セキュリティ雑感

メールウイルスはここ1年ぐらいほとんど飛んでこなかったんですが、9月頃からStrationシリーズの新種（亜種）がボンボンやってくるようになりました。そのなかのひとつの例に過ぎませんが、今週私の勤務先に飛んできたメールウイルスは30通あり全てW32.Stration.DL@mmです。

そのうち3/4がメールサーバのウイルスチェックをすり抜けて1/4ぐらいがPCの受信時にウイルス対策ソフトに捕まりました。メールサーバのウイルスチェックもクライアントPCに入れてあるウイルス対策ソフトも同じNortonのものです。

メールサーバのウイルスチェック

同じ会社の製品でチェックしているのに何でメールサーバをすり抜けてPCで検出されたのかと言うと、これは時間差です。家庭のPCに入っているNortonに比べると会社のものはかなり早いタイミングで、ようするに頻繁にパターン更新をしていますが、それでもサーバが新しい検出パターンを取りに行ってからクライアントPCはバラバラにサーバに取りに行くので時間差は生じ本来クライアントPCの方が遅れるはずなんです。でもクライアントPCにまで届いてしまった。

これはこういう理由です。メールはメールサーバの郵便箱に届き、PCは時々その郵便箱を見にいって、メールが届いていれば自分のPCの受信フォルダに持ってきます。
そして、ウイルスチェックがされるのは、郵便箱に届いたときにサーバで、郵便箱から取ってきたときPC側で行われます。そして最後に、PCを使っている人がそのメールに触ったときに、具体的には本文を開こうとしたときにチェックされます。

なぜか新種ウイルスの第一波は午後の４時前後が多いですね。たまたま私のところではと言うだけかもしれませんが。結果から言うと、NortonがまだStration.DLに対応できていなかった時間にStration.DL総数の1/2がPCにまで届きました。

すり抜けたウイルス

そのうちの半分、総数の1/4ぐらいが受信した常連さん（笑）から「ウイルスらしきやつが来たよ」と私に通報されました。常連さんというのはメールの受信量が多く、従ってウイルスメールも何度も見てている人です。総務部門の管理職なんてまるでわが社のハニーポットみたいですね。（笑）　第一報はだいたい彼から来ます。

Strationシリーズはタイトル、本文、添付ファイル名まで数パターンの範囲ですから本文を見ただけで判ります。何度もきていますので普通の社員も「怪しいのが来ました」と電話してきます。実物を確認して、と言っても本文を見て、添付ファイルの大きさを見るだけですが、それで新種、あるいはStrationシリーズの新しい亜種と判断し、各部のセキュリティ担当者、または全社員にアンチウイルスでは検知できない新種ウイルスが来ているとメールします。

翌朝になると、もうNortonも対応済みで、サーバの方から誰宛のメールにStration.DLを見つけて駆除しました、という自動メールが私他数名に届きます。これが総数の1/4程度。
更に出社した社員のPCがメールサーバの郵便箱にメールを取りに行って、よく見たらウイルスだったと言うPC側のNortonからの通知がサーバ経由で私他数名のところに届きます。これが総数の1/4で合計3/4になります。

昨日のうちに、つまりNortonが未対応のうちにPCに受信したものがまだあるだろうと、昼休みに全PCのスキャンをサーバ側からかけます。これで最後の1/4が検出されました。たいてい社員には英文メール＝迷惑メールですので放置されています。

Outlookの安全性はなかなか

ただし、EメールをOutlookで受けっている社員は実行形式のウイルス添付ファイルを受け取りません。というか開かせません。ですから実はもっとウイルスが来ていた可能性があります。幸いメールサーバからのウイルス検出通知メールには検出したファイル名がついていますが、直近２回、Stration.DLとStration.DEについて調べたところ、1/2ぐらいがOutlookで受け取らないタイプ。サンプル数が少ないのでこの比率は一般的な状況とはいえませんが。

何年も昔にはOutlookやOEは「悪の枢軸」「ウイルスの温床」みたいに言われましたがこうしてみると今ではOutlookやOEを使った方が多少安全と言えそうです。
条件はありますが、HTML形式はオフにしてテキスト形式で受け取ることです。古いOutlookではそれはできません。

残念ながら勤務先ではOutlookやOEがウイルスの温床であった頃にEメールだけメーラーを変えてしまい、OutlookでEメールを受けているのはその後に入社した者だけです。おかげで私はこうして２重のウイルスチェックをすり抜けたウイルスの数をかぞえられてネタにできたのですが、どっちが嬉しいでしょうかね？

社員の初動

そのほかに「怪しいやつだ」と通報せずに削除してしまった社員もいるでしょうがそこまでは判りません。まあそれはそれでよいのです。昔は「怪しいと思ったら完全に削除しなさい」が私の指示でしたから。
今では慣れてきたので「そのまま触らずにおいといて、添付ファイルさえ触らなければ大丈夫」です。慣れてる相手なら「うんわかった」ですが、「え～、生のウイルスをそのまま置いておけって言うのぉ？　いやだよ～」と言う相手も居るので「わかったわかった、じゃぁ俺に転送して、そうしたら削除していいから」となります。そんなことやってるとみんなに「GANさんはウイルスを飼育している」なんてからかわれるんですが、私は翌朝Norton先生の餌にして名前を確認しているだけです。お間違えのないように！

ひどいのは営業部門でStration.DLだったかDDのときだったか別の部から怪しいメール発見第一報を受けたあとで「ウイルス来た～？」と聞きに行ったら、みんなでメールをチェックしてくれて「まだ来てません」と言うところまではよいのですが、ウイルスのことを「GANさんの好物」と呼んでいて「大丈夫だよ、明日の朝には沢山くるからぁ」「GANさんの朝食だね、ガハハハハ」です。まあウイルスメールが来ても見分けてくれて、あわてず騒がず通報してくれるからよいのですが。

結局のところ、新種ウイルス到来を発見するのは社員、その正体を解明するのがPCのウイルス対策ソフト、そうして正体の暴かれたメールウイルスが、いつまでもうざったくやってくるのをシャットアウトするのがメールサーバのウイルスチェックみたいな感じです。

ではメールサーバのウイルスチェックは意味がない？
とんでもありません。まず第一に万が一社員が感染してしまったときに、そのPCのウイルス対策ソフトはもう殺されているでしょう。その感染PCが吐き出すウイルスメールを食い止めるのはサーバのウイルスチェックです。タイミングにもよりますが、感染してからウイルスメールを吐き出すまで若干の時間差はあります。メールサーバに新しいウイルス手配書が届いていれば、それ以降は世間に迷惑をかけることを防げます。
また、感染しなくとも、ウイルス対策ソフトの「ウイルス発見！」ポップアップはドキっとするものです。いつまでも続くのなら仕事の邪魔です。メールサーバでえ取り除いてしまった方がよいに決まっています。

BotNet？

興味深いのはほとんどのウイルス対策ソフトが対応したと思われる時間以降にはピタッと止まったことです。郵便箱サーバが飛んで来たメールからウイルスを検出したのはたったの1/4です。それも深夜・早朝であり社員が出社する時刻以降には無かったように思います。Strationシリーズはその傾向が最初からありましたが、今回ほど顕著だったのは珍しいです。

これは当社にウイルスメールを送ってきた感染PC内のウイルスがウイルス対策ソフトによって発見されて駆除されたのか、あるいはBotNetの親玉の指令で「もう止め！」となったのか。根拠はないですが私はどうも後者のような気がしてしかたありません。

最近のウイルスはウイルス対策ソフトを前提に作戦を練ります。敵も遊びではありませんからウイルス対策ソフトが対応するまでの時間的なピンポイント攻撃を主眼にしているように思います。それができるのがBotNetです。

感染したPCは最初の１打を放ったあとは深く沈黙し、次の指令を待っているかもしれません。次の指令は新しい亜種の送信とか。私がそう思う根拠は二人の役員に秒単位でまったく同じ時刻に同時にウイルスメールが飛んできたことが複数の亜種のときにあったからです。

某掲示板に書いたもの　のリメイクです。早くこちらに移しておかないと自分でもどこに書いたか解らなくなっちゃうので。(;^_^A アセアセ…

トレンドマイクロの　ウイルスTOP10 の常連にJAVA_BYTEVER.A　があります。11/13現在で４位ですね。実際に被害も多いこともありこれを例にウイルス対策ソフト各社の対応の相違を見てみることにします。ただしこれは単に１年も前のあるインシデントに限った各社の対応の相違であって一般化されるものではありません。
このインシデントとはマイクロソフト セキュリティ情報 MS03-011 の公表から始まります。対応の早い順に並べてみましょう。

