| [ 6250 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
謎なメールが届いています。
ちょっとspamかどうかよくわからないのですが、何かのリストに登録されているのでしょうか?
以前にも全く同じものが届いており、これで2通めになります。
132KBもあり何分にも気持ちが悪いですので、これが何であるのか教えていただければ助かります。
以下がメールの本文
Re: your unsubscribe request
> unsubscribe
Sorry, but your email address:
> 私のメールアドレス
is not listed as a member of 'insane'.
Thus, you could not be unsubscribed.
---
Return-Path: <私のドメイン@verizon.net>
Received: from out013.verizon.net ([206.46.170.44]) by pro.netatlantic.com with SMTP (Lyris ListManager WIN32 version 6.0h); Tue, 26 Nov 2002 19:29:19 -0500
Received: from Ofif ([64.109.198.141]) by out013.verizon.net
(InterMail vM.5.01.05.09 201-253-122-126-109-20020611) with SMTP
id <20021126225709.KRVP6246.out013.verizon.net@Ofif>
for <leave-insane@pro.netatlantic.com>;
Tue, 26 Nov 2002 16:57:09 -0600
From: 私のドメイン <私のメールアドレス>
To: insane-request
Subject:
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=W8rJnB0713
Message-Id: <20021126225709.KRVP6246.out013.verizon.net@Ofif>
Date: Tue, 26 Nov 2002 16:57:16 -0600
# Mail sent to leave-insane was converted to these commands:
unsubscribe
end
# This is the text of the message that triggered the action:
Return-Path: <私のドメイン@verizon.net>
Received: from out013.verizon.net ([206.46.170.44]) by pro.netatlantic.com with SMTP (Lyris ListManager WIN32 version 6.0h); Tue, 26 Nov 2002 19:29:19 -0500
Received: from Ofif ([64.109.198.141]) by out013.verizon.net
(InterMail vM.5.01.05.09 201-253-122-126-109-20020611) with SMTP
id <20021126225709.KRVP6246.out013.verizon.net@Ofif>
for <leave-insane@pro.netatlantic.com>;
Tue, 26 Nov 2002 16:57:09 -0600
From: 私のドメイン <私のメールアドレス>
To: leave-insane@pro.netatlantic.com
Subject: Fw:leave-insane,let's be friends
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=W8rJnB0713
Message-Id: <20021126225709.KRVP6246.out013.verizon.net@Ofif>
Date: Tue, 26 Nov 2002 16:57:16 -0600
--W8rJnB0713
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable
<HTML><HEAD></HEAD><BODY>
<iframe src=3Dcid:W5boTT4v5T125u626 height=3D0 width=3D0>
</iframe>
<FONT></FONT></BODY></HTML>
--W8rJnB0713
Content-Type: audio/x-midi;
name=unlock_playing.scr
Content-Transfer-Encoding: base64
Content-ID: <W5boTT4v5T125u626>
TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
(以下延々とアルファベットの羅列のため省略)RMYpQ78HAAMJPfxkpxwAhyD04J7AgKWfl647vXGfT9z/2T==
--W8rJnB0713--
ヘッダ部分
Received: from rcpt-******.ne.jp
by biglobe.ne.jp (RCPT_GW) id JAA07763;
Wed, 27 Nov 2002 09:29:25 +0900 (JST)
Received: from pro.netatlantic.com (pro.netatlantic.com [140.239.165.187])
by rcpt-*****.ne.jp (mnmy/3410050802)
with SMTP id gAR0TNS07740 for <私のメールアドレス>;
Wed, 27 Nov 2002 09:29:24 +0900 (JST)
Message-Id: <LYRIS0-1038356961--2240-lyris-admin@pro.netatlantic.com>
X-lyris-type: command-notify
From: "Lyris ListManager" <lyris-admin@pro.netatlantic.com>
Reply-To: "Lyris ListManager" <lyris-admin@pro.netatlantic.com>
To: 私のメールアドレス
Subject: Re: your unsubscribe request
Date: Tue, 26 Nov 2002 19:29:21 -0500
X-Biglobe-VirusCheck: Wed, 27 Nov 2002 09:29:26 +0900
X-UIDL: 799788729070735F965849555F998674885F255
> 132KBもあり何分にも気持ちが悪いですので、これが何であるのか教えていただければ助かります。
BUGBEAR.Aじゃないでしょうか?
ワタクシの所にもBUGBEAR.Aがかなり届きましたが、ウィルス対策サイトの様なSubjectではなく、MLのSubjetを詐称していたりしました。
132KBってのがBUGBEAR.Aっぽいのですが…
間違ってたらゴメンナサイ
はっきりとは分かりませんが、先日私の元に送りつけられたウイルスに似ているような気がします。
タグがあるのでHTMLがあるのは分かるのですが、他にも何かファイルが添付されているようですね?
