変なメール
◇-変なメール-シーラカンス(8/13-16:24)No.8567 ┣Re:変なメール-シーラカンス(8/13-16:41)No.8569 ┗Re:変なメール-まる(8/13-16:52)No.8570 ┣Re:変なメール-やまふみ(8/13-17:24)No.8572 ┃┣Re:変なメール-やまふみ(8/13-17:29)No.8574 ┃┗Re:変なメール-シーラカンス(8/13-17:43)No.8575 ┃ ┗Re:変なメール-やまふみ(8/13-18:21)No.8581 ┃ ┣Re:変なメール-シーラカンス(8/13-18:32)No.8584 ┃ ┗Re:変なメール-o2ka(8/13-23:01)No.8595 ┗Re:変なメール-シーラカンス(8/13-17:26)No.8573
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
▲このページのトップに戻る
| 8567 | 変なメール | シーラカンス | 8/13-16:24 |
メーカー名: レノボ(lenovo) 元アイビーエム(IBM) OS名:Windows98 パソコン名:aptiva ソフト名: -- NORTON インターネットセキュリティが電子メールにウイルスがあることを 検知しました。メールのプロパティを見ると From: postmaster <postmaster@abc.com> To: tsu@abc.com となっています。ところが postmaster@abc.com と tsu@abc.com の 両方とも私のメールアドレスです。 メールのタイトルは Undeliverable mail―"mOvr(src)" mOvr(src)はNORTONが検出したウイルス名です。 本文には The following mail can't be sent to sankei_news@mail.yahoo.co.jp: From: tsu@abc.com To: sankei_news@mail.yahoo.co.jp Subject: mOvr(src) The attachment is the original mail と書いてあります。 sankei_news@mail.yahoo.co.jp には送ったことはありませんし、 このサイトを見たこともありません。 私のパソコンにはabc.com のホームページが入っています。 そのホームページには postmaster@abc.comとtsu@abc.com のメールアドレスが記載されています。 もしかして、誰かがパソコンに不正アクセスし、私のパソコンを踏み台に してsankei_news@mail.yahoo.co.jp に送ろうとしてサーバーに弾かれたのでし ょうか? 私のパソコンは私以外誰も触れることはできません。 インターネットセキュリティは常にONにしていますが、 ちょうどこのときは、インターネットに接続したままNORTONが 自動的に起ち上がってファイルのスキャンをしている最中でした。 インターネットセキュリティによる「不正アクセスの警告」はありませんでした。 尚、上記および下記のメールアドレスは安全のため一部を変えています。 メールのプロパティ Return-Path: <maruden@col.ne.jp> Received: from c000.nrt.cp.net ([211.127.0.57]) by imfep04.kcom.ne.jp (InterMail vM.4.01.03.23 201-229-121-123-20010417) with SMTP id <20020813045758.CHIX25267.imfep04.kcom.ne.jp@c000.nrt.cp.net> for <tsu@abc.com>; Tue, 13 Aug 2002 13:57:58 +0900 Received: (cpmta 11784 invoked from network); 13 Aug 2002 13:57:55 +0900 Received: from 218.230.248.215 (HELO Rmeza) by smtp.col.ne.jp (211.128.0.58) with SMTP; 13 Aug 2002 13:57:55 +0900 X-Sent: 13 Aug 2002 04:57:55 GMT From: postmaster <postmaster@abc.com> To: tsu@abc.com Subject: Undeliverable mail--"mOvr(src) " MIME-Version: 1.0 Content-Type: multipart/alternative; boundary=GI2sQ839x221374f48136s9QKus8 Message-Id: <20020813045758.CHIX25267.imfep04.kcom.ne.jp@c000.nrt.cp.net> Date: Tue, 13 Aug 2002 13:57:59 +0900 | |||
▲このページのトップに戻る
| 8569 | Re:変なメール | シーラカンス | 8/13-16:41 |
| 記事番号8567へのコメント 2〜3ヶ月ほど前に 色々なウイルスを受け取ったとき 1つだけHTMLメールがあり、確かそれはウイルスだった と思いますが、これもちゃんとNORTONが受け取るのと 同時に自動的に検疫できたのかどうかを確かめるため、自分の メールアドレスで自分の別のメールアドレスにそのウイルスらしき ものをくっつけて送信したことがありますが、これが原因だった のだろうかと思っています。そのときどのメールアドレスから送信 したのかは憶えていません。 毎日メールはチェックしていますので、2〜3ヶ月前のメールが 今ごろ届くのはおかしいですが、ちょうどこのときはNORTON がファイルのスキャンを完了させたところでしたので、それと 関係があるのかな、などと考えたりしていますが、よくわかりません。 | |||
▲このページのトップに戻る
| 8570 | Re:変なメール | まる | 8/13-16:52 |
| 記事番号8567へのコメント 恐らくKlezでしょう。(Nortonが検知した時にウイルス名が出てるはずですが) もしそうなら、こちらをご覧あれ。 http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.gen%40mm.html >Return-Path: <maruden@col.ne.jp> >Received: from c000.nrt.cp.net ([211.127.0.57]) by imfep04.kcom.ne.jp > (InterMail vM.4.01.03.23 201-229-121-123-20010417) with SMTP > id ><20020813045758.CHIX25267.imfep04.kcom.ne.jp@c000.nrt.cp.net> このあたりが多少引っかかりますが・・・ | |||
