Klez.E、Klez系スレッド part3
1 :1:
メール題名
A excite game
Hello,please try again など様々
感染契機
OEでメールプレビュー(IE脆弱性)
感染添付ファイルを実行
対策
[1]IE5.xはIE6にアップグレード<Netscape利用者でも必須>
[2]OEは「プレビューウィンドウを表示する」をOFF<OE利用者は必須>
http://www.zdnet.co.jp/help/tips/windows/w0425.html
[3]ウイルス対策ソフトの導入<必ずIE6を導入してから>
[4]Windows Updateで「重要な更新」などをインストール<全ユーザ必須>
http://windowsupdate.microsoft.com/
[5]怪しい添付ファイルを実行しない
送信先メールアドレス
Windowsアドレス帳、ローカルファイル(HTMLやテキストファイル) など
感染活動
奇数月6日に、拡張子がtxt,html,doc,xlsなどのファイルを破壊
01/06と07/06には全てのファイルを破壊か
犯人情報
>>2の通り
Fromヘッダなどが勝手なメールアドレスに書き換わる
文献
http://www.ipa.go.jp/security/topics/newvirus/klez.html
過去ログ
http://pc.2ch.net/test/read.cgi/sec/1018248786/ part1
http://pc.2ch.net/test/read.cgi/sec/1021137509/ part2
A excite game
Hello,please try again など様々
感染契機
OEでメールプレビュー(IE脆弱性)
感染添付ファイルを実行
対策
[1]IE5.xはIE6にアップグレード<Netscape利用者でも必須>
[2]OEは「プレビューウィンドウを表示する」をOFF<OE利用者は必須>
http://www.zdnet.co.jp/help/tips/windows/w0425.html
[3]ウイルス対策ソフトの導入<必ずIE6を導入してから>
[4]Windows Updateで「重要な更新」などをインストール<全ユーザ必須>
http://windowsupdate.microsoft.com/
[5]怪しい添付ファイルを実行しない
送信先メールアドレス
Windowsアドレス帳、ローカルファイル(HTMLやテキストファイル) など
感染活動
奇数月6日に、拡張子がtxt,html,doc,xlsなどのファイルを破壊
01/06と07/06には全てのファイルを破壊か
犯人情報
>>2の通り
Fromヘッダなどが勝手なメールアドレスに書き換わる
文献
http://www.ipa.go.jp/security/topics/newvirus/klez.html
過去ログ
http://pc.2ch.net/test/read.cgi/sec/1018248786/ part1
http://pc.2ch.net/test/read.cgi/sec/1021137509/ part2
|
|
|
2 :名無しさん@お腹いっぱい。:02/06/17 04:28
--------------------------------------------
Return-Path: [email protected] ←★(A) (A)と(B)のドメインが同じ、もしくは(A)と(C)が
同一ネットワークなら犯人のメアドの可能性が高い。
ただしmail.ruの場合は偽装されているので注意。
Received: from
...
Received: from <1番目のMTA>
by <2番目のMTA>
Received: from <送信者> ←★(B) このホストが真犯人
by <1番目のMTA> ←★(C) SMTPサーバ
From: [email protected] ←★(D) Fromヘッダは偽装されているので犯人の可能性は低い
Date: <日付時刻>
--------------------------------------------
この方法で犯人のメアドを特定できない場合はISPの苦情窓口へ >>3
Return-Path: [email protected] ←★(A) (A)と(B)のドメインが同じ、もしくは(A)と(C)が
同一ネットワークなら犯人のメアドの可能性が高い。
ただしmail.ruの場合は偽装されているので注意。
Received: from
...
Received: from <1番目のMTA>
by <2番目のMTA>
Received: from <送信者> ←★(B) このホストが真犯人
by <1番目のMTA> ←★(C) SMTPサーバ
From: [email protected] ←★(D) Fromヘッダは偽装されているので犯人の可能性は低い
Date: <日付時刻>
--------------------------------------------
この方法で犯人のメアドを特定できない場合はISPの苦情窓口へ >>3
3 :名無しさん@お腹いっぱい。:02/06/17 04:29
ワーム感染者の多いISPの連絡先
ocn
http://www.ntt.com/NEWS_RELEASE/2001NEWS/0011/1106.html
[email protected]
1週間以内に返答あるも、感染者が対策を講じてくれるとは限らない
ybb
http://www.bbtec.net/inquiry/ybb.php
ワーム受信を報告する際は、ホストと送信時刻が特定できるよう、
ワームメールのヘッダを転載すること。
テンプレート
---------------------------------------------------------------------------
Subject: 御社ユーザのKlezワーム送信について
---------------------------------------------------------------------------
担当者さま
はじめまして。****と申します。
御社のユーザから、2002/**/** 〜 2002/**/** にかけて、
**通のワームメールが連続的に届いております。
メールの特徴などから、本メールはKlezの亜種により送信された
ものと推察されます。
つきましては、当ユーザを特定の上、ワームの駆除及び
関連ソフトウェアのアップグレード、ウイルス対策ソフトの
導入等をご要望いただきたく、お願い申し上げる次第です。
以下に私が受信したワームメールのヘッダを転載いたします。
--------------------------------------------------------------
<1通目>
--------------------------------------------------------------
<2通目>
--------------------------------------------------------------
...
--------------------------------------------------------------
お手数をおかけしますが、どうぞよろしくお願いいたします。
---------------------------------------------------------------------------
ocn
http://www.ntt.com/NEWS_RELEASE/2001NEWS/0011/1106.html
[email protected]
1週間以内に返答あるも、感染者が対策を講じてくれるとは限らない
ybb
http://www.bbtec.net/inquiry/ybb.php
ワーム受信を報告する際は、ホストと送信時刻が特定できるよう、
ワームメールのヘッダを転載すること。
テンプレート
---------------------------------------------------------------------------
Subject: 御社ユーザのKlezワーム送信について
---------------------------------------------------------------------------
担当者さま
はじめまして。****と申します。
御社のユーザから、2002/**/** 〜 2002/**/** にかけて、
**通のワームメールが連続的に届いております。
メールの特徴などから、本メールはKlezの亜種により送信された
ものと推察されます。
つきましては、当ユーザを特定の上、ワームの駆除及び
関連ソフトウェアのアップグレード、ウイルス対策ソフトの
導入等をご要望いただきたく、お願い申し上げる次第です。
以下に私が受信したワームメールのヘッダを転載いたします。
--------------------------------------------------------------
<1通目>
--------------------------------------------------------------
<2通目>
--------------------------------------------------------------
...
--------------------------------------------------------------
お手数をおかけしますが、どうぞよろしくお願いいたします。
---------------------------------------------------------------------------