WORM_SWAN.Aメールの識別 方法 あるのでしょうか ?
後藤貴樹
最近、というかSWEN.Aが流行り始めてからというもの、このワームが添付され
たメールが大量に(1日20通前後)届くようになりました。
ウィルス対策ソフトやファイアウォールがあるのでセキュリティ的には問題な
いのですが、いかんせん駆除してもメール自体をカットしてくれるわけではない
(ウィルスを除去した状態でメールは届く)ので、邪魔で仕方ありません^^;
※WinXPでウィルスバスター2003使用
で、なんとかメールクライアントでこのワームのメールをゴミ箱行きにするか
もしくはISPのサービスでメールボックスに届いた時点で削除するかしたいの
ですが、このワームから送られてくるメールのヘッダで識別する方法はあるので
しょうか?
Subjectはかなり種類がありそうですし、容易に判別できるものがあると助か
るのですが‥‥
もしこのあたり、ご存じの方がいらっしゃいましたら教えて頂けますと幸いで
す。
以上
Shinji KONO
In article <200310052020...@sfc.ne.jp>, 後藤貴樹<go...@sfc.ne.jp> writes
> Subjectはかなり種類がありそうですし、容易に判別できるものがあると助か
> るのですが‥‥
Subjectは無理みたいです。
> (ウィルスを除去した状態でメールは届く)ので、邪魔で仕方ありません^^;
> ※WinXPでウィルスバスター2003使用
だとすれば、なんかメールにマークが付いてませんか? それで削除
すると良いと思います。
---
Shinji KONO @ Information Engineering, University of the Ryukyus,
河野真治 @ 琉球大学工学部情報工学科,
Shibuya, Nobuhiro
> 後藤と申します。
>
> 最近、というかSWEN.Aが流行り始めてからというもの、このワームが添付され
> たメールが大量に(1日20通前後)届くようになりました。
>
> ウィルス対策ソフトやファイアウォールがあるのでセキュリティ的には問題な
> いのですが、いかんせん駆除してもメール自体をカットしてくれるわけではない
> (ウィルスを除去した状態でメールは届く)ので、邪魔で仕方ありません^^;
> ※WinXPでウィルスバスター2003使用
>
> で、なんとかメールクライアントでこのワームのメールをゴミ箱行きにするか
> もしくはISPのサービスでメールボックスに届いた時点で削除するかしたいの
> ですが、このワームから送られてくるメールのヘッダで識別する方法はあるので
> しょうか?
ヘッダだけの条件だと厳しいかもしれません。
multipart なメッセージは全て捨てるというお覚悟があれば別ですが。
ウィルスバスターは知らないので自分の場合を自分の環境に則していいます。
使用環境は
Windows XP(Pro), NetscapeCommunicator4.8, NortonAntiVirus2003
ですが NetscapeCommunicatorのMessage Filters for Inbox に
condition=" OR (body,contains,Norton AntiVirus が削除しました1.txt)"
condition=" OR (body,contains,application/x-msdownload;)"
condition=" OR (body,contains,audio/x-wav;)"
condition=" OR (body,contains,audio/x-midi)"
condition=" OR (body,contains,this is the latest version of security update)"
のそれぞれにマッチするものをみな ~virus フォルダへ振り分けるよう
設定しています。これで95%はカバーするんじゃないでしょうか?
ただし、この振り分け条件を有効にするとメイルをとってくるのがとても
時間がかかるようになります。
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩
後藤貴樹
On Sun, 05 Oct 2003 22:44:18 +0900
"Shibuya, Nobuhiro" <shi...@dd.iij4u.or.jp> wrote:
> ヘッダだけの条件だと厳しいかもしれません。
> multipart なメッセージは全て捨てるというお覚悟があれば別ですが。
(中略)
> のそれぞれにマッチするものをみな ~virus フォルダへ振り分けるよう
> 設定しています。これで95%はカバーするんじゃないでしょうか?
> ただし、この振り分け条件を有効にするとメイルをとってくるのがとても
> 時間がかかるようになります。
なるほど。
ウィルスバスター2003では、マルチパートで
「メール検索機能によりウイルスが検出され、添付ファイルが削除されました。」
というテキストのパートを追加するだけなんですよね。
ウィルスメールを全て一括で例えばvirusとかのフォルダを作って移動してしま
うだけならできそうですが。
それでも大丈夫なんでしょうか? 例えばSWEN.Aはいいとしても、他で実際に誰
かが書いたメールに勝手にウィルスが添付されたりといった、メール本文に内容
があるメールだったりすることは無いのでしょうか?
もしその心配がなければ、一括で振り分けちゃいますけど^^
そのあたりももしご存じであればお願いします。m(..)m
--
後藤
Takashi SAKAMOTO
"後藤貴樹" <go...@sfc.ne.jp> wrote in message
news:200310052020...@sfc.ne.jp...
