メール添付ウイルス「WORM_MIMAIL.R」が流行中

1 ：04/01/27 〜 最終レス ：11/11/17

http://enterprise.watch.impress.co.jp/cda/security/2004/01/27/1190.html
もう２通来マスタ

2 ：

ＩＳのログがコレ一色だ
(ﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬﾋｬ

3 ：

symantec 用語では W32.Novarg.A@mm らしげ。

4 ：

McAfee だと W32/Mydoom@MM ぽい。
みんな米国時間１月２６日対応とゆーみたいですが、
誰が一番早かったんですかね？

5 ：

頼むから業界でウイルスやワーム、トロイの名前を統一してくれ。

6 ：

〜〇 (ﾟ∀ﾟ)ｱﾋｬﾋｬﾋｬﾋｬ

7 ：

symantec corporation
http://www.symantec.com/region/jp/sarcj/data/w/w32.novarg.a@mm.html
Trend Micro, Inc
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MIMAIL.R

8 ：

Network Associates Technology, Inc.
symantec corporation
Trend Micro, Inc.
共に同日

9 ：

新ウイルス「MyDoom」が大発生--SCOサイトへのDoS攻撃を狙う
http://japan.cnet.com/news/ent/story/0,2000047623,20063937,00.htm

10 ：

トレンドマイクロ以外は新種と見ているのかな。

11 ：

>>10
ネーミングに乗り遅れたトレンドマイクロ
これの亜種が出ればミメイルの亜種ということになるな

12 ：

うちの会社も今日の9時過ぎくらいから40通以上来てるな。
2chではあまり話題になってない？

13 ：

PCを起動して見たら、このウィルスが添付されてきたメールが
1件とすでに自分のアドレスで送られて相手から帰ってきた
メールが2件ほど入っていたのだが、どういうこと？
メールサーバーが感染してるの？

14 ：

なりすまししまくりですな
これ

15 ：

うちもきてるわ。
添付ファイル「document.zip」付き。
えらくはやってるようす。

16 ：

全然来ない。Sobig.Fのときも来なかった。

17 ：

1通も来ないな。
sobig-fの時も1通も来なかったし、ISPでフィルタしてくれてんのかな

18 ：

>>13
スプーフィング（なりすまし）って知ってるかな？

19 ：

>>18
感染したわけでもないのに、スプーフィングされたわけ？
どっからメアドぱくられてんのよ。

20 ：

>>19
根本的に理解不足だぞ

21 ：

>>20
スプーフィングっていうのは、メアドとかをどっかからパクラレて
そのアドレスを使ってなんかされることだろ？
どっからぱくられたのかが疑問なわけで。

22 ：

>21
喪前さんのアドレス知ってる人でつね
知り合いじゃないの？

23 ：

>>21
お前は誰にもメアドを教えていないのか？

24 ：

うん、書き方が非常に悪かった。申し訳無い。
つまり俺の言いたいことは、もしもこのウィルスに関係ない
ところでアドレスが使われたんなら、今のタイミングでこのような
メールが来なくてもよいわけだ。だから、このウィルスが今回の
不可解なメールの原因と特定して見たわけ。
で、問題なのはその俺のアドレスを知っているやつが感染した
のか、それとも1通目のウィルス添付のメールを受け取ったことで
メールサーバーが感染したのかを知りたかったわけ。

25 ：

>>24
例えばおまいが友人の掲示板にメアドを書いたとしよう
それを「全く関係ない」漏れが見て、キャッシュに残るとする
そして漏れが感染すれば、ウイルスは漏れのＰＣ漁りまくって、キャッシュのおまいのアドレスを見つけて送信したりする
つまり、そういう色々な可能性があるワケ
殆どの場合、全く関係の無い誰か
あとメールサーバは感染しないぞ
Exchangeサーバだとしても、それとコレとは話が別

26 ：

ノートンで感染が見つかったのですが、
C:\WINDOW\system32\shimgapi.dll
という感染ファイルが削除できません。
どうしたら削除出来るでしょうか?

