【Thank You!】Sobig.Fスレ

1 ：03/08/22 〜 最終レス ：2013/01/05

ここ１日でウイルスメールがどかっと来た。
タイトルは Thank You! とか　Re: Your Application とかそんなの。
なんでも史上最悪の成長度だとか。
単なるメール添付型のウイルスのようだが、なんでこんなに爆発的なんだろう？
http://internet.watch.impress.co.jp/cda/news/2003/08/21/203.html
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sobig.f@mm.html
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F
駆除ツール
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.sobig.f@mm.removal.tool.html

2 ：

こないよぅ

3 ：

まだサンプル頂戴してません

4 ：

Viri&Worm捕獲ｽﾚはｺｺですか？

5 ：

>>1
いちいちスレ乱立させんなバカ　既存ので十分だろ
http://pc.2ch.net/test/read.cgi/sec/1061454729/l50

6 ：

主にWebに晒されてるアドレスに来るのかなぁ？

7 ：

重複スレにつき
■■■■■■■■■　終了　■■■■■■■■■

8 ：

2時間で40通きて、その後ぱったりこなくなった。
串経由っぽいのが気になる。

9 ：

朝8時頃〜夕方まで500通以上がきた。俺もその後ぱったりなくなった。
どこかの会社経由か？

10 ：

>>8
糞スレ上げるなバカ

11 ：

>>5
いいんじゃねーの？
俺は、Sobig.F がどうしてこんなに広がったかに興味があるが、
他のくだらねえウイルス質問には付き合いたくねえからな。

12 ：

1日100通くらいくるわくるわ
9月10日頃までこの調子でわんさかくるんかなぁ。

13 ：

さて、それではここのスレッドで「スーパースプレッダー」のIPアドレスを
交換しましょう。
当方で把握しているスーパースプレッダーは次のとおりです。
61.202.86.197(DION)
219.125.48.99(DION)
4.43.213.17(VERIZON)
12.212.194.3(ATTBI)
sobig.f型の万円が落ち着くまでの間、ファイヤーウォールソフトや
ルーターの拒絶リストに記述するのに役に立つと思います。

14 ：

一通も来ません

15 ：

来る人と来ない人といるようだねー。
まだ日本国内は蔓延してないのかも。
うちはまたちょろっと届き始めた。
関連スレ
http://pc.2ch.net/test/read.cgi/pcnews/1061517675/

16 ：

ttp://www.nhk.or.jp/news/2003/08/22/k20030822000060.html
ニュースｷﾀ━━━━━━ヽ(‘∀‘)ﾉ━━━━━━ !!!!

17 ：

http://zip.2chan.net/3/src/1061518263340.gif

18 ：

N+
http://news2.2ch.net/test/read.cgi/newsplus/1061348880/

19 ：

これ来てる人は自分のアドレスも詐称に使われてる可能性が高いんだよな
これに紛れて『あんたのメールはウィルス入ってるから消したよ』ってのも来てて･･･

20 ：

ぐへーーー、8/19 19:49 から始まって、
一つのメアドだけでもう 3100通も来てるぞ！
片っ端からネット管理者に連絡してるが対策遅いーー
SMTPエンジン付きのワームって最悪。

21 ：

それにしても、1分に２〜５通なんて速度で
同じメアドに送り続けるワームは初めてだ。
なぜにみんな、のんびり構えてる？？？
from詐称されて、配送不能で（身に覚えのない）返送されてくる
メール数だけでもすごいのに、、、

22 ：

やっぱり一通も来ない、sobig・・・・・・。
何処か賑やかなフリーメルアド屋さん知りませんかね？？？

23 ：

>>22
どこのメアドを取得しようが感染者がメアドを拾ってくれないと来ないからな。

24 ：

俺のところは、日本は大体止まったみたい。
12-248-54-55.client.attbi.com [12.248.54.55]
ip152062.wstcmp.ukans.edu [129.237.152.62]
Rや！

25 ：

>>1
重複スレ立てるなバカ
■■■■■■■■■　終了　■■■■■■■■■

26 ：

>21
同じく俺のアドレス詐称されてドカドカ送ってくれたので
返送＆ウイルス入りだぞゴルァメール（サーバ自動応答）がすごい
返送メールにはそのままワーム本体も添付されるから
ノートン反応しっぱなしだよ
＠Ｘ大学さん、対策してくれよ　犯人はあんたのところにいる
土日は来ないだろうが月曜日が鬱だ・・

