱい。:04/05/23 01:05
>>501
話が変わるにもほどがあるぞ

503 :名無しさん@お腹いっぱい。:04/05/23 01:22
>>501
藻舞、アホ? ソリともヴァカ? 若しくは池沼?
ググル変な動きないぽ。。。

第一よ、サッサの動き監視してんのかよ!!


504 :名無しさん@お腹いっぱい。:04/05/23 02:26
>>503
ぐぐってないのか字が読めないのか…

505 :名無しさん@お腹いっぱい。:04/05/23 23:51
サッサの置き土産バックドアのリサイクル現実味があると思われ。

506 :ガッ:04/05/24 13:07
>>500
ガッ

507 :名無しさん@お腹いっぱい。:04/05/25 15:42
金鳥はブラスタほど大騒ぎにはならなかったようだな。

508 :名無しさん@お腹いっぱい。:04/05/25 18:02
金鳥の夏、日本の夏

509 :名無しさん@お腹いっぱい。:04/05/25 23:39
最近AGOBOTのパケットがやたらと増えてきたな

510 :名無しさん@お腹いっぱい。:04/05/25 23:44
うん
また全体的に増えてきた

511 :名無しさん@お腹いっぱい。:04/05/26 09:53
アゴボット?

512 :名無しさん@お腹いっぱい。:04/05/26 15:33
作った奴らが重なってたんだっけ? 最新の顎はカナーリ悪質のようだ。

513 :名無しさん@お腹いっぱい。:04/05/26 15:58
>>512
ttp://internet.watch.impress.co.jp/cda/news/2004/05/10/3039.html

514 :名無しさん@お腹いっぱい。:04/05/26 15:59
>>511
ttp://internet.watch.impress.co.jp/www/article/2003/0408/agobot.htm


515 :名無しさん@お腹いっぱい。:04/05/26 17:55
>>512
最新の顎の特徴を教えてくれ、スマソ。
アクセス状況や何処の国のIPかなんかでも良い。


516 :名無しさん@お腹いっぱい。:04/05/26 17:58
先週、閉鎖LANのなかでSasserがのさばって大混乱。
管理者は、ユーザーの誰か
バカがメール添付踏んだかFDでも持ち込んだに違いない
って言って、犯人探しして
るけど…
Sasserって、ファイル経由でも感染するの?

517 :名無しさん@お腹いっぱい。:04/05/26 19:39
>>515
Worm_AGOBOT.SK←ここらあたりの亜種が悪質
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_AGOBOT.SK
詳細情報見てみ。セキュソフトを停止する、セキュサイトへ
の接続を妨害する、システムモニタソフトを削除する、など大暴れ。
((((((;゚Д゚))))))ガクガクブルブル

518 :名無しさん@お腹いっぱい。:04/05/26 19:43
>>517
515です。有難う ノシ


519 :名無しさん@お腹いっぱい。:04/05/26 22:47
>>516
感染動作は>>152だから、故意でなければファイル経由というのは
考えにくいね。閉鎖LANが閉鎖でなかったというオチか。シス管は
自分のせいじゃないことにしたくて必死なんじゃないのw

520 :516:04/05/26 23:35
>>519
やっぱりファイルじゃ感染しませんよねぇ。
コンピュータに詳しいユーザーが少ない部門と思って
管理者にナメられてる気配。
管理不行き届きがバレたら始末書減俸は必至だから、
管理者必死だな。
このまま「持ち込みFDが感染源と思われるが
犯人特定は不可能」なんてお茶にごし報告書を
出してくるようなら、こちらもちょっと対応を考えないと。

521 :名無しさん@お腹いっぱい。:04/05/26 23:38
>>520
ファイル感染はまずないよ。
ICMPスキャンから感染動作を始める。スレ読んでみて。


522 :名無しさん@お腹いっぱい。:04/05/26 23:39
>>520
そういうのは、感染ノートパソの持込が原因ていうのがこれまでの
常識だったと思ったが。誰かが私有ノート持ち込んでないかい。



523 :名無しさん@お腹いっぱい。:04/05/26 23:54
>>517
こいつにヤラれると他の亜種を呼び込んで、
その亜種がサーバーになってさらに他の亜種を呼び込む。
そんでそのままイパーイ飼育してると、ものすごい量の
パケット吐きまくりで、まともにネットが出来なくなるよ。
ルーターが熱暴走するくらいすごい。

524 :名無しさん@お腹いっぱい。:04/05/27 00:11
>>520
「バカがメール添付踏んだか」と言ってるわけだから、
外部からのメールを受信できるってことで、閉鎖LANじゃないのでは…
早いとこビークにしたほうが良さそうな管理者だなw

525 :名無しさん@お腹いっぱい。:04/05/27 00:23
>>520
無線LANなんか引いて無いだろうね?


