| [ 8998 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
ID-code:ZTgv5bNC/Hg
はじめまして。
ここ数日、ぽつりぽつりと知らないアドレスから画像(など)添付付
メールが届きます。で、私はMacユーザーですので、それがウィルスな
のか、誰かの嫌がらせなのか、わからないのです。アンチウィルスはい
れていますが、WIN用のウィルスですとスルーなので。
アドレスは毎回知らない人で、ヘッダーを見ますとかなりサーバーを
転々としているようなんですけど・・。添付ファイルは、いくつかは同
じタイトルの画像ファイルでした。あとは『.scr』という拡張子が付く
ものだとか。ウィルスに感染した人のPCから勝手に送られてくるものな
のか、意図的に送りつけているものなのか、何か判断できる方法はない
ものでしょうか?それによって対処方法も違ってくると思うので・・。
ぜひ、教えてください。宜しくお願いします。
ID-code:cwyFAwbTGmc
> じタイトルの画像ファイルでした。あとは『.scr』という拡張子が付く
> ものだとか。
たぶんウィルスです。
『.scr』というのは普通ならばスクリーンセイバーの拡張子だと思いますが、
そこにウィルスが仕込んであってウィンドウズ上で動かすと感染します。
本文がほとんどないか、
英語で「ゲームです」とか「ウィルスチェッカーです」とか書いてありませんか?
ID-code:Q6.FvZ8jpPM
レスありがとうございます。
> 本文がほとんどないか、
> 英語で「ゲームです」とか「ウィルスチェッカーです」とか書い
てありませんか?
本文はほとんどありませんでした。ひとつだけありましたが、『The f
ollowing mail can't be sent to xxxx@xxxx.ne.jp』と、送った覚えも
ないメールが送れなかったというものでした。
やっぱりウィルスでしょうか・・。
#sage
ID-code:pOoxOobGZGk
> やっぱりウィルスでしょうか・・。
むーらん氏が指摘している".scr"の拡張子の
添付ファイルが付いているものならウイルスでしょうね
そうでなければ、わかめ氏のメールアドレスを不正に使用している悪人がいるとか…
他人のメールアドレスは 案外簡単に使用する事が出来ますからね
#sage
ID-code:ZTgv5bNC/Hg
レスありがとうございます。
> むーらん氏が指摘している".scr"の拡張子の
> 添付ファイルが付いているものならウイルスでしょうね
1、2度『.scr』とついたものがありました。最近のはみな同じ『.jp
g』画像です。
> そうでなければ、わかめ氏のメールアドレスを不正に使用してい
る悪人がいるとか…
それが心配で、探ってみようと思ったのです・・。だんだん憂鬱にな
ってきました・・。一応自分のプロバイダにも連絡したのですが、返事
がこないんです。
#sage
ID-code:/q8xmlI5ru2
ヘッダの雰囲気を見るにウイルスメールであることは間違いないようですね。
で、そうですね、infoweb=niftyにお願いすればよろしいでしょう。
Received: は複数ありますが、捏造されたようなものではないです。
その他の点からみてもウイルスにかんせんしてしまって送っているようです。
で、いずれも
ntaich013216.aich.nt.isdn.ppp.infoweb.ne.jp
という感じのところから発信されているんですけど
これは愛知のISDN接続ということじゃないかなあ...
nifty会員で愛知県でISDNのお友達とかいませんか?
もしいるならそのお友達が感染した可能性が高いですね。
もそれで思い当たるようなことがあれば
その人はまず間違いなく「嫌がらせでやっているのではない」でしょう。
嫌がらせでやる場合に、行為者を隠すにはあまりに杜撰なヘッダですので。
特にこころあたりがなければniftyにお願いしてください。
お願い先は多分
abuse@nifty.com
でよいと思います。
ということはないでしょう。
> だんだん憂鬱になってきました・・。
> 一応自分のプロバイダにも連絡したのですが、返事がこないんです。
トラブルがあったとのことですが、まああまり過度には
心配なさらないように。今のご時世、ネットをやっていれば
ウイルスなど受け取るのは珍しいことではないですから。
まあ定期的・継続的に続くようなら調べたほうがいいですが。
ところでgoogleなどの検索でご自分のメールアドレスを検索して
確認したりしていますかね?
