1 :
名無しさん@お腹いっぱい。 :
03/09/20 07:26
俺の場合、昨日から急に来始め 昨夜から勢いが加速しています、。 6時間の間に53通のSwen入りメールが来ていました 添付ファイル名ですが "Patch""update”"upgrade""installer""Q5桁数字"という名前が入っているものが 多いようですが、ランダムな物も多いようです。 その53通の添付ファイル名 ほとんど重複がありません。 Patch.exe fghd.exe Q74213.exe algckavp.pif ansp.com gkdov.com upgrade1943.exe ekmdywca.exe upgrade.exe fvsrw.exe install638.exe afplpwn.exe upgrede81.exe hdlcf.exe Pack66.exe update7889.exe hwddcswk.exe actpv.exe Installer21.exe anbju.com installer31.exe gngvsr.exe PATCH13.exe eisdrava.exe installer499.exe faqghqi.exe q782672.exe grko.exe Installer.exe (2) QZH.exe hekdwdh.exe dvmzhn.exe Upgrade28.exe eqysnrkn.exe PACK.exe diimey.exe dcodl.exe q561437.exe gadbeq.exe azhnrk.exe q778891.exe Q587328.exe fdrmezfk.exe ahmz.bat update6569.exe dnmx.com INSTALLATION242.exe pack833.exe dqyymp.exe Pack3141.exe dpuv.exe Install4.exe dlowya.exe
4 :
名無しさん@お腹いっぱい。 :03/09/20 08:15
From や subject も様々です
Microsoft(及び関連会社)からのセキュリティパッチ送付を騙るもの
例
SUBJECT: New Internet Critical Update
FROM: "MS Corporation Customer Bulletin"
SUBJECT: microsoft critical upgrade
TO: "Microsoft Corporation Customer
SUBJECT: Last Security Upgrade
FROM: "Technical Services" <
[email protected] >
エラーメール通知を騙るもの
例
SUBJECT: Undelivered Mail FROM: "postmaster"
SUBJECT: message FROM: "Admin"
SUBJECT: Error Message FROM: "Net Mail Storage System"
SUBJECT: Error Report FROM: "Delivery Service"
バスタのメールチェックを切って一匹捕獲してみる
6 :
名無しさん@お腹いっぱい。 :03/09/20 08:23
有益なスレだからageとくね
7 :
名無しさん@お腹いっぱい。 :03/09/20 08:25
>5 うち、ノートン先生なんだけど 1/10くらいのチェック漏れがあるんだよなぁ 漏れているのは添付ファイルが壊れているのかもしれないけど これ書いている間にも数通来ている・・
捕獲しようとしたとたん来なくなった・・・ (´・ω・`)ショボーン
洒落にならないくらいのペースで来ているので ISPの迷惑メールのフィルタリング規則を変更して 100KBを超える Advice Message Patch Update Upgrade 等がsubjectに 含まれるメールを破棄することにしました。 いまのところ効果がある様子 ノートンのチェック漏れは添付ファイルが壊れているやつでした (ファイルサイズが0-1KBになっている)
一匹捕獲しますた フリーのAVGでも検知されまつ
こいつ、題名にほとんど重複がないのがすごいな。 自動生成なのか、誰か中継者がいじってるのか…
Gate Lock X200 が勝手に削除してくれました。 今朝だけで20通近くきているな。
AVG Resident Shield : Virus Virus identified I-Worm/Swen.A is found in file C:\stn-2\q397595.exe フリーのAVGだとこんな感じ
>11 添付ファイルもランダム/テンプレ+ランダムな数字だからね 一定の傾向はあるんだけど、全く同じものはほとんどない これだけ大量にきていると間違って開いちゃう奴もでるだろうな
15 :
名無しさん@お腹いっぱい。 :03/09/20 12:07
しかしこれ、どこから出回って来てんだ??
16 :
名無しさん@お腹いっぱい。 :03/09/20 12:11
OpenJaneとか使ってるとデフォでsageちゃうわけだが、 せっかくの専用スレだから初心者の目につきやすいように ちょっとageていきませう 夕べと今朝、ノートンがSWENに反応した知人が電話してきた。 延々説明してくたびれますた。こういうスレがあると助かります。
17 :
名無しさん@お腹いっぱい。 :03/09/20 12:14
冫─' ~  ̄´^-、 / 丶 / ノ、 / /ヽ丿彡彡彡彡彡ヽヽ | 丿 ミ | 彡 ____ ____ ミ/ ゝ_//| |⌒| |ヽゞ |tゝ \__/_ \__/ | | __________ ヽノ /\_/\ |ノ / ゝ /ヽ───‐ヽ / / マイクロソフトがこんな親切なサービス /|ヽ ヽ──' / < するわけねぇだろ! / | \  ̄ / \ / ヽ ‐-  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
18 :
名無しさん@お腹いっぱい。 :03/09/20 12:28
ひと晩で500通… ヲレ、明後日から2週間出張でメール見られないのに… 1つ平均150KBもあるのに2週間もほったらかしたら、スプール溢れちまうよ〜
Return-Path: <
[email protected] >
Received: from turkey.mail.pas.earthlink.net (207.217.120.126)
by mta18.mail.yahoo.co.jp with SMTP; 20 Sep 2003 ** (JST)
Received: from 1cust122.tnt23.nyc3.da.uu.net ([67.193.10.122] helo=euxybyty)
by turkey.mail.pas.earthlink.net with smtp (Exim 3.33 #1) id 1A0P1B-0004iC-00;
Fri, 19 Sep 2003 **
From: "MS Program Security Department" <
[email protected] >
To: "MS Corporation User" <
[email protected] >
Subject: Last Net Critical Upgrade
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="ixxrgntusgpiyguic"
Message-Id: <
[email protected] >
Date: Fri, 19 Sep 2003 **
Content-Length: 157061
スキャン結果
ファイル名: Installer34.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]
へっ、一通もきやしねえぜ!
22 :
名無しさん@お腹いっぱい。 :03/09/20 14:31
いつも来てる大量のSPAMメールが、なぜか今日から添付ファイル持ってて、Worm.Automat.AHB感染が20通位ありました。 いつものSPAMと思ったらコワ
23 :
名無しさん@お腹いっぱい。 :03/09/20 14:32
>19 俺の場合、夜の間は一時間で10通くらいだったけど、朝になって 倍増したので、迷惑メールのフィルタリングオプション(無料)を利用して サイズ100KB以上で、Patch ,Update,Upgrade,Security,などのKeywordを subjectに持つものを全破棄することにした。 これは結構利いたみたい。
24 :
名無しさん@お腹いっぱい。 :03/09/20 14:34
ちなみに発信先は一々解析してないんだけど 全部海外だね SPAM業者関係からかな
今届いたやつで重複除くとこんな感じ USが多いか、珍しいことにNLもあるみたい 168.9.42.20 204.127.198.39 204.127.198.35 68.168.78.196 68.168.78.187 212.216.176.222 209.210.251.49 205.152.59.69
漏れの@yahoo.comのアカウントにはnlのSPAMはかなりくるよ。
27 :
名無しさん@お腹いっぱい。 :03/09/20 19:39
IE6.0にアップデートしてる場合、添付ファイルを実行したりしないかぎり メール攻撃ではやられないって考えていいでつか?
冫─' ~  ̄´^-、 / 丶 / ノ、 / /ヽ丿彡彡彡彡彡ヽヽ | 丿 ミ | 彡 ____ ____ ミ/ ゝ_//| |⌒| |ヽゞ |tゝ \__/_ \__/ | | __________ ヽノ /\_/\ |ノ / ゝ /ヽ───‐ヽ / / マイクロソフトがそんな完璧なIE /|ヽ ヽ──' / < 提供するわけねぇだろ! / | \  ̄ / \ / ヽ ‐-  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
>27 MS01-020の対策が出来ていれば基本的にそうなんだろうけど これだけ大量に来ていると、ついうっかり実行してしまいそうだよ アンチウイルスは備えていたほうがいいと思うな
30 :
名無しさん@お腹いっぱい。 :03/09/20 20:04
メール、チャット、ニュースグループ、共有で攻めてくるからな。誰かもカキコして たが、こいつホントに性格悪いぞ。 週明けには会社でひどいことになってそー。((((((;゚Д゚))))))ガクガクブルブル
冫─' ~  ̄´^-、 / 丶 / ノ、 / /ヽ丿彡彡彡彡彡ヽヽ | 丿 ミ | 彡 ____ ____ ミ/ ゝ_//| |⌒| |ヽゞ |tゝ \__/_ \__/ | | ヽノ /\_/\ |ノ __________ ゝ /ヽ───‐ヽ / / /|ヽ ヽ──' / < 月曜は会社休むからな! / | \  ̄ / \ / ヽ ‐-  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
32 :
名無しさん@お腹いっぱい。 :03/09/20 20:16
漏れの所に昨日と今日の午前中の合計で250通位来てる。添付ファイル名
は
>>3 のと同じのとUpgrede63.exe等といったファイル名も確認できた。
今日はnewsgroupに投稿されたメッセージにウィルス添付されているもの
を発見。(fj.freemarcket.comp)Mozillaのフィルタリングでデリるよう
にしているが、大学のPCのMozillaのバージョンが1Fと2Fとで違うので
上手く機能しないので結局手動あぼーんw
今日一日で13MByteきました( ´・ω・) Received見ると世界中からやってきてるんだけど なんで俺のメアドがわかるんだろ
全然来ないよ。つまんない
個人差が激しいですね。 このメールの来る人の職業って関係あるのでしょうか?
