2ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

メール添付ウイルス「WORM_MIMAIL.R」が流行中

1 :名無しさん@お腹いっぱい。:04/01/27 11:25
http://enterprise.watch.impress.co.jp/cda/security/2004/01/27/1190.html

もう2通来マスタ

2 :名無しさん@お腹いっぱい。:04/01/27 11:35
ISのログがコレ一色だ
(゚∀゚)アヒャヒャヒャヒャ

3 :名無しさん@お腹いっぱい。:04/01/27 11:36
symantec 用語では W32.Novarg.A@mm らしげ。


4 :名無しさん@お腹いっぱい。:04/01/27 11:41
McAfee だと W32/Mydoom@MM ぽい。
みんな米国時間1月26日対応とゆーみたいですが、
誰が一番早かったんですかね?

5 :名無しさん@お腹いっぱい。:04/01/27 12:08
頼むから業界でウイルスやワーム、トロイの名前を統一してくれ。

6 :名無しさん@お腹いっぱい。:04/01/27 12:26
〜〇 (゚∀゚)アヒャヒャヒャヒャ


7 :名無しさん@お腹いっぱい。:04/01/27 12:34
symantec corporation
http://www.symantec.com/region/jp/sarcj/data/w/w32.novarg.a@mm.html

Trend Micro, Inc
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R


8 :名無しさん@お腹いっぱい。:04/01/27 12:39
Network Associates Technology, Inc.
symantec corporation
Trend Micro, Inc.
共に同日

9 :名無しさん@お腹いっぱい。:04/01/27 12:42
新ウイルス「MyDoom」が大発生--SCOサイトへのDoS攻撃を狙う
http://japan.cnet.com/news/ent/story/0,2000047623,20063937,00.htm

10 :名無しさん@お腹いっぱい。:04/01/27 12:45
トレンドマイクロ以外は新種と見ているのかな。

11 :名無しさん@お腹いっぱい。:04/01/27 13:11
>>10
ネーミングに乗り遅れたトレンドマイクロ

これの亜種が出ればミメイルの亜種ということになるな

12 :名無しさん@お腹いっぱい。:04/01/27 13:38
うちの会社も今日の9時過ぎくらいから40通以上来てるな。
2chではあまり話題になってない?

13 :名無しさん@お腹いっぱい。:04/01/27 13:39
PCを起動して見たら、このウィルスが添付されてきたメールが
1件とすでに自分のアドレスで送られて相手から帰ってきた
メールが2件ほど入っていたのだが、どういうこと?
メールサーバーが感染してるの?

14 :名無しさん@お腹いっぱい。:04/01/27 13:45
なりすまししまくりですな
これ

15 :名無しさん@お腹いっぱい。:04/01/27 13:52
うちもきてるわ。
添付ファイル「document.zip」付き。
えらくはやってるようす。

16 :名無しさん@お腹いっぱい。:04/01/27 13:57
全然来ない。Sobig.Fのときも来なかった。

17 :名無しさん@お腹いっぱい。:04/01/27 13:57
1通も来ないな。
sobig-fの時も1通も来なかったし、ISPでフィルタしてくれてんのかな

18 :名無しさん@お腹いっぱい。:04/01/27 13:58
>>13
スプーフィング(なりすまし)って知ってるかな?

19 :名無しさん@お腹いっぱい。:04/01/27 14:15
>>18
感染したわけでもないのに、スプーフィングされたわけ?
どっからメアドぱくられてんのよ。

20 :名無しさん@お腹いっぱい。:04/01/27 14:17
>>19
根本的に理解不足だぞ

21 :13:04/01/27 14:22
>>20
スプーフィングっていうのは、メアドとかをどっかからパクラレて
そのアドレスを使ってなんかされることだろ?
どっからぱくられたのかが疑問なわけで。


22 :名無しさん@お腹いっぱい。:04/01/27 14:25
>21
喪前さんのアドレス知ってる人でつね
知り合いじゃないの?

23 :名無しさん@お腹いっぱい。:04/01/27 14:25
>>21
お前は誰にもメアドを教えていないのか?

24 :13:04/01/27 14:33
うん、書き方が非常に悪かった。申し訳無い。
つまり俺の言いたいことは、もしもこのウィルスに関係ない
ところでアドレスが使われたんなら、今のタイミングでこのような
メールが来なくてもよいわけだ。だから、このウィルスが今回の
不可解なメールの原因と特定して見たわけ。

で、問題なのはその俺のアドレスを知っているやつが感染した
のか、それとも1通目のウィルス添付のメールを受け取ったことで
メールサーバーが感染したのかを知りたかったわけ。

25 :名無しさん@お腹いっぱい。:04/01/27 14:36
>>24
例えばおまいが友人の掲示板にメアドを書いたとしよう
それを「全く関係ない」漏れが見て、キャッシュに残るとする
そして漏れが感染すれば、ウイルスは漏れのPC漁りまくって、キャッシュのおまいのアドレスを見つけて送信したりする

つまり、そういう色々な可能性があるワケ
殆どの場合、全く関係の無い誰か

あとメールサーバは感染しないぞ
Exchangeサーバだとしても、それとコレとは話が別

26 :名無しさん@お腹いっぱい。:04/01/27 14:51
ノートンで感染が見つかったのですが、
C:\WINDOW\system32\shimgapi.dll
という感染ファイルが削除できません。
どうしたら削除出来るでしょうか?

27 :名無しさん@お腹いっぱい。:04/01/27 14:55
シマンテックは今日2回目の自動Liveupdateだ、1回目は26日re21、2回目はre24

28 :名無しさん@お腹いっぱい。:04/01/27 14:56
>>26
セーフモード

29 :名無しさん@お腹いっぱい。:04/01/27 14:59
うちの会社も感染。
全パソコンに入ってる定義ファイルの更新が間に合ってなかったらしい。
今、情シスの人間が感染源を調べてる。
でもその間、メールサーバーはずっと止まったまま。

30 :名無しさん@お腹いっぱい。:04/01/27 15:24
うちにもキターーーー
ノートンが削除してくれたけど

31 :名無しさん@お腹いっぱい。:04/01/27 15:32
会社には10通(窓口のメアド)、取引先からのアラーム(漏れのメール
からウイルスハケーン!)も2通。
プロバイダのスキャンサービスにも入ってるし、漏れから送られること
はないのだが・・・ 誰だ!なりすましてるヤシは!w

32 :名無しさん@お腹いっぱい。:04/01/27 15:36
個人的に取引はない会社(日本国内)からきたのだが とりあえず
メアド本人ではなくWebにあった会社代表に問い合わせメールは入れておいた


こういった問い合わせの際 なりすましが予測される場合
「送信者が詐称されたものであった場合にはご無礼をお許しください」
とでも付け加えておけばいいのでしょうか?




33 :名無しさん@お腹いっぱい。:04/01/27 15:37
おれんとこ、9通キターー

ヘッダーの詳細みたら同じIPから来てるみたい。
感染してる奴突き止められんのかな?

34 :名無しさん@お腹いっぱい。:04/01/27 15:43
あんまり過剰反応するのもどうかと。

35 :33:04/01/27 15:45
Who isで調べたら某ISPだった…
とりあえずadminに警告メール送ってみた。

36 :名無しさん@お腹いっぱい。:04/01/27 15:50
今回すげーメールが来るー
メアドを勝手に合成して送るのかなこのウィルス
存在しないメアドをバンバン使ってるんだけど

37 :名無しさん@お腹いっぱい。:04/01/27 15:53
うちは、結構多いな。
10時から弾きはじめて87通。
(すみません、そのまえは通しちゃってますた)

添付の拡張子隠すし性質が悪い。
ユーザを変数にしてAレコード(ホスト)あてにセカンダリMX経由(50%)で投げつけてくる。

台湾、オランダ(nlってそうだっけ?)まで投げまくってるらしい。
同じ所からのがなかなか止まらないので、特定に手間取っている模様。
官公庁とか大学もけっこうやられている予感。

38 :名無しさん@お腹いっぱい。:04/01/27 15:56
相手が素人個人で、間違って踏んじゃった。->いじめてもしょうがないので無視。
相手がまともな企業->社内のネト官が調べてるはず。

なので、たいていの場合放置でいいだろ。
もし突っ込み入れたければ、メールを使うな。鯖官の邪魔になるだけだし
詐称されているなら、まさに迷惑。チェーンメールとおなじだ。

39 :名無しさん@お腹いっぱい。:04/01/27 15:56
某大手商社
6時間で5千通越えますた

40 :名無しさん@お腹いっぱい。:04/01/27 16:08
ポツポツきます…しかも私のPCだけ…

41 :名無しさん@お腹いっぱい。:04/01/27 16:11
ドコモから警告メールが3通きてた

スプーフィングだよ(´・ω・`)ショボーン

42 :名無しさん@お腹いっぱい。:04/01/27 16:23
あ、たぶん、こいつ、
ひとつかふたつ前の被害者のドメインをエンベロープとFromで使う。
けっこう粘着だな。


43 :名無しさん@お腹いっぱい。:04/01/27 16:52
なりすまされage

大変な目にあってる人多そうだからageでいきませんか?
俺は2通「あなたが送信したメールは・・」ってメールがきたけど、
そのウイルスメール自身は1通もきてないな。

>42
ウイルス届いてないのでヘッダ見られないのだが、
エンベロープはわからんが、なりすまされている人間が感染してない場合もあるので
FromはOutLookのアドレス帳やキャッシュじゃない?

44 :名無しさん@お腹いっぱい。:04/01/27 16:54
日本では今日の夕方頃から、会社PCほどセキュリティのしっかりしていない
個人PCから祭が起こるかもね。

45 :名無しさん@お腹いっぱい。:04/01/27 16:57
aliceなんてユーザーは俺のドメインには居ないのに使われてる
単純にアドレス帳みてるだけじゃないのは間違い無い
ユーザー名とドメイン名を勝手に組み合わせて使うのかも

46 :13:04/01/27 17:00
a

47 :41:04/01/27 17:01
>>43,45
私のところもウィルスメール自体は届いてない。
ネット上に晒してるメアドだから、やっぱ知人のアドレス帳かキャッシュかな?

今頃見知らぬ誰かに勘違いされてるのかと思うと・・・_| ̄|○

48 :13:04/01/27 17:06
>>25
書きこめた・・さっき書きこめなかったのに。
そういうことですか、ありがとうございました。
自分の場合、アドレスブックに登録せずに
連絡を取っていた相手のドメインに向かってメールを
送ってました。幸いそのドメインには該当ユーザーはいなくて
サーバーからのreturnでしたけど。
でも、添付ファイルは開いてないし、ウィルススキャン
でも引っかかってないのになぁ・・・・。

49 :名無しさん@お腹いっぱい。:04/01/27 17:13
http://internet.watch.impress.co.jp/cda/news/2004/01/27/1867.html

>Mydoomはトロイの木馬型ウイルスで、Windowsシステムのプロセスに常駐し、
>自分を添付したメールを送信するワーム活動を行なうほか、
>ファイル交換ソフト「Kazaa」経由での感染やバックドア機能も備えている。

いろいろ進化してるわけだ。(w


50 :名無しさん@お腹いっぱい。:04/01/27 17:15
>>48
いやいや、あなたが感染しているわけじゃないってことだよ?

あなたがネット上に書いた自分のアドレスを見た人や、あなたのアドレスを
アドレス帳に入れてる人間が感染した場合、あなたの名前やアドレスに
なりすませてウイルスを送信する、ということ。

51 :名無しさん@お腹いっぱい。:04/01/27 17:26
>>45
へぇ〜。なんか相当手の込んだウイルスみたいだね。
一気に大騒ぎになったみたいだけど、実行日や時間が決まってたって事かな?

52 :名無しさん@お腹いっぱい。:04/01/27 18:10
ISPがはじいてくれるから添付ファイル型ワームにはほとんど縁がない。
楽でいいけど祭に参加できなくてちょっと寂しい。

53 :名無しさん@お腹いっぱい。:04/01/27 18:19
感染しますた。
ファイル開いたらいきなり続々と10通来ました。
ファイル名はscrです。
その後ウィルスバスターDLして削除したけど大丈夫なんでしょうか?

54 :名無しさん@お腹いっぱい。:04/01/27 18:20
存在するドメインを突き止めると、ありそうなアカウントで送ってくるパターンも
ある模様。ウチの会社の鯖もターゲットにされているワケだが

jose@xxx.xxx.jp
john@xxx.xxx.jp
adam@xxx.xxx.jp
mary@xxx.xxx.jp
bill@xxx.xxx.jp
ted@xxx.xxx.jp
helen@xxx.xxx.jp
sam@xxx.xxx.jp
ted@xxx.xxx.jp
julie@xxx.xxx.jp
leo@xxx.xxx.jp
michael@xxx.xxx.jp
dan@xxx.xxx.jp
peter@xxx.xxx.jp
claudia@xxx.xxx.jp
helen@xxx.xxx.jp
david@xxx.xxx.jp
serg@xxx.xxx.jp
anna@xxx.xxx.jp
brenda@xxx.xxx.jp
maria@xxx.xxx.jp
sandra@xxx.xxx.jp
debby@xxx.xxx.jp
james@xxx.xxx.jp

そんな香具師はいない・・・

55 :名無しさん@お腹いっぱい。:04/01/27 18:24
ヤフーのメールにきていて、
開かずに削除しました。
というか、勝手に迷惑メールに入っていたので空にしただけです。
ですが、その後、
Mail Delivery Subsystem MAILER-DAEMON@csupport.ufjbank.co.jpというタイトルで添付ファイルが
なく届きました。
思わず開いてしまったのですが、


Found virus WORM_MIMAIL.R in file readme.pif
The uncleanable file readme.pif is moved to /var/iscan/virus/virEGQvDk.


こういう記載があったので
感染したのかと心配です。
一応ウィルススキャンでは感染0となりました。
大丈夫でしょうか???


56 :名無しさん@お腹いっぱい。:04/01/27 18:32
>>55
プロバイダのウイルスチェックに引っかかって,
ウイルスは削除しましたよって メッセージでしょ.
セーフですな.

57 :名無しさん@お腹いっぱい。:04/01/27 18:37
>>54
ふふ、お前の知らないだけで、その会社には地下の組織がうわっなにをするやめr


>>55
まず、ヤフーのメールってWebメールのほうでしょうか?
んで、その添付ファイルを実行(ダブルクリックとか)したのでしょうか?

もしWebメールで実行したわけじゃないのなら問題ないと思います。


58 :名無しさん@お腹いっぱい。:04/01/27 18:38
>>56
ありがとうございます。
ほっとしました。
ヤフーのメールだったのでヤフーがやってくれたってことなんでしょうかね。
MAILER-DAEMON@csupport.ufjbank.co.jp
って私は出してないんですけど勝手に配信されてるって
ことなんでしょうか。

なにはともあれ、安心しました。
ありがとう!!

59 :名無しさん@お腹いっぱい。:04/01/27 18:38
うちには全然こNEEEEEEEEEEE!

60 :名無しさん@お腹いっぱい。:04/01/27 18:38
>>57

webです。
添付はついていませんでした。
大丈夫でしょうか?
(((( ;゚Д゚)))ガクガクブルブル

61 :名無しさん@お腹いっぱい。:04/01/27 18:44
こんなメール今日PC歴7年で初めてきたよ。
思わず開いていまった・・・_| ̄|○

62 :名無しさん@お腹いっぱい。:04/01/27 18:45
今日ほどノートン先生が逞しく見えたことは無いです

63 :57:04/01/27 18:46
>>60
のーぷろぶれむ

64 :名無しさん@お腹いっぱい。:04/01/27 18:49
ありがとう!!>>63

65 :名無しさん@お腹いっぱい。:04/01/27 18:51
普段ろくにメールが来ないアドレスにさっきからぼこぼこ来やがる。

それにしても感染するには解凍して更に実行しなきゃならないってのに
なんでやっちまうんだろう?

66 :名無しさん@お腹いっぱい。:04/01/27 19:00
つーか
今時ご丁寧にワーム・メールをエラー返信する鯖ってなんなんだよ?
ワーム転送されまくりでそれがかえって拡散に寄与している

67 :名無しさん@お腹いっぱい。:04/01/27 19:01
お得意様から、なんで? とか、うわっ「あの会社から引き合い?」
ってんで、思わず解凍してしまいました。 ほんと馬鹿とは思うけど。
DOSからinet経験ある漏れだが、ほんと情けない。
勝手知ったる送り人に聞いたら、その会社、今朝から「てんやわんや」
だと。 慌ててファイル削除に「セーフモード」すら、ここで知った。
誰かさん、アリガトウね!

68 :名無しさん@お腹いっぱい。:04/01/27 19:08
なんかキナ臭い匂いがするな。
Nortonが例の証明書関係でボコボコ叩かれてる
時期にこれかよ。

69 :名無しさん@お腹いっぱい。:04/01/27 19:14
>>66
同感。

70 :名無しさん@お腹いっぱい。:04/01/27 19:21
>>68
今回のこれはSCOのLINUXがらみだと聞いたが

71 :名無しさん@お腹いっぱい。:04/01/27 20:00
>54
その中に自分のメアドと同じのがあったよ。_| ̄|○
おもいっきり、なりすまされてるし、自分。

ウイルスやリターン含めて、うちにもバンバンきてるなー、
今80通ぐらい。感染はしてないけど、来たメールで
ひっかかったファイルは端から削除。


72 :名無しさん@お腹いっぱい。:04/01/27 20:12
>54
>71
自分のも入ってる。
@より左側と右側いろいろ組み合わせてるってことなの?





73 :名無しさん@お腹いっぱい。:04/01/27 20:17
いっぺんに4つ来た

74 :名無しさん@お腹いっぱい。:04/01/27 20:25
Macなんで感染はしてないと思うけどUser unknownで返ってきた。
差出人は自分のアドレス、宛先がjack@......jpで定型文の添付ファイルつき。
成りすましだけど、私のアドレスでどんどん誰かに送られてるの??



75 :ネット屋 ◆tr.t4dJfuU :04/01/27 20:28
>>72
送信先のメールアドレスとして、左側は辞書を持っているような感じっすね。

右側は感染したPCから情報を抜いている、若しくは、一世代(またはそれ以上)前に
感染したPCからの情報かも。

現在、44通がbounceされてpostmaster宛に通知されて来てますー
#解凍して解析する若さはもうないや・・・

76 :名無しさん@お腹いっぱい。:04/01/27 20:48
>>58

なんだ、MAILER-DAEMON知らないのか。メール配送プログラムの
ことです。@ufjbank.co.jpってついてるからufjbankのメール配送
プログラムからのメッセージ。

普通は差出人に対して送ってきます。ということは、誰かが、
かってに差出人にあなたの名前を使って、ウイルスメールを
ばら撒いた、ってことです。

unreachable file ってのは、「あなたが送ろうとして
相手に届かなかったファイル」ということです。


知らないほうがよかったかな。まあ、別に気にすることないけど。

あなたにクレームつけてくる人がいるかもしれないが、そのときは、
私の名前を勝手に使われました、わたしも被害者です。といえば良
い。

77 :名無しさん@お腹いっぱい。:04/01/27 20:52
>>76
ご丁寧にありがとうございます。
送信できなかったときに戻ってくるメールということだけしか
知りませんでした。
ほんとによくわかりました。

でも私のアドレスでばらかまれてるなんて。。
作ったばかりのアドレスなのに。
くそう・・・

78 :名無しさん@お腹いっぱい。:04/01/27 20:56
>>77
え、つくったばかりなの?アカウント部分(@の左ね)は
ヤフーなら簡単な文字列じゃないよね?てことは感染者は
身近にいる可能性大だよ。

79 :名無しさん@お腹いっぱい。:04/01/27 20:56
ホームページに露出してるメアドならわかるが、
なんで今回は使い込んだメアドじゃなくて、
真新しいメアドまでうまく捕まえてるのかな。

はじめて来た、というケースが多いような。

80 :名無しさん@お腹いっぱい。:04/01/27 21:01
どうもこのウイルスは<<75さんがいうように
辞書を使った形で、メールアドレスを適当に生成してるようですね。

私のメールアドレスは辞書に載っててもおかしくない簡単なアドレスなので
感染メールが80通ほど来てます。
それとあて先不明で帰ってくるメールも10通ほどです。

5分もしないうちに2通ほど来てますよ・・・もう・・・



81 :80:04/01/27 21:02
>>80
あ、間違ったよ・・・
どうもこのウイルスは>>75さんがいうように
訂正・・・

アンチウイルスに削除サレテキマ・・・・

82 :名無しさん@お腹いっぱい。:04/01/27 21:06
@の左側、8文字もあるんだけど。それも意味なし・・
それでも辞書機能で作成されるのかなあ

83 :名無しさん@お腹いっぱい。:04/01/27 21:07
自分は、アカウント単純すぎでひっかかったのかも。

今現在、違うプロバイダーのアドを3つ使っているんだけど。

今、沢山ばい菌メールが来ているアドは
友達数人しかしらず、ネット上では
一度も書き込んだ事の無いアドなんだよね。

その親しい友達は、2つの別アドも知ってるから
友達が感染してれば、2つの別アドにも
「WORM_MIMAIL_R」が来ても、おかしくないんだが。

普段、オクやネットでオープンに使っている
2つには「WORM_MIMAIL_R」は来てない不思議。

84 :名無しさん@お腹いっぱい。:04/01/27 21:08
>>81
うーん。俺のアドレスアカウント部分は簡単ではあるが日本人以外が
鍛えても辞書に掛かりそうにはないんだけどな〜。
アドレス帳+辞書ってとこだろうか。

85 :名無しさん@お腹いっぱい。:04/01/27 21:11
今日一日で14通も届いてた。
こんなに届いたのは久しぶりだ。

86 :名無しさん@お腹いっぱい。:04/01/27 21:14
>>78
え!!そうなんですか。。
作ったばかりなのでアドレスを知ってる人って
いないに等しいんですよね。
むむむ・・・

87 :名無しさん@お腹いっぱい。:04/01/27 21:14
うちはどうやらocnのウイルスメールチェックが効いてるようで
その手のメールは来てないのでおそらく感染してはない。
会社のPCも祭状態にはなってないようなのでどれほどの脅威かわからないのが
ある意味残念。
ところで、これってメールを乱発するだけ?
それとも個人情報抜かれたり利用されたりするやつ?

88 :80:04/01/27 21:16
>>84
アドレス帳+辞書っぽいね。
今まで来たメールはJhonとかMikeとか、外人さん系が多いけど
中には、○○.○○@って感じのモロ日本名で間にドットが入ってるのも結構来てるし

89 :名無しさん@お腹いっぱい。:04/01/27 21:24
@の左側、よくある名前にしてるからなァ。
じゃんじゃん来てるよ。

90 :名無しさん@お腹いっぱい。:04/01/27 21:39
私はたった4文字&メジャープロバイダなのに全然来ないなぁ。
とはいえ普通の名前では使わない組み合わせだからかも。

91 :名無しさん@お腹いっぱい。:04/01/27 21:43
こういうのって、メルマガとかたくさん取ってるのは関係あるっすか?

92 :名無しさん@お腹いっぱい。:04/01/27 21:43
>87
それは、OCNのウイルスチェックが効いているというより
単に、ウイルスメール自体が、来てないんじゃないのかと。
チェックが効いていれば、感染はしないけど
その手のメールをチェックしましたよという通知は来るはずだ。

93 :名無しさん@お腹いっぱい。:04/01/27 21:52
>>92
なるほど。現在会社にいるので帰ってまたチェックしてみます。
ひょっとしたら恐ろしいことに・・・

ところで、これはhotmailのアドレスもヤバイのかな?

94 :名無しさん@お腹いっぱい。:04/01/27 21:59
web上でもじゃんじゃん公開してる会社の代表アドには来てないのに
そんなに頻繁に使っていない社員のアドに届いてたよ...

ウィルスメール届いてから数分後に
ウィルスメール送信してますよってとある鯖からメールが送られて来てた。
ウィルスに目をつけられた?アドは送信元になったり、送信先になったりするのかな?

とりあえず、ヘッダ見たら大手プロバのリモホが見えたので
お知らせメール送ってきますたが...

95 :名無しさん@お腹いっぱい。:04/01/27 22:02
今日だけで既に100通突破!

ええかげんにせぇ、と言いたい



96 :名無しさん@お腹いっぱい。:04/01/27 22:04
一通も来てない罠。
ある意味さびしい罠。

97 :名無しさん@お腹いっぱい。:04/01/27 22:10
>>96
メアド晒してくれたら転送するよ?

98 :名無しさん@お腹いっぱい。:04/01/27 22:10
>>94
>そんなに頻繁に使っていない社員のアドに
1から読めばわかると思うがそれはその社員じゃなくて
社員の知り合いとかが感染者の可能性ありますよ。

99 :名無しさん@お腹いっぱい。:04/01/27 22:11
メールアドレスを自動生成するせいで、
普段ウイルスに縁のない、ウィルスの脅威を感じなくて対策に力を入れていないような人にも
ドカドカ届いてるってのが怖いよな。

例え存在しないアドレスに送ったとしても、差出人さえ確実であれば、
MAILER-DAEMONがウイルスを届けてくれるんだもんな。
これは考えたな。

100 :名無しさん@お腹いっぱい。:04/01/27 22:13
>>98
1から読めばわかると思うが、それはそのその知り合いが感染しているわけではなくて
単に、その社員がありがちな名前のメールアドレスを使っている可能性も高いと思うよ。

101 :名無しさん@お腹いっぱい。:04/01/27 22:14
アカウントによっては、周りが感染してなくても来る様子。
英語名だったり、単純だったり・・・って、ヲレだ。_| ̄|○

102 :名無しさん@お腹いっぱい。:04/01/27 22:23
一通もこねー!

