WXP-AUG17 でブラウザ－が全て使用不能になった為
MSDN 2002年版の　Wundows XP Professional Original(No Patch)Editionを
応急的に使用してOS環境を構築し、ドライブの物理フォ－マットから開始して
ほぼ１週間従来の環境に復旧させました。
マイクロソフトのＯＳは信用がおけず、極めて一時的にしか使用出来ないので、
時期的に異なった版を区別する目的で以下のVolumeLabel にしました。
WXPP0-07NOV01　意味は、Windows XP Pro ServicePack-None(Zero)
- 2007/11/01 です。
なお、本記事冒頭の　WXP-AUG17 の意味は、　本年８月１７日ご破算実装したものです。
このVolume Labelでは、Pro版かどうか、ServicePack2であるかどうか、
それに実装年度の表示が欠けているので、今回は上に書いたWXPP0-07NOV11としたものです。
昨年2006年度にも都合４度Blue Screenでクラッシュしました。
僕はオフライン的ＰＣ使用に関しては精通していますが、オンライン的ＰＣ使用の基礎知識が
欠如していたまま、ＷＥＢアクセスで世界中を探索したため、正体不明の攻撃者につきまとわれて
いるように思います。特にヤフーポ－タルの検索エンジンは鬼門でして、
オンライン使用開始時には、WEBに関する知識は皆無のままYBBのADSL回線に加入しました。
今から考えるとYBBからの加入通知第一信に、凶悪な添付ファイル：トロイの木馬が付属して
いました。ですから、この活動により起こったありとあらゆる被害を実体験してきたように
思います。終いには管理者特権をパスワ－ドを読み取られるか、
ディスク上に保管したＰＷＤ総記録メモ・テキスト・ファイルから察知され、
自分のＰＣであるのに、明らかに他人が占領している兆候が随所に現れ始めました。
それ以来、起こった出来事の詳細な日記を書き始めました。
***************************************************************
２００７年１１月１日新規ご破算実装：MS Windows XP 0(No Patch)版
＋Sp1 From Web Windows/Microsoft Update
+Sp2 ******************************
AntiMalware : Kaspersky IS7
AntiSpyware : SpyBot-Search & Destroy
RegistryWatcher : Desktop Mechanic
日本語FEP : ATOK2007 Premium(予約版)
MS Office : OFC-XP & OFC-XP Developer
PC言語プロセッサー：VS.NET 2002
HTML-Editor : IBM HPB11 : IBM Home Page Builder 11 Premium Pack
主用OS Filer :二画面ファイラＫＦ
主用Text Editor : QX69 日本語SJC・英語
主用Web Browser : Mozilla FireFox 2.0.0.9 実装日時：07Nov03
AddOns :
IE TAB,FireBug日本語版、
ＴａｌｋＢａｃｋ、ＤＯＭ　Ｉｎｓｐｅｃｔｏｒ、AddBookMarkHere2
FireFox使用時に、FireBugの通知にエラ－続発
訪問サイトの多数の場所で、
GIF89a の検知あり。これはGraphic 動画アニメ－ション形式のファイルである意味なのでしょうか？
Mozilla FireFoxではこの　GIF89aファイルを解釈していない意味なのでしょうか？
使用Web Browserに　AOL を追加する実験：
米語版AOLからのDownload：エラ－続出、米国内向けサ－ビスなので
DLしたファイルをコンパネから削除
日本語版AOLの調査：回線プロバイダ契約と電話回線・携帯電話登録などが
必要なので保留、コンパネから完全削除。
WinRegistryにAOLの残滓が多数残され、完全に削除されたとは言えない状態に。
現在Mozila FireFoxを起動する場合、削除した筈の英文AOLが起動し、それを媒介にして
FireFoxが起動される状態にあります。
この解消方法の究明作業が必要になってしまいました。
***********************************************************
現在頻々と定期的な攻撃を日に４回実施してくるサイトのご報告

凶悪なWin.worm.Helkern トロイの木馬：世界を震撼させている新規のもの

■■ KIS Firewall 検知・防御報告

◆記録日時：@07Nov05(Mon)-06:26

●無防備なMS SQL 2000などに攻撃を仕掛ける極めて悪質なVirus Worm

ファイアウォール
----------------
ネットワーク攻撃の検知: 5
最後に受けた攻撃時間: 2007/11/05 6:12:01
ポップアップ数: 0
バナー数: 0
開始時刻: 2007/11/04 21:20:30
所要時間: 09:02:32

