1read 100read
2012年6月セキュリティ655: 【Thank You!】Sobig.Fスレ (640) TOP カテ一覧 スレ一覧 2ch元 削除依頼
危険SPAMメールサーバーのリスト (255)
Comodo AntiVirus (482)
■BitDefender 31 (738)
トリップのキージェネ (658)
ウイルスバスター2006(仮称)ベータ版 Part1 (625)
【ノートン】ccapp.exeの負荷率【Norton】 (902)

【Thank You!】Sobig.Fスレ


1 :03/08/22 〜 最終レス :11/01/06
ここ1日でウイルスメールがどかっと来た。
タイトルは Thank You! とか Re: Your Application とかそんなの。
なんでも史上最悪の成長度だとか。
単なるメール添付型のウイルスのようだが、なんでこんなに爆発的なんだろう?
http://internet.watch.impress.co.jp/cda/news/2003/08/21/203.html
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sobig.f@mm.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F
駆除ツール
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sobig.f@mm.removal.tool.html

2 :
こないよぅ

3 :
まだサンプル頂戴してません

4 :
Viri&Worm捕獲スレはココですか?

5 :
>>1
いちいちスレ乱立させんなバカ 既存ので十分だろ
http://pc.2ch.net/test/read.cgi/sec/1061454729/l50

6 :
主にWebに晒されてるアドレスに来るのかなぁ?

7 :
重複スレにつき
■■■■■■■■■ 終了 ■■■■■■■■■

8 :
2時間で40通きて、その後ぱったりこなくなった。
串経由っぽいのが気になる。

9 :
朝8時頃〜夕方まで500通以上がきた。俺もその後ぱったりなくなった。
どこかの会社経由か?

10 :
>>8
糞スレ上げるなバカ

11 :
>>5
いいんじゃねーの?
俺は、Sobig.F がどうしてこんなに広がったかに興味があるが、
他のくだらねえウイルス質問には付き合いたくねえからな。

12 :
1日100通くらいくるわくるわ
9月10日頃までこの調子でわんさかくるんかなぁ。

13 :
さて、それではここのスレッドで「スーパースプレッダー」のIPアドレスを
交換しましょう。
当方で把握しているスーパースプレッダーは次のとおりです。
61.202.86.197(DION)
219.125.48.99(DION)
4.43.213.17(VERIZON)
12.212.194.3(ATTBI)
sobig.f型の万円が落ち着くまでの間、ファイヤーウォールソフトや
ルーターの拒絶リストに記述するのに役に立つと思います。

14 :
一通も来ません

15 :
来る人と来ない人といるようだねー。
まだ日本国内は蔓延してないのかも。
うちはまたちょろっと届き始めた。
関連スレ
http://pc.2ch.net/test/read.cgi/pcnews/1061517675/

16 :
ttp://www.nhk.or.jp/news/2003/08/22/k20030822000060.html
ニュースキタ━━━━━━ヽ(‘∀‘)ノ━━━━━━ !!!!

17 :
http://zip.2chan.net/3/src/1061518263340.gif

18 :
N+
http://news2.2ch.net/test/read.cgi/newsplus/1061348880/

19 :
これ来てる人は自分のアドレスも詐称に使われてる可能性が高いんだよな
これに紛れて『あんたのメールはウィルス入ってるから消したよ』ってのも来てて・・・

20 :
ぐへーーー、8/19 19:49 から始まって、
一つのメアドだけでもう 3100通も来てるぞ!
片っ端からネット管理者に連絡してるが対策遅いーー
SMTPエンジン付きのワームって最悪。

21 :
それにしても、1分に2〜5通なんて速度で
同じメアドに送り続けるワームは初めてだ。
なぜにみんな、のんびり構えてる???
from詐称されて、配送不能で(身に覚えのない)返送されてくる
メール数だけでもすごいのに、、、

22 :
やっぱり一通も来ない、sobig・・・・・・。
何処か賑やかなフリーメルアド屋さん知りませんかね???

23 :
>>22
どこのメアドを取得しようが感染者がメアドを拾ってくれないと来ないからな。

24 :
俺のところは、日本は大体止まったみたい。
12-248-54-55.client.attbi.com [12.248.54.55]
ip152062.wstcmp.ukans.edu [129.237.152.62]
や!

