1read 100read
2013年03月セキュリティ376: 【Thank You!】Sobig.Fスレ (641)
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▼
googkle.comに飛ぶとPCが乗っ取られる (595)
【白】パンダでウイルス撃退2【黒】 (479)
苺 き ん た ま (533)
【中華キー】NortonInternetSecurity Part2【専用】 (213)
クラックしかけてくる奴の国名ランキング(日本除く) (850)
※ウィルス※ Windows Live Messenger で感染!?2 (549)
【Thank You!】Sobig.Fスレ
1 :03/08/22 〜 最終レス :2013/01/05 ここ1日でウイルスメールがどかっと来た。 タイトルは Thank You! とか Re: Your Application とかそんなの。 なんでも史上最悪の成長度だとか。 単なるメール添付型のウイルスのようだが、なんでこんなに爆発的なんだろう? http://internet.watch.impress.co.jp/cda/news/2003/08/21/203.html http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sobig.f@mm.html http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F 駆除ツール http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sobig.f@mm.removal.tool.html
2 : こないよぅ
3 : まだサンプル頂戴してません
4 : Viri&Worm捕獲スレはココですか?
5 : >>1 いちいちスレ乱立させんなバカ 既存ので十分だろ http://pc.2ch.net/test/read.cgi/sec/1061454729/l50
6 : 主にWebに晒されてるアドレスに来るのかなぁ?
7 : 重複スレにつき ■■■■■■■■■ 終了 ■■■■■■■■■
8 : 2時間で40通きて、その後ぱったりこなくなった。 串経由っぽいのが気になる。
9 : 朝8時頃〜夕方まで500通以上がきた。俺もその後ぱったりなくなった。 どこかの会社経由か?
10 : >>8 糞スレ上げるなバカ
11 : >>5 いいんじゃねーの? 俺は、Sobig.F がどうしてこんなに広がったかに興味があるが、 他のくだらねえウイルス質問には付き合いたくねえからな。
12 : 1日100通くらいくるわくるわ 9月10日頃までこの調子でわんさかくるんかなぁ。
13 : さて、それではここのスレッドで「スーパースプレッダー」のIPアドレスを 交換しましょう。 当方で把握しているスーパースプレッダーは次のとおりです。 61.202.86.197(DION) 219.125.48.99(DION) 4.43.213.17(VERIZON) 12.212.194.3(ATTBI) sobig.f型の万円が落ち着くまでの間、ファイヤーウォールソフトや ルーターの拒絶リストに記述するのに役に立つと思います。
14 : 一通も来ません
15 : 来る人と来ない人といるようだねー。 まだ日本国内は蔓延してないのかも。 うちはまたちょろっと届き始めた。 関連スレ http://pc.2ch.net/test/read.cgi/pcnews/1061517675/
16 : ttp://www.nhk.or.jp/news/2003/08/22/k20030822000060.html ニュースキタ━━━━━━ヽ(‘∀‘)ノ━━━━━━ !!!!
17 : http://zip.2chan.net/3/src/1061518263340.gif
18 : N+ http://news2.2ch.net/test/read.cgi/newsplus/1061348880/
19 : これ来てる人は自分のアドレスも詐称に使われてる可能性が高いんだよな これに紛れて『あんたのメールはウィルス入ってるから消したよ』ってのも来てて・・・
20 : ぐへーーー、8/19 19:49 から始まって、 一つのメアドだけでもう 3100通も来てるぞ! 片っ端からネット管理者に連絡してるが対策遅いーー SMTPエンジン付きのワームって最悪。
21 : それにしても、1分に2〜5通なんて速度で 同じメアドに送り続けるワームは初めてだ。 なぜにみんな、のんびり構えてる??? from詐称されて、配送不能で(身に覚えのない)返送されてくる メール数だけでもすごいのに、、、
22 : やっぱり一通も来ない、sobig・・・・・・。 何処か賑やかなフリーメルアド屋さん知りませんかね???
23 : >>22 どこのメアドを取得しようが感染者がメアドを拾ってくれないと来ないからな。
24 : 俺のところは、日本は大体止まったみたい。 12-248-54-55.client.attbi.com [12.248.54.55] ip152062.wstcmp.ukans.edu [129.237.152.62] Rや!
