Subject: １３５番ワームにやられました（汗）

公開するのは、すんごく恥ずかしいのですが、まぁネタということで。

＃おかげで今日もアニメ視聴が進んでいません。
＃ ORBit2 の調査もしたいのに(汗）。

EXEの場所がわかったので、試しに某セキュリティメーカのonlinescan を
やってみましたが実態は不明です。新種なんですかね？


警視庁が発表したらしい７月治安情勢に関する記事 (impress)
  によりますと、

）6月から13.6％増加。
）日本国内の特定ホストから大量のアクセス。
）宛先ポート別の分類
）TCP 135番ポートが37.7％、
）TCP 445番ポートが15.3％、

だそうです。

じ、実はですねぇ、２回目なんですよ（大汗）。
あ〜だから、 Win98SE を使い続ければよかった。なんて（おぃ）。
＃ 98　でも感染するのかも？

前回は、 csrs とか isass とか紛らわしい名前のプロセスが動いていて、
ファイルの存在も見えなくするという、かしこいワーム？で、
Win98 を起動して削除したんですが、今回はあっさり削除は出来ました。
（レジストリのいつもの場所が細工されるのは昔から同じですから）
（ 某所のＰＣでも不要なプログラムは片っ端から消してますし（おぃ））

で、何が賢いかって、毎回ファイル名がランダムに変わるんです。
＃前もそういうのあったかも知れません。忘れました。
４文字.exe ってどっかの「４文字略語」にちなんだ訳ではないでしょうけど。

前回感染したときは、原因がどう考えても不明だったのですが、今回は、
感染ファイルの時刻に rim に接続したことを思い出し判明しました。

そうです、たった数十分間、無線Lan(32Kbps) でダイアルアップしていた
その瞬間に感染していたんです。　CATV は心配でルータいれて
いましたが、盲点でした。

またテロが近づいていて、地下で情報戦争がはじまっているんじゃ
なんて妄想してしまいますが、単に私がパッチを当て忘れていた
だけな気もします。

＃オンラインスキャンで検出しなかったのが不思議です。

プログラムの中に固有の検出キーがなくてファイル名もランダムだったり
すると、ワーム検知するルールが無かったり。
＃自分自身をランダムに暗号化してたりしたら、すごすぎ(笑)。

という訳で、ちょーっとわくわくしながら昔の Nimda 騒ぎを思い出し
つつパッチをあてたりしました。

＃ 135 を閉じる方法がないみたいなんです。まぁ、めったに
＃ dialup しないので、dialup後は、タスクマネージャで確認するしか
＃ ないですかねぇ。はぁ。
＃ 最近はルータのランプ、いつも見える場所に置いているので
＃ 妙なアクセスがあれば、比較的すぐ気づきますけど…。
＃　ある程度広まったところで、システム破壊ウイルスがばらまかれたら
＃ 悲惨なことに。 RAID に頼って、たいしてバックアップとってないし。
＃　早めに CD-R 焼いとこうと言いつつ今日もなにもしないかも。

だいたい、 SP4 をあてたあと、２〜３個しかパッチあててないのが
間違いなのは判っていますが。

||   Remote Procedure Call (RPC)
||   エンド ポイント マッパーや各種の RPC サービスを提供します。
||  「\WINNT\system32\svchost -k rpcss」

これを止めると (ファイル名を変えて起動）　135番も閉じるようですが
そうすると前みたいにウィンドウも開かなくなって、サービスの
画面での制御ほか、ほとんど再インストール必至な状況になるんです。
＃今回は、rename した後、サービス再開は出来ました(笑)。

仕方ないので、
[MS04-012] Microsoft RPC/DCOM 用の累積的な修正プログラム
Windows2000-KB828741-MS04-012.EXE　を今日は適用しました。

＃こーんな古いパッチも必要なんですね。　そろそろ SP5 を
＃出して欲しいですが、まぁ無理でしょう。

普段から使っていれば更新状況に気づきますが、って SP4 以降の
パッチを一通り見る必要があるんでしょうけど、あー面倒（おぃおぃ）。