Nimda !! その産
■ このスレッドは過去ログ倉庫に格納されています
0001名無しさん@お腹いっぱい。
NGNG0002名無しさん@お腹いっぱい。
NGNGhttp://ton.2ch.net/test/read.cgi?bbs=sec&key=1000870301
●前スレ 「Nimda その弐!!」
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617
●関連リンク
マイクロソフト「Nimda ワーム に関する情報」
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
IPAセキュリティセンター
http://www.ipa.go.jp/security/topics/newvirus/nimda.html
シマンテック株式会社
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html
トレンドマイクロ株式会社
http://www.trendmicro.co.jp/nimda/
日本ネットワークアソシエイツ株式会社
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
●関連スレ
ニュース速報板「スーパー初心者のためのMSNウイルスすれ」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000945627
0003
NGNG「ウイルスに狙われるのはIIS浸透の代償」
http://slashdot.jp/article.pl?sid=01/09/21/1751221&mode=thread&threshold=
0004名無しさん@お腹いっぱい。
NGNG苦しい良いわけですな(藁
0005名無しさん@お腹いっぱい。
NGNGニュース速報板「スーパー初心者のためのMSNウイルスすれ2」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000909667
ニュース速報板「スーパー初心者のためのMSNウイルスすれ3」
http://news.2ch.net/test/read.cgi?bbs=news&key=1000945627
ニュース速報板「スーパー初心者のMSNウイルススレッド【最終板】」
http://news.2ch.net/test/read.cgi?bbs=news&key=1001009235
トレンドマイクロ・Nimda駆除単体ツール
http://www.trendmicro.co.jp/nimda/tool.asp
0006名無しさん@お腹いっぱい。
NGNGhttp://keisui.com/GIGAZINE/cgi-bin/news/html/lg/000325.htm
IEバージョン確認法
http://www.geocities.co.jp/Technopolis/2082/Soft/Ie/OE5str.htm
オンラインスキャン
http://www.trendmicro.co.jp/hcall/scan.htm
ウィルス情報
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.nimda.a@mm.html
http://www.nai.com/japan/virusinfo/virN.asp?v=W32/Nimda@MM
http://www.trendmicro.co.jp/virusinfo/troj_nimda.htm
0007名無しさん@お腹いっぱい。
NGNGこの記事(ITプロにある元記事のこと)に関してはすごく憤りを感じます。
また、評価内にあるあの擁護記事もね!
なんて無責任な発言なんだろうって思いましたよ
0008名無しさん@お腹いっぱい。
NGNG┃ IE . ┃ ┃ JavaScript@readme.eml ..┃
┃(´д`)..┃←..┃┏━━━━━━━━━┓......┃
┃ マターリ..┃ ┃┃wavですが(゚Д゚)何か?┃......┃
┗━━━┛ ┃┃(((((((readme.exe)))))).┃......┃
.┃┗━━━━━━━━━┛......┃
.┗━━━━━━━━━━━━┛
IE
(´д`)<読み込んだHTMLのJavaScriptで、読込先がreadme.emlになってるけど...オカシイヨナァ
IE
(´д`)<まぁ、emlの関連付けはOEになってるから、OEに渡しとくか...
