新型ウイルス？

[Sawaki, Takayuki]

佐脇＠つくばです。

　先ほど（2002.7.15, 13:46）から、"decrypt-password.exe"という添付ファイルを持つ、
"Your Password"という件名のメイルが、どんどこ届くようになりました。どうも新しい
ウイルスらしいのですが、詳細は現時点(15:07)ではわかりません。

～～　◯　～～～～～～～　　‥　・　　～～～～～～～～～～～
＼＼　　　　　　　　　　　　　・　：　佐脇貴幸
　＼☆　　／＼／＼　　．：　・　　　　t-sa...@aist.go.jp
　　　　／　／　　＼　　‥・
※※　／　　　　　　＼　　　　※※※※※※※※※※※※※※※
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

[NAKAJI Hiroyuki]

>>>>> In <3D3266CD...@aist.go.jp>
>>>>> "Sawaki, Takayuki" <t-sa...@aist.go.jp> wrote:

S> 　先ほど（2002.7.15, 13:46）から、"decrypt-password.exe"という添付ファ
S> イルを持つ、"Your Password"という件名のメイルが、どんどこ届くようになり
S> ました。どうも新しいウイルスらしいのですが、詳細は現時点(15:07)ではわか
S> りません。

僕のところにも、さっき、1個来ました。
--
NAKAJI Hiroyuki (中治 弘行)

[NAKAJI Hiroyuki]

補足。

>>>>> In <87ele5t...@boggy.acest.tutrp.tut.ac.jp>
>>>>> NAKAJI Hiroyuki <nak...@tutrp.tut.ac.jp> wrote:

S> 　先ほど（2002.7.15, 13:46）から、"decrypt-password.exe"という添付ファ
S> イルを持つ、"Your Password"という件名のメイルが、どんどこ届くようになり
S> ました。どうも新しいウイルスらしいのですが、詳細は現時点(15:07)ではわか
S> りません。

中治> 僕のところにも、さっき、1個来ました。

http://www.google.co.jp/search?q=decrypt-password.exe&hl=ja&lr=lang_ja&sourceid=mozilla-search

によると、

http://www.f-secure.co.jp/v-descs/v-descs2/frethem.htm

というものらしいですが、Sophos Anti-Virus は2002年7月15日午後3時現在では検
出してくれませんでした。亜種かなぁ。

[Sawaki, Takayuki]

＃自己フォローです。

"Sawaki, Takayuki" wrote:
> 　先ほど（2002.7.15, 13:46）から、"decrypt-password.exe"という添付ファイルを持つ、
> "Your Password"という件名のメイルが、どんどこ届くようになりました。どうも新しい
> ウイルスらしいのですが、詳細は現時点(15:07)ではわかりません。

こいつだったみたいです。
WORM_FRETHEM.E
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.E

～～　◯　～～～～～～～　　‥　・　　～～～～～～～～～～～
＼＼　　　　　　　　　　　　　・　：　佐脇貴幸
　＼☆　　／＼／＼　　．：　・　　　　t-sa...@aist.go.jp
　　　　／　／　　＼　　‥・
※※　／　　　　　　＼　　　　※※※※※※※※※※※※※※※
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

[red brick]

NAKAJI Hiroyukiさんの<87ele5t...@boggy.acest.tutrp.tut.ac.jp>から

　ウチにもきましたが、Subject は "Re: Your password!" でした。

--
赤煉瓦

[Sawaki, Takayuki]

＃さらに自己フォロー

"Sawaki, Takayuki" wrote:
> こいつだったみたいです。
> WORM_FRETHEM.E
> http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.E

http://www.ipa.go.jp/security/topics/newvirus/frethem.htm
にも、ようやく情報が載りました。

～～　◯　～～～～～～～　　‥　・　　～～～～～～～～～～～
＼＼　　　　　　　　　　　　　・　：　佐脇貴幸
　＼☆　　／＼／＼　　．：　・　　　　t-sa...@aist.go.jp
　　　　／　／　　＼　　‥・
※※　／　　　　　　＼　　　　※※※※※※※※※※※※※※※
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

