朝起きたら寒い。車に雪が積もってる…。
なんで、普段車に乗らない私が、こういうときにかぎって…。
仕方ないので、昨日のお風呂のぬるま湯を車にぶっかけ、出発準備。
バイパス凍結していないと良いな…。
朝起きたら寒い。車に雪が積もってる…。
なんで、普段車に乗らない私が、こういうときにかぎって…。
仕方ないので、昨日のお風呂のぬるま湯を車にぶっかけ、出発準備。
バイパス凍結していないと良いな…。
先日、伺ったお客様の朝10時。
結局、手間を考えると、OSリカバリという方向に持ってゆく。
すんなりと完了。とりあえず、いじくり倒して変なことするのだったら…ってことで、 1CD KNOPPIX 3.7を渡し、これで一通りのことは出来ますから。と説明。ウィルスに感染することも殆ど無いし、もし、感染してしまったところで、再起動すれば終わりますからと。(例外的に、マウントされたHDDに書き込まれたり、IPL当たりやられたらアレだが。)てなわけで、KNOPPIXを布教してみる。あと、Windowsを使っている上での、簡単な対策方法(WindowsUpdate/VirusBusterのUpdate方法等)を説明。
と言うわけで、色々と作業&丁寧に解説。とかやってると13時過ぎ。
お客様が、チャーハン、サラダ、みそ汁を作って下さったので、頂く。
ありがとうございますm(__)m
それにしても、私とは大違い。同い年とは思えず。
家事こなしてるし、包丁も使い慣れてる。見習わなきゃ。
とか、IRCで言うと、酷いこと言われたT_T
<k********> tomochaの手料理って言葉には何も感じないのは何故だろうゴルァ!
<k********> アレゲだから??
<k** > ケーブルの切りくずとか入ってそうだ
■ 症状及び対応詳細 症状: デスクトップが書き換えられ、ActiveDesktop で HTMLページを表示。 JavaScript/ActiveXで制御し、常にポップアップウィンドウ、 署名のされていないActiveXの実行を許可するダイアログを求る状態。 +Adwareのバイナリ実行ファイルが動いていてキャンセル出来ない状態。 (spyware/adware) spybot/ad-wareで殆どのadwareを取り除くことが出来た (virus) WORM_MYDOOM.AM http://www.microsoft.com/japan/technet/security/virus/Mydoom.asp TROJ_HACKING.AG http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_HARNIG.A BKDR_BANCODOR.X http://uk.trendmicro-europe.com/enterprise/security_info/ve_detail.php?Vname=BKDR_BANCODOR.X auto_tsc.com ツールを使用 WORM_MYDOOM.AMとTROJ_HACKING.AGは駆除完了 BKDR_BANCODOR.X 駆除完了出来ず、検出は可能。 ※ 尚、昨日の時点では、BKDR_BANCODOR.X のURLはgoogleで検索出来ず。 28日朝現在、情報出てきました。かなり新しい物(2005-01-26)のようです。 VIRUS NAME RISK RATING DATE PATTERN FILE BKDR_BANCODOR.X Low 2005-01-26 2.371.00 BKDR_BANCODOR.X の詳細 このウィルスの確認した症状 ・Windows XPを起動直後、IEXPLRORが10枚程度起動を確認。 IEの画面は開かずバックグラウンドでウィルスが走っていると考えらえられる。 ・キーロガーが走り、特定のアドレスにログを投げつけていると思われる。 (BKDR_BANCODOR.Iの情報より) ・外部のホストに接続している。yahoo.com、オーストラリア、他色々。 netstat -an で検出された、バックドアへの接続先及び試行先 直接、管理用端末(自分のマシンのvmware)を立ち上げ、Linuxを使用し接続を行う。 以下、ログ > host 192.168.0.11 > host 207.68.172.234 > whois 207.68.172.234 > host 61.213.182.253 > whois 61.213.182.253 > w3m http://61.213.182.253/ > jwhois 61.213.182.253 > host 65.169.170.149 > whois 65.169.170.149 > w3m http://65.169.170.149/ > telnet 65.169.170.149 80 > host 32.114.14.11 > whois 32.114.14.11 > whois 38.118.133.186 > whois 210.174.185.15 > whois 207.68.173.254 > whois 61.200.83.62 > whois 65.170.56.12 > whois 38.118.133.186 > whois 220.168.51.219 > whois 216.239.57.103 > whois 207.68.173.254 > whois 216.155.193.202 > telnet 216.155.193.202 8002 > telnet 216.155.193.202 8002 > host 212.227.34.3 > w3m http://212.227.34.3/ > w3m http://www1.sedoparking.com./ > telnet 66.114.153.8 80 > telnet 66.114.153.8 2059 > telnet 66.114.153.8 4344 > telnet 213.159.117.134 80 > w3m http://213.159.117.134/index.php > whois 213.159.117.134 駆除試行内容 1. auto_tsc.com を使用。