SWEN@MM(SWEN.A) スレ

SWEN@MM(別名SWEN.A)
ユーザーを欺くためにエラーメールを装ったり、マイクロソフト社からのメールに
見せかけた内容になっています。お約束ですが添付ファイルを開かないように！

ネットワークアソシエイツ
http://www.nai.com/japan/security/virS.asp?v=W32/Swen@MM
トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A
シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]
注意：デジタル・イミューン・システム によって自動的に生成された定義により、
以前は　Worm.Automat.AHB　という名称で検出されています。


添付ファイルを実行しなくても以下のセキュリティホールの対策をしていなけ
れば、見ただけで感染します。
　不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020

>>1
乙でつ

俺の場合、昨日から急に来始め　昨夜から勢いが加速しています、。
6時間の間に53通のSwen入りメールが来ていました
添付ファイル名ですが　"Patch""update”"upgrade""installer""Q5桁数字"という名前が入っているものが
多いようですが、ランダムな物も多いようです。
その53通の添付ファイル名　　ほとんど重複がありません。

Patch.exe　fghd.exe　Q74213.exe　algckavp.pif　ansp.com
gkdov.com　upgrade1943.exe　ekmdywca.exe　upgrade.exe
fvsrw.exe　install638.exe　afplpwn.exe　upgrede81.exe
hdlcf.exe　Pack66.exe　update7889.exe　hwddcswk.exe
actpv.exe　Installer21.exe　anbju.com　installer31.exe
gngvsr.exe　PATCH13.exe　eisdrava.exe　installer499.exe
faqghqi.exe　q782672.exe　grko.exe　Installer.exe (2)
QZH.exe　hekdwdh.exe　dvmzhn.exe　Upgrade28.exe
eqysnrkn.exe　PACK.exe　diimey.exe　dcodl.exe
q561437.exe　gadbeq.exe　azhnrk.exe　q778891.exe
Q587328.exe　fdrmezfk.exe　ahmz.bat　update6569.exe
dnmx.com　INSTALLATION242.exe　pack833.exe　dqyymp.exe
Pack3141.exe　dpuv.exe　Install4.exe　dlowya.exe

From や　subject　も様々です

Microsoft（及び関連会社）からのセキュリティパッチ送付を騙るもの
例
SUBJECT: New Internet Critical Update
FROM: "MS Corporation Customer Bulletin"

SUBJECT: microsoft critical upgrade
TO: "Microsoft Corporation Customer

SUBJECT: Last Security Upgrade
FROM: "Technical Services" <[email protected]>


エラーメール通知を騙るもの
例
SUBJECT: Undelivered Mail 　　　 FROM: "postmaster"
SUBJECT: message　　　　　　　　　FROM: "Admin"
SUBJECT: Error Message　　　　　FROM: "Net Mail Storage System"
SUBJECT: Error Report　　　　　　FROM: "Delivery Service"

バスタのメールチェックを切って一匹捕獲してみる

有益なスレだからageとくね

>5
うち、ノートン先生なんだけど　1/10くらいのチェック漏れがあるんだよなぁ
漏れているのは添付ファイルが壊れているのかもしれないけど
これ書いている間にも数通来ている・・

捕獲しようとしたとたん来なくなった・・・

(´･ω･｀)ｼｮﾎﾞｰﾝ

洒落にならないくらいのペースで来ているので
ISPの迷惑メールのフィルタリング規則を変更して
100KBを超える
Advice　Message　Patch　Update　Upgrade　等がsubjectに
含まれるメールを破棄することにしました。
いまのところ効果がある様子

ノートンのチェック漏れは添付ファイルが壊れているやつでした
（ファイルサイズが0-1KBになっている）

一匹捕獲しますた
フリーのAVGでも検知されまつ

こいつ、題名にほとんど重複がないのがすごいな。
自動生成なのか、誰か中継者がいじってるのか…

Gate Lock X200 が勝手に削除してくれました。
今朝だけで20通近くきているな。

AVG Resident Shield : Virus
Virus identified I-Worm/Swen.A
is found in file
C:\stn-2\q397595.exe

フリーのAVGだとこんな感じ

>11
添付ファイルもランダム／テンプレ＋ランダムな数字だからね
一定の傾向はあるんだけど、全く同じものはほとんどない
これだけ大量にきていると間違って開いちゃう奴もでるだろうな

しかしこれ、どこから出回って来てんだ？？

OpenJaneとか使ってるとデフォでsageちゃうわけだが、
せっかくの専用スレだから初心者の目につきやすいように
ちょっとageていきませう

夕べと今朝、ノートンがSWENに反応した知人が電話してきた。
延々説明してくたびれますた。こういうスレがあると助かります。

　　　　　　 冫─'　 ~　￣´^-、
　　　　　／　　　　　　　　　　丶
　　　　/　　　　　　　　　　　　　ﾉ、
　　　/　　／ヽ丿彡彡彡彡彡ヽヽ
　　　|　　丿　　　　　　　　　　　ミ
　　　|　彡　＿＿__　　＿＿__ 　ﾐ/
　　　ゝ_/／|　　　 |⌒|　　　 |ヽゞ
　　　|tゝ　　＼__／_　 ＼__／　| |　　　 ＿＿＿＿＿＿＿＿＿＿
　　　ヽﾉ　　　　／＼_／＼　　 |ﾉ　　／
　　　　ゝ　　　/ヽ───‐ヽ　/　　/　マイクロソフトがこんな親切なサービス
　　　　 /|ヽ　　　ヽ──'　　 /　＜　　するわけねぇだろ！
　　　　/ | 　＼　　　￣　　／　　　＼
　 　／　ヽ　　 　‐-　　　　　　　 　　　￣￣￣￣￣￣￣￣

シマンテックからフリーのSWEN駆除専用ツールがリリースされました
（これでSWENもメジャーなワームと確定w）

http://www.symantec.com/avcenter/FixSwen.exe

攻撃されてるヤシは事前にダウンして、フロッピーに
保存しておき、感染したら即、実行で（ﾟдﾟ）ｳﾏｰ

ひと晩で500通…
ヲレ、明後日から2週間出張でメール見られないのに…
1つ平均150KBもあるのに2週間もほったらかしたら、スプール溢れちまうよ〜

Return-Path: < [email protected] >
Received: from turkey.mail.pas.earthlink.net (207.217.120.126)
by mta18.mail.yahoo.co.jp with SMTP; 20 Sep 2003 ** (JST)
Received: from 1cust122.tnt23.nyc3.da.uu.net ([67.193.10.122] helo=euxybyty)
by turkey.mail.pas.earthlink.net with smtp (Exim 3.33 #1) id 1A0P1B-0004iC-00;
Fri, 19 Sep 2003 **
From: "MS Program Security Department" < [email protected] >
To: "MS Corporation User" < [email protected] >
Subject: Last Net Critical Upgrade
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="ixxrgntusgpiyguic"
Message-Id: < [email protected] >
Date: Fri, 19 Sep 2003 **
Content-Length: 157061

スキャン結果
ファイル名： Installer34.exe
ファイルタイプ： application/x-msdownload
スキャン結果： ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

へっ、一通もきやしねえぜ！

いつも来てる大量のSPAMメールが、なぜか今日から添付ファイル持ってて、Worm.Automat.AHB感染が２０通位ありました。
いつものSPAMと思ったらコワ

>19
俺の場合、夜の間は一時間で10通くらいだったけど、朝になって
倍増したので、迷惑メールのフィルタリングオプション（無料）を利用して
サイズ100KB以上で、Patch ,Update,Upgrade,Security,などのKeywordを
subjectに持つものを全破棄することにした。
これは結構利いたみたい。

ちなみに発信先は一々解析してないんだけど
全部海外だね　SPAM業者関係からかな

今届いたやつで重複除くとこんな感じ
USが多いか、珍しいことにNLもあるみたい

168.9.42.20
204.127.198.39
204.127.198.35
68.168.78.196
68.168.78.187
212.216.176.222
209.210.251.49
205.152.59.69

漏れの@yahoo.comのアカウントにはnlのSPAMはかなりくるよ。

IE6.0にアップデートしてる場合、添付ファイルを実行したりしないかぎり
メール攻撃ではやられないって考えていいでつか？

　　　　　　 冫─'　 ~　￣´^-、
　　　　　／　　　　　　　　　　丶
　　　　/　　　　　　　　　　　　　ﾉ、
　　　/　　／ヽ丿彡彡彡彡彡ヽヽ
　　　|　　丿　　　　　　　　　　　ミ
　　　|　彡　＿＿__　　＿＿__ 　ﾐ/
　　　ゝ_/／|　　　 |⌒|　　　 |ヽゞ
　　　|tゝ　　＼__／_　 ＼__／　| |　　　 ＿＿＿＿＿＿＿＿＿＿
　　　ヽﾉ　　　　／＼_／＼　　 |ﾉ　　／
　　　　ゝ　　　/ヽ───‐ヽ　/　　/　マイクロソフトがそんな完璧なIE
　　　　 /|ヽ　　　ヽ──'　　 /　＜　　提供するわけねぇだろ！
　　　　/ | 　＼　　　￣　　／　　　＼
　 　／　ヽ　　 　‐-　　　　　　　 　　　￣￣￣￣￣￣￣￣