27 ：

アメリカの大学や歯学部のアドレスもあった。
２１日、午前９時頃からぱたっと止まったが。

28 ：

俺のところは22日の日中に集中していた
夜になると静かになった
送り先　全部大学関係だったな

29 ：

>>1
>単なるメール添付型のウイルスのようだが、なんでこんなに爆発的なんだろう？
アクセス可能な共有ネットワークに、自分自身をコピーしようと試みる、
と聞いたのでそれのせいかと思ったら、実際はコードのバグでこの
動作は行われないそうですね。
本当に、なんでこんなに流行してるのかな？

30 ：

>>29
数がものすごいから気になって開けちゃうとか

31 ：

では追加です。
69.140.163.54(comcast.net)
61.214.132.138(OCN)
219.111.85.232(bbexcite)
129.237.152.62(カンザス大学)
これらのIPからは今もまだ届いてますね。
沈静化するまでは、主立ってメールサーバでこういうIPからの中継を受け付けないように
しておくと、ある程度の効果が出るはずですよねぇ。

32 ：

来るアドレスと来ないアドレスの差が激しいから、やはり特定少数の感染者がどんどこ同じ所に送りまくっているんだろうな。

33 ：

Received: from IBM-482A5E36DA2
(YahooBB220042004004.bbtec.net [220.42.4.4])
ここからSobig.Fがこの２日間で３００通以上届いてまつ。

34 ：

>>1は都昆布

35 ：

【重要！】
１　差出人（送信元）はウィールスが詐称したものです。Fromフィールドの差出人は
本当の差出人ではありません。抗議メールなどを送るのはやめましょう。
２　確認されているメールの件名等。以下のようなメールは開かずに速攻削除。
件名:
Re: Details
Re: Approved
Re: Re: My details
Re: Thank you!
Re: That movie
Re: Wicked screensaver
Re: Your application
Your details
本文:
See the attached file for details
Please see the attached file for details.
添付ファイル:
your_document.pif
document_all.pif
thank_you.pif
your_details.pif
details.pif
document_9446.pif
application.pif
wicked_scr.scr
movie0045.pif

36 ：

>>35
件名追加：
Thank you!

37 ：

おーい鹿児島大学の誰かわかんねーけど対策してくれ！
俺のアドレス詐称してくれているから、あちこちのメールサーバから
ゴルァメールが来ているぞ

38 ：

>>37
こんなところで愚痴ってないで大学に直接メール出せば何らかの対処をしてくれると思うが。

39 ：

>>38
のぞみ臼という悪寒

40 ：

>38
過去に同様の事例で(Klezだったかな)経験があるけど
梨の礫だったよ

41 ：

>>39-40
昔々送った事があるが数日後に謝罪と対策とった旨のメールが来たぞ。
漏れは運が良かったのか？

42 ：

こねぇなぁ
なんか仲間外れにされた気分

43 ：

>>42
重複スレ上げないで下さい。
■■■■■■■■■　終了　■■■■■■■■■

44 ：

>>42
プロバイダ側でﾁｪｷしてんじゃね？

45 ：

>>44
R

46 ：

>>45
Rはねぇだろｸｽﾞ

47 ：

>>46
糞スレ上げるなバカ

48 ：

>44
その場合、通知はこないのかな？
詐称された人のところには自動応答メールが行くけど

49 ：

まだまだくるねぇ。
というわけで、追加。
218.18.70.183
61.174.219.121
218.230.6.49(ttcn.ne.jp)
なんだかんだと言い訳して何もしないISPの運営者の人々がここのスレッドを見て
青い顔でもして大騒ぎしてると楽しいんだがなぁ........

