|
[38] Tue Jun 01 15:19:41 JST 2004 投稿者: KS生 「再びNetsky.Dウイルスの被害拡大?」 しばらく鎮静化していたNetsky.Dウイルス付きメールの被害が再び拡大しているようです。先月半ばから今日までに当方に着信したNetsky.Dウイルス付きメールの概要をまとめて報告しておきます。 1)k-unet会員名で発信されたもの ・5/16 13:31 yu-itou@jcom.home...... ・5/18 20:55 baba@ma.kcom...... ・5/31 09:47 yas-ishi@js8.so-net...... ・5/31 20:22 m.kanazawa@en2.exeo...... ・6/01 13:36 konoryu@mvd.biglobe...... 2)その他の発信者名(不明者)で発信されたもの ・5/10〜6/1 12件 なお、1)のケースで、本当の発信元が単独かあるいは複数か、以前(4月前半)に流行した時の発信元と同一かあるいは異なるか、などについては今のところ不明です。 以上 -------------------------------------------------------------------------------- [36] Thu May 06 15:30:10 JST 2004 投稿者: KS生 「Netsky系ウイルス・メール着信レポート」 ゴールデン・ウィーク中(直前を含む)に、Netsky系のウイルス(ワーム)3種類が含まれたメールが合計9件着信していますので、報告しておきます。大部分が比較的新参のNetsky.Pがらみのものです。なお、k-unet会員名で発信されたものは1件もありません。 1)Netsky.D 1件 (5/5着信) 2)Netsky.P 7件 (4/27〜5/4着信) 3)Netsky.Q 1件(5/5着信) 以上 -------------------------------------------------------------------------------- [34] Mon Apr 26 17:04:57 JST 2004 投稿者: KS生 「ワームNetsky.P」 Netsky.D付きメールの着信は一段落したようです。(k-unet会員名でのNetsky.D付きメールの着信は4月18日が最後で、その後はゼロ。ただし、正体不明の発信者名で2件の着信あり。) 一方、新手のワーム”Netsky.P”付きのメール(発信者名はいずれも正体不明)が昨日からの2日間で5件着信していますので、会員の皆様も注意して下さい。 参考までにNetsky.Pの特徴を列挙しておきます。 1)差出人:詐称される。 2)件名、本文:いずれも英文で数十種類の中から選ばれる。 3)添付ファイルを開くとワームが活動を開始するが、「不適切な MIME ヘッダーが原因で Internet Explorer が電子メールの添付ファイルを実行する (MS01-020)」という脆弱性を利用しているため、この脆弱性に対応する修正パッチを適用していないパソコンでワームメールを受信した場合、そのメールを本文表示またはプレビューするだけで添付されているワームが自動的に実行されるので要注意。 4)発信者名に"support@symantec.com"、件名に"Re:Virus Sample"などが使用されるケースもあり、仕掛けは一層巧妙になっているので見かけに騙されないように要注意。 5)最初の情報発表:2004.3.23(シマンテック) 以上 -------------------------------------------------------------------------------- [33] Wed Apr 21 11:43:48 JST 2004 投稿者: 嶋田 ウイルスなどを防ぐために、Outlook Expressのオプションの設定を次のようにしています。 Outlook Expressのオプションの設定 ■セキュリティ 使用するInternet Explorerセキュリティゾーンを選択してください。 ◎制限付きサイトゾーン(安全性が向上します。) 次にチェックを入れる。 「□ほかのアプリケーションが私の名前でメールを送信しようとしたら警告する。」 「□ウイルスの可能性がある添付ファイルを保存したりひらいたりしない。」 ■送信メール形式 テキスト形式 ■読み取り ○プレビューウィドウで表示するメッセージを自動的にダウンロードする チェックをはずす。 ◎メッセージはすべてテキスト形式で読み取る。 チェックを入れる。 ■確認メッセージ 開封確認メッセージを送信しない チェックを入れる。 ■メッセージのクリーアップ 終了時に「削除済みアイテム」を空にする -------------------------------------------------------------------------------- [32] Thu Apr 15 21:18:34 JST 2004 投稿者: KS生 <続き−2> 上記の条件に合致する方は、”ぜひとも”下記のいずれかの方法で自分のパソコンがNetsky.Dウイルスに感染していないかチェックしてみて下さい。 1)プロバイダーのホームページに掲載されているオンラインの「ウイルスチェックサービス」(おそらく無料)を利用する。 