2004.11.24初版
NOD32 メール添付のウィルスを検出 Netsky.Q worm
今日は結構強烈なウィルス添付のメールが届きました。送られてきたメールアドレスからちょっと心当たりはあるのですが、
もしそれがあたりだとしたらそこのサイトは善意を踏みにじる極悪非道です。
で、強烈なウィルス(もう少し正確にいうとワームですが余計に混乱するかもしれないのでウィルスに統一)の正体は
下図のような Win32/Netsky.Q worm です。
きょう現在のランクは堂々の第2位で、
送ってくれた「あなた、いい仕事をしてるねぇ!」。
でもどうせなら第1位のを送ってくればいいのにぃ・・・、
たぶん手持ちがなかったんでしょう。
クリックで原寸大
この添付ファイル msg_XXXXXX.zip は
Zip ファイル形式で圧縮されているので解凍しないとデータが意味をもたず、
NOD32 は解凍してワームであるとして検出したものです。
NOD32 が検出したあとで書き換えられていて生のヘッダーではありませんので参考まで。
( ちなみに私のアドレスは XXXXXXX@XXX.ne.jp で伏せてあります)
X-Apparently-To: XXXXXXX@XXX.ne.jp via web1003.mail.yahoo.co.jp; Wed, 24 Nov 2004 17:04:41 +0900堂々第2位だけあって下表のように相当にえげつないものです。
Return-Path: <3dpress-ishikawa@aj.wakwak.com>
Received: from pl248.nas511.o-tokyo.nttpc.ne.jp (EHLO ybb.ne.jp) (219.102.230.248)
by ybbmta24.mail.yahoo.co.jp with SMTP; Wed, 24 Nov 2004 17:04:35 +0900
From: 3dpress-ishikawa@aj.wakwak.com
To: XXXXXXX@XXX.ne.jp
Subject: [virus Win32/Netsky.Q worm] [virus Win32/Netsky.Q worm] Re: Delivery Protection
Date: Wed, 24 Nov 2004 17:05:37 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0016----=_NextPart_000_0016"
X-Priority: 3
X-MSMail-Priority: Normal
Old-X-NOD32Result: Infected, Win32/Netsky.Q worm
X-NOD32Result: Infected, Win32/Netsky.Q worm
「感染力が高く、大量メール送信型のワームで、
独自の SMTP エンジンを使用し、
ハードドライブ、およびマッピングされているドライブのスキャン中に
発見した全メールアドレスに自分自身を電子メールで送信します。」
と説明があります。
要はアドレス帳だけでは物足りず、
ハードディスクの中をすべて調べ上げて
XXX@yyy.zz のような形式の文字列をすべて拾い出し
それらすべてに対して自分自身、すなわちウィルス(正確にはワーム)を
添付して送りつけるという念のいれようです。
それらのすべてのアドレスが生きているとは限らず
到達できないメールが出てくるわけで、
そのときのリターンはどうなっているんでしょうか?
そのときはそのコンピュータにエラーがドット帰ってくることになるのか、
それともリターンパスがだれか第3者のに書き換えれていて
そちらにドットいくんでしょうか。
考えただけでもぞっとします。
しかし現実に第2番目のごとく被害が広まっているということなの
でネズミ算式に感染者が増えたということでしょう。
こんなメールおくらんといてちょ〜だい!
たのむわぁ。
このメールは SpamDum に取り込まれるまえに
NOD32 によって検出されたものです。
アドレスは当然に偽装されているものです。
ちなみにこのウィルス Win32/Netsky.Q worm は Virus Information Center に記述があります。 ランキング表 では今日現在第2位です。