[jamsat-bb:11473] ウィルス・長野のOCN会員の方、感染してますよ～

[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]

[jamsat-bb:11473] ウィルス・長野のOCN会員の方、感染してますよ～

From: Yoshihiro Imaishi JF6BCC <imaishi@syd.odn.ne.jp>
Date: Wed, 24 Apr 2002 10:56:47 +0900
Reply-To: jamsat-bb@jamsat.or.jp

JF6BCC 今石です。

  ちょっと off topic ですが、JAMSAT-BB 購読者で、長野の ACP に接続さ
れている OCN 会員の方、ウィルスに感染してますよ (^^;)。心当たりのある
方はＰＣをチェックして下さいね。

  なお、どのようにして感染者のめぼしをつけたかについて説明したいと思
います。皆さんも同様にすれば、親しくしている誰かが感染したかも知れな
い、と見当をつけ、電話なりで連絡することができるでしょう。感染た人を
非難するためではありませんので念のため。
  例として、今朝届いた２個を見て見ます。なお、個人情報につながりそう
な部分は **** などで一部伏せてあります。

<<１個目のヘッダから>>

Return-Path: <******@crux.ocn.ne.jp>
Received: from smtp.crux.ocn.ne.jp (crux.ocn.ne.jp [211.129.13.137])
	by www.jarl.com (Postfix) with ESMTP id AD2BE1A59C9
	for <jf6bcc@jarl.com>; Wed, 24 Apr 2002 10:03:27 +0900 (JST)
Received: from Gclmkwhml (p03-dn04ina.nagano.ocn.ne.jp [210.232.225.132])
	by smtp.crux.ocn.ne.jp (Postfix) with SMTP id D790A168D
	for <jf6bcc@jarl.com>; Wed, 24 Apr 2002 10:03:36 +0900 (JST)
From: postmaster <postmaster@jarl.com>
To: jf6bcc@jarl.com
Subject: Undeliverable mail--"the Garden of Eden"

  このウィルスメール。プロバイダのサーバからの「メールの配信に失敗し
ました」の通知を偽装してます。いや、偽装しているのではなく、過去にこ
の感染ＰＣから jarl.com メールを出して、配達不能で返事が戻ってきたこ
とがあって、それを利用してウィルスメールが作成された、と言うことなの
かも知れません。
  ヘッダ情報にある発信 PC 名 Gclmkwhml はウィルスがランダムに発生させ
たものですが、プロバイダ側がつけるユーザ情報 (p03-dn04ina.nagano.ocn.ne.jp
[210.232.225.132]) から OCN の長野の会員であることがわかります。
  ただし、後述しますが、****** (コールサインだった) は smtp サーバ名
と連携した偽装情報の可能性がありますので、この局が感染したことを示す
ものではありません。

<<２個目のヘッダから>>

Return-Path: <***@po.mirai.ne.jp>
Received: from po.mirai.ne.jp ([210.172.192.3])
 by ns2.jamsat.or.jp (NAVGW 2.5.1.18) with SMTP id M2002042410045227202
 for <jf6bcc@jamsat.or.jp>; Wed, 24 Apr 2002 10:04:56 +0900
Received: from Yvwrp (p03-dn04ina.nagano.ocn.ne.jp [210.232.225.132])
	by po.mirai.ne.jp (8.8.8+2.7Wbeta7/3.6W) with SMTP id JAA15603
	for <jf6bcc@jamsat.or.jp>; Wed, 24 Apr 2002 09:19:44 +0900 (JST)
Date: Wed, 24 Apr 2002 09:19:44 +0900 (JST)
Message-Id: <200204240019.JAA15603@po.mirai.ne.jp>
From: jh1pef <jh1pef@***.********.ne.jp>
To: jf6bcc@jamsat.or.jp
Subject: A very  humour game

  発信 PC 名 Yvwrp はウィルスが発生させた適当な名前ですが、ユーザ情
報は１件目と同じ、つまりこのウィルス付きメールも、１件目と同じパソコ
ンからのものです (^^;)。今度は発信者は *** となっていて smtp サーバ
名も違いますから、これらの情報が「偽装」されたものであることが確認で
きます。
  From も別人、Return-Path も別人、smtp サーバ名を切り替えることでプ
ロバイダのスパム対策もすり抜ける、と、なかなかに巧妙ですね。

  この２件でわかることは、(1) Outlook を使っていて (2) 受信したメー
ルの中に JH1PEF さんや私の書いたものがあって (3) jarl.com サーバから
過去にメール不達の連絡を受けたことがあって (4) OCN 会員で (5) 長野の
ACP を普段使っていて (6) 同時に mirai.ne.jp の会員でもある (らしい)
方が感染してしまったと言うことです。
  特に２個目は、私のあて先として jf6bcc@jamsat.or.jp が使われていま
すから、去年以前の JAMSAT-BB または AMSAT-BB への私の投稿から拾われ
たのでしょう。つまりこの方は JAMSAT-BB 読者の可能性が大、と。

  最後に、私と同様に金欠な方のために、無料のウィルスチェックソフト
とパーソナルファイアウォールソフトを紹介します。無料の製品だけに効果
をどれだけ期待してよいか、の問題は残りますが、全く何も対策しないより
は遥かにマシですよ。

AVG 6.0 Anti-Virus System (ウィルスチェック)
http://www.grisoft.com/html/us_index.htm
  無料なだけに効果のほどは未知数ですが、パターンファイルは頻繁にアッ
  プデートされていますし、ちゃんと検出してくれるようです。

ZoneAlarm (ファイアウォール)
http://www.zonelabs.com/products/za/freedownload2.html
  パソコン内部～インターネットのアクセスをするソフトを監視します。
  ウィルスに感染してメール攻撃が開始された時、それをブロックできま
  す

ZoneAlarm の日本語による紹介と日本語化パッケージ
http://www.www3.to/zonealarm/

- -
Yoshihiro Imaishi 今石良寛 - 福岡県北九州市
JF6BCC/KH2GR
mailto:jf6bcc@jarl.com  
http://plaza16.mbn.or.jp/~palau/ 
- -

-------------
JAMSAT BB Mailing List
http://www.jamsat.or.jp/infoserv/mlist.html

Prev by Date: [jamsat-bb:11472] ＡＯ－４０　Ｋ－ＭＢ・・久々の受信！
Next by Date: [jamsat-bb:11474] Re: K-MB
Prev by thread: [jamsat-bb:11474] Re: K-MB
Next by thread: [jamsat-bb:11478] AO-40 S2-beacon Apr.24
Index(es):
- Date
- Thread