>27
MS01-020の対策が出来ていれば基本的にそうなんだろうけど
これだけ大量に来ていると、ついうっかり実行してしまいそうだよ
アンチウイルスは備えていたほうがいいと思うな

メール、チャット、ニュースグループ、共有で攻めてくるからな。誰かもカキコして
たが、こいつホントに性格悪いぞ。

週明けには会社でひどいことになってそー。（（（（（（;ﾟДﾟ））））））ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

　　　　　　 冫─'　 ~　￣´^-、
　　　　　／　　　　　　　　　　丶
　　　　/　　　　　　　　　　　　　ﾉ、
　　　/　　／ヽ丿彡彡彡彡彡ヽヽ
　　　|　　丿　　　　　　　　　　　ミ
　　　|　彡　＿＿__　　＿＿__ 　ﾐ/
　　　ゝ_/／|　　　 |⌒|　　　 |ヽゞ
　　　|tゝ　　＼__／_　 ＼__／　| |　　　
　　　ヽﾉ　　　　／＼_／＼　　 |ﾉ　　＿＿＿＿＿＿＿＿＿＿
　　　　ゝ　　　/ヽ───‐ヽ　/　　/　
　　　　 /|ヽ　　　ヽ──'　　 /　＜　　月曜は会社休むからな！
　　　　/ | 　＼　　　￣　　／　　　＼
　 　／　ヽ　　 　‐-　　　　　　　 　　　￣￣￣￣￣￣￣￣

漏れの所に昨日と今日の午前中の合計で250通位来てる。添付ファイル名
は>>3のと同じのとUpgrede63.exe等といったファイル名も確認できた。
今日はnewsgroupに投稿されたメッセージにウィルス添付されているもの
を発見。(fj.freemarcket.comp)Mozillaのフィルタリングでデリるよう
にしているが、大学のPCのMozillaのバージョンが１Fと2Fとで違うので
上手く機能しないので結局手動あぼーんｗ

今日一日で13MByteきました( ´･ω･)
Received見ると世界中からやってきてるんだけど
なんで俺のメアドがわかるんだろ

全然来ないよ。つまんない

個人差が激しいですね。
このメールの来る人の職業って関係あるのでしょうか？

>>35
自分のメールアドレスを出した過去の違いによって、アドレスを握られているSPAM業者が違うせいかな

Ｍ＄のニュースグループに投稿したとたんに来た、、、
あそこからメールアドレス抜かれてるのかなぁ？

ネットニュースで馬鹿正直に正しいアドレスを書いた人が
みんな地獄に落ちているようですね。

>>37
感染すると、あちこちのニュースサーバにアクセスしてメールアドレスを
取得するそうですよ。

俺の場合、今のメールアドレスでは２年位前までは、全くSPAMなんて来なかった。
海外のネットゲームでメールアドレス登録したのをきっかけに、海外からSPAMが来る様になった。
アドレス売られたんですね・・・。
で、まわりまわって感染しているSPAM業者の手にも渡っている模様でつ

わたしのメールアドレスは、ヘボなチェッカーに「あり得ないメールアドレス」
と認識されるモノだったので長いこと無事だったのですが、今年に入ってから、
ちゃんとしたチェッカーに捕捉されるようになってしまった(哀)

アカウント取得して数年経ちますが、知人から一切メールが届かないのですが、
何らかのウィルスの影響でしょうか？

※SPAMは来ます。

俺もそうだよ。
携帯にしかメール来ないよ。

>>42,43
ただ友人少ないだけじゃ・・・

>>44
　　_, ._
（　ﾟ Дﾟ）　ｳﾙｾ!!

>>44

俺は携帯に来るんだから、ほっとけ！
パソコンのメールなんかいつ見るかわからないのに、連絡用には使わないしょ・・・

>>40
別に売られなくても…以前から掲示板、ニュースグループ、ネトゲなんかを
スパム屋のメアド収集ロボットが這いずりまわってる。頭痛のタネ。

うちは全てbigfootの転送メール経由だよ

>>48
それｲｲの？

>>49
いらなくなったら，そのメアド廃棄できるってだけだろ？
使用中SPAM来るのに変わりなし。

SPMA防止なら，From詐称でもしとけ！

>>50
>SPMA防止なら，From詐称でもしとけ！
SPMAってなに？

スペルマ

Return-Path: < [email protected] >
Received: from remt30.cluster1.charter.net (209.225.8.40)
by **
Received: from [68.115.130.130] (HELO vobvqgcf)
by remt30.cluster1.charter.net (CommuniGate Pro SMTP 4.0.6)
with SMTP id **
From: "MS Customer Bulletin" < [email protected] >
To: "Customer" < [email protected] >
Subject: Microsoft Patch
Date: **
Message-ID: < [email protected] >

スキャン結果
ファイル名： installation.exe
ファイルタイプ： application/x-msdownload
スキャン結果： ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

Return-Path: < [email protected] >
Received: from nebula.skynet.be (195.238.2.112)
by **
Received: from xjsgfoec (152.21-201-80.adsl.skynet.be [80.201.21.152])
by nebula.skynet.be (8.12.9/8.12.9/Skynet-OUT-2.21) with SMTP id **
(envelope-from < [email protected] >)
Date: **
Message-Id: < [email protected] >
From: "Program Security Department" < [email protected] >
To: "Customer" < [email protected] >
Subject: New Net Upgrade

スキャン結果
ファイル名： Installer4.exe
ファイルタイプ： application/x-msdownload
スキャン結果： ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

一通もこねー

Return-Path: < [email protected] >
Received: from kira.skynet.be (195.238.2.125)
by **
Received: from uheoor (92.244-136-217.adsl.skynet.be [217.136.244.92])
by kira.skynet.be (8.12.9/8.12.9/Skynet-OUT-2.21) with SMTP id **;
** (envelope-from < [email protected] >)
Date: **
Message-Id: < [email protected] >
From: MS Corporation Technical Bulletin@
To: "Consumer" < [email protected] >
Subject: microsoft critical patch

スキャン結果
ファイル名： installer76.exe
ファイルタイプ： application/x-msdownload
スキャン結果： ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

どうやったら犯人に損害賠償させられるんでしょうか？

エロイ人にしか届いていない様ですね。

SWENまだ〜ﾁﾝﾁﾝ

なんか、宛先が俺じゃない人あてのメールが届くんだけど
hotmail
これもSWENのせい？

>>60
無害spamじゃないの。今時宛先隠しを珍しがるなんて、初心なお人。

SPMA→スップマ

このメール今日の昼頃に大量に届いたけど
なぜか全部exeファイルの代わりにｔｘｔファイルが添付されとった

あまりメールアドレスをばら撒いていない所為か、
全然来ないな。
Sobig.Fのときも来なかったし。

メルアドさらしてるので、spamはいつもどおりの量だが、こいつはこないね。
今回は、メルサバのウイルスパターンファイル更新が間に合ったよう。
Sobig.Fは当初更新が間に合わなくて、きたけどね。

今回もお間抜けはやはり圧倒的に美国人だね。
ダイアルアップユーザが多いらしいから、
パッチ当ててない香具師が多いんだろうかね。

それとも美国人＝田舎者は、やたら添付クリックしちゃうのか。

>>61
そうなんだ
hotmailとかあんまり使ったことなかったから知らなかったよ
俺宛てじゃないのに、俺に届くのが不思議な感じした
ありがとう

>>61
ていうか、無害スパムで宛先詐称する意味ってなんだろう
送信者の身元詐称ならともかく、宛先メアド詐称する必要ないような

初心者質問スレッドから誘導していただきました。

SWENだと思うのですが本文に

<IMG SRC="cid:zwsmvqd" BORDER="0">

というタグがあってこのメール自体に添付されているGIF画像を表示するように
なっています。

mail.yahoo.comでこのメールを表示してしまいました。ブラウザはNetscape7.1です。
このようにメール自体に添付されたGIF画像を表示しただけで感染してしまうことは
有り得るのでしょうか。

ちなみにmail.yahoo.comではHTMLメールの中の画像をデフォルトで表示しない
という設定があり、それを設定しているのですが、この cid: を使ったものは
素通しのようです。

ネットニュース投稿時に使ったアドレスにも来るらしいね、これ。

>>69
らしいね。来てないけど

>>68
ローカルHDDに次のファイルがあるかどうか検索
GERMS0.DBV
GERMS1D.DBV
SWEN1.DAT
ひとつでもあれば感染確定。検索しても出てこないがやはり不安
な場合↓シマンテックの駆除ツールダウンして実行
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

