パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

かなりヤバイワーム、W32.Nimda.A@mm」記事へのコメント

  • by Oyajikusai (1187) on 2001年09月19日 19時22分 (#23810)
    すみません、ちょっと混乱してました。

    ACさんと同じように、MS00-078パッチを当てたはずのサーバがやられたので、00078だけじゃダメなのかなぁと思ったのです。でも、攻撃パターンは00078の適用で回避できるタイプのものなんですよね。

    で、「おそらく」なんですが、

    1.以前、「copy c:\winnt\system32\cmd.exe inetpub\scripts\root.exe」というコマンドをなんらかのワームに実行されてしまった。
    2.このワームに対するパッチを適用した。root.exeはそのまま残ってる。
    3.シェルコマンドをやりたい放題に実行可能!

    っていう状況のサーバだったんではないかと思います。root.exeというファイルが、サーバに入っていたら要注意ですね。サーバに残っていたログを見る限り、UNICODEアタックの前に、root.exeが実行可能かどうかを調べているようなので、このワーム以前に流行した何らかのワーム(あるいはウイルス)にヤラレて、root.exeが残ったままの状況を想定して作られたワームなんじゃないかと思います。

私は悩みをリストアップし始めたが、そのあまりの長さにいやけがさし、何も考えないことにした。-- Robert C. Pike

処理中...