50 ：

今日になって急に50通くらい来た

51 ：

>>50
それ俺

52 ：

プロバイダに通報しても全く見当違いの返答が返ってきた。
まあ爆撃は止まってたので良かったんだが。
だが10分前に再爆撃開始…
いい加減に気づけよ、ボケスプレッダー！！！！！！！！！！
メールチェックしねえのか？ エラーメールが相当数届いてるはずだが。
ウィルス自体より、それに易々と感染する馬鹿にムカツク。マジでR

53 ：

おとといから合計すると、数千通くらいきた。
メールボックスすぐパンクするわ、全然しらんメールサーバ
から怒られるわ。。。
しかたなくプロバイダ有料のメールウィルスチェックサービスにはいったけど。。。
納得いかん。。。
>ウィルス自体より、それに易々と感染する馬鹿にムカツク。マジでR
禿同。RR！。MS OutlookもRや！

54 ：

その簡単に感染する馬鹿はこいつ↓Rだとよ

55 ：

Spam Mail Killerっていうフリーソフトで何とか対処してる。
http://homepage1.nifty.com/eimei/
ある条件に合ったメールをサーバー上で自動削除してくれるソフト。
ちょっと設定は面倒だが、効果覿面。
スーパースプレッダーも晒しとく。通報したプロバイダも当然同じだ（ｗ
YahooBB219019064053.bbtec.net [219.19.64.53]

56 ：

61.197.200.238
テレビ神奈川ですか？
さきほど届きますた。

57 ：

またきますた、61.197.200.238。
テレビ神奈川に直電で苦情いれまつか・・・・

58 ：

４通目・・・・

59 ：

ブラスタ

60 ：

ネット初めて3年…
ウイルスメールｺﾈｰ
安置ウイルスソフトの更新料だけが飛んでゆくぅー　ヽ(｀Д´)ﾉ

61 ：

>>55
使ってみた。これでだいぶ楽になりそう。

62 ：

http://www.zdnet.co.jp/news/0308/25/xedj_sobig.html
FBI、Sobig.Fの感染源とみられるサイトに召喚状
　米連邦捜査局（FBI）がEasynewsという会社に召喚状を送り、コンピュータウイルス「Sobig.F」の作者につながる情報の提出を求めた。同ウイルスの作者は、Easynewsのサイトへの掲載をきっかけに、この悪質なウイルスを広めた可能性がある。
チーム2ちゃんのライバルのあそこかよ！

63 ：

案の定、週が開けたらどっときた
Virus Alart　と　Undeliverable mai　全部SOBIG関係
受信して返送メールのヘッダ見てみたいけど、ウイルスバスターが反応して
システム管理者に報告する羽目になるので出来ないや
家に帰ってノートン止めて受信するしかないか

64 ：

では、追加です。
218.120.6.49(ttcn.ne.jp)
サポートに噛み付いてみたのですが、あまりやる気がなさそうなので
みんなでドシドシいじめましょう。

65 ：

今朝から通算、約３００通のSobigを受信しています。
さすがにちょっと困っています。
本来の送信元IPを確認するべく、ヘッダーを見てみたのですが（Received:）
IPアドレスらしき表示は、自分が借りているレンタルサーバーの物しか見当たりません。
自分は、レンタルサーバースペースに独自ドメインを与えて(?)いるのですが
このような環境だと、本来の送信元の特定は出来ないのでしょうか？
また、全てのメールのヘッダーにある『X-Mailer:』の項目が
“Microsoft Outlook Express 6.00.2600.0000”なのが気になるのですが
コレはSobigの仕様ですか？

66 ：

2時間で約50通受信しました。
全てここでした。
220.213.17.197(株式会社エヌ・ティ・ティ エムイー)

67 ：

>>65
Received: from XXXX by YYYY ....
の from XXXX が無いってこと？
＞また、全てのメールのヘッダーにある『X-Mailer:』の項目が
＞“Microsoft Outlook Express 6.00.2600.0000”なのが気になるのですが
＞コレはSobigの仕様ですか？
仕様です。

68 ：

>>67
すいません、焦ってて良く調べずにいました。
Receivedが1個しか無いヘッダーは初めて見たもので・・
お騒がせしました。
ちなみに、from XXXX の部分はOCN所有のIPでした。
現在サポートに問い合わせ中です。
現在の受信ペースは、30分で約30通です。

69 ：

Return-Path: <******.ne.jp>
Received: by mchk.k******ma-u.ac.jp; id RAA14035; Mon, 25 Aug 2003 17:40:57 +0900 (JST)
From: <********.ne.jp>
Message-Id: <200308250840.RAA14035@mchk.k*******a-u.ac.jp>
Received: from nodnsquery(150.59.138.142) by mshd1.mchk.k*******a-u.ac.jp via csmap (V4.1)
id srcAAA1baGyB; Mon, 25 Aug 03 17:40:53 +0900
To: <**********.k*******a-u.ac.jp>
Subject: Re: Thank you!
この場合、発信者はk******ma-u.ac.jpでOK？

