[掲示板に戻る] [HTML化ログ 大目次へ] [ツリー一覧0027番へ]
[ 14152 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ
Date: 2003 Sep 01 16:12:50
記事No.14152/タイトル:ウイルスメールのヘッダの発信サーバがムトーさんの....
投稿日:2003/09/01(Mon) 16:12:50 / 投稿者:管理人
★ツリー/親記事[14152]
-レス記事[14153][14163]

ID-code:y3CHxCiT3dI(本記事は投稿者自身により09/02-00:35に修正されました)

 最近、毎日のようにウイルスが来るのはいいのだが
(いや、よくないんだけど...)
さっき届いた以下のウイルスメール(例のごとくSobig.Fだった)
は、さてはて、なんか発信サーバに見覚えが....

Return-Path: <lidx@xstart.com.cn>
Received: from rcpt-impgw.biglobe.ne.jp
by biglobe.ne.jp (RCPT_GW) id QAA07710;
Mon, 01 Sep 2003 16:02:34 +0900 (JST)
Received: from WING003 (pl165.nas928.o-tokyo.nttpc.ne.jp [210.153.226.165])
by rcpt-impgw.biglobe.ne.jp (nkrw/5008050603)
with ESMTP id h8172Vr07657 for <xxx>;
Mon, 1 Sep 2003 16:02:31 +0900 (JST)
Message-Id: <200309010702.h8172Vr07657@rcpt-impgw.biglobe.ne.jp>
From: <lidx@xstart.com.cn>
To: <xxx>
Date: Mon, 1 Sep 2003 16:02:31 +0900
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="_NextPart_000_00DB7AEC"
X-UIDL: 799690988397655F958540665F998983995F255
X-Spam-Status: Yes, hits=6.2 required=5.0 tests=FORGED_MUA_OUTLOOK,MICROSOFT_EXECUTABLE, MIME_BOUND_NEXTPART,MISSING_MIMEOLE,MSG_ID_ADDED_BY_MTA_3, NO_REAL_NAME version=2.55
X-Spam-Level: ******
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
X-Spam-Report: ---- Start SpamAssassin results 6.20 points, 5 required; * 1.0 -- From: does not include a real name * 0.1 -- RAW: Message includes Microsoft executable program * 0.5 -- 'Message-Id' was added by a relay (3) * 3.7 -- Forged mail pretending to be from MS Outlook * 0.5 -- Message has X-MSMail-Priority, but no X-MimeOLE * 0.4 -- Spam tool pattern in MIME boundary ---- End of SpamAssassin results
X-Spam-Flag: YES
Subject: sp* Re: Thank you!

Return-Path: <akasya_lier@xhotmail.com>
Received: from rcpt-impgw.biglobe.ne.jp
by biglobe.ne.jp (RCPT_GW) id QAA24234;
Mon, 01 Sep 2003 16:00:44 +0900 (JST)
Received: from WING003 (pl165.nas928.o-tokyo.nttpc.ne.jp [210.153.226.165])
by rcpt-impgw.biglobe.ne.jp (nkrw/5008050603)
with ESMTP id h8170eb24169 for <xxx>;
Mon, 1 Sep 2003 16:00:40 +0900 (JST)
Message-Id: <200309010700.h8170eb24169@rcpt-impgw.biglobe.ne.jp>
From: <akasya_lier@xhotmail.com>
To: <xxx>
Date: Mon, 1 Sep 2003 16:00:40 +0900
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="_NextPart_000_00D9C8A1"
X-UIDL: 799690988399555F959060905F998987235F255
X-Spam-Status: Yes, hits=8.1 required=5.0 tests=FORGED_MUA_OUTLOOK,MICROSOFT_EXECUTABLE, MIME_BOUND_NEXTPART,MISSING_MIMEOLE,MSG_ID_ADDED_BY_MTA_3, NO_REAL_NAME,SEMIFORGED_HOTMAIL_RCVD version=2.55
X-Spam-Level: ********
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
X-Spam-Report: ---- Start SpamAssassin results 8.10 points, 5 required; * 1.0 -- From: does not include a real name * 0.1 -- RAW: Message includes Microsoft executable program * 0.5 -- 'Message-Id' was added by a relay (3) * 1.9 -- hotmail.com 'From' address, but no 'Received:' * 3.7 -- Forged mail pretending to be from MS Outlook * 0.5 -- Message has X-MSMail-Priority, but no X-MimeOLE * 0.4 -- Spam tool pattern in MIME boundary ---- End of SpamAssassin results
X-Spam-Flag: YES
Subject: sp* Re: Wicked screensaver

