このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

「Re.    」だけのメール

発言者:noriki
( Date Thursday, November 29, 2001 01:16:26 )


また新しいウイルスが出現したようですね。既出だったらご免なさい。

昨日から「Re.  」だけのメールが2通(添付ファイル付き)来てた
のですが、新種ウィルス「BADTRANS.B」のメールだったようです。

これも「添付ファイル(whatever.exe)」でWin用のようなのでMac
には感染しないのでしょうか? 今のところ実害は無さそうですけど・・。

→  新種ウィルス「BADTRANS.B」

寺港みやび さんからのコメント
( Thursday, November 29, 2001 02:45:36 )

かなり猛威をふるっていますよ。ワクチンのバージョンを
必至にチェックしても、イタチごっごなので特に若葉な
Windowsユーザーは、サーカムからこっち半分キレそうになってます。
ま、こっち(Mac)は仕事に集中できるので助かりますね。
「またか」と削除する手間は増える一方ですけど。

hightide さんからのコメント
( Thursday, November 29, 2001 05:15:34 )

私のところへもかなり上記のようなメールが届いています。
デイリーに発行してるメールマガジンを管理してまして
メールマガジン専用にしているアドレス宛に毎日、大量に
届くので削除するのも辛くなってきました。

モバイル用にWinを購入するつもりでいるんですけど、
メールのデータを変換してうつす前にきれいに駆除して
おかないとまずそうで、ますます憂鬱です。

なんの役にも立たない投稿ですみません。

新種ウィルス「BADTRANS.B」とわかって助かったので
お礼が書き込みたかったのです。

norikiさんありがとうございました。

今泉克美 さんからのコメント
( Thursday, November 29, 2001 11:27:50 )

こういう、同じ原因で繰り返される
「はやり」を見るに付け、思うことがあります。

ウイルス対策ソフトだけにたよっている、ということでしょうか。

winマシンは、IE6にあげるなり、IE5XならSP2をあてるなり
なぜ?みなさんしないのか不思議です。

うちの会社では、全機ともブラウザの対策をとりましたので
このタイプのセキュリティーホールに関しては
安心していられます。

MACサーバにWinクライアントという会社もあるかと
思いますが、サーバ管理者のみなさん、がんばって
winクライントを啓蒙していらっしゃることと思います。

ついでに、今、ひやひやしていることが
あります。
WINのアウトルックエクスプレス5.5で
プレーンなテキストメールを受信したにも
かからわず、悪意あるスクリプトが動作
してしまうというものです。

最低ですよね。HTMLメールおことわりの
意味がなくなってしまいます。

まだこのホールはつかれていないようですが。
MSサイトでそろそろ解決策が登場してほしいものです。

今井真人 さんからのコメント
( Thursday, November 29, 2001 11:52:13 )

本日は5通ほど、メールサーバ側で阻止しました。

送り先すべてに警告メールを送ってみるものの、返事はありません。
初心者で、何も知らないんだろうなぁ。

A_齋藤 さんからのコメント
( Thursday, November 29, 2001 12:08:57 )

うちにもかなり届いています。サーバー設置以来、このように大量にウィルス
メールが届くのも初めてですから、かなり感染が広がっているのだと思います。
送り主には警告メールを送っていますが、メール・アドレスの冒頭にに "_" が
付いていてそのまま返信すると戻ってきてしまうので面倒です。
常時接続が増えたのもウィルス拡大にひと役買っているような気がします。

344 さんからのコメント
( Thursday, November 29, 2001 15:54:52 )

私にも27日夜から十数通来ました。
警告メールを返信してもそれに対してウイルスが返信して来たりして・・・(-_-;)

サーバーの負荷が増えてたまらないので、EIMS3.03に
Glenn's Filter Page 
http://www.mactcp.org.nz/eims/eimsfilters.html
の「.exe filter」で「WORM_ALIZ.A」を、

Christian Monsted's Filter Page 
http://www.moensted.dk/eims/
の「.SCR filter」「.PIF filter」(上記の「.exe filter」改造版)で
「WORM_BADTRANS.B」をブロックしています。