McAfeeではExploit-ByteVerify　米国日付 2003.04.09

 Exploit-ByteVerifyはJavaアプレットで、Microsoft Security Bulletin MS03-011の脆弱性を悪用します。

マカフィーの上記以降の説明はMS03-011と言うセキュリティホールの緊急性に冠する記述です。Exploit-ByteVerifyの発見日（米国日付）2003.04.09と言うのはMS03-011のパッチが公表された日です。
Exploitとはセキュリティホールを実証する実験コードみたいなものでそれ自身がウイルスな訳ではありません。（このへんちょっと微妙なんですが）
私も含めてこのExploitで「WindowsＸＸ SP? でも確認された」とか、「IEが高なら発動しない」なんて確認をします。
　ただし、このExploitが公表されるとウイルス作成者はそれをヒントに、あるいはパクってウイルスを作ります。
そのため、最近はExploitが公表されると各社はそれを検出できるようにします。
言ってみればウイルス作成者の先回りをしようと。
でも、あんまりそれが早いと私みたいな「ウイルス対策ソフトを入れない実験機」を持たない人間は確認が出来ないんで困ってしまうんですが。（苦笑）
同じMS03-011に対応したものはトレンドマイクロでは以下の名前で検出します。そちらの解説の方がわかりやすいと思います。

トレンドマイクロでは：　JAVA_BYTEVER.A　 2003/05/24(米国時間)

 これまでトレンドマイクロ製品ではこのセキュリティホールを狙ったコード単体での検出は行わず、これにより実行されるコードが危険であった場合に検出する対応をとってまいりましたが特別にお客様からの問い合わせが多い一部のコードを「JAVA_BYTEVER.A」の検出名で対応いたしました。

要するに安全のため幅広に検出するよと言うことです。この場合の発見日にはあまり具体的な意味はありません。「トレンドマイクロがこれを検出することに決めた日」ぐらいの意味です。
このようにその方針も方法も各社で違います、更に言えばその時々でも違います。例えば上記の説明の中の「コード単体での検出は行わず、これにより実行されるコードが危険であった場合に検出する対応」の場合と、ともかくそのセキュリティホールに関係しそうな「コード単体」で検出してしまおうと言う場合があります。
それをもって検出力云々は言えません。この「幅広」さを広げすぎると「誤検出」も増えますから。
MS03-011と言うセキュリティホールは良く悪用されるレギュラーみたいなやつですが。1年半も前（2003/04/10　日本時間）にパッチの出ているセキュリティホールですからWindows Updateをちゃんとやっているなら怖がることはありません。

シマンテックではTrojan.ByteVerify 　 2003年9月5日 (米国時間)　

発見日から解るように、こちらはそのMS03-011の脆弱性を突くExploitを利用して実際に悪事を働く特定のウイルス（トロイの木馬）を検出します。

Trojan.ByteVerify は、マイクロソフト セキュリティ情報 MS03-011 で解説されている脆弱性を悪用し、ハッカーが感染先のシステム上で任意のコードを実行できるようにするトロイの木馬です。具体的にはこのような。

1. Blackbox.class を使用して sandbox 制限を逃れるために、次のことを実行します。・・・・・
2. URLClassLoader を使用して、Blackbox.class から Beyond.class をロードします。
3. Beyond.class 内に存在する PolicyEngine クラスの assertPermission メソッドを起動することによって、ローカルコンピュータ上で無制限のアクセス権限を取得します。
4. Web ページ http://www.clavus.net/lst.backs を開き、そのサイトに表示されるテキストを解析します。
  例えば、SP|www.ewebsearch.net/sp.htm の場合、Internet Explorer のスタートページが www.ewebsearch.net/sp.htm に設定されることを意味します。
5. お気に入りフォルダに、幾つかのポルノサイトのリンクを追加します。
6. ダイヤラープログラムを取り出し、感染先のコンピュータ上にインストールしようとします。そのダイヤラープログラムは、感染先のコンピュータをポルノサイトに接続させようとします。

シマンテックの検出するウイルスで、MS03-011が出てくるものはこれひとつですからトレンドマイクロでJAVA_BYTEVER.Aとして検出されるものは事実上これなんでしょう。但し、検出ロジックは違っているはずです。McAfee で　Exploit-ByteVerify　と検出されたものがシマンテックで検出されなかったとしてもたいして慌てることはありません。McAfeeの解説にはこう書いてあります。

このエクスプロイトが検出されても、悪意のあるコードが実行されたわけではありません。エクスプロイトコードを含むJavaアプレットが発見されただけです。

ところでこのシマンテックの解説の内容を見ると、目的としては悪質なアドウエアですね。それをアドウエアとしてではなく　Trojan.　としたのはおそらくはセキュリティホール（脆弱性）狙いってことがあるんでしょうか？　良くはわかりませんが線引きは曖昧であるという良い例でもあります。

ところでこのウイルス。私的にはどうでも良いですね。
「おい！　Windows Updateをやってなかっただろう！　ダメじゃん！　他のものにもやられるぞ！(｀ヘ´) プンプン。」と言うこと以外には。被害を受けるのは本人だけです。ボットネットワークに組み込まれて「悪の手先」「ゾンビ」になって他の人間を襲う訳ではありません。
と言っても、これにやられたと言うことは他のものにもやられているかもしれないって方が気になります。

Sophosが通常のウイルス情報以外に「ニュース記事」を出しています。
「Bofra worm spreads via Internet Explorer security hole, Sophos reports 」(Sophos)
まだ日本語化はされていませんがとても面白いです。ウイルスメールが表示する画面もあるし。

これ以外のメール本文も紹介されておりそちらはアダルトビデオが餌ですね。う～ん、ビデオなのか～な～、でも俺、再生ソフトが無いもんな～、残念。(;-_-X;)

Look at my homepage with my last webcam photos!
FREE ADULT VIDEO! SIGN UP NOW!

SophosはW32/Bofra-A と名付けており、これはMyDoomの亜種ではない、類似点より相違点の方が大きいと主張しています。
F-SecureもBLOGの中で同じようなことを言っていますね。亜種の判定にツールを使っているとは初めて知りました。

新しいMydoomAGとMydoomAHと言う亜種はほんとはMydoomsシリーズではないかもしれません。私たちの比較ツールは、これらと最後のMydoomsの間の約49%だけの相関性を示します。

その中の　この画像は面白いです。なるほど。

McAfeeがW32/Mydoom.ag@MM　の解説で

・ユーザがW32/Mydoom.ag@MMによって送信されたハイパーリンクをクリックすると、感染コンピュータ（http:// IP address:1639/webcam.htm）に接続されます。webcam.htmページに接続すると、Internet Explorerでバッファオーバーフローが発生します。さらに、ローカルマシンにリモートファイル（http:// IP address:1639/reactor）をダウンロードし、そのファイルをローカルファイル、%desktop%\vv.datに保存し、さらにダウンロードしたファイルを実行するように指示するシェルコードが実行されます。

と書いていますが、WEBサイトにウイルス本体を取りに行くものは昔から有りました。でもそのタイプは基地に使われた多分乗っ取られサイトは公式機関からISPに通報されてか、１～２日で事実上閉鎖されていました。従ってその効果は一時的なものであることがほとんどでした。だもんで出会い頭でないかぎり大丈夫だったんですが。
しかし今回のケースのWEBサイトとは感染してウイルスメールを送ったPCのことです。従ってセキュリティ組織がウイルスを捕獲し、秘密基地を特定したとしてもそれは単にそのウイルスメールを送ったPCを特定することにしかならないのですね。事実上閉鎖に追い込むことは出来ません。
WEBサイトとは言っても、IISもApacheも必要ではありません。単にポート番号1639を開けて、やってきた要求に決まったファイルを送れば良いだけですから。かなり小さなプログラムの様です。

一瞬これは悪賢いやつと思ったのですが、更に考えてみると「残念賞」ですね。
そのPCがドメイン名を持つことはまずあり得ず、 IP addressは例の４組みの数字になるでしょう。CATVかyahooBBの個人を除き、IPアドレスは固定ではありません。
企業の場合は固定ですがそのPC自体はローカルアドレスしか知りません。かつその問題が無くとも企業はもとより、ルータかＰＣ内にホスト型ファイアウォール（所謂パーソナルファイアウォール）機能があれば外部からは接続出来ません。

トレンドマイクロサイトの　このウイルスの感染状況　を見ても米国時間11/10の朝８時のピークでも僅かに30程度、その後の16時間の時間平均は１件ぐらい。日本時間１１日２４時時点まで５時間は検出数ゼロです。このしょぼさはこの作りに問題があるのかもしれません。技術的には話題になりましたが実効性としてはほとんどゼロでしたね。これを書いている時点で国内検出は前述のグラフを見る限りゼロ件です。

2004/11/10 「IEのIFrame欠陥を悪用する2番目のMyDoomが出現」

Symantecのセキュリティレスポンス担当シニアディレクターAlfred Hugerは語っている。「作者は、システムに比較的感染しづらいウイルスを作ってしまった。そのおかげで、ありがたいことに本来より感染スピードが遅くなった」

じつは書きかけで放っておいたのですが、ほんとにウイルスが出ちゃったのでとりあえずＵＰします。多分あとで書き直します。

私が知ったのはこの記事からです。
IE 6に新たなバッファオーバーフロー、パッチは未公開、実証コードは公に 2004/11/03 08:59

脆弱性の存在が指摘されているのは、Windows 2000／Windows XP Service Pack 1とIE 6の組み合わせだ。IFRAMEタグを悪用して仕掛けを施したHTMLファイルを読み込ませることによりバッファオーバーフローが引き起こされ、リモートから任意のコードを実行される恐れがある。
　ただしSecuniaの情報によれば、Windows XP SP2がインストールされている場合は、この脆弱性の影響を受けないということだ

