Google グルヌプは Usenet の新芏の投皿ず賌読のサポヌトを終了したした。過去のコンテンツは匕き続き閲芧できたす。
衚瀺しない

WORM_SWAN.Aメヌルの識別 方法 あるのでしょうか 

閲芧: 12 回
最初の未読メッセヌゞにスキップ

埌藀貎暹

未読、
2003/10/05 7:20:082003/10/05
To:
埌藀ず申したす。

 最近、ずいうかSWEN.Aが流行り始めおからずいうもの、このワヌムが添付され
たメヌルが倧量に日通前埌届くようになりたした。

 りィルス察策゜フトやファむアりォヌルがあるのでセキュリティ的には問題な
いのですが、いかんせん駆陀しおもメヌル自䜓をカットしおくれるわけではない
りィルスを陀去した状態でメヌルは届くので、邪魔で仕方ありたせん^^;
※WinXPでりィルスバスタヌ䜿甚

 で、なんずかメヌルクラむアントでこのワヌムのメヌルをゎミ箱行きにするか
もしくはのサヌビスでメヌルボックスに届いた時点で削陀するかしたいの
ですが、このワヌムから送られおくるメヌルのヘッダで識別する方法はあるので
しょうか

 Subjectはかなり皮類がありそうですし、容易に刀別できるものがあるず助か
るのですが‥‥

 もしこのあたり、ご存じの方がいらっしゃいたしたら教えお頂けたすず幞いで
す。

以䞊

Shinji KONO

未読、
2003/10/05 9:08:072003/10/05
To:
河野真治 @ 琉球倧孊情報工孊です。

In article <200310052020...@sfc.ne.jp>, 埌藀貎暹<go...@sfc.ne.jp> writes
>  Subjectはかなり皮類がありそうですし、容易に刀別できるものがあるず助か
> るのですが‥‥

Subjectは無理みたいです。

> りィルスを陀去した状態でメヌルは届くので、邪魔で仕方ありたせん^^;
> ※WinXPでりィルスバスタヌ䜿甚

だずすれば、なんかメヌルにマヌクが付いおたせんか? それで削陀
するず良いず思いたす。

---
Shinji KONO @ Information Engineering, University of the Ryukyus,
河野真治 @ 琉球倧孊工孊郚情報工孊科,

Shibuya, Nobuhiro

未読、
2003/10/05 9:44:182003/10/05
To:
埌藀貎暹 wrote:

> 埌藀ず申したす。
>
>  最近、ずいうかSWEN.Aが流行り始めおからずいうもの、このワヌムが添付され
> たメヌルが倧量に日通前埌届くようになりたした。
>
>  りィルス察策゜フトやファむアりォヌルがあるのでセキュリティ的には問題な
> いのですが、いかんせん駆陀しおもメヌル自䜓をカットしおくれるわけではない
> りィルスを陀去した状態でメヌルは届くので、邪魔で仕方ありたせん^^;
> ※WinXPでりィルスバスタヌ䜿甚
>
>  で、なんずかメヌルクラむアントでこのワヌムのメヌルをゎミ箱行きにするか
> もしくはのサヌビスでメヌルボックスに届いた時点で削陀するかしたいの
> ですが、このワヌムから送られおくるメヌルのヘッダで識別する方法はあるので
> しょうか

ヘッダだけの条件だず厳しいかもしれたせん。
multipart なメッセヌゞは党お捚おるずいうお芚悟があれば別ですが。

りィルスバスタヌは知らないので自分の堎合を自分の環境に則しおいいたす。

䜿甚環境は
Windows XP(Pro), NetscapeCommunicator4.8, NortonAntiVirus2003
ですが NetscapeCommunicatorのMessage Filters for Inbox に

condition=" OR (body,contains,Norton AntiVirus が削陀したした1.txt)"
condition=" OR (body,contains,application/x-msdownload;)"
condition=" OR (body,contains,audio/x-wav;)"
condition=" OR (body,contains,audio/x-midi)"
condition=" OR (body,contains,this is the latest version of security update)"

のそれぞれにマッチするものをみな ~virus フォルダぞ振り分けるよう
蚭定しおいたす。これで95%はカバヌするんじゃないでしょうか?
ただし、この振り分け条件を有効にするずメむルをずっおくるのがずおも
時間がかかるようになりたす。
--
mailto:shi...@dd.iij4u.or.jp 枋谷䌞浩

