5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

SWEN@MM(SWEN.A) スレ

1 :名無しさん@お腹いっぱい。:03/09/20 07:26
SWEN@MM(別名SWEN.A)
ユーザーを欺くためにエラーメールを装ったり、マイクロソフト社からのメールに
見せかけた内容になっています。お約束ですが添付ファイルを開かないように!

ネットワークアソシエイツ
http://www.nai.com/japan/security/virS.asp?v=W32/Swen@MM
トレンドマイクロ
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SWEN.A
シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/w32.swen.a@mm.html
注意:デジタル・イミューン・システム によって自動的に生成された定義により、
以前は Worm.Automat.AHB という名称で検出されています。


添付ファイルを実行しなくても以下のセキュリティホールの対策をしていなけ
れば、見ただけで感染します。
 不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)
http://www.microsoft.com/japan/technet/security/prekb.asp?sec_cd=MS01-020




2 :名無しさん@お腹いっぱい。:03/09/20 07:31
>>1
乙でつ

3 :名無しさん@お腹いっぱい。:03/09/20 07:57
俺の場合、昨日から急に来始め 昨夜から勢いが加速しています、。
6時間の間に53通のSwen入りメールが来ていました
添付ファイル名ですが "Patch""update”"upgrade""installer""Q5桁数字"という名前が入っているものが
多いようですが、ランダムな物も多いようです。
その53通の添付ファイル名  ほとんど重複がありません。

Patch.exe fghd.exe Q74213.exe algckavp.pif ansp.com
gkdov.com upgrade1943.exe ekmdywca.exe upgrade.exe
fvsrw.exe install638.exe afplpwn.exe upgrede81.exe
hdlcf.exe Pack66.exe update7889.exe hwddcswk.exe
actpv.exe Installer21.exe anbju.com installer31.exe
gngvsr.exe PATCH13.exe eisdrava.exe installer499.exe
faqghqi.exe q782672.exe grko.exe Installer.exe (2)
QZH.exe hekdwdh.exe dvmzhn.exe Upgrade28.exe
eqysnrkn.exe PACK.exe diimey.exe dcodl.exe
q561437.exe gadbeq.exe azhnrk.exe q778891.exe
Q587328.exe fdrmezfk.exe ahmz.bat update6569.exe
dnmx.com INSTALLATION242.exe pack833.exe dqyymp.exe
Pack3141.exe dpuv.exe Install4.exe dlowya.exe

4 :名無しさん@お腹いっぱい。:03/09/20 08:15
From や subject も様々です

Microsoft(及び関連会社)からのセキュリティパッチ送付を騙るもの

SUBJECT: New Internet Critical Update
FROM: "MS Corporation Customer Bulletin"

SUBJECT: microsoft critical upgrade
TO: "Microsoft Corporation Customer

SUBJECT: Last Security Upgrade
FROM: "Technical Services" <vspjqzxedomno_rrlu@confidence.msdn.com>


エラーメール通知を騙るもの

SUBJECT: Undelivered Mail     FROM: "postmaster"
SUBJECT: message         FROM: "Admin"
SUBJECT: Error Message     FROM: "Net Mail Storage System"
SUBJECT: Error Report      FROM: "Delivery Service"

5 :名無しさん@お腹いっぱい。:03/09/20 08:19
バスタのメールチェックを切って一匹捕獲してみる

6 :名無しさん@お腹いっぱい。:03/09/20 08:23
有益なスレだからageとくね

7 :名無しさん@お腹いっぱい。:03/09/20 08:25
>5
うち、ノートン先生なんだけど 1/10くらいのチェック漏れがあるんだよなぁ
漏れているのは添付ファイルが壊れているのかもしれないけど
これ書いている間にも数通来ている・・

8 :5:03/09/20 08:28
捕獲しようとしたとたん来なくなった・・・

(´・ω・`)ショボーン

9 :名無しさん@お腹いっぱい。:03/09/20 08:44
洒落にならないくらいのペースで来ているので
ISPの迷惑メールのフィルタリング規則を変更して
100KBを超える
Advice Message Patch Update Upgrade 等がsubjectに
含まれるメールを破棄することにしました。
いまのところ効果がある様子

ノートンのチェック漏れは添付ファイルが壊れているやつでした
(ファイルサイズが0-1KBになっている)

10 :5:03/09/20 09:22
一匹捕獲しますた
フリーのAVGでも検知されまつ

11 :名無しさん@お腹いっぱい。:03/09/20 09:48
こいつ、題名にほとんど重複がないのがすごいな。
自動生成なのか、誰か中継者がいじってるのか…

12 :名無しさん@お腹いっぱい。:03/09/20 10:21
Gate Lock X200 が勝手に削除してくれました。
今朝だけで20通近くきているな。


13 :5:03/09/20 10:40
AVG Resident Shield : Virus
Virus identified I-Worm/Swen.A
is found in file
C:\stn-2\q397595.exe

フリーのAVGだとこんな感じ

14 :名無しさん@お腹いっぱい。:03/09/20 11:36
>11
添付ファイルもランダム/テンプレ+ランダムな数字だからね
一定の傾向はあるんだけど、全く同じものはほとんどない
これだけ大量にきていると間違って開いちゃう奴もでるだろうな

15 :名無しさん@お腹いっぱい。:03/09/20 12:07
しかしこれ、どこから出回って来てんだ??


16 :名無しさん@お腹いっぱい。:03/09/20 12:11
OpenJaneとか使ってるとデフォでsageちゃうわけだが、
せっかくの専用スレだから初心者の目につきやすいように
ちょっとageていきませう

夕べと今朝、ノートンがSWENに反応した知人が電話してきた。
延々説明してくたびれますた。こういうスレがあると助かります。






17 :名無しさん@お腹いっぱい。:03/09/20 12:14
       冫─'  ~  ̄´^-、
     /          丶
    /             ノ、
   /  /ヽ丿彡彡彡彡彡ヽヽ
   |  丿           ミ
   | 彡 ____  ____  ミ/
   ゝ_//|    |⌒|    |ヽゞ
   |tゝ  \__/_  \__/ | |    __________
   ヽノ    /\_/\   |ノ  /
    ゝ   /ヽ───‐ヽ /  / マイクロソフトがこんな親切なサービス
     /|ヽ   ヽ──'   / <  するわけねぇだろ!
    / |  \    ̄  /   \
   / ヽ    ‐-            ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

18 :名無しさん@お腹いっぱい。:03/09/20 12:28
シマンテックからフリーのSWEN駆除専用ツールがリリースされました
(これでSWENもメジャーなワームと確定w)

http://www.symantec.com/avcenter/FixSwen.exe

攻撃されてるヤシは事前にダウンして、フロッピーに
保存しておき、感染したら即、実行で(゚д゚)ウマー

19 :名無しさん@お腹いっぱい。:03/09/20 13:51
ひと晩で500通…
ヲレ、明後日から2週間出張でメール見られないのに…
1つ平均150KBもあるのに2週間もほったらかしたら、スプール溢れちまうよ〜

20 : :03/09/20 14:24
Return-Path: < csrainey@earthlink.net >
Received: from turkey.mail.pas.earthlink.net (207.217.120.126)
by mta18.mail.yahoo.co.jp with SMTP; 20 Sep 2003 ** (JST)
Received: from 1cust122.tnt23.nyc3.da.uu.net ([67.193.10.122] helo=euxybyty)
by turkey.mail.pas.earthlink.net with smtp (Exim 3.33 #1) id 1A0P1B-0004iC-00;
Fri, 19 Sep 2003 **
From: "MS Program Security Department" < wjngjkekb@newsletters.msdn.net >
To: "MS Corporation User" < iuzfxyxq_wkjeygdxk@newsletters.msdn.net >
Subject: Last Net Critical Upgrade
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="ixxrgntusgpiyguic"
Message-Id: < E1A0P1B-0004iC-00@turkey.mail.pas.earthlink.net >
Date: Fri, 19 Sep 2003 **
Content-Length: 157061

スキャン結果
ファイル名: Installer34.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

http://www.symantec.com/region/jp/sarcj/data/w/w32.swen.a@mm.html

21 :名無しさん@お腹いっぱい。:03/09/20 14:29
へっ、一通もきやしねえぜ!

22 :名無しさん@お腹いっぱい。:03/09/20 14:31
いつも来てる大量のSPAMメールが、なぜか今日から添付ファイル持ってて、Worm.Automat.AHB感染が20通位ありました。
いつものSPAMと思ったらコワ


23 :名無しさん@お腹いっぱい。:03/09/20 14:32
>19
俺の場合、夜の間は一時間で10通くらいだったけど、朝になって
倍増したので、迷惑メールのフィルタリングオプション(無料)を利用して
サイズ100KB以上で、Patch ,Update,Upgrade,Security,などのKeywordを
subjectに持つものを全破棄することにした。
これは結構利いたみたい。

24 :名無しさん@お腹いっぱい。:03/09/20 14:34
ちなみに発信先は一々解析してないんだけど
全部海外だね SPAM業者関係からかな

25 :名無しさん@お腹いっぱい。:03/09/20 14:40
今届いたやつで重複除くとこんな感じ
USが多いか、珍しいことにNLもあるみたい

168.9.42.20
204.127.198.39
204.127.198.35
68.168.78.196
68.168.78.187
212.216.176.222
209.210.251.49
205.152.59.69

26 :名無しさん@お腹いっぱい。:03/09/20 15:09
漏れの@yahoo.comのアカウントにはnlのSPAMはかなりくるよ。

27 :名無しさん@お腹いっぱい。:03/09/20 19:39
IE6.0にアップデートしてる場合、添付ファイルを実行したりしないかぎり
メール攻撃ではやられないって考えていいでつか?



28 :名無しさん@お腹いっぱい。:03/09/20 19:46
       冫─'  ~  ̄´^-、
     /          丶
    /             ノ、
   /  /ヽ丿彡彡彡彡彡ヽヽ
   |  丿           ミ
   | 彡 ____  ____  ミ/
   ゝ_//|    |⌒|    |ヽゞ
   |tゝ  \__/_  \__/ | |    __________
   ヽノ    /\_/\   |ノ  /
    ゝ   /ヽ───‐ヽ /  / マイクロソフトがそんな完璧なIE
     /|ヽ   ヽ──'   / <  提供するわけねぇだろ!
    / |  \    ̄  /   \
   / ヽ    ‐-            ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

29 :名無しさん@お腹いっぱい。:03/09/20 19:57
>27
MS01-020の対策が出来ていれば基本的にそうなんだろうけど
これだけ大量に来ていると、ついうっかり実行してしまいそうだよ
アンチウイルスは備えていたほうがいいと思うな


30 :名無しさん@お腹いっぱい。:03/09/20 20:04
メール、チャット、ニュースグループ、共有で攻めてくるからな。誰かもカキコして
たが、こいつホントに性格悪いぞ。

週明けには会社でひどいことになってそー。((((((;゚Д゚))))))ガクガクブルブル

31 :名無しさん@お腹いっぱい。:03/09/20 20:06
       冫─'  ~  ̄´^-、
     /          丶
    /             ノ、
   /  /ヽ丿彡彡彡彡彡ヽヽ
   |  丿           ミ
   | 彡 ____  ____  ミ/
   ゝ_//|    |⌒|    |ヽゞ
   |tゝ  \__/_  \__/ | |   
   ヽノ    /\_/\   |ノ  __________
    ゝ   /ヽ───‐ヽ /  / 
     /|ヽ   ヽ──'   / <  月曜は会社休むからな!
    / |  \    ̄  /   \
   / ヽ    ‐-            ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄

32 :名無しさん@お腹いっぱい。:03/09/20 20:16
漏れの所に昨日と今日の午前中の合計で250通位来てる。添付ファイル名
>>3のと同じのとUpgrede63.exe等といったファイル名も確認できた。
今日はnewsgroupに投稿されたメッセージにウィルス添付されているもの
を発見。(fj.freemarcket.comp)Mozillaのフィルタリングでデリるよう
にしているが、大学のPCのMozillaのバージョンが1Fと2Fとで違うので
上手く機能しないので結局手動あぼーんw

33 :名無しさん@お腹いっぱい。:03/09/20 22:50
今日一日で13MByteきました( ´・ω・)
Received見ると世界中からやってきてるんだけど
なんで俺のメアドがわかるんだろ

34 :名無しさん@お腹いっぱい。:03/09/20 23:02
全然来ないよ。つまんない

35 :名無しさん@お腹いっぱい。:03/09/20 23:16
個人差が激しいですね。
このメールの来る人の職業って関係あるのでしょうか?

