【ウィルス警報】patch.exeに注意しる！

1 ：02/03/14 ～最終レス：11/03/08: 件名：＜何らかの日本語文字列＞
　　　　※宛先メールアドレスが「.jp」ドメインの場合。
　　　　または
　　　　Important.
　　　　※宛先メールアドレスが上記以外の場合。
添付ファイル：PATCH.EXE
日本語を用いて拡散するFidao
　アイ・ディフェンス・ジャパンからの情報によると、新種のマスメーリングワーム「Fidao」が発見された。
このワームの特徴として、件名が日本語文字列　(宛先メールアドレスが「.jp」ドメインの場合)
またはImportant. (宛先メールアドレスが上記以外の場合)となっており、自身のSMTPエンジンを
用いて電子メールを送信する機能を持っている。
http://headlines.yahoo.co.jp/hl?a=20020306-00000003-vgb-sci
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FIDAO.A&VSect=T

2 ：: 某社の人間だけど
すごい勢いで拡散中。
メールサーバー止めた。
3 ：: 恥ずかしいことに、うちの会社でも広がってます（藁
4 ：: うちも感染した。
ただいま対処中。
注意されたし。
5 ：: いまんとこトレンド、マカフィー、ノートンは対応できてないことは確認
うちの役員アフォだから、実行しやがった・・・
6 ：: http://www.nai.com/japan/virusinfo/newvirus0314.asp

緊急速報3/14（13:40)：
日本語件名を持つメール配信型ウイルスが現在、繁殖を続けている可能性があります。以下の特徴を持つメールが届いたら、すぐに削除してください。詳細な情報は後ほどお伝えします。

【特徴】
pacth.exeというファイルがテンプされたメールが届く。
メール内は空。
サブジェクトは以下(メールアドレスが.jpの時は日本語)

SUBECT: IMPORTANT
SUBJECT: 重要
SUBJECT: Re:重要
SUBJECT: 重要なお知らせ
SUBJECT: Re:重要なお知らせ
SUBJECT: 例の件
SUBJECT: Re:例の件
SUBJECT: お久しぶりです
SUBJECT: Re:お久しぶりです
SUBJECT: こんにちは
SUBJECT: Re:こんにちは
SUBJECT: 極秘
SUBJECT: Re:極秘
SUBJECT: 資料
SUBJECT: Re:資料
SUBJECT: 蛙
SUBJECT: ウャR
SUBJECT:
【破壊活動】
現在確認されていません。メールを大量配信

「」にwarata
7 ：: 来た。メーラ古すぎて無事
8 ：: >>6
つーか、下の3つにﾜﾗﾀ
9 ：: トレンドは作成に動き始めたな、メールきた
10 ：: これってのはプレビューで自動拡散？状況つかめないんだけど
11 ：: あ、うちの会社も感染しまくり。メール鯖とめた。
…通信系なのにはずかすぃ。
ていうか、なぜこれが広まるんだ？露骨なほどにウイルスメールなのに。
12 ：: バウンダリと MIME うｐ
--Boundary-a8dfidaoRadvfuck
Content-Type: application/x-msdownload; name="patch.exe"
Content-Disposition: attachment; filename="patch.exe"
Content-Transfer-Encoding: BASE64
13 ：: どうせなら「モナー」「吉野家」「マンセー」「ゴルァ（全角）」などを入れて欲しかった。
14 ：: どーやって駆除するの？
15 ：: >>13
ｳﾞｧｶどもは、それはそれは喜んで開けるだろうな
「僕モナー！いつも2ch に来てくれてありがとう！」
女子供は絶対開ける
16 ：: ついさっきノートンのウィルス定義更新された。関係あり？
17 ：: >>14 どうも常駐しない気配拡散するだけのよう
18 ：: >>10
どうもプレビューは平気そう
閉鎖環境で実験したけど、問題なかった
19 ：: >>18
じゃ任意の実行時だけっすね
20 ：: http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FIDAO.A
要するに添付にくっついてるだけだから、間違って触る前に自分で消せとのこと
21 ：: 正直、「ウャR」が何なのか気になって仕方が無い。
22 ：: >>21
あ、うちにも来ました「ウャR」。　「蛙」なんてのもあった。
23 ：: 「」が来た人は居らんのか？
24 ：: *********** このスレは「ウャR」が何なのか解明するスレになりました ***********
受信した人は >>1-20 を参照
25 ：: >>23
俺メール管理者だから全部きてるよ
26 ：: まだ上司のとこに「Re:重要なお知らせ」だけだ
マカー多いしナー見たいナー
27 ：: >>24
たぶん「うりゃ」
28 ：: Interscanはもう対応済
29 ：: >>24
ぐしゃっとキーボード押した感じじゃないしなぁ…謎。

