このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

サーカムウイルス

発言者:Koichi
( Date Friday, July 27, 2001 18:41:34 )


今週,私の大学内で「サーカムウイルス」ウイルスの感染がはやっています。
多分,マック環境では大丈夫だと思うのですが,メールサーバー(EIMS 3)の管理者として
何か気を付けなければいけないことはありますでしょうか。
何かアドバイスがありましたらよろしくお願いします。

田中求之 さんからのコメント
( Friday, July 27, 2001 20:37:20 )

無茶苦茶流行っているみたいですね、これ。

サーバ管理者としてというより、とにかく Win のユーザーに情報を提供して
注意を呼びかけるしかないでしょうね。

もちろん、EIMS にフィルターを入れて、怪しい添付ファイルは削除すると
いう手段もありますけど、個人的には、この手法は好きじゃない…

今井真人 さんからのコメント
( Friday, July 27, 2001 23:55:33 )

インターネット検索しましたが、サーカムではヒットしませんでした。

正確な綴りが判ると嬉しいのですけど、sarcasm?circum?


しあわせのツボ さんからのコメント
( Saturday, July 28, 2001 00:05:09 )

SirCam、らしいです。

ウィルスに関する情報は、タイムラグ等の関係で
検索してもヒットしづらいですね。
シマンテックやトレンドマイクロ等のサイトに
直接当たった方が確実だと思います。

→  Symantec SARC

今井真人 さんからのコメント
( Saturday, July 28, 2001 09:44:20 )

全容を掴めました。ありがとうございました。自分なりにまとめ。

・サブジェクトはランダム(Subjectではフィルタできない)
・添付ファイルは .bat, .com, .lnk,  .pif がある。(.batというのは始めて)
・ 添付ファイルは 134キロバイト
・ 共有ドライブを探しだし、自分自身のコピーを置く(これも始めて)

田中求之 さんからのコメント
( Saturday, July 28, 2001 11:26:00 )

参考までにトレンドマイクロの方のページも紹介しておきます。

→  ウイルス情報(トレンドマイクロ)

Koichi さんからのコメント
( Saturday, July 28, 2001 12:05:30 )

コメントありがとうございます。

私もFilterは使っていません。以前,ORBSのFilterを入れたとき,かなり不評でしたので。
自分のところのメールサーバーがウイルス付きのメールをリレーしても,別に文句は言われ
ないと考えていいのでしょうか。

このウイルスは 一旦感染すると,メーラがなくともウィルス内蔵のsmtp機能を使ってメールを送るようですから,感染したらとりあえずLANケーブルを引っこ抜くしかないです
ね。

さんからのコメント
( Saturday, July 28, 2001 12:13:23 )

別セクションで、Sirmacをみかけました。

クライアントはMacだったので、感染はしませんでしたが同じユーザから
別々の添付書類がついた2通のメールが届いていました。

やはり、文頭は「How are you?」で始まっており、添付書類は
 書類名1.doc.bat と書類名2.zip.com になっていましたね

ちなみにそのファイルの1つがcreaterがtextになっていました。
で、2つの添付ファイルをYooEditで開いてみると・・・

先頭にはプログラムが記述されているらしく(SMTPエンジン?)、Bolandの
文字が見え、後半には、任意に選びだされた書類が張り付けられているらしく、
テキストとして見ることができましたが、途中まででした。

今井真人さんの情報では、134Kということなので、プログラム+書類=134K
となっているのかもしれませんね

送信者には、感染している旨とSymantecの除去ツールを教えておきました
 
SIMSには、EIMSのようなフィルタ機能は持ち合わせていないけど
(Folder Actionで可能?)、NetBarrier 2のフィルタ機能が有効なのかな?
(件名、本文、添付書類の名前でフィルタ可能)

→  W32.Sircam.Worm@mm Removal Tool

今井真人 さんからのコメント
( Saturday, July 28, 2001 13:23:21 )