36 :
名無しさん@お腹いっぱい。 :03/09/20 23:23
>>35 自分のメールアドレスを出した過去の違いによって、アドレスを握られているSPAM業者が違うせいかな
37 :
名無しさん@お腹いっぱい。 :03/09/20 23:26
M$のニュースグループに投稿したとたんに来た、、、 あそこからメールアドレス抜かれてるのかなぁ?
38 :
名無しさん@お腹いっぱい。 :03/09/21 00:56
ネットニュースで馬鹿正直に正しいアドレスを書いた人が みんな地獄に落ちているようですね。
39 :
名無しさん@お腹いっぱい。 :03/09/21 00:57
>>37 感染すると、あちこちのニュースサーバにアクセスしてメールアドレスを
取得するそうですよ。
俺の場合、今のメールアドレスでは2年位前までは、全くSPAMなんて来なかった。 海外のネットゲームでメールアドレス登録したのをきっかけに、海外からSPAMが来る様になった。 アドレス売られたんですね・・・。 で、まわりまわって感染しているSPAM業者の手にも渡っている模様でつ
41 :
名無しさん@お腹いっぱい。 :03/09/21 01:09
わたしのメールアドレスは、ヘボなチェッカーに「あり得ないメールアドレス」 と認識されるモノだったので長いこと無事だったのですが、今年に入ってから、 ちゃんとしたチェッカーに捕捉されるようになってしまった(哀)
アカウント取得して数年経ちますが、知人から一切メールが届かないのですが、 何らかのウィルスの影響でしょうか? ※SPAMは来ます。
俺もそうだよ。 携帯にしかメール来ないよ。
>>44 俺は携帯に来るんだから、ほっとけ!
パソコンのメールなんかいつ見るかわからないのに、連絡用には使わないしょ・・・
>>40 別に売られなくても…以前から掲示板、ニュースグループ、ネトゲなんかを
スパム屋のメアド収集ロボットが這いずりまわってる。頭痛のタネ。
うちは全てbigfootの転送メール経由だよ
>>49 いらなくなったら,そのメアド廃棄できるってだけだろ?
使用中SPAM来るのに変わりなし。
SPMA防止なら,From詐称でもしとけ!
51 :
名無しさん@お腹いっぱい。 :03/09/21 07:49
>>50 >SPMA防止なら,From詐称でもしとけ!
SPMAってなに?
スペルマ
Return-Path: <
[email protected] >
Received: from remt30.cluster1.charter.net (209.225.8.40)
by **
Received: from [68.115.130.130] (HELO vobvqgcf)
by remt30.cluster1.charter.net (CommuniGate Pro SMTP 4.0.6)
with SMTP id **
From: "MS Customer Bulletin" <
[email protected] >
To: "Customer" <
[email protected] >
Subject: Microsoft Patch
Date: **
Message-ID: <
[email protected] >
スキャン結果
ファイル名: installation.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。
Return-Path: <
[email protected] >
Received: from nebula.skynet.be (195.238.2.112)
by **
Received: from xjsgfoec (152.21-201-80.adsl.skynet.be [80.201.21.152])
by nebula.skynet.be (8.12.9/8.12.9/Skynet-OUT-2.21) with SMTP id **
(envelope-from <
[email protected] >)
Date: **
Message-Id: <
[email protected] >
From: "Program Security Department" <
[email protected] >
To: "Customer" <
[email protected] >
Subject: New Net Upgrade
スキャン結果
ファイル名: Installer4.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。
一通もこねー
Return-Path: <
[email protected] >
Received: from kira.skynet.be (195.238.2.125)
by **
Received: from uheoor (92.244-136-217.adsl.skynet.be [217.136.244.92])
by kira.skynet.be (8.12.9/8.12.9/Skynet-OUT-2.21) with SMTP id **;
** (envelope-from <
[email protected] >)
Date: **
Message-Id: <
[email protected] >
From: MS Corporation Technical Bulletin@
To: "Consumer" <
[email protected] >
Subject: microsoft critical patch
スキャン結果
ファイル名: installer76.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。
57 :
名無しさん@お腹いっぱい。 :03/09/21 11:11
どうやったら犯人に損害賠償させられるんでしょうか?
エロイ人にしか届いていない様ですね。
SWENまだ〜チンチン
60 :
名無しさん@お腹いっぱい。 :03/09/21 14:25
なんか、宛先が俺じゃない人あてのメールが届くんだけど hotmail これもSWENのせい?
>>60 無害spamじゃないの。今時宛先隠しを珍しがるなんて、初心なお人。
SPMA→スップマ
63 :
名無しさん@お腹いっぱい。 :03/09/21 15:16
このメール今日の昼頃に大量に届いたけど なぜか全部exeファイルの代わりにtxtファイルが添付されとった
あまりメールアドレスをばら撒いていない所為か、 全然来ないな。 Sobig.Fのときも来なかったし。
メルアドさらしてるので、spamはいつもどおりの量だが、こいつはこないね。 今回は、メルサバのウイルスパターンファイル更新が間に合ったよう。 Sobig.Fは当初更新が間に合わなくて、きたけどね。 今回もお間抜けはやはり圧倒的に美国人だね。 ダイアルアップユーザが多いらしいから、 パッチ当ててない香具師が多いんだろうかね。 それとも美国人=田舎者は、やたら添付クリックしちゃうのか。
>>61 そうなんだ
hotmailとかあんまり使ったことなかったから知らなかったよ
俺宛てじゃないのに、俺に届くのが不思議な感じした
ありがとう
>>61 ていうか、無害スパムで宛先詐称する意味ってなんだろう
送信者の身元詐称ならともかく、宛先メアド詐称する必要ないような
初心者質問スレッドから誘導していただきました。 SWENだと思うのですが本文に <IMG SRC="cid:zwsmvqd" BORDER="0"> というタグがあってこのメール自体に添付されているGIF画像を表示するように なっています。 mail.yahoo.comでこのメールを表示してしまいました。ブラウザはNetscape7.1です。 このようにメール自体に添付されたGIF画像を表示しただけで感染してしまうことは 有り得るのでしょうか。 ちなみにmail.yahoo.comではHTMLメールの中の画像をデフォルトで表示しない という設定があり、それを設定しているのですが、この cid: を使ったものは 素通しのようです。
ネットニュース投稿時に使ったアドレスにも来るらしいね、これ。
>>69 そです。HDDに存在するファイルの中身をみるらしいですから。
漏れはフリーソフトを公開しているのですがそのメールアドレスにばんばん来てます。
>>73 いちいち個別に宛先設定するよりBCCにずらずら書いた
方がスパム屋は手間が省ける…のかな? どうせスクリプト
で名簿から自動作成してるんだろうけど。
>>73 >>66 はBccを知らないと思われ。
説明めんどいのでグルしてね。
ってこれも意味わからんかな。
ネットで適当に「Bcc」で検索してくれってこと。
説明めんどいのでグルしてね。 説明めんどいのでグルしてね。 説明めんどいのでグルしてね。 説明めんどいのでグルしてね。 説明めんどいのでグルしてね。 説明めんどいのでグルしてね。
ああ!心がグルしい!
