マイクロソフトからのスパム?
きょうぐろ
頻度で舞い込むようになりました。
送信者のアドレスが毎度変わるので対策が難しいのですが、
これを受信できなくするためにはどのような手がうてるでしょうか?
FROM: "MS Customer Assistance" <cpvupsvsz...@news.ms.net>
TO: "Microsoft Customer" <nhdhfdoo_...@news.ms.net>
SUBJECT: Network Security Update
Noboru SAITO
えっと、 fj.news.net-abuse などでも話が出ていますが、
スパムではなくて Swen.A というウィルスです。
そちらをご覧になると参考になるかも知れません。
--
+N+
西4東 さいとう のぼる<j0...@cocoa.ocn.ne.jp>
+S+
いっち
news:x%Gab.306$SG6...@news1.dion.ne.jp..で、
> 昨日あたりから、以下のようなメールが30秒に一回ぐらいの
> 頻度で舞い込むようになりました。
> 送信者のアドレスが毎度変わるので対策が難しいのですが、
> これを受信できなくするためにはどのような手がうてるでしょうか?
>
残念ですが、峠を越えるのを待つしかないでしょう。
ウィルスに感染しているPCが無くなれば、送られてこなくなると
思いますが、事実上、そんなことは不可能であると思いますし…。
DIONのサービス内容を知らないのですか、プロバイダによっては
メールのウィルスチェックを実施してくれるところもあります。
プロバイダのHP等で確認してみてください。
#OutlookExpressを使用しているという前提で言えば、
メッセージルールで
「メールのサイズが指定したサイズ以上の場合」
「メールに添付ファイルがある場合」
等を使用して、
「削除する」
「サーバーから削除する」
等して、フィルタリングするしかないと思います。
それ以外のメーラーをお使いであれば、そう言った機能があるか
調べてください。
ネットニュース上に公開されているメールアドレスはアドレスを
収集されてスパム等の的にされます。
特に、“きょうぐろ”さんのように、プロバイダのアドレスを
ネットニュース上に公開すると、簡単に変えることが出来ないだけ
に、長期間に渡って悩まされることになりやすいです。
フリーメールなどを利用してはいかがでしょうか?
Hotmailはあまりお勧めできません。便利ですが、一日に何十件もの
スパム攻撃に遭います。
# 私はネットニュースではgooのフリーアドレスを使用しています。
# 「ネットニュースの返信はネットニュースに」が基本であると考
# えている為、フリーアドレスに送ってくる人は殆んどいないであ
# ろう。と言う予測の元に、1週間に1度程度着信メールを確認し、
# 件名と送信者をざっとチェックした後、一括削除します。
# 昨日から今日に掛けて200件近いメールが来ていましたが、問答
# 無用削除です。( ´∀`)
# 昔、痛い思いをした結果、これで落ち着きました。(^-^)
--
◆
いっち
IIJIMA Hiromitsu
私のところはそろそろ3000通…発見が1日遅れてたら大変なことになってた。
#投票箱に使った f...@dennougedougakkai-ndd.org にも送ってくるので、
#こちらは閉鎖しました。
☆
fj.net.watch や fj.mail.system に情報が回っていますが、繰り返します。
> 残念ですが、峠を越えるのを待つしかないでしょう。
> ウィルスに感染しているPCが無くなれば、送られてこなくなると
> 思いますが、事実上、そんなことは不可能であると思いますし…。
同意。
> #OutlookExpressを使用しているという前提で言えば、
> メッセージルールで
> 「メールのサイズが指定したサイズ以上の場合」
> 「メールに添付ファイルがある場合」
> 等を使用して、
> 「削除する」
> 「サーバーから削除する」
> 等して、フィルタリングするしかないと思います。
>
> それ以外のメーラーをお使いであれば、そう言った機能があるか
> 調べてください。
フィルタルールとしては、まず「MS からのパッチを装ったメール」は
文面が特徴的なので、本文をいったん受信可能な回線幅があれば、
受け取ってから「September 2003, Cumulative patch」
というキーワードでゴミ箱送りにすることができます。
「メールサーバーからエラーで返ってきたことを装うメール」の場合は、
HTML のコードを正規表現で検出できればいいんですが、メーラーでそれだけ
高機能なものはなかなかないので、その対処は無理。
一方でこちらは、「From が MAILER-DAEMON(ドメイン名なし)のもの」「From