> ORBSのFilterを入れたとき,かなり不評でしたので

添付ファイルの拡張子を見てフィルタするフィルタがあります。でも.batに対応した
フィルタは改造してつくるしかないです。

稲垣 さんからのコメント
( Saturday, July 28, 2001 14:49:40 )

> 自分のところのメールサーバーがウイルス付きのメールをリレーしても,別に文句は言われ
> ないと考えていいのでしょうか。

 言われるかも知れません。現状ですと、UNIX系やNT系ではメールサーバと協力してメールの
送受信時にメール内のウィルスチェックを行う、ウィルス対策ソフトがあります。
#先に田中先生が上げているトレンドマイクロ社や、シマンテック社に該当のバージョンがあ
#ります。

 または、ファイアーウォールにウィルスチェックソフトが組み合わさって、ウィルスをとお
さない様にするウィルス対策ソフトもあります。

 それのおかげでサーカムの被害が膨大ではないとも言われています。

 なので、知っていて何も対策を起こさない場合、最悪の場合管理責任を問われるかも知れません。
ただ、その組織全体としてのウィルス対策でメールサーバ自体には求めないような運用であれば、
別かと思います。

#そう言えば、自分の個人運営のところには入れていないけど、何とかしないとなあ。


寺港みやび さんからのコメント
( Saturday, July 28, 2001 16:04:48 )

うちはMacなのでOEで開いても何も起きませんでしたけど
私の周囲でもたいへん流行しています。

>添付ファイルは 134キロバイト
バラバラだと思いますよ。エクセルファイルなんかを
くっつけて雪だるまみたいに大きくなっている事もあるみたいです。
あと性質上一端通り道になったメールアドレスは
後々もどんどん届く傾向にあるみたいで、折角windowsを
再セットアップまでしたのに…またって人もいるみたいです。

たまちゃん さんからのコメント
( Saturday, July 28, 2001 21:59:24 )

今回のウイルスの巧妙な点は,ランダムな書類を添付して送り付け
るところにあり,「機密文書.doc」「××市場販売計画.jtd」なん
て名前のファイルがライバル企業などから送られてきて,思わず添
付書類を開けてみると大変だったということだと思います。

また通常のアドレス帳からアドレスを抜きだすだけではなく,ブラ
ウザに残っているメールアドレスのキャッシュなども元にして送り
つけることにも特徴があります。

以下,コメントです。

>UNIX系やNT系ではメールサーバと協力してメールの
>送受信時にメール内のウィルスチェックを行う、ウィルス対策ソフトがあります。

この手のゲートウェイソフトは

http://itpro.nikkeibp.co.jp/free/ITPro/NEWS/20010727/1/

にもありますようによくポカをやります。またきちんと設定をしな
いとデフォルトでオープンリレーになっていたりしますので,ウイ
ルスではなく SPAM メールのばらまきに手を貸すことになります。

今回でもゲートウェイをすり抜けて,クライアント側にたまたま
ウイルス対策ソフトが1台だけ入っていなかったので,感染した
という例を知っています。感染経路はいろいろあるので,受け取
る側もいろいろな箇所で対応しないといけないようです。

Mac OS ではないと思いますが,Mac OS X (Server) であれば,
CommuniGate Pro のプラグインで対応可能だと思います。

なお,EIMS のウイルス用のフィルターは ORBS 用のフィルターと
動作原理が違っていますので,フィルターを入れたから動作がお
かしくなったとか,パフォーマンスに影響を与えるといったもの
ではありません。ただ,このような種類の添付ファイルを受け取る
ことはできませんとか,名前だけでフィルタリングしているので,
すり抜ける可能性もあります,ということはユーザさんに言ってお
く必要があると思います。

で,どれだけの EIMS のウイルス用のフィルターがあるかといえば

http://www.mactcp.org.nz/eims/eimsfilters.html
http://www.moensted.dk/eims/
http://www.oitc.com/EIMS/VirusFilters.html

