2003-08-19 [長年日記]

1 ガンバレ日本

DShieldを見ていたら、8/17のアジア地域における135 portスキャンのトップは日本。実に27%をしめる。ついで中国の24%となっているもより。正直なところ韓国は多いと思っていたが13%(申し訳ない&とは言っても3番目) 実は拡散が開始した頃の8/13で計算してみると韓国はアジア地域の61%をしめていたのでした。実数を見てみると、次のような具合。

    kr  cn   jp
8/13 2960347 346289 438130
8/14 2232256 461366 790025
8/15 892081 529616 359064
8/16 367754 545126 642214
8/17 278082 534986 605606

実際はDShieldのデータがどのようなもので、どのように集計されているかを明確にして、そこから分析する必要があるかと思いますが、krの減少は順調ですよね。slammerなDoSの経験がいかされているとかなのかなぁ。jpは進歩がないつーか、なんつーか。。。
あ、だいたいあってると思いますけど、データはコピペの時点で間違えているかもしれませんのであしからず。

全然関係ないのですがブラスター銃かよ!(笑 ついでにぐぐる(image)

さらについでICMPトラフィックを急増させたワームについて @police

古いですけどrpc worm? Defacers used rpc bug before Zone-H.org

2 [めも] うさぎ冷茶グラス

そいえば、当たりました〜。

応募シールが欲しいという奇特な方がいる場合は匿名でもいいのでツッコミを。結構当選確率高いような気もするなぁ。お渡しするのは8/23のport139の勉強会あたりかと思うので、そこに参加して一言声かけてくださいまし。渡すのはグラスじゃなくて応募シール(30枚くらいかなぁ)っすよ(笑 つーか欲しい人いないと思いますけど(笑

3 ワーム

MS03-026とMS03-007の脆弱性を利用する複合型のワームに感染した場合はPCの日付を2004年にしましょう(&再起動かな?) さすれば新しいワームが感染した際にブラスターを削除してくれるし、再度感染しないようにマイクロソフトのパッチもあててくれるみたいだし、新しいのは自ら2004年になったら削除するみたいなんで。ちゃんとキレイになるかは知りませんが。例えばF-SecureAhnlabのとことか。

てか、MS03-007の脆弱性を利用するという下りはどこもWebDAVとなっているが、HTTPリクエスト的にもそれと考えていいのか気になるところ。

Zone-H.orgのNew Internet Worm Tries to Patch Windows Holeには『Welchia, which is programmed to delete itself in 2004, is spreading widely in Asia, particularly in Japan, according to Hartmann.』とか。ガンバレ日本書いたばかりなのに(汗 Hartmannさんはトレンドマイクロの人みたいだからこれの事かな。

4 ワームの追記

MSRPC DCOM ワーム「MS Blast」の蔓延(ISS)によると日本に対する対応パッチは当てないそうです。blasterに作成されたレジストリは削除しないみたいです。

[]