25 :
>>1
重複スレ立てるなバカ
■■■■■■■■■ 終了 ■■■■■■■■■

26 :
>21
同じく俺のアドレス詐称されてドカドカ送ってくれたので
返送&ウイルス入りだぞゴルァメール(サーバ自動応答)がすごい
返送メールにはそのままワーム本体も添付されるから
ノートン反応しっぱなしだよ
@X大学さん、対策してくれよ 犯人はあんたのところにいる
土日は来ないだろうが月曜日が鬱だ・・

27 :
アメリカの大学や歯学部のアドレスもあった。
21日、午前9時頃からぱたっと止まったが。

28 :
俺のところは22日の日中に集中していた
夜になると静かになった
送り先 全部大学関係だったな

29 :
>>1
>単なるメール添付型のウイルスのようだが、なんでこんなに爆発的なんだろう?
アクセス可能な共有ネットワークに、自分自身をコピーしようと試みる、
と聞いたのでそれのせいかと思ったら、実際はコードのバグでこの
動作は行われないそうですね。
本当に、なんでこんなに流行してるのかな?

30 :
>>29
数がものすごいから気になって開けちゃうとか

31 :
では追加です。
69.140.163.54(comcast.net)
61.214.132.138(OCN)
219.111.85.232(bbexcite)
129.237.152.62(カンザス大学)
これらのIPからは今もまだ届いてますね。
沈静化するまでは、主立ってメールサーバでこういうIPからの中継を受け付けないように
しておくと、ある程度の効果が出るはずですよねぇ。

32 :
来るアドレスと来ないアドレスの差が激しいから、やはり特定少数の感染者がどんどこ同じ所に送りまくっているんだろうな。

33 :
Received: from IBM-482A5E36DA2
(YahooBB220042004004.bbtec.net [220.42.4.4])
ここからSobig.Fがこの2日間で300通以上届いてまつ。

34 :
>>1は都昆布

35 :
【重要!】
1 差出人(送信元)はウィールスが詐称したものです。Fromフィールドの差出人は
本当の差出人ではありません。抗議メールなどを送るのはやめましょう。
2 確認されているメールの件名等。以下のようなメールは開かずに速攻削除。
件名:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Your details
本文:
See the attached file for details
Please see the attached file for details.
添付ファイル:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

36 :
>>35
件名追加:
Thank you!

37 :
おーい鹿児島大学の誰かわかんねーけど対策してくれ!
俺のアドレス詐称してくれているから、あちこちのメールサーバから
ゴルァメールが来ているぞ

38 :
>>37
こんなところで愚痴ってないで大学に直接メール出せば何らかの対処をしてくれると思うが。

39 :
>>38
のぞみ臼という悪寒

40 :
>38
過去に同様の事例で(Klezだったかな)経験があるけど
梨の礫だったよ

41 :
>>39-40
昔々送った事があるが数日後に謝罪と対策とった旨のメールが来たぞ。
漏れは運が良かったのか?

42 :
こねぇなぁ
なんか仲間外れにされた気分

43 :
>>42
重複スレ上げないで下さい。
■■■■■■■■■ 終了 ■■■■■■■■■

44 :
>>42
プロバイダ側でチェキしてんじゃね?

45 :
>>44

46 :
>>45
はねぇだろクズ

47 :
>>46
糞スレ上げるなバカ

48 :
>44
その場合、通知はこないのかな?
詐称された人のところには自動応答メールが行くけど

49 :
まだまだくるねぇ。
というわけで、追加。
218.18.70.183
61.174.219.121
218.230.6.49(ttcn.ne.jp)
なんだかんだと言い訳して何もしないISPの運営者の人々がここのスレッドを見て
青い顔でもして大騒ぎしてると楽しいんだがなぁ........