だけあります。これらをすべて入れている方もおられます。

使うかどうかはご自分でテストするなりして判断されるといいと思
います。

#ウイルスにかからない(or かかりにくい)方法があるんですけど
きちんと報道されませんね。毎回のことながら。。

今井真人 さんからのコメント
( Sunday, July 29, 2001 12:38:08 )

私のサイトでは、拡張子のフィルタを増加させるという方法で対応しました。
個々のウインドウズクライアント側での対策は月曜日です。

同時にKeep It Upのアップデートも行い、リモートでのログ監視機能を
使えるようにしました。EIMSのログを一通り眺めることが出来て便利です。

今井真人 さんからのコメント
( Monday, July 30, 2001 06:29:21 )

誤植もあるんですが、一番まとまっている記事です。
.tif→.pif
.link→.lnk

ゴミにまみれてまで攻撃? 新ウイルス「SirCam」
http://www.zdnet.co.jp/news/0107/23/e_sircam.html

→  ゴミにまみれてまで攻撃? 新ウイルス「SirCam」


たまちゃん さんからのコメント
( Monday, July 30, 2001 06:50:52 )

このウイルスと Code Red Worm (8月にも活動を再開の予定だそう
です)の2つが暴れまくって,どっちがどっちか時々分からなくな
ります。(^_^;;

今泉克美 さんからのコメント
( Monday, July 30, 2001 11:44:59 )

先週中ごろに取引先から
ご注意のFAXをいただきました。
さっそく社内回覧させていただきました。
ありがたかったです。

おかげさまで当方、まだ未感染。

今回のサーカム、悪質な点だなぁと
私が思うのは
Windowsのネットワークドライブ上の
共有フォルダから感染するらしいという
Symantecの分析結果の部分です。

でもどうして?というのが私の気持ち。

たとえば、感染源の添付ファイルが
ネットワーク共有フォルダを探して
そこに勝手にすみつくのだとすると
とってもヤバイのですけれども。

忘れた頃に、だれかが
「ン?このファイルなんだ?
【機密文書.doc】【××市場販売計画.jtd】
おいおい、調べてみよう」
なんて気になったらイヤですね。

全ファイル調べるのかナー。(−−)

−−−−−−−−−−−−−−−

関係ない話題ですが。

大昔、Excelのマクロウイルスが
NECのアラジンなる統合ウエアの
圧縮されたメールホルダアーカイブ上に
多量に住み付いたときにとても
大変だったことを思い出しました。
ウイルスチェックソフトそのものは
圧縮されたものを検査できなかったので
ひとつひとつ解凍しては、検査したのです。
検査するつど、自分のマシンが感染するので
(解凍すると、、なぜか感染)
頭にきて、ウイルスを改造して無害化して
わざと感染させる方法で免疫をつけてやりました。

−−−−−−−−−−−−−−

あゆみ さんからのコメント
( Monday, July 30, 2001 12:02:46 )

>Windowsのネットワークドライブ上の
>共有フォルダから感染するらしいという
>Symantecの分析結果の部分です。

私の職場では既に先週に共有フォルダ経由で
被害が出ています.
今回のは手が込んでますね.別のところに
そのエネルギーを使えばといつも思います.

今泉克美 さんからのコメント
( Monday, July 30, 2001 13:44:32 )

>私の職場では既に先週に共有フォルダ経由で
被害が出ています.