103 :名無しさん@お腹いっぱい。:04/01/27 22:27
俺もこねー。
来る奴と来ない奴が極端だな。

104 :名無しさん@お腹いっぱい。:04/01/27 22:44
結果としてドメインごとに狙われるみたいだから、
多いドメインと少ないドメインがあるんじゃないかな。

行きも戻りも詐称するから弾かなければドメイン内のワームはだんだん増えていく。
逆にドメインのすべてのMXサーバ上で弾いて捨ててれば、だんだん減ってくる。

あとは、
数が来てるように見えても、出どころのIPで見ると少ない。
だから、多いところと少ないところがあるように見えてる。

105 :名無しさん@お腹いっぱい。:04/01/27 23:14
しかもDDoSのオマケ付き

106 :名無しさん@お腹いっぱい。:04/01/27 23:23
100通突破しますた。

107 :名無しさん@お腹いっぱい。:04/01/27 23:24
>99
MAILER-DAEMONを装ったのも有ったよ。
OCNに「エラーメールに添付ファイルをつけるな!!」ってメールを出す
直前に気づいた。
こんなメール出したかな?って開くのを期待していると思われる。

108 :名無しさん@お腹いっぱい。:04/01/27 23:56
>107

戻りを装う場合、

出どころのIPは以下とは関係ないIPで、
Fromは、MAILER-DAEMON@詐称するドメイン、
エンベロープは、MAILER-DAEMON@攻撃するドメイン、
行き先は、攻撃される人@攻撃するドメイン

になってるのが多いから、たぶんOCNが詐称されてる。

けっこうこんがらがりそうなメール作ってくれるよね。

109 :名無しさん@お腹いっぱい。:04/01/28 00:03
>>62
たくましいっちゃたくましいんだけど、
かえって煩わしくて鬱陶しかったわ、オレは

110 :名無しさん@お腹いっぱい。:04/01/28 00:06
装ったのでなしに、ちゃんと正式に戻してくるMAILER-DAEMONもいるよ
最初がlocalhostのやつ (w

111 :名無しさん@お腹いっぱい。:04/01/28 00:06
携帯のメールに沢山届いて困っています・・・・
ふつうのPCのメールには届いていないのに。
携帯だと、本文しか来ないと思って大丈夫ですかねぇ。


112 :名無しさん@お腹いっぱい。:04/01/28 00:06
プロバがniftyの人ってこれ来てる? 漏れもダチも一通も来てない。

113 :名無しさん@お腹いっぱい。:04/01/28 00:09
携帯(あう)のメアドにも来てるんだけど、こういうもの?
それと取引先数件しか知らないメアドにも来てる…

web上に晒しているメアドには全然来てないのになんでや〜

114 :名無しさん@お腹いっぱい。:04/01/28 00:11
>112
>漏れもダチも一通も来てない。

藻前には実はダチなんかいないので
藻前のメアドは藻前のPCのメーラー
にしか存在してないに500ペリカ

115 :名無しさん@お腹いっぱい。:04/01/28 00:14
Received: from ns.fromgamers.jp (unknown [203.139.129.131])
↑ヘッダに共通して必ずコレが入ってる
もう今日だけで13個きてる

116 :名無しさん@お腹いっぱい。:04/01/28 00:20
漏れは6通きた。

>>115
購読してる某メルマガに同様の記述があった。


117 :名無しさん@お腹いっぱい。:04/01/28 00:35
Fromで@2ch.netを詐称しているものが届いてた(w
ひろゆきんところにも沢山届いてるんだろうな。

118 :名無しさん@お腹いっぱい。:04/01/28 00:44
俺の所はSonetからのが多いな。
エラーメールも何通か来ているが、添付ファイルを削除してるとこと
そのままの所が有るな。
ウィルスをばらまいているプロバイダはさっさと対策して欲しいもんだ。

119 :名無しさん@お腹いっぱい。:04/01/28 00:45
ネットショップ運営しているんだけど、
めちゃめちゃ沢山来ますね。。。
SWEN.Aの比ではないけど。

120 :名無しさん@お腹いっぱい。:04/01/28 00:48
@NIFTYの鯖が重くなっててメールが取れない。
112の所には明日の朝沢山届いているかも知れないな。

121 :名無しさん@お腹いっぱい。:04/01/28 00:49
漏れソフトバンクから来たよ
ちとウケル

122 :名無しさん@お腹いっぱい。:04/01/28 00:55
600通ほど来てますた。
削除するの大変ですた。

123 :名無しさん@お腹いっぱい。:04/01/28 00:56
>>122
ものすごいな…

124 :名無しさん@お腹いっぱい。:04/01/28 00:58
3通/分くらいで来てたみたい。

125 :名無しさん@お腹いっぱい。:04/01/28 01:04
うひゃー。うちの会社のメール鯖エライことになってますー。
とりあえずsendmail.cfのルールセット書き直してadhocに対処します田。

126 :名無しさん@お腹いっぱい。:04/01/28 01:09
ヘッダ情報を見てプロバイダに「対策しろやゴルア!」みたいなメール
送ってる人がいるみたいだけど、やめたほうがいいよ。

会社にきたやつの中には
Received: from 以降のサーバ名とIPアドレスの情報が一致しないものがあった。
おそらく経路情報もある程度詐称する能力を持ってる。

それに今回みたいな大規模な感染の場合、いちいち苦情メール入れることで、
プロバがその対応に追われてしまい、本来のウィルス対策に工数が
割けなくなってしまっては本末転倒。
ウィルスメールを受け取っても感染していない人は、沈静化するまで
静観するがよろし。


127 :名無しさん@お腹いっぱい。:04/01/28 01:15
へ?自分とこのMTAが受け取った時のIPしか信用しないのは基本でしょ?
(qmailなんかの場合)reverse lookup しない設定にしてるとこも多いし,
そもそも、EHLOで相手の自称するhost nameって信じないでしょ。

でも、connection取れたIPだけは信用できるわけで。


128 :名無しさん@お腹いっぱい。:04/01/28 01:50
2月1日〜12までDOS攻撃するんだって、
しマンテックに書かれてたよ、

129 :126:04/01/28 03:18
>127
へえ、逆引きしないってことは詐称しまくりされまくりですね。知らんかった。
どおりでSPAMがのさばるわけだ。

自分とこに来たのは

Received: from サーバ名 ([(IPアドレス)])

とあって、IPアドレスがどうやら感染者本人の端末であり、
サーバ名の方は全然関係ないサーバだった。
だから、よくウィルス対策紹介サイトで、
「Received:の一番下の行が感染者のプロバイダだからそこに問い合わせろ」って
書いてあるのを見かけるけど、うかつにサーバ名だけ見てプロバに問い合わせ入れても、
まったくトンチンカンである可能性もあるわけで・・・。

最近のウィルスってホントよくできてるね。ある意味感心。

130 :名無しさん@お腹いっぱい。:04/01/28 03:28
qmail派の人がreverse LookUpしないのは無用なトラヒック
が嫌いだからで。あと、qmailでreverceLookUpしない人はMTAに
詳しい人が多いので、チェックするときにSource IPをdnsqしてるん
じゃないですかね。 qmailのひとは、paranoid checkもしないですよね。

131 :名無しさん@お腹いっぱい。:04/01/28 03:37
SCOは訴訟でUNIX独り占めを狙う基地外会社だからネット社会
から憎まれるのは当然だが、こんなワームでDDoS攻撃しても効果
ないだろ。アドレス変えればいいだけだし。一般ユーザーに迷惑
かけるだけなんだが…

132 :名無しさん@お腹いっぱい。:04/01/28 04:11
これってSCO狙いのDDOSが目的だったの?
んじゃなんで、うちとこのメール鯖にスパムぶり巻くの(⊃д`)

133 :名無しさん@お腹いっぱい。:04/01/28 04:15
今1通きますた。ウィルスチェイサーが即反応したので治療。

134 :名無しさん@お腹いっぱい。:04/01/28 04:24
こんだけ蔓延してるのに、
「感染しちゃった、どうしよう!」Σ(゚Д゚;≡;゚д゚) オロオロ
って書き込みがほとんどなくて、メール鯖やサイト管理者のグチとか
ばっかりなのが笑える。

もしかして感染しちゃったやつら、
いまだに感染したことに気づいてないんじゃ。(゚д゚)コワー

135 :名無しさん@お腹いっぱい。:04/01/28 04:54
>>134
いや、感染とかしないっしょ。

136 :名無しさん@お腹いっぱい。:04/01/28 05:46
http://www.cert.org/
CERT(R) Advisory CA-2004-02 Email-borne Viruses
CERT® Incident Note IN-2004-01
(ノ∀`)アチャー

137 :名無しさん@お腹いっぱい。:04/01/28 06:00
>>134
道灌。こいつは目立った破壊活動は一切やらないから初心者は
感染に気づかない。(バックドア作られてるのがコワイんだが)

ブラスタのときもそうだったが、大規模流行ウィルス専用スレは鯖管、
シス管、セキュ要員の情報交換&愚痴スレになる運命w

138 :名無しさん@お腹いっぱい。:04/01/28 07:44
私macユーザーだから感染してないはずなんだけど
私のアドレス宛に返信メールが来ます。
(あんたからのメールがウイルス反応してるよみたいな)
これってなりすまされてるんでしょうけど
接続切ったところで意味ないんですよね?
実際に私の所からは送られてないんでしょうし・・・

間接的に他人に迷惑かけてるっぽくてイヤだな〜。

139 :名無しさん@お腹いっぱい。:04/01/28 07:48
>>138
かけてない。無視。

140 :名無しさん@お腹いっぱい。:04/01/28 08:17
>>138

ウイルスに感染した未知のユーザのPCが貴方のアドレスを騙って、今回貴方にウイルスを送って
きた相手のドメインの、実在しないアドレスに対してウイルスを送りつけます。
当然、実在しないアドレスということであれば、user unknownということでMAIL DAEMONがfrom
アドレスに書かれた相手に対して、メールを返却しようとします。
この時に、添付ファイルのチェックをしないままに返却を行うために、改めてウイルスがばら撒
かれなおすという状況になっています。

つまり、今回貴方にウイルスメールを届けた相手側のメールサーバ上にインストールされてある
ウイルス対策ソフトの設定の拙さが原因の可能性が高いということになります。

返却メールからは添付を取り除く設定になっていなかったり、またはファイヤーウォールとメー
ルサーバの間に、ウイルスをチェックする新たな仕組みが入っていないと、こうなります。
可愛そうなので実名は伏せますが、先週BAGLE.Aが流行ったときに国内某大手通信社のメールサー
バがまさにこういう状況だったようで、二度ほど指摘してみたところ大人しくなったようです。

ここから先は予想なのですけれど、貴方のところに届いたウイルスが添付されていたメールは、
多分こういった次章が該当すると思いますが....
FromはMAILER-DAEMON@****.***.**になっている。
SubjectはUndelivered Mail Returned to Senderになっている。

まあ、こうしたセキュリティホールを抱えたメールサーバ一覧リストとか作って公表すると、
方々の担当者は真剣に勉強し始めるかもしれませんね。


141 :名無しさん@お腹いっぱい。:04/01/28 09:30
だめだ。全然こいつ来ない。
だれかちょうだい。上のメアドはほんとに俺がさっき取ってきたやつだから。


142 :名無しさん@お腹いっぱい。:04/01/28 09:57
送ったよ

143 :名無しさん@お腹いっぱい。:04/01/28 10:28
いつもうちにはあまりウィルスメールこないのに今回はイパーイ来てたから
大騒ぎになってるかと思ったが、そんな騒ぎになってないのな。

まぁイパーイキタといっても「オメェの所にそんなユーザーいねえぞゴルァ」な
メールばかりだから管理者以外は気にならないのか。

144 :名無しさん@お腹いっぱい。:04/01/28 11:14
>>140
今回のウイルスは単純にFromにも「MAILER-DAEMON」と偽装する
機能があるだけでは?

だから、これまでのメール添付型のウイルスよりも皆がついついクリックして
しまい感染が広まっていると思うけどね。

145 :(4w4)っ● ◆4w4.pcSySw :04/01/28 11:18
アドレスを偽装するにしても、すでに国内で感染者が
いるようだね。
10:00〜11:00だけで、会社に4通、個人に2通来ますた。
昨日は、会社に3通。

146 :名無しさん@お腹いっぱい。:04/01/28 11:38


こんな内容のメールが来たよ(;´Д`)
どうすればいいの?


*****************************************************************

あなたが送ったメールの添付ファイルにウイルスが検知されたため、
感染ファイルを削除して送信しました。

ウィルス名 :WORM_MIMAIL.R
 添付ファイル名:file.zip
 検知日時 :01/28/2004 11:24:31

ウィルスの詳細については、Trend Micro社のホームページをご覧下さい。
http://www.trendmicro.co.jp/

このお知らせは自動送信されています。
送信元にお問い合わせいただいても返信致しかねます。ご了承下さい。


VirusCheck - http://www.cw.com/jp
**********************************************************

147 :名無しさん@お腹いっぱい。:04/01/28 11:40
文章読め

148 :名無しさん@お腹いっぱい。:04/01/28 11:42
送信元に無差別に
>ご利用のコンピュータがウイルスに感染している可能性があります。
>至急ご確認頂くことをお勧めします。
ってメール送る魔抜けなプロバイダがいまだにござる。


149 :名無しさん@お腹いっぱい。:04/01/28 11:42
>>146
自分のパソコンが感染していないかチェックして問題ないなら無視しとけ。


150 :名無しさん@お腹いっぱい。:04/01/28 11:43
>>146
お前はわずか6つ前のレスも読めんのか?

151 :名無しさん@お腹いっぱい。:04/01/28 11:49
>>150
Worm_ScrollUpKiller.Aに感染してる香具師が多い。これに感染すると
上スクロールが効かなくなり、googleに接続できなくなる。またユーザー
の知能も9割方低下させるそうだからコワイ罠。

152 :146:04/01/28 11:50
>>149タソ
ありがと。今調べてる。

>>150
ごめん。
6つ前のを読みました。
でも初めてのことなので意味が良く分からない

153 :146:04/01/28 11:52
>>151
ええええ、マジで?
冗談抜きでWorm_ScrollUpKiller.Aってのも感染してるかも。
最近上スクロールしにくくてイライラしてた

154 :名無しさん@お腹いっぱい。:04/01/28 11:59
おれのところに、
ナムコから大量に来るんだけど、やめてくれない?

155 :名無しさん@お腹いっぱい。:04/01/28 12:05
正当なアドレス宛てで、300以上スキャンに引っかかって捨てたが、

Sender address rejected: Domain not found
Sender address rejected: need fully-qualified address
User unknown in local recipient table
Helo command rejected: Invalid name

とかで弾けたのは、約800ぐらいかな。意外に少ない。
けっこうちゃんと挨拶して送ってくるから始末が悪い。

156 :名無しさん@お腹いっぱい。:04/01/28 12:06
それなりに大きな企業の社内のロータスドミノ経由でウィルス除去済みのメールが届いたよ。
向こうのロータスドミノでウィルスチェックしているからいいんだけど、化学、医薬、産業設備、
ITまで売りにしている企業がこういうことしているとだめぽですよ。

社内で自分のサイトを見てくれた人が感染したに間違いないのだが。

157 :名無しさん@お腹いっぱい。:04/01/28 12:11
私のところにも何通か着てるんだけど、
そんな私が他人にメール送っても平気?

158 :ネット屋 ◆tr.t4dJfuU :04/01/28 12:21
>>153
ネタだと思うけど、それはM$のバグ。
http://pc2.2ch.net/test/read.cgi/win/1070206121/

>>157
心配ならチェック汁
http://www.symantec.com/region/jp/sarcj/data/w/w32.novarg.a@mm.html

それでも心配なら駆除汁
http://www.symantec.com/region/jp/sarcj/data/w/w32.novarg.a@mm.removal.tool.html

それでも心配ならOSクリーン再インストール汁

漏れのサーバに存在しないユーザから存在しない別のユーザ宛のメール
が出されてら(苦笑
ひでぇなぁ・・・


159 :名無しさん@お腹いっぱい。:04/01/28 12:23
今日サーバーが処理した外からのメールの内
6通に1通はMIMAILに感染しているよ。

どうなってるの。

160 :157:04/01/28 12:25
158さん
ありがとう〜。
駆除できるならまず駆除します(ノД`)

161 :名無しさん@お腹いっぱい。:04/01/28 12:25
うちは、
バックアップのメールサーバで自ドメイン宛ての「リンダ」だの「デビット」宛てのメールも全部いったん受けて、
そこでスキャンしてだまって捨てることにした。
「ユーザがいない」と戻すこと自体が今回は危険だからです。
経路上にゴミ箱つくらないと減らないかもね。

162 :名無しさん@お腹いっぱい。:04/01/28 12:39
まったく同じ症状だーーー

1月26日付けで多額の慰謝料ふんだくって離婚したから
元夫からの嫌がらせかと思ってたゲラゲラ

163 :名無しさん@お腹いっぱい。:04/01/28 13:08
送信者のメアドは詐称されているものと思うから信用はしてないけど、
時々こんなメアドあるのか?と思うような物も来るんだが…
@以降の末尾がmyになっているメアドって、本当にあるの?
(今までに見た事ないのですが)

164 :名無しさん@お腹いっぱい。:04/01/28 13:15
>>163
> @以降の末尾がmyになっているメアドって、本当にあるの?

myはマレーシアでして、ウチにはそれなりによく来ます。

165 :名無しさん@お腹いっぱい。:04/01/28 13:26
>>164
なるほど、myはマレーシアでしたか。ありがとう。

166 :(4w4)っ● ◆4w4.pcSySw :04/01/28 13:35
ドメインは、ここに載ってるよ。
http://www.benri.com/domain/

今朝から、16通目。
サブジェクトの「Hi」のやつは、大文字と小文字の2バージョンあるね。


167 :名無しさん@お腹いっぱい。:04/01/28 13:47
なんか急にこなくなった・・・
向こうが夜だからか、上のほうで対策されたか。

168 :名無しさん@お腹いっぱい。:04/01/28 13:51
エラーで弾かせて送るという手法は、
結局普通のメールサーバを攻撃の踏み台にしてる格好になる

多くは、Fromに攻撃対象のアドレスをセットしてる
robertやjackやlindaやらは、そこに弾かせるためにつけてるんだよ

169 :ネット屋 ◆tr.t4dJfuU :04/01/28 14:19
>>161
>>168
ですね。うちもbounceしないようにしました。

>>167
まだ2日間しか見てないけど、うちは第二次攻撃が始まりますた(Tд⊂
第一次攻撃開始から20時間30分後より。
インターバル設けてるんすかね。

170 :(4w4)っ● ◆4w4.pcSySw :04/01/28 14:29
確か「パソコンを起動するたびに実行される」でしたよね。
そうすると、実質的には明日くらいのほうが時間による
集中が起こりやすいのかも。

171 :名無しさん@お腹いっぱい。:04/01/28 14:29
ドコモからメールきたあ〜 保存してウイルス検索してみたけどなんも検出されなかったんだけど・・・何故・・・・?

172 :名無しさん@お腹いっぱい。:04/01/28 14:35
>>171
メール本文はどうなってる?

173 :名無しさん@お腹いっぱい。:04/01/28 14:37
W32/MyDoom-A って、同じウイルス?
別物?

174 :名無しさん@お腹いっぱい。:04/01/28 14:40
>>173
同じ。会社によって名前が違うだけ。
ttp://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/01.html#20040127

175 :名無しさん@お腹いっぱい。:04/01/28 14:55
>174
アリガトン
しかし、迷惑な話だ。
警告からなにから200通を超えて、到着しとる。

犯人捕まえたら25万ドルって、いいな、自分は無理だが。

176 :名無しさん@お腹いっぱい。:04/01/28 15:22
今日はぱったりメール来ないね

対応速くなったよなー

177 :名無しさん@お腹いっぱい。:04/01/28 15:27
MTAの無意味なエラー返しがウザいな。


178 :名無しさん@お腹いっぱい。:04/01/28 15:48
うちは未だに、来まくってます・・・何故?

179 :名無しさん@お腹いっぱい。:04/01/28 15:50
From行だけ見て苦情よこすな、バカ管!

と愚痴ってみるテスト。

180 :(4w4)っ● ◆4w4.pcSySw :04/01/28 15:52
1時間に5,6通
 ↓
現在、1時間に1通

まあ、それぞれの経路でウイルスが送られてくるわけだから
個人差はあっても仕方ないよ。
あまりに多い場合は、身近な人が感染に気付かず再起動を
繰り返しているか、所属する団体内で感染が広まっているか
最悪、自分が感染しているっていうことじゃないかな。

181 :名無しさん@お腹いっぱい。:04/01/28 16:56
>>176
ウイルスバスターなんを入れると、元メールを消して
情報としてformに記載されている情報を、発信者としてリストアップするからね〜

俺も、そのFromに記載されているのを見たうちの幹部が取引先からだと
勘違いして、激怒してましたよ。


182 :名無しさん@お腹いっぱい。:04/01/28 17:06
>>172
本文なんもなかったよ? 件名が HI って書いてあった。

183 :名無しさん@お腹いっぱい。:04/01/28 17:31
>>182
状況がよくわからないので何とも言えないけど、
何かの理由で本文と添付ファイルが削除されたまま
送られたって事じゃないかな。
プロバイダはどこ?それによってはプロバイダでの処理の
関係かもしれない。
あまり気にしなくていいと思う。
一応感染チェックは怠らないようにね。

184 :名無しさん@お腹いっぱい。:04/01/28 17:57
今日はじめてMIMAIL.R来る。
立て続けに3通も。

日記。

185 :名無しさん@お腹いっぱい。:04/01/28 17:59
>>181
はあ?

186 :名無しさん@お腹いっぱい。:04/01/28 18:36
>>185
俺の大切なブラザーを煽りやがったな
>>181の友達のハッキングマスターだが、
言っておくがお前等知らないぞ。
既にハッキングプロトコルをハードディスクから
デュアルCPUしてメモリーにclickした。
パソコンデスクにディスプレイをインストールしてCD-Rするのに少々手間取ったが
どんどんお前達のフロッピーがプリンターしてるぜ(haha
イキガルノモイマノウチダ

187 :名無しさん@お腹いっぱい。:04/01/28 18:39
>>186
残念。俺のパソコンFDついてない。

188 :名無しさん@お腹いっぱい。:04/01/28 18:42
>>186
そのコピペ秋田

189 :名無しさん@お腹いっぱい。:04/01/28 20:39
一気に着たぞ

190 :名無しさん@お腹いっぱい。:04/01/28 20:45
いまだ0
セキリュティ面で完全ということか・・・?

191 :名無しさん@お腹いっぱい。:04/01/28 20:46
jcom
ビックローブ
ぷらら
などから一気に来た

こいつらのアドレスはハックされたものなのか

192 :名無しさん@お腹いっぱい。:04/01/28 21:02
so-net
ocn
nifty

大所帯のとこからいっぱい来ますた

193 :名無しさん@お腹いっぱい。:04/01/28 21:04
>>191
このウィルスは送信元を偽るよ。

194 :名無しさん@お腹いっぱい。:04/01/28 21:21
契約している、プロバイダーがあぼーんしてるみたいでつ。
メールもダウンロードも出来ないし、プロバイダーのHPにも404でアクセスできません。

195 :名無しさん@お腹いっぱい。:04/01/28 21:22
過去最速で感染を広げる「MyDoom」
http://pcweb.mycom.co.jp/news/2004/01/28/001.html


196 :名無しさん@お腹いっぱい。:04/01/28 21:24
アンラボは、ついさっき対応したぞ。さすがだな。

197 :名無しさん@お腹いっぱい。:04/01/28 21:26
でも、今回のウィルスは凄そうだな。

198 :名無しさん@お腹いっぱい。:04/01/28 21:35
初めてUndeliverable Mailが来た。
確かに蔓延してそうな予感がする。

上にも書いてあるけどこれが更に圧迫させてるだろうな。。


199 :名無しさん@お腹いっぱい。:04/01/28 21:36
>>192
うちもニフ多い

200 :名無しさん@お腹いっぱい。:04/01/28 21:46
どーなってるんだーーーーーーーーーーー







全然こねーぞ!!!!!!!!!!!!!

201 :名無しさん@お腹いっぱい。:04/01/28 21:48
昨日の昼ごろから大量に来だした。すでに100を超えてる。
何でこんな多いのか調べたら、このウイルスが生成する送信先
メールアドレスのユーザー名@リストと自分のメールアドレスが
一致していた。

母さん。 僕は外人と結婚したあなたを恨みます。




202 :名無しさん@お腹いっぱい。:04/01/28 21:52
前回のブラスタの時は、速攻で来たのに
今回はまったく音沙汰無し。(´・ω・`)

203 :名無しさん@お腹いっぱい。:04/01/28 22:00
た、助けて〜
昨日から400通来てます。
削除するのも疲れますた。



204 :名無しさん@お腹いっぱい。:04/01/28 22:02
★重要注意★
メール鯖からの配達不能メッセージにウィルスが添付されて
いることがある。こういう↓メールをうっかり開かないこと。

From: MAILER-DAEMON@****.***.**
Subject: Undelivered Mail Returned to Sender

どうしてそうなるかは>>140

205 :名無しさん@お腹いっぱい。:04/01/28 22:09
ウィルスメール今年になって、まだ一度も来ないよ〜

206 :名無しさん@お腹いっぱい。:04/01/28 22:14
>>203
ウィルス流行時にはツール使って削除が吉。いちいちメールを
ダウンロードしないでヘッダーだけ見て削除できるから高速で
さくさく処理できます。うっかりダブクリすることもないし安全。

Spam Mail Killer
http://homepage1.nifty.com/eimei/

ルールも簡単に設定できる。いろいろ便利機能もついてるよん。
ブラスタ流行のときに入れたんだが、また役に立ってる。 (・∀・)イイ!