┏━━━━━━━━━━━━━━━━━━━┓
┃ OE ← readme.eml ← IE ...┃
┃(´д`)┏━━━━━━━━━┓ (´д`) ┃
┃ マターリ┃wavですが(゚Д゚)何か?┃ OEさーん . ┃
┃ ...┃(((((((readme.exe)))))).┃.....メールデスヨー┃
┃ ...┗━━━━━━━━━┛ ...┃
┗━━━━━━━━━━━━━━━━━━━┛
┏━━━━━━━━━━━━━━━━┓
┃ OE . .┏━━━━━━━━━┓ ┃
┃(´д`) ..┃wavですが(゚Д゚)何か?┃ ┃
┃シンヨウスルヨ.┃(((((((readme.exe)))))).┃....┃
┃ .┗━━━━━━━━━┛ ┃
┗━━━━━━━━━━━━━━━━┛
┏━━━━━━━━━━━━━━━━┓
┃ OE ...........┃
┃(;゚д゚) 本当はEXEダヨン(゚∀゚)アーヒャヒャ ┃
┃ダマサレタァ アヒャ゚∀゚)readme.exe(゚∀゚アヒャ ┃
┃ . ┃
┗━━━━━━━━━━━━━━━━┛
0009名無しさん@お腹いっぱい。
NGNG┃Windows ........┃
┃(゚∀゚) (゚∀゚)アーヒャヒャ (゚∀゚)アーヒャヒャ. .....┃
┃アーヒャヒャ......アヒャ゚∀゚)readme.eml(゚∀゚アヒャ┃
┃readme.eml readme.eml readme.eml....┃
┗━━━━━━━━━━━━━━━━┛
(゚∀゚)アーヒャヒャヒャ ゾウショクダヨーン
┃
━━━┳━マイクロソフトネットワーク、インターネット、ローカルファイルシステム、メール...━━━━╋━━━━
.....┃ ┃ (゚∀゚)ソーシン!アーヒャヒャ
(゚∀゚)アーヒャヒャ (゚∀゚)アーヒャヒャヒャ ┏━━━━━━━━━━━━━━━━━━━━━━┓
┏(´д`)HTML━┓┏(゚д゚)IIS━━━━━┓ ┃Address: 受信トレイに有るメールのメールアドレス宛て┃
┃ .......┃┃ ┃ ┃中身: readme.eml ┃
┃ .......┃┃ボクノサイトにオイデヨ!! ┃.┃(゚∀゚)アヒャヒャwaveダヨーンヒーヒヒヒ .┃
┃ (´д`) ....┃┃ (・∀・)カエレ!! ┃.┃(((((((((((((readme.exe))))))))))) .┃
┃ マターリ ..┃┃ ┃ ┗━━━━━━━━━━━━━━━━━━━━━━┛
┗(´д`)HTML━┛┗(゚д゚)IIS━━━━━┛
↓ ↓
┏(゚∀゚)HTML━┓ ┏(゚∀゚)IIS━━━━━┓
┃readme.eml .┃ ┃プレゼントダヨ!! ......┃
┃ (゚∀゚)アヒャ . ┃ ┃readme.eml ......┃
┃アーヒャヒャヒャ ┃ ┃(゚∀゚)ヨメ!!!!アーヒャヒャ!!..┃
┗(゚∀゚)HTML━┛ ┗(゚∀゚)IIS━━━━━┛
0010mam
NGNG0011名無しさん@お腹いっぱい。
NGNGスマソ、前スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617&ls=100
の>>505みてくれm(_ _)m
これFAQにまとめる根性いまないです・・。
0012名無しさん@お腹いっぱい。
NGNG0013名無しさん@お腹いっぱい。
NGNGいやそうじゃなくて、
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617&ls=100
の>>505みてくれm(_ _)m
タノム。
0014名無しさん@お腹いっぱい。
NGNG0015mam
NGNG今、見てきました。まだ不安定みたいですね!
あ〜こわいなぁ・・・。
0016950
NGNGそれじゃどうしたらいいんでしょう・・(泣)
いちおう駆除ツールで処理して、その後、確認のために最新のノートンでウィルスチェックしたら大丈夫だったんです。
でも、レジストリエディタを検索したら、例のreadme.emlやら.read.exeやら見つかりました・・
もう、わけわかりません・・
前述の処置をしててもだめなのですか?
レジストリのこいつら、削除しても意味ないですか?
0017(;´Д`)
NGNGMSはIE6でもOE6も一緒にインストールすればいいと言っているが
http://memo.st.ryukoku.ac.jp/archive/200109.month/1377.html
Win2kはSP2+IE6+OE6でもやばいらしい……。
鬱。
0018結論
NGNG0019>
NGNGIISは
SBSの管理ツールとか
MS ProxyServerとか、
Webサーバーをユーザが意識していなくても
起動を必要とする場合があり、そういうのも含めれば
実行されているIISは数多いと思われ。。。
まあ、本質的には必要のない場面でも、IISの使用を
ユーザに押し付けるMSの発想は納得いかん。。
仮にIISが健全だとしても、、重くなるだけ。。。。
0020向こうにも書いたけど
NGNG0021名無しさん@お腹いっぱい。
NGNG0022結論
NGNG0023名無しさん@お腹いっぱい。
NGNGの図は間違ってるってば
0024名無しさん@お腹いっぱい。
NGNGそう?8じゃないけど、わりといい線いってるんじゃない?