げげ。実例があがると、ちょっと首筋に
冷たいものが走ります。
貴重な情報ありがとうございます。

重松修 さんからのコメント
( Tuesday, July 31, 2001 10:47:33 )

サーカムですが、大量の添付ファイルでかなりウザイです。
ホント、下手なアダルト SPAM よりも重い分質が悪い。。。

昨日から、延々 IT ソリューションをうたっているタコな会社から
ゴミががんがんに届いていて不愉快きわまりないのですが、
こういうのって、損害請求できないんでしょうか。

inetd ではじこうかと思ったんですが、そうすると、よく考えたら、
相手は、メールサーバが落ちていると思ってがんがんに再送してくるので、
こちらのリソースがもったいないですし、
そんなアホのためにルータの設定をするのも面倒くさいし。

何かよい対策はありませんでしょうか。。。

VineLinux 2.1.5 ftp + qmail です。

たまちゃん さんからのコメント
( Tuesday, July 31, 2001 20:27:37 )

> または、ファイアーウォールにウィルスチェックソフトが組み合わさって、ウィルスをとお
>さない様にするウィルス対策ソフトもあります。

以下のようなページが紹介されていました。

うーん,cost effective。

→  Scanning Email for Virii

今井真人 さんからのコメント
( Wednesday, August 01, 2001 07:46:50 )

最終的にまとまった資料です。

こんな資料がまとまるときには、ウイルス騒ぎは治まるもんですが治まる気配は
まだまだないですね。

→  W32/SirCam@MM


今泉克美 さんからのコメント
( Wednesday, August 01, 2001 18:13:20 )

>昨日から、延々 IT ソリューションをうたっているタコな会社から
ゴミががんがんに届いていて不愉快きわまりないのですが、
こういうのって、損害請求できないんでしょうか。

いい方法はないのですが、、
先日、「ネットワーク共有フォルダがあかん!」と
言いましたが、よく考えると、もっとすごいんだと
実感しました。というのは
WINパソコンに感染すると、他の健全な実行ファイルが
起動される都度、このワームもあわせて起動されちゃうんですねぇ。
で、そのたびに悪さする。ワーム自身がSMTP機能内臓ですから
いやですねぇ。HTMLのキャッシュからアドレス拾うらしいので
HPを公開しているとリスクが高いのも特徴ですし、
いったんきたら、何回も来るのもイヤですね。

LAN上で発生したらネットワークを物理的に切断して
すべてのPCで除菌防御するまで再発しつづけますから
くだんのIT ソリューション会社もそうなっているのかも。

ところで、今回のようなのは
偽装のため、
添付ファイルに2重に拡張子がついているわけですが
(i LOVE YOU ウイルスもそうでしたが)
こういうのだけフィルターする機能って
あるのでしょうか?

今井真人 さんからのコメント
( Wednesday, August 01, 2001 21:13:49 )

>添付ファイルに2重に拡張子がついているわけですが
>こういうのだけフィルターする機能って
>あるのでしょうか?

たとえば、UNIXなどで見られるtest.tar.gzなどがフィルタされちゃいますね。
また、test.2001.01.01のようなファイルもフィルタですね。困ると思います。

それから、私の職場での対応は次のようにしました。この位、強烈にやらないと
今回は乗り切れないと思ってます。

>万が一、新型ウイルス(サーカム)感染があった場合、次のような対応を取り
>ますので周知ください。
>
>7月30日以降のウイルス対抗ソフト+定義ファイルがWindowsパソコンに入って
>いない場合は、使用禁止の上、ハードディスクを消去します。ファイルの復旧
>作業はとても面倒なので、仕事として受けられません。

takeshi uno さんからのコメント
( Wednesday, August 01, 2001 21:39:53 )

久しぶりの書き込みです。
本日、自分の所にも来ました。5通ほど。
添付ファイル名がなぜか「同窓会名簿.xls.lnk」でした。
hi!how are youとなっていてファイルの中身をみてみて!
ってかいてありました。とりあえずなんだこいつはと思ったので
ためらいもなく消してあげましたが・・・。
Macしかない小さな環境なのでとりあえずの所、助かっていますが
やはり不安は変わりないですよね。
こういう場合、送りつけた発信元にはアドレスの解約とか
プロバイダーに苦情として請求できるのでしょうか?

たまちゃん さんからのコメント
( Wednesday, August 01, 2001 23:14:02 )

>こういう場合、送りつけた発信元にはアドレスの解約とか
>プロバイダーに苦情として請求できるのでしょうか?