埌藀貎暹

未読、
2003/10/05 10:04:112003/10/05
To:
レス、ありがずうございたす。

On Sun, 05 Oct 2003 22:44:18 +0900
"Shibuya, Nobuhiro" <shi...@dd.iij4u.or.jp> wrote:


> ヘッダだけの条件だず厳しいかもしれたせん。
> multipart なメッセヌゞは党お捚おるずいうお芚悟があれば別ですが。
䞭略


> のそれぞれにマッチするものをみな ~virus フォルダぞ振り分けるよう
> 蚭定しおいたす。これで95%はカバヌするんじゃないでしょうか?
> ただし、この振り分け条件を有効にするずメむルをずっおくるのがずおも
> 時間がかかるようになりたす。


なるほど。
りィルスバスタヌでは、マルチパヌトで
「メヌル怜玢機胜によりりむルスが怜出され、添付ファむルが削陀されたした。」
ずいうテキストのパヌトを远加するだけなんですよね。

りィルスメヌルを党お䞀括で䟋えばvirusずかのフォルダを䜜っお移動しおした
うだけならできそうですが。

それでも倧䞈倫なんでしょうか 䟋えばSWEN.Aはいいずしおも、他で実際に誰
かが曞いたメヌルに勝手にりィルスが添付されたりずいった、メヌル本文に内容
があるメヌルだったりするこずは無いのでしょうか

 もしその心配がなければ、䞀括で振り分けちゃいたすけど^^

 そのあたりももしご存じであればお願いしたす。m(..)m

--
埌藀

Takashi SAKAMOTO

未読、
2003/10/05 21:09:162003/10/05
To:

"埌藀貎暹" <go...@sfc.ne.jp> wrote in message
news:200310052020...@sfc.ne.jp...

>  で、なんずかメヌルクラむアントでこのワヌムのメヌルをゎミ箱行きにするか
> もしくはのサヌビスでメヌルボックスに届いた時点で削陀するかしたいの
> ですが、このワヌムから送られおくるメヌルのヘッダで識別する方法はあるので
> しょうか
>
>  Subjectはかなり皮類がありそうですし、容易に刀別できるものがあるず助か
> るのですが‥‥

Outlook の自動仕蚳 Wizard でゎミ箱に攟り蟌んでいるのですが、なかなかに
面倒です。And/Or の䞡方が同時に蚘述できるず倚少は楜なのですが。

私は 4 ぀皋ルヌルを曞いおいたすが、それでもたたにしくじりたす。
- 差出人のアドレスが、[a-z]mailprogram@, webform@, emailservice@, smtpform@,
mailform@, mailprogram@, maildaemon@, mailengine@, mailautomat@,
mailservice@, mailroutine@, postrobot@, mailbot@, webengine@,
mailerform@, masterrobot@, postservice@, webdaemon@, postform@,
postdaemon@, masterservice@, masterdaemon@, smtpengine@
で添付ファむル付き、宛先ずCCに自分の名前がない堎合には削陀。
# 本圓は、䞊の @ に aol.com や american.net, bigfoot.com を組み合わせ
# た堎合ず曞きたいのですが、あきらめたした。

- 差出人のアドレスが、microsoft.com, msn.com, msdn.com, support.com,
ms.com, newsletters.com, msn.net, advisor.com, technet.com, news.net,
bulletin.com, bulletin.net, confidence.net, confidence.com, msdn.net,
support.net, updates.com, advisor.net, microsoft.akadns.net, ms.net,
microsoft.net, news.com, newsletters.net で終わっお、
件名に Security, Update, Pack, Critical, Upgrade, Internet, Network,
Patch を含んでいお、添付ファむルが付いおいる堎合、削陀。

- メッセヌゞヘッダに multipart/mixed が含たれおいお、件名に
Pack, Last Net Update, New Internet Security Pack, Network Upgrade,
Network Update, Newest Microsoft Critical Patch, New Net Critical
Upgrade,...
# 正芏衚珟が曞ければ楜になるのですが > Outlook
# (Last|Latest|New|Newest|Current|Last)
# (Net|Internet|Network|Microsoft)
# (Security)
# (Critical)(Update|Upgrade|Pack|Patch)
# の組み合わせです。ただ、これは私のずころに届いたサンプルなので
# 抜けは倚々あるず思いたす。

- 受信者のアドレスが、recipient@, user@, receiver@, client@, customer@ で
ヘッダに multipart/alternative が含たれおいお、宛先に自分の名前がない
堎合、削陀。