説明めんどいのでグルしてね。
>>78 まんどいから説明しないが、インターネットメールとはそういうものだ。
理由が知りたかったら、自分でグルしてね。
グルってもっとタッハーw
ヤフオクの出品物の説明にメールを送る際はウィルス感染してないか 確認汁と追加してきた。緊急用Htomailまで汚染されたら最悪。
■■■■■■■ ■■■■■■■■■ ■■■■√ === │ ■■■■√ 彡 ミ │ ■■■√ ━ ━ \ ■■■ ∵ (● ●) ∴│ / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■■ 丿■■■( │< 説明めんどいのでグルしてね。 ■■■ ■ 3 ■ │ | ってこれも意味わからんかな。 ■■■■ ■■ ■■ ■ \_____________ ■■■■■■■■■■■■ ■■■■■■■■■■■■ ■■■■■■■■■■ ■■■■■■■■
86 :
名無しさん@お腹いっぱい。 :03/09/21 20:45
さかさに読むとnewsなのか……
既に1000個超えたSwenメール。 夜中〜朝方の6時間で270通溜まって(契約では10MBなんだが、18MB超えが スプールされてた。)OEで落とし中にエラー。w その後ネゴシエーションで通らず受信不可能に。ISP休日だし連絡不可能。 もう来ないわな。ははは。イッパイだ。落とせないし、鬱。 Tikitiki! お前んとこだ! な お し て く だ さ い 5分でTikitiki本社まで行けるんですが・・ ちなみにSwenは逆読みでNewsですね。NNTPマンセ〜〜。(かぶった
91 :
名無しさん@お腹いっぱい。 :03/09/22 01:14
そっか、過去にネットニュース投稿に使ったアドレスだからか…
こんなに大量に届くのは…
>>89 > ちなみにSwenは逆読みでNewsですね。
それは気付かなんだ。屁ぇ〜屁ぇ〜屁ぇ〜屁ぇ〜屁ぇ〜
92 :
名無しさん@お腹いっぱい。 :03/09/22 03:00
>>91 nachi → chinaとかな。ハッカーのセンスなんかオヤジ
ギャグ以下と決まってる
そいういや、fjとかNews Groupは必ずメアドを晒す規則になって
たな。漏れはそれがキライでfjにカキコしたことがない。RFCも
アフォな規則作ったもんだw
当分ニュースグループに投稿するのはよした方が吉
本文無しで、エラーメールっぽいsubjectで Content-type: audio/x-midiの104kの****.exeの 添付ファイルを送りつけてくるのもSwenですか? マイクロソフト装ったメールと同じ位上記のメールも 来てぐったりです。ちなみにwindowsは使ってないので ウイルス感染は心配ないのですが、メールサーバの トラフィックが心配です。
94 :
名無しさん@お腹いっぱい。 :03/09/22 07:58
>93 subjectなしのもありますね まず間違いないと思います うちはメール鯖のフィルタリング規則で弾いているんですが subjectなしだとお手上げ あと、添付ファイルのエンコード失敗した奴が結構届いています 感染性ないけど、ウイルスチェックも、フィルタリングもスルーするので 目障りではある
>>89 FTPで自分のhomeに繋いでもありません。
telnetは繋がりません。どうすりゃいいの?
>>95 ユーザーがtelnetで入れるシェルをISPが用意してない。
ISPに通報するしかない。
書き方が悪かった。すまん。 telnetで110へ繋いでもUserは通るがパスワードで蹴られるんだよ。 満タンになるとこうなるのか・? メールクライアントからの挙動とおんなじ。 ウイルスなんぞの銘々は誰が何処で何の権原でやっとんの? 最初に見つけた奴が決められるっての?RFC?
98 :
名無しさん@お腹いっぱい。 :03/09/22 09:02
ヘッダ情報にあった真のメアドらしきものでぐぐったら、 あちこちの掲示板でSOHOの宣伝カキコしているバカ女のアドだった……。 うんざり。
( ゚д゚)ポカーン
電話通じました。3時間ほどかかります。消しておきます。(w SWEN@の事、知らなかったです・・Tikitiki・しっかりして下さいと切に願うばかり。
SWENの間げきをぬって西村真吾の時事通信が届きました ウイルス以外のメールが届いたのは2日ぶりでつ (´・ω・`)ショボーン
103 :
名無しさん@お腹いっぱい。 :03/09/22 14:04
sobigのときと同様、メール流量が激減しているような気がする かなりのトラフィックが発生しているんだろうな
これ、メーラのフィルタリング機能ではじいてやりたいんだが、いまいちどれをキーにしていいかわからん。
105 :
名無しさん@お腹いっぱい。 :03/09/22 15:38
>>104 Content-Type: multipart
で弾くといいよ!!(w
>>105 それだと正常な添付ファイル付きメールまではじいちゃうからなあ。
それではかえって困るんだよ。
107 :
名無しさん@お腹いっぱい。 :03/09/22 16:49
俺はsubjectとファイルサイズで弾いている
>>103 今のインターネットのRFCがパソヲタ大学院生のノリでセキュリティ
の観点ほぼゼロで書かれてるという欠陥がモロに露呈してきてる罠。
今後のメールはウィルス/ワームチェックするサーバーからのもの
以外拒否、という方向になってくだろうな。ニュースグループのメアド
も今のように素っ裸で公開というのはマズイ。メアドデータベース鯖
みたいのが集中管理して、ワームがクロールできないようなメカを
考える必要がある。
>>108 うっふゃあ〜〜。
事件は現場でおきてるんだよ。
そんなあラジカルなご高説たれてたって、現状はかわらないだろ。
あんたの言うことにも色々問題点はあるけど、
説明がめんどいのでグルしてね
やけに沢山来てると思ったが、俺だけじゃなかったのか。 9/17にMS(本物)からセキュリティのお知らせメールが来たがタイミングが悪すぎたな。 ↓こんなの。 件名:Microsoft からセキュリティに関する大切なお知らせ - Protect your PC - このメールはマイクロソフト株式会社より弊社製品をご登録いただいているお客様 にお届けしております。 当ご連絡はお使いのパソコンのセキュリティに関する重要なお知らせのため、弊社 案内を希望されていないお客様にもお届けしております。
昔、英語のWebサイトを見てたらメールアドレスを aaaaa at 2ch dot net のようにしていた。ウィルスがうざいので投稿する時はメアドを変えておこう。 これが解釈出来ない厨からメールが来る事もないしな。
112 :
名無しさん@お腹いっぱい。 :03/09/22 22:03
>>108 「とりあえず動くやつ作った」が20年以上たった今もそのまま使われている
点がいちばん異常。
計算機科学者連が、「セキュリティが向上したシステムに移行しなければ」と
叫ぶと、「空気読めよ!!」「訴えるぞ!!」とビジネス方面から罵声を浴びるこの
現状。
>>112 へ?ビジネス方面はセキュリティ向上むちゃくちゃ望んでますが。
114 :
名無しさん@お腹いっぱい。 :03/09/23 01:56
>>113 >>112 のビジネス方面てのはソフトメーカー含めた現行の
システムでメシ食ってる連中のことだろ。
ユーザーは個人も企業ももちろんセキュリティ向上むちゃ
くちゃ望んでる。てか、これだけたてつづけに叩かれると
ビジネスでメールを使いづらくなってきた。送っても相手の
メールボックスがパンクしてたり、受信拒否されたり、読まず
に削除されたりで不達が続出。特にアメリカの企業は予想
以上の混乱だ。んでもってうちでは各部署でファックスが
そうとう復活してる。
うちも今日の休みでスプールパンクするんじゃないかと。 緊急重要な連絡は以前よりファックスを利用している。 またデジタル情報はCDRにして郵便。急ぐならバイク便。 近くは持参。部内はファイルサーバですましている。 メールはあくまで軽連絡と再利用電子情報の伝達用だ。 パンク不達は織り込み済みで仕事せなな。いまどき常識。
かたつむり君大活躍
>>116 使用具合はどうですか?
どの程度の傷までなら修復可能ですか?
うちでも買ってもらおうかな。
こういうご時世だから、必需品かもね。
(スレ違いですまんですたい)
>>117 ケースに入れて管理してあるCDに付いた小さな傷は問題なし。
それと裸のCD同士がこすれ合わさったときにできた傷も直ったよ。
さすがにカッターで切り目をつけたCDは無理だった。
ってsnail mailの話題のつもりで
>>116 を書いたのだが、まあいいか。
>>115 近場はそれでいいが、うちとこは○○系だからアメリカと
やりとりせなならんのよ。○○○アルの校正数百ページ、
これどうしてくれますか。Mr.Snailはいくら飛行機に
載せても足が遅い。そいで来月はFEDEXの払いで経理は
卒倒確実。
だから前からftp使おうっつってたのに…
>>116 え、ところで傷を修復するかたつむり君ってナニ?