Windows XP SP2には無縁と言うことであまり重視はしていませんでしたが。
記事の元ネタはこれです。

Secunia Advisory: SA12959   
Internet Explorer IFRAME Buffer Overflow Vulnerability
Release Date: 2004-11-02  Last Update: 2004-11-04

翌日にはITProからこの記事
IEに新たなセキュリティ・ホール，WebページやHTMLメールを開くだけで被害を受ける　[2004/11/04]　

セキュリティ・ホール自体は10月24日前後に，メーリング・リストなどで公開された。US-CERTなどの情報によると，Webブラウザを検証するためのツール「mangleme」によって発見されたようだ。

なんか聞いたような、ひょっとしてこれに使ったツールのことでしょうか？
他のWebブラウザよりも高品質？　「反撃」に出たIE  　2004.10.25
元ネタはこれ　Web browsers - a mini-farce なんですが。
あった！　http://lcamtuf.coredump.cx/soft/mangleme.tgz

このときはニュースにはなりませんでしたが。

前述のSecunia の他のニュースソースとしてはこれがあります。
ＣＥＲＴ　Vulnerability Note VU#842160　　＜翻訳＞
Microsoft Internet Explorer vulnerable to buffer overflow via FRAME and IFRAME elements

I. Description
A heap buffer overflow vulnerability exists in the way IE handles the SRC and NAME attributes of FRAME and IFRAME elements.
Publicly available exploit code uses JavaScript to prepare heap memory with blocks that consist of NOP slides and shell code.
After mishandling overly long SRC and NAME attributes, IE dereferences a memory address that may fall within one of the prepared heap blocks, running through the NOP slide and executing the attacker's shell code.
ヒープバッファー・オーバーフローの脆弱性は、IEがFRAMEとIFRAMEの要素のSRCとNAMEの属性を扱う方法にあります。
公にされた実証コードは、NOPスライドおよびシェル・コードからなるブロックを備えたヒープメモリを準備するためにJavaScriptを使用します。
過度に長いSRCおよびNAMEアトリビュートの扱いを誤った後に、IEは、NOPスライドによって走り、かつ、攻撃者のシェル・コードを実行して、・・・・

え～と、オーバーフローには２種類あってヒープバッファー・オーバーフローは難しい方じゃなかったでしたっけ、逆だったかな？

11.5 14:15頃、トレンドマイクロは　JS_SHEXPLOIT.A でこのexploitに対応しています。他はまだなようですが。

これはInternetExplorerのセキュリティホールを攻撃するためサンプルJavaスクリプトコードの検出名です。このスクリプトをWebページに含ませることにより、ページを閲覧したコンピュータ上で任意のコードが実行される危険性があります。

あとで気が付いたのですが、McAfeeはこの件に対応するExploitの検出を冒頭の記事の元ネタと同じ日（米国時間　2004/11/02 　）にExploit-IframeBO　として出しましたが、5日にその解説ページにCOMPUTERWORLDの記事　の中の「New IE Hole」のことであると追記しています。
この記事の中にはマイクロソフトは、この件を調査しているが、報告された脆弱を開発する悪意のあるコード（実証コード？）をまだ入手していないと。つまり上記のCERT VU#842160　その他の記事からソースコードの検証を始めたと言うことなのでしょうか。このケースもセキュリティホールの発見者はそのメーカーに通知するより前にメーリング・リストなどで公開しちゃったってこと？　まったく迷惑なことです。

そして米国時間１１月８日、それが日本時間で昨日なのか今日なのか解りませんが実証コードでなく実際のウイルスとして発見されています。

私の知った順ではMcAfeeがW32/Mydoom.ag@MM　として対応したようです。

 感染方法 
・Mydoomの他の亜種と同様、W32/Mydoom.ag@MMはローカルシステムから電子メールアドレスを収集し、これらのアドレスに電子メールメッセージを送信します。しかし、これまでの亜種と異なり、感染メッセージには添付ファイルは含まれていません。代わりに、感染マシンに向けられたハイパーリンクが組み込まれています。ターゲットシステムが脆弱なMicrosoft Internet Explorerを実行している場合、ハイパーリンクをクリックすると感染します。

それを報じた記事が　Handler's Diary November 8th 2004 (SANS ISC)　。
この記事によるとこのリンクはポルノ画像へのリンクだということになっているらしいです。
先日私が実験したDownload.Ject　のように感染するだけで肝心のＨ画像は見せてくれないのでしょう、詐欺ですね。（笑）　ちなみに上記記事ではハイパーリンクをクリックする＝ページに接続すると、

 Internet Explorerでバッファオーバーフローが発生します。さらに、ローカルマシンにリモートファイルをダウンロードし、そのファイルをローカルファイルに保存し、さらにダウンロードしたファイルを実行するように指示するシェルコードが実行されます。

こんなとってもハイテクっぽいパッチ未対応のセキュリティホールを狙ったウイルスでも、さいしょにの段階で騙されなければXP SP2でなくとも感染はしませんね。

昼過ぎには出ていなかったんですが、夕方にはノートンさんとトレンドマイクロが英語・日本語ともページを出していました。

シマンテック（ノートン）：W32.Mydoom.AH@mm　
トレンドマイクロ　　　　：WORM_MYDOOM.AH　
他にもF-Secure 　　： MyDoom.AF
Sophos のこれが同じものだとは気が付きませんでした：W32/Bofra-A
11月9日 (00:29) 米国時間ですから日本時間だと今朝の8時頃？　もしかすると一番対応が早いかもしれません。McAfeeも対応は11月9日になってからです。
ノートンの　W32.Mydoom.AH@mm　に出ている本文例を翻訳してみましょう。

今日は!私は新しい友達を捜しています。私の名前はジェーンです。私はマイアミ(FL)の出身です。私のweblogおよび最後のwebcam写真を備えた私のホームページを参照してください!　それではまた!

今日は!　私は新しい友達を捜しています。私はマイアミ(FL)の出身です。私の最後のwebcam写真を備えた私のホームページを見ることができます!　おめでとう!

PayPalはあなたのクレジットカードに成功裡に175ドルを課しました。あなたのオーダー・トラッキング番号はA866DEC0です。また、あなたのアイテムが送られるでしょう。3日の営業日内に。詳細を見るために、このリンクをクリックしてください。電子メールによってこのメッセージに答えないでください!この電子メールは自動メッセージ・システムによって送られています。また、返答は受け取られないでしょう。PayPalを使用してくれてありがとう。

あれ？
This virus claims to contain a link to pornographic images.はどうなったの？
webcam写真ってのがそうなのかしら？　どこどこ。(,_'☆＼ ベキバキ

結論！
これに引っかかった人は「ゼロディアタック」の犠牲者ではありません！
単に色と欲に駆られて警戒心を忘れただけのことです。別に色欲は普通のことですが、警戒心を忘れてはいけませんね。新宿の歌舞伎町なんかで「お兄さん、可愛い子が居るよ、３千円ポッキリ！　どう？」なんて声を掛けられたって「え～ほんとはボッタクリなんじゃないの～？」なんて相手にしないでしょうに、何でインターネットだと・・・フキフキ "A^^;

あっ、同時発売もあるようです。

シマンテックに見る上半期の傾向　はたまたまシマンテックのレポートをネタに使っただけで、内容的には誰もが感じるところでしょう。

メール系で言えば金銭的利益を求める攻撃にシフト　と　ボットネットワークの急増 の予兆は昨年１１月のW32.HLLW.Gaobot.gen あたりから始まっており、こいつは感染先のコンピュータに IRC チャネルを通じて不正にアクセスできるようにするバックドアを開きます。

スパムの量は5月にターニングポイントを迎え、初めて職場あてのメールの過半数を占めた。現在、スパムの約1/3はSobig.F をはじめとするウイルスなどによって作られるオープンプロキシから送信されているという。

と言うようなことが書いてあった記事は昨年の１２月だった。リンク切れで確認出来ないが。
更に今年に入り２月１０日（日本時間）のW32.HLLW.Doomjuice 　あたりで顕著になっていたと私は思います。

記事だとこのあたり
初期型MyDoom感染マシンに取り憑く「MyDoom.C」が登場 (ITmedia)

多分ウイルス対策掲示板、あるいは某ＭＬあたりかで同じようなことを書いたと思うのですがこんな原稿が残っています。

不発に終わった亜種Mydoom.Bの改良型のようにも見えます。
メールは飛ばさず、ネット上のサーチでMydoom.A感染PC（全世界に50万台と言われる）を探し、それを自分自身に書き換えるようです。
もしもMydoom.A　-B　そしてこれが同じ作者だったとすれば絶対に個人的な愉快犯ではないと私は思います。
力押しで感染PCを作り、次にはもっとローコストでそれら感染PCの更新を図り、最終的にはそれら感染PCを刈り取る（支配下におく）実験でしょう。
まだ十分に成功しているとは言えないようですが、もしこの手法が成功すれば非常にやっかいなことになります。