が <> のもの」が大半なので、「From に @ がないものはゴミ箱送り」でしのげ
そうです。
私自身の自作フィルタは、
http://www.ht.sakura.ne.jp/~delmonta/anmerkungen/spam.html
の真ん中へんの「ウイルス類」のところを参照してください。
========================================================================
飯嶋 浩光 / でるもんた・いいじま http://www.ht.sakura.ne.jp/~delmonta/
IIJIMA Hiromitsu, aka Delmonta mailto:delm...@ht.sakura.ne.jp
Yoshitaka Ikeda
>"きょうぐろ" <kojir...@k9.dion.ne.jp>さんの
>news:x%Gab.306$SG6...@news1.dion.ne.jp..で、
>
>> 昨日あたりから、以下のようなメールが30秒に一回ぐらいの
>> 頻度で舞い込むようになりました。
>> 送信者のアドレスが毎度変わるので対策が難しいのですが、
>> これを受信できなくするためにはどのような手がうてるでしょうか?
>>
>
>残念ですが、峠を越えるのを待つしかないでしょう。
>ウィルスに感染しているPCが無くなれば、送られてこなくなると
>思いますが、事実上、そんなことは不可能であると思いますし…。
正直なところ何らかの対策を施さないと危険な状況になりつつあります。
すでに1分当たり100通近いメールが来るようになってます。
一通150kBですから、毎分15MBです。
プロバイダのメールスプールのサイズによっては、
5分とかからずにいっぱいになります。
これ、サーバーレベルで規制しないとクライアントレベルでは
ちょっと対処しきれなくなってます。
うちは、夜、寝てる間にマシンがスプールを食いつぶして、
ログインさえ不能になってしまいました。あるしゅメールサーバが
DOS攻撃しあってる状態になっています。
--
Yoshitaka Ikeda mailto:ik...@4bn.ne.jp
Shibuya, Nobuhiro
Subjectを「マイクロソフトから」と偽装したspamなvirus/worm mail
と変えたい気もするが、ほんとにマイクロソフトからだったら
どうしよう…
Yoshitaka Ikeda wrote:
> 正直なところ何らかの対策を施さないと危険な状況になりつつあります。
> すでに1分当たり100通近いメールが来るようになってます。
> 一通150kBですから、毎分15MBです。
>
> プロバイダのメールスプールのサイズによっては、
> 5分とかからずにいっぱいになります。
>
> これ、サーバーレベルで規制しないとクライアントレベルでは
> ちょっと対処しきれなくなってます。
時間の問題でしょう。メールサーバがメイルに停止させられるか
管理者が停止させるかだけの違いで。
> うちは、夜、寝てる間にマシンがスプールを食いつぶして、
> ログインさえ不能になってしまいました。あるしゅメールサーバが
> DOS攻撃しあってる状態になっています。
ある種ではなくれっきとしたDOS攻撃ですね。
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩
いっち
news:bkglta$o$1...@caraway.media.kyoto-u.ac.jp...で、
> 正直なところ何らかの対策を施さないと危険な状況になりつつあります。
> すでに1分当たり100通近いメールが来るようになってます。
> 一通150kBですから、毎分15MBです。
>
> プロバイダのメールスプールのサイズによっては、
> 5分とかからずにいっぱいになります。
>
> これ、サーバーレベルで規制しないとクライアントレベルでは
> ちょっと対処しきれなくなってます。
> うちは、夜、寝てる間にマシンがスプールを食いつぶして、
> ログインさえ不能になってしまいました。あるしゅメールサーバが
> DOS攻撃しあってる状態になっています。
おっ、恐ろしぃ
しかし、不思議なのがこのウィルスメール、ネットニュースで公開
しているアドレスにしか送られてこないんですよね。
#私だけか???(-_-;)
フリーアドレスを3個使用していて、内2個がニュース用なんです
が、そこにしか送られてこないんです。
プロバイダのメインのアドレスは家族や仕事のものを含めると6個
あるのですが、一通たりとも送られてきません。
友達が少ないから? ┐(´ー`)┌
はたして、ネットニュースの投稿者のアドレスをアドレス帳に登録
するでしょうか?
