☆ウィルス情報＆質問　総合スレッド☆part3

>>950
丸山ワクチン。。。。。。


嘘っす。参考までにどんぞ。
http://www.k-raito.com/sec/end.html

ウィルスっぽいメールが来ました。
差出人も受取人も私のアカウントで、
ジオシティーズのアカウント(もうSMTP使えない)から
プロバイダのアカウント(so-net)へです。

ヘッダを見ると送信者のSMTPサーバは DION のサーバみたいです。
添付ファイルがついていた模様(Mozillaのメーラでは添付ファイルは表示されなかった)
で、Base64エンコされてたので手動でデコした所、
ファイルの先頭にマジックナンバーの MZ の文字…
実行ファイルのようです。

あきらかにウィルスだと思うのですが、NortonAntiVirus でチェックしても
引っかかりません。
新種という事でしょうか？

ファイル名とzip、lzh、生のファイルサイズで検索してみれ。

Received:from imlmta03.aics.ne.jp (157.205.253.215) by ** with SMTP
Received:from virmta04.aics.ne.jp ([157.205.253.132]) by imlmta03.aics.ne.jp (InterMail vM.5.01.03.13 201-253-122-118-113-20010918) with ESMTP id *< [email protected] > for < [email protected] >
Received: from Futvzplfk ([61.124.120.70]) by virmta04.aics.ne.jp (InterMail vM.5.01.03.13 201-253-122-118-113-20010918) with SMTP id <virmta04.aics.ne.jp@Futvzplfk> for < [email protected] >
From:customer< [email protected] >
To: [email protected] [email protected]
[email protected]
Subject: Spice girls' vocal concert
MIME-Version: 1.0
Content-Type: multipart/alternative; boundary=NVX39I43eAsJ99Ye57
Message-Id:<virmta04.aics.ne.jp@Futvzplfk>
Date**

>>954
レスありがとうございます。

検索というのはサーチエンジンで調べるという意味でしょうか？
とりあえずサーチエンジンで調べてみたのですが、それっぽい物は
ありませんでした。

ちなみにContent-Type が audio/x-midi
ファイル名が VLINK.bat
デコード後のバイナリのサイズが 34.9 KB (35,817 バイト)

です。
(普段あまりウィルスメール送られてこないのでよく解らないのですが)
こういうのって最近のトレンドとしては
送信者のファイルの中から無作為に選んで生成するんですよね？

>>951-952
レスどうもありがと！
やっぱり、先生かな？

マカフィーおすすめ！
ノートンとバスターはベンチ落ちるけど、VSOはまったく落ちないよ。これマジで。

ノートン＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
バスター＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞クソースネクストバカフィー
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞＞
＞＞＞ウイルス警備隊

ある学校のドメインから大量のウィルスメールがやってきているの。
その学校に伝えたらどうにかなる？
何を伝えればいいのかな？

>>960
まずは、そこから来ているというのをどう判断しているかが問題。
Klezなど最近のウイルスは送信者を偽るのが多いから、
ちゃんと判断して警告などしないと、
http://www.nai.com/japan/virusinfo/klezezukai.asp
になっちまうよ。

種類を特定して、きちんとヘッダ情報などから送信源がわかったら
そこんとこをちゃんと記載して、状況を説明し、
善処してくれるように連絡すればいいと思うが。
どうにかなるかどうかは相手次第なのでなんとも。。。

960＞961
いろんな偽装で同じところからｺﾞﾝｺﾞﾝ来るのだ
ソース見ると、Received:from がぜんぶ同じところ。

>>960　>>962
自分のメールアドレスを削除して書き込みをお願いします。

書き込んでメリットあるの？

送信元が自分で判断できない人は、書き込んで送信元を判定してもらう。
他の者は判断基準が正しいことを再確認できる。

Return-Path: <*****@edu.setsunan.ac.jp>
Delivered-To: ないしょ
Received: from momiji.edu.setsunan.ac.jp (unknown [211.130.208.1])
by ***.******.ne.jp (Postfix) with ESMTP id E14EE4B9D7
for <ないしょ>14 Jun 2002 02:17:30 +0900 (JST)
Received: from Tms ([172.20.1.116])
by momiji.edu.setsunan.ac.jp (8.9.3+3.2W/3.7Wpl2) with SMTP id CAA01297
for <ないしょ>14 Jun 2002 02:16:40 +0900 (JST)
Date: Fri, 14 Jun 2002 02:16:40 +0900 (JST)
Message-Id: <200206131716.********@momiji.edu.setsunan.ac.jp>
From: ***<*****@*****.ne.jp>
To: ないしょ
Subject: So cool a flash,enjoy it
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=I5odk26sBS92y3TTyIm1QvhM930qdBj1z9
X-UIDL: fbd27ae7ed78842707c762e968710d8e