> で、なんとかメールクライアントでこのワームのメールをゴミ箱行きにするか
> もしくはISPのサービスでメールボックスに届いた時点で削除するかしたいの
> ですが、このワームから送られてくるメールのヘッダで識別する方法はあるので
> しょうか?
>
> Subjectはかなり種類がありそうですし、容易に判別できるものがあると助か
> るのですが‥‥
Outlook の自動仕訳 Wizard でゴミ箱に放り込んでいるのですが、なかなかに
面倒です。And/Or の両方が同時に記述できると多少は楽なのですが。
私は 4 つ程ルールを書いていますが、それでもたまにしくじります。
- 差出人のアドレスが、[a-z]mailprogram@, webform@, emailservice@, smtpform@,
mailform@, mailprogram@, maildaemon@, mailengine@, mailautomat@,
mailservice@, mailroutine@, postrobot@, mailbot@, webengine@,
mailerform@, masterrobot@, postservice@, webdaemon@, postform@,
postdaemon@, masterservice@, masterdaemon@, smtpengine@
で添付ファイル付き、宛先とCCに自分の名前がない場合には削除。
# 本当は、上の @ に aol.com や american.net, bigfoot.com を組み合わせ
# た場合と書きたいのですが、あきらめました。
- 差出人のアドレスが、microsoft.com, msn.com, msdn.com, support.com,
ms.com, newsletters.com, msn.net, advisor.com, technet.com, news.net,
bulletin.com, bulletin.net, confidence.net, confidence.com, msdn.net,
support.net, updates.com, advisor.net, microsoft.akadns.net, ms.net,
microsoft.net, news.com, newsletters.net で終わって、
件名に Security, Update, Pack, Critical, Upgrade, Internet, Network,
Patch を含んでいて、添付ファイルが付いている場合、削除。
- メッセージヘッダに multipart/mixed が含まれていて、件名に
Pack, Last Net Update, New Internet Security Pack, Network Upgrade,
Network Update, Newest Microsoft Critical Patch, New Net Critical
Upgrade,...
# 正規表現が書ければ楽になるのですが > Outlook
# (Last|Latest|New|Newest|Current|Last)
# (Net|Internet|Network|Microsoft)
# (Security)
# (Critical)(Update|Upgrade|Pack|Patch)
# の組み合わせです。ただ、これは私のところに届いたサンプルなので
# 抜けは多々あると思います。
- 受信者のアドレスが、recipient@, user@, receiver@, client@, customer@ で
ヘッダに multipart/alternative が含まれていて、宛先に自分の名前がない
場合、削除。
From, Subject が空というルールが書けないので、そのタイプのメールは
はじけません。
--
---
Takashi SAKAMOTO(PXG0...@nifty.ne.jp)
Nobuhiro Shibuya at Office
> ウィルスバスター2003では、マルチパートで
> 「メール検索機能によりウイルスが検出され、添付ファイルが削除されました。」
> というテキストのパートを追加するだけなんですよね。
きっと似たような仕組みに違いないと思ってましたが予想があたったみたいです。
> それでも大丈夫なんでしょうか? 例えばSWEN.Aはいいとしても、他で実際に誰
> かが書いたメールに勝手にウィルスが添付されたりといった、メール本文に内容
> があるメールだったりすることは無いのでしょうか?
NortonAntiVirus で検疫してマルチパートのウィルスが引っぺがされたメイルですが
>> condition=" OR (body,contains,Norton AntiVirus が削除しました1.txt)"
で ~virus フォルダ送りにしたものは、具体的にはこんな mime パートを持ってます。
つまり添付されていたウィルス部分を置換した内容です。
--qnxjybvgjsqj
Content-Type: plain/text;添付ファイルに W32.Swen.A@mm ウイルスが感染していました。
name="Norton AntiVirus が削除しました1.txt"
Content-Transfer-Encoding: base64
Content-Id: <acczblpenf>
Tm9ydG9uIEFudGlWaXJ1cyCCqpNZlXSDdINAg0ODi4Lwje2PnIK1gtyCtYK9OiBnZmlmdi5l
eGUuDQqTWZV0g3SDQINDg4uCySBXMzIuU3dlbi5BQG1tIINFg0ODi4NYgqqKtJD1grWCxIKi
gtyCtYK9gUI=
--qnxjybvgjsqj--
そいつをデコードしてみると
==nkf -mB で
Norton AntiVirus が添付ファイルを削除しました: gfifv.exe.
添付ファイルに W32.Swen.A@mm ウイルスが感染していました。
==さらに od -c へパイプ
0000000 N o r t o n A n t i V i r u s
0000020 033 $ B $ , E : I U % U % ! % $
0000040 % k $ r : o = | $ 7 $ ^ $ 7 $ ?
