Trendmicroのパターンがアップしました。

パターン番号：2.224.00

イエローアラート：WORM_BAGLE.AT
　id:rlyehさんとこがいろいろ乗っています。

除去には、DSCを利用してくださいねー
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionId=4700

侵入メール確認方法

■Terminal
①以下のコマンドで、抽出する。
　cat log.2004.10.29 | grep "smtp\[" > smtp-log
②以下のコマンドで侵入を抽出
　grep -i "PRICE.CPL " smtp-log |grep "contains no virus" > WORM_BAGLE.AT
　grep -i "PRICE.EXE " smtp-log |grep "contains no virus" >> WORM_BAGLE.AT
　grep -i "PRICE.SCR " smtp-log |grep "contains no virus" >> WORM_BAGLE.AT
　grep -i "JOKE.CPL " smtp-log |grep "contains no virus" >> WORM_BAGLE.AT
　grep -i "JOKE.COM " smtp-log |grep "contains no virus" >> WORM_BAGLE.AT
　grep -i "JOKE.EXE " smtp-log |grep "contains no virus" >> WORM_BAGLE.AT

■Excel
①区切り文字スペースで、区切る。
②以下の関数で、検索分を作成する。
　="grep -F """&C1&" "&D1& """ smtp-log >> WORM_BAGLE.AT_INFECTED"
　結果例）grep -F "smtp[4814]: smtp[172]:" smtp-log >> WORM_BAGLE.AT_INFECTED
■Terminal
①vi WORM_BAGLE.AT.shを作成する。
　内容は、上記Excelにて作成した文字列
②実行する。
③以下のコマンドでFROMとTOを抽出する
　cat WORM_BAGLE.AT_INFECTED | grep "mail delivered"

今回は、感染端末も取得できる。

　プロキシログで、grep "\/g.jpg" logfile
　このファイルで、ドメイン直下の「g.jpg」を見に言っているものは
　あやしいです。詳細はTrend等のサイトを確認ください。