36 :名無しさん@お腹いっぱい。:03/09/20 23:23
>>35
自分のメールアドレスを出した過去の違いによって、アドレスを握られているSPAM業者が違うせいかな

37 :名無しさん@お腹いっぱい。:03/09/20 23:26
M$のニュースグループに投稿したとたんに来た、、、
あそこからメールアドレス抜かれてるのかなぁ?

38 :名無しさん@お腹いっぱい。:03/09/21 00:56
ネットニュースで馬鹿正直に正しいアドレスを書いた人が
みんな地獄に落ちているようですね。

39 :名無しさん@お腹いっぱい。:03/09/21 00:57
>>37
感染すると、あちこちのニュースサーバにアクセスしてメールアドレスを
取得するそうですよ。

40 :名無しさん@お腹いっぱい。:03/09/21 01:04
俺の場合、今のメールアドレスでは2年位前までは、全くSPAMなんて来なかった。
海外のネットゲームでメールアドレス登録したのをきっかけに、海外からSPAMが来る様になった。
アドレス売られたんですね・・・。
で、まわりまわって感染しているSPAM業者の手にも渡っている模様でつ


41 :名無しさん@お腹いっぱい。:03/09/21 01:09
わたしのメールアドレスは、ヘボなチェッカーに「あり得ないメールアドレス」
と認識されるモノだったので長いこと無事だったのですが、今年に入ってから、
ちゃんとしたチェッカーに捕捉されるようになってしまった(哀)

42 :名無しさん@お腹いっぱい。:03/09/21 01:49
アカウント取得して数年経ちますが、知人から一切メールが届かないのですが、
何らかのウィルスの影響でしょうか?

※SPAMは来ます。

43 :名無しさん@お腹いっぱい。:03/09/21 01:50
俺もそうだよ。
携帯にしかメール来ないよ。

44 :名無しさん@お腹いっぱい。:03/09/21 02:08
>>42,43
ただ友人少ないだけじゃ・・・

45 :名無しさん@お腹いっぱい。:03/09/21 02:12
>>44
  _, ._
( ゚ Д゚) ウルセ!!

46 :43:03/09/21 02:14
>>44

俺は携帯に来るんだから、ほっとけ!
パソコンのメールなんかいつ見るかわからないのに、連絡用には使わないしょ・・・

47 :名無しさん@お腹いっぱい。:03/09/21 02:22
>>40
別に売られなくても…以前から掲示板、ニュースグループ、ネトゲなんかを
スパム屋のメアド収集ロボットが這いずりまわってる。頭痛のタネ。

48 :名無しさん@お腹いっぱい。:03/09/21 02:37
うちは全てbigfootの転送メール経由だよ

49 :名無しさん@お腹いっぱい。:03/09/21 03:05
>>48
それイイの?

50 :名無しさん@お腹いっぱい。:03/09/21 06:26
>>49
いらなくなったら,そのメアド廃棄できるってだけだろ?
使用中SPAM来るのに変わりなし。

SPMA防止なら,From詐称でもしとけ!

51 :名無しさん@お腹いっぱい。:03/09/21 07:49
>>50
>SPMA防止なら,From詐称でもしとけ!
SPMAってなに?


52 :名無しさん@お腹いっぱい。:03/09/21 08:12
スペルマ

53 : :03/09/21 11:04
Return-Path: < skmoser@charter.net >
Received: from remt30.cluster1.charter.net (209.225.8.40)
by **
Received: from [68.115.130.130] (HELO vobvqgcf)
by remt30.cluster1.charter.net (CommuniGate Pro SMTP 4.0.6)
with SMTP id **
From: "MS Customer Bulletin" < yjkqkwlndugropn@bulletin.com >
To: "Customer" < customer-yegzvozqi@bulletin.com >
Subject: Microsoft Patch
Date: **
Message-ID: < auto-000034046513@remt30.cluster1.charter.net >

スキャン結果
ファイル名: installation.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

54 : :03/09/21 11:05
Return-Path: < miguel.stevens@skynet.be >
Received: from nebula.skynet.be (195.238.2.112)
by **
Received: from xjsgfoec (152.21-201-80.adsl.skynet.be [80.201.21.152])
by nebula.skynet.be (8.12.9/8.12.9/Skynet-OUT-2.21) with SMTP id **
(envelope-from < miguel.stevens@skynet.be >)
Date: **
Message-Id: < 200309201303.h8KD3gwo010717@nebula.skynet.be >
From: "Program Security Department" < exqetggeyhnz@updates.net >
To: "Customer" < bdmgpon-cliiatw@updates.net >
Subject: New Net Upgrade

スキャン結果
ファイル名: Installer4.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

55 :名無しさん@お腹いっぱい。:03/09/21 11:06
一通もこねー

56 : :03/09/21 11:06
Return-Path: < willy-marie-rose@skynet.be >
Received: from kira.skynet.be (195.238.2.125)
by **
Received: from uheoor (92.244-136-217.adsl.skynet.be [217.136.244.92])
by kira.skynet.be (8.12.9/8.12.9/Skynet-OUT-2.21) with SMTP id **;
** (envelope-from < willy-marie-rose@skynet.be >)
Date: **
Message-Id: < 200309201523.h8KFNREl013185@kira.skynet.be >
From: MS Corporation Technical Bulletin@
To: "Consumer" < rjfaftm.ebegrcx@confidence.microsoft.com >
Subject: microsoft critical patch

スキャン結果
ファイル名: installer76.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

57 :名無しさん@お腹いっぱい。:03/09/21 11:11
どうやったら犯人に損害賠償させられるんでしょうか?

58 :名無しさん@お腹いっぱい。:03/09/21 11:22
エロイ人にしか届いていない様ですね。

59 :名無しさん@お腹いっぱい。:03/09/21 14:20
SWENまだ〜チンチン


60 :名無しさん@お腹いっぱい。:03/09/21 14:25
なんか、宛先が俺じゃない人あてのメールが届くんだけど
hotmail
これもSWENのせい?

61 :名無しさん@お腹いっぱい。:03/09/21 14:38
>>60
無害spamじゃないの。今時宛先隠しを珍しがるなんて、初心なお人。

62 :名無しさん@お腹いっぱい。:03/09/21 15:03
SPMA→スップマ

63 :名無しさん@お腹いっぱい。:03/09/21 15:16
このメール今日の昼頃に大量に届いたけど
なぜか全部exeファイルの代わりにtxtファイルが添付されとった

64 :名無しさん@お腹いっぱい。:03/09/21 15:18
あまりメールアドレスをばら撒いていない所為か、
全然来ないな。
Sobig.Fのときも来なかったし。

65 :名無しさん@お腹いっぱい。:03/09/21 15:34
メルアドさらしてるので、spamはいつもどおりの量だが、こいつはこないね。
今回は、メルサバのウイルスパターンファイル更新が間に合ったよう。
Sobig.Fは当初更新が間に合わなくて、きたけどね。

今回もお間抜けはやはり圧倒的に美国人だね。
ダイアルアップユーザが多いらしいから、
パッチ当ててない香具師が多いんだろうかね。

それとも美国人=田舎者は、やたら添付クリックしちゃうのか。

66 :名無しさん@お腹いっぱい。:03/09/21 15:41
>>61
そうなんだ
hotmailとかあんまり使ったことなかったから知らなかったよ
俺宛てじゃないのに、俺に届くのが不思議な感じした
ありがとう

67 :名無しさん@お腹いっぱい。:03/09/21 15:42
>>61
ていうか、無害スパムで宛先詐称する意味ってなんだろう
送信者の身元詐称ならともかく、宛先メアド詐称する必要ないような

68 :名無しさん@お腹いっぱい。:03/09/21 16:09
初心者質問スレッドから誘導していただきました。

SWENだと思うのですが本文に

<IMG SRC="cid:zwsmvqd" BORDER="0">

というタグがあってこのメール自体に添付されているGIF画像を表示するように
なっています。

mail.yahoo.comでこのメールを表示してしまいました。ブラウザはNetscape7.1です。
このようにメール自体に添付されたGIF画像を表示しただけで感染してしまうことは
有り得るのでしょうか。

ちなみにmail.yahoo.comではHTMLメールの中の画像をデフォルトで表示しない
という設定があり、それを設定しているのですが、この cid: を使ったものは
素通しのようです。


69 :名無しさん@お腹いっぱい。:03/09/21 16:30
ネットニュース投稿時に使ったアドレスにも来るらしいね、これ。

70 :名無しさん@お腹いっぱい。:03/09/21 16:34
>>69
らしいね。来てないけど

71 :名無しさん@お腹いっぱい。:03/09/21 16:48
>>68
ローカルHDDに次のファイルがあるかどうか検索
GERMS0.DBV
GERMS1D.DBV
SWEN1.DAT
ひとつでもあれば感染確定。検索しても出てこないがやはり不安
な場合↓シマンテックの駆除ツールダウンして実行
http://www.symantec.com/region/jp/sarcj/data/w/w32.swen.a@mm.removal.tool.html

さらにオンラインスキャンも実行しておくとよい

72 :名無しさん@お腹いっぱい。:03/09/21 16:53
>>69
そです。HDDに存在するファイルの中身をみるらしいですから。
漏れはフリーソフトを公開しているのですがそのメールアドレスにばんばん来てます。

73 :名無しさん@お腹いっぱい。:03/09/21 17:10
>>66
BCC使ってるだけでしょう

74 :名無しさん@お腹いっぱい。:03/09/21 17:22
>>73
いちいち個別に宛先設定するよりBCCにずらずら書いた
方がスパム屋は手間が省ける…のかな? どうせスクリプト
で名簿から自動作成してるんだろうけど。


75 :名無しさん@お腹いっぱい。:03/09/21 17:24
>>73
>>66 はBccを知らないと思われ。
説明めんどいのでグルしてね。
ってこれも意味わからんかな。
ネットで適当に「Bcc」で検索してくれってこと。

76 :名無しさん@お腹いっぱい。:03/09/21 17:36
説明めんどいのでグルしてね。
説明めんどいのでグルしてね。
説明めんどいのでグルしてね。
説明めんどいのでグルしてね。
説明めんどいのでグルしてね。
説明めんどいのでグルしてね。


77 :名無しさん@お腹いっぱい。:03/09/21 17:44
ああ!心がグルしい!