207 :名無しさん@お腹いっぱい。:04/01/28 22:20
┌─────────────────────────┐
│! 警告 古賀潤一郎の学歴詐称を発見しました。      .×│
├─────────────────────────┤
│..∧__∧  隔離しないと、また学歴詐称を招くでしょう。    │
│(-@∀@) 民主党から隔離することを強く推奨します。    .│
│                                                  │
| ┌────┐┌────┐ ┌────┐             │
│ │放置    ││駆除    │ │隔離    |             │
│ └────┘└────┘ └────┘             │
└─────────────────────────┘


208 :名無しさん@お腹いっぱい。:04/01/28 22:23
【民主党へのご意見メールについてのお願い】

民主党へのメールによるご意見、ご質問は、 info@dpj.or.jp 宛で受け付けています。
しかし最近、スパムメール、ウィルスメールほか、心ないいたずらメールなどが増加しています。
メールをお送りいただく際には、以下の点にご留意いただきますようお願いいたします。




209 :名無しさん@お腹いっぱい。:04/01/28 22:24
>>191-192
それはFromじゃなくてヘッダーのそれもIPを確認して書いてるのか?
それともFromを信じて書いてるだけ? それならニュー速+に逝った
方がいいよ、仲間が一杯いるから話が合うと思います。


210 :名無しさん@お腹いっぱい。:04/01/28 22:59
サーバ回りの話題は書き込み規制がかかるらしいので、これでおいとまするけど、

複数MXを持っているサイトだよね、問題は。

間に別のMXサーバを入れてbounceさせて広がる。
MXを細かく引いてるしね、もし直に当たれば550とかではじかれるから広がれないもの。
結果としてそうなってるような気がするな。



211 :名無しさん@お腹いっぱい。:04/01/28 23:13
会社の同僚宛に、俺の名前できやがった。
知識ない奴はスプーフィングなんか知る由もないから、俺が撒いたといいやがる。

ったく、感染源は誰なんだっつーの。  ヽ(`Д´)ノウワァァン

212 :名無しさん@お腹いっぱい。:04/01/28 23:22
>>183
うん

213 :名無しさん@お腹いっぱい。:04/01/28 23:29
しろうとなんですが、ひょっとして
メールのタイトルが「Hi」になっていませんか?

214 :名無しさん@お腹いっぱい。:04/01/28 23:33
俺、なんだか急にみんなから「Hello」とか「Hi」とかメール来ちゃってるよ。
ひょっとして俺、人気者?


215 :名無しさん@お腹いっぱい。:04/01/28 23:37
140の書き込みをした者です。
あの考え方に対する理解と賛同が一部寄せられていることに、感謝します。

mydoom.a型ウイルスの目的ですが、トレンドマイクロやシマンテックの当該ウイルスの解析
結果にもあるように、2月1日以降12日までの間SCOのサイトに対してDDOS攻撃を仕掛ける仕様
になっています。
攻撃側としては一台でも多くの感染したPCが増えれば良い訳で、140で指摘したような実質的
なセキュリティホールを抱えているであろうメールサーバが世界中に多数存在することを見
越して作成されたウイルスと思われます。

大多数の一般の人たちは、経路上でウイルス対策を実行するという事と、違うメーカーのウ
イルス対策ソフトを、衝突しないように気をつけながら組み合わせて効果的に運用するという
事までは考えませんので、このウイルスが起こす第二の症状、つまり上述したDDOSを回避する
方法として、感染したPCを一台でも減らすことで被害を最小限に食い止めるという手法はかな
り難しいと予想しています。

ということで次の課題は2月1日になる前までに、特定のサイトに対するDDOSが実施されないよ
うにする方法か、または実施された結果国内外のトラフィックが異状にならないようにする為
にはどうしたら良いのかということを考える段階へ進んだほうが良いのかもしれません。


216 :名無しさん@お腹いっぱい。:04/01/28 23:38
WORM_MIMAIL.Rが送られてきたけどたちの悪い事にヘッダーが取得できない。
Spam Mail Killer もハングしてしまって、仕方が無いので受け取ってすぐ
に削除した。だんだん面倒になってゆくなクソ!

217 :名無しさん@お腹いっぱい。:04/01/28 23:45
>>216
etherreal等のスニファを導入して、トラフィックログから中継情報の部分を再現するとか
方法になってしまうでしょうねぇ>無論今後の解析方法の一つという話で

218 :名無しさん@お腹いっぱい。:04/01/28 23:49
SCOがドメイン停止とかあり得るのか?

219 :名無しさん@お腹いっぱい。:04/01/28 23:54
>>218
それも一つの方法でしょうね。
一方でまだプロトタイピングに近いものですが、NTTが昨年の二月ごろに移動FWシステムを
作っていて、これだと攻撃元までさかのぼりながらDDOSを封じ込めるというものです。

当然SCOはNTTの開発を知っていると思いますので、ひょっとするとアプローチを取っている
かもしれません。



220 :名無しさん@お腹いっぱい。:04/01/29 00:01
昨日は20以上も来て、5つ位、送ってもいないのに、
勝手に返されて、今日もまた来てる!
何とかしてYO!

221 :名無しさん@お腹いっぱい。:04/01/29 00:12
port 3127へのスキャンがきはじめた。
なんだかとんでもない事態になるのかも。

222 :名無しさん@お腹いっぱい。:04/01/29 00:21
削除したウイルスの抜け殻メールって、とっておいた方がいいの?

223 :名無しさん@お腹いっぱい。:04/01/29 01:23
なんかメール全体が遅延し始めているような…
携帯から自分のメアドとか国内経由なら大丈夫だが,海外のサーバーを経由するMLなんか
はReceivedヘッダを見るとサーバー経由のたびに遅延しているように見える。

224 :名無しさん@お腹いっぱい。:04/01/29 01:55
これって感染してるマシンを特定する方法ってありませんかね?
同じLAN内にありそうなのですが。

225 :名無しさん@お腹いっぱい。:04/01/29 02:33
>>224
LANの規模によりますね。
1台1台チェック出来るならそれに越したことはありません。

226 :名無しさん@お腹いっぱい。:04/01/29 02:37
>>218
SCOのような基地外会社のことだからDNSエントリを
127.0.0.1に書き換えてDDoSを世界中に跳ね返して
くるかもしれないぞ。

227 :名無しさん@お腹いっぱい。:04/01/29 02:44
>>225
レスありがとうございます。
やっぱり1台1台調べるのが手っ取り早いんですかね。
DNS使用ログとかから見つけられないかなあと思っていたのですが。


228 :名無しさん@お腹いっぱい。:04/01/29 02:47
>>227
というか、本来1台1台にウィルス対策ソフトを
入れておくべきかと。

229 :名無しさん@お腹いっぱい。:04/01/29 02:55
>>228
確かにその通りです(-_-)

230 :名無しさん@お腹いっぱい。:04/01/29 03:02
>>229
そんなあなたにGateLock X200
ttp://www.trendmicro.com/jp/products/desktop/gatelock/evaluate/features.htm

231 :名無しさん@お腹いっぱい。:04/01/29 03:05
5通連続で来てた・・・
全部 DION からだったよ。その内4通は同じ奴から来てた。

232 :名無しさん@お腹いっぱい。:04/01/29 03:17
>>230
残念ながらちょっと使用条件には合わないですねえ。
台数はかなり多いのですが、
1台1台にアンチウイルスソフトを入れるのが一番手っ取り早そうですね。

233 :230:04/01/29 03:50
(´・ω・`)スマソ

234 :名無しさん@お腹いっぱい。:04/01/29 04:03
>>233
いえいえ気になさらないでください(;´Д⊂)イイヒトダ

235 :名無しさん@お腹いっぱい。:04/01/29 08:24
>>224
出口近くでパケットキャプチャーして、SMTPを自社のメールサーバー以外に吐いている
パソコンを特定する。
もし、外に出しているのならルータなりでメールサーバー以外からのSMTPを遮断する。
でいいんじゃないかい? 
Sobigの時にこれで対応したよ。


236 :名無しさん@お腹いっぱい。:04/01/29 08:33
3127にtelnetしたけど繋がらなかった(当たり前か)

237 :名無しさん@お腹いっぱい。:04/01/29 09:18
一通も来ない。

238 :名無しさん@お腹いっぱい。:04/01/29 10:01
日本F-Secure株式会社 : ウィルス情報 Mydoom.B
http://www.f-secure.co.jp/v-descs/v-descs3/mydoomb.html

239 :名無しさん@お腹いっぱい。:04/01/29 10:16
ロシアのKaspersky、Mydoom.Bを検知・警告。
http://www.theinquirer.net/?article=13867
http://www.kaspersky.com/news.html?id=3657414

240 :名無しさん@お腹いっぱい。:04/01/29 10:31
マイクロソフトを狙う、MyDoomウイルスの亜種出現
http://japan.cnet.com/news/ent/story/0,2000047623,20064004,00.htm

241 :名無しさん@お腹いっぱい。:04/01/29 11:07
質問なのですが・・・
おととい感染しました。
駆除しても駆除しても(ていうか削除)
いつのまにかまた発見されるのはどうしてですか?
まだウイルスがどこかにあるっていうこと?

242 :名無しさん@お腹いっぱい。:04/01/29 11:13
241です。
ちなみに、そのとき、
添付ファイル開きました。

243 :名無しさん@お腹いっぱい。:04/01/29 11:21
亜種Mydoom.Bの特徴

亜種のMydoom.BはMydoom.Aが開けたバックドアでも感染する。
またこの亜種は多くのアンチウィルスベンダへの接続を妨害する
(hostsでIPを0.0.0.0にする)。これによりパターンファイルなどの適用ができなくなる。
SCOのついでにMicrosoftにもDoSアタする。

244 :名無しさん@お腹いっぱい。:04/01/29 11:29
自分とこはYBBでつ。今のところ1通も来てません。知人のとこに
も来てない。話題について行けず寂しいようなw

YBB内ではメール鯖でウィールスひっぺがしてるのか? 誰か
非YBBユーザーでYBB鯖からウィルス届いた香具師いますか?


245 :名無しさん@お腹いっぱい。:04/01/29 11:31
>>244
来ているよ。
YBBのIPから送信されてきています。

246 :名無しさん@お腹いっぱい。:04/01/29 11:36
>>241
レジストリ修正してバックドア塞がなければだめ。アンチウィルス
入れてないならAVGでもAntivirでも落としてきて実行。それから
トレンドマイクロの解説みて
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R
レジストリをチェック。改変が残っていたら削除。ファイルを検索。
残っていたら削除。最後にトレンドのオンラインスキャンかけてみる。

ワームが外部と通信するのを防ぐためにFWも入れる。
OutpostかZone Alarm (セキュ板専用スレを見れ)






247 :241:04/01/29 11:41
>>246
ありがとうございました、やってみます。


248 :名無しさん@お腹いっぱい。:04/01/29 12:00
家に八通来てたよ_| ̄|○
なにやってんねん・・・・

249 :名無しさん@お腹いっぱい。:04/01/29 12:00
>>10
のレスみてトレンドマイクロが改名したYO!

250 :名無しさん@お腹いっぱい。:04/01/29 12:01
ミスた

>>11
のレスみてトレンドマイクロが改名したYO!

251 :名無しさん@お腹いっぱい。:04/01/29 12:02
MYDOOM.Bメールの特徴

題名:Status/hi/Delivery Error/Mail Delivery System
/hello/Error/Server Report/Returned mail

本文:The message cannot be represented in 7-bit ASCII encoding and
  has been sent as a binary attachment.
sendmail daemon reported: Error #804 occured during SMTP session.
  Partial message has been received.
The message contains Unicode characters and has been sent as a
  binary attachment.
The message contains MIME-encoded graphics and has been sent as a
  binary attachment.
Mail transaction failed. Partial message is available.

添付ファイル名:document/readme/doc/text/file/data/message/body
添付ファイル拡張子:pif/scr/exe/cmd/bat




252 :名無しさん@お腹いっぱい。:04/01/29 12:05
>>244
漏れも貧乏あほーユーザーじゃがwまだ1通も届いとらん。
Yahooユーザーでじゃんじゃん届いてるのいるか?


253 :名無しさん@お腹いっぱい。:04/01/29 13:06
>>344
http://pc.2ch.net/test/read.cgi/sec/1075170355/

254 :名無しさん@お腹いっぱい。:04/01/29 13:10
マルチで御免なさい。

255 :名無しさん@お腹いっぱい。:04/01/29 13:16
見ず知らずの添付ファイルを開く馬鹿が信じられない。

256 :名無しさん@お腹いっぱい。:04/01/29 13:25
>>250
馬鹿発見。
つーか自意識過剰。

257 :名無しさん@お腹いっぱい。 :04/01/29 14:09
昨日の夕方から今までで14通も来た。プロパではじいてるはずなのに
ファイル添付されてるやつが1個ウイルスバスターで引っかかった

258 :ネット屋 ◆tr.t4dJfuU :04/01/29 14:21
@の左側が段々と日本語チックになってきた。
結構賢い機能を持ってるんだなぁ。

259 :名無しさん@お腹いっぱい。:04/01/29 14:53
次はハングルチックになる番か

260 :名無しさん@お腹いっぱい。:04/01/29 15:18
>>258
単に日本人の感染者が増えただけでは?

これまで、海外で猛威 海外から日本へ発信 そのPCの中のメアドを使うので外人っぽい
いま、日本で少しづつ増加、 日本から日本へ発信 そのPCの中のメアドを使うので日本人ぽい

261 :名無しさん@お腹いっぱい。:04/01/29 15:43
今ままで殆ど使ってなかった、アドだから
メアド替えようかと思ったのだが、
メアド替えて、ウイルスの持っているアカウントと
ドンピシャという事もあるんだよな・・・どうすべか。

262 :名無しさん@お腹いっぱい。:04/01/29 16:13
暇だ。。
ファイルうp希望してみたり・・・

263 :名無しさん@お腹いっぱい。:04/01/29 16:53
>>261
今回のウイルスを避けたいだけなら、メアドにrootだinfoだのつづりをいれたら
来なくなるよ。


264 :名無しさん@お腹いっぱい。:04/01/29 17:25
    〃〃∩  _, ,_
     ⊂⌒( `Д´) < 感染してるの漏れじゃないよぉ〜!
       `ヽ_つ ⊂ノ 
              ジタバタ


265 :名無しさん@お腹いっぱい。:04/01/29 17:30
トレンドマイクロより
>2)"Temporary Internet files"フォルダ内の以下の拡張子のファイルを調査し、アドレスと思しき文字列を収集します:

この性質って新しい?
感染したPCの閲覧したことのある、HTMLの中に埋めこまれてるアドレスを抜き出すってことだよな。
ほむぺじ作って連絡用にアドレス載せてる奴は、
問答無用でDOOMの「送信先」or「送信元の偽装」にアドレスを使われる可能性があるってことだよな。

266 :名無しさん@お腹いっぱい。:04/01/29 17:31
激しく既出

267 :名無しさん@お腹いっぱい。:04/01/29 17:32
ちと、知識のない俺におしえてくれ
感染者 サトナカ
被害者A(スプーフィングされた) ヤマダ  yamada@mandadokaben.com
被害者B(メールが送られてきた) イワキ
例えばサトナカが感染しててだな、イワキにヤマダのアドレスで、メールがいっちゃうわけだよな?
んでイワキは「コラ!ヤ〜マダァ」てなるわけで、サトナカは全くそんなの知らないわけだろ?
そこまでは理解した
けれどもだ…

268 :名無しさん@お腹いっぱい。:04/01/29 17:33
質問1 サトナカのマシンでは具体的にどうなってメールがおくられるのだ?
    (yamada@mandadokaben.com)を自分のマシンからテキトーに収集しちゃうってのは理解したが
    なんかのプログラムが動いてそうなるんだよね?なんのプログラムが動くの?

質問2 サトナカのマシンで、「あ!俺が感染してすでにおくってたのか?」ってのは、
     どっかにLOGで残ってないの?もしくは形跡がわかる何か…はないのですか?
     まぁ、つまり、俺が感染してたのはわかったんだが、送ってしまったかどうかが気になるのだが…

269 :名無しさん@お腹いっぱい。:04/01/29 17:36
>>266
そか。アドレス帳使う奴しか知らなかった。

270 :名無しさん@お腹いっぱい。:04/01/29 17:53
マカヒーが3日連続でアップデートされてまつ。
さっき1通来たがきもいのでそく削除しますた。

271 :名無しさん@お腹いっぱい。:04/01/29 17:53
>>268
A1
自分自身がメール中継の機能を持っているプログラムが動くので
イワキのメールサーバー宛に直接、メールを送りつける。
その時に、ヤマダと自分を騙り、尚且つこのメールを送ったのはヤマダが
使っているサーバーらしい文字列を定義する。

A2
判らない
ただし、今回のは起動時に発射するそうだから感染した後に再起動してた
場合は送ったと思う方が無難



272 :名無しさん@お腹いっぱい。:04/01/29 18:05
>>271 なるほど、なんとなく理解できたthx!!
A2の「判らない」は
「形跡が確認できるかどうか判らない」なの?
それとも、
「絶対に形跡が残るらないから、判らない」なの?

質問3
サトナカのマシンを立ち上げるときにインターネットにつなげた口を
物理的にはずして立ち上げた場合、
そのウイルスプログラムにはなんらかのエラーメッセージがでるの?
ま、出ないんだろうなとは思うけど…

273 :名無しさん@お腹いっぱい。:04/01/29 18:06
>>268
>> 271がいうとおり、ワームが独自のsmtpエンジン持ってる。
Outlookその他メールアプリは使わない。したがってログも残ら
ない。

内→外をチェックするFW入れてればワームが外部に接続
しようとした時点で窓がポップアップするから気づく。定番
は↓この2つ。フリーだがNISやVBのおまけFWより優秀。
Agnitum Outpost Firewall part14
http://pc.2ch.net/test/read.cgi/sec/1075046818/
ZoneAlarm Part17
http://pc.2ch.net/test/read.cgi/sec/1072384136/

274 :名無しさん@お腹いっぱい。:04/01/29 18:08
茂人と蹴り雄もよろ〜

275 :名無しさん@お腹いっぱい。:04/01/29 18:10
>>265=>>269
最近のウイルスはみんなそうだよ。

276 :名無しさん@お腹いっぱい。:04/01/29 18:10
>>272
>「形跡が確認できるかどうか判らない」なの?
通信のログ取るソフトいれてりゃ確認出来るよ。
FWとか。
つーかFWいれてりゃそんな変な通信止めてくれるけどな。

>質問3
やってみてくれ。
ウィルス飼ってるやつじゃないとわからん。
俺も出ないだろうと思うけど。

277 :名無しさん@お腹いっぱい。:04/01/29 18:13
>>268
線引っこ抜いた状態で再起動したら、アプリ(サービス)ログにエラーがあったとかなら笑えるが。
個人のマシンには、わざわざ残さないだろうね。
もし、感染したマシンが、会社なり学校なりのLAN接続されたマシンなら
ネットワーク管理してる香具師にきけば、あるやもしれぬ。

278 :名無しさん@お腹いっぱい。:04/01/29 18:15
mof.go.jp キタ Y⌒Y⌒Y⌒Y⌒Y⌒Y⌒(。A。)!!!

279 :名無しさん@お腹いっぱい。:04/01/29 18:18
つうか掲示板にメールアドレスの一部書込まれただけでもウイルスに利用される恐れがある。

280 :名無しさん@お腹いっぱい。:04/01/29 18:30
一時間に10通は来てる…

281 :名無しさん@お腹いっぱい。:04/01/29 18:31
>>267,268

漏れはヤマダの立場だったよ。
昨日の昼頃、突然知らない奴(267の例ではイワキにあたる)から
「迷惑メール送るのやめろ、警察に通報するぞゴルァ!」
と突然メールが入ってきて、このワームの存在知った。
自分のPCは感染してなかったので良かったのだが・・・

怒られ損だ( ´・ω・`)

282 :名無しさん@お腹いっぱい。:04/01/29 18:36
対応策ないの?ただひたすら送られてくるメールを消去するしかないんですか?
もちろん自分は感染してないですよ、自分のメアドで他人にウイルス送られてると思うとうんざりです

283 :名無しさん@お腹いっぱい。:04/01/29 19:06
ヤマダな人は自分のメアドの@より前の部分に
シマンテックの関連ページ
http://www.symantec.com/region/jp/sarcj/data/w/w32.novarg.a@mm.html
の下のほうにある「ワームは、取得したドメイン名の前に次の名前を挿入します。」
のどれかが入ってたの?

284 :名無しさん@お腹いっぱい。:04/01/29 19:25
>>281
こういう大流行に対して個人で打つ手は「自分が感染しないように
する」以外なし。むやみにゴラァするのはもちろん最低だが、DQNに
間違ってゴルァ>>281されてもひたすらシカトが正解。




285 :名無しさん@お腹いっぱい。:04/01/29 19:28
あ、俺のアカウント入ってる!鬱だ _| ̄|○

286 ::04/01/29 20:18
    〃〃∩  _, ,_
     ⊂⌒( `Д´) < 感染してるの漏れじゃないよぉ〜!
       `ヽ_つ ⊂ノ 
              ジタバタ


287 :名無しさん@お腹いっぱい。:04/01/29 21:31
このウイルスってもう日本語ローカライズされてるのかな。
こんなメールがきてて、「あれ?海外製だよなMydoomって」と思った。
そうじゃなかったら俺感染しちゃってるじゃん。(例の.dllは無かった)

↓↓↓
あなたが送信したメールは、送信先のアドレスが存在しなかったため
配信できませんでした。

The following email you sent was not delivered, bacause the address
doesn't exist.

-------------------------------------------------
Infoseek http://www.infoseek.co.jp/
Infoseek WebMail http://email.www.infoseek.co.jp/

xxx@infoseek.jp
--- Below this line is a copy of the message.

From:俺アドレス
以下略。(円コードされた文字列がどろどろっと。多分ウイルスのファイル)


288 :名無しさん@お腹いっぱい。:04/01/29 21:44
ウィルスメールのヘッダで、例えば

Received: from www.(・∀・).com (いかにも末端な文字列.都市.県名.ocn.ne.jp [IP])

だったとして「いかにも末端な文字列.都市.県名.ocn.ne.jp 」と「IP」が一致したら
「いかにも末端な文字列.都市.県名.ocn.ne.jp 」を使ってるユーザーさんが
感染してると考えていいのかのぅ。

289 :名無しさん@お腹いっぱい。:04/01/29 21:48
「いかにも末端な文字列.都市.県名.ocn.ne.jp 」はメールサーバ

290 :名無しさん@お腹いっぱい。:04/01/29 21:49
SMTPを話すのはサーバとは限らんがな。

291 :名無しさん@お腹いっぱい。:04/01/29 21:54
>>289
この場合、メールサーバが偽装されている可能性はあるのでしょうか?

292 :名無しさん@お腹いっぱい。:04/01/29 21:56
フリーメルなので ウイルスだって教えてくれたよ?

293 :名無しさん@お腹いっぱい。:04/01/29 22:01
>>288
www.(・∀・).com  これはウイルスが偽造したサーバー名
いかにも末端な文字列.都市.県名.ocn.ne.jp  こっちが出した方のホスト名
IPから自分でホスト名を引いてみて確認してちょ、それで一致したら
やはりそのホスト名の人が感染してます。

>>290
だね、こんかいはのウイルスはsmtp機能内臓のウイルスだから直接
相手のメールサーバへ送信するね。


294 :名無しさん@お腹いっぱい。:04/01/29 22:05
>>287
それは返信元をあんたのメアドに偽装されたメールが、誰かからxxx@infoseek.jpへ送られたんだけど
xxx@infoseek.jpのメアドは存在しなかったから、
infoseekが日本語のメッセージつけて返信元のメアドに送り返したため、
結局あんたに届いたのじゃないかねぇ。

295 :名無しさん@お腹いっぱい。:04/01/29 22:13
293ですが >>288さんありがとう。
ホスト名引いたら、ばっちり一致していました。

このヘッダとともにオカンに連絡いれておきますた。
「いかにも末端な文字列.都市.県名.ocn.ne.jp」さんのウィルスが駆除されますように。

296 :名無しさん@お腹いっぱい。:04/01/29 22:30
>>287
>>294が正解。その日本語メッセージはinfoseekのメル鯖のもの

297 :287:04/01/29 22:35
なるほど。>>294 >>296ありがと。
さすがに一日くらいで日本語版を作る酔狂な人間はいなかった。
俺のアドレスが俺以外の誰かもしくはBBSやwebから漏れ、使われた。
俺のPC自体はとばっちりで変なメールをinfoseekから受け取っただけ。
っていう三点が理解できた。重ねて感謝。

298 :名無しさん@お腹いっぱい。:04/01/29 22:41
>>297
>俺のアドレスが俺以外の誰かもしくはBBSやwebから漏れ、使われた。

ウイルスよりこっちのほうが大問題なのでは・・・

そのアドレス宛に自分の別のメールから転送してるものとかないの?

