パ ターンアップ -2.224.00
Trendmicroのパターンがアップしました。
パターン番号:2.224.00
イエローアラート:WORM_BAGLE.AT
id:rlyehさんとこがいろいろ乗っています。
除去には、DSCを利用してくださいねー
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700
侵入メール確認方法
■Terminal
①以下のコマンドで、抽出する。
cat log.2004.10.29 | grep "smtp\[" > smtp-log
②以下のコマンドで侵入を抽出
grep -i "PRICE.CPL " smtp-log |grep "contains no virus" > WORM_BAGLE.AT
grep -i "PRICE.EXE " smtp-log |grep "contains no virus" >> WORM_BAGLE.AT
grep -i "PRICE.SCR " smtp-log |grep "contains no virus" >> WORM_BAGLE.AT
grep -i "JOKE.CPL " smtp-log |grep "contains no virus" >> WORM_BAGLE.AT
grep -i "JOKE.COM " smtp-log |grep "contains no virus" >> WORM_BAGLE.AT
grep -i "JOKE.EXE " smtp-log |grep "contains no virus" >> WORM_BAGLE.AT■Excel
①区切り文字スペースで、区切る。
②以下の関数で、検索分を作成する。
="grep -F """&C1&" "&D1& """ smtp-log >> WORM_BAGLE.AT_INFECTED"
結果例)grep -F "smtp[4814]: smtp[172]:" smtp-log >> WORM_BAGLE.AT_INFECTED
■Terminal
①vi WORM_BAGLE.AT.shを作成する。
内容は、上記Excelにて作成した文字列
②実行する。
③以下のコマンドでFROMとTOを抽出する
cat WORM_BAGLE.AT_INFECTED | grep "mail delivered"
今回は、感染端末も取得できる。
プロキシログで、grep "\/g.jpg" logfile
このファイルで、ドメイン直下の「g.jpg」を見に言っているものは
あやしいです。詳細はTrend等のサイトを確認ください。