| [ 13612 ] 迷惑メール(spam)撲滅私的調査会 HTML化ログ |
|---|
ID-code:xQZSTnTLHXg
このようなメールを3日に4通、4日に2通受信しました。
何れも本文に関しては同内容です。
---------(引用)---------
Return-Path: <houhongkai@163.com>
Received: from anet-mail21.anet.ne.jp (mail21.anet.ne.jp [210.148.64.161]) by pop.***.ne.jp (3.08p) with SMTP id h733nOfu021632 for <***@***>; Sun, 3 Aug 2003 12:49:24 +0900 (JST)
Received: (qmail 10870 invoked by alias); 3 Aug 2003 12:49:23 +0900
Delivered-To: ****@anet.ne.jp
Received: (qmail 10864 invoked by uid 0); 3 Aug 2003 12:49:18 +0900
Received: from unknown (HELO sm212.163.com) (202.108.44.212)
by mail21.anet.ne.jp with SMTP; 3 Aug 2003 12:49:18 +0900
Received: from localhost (localhost [127.0.0.1])
by sm212.163.com (Postfix) with SMTP
id B85B71CF2F8C0; Sun, 3 Aug 2003 11:47:30 +0800 (CST)
Received: from friend (unknown [218.61.50.32])
by 192.168.1.212 (Coremail:163.com) with SMTP id 7QIAAGSFLD90LzIg.2
for <hkres@hkres.com>; Sun, 03 Aug 2003 11:45:45 +0800 (CST)
X-Originating-IP: [218.61.50.32]
Message-ID: <016d01c35971$f188d980$0100a8c0@friend>
From: "hk" <houhongkai@163.com>
To: <hkres@hkres.com>,
<-1-333MHz@1.2V>, <MHz@1.2V>,(…他多数のため省略)
Subject: =?gb2312?B?2Ua3vaTOwO3P66TOpKrP4MrWpLWkrKS3pN6kuaOh?=
Date: Sun, 3 Aug 2003 11:45:12 +0800
MIME-Version: 1.0
Content-Type: multipart/related;
type="multipart/alternative";
boundary="----=_NextPart_000_0149_01C359B4.B2BFDE90"
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.0000
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.0000
UbJG MIME 8qJ=5D>_SP:\6`2?7VO{O"!#
------=_NextPart_000_0149_01C359B4.B2BFDE90
Content-Type: multipart/alternative;
boundary="----=_NextPart_001_014A_01C359B4.B2BFDE90"
------=_NextPart_001_014A_01C359B4.B2BFDE90
Content-Type: text/plain;
charset="gb2312"
Content-Transfer-Encoding: base64
Qmxhbmu9WbvppLekv6SkpMjLvKTDpMakpKTrpKykyqSrpMqkq7P2u+GkpqXBpeOl86W5pMuQe6Te
pOykyqSk2Ua3vaGjDQpERENOSlC1pJZ8v0akx6TPpL2k86TK2Ua3vaTLvdTI1bG+pMvjv6TsoaLI
1bG+yMukyL1Zu+mkt6S/pKSkyL+8pKikxqSkpOvJ7dSqpM60X6SrpMrL2MfnpOmkt6Sk1tC5+t98
jI7KobWklnykzrP2ye2kzsWu0NSk8qS0vUK96aS3pN6kuaGjDQoNCrG+mt2kx71Zu+nP4MrWpPLM
vaS3pMakpKTr2Ua3vaGipLOk7KSrpOmkztDCpLekpMjLyfqk8tKKpMSksaTLs/akq6SxpN6kt6Tn
pKajodlGt72kzsjLyfqhosnZpLekx6Tiy73fX6SspKrK1oG7pKSkx6StpL+k6aTIy7ykw6TGpKqk
6qTepLmho7P2u+GkpKSrpOmktLPJu+mk3qTH2Ua3vaTOye2ky6TKpMOkxkREQ05KULWklny/RqSs
yKvYn8jOpPKz1qTDpMahorCyyKu0X4xnpMultaXdqWClyNbCpLek3qS5oaMNCg0KpKSkpLP2t+qk