発信元が存在しないアドレスの場合があります。またプロバイダは
クライアントの自己責任だと言うかもしれません。

もちろん,ウイルス駆除のサービスを提供しているプロバイダであ
ればこの限りではないとは思います。

しあわせのツボ さんからのコメント
( Thursday, August 02, 2001 01:24:42 )

Sircamはまだ受信していないのですが、Hybrisの時はこれで苦労しました。
自前でSMTPをかけるウィルスの場合、発信元に「oemcomputer」等と
入る為、送信元のメールアドレスがわからず、個人レベルでは
感染者への連絡ができません。
# もちろんIPは出るのですが、ダイヤルアップではお手上げです。
という訳で、受信するたびにIPからプロバイダを割り出し、
当該メールのヘッダと共にプロバイダへ苦情を入れてました。
そうでもしないと絶えないので。
# 対応が悪いプロバイダにはウィルス本体ごと転送したような記憶も。
なぜか約半数がocn.ne.jpだったのには閉口しました。

> > 添付ファイルに2重に拡張子がついているわけですが
> > こういうのだけフィルターする機能って
> > あるのでしょうか?
> たとえば、UNIXなどで見られるtest.tar.gzなどがフィルタされちゃいますね。
> また、test.2001.01.01のようなファイルもフィルタですね。困ると思います。
archive.sit.binがフィルタに掛かるのはかなり困ります。
もともと.exeだの.vbsだのを圧縮もせずに添付すること自体がタコなので、
普通に.scrだの.comだのをフィルタすればいいと思います。

今井真人 さんからのコメント
( Thursday, August 02, 2001 10:01:56 )

今朝は同じ会社から20件ほど送られてきてまして、すべてブロックした
ものの、発信元の会社のほうに電話で忠告をしておきました。

ウイルス対策のため、再起動を何度も何度もして、その都度ウイルスを
ばらまいている様子。LANケーブルを抜いて、フォーマットしてと私が
伝えたものの何とか復旧させようと涙ぐましい努力をされているようで
す。

今井真人 さんからのコメント
( Thursday, August 02, 2001 10:53:22 )

拒否記録を観察してみて思うのは、メールサーバ側の再送があったりする
ところです。ウイルスに感染しているパソコンだけじゃなくて、メールサー
バに貯まっている未送信メールの削除もしないといけないですね。

それとメールからIPアドレスを割り出して、IPアドレスから管理者を割り
出す技術も必要になってきます。ここの会議室を見ている方は大丈夫でしょ
う。

中嶋 さんからのコメント
( Thursday, August 02, 2001 11:29:36 )

実例です(T=T)。

先週の月曜日に、留学生が国からのメールで、感染しました。私が月曜日から水曜日
まで出張しており、サーバを通過するメールの量を管理できなかったので、感染した
当人を含め誰も気が付きませんでした。サーカムが1〜5分毎にメールを送り続けた
ため、月曜日の夕方には大学内の2つのサーバをディスクオーバーフローで落として
しまいました。間が悪いことに、相手の管理者も出張中で、火曜日に出張から帰って
きたとたんに呼び出されて、原因を調べて対処をしたのが、火曜日の真夜中。こちら
の学科の管理者宛に抗議のメールをその時点で出されていたのですが、サブの管理者
がそれを読んだのが、水曜日の朝でした。サブの管理者が、対処し終わったのが、昼
頃で、私が夕方に帰ってきた時には、相手管理者からの抗議のメールと、物理的な対
処方法を知らせたサブ管理者からのメールが来ていました。サブの管理者に、相手側
に詫びを入れたかを聞いたら、「全く考えなかった」との回答でした(T−T)。
すぐに専攻長の許可を貰って、専攻長の詫び状+管理者の状況説明&対処方法の説明
を相手側の管理者に送付し、当該学生の担当の教授に、直接相手側の専攻に頭を下げ
に行って貰いました。こちらの対処方法として相手側に送った文章ですが、専攻全体
に注意を呼びかけて再発を防ぐことと、以下の一文を入れました。
「専攻の全員のアドレス帳に、管理者(私)とサブ管理者のアドレスを登録する」
つまり、「誰かが感染されたら、その時点で管理者がウイルス付きメールを受け取る
ので、早く気付くシステム」 = 「わが身を呈した、ウイルスチェックシステム」
と相成りました(T−T)。
海外からのメールに添付されているファイルには、かなり高い確率でウイルスが付い
ています。しかし、このファイルを全部フィルターしてしまうと、仕事にならない部
署があり、メールフィルターシステムが使えために取った苦肉の策です。

