Netskyがやってきた
今日はW32.Netsky.D@mmというウイルスさんが沢山やって来られました。その度にノートン先生のウインドウがポップアップしてます。なんだか大忙し(^_^;)
ということで、折角の機会なので届いたウイルスメールをじっくりと眺めてみました。
The original message was received at Tue, 16 Mar 2004 09:14:56 +0900 (JST)
from ******.ppp.dion.ne.jp [219.125.132.***]
----- The following addresses had permanent fatal errors -----
<*******.rakuten.co.jp>
(reason: 550 5.1.1 <*******.rakuten.co.jp>... User unknown)
(expanded from: <******@mail26.rakuten.co.jp>)
----- Transcript of session follows -----
.... while talking to emx.rakuten.co.jp.:
>>> RCPT To:<******@emx.rakuten.co.jp>
<<< 550 5.1.1 <******@emx.rakuten.co.jp>... User unknown
550 5.1.1 <******@mail26.rakuten.co.jp>... User unknown
----- Original message follows -----
Return-Path: <ワタシのメールアドレス>
Received: from mail26.rakuten.co.jp
by mail26.rakuten.co.jp (RKMGw 1.2) with ESMTP id i2G0EsL78265;
Tue, 16 Mar 2004 09:14:56 +0900 (JST)
From: ワタシのメールアドレス
To: ******@mail26.rakuten.co.jp
Subject: Re: Your text
Date: Tue, 16 Mar 2004 09:10:23 +0900
ふむふむ。要するに
- Netskyに感染したDION接続のPCが
- 差出元をワタシのメアドに偽装して
- 楽天の存在しないメールアドレスに送信
- 楽天が「そんなユーザは居ねぇ」と返信
- ワタシに返信されたエラーに添付されたファイルがウイルス
という仕掛けなんですね。ふむふむ。
X-Symantec-TimeoutProtection: 0
Return-Path: <*****@ala.mag2.com>
Received: from ワタシのドメイン (******.ppp.dion.ne.jp [219.125.134.***])
with ESMTP id i2G7Yvd31667 for <ワタシのメールアドレス>;
Tue, 16 Mar 2004 16:34:58 +0900
From: *****@ala.mag2.com
To: ワタシのメールアドレス
Subject: Re: Hi
Date: Tue, 16 Mar 2004 16:34:32 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0013_000058AA.0000149E"
X-Priority: 3
X-MSMail-Priority: Normal
X-UIDL: ?VS"!0'i"!><m"![kD"!
↑こちらは逆パターン。「リターンパス」にまぐまぐのアドレスを偽装し、ワタシのメアドに直接送信してきてます。つまり、このウイルスは「送信元」と「返信先」を両方偽装するだけで、必ずエラーリターンを起こしてウイルスを送りつける仕様ではないみたい。
ただ、
「最近のウイルスは差出元を詐称するので出所が解らない」
とか聞いてたんですが、実際に届いたNetskyメールのヘッダを見ると送信元のIPは丸見えなので、相手のプロバイダ(今回はDION。ウイルス等について報告するアドレスはabuse@dion.ne.jp)に対して上記のヘッダを添付し
「このユーザさんに連絡しといてください」
と言うだけでいい→それほど対処が面倒くさくなってる訳でもなかったです。KlezやBadtransと比べると「あまり変わらない」。