[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:03737] Re: CodeRedII

To: connect24h@xxxxxxxxxxxxxxxxxxxx
Subject: [connect24h:03737] Re: CodeRedII
From: Yoshiaki Matsushima <yo-matsu@xxxxxxxxxxxxxxxx>
Date: Sun, 05 Aug 2001 13:18:21 +0900 (JST)

松島です。

hamamoto <r00t@xxxxxxxxxxx> さんが、
Sun, 05 Aug 2001 10:22:41 +0900 頃書いた、
[connect24h:03730] CodeRedII への返信です。

r00t> [stalk]にCodeRedIIの報告が上がってきています。
r00t> 元ねたはsnort-usersからのようです。
r00t> 
r00t> 初代CodeRedがNNNNが連続するため、タイプNとすると、今回のバージョンは
r00t> XXXXが連続するため、タイプXといった所でしょうか。
r00t> 恐ろしい事に、Sadmindのような攻撃パターンをしてくるようです。
r00t> さらに感染範囲が広がりそうですねぇ。

ウイルス情報で Sadmind を調べてみたら、cmd.exe をWebディレクトリ内に
root.exe としてコピーする部分などコマン文字列は、XXXXタイプ(CodeRedII)
と符合します。他にも \progra~1\common~1\system\MSADC\root.exe なんて在っ
て、ここにもcmd.exeをコピーしているようです。オマケに SFCDisable なん
て呪文まで唱えているようだし・・・、チャント動いたら相当凶悪な感じです。

-- 
松島 義明  (yo-matsu@xxxxxxxxxxxxxxxx | matusima@xxxxxxxxxxxxx)

------------------------------------------------------------------------
　　　インフォシークに　『ファンドランキング』登場！！　ってなに？　　　
　　　　　 http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122

References:
- [connect24h:03730] CodeRedII
  - From: hamamoto

Prev by Date: [connect24h:03736] Re: code red
Next by Date: [connect24h:03738] Re: code red
Previous by thread: [connect24h:03730] CodeRedII
Next by thread: [connect24h:03771] Re: CodeRedII
Index(es):
- Date
- Thread