Google グループは Usenet の新規の投稿と購読のサポートを終了しました。過去のコンテンツは引き続き閲覧できます。
表示しない

MS $B$+$i$N(B DM ?

閲覧: 0 回
最初の未読メッセージにスキップ

Tadashi Nakamura

未読、
2003/09/21 1:49:482003/09/21
To:
1週間ほど前から、Microsoft という名前が入った様々なメールが届くようになりま
した。
内容は、Secuirty Alert や ネットワーク管理者への啓蒙など、一概に、詐称メール
だとは
言い切れないものもあるようです。全て、Bulk Mail として届くので内容は見ずに
削除しています。Microsoft から登録 User あてにメールが送付されることは無い、
という発表が以前、あったと記憶しております。

それとも方針を変更して、Microsoft が User 宛てに直接メールを送付するように
なったのでしょうか。皆さんのところへも、同様に届いていますか。

--
Tadashi Nakamura
tn_...@hotmail.com


Shinji KONO

未読、
2003/09/21 2:05:172003/09/21
To:
河野真治 @ 琉球大学情報工学です。

In article <3f6d3bfb$0$252$44c9...@news2.asahi-net.or.jp>, "Tadashi Nakamura" <tn_...@hotmail.com> writes


> 1週間ほど前から、Microsoft という名前が入った様々なメールが届くようになりま
> した。
> 内容は、Secuirty Alert や ネットワーク管理者への啓蒙など、一概に、詐称メール
> だとは
> 言い切れないものもあるようです。

ぜんぶ、そうだと思って実害ないです。この4日で1万通きました。

結局、AMaViS をいれてもらいました。

---
Shinji KONO @ Information Engineering, University of the Ryukyus,
PRESTO, Japan Science and Technology Corporation
河野真治 @ 琉球大学工学部情報工学科,
科学技術振興事業団さきがけ研究21(機能と構成)

Tadashi Nakamura

未読、
2003/09/21 2:47:122003/09/21
To:
"Shinji KONO" <ko...@ie.u-ryukyu.ac.jp> wrote in message
news:3988985...@insigna.ie.u-ryukyu.ac.jp...
> 河野真治 @ 琉球大学情報工学です。
>
> ぜんぶ、そうだと思って実害ないです。この4日で1万通きました。

さっき届いたばかりの、その種の典型的なメールは
本文は、きれいにデザインされて、一見して Microsoft からの DM かと
勘違いしてしまいそうです。「Microsoft Home」という Linked Button に
マウスを当てると、確かにリンクしてそうです。これでは騙されて
添付ファイルがあけてしまいそうになります。
しかし、その Headers を調べてみると
Microsoft に関係のありそうな「文字列」は見当りません。
そうとう手が込んでいますね。何と言う Virus なんでしょうか。

--
Tadashi Nakamura
tn_...@hotmail.com

丸山 隆義

未読、
2003/09/21 2:55:582003/09/21
To:
> Microsoft に関係のありそうな「文字列」は見当りません。
> そうとう手が込んでいますね。何と言う Virus なんでしょうか。

http://www.zdnet.co.jp/enterprise/0309/19/epn03.html
これではないかと思われます。

うちではAVGのフリーバージョン使っているのですが、ウィルスチェックに引っ
掛からないことから安心してクリックしちゃった人から拡散しているものと思わ
れます。

--
丸山 隆義
Mail:t...@po.dcn.ne.jp

IIJIMA Hiromitsu

未読、
2003/09/21 3:36:322003/09/21
To:
いいじまです。

> > ぜんぶ、そうだと思って実害ないです。この4日で1万通きました。

私のところは 4500 くらいで収束しそうです。
ネットニュースからメールアドレスを収集しているようで、2ch でもあまり話題
になっていません。

> さっき届いたばかりの、その種の典型的なメールは
> 本文は、きれいにデザインされて、一見して Microsoft からの DM かと
> 勘違いしてしまいそうです。