Return-Path: <federalearth@xhotmail.com>
Received: from rcpt-impgw.biglobe.ne.jp
by biglobe.ne.jp (RCPT_GW) id PAA17903;
Mon, 01 Sep 2003 15:58:46 +0900 (JST)
Received: from WING003 (pl165.nas928.o-tokyo.nttpc.ne.jp [210.153.226.165])
by rcpt-impgw.biglobe.ne.jp (nkrw/5008050603)
with ESMTP id h816whc17845 for <xxx>;
Mon, 1 Sep 2003 15:58:43 +0900 (JST)
Message-Id: <200309010658.h816whc17845@rcpt-impgw.biglobe.ne.jp>
From: <federalearth@xhotmail.com>
To: <xxx>
Date: Mon, 1 Sep 2003 15:58:43 +0900
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="_NextPart_000_00D80117"
X-UIDL: 799690988441535F958530045F998949675F255
X-Spam-Status: Yes, hits=8.1 required=5.0 tests=FORGED_MUA_OUTLOOK,MICROSOFT_EXECUTABLE, MIME_BOUND_NEXTPART,MISSING_MIMEOLE,MSG_ID_ADDED_BY_MTA_3, NO_REAL_NAME,SEMIFORGED_HOTMAIL_RCVD version=2.55
X-Spam-Level: ********
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
X-Spam-Report: ---- Start SpamAssassin results 8.10 points, 5 required; * 1.0 -- From: does not include a real name * 0.1 -- RAW: Message includes Microsoft executable program * 0.5 -- 'Message-Id' was added by a relay (3) * 1.9 -- hotmail.com 'From' address, but no 'Received:' * 3.7 -- Forged mail pretending to be from MS Outlook * 0.5 -- Message has X-MSMail-Priority, but no X-MimeOLE * 0.4 -- Spam tool pattern in MIME boundary ---- End of SpamAssassin results
X-Spam-Flag: YES
Subject: sp* Re: Wicked screensaver

Return-Path: <daikaika@xmext.go.jp>
Received: from rcpt-impgw.biglobe.ne.jp
by biglobe.ne.jp (RCPT_GW) id PAA20838;
Mon, 01 Sep 2003 15:57:06 +0900 (JST)
Received: from WING003 (pl165.nas928.o-tokyo.nttpc.ne.jp [210.153.226.165])
by rcpt-impgw.biglobe.ne.jp (nkrw/5008050603)
with ESMTP id h816ux420722 for <xxx>;
Mon, 1 Sep 2003 15:57:04 +0900 (JST)
Message-Id: <200309010657.h816ux420722@rcpt-impgw.biglobe.ne.jp>
From: <daikaika@xmext.go.jp>
To: <xxx>
Date: Mon, 1 Sep 2003 15:56:59 +0900
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="_NextPart_000_00D67D80"
X-UIDL: 799690988442925F958197635F998952615F255
X-Spam-Status: Yes, hits=6.2 required=5.0 tests=FORGED_MUA_OUTLOOK,MICROSOFT_EXECUTABLE, MIME_BOUND_NEXTPART,MISSING_MIMEOLE,MSG_ID_ADDED_BY_MTA_3, NO_REAL_NAME version=2.55
X-Spam-Level: ******
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
X-Spam-Report: ---- Start SpamAssassin results 6.20 points, 5 required; * 1.0 -- From: does not include a real name * 0.1 -- RAW: Message includes Microsoft executable program * 0.5 -- 'Message-Id' was added by a relay (3) * 3.7 -- Forged mail pretending to be from MS Outlook * 0.5 -- Message has X-MSMail-Priority, but no X-MimeOLE * 0.4 -- Spam tool pattern in MIME boundary ---- End of SpamAssassin results
X-Spam-Flag: YES
Subject: sp* Re: Thank you!