それを考えると感染者が多いと言うより、ネットニュースからアド
レスを収集している何者かの悪意としか……。
それとも、間抜けなアドレス業者が感染したか?
--
◆
いっち
Junya Suzuki
"Shibuya, Nobuhiro" <shi...@dd.iij4u.or.jp> wrote in message
news:3F6BF18D...@dd.iij4u.or.jp...
> 渋谷@家から です
>
> Subjectを「マイクロソフトから」と偽装したspamなvirus/worm mail
> と変えたい気もするが、ほんとにマイクロソフトからだったら
> どうしよう…
MSがパッチをメールで送ってきたりはしないでしょう。
> > プロバイダのメールスプールのサイズによっては、
> > 5分とかからずにいっぱいになります。
> >
> > これ、サーバーレベルで規制しないとクライアントレベルでは
> > ちょっと対処しきれなくなってます。
>
> 時間の問題でしょう。メールサーバがメイルに停止させられるか
> 管理者が停止させるかだけの違いで。
うちはISPのほうが容量無制限なんでその辺は救われて?いますが。
Webmail サービスでちまちまメールを消す羽目になっています。
ちなみに SWEN.A くんは自分でNNTP サーバからメールアドレスを収集するそうです。
めっちゃくちゃタチ悪すぎ。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A&VSect=T
メールの宛先となるメールアドレスは以下の二種の方法で収集されます: 1)感染コンピュータ内の .EML、
.WAB、 .DBX、 .MBX ファイルを検索し、ファイル内にあるメールアドレスの情報を取得
します。 2)インターネット上のニュースグループを検索し、メールアドレスの情報を収集します。
ワームはこのメールアドレス収集活動のために以下のNNTPサーバに接続します:
Shibuya, Nobuhiro
Junya Suzuki wrote:
> > Subjectを「マイクロソフトから」と偽装したspamなvirus/worm mail
> > と変えたい気もするが、ほんとにマイクロソフトからだったら
> > どうしよう…
>
> MSがパッチをメールで送ってきたりはしないでしょう。
マイクロソフトの管理下のホストが感染したり乗っ取られたりして
世界中に迷惑をかけるという事態を想定して書いたのです。
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩
Shibuya, Nobuhiro
> しかし、不思議なのがこのウィルスメール、ネットニュースで公開
> しているアドレスにしか送られてこないんですよね。
> #私だけか???(-_-;)
fj.comp.security に
From: "Junya Suzuki" <PP6J...@asahi-net.or.jp>
Newsgroups: fj.comp.security,fj.questions.misc
Subject: =?iso-2022-jp?B?UmU6IBskQiVeJSQlLyVtJT0lVSVIJCskaSROJTklUSVgISkbKEI=?=
Date: Sat, 20 Sep 2003 15:52:54 +0900
Message-ID: <3f6bf9bc$0$8432$44c9...@news3.asahi-net.or.jp>
>> ちなみに SWEN.A くんは自分でNNTP サーバからメールアドレスを収集するそうです。
>> めっちゃくちゃタチ悪すぎ。
>> http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A&VSect=T
>> メールの宛先となるメールアドレスは以下の二種の方法で収集されます: 1)感染コンピュータ内の .EML、
>> .WAB、 .DBX、 .MBX ファイルを検索し、ファイル内にあるメールアドレスの情報を取得
>> します。 2)インターネット上のニュースグループを検索し、メールアドレスの情報を収集します。
>> ワームはこのメールアドレス収集活動のために以下のNNTPサーバに接続します:
という情報が提供されていますよ。
#だれか交通整理してほしいなあ。
> はたして、ネットニュースの投稿者のアドレスをアドレス帳に登録
> するでしょうか?