78 :66:03/09/21 18:10
>>73-75
BCCは知ってるけど使ったことはないです
他の受信者のメアドは表示されないんですよね?
つまり、自分が受信者だったら、自分のメアドが表示されるんじゃないんですか
そのメアドが俺のじゃないんですけど

俺のメアドが
xxxx@hotmail.comだったら
yyyy@hotmail.com宛のメールが届くんだけど。
BCCってそんな機能なんでつか
メールのアカウントが違う人のが届くんだよ

79 :名無しさん@お腹いっぱい。:03/09/21 18:46
説明めんどいのでグルしてね。

80 :66:03/09/21 18:47
>>79
したよグル

81 :名無しさん@お腹いっぱい。:03/09/21 18:55
>>78
まんどいから説明しないが、インターネットメールとはそういうものだ。
理由が知りたかったら、自分でグルしてね。

82 :名無しさん@お腹いっぱい。:03/09/21 18:58
グルってもっとタッハーw

83 :名無しさん@お腹いっぱい。:03/09/21 18:59
>>81
すいません、まんどい饅頭下さい。

84 :名無しさん@お腹いっぱい。:03/09/21 19:09
ヤフオクの出品物の説明にメールを送る際はウィルス感染してないか
確認汁と追加してきた。緊急用Htomailまで汚染されたら最悪。

85 :名無しさん@お腹いっぱい。:03/09/21 19:10

    ■■■■■■■
  ■■■■■■■■■
 ■■■■√ === │
■■■■√ 彡    ミ │
■■■√   ━    ━ \
■■■  ∵   (●  ●) ∴│  / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄
■■■    丿■■■(  │< 説明めんどいのでグルしてね。
■■■     ■ 3 ■  │  | ってこれも意味わからんかな。
■■■■   ■■ ■■ ■   \_____________
■■■■■■■■■■■■
■■■■■■■■■■■■
  ■■■■■■■■■■
    ■■■■■■■■

86 :名無しさん@お腹いっぱい。:03/09/21 20:45
さかさに読むとnewsなのか……

87 :げあ:03/09/21 20:58
http://jbbs.shitaraba.com/computer/8727/
史上最大よ!!!
100%来なさい!!!!


88 : :03/09/21 23:24
Return-Path: < lc004z@earthlink.com >
Received: from 61-22-119-196.home.ne.jp (61.22.119.196)
by --
Received: from [202.78.101.19] by 61-22-119-196.home.ne.jp
--
Message-ID: <----->
From: "Rodolfo Boston" < lc004z@earthlink.com >
Reply-to: "Rodolfo Boston" < lc004z@earthlink.com >
To: -------
Date: --


http://www.ordb.org/lookup/?host=61-22-119-196.home.ne.jp

89 :ああ:03/09/22 00:13
既に1000個超えたSwenメール。
夜中〜朝方の6時間で270通溜まって(契約では10MBなんだが、18MB超えが
スプールされてた。)OEで落とし中にエラー。w
その後ネゴシエーションで通らず受信不可能に。ISP休日だし連絡不可能。
もう来ないわな。ははは。イッパイだ。落とせないし、鬱。
Tikitiki! お前んとこだ! な お し て く だ さ い
5分でTikitiki本社まで行けるんですが・・

ちなみにSwenは逆読みでNewsですね。NNTPマンセ〜〜。(かぶった


90 :名無しさん@お腹いっぱい。:03/09/22 00:16
>>89
落とさずにサーバから直接削除しろよ。

91 :名無しさん@お腹いっぱい。:03/09/22 01:14
そっか、過去にネットニュース投稿に使ったアドレスだからか…
こんなに大量に届くのは…

>>89
> ちなみにSwenは逆読みでNewsですね。

それは気付かなんだ。屁ぇ〜屁ぇ〜屁ぇ〜屁ぇ〜屁ぇ〜

92 :名無しさん@お腹いっぱい。:03/09/22 03:00
>>91
nachi → chinaとかな。ハッカーのセンスなんかオヤジ
ギャグ以下と決まってる

そいういや、fjとかNews Groupは必ずメアドを晒す規則になって
たな。漏れはそれがキライでfjにカキコしたことがない。RFCも
アフォな規則作ったもんだw

当分ニュースグループに投稿するのはよした方が吉

93 :名無しさん@お腹いっぱい。:03/09/22 03:02
本文無しで、エラーメールっぽいsubjectで
Content-type: audio/x-midiの104kの****.exeの
添付ファイルを送りつけてくるのもSwenですか?
マイクロソフト装ったメールと同じ位上記のメールも
来てぐったりです。ちなみにwindowsは使ってないので
ウイルス感染は心配ないのですが、メールサーバの
トラフィックが心配です。

94 :名無しさん@お腹いっぱい。:03/09/22 07:58
>93
subjectなしのもありますね
まず間違いないと思います
うちはメール鯖のフィルタリング規則で弾いているんですが
subjectなしだとお手上げ
あと、添付ファイルのエンコード失敗した奴が結構届いています
感染性ないけど、ウイルスチェックも、フィルタリングもスルーするので
目障りではある

95 :ああ:03/09/22 08:11
>>89
FTPで自分のhomeに繋いでもありません。
telnetは繋がりません。どうすりゃいいの?

96 :名無しさん@お腹いっぱい。:03/09/22 08:21
>>95
ユーザーがtelnetで入れるシェルをISPが用意してない。
ISPに通報するしかない。

97 :ああ:03/09/22 08:32
書き方が悪かった。すまん。
telnetで110へ繋いでもUserは通るがパスワードで蹴られるんだよ。
満タンになるとこうなるのか・?
メールクライアントからの挙動とおんなじ。
ウイルスなんぞの銘々は誰が何処で何の権原でやっとんの?
最初に見つけた奴が決められるっての?RFC?

98 :名無しさん@お腹いっぱい。:03/09/22 09:02
>>97
ウィールスの命名はアンチウィールスメーカーがそれぞれ
独自の方式でやってる。シマンテックの場合は↓
http://www.symantec.com/region/jp/sarcj/vnameinfo.html

99 :名無しさん@お腹いっぱい。:03/09/22 09:39
ヘッダ情報にあった真のメアドらしきものでぐぐったら、
あちこちの掲示板でSOHOの宣伝カキコしているバカ女のアドだった……。

うんざり。

100 :名無しさん@お腹いっぱい。:03/09/22 10:40
( ゚д゚)ポカーン


101 :ああ:03/09/22 10:51
電話通じました。3時間ほどかかります。消しておきます。(w
SWEN@の事、知らなかったです・・Tikitiki・しっかりして下さいと切に願うばかり。


102 :名無しさん@お腹いっぱい。:03/09/22 11:23
SWENの間げきをぬって西村真吾の時事通信が届きました
ウイルス以外のメールが届いたのは2日ぶりでつ

(´・ω・`)ショボーン

103 :名無しさん@お腹いっぱい。:03/09/22 14:04
sobigのときと同様、メール流量が激減しているような気がする
かなりのトラフィックが発生しているんだろうな

104 :名無しさん@お腹いっぱい。:03/09/22 15:14
これ、メーラのフィルタリング機能ではじいてやりたいんだが、いまいちどれをキーにしていいかわからん。

105 :名無しさん@お腹いっぱい。:03/09/22 15:38
>>104
Content-Type: multipart

で弾くといいよ!!(w

106 :名無しさん@お腹いっぱい。:03/09/22 16:14
>>105
それだと正常な添付ファイル付きメールまではじいちゃうからなあ。
それではかえって困るんだよ。

107 :名無しさん@お腹いっぱい。:03/09/22 16:49
俺はsubjectとファイルサイズで弾いている

108 :名無しさん@お腹いっぱい。:03/09/22 17:32
>>103
今のインターネットのRFCがパソヲタ大学院生のノリでセキュリティ
の観点ほぼゼロで書かれてるという欠陥がモロに露呈してきてる罠。

今後のメールはウィルス/ワームチェックするサーバーからのもの
以外拒否、という方向になってくだろうな。ニュースグループのメアド
も今のように素っ裸で公開というのはマズイ。メアドデータベース鯖
みたいのが集中管理して、ワームがクロールできないようなメカを
考える必要がある。


109 :名無しさん@お腹いっぱい。:03/09/22 18:56
>>108
うっふゃあ〜〜。

事件は現場でおきてるんだよ。
そんなあラジカルなご高説たれてたって、現状はかわらないだろ。


あんたの言うことにも色々問題点はあるけど、
説明がめんどいのでグルしてね

110 :名無しさん@お腹いっぱい。:03/09/22 20:52
やけに沢山来てると思ったが、俺だけじゃなかったのか。
9/17にMS(本物)からセキュリティのお知らせメールが来たがタイミングが悪すぎたな。
↓こんなの。
件名:Microsoft からセキュリティに関する大切なお知らせ - Protect your PC -
 このメールはマイクロソフト株式会社より弊社製品をご登録いただいているお客様
にお届けしております。
当ご連絡はお使いのパソコンのセキュリティに関する重要なお知らせのため、弊社
案内を希望されていないお客様にもお届けしております。

111 :名無しさん@お腹いっぱい。:03/09/22 20:59
昔、英語のWebサイトを見てたらメールアドレスを
aaaaa at 2ch dot net
のようにしていた。ウィルスがうざいので投稿する時はメアドを変えておこう。
これが解釈出来ない厨からメールが来る事もないしな。

112 :名無しさん@お腹いっぱい。:03/09/22 22:03
>>108
「とりあえず動くやつ作った」が20年以上たった今もそのまま使われている
点がいちばん異常。

計算機科学者連が、「セキュリティが向上したシステムに移行しなければ」と
叫ぶと、「空気読めよ!!」「訴えるぞ!!」とビジネス方面から罵声を浴びるこの
現状。

113 :名無しさん@お腹いっぱい。:03/09/23 01:22
>>112
へ?ビジネス方面はセキュリティ向上むちゃくちゃ望んでますが。

114 :名無しさん@お腹いっぱい。:03/09/23 01:56
>>113
>>112のビジネス方面てのはソフトメーカー含めた現行の
システムでメシ食ってる連中のことだろ。

ユーザーは個人も企業ももちろんセキュリティ向上むちゃ
くちゃ望んでる。てか、これだけたてつづけに叩かれると
ビジネスでメールを使いづらくなってきた。送っても相手の
メールボックスがパンクしてたり、受信拒否されたり、読まず
に削除されたりで不達が続出。特にアメリカの企業は予想
以上の混乱だ。んでもってうちでは各部署でファックスが
そうとう復活してる。

115 :名無しさん@お腹いっぱい。:03/09/23 02:20
うちも今日の休みでスプールパンクするんじゃないかと。
緊急重要な連絡は以前よりファックスを利用している。
またデジタル情報はCDRにして郵便。急ぐならバイク便。
近くは持参。部内はファイルサーバですましている。

メールはあくまで軽連絡と再利用電子情報の伝達用だ。
パンク不達は織り込み済みで仕事せなな。いまどき常識。

116 :名無しさん@お腹いっぱい。:03/09/23 03:13
かたつむり君大活躍

117 :名無しさん@お腹いっぱい。:03/09/23 03:37
>>116
使用具合はどうですか?
どの程度の傷までなら修復可能ですか?
うちでも買ってもらおうかな。
こういうご時世だから、必需品かもね。

(スレ違いですまんですたい)

118 :116:03/09/23 03:58
>>117
ケースに入れて管理してあるCDに付いた小さな傷は問題なし。
それと裸のCD同士がこすれ合わさったときにできた傷も直ったよ。
さすがにカッターで切り目をつけたCDは無理だった。

ってsnail mailの話題のつもりで>>116を書いたのだが、まあいいか。

119 :114:03/09/23 04:08
>>115
近場はそれでいいが、うちとこは○○系だからアメリカと
やりとりせなならんのよ。○○○アルの校正数百ページ、
これどうしてくれますか。Mr.Snailはいくら飛行機に
載せても足が遅い。そいで来月はFEDEXの払いで経理は
卒倒確実。

だから前からftp使おうっつってたのに…

>>116 え、ところで傷を修復するかたつむり君ってナニ?