526 :名無しさん@お腹いっぱい。:04/05/27 04:23
>>522
その可能性はある。ただその場合でも、ファイル感染ではない罠。
sassarがファイル感染するなんて主張してる管理者はビークにした
ほうがよさげ。

527 :名無しさん@お腹いっぱい。:04/05/27 14:23
スタコラサッサ

528 :名無しさん@お腹いっぱい。:04/05/27 14:42
さっきからウイルスバスターの警告がポップアップしまくりだよ。
MS04-011 マイクロソフトウインドウズ が悪さしようとしたので
頑張って防いでいるんだそうだ。

わけわからないんで調べたら、サッカーというウイルスなのね。

うちのPCは感染してないみたいだからいいけど、
ポップアップをなんとかしたい・・・

529 :名無しさん@お腹いっぱい。:04/05/27 14:59
ひーずファイヤー!

530 :名無しさん@お腹いっぱい。:04/05/27 15:04
>528
それってただのwindows update じゃねーの

531 :名無しさん@お腹いっぱい。:04/05/27 17:02
2、3週間前にウイルスに感染したものですが、
今日やっとリカバリDISKが届きました!!
リカバリ→ルータを繋ぐ→UPDATEでおKですか?

532 :名無しさん@お腹いっぱい。:04/05/27 17:05
>>531
馬鹿杉

533 :名無しさん@お腹いっぱい。:04/05/27 18:13
>>530

これはネットワークウイルスの攻撃なのだ と
ウイルスバスターが主張していますです。

534 :528:04/05/27 18:19
ポップアップに載ってるリンクです。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=MS04-011_MICROSOFT_WINDOWS

535 :名無しさん@お腹いっぱい。:04/05/27 19:13
リカバリしたらノートンというのがあったのですが、
速度が遅くなったりデメリットはありますか?

536 :名無しさん@お腹いっぱい。:04/05/27 19:42
あ、それうちにもありました。
しばらくすると無くなりますよ。

537 :名無しさん@お腹いっぱい。:04/05/28 00:02
XP homeを使用していますが、先日からsasserの症状が現れました。
で、マイクロソフトのHP
http://www.microsoft.com/japan/security/incident/sasser_xp.mspx
を参照して駆除を試みましたが avserve.exe 等のファイルが見つからずできませんでした。

また、シマンテックのHP
http://www.symantec.com/region/jp/sarcj/data/w/w32.sasser.removal.tool.html
を参照して駆除ツールを使用したけどウイルスは not found でした。

sasserの症状は今も続いているためwindows updateもできていません。
私の症状は感染よりも>>495のようにシステムファイルが破損してる可能性の方が高いのでしょうか?

538 :名無しさん@お腹いっぱい。:04/05/28 18:51
>>537
可能性として言うなら



高い。

539 :名無しさん@お腹いっぱい。:04/05/29 03:37
4月27日あたりにサッサー感染したものですが、
FWオンにしてアップデートしたら5時間程繋げてても
全く感染しなくなりました!
質問に答えてくださった方々ありがとうございます。
それとPC買ってから3ヵ月なのに、アップデートしようとしたら
必要なものが20ほどありました。
これからはアップデート毎週一回やろうと思います。。

540 :名無しさん@お腹いっぱい。:04/05/29 11:55
>>539
マメにやってくれ ノシ
俺の加入しているプロバを使っている連中も、おまいさんみたいにガンガッテくれると良いんだが。
放置プレイで、撒き散らしてる香具師が大杉。


