ウィルス感染者の特定

ここ数日、大量のウィルスに困ってます。

しかも８人ぐらいの人から、延々送り続けられてるような状態で、なんとか感染をお知らせしたいと思うのですが、イマイチ自信がなく、お知らせをためらってます。

特にMicrosoft Customerで偽装してるウィルスメールが多いように思います。

ウィルス送信者はプロパティにあるアドレスの方であってるんでしょうか？

あと、プロパティにあった
『X-Symantec-TimeoutProtection: 0』が気になります。
ないものもあるんですが、これは５７まであったりで、このX-Symantec-TimeoutProtection: 0というのがあるメールの送信者からは連続的にウィルスメールが来てるようなかんじがするのですが。

やはり送信者は特定できないのでしょうか？

No.6 ベストアンサー 回答者： o_tooru 回答日時： 2003/10/07 22:57

こんばんわ、お困りですね。

さてご質問の件ですが、ウイルスですね、私のところにも届きました。メール検疫のサービスをやっているプロバイダー経由のアドレスにそのまま、転送してみたところ、「Worm.Automat.AHB」ですよ、とメッセージが届きました。

ご呈示されたヘッダー情報を確認しましたが、
Received: from yaqtb ([61.209.***.***]) by ×××.ne.jp with SMTP

これが、一番感染者に近いメールサーバーですね。（[61.209.***.***]たぶん、これが感染者のIPアドレスです。ただ、一度接続を切断してしまいますと、当然IPアドレスは変わってしまいます。) 感染者が使っているプロバイダーくらいは分かりますが、それ以上は分かりません。たぶん、ウイルスのプログラム自体がSMTPのサーバー機能を持っているからかな？と勝手に推測しています。

でないと、メーラーの情報などが表示されるはずですから。

相手が判明した場合は大概、「あなたのPC、汚染されていますよ」とメールを返してあげたのですが、今回のウイルスはどうも、よく分かりません。

この回答へのお礼

回答ありがとうございます。

やはりReceivedのところにあるアドレスでいいのですね？
だとすれば、やはりアドレスは、共通点のあるアドレスばかりで、感染者というかんじがします。

今まで数通、念のため、ウィルスチェックをお願いしますとオンラインスキャンのURLつきでメールしています。
その後、数日で来なくなるところを見るとあってたのかなぁと。

以前「 _ 」がメールアドレスの頭についてたウィルスのときは、「 _ 」を消したアドレスに送ってましたが、何百通もコピペで送って大変でした。
でも今思えば、まだ相手が特定できてよかったと思います。

ほんとにウィルスって嫌ですね。

ありがとうございました。

お礼日時：2003/10/07 23:27

No.7 回答者： dog 回答日時： 2003/10/08 12:01

私のところにもここ数日「W32.Swen.A@mm」のウイルスが送られてきます。

送信者（偽造）はMicrosoft関係になってますね。
私も送信者のプロバイダーを限定したいと思っているのですがo_tooruさんがいわれる通りじゃないかと思います。
あまり何度も送られてくるようでしたらそのプロバイダーにヘッダをつけて、「ウイルス送信されてるようなので確認、忠告してもらえないか？」と頼むつもりです。
クレズのときもそうでしたが、大抵送信者を確認してプロバイダーのほうから連絡入れてくれます。

送信者情報は教えてはくれませんが。

この回答へのお礼

回答ありがとうございます。

お礼が遅れてすみません。

念のため、プロパティにあるアドレスにウィルス感染してませんか？と送ってみました。
失礼があってはいけないので、某ＢＢＳによく出没してるものです・・・と、こちらのＨＮなどを明かしてメールをしてから４日すぎて、感染してましたとメールが来ました。

そしてプロバイダーのほうにも問い合わせましたが、６社問い合わせて返事が来たのが２社でした。
返事をくれないところもあるみたいです。


ありがとうございました。

お礼日時：2003/10/16 18:56

No.5 回答者： morinokoneko 回答日時： 2003/10/07 15:56

最初質問を拝読したかぎりSWENとは思いました

流行っていて教えてGOOでもSWEN感染者をみてましたので。
しかし今回混じっているかんじがするんです
スパム＋ウイルス感染

もしBBSでのお知り合いならば　
そのBBSでSWENのことを書きこんだらよいことでしょうし
この判断はあなたにおまかせします
自己判断でお願いします
ただ送信先のアドレスが偽装されている場合も
多々ありますのでfrom以下のかたに
渡しても全く罪無く感染ですといわれてしまう
場合も無きにしもあらずです