*私に届いたウイルスは既にウイルスバスターで削除され、痕跡も残っていないので、比較ができません。
ウイルスが勝手に発信したメールが、はじかれて、猫さんのところ
に帰ってきただけなんじゃないでしょうか。
だれかのパソコンに感染したウィルスが、さすらいの猫さんののメールアドレスを勝手に送信人として使って、メーリングリストを解除するメールアドレス宛てに、ウィルスメールが送られた。
そして、さすらいの猫さんののメールアドレスが、メーリングリストにないので、エラーメールがさすらいの猫さんに届いた。
メール本文のアルファベットの羅列は、ウィルスがメーリングリストに送ったメールをそのまま送ってきたのだと思います。
他の方が言っているようにウイルスが絡んでいる可能性が
高い気がしますがよく分かりませんねー。
取りあえず内容を素直に見ると
−−−−−−−−−−−−
・64.109.198.141の接続されたコンピュータから?
・out013.verizon.net ([206.46.170.44])のメールサーバを通して
・Fromアドレスにさすらいの猫様のメアドを詐称した
・ML脱会コマンドである
−−−−−
# Mail sent to leave-insane was converted to these commands:
unsubscribe
end
# This is the text of the message that triggered the action:
−−−−−
という内容のメールが
・leave-insane@pro.netatlantic.comというアドレスに向けて送られたが
・さすらいの猫様のアドレスはもともとそのMLに入っていないので
「リストから削除できなかった」という旨のメールがさすらいの猫様の
所へ届いた。
−−−−−−−−−−−
という内容のようです。
で、どこかの段階で添付ファイルが付けられたようですね。
その添付ファイルはscrなどが拡張子でいかにも怪しげです。
通常、scrというスクリーンセーバーを添付とするファイルは
一般には無論のこと、spamでも送られることはなく、
専ら最近はウイルスが添付する傾向にあります。
しかしいずれにせよ、
さすらいの猫様の所ではメーラーが添付ファイルとして
認識していないんですよね?
で、私が分からないのは
えせ店主様や安寧様の言うのは確かに近いと思うんですが、
上の内容を見るともともとの感染者らしきパソコンから
MLのコマンド宛先メールアドレス向けに
unsubscribe
end
というコマンド用の本文が送られているらしいことです。
ウイルスの性質から言って、そういう細かいことはしないと思うので
その点がよく分かりません。
で、pro.netatlantic.comというサーバでgoogle検索すると
なんだかスパムでありがちなオプトアウト用ドメインとして
しばしば使われているようです。
すなわちよく英文spamでは
脱会したときには以下をクリック
http://ujauja.com/cgi/remove=?rupupu
みたいにあるのですが、そのujauja.comとしてpro.netatlantic.comがあるみたいです。
そんなわけでウイルス的な要素が強いけど、spam的な色の部分もあり
一寸判断が出来ませんね。
ただ、確かに、もはやこの形はspamつまり宣伝目的とは言えないと思います。
ウイルス検知ソフトでメールボックスを検索したらもしかすると
検知するかもしれません。
もうちょっと調べてみましたが、疲れているので、
自分でも良く分からないような文章になってしまいました。
leave-insane@pro.netatlantic.com に送られたメールは、
メーリングリストからの退会すると解釈され、
もし解除できない場合には自動的に
> −−−−−
> # Mail sent to leave-insane was converted to these commands:
> unsubscribe
> end
> # This is the text of the message that triggered the action:
> −−−−−
↑の部分が、エラーメッセージとして、追加されたもののような気がします。
> # This is the text of the message that triggered the action:
↑の文は、エラーを生じさせたメール、すなわちウィルスメールのことを
示していて、この文より後の部分は、ウィルスメールがテキストとして
(添付ファイルではなく)、エラーメールに本文として書かれているのだと思います。
> さすらいの猫様の所ではメーラーが添付ファイルとして
> 認識していないんですよね?