120 :117:03/09/23 04:18
>>118
感謝です。十分使えそうです。あした用度に注文させよう。

あ”、そっちの方でしたか。
Sobig.F猛攻の頃、速達書留郵便のほうがメールより速かったです。

電報はなんていうのかな? (ぐるしてみます。(笑))

121 :名無しさん@お腹いっぱい。:03/09/23 04:26
>>119
CDを研磨できる装置ですよ。
説明めんどいのでグルしてね

122 :名無しさん@お腹いっぱい。:03/09/23 04:27
>>119
うちはFTPポート塞いでるので、WebDAVサービス利用してます。
まだちと料金が高いのが難点ですが、
パスワードを相手ごとに設定できたりとか色々ありますね。

123 :名無しさん@お腹いっぱい。:03/09/23 04:49
>>121 スキップドクターのことか。カタツムリ君ねw
>>122 おお、それもあるなー。 tんx


124 :名無しさん@お腹いっぱい。:03/09/23 06:48
a

125 :名無しさん@お腹いっぱい。:03/09/23 07:05
SpamAssassin で捨てようと試みたがうまくいかん。
ベイジアンに食わせるだけじゃダメか。
パターンが色々ありすぎる...。

126 :名無しさん@お腹いっぱい。:03/09/23 08:24
>>107
俺B2だから、ヘッダや本文の内容をキーにフィルタリングはできるけど容量でのフィルタリングができないからなあ。

127 :名無しさん@お腹いっぱい。:03/09/23 09:43
>126
うちはdtiの無料オプションサービスの迷惑メール対応オプションで
弾いているよ。有料のウイルスチェックにしようかと思ったけど
「削除しますた通知」が大量にきても困るし

とりあえずkeywordを18種類 
Upgrade  Update  Patch  Advice
Message  Security  Critical  Pack
Returned  Undelivered  Error  Failure
warning  newest  report  unknown
Announcement Notice
かつ、ファイルサイズは100KB以上で削除と設定

subjectなしと破損添付ファイル以外は来なくなったので
有効だったようだ

128 :名無しさん@お腹いっぱい。:03/09/23 10:52
まだうちとこは来てないが知人に被害続出だからメール
ボックスにフィルタの用意だけはしとこうと思うんですが。

>>127さんのキーワードの他に、
(FROM)"MS Corporation Customer", "Technical Services"
"MS Program Security Department"
(TO)"Microsoft Corporation Customer"
"MS Corporation User"
なんてのがガイシュツしてましたね。あと何かフィルタの条件
によい文字列きぼん m( . . )m



129 :名無しさん@お腹いっぱい。:03/09/23 15:55
>>128
MSNとかMicrosoftにしたら?

130 :名無しさん@お腹いっぱい。:03/09/23 17:19
Undeliveredとかは自分がメール出して、それが不達だった時の
通知メールに気付かないで困る事もあるので慎重にした方が良いと思うが。

メールのフィルタも難しいなぁ。

131 : :03/09/23 18:36
Received: from mail8.speakeasy.net (EHLO mail.speakeasy.net) (216.254.0.208)
by **
Received: (qmail ** invoked from network); **
Received: from unknown (HELO uaaujg) ([64.81.36.202])
(envelope-sender < richard_yamin@speakeasy.net >)
by mail8.speakeasy.net (qmail-ldap-1.03) with SMTP for < info@bijitec.com >; **
From: MS Corporation Internet Security Division@ 何故か@の後が無い。
To: " " < lnfpb@advisor_msn.net >
Subject: Current Network Security Patch
Mime-Version: 1.0 Content-Type: multipart/mixed; boundary="sehnxxphxnzjxuwiz"


スキャン結果
ファイル名: upgrade.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

132 : :03/09/23 18:37
Return-Path: < jrj1@wizard.com >
Received: from gang.viawest.net (64.78.224.77) by **
Received: from glxael (dyn52.nas2.pah.viawest.net [209.170.210.52])
by gang.viawest.net (8.12.9/8.12.9/viawest-1.0) with SMTP id **; **
Date: **
Message-Id: < 200309212339.h8LNd8BZ023926@gang.viawest.net >
From: "MS Corporation Internet Security Center" < vynsophsjnzesko@advisor.com >
To: "MS Consumer" < consumer_obuuei@advisor.com >
Subject:
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="fkujxsgfphrfrupnl"


スキャン結果
ファイル名: Q131537.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

133 :名無しさん@お腹いっぱい。:03/09/23 20:04
>>129
フィルタ文字列はべつに一語でなくていいんでない?
"MS Corporation Customer"とかにしとけば?

つーか漏れはそうしてるが。


134 :名無しさん@お腹いっぱい。:03/09/23 20:08
加藤○いの温泉ビデオがあります。
期間限定いつまで見れるかわからない。
お早めにチェックを。
無料でみれるよ。
http://38.114.137.83/index.html


135 :名無しさん@お腹いっぱい。:03/09/23 20:11
>>134
有名なウィールス入り温泉という罠

136 :名無しさん@お腹いっぱい。:03/09/23 21:54
>130
うちの場合はファイルサイズ100KB越えのメールを送らないので
問題ないです

137 :68:03/09/23 22:18
>>71
どうもありがとうございました。それらのファイルも存在せず。
プロバイダ(OCN)提供のオンラインスキャンでも何も検出されませんでした。

今回は大丈夫でしたが、GIFのレンダラーのセキュリティホールとかあったら
やっぱりやばいですね

138 :名無しさん@お腹いっぱい。:03/09/24 00:00
落ち着いた。
19日の0:54からはじまって、最後が23日の10:10まで400通でした。ふぅ。

139 :名無しさん@お腹いっぱい。:03/09/24 01:25
>>137
Windowsのアップデートは全て実行
ファイアウォール+アンチウィールスをしかるべく設定。
アンチウィールスのウィールス定義アップデートは
(手動の場合)毎日チェック
メールのウィールスチェックサービスに加入
他人のメディア(FDD、CDなど)はアンチウィールスでスキャン。
万一に備えて起動ディスクを作成
重要ファイルはCDなどにバックアップ作成
セキュ板、シマンテック、トレンドのサイトを定期的に覗く

なにごとにも絶対はないが、とりあえずこのぐらいやってあれば
たいてい大丈夫だろうw

140 :名無しさん@お腹いっぱい。:03/09/24 06:19
>>139
CDにウィルスが載るんですか、、、

( ´,_ゝ`)


141 :名無しさん@お腹いっぱい。:03/09/24 06:36
>>140
ライティングソフトがウィルス感染ファイルを除去する機能を有しているなら大丈夫 (プ
メーカー配布のCD-ROM媒体がウィルスに感染してたなんて笑えない過去もあるしな。

世間知らずは恥かくぜw

142 :名無しさん@お腹いっぱい。:03/09/24 07:29
最近はあまりないけど、雑誌付録のCDがウイルス入りってのは
結構あったよね

143 :名無しさん@お腹いっぱい。:03/09/24 07:31
>138
うちも昨日から落ち着いた様子

144 :名無しさん@お腹いっぱい。:03/09/24 10:52
BackOrificeがウィルスに感染していたとか

145 :名無しさん@お腹いっぱい。:03/09/24 16:36
>>139
肝心なことが抜けている。
セキュ板、シマンテック、トレンドのサイトを定期的に覗く。
で、わからないことがあったらすぐにグルする。
これ最強。

146 :名無しさん@お腹いっぱい。:03/09/24 20:21
うわぁあぁあぁぁ、MSのニュースグループが危険だ。
2日ほど前からmicrosoft.public.jp.*全般にウィルスがばら撒かれてる。
平均10個ほどか。
最悪な事に、最近ActiveXの設定のせいでWindowsUpdateが、出来ないという
初心者が集中しているmicrosoft.public.jp.activexに投下されてしまった。

147 :名無しさん@お腹いっぱい。:03/09/24 20:29
それは楽しみですね。

148 :名無しさん@お腹いっぱい。:03/09/24 20:43
>>146
まあ落ち着け

149 :名無しさん@お腹いっぱい。:03/09/24 21:19
今日来たのはみんなdionから。

150 : :03/09/24 23:31
Received: from proxy.hosp.med.osaka-u.ac.jp (proxy.hosp.med.osaka-u.ac.jp [133.1.75.206])
by **
Received: by proxy.hosp.med.osaka-u.ac.jp (3.7W) **
Date: *******
Message-Id: < -@proxy.hosp.med.osaka-u.ac.jp >
Received: from tkad422.airnet.ne.jp ([210.159.86.166]) by gw.hosp.med.osaka-u.ac.jp; **
From: -----
To: -----




151 :名無しさん@お腹いっぱい。:03/09/25 01:44
海外のニュースグループに時々投稿してるせいか、全然静まらない……
もしかして、いつもバイアグラのDMを送りつけてくるような
SpammerのPCが感染してるんだろうか。

国内からのは少ないかな。今日は一つだけ。
----------
Received: from unknown (HELO smtp.okym.enjoy.ne.jp) (202.224.67.52)
by ******
Received: from bgqcp (hsm-a4-059.enjoy.ne.jp [210.141.62.59])
by smtp.okym.enjoy.ne.jp (8.11.7/8.11.7)
Date: *******
Message-Id: < -@smtp.okym.enjoy.ne.jp>
From: -----
To: -----


152 :名無しさん@お腹いっぱい。:03/09/25 08:21
Swenで添付ファイルとHTMLだけのメールの構造をB2のメールデータファイルからあらかた解析してみた。

(一例)

--ksldjpiac
Content-Type: text/html
Content-Transfer-Encoding: quoted-printable

<HTML>
<HEAD></HEAD>
<BODY>
<iframe src=3D"cid:tsxbmoefrxyor" height=3D0 width=3D0></iframe>
<BR><BR><BR>Undelivered message to <B>rvabiqyig@yahoo.com</B>
<BR><BR><BR>Message follows:<BR><BR><BR><BR>
</BODY></HTML>

--ksldjpiac
Content-Type: audio/x-wav; name="cayx.exe"
Content-Transfer-Encoding: base64
Content-Id: <tsxbmoefrxyor>
X-Becky-Include: 200309240113.****************@*********.com\cayx.exe.b64

「--ksldjpiac」はMIME形式の添付ファイル付きメールによく見られる区切り句で、
これはヘッダの「Content-Type:」で「multipart/alternative」形式の際につく「boundary」句の引数により異なる。
「X-Becky-Include:」はB2が内部で勝手につけるもので、深い意味はない。
重要なのは添付ファイル部分で「Content-Type:」が「audio/x-wav」なのにファイルの拡張子がexeな点。
これがSwenが送りつけるメールの最大の特徴ではなかろうか。



153 :名無しさん@お腹いっぱい。:03/09/25 08:23
この特徴でフィルタリングできるかどうか実験するので、後報を待て。

154 :名無しさん@お腹いっぱい。:03/09/25 09:21
けっきょく、この内容でフィルタリングできることがわかった。

<iframe( )*src=.*"cid:.*".*>

「ヘッダ」の部分に「[body] (本文(POP3のみ))」を設定し、「文字列」の部分に上記の内容を設定する。
このときに必ず「正規表現」にチェックを入れること。
また、フィルタリングマネージャのオプションとして
「text/plain 以外のテキストパートも"[body] (本文)"とみなす」にも必ずチェックを入れること。

HTML形式のウイルスメールのダイレクトアクション機能は大体フレームやレイヤによって機能することが多いから、
これをフィルタリングできればおおむね防げるだろう。

155 :名無しさん@お腹いっぱい。:03/09/25 10:09
メールヘッダの送信元のアドレス、日本のISPのちゃんとしたやつだったんだが、
漏れはその人知らないし、向こうも漏れのことなんか知らないだろう。
ではなぜそういうことになるのでつか?
その人は中継してるだけ?