Return-Path: <theworld0801@xhotmail.com>
Received: from rcpt-impgw.biglobe.ne.jp
by biglobe.ne.jp (RCPT_GW) id PAA02428;
Mon, 01 Sep 2003 15:55:11 +0900 (JST)
Received: from WING003 (pl165.nas928.o-tokyo.nttpc.ne.jp [210.153.226.165])
by rcpt-impgw.biglobe.ne.jp (nkrw/5008050603)
with ESMTP id h816t8e02376 for <xxx>;
Mon, 1 Sep 2003 15:55:08 +0900 (JST)
Message-Id: <200309010655.h816t8e02376@rcpt-impgw.biglobe.ne.jp>
From: <theworld0801@xhotmail.com>
To: <xxx>
Date: Mon, 1 Sep 2003 15:55:08 +0900
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="_NextPart_000_00D4B6B5"
X-UIDL: 799690988444885F959053235F998975435F255
X-Spam-Status: Yes, hits=8.7 required=5.0 tests=FORGED_MUA_OUTLOOK,FROM_ENDS_IN_NUMS,MICROSOFT_EXECUTABLE, MIME_BOUND_NEXTPART,MISSING_MIMEOLE,MSG_ID_ADDED_BY_MTA_3, NO_REAL_NAME,SEMIFORGED_HOTMAIL_RCVD version=2.55
X-Spam-Level: ********
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
X-Spam-Report: ---- Start SpamAssassin results 8.70 points, 5 required; * 1.0 -- From: does not include a real name * 0.6 -- From: ends in numbers * 0.1 -- RAW: Message includes Microsoft executable program * 0.5 -- 'Message-Id' was added by a relay (3) * 1.9 -- hotmail.com 'From' address, but no 'Received:' * 3.7 -- Forged mail pretending to be from MS Outlook * 0.5 -- Message has X-MSMail-Priority, but no X-MimeOLE * 0.4 -- Spam tool pattern in MIME boundary ---- End of SpamAssassin results
X-Spam-Flag: YES
Subject: sp* Re: Your application


記事No.14153/タイトル:Re: ウイルスメールのヘッダの発信サーバが....
投稿日:2003/09/01(Mon) 16:23:59 / 投稿者:管理人
★ツリー/親記事[14152]+前記事[14152]

ID-code:y3CHxCiT3dI(本記事は投稿者自身により09/02-00:37に修正されました)

さっきのはいつものbiglobe宛で今度のはこの掲示板で
名乗っているメアド宛。

Return-Path: <mugi@xwa2.so-net.ne.jp>
Delivered-To: yyy-stakasa@yyy
Received: (qmail 12475 invoked
by uid 89);
1 Sep 2003 15:59:31 +0900
Delivered-To: xxx-my_antispam_bbs@xxx
Received: (qmail 10882 invoked
by alias);
1 Sep 2003 15:57:51 +0900
Received: from unknown (HELO WING003) (210.153.226.165)
by 192.168.1.126
with SMTP;
1 Sep 2003 15:57:51 +0900
From: <mugi@xwa2.so-net.ne.jp>
To: <my_antispam_bbs@xxx>
Date: Mon, 1 Sep 2003 15:57:51 +0900
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Status: U
X-UIDL: 1062399571.12479.yyy
Content-Type: multipart/mixed; boundary="_NextPart_000_00D73688"
X-Spam-Status: Yes, hits=5.7 required=5.0 tests=FORGED_MUA_OUTLOOK,MICROSOFT_EXECUTABLE, MIME_BOUND_NEXTPART,MISSING_MIMEOLE,MSGID_HAS_NO_AT, NO_REAL_NAME version=2.55
X-Spam-Level: *****
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
X-Spam-Report: ---- Start SpamAssassin results 5.70 points, 5 required; * 1.0 -- From: does not include a real name * 0.0 -- Message-Id has no @ sign * 0.1 -- RAW: Message includes Microsoft executable program * 3.7 -- Forged mail pretending to be from MS Outlook * 0.5 -- Message has X-MSMail-Priority, but no X-MimeOLE * 0.4 -- Spam tool pattern in MIME boundary ---- End of SpamAssassin results
X-Spam-Flag: YES
Subject: sp* Re: Approved

Return-Path: <root@xwww2.0catch.com>
Delivered-To: yyy-stakasa@yyy
Received: (qmail 10170 invoked
by uid 89);
1 Sep 2003 15:56:04 +0900
Delivered-To: xxx-my_antispam_bbs@xxx
Received: (qmail 10162 invoked
by alias);
1 Sep 2003 15:56:03 +0900
Received: from unknown (HELO WING003) (210.153.226.165)
by 192.168.1.126
with SMTP;
1 Sep 2003 15:56:03 +0900
From: <root@xwww2.0catch.com>
To: <my_antispam_bbs@xxx>
Date: Mon, 1 Sep 2003 15:56:03 +0900
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Status: U
X-UIDL: 1062399364.10172.yyy
Content-Type: multipart/mixed; boundary="_NextPart_000_00D58F26"
X-Spam-Status: Yes, hits=5.7 required=5.0 tests=FORGED_MUA_OUTLOOK,MICROSOFT_EXECUTABLE, MIME_BOUND_NEXTPART,MISSING_MIMEOLE,MSGID_HAS_NO_AT, NO_REAL_NAME version=2.55
X-Spam-Level: *****
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
X-Spam-Report: ---- Start SpamAssassin results 5.70 points, 5 required; * 1.0 -- From: does not include a real name * 0.0 -- Message-Id has no @ sign * 0.1 -- RAW: Message includes Microsoft executable program * 3.7 -- Forged mail pretending to be from MS Outlook * 0.5 -- Message has X-MSMail-Priority, but no X-MimeOLE * 0.4 -- Spam tool pattern in MIME boundary ---- End of SpamAssassin results
X-Spam-Flag: YES
Subject: sp* Re: Your application