0025名無しさん@お腹いっぱい。
NGNG約8スレ程度になる見込みです。
0026名無しさん@お腹いっぱい。
NGNGこの中に含まれている枝リンク孫リンクのみなさんも含めて(-人-)
「 Nimda !! 」スレで偉大な実験や衝撃の体験を告白してくださったみなさんに感謝(-人-)
みなさんの人柱精神はたとえささやかなものであってもムダにはいたしません(-人-)
カッコ内は前スレ
http://ton.2ch.net/test/read.cgi?bbs=sec&key=1000973617&ls=100
のスレ番号です。
理由の説明はありません。(理由の説明の誤りによる誤解を防ぐため)
現象のみを記録するよう努めました。
0027名無しさん@お腹いっぱい。
NGNG●ニムダはWin95/98系など一般のパソコンでは感染しないのですか?
します。
(894)
9X系も感染するとある
http://www.symantec.com/region/jp/sarcj/data/w/w32.nimda.a@mm.html
0028名無しさん@お腹いっぱい。
NGNG(403)
IE6は限りなくグレー(´Д`)
貴重な人柱さんの体験
(292)
ファイルをIE上にドラッグしたらメディアプレイヤーが開いて、
”Windows Media player のエラー
オブジェクト名が見つかりませんでした。”
となった
(402)
http://memo.st.ryukoku.ac.jp/archive/200109.month/1302.html
のように勝手にreadme.exeを開く
(850)
レジストリにExolorerBars内のところにLoad.exeとかいわゆるNimda関連のファイル名が書き込まれた
(IE6W2K版)
http://www.microsoft.com/japan/technet/security/nimdaalrt.asp
Nimda ワーム の影響を受ける恐れのある製品
:
:
MicrosoftR Internet Explorer 6 (最小構成時のみ)
#なお、本当に最小構成時のみなのかは疑惑視されています。
0029名無しさん@お腹いっぱい。
NGNG●感染して作られた〜.emlをマイコンピュータやエクスプローラーでクリックしただけで 再び感染することはある?(688)
あります。
●フォルダの設定でWeb表示(.JPGを選択と左側に寒ネイルが表示されるような)で感染サイトの.lnkファイル(お気に入りのこと)を選択すると? (460)
(463)
感染可能ブラウザの場合、選択(開くではない)だけで感染すると思われる。
これ、感染前の.lnkでもリアルタイム更新してると思われる。
(464)
WEB表示にしててネットワーク経由で入れられた *.emlファイルを
確認するため右クリックして選択しただけで感染した例がある。
(IEが未対応だったので)
補足:.htmlなどのファイルでも同様と思われる
0030名無しさん@お腹いっぱい。
NGNGあります。
(569)
C:\WINNT\Temporary Internet Files\Content.IE5\LHMMLNGA のような所に格納されている
main[1].html
みたいなファイル(キャッシュファイル)にふれてしまうと場合によっては感染する。
●readme.emlファイル・reame.exeファイル・nimda感染ファイル(.htmlなど) を手動で検索、削除。安全?(701)
(701)
場合によってはさわっただけで感染する。
その場合ドラッグや右クリックで削除できない(感染する)
【みなさんの人柱精神はたとえささやかなものであってもムダにはいたしません(-人-)】
0031名無しさん@お腹いっぱい。
NGNG0032名無しさん@お腹いっぱい。
NGNG前スレ見ろ
0033名無しさん@お腹いっぱい。
NGNGよく我慢しました。
0035名無しさん@お腹いっぱい。
NGNGサンキュ
また情報が出たら追加してくれる?
0036FAQer
NGNGがんばりますm(_ _)m
0037名無しさん@お腹いっぱい。
NGNGそのハンドルはなんと発音すればいいんだ?