50 :
今日になって急に50通くらい来た

51 :
>>50
それ俺

52 :
プロバイダに通報しても全く見当違いの返答が返ってきた。
まあ爆撃は止まってたので良かったんだが。
だが10分前に再爆撃開始…
いい加減に気づけよ、ボケスプレッダー!!!!!!!!!!
メールチェックしねえのか? エラーメールが相当数届いてるはずだが。
ウィルス自体より、それに易々と感染する馬鹿にムカツク。マジで

53 :
おとといから合計すると、数千通くらいきた。
メールボックスすぐパンクするわ、全然しらんメールサーバ
から怒られるわ。。。
しかたなくプロバイダ有料のメールウィルスチェックサービスにはいったけど。。。
納得いかん。。。
>ウィルス自体より、それに易々と感染する馬鹿にムカツク。マジで
禿同。!。MS Outlookもや!

54 :
その簡単に感染する馬鹿はこいつ↓だとよ

55 :
Spam Mail Killerっていうフリーソフトで何とか対処してる。
http://homepage1.nifty.com/eimei/
ある条件に合ったメールをサーバー上で自動削除してくれるソフト。
ちょっと設定は面倒だが、効果覿面。
スーパースプレッダーも晒しとく。通報したプロバイダも当然同じだ(w
YahooBB219019064053.bbtec.net [219.19.64.53]

56 :
61.197.200.238
テレビ神奈川ですか?
さきほど届きますた。

57 :
またきますた、61.197.200.238。
テレビ神奈川に直電で苦情いれまつか・・・・

58 :
4通目・・・・

59 :
ブラスタ

60 :
ネット初めて3年…
ウイルスメールコネー
安置ウイルスソフトの更新料だけが飛んでゆくぅー ヽ(`Д´)ノ

61 :
>>55
使ってみた。これでだいぶ楽になりそう。

62 :
http://www.zdnet.co.jp/news/0308/25/xedj_sobig.html
FBI、Sobig.Fの感染源とみられるサイトに召喚状
 米連邦捜査局(FBI)がEasynewsという会社に召喚状を送り、コンピュータウイルス「Sobig.F」の作者につながる情報の提出を求めた。同ウイルスの作者は、Easynewsのサイトへの掲載をきっかけに、この悪質なウイルスを広めた可能性がある。
チーム2ちゃんのライバルのあそこかよ!

63 :
案の定、週が開けたらどっときた
Virus Alart と Undeliverable mai 全部SOBIG関係
受信して返送メールのヘッダ見てみたいけど、ウイルスバスターが反応して
システム管理者に報告する羽目になるので出来ないや
家に帰ってノートン止めて受信するしかないか

64 :
では、追加です。
218.120.6.49(ttcn.ne.jp)
サポートに噛み付いてみたのですが、あまりやる気がなさそうなので
みんなでドシドシいじめましょう。

65 :
今朝から通算、約300通のSobigを受信しています。
さすがにちょっと困っています。
本来の送信元IPを確認するべく、ヘッダーを見てみたのですが(Received:)
IPアドレスらしき表示は、自分が借りているレンタルサーバーの物しか見当たりません。
自分は、レンタルサーバースペースに独自ドメインを与えて(?)いるのですが
このような環境だと、本来の送信元の特定は出来ないのでしょうか?
また、全てのメールのヘッダーにある『X-Mailer:』の項目が
“Microsoft Outlook Express 6.00.2600.0000”なのが気になるのですが
コレはSobigの仕様ですか?

66 :
2時間で約50通受信しました。
全てここでした。
220.213.17.197(株式会社エヌ・ティ・ティ エムイー)

67 :
>>65
Received: from XXXX by YYYY ....
の from XXXX が無いってこと?
>また、全てのメールのヘッダーにある『X-Mailer:』の項目が
>“Microsoft Outlook Express 6.00.2600.0000”なのが気になるのですが
>コレはSobigの仕様ですか?
仕様です。

68 :
>>67
すいません、焦ってて良く調べずにいました。
Receivedが1個しか無いヘッダーは初めて見たもので・・
お騒がせしました。
ちなみに、from XXXX の部分はOCN所有のIPでした。
現在サポートに問い合わせ中です。
現在の受信ペースは、30分で約30通です。

69 :
Return-Path: <******.ne.jp>
Received: by mchk.k******ma-u.ac.jp; id RAA14035; Mon, 25 Aug 2003 17:40:57 +0900 (JST)
From: <********.ne.jp>
Message-Id: <200308250840.RAA14035@mchk.k*******a-u.ac.jp>
Received: from nodnsquery(150.59.138.142) by mshd1.mchk.k*******a-u.ac.jp via csmap (V4.1)
id srcAAA1baGyB; Mon, 25 Aug 03 17:40:53 +0900
To: <**********.k*******a-u.ac.jp>
Subject: Re: Thank you!
この場合、発信者はk******ma-u.ac.jpでOK?