Return-Path: <ichirou@xkatch.ne.jp>
Delivered-To: yyy-stakasa@yyy
Received: (qmail 9310 invoked
by uid 89);
1 Sep 2003 15:54:06 +0900
Delivered-To: xxx-my_antispam_bbs@xxx
Received: (qmail 9293 invoked
by alias);
1 Sep 2003 15:54:04 +0900
Received: from unknown (HELO WING003) (210.153.226.165)
by 192.168.1.126
with SMTP;
1 Sep 2003 15:54:04 +0900
From: <ichirou@xkatch.ne.jp>
To: <my_antispam_bbs@xxx>
Date: Mon, 1 Sep 2003 15:54:02 +0900
X-MailScanner: Found to be clean
Importance: Normal
X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MSMail-Priority: Normal
X-Priority: 3 (Normal)
MIME-Version: 1.0
Status: U
X-UIDL: 1062399246.9312.yyy
Content-Type: multipart/mixed; boundary="_NextPart_000_00D3BD99"
X-Spam-Status: Yes, hits=5.7 required=5.0 tests=FORGED_MUA_OUTLOOK,MICROSOFT_EXECUTABLE, MIME_BOUND_NEXTPART,MISSING_MIMEOLE,MSGID_HAS_NO_AT, NO_REAL_NAME version=2.55
X-Spam-Level: *****
X-Spam-Checker-Version: SpamAssassin 2.55 (1.174.2.19-2003-05-19-exp)
X-Spam-Report: ---- Start SpamAssassin results 5.70 points, 5 required; * 1.0 -- From: does not include a real name * 0.0 -- Message-Id has no @ sign * 0.1 -- RAW: Message includes Microsoft executable program * 3.7 -- Forged mail pretending to be from MS Outlook * 0.5 -- Message has X-MSMail-Priority, but no X-MimeOLE * 0.4 -- Spam tool pattern in MIME boundary ---- End of SpamAssassin results
X-Spam-Flag: YES
Subject: sp* Re: Your application


記事No.14163/タイトル:アドレス伏せた方が… (Re: ウイルスメールのヘッダの発信サーバがムトーさんの....)
投稿日:2003/09/01(Mon) 23:46:42 / 投稿者:白梟
★ツリー/親記事[14152]+前記事[14152]
-レス記事[14166]

ID-code:VZYXNtkShLg

 あのぅ、Sobig.F なら From も Return-Path も感染者とは無関係なアドレスですから、
伏せた方が良くないですか?
(他スレッドの、A1 さんもそうですけど。)

この掲示板は@を全角に置換しているとはいえ、それでもアドレスを拾っていく性悪
スパマーもいるかもしれませんし…。

> さっき届いた以下のウイルスメール(例のごとくSobig.Fだった)
> は、さてはて、なんか発信サーバに見覚えが....

えーっと、WING003 の部分の話ですよね?
Sobig.F はあまり受け取ってなくて知らないのですけど、ホスト名は感染者の
コンピューター名等から取得しているのでしょうか?

KLEZ だと、なんかてきとーに名乗っていましたし、どこかから取得した単語を
名乗っている可能性もあるような…。
#sage


記事No.14166/タイトル:確かにそうですね(Re: アドレス伏せた方が… (Re: ウイルスメールのヘッダの発信サーバがムトーさんの....))
投稿日:2003/09/02(Tue) 00:49:56 / 投稿者:管理人
★ツリー/親記事[14152]++前記事[14163]
-レス記事[14168]

ID-code:y3CHxCiT3dI

>  あのぅ、Sobig.F なら From も Return-Path も感染者とは無関係なアドレスですから、
> 伏せた方が良くないですか?
> (他スレッドの、A1 さんもそうですけど。)