自分が心得ているところが検索結果として出てくるのは
よいのですが、誰かに詐称されたりした場合には自分では
覚えのないところで書き込まれたりしていることでしょう。
ID-code:Q6.FvZ8jpPM
レスありがとうございます。
事後報告もかねて・・と思ってたんですが、自分のプロバイダからもn
iftyからもナシのつぶてでして。自分のプロバイダなんて木曜日には相
談のメールを出しているのに、なんの音沙汰もなくて、そんなに時間が
かかるものなんでしょうかね。
> Received: は複数ありますが、捏造されたようなものではないで
す。
> その他の点からみてもウイルスにかんせんしてしまって送って
いるようです。
そうですか・・。ありがとうございます。
> nifty会員で愛知県でISDNのお友達とかいませんか?
それが、まったく心当たりがないのです。それなのに、その人のアド
レス帳には私のアドレスが載っているということなんですよね??あ、
それか知らない間にプロバイダを換えた人という事もあるのかな・・。
> トラブルがあったとのことですが、まああまり過度には
> 心配なさらないように。今のご時世、ネットをやっていれば
> ウイルスなど受け取るのは珍しいことではないですから。
はい。
後は、一応それぞれのプロバイダがどのような対応をしてくれるか、
という感じです。googleで検索してみましたが、とりあえずは出てきま
せんでした。
本当にいろいろとありがとうございました。少し毛色が違う相談でし
たが、親切にいろいろと教えていただいて、自分のところのプロバイダ
よりもありがたかったです(^^ゞ。それと、HPの方もいろいろとために
なりました。本当にありがとうございました。
ID-code:gfXUbIYBc62
わかめ様
@niftyは、残念ながら、報告は受け取ってもなかなか返事を出しません。
現象が続くようなら、二度、三度、abuse@nifty.com宛に
報告を出した方が良いかもしれません。
ところで、ウィルスによっては、感染した人のコンピュータの中身を調べ、
たとえば、InternetExplorerの一時ファイルなどに一時的に保存されている
htmlファイルなどから、メールアドレスをどんどん拾い出して
ウィルスメールを出してしまうというようなものもあります。
ですから、必ずしも、アドレス帳に載っていたからというような
事ではないかもしれません。
また、差出人(from欄だけではなくReturn-Pathなどまで)を
それらの中から探し出したメールアドレスを使って詐称するものもあり、
ウィルスメールは、発信元(感染元)を辿るのが非常に難しい場合が
多々あります。
一応、ご参考までに。
#sage
ID-code:/q8xmlI5ru2
こんにちは。
本来、ウイルスメールや嫌がらせメールは当サイトでの
対象外なんですけど、ヘッダ解析などの必要がありますので
相談して頂くのは歓迎(?)です。
> ここ数日、ぽつりぽつりと知らないアドレスから画像(など)添付付
> メールが届きます。で、私はMacユーザーですので、それがウィルスな
> のか、誰かの嫌がらせなのか、わからないのです。アンチウィルスはい
> れていますが、WIN用のウィルスですとスルーなので。
以下を参考にして下さい。
Q.スパム(一方的広告メール)なのか、他の迷惑メール
(ウイルスメール、嫌がらせメール)なのか分かりません。
http://www2g.biglobe.ne.jp/~stakasa/spam/spam-FAQ.html#buzhidao2
で、実際には
> アドレスは毎回知らない人で、ヘッダーを見ますとかなりサーバーを
> 転々としているようなんですけど・・。
おっしゃるようにヘッダの解析が必要です。
サーバを転々としているというのは
一つのメールのメールヘッダを、
http://mathom.jp/stak/index.html
で解析した場合に、
たくさんのネット業者が出てくるのではなく、
別々に届くウイルスメールのメールヘッダを
http://mathom.jp/stak/index.html
に入れると、そのたびごとに全く別々なプロバイダー、
特に有料プロバイダからとっかえひっかえ届いている感じが
するということでしょうか。
後者の場合でしたら嫌がらせをするのに
あちこちのプロバイダを使ってまで行うのはよほどのことですので、
嫌がらせによるウイルス送付ではなく
過失による送付だとみて良いと思います。
むろん断定は出来ず、それほど多くの人の
嫌がらせを受ける覚えがあれば別ですし、
世の中には金をつぎ込んでも嫌がらせをしようとする人もいるでしょうが
まあ普通嫌がらせは被害者が困っているのを見て楽しむ、
特に困らされているのを見て楽しむのがふつうなようですので