▲このページのトップに戻る
| 8572 | Re:変なメール | やまふみ | 8/13-17:24 |
| 記事番号8570へのコメント まだまだ「猛威」なんですねぇ、Klez。 ウチにはFRETHEMが2通いらっしゃってましたが... 自分が送信した覚えがないメールに対して 不達通知が来るのは典型的Klezです。 Klezは感染者のPC内に存在するアドレスから 適当に選んで差出人にしてしまいます。 で送信先にそれが届かないときは 偽造に使われた差出人のところへ 不達通知が行ってしまいますが、 不達通知には送ったメールがくっつけられるため、 不達通知もウイルスメール化してしまうんですね。 じゃ、アドレス帳に自分を登録しているような、 良く知っている人が感染しているのか、 というとそうでもない。 このウイルスは感染者のPC内にあるアドレス情報を なめるように探してひっぱってきています。 アドレス帳からだけではありません。 たとえばあなたがどこかの掲示板で 書き込みにメールアドレスの入力を求められたとします。 名前のところをクリックすると その人にメールが送れる工夫をしているサイト、多いですよね。 そうするとその掲示板を見ただけのまったく知らない人のPC内にも、 あなたのアドレスは残ってしまいます。 ですから、あまり神経質になって 感染者を探して指摘しようなんて思わないほうがいいです。 来た来た即削除、ですね。 Return-Pathまでは偽装していないので、 それが感染者と言う話もありますが... | |||
▲このページのトップに戻る
| 8574 | Re:変なメール | やまふみ | 8/13-17:29 |
| 記事番号8572へのコメント >Return-Pathまでは偽装していないので、 すいません。張り付け間違いです。 (誤)「Return-Path」 → (正)「Reply-To」です。 | |||
▲このページのトップに戻る
| 8575 | Re:変なメール | シーラカンス | 8/13-17:43 |
| 記事番号8572へのコメント ありがとうございます。 >自分が送信した覚えがないメールに対して >たとえばあなたがどこかの掲示板で >書き込みにメールアドレスの入力を求められたとします。 >名前のところをクリックすると >その人にメールが送れる工夫をしているサイト、多いですよね。 >そうするとその掲示板を見ただけのまったく知らない人のPC内にも、 >あなたのアドレスは残ってしまいます。 > Aさんが自分のメールアドレスを入力したら, その掲示板を訪れたBさんがAさんの名前をクリックして Aさんのメールアドレスを見ただけでBさんのパソコンに Aさんのメールアドレスが残るという意味ですか? | |||
▲このページのトップに戻る
| 8581 | Re:変なメール | やまふみ | 8/13-18:21 |
| 記事番号8575へのコメント >Aさんが自分のメールアドレスを入力したら, >その掲示板を訪れたBさんがAさんの名前をクリックして >Aさんのメールアドレスを見ただけでBさんのパソコンに >Aさんのメールアドレスが残るという意味ですか? いいえ、クリックさえする必要はありません。 その掲示板を見ればいいんです。見るだけです。 名前のところをクリックするまで メールアドレスがわからないようでいて、 実はもう、画面を表示するためのソースには メールアドレスが書きこまれています。 そういう掲示板をすぐに思いつくなら、 そこへいって掲示板の何もないところで 右クリックして「ソースの表示」をしてみると良いですよ。 (ここもそうだった気がするけど、 皆用心深いからメアド入力している人がいないね(^▽^笑)) で、このソース(HTMLファイル)が その掲示板を見た人のPC内の インターネット一時ファイルの中に残ってますからね。 | |||
▲このページのトップに戻る
| 8584 | Re:変なメール | シーラカンス | 8/13-18:32 |
| 記事番号8581へのコメント >皆用心深いからメアド入力している人がいないね(^▽^笑)) > >で、このソース(HTMLファイル)が >その掲示板を見た人のPC内の >インターネット一時ファイルの中に残ってますからね。 ありがとうございます。 ひとつ賢くなりました。 | |||
▲このページのトップに戻る
| 8595 | Re:変なメール | o2ka | 8/13-23:01 |
| 記事番号8581へのコメント >いいえ、クリックさえする必要はありません。 >その掲示板を見ればいいんです。見るだけです。 ここの "スーパーアドバイザー" kei100さん名義でklezが届いたことが あります。 ただ、「差出人」がメールアカウントそのままだったので「偽装」である 事がわかりましたが・・・。 ↑アカウント名と差出人名が違うと、このようなときに原因究明が 楽です | |||
▲このページのトップに戻る
| 8573 | Re:変なメール | シーラカンス | 8/13-17:26 |
| 記事番号8570へのコメント まるさんは No.8570「Re:変なメール」で書きました。 >恐らくKlezでしょう。(Nortonが検知した時にウイルス名が出てるはずですが) >もしそうなら、こちらをご覧あれ。 >http://www.symantec.com/region/jp/sarcj/data/w/w32.klez.gen%40mm.html > >>Return-Path: <maruden@col.ne.jp> >>Received: from c000.nrt.cp.net ([211.127.0.57]) by imfep04.kcom.ne.jp >> (InterMail vM.4.01.03.23 201-229-121-123-20010417) with SMTP >> id >><20020813045758.CHIX25267.imfep04.kcom.ne.jp@c000.nrt.cp.net> >このあたりが多少引っかかりますが・・・ > Norton AntiVirus Deleted1.txt をみましたら次のように表示されました。 Norton AntiVirus が添付ファイルを削除しました: home[2].bat. 添付ファイルに W32.Klez.H@mm ウィルスが感染していました。 home[2].bat.はメールに添付されていたものです。 | |||
何か一言(本ページで参考になったならないを含めて残してあります)
◎:解決 ○:参考になった ×:参考にならなかった !:アドバイスあり
| 参考 | 回数 | 投稿日時 | 何か一言 |
|---|
