[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[connect24h:7577] Re: 日刊SASSER

To: connect24h@xxxxxxxxxx
Subject: [connect24h:7577] Re: 日刊SASSER
From: 芸達者 <k_okazaki@xxxxxxxxxxxxxxx>
Date: Wed, 12 May 2004 22:23:33 +0900 (JST)

こんばんわ～　芸達者です。

> 
> 掲題の sasser の件で質問です。
> 
> 以前から Blaster 絡みで、445 ポートのパケットを週に1回10分程取得して
> いました。そのデータと sasser 流行後の 445 ポートデータを比較して影響
> を調べたいと思っておりますが不可能な事でしょうか？
> 
> そもそも、パケットレベルで sasser を識別する術がわかっていないのです
> が、どのように認識したらその IP でのやり取りが sasser に感染してると
> 識別するのでしょうか？
> 下記、URLの情報を元に色々と調べてみましたがわかりませんでした。
> http://www.lac.co.
jp/security/csl/intelligence/SNSspiffy/Sasser_Worm_Technical_Analysis.
txt
> 
> 現在、自分自身が ethereal の使い方が間違っているのか、それとも sasser
> 及び、ウィルスに対する知識が足りないのかがわからなくなってきました。
> 
> こんな事で、かなりはまってます・・・どうかお力添えをお願います。

　PortNo　445に関して調べると・・・・・・
#                          [RFC1568]
microsoft-ds    445/tcp    Microsoft-DS
microsoft-ds    445/udp    Microsoft-DS

となっていますので、スニファー等で調べると
予想の域を超えませんが、シーケンス番号等々が
抜けているのではないのかな？　なんて思っています。
（なんせ、感染しているクライアントが無いもので
なんともぉぉぉぉぉ～）

--[PR]------------------------------------------------------------------
┏━┯━┯━┯━┯━┓　最新情報もりだくさん！　┏━┯━┯━┯━┯━┓
┃★│星│占│い│★┣━┯━┯━┯━┯━┯━┯━┫■│壁│　│紙│■┃
┗━┷━┷━┷━┷━┫⇒│ニ│ュ│ー│ス│速│報┣━┷━┷━┷━┷━┛
　　　　　　　　　　┗━┷━┷━┷━┷━┷━┷━┛
　mypopで毎日お届け => http://click.freeml.com/ad.php?id=167197
------------------------------------------------------------------[PR]--
<GMO GROUP> Global Media Online  www.gmo.jp

References:
- [connect24h:7551] 日刊SASSER
  - From: hama
- [connect24h:7575] Re: 日刊SASSER
  - From: Kentaro　Shima

Prev by Date: [connect24h:7576] FYI:Snortのセミナーについてのお知らせ
Next by Date: [connect24h:7578] Re: 日刊SASSER
Previous by thread: [connect24h:7575] Re: 日刊SASSER
Next by thread: [connect24h:7578] Re: 日刊SASSER
Index(es):
- Date
- Thread