検出可能。駆除不可 ログ: > BKDR_BANCODOR.X[virus clean failed] > -->delete process("IEXPLORE.EXE","","") fail > -->reboot delete file("C:\WINDOWS\iempview.dll","","") success タスクマネージャでIEXPLORE.EXEを殺すと > -->delete process("IEXPLORE.EXE","","") fail は出ず → 失敗。何度やっても同じ結果。 2. C:\WINDOWS\iempview.dll をセーフモード+コマンドプロンプト (以下、safe+cmd)で削除 → 失敗。何度やっても同じ結果。 3. IEのキャッシュ、cookie、テンポラリ他全削除、 regeditで自動起動部分確認・削除、スタートアップを確認 HKEY_LOCAL_MACHINE>Software>Microsoft>Windows>CurrentVersion>Run C:\windows\*.srv.exe なるエントリーが3つ lubsrv.exe 33,280 rsfsrv.exe 36,352 yvkxsrv.exe 39,936 → safeでreg 削除 → safe+cmd モードに移行 > cd \windows > dir /s *.srv.exe 1700個ぐらい検出 全て削除 → WindowsXP起動、駆除できておらず → 失敗。何度やっても同じ結果。 その他参考URL http://64.233.187.104/search?q=cache:TATH0JCRVuUJ:\ www.trendmicro.com/ftp/products/tsc/releasenotes.htm+BKDR_BANCODOR.X&hl=ja 2005/1/27のgoogleキャッシュ。この時点でauto_tsc.comにより、サポート となっている。検出のみ可能。駆除不可。safeモードでも同様 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_BANCODOR.I&VSect=T > This backdoor uses the said malicious files to log all keyboard > strokes from a target system. It then saves the gathered > information to WINSYSLOG.DLL, which is then sent to the following > email addresses that are likely owned by the malicious user: →WINSYSLOG.DLL 確認出来ず。SMTP以外の方法を使っていると考えられる > This malware uses the following SMTP servers to send the email > message containing the log file: →SMTPへの接続確認出来ず →失敗 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_BANCODOR.N →失敗 http://housecall.trendmicro.com/ BKDR_BANCODOR.N/Iより、これを使って下さいと言うこと。 > Trend Micro customers need to download the latest pattern file > before scanning their system. Other Internet users may use Housecall, > Trend Micro痴 free online virus scanner. → 検出、clean complete と表示されるが、駆除出来ず。 → ウィルスにより、抑制されている可能性有り。 → 補足: MyDOOMに感染している際、trendmicroのサイトに繋がらないようになる。 hosts書き換え、IP直打ち、NG MyDOOM駆除後接続OK →失敗 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=BKDR_BADCODOR.A > ・感染確認方法: > ツールを実行してしまった場合には、<Windowsシステムフォルダ>に > 複数のファイルが作成されます。またレジストリの値が追加されます → これの亜種。上記の症状は確認。 c:\windows\*.srv.exe が大量に発見される (おおよそ1700個) http://www.google.co.jp/search?num=100&hl=ja&c2coff=1&rls\ =GGLD%2CGGLD%3A2004-43%2CGGLD%3Aja&q=%22BKDR_BANCODOR.X%22&lr=lang_ja
あちこちで話題になってるケド。
私は一太郎3から使ってきたユーザ。
今となって無くなるのは寂しい。
この件について、対策の取られた物を開発し続けて欲しいと思う。
といっても、一太郎11までしか買ってないけど(笑)
とりあえず関連URLでも。
とてつもなく裁判所のサイトが重たいため、imageを含め、zipでまとめてあります。
リンクは張りませんが、場所は、`/diary/img/今日の日付.zip' に有ります。
ネットエージェント社より、IDS-HUB と言う商品名で販売。
どっちかというと、今では数少ない馬鹿ハブ(ダムハブ)の一種のような。
昔、スイッチングハブ(100Base-TX)が高かった時代、4ポートの馬鹿ハブ買ったなぁ…。
一応まだ、現役で有る(使ってないけど)
from luminのコードめも
さすがに酷い。まぁ、どこもよく似た物ってことで。