 ちょっと興味深いことがあったりして、すっかり忘れていました。
ただ思うところあって、伏せるのではなく、
ロボットで拾われても意味がないように
とりあえず私の投稿ではドメインに余計な文字を挟みました。
他の方も適宜対処して下さい。

> この掲示板は@を全角に置換しているとはいえ、それでもアドレスを拾っていく性悪
> スパマーもいるかもしれませんし…。
>
> > さっき届いた以下のウイルスメール(例のごとくSobig.Fだった)
> > は、さてはて、なんか発信サーバに見覚えが....
>
> えーっと、WING003 の部分の話ですよね?
> Sobig.F はあまり受け取ってなくて知らないのですけど、ホスト名は感染者の
> コンピューター名等から取得しているのでしょうか?
>
> KLEZ だと、なんかてきとーに名乗っていましたし、どこかから取得した単語を
> 名乗っている可能性もあるような…。

 いや、この場合、IPアドレス自体もムトー氏御用達のIPなんですよね。
http://antispam.blfan.org/exhibit/mutouD2.htm#apinfo2

 確かに上のような疑問も沸くんですが一方で
ホスト名に関しては不明なところがあります。
というのも我々が送るメールは普通はプロバイダーの
メールサーバを使うわけですが、だからこそ
ウイルスの時にはデタラメなホスト名を名乗るのであり、
ムトーのように通常も自らのパソコンをメールサーバとして
発信している場合、ウイルスが発信した場合のホスト名と
一致する可能性もあるのではないでしょうか?

 ちょっと分からないんですけどね。
ちなみに今日は同じ所から3,40通来ていまして一番多いですが
私にはここ3,4日間、毎日10通は他の所から来ています。
皆Sobig.Fです。ここまでひどいのは初めてじゃないですかねえ。
(といってもちょっとホームページでのメアドの載せ方を
失敗したのでそれが原因かもしれない)


記事No.14168/タイトル:Re: 確かにそうですね
投稿日:2003/09/02(Tue) 02:00:06 / 投稿者:白梟
★ツリー/親記事[14152]+++前記事[14166]

ID-code:VZYXNtkShLg

>  いや、この場合、IPアドレス自体もムトー氏御用達のIPなんですよね。
> http://antispam.blfan.org/exhibit/mutouD2.htm#apinfo2

 それは失礼しました。
いえ、一応手元のスパムを検索してみたのですけど、完全に一致するものは見つけ
られなかったもので…。

>  確かに上のような疑問も沸くんですが一方で
> ホスト名に関しては不明なところがあります。
> というのも我々が送るメールは普通はプロバイダーの
> メールサーバを使うわけですが、だからこそ
> ウイルスの時にはデタラメなホスト名を名乗るのであり、
> ムトーのように通常も自らのパソコンをメールサーバとして
> 発信している場合、ウイルスが発信した場合のホスト名と
> 一致する可能性もあるのではないでしょうか?

 うーん、その可能性も否定はしませんが…。

 Sobig って、SMTP エンジンを自前で持ってますよね。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F

プロバイダーの SMTP を経由する必要がないからこそ、何の障害もなく
Return-Path も偽造できるのだし、SMTP エンジンを持っている所為で、
Sobig の作成者はスパム業者ではないかと勘ぐられたりもしている。

□ZDNN:感染広げるSobig.Eウイルス、犯人はスパム業者か
http://www.zdnet.co.jp/news/0306/26/ne00_sobig.html

一番下の Received からして、こっち(受信者側)のサーバーが記述しているし、
例え感染したのがロリムトー関係者のPCだったとしても、スパム送信用に普段
使っている SMTP サーバーを介してはいないと思います。
で、WING003 部分を名乗っているのは、Sobig だと。

まぁ、IP アドレスからして、ロリムトー関係者が感染した可能性も確かに
ありますが…。

> ちなみに今日は同じ所から3,40通来ていまして一番多いですが
> 私にはここ3,4日間、毎日10通は他の所から来ています。
> 皆Sobig.Fです。ここまでひどいのは初めてじゃないですかねえ。

 私のところでは、メールアドレスを載せている割に数えるほどしか受け取って
いません。むしろ未だに KLEZ の方が多いぐらい。
聞くところに依ると、一人の感染者から多い場合では一日数百通ものメールが届く
そうで、迷惑な話です。

Klez の時は、まだしも Return-Path が信用できる場合が多かったので、直接
本人に連絡することも出来たけど、それも出来なくなってるし…。
#sage


[掲示板に戻る] [HTML化ログ 大目次へ][ツリー一覧0027番へ]
bokumetusiteki