プロバイダ－経由のほうが
特定の方をあなたが注意するよりわかりやすいのでは
ないでしょうか？

ちなみに　シマンテック社のHPの一部引用は
ここでは不可です＾＾；無断リンクは許可しているようです。
多分管理者から一部削除補正がくると思います

この件はこれでおしまいに私はしたいとおもいます
多幸をお祈りして　失礼します

この回答へのお礼

再度ありがとうございます。

BBSにもカキコしましたが、流れが早いため、見てる可能性は低いです。
何人かは私のカキコに気づいてくれて、感染してた、教えてくれてありがとうとメールが来ました。
なので、間違ってはないような気もするんですが、やはり自信がないというか・・・

ただ、携帯から来てる場合（別のウィルス）があって、その場合はかなりの確立で、プロパティにあるアドレスだと思うのですが。
やはりどなたも、ここに書いてあるのがウィルス感染者です！と断言はできないようですね。
面倒なものが流行ったもんですね・・・

友人が私のHPのBBSに貼ってくれたものをそのまま引用しました。
シマンテックの引用だとは知りませんでした。
ご忠告ありがとうございました。

お礼日時：2003/10/07 16:13

No.4 回答者： tadappi563 回答日時： 2003/10/07 14:54

すいません。

間違ってました。
他の方がおっしゃるようにこれはスパムメールですね。

このメールに広告がついてきたのではないでしょうか？
これはDM業者が送った宣伝メールです。

これは何でも一緒ですが、見知らぬ人にウイルスに感染してますよとお知らせするのは時にトラブルを引き起こします。
お知らせするのは知人のみにする事をオススメします

この回答への補足

友人が貼ってくれた情報を貼っておきます。

ウィルス名称： W32.Swen.A@mm（スウェンA）　

発見日： 2003年9月18日 (米国時間)　

危険度： ３（５段階中の３）　

対象OS： Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows Server 2003, Windows XP　

感染経路： 電子メール、ネットワーク

特徴：●マイクロソフトからの重要なお知らせ（英語）を装って、
　　　 メールの添付ファイルを実行するように促すメッセージが含まれている場合があります。
　　　●「MAPI32 Exception」という偽のエラーメッセージを表示し、
　　　　 インターネット接続のユーザ名、パスワード、POP3サーバー、SMTPサーバーなどの情報を入力するように促します。
　　　●差出人を詐称したメール送信エラーの通知メールを送信することがあります。
　　　　そのメールには、ワームがランダムな名前の実行形式ファイルとして添付されています。
　　　　以下はこの種のメール本文の一例です。
　　　「I'm sorry I wasn't able to deliver your message to one or more destinations.」

また、IEユーザーの方は、10月4日に新しいセキュリティーホールが判明したようですので、
今後の被害拡大を避けるためにも、早急にUp Date をした方がいいです。

補足日時：2003/10/07 15:29

この回答へのお礼

再度ありがとうございます。

私はスパムじゃないように思うのですが。
ウィルスソフトが添付を削除してます。

送信者はMicrosoft Customerで偽装だと思います。

ウィルス情報を見る限り、W32.Swen.A@mm（スウェンA）ではないかと思います。

見知らぬ人なのは見知らぬ人なのですが、ある公式サイトのBBSで仲良くしてたりしてるので、まったく知らない相手ではないんです。プロパティの中にあるアドレスもアカウントが曲名、アーティストのBDだったりするので確実に仲間だなぁと思ってます。
そのBBSでお知らせのカキコはしたものの、減るどころか、増える一方なんです。
そのBBSはアーティスト本人がカキコに来るので、アーティストのカキコがあった直後からかなりの量が届くのです。
ファン同士、カキコのお知らせと称して、携帯へアーティストの投稿時間などを送りあってます。
そのおかげで、カキコがあった時間から１０分前後で大量に届き始めるようです。
あと、朝、出社前のおはようカキコであったり、会社から、仕事を始める前に、お昼休み、帰宅後・・・と、届く時間のポイントがある程度あるみたいで、やはりそのあたりから考えると、ファンが感染してると思われるのですが。

