[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:03764] Re: code red

To: connect24h@xxxxxxxxxxxxxxxxxxxx
Subject: [connect24h:03764] Re: code red
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Mon, 06 Aug 2001 17:41:02 +0900

Port139 伊原です。

On Mon, 06 Aug 2001 16:28:33 +0900
KOJIMA Hajime / 小島肇 <kjm@xxxxxxxxxxxxxxxxxx> wrote:

>  Code Red II は backdoor を植え付けてくれるようです。よって、Code
>  Red II からのアクセスログは、backdoor があるホスト一覧とみなすこ
>  ともできます (宝の山かも……)。

詳細を確認してないのですが、濱本さんが紹介されていた記事等によると
WFP（ウィンドウズ ファイル プロテクション）を無効にするようにレジス
トリを変更するようですので、II に感染したシステムではシステムファイ
ルが改ざんされている危険性もありますね。
＃WFP については今月？のWindows 2000 World 連載でこのキーと共に触れ
＃ています。とちょっと宣伝。

オフラインで整合性チェックかければインストールされたバックドアや改
ざんされたシステムファイルは検出可能だと思いますが、バックアップが
あれば再インストールの方が早いかもですね...
＃もちろん、確認できないデータは戻さないという条件で。

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/


------------------------------------------------------------------------
　　　インフォシークに　『ファンドランキング』登場！！　ってなに？　　　
　　　　　 http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122

References:
- [connect24h:03734] Re: code red
  - From: K.Yamachika
- [connect24h:03758] Re: code red
  - From: KOJIMA Hajime / 小島肇

Prev by Date: [connect24h:03763] Re: code red
Next by Date: [connect24h:03762] Re: code red
Previous by thread: [connect24h:03813] Re: code red
Next by thread: [connect24h:03768] Re: code red
Index(es):
- Date
- Thread