2)トレンドマイクロなどウイルス対策ソフトベンダーのホームページに掲載されている「ウイルスバスターオンラインスキャン」(無料)などを利用する。 3)ウイルス対策ソフトをインストールしている場合には、最新版にアップデートしたうえでウイルススキャンを実行する。 以上 -------------------------------------------------------------------------------- [31] Thu Apr 15 21:17:37 JST 2004 投稿者: KS生 <続き−1> Netsky.Dは送信者名を詐称(パソコンに保存されているメール・アドレスをそのまま流用)するとされていますので、上記のk-unet会員の方々も被害者ということになります。本当の発信元を確認する手立ては、本人が調べる以外にはないのですが、これまでに当方に着信したメールから次のような姿が浮かび上がります。 1)真の発信元はk-unet会員とみられる。 2)k-unetホームページの「ケイユーネット会員メールアドレス」ファイルを何らかの形で(おそらくは丸ごと)保存している。 3)パソコンをほぼ毎日使用している。 4)プロバイダーのウイルスチェック・サービスを利用していない。 5)ウイルス対策ソフトをインストールしていないか、インストールしていても、こまめにアップデートしていない。 6)次のいずれかを件名とするメールを受け取り、添付ファイルを開いたことがある。 Re: Your website/Re: Your product/Re: Your letter/Re: Your archive/Re: Your text/Re: Your bill/Re: Your details/Re: My details/Re: Word file/Re: Excel file/Re: Details/Re: Approved/Re: Your software/Re: Your music/Re: Here/Re: Re: Re: Your document/Re: Hello/Re: Hi/ Re: Re: Message/Re: Your picture/Re: Here is the document/Re: Your document/Re: Thanks!/Re: Re: Thanks!/Re: Re: Document/Re: Document 7)次のいずれかを本文とするメールを受け取り、添付ファイルを開いたことがある。 Your file is attached./Please read the attached file./Please have a look at the attached file./See the attached file for details./Here is the file./Your document is attached. <続く> -------------------------------------------------------------------------------- [30] Thu Apr 15 21:13:55 JST 2004 投稿者: KS生 「ウイルス・メール着信レポート(続報)」 4月6日に「ウイルス・メール着信レポート」を投稿した後も、k-unet会員のアドレスを送信者名とするNetsky.Dウイルス付きメールの着信が続いていますので、まとめて報告しておきます。 4月6日 15:23 eshimada@tcat...... 4月8日 8:54 sats@f6.dion...... 4月13日 9:14 kyoshida@ma.kcom...... 4月14日 10:58 yutaka-y@ma.kcom...... 4月15日 16:47 hideo@ieee..... <続く> -------------------------------------------------------------------------------- [29] Thu Apr 08 17:17:27 JST 2004 投稿者: 嶋田 KSさんから小生を発信人名とするウイルス付のメールを受信したとのお知らせを受けて、 驚いているところです。 小生は、東電系のテプコに加入し、ウイルスチェックサービスを利用しているので、 小生のシステムはウィルスに犯されていないと確信しているのですが、 もし会員の皆さんにそのようなメールが宛てられていた場合は即刻削除して 頂くようにお願いします。 小生は、添付付のメールを送ることはしておりませんので、ご注意ください。 -------------------------------------------------------------------------------- [28] Tue Apr 06 11:22:09 JST 2004 投稿者: KS生 「ウイルス・メール着信レポート」 この1ヶ月ほどの間に、送信者名を詐称するウイルス(Netsky.D、Netsky.Qなど)付きのメールがしばしば着信していますので、ここでまとめて報告しておきます。 1)Netsky.D(着信数:13件) このうち、送信者名がk-unet会員のものについて、参考までに日付とアドレスを列挙しておきます(ご本人には直接連絡していません)。 ・3/02 murakosi@r8.dion...... ・3/03 nhattory@vc.kcom...... ・3/25 chuyu-s@bird.zero...... ・3/31 ta-akira@ma.kcom...... ・3/31 k-yamada@mb.kcom...... ・4/04 m.sinozu@f4.dion...... 2)Netsky.Q(着信数:3件) これまでのところ、k-unet会員名のものはありません。 以上 -------------------------------------------------------------------------------- [27] Tue Mar 30 11:53:06 JST 2004 投稿者: KS生 「ワームNetsky.Q」 送信者名を詐称するワーム「Netsky.D」付きのメールがいまだに散発的に着信している昨今ですが、トレンドマイクロは新亜種「Netsky.Q」をイエローアラートに指定して警告しています。この関連で、3月29日付の「INTERNET Watch」記事(3月29日 22:00追記分)を引用しておきます。 ”トレンドマイクロや日本ネットワークアソシエイツ(NAC)などウイルス対策ベンダー各社は29日、日本や中国などを中心に感染を拡大しているウイルス「Netsky.Q」の追加情報を公開した。 Netsky.Qに感染すると、Windowsディレクトリに「SysMonXP.exe」として自分自身をコピーするほか、「FIREWALLLOGGER.TXT」や「ZIPO0.TXT」も自身のコピーとして同時に作成する。そして、レジストリを自分自身がWindows起動時に自動実行するように改変する。 Netsky.Qは、感染したPC内の拡張子「.html」や「.doc」「.txt」など、34種類の拡張子のファイルの中からメールアドレスを収集し、独自のSMTPエンジンを用いて自分自身を添付し、感染拡大を図る。その際の件名や本文は、あらかじめ用意された数種類からランダムに選択される。ただし、「@microsof」や「@mcafee」「@symantec」などの文字列を含むメールアドレスには自身を送信しないように細工されている。 また、添付ファイルは拡張子「.pif」だけではなく、現在は拡張子「.zip」「.scr」「.eml」を含む添付ファイルも確認されているという。 なお、トレンドマイクロ、シマンテック、NACの3社は最新のウイルス定義ファイルでNetsky.Qに対応しているため、ウイルス対策ソフトを利用中のユーザーは早急にウイルス定義ファイルをアップデートすることが推奨される。” -------------------------------------------------------------------------------- [26] Thu Mar 04 21:40:45 JST 2004 投稿者: KS生 「ウイルス作成グループ同士が抗争? 」 3月4日付けの「INTERNET Watch」は、現在盛んに活動している3つのウイルス作成グループが”戦争状態”にあると報道、その一部を引用すると: ”Bagle、Netsky、MyDoomの3つのウイルス作者達同士で、インターネットを誰が乗っ取るかを巡って、激しくかつ醜い言い争いが生じており、結果として世界的な規模の「サイバー戦争」状態になりつつある、とアンチウイルス企業3社が指摘した。それぞれのプレスリリースでは英文で「War」と記されているが、その実態は「抗争」と言い換えた方が正確かもしれない。 この危険な状態について指摘しているのはアンチウイルス企業の米Central Command、ロシアKaspersky、英Sophosの3社だ。3社ともBagle、Netsky、MyDoomの3つのウイルスのソースコードを解析し、その結果口汚く他のウイルス作者達を罵る言葉を発見したという。3社ともこの口汚い言葉をプレスリリースの中で述べているが、Sophosは「注意:お客様の中には下記のウイルスで使用されているいくつかの言葉を不快に感じられるかもしれません」との注意書きを添えているほどだ。 この内容を読んでいくと、Netskyの作者達はBagleに対して、Bagleの作者達はNetskyに対して、MyDoomの作者達はNetskyに対して対抗意識を抱いているようだ。2月27日以来、Bagleの作者達は9つの亜種を、そして同じ時期にNetskyの作者達は3つの亜種を世に放っている。それぞれの亜種は自身の感染拡大に努める一方で、互いのライバルを除去する仕組みを備えている。またMyDoomの作者達もNetskyに除去されない新亜種を放っている。 <中略> 多くの亜種が発生していることから、現実に感染力の強いウイルスがこれまでにないほど出回っている。こうした状況の中、アンチウイルスソフト定義ファイルのアップデートや、セキュリティ修正パッチを当てるなどの対策を確実に行なう必要性は今までになく高まっている。” 以上 -------------------------------------------------------------------------------- [25] Wed Mar 03 11:37:24 JST 2004 投稿者: KS生 「再び、ウイルスNetsky.Dが来訪」 昨晩から今朝にかけて大量メール送信型のウイルスNetsky.Dがついたメール3通が着信、今回はプロバイダーのチェックで警告されました。 うち1通はk-unet会員からのものでしたので、参考までに送信者名(詐称していると思われる)・件名・本文を記しておきます。 