「嫌がらせかどうか分からない」ようにはしないのが一般的なようです
> 添付ファイルは、いくつかは同
> じタイトルの画像ファイルでした。あとは『.scr』という拡張子が付く
> ものだとか。ウィルスに感染した人のPCから勝手に送られてくるものな
> のか、意図的に送りつけているものなのか、何か判断できる方法はない
> ものでしょうか?それによって対処方法も違ってくると思うので・・。
> ぜひ、教えてください。宜しくお願いします。
まず、ウイルスの基本は分かっておられるようなので
http://earth.endless.ne.jp/users/stakasa/spam/bingdu.html
は必要ないでしょうが
ウイルスがたくさん定期的に来る場合、なかなか止まらない場合
http://earth.endless.ne.jp/users/stakasa/spam/bingdu-chuli.html
はお読みになりましたかね?
とても人気のサイトなどを持っていて、そこの「トップページ」で
メアドを公開したりなどしているとウイルスが多くなってしまいますが、
ウイルスの場合にはそこに書いてある
少しのサイト上の工夫で減らせると思われます。
一方、もしネット上でそれほど活発な活動をしていないのに
やたらウイルスが届く場合には少し原因を究明した方がいいかもしれません。
どのような活動をしておられて(具体的には必要ありません、
たとえばトップページに毎日百人ほど訪問してくるサイト運営だとか
サイトの全てのホームページにメアドを記しているとか)
どれくらいの頻度で届いているのでしょうか?
分かっておられる気がしますが、単発のウイルスメールから
それが嫌がらせか過失かを判断するのはなかなか困難ですけど
ヘッダをいくつかここで見せて頂いたり、
ご自分でもとにかくウイルスが届き次第
http://mathom.jp/stak/index.html
につっこみ、どこのネット業者か確認することでだいたい判定がつきましょう。
ID-code:ZTgv5bNC/Hg
レスありがとうございます。
対象外という事で、どこまでおたずねしてよいものかわからないので
すが・・。
> 別々に届くウイルスメールのメールヘッダを
> http://mathom.jp/stak/index.html
> に入れると、そのたびごとに全く別々なプロバイダー、
> 特に有料プロバイダからとっかえひっかえ届いている感じが
> するということでしょうか。
ひとつのメールでは3つくらい経由しているようです。実は最初の頃
に届いたメールは、単純に誰か感染しちゃったんだな、と思ってそのま
ま捨ててしまったのです。知らない人のアドレスでしたし、最近のウィ
ルスはアドレス詐称するからどうしようもないと思って。今残っている
サンプルは3つしかないのですが、そのどれもが、一番最後に記載され
ている『Received』が同じところのようです。
> 分かっておられる気がしますが、単発のウイルスメールから
> それが嫌がらせか過失かを判断するのはなかなか困難ですけど
そうですよね、、。以前ネット上でトラブルのようなものがあったこ
とはあったので、その関係かもしれないと思いまして、、。
ちょっとわかりにくいかもしれんせんが、ヘッダーを掲載します。『x
』が使ってあるのは、私の情報です。『A』『B』『C』『D』『E』はそ
れぞれ他人の情報です。『A』『D』は同じniftyですが、文字列が違っ
たので一応別モノとしました。もし他に掲載してはまずい情報があれば
、管理人さま、お手数ですが直していただけますでしょうか。
Return-Path: <AAAAA.AAA@nifty.com>
Delivered-To: watashi@xxxx.or.jp
Received: (qmail 19427 invoked from network); 20 Feb 2003 20:40
:30 +0900
Received: from unknown (HELO mail505.nifty.com) (202.248.37.213
)
by xx.xxxx.or.jp with SMTP; 20 Feb 2003 20:40:30 +0900
Received: from Copwils (ntaich013216.aich.nt.isdn.ppp.infoweb.n
e.jp [61.121.42.216])
by mail505.nifty.com with SMTP id h1KBe0P5009796
for <watashi@xxxx.or.jp>; Thu, 20 Feb 2003 20:40:0
0 +0900
Date: Thu, 20 Feb 2003 20:40:00 +0900