541 :名無しさん@お腹いっぱい。:04/06/02 16:56
一応ホシュ

542 :192:04/06/02 19:51
>>540 禿同。
本人たちには、その自覚が無い(と思われ)のが痛杉。

543 :名無しさん@お腹いっぱい。:04/06/03 16:16
W32.Korgo.F
発見日: 2004年6月1日 (米国時間)
http://www.symantec.com/region/jp/sarcj/data/w/w32.korgo.f.html
W32.Korgo.F は、W32.Korgo.E のマイナーな亜種です。このワームは、TCP ポート 445 で Microsoft Windows
LSASS のバッファ・オーバーランの脆弱性 [マイクロソフト セキュリティ情報 MS04-011 参照] (BID 10108) を
悪用することで拡散し、TCP ポート 113/3067 にバックドアを開くワームです。


544 :名無しさん@お腹いっぱい。:04/06/03 16:19
また中途半端なもの引っ張ってきたな

545 :名無しさん@お腹いっぱい。:04/06/08 16:18
念のためヽ(゚∀゚)ノホシュ

546 :名無しさん@お腹いっぱい。:04/06/09 22:46
こっちも参考にしてみてね
http://pc5.2ch.net/test/read.cgi/sec/1065964513/l50

547 :名無しさん@お腹いっぱい。:04/06/10 11:16
スタコラサッサage

548 :名無しさん@お腹いっぱい。:04/06/10 20:22
よっしゃーーーーーーー!!!!!!!
やっと駆除、更新完了した=========−!!
オラ、チンカスサッサー、よくも今まで再起動しまくってくれたな。
だが、時代は変わった。おめーの妨害工作なんて、もうきかねーんだよ。
ウェーッハッハッハッハッハッハ!!!無駄無駄無駄無駄無駄無駄ァッッッッッッッ!!!!

549 :名無しさん@お腹いっぱい。:04/06/10 22:44
>>548
禿げ乙 v(^。^)

550 :名無しさん@お腹いっぱい。:04/06/18 16:02
念のため保守アッヒャッヒャ!ヽ(゚∀゚)ノアッヒャッヒャ!

551 :名無しさん@お腹いっぱい。:04/06/21 11:29
ほしゅ。

552 :名無しさん@お腹いっぱい。:04/06/23 21:35
サッサーって、Korgoファミリに席巻されて影がうすくなったねぇ
本日も Korgo感染/攻撃のマシンが2台ほど新規参戦w

553 :名無しさん@お腹いっぱい。:04/07/12 22:50
リカバリするマシンがあとをたたないので、攻撃もあとをたたない様相でつ。

554 :名無しさん@お腹いっぱい。:04/07/25 21:03
某公共施設のPCがくりかえし Sasser に感染するという今や珍しい現象を観察していた。

そのPCは再起動すると、どんなに変更が加えられても、一定の初期状態にもどるようになっている。
接続環境は、CATVを利用したものでモトローラのケーブルモデムを介して1台のPCが接続されている。

しばらく起動していると、とつぜんおなじみの「カウントダウン」(60秒前から)がでて、再起動。
この現象がエンドレスで続く。いちおう職員には教えてやった。

対策としては、何がいいだろう。
1.「一定の初期状態」を Windows修正パッチ(MS04-011等)があたった状態に設定する
2.ブロードバンドルーターを介在させる

職員には、1の方をアドバイスしたが、2の方がいいだろうと、いま思っている。

555 :名無しさん@お腹いっぱい。:04/07/26 15:51
3.お前は余計なことをしなくて良い

556 :名無しさん@お腹いっぱい。:04/07/27 21:40
>>554
今週末に行ってみると まだエンドレスのまま、に 1000ぬるぽ

557 :名無しさん@お腹いっぱい。:04/07/30 00:34
よく掲示板とかで「感染しますた」<「ルーター使え」というパターンがある。
回答側の者としてルーター単体の動作確認をしてみたことがないので、バッファロー
(メルコから社名変更、無線LAN脆弱性は放置でヤバイらしいw)の安いのを買ってみた。
説明書でいろいろ書かれているけど、そのままつないでオッケーなのを確認した。
週末には、ルーターかかえて「某公共施設」に乗り込んでみようか。w

558 :名無しさん@お腹いっぱい。:04/07/30 05:04
>>557
ぶっちゃけ余計なお世話だと思われるが、対処方ならルータがベストだろうね。
安いし今後の問題の対処にもなる。

