'code red'wormに続きw32/sircam
webserver buffer vulnerability
'code red'worm distribution
distributed dos attack
w32/sircam
opens file
writes text until disk
space is gone
SirC32.exe
patch:pandasecurity.com
サミットや将棋倒し、アホなFNS27時間テレビなんて
どっちでもええちゅーに!
2001-07-23
■破壊的な「W32.Sircam」警告/ウィルス対策ソフト各社
ウィルス対策ソフト各社はこのほど、ウインドウズに感染する破壊的なワーム「W32.Sircam.Worm@mm」の被害報告が急増していると警告した。このワームは独自のSMTPエンジンを持ち、感染するとランダムなドキュメントを埋め込んだ大量のメールを勝手に送信したり、Cドライブのすべてのファイルとディレクトリを削除したりする。また、ワーム本体にハードドライブからランダムなドキュメントを付加して外部に送信し、秘密情報を漏らす可能性がある。
このワームが添付されたメールの件名はランダムで、添付ファイル名と同じ。メッセージ本文は半ランダムだが、メッセージの最初と最後には英語またはスペイン語の文章が書かれている。英語の場合は1行目が「Hi! How are you?」、最終行が「See you later. Thanks」となっている。メールに加え、共有ドライブを探して自分自身を複製することで広がっている。
ワームに感染すると、毎年10月16日に20分の1の確率でCドライブのすべてのファイルとフォルダを削除するほか、33分の1の確率でハードディスクの残りのスペースをテキストで埋めてしまう。
このワームは「ごみ箱」フォルダ(RECYCLE BINフォルダ)に潜むため、通常の走査では検出されない。ウィルス対策ソフト各社は同ワームに対応する定義ファイルを用意するとともに、ごみ箱フォルダを走査対象に含めるよう勧めている。
[シマンテックの情報]
http://www.symantec.com/region/jp/news/year01/010723.html
[マカフィーの情報]
http://www.nai.com/japan/virusinfo/virS.asp?v=W32/SirCam@MM&a=S
[トレンドマイクロの情報]
http://www.trendmicro.co.jp/virusinfo/default3.asp?VName=TROJ_SIRCAM.A
(Mainichi Dailymail Internet)
まぁ、開かなかったけどな。
以下がメールの内容。
Hi! How are you?
I send you this file in order to have your advice
See you later. Thanks
そして、添付ファイルがMeals.doc.inkの2重拡張子。
怪しすぎ。
hanabi以来のウィルス到着にちょっと嬉しかったりして・・
まだウィルスが添付されたメール取ってあるが、
うpするか?
感染が広まることくらい予測できたはず。日曜日のうちに
ニュースで注意を呼び掛けていればよかったのに。
メッセージルールでハネたい。
さらし者にはるが、この際ヨシ。
とりあえず。konomi@konomi.co.jp
これでゴミ箱行きに設定すればいいでしょう。
Content-Type: multipart/mixed; boundary="----********_Outlook_Express_message_boundary"
(******** はランダムな英数字8文字)
感染するのは個人のパソコン1台1台のことだから、
ドメインがどうとかは関係ない。
これってごみ箱に貯めずに直接捨てちゃえば大丈夫なんかな・・・・
ちょっと今までのと挙動違う気がしたから 上げとく
同じ奴なんだけど、これってやばく無いか?
送信サーバ実装してるらしいけど、ループ防止してないのか!!!
勘弁してくれよもう、、、メールサーバー飛ぶじゃ無いかなこれ
良かったらメアドまで送ってください
ウィルス付きメール取ってあるぜ。送ろうか?
ちなみに送り主は
thepartyoftea@hotmail.com
たぶん外人だろう。なんで俺のアドレス知ってんだ??
WIN9X系では絶対開いちゃだめだよ
なんで?
