どんなことでも

この人 blog を書くのだろうか?

JCSAT

2005-07-27 06:51:26 | ノンジャンル
なんだか、えらいことになってるんですねぇ。全然知りませんでした(^^;とりあえず、台風で傾きました?ってことで(笑)

JSAT と JCSAT がどっちがどっちだか分からなかった時期があったのは内緒で。
JCSAT-1b って、JCSAT-1 の寿命が予定より早く来てしまって打ち上げが間に合わず JCSAT-4(今のJCSAT-R)を JCSAT-1a として一時的に使用し、JCSAT-1b が打ち上げられた後、バックアップ機に復活していたんですが、また、1号機として活動を始めることになるんですねぇ。
いやぁ、懐かしい。まぁ、当事者にとって見れば懐かしいなんて呑気なことを言っている場合じゃないと思うんですが。

G/T(ジーオーバーティー)とか EIRP(イーアイアールピー)とか、もう何のことだったかすっかり忘れてますねぇ。誰か教えて(笑)
そういえば、「これがDAMA(ダマ)ね」と村人Aに言われたときに、「このシステムで、その通信のことをDAMAという」のかと思った。なんて事もありました(^^; でも、DAMA はちゃんと一般的な名称であり回線割り当て要求に応じて回線を割り当てる方式であると覚えています(^^v

ウィルスのその後 Part 5

2005-07-15 10:39:49 | コンピュータ
前回のウィルスの日本語解説が出ない間に、また検出できないウィルスが...パスワード付きの zip ファイルで、例によって展開して送りつけるとVirusTotal ではこんな感じ。
This is a report processed by VirusTotal on 07/14/2005 at 21:53:43 (CET) after scanning the file "__12487" file.

Antivirus Version Update Result
AntiVir 6.31.0.9 07.14.2005 TR/Proxy.Agent.DL.2
AVG 718 07.14.2005 no virus found
Avira 6.31.0.9 07.14.2005 TR/Proxy.Agent.DL.2
BitDefender 7.0 07.14.2005 no virus found
CAT-QuickHeal 7.03 07.14.2005 no virus found
ClamAV devel-20050501 07.14.2005 no virus found
DrWeb 4.32b 07.14.2005 no virus found
eTrust-Iris 7.1.194.0 07.13.2005 no virus found
eTrust-Vet 11.9.1.0 07.14.2005 Win32.Dermon.A
Fortinet 2.36.0.0 07.14.2005 no virus found
F-Prot 3.16c 07.14.2005 no virus found
Ikarus 2.32 07.14.2005 no virus found
Kaspersky 4.0.2.24 07.14.2005 no virus found
McAfee 4535 07.14.2005 BackDoor-CIU
NOD32v2 1.1169 07.14.2005 no virus found
Norman 5.70.10 07.14.2005 no virus found
Panda 8.02.00 07.14.2005 no virus found
Sybari 7.5.1314 07.14.2005 BackDoor-CIU
Symantec 8.0 07.14.2005 no virus found
TheHacker 5.8.2.070 07.13.2005 no virus found
VBA32 3.10.4 07.14.2005 suspected of Embedded.Trojan-Spy.Win32.Agent.dt
Trendmicro からは 7/15 5:13 に受付メールを送信されました。メールの届いたのが 7/13 20:30 なんだから、もっと早く提出しようよって気がしなくもなく...
ちなみに Symantec は、どうも proxy の中からでは提出が不可能な模様 ー> 早く気づけよσ(-_-)

しかしまぁ、最近は検出できないウィルスが多いなぁ。
例によって strings dos.exe
Software\Microsoft\Windows\CurrentVersion\Run
SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
SOFTWARE\Microsoft\Windows\CurrentVersion\Run
SOFTWARE\Classes\http\shell\open\command\
SOFTWARE\Classes\https\shell\open\command\
Internet Explorer\Iexplore.exe
.....
[IE:%s]
internet explorer
%s %s
[%02d.%02d.%d %02d:%02d:%02d]
[ CLIPBOARD: %s ]
body.exe
.....
lsass.exe
.....
[PASSWORDS]
POP3 Password2
POP3 Server
POP3 User Name
HTTPMail Password2
Hotmail
HTTPMail User Name
Software\Microsoft\Internet Account Manager\Accounts
kPStoreCreateInstance
pstorec.dll
AutoComplete Passwords
IE Auto Complete
https:/
http:/
:String
StringIndex
e161255a
MSN Explorer Signup
OutlookExpress
b9819c52
IE:Password-Protected sites
5e7e8100
Deleted OE Account
220d5cc1
.?AV_com_error@@
.?AVtype_info@@
qbyynezhygvcyvre.pbz
.....
127.0.0.1
HTTP/1.0 404 Not Found
Proxy-Connection: close
Content-type: text/html; unsigned charset=us-ascii
<html><head><title>404 Not Found</title></head>
<body><h2>404 Not Found</h2><h3>File not found</body></html>
HTTP/1.0 200 Connection established
Content-Type: text/html
HTTP/1.0 200 Connection established
HTTP/1.0 407 Proxy Authentication Required
Proxy-Authenticate: Basic realm="proxy"
Proxy-Connection: close
.....
%s/r.php?i=%u&s=%u&o=%u&c=%u&v=%u&h=%u&ip=%s&un=%s&uv=%s
.....
perflibs_.dat
.....
mustlive_%u.exe
NULL
%slp.php?i=%u&v=%u&win=%s&un=%s&uv=%s
こんな感じで、レジストリに登録されたり、インターネットに勝手に接続に行くのかな?とか、Webサーバーになるのかな?とか。でも、アクセスしに行く URL がそのまま書いていない辺り、頭がいいのかな?