299 :名無しさん@お腹いっぱい。:04/01/29 22:47
shinchan.lighthouse.or.jpの管理者の方は速やかにウイルス対策してください。
もうあなたからのウイルス飽きました。

300 :287(297):04/01/29 22:56
>>298
あー、むかしFFなんぞを書いたことがあって、その投稿先サイトの
作者連絡先をクロールされて収集されたんじゃないかと推測してる。
んで、なら仕方ないかと諦めてる。そのアドレスはほとんど表に
出していないし、転送元の別アドレスといえば携帯くらいだし。
心配かけてすまん。

301 :名無しさん@お腹いっぱい。:04/01/29 23:13
>>298
そりゃ大問題だが今更驚かれてもな。感染先のHDDを漁ってメアド
らしき文字列を収集してウィルスメール発信するのは最近のワーム
の標準機能。

WEBにアドレス公表したりしなくても、誰かにメール出しただけで
アドレス帳にメアドが残ってしまう。そのマシンにウィルスが感染すれ
ばメアドを拾われてしまう。どこにもメール出さなければ絶対にメアド
拾われないですむが…


302 :名無しさん@お腹いっぱい。:04/01/29 23:29
俺の会社にもDQNからウイルス送るのやめろって
メール北よ。頼むからIPの逆引きくらいしてくれよ
こっちはそのせいでメールサーバーのログ調査したり
1日仕事出来なかった

303 :224:04/01/29 23:30
>>235
遅レスすいません。
アドバイス通り、ゲートウェイにEtherealをインストールして、
外部のSMTPサーバにアクセスしているPCを特定しようとしたのですが、
ちょっとトラブってしまってインストールできませんでした(^^;

そこでとりあえずLAN内の感染していないことが確認できたマシンのみ
ゲートウェイを通過できるように設定しました。
感染したマシンを特定するのは時間の問題なので、
しばらくこれで様子を見ようと思います。

アドバイスありがとうございました。

304 :名無しさん@お腹いっぱい。:04/01/29 23:50
>>297
> 俺のアドレスが俺以外の誰かもしくはBBSやwebから漏れ、使われた。

自分のメアドの@より前の部分に、>>283の名前のどれかが入ってるんじゃない?
英語風の名前を使ってると、誰にも公開していないアドレスであっても送られてくるよ。

うちはリストに入ってる名前なので、じゃんじゃん来てます。

305 :名無しさん@お腹いっぱい。:04/01/29 23:54
>>304
どうもそうとは限らないようだよ
実際に俺に来たのは、普通に知り合いのメアドだった。

いくつか類似したのがあるみたいだから、その辺で違うのかもね。


306 :名無しさん@お腹いっぱい。:04/01/30 00:03
携帯にもきてました
オーバーフローしていましたが・・・

307 :名無しさん@お腹いっぱい。:04/01/30 00:15
宛先について
1.検索したメアドをそのまま使う
2.検索したメアドの@より前を>>283の名前にして使う
の2パターンあるみたいだね。

偽装送信元も1.2.の両方のパターンがあるようだ。
俺は送信元が1のパターンになってるものはまだ来てないけど・・・

308 :名無しさん@お腹いっぱい。:04/01/30 00:17
>>305
リストに入っている名前だとたくさん来るし、誰にもしえていないアドレスにも来る、
でも、普通に収集したアドレスも使う、

という感じじゃないかな。

とりあえずうちは、リストに入っている名前なので、
MAILER-DAEMONからドカドカ送ってくる。

309 :304=308:04/01/30 00:18
うわ、被った。

310 :307:04/01/30 00:27
>>308
お先に失礼。


俺も直に送ってくるものの他に、送信エラーで来るものがちらほらと。
ということは、俺のメアドが送信元として知らない誰かに届いてる可能性はかなり高い・・・
送ったのは俺じゃないんだよおおおヽ(`Д´)ノ 

311 :名無しさん@お腹いっぱい。:04/01/30 00:46
>>283に名前があると名前ない人より多く来るんですかね?俺バカなんでさっぱりっす

312 :名無しさん@お腹いっぱい。:04/01/30 00:57
よりバカな人には来るらしいですよ?

313 :名無しさん@お腹いっぱい。:04/01/30 01:02
ウイルス「マイドゥーム」、偽装の海保アドレスで発信
ttp://headlines.yahoo.co.jp/hl?a=20040129-00000316-yom-soci

アドレスが偽装されていないやつって、よっぽど友達がいないやつぐらいじゃないか。


314 :名無しさん@お腹いっぱい。:04/01/30 01:14
なんか晩になってから急に30分に1度くらいのペースで勝手に再起動するようになるわ、
「あなたが 〜@〜.ne.jp 宛に発信したメール(添付ファイル: data.scr)にウィルスが検出されました。」
と、警告メールはくるわ。トレンドでオンラインスキャンしても無反応でお手上げ…。
AVGは1日1度は更新してるし、ZoneAlarmも入れてたんだけど、防げないものなんでしょうか。
一応調べてみてMIMAILが作るファイルとかなかったし、
レジストリにも何も変化はなかったんだけど、やっぱり無関係なんでしょうか。XPです。

315 :名無しさん@お腹いっぱい。:04/01/30 01:26
sarcj.htmとthreats.exe添付で
本文が「END HERE」となってるのが来てたけど同じものかな?

316 :名無しさん@お腹いっぱい。:04/01/30 01:36
クリーンインスコしたばかりのPCにウイルス入りメールが大量に来て実に不愉快である

317 :287:04/01/30 02:54
>>304
ドイツ語だったりするんでリストに入ってないはず。だいじょぶ。
それよりも>>310の後半みたいな事態の可能性にちょっと鬱ま

318 :名無しさん@お腹いっぱい。:04/01/30 08:07
いつも毎回、4つ位まとめて来るんだけど、
今の4つの内1つは僕から僕へ"test"という件名で来たYO!
アホな!


319 :名無しさん@お腹いっぱい。:04/01/30 08:48
>>313
ニュースにするような事だろうか・・・・


320 :名無しさん@お腹いっぱい。:04/01/30 09:06
>>319
まぁ、送信元を偽るということを知らない人も多いから、それはそれでいい。

321 :名無しさん@お腹いっぱい。:04/01/30 09:40
無駄に叩く輩がいるからねぇ

322 :名無しさん@お腹いっぱい。:04/01/30 09:52
>>320-321
それは、そうなんだけどね
ニュースにするなら、

「発信元偽造で注意を喚起!
 〜海上保安庁のメールアドレスの偽装も〜」

てな感じの方が正確だと思う。

本来なら海上保安庁のメールが偽装されたのが主題ではなく
偽装するウイルス蔓延が主題のはずなのに、本末転倒のような気がしてね。


323 :267:04/01/30 10:50
亀レスすまん。ご返事いただいた方ありがとう
もういっこ質問させてちょーだいませー

>>267参照してね
サトナカがウイルス感染した場合。
サトナカのメールアドレスのまま、イワキに送ることも余裕であるの?
もしあるなら、
(ヤマダのような第三者偽装するのか、サトナカのアドレスのままで送る)
その、割合はどんなものなの?


324 :名無しさん@お腹いっぱい。:04/01/30 11:31
東○大学の大学院とか、住友○工のめる鯖から発信されてきますた

325 :名無しさん@お腹いっぱい。:04/01/30 11:42
>>324
メル鯖から発信されてこないよ今回のウイルスは
ヘッダーのReceivedも偽造するんでもう一回見てみ?

Received: from mx.なんじゃら.co.jp (ppp.なんじゃら.ne.jp [202.211.xxx.xxx])

mx.なんじゃら.co.jp ← ここの部分は偽造
ppp.なんじゃら.ne.jp  ← IPから引かれたホスト名 出ない場合もあり
202.211.xxx.xxx ← ここが実際に発射したホストあるいはルータのIP

>>323
それは、確信じゃないけど、サトナカのメアドに特定の文字列を加える
場合はあるっぽい。
可能なら、イワキに送られたメールのヘッダーを上を参考に確認すると
よろし



326 :名無しさん@お腹いっぱい。:04/01/30 11:54
>>325
Whoisで検索したら○京大学ってでました。

327 :名無しさん@お腹いっぱい。:04/01/30 12:29
阪神星野前監督のHPにあるメアドに俺のメアドを送信元としてメールが送られていたらしく、
相手サーバーのアンチウイルスシステムがシャットアウト、俺のメアドに警告文を送ってきました。
俺じゃないって・・・(´・ω・`)


大体同じ時間帯、IP見ると同じプロバイダから送ってきてるから
犯人は1人だろうと検討が付くんだけど、そいつが誰なのかが全然わからん。
知らせる手段も無いしな・・・(´・ω・`)

328 :名無しさん@お腹いっぱい。:04/01/30 12:37
>>263
昨夜一晩で、一気に500通突破した。
疲れた、メアド替えますわ。

329 :名無しさん@お腹いっぱい。:04/01/30 12:38
>犯人は1人だろうと検討が付くんだけど、そいつが誰なのかが全然わからん。

ヘッダ見たら?

330 :名無しさん@お腹いっぱい。:04/01/30 12:47
知り合いのAhooユーザーに聞くとまだ1通も来てないつーんだが、
しかし俺(OCN)のところへはあほーからわんさと来てる。

おい損、自分とこのユーザーへ届けるメールからはウィルスひっぺがし
てんならなんで外へはゴミ垂れ流してんだYO ひっぱがせよ。同じ手間
じゃねーか。

331 :名無しさん@お腹いっぱい。:04/01/30 12:55
俺のとこにはタワー〇コードから何通も来てる。

332 :名無しさん@お腹いっぱい。:04/01/30 12:58
今HP見に行ったら落ちてた。
相当な数の警告が届いてたんだろうな。

333 :名無しさん@お腹いっぱい。:04/01/30 13:04
>>330
偽装ではなく?

334 :名無しさん@お腹いっぱい。:04/01/30 13:09
>>329
だから、ヘッダ見たら、Fromはもちろん偽装だし、
Received欄のIP調べたら某プロバイダを使ってるぐらいしかわからんのよ。。。

335 :名無しさん@お腹いっぱい。:04/01/30 13:21
SMTP内蔵型だとヘッダすら信用できん

336 :名無しさん@お腹いっぱい。:04/01/30 13:49
>>335
IPは信用出来る。


337 :名無しさん@お腹いっぱい。:04/01/30 13:58
10時半くらいからウイルスがいきなり激減したけど
うちだけ?

338 :名無しさん@お腹いっぱい。:04/01/30 14:28
>>334
プロバイダに直接文句言う。

339 :名無しさん@お腹いっぱい。:04/01/30 14:28
メアド変えました。

変えた後に気付いたけど、リストに入ってる名前だったので
俺側が変更しても俺の元アドレス使ったメールは送られ続けるわけで
自分に対してだけ来なくなるってだけだったのか・・・

気にいってたメアドだったのに・・・後悔。

340 :名無しさん@お腹いっぱい。:04/01/30 14:34
>>337
プロバイダが対応したとか?

341 :名無しさん@お腹いっぱい。:04/01/30 14:49
>339
気に入ってるアドだけど、単純なアカウントだから
また、別のウイルス発生の時にも被害に合いそうな悪寒。
自分もメアド変更検討中です。

342 :名無しさん@お腹いっぱい。:04/01/30 14:51
トレンドマイクロが折れました(w
      ↓
「WORM_MYDOOM.A」(マイドーム)はパターンファイル749以前をご使用の場合、
「WORM_MIMAIL.R」として検出します。


343 :来ないなぁ〜:04/01/30 14:55
ヘッダー見てみたいよ。
誰かサンプルで良いから送ってたもれ。

344 :名無しさん@お腹いっぱい。:04/01/30 15:15
うちに遂にウイルスメールキタ━━━━━━(゚∀゚)━━━━━━ !!!!!

某大学のサーバから来たっぽいので
当該大学には注意を入れくことにします

345 :名無しさん@お腹いっぱい。:04/01/30 15:18
1通も来ない( ´・ω・)

346 :名無しさん@お腹いっぱい。:04/01/30 15:21
>>345
プロバはどこよ?


347 :名無しさん@お腹いっぱい。:04/01/30 15:28
>>346
BIGLOBEです。

348 :337:04/01/30 15:30
>>340
社内メールサーバだから関係なさそう。

349 :名無しさん@お腹いっぱい。:04/01/30 15:32
>>343

Return-Path: <>
Delivered-To: xxxxxx@xxx.xx.jp
Received: (qmail 18373 invoked by uid 653); 30 Jan 2004 12:01:09 +0900
Delivered-To: tom@xxx.xx.jp
Received: (qmail 18334 invoked from network); 30 Jan 2004 12:01:09 +0900
Received: from unknown (HELO xxx.xx.jp) (127.0.0.1)
by localhost with SMTP; 30 Jan 2004 12:01:09 +0900
Received: (qmail 11212 invoked from network); 30 Jan 2004 12:01:22 +0900
Received: from unknown (HELO xxxxxx.xxx.net) (xxx.xx.63.239)
by relay.xxx.xx.jp with SMTP; 30 Jan 2004 12:01:22 +0900
Received: from netmgrts.cso.niu.edu ([131.156.126.2])
by xxxxx.xxx.net with esmtp (Exim 3.36 #2)
id 1AmOuH-00052s-00
for <tom@xxx.xx.jp>; Fri, 30 Jan 2004 12:01:21 +0900
Received: from localhost (localhost)
by netmgrts.cso.niu.edu (8.12.10/8.12.10) id i0U31Jjo029452;
Thu, 29 Jan 2004 21:01:19 -0600 (CST)
Date: Thu, 29 Jan 2004 21:01:19 -0600 (CST)
From: Mail Delivery Subsystem <MAILER-DAEMON@netmgrts.cso.niu.edu>
Message-Id: <200401300301.i0U31Jjo029452@netmgrts.cso.niu.edu>
To: <tom@xxx.xx.jp>
MIME-Version: 1.0
Content-Type: multipart/report; report-type=delivery-status;
boundary="i0U31Jjo029452.1075431679/netmgrts.cso.niu.edu"
Subject: Returned mail: see transcript for details
Auto-Submitted: auto-generated (failure)



350 :名無しさん@お腹いっぱい。:04/01/30 15:34
>>348
鯖管がパターンファイルアップした。

351 :337:04/01/30 15:53
>>350
ごめん、漏れが鯖管のようなもの、でした。
情報小出しで申し訳ない。
またポツポツ増えてきたから、たまたまでしょうかね。

352 :ネット屋 ◆tr.t4dJfuU :04/01/30 15:57
>>351
そんなに大勢が感染しているわけではなく、少数の感染者がある程度固定的な
サーバに対してメールを乱発しているのではないかな?
漏れのサーバに対する攻撃者は今のところ3名の模様。
そのうち一人が、電源入れたり切ったりバシバシしているらめか、非常に
アクティブです。
頼むよ>OCN (*sigh*)

353 :343:04/01/30 16:24
>>349
おぅサンクス!!
偶然かしら、W32.Novarg.A@mmが飛んで来たよ・・・・。
オマケに「ご融資のご案内」メールまで届いてるぞ。
さすがは2chだよな。

354 :名無しさん@お腹いっぱい。:04/01/30 16:28
>>353
ワラタ

355 :名無しさん@お腹いっぱい。:04/01/30 16:35
契約鯖から管理者宛にごっそり宛先不明メールが送られてきますよ
ヘッダ見てみるとほとんど同じところから
こっちに送ってくるということはこっちの名前使って
あちこちに送ったりもしてるんだろうな…

356 :名無しさん@お腹いっぱい。:04/01/30 16:37
一攫千金のチャンスですよ!!!
↓↓↓↓↓↓↓↓↓↓↓↓

Microsoftは米国時間29日、MyDoom.Bをリリースした犯人の逮捕ならびに有罪判決につながる情報に、
25万ドルの報奨金を出すことを発表した。

http://headlines.yahoo.co.jp/hl?a=20040130-00000007-cnet-sci

357 :名無しさん@お腹いっぱい。:04/01/30 16:46
メールサーバのパターンファイル更新は深夜だけでいいや、って適当に設定してたら
社内中に広まっちゃってエライ目にあったよ

358 :名無しさん@お腹いっぱい。:04/01/30 16:47
ヤフーノフリーメールに自分の名前で届いたりメイラーデーモンやら届いてます。
添付ファイルは見てないけどこれって感染してますか?
無料ワクチンってあります?

359 :名無しさん@お腹いっぱい。:04/01/30 16:52
来たウィルスのうち宛先不明で戻ってきた奴を除いて
Received fromのIPを見ると全部同じ地方プロバからみたいなんですが
そこにゴルァしてもいいんですか?

360 :ネット屋 ◆tr.t4dJfuU :04/01/30 16:53
>>358
感染しているとは限らない。
駆除ツールならある。
http://www.symantec.com/region/jp/sarcj/data/w/w32.novarg.a@mm.html

361 :ネット屋 ◆tr.t4dJfuU :04/01/30 16:54
>>359
丁寧になら良いと思われ。
って、多分そいつだと思います。

362 :名無しさん@お腹いっぱい。:04/01/30 16:55
俺がウイルスメールを送ったとして
プロバイダ・ぷららから配信拒否のメールが来た。
俺はバスターを常に更新してるし、26日以降、本アドでメールは送ってない。
アドレス帳に俺のを登録してる椰子が感染したのだろう。


363 :名無しさん@お腹いっぱい。:04/01/30 16:55
俺が自首すれば25万ドルもらえるのか?

364 :名無しさん@お腹いっぱい。:04/01/30 17:00
>>357
俺も気になってチェックしたら、早朝1回のみの更新でした。
ヽ(`Д´)ノ 設定したの誰だよ!!


>>362
それってさ、メールのfromだけ見て判断してるのか?


365 :名無しさん@お腹いっぱい。:04/01/30 17:00
>>362
漏れもだ。NAV使用。

366 :名無しさん@お腹いっぱい。:04/01/30 17:03
>>362
アンチウイルスソフトを入れているから大丈夫という考えには、賛同できない。
まぁ、ぷららがクソな可能性の方が高いんだけどさ。

367 :名無しさん@お腹いっぱい。:04/01/30 17:06
>>366
大丈夫なんて断定してないよ。
つーか、出張でPCの電源も入れてない期間中に
どうやってウイルスを送れるのかってことだ。

368 :名無しさん@お腹いっぱい。:04/01/30 17:09
>>367
会社のPC?
誰か勝手に使った可能性もあるな。

繰り返すが、ぷららが誤爆した可能性のほうがはるかに高いけど。

369 :ネット屋 ◆tr.t4dJfuU :04/01/30 17:10
>>367
そらふざけてるなぁ。イカルべし。


370 :367:04/01/30 17:11
27日の怒涛のアップデート攻勢を受けた翌日から出張し
昨日帰宅してみりゃ「配信拒否」


371 :名無しさん@お腹いっぱい。:04/01/30 17:13
>>370
ぷららのメル鯖官、ナニやってんだか(w

372 :名無しさん@お腹いっぱい。:04/01/30 17:17
>>368
自宅に置いてるデスクトップ機。
>>371
ぷららに報告メールを送っときました。

風呂入って気分直すかな・・。

373 :名無しさん@お腹いっぱい。:04/01/30 17:19
知り合いのメアドから来た
ウチのメアドも使われている模様
仕事仲間の誰かが感染したなこりゃ

374 :名無しさん@お腹いっぱい。:04/01/30 17:22
>359
>Received fromのIPを見ると全部同じ地方プロバからみたいなんですが

それで感染者って特定できるの?

375 :名無しさん@お腹いっぱい。:04/01/30 17:25
>>374
わかんないだろうね。
プロバにゴルァして調べてもらうしかないんじゃないの?

376 :名無しさん@お腹いっぱい。:04/01/30 17:57
別件で、某プロバサポに電話ついてでにウイルスの問い合わせしてみた。
100通に1件ぐらいの割合で、リターンのメールにつき
プロバのウイルスチェックをくぐって
ウイルスが到着します・・・と、言ったら
うちのサーバーを通っているのは全部チェックしてるから
そんな事はありませんといわれた。
じゃあ、なんでうちにくるんだ?と、小1時間。
なんだかな・・・。

377 :名無しさん@お腹いっぱい。:04/01/30 17:57
                \ │ /
                 / ̄\   / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
               ─( ゚ ∀ ゚ )< まいどぅ〜む!
                 \_/   \_________
                / │ \
                    ∩ ∧ ∧  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\∩ ∧ ∧ \( ゚∀゚)< まいどむまいどむまいどむ!
まいどぅ〜む!!! >( ゚∀゚ )/ |    / \__________
________/ |    〈 |   |
              / /\_」 / /\」
               ̄     / /
                    ̄

378 :名無しさん@お腹いっぱい。:04/01/30 18:00
>>360
アリガトゥーーーーー!!
DLして検査したところ感染していなかったようです。
よかった。(´Д⊂

379 :名無しさん@お腹いっぱい。:04/01/30 20:12
全然知らない人から自分が送ったと言われて返信されてきた。。
もしかしてこれかな。。
どういった経緯で感染してしまうんだろうか?
全然感染するようなことした記憶がないのに。。。
ホットメールブラウザ上で見てたからかな。。。

380 :名無しさん@お腹いっぱい。:04/01/30 21:00
これってzipファイルの中にあるpifファイルやらscrファイルを実行しなきゃいいんだよな・・・?

381 :名無しさん@お腹いっぱい。:04/01/30 21:08
>>379
MYDOOM感染確認方法:
<Windowsシステムフォルダ>(注1)に以下のファイルが作成される
これらのファイルが存在しなければ感染していないので安心してよい。

MYDOOM.Aの場合
 CTFMON.DLL
 EXPLORER.EXE (注2)
MYDOOM.B の場合
 shimgapi.dll
 taskmon.exe

(注1)
Windows9x/Meの場合、システムフォルダ= Windows\System
WindowsNT/2000の場合、システムフォルダ= WinNT\System32
WindowsXP の場合、システムフォルダ= Windows\System32

(注2)
本物のExplorer.exeはWindowsまたはWinNTディレクトリにある。間違って
削除しないよう注意。


382 :名無しさん@お腹いっぱい。:04/01/30 21:24
>>381

自分379さんじゃないけど、わかりやすい一覧ありがとうございました。

バスター2004常駐させてるし、不審メールは添付ファイルなくても削除してるけど、
ここんとこ何通も届いて不安だったのよ……
うちのところは感染してないようでよかった。でも気が抜けないのが鬱。
 

383 :名無しさん@お腹いっぱい。:04/01/30 22:03
>>381
どうもありがとうです。

384 :名無しさん@お腹いっぱい。:04/01/30 22:18
>>381
丁寧にありがとうございます。
なんとか感染してなかったようでホットしました。

385 :名無しさん@お腹いっぱい。:04/01/30 22:22
28日の17:58から、ものすごい勢いで到着。
今の総数130通。catch all設定してるんで、
全部架空メアドで受信されてる。もうおなかいっぱい。

386 :名無しさん@お腹いっぱい。:04/01/30 23:25
今どき末端ユーザーでもFrom行だけ見て文句送るのはDQN

今どきメールサーバーからワームの警告をFromに返すのもDQN
本文も添付もそのまま返すものは論外!!!!なDQNDQN!



387 :名無しさん@お腹いっぱい。:04/01/31 00:03
>>381
僕のWin98には、"Windows\system\Ctfmon.exe"ってあるけど、
どうなのかな?

388 :名無しさん@お腹いっぱい。:04/01/31 00:09
ダー!!
ウゼェこのウイルス!!!

借りてる無料鯖に付いてた使ってないメアドにウイルスそのまま返信の
エラー通知メールが何通も来る。
つーか、俺以外誰も見てないサイトのアドレスが何で使われるんだ。
他のユーザーもコレ来てるのか!?

それ以前にメール転送無効にしてるのにどーして転送するんだよエクスリア!!!!!

389 :名無しさん@お腹いっぱい。:04/01/31 00:09
やっぱり添付ファイルは禁止にしないとな

390 :名無しさん@お腹いっぱい。:04/01/31 00:16
>>387
拡張子が違うのもわからんのか!?

391 :MyDoom被害者(深刻):04/01/31 00:42
今こうして感染しているみたいなんだけど、どうしたらいいのでしょうか?
ADSLっていう便利なネットワークに加入したら、世の中VirusだとかWorm
だとか蔓延しているそうじゃないですか!
深夜にVirus Killerを買いにも行けないので、明日から徹底的に駆除します。
俺の中のWormも今夜限りの命サ。はっはっは!

392 :名無しさん@お腹いっぱい。:04/01/31 00:51
>>391
被害者というのは変。
なにも対策をとらずに感染し、被害を与えているあなたが加害者です、
というのが今の常識。

それに、ADSLにしたからウイルスが来るわけじゃない。
アナログダイヤルアップでも全く同じです。

釣りだったかな?



393 :MyDoom被害者(深刻):04/01/31 00:58
初めてのインターネットで、世界中からメールが沢山来て
嬉しくなって、つい添付を全部開いてしまったのです。
もちろん、何人かの方にはお礼の返信メールも出したのですが、
宛先不明で何件か戻って来てしまいました。

394 :名無しさん@お腹いっぱい。:04/01/31 00:59
>>393
> もちろん、何人かの方にはお礼の返信メールも出したのですが、
> 宛先不明で何件か戻って来てしまいました。
素敵な人生を送ってますね。

395 :名無しさん@お腹いっぱい。:04/01/31 01:04
>>394
393MyDoom被害者(深刻)はキャッチバーで身ぐるみ剥がされるタイプと見た!


396 :MyDoom被害者(深刻):04/01/31 01:13
インターネット初心者なので、よく分かりませんが。
このMyDoomっていうソフトをいろいろなHomepageで
読んでみたら、パソコンの通信速度がすごく低下する
みたいですね。
こうしている今もまたメールが届いたのですが、さすがに
開くのが心配になってきました。ひとまず電源切って
最初から起動し直してみます。

397 :名無しさん@お腹いっぱい。:04/01/31 01:20
いんたーねっつしょしんしゃ

398 :名無しさん@お腹いっぱい。:04/01/31 01:35
いくらなんでも>>396これは釣りだろう。

釣りでなかったら回線(ry

399 :名無しさん@お腹いっぱい。:04/01/31 01:53
>>396
そもそも初心支社の来るところじゃないだろ>>ここ

400 :名無しさん@お腹いっぱい。:04/01/31 02:49
ここは初心本社の来るところです。

401 :名無しさん@お腹いっぱい。:04/01/31 03:26
うちのHPにあるフリーメールのアドレスが偽装に使われたみたいだ。
正直、自分がウイルスばらまいたみたいで、実に不愉快。

こんな記事も。。
http://headlines.yahoo.co.jp/hl?a=20040130-00000790-jij-soci
http://headlines.yahoo.co.jp/hl?a=20040129-00000006-vgb-sci
http://headlines.yahoo.co.jp/hl?a=20040130-00000187-kyodo-bus_all


402 :名無しさん@お腹いっぱい。:04/01/31 03:33
>>400
釣りカウンターか・・・・・やるな

403 :名無しさん@お腹いっぱい。:04/01/31 07:05
初めまして、初心者の為教えて頂きたいことがあります
下記の様なメールが来たのですがサイズからしてウイルスとかあるのでしょうか?
送信者、タイトル等でわかる方いましたら回答お願いします。 
mamebouz777 Hello,eager to see you 2004 1/31(土) 01:32 218KB


404 :名無しさん@お腹いっぱい。:04/01/31 08:17
>>403
タイトルやサイズのみで判断しては駄目
最新のパターンファイルでウイルススキャンしろ!