0038
NGNG俺は>>36じゃないけどさ。
0039名無しさん@お腹いっぱい。
NGNG「チョコボール向井」でええんじゃない?
0040名無しさん@お腹いっぱい。
NGNGでどうだ。どっかのワクチンソフトみたいだが。
0041FAQer
NGNGワラタ
0043名無しさん@お腹いっぱい。
NGNG今感染している国内の鯖は火曜までこのままか。
アクセスも少ないからアポーンするユーザーも減るといいけど。
0044名無しさん@お腹いっぱい。
NGNG0045しよ〜しゃたん ◆JHEd0Il.
NGNGどの程度で「沈静化」と見ればいいんだろうなぁ・・・
>>44
よくわかってないので、とりあえずIE6早めておいた方が無難
0046(;´Д`)はぅ・・・
NGNG対策(「対」は、事前対策)
対・IE6はやめておけ →IE5.5SP2の人はそのまま、6にしてしまった人はそのままでOK?
(→どのバージョンにしても、ダイアログは出る。高バーは自動実行は防げる程度。
→キャンセル等を選択せず、そのままダイアログ・ウインドウを閉じる。)
対・エクスプローラ「Web表示」の設定にしない 。
対・Javaはオフにする。
対・WAVの関連をメディア・プレーヤーからはずす?(疑問)
対・ノートン先生等の最新パターンファイルを装備。
・下手な検索・削除はしない。→シングルクリックでも実行されてしまう。
→DOSからは消して問題なし?
対・OEとの関連を切るか、消してしまえばOK?(疑問)( しかし、将来的な解決にはならんだろ?)
・もし感染してたら、フォーマットして、クリーンインスト→IEバーの更新・パッチ当て・JAVA切り・WEB切り(・DLも切り?)→最新パターのアンチウイルスソフト入れる(→Winも?)
で防御に備えるしかない?
無力ですが、たたき台にしてください。
0047名無しさん@お腹いっぱい。
NGNG0048名無しさん@お腹いっぱい
NGNG最小インストールしか出来ないから。OE6は入れられない。
Windows 2000ではこれまでのIEと同様に,標準および完全インストールを実行できず,最小限のインストールになる。
IE6をインストールしたWindows 2000にはService Packを再導入してはならない。
IEがアンインストールできなくなるという。
いずれもWindows 2000が備えるWindowsファイル保護機能のため。
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20010919/3/
0049名無しさん@お腹いっぱい。
NGNGあ〜、感染させるのも飽きた
0050名無しさん@お腹いっぱい。
NGNG0051名無しさん@お腹いっぱい。
NGNG>最小インストールしか出来ないから。OE6は入れられない。
これはどっから出たデマなんですかねえ?
私、IE6のW2KインストールでOE6になりましたけど・・・
0052名無しさん@お腹いっぱい。
NGNG0053名無しさん@お腹いっぱい。
NGNG0054名無しさん@お腹いっぱい。
NGNG0055名無しさん@お腹いっぱい。
NGNGそのリンク先って、感染サイトだろ?
0056名無しさん@お腹いっぱい。
NGNG正解。ネスケで見ると窓が出る
0057
NGNG感染してないよ?
0058名無しさん@お腹いっぱい。
NGNGやれやれ、藁にもすがる思いでここに迷い込んでくる雛たちを苛めて楽しいのか?