27 ：

シマンテックは今日2回目の自動Liveupdateだ、1回目は26日re21、2回目はre24

28 ：

>>26
セーフモード

29 ：

うちの会社も感染。
全パソコンに入ってる定義ファイルの更新が間に合ってなかったらしい。
今、情ｼｽの人間が感染源を調べてる。
でもその間、メールサーバーはずっと止まったまま。

30 ：

うちにもｷﾀｰｰｰｰ
ノートンが削除してくれたけど

31 ：

会社には10通（窓口のメアド）、取引先からのアラーム（漏れのメール
からウイルスﾊｹｰﾝ！）も2通。
プロバイダのスキャンサービスにも入ってるし、漏れから送られること
はないのだが・・・　誰だ！なりすましてるﾔｼは！ｗ

32 ：

個人的に取引はない会社（日本国内）からきたのだが　とりあえず
メアド本人ではなくWebにあった会社代表に問い合わせメールは入れておいた
こういった問い合わせの際　なりすましが予測される場合
「送信者が詐称されたものであった場合にはご無礼をお許しください」
とでも付け加えておけばいいのでしょうか？

33 ：

おれんとこ、９通ｷﾀｰｰ
ヘッダーの詳細みたら同じＩＰから来てるみたい。
感染してる奴突き止められんのかな？

34 ：

あんまり過剰反応するのもどうかと。

35 ：

Who isで調べたら某ISPだった…
とりあえずadminに警告メール送ってみた。

36 ：

今回すげーメールが来るー
メアドを勝手に合成して送るのかなこのウィルス
存在しないメアドをバンバン使ってるんだけど

37 ：

うちは、結構多いな。
10時から弾きはじめて87通。
（すみません、そのまえは通しちゃってますた）
添付の拡張子隠すし性質が悪い。
ユーザを変数にしてAレコード（ホスト）あてにセカンダリMX経由(50%）で投げつけてくる。
台湾、オランダ(nlってそうだっけ？)まで投げまくってるらしい。
同じ所からのがなかなか止まらないので、特定に手間取っている模様。
官公庁とか大学もけっこうやられている予感。

38 ：

相手が素人個人で、間違って踏んじゃった。->いじめてもしょうがないので無視。
相手がまともな企業->社内のネト官が調べてるはず。
なので、たいていの場合放置でいいだろ。
もし突っ込み入れたければ、メールを使うな。鯖官の邪魔になるだけだし
詐称されているなら、まさに迷惑。チェーンメールとおなじだ。

39 ：

某大手商社
6時間で5千通越えますた

40 ：

ポツポツきます…しかも私のＰＣだけ…

41 ：

ドコモから警告メールが3通きてた
スプーフィングだよ(´･ω･`)ｼｮﾎﾞｰﾝ

42 ：

あ、たぶん、こいつ、
ひとつかふたつ前の被害者のドメインをエンベロープとFromで使う。
けっこう粘着だな。

43 ：

なりすまされage
大変な目にあってる人多そうだからageでいきませんか？
俺は２通「あなたが送信したメールは・・」ってメールがきたけど、
そのウイルスメール自身は１通もきてないな。
>42
ウイルス届いてないのでヘッダ見られないのだが、
エンベロープはわからんが、なりすまされている人間が感染してない場合もあるので
FromはOutLookのアドレス帳やキャッシュじゃない？

44 ：

日本では今日の夕方頃から、会社PCほどセキュリティのしっかりしていない
個人PCから祭が起こるかもね。

45 ：

aliceなんてユーザーは俺のドメインには居ないのに使われてる
単純にアドレス帳みてるだけじゃないのは間違い無い
ユーザー名とドメイン名を勝手に組み合わせて使うのかも

46 ：

a

47 ：

>>43,45
私のところもウィルスメール自体は届いてない。
ネット上に晒してるメアドだから、やっぱ知人のアドレス帳かキャッシュかな？
今頃見知らぬ誰かに勘違いされてるのかと思うと･･･＿|￣|○

48 ：

>>25
書きこめた・・さっき書きこめなかったのに。
そういうことですか、ありがとうございました。
自分の場合、アドレスブックに登録せずに
連絡を取っていた相手のドメインに向かってメールを
送ってました。幸いそのドメインには該当ユーザーはいなくて
サーバーからのreturnでしたけど。
でも、添付ファイルは開いてないし、ウィルススキャン
でも引っかかってないのになぁ・・・・。

49 ：

http://internet.watch.impress.co.jp/cda/news/2004/01/27/1867.html
＞Mydoomはトロイの木馬型ウイルスで、Windowsシステムのプロセスに常駐し、
＞自分を添付したメールを送信するワーム活動を行なうほか、
＞ファイル交換ソフト「Kazaa」経由での感染やバックドア機能も備えている。
いろいろ進化してるわけだ。(w

50 ：

>>48
いやいや、あなたが感染しているわけじゃないってことだよ？
あなたがネット上に書いた自分のアドレスを見た人や、あなたのアドレスを
アドレス帳に入れてる人間が感染した場合、あなたの名前やアドレスに
なりすませてウイルスを送信する、ということ。