70 :
受信ペースは、30分で20通でした。
1時間で、約40通です。
あまりにも暇なので、OEの画像をアップしてみました。
http://up.isp.2ch.net/up/e1a9581d0eff.GIF
朝からずっとこのペースです。

71 :
>>70
俺にもゾビクメール下さい。

72 :
>70
俺の場合は直撃じゃなくて誤爆(Virus Alart Undeliverable mail)ばっかり
だけど、一時間で50通超えている 
時間帯は 14-16時に集中 

73 :
YahooBB220032084012.bbtec.net [220.32.84.12] から 70通ほど来たよ。ヽ(`Д´)ノ
と書いてる間にまた 7 通…
ホント回線切って首吊ってほすい。

74 :
OCN の MAILER-DAEMON がご丁寧にワームを添付してくるよ。
ヤメテ…

75 :
もうホント…勘弁してくれ〜!
このまま放置したら、メールサーバーがいっぱいになって
本当に必要なメールを弾いちゃうよ・・(´Д`;)
OCNの法人向けサポートは営業終了。
個人向けサポートはオルゴールマシン。
問い合わせのメールには音沙汰無し。
俺はいつになったら家に帰れるんだ!?
感染者はどんだけボンクラだよ!!気付けよ!
偽装メアドに『2ch-kensaku.net』があった…このスレを見ろ〜!ヽ(`Д´)ノ

76 :
偽装アドレスは全く関係ないよ。

77 :
>>76
あれ!?そうなんだ!?
最低でも一度は『2ch-kensaku.net』ドメインの
メアドを拾ってる=“2ちゃんに来た事ある”って事かと思ってた…(;・∀・)

78 :
Sobigはブロードバンド化の弊害とも言えるな。
回線が細ければ、あんなにメールを送ったらすぐにわかる。
なまじっか太いもんだから、どんどん送り続けても全く気づかない馬鹿が出てくる。

79 :
>>77
そういう意味なら関係あるが…
全員がセキュリティ板を見ているわけもなく(w

80 :
nPOPQをメーラーにしてるから感染してないと思うんですが、リターンメール来るって事は問答無用で詐称されてるって事
ですか?サーバー上で削除しようが関係ない?

81 :
>>80 関係ない

82 :
俺はもう帰るよ…バカ感染者はドコか企業にでもされろ!くそ〜!
駐車場の遅延料金返せ!!ヽ(`Д´)ノバカー!!

83 :
一通もこないんだけど・・・
俺は無視ですか?

84 :
>>69
>この場合、発信者はk******ma-u.ac.jpでOK?
[答]
発信者も発信ホストも不明
[理由]
>Received: by mchk.k******ma-u.ac.jp; id RAA14035; Mon, 25 Aug 2003
>17:40:57 +0900 (JST)
この Received:スタンプに from-domain がないため(rfc違反)
Sobig.F はReceived: を偽装しないけどね

85 :
>>83
友達が居ないってのは時として良い事もあるって事だ。(´・ω・`)

86 :
>>85
そうか、やはり僕にも来ないのはそういうことだな・・・・・・

87 :
人気HPを作ればOK

88 :
>83
MLに入っていたり、Web立ち上げてアドレス公開している俺は
山ほど来ているぞ
どうやらML関係が発信者らしいけど、偉い先生方はコンピュータ素人が
多いからなぁ (やんわり注意されても平気でHTMLメール投げ続けるし
改行しらんし)

89 :
現在、200通のsobigタンを受信中(;´Д`)
ノートン先生が反応するのとしないのが
あるんだけど、どうして?
それにしても、マジで困ってます。

90 :
sobig自体は来ないけど、送信者詐称のせいでゴルァメール(自動応答)が山ほど来ている
Virus Alart と Undeliverable mail メールサーバの自動削除設定にしておくか