（1）まず力押しで一気に大量のウイルスメールをばら撒く。

ウイルス対策ソフト会社がそれを発見、分析、シグニチャ作成、各PCに配布までに半日から1日はかかるでしょうがその間に大量の感染PCを作成。

（2）即座にこのDoomjuiceのような手法でウイルスを別のバックドアに転換、

これを何回か繰り返せば、ウイルス対策ソフトが検出可能になった頃には（極論すれば）そのウイルスは消えてなくなっています。最初に置き換えられたバックドアを捕獲したとしても、その検出シグニチャを作成・配布するまでの間に、また別のものに置き換えられる、または1種類ではなく複数種類のバックドアに別々に置き換えたとしたらおそらく感染PCの何分の1しか発見できないでしょう。
またバックドアは派手な動きをせず、しばらく潜伏していたりすればウイルス対策ソフトでフルスキャンでもしないかぎり見つかりません。フルスキャンなんてほとんどの人はめったにやりません。あるいはまだそのウイルスを知らないウイルス対策ソフトを停止させてしまいます。
現状では悪い方への推測ですが、さてどうなるでしょうか？

その直前の2月6日 (米国時間)には W32.HLLW.Deadhat　が。
これもバックドア機能を持つワームです。このワームは、Mydoom.A および Mydoom.Bワームのアンインストールを試み、その後、Mydoom ワームに感染している他のシステムへ拡散します。また、ファイル共有プログラムを介しても拡散します。
記事：ウイルス「Mydoom」をアンインストールするウイルスが登場　　2004/02/09

直後の W32.HLLW.Lovgate@mm 　もバックドア活動があり、キーロギングの機能を持っていてユーザのパスワードを盗みます。

そして６月前後のKorgo　あたりでは世間の評判は固まります。
記事：Korgoウイルスはさらに破壊的なウイルスを作るための実験か？ 2004/06/10

最近発見されたKorgoウイルスには、単にコンピュータを破壊したり、感染を広げる以上に、作者のより悪質な目的が潜んでいるのではないかとする推測を、スペインのセキュリティ会社のPanda Softwareが発表した。
KorgoはWindowsのLSASS脆弱性を利用して感染するウイルスで、現在までに12種類の亜種が確認されている。しかし、この亜種の登場の仕方について・・・Luis Corrons氏は、「Korgo亜種を作成するために注ぎ込まれた労力の量は、誰かが単に楽しみのために作成したものではないことを示唆している。

その結果が“攻撃用ネットワーク”が確認される 　だと思っています。

< ボットネットワークの急増-WEB系  2004.10.30 へ続く >

最近TROJ_AGENT関連がいやに多いような気がして、関連の過去ログを検索してみました。この手はほんとに厄介ですね。リカバリになったケースがほとんど。特徴は「TROJ_AGENTは仲間と一緒に集団で」ってこと。

そうそう、ドリッパさんからのお知らせです。

回答者ご一同様
TROJ_AGENT.AC について、上記トレンドマイクロ情報ページでは、別名の一つに
Backdoor.Agent.AC を挙げています。
名前から一見、Symantec のものであるかに見えますが、同社ではこの名で命名されていません。
＃ そもそも Backdoor.Agent.AC で検索しても何も引っかかりません。
そして、以下のものが該当するようです。
◆Backdoor.Agent.B
　http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.agent.b.html

タイトル：TROJ AGENTと言うウィルスにかかりました

投稿時間：2004/10/05(Tue) 19:20
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=2587&pastlog=0020&act=past

ウイルスバスターを使ってみたところTOROJ　AGENTと言うウィルスにかかっていることがわかりました。
ウィルスバスターでは駆除できないとの事で色々駆除方法を探してみましたがわかりません。

投稿時間：2004/10/05(Tue) 21:45
投稿者名：GAN

タイトルの上のＵＲＬ欄に表示されているのは貴方のサイトですか？
そうは思えないんですけど。
TOROJ AGENT.AC　だけじゃないようですね。

投稿時間：2004/10/06(Wed) 09:23
投稿者名：雨月院さん

まずはTROJ_AGENT.ACのほうから．・・・・
問題はこれがどこから仕込まれたかということです．・・・・・
> URLは違います！勝手にURLにかかれてたみたいです・・・
> TOROJ AGENTだけじゃないとはどういうことですか？
つまり，あなたが意図しないURLを書き込む何かがあなたのPCに仕込まれているということです．
・・・・・
スパイウェア除去ウィザード
http://higaitaisaku.web.infoseek.co.jp/removewz01.html
TROJ_AGENT.ACのレジストリ編集に自信がない，スパイウェアの除去が難しくてよくわからないのであればデータをバックアップした上でリカバリ，というのも有力な選択肢ではあります．

TROJ_AGENTは仲間と一緒に集団でって良い例ですね。また感染者は見つけたものしか頭にないと言う例でもあります。

タイトル：ウイルスに犯されて一週間今だ駆除できません。

投稿時間：2004/10/04(Mon) 00:46
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=2503&pastlog=0020&act=past

JAVA_BYTEVER.A
TROJ_AGENT.AC
TROJ_DELF.AR
TROJ_ISTBAR.W
TROJ_PORNDIAL.BP
TROJ_SMALL.EY
TROJ_STARTPAG.AG
TROJ_STARTPAG.NK
の八種類が未だに駆除というか感染後の処理が出来ていません。・・・・
・ホームページが戻しても戻しても変えられる。
・勝手に、インターネットへ接続してしまう。
・インターネットを開いていたら、勝手に閉じてしまう。
・Allready running!!!というメッセージが出る。
・must click yesみたいなメッセージが出る。

これもやられる時は一気に入り込むと言う例ですね。結果リカバリ

タイトル：TROJ_AGENT.AC

投稿時間：2004/09/09(Thu) 16:33
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=2025&pastlog=0020&act=past

ウィルスに感染した様子なのでウィルスバスターで検索したところ１００個以上のウィルス&スパイウェアが検出されあるファイル以外は全部削除できましたが、再起動かけてから「TROJ_AGENT.AC」だけ駆除できません。必ず、「c:\windows\system32\ctlod.dll(またはCTLOD.DLL)」に「TROJ_AGENT.AC」あるとウィンドウがでます。処理できませんというメッセージです。
ファイルがあるフォルダーを検索しても、該当ファイルがありません。
また、ウィルスバスターのリアルタイム検索かけても、「c:\windows\system32\ctlod.dll(またはCTLOD.DLL)」に「TROJ_AGENT.AC」10/10と出ます。
どうしたらこのファイル削除できますか？
一応レジストの
「HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs の値は毎回削除してますが　c:\windows\system32\ctlod.dll　再起動すると元に戻ってしまいます。
よろしくお願いいたします。

投稿時間：2004/09/09(Thu) 18:28
投稿者名：anjuさん

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_AGENT.AC
には以下の記載があります。
>これは一般的に「トロイの木馬」と呼ばれる不正プログラムの一種です。他の不正プログラムの
> コンポーネントファイルとして使用されます。このプログラムはDLL（ダイナミックリンクライブラリ）であり、基本的に単体では動作しません。他のプログラムに利用され、機能を提供します。
どうやらコイツの原因は以下のヤツですね。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_SMALL.HW
> 特定のサイトから他の不正プログラムをダウンロードおよび実行を試みます。
> このような活動を「ウイルスドロッパー」や「ダウンローダ」などと呼ぶ場合があります。
一番困るタイプ「ダウンローダ」にやられてた様ですね。
> トレンドマイクロ製品では、ダウンロードされるファイルを「TROJ_STARTPAG.DU」 および
> 「TROJ_AGENT.AC」として検出します。
・・また、ダウンローダによって「手配リストにない何か悪い物」が入ってしまったかも知れません。
私の結論は、「リカバリしかありません」

投稿時間：2004/09/09(Thu) 18:37
投稿者名：GAN
タイトル：Re: TROJ_AGENT.AC

> ウィルスに感染した様子なのでウィルスバスターで検索したところ
> １００個以上のウィルス&スパイウェアが検出され
TROJ_AGENT.ACだけが問題ではありません。その100個全てを検証しないと。
詳細はanjuさんが丁寧に書かれていますがこの状態では私もリカバリ以外の道は無いと思います。

これも「仲間と一緒に集団で」の例。

タイトル：W32.Agent.AC.Backdoor

投稿時間：2004/08/26(Thu) 10:17
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=1555&pastlog=0019&act=past

W32.Agent.AC.Backdoorというのに感染しているらしいのですが、ウィルス駆除ソフトでも発見できません。ソフトはソースネクストのウィルスセキュリティーです。
何かプログラムを起動するたびに、ウィルス処理警告が現れます。

投稿時間：2004/08/26(Thu) 14:25
投稿者名：GAN

> 4.ソースネクスト　ウイルスセキュリティ2004 (更新済)
> 5.重要とされるUpdateは実行済
> プログラムを起動するたびに、ウィルスソフトから、ウィルスを検知したが処理した旨のメッセージが現れます。
> そこにウィルス名ということで「W32.Agent.AC.Backdoor」が表示されます。そこでこのソフトで、ウィルスの検索をかけるのですが、発見することができないという状態です。
了解です。