30 ：: >>5
うちの取締役も実行しやがった。
もうね、バカかと。ｱﾌｫかと。
ちなみに感染したのはそいつ一人。ヽ(´ー｀)ノ
by某弱小プロバイダ。
31 ：: >>28
ほんと？
バリバリpassしてっちゃってるんだけどSA!
32 ：: >>28
ほんとに？
うちの会社にゃ連絡ないな、パターンは240？
33 ：: >>28
パターン番号は?
こっちは 239 で通っちゃったよ。
34 ：: ２４０ってまだ出てないんでしょ？出てる？
35 ：: >>28
うちパターンファイル 239 だけど、
スキャンに引っかかってない...
36 ：: きた！
IS管理者は業者つっつけ！２４０は存在してるぞ！
37 ：: http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FIDAO.A&VSect=T
では、235で対応してると・・・
38 ：: ウャR、蛙はなんとなくビットずれの文字化けくさいね。
39 ：: 来てしまいました。メールは開封したけど大丈夫だった。メール自体削除すれば大丈夫？
40 ：: 「」じゃないの？
41 ：: どうもトレンドではこういう名前でトラップしてんね
パターン240のログで確認した
WORM_JAPANIZE.A
42 ：: はくさい。
43 ：: http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
で、241から亜種に対応になっているけど・・・
44 ：: >39
念の為プレビューをOFFにして、削除したけど、とりあえずは平気だと思う。
心配だったら、もうちょっとはっきりするまで触らない方が・・
45 ：: >>39
添付ファイルさえ消せば大丈夫
46 ：: 馬鹿ふぃーExtra.datでた
47 ：: マカは使ってないので、よくわからんが。

>このウイルスにはExtra.datを使用すれば対応できます。
>またはβ版ウイルス定義ファイルでも対応可能です。

http://www.nai.com/japan/virusinfo/virF.asp?v=W32/Fbound.c@MM
48 ：: シマンテックでは名称が違うね、別名もいくつか挙げられてる。
今解析中らしいけど。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.fbound%40mm.html
49 ：: 蛙 : 333f
ｳｿ : b3bf
50 ：: *********** このスレは「パターン240リリース」を見守るスレになりました ***********
51 ：: ﾏﾀｰﾘしてるねえ・・・
企業内感染は多いが、Nimdaの時のような緊張感悲壮感がないねえ・・・
52 ：: >44,45
ありがとうございました。
とりあえず削除しましたが何も起こっていません。多分。
53 ：: うちに送ってきた奴、警告したら「申し訳ありません、まだ原因不明なんですが・・・」
とかいってた。あんたがクリックしたんじゃねーのか？　おうおう
54 ：: >>51
対策が簡単だからねー
55 ：: >>51
「蛙」「」「ウャR」だしねー
56 ：: パターン 241 はいつでるんぢゃ....
57 ：: >>55
でも取引先にこの件名で送っちゃったらかなりｲﾀｲよなー
58 ：: うちの会社もメールサーバー止まっちゃった。
もっと盛大な祭になると思ったんだが、意外とマターリ。
半年前の大騒ぎで慣れちゃったのかな。
59 ：: >>58
あん時はテロ効果もあったしなぁ
今回はタイトルで和む（藁