ウィルスはテキストとしてメール本文に書かれているので、
さすらいの猫様のBiglobe-VirusCheckにはかからずに、届いたのだと思います。
> unsubscribe
> end
> というコマンド用の本文が送られているらしいことです。
> ウイルスの性質から言って、そういう細かいことはしないと思うので
> その点がよく分かりません。
Bugbearは、
「感染先システム上にある既存のメッセージに対する返信あるいは
転送メールを新たに作成し、そのメールにワームファイルを添付し
て送信する可能性があります。」
ということが、symantecのホームページに書かれていました。
http://www.symantec.com/region/jp/sarcj/data/w/w32.bugbear@mm.html
Subject: Fw:leave-insane,let's be friends
とあるので、ウィルスが転送したのでしょう。たぶん。。。
ためしに、leave-insane@pro.netatlantic.com に
件名を Fw:leave-insane,let's be friends として、
空のメールを送ったら、
同じようなメールが届きました。
なお、以下において、???@yahoo.co.jp は、私のメルアドです。
------- ヘッダ ここから -----
X-Apparently-To: ???@yahoo.co.jp via web902.mail.yahoo.co.jp; 28 Nov 2002 00:59:38 +0900 (JST)
X-Track: 1: 40
Received: from pro.netatlantic.com (140.239.165.187)
by mta13.mail.yahoo.co.jp with SMTP; 28 Nov 2002 00:59:38 +0900 (JST)
Message-Id: <LYRIS0-1038412777--2240-lyris-admin@pro.netatlantic.com>
X-lyris-type: command-notify
From: "Lyris ListManager" <lyris-admin@pro.netatlantic.com>
Reply-To: "Lyris ListManager" <lyris-admin@pro.netatlantic.com>
To: ???@yahoo.co.jp
Subject: Re: your unsubscribe request
Date: Wed, 27 Nov 2002 10:59:37 -0500
------- ヘッダ ここまで -----
---- 本文 ここから----
Re: your unsubscribe request
> unsubscribe
Sorry, but your email address:
> ???@yahoo.co.jp
is not listed as a member of 'insane'.
Thus, you could not be unsubscribed.
---
Return-Path: <???@yahoo.co.jp>
Received: from smtp12.mail.yahoo.co.jp ([211.14.15.235]) by pro.netatlantic.com with SMTP (Lyris ListManager WIN32 version 6.0h); Wed, 27 Nov 2002 10:59:36 -0500
Received: from unknown (HELO) (xxx.xxx.xxx.xxx)
by smtp12.mail.yahoo.co.jp with SMTP; 27 Nov 2002 15:59:34 -0000
X-Apparently-From: <???@yahoo.co.jp>
Message-ID: <000501c2962e$194353e0$797ba8c0@>
From: "=?iso-2022-jp?B?G==?=" <???@yahoo.co.jp>
To: insane-request
Subject:
Date: Thu, 28 Nov 2002 01:00:05 +0900
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2720.3000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
# Mail sent to leave-insane was converted to these commands:
unsubscribe
end
# This is the text of the message that triggered the action:
Return-Path: <???@yahoo.co.jp>
Received: from smtp12.mail.yahoo.co.jp ([211.14.15.235]) by pro.netatlantic.com with SMTP (Lyris ListManager WIN32 version 6.0h); Wed, 27 Nov 2002 10:59:36 -0500
Received: from unknown (HELO) (xxx.xxx.xxx.xxx)
by smtp12.mail.yahoo.co.jp with SMTP; 27 Nov 2002 15:59:34 -0000
X-Apparently-From: <???@yahoo.co.jp>
Message-ID: <000501c2962e$194353e0$797ba8c0@>
From: "=?iso-2022-jp?B?G==?=" <???@yahoo.co.jp>
To: <leave-insane@pro.netatlantic.com>
Subject: Fw:leave-insane,let's be friends
Date: Thu, 28 Nov 2002 01:00:05 +0900
MIME-Version: 1.0
Content-Type: text/plain;
charset="iso-2022-jp"
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2720.3000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2600.0000
---- 本文 ここまで----
答えくださったみなさま、色々とお手数おかけしまして申し訳ありませんでした。
やっと納得というか、何物かが判ってすっきりしました。
なるほど、ウイルスというのはちょっと思いつきませんでしたね。
アルファベットの羅列はウイルスのなれの果てだったわけですね。
とりあえず、この送信者名にフィルターをかけておくことにします。
ありがとうございました
> leave-insane@pro.netatlantic.com に送られたメールは、
> メーリングリストからの退会すると解釈され、
> もし解除できない場合には自動的に
> > −−−−−
> > # Mail sent to leave-insane was converted to these commands:
> > unsubscribe
> > end
> > # This is the text of the message that triggered the action:
> > −−−−−
> ↑の部分が、エラーメッセージとして、追加されたもののような気がします。
素晴らしい洞察力です(^_^;;)。
私はfml関係のMLで管理人をしていたので退会専用のところに
送ると勝手にコマンドを付記してくれる場合があることなどは
知りませんでした。ML大好き人間なのに
分からなかったのはちょっと悔しい(笑)
確認作業も行い完璧な解です。覚えて置いた方がいいパターンですね。
#sage
ID-code:/q8xmlI5ru2