＞こういうのって犯人割り出すのは不可能なんでしょうか？
割り出したからってどうにかなるものでもないし・・・
2ヶ月たつと海外からスパムが増えますよ。

WORM_SOBIG.F です。

http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_SOBIG.F

ていうか、添付ファイルはワームそのものなのでワクチンソフトで検出されると思うのですが。

# 08/26 21:53　下記追記
　 WORM_SOBIG.F については、本掲示板スレッド3470,3485も参照ください。

僕の所にも来ました・・・。

ウイルス捕獲用フリーメールに入ってくるのはスパムばかり...
職場に送られてきたSOBIG.Fは、入り口で除去されてしまったし。
やっぱり流行モノは手にいれたいですよねえ。

Symantec名W32.Sobig.F@mm…。
BSD-NOMADSで配信されてました(滝汗

うちにもSOBIGが山の様に…… (っても計10通くらいだけど)
公衆電話から56K MODEMでつないでると辛いのよおぉ〜

え、From: は全部違ってるけど、Received: を見ると送りもとは1ヶ所みたい。
ってSMTP Serverを経由してないみたいだから確定はできないけど、一番最初が

>> Received: from unknown (HELO EARTH) (***.***.***.***) by ***.***.mmtr.or.jp with SMTP; 26 Aug 2003

で一緒だから多分送りもとなんでしょう。(最初のIPね)

にしても困ったもんだ……

DatulaはReturnメールの添付は開けないのかな？
base64エンコードされたテキストがそのまま内容に入っていました。
皆さんウイルス対策お願いしますヨ〜

って恐らくここに来てる方々はそんなことはわかり切ってるですな。

便乗なんですが・・ネット繋いでると,「メッセンジャーサービス」って何かの宣伝文みたいな英文が送りつけられてくるんですが・・ネットゲーなんかしてる時、これが来ると画面が止まってしまいます・・・。これって防げる物なんでしょうか？？

>メッセンジャーサービス
いわゆるメッセンジャースパムですね。コンパネ→管理ツール→サービスでMessengerサービスを停止してスタートアップの種類を手動か無効にしておけば防げますだ。

> Sobig.F
おおぴらになった日に発信元が同じ奴が６匹固めてきました…うちでは新記録です…(汗

＃Yahooはワームもちゃんと届きます…(謎

念のため。
マイナーなメールソフトでは、メールデータを受信した時点でウイルスチェックが機能するようにするために
メーラーの設定を変更しなければならない場合があるようです。
また、メーラーとワクチンソフトの組み合わせによっては、メールデータの受信段階でのウイルスチェックが
できない場合もあるようです。

今回のワーム（Blaster、SOBIG.F）騒動のその後の記事を4つ紹介。

「「Sobig亜種は今後も登場し続ける」とセキュリティ専門家」　(CNET JAPAN)
http://japan.cnet.com/news/ent/story/0,2000047623,20060588,00.htm
　　Sobig亜種は、今後も引き続き警戒が必要のようです。

「FBI、ウイルス作者の追及に「自信あり」　」　（ZDNET)
http://www.zdnet.co.jp/enterprise/0308/27/epc01.html
　　FBIは、MSBlastやSobigを広めた犯人を捕まえる自信があるようです。

「ソフトの脆弱性にも製造責任を――ウイルスまん延で高まる声」　（ZDNET）
http://www.zdnet.co.jp/enterprise/0308/27/epn11.html
　　ソフトウェア利用許諾書　（EULA（エンドユーザーライセンス契約））　の問題点
　　ソフトウエアの品質改善について
　　ウイルス被害規模
　など。

「MS-Blaster について SecuriTeam vs SCAN 編集部(2003.8.27)」　（Net Security）
https://www.netsecurity.ne.jp/article/1/10954.html
　　日本はセキュリティ水準が低いと指摘。

> 　　日本はセキュリティ水準が低いと指摘。

かもね…… 今Yahoo!BBユーザからSOBIG.Fを60通くらい継続的に
送られつぃ右づけてるんですけど、「苦情があるのならサポートに
Mailしなさい。苦情があったことをそのユーザに伝えて、対処して
「もらう」から、それまでいくら送り付けられても我慢してなさい」
ってな回答をもらいました…… そんなもんですかねぇ……

あぁ苦情Mail送らなきゃ…… (SOBIG.Fだけで6MB……)