25 : >>1 重複スレ立てるなバカ ■■■■■■■■■ 終了 ■■■■■■■■■
26 : >21 同じく俺のアドレス詐称されてドカドカ送ってくれたので 返送&ウイルス入りだぞゴルァメール(サーバ自動応答)がすごい 返送メールにはそのままワーム本体も添付されるから ノートン反応しっぱなしだよ @X大学さん、対策してくれよ 犯人はあんたのところにいる 土日は来ないだろうが月曜日が鬱だ・・
27 : アメリカの大学や歯学部のアドレスもあった。 21日、午前9時頃からぱたっと止まったが。
28 : 俺のところは22日の日中に集中していた 夜になると静かになった 送り先 全部大学関係だったな
29 : >>1 >単なるメール添付型のウイルスのようだが、なんでこんなに爆発的なんだろう? アクセス可能な共有ネットワークに、自分自身をコピーしようと試みる、 と聞いたのでそれのせいかと思ったら、実際はコードのバグでこの 動作は行われないそうですね。 本当に、なんでこんなに流行してるのかな?
30 : >>29 数がものすごいから気になって開けちゃうとか
31 : では追加です。 69.140.163.54(comcast.net) 61.214.132.138(OCN) 219.111.85.232(bbexcite) 129.237.152.62(カンザス大学) これらのIPからは今もまだ届いてますね。 沈静化するまでは、主立ってメールサーバでこういうIPからの中継を受け付けないように しておくと、ある程度の効果が出るはずですよねぇ。
32 : 来るアドレスと来ないアドレスの差が激しいから、やはり特定少数の感染者がどんどこ同じ所に送りまくっているんだろうな。
33 : Received: from IBM-482A5E36DA2 (YahooBB220042004004.bbtec.net [220.42.4.4]) ここからSobig.Fがこの2日間で300通以上届いてまつ。
34 : >>1 は都昆布
35 : 【重要!】 1 差出人(送信元)はウィールスが詐称したものです。Fromフィールドの差出人は 本当の差出人ではありません。抗議メールなどを送るのはやめましょう。 2 確認されているメールの件名等。以下のようなメールは開かずに速攻削除。 件名: Re: Details Re: Approved Re: Re: My details Re: Thank you! Re: That movie Re: Wicked screensaver Re: Your application Your details 本文: See the attached file for details Please see the attached file for details. 添付ファイル: your_document.pif document_all.pif thank_you.pif your_details.pif details.pif document_9446.pif application.pif wicked_scr.scr movie0045.pif
36 : >>35 件名追加: Thank you!
37 : おーい鹿児島大学の誰かわかんねーけど対策してくれ! 俺のアドレス詐称してくれているから、あちこちのメールサーバから ゴルァメールが来ているぞ
38 : >>37 こんなところで愚痴ってないで大学に直接メール出せば何らかの対処をしてくれると思うが。
39 : >>38 のぞみ臼という悪寒
40 : >38 過去に同様の事例で(Klezだったかな)経験があるけど 梨の礫だったよ
41 : >>39-40 昔々送った事があるが数日後に謝罪と対策とった旨のメールが来たぞ。 漏れは運が良かったのか?
42 : こねぇなぁ なんか仲間外れにされた気分
43 : >>42 重複スレ上げないで下さい。 ■■■■■■■■■ 終了 ■■■■■■■■■
44 : >>42 プロバイダ側でチェキしてんじゃね?
45 : >>44 R
46 : >>45 Rはねぇだろクズ
47 : >>46 糞スレ上げるなバカ
48 : >44 その場合、通知はこないのかな? 詐称された人のところには自動応答メールが行くけど
49 : まだまだくるねぇ。 というわけで、追加。 218.18.70.183 61.174.219.121 218.230.6.49(ttcn.ne.jp) なんだかんだと言い訳して何もしないISPの運営者の人々がここのスレッドを見て 青い顔でもして大騒ぎしてると楽しいんだがなぁ........