アドレス帳というのは語弊があるけど、Netnewsで使っている投稿アドレス
が収集されて攻撃対象になるるんだそうです。
> それとも、間抜けなアドレス業者が感染したか?
アドレス業者としては極めて優秀ですよね?けして間抜けではない。
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩
Yoshitaka Ikeda
>うちはISPのほうが容量無制限なんでその辺は救われて?いますが。
>Webmail サービスでちまちまメールを消す羽目になっています。
自分が管理者だと、何とかせざるを得ないので、
せっかくの土曜日をウィルスメール対策に追われてます。
送りつけられても大丈夫なようにしてたので油断してた。
まさかこういう形でDOS攻撃を受けるとは...
>ちなみに SWEN.A くんは自分でNNTP サーバからメールアドレスを収集するそうです。
>めっちゃくちゃタチ悪すぎ。
>http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A&VSect=T
>メールの宛先となるメールアドレスは以下の二種の方法で収集されます: 1)感染コンピュータ内の .EML、
>.WAB、 .DBX、 .MBX ファイルを検索し、ファイル内にあるメールアドレスの情報を取得
>します。 2)インターネット上のニュースグループを検索し、メールアドレスの情報を収集します。
>ワームはこのメールアドレス収集活動のために以下のNNTPサーバに接続します:
これって、もしかしてOpen NNTPのリストにもなっちゃってるんじゃないかな。
NNTPサーバの人たちが閉じない限り、エラーが起き続ける様な気がするなぁ。
もしくは、該当サーバを入れ替えてダミーのメールアドレスを大量に突っ込んで..
#DNSサーバに影響が起こりうるのでやってはいけません。
Yoshitaka Ikeda
>という情報が提供されていますよ。
>#だれか交通整理してほしいなあ。
>
>> はたして、ネットニュースの投稿者のアドレスをアドレス帳に登録
>> するでしょうか?
>
>アドレス帳というのは語弊があるけど、Netnewsで使っている投稿アドレス
>が収集されて攻撃対象になるるんだそうです。
攻撃対象になってるだけなら、対策の立てようもあるけど、
これ、送信者にされたりする可能性も考えると、えらいことに
なりますな。
Fromにリーチャブルなメールアドレスを書くのは
まずいのかもしれないなぁ。という気がします。
まあ、Open News Serverがなくなればいいんでしょうけどね。
読むだけは可能ってところはいっぱいあるしなぁ。
Shibuya, Nobuhiro
Yoshitaka Ikeda wrote:
> >アドレス帳というのは語弊があるけど、Netnewsで使っている投稿アドレス
> >が収集されて攻撃対象になるるんだそうです。
>
> 攻撃対象になってるだけなら、対策の立てようもあるけど、
> これ、送信者にされたりする可能性も考えると、えらいことに
> なりますな。
あ゛。
それは考えていなかった(考えたくもなかった)。
多国語/他国語でお門違いの抗議メイルに
わしは無関係だ。メイルヘッダちゃんと読めやおたんこなす。
と書く羽目に陥ったことを想像するのは気がめいるです。
> Fromにリーチャブルなメールアドレスを書くのは
> まずいのかもしれないなぁ。という気がします。
IP接続を契約しているプロバイダ(わたしの場合はIIJ4U)
に相談するしかないかなあ。
「もしもし、わたしのpppアドレスはほごほごです。
リーチャブルなメアドでメイルやニュースを読み書きしているけど
今流行のvirusメイルが金曜深夜から一日1000通以上のペースで届く
のでメールアンリーチャブルなメアドに替えさせて下さい。
それともなにかいい対策ありますか?」
とか?