> 　　日本はセキュリティ水準が低いと指摘。
同感かも・・・。僕も苦情Mail送らなきゃ・・・。

先日、ワケの分からんメールを頂きました
なんだか添付ファイルが付いてきて。。。あぁ、ウィルスか。。。
と思ってアドレスを見ると

。。。。。。よく行く掲示板にレスしたスレ主でした(ここでは無い

ウィルスチェックやスパイウェアチェックをお勧めします
とメールしたら

>チェックはどのようにすればよろしいんでしょうか？
>パスワード帰るのではダメなのでしょうか？

。。。。。。。。ユーザーの水準も低いと指摘したい今日この頃(いやずっと前から
＃丁寧なメール送れるなら変換も直そうね(そっちかよっ

from詐称なんだから、そのfromの人が出したとは限らないのでは？

もちろんFrom: とReturn-Path: を信用しちゃぁいません。
見る箇所はうちのMail Serverが受信した相手先のIP Addressです。
いくらなんでも60通違う相手が同じSMTP Serverを使うとは思えないし。

とりあえず今日になってからはYahoo!BBからの送り付けはなくなってますが、
別口(松江のOCNユーザ)からの送り付けは止まってません。
こちらもOCNに苦情出さないとダメかな?

>from詐称なんだから、そのfromの人が出したとは限らないのでは？

そう思うのですが、雑談系掲示板でもないので
話題提起に困って。。。。なんかしてみます

> 別口(松江のOCNユーザ)からの送り付けは止まってません。
うちにも来ています。(^^;

> もちろんFrom: とReturn-Path: を信用しちゃぁいません。
いまだにこれを信用してウィルス検出の警告メールを送ってくる
お馬鹿なサーバがありますが、早く何とかして欲しいものです。

ところでBlasterからと思われる icmp attack が今朝からまた増えてます(T_T)

とりあえずOCNからは「なんとかするから待っててね」って確認Mailは来ました。
ただ、Yahoo!BBからは何も言ってきません。このあたり企業体質ですかね?
(送り付けは止まってるから対処してくれたのかも知れませんけど)

> いまだにこれを信用してウィルス検出の警告メールを送ってくる
まぁ機械的に対処するのであれば、From: ないしはRetun-Path: くらい
しか判断できる所はないですからねぇ…… 困ったことに。

僕の所も、「なんとかするから待っててね」って確認メールが来ました。

＞icmp attack が今朝からまた増えてます
確かに増えてるような気が。亜種が見つかったらしいですけど。
でもねぇ‥‥いくら亜種が見つかったからって、これほど騒がれてるのに、何故新規感染しますかねぇ‥‥
やっと少し減ってきたと思ったのに‥‥(T_T)

言ってるそばから例のOCNユーザからSOBIG.Fが送られてくるあたり……
んでYahoo!BBからも確認Mailが来たんですが、あたしが送ったMail Header
とかもろもろの状況をそのまま引用(っていうか署名まで全文転載)
してきますか!?ふつ〜…… もうちっと考えてMail書いて欲しいと
思う今日このごろ。(署名に場合毎のMail Address書いてあったけど、
今回のケースみたいな場合の連絡先は書いてないのね……)

日本での流行の原因として考えられることを挙げてみました。
１〜４は、一般的な原因、５〜８は、今回流行している、MSBLAST、SOBIG.F 固有の原因として考えられるものです。

１．新聞・TVニュース などを見ていなくて、騒ぎが起きていること自体を知らない。
　　　→　情報収集しなくても無事に生きていけると思っている？

２．自分だけは大丈夫だと思っている。
　　　→　平和ボケ？

３．個人が狙われることはないと思っている。
　　　→　実際は、ワーム・ウイルスは、個人・企業・団体などの区別はしない。無差別。

４．ユーザーのウイルス・ワーム対策の知識が間違っている、あるいは、知識がない。
　　　→　ユーザー自身の不勉強。ユーザー教育が不十分。

５．MSBLAST.D（ICMP使用、別名 Welchia, Nachi）は、当初、善玉であるとの報道があったために、
　駆除するどころか、感染しても問題ないと思っている人がいる。
　　　→　実際は、日本語環境ではセキュリティパッチがあたらないが、そのことを知らない人がいる？
　　　　　MSBLAST.D は、MSBLAST.A〜C,E,F（ICMP使わない、別名 Lovsan, Poza）の１５倍の
　　　　ネットワーク負荷をかけるために、ネットワークトラブル多発の原因となっている。

