新型ウイルス?
Sawaki, Takayuki
先ほど(2002.7.15, 13:46)から、"decrypt-password.exe"という添付ファイルを持つ、
"Your Password"という件名のメイルが、どんどこ届くようになりました。どうも新しい
ウイルスらしいのですが、詳細は現時点(15:07)ではわかりません。
~~ ◯ ~~~~~~~ ‥ ・ ~~~~~~~~~~~
\\ ・ : 佐脇貴幸
\☆ /\/\ .: ・ t-sa...@aist.go.jp
/ / \ ‥・
※※ / \ ※※※※※※※※※※※※※※※
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
NAKAJI Hiroyuki
>>>>> "Sawaki, Takayuki" <t-sa...@aist.go.jp> wrote:
S> 先ほど(2002.7.15, 13:46)から、"decrypt-password.exe"という添付ファ
S> イルを持つ、"Your Password"という件名のメイルが、どんどこ届くようになり
S> ました。どうも新しいウイルスらしいのですが、詳細は現時点(15:07)ではわか
S> りません。
僕のところにも、さっき、1個来ました。
--
NAKAJI Hiroyuki (中治 弘行)
NAKAJI Hiroyuki
>>>>> In <87ele5t...@boggy.acest.tutrp.tut.ac.jp>
>>>>> NAKAJI Hiroyuki <nak...@tutrp.tut.ac.jp> wrote:
S> 先ほど(2002.7.15, 13:46)から、"decrypt-password.exe"という添付ファ
S> イルを持つ、"Your Password"という件名のメイルが、どんどこ届くようになり
S> ました。どうも新しいウイルスらしいのですが、詳細は現時点(15:07)ではわか
S> りません。
中治> 僕のところにも、さっき、1個来ました。
http://www.google.co.jp/search?q=decrypt-password.exe&hl=ja&lr=lang_ja&sourceid=mozilla-search
によると、
http://www.f-secure.co.jp/v-descs/v-descs2/frethem.htm
というものらしいですが、Sophos Anti-Virus は2002年7月15日午後3時現在では検
出してくれませんでした。亜種かなぁ。
Sawaki, Takayuki
"Sawaki, Takayuki" wrote:
> 先ほど(2002.7.15, 13:46)から、"decrypt-password.exe"という添付ファイルを持つ、
> "Your Password"という件名のメイルが、どんどこ届くようになりました。どうも新しい
> ウイルスらしいのですが、詳細は現時点(15:07)ではわかりません。
こいつだったみたいです。
WORM_FRETHEM.E
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.E
~~ ◯ ~~~~~~~ ‥ ・ ~~~~~~~~~~~
\\ ・ : 佐脇貴幸
\☆ /\/\ .: ・ t-sa...@aist.go.jp
/ / \ ‥・
※※ / \ ※※※※※※※※※※※※※※※
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
red brick
ウチにもきましたが、Subject は "Re: Your password!" でした。
--
赤煉瓦
Sawaki, Takayuki
"Sawaki, Takayuki" wrote:
> こいつだったみたいです。
> WORM_FRETHEM.E
> http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.E
http://www.ipa.go.jp/security/topics/newvirus/frethem.htm
にも、ようやく情報が載りました。
~~ ◯ ~~~~~~~ ‥ ・ ~~~~~~~~~~~
\\ ・ : 佐脇貴幸
\☆ /\/\ .: ・ t-sa...@aist.go.jp
/ / \ ‥・
※※ / \ ※※※※※※※※※※※※※※※
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
Sawaki, Takayuki
> http://www.ipa.go.jp/security/topics/newvirus/frethem.htm
> にも、ようやく情報が載りました。
正しくは、
http://www.ipa.go.jp/security/topics/newvirus/frethem.html
でした。
シマンテックの方
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.frethem.j%40mm.html
では、現在解析中だとか。
~~ ◯ ~~~~~~~ ‥ ・ ~~~~~~~~~~~
\\ ・ : 佐脇貴幸
\☆ /\/\ .: ・ t-sa...@aist.go.jp
/ / \ ‥・
※※ / \ ※※※※※※※※※※※※※※※
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
K-ichi
> ウチにもきましたが、Subject は "Re: Your password!" でした。
同じく。
From が行きつけ(?)のCD屋の購買関係のアドレスだったので、
ipaのフレゼムのURL載せて返信してあげたら、すでにメールボックスが
パンクしてました。 ^-^;
--
K-ichi
Shinobu Kumaoka
私のところにも届きました。
"Sawaki, Takayuki" wrote:
> 先ほど(2002.7.15, 13:46)から、"decrypt-password.exe"という添付ファイルを持つ、
> "Your Password"という件名のメイルが、どんどこ届くようになりました。どうも新しい
> ウイルスらしいのですが、詳細は現時点(15:07)ではわかりません。
しかし、知り合いから届いたのならともかく、見ず知らずの人から届きました。
このウィルスのFromは正しいものがついてくるのでしょうか?
