ワームメール受信メモ@cbreeze

Info kplace.plala.jpから移設しました

■目的
　ワームに感染したメールを大量に受信した報告です。
　正式ワーム名はW32.Sobig.F@mm。

■Sobig.F
以下はW32.Sobig.F@mmワームに関するZDNetのニュース一覧です。

FBI、Sobig.Fの感染源とみられるサイトに召喚状(Mon, 25 Aug 2003 12:32:28)
Sobig.Fウイルス、攻撃の第2波は回避(Mon, 25 Aug 2003 11:21:26)
二つのワームの猛攻でネットワーク大混乱(Fri, 22 Aug 2003 18:14:53)
トロイの木馬も含む? 日本でも広まるSobig.F(Fri, 22 Aug 2003 16:44:43)
NachiとSobig.Fのダブルパンチ続く(Fri, 22 Aug 2003 14:07:43)
メールはSobig.Fだらけ--前代未聞の感染規模(Thu, 21 Aug 2003 15:54:21)
Sobig.Fの猛威、過去最大(Thu, 21 Aug 2003 13:40:40)
新ワームとウイルスの2重攻撃でネットワーク渋滞(Wed, 20 Aug 2003 09:09:07)
帰ってきたSobig--爆発的に拡散する新亜種「Sobig.F」(Wed, 20 Aug 2003 05:49:06)

シマンテック社によれば
「W32.Sobig.F@mm は、電子メールアドレスに自分自身を送りつける大量メール発信型、ネットワーク認識型のワームです。」
とあります。
特徴は以下です。
(1)添付ファイルに自分自身を添付
(2)差出人を詐称する（発信元を特定するのが困難）
(3)発信者アドレス、送り先のアドレスともに、コンピュータ上のファイルから取得
(4)件名
　Re: Details
　Re: Approved
　Re: Re: My details
　Re: Thank you!
　Re: That movie
　Re: Wicked screensaver
　Re: Your application
　Thank you!
　Your details
(5)発症
・大量メール送信
・パスワードなど秘密情報の漏洩

■受信状況
　8/20夜の最初の感染メール受信から128件を受信しました。
　8/27になって収まったようです。
　アカウントの詐称アドレスで送信されたメール件数は10件ほどを確認しました。
　これはVirus警告やUndeliveryメールの件数の合計ですが実数はこれよりも多いと推定できます。

■対応
・自動プロテクト
今回はNorton AntiVirus Auto Protectで全数検出され添付ファイルの自動削除が実行されました。Norton AntiVirusのLiveUpdateが更新されたのが米国時間8/19（日本時間8/20)なのでUpdateがかろうじて間に合った形です。
・メールフィルタ
接続プロバイダであるWAKWAKでは8/12よりメールフィルタの機能により感染メールをふるい落とすことが可能です。...まだ未実施
詳細はこちら
・添付ファイルを開かない
・その他
発信元メールサーバのドメイン名とIPアドレスをメールHeader情報で確認できます。今回の発信元は、件数が多いにもかかわらず2箇所に限定されたので、発信元PCの所属するプロバイダに対応を依頼しました。

■結果
　PCへの感染はありません。
対応をお願いしたプロバイダのサポートセンタより、迷惑行為としての処置を終了した旨の連絡をもらった直後から感染メールの受信はありません。結果的にはウィールスに感染した2台のPCから1週間足らずで128件のメールを受信したことになります。

最近のワームは感染すると大量メール送信やパスワードなど秘密情報の漏洩で特定のサーバへの攻撃の踏み台にされる可能性があるので注意が必要です。

また今回はメールの転送時間だけで契約サービス利用時間（1Hr)を超過する可能性がありましたが、実際のアクセスは別プロバイダを経由したLANアクセスのせいか時間超過は免れています。