60 ：: http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
>※パターン 234 から対応しておりましたが、検出できない亜種が確認された
>ため、パターンファイル 241 より亜種への検知対応を致しました。
61 ：: >>58
いやーまたニムダ級が来たら祭りになるんじゃないですか。
うちは商売に使ってるNTがやられて大変でしたよ＜ニム駄
全社員にウイルス情報と対策を告知。マターリ
（情報くださった皆さんに感謝）
62 ：: >>58
同意
あんときは徹夜だったからな～
63 ：: ウチの場合。
「なぁ、××君。変なメールが来たのだが」
「変なメール？」
「”重要”って件名で本文が無くてﾌｧｲﾙが付いてるメールだ」
「ウイルスっぽいですね」
「あぁ、やはり君もそう思うかね。でだ。ﾌｧｲﾙをＷクリックしたのだが、感染したと思うかね？」
「(;´Д｀)ｱｩ･･･」
64 ：: >>63
＞「あぁ、やはり君もそう思うかね。
往々にしてここは、
実行しても何も起こらなかったから自分も「思った」んだろうな。
この手の人達は
65 ：: ２４１でたね
66 ：: 窓の杜に記事が載った
67 ：: 祭り終了?
68 ：: >>67
祭りなど起こってませんが何か？
69 ：: せっかく紙配って歩いたのにもう対応されちゃったよ。
いいんだか悪いんだか、複雑な心境だよ。
70 ：: subjectの種類が全部「蛙」「」系だったらもうちょっと盛り上がったかもしれないな。
71 ：: >>70
何というか、作者・選者に良識があるのかね？
72 ：: パターンファイル241にしたけど、うちに廻ってきたのは
これでは検出できなかった。
TrendMicro社が認識していない派生種があるのでは？
73 ：: >>72
マジ。せっかくサービス再開したのに
また停止？
詳細キボン
74 ：: >>66
微妙に変じゃない？この記事。
WORM_JAPANIZE.Aは、WORM_FBOUND.Bの亜種って書いてあるけど
トレンドマイクロではWORM_JAPANIZE.Aは、WORM_FBOUND.Bに名称が変更って書いてある。
75 ：: ここからこのスレは「蛙」と「ウャR」の謎を解くスレに変わります。
76 ：: パターン２４１も正式にでたな
トレンド製品使ってる奴らはあげとけよー
77 ：: ｶｴﾙｹﾞｺｹﾞｺ
　　,,
　(◇)
≦ ,, ≧
78 ：: >>72
本当？！
79 ：: >>78
ほんとだ。
interscan の方ではひっかかる
80 ：: 窓の杜
http://www.watch.impress.co.jp/broadband/news/2002/03/14/virus.htm
81 ：: >>79
ウイルスバスター2002でも平気でしたが？
82 ：: うぉっ、ウイルスバスタが動作してないクライアント発見。
早く修復しとこ。
83 ：: >>80
＞の感染が拡大している。ファイル「PATCH.EXE」が添付されたE-mailはこのウイルスに感染
＞ている可能性が高く、トレンドマイクロなどのウイルス対策ソフトメーカーは注意を呼
この言い回しってどうなのよ　感染してるんじゃなくて patch.exe が自己送信するんだろ？
ま、いいけどね
84 ：: >>83
>>74のこともあるし
書いた奴も良くわかって無い可能性大だな・・・
85 ：: で、このウイルスの被害は、
「情報系の会社なのに、ネットセキュリティー意識が低いです。」
っていうことを取引先にメールで伝えてしまうという事で、
作者の意図は
「ニムダの後で、セキュリティー意識低すぎるんじゃねーの」
ってことでいいですか？
86 ：: >>85
同意
87 ：: デジタル放送の番組で今取り上げてる。名は知らんw
88 ：: やぱ241からだってさ。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
89 ：: FROMが自分のアドレスになるのがなにげに嫌だ。
自分がウイルス発信したのかとびびったじゃねーか。
90 ：: 只今、役員のｼﾞｼﾞｨたちが立て続けにダブルクリック中・・・・（ﾜﾗ
91 ：: 我が社でも警戒態勢に入りました
92 ：: 241でも駄目だ。
南無ー
93 ：: >>90
ｼﾞｼﾞｨにPC与えるな
まあ俺の会社も感染したのは役員ばっかだけどね
94 ：: うちは241で大丈夫みたいだが・・・
95 ：: ノートンはよ対応しろや
96 ：: どうやら trendmicro のは mime header だけみて判断している模様
97 ：: 私共の会社では、「ぎゃははー、だって、、実行しちゃったよ、なにこれっ！おわっ、やばくね？」
と全社員に警告を与え、早期発見致しましたのでご安心下さい
98 ：: 中身見たけどわりと改造しやすそうだな、これ。
本文つけたり、Subjectや添付ファイル名を変更した亜種がいっぱい出そう。
99 ：: これじゃねの　
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
また、ウイルスプログラムがエンコードされたままの状態のファイルが
確認されています。その場合はウイルスとしての活動はできないため、
ウイルス検知もしません。単純にファイルもしくはファイルが添付された
メールを削除してください。
100read 1read
1read 100read TOP カテ一覧スレ一覧削除依頼 ▲ ・　次のスレ これはウィルスなんですか？ トロイで遊ぼう 彼女がトロイに感染した模様です MSN(Windows)メッセンヂャーで