[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00760] Re: CodeRedWorm

To: security-talk@xxxxxxxxxxxxxxxxxxxx
Subject: [stalk:00760] Re: CodeRedWorm
From: Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Date: Thu, 09 Aug 2001 10:36:57 +0900



Port139 伊原です。

On Mon, 06 Aug 2001 11:50:09 +0900
Shikap <shikap@xxxxxxxxxxxx> wrote:

>と言うわけで、CoreRed捕獲＆テストきぼー＞いはらさん

やっと長野に戻ってきたので、先ほど捕獲してみました。
もちろんフィルタをかけて周囲に迷惑をかけないようにしてです(^^;;

Windows 2000 ＋IIS 5.0（Index Service もインストールされてません）
Sp とか hotfix は一切なしです。

CodeRed II が捕獲できたようで、c:\explorer.exe と Inetpub\scripts
に root.exe が置かれていました。

ただし、感染時にはレジストリなどの変化は検知できませんでした。
試しに再起動し Administrator でログオンしたところ、SFCDisable など
のレジストリの変更を検知できました。変化内容はすでに報告されている
内容と同じです。
＃検知には Tripwire 2.4 と Advanced Registry Tracer を利用

レジストリの設定変更などは、explorer.exe でやってるんですかね。

で、件の NETSTAT の結果ですが、確かに LISTENING 状態で表示されま
すけど実際にはオープンされてないように見えます。
っていうのはケーブルすぐに抜いたので nmap までかけてないんですが、
TCPview PRO の結果ではオープンポートに変化はありませんでした。

後からもう一回捕獲してみて、nmap で確認してみます。

---

Hideaki Ihara <hideaki@xxxxxxxxxxxxx>
Port139 URL: http://www.port139.co.jp/
PGP PUBLIC KEY: http://www.port139.co.jp/pgp/

--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　　　☆え？！まだ終電、間に合うの！！！　　　　　　　　
 http://transfer.infoseek.co.jp/Trlast?pg=tr_last_top.html&svx=971122

Follow-Ups:
- [stalk:00763] Re: CodeRedWorm
  - From: Shikap

References:
- [stalk:00743] Re: CodeRedWorm
  - From: Hideaki Ihara
- [stalk:00747] Re: CodeRedWorm
  - From: Shikap

Prev by Date: [stalk:00759] Re: CodeRedWorm
Next by Date: [stalk:00761] Re: CodeRedWorm
Previous by thread: [stalk:00751] Re: CodeRedWorm
Next by thread: [stalk:00763] Re: CodeRedWorm
Index(es):
- Date
- Thread