50 : 今日になって急に50通くらい来た
51 : >>50 それ俺
52 : プロバイダに通報しても全く見当違いの返答が返ってきた。 まあ爆撃は止まってたので良かったんだが。 だが10分前に再爆撃開始… いい加減に気づけよ、ボケスプレッダー!!!!!!!!!! メールチェックしねえのか? エラーメールが相当数届いてるはずだが。 ウィルス自体より、それに易々と感染する馬鹿にムカツク。マジでR
53 : おとといから合計すると、数千通くらいきた。 メールボックスすぐパンクするわ、全然しらんメールサーバ から怒られるわ。。。 しかたなくプロバイダ有料のメールウィルスチェックサービスにはいったけど。。。 納得いかん。。。 >ウィルス自体より、それに易々と感染する馬鹿にムカツク。マジでR 禿同。RR!。MS OutlookもRや!
54 : その簡単に感染する馬鹿はこいつ↓Rだとよ
55 : Spam Mail Killerっていうフリーソフトで何とか対処してる。 http://homepage1.nifty.com/eimei/ ある条件に合ったメールをサーバー上で自動削除してくれるソフト。 ちょっと設定は面倒だが、効果覿面。 スーパースプレッダーも晒しとく。通報したプロバイダも当然同じだ(w YahooBB219019064053.bbtec.net [219.19.64.53]
56 : 61.197.200.238 テレビ神奈川ですか? さきほど届きますた。
57 : またきますた、61.197.200.238。 テレビ神奈川に直電で苦情いれまつか・・・・
58 : 4通目・・・・
59 : ブラスタ
60 : ネット初めて3年… ウイルスメールコネー 安置ウイルスソフトの更新料だけが飛んでゆくぅー ヽ(`Д´)ノ
61 : >>55 使ってみた。これでだいぶ楽になりそう。
62 : http://www.zdnet.co.jp/news/0308/25/xedj_sobig.html FBI、Sobig.Fの感染源とみられるサイトに召喚状 米連邦捜査局(FBI)がEasynewsという会社に召喚状を送り、コンピュータウイルス「Sobig.F」の作者につながる情報の提出を求めた。同ウイルスの作者は、Easynewsのサイトへの掲載をきっかけに、この悪質なウイルスを広めた可能性がある。 チーム2ちゃんのライバルのあそこかよ!
63 : 案の定、週が開けたらどっときた Virus Alart と Undeliverable mai 全部SOBIG関係 受信して返送メールのヘッダ見てみたいけど、ウイルスバスターが反応して システム管理者に報告する羽目になるので出来ないや 家に帰ってノートン止めて受信するしかないか
64 : では、追加です。 218.120.6.49(ttcn.ne.jp) サポートに噛み付いてみたのですが、あまりやる気がなさそうなので みんなでドシドシいじめましょう。
65 : 今朝から通算、約300通のSobigを受信しています。 さすがにちょっと困っています。 本来の送信元IPを確認するべく、ヘッダーを見てみたのですが(Received:) IPアドレスらしき表示は、自分が借りているレンタルサーバーの物しか見当たりません。 自分は、レンタルサーバースペースに独自ドメインを与えて(?)いるのですが このような環境だと、本来の送信元の特定は出来ないのでしょうか? また、全てのメールのヘッダーにある『X-Mailer:』の項目が “Microsoft Outlook Express 6.00.2600.0000”なのが気になるのですが コレはSobigの仕様ですか?
66 : 2時間で約50通受信しました。 全てここでした。 220.213.17.197(株式会社エヌ・ティ・ティ エムイー)
67 : >>65 Received: from XXXX by YYYY .... の from XXXX が無いってこと? >また、全てのメールのヘッダーにある『X-Mailer:』の項目が >“Microsoft Outlook Express 6.00.2600.0000”なのが気になるのですが >コレはSobigの仕様ですか? 仕様です。
68 : >>67 すいません、焦ってて良く調べずにいました。 Receivedが1個しか無いヘッダーは初めて見たもので・・ お騒がせしました。 ちなみに、from XXXX の部分はOCN所有のIPでした。 現在サポートに問い合わせ中です。 現在の受信ペースは、30分で約30通です。
69 : Return-Path: <******.ne.jp> Received: by mchk.k******ma-u.ac.jp; id RAA14035; Mon, 25 Aug 2003 17:40:57 +0900 (JST) From: <********.ne.jp> Message-Id: <200308250840.RAA14035@mchk.k*******a-u.ac.jp> Received: from nodnsquery(150.59.138.142) by mshd1.mchk.k*******a-u.ac.jp via csmap (V4.1) id srcAAA1baGyB; Mon, 25 Aug 03 17:40:53 +0900 To: <**********.k*******a-u.ac.jp> Subject: Re: Thank you! この場合、発信者はk******ma-u.ac.jpでOK?