エラーログで確認すると結構ブロックされているようです。



ml.管理見習い さんからのコメント
( Thursday, November 29, 2001 16:13:31 )

badtrans.BはwindowsのMAPIを利用して活動するので(http://www.eudora.ne.jp/developers/mapi.html#WhatIsMapi)マックには無害なのでしょうか。それとも、OE5等ソフト単独に害があるのでしょうか?
windowsで被害があった場合、レジストリの編集も行わないといけないようですので心配しております。

→  ウィルス詳細情報

ml.管理見習い さんからのコメント
( Thursday, November 29, 2001 16:15:42 )

↑すみません、初めて投稿するので改行しないで読みにくくして
しまいました。以後気をつけます。

今井真人 さんからのコメント
( Friday, November 30, 2001 07:04:00 )

1通返事がきました。

Windowsセットアップ中に、ウイルスメールを受け付けて、誤って
ウイルス感染したとのこと。

Windowsの再セットアップばっかりやっているユーザは、珍しくない
ので、ちゃんと対策をしたかどうか?気を使うようです。

今井真人 さんからのコメント
( Saturday, December 01, 2001 11:38:34 )

昨日は合計10通ほど、メールサーバでブロックしました。すべての人に対して、
警告メールを送信しました。

ウイルスを送信した側は、送信した時刻とか送信したファイル名とかの情報を
持ってないので、警告メールを喜んでいるようです。私は、仕事が増えるだけ
なので嫌ですけど。

A_齋藤 さんからのコメント
( Saturday, December 01, 2001 20:15:18 )

> 警告メールを喜んでいるようです

注意のメールを返信しても「ご苦労さまです」なんて人ごとみたいな
返事が来るとさすがにムカッと来ます。それにしてもPC メーカーや
ISPのサポートの人は大変でしょう。

bison さんからのコメント
( Monday, December 03, 2001 05:54:37 )

bisonと申します。
数年前(Macサーバ構築したてのころ)以来の書き込みです。(^^;;

中小企業相手のネットワークコンサルタントなんてことやってますので、
今回のBadtrans騒動には、辟易しております。
(クライアントの95%は、Windowsのみの環境ですので)

Webmasterで私の所にくるサイトが何社かあるのですが、
同時にクライアントの当該スタッフの方にも同じメールがいく設定にして
ありますものですから、
早朝に気付き、朝一番で、「メールチェックstopして、IEのアップデートして」
と電話したときも、
「え?大丈夫ですよ。変なメールは捨ててますから・・・」
「いや、ブラウズしただけでね・・・ふぅ」
「あーそーなんですか。でも大丈夫ですよ。捨てますから。」
「そーじゃなくて・・・」
とこんなんを3日続けてます。

そんな方にもわかるようにと、
昔話風にBadtrans系のワームの理屈をうちのBBSに書いておきましたので、
お暇な方や、初心者の方の説明に窮したときには、どうぞ。(^^;;

→  StudioBISON相談室

今井真人 さんからのコメント
( Monday, December 03, 2001 07:27:30 )

メーリングリストで添付ファイルの禁止をしてないところが、
いっぱいあるんだなと今回再認識しました。メーリングリスト
にウイルスを投稿されると影響が大きい。リストサーバの管理者
が訴えられるような事件が起こる可能性もあります。

今井真人 さんからのコメント
( Wednesday, December 05, 2001 07:10:03 )

毎日、5通ほど検出しては警告メールを送ってます。日常化してます。慣れは怖い。

たまちゃん さんからのコメント
( Wednesday, December 05, 2001 10:05:22 )

W32/Goner Worm に要注意ですね。

→  W32/Goner Worm 

今井真人 さんからのコメント
( Monday, December 10, 2001 09:53:53 )

平均して、毎日4通警告メールを送ってます。

警告メールを受け取った側から、わたしゃ知らんというメールを受け取った
ことはないので、メールサーバEIMSのエラーログから導き出させる判断は
間違いないものと思います。

kamekichi さんからのコメント
( Thursday, December 13, 2001 15:01:06 )

こちらも困っています。
分かるユーザーは自分でメーラーをバージョンアップしているのですが、
言ってもやらない人たちがいて、まいります。
今井様のようにサーバー側でと思いまして、Glenn's Filter Page 
からPIFフィルターとSCRフィルターを入れてEIMSを再起動したのですが、
どうも効いていないようです。
何かポイントがありますでしょうか?

