イエローアラート:WORM_SOBER.Sについて
Sober variant
(SANS Diary)
W32.Sober.O@mm(W32/Sober.p@MM,WORM_SOBER.S)ウイルスの発生について(5/3)(@Police)
■Terminal ①以下のコマンドで、抽出する。 zcat -f log.2005.05.02.gz log.2005.05.03 | grep "smtp\[" > smtp-log ②以下のコマンドで侵入を抽出 grep -i "\.zip " smtp-log |grep "contains no virus" > WORM_SOBER.S ■Excel ①区切り文字スペースで、区切る。 ②以下の関数で、検索分を作成する。 ="grep -F """&C1&" "&D1& """ smtp-log >> WORM_SOBER.S_INFECTED" 結果例)grep -F "smtp[4814]: smtp[172]:" smtp-log >> WORM_SOBER.S_INFECTED ■Terminal ①vi WORM_SOBER.S.shを作成する。 内容は、上記Excelにて作成した文字列 ②実行する。 ③以下のコマンドでFROMとTOを抽出する cat WORM_SOBER.S_INFECTED | grep "mail delivered"