さらにオンラインスキャンも実行しておくとよい

>>69
そです。HDDに存在するファイルの中身をみるらしいですから。
漏れはフリーソフトを公開しているのですがそのメールアドレスにばんばん来てます。

>>66
BCC使ってるだけでしょう

>>73
いちいち個別に宛先設定するよりBCCにずらずら書いた
方がスパム屋は手間が省ける…のかな？　どうせスクリプト
で名簿から自動作成してるんだろうけど。

>>73
>>66 はBccを知らないと思われ。
説明めんどいのでグルしてね。
ってこれも意味わからんかな。
ネットで適当に「Bcc」で検索してくれってこと。

説明めんどいのでグルしてね。
説明めんどいのでグルしてね。
説明めんどいのでグルしてね。
説明めんどいのでグルしてね。
説明めんどいのでグルしてね。
説明めんどいのでグルしてね。

ああ！心がグルしい！

>>73-75
BCCは知ってるけど使ったことはないです
他の受信者のメアドは表示されないんですよね？
つまり、自分が受信者だったら、自分のメアドが表示されるんじゃないんですか
そのメアドが俺のじゃないんですけど

俺のメアドが
[email protected]だったら
[email protected]宛のメールが届くんだけど。
BCCってそんな機能なんでつか
メールのアカウントが違う人のが届くんだよ

説明めんどいのでグルしてね。

>>79
したよグル

>>78
まんどいから説明しないが、インターネットメールとはそういうものだ。
理由が知りたかったら、自分でグルしてね。

グルってもっとタッハーw

>>81
すいません、まんどい饅頭下さい。

ヤフオクの出品物の説明にメールを送る際はウィルス感染してないか
確認汁と追加してきた。緊急用Htomailまで汚染されたら最悪。

　　　 ■■■■■■■
　　■■■■■■■■■
　■■■■√　＝＝＝　│
■■■■√　彡　　　　ミ │
■■■√　　　━　　　 ━　＼
■■■　　∵ 　 (●　 ●) ∴│　 ／￣￣￣￣￣￣￣￣￣￣￣￣￣
■■■　　　　丿■■■（　　│＜　説明めんどいのでグルしてね。
■■■　　　　　■　３ ■　　│　 |　ってこれも意味わからんかな。
■■■■　　 ■■　■■　■　　 ＼＿＿＿＿＿＿＿＿＿＿＿＿＿
■■■■■■■■■■■■
■■■■■■■■■■■■
　 ■■■■■■■■■■
　　 　■■■■■■■■

さかさに読むとnewsなのか……

http://jbbs.shitaraba.com/computer/8727/
史上最大よ！！！
100％来なさい！！！！

Return-Path: < [email protected] >
Received: from 61-22-119-196.home.ne.jp (61.22.119.196)
by --
Received: from [202.78.101.19] by 61-22-119-196.home.ne.jp
--
Message-ID: <----->
From: "Rodolfo Boston" < [email protected] >
Reply-to: "Rodolfo Boston" < [email protected] >
To: -------
Date: --


http://www.ordb.org/lookup/?host=61-22-119-196.home.ne.jp

既に1000個超えたSwenメール。
夜中〜朝方の６時間で270通溜まって（契約では10MBなんだが、18MB超えが
スプールされてた。）OEで落とし中にエラー。ｗ
その後ネゴシエーションで通らず受信不可能に。ISP休日だし連絡不可能。
もう来ないわな。ははは。イッパイだ。落とせないし、鬱。
Tikitiki！ お前んとこだ！ な　お　し　て　く　だ　さ　い
５分でTikitiki本社まで行けるんですが・・

ちなみにSwenは逆読みでNewsですね。NNTPマンセ〜〜。（かぶった

>>89
落とさずにサーバから直接削除しろよ。

そっか、過去にネットニュース投稿に使ったアドレスだからか…
こんなに大量に届くのは…

>>89
> ちなみにSwenは逆読みでNewsですね。

それは気付かなんだ。屁ぇ〜屁ぇ〜屁ぇ〜屁ぇ〜屁ぇ〜

>>91
nachi →　chinaとかな。ハッカーのセンスなんかオヤジ
ギャグ以下と決まってる

そいういや、ｆｊとかNews Groupは必ずメアドを晒す規則になって
たな。漏れはそれがキライでｆｊにカキコしたことがない。RFCも
アフォな規則作ったもんだｗ

当分ニュースグループに投稿するのはよした方が吉

本文無しで、エラーメールっぽいsubjectで
Content-type: audio/x-midiの104kの****.exeの
添付ファイルを送りつけてくるのもSwenですか？
マイクロソフト装ったメールと同じ位上記のメールも
来てぐったりです。ちなみにwindowsは使ってないので
ウイルス感染は心配ないのですが、メールサーバの
トラフィックが心配です。

>93
subjectなしのもありますね
まず間違いないと思います
うちはメール鯖のフィルタリング規則で弾いているんですが
subjectなしだとお手上げ
あと、添付ファイルのエンコード失敗した奴が結構届いています
感染性ないけど、ウイルスチェックも、フィルタリングもスルーするので
目障りではある

>>89
FTPで自分のhomeに繋いでもありません。
telnetは繋がりません。どうすりゃいいの？

>>95
ユーザーがtelnetで入れるシェルをISPが用意してない。
ISPに通報するしかない。

書き方が悪かった。すまん。
telnetで110へ繋いでもUserは通るがパスワードで蹴られるんだよ。
満タンになるとこうなるのか・？
メールクライアントからの挙動とおんなじ。
ウイルスなんぞの銘々は誰が何処で何の権原でやっとんの？
最初に見つけた奴が決められるっての？RFC？

>>97
ウィールスの命名はアンチウィールスメーカーがそれぞれ
独自の方式でやってる。シマンテックの場合は↓
http://www.symantec.com/region/jp/sarcj/vnameinfo.html

ヘッダ情報にあった真のメアドらしきものでぐぐったら、
あちこちの掲示板でSOHOの宣伝ｶｷｺしているバカ女のアドだった……。

うんざり。

(　ﾟдﾟ)ﾎﾟｶｰﾝ

電話通じました。３時間ほどかかります。消しておきます。（ｗ
SWEN@の事、知らなかったです・・Tikitiki・しっかりして下さいと切に願うばかり。

SWENの間げきをぬって西村真吾の時事通信が届きました
ウイルス以外のメールが届いたのは2日ぶりでつ

(´･ω･｀)ｼｮﾎﾞｰﾝ

sobigのときと同様、メール流量が激減しているような気がする
かなりのトラフィックが発生しているんだろうな

これ、メーラのフィルタリング機能ではじいてやりたいんだが、いまいちどれをキーにしていいかわからん。

>>104
Content-Type: multipart

で弾くといいよ!!(w

>>105
それだと正常な添付ファイル付きメールまではじいちゃうからなあ。
それではかえって困るんだよ。

俺はsubjectとファイルサイズで弾いている

>>103
今のインターネットのRFCがパソヲタ大学院生のノリでセキュリティ
の観点ほぼゼロで書かれてるという欠陥がモロに露呈してきてる罠。

今後のメールはウィルス/ワームチェックするサーバーからのもの
以外拒否、という方向になってくだろうな。ニュースグループのメアド
も今のように素っ裸で公開というのはマズイ。メアドデータベース鯖
みたいのが集中管理して、ワームがクロールできないようなメカを
考える必要がある。

>>108
うっふゃあ〜〜。

事件は現場でおきてるんだよ。
そんなあラジカルなご高説たれてたって、現状はかわらないだろ。


あんたの言うことにも色々問題点はあるけど、
説明がめんどいのでグルしてね

やけに沢山来てると思ったが､俺だけじゃなかったのか｡
9/17にMS(本物)からセキュリティのお知らせメールが来たがタイミングが悪すぎたな｡
↓こんなの。
件名：Microsoft からセキュリティに関する大切なお知らせ - Protect your PC -
　このメールはマイクロソフト株式会社より弊社製品をご登録いただいているお客様
にお届けしております。
当ご連絡はお使いのパソコンのセキュリティに関する重要なお知らせのため、弊社
案内を希望されていないお客様にもお届けしております。

昔､英語のWebサイトを見てたらメールアドレスを
aaaaa at 2ch dot net
のようにしていた。ウィルスがうざいので投稿する時はメアドを変えておこう｡
これが解釈出来ない厨からメールが来る事もないしな｡