>>118 感謝です。十分使えそうです。あした用度に注文させよう。
あ”、そっちの方でしたか。
Sobig.F猛攻の頃、速達書留郵便のほうがメールより速かったです。
電報はなんていうのかな? (ぐるしてみます。(笑))
>>119 CDを研磨できる装置ですよ。
説明めんどいのでグルしてね
>>119 うちはFTPポート塞いでるので、WebDAVサービス利用してます。
まだちと料金が高いのが難点ですが、
パスワードを相手ごとに設定できたりとか色々ありますね。
123 :
名無しさん@お腹いっぱい。 :03/09/23 04:49
a
SpamAssassin で捨てようと試みたがうまくいかん。 ベイジアンに食わせるだけじゃダメか。 パターンが色々ありすぎる...。
>>107 俺B2だから、ヘッダや本文の内容をキーにフィルタリングはできるけど容量でのフィルタリングができないからなあ。
>126 うちはdtiの無料オプションサービスの迷惑メール対応オプションで 弾いているよ。有料のウイルスチェックにしようかと思ったけど 「削除しますた通知」が大量にきても困るし とりあえずkeywordを18種類 Upgrade Update Patch Advice Message Security Critical Pack Returned Undelivered Error Failure warning newest report unknown Announcement Notice かつ、ファイルサイズは100KB以上で削除と設定 subjectなしと破損添付ファイル以外は来なくなったので 有効だったようだ
128 :
名無しさん@お腹いっぱい。 :03/09/23 10:52
まだうちとこは来てないが知人に被害続出だからメール
ボックスにフィルタの用意だけはしとこうと思うんですが。
>>127 さんのキーワードの他に、
(FROM)"MS Corporation Customer", "Technical Services"
"MS Program Security Department"
(TO)"Microsoft Corporation Customer"
"MS Corporation User"
なんてのがガイシュツしてましたね。あと何かフィルタの条件
によい文字列きぼん m( . . )m
129 :
名無しさん@お腹いっぱい。 :03/09/23 15:55
>>128 MSNとかMicrosoftにしたら?
Undeliveredとかは自分がメール出して、それが不達だった時の 通知メールに気付かないで困る事もあるので慎重にした方が良いと思うが。 メールのフィルタも難しいなぁ。
Received: from mail8.speakeasy.net (EHLO mail.speakeasy.net) (216.254.0.208)
by **
Received: (qmail ** invoked from network); **
Received: from unknown (HELO uaaujg) ([64.81.36.202])
(envelope-sender <
[email protected] >)
by mail8.speakeasy.net (qmail-ldap-1.03) with SMTP for <
[email protected] >; **
From: MS Corporation Internet Security Division@ 何故か@の後が無い。
To: " " < lnfpb@advisor_msn.net >
Subject: Current Network Security Patch
Mime-Version: 1.0 Content-Type: multipart/mixed; boundary="sehnxxphxnzjxuwiz"
スキャン結果
ファイル名: upgrade.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。
Return-Path: <
[email protected] >
Received: from gang.viawest.net (64.78.224.77) by **
Received: from glxael (dyn52.nas2.pah.viawest.net [209.170.210.52])
by gang.viawest.net (8.12.9/8.12.9/viawest-1.0) with SMTP id **; **
Date: **
Message-Id: <
[email protected] >
From: "MS Corporation Internet Security Center" <
[email protected] >
To: "MS Consumer" <
[email protected] >
Subject:
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="fkujxsgfphrfrupnl"
スキャン結果
ファイル名: Q131537.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。
133 :
名無しさん@お腹いっぱい。 :03/09/23 20:04
>>129 フィルタ文字列はべつに一語でなくていいんでない?
"MS Corporation Customer"とかにしとけば?
つーか漏れはそうしてるが。
134 :
名無しさん@お腹いっぱい。 :03/09/23 20:08
135 :
名無しさん@お腹いっぱい。 :03/09/23 20:11
136 :
名無しさん@お腹いっぱい。 :03/09/23 21:54
>130 うちの場合はファイルサイズ100KB越えのメールを送らないので 問題ないです
>>71 どうもありがとうございました。それらのファイルも存在せず。
プロバイダ(OCN)提供のオンラインスキャンでも何も検出されませんでした。
今回は大丈夫でしたが、GIFのレンダラーのセキュリティホールとかあったら
やっぱりやばいですね
落ち着いた。 19日の0:54からはじまって、最後が23日の10:10まで400通でした。ふぅ。
>>137 Windowsのアップデートは全て実行
ファイアウォール+アンチウィールスをしかるべく設定。
アンチウィールスのウィールス定義アップデートは
(手動の場合)毎日チェック
メールのウィールスチェックサービスに加入
他人のメディア(FDD、CDなど)はアンチウィールスでスキャン。
万一に備えて起動ディスクを作成
重要ファイルはCDなどにバックアップ作成
セキュ板、シマンテック、トレンドのサイトを定期的に覗く
なにごとにも絶対はないが、とりあえずこのぐらいやってあれば
たいてい大丈夫だろうw
140 :
名無しさん@お腹いっぱい。 :03/09/24 06:19
>>139 CDにウィルスが載るんですか、、、
( ´,_ゝ`)
141 :
名無しさん@お腹いっぱい。 :03/09/24 06:36
>>140 ライティングソフトがウィルス感染ファイルを除去する機能を有しているなら大丈夫 (プ
メーカー配布のCD-ROM媒体がウィルスに感染してたなんて笑えない過去もあるしな。
世間知らずは恥かくぜw
最近はあまりないけど、雑誌付録のCDがウイルス入りってのは 結構あったよね
143 :
名無しさん@お腹いっぱい。 :03/09/24 07:31
>138 うちも昨日から落ち着いた様子
BackOrificeがウィルスに感染していたとか
>>139 肝心なことが抜けている。
セキュ板、シマンテック、トレンドのサイトを定期的に覗く。
で、わからないことがあったらすぐにグルする。
これ最強。
146 :
名無しさん@お腹いっぱい。 :03/09/24 20:21
うわぁあぁあぁぁ、MSのニュースグループが危険だ。 2日ほど前からmicrosoft.public.jp.*全般にウィルスがばら撒かれてる。 平均10個ほどか。 最悪な事に、最近ActiveXの設定のせいでWindowsUpdateが、出来ないという 初心者が集中しているmicrosoft.public.jp.activexに投下されてしまった。
それは楽しみですね。
149 :
名無しさん@お腹いっぱい。 :03/09/24 21:19
今日来たのはみんなdionから。
Received: from proxy.hosp.med.osaka-u.ac.jp (proxy.hosp.med.osaka-u.ac.jp [133.1.75.206])
by **
Received: by proxy.hosp.med.osaka-u.ac.jp (3.7W) **
Date: *******
Message-Id: <
[email protected] >
Received: from tkad422.airnet.ne.jp ([210.159.86.166]) by gw.hosp.med.osaka-u.ac.jp; **
From: -----
To: -----
海外のニュースグループに時々投稿してるせいか、全然静まらない……
もしかして、いつもバイアグラのDMを送りつけてくるような
SpammerのPCが感染してるんだろうか。
国内からのは少ないかな。今日は一つだけ。
----------
Received: from unknown (HELO smtp.okym.enjoy.ne.jp) (202.224.67.52)
by ******
Received: from bgqcp (hsm-a4-059.enjoy.ne.jp [210.141.62.59])
by smtp.okym.enjoy.ne.jp (8.11.7/8.11.7)
Date: *******
Message-Id: <
[email protected] >
From: -----
To: -----
Swenで添付ファイルとHTMLだけのメールの構造をB2のメールデータファイルからあらかた解析してみた。
(一例)
--ksldjpiac
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable
<HTML>
<HEAD></HEAD>
<BODY>
<iframe src=3D"cid:tsxbmoefrxyor" height=3D0 width=3D0></iframe>
<BR><BR><BR>Undelivered message to <B>
[email protected] </B>
<BR><BR><BR>Message follows:<BR><BR><BR><BR>
</BODY></HTML>
--ksldjpiac
Content-Type: audio/x-wav; name="cayx.exe"
Content-Transfer-Encoding: base64
Content-Id: <tsxbmoefrxyor>
X-Becky-Include: 200309240113.****************@*********.com\cayx.exe.b64
「--ksldjpiac」はMIME形式の添付ファイル付きメールによく見られる区切り句で、
これはヘッダの「Content-Type:」で「multipart/alternative」形式の際につく「boundary」句の引数により異なる。
「X-Becky-Include:」はB2が内部で勝手につけるもので、深い意味はない。
重要なのは添付ファイル部分で「Content-Type:」が「audio/x-wav」なのにファイルの拡張子がexeな点。
これがSwenが送りつけるメールの最大の特徴ではなかろうか。
この特徴でフィルタリングできるかどうか実験するので、後報を待て。
けっきょく、この内容でフィルタリングできることがわかった。 <iframe( )*src=.*"cid:.*".*> 「ヘッダ」の部分に「[body] (本文(POP3のみ))」を設定し、「文字列」の部分に上記の内容を設定する。 このときに必ず「正規表現」にチェックを入れること。 また、フィルタリングマネージャのオプションとして 「text/plain 以外のテキストパートも"[body] (本文)"とみなす」にも必ずチェックを入れること。 HTML形式のウイルスメールのダイレクトアクション機能は大体フレームやレイヤによって機能することが多いから、 これをフィルタリングできればおおむね防げるだろう。
155 :
名無しさん@お腹いっぱい。 :03/09/25 10:09
メールヘッダの送信元のアドレス、日本のISPのちゃんとしたやつだったんだが、 漏れはその人知らないし、向こうも漏れのことなんか知らないだろう。 ではなぜそういうことになるのでつか? その人は中継してるだけ? AV宣伝メールの数十分後に当該メールが来たから、 その業者にメアド把握されてるのが原因かな? それとも関係ない? 宣伝メールでさえ、ほとんど来たことなかったんだけど。 ちなみに、添付ファイルをデスクトップにコピーしようとしたら ノートンが感知。ノートンの定義更新しておいてよかった(w
156 :
名無しさん@お腹いっぱい。 :03/09/25 11:32
教えてください。 このウィルスメールって「Return-Path」を騙ることは出来るのでしょうか? 「Return-Path」が知人だったもので本人に聞いてみたら 心当たりがないと言ってます
いつもの事だろ
158 :
名無しさん@お腹いっぱい。 :03/09/25 11:54
「Received: from」から送信元を推測することはできる?