ファンが送る内容ではないし・・・
それでもスパムだと思いますか？

お礼日時：2003/10/07 15:28

No.3 回答者： morinokoneko 回答日時： 2003/10/07 14:47

他の手を使ってみたらどうでしょう？

その送信先のプロバイダ-にヘッダ情報をつけて
送れば　相手先のプロバイダ-で注意勧告　さらには
もし悪意があったばあいメ－ルアドレス削除になるそうです

この方法ならあなたが復讐＾＾；をされずにすみます

この回答へのお礼

回答ありがとうございます。


プロバイダーに報告する方法も考えていますが、送信者が何度かBBSでレスをくれた相手のようなかんじがしていて、悪い印象はないんです。
どっちかっていえば、なんとかしてあげたいというか・・・

悪意はないと思うんですけどね。

お礼日時：2003/10/07 15:18

No.2 回答者： morinokoneko 回答日時： 2003/10/07 09:47

X-Symantec-TimeoutProtection: 0は

スパムメ－ルのようです
以下をご覧ください
http://bbs.spamstop.net/past/log/012857.html

上のURLを見る限りこの送信者は無視したほうが
良い感じです。アドレスがいきているのがばれてしまいます。

それ以外のご質問はわかりません..
ごめんなさい

私は知人でない限りはお知らせをちなみにしません
善意がときとして裏目に出る相手がいます
無視をして削除の箱に入るよう設定するか
プロバイダ-の設定で受信拒否設定をしたほうが
無難かもしれません

この回答へのお礼

回答ありがとうございます。

スパムなんですか？
Microsoft Customerの偽装ウィルスメールだと思いますが。
そのウィルスメールが同時刻に４～５通連続で届くような状態です。

無視しようと思うのですが、アドレスが関連のアドレスなので、仲間がどんどん感染してるような状態です。
なので、なんとか被害を少なくしようと思ってるんです。


ありがとうございました。

お礼日時：2003/10/07 10:08

No.1 回答者： tadappi563 回答日時： 2003/10/07 00:19

はじめまして。

間違っていたらごめんなさい。
そのメールは韓国だったか外国から来たメールらしいです。
送信者はヘッダーのFrom欄のアドレスかと思いますよ。
送信元の特定は送信者の協力次第では出来ると思います

この回答への補足

X-Symantec-TimeoutProtection: 148
Return-Path: <＊＊＊@＊＊＊＊＊.ne.jp>
Delivered-To: 私のアドレス@■■■.ne.jp
Received: (qmail 1811 invoked from network); 6 Oct 2003 12:07:24 +0900
Received: from ×××.ne.jp (HELO .×××ne.jp) (143.90.***.***)
by sv.sweetparty.ne.jp with SMTP; 6 Oct 2003 12:07:24 +0900
Received: from yaqtb ([61.209.***.***]) by ×××.ne.jp with SMTP
id <20031006030807843.PYHY.195924.×××.ne.jp@.×××ne.jp>;
Mon, 6 Oct 2003 12:08:07 +0900
FROM: "MS Security Section" <○○○@○○○.net>
TO: "Microsoft Customer" <△△△@△△△.net>
SUBJECT: New Network Security Pack
Mime-Version: 1.0
Content-Type: multipart/mixed; boundary="qjdblxzuwoqotqaak"
Message-Id: <20031006030807843.PYHY.195924.×××.ne.jp@×××.ne.jp>
Date: Mon, 6 Oct 2003 12:08:57 +0900
X-UIDL: T>]!!N~b"!)iD"!f<J!!
Status: RO

補足日時：2003/10/07 08:34

この回答へのお礼

回答ありがとうございます。

補足にメールのヘッダーを貼っておきました。

From欄ということは、この場合、○○○のアドレスでいいのでしょうか？

私はReceivedと書いてあるところかなぁと思ってたのですが。

ちなみに、Receivedには仲間（某アーティストのファンの場合は曲名、アーティスト名などがアドレスになってたりするので）仲間であろうアドレスが書いてある場合があります。


From欄のアドレスの方に感染してませんか？とメールすればいいのでしょうか？

お時間がありましたらまたお願いします。


ありがとうございました。

お礼日時：2003/10/07 08:40