> 私としてはこのウィルスを駆除したいのですが、ウィルスの発見もできないので、どうしたものかと困っています。
あくまで一般論ですが、ウイルス対策ソフトが最初から入っていて、つまり初めてインストールしたら感染しているのに気がついたと言う場合を除きかつちゃんと更新されていて、それが検出したならたいていは侵入しようとしたウイルスを見つけてやっつけた、だからPCの中には残っていない。
だもんで、そのあとスキャンしてなかったらそれは良い知らせ。
ってことになります。

ただし、「プログラムを起動するたびに」ってとこで、「はて？」となりますね。
そのプログラムって何ですか？　ウイルスセキュリティ2004のこと？　そりゃさいしょから動いていなきゃおかしいし。
W32.Agent.AC.Backdoorは何者なのか調べようとしても、ウイルスセキュリティのウイルス情報ってこれしか無いんですかね？
http://sec.sourcenext.info/virus/index_list.html
*「ウイルス対策ソフトはなるべくメジャーなところを」ってのはこういうときのことなんですが。

名称：Backdoor.Agent.B
別名: BackDoor-CFB[McAfee], TROJ_AGENT.AC[Trend], Troj/Agent-AC[Sophos], Agent.E [Panda], Backdoor.Agent.ac[Kaspersky]
http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.agent.b.html
なんてのは見つかりますがこれと言う保障も無いです。この別名を見てもらえば判るとおり、ウイルス名は各社バラバラで似ているから同じだろうと言う訳にもいきません。
シマンテックのBackdoor.Agent.Bと同じものである可能性はありますので・・・・

> ただし、「プログラムを起動するたびに」ってとこで、「はて？」となりますね。
> そのプログラムって何ですか？
と思ったのですが、途中でメモリに感染説が。

以前（経験談ですが）メモリ領域に感染してしまったことがあり、そのときはエクセルなりワードなり何でもなんでも良いのですが起動させるたびにウィルス警告が出たことがあります。
・・おっしゃってるのはそういうことかな？

しかし雨月院さんがこういうことだと教えてくれました。知らずに現象だけ聞くと摩訶不思議？な世界に入ってしまいますが、正体が解れば枯れ尾花って・・・、いや枯れ尾花は勝手に人間がパニクッただけで無実の罪ですが、こちらは悪さの実体がありますね。

現象としてはこれと同じことでしょうか．
http://www.symantec.com/region/jp/avcenter/venc/data/jp-backdoor.agent.b.html
> 次の値を
> "AppInit_DLLs"="%System%\(DLL ファイル名).dll"
> 次のレジストリキーに追加することによって、
> HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
> 現在のログオンセッション中、Windows ベースの各アプリケーションが実行されるたびに、必ず
> Backdoor.Agent.B がロードされるように設定します。

タイトル：BackDoorとStartpageに・・・

投稿時間：2004/08/27(Fri) 00:25
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=1577&pastlog=0019&act=past

なぜかプログラムを起動するたびにTrojan horse BackDoor.Agent.BAが見つかったという警告が英語で表示されます。
AVGで検索かけて　ウイルス駆除しようとしましたが駆除できませんみたいなメッセージが出て駆除できません"(ノ_・、)"グスングスン
あと、PCつけたまましばらく放置しているとStartpage.6.AQが見つかったという警告がこれまた英語で表示されます。こちらはAVGで検索して　出てきたり出てこなかったりです（なぜ？）
あと、どちらも出どころはsystem32というファイルからと書いてありました。
BackDoorのほうが　C:\WINDOWS\system32\sqlfp.dll
Startpageのほうが C:\WINDOWS\system32\FABOKGA.DLL
です。

色々やりとりがあって結局、システムの復元が悪さと。全てこうであれば良いのですが。

投稿時間：2004/08/27(Fri) 18:51
投稿者名：GAN

> 今、システムの復元を無効にする　にしてからAVGで検索かけたら
> ウイルスを駆除できたっぽいです。
> 警告メッセージも出なくなったから　直ったんですかね？
えっ！　有効にしたままだったんですか。そりゃ聞き忘れた。
> もうシステムの無効を有効にしてもいいんですか？
一度無効にした段階で過去のは消えますからもう有効でよいと思います。

タイトル：Backdoor.Agent.B

投稿時間：2004/08/12(Thu) 23:47
http://kosuge.kdn.jp/anti/bbs/bbs.cgi?mode=allread&no=1092&pastlog=0018&act=past

Ｃを立ち上げたところ、

「ウィルス警告」
Norton Antiviruがコンピューター上でウィルスを検出しました。
オブジェクト名：C:\WINDOWS\System32\wdmk.dll
ウィルス名：Backdoor.Agent.B
適用した処理：ファイルを修復できませんでした。

という画面がでました。「ＯＫ」をクリックすると今度は、「適用した処理」のところがファイルへのアクセスが拒否されました。に変わりました。警告画面は消えません。・・・・・

追加です。
ウィルススキャンしても、何も検出されません。もちろん最新のウィルス定義でしています。
シンマテックのＨＰにある駆除の方法もやってみましたが変化ありません。

これもちゃんとガードされていそうな、でもなんかすっきりしない事例でした。

投稿時間：2004/08/13(Fri) 00:47
投稿者名：GAN

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.html
で「ユーザがある悪意のあるウェブサイトを訪れる場合」ですからもし「ウィルス警告」が出たタイミングがどこかのＷＥＢサイトを見ているときなら、ノートンがきっちりと仕事をしていると言えるんですが、起動時ですか。ちょっと微妙ですね。
既に感染しているともとれるし、C:\WINDOWS\System32\wdmk.dllが作られレジストリに細工をされた次回起動時にそれが動きだすと言うもので、その最初の起動時にdllが動こうとしてノートンに見つかった。つまりまだ害はなしていなかったともとれます。
効能もなかなか危ない。

－－－－－－－－翻訳引用－－－－－－－－－
.dllファイルは下記能力を持っています:
インターネット・エクスプローラー中のいくつかの機能のコントロールを許可します。
デバッガタイププログラムが実行される場合、チェック。
それらを走査するためにプログラム(SOFTICE)に属するいくつかのファイルへのアクセスを許可します。
コミュニケーション・オブジェクトを使用します。
感染したコンピューターから情報を集めます。
システムおよびウインドウズ一時的フォルダーの名前を聞き取ります。
いくつかのアクションを同時に行なうために自然に同時に5つまでのコピーを実行することができます。
それを削除することができないようにそれ自身のファイルを閉鎖します。

しかし、別名から他のベンダーサイトの日本語ページを見ると
> システム起動時に、DLLがロードされ、レジストリが改変されます。
http://www.mcafeesecurity.com/japan/security/virB.asp?v=BackDoor-CFB
ですから、その瞬間をノートンが見つたのかもしれません。
定義ファイルが常に最新に自動更新されていたならこれに感染と言うことは無さそうな気はします。
見つかったのがこれだけであれば。

他の方はどうですか。でもこれ、少し前にここで出てきたような？

投稿時間：2004/08/14(Sat) 11:30
投稿者名：GAN

2004/08/12(Thu) 23:47
> 適用した処理：ファイルを修復できませんでした。
> ファイルへのアクセスが拒否されました。に変わりました。
> 警告画面は消えません。
2004/08/12(Thu) 23:57
> 追加です。
> ウィルススキャンしても、何も検出されません。
> もちろん最新のウィルス定義でしています。
2004/08/14(Sat) 10:10
> 理由はわかりませんが、
> 今朝、ノートンアンチウィルスが削除しました。

なんかおかしいですね。
私はノートンがこいつが悪さをするのはガードしているとは思っているのですが。
ガードする時点がちょっと？？？です。
「システムの復元」
でもどってしまっていると言うことは無いですか？
もしまた出てきたら上記の方法で一旦無効にしてください。
無効にしっぱなしにする必要まではありませんが。
「システムの復元」に待避されたぶつを削除削除すれば良いだけですので。

2004代表的ウイルスの記録　INDEX
NetSky  /  Beagle  /  Mydoom

---

ウイルスギャング抗争でMyDoom組が勝利宣言？ 2004/09/17

MyDoomの最新亜種には、敵対していたSasser作者の写真が添付されている。これは、ライバルの逮捕をあざ笑い、勝利を主張するメッセージのようだ。（ロイター）

あほくさ！しかし、W32.Mydoom.Y@mmが「ワームは収集したメールアドレスに対し、独自の SMTP エンジンを使用して自分自身を送信します。」以外のことをしないのは何故？」と思っていたらこんなことだったとは。（苦笑）

奇妙なことに、ヤシャン被告とMyDoomグループの争いは、「PCをスパムエンジンに変えるウイルスの根絶」という大義から起きたものかもしれない。　「ヤシャン被告はおそらく、自分を現代のロビン・フッドだと思っていたのだろう」とヒッポネン氏。

