inet@*********.comからウイルスメール（W32.Klez）

Question

inet@*********.comからウイルス付き（W32.Klez）のメールが何度もくるので困っております、ノートンを入れていますのでウイルスメールを感知してパソコン自体は被害は無いのですが
何度も何度もくるのです。また添付してある書類が自分のHPの一部を添付してきてそれと共に.batのウイルスつきメールが頻繁に着ます、自分のHPの一部がくっついてくると言うのはとても気持ち悪く困っています、私の近くに感染した人がいるのだと思うのですが、これはどうにかできないでしょうか？

noname#6217 · Accepted Answer

hideka さんに回答します。

ワタシの回答が発端となり、嫌な思いをさせたかもしれません。
判断はあくまでも質問者の hideka さんです。
ワタシの回答で（いつでも真剣です。）、その内容はいらないと判断した場合は流してください。

差出人ですが。
ワクチンメーカ数社の見解は一致しています。
これから書くことは、ワクチンメーカ数社の「テクニカルサポート」で得た情報です。
Web サイトには掲載されていません。

・「Return-Path」は偽装します。
＊Klez は、メールヘッダに「Return-Path」が表示されるのを前提にしている、とのことです。

・Web での情報は「一般向け」です。
＊ウイルスメール（Klez）のメールヘッダの詳細については案内しないとのことです。
＊現在 Klez に感染する PC が多く、「Return-Path」が偶然に Klez に感染している場合もあるため、案内すると混乱（いくら説明しても、「Return-Path」が差出人と思ってしまう。）するそうです。

・メールヘッダ全体を偽装するケースもあります。
＊「テクニカルサポート」で実際に確認、検証した結果だそうです。

つまり Klez は、メールのヘッダを偽装するように設計されているとのことでした。
先の SPAM メールのヘッダの偽装は、ワクチンメーカの「テクニカルサポート」が例として案内してくれたものでした。
Klez も同様のことをするとのことで。。。

具体的なメールヘッダです。
実際のウイルスメール（Klez）のヘッダを入手したものです。

Return-Path: ***.****@docomo.ne.jp
Received: from ・・・
From: *******@xxx.xxxx.ne.jp
Received: from ・・・
User-Agent: Microsoft ・・・
Date:1 May 2002 19:52:34 +0900

「Return-Path」に、携帯電話のメールアドレスが表示されています。
携帯電話は Klez に感染はしません。
つまり差出人ではないことがわかります。

対策としてはホームページが添付されていることから、お近く（ご友人など）の可能性がありますので、 Klez の対策を協力し合うことからお勧めします。

noname#5179 · Answer

EINAさんの情報をさらに確かにするために、実例を出します。

詐称されている例は、 
http://memo.st.ryukoku.ac.jp/archive/200205.month/3801.html 
http://memo.st.ryukoku.ac.jp/archive/200205.month/3806.html 
http://memo.st.ryukoku.ac.jp/archive/200205.month/3809.html 
や、 
http://memo.st.ryukoku.ac.jp/archive/200205.month/3821.html 
に実際の話が載っています。 

これら以外にも、セキュリティ関係に詳しいページや、ニュース、MLを見ていれば、Return-Pathが詐称されていることはすぐにわかります。

ちなみに、ウイルスソフト会社からの情報では、Return-Pathが詐称されているとはかかれていませんが、詐称していないとはどこにも書いていません。

buffaloes · Answer

重ねて書きますが、
Klezは、Fromは偽装しますが、"Return-Path"の改変は行いません。
Return-Pathが偽装可能であるかどうかと、KlezがReturn-Pathを偽装するかどうかは、全く別の問題です。

SPAM送信者が、Return-Pathを改変するのと、Klezが偽装するかどうかを論じるのは、どう考えてもおかしいです。
こんな事を言い出せば、ヘッダ情報は、全て信用できないことになります(故意に送信されている、ウィルスメールや迷惑メールはその通り)が、Klezの場合は、そんな事はありません。

ソースとして、トレンドマイクロのKlez情報のページが出されていますが、そこにも、
>【 ワーム特性について】
>このようなタイプのワームでは、「差出人」を感染コンピュータ内で取得した任意のメ ールアドレスとして設定する場合があります。
>そのため「差出人」として設定されているメールアドレス使用者のコンピュータが感染 しているとは限りません。 
(差出人とは、"From"に記載されている人の事です)

と、出ています。

いい加減な情報を書くのは、勘弁してもらいたい物です。

toysmith · Answer

KLEZ系のウィルスの厄介なところですね。

mailの配送システム上、MessageIDは発信者の接続しているSMTPサーバーが付与します。
つまり、メールアドレス（From,
ErrosTo,ReturnTO）は偽装できても送信元のSMTPサーバーを隠蔽することは出来ません。
（これがウィルスでなく、単なる匿名メールの場合は隠蔽可能です）
結果、SMTPサーバの管理者に通告して発信者に警告してもらうべきでしょう。


まっとうなSMTPサーバならMessageIDにドメイン名が含まれています。
また、SMTPサーバ管理者の義務としてpostmaster,abuseなどの苦情受付系のメールアドレスが存在するはずです。
postmaster@ドメイン名、abuse@ドメイン名のメールアドレスにウィルスメールのヘッダ情報を全て通告して発信者に警告を促すべきです。
通常、SMTPサーバのログから発信者を特定できる情報が得られるはずです。

