[13212]  ウイルス感染源の特定がしたい
投稿者:Ken さん   2001-02-20 04:41:02
先日、メールチェックをしていて差出人も宛先も本文もないメールが届きました。
それにはexeファイルが一つ…いかにもウイルスっぽいのでチェックするとTROJ_Hybrisというワームでした。
自分への感染はありませんでしたが、非常に気になるのが「どこから届いたメールなのか?
ということです。
メールが届いたのはこの1通で、受信時間に近い、もしくは同じメールはありませんでした。
以下がメールのソースなのですが…

Date: Sat, 17 Feb 2001 00:46:26 +0900 (JST)
Message-Id: <200102161546.AAA03265@mail.geocities.co.jp>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--VEN81I3WD"
----VEN81I3WD
Content-Type: text/plain; charset="us-ascii"
----VEN81I3WD
Content-Type: application/octet-stream; name="NFMGLNNF.EXE"
Content-Transfer-Encoding: base64
Content-Disposition: attachment; filename="NFMGLNNF.EXE"

…どう見ても普通のメールとは違うんですよね。
これだけの事から一体どういうところまで分かるんでしょうか?
識者の方、ご助力下さい。
  1. (ぴ) さん   2001-02-20 06:01:53
    私は識者ではないので、はずし度 100% で恐縮ですが...

    >どこから届いたメールなのか?
    ##
    その mail の header に、"Received:" というところがありませんか?
    そこを見て、何か情報が得られればいいのですが...
  2. Kristi さん   2001-02-20 06:16:16
    私はアメリカ在住ですが、数週間前に似たようなexeファイル付きのメイルを
    二度受信しました。ウィルス情報などチェックしてみたのですが、該当するものは
    見当たらず、開けるのはあまりに危険なので削除しました。ファイル名は少し
    違っていたように思う(今出先なので、ファイル名をメモッた紙がない)
    のですが、英語として成り立たないファイル名であったことは確かです。
    ソースなど見ないで一目散に削除してしまったので、これ以上の情報は
    ありませんが、参考までに。
  3. みやた さん   2001-02-20 09:31:43
    このウイルス、添付ファイル名が適当に変わりますんで注意が必要です。
    確か、Fromの項目も無いので Received: で見当を付けるしかないのですが、この情報も本当かどうか解りません(--;
    逆アセンブルしたソースにざっと目を通しただけですが、MIME-Version: と、Content-Type の項目はプログラムで決め打ちしてたような気がします。
  4. HO@職場 さん   2001-02-20 11:41:26
    昨日のニュースでやってましたこのウイルス!
    DOSのexeの添付ファイルが付いてきて、それを実行するとプログラムがインストールされるそうです。普段はまったく実態がなく、PCに対して何も影響はないのだそうですが、インターネット上にあるプラグインを自動的にインストールして、突然凶悪になることがあるとか…。
    ニュースでは「ハイブリス」という名前(添付ファイルに付いてる)で呼んでました。
    先日の河○塾の一件がそれらしいです。くわばらくわばら…。
  5. HO@職場 さん   2001-02-20 12:18:03
    ↑すみません。ウイルスの情報だけで答にはなってませんでしたね。(汗…
  6. かげまる さん   2001-02-20 17:21:21
    最近、このウィルスって妙に猛威を振るっていませんか?
    それほど新種というわけでもないのに・・何故?f(--;
  7. かげまる さん   2001-02-20 17:27:52
    ちなみに、私の場合ReceivedはOCN経由が多かったような。
  8. Ken さん   2001-02-21 03:03:05
    たくさんのレスありがとう御座います。
    このウイルスに関しての情報はまずこちらを参照してください。
    http://www.symantec.com/region/jp/sarcj/data/w/w95.hybris.gen.html
    http://www.symantec.com/region/jp/sarcj/data/w/w95.hybris.gen.html

    トレンドマイクロの方に無償で修復できるツールがありました、心当たりのある方はダウンロードしてチェックしてみて下さい。
    http://www.symantec.com/region/jp/sarcj/data/w/w95.hybris.gen.html

    さて、メールのソースに関して「Recieved:」の項目を見るべきとの指摘がありますが、プロパティからメッセージのソースを何度見ても上に書いてある事しか書いてないんですよ…
    本当にあれだけしか無いんです。
    一応、ウイルスの付いたメールをエクスポートして圧縮してあるんですが調査などに使用する事を前提に、証拠としてお渡ししますが…やっぱ危ないですよね?
    今回の(自分にとっての)ウイルス騒動は感染元が特定できないというのが悔しいです。
    前回、Happy99.exeを受け取ったときには適切な処置が出来たんですけどね…