この件、fj.comp.security、fj.news.net-abuse、fj.net.watch、fj.net.watch
などに情報が流れています。そちらを参照してください。

重要なことをいくつか。

○Microsoft は、添付ファイルでパッチをユーザーに配布するということはして
 いません。セキュリティ関係のニュースレター MS から購読していればわかり
 ますが、MS のパッチはすべて web(WindowsUpdate を含む)からの配布です。

○Microsoft は、日本語のメールでの情報提供も行っています。たとえデフォル
 トが英語でも、大抵のものは日本語に切り替えられるはずです。

○Windows 95 は既にサポート外になっており、セキュリティパッチも今後一切
 提供されないことになっています。Windows 95 対応を謳ったパッチは、たと
 え Web 上に残っていても、先方のディスク整理の際に削除される可能性があ
 ります。

○IE も現在は原則として 6 のみがサポート対象になっています。
 5.01、5.5 は原則として、Windows 2000、Windows Me にバンドルされている
 もののみが引き続きサポート対象で、それ以外は 6 へのアップグレードを
 推奨しています。ちなみに、Win95 には IE6 はインストールできません。

これだけわかっていれば、今回のものがうそっぱちだということを見破る手がか
りになります。

========================================================================
飯嶋 浩光 / でるもんた・いいじま http://www.ht.sakura.ne.jp/~delmonta/
IIJIMA Hiromitsu, aka Delmonta mailto:delm...@ht.sakura.ne.jp

rex

未読、
2003/09/21 5:38:372003/09/21
To:

rexです。

Sun, 21 Sep 2003 15:55:58 +0900,
丸山 隆義 <t...@po.dcn.ne.jp> wrote in message
<20030921155...@po.dcn.ne.jp>

> うちではAVGのフリーバージョン使っているのですが、ウィルスチェックに引っ
> 掛からないことから安心してクリックしちゃった人から拡散しているものと思わ
> れます。

引っかからなかったからといってファイルを実行するのは危険では?
それと自分は確認してないのですが、AVG Free Editionでも
*最新のデータなら*検出できると聞いてますよ。


丸山 隆義

未読、
2003/09/21 6:08:102003/09/21
To:
> > うちではAVGのフリーバージョン使っているのですが、ウィルスチェックに引っ
> > 掛からないことから安心してクリックしちゃった人から拡散しているものと思わ
> > れます。
>
> 引っかからなかったからといってファイルを実行するのは危険では?

いや、もちろん実行しないですが、"そう言う人もいる"と言うことです。


> それと自分は確認してないのですが、AVG Free Editionでも
> *最新のデータなら*検出できると聞いてますよ。

ついさっきアップデート確認してみたらまたアップデートされてました。
これでやっと引っ掛かるようになってくれましたよ。

takei yasutomo

未読、
2003/09/21 6:36:092003/09/21
To:

"Tadashi Nakamura" <tn_...@hotmail.com> wrote in message news:3f6d4972$0$260$44c9...@news2.asahi-net.or.jp...

新種のウィルスみたいですよ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A

ここ三日で300通近く来てました


--
--- 以下署名 ---
茨城県真壁郡明野町 武井康友
ハンドル:やっぴー
vj5y...@asahi-net.or.jp
http://www.asahi-net.or.jp/~VJ5Y-TKI/

Y,Watanabe

未読、
2003/09/22 23:06:272003/09/22
To:
Y,Watanabe@松山です。

丸山 隆義さんの<20030921190...@po.dcn.ne.jp>から


>> それと自分は確認してないのですが、AVG Free Editionでも
>> *最新のデータなら*検出できると聞いてますよ。
>ついさっきアップデート確認してみたらまたアップデートされてました。
>これでやっと引っ掛かるようになってくれましたよ。


改変版があるようでyahoo mailのウィルスチェック(シマンテックらしい)で
も引っかからないものもあるようです。

結局うちは絶対に来そうもない本文中一文をキーとして
yahoo mail側でフィルターリングする事にしました。

--
--------------------------------------
Y,Watanabe E./Epsilon/Yas☆彡
mailto:nex...@yahoo.co.jp
--------------------------------------

