【ウィルス警報】patch.exeに注意しる！

1 ：02/03/14 〜 最終レス ：11/03/08

件名：＜何らかの日本語文字列＞
　　　　※宛先メールアドレスが「.jp」ドメインの場合。
　　　　または
　　　　Important.
　　　　※宛先メールアドレスが上記以外の場合。
添付ファイル：PATCH.EXE
日本語を用いて拡散するFidao
　アイ・ディフェンス・ジャパンからの情報によると、新種のマスメーリングワーム「Fidao」が発見された。
このワームの特徴として、件名が日本語文字列　(宛先メールアドレスが「.jp」ドメインの場合)
またはImportant. (宛先メールアドレスが上記以外の場合)となっており、自身のSMTPエンジンを
用いて電子メールを送信する機能を持っている。
http://headlines.yahoo.co.jp/hl?a=20020306-00000003-vgb-sci
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FIDAO.A&VSect=T

2 ：

某社の人間だけど
すごい勢いで拡散中。
メールサーバー止めた。

3 ：

恥ずかしいことに、うちの会社でも広がってます（藁

4 ：

うちも感染した。
ただいま対処中。
注意されたし。

5 ：

いまんとこトレンド、マカフィー、ノートンは対応できてないことは確認
うちの役員アフォだから、実行しやがった・・・

6 ：

http://www.nai.com/japan/virusinfo/newvirus0314.asp

緊急速報3/14（13:40)：
日本語件名を持つメール配信型ウイルスが現在、繁殖を続けている可能性があります。以下の特徴を持つメールが届いたら、すぐに削除してください。詳細な情報は後ほどお伝えします。

【特徴】
pacth.exeというファイルがテンプされたメールが届く。
メール内は空。
サブジェクトは以下(メールアドレスが.jpの時は日本語)


SUBECT: IMPORTANT
SUBJECT: 重要
SUBJECT: Re:重要
SUBJECT: 重要なお知らせ
SUBJECT: Re:重要なお知らせ
SUBJECT: 例の件
SUBJECT: Re:例の件
SUBJECT: お久しぶりです
SUBJECT: Re:お久しぶりです
SUBJECT: こんにちは
SUBJECT: Re:こんにちは
SUBJECT: 極秘
SUBJECT: Re:極秘
SUBJECT: 資料
SUBJECT: Re:資料
SUBJECT: 蛙
SUBJECT: ウャR
SUBJECT:
【破壊活動】
現在確認されていません。メールを大量配信

「」にwarata

7 ：

来た。メーラ古すぎて無事

8 ：

>>6
つーか、下の3つにﾜﾗﾀ

9 ：

トレンドは作成に動き始めたな、メールきた

10 ：

これってのはプレビューで自動拡散？ 状況つかめないんだけど

11 ：

あ、うちの会社も感染しまくり。メール鯖とめた。
…通信系なのにはずかすぃ。
ていうか、なぜこれが広まるんだ？露骨なほどにウイルスメールなのに。

12 ：

バウンダリと MIME うｐ
--Boundary-a8dfidaoRadvfuck
Content-Type: application/x-msdownload; name="patch.exe"
Content-Disposition: attachment; filename="patch.exe"
Content-Transfer-Encoding: BASE64

13 ：

どうせなら「モナー」「吉野家」「マンセー」「ゴルァ（全角）」などを入れて欲しかった。

14 ：

どーやって駆除するの？

15 ：

>>13
ｳﾞｧｶどもは、それはそれは喜んで開けるだろうな
「僕モナー！ いつも2ch に来てくれてありがとう！」
女子供は絶対開ける

16 ：

ついさっきノートンのウィルス定義更新された。関係あり？

17 ：

>>14 どうも常駐しない気配 拡散するだけのよう

18 ：

>>10
どうもプレビューは平気そう
閉鎖環境で実験したけど、問題なかった

19 ：

>>18
じゃ任意の実行時だけっすね

20 ：

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FIDAO.A
要するに添付にくっついてるだけだから、間違って触る前に自分で消せとのこと

21 ：

正直、「ウャR」が何なのか気になって仕方が無い。

22 ：

>>21
あ、うちにも来ました「ウャR」。　「蛙」なんてのもあった。

23 ：

「」が来た人は居らんのか？

24 ：

*********** このスレは「ウャR」が何なのか解明するスレになりました ***********
受信した人は >>1-20 を参照

25 ：

>>23
俺メール管理者だから全部きてるよ

26 ：

まだ上司のとこに「Re:重要なお知らせ」だけだ
マカー多いしナー見たいナー

27 ：

>>24
たぶん「うりゃ」

28 ：

Interscanはもう対応済

29 ：

>>24
ぐしゃっとキーボード押した感じじゃないしなぁ…謎。

30 ：

>>5
うちの取締役も実行しやがった。
もうね、バカかと。ｱﾌｫかと。
ちなみに感染したのはそいつ一人。ヽ(´ー｀)ノ
by某弱小プロバイダ。

31 ：

>>28
ほんと？
バリバリpassしてっちゃってるんだけどSA!