AV宣伝メールの数十分後に当該メールが来たから、
その業者にメアド把握されてるのが原因かな?
それとも関係ない?

宣伝メールでさえ、ほとんど来たことなかったんだけど。

ちなみに、添付ファイルをデスクトップにコピーしようとしたら
ノートンが感知。ノートンの定義更新しておいてよかった(w


156 :名無しさん@お腹いっぱい。:03/09/25 11:32
教えてください。
このウィルスメールって「Return-Path」を騙ることは出来るのでしょうか?
「Return-Path」が知人だったもので本人に聞いてみたら
心当たりがないと言ってます

157 :名無しさん@お腹いっぱい。:03/09/25 11:46
いつもの事だろ

158 :名無しさん@お腹いっぱい。:03/09/25 11:54
「Received: from」から送信元を推測することはできる?

159 :156:03/09/25 11:58
「Received: from」と「Return-Path」が同じプロバイダなのです

160 :名無しさん@お腹いっぱい。:03/09/25 12:07
(知人に心当たりが無いのも)いつもの事だろ

161 :名無しさん@お腹いっぱい。:03/09/25 12:47
>156
最近のウィルスがReturn-Pathも含めて「騙る」のは
もはや当たり前になってるからねぇ。
送信元を追求するのはほとんど無意味。
来たウィルスは片っ端から削除、スルーするのが一番。

162 :156:03/09/25 13:05
今後のウィルスはヘッダーを当てにしないほうがいいのでしょうね。
みなさん、ありがとうございました。

163 :名無しさん@お腹いっぱい。:03/09/25 13:48
スルーするのが一番なのは確かだけど、昨日から嫁宛てに
SWENが殺到してサーバー側で溢れ実質メールが使い物になってない。

大半が特定の会社(嫁が個人的に繋がりのある業者)の
ホストを経由されているのでそこらへんから当たりを付けてみる予定

間違っても突然ゴルァはしませんが。

164 :名無しさん@お腹いっぱい。:03/09/25 14:34
>>156
定番の話題だが、Return, Fromは自由に詐称できるから
無視。幸い、現在流行中のウィールスはReceived from/by
の連鎖は詐称できない。上からReceivedを順に追っていって
サーバが連鎖しなくなったら、そこから下は詐称。連鎖の切れ
る直前がもっとも疑わしい送信者。対応は>>161が基本だが、
もし同じところから連日大量のウィールスメールが送られて
くるようなら、メールヘッダをコピーしてプロバに送って対応
してもらえ。詳しくは↓夜目
http://www.zdnet.co.jp/broadband/0302/27/lp23.html


165 :163:03/09/25 15:35
経由ホストから当たりをつけた業者でビンゴ。
入れ違いで謝罪が来てた。
メルマガ登録者3000人にバラ撒き続けてスマソ。との事。w

当社のPCはMacであり感染するはずは無いのだが、
メルマガ登録者に感染者が居り、侵入され、バラ撒かれた。と。

ぶっちゃけ、おまいが悪いつーの。w


166 :名無しさん@お腹いっぱい。:03/09/25 15:53
>>165
MAC厨にそーゆーのが多いんで困る。
無症状チフス菌保菌者みたいなもんだな。


167 :名無しさん@お腹いっぱい。:03/09/25 16:20
ありゃ、まだ収まってなかったのか!

168 :名無しさん@お腹いっぱい。:03/09/25 18:30
マカーには陸な奴がいないことの証明だな

169 :名無しさん@お腹いっぱい。:03/09/25 20:17
2日で5万円の「セキュリティ実践講座」を開いている会社から
SWEN.Aウィルスメールが大量発信中!!

ttp://www.navis.co.jp/ows/index.html

これでいいのか

170 :名無しさん@お腹いっぱい。:03/09/25 21:19
>>169
詐称されてんじゃなくてか?


171 :名無しさん@お腹いっぱい。:03/09/26 00:31
昨日今日あたり、いきなり来る通数が多くなったんだが。

172 :名無しさん@お腹いっぱい。:03/09/26 01:43
>>171
わたしのところは、1日に1通か2通という程度に収まった。

173 :125:03/09/26 03:45
bogofilter と組み合わせたら bogofilter で捨ててくれるようになった。
だが swen はなかなか来なくなった。

(´・ω・`)ショボーン

174 :名無しさん@お腹いっぱい。:03/09/26 06:08
>169
ヘッダ出して見ろ
さぁ、みんなで研究しよう!

175 :名無しさん@お腹いっぱい。:03/09/27 06:25
折れんとこはまだ来るなー。だから保守age

176 :名無しさん@お腹いっぱい。:03/09/27 11:08
メールでは来ないけど、ニュースグループからもっさり。
大元なんだからブロック出来そうなんだけど、無理なのかな〜。

177 :名無しさん@お腹いっぱい。:03/09/27 11:08
はは・・・あはは・・・
ISDNの俺にとっては、100KBのファイルも受信するのに時間かかるわけで・・・・・。
6通受け取ったらタイムアウトだよヽ(`Д´)ノ
未だに23日のメールが来ます。

178 :名無しさん@お腹いっぱい。:03/09/27 11:37
ほとんど来なくなりますた。

179 :名無しさん@お腹いっぱい。:03/09/27 11:40
>>177
タイムアウト??
6x100KBx8b/48kb/sec=100sec
3分で切断にしてるのか?

課金が気になるなら、そりゃあ、
マネーアウトだろ。ならここに書くのもつらいんだろ。

ISPサービスでウイルス除去してもらえ。
そのほうが結果節約になるぞ。

180 :名無しさん@お腹いっぱい。:03/09/27 11:54
>>176
MSのニュースグループというかMSのNNTPサーバーがウィルスだらけに
なってる。自動でフィルタリングできないみたいだね。

>>178
急にウィルスメールが来なくなった人はメールボックスが一杯になって
すべてのメールを受信できなくなっているだけじゃないの。

181 :名無しさん@お腹いっぱい。:03/09/27 12:32
>>177
サーバ上で削除すりゃいいだろ。

182 :177:03/09/27 15:15
>>181
さて、その方法すら分からないわけですが(´Д`;)
この板専門用語だらけでお手上げだよチクチョウ

183 :名無しさん@お腹いっぱい。:03/09/27 15:26
>>182
出来なきゃ、調べるとか探すとかだな…
http://www.forest.impress.co.jp/library/spammailkiller.html

184 :名無しさん@お腹いっぱい。:03/09/27 17:46
>>177
コマンドラインから、
>telnet [pop3サーバ名] pop3

>+OK InterMail POP3 proxy server ready.
が返ってきたら、
>user [ユーザ名]

>+OK please send PASS command
が返ってきたら、
>pass [パスワード]

>+OK [ユーザ名] is welcome here
> DELE, LIST, LAST, NOOP, RETR, RSET, STAT, TOP, UIDL or QUIT
が返ってきたら、

listとdeleを使って、要らない物を消す。
OK?

185 :名無しさん@お腹いっぱい。:03/09/27 19:23
>>184
あんな〜。telnet閉鎖してるとこもあんのよ。

お前の環境はサーバやの仕事だろ。消費者レベルではない。
薄っぺらなスキルをひけらかすな。あほ。

186 :名無しさん@お腹いっぱい。:03/09/27 19:31
telnet閉鎖って何?
telnet.exe禁止ってことですか?

187 :名無しさん@お腹いっぱい。:03/09/27 19:40
僕のtelnetも閉鎖されそうです

188 :名無しさん@お腹いっぱい。:03/09/27 19:45
>>186
telnetポートを塞いでいるってこと。
いまどき、平文のtelnetを外部から受け付けるサーバなんてな〜。
sshだろうよ。こいつも穴が見つかったな。修正版いれたか<サーバ管理者


189 :186:03/09/27 19:48
まさかと思ったが・・・。それが >>184 と何か関係あるんですか?

190 :名無しさん@お腹いっぱい。:03/09/27 19:58
pop3の事が解って無いのさ。

191 :名無しさん@お腹いっぱい。:03/09/27 20:42
>>188
思わぬところでとんだ恥をかいてしまいましたね。

192 :名無しさん@お腹いっぱい。:03/09/27 20:48
いまどき、僕の肛門も穴が見つかりました

193 :名無しさん@お腹いっぱい。:03/09/27 20:48
telnetなんてping,ftp並に基本的なコマンドなんだから、
スキルという程の事でも無いだろうに……。
ツールに頼りすぎて、初心を忘れちまったな。

194 :181,183:03/09/27 20:55
一般人にpop3しゃべれというのは無理があると思ったのでツールを紹介したが、思わぬ大物が釣れたな。

195 :178:03/09/27 21:04
>>>178
>急にウィルスメールが来なくなった人はメールボックスが一杯になって
>すべてのメールを受信できなくなっているだけじゃないの。

ちがいますよ!!

ただ、今日は30通くらい来てました。Return-PathやRecievedを見るかぎり、
全部dionの同じ人っぽいのだけど、これってどこまで信用できるのかしらん。

196 :名無しさん@お腹いっぱい。:03/09/27 22:08
>>182
方法がわからんなら使ってるメールソフトくらい書け

197 :177:03/09/27 23:50
>>196
使ってるのはoutlook。
183さんの提示してくれたツール落として使ってみようと努力したけども
説明書が説明らしい説明をしてくれません。

アカウント登録に「登録ナンバー・間隔倍率・POPサーバー・ユーザー名
パスワード・表示名・ポート番号・APOPを使用」を入力?

・・・なんのこっちゃ。

あれか。初心者にはお薦めできないツールか。

198 :名無しさん@お腹いっぱい。:03/09/27 23:57
>>197
セキュ板から消え失せろ

199 :名無しさん@お腹いっぱい。:03/09/28 00:23
>>197
ソフト板あたりで使い方聞くか、他の探してみれば。

200 :名無しさん@お腹すいた。:03/09/28 03:50
nPOP使えばpop3喋らなくても簡単にサーバから
不要なメール削除できるよ。


201 :名無しさん@お腹いっぱい。:03/09/28 04:31
削除するだけなら、コマンドラインでやる方が簡単だし早いけどな。
(ダウソや設定する手間を考えれば)
この際、使えないOupolookから乗換えろってならハゲドーだ。

202 :名無しさん@お腹いっぱい。:03/09/28 05:09
>>200 胴衣。ブラインドタッチできない香具師にはつらいかも。

>>nPOPもよい。ただし知人に勧めたらそこのプロバでは(?)
使えないようだった。

203 :202:03/09/28 05:41
アンカー番号間違ってたし>>200>>201
アンカー番号抜けてたし >>→>>200
逝ってくるわ このトシで徹夜はつらいのよねんw




204 :名無しさん@お腹いっぱい。:03/09/28 06:15
>>197
Outlook?
仕事で使ってるのか?

初心者っつーか少しは調べるなりしてみたらどーなのよ?
アカウント登録の単語はプロバイダのメールソフトの設定でも見なされ
人に聞いてばかりじゃいつまでたっても初心者。


205 :名無しさん@お腹いっぱい。:03/09/28 11:22
>>197 nPOPが難しいソフトのように誤解されちゃ困るからちょっと
言っとくが、nPOPはフリーソフトにしちゃヘルプも非常に親切だぞ。
ちゃんと読めばどんな初心者でもわかるはずなんだが…

つーか、そもそもメールのアカウントの設定やったことないのか?