「Received: from」と「Return-Path」が同じプロバイダなのです
(知人に心当たりが無いのも)いつもの事だろ
>156 最近のウィルスがReturn-Pathも含めて「騙る」のは もはや当たり前になってるからねぇ。 送信元を追求するのはほとんど無意味。 来たウィルスは片っ端から削除、スルーするのが一番。
今後のウィルスはヘッダーを当てにしないほうがいいのでしょうね。 みなさん、ありがとうございました。
163 :
名無しさん@お腹いっぱい。 :03/09/25 13:48
スルーするのが一番なのは確かだけど、昨日から嫁宛てに SWENが殺到してサーバー側で溢れ実質メールが使い物になってない。 大半が特定の会社(嫁が個人的に繋がりのある業者)の ホストを経由されているのでそこらへんから当たりを付けてみる予定 間違っても突然ゴルァはしませんが。
164 :
名無しさん@お腹いっぱい。 :03/09/25 14:34
経由ホストから当たりをつけた業者でビンゴ。 入れ違いで謝罪が来てた。 メルマガ登録者3000人にバラ撒き続けてスマソ。との事。w 当社のPCはMacであり感染するはずは無いのだが、 メルマガ登録者に感染者が居り、侵入され、バラ撒かれた。と。 ぶっちゃけ、おまいが悪いつーの。w
>>165 MAC厨にそーゆーのが多いんで困る。
無症状チフス菌保菌者みたいなもんだな。
167 :
名無しさん@お腹いっぱい。 :03/09/25 16:20
ありゃ、まだ収まってなかったのか!
マカーには陸な奴がいないことの証明だな
169 :
名無しさん@お腹いっぱい。 :03/09/25 20:17
昨日今日あたり、いきなり来る通数が多くなったんだが。
172 :
名無しさん@お腹いっぱい。 :03/09/26 01:43
>>171 わたしのところは、1日に1通か2通という程度に収まった。
bogofilter と組み合わせたら bogofilter で捨ててくれるようになった。 だが swen はなかなか来なくなった。 (´・ω・`)ショボーン
>169 ヘッダ出して見ろ さぁ、みんなで研究しよう!
175 :
名無しさん@お腹いっぱい。 :03/09/27 06:25
折れんとこはまだ来るなー。だから保守age
メールでは来ないけど、ニュースグループからもっさり。 大元なんだからブロック出来そうなんだけど、無理なのかな〜。
177 :
名無しさん@お腹いっぱい。 :03/09/27 11:08
はは・・・あはは・・・ ISDNの俺にとっては、100KBのファイルも受信するのに時間かかるわけで・・・・・。 6通受け取ったらタイムアウトだよヽ(`Д´)ノ 未だに23日のメールが来ます。
ほとんど来なくなりますた。
>>177 タイムアウト??
6x100KBx8b/48kb/sec=100sec
3分で切断にしてるのか?
課金が気になるなら、そりゃあ、
マネーアウトだろ。ならここに書くのもつらいんだろ。
ISPサービスでウイルス除去してもらえ。
そのほうが結果節約になるぞ。
>>176 MSのニュースグループというかMSのNNTPサーバーがウィルスだらけに
なってる。自動でフィルタリングできないみたいだね。
>>178 急にウィルスメールが来なくなった人はメールボックスが一杯になって
すべてのメールを受信できなくなっているだけじゃないの。
>>181 さて、その方法すら分からないわけですが(´Д`;)
この板専門用語だらけでお手上げだよチクチョウ
>>177 コマンドラインから、
>telnet [pop3サーバ名] pop3
>+OK InterMail POP3 proxy server ready.
が返ってきたら、
>user [ユーザ名]
>+OK please send PASS command
が返ってきたら、
>pass [パスワード]
>+OK [ユーザ名] is welcome here
> DELE, LIST, LAST, NOOP, RETR, RSET, STAT, TOP, UIDL or QUIT
が返ってきたら、
listとdeleを使って、要らない物を消す。
OK?
>>184 あんな〜。telnet閉鎖してるとこもあんのよ。
お前の環境はサーバやの仕事だろ。消費者レベルではない。
薄っぺらなスキルをひけらかすな。あほ。
telnet閉鎖って何? telnet.exe禁止ってことですか?
僕のtelnetも閉鎖されそうです
>>186 telnetポートを塞いでいるってこと。
いまどき、平文のtelnetを外部から受け付けるサーバなんてな〜。
sshだろうよ。こいつも穴が見つかったな。修正版いれたか<サーバ管理者
まさかと思ったが・・・。それが
>>184 と何か関係あるんですか?
pop3の事が解って無いのさ。
191 :
名無しさん@お腹いっぱい。 :03/09/27 20:42
>>188 思わぬところでとんだ恥をかいてしまいましたね。
いまどき、僕の肛門も穴が見つかりました
telnetなんてping,ftp並に基本的なコマンドなんだから、 スキルという程の事でも無いだろうに……。 ツールに頼りすぎて、初心を忘れちまったな。
一般人にpop3しゃべれというのは無理があると思ったのでツールを紹介したが、思わぬ大物が釣れたな。
>
>>178 >急にウィルスメールが来なくなった人はメールボックスが一杯になって
>すべてのメールを受信できなくなっているだけじゃないの。
ちがいますよ!!
ただ、今日は30通くらい来てました。Return-PathやRecievedを見るかぎり、
全部dionの同じ人っぽいのだけど、これってどこまで信用できるのかしらん。
>>182 方法がわからんなら使ってるメールソフトくらい書け
>>196 使ってるのはoutlook。
183さんの提示してくれたツール落として使ってみようと努力したけども
説明書が説明らしい説明をしてくれません。
アカウント登録に「登録ナンバー・間隔倍率・POPサーバー・ユーザー名
パスワード・表示名・ポート番号・APOPを使用」を入力?
・・・なんのこっちゃ。
あれか。初心者にはお薦めできないツールか。
>>197 ソフト板あたりで使い方聞くか、他の探してみれば。
nPOP使えばpop3喋らなくても簡単にサーバから 不要なメール削除できるよ。
削除するだけなら、コマンドラインでやる方が簡単だし早いけどな。 (ダウソや設定する手間を考えれば) この際、使えないOupolookから乗換えろってならハゲドーだ。
>>200 胴衣。ブラインドタッチできない香具師にはつらいかも。
>>nPOPもよい。ただし知人に勧めたらそこのプロバでは(?)
