パターンアップ-945
Trendmicro製品のパターンが上がりました。
パターン番号:945
イエローアラート:WORM_MYDOOM.M
セキュメモMLで流れていたRBOT系のウィルスがかなり
増えて対応しております。
新規対応
イエロー
WORM_MYDOOM.M
MS04-011
WORM_AGOBOT.UC
WORM_KORGO.AC
WORM_RBOT.DW
WORM_RBOT.DY
WORM_RBOT.EG
WORM_RBOT.EH
WORM_RBOT.EI
WORM_RBOT.EJ
WORM_RBOT.EO
WORM_RBOT.EP
WORM_RBOT.EQ
WORM_RBOT.ES
WORM_RBOT.EU
WORM_RBOT.EY
WORM_RBOT.EZ
WORM_RBOT.FF
WORM_SDBOT.GP
WORM_SPYBOT.BI
亜種対応
MS04-011対応
JAVA_BYTEVER.A
WORM_KORGO.R
WORM_RBOT.CA
WORM_RBOT.DN
WORM_MYDOOM.Mはメールで広がるタイプです。
いつものごとくアドレスは詐称します。
添付ファイル名は詐称したメールアドレスを使います。
侵入チェック方法↓もっと治せばシェル化できます>id:sonodamさんのご指摘
■Terminal
①以下のコマンドで、抽出する。
zcat -f log.2004.07.26.gz log.2004.07.27 |grep "smtp\["> smtp-log
②以下のコマンドで侵入を抽出
grep -i "\.ZIP " smtp-log |grep "contains no virus" >> WORM_MYDOOM.M
grep -i "\.COM " smtp-log |grep "contains no virus" >> WORM_MYDOOM.M
grep -i "\.SCR " smtp-log |grep "contains no virus" >> WORM_MYDOOM.M
grep -i "\.EXE " smtp-log |grep "contains no virus" >> WORM_MYDOOM.M
grep -i "\.PIF " smtp-log |grep "contains no virus" >> WORM_MYDOOM.M
grep -i "\.BAT " smtp-log |grep "contains no virus" >> WORM_MYDOOM.M■Excel
①区切り文字スペースで、区切る。
②以下の関数で、検索分を作成する。
="grep -F """&C1&" "&D1& """ smtp-log >> WORM_MYDOOM.M_INFECTED"
結果例)grep -F "smtp[4814]: smtp[172]:" smtp-log >> WORM_MYDOOM.M_INFECTED■Terminal
①vi WORM_MYDOOM.M.shを作成する。
内容は、上記Excelにて作成した文字列
②実行する。
③以下のコマンドでFROMとTOを抽出する
cat WORM_MYDOOM.M_INFECTED | grep "mail delivered"