559 :名無しさん@お腹いっぱい。:04/08/01 19:02
>>556
1000ぬるぽー だった...OTL

560 :名無しさん@お腹いっぱい。:04/08/01 23:39
どうすれば感染するのかおしえて。開放してるのに全然こない

561 :名無しさん@お腹いっぱい。:04/08/02 20:01
>>560
プロバイダがパケット叩き落していれば待っても来ないぉ。

562 :名無しさん@お腹いっぱい。:04/08/03 03:32
「接続環境は、CATVを利用したもの」というところがミソだね。
単純な LAN だから、世間では衰退したウィルスでも、ローカルなところで、
パッチあててないマシンがあると、それらがウィルスの感染/攻撃をくりかえし、
リカバリしたてとか新規購入マシンが参戦して、古いウィルスを LAN の中で
温存していることになる。

563 :名無しさん@お腹いっぱい。:04/08/03 09:46
yahoobbはパケット叩き落してる?

564 :名無しさん@お腹いっぱい。:04/08/03 12:23
>>563
ヤフの一般的な業務は7-10営業日以上仕事貯めるくせに
ワームは出現後比較的早い段階から叩き落してる。



565 :名無しさん@お腹いっぱい。:04/08/03 21:34
>>564
どのように叩き落してる? port No.?

566 :名無しさん@お腹いっぱい。:04/08/05 23:38
>>559
こんど週末に行ってみると、
まだエンドレスのまま、に 10000ぬるぽ
「故障中」の張り紙、に 2000ぬるぽ

567 :名無しさん@お腹いっぱい。:04/08/08 00:33
セーフモードですら立ち上がらなくなりました。
こういう場合ってそのHDDを他のパソコンに繋げて
駆除ソフト使うのって有効なんですかね?

568 :名無しさん@お腹いっぱい。:04/08/08 05:05
>>567
スレちがいだけど… ひまだから、お応えしましょう。

そのHDDを現状保存するのは、まことに適切。
あらたにHDDを購入して、フォーマット & OS インストールをしましょう。
「駆除ソフト」で対処するのは、それらのコピーをしたものでおこなうこと。
あ、それらの作業はネットワークにつながないでおこなってください。

569 :名無しさん@お腹いっぱい。:04/08/08 22:40
>>566
2000ぬるぽ だった _| ̄|●

570 :名無しさん@お腹いっぱい。:04/08/18 00:22
ぬるぽしゅ!

571 :名無しさん@お腹いっぱい。:04/08/26 12:02
未だに感染したまま気付かない香具師が結構いるのな
久々にルーターのログ見たらかなりの数弾いてたよ

という訳で一応保守しとくべ

572 :名無しさん@お腹いっぱい。:04/09/02 23:30
さぁて、2000ぬるぽ のところは、まだ「張り紙」かね?

573 :名無しさん@お腹いっぱい。:04/09/06 00:42
>>572
やっとこさパッチあてたことを確認。w MS04-025 まで
症状でていながら、こんな基本的なことをするのに1ヵ月あまりを要す。

574 :保守:04/09/14 02:06:46
こっちのスレも日記職人が保守してくれてる。てかこっちのほうが老舗だけどw
Blasterスレ part5
http://pc5.2ch.net/test/read.cgi/sec/1065964513/

575 :名無しさん@お腹いっぱい。:04/09/16 15:20:37
感染しました ヽ(`д´;)/ 

576 :名無しさん@お腹いっぱい。:04/09/17 02:51:54
>>575
とりあえずビール…ぢゃなくてぇ、その「検体」を確保しましょう。

577 :名無しさん@お腹いっぱい。:04/09/26 09:12:24
Sasser作者が就職したらしいんだけど、どーなんだろ?

578 :名無しさん@お腹いっぱい。:04/10/05 01:28:12
作者がセキュリティ企業に就職じゃ、もう「亜種」とか出ないのかなぁ…

579 :名無しさん@お腹いっぱい。:04/10/15 23:07:40
Sasser 来ませんね

580 :名無しさん@お腹いっぱい。:04/10/23 01:13:59
なんだかよく分かりませんが、MS04-032 の修正前の脆弱性をねらったものが
でてくるようですね。

581 :名無しさん@お腹いっぱい。:04/10/26 09:29:40
TCP/445のアクセスが急増したけど,おまえらどう?