即Sircamとわかったんで開かずに削除したけど、konomi@konomi.co.jp
なんてしらん。
全く知らない送信元からウイルスが飛んでくるってのが怖いな。
メアド晒してもいいが、俺のって証明できんし、物が物だし。
Webより
社名 株式会社 許斐
住所 〒107-0052 東京都港区赤坂1-11-36
電話 03-3505-5461
FAX 03-3505-5464
E-Mail konomi@konomi.co.jp
資本金 払込資本 1,000万円
授権資本 2,400万円
設立年月日 1983年 7月 11日
事業内容 日本国外または国内への長期投融資仲介業務
役員 代表取締役社長 許斐勝夫
従業員数 6名
いつも行ってるサイトの管理人に迷惑かけまくり
さいあく
http://www.zdnet.co.jp/news/0004/19/bsa.html
〜〜〜〜〜
拝啓 時下益々ご清祥のこととお慶び申し上げます。
平素は当社、LEC東京リーガルマインドをご利用頂きまして誠にありがとうございます。
さて、本日正午、弊社内ネットワークの一部が、新種のウィルスに感染していることが判明しました。
これは、今月18日に新たに発見された新種のウィルス
「W32/Sircam(サーカム)」というものです。
※ W32/Sircamに関する情報:http://www.ipa.go.jp/security/topics/sircam.html
したがいまして、2001年7月18日前後から本日までの間に
貴殿にお送りしたメールは、このウィルスに感染している可能性があります。
既にサーカム対策をおとりいただいている方もいらっしゃるものとは思いますが、
まだおとりいただいていない場合には、
下記のとおり早急にご処置をおとりいただきますよう、お願い申し上げます。
1.まず、感染したメールのタイトルには、意味不明の文字が羅列されています。
万一そのようなメールを受け取った場合は、添付ファイルを開かずにそのまま削除願います。
2.万一、添付ファイルを開いてしまった方は、
下記URLにある駆除ツールをダウンロード後、実行してください。
http://www.symantec.com/region/jp/news/year01/010723.html
(株式会社シマンテック社プレスセンター)
まずは取り急ぎ、お詫び方々、ウィルス対策をおとりいただきますよう、
お願い申し上げる次第です。
敬 具
***************************************************
LEC東京リーガルマインド インターネット事業本部
新宿区下落合1-6-9 卓謙ビル
http://www.lec-jp.com
E-mail:info@lec-jp.com
***************************************************
2001 年 7月 24日
--------------------------------------------------------------------------------
感染したパソコンのデータを10月16日に一斉に破壊してしまう、時限爆弾のようなコンピューターウイルスが日本に上陸し、被害を広げている。“潜伏期間中”にもパソコン内部の文書を外部へ無作為に流出させるウイルスで、自己増殖で拡大し、すでに大手オフィス用品通販会社や個人など被害件数が100件を超えている。専門家は「従来の有害な機能を巧みに組み合わせた最悪のウイルス」と注意を呼びかけている。
ウイルスは「SirCam(サーカム)」と呼ばれ、今月中旬、米国で発見された。24日現在、ウイルス対策ソフト会社「トレンドマイクロ」(東京都)の「危険なウイルストップ10」の1位にランクされている。
ウイルスは「Hi How are you?」などで始まる電子メール文書の添付ファイルとして送られ、開くと感染する。パソコンが社内ネットワークでつながっていると、全パソコンに感染が拡大する。パソコン内にある内部文書に自分のコピーを埋め込んで自己増殖し、添付ファイルの形でパソコンに記録されているすべてのメールアドレスに次々と送信する。10月16日になると、感染したパソコンの内部データが一斉に破壊されるよう仕組まれている。
被害にあった通販会社では、今月20日に顧客から1台のパソコンにメールが送られてきた。
添付ファイルは普通の文書のように見えたため、従業員が疑わずに開いたところ、すぐに感染。結局、ネットワークでつながった5台のパソコンに侵入し、駆除されるまでの約1日間で推定180件の感染メールを外部へ送信した。
同社は以前から全パソコンにウイルス対策ソフトを導入し、頻繁に更新していたが、新種のため防御できなかった。
ウイルス対策ソフト会社などでは、サーカムは発見・駆除しにくいため、「とにかく不審な電子メールの添付ファイルは開かないように」と注意を呼びかけている。
ファイルはキレイに
ウイルス部分+ファイル部分
に分かれるんだけど、この分かれ目が何バイト目かっていうのはファイルの種類に
よって違うみたいだな。
調べる方法知ってるヤツ教えて。
1個目の拡張子と同じファイルの先頭数バイト調べて
バイナリエディタで検索だな
http://ton.2ch.sc/test/read.cgi?bbs=sec&key=995941035&ls=50
ここの mail.konomi.co.jp というサーバが利用されたのかも?
