[stalk:00688] Re: CodeRedWorm

[Miharu <ensi@xxxxxxxxxxxxxxxx>]

瞠です。

CodeRedWormの駆除は再起動し、MS01-033のhotfixを適用するで
対処完了と言えるのでしょうか？

というのは、私の知り合いでCodeRedWorm感染し、
ヘルプ！ということで、知り合いと電話でいろいろと話したのですが…

MS01-033のhotfixを適用していない状態で、
IISのログ(7/20)に例のコードが残っていたそうです。
感染されたと思われる状態で、JPCERT-AT-2001-0018 (*1) に書かれているように
 netstat -an でチェックしたところ、CodeRedWormの活動時期ではない日時で、
明らかに不審な結果が得られたようです。

　例：C:\>netstat -an
      Active Connections
      Proto  Local Address          Foreign Address        State
　　　　　　　　　　　　　　略
      TCP    0.0.0.0:1250           0.0.0.0:0              LISTENING
      TCP    0.0.0.0:1251           0.0.0.0:0              LISTENING
      TCP    0.0.0.0:1252           0.0.0.0:0              LISTENING
　　　　　　　　　　　　　　略

1250/tcp,1251/tcp,1252/tcpのように連続したTCPポートでLISTENINGの状態が
数百以上存在していたそうです。
~~~~~~~~
そこで、実行プログラムが何か確認をしてもらうと、
その数百以上の不審なポートは全てinetinfo.exeだったとのこと。
また、少なくとも、そのinetinfo.exe自体が改竄されてはいないとのこと。
その状態で、再起動し、再度 netstat -an しても症状は同様だったとのこと。
#これはCodeRedWormの動きから残骸なのかなぁと想像しているのですが。。。

なにやら面倒そうなので、ちゃんと管理できていなかったのを反省して、
１からやり直したらどうだ？と言ってしまいました(汗

このような同様の症状や、この件について思い当たる方はいますでしょうか？
なにぶん、自分の管理するサーバーではないため、
聞いても何が変わるという訳でもないのですが、ちょっと気になったモノで(^^;
不確実性のネタで、杞憂だったらご免なさい。

#この手の話題はBUGTRAQ関連のMLでも見受けられないですし。
#実際に目で確認してないので確実性も若干低くなるといふ。。。

#山本さんの[stalk:00685]で話にでているsymantecのFixCodeR(*2)は
#多数の不審なポートがCodeRedWormによるところだとしたら、
#そこいらも修正してくれるのかなぁとも思ったり。




*1 JPCERT-AT-2001-0018
   http://www.jpcert.or.jp/at/2001/at010018.txt

*2 株式会社シマンテック、CodeRedに対する2つの無償ツールを提供
   http://www.symantec.com/region/jp/news/year01/010801_1.html
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　１０ＭＢ！？　　くれるんすか？？　　フリーメールなのにぃぃ？？？　 　
http://email.infoseek.co.jp/info/email_info.html?svx=971122