582 :名無しさん@お腹いっぱい。:04/10/26 10:55:29
新しい亜種くらったかも?ってな感じで会社がちょいと騒がしいくなってるんだが、ご飯はおいしいです。

583 :名無しさん@お腹いっぱい。:04/10/26 15:28:15
>>582
喰らったのか・・・.詳細よろすこ.

584 :名無しさん@お腹いっぱい。:04/10/28 02:21:30
>>582
亜種とかの話あるけど、いつものアレだよw クローズドネットワークの中でグルグル…
ご飯は、んまい!

585 :582:04/10/28 11:11:47
俺、管理者じゃねえから、妙な仕事させられないよう、
ガン無視決め込んでるから、実際何がどうなってんのかワカンネ。
管理者の人が「トレンドマイクロ社からの返信待ちだぁ」とか言って煙草吸ってたところ、
エロい人が「休んでないでネット早く直せ!」って激昂してるところは目撃した。
そんなこんなで今日もご飯はおいしいです。

586 :582:04/10/28 11:34:57
げへへへへ。パターンファイル更新で万事解決らしいぜ。
サッサじゃなかったらしい、とか今更言ってみるぜ、ぐへへへへ。

587 :名無しさん@お腹いっぱい。:04/11/05 23:53:05
このところ sasser 系は、見ません。

588 :名無しさん@お腹いっぱい。:04/11/06 11:01:35
でかい会社のパッチ当ててないLANにつないだWinXpSp1のPCたちが、突然リブートしたりするんだけど
やっぱ、Sasserかな?
バスターCorp(最新エンジン・最新パターン)では、なにも検知しないのですよ


589 :名無しさん@お腹いっぱい。:04/11/09 23:08:01
>>588
デカくはない会社であっても、マシンの不審な動作についてネットワークから
切り離してその動作確認をするでしょう、ふつう。
でかい会社で、「動作検証マシン」とかの大儀で、パッチ当てないマシンを
平然とネットワークにつなげてネットワーク攻撃をしているような開発セクション
を放任している会社は、今期も営業赤字になり業界からそしてユーザーから
淘汰されていくでしょう。

590 :名無しさん@お腹いっぱい。:04/11/18 20:29:10
良スレほしゅ

591 :名無しさん@お腹いっぱい。:04/11/28 22:48:47
まだ Sasser くるような人いる?

592 :名無しさん@お腹いっぱい。:04/11/30 21:59:03
先ほど同じラボのヒトがsassarを喰らいました。
んで echo dcpromo >%systemroot%\debug\dcpromo.log & attrib +r %systemroot%\debug\dcpromo.log
を行ったところ、ネットにつながらなくなった模様です。

OSはw2kでネットワークにはPCカードのスロットから無線LANを介して外につながっています。

なにか情報はあるでしょうか?

593 :age:04/12/01 10:51:36
どうよ

594 :名無しさん@お腹いっぱい。:04/12/12 21:50:06
ほっしゅ

595 :名無しさん@お腹いっぱい。:04/12/25 00:03:40
いまどき、よっぽどアレなPCでなければ、Sasser に感染は無いでしょ

596 :名無しさん@お腹いっぱい。:05/01/10 02:52:47
今年も よろしこ

597 :名無しさん@お腹いっぱい。:05/01/25 08:11:29
保守

598 :名無しさん@お腹いっぱい。:05/02/04 02:56:39
セーフモードでも再起動カウントダウン始まるんですけどどうすればいいの?
タスクマネージャーやスタートメニューも出せないしなぁ。。

599 :名無しさん@お腹いっぱい。:05/02/14 20:04:49
>>598
リカバリして、ルータかまして接続してください。

600 :名無しさん@お腹いっぱい。:05/03/06 00:13:45
その後、いかがでしょうか?

601 :名無しさん@お腹いっぱい。:05/03/18 20:55:53
ほしゅ601

602 :名無しさん@お腹いっぱい。:2005/03/31(木) 22:30:31



603 :名無しさん@お腹いっぱい。:2005/04/26(火) 23:07:36
以前問題を起こし続けていた某自治体の Windows 2000 マシン、
まだ sasser で再起動してるのかなぁ...