70 ：

受信ペースは、30分で20通でした。
1時間で、約40通です。
あまりにも暇なので、OEの画像をアップしてみました。
http://up.isp.2ch.net/up/e1a9581d0eff.GIF
朝からずっとこのペースです。

71 ：

>>70
俺にもゾビクメール下さい。

72 ：

>70
俺の場合は直撃じゃなくて誤爆（Virus Alart　Undeliverable maiｌ）ばっかり
だけど、一時間で50通超えている　
時間帯は 14-16時に集中　

73 ：

YahooBB220032084012.bbtec.net [220.32.84.12] から 70通ほど来たよ。ヽ(｀Д´)ﾉ
と書いてる間にまた 7 通…
ホント回線切って首吊ってほすい。

74 ：

OCN の MAILER-DAEMON がご丁寧にワームを添付してくるよ。
ﾔﾒﾃ…

75 ：

もうホント…勘弁してくれ〜！
このまま放置したら、メールサーバーがいっぱいになって
本当に必要なメールを弾いちゃうよ・・(´Д｀;)
OCNの法人向けサポートは営業終了。
個人向けサポートはオルゴールマシン。
問い合わせのメールには音沙汰無し。
俺はいつになったら家に帰れるんだ！？
感染者はどんだけボンクラだよ！！気付けよ！
偽装メアドに『2ch-kensaku.net』があった…このスレを見ろ〜！ヽ(｀Д´)ﾉ

76 ：

偽装アドレスは全く関係ないよ。

77 ：

>>76
あれ！？そうなんだ！？
最低でも一度は『2ch-kensaku.net』ドメインの
メアドを拾ってる＝“2ちゃんに来た事ある”って事かと思ってた…(;･∀･)

78 ：

Sobigはブロードバンド化の弊害とも言えるな。
回線が細ければ、あんなにメールを送ったらすぐにわかる。
なまじっか太いもんだから、どんどん送り続けても全く気づかない馬鹿が出てくる。

79 ：

>>77
そういう意味なら関係あるが…
全員がセキュリティ板を見ているわけもなく（ｗ

80 ：

ｎPOPQをメーラーにしてるから感染してないと思うんですが、リターンメール来るって事は問答無用で詐称されてるって事
ですか？サーバー上で削除しようが関係ない？

81 ：

>>80 関係ない

82 ：

俺はもう帰るよ…バカ感染者はドコか企業にでもRされろ！くそ〜！
駐車場の遅延料金返せ！！ヽ(｀Д´)ﾉﾊﾞｶｰ!!

83 ：

一通もこないんだけど・・・
俺は無視ですか？

84 ：

>>69
＞この場合、発信者はk******ma-u.ac.jpでOK？
[答]
発信者も発信ホストも不明
[理由]
＞Received: by mchk.k******ma-u.ac.jp; id RAA14035; Mon, 25 Aug 2003
＞17:40:57 +0900 (JST)
この Received:スタンプに from-domain がないため（rfc違反）
Sobig.F はReceived: を偽装しないけどね

85 ：

>>83
友達が居ないってのは時として良い事もあるって事だ。（´・ω・`）

86 ：

>>85
そうか、やはり僕にも来ないのはそういうことだな・・・・・・

87 ：

人気HPを作ればOK

88 ：

>83
MLに入っていたり、Web立ち上げてアドレス公開している俺は
山ほど来ているぞ
どうやらML関係が発信者らしいけど、偉い先生方はコンピュータ素人が
多いからなぁ　（やんわり注意されても平気でHTMLメール投げ続けるし
改行しらんし）

89 ：

現在、200通のsobigﾀﾝを受信中(;´Д`)
ﾉｰﾄﾝ先生が反応するのとしないのが
あるんだけど、どうして？
それにしても、マジで困ってます。

90 ：

sobig自体は来ないけど、送信者詐称のせいでゴルァメール（自動応答）が山ほど来ている
Virus Alart　と　Undeliverable mail メールサーバの自動削除設定にしておくか