pD8/Pz8/pL2kt6TGvVm76aTYPz8/Pz8NCmh0dHA6Ly93d3cuZGRjbmpwLmNvbQ0KZGRjbmpwQHZp
cC4xNjMuY29tDQoNCqTipLekqtCwxKeky6TKpMOkv6TpjvyXiaS3pMbPwqS1pKSho9LLpLekr6Sq
7oqkpNbCpLek3qS5oaMNCg0KDQoNCg0K
------=_NextPart_001_014A_01C359B4.B2BFDE90--
------=_NextPart_000_0149_01C359B4.B2BFDE90
Content-Type: image/gif;
name="Blank Bkgrd.gif"
Content-Transfer-Encoding: base64
Content-ID: <014801c35971$a4999150$0100a8c0@friend>
R0lGODlhLQAtAID/AP////f39ywAAAAALQAtAEACcAxup8vtvxKQsFon6d02898pGkgiYoCm6sq2
7iqWcmzOsmeXeA7uPJd5CYdD2g9oPF58ygqz+XhCG9JpJGmlYrPXGlfr/Yo/VW45e7amp2tou/lW
xo/zX513z+Vt+1n/tiX2pxP4NUhy2FM4xtjIUQAAOw==
------=_NextPart_000_0149_01C359B4.B2BFDE90--
---------(引用終わり)---------
このソースに反映されているかどうか判りませんが、
受信時にノートンアンチウイルスがRedlofを感知し、
ウイルス削除をしています。
ヘッダのTo:を見ると、自分がやっているウェブが、
メアド取得の巡回の踏み台にされた形跡が伺えますが、
感染したことで自動的に本文をコピーしてばらまくタイプのウイルスなのかどうかも判然としませんので、
すっきりさせたいです。
ちなみに、本文の内容はこのようなもの。
---------(引用)---------
Blank結婚したいと思っているがなかなか出会うチャンスに恵まれない貴方。
DDCNJP丹東縁ではそんな貴方に皆日本に憧れ、日本人と結婚したいと考えている身元の確かな素晴らしい中国遼寧省丹東の出身の女性をご紹介します。
本気で結婚相手を探している貴方、これからの新しい人生を見つけに出かけましょう!貴方の人生、少しでも私達がお手伝いできたらと思っております。出会いからご成婚まで貴方の身になってDDCNJP丹東縁が全責任を持って、安全確実にサポート致します。
いい出逢い?????そして結婚へ?????
http://www.ddcnjp.com
ddcnjp@vip.163.com
もしお邪魔になったら廃棄して下さい。宜しくお願い致します。
---------(引用終わり)---------
ID-code:NrppobISv22
ウイルスに付いては、このサイトは専門ではないので・・・
以下を参考にされると良いのではと思います。
http://www.ipa.go.jp/security/y2k/virus/cdrom/topic/redlof.html
http://www.symantec.com/region/jp/sarcj/data/h/html.redlof.a.html
#sage
ID-code:XOOTGUqUwQA
添付ファイルはtext/plain(本文)とimage/gifのみで、見たところ実行ファイルは含まれていないようです。
ウィルス警告はおそらくNAVの誤報と思われます。
これはただのspamです。
送信元ホストのIPアドレスは202.108.44.212、どうやら中国からの送信のようです。
ID-code:VZYXNtkShLg
> 添付ファイルはtext/plain(本文)とimage/gifのみで、見たところ実行ファイルは含まれていないようです。
> ウィルス警告はおそらくNAVの誤報と思われます。
おそらく誤報ではないと思います。
ノートンアンチウイルスの挙動についてはよく知りませんが、かのソフトは
ウイルス付きメールを受信した場合、メール全体を削除するのではなく、
該当部分のみを削除するとの話を聞いたことがあります。
ちょっと、公式な情報が見つからなかったのですが…。
http://arena.nikkeibp.co.jp/col/20020618/100774/
該当メールは…
>> Content-Type: multipart/related;
>> type="multipart/alternative";
との事ですから、本来はテキストパートと(同内容の)HTMLパートを兼ね備えた、
HTML メールだったんだと思います。
おそらくは元々は…
>> ------=_NextPart_001_014A_01C359B4.B2BFDE90--
>> >> ------=_NextPart_000_0149_01C359B4.B2BFDE90
…この部分の真ん中に「text/html」の部分があり、VBスクリプトで書かれた
Redlof をノートンアンチウイルスが関知して削除したのではないでしょうか。
桑木野さんの示された情報は読んでみましたが、ウイルス付きのスパムなのか、
単なるウイルス付きメールなのか、私としては判断に迷います。
ただ、アンチウイルスベンダーの情報には From アドレスを偽るとは書かれて
いないこと、ひな形を使うとはあっても本文の内容まで弄るとは書かれてないこと、
