Asa Dotzler から Mydoom.M が来た

2004年7月27日(火) 21時49分 by level
B ?

昼休み、会社から個人メールアカウントを Web メールで確認していたところ、ちょっと目を引くスパムがありました。

Subject: Mail System Error - Returned Mail
Date: Mon, 26 Jul 2004 11:28:25 -0500
From: asa@mozilla.org
To: level@xxx.biglobe.ne.jp

From がなんと我らが asa@mozilla.org (Asa Dotzler) になっています。本文のほうは、

Dear user level@xxx.biglobe.ne.jp, mail server administrator of xxx.biglobe.ne.jp would like to inform you that:

We have detected that your account was used to send a large amount of spam during this week.
Obviously, your computer had been infected and now contains a trojaned proxy server.

We recommend that you follow our instruction in the attachment in order to keep your computer safe.

Have a nice day,
xxx.biglobe.ne.jp support team.

なぜか本文は biglobe になっていて、冷静になればすぐにばればれですが、それでも、mozilla.org からのメールということで念のためヘッダを確認。

X-Mailer: Microsoft Outlook Express 6.00.2600.0000
X-MIMEOLE: Produced By Microsoft MimeOLE V6.00.2600.0000

ひー、こりゃ、絶対ありえねーよ!

さて、メールには zip の添付ファイルがついていたので、会社マシンにダウンロードしてみると、中身は mail.html というファイルで、実行しないよう慎重にデスクトップに保存しようとすると、即座に VirusScan が反応しました。

Mydoom.M を検出した VirusScan

また、このメールを会社宛に転送しようとすると、SMTP のレベルで、ウィルスが検出され送信できませんでした。元のメールを受信したのが今日の午前1時代、その後 ISP のほうでワクチンが更新されたようです。

帰宅後、自宅でサーバからメールをダウンロードするときに、あえて、Norton AntiVirus のワクチンを更新しないでおきました。すると、案の定、何の警告も出ません。Thunderbird のジャンクメールコントロールもスパムとは判定しませんでした。やはり mozilla.org が効いているのでしょうか。zip ファイルを LHUTL32 で開いてみると、mail.html というファイルは実は「MS-DOS ショートカット」というファイルタイプであることが分りました。これをデスクトップに保存すると、MS-DOS のアイコンになります。プロパティを見てみるとやたら長いファイル名になっているようです。これを実行すると、感染してしまうのでしょうね。

ここで、AntiVirus のワクチンを更新して、再度 Thunderbird から zip ファイルを開こうとすると、その時点で AntiVirus が反応しました。

Mydoom.M を検出した Norton AntiVirus

このウイルスは昨日・今日のレベルで感染を始めた Mydoom.o/Mydoom.M というやつらしいです。ITmeia エンタープライズの記事によると

このワームは検索サイトを利用し、感染したPCで使われているメインのメールアドレスと同じドメイン名の公開メールアドレスを検索するという。
...
このテクニックにはこれまで見られなかった利点がいくつかある、とWeaferは指摘する。特に重要なのは、感染したメッセージが同僚から届いたメッセージのように見えるという心理的メリットだ。

今回は、同じドメインというわけではないのですが、私にとって mozilla.org からのメールといえば特別なもの。今回は、偶然なのか、狙ったものなのか...。いずれにせよ、感染はしなかったものの、興味を引いたという点では、確かに「当たり」です。先日の「Hi Hidekun」スパムも同様の効果がありました。

コメント

コメントはありません。

トラックバック

トラックバックは検索対象外です。

この記事にリンクしているページ < >

  1. データがありません。