OKWAVEのAI「あい」が美容・健康の悩みに最適な回答をご提案!
-PR-
解決
済み

CODERED.A

  • すぐに回答を!
  • 質問No.115201
  • 閲覧数462
  • ありがとう数4
  • 気になる数0
  • 回答数4
  • コメント数0

お礼率 73% (28/38)

フレッツISDNで、Win2000Serverをつなぎっぱなしにしています。
どうやらCODERED.Aのアタックを受けているらしいのですが、ログをみると
PCを落としている時間にログがはかれています。どういうことなのでしょうか?
一応最新のパッチをあて、トレンドマイクロ社のツールでチェックをしたのですが、それが昨日のことなので、もしかしたら感染しているかも、と心配です。
感染しているかどうか、どうすれば明確にできますか?トレンドマイクロ社のチェックツールでは大丈夫だというメッセージが出ているのですが、いろんな亜種も出ているようなので、それを信用していいのでしょうか。参考までにIISログを掲載しておきます。
http://www.geocities.co.jp//HeartLand-Cosmos/4223/iislog.txt
通報する
  • 回答数4
  • 気になる
    質問をブックマークします。
    マイページでまとめて確認できます。

質問者が選んだベストアンサー

  • 回答No.3
レベル11

ベストアンサー率 63% (108/169)

最新のパッチをあてていたと言うことですが、「MS01-033」(Q300972_W2k_SP3_x86_ja.exe) をあてていたのであれば、Code Red のアタックを受けても感染することはありません。
逆に「MS01-033」をあてていないでIISログにアタックされた形跡があれば、ほぼ100%感染しています。
コマンドプロンプトより「netstat -an」と入力すると
  TCP 自ホストのIPアドレス:数字 他のホストのIPアドレス:80
が多数表示されて、ワームが活動中(他ホストに対して攻撃中)であることがわかるはずです。

感染していた場合、トレンドマイクロ社のWebサイトに自動駆除ツールがあります。
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067

なお、IISログはグリニッジ標準時で記録されるので、日本時間より-9時間で表示されます。
そのため、PCが立ち上がっていない時間にログが取られているように見えます。
お礼コメント
saya9999

お礼率 73% (28/38)

ご助言ありがとうございます。
上記パッチをあてる前のログにもアタックの形跡がありました。
パッチあてでは安心できませんね。バックドアを仕掛けられた可能性大
のようです。ご進言頂いたトレンドマイクロ社のツールを使用してみます。
ですが、やはり万全を期すには再インストールしかないんですかねぇ~。
あ~あ。
あと、ログの件もご説明ありがとうございました。
投稿日時 - 2001-08-09 00:50:52
-PR-
-PR-

その他の回答 (全3件)

  • 回答No.1
レベル13

ベストアンサー率 40% (404/988)

こんにちは。 Code Red II ってヤツですね。ウチもバタバタしてます。 感染はしてないけど・・・。 http://oshiete1.goo.ne.jp/kotaeru.php3?q=115074 からの引用ですが、非常に役に立つと思います。>参考URL ...続きを読む
こんにちは。

Code Red II

ってヤツですね。ウチもバタバタしてます。
感染はしてないけど・・・。

http://oshiete1.goo.ne.jp/kotaeru.php3?q=115074
からの引用ですが、非常に役に立つと思います。>参考URL
お礼コメント
saya9999

お礼率 73% (28/38)

ご回答ありがとうございました。
いろいろご提示頂いた情報を辿って調べてみました。
でも迷惑な話ですよねー。誰が作ったんでしょ。
投稿日時 - 2001-08-09 00:55:03


  • 回答No.2
レベル12

ベストアンサー率 41% (324/772)

IISのログが残っているようなので、十中八九 感染しているでしょう。 最新のパッチではありません。 CodeRed対策は「MS01-033」のパッチを適用し、 OSの再起動をしない限り何度でも感染します。 できればフォーマットしてOSの再インストールを お薦めします。 (どんなバックドアを仕掛けられたか不明なため) この手の話はやはり開発元のサイトを 見るのが一番です。 ...続きを読む
IISのログが残っているようなので、十中八九
感染しているでしょう。
最新のパッチではありません。
CodeRed対策は「MS01-033」のパッチを適用し、
OSの再起動をしない限り何度でも感染します。

できればフォーマットしてOSの再インストールを
お薦めします。
(どんなバックドアを仕掛けられたか不明なため)

この手の話はやはり開発元のサイトを
見るのが一番です。
お礼コメント
saya9999

お礼率 73% (28/38)

ご回答ありがとうございます。
う~ん、やはり再インストールですか。
つらいなぁ~。
投稿日時 - 2001-08-09 00:52:55
  • 回答No.4
レベル11

ベストアンサー率 63% (108/169)

もし感染していたとしても、すでに駆除済みだと思いますが、念のため感染しているかの見分け方を補足します。 ・メモリに常駐しているかの確認 [Ctrl]+[Alt]+[Delete]を押して[タスクマネージャー]の「プロセス」に「explorer.exe」というプロセスが2つある場合は、どちらかが「CODERED.C」です。 ・ファイルに感染しているかの確認 コマンドプロンプトから、「attr ...続きを読む
もし感染していたとしても、すでに駆除済みだと思いますが、念のため感染しているかの見分け方を補足します。

・メモリに常駐しているかの確認
[Ctrl]+[Alt]+[Delete]を押して[タスクマネージャー]の「プロセス」に「explorer.exe」というプロセスが2つある場合は、どちらかが「CODERED.C」です。

・ファイルに感染しているかの確認
コマンドプロンプトから、「attrib c:\explorer.exe」と入力して
「 SHR EXPLORER.EXE C:\EXPLORER.EXE」
が戻ってきた場合は、ファイル感染してます。
お礼コメント
saya9999

お礼率 73% (28/38)

ご回答、ありがとうございます。
幸いにもどちらも存在しませんでした。
投稿日時 - 2001-08-09 00:46:13
このQ&Aで解決しましたか?
関連するQ&A
-PR-
-PR-
このQ&Aにこう思った!同じようなことあった!感想や体験を書こう
このQ&Aにはまだコメントがありません。
あなたの思ったこと、知っていることをここにコメントしてみましょう。

その他の関連するQ&A、テーマをキーワードで探す

キーワードでQ&A、テーマを検索する
-PR-
-PR-
-PR-

特集


いま みんなが気になるQ&A

関連するQ&A

-PR-

ピックアップ

-PR-
ページ先頭へ