>>108
「とりあえず動くやつ作った」が20年以上たった今もそのまま使われている
点がいちばん異常。

計算機科学者連が、「セキュリティが向上したシステムに移行しなければ」と
叫ぶと、「空気読めよ!!」「訴えるぞ!!」とビジネス方面から罵声を浴びるこの
現状。

>>112
へ？ビジネス方面はセキュリティ向上むちゃくちゃ望んでますが。

>>113
>>112のビジネス方面てのはソフトメーカー含めた現行の
システムでメシ食ってる連中のことだろ。

ユーザーは個人も企業ももちろんセキュリティ向上むちゃ
くちゃ望んでる。てか、これだけたてつづけに叩かれると
ビジネスでメールを使いづらくなってきた。送っても相手の
メールボックスがパンクしてたり、受信拒否されたり、読まず
に削除されたりで不達が続出。特にアメリカの企業は予想
以上の混乱だ。んでもってうちでは各部署でファックスが
そうとう復活してる。

うちも今日の休みでスプールパンクするんじゃないかと。
緊急重要な連絡は以前よりファックスを利用している。
またデジタル情報はCDRにして郵便。急ぐならバイク便。
近くは持参。部内はファイルサーバですましている。

メールはあくまで軽連絡と再利用電子情報の伝達用だ。
パンク不達は織り込み済みで仕事せなな。いまどき常識。

かたつむり君大活躍

>>116
使用具合はどうですか？
どの程度の傷までなら修復可能ですか？
うちでも買ってもらおうかな。
こういうご時世だから、必需品かもね。

（スレ違いですまんですたい）

>>117
ケースに入れて管理してあるCDに付いた小さな傷は問題なし。
それと裸のCD同士がこすれ合わさったときにできた傷も直ったよ。
さすがにカッターで切り目をつけたCDは無理だった。

ってsnail mailの話題のつもりで>>116を書いたのだが、まあいいか。

>>115
近場はそれでいいが、うちとこは○○系だからアメリカと
やりとりせなならんのよ。○○○アルの校正数百ページ、
これどうしてくれますか。Ｍｒ.Ｓｎａｉｌはいくら飛行機に
載せても足が遅い。そいで来月はFEDEXの払いで経理は
卒倒確実。

だから前からｆｔｐ使おうっつってたのに…

>>116　え、ところで傷を修復するかたつむり君ってナニ？

>>118
感謝です。十分使えそうです。あした用度に注文させよう。

あ”、そっちの方でしたか。
Sobig.F猛攻の頃、速達書留郵便のほうがメールより速かったです。

電報はなんていうのかな？　（ぐるしてみます。(笑)）

>>119
CDを研磨できる装置ですよ。
説明めんどいのでグルしてね

>>119
うちはFTPポート塞いでるので、WebDAVサービス利用してます。
まだちと料金が高いのが難点ですが、
パスワードを相手ごとに設定できたりとか色々ありますね。

>>121　スキップドクターのことか。カタツムリ君ねｗ
>>122　おお、それもあるなー。　ｔんｘ

a

SpamAssassin で捨てようと試みたがうまくいかん。
ベイジアンに食わせるだけじゃダメか。
パターンが色々ありすぎる...。

>>107
俺B2だから、ヘッダや本文の内容をキーにフィルタリングはできるけど容量でのフィルタリングができないからなあ。

>126
うちはdtiの無料オプションサービスの迷惑メール対応オプションで
弾いているよ。有料のウイルスチェックにしようかと思ったけど
「削除しますた通知」が大量にきても困るし

とりあえずkeywordを18種類　
Upgrade　　Update　　Patch　　Advice
Message　　Security　　Critical　　Pack
Returned　　Undelivered　　Error　　Failure
warning　　newest　　report　　unknown
Announcement　Notice
かつ、ファイルサイズは100KB以上で削除と設定

subjectなしと破損添付ファイル以外は来なくなったので
有効だったようだ

まだうちとこは来てないが知人に被害続出だからメール
ボックスにフィルタの用意だけはしとこうと思うんですが。

>>127さんのキーワードの他に、
(FROM)"MS Corporation Customer", "Technical Services"
"MS Program Security Department"
(TO)"Microsoft Corporation Customer"
"MS Corporation User"
なんてのがガイシュツしてましたね。あと何かフィルタの条件
によい文字列きぼん　m( . . )m

>>128
MSNとかMicrosoftにしたら？

Undeliveredとかは自分がメール出して、それが不達だった時の
通知メールに気付かないで困る事もあるので慎重にした方が良いと思うが｡

メールのフィルタも難しいなぁ｡

Received: from mail8.speakeasy.net (EHLO mail.speakeasy.net) (216.254.0.208)
by **
Received: (qmail ** invoked from network); **
Received: from unknown (HELO uaaujg) ([64.81.36.202])
(envelope-sender < [email protected] >)
by mail8.speakeasy.net (qmail-ldap-1.03) with SMTP for < [email protected] >; **
From: MS Corporation Internet Security Division@ 何故か＠の後が無い。
To: " " < lnfpb@advisor_msn.net >
Subject: Current Network Security Patch
Mime-Version: 1.0 Content-Type: multipart/mixed; boundary="sehnxxphxnzjxuwiz"


スキャン結果
ファイル名： upgrade.exe
ファイルタイプ： application/x-msdownload
スキャン結果： ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

Return-Path: < [email protected] >
Received: from gang.viawest.net (64.78.224.77) by **
Received: from glxael (dyn52.nas2.pah.viawest.net [209.170.210.52])
by gang.viawest.net (8.12.9/8.12.9/viawest-1.0) with SMTP id **; **
Date: **
Message-Id: < [email protected] >
From: "MS Corporation Internet Security Center" < [email protected] >
To: "MS Consumer" < [email protected] >
Subject:
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="fkujxsgfphrfrupnl"


スキャン結果
ファイル名： Q131537.exe
ファイルタイプ： application/x-msdownload
スキャン結果： ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

>>129
フィルタ文字列はべつに一語でなくていいんでない？
"MS Corporation Customer"とかにしとけば？

つーか漏れはそうしてるが。

加藤○いの温泉ビデオがあります。
期間限定いつまで見れるかわからない。
お早めにチェックを。
無料でみれるよ。
http://38.114.137.83/index.html

>>134
有名なウィールス入り温泉という罠

>130
うちの場合はファイルサイズ100KB越えのメールを送らないので
問題ないです

>>71
どうもありがとうございました。それらのファイルも存在せず。
プロバイダ(OCN)提供のオンラインスキャンでも何も検出されませんでした。

今回は大丈夫でしたが、GIFのレンダラーのセキュリティホールとかあったら
やっぱりやばいですね

落ち着いた。
19日の0:54からはじまって、最後が23日の10:10まで400通でした。ふぅ。

>>137
Windowsのアップデートは全て実行
ファイアウォール+アンチウィールスをしかるべく設定。
アンチウィールスのウィールス定義アップデートは
（手動の場合）毎日チェック
メールのウィールスチェックサービスに加入
他人のメディア（ＦＤＤ、ＣＤなど）はアンチウィールスでスキャン。
万一に備えて起動ディスクを作成
重要ファイルはＣＤなどにバックアップ作成
セキュ板、シマンテック、トレンドのサイトを定期的に覗く

なにごとにも絶対はないが、とりあえずこのぐらいやってあれば
たいてい大丈夫だろうｗ

>>139
CDにウィルスが載るんですか、、、

(　´,_ゝ｀)

>>140
ライティングソフトがウィルス感染ファイルを除去する機能を有しているなら大丈夫 (ﾌﾟ
メーカー配布のCD-ROM媒体がウィルスに感染してたなんて笑えない過去もあるしな。

世間知らずは恥かくぜｗ

最近はあまりないけど、雑誌付録のCDがウイルス入りってのは
結構あったよね

>138
うちも昨日から落ち着いた様子

BackOrificeがウィルスに感染していたとか

>>139
肝心なことが抜けている。
セキュ板、シマンテック、トレンドのサイトを定期的に覗く。
で、わからないことがあったらすぐにグルする。
これ最強。

うわぁあぁあぁぁ、MSのニュースグループが危険だ。
2日ほど前からmicrosoft.public.jp.*全般にウィルスがばら撒かれてる｡
平均10個ほどか。
最悪な事に、最近ActiveXの設定のせいでWindowsUpdateが、出来ないという
初心者が集中しているmicrosoft.public.jp.activexに投下されてしまった｡

それは楽しみですね。

>>146
まあ落ち着け

今日来たのはみんなdionから。

Received: from proxy.hosp.med.osaka-u.ac.jp (proxy.hosp.med.osaka-u.ac.jp [133.1.75.206])
by **
Received: by proxy.hosp.med.osaka-u.ac.jp (3.7W) **
Date: *******
Message-Id: < [email protected] >
Received: from tkad422.airnet.ne.jp ([210.159.86.166]) by gw.hosp.med.osaka-u.ac.jp; **
From: -----
To: -----

海外のニュースグループに時々投稿してるせいか、全然静まらない……
もしかして、いつもバイアグラのDMを送りつけてくるような
SpammerのPCが感染してるんだろうか。

