[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
[port139ml:03930] Re: Blaster vs Windows Server 2003
- To: port139ml@xxxxxxxxxxxxx
- Subject: [port139ml:03930] Re: Blaster vs Windows Server 2003
- From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
- Date: Tue, 19 Aug 2003 15:02:55 +0900
Port139 伊原です。
On Tue, 19 Aug 2003 14:16:53 +0900
Makoto Shiotsuki <shio@xxxxxxxxxxxx> wrote:
>eeyeの分析結果を見る限り、BlasterはXPもしくはW2Kをターゲットにしている
>ようです。
>http://www.eeye.com/html/Research/Advisories/Blaster_Analysis.txt
やはりそうですか...残念(何が?)
# SRP で実行を制御できるか試したかったのですが XP で POT を作らない
# と実験できなさげですね...
>2003の場合、Blasterがリターンアドレスとして設定する0x0100139Dや0x0018759F
>は"CALL EBX"に相当しないため、スタックには飛ばないと思われます。
2003 の場合には、感染(というか攻撃)されると、RPC が落ちてシステムが
勝手に再起動を開始するんですが、調査中に勝手に再起動を開始されると、
「止めて〜!」と叫びたくなります。
# けど、中止するボタンはポップアップメッセージには表示されない...
再起動の理由に「OSが勝手に再起動しやがった」を入れて欲しい:p
--
セキュリティ・スタジアム セミナー
「コンピュータ・フォレンジック」参加者募集中!
http://www.jnsa.org/seminar_20030910.html
Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
Microsoft MVP (Security)
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/