送信経路・本文内に記されたメールアドレスや URL・From アドレスが全て同一の
サービスを使ったものである事からして、スパムである可能性が高そうな気がします。
その場合、Redlof に感染したユーザーがスパムを送信しているのか、はたまた
意図的に Redlof の付いたスパムを送信しているのかは、謎ですけど。
# どうでもいいけど、 charset="gb2312" で日本語のメールって初めて見ました。
# charset=euc-kr で日本語のスパムなら、見た事ありましたが。
#sage
ID-code:gfXUbIYBc62
本文は、中国語から翻訳されたものではなく、
もとから日本語だったのでしょうか。
だとしたら、私も、このコードで日本語表記のものは初めてです。
それはさておきまして、
中国からのスパムは、htmlメールである事が非常に多いようです。
テキストパートを持つhtmlメールも、かなりの率です。
私は中国語のスパムは、月に50通〜 受け取っていますが、
今までウィルスつきのものは来た事がありません。
とはいえ、中国語スパムはどんどん増加しているようですし、
(中国語)スパムがウィルスに感染しているという事も、
大いにあり得る話だと思います。
いずれにしましても、迷惑&危険なメールであるわけですから、
送信に利用されているプロヴァイダに、
スパムである事、ノートンがredlofを検出した事を
併記して連絡してみてはどうでしょうか。
ID-code:xQZSTnTLHXg
> 送信に利用されているプロヴァイダに、
> スパムである事、ノートンがredlofを検出した事を
> 併記して連絡してみてはどうでしょうか。
とりあえず、ウイルス付きスパムという不気味なものは初めてでしたので、
とりあえず簡単な文面で連絡してみました。
ID-code:xQZSTnTLHXg
お手数かけてすいません。
> > おそらくは元々は…
> > >> ------=_NextPart_001_014A_01C359B4.B2BFDE90--
> >> >> ------=_NextPart_000_0149_01C359B4.B2BFDE90
> > …この部分の真ん中に「text/html」の部分があり、VBスクリプトで書かれた
> Redlof をノートンアンチウイルスが関知して削除したのではないでしょうか。
おそらく、ノートン先生の挙動から見て、そのように考えて間違いないと思います。
メール内よりtext/html部分を検疫に回す、という形でしたので。
ワクチンベンダーの記述ともつじつまが合いますし。
> > その場合、Redlof に感染したユーザーがスパムを送信しているのか、はたまた
> 意図的に Redlof の付いたスパムを送信しているのかは、謎ですけど。
ぼくもそこが一番の謎です。
ググって見ると、確かにそのサイトは存在しており、
何カ所かで掲示板spamも働いているようですので…
> > # どうでもいいけど、 charset="gb2312" で日本語のメールって初めて見ました。
本当にgbコードで日本語で書かれていたんです。なんか妙でした。
#sage
ID-code:NrppobISv22
> ぼくもそこが一番の謎です。
> ググって見ると、確かにそのサイトは存在しており、
> 何カ所かで掲示板spamも働いているようですので…
参考までに、こう言う記事もありましたので・・
「トロイの木馬」入りスパムが増加中
http://headlines.yahoo.co.jp/hl?a=20030804-00000004-wir-sci
以前から、HTMLの文中にスクリプトを仕掛けて、其れをトロイ誘導のトリガにすると言う話しはあります。
当方は観た事も、経験した事もありませんが。
#sage
ID-code:XOOTGUqUwQA
> > その場合、Redlof に感染したユーザーがスパムを送信しているのか、はたまた
> > 意図的に Redlof の付いたスパムを送信しているのかは、謎ですけど。
> > ぼくもそこが一番の謎です。
> ググって見ると、確かにそのサイトは存在しており、
> 何カ所かで掲示板spamも働いているようですので…
Redlofの挙動を調べてみました。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=VBS_REDLOF.A&VSect=T
どうやら、感染するとOEのテンプレートに自身のコードを埋め込むようです。
おそらく、Redlofに感染したシステムのOEを使ってメールを作成したため、メールにRedlofのコードが埋め込まれていた、と考えられます。
#Redlofのコードが埋め込まれたHTMLパートはNAVによって自動削除されていたのですね。
#不勉強ですみませんでしたm(_ _)m
#sage
ID-code:ayTXLU7Lo/Q
ミリ子です。
> おそらく誤報ではないと思います。
> ノートンアンチウイルスの挙動についてはよく知りませんが、かのソフトは
> ウイルス付きメールを受信した場合、メール全体を削除するのではなく、
> 該当部分のみを削除するとの話を聞いたことがあります。
私はNorton AntiVirusを常駐させてますが、ご指摘の通りの動きを
します。
ウィルスメールが来たな、と思ってフォルダの中を見てみると、
それらしきファイルはないので、受信時にNorton AntiVirusが
ウィルスファイルを削除しているようです。
#余談ですが、添付ファイルは受信時にメールと別の場所に格納するようにしてます。
#sage