「アカウントの設定」→POP3メールサーバ名はプロバのパンフに
当然載ってるが、Outlookでも何でも今使ってるメールソフトの
設定見れ。Outlook Expressの場合だと、
 ツール→アカウント→メールでアカウントを選択してダブルクリック
  →プロパティ窓
そこに全部出てる。

「基本設定」→ヘルプ見れば全部解説してあるが、基本的に既定の
ままでいい。ADSLならダイアルアップ接続をオフにしておくように。

「メインメニュー」→管理窓を閉じる→タスクトレイのアイコンを右クリック





206 :名無しさん@お腹いっぱい。:03/09/28 12:53
>>197 
氏ねよ

207 : :03/09/28 18:04
Return-Path: < y-yamakawa@msg.biglobe.ne.jp >
Received: from rcpt-expgw.biglobe.ne.jp (202.225.89.200)
by **
Received: from smtp-gw.biglobe.ne.jp by rcpt-expgw.biglobe.ne.jp (nkrw/1718140703)
with ESMTP id h8S8d2904333; **
Date: Sun, 28 Sep 2003 17:38:27 +0900
X-Biglobe-Sender: <y-yamakawa@msg.biglobe.ne.jp>
Received: from wlfwz (61.193.13.220 [61.193.13.220])
by smtp-gw.biglobe.ne.jp id RAXMC0A82794; **
From: "Microsoft Customer Assistance" < xqqgvlw-doqwms@lbvscom >
To: "MS Partner" < partner.umigarrta@lbvscom >
Subject: Network Pack
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="xyeujmpmibvmu"
Message-Id: < 20030928173831.RAXMC0A82794.6421CA41@msg.biglobe.ne.jp >

スキャン結果
ファイル名: pack7911.exe
ファイルタイプ: application/x-msdownload
スキャン結果: ウィルス W32.Swen.A@mm が検出されましたが、除去できませんでした。

208 :177:03/09/28 23:15
教えて君ウザいとは思いますが、一応報告。
教えてもらったツールの使い方と内容は理解しました。
で、アカウント登録しようと必要事項を入力してたら
受信メール鯖のパスワード分からないという奇跡が起きまして。
ま、お手上げです。

>>198
おっしゃるとおりでございます _| ̄|○

>>204
・・・高校生です。

>>205
ご指摘のとおり、アカウントの設定をした事が無いです。
親父様に全ての設定を任せてました。
1から10までの説明、ありがとうございます。

209 :177:03/09/28 23:33
スレ違い質問を一つ。

サーバーと通信しようとして、タイムアウトが発生しました。
アカウント : @
サーバー : @
プロトコル : POP3
エラー番号 : 0x800CCC19

受信タイムアウトが起こって中途半端にメッセージを受信した場合、
(10通中、5通しかメールを受け取れなかった等)
改めてメールの受信を開始する際には、また最初から受信し直してしまう
ものなのでしょうか。
もしそうだとしたら、たいした量のウィルスメールは
送られてないことになるようなのですが・・・。

210 :名無しさん@お腹いっぱい。:03/09/28 23:48
>>208
パスがわからん? アイターw 
ま、最初のうちはそんなもんだ…




211 :健作:03/09/29 00:02
0x800CCC19

212 :名無しさん@お腹いっぱい。:03/09/29 00:25
>>209
まぁ、まともなメーラーなら取得(RETR)完了後に削除(DELE)するから、
同じ物を落としている事になるだろうね。
何らかの方法(既にいくつも出ているが……)で、該当メールを削除してやるしかないよ。

213 :212:03/09/29 00:28
ちょっと訂正。
取得は一通ごとに行うから、取得が完了しているメールの再取得は行わないよ。

214 :名無しさん@お腹いっぱい。:03/09/29 01:50
>>209 あれこれ試したが、サーバー上のメールを管理するソフト
だと、やっぱりnPOPだろう。分かりやすくて>>205くらいの設定で
すぐ使えるし、軽いからフロッピーに入れて持ち歩くこともできる。

いちいちアフォな添付ファイル落とさないですむ。ヘッダーだけ見て
さくさく削除できる。NGワードも設定できるし、ウィールスうざい環境
でも快適に過ごせますです。

215 :名無しさん@お腹いっぱい。:03/09/29 02:02
nPOPは、「一覧から削除」はすぐ分かるけど、サーバからの削除が
「マークしたものを実行」になっているのが、ちょっと分かり難いかな。

216 :名無しさん@お腹いっぱい。:03/09/29 11:37
Becky!とか電信8号でもリストだけ取得して削除できるだろ
subject,From,ファイルサイズ見れば分かるから手動削除しる

217 :名無しさん@お腹いっぱい。:03/09/29 14:11
スパム対策ではSpam Mail Killer を使ってる。nPOPよりはちょっと重いが
はるかに機能豊富、ヘルプも親切で使いやすい。初心者にもおすすめ。
http://homepage1.nifty.com/eimei/ 

218 :名無しさん@お腹いっぱい。:03/09/30 12:57
これ今すごいね。

219 :名無しさん@お腹いっぱい。:03/09/30 20:27
ずっと外人の差出人が多かったが、最近じゃ日本人の名前も出てきたな。
msのニュースグループにも差出人が会社名+社長の名前の差出人のがあった。
もう消されてるけど何ともバカだなぁ。

220 : :03/10/01 00:04
来なくなったぞ。

221 :名無しさん@お腹いっぱい。:03/10/01 09:40
msのニュースグループ、圧縮ファイルの添付ばっかりになった。

222 :名無しさん@お腹いっぱい。:03/10/01 19:06
毎日、いまだにすごく来るんですけど、、、これってウイルスに感染しているか
どうかってどうすれば調べられるのでしょうか?一応、無料のトレンドマイクロの
オンラインスキャンを使ったら、異常はなかったみたいなんですが。。。
 感染はしていないって考えてもいいのでしょうか?一向に収まらないので。。


223 :名無しさん@お腹いっぱい。:03/10/01 19:37
>>222
駆除ソフト常駐しとけ
基本的には実行しなければ(されなければ)感染はしない。

添付付きメールはフィルタ設定などでゴミ箱に放り込め

224 :名無しさん@お腹いっぱい。:03/10/01 23:54
>>222
これだけ大量にウィールスが流れてくると、上で紹介されている
Spam Mail Killer とかnPOPのようなメールサーバ上でメールを
削除できるユーティリティーも必須になってきてる。

メールや添付ファイルをサーバからダウンロードしないですむ
から削除処理が高速。第一、うっかり実行して感染する心配が
なくて安全だ



225 :名無しさん@お腹いっぱい。:03/10/02 00:19
不安ならとりあえずプロバイダの受信メールのウィルス駆除
サービスに入っておけよ。

226 :名無しさん@お腹いっぱい。:03/10/02 06:51
マルチパートなメール全削除する設定にすれば
spamも減ってウマーなんだが、未だにhtmlで平気に送ってくる椰子が
いるからそれもできないし・・

227 :名無しさん@お腹いっぱい。:03/10/02 11:45
>>226
そういう条件設定はできないのか?
multipartはゴミ箱、でも指定したアドレスは削除しない
とか

228 :名無しさん@お腹いっぱい。:03/10/02 15:59
>227
誰が送ってくるか特定できないので無理

229 :名無しさん@お腹いっぱい。:03/10/02 19:36
>>228
いや>>226のhtmlで送ってくるやつのアドレスは知人とか言うわけではないのか?と


230 :名無しさん@お腹いっぱい。:03/10/02 20:16
>>229
知人つっても取引先とかだとなー。名刺貰うたびにOKリストに追加
するくらいはできるけど、そいつらの中にウィールス送ってくるヤシ
がいる確率92パーセント。


231 :名無しさん@お腹いっぱい。:03/10/03 06:11
>>230
取引先か。
タイトルで弾くとか・・・・かな



232 :名無しさん@お腹いっぱい。:03/10/03 07:52
俺は低めの優先度でのフィルタで
 Date:に"+0900"か"GMT"が入ってない
 To:に俺のアドレスが入ってない
てなMultiPartを踏み台や直送系と判断して弾いてる。

233 :名無しさん@お腹いっぱい。:03/10/03 15:23
ウイルスメールちtったあぁらBugbearすか来たことねぇいっぺ


234 :名無しさん@お腹いっぱい。:03/10/03 16:24
感染しますた…もうだめぽ…(´・ω・`)

235 :名無しさん@お腹いっぱい。:03/10/03 17:40
From: Microsoft Corporation Public Bulletin <tduyhui@newsletters.net>
To: Client <iijqha-bkikuijt@newsletters.net>
SUBJECT: New Net Critical Patch
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary=sdlidsdu


236 :名無しさん@お腹いっぱい。:03/10/04 23:28
感染はしていないのですが、メール受信してノートンが起動して、
〜の復元 という画面が開き、推奨だったのでやったけど失敗のメッセージ。
そこで 〜の削除 という方を実行したら
画面一杯に薄緑の画面が出て、○○○が○○○に書き込もうとしてます、と出る。
(ちなみに○はアプリやDATAファイルだったり)
その後、PCの起動・終了時にこの画面が出て、不安定になりました。
同じような方いたら、情報下さい。

237 :名無しさん@お腹いっぱい。:03/10/04 23:30
9X系OSとみた。

238 :名無しさん@お腹いっぱい。:03/10/05 00:09
>>936
システムの全体スキャンしてんの?

239 :名無しさん@お腹いっぱい。:03/10/05 03:45
ウチのシステム関係のエライさん、UNIXのグル気取りで
常日頃「ウィールスとか素人は騒ぎすぎ」というのが口癖。
それがWindows Updateに釣られてSwenに感染して大騒ぎ。
面目まるつぶれで超不機嫌になっておりますwww


240 : :03/10/05 22:21
Received: from mrt-gw.mrt-miyazaki.co.jp (mrt-gw.mrt-miyazaki.co.jp [210.151.24.142])
by **
Received: from mrt-gw2.mrt-miyazaki.co.jp (mrt-gw2 [202.255.114.227])
by mrt-gw.mrt-miyazaki.co.jp (8.9.3/3.7W) with ESMTP for ; **
From: refuse1@kawaneba.net
Received: from mrt-gw.mrt-miyazaki.co.jp (mrt-gw.mrt-miyazaki.co.jp [172.16.1.254] (may be forged))
by mrt-gw2.mrt-miyazaki.co.jp (8.9.3/3.7W) with ESMTP for <>; **
Received: from 219.106.43.20 (ntt1-ppp782.tokyo.sannet.ne.jp [219.106.43.20])
by mrt-gw.mrt-miyazaki.co.jp (8.9.3/3.7W) with ESMTP for <>; **
Date: **
Message-Id: < -@mrt-gw.mrt-miyazaki.co.jp >
To: send1@kawaneba.net

241 :WorldCom Canada Ltd. News Reader Service:03/10/06 20:59
FROM: "Bill Falconer" <huwqnm_zkgpqki@nwsy.com>
NEWSGROUPS: japan.anime.evangelion.asuka,japan.binaries.pictures.erotica,japan.binaries.pictures.erotica.lolita,junk
,k12.chat.elementary,k12.chat.junior,k12.chat.teacher,k12.ed.art,k12.ed.business,k12.ed.comp.literacy,k12.ed.music
,k12.ed.science,k12.ed.soc-studies
SUBJECT: Watch correction package from the MS Corp.
X-ID: 9413224394317275273
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="xmspabezsubksf"
Lines: 316
Message-ID: < o4Zfb.88798$PD3.4834166@nnrp1.uunet.ca >
Date: Sun, 05 Oct 2003 18:06:12 GMT
NNTP-Posting-Host: 24.138.34.142
X-Trace: nnrp1.uunet.ca 1065377172 24.138.34.142 (Sun, 05 Oct 2003 14:06:12 EDT)
NNTP-Posting-Date: Sun, 05 Oct 2003 14:06:12 EDT
Organization: WorldCom Canada Ltd. News Reader Service
Path: news.uunet.ca!nnrp1.uunet.ca.POSTED!not-for-mail


Content-Type: application/x-compressed; name="qfye.zip"
Content-Transfer-Encoding: base64
Content-Disposition: attachment

242 :名無しさん@お腹いっぱい。:03/10/08 20:48
ブレイクが収まってから、また久々にW32.Swen.A@mmがやってきました。
2通だけ

243 :名無しさん@お腹いっぱい。:03/10/08 20:52
ブレイク?