また、アドレス帳以外にも、.dbx、.wab、.mbx、.eml、.mdbファイルからメールアドレスを探し出す
らしいのですが、これらはいったい何のファイルなのでしょうか?
要するに、見ず知らずの人からウィルスが届く可能性が知りたいのですが、
どなたかわかりますでしょうか。
今の所、考えられる可能性としては、
1.Fromが嘘である。
2.アドレスの主が、私のアドレスをNet News等から抜き出して、アドレス帳に加えてあった。
くらいなのですが、これ以外に何か可能性はありますでしょうか?
--
cog...@sp.hudson.co.jp
株式会社ハドソン
コア・テクノロジー事業本部
システム部 ソフトウェア課
熊岡 忍(Kumaoka Shinobu)
Hideo Sir MaNMOS Morishita
Shinobu Kumaoka <cog...@sp.hudson.co.jp> writes:
> しかし、知り合いから届いたのならともかく、見ず知らずの人から届きました。
>
> このウィルスのFromは正しいものがついてくるのでしょうか?
私のところにきたのは、見たことのあるアドレスでした。たしか、すでに
unsubscribeしたMaling Listのメンバーからだったと思います。
> 今の所、考えられる可能性としては、
>
> 1.Fromが嘘である。
> 2.アドレスの主が、私のアドレスをNet News等から抜き出して、アドレス帳に加えてあった。
>
> くらいなのですが、これ以外に何か可能性はありますでしょうか?
そういえば、virusメールって、mlのメンバーから来ることがかなり多いなぁ。
subscribeしているけど、投稿はしていないmlメンバーとかだと「見ず知らず」
に見えますよね。
--
___ わしは、山吹色のかすてーらが大好きでのぅ
[[o o]] ふぉっふぉっふぉ
'J' 森下 お代官様 MaNMOS 英夫@ステラクラフト
PGP Finger = CD EA D5 A8 AD B2 FE 7D 02 74 87 52 7C B7 39 37
Shinobu Kumaoka
Hideo Sir MaNMOS Morishita wrote:
> そういえば、virusメールって、mlのメンバーから来ることがかなり多いなぁ。
> subscribeしているけど、投稿はしていないmlメンバーとかだと「見ず知らず」
> に見えますよね。
その線で調べてみました。
MLはいくつか入っているのですが、
ML1.入会時に通知があるため、検索で判断可能・・検索したところヒットせず、
つまり、入会の過去はなし。
ML2、ML3、ML4、ML5、メンバー一覧をチェックしたところ該当者なし。
また、これらは公のMLではなく、ごく知り合いのみのMLなので、可能性は低い。
ML6、メンバー一覧通知機能なし。しかし、ここ何年もポストしてないので、
可能性は非常に低い。
というわけで、ML経由の可能性は非常に低いです。(ゼロではないですが・・・)
NAKAJI Hiroyuki
>>>>> Shinobu Kumaoka <cog...@sp.hudson.co.jp> wrote:
SK> というわけで、ML経由の可能性は非常に低いです。(ゼロではないですが・・・)
それらの ML のどれかがアーカイブを web で公開している場合、そのページを見
た人のキャッシュから*も*メールアドレスを拾って送信するというのは、よくあ
る話ですね。
Shinobu Kumaoka
NAKAJI Hiroyuki wrote:
>
> それらの ML のどれかがアーカイブを web で公開している場合、そのページを見
> た人のキャッシュから*も*メールアドレスを拾って送信するというのは、よくあ
> る話ですね。
キャッシュ経由なら、fj等のアーカイブから拾われる可能性のほうが高いです。
で、このウィルスはキャッシュから拾うんでしょうか?
Tokio Kikuchi
> そういえば、virusメールって、mlのメンバーから来ることがかなり多いなぁ。
> subscribeしているけど、投稿はしていないmlメンバーとかだと「見ず知らず」
> に見えますよね。
それどころかメーリングリストが中継してばらまいてる
ケースがかなりあります。今回は某情報関係学会の会員
全員にばら撒かれています。(会員2万4千人)
メーリングリストの設定に問題ありだよね。ってので、
こんなの書いてみました。
http://mm.tkikuchi.net/ (緊急アピール)
ま、これ読んで完全禁止にするとも思えないけど。
Hideo Sir MaNMOS Morishita
> 今の所、考えられる可能性としては、
>
> 1.Fromが嘘である。
> 2.アドレスの主が、私のアドレスをNet News等から抜き出して、アドレス帳に加えてあった。
>
> くらいなのですが、これ以外に何か可能性はありますでしょうか?