送信者:nhattory@vc.kcom.ne.jp 件名:「Re: Your picture」 本文:「See the attached file for details.」 シマンテックによれば、送信者名は詐称され、件名は20数種類、本文は6種類の中からそれぞれ無作為に選ばれるとのこと、また添付ファイル名は20数種類あり、末尾に「.pif」がつくとのこと。なお、添付ファイルを開かなければ、ウイルスが活動することはないとのことです。 以上 -------------------------------------------------------------------------------- [24] Tue Mar 02 09:58:14 JST 2004 投稿者: KS生 「シマンテックがNetsky.Dを警告」 シマンテックが大量メール送信型のウイルスNetsky.Cの亜種Netsky.Dを危険度4に指定して警告しています。 当方にも、昨晩、同ウイルスつきのメール1通が着信。シマンテックでも米国時間3月1日に対応したばかりのようで、プロバイダーのチェックにはかかりませんでしたが、使用している”Norton Antivirus”が作動してウイルスが自動的に除去されました。 参考までに、送信者名(詐称していると思われる)・件名・本文を記述しておきます。 ・送信者:.....@r8.dion.ne.jp (k-unet会員) ・件名:「Re: Word file」 ・本文:「Please read the attached file.」 以上 -------------------------------------------------------------------------------- [18] Mon Feb 09 16:31:29 JST 2004 投稿者: 嶋田 2月4日から2月9日にかけて10通のウイルス添付のメールが送られてきました。 すべてプロバイダのメールサーバでチェックされて、削除されましたが、 全部、K-unetの会員が発信者となっています。会員名を騙ったものかと思いましたが、 そうでもなく、その方達のメールボックスは満杯になってようです。 やはり、ウイルス・チェック・サービスを提供しているKCOMのようなプロバイダを 選んで、そのサービスを利用したほうが良いと思います。 -------------------------------------------------------------------------------- [17] Mon Feb 09 16:06:35 JST 2004 投稿者: KS生 「さらに、別の発信元からのウイルス・メールを受信」 今朝掲示板に#26を記入した後で、「......@h7.dion.ne.jp」とは別の発信元(k-unet会員で、アドレスが「......@h9.dion ne.jp」)から2通のウイルス付きメールを受信しました。ウイルスの種別は「Swen.A」です。 早速、本人に電話で連絡し、掲示板記事#26に記載したホームページで、ウイルス除去方法を参照・実行するようrecommendしました。 この機会に同ウイルスの感染の態様・特徴を記しておきます。 1)Swen.Aは昨年9月19日付けでマイクロソフト社ほかが情報公開したウイルスで、マイクロソフトからのセキュリティ対策を促すメッセージを偽装、添付ファイルを開くと活動を開始する。本文を表示するかプレビューするだけでも感染する可能性があるという。 2)次のようなユーザーが感染する可能性が高い。 ・ウイルスへの警戒心が薄く、プロバイダーのウイルス・チェック・サービスを利用していない。 ・ウインドウズの更新情報に関心が薄く、Internet Explorerの脆弱性に関する修正プログラム等を適用していない。 ・プレビューを解除していないか、解除していても不審なメールを開けたことがある、または添付ファイルを開いたことがある。 3)ウイルスに感染すると、パソコン内に保存してあるメールアドレスを取り出し、ウイルスつきのメールを次々に自動送信するが、警報措置(k-unetホームページ・トップ参照)をしていないと発信元は気がつかない。 当面は、当該メールの受信者が電話、メールなどで本人に通知し、ウイルス除去の努力をしてもらう、プロバイダーのウイルス・チェック・サービスの利用や「ウィンドウズの重要な更新」をこまめに実行することを呼びかける、などの対策が必要と思われます。 以上 -------------------------------------------------------------------------------- [16] Mon Feb 09 12:42:41 JST 2004 投稿者: E.Y.姓 皆さんこの掲示板見ているのでしょうか?若しあまり見られていないようなら無駄なので止めますが・・・ また、またウイルス進入の報告を受けました。昨日4件、今日は今のところ6件です。昨日と同じ・・・ @h7.dion.発信で4件。感染ファイル:exlrs.exe, hyzzne.com, ggcxrryx.exe, eubyqod.exe で、感染ウイルスはいずれも W32.Swen.A@mm です。 更に・・・@h9.dion.ne.jp 発信で、感染ファイル:Upgrade277.exe, hhfuzut.exe で、感染ウイルスは前4件と同じです。 