ネットワーク攻撃
----------------
時間 攻撃の詳細 攻撃元 プロトコル ローカルポート
---- ---------- ------ ---------- --------------
中国：広東省
◆2007/11/04 21:29:49 Intrusion.Win.MSSQL.worm.Helkern 61.142.113.130 UDP 1434
inetnum: 61.140.0.0 - 61.146.255.255 CHINANET Guangdong province network
Guard person: Chinanet Hostmaster
nic-hdl: CH93-AP
e-mail: anti-spam@ns.chinanet.cn.net

中国
◆2007/11/05 2:26:49 Intrusion.Win.MSSQL.worm.Helkern 218.75.91.19 UDP 1434
inetnum: 218.75.91.16 - 218.75.91.23

netname: PANAN-TELECOM-LTD
country: CN
descr: Pan'an Telecommunication Co.,ltd
descr: NULL
admin-c: XH192-AP
tech-c: CJ54-AP
status: ASSIGNED NON-PORTABLE
changed: auto-dbm@dcb.hz.zj.cn 20040617
mnt-by: MAINT-CN-CHINANET-ZJ-JH
source: APNIC

role: CHINANET-ZJ Jinhua
address: No.155 Xishi street,Jinhua,Zhejiang.321000
country: CN
phone: +86-579-2300779
fax-no: +86-579-2330035
e-mail: anti_spam@mail.jhptt.zj.cn
trouble: send spam reports to anti_spam@mail.jhptt.zj.cn
trouble: and abuse reports to anti_spam@mail.jhptt.zj.cn
trouble: Please include detailed information and times in UTC
admin-c: CH55-AP
tech-c: CH55-AP
nic-hdl: CJ54-AP
mnt-by: MAINT-CHINANET-ZJ
changed: master@dcb.hz.zj.cn 20031204
source: APNIC

person: Xiuyue Hu
nic-hdl: XH192-AP
e-mail: jaja36@sina.com
address: NO.131 Yueshan Road,Pan'an.
phone: +86-579-4667404
country: CN
changed: auto-dbm@dcb.hz.zj.cn 20040611
mnt-by: MAINT-CN-CHINANET-ZJ-JH
source: APNIC

印度
◆2007/11/05 4:47:05 Intrusion.Win.MSSQL.worm.Helkern 203.94.243.191 UDP 1434
inetnum: 203.94.224.0 - 203.94.255.255

% [whois.apnic.net node-2]
% Whois data copyright terms http://www.apnic.net/db/dbcopyright.html

inetnum: 203.94.224.0 - 203.94.255.255
netname: MTNL
descr: Mahanagar Telephone Nigam Ltd., ISP Division, New Delhi
descr: Planning Development and Operation of Telecom. Services.
country: IN
admin-c: DC59-AP
tech-c: DC59-AP
mnt-by: APNIC-HM
changed: hostmaster@apnic.net 19981224
status: ALLOCATED PORTABLE
source: APNIC

person: Deepak Chanduka
address: Mahanagar Telephone Nigam Ltd., Jeevan Bharati Building,
address: Tower 1, 12th Floor, 124, Connaught Circus, New Delhi
country: IN
phone: +91-11-3732212
fax-no: +91-11-3718117
e-mail: mtnlco@giasdl01.vsnl.net.in
nic-hdl: DC59-AP
mnt-by: MAINT-NULL
changed: hostmaster@apnic.net 19981224
source: APNIC

2007/11/05 6:06:27 Intrusion.Win.MSSQL.worm.Helkern 222.33.96.228 UDP 1434


2007/11/05 6:12:01 Intrusion.Win.MSSQL.worm.Helkern 58.20.228.52 UDP 1434


接続禁止にしたホスト
--------------------
時間 ホスト
---- ------
2007/11/05 6:06:27 222.33.96.228 /*Apnic アジア地域Name Server
2007/11/05 6:12:01 58.20.228.52 /*


実行中のアプリケーション
------------------------
時間 アプリケーション名 コマンドライン ルール名 アプリケーションPID 処理 通信方向 プロトコル リモートホスト リモートポート ローカルホスト ローカルポート
---- ------------------ -------------- -------- ------------------- ---- -------- ---------- -------------- -------------- -------------- --------------


パケットフィルタリング
----------------------
時間 ルール名 動作 通信方向 プロトコル リモートIPアドレス リモートポート ローカルIPアドレス ローカルポート
---- -------- ---- -------- ---------- ------------------ -------------- ------------------ --------------


