ルータのセキュリティログを見ると、1分間に10回程度の ICMP と TCP のアタックを受けていますね。
酷いのになると、全く同じ時分秒(プロテクトなセクタではありません(爆)) に二回もアタックを受けています。

なんだかなぁ…

W32.Blaster.E.Worm （symantec名、別名Lovsan.E）　は、ワーム活動時にICMPを使用するという情報は今のところないようです。
http://www.symantec.com/region/jp/sarcj/data/w/w32.blaster.e.worm.html

注：名称がワクチンメーカ間で混乱していますので、念のため、ご注意を。
　　例えば、すでに見つかっている、WORM_MSBLAST.E（Trendmicro名）　＝　W32.Blaster.D.Worm（symantec名）　です。
　　　参考（私のWEBページ）
　　　　http://www.d1.dion.ne.jp/~beth/virus/worm_blaster.html

−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−−

ICMPを使用するのは、WORM_MSBLAST.D（TrendMicro名、別名 Welchia, Nachi）ですが、
ターゲットのIPアドレスの選択アルゴリズムは、以下の４つのアルゴリズムが使われます。

　アルゴリズム１　（AhnLab(JPN) の Win32/Welchia.worm. 10240 の情報より引用）

　　ファイル受信後、ICMP パケット （タイプが8番の Echo Request) を送信しつつ作動中の
　　システムを探します。ICMP パケットを転送する時にコンピュータに設定されたシステム IP を
　　基準としてクラスBアドレスを固定し、クラスC 帯域でパケットを転送する所にはIP を継続的に
　　増加させながらパケットを転送します。

　　（例：　192.168.40.10 の IP アドレスを持っている場合は、このワームに感染後 ICMP パケット
　　転送時には 192.168.0.1 から始まり、増加させていきます）

　アルゴリズム２　（TrendMicro(JPN)の WORM_MSBLAST.D の情報より引用）

　　3つのクラスBのIPアドレスまで検索します。感染マシンのIPアドレスがA.B.C.Dの場合、
　　A.(B+1).0.0、またはA.(B-3).0.0から検索を開始し、Bの開始の値から3追加されるまで検索を行います。
　　C.Dについては0から255までの数字が入ります。

　アルゴリズム３　（TrendMicro(US)の WORM_MSBLAST.D の情報より引用　注：TrendMicro(JPN)のアルゴリズム３の日本語訳、間違ってます(^_^;）

　　It scans for one class B network, which is randomly chosen from 75 predefined network addresses.
　　For example, it scans for A.B.0.0 to A.B.255.255 where A.B is chosen from predefined list.
　　Possible values of A are: 61, 220, 202, 203, 210, 211, 218, 219 and 220.

　アルゴリズム４　（TrendMicro(JPN)の WORM_MSBLAST.D の情報より引用）

　　ランダムなIPアドレスを65, 535の値を使用して作成します。ただし、最初のオクテットは
　　61, 202, 203, 210, 211, 218, 219, 220のいずれかを使用します。

例えば、毎黒仮節渡万さんの場合は、IPアドレスが、61.117.***.*** に所属していますので、
　アルゴリズム3、４により、61.***.***.***　に所属しているPCが感染
　アルゴリズム２により、61.117.***.***　に所属しているPCが感染
　アルゴリズム１により、61.117.0.0〜61.117.255.255　に攻撃
なので、もともと攻撃されやすいものと考えられます。

最も多用されるのはアルゴリズム１なので、ICMPアタックが増えているところは、
同一ネットワーク内またはその御近所で WORM_MSBLAST.D の感染者が増大していることが考えられます。

＃　ちなみに、私のところ（IPアドレス　221.119.***.***）　では、ここ５日間は、ICMPアタックの数は
　　11回/時間　でほぼ一定しています。

うーん、ご近所さんですか(汗

ちなみにこのIPはDIONのものなので(ISPのDSL回線がDION)、
利用者は多いでしょうからね。
Sobig.Fも2通来ていますが、いずれもDIONのSMTPから来ましたから。

Blaster関連で下記事例があるそうです。

「ダイヤルアップ環境でBlasterに感染すると長時間切断できない事例が」　（Internet Watch）
http://internet.watch.impress.co.jp/cda/news/2003/09/02/318.html

一方のSOBIG.Fについて。

ワームSOBIG.Fの後継の予想記事が出ています。
SOBIG.F　は、9/10に機能停止しますが、これまでの経緯から、9/11以降約１週間後に
後継の　SOBIG.G（？）が登場する可能性があります。
SOBIG　系は、新バージョンごとに改良されてきており、攻撃力向上がなされる可能性があり、
また、このワームの意図が完全に特定できているわけではありませんので、十分な警戒が必要です。

「　「Sobig.G」の機能を予測する　」　（ZDNET）
http://www.zdnet.co.jp/enterprise/0309/02/epc03.html

MSBlast.Dに関するショッキングなレポートが出てます。
9/11に出ると予想されている本命は日本がターゲット
というものです。

http://www.zdnet.co.jp/enterprise/0309/03/epn08.html

あわわ
9/11に出ると予想されているのはMSBlast系ではなく、SOBIG系です。

＃　MSBlast.D（別名Nachi）　と　SOBIG.F　は、まったく別物ですが、ほぼ同時期に現れたので混乱されるのは無理もないかもしれませんね。

ありゃ、フォローありがとです。
"9/11に次の攻撃"という手の最初のニュースを読んだときから
勘違いしていたようです(爆死)。

しかしどうであれ、英語版と中国語版と韓国語版にはどんどんKB823980が適用され、日本語版には適用されずに徒にトラフィックを増やすのみなのは紛れもない事実。Blaster.DはBlaster.Aと違って気付きにくいし‥‥
NT4.0を使っている人が比較的のんびりしてる事も含めて、ホントにBlaster系新ウィルス（しかも破壊活動を行うヤツ）のターゲットになったら‥‥（寒

また中国人産か。
好きだね、彼らも。

数日前からWAN側から127.0.0.1:80発呼のアクセスが有ります （’ω’；）
（同じAT&T内からと言うのは解るんですが）

しかし、ここ２日でSOBIG.Fが大量に届いてるんですが（笑）
ここ見てる人で感染されてる人がいるようですな…（汗
ここ最近、某Roが重くてしょうがない（ぉ

取引先の某社にも、かなり大量のSobig.Fが届いてました。しかしこれ、添付ファイルを
自らクリックしない限りは感染しないはずなんですよね。
そこにヒントを感じて、発信元のIPを調べたら…発信元のメールアドレスは
もちろんさまざまに詐称されていましたが、発信元のIPはひとつでした。
なので、該当サーバに連絡を入れたところ、ピタリと止まりました。
こんなふうに考えるのって、合ってるのかな？

山本様＞
　私のところにも、おととい30通位のブツが、いっぺんに
届きました。まさしく「アドレスは詐称されてるが、
発信元のIPはひとつ」な状況でしたので、その管理者に
メールを出したところ止まりました。

こちらも、来たものを見てみるとIPは全て同一でした。
で、検索してみると…
Country：China
マジですか（汗
英語で大丈夫かな？(^^;)＞後で、連絡しておこう…

あまり気にしたことなかったけど、クレズなんかもこういうパターンが意外と多いのかな？