51 ：

>>45
へぇ〜。なんか相当手の込んだウイルスみたいだね。
一気に大騒ぎになったみたいだけど、実行日や時間が決まってたって事かな？

52 ：

ISPがはじいてくれるから添付ファイル型ワームにはほとんど縁がない。
楽でいいけど祭に参加できなくてちょっと寂しい。

53 ：

感染しますた。
ファイル開いたらいきなり続々と10通来ました。
ファイル名はscrです。
その後ウィルスバスターＤＬして削除したけど大丈夫なんでしょうか？

54 ：

存在するドメインを突き止めると、ありそうなアカウントで送ってくるパターンも
ある模様。ウチの会社の鯖もターゲットにされているワケだが
jose@xxx.xxx.jp
john@xxx.xxx.jp
adam@xxx.xxx.jp
mary@xxx.xxx.jp
bill@xxx.xxx.jp
ted@xxx.xxx.jp
helen@xxx.xxx.jp
sam@xxx.xxx.jp
ted@xxx.xxx.jp
julie@xxx.xxx.jp
leo@xxx.xxx.jp
michael@xxx.xxx.jp
dan@xxx.xxx.jp
peter@xxx.xxx.jp
claudia@xxx.xxx.jp
helen@xxx.xxx.jp
david@xxx.xxx.jp
serg@xxx.xxx.jp
anna@xxx.xxx.jp
brenda@xxx.xxx.jp
maria@xxx.xxx.jp
sandra@xxx.xxx.jp
debby@xxx.xxx.jp
james@xxx.xxx.jp
そんな香具師はいない・・・

55 ：

ﾔﾌｰのﾒｰﾙにきていて、
開かずに削除しました。
というか、勝手に迷惑ﾒｰﾙに入っていたので空にしただけです。
ですが、その後、
Mail Delivery Subsystem　MAILER-DAEMON@csupport.ufjbank.co.jpというタイトルで添付ファイルが
なく届きました。
思わず開いてしまったのですが、
Found virus WORM_MIMAIL.R in file readme.pif
The uncleanable file readme.pif is moved to /var/iscan/virus/virEGQvDk.
こういう記載があったので
感染したのかと心配です。
一応ウィルススキャンでは感染０となりました。
大丈夫でしょうか？？？

56 ：

>>55
プロバイダのウイルスチェックに引っかかって，
ウイルスは削除しましたよって　メッセージでしょ．
セーフですな．

57 ：

>>54
ふふ、お前の知らないだけで、その会社には地下の組織がうわっなにをするやめｒ
>>55
まず、ヤフーのメールってWebメールのほうでしょうか？
んで、その添付ファイルを実行（ダブルクリックとか）したのでしょうか？
もしWebメールで実行したわけじゃないのなら問題ないと思います。

58 ：

>>56
ありがとうございます。
ほっとしました。
ﾔﾌｰのﾒｰﾙだったのでﾔﾌｰがやってくれたってことなんでしょうかね。
MAILER-DAEMON@csupport.ufjbank.co.jp
って私は出してないんですけど勝手に配信されてるって
ことなんでしょうか。
なにはともあれ、安心しました。
ありがとう!!

59 ：

うちには全然こNEEEEEEEEEEE!

60 ：

>>57
webです。
添付はついていませんでした。
大丈夫でしょうか？
(((（ ;ﾟДﾟ)))ｶﾞｸｶﾞｸﾌﾞﾙﾌﾞﾙ

61 ：

こんなメール今日ＰＣ歴７年で初めてきたよ。
思わず開いていまった・・・＿|￣|○

62 ：

今日ほどノートン先生が逞しく見えたことは無いです

63 ：

>>60
のーぷろぶれむ

64 ：

ありがとう!!>>63

65 ：

普段ろくにメールが来ないアドレスにさっきからぼこぼこ来やがる。
それにしても感染するには解凍して更に実行しなきゃならないってのに
なんでやっちまうんだろう？

66 ：

つーか
今時ご丁寧にワーム・メールをエラー返信する鯖ってなんなんだよ？
ワーム転送されまくりでそれがかえって拡散に寄与している

67 ：

お得意様から、なんで？　とか、うわっ「あの会社から引き合い？」
ってんで、思わず解凍してしまいました。　ほんと馬鹿とは思うけど。
DOSからinet経験ある漏れだが、ほんと情けない。
勝手知ったる送り人に聞いたら、その会社、今朝から「てんやわんや」
だと。　慌ててファイル削除に「セーフモード」すら、ここで知った。
誰かさん､アリガトウね！