91 :
正直濡れ衣メールの方が嫌じゃない?
量は多くないけど勘弁してくれよもう

92 :
濡れ衣メールすら来ないYOヽ(`Д´)ノ ウワァァァン
誰もアドレス帳に登録してないのかYOヽ(`Д´)ノ ウワァァァン

93 :
>91
正直全部濡れ衣の自動応答メールばっかなので鬱です
直接受け取って誤解しているひともいるんだろうな
発信者の所属ほぼ特定できた
某医大の歯科関係の学内MLからのエラーメールが来ていたのが決定的
他の返送メールのヘッダのIPアドレスもその大学だから
まぁ間違いないだろう
昨夜ゴルァしたけど、まだ対策されてないのか・・

94 :
>>93
コッチは、一晩明けてさっきOCNから調査する旨のメールが来た。
その後、今朝までは2つのメアド両方に送信されて来ていたメールが
1つのメアドに絞られ、爆発力は減ったものの現在進行形。
IPアドレスに変更が無い所をみると、どこかの企業の
共有ネットワーク内の複数の端末に感染してるって事なのかな…
って事は、感染者がその事に気付いてなかったら、
また昨日の惨劇の再来!?(((゚Д゚;))))ガクガク

95 :
と思ったら、共有ネットワーク感染はバグで動作しないのか!
連投スマソ。

96 :
もしバグってなかったら、どうなっていたか想像してみる。
まあ、俺には友達が居ないから感染するこたーないけどね。

97 :
>94
会社だとウイルスバスターに引っかかって始末書出さないといけないんで
家に帰ってメール受信 本日受信分のリターンメールとゴルァメールの添付
のヘッダのip adress や送信先等を再度確認
再度、医学部と大学のWebmaster宛にメールしておいたところ。
今までのパターンから 09:30-11:30 14:00-16:00 といった感じの時間帯に集中して
送られるようだから、ぼちぼち午後の部が始まるかもしれない・・

98 :
>>97
参考になる。引き続き報告きぼん

99 :
朝10時頃に一晩で溜まった2000通ほどを削除しました。
そしてさっきまた溜まったのを削除しようと一覧見てみると7268通も溜まったますた。
もうダメポ

一応、自作のソフトである程度は簡易的に削除してるが限界っす。
フリメなんでIP拒絶する訳にも行かず(;´д`)トホホ
恐らくHD内のtxtファイルに書かれてるメアドに大量に送りつけてる様子。
webに晒してあるアドレス宛にはこないし。
漏れより有名なソフトウェア作家はもっと大変なんだろうなぁ。

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
「Nimda !! 」【その4】 (627)
ウィルスバスターに騙された! (565)
究極のインターネットセキュリティーとは (466)
【TBS土8】ブラッディ・マンデイ【ハッカー目線】 (254)
Android powered by McAfee (460)
結局ノートンが一番いいんだな (704)
--log9.info------------------
中谷彰宏 総合 (342)
☆勝間和代☆43【有名人になるということ】 (602)
和田秀樹36丸暗記目 (740)
【原子力】VOW19【運送】 (949)
【闘病】 橋本治 その2 (843)
この本のタイトル(題名)教えて! その10 (692)
出版界悲鳴、もう雑誌がさっぱり売れない!20冊目 (305)
【自称有名人】勝間和代44【共演者ドン引き】 (458)
宇野常寛と第二次惑星開発委員会 48 【PLANETS】 (202)
アンチおおたうに (249)
村上龍を語る会 (542)
落合信彦 ノビー・ザ・グレート 2 (340)
【剣客】池波正太郎を語ろうか4【鬼平】 (626)
【戦後最悪】小林信彦・中原弓彦28【大本営発表】 (441)
自己保身と自己正当化の女王・中村うさぎ4 (986)
ちくま学芸文庫・講談社学術文庫・岩波現代文庫8 (294)
--log55.com------------------
▲▲▲ Motocross モトクロス最高! Heat73▲▲▲
【1969】昭和44.45年生まれのバイク乗り【1970】
☆ワークマン スレ★Part48
【750】油冷GSX-R part30【1100】
60歳以上のライダー 【その11】
ガレージライフ★20
【空冷】SRオーナーよ集え STAGE192【単気筒】
【おでん】静岡ツーリングスレ102【黒はんぺん】