405 :名無しさん@お腹いっぱい。:04/01/31 08:42
>>377
http://www.mydome.jp/mydomeosaka/ 阪大のやつか?
本来のdoom[du:m]運命 死滅 死 判決
doom'day 世界の終わり 最後の審判の日 →だからまあ違うだろう。キリスト教
圏の人間だな。ヤンキーかフィリッピーナか。

406 :名無しさん@お腹いっぱい。:04/01/31 11:45
>366
plala使ってる漏れの所には1通も届いてないから良しとする。

407 :名無しさん@お腹いっぱい。:04/01/31 12:04
>>403
どんな高機能ルータ、セキュリティソフトを入れていてもユーザーが
ウィルスファイルをダウンロードして実行してしまえば防ぎきれるもの
ではない。メール拡散型ウィルスの予防はユーザーの心構えが第一

★心当たりないからのメールは絶対に開かない。速攻削除★
 ウィルス60%、スパム39%、間違い&いやがらせ1%
 だいたい知らない相手からのメールを開いてどうするんだ?
 エロDVDや鉛鉱のスパムでも期待してんのかw

★添付ファイルは裏が取れるまで開かない★
 もし知人からのメールだったら「何を添付したのか?」とメールする。
 確認が取れるまで開かない。現在のウィルスはFromの詐称は
 常識。





408 :名無しさん@お腹いっぱい。:04/01/31 12:44
From詐称されたアドレスにワーム付きでリターンさせるOCN逝ってよし!
あまりに同一人物からのワームも多いのでついでに抗議しといた

409 :名無しさん@お腹いっぱい。:04/01/31 13:30
>>408
ODNなんか「ご注意ください」メールを一斉送信して、
「この機会に是非ODNのセキュリティサービスのご加入をご検討ください(200円/月)」
なんてちゃっかり宣伝してやがる。

加入してないといつまでも垂れ流し。

410 :名無しさん@お腹いっぱい。 :04/01/31 14:07
XP+ADSL環境でMcafee使っているんですが、メールソフト動いていないのに、
さっきから「c:¥System Volume Infomation\_restore*****」
にて、Mydoom.aが見つかりましたとうるさい。

ドライブをスキャンしてもひっからないし、なんだろう?

411 :名無しさん@お腹いっぱい。:04/01/31 14:30
>>410
システムの復元が有効になってるからだろ?

412 :名無しさん@お腹いっぱい。:04/01/31 14:31
システムの復元切って削除しろよ
復元用バックアップに取り込まれてるんだよ。
つうか最初からフォルダごと除外してろ。

413 :41:04/01/31 16:23
警告メールじゃなくてウィルス添付メールキタ━━━━(゚∀゚)━━━━ !!!!!

届いた4通全てメアドこそ違うけど、送り主は同じ人のようだ。
そういうパターンが多いのかな。

414 :名無しさん@お腹いっぱい。:04/01/31 16:26
>>413
俺もそんな感じ。今のところ1人から。
最初は「お、キタ━━━━(゚∀゚)━━━━!!! 」と思ってたんだが、
数日経つと「早く気づいて対策しろ( ゚Д゚)ゴルァ」と思ってしまう。

415 :名無し募集中。。。:04/01/31 16:51
FWのログを見たら、さっきからもの凄い勢いでport1214が叩かれてる

416 :名無しさん@お腹いっぱい。:04/01/31 17:58
アイテック阪神のIPアドレスからこのウィルスが何度も来る。
詐称してるFrom行は@sangiin.go.jpとocnの政治家アドレスばかり。
産経の地方支局メアドもあった。こういう場合はアイテック阪神に
文句言ったほうがいい?


417 :名無しさん@お腹いっぱい。:04/01/31 18:07
対策しろゴルァメールがきて
ヘッダが晒してあってホストが漏れのとあってるっぽいんだけど
受信した瞬間にホスト調べて本文生成するの?

それとも本当に感染してる?

418 :名無しさん@お腹いっぱい。:04/01/31 18:34
>>417
マジかよ。漏れホストのプロバにゴルァしちゃったよ。

419 :MyDoom被害者(深刻):04/01/31 18:57
Anti Virusをインストールしようとしたのですが、
MyDoomが邪魔をしてうまく行きません。
なんか、インストールしてもしても削除されてしまうのです。
MyDoomより強いソフトを買い直した方がいいのでしょうか?
プロバイダからも「あなたはMyDoomに感染しています。早急に・・・」
みたいなメールが来たのですが、そういうメールも別のMyDoomから
飛んで来たに違いありません。破棄しました。

420 :名無しさん@お腹いっぱい。:04/01/31 19:07
Yahoo Japanからキタァーーー!
なんで、ただの市民しかすぎない僕に送ってくるの?

421 :名無しさん@お腹いっぱい。:04/01/31 19:17
質問スレから誘導されてきました
↓って多分これのことなんですね・・・

---
何か、メールチェックしたら、転送用アドレスあてに

差出人: k-tai@impress.co.jp
件名:  Hello
添付つき

というメールが来てた。
ケータイインプレスは見てたが、アドレス登録したことはないし
なんで、インプレスのco.jpから英語件名なのかわからんので削除した

同じのきたやつっている?
---

422 :名無しさん@お腹いっぱい。:04/01/31 19:23
れしーぶも詐称されてる可能性が大いにあるので、見切り発車で(゚Д゚)ゴルァ
するのはやめた方がいいと思うよ。ということはかなり上でも言われてるわけ
なんだがみんなせめてこのスレくらいは読み直さないのか。

423 :名無しさん@お腹いっぱい。:04/01/31 19:43
>>419
レジストリの書き換えられた部分を削除してそれからファイルを削除しないとだめですな。

424 :名無しさん@お腹いっぱい。:04/01/31 19:43
>>419
インストールする前にCDからウイルススキャン奨められるけど?

425 :名無しさん@お腹いっぱい。:04/01/31 19:56
>>417
感染して確率99%

>>420
他の普通の市民がYahooのアドレス載ってるページを見たことが
あるので、それと送信元と偽って送ってきてるだけ。


426 :名無しさん@お腹いっぱい。:04/01/31 19:56
>>419

ネタつまらん。
ウイルス送りつけた相手にお礼のメールをしたなんて話を信じるやつがいると思うか?w

427 :417:04/01/31 20:06
>>425
Kerioで見ても何にも送信してないし、
WINDOWS、Programフォルダ検索してもなにもないし
感染したのかなぁ。

ただ英語のゴルァメールが2通きて、両方とも本文に
recievedが晒してあってocnであってるんだよなぁ
(((( ;゚Д゚)))ガクガクブルブル

428 :名無しさん@お腹いっぱい。:04/01/31 20:18
Received:のsmtpサーバー名は詐称されたり踏み台があるが、
どうやら接続IPはあってるようだ。
よって>>325の方法で感染者の利用ISPは絞れる。

っつーかうちに届いたものは28日から今日まで一人からw
常時接続でIPがずっと一緒なのでわかりやすい。

429 :名無しさん@お腹いっぱい。:04/01/31 20:19
>>427
差し支えない範囲でヘッダここに晒せる?

430 :名無しさん@お腹いっぱい。:04/01/31 20:21
この>>396釣り師が
【正式】ウィルス情報&質問 総合スレッド☆Part15
http://pc.2ch.net/test/read.cgi/sec/1068311899/445
を荒らしてる。ということで>>398が正解w


431 :417:04/01/31 20:25
>>429
消しちゃいますた。
だれかゴルァしてくれ(´・ω・`)

432 :名無しさん@お腹いっぱい。:04/01/31 20:25
>>427
自分が感染してるかどうかの確認は>>381



433 :417:04/01/31 20:27
>>432
ないですね。
別のウィルスか、偶然アドレスとホストが一致したのか。

ゴルァを装ったウィルスかも。ノートン反応したし。

434 :名無しさん@お腹いっぱい。:04/01/31 21:46
>>396の「MyDoom被害者(深刻)」マルチ釣り野郎が…
【正式】ウィルス情報&質問 総合スレッド☆Part15
http://pc.2ch.net/test/read.cgi/sec/1068311899/449
調子こきすぎてゴルァされてまつw

435 :413:04/01/31 21:54
>>414
また同じヤシからメール来たよ(もちろん違うアドレス)。
これが続くようになるとうざくなるんだね(´・ω・`)

ここでも繰り返し話題に上ってるけどプロバイダーに連絡した方がいいのかな?
それともこっちが我慢して、そのままメール受け取り続けるべきなのか…悩むな

436 :名無しさん@お腹いっぱい。:04/01/31 21:57
>>414
俺んとこも10通くらい同じヤツだったんで
プロバイダに文句送っておいた。
OCNだから対応は期待してないがなw

437 :名無しさん@お腹いっぱい。:04/01/31 22:11
ウィルスメール10通に対して1通抗議メールを出すと
10%トラフィックを増加させることになる。同じプロバから
の100通につき1通抗議するということにしたらどうだろうw


438 :名無しさん@お腹いっぱい。:04/01/31 23:31
大分減ってきたな、と思ったら、土日休みだからじゃねーか。

439 :名無しさん@お腹いっぱい。:04/01/31 23:59
>>437
その計算だとすぐに止まれば90%オフってことですね


440 :名無しさん@お腹いっぱい。:04/02/01 01:49
あー、SCOのサイトは重くなってますね。
ということは第二の症状が始まったのですね。
時差の関係上、既に2月1日になった地域からDDOS攻撃が.......

441 :名無しさん@お腹いっぱい。:04/02/01 01:52
激軽ですが?
http://www.jp.caldera.com/

442 :名無しさん@お腹いっぱい。:04/02/01 02:01
夜も遅いし、いい子だから早く寝なさい。


443 :名無しさん@お腹いっぱい。:04/02/01 02:43
ネットセキュ板なんて来ないのに
メールボックスがこいつでいっぱいになってたから来ますた。
プロバのメル鯖大忙しっすね。

ウィルスがなければu-tokyoからもらうことなんてまずないのにな。
メアドでぐぐったら折れと同じ趣味のページの掲示板に投稿されてたので
ああ、ここでつながってたのかと不思議な縁を感じるw


444 :名無しさん@お腹いっぱい。:04/02/01 04:18
>>443
u-tokyo記念にとっとけ。古賀っちなら「私は一方で東京大学の通信課程を(ry

445 :413:04/02/01 12:56
また同じヤシからメール着たけど、タイトルが Yfplkfmwype だった。
意味不明のタイトルのもあるんだ?

446 :名無しさん@お腹いっぱい。:04/02/01 13:11
うちにも mjfnfmu ってタイトルのがあるw

447 :名無しさん@お腹いっぱい。:04/02/01 13:26
>>445
MYDOOM.Aはときおりランダム文字列の件名も生成する。
このスレパート1だからテンプレがなくて不便だな…ガイシュツ
だが再掲。

解説はトレンドが詳しい
MYDOOM.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A
MYDOOM.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.B

MYDOOM感染確認方法:
<Windowsシステムフォルダ>(注1)に以下のファイルが作成される
これらのファイルが存在しなければ感染していないので安心してよい。

MYDOOM.Aの場合
 CTFMON.DLL
 EXPLORER.EXE (注2)
MYDOOM.B の場合
 shimgapi.dll
 taskmon.exe

(注1)
Windows9x/Meの場合、システムフォルダ= Windows\System
WindowsNT/2000の場合、システムフォルダ= WinNT\System32
WindowsXP の場合、システムフォルダ= Windows\System32

(注2)
本物のExplorer.exeはWindowsまたはWinNTディレクトリにある。間違って
削除しないよう注意。


448 :名無しさん@お腹いっぱい。:04/02/01 13:42
なんか大手企業のアドレスも多いな(偽装だろうけど

449 :名無しさん@お腹いっぱい。:04/02/01 14:47
>>448
そうだね
うちには官庁(海保じゃない)、スポーツ新聞社、旅行業者のアドで届いてる

450 :名無しさん@お腹いっぱい。:04/02/01 15:19
宛先不明で返すメールは、せめて添付ファイルなしにして欲しいよな。
ウイルスまでくっつけて送り返すことはないだろう。
おれが感染してるんじゃないのにさ。

偽造されてるfromは、お役所とか大学なんか多いな。
acとかgoとかprefを優先に拾うのかな?




451 :ナナシ:04/02/01 15:58
初歩の初歩の質問なのですが、どなたか教えてください(>。<)
一年前ぐらいに、メールのウイルスがはやった時に
トレンドマイクロさんのHPで
メールを2回クリックしないと、開かないように設定するのが
あったと思うのですが、今トレンドマイクロさんのHPみたのですが
見あたらないのです・・・(>。<)
どなたか、知ってる方いらしゃったら、教えてください。




452 :名無しさん@お腹いっぱい。:04/02/01 16:32
BIGLOBEからメールきました。送信者の詐称ってこれも?
俺のPCはノートンの最新でスキャン済みなんですが。(未感染)

あなたが発信したメールからコンピュータウイルスが検出されましたので、
次の何れかの方法で対応して送信しました。
 1.当該添付ファイルからコンピュータウイルスを駆除
 2.当該添付ファイルを削除

検出日時 : 02/01/2004 11:58:18
発信者 : 俺のメアド
受信者 : dave@networks21.jp
ウイルス名 : WORM_MYDOOM.A
感染ファイル名: document.scr

※ウイルスの種類によっては、感染コンピュータ内で取得した任意のメール
 アドレスを「発信者(From)」として設定する場合があります。
 「発信者」として設定されているメールアドレスを登録しているコンピュ
 ータが、ウイルスに感染しているとは限りませんのでご了承ください。

453 :名無しさん@お腹いっぱい。:04/02/01 16:43
やっぱ下四行だろ

454 :名無しさん@お腹いっぱい。:04/02/01 17:51
DOS攻撃ってUTCの16時から?

455 : :04/02/01 17:52
Received: from smtp.telenor.se (lyta.telenor.se [213.150.135.139])
by ***
Received: from valeriana.tninet.se (valeriana.tninet.se [213.150.135.49])
by lyta.telenor.se (BMR ErlangTM/OTP 3.1) with ESMTP
id 84878.869458.1074.0s7966157lyta for <stop@yy-net.co.jp>
; Fri, 23 Jan 2004 15:50:58 +0100
Received: from mailgw.tninet.se (delenn.telenor.se [213.150.135.134])
by valeriana.tninet.se (Postfix) with ESMTP id F3A8D1026
for <info@yy-net.co.jp>; Fri, 23 Jan 2004 15:50:55 +0100 (MET)
Received: from PC1 (82.102.112.219.ap.yournet.ne.jp [219.112.102.82])
by delenn.telenor.se (BMR ErlangTM/OTP 3.1) with ESMTP
id 959286.869457.1074.0s5019801delenn for <jpnic-db@mail.crayfish.co.jp>
; Fri, 23 Jan 2004 15:50:57 +0100

456 :名無しさん@お腹いっぱい。:04/02/01 18:00
>>452
お前、毎朝新聞に入ってくるチラシ、みんな読むか?
シカト、シカト。

457 :名無しさん@お腹いっぱい。:04/02/01 18:11
>>451
Outlook Expressでプレビューウィンドウを表示させない方法
http://www.trendmicro.co.jp/bugbear/olnoprv.asp

458 :名無しさん@お腹いっぱい。:04/02/01 18:29
>>453>>456
ありがと。
俺にとってウイルス関連メールは初めてだったもんで。

459 :眠い人:04/02/01 18:43
まあ、メールソフトにはoutlookを使わないということにしてしまうのが、とりあえずの方策かと。

そりゃOSインストールして無料でついてくれば、『ラッキー♪わざわざ買うことないジャン』と
考えますけど、ウイルスを流行らせようとする人たちはそこにつけ込むわけでして。
ソフトの構造上プレビューができないAL-MAILを使うとか、単にインストールしただけで特に
設定しなくてもデフォルトでプレビューされないBecky!を使うとか、そういった工夫は試して
見る価値はあると思いますよ。

で、ウイルスのことばかりに目が行ってて肝心のDOSに喰っているttp://www.sco.com
ですが、サイトが表示されずにタイムアウトを繰り返しますね。
mydoom.bもa型同様に感染PCが世界中に広まっているとすると、2月3日からはMicrosoft
のサイトもうまく開かないかもしれませんねぇ。

/天下のマイクロソフトのサイトがおかしくなれば、さすがにマスコミが騒ぐかな...


460 :名無しさん@お腹いっぱい。:04/02/01 19:04
これって携帯にも送られてくるかな?
なんか知らないメールが携帯の題にhelloって
添え付きファイルは削除されてたけど〜〜
内容は test だけでした

461 :名無しさん@お腹いっぱい。:04/02/01 19:20
■2ちゃんねる閉鎖だってよ。
http://news5.2ch.net/test/read.cgi/newsplus/1075593174/595-596

595 名前: 名無しさん@4周年 投稿日: 04/02/01 12:31 ID:pYo6O9H3
       2ちゃんもう閉鎖するって本当?

596 名前: ひろゆき ◆3SHRUNYAXA @どうやら管理人 ★ [sage] 投稿日: 04/02/01 12:31 ID:???
       >>595
       本当。

■関連スレ
□祭りスレ
 http://news4.2ch.net/test/read.cgi/news/1075626311/
□議論スレ
 http://news5.2ch.net/test/read.cgi/newsplus/1075626192/

462 :名無しさん@お腹いっぱい。:04/02/01 19:20
>>460
感染者のPC内にアドレスがあれば携帯にも届くと思うよ。もちろん感染はしないけど。
ワーム作者は日本の携帯メールのドメインなんて気にしてないだろうw

463 :名無しさん@お腹いっぱい。:04/02/01 19:31
なるほど!!ありがと^^

464 :名無しさん@お腹いっぱい。:04/02/01 19:39
>460
当然可能性あるっしょ
感染のしようがないけどね

465 :名無しさん@お腹いっぱい。:04/02/01 19:44

■■■■■■ 質問する前に ■■■■■■

 最 初 に 必 ず こ れ を 読 め ! !

MYDOOM.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A
MYDOOM.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.B

●Fromは詐称されているので自分宛のエラー(リターン)メール=感染とは限らない!
送られてきてもFrom宛に返信でゴルァするのもやめれ!友達なくすぞ。
実際の感染者の推測方法は>>325参照

●取り急ぎのMYDOOM感染確認方法
>>381参照。実際の削除は慎重に!

●最新定義ファイルの入ったアンチウイルスソフトも忘れるな!
とにかくここでオンラインスキャンでもしとけ。飼育したいヤツ以外は見つかったものを全て削除
http://www.trendmicro.co.jp/hcall/index.asp

●感染していたら回線切れ!電源入れる度に他人に迷惑かけるぞ。

466 :名無しさん@お腹いっぱい。:04/02/01 21:00
>>459
Operaにはメーラー機能がついてる。普通に使えるぞ。Opera
使えばOutlookの脆弱性だけじゃなくIEの脆弱性にもつきあわ
ないですむ。根本的解決だ。どうしてもIEじゃないと見れない
サイト(めったにないが)だけIEで見ればいい。正式版7.23だが
7.5ベータも公開中。今この7.5ベータ使ってるが非常に快適。
http://www.jp.opera.com/

467 :名無しさん@お腹いっぱい。:04/02/01 21:04
>>461
ウザイ。おろゆきの「かまってくれ病」なんか痛いニュース板でやってろ

468 :名無しさん@お腹いっぱい。:04/02/01 21:59
さっき、メール発信元のプロバイダーに苦情メール送ったせいかな?
漏れが送信者になってるウィルスメールが漏れに来た…

469 :名無しさん@お腹いっぱい。:04/02/01 22:43
>>459
今回のウイルスはメーラーがなんだろうと関係ないじゃん
対策としては、アンチウイルスソフト入れて最新パターンにするくらい。

今回のウイルスは、ちょっと知ったかの奴が、添付ファイルが実行形式じゃないから
(実は実行ファイルに見えにくいだけ)なんだろうとクリックしまくったのが急激に
蔓延した原因の一つだよ。


470 :名無しさん@お腹いっぱい。:04/02/01 22:44
>>466
漏れもOpera使っているんだが付属のメーラー、メールの振り分けできる?
できないと聞いたことあったし、またヘルプや設定見てもできなさそうだったんで
メーラーはThunderbird使っているんだが。

471 :名無しさん@お腹いっぱい。:04/02/01 22:46
漢のメーラーはtelnet。

472 :470:04/02/01 22:52
調べてみたらできるみたいね。
漏れはいったい何と勘違いしていたんだろう。。。


473 :名無しさん@お腹いっぱい。:04/02/02 00:31
知ったかクンのワンパターンOE叩きが見事に玉砕(p

474 :名無しさん@お腹いっぱい。:04/02/02 07:57
さてと、B型のほうは2月3日からでしたねぇ。
A型同様に感染PCの日付を基準にするから、国内での感染数によってはあと16時間ほどで
ttp://www.microsoft.comがってところかぁ。


475 :名無しさん@お腹いっぱい。:04/02/02 08:01
ttp://www.sco.comは相変わらず駄目だし。

ビルのところに始まった後で、Win製品に重大なセキュリティホールが見つかったとか発表されて
パッチ落とせといわれたら、少し面倒になるのかな。
DL用のURLを直接見に行けば問題ないだろうけど。


476 :名無しさん@お腹いっぱい。:04/02/02 08:16
2004年2月3日10時9分12秒(UTC)だよ

477 :名無しさん@お腹いっぱい。:04/02/02 08:35
一通も来ない(´・ω・`)ショボーン  

478 :名無しさん@お腹いっぱい。:04/02/02 08:48
気になって調べますた・・・"WINDOWS\system32\dllcache\explorer.exe"ってのがありますが・・・・・、大丈夫でしょうか???

479 :名無しさん@4周年 :04/02/02 09:03
ウイルスソフト・・・・。

なんで、鶴亀メールは反応するのに、outlookは反応しないんだろう・・・・。


480 :名無しさん@お腹いっぱい。:04/02/02 09:19
MyDoomウイルス、一斉攻撃開始--SCOサイトがダウン
http://japan.cnet.com/news/ent/story/0,2000047623,20064064,00.htm

481 :ナナシ:04/02/02 09:58
>457さん

ありがとうございますーーー(^−^)
できました★
これで快適にできそうです♪

482 :名無しさん@お腹いっぱい。:04/02/02 11:19
Windows2000なんですが、
C:\WINNT\system32の下に、taskman.exeがあるのですが、
                     ~~~~
これは、正常なファイルですよね。

MYDOOM.Bのtaskmon.exeにファイル名が似てるもんで。
           ~~~~


483 :名無しさん@お腹いっぱい。:04/02/02 11:34
釣りおめ

484 :名無しさん@お腹いっぱい。:04/02/02 11:52
スコやっぱりダウソしたのか…もう4回目ぐらいじゃ?
ウイルスもだけど、この会社痛すぎる…

485 :名無しさん@お腹いっぱい。:04/02/02 11:54
>>484
数十万台からのDDoS攻撃に耐えられるシステムなんて
ないから仕方ないのでは?


486 :名無しさん@お腹いっぱい。:04/02/02 12:29
>>485
予想された攻撃だったのに
対策を取れなかったのは何故?

487 :名無しさん@お腹いっぱい。:04/02/02 12:36
うちにも、ものすごい勢いでメールが来る。
もうこれはSCO攻撃したいヤシがわざと感染してるとしか思えない。

488 :名無しさん@お腹いっぱい。:04/02/02 12:37
>>486
発見から1週間で、数十万台の攻撃に立てられるシステムを
構築するのは無理じゃない?
 いくら鯖を強化しても途中の改選がパンクする、回線を強化すると今度は
 それに耐えれる鯖を作らないといけない・・延々と繰り返し

サイトが落ちるとを黙ってみているか、初めから落とすかの2者択一しか
ないんでは?


489 :名無しさん@お腹いっぱい。:04/02/02 12:37
>>486
基地外マクブライドが被害者づらをして裁判を有利にすすめたいから。
Mydoom→UNIX総統となって世界を征服すべく生まれついた私の運命
初めからマクのジサクジエンだったかもしれんw


490 :名無しさん@お腹いっぱい。:04/02/02 13:19
このウイルスやばいな。
俺のメールアドレスがMLに登録されまくってる。
**************************************************
あなたのメールアドレスが当MLに登録申請されました。
登録申請時のメッセージ:hi
メールアドレス:俺のアドレス
**************************************************

491 :名無しさん@お腹いっぱい。:04/02/02 13:28
>>488
一週間っていうか去年の春からやられてるわけだし。
ttp://www.itmedia.co.jp/news/0312/16/nebt_05.html

492 :名無しさん@お腹いっぱい。:04/02/02 13:39
>>491
DoSとDDoSの違いが判らないアフォはMyDoomに感染してSCOに攻撃仕掛けたら?
それにその時に対策されてたら今回は無事だと思ってるの?


逆に聞くけど、数十万(10万でもいいけど)のPCからDDoSを仕掛けられて大丈夫な
サイトを知ってる?