Kenji Yamamoto [Security MVP]

未読、
2003/10/19 9:10:582003/10/19
To:
山本です。

|Subject: Re: MS からの DM ?
|From: IIJIMA Hiromitsu <delm...@ht.sakura.ne.jp>
|Date: Sun, 21 Sep 2003 16:36:32 +0900
|Message-Id: <3F6D54FF...@ht.sakura.ne.jp>
|User-Agent: Mozilla 4.78 [ja] (Win98; U)

| 重要なことをいくつか。
|
| ○Microsoft は、添付ファイルでパッチをユーザーに配布するということはして
| いません。セキュリティ関係のニュースレター MS から購読していればわかり

| ますが、MS のパッチはすべて web(WindowsUpdate を含む)からの配布です。

これはこのへんですね↓
http://www.microsoft.com/japan/technet/security/policy/swdist.asp

| this is the latest version of security update,

Swen の本文の中には必ずこのワンフレーズがあるので、お使いのメー
ルソフトで「本文にこれが入ってたらゴミ箱行き」とするルールでも作っ
て振り分けちゃえばいいです。

フィルタや振り分けで済むうちはいいのですが、そうも言っていられな
いほど受信している方もいらっしゃるようで。シャレなってないようで
すね。

以上

山本謙次 [MVP]

--
JWNTUG TechNote http://www.jwntug.or.jp/tech/technote/index-j.html
JWNTUG NT-FAQ-J http://www.jwntug.or.jp/tech/ntfaqj/index.html
Kenji Yamamoto, Microsoft MVP (Security; Windows Server Systems), MCP+I, MCSE (TCP/IP, IIS4, IEAK4)
mailto:ethe...@jcom.home.ne.jp

IIJIMA Hiromitsu

未読、
2003/10/19 11:47:132003/10/19
To:
いいじまです。

> | this is the latest version of security update,
>
> Swen の本文の中には必ずこのワンフレーズがあるので、お使いのメー
> ルソフトで「本文にこれが入ってたらゴミ箱行き」とするルールでも作っ
> て振り分けちゃえばいいです。

これが全体の約半数ですね。こちらは「受け取っても添付ファイルを実行しなけ
れば大丈夫」ですので一安心。

もうひとつのパターンが、メールサーバーからのエラー返送を装ったものです。
これは少しタチが悪いです。HTML メールの中に「添付ファイルを音楽として
鳴らしてください」という指定を貼り込んであり、添付ファイルに「これは
音楽ファイルです」というメールヘッダがついているのですが、その添付ファ
イルの拡張子が .exe だったり .pif だったり .scr だったりします。

最新の Outlook Express はこれをきちんと「ヘッダは音楽だと言っているけど、
拡張子や中身から判断して音楽ではない」と認識しますが、2 年くらい前のもの
をそのままパッチ当てなしで使っていると、このチェックを受けずに Outlook
Express が Windows に対しその .exe ファイルなり .pif ファイルなりを「デ
フォルトの方法で開いてください」という指示を出して、その結果……というわ
けです。

> フィルタや振り分けで済むうちはいいのですが、そうも言っていられな
> いほど受信している方もいらっしゃるようで。シャレなってないようで
> すね。

「そうも言っていられないほど受信している方」のひとりです。
4500 で収束しそうと言ったけど、もうトータルで 10000 は軽く超えてると思う…
SWEN を 10000 通って…1 通 150KB として、CD 2 枚以上ですよ(w

というわけで、サーバー上のメールボックスにメールを溜めてはダメです。
たとえ朝メールチェックしても、夜になって帰ってきたらパンクしてます。
メールボックスに入れる以前にフィルタリングしないと。

ちなみに、何度も出してますが私のフィルタ。
http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/.procmailrc

元々は単なる spam 除け(1日にせいぜい50通)だったのですが、今はこれがない
と SWEN で大変です。なにせ、毎日のように数百 MB のゴミを受け取っています
から。