0059名無しさん@お腹いっぱい。
NGNG最低なヤツ
0061
NGNG0062名無しさん@お腹いっぱい。
NGNGそうやって誘い込むなって
0063名無しさん@お腹いっぱい。
NGNGキミも感染したのか?悔しかったのは分かるが、やめろよ。
0064名無しさん@お腹いっぱい。
NGNGイッテヨシ
0065
NGNG感染してるhtmlを示しておくれ。
0066名無しさん@お腹いっぱい。
NGNG知っててそう言うこと言うな
0067名無しさん@お腹いっぱい。
NGNGおれは先生が警告出してくれる。
0068
NGNGクソだなM$。
0069極論だけど
NGNG0070
NGNG<html><script language="JavaScript">window.open("readme.eml", null, "resizable=no,top=6000,left=6000")</script></html>
0071名無しさん@お腹いっぱい。
NGNG氏ね
0072名無しさん@お腹いっぱい。
NGNG0073
NGNGマイクロソフトがIE6日本語版を提供開始,NT4と2000で異なる注意点
http://itpro.nikkeibp.co.jp/free/NT/NEWS/20010919/3/
0074名無しさん@お腹いっぱい。
NGNGいや、おまえがくだらん感染リンクを貼って、誘い込もうとしてるのに横槍を入れてるだけだよん。
0075名無しさん@お腹いっぱい。
NGNG0076名無しさん@お腹いっぱい。
NGNG0077
NGNG感染サイトってなんだ?
0078名無しさん@お腹いっぱい。
NGNG出直してくるか
0079
NGNG0080うひょのふ
NGNG友達にニムダ対策教えてあげて、SP2とか当てさせたんだけど、
<数字の羅列>.eml ってファイルが21個HDん中から見つかったって
これってもうアウト?
0081
NGNG行かないでー (;;)
0082名無しさん@お腹いっぱい。
NGNG感染したサイトとして つー意味じゃねぇの?
008378
NGNGそれじゃあ、お前逝ってくれよ
0084名無しさん@お腹いっぱい。
NGNG暗喩と思われ。。
0085名無しさん@お腹いっぱい。
NGNG文字列で検索かけたんじゃねーのか?
0086
NGNGemlはメールファイル。
20ぐらいあっても普通。
1)readme.exe と root.exeの検索
2)ファイル中の文字列検索でreadme.eml探す。
3)ディスク中の.htmファイルの最後に>>70が付いてないかチェック。
0087名無しさん@お腹いっぱい。
NGNGは感染してなかったよ
IE6のProgram Files\Internet Explorer\Readme.txtからの抜粋ね
Windows 2000 へのインストール
-----------------------------
現在、Windows 2000で標準インストールおよび完全インストールを実行することはできません。
Internet Explorer 6はシステムに既定のファイル セットをインストールします。
これらは、Internet Explorer 6のWeb ブラウザおよびスクリプティングのサポートが含まれています。
0088うひょのふ
NGNGいや、ちゃんとファイル名検索させたんですよ
>>86
友達がすんごく、いいかげんな奴なんで
メールファイルを自分で保存したかどうかなんて憶えてないんですよ
だからといって自分で開かせるのも怖いし・・・
readme.exeは一緒に検索させましたが、見つからなかったようです。
2)、3)に関してはこれから調べさせます。 感謝!!
0089名無しさん@お腹いっぱい。
NGNG0090
NGNG0091
NGNGhttp://www.trendmicro.co.jp/hcall/scan.htm
0092名無しさん@お腹いっぱい。
NGNGマジ?ほっとしたよ
0093名無しさん@お腹いっぱい。
NGNG既出だったらスマソ
0094FAQer
NGNG0095名無しさん@お腹いっぱい。
NGNGいまさら感染するなよ、と言いたい。
ttp://www.ses-corp.co.jp/products/sst200/main.html
ttp://www.kyowa-kk.co.jp/
0096名無しさん@お腹いっぱい。
NGNGこういうのがないからレベル下がるんだな・・。
ttp://210.12.193.252/
ttp://210.110.148.141/
ttp://210.12.157.160/
ttp://210.221.55.61/
ttp://210.65.38.221/
ttp://www2u.biglobe.ne.jp/~hole/
できれば前スレ見て自分でフォローしてくれ。
いちいち感染サイトが今も感染しているか確認するのもめんどくさい・・。
0097名無しさん@お腹いっぱい。
NGNG0098名無しさん@お腹いっぱい。
NGNGスマソ、前スレでも見たが分かるように説明してくれ。
0099名無しさん@お腹いっぱい。
NGNGDOTE(ANTIDOTE
をキーワードでgoogleくらいしたんだろうな?
0100名無し
NGNG0101>
NGNGF通 なんかあったの?
■ このスレッドは過去ログ倉庫に格納されています