差出人が偽装であることは確認対処済み
サブジェクトはこのほか、
Cellspacing
information on ADSL　　　　　　など。
届くもののリターンパスは全て同じ。
めっせーじＩＤの@の左側と、二つ目のReceived: from の名前は
全部違う。

ノートン先生が検疫してくれてます。
これでいいんだよね？
これでどこから来てるかわかる？

>>966
間違いないと思います。
相手方の管理者と思われる方へメールを送られるのが良いかと。

この場合、管理者はsetsunan.ac.jpのウェブマスター（に当たる部署）ですよね？
ここでは***にしためっせーじIDとか、晒して報告してよいかしら？

添付じゃないんだけど知らない人から
Reで件名にKlezこれが入ってたら開けない方が良いのでしょうか？
今、アンチウイルス入れてないので調べられなくて。
添付で知らない人から最近メールも多くて、、、

>>969
アンチウイルスソフト入れてないんだったら知らない人で添付がある場合はすぐ捨てた方がいいかと・・・

>>969
とりあえず添付ファイルが多いんだったらアンチウイルスソフト
入れろ。いちいち心配することを考えたら安い買い物だと思う。

>>968
管理者には全部晒した方がいいよ
逆に隠してしまうと管理者が事実確認しづらくなるしね

http://www.zdnet.co.jp/news/0206/14/ne00_worm.html

怖いなぁ〜
感染しているマシンだとコード埋め込まれたjpeg画像が
ＩＥのキャッシュに取り込まれた瞬間にもう実行されちゃうってことだよね・・。

☆ウィルス情報＆質問　総合スレッド☆part4


http://pc.2ch.net/test/read.cgi/sec/1024061532/l50

>972
ありがとう
じゃあ、全部同じところからだけど、そのうちの何通かの
ヘッダをコピペして　管理者にメールしてみます。

毎週欠かさずウイルススキャンしてきた漏れだが、
今日やっとはじめてﾊｹｰﾝされたよ。
しかもいきなり16個も！
どのウイルスも発生率「まれ」で、
しかも未知ウイルスとしての検出が一つあったんだ。
何かとっても得した気分なので、ここでも自慢してみたよ。

送信元の管理者に対策をお願いすることが出来ました。
ここでレス下さった方、どうもありがとう。

>>966
うわーオイラの母校やん・・・・

あら、偶然ね。

ＷＯＲＭ＿ＫＬＥＺ．Ｈを２度も送っている
＠ＮＩＦＴＹ会員＜ＹＩＵ５３９６４＠ＮＩＦＴＹ．ＣＯＭ＞をどうやってこらしめたらいい？
＠ＮＩＦＴＹの会員でない場合、どこへ苦情したらいい？

◆１
Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: (qmail 4782 invoked from network); 4 Jun 2002 08:10:15 +0900
Received: from unknown (HELO mail531.nifty.com) (202.248.37.220)
by mx1.freemail.ne.jp with SMTP; 4 Jun 2002 08:10:15 +0900
Received: from Celvsr
by mail531.nifty.com (8.12.3/3.7W-02/25/02) with SMTP id g53N8Rk1026128
for <[email protected]>; Tue, 4 Jun 2002 08:08:27 +0900
Date: Tue, 4 Jun 2002 08:08:27 +0900
Message-Id: <[email protected]>
From: postmaster <[email protected]>
To: [email protected]
Subject: Undeliverable mail--"sos!"
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=M66dWm7571lTTgM3JbfY1BhtU7W5TO8
◆２
Return-Path: <[email protected]>
Delivered-To: [email protected]
Received: (qmail 7116 invoked from network); 15 Jun 2002 18:06:12 +0900
Received: from unknown (HELO mail533.nifty.com) (202.248.37.243)
by mx1.freemail.ne.jp with SMTP; 15 Jun 2002 18:06:12 +0900
Received: from Dqjgtdpod
by mail533.nifty.com (8.12.3/3.7W-02/25/02) with SMTP id g5F953oJ008111
for <[email protected]>; Sat, 15 Jun 2002 18:05:03 +0900
Date: Sat, 15 Jun 2002 18:05:03 +0900
Message-Id: <[email protected]>
From: mie-mii <[email protected]>
To: [email protected]