% strings doc.exe | grep DOS
!This program cannot be run in DOS mode.
!This program cannot be run in DOS mode.
!This program cannot be run in DOS mode.
と言う辺りから、実行ファイルが3つ入っているのかな?とか
% echo qbyynezhygvcyvre.pbz | rot13
dollarmultiplier.com

時刻は、トレンドマイクロの出したメールのタイムスタンプ。
07/15 05:13 Webにて検体提供。
07/15 05:13 トレンドマイクロより受付メール受信。
07/15 13:12 メールの内容を添付するとまとめて隔離されるため、メールの内容を書かずに検体のみ提供するよう指示を受ける。
07/15 16:37 再度 Web ページより検体を提出。受付メール受信
07/19 17:30 パターンファイル「2.733.00」以降で、ウイルス「TROJ_DERMON.C」として検出可能。と連絡あり。
07/27 03:00 現在 日本のトレンドマイクロには同名のウイルス解説ページは存在しない模様。...えげれすのさいとにはあるみたいです。

今日は WindowsUpdate & OfficeUpdate の日

2005-07-13 11:44:04 | コンピュータ
Office XP,2003 以前の office を使っている場合は、Microsoft Update ではサポートされていませんので、Office Update を使う必要があります。

Microsoft Update について良く寄せられる質問より
今後も Office Online から更新プログラムを入手したり Office Update を使用する必要はありますか。
既に Office 2003 をインストールされている場合はその必要はありません。以前のバージョンの Office を使用されている場合は、引き続き Office Online から更新プログラムを入手する必要があります。
これだけを読むと、Office XP がサポートされていないように読めますが、もう少し下まで読んでみると、
Microsoft Update でサポートされる製品について教えてください。
Microsoft Update Web サイトでは、Windows の更新プログラム以外に、Microsoft Office 2003、Office XP、Microsoft Exchange Server、Microsoft SQL Server など、一部の Microsoft 製品に対する更新プログラムが提供されます。通常は、各製品の最新バージョンに対する更新プログラムだけが提供されます。
と、原則は最新版のみだが、Office は例外的に以前の XP もサポートしているということなのでしょう。

まぁ、私が会社で使っているのは Office 2000 なので全く関係ありませんが。ちなみに、家では OpenOffice 1.1.3 です。これ以上バージョンを上げるには OS に手を加えないといけないようなので、止まっています。小さなパッチなのでそんなに面倒ではないのですが。

ウィルスのその後 Part 4

2005-07-12 09:41:27 | コンピュータ
また検索に引っかからないウィルスが...
といっていたウィルス。
07/07 12:06 トレンドマイクロより受付メール送信
07/11 19:25 にトレンドマイクロより返信が来ました。ファイル名:検出名 で、
report.log.exe:TROJ_SMALL.AME
tatwwzl.zip:TROJ_DROPPER.FR

パターンファイル2.721.00にて検出が可能
との事。
そのころは、7.717 でしたのでやっぱり検出は出来なかったんですね。パターンファイル情報によると、7.721 では TROJ_SMALL.AME は追加。TROJ_DROPPER.FR は更新のようです。

TROJ_SMALL.AME のページを見ると
Description created: 2005-07-07
Description updated: 1999-11-30
何か、変じゃないですかい?
日本語サイトには、パターンファイル 2.720.03 にて対応と書かれていました。

TROJ_DROPPER.FR Statistics を見る限り、7/7 から検出しているのは新種(亜種)で、命名規則から .FR では無いのではないかと...