32 ：

>>28
ほんとに？
うちの会社にゃ連絡ないな、パターンは240？

33 ：

>>28
パターン番号は?
こっちは 239 で通っちゃったよ。

34 ：

２４０ってまだ出てないんでしょ？ 出てる？

35 ：

>>28
うちパターンファイル 239 だけど、
スキャンに引っかかってない...

36 ：

きた！
IS管理者は業者つっつけ！２４０は存在してるぞ！

37 ：

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FIDAO.A&VSect=T
では、235で対応してると・・・

38 ：

ウャR、蛙はなんとなくビットずれの文字化けくさいね。

39 ：

来てしまいました。メールは開封したけど大丈夫だった。メール自体削除すれば大丈夫？

40 ：

「」じゃないの？

41 ：

どうもトレンドではこういう名前でトラップしてんね
パターン240のログで確認した
WORM_JAPANIZE.A

42 ：

はくさい。

43 ：

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
で、241から亜種に対応になっているけど・・・

44 ：

>39
念の為プレビューをOFFにして、削除したけど、とりあえずは平気だと思う。
心配だったら、もうちょっとはっきりするまで触らない方が・・

45 ：

>>39
添付ファイルさえ消せば大丈夫

46 ：

馬鹿ふぃーExtra.datでた

47 ：

マカは使ってないので、よくわからんが。

>このウイルスにはExtra.datを使用すれば対応できます。
>またはβ版ウイルス定義ファイルでも対応可能です。

http://www.nai.com/japan/virusinfo/virF.asp?v=W32/Fbound.c@MM

48 ：

シマンテックでは名称が違うね、別名もいくつか挙げられてる。
今解析中らしいけど。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.fbound%40mm.html

49 ：

蛙 : 333f
ｳｿ : b3bf

50 ：

*********** このスレは「パターン240リリース」を見守るスレになりました ***********

51 ：

ﾏﾀｰﾘしてるねえ・・・
企業内感染は多いが、Nimdaの時のような緊張感悲壮感がないねえ・・・

52 ：

>44,45
ありがとうございました。
とりあえず削除しましたが何も起こっていません。多分。

53 ：

うちに送ってきた奴、警告したら「申し訳ありません、まだ原因不明なんですが・・・」
とかいってた。あんたがクリックしたんじゃねーのか？　おうおう

54 ：

>>51
対策が簡単だからねー

55 ：

>>51
「蛙」「」「ウャR」だしねー

56 ：

パターン 241 はいつでるんぢゃ....

57 ：

>>55
でも取引先にこの件名で送っちゃったらかなりｲﾀｲよなー

58 ：

うちの会社もメールサーバー止まっちゃった。
もっと盛大な祭になると思ったんだが、意外とマターリ。
半年前の大騒ぎで慣れちゃったのかな。

59 ：

>>58
あん時はテロ効果もあったしなぁ
今回はタイトルで和む（藁

60 ：

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
>※パターン 234 から対応しておりましたが、検出できない亜種が確認された
>ため、パターンファイル 241 より亜種への検知対応を致しました。

61 ：

>>58
いやーまたニムダ級が来たら祭りになるんじゃないですか。
うちは商売に使ってるNTがやられて大変でしたよ＜ニム駄
全社員にウイルス情報と対策を告知。マターリ
（情報くださった皆さんに感謝）

62 ：

>>58
同意
あんときは徹夜だったからな〜

63 ：

ウチの場合。
「なぁ、××君。変なメールが来たのだが」
「変なメール？」
「”重要”って件名で本文が無くてﾌｧｲﾙが付いてるメールだ」
「ウイルスっぽいですね」
「あぁ、やはり君もそう思うかね。でだ。ﾌｧｲﾙをＷクリックしたのだが、感染したと思うかね？」
「(;´Д｀)ｱｩ･･･」

64 ：

>>63
＞「あぁ、やはり君もそう思うかね。
往々にしてここは、
実行しても何も起こらなかったから自分も「思った」んだろうな。
この手の人達は

65 ：

２４１でたね

66 ：

窓の杜に記事が載った

67 ：

祭り終了?

