パターンアップしましたー869
Trendmicroのパターンがアップしました。
パターン番号:869
イエローアラート WORM_BAGLE.X
以下の手順にて侵入を確認してください。
Terminal
①ログ抽出
zcat -f log.2004.04.26.gz log.2004.04.27 | grep "smtp" > smtp-log
②以下のコマンドで、抽出する。
grep -i "\.COM contains no virus" smtp-log > WORM_BAGLE.X
grep -i "\.CPL contains no virus" smtp-log >> WORM_BAGLE.X
grep -i "\.EXE contains no virus" smtp-log >> WORM_BAGLE.X
grep -i "\.HTA contains no virus" smtp-log >> WORM_BAGLE.X
grep -i "\.SCR contains no virus" smtp-log >> WORM_BAGLE.X
grep -i "\.VBS contains no virus" smtp-log >> WORM_BAGLE.X
grep -i "\.ZIP contains no virus" smtp-log >> WORM_BAGLE.XExcel
①区切り文字スペースで、区切る。
②[を\[に、]を\]に置き換える
③以下の関数で、検索分を作成する。
="grep """&C1&" "&D1& """ smtp-log >> WORM_BAGLE.X_INFECTED"
結果例)grep "smtp\[4814\]: smtp\[172\]:" smtp-log >> WORM_BAGLE.X_INFECTEDTerminal
①vi WORM_BAGLE.X.shを作成する。
内容は、上記Excelにて作成した文字列
②実行する。
③以下のコマンドでFROMとTOを抽出する
cat WORM_BAGLE.X_INFECTED | grep "mail delivered"