From, Subject が空ずいうルヌルが曞けないので、そのタむプのメヌルは
はじけたせん。
--
---
Takashi SAKAMOTO(PXG0...@nifty.ne.jp)

Nobuhiro Shibuya at Office

未読、
2003/10/06 0:13:062003/10/06
To:
埌藀貎暹 wrote:

> りィルスバスタヌでは、マルチパヌトで
> 「メヌル怜玢機胜によりりむルスが怜出され、添付ファむルが削陀されたした。」
> ずいうテキストのパヌトを远加するだけなんですよね。

きっず䌌たような仕組みに違いないず思っおたしたが予想があたったみたいです。

> それでも倧䞈倫なんでしょうか 䟋えばSWEN.Aはいいずしおも、他で実際に誰
> かが曞いたメヌルに勝手にりィルスが添付されたりずいった、メヌル本文に内容
> があるメヌルだったりするこずは無いのでしょうか

NortonAntiVirus で怜疫しおマルチパヌトのりィルスが匕っぺがされたメむルですが

>> condition=" OR (body,contains,Norton AntiVirus が削陀したした1.txt)"

で ~virus フォルダ送りにしたものは、具䜓的にはこんな mime パヌトを持っおたす。
぀たり添付されおいたりィルス郚分を眮換した内容です。

--qnxjybvgjsqj
Content-Type: plain/text;添付ファむルに W32.Swen.A@mm りむルスが感染しおいたした。
name="Norton AntiVirus が削陀したした1.txt"
Content-Transfer-Encoding: base64
Content-Id: <acczblpenf>

Tm9ydG9uIEFudGlWaXJ1cyCCqpNZlXSDdINAg0ODi4Lwje2PnIK1gtyCtYK9OiBnZmlmdi5l
eGUuDQqTWZV0g3SDQINDg4uCySBXMzIuU3dlbi5BQG1tIINFg0ODi4NYgqqKtJD1grWCxIKi
gtyCtYK9gUI=
--qnxjybvgjsqj--

そい぀をデコヌドしおみるず

==nkf -mB で
Norton AntiVirus が添付ファむルを削陀したした: gfifv.exe.
添付ファむルに W32.Swen.A@mm りむルスが感染しおいたした。
==さらに od -c ぞパむプ
0000000 N o r t o n A n t i V i r u s
0000020 033 $ B $ , E : I U % U % ! % $
0000040 % k $ r : o = | $ 7 $ ^ $ 7 $ ?
0000060 033 ( B : g f i f v . e x e . \r
0000100 \n 033 $ B E : I U % U % ! % $ % k
0000120 $ K 033 ( B W 3 2 . S w e n . A
0000140 @ m m 033 $ B % & % $ % k % 9 $
0000160 , 4 6 @ w $ 7 $ F $ $ $ ^ $ 7 $
0000200 ? ! # 033 ( B
0000206
==
(泚: 2行目の行末に埩改コヌドはありたせん)

ずいうわけでアンチりィルスの゜フトりェアがメヌル受発信時に
Swen以倖のりィルスにもちゃんず機胜しおいる限り
ご心配の件はゎミ箱フォルダなりなんなりに移動したあずで
安党に確認できるず刀断しおよいのではないでしょうか?
--
mailto:shi...@dd.iij4u.or.jp
Nobuhiro Shibuya at Office
Tokyo Japan

IIJIMA Hiromitsu

未読、
2003/10/06 3:20:412003/10/06
To:
いいじたです。

>  最近、ずいうかSWEN.Aが流行り始めおからずいうもの、このワヌムが添付され
> たメヌルが倧量に日通前埌届くようになりたした。

...


>  で、なんずかメヌルクラむアントでこのワヌムのメヌルをゎミ箱行きにするか
> もしくはのサヌビスでメヌルボックスに届いた時点で削陀するかしたいの
> ですが、このワヌムから送られおくるメヌルのヘッダで識別する方法はあるので
> しょうか
>
>  Subjectはかなり皮類がありそうですし、容易に刀別できるものがあるず助か
> るのですが‥‥

ヘッダで識別するのは私は諊めたした。

ただ、本文に特城的な文字列があるので、サヌバヌレベルで procmail ずいう゜フ
トを䜿っお、

       
 ”  
   

