- ベストアンサー
CODERED.A
フレッツISDNで、Win2000Serverをつなぎっぱなしにしています。 どうやらCODERED.Aのアタックを受けているらしいのですが、ログをみると PCを落としている時間にログがはかれています。どういうことなのでしょうか? 一応最新のパッチをあて、トレンドマイクロ社のツールでチェックをしたのですが、それが昨日のことなので、もしかしたら感染しているかも、と心配です。 感染しているかどうか、どうすれば明確にできますか?トレンドマイクロ社のチェックツールでは大丈夫だというメッセージが出ているのですが、いろんな亜種も出ているようなので、それを信用していいのでしょうか。参考までにIISログを掲載しておきます。 http://www.geocities.co.jp//HeartLand-Cosmos/4223/iislog.txt
- みんなの回答 (4)
- 専門家の回答
質問者が選んだベストアンサー
最新のパッチをあてていたと言うことですが、「MS01-033」(Q300972_W2k_SP3_x86_ja.exe) をあてていたのであれば、Code Red のアタックを受けても感染することはありません。 逆に「MS01-033」をあてていないでIISログにアタックされた形跡があれば、ほぼ100%感染しています。 コマンドプロンプトより「netstat -an」と入力すると TCP 自ホストのIPアドレス:数字 他のホストのIPアドレス:80 が多数表示されて、ワームが活動中(他ホストに対して攻撃中)であることがわかるはずです。 感染していた場合、トレンドマイクロ社のWebサイトに自動駆除ツールがあります。 http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=3067 なお、IISログはグリニッジ標準時で記録されるので、日本時間より-9時間で表示されます。 そのため、PCが立ち上がっていない時間にログが取られているように見えます。
その他の回答 (3)
- m_kazu55
- ベストアンサー率63% (108/169)
もし感染していたとしても、すでに駆除済みだと思いますが、念のため感染しているかの見分け方を補足します。 ・メモリに常駐しているかの確認 [Ctrl]+[Alt]+[Delete]を押して[タスクマネージャー]の「プロセス」に「explorer.exe」というプロセスが2つある場合は、どちらかが「CODERED.C」です。 ・ファイルに感染しているかの確認 コマンドプロンプトから、「attrib c:\explorer.exe」と入力して 「 SHR EXPLORER.EXE C:\EXPLORER.EXE」 が戻ってきた場合は、ファイル感染してます。
お礼
ご回答、ありがとうございます。 幸いにもどちらも存在しませんでした。
- selenity
- ベストアンサー率41% (324/772)
IISのログが残っているようなので、十中八九 感染しているでしょう。 最新のパッチではありません。 CodeRed対策は「MS01-033」のパッチを適用し、 OSの再起動をしない限り何度でも感染します。 できればフォーマットしてOSの再インストールを お薦めします。 (どんなバックドアを仕掛けられたか不明なため) この手の話はやはり開発元のサイトを 見るのが一番です。
お礼
ご回答ありがとうございます。 う~ん、やはり再インストールですか。 つらいなぁ~。
- Haizy
- ベストアンサー率40% (404/988)
こんにちは。 Code Red II ってヤツですね。ウチもバタバタしてます。 感染はしてないけど・・・。 http://oshiete1.goo.ne.jp/kotaeru.php3?q=115074 からの引用ですが、非常に役に立つと思います。>参考URL
お礼
ご回答ありがとうございました。 いろいろご提示頂いた情報を辿って調べてみました。 でも迷惑な話ですよねー。誰が作ったんでしょ。
お礼
ご助言ありがとうございます。 上記パッチをあてる前のログにもアタックの形跡がありました。 パッチあてでは安心できませんね。バックドアを仕掛けられた可能性大 のようです。ご進言頂いたトレンドマイクロ社のツールを使用してみます。 ですが、やはり万全を期すには再インストールしかないんですかねぇ~。 あ~あ。 あと、ログの件もご説明ありがとうございました。