244 :名無しさん@お腹いっぱい。:03/10/08 20:54
Swenが1日50通を軽く超えてやってきた、過去の大ブレイクでつ。

245 :名無しさん@お腹いっぱい。:03/10/08 21:27
そんな名前のウィルスがあったかと思いますた

246 :名無しさん@お腹いっぱい。:03/10/09 08:48
たしかに一時のブレイク状態からは脱したけど
jpからポツポツくるようになった DION,KCOM,Biglobeからなんで
一応カスタマーにメールしておいた
DION,KCOMは対応してくれているようだけど、biglobeは放置っぽいな

247 :名無しさん@お腹いっぱい。:03/10/09 12:08
ぐへー。
俺の所、今ブレイクしてる。
はっきり言って仕事のじゃま。
メールを携帯にも転送してるから、携帯バイブしまくりでキモイ。
う゛ーう゛ー・う゛ーう゛ーうぜー。

248 :246:03/10/09 19:46
Biglobeカスタマーから丁寧な返信が来たので前言撤回
最近はISPの対応良くなったな。
今度はzaqとkcnからだ
必ず、同じ発信者から2通セットで来るのがウザイ

>247
微妙にブレイクしているね

249 :242:03/10/09 20:58
昨日2通でした。
今日9通でした。

じわりじわりって感じですねー

250 :名無しさん@お腹いっぱい。:03/10/09 21:21
ここ2時間で 20 通くらい来た。
またかよ。


251 :名無しさん@お腹いっぱい。:03/10/09 21:28
日本語系Newsで見掛けるアドレスから(詐称か?)ポツポツ届くようになってきた。
偶然かもしれないがどいつもこいつもアホな記事ばっかし書いてるOE使いからだ。

・・・偶然なんだろうか(苦藁・・・。

252 :名無しさん@お腹いっぱい。:03/10/09 21:49
メール本文に

b3IAAABBZG1pbgAAAEdFVCBodHRwOi8vd3cyLmZjZS52dXRici5jei9iaW4vY291bnRlci5naWYv

という行を完全一致で含むものを Swen とみなしています。
今のところ誤判定ゼロです。

253 :名無しさん@お腹いっぱい。:03/10/09 22:55
>252
fjで晒されてたsigやね。
俺ンとこはナローなんでbodyを数行でも取り込む時点で負け組なんであんまり参考にならない・・・

254 :名無しさん@お腹いっぱい。:03/10/10 08:58
サイトで思いっきり公開してるアドレスには全然こないのに、
通販の時だけ使ってる本名専用アドレスに山ほど来る。

どこの会社だよ、感染してる(もしくは洩らした)の…
でかい会社とか有名な会社からしか通販なんかしてないぞ…しっかりしてくれよ〜

255 :名無しさん@お腹いっぱい。:03/10/10 19:31
うちの会社のメルアドにも来たぞ

256 :名無しさん@お腹いっぱい。:03/10/10 21:42
一時は海外からだったけど、パタッとやんでからは
全部jpからだ ISP側もウイルスチェックを有料オプション
じゃなくて、デフォルトでやってくれないかな
良い迷惑だ

257 :名無しさん@お腹いっぱい。:03/10/11 03:46
200円ずつ百万人からふんだくると毎月2億
うう、その利権ホスイ


258 :名無しさん@お腹いっぱい。:03/10/11 17:43
毎日毎日10通以上、はぁなんとかならんのかね
これって実行するとおらのPCから送信しまくるんだろうけど
おらは特定できないんだよね
鬱なんでやったみたい誘惑に駆られているんですが…

259 :名無しさん@お腹いっぱい。:03/10/11 21:31
>258
KlezとかSobigと違って
特定できるぞ ヘッダ見てみろ

260 :名無しさん@お腹いっぱい。:03/10/12 00:46
>>258
特定できるよ
漏れは発信元が知り合いなら連絡してます

261 :WorldCom Canada Ltd. News Reader Service:03/10/12 17:24
屁ッ駄を晒せ

262 :名無しさん@お腹いっぱい。:03/10/12 20:03
国内ならISPに連絡しておけ
しかしDIONが妙に多いな 

263 :名無しさん@お腹いっぱい。:03/10/13 18:12
i\__,ヘ
| ノハヽ
川o・-・)< Yahoo!メールににSWEN2つが来ました。
(本当)

264 :名無しさん@お腹いっぱい。:03/10/14 16:55
>263
で?

265 :名無しさん@お腹いっぱい。:03/10/15 00:27
うう〜ん。。。

266 :名無しさん@お腹いっぱい。:03/10/15 05:42
Norton AntiVirus? 2003Professional体験版をDLしたんですが
インストしたらゴミ箱がNortonゴミ箱という名前になり
Nortonゴミ箱を空にするというのが追加されました。
Nortonゴミ箱ってなんですか?体験版なので説明書もなくわからなくて困ってます。
Nortonゴミ箱も空にしてもいいものなのでしょうか?Nortonゴミ箱の中身は何が入っているのでしょうか?
教えてください。

267 :名無しさん@お腹いっぱい。:03/10/15 09:21
Nortonゴミ箱の中には普通のゴミ箱が隠し属性で入っています。
何とかしてこの普通のゴミ箱を探し出し、
Nortonゴミ箱をこの普通のゴミ箱の中に棄てると……

268 :名無しさん@お腹いっぱい。:03/10/15 09:24
>>266-267
消えろ

269 :名無しさん@お腹いっぱい。:03/10/15 09:31
なんでだろ?dionばっかりだ
知り合いはdionには」いないのに

270 :名無しさん@お腹いっぱい。:03/10/15 09:39


271 :266:03/10/15 20:00
俺の質問変ですかねぇ?

272 :名無しさん@お腹いっぱい。:03/10/15 21:02
>>267
あなた自身が四次元クラインのツボの中に消えます

273 :名無しさん@お腹いっぱい。:03/10/15 22:31
>277
それ以前にスレ違いだと思わないのか?

274 :名無しさん@お腹いっぱい。:03/10/15 23:06
この想い>>277に届け!

275 :名無しさん@お腹いっぱい。:03/10/16 09:30
blasterほどの大騒ぎにはならんのだろうか?
LAN通して感染するのは重大なんだが

276 :名無しさん@お腹いっぱい。:03/10/16 10:53
トレンドのウィールスデータベースtop 10堂々の1位が
Antinny.Aになってたぞ。ほんとかいな? SWENは4位。


277 :271に成り代わり:03/10/16 16:53
>>273
>>274

初心者のくせに、機能も充分に吟味せずProfessional体験版などを
インストールした漏れがヴァカですた。
まさか、Professional版をインストールすると、Uneraseまで
インストールされ、Nortonゴミ箱機能が追加されるなど、
夢にも思いませんですた。
初心者質問スレに逝ってきまつ。


278 :名無しさん@お腹いっぱい。:03/10/16 18:27
>275
爆発的ではないのだけど、継続的にjpのあちこちからずっと来ているから
結構感染が広がっているんじゃないかなぁ

279 :名無しさん@お腹いっぱい。:03/10/19 13:54
Return-Path: <info@book-net.co.jp>
SUBJECT: New Network Pack


280 :名無しさん@お腹いっぱい。:03/10/19 16:10
info@book-net.co.jpから2発も…
http://www.book-net.co.jp逝ったらほんの検索ページに飛ぶし…
なんだここは…

281 :名無しさん@お腹いっぱい。:03/10/19 16:14
って、以前利用した書店だった…


282 :名無しさん@お腹いっぱい。:03/10/21 09:12
沈静化した?

283 :名無しさん@お腹いっぱい。:03/10/21 10:53
Return-Path: のアドレスが発信者・・・・という解釈でいいのかな?


>282
俺はプチプレイク中

284 :名無しさん@お腹いっぱい。:03/10/23 14:43
FROM: MS Corporation Network Security Center <vnfsod_hwykj@confidence_msn.net>
TO: Commercial Customer <customer-derqdhyfec@confidence_msn.net>
SUBJECT: Newest Microsoft Patch

odnアカから来たんだけど、odnのメアド判る?


285 :名無しさん@お腹いっぱい。:03/10/23 15:00
odn-admin@odn.ad.jpでいいんか?

286 :名無しさん@お腹いっぱい。:03/10/24 14:25
>>283
最近のワームはReturn-PathもFromも詐称は常識。
中継が正しく連続しているReceived byの一番下が
真の送信者である可能性が高い。

Fromを詐称されたメールから送信元を特定
http://www.zdnet.co.jp/broadband/0302/27/lp23.html

287 :名無しさん@お腹いっぱい。:03/10/24 15:44
SWENって詐称行わないんだけど・・・ 

288 :名無しさん@お腹いっぱい。:03/10/24 18:59
行うスワッキーもあるってこった。

289 :名無しさん@お腹いっぱい。:03/10/24 21:43
確かにDION多いな なんでだろ

290 :名無しさん@お腹いっぱい。:03/10/25 15:39
>>287
シマンテック
http://www.symantec.com/region/jp/sarcj/data/w/w32.swen.a@mm.html
メールの件名、本文、差出人欄に表示されるアドレスは不定です。
また、W32.Swen.A@mmは差出人を詐称したメール送信エラーの通知
メールを送信することがあります。そのメールには、ワームがランダムな
名前の実行形式ファイルとして添付されています。以下はこの種の
メール本文の一例です。
"I'm sorry I wasn't able to deliver your message to one or more destinations."


291 :名無しさん@お腹いっぱい。:03/10/25 21:43
Return path:のアドレスは?

292 :名無しさん@お腹いっぱい。:03/10/27 03:53
>>291
そんなもんどうせ詐称可能なんだから何だって意味ないだろ

293 :名無しさん@お腹いっぱい。:03/10/27 08:25
大ブレーク中

294 :名無しさん@お腹いっぱい。:03/10/27 16:12
dion氏ね

295 :名無しさん@お腹いっぱい。:03/10/28 19:35
swenウチにも2通来た、次来たらヘッダー見てみよう

どうでも良いけど漏れの中では「日本ブレイク工業」がブレイク中(w

296 :名無しさん@お腹いっぱい。:03/10/28 19:56
>>295
社員募集してるよ。

297 :名無しさん@お腹いっぱい。:03/10/28 21:54
ブンボウグより強烈だったからなぁ点

298 :名無しさん@お腹いっぱい。:03/10/29 15:57
ぐはー!何か一杯来てるし。
相手はかなり通信速度速そう。1個/分ぐらいのペース。

299 :名無しさん@お腹いっぱい。:03/10/29 18:09
   ブレイク!ブレイク!
  ( ゚∀゚)  
  (ヽ□=□)
   > > 

300 :300!!!!!!!!:03/10/30 21:37
  

301 :名無しさん@お腹いっぱい。:03/10/31 09:35
4通ゲッツ
dion大迷惑

302 :名無しさん@お腹いっぱい。:03/11/01 20:41
ようやく来なくなった・・
3週間でDION 24通 BIGLOBE 12通 ですた
その他はdti,kcn,あと忘れたけどどっかのケーブルTV各一通ずつ
Niftyとかocnとかは全く来ないのにDIONだけが突出しているのが不思議だ

303 :名無しさん@お腹いっぱい。:03/11/01 21:16
>>302
そうだな。DION糞杉

304 :名無しさん@お腹いっぱい。:03/11/03 06:33
一時のブレイクは脱したけど、ぽつりぽつりと来ているね
ウイルスチェック 200円/月 程度なんだから、初心者の多いISPは全員サービスにしる!