68 ：

なんかキナ臭い匂いがするな。
Nortonが例の証明書関係でボコボコ叩かれてる
時期にこれかよ。

69 ：

>>66
同感。

70 ：

>>68
今回のこれはSCOのLINUXがらみだと聞いたが

71 ：

>54
その中に自分のメアドと同じのがあったよ。＿|￣|○
おもいっきり、なりすまされてるし、自分。
ウイルスやリターン含めて、うちにもバンバンきてるなー、
今80通ぐらい。感染はしてないけど、来たメールで
ひっかかったファイルは端から削除。

72 ：

>54
>71
自分のも入ってる。
＠より左側と右側いろいろ組み合わせてるってことなの？

73 ：

いっぺんに4つ来た

74 ：

Ｍａｃなんで感染はしてないと思うけどUser unknownで返ってきた。
差出人は自分のアドレス、宛先がjack@......jpで定型文の添付ファイルつき。
成りすましだけど、私のアドレスでどんどん誰かに送られてるの？？

75 ：

>>72
送信先のメールアドレスとして、左側は辞書を持っているような感じっすね。
右側は感染したPCから情報を抜いている、若しくは、一世代(またはそれ以上)前に
感染したPCからの情報かも。
現在、44通がbounceされてpostmaster宛に通知されて来てますー
＃解凍して解析する若さはもうないや･･･

76 ：

>>58
なんだ、MAILER-DAEMON知らないのか。メール配送プログラムの
ことです。@ufjbank.co.jpってついてるからufjbankのメール配送
プログラムからのメッセージ。
普通は差出人に対して送ってきます。ということは、誰かが、
かってに差出人にあなたの名前を使って、ウイルスメールを
ばら撒いた、ってことです。
unreachable　file　ってのは、「あなたが送ろうとして
相手に届かなかったファイル」ということです。
知らないほうがよかったかな。まあ、別に気にすることないけど。
あなたにクレームつけてくる人がいるかもしれないが、そのときは、
私の名前を勝手に使われました、わたしも被害者です。といえば良
い。

77 ：

>>76
ご丁寧にありがとうございます。
送信できなかったときに戻ってくるﾒｰﾙということだけしか
知りませんでした。
ほんとによくわかりました。
でも私のｱﾄﾞﾚｽでばらかまれてるなんて。。
作ったばかりのｱﾄﾞﾚｽなのに。
くそう･･･

78 ：

>>77
え、つくったばかりなの？アカウント部分（＠の左ね）は
ヤフーなら簡単な文字列じゃないよね？てことは感染者は
身近にいる可能性大だよ。

79 ：

ホームページに露出してるメアドならわかるが、
なんで今回は使い込んだメアドじゃなくて、
真新しいメアドまでうまく捕まえてるのかな。
はじめて来た、というケースが多いような。

80 ：

どうもこのウイルスは<<75さんがいうように
辞書を使った形で、メールアドレスを適当に生成してるようですね。
私のメールアドレスは辞書に載っててもおかしくない簡単なアドレスなので
感染メールが80通ほど来てます。
それとあて先不明で帰ってくるメールも10通ほどです。
5分もしないうちに2通ほど来てますよ・・・もう・・・

81 ：

>>80
あ、間違ったよ・・・
どうもこのウイルスは>>75さんがいうように
訂正・・・
アンチウイルスに削除サレテキマ・・・・

82 ：

＠の左側、８文字もあるんだけど。それも意味なし・・
それでも辞書機能で作成されるのかなあ

83 ：

自分は、アカウント単純すぎでひっかかったのかも。
今現在、違うプロバイダーのアドを３つ使っているんだけど。
今、沢山ばい菌メールが来ているアドは
友達数人しかしらず、ネット上では
一度も書き込んだ事の無いアドなんだよね。
その親しい友達は、２つの別アドも知ってるから
友達が感染してれば、２つの別アドにも
「WORM_MIMAIL_R」が来ても、おかしくないんだが。
普段、オクやネットでオープンに使っている
２つには「WORM_MIMAIL_R」は来てない不思議。

84 ：

>>81
うーん。俺のアドレスアカウント部分は簡単ではあるが日本人以外が
鍛えても辞書に掛かりそうにはないんだけどな〜。
アドレス帳＋辞書ってとこだろうか。

85 ：

今日一日で14通も届いてた。
こんなに届いたのは久しぶりだ。

86 ：

>>78
え!!そうなんですか。。
作ったばかりなのでｱﾄﾞﾚｽを知ってる人って
いないに等しいんですよね。
むむむ･･･

87 ：

うちはどうやらocnのウイルスメールチェックが効いてるようで
その手のメールは来てないのでおそらく感染してはない。
会社のPCも祭状態にはなってないようなのでどれほどの脅威かわからないのが
ある意味残念。
ところで、これってメールを乱発するだけ？
それとも個人情報抜かれたり利用されたりするやつ？