68 ：

>>67
祭りなど起こってませんが何か？

69 ：

せっかく紙配って歩いたのにもう対応されちゃったよ。
いいんだか悪いんだか、複雑な心境だよ。

70 ：

subjectの種類が全部「蛙」「」系だったらもうちょっと盛り上がったかもしれないな。

71 ：

>>70
何というか、作者・選者に良識があるのかね？

72 ：

パターンファイル241にしたけど、うちに廻ってきたのは
これでは検出できなかった。
TrendMicro社が認識していない派生種があるのでは？

73 ：

>>72
マジ。せっかくサービス再開したのに
また停止？
詳細キボン

74 ：

>>66
微妙に変じゃない？この記事。
WORM_JAPANIZE.Aは、WORM_FBOUND.Bの亜種って書いてあるけど
トレンドマイクロではWORM_JAPANIZE.Aは、WORM_FBOUND.Bに名称が変更って書いてある。

75 ：

ここからこのスレは「蛙」と「ウャR」の謎を解くスレに変わります。

76 ：

パターン２４１も正式にでたな
トレンド製品使ってる奴らはあげとけよー

77 ：

ｶｴﾙｹﾞｺｹﾞｺ
　　,,
　(◇)
≦ ,, ≧

78 ：

>>72
本当？！

79 ：

>>78
ほんとだ。
interscan の方ではひっかかる

80 ：

窓の杜
http://www.watch.impress.co.jp/broadband/news/2002/03/14/virus.htm

81 ：

>>79
ウイルスバスター2002でも平気でしたが？

82 ：

うぉっ、ウイルスバスタが動作してないクライアント発見。
早く修復しとこ。

83 ：

>>80
＞の感染が拡大している。ファイル「PATCH.EXE」が添付されたE-mailはこのウイルスに感染
＞ている可能性が高く、トレンドマイクロなどのウイルス対策ソフトメーカーは注意を呼
この言い回しってどうなのよ　感染してるんじゃなくて patch.exe が自己送信するんだろ？
ま、いいけどね

84 ：

>>83
>>74のこともあるし
書いた奴も良くわかって無い可能性大だな・・・

85 ：

で、このウイルスの被害は、
「情報系の会社なのに、ネットセキュリティー意識が低いです。」
っていうことを取引先にメールで伝えてしまうという事で、
作者の意図は
「ニムダの後で、セキュリティー意識低すぎるんじゃねーの」
ってことでいいですか？

86 ：

>>85
同意

87 ：

デジタル放送の番組で今取り上げてる。名は知らんw

88 ：

やぱ241からだってさ。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B

89 ：

FROMが自分のアドレスになるのがなにげに嫌だ。
自分がウイルス発信したのかとびびったじゃねーか。

90 ：

只今、役員のｼﾞｼﾞｨたちが立て続けにダブルクリック中・・・・（ﾜﾗ

91 ：

我が社でも警戒態勢に入りました

92 ：

241でも駄目だ。
南無ー

93 ：

>>90
ｼﾞｼﾞｨにPC与えるな
まあ俺の会社も感染したのは役員ばっかだけどね

94 ：

うちは241で大丈夫みたいだが・・・

95 ：

ノートンはよ対応しろや

96 ：

どうやら trendmicro のは mime header だけみて判断している模様

97 ：

私共の会社では、「ぎゃははー、だって、、実行しちゃったよ、なにこれっ！おわっ、やばくね？」
と全社員に警告を与え、早期発見致しましたのでご安心下さい

98 ：

中身見たけどわりと改造しやすそうだな、これ。
本文つけたり、Subjectや添付ファイル名を変更した亜種がいっぱい出そう。

99 ：

これじゃねの　
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
また、ウイルスプログラムがエンコードされたままの状態のファイルが
確認されています。その場合はウイルスとしての活動はできないため、
ウイルス検知もしません。単純にファイルもしくはファイルが添付された
メールを削除してください。

100read 1read

1read 100read

TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

ESET NOD32アンチウィルス Part66 (352)
☆アンラボスパイゼロ2006(SpyZero2006)☆ (487)
COMODO Internet Security 51 (846)
フリーのアンチウイルスソフト最強決定戦！ (830)
スパイウェア除去　Spyware Adware Remover (273)
Sygate Personal Firewall part10 (866)
--log9.info------------------
日本で三国志ドラマ化は不可能なのか (776)
SDガンダム三国伝　其之77 (857)
文化人は糞賊 (476)
一番好きな三国志の武将を挙げるスレ (380)
徳川家康の生涯って面白みがないし、人気ないのも分かる気がする (252)
三戦板文化祭実行委員会スレ (338)
横山三国志の名台詞 (305)
書き込みテストスレ＠三国志・戦国 (737)
【劉備】漢中の戦い【曹操】 (618)
曹操に仕えた武将 (243)
司馬懿＞＞＞＞＞越えられない壁＞＞＞＞＞曹操（笑） (617)
小早川隆景　VS　直江兼続　Prat2 (531)
今の47都道府県が割拠したら (523)
【三国も】☆無双総合スレ☆【戦国も】 (791)
フクシマ (873)
富国強兵は国家の至上命題 (206)
--log55.com------------------
【店舗の歴史】福山周辺ﾊﾟｰﾄ14【衰退の歴史】
【署名】ジャック＆ベティ市川店を訴える【募集】
船橋郊外店専用スレ Part4
伊丹のパチンコ店情報
【名古屋】中川区 港区【スラム街】
ダイナム
【沼津】静岡県東部大激怒スレ7ｔｈ【三島】
宮前区のパチンコ店を語ろう