[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00743] Re: CodeRedWorm

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00743] Re: CodeRedWorm
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Mon, 06 Aug 2001 10:01:37 +0900


Port139 伊原です。

On Mon, 06 Aug 2001 09:06:37 +0900
Shikap <shikap@xxxxxxxxxxxx> wrote:

>hsjさん曰く、
>CodeRedが大量にネットワークコネクトしようとする上、どうやら
>NT系のnetstatが表示上のバグ持ちなのでそう言う風に見える。

あ、しつもーん。

CodeRed が外部への攻撃を行う際に利用するポートが netstat では
LISTENING 状態に見えてしまうのでしょうか？
それとも、実際に CodeRed がコード中で何らかの通信用に LISTENING
状態でポートを開いているのでしょうか？


>CodeRedはメモリ感染なので、再起動かけるとワームは消えてしまう
>ので、リスンポートがなくなったように見える。

かなり適当な推測というかいま思いついたのですが、inetinfo.exe
はデフォルトで 3001－30115/tcp 辺りのポートを LISTENIG で空け
ますが、ひょっとして CodeRed により増幅された inetinfo.exe が
その度にこのポートを増やしてたりしないっすかね？
CodeRed 自体はポートを空けたりしてないんだけど、利用している
inetinfo.exe のプロセスが勝手に空けるので CodeRed が立ち上げる
スレッド数分ポートがあいてるぞ～みたいな。
＃かなり適当な推測なので信じてはいけません:p

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　インフォシークに　『ファンドランキング』登場！！　ってなに？　　　
　　　　　 http://fund.infoseek.co.jp/Rfund_top.cfm?svx=971122

Follow-Ups:
- [stalk:00747] Re: CodeRedWorm
  - From: Shikap

References:
- [stalk:00713] Re: CodeRedWorm
  - From: MICKY
- [stalk:00741] Re: CodeRedWorm
  - From: Shikap

Prev by Date: [stalk:00742] Re: CodeRedWorm
Next by Date: [stalk:00744] Re: [FYI] Re: new Worm?
Previous by thread: [stalk:00742] Re: CodeRedWorm
Next by thread: [stalk:00747] Re: CodeRedWorm
Index(es):
- Date
- Thread