そりゃ嘘だ。スベン・ヤシャンは単にMyDoomやBeagleのよりも出来の良いウイルスが作れることを誇りたかっただけだ。大義名分など有った方が格好良いと言うだけのこと。

かつての３つどもえの罵り合いはこんな感じでした。

NetskyとBagleの作成者間に戦争状態が存在
ウイルス作成グループ同士の「戦争勃発」とアンチウイルス各社が警告  2004/03/04 11:36 MyDoom、Bagle対NetSky --作者同士がウイルスコードで「罵り合い」
Munir Kotadia（ZDNet UK）2004/03/04
「ウイルスギャング団」が引き起こした亜種の異常発生 2004/03/08 18:30

そう、まさに「ギャング」だ。ウイルス作者が構成する「ギャング団」が、相手を打ちのめして自分たちの縄張りを守ろうとしている。その戦いの目的は、世界中の感染コンピュータを利用して秘密のP2Pネットワークを構築する数千の「トロイの木馬」の支配権を握ることだ。この種のネットワークを利用すれば、次世代のコンピュータウイルスや分散型サービス拒否（DoS）攻撃を仕掛けることができる。このネットワークをスパム業者に売りつけることもでき、スパム業者はこれを使って私たちのメール受信箱に匿名でメッセージを送りつけるだろう。こうした用途を考えると、これらのネットワークは奪い合うほどの価値があるとウイルス作者は考えている。

すべてのウイルスから私たちを守ってくれる魔法の解決策があるといいのだが、残念ながらそんなものは存在しない。これらウイルスの拡散手段が極めて特異なものかというと、そうでもない。かなり古典的なソーシャルエンジニアリングによるもので、ソフトの脆弱性を突いて拡散しているわけではない。

発生当時のメモです。

Netskyの犯人逮捕  / Netsky.Q / Netsky.P / Netsky.D

Netskyの犯人逮捕　2004.5.13

ソフォス、独警察が Skynet ギャングを捜査中と報告 これまでで最大級の逮捕でしょうか？　他は亜種とか小物がほとんどでしたから。

Netskyの亜種、とうとう「Z」に到達　　2004/04/22 19:14 更新

Netsky.Q　2004.3.28

W32.Netsky.Q@mm　（シマンテック：3)
発見日: 2004年3月28日 (米国時間)　日本サイト更新日: 2004年3月30日 8:25
WORM_NETSKY.Q （感染状況）

各社が対応する前に私の勤務先にも飛んできています。29日昼で認識しているだけで2件。
ノートンの対応後でも数件すり抜けてきています。
結果的に社外メールサーバでネットワークアソシエイツ社のチェックソフトが更新される前にサーバに届いたものは、たとえ翌日に当社PCが参照したとしてもすべてが検出できるわけではありません。
W32.Netsky.Q@mm.enc 　発見日: 2004年3月30日 (米国時間)
最終更新日: 2004年3月31日 12:11 (米国時間) 日本サイト更新日: 2004年3月31日 18:00
31日午前段階でノートンの通常のLiveUpdateではすり抜ける状態のままでしたが、4/1朝の段階ではこれまで検出できなかったものまで検疫できるようになりました。
--------------------------------------------------

ウイルス対策ソフトを完全に出し抜きました。発生と同時に急感染です。
ノートンで検出できないタイプもあります。但し、メールサーバの別のウイルス対策ソフトではそのタイプもNetsky.Qとして検出しており、またそのすり抜けタイプは感染時の動作が通常とは異なるところから、壊れたウイルスである可能性が高いです。（私の見解でどこもそうは言っていないですが。）
メールサーバへの着信が3/30以降であればメールサーバのノートンでないウイルス対策ソフトがカットしています。ただし、着信29日のメールではメールサーバでのチェックをすり抜けてPCのノートンで検出されたものがあります。
この作者は正義漢ぶっています。いくつかのサイトにDoS攻撃をしかけますが、それはマイクロソフトとかではなくて、クラッカー（悪者ハッカー）のサイト、P2Pファイル交換ソフトのサイトなどです。かといって決して善玉ではありません。
MS01-020 (IFRAME) 脆弱性による添付ファイルの自動実行、ただしこのセキュリティホールはもう3年前のもの。普通は添付ファイルをクリックしないかぎり感染はしません。
拡張子は、PIFまたはZIPです。data.eml「長いスペース」.scr　この「長いスペース」.で騙そうとします。
トレンドマイクロによると感染数は3/30現在でデイリーでは検出数全世界1位。圧倒的に日本が多いです、第2位の10倍。英文メールであるにも関わらずこの状況は、日本をターゲットに大量にばら撒かれたのかもしれません。

■　教訓：１　■
プロバイダのウイルスチェックサービスは古いウイルスにはとても有効で、ビックリする回数が減って良いですが、しかし個人の場合、プロバイダに届いた時間と ＰＣに受け取る時間には相当に開きがあります。
だもんで、ＰＣ側もウイルス対策ソフトもとても有効です。プロバイダがやってくれるからいいやなんて思わないように。
■　教訓：２ 　■
あと昔はダメダメだったOutlook（ＯＥもＯＬも）のウイルスチェック機能はとても有効です。
自宅のEdMax止めようかな～、でもそうするとウイルスが来ようとしたのも解らなくな ってこういう教訓も書けなくなるしな～、・・・と考え中。
でも私の場合はお仕事ですから、普通の皆さんは安全の為にちゃんとUpdateしたOutlook（ＯＥもＯＬも）をお使いになることを お薦めします。HTMLオフが条件ですが。最近は出来ます。
２～３年前には私もメーラー切り替え派だったんですが。（苦笑）
■　教訓：３　■
怪しげなメールは削除するか、気に なるなら１日塩付けにして翌日にウイルスチェックをしてください。
■　教訓：４　■
メールヘッダのReturn-Pathで真の感染者が解るなんてことがクレズの頃に良く言われていましたが。
忘れてください。
あの当時からそうでないものが有りましたが、今回私の処へきたものはみんな、Return-Path＝From:です。
おそらくインターネットで検索すると個人のＨＰでは当時書かれたものが今でも残っているんでしょうが、ことセキュリティに関しては１年以上前の常識（？）は早いとこ忘れてしまうか、あるいはきちんと検証した方が良いと思います。
もちろん、「疑ってかかれ！　裏をとれ！」って鉄則は変わりようがないのですが、その鉄則を「セキュリティの常識」にも適用すべきだと。

添付ファイルが「message**.pif」の場合は、Netsky最新亜種の可能性あり
トレンドマイクロなど、ウイルス「Netsky.Q」の追加情報を公開 2004/03/29 22:03
DoS攻撃も仕掛けるNetSky.Q、感染被害は4ケタ突破 2004/03/30 14:47 更新

Netsky.Qが日本を局地的に狙った可能性を否定できない  2004/03/30 15:22

今回のケースを見ると、その局地として日本が狙われた可能性は否定できない」と分析。さらに“あくまでも推測に過ぎないが”と前置きした上で、「Netsky.Qの制作者は、恐らく日本のWebサイトを中心にメールアドレスを収集し、スパム配信ソフトなどで配信したのではないだろうか」と語った。

Netsky.P 2004.3.21

　W32.Netsky.P@mm　（シマンテック：3)
発見日: 2004年3月21日 (米国時間)　日本サイト更新日: 2004年3月23日 03:32
WORM_NETSKY.P （感染状況）
NetSky.P F-Secure

NetSky.Pは以前の亜種に良く似ていますが、新機能を持っています。
NetSky.Pは、E-MAIL、LAN、P2Pネットワーク、およびFTP、HTTPサーバのフォルダを介して感染拡大します。 (F-Secure)、

 MS01-020：不適切なMIMEヘッダーが原因でInternet Explorerが電子メールの添付ファイルを実行するという脆弱性を利用して、脆弱なシステムでウイルスを自動的に実行
自分自身をｃｏｐｙするときの名前の中に、"MS Service Pack 6.exe" "netsky source code.scr" "Norton Antivirus 2005 beta.exe" "Opera 11.exe" なんてものも。

2004.9.18 追記：いまだに一番沢山飛んできます。不思議です。MS01-020がまだそんなに残っていたんでしょうか？

Netsky.D 204.3.1

　　 w32.netsky.d@mml（シマンテック：4)
発見日: 2004年3月1日 (米国時間)　日本サイト更新日: 2004年3月1日 5:07
WORM_NETSKY.D （感染状況）

Netskyワームの新亜種、「記録破り」のスピードで感染拡大中

・Netskyワームの亜種「D」が空前のスピードで広まっており、昨年のSobigウイルスの時と同じような状況にあるとウイルス対策専門家が述べている。 Munir Kotadia（ZDNet UK） 2004/03/02 08:55

Netskyウイルスの変種が流行中，拡張子が「.pif」の添付ファイルに注意 ITPro[2004/03/02]

私が気づいた最初は、3/2　0：24頃自宅のノートンに自動パターン更新が走った。これは全くの臨時更新。また何か出たなと。某メーリングリストを見ると21：24頃、某通信社システム部門の方が第1報を入れています。