国内からのは少ないかな。今日は一つだけ。
----------
Received: from unknown (HELO smtp.okym.enjoy.ne.jp) (202.224.67.52)
by ******
Received: from bgqcp (hsm-a4-059.enjoy.ne.jp [210.141.62.59])
by smtp.okym.enjoy.ne.jp (8.11.7/8.11.7)
Date: *******
Message-Id: < [email protected]>
From: -----
To: -----

Swenで添付ファイルとHTMLだけのメールの構造をB2のメールデータファイルからあらかた解析してみた。

（一例）

--ksldjpiac
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable

<HTML>
<HEAD></HEAD>
<BODY>
<iframe src=3D"cid:tsxbmoefrxyor" height=3D0 width=3D0></iframe>
<BR><BR><BR>Undelivered message to <B>[email protected]</B>
<BR><BR><BR>Message follows:<BR><BR><BR><BR>
</BODY></HTML>

--ksldjpiac
Content-Type: audio/x-wav; name="cayx.exe"
Content-Transfer-Encoding: base64
Content-Id: <tsxbmoefrxyor>
X-Becky-Include: 200309240113.****************@*********.com\cayx.exe.b64

「--ksldjpiac」はMIME形式の添付ファイル付きメールによく見られる区切り句で、
これはヘッダの「Content-Type:」で「multipart/alternative」形式の際につく「boundary」句の引数により異なる。
「X-Becky-Include:」はB2が内部で勝手につけるもので、深い意味はない。
重要なのは添付ファイル部分で「Content-Type:」が「audio/x-wav」なのにファイルの拡張子がexeな点。
これがSwenが送りつけるメールの最大の特徴ではなかろうか。

この特徴でフィルタリングできるかどうか実験するので、後報を待て。

けっきょく、この内容でフィルタリングできることがわかった。

<iframe( )*src=.*"cid:.*".*>

「ヘッダ」の部分に「[body] (本文(POP3のみ))」を設定し、「文字列」の部分に上記の内容を設定する。
このときに必ず「正規表現」にチェックを入れること。
また、フィルタリングマネージャのオプションとして
「text/plain 以外のテキストパートも"[body] (本文)"とみなす」にも必ずチェックを入れること。

HTML形式のウイルスメールのダイレクトアクション機能は大体フレームやレイヤによって機能することが多いから、
これをフィルタリングできればおおむね防げるだろう。

メールヘッダの送信元のアドレス、日本のISPのちゃんとしたやつだったんだが、
漏れはその人知らないし、向こうも漏れのことなんか知らないだろう。
ではなぜそういうことになるのでつか？
その人は中継してるだけ？

AV宣伝メールの数十分後に当該メールが来たから、
その業者にメアド把握されてるのが原因かな？
それとも関係ない？

宣伝メールでさえ、ほとんど来たことなかったんだけど。

ちなみに、添付ファイルをデスクトップにコピーしようとしたら
ノートンが感知。ノートンの定義更新しておいてよかった（ｗ

教えてください。
このウィルスメールって「Return-Path」を騙ることは出来るのでしょうか？
「Return-Path」が知人だったもので本人に聞いてみたら
心当たりがないと言ってます

いつもの事だろ

「Received: from」から送信元を推測することはできる？

「Received: from」と「Return-Path」が同じプロバイダなのです

(知人に心当たりが無いのも)いつもの事だろ

>156
最近のウィルスがReturn-Pathも含めて「騙る」のは
もはや当たり前になってるからねぇ。
送信元を追求するのはほとんど無意味。
来たウィルスは片っ端から削除、スルーするのが一番。

今後のウィルスはヘッダーを当てにしないほうがいいのでしょうね。
みなさん、ありがとうございました。

スルーするのが一番なのは確かだけど、昨日から嫁宛てに
SWENが殺到してサーバー側で溢れ実質メールが使い物になってない。

大半が特定の会社（嫁が個人的に繋がりのある業者）の
ホストを経由されているのでそこらへんから当たりを付けてみる予定

間違っても突然ｺﾞﾙｧはしませんが。

>>156
定番の話題だが、Return, Fromは自由に詐称できるから
無視。幸い、現在流行中のウィールスはReceived from/by
の連鎖は詐称できない。上からReceivedを順に追っていって
サーバが連鎖しなくなったら、そこから下は詐称。連鎖の切れ
る直前がもっとも疑わしい送信者。対応は>>161が基本だが、
もし同じところから連日大量のウィールスメールが送られて
くるようなら、メールヘッダをコピーしてプロバに送って対応
してもらえ。詳しくは↓夜目
http://www.zdnet.co.jp/broadband/0302/27/lp23.html

経由ホストから当たりをつけた業者でビンゴ。
入れ違いで謝罪が来てた。
メルマガ登録者3000人にバラ撒き続けてスマソ。との事。w

当社のPCはMacであり感染するはずは無いのだが、
メルマガ登録者に感染者が居り、侵入され、バラ撒かれた。と。

ぶっちゃけ、おまいが悪いつーの。w

>>165
MAC厨にそーゆーのが多いんで困る。
無症状チフス菌保菌者みたいなもんだな。

ありゃ、まだ収まってなかったのか!

マカーには陸な奴がいないことの証明だな

２日で５万円の「セキュリティ実践講座」を開いている会社から
SWEN.Aウィルスメールが大量発信中！！

ttp://www.navis.co.jp/ows/index.html

これでいいのか

>>169
詐称されてんじゃなくてか？

昨日今日あたり、いきなり来る通数が多くなったんだが。

>>171
わたしのところは、1日に1通か2通という程度に収まった。

bogofilter と組み合わせたら bogofilter で捨ててくれるようになった。
だが swen はなかなか来なくなった。

(´･ω･｀)ｼｮﾎﾞｰﾝ

>169
ヘッダ出して見ろ
さぁ、みんなで研究しよう！

折れんとこはまだ来るなー。だから保守age

メールでは来ないけど、ニュースグループからもっさり。
大元なんだからブロック出来そうなんだけど、無理なのかな〜。

はは･･･あはは･･･
ISDNの俺にとっては、100KBのファイルも受信するのに時間かかるわけで･････。
６通受け取ったらタイムアウトだよヽ(｀Д´)ノ
未だに２３日のメールが来ます。

ほとんど来なくなりますた。

>>177
タイムアウト？？
6x100KBx8b/48kb/sec=100sec
３分で切断にしてるのか？

課金が気になるなら、そりゃあ、
マネーアウトだろ。ならここに書くのもつらいんだろ。

ISPサービスでウイルス除去してもらえ。
そのほうが結果節約になるぞ。

>>176
MSのニュースグループというかMSのNNTPサーバーがウィルスだらけに
なってる。自動でフィルタリングできないみたいだね。

>>178
急にウィルスメールが来なくなった人はメールボックスが一杯になって
すべてのメールを受信できなくなっているだけじゃないの。

>>177
サーバ上で削除すりゃいいだろ。

>>181
さて、その方法すら分からないわけですが(´Д｀;)
この板専門用語だらけでお手上げだよﾁｸﾁｮｳ

>>182
出来なきゃ、調べるとか探すとかだな…
http://www.forest.impress.co.jp/library/spammailkiller.html

>>177
コマンドラインから、
>telnet [pop3サーバ名] pop3

>+OK InterMail POP3 proxy server ready.
が返ってきたら、
>user [ユーザ名]

>+OK please send PASS command
が返ってきたら、
>pass [パスワード]

>+OK [ユーザ名] is welcome here
> DELE, LIST, LAST, NOOP, RETR, RSET, STAT, TOP, UIDL or QUIT
が返ってきたら、

listとdeleを使って、要らない物を消す。
OK?

>>184
あんな〜。telnet閉鎖してるとこもあんのよ。

お前の環境はサーバやの仕事だろ。消費者レベルではない。
薄っぺらなスキルをひけらかすな。あほ。

telnet閉鎖って何？
telnet.exe禁止ってことですか？

僕のtelnetも閉鎖されそうです

>>186
telnetポートを塞いでいるってこと。
いまどき、平文のtelnetを外部から受け付けるサーバなんてな〜。
sshだろうよ。こいつも穴が見つかったな。修正版いれたか＜サーバ管理者

まさかと思ったが・・・。それが >>184 と何か関係あるんですか？

pop3の事が解って無いのさ。

>>188
思わぬところでとんだ恥をかいてしまいましたね。

いまどき、僕の肛門も穴が見つかりました

telnetなんてping,ftp並に基本的なコマンドなんだから、
スキルという程の事でも無いだろうに……。
ツールに頼りすぎて、初心を忘れちまったな。

一般人にpop3しゃべれというのは無理があると思ったのでツールを紹介したが、思わぬ大物が釣れたな。

>>>178
>急にウィルスメールが来なくなった人はメールボックスが一杯になって
>すべてのメールを受信できなくなっているだけじゃないの。

ちがいますよ!!