88 ：

>>84
アドレス帳＋辞書っぽいね。
今まで来たメールはJhonとかMikeとか、外人さん系が多いけど
中には、○○.○○＠って感じのモロ日本名で間にドットが入ってるのも結構来てるし

89 ：

＠の左側、よくある名前にしてるからなァ。
じゃんじゃん来てるよ。

90 ：

私はたった４文字＆メジャープロバイダなのに全然来ないなぁ。
とはいえ普通の名前では使わない組み合わせだからかも。

91 ：

こういうのって、メルマガとかたくさん取ってるのは関係あるっすか？

92 ：

>87
それは、OCNのウイルスチェックが効いているというより
単に、ウイルスメール自体が、来てないんじゃないのかと。
チェックが効いていれば、感染はしないけど
その手のメールをチェックしましたよという通知は来るはずだ。

93 ：

>>92
なるほど。現在会社にいるので帰ってまたチェックしてみます。
ひょっとしたら恐ろしいことに・・・
ところで、これはhotmailのアドレスもヤバイのかな？

94 ：

web上でもじゃんじゃん公開してる会社の代表アドには来てないのに
そんなに頻繁に使っていない社員のアドに届いてたよ...
ウィルスメール届いてから数分後に
ウィルスメール送信してますよってとある鯖からメールが送られて来てた。
ウィルスに目をつけられた？アドは送信元になったり、送信先になったりするのかな？
とりあえず、ヘッダ見たら大手プロバのリモホが見えたので
お知らせメール送ってきますたが...

95 ：

今日だけで既に100通突破！
ええかげんにせぇ、と言いたい

96 ：

一通も来てない罠。
ある意味さびしい罠。

97 ：

>>96
メアド晒してくれたら転送するよ？

98 ：

>>94
>そんなに頻繁に使っていない社員のアドに
1から読めばわかると思うがそれはその社員じゃなくて
社員の知り合いとかが感染者の可能性ありますよ。

99 ：

メールアドレスを自動生成するせいで、
普段ウイルスに縁のない、ウィルスの脅威を感じなくて対策に力を入れていないような人にも
ドカドカ届いてるってのが怖いよな。
例え存在しないアドレスに送ったとしても、差出人さえ確実であれば、
MAILER-DAEMONがウイルスを届けてくれるんだもんな。
これは考えたな。

100read 1read

1read 100read

TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

ハッカーの世界ランキング教えてくれ (352)
ぼるじょあ（・３・）質問箱 セキュ板出張所31 (329)
googleで自分のフルネーム検索 (268)
■■■【アンラボ】V3ウイルスブロック Part6■■■ (831)
毎日ｳｨﾙｽﾒｰﾙが送られてくるのですが･･2通目 (790)
ぼるじょあ（・３・）質問箱 セキュ板出張所31 (329)
--log9.info------------------
スポーツトレーナーが質問に答えるスレ (594)
サッカー上手くなるには？ (533)
なぜ男はスポーツに興味を持つのか？ (245)
運動音痴が『部活』を頑張るスレ (359)
体育の教師 (287)
【野球】変化球を投げるまで頑張るスレ (228)
とりあえず、アメリカに生まれなくてよかったよな？ (398)
【A】スポーツテストの総合判定を挙げる【E】 (219)
ボールが飛ばない、届かない (325)
運動オンチ→左翼　スポーツマン→右翼 (494)
腹筋付けようぜ (508)
運動系部活さぼってる人集合！ (271)
運動音痴とイジメ (462)
女はでも許されるからいいよな (372)
剛速球を投げれるようになりたい！ (227)
運動音痴で車の運転も下手な奴集まれ〜〜 (621)
--log55.com------------------
【ID梨】イラッとくる他人の行動や言葉 その69【ID梨】
恋する気持ち(IDなし) 110
☆主婦が語る「このゲーム」part102★
皇室御一行様★part3493
☆☆最近買ってみて良かったもの その321☆☆
【全てが】コストコ好きな奥様本スレ190【特大】
■■■今夜何にする？（ﾟдﾟ）ｳﾏｰPart174■■■
■■札幌市にお住まいの奥様・通算69■■