Trendmicroのパターンがアップしました。

パターン番号：869

イエローアラート WORM_BAGLE.X
以下の手順にて侵入を確認してください。

Terminal
①ログ抽出
zcat -f log.2004.04.26.gz log.2004.04.27 | grep "smtp" > smtp-log
②以下のコマンドで、抽出する。
grep -i "\.COM contains no virus" smtp-log > WORM_BAGLE.X
grep -i "\.CPL contains no virus" smtp-log >> WORM_BAGLE.X
grep -i "\.EXE contains no virus" smtp-log >> WORM_BAGLE.X
grep -i "\.HTA contains no virus" smtp-log >> WORM_BAGLE.X
grep -i "\.SCR contains no virus" smtp-log >> WORM_BAGLE.X
grep -i "\.VBS contains no virus" smtp-log >> WORM_BAGLE.X
grep -i "\.ZIP contains no virus" smtp-log >> WORM_BAGLE.X

Excel
①区切り文字スペースで、区切る。
②[を\[に、]を\]に置き換える
③以下の関数で、検索分を作成する。
　="grep """&C1&" "&D1& """ smtp-log >> WORM_BAGLE.X_INFECTED"
　結果例）grep "smtp\[4814\]: smtp\[172\]:" smtp-log >> WORM_BAGLE.X_INFECTED

Terminal
①vi WORM_BAGLE.X.shを作成する。
　内容は、上記Excelにて作成した文字列
②実行する。
③以下のコマンドでFROMとTOを抽出する
　cat WORM_BAGLE.X_INFECTED | grep "mail delivered"