[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00763] Re: CodeRedWorm

To: <security-talk@xxxxxxxxxxxxxxxxxxxx>
Subject: [stalk:00763] Re: CodeRedWorm
From: Shikap <shikap@xxxxxxxxxxxx>
Date: Thu, 09 Aug 2001 11:21:49 +0900



しかＰ＠Win2000インストールマシンを確保せねば、です。

on 01.8.9 10:36 AM, Hideaki Ihara at hideaki@xxxxxxxxxxxxx wrote:

>> と言うわけで、CoreRed捕獲＆テストきぼー＞いはらさん
> 
> やっと長野に戻ってきたので、先ほど捕獲してみました。
> もちろんフィルタをかけて周囲に迷惑をかけないようにしてです(^^;;
> 
> Windows 2000 ＋IIS 5.0（Index Service もインストールされてません）
> Sp とか hotfix は一切なしです。
あれ？Index serviceなくても感染するの？私、勘違いしてる？

> レジストリの設定変更などは、explorer.exe でやってるんですかね。
いろんな所の報告から考えて、これがやっていると言うのが正解かも
しれないですね。

> で、件の NETSTAT の結果ですが、確かに LISTENING 状態で表示されま
> すけど実際にはオープンされてないように見えます。
> っていうのはケーブルすぐに抜いたので nmap までかけてないんですが、
> TCPview PRO の結果ではオープンポートに変化はありませんでした。
やっぱりnetstatが嘘ついてる、ってことでしょうか？

-- 
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
　　鹿田　幸治　　　　　　　Koji.Shikata
　　　E-Mail:shikap@xxxxxxxxxxxx
snortパッチ公開中：http://www.yk.rim.or.jp/‾shikap/patch/
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝


--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
　　　　　　　　　　☆え？！まだ終電、間に合うの！！！　　　　　　　　
 http://transfer.infoseek.co.jp/Trlast?pg=tr_last_top.html&svx=971122

Follow-Ups:
- [stalk:00764] Re: CodeRedWorm
  - From: Hideaki Ihara
- [stalk:00765] Re: CodeRedWorm
  - From: Hiroshi Migimatsu ^^;

References:
- [stalk:00760] Re: CodeRedWorm
  - From: Hideaki Ihara

Prev by Date: [stalk:00762] Re: CodeRedWorm
Next by Date: [stalk:00764] Re: CodeRedWorm
Previous by thread: [stalk:00760] Re: CodeRedWorm
Next by thread: [stalk:00764] Re: CodeRedWorm
Index(es):
- Date
- Thread