夕方から怪しいメールが届いていましたが、WORM_NETSKY.Dでした。
トレンドマイクロは先ほど対応したようです(パターン 791)。
WORM_NETSKY.D
w32.netsky.d@mm.html
相変わらずの某メーカーを含め、日本でもかなり流行ってる様子。
それにしても、今日は本当にウィルス日和でしたね…

要するに発信元が某大手電気メーカ内の感染PCからと思われるものが散見されたと。この間そのMLのメンバーに新種ウイルスを撒き散らしたことで有名な会社は○芝？「 相変わらずの」とあるのでそうかもしれません。 このようにたとえアンチウイルス対応前の新種だって、感染してウイルスメールを飛ばしたら嘲笑の的になります。
また Last Updated on: March 01, 2004 02:14:54 PM　>日本時間だと20:14(?)にはシマンテックは対応を終えていたことが解ります。

03/02(Tue) 01:06　別のBBSに書き込みあり。シマンテック日本語サイトにはまだ掲載なし

「NetSky.D 大発生！！」　１日20:30ころから　NetSky.Dが大発生しています。
22：30頃までにはトレンドマイクロ、シマンテックはパターンファイルが公開された模様ですが、まだ公開されていないベンダーもあるようです。　うちのメールサーバにはすでに３００件くらい検出しています。

シマンテック日本サイト更新日: 2004年3月1日 5:07

出社後、情報を確認

2/3 21:39 F-Secure 緊急ウイルス情報（英文）のメール着信
2/3 22:26 トレンドマイクロ新種ウイルス情報（Released:040301）のメール着信
2/3 22:59 F-Secure 緊急ウイルス情報（日本語）のメール着信
2/3 23:11 F-Secure 緊急ウイルス情報（英文）のメール着信
We are upgrading Netsky.D to a Level 1 Alert
2/4　8:08  F-Secure 緊急ウィルス情報（日本語） のメール着信

NetSky.Dが、日本時間3月2日未明にレーダーLevel1となりました。E-MAILワームとしては、ほぼ最速のスピードで拡散しています。感染メールを送付して大量トラフィックを生成します。添付ファイルの実行により感染します。

社内のノートンは8：10時点の最新パターンで更新されていることを確認、
10：00現在PCのウイルス定義ファイルは2004/03/01 rev.4（これは米国時間）

発生当時のリアルタイムなメモのダイジェストです。
Beagle.AQ 2004.8.31
beagle.W  2004.4.27
Beagle.Q  2004.3.18
Beagle.N(=P,=O) 2004.3.14
Beagle.B  2004.2.17
Beagle    2004.1.18

Beagle.AQ 2004.8.31

W32.Beagle.AQ@mm (Symantec : 2)
発見日 2004年08月31日 (米国時間)

勤務先に飛んできたのは朝8：24です。総務部より怪しいメールが来ていると。放置プレイにしました。そうすればノートンが更新されたあとのフルスキャンで正体がわかるだろうと。

W32.Beagle.AQ@mm は W32.Beagle.AO@mm の亜種で、独自の SMTP エンジンを使用して拡散する大量メール送信ワームです。送信されるメールの添付ファイルはダウンローダで、外部ソースからワームをダウンロードする Trojan.Mitglieder および Download.Ject.C に類似しています。

トレンドマイクロでは　
WORM_BAGLE.AI(感染状況）
> 日本時間2004年9月1日7時ころ、米国、カナダ、ブラジルなどから感染報告が確認されたため、イエローアラートが宣言されました。

またもや登場したBagleの新亜種、今度は悪意あるコードをダウンロード 2004/09/01 23:22

このBagle亜種はさらに、130以上に上るWebサイトに6時間ごとにアクセスして、悪意あるプログラムのダウンロード／アップデートを試みるという。Sophosはこの状況について、「悪意あるコードが容易に、しかも定期的にアップデートされることを意味している。このトロイの木馬の大規模な拡散によって、さらなる攻撃の種が蒔かれている」とコメントしている。

beagle.W 2004.4.27

W32.beagle.W@mm (Symantec : 3)

発見日: 2004年4月26日  (米国時間)

別名: W32/Bagle.z@MM [McAfee], W32/Bagle-W [Sophos], Win32.Bagle.W [Computer Associates], WORM_BAGLE.X [Trend], I-Worm.Bagle.y [Kaspersky], Bagle.Y [F-Secure]

本日、日本時間2004年4月27日早朝にアメリカ、フランス、中南米で新種のBeagleが確認されたようです。
各社とも危険度を高くしています。シマンテックでは「3」、このランクが出るとLiveUpdateも木曜以外でも更新されます。
実行ファイルは、さくらんぼのアイコンを持っています。
もっともこんなもんでウイルスかどうかの判定なんかしないでください。
どうもこれまでのものより手が込んでいるようです。

Bagleの目的はバックドアを仕込んで利用者に気づかれずに乗っ取って踏み台にすることでしょう。動作すると、Bagle. Yは、定期的にハードコーディングされた93のウェブサイトに接続し、バックドアのIDおよびポート番号をウィルス作者に通知します。

ところがさすがにここまでくると各社記号はバラバラ。
最初に飛び込んできたF-Secure ウイルス情報 では　Bagle.Y
シマンテックはW32.beagle.W@mm
トレンドマイクロはWORM_BAGLE.X  
あっ！　McAfeeは「Z」だ！

F-Secure（Y)とシマンテック（W)の差はTrojan.Mitglieder.F をBeagle.Wとカウントするかで、どっちかが漏らしている訳では無いようです。

NACなど「Bagle.Z」を危険度“中”で警告～Netskyに追いつく 2004/04/27 12:25

Bagleワームの新亜種見つかる――今度はポエムのおまけ付き 2004/04/27 10:30

Beagle.Q 2004.3.18

Symantec ではW32.Beagle@mm (vbs)
発見日: 2004年3月18日 (米国時間) 日本サイト更新日: 2004年3月22日 16:00

PE_BAGLE.Q （トレンドマイクロ感染状況）危険度：中　ダメージ度:高
発見日: 2004/03/17(米国時間) 対応日: 2004/03/18(米国時間)

まだ続くのかいというのもありますが、もうちょっと真面目な話もこれにはあります。
添付ファイルはついていません。
その代わりに本文中に不正サイトへのリンクが埋め込まれています。
●要するにいまだにHTML形式で表示している人が餌食になります。

もうひとつ、久しぶりにセキュリティホール悪用です。
ものはMS01-020ではありません。
MS03-032の直後に指摘されたセキュリティホールです。、
http://www.itmedia.co.jp/enterprise/0309/09/epic01.html
http://japan.cnet.com/news/ent/story/0,2000047623,20060815,00.htm
●その修正版MS03-040　去年の10/04にパッチがリリースされました。
「Web サーバーから返されたオブジェクトタイプを、適切に判断をしない」

MS03-026以降で既に悪用の実績のある唯一のセキュリティホールでは？
と言うか、攻撃に悪用されてからパッチがリリースされたいわいるゼロデイもので有名なやつです。
ウイルスとして最初にこのセキュリティホールを悪用した最初のものはパッチの3日前に発見されたTrojan.Qhosts ですね。私の知る範囲でですが。
http://www.symantec.com/region/jp/sarcj/data/t/trojan.qhosts.html

MS03-040が出る前でも、
●IEのスクリプトオフで無害化出来たセキュリティホールです。

Beagle.N(=P,=O) 2004.3.14

W32.Beagle.N@mm (Symantec : 2)
2004/03/14-15(米国時間) 日本サイト更新日:
トレンドマイクロ:PE_BAGLE.P （感染状況) 

各社でこれほど名前がバラバラになった例は私は初めてです。  ワームは収集したメールアドレスのドメイン名を詐称に使用します。メールアドレスがuser@yahoo.comの場合、返信用アドレスにyahoo.comを使用します。
たとえば、management@domain.comのようになります。
ポリモーフィックの機能も備えており、実行されるたびにウイルスコードが変化します。

・バックドア機能
　このワームはTCPポート2556を開き、不正リモートユーザのコマンドを待機します。また不正リモートユーザーは特殊なデータやパケットを感染システムに送信します。 また不正リモートユーザによって特定されたファイルをダウンロードし、自身をアップデートします。

Beagle.B 2004.2.17

W32.Beagle.B@mm （シマンテック：3）
トレンドマイクロ　：　 WORM_BAGLE.B　（感染状況）
F-Secure 　： Beagle.B

Bagle.Aは2004年1月18日に最初に発見され、ちょうど24時間で全体的に広範囲に広がったになったメール・ウイルスですがその後継機（？）です。
例によって「技術的な視点から見て、Bagle.Bは全く単純」、添付ファイルをクリックしなければ感染はしません。
しかし添付ファイルはオーディオ・ファイルのように偽装されているようです。つまりHTML表示をしているとオーディオファイルを表すアイコンが表示されます。騙される人も中には。
メールのHTML表示がセキュリティ関係者に嫌われる理由のひとつです。
ここを見ている人はまさかそんなことは無いと思いますが、メールソフトの設定はテキスト表示にしてください。最近ではOEだってOutlookだってその設定が出来ます。Outlookの場合は2003から誰でも出来るように。XPではレジストリをいじらなければなりませんでしたが。

