Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss

Bagle Virus' "Received:" part

2 views
Skip to first unread message

Noboru SAITO

unread,
Jan 19, 2004, 5:23:02 AM1/19/04
to
さいとう@OCNゆーざ です。

旧選管の一員の人の From: なメールがきたので、多分これは
ウィルスだなあと思って調べたところ、 bagle という新しい
ものでした。

http://internet.watch.impress.co.jp/cda/news/2004/01/19/1775.html

さて、こいつは From: は偽るようですが、 Received: も偽る
ものなのでしょうか。一応届け元とおぼしき Domain に ping
打ったら、記載どおりの IP 返してきたんであたりかなあとは
思うのですが、情報をお持ちの方がいらっしゃったら、教えて
いただきたくよろしくお願いします。

#ちなみに、 From: と Received: のドメインはぜんぜん違う
#ものでした。 Message-ID のドメインは From: にあわせて
#いましたけど。それも含めて、こっちは感染元のそのままの
#情報かなぁと。
--
+N+
西4東 さいとう のぼる<j0...@cocoa.ocn.ne.jp>
+S+

NIDE Naoyuki

unread,
Jan 19, 2004, 7:56:32 AM1/19/04
to
In article <bugb6a$uoj$1...@news-est.ocn.ad.jp>,

j0...@cocoa.ocn.ne.jp writes:
> 旧選管の一員の人の From: なメールがきたので、多分これは
> ウィルスだなあと思って調べたところ、 bagle という新しい
> ものでした。…

> さて、こいつは From: は偽るようですが、 Received: も偽る
> ものなのでしょうか。

うちにもそれらしいものが2通来ていたのですが、(本体は自動的に捨ててしまっ
たのでわからないものの、ログを見ると) Received:はうちのメールサーバが受
け取って記録したもの1段階だけでした。おそらく感染ホストから直接相手の
SMTPサーバにアクセスしているのでは。但し、全てのBagleがそうかどうかは知
りません。
ウィルスの中には、メールのヘッダのFrom:は偽るけれどEnvelope Fromは偽っ
てなさそうに思われるものもあります。SWENなんかはそれっぽい。Bagleは両方
を偽る(両方が同じものになる)ようですね。

> 一応届け元とおぼしき Domain に ping
> 打ったら、記載どおりの IP 返してきたんであたりかなあとは
> 思うのですが、

Received:に書いてあるドメインをnslookupして(pingはしなくていいのでは)、
記載通りのIPアドレスが返ってきたとしても、それはReceived:が嘘でないとい
うことにはつながらないですね。
Received:については、信頼できるホストが記録したものより前の部分は信用
できないと考えた方がよいかと。
ni...@ics.nara-wu.ac.jp

Hideo Sir MaNMOS Morishita

unread,
Jan 19, 2004, 12:27:08 PM1/19/04
to

In article <bugb6a$uoj$1...@news-est.ocn.ad.jp>,

Noboru SAITO <j0...@cocoa.ocn.ne.jp> writes:
> さいとう@OCNゆーざ です。
>
> 旧選管の一員の人の From: なメールがきたので、多分これは
> ウィルスだなあと思って調べたところ、 bagle という新しい
> ものでした。

私は現委員の方から来ました。キット私のも世の中に出回っているんでしょう
ね。

--
___ わしは、山吹色のかすてーらが大好きでのぅ
[[o o]] ふぉっふぉっふぉ
'J' 森下 お代官様 MaNMOS 英夫@ステラクラフト
PGP Finger = CD EA D5 A8 AD B2 FE 7D 02 74 87 52 7C B7 39 37

Noboru SAITO

unread,
Jan 19, 2004, 10:47:49 PM1/19/04
to
さいとう@OCNゆーざ(なるほど)です。

NIDE Naoyuki さん wrote:
>
> In article <bugb6a$uoj$1...@news-est.ocn.ad.jp>,
> j0...@cocoa.ocn.ne.jp writes:
> > 旧選管の一員の人の From: なメールがきたので、多分これは
> > ウィルスだなあと思って調べたところ、 bagle という新しい
> > ものでした。…
> > さて、こいつは From: は偽るようですが、 Received: も偽る
> > ものなのでしょうか。
>
> うちにもそれらしいものが2通来ていたのですが、(本体は自動的に捨ててしまっ
> たのでわからないものの、ログを見ると) Received:はうちのメールサーバが受
> け取って記録したもの1段階だけでした。おそらく感染ホストから直接相手の
> SMTPサーバにアクセスしているのでは。但し、全てのBagleがそうかどうかは知
> りません。

うちのは外からプロバイダで 1 行、プロバイダ内で 1 行でした。

Envelope From: はわからないです。

> > 一応届け元とおぼしき Domain に ping
> > 打ったら、記載どおりの IP 返してきたんであたりかなあとは
> > 思うのですが、
>
> Received:に書いてあるドメインをnslookupして(pingはしなくていいのでは)、
> 記載通りのIPアドレスが返ってきたとしても、それはReceived:が嘘でないとい
> うことにはつながらないですね。
> Received:については、信頼できるホストが記録したものより前の部分は信用
> できないと考えた方がよいかと。

なるほど。了解です。

実は同じ From: でまったく別の経路の Received: なメールも
記事を投稿したあときてたので、そういうものなんだなあと。

0 new messages