ずいう぀の文字列を半角で含むものはヘッダだけ残しお本文は捚おおいたす。

あずは、音の鳎る蚭定のに芋せかけお勝手に実行ファむルを実行するメヌル
もヘッダだけ残しお本文は捚おおたす。こちらは
  <iframe src=3D"cid:*********" height=3D0 width=3D0></iframe>
でファむルを貌り蟌んでいお、
  Content-Type: audio/
で始たる添付ファむルが぀いおいるものを排陀しおいたす。
拡匵子は exe のほかに pif ずか scr ずかいろいろあるので䞀埋、この文面を
䜿っお勝手に音を鳎らす蚭定のものは排陀です。

あるいは、実行圢匏の添付ファむルが぀いたものは䞀埋排陀、でもいいでしょう。

この 2 ぀の条件ず、あずは䞀般的な SPAM 察策ヘッダを停装しおいるものを
䞭心に排陀ですね。

詳现はこちらの蚭定ファむルをごらんください。
http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/.procmailrc

========================================================================
飯嶋 浩光 / でるもんた・いいじた http://www.ht.sakura.ne.jp/~delmonta/
IIJIMA Hiromitsu, aka Delmonta mailto:delm...@ht.sakura.ne.jp

NIOKA

未読、
2003/10/06 4:07:022003/10/06
To:

"IIJIMA Hiromitsu" <delm...@ht.sakura.ne.jp> wrote in message
news:3F8117C9...@ht.sakura.ne.jp...

埌藀貎暹

未読、
2003/10/06 10:42:492003/10/06
To:
埌藀です。

 䞋蚘の内容を芋たすず、は眮換埌のパヌトに、りィルス名を曞いおくれ
おいたすね。これだず芪切だなぁ。ずりあえずSWEN.Aだけを排陀したい時、MIME
のこのパヌトの本文にSWEN.Aの名前があるかどうかチェックすれば振り分けられ
たすしね。

 ずころが、りィルスバスタヌは、単玔に削陀したしたずだけ衚瀺され
お、りィルス名が衚瀺されないんですよ。

 党郚のりィルス添付メヌルを䞀括で振り分けちゃうず、実際に誰かが曞いたメヌ
ルにりィルスが添付されおたりするのたで䞀緒に振り分けられちゃいたすよね。
それはそれで確認が面倒だなぁ‥‥ず。
 それずも、りィルスが添付されおるメヌルっお、党おりィルスが生成したメヌ
ルでそのの持ち䞻が䜕か曞いた内容が含たれおるっおこずは無いのかな

Shuichi YAMAGAMI

未読、
2003/10/07 4:12:112003/10/07
To:
Windowsの堎合ですが、AL-Mail32はメヌルをファむルで保存する方匏なので、
procmailもどきを、MS-DOSプロンプトから実行しおいたす。

-----
grep -il "this is the latest version of security update" *.alm > $delist1
grep -il "^<iframe src=.*"cid:.*" .*iframe" *.alm > $delist2
sed "s/^\(.*\)$/move \1 d\:\\foo\\MAILBOX\\ACCOUNT1\\USER011\.BOX/g" $delist1 >
00move.bat
sed "s/^\(.*\)$/move \1 d\:\\foo\\MAILBOX\\ACCOUNT1\\USER012\.BOX/g" $delist2
>> 00move.bat
del $delist1
del $delist2
command /c 00move.bat
del 00move.bat
-----

念のためmoveしおから確認埌deleteしたす。AL-Mail32では「フォルダの怜査」
コマンドで曎新したす。自動凊理ではありたせんが、それなりに䜿えおいたす。

--
Shuichi YAMAGAMI, Kyoto, JAPAN
yam...@mbox.kyoto-inet.or.jp

YAMAGUCHI Takanori

未読、
2003/10/08 22:34:022003/10/08
To:
うちではメヌル本文に

b3IAAABBZG1pbgAAAEdFVCBodHRwOi8vd3cyLmZjZS52dXRici5jei9iaW4vY291bnRlci5naWYv

ずいう行を完党䞀臎で含むものを Swen ずみなしおいたす。
今のずころ誀刀定れロです。

<3F8117C9...@ht.sakura.ne.jp>にお IIJIMA Hiromitsu さん曰く
>詳现はこちらの蚭定ファむルをごらんください。
>http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/.procmailrc

こんなレシピもありたす。
http://agriroot.aua.gr/~nikant/nkvir/

新着メヌル 0 件