70 : 受信ペースは、30分で20通でした。 1時間で、約40通です。 あまりにも暇なので、OEの画像をアップしてみました。 http://up.isp.2ch.net/up/e1a9581d0eff.GIF 朝からずっとこのペースです。
71 : >>70 俺にもゾビクメール下さい。
72 : >70 俺の場合は直撃じゃなくて誤爆(Virus Alart Undeliverable mail)ばっかり だけど、一時間で50通超えている 時間帯は 14-16時に集中
73 : YahooBB220032084012.bbtec.net [220.32.84.12] から 70通ほど来たよ。ヽ(`Д´)ノ と書いてる間にまた 7 通… ホント回線切って首吊ってほすい。
74 : OCN の MAILER-DAEMON がご丁寧にワームを添付してくるよ。 ヤメテ…
75 : もうホント…勘弁してくれ〜! このまま放置したら、メールサーバーがいっぱいになって 本当に必要なメールを弾いちゃうよ・・(´Д`;) OCNの法人向けサポートは営業終了。 個人向けサポートはオルゴールマシン。 問い合わせのメールには音沙汰無し。 俺はいつになったら家に帰れるんだ!? 感染者はどんだけボンクラだよ!!気付けよ! 偽装メアドに『2ch-kensaku.net』があった…このスレを見ろ〜!ヽ(`Д´)ノ
76 : 偽装アドレスは全く関係ないよ。
77 : >>76 あれ!?そうなんだ!? 最低でも一度は『2ch-kensaku.net』ドメインの メアドを拾ってる=“2ちゃんに来た事ある”って事かと思ってた…(;・∀・)
78 : Sobigはブロードバンド化の弊害とも言えるな。 回線が細ければ、あんなにメールを送ったらすぐにわかる。 なまじっか太いもんだから、どんどん送り続けても全く気づかない馬鹿が出てくる。
79 : >>77 そういう意味なら関係あるが… 全員がセキュリティ板を見ているわけもなく(w
80 : nPOPQをメーラーにしてるから感染してないと思うんですが、リターンメール来るって事は問答無用で詐称されてるって事 ですか?サーバー上で削除しようが関係ない?
81 : >>80 関係ない
82 : 俺はもう帰るよ…バカ感染者はドコか企業にでもRされろ!くそ〜! 駐車場の遅延料金返せ!!ヽ(`Д´)ノバカー!!
83 : 一通もこないんだけど・・・ 俺は無視ですか?
84 : >>69 >この場合、発信者はk******ma-u.ac.jpでOK? [答] 発信者も発信ホストも不明 [理由] >Received: by mchk.k******ma-u.ac.jp; id RAA14035; Mon, 25 Aug 2003 >17:40:57 +0900 (JST) この Received:スタンプに from-domain がないため(rfc違反) Sobig.F はReceived: を偽装しないけどね
85 : >>83 友達が居ないってのは時として良い事もあるって事だ。(´・ω・`)
86 : >>85 そうか、やはり僕にも来ないのはそういうことだな・・・・・・
87 : 人気HPを作ればOK
88 : >83 MLに入っていたり、Web立ち上げてアドレス公開している俺は 山ほど来ているぞ どうやらML関係が発信者らしいけど、偉い先生方はコンピュータ素人が 多いからなぁ (やんわり注意されても平気でHTMLメール投げ続けるし 改行しらんし)
89 : 現在、200通のsobigタンを受信中(;´Д`) ノートン先生が反応するのとしないのが あるんだけど、どうして? それにしても、マジで困ってます。
90 : sobig自体は来ないけど、送信者詐称のせいでゴルァメール(自動応答)が山ほど来ている Virus Alart と Undeliverable mail メールサーバの自動削除設定にしておくか
91 : 正直濡れ衣メールの方が嫌じゃない? 量は多くないけど勘弁してくれよもう
92 : 濡れ衣メールすら来ないYOヽ(`Д´)ノ ウワァァァン 誰もアドレス帳に登録してないのかYOヽ(`Д´)ノ ウワァァァン
