ウィルス続報

memo

わちゃー、昼飯の間にスキャンかけたら次々に。ウィルス駆除のソフトがうざくなったので停止していたらこんなことになってしまった。

その1 Exploit-IframeBO!shellcode c[1]htm

これは記事にもなっている。"Microsoft investigating reports of new IE hole "この記事は2004年11月上旬のものだが、ファイルの日付をみたら、この警告記事が出たすぐあとの2004年11月20日。McAFreeでの情報はココ。ほかにも
http://secunia.com/advisories/12959/
など。

その2 DownloaderSF |[1].exe

Troj/Dloader-SF
http://www.sophos.com/virusinfo/analyses/trojdloadersf.html
トロイの一種らしい。

その3 BackDoor-CLH w[1].exe

最初に発見したのと同じトロイの木馬が別の場所にも。
いずれも11月20日がアヤシイ。その日は土曜日でミュンヘンに行っていた日だけれど、なにかあったのだろうか。
なんでこんなにトロイだらけなのだ。ところでイベントログを調べたら、今朝調子が悪かったのは、誰かしらがアクセスしようとしていたかららしい。研究所自体にもファイヤーウォールがあるんで、研究所内の他のコンピューターから、ということになるのだろうか。ファイル欲しいのなら、直接きいてくれよ。なんでもあげるのに。

[追記]

自動生成された..exeから、またまた外にシグナル出しているみたいなんで、IPアドレスの管理者にメール。中国。

CHINANET jiangxi province network
China Telecom
No.31,jingrong street
Beijing 100032

DATA COMMUNICATION BUREAY
NO.39,YANJIANG NORTH ROAD,NANCHANG,JIANGXI
CN

CNCGroup Hostmaster
CNC Group Chongqing province network
abuse@cnc-noc.net
No.156,Fu-Xing-Men-Nei Street,
Beijing,100031,P.R.China




Dear Sirs,

I am sending you this email to notify you that one of the computer under your control seems to be involved in distributing computer Trojan. I request you strongly to check the user of these IP addresses and stop them from distributing and intruding the Internet in an inappropriate manner.

I was infected with a Troj execution program. My virus scanning software do not respond to this program, but it seems that this is a type named "Backdoor.Jupdate" The .exe file name seems to be randomly generated. Even after deleting one , another similar execution program is automatically generated and sends out signal to two different IP address,

07/Feb/2005 11:19:27 WGRjxb suppress blocked; Out TCP; localhost:1033->218.65.86.24:80; Owner: C:\WINNT\SYSTEM32\WGRJXB.EXE

07/Feb/2005 11:19:27 WGRjxb suppress blocked; Out TCP; localhost:1034->221.5.250.102:80; Owner: C:\WINNT\SYSTEM32\WGRJXB.EXE

the address
218.65.86.24

is from

netnum: 218.64.0.0 - 218.65.127.255
netname: CHINANET-JX
country: CN
descr: CHINANET jiangxi province network
descr: China Telecom
descr: No.31,jingrong street
descr: Beijing 100032


and

221.5.250.102

is from

netnum: 221.5.128.0 - 221.5.255.255
netname: CNCGROUP-CQ
descr: CNC Group Chongqing province network
descr: China Network Communications Group Corporation
descr: No.156,Fu-Xing-Men-Nei Street,
descr: Beijing 100031
country: CN

I hope your immediate action and also a reply to this mail.

Sincerely,