ただ、今日は30通くらい来てました。Return-PathやRecievedを見るかぎり、
全部dionの同じ人っぽいのだけど、これってどこまで信用できるのかしらん。

>>182
方法がわからんなら使ってるメールソフトくらい書け

>>196
使ってるのはoutlook。
183さんの提示してくれたツール落として使ってみようと努力したけども
説明書が説明らしい説明をしてくれません。

アカウント登録に「登録ナンバー・間隔倍率・POPサーバー・ユーザー名
パスワード・表示名・ポート番号・APOPを使用」を入力？

･･･なんのこっちゃ。

あれか。初心者にはお薦めできないツールか。

>>197
セキュ板から消え失せろ

>>197
ソフト板あたりで使い方聞くか、他の探してみれば。

ｎPOP使えばpop3喋らなくても簡単にサーバから
不要なメール削除できるよ。

削除するだけなら、コマンドラインでやる方が簡単だし早いけどな。
（ﾀﾞｳｿや設定する手間を考えれば）
この際、使えないOupolookから乗換えろってならﾊｹﾞﾄﾞｰだ。

>>200　胴衣。ブラインドタッチできない香具師にはつらいかも。

>>nPOPもよい。ただし知人に勧めたらそこのプロバでは（？）
使えないようだった。

アンカー番号間違ってたし>>200→>>201
アンカー番号抜けてたし　>>→>>200
逝ってくるわ　このトシで徹夜はつらいのよねんｗ

>>197
Outlook?
仕事で使ってるのか？

初心者っつーか少しは調べるなりしてみたらどーなのよ？
アカウント登録の単語はプロバイダのメールソフトの設定でも見なされ
人に聞いてばかりじゃいつまでたっても初心者。

>>197　ｎPOPが難しいソフトのように誤解されちゃ困るからちょっと
言っとくが、nPOPはフリーソフトにしちゃヘルプも非常に親切だぞ。
ちゃんと読めばどんな初心者でもわかるはずなんだが…

つーか、そもそもメールのアカウントの設定やったことないのか？

「アカウントの設定」→POP3メールサーバ名はプロバのパンフに
当然載ってるが、Outlookでも何でも今使ってるメールソフトの
設定見れ。Outlook　Expressの場合だと、
　ツール→アカウント→メールでアカウントを選択してダブルクリック
　　→プロパティ窓
そこに全部出てる。

「基本設定」→ヘルプ見れば全部解説してあるが、基本的に既定の
ままでいい。ADSLならダイアルアップ接続をオフにしておくように。

「メインメニュー」→管理窓を閉じる→タスクトレイのアイコンを右クリック

>>197　
氏ねよ

Return-Path: < [email protected] >
Received: from rcpt-expgw.biglobe.ne.jp (202.225.89.200)
by **
Received: from smtp-gw.biglobe.ne.jp by rcpt-expgw.biglobe.ne.jp (nkrw/1718140703)
with ESMTP id h8S8d2904333; **
Date: Sun, 28 Sep 2003 17:38:27 +0900
X-Biglobe-Sender: <[email protected]>
Received: from wlfwz (61.193.13.220 [61.193.13.220])
by smtp-gw.biglobe.ne.jp id RAXMC0A82794; **
From: "Microsoft Customer Assistance" < xqqgvlw-doqwms@lbvscom >
To: "MS Partner" < partner.umigarrta@lbvscom >
Subject: Network Pack
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="xyeujmpmibvmu"
Message-Id: < [email protected] >

スキャン結果
ファイル名： pack7911.exe
ファイルタイプ： application/x-msdownload
スキャン結果： ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

教えて君ウザいとは思いますが、一応報告。
教えてもらったツールの使い方と内容は理解しました。
で、アカウント登録しようと必要事項を入力してたら
受信メール鯖のパスワード分からないという奇跡が起きまして。
ま、お手上げです。

>>198
おっしゃるとおりでございます　_|￣|○

>>204
･･･高校生です。

>>205
ご指摘のとおり、アカウントの設定をした事が無いです。
親父様に全ての設定を任せてました。
１から１０までの説明、ありがとうございます。

スレ違い質問を一つ。

サーバーと通信しようとして、タイムアウトが発生しました。
アカウント : ＠
サーバー : ＠
プロトコル : POP3
エラー番号 : 0x800CCC19

受信タイムアウトが起こって中途半端にメッセージを受信した場合、
（１０通中、５通しかメールを受け取れなかった等）
改めてメールの受信を開始する際には、また最初から受信し直してしまう
ものなのでしょうか。
もしそうだとしたら、たいした量のウィルスメールは
送られてないことになるようなのですが･･･。

>>208
パスがわからん？　アイターｗ　
ま、最初のうちはそんなもんだ…

0x800CCC19

>>209
まぁ、まともなメーラーなら取得(RETR)完了後に削除(DELE)するから、
同じ物を落としている事になるだろうね。
何らかの方法(既にいくつも出ているが……)で、該当メールを削除してやるしかないよ。

ちょっと訂正。
取得は一通ごとに行うから、取得が完了しているメールの再取得は行わないよ。

>>209　あれこれ試したが、サーバー上のメールを管理するソフト
だと、やっぱりnPOPだろう。分かりやすくて>>205くらいの設定で
すぐ使えるし、軽いからフロッピーに入れて持ち歩くこともできる。

いちいちアフォな添付ファイル落とさないですむ。ヘッダーだけ見て
さくさく削除できる。NGワードも設定できるし、ウィールスうざい環境
でも快適に過ごせますです。

nPOPは、「一覧から削除」はすぐ分かるけど、サーバからの削除が
「マークしたものを実行」になっているのが、ちょっと分かり難いかな。

Becky!とか電信８号でもリストだけ取得して削除できるだろ
subject,From,ファイルサイズ見れば分かるから手動削除しる

スパム対策ではSpam Mail Killer　を使ってる。ｎPOPよりはちょっと重いが
はるかに機能豊富、ヘルプも親切で使いやすい。初心者にもおすすめ。
http://homepage1.nifty.com/eimei/　

これ今すごいね。

ずっと外人の差出人が多かったが､最近じゃ日本人の名前も出てきたな｡
msのニュースグループにも差出人が会社名+社長の名前の差出人のがあった。
もう消されてるけど何ともバカだなぁ。

来なくなったぞ。

msのニュースグループ、圧縮ファイルの添付ばっかりになった。

毎日、いまだにすごく来るんですけど、、、これってウイルスに感染しているか
どうかってどうすれば調べられるのでしょうか？一応、無料のトレンドマイクロの
オンラインスキャンを使ったら、異常はなかったみたいなんですが。。。
　感染はしていないって考えてもいいのでしょうか？一向に収まらないので。。

>>222
駆除ソフト常駐しとけ
基本的には実行しなければ（されなければ）感染はしない。

添付付きメールはフィルタ設定などでゴミ箱に放り込め

>>222
これだけ大量にウィールスが流れてくると、上で紹介されている
Spam Mail Killer とかnPOPのようなメールサーバ上でメールを
削除できるユーティリティーも必須になってきてる。

メールや添付ファイルをサーバからダウンロードしないですむ
から削除処理が高速。第一、うっかり実行して感染する心配が
なくて安全だ

不安ならとりあえずプロバイダの受信メールのウィルス駆除
サービスに入っておけよ。

マルチパートなメール全削除する設定にすれば
spamも減ってウマーなんだが、未だにhtmlで平気に送ってくる椰子が
いるからそれもできないし・・

>>226
そういう条件設定はできないのか？
multipartはゴミ箱、でも指定したアドレスは削除しない
とか

>227
誰が送ってくるか特定できないので無理

>>228
いや>>226のhtmlで送ってくるやつのアドレスは知人とか言うわけではないのか？と

>>229
知人つっても取引先とかだとなー。名刺貰うたびにOKリストに追加
するくらいはできるけど、そいつらの中にウィールス送ってくるヤシ
がいる確率92パーセント。

>>230
取引先か。
タイトルで弾くとか・・・・かな

俺は低めの優先度でのフィルタで
　Date:に"+0900"か"GMT"が入ってない
　To:に俺のアドレスが入ってない
てなMultiPartを踏み台や直送系と判断して弾いてる。

ウイルスメールちｔったあぁらBugbearすか来たことねぇいっぺ

感染しますた…もうだめぽ…(´･ω･｀)

From: Microsoft Corporation Public Bulletin <[email protected]>
To: Client <[email protected]>
SUBJECT: New Net Critical Patch
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary=sdlidsdu

感染はしていないのですが、メール受信してノートンが起動して、
〜の復元　という画面が開き、推奨だったのでやったけど失敗のメッセージ。
そこで　〜の削除　という方を実行したら
画面一杯に薄緑の画面が出て、○○○が○○○に書き込もうとしてます、と出る。
（ちなみに○はアプリやＤＡＴＡファイルだったり）
その後、ＰＣの起動・終了時にこの画面が出て、不安定になりました。
同じような方いたら、情報下さい。

9X系OSとみた。

>>936
システムの全体スキャンしてんの？

ウチのシステム関係のエライさん、UNIXのグル気取りで
常日頃「ウィールスとか素人は騒ぎすぎ」というのが口癖。
それがWindows Updateに釣られてSwenに感染して大騒ぎ。
面目まるつぶれで超不機嫌になっておりますｗｗｗ

Received: from mrt-gw.mrt-miyazaki.co.jp (mrt-gw.mrt-miyazaki.co.jp [210.151.24.142])
by **
Received: from mrt-gw2.mrt-miyazaki.co.jp (mrt-gw2 [202.255.114.227])
by mrt-gw.mrt-miyazaki.co.jp (8.9.3/3.7W) with ESMTP for ; **
From: [email protected]
Received: from mrt-gw.mrt-miyazaki.co.jp (mrt-gw.mrt-miyazaki.co.jp [172.16.1.254] (may be forged))
by mrt-gw2.mrt-miyazaki.co.jp (8.9.3/3.7W) with ESMTP for <>; **
Received: from 219.106.43.20 (ntt1-ppp782.tokyo.sannet.ne.jp [219.106.43.20])
by mrt-gw.mrt-miyazaki.co.jp (8.9.3/3.7W) with ESMTP for <>; **
Date: **
Message-Id: < [email protected] >
To: [email protected]

FROM: "Bill Falconer" <[email protected]>
NEWSGROUPS: japan.anime.evangelion.asuka,japan.binaries.pictures.erotica,japan.binaries.pictures.erotica.lolita,junk
,k12.chat.elementary,k12.chat.junior,k12.chat.teacher,k12.ed.art,k12.ed.business,k12.ed.comp.literacy,k12.ed.music
,k12.ed.science,k12.ed.soc-studies
SUBJECT: Watch correction package from the MS Corp.
X-ID: 9413224394317275273
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="xmspabezsubksf"
Lines: 316
Message-ID: < [email protected] >
Date: Sun, 05 Oct 2003 18:06:12 GMT
NNTP-Posting-Host: 24.138.34.142
X-Trace: nnrp1.uunet.ca 1065377172 24.138.34.142 (Sun, 05 Oct 2003 14:06:12 EDT)
NNTP-Posting-Date: Sun, 05 Oct 2003 14:06:12 EDT
Organization: WorldCom Canada Ltd. News Reader Service
Path: news.uunet.ca!nnrp1.uunet.ca.POSTED!not-for-mail


Content-Type: application/x-compressed; name="qfye.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment

ブレイクが収まってから、また久々にW32.Swen.A@mmがやってきました。
２通だけ

ブレイク？

Swenが１日５０通を軽く超えてやってきた、過去の大ブレイクでつ。

そんな名前のウィルスがあったかと思いますた

たしかに一時のブレイク状態からは脱したけど
ｊｐからポツポツくるようになった　DION,KCOM,Biglobeからなんで
一応カスタマーにメールしておいた
DION,KCOMは対応してくれているようだけど、biglobeは放置っぽいな

ぐへー。
俺の所、今ブレイクしてる。
はっきり言って仕事のじゃま。
メールを携帯にも転送してるから、携帯バイブしまくりでキモイ。
う゛ーう゛ー・う゛ーう゛ーうぜー。

Biglobeカスタマーから丁寧な返信が来たので前言撤回
最近はISPの対応良くなったな。
今度はzaqとkcnからだ
必ず、同じ発信者から2通セットで来るのがウザイ

>247
微妙にブレイクしているね

昨日２通でした。
今日９通でした。

じわりじわりって感じですねー

ここ２時間で 20 通くらい来た。
またかよ。

日本語系Newsで見掛けるアドレスから(詐称か？)ポツポツ届くようになってきた。
偶然かもしれないがどいつもこいつもアホな記事ばっかし書いてるOE使いからだ。

・・・偶然なんだろうか(苦藁・・・。

メール本文に

b3IAAABBZG1pbgAAAEdFVCBodHRwOi8vd3cyLmZjZS52dXRici5jei9iaW4vY291bnRlci5naWYv

という行を完全一致で含むものを Swen とみなしています。
今のところ誤判定ゼロです。

>252
fjで晒されてたsigやね。
俺ンとこはナローなんでbodyを数行でも取り込む時点で負け組なんであんまり参考にならない・・・

サイトで思いっきり公開してるアドレスには全然こないのに、
通販の時だけ使ってる本名専用アドレスに山ほど来る。

どこの会社だよ、感染してる（もしくは洩らした）の…
でかい会社とか有名な会社からしか通販なんかしてないぞ…しっかりしてくれよ〜

うちの会社のメルアドにも来たぞ

一時は海外からだったけど、パタッとやんでからは
全部ｊｐからだ　ISP側もウイルスチェックを有料オプション
じゃなくて、デフォルトでやってくれないかな
良い迷惑だ

200円ずつ百万人からふんだくると毎月２億
うう、その利権ﾎｽｲ

毎日毎日１０通以上、はぁなんとかならんのかね
これって実行するとおらのＰＣから送信しまくるんだろうけど
おらは特定できないんだよね
鬱なんでやったみたい誘惑に駆られているんですが…

>258
KlezとかSobigと違って
特定できるぞ　ヘッダ見てみろ

>>258
特定できるよ
漏れは発信元が知り合いなら連絡してます

屁ッ駄を晒せ

国内ならISPに連絡しておけ
しかしDIONが妙に多いな　

i＼__,ﾍ
| ノハヽ
川o･-･)＜ Yahoo!メールににSWEN２つが来ました。
（本当）

>263
で？

うう〜ん。。。

Norton AntiVirus？ 2003Professional体験版をＤＬしたんですが
インストしたらゴミ箱がNortonゴミ箱という名前になり
Nortonゴミ箱を空にするというのが追加されました。
Nortonゴミ箱ってなんですか？体験版なので説明書もなくわからなくて困ってます。
Nortonゴミ箱も空にしてもいいものなのでしょうか？Nortonゴミ箱の中身は何が入っているのでしょうか？
教えてください。

Nortonゴミ箱の中には普通のゴミ箱が隠し属性で入っています。
何とかしてこの普通のゴミ箱を探し出し、
Nortonゴミ箱をこの普通のゴミ箱の中に棄てると……

>>266-267
消えろ

なんでだろ？dionばっかりだ
知り合いはdionには」いないのに

」

俺の質問変ですかねぇ？

>>267
あなた自身が四次元クラインのツボの中に消えます

>277
それ以前にスレ違いだと思わないのか？

この想い>>277に届け！

blasterほどの大騒ぎにはならんのだろうか？
ＬＡＮ通して感染するのは重大なんだが

トレンドのウィールスデータベースtop 10堂々の１位が
Antinny.Aになってたぞ。ほんとかいな？　SWENは４位。

>>273
>>274

初心者のくせに、機能も充分に吟味せずProfessional体験版などを
インストールした漏れがヴァカですた。
まさか、Professional版をインストールすると、Uneraseまで
インストールされ、Nortonゴミ箱機能が追加されるなど、
夢にも思いませんですた。
初心者質問スレに逝ってきまつ。

>275
爆発的ではないのだけど、継続的にｊｐのあちこちからずっと来ているから
結構感染が広がっているんじゃないかなぁ

Return-Path: <[email protected]>
SUBJECT: New Network Pack

[email protected]から２発も…
http://www.book-net.co.jp逝ったらほんの検索ページに飛ぶし…
なんだここは…

って、以前利用した書店だった…

沈静化した？

Return-Path:　のアドレスが発信者・・・・という解釈でいいのかな？


>282
俺はプチプレイク中

FROM: MS Corporation Network Security Center <vnfsod_hwykj@confidence_msn.net>
TO: Commercial Customer <customer-derqdhyfec@confidence_msn.net>
SUBJECT: Newest Microsoft Patch

odnアカから来たんだけど、odnのメアド判る？

[email protected]でいいんか？

>>283
最近のワームはReturn-PathもFromも詐称は常識。
中継が正しく連続しているReceived ｂｙの一番下が
真の送信者である可能性が高い。

Fromを詐称されたメールから送信元を特定
http://www.zdnet.co.jp/broadband/0302/27/lp23.html

ＳＷＥＮって詐称行わないんだけど・・・　

行うスワッキーもあるってこった。

確かにDION多いな　なんでだろ

>>287
シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]
メールの件名、本文、差出人欄に表示されるアドレスは不定です。
また、W32.Swen.A@mmは差出人を詐称したメール送信エラーの通知
メールを送信することがあります。そのメールには、ワームがランダムな
名前の実行形式ファイルとして添付されています。以下はこの種の
メール本文の一例です。
"I'm sorry I wasn't able to deliver your message to one or more destinations."

