Microsoft社に侵入の"QAZTrojan"



◇-Microsoft社に侵入の"QAZ Trojan"-Ai-net(10/28-12:17)No.15775
 ┗Re:Microsoft社に侵入の"QAZ Trojan"-かず(10/29-01:47)No.15802
  ┗Re:Microsoft社に侵入の"QAZ Trojan"-Ai-net(10/29-02:57)No.15807
   ┣Re:Microsoft社に侵入の"QAZ Trojan"-Deame(10/29-12:54)No.15821
   ┃┣Re:Watcher Software-Ai-net(10/29-20:35)No.15833
   ┃┗わーい-Deame(10/30-17:30)No.15860
   ┃ ┗Re:わーい VBSはWin95でも-Ai-net(10/30-20:54)No.15870
   ┃  ┣Re:わーい VBSはWin95でも-Deame(10/30-21:10)No.15871
   ┃  ┣Re:わーい VBSはWin95でも-Ai-net(10/30-21:13)No.15872
   ┃  ┗Re:わーい VBSはWin95でも(訂正)-Ai-net(10/30-22:00)No.15874
   ┗Re:Microsoft社に侵入の"QAZ Trojan"-かず(10/30-00:00)No.15837
    ┗Re:Microsoft社に侵入の"QAZ Trojan"-Ai-net(10/30-10:52)No.15846

15775Microsoft社に侵入の"QAZ Trojan"Ai-net 10/28-12:17

OS名:Windows95
パソコン名:
ソフト名:
けさ(2000/10/28)の新聞朝刊に載っていて、ネットワークニュース
でトップで掲載されている、Microsoft米国本社に長期間「侵入」が
あった問題。

こっちでも、わたしが たまたま27日夕方、そのウィルスからの
わたしのマシンへのアクセスを検知してしました。(^o^)わぉ!

わたしの独自の調査によると、こっちでは少なくとも26日に
侵入と拡散が始まっていることがわかりました。
ウィルス名は、「W32/QAZ.worm.gen」として検知されます。

ネットワークを経由して拡散し、企業や個人情報を収集して
送付する機能があるようなので、かなりぃ注意したいですヨン。

関連情報
http://www.zdnet.co.jp/news/0010/28/b_1027_01.html
http://www.zdnet.co.jp/news/0010/28/b_1027_02.html
http://www.zdnet.co.jp/news/0010/28/b_1027_03.html

 Ai-net

15802Re:Microsoft社に侵入の"QAZ Trojan"かず 10/29-01:47
記事番号15775へのコメント

>こっちでも、わたしが たまたま27日夕方、そのウィルスからの
>わたしのマシンへのアクセスを検知してしました。(^o^)わぉ!
>

検知ってどうなるんですか?
未だかつてウィルスが入った形跡がまったくないもので。
インターネットとかして、突然ウィルススキャンが始まるのでしょうか?

P.S.アップデートデータ4101にしました。

15807Re:Microsoft社に侵入の"QAZ Trojan"Ai-net 10/29-02:57
記事番号15802へのコメント
かずさんは No.15802「Re:Microsoft社に侵入の"QAZ Trojan"」で書きました。
>
>>こっちでも、わたしが たまたま27日夕方、そのウィルスからの
>>わたしのマシンへのアクセスを検知してしました。(^o^)わぉ!
>>
>
>検知ってどうなるんですか?
>未だかつてウィルスが入った形跡がまったくないもので。
>インターネットとかして、突然ウィルススキャンが始まるのでしょうか?
>
>P.S.アップデートデータ4101にしました。

えっと、なんていったか忘れましたが、共有設定でその共有部分に
アクセスがあるのを監視するフリーソフトを入れています。
アクセスがあると通知してログをとります。ログインすると、
「アッオー」とサウンドを鳴らすようにわたしが設定しています。
(ログによると、ログインは7秒間でした)

そのとき、その「アッオー」が鳴りました!
見覚えのないマシン名が入ったので、「来たぁー!」と叫んで
いました。

マシン名が分かりましたので、こちらから逆に「ネットワーク
コンピュータ」の「コンピュータの検索」でチェックしました。
すぐにすぐ近くのマシンが表示され、Cフォルダが見えました。
その Windows を開くとすぐに、VirusScan が「警告」を発しました。
その中の NOTEPAD.EXE がウィルスだ、と。

そんな状態のマシンなので、ユーザーも特定できて、部署も特定
できました。
すぐにウィルスの素性を調べて、わたしの部署の全員に一報を
メールしてから帰りました。

翌朝、新聞にめずらしく Microsoft の記事が載っていました。
すぐにネットワークニュースを見れば、27日付けで さかんに
Microsoft のことが報じられているではありませんか!

いくつかの企業にとって、気がつかないままに、いろんな情報が
漏れてしまう可能性があることを考えると、ちょっとたいへんな
ことが起こりつつあるなぁ、と思うんですよぉ。

 Ai-net

15821Re:Microsoft社に侵入の"QAZ Trojan"Deame 10/29-12:54
記事番号15807へのコメント
>いくつかの企業にとって、気がつかないままに、いろんな情報が
>漏れてしまう可能性があることを考えると、ちょっとたいへんな
>ことが起こりつつあるなぁ、と思うんですよぉ。

なるほど。私も共有のチェック付けようかな?

