[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[stalk:00770] Re: CodeRed, CodeRedII 対策

 締め切り間近!〜楽天市場がおくるこの夏のビッグチャンス「友達でポン!」
 ┏━┳━┳━┳━┳━┳━┳━┳━┓ ■■8月10日までの大チャンス■■
 ┃毎┃日┃1┃0┃0┃万┃円┃!┃お友達とペアになるだけで当たっちゃう
 ┗━┻━┻━┻━┻━┻━┻━┻━┛     ★100万円★
 今すぐ参加→ http://www.rakupita.ne.jp/ 
------------------------------------------------------------------------


At Fri, 10 Aug 2001 02:16:11 +0900,
Jaco wrote:

>  社内のPCにモデムが付いていて、そのマシンで IIS が動作している
> 場合などは、感染する可能性があるのでしょうか? この時、ダイアル
> アップで割り当てられたアドレスと、そのマシンの NIC に割り当てら
> れたプライベートアドレスは通信できないと思うのですが、『IP転送を
> 行う』をチェックオンにしておくと感染してしまうのでしょうか?

forwarding と関係なく、感染したあとで持ってる足をみてばらまいたりする
可能性は高い気がするのですが( 現物ないし ディスアセンブルコードは見ず
に言ってます)。あと、

1) 会社持ちのWindows2000なノートパソコンがあるとする。Professional な
んだけどフルインストールしてて知らずにIISあがってたりすると。
2) 都合があっておうちに持ち出し
3) 持ち出したついでにちょっとそのパソコンで Webったり。
ただ、会社につなぐと会社持ちの通信費がかかるとかログ監視されてるからう
ざいとかの都合で私用の dial up アカウントでISPにつないだりする
4) その間にCode Red II 感染
5) suspend して会社にお持ち帰り
6) resume してアドレスとり直してから アタックが自動的に再開

なんてことはアリガチかと(別に会社もちじゃなくて感染した私物の持ち込み
でも同じ)。
# suspend & resume でアドレスがかわるとどうなるか、なんてCode Red IIが
# 手元にないし隔離環境も持ってないので試してませんが。
-- 
SAKIYAMA Nobuo (崎山 伸夫)  sakichan@xxxxxxxxxxxx
--
- このメイリングリストに関する質問・問い合せ等は
- <security-talk@xxxxxxxxxx>までお知らせください
--
------------------------------------------------------------------------
          ☆え?!まだ終電、間に合うの!!!        
 http://transfer.infoseek.co.jp/Trlast?pg=tr_last_top.html&svx=971122