493 :名無しさん@お腹いっぱい。:04/02/02 14:08
>>492

>>491他の言ってるのは、攻撃は予期されていたんだから
SCOは一週間もあればターゲットのドメイン名やIPを変更して
ユーザーに周知させることは楽にできたはず、ということ。
それをしないで被害者ということだけ強調してるから、>>489
疑われる。



494 :名無しさん@お腹いっぱい。:04/02/02 14:10
489=493=犬厨のバカ

495 :名無しさん@お腹いっぱい。:04/02/02 14:21
>>493
ドメイン名やIP変えたところで対策とはいえんだろ?
IPを変えても、ドメインが同じなら攻撃は受ける。
ドメイン名を変えるにしても、1週間でどれだけのユーザーに周知できるか
知れた物じゃないし、ドメイン変えただけじゃ逃げただけと思う奴が多いから
意味ないしね。




496 :名無しさん@お腹いっぱい。:04/02/02 14:25
バックドアが物凄いことになってる。
http://www.cyberpolice.go.jp/detect/observation.html
sco.comは動いているけどwww.sco.comは立ち直れないかと。

497 :名無しさん@お腹いっぱい。:04/02/02 14:30
ここらあたりにもUNIXのデスラー総統マクブライドに
憧れてるネオナチがいるのだなw そこらであまり
SCOファンだと公表しない方がいいぞ。お前も
LINUXヲタからつけ狙われるぞ。

498 :名無しさん@お腹いっぱい。:04/02/02 15:42
SCOがどんなに糞会社だろうと、ウイルス作者は糞以下の奴

SCOだけ狙うならまだしも、DDoSによってインターネット上の障害や
感染したクライアントを修復する個人の労力を無駄にさせている。


499 :名無しさん@お腹いっぱい。:04/02/02 16:24
万が一に備えた計画を用意しているそうでつが、
ウイルスに感染したやつ全員訴えるとかじゃあるまいな。

500 :名無しさん@お腹いっぱい。:04/02/02 16:27
>>499
ありえる。

501 :名無しさん@お腹いっぱい。:04/02/02 16:35
>>499
マクブライド総統のことだから感染したヤシ全員に
「営業を妨害されたので賠償金500ドル振り込め」と
メール出してくる悪寒。

502 :名無しさん@お腹いっぱい。:04/02/02 18:17
既にmicrosoft.comは重い訳だが。。

503 :名無しさん@お腹いっぱい。:04/02/02 20:17
>>502
そんなに重くないよ?


504 :名無しさん@お腹いっぱい。:04/02/02 20:55
>「当社の対策として何らかの独創的な判断を
お目にかけることになると思う」とストーウェル氏。

S C O よ は っ た り か

505 :名無しさん@お腹いっぱい。:04/02/02 20:58
>>504
>>499

506 :名無しさん@お腹いっぱい。:04/02/02 22:13
自分のISPのメールアドレスの他に、yahooのフリーメールを作った。
そして自分の自己紹介のつまらないHPにyahooのフリーメールアドレスを書いた。
そのメールアドレスは、そこにしか使っていない。

yahooのフリーメール宛てに大量にウイルスメールが来る。
つまらんHPを見てしまった椰子がいることがわかって
ちょっとうれしい。


507 :名無しさん@お腹いっぱい。:04/02/02 23:06
おいおい、忠告しておくがtaskmon.exeはwin使いなら誰のPCにも入っている。
windowsディレクトリーに入っているtaskmon.exeもtaskman.exeもまともな
ファイルだ。taskmonはタスクモニターのこと。

ウィルスが作るファイルはsystemディレクトリーのtaskmon.exeだ。これは
悪質なファイルだ。システム全部をスキャンしてtaskmon.exeを見つけても
うろたえちゃだめだぞ!

508 :名無しさん@お腹いっぱい。:04/02/02 23:10
>>482
私も同じファイルみつけて半泣きになりましたが、
大丈夫なんですよね?

509 :名無しさん@お腹いっぱい。:04/02/02 23:25
激しく濡れ衣着せられる・・・鬱
折れじゃなぁ〜〜い!

510 :名無しさん@お腹いっぱつ。:04/02/02 23:52
能登半島の珠洲市役所からウイルスメールが来た。
どういう事? 

511 :名無しさん@お腹いっぱい。:04/02/02 23:54
>>510
本当に市役所からなのでしょうか?
単にfromに入っているだけでは?

まぁ俺のところには、とある企業の社内から来まして、その会社のIT部門の方に対処して頂きましたが。

512 :名無しさん@お腹いっぱい。:04/02/02 23:55
>>510
このスレに書き込んだって事は、ウイルスの種類がMIMAIL(MyDoom)だと
判ってんだよな?
それなら、まずウイルスの特徴くらい読んできたら?


513 :511:04/02/03 00:02
ちなみに、こんな報告を頂いてます。海外に拠点を置くような大きな企業は大変ですよ。

>○○○○社・ITセンタの○○です。
>
>ウイルスメール配信に関するご連絡ありがとうございます。
>幸いにも、駆除に成功しており大きなご迷惑をおかけせずにすんでおりほっとして
>おります。
>
>現時点で、私どものほうもワームによるアドレス詐称と思われるジャンクメールが
>大量に届いており、対応に苦慮しているところです。
>
>下記ヘッダー内容から、弊社海外事務所が配信したもののようで、すでに当該事務
>所での処置は終わっております。

514 :名無しさん@お腹いっぱい。:04/02/03 00:45
うーん、そんな返事くれるなんて上等だな。
ソnetの同じIPからもう何十通も来てウンザリしてんだけど…。
前にほかのウィルスで同じことがあって某大手プロバに対応依頼したら、
必要なヘッダ情報も送ったのに「あんたが感染してんじゃないの?」
みたいなこといわれて、以来、放置を決め込んでいるのだが…

515 :名無しさん@お腹いっぱい。:04/02/03 07:30
珍しくOCNがきちんと対応してくれたw

>この度はお問い合わせをいただき、ありがとうございます。
>OCNカスタマサポート担当 ●●と申します。
>
>ご迷惑をお掛けいたしておりまして誠に申し訳ございません。
>今回お客様よりお問い合わせをいただきましたウイルスメール送信の当該者に
>対しましてはヘッダ情報を元に確認出来次第、苦情が寄せられている旨ならび
>にウィルスの駆除を行うよう、弊社よりご連絡をさせて頂きたいと存じます。
>
>この度の件につきましては、お客様にお手数ならびにご心労をお掛けすることと
>なりましたこと誠に残念でございます。
>心より重ねてお詫びする次第でございます。
>
>OCNサービスをよろしくお願いいたします。

516 :名無しさん@お腹いっぱい。:04/02/03 08:07
>>515
気分的にうれしいよね。おめ!

漏れの苦情先からは音沙汰無し(´・ω・`)
ウィルスメールや警告メールは舞い込み続いてるし

517 :名無しさん@お腹いっぱい。:04/02/03 08:40
PCにもインフルエンザの季節なんでつね。


518 :名無しさん@お腹いっぱい。:04/02/03 09:00
SOCは別の鯖で運営してますが、何か?

519 :名無しさん@お腹いっぱい。:04/02/03 09:25
>>581
それを知っている人間が少なくて、www.sco.comへアクセスして飛べなかったら
運営してるとはいえないんじゃw
ただ、鯖があるだけ。

520 :名無しさん@お腹いっぱい。:04/02/03 09:59
質問ですが、最近毎日、添付メールが来ます。
無料でダウンロードできる対策ソフトは何が宜しいでしょうか?

521 :名無しさん@お腹いっぱい。:04/02/03 10:05
>>520
まずは有償ソフトを買え、そしてもう少し詳しくなってから無償版を自分で探して
どれが良いが判断できるようになってから使え。

どれが良いか、何があるか判らない時点では使いこなせないし、不満が残ったり
設定間違ってウイルスに感染するのが関の山。


522 :名無しさん@お腹いっぱい。:04/02/03 11:31
>>520
有料ソフトだって使い方がアフォならいくらでも感染できるが。
勉強する気があるならセキュソフトを全部フリー版にして浮いた
金でルータ入れるのがbestだな。

フリーセキュソフトの定番
 アンチウィルス:AVG、Antivir
 ファイアウォール:Zone Alarm、Outpost
 アンチスパイ:Spybot
それぞれセキュ板に専用スレがあるのでまずそこを見れ

アンチウィールスに金払いたいならトレンドのVB(ウィルスバスター)
が第一候補。次にシマンテックのNAV。シマンテックのNISは、値段高い、
オマケのファイアウォールがしょぼい、遅い、重い、トラブるしかもFWだけ
をアンインストできないので他のFWを入れられない…と評判最悪。







523 :名無しさん@お腹いっぱい。:04/02/03 11:40
>>522
代わりに紹介ありがとん

ただ、BLAST系のワームならルータでも効果があるだろうけど、
今回のような古典的だけど、引っかかりやすいのはやはりアンチウイルスソフトが
必要だよ。

524 :参考 Apache/1.3.26 (UnitedLinux):04/02/03 17:27
http://uptime.netcraft.com/up/graph?site=www.sco.com
The site www.sco.com is running Apache on unknown.

OS, Web Server and Hosting History for www.sco.com
OS Server Last changed IP address Netblock Owner
unknown Apache 31-Jan-2004 216.250.128.12 NFT
http://www.fdin.org/sam/CA-2004-02.htm#dnsMYDOOM

http://uptime.netcraft.com/up/graph?site=register.sco.com
http://uptime.netcraft.com/up/graph?site=support.sco.com
http://uptime.netcraft.com/up/graph?site=caldera.com
http://uptime.netcraft.com/up/graph?site=uk.sco.com
http://uptime.netcraft.com/up/graph?site=www.emeia.sco.com
http://uptime.netcraft.com/up/graph?site=sco.com
http://uptime.netcraft.com/up/graph?site=uw7doc.sco.com
http://uptime.netcraft.com/up/graph?site=doc.sco.com
http://uptime.netcraft.com/up/graph?site=zeus.ut.sco.com
Oracle9iAS/9.0.2 Oracle HTTP Server Oracle9iAS-Web-Cache/Oracl on Linux
http://uptime.netcraft.com/up/graph?site=wdb1.sco.com
http://uptime.netcraft.com/up/graph?site=linuxupdate.sco.com
Apache/1.3.26 (UnitedLinux) mod_python/2.7.8 Python/2.2.1 PHP/4.2.2 mod_perl/1.27 on Linux
http://uptime.netcraft.com/up/graph?site=wyatt.ut.sco.com  

525 :名無しさん@お腹いっぱい。:04/02/03 19:38
サイト用のアドレスに毎日数十通届く…
「お前からウイルス届いてるコノヤロー」メールも。
偽装だといちいち教えるのも面倒だし、もう捨てようかなぁ。
俺は感染してねーっつのヽ(`Д´)ノ

526 :名無しさん@お腹いっぱい。:04/02/03 21:25
>>525
サイトで公開してるアドレスにはFrom系もTo系も大量に来た
今回はKlez関係よりも多かった感じですわ
「この野郎メール」前にサイトで事情説明したよw

527 : :04/02/03 21:36
メールヘッダを晒すと来なくなったようだが・・・・・・・・・・・・・・・。  

528 :名無しさん@お腹いっぱい。:04/02/03 21:38
数人しか知らない非公開内輪のMLアドレスに外からイパーイきた。
最初の1人は中の人だったと思うんだが、詐称Fromに使われちゃうと
新しくかかったヤシにも芋づる式に広まっちゃうのかなと。

529 :511:04/02/03 21:58
>>528
おぉ、そうか。そういう邪悪な連鎖もあるな。

530 :名無しさん@お腹いっぱい。:04/02/03 22:29
今回のワームが巧妙なところはFromには実在するアドレスをセットするが
Toには実在しないかもしれないアドレスまでをセットするところだなぁ

Toで届けるよりもFromへのリターンやエラーで届けることを優先してるっぽい
いかにも怪しいメールならFromが知り合いでも開かないが
メールサーバーからの応答なら気になって反応してしまう心理を狙ったんだね

531 :ネット屋 ◆tr.t4dJfuU :04/02/03 23:30
>>511
OCNへのそのメールで、来なくなりました?
漏れもそのメールを受け取ってもう数日経つのですが、全く改善されないので、
更にOCNにメールしたら、「対応してるから静かに待てゴルァ」のような
内容になってしもたYO〜(;_;

532 :名無しさん@お腹いっぱい。:04/02/03 23:34
うちのとこにもOCN滓玉サポートからメール来たけど、調査中だからしばらく待て
としか言ってこなかったよ
待てないって返事したら、無視しやがった(-.-”)凸

送信元は 221.188.216.9 からばっかり。

533 :名無しさん@お腹いっぱい。:04/02/03 23:45
漏れは、とあるケーブルTVのプロバイダーに苦情メール出して返事来た。
そしたら「また届くようなことがあったら知らせてくれ」
と書いてあったのでしつこく苦情メール送っておいたw

ふと2chアクセス規制情報スレのやりとりを思い出した。

534 :名無しさん@お腹いっぱい。:04/02/04 00:06
そうかあ。モレも送ろうかな。
数日待てば下火になるだろうと思ってたのに、
あいかわらず1日40通届くよ。ゲンナリ
発信元のドメインもいくつもあるけど、多いやつだけでも。

まあしかし、大手プロバイダが「これからやります」といったら
せめて1週間は待たないと。やつらの遅さってばそういうもんだろ。
さらに「ウィルスかかっちゃったけどどうすりゃいいの」ってやつとか
詐称Fromに騙されて苦情いうやつの方が数十倍多くて、
対応に追われてるにちがいない。

535 :名無しさん@お腹いっぱい。:04/02/04 00:22
さっきから携帯にmydoomらしきメールがいっぱい来る

受信が有料の契約だったらひどい事になってるな

536 :名無しさん@お腹いっぱい。:04/02/04 04:45
>>530
それだ。リターンエラーを装ってるのかと思ったけど
ウィルスメールに自分のアドレスが詐称で使われていて、本物のリターンエラーが来てるんだね。
ついつい開けそうになったよ。

537 :名無しさん@お腹いっぱい。:04/02/04 13:49
そうか・・・気づくの遅かった。
majordomoのML管理してるんだけど、会員じゃないアドレスから
ウイルスがくると、詐称Fromにエラーでまるごと送り返してるんだ。
つまり拡散に一役買ってるってことか…鬱 _| ̄|○
でもエラー送り返さない設定なんて見つからないし、どうしよう。
一時閉鎖するしかないのだろうか。

538 :名無しさん@お腹いっぱい。:04/02/04 14:00
>>537
えらーをどっか1箇所にする設定はない?


539 :名無しさん@お腹いっぱい。:04/02/04 17:00
>MS、MyDoom.Bによる攻撃ほぼ回避
>1月のウイルスの4分の1を占めたMyDoom。
>そのオリジナル版と亜種MyDoom.Bには、
>いずれもコード内に“andy”という名前が
>残されていることが判明した。

アンドリュー・バルトフェルド....
(((( ;゚Д゚)))ガクガクブルブル.......

540 :名無しさん@お腹いっぱい。:04/02/04 17:19
>>537
そうか。そういうこともあるか。
リターンからは添付ファイルを削除できないかな?

541 :名無しさん@お腹いっぱい。:04/02/04 17:33
Mydoomニュース…

> コード内に“andy”という名前が
http://www.itmedia.co.jp/news/articles/0402/03/news031.html

「MSは攻撃ほぼ回避」だそうだが、ならSCOはなぜ回避できな
かったんだ?
http://www.itmedia.co.jp/news/articles/0402/04/news015.html

> これは根本的な疑問だが、Outlookから添付ファイルを実行
> できるのは、機能なのか、それともバグなのか。私はバグだと
> 思う」 漏れもそう思うw
http://www.itmedia.co.jp/news/articles/0402/04/news009.html

542 :名無しさん@お腹いっぱい。:04/02/04 18:21
>>540
俺のとこrでは,メールサーバーが受け取る前にトレンドマイクロのインタースキャンが
メールを検査してくれるようになっている。
メールサーバーに入った時点ですでにウィルスは除去済みなんだが・・・

どうせなら,ウィルスのついたメールはそのまま無かったことにしてほしい。

543 :名無しさん@お腹いっぱつ。:04/02/04 19:22
最初に来たのは1週間前。友達から。
トレンドマイクロのサイトに差出人を偽るなんて書いていなかったから、最初のうちは「こんなもの送りやがって」と返信していた。
ウイルスチェックはプロバイダでやっているので、ウイルスは死んでいます。
昨日までに9匹来ていたんだが、今日はすでに10匹きやがった。
おまけに今日は
「送信者へ。InterScan は E-Mail の添付ファイルにウイルスを発見しました。」
なんてメールが。。。。
とうとう俺のメアドまで詐称され始めたらしい。

544 :名無しさん@お腹いっぱい。:04/02/04 20:49
うちの会社にも来たよ
メアドは偽装しまくりだなあ。ただログみてると送信IPがみんな一緒なんだよなあ
というわけでINFOWEBからのメールは拒絶するように設定変更したよ

545 :名無しさん@お腹いっぱい。:04/02/04 21:30
>539
アツクナラナイデ、マケルワ

546 :名無しさん@お腹いっぱい。:04/02/04 22:04
すいません、ウイルスに詳しくないため不安を感じています。

先月下旬くらいから32k程度のサイズのメールが来るようになりました。
件名は全て英語で「hi!」や「hello」です。中には「送信できませんでした」という意味の英語の時もあります。
送信者のメールアドレスは全く知らない物ばかりです。
本文に「このメールアドレスには送信できませんでした」のような内容の英文が載っていて、
何かのファイルが添付されているようでした。
そんな感じのものが毎日3通程度、多い日には10通程度届きます。

送信できませんでしたと言われてもそもそも送った覚えもありません。
これは私のメールアドレスをメールソフトに登録している人がウイルスに感染して
そのパソコンが送信者を私のメールアドレスに偽って送信しているのでしょうか。

今日、「あなたから送信されたメールからマイドゥームが検出されたので送信しませんでした」
という内容のメールが来たため、こちらのスレに足を運んでみました。

547 :名無しさん@お腹いっぱい。:04/02/04 22:11
>546
                              /    丶
                               /  気  !
                           l      |
''''''''''‐-、,                        |   に  |
::::::::::::::::::::\                     |        |
:::::::::::::::::::::::::ヽ               _,,,,,,_ .|   す  |
:::::::::::::::::::::::::::::':,               ,.-''"::::::::::::`l        |
::::::::::::::::::::;ヘ::::;::i            /::::::::::::::::::::::::|   る   l
::::::::::::::::::::'、|ヽ!ヾ           /::::::::A:::;::::/!::ムli       |
:::::::::::::::::::、:'、              ,':::::::::ハ;ハ;l レ' '|ヽ  な  /
:::::::::::::::;:::| `!  ,.,.._         レi::;lV. ┃   ┃''"ム  /
::::::/l:::ハ:|,/  i ヽヘ,       '〈|         ソ'''''、
:::/ ,|/,,/    ',  l, ヽ.       l、   r一‐:、  /:::::::::::'、
/ | ''      \ 丶.ll''r、.,_   /::`':.、 ヽ--‐',.イ、::::::::::::::'、
:‐┴:、.       `i''y'l |: : : ``''ヽ‐''ヾil´`i';、''" /  >、:i、::::::',
    \       '-'、/ : : : : : : :`: : : lL,, l  /_ ,//: :\'、;::、
   ,.-‐ヽ,       `'-、: : : : : : : :l: 〈<,_i-‐l_,>〉′:i|: : \ヾ
  //´`.ヽ         `'-、 : : : : | : :`'ヾ l''": : : : :| : : : :ヽ



548 :名無しさん@お腹いっぱい。:04/02/04 22:15
546>547
わかりました、ありがとうございます。

549 :名無しさん@お腹いっぱい。:04/02/04 22:35
今日もまだ来るな。ここ数日の分は同一人らしい。
fromはばらばらで、発信IPアドレスは数日間変わらず。

お〜い、京都地域、xDSL接続者よ、いい加減に対策せよ。
自覚症状がないらしいのは、困ったもんだ。
しかし、こいつはメーラーを立ち上げる事すらしないやつなのかな。
多少はご本人のところに、demonから戻ってくると思えるんだが。


550 :名無しさん@お腹いっぱい。:04/02/04 22:42

      ○             ○
      \ _____/
      /  \    /`丶      ぼく まいどんA
     /     ヽ /    \
    i    ●   ∨   ●   }    
     l  (    ,. - 、     ) jf⌒!
 f⌒fヽ\.  ̄ ̄`ー‐ ' ̄ ̄/ヽ/   
  \_ノノ丿T ―------一ベン
    `丶、 \    ☆    ∧
      `i.  \      / │



551 :名無しさん@お腹いっぱい。:04/02/04 22:52
>>546
とりあえずは、>>140を読んで今回の騒動のからくりに関する理解度を深めるってのはどうだろう?


552 :名無しさん@お腹いっぱい。:04/02/04 23:35
>>551
546です。ありがとうございます。なんとなくサイクルが分かりました。
私自身ではどうにもならなくなってしまっているんですね。
私のメールアドレスをメールソフトに登録している誰かが感染に気づいて
ウイルス駆除をするまでは続くということで…。

とりあえず私自身は感染していないようなので波が収まるまで我慢しようと思います。

553 :名無しさん@お腹いっぱい。:04/02/04 23:51
>>552

こちら側でできることがあるとしたら、MAILER-DAEMONからウイルス付きの返却メールを
送ってよこした相手側の管理者に>>140の説明をしてみて、それとなく示唆してみるとかっ
てのはどうかな?

もちろん話しだけじゃ通じにくいから、こっちに届いたウイルスがついていたメールのヘッ
ダー情報の部分とかをペーストして『ホラホラ、これ見て。そっちのメールデーモンからの
返却メールだよねコレ?』って、やんわりとゴルァ!してみるとかね。


554 :537:04/02/04 23:57
>>538 >>540
ありがd。
そういった設定はないようなんだけど、とりあえず、
非会員でも投稿可能、ただしモデレータが承認するまで
メールはMLに配信されない。ってモードにしたよ。
これでウイルスは漏れんとこに届いて承認待ち。
承認しなければ永久にそのまんま、エラーにもならない。
MLのレスポンスは遅くなるけど、閉鎖よりマシかと。

555 :名無しさん@お腹いっぱい。:04/02/05 00:44
今日,電話してきた馬鹿女には参った。

いきなり
女 「IPアドレスXX.XX.XX.XXはそちらのIPでしょ」
とかきたから詳しい奴かと思ってそれなりの対応をしようとすると
話がまったく通じない。
しばらくやり取りを続けるがまったく埒があかない。
単にメールの送信者にこちらのアドレスが使われているからと
電話してきたようだ。
怒鳴りつけたいのを押えて声が震えているのが自分でもわかる。
私 「ううん,そうですね。メールのヘッダー情報を含めて・・・」
女 「プロパでカットされて・・・」
私 「ふうむ 困りましたねぇ」
女 「あなた ウィルス付のメールを受信したことが無いから・・・」
私 「このところ毎日200通以上来ますがなにか」
この後女完全に切れて
女 「対応が気に入らない。このやり取りを公開しますよ」
私 「はぁ〜 公開してもらっても問題ないのですけど」

なんなんだ。あれは。

556 :名無しさん@お腹いっぱい。:04/02/05 01:14
OCNスレでヤフーBBユーザー「809」が当たり散らしてます
困った香具師だ…

http://pc4.2ch.net/test/read.cgi/isp/1072178109/809-

557 :名無しさん@お腹いっぱい。:04/02/05 02:30
正直、シランカッタ。

>Mydoomはランダムにメアドを生成する際、入手したドメイン名の先頭に
>次のいずれかの名前を追加します。
>adam, alex, alice, ndrew, anna, bill, bob, brenda.......

このせいで、もれのアドレスが大量に生成されて
大量のマイドーモがきてたのか… _| ̄|○

558 :533:04/02/05 08:13
2回苦情入れた後もウィルスとリターンメールが届くもんだから
「ウィルスの仕業とわかっているが気分よくない。早く駆除してYO!」
と3回目の苦情入れたら、誠意の感じられるメールが来た。

その後ウィルスメール届いてない(・∀・)イイヨイイヨー
もうちょい待ってウィルスメール止まったら、お礼のメールしよっと。

559 :名無しさん@お腹いっぱい。 :04/02/05 16:41
一日4,5通。fromだけみて返信してくるゴルア警告メールが3,4通。
なんだか落ち着かないんで>533さん見たいにプロバにメール入れてみようかと
思ったんですが。
送信元のIP(鯖名は詐称されてそうだったので無視)が、どのメールも全部同じだったので
IPサーチしてみたら シンガポールだった・・・
スミマセン 日本語スラ 不満足ナンデス・・・

でも出来なくて良かったのかな? もう少し我慢してみますわ。

560 :名無しさん@お腹いっぱい。:04/02/05 18:38
説明するのが難しいんだけど、
これって本文がfailure messageのあとにこっちから送ったメール内容として、
疑似生成された?ヘッダと添付ファイル内容としてテキスト化されたウイルスが書かれてるメールが
送られてくるって言うバージョンある?