急激な拡散の別の理由は、スパム・メッセージと同じ方法で最初から多くのユーザに大量のウイルスメールが発信されたということです。最近の異常な兆候からそうじゃないかとは思ってはいましたがそう明言した記事は初めて見た気がします。

このウイルスの賞味期限は2004年2月25日です。
この活動停止と言う特徴は、 Sobigウィルスシリーズに似ています。Sobig著者は、ワームの新しく改善されたバージョン をリリースするために「市場」から時代遅れになったバージョンを取り除く意図と考えられています。
まあ、そうでなくともこのスパム的拡散方法は一気にバッと広がり、徐々に短期間で収束はするで しょう。仕掛けた側も我々守る側も最初の1日が勝負です。勤務先では18日午前中に勝負は終わりました 。
あとはウイルス対策ソフトに任せておけばいいのです。

Beagle 2004.1.18

シマンテックW32.Beagle.A@mm トレンドマイクロ：WORM_BAGLE.A　発見日: 2004年1月18日 (米国時間)

Bagle.aウイルス、沈静化へ--それでも「次」への懸念は消えず 2004/01/21 10:48
BAGLEウイルス沈静化の兆し ［海外記事］ ［1/21 09:28］

また、感染すると、特定のURLに対してアクセスを試みるほか、アクセスの際にポートスキャンを行なうこともあるという。

> アンチウィルスソフトが対応する前に素早く送っていただいた東芝さんの他・・・・
な状況です。もちろん皮肉です。
http://www.st.ryukoku.ac.jp/%7Ekjm/security/memo/2004/01.html#20040119
 
SQL SlammerやBlasterみたいなものは人間のアクションを必要としませんから一気に拡散します。しかしこのウイルスは技術的には一見新鮮実のないＥＸＥ添付ファイルウイルスです。 それがなぜかウイルス対策ソフトのパターンが届く前に大量に飛び回りました。ダイレクトアクションのKLEZだって拡散スピードはもっとゆっくりでした。考えられる理由はひとつだけです。 「犯人がスパムの手法を使って一気に大量に流した。」
次にこのウイルスはたった10日で活動を止めます。大量メールは出すが、目立った被害はない。良心的？　とんでもない！
このウイルスはバックドアです。特定のサイト（30ぐらい）に、にアクセスしてそこからプログラムをダウンロードします。これが当面の目的で実際になにをやるかはダウンロードされた プログラムが決定します。
考えられる本当の目的は？　スパム中継・発信基地、アングラサイトの開示サーバ、あるいはプロキシの確保でしょう。最近京都府警に摘発されたWinnyの件を思 い出してください。あのファイル交換ソフトがやっかい（尻尾をつかみにくい）点は不法コンテンツを公開したＰＣとそれをダウンロードしようとするＰＣの間に何台ものＰＣが中継している点です。
スパマー(スパム送信業者)とグルになって金を稼ぐ、新種のコンピューター・クラッカーのことを「スパッカー」(spacker)と呼ぶそうです。
http://www.hotwired.co.jp/news/news/technology/story/20031014301.html
すでに大分前からウイルスは愉快犯の犯行ではなくなりつつあります。「商売」です。ポーランドのそうしたグループの代表者Tubul　はトロイの木馬で乗っ取った 45万台ものコンピューターをコントロールしていると豪語しています。その大半は、ウィンドウズを搭載し高速接続を備えた家庭用マシンだそうです。今回のウイルスも そのためのものと思って間違いないでしょう。
このウイルスがアクセスする30近くのサイトもそうして乗っ取られた常時接続ＰＣだと思います。
つまり、 感染者は知らぬ間に犯罪の片棒を担がされる訳です。

以下は発生当時にリアルタイムで書いていたもののダイジェスト版です。
　ＩＮＤＥＸ
　　Mydoom.Q 2004.8.16
　　Mydoom.M 2004.7.26
　　Mydoom.B 2004.1.29 
　　Mydoom.A　2004.1.27

Mydoom.Q 2004.8.16

日本時間2004年8月16日午後、日本、韓国、アメリカで感染報告が確認されました。
私の勤務先でもノートンの対応前にノーチェックで数件飛んできています。

W32.Mydoom.Q@mm （シマンテック：3）発見日 2004年08月16日
WORM_RATOS.A　（トレンドマイクロ）

-------------------------------------------------------------------

セキュリティホールメモＭＬでの経緯
14:41
> 午後に入って加速度的に到着数が増えました。
> ２時間で９５通　この１時間で２００通弱　合計２８６通も(>_<)
この段階では各社のウイルス対策ソフトでは検出できていません。
上記の会社は拡張子ブロックでEXEを削除しているので判ったようです。
15：07　
> 当該トロイはトレンドで”WORM_RATOS.A”として解析しています。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_RATOS.A
15:09
Mydoom.s（マカフィー命名）のようですね。
http://vil.nai.com/vil/content/v_127616.htm
でも英語ページにもページがあるだけで説明はまだです。
15：23　トレンドの説明は・・・
>日本時間2004年8月16日午後、日本、韓国、アメリカで感染報告が確認されました。
>現在、活動内容を解析中です。随時情報を更新してまいりますのでご注意ください。

件名が「photos」のメールに注意，新種ウイルスが流行中 [2004/08/16]　

Mydoom.M 2004.7.26

■W32.Mydoom.M@mm　（シマンテック：4　）
2004年7月26日 8:29AM (米国時間 GMT-7.0)　発見　日本時間だと7/27　00：29

レベル4です。かなり高い！　当社でのLiveUpdate 対応定義は　2004/07/26 rev23　（この日付は米国時間です）おそらくこれで防げているはずです。
日本語ページは速攻で作ったページの様です。日本語ページ更新時間の記載が無い！
しかし、発見から９時間で何社も日本語ページが出来上がっているってのはすばらしい。
それだけ警戒されているウイルスだということもあるのでしょうが。

メールシステムのエラーおよびスパム警告を装った本文を送付します。

• TCPポート1034に反応するバックドアを生成します。ポート1034により接続されると、感染コンピュータはアタッカーにより乗っ取られます。

TCP ポート 1034 から Backdoor.Zincite.A として検出されるバックドアプログラムをダウンロードし実行します。 Backdoor.Zincite.A は、侵入先のコンピュータへリモートから不正にアクセスできるようにするバックドアサーバプログラムです。TCP ポート 1034 で実行します。

• 例えば、xｘｘ@fakedomain.com というアドレスを発見した場合、添付ファイル名には fakedomain.com が含まれます。
• この亜種はGoogle、Yahoo!など米国の主要検索サイトからメールアドレスを収集する仕組みに・・・

F-Secure ウイルス情報  mydoom.m 0:50に第1報が届いています。早い！
トレンドマイクロ　WORM_MYDOOM.M 　MCAFee ではまだ翻訳されていませんね。9：20現在

関連記事

マイクロソフト危うし--MyDoomの開けた「裏口」を悪用する新ウイルス登場 (CNET, 7/28)。「MyDoomの亜種出現、Googleなどに影響」「速報」2004/07/27 07:49 更新
MyDoomの新亜種、急速に感染拡大――余波でグーグルなどが利用不能に
2004/07/27 10:00

「@mycompany.com」という文字列で終わるとすると、このワームは主に他のmycompany.comアドレスに感染を拡大しようとする。

だけどただのメールウイルスなんだけどね？？？

マイクロソフト危うし--MyDoomの開けた「裏口」を悪用する新ウイルス登場
2004/07/28 09:03

Mydoom.B 2004.1.29

W32.Mydoom.B@mm　 （シマンテック：　）
発見日: 2004年1月28日 (米国時間)
▼　1/29 9:50 追記
W32/Mydoom.b@MM (NAI) WORM_MYDOOM.B (トレンドマイクロ) W32/MyDoom-B (Sophos) Mydoom.B (F-Secure)

ウイルス対策ソフトだけで安心できる状況は過去のものです。新種はすり抜けて きますから警戒を怠らないでください。特に添付ファイルです。Fセキュアからのメールでは早くも亜種が出たようです。
今翻訳メール(9:25)も届いたところですが。とりあえず英文メール(2:57)の範囲で書きます。-Aに対して強化された点は感染したPCがウイルス対策会社のサイトにアクセスすることを妨害します。つまりオンラインスキャンで確認しようなんてことは出来なくなります。多分。
暗号化されている割には亜種が早すぎること、から同一の犯人によるバージョンアップではないかと。いや、どこにもそんなことは書いてありませんが。
日本語版メールから追記します。
アンチスパム・ツールで使用されているチェック・ロジックをすり抜けようとするそうです。やはりスパム業者との結託が匂いますね。
なんと、この亜種は原種感染PCを探して自分自身にバージョンアップしようとします。ネットワーク上にポート3127に対するポートスキャンが大量に流れるでしょう。もうすぐネット上のニュースでも詳細がわかると思います。
▼　2/05 追記  Mydoom.Bは思ったほど拡散しませんでした。と言うか不発弾ですね。

Mydoom.A　2004.1.27