６．報道機関（ニュースサイト含む）・メーカ・ISP　などの、周知体制の不備。
　　　→　ワームの感染力・危険性は、
　　　　　　MSBLAST.A〜C,E,F　＜　MSBLAST.D　（実際）
　　　　であるにもかかわらず、
　　　　　　MSBLAST.A〜C,E,F　＞　MSBLAST.D　（周知側の扱い）
　　　　と扱っているところがかなりある。
　　　　そのため、MSBLAST.D　への対策が不十分になっている場合があると考えられる。
　　　　　SOBIG.F は、危険性の周知すら行っていないところも多い。

７．Microsoft・ワクチンメーカが、MSBLAST対策CD-ROMの配布を行うのが遅かった。
　　　→　MSBLAST　対策のパッチをダウンロードする前に感染してしまい、特に、MSBLAST.A〜C,E,F　は、
　　　　感染すると短時間で再起動してしまうために対策のパッチのダウンロードが困難であるため、
　　　　対策パッチなどをメディア媒体で配布しなければならないのに、Microsoft・ワクチンメーカ が
　　　　配布を開始するのが遅かった。

８．MSBLAST.D、SOBIG.F は、ユーザー自身、感染していることに気付かないことが多い。
　感染すると、スーパースプレッダーとなりやすい。
　　　→　MSBLAST.D、SOBIG.F は、PCにかかる負荷が低い。感染時にわかりやすい症状が出にくい。
　　　　　一方、MSBLAST.A〜C,E,F　は、PCにかかる負荷が高く、不安定になりやすい、PCが短時間で
　　　　再起動することから、ユーザー自身が感染に気付きやすい、ワームの実稼働時間が短いため、
　　　　スーパースプレッダーとなりにくい。

>７．Microsoft・ワクチンメーカが、MSBLAST対策CD-ROMの配布を行うのが遅かった。

池袋のビックカメラなんぞ、
「配布数が少ないのでワクチンソフトに添付のみ」
と抱き合わせ販売に利用してましたが。
本当に数が少ないのかもしれませんが、抱き合わせに使って良いのか？

＞抱き合わせ販売
テレビのニュースでそんなパッケージが映ってました。
本体を買うんだからパッチCDはいらないじゃん！と言うのは間違いなんでしょうか。
いや、知り合いが、感染後Norton Internet Securityの製品版を買ってきて復活させたので。

> 本体を買うんだからパッチCDはいらないじゃん！と言うのは間違いなんでしょうか。

・クラッキングされるのを防ぐ
・新種ワーム・ウイルスが出てから、ワクチンソフトの対応がなされるまでの間、ワームに侵入されるのを防がなければならない。

なので、OSのセキュリティホールを塞ぐためにパッチを当てるのは必須です。
しかし、多くの人は、パッチのありかにたどり着けないので、対策CD-ROM配布は必要でしょう。

今回配布されたのは「修復ツール」であって、予防ツールじゃないです。
私が行ったお店では「感染してしまってInternetに接続が困難な人優先」って張り紙が……

まぁふつ〜の人なら必要のないCD-ROMであることは間違いないですけどね。(苦笑)

セキュリティ修正プログラム（MS03-026,MS03-007）を含んでいます。なので、修復と同時に、予防も兼ねています。

「『Blaster ワーム』 緊急対策用無償 CD について」　（Microsoft）
http://www.microsoft.com/japan/security/howtoget.asp

ーーーー以下引用ーーーー
セキュリティ対策ベンダー各社の「駆除ツール」に加え、マイクロソフトが提供してきたセキュリティ修正プログラムを CD で提供することにより、お客様がネットワークに接続することなく、Blaster ワーム及び関連ウイルスの駆除及びセキュリティ修正プログラムの適用を可能とするものです。

＞ふつ〜の人
OSのインストールや再インストールの時など、パッチが当たってないですから、取り敢えずネットに繋いで各種パッチをダウンロードできるようにするという点ではとってもありがたいですよ、きっと。
普通の人が、ここの皆さんのように緊急時に備えて、わざわざTechNetへ行って修正プログラムをローカルに保存するとは思えませんから。

そっか、CDがあれば某知り合いも何時間もダイアルアップでWindpws Updateしないで済んだんですね。
でも、ふたつのパッチ以外のためには結局長時間が必要と。