ポップアップ
------------
時間 URLの遮断
---- ---------


バナー
------
時間 URLの遮断 ゾーン状態 テンプレート
---- --------- ---------- ------------
***********************************************************************************************************************
http://www.cybersyndrome.net/cgi-bin/whois.cgi

「222.33.96.228」の検索結果

◆CyberSyndrome WhoIs で調査：@07Nov05(Mon)-06:50

OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

ReferralServer: whois://whois.apnic.net

NetRange: 222.0.0.0 - 222.255.255.255
CIDR: 222.0.0.0/8
NetName: APNIC8
NetHandle: NET-222-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: NS-SEC.RIPE.NET
NameServer: TINNIE.ARIN.NET
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/info/faq/abuse
RegDate: 2003-02-13
Updated: 2005-05-20

OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3100
OrgTechEmail: search-apnic-not-arin@apnic.net

# ARIN WHOIS database, last updated 2007-11-03 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

***************************************************************************************************
http://www.cybersyndrome.net/cgi-bin/whois.cgi
「58.20.228.52」の検索結果

◆CyberSyndrome WhoIs で調査：@07Nov05(Mon)-06:50


OrgName: Asia Pacific Network Information Centre
OrgID: APNIC
Address: PO Box 2131
City: Milton
StateProv: QLD
PostalCode: 4064
Country: AU

ReferralServer: whois://whois.apnic.net

NetRange: 58.0.0.0 - 58.255.255.255
CIDR: 58.0.0.0/8
NetName: APNIC-58
NetHandle: NET-58-0-0-0-1
Parent:
NetType: Allocated to APNIC
NameServer: NS1.APNIC.NET
NameServer: NS3.APNIC.NET
NameServer: NS4.APNIC.NET
NameServer: TINNIE.ARIN.NET
NameServer: NS.LACNIC.NET
NameServer: NS-SEC.RIPE.NET
Comment: This IP address range is not registered in the ARIN database.
Comment: For details, refer to the APNIC Whois Database via
Comment: WHOIS.APNIC.NET or http://www.apnic.net/apnic-bin/whois2.pl
Comment: ** IMPORTANT NOTE: APNIC is the Regional Internet Registry
Comment: for the Asia Pacific region. APNIC does not operate networks
Comment: using this IP address range and is not able to investigate
Comment: spam or abuse reports relating to these addresses. For more
Comment: help, refer to http://www.apnic.net/info/faq/abuse
RegDate: 2004-05-04
Updated: 2005-05-20

OrgTechHandle: AWC12-ARIN
OrgTechName: APNIC Whois Contact
OrgTechPhone: +61 7 3858 3100
OrgTechEmail: search-apnic-not-arin@apnic.net

# ARIN WHOIS database, last updated 2007-11-03 19:10
# Enter ? for additional hints on searching ARIN's WHOIS database.

以上です

_________________
Seeja!
From KJT

世に偶然の出会いは無い
合縁奇縁
心には太陽を、唇には歌を
あしたに道を聞かば、夕べに死すとも可なり

こんばんは。

以下の書き込みが、Mozilla Firefoxのフォーラムに質問されています。その続きなのでしょうか?
http://mozillazine.jp/forums/viewtopic.php?t=6544

雑談に投稿されていて特にレスが無いようなのでド素人の意見になるかもしれませんがレスしてみます。

ウイルスに感染していてどうにも解決できないのであれば、クリーンインストールした方がよいと思います。ウイルスに感染している以上、Firefoxも正常の動作をしているとは思えません。ウイルスがFirefoxの動作に影響を与えていないと言い切れないからです。
一時的に「治った！」と思っても、まだ密かにウイルスの残骸が残っていて二次感染を引き起こす可能性もあります(あなたのパソコンがワーム攻撃の仲間になることも)。そんなことを引きずるより、クリーンインストールしたほうが気が楽になると思います。

攻撃を仕掛けてきたゾンビPCの情報を報告されていますが、無意味に等しいと私は思っています。限りなく存在するIPアドレスを報告しても、どうすることもできないからです。やるとすれば、CIDR で指定してパケットをブロックするぐらいでしょうか。

自分の身は自分で守るしかないと思います。

#中国はゾンビPCが腐るほど存在するようで、国に割り当てられたIPアドレスまるごとブロックするツワモノもいます。ウチのサーバもやってあったかも。
# http://www.hakusan.tsg.ne.jp/tjkawa/lib ... /index.jsp