こっちはファイルサイズは、1.4メガもあったぜ。なんで??
同じく2重拡張子 ???.zip.pif だったかなぁ。
今回のメールって、あの通販ショップ サクセスから漏れた顧客情報が
利用されたのとは違うの?
俺も、サクセスを利用していたから、多分漏れた。
サーカムはアドレス帳のほか、インターネットキャッシュファイルにある
HTMLのなかから、メアドを抜き出して独自にリストを作ります。
サクセス関係なし
それは知ってるけど、konomi@konomi.co.jp なんて知らないし
俺のメアドは、何処にも乗せていない、本メアド宛だったよ。
勿論、BBSにも書いた事など無い。
サクセスでは、知らせて居たけどね。
参照したzipファイルが大きかったからウィルス部分を被せると、
1.4MBになっただけでは?
>>34
ベタやけどウィルス製作者とか?
巷で大流行中のワームウイルスが送られてきた。対策は万全だし、そもそも怪しげな添付ファイル付きのメールは開かないので何ら被害はなかったが、念のためということで各種チェックをするなど、余計な手間をかけさせられて不愉快。不愉快と言えば、i-mode宛の出会い系サイト宣伝メールが最近一段と増えてきたので、指定アドレス以外は着信拒否にした。こないだはメインPCの接続環境をケーブルネットにしたら、普段使ってるニフティのメール送信ができなくなったし、どうも最近はメール関係のトラブルが多い。
威力業務妨害で訴えたい気分。(ウィルス作者とヴァカ初心者を)
シマンテックのページに駆除ツールがあるよ。
でもネットに繋いだら、君が発信者になっちゃうね。
http://www.symantec.com/region/jp/sarcj/data/w/w32.sircam.worm@mm.removal.tool.html
三日遅れはボケすぎ…
http://www.konomi.co.jp
E-Mail konomi@konomi.co.jp
株式会社 許斐は、1983年に許斐 勝夫(このみ まさお)により設立され、
日本を中心に国際間の長期投融資の促進を図るインターナショナル・
インベストメント・バンキング・サービスを提供しています。
ココに聞けば?つーか苦情逝ってよし。
prodigy.net.mxとかkeio.ac.jpからも送られてきてる。
中には日本語「○○社長様.doc.pif」なんて添付ファイルもありました。
ロリータ画像がいっしょに持ってかれてるとヤバイ。
interq.or.jp
neweb.ne.jp
dti.ne.jp
とかのプロバイダドメインからも送られて来た・・
こりゃ被害は甚大かな・・
この手のメールが来たら手当たり次第に忠告レスしまくってるけど・・
出会い系サイトとか自分のメアド晒せば来るかな・・・。
大変重要なお知らせです。
あなたのアドレスから
「xxxxxxxxx.doc.pif」という添付ファイルとともに
下記のようなメールが送られて来ました
> From: "xxxxxxxx"<xxxx@xxxxx.xxx>
> Date: Thu, 26 Jul 2001 11:09:48 JST
> To: xxxx@xxxxx.xxx
> Subject: xxxxxxxxx
>
> Hi! How are you?
>
> I send you this file in order to have your advice
>
> See you later. Thanks
被害を最小限にとどめるべく
早急に対処して下さい
2ちゃんセキュリティ板の関連スレ
↓↓↓↓↓↓
http://ton.2ch.sc/test/read.cgi?bbs=sec&key=995726416&ls=50
symantec社のサイト
↓↓↓↓↓↓
http://www.symantec.com/region/jp/
ウィルス情報の詳細はコチラ
↓↓↓↓↓↓
http://www.symantec.com/region/jp/sarcj/data/w/w32.sircam.worm@mm.html
駆除ツールはコチラ
↓↓↓↓↓↓
http://www.symantec.com/region/jp/news/year01/010723.html
嫌がらせしたいだけなら他のでもいいだろ。
アンチウィルスソフト反応しなかったし。
これはよいね。メーラーから送信されるわけじゃないので
気づいてないおバカは結構いそうだ。
今までに届いたウィルス入りメールを見ると、
給与明細.xls
管理職規定.doc
○○名簿.doc
などなど、外部に見られたらマズそうなファイル名がいっぱいで楽しい。
中身を読めなくても、ファイル名が
○○会社提携契約.doc
とかになっていれば、それだけで会社の機密が漏れる。
そうかもしれないし、ちがうかも、、
害虫駆除.doc
なるファイル入りのサーカムが届いた。(藁
お宅のパソコンのウィルスを駆除しろ〜
馬鹿学生にはパソコン使わせるな。腹立たしい!