[Sawaki, Takayuki]

"Sawaki, Takayuki" wrote:
> http://www.ipa.go.jp/security/topics/newvirus/frethem.htm
> にも、ようやく情報が載りました。

　正しくは、
http://www.ipa.go.jp/security/topics/newvirus/frethem.html
でした。
　シマンテックの方
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.frethem.j%40mm.html
では、現在解析中だとか。

～～　◯　～～～～～～～　　‥　・　　～～～～～～～～～～～
＼＼　　　　　　　　　　　　　・　：　佐脇貴幸
　＼☆　　／＼／＼　　．：　・　　　　t-sa...@aist.go.jp
　　　　／　／　　＼　　‥・
※※　／　　　　　　＼　　　　※※※※※※※※※※※※※※※
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

[K-ichi]

"red brick" <ne...@redbrick.jp> wrote in message news:mbvY8.38$%%6.1...@newsall.dti.ne.jp...

> 　ウチにもきましたが、Subject は "Re: Your password!" でした。

同じく。

From が行きつけ(?)のCD屋の購買関係のアドレスだったので、
ipaのフレゼムのURL載せて返信してあげたら、すでにメールボックスが
パンクしてました。 ^-^;

--
K-ichi

[Shinobu Kumaoka]

熊岡です。

私のところにも届きました。

"Sawaki, Takayuki" wrote:

> 　先ほど（2002.7.15, 13:46）から、"decrypt-password.exe"という添付ファイルを持つ、
> "Your Password"という件名のメイルが、どんどこ届くようになりました。どうも新しい
> ウイルスらしいのですが、詳細は現時点(15:07)ではわかりません。

しかし、知り合いから届いたのならともかく、見ず知らずの人から届きました。

このウィルスのFromは正しいものがついてくるのでしょうか？

また、アドレス帳以外にも、.dbx、.wab、.mbx、.eml、.mdbファイルからメールアドレスを探し出す
らしいのですが、これらはいったい何のファイルなのでしょうか？

要するに、見ず知らずの人からウィルスが届く可能性が知りたいのですが、
どなたかわかりますでしょうか。

今の所、考えられる可能性としては、

１．Fromが嘘である。
２．アドレスの主が、私のアドレスをNet News等から抜き出して、アドレス帳に加えてあった。

くらいなのですが、これ以外に何か可能性はありますでしょうか？

--
cog...@sp.hudson.co.jp
株式会社ハドソン
コア・テクノロジー事業本部
システム部 ソフトウェア課
熊岡 忍(Kumaoka Shinobu)

[Hideo Sir MaNMOS Morishita]

In article <3D3387B0...@sp.hudson.co.jp>,
Shinobu Kumaoka <cog...@sp.hudson.co.jp> writes:
> しかし、知り合いから届いたのならともかく、見ず知らずの人から届きました。
>
> このウィルスのFromは正しいものがついてくるのでしょうか？

私のところにきたのは、見たことのあるアドレスでした。たしか、すでに
unsubscribeしたMaling Listのメンバーからだったと思います。

> 今の所、考えられる可能性としては、
>
> １．Fromが嘘である。
> ２．アドレスの主が、私のアドレスをNet News等から抜き出して、アドレス帳に加えてあった。
>
> くらいなのですが、これ以外に何か可能性はありますでしょうか？

そういえば、virusメールって、mlのメンバーから来ることがかなり多いなぁ。
subscribeしているけど、投稿はしていないmlメンバーとかだと「見ず知らず」
に見えますよね。

--
___ わしは、山吹色のかすてーらが大好きでのぅ
[[o o]] ふぉっふぉっふぉ
'J' 森下 お代官様 ＭａＮＭＯＳ 英夫＠ステラクラフト
PGP Finger = CD EA D5 A8 AD B2 FE 7D 02 74 87 52 7C B7 39 37