Message-Id: <200302201140.h1KBe0P5009796@mail505.nifty.com&g
t;
From: BBBB <BBBB@spamcop.net>
To: watashi@xxxx.or.jp
****************************************
Return-Path: <CCCCC@CCC-CCCC-jp.com>
Delivered-To: watashi@xxxx.or.jp
Received: (qmail 4566 invoked from network); 27 Feb 2003 21:24:
59 +0900
Received: from unknown (HELO smtp.asahi-it.com) (210.174.168.20
0)
by xx.xxxx.or.jp with SMTP; 27 Feb 2003 21:24:59 +0900
Received: from Hneb (ntaich009094.aich.nt.isdn.ppp.infoweb.ne.j
p [211.133.10.94])
by smtp.asahi-it.com (8.11.1/3.7W) with SMTP id h1RCOV05
4329
for <watashi@xxxx.or.jp>; Thu, 27 Feb 2003 21:24:3
1 +0900 (JST)
Date: Thu, 27 Feb 2003 21:24:31 +0900 (JST)
Message-Id: <200302271224.h1RCOV054329@smtp.asahi-it.com>
From: postmaster <postmaster@xx.xxxx.or.jp>
To: watashi@xxxx.or.jp
Subject: Undeliverable mail--"ver5.42p (02"
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=K7KYqd74L4G529961x8044n80x1Tz79H1e4pQ
****************************************
Return-Path: <DDDDDD@nifty.com>
Delivered-To: watashi@xxxx.or.jp
Received: (qmail 28801 invoked from network); 1 Mar 2003 18:31:
22 +0900
Received: from unknown (HELO mail501.nifty.com) (202.248.37.209
)
by xx.xxxx.or.jp with SMTP; 1 Mar 2003 18:31:22 +0900
Received: from Pfrbgpc (ntaich003049.aich.nt.isdn.ppp.infoweb.n
e.jp [202.219.185.177])
by mail501.nifty.com with SMTP id h219UdAx021593
for <watashi@xxxx.or.jp>; Sat, 1 Mar 2003 18:30:39
+0900
Date: Sat, 1 Mar 2003 18:30:39 +0900
Message-Id: <200303010930.h219UdAx021593@mail501.nifty.com&g
t;
From: EEEE <EEEE@microsoft.com>
To: watashi@xxxx.or.jp
Subject: Darling
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=HH5H93GiGPu37vqeS78V4P8091TsR9S2n21
以上なんですが・・。
やはり苦情を訴えるには、infowebに訴えればよろしいのでしょうか?
#sage
ID-code:/q8xmlI5ru2
ヘッダの雰囲気を見るにウイルスメールであることは間違いないようですね。
で、そうですね、infoweb=niftyにお願いすればよろしいでしょう。
Received: は複数ありますが、捏造されたようなものではないです。
その他の点からみてもウイルスにかんせんしてしまって送っているようです。
で、いずれも
ntaich013216.aich.nt.isdn.ppp.infoweb.ne.jp
という感じのところから発信されているんですけど
これは愛知のISDN接続ということじゃないかなあ...
nifty会員で愛知県でISDNのお友達とかいませんか?