http://www.zdnet.co.jp/news/0107/24/e_sircam.html
バレたらマズいんじゃない?──SirCamは何でも暴露する(国内編)
http://www.zdnet.co.jp/news/0107/25/sircam2.html
元ファイル開けないのよ。方法ないかなあ
ネエネエ、それアップしてよ(w
更に不安定…
XPは再インストかなり制限されるようだし
95に戻すか?(w
Outlookに送信先ねえんだ(^^;
外人からしか来ないし、しかも英語圏はまれだから文字化けってんの。
アドレス帳は関係ないよ。
過去に見たHPにメールアドレスがのっていればそれに送信するから。
だから「かなりやっかい」な代物なの。
■盛岡、宇都宮、長野にもSircamウイルス
今月17日に発見された新種のコンピューターウイルス「W32/Sircam(サーカム)」の感染が25日、盛岡商工会議所(斎藤育夫会頭)のパソコンで確認された。このウイルスに感染すると、アドレス帳などに登録している人たちに、自分のパソコンのハードディスク内のファイルを勝手に送信する。個人情報がメール登録者にもれるだけでなく、受信した側のハードディスクの空き容量を埋めてしまうことが考えられるという。
盛岡商議所では25日朝、感染を確認。発見前に所内の他のパソコンにファイル添付のメールが送信されたため、所内の半数以上のパソコンが感染した。情報処理振興事業協会(村岡茂生理事長)セキュリティーセンターによると、21日に初めて届け出があり、26日までに100件以上が確認されている。感染力が強く危険なウイルスとみて警戒している。
同協会へのコンピューターウイルスに関する届け出は99年3645件、00年1万1109件で、今年はすでに9569件が報告されている。
一方、宇都宮市広報課のパソコンもSircamに感染していることが26日、明らかになった。同課は25日に駆除作業を行い、庁内の他のパソコンなどには影響はないという。
同課によると、Sircamは24日午前10時ごろ、「日本水道協会」が発信元のメール2通に添付されていた。25日朝、受信元から感染を指摘され、駆除を行った。感染した広報課のパソコンからは、約20通の感染メールが届けられているが、被害はなかったという。
サーカムは今月18日、アメリカで初めて被害が確認された。日本語、英語、スペイン語など数バージョンがあり、被害は全世界に広がっている。
また、長野県庁にも24日夕、Sircamに感染した大量の電子メールが届いた。受信メールを駆除したため、被害はなかったが、外部感染を防ぐため、県は25日午前9時から4時間にわたってメールの送信を停止した。県情報政策課によると、25日正午までに県庁の52課に102通のメールが届いた。
(Mainichi Shimbun)
アホ学生やエロ会社員への警告だな(w
とりあえず
インターネットオプション>ファイルの削除>履歴のクリア
マメにやってりゃ大丈夫?
Sofmapで売ってくれなないかな(w
契約書
見積書
発注書
とある製品の仕様書(某社開発部)
台湾の宗教団体の会報
取引先社長へのFAX
カナダに住んでいる日本人が英語で書いた日記
メキシコ人の履歴書
パンダのgif画像(zip書庫)
安室奈美恵の記事スクラップ
飲み会の案内
地獄変 芥川龍之介 (青空文庫 http://www.aozora.gr.jp/ で公開のzip書庫)
他、意味不明のエクセルファイルが数個。
>>70
エロ画像はzipで固めてないかぎり流出しないぞ。
実は結構シマンテック自身開発してたりしてぇっ(^^;
大丈夫か頭。
そらすなYO
いったい何日なんだ?