ウィルスメールの発信者は被害者に過ぎないので、サーバ管理者経由でやんわりと「ウィルスに感染していますよ！」と警告してもらうのが一番です。

noname#6217 · Answer

ANo.#4 です。

ANo.#4 の表現があいまいだったので補足します。

＞「Return-Path」は偽装可能です。
＃「Return-Path」は偽装します。

参考URL：http://www.trendmicro.co.jp/klez/index.asp

noname#6217 · Answer

＞"Return-Path" はそのままなのですね、確認してみます。

「Return-Path」は偽装可能です。
別のケースですが、次のサイトに事例が掲載されています。
http://www.freemail.ne.jp/spam.html
なので、連絡には十分注意してください。

ご質問を読ませて頂きますと。
hideka さんのホームページが添付されていることから、 Klez.A の亜種「Klez.H」の可能性が高いと思われます。
http://www.zdnet.co.jp/news/0204/22/e_klez.html
hideka さんのホームページを訪問したユーザ（PC）の、キャッシュされた html ファイル（hideka さんのホームページ）が添付されたのでしょう。

差出人の特定ですが。
メールのヘッダを確認して、複数ある「Received:」の中で、一番下にある

「Received: from ～」

に、お友達や知り合いが利用している「プロバイダ」が表示されていませんか？
見覚えのある「メールアドレス」が表示されていませんか？
どちらか確認できましたら、差出人（感染 PC）の特定ができると思います。

警告につきまして。
感染した方にお知らせするのは、十分注意してください。
特に今回の場合は、hideka さんのホームページを訪問したユーザなのですから。
「何を言ってる、ウイルスをばら撒いたのが悪い！」という意見もあるかもしれませんが、協力してウイルスを駆除（削除）してください。
お友達や知り合いなら、なおさらです。

ホームページは、全く知らない人でも訪問が可能です。
なので、差出人が知らない可能性もあります。
その場合は、上記で確認した「プロバイダ」へ連絡するといいでしょう。
「Received: from ～」全行をメールで送信してください。
連絡の内容は「調査依頼」です。
「ケンカごし」にはならないよう、注意してください。

ホームページにご自分のメールアドレスを公開している場合、削除してください。
最近のウイルスは、このメールアドレスを訪問者の PC （キャッシュ）から抜き出し、差出人や宛先にします。
削除するだけでも、ウイルスメールが減るかもしれません。
削除して、様子をみるのも案です。

参考URL：http://www.trendmicro.co.jp/klez/whats.asp

buffaloes · Answer

ヘッダの
"Return-Path"
を、確認すれば、本当の送信元が分かります。
(Klezは、"From"を改変するだけで、"Return-Path"迄は、詐称しません)
ただ、あまり、ズバリと"感染しています"と言うと、反感を買う事もあるので、本当に親しい人以外には、遠回しに指摘(Symantec等のオンラインスキャンや、体験版のインストールを勧める)した方が良いでしょう。

また、全く知らない人の場合は、プロバイダ(若しくは、POPメールをサービスしている会社)に連絡するのも、一つの方法です。

参考URLは、上がオンラインスキャン。
下が、体験版のダウンロードページです。

参考URL：http://www.symantec.co.jp/region/jp/securitycheck/index.html,http://www.symantec.com/region/jp/trial/trial.html

tukikageran · Answer

klez系のウイルスでやっかいなのが、差出人は感染してない可能性があるということです。

この表現は的確ではないですね。
言葉を変えますと、メールソフトで見た差出人は本当のウイルスを送った差出人ではないということです。
AさんとBさんとCさんがいたとします。

あなたがAさんだとします。
Bさんがklezに感染しました。しかしそこから発信されたメールには差出人はCさんとなっているのです。

つまりCさんに連絡をとっても「うちは感染してないよ」と言われてしまい、差出人が不明となってしまいます。

ウイルスを送る先はアウトルックのアドレス帳からランダムで選ばれたものですが、偽装された差出人もランダムに選ばれた人なのです。

何度も来るのであれば、それらの差出人及び自分のメールアドレスをアドレス帳にいれており、アウトルックを使ってる人が差出人となります。

ただこの場合、感染者が複数いるとわかりにくいですよね。
感染者が発見しにくいことでなかなか駆除されず、蔓延しているウイルスでもあります。

coolguys · Answer

感染していると思われる人に
ウィルスチェックをお願いする。
それしかありません。

inet@*********.comからウイルスメール（W32.Klez）

EINAさんの情報をさらに確かにするために、実例を出します。

hideka さんに回答します。

重ねて書きますが、

KLEZ系のウィルスの厄介なところですね。

ANo.#4 です。

＞"Return-Path" はそのままなのですね、確認してみます。

ヘッダの

klez系のウイルスでやっかいなのが、差出人は感染してない可能性があるということです。

この回答への補足

感染していると思われる人に

似たような質問が見つかりました

関連するカテゴリからQ&Aを探す

デイリーランキングこのカテゴリの人気デイリーQ&Aランキング

マンスリーランキングこのカテゴリの人気マンスリーQ&Aランキング