IIJ4Uのオプション契約のInterScanを利用していれば防げると
いわれてインシデント・クローズにされるだろうか?
--
mailto:shi...@dd.iij4u.or.jp 渋谷伸浩
Loverain
news:bkglta$o$1...@caraway.media.kyoto-u.ac.jp...
> 正直なところ何らかの対策を施さないと危険な状況になりつつあります。
> すでに1分当たり100通近いメールが来るようになってます。
> 一通150kBですから、毎分15MBです。
私のHotmailアカウントにもバンバン入って来ています。「バルクメール」フォルダ
に入るのですが、同時に本当のMSから
“Hotmail メッセージを ローカル ドライブに移動してください。”
っていう警告まで来るので(容量オーバーになるよって)参っています。
> これ、サーバーレベルで規制しないとクライアントレベルでは
> ちょっと対処しきれなくなって
いくつかは迷惑メールを指定しましたがそれだけでは対応できないみたいで、「削除
すればいい」とはいうものの、ホントにどうすりゃいいんでしょうかねぇ??
Loverain
Junya Suzuki
> > > Subjectを「マイクロソフトから」と偽装したspamなvirus/worm mail
> > > と変えたい気もするが、ほんとにマイクロソフトからだったら
> > > どうしよう…
> >
> > MSがパッチをメールで送ってきたりはしないでしょう。
>
> マイクロソフトの管理下のホストが感染したり乗っ取られたりして
> 世界中に迷惑をかけるという事態を想定して書いたのです。
特定サイトが乗っ取られたと分かるんだったら対応はそれほど難しくはないと
おもうんですけど・・・・
きょうぐろ
受け取るべきメールが届いていません。プロバイダの
メールスプールがオーバーフローしたもようです。
質問。outlook express の「メールのルール」で必要なメール
以外はすべて、「サーバーから削除」指定しているのですが、
「削除済みアイテム」に溜まってきます。この場合、本当に
プロバイダのサーバーから削除されているのでしょうか?
どうもサーバーがオーバーフローしているところをみると
うまく作動していないような気もします。
Yoshitaka Ikeda
Tadamasa Tamura
fj.mail.reader, fj.mail.reader.outlookexpressを追加し、
Followupはそちらへ。
(失敗してたら直して(^^ゞ)
"Yoshitaka Ikeda" <ik...@4bn.ne.jp> wrote in message
news:bkhvgc$m69$1...@caraway.media.kyoto-u.ac.jp...
> きょうぐろさんの<LoXab.314$SG6...@news1.dion.ne.jp>から
>
>>質問。outlook express の「メールのルール」で必要なメール
>>以外はすべて、「サーバーから削除」指定しているのですが、
>>「削除済みアイテム」に溜まってきます。この場合、本当に
>>プロバイダのサーバーから削除されているのでしょうか?
アカウントのプロパティの詳細設定で、
「サーバにメッセージのコピーを置く」という設定にされてますか?
あと、タイムアウト設定も長くしておかないと、
消す前に切断が切れる可能性もありますね。
>>どうもサーバーがオーバーフローしているところをみると
>>うまく作動していないような気もします。
サーバの内容を直接眺めて見ると判るかも。
私は↓を使ってヘッダだけ残しながら削除してます。
http://www.vector.co.jp/soft/win95/net/se237478.html
#片っ端から消しまくってますが、既に600件(;;)
> 削除済みアイテムにたまっている場合は、たぶんダウンロードしてる
> はずです。
受信時にサーバに残さなければ、その時点で消えるんですけどねぇ。
Motoshi ICHIKAWA
At Sat, 20 Sep 2003 15:52:54 +0900,
Junya Suzuki wrote:
> ちなみに SWEN.A くんは自分でNNTP サーバからメールアドレスを収集するそうです。
> めっちゃくちゃタチ悪すぎ。
どうもそれが名前の由来になっているようですね。News の逆読み。
(fj.jokes の <bkgguu$1nge$1...@nwall1.odn.ne.jp> より)
ワームの中にこんな文字列がみつかります。
000117e0: 2573 5c73 7765 6e31 2e64 6174 0000 0000 %s\swen1.dat....