とっても嫌なシナリオ…
1.熊岡さんの知り合いが*KLEZ*に感染した。
2.それが、*熊岡さんのアドレスで*全然別の人に*KLEZ*をなげた。
3.その人のアドレステーブルに熊岡さんのアドレスが登録されてしまった。
4.その人が*FRETHEM*に感染した。
#私もKLEZにアドレス騙られました。
#何が悲しいって、投げつけた相手が、私としては、あんまり付き合いたく
#ないような事をやっているような会社…うーーん、間は誰なんだろう?
Sawaki, Takayuki
私の所にも、面識がない人から「あなたのメイルは"FRETHEM"に感染しているので、
対策をとってください。」という*"FRETHEM"に汚染されたメイル*が届きました。 (-_-;)
ウイルスメイルなんて嫌いなので、とにかくとっとと捨てちゃいましたけど。
#いや、もしかしたら、全く関係ないわけではなく、だいぶ以前にtsukuba.*で
#フォロー記事を書いた人だったかもしれませんが…
Hideo Sir MaNMOS Morishita wrote:
> 1.熊岡さんの知り合いが*KLEZ*に感染した。
> 2.それが、*熊岡さんのアドレスで*全然別の人に*KLEZ*をなげた。
> 3.その人のアドレステーブルに熊岡さんのアドレスが登録されてしまった。
> 4.その人が*FRETHEM*に感染した。
わたくしもこの"KLEZ"+"FRETHEM"の組み合わせではないかと思ったんですが、
確証はありません。
~~ ◯ ~~~~~~~ ‥ ・ ~~~~~~~~~~~
\\ ・ : 佐脇貴幸
\☆ /\/\ .: ・ t-sa...@aist.go.jp
/ / \ ‥・
※※ / \ ※※※※※※※※※※※※※※※
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
Tadamasa Tamura
Shinobu Kumaoka wrote:
> しかし、知り合いから届いたのならともかく、見ず知らずの人から届きました。
>
> このウィルスのFromは正しいものがついてくるのでしょうか?
詐称する甲斐性は無かったはずです。
> また、アドレス帳以外にも、.dbx、.wab、.mbx、.eml、.mdbファイルからメールアドレスを探し出す
> らしいのですが、これらはいったい何のファイルなのでしょうか?
以下の通りです。
(一部、拡張子辞典(http://www.jisyo.com/viewer/)での調査結果含みます)
.dbx:メールのアーカイブ
.wab:アドレス帳
.mbx:メールのアーカイブ(Internet Mail)
.eml:Outlook Expressの個別保存メール
.mdb:Microsoft Accessのテンプレート他(らしい)
> 要するに、見ず知らずの人からウィルスが届く可能性が知りたいのですが、
> どなたかわかりますでしょうか。
Outlook Newsreaderが.dbxに(内容を)格納していれば、可能性はあります。
(私も使ってないので判らない(^^;<Outlook Newsreader)
ちなみに、その見ず知らずの人を検索エンジンで検索してみると、
その人がどのNewsreaderを使っているのが判るので、
調べて見るというのも手です。
(実際Klezの時にやって、どういう関係の人間が送ってきたかを
調べるのに使った(笑))
lll
ta...@coral.ocn.ne.jp writes:
>> .dbx:メールのアーカイブ
>> Outlook Newsreaderが.dbxに(内容を)格納していれば、可能性はあります。
手元のIE5.5SP2+α に news://... と入れてみましたら、
普通に読むだけで、 newsgroup名.dbx が出来ました。
#なるほど。
PS
私は、nimda の時に不安になったので、たった10人程度の
fml-1.5 ですが、 sub Parsing の「$MailBody .= $_;」 の前に
# ( Content-Transfer-Encoding: base64 )
if (/^content/io) {
$_ =~ s/base64/64base/gi;
}
を追加してごまかしました:-)
--
万一テキスト本文に content base64 とあっても、文意は通じるでしょうし
Shinobu Kumaoka
lll wrote:
> In article <3D3432F2...@coral.ocn.ne.jp>
> ta...@coral.ocn.ne.jp writes:
>
> >> .dbx:メールのアーカイブ
>
> >> Outlook Newsreaderが.dbxに(内容を)格納していれば、可能性はあります。
>
> 手元のIE5.5SP2+α に news://... と入れてみましたら、
> 普通に読むだけで、 newsgroup名.dbx が出来ました。
つまり、Net Newsのアーカイブから拾われたかもということですね。
なるほど、これなら十分ありえそうです。
とりあえずすっきりしました。ありがとうございます。