その後すぐに、今度はウインドウズのファイル共有から、植え込みに来ているシグナ
ルを発見して、それによる感染が出ていることがわかりました。慌てて、該当するコ
ンピュータ(数台)のコードをひっこぬいて、担当教官にウイルス駆除ソフトを強制
的に購入させて駆除。

その後も、ちまちまとした、後始末が続いています。

たまちゃん さんからのコメント
( Thursday, August 02, 2001 13:20:45 )

今日の昼休みに VirusBarrier が

"Inbox" is infected by W32.SirCam

と alert を出しました。今日新しい定義ファイルが出たばかりな
のでびっくりです。

VirusBarrier は Automatic モードでファイルに変更があったとき
に即座にチェックをしますので,EIMS のユーザのメールボックス
(Inbox ファイル)にメールが届いて,ウイルスが入っていた場合
に直ちに発見し,管理者宛にもメールを出してくれたり,自動的に
修復してくれるので助かります。

というような使い方をされている方おられるでしょうか。

たまちゃん さんからのコメント
( Thursday, August 02, 2001 13:43:58 )

>自動的に修復してくれるので助かります。

はよかったのですが,修復してくれた後,Inbox ファイルをクリア
してしまったようです。

手動で修復と使い分けないと大変ですね。

中嶋 さんからのコメント
( Thursday, August 02, 2001 13:49:34 )

>"Inbox" is infected by W32.SirCam
>と alert を出しました。今日新しい定義ファイルが出たばかりな
>のでびっくりです。
との事ですが、新種でしょうか?

定義ファイルを更新 −>メールが来た −> アラート
なのか、
メールが来た −> 古い定義をすり抜けた −> 定義ファイルを更新 −> アラート
なのかが、わからなかったです。
SirCam.A以外の新種なら、再度警告を出さないとならないので、
教えて頂けませんでしょうか?

うぅぅ、こんな生活、もう嫌、、、、、、、、、

たまちゃん さんからのコメント
( Thursday, August 02, 2001 14:02:56 )

今念のため確かめましたが,今日出たアップデータの中に Sircam
の情報がはじめて載ったようです。

今日以前に感染していた Inbox ファイルが新しい定義ファイルによ
り今日発見されたということだと思います。ということで,新種で
はないと思います。

先の投稿で「クリア」というのは,結局 Inbox ファイル自体が感染
していると見なされたので,感染ファイルを除去したのだと思われ
ます。

ウイルスメールをもらうのは久しぶりだったのとサーバマシンに
ウイルス用のソフトを入れたのも初めてだったので,あたふたと
しました。

今井真人 さんからのコメント
( Thursday, August 02, 2001 15:51:22 )

感染者(感染パソコン)にメールでご注意したところ、逆ギレされてしまいました。
まあ、こんなもんかな? こりゃー治まる気配はない。

今井真人 さんからのコメント
( Thursday, August 02, 2001 15:59:12 )

相手の言い分はこうです。

・私も????.???.exeメールを貰っていて、送信側に苦情をメール連絡している。
・私も被害者なのよ。
・ハードディスクを消去しろだと?とんでもない。
・ウイルス対抗ソフト?なんですか?それ?
・結局、どうすればいいかわからない。

どうしたもんですかね。困った困った。