先週もラブレターの変種がウチの会社に送られて来てたみたいだし、
(発見が早かったので社内には広まりませんでした)
最近、表立つウィルスが増えてますねぇ(^-^;

Excelのマクロウィルスが退治しきれない...他部署にロクな管理者居ないし(汗)

15833Re:Watcher SoftwareAi-net 10/29-20:35
記事番号15821へのコメント
Deameさんは No.15821「Re:Microsoft社に侵入の"QAZ Trojan"」で書きました。

>なるほど。私も共有のチェック付けようかな?

さっき、ベクターにあるので、ダウンロードしてみました。

気がつかなかったけど、ちょっとバージョンアップしていました。

山内光秀氏の NetWork Watcher です。

 Ai-net

15860わーいDeame 10/30-17:30
記事番号15821へのコメント
共有のチェックで遊んでる間にラブレターの変種が来ちゃいましたよ。

只今、社内で猛威を振るってる模様(^-^;
Win95メインなんでウチの部署は被害が少なそうでラッキーかも(ぉぃ)
vbsってWin95では動かないのか・・・残念(爆)

15870Re:わーい VBSはWin95でもAi-net 10/30-20:54
記事番号15860へのコメント
Deameさんは No.15860「わーい」で書きました。
>共有のチェックで遊んでる間にラブレターの変種が来ちゃいましたよ。
>
>只今、社内で猛威を振るってる模様(^-^;
>Win95メインなんでウチの部署は被害が少なそうでラッキーかも(ぉぃ)
>vbsってWin95では動かないのか・・・残念(爆)

Windows Scripting Host がインストールされていれば、
VBS系ワームは Windows9x, NT で動作可能です。

Windows Scripting Host は、Internet Explorer 5 とともに
インストールされます。(Visual Basic スクリプト サポート)

この環境なら、Windows 95 でも ***.vbs のファイルは、
ちゃんとS字状のロール紙の絵のアイコンが表示されます。

「新規作成」で「テキスト文書」を作成して、新規テキスト文書.txt
を 新規テキスト文書.vbs として簡単にアイコンが作れます。

さらに、新規テキスト文書.txt の段階で、ダブルクリックでメモ帳で
開いて、
rem barok -lovel
の17文字の1行(改行なし)を記入しておいて、拡張子 vbs にすれば、
VirusScan は、「リッパなウィルスだ」と検知するはずです。
っていうか、その vbs ファイルが見えているだけで、瞬時に検知できる
ように適切に設定しておかなければなりません。

 Ai-net

15871Re:わーい VBSはWin95でもDeame 10/30-21:10
記事番号15870へのコメント
>Windows Scripting Host は、Internet Explorer 5 とともに
>インストールされます。(Visual Basic スクリプト サポート)

の様ですね。基本的にIEは3.02しか入れてないので・・・
マシンスペックが低いので(笑)
私の端末に来た添付ファイルのみアイコンが変わっていたので分かりました。

高いのでも4.02にしてあります。
Win95でIE5.01使ってるのは私だけの筈...(^-^;

どうやって開けばいいのか分からずに、色々試した方々が居られました(汗)
Wordで開いて印刷した人とか・・・(笑)

古いマシンが多くて助かったって感じです。
現状7台ほどモロにWindows98で感染してバラ捲いてる様です。
先々週の土曜に発見されたのに、なんで1週遅れて広まったんだろ?・・・謎だな
ぁ。

15872Re:わーい VBSはWin95でもAi-net 10/30-21:13
記事番号15870へのコメント

>rem barok -lovel

半角スペースは、抜かれちゃうのね。
しようがないので、全部全角で表示させておきます。
rem  barok −lovel

<pre>タグが付いてないからかな?


 Ai-net

15874Re:わーい VBSはWin95でも(訂正)Ai-net 10/30-22:00
記事番号15870へのコメント
Ai-netさんは No.15870「Re:わーい VBSはWin95でも」で書きました。

>っていうか、その vbs ファイルが見えているだけで、瞬時に検知できる
>ように適切に設定しておかなければなりません。


この「ウィルスもどき」または 本物の LoveLetter VBS では、
「ファイルが見えているだけ」では警告がでません。
「ディレクトリの移動・コピー・実行・作成」などのときに、警告がでる
ようでなければなりません、が正しい表現でした。

LIFE_STAGES は、ほんのちょっとだけ位置をずらそうとすると警告、
QAZ.worm, CIH などの EXE形式のものは、「見えているだけ」で警告です。

 Ai-net

15837Re:Microsoft社に侵入の"QAZ Trojan"かず 10/30-00:00
記事番号15807へのコメント
私も落としました。
明日NetworkWatch1.8を会社のPCに入れておきます。
さて?来るかな?来ない方が良いけど、来たのを見てみたい。(好奇心)

15846Re:Microsoft社に侵入の"QAZ Trojan"Ai-net 10/30-10:52
記事番号15837へのコメント
かずさんは No.15837「Re:Microsoft社に侵入の"QAZ Trojan"」で書きました。
>私も落としました。
>明日NetworkWatch1.8を会社のPCに入れておきます。
>さて?来るかな?来ない方が良いけど、来たのを見てみたい。(好奇心)

いまも、変なところからアタックの試み?がありました。
Windows NT で制限がかかっているので、よくわからないけど。

 Ai-net

A1.本ページは参考になりましたか? 又はアドバイスがありますか?
解決 参考になった 参考にならなかった アドバイスする

A2.何度目の訪問ですか?
初めて来た   数度目(2〜4) 5回以上来ている   管理人:

A3.何か一言どうぞ(アドレスは書くことができません)

A4.アドレスがあればどうぞ(1つまで)


↑↑↑↑よろしければ押してください↑↑↑↑

何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり

参考回数投稿日時何か一言