93 : >91 正直全部濡れ衣の自動応答メールばっかなので鬱です 直接受け取って誤解しているひともいるんだろうな 発信者の所属ほぼ特定できた 某医大の歯科関係の学内MLからのエラーメールが来ていたのが決定的 他の返送メールのヘッダのIPアドレスもその大学だから まぁ間違いないだろう 昨夜ゴルァしたけど、まだ対策されてないのか・・
94 : >>93 コッチは、一晩明けてさっきOCNから調査する旨のメールが来た。 その後、今朝までは2つのメアド両方に送信されて来ていたメールが 1つのメアドに絞られ、爆発力は減ったものの現在進行形。 IPアドレスに変更が無い所をみると、どこかの企業の 共有ネットワーク内の複数の端末に感染してるって事なのかな… って事は、感染者がその事に気付いてなかったら、 また昨日の惨劇の再来!?(((゚Д゚;))))ガクガク
95 : と思ったら、共有ネットワーク感染はバグで動作しないのか! 連投スマソ。
96 : もしバグってなかったら、どうなっていたか想像してみる。 まあ、俺には友達が居ないから感染するこたーないけどね。
97 : >94 会社だとウイルスバスターに引っかかって始末書出さないといけないんで 家に帰ってメール受信 本日受信分のリターンメールとゴルァメールの添付 のヘッダのip adress や送信先等を再度確認 再度、医学部と大学のWebmaster宛にメールしておいたところ。 今までのパターンから 09:30-11:30 14:00-16:00 といった感じの時間帯に集中して 送られるようだから、ぼちぼち午後の部が始まるかもしれない・・
98 : >>97 参考になる。引き続き報告きぼん
99 : 朝10時頃に一晩で溜まった2000通ほどを削除しました。 そしてさっきまた溜まったのを削除しようと一覧見てみると7268通も溜まったますた。 もうダメポ 一応、自作のソフトである程度は簡易的に削除してるが限界っす。 フリメなんでIP拒絶する訳にも行かず(;´д`)トホホ 恐らくHD内のtxtファイルに書かれてるメアドに大量に送りつけてる様子。 webに晒してあるアドレス宛にはこないし。 漏れより有名なソフトウェア作家はもっと大変なんだろうなぁ。
100read 1read
1read 100read TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲
「Nimda !! 」【その4】 (627)
【スパイウェア】Yahoo Emulator【堀川水樹】 (278)
※ウィルス※ Windows Live Messenger で感染!?2 (549)
KINGSOFT Internet Security Part26 (224)
Sygate Personal Firewall part10 (870)
googkle.comに飛ぶとPCが乗っ取られる (595)
--log9.info------------------
高橋のスケートを語るスレ 実質16 (812)
駒澤大学陸上競技部スレ Part9 (220)
◆山梨学院大学No.85◆ (470)
悪質な信者のせいで浅田真央嫌いになった人の数163 (271)
【ここが】ハマスタ売り子スレ14【本スレ】 (256)
【躍進期待の】神奈川大学応援スレ47【新年度】 (353)
内田とノイアー Part.2 (214)
浅田真央の衣装やメイクが絶望的にダメな件part46 (537)
やる大矢スレ +201 (404)
ウッチャー内田って兄貴に怒鳴り散らされてなかったねっ (335)
ウルスラ雑談3 (557)
バク宙しよう (200)
吉田と内田を見守るスレ37 (872)
サイババ(田中R チンカス)を監視嘲笑う 2 (227)
【蟹が】こんな高橋大輔は嫌だ4【触れない】 (247)
インサイドキック【サッカー・フットサル】 (681)
--log55.com------------------
【青鯨から消えてほしいもの】富士運輸スレッド23 【ネームプレートとシミジュン】
【社員の】クロネコヤマトPart213【愚痴スレ】
【名古屋】中小規模の運送屋【愛知県】その32
【日本】長距離トラック【全国】その554
タクシードライバーの雑談日記 162冊目
【日本】長距離トラック【全国】その555
三陸自動車道とその周辺の道路 part8
【建設中】外環道東京区間について9【関越-東名】