561 :名無しさん@お腹いっぱい。:04/02/05 19:11
>>560
ある。普通。

562 :名無しさん@お腹いっぱい。:04/02/05 19:16
>>561
他と違うバージョンだったんで、ちとびっくりしたもので・・・
thx。

563 :名無しさん@お腹いっぱい。:04/02/05 19:28
>>562
普通かどうか知らないが、そうゆうのはどっかで見かけた。
ウィルスチェックプログラムが半分壊したのか、メル鯖の
単なるエラーなのか、どっちにしてもゴミだからさっさと捨てれ。

564 :名無しさん@お腹いっぱい。:04/02/05 20:19
…ウイルスやSPAMが来ると捨てられなくって
何百もため込んでる人、ほかにいませんか。

565 :名無しさん@お腹いっぱい。:04/02/05 20:42
>>546
捨てるに捨てられずというより、削除するのが面倒くさいから放置している
という感じだな。必要なやつだけ抜き取りしてる、というほうが正しい。
そのうちまとめて一気に削除する。


566 :名無しさん@お腹いっぱい。:04/02/05 20:53
ベイジアンフィルタの学習用に残している。

567 :名無しさん@お腹いっぱい。:04/02/05 20:56
>>560
あるある。こんな感じねw

------=_NextPart_000_0006_0EAA10AC.006FF028
Content-Type: application/octet-stream;
name="document.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment;
filename="document.zip"

UEsDBAoAAAAAAPUCPTDKJx+eAFgAAABYAAAMAAAAZG9jdW1lbnQucGlmTVqQAAMAAAAEAAAA//8A
ALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAqAAAAAAAAAAAAAAA

568 :名無しさん@お腹いっぱい。:04/02/05 21:46
げげ、今来たメールでやっと>>140の意味がわかった・・・
本文に書いてあるの、疑似生成されたヘッダじゃなかったのね・・・・



最低だ、このワームとメール鯖システム。。。

569 :ヘッダを晒せ:04/02/06 00:14
  

570 :名無しさん@お腹いっぱい。:04/02/06 00:35
_@tctmail.toyota-ct.ac.jp

571 :名無しさん@お腹いっぱい。:04/02/06 02:13
無防備に晒したメアドにはMydoomっぽいやつが大量に来たけど
"@"をエンコードして公開しておいたメアドには
1通も来てませんぜ。一応お勧めしとくね。

572 :名無しさん@お腹いっぱい。:04/02/06 08:32
>>571
これを使うといいよ。
http://ab.jpn.ph/soft/html_rand.html

573 :名無しさん@お腹いっぱい。:04/02/06 10:09
>>555
ワロタ
お疲れさん(ww

574 :名無しさん@お腹いっぱい。:04/02/06 10:37
>>572
571じゃないけれど、ありがd。
自分は@だけをエンコードしてるけれど、普通に来るから、これは役に立ちそう。

575 :名無しさん@お腹いっぱい。 :04/02/06 12:32
>572
便乗させていただきました。これで迷惑メールも減らせるかも?
ありがとうございます

576 :名無しさん@お腹いっぱい。:04/02/07 00:18
>>559
漏れのとこにはイギリスから来てるな。

10日以上経過してもまだ止まらないってことは
外に攻撃は仕掛けるけど感染したPCを使う分には
たぶん全然困らないんだろうな


577 :名無しさん@お腹いっぱい。:04/02/07 01:55
放置しておいたgooのフリーメアドはどうなってるかな?
と思って全部チェックしたら
去年の11月に送付されていたklezを開いてしまった。
のーとん先生のおかげで無事だったけど
私はアホだ、、、

578 :名無しさん@お腹いっぱい。:04/02/07 03:46
これって世界のどこかに感染してるPCがある以上一生延々とメールが送られてくるんですか?
プロバイダのメールウイルスチェック登録すれば100%防げるのかしら…

579 :名無しさん@お腹いっぱい。:04/02/07 05:27
「MyDoom被害者(深刻)」 がマルチうんこ君なのは>>434
晒されてたが、しょうこりもなく他スレを荒らしてる。
【正式】ウィルス情報&質問 総合スレッド☆Part15
http://pc.2ch.net/test/read.cgi/sec/1068311899/571
などw



580 :名無しさん@お腹いっぱい。:04/02/07 11:07
最近、サイズが30K〜35Kのメール無条件で消してる

581 :miniFAQ屋:04/02/07 14:15
ブラスタスレのFAQの御用をうけたまわってますたが
MYDOOMのもちょこっと作ってみますた。




582 :miniFAQ屋:04/02/07 14:17
★Mydoom(旧名 Mimail.R、Novarg) miniFAQ 1★
Q: Mydoomの情報はどこで見れますか?
A: このあたり見てください。感染してたら後述の駆除ツールで早速駆除
MYDOOM.A
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A
http://www.symantec.com/region/jp/sarcj/data/w/w32.mydoom.b@mm.html
MYDOOM.B
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.B
http://www.symantec.com/region/jp/sarcj/data/w/w32.mydoom.b@mm.html

Q: 感染防止方法は?
A: 心当たりない相手からのメールは絶対に開かない。速攻削除。
サーバからのエラーメッセージに添付されてることも。これも開かず削除。
いくらセキュソフト入れてても添付ファイルをダブクリしちゃったら防ぎきれないです。
【Outlook Expressでプレビューウィンドウを表示させない方法】
http://www.trendmicro.co.jp/bugbear/olnoprv.asp

Q: Mydoomらしいメールがいっぱい来てます。感染してないでしょうか?
A: <Windowsシステムフォルダ>(注1)に以下のファイルが作成されます
これらのファイルが存在しなければ感染してないので安心していいです。
MYDOOM.Aの場合
 CTFMON.DLL / EXPLORER.EXE (注2)
MYDOOM.B の場合
 shimgapi.dll / taskmon.exe

(注1)Windows9x/Meの場合→システムフォルダ= Windows\System
    WindowsNT/2000の場合→システムフォルダ= WinNT\System32
    WindowsXP の場合→システムフォルダ= Windows\System32
(注2)本物のExplorer.exeはWindowsまたはWinNTディレクトリにあります。間違って
削除しないよう注意してください。

583 :miniFAQ屋:04/02/07 14:21
★Mydoom miniFAQ 2★
Q: 大変だ! 感染しちゃってます。どうしたらいいポ?
A: まず駆除ツール使ってみましょう。A、Bともに有効と明記してあるのは↓ここら
http://www.trendmicro.com/jp/support/dcs-licence.htm
http://www.symantec.com/region/jp/sarcj/data/w/w32.novarg.a@mm.removal.tool.html

Q: Mydoomって永久に続くの? 鬱。
A: Mydoom.Aはシステム日付が「2004年2月12日」以降、Mydoom.Bは「2004年3月1日」以降
感染拡大活動(ウィルスメール送信)を停止します。

Q: バンジャイ。ではもうちょっとの我慢だ。
A: とんでもない。駆除しないかぎりバックドア活動はそのまま続行ですから怖いです。PCに
Mydoomが感染していると、外部から好き勝手にプログラムを仕込んだりファイルを削除したり
できます。バンキングや通販でいくらSSL使ってもキーロガーを仕込まれたらパスワード、
クレカ番号、暗証番号、なんでんかんでん悪い奴に報告されてしまいます。

Q: ウィルスメール送ってくるヤシにゴルァしようと思うんですが?
A: メールヘッダーの解読に自信があるヒト以外やめといてください。混雑増やすだけです。
勉強はこのあたりで。↓
http://popup2.tok2.com/home/newbie/defense/mail-header.html
http://www.itmedia.co.jp/broadband/0302/27/lp23.html

Q: なんで私のアドレスが発信元のエラーメッセージがどかどか来るんですか? ハラタツナー
A: 現在のメールは皆そうですが、Mydoomも送信元を詐称します。あなたがメールした相手
その他あなたのアドレスが残っているPCにMydoomが感染すると…
 1)HDD内のファイルをスキャンしてあなたのメアド文字列を拾う
 2)あなたのメアドをFromにセット(詐称)する
 3)宛先に適当にでっちあげたメアドをセットしてウィルスメール送信
 4)メールサーバは配達不能なので、エラーメッセージをつけてFromに送り返す。
 5)ウィルス添付したエラーメッセージがあなたに届く (´・ω・‘)ショボーン

584 :miniFAQ屋:04/02/07 14:22
超簡単FAQ、以上ですた。

585 :miniFAQ屋:04/02/07 14:27
スマソ。>>582のMYDOOM.Aのシマンテックの解説のリンクが
間違ってますた。 

× http://www.symantec.com/region/jp/sarcj/data/w/w32.mydoom.b@mm.html
○ http://www.symantec.com/region/jp/sarcj/data/w/w32.mydoom.a@mm.html

586 :名無しさん@お腹いっぱい。:04/02/07 14:47
http://www.microsoft.com/japan/technet/security/virus/Mydoom.asp
Outlook 2003を使っている場合、添付ファイルをダブルクリックしても
大丈夫、という意味?

587 :名無しさん@お腹いっぱい。:04/02/07 14:58
>>582
前に書かれた時から気になっていたんだが
システムフォルダ内で見つけるファイル名がAとB逆だよ


588 :miniFAQ屋:04/02/07 16:32
スマソ。>>582を以下のように訂正。
-------------------------------------------------------
Q: Mydoomらしいメールがいっぱい来てます。感染してないでしょうか?
A: <Windowsシステムフォルダ>(注1)に以下のファイルが作成されます
これらのファイルが存在しなければ感染してないので安心していいです。
MYDOOM.Aの場合
 shimgapi.dll / taskmon.exe
MYDOOM.B の場合
 CTFMON.DLL / EXPLORER.EXE

589 :名無しさん@お腹いっぱい。:04/02/07 19:51
何だか沢山感染メールが来ます。

WinXPとOUTLOOK使ってるんですけど、
メールの自動ビューの禁止方法が判らないんですよね。
ああ欝です。

590 :名無しさん@お腹いっぱい。:04/02/07 20:05
>>589
outlookをやめるのが一番だよ。ほんと。
ウイルスを拡散するのが目的なら、いいメーラーなんだがなあ。

591 :589:04/02/07 21:01
あ、OUTLOOKのプレビューオフの方法判ったです。
http://www.mnet.ne.jp/virus/preoff/#o

592 :589:04/02/07 21:39
シマンテック社の駆除ツールでPCを調査してみたら
まだ感染してなかったです。
どうやら助かったみたい。

>>590
うん。でもメーラーの鞍替えが面倒。
なんか可愛いくて丈夫なメーラーがあれば
乗り換えるけど。


593 :MyDoom被害者(深刻):04/02/07 23:55
>590
>ウイルスを拡散するのが目的なら、いいメーラーなんだがなあ。

そうです。1秒間に10通以上の送信記録がありました。
3日間この状態が続いてプロバイダからゴルァされて知りました。
対処方法もなくそのままにしていたら、電話がかかって来ました。
ネットワークから強制的に切断するような旨の脅しでした。
ひどいものです。

594 :名無しさん@お腹いっぱい。:04/02/08 00:07
「MyDoom被害者(深刻) 」はコピペ荒しです。あぼ〜ん推奨。

595 :MyDoom被害者(深刻):04/02/08 00:07
最近はトラフィックモニタを見るのを止めました。
送信データ量が半端じゃないので、不安に駆られてしまいます。

こんな実況中継を、いつまで続ける事になるのか心配でしたが、
そうですか、MyDoomには有効期限があったのですか!
安心しました。

596 :名無しさん@お腹いっぱい。:04/02/08 04:12
先日から>>251のメールが大量に送られるようになり
MYDOOMと思われるウイルスに感染したようです。
直後にトレンドマイクロオンラインスキャンを行うと14個の駆除不可能なMYDOOMが
見つかり、普段常駐させているウイルスソフトの更新を慌てて行い駆除しました。
その後同様のメールは送られてくるものの、常駐させているウイルスソフトが駆除して
くれているようなのですが、再びトレンドマイクロのオンラインスキャンを行うと
以前に表示された「14個の駆除不可能なMYDOOM」が表示されます。
これは以前として感染していることを示しているのでしょうか?
>>381の方法で確認しても感染の形跡はありません。一応シマンテックの駆除プログラムを
ダウンロードして実行したのですが、この場合も感染したファイルはないと報告されます。
メールが送られてくる原因に、私のアドレスを登録されている方が感染している可能性が
あるとは思うのですが、自分自身が現時点で感染しているのかが不安で・・・。
もしかしてオンラインスキャンは過去の感染履歴を表示しているのでしょうか?

597 :名無しさん@お腹いっぱい。:04/02/08 05:32
>>596
ウイルスバスターオンラインスキャンは今現在HDに存在するファイルを
チェックした結果のみ表示します。

ちなみに、
「駆除可能」=元々のファイルから感染部分のみ除去することが可能(HTMLとかxlsとかdocとか)
「駆除不可能」=元々のファイルから感染部分のみ除去することが不可能、もしくはそのファイル自体がウイルス(最近はほとんどこっち)
という意味です。

ところで普段常駐させているウイルス対策ソフトってどこのメーカーのソフトよ?

598 :名無しさん@お腹いっぱい。:04/02/08 05:47
>>596
OSは何だ?

XPかMeなら「システムの復元」を有効にしたままウィルス隔離
処理をするとウィルスごと復元フォルダにバックアップを取って
しまうのでアンチウィルススキャンで怒られることになる。

対策:restoreフォルダのウィルスは復元ポイント実行しないかぎり
活動しない。当面危険はない。


599 :名無しさん@お腹いっぱい。:04/02/08 08:18
Symantec Security Response - W32.HLLW.Deadhat
http://securityresponse.symantec.com/avcenter/venc/data/w32.hllw.deadhat.html

F-Secure Computer Virus Information Pages: Vesser
http://www.f-secure.com/v-descs/vesser.shtml



600 :名無しさん@お腹いっぱい。:04/02/08 12:32
>>571-575
メアドの部分をjavascriptの外部ファイルで書いてます。
このやり方もウイルス君は拾っていかないみたいでつ。

601 :名無しさん@お腹いっぱい。:04/02/08 13:36
メアド収集ロボット対策は、
http://www5.kiwi-us.com/~rei/virus/mail.html
↑これに記されてるものくらいかな?
(エンコード、javascript、フォームメール使用、、、他にあったら
 ご教示キボソヌ。「記さない」は無しで)

602 :名無しさん@お腹いっぱい。:04/02/08 19:18
ひらがなで記述
これ最強

さぽーとあっとまーくまいくろそふとどっとこむ

603 :名無しさん@お腹いっぱい。:04/02/08 23:49
Mydoom たかしへ げんきですか。いまめーるしてます

某     うるさい死ね ウィルスおくんな殺すぞ

Mydoom ごめんね。Mydoomはじめて感染拡大してるから、ごめんね

某     うるさいくたばれ、ウィルスおくんな

Mydoom あなたのアドレスで他の人にもめーるしておきました 警告メールはとどきましたか?

某    死ねくそMydoom

604 :名無しさん@お腹いっぱい。 :04/02/09 12:43
>600
>601

ほおお〜 。なんかなあ。こういう被害に会って見ないと解らない世界ってあるんですね。
それでいいのかい! という感じもしますが、大抵のライトユーザーは気にしないだろうなあ。
(私みたいに)

HP上のアドレスをエンコード化してから、一日4,5通届いていたMydoomが(ちなみに同じIPから)
1通〜0通まで減りました。
いちがいには言えないでしょうが、もしかしてアドレス収集活動は毎日行う?
それともちょくちょくサイトに来てくれてるお客さんが感染してて、履歴の中味が変わってる・・・?
トップページで、ウイルスの事書いてチェックお願いしてるんだがなー。
もしくはプロバイダさんが頑張ってくれているのか。
減ってきたのは良しとしましょう。


605 :名無しさん@お腹いっぱい。:04/02/09 15:24
ドメイン宛にものすごい量届くので
3日以上送り続けてくるIPを弾いてホッとしてたら……
ぷららとかso-netとかプロバイダ経由で
むりむりと届くよ、うえーん(つД`)


606 :名無しさん@お腹いっぱい。:04/02/10 01:41
お願いですからkcn.co.jpの誰かさん、Virusにかかってることに早く気づいてください・・・

607 :名無しさん@お腹いっぱい。:04/02/10 01:42
>>606
×kcn.co.jp→○kcn.ne.jp
ですた・・・

608 :名無しさん@お腹いっぱい。:04/02/10 06:57
そえはVirus配布用子鯖なので、諦めて下さい。

609 :名無しさん@お腹いっぱい。:04/02/10 09:36
うちにもついにキタ━━━( ´∀`)・ω・) ゚Д゚)゚∀゚)・∀・) ̄ー ̄)´_ゝ`)−_)゚∋゚)´Д`)゚ー゚)━━━!!!!
とはいっても、ISPのウィルスチェックサービスに引っかかりますたという報告メールだが。

610 :名無しさん@お腹いっぱい。 :04/02/10 09:56
外国籍IPからのウイルスメールがどーしても止まりません。
HPに英文でウイルス注意文常備しないとだめなのかなあ。
(いつも見てる人とは限らないでしょうけど)

えーと13日で送信ワークは終わるんでしたっけ?
後は当人の感染マシンがバックドア活動に悪用されるということで
俺の知ったこっちゃネ、で放置OKなんでしょうか。

611 :名無しさん@お腹いっぱい。:04/02/10 09:59
放置でok!
もう少しの辛抱じゃ。

612 :名無しさん@お腹いっぱい。:04/02/10 10:02
>>611
明日で終わりだっけ。
PCのシステム日付が狂ってるのもあるから
多少は来るかもしれんが。

613 :名無しさん@お腹いっぱい。:04/02/10 10:13
DoS攻撃が2/12まで、拡散活動は続けるだろ。

そして、その感染したPCを狙ったC型が出てきたので、ターゲットが
scoからmsに変わっただけ。
まぁ、Aに感染したのがCに完成したら拡散活動もしないので、ある意味
沈静化するだろうけどね。


614 :名無しさん@お腹いっぱい。:04/02/10 10:13
>>610
ウイルス注意文なんて役に立たないと思うぞ。
>>572のリンク先にあるようなソフトでも使って
メールアドレスをエンティティ表記にしたほうがマシ。

615 :名無しさん@お腹いっぱい。:04/02/10 11:29
>>611
他人のPCが感染してるのは放置しとくよりしょうがないわけだが…
これでまた世界中に何十万台とバックドア開きっぱなしのマシンが
増えたというのはイヤずら。

持ち主がクレカ番号抜かれたりするのは自業自得だが、スパムや
ウィルス拡散の踏み台に利用されることは間違いない。MSがいくら
懸賞かけてもこういう裏口から裏口へ拡散させられたらとうてい犯人
は逮捕できんだろ。

616 :610:04/02/10 12:18
ありがとうございます。エンコード対策しましたー
今までいかに無防備にアドレス晒していたのかを思い知った次第・・・

とりあえず放置でも
感染マシン保持者にはやっぱり気付いて欲しいって事ですねー
615さんの言うようになったら・・・
当然、うちのアドレスもリストにあるわけで・・・

ウワーーンバカーーーーー

617 :名無しさん@お腹いっぱい。:04/02/10 15:27
MYDOOM.Cはport3127を叩く

Agnitum Outpost Firewall part14
http://pc.2ch.net/test/read.cgi/sec/1075046818/352


618 :名無しさん@お腹いっぱい。:04/02/10 17:22
MYDOOM.C キタ━━━(゚∀゚)━━━!!!!!
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_DOOMJUICE.A

619 :576:04/02/10 22:06
こんな感じで適当にexciteで英訳したメールを送ってみたところ
なんとか止まったみたいです。
向こう側で勝手に気づいただけかもしれないけどね。
一応ご参考まで。
--

ウイルス配布停止のお願い
Subject: Wish of a virus dispatch stop (W32.Mydoom.A@mm)

御社の管理しているサービスから何回かにわたりウイルスが送付されている模様です。
since it seems that a virus is alike several times, crosses and has been sent from those
who use service of your company.

送付されてるウイルスについての説明
W32.Mydoom.A@mm
Discovered on: January 26, 2004
Last Updated on: February 08, 2004 12:54:55 PM
http://securityresponse.symantec.com/avcenter/venc/data/w32.novarg.a@mm.html

IPアドレス探知結果
ヨーロッパなのでRIPEを使用しました。
[IPaddress whois result]
http://www.ripe.net/perl/whois?form_type=simple&full_query_string=&searchtext=xxx.xx.xxx.xxx&do_search=Search
メールヘッダの羅列
IPアドレスの出所を認識してもらうため
---------
なりすまし
[Spoofing]
メールヘッダの羅列
IPアドレスの出所を認識してもらうため


620 :名無しさん@お腹いっぱい。:04/02/11 14:22
メール送ってくる屑どもはなにが目的でこんなことしてんだ?・・

621 :名無しさん@お腹いっぱい。:04/02/11 15:07
>>620
詐称だよ。それと>>583の最後のようなトリックもある。

622 :名無しさん@お腹いっぱい。:04/02/11 18:11
>>620
とりあえずSCOとMSにDDoS攻撃。

忘れた頃バックドアからキーロガー仕込んで
クレカ番号ゲーーッツ!

623 :名無しさん@お腹いっぱい。:04/02/11 18:19
>>713
「メール添付ウイルス「WORM_MIMAIL.R」が流行中」
感染確認方法
http://pc.2ch.net/test/read.cgi/sec/1075170355/588
メル鯖からウィルスメールが来る謎
http://pc.2ch.net/test/read.cgi/sec/1075170355/583

624 :623:04/02/11 18:19
スマソ。誤爆。

625 :名無しさん@お腹いっぱい。:04/02/12 00:47
taskmon.exe EXPLORER.EXE
共に検索したら見つかったんですが、
前者後者ともに更新日時が2000年になっています。
これもウィルス感染してるって事なのでしょうか?

626 :MyDoom被害者(深刻):04/02/12 01:06
MyDoom悪夢から覚めてみると、逆に寂しくなったりするんですよね。
Type-Cも体験しておいた方がいいでしょうか?

627 :名無しさん@お腹いっぱい。:04/02/12 01:53
>>625
見つけた場所がシステムフォルダ↓なら感染。退治は>>583見れ
----------------------------------------------------------
(注1)Windows9x/Meの場合→システムフォルダ= Windows\System
    WindowsNT/2000の場合→システムフォルダ= WinNT\System32
    WindowsXP の場合→システムフォルダ= Windows\System32
(注2)本物のExplorer.exeはWindowsまたはWinNTディレクトリにあります。間違って
削除しないよう注意してください。




628 :名無しさん@お腹いっぱい。:04/02/12 04:01
バックドア活動
ワームは外部と通信し、外部からのリモートコントロールを可能にする
バックドア型ハッキングツールとしての機能を持っています。
外部のユーザはこのワームが侵入したコンピュータをリモートコントロールして
ファイルのダウンロードと実行を行なうことができます。
ワームは外部との通信のためにポート3127〜3198を使用します。
ワームはポート3127から3198まで順番にポートのオープンを試みていき、
オープンに成功したポート1つを通信に使用します。
すべてのポートがオープンできなかった場合は3127に戻ってまた順にオープンを試みていきます。
このワームのバックドア機能は"SHIMGAPI.DLL"に集められています。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A&VSect=T

629 :名無しさん@お腹いっぱい。:04/02/12 09:53
http://www.ipa.go.jp/security/topics/newvirus/mydoom.html
>ただし、2004年2月12日になると、サービス妨害攻撃および感染活動を停止します。

ウイルスメールはもう来ないのかな?

630 :名無しさん@お腹いっぱい。:04/02/12 11:59
Mydoom.Bは2月いっぱい活動するそうだ。↓シマンテック >>582
> このワームは、2004 年 3 月 1 日に感染拡大活動を停止します。


631 :名無しさん@お腹いっぱい。:04/02/12 16:40
★Welchia.B=Nachi.B登場。昨日発見。ご注意★

2chの初感染報告↓
セキュリティ初心者質問スレッドpart36
http://pc.2ch.net/test/read.cgi/sec/1075135866/798

トレンドマイクロ Nachi.B  解析中…
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B
シマンテック、Welchia.B 解析中…(まだタイトルだけ)
http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801




632 :名無しさん@お腹いっぱい。:04/02/12 22:09
いまだにウイルス添付メールを放出している奴は
バックから犯しまくってもらいたいのだろうか。
初級ネットワーク板にIP晒してやりたくなってきた。

633 :名無しさん@お腹いっぱい。:04/02/13 07:03
すみません。質問です。
>560のようなメールを知らずに開いてしまったのですが感染してしまうのでしょうか?
OSはXPです。アンチウィルスソフトはまったく入れていません。
氏マンテックの無償ツールのセキュリティーチェック(ウィルス検出)でチェックしたところ
ウィルス感染はないとのことでしたがどうなんでしょうか。

634 :名無しさん@お腹いっぱい。:04/02/13 07:18
>>633
MyDoomなら添付ファイルを実行しなければ大丈夫。
オンラインスキャンで何も出てこなかったのなら、問題ないんじゃないかと思う。

635 :名無しさん@お腹いっぱい。:04/02/13 07:32
>>634
そうなんですね。安心しました。
ありがとうございました!

636 :名無しさん@お腹いっぱい。:04/02/13 09:28
mydoom.a いまだにいっぱくるんですが・・・
一分間に100通くらい

637 :名無しさん@お腹いっぱい。:04/02/13 12:11
>>636
時計がずれてるマシンはけっこう多い。ブラスタのときも急にぴたりとは
止まらなかった。

638 :名無しさん@お腹いっぱい。 :04/02/13 12:46
うちの方は止まった・・・?
止まったかな・・・・?

毎日10通前後来てたんですが、今日はまだ一通も来ません。
は〜〜〜〜すっきり!!・・・・・と思っていいかな・・・?

いや全く、毎日毎日ウイルス取り除き続けてくれたプロバイダさんご苦労様でした。
(プロバのウイルスチェックサービスね。)
これからはうっかり無防備にアドレス取られる事のないよう注意しまふ。

しかし・・今でも感染してるマシンって、どんなユーザーのもの?