0000060 033 ( B : g f i f v . e x e . \r
0000100 \n 033 $ B E : I U % U % ! % $ % k
0000120 $ K 033 ( B W 3 2 . S w e n . A
0000140 @ m m 033 $ B % & % $ % k % 9 $
0000160 , 4 6 @ w $ 7 $ F $ $ $ ^ $ 7 $
0000200 ? ! # 033 ( B
0000206
==
(注: 2行目の行末に復改コードはありません)
というわけでアンチウィルスのソフトウェアがメール受発信時に
Swen以外のウィルスにもちゃんと機能している限り
ご心配の件はゴミ箱フォルダなりなんなりに移動したあとで
安全に確認できると判断してよいのではないでしょうか?
--
mailto:shi...@dd.iij4u.or.jp
Nobuhiro Shibuya at Office
Tokyo Japan
IIJIMA Hiromitsu
> 最近、というかSWEN.Aが流行り始めてからというもの、このワームが添付され
> たメールが大量に(1日20通前後)届くようになりました。
...
> で、なんとかメールクライアントでこのワームのメールをゴミ箱行きにするか
> もしくはISPのサービスでメールボックスに届いた時点で削除するかしたいの
> ですが、このワームから送られてくるメールのヘッダで識別する方法はあるので
> しょうか?
>
> Subjectはかなり種類がありそうですし、容易に判別できるものがあると助か
> るのですが‥‥
ヘッダで識別するのは私は諦めました。
ただ、本文に特徴的な文字列があるので、サーバーレベルで procmail というソフ
トを使って、
this is the latest version of security update
Cumulative Patch” update which
known security vulnerability affecting
という3つの文字列を半角で含むものはヘッダだけ残して本文は捨てています。
あとは、音の鳴る設定の(に見せかけて勝手に実行ファイルを実行する)メール
もヘッダだけ残して本文は捨ててます。こちらは
<iframe src=3D"cid:*********" height=3D0 width=3D0></iframe>
でファイルを貼り込んでいて、
Content-Type: audio/
で始まる添付ファイルがついているものを排除しています。
拡張子は exe のほかに pif とか scr とかいろいろあるので一律、この文面を
使って勝手に音を鳴らす設定のものは排除です。
あるいは、実行形式の添付ファイルがついたものは一律排除、でもいいでしょう。
この 2 つの条件と、あとは一般的な SPAM 対策(ヘッダを偽装しているものを
中心に排除)ですね。
詳細はこちらの設定ファイルをごらんください。
http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/.procmailrc
========================================================================
飯嶋 浩光 / でるもんた・いいじま http://www.ht.sakura.ne.jp/~delmonta/
IIJIMA Hiromitsu, aka Delmonta mailto:delm...@ht.sakura.ne.jp
NIOKA
後藤貴樹
下記の内容を見ますと、NAVは置換後のパートに、ウィルス名を書いてくれ
ていますね。これだと親切だなぁ。とりあえずSWEN.Aだけを排除したい時、MIME
のこのパートの本文にSWEN.Aの名前があるかどうかチェックすれば振り分けられ
ますしね。
ところが、ウィルスバスター2003は、単純に削除しましたとだけ表示され
て、ウィルス名が表示されないんですよ。
全部のウィルス添付メールを一括で振り分けちゃうと、実際に誰かが書いたメー
ルにウィルスが添付されてたりするのまで一緒に振り分けられちゃいますよね。
それはそれで確認が面倒だなぁ‥‥と。
それとも、ウィルスが添付されてるメールって、全てウィルスが生成したメー
ルでそのPCの持ち主が何か書いた内容が含まれてるってことは無いのかな??
Shuichi YAMAGAMI
procmailもどきを、MS-DOSプロンプトから実行しています。
-----
grep -il "this is the latest version of security update" *.alm > $delist1
grep -il "^<iframe src=.*"cid:.*" .*iframe" *.alm > $delist2
sed "s/^\(.*\)$/move \1 d\:\\foo\\MAILBOX\\ACCOUNT1\\USER011\.BOX/g" $delist1 >
00move.bat
sed "s/^\(.*\)$/move \1 d\:\\foo\\MAILBOX\\ACCOUNT1\\USER012\.BOX/g" $delist2
>> 00move.bat
del $delist1
del $delist2
command /c 00move.bat
del 00move.bat
-----
念のためmoveしてから確認後deleteします。AL-Mail32では「フォルダの検査」
コマンドで更新します。自動処理ではありませんが、それなりに使えています。
--
Shuichi YAMAGAMI, Kyoto, JAPAN
yam...@mbox.kyoto-inet.or.jp
YAMAGUCHI Takanori
b3IAAABBZG1pbgAAAEdFVCBodHRwOi8vd3cyLmZjZS52dXRici5jei9iaW4vY291bnRlci5naWYv
という行を完全一致で含むものを Swen とみなしています。
今のところ誤判定ゼロです。
<3F8117C9...@ht.sakura.ne.jp>にて IIJIMA Hiromitsu さん曰く,
>詳細はこちらの設定ファイルをごらんください。
>http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/.procmailrc
こんなレシピもあります。
http://agriroot.aua.gr/~nikant/nkvir/