604 :名無しさん@お腹いっぱい。:2005/05/25(水) 20:51:01
パソコンがウイルスもらったぽ、で、調べたらサッサーの症状が。
サッサー駆除ソフトをシマソテックとマイクロソフトからダウンロードしたら感染してませんとのこと。
次の日‥なぜかネットつなげなくなったー―――orz
漏れはどうしたら‥‥教えてくださいエロい人。。

605 :名無しさん@お腹いっぱい。:2005/05/26(木) 23:57:33
>>604
その今や貴重となった状況を、そのままにして大切に保存しておきましょう。
新しいハードディスクに入れ替えて、リカバリまたは OS のインストールを
すると、とてもイイことがめぐってくるかもしれません。

606 :名無しさん@お腹いっぱい。:2005/06/29(水) 21:15:13
ひさしぶりに、またアクセスあり。
リカバリして、そのままネットワーク接続のマシンだヨ。w

607 :名無しさん@お腹いっぱい。:2005/09/02(金) 00:28:22
このところ、新しいものなのか、なにか変なアクセスがあります。はい

608 :名無しさん@お腹いっぱい。:2005/11/12(土) 15:21:56
SASSERなんですが、いまさらですが、
感染すると即発病でしょうか?
シマンテックでは発症のタイミング: n/aとありますが、
どういうことですか?


609 :名無しさん@お腹いっぱい。:2005/11/14(月) 17:48:32
>>1


610 :名無しさん@お腹いっぱい。:2005/11/15(火) 15:31:47
http://bb.watch.impress.co.jp/cda/news/11800.html
@niftyの「常時安全セキュリティ24」、不具合で1,518名がSasserに感染

http://www.nifty.co.jp/cs/05shimo/detail/051115000548/1.htm
「常時安全セキュリティ24」利用者38,197名中、1,518名にて自己実行型ワームウイルス
「Sasser(サッサー)」の感染が判明。また、感染が判明した利用者以外でも、2,717名が、
ウイルスの感染活動を受けた形跡があることが判明。

611 :名無しさん@お腹いっぱい。:2005/11/15(火) 17:38:22
いまどきsasserに感染するようなユーザーにも問題があると思うが
どうなんだろう。1年以上WindowsUpdateもせず、Nifの盾の内側だからと
ウイルス対策ソフトも入れず(入れても更新して無かったとか)

この件に関しては、Nifに同情してしまう漏れ。

612 :名無しさん@お腹いっぱい。:2005/11/15(火) 21:00:46
>>610
>この時間帯に、もともとSasserに感染していたと想定されるサービス利用者のPCから、
>他のサービス利用者のPCへの感染活動が行なわれたという

なんだかなぁ、とは思う。

613 :名無しさん@お腹いっぱい。:2005/11/15(火) 21:37:58
この件で感染した奴はやっぱりニフティのサービスは必要だろw

614 :名無しさん@お腹いっぱい。:2005/11/16(水) 00:11:59
感染するとすぐ発病だよね?


615 :名無しさん@お腹いっぱい。:2005/11/16(水) 00:21:35
niftyユーザーには1,518名もバカがいたって事か。
いっその事、再起不能にされちまえばいいのによ。
どうせ、他の脆弱性を利用するウィルスに遅かれ早かれ感染するだろうよ。

616 :名無しさん@お腹いっぱい。:2005/11/16(水) 21:13:28
「ぁゃιぃ ファイルは開かないからセキュリティソフト(゚听)イラネ」
ってヤツが感染してるんだろうね。

617 :Today+ zaqd378953e.zaq.ne.jp+Dinner:2006/03/24(金) 15:52:19
Today+&rf&rus&rian&ras&ra&rn&r+Dinner

618 :名無しさん@お腹いっぱい。:2006/04/19(水) 16:15:24
LAN内にSasserにかかったパソコンが1台あって
迷惑しています。
そのMAC address/IPがわかっているのですが
場所や持ち主はわかりません・・・・・
ポート445/5554などはふさいだので、
セグメント外には被害はありません。

他のパソコンからSasserを止めたりすることは
可能ですか?


619 :名無しさん@お腹いっぱい。:2006/07/13(木) 00:39:33
スタコラサッサー

171 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)