もしいるならそのお友達が感染した可能性が高いですね。
もそれで思い当たるようなことがあれば
その人はまず間違いなく「嫌がらせでやっているのではない」でしょう。
嫌がらせでやる場合に、行為者を隠すにはあまりに杜撰なヘッダですので。
特にこころあたりがなければniftyにお願いしてください。
お願い先は多分
abuse@nifty.com
でよいと思います。
ちなみにMacのウイルスソフトってWindowsのウイルスを検知してくれないんですか?
それはそれで不親切ですね。
別にOS固有のアプリケーションで判断しているのではなく
個別のデータ特性から判断していると思うので
別なOSのウイルスもチェックしてくれればよいと思うんですけど。
ID-code:D8WlO7jzrlg
> ちなみにMacのウイルスソフトてWindowsのウイルスを検知してくれないんですか?
え〜と、します。(^^;)
最新のウィルス対策ソフトであればちゃんと教えてくれますが、Win対象の.scrなんて、そもそもMacでは動作しませんのでご安心下さい。
(vbsのウィルスはきちんと以前から対処してくれます)
Macしか使っていない助手や教授の研究室発を名乗るウィルスメールが学科内で流行ったときがありますが、
「俺、Macしか使ってないんだけどねぇ」
「私の名義でウィルスメールが出回っているようですが私は無実ですから(苦笑)」
等という会話があるくらいですからね...。
というか、市場シェア4〜5%の為にウィルスつくる人も珍しいと思いますが...。
あと、脱線しまくりですが、MacOS Xは防御をきちんとして下さいね。
こっちは正真正銘のPC-UNIX、FreeBSDですから、ワームを飼育すると大変なことになります。
こちらには十分注意することをお願いします。
#sage
ID-code:i0mPDRH/Jo.
> > ちなみにMacのウイルスソフトてWindowsのウイルスを検
知してくれないんですか?
> え〜と、します。(^^;)
そうなんですか?私の周りにはS社のウィルスソフトを使っている人ば
かり(自分も)ですが、全部スルーでしたよ??OSが最新じゃないから
かな。あ、ウィルスソフトのバージョンが最新じゃないからですね。き
っと。
まったく余談ですが、会社のMacで、得意先からなんの連絡もなく届い
た添付ファイル付きのメールを『ねえ、これMacじゃ開けないからWINで
開いてみてくれない?』と実に簡単に開こうとしてくれるぐらい、Mac
ユーザーってウィルスに対する危機意識が薄いと感じてしまいます。不
審に思ったのでよくよく調べてみたら、その添付はやっぱりウィルスで
した(^^ゞ。
> あと、脱線しまくりですが、MacOS Xは防御をきちんとして下さ
いね。
> こっちは正真正銘のPC-UNIX、FreeBSDですから、ワームを飼育す
ると大変なことになります。
そうなのですね。それはとてもありがたいご忠告です。心しておきま
す。
sageるのを忘れてしまいました。ごめんなさい。
#sage
ID-code:tOjIOMCGlOo
> ここ数日、ぽつりぽつりと知らないアドレスから画像(など)添付付
> じタイトルの画像ファイルでした。あとは『.scr』という拡張子が付く
Klezでしょう。
中身を「解凍」してバイナリダンプして "Rich" "HELO" みたいなのが
入っていればそうです(かなり乱暴な判定方法)
Macには感染しません。(Virtual PCでなら…)
Klezは、
*)感染機のHDDを片っ端から漁り、メールアドレスらしきものを抽出
*)送る。送信者(From:)も適当に漁ったものに詐称。
*)おまけに感染機中の適当なファイルを添付。
内容は関知しないので、えろ画像だったり(秘)Word文書だったりする。
(そんな面白いものが来たことはありませんが)
Klezは誰でも分け隔てなくばらまくわけではなく、
「有名人」(多くの人のMSIEのキャッシュとかに
メールアドレスが載ってそうな人)の所に
たくさん集まる傾向があります。
ウィルス対策をしない人は世界中にいるので
送信元は一定しません。ろくに管理者のいないサーバーだと
継続的に来ることがありますが。
#私も超有名ソフトのリリースノートにアドレスがあるので
#かなりたくさん来る
#sage