91 ：

正直濡れ衣メールの方が嫌じゃない？
量は多くないけど勘弁してくれよもう

92 ：

濡れ衣メールすら来ないYOヽ（`Д´）ﾉ ｳﾜｧｧｧﾝ
誰もアドレス帳に登録してないのかYOヽ（`Д´）ﾉ ｳﾜｧｧｧﾝ

93 ：

>91
正直全部濡れ衣の自動応答メールばっかなので鬱です
直接受け取って誤解しているひともいるんだろうな
発信者の所属ほぼ特定できた
某医大の歯科関係の学内ＭＬからのエラーメールが来ていたのが決定的
他の返送メールのヘッダのIPアドレスもその大学だから
まぁ間違いないだろう
昨夜ゴルァしたけど、まだ対策されてないのか・・

94 ：

>>93
コッチは、一晩明けてさっきOCNから調査する旨のメールが来た。
その後、今朝までは２つのメアド両方に送信されて来ていたメールが
１つのメアドに絞られ、爆発力は減ったものの現在進行形。
IPアドレスに変更が無い所をみると、どこかの企業の
共有ネットワーク内の複数の端末に感染してるって事なのかな…
って事は、感染者がその事に気付いてなかったら、
また昨日の惨劇の再来！？(((ﾟДﾟ；))))ｶﾞｸｶﾞｸ

95 ：

と思ったら、共有ネットワーク感染はバグで動作しないのか！
連投ｽﾏｿ。

96 ：

もしバグってなかったら、どうなっていたか想像してみる。

まあ、俺には友達が居ないから感染するこたーないけどね。

97 ：

>94
会社だとウイルスバスターに引っかかって始末書出さないといけないんで
家に帰ってメール受信　本日受信分のリターンメールとゴルァメールの添付
のヘッダのip adress や送信先等を再度確認
再度、医学部と大学のWebmaster宛にメールしておいたところ。
今までのパターンから 09:30-11:30 14:00-16:00 といった感じの時間帯に集中して
送られるようだから、ぼちぼち午後の部が始まるかもしれない・・

98 ：

>>97
参考になる。引き続き報告きぼん

99 ：

朝10時頃に一晩で溜まった2000通ほどを削除しました。
そしてさっきまた溜まったのを削除しようと一覧見てみると7268通も溜まったますた。


もうダメポ


一応、自作のソフトである程度は簡易的に削除してるが限界っす。
フリメなんでIP拒絶する訳にも行かず(;´д｀)ﾄﾎﾎ
恐らくHD内のtxtファイルに書かれてるメアドに大量に送りつけてる様子。
webに晒してあるアドレス宛にはこないし。
漏れより有名なソフトウェア作家はもっと大変なんだろうなぁ。

100read 1read

1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

「Nimda !! 」【その４】 (627)
【ｽﾊﾟｲｳｪｱ】Yahoo Emulator【堀川水樹】 (278)
※ウィルス※ Windows Live Messenger で感染!?2 (549)
KINGSOFT Internet Security　Part26 (224)
Sygate Personal Firewall part10 (870)
googkle.comに飛ぶとPCが乗っ取られる (595)
--log9.info------------------
高橋のスケートを語るスレ 　実質16 (812)
駒澤大学陸上競技部スレ Part9 (220)
◆山梨学院大学No.85◆ (470)
悪質な信者のせいで浅田真央嫌いになった人の数163 (271)
【ここが】ハマスタ売り子スレ14【本スレ】 (256)
【躍進期待の】神奈川大学応援スレ47【新年度】 (353)
内田とノイアー Part.2 (214)
浅田真央の衣装やメイクが絶望的にダメな件part46 (537)
やる大矢スレ　＋201 (404)
ｳｯﾁｬｰ内田って兄貴に怒鳴り散らされてなかったねっ (335)
ウルスラ雑談３ (557)
バク宙しよう (200)
吉田と内田を見守るスレ37 (872)
サイババ（田中R　チンカス）を監視嘲笑う　２ (227)
【蟹が】こんな高橋大輔は嫌だ４【触れない】 (247)
インサイドキック【サッカー・フットサル】 (681)
--log55.com------------------
【青鯨から消えてほしいもの】富士運輸スレッド23 【ネームプレートとシミジュン】
【社員の】クロネコヤマトPart213【愚痴スレ】
【名古屋】中小規模の運送屋【愛知県】その３２
【日本】長距離トラック【全国】その554
タクシードライバーの雑談日記 162冊目
【日本】長距離トラック【全国】その555
三陸自動車道とその周辺の道路 part8
【建設中】外環道東京区間について9【関越-東名】