[Shinobu Kumaoka]

熊岡です。

Hideo Sir MaNMOS Morishita wrote:

> そういえば、virusメールって、mlのメンバーから来ることがかなり多いなぁ。
> subscribeしているけど、投稿はしていないmlメンバーとかだと「見ず知らず」
> に見えますよね。

その線で調べてみました。
MLはいくつか入っているのですが、

ML1.入会時に通知があるため、検索で判断可能・・検索したところヒットせず、
　つまり、入会の過去はなし。

ML2、ML３、ML4、ML5、メンバー一覧をチェックしたところ該当者なし。
　また、これらは公のMLではなく、ごく知り合いのみのMLなので、可能性は低い。

ML６、メンバー一覧通知機能なし。しかし、ここ何年もポストしてないので、
　可能性は非常に低い。

というわけで、ML経由の可能性は非常に低いです。（ゼロではないですが・・・）

[NAKAJI Hiroyuki]

>>>>> In <3D33A68A...@sp.hudson.co.jp>
>>>>> Shinobu Kumaoka <cog...@sp.hudson.co.jp> wrote:

SK> というわけで、ML経由の可能性は非常に低いです。（ゼロではないですが・・・）

それらの ML のどれかがアーカイブを web で公開している場合、そのページを見
た人のキャッシュから＊も＊メールアドレスを拾って送信するというのは、よくあ
る話ですね。

[Shinobu Kumaoka]

熊岡です。

NAKAJI Hiroyuki wrote:

>
> それらの ML のどれかがアーカイブを web で公開している場合、そのページを見
> た人のキャッシュから＊も＊メールアドレスを拾って送信するというのは、よくあ
> る話ですね。

キャッシュ経由なら、ｆｊ等のアーカイブから拾われる可能性のほうが高いです。
で、このウィルスはキャッシュから拾うんでしょうか？

[Tokio Kikuchi]

菊地＠高知大です。

> そういえば、virusメールって、mlのメンバーから来ることがかなり多いなぁ。
> subscribeしているけど、投稿はしていないmlメンバーとかだと「見ず知らず」
> に見えますよね。

それどころかメーリングリストが中継してばらまいてる
ケースがかなりあります。今回は某情報関係学会の会員
全員にばら撒かれています。（会員2万4千人）

メーリングリストの設定に問題ありだよね。ってので、
こんなの書いてみました。

http://mm.tkikuchi.net/ (緊急アピール)

ま、これ読んで完全禁止にするとも思えないけど。

[Hideo Sir MaNMOS Morishita]

In article <3D3387B0...@sp.hudson.co.jp>,
Shinobu Kumaoka <cog...@sp.hudson.co.jp> writes:

> 今の所、考えられる可能性としては、
>
> １．Fromが嘘である。
> ２．アドレスの主が、私のアドレスをNet News等から抜き出して、アドレス帳に加えてあった。
>
> くらいなのですが、これ以外に何か可能性はありますでしょうか？

とっても嫌なシナリオ…

1.熊岡さんの知り合いが*KLEZ*に感染した。
2.それが、*熊岡さんのアドレスで*全然別の人に*KLEZ*をなげた。
3.その人のアドレステーブルに熊岡さんのアドレスが登録されてしまった。
4.その人が*FRETHEM*に感染した。

＃私もKLEZにアドレス騙られました。
＃何が悲しいって、投げつけた相手が、私としては、あんまり付き合いたく
＃ないような事をやっているような会社…うーーん、間は誰なんだろう？

[Sawaki, Takayuki]

佐脇＠つくばです。
　私の所にも、面識がない人から「あなたのメイルは"FRETHEM"に感染しているので、
対策をとってください。」という*"FRETHEM"に汚染されたメイル*が届きました。　(-_-;)　
ウイルスメイルなんて嫌いなので、とにかくとっとと捨てちゃいましたけど。
＃いや、もしかしたら、全く関係ないわけではなく、だいぶ以前にtsukuba.*で
＃フォロー記事を書いた人だったかもしれませんが…