使えないようだった。
>>197 Outlook?
仕事で使ってるのか?
初心者っつーか少しは調べるなりしてみたらどーなのよ?
アカウント登録の単語はプロバイダのメールソフトの設定でも見なされ
人に聞いてばかりじゃいつまでたっても初心者。
>>197 nPOPが難しいソフトのように誤解されちゃ困るからちょっと
言っとくが、nPOPはフリーソフトにしちゃヘルプも非常に親切だぞ。
ちゃんと読めばどんな初心者でもわかるはずなんだが…
つーか、そもそもメールのアカウントの設定やったことないのか?
「アカウントの設定」→POP3メールサーバ名はプロバのパンフに
当然載ってるが、Outlookでも何でも今使ってるメールソフトの
設定見れ。Outlook Expressの場合だと、
ツール→アカウント→メールでアカウントを選択してダブルクリック
→プロパティ窓
そこに全部出てる。
「基本設定」→ヘルプ見れば全部解説してあるが、基本的に既定の
ままでいい。ADSLならダイアルアップ接続をオフにしておくように。
「メインメニュー」→管理窓を閉じる→タスクトレイのアイコンを右クリック
Return-Path: <
[email protected] >
Received: from rcpt-expgw.biglobe.ne.jp (202.225.89.200)
by **
Received: from smtp-gw.biglobe.ne.jp by rcpt-expgw.biglobe.ne.jp (nkrw/1718140703)
with ESMTP id h8S8d2904333; **
Date: Sun, 28 Sep 2003 17:38:27 +0900
X-Biglobe-Sender: <
[email protected] >
Received: from wlfwz (61.193.13.220 [61.193.13.220])
by smtp-gw.biglobe.ne.jp id RAXMC0A82794; **
From: "Microsoft Customer Assistance" < xqqgvlw-doqwms@lbvscom >
To: "MS Partner" < partner.umigarrta@lbvscom >
Subject: Network Pack
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="xyeujmpmibvmu"
Message-Id: <
[email protected] >
スキャン結果
ファイル名: pack7911.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。
教えて君ウザいとは思いますが、一応報告。
教えてもらったツールの使い方と内容は理解しました。
で、アカウント登録しようと必要事項を入力してたら
受信メール鯖のパスワード分からないという奇跡が起きまして。
ま、お手上げです。
>>198 おっしゃるとおりでございます _| ̄|○
>>204 ・・・高校生です。
>>205 ご指摘のとおり、アカウントの設定をした事が無いです。
親父様に全ての設定を任せてました。
1から10までの説明、ありがとうございます。
スレ違い質問を一つ。 サーバーと通信しようとして、タイムアウトが発生しました。 アカウント : @ サーバー : @ プロトコル : POP3 エラー番号 : 0x800CCC19 受信タイムアウトが起こって中途半端にメッセージを受信した場合、 (10通中、5通しかメールを受け取れなかった等) 改めてメールの受信を開始する際には、また最初から受信し直してしまう ものなのでしょうか。 もしそうだとしたら、たいした量のウィルスメールは 送られてないことになるようなのですが・・・。
>>208 パスがわからん? アイターw
ま、最初のうちはそんなもんだ…
0x800CCC19
>>209 まぁ、まともなメーラーなら取得(RETR)完了後に削除(DELE)するから、
同じ物を落としている事になるだろうね。
何らかの方法(既にいくつも出ているが……)で、該当メールを削除してやるしかないよ。
ちょっと訂正。 取得は一通ごとに行うから、取得が完了しているメールの再取得は行わないよ。
>>209 あれこれ試したが、サーバー上のメールを管理するソフト
だと、やっぱりnPOPだろう。分かりやすくて
>>205 くらいの設定で
すぐ使えるし、軽いからフロッピーに入れて持ち歩くこともできる。
いちいちアフォな添付ファイル落とさないですむ。ヘッダーだけ見て
さくさく削除できる。NGワードも設定できるし、ウィールスうざい環境
でも快適に過ごせますです。
nPOPは、「一覧から削除」はすぐ分かるけど、サーバからの削除が 「マークしたものを実行」になっているのが、ちょっと分かり難いかな。
Becky!とか電信8号でもリストだけ取得して削除できるだろ subject,From,ファイルサイズ見れば分かるから手動削除しる
これ今すごいね。
ずっと外人の差出人が多かったが、最近じゃ日本人の名前も出てきたな。 msのニュースグループにも差出人が会社名+社長の名前の差出人のがあった。 もう消されてるけど何ともバカだなぁ。
来なくなったぞ。
msのニュースグループ、圧縮ファイルの添付ばっかりになった。
222 :
名無しさん@お腹いっぱい。 :03/10/01 19:06
毎日、いまだにすごく来るんですけど、、、これってウイルスに感染しているか どうかってどうすれば調べられるのでしょうか?一応、無料のトレンドマイクロの オンラインスキャンを使ったら、異常はなかったみたいなんですが。。。 感染はしていないって考えてもいいのでしょうか?一向に収まらないので。。
>>222 駆除ソフト常駐しとけ
基本的には実行しなければ(されなければ)感染はしない。
添付付きメールはフィルタ設定などでゴミ箱に放り込め
>>222 これだけ大量にウィールスが流れてくると、上で紹介されている
Spam Mail Killer とかnPOPのようなメールサーバ上でメールを
削除できるユーティリティーも必須になってきてる。
メールや添付ファイルをサーバからダウンロードしないですむ
から削除処理が高速。第一、うっかり実行して感染する心配が
なくて安全だ
不安ならとりあえずプロバイダの受信メールのウィルス駆除 サービスに入っておけよ。
マルチパートなメール全削除する設定にすれば spamも減ってウマーなんだが、未だにhtmlで平気に送ってくる椰子が いるからそれもできないし・・
>>226 そういう条件設定はできないのか?
multipartはゴミ箱、でも指定したアドレスは削除しない
とか
>227 誰が送ってくるか特定できないので無理
>>229 知人つっても取引先とかだとなー。名刺貰うたびにOKリストに追加
するくらいはできるけど、そいつらの中にウィールス送ってくるヤシ
がいる確率92パーセント。
>>230 取引先か。
タイトルで弾くとか・・・・かな
俺は低めの優先度でのフィルタで Date:に"+0900"か"GMT"が入ってない To:に俺のアドレスが入ってない てなMultiPartを踏み台や直送系と判断して弾いてる。
ウイルスメールちtったあぁらBugbearすか来たことねぇいっぺ
234 :
名無しさん@お腹いっぱい。 :03/10/03 16:24
感染しますた…もうだめぽ…(´・ω・`)
235 :
名無しさん@お腹いっぱい。 :03/10/03 17:40
From: Microsoft Corporation Public Bulletin <
[email protected] >
To: Client <
[email protected] >
SUBJECT: New Net Critical Patch
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary=sdlidsdu
236 :
名無しさん@お腹いっぱい。 :03/10/04 23:28
感染はしていないのですが、メール受信してノートンが起動して、 〜の復元 という画面が開き、推奨だったのでやったけど失敗のメッセージ。 そこで 〜の削除 という方を実行したら 画面一杯に薄緑の画面が出て、○○○が○○○に書き込もうとしてます、と出る。 (ちなみに○はアプリやDATAファイルだったり) その後、PCの起動・終了時にこの画面が出て、不安定になりました。 同じような方いたら、情報下さい。
9X系OSとみた。
ウチのシステム関係のエライさん、UNIXのグル気取りで 常日頃「ウィールスとか素人は騒ぎすぎ」というのが口癖。 それがWindows Updateに釣られてSwenに感染して大騒ぎ。 面目まるつぶれで超不機嫌になっておりますwww
Received: from mrt-gw.mrt-miyazaki.co.jp (mrt-gw.mrt-miyazaki.co.jp [210.151.24.142])
by **
Received: from mrt-gw2.mrt-miyazaki.co.jp (mrt-gw2 [202.255.114.227])
by mrt-gw.mrt-miyazaki.co.jp (8.9.3/3.7W) with ESMTP for ; **
From:
[email protected] Received: from mrt-gw.mrt-miyazaki.co.jp (mrt-gw.mrt-miyazaki.co.jp [172.16.1.254] (may be forged))
by mrt-gw2.mrt-miyazaki.co.jp (8.9.3/3.7W) with ESMTP for <>; **
Received: from 219.106.43.20 (ntt1-ppp782.tokyo.sannet.ne.jp [219.106.43.20])
by mrt-gw.mrt-miyazaki.co.jp (8.9.3/3.7W) with ESMTP for <>; **
Date: **
Message-Id: <
[email protected] >
To:
[email protected]
FROM: "Bill Falconer" <
[email protected] >
NEWSGROUPS: japan.anime.evangelion.asuka,japan.binaries.pictures.erotica,japan.binaries.pictures.erotica.lolita,junk
,k12.chat.elementary,k12.chat.junior,k12.chat.teacher,k12.ed.art,k12.ed.business,k12.ed.comp.literacy,k12.ed.music
,k12.ed.science,k12.ed.soc-studies
SUBJECT: Watch correction package from the MS Corp.