○しても
だろ馬鹿
そんなメール出してないと叱られた…
鬱だ…
メールが届いた。
どこかで晒されてるのかな?
sircamは自身でsmtpもってるから、出してない発言は
通用しない。逆切れかましてやれ!
>>81
だからぁ、、アドレスハダレカが知ってるんだろう?
Outlook Express ですが、添付ファイルはダブルクリックできません。
選択画面しか出ないのですが、どうすればダブルクリクできますか。
ソース読んでないから知らないし、何も逸らしていない。
>>83
リストにされてるメールをダブルクリックして、添付ファイルをデスクトップに
ドラグ&ドロップしたらダブルクリックできるだろ。
粘着揚げ足取りばっかでしょうもな。
精神衛生に悪い。
お客さんがウィルス感染して、自動的に送信された可能性があるって
ちゃんと言った?
80さんが悪い人なら、CIHでも送り返してやろう。
80さんが良い人なら、トロイを仕込んで遠隔操作してウィルス駆除してあげよう(ワラ
自分は>>49のお手本を参考に、感染お知らせメールを送ったら、
感謝された。2chマンセー。
危険なCGIがいっぱい
http://000.zive.net
(危険保管庫)
Address: 202.212.180.132
Name: st0132.nas911.matsue.nttpc.ne.jp
Address: 202.212.180.132
Aliases: 132.180.212.202.in-addr.arpa
危険なCGIがいっぱい
http://000.zive.net
(危険保管庫)
もしかしてDUKEのこと言ってるの?まさかね
ソースなんて公開されてねーよ。バカ
74ではないが、
大した機能が組み込まれていないウィルスなのに、あのファイルサイズは
Delphiで作った疑い濃厚ですな〜
米連邦捜査局の(FBI)の米国家インフラ保護センター(NIPC)は29日(米国時間)、マイクロソフトのウェブ・サーバー・ソフト「IIS」に感染するワーム「コード・レッド」が、米東部夏時間7月31日午後8時(日本時間8月1日午前9時)に再び活動を再開する恐れがあるとの警告を発した。NIPCはIISユーザーに対し、直ちにセキュリティ修正パッチを当てるよう呼びかけている。
コード・レッドは7月19日に発見されたワームで、感染すると次の標的を求めてIPアドレスを走査し、セキュリティ欠陥をもつIISサーバーを見つけて自己増殖する。7月19日には、感染したサーバーを踏み台としてホワイトハウスのサーバーに分散サービス拒否(DDoS)攻撃を仕掛けたが、ホワイトハウスはIPアドレスを変更して攻撃を回避した。
NIPCは、コード・レッドが突然変異して、活動再開時には危険度が増している可能性があると警告。感染が拡大すると、頻繁にIPアドレスを走査することでトラフィックが増加し、企業や個人による電子商取引や電子メール、エンタテインメントといったインターネットの利用が一時不能になる恐れもある。
[NIPCの警告]
http://www.nipc.gov/warnings/alerts/2001/01-016.htm
(Mainichi DailyMail Internet)
米政府とコンピューター業界は30日、インターネットのデータ送受信を妨害する「コード・レッド」と呼ばれる新型ワームが米東部時間31日午後8時(日本時間8月1日午前9時)に世界にまん延する恐れがあるとする警告を共同で出した。ワームはウイルスと異なりユーザーがメールを開いたりしなくても感染し、爆発的な勢いで広まるため、マイクロソフトの予防ソフトで直ちに対策をとるよう呼びかけている。
「コード・レッド」はネットのデータのやりとりを管理するサーバーに侵入し、送受信の渋滞を引き起こす。19日に米国でホワイトハウスのサーバーが被害を受け、9時間で25万台のサーバーに感染したことが確認されている。米国家情報インフラ保護センターによると、ワームに組み込まれた時計により、31日に一斉に感染が再開する見通しだ。被害を食い止めるには、いったんコンピューターの電源を切るしかない。予防ソフト使用法の詳細を示すホームページは以下の通り。http://www.digitalisland.net/codered/
うるさいなー、リンク先だけ貼りゃいいじゃん!
100〜のスレッドの続きを読む