これはなんて書いてありますか？
Klez.E の対策プログラム？

Klez.E is the most common world-wide spreading worm.It's very dangerous by corrupting your files.
Because of its very smart stealth and anti-anti-virus technic,most common AV software can't detect or clean it.
We developed this free immunity tool to defeat the malicious virus.
You only need to run this tool once,and then Klez will never come into your PC.
NOTE: Because this tool acts as a fake Klez to fool the real worm,some AV monitor maybe cry when you run it.
If so,Ignore the warning,and select 'continue'.
If you have any question,please mail to me.

Klez.Eは世界規模のワームでござる。あんたのファイルが危ないよ。
発見しづらいのとアンチアンチウィルスで
ほとんどのアンチウィルスは発見できずに削除されまする。
だからウィルスを叩きのめす無敵ツールを作った。
一回動かせばKlezはたちまちやってこない。
注意事項
これはKlez成りすましツールなのでアンチウィルスが
反応するかも知れんが気にするな。
なんか質問あったらメールをよこせ。

>>981
翻訳は自分でやれ。あと>>2の辞典で調べてこい。

散々出てる。

ﾜﾛﾀ

defense stock on rize　っていう題名のメールが届きました。
これってウィルスですか？

>>985
だから題名だけで判断できるわけないんだから、ウイルスチェックしてくれ。
今はページの言葉を勝手に引用するウイルスもあるから。

>>966さんと似た状況です。ウイルスメールが何通も来ています。
毎回Return-Pathは共通で、Received fromも共通でReturn-Pathと同じプロバです。
Fromが偽造されていて他のプロバのメールアカウントになっています。
Return-Pathに表示されているメールアドレスを検索してみた所、
商店(通販？)のサイトで引っ掛かりました。
で、その商店の地域はReceived fromに表示されていた情報から判断できる地域と同じです。
私はそのサイトを訪れたことは無いのですが、その商店のサイトの管理人がウイルスを送ってきているのでしょうか？
また、>>966さんと同じように相手のプロバに連絡するべきでしょうか？

>>987
ここで相談する前に、自分で行動したらどうっしょ。

966＞987
送信元の管理人にメールしたら即座に対応してくださって、
今は平和になりました。
アドレス拾われて偽装送信者にされているＨＰの管理者にも
メールしたら、やはり対応してくださった。
早く手を打たれるのがよろしいかと。

>987
私の場合、恐らく同一人物からの送信(全15通)で、すべて同じDTIです。
毎回プロバに送信者のアカウント停止をお願いしています。
「警告し対応させている」旨の返事をもらいますが、1ヶ月たっても
止まりません。
プロバイダによって対応もまちまちなので、あまりあてにしない方が
いいかもしれませんね。

大人しい私もそろそろキレそうです。

昨日と今日同じ人からウィルスメールがきました。
チェックにひっかかったので平気です。
同じ人からだしその人のメルアドもわかってるのでその人に「やめてください」
ってメールしたほうがいいのでしょうか？

>>991
同じ人からだと言い切れますか？
http://www.nai.com/japan/virusinfo/klezezukai.asp

>>989-990
レス有難うございます。私に送られてくるウイルスは全てKlez系ですが、
商店のサイトからもこのウイルスは送られてくるのでしょうか･･･。
それともReturn-Pathのアドレス(その商店のサイト)も偽造されているのでしょうか。
>>992のような事例にならないためにも事実確認をしてから行動したいと思っていたのですが、
そのアドレスが発信源と見て間違いないのでしょうか・・・？

落とすぜ

すまねえな
早く早く

何故か知らんが、
とてもとても
気になったんだ。
dakara

落とすぜ
落とすぜ
速攻落とすぜ
yeah

もうすぐだぜ
もうすぐだぜ
IKO-ZE

yeah　yeah
出そうだぜ
yeah　yeah
iko-ze　iko-ze

1001は無いのか？

このスレッドは１０００を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。