[connect24h:6228] Re: 流行の兆かな

["M.Hasegawa" <magma_01@xxxxxxxxx>]

長谷川です。


> > ■MS03-026 RPC Vulnerability Scanner(Scanms)


> 同様のに
>   http://www.eeye.com/html/Research/Tools/RPCDCOM.html
> ってのもありますね．こちらも私は使ったことないです．(^_^;)

仕事場で、これをダウンロードしてたらVirusScanにひっかかりましたね。
Exploit-DcomRpc が検出されてました。

http://www.nai.com/japan/security/virE.asp?v=Exploit-DcomRpc


ただし、まだ自分としてはハッキリダウンロードしたファイルが
まずい！といいきれないんですね。

・・・というのは、 と、

最初にRetina Network Security Scanner、次にRetina RPC DCOM 
Vulnerability ScannerをDLした時点で警告が出たんですが


・他にダウンロードしていたものが無かったこと

・使っていたブラウザ(mozilla)のキャッシュファイルの置き場所
  と、C:\Document and Settings\Username\Local Settings\Temp
  の二箇所から検出されたメッセージが出た

このへんから、e-eye のブラウジング、もしくはDLしたファイル
が感染原因なのかな？と最初は考えました。

しかし、ためしに再度各プログラムのダウンロードをしてみましたが
今度はウイルスは検出されませんでした。


その後の対応として

・検出時のメッセージでは駆除できなかったので一旦感染ファイルを
  削除した

・いったん削除したが、あとでフリーツール「復元」を利用して
  削除した感染ファイルを回収し、ブラウザで開いてみて本当に
  e-eye のサイトを見ていて感染したのかチェック(サイトのキャッシュ
  かもと思った)しようとしたら、バイナリファイルとしてダウンロード
  するか指定するよう求めるダイアログが出た

Netcraft で、WebServer Search を e-eyeにかけてみると


Results for www.eeye.com

Found 5 sites
1. www.eeye.com [What's that site running?]
2. www.eeye.com.br [What's that site running?]
3. www.eeye.com.my [What's that site running?]
4. www.eeye.com.sg [What's that site running?]
5. www.eeye.com.tw [What's that site running?]

とでていて、かつ

"running Microsoft-IIS/5.0 on Windows 2000."
という結果が得られるところもあるようなので、もしかしたら
e-eye内部がやられてるって可能性は考えられるでしょうか？



**********************************************************
Masashi Hasegawa

mail: magma_01@xxxxxxxxx
url : http://homepage2.nifty.com/magma/

★このメールは100%リサイクルされた電子でできています(^^;;★





--[PR]------------------------------------------------------------------
◆ 企業向けメーリングリスト管理ソリューション　‥‥‥‥‥‥‥‥‥‥
　（株）ネットエイジはシステム管理者に頼らない。ビジネスクラスの
　メーリングリスト管理ソフトウェア ｍｅｌｐｏｄ（メルポッド）を
　販売開始しました。３０日間無料トライアルが可能です。
　 http://ad.freeml.com/cgi-bin/ad.cgi?id=cdeeN
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp