メール添付ウイルス「WORM_MIMAIL.R」が流行中

http://enterprise.watch.impress.co.jp/cda/security/2004/01/27/1190.html

もう２通来マスタ

ＩＳのログがコレ一色だ
(ﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬﾋｬ

symantec 用語では W32.Novarg.A@mm らしげ。

McAfee だと W32/Mydoom@MM ぽい。
みんな米国時間１月２６日対応とゆーみたいですが、
誰が一番早かったんですかね？

頼むから業界でウイルスやワーム、トロイの名前を統一してくれ。

〜〇 (ﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬﾋｬ

symantec corporation
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

Trend Micro, Inc
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R

Network Associates Technology, Inc.
symantec corporation
Trend Micro, Inc.
共に同日

新ウイルス「MyDoom」が大発生--SCOサイトへのDoS攻撃を狙う
http://japan.cnet.com/news/ent/story/0,2000047623,20063937,00.htm

トレンドマイクロ以外は新種と見ているのかな。

>>10
ネーミングに乗り遅れたトレンドマイクロ

これの亜種が出ればミメイルの亜種ということになるな

うちの会社も今日の9時過ぎくらいから40通以上来てるな。
2chではあまり話題になってない？

PCを起動して見たら、このウィルスが添付されてきたメールが
1件とすでに自分のアドレスで送られて相手から帰ってきた
メールが2件ほど入っていたのだが、どういうこと？
メールサーバーが感染してるの？

なりすまししまくりですな
これ

うちもきてるわ。
添付ファイル「document.zip」付き。
えらくはやってるようす。

全然来ない。Sobig.Fのときも来なかった。

1通も来ないな。
sobig-fの時も1通も来なかったし、ISPでフィルタしてくれてんのかな

>>13
スプーフィング（なりすまし）って知ってるかな？

>>18
感染したわけでもないのに、スプーフィングされたわけ？
どっからメアドぱくられてんのよ。

>>19
根本的に理解不足だぞ

>>20
スプーフィングっていうのは、メアドとかをどっかからパクラレて
そのアドレスを使ってなんかされることだろ？
どっからぱくられたのかが疑問なわけで。

>21
喪前さんのアドレス知ってる人でつね
知り合いじゃないの？

>>21
お前は誰にもメアドを教えていないのか？

うん、書き方が非常に悪かった。申し訳無い。
つまり俺の言いたいことは、もしもこのウィルスに関係ない
ところでアドレスが使われたんなら、今のタイミングでこのような
メールが来なくてもよいわけだ。だから、このウィルスが今回の
不可解なメールの原因と特定して見たわけ。

で、問題なのはその俺のアドレスを知っているやつが感染した
のか、それとも1通目のウィルス添付のメールを受け取ったことで
メールサーバーが感染したのかを知りたかったわけ。

>>24
例えばおまいが友人の掲示板にメアドを書いたとしよう
それを「全く関係ない」漏れが見て、キャッシュに残るとする
そして漏れが感染すれば、ウイルスは漏れのＰＣ漁りまくって、キャッシュのおまいのアドレスを見つけて送信したりする

つまり、そういう色々な可能性があるワケ
殆どの場合、全く関係の無い誰か

あとメールサーバは感染しないぞ
Exchangeサーバだとしても、それとコレとは話が別

ノートンで感染が見つかったのですが、
C:\WINDOW\system32\shimgapi.dll
という感染ファイルが削除できません。
どうしたら削除出来るでしょうか?

シマンテックは今日2回目の自動Liveupdateだ、1回目は26日re21、2回目はre24

>>26
セーフモード

うちの会社も感染。
全パソコンに入ってる定義ファイルの更新が間に合ってなかったらしい。
今、情ｼｽの人間が感染源を調べてる。
でもその間、メールサーバーはずっと止まったまま。

うちにもｷﾀｰｰｰｰ
ノートンが削除してくれたけど

会社には10通（窓口のメアド）、取引先からのアラーム（漏れのメール
からウイルスﾊｹｰﾝ！）も2通。
プロバイダのスキャンサービスにも入ってるし、漏れから送られること
はないのだが・・・　誰だ！なりすましてるﾔｼは！ｗ

個人的に取引はない会社（日本国内）からきたのだが　とりあえず
メアド本人ではなくWebにあった会社代表に問い合わせメールは入れておいた


こういった問い合わせの際　なりすましが予測される場合
「送信者が詐称されたものであった場合にはご無礼をお許しください」
とでも付け加えておけばいいのでしょうか？

おれんとこ、９通ｷﾀｰｰ

ヘッダーの詳細みたら同じＩＰから来てるみたい。
感染してる奴突き止められんのかな？

あんまり過剰反応するのもどうかと。

Who isで調べたら某ISPだった…
とりあえずadminに警告メール送ってみた。

今回すげーメールが来るー
メアドを勝手に合成して送るのかなこのウィルス
存在しないメアドをバンバン使ってるんだけど

うちは、結構多いな。
10時から弾きはじめて87通。
（すみません、そのまえは通しちゃってますた）

添付の拡張子隠すし性質が悪い。
ユーザを変数にしてAレコード（ホスト）あてにセカンダリMX経由(50%）で投げつけてくる。

台湾、オランダ(nlってそうだっけ？)まで投げまくってるらしい。
同じ所からのがなかなか止まらないので、特定に手間取っている模様。
官公庁とか大学もけっこうやられている予感。

相手が素人個人で、間違って踏んじゃった。->いじめてもしょうがないので無視。
相手がまともな企業->社内のネト官が調べてるはず。

なので、たいていの場合放置でいいだろ。
もし突っ込み入れたければ、メールを使うな。鯖官の邪魔になるだけだし
詐称されているなら、まさに迷惑。チェーンメールとおなじだ。

某大手商社
6時間で5千通越えますた

ポツポツきます…しかも私のＰＣだけ…

ドコモから警告メールが3通きてた

スプーフィングだよ(´･ω･`)ｼｮﾎﾞｰﾝ

あ、たぶん、こいつ、
ひとつかふたつ前の被害者のドメインをエンベロープとFromで使う。
けっこう粘着だな。

なりすまされage

大変な目にあってる人多そうだからageでいきませんか？
俺は２通「あなたが送信したメールは・・」ってメールがきたけど、
そのウイルスメール自身は１通もきてないな。

>42
ウイルス届いてないのでヘッダ見られないのだが、
エンベロープはわからんが、なりすまされている人間が感染してない場合もあるので
FromはOutLookのアドレス帳やキャッシュじゃない？

日本では今日の夕方頃から、会社PCほどセキュリティのしっかりしていない
個人PCから祭が起こるかもね。

aliceなんてユーザーは俺のドメインには居ないのに使われてる
単純にアドレス帳みてるだけじゃないのは間違い無い
ユーザー名とドメイン名を勝手に組み合わせて使うのかも

a

>>43,45
私のところもウィルスメール自体は届いてない。
ネット上に晒してるメアドだから、やっぱ知人のアドレス帳かキャッシュかな？

今頃見知らぬ誰かに勘違いされてるのかと思うと･･･＿|￣|○

>>25
書きこめた・・さっき書きこめなかったのに。
そういうことですか、ありがとうございました。
自分の場合、アドレスブックに登録せずに
連絡を取っていた相手のドメインに向かってメールを
送ってました。幸いそのドメインには該当ユーザーはいなくて
サーバーからのreturnでしたけど。
でも、添付ファイルは開いてないし、ウィルススキャン
でも引っかかってないのになぁ・・・・。

http://internet.watch.impress.co.jp/cda/news/2004/01/27/1867.html

＞Mydoomはトロイの木馬型ウイルスで、Windowsシステムのプロセスに常駐し、
＞自分を添付したメールを送信するワーム活動を行なうほか、
＞ファイル交換ソフト「Kazaa」経由での感染やバックドア機能も備えている。

いろいろ進化してるわけだ。(w

>>48
いやいや、あなたが感染しているわけじゃないってことだよ？

あなたがネット上に書いた自分のアドレスを見た人や、あなたのアドレスを
アドレス帳に入れてる人間が感染した場合、あなたの名前やアドレスに
なりすませてウイルスを送信する、ということ。

>>45
へぇ〜。なんか相当手の込んだウイルスみたいだね。
一気に大騒ぎになったみたいだけど、実行日や時間が決まってたって事かな？

ISPがはじいてくれるから添付ファイル型ワームにはほとんど縁がない。
楽でいいけど祭に参加できなくてちょっと寂しい。

感染しますた。
ファイル開いたらいきなり続々と10通来ました。
ファイル名はscrです。
その後ウィルスバスターＤＬして削除したけど大丈夫なんでしょうか？

存在するドメインを突き止めると、ありそうなアカウントで送ってくるパターンも
ある模様。ウチの会社の鯖もターゲットにされているワケだが

[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]
[email protected]

そんな香具師はいない・・・

ﾔﾌｰのﾒｰﾙにきていて、
開かずに削除しました。
というか、勝手に迷惑ﾒｰﾙに入っていたので空にしただけです。
ですが、その後、
Mail Delivery Subsystem　[email protected]というタイトルで添付ファイルが
なく届きました。
思わず開いてしまったのですが、


Found virus WORM_MIMAIL.R in file readme.pif
The uncleanable file readme.pif is moved to /var/iscan/virus/virEGQvDk.


こういう記載があったので
感染したのかと心配です。
一応ウィルススキャンでは感染０となりました。
大丈夫でしょうか？？？

>>55
プロバイダのウイルスチェックに引っかかって，
ウイルスは削除しましたよって　メッセージでしょ．
セーフですな．

>>54
ふふ、お前の知らないだけで、その会社には地下の組織がうわっなにをするやめｒ


>>55
まず、ヤフーのメールってWebメールのほうでしょうか？
んで、その添付ファイルを実行（ダブルクリックとか）したのでしょうか？

もしWebメールで実行したわけじゃないのなら問題ないと思います。

>>56
ありがとうございます。
ほっとしました。
ﾔﾌｰのﾒｰﾙだったのでﾔﾌｰがやってくれたってことなんでしょうかね。
[email protected]
って私は出してないんですけど勝手に配信されてるって
ことなんでしょうか。

なにはともあれ、安心しました。
ありがとう!!

うちには全然こNEEEEEEEEEEE!

>>57

webです。
添付はついていませんでした。
大丈夫でしょうか？
(((（ ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

こんなメール今日ＰＣ歴７年で初めてきたよ。
思わず開いていまった・・・＿|￣|○

今日ほどノートン先生が逞しく見えたことは無いです

>>60
のーぷろぶれむ

ありがとう!!>>63

普段ろくにメールが来ないアドレスにさっきからぼこぼこ来やがる。

それにしても感染するには解凍して更に実行しなきゃならないってのに
なんでやっちまうんだろう？

つーか
今時ご丁寧にワーム・メールをエラー返信する鯖ってなんなんだよ？
ワーム転送されまくりでそれがかえって拡散に寄与している

お得意様から、なんで？　とか、うわっ「あの会社から引き合い？」
ってんで、思わず解凍してしまいました。　ほんと馬鹿とは思うけど。
DOSからinet経験ある漏れだが、ほんと情けない。
勝手知ったる送り人に聞いたら、その会社、今朝から「てんやわんや」
だと。　慌ててファイル削除に「セーフモード」すら、ここで知った。
誰かさん､アリガトウね！

なんかキナ臭い匂いがするな。
Nortonが例の証明書関係でボコボコ叩かれてる
時期にこれかよ。

>>66
同感。

>>68
今回のこれはSCOのLINUXがらみだと聞いたが

>54
その中に自分のメアドと同じのがあったよ。＿|￣|○
おもいっきり、なりすまされてるし、自分。

ウイルスやリターン含めて、うちにもバンバンきてるなー、
今80通ぐらい。感染はしてないけど、来たメールで
ひっかかったファイルは端から削除。

>54
>71
自分のも入ってる。
＠より左側と右側いろいろ組み合わせてるってことなの？

いっぺんに4つ来た

Ｍａｃなんで感染はしてないと思うけどUser unknownで返ってきた。
差出人は自分のアドレス、宛先が[email protected]で定型文の添付ファイルつき。
成りすましだけど、私のアドレスでどんどん誰かに送られてるの？？

>>72
送信先のメールアドレスとして、左側は辞書を持っているような感じっすね。

右側は感染したPCから情報を抜いている、若しくは、一世代(またはそれ以上)前に
感染したPCからの情報かも。

現在、44通がbounceされてpostmaster宛に通知されて来てますー
＃解凍して解析する若さはもうないや･･･

>>58

なんだ、MAILER-DAEMON知らないのか。メール配送プログラムの
ことです。@ufjbank.co.jpってついてるからufjbankのメール配送
プログラムからのメッセージ。

普通は差出人に対して送ってきます。ということは、誰かが、
かってに差出人にあなたの名前を使って、ウイルスメールを
ばら撒いた、ってことです。

unreachable　file　ってのは、「あなたが送ろうとして
相手に届かなかったファイル」ということです。


知らないほうがよかったかな。まあ、別に気にすることないけど。

あなたにクレームつけてくる人がいるかもしれないが、そのときは、
私の名前を勝手に使われました、わたしも被害者です。といえば良
い。

>>76
ご丁寧にありがとうございます。
送信できなかったときに戻ってくるﾒｰﾙということだけしか
知りませんでした。
ほんとによくわかりました。

でも私のｱﾄﾞﾚｽでばらかまれてるなんて。。
作ったばかりのｱﾄﾞﾚｽなのに。
くそう･･･

>>77
え、つくったばかりなの？アカウント部分（＠の左ね）は
ヤフーなら簡単な文字列じゃないよね？てことは感染者は
身近にいる可能性大だよ。

ホームページに露出してるメアドならわかるが、
なんで今回は使い込んだメアドじゃなくて、
真新しいメアドまでうまく捕まえてるのかな。

はじめて来た、というケースが多いような。

どうもこのウイルスは<<75さんがいうように
辞書を使った形で、メールアドレスを適当に生成してるようですね。

私のメールアドレスは辞書に載っててもおかしくない簡単なアドレスなので
感染メールが80通ほど来てます。
それとあて先不明で帰ってくるメールも10通ほどです。

5分もしないうちに2通ほど来てますよ・・・もう・・・

>>80
あ、間違ったよ・・・
どうもこのウイルスは>>75さんがいうように
訂正・・・

アンチウイルスに削除サレテキマ・・・・

＠の左側、８文字もあるんだけど。それも意味なし・・
それでも辞書機能で作成されるのかなあ

自分は、アカウント単純すぎでひっかかったのかも。

今現在、違うプロバイダーのアドを３つ使っているんだけど。

今、沢山ばい菌メールが来ているアドは
友達数人しかしらず、ネット上では
一度も書き込んだ事の無いアドなんだよね。

その親しい友達は、２つの別アドも知ってるから
友達が感染してれば、２つの別アドにも
「WORM_MIMAIL_R」が来ても、おかしくないんだが。

普段、オクやネットでオープンに使っている
２つには「WORM_MIMAIL_R」は来てない不思議。

>>81
うーん。俺のアドレスアカウント部分は簡単ではあるが日本人以外が
鍛えても辞書に掛かりそうにはないんだけどな〜。
アドレス帳＋辞書ってとこだろうか。

今日一日で14通も届いてた。
こんなに届いたのは久しぶりだ。

>>78
え!!そうなんですか。。
作ったばかりなのでｱﾄﾞﾚｽを知ってる人って
いないに等しいんですよね。
むむむ･･･

うちはどうやらocnのウイルスメールチェックが効いてるようで
その手のメールは来てないのでおそらく感染してはない。
会社のPCも祭状態にはなってないようなのでどれほどの脅威かわからないのが
ある意味残念。
ところで、これってメールを乱発するだけ？
それとも個人情報抜かれたり利用されたりするやつ？

>>84
アドレス帳＋辞書っぽいね。
今まで来たメールはJhonとかMikeとか、外人さん系が多いけど
中には、○○.○○＠って感じのモロ日本名で間にドットが入ってるのも結構来てるし

＠の左側、よくある名前にしてるからなァ。
じゃんじゃん来てるよ。

私はたった４文字＆メジャープロバイダなのに全然来ないなぁ。
とはいえ普通の名前では使わない組み合わせだからかも。

こういうのって、メルマガとかたくさん取ってるのは関係あるっすか？

>87
それは、OCNのウイルスチェックが効いているというより
単に、ウイルスメール自体が、来てないんじゃないのかと。
チェックが効いていれば、感染はしないけど
その手のメールをチェックしましたよという通知は来るはずだ。

>>92
なるほど。現在会社にいるので帰ってまたチェックしてみます。
ひょっとしたら恐ろしいことに・・・

ところで、これはhotmailのアドレスもヤバイのかな？

web上でもじゃんじゃん公開してる会社の代表アドには来てないのに
そんなに頻繁に使っていない社員のアドに届いてたよ...

ウィルスメール届いてから数分後に
ウィルスメール送信してますよってとある鯖からメールが送られて来てた。
ウィルスに目をつけられた？アドは送信元になったり、送信先になったりするのかな？

とりあえず、ヘッダ見たら大手プロバのリモホが見えたので
お知らせメール送ってきますたが...

今日だけで既に100通突破！

ええかげんにせぇ、と言いたい

一通も来てない罠。
ある意味さびしい罠。

>>96
メアド晒してくれたら転送するよ？

>>94
>そんなに頻繁に使っていない社員のアドに
1から読めばわかると思うがそれはその社員じゃなくて
社員の知り合いとかが感染者の可能性ありますよ。

メールアドレスを自動生成するせいで、
普段ウイルスに縁のない、ウィルスの脅威を感じなくて対策に力を入れていないような人にも
ドカドカ届いてるってのが怖いよな。

例え存在しないアドレスに送ったとしても、差出人さえ確実であれば、
MAILER-DAEMONがウイルスを届けてくれるんだもんな。
これは考えたな。

>>98
1から読めばわかると思うが、それはそのその知り合いが感染しているわけではなくて
単に、その社員がありがちな名前のメールアドレスを使っている可能性も高いと思うよ。

アカウントによっては、周りが感染してなくても来る様子。
英語名だったり、単純だったり・・・って、ｦﾚだ。＿|￣|○

一通もこねー！

俺もこねー。
来る奴と来ない奴が極端だな。

結果としてドメインごとに狙われるみたいだから、
多いドメインと少ないドメインがあるんじゃないかな。

行きも戻りも詐称するから弾かなければドメイン内のワームはだんだん増えていく。
逆にドメインのすべてのMXサーバ上で弾いて捨ててれば、だんだん減ってくる。

あとは、
数が来てるように見えても、出どころのIPで見ると少ない。
だから、多いところと少ないところがあるように見えてる。

しかもDDoSのオマケ付き

100通突破しますた。

>99
MAILER-DAEMONを装ったのも有ったよ。
OCNに「エラーメールに添付ファイルをつけるな!!」ってメールを出す
直前に気づいた。
こんなメール出したかな？って開くのを期待していると思われる。

>107

戻りを装う場合、

出どころのIPは以下とは関係ないIPで、
Fromは、MAILER-DAEMON@詐称するドメイン、
エンベロープは、MAILER-DAEMON@攻撃するドメイン、
行き先は、攻撃される人@攻撃するドメイン

になってるのが多いから、たぶんOCNが詐称されてる。

けっこうこんがらがりそうなメール作ってくれるよね。

>>62
たくましいっちゃたくましいんだけど、
かえって煩わしくて鬱陶しかったわ、オレは

装ったのでなしに、ちゃんと正式に戻してくるMAILER-DAEMONもいるよ
最初がlocalhostのやつ (w

携帯のメールに沢山届いて困っています・・・・
ふつうのPCのメールには届いていないのに。
携帯だと、本文しか来ないと思って大丈夫ですかねぇ。

プロバがniftyの人ってこれ来てる？　漏れもダチも一通も来てない。

携帯（あう）のメアドにも来てるんだけど、こういうもの？
それと取引先数件しか知らないメアドにも来てる…

web上に晒しているメアドには全然来てないのになんでや〜

>112
>漏れもダチも一通も来てない。

藻前には実はダチなんかいないので
藻前のメアドは藻前のPCのメーラー
にしか存在してないに500ﾍﾟﾘｶ

Received: from ns.fromgamers.jp (unknown [203.139.129.131])
↑ヘッダに共通して必ずコレが入ってる
もう今日だけで13個きてる

漏れは6通きた。

>>115
購読してる某メルマガに同様の記述があった。

Fromで@2ch.netを詐称しているものが届いてた（ｗ
ひろゆきんところにも沢山届いてるんだろうな。

俺の所はSonetからのが多いな。
エラーメールも何通か来ているが、添付ファイルを削除してるとこと
そのままの所が有るな。
ウィルスをばらまいているプロバイダはさっさと対策して欲しいもんだ。

ネットショップ運営しているんだけど、
めちゃめちゃ沢山来ますね。。。
SWEN.Aの比ではないけど。

@NIFTYの鯖が重くなっててメールが取れない。
112の所には明日の朝沢山届いているかも知れないな。

漏れソフトバンクから来たよ
ちとウケル

６００通ほど来てますた。
削除するの大変ですた。

>>122
ものすごいな…

３通／分くらいで来てたみたい。

うひゃー。うちの会社のメール鯖エライことになってますー。
とりあえずsendmail.cfのルールセット書き直してadhocに対処します田。

ヘッダ情報を見てプロバイダに「対策しろやｺﾞﾙｱ!」みたいなメール
送ってる人がいるみたいだけど、やめたほうがいいよ。

会社にきたやつの中には
Received: from 以降のサーバ名とIPアドレスの情報が一致しないものがあった。
おそらく経路情報もある程度詐称する能力を持ってる。

それに今回みたいな大規模な感染の場合、いちいち苦情メール入れることで、
プロバがその対応に追われてしまい、本来のウィルス対策に工数が
割けなくなってしまっては本末転倒。
ウィルスメールを受け取っても感染していない人は、沈静化するまで
静観するがよろし。

へ？自分とこのMTAが受け取った時のIPしか信用しないのは基本でしょ？
(qmailなんかの場合)reverse lookup しない設定にしてるとこも多いし，
そもそも、EHLOで相手の自称するhost nameって信じないでしょ。

でも、connection取れたIPだけは信用できるわけで。

２月１日〜１２までＤＯＳ攻撃するんだって、
しマンテックに書かれてたよ、

>127
へえ、逆引きしないってことは詐称しまくりされまくりですね。知らんかった。
どおりでSPAMがのさばるわけだ。

自分とこに来たのは

Received: from サーバ名 ([(IPアドレス）])

とあって、IPアドレスがどうやら感染者本人の端末であり、
サーバ名の方は全然関係ないサーバだった。
だから、よくウィルス対策紹介サイトで、
「Received:の一番下の行が感染者のプロバイダだからそこに問い合わせろ」って
書いてあるのを見かけるけど、うかつにサーバ名だけ見てプロバに問い合わせ入れても、
まったくトンチンカンである可能性もあるわけで・・・。

最近のウィルスってホントよくできてるね。ある意味感心。

qmail派の人がreverse LookUpしないのは無用なトラヒック
が嫌いだからで。あと、qmailでreverceLookUpしない人はMTAに
詳しい人が多いので、チェックするときにSource IPをdnsqしてるん
じゃないですかね。 qmailのひとは、paranoid checkもしないですよね。

SCOは訴訟でUNIX独り占めを狙う基地外会社だからネット社会
から憎まれるのは当然だが、こんなワームでDDoS攻撃しても効果
ないだろ。アドレス変えればいいだけだし。一般ユーザーに迷惑
かけるだけなんだが…

これってSCO狙いのDDOSが目的だったの？
んじゃなんで、うちとこのメール鯖にスパムぶり巻くの(⊃д`)

今1通きますた。ウィルスチェイサーが即反応したので治療。

こんだけ蔓延してるのに、
「感染しちゃった、どうしよう！」Σ(ﾟДﾟ；≡；ﾟдﾟ) ｵﾛｵﾛ
って書き込みがほとんどなくて、メール鯖やサイト管理者のグチとか
ばっかりなのが笑える。

もしかして感染しちゃったやつら、
いまだに感染したことに気づいてないんじゃ。(ﾟдﾟ)ｺﾜｰ

>>134
いや、感染とかしないっしょ。

http://www.cert.org/
CERT(R) Advisory CA-2004-02 Email-borne Viruses
CERT® Incident Note IN-2004-01
（ﾉ∀`)ｱﾁｬｰ

>>134
道灌。こいつは目立った破壊活動は一切やらないから初心者は
感染に気づかない。（バックドア作られてるのがｺﾜｲんだが）

ブラスタのときもそうだったが、大規模流行ウィルス専用スレは鯖管、
シス管、セキュ要員の情報交換＆愚痴スレになる運命ｗ

私macユーザーだから感染してないはずなんだけど
私のアドレス宛に返信メールが来ます。
（あんたからのメールがウイルス反応してるよみたいな）
これってなりすまされてるんでしょうけど
接続切ったところで意味ないんですよね？
実際に私の所からは送られてないんでしょうし・・・

間接的に他人に迷惑かけてるっぽくてイヤだな〜。

>>138
かけてない。無視。

>>138

ウイルスに感染した未知のユーザのPCが貴方のアドレスを騙って、今回貴方にウイルスを送って
きた相手のドメインの、実在しないアドレスに対してウイルスを送りつけます。
当然、実在しないアドレスということであれば、user unknownということでMAIL DAEMONがfrom
アドレスに書かれた相手に対して、メールを返却しようとします。
この時に、添付ファイルのチェックをしないままに返却を行うために、改めてウイルスがばら撒
かれなおすという状況になっています。

つまり、今回貴方にウイルスメールを届けた相手側のメールサーバ上にインストールされてある
ウイルス対策ソフトの設定の拙さが原因の可能性が高いということになります。

返却メールからは添付を取り除く設定になっていなかったり、またはファイヤーウォールとメー
ルサーバの間に、ウイルスをチェックする新たな仕組みが入っていないと、こうなります。
可愛そうなので実名は伏せますが、先週BAGLE.Aが流行ったときに国内某大手通信社のメールサー
バがまさにこういう状況だったようで、二度ほど指摘してみたところ大人しくなったようです。

ここから先は予想なのですけれど、貴方のところに届いたウイルスが添付されていたメールは、
多分こういった次章が該当すると思いますが....
FromはMAILER-DAEMON@****.***.**になっている。
SubjectはUndelivered Mail Returned to Senderになっている。

まあ、こうしたセキュリティホールを抱えたメールサーバ一覧リストとか作って公表すると、
方々の担当者は真剣に勉強し始めるかもしれませんね。

だめだ。全然こいつ来ない。
だれかちょうだい。上のメアドはほんとに俺がさっき取ってきたやつだから。

送ったよ

いつもうちにはあまりウィルスメールこないのに今回はｲﾊﾟｰｲ来てたから
大騒ぎになってるかと思ったが、そんな騒ぎになってないのな。

まぁｲﾊﾟｰｲｷﾀといっても「ｵﾒｪの所にそんなユーザーいねえぞｺﾞﾙｧ」な
メールばかりだから管理者以外は気にならないのか。

>>140
今回のウイルスは単純にFromにも「MAILER-DAEMON」と偽装する
機能があるだけでは？

だから、これまでのメール添付型のウイルスよりも皆がついついクリックして
しまい感染が広まっていると思うけどね。

アドレスを偽装するにしても、すでに国内で感染者が
いるようだね。
１０：００〜１１：００だけで、会社に４通、個人に２通来ますた。
昨日は、会社に３通。

こんな内容のメールが来たよ（;´Д`）
どうすればいいの？


*****************************************************************

あなたが送ったメールの添付ファイルにウイルスが検知されたため、
感染ファイルを削除して送信しました。

ウィルス名 ：WORM_MIMAIL.R
　添付ファイル名：file.zip
　検知日時 ：01/28/2004 11:24:31

ウィルスの詳細については、Trend Micro社のホームページをご覧下さい。
http://www.trendmicro.co.jp/

このお知らせは自動送信されています。
送信元にお問い合わせいただいても返信致しかねます。ご了承下さい。


VirusCheck - http://www.cw.com/jp
**********************************************************

文章読め

送信元に無差別に
>ご利用のコンピュータがウイルスに感染している可能性があります。
>至急ご確認頂くことをお勧めします。
ってメール送る魔抜けなプロバイダがいまだにござる。

>>146
自分のパソコンが感染していないかチェックして問題ないなら無視しとけ。

>>146
お前はわずか6つ前のレスも読めんのか？

>>150
Worm_ScrollUpKiller.Aに感染してる香具師が多い。これに感染すると
上スクロールが効かなくなり、googleに接続できなくなる。またユーザー
の知能も9割方低下させるそうだからｺﾜｲ罠。

>>149ﾀｿ
ありがと。今調べてる。

>>150
ごめん。
6つ前のを読みました。
でも初めてのことなので意味が良く分からない

>>151
ええええ、マジで？
冗談抜きでWorm_ScrollUpKiller.Aってのも感染してるかも。
最近上スクロールしにくくてイライラしてた

おれのところに、
ナムコから大量に来るんだけど、やめてくれない？

正当なアドレス宛てで、300以上スキャンに引っかかって捨てたが、

Sender address rejected: Domain not found
Sender address rejected: need fully-qualified address
User unknown in local recipient table
Helo command rejected: Invalid name

とかで弾けたのは、約800ぐらいかな。意外に少ない。
けっこうちゃんと挨拶して送ってくるから始末が悪い。

それなりに大きな企業の社内のロータスドミノ経由でウィルス除去済みのメールが届いたよ。
向こうのロータスドミノでウィルスチェックしているからいいんだけど、化学、医薬、産業設備、
ITまで売りにしている企業がこういうことしているとだめぽですよ。

社内で自分のサイトを見てくれた人が感染したに間違いないのだが。

私のところにも何通か着てるんだけど、
そんな私が他人にメール送っても平気？

>>153
ネタだと思うけど、それはM$のバグ。
http://pc2.2ch.net/test/read.cgi/win/1070206121/

>>157
心配ならチェック汁
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

それでも心配なら駆除汁
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

それでも心配ならOSクリーン再インストール汁

漏れのサーバに存在しないユーザから存在しない別のユーザ宛のメール
が出されてら（苦笑
ひでぇなぁ･･･

今日サーバーが処理した外からのメールの内
６通に１通はMIMAILに感染しているよ。

どうなってるの。

１５８さん
ありがとう〜。
駆除できるならまず駆除します(ﾉД`)

うちは、
バックアップのメールサーバで自ドメイン宛ての「リンダ」だの「デビット」宛てのメールも全部いったん受けて、
そこでスキャンしてだまって捨てることにした。
「ユーザがいない」と戻すこと自体が今回は危険だからです。
経路上にゴミ箱つくらないと減らないかもね。

まったく同じ症状だーーー

1月26日付けで多額の慰謝料ふんだくって離婚したから
元夫からの嫌がらせかと思ってたｹﾞﾗｹﾞﾗ

送信者のメアドは詐称されているものと思うから信用はしてないけど、
時々こんなメアドあるのか？と思うような物も来るんだが…
@以降の末尾がmyになっているメアドって、本当にあるの？
（今までに見た事ないのですが）

>>163
> @以降の末尾がmyになっているメアドって、本当にあるの？

myはマレーシアでして、ウチにはそれなりによく来ます。

>>164
なるほど、myはマレーシアでしたか。ありがとう。

ドメインは、ここに載ってるよ。
http://www.benri.com/domain/

今朝から、１６通目。
サブジェクトの｢Ｈｉ｣のやつは、大文字と小文字の２バージョンあるね。

なんか急にこなくなった・・・
向こうが夜だからか、上のほうで対策されたか。

エラーで弾かせて送るという手法は、
結局普通のメールサーバを攻撃の踏み台にしてる格好になる

多くは、Fromに攻撃対象のアドレスをセットしてる
robertやjackやlindaやらは、そこに弾かせるためにつけてるんだよ

>>161
>>168
ですね。うちもbounceしないようにしました。

>>167
まだ2日間しか見てないけど、うちは第二次攻撃が始まりますた（Ｔд⊂
第一次攻撃開始から20時間30分後より。
インターバル設けてるんすかね。

確か｢パソコンを起動するたびに実行される｣でしたよね。
そうすると、実質的には明日くらいのほうが時間による
集中が起こりやすいのかも。

ドコモからメールきたあ〜　保存してウイルス検索してみたけどなんも検出されなかったんだけど・・・何故・・・・？

>>171
メール本文はどうなってる？

W32/MyDoom-A って、同じウイルス？
別物？

>>173
同じ。会社によって名前が違うだけ。
ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/01.html#20040127

>174
ｱﾘｶﾞﾄﾝ
しかし、迷惑な話だ。
警告からなにから200通を超えて、到着しとる。

犯人捕まえたら25万ﾄﾞﾙって、いいな、自分は無理だが。

今日はぱったりメール来ないね

対応速くなったよなー

MTAの無意味なエラー返しがウザいな。

うちは未だに、来まくってます・・・何故？

From行だけ見て苦情よこすな、バカ管！

と愚痴ってみるテスト。

１時間に５，６通
　↓
現在、１時間に１通

まあ、それぞれの経路でウイルスが送られてくるわけだから
個人差はあっても仕方ないよ。
あまりに多い場合は、身近な人が感染に気付かず再起動を
繰り返しているか、所属する団体内で感染が広まっているか
最悪、自分が感染しているっていうことじゃないかな。

>>176
ウイルスバスターなんを入れると、元メールを消して
情報としてformに記載されている情報を、発信者としてリストアップするからね〜

俺も、そのFromに記載されているのを見たうちの幹部が取引先からだと
勘違いして、激怒してましたよ。

>>172
本文なんもなかったよ？　件名が　ＨＩ　って書いてあった。

>>182
状況がよくわからないので何とも言えないけど、
何かの理由で本文と添付ファイルが削除されたまま
送られたって事じゃないかな。
プロバイダはどこ？それによってはプロバイダでの処理の
関係かもしれない。
あまり気にしなくていいと思う。
一応感染チェックは怠らないようにね。

今日はじめてMIMAIL.R来る。
立て続けに3通も。

日記。

>>181
はあ？

>>185
俺の大切なブラザーを煽りやがったな
>>181の友達のハッキングマスターだが、
言っておくがお前等知らないぞ。
既にハッキングプロトコルをハードディスクから
デュアルCPUしてメモリーにclickした。
パソコンデスクにディスプレイをインストｰルしてCD-Rするのに少々手間取ったが
どんどんお前達のフロッピーがプリンターしてるぜ(haha
ｲｷｶﾞﾙﾉﾓｲﾏﾉｳﾁﾀﾞ

>>186
残念。俺のパソコンFDついてない。

>>186
そのコピペ秋田

一気に着たぞ

いまだ０
セキリュティ面で完全ということか・・・？

ｊｃｏｍ
ビックローブ
ぷらら
などから一気に来た

こいつらのアドレスはハックされたものなのか

so-net
ocn
nifty

大所帯のとこからいっぱい来ますた

>>191
このウィルスは送信元を偽るよ。

契約している、プロバイダーがあぼーんしてるみたいでつ。
メールもダウンロードも出来ないし、プロバイダーのＨＰにも４０４でアクセスできません。

過去最速で感染を広げる「MyDoom」
http://pcweb.mycom.co.jp/news/2004/01/28/001.html

アンラボは、ついさっき対応したぞ。さすがだな。

でも、今回のウィルスは凄そうだな。

初めてUndeliverable Mailが来た。
確かに蔓延してそうな予感がする。

上にも書いてあるけどこれが更に圧迫させてるだろうな。。

>>192
うちもニフ多い

どーなってるんだーーーーーーーーーーー







全然こねーぞ！！！！！！！！！！！！！

昨日の昼ごろから大量に来だした。すでに100を超えてる。
何でこんな多いのか調べたら、このウイルスが生成する送信先
メールアドレスのユーザー名＠リストと自分のメールアドレスが
一致していた。

母さん。　僕は外人と結婚したあなたを恨みます。

前回のブラスタの時は、速攻で来たのに
今回はまったく音沙汰無し。(´･ω･`)

た、助けて〜
昨日から400通来てます。
削除するのも疲れますた。

★重要注意★
メール鯖からの配達不能メッセージにウィルスが添付されて
いることがある。こういう↓メールをうっかり開かないこと。

From: MAILER-DAEMON@****.***.**
Subject: Undelivered Mail Returned to Sender

どうしてそうなるかは>>140

ウィルスメール今年になって、まだ一度も来ないよ〜

>>203
ウィルス流行時にはツール使って削除が吉。いちいちメールを
ダウンロードしないでヘッダーだけ見て削除できるから高速で
さくさく処理できます。うっかりダブクリすることもないし安全。

Spam Mail Killer
http://homepage1.nifty.com/eimei/

ルールも簡単に設定できる。いろいろ便利機能もついてるよん。
ブラスタ流行のときに入れたんだが、また役に立ってる。　（･∀･）ｲｲ!

┌─────────────────────────┐
│！ 警告 古賀潤一郎の学歴詐称を発見しました。　 　 　　.×│
├─────────────────────────┤
│..∧__∧　　隔離しないと、また学歴詐称を招くでしょう。　　　　│
│(-@∀@)　民主党から隔離することを強く推奨します。　　　　.│
│　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 　 │
｜ ┌────┐┌────┐ ┌────┐ 　 　 　 　 　 　 │
│ │放置　 　 ││駆除　 　 │ │隔離 　 　｜ 　 　 　 　 　 　 │
│ └────┘└────┘ └────┘ 　 　 　 　 　 　 │
└─────────────────────────┘

【民主党へのご意見メールについてのお願い】

民主党へのメールによるご意見、ご質問は、 [email protected] 宛で受け付けています。
しかし最近、スパムメール、ウィルスメールほか、心ないいたずらメールなどが増加しています。
メールをお送りいただく際には、以下の点にご留意いただきますようお願いいたします。

>>191-192
それはFromじゃなくてヘッダーのそれもIPを確認して書いてるのか？
それともFromを信じて書いてるだけ？　それならニュー速＋に逝った
方がいいよ、仲間が一杯いるから話が合うと思います。

サーバ回りの話題は書き込み規制がかかるらしいので、これでおいとまするけど、

複数MXを持っているサイトだよね、問題は。

間に別のMXサーバを入れてbounceさせて広がる。
MXを細かく引いてるしね、もし直に当たれば550とかではじかれるから広がれないもの。
結果としてそうなってるような気がするな。

会社の同僚宛に、俺の名前できやがった。
知識ない奴はスプーフィングなんか知る由もないから、俺が撒いたといいやがる。

ったく、感染源は誰なんだっつーの。　　ヽ(`Д´)ﾉｳﾜｧｧﾝ

>>183
うん

しろうとなんですが、ひょっとして
メールのタイトルが「Ｈｉ」になっていませんか？

俺、なんだか急にみんなから「Hello」とか「Hi」とかメール来ちゃってるよ。
ひょっとして俺、人気者？

140の書き込みをした者です。
あの考え方に対する理解と賛同が一部寄せられていることに、感謝します。

mydoom.a型ウイルスの目的ですが、トレンドマイクロやシマンテックの当該ウイルスの解析
結果にもあるように、2月1日以降12日までの間SCOのサイトに対してDDOS攻撃を仕掛ける仕様
になっています。
攻撃側としては一台でも多くの感染したPCが増えれば良い訳で、140で指摘したような実質的
なセキュリティホールを抱えているであろうメールサーバが世界中に多数存在することを見
越して作成されたウイルスと思われます。

大多数の一般の人たちは、経路上でウイルス対策を実行するという事と、違うメーカーのウ
イルス対策ソフトを、衝突しないように気をつけながら組み合わせて効果的に運用するという
事までは考えませんので、このウイルスが起こす第二の症状、つまり上述したDDOSを回避する
方法として、感染したPCを一台でも減らすことで被害を最小限に食い止めるという手法はかな
り難しいと予想しています。

ということで次の課題は2月1日になる前までに、特定のサイトに対するDDOSが実施されないよ
うにする方法か、または実施された結果国内外のトラフィックが異状にならないようにする為
にはどうしたら良いのかということを考える段階へ進んだほうが良いのかもしれません。

WORM_MIMAIL.Rが送られてきたけどたちの悪い事にヘッダーが取得できない。
Spam Mail Killer もハングしてしまって、仕方が無いので受け取ってすぐ
に削除した。だんだん面倒になってゆくなクソ！

>>216
etherreal等のスニファを導入して、トラフィックログから中継情報の部分を再現するとか
方法になってしまうでしょうねぇ>無論今後の解析方法の一つという話で

SCOがドメイン停止とかあり得るのか？

>>218
それも一つの方法でしょうね。
一方でまだプロトタイピングに近いものですが、NTTが昨年の二月ごろに移動FWシステムを
作っていて、これだと攻撃元までさかのぼりながらDDOSを封じ込めるというものです。

当然SCOはNTTの開発を知っていると思いますので、ひょっとするとアプローチを取っている
かもしれません。

昨日は２０以上も来て、５つ位、送ってもいないのに、
勝手に返されて、今日もまた来てる!
何とかしてYO!

port 3127へのスキャンがきはじめた。
なんだかとんでもない事態になるのかも。

削除したウイルスの抜け殻メールって、とっておいた方がいいの？

なんかメール全体が遅延し始めているような…
携帯から自分のメアドとか国内経由なら大丈夫だが，海外のサーバーを経由するMLなんか
はReceivedヘッダを見るとサーバー経由のたびに遅延しているように見える。

これって感染してるマシンを特定する方法ってありませんかね？
同じLAN内にありそうなのですが。

>>224
LANの規模によりますね。
１台１台チェック出来るならそれに越したことはありません。

>>218
SCOのような基地外会社のことだからDNSエントリを
127.0.0.1に書き換えてDDoSを世界中に跳ね返して
くるかもしれないぞ。

>>225
レスありがとうございます。
やっぱり1台1台調べるのが手っ取り早いんですかね。
DNS使用ログとかから見つけられないかなあと思っていたのですが。

>>227
というか、本来１台１台にウィルス対策ソフトを
入れておくべきかと。

>>228
確かにその通りです(-＿-)

>>229
そんなあなたにGateLock X200
ttp://www.trendmicro.com/jp/products/desktop/gatelock/evaluate/features.htm

５通連続で来てた・・・
全部 DION からだったよ。その内４通は同じ奴から来てた。

>>230
残念ながらちょっと使用条件には合わないですねえ。
台数はかなり多いのですが、
１台１台にアンチウイルスソフトを入れるのが一番手っ取り早そうですね。

(´･ω･`)ｽﾏｿ

>>233
いえいえ気になさらないでください（;´Д⊂）ｲｲﾋﾄﾀﾞ

>>224
出口近くでパケットキャプチャーして、SMTPを自社のメールサーバー以外に吐いている
パソコンを特定する。
もし、外に出しているのならルータなりでメールサーバー以外からのSMTPを遮断する。
でいいんじゃないかい？　
Sobigの時にこれで対応したよ。

3127にtelnetしたけど繋がらなかった(当たり前か)

一通も来ない。

日本F-Secure株式会社 : ウィルス情報 Mydoom.B
http://www.f-secure.co.jp/v-descs/v-descs3/mydoomb.html

ロシアのKaspersky、Mydoom.Bを検知・警告。
http://www.theinquirer.net/?article=13867
http://www.kaspersky.com/news.html?id=3657414

マイクロソフトを狙う、MyDoomウイルスの亜種出現
http://japan.cnet.com/news/ent/story/0,2000047623,20064004,00.htm

質問なのですが・・・
おととい感染しました。
駆除しても駆除しても（ていうか削除）
いつのまにかまた発見されるのはどうしてですか？
まだウイルスがどこかにあるっていうこと？

241です。
ちなみに、そのとき、
添付ファイル開きました。

亜種Mydoom.Bの特徴

亜種のMydoom.BはMydoom.Aが開けたバックドアでも感染する。
またこの亜種は多くのアンチウィルスベンダへの接続を妨害する
(hostsでIPを0.0.0.0にする)。これによりパターンファイルなどの適用ができなくなる。
SCOのついでにMicrosoftにもDoSアタする。

自分とこはYBBでつ。今のところ１通も来てません。知人のとこに
も来てない。話題について行けず寂しいようなｗ

YBB内ではメール鯖でウィールスひっぺがしてるのか？　誰か
非YBBユーザーでYBB鯖からウィルス届いた香具師いますか？

>>244
来ているよ。
YBBのIPから送信されてきています。

>>241
レジストリ修正してバックドア塞がなければだめ。アンチウィルス
入れてないならAVGでもAntivirでも落としてきて実行。それから
トレンドマイクロの解説みて
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R
レジストリをチェック。改変が残っていたら削除。ファイルを検索。
残っていたら削除。最後にトレンドのオンラインスキャンかけてみる。

ワームが外部と通信するのを防ぐためにFWも入れる。
OutpostかZone Alarm （セキュ板専用スレを見れ）

>>246
ありがとうございました、やってみます。

家に八通来てたよ＿|￣|○
なにやってんねん・・・・

>>10
のレスみてトレンドマイクロが改名したYO!

ミスた

>>11
のレスみてトレンドマイクロが改名したYO!

MYDOOM.Bメールの特徴

題名：Status/hi/Delivery Error/Mail Delivery System
/hello/Error/Server Report/Returned mail

本文：The message cannot be represented in 7-bit ASCII encoding and
　　has been sent as a binary attachment.
sendmail daemon reported: Error #804 occured during SMTP session.
　　Partial message has been received.
The message contains Unicode characters and has been sent as a
　　binary attachment.
The message contains MIME-encoded graphics and has been sent as a
　　binary attachment.
Mail transaction failed. Partial message is available.

添付ファイル名：document/readme/doc/text/file/data/message/body
添付ファイル拡張子：pif/scr/exe/cmd/bat

>>244
漏れも貧乏あほーユーザーじゃがｗまだ１通も届いとらん。
Yahooユーザーでじゃんじゃん届いてるのいるか？

>>344
http://pc.2ch.net/test/read.cgi/sec/1075170355/

マルチで御免なさい。

見ず知らずの添付ファイルを開く馬鹿が信じられない。

>>250
馬鹿発見。
つーか自意識過剰。

昨日の夕方から今までで14通も来た。プロパではじいてるはずなのに
ファイル添付されてるやつが1個ウイルスバスターで引っかかった

＠の左側が段々と日本語チックになってきた。
結構賢い機能を持ってるんだなぁ。

次はハングルチックになる番か

>>258
単に日本人の感染者が増えただけでは？

これまで、海外で猛威　海外から日本へ発信　そのPCの中のメアドを使うので外人っぽい
いま、日本で少しづつ増加、　日本から日本へ発信　そのPCの中のメアドを使うので日本人ぽい

今ままで殆ど使ってなかった、アドだから
メアド替えようかと思ったのだが、
メアド替えて、ウイルスの持っているアカウントと
ドンピシャという事もあるんだよな・・・どうすべか。

暇だ。。
ファイルうｐ希望してみたり・・・

>>261
今回のウイルスを避けたいだけなら、メアドにrootだinfoだのつづりをいれたら
来なくなるよ。

　　　　〃〃∩ 　_, ,_
　　　　　⊂⌒（　`Д´）　＜　感染してるの漏れじゃないよぉ〜！
　　　　　　 ｀ヽ_つ ⊂ノ　
　　　　　　　　　　　　　　ジタバタ

トレンドマイクロより
＞２）"Temporary Internet files"フォルダ内の以下の拡張子のファイルを調査し、アドレスと思しき文字列を収集します：

この性質って新しい？
感染したPCの閲覧したことのある、HTMLの中に埋めこまれてるアドレスを抜き出すってことだよな。
ほむぺじ作って連絡用にアドレス載せてる奴は、
問答無用でDOOMの「送信先」or「送信元の偽装」にアドレスを使われる可能性があるってことだよな。

激しく既出

ちと、知識のない俺におしえてくれ
感染者　サトナカ
被害者Ａ（スプーフィングされた）　ヤマダ　 [email protected]
被害者B（メールが送られてきた）　イワキ
例えばサトナカが感染しててだな、イワキにヤマダのアドレスで、メールがいっちゃうわけだよな？
んでイワキは「コラ！ヤ〜マダァ」てなるわけで、サトナカは全くそんなの知らないわけだろ？
そこまでは理解した
けれどもだ…

質問１　サトナカのマシンでは具体的にどうなってメールがおくられるのだ？
　　　　（[email protected]）を自分のマシンからテキトーに収集しちゃうってのは理解したが
　　　　なんかのプログラムが動いてそうなるんだよね？なんのプログラムが動くの？

質問２　サトナカのマシンで、「あ！俺が感染してすでにおくってたのか？」ってのは、
　　　　　どっかにＬＯＧで残ってないの？もしくは形跡がわかる何か…はないのですか？
　　　　　まぁ、つまり、俺が感染してたのはわかったんだが、送ってしまったかどうかが気になるのだが…

>>266
そか。アドレス帳使う奴しか知らなかった。

マカヒーが３日連続でアップデートされてまつ。
さっき１通来たがきもいのでそく削除しますた。

>>268
A１
自分自身がメール中継の機能を持っているプログラムが動くので
イワキのメールサーバー宛に直接、メールを送りつける。
その時に、ヤマダと自分を騙り、尚且つこのメールを送ったのはヤマダが
使っているサーバーらしい文字列を定義する。

A2
判らない
ただし、今回のは起動時に発射するそうだから感染した後に再起動してた
場合は送ったと思う方が無難

>>271 なるほど、なんとなく理解できたthx!!
A2の「判らない」は
「形跡が確認できるかどうか判らない」なの？
それとも、
「絶対に形跡が残るらないから、判らない」なの？

質問３
サトナカのマシンを立ち上げるときにインターネットにつなげた口を
物理的にはずして立ち上げた場合、
そのウイルスプログラムにはなんらかのエラーメッセージがでるの？
ま、出ないんだろうなとは思うけど…

>>268
>>　271がいうとおり、ワームが独自のsmtpエンジン持ってる。
Outlookその他メールアプリは使わない。したがってログも残ら
ない。

内→外をチェックするFW入れてればワームが外部に接続
しようとした時点で窓がポップアップするから気づく。定番
は↓この２つ。フリーだがNISやVBのおまけFWより優秀。
Agnitum Outpost Firewall part14
http://pc.2ch.net/test/read.cgi/sec/1075046818/
ZoneAlarm Part17
http://pc.2ch.net/test/read.cgi/sec/1072384136/

茂人と蹴り雄もよろ〜

>>265=>>269
最近のウイルスはみんなそうだよ。

>>272
＞「形跡が確認できるかどうか判らない」なの？
通信のログ取るソフトいれてりゃ確認出来るよ。
FWとか。
つーかFWいれてりゃそんな変な通信止めてくれるけどな。

＞質問３
やってみてくれ。
ウィルス飼ってるやつじゃないとわからん。
俺も出ないだろうと思うけど。

>>268
線引っこ抜いた状態で再起動したら、アプリ（サービス）ログにエラーがあったとかなら笑えるが。
個人のマシンには、わざわざ残さないだろうね。
もし、感染したマシンが、会社なり学校なりのLAN接続されたマシンなら
ネットワーク管理してる香具師にきけば、あるやもしれぬ。

mof.go.jp ｷﾀ Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒(｡A｡)!!!

つうか掲示板にメールアドレスの一部書込まれただけでもウイルスに利用される恐れがある。

一時間に10通は来てる…

>>267,268

漏れはヤマダの立場だったよ。
昨日の昼頃、突然知らない奴(267の例ではイワキにあたる）から
「迷惑メール送るのやめろ、警察に通報するぞｺﾞﾙｧ！」
と突然メールが入ってきて、このワームの存在知った。
自分のPCは感染してなかったので良かったのだが・・・

怒られ損だ( ´・ω・`)

対応策ないの？ただひたすら送られてくるメールを消去するしかないんですか？
もちろん自分は感染してないですよ、自分のメアドで他人にウイルス送られてると思うとうんざりです

ヤマダな人は自分のメアドの＠より前の部分に
シマンテックの関連ページ
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]
の下のほうにある「ワームは、取得したドメイン名の前に次の名前を挿入します。」
のどれかが入ってたの？

>>281
こういう大流行に対して個人で打つ手は「自分が感染しないように
する」以外なし。むやみにｺﾞﾗｧするのはもちろん最低だが、DQNに
間違ってｺﾞﾙｧ>>281されてもひたすらｼｶﾄが正解。

あ、俺のアカウント入ってる！鬱だ　＿|￣|○

　　　　〃〃∩ 　_, ,_
　　　　　⊂⌒（　`Д´）　＜　感染してるの漏れじゃないよぉ〜！
　　　　　　 ｀ヽ_つ ⊂ノ　
　　　　　　　　　　　　　　ジタバタ

このウイルスってもう日本語ローカライズされてるのかな。
こんなメールがきてて、｢あれ？海外製だよなMydoomって｣と思った。
そうじゃなかったら俺感染しちゃってるじゃん。(例の.dllは無かった)

↓↓↓
あなたが送信したメールは、送信先のアドレスが存在しなかったため
配信できませんでした。

The following email you sent was not delivered, bacause the address
doesn't exist.

-------------------------------------------------
Infoseek http://www.infoseek.co.jp/
Infoseek WebMail http://email.www.infoseek.co.jp/

[email protected]
--- Below this line is a copy of the message.

From:俺アドレス
以下略。(円コードされた文字列がどろどろっと。多分ウイルスのファイル)

ウィルスメールのヘッダで、例えば

Received: from www.(・∀・).com (いかにも末端な文字列.都市.県名.ocn.ne.jp [IP])

だったとして「いかにも末端な文字列.都市.県名.ocn.ne.jp 」と「IP」が一致したら
「いかにも末端な文字列.都市.県名.ocn.ne.jp 」を使ってるユーザーさんが
感染してると考えていいのかのぅ。

「いかにも末端な文字列.都市.県名.ocn.ne.jp 」はメールサーバ

SMTPを話すのはサーバとは限らんがな。

>>289
この場合、メールサーバが偽装されている可能性はあるのでしょうか？

フリーメルなので　ウイルスだって教えてくれたよ？

>>288
www.(・∀・).com 　これはウイルスが偽造したサーバー名
いかにも末端な文字列.都市.県名.ocn.ne.jp 　こっちが出した方のホスト名
IPから自分でホスト名を引いてみて確認してちょ、それで一致したら
やはりそのホスト名の人が感染してます。

>>290
だね、こんかいはのウイルスはsmtp機能内臓のウイルスだから直接
相手のメールサーバへ送信するね。

>>287
それは返信元をあんたのメアドに偽装されたメールが、誰かから[email protected]へ送られたんだけど
[email protected]のメアドは存在しなかったから、
infoseekが日本語のメッセージつけて返信元のメアドに送り返したため、
結局あんたに届いたのじゃないかねぇ。

293ですが >>288さんありがとう。
ホスト名引いたら、ばっちり一致していました。

このヘッダとともにオカンに連絡いれておきますた。
「いかにも末端な文字列.都市.県名.ocn.ne.jp」さんのウィルスが駆除されますように。

>>287
>>294が正解。その日本語メッセージはinfoseekのメル鯖のもの

なるほど。>>294 >>296ありがと。
さすがに一日くらいで日本語版を作る酔狂な人間はいなかった。
俺のアドレスが俺以外の誰かもしくはBBSやwebから漏れ、使われた。
俺のPC自体はとばっちりで変なメールをinfoseekから受け取っただけ。
っていう三点が理解できた。重ねて感謝。

>>297
>俺のアドレスが俺以外の誰かもしくはBBSやwebから漏れ、使われた。

ウイルスよりこっちのほうが大問題なのでは・・・

そのアドレス宛に自分の別のメールから転送してるものとかないの？

shinchan.lighthouse.or.jpの管理者の方は速やかにウイルス対策してください。
もうあなたからのウイルス飽きました。

>>298
あー、むかしFFなんぞを書いたことがあって、その投稿先サイトの
作者連絡先をクロールされて収集されたんじゃないかと推測してる。
んで、なら仕方ないかと諦めてる。そのアドレスはほとんど表に
出していないし、転送元の別アドレスといえば携帯くらいだし。
心配かけてすまん。

>>298
そりゃ大問題だが今更驚かれてもな。感染先のHDDを漁ってメアド
らしき文字列を収集してウィルスメール発信するのは最近のワーム
の標準機能。

WEBにアドレス公表したりしなくても、誰かにメール出しただけで
アドレス帳にメアドが残ってしまう。そのマシンにウィルスが感染すれ
ばメアドを拾われてしまう。どこにもメール出さなければ絶対にメアド
拾われないですむが…

俺の会社にもＤＱＮからウイルス送るのやめろって
メール北よ。頼むからIPの逆引きくらいしてくれよ
こっちはそのせいでメールサーバーのログ調査したり
１日仕事出来なかった

>>235
遅レスすいません。
アドバイス通り、ゲートウェイにEtherealをインストールして、
外部のSMTPサーバにアクセスしているPCを特定しようとしたのですが、
ちょっとトラブってしまってインストールできませんでした（＾＾；

そこでとりあえずLAN内の感染していないことが確認できたマシンのみ
ゲートウェイを通過できるように設定しました。
感染したマシンを特定するのは時間の問題なので、
しばらくこれで様子を見ようと思います。

アドバイスありがとうございました。

>>297
> 俺のアドレスが俺以外の誰かもしくはBBSやwebから漏れ、使われた。

自分のメアドの＠より前の部分に、>>283の名前のどれかが入ってるんじゃない？
英語風の名前を使ってると、誰にも公開していないアドレスであっても送られてくるよ。

うちはリストに入ってる名前なので、じゃんじゃん来てます。

>>304
どうもそうとは限らないようだよ
実際に俺に来たのは、普通に知り合いのメアドだった。

いくつか類似したのがあるみたいだから、その辺で違うのかもね。

携帯にもきてました
オーバーフローしていましたが・・・

宛先について
１．検索したメアドをそのまま使う
２．検索したメアドの＠より前を>>283の名前にして使う
の2パターンあるみたいだね。

偽装送信元も１．２．の両方のパターンがあるようだ。
俺は送信元が１のパターンになってるものはまだ来てないけど・・・

>>305
リストに入っている名前だとたくさん来るし、誰にもしえていないアドレスにも来る、
でも、普通に収集したアドレスも使う、

という感じじゃないかな。

とりあえずうちは、リストに入っている名前なので、
MAILER-DAEMONからドカドカ送ってくる。

うわ、被った。

>>308
お先に失礼。


俺も直に送ってくるものの他に、送信エラーで来るものがちらほらと。
ということは、俺のメアドが送信元として知らない誰かに届いてる可能性はかなり高い・・・
送ったのは俺じゃないんだよおおおヽ(`Д´)ノ　

>>283に名前があると名前ない人より多く来るんですかね？俺バカなんでさっぱりっす

よりバカな人には来るらしいですよ？

ウイルス「マイドゥーム」、偽装の海保アドレスで発信
ttp://headlines.yahoo.co.jp/hl?a=20040129-00000316-yom-soci

アドレスが偽装されていないやつって、よっぽど友達がいないやつぐらいじゃないか。

なんか晩になってから急に30分に1度くらいのペースで勝手に再起動するようになるわ、
「あなたが 〜@〜.ne.jp 宛に発信したメール(添付ファイル: data.scr)にウィルスが検出されました。」
と、警告メールはくるわ。トレンドでオンラインスキャンしても無反応でお手上げ…。
AVGは1日1度は更新してるし、ZoneAlarmも入れてたんだけど、防げないものなんでしょうか。
一応調べてみてMIMAILが作るファイルとかなかったし、
レジストリにも何も変化はなかったんだけど、やっぱり無関係なんでしょうか。XPです。

sarcj.htmとthreats.exe添付で
本文が「END HERE」となってるのが来てたけど同じものかな？

クリーンインスコしたばかりのＰＣにウイルス入りメールが大量に来て実に不愉快である

>>304
ドイツ語だったりするんでリストに入ってないはず。だいじょぶ。
それよりも>>310の後半みたいな事態の可能性にちょっと鬱ま

いつも毎回、４つ位まとめて来るんだけど、
今の４つの内１つは僕から僕へ"test"という件名で来たYO!
アホな!

>>313
ニュースにするような事だろうか・・・・

>>319
まぁ、送信元を偽るということを知らない人も多いから、それはそれでいい。

無駄に叩く輩がいるからねぇ

>>320-321
それは、そうなんだけどね
ニュースにするなら、

「発信元偽造で注意を喚起！
　〜海上保安庁のメールアドレスの偽装も〜」

てな感じの方が正確だと思う。

本来なら海上保安庁のメールが偽装されたのが主題ではなく
偽装するウイルス蔓延が主題のはずなのに、本末転倒のような気がしてね。

亀レスすまん。ご返事いただいた方ありがとう
もういっこ質問させてちょーだいませー

>>267参照してね
サトナカがウイルス感染した場合。
サトナカのメールアドレスのまま、イワキに送ることも余裕であるの？
もしあるなら、
（ヤマダのような第三者偽装するのか、サトナカのアドレスのままで送る）
その、割合はどんなものなの？

東○大学の大学院とか、住友○工のめる鯖から発信されてきますた

>>324
メル鯖から発信されてこないよ今回のウイルスは
ヘッダーのReceivedも偽造するんでもう一回見てみ？

Received: from mx.なんじゃら.co.jp (ppp.なんじゃら.ne.jp [202.211.xxx.xxx])

mx.なんじゃら.co.jp　←　ここの部分は偽造
ppp.なんじゃら.ne.jp 　←　IPから引かれたホスト名　出ない場合もあり
202.211.xxx.xxx　←　ここが実際に発射したホストあるいはルータのIP

>>323
それは、確信じゃないけど、サトナカのメアドに特定の文字列を加える
場合はあるっぽい。
可能なら、イワキに送られたメールのヘッダーを上を参考に確認すると
よろし

>>325
Whoisで検索したら○京大学ってでました。

阪神星野前監督のHPにあるメアドに俺のメアドを送信元としてメールが送られていたらしく、
相手サーバーのアンチウイルスシステムがシャットアウト、俺のメアドに警告文を送ってきました。
俺じゃないって・・・(´･ω･`)


大体同じ時間帯、IP見ると同じプロバイダから送ってきてるから
犯人は１人だろうと検討が付くんだけど、そいつが誰なのかが全然わからん。
知らせる手段も無いしな・・・(´･ω･`)

>>263
昨夜一晩で、一気に500通突破した。
疲れた、メアド替えますわ。

＞犯人は１人だろうと検討が付くんだけど、そいつが誰なのかが全然わからん。

ヘッダ見たら？

知り合いのAhooユーザーに聞くとまだ1通も来てないつーんだが、
しかし俺（OCN）のところへはあほーからわんさと来てる。

おい損、自分とこのユーザーへ届けるメールからはウィルスひっぺがし
てんならなんで外へはゴミ垂れ流してんだYO　ひっぱがせよ。同じ手間
じゃねーか。

俺のとこにはタワー〇コードから何通も来てる。

今HP見に行ったら落ちてた。
相当な数の警告が届いてたんだろうな。

>>330
偽装ではなく？

>>329
だから、ヘッダ見たら、Fromはもちろん偽装だし、
Received欄のIP調べたら某プロバイダを使ってるぐらいしかわからんのよ。。。

SMTP内蔵型だとヘッダすら信用できん

>>335
IPは信用出来る。

10時半くらいからウイルスがいきなり激減したけど
うちだけ？

>>334
プロバイダに直接文句言う。

メアド変えました。

変えた後に気付いたけど、リストに入ってる名前だったので
俺側が変更しても俺の元アドレス使ったメールは送られ続けるわけで
自分に対してだけ来なくなるってだけだったのか・・・

気にいってたメアドだったのに・・・後悔。

>>337
プロバイダが対応したとか？

>339
気に入ってるアドだけど、単純なアカウントだから
また、別のウイルス発生の時にも被害に合いそうな悪寒。
自分もメアド変更検討中です。

トレンドマイクロが折れました（ｗ
　　　　　　↓
「WORM_MYDOOM.A」(マイドーム）はパターンファイル749以前をご使用の場合、
「WORM_MIMAIL.R」として検出します。

ヘッダー見てみたいよ。
誰かサンプルで良いから送ってたもれ。

うちに遂にウイルスメールｷﾀ━━━━━━(ﾟ∀ﾟ)━━━━━━ !!!!!

某大学のサーバから来たっぽいので
当該大学には注意を入れくことにします

1通も来ない(　´･ω･)

>>345
プロバはどこよ？

>>346
BIGLOBEです。

>>340
社内メールサーバだから関係なさそう。

>>343

Return-Path: <>
Delivered-To: [email protected]
Received: (qmail 18373 invoked by uid 653); 30 Jan 2004 12:01:09 +0900
Delivered-To: [email protected]
Received: (qmail 18334 invoked from network); 30 Jan 2004 12:01:09 +0900
Received: from unknown (HELO xxx.xx.jp) (127.0.0.1)
by localhost with SMTP; 30 Jan 2004 12:01:09 +0900
Received: (qmail 11212 invoked from network); 30 Jan 2004 12:01:22 +0900
Received: from unknown (HELO xxxxxx.xxx.net) (xxx.xx.63.239)
by relay.xxx.xx.jp with SMTP; 30 Jan 2004 12:01:22 +0900
Received: from netmgrts.cso.niu.edu ([131.156.126.2])
by xxxxx.xxx.net with esmtp (Exim 3.36 #2)
id 1AmOuH-00052s-00
for <[email protected]>; Fri, 30 Jan 2004 12:01:21 +0900
Received: from localhost (localhost)
by netmgrts.cso.niu.edu (8.12.10/8.12.10) id i0U31Jjo029452;
Thu, 29 Jan 2004 21:01:19 -0600 (CST)
Date: Thu, 29 Jan 2004 21:01:19 -0600 (CST)
From: Mail Delivery Subsystem <[email protected]>
Message-Id: <[email protected]>
To: <[email protected]>
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="i0U31Jjo029452.1075431679/netmgrts.cso.niu.edu"
Subject: Returned mail: see transcript for details
Auto-Submitted: auto-generated (failure)

>>348
鯖管がパターンファイルアップした。

>>350
ごめん、漏れが鯖管のようなもの、でした。
情報小出しで申し訳ない。
またポツポツ増えてきたから、たまたまでしょうかね。

>>351
そんなに大勢が感染しているわけではなく、少数の感染者がある程度固定的な
サーバに対してメールを乱発しているのではないかな？
漏れのサーバに対する攻撃者は今のところ３名の模様。
そのうち一人が、電源入れたり切ったりバシバシしているらめか、非常に
アクティブです。
頼むよ＞OCN (*sigh*)

>>349
おぅサンクス！！
偶然かしら、W32.Novarg.A@mmが飛んで来たよ・・・・。
オマケに「ご融資のご案内」メールまで届いてるぞ。
さすがは２ｃｈだよな。

>>353
ﾜﾗﾀ

契約鯖から管理者宛にごっそり宛先不明メールが送られてきますよ
ヘッダ見てみるとほとんど同じところから
こっちに送ってくるということはこっちの名前使って
あちこちに送ったりもしてるんだろうな…

一攫千金のチャンスですよ！！！
↓↓↓↓↓↓↓↓↓↓↓↓

Microsoftは米国時間29日、MyDoom.Bをリリースした犯人の逮捕ならびに有罪判決につながる情報に、
25万ドルの報奨金を出すことを発表した。

http://headlines.yahoo.co.jp/hl?a=20040130-00000007-cnet-sci

ﾒｰﾙｻｰﾊﾞのﾊﾟﾀｰﾝﾌｧｲﾙ更新は深夜だけでいいや､って適当に設定してたら
社内中に広まっちゃってｴﾗｲ目にあったよ

ヤフーノフリーメールに自分の名前で届いたりﾒｲﾗｰﾃﾞｰﾓﾝやら届いてます。
添付ファイルは見てないけどこれって感染してますか？
無料ワクチンってあります？

来たウィルスのうち宛先不明で戻ってきた奴を除いて
Received fromのIPを見ると全部同じ地方プロバからみたいなんですが
そこにｺﾞﾙｧしてもいいんですか？

>>358
感染しているとは限らない。
駆除ツールならある。
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

>>359
丁寧になら良いと思われ。
って、多分そいつだと思います。

俺がウイルスメールを送ったとして
プロバイダ・ぷららから配信拒否のメールが来た。
俺はバスターを常に更新してるし、26日以降、本アドでメールは送ってない。
アドレス帳に俺のを登録してる椰子が感染したのだろう。

俺が自首すれば２５万ドルもらえるのか？

>>357
俺も気になってチェックしたら、早朝１回のみの更新でした。
ヽ(`Д´)ﾉ 設定したの誰だよ!!


>>362
それってさ、メールのfromだけ見て判断してるのか？

>>362
漏れもだ。NAV使用。

>>362
アンチウイルスソフトを入れているから大丈夫という考えには、賛同できない。
まぁ、ぷららがクソな可能性の方が高いんだけどさ。

>>366
大丈夫なんて断定してないよ。
つーか、出張でPCの電源も入れてない期間中に
どうやってウイルスを送れるのかってことだ。

>>367
会社のPC?
誰か勝手に使った可能性もあるな。

繰り返すが、ぷららが誤爆した可能性のほうがはるかに高いけど。

>>367
そらふざけてるなぁ。イカルべし。

27日の怒涛のアップデート攻勢を受けた翌日から出張し
昨日帰宅してみりゃ「配信拒否」

>>370
ぷららのメル鯖官、ナニやってんだか（ｗ

>>368
自宅に置いてるデスクトップ機。
>>371
ぷららに報告メールを送っときました。

風呂入って気分直すかな・・。

知り合いのメアドから来た
ウチのメアドも使われている模様
仕事仲間の誰かが感染したなこりゃ

>359
>Received fromのIPを見ると全部同じ地方プロバからみたいなんですが

それで感染者って特定できるの？

>>374
わかんないだろうね。
プロバにｺﾞﾙｧして調べてもらうしかないんじゃないの？

別件で、某プロバサポに電話ついてでにウイルスの問い合わせしてみた。
100通に1件ぐらいの割合で、リターンのメールにつき
プロバのウイルスチェックをくぐって
ウイルスが到着します・・・と、言ったら
うちのサーバーを通っているのは全部チェックしてるから
そんな事はありませんといわれた。
じゃあ、なんでうちにくるんだ？と、小1時間。
なんだかな・・・。

　　　　　　　　　　　　　　　　＼　│　／
　　　　　　　　　　　　　　　　　／￣＼　　 ／￣￣￣￣￣￣￣￣￣
　　　　　　　　　　　　　　　─（ ﾟ ∀ ﾟ ）＜　まいどぅ〜む！
　　　　　　　　　　　　　　　　　＼＿／　　 ＼＿＿＿＿＿＿＿＿＿
　　　　　　　　　　　　　　　　／　│　＼
　　　　　　　　　　　　　　　　　　　 ∩ ∧　∧　　／￣￣￣￣￣￣￣￣￣￣
￣￣￣￣￣￣￣￣＼∩ ∧　∧　＼（ ﾟ∀ﾟ）＜　まいどむまいどむまいどむ！
まいどぅ〜む！！！ ＞（ ﾟ∀ﾟ ）/ ｜　　　　/　＼＿＿＿＿＿＿＿＿＿＿
＿＿＿＿＿＿＿＿／ ｜　　　 〈　｜　　　｜
　　　　　　　　　　　　　 /　／＼_」　/　／＼」
　　　　　　　　　　　　　 ￣　　　　 / ／
　　　　　　　　　　　　　　　　　　　￣

>>360
アリガトゥーーーーー！！
ＤＬして検査したところ感染していなかったようです。
よかった。(´Д⊂

全然知らない人から自分が送ったと言われて返信されてきた。。
もしかしてこれかな。。
どういった経緯で感染してしまうんだろうか？
全然感染するようなことした記憶がないのに。。。
ホットメールブラウザ上で見てたからかな。。。

これってzipファイルの中にあるpifファイルやらscrファイルを実行しなきゃいいんだよな・・・？

>>379
MYDOOM感染確認方法：
＜Windowsシステムフォルダ＞（注1）に以下のファイルが作成される
これらのファイルが存在しなければ感染していないので安心してよい。

MYDOOM.Aの場合
　CTFMON.DLL
　EXPLORER.EXE　（注2）
MYDOOM.B の場合
　shimgapi.dll
　taskmon.exe

（注1）
Windows9x/Meの場合、システムフォルダ＝　Windows\System
WindowsNT/2000の場合、システムフォルダ＝　WinNT\System32
WindowsXP の場合、システムフォルダ＝　Windows\System32

（注2）
本物のExplorer.exeはWindowsまたはWinNTディレクトリにある。間違って
削除しないよう注意。

>>381

自分379さんじゃないけど、わかりやすい一覧ありがとうございました。

バスター2004常駐させてるし、不審メールは添付ファイルなくても削除してるけど、
ここんとこ何通も届いて不安だったのよ……
うちのところは感染してないようでよかった。でも気が抜けないのが鬱。
　

>>381
どうもありがとうです。

>>381
丁寧にありがとうございます。
なんとか感染してなかったようでホットしました。

28日の17:58から、ものすごい勢いで到着。
今の総数130通。catch all設定してるんで、
全部架空メアドで受信されてる。もうおなかいっぱい。

今どき末端ユーザーでもFrom行だけ見て文句送るのはDQN

今どきメールサーバーからワームの警告をFromに返すのもDQN
本文も添付もそのまま返すものは論外！！！！なDQNDQN！

>>381
僕のWin98には、"Windows\system\Ctfmon.exe"ってあるけど、
どうなのかな?

ダー！！
ウゼェこのウイルス！！！

借りてる無料鯖に付いてた使ってないメアドにウイルスそのまま返信の
エラー通知メールが何通も来る。
つーか、俺以外誰も見てないサイトのアドレスが何で使われるんだ。
他のユーザーもコレ来てるのか！？

それ以前にメール転送無効にしてるのにどーして転送するんだよエクスリア！！！！！

やっぱり添付ファイルは禁止にしないとな

>>387
拡張子が違うのもわからんのか！？

今こうして感染しているみたいなんだけど、どうしたらいいのでしょうか?
ADSLっていう便利なネットワークに加入したら、世の中VirusだとかWorm
だとか蔓延しているそうじゃないですか!
深夜にVirus Killerを買いにも行けないので、明日から徹底的に駆除します。
俺の中のWormも今夜限りの命サ。はっはっは!

>>391
被害者というのは変。
なにも対策をとらずに感染し、被害を与えているあなたが加害者です、
というのが今の常識。

それに、ADSLにしたからウイルスが来るわけじゃない。
アナログダイヤルアップでも全く同じです。

釣りだったかな？

初めてのインターネットで、世界中からメールが沢山来て
嬉しくなって、つい添付を全部開いてしまったのです。
もちろん、何人かの方にはお礼の返信メールも出したのですが、
宛先不明で何件か戻って来てしまいました。

>>393
> もちろん、何人かの方にはお礼の返信メールも出したのですが、
> 宛先不明で何件か戻って来てしまいました。
素敵な人生を送ってますね。

>>394
393MyDoom被害者(深刻)はキャッチバーで身ぐるみ剥がされるタイプと見た！

インターネット初心者なので、よく分かりませんが。
このMyDoomっていうソフトをいろいろなHomepageで
読んでみたら、パソコンの通信速度がすごく低下する
みたいですね。
こうしている今もまたメールが届いたのですが、さすがに
開くのが心配になってきました。ひとまず電源切って
最初から起動し直してみます。

いんたーねっつしょしんしゃ

いくらなんでも>>396これは釣りだろう。

釣りでなかったら回線（ｒｙ

>>396
そもそも初心支社の来るところじゃないだろ>>ここ

ここは初心本社の来るところです。

うちのＨＰにあるフリーメールのアドレスが偽装に使われたみたいだ。
正直、自分がウイルスばらまいたみたいで、実に不愉快。

こんな記事も。。
http://headlines.yahoo.co.jp/hl?a=20040130-00000790-jij-soci
http://headlines.yahoo.co.jp/hl?a=20040129-00000006-vgb-sci
http://headlines.yahoo.co.jp/hl?a=20040130-00000187-kyodo-bus_all

>>400
釣りカウンターか・・・・・やるな

初めまして、初心者の為教えて頂きたいことがあります
下記の様なメールが来たのですがサイズからしてウイルスとかあるのでしょうか？
送信者、タイトル等でわかる方いましたら回答お願いします。　
mamebouz777 Hello,eager to see you 2004 1/31(土) 01:32 218KB

>>403
タイトルやサイズのみで判断しては駄目
最新のパターンファイルでウイルススキャンしろ！

>>377
http://www.mydome.jp/mydomeosaka/　阪大のやつか？
本来のdoom[du:m]運命　死滅　死　判決
doom'day 世界の終わり　最後の審判の日　→だからまあ違うだろう。キリスト教
圏の人間だな。ヤンキーかフィリッピーナか。

>366
plala使ってる漏れの所には1通も届いてないから良しとする。

>>403
どんな高機能ルータ、セキュリティソフトを入れていてもユーザーが
ウィルスファイルをダウンロードして実行してしまえば防ぎきれるもの
ではない。メール拡散型ウィルスの予防はユーザーの心構えが第一

★心当たりないからのメールは絶対に開かない。速攻削除★
　ウィルス60%、スパム39%、間違い＆いやがらせ1%
　だいたい知らない相手からのメールを開いてどうするんだ？
　エロDVDや鉛鉱のスパムでも期待してんのかｗ

★添付ファイルは裏が取れるまで開かない★
　もし知人からのメールだったら「何を添付したのか？」とメールする。
　確認が取れるまで開かない。現在のウィルスはFromの詐称は
　常識。

From詐称されたアドレスにワーム付きでリターンさせるOCN逝ってよし！
あまりに同一人物からのワームも多いのでついでに抗議しといた

>>408
ODNなんか「ご注意ください」メールを一斉送信して、
「この機会に是非ODNのセキュリティサービスのご加入をご検討ください（200円/月）」
なんてちゃっかり宣伝してやがる。

加入してないといつまでも垂れ流し。

XP+ADSL環境でMcafee使っているんですが、メールソフト動いていないのに、
さっきから「ｃ：￥System Volume Infomation\_restore*****」
にて、Mydoom.aが見つかりましたとうるさい。

ドライブをスキャンしてもひっからないし、なんだろう？

>>410
システムの復元が有効になってるからだろ？

システムの復元切って削除しろよ
復元用バックアップに取り込まれてるんだよ。
つうか最初からフォルダごと除外してろ。

警告メールじゃなくてウィルス添付メールｷﾀ━━━━(ﾟ∀ﾟ)━━━━ !!!!!

届いた4通全てメアドこそ違うけど、送り主は同じ人のようだ。
そういうパターンが多いのかな。

>>413
俺もそんな感じ。今のところ1人から。
最初は「お、ｷﾀ━━━━(ﾟ∀ﾟ)━━━━!!! 」と思ってたんだが、
数日経つと「早く気づいて対策しろ(　ﾟДﾟ)ｺﾞﾙｧ」と思ってしまう。

FWのログを見たら、さっきからもの凄い勢いでport1214が叩かれてる

アイテック阪神のIPアドレスからこのウィルスが何度も来る。
詐称してるFrom行は@sangiin.go.jpとocnの政治家アドレスばかり。
産経の地方支局メアドもあった。こういう場合はアイテック阪神に
文句言ったほうがいい？

対策しろゴルァメールがきて
ヘッダが晒してあってホストが漏れのとあってるっぽいんだけど
受信した瞬間にホスト調べて本文生成するの？

それとも本当に感染してる？

>>417
マジかよ。漏れホストのプロバにｺﾞﾙｧしちゃったよ。

Anti Virusをインストールしようとしたのですが、
MyDoomが邪魔をしてうまく行きません。
なんか、インストールしてもしても削除されてしまうのです。
MyDoomより強いソフトを買い直した方がいいのでしょうか?
プロバイダからも「あなたはMyDoomに感染しています。早急に・・・」
みたいなメールが来たのですが、そういうメールも別のMyDoomから
飛んで来たに違いありません。破棄しました。

Yahoo Japanからキタァーーー！
なんで、ただの市民しかすぎない僕に送ってくるの?

質問ｽﾚから誘導されてきました
↓って多分これのことなんですね・・・

---
何か、メールチェックしたら、転送用アドレスあてに

差出人：　[email protected]
件名：　　Hello
添付つき

というメールが来てた。
ケータイインプレスは見てたが、アドレス登録したことはないし
なんで、インプレスのco.jpから英語件名なのかわからんので削除した

同じのきたやつっている？
---

れしーぶも詐称されてる可能性が大いにあるので、見切り発車で（ﾟДﾟ）ｺﾞﾙｧ
するのはやめた方がいいと思うよ。ということはかなり上でも言われてるわけ
なんだがみんなせめてこのスレくらいは読み直さないのか。

>>419
レジストリの書き換えられた部分を削除してそれからファイルを削除しないとだめですな。

>>419
インストールする前にCDからウイルススキャン奨められるけど？

>>417
感染して確率９９％

>>420
他の普通の市民がYahooのアドレス載ってるページを見たことが
あるので、それと送信元と偽って送ってきてるだけ。

>>419

ネタつまらん。
ウイルス送りつけた相手にお礼のメールをしたなんて話を信じるやつがいると思うか？ｗ

>>425
Kerioで見ても何にも送信してないし、
WINDOWS、Programフォルダ検索してもなにもないし
感染したのかなぁ。

ただ英語のゴルァメールが2通きて、両方とも本文に
recievedが晒してあってocnであってるんだよなぁ
(((( ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

Received:のsmtpサーバー名は詐称されたり踏み台があるが、
どうやら接続IPはあってるようだ。
よって>>325の方法で感染者の利用ISPは絞れる。

っつーかうちに届いたものは28日から今日まで一人からｗ
常時接続でIPがずっと一緒なのでわかりやすい。

>>427
差し支えない範囲でヘッダここに晒せる？

この>>396釣り師が
【正式】ウィルス情報＆質問　総合スレッド☆Part15
http://pc.2ch.net/test/read.cgi/sec/1068311899/445
を荒らしてる。ということで>>398が正解ｗ

>>429
消しちゃいますた。
だれかゴルァしてくれ(´・ω・`)

>>427
自分が感染してるかどうかの確認は>>381

>>432
ないですね。
別のウィルスか、偶然アドレスとホストが一致したのか。

ゴルァを装ったウィルスかも。ノートン反応したし。

>>396の「MyDoom被害者(深刻)」マルチ釣り野郎が…
【正式】ウィルス情報＆質問　総合スレッド☆Part15
http://pc.2ch.net/test/read.cgi/sec/1068311899/449
調子こきすぎてゴルァされてまつｗ

>>414
また同じヤシからメール来たよ（もちろん違うアドレス）。
これが続くようになるとうざくなるんだね(´･ω･`)

ここでも繰り返し話題に上ってるけどプロバイダーに連絡した方がいいのかな？
それともこっちが我慢して、そのままメール受け取り続けるべきなのか…悩むな

>>414
俺んとこも10通くらい同じヤツだったんで
プロバイダに文句送っておいた。
OCNだから対応は期待してないがなｗ

ウィルスメール10通に対して１通抗議メールを出すと
10%トラフィックを増加させることになる。同じプロバから
の100通につき１通抗議するということにしたらどうだろうｗ

大分減ってきたな、と思ったら、土日休みだからじゃねーか。

>>437
その計算だとすぐに止まれば90%オフってことですね

あー、SCOのサイトは重くなってますね。
ということは第二の症状が始まったのですね。
時差の関係上、既に2月1日になった地域からDDOS攻撃が.......

激軽ですが？
http://www.jp.caldera.com/

夜も遅いし、いい子だから早く寝なさい。

ネットセキュ板なんて来ないのに
メールボックスがこいつでいっぱいになってたから来ますた。
プロバのメル鯖大忙しっすね。

ウィルスがなければu-tokyoからもらうことなんてまずないのにな。
メアドでぐぐったら折れと同じ趣味のページの掲示板に投稿されてたので
ああ、ここでつながってたのかと不思議な縁を感じるｗ

>>443
u-tokyo記念にとっとけ。古賀っちなら「私は一方で東京大学の通信課程を（ｒｙ

また同じヤシからメール着たけど、タイトルが　Yfplkfmwype　だった。
意味不明のタイトルのもあるんだ？

うちにも mjfnfmu ってタイトルのがあるｗ

>>445
MYDOOM.Aはときおりランダム文字列の件名も生成する。
このスレパート１だからテンプレがなくて不便だな…ｶﾞｲｼｭﾂ
だが再掲。

解説はトレンドが詳しい
MYDOOM.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A
MYDOOM.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.B

MYDOOM感染確認方法：
＜Windowsシステムフォルダ＞（注1）に以下のファイルが作成される
これらのファイルが存在しなければ感染していないので安心してよい。

MYDOOM.Aの場合
　CTFMON.DLL
　EXPLORER.EXE　（注2）
MYDOOM.B の場合
　shimgapi.dll
　taskmon.exe

（注1）
Windows9x/Meの場合、システムフォルダ＝　Windows\System
WindowsNT/2000の場合、システムフォルダ＝　WinNT\System32
WindowsXP の場合、システムフォルダ＝　Windows\System32

（注2）
本物のExplorer.exeはWindowsまたはWinNTディレクトリにある。間違って
削除しないよう注意。

なんか大手企業のアドレスも多いな（偽装だろうけど

>>448
そうだね
うちには官庁（海保じゃない）、スポーツ新聞社、旅行業者のアドで届いてる

宛先不明で返すメールは、せめて添付ファイルなしにして欲しいよな。
ウイルスまでくっつけて送り返すことはないだろう。
おれが感染してるんじゃないのにさ。

偽造されてるfromは、お役所とか大学なんか多いな。
acとかgoとかprefを優先に拾うのかな？

初歩の初歩の質問なのですが、どなたか教えてください（＞。＜）
一年前ぐらいに、メールのウイルスがはやった時に
トレンドマイクロさんのＨＰで
メールを２回クリックしないと、開かないように設定するのが
あったと思うのですが、今トレンドマイクロさんのＨＰみたのですが
見あたらないのです・・・（＞。＜）
どなたか、知ってる方いらしゃったら、教えてください。

ＢＩＧＬＯＢＥからﾒｰﾙきました。送信者の詐称ってこれも？
俺のＰＣはノートンの最新でスキャン済みなんですが。（未感染）

あなたが発信したメールからコンピュータウイルスが検出されましたので、
次の何れかの方法で対応して送信しました。
　１．当該添付ファイルからコンピュータウイルスを駆除
　２．当該添付ファイルを削除

検出日時 ： 02/01/2004 11:58:18
発信者 ： 俺のメアド
受信者 ： [email protected]
ウイルス名 ： WORM_MYDOOM.A
感染ファイル名： document.scr

※ウイルスの種類によっては、感染コンピュータ内で取得した任意のメール
　アドレスを「発信者(From)」として設定する場合があります。
　「発信者」として設定されているメールアドレスを登録しているコンピュ
　ータが、ウイルスに感染しているとは限りませんのでご了承ください。

やっぱ下四行だろ

DOS攻撃ってUTCの16時から？

Received: from smtp.telenor.se (lyta.telenor.se [213.150.135.139])
by ***
Received: from valeriana.tninet.se (valeriana.tninet.se [213.150.135.49])
by lyta.telenor.se (BMR ErlangTM/OTP 3.1) with ESMTP
id 84878.869458.1074.0s7966157lyta for <[email protected]>
; Fri, 23 Jan 2004 15:50:58 +0100
Received: from mailgw.tninet.se (delenn.telenor.se [213.150.135.134])
by valeriana.tninet.se (Postfix) with ESMTP id F3A8D1026
for <[email protected]>; Fri, 23 Jan 2004 15:50:55 +0100 (MET)
Received: from PC1 (82.102.112.219.ap.yournet.ne.jp [219.112.102.82])
by delenn.telenor.se (BMR ErlangTM/OTP 3.1) with ESMTP
id 959286.869457.1074.0s5019801delenn for <[email protected]>
; Fri, 23 Jan 2004 15:50:57 +0100

>>452
お前、毎朝新聞に入ってくるチラシ、みんな読むか？
シカト、シカト。

>>451
Outlook Expressでプレビューウィンドウを表示させない方法
http://www.trendmicro.co.jp/bugbear/olnoprv.asp

>>453>>456
ありがと。
俺にとってｳｲﾙｽ関連ﾒｰﾙは初めてだったもんで。

まあ、メールソフトにはoutlookを使わないということにしてしまうのが、とりあえずの方策かと。

そりゃOSインストールして無料でついてくれば、『ラッキー♪わざわざ買うことないジャン』と
考えますけど、ウイルスを流行らせようとする人たちはそこにつけ込むわけでして。
ソフトの構造上プレビューができないAL-MAILを使うとか、単にインストールしただけで特に
設定しなくてもデフォルトでプレビューされないBecky!を使うとか、そういった工夫は試して
見る価値はあると思いますよ。

で、ウイルスのことばかりに目が行ってて肝心のDOSに喰っているttp://www.sco.com
ですが、サイトが表示されずにタイムアウトを繰り返しますね。
mydoom.bもa型同様に感染PCが世界中に広まっているとすると、2月3日からはMicrosoft
のサイトもうまく開かないかもしれませんねぇ。

/天下のマイクロソフトのサイトがおかしくなれば、さすがにマスコミが騒ぐかな...

これって携帯にも送られてくるかな？
なんか知らないメールが携帯の題にhelloって
添え付きファイルは削除されてたけど〜〜
内容は　test　だけでした

■２ちゃんねる閉鎖だってよ。
http://news5.2ch.net/test/read.cgi/newsplus/1075593174/595-596

595 名前： 名無しさん＠４周年 投稿日： 04/02/01 12:31 ID:pYo6O9H3
　　　　　　　２ちゃんもう閉鎖するって本当？

596 名前： ひろゆき ◆3SHRUNYAXA ＠どうやら管理人 ★ [sage] 投稿日： 04/02/01 12:31 ID:???
　　　　　　　>>595
　　　　　　　本当。

■関連ｽﾚ
□祭りｽﾚ
　http://news4.2ch.net/test/read.cgi/news/1075626311/
□議論ｽﾚ
　http://news5.2ch.net/test/read.cgi/newsplus/1075626192/

>>460
感染者のPC内にアドレスがあれば携帯にも届くと思うよ。もちろん感染はしないけど。
ワーム作者は日本の携帯メールのドメインなんて気にしてないだろうｗ

なるほど！！ありがと＾＾

>460
当然可能性あるっしょ
感染のしようがないけどね

■■■■■■　質問する前に　■■■■■■

　最　初　に　必　ず　こ　れ　を　読　め　！　！

MYDOOM.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A
MYDOOM.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.B

●Fromは詐称されているので自分宛のエラー（リターン）メール＝感染とは限らない！
送られてきてもFrom宛に返信でｺﾞﾙｧするのもやめれ！友達なくすぞ。
実際の感染者の推測方法は>>325参照

●取り急ぎのMYDOOM感染確認方法
>>381参照。実際の削除は慎重に！

●最新定義ファイルの入ったアンチウイルスソフトも忘れるな！
とにかくここでオンラインスキャンでもしとけ。飼育したいヤツ以外は見つかったものを全て削除
http://www.trendmicro.co.jp/hcall/index.asp

●感染していたら回線切れ！電源入れる度に他人に迷惑かけるぞ。

>>459
Operaにはメーラー機能がついてる。普通に使えるぞ。Opera
使えばOutlookの脆弱性だけじゃなくIEの脆弱性にもつきあわ
ないですむ。根本的解決だ。どうしてもIEじゃないと見れない
サイト（めったにないが）だけIEで見ればいい。正式版7.23だが
7.5ベータも公開中。今この7.5ベータ使ってるが非常に快適。
http://www.jp.opera.com/

>>461
ｳｻﾞｲ。おろゆきの「かまってくれ病」なんか痛いニュース板でやってろ

さっき、メール発信元のプロバイダーに苦情メール送ったせいかな？
漏れが送信者になってるウィルスメールが漏れに来た…

>>459
今回のウイルスはメーラーがなんだろうと関係ないじゃん
対策としては、アンチウイルスソフト入れて最新パターンにするくらい。

今回のウイルスは、ちょっと知ったかの奴が、添付ファイルが実行形式じゃないから
（実は実行ファイルに見えにくいだけ）なんだろうとクリックしまくったのが急激に
蔓延した原因の一つだよ。

>>466
漏れもOpera使っているんだが付属のメーラー、メールの振り分けできる？
できないと聞いたことあったし、またヘルプや設定見てもできなさそうだったんで
メーラーはThunderbird使っているんだが。

漢のメーラーはtelnet。

調べてみたらできるみたいね。
漏れはいったい何と勘違いしていたんだろう。。。

知ったかクンのワンパターンOE叩きが見事に玉砕（ｐ

さてと、B型のほうは2月3日からでしたねぇ。
A型同様に感染PCの日付を基準にするから、国内での感染数によってはあと16時間ほどで
ttp://www.microsoft.comがってところかぁ。

ttp://www.sco.comは相変わらず駄目だし。

ビルのところに始まった後で、Win製品に重大なセキュリティホールが見つかったとか発表されて
パッチ落とせといわれたら、少し面倒になるのかな。
DL用のURLを直接見に行けば問題ないだろうけど。

2004年2月3日10時9分12秒（UTC）だよ

一通も来ない(´･ω･`)ｼｮﾎﾞｰﾝ　　

気になって調べますた・・・"WINDOWS\system32\dllcache\explorer.exe"ってのがありますが・・・・・、大丈夫でしょうか？？？

ウイルスソフト・・・・。

なんで、鶴亀メールは反応するのに、outlookは反応しないんだろう・・・・。

MyDoomウイルス、一斉攻撃開始--SCOサイトがダウン
http://japan.cnet.com/news/ent/story/0,2000047623,20064064,00.htm

>457さん

ありがとうございますーーー（＾−＾）
できました★
これで快適にできそうです♪

Windows2000なんですが、
C:\WINNT\system32の下に、taskman.exeがあるのですが、
　　　　　　　　　　　　　　　　　　　　　~~~~
これは、正常なファイルですよね。

MYDOOM.Bのtaskmon.exeにファイル名が似てるもんで。
　　　　　　　　　　　~~~~

釣りおめ

ｽｺやっぱりﾀﾞｳｿしたのか…もう4回目ぐらいじゃ?
ｳｲﾙｽもだけど、この会社痛すぎる…

>>484
数十万台からのDDoS攻撃に耐えられるシステムなんて
ないから仕方ないのでは？

>>485
予想された攻撃だったのに
対策を取れなかったのは何故?

うちにも、ものすごい勢いでメールが来る。
もうこれはSCO攻撃したいﾔｼがわざと感染してるとしか思えない。

>>486
発見から１週間で、数十万台の攻撃に立てられるシステムを
構築するのは無理じゃない？
　いくら鯖を強化しても途中の改選がパンクする、回線を強化すると今度は
　それに耐えれる鯖を作らないといけない・・延々と繰り返し

サイトが落ちるとを黙ってみているか、初めから落とすかの２者択一しか
ないんでは？

>>486
基地外マクブライドが被害者づらをして裁判を有利にすすめたいから。
Mydoom→UNIX総統となって世界を征服すべく生まれついた私の運命
初めからマクのｼﾞｻｸｼﾞｴﾝだったかもしれんｗ

このウイルスやばいな。
俺のメールアドレスがMLに登録されまくってる。
**************************************************
あなたのメールアドレスが当MLに登録申請されました。
登録申請時のメッセージ：hi
メールアドレス：俺のアドレス
**************************************************

>>488
一週間っていうか去年の春からやられてるわけだし。
ttp://www.itmedia.co.jp/news/0312/16/nebt_05.html

>>491
DoSとDDoSの違いが判らないアフォはMyDoomに感染してSCOに攻撃仕掛けたら？
それにその時に対策されてたら今回は無事だと思ってるの？


逆に聞くけど、数十万（１０万でもいいけど）のPCからDDoSを仕掛けられて大丈夫な
サイトを知ってる？

>>492

>>491他の言ってるのは、攻撃は予期されていたんだから
SCOは一週間もあればターゲットのドメイン名やIPを変更して
ユーザーに周知させることは楽にできたはず、ということ。
それをしないで被害者ということだけ強調してるから、>>489と
疑われる。

489=493=犬厨のバカ

>>493
ドメイン名やIP変えたところで対策とはいえんだろ？
IPを変えても、ドメインが同じなら攻撃は受ける。
ドメイン名を変えるにしても、1週間でどれだけのユーザーに周知できるか
知れた物じゃないし、ドメイン変えただけじゃ逃げただけと思う奴が多いから
意味ないしね。

バックドアが物凄いことになってる。
http://www.cyberpolice.go.jp/detect/observation.html
sco.comは動いているけどwww.sco.comは立ち直れないかと。

ここらあたりにもUNIXのデスラー総統マクブライドに
憧れてるネオナチがいるのだなｗ　そこらであまり
SCOファンだと公表しない方がいいぞ。お前も
LINUXヲタからつけ狙われるぞ。

SCOがどんなに糞会社だろうと、ウイルス作者は糞以下の奴

SCOだけ狙うならまだしも、DDoSによってインターネット上の障害や
感染したクライアントを修復する個人の労力を無駄にさせている。

万が一に備えた計画を用意しているそうでつが、
ｳｲﾙｽに感染したやつ全員訴えるとかじゃあるまいな。

>>499
ありえる。

>>499
マクブライド総統のことだから感染したヤシ全員に
「営業を妨害されたので賠償金500ドル振り込め」と
メール出してくる悪寒。

既にmicrosoft.comは重い訳だが。。

>>502
そんなに重くないよ？

>「当社の対策として何らかの独創的な判断を
お目にかけることになると思う」とストーウェル氏。

S　C　O　よ　は　っ　た　り　か

>>504
>>499

自分のISPのメールアドレスの他に、yahooのフリーメールを作った。
そして自分の自己紹介のつまらないHPにyahooのフリーメールアドレスを書いた。
そのメールアドレスは、そこにしか使っていない。

yahooのフリーメール宛てに大量にウイルスメールが来る。
つまらんHPを見てしまった椰子がいることがわかって
ちょっとうれしい。

おいおい、忠告しておくがtaskmon.exeはwin使いなら誰のPCにも入っている。
windowsディレクトリーに入っているtaskmon.exeもtaskman.exeもまともな
ファイルだ。taskmonはタスクモニターのこと。

ウィルスが作るファイルはsystemディレクトリーのtaskmon.exeだ。これは
悪質なファイルだ。システム全部をスキャンしてtaskmon.exeを見つけても
うろたえちゃだめだぞ！

>>482
私も同じファイルみつけて半泣きになりましたが、
大丈夫なんですよね？

激しく濡れ衣着せられる・・・鬱
折れじゃなぁ〜〜い！

能登半島の珠洲市役所からウイルスメールが来た。
どういう事？　

>>510
本当に市役所からなのでしょうか？
単にfromに入っているだけでは？

まぁ俺のところには、とある企業の社内から来まして、その会社のIT部門の方に対処して頂きましたが。

>>510
このスレに書き込んだって事は、ウイルスの種類がMIMAIL（MyDoom）だと
判ってんだよな？
それなら、まずウイルスの特徴くらい読んできたら？

ちなみに、こんな報告を頂いてます。海外に拠点を置くような大きな企業は大変ですよ。

>○○○○社・ＩＴセンタの○○です。
>
>ウイルスメール配信に関するご連絡ありがとうございます。
>幸いにも、駆除に成功しており大きなご迷惑をおかけせずにすんでおりほっとして
>おります。
>
>現時点で、私どものほうもワームによるアドレス詐称と思われるジャンクメールが
>大量に届いており、対応に苦慮しているところです。
>
>下記ヘッダー内容から、弊社海外事務所が配信したもののようで、すでに当該事務
>所での処置は終わっております。

うーん、そんな返事くれるなんて上等だな。
ソnetの同じIPからもう何十通も来てｳﾝｻﾞﾘしてんだけど…。
前にほかのウィルスで同じことがあって某大手プロバに対応依頼したら、
必要なヘッダ情報も送ったのに「あんたが感染してんじゃないの?」
みたいなこといわれて、以来、放置を決め込んでいるのだが…

珍しくOCNがきちんと対応してくれたｗ

>この度はお問い合わせをいただき、ありがとうございます。
>OCNカスタマサポート担当 ●●と申します。
>
>ご迷惑をお掛けいたしておりまして誠に申し訳ございません。
>今回お客様よりお問い合わせをいただきましたウイルスメール送信の当該者に
>対しましてはヘッダ情報を元に確認出来次第、苦情が寄せられている旨ならび
>にウィルスの駆除を行うよう、弊社よりご連絡をさせて頂きたいと存じます。
>
>この度の件につきましては、お客様にお手数ならびにご心労をお掛けすることと
>なりましたこと誠に残念でございます。
>心より重ねてお詫びする次第でございます。
>
>ＯＣＮサービスをよろしくお願いいたします。

>>515
気分的にうれしいよね。おめ！

漏れの苦情先からは音沙汰無し(´･ω･`)
ウィルスメールや警告メールは舞い込み続いてるし

ＰＣにもインフルエンザの季節なんでつね。

SOCは別の鯖で運営してますが、何か？

>>581
それを知っている人間が少なくて、www.sco.comへアクセスして飛べなかったら
運営してるとはいえないんじゃｗ
ただ、鯖があるだけ。

質問ですが、最近毎日、添付メールが来ます。
無料でダウンロードできる対策ソフトは何が宜しいでしょうか？

>>520
まずは有償ソフトを買え、そしてもう少し詳しくなってから無償版を自分で探して
どれが良いが判断できるようになってから使え。

どれが良いか、何があるか判らない時点では使いこなせないし、不満が残ったり
設定間違ってウイルスに感染するのが関の山。

>>520
有料ソフトだって使い方がアフォならいくらでも感染できるが。
勉強する気があるならセキュソフトを全部フリー版にして浮いた
金でルータ入れるのがbestだな。

フリーセキュソフトの定番
　アンチウィルス：AVG、Antivir
　ファイアウォール：Zone Alarm、Outpost
　アンチスパイ：Spybot
それぞれセキュ板に専用スレがあるのでまずそこを見れ

アンチウィールスに金払いたいならトレンドのVB（ウィルスバスター）
が第一候補。次にシマンテックのNAV。シマンテックのNISは、値段高い、
オマケのファイアウォールがしょぼい、遅い、重い、トラブるしかもFWだけ
をアンインストできないので他のFWを入れられない…と評判最悪。

>>522
代わりに紹介ありがとん

ただ、BLAST系のワームならルータでも効果があるだろうけど、
今回のような古典的だけど、引っかかりやすいのはやはりアンチウイルスソフトが
必要だよ。

http://uptime.netcraft.com/up/graph?site=www.sco.com
The site www.sco.com is running Apache on unknown.

OS, Web Server and Hosting History for www.sco.com
OS Server Last changed IP address Netblock Owner
unknown Apache 31-Jan-2004 216.250.128.12 NFT
http://www.fdin.org/sam/CA-2004-02.htm#dnsMYDOOM

http://uptime.netcraft.com/up/graph?site=register.sco.com
http://uptime.netcraft.com/up/graph?site=support.sco.com
http://uptime.netcraft.com/up/graph?site=caldera.com
http://uptime.netcraft.com/up/graph?site=uk.sco.com
http://uptime.netcraft.com/up/graph?site=www.emeia.sco.com
http://uptime.netcraft.com/up/graph?site=sco.com
http://uptime.netcraft.com/up/graph?site=uw7doc.sco.com
http://uptime.netcraft.com/up/graph?site=doc.sco.com
http://uptime.netcraft.com/up/graph?site=zeus.ut.sco.com
Oracle9iAS/9.0.2 Oracle HTTP Server Oracle9iAS-Web-Cache/Oracl on Linux
http://uptime.netcraft.com/up/graph?site=wdb1.sco.com
http://uptime.netcraft.com/up/graph?site=linuxupdate.sco.com
Apache/1.3.26 (UnitedLinux) mod_python/2.7.8 Python/2.2.1 PHP/4.2.2 mod_perl/1.27 on Linux
http://uptime.netcraft.com/up/graph?site=wyatt.ut.sco.com　　

サイト用のアドレスに毎日数十通届く…
「お前からウイルス届いてるコノヤロー」メールも。
偽装だといちいち教えるのも面倒だし、もう捨てようかなぁ。
俺は感染してねーっつのヽ（｀Д´）ノ

>>525
サイトで公開してるアドレスにはFrom系もTo系も大量に来た
今回はKlez関係よりも多かった感じですわ
「この野郎メール」前にサイトで事情説明したよｗ

メールヘッダを晒すと来なくなったようだが･･･････････････。　　

数人しか知らない非公開内輪のMLアドレスに外からｲﾊﾟｰｲきた。
最初の1人は中の人だったと思うんだが、詐称Fromに使われちゃうと
新しくかかったﾔｼにも芋づる式に広まっちゃうのかなと。

>>528
おぉ、そうか。そういう邪悪な連鎖もあるな。

今回のワームが巧妙なところはFromには実在するアドレスをセットするが
Toには実在しないかもしれないアドレスまでをセットするところだなぁ

Toで届けるよりもFromへのリターンやエラーで届けることを優先してるっぽい
いかにも怪しいメールならFromが知り合いでも開かないが
メールサーバーからの応答なら気になって反応してしまう心理を狙ったんだね

>>511
OCNへのそのメールで、来なくなりました？
漏れもそのメールを受け取ってもう数日経つのですが、全く改善されないので、
更にOCNにメールしたら、「対応してるから静かに待てｺﾞﾙｧ」のような
内容になってしもたYO〜（;_;

うちのとこにもOCN滓玉サポートからメール来たけど、調査中だからしばらく待て
としか言ってこなかったよ
待てないって返事したら、無視しやがった(-.-”)凸

送信元は 221.188.216.9 からばっかり。

漏れは、とあるケーブルTVのプロバイダーに苦情メール出して返事来た。
そしたら「また届くようなことがあったら知らせてくれ」
と書いてあったのでしつこく苦情メール送っておいたｗ

ふと2chアクセス規制情報スレのやりとりを思い出した。

そうかあ。モレも送ろうかな。
数日待てば下火になるだろうと思ってたのに、
あいかわらず1日40通届くよ。ｹﾞﾝﾅﾘ
発信元のドメインもいくつもあるけど、多いやつだけでも。

まあしかし、大手プロバイダが「これからやります」といったら
せめて1週間は待たないと。やつらの遅さってばそういうもんだろ。
さらに「ｳｨﾙｽかかっちゃったけどどうすりゃいいの」ってやつとか
詐称Fromに騙されて苦情いうやつの方が数十倍多くて、
対応に追われてるにちがいない。

さっきから携帯にmydoomらしきメールがいっぱい来る

受信が有料の契約だったらひどい事になってるな

>>530
それだ。リターンエラーを装ってるのかと思ったけど
ウィルスメールに自分のアドレスが詐称で使われていて、本物のリターンエラーが来てるんだね。
ついつい開けそうになったよ。

そうか・・・気づくの遅かった。
majordomoのML管理してるんだけど、会員じゃないアドレスから
ウイルスがくると、詐称Fromにエラーでまるごと送り返してるんだ。
つまり拡散に一役買ってるってことか…鬱 ＿|￣|○
でもエラー送り返さない設定なんて見つからないし、どうしよう。
一時閉鎖するしかないのだろうか。

>>537
えらーをどっか1箇所にする設定はない？

>MS、MyDoom.Bによる攻撃ほぼ回避
>1月のウイルスの4分の1を占めたMyDoom。
>そのオリジナル版と亜種MyDoom.Bには、
>いずれもコード内に“andy”という名前が
>残されていることが判明した。

ｱﾝﾄﾞﾘｭｰ・ﾊﾞﾙﾄﾌｪﾙﾄﾞ....
(((( ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ.......

>>537
そうか。そういうこともあるか。
リターンからは添付ファイルを削除できないかな？

Mydoomニュース…

> コード内に“andy”という名前が
http://www.itmedia.co.jp/news/articles/0402/03/news031.html

「MSは攻撃ほぼ回避」だそうだが、ならSCOはなぜ回避できな
かったんだ？
http://www.itmedia.co.jp/news/articles/0402/04/news015.html

> これは根本的な疑問だが、Outlookから添付ファイルを実行
> できるのは、機能なのか、それともバグなのか。私はバグだと
> 思う」　漏れもそう思うｗ
http://www.itmedia.co.jp/news/articles/0402/04/news009.html

>>540
俺のとこrでは，メールサーバーが受け取る前にトレンドマイクロのインタースキャンが
メールを検査してくれるようになっている。
メールサーバーに入った時点ですでにウィルスは除去済みなんだが・・・

どうせなら，ウィルスのついたメールはそのまま無かったことにしてほしい。

最初に来たのは1週間前。友達から。
トレンドマイクロのサイトに差出人を偽るなんて書いていなかったから、最初のうちは「こんなもの送りやがって」と返信していた。
ウイルスチェックはプロバイダでやっているので、ウイルスは死んでいます。
昨日までに9匹来ていたんだが、今日はすでに10匹きやがった。
おまけに今日は
「送信者へ。InterScan は E-Mail の添付ファイルにウイルスを発見しました。」
なんてメールが。。。。
とうとう俺のメアドまで詐称され始めたらしい。

うちの会社にも来たよ
メアドは偽装しまくりだなあ。ただログみてると送信IPがみんな一緒なんだよなあ
というわけでINFOWEBからのメールは拒絶するように設定変更したよ

>539
ｱﾂｸﾅﾗﾅｲﾃﾞ､ﾏｹﾙﾜ

すいません、ウイルスに詳しくないため不安を感じています。

先月下旬くらいから32ｋ程度のサイズのメールが来るようになりました。
件名は全て英語で「hi!」や「hello」です。中には「送信できませんでした」という意味の英語の時もあります。
送信者のメールアドレスは全く知らない物ばかりです。
本文に「このメールアドレスには送信できませんでした」のような内容の英文が載っていて、
何かのファイルが添付されているようでした。
そんな感じのものが毎日３通程度、多い日には10通程度届きます。

送信できませんでしたと言われてもそもそも送った覚えもありません。
これは私のメールアドレスをメールソフトに登録している人がウイルスに感染して
そのパソコンが送信者を私のメールアドレスに偽って送信しているのでしょうか。

今日、「あなたから送信されたメールからマイドゥームが検出されたので送信しませんでした」
という内容のメールが来たため、こちらのスレに足を運んでみました。

>546
　 　 　 　 　　　　　　　　　　　　　　　　　　　　　 /　　　 丶
　 　 　 　 　 　 　 　 　　　　　　　　　　　　　　　/　　気　　!
　　　　　　　　　　　　　　　　　　　　　　　　　　 l　　　　　　|
''''''''''‐-､, 　 　 　 　　　　　　　　　　　　　　　　 |　 　に　　｜
::::::::::::::::::::＼ 　 　　　　　　　　　　　　　　　　　 | 　 　 　　　|
:::::::::::::::::::::::::ヽ　　　　　　　　　　　　　　　_,,,,,,_ .|　　　す　　|
:::::::::::::::::::::::::::::':, 　 　 　 　 　 　 　　,.-''"::::::::::::｀l　 　 　 　　|
::::::::::::::::::::;ﾍ::::;::i 　 　　　 　 　　　／::::::::::::::::::::::::|　 　る　　 l
::::::::::::::::::::'､|ヽ!ヾ 　 　 　 　　　　/::::::::A:::;::::/!::ﾑli 　 　　　　|
:::::::::::::::::::､:'､ 　 　 　 　 　 　　　,':::::::::ハ;ハ;l ﾚ' '|ヽ　 な　　/
:::::::::::::::;:::| `!　　,.,.._　 　 　 　　 ﾚi::;lV. ┃　　 ┃''"ﾑ　　／
::::::/l:::ハ:|,/　　i　ヽﾍ,　　　　　　 '〈|　　　　　　　　　ソ'''''､
:::/ ,|/,,／ 　　　',　 l, ヽ.　　　　　　 l､　　 r一‐:､　 /:::::::::::'､
/　| ''　　　　　　＼ 丶.ll''r､.,_　　　/::`':.､ ヽ--‐',.イ､::::::::::::::'､
:‐┴:､.　　　　　　　`i''y'l |: : : ｀`''ヽ‐''ヾil´`i';､''" /　 >､:i､::::::',
　　　 ＼　　　　　　 '-'､/ : : : : : : :`: : : lL,, l　　/_ ,//: :＼'､;::､
　　　,.-‐ヽ,　　　　　　　`'-､: : : : : : : :l: 〈<,_i-‐l_,>〉′:i|: : ＼ヾ
　 ／／´｀.ヽ　　　　　　　　 `'-､ : : : : | : :`'ヾ l''": : : : :| : : : :ヽ

546>547
わかりました、ありがとうございます。

今日もまだ来るな。ここ数日の分は同一人らしい。
fromはばらばらで、発信IPアドレスは数日間変わらず。

お〜い、京都地域、ｘDSL接続者よ、いい加減に対策せよ。
自覚症状がないらしいのは、困ったもんだ。
しかし、こいつはメーラーを立ち上げる事すらしないやつなのかな。
多少はご本人のところに、demonから戻ってくると思えるんだが。

　　　 　 ○　　 　 　 　 　 　 ○
　　　　　　＼　_＿＿＿＿／
　　　　　 ／　　＼ 　　 ／｀丶　　　　　　ぼく まいどんA
　　　　 /　　　　　ヽ　/　　　　＼
　　　　i　　 　● 　 ∨ 　 ●　　 }　　　　
　　 　 ｌ　　（　　 　,. - ､ 　 　 )　jf⌒!
　f⌒fヽ＼.　￣￣`ー‐ '￣￣／ヽ／　　　
　 ＼_ノノ丿T　―------一ﾍﾞン
　　　 ｀丶、 ＼　 　 ☆　　　 ∧
　　　　　　｀i. 　＼　　 　　　/ │

>>546
とりあえずは、>>140を読んで今回の騒動のからくりに関する理解度を深めるってのはどうだろう?

>>551
546です。ありがとうございます。なんとなくサイクルが分かりました。
私自身ではどうにもならなくなってしまっているんですね。
私のメールアドレスをメールソフトに登録している誰かが感染に気づいて
ウイルス駆除をするまでは続くということで…。

とりあえず私自身は感染していないようなので波が収まるまで我慢しようと思います。

>>552

こちら側でできることがあるとしたら、MAILER-DAEMONからウイルス付きの返却メールを
送ってよこした相手側の管理者に>>140の説明をしてみて、それとなく示唆してみるとかっ
てのはどうかな?

もちろん話しだけじゃ通じにくいから、こっちに届いたウイルスがついていたメールのヘッ
ダー情報の部分とかをペーストして『ホラホラ、これ見て。そっちのメールデーモンからの
返却メールだよねコレ?』って、やんわりとｺﾞﾙｧ!してみるとかね。

>>538 >>540
ありが�d。
そういった設定はないようなんだけど、とりあえず、
非会員でも投稿可能、ただしモデレータが承認するまで
メールはMLに配信されない。ってモードにしたよ。
これでウイルスは漏れんとこに届いて承認待ち。
承認しなければ永久にそのまんま、エラーにもならない。
MLのレスポンスは遅くなるけど、閉鎖よりマシかと。

今日，電話してきた馬鹿女には参った。

いきなり
女　「IPアドレスXX.XX.XX.XXはそちらのIPでしょ」
とかきたから詳しい奴かと思ってそれなりの対応をしようとすると
話がまったく通じない。
しばらくやり取りを続けるがまったく埒があかない。
単にメールの送信者にこちらのアドレスが使われているからと
電話してきたようだ。
怒鳴りつけたいのを押えて声が震えているのが自分でもわかる。
私　「ううん，そうですね。メールのヘッダー情報を含めて・・・」
女　「プロパでカットされて・・・」
私　「ふうむ　困りましたねぇ」
女　「あなた　ウィルス付のメールを受信したことが無いから・・・」
私　「このところ毎日２００通以上来ますがなにか」
この後女完全に切れて
女　「対応が気に入らない。このやり取りを公開しますよ」
私　「はぁ〜　公開してもらっても問題ないのですけど」

なんなんだ。あれは。

OCNスレでヤフーBBユーザー「809」が当たり散らしてます
困った香具師だ…

http://pc4.2ch.net/test/read.cgi/isp/1072178109/809-

正直、ｼﾗﾝｶｯﾀ。

>Mydoomはランダムにメアドを生成する際、入手したドメイン名の先頭に
>次のいずれかの名前を追加します。
>adam, alex, alice, ndrew, anna, bill, bob, brenda.......

このせいで、もれのアドレスが大量に生成されて
大量のﾏｲﾄﾞｰﾓがきてたのか… ＿|￣|○

2回苦情入れた後もウィルスとリターンメールが届くもんだから
「ウィルスの仕業とわかっているが気分よくない。早く駆除してYO！」
と3回目の苦情入れたら、誠意の感じられるメールが来た。

その後ウィルスメール届いてない（・∀・）ｲｲﾖｲｲﾖｰ
もうちょい待ってウィルスメール止まったら、お礼のメールしよっと。

一日４，５通。fromだけみて返信してくるゴルア警告メールが３，４通。
なんだか落ち着かないんで＞533さん見たいにプロバにメール入れてみようかと
思ったんですが。
送信元のIP（鯖名は詐称されてそうだったので無視）が、どのメールも全部同じだったので
IPサーチしてみたら　シンガポールだった・・・
ｽﾐﾏｾﾝ　日本語ｽﾗ　不満足ﾅﾝﾃﾞｽ・・・

でも出来なくて良かったのかな？　もう少し我慢してみますわ。

説明するのが難しいんだけど、
これって本文がfailure messageのあとにこっちから送ったメール内容として、
疑似生成された?ヘッダと添付ファイル内容としてテキスト化されたウイルスが書かれてるメールが
送られてくるって言うバージョンある?

>>560
ある。普通。

>>561
他と違うバージョンだったんで、ちとびっくりしたもので・・・
thx。

>>562
普通かどうか知らないが、そうゆうのはどっかで見かけた。
ウィルスチェックプログラムが半分壊したのか、メル鯖の
単なるエラーなのか、どっちにしてもゴミだからさっさと捨てれ。

…ウイルスやSPAMが来ると捨てられなくって
何百もため込んでる人、ほかにいませんか。

>>546
捨てるに捨てられずというより、削除するのが面倒くさいから放置している
という感じだな。必要なやつだけ抜き取りしてる、というほうが正しい。
そのうちまとめて一気に削除する。

ベイジアンフィルタの学習用に残している。

>>560
あるある。こんな感じねｗ

------=_NextPart_000_0006_0EAA10AC.006FF028
Content-Type: application/octet-stream;
name="document.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="document.zip"

UEsDBAoAAAAAAPUCPTDKJx+eAFgAAABYAAAMAAAAZG9jdW1lbnQucGlmTVqQAAMAAAAEAAAA//8A
ALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAqAAAAAAAAAAAAAAA

げげ、今来たメールでやっと>>140の意味がわかった・・・
本文に書いてあるの、疑似生成されたヘッダじゃなかったのね・・・・



最低だ、このワームとメール鯖システム。。。

　　

[email protected]

無防備に晒したメアドにはMydoomっぽいやつが大量に来たけど
"@"をエンコードして公開しておいたメアドには
１通も来てませんぜ。一応お勧めしとくね。

>>571
これを使うといいよ。
http://ab.jpn.ph/soft/html_rand.html

>>555
ﾜﾛﾀ
お疲れさん（ｗｗ

>>572
571じゃないけれど、ありが�d。
自分は@だけをエンコードしてるけれど、普通に来るから、これは役に立ちそう。

>572
便乗させていただきました。これで迷惑メールも減らせるかも？
ありがとうございます

>>559
漏れのとこにはイギリスから来てるな。

10日以上経過してもまだ止まらないってことは
外に攻撃は仕掛けるけど感染したPCを使う分には
たぶん全然困らないんだろうな

放置しておいたgooのフリーメアドはどうなってるかな？
と思って全部チェックしたら
去年の１１月に送付されていたklezを開いてしまった。
のーとん先生のおかげで無事だったけど
私はアホだ、、、

これって世界のどこかに感染してるＰＣがある以上一生延々とメールが送られてくるんですか？
プロバイダのメールウイルスチェック登録すれば100％防げるのかしら…

「MyDoom被害者(深刻)」　がマルチうんこ君なのは>>434で
晒されてたが、しょうこりもなく他スレを荒らしてる。
【正式】ウィルス情報＆質問　総合スレッド☆Part15
http://pc.2ch.net/test/read.cgi/sec/1068311899/571
などｗ

最近、サイズが３０K〜３５Kのメール無条件で消してる

ブラスタスレのFAQの御用をうけたまわってますたが
MYDOOMのもちょこっと作ってみますた。

★Mydoom(旧名 Mimail.R、Novarg) miniFAQ　1★
Q: Mydoomの情報はどこで見れますか？
A: このあたり見てください。感染してたら後述の駆除ツールで早速駆除
MYDOOM.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]
MYDOOM.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.B
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

Q: 感染防止方法は？
A: 心当たりない相手からのメールは絶対に開かない。速攻削除。
サーバからのエラーメッセージに添付されてることも。これも開かず削除。
いくらセキュソフト入れてても添付ファイルをダブクリしちゃったら防ぎきれないです。
【Outlook Expressでプレビューウィンドウを表示させない方法】
http://www.trendmicro.co.jp/bugbear/olnoprv.asp

Q: Mydoomらしいメールがいっぱい来てます。感染してないでしょうか？
A: ＜Windowsシステムフォルダ＞（注1）に以下のファイルが作成されます
これらのファイルが存在しなければ感染してないので安心していいです。
MYDOOM.Aの場合
　CTFMON.DLL　/　EXPLORER.EXE　（注2）
MYDOOM.B の場合
　shimgapi.dll　/　taskmon.exe

（注1）Windows9x/Meの場合→システムフォルダ＝　Windows\System
　　　 WindowsNT/2000の場合→システムフォルダ＝　WinNT\System32
　　　 WindowsXP の場合→システムフォルダ＝　Windows\System32
（注2）本物のExplorer.exeはWindowsまたはWinNTディレクトリにあります。間違って
削除しないよう注意してください。

★Mydoom miniFAQ　2★
Q: 大変だ！　感染しちゃってます。どうしたらいいポ？
A: まず駆除ツール使ってみましょう。A、Bともに有効と明記してあるのは↓ここら
http://www.trendmicro.com/jp/support/dcs-licence.htm
http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

Q: Mydoomって永久に続くの？　鬱。
A: Mydoom.Aはシステム日付が「2004年2月12日」以降、Mydoom.Bは「2004年3月1日」以降
感染拡大活動（ウィルスメール送信）を停止します。

Q: ﾊﾞﾝｼﾞｬｲ。ではもうちょっとの我慢だ。
A: とんでもない。駆除しないかぎりバックドア活動はそのまま続行ですから怖いです。PCに
Mydoomが感染していると、外部から好き勝手にプログラムを仕込んだりファイルを削除したり
できます。バンキングや通販でいくらSSL使ってもキーロガーを仕込まれたらパスワード、
クレカ番号、暗証番号、なんでんかんでん悪い奴に報告されてしまいます。

Q: ウィルスメール送ってくるヤシにｺﾞﾙｧしようと思うんですが？
A: メールヘッダーの解読に自信があるヒト以外やめといてください。混雑増やすだけです。
勉強はこのあたりで。↓
http://popup2.tok2.com/home/newbie/defense/mail-header.html
http://www.itmedia.co.jp/broadband/0302/27/lp23.html

Q: なんで私のアドレスが発信元のエラーメッセージがどかどか来るんですか？　ﾊﾗﾀﾂﾅｰ
A: 現在のメールは皆そうですが、Mydoomも送信元を詐称します。あなたがメールした相手
その他あなたのアドレスが残っているPCにMydoomが感染すると…
　1)HDD内のファイルをスキャンしてあなたのメアド文字列を拾う
　2)あなたのメアドをFromにセット（詐称）する
　3)宛先に適当にでっちあげたメアドをセットしてウィルスメール送信
　4)メールサーバは配達不能なので、エラーメッセージをつけてFromに送り返す。
　5)ウィルス添付したエラーメッセージがあなたに届く　(´･ω･‘)ｼｮﾎﾞｰﾝ

超簡単FAQ、以上ですた。

スマソ。>>582のMYDOOM.Aのシマンテックの解説のリンクが
間違ってますた。　

×　http://www.symantec.com/region/jp/sarcj/data/w/[email protected]
○　http://www.symantec.com/region/jp/sarcj/data/w/[email protected]

http://www.microsoft.com/japan/technet/security/virus/Mydoom.asp
Outlook 2003を使っている場合、添付ファイルをダブルクリックしても
大丈夫、という意味？

>>582
前に書かれた時から気になっていたんだが
システムフォルダ内で見つけるファイル名がAとB逆だよ

スマソ。>>582を以下のように訂正。
-------------------------------------------------------
Q: Mydoomらしいメールがいっぱい来てます。感染してないでしょうか？
A: ＜Windowsシステムフォルダ＞（注1）に以下のファイルが作成されます
これらのファイルが存在しなければ感染してないので安心していいです。
MYDOOM.Aの場合
　shimgapi.dll　/　taskmon.exe
MYDOOM.B の場合
　CTFMON.DLL　/　EXPLORER.EXE

何だか沢山感染メールが来ます。

ＷｉｎＸＰとＯＵＴＬＯＯＫ使ってるんですけど、
メールの自動ビューの禁止方法が判らないんですよね。
ああ欝です。

>>589
outlookをやめるのが一番だよ。ほんと。
ウイルスを拡散するのが目的なら、いいメーラーなんだがなあ。

あ、OUTLOOKのプレビューオフの方法判ったです。
http://www.mnet.ne.jp/virus/preoff/#o

シマンテック社の駆除ツールでＰＣを調査してみたら
まだ感染してなかったです。
どうやら助かったみたい。

>>590
うん。でもメーラーの鞍替えが面倒。
なんか可愛いくて丈夫なメーラーがあれば
乗り換えるけど。

>590
>ウイルスを拡散するのが目的なら、いいメーラーなんだがなあ。

そうです。1秒間に10通以上の送信記録がありました。
3日間この状態が続いてプロバイダからゴルァされて知りました。
対処方法もなくそのままにしていたら、電話がかかって来ました。
ネットワークから強制的に切断するような旨の脅しでした。
ひどいものです。

「MyDoom被害者(深刻) 」はコピペ荒しです。あぼ〜ん推奨。

最近はトラフィックモニタを見るのを止めました。
送信データ量が半端じゃないので、不安に駆られてしまいます。

こんな実況中継を、いつまで続ける事になるのか心配でしたが、
そうですか、MyDoomには有効期限があったのですか!
安心しました。

先日から>>251のメールが大量に送られるようになり
MYDOOMと思われるウイルスに感染したようです。
直後にトレンドマイクロオンラインスキャンを行うと14個の駆除不可能なMYDOOMが
見つかり、普段常駐させているウイルスソフトの更新を慌てて行い駆除しました。
その後同様のメールは送られてくるものの、常駐させているウイルスソフトが駆除して
くれているようなのですが、再びトレンドマイクロのオンラインスキャンを行うと
以前に表示された「14個の駆除不可能なMYDOOM」が表示されます。
これは以前として感染していることを示しているのでしょうか？
>>381の方法で確認しても感染の形跡はありません。一応シマンテックの駆除プログラムを
ダウンロードして実行したのですが、この場合も感染したファイルはないと報告されます。
メールが送られてくる原因に、私のアドレスを登録されている方が感染している可能性が
あるとは思うのですが、自分自身が現時点で感染しているのかが不安で・・・。
もしかしてオンラインスキャンは過去の感染履歴を表示しているのでしょうか？

>>596
ウイルスバスターオンラインスキャンは今現在HDに存在するファイルを
チェックした結果のみ表示します。

ちなみに、
「駆除可能」＝元々のファイルから感染部分のみ除去することが可能（HTMLとかxlsとかdocとか）
「駆除不可能」＝元々のファイルから感染部分のみ除去することが不可能、もしくはそのファイル自体がウイルス（最近はほとんどこっち）
という意味です。

ところで普段常駐させているウイルス対策ソフトってどこのメーカーのソフトよ？

>>596
OSは何だ？

XPかMeなら「システムの復元」を有効にしたままウィルス隔離
処理をするとウィルスごと復元フォルダにバックアップを取って
しまうのでアンチウィルススキャンで怒られることになる。

対策：restoreフォルダのウィルスは復元ポイント実行しないかぎり
活動しない。当面危険はない。

Symantec Security Response - W32.HLLW.Deadhat
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.deadhat.html

F-Secure Computer Virus Information Pages: Vesser
http://www.f-secure.com/v-descs/vesser.shtml

>>571-575
メアドの部分をjavascriptの外部ファイルで書いてます。
このやり方もウイルス君は拾っていかないみたいでつ。

メアド収集ロボット対策は、
http://www5.kiwi-us.com/~rei/virus/mail.html
↑これに記されてるものくらいかな？
（エンコード、javascript、フォームメール使用、、、他にあったら
　ご教示ｷﾎﾞｿﾇ。「記さない」は無しで）

ひらがなで記述
これ最強

さぽーとあっとまーくまいくろそふとどっとこむ

Mydoom　たかしへ　げんきですか。いまめーるしてます

某　　　　 うるさい死ね　ウィルスおくんな殺すぞ

Mydoom　ごめんね。Mydoomはじめて感染拡大してるから、ごめんね

某　　　　 うるさいくたばれ、ウィルスおくんな

Mydoom　あなたのアドレスで他の人にもめーるしておきました　警告メールはとどきましたか?

某　　　 死ねくそMydoom

>600
>601

ほおお〜 。なんかなあ。こういう被害に会って見ないと解らない世界ってあるんですね。
それでいいのかい！　という感じもしますが、大抵のライトユーザーは気にしないだろうなあ。
（私みたいに）

HP上のアドレスをエンコード化してから、一日4,5通届いていたMydoomが（ちなみに同じIPから）
１通〜０通まで減りました。
いちがいには言えないでしょうが、もしかしてアドレス収集活動は毎日行う？
それともちょくちょくサイトに来てくれてるお客さんが感染してて、履歴の中味が変わってる・・・？
トップページで、ウイルスの事書いてチェックお願いしてるんだがなー。
もしくはプロバイダさんが頑張ってくれているのか。
減ってきたのは良しとしましょう。

ドメイン宛にものすごい量届くので
3日以上送り続けてくるIPを弾いてホッとしてたら……
ぷららとかso-netとかプロバイダ経由で
むりむりと届くよ、うえーん(つД｀)

お願いですからkcn.co.jpの誰かさん、Virusにかかってることに早く気づいてください・・・

>>606
×kcn.co.jp→○kcn.ne.jp
ですた・・・

そえはVirus配布用子鯖なので、諦めて下さい。

うちにもついにｷﾀ━━━( ´∀`)･ω･) ﾟДﾟ)ﾟ∀ﾟ）･∀･)￣ー￣)´_ゝ`)−＿)ﾟ∋ﾟ)´Д｀)ﾟーﾟ)━━━!!!!
とはいっても、ISPのウィルスチェックサービスに引っかかりますたという報告メールだが。

外国籍IPからのウイルスメールがどーしても止まりません。
HPに英文でウイルス注意文常備しないとだめなのかなあ。
（いつも見てる人とは限らないでしょうけど）

えーと13日で送信ワークは終わるんでしたっけ？
後は当人の感染マシンがバックドア活動に悪用されるということで
俺の知ったこっちゃネ、で放置OKなんでしょうか。

放置でok!
もう少しの辛抱じゃ。

>>611
明日で終わりだっけ。
PCのシステム日付が狂ってるのもあるから
多少は来るかもしれんが。

DoS攻撃が2/12まで、拡散活動は続けるだろ。

そして、その感染したPCを狙ったC型が出てきたので、ターゲットが
scoからmsに変わっただけ。
まぁ、Aに感染したのがCに完成したら拡散活動もしないので、ある意味
沈静化するだろうけどね。

>>610
ウイルス注意文なんて役に立たないと思うぞ。
>>572のリンク先にあるようなソフトでも使って
メールアドレスをエンティティ表記にしたほうがマシ。

>>611
他人のPCが感染してるのは放置しとくよりしょうがないわけだが…
これでまた世界中に何十万台とバックドア開きっぱなしのマシンが
増えたというのはイヤずら。

持ち主がクレカ番号抜かれたりするのは自業自得だが、スパムや
ウィルス拡散の踏み台に利用されることは間違いない。MSがいくら
懸賞かけてもこういう裏口から裏口へ拡散させられたらとうてい犯人
は逮捕できんだろ。

ありがとうございます。エンコード対策しましたー
今までいかに無防備にアドレス晒していたのかを思い知った次第・・・

とりあえず放置でも
感染マシン保持者にはやっぱり気付いて欲しいって事ですねー
615さんの言うようになったら・・・
当然、うちのアドレスもリストにあるわけで・・・

ウワーーンバカーーーーー

MYDOOM.Cはport3127を叩く

Agnitum Outpost Firewall part14
http://pc.2ch.net/test/read.cgi/sec/1075046818/352

MYDOOM.C　ｷﾀ━━━(ﾟ∀ﾟ)━━━!!!!!
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DOOMJUICE.A

こんな感じで適当にexciteで英訳したメールを送ってみたところ
なんとか止まったみたいです。
向こう側で勝手に気づいただけかもしれないけどね。
一応ご参考まで。
--

ウイルス配布停止のお願い
Subject: Wish of a virus dispatch stop (W32.Mydoom.A@mm)

御社の管理しているサービスから何回かにわたりウイルスが送付されている模様です。
since it seems that a virus is alike several times, crosses and has been sent from those
who use service of your company.

送付されてるウイルスについての説明
W32.Mydoom.A@mm
Discovered on: January 26, 2004
Last Updated on: February 08, 2004 12:54:55 PM
http://securityresponse.symantec.com/avcenter/venc/data/[email protected]

IPアドレス探知結果
ヨーロッパなのでRIPEを使用しました。
[IPaddress whois result]
http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=xxx.xx.xxx.xxx&do_search=Search
メールヘッダの羅列
IPアドレスの出所を認識してもらうため
---------
なりすまし
[Spoofing]
メールヘッダの羅列
IPアドレスの出所を認識してもらうため

メール送ってくる屑どもはなにが目的でこんなことしてんだ？・・

>>620
詐称だよ。それと>>583の最後のようなトリックもある。

>>620
とりあえずSCOとMSにDDoS攻撃。

忘れた頃バックドアからキーロガー仕込んで
クレカ番号ゲーーッツ！

>>713
「メール添付ウイルス「WORM_MIMAIL.R」が流行中」
感染確認方法
http://pc.2ch.net/test/read.cgi/sec/1075170355/588
メル鯖からウィルスメールが来る謎
http://pc.2ch.net/test/read.cgi/sec/1075170355/583

スマソ。誤爆。

taskmon.exe　EXPLORER.EXE
共に検索したら見つかったんですが、
前者後者ともに更新日時が2000年になっています。
これもウィルス感染してるって事なのでしょうか？

MyDoom悪夢から覚めてみると、逆に寂しくなったりするんですよね。
Type-Cも体験しておいた方がいいでしょうか?

>>625
見つけた場所がシステムフォルダ↓なら感染。退治は>>583見れ
----------------------------------------------------------
（注1）Windows9x/Meの場合→システムフォルダ＝　Windows\System
　　　 WindowsNT/2000の場合→システムフォルダ＝　WinNT\System32
　　　 WindowsXP の場合→システムフォルダ＝　Windows\System32
（注2）本物のExplorer.exeはWindowsまたはWinNTディレクトリにあります。間違って
削除しないよう注意してください。

バックドア活動
ワームは外部と通信し、外部からのリモートコントロールを可能にする
バックドア型ハッキングツールとしての機能を持っています。
外部のユーザはこのワームが侵入したコンピュータをリモートコントロールして
ファイルのダウンロードと実行を行なうことができます。
ワームは外部との通信のためにポート3127〜3198を使用します。
ワームはポート3127から3198まで順番にポートのオープンを試みていき、
オープンに成功したポート1つを通信に使用します。
すべてのポートがオープンできなかった場合は3127に戻ってまた順にオープンを試みていきます。
このワームのバックドア機能は"SHIMGAPI.DLL"に集められています。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A&VSect=T

http://www.ipa.go.jp/security/topics/newvirus/mydoom.html
＞ただし、2004年2月12日になると、サービス妨害攻撃および感染活動を停止します。

ウイルスメールはもう来ないのかな？

Mydoom.Bは２月いっぱい活動するそうだ。↓シマンテック　>>582
> このワームは、2004 年 3 月 1 日に感染拡大活動を停止します。

★Welchia.B=Nachi.B登場。昨日発見。ご注意★

2ｃｈの初感染報告↓
セキュリティ初心者質問スレッドpart36
http://pc.2ch.net/test/read.cgi/sec/1075135866/798 〜

トレンドマイクロ　Nachi.B 　解析中…
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B
シマンテック、Welchia.B　解析中…（まだタイトルだけ）
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801

いまだにウイルス添付メールを放出している奴は
バックから犯しまくってもらいたいのだろうか。
初級ネットワーク板にＩＰ晒してやりたくなってきた。

すみません。質問です。
>560のようなメールを知らずに開いてしまったのですが感染してしまうのでしょうか？
OSはXPです。アンチウィルスソフトはまったく入れていません。
氏マンテックの無償ツールのセキュリティーチェック（ウィルス検出）でチェックしたところ
ウィルス感染はないとのことでしたがどうなんでしょうか。

>>633
MyDoomなら添付ファイルを実行しなければ大丈夫。
オンラインスキャンで何も出てこなかったのなら、問題ないんじゃないかと思う。

>>634
そうなんですね。安心しました。
ありがとうございました！

mydoom.a いまだにいっぱくるんですが・・・
一分間に100通くらい

>>636
時計がずれてるマシンはけっこう多い。ブラスタのときも急にぴたりとは
止まらなかった。

うちの方は止まった・・・？
止まったかな・・・・？

毎日10通前後来てたんですが、今日はまだ一通も来ません。
は〜〜〜〜すっきり！！・・・・・と思っていいかな・・・？

いや全く、毎日毎日ウイルス取り除き続けてくれたプロバイダさんご苦労様でした。
（プロバのウイルスチェックサービスね。）
これからはうっかり無防備にアドレス取られる事のないよう注意しまふ。

しかし・・今でも感染してるマシンって、どんなユーザーのもの？

一分間に100通ってすごいな。

>>638
いまだにKLEZに感染していて、群馬のocnからせっせと俺にメールを送ってくる人がいるくらいだから、
放置している人は放置しているみたいだ。

あんまり量が多いんで、１日５通以上マイド送りつけてくる発信源の
プロパに通報したよ（もちろんRecieved拾い）
１日１００通きていたのが、これでとりあえず１０通くらいまで減った。

大手のプロパは比較的対応も早いけど、地方のＣＡＴＶは
対応がやたら遅いか無反応だね。まあ１２日過ぎたし、
通報するのもけっこう手間かかるんで、あとは様子見だな。

今日はパタッと減ったな。7割ぐらい減った。
通報したせいか、それとも世間全般の傾向か。

最盛期は一日数百通来てたけど、
今は昨日の夕方を最後に一通も来てない。
通報してないけど。

通報して減ることもあるが、屁のカッパでシカトされることの方が断然
多い。がんがん来るところでも放っておいてある日パタリと来なくなる
ことも。けっきょくあれだな、手間考えると通報してもあまり意味ねー。

そう思って放置してたんだけど、やはり同じところから
1日10通ずつ2週間続くってのはね。
しかも自分と同じプロバイダだから、一応対応はしてくれたみたい。
でもそれとは関係なく、今日は止まったね。

うちも来なくなった。単に活動が止んだだけかな？
ウィルス添付メールさえ来なければ、あとはどうでもいいや。

来なくなると何故か寂しいｗ

かわりにネットがえらく重いんだが、局地的傾向だろうか。

ワシん所には一通しか来なかったなぁ...。
逆に、何だろ？という気になる。

OCNから来るのばかりなんだが、やっぱ通報した方がいい？

so-net → 通報してから半日後に返事がきて、さらに1日半後に来なくなった。
nifty → 通報して2日後に返事がきたが、すでにウイルスの活動が
止まったらしく、いつ対応してるかよくわからない。
niftyには2年前にも通報したが、そのときは3日後に返事がきた。
ocnはこういうとき対応悪いという噂を聞いたことが…。

まいどーが6081件。こんなもん？
やっと消した

　　　┌───────┐
　　（｜●　　　　　　　● ｜
　 ／｜ ┌▽▽▽▽┐　｜ 　／￣￣￣￣￣￣￣￣￣￣
　（　┤ ｜　　　　　　｜　｜＜ どーも mydoom作者っす
　　＼　 └△△△△┘　＼ ＼＿＿＿＿＿＿＿＿＿＿
　　　｜＼ 25＼　　　　　 ｜＼＼
　　　｜　　＼万＼　　　　｜（＿）
　　　｜　　　＼＄＼　　　｜
　　　｜　　　　＼で＼　　｜
　　　｜　　　　　　＼す＼｜
　　　｜　　　 ／＼ 　＼よ |
　　　└──┘　└──┘

朝、取引先のシステム管理者からＴＥＬが・・
あんたのところからdoomのメールが来たと怒りの問合せが。。
怒られたって、こっちじゃねーっての偽装しちまうんだし。
調べようがねーっての。

>647
その通り!
今はtype.Cが来ないかとどきどきしています。
来ない場合にはどこへ問い合わせたら良いのでしょうか？
サポート体制が不十分ですね。製作元は。

警察庁発表：NACHI.Bは日本語WEBページを破壊
http://pc.2ch.net/test/read.cgi/sec/1065964513/681

＞来なくなると何故か寂しいｗ
好みじゃない娘からのアプローチみたいな物ですか？
その内、愛が芽生えて……。

>>656のサイバーポリスのPDFを見ると、
既出かも知れないが、
PDFを見ると某チケット屋のトップページを変えたのは
これみたいだな。
あそこでチケットを買うのは危険だな..個人情報がダダ漏れになりそうで。

>>658
まあどこの外注を使って運用保守をしているのか調べれば、ローソンチケット以外に危なそうなサイトが
簡単に判明するでしょう。

mydoom.aは終息域にあるし、ここは終わりかな。
企業で対策の最前線に立つ人間としては、どのウイルスであろうとどのスレッドであろうと
言うべきときは言いに来るだろうけどね。

>>656
NACHI.Bの破壊活動をトレンド、シマンテックはなぜ公表しないのか？
警察庁によると、http://pc.2ch.net/test/read.cgi/sec/1065964513/681
NACHI.Bは感染したマシンがWEBサーバの場合データファイルを改竄して、
　1945.8.6 Little boy(←広島の原爆)
　1945.8.9 Fatso (←長崎の原爆)
　Let history tell future （←歴史は予言する）
というような反日スローガンに書き換えるという悪質な破壊活動をする。

この情報をトレンドは未だにウィルスデータベースに発表してない。
　http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B
> ウイルスコード内に以下の文字列が含まれます：
などとそしらぬ顔。

シマンテックは英語サイトでは
　http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html
　10　Overwrites the files it finds with the following .htm file:
と破壊活動を行うことスクリーンショット入りで明確に表示しているのに、
日本語サイトのウィルスDBではタイトルだけでNACHI.Bの解説は全く出して
いない。
　http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801

これはどういうことなのか？　それほど日本法人の能力は低いのか？


　

>>661
白人は全体として白人至上主義で有色人種蔑視だよ。いつもそう。いまもそう。これからもそう。何を今更(w

うちはまだ毎日定期的にウィルスメールきます。
ウィルス対策はしているので、問題はないのですけどね。
大体このくらいの時間で必ず２通そしてエラーメッセージの返信メールも２通。。
アドレスの最後がitが多いので、イタリアからかが多いのでしょうか。。
知り合いでイタリアにすんでいるのは１人しかいないんですけど。。
だからといってこの人疑うべきじゃないのでしょうかねぇ。
ここ読んでたら、皆さん結構jpからだし。。。疑っちゃいます。
この人にあなたの周りにウィルス感染している人がいるような気がします。。
なんて言っちゃいけないものでしょうかねぇ。。

まあ対策は複数入れたほうがいいですね。
ライン上に一つ、PCに一つ。それぞれ別のメーカー。
こうしておけば安全が保障されるパーセンテージが一つだけの場合よりも高くなる。
さらにルーターとハードウェアFW入れればさらに安全。
あとはFWの外側にダムハブをはさんで分岐先にIDSを置いて、引っかかるIPアドレスを
毎日定期的にFW側でreject設定してやればなおグー。

付け加えるならspam対策としてPOPFILEかまたはlinux立ててbsfilter入れてpop proxy
かましてやれば、「ウイルス」「不正アクセス」「spam」と悪の三拍子を防げる確率が高〜く
なりまーす。

あ、ありがとうございます。
でも、macなんですよね。。nortonとプロバイダーのウィルスチェックで
まあ、安全かな。。と思っているんですが。。
ただ毎日くるメールがうざいので、元からたてればなぁ。。なんて思った
だけなんです。。

>>663
アドレスがイタリアってFrom見て言ってるの？
Fromは詐称されるから当てにならないぞ
うちに来た多くはFromは海外ドメインで実際の感染者はOCNだった

>>667
うちに来たのも、２月以降は某marunouchi.tokyo.ocn.ne.jpだけでした。
ちなみにreceivedのIPで確認。
（デーモンが完璧に書き換えちゃったものは不明だから放置。）

いつだったか忘れちゃったんだけど
添付のファイルは削除されましたとかのメッセージが来て
それ以来、一日に5、6通のテキストファイルのみの添付のメールが
良く来るようになったんだけど、何が原因のメールなのかな？
見たことあるようなアドレスもあったし、ウィルス感染中のPCから送られて来てるって事だよね

で、既にMYDOOM.E出現ですね。
今の時間帯はsophos以外は定義情報が間に合ってない......
http://www.sophos.com/virusinfo/analyses/w32mydoome.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.E&VSect=T

>670
mydoom-e.ideね。
sophosのSAV使ってるけど、まだ引っかからない
来るかな、来ないかな。

ところで、ASN.1 Remote DoS Exploitって、よく落ちるね。
port 139でも落ちる。うーむ。急がねば。

トレンドはmydoom.eに対して#766が対応うんぬんとかあるねぇ。
ウイルスバスターの正規ユーザならサポートに電話してこのwebの話をして、やさしくｺﾞﾙｧすると
766を送ってくるので、言ってみるといいかもしれないなぁ。

>>672
米国のトレンドのサイトから、テスト用の定義ファイル766が落とせるので、それを使っています。
無保証なので、微妙だが。

２月１１日以降、来なくなっちゃった。・・・

げっ！！　来ないと思ってたら、今度はNetsky.bが来やがった。

>>675
流行の最先端をいってますな。

既に時代はMYDOOM.Fらしい。
勘弁してくれよ、もう.....

>>677
Fも期限付きでよかった･･･と思ったら2006年かよ！

ウイルス駆除するウイルス
http://headlines.yahoo.co.jp/hl?a=20040226-00000072-kyodo-bus_all

>>679
ｽﾃｷ

以前ネタスレの方で紹介されていた↓とは違うのかな？
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.doomhunter.html

件名がWindows98という添付メールきたけど
怪しかったので削除しちゃった。

NETSKYの話題は無いの？

>>683 NETSKYについて
当方には、3月2日到着分で7通。
3日に5通。
4日に10通。
どういうタイミングでメールが出ているのかはわからないけど、
同じIPの人から何度も送られてくる傾向にあります。

yahooBBのサポートからNETSKYが来たのはﾜﾗﾀ

>>685
ヘッダを見てくれないと、そういうのはあんまりおもしろくないです。
俺なんか大企業のアドレスしょっちゅう。

>>685-686

Yahoo!BBのサポートで笑わしてくれたのは、
ヘッダ情報を見て、「お宅の経路から送られてきとるで？どないしてくれるんや？」
とネジ込んだところ、

「（中略）個人情報の保護、漏洩防止の徹底ということで不正な行為を
おこなったユーザーが特定された場合でも、お客様へ、対応内容については
ご連絡をいたしませんことをご理解、ご了承くださいますようお願いいたします。」

とか何とか書いて寄越しおった。

…で、それから1ヶ月もしない内に顧客情報漏洩事件だ。爆笑させて貰った。
　　（逆にこっちは、ahooのユーザじゃないし、メアド位しか送ってないから影響ないけど。）

W32.Netsky.D@mmが来たよ。
Yahoo!BBのせいに違いない。
もう、決めつけ。

当方にも30通ほど来てるのですが、ヘッダのReceived見ると全部同じサーバです。
本当に、やめてよ。

同じアクセスポイントのIPから何度も届くんで、ヘッダ情報つきでプロバに連絡したけど無視されたっぽい…まだ届くよ orz

W32.Netsky.D@mm
がツタヤから届きました。

NETSKYが今熱い。アドレス騙ってどんどん送信されてる。
プロバイダが「ウイルス付きのメールが送られてきたYO」
っていう報告メールが来るだけなんだけど。

Worm.NetSky.Dまたまたまた（ｒｙｷﾀ━━━━（ﾟ∀ﾟ）━━━━!!!

一日何通くらいくるよ？

Netskyスレが立ったみたい。

【差出人】WORM_NETSKY【詐称】
http://pc3.2ch.net/test/read.cgi/sec/1080741342/l50

の発言:
てか、うちまかふぇー

もう落ち着いた？

毎日１０通くらい来るぞ、どうなってんだ？
ヤフオクのさらしアドで、変えるのも面倒だからいいけど

>>206
今ウィルスチェックしたら、そのソフトのLOGフォルダに
「Netsky.D」と「Netsky.B.enc」が……。Ｏｒｚ
慌てて最新バージョンにしたけど、設定が難しくて
自分にはどう対策したらいいのかわからん。

半年以上前のスレを上げる荒らしが多発しております。
ご注意ください。

最近またウイルスメールが多いね

すみません！！どなたか助けてほしいのですが、
知らないメールをあけてしまって、そしたらなんだか知らないうちにメールが勝手に
バンバン送られてっちゃうんです！！
誰に何を送信してるかわからないんですけど、これはどうしたら直るんでしょうか？！
どなたか知ってる人がいたら教えてください！！
よろしくお願いします！！

最近W32.MYDOOM多いな

だね

全然来ねえな

705 ：名無しさん＠お腹いっぱい。 [[email protected]] ：04/11/14 11:23:17
全然来ねえな

＠tepco.ne.jpで送られてきたよ。

>>707
http://www.tepco.ne.jp/information/info/04112201.html

あぼーん

http://ex10.2ch.net/test/read.cgi/news4vip/1113661347/l50

今さっきWada Akioさんから添付つきのメールが来たんですが。
しかも件名が「Merry Christmas!」…
突っ込みどころが満載ですが、ウィルスですか？

（ ´_ゝ｀）フーン

すいません　
お初なんですけどウイルスをください

ウイルスってどうやっててにいれるんだよ？ｗ

ふうぞくにいけばもらえるよw

ヤフーのメルアドに最近よくウィルス付きのメールがよく届き
気味がわるいです。どうも、ドメインがOCNっぽいところから届くんですが
アドレスが毎回変わります。しかし、添付ファイルはいつも一緒です。
日本からなので知っている奴からの嫌がらせなのかと思ってしまいます。
また、自分が使っているのメルアド、仕事の自分のメルアドからも
送っていないウィルス付きのメールが届くようになりました。
対処法はありますでしょうか?

送られてきたメールの詳細ヘッドです。

X-Apparently-To: ******@******co.jp via 2**.*3.**.7*; Wed, 14 Jun 2006 08:51:59 +0900
X-YahooFilteredBulk: 1**.2**.**0.**7
Authentication-Results: m***1.mail.***.yahoo.co.jp from=p0031.ocn.ne.jp; domainkeys=neutral (no sig)
X-Originating-IP: [1**.2**.**0.**7 ]
Return-Path: <[email protected]>
Received: from 1**.2**.**0.**7 (EHLO yahoo.co.jp) (1**.2**.**0.**7 ) by m****1.mail.***.****.co.jp with SMTP; Wed, 14 Jun 2006 08:51:59 +0900
From: [email protected] アドレスブックに追加
To: i*****@*****.co.jp
Subject: Re: Approved
Date: Wed, 14 Jun 2006 08:54:29 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0005_00007A6D.000074E5"
X-Priority: 3
X-MSMail-Priority: Normal
Content-Length: 17119

[email protected]

Return-Path:<:::::::::::::.ac.yahoo.co.jp>
Received:from (p3041-ipad81marunouchi.tokyo.ocn.ne.jp [61.199.43.41])
(envelope-from :::::::::::::::::.ac.yahoo.co.jp)
From::::::::::::::::::::.ac.yahoo.co.jp
Subject:Re: Extended Mail System
Date:Sun, 2 Jul 2006 16:04:18 +0900
MIME-Version:1.0
Content-Type:multipart/mixed
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:\4*#!((`!!+Q,"!N[^!!
Status:RO

Return-Path:<::::::::::::::::.ac.yahoo.co.jp>
Received:from (p3041-ipad81marunouchi.tokyo.ocn.ne.jp [61.199.43.41])

(envelope-from :::::::::::::::.ac.yahoo.co.jp)
From:2.::::::::::::::::::.ac.yahoo.co.jp
Subject:Mail Delivery
Date:Sun, 2 Jul 2006 15:58:32 +0900
MIME-Version:1.0
Content-Type:multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:OYN!!oW;!!i;T"!\/##!
Status:RO

Return-Path:<・・・・・・・.ac.yahoo.co.jp>
Received:from kojima.net (p3230-ipad408marunouchi.tokyo.ocn.ne.jp [222.146.163.230])
envelope-from ・・・・・・.ac.yahoo.co.jp)
Message-Id:<>
From:36.・・・・・・・・・・.ac.yahoo.co.jp
To:
Subject:()Mail Delivery (failure)
Date:Tue, 4 Jul 2006 09:31:55 +0900
MIME-Version:1.0
Content-Type:multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:-]a"!6D;"!WkI!!X`""!
Status:RO

WORM NETSKY Q ウザイ！！！

Return-Path:<*******@mail.goo.ne.jp>
Received:from ******.net (p4129-ipad506marunouchi.tokyo.ocn.ne.jp [222.148.75.129])

by mail.*******.net with ESMTP id for
(envelope-from *******@mail.goo.ne.jp)
Message-Id:<>
From:********@mail.goo.ne.jp
To:******@*******.net
Subject:product
Date:Sat,
MIME-Version:1.0
Content-Type:multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:]!k"!/K""!@P4!!I1O"

Return-Path:<*********@*****.ac.yahoo.co.jp>
Received:from ********.net (p4129-ipad506marunouchi.tokyo.ocn.ne.jp [222.148.75.129])
by mail.********.net with ESMTP id for
(envelope-from *********@********.ac.yahoo.co.jp)
Message-Id:<>
From:********@**********.ac.yahoo.co.jp
To:******@********.net
Subject:
Date:Sat, 8 Jul 2006 12:15:44 +0900
MIME-Version:1.0
Content-Type:multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:h\A!!&nF!!P\>!!#'R"!

eturn-Path:<**********@www.millenianet.jp>
Received:from ********.net (p2167-ipad88marunouchi.tokyo.ocn.ne.jp [221.188.45.167])
by mail.**********.net () with ESMTP id (envelope-from **********@www.millenianet.jp)
Message-Id:<>
From:********@www.millenianet.jp
To:
Subject:()Re: Error
MIME-Version:1.0
Content-Type:multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:E`A!!WA;!!!&7"!Pa@"!

Return-Path:<*****@***.synapse.ne.jp>
Received:from *******.net (p2167-ipad88marunouchi.tokyo.ocn.ne.jp [221.188.45.167])

by mail.**********.net () with ESMTP idfor <>; (envelope-from ****@***.synapse.ne.jp)
Message-Id:<>
From:****@***.synapse.ne.jp
To:
Subject:()
Date:
MIME-Version:1.0
Content-Type:multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:/R"#!g@M!!Rpa!!kE_"!

Return-Path: <[email protected]>
Received: from k6.dion.ne.jp ([61.198.235.106])
by nm06mta.dion.ne.jp
id <[email protected]>;
Fri, 8 Dec 2006 20:54:58 +0900
From: [email protected]
To: [email protected]
Subject: Mail Delivery (failure [email protected])
Date: Fri, 8 Dec 2006 20:55:23 +0900
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority: 3
X-MSMail-Priority: Normal

fromってのが2つあるってことは
どっかを経由してるってことですか？WORM_STRAT.DX　らしき添付ファイル付き英文メールが今日だけで4通も届きました
1ヶ月前ぐらいからたまに届くのですが、しばらく届かなくなってホッとしてたら今日まとめてきましたorz

.　　　　　 ! , -＝=､´r'　　　　　　　 　 l::::::/,ﾆ.ヽ
　　　　　　ｌ　　　　　　　　_,, -‐''二ゝ　 ｌ::::l fﾞヽ |、 　 　どんなウイルスよりも、
　　　 　 　 ﾚー-- ､ヽヾﾆ-ｧ,ﾆ;＝、_　　 !:::l ） } ト
　　　　　　 ヾ¨'７"ry､｀ 　 ｰﾞ='ニ,,,｀　 　 }::ヽ(ノ　 　 　バグてんこ盛り＋脳豚以下+元KGB+暗殺あり
:ｰゝヽ､ 　 　 !´ "￣ 'l,;;;;,,,.、　　　　　　　,i:::::::ﾐ
::::::::::::::::ヽ.-‐ ﾄ、　r'_{　　 __)｀ニゝ、　 ,,iﾘ::::::::ﾐ 　 　 　 ＋フニャチン＋スパイウェア入りのカスペルスキー

　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　を使っている方がおそロシア。

Martin Williamson
Subject:Develop your goal using our strategy that we provide for you

いきなりこんなメールきたんだけど関係あるかな？

dfhfhh




ururt




ryeeyer





eryerye




dfhfdhdf




eryery

age

他のサービスの利用中はＢＢＢは使えません。

POP3、BBS(パソコン通信)の利用中はBBBは使えません。他のサービスの利用を終了してから、やり直してください。

↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑↑

あけおめメールを開いたら、こんなことになってしまったんだが、これってかなりマズイ状況？

;;;;;;;;;;;;;;;;;;;;;/　／;;;;;;;;;;;;;;;;;;;;;;;;ｨ;;;;;;ｨ;;;;;;;ヽ
;;;;;;;;;;;;;;;;;;;;ヽ/;;;;;;;;;;;;;;／-'-'"/／/;;;;;;､;;;;i
;;;;;;;;;;;;;;;__;;;;;;;;;ｨ-'"´ ´ `',.=､_!' /ｲ;;;;/i;;| |!
;;;;;;;;;;;;;/ ヽ;;;/　　 　　　ｲl;i' ｀　/// /'　　
;;;;;;;;;;;;;;l r, i/　　 ,.,.,. 　　ゞ 　　!'　　　　　今、個人情報がなぜ漏洩したのか、私よくわかる。ダウソ板のニュイルス情報スレのテンプレに昔あったもの。
;;;;;;;;;;;;;;l '　　　　:;:;:;.,., 　　　 　 '､　　　　　　安全パソコンを作り　金玉や山田と共に生きよう
;;;;;;;;;ヽ｀>-　　　　;:;: 　　　　　 ,./　　　　　　大事パソコンを作り　エロファイルと共に春を歌おう
;;;;;;;;;;;;;;!" 　,:;.　　;: ;.　　　, -,ｧ'　　　　　　　　　　どんなにたくさんのアンチウィルスソフトを使っても、
;;;;;;;;;;;/　　　;:　　　　　　 ﾞｰｫ　　　　　　　　　　　たくさんのファイアウォールを操っても
;;;;;;;;;/ヽ　　　　 ,._　　　　 /　　　　　　　　　　　　ウィルスに感染しないパソコンなんて無理なのよ
;ヽ;;/;;;;;;;ヽ　　 /　''　ｰ- '
;;;;ヾ;;;;;;;;;;;;「 ｀ヾ、
;;;;;r;;;;;;;￣｀ヽ,　 `、
ヽ/;;;;;;;;;;;;;;;;;;;;;;i　!'

age

4 ：ｚ：2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。

ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/

漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか？
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか？

昨日良く使ってるホットメールアカウントから連絡先全員に勝手にメールが送られてた
内容は存在しないブログスポットのURLがのってるだけだった
送られた当時普段使うPCは全て電源が入ってなかった（はず）
ウイルスチェックはしてみたが反応はなし
とりあえずあんまり使わない端末からパスワードを変更して連絡先を全て消して送られた人に謝った

どうすればいいんだぜ？これはなんなんだぜ？

このサイトからウイルスが発見されたためブロックしました。
感染はしておりませんのでご安心して、 引き続きインターネットをご利用下さい。


< ウイルス情報 >
ウイルス名： VBS.LoveLetter.Var