Hideo Sir MaNMOS Morishita wrote:

> 1.熊岡さんの知り合いが*KLEZ*に感染した。
> 2.それが、*熊岡さんのアドレスで*全然別の人に*KLEZ*をなげた。
> 3.その人のアドレステーブルに熊岡さんのアドレスが登録されてしまった。
> 4.その人が*FRETHEM*に感染した。

　わたくしもこの"KLEZ"+"FRETHEM"の組み合わせではないかと思ったんですが、
確証はありません。

～～　◯　～～～～～～～　　‥　・　　～～～～～～～～～～～
＼＼　　　　　　　　　　　　　・　：　佐脇貴幸
　＼☆　　／＼／＼　　．：　・　　　　t-sa...@aist.go.jp
　　　　／　／　　＼　　‥・
※※　／　　　　　　＼　　　　※※※※※※※※※※※※※※※
￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣￣

[Tadamasa Tamura]

田村です。

Shinobu Kumaoka wrote:
> しかし、知り合いから届いたのならともかく、見ず知らずの人から届きました。
>
> このウィルスのFromは正しいものがついてくるのでしょうか？

詐称する甲斐性は無かったはずです。

> また、アドレス帳以外にも、.dbx、.wab、.mbx、.eml、.mdbファイルからメールアドレスを探し出す
> らしいのですが、これらはいったい何のファイルなのでしょうか？

以下の通りです。
(一部、拡張子辞典(http://www.jisyo.com/viewer/)での調査結果含みます)
　.dbx：メールのアーカイブ
　.wab：アドレス帳
　.mbx：メールのアーカイブ(Internet Mail)
　.eml：Outlook Expressの個別保存メール
　.mdb：Microsoft Accessのテンプレート他(らしい)

> 要するに、見ず知らずの人からウィルスが届く可能性が知りたいのですが、
> どなたかわかりますでしょうか。

Outlook Newsreaderが.dbxに(内容を)格納していれば、可能性はあります。
（私も使ってないので判らない(^^;＜Outlook Newsreader）

ちなみに、その見ず知らずの人を検索エンジンで検索してみると、
その人がどのNewsreaderを使っているのが判るので、
調べて見るというのも手です。

（実際Klezの時にやって、どういう関係の人間が送ってきたかを
　調べるのに使った（笑））

[lll]

In article <3D3432F2...@coral.ocn.ne.jp>
ta...@coral.ocn.ne.jp writes:

>> 　.dbx：メールのアーカイブ

>> Outlook Newsreaderが.dbxに(内容を)格納していれば、可能性はあります。

手元のIE5.5SP2+α に news://... と入れてみましたら、
普通に読むだけで、 newsgroup名.dbx が出来ました。
＃なるほど。

PS

私は、nimda の時に不安になったので、たった１０人程度の
fml-1.5 ですが、 sub Parsing の「$MailBody .= $_;」 の前に

# ( Content-Transfer-Encoding: base64 )
if (/^content/io) {
$_ =~ s/base64/64base/gi;
}

を追加してごまかしました:-)

--
万一テキスト本文に content base64 とあっても、文意は通じるでしょうし

[Shinobu Kumaoka]

熊岡です。

lll wrote:

> In article <3D3432F2...@coral.ocn.ne.jp>
> ta...@coral.ocn.ne.jp writes:
>
> >> 　.dbx：メールのアーカイブ
>
> >> Outlook Newsreaderが.dbxに(内容を)格納していれば、可能性はあります。
>
> 手元のIE5.5SP2+α に news://... と入れてみましたら、
> 普通に読むだけで、 newsgroup名.dbx が出来ました。

つまり、Net Newsのアーカイブから拾われたかもということですね。
なるほど、これなら十分ありえそうです。

とりあえずすっきりしました。ありがとうございます。