305 :名無しさん@お腹いっぱい。:03/11/03 09:50
無料チェックが当たり前になってきてる。

306 :名無しさん@お腹いっぱい。:03/11/03 11:03
うがぁ 40通も同じISPから来ている 

307 :名無しさん@お腹いっぱい。:03/11/03 15:39
またdionか

308 :名無しさん@お腹いっぱい。:03/11/04 09:16
要するに無料チェックやってないバイダからブレイクってことですな(´゚c_,゚` ) プッ

309 :名無しさん@お腹いっぱい。:03/11/04 10:36
なんとも分かり易いですな

310 :名無しさん@お腹いっぱい。:03/11/04 10:52
break out!


311 :名無しさん@お腹いっぱい。:03/11/05 22:07
終息したかと思ったらまた昨日から増えてきている・・・
某D社 対策してくれ

312 :名無しさん@お腹いっぱい。:03/11/05 22:58
N社とV社

313 :名無しさん@お腹いっぱい。:03/11/08 20:45
毎日同じISPから5、6通コンスタントに来ている・・
サポートにメールを何度かしたけど対策しているのか?

314 :名無しさん@お腹いっぱい。:03/11/09 00:04
容量優先でexpireさせてたらこの1週間でnewsのspoolがSwenで埋め尽くされてやんの。
まともな記事が残ってるのって管理系NGだけだ(w

315 :名無しさん@お腹いっぱい。:03/11/13 18:04
ぐはぁ!医療法人K会というとこから5分間で16連発来た・・

316 :名無しさん@お腹いっぱい。:03/11/14 11:42
わーい、6通キタ----
チネ

317 :名無しさん@お腹いっぱい。:03/11/16 11:18
うっかり、開いたら感染しますた
トレンドのオンラインスキャンで、TMPファイルに潜んでまつた
レジストリのRUNキーにそれらしいのは無いので、削除で終了
本体は何処?

318 :名無しさん@お腹いっぱい。:03/11/16 12:01
>>317
テンプレ嫁

319 :名無しさん@お腹いっぱい。:03/11/16 18:59
>>318
テンプラ?丁度今夜のおかずだったからさっき食ったよ。

320 :名無しさん@お腹いっぱい。:03/11/16 23:08
>>321
それは、酢昆布

321 :名無しさん@お腹いっぱい。:03/11/19 18:28
すみません、教えてください。 m(__)m

メールサーバ(ウィルスチェック実行する)の記録を見ていたら
かなり多くのメッセージID<200311171549142***.581@***.or.jp>に感染メール
(ウィルス名称:WORM_SWEN.A)がイーッパイ送られて来ているのですが、
なぜメッセージIDに送られるのか?意味がわかりません。
トレンドマイクロのHP見てもこういう事例はないようなので。。

ひょっとして、送りつけることでシステム負荷を上げたり
破壊を狙うってことありますか?


322 :名無しさん@お腹いっぱい。:03/11/19 18:29
>>321はマルチ

323 :名無しさん@お腹いっぱい。:03/11/19 18:37
確かにマルチですが、WORM_SWEN.A専用スレッドを後から発見したので・・・
勘弁してください。

324 :名無しさん@お腹いっぱい。:03/11/19 20:16
なんでMessage-IDに「送られるのか」って訊き方が悪い。
訊ねたいのは
・何故Swenはそんな馬鹿ポンな仕様なのかってことか?
・何故Message-IDに送り付けているのに鯖まで届いているのかってことか?

前者なら作者に聞け。後者ならsmtp勉強しろ。

325 :名無しさん@お腹いっぱい。:03/11/19 20:35
>なんでMessage-IDに「送られるのか」って訊き方が悪い。
>訊ねたいのは
>・何故Swenはそんな馬鹿ポンな仕様なのかってことか?
>・何故Message-IDに送り付けているのに鯖まで届いているのかってことか?
>前者なら作者に聞け。後者ならsmtp勉強しろ。

いいえ。どちらでもなくて、このスレ投稿やトレンドマイクロHPを見ている限り
Message-IDへ送りつけられている例は無いようです。
みんな普通のアドレスに送られているようだし・・・・。

ひょっとして、意図的に送られているのか?と思ったわけで・・・。

鯖まで届くのは理解できますが、送付先が普通のアドレスではなく
Message-IDに送り付ける意味が、わから無いのです。

Message-IDに送りつけることでシステム負荷を上げたり破壊を狙うって
ことあるのかな?と。。


326 :定期:03/11/20 05:03
上げ

327 :名無しさん@お腹いっぱい。:03/11/20 09:10
>>321, 325
それって、間違いなくWORM_SWEN.Aなのか?
亜種ってことはないのか?
タコが改造して馬鹿ポンな仕様になっちまった、とか。


328 :321=325:03/11/20 23:02
>>327
はい。亜種ではなく紛れも無くWORM_SWEN.Aです。
もっとも、ここ2ヶ月の間に263通WORM_SWEN.Aが検出されていますが、
普通のメールアドレスには121通、Messeage-Idあてには141通と
???な状態なのです。

329 :名無しさん@お腹いっぱい。:03/11/21 08:16
ちなみに発信先は?ひょっとしてDionじゃない?

330 :321=325:03/11/22 07:30
>>329
発信元はdionでは無いようです。niftyやBiglobe、OCNもありました。
263件みんな調べたわけではないですが。

331 :名無しさん@お腹いっぱい。:03/11/22 10:03
> メールの宛先となるメールアドレスは以下の二種の方法で収集されます:
>1)感染コンピュータ内の .EML、 .WAB、 .DBX、 .MBX ファイルを検索し、
> ファイル内にあるメールアドレスの情報を取得します。
>2)インターネット上のニュースグループを検索し、メールアドレスの情報を収集します。
> ワームはこのメールアドレス収集活動のために以下のNNTPサーバに接続します:
(略)

メールアドレスぽいMessage-IDなら、そこ宛に送られる可能性はある罠

332 :321=325:03/11/25 03:19
>>331

御教示ありがとうございます。
なるほど、「メールアドレスらしきものを自動取得する」で少し安心しました。
感謝します。

333 :名無しさん@お腹いっぱい。:03/11/25 09:33
http://www3.nhk.or.jp/news/2003/11/23/k20031123000092.html
総務省はインターネットの接続事業者がウイルスに感染したパソコンへの
接続を一定の条件のもとで停止できるようにする新たな対策を実施する方
針を固めました。ガイドラインづくりを急ぎ、来年夏にも実施したいとしていま
す。

334 :名無しさん@お腹いっぱい。:03/11/29 22:31
昨日からまたぽつぽつ来てるんだが、
Return-Pathがtanakah@mue.*******.ne.jp
田中ハム江。。。。

ハムの人か!!



335 :名無しさん@お腹いっぱい。:03/11/29 23:19
新庄からか?
羨ましいな

336 :名無しさん@お腹いっぱい。:03/12/03 16:29
di●nいい加減二世!

337 :名無しさん@お腹いっぱい。:03/12/04 02:04
こちらは nifty.com 経由ばかりだよ

338 :名無しさん@お腹いっぱい。:03/12/04 08:45
いまだにバカスカ来るなあ。。。
ポーランド、オランダ、イタリアあたりから。
まあS○-netからも来るんだけど(w

339 :名無しさん@お腹いっぱい。:03/12/04 14:44
3日で75通来た。frとかmxばっかでODNもあった
pe,au,edu,it
いったいどこから来るんだ?
あと添付ファイルが50KBしかないのも2通。
途中で消された?が3通。拡張子がpifのもあった。

340 :339:03/12/04 14:48
マイクロソフトのニュースグループに書き込んでから来るようになった。
swen>newsか…
あとで投稿ルールが変更された。


341 :名無しさん@お腹いっぱい。:03/12/05 18:23
di●nばかり…
前はメールしたら対応してくれたんだけど、最近は完全に無視されるなw

342 :340:03/12/06 15:42
くる時間帯がほとんど真夜中…
ほぼ全部海外から。
1日で75通ぐらいくるようになった。
感染してない人のも迷惑を被るいやなウイルスだ。
しかも届くアドレスは携帯携帯にも届く。
PCなら100KB以上のメール拒否にしてるけど、携帯じゃあできない。

343 :名無しさん@お腹いっぱい。:03/12/08 19:28
>341
同じく、毎回サポートにメールは送っているけど、最近返信率が悪くなっている
そろそろDいおん単独で100通超えたかな

344 :名無しさん@お腹いっぱい。:03/12/11 00:14
すみません、ど素人です。

AVGさんがE:\System Volume Information\_restore云々かんぬんで
Swen.Aを見つけました。 

フォルダにアクセスできないんですけど、どうやってすればよいでしょう??
(´・ω・`)

345 :名無しさん@お腹いっぱい。:03/12/11 00:44
どうやって削除すればよいでしょう??

の間違い。
どなたか教えてくださいませ。

346 :名無しさん@お腹いっぱい。:03/12/11 18:29
>344-345

削除するなんてかわいそう

かわいがってあげましょう

すぐになついてくれますよ

347 :名無しさん@お腹いっぱい。:03/12/12 06:38
>344
新しい復元ポイントをいっぱい作ったら古いのは押し出されて消えるよ。
まあそれなりのリスクもあるわけだが。放置が一番やね。

348 :名無しさん@お腹いっぱい。:03/12/18 18:08
>>344
http://pc2.2ch.net/pcqa/

349 :339:03/12/25 20:44
添付ファイルが50KBのものがありませんか?

350 :名無しさん@お腹いっぱい。:04/01/09 22:40
保守

351 :名無しさん@お腹いっぱい。:04/01/19 14:37
swnが今頃、それも携帯宛に届いた漏れは時代遅れw?

352 :名無しさん@お腹いっぱい。:04/01/22 13:30
>>351
ブラスタにも気をつけれw

保守

353 :名無しさん@お腹いっぱい。:04/02/07 11:57
久しぶりに着た。
やっぱりd●on

354 :名無しさん@お腹いっぱい。:04/02/14 20:52
おいら○cnから

355 :名無しさん@お腹いっぱい。:04/02/29 11:00
零細企業のメールサーバ経由でマイ糞ソフト・アップデートパッチを語った Swen.Aが届いた。
中継基地にされただけなのだろうが、セキュリティーの甘いところとは取り引きしたくないなー


356 :名無しさん@お腹いっぱい。:04/10/20 23:49:26
まったくです。

357 :名無しさん@お腹いっぱい。:04/12/22 14:31:01
ありがd。
ココ見て、このウィルス駆除できたよ。
ちょっと前から感染に気付いてたけど、どうにも駆除できなくて
ウィルス対策ソフト買おうか悩んでた。

オンラインスキャンは、取れンド米黒、
ウィルス削除は島ンテッ苦の無料のやつで削除しますた。
丁度このウィルスが全盛期の頃、ウィルスの情報入手サボってたなぁと反省。
LANケーブルで逝ってくるYO!

358 :名無しさん@お腹いっぱい。:2005/07/06(水) 13:27:17
許す

359 :名無しさん@お腹いっぱい。:2006/03/10(金) 18:56:48
???????
????????

360 : ◆Fe/d94y9bo :2006/10/22(日) 15:51:33
1

88 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.00 2017/10/04 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)