この設定ファイルの中の、fake-ms-patch と fake-audio のふたつが SWEN 除け
の設定です。これに関しては、「誤反応対策として本文は捨ててヘッダだけ保存」
としているのですが、そのヘッダだけでも数日で 1MB を超えます…

こういうフィルタが書ける(そういう環境と技術がある)人はいいですけど、そ
うでない人は、プロバイダのウイルスフィルタ(が使い物になれば)を使ったり、
あるいは、フリーのメールサービスの中で実行形式の添付ファイルを受信拒否す
るようなところにいったん転送してから受信するようにしたりしないと。

まあ、大半の人は既に何らかの形で対策済だとは思いますが。

Shibuya, Nobuhiro

未読、
2003/10/20 10:55:162003/10/20
To:
渋谷@家から です

Followup-To: fj.mail.system でいいですか?

IIJIMA Hiromitsu wrote:

> いいじまです。

> > フィルタや振り分けで済むうちはいいのですが、そうも言っていられな
> > いほど受信している方もいらっしゃるようで。シャレなってないようで
> > すね。

いっぺんわたしの使っているISPにSWENが毎日数百~千通届いているが
いまの使い方に固執してもおたくのメイルサーバ耐久できるか?
と質問してみたいという誘惑に駆られているところです。

収束というには程遠いがピークは去ったようにも見受けられるので
いまさら何を、の応対されるかもしれないですけど。

> 「そうも言っていられないほど受信している方」のひとりです。
> 4500 で収束しそうと言ったけど、もうトータルで 10000 は軽く超えてると思う…

わたしの2倍以上の受け取りペースだった飯島さんだから
きっと今頃3万通程度は送られてきたのではないかと概算できます。

> SWEN を 10000 通って…1 通 150KB として、CD 2 枚以上ですよ(w

C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine>\temp\md5\md5 5*

C268E9D37D516E3ABACEB10BD776C29B 5B7539BC
A53615087621379818DE56F8231DF4B3 5B8261AE
17F9B2B591D9070BCE82B89F6F8DF475 5B8835A6
D6826C84ADA9B202FD1DE33900153A42 5B8F099F
78D74E062DC6814DB1EACFE5A921B47F 5B955D98
641F2BBC304BF7EBBC6E3C3467D44E46 5B9C3191
DF978D7CD1D7A8FAC1D23063C39FABFF 5BA2058A
7A356EFBE5A11840AAD4538206171E8C 5BAC037F
E0372ECFC76533ECA3B24D196D0BA47A 5BB35778
AAA5E166323BAC94F69B8132B7F400E3 5BB92B71
FA061999EA6131775B179CA1FDC2FF28 5BC07F69
939BD6E6C2B21D9C3F0589598ADEA63F 5BC65362
E293DC1F2CE5A8813D34D21BBF241272 5BCD275B
E67455C3E96A89F6E1B28EB578A6524C 5BD05157
78979136E6FDCC9D751C613E9EBCE627 5BD72550
56C1C5EF0D65C7F2A5AE57063937AB76 5BDD7949

C:\Program Files\Norton SystemWorks\Norton AntiVirus\Quarantine>

という感じで、NortonAntiVirus が検疫したswenの中味相当のアタッチメント
それぞれがmd5の値が違うらしい…という観察で正しいんでしょうか?

> というわけで、サーバー上のメールボックスにメールを溜めてはダメです。
> たとえ朝メールチェックしても、夜になって帰ってきたらパンクしてます。
> メールボックスに入れる以前にフィルタリングしないと。

あるいは体力のあるところでメイルを送受信するか。

> ちなみに、何度も出してますが私のフィルタ。
> http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/.procmailrc

全然同じ環境じゃないけど見ていて面白い。
日本の近隣諸国のspamをそのお国言葉特有のencodingで弾くまでもなく
それより前の関門で進入阻止しているというところが非常に興味深かった。
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩

新着メール 0 件