Return path:のアドレスは？

>>291
そんなもんどうせ詐称可能なんだから何だって意味ないだろ

大ブレーク中

dion氏ね

swenウチにも２通来た、次来たらヘッダー見てみよう

どうでも良いけど漏れの中では「日本ブレイク工業」がブレイク中（ｗ

>>295
社員募集してるよ。

ブンボウグより強烈だったからなぁ点

ぐはー！何か一杯来てるし。
相手はかなり通信速度速そう。1個/分ぐらいのペース。

　　　ﾌﾞﾚｲｸ!ﾌﾞﾚｲｸ!
　　( ﾟ∀ﾟ)　　
　 （ヽ□＝□)
　　　>　>　

　　

4通ｹﾞｯﾂ
dion大迷惑

ようやく来なくなった・・
3週間でDION 24通　BIGLOBE 12通　ですた
その他はdti,kcn,あと忘れたけどどっかのケーブルTV各一通ずつ
Niftyとかocnとかは全く来ないのにDIONだけが突出しているのが不思議だ

>>302
そうだな。DION糞杉

一時のブレイクは脱したけど、ぽつりぽつりと来ているね
ウイルスチェック　２００円／月　程度なんだから、初心者の多いISPは全員サービスにしる！

無料チェックが当たり前になってきてる。

うがぁ 40通も同じISPから来ている　

またdionか

要するに無料チェックやってないバイダからﾌﾞﾚｲｸってことですな(´ﾟc_,ﾟ` ) ﾌﾟｯ

なんとも分かり易いですな

break out!

終息したかと思ったらまた昨日から増えてきている・・・
某D社　対策してくれ

N社とV社

毎日同じISPから5、6通コンスタントに来ている・・
サポートにメールを何度かしたけど対策しているのか？

容量優先でexpireさせてたらこの1週間でnewsのspoolがSwenで埋め尽くされてやんの。
まともな記事が残ってるのって管理系NGだけだ(w

ぐはぁ！医療法人K会というとこから5分間で16連発来た・・

わーい、6通ｷﾀ----
ﾁﾈ

うっかり、開いたら感染しますた
トレンドのオンラインスキャンで、TMPファイルに潜んでまつた
レジストリのRUNキーにそれらしいのは無いので、削除で終了
本体は何処？

>>317
テンプレ嫁

>>318
テンプラ？丁度今夜のおかずだったからさっき食ったよ。

>>321
それは、酢昆布

すみません、教えてください。　ｍ（＿＿）ｍ

メールサーバ(ウィルスチェック実行する)の記録を見ていたら
かなり多くのメッセージID<200311171549142***.581@***.or.jp>に感染メール
(ウィルス名称：WORM_SWEN.A）がイーッパイ送られて来ているのですが、
なぜメッセージＩＤに送られるのか？意味がわかりません。
トレンドマイクロのHP見てもこういう事例はないようなので。。

ひょっとして、送りつけることでシステム負荷を上げたり
破壊を狙うってことありますか？

>>321はマルチ

確かにマルチですが、WORM_SWEN.A専用スレッドを後から発見したので・・・
勘弁してください。

なんでMessage-IDに「送られるのか」って訊き方が悪い。
訊ねたいのは
・何故Swenはそんな馬鹿ポンな仕様なのかってことか？
・何故Message-IDに送り付けているのに鯖まで届いているのかってことか？

前者なら作者に聞け。後者ならsmtp勉強しろ。

>なんでMessage-IDに「送られるのか」って訊き方が悪い。
>訊ねたいのは
>・何故Swenはそんな馬鹿ポンな仕様なのかってことか？
>・何故Message-IDに送り付けているのに鯖まで届いているのかってことか？
>前者なら作者に聞け。後者ならsmtp勉強しろ。

いいえ。どちらでもなくて、このスレ投稿やトレンドマイクロＨＰを見ている限り
Message-IDへ送りつけられている例は無いようです。
みんな普通のアドレスに送られているようだし・・・・。

ひょっとして、意図的に送られているのか？と思ったわけで・・・。

鯖まで届くのは理解できますが、送付先が普通のアドレスではなく
Message-IDに送り付ける意味が、わから無いのです。

Message-IDに送りつけることでシステム負荷を上げたり破壊を狙うって
ことあるのかな？と。。

上げ

>>321, 325
それって、間違いなくWORM_SWEN.Aなのか？
亜種ってことはないのか？
タコが改造して馬鹿ポンな仕様になっちまった、とか。

>>327
はい。亜種ではなく紛れも無くWORM_SWEN.Aです。
もっとも、ここ2ヶ月の間に263通WORM_SWEN.Aが検出されていますが、
普通のメールアドレスには121通、Messeage-Idあてには141通と
？？？な状態なのです。

ちなみに発信先は？ひょっとしてDionじゃない？

>>329
発信元はdionでは無いようです。niftyやBiglobe、OCNもありました。
263件みんな調べたわけではないですが。

>　メールの宛先となるメールアドレスは以下の二種の方法で収集されます：
>１）感染コンピュータ内の .EML、 .WAB、 .DBX、 .MBX ファイルを検索し、
> ファイル内にあるメールアドレスの情報を取得します。
>２）インターネット上のニュースグループを検索し、メールアドレスの情報を収集します。
> ワームはこのメールアドレス収集活動のために以下のNNTPサーバに接続します：
(略)

メールアドレスぽいMessage-IDなら、そこ宛に送られる可能性はある罠

>>331

御教示ありがとうございます。
なるほど、「メールアドレスらしきものを自動取得する」で少し安心しました。
感謝します。

http://www3.nhk.or.jp/news/2003/11/23/k20031123000092.html
総務省はインターネットの接続事業者がウイルスに感染したパソコンへの
接続を一定の条件のもとで停止できるようにする新たな対策を実施する方
針を固めました。ガイドラインづくりを急ぎ、来年夏にも実施したいとしていま
す。

昨日からまたぽつぽつ来てるんだが、
Return-Pathがtanakah@mue.*******.ne.jp
田中ハム江。。。。

ハムの人か！！

新庄からか？
羨ましいな

di●nいい加減二世！

こちらは nifty.com 経由ばかりだよ

いまだにバカスカ来るなあ。。。
ポーランド、オランダ、イタリアあたりから。
まあS○-netからも来るんだけど(w

3日で75通来た。frとかmxばっかでODNもあった
pe,au,edu,it
いったいどこから来るんだ？
あと添付ファイルが50KBしかないのも2通。
途中で消された？が3通。拡張子がpifのもあった。

マイクロソフトのニュースグループに書き込んでから来るようになった。
swen＞newsか…
あとで投稿ルールが変更された。

di●nばかり…
前はメールしたら対応してくれたんだけど、最近は完全に無視されるなｗ

くる時間帯がほとんど真夜中…
ほぼ全部海外から。
1日で75通ぐらいくるようになった。
感染してない人のも迷惑を被るいやなウイルスだ。
しかも届くアドレスは携帯携帯にも届く。
PCなら100KB以上のメール拒否にしてるけど、携帯じゃあできない。

>341
同じく、毎回サポートにメールは送っているけど、最近返信率が悪くなっている
そろそろＤいおん単独で１００通超えたかな

すみません、ど素人です。

AVGさんがE:\System Volume Information\_restore云々かんぬんで
Swen.Aを見つけました。　

フォルダにアクセスできないんですけど、どうやってすればよいでしょう？？
(´･ω･｀)

どうやって削除すればよいでしょう？？

の間違い。
どなたか教えてくださいませ。

>344-345

削除するなんてかわいそう

かわいがってあげましょう

すぐになついてくれますよ

>344
新しい復元ポイントをいっぱい作ったら古いのは押し出されて消えるよ。
まあそれなりのリスクもあるわけだが。放置が一番やね。

>>344
http://pc2.2ch.net/pcqa/

添付ファイルが50KBのものがありませんか？

保守

swnが今頃、それも携帯宛に届いた漏れは時代遅れｗ？

>>351
ブラスタにも気をつけれｗ

保守

久しぶりに着た。
やっぱりd●on

おいら○cnから

零細企業のメールサーバ経由でマイ糞ソフト・アップデートパッチを語った Swen.Aが届いた。
中継基地にされただけなのだろうが、セキュリティーの甘いところとは取り引きしたくないなー

まったくです。

ありが�d。
ココ見て、このウィルス駆除できたよ。
ちょっと前から感染に気付いてたけど、どうにも駆除できなくて
ウィルス対策ソフト買おうか悩んでた。

オンラインスキャンは、取れﾝﾄﾞ米黒、
ウィルス削除は島ﾝﾃｯ苦の無料のやつで削除しますた。
丁度このウィルスが全盛期の頃、ウィルスの情報入手サボってたなぁと反省。
LANｹｰﾌﾞﾙで逝ってくるYO！

許す

？？？？？？？
？？？？？？？？

1

？

4 ：ｚ：2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。

ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/

漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか？
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか？

来たことない

90000