ついに原因判明。デスブログに以下のエントリーがあることが判明した。

久しぶりに食べたコリアンは
とってもおいしかったです〜♪

キムチのお土産までいただいて
お腹もいっぱーーい！

攻撃元が中国のIPだったが、実は勝手に韓国の農協内部で使っていたとか、そんなことは結果に過ぎないだろう。

なお、例のIP 101.106.25.105 を逆引きすると 1695750.r.msn.com になってMSのサーバであるというのは、ガセだと思う(実際にやってみればわかること)。

ただし、繰り返すが対処策が時刻を戻してアップデートをしないというのは、やはり怪しい。正規のサーバに対してSP1へアップデートするだけでいい筈。