2004年3月19日

自己快楽的ウィルス対処

やってみたところでイタチゴッコなのはわかってるけど、
暇を見てウィルスメールを発信元プロバイダに報告してみた。
最近のはメールヘッダを偽装するから、ちょっと厄介だね。

今では本当の発信元IPアドレスを簡単に見分ける、
そんなツールもネット上で公開されているようで、
どこに報告すればよいか表示されるのは便利。

↓spamのヘッダー解析ツールだけど、ウィルスメールにも使える
http://antispam.stakasaki.net/tools/hdpar-fr.html

うちに来たウィルスメールのヘッダ情報の一例。

Return-Path: <info@***.co.jp>
Delivered-To: author@***.com
Received: (qmail 12489 invoked by uid 507); 18 Mar 2004 06:47:39 +0900
Delivered-To: oshiete@***.com
Received: (qmail 12487 invoked from network); 18 Mar 2004 06:47:37 +0900
Received: from unknown (HELO jubako.com) (218.227.204.109)
by svr1248.maxs.ne.jp with SMTP; 18 Mar 2004 06:47:37 +0900
From: info@***.co.jp
To: oshiete@***.com
Subject: Re: Your archive
Date: Thu, 18 Mar 2004 06:47:25 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0012_0000615A.00006BF5"
X-Priority: 3
X-MSMail-Priority: Normal
X-EdMax-Attachment-File: "20040318_080119_zrrep4\Norton AntiVirus が削除しました1.txt",
X-EdMax-Status: 0
Content-Type: text/plain;
charset="Windows-1252"
Content-Transfer-Encoding: 7bit


試しに↑を入力してみると出てくるけど、
赤字の部分が偽装されてない本当の情報だよ、ってことなんだな。
その左にjubako.comってあるから、一瞬ドキッとするけど、
この部分も偽装されたものなのだそうな。
そして結果にはBIGLOBEの宛先が出てくる…と。

ウィルスに関しては、ちゃんと対応してくれるプロバイダが多いらしい。
対応とは言っても、送信者を特定して警告メールってことだけど。
バラまいてるのも知らずに使われるよりはマシだろう。

ここ数日、1日に50通ぐらい届くNetsky.Dウィルスは、
BIGLOBEとOCNと、home.ne.jpのそれぞれ同じ人っぽい。
じっくり見てみると、メール数のわりには意外に少ないってことか。

という、暇つぶしです(笑)
こんなんやってたらキリがない。

翌日追記

その後のプロバイダのリアクション。
OCNからは丁寧に返信メールが届いた。

本人はウィルスを送信していることには気付いていないと思われるが、
迷惑行為には変わりないので、IPアドレスから発信者を特定、
改善要求を含めた警告を発します。

というような内容。
軽く一蹴されるかな?と思ったけど、
メールは結構丁寧に書かれてて好感触。
まあ定型文返信ということも考えられるけどね(^^;

これはこれで面白いかもしれない…

0 コメント:

コメントを投稿