000117f0: 2573 5c73 7765 6e30 2e64 6174 0000 0000 %s\swen0.dat....
00011800: 2573 5c6e 6e74 7067 726f 7570 732e 6461 %s\nntpgroups.da
00011810: 7400 0000 2573 5c67 6572 6d73 302e 6462 t...%s\germs0.db
00011820: 7600 0000 3231 3500 4c49 5354 0d0a 0000 v...215.LIST....
--
Motoshi ICHIKAWA
Sawaki, Takayuki
> 私のところはそろそろ3000通…発見が1日遅れてたら大変なことになってた。
出張から帰ってきたら、9000通溜まってました…… (;_;)
今ようやく消し終わったところですけど、疲れた……仕事にならん。
~~ ◯ ~~~~~~~ ‥ ・ ~~~~~~~~~~~~~
\\ ・ : 佐脇貴幸
\☆ /\/\ .: ・ fi-s...@yahoo.co.jp
/ / \ ‥・
※※ / \ ※※※※※※※※※※※※※※※※※
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
きょうぐろ
なんか急速に収まった感じです。この一時間ゼロです。
なぜかアダルト系も来なくなりました。不思議。
メールアドレスを急遽ひとつ今夜12時をもって
解約することにしたというのに、、、
(22日17時現在)
"Sawaki, Takayuki" <fi_s...@yahoo.co.jp> wrote in message
news:3F6EB161...@yahoo.co.jp...
 ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
Shinji KONO
In article <%zybb.373$SG6...@news1.dion.ne.jp>, "きょうぐろ" <egg...plants@k1.glass.com> writes
> なんか急速に収まった感じです。この一時間ゼロです。
それはね....
> なぜかアダルト系も来なくなりました。不思議。
担当者が対処したからだと思います。いろんなfilterがあるので。
ただ、その分、サーバの負荷がかかるけど。
> > 出張から帰ってきたら、9000通溜まってました…… (;_;)
> > 今ようやく消し終わったところですけど、疲れた……仕事にならん。
filter を自分で書いて... つかれないけど、仕事にならないのは
同じだったりして。
MHのrefile に999通以上の対処をしてなかったので、その部分を
デバッグするはめになりました。
---
Shinji KONO @ Information Engineering, University of the Ryukyus,
PRESTO, Japan Science and Technology Corporation
河野真治 @ 琉球大学工学部情報工学科,
科学技術振興事業団さきがけ研究21(機能と構成)
JR K Yoshikawa
ぜんぜん収束の気配がありません。
ちなみにうちでは、MailGateと言うのを使って5分おきくらいに
Serverをチェックに行ってSpamを自動で削除する物を使って対処しています。
これの欠点はOutlook Expressを併用していると、タイミングによってはいくつかもれて
受け取ってしまうと言うことでしょうか。
以前はMailWasherと言うのとMainで使っていたのですが、
MailGateが無料のバージョンでも自動検査と自動削除に対応しているのと
ルールの適用のバリエーションが比較的多いような気がするのと、
ルールの登録が簡単(右クリックでいろいろ登録できる)なので乗り換えてしまいました。
あとVirus FilterのついているメールのアカウントにFowardすることも考えたのですが、
そちらはちょっとサイズが小さいので実行には移しませんでしたが、
"きょうぐろ" <egg...plants@k1.glass.com> wrote in message news:%zybb.373$SG6...@news1.dion.ne.jp...
Shinji KONO
In article <5Gudb.11112$ev2.4...@newssrv26.news.prodigy.com>, "JR K Yoshikawa" <yosh...@ameritech.net> writes
> うちではSBCに何度か問い合わせているのですがほとんどだめのようで、
> ぜんぜん収束の気配がありません。
もしかすると意外に近くに送信先がいるのかも... うちも学内に
あるとかいう説があったので...