X-ID: 9413224394317275273
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="xmspabezsubksf"
Lines: 316
Message-ID: <
[email protected] >
Date: Sun, 05 Oct 2003 18:06:12 GMT
NNTP-Posting-Host: 24.138.34.142
X-Trace: nnrp1.uunet.ca 1065377172 24.138.34.142 (Sun, 05 Oct 2003 14:06:12 EDT)
NNTP-Posting-Date: Sun, 05 Oct 2003 14:06:12 EDT
Organization: WorldCom Canada Ltd. News Reader Service
Path: news.uunet.ca!nnrp1.uunet.ca.POSTED!not-for-mail
Content-Type: application/x-compressed; name="qfye.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment
ブレイクが収まってから、また久々にW32.Swen.A@mmがやってきました。 2通だけ
ブレイク?
Swenが1日50通を軽く超えてやってきた、過去の大ブレイクでつ。
そんな名前のウィルスがあったかと思いますた
246 :
名無しさん@お腹いっぱい。 :03/10/09 08:48
たしかに一時のブレイク状態からは脱したけど jpからポツポツくるようになった DION,KCOM,Biglobeからなんで 一応カスタマーにメールしておいた DION,KCOMは対応してくれているようだけど、biglobeは放置っぽいな
ぐへー。 俺の所、今ブレイクしてる。 はっきり言って仕事のじゃま。 メールを携帯にも転送してるから、携帯バイブしまくりでキモイ。 う゛ーう゛ー・う゛ーう゛ーうぜー。
Biglobeカスタマーから丁寧な返信が来たので前言撤回 最近はISPの対応良くなったな。 今度はzaqとkcnからだ 必ず、同じ発信者から2通セットで来るのがウザイ >247 微妙にブレイクしているね
昨日2通でした。 今日9通でした。 じわりじわりって感じですねー
ここ2時間で 20 通くらい来た。 またかよ。
日本語系Newsで見掛けるアドレスから(詐称か?)ポツポツ届くようになってきた。 偶然かもしれないがどいつもこいつもアホな記事ばっかし書いてるOE使いからだ。 ・・・偶然なんだろうか(苦藁・・・。
メール本文に b3IAAABBZG1pbgAAAEdFVCBodHRwOi8vd3cyLmZjZS52dXRici5jei9iaW4vY291bnRlci5naWYv という行を完全一致で含むものを Swen とみなしています。 今のところ誤判定ゼロです。
>252 fjで晒されてたsigやね。 俺ンとこはナローなんでbodyを数行でも取り込む時点で負け組なんであんまり参考にならない・・・
サイトで思いっきり公開してるアドレスには全然こないのに、 通販の時だけ使ってる本名専用アドレスに山ほど来る。 どこの会社だよ、感染してる(もしくは洩らした)の… でかい会社とか有名な会社からしか通販なんかしてないぞ…しっかりしてくれよ〜
255 :
名無しさん@お腹いっぱい。 :03/10/10 19:31
うちの会社のメルアドにも来たぞ
256 :
名無しさん@お腹いっぱい。 :03/10/10 21:42
一時は海外からだったけど、パタッとやんでからは 全部jpからだ ISP側もウイルスチェックを有料オプション じゃなくて、デフォルトでやってくれないかな 良い迷惑だ
200円ずつ百万人からふんだくると毎月2億 うう、その利権ホスイ
毎日毎日10通以上、はぁなんとかならんのかね これって実行するとおらのPCから送信しまくるんだろうけど おらは特定できないんだよね 鬱なんでやったみたい誘惑に駆られているんですが…
>258 KlezとかSobigと違って 特定できるぞ ヘッダ見てみろ
>>258 特定できるよ
漏れは発信元が知り合いなら連絡してます
屁ッ駄を晒せ
国内ならISPに連絡しておけ しかしDIONが妙に多いな
i\__,ヘ | ノハヽ 川o・-・)< Yahoo!メールににSWEN2つが来ました。 (本当)
>263 で?
うう〜ん。。。
Norton AntiVirus? 2003Professional体験版をDLしたんですが インストしたらゴミ箱がNortonゴミ箱という名前になり Nortonゴミ箱を空にするというのが追加されました。 Nortonゴミ箱ってなんですか?体験版なので説明書もなくわからなくて困ってます。 Nortonゴミ箱も空にしてもいいものなのでしょうか?Nortonゴミ箱の中身は何が入っているのでしょうか? 教えてください。
Nortonゴミ箱の中には普通のゴミ箱が隠し属性で入っています。 何とかしてこの普通のゴミ箱を探し出し、 Nortonゴミ箱をこの普通のゴミ箱の中に棄てると……
269 :
名無しさん@お腹いっぱい。 :03/10/15 09:31
なんでだろ?dionばっかりだ 知り合いはdionには」いないのに
」
俺の質問変ですかねぇ?
272 :
名無しさん@お腹いっぱい。 :03/10/15 21:02
>>267 あなた自身が四次元クラインのツボの中に消えます
>277 それ以前にスレ違いだと思わないのか?
275 :
名無しさん@お腹いっぱい。 :03/10/16 09:30
blasterほどの大騒ぎにはならんのだろうか? LAN通して感染するのは重大なんだが
276 :
名無しさん@お腹いっぱい。 :03/10/16 10:53
トレンドのウィールスデータベースtop 10堂々の1位が Antinny.Aになってたぞ。ほんとかいな? SWENは4位。
>>273 >>274 初心者のくせに、機能も充分に吟味せずProfessional体験版などを
インストールした漏れがヴァカですた。
まさか、Professional版をインストールすると、Uneraseまで
インストールされ、Nortonゴミ箱機能が追加されるなど、
夢にも思いませんですた。
初心者質問スレに逝ってきまつ。
>275 爆発的ではないのだけど、継続的にjpのあちこちからずっと来ているから 結構感染が広がっているんじゃないかなぁ
279 :
名無しさん@お腹いっぱい。 :03/10/19 13:54
280 :
名無しさん@お腹いっぱい。 :03/10/19 16:10
って、以前利用した書店だった…
282 :
名無しさん@お腹いっぱい。 :03/10/21 09:12
沈静化した?
283 :
名無しさん@お腹いっぱい。 :03/10/21 10:53
Return-Path: のアドレスが発信者・・・・という解釈でいいのかな? >282 俺はプチプレイク中
284 :
名無しさん@お腹いっぱい。 :03/10/23 14:43
FROM: MS Corporation Network Security Center <vnfsod_hwykj@confidence_msn.net> TO: Commercial Customer <customer-derqdhyfec@confidence_msn.net> SUBJECT: Newest Microsoft Patch odnアカから来たんだけど、odnのメアド判る?
SWENって詐称行わないんだけど・・・
行うスワッキーもあるってこった。
確かにDION多いな なんでだろ
291 :
名無しさん@お腹いっぱい。 :03/10/25 21:43
Return path:のアドレスは?
>>291 そんなもんどうせ詐称可能なんだから何だって意味ないだろ
大ブレーク中
dion氏ね
swenウチにも2通来た、次来たらヘッダー見てみよう どうでも良いけど漏れの中では「日本ブレイク工業」がブレイク中(w
ブンボウグより強烈だったからなぁ点
ぐはー!何か一杯来てるし。 相手はかなり通信速度速そう。1個/分ぐらいのペース。
ブレイク!ブレイク! ( ゚∀゚) (ヽ□=□) > >
4通ゲッツ dion大迷惑
ようやく来なくなった・・ 3週間でDION 24通 BIGLOBE 12通 ですた その他はdti,kcn,あと忘れたけどどっかのケーブルTV各一通ずつ Niftyとかocnとかは全く来ないのにDIONだけが突出しているのが不思議だ
303 :
名無しさん@お腹いっぱい。 :03/11/01 21:16
一時のブレイクは脱したけど、ぽつりぽつりと来ているね ウイルスチェック 200円/月 程度なんだから、初心者の多いISPは全員サービスにしる!