こう毎日入るのでは抜本対策が必要ではないでしょうか?例えば、進入防止対策をしてないPCのアドレスを一時別ファイルに緊急避難させておいてアドレス帳を真っ白にしてしまう、などはいかがでしょう。 それにしてもしつこいウイルスです。 -------------------------------------------------------------------------------- [15] Mon Feb 09 10:53:12 JST 2004 投稿者: KS生 「マイクロソフトのアップグレード・プログラムを偽装したウイルス・メール:続報」 昨日#24に記入した件の続報です。昨日の4件に続き、今日も4件のウイルス付きメール(プロバイダーのウイルス・チェックで警告あり)を受信しました。 発信元は、昨日と同じ(EY生さんのケースと同じで「.........@h7.dion.ne.jp」)で、ウイルス種別は「Swen.A」です。 昨日当方から本人あてに通知したメールは、"temporarily over quota" のため配信できなかったとのプロバイダーからの通知があったため、今日電話で本人に連絡(すでに2人の方から電話連絡ありとのこと)、併せてウイルスの特徴・除去のための手順を解説したホームページを紹介しました。 関心のある方は、下記の手順で参照してください。 (1)k-unetホームページの「リンクのページ」カテゴリー6(コンピュータ・ウイルス)の最後の項目(「マイクロソフト(セキュリティ・セクション)」)をクリック。 (2)「ウイルス対策情報」の「Swenに関する情報」をクリックすると、発生の経緯、特徴、対策などを解説した記事が表示されます。 (3)具体的なウイルス除去方法については、同解説記事中のリンクからシマンテックやトレンドマイクロの関連ページへジャンプして参照することができます。 以上 -------------------------------------------------------------------------------- [14] Sun Feb 08 16:46:56 JST 2004 投稿者: E.Y.姓 最近立て続けにウィルスメールが入っているようです。今日も4件入りました。送受チェックにひっかかり、MY PCには着ませんが次のメールをjcomより受信しました。 ・・・これより・・・ お客様宛てに送信されたメールは、@NetHome VirusScan サービスによって駆除できないウィルスが発見された為、 メールを受信できませんでした。 以下のアドレスより送信されたメールです。 ・・・・・・@h7.dion.ne.jp 感染ファイル:q297584.exe 感染ウィルス:W32.Swen.A@mm ・・・・ここまで・・・・ どうして、こう、しくこくk-unet を狙うのか? 私は今のところ実害はないが、プロバイダーのチェックに引っかからないものが若しあったら、と心配している。 -------------------------------------------------------------------------------- [13] Sun Feb 08 15:33:56 JST 2004 投稿者: KS生 「再び、マイクロソフトのアップデート・プログラムを偽装したウイルス・メール」 今日、表題のウイルス汚染ファイル付きと思われるメール4通を受信、「プロパティ」の「詳細」ウインドウでReturn-Pathをチェックしたところ、いずれもk-unet会員(同一人)のメール・アドレスが記されていましたので、早速、本人にメールで通知、併せて対処方法を掲載しているホームページを紹介しました。 会員の皆様もご注意ください。 以上 -------------------------------------------------------------------------------- [10] Mon Jan 19 10:08:44 JST 2004 投稿者: KS生 「Microsoftからのアップグレード・プログラムを偽装したウイルスに注意!」 昨日、昨年9月に警戒情報(注)が流されたウイルス・メールと同類のものと疑われる英文のメール5通が受信されたので、会員の皆様の注意を喚起しておきたいと思います。5通のうち4通はウイルスに汚染されていると疑われる添付ファイル付きです。いずれも、プロバイダーのウイルスチェック・サービスで警告されましたので、ファイルを開かずにすべて削除したところです。参考のため、メールの「送信者」と「件名」を列挙しておきます。 <送信者> <件名> (1)MS Technical Assistance 「internet critical pack」 (2)Microsoft Customer Bulletin 「Newest Network Critical Upgrade」 (3)Microsoft Customer Center 「Internet Security Upgrade」 (4)Microsoft Corporation Program Security Division 「last internet critical pack」 (5)MS Internet Mail Delivery Service 「Undelivered Message: User unknown」 (注)INTERNET Watch 記事(03.9.19付け)など 以上 |