Netskyがやってきた

投稿日:

今日はW32.Netsky.D@mmというウイルスさんが沢山やって来られました。その度にノートン先生のウインドウがポップアップしてます。なんだか大忙し(^_^;)

ということで、折角の機会なので届いたウイルスメールをじっくりと眺めてみました。

The original message was received at Tue, 16 Mar 2004 09:14:56 +0900 (JST)
from ******.ppp.dion.ne.jp [219.125.132.***]

----- The following addresses had permanent fatal errors -----
<*******.rakuten.co.jp>
(reason: 550 5.1.1 <*******.rakuten.co.jp>... User unknown)
(expanded from: <******@mail26.rakuten.co.jp>)

----- Transcript of session follows -----
.... while talking to emx.rakuten.co.jp.:
>>> RCPT To:<******@emx.rakuten.co.jp>
<<< 550 5.1.1 <******@emx.rakuten.co.jp>... User unknown
550 5.1.1 <******@mail26.rakuten.co.jp>... User unknown

----- Original message follows -----

Return-Path: <ワタシのメールアドレス>
Received: from mail26.rakuten.co.jp
by mail26.rakuten.co.jp (RKMGw 1.2) with ESMTP id i2G0EsL78265;
Tue, 16 Mar 2004 09:14:56 +0900 (JST)
From: ワタシのメールアドレス
To: ******@mail26.rakuten.co.jp
Subject: Re: Your text
Date: Tue, 16 Mar 2004 09:10:23 +0900

ふむふむ。要するに


  1. Netskyに感染したDION接続のPCが
  2. 差出元をワタシのメアドに偽装して
  3. 楽天の存在しないメールアドレスに送信
  4. 楽天が「そんなユーザは居ねぇ」と返信
  5. ワタシに返信されたエラーに添付されたファイルがウイルス

という仕掛けなんですね。ふむふむ。

X-Symantec-TimeoutProtection: 0
Return-Path: <*****@ala.mag2.com>
Received: from ワタシのドメイン (******.ppp.dion.ne.jp [219.125.134.***])
with ESMTP id i2G7Yvd31667 for <ワタシのメールアドレス>;
Tue, 16 Mar 2004 16:34:58 +0900
From: *****@ala.mag2.com
To: ワタシのメールアドレス
Subject: Re: Hi
Date: Tue, 16 Mar 2004 16:34:32 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="----=_NextPart_000_0013_000058AA.0000149E"
X-Priority: 3
X-MSMail-Priority: Normal
X-UIDL: ?VS"!0'i"!><m"![kD"!

↑こちらは逆パターン。「リターンパス」にまぐまぐのアドレスを偽装し、ワタシのメアドに直接送信してきてます。つまり、このウイルスは「送信元」と「返信先」を両方偽装するだけで、必ずエラーリターンを起こしてウイルスを送りつける仕様ではないみたい。

ただ、

「最近のウイルスは差出元を詐称するので出所が解らない」

とか聞いてたんですが、実際に届いたNetskyメールのヘッダを見ると送信元のIPは丸見えなので、相手のプロバイダ(今回はDION。ウイルス等について報告するアドレスはabuse@dion.ne.jp)に対して上記のヘッダを添付し

「このユーザさんに連絡しといてください」

と言うだけでいい→それほど対処が面倒くさくなってる訳でもなかったです。KlezBadtransと比べると「あまり変わらない」。