無料チェックが当たり前になってきてる。
うがぁ 40通も同じISPから来ている
またdionか
要するに無料チェックやってないバイダからブレイクってことですな(´゚c_,゚` ) プッ
なんとも分かり易いですな
break out!
終息したかと思ったらまた昨日から増えてきている・・・ 某D社 対策してくれ
N社とV社
313 :
名無しさん@お腹いっぱい。 :03/11/08 20:45
毎日同じISPから5、6通コンスタントに来ている・・ サポートにメールを何度かしたけど対策しているのか?
容量優先でexpireさせてたらこの1週間でnewsのspoolがSwenで埋め尽くされてやんの。 まともな記事が残ってるのって管理系NGだけだ(w
315 :
名無しさん@お腹いっぱい。 :03/11/13 18:04
ぐはぁ!医療法人K会というとこから5分間で16連発来た・・
316 :
名無しさん@お腹いっぱい。 :03/11/14 11:42
わーい、6通キタ---- チネ
317 :
名無しさん@お腹いっぱい。 :03/11/16 11:18
うっかり、開いたら感染しますた トレンドのオンラインスキャンで、TMPファイルに潜んでまつた レジストリのRUNキーにそれらしいのは無いので、削除で終了 本体は何処?
>>318 テンプラ?丁度今夜のおかずだったからさっき食ったよ。
すみません、教えてください。 m(__)m メールサーバ(ウィルスチェック実行する)の記録を見ていたら かなり多くのメッセージID<200311171549142***.581@***.or.jp>に感染メール (ウィルス名称:WORM_SWEN.A)がイーッパイ送られて来ているのですが、 なぜメッセージIDに送られるのか?意味がわかりません。 トレンドマイクロのHP見てもこういう事例はないようなので。。 ひょっとして、送りつけることでシステム負荷を上げたり 破壊を狙うってことありますか?
確かにマルチですが、WORM_SWEN.A専用スレッドを後から発見したので・・・ 勘弁してください。
なんでMessage-IDに「送られるのか」って訊き方が悪い。 訊ねたいのは ・何故Swenはそんな馬鹿ポンな仕様なのかってことか? ・何故Message-IDに送り付けているのに鯖まで届いているのかってことか? 前者なら作者に聞け。後者ならsmtp勉強しろ。
>なんでMessage-IDに「送られるのか」って訊き方が悪い。 >訊ねたいのは >・何故Swenはそんな馬鹿ポンな仕様なのかってことか? >・何故Message-IDに送り付けているのに鯖まで届いているのかってことか? >前者なら作者に聞け。後者ならsmtp勉強しろ。 いいえ。どちらでもなくて、このスレ投稿やトレンドマイクロHPを見ている限り Message-IDへ送りつけられている例は無いようです。 みんな普通のアドレスに送られているようだし・・・・。 ひょっとして、意図的に送られているのか?と思ったわけで・・・。 鯖まで届くのは理解できますが、送付先が普通のアドレスではなく Message-IDに送り付ける意味が、わから無いのです。 Message-IDに送りつけることでシステム負荷を上げたり破壊を狙うって ことあるのかな?と。。
上げ
>>321 , 325
それって、間違いなくWORM_SWEN.Aなのか?
亜種ってことはないのか?
タコが改造して馬鹿ポンな仕様になっちまった、とか。
>>327 はい。亜種ではなく紛れも無くWORM_SWEN.Aです。
もっとも、ここ2ヶ月の間に263通WORM_SWEN.Aが検出されていますが、
普通のメールアドレスには121通、Messeage-Idあてには141通と
???な状態なのです。
329 :
名無しさん@お腹いっぱい。 :03/11/21 08:16
ちなみに発信先は?ひょっとしてDionじゃない?
>>329 発信元はdionでは無いようです。niftyやBiglobe、OCNもありました。
263件みんな調べたわけではないですが。
> メールの宛先となるメールアドレスは以下の二種の方法で収集されます: >1)感染コンピュータ内の .EML、 .WAB、 .DBX、 .MBX ファイルを検索し、 > ファイル内にあるメールアドレスの情報を取得します。 >2)インターネット上のニュースグループを検索し、メールアドレスの情報を収集します。 > ワームはこのメールアドレス収集活動のために以下のNNTPサーバに接続します: (略) メールアドレスぽいMessage-IDなら、そこ宛に送られる可能性はある罠
>>331 御教示ありがとうございます。
なるほど、「メールアドレスらしきものを自動取得する」で少し安心しました。
感謝します。
333 :
名無しさん@お腹いっぱい。 :03/11/25 09:33
昨日からまたぽつぽつ来てるんだが、 Return-Pathがtanakah@mue.*******.ne.jp 田中ハム江。。。。 ハムの人か!!
新庄からか? 羨ましいな
di●nいい加減二世!
337 :
名無しさん@お腹いっぱい。 :03/12/04 02:04
こちらは nifty.com 経由ばかりだよ
いまだにバカスカ来るなあ。。。 ポーランド、オランダ、イタリアあたりから。 まあS○-netからも来るんだけど(w
339 :
名無しさん@お腹いっぱい。 :03/12/04 14:44
3日で75通来た。frとかmxばっかでODNもあった pe,au,edu,it いったいどこから来るんだ? あと添付ファイルが50KBしかないのも2通。 途中で消された?が3通。拡張子がpifのもあった。
マイクロソフトのニュースグループに書き込んでから来るようになった。 swen>newsか… あとで投稿ルールが変更された。
di●nばかり… 前はメールしたら対応してくれたんだけど、最近は完全に無視されるなw
くる時間帯がほとんど真夜中… ほぼ全部海外から。 1日で75通ぐらいくるようになった。 感染してない人のも迷惑を被るいやなウイルスだ。 しかも届くアドレスは携帯携帯にも届く。 PCなら100KB以上のメール拒否にしてるけど、携帯じゃあできない。
343 :
名無しさん@お腹いっぱい。 :03/12/08 19:28
>341 同じく、毎回サポートにメールは送っているけど、最近返信率が悪くなっている そろそろDいおん単独で100通超えたかな
すみません、ど素人です。 AVGさんがE:\System Volume Information\_restore云々かんぬんで Swen.Aを見つけました。 フォルダにアクセスできないんですけど、どうやってすればよいでしょう?? (´・ω・`)
345 :
名無しさん@お腹いっぱい。 :03/12/11 00:44
どうやって削除すればよいでしょう?? の間違い。 どなたか教えてくださいませ。
>344-345 削除するなんてかわいそう かわいがってあげましょう すぐになついてくれますよ
>344 新しい復元ポイントをいっぱい作ったら古いのは押し出されて消えるよ。 まあそれなりのリスクもあるわけだが。放置が一番やね。
添付ファイルが50KBのものがありませんか?
350 :
名無しさん@お腹いっぱい。 :04/01/09 22:40
保守
351 :
名無しさん@お腹いっぱい。 :04/01/19 14:37
swnが今頃、それも携帯宛に届いた漏れは時代遅れw?
352 :
名無しさん@お腹いっぱい。 :04/01/22 13:30
久しぶりに着た。 やっぱりd●on
おいら○cnから
零細企業のメールサーバ経由でマイ糞ソフト・アップデートパッチを語った Swen.Aが届いた。 中継基地にされただけなのだろうが、セキュリティーの甘いところとは取り引きしたくないなー
まったくです。
357 :
名無しさん@お腹いっぱい。 :04/12/22 14:31:01
ありがd。 ココ見て、このウィルス駆除できたよ。 ちょっと前から感染に気付いてたけど、どうにも駆除できなくて ウィルス対策ソフト買おうか悩んでた。 オンラインスキャンは、取れンド米黒、 ウィルス削除は島ンテッ苦の無料のやつで削除しますた。 丁度このウィルスが全盛期の頃、ウィルスの情報入手サボってたなぁと反省。 LANケーブルで逝ってくるYO!
358 :
名無しさん@お腹いっぱい。 :2005/07/06(水) 13:27:17
許す
??????? ????????
1
361 :
名無しさん@お腹いっぱい。 :2009/07/10(金) 13:44:27
?
4 :z:2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440 ・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。
ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/ 漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html 454 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか?
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか?
来たことない
364 :
名無しさん@お腹いっぱい。 :
2014/09/27(土) 11:31:06.31 90000