Google グループは Usenet の新規の投稿と購読のサポートを終了しました。過去のコンテンツは引き続き閲覧できます。
表示しない

Bagle Virus' "Received:" part

閲覧: 2 回
最初の未読メッセージにスキップ

Noboru SAITO

未読、
2004/01/19 5:23:022004/01/19
To:
さいとう@OCNゆーざ です。

旧選管の一員の人の From: なメールがきたので、多分これは
ウィルスだなあと思って調べたところ、 bagle という新しい
ものでした。

http://internet.watch.impress.co.jp/cda/news/2004/01/19/1775.html

さて、こいつは From: は偽るようですが、 Received: も偽る
ものなのでしょうか。一応届け元とおぼしき Domain に ping
打ったら、記載どおりの IP 返してきたんであたりかなあとは
思うのですが、情報をお持ちの方がいらっしゃったら、教えて
いただきたくよろしくお願いします。

#ちなみに、 From: と Received: のドメインはぜんぜん違う
#ものでした。 Message-ID のドメインは From: にあわせて
#いましたけど。それも含めて、こっちは感染元のそのままの
#情報かなぁと。
--
+N+
西4東 さいとう のぼる<j0...@cocoa.ocn.ne.jp>
+S+

NIDE Naoyuki

未読、
2004/01/19 7:56:322004/01/19
To:
In article <bugb6a$uoj$1...@news-est.ocn.ad.jp>,

j0...@cocoa.ocn.ne.jp writes:
> 旧選管の一員の人の From: なメールがきたので、多分これは
> ウィルスだなあと思って調べたところ、 bagle という新しい
> ものでした。…

> さて、こいつは From: は偽るようですが、 Received: も偽る
> ものなのでしょうか。

うちにもそれらしいものが2通来ていたのですが、(本体は自動的に捨ててしまっ
たのでわからないものの、ログを見ると) Received:はうちのメールサーバが受
け取って記録したもの1段階だけでした。おそらく感染ホストから直接相手の
SMTPサーバにアクセスしているのでは。但し、全てのBagleがそうかどうかは知
りません。
ウィルスの中には、メールのヘッダのFrom:は偽るけれどEnvelope Fromは偽っ
てなさそうに思われるものもあります。SWENなんかはそれっぽい。Bagleは両方
を偽る(両方が同じものになる)ようですね。

> 一応届け元とおぼしき Domain に ping
> 打ったら、記載どおりの IP 返してきたんであたりかなあとは
> 思うのですが、

Received:に書いてあるドメインをnslookupして(pingはしなくていいのでは)、
記載通りのIPアドレスが返ってきたとしても、それはReceived:が嘘でないとい
うことにはつながらないですね。
Received:については、信頼できるホストが記録したものより前の部分は信用
できないと考えた方がよいかと。
ni...@ics.nara-wu.ac.jp

Hideo Sir MaNMOS Morishita

未読、
2004/01/19 12:27:082004/01/19
To:

In article <bugb6a$uoj$1...@news-est.ocn.ad.jp>,

Noboru SAITO <j0...@cocoa.ocn.ne.jp> writes:
> さいとう@OCNゆーざ です。
>
> 旧選管の一員の人の From: なメールがきたので、多分これは
> ウィルスだなあと思って調べたところ、 bagle という新しい
> ものでした。

私は現委員の方から来ました。キット私のも世の中に出回っているんでしょう
ね。

--
___ わしは、山吹色のかすてーらが大好きでのぅ
[[o o]] ふぉっふぉっふぉ
'J' 森下 お代官様 MaNMOS 英夫@ステラクラフト
PGP Finger = CD EA D5 A8 AD B2 FE 7D 02 74 87 52 7C B7 39 37

Noboru SAITO

未読、
2004/01/19 22:47:492004/01/19
To:
さいとう@OCNゆーざ(なるほど)です。

NIDE Naoyuki さん wrote:
>
> In article <bugb6a$uoj$1...@news-est.ocn.ad.jp>,
> j0...@cocoa.ocn.ne.jp writes:
> > 旧選管の一員の人の From: なメールがきたので、多分これは
> > ウィルスだなあと思って調べたところ、 bagle という新しい
> > ものでした。…
> > さて、こいつは From: は偽るようですが、 Received: も偽る
> > ものなのでしょうか。
>
> うちにもそれらしいものが2通来ていたのですが、(本体は自動的に捨ててしまっ
> たのでわからないものの、ログを見ると) Received:はうちのメールサーバが受
> け取って記録したもの1段階だけでした。おそらく感染ホストから直接相手の
> SMTPサーバにアクセスしているのでは。但し、全てのBagleがそうかどうかは知
> りません。

うちのは外からプロバイダで 1 行、プロバイダ内で 1 行でした。

Envelope From: はわからないです。

> > 一応届け元とおぼしき Domain に ping
> > 打ったら、記載どおりの IP 返してきたんであたりかなあとは
> > 思うのですが、
>
> Received:に書いてあるドメインをnslookupして(pingはしなくていいのでは)、
> 記載通りのIPアドレスが返ってきたとしても、それはReceived:が嘘でないとい
> うことにはつながらないですね。
> Received:については、信頼できるホストが記録したものより前の部分は信用
> できないと考えた方がよいかと。

なるほど。了解です。

実は同じ From: でまったく別の経路の Received: なメールも
記事を投稿したあときてたので、そういうものなんだなあと。

新着メール 0 件