639 :名無しさん@お腹いっぱい。:04/02/13 12:47
一分間に100通ってすごいな。

640 :名無しさん@お腹いっぱい。:04/02/13 12:58
>>638
いまだにKLEZに感染していて、群馬のocnからせっせと俺にメールを送ってくる人がいるくらいだから、
放置している人は放置しているみたいだ。

641 :名無しさん@お腹いっぱい。:04/02/13 14:09
あんまり量が多いんで、1日5通以上マイド送りつけてくる発信源の
プロパに通報したよ(もちろんRecieved拾い)
1日100通きていたのが、これでとりあえず10通くらいまで減った。

大手のプロパは比較的対応も早いけど、地方のCATVは
対応がやたら遅いか無反応だね。まあ12日過ぎたし、
通報するのもけっこう手間かかるんで、あとは様子見だな。



642 :名無しさん@お腹いっぱい。:04/02/13 14:29
今日はパタッと減ったな。7割ぐらい減った。
通報したせいか、それとも世間全般の傾向か。

643 :名無しさん@お腹いっぱい。:04/02/13 14:46
最盛期は一日数百通来てたけど、
今は昨日の夕方を最後に一通も来てない。
通報してないけど。

644 :名無しさん@お腹いっぱい。:04/02/13 19:32
通報して減ることもあるが、屁のカッパでシカトされることの方が断然
多い。がんがん来るところでも放っておいてある日パタリと来なくなる
ことも。けっきょくあれだな、手間考えると通報してもあまり意味ねー。



645 :名無しさん@お腹いっぱい。:04/02/13 22:35
そう思って放置してたんだけど、やはり同じところから
1日10通ずつ2週間続くってのはね。
しかも自分と同じプロバイダだから、一応対応はしてくれたみたい。
でもそれとは関係なく、今日は止まったね。

646 :名無しさん@お腹いっぱい。:04/02/13 22:48
うちも来なくなった。単に活動が止んだだけかな?
ウィルス添付メールさえ来なければ、あとはどうでもいいや。

647 :名無しさん@お腹いっぱい。:04/02/13 23:01
来なくなると何故か寂しいw

648 :名無しさん@お腹いっぱい。:04/02/14 02:22
かわりにネットがえらく重いんだが、局地的傾向だろうか。

649 :名無しさん@お腹いっぱい。:04/02/14 08:07
ワシん所には一通しか来なかったなぁ...。
逆に、何だろ?という気になる。

650 :名無しさん@お腹いっぱい。:04/02/14 12:37
OCNから来るのばかりなんだが、やっぱ通報した方がいい?

651 :名無しさん@お腹いっぱい。:04/02/14 17:53
so-net → 通報してから半日後に返事がきて、さらに1日半後に来なくなった。
nifty → 通報して2日後に返事がきたが、すでにウイルスの活動が
止まったらしく、いつ対応してるかよくわからない。
niftyには2年前にも通報したが、そのときは3日後に返事がきた。
ocnはこういうとき対応悪いという噂を聞いたことが…。

652 :名無しさん@お腹いっぱい。:04/02/14 20:35
まいどーが6081件。こんなもん?
やっと消した

653 :名無しさん@お腹いっぱい。:04/02/14 20:55
   ┌───────┐
  (|●       ● |
  /| ┌▽▽▽▽┐ |  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
 ( ┤ |      | |< どーも mydoom作者っす
  \  └△△△△┘ \ \__________
   |\ 25\      |\\
   |  \万\    |(_)
   |   \$\   |
   |    \で\  |
   |      \す\|
   |    /\  \よ |
   └──┘ └──┘


654 :名無しさん@お腹いっぱい。:04/02/14 22:11
朝、取引先のシステム管理者からTELが・・
あんたのところからdoomのメールが来たと怒りの問合せが。。
怒られたって、こっちじゃねーっての偽装しちまうんだし。
調べようがねーっての。

655 :MyDoom被害者(深刻):04/02/14 23:32
>647
その通り!
今はtype.Cが来ないかとどきどきしています。
来ない場合にはどこへ問い合わせたら良いのでしょうか?
サポート体制が不十分ですね。製作元は。

656 :名無しさん@お腹いっぱい。:04/02/15 03:02
警察庁発表:NACHI.Bは日本語WEBページを破壊
http://pc.2ch.net/test/read.cgi/sec/1065964513/681

657 :名無しさん@お腹いっぱい。:04/02/15 05:19
>来なくなると何故か寂しいw
好みじゃない娘からのアプローチみたいな物ですか?
その内、愛が芽生えて……。

658 :名無しさん@お腹いっぱい。:04/02/15 08:06
>>656のサイバーポリスのPDFを見ると、
既出かも知れないが、
PDFを見ると某チケット屋のトップページを変えたのは
これみたいだな。
あそこでチケットを買うのは危険だな..個人情報がダダ漏れになりそうで。

659 :名無しさん@お腹いっぱい。:04/02/15 11:00
>>658
まあどこの外注を使って運用保守をしているのか調べれば、ローソンチケット以外に危なそうなサイトが
簡単に判明するでしょう。

660 :140の者だが:04/02/15 11:04
mydoom.aは終息域にあるし、ここは終わりかな。
企業で対策の最前線に立つ人間としては、どのウイルスであろうとどのスレッドであろうと
言うべきときは言いに来るだろうけどね。



661 :名無しさん@お腹いっぱい。:04/02/15 15:50
>>656
NACHI.Bの破壊活動をトレンド、シマンテックはなぜ公表しないのか?
警察庁によると、http://pc.2ch.net/test/read.cgi/sec/1065964513/681
NACHI.Bは感染したマシンがWEBサーバの場合データファイルを改竄して、
 1945.8.6 Little boy(←広島の原爆)
 1945.8.9 Fatso (←長崎の原爆)
 Let history tell future (←歴史は予言する)
というような反日スローガンに書き換えるという悪質な破壊活動をする。

この情報をトレンドは未だにウィルスデータベースに発表してない。
 http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_NACHI.B
> ウイルスコード内に以下の文字列が含まれます:
などとそしらぬ顔。

シマンテックは英語サイトでは
 http://securityresponse.symantec.com/avcenter/venc/data/w32.welchia.b.worm.html
 10 Overwrites the files it finds with the following .htm file:
と破壊活動を行うことスクリーンショット入りで明確に表示しているのに、
日本語サイトのウィルスDBではタイトルだけでNACHI.Bの解説は全く出して
いない。
 http://www.symantec.com/region/jp/sarcj/cgi-bin/virauto.cgi?vid=34801

これはどういうことなのか? それほど日本法人の能力は低いのか?


 

662 :名無しさん@お腹いっぱい。:04/02/15 19:59
>>661
白人は全体として白人至上主義で有色人種蔑視だよ。いつもそう。いまもそう。これからもそう。何を今更(w

663 :名無しさん@お腹いっぱい。:04/02/15 23:35
うちはまだ毎日定期的にウィルスメールきます。
ウィルス対策はしているので、問題はないのですけどね。
大体このくらいの時間で必ず2通そしてエラーメッセージの返信メールも2通。。
アドレスの最後がitが多いので、イタリアからかが多いのでしょうか。。
知り合いでイタリアにすんでいるのは1人しかいないんですけど。。
だからといってこの人疑うべきじゃないのでしょうかねぇ。
ここ読んでたら、皆さん結構jpからだし。。。疑っちゃいます。
この人にあなたの周りにウィルス感染している人がいるような気がします。。
なんて言っちゃいけないものでしょうかねぇ。。

664 :名無しさん@お腹いっぱい。:04/02/16 00:35
まあ対策は複数入れたほうがいいですね。
ライン上に一つ、PCに一つ。それぞれ別のメーカー。
こうしておけば安全が保障されるパーセンテージが一つだけの場合よりも高くなる。
さらにルーターとハードウェアFW入れればさらに安全。
あとはFWの外側にダムハブをはさんで分岐先にIDSを置いて、引っかかるIPアドレスを
毎日定期的にFW側でreject設定してやればなおグー。


665 :名無しさん@お腹いっぱい。:04/02/16 00:38
付け加えるならspam対策としてPOPFILEかまたはlinux立ててbsfilter入れてpop proxy
かましてやれば、「ウイルス」「不正アクセス」「spam」と悪の三拍子を防げる確率が高〜く
なりまーす。


666 :663です:04/02/16 01:07
あ、ありがとうございます。
でも、macなんですよね。。nortonとプロバイダーのウィルスチェックで
まあ、安全かな。。と思っているんですが。。
ただ毎日くるメールがうざいので、元からたてればなぁ。。なんて思った
だけなんです。。

667 :名無しさん@お腹いっぱい。:04/02/16 06:48
>>663
アドレスがイタリアってFrom見て言ってるの?
Fromは詐称されるから当てにならないぞ
うちに来た多くはFromは海外ドメインで実際の感染者はOCNだった

668 :名無しさん@お腹いっぱい。:04/02/16 22:49
>>667
うちに来たのも、2月以降は某marunouchi.tokyo.ocn.ne.jpだけでした。
ちなみにreceivedのIPで確認。
(デーモンが完璧に書き換えちゃったものは不明だから放置。)

669 :名無しさん@お腹いっぱい。:04/02/16 22:57
いつだったか忘れちゃったんだけど
添付のファイルは削除されましたとかのメッセージが来て
それ以来、一日に5、6通のテキストファイルのみの添付のメールが
良く来るようになったんだけど、何が原因のメールなのかな?
見たことあるようなアドレスもあったし、ウィルス感染中のPCから送られて来てるって事だよね


670 :名無しさん@お腹いっぱい。:04/02/16 23:39
で、既にMYDOOM.E出現ですね。
今の時間帯はsophos以外は定義情報が間に合ってない......
http://www.sophos.com/virusinfo/analyses/w32mydoome.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.E&VSect=T


671 :名無しさん@お腹いっぱい。:04/02/17 00:50
>670
mydoom-e.ideね。
sophosのSAV使ってるけど、まだ引っかからない
来るかな、来ないかな。

ところで、ASN.1 Remote DoS Exploitって、よく落ちるね。
port 139でも落ちる。うーむ。急がねば。

672 :名無しさん@お腹いっぱい。:04/02/17 07:43
トレンドはmydoom.eに対して#766が対応うんぬんとかあるねぇ。
ウイルスバスターの正規ユーザならサポートに電話してこのwebの話をして、やさしくゴルァすると
766を送ってくるので、言ってみるといいかもしれないなぁ。


673 :名無しさん@お腹いっぱい。:04/02/17 07:58
>>672
米国のトレンドのサイトから、テスト用の定義ファイル766が落とせるので、それを使っています。
無保証なので、微妙だが。

674 :名無しさん@お腹いっぱい。:04/02/19 19:11
2月11日以降、来なくなっちゃった。・・・

675 :名無しさん@お腹いっぱい。:04/02/20 00:03
げっ!! 来ないと思ってたら、今度はNetsky.bが来やがった。

676 :名無しさん@お腹いっぱい。:04/02/20 00:08
>>675
流行の最先端をいってますな。

677 :名無しさん@お腹いっぱい。:04/02/21 03:03
既に時代はMYDOOM.Fらしい。
勘弁してくれよ、もう.....


678 :名無しさん@お腹いっぱい。:04/02/26 09:02
>>677
Fも期限付きでよかった・・・と思ったら2006年かよ!

679 :名無しさん@お腹いっぱい。:04/02/26 16:22
ウイルス駆除するウイルス
http://headlines.yahoo.co.jp/hl?a=20040226-00000072-kyodo-bus_all

680 :名無しさん@お腹いっぱい。:04/02/26 16:47
>>679
ステキ

681 :名無しさん@お腹いっぱい。:04/02/27 19:21
以前ネタスレの方で紹介されていた↓とは違うのかな?
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.doomhunter.html

682 :名無しさん@お腹いっぱい。:04/03/04 13:31
件名がWindows98という添付メールきたけど
怪しかったので削除しちゃった。

683 :名無しさん@お腹いっぱい。:04/03/04 17:16
NETSKYの話題は無いの?


684 :名無しさん@お腹いっぱい。:04/03/04 21:38
>>683 NETSKYについて
当方には、3月2日到着分で7通。
3日に5通。
4日に10通。
どういうタイミングでメールが出ているのかはわからないけど、
同じIPの人から何度も送られてくる傾向にあります。

685 :名無しさん@お腹いっぱい。:04/03/05 00:43
yahooBBのサポートからNETSKYが来たのはワラタ

686 :名無しさん@お腹いっぱい。:04/03/05 05:10
>>685
ヘッダを見てくれないと、そういうのはあんまりおもしろくないです。
俺なんか大企業のアドレスしょっちゅう。

687 :名無しさん@お腹いっぱい。:04/03/05 21:47
>>685-686

Yahoo!BBのサポートで笑わしてくれたのは、
ヘッダ情報を見て、「お宅の経路から送られてきとるで?どないしてくれるんや?」
とネジ込んだところ、

「(中略)個人情報の保護、漏洩防止の徹底ということで不正な行為を
おこなったユーザーが特定された場合でも、お客様へ、対応内容については
ご連絡をいたしませんことをご理解、ご了承くださいますようお願いいたします。」

とか何とか書いて寄越しおった。

…で、それから1ヶ月もしない内に顧客情報漏洩事件だ。爆笑させて貰った。
  (逆にこっちは、ahooのユーザじゃないし、メアド位しか送ってないから影響ないけど。)

688 :名無しさん@お腹いっぱい。:04/03/06 00:45
W32.Netsky.D@mmが来たよ。
Yahoo!BBのせいに違いない。
もう、決めつけ。

689 :名無しさん@お腹いっぱい。:04/03/09 03:21
当方にも30通ほど来てるのですが、ヘッダのReceived見ると全部同じサーバです。
本当に、やめてよ。

690 :名無しさん@お腹いっぱい。:04/03/10 14:06
同じアクセスポイントのIPから何度も届くんで、ヘッダ情報つきでプロバに連絡したけど無視されたっぽい…まだ届くよ orz

691 :名無しさん@お腹いっぱい。:04/03/14 01:32
W32.Netsky.D@mm
がツタヤから届きました。

692 :名無しさん@お腹いっぱい。:04/03/16 12:11
NETSKYが今熱い。アドレス騙ってどんどん送信されてる。
プロバイダが「ウイルス付きのメールが送られてきたYO」
っていう報告メールが来るだけなんだけど。

693 :名無しさん@お腹いっぱい。:04/03/20 21:30
Worm.NetSky.Dまたまたまた(ryキタ━━━━(゚∀゚)━━━━!!!


694 :名無しさん@お腹いっぱい。:04/03/30 21:09
一日何通くらいくるよ?

695 :名無しさん@お腹いっぱい。:04/03/31 23:59
Netskyスレが立ったみたい。

【差出人】WORM_NETSKY【詐称】
http://pc3.2ch.net/test/read.cgi/sec/1080741342/l50

696 : :04/05/14 13:55
の発言:
てか、うちまかふぇー

697 :名無しさん@お腹いっぱい。:04/08/08 21:35
もう落ち着いた?

698 :名無しさん@お腹いっぱい。:04/08/09 10:14
毎日10通くらい来るぞ、どうなってんだ?
ヤフオクのさらしアドで、変えるのも面倒だからいいけど

699 :名無しさん@お腹いっぱい。:04/09/27 00:21:01
>>206
今ウィルスチェックしたら、そのソフトのLOGフォルダに
「Netsky.D」と「Netsky.B.enc」が……。Orz
慌てて最新バージョンにしたけど、設定が難しくて
自分にはどう対策したらいいのかわからん。

700 :名無しさん@お腹いっぱい。:04/09/27 00:52:50
半年以上前のスレを上げる荒らしが多発しております。
ご注意ください。

701 :名無しさん@お腹いっぱい。:04/09/27 22:03:02
最近またウイルスメールが多いね

702 :名無しさん@お腹いっぱい。:04/10/09 05:16:56
すみません!!どなたか助けてほしいのですが、
知らないメールをあけてしまって、そしたらなんだか知らないうちにメールが勝手に
バンバン送られてっちゃうんです!!
誰に何を送信してるかわからないんですけど、これはどうしたら直るんでしょうか?!
どなたか知ってる人がいたら教えてください!!
よろしくお願いします!!


703 :名無しさん@お腹いっぱい。:04/10/09 13:39:48
最近W32.MYDOOM多いな

704 :名無しさん@お腹いっぱい。:04/11/09 11:54:17
だね

705 :名無しさん@お腹いっぱい。:04/11/14 11:23:17
全然来ねえな

706 :名無しさん@お腹いっぱい。:04/11/14 18:30:17
705 :名無しさん@お腹いっぱい。 [sageyuzuru@green.interq.or.jp] :04/11/14 11:23:17
全然来ねえな

707 :名無しさん@お腹いっぱい。:04/11/22 09:25:28
@tepco.ne.jpで送られてきたよ。


708 :名無しさん@お腹いっぱい。:04/11/24 09:56:30
>>707
http://www.tepco.ne.jp/information/info/04112201.html

709 :あぼーん:あぼーん
あぼーん

710 :名無しさん@お腹いっぱい。:2005/04/16(土) 23:23:26
http://ex10.2ch.net/test/read.cgi/news4vip/1113661347/l50


711 :名無しさん@お腹いっぱい。:2005/06/21(火) 23:42:54
今さっきWada Akioさんから添付つきのメールが来たんですが。
しかも件名が「Merry Christmas!」…
突っ込みどころが満載ですが、ウィルスですか?

712 :名無しさん@お腹いっぱい。:2005/06/21(火) 23:47:38
( ´_ゝ`)フーン

713 :kk:2005/06/22(水) 21:02:21
すいません 
お初なんですけどウイルスをください

714 :名無しさん@お腹いっぱい。:2006/04/06(木) 20:19:08
ウイルスってどうやっててにいれるんだよ?w

715 :名無しさん@お腹いっぱい。:2006/04/08(土) 23:36:16
ふうぞくにいけばもらえるよw

716 :名無しさん@お腹いっぱい。:2006/06/15(木) 21:13:29
ヤフーのメルアドに最近よくウィルス付きのメールがよく届き
気味がわるいです。どうも、ドメインがOCNっぽいところから届くんですが
アドレスが毎回変わります。しかし、添付ファイルはいつも一緒です。
日本からなので知っている奴からの嫌がらせなのかと思ってしまいます。
また、自分が使っているのメルアド、仕事の自分のメルアドからも
送っていないウィルス付きのメールが届くようになりました。
対処法はありますでしょうか?

送られてきたメールの詳細ヘッドです。

X-Apparently-To: ******@******co.jp via 2**.*3.**.7*; Wed, 14 Jun 2006 08:51:59 +0900
X-YahooFilteredBulk: 1**.2**.**0.**7
Authentication-Results: m***1.mail.***.yahoo.co.jp from=p0031.ocn.ne.jp; domainkeys=neutral (no sig)
X-Originating-IP: [1**.2**.**0.**7 ]
Return-Path: <u0031413@p0031.ocn.ne.jp>
Received: from 1**.2**.**0.**7 (EHLO yahoo.co.jp) (1**.2**.**0.**7 ) by m****1.mail.***.****.co.jp with SMTP; Wed, 14 Jun 2006 08:51:59 +0900
From: u0031413@p0031.ocn.ne.jp アドレスブックに追加
To: i*****@*****.co.jp
Subject: Re: Approved
Date: Wed, 14 Jun 2006 08:54:29 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0005_00007A6D.000074E5"
X-Priority: 3
X-MSMail-Priority: Normal
Content-Length: 17119


717 :名無しさん@お腹いっぱい。:2006/07/01(土) 21:04:31
4430711@www.millenianet.jp

718 :名無しさん@お腹いっぱい。:2006/07/02(日) 16:17:28
Return-Path:<:::::::::::::.ac.yahoo.co.jp>
Received:from (p3041-ipad81marunouchi.tokyo.ocn.ne.jp [61.199.43.41])
(envelope-from :::::::::::::::::.ac.yahoo.co.jp)
From::::::::::::::::::::.ac.yahoo.co.jp
Subject:Re: Extended Mail System
Date:Sun, 2 Jul 2006 16:04:18 +0900
MIME-Version:1.0
Content-Type:multipart/mixed
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:\4*#!((`!!+Q,"!N[^!!
Status:RO

719 :名無しさん@お腹いっぱい。:2006/07/02(日) 16:18:30
Return-Path:<::::::::::::::::.ac.yahoo.co.jp>
Received:from (p3041-ipad81marunouchi.tokyo.ocn.ne.jp [61.199.43.41])

(envelope-from :::::::::::::::.ac.yahoo.co.jp)
From:2.::::::::::::::::::.ac.yahoo.co.jp
Subject:Mail Delivery
Date:Sun, 2 Jul 2006 15:58:32 +0900
MIME-Version:1.0
Content-Type:multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:OYN!!oW;!!i;T"!\/##!
Status:RO

720 :名無しさん@お腹いっぱい。:2006/07/04(火) 11:03:30
Return-Path:<・・・・・・・.ac.yahoo.co.jp>
Received:from kojima.net (p3230-ipad408marunouchi.tokyo.ocn.ne.jp [222.146.163.230])
envelope-from ・・・・・・.ac.yahoo.co.jp)
Message-Id:<>
From:36.・・・・・・・・・・.ac.yahoo.co.jp
To:
Subject:()Mail Delivery (failure)
Date:Tue, 4 Jul 2006 09:31:55 +0900
MIME-Version:1.0
Content-Type:multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:-]a"!6D;"!WkI!!X`""!
Status:RO

721 :名無しさん@お腹いっぱい。:2006/07/04(火) 19:28:33
WORM NETSKY Q ウザイ!!!

722 :名無しさん@お腹いっぱい。:2006/07/08(土) 12:50:38
Return-Path:<*******@mail.goo.ne.jp>
Received:from ******.net (p4129-ipad506marunouchi.tokyo.ocn.ne.jp [222.148.75.129])

by mail.*******.net with ESMTP id for
(envelope-from *******@mail.goo.ne.jp)
Message-Id:<>
From:********@mail.goo.ne.jp
To:******@*******.net
Subject:product
Date:Sat,
MIME-Version:1.0
Content-Type:multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:]!k"!/K""!@P4!!I1O"

723 :名無しさん@お腹いっぱい。:2006/07/08(土) 12:51:26
Return-Path:<*********@*****.ac.yahoo.co.jp>
Received:from ********.net (p4129-ipad506marunouchi.tokyo.ocn.ne.jp [222.148.75.129])
by mail.********.net with ESMTP id for
(envelope-from *********@********.ac.yahoo.co.jp)
Message-Id:<>
From:********@**********.ac.yahoo.co.jp
To:******@********.net
Subject:
Date:Sat, 8 Jul 2006 12:15:44 +0900
MIME-Version:1.0
Content-Type:multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:h\A!!&nF!!P\>!!#'R"!

724 :名無しさん@お腹いっぱい。:2006/07/10(月) 09:40:30
eturn-Path:<**********@www.millenianet.jp>
Received:from ********.net (p2167-ipad88marunouchi.tokyo.ocn.ne.jp [221.188.45.167])
by mail.**********.net () with ESMTP id (envelope-from **********@www.millenianet.jp)
Message-Id:<>
From:********@www.millenianet.jp
To:
Subject:()Re: Error
MIME-Version:1.0
Content-Type:multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:E`A!!WA;!!!&7"!Pa@"!

725 :名無しさん@お腹いっぱい。:2006/07/10(月) 09:41:18
Return-Path:<*****@***.synapse.ne.jp>
Received:from *******.net (p2167-ipad88marunouchi.tokyo.ocn.ne.jp [221.188.45.167])

by mail.**********.net () with ESMTP idfor <>; (envelope-from ****@***.synapse.ne.jp)
Message-Id:<>
From:****@***.synapse.ne.jp
To:
Subject:()
Date:
MIME-Version:1.0
Content-Type:multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority:3
X-MSMail-Priority:Normal
X-UIDL:/R"#!g@M!!Rpa!!kE_"!

726 :名無しさん@お腹いっぱい。:2006/12/12(火) 11:18:01
Return-Path: <fqbaxhcytnrzyu@yahoo.com>
Received: from k6.dion.ne.jp ([61.198.235.106])
by nm06mta.dion.ne.jp
id <20061208205458025.MA68.81DCC90@nm06mta.dion.ne.jp>;
Fri, 8 Dec 2006 20:54:58 +0900
From: fqbaxhcytnrzyu@yahoo.com
To: nishi-f@k6.dion.ne.jp
Subject: Mail Delivery (failure nishi-f@k6.dion.ne.jp)
Date: Fri, 8 Dec 2006 20:55:23 +0900
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_001B_01C0CA80.6B015D10"
X-Priority: 3
X-MSMail-Priority: Normal


727 :名無しさん@お腹いっぱい。:2007/01/15(月) 18:11:29
fromってのが2つあるってことは
どっかを経由してるってことですか?WORM_STRAT.DX らしき添付ファイル付き英文メールが今日だけで4通も届きました
1ヶ月前ぐらいからたまに届くのですが、しばらく届かなくなってホッとしてたら今日まとめてきましたorz

728 :名無しさん@お腹いっぱい。:2007/01/17(水) 14:45:22
.      ! , -==、´r'          l::::::/,ニ.ヽ
      l        _,, -‐''二ゝ  l::::l f゙ヽ |、    どんなウイルスよりも、
        レー-- 、ヽヾニ-ァ,ニ;=、_   !:::l ) } ト
       ヾ¨'7"ry、`   ー゙='ニ,,,`    }::ヽ(ノ     バグてんこ盛り+脳豚以下+元KGB+暗殺あり
:ーゝヽ、     !´ " ̄ 'l,;;;;,,,.、       ,i:::::::ミ
::::::::::::::::ヽ.-‐ ト、 r'_{   __)`ニゝ、  ,,iリ::::::::ミ       +フニャチン+スパイウェア入りのカスペルスキー

                               を使っている方がおそロシア。



729 :名無しさん@お腹いっぱい。:2007/01/28(日) 00:50:03
Martin Williamson
Subject:Develop your goal using our strategy that we provide for you

いきなりこんなメールきたんだけど関係あるかな?

199 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.02.02 2014/06/23 Mango Mangüé ★
FOX ★ DSO(Dynamic Shared Object)