EIMSは2.2.2です。

今井真人 さんからのコメント
( Thursday, December 13, 2001 16:51:37 )

> PIFフィルターとSCRフィルターを入れてEIMSを再起動したのですが

どのフォルダに入れましたか?

機能試験としては、自分自身にメールしてみてください。
添付ファイル名を.pifだの.scrなどにして、送信を拒絶されれば大丈夫です。

今井真人 さんからのコメント
( Thursday, December 13, 2001 16:53:15 )

日に1通ぐらいに治まってきました。地道な警告メールが効いてきたか?

kamekichi さんからのコメント
( Thursday, December 13, 2001 17:14:59 )

Filtersフォルダに入れました。テスト結果はだめでございました。
もしかしたらFTPで送ったのがいけないのかもしれません。
再度試してご報告いたします。

kamekichi さんからのコメント
( Thursday, December 13, 2001 17:18:18 )

グチですが、、。
メーラーをバージョンアップしてくださいと言っても、
「特別な使い方はしていないので、大丈夫です」
とか意味不明な返答が返ってくるのです。
Winユーザーには疲れました。ホントニ。

kamekichi さんからのコメント
( Thursday, December 13, 2001 17:33:48 )

FTPではなく、アップルトークで入れて、再起動してみましたが、
やはりダメです。なんでしょうか?? ハマりました。

石津@RJC さんからのコメント
( Thursday, December 13, 2001 18:54:45 )

BadTrans.Bだとメールの形式が不完全でMIMEが壊れたような
データになってしまうパターンがあるようで、EIMSのフィルタ
機能では通過してしまうことがあります。

うちにも数通来てます。
通過してもやむなしパターンもあるということで。

今井真人 さんからのコメント
( Thursday, December 13, 2001 23:05:01 )

>やはりダメです。なんでしょうか?? ハマりました。

EIMS 2.2.2は問題ないと思うんで、別なサーバに入れてローカルでテスト
することはできないのでしょうか?

今井真人 さんからのコメント
( Thursday, December 13, 2001 23:07:24 )

>BadTrans.Bだとメールの形式が不完全でMIMEが壊れたような
>データになってしまうパターンがあるようで、EIMSのフィルタ
>機能では通過してしまうことがあります。

こりゃ参りましたね。私のところでは、フィルタのすり抜けは確認
できてません。

よーちゃん さんからのコメント
( Thursday, December 13, 2001 23:51:50 )

当方でもフィルタすり抜け確認しています。
数十通に一通位の割合ですり抜けます。HTMLメールに埋め込まれた
ような形になるようです。同一送信人からの物が常にすり抜ける
ので、亜種ではないかと考えていました。

フィルターだけに頼るのは危険なようです。

kamekichi さんからのコメント
( Friday, December 14, 2001 00:16:15 )

ありがとうございます。
ローカルでテストしてみます。
以前ORBSフィルターを入れたときはバッチリ動いたのですが。
(すぐ外しましたが)

kamekichi さんからのコメント
( Friday, December 14, 2001 00:42:20 )

お騒がせ致しました。結論からいいますと、EIMSのメモリ割り当てを
10Mに増やしたら動きました。
ただ、増やした直後テストしたときは動きませんでしたが、今、ログを
見たら動いていました。これはナゾです。既にいくつかブロックしています。
ウィルスの作者に我々の作業料金を請求したいものですね。

大変お騒がせいたしました。また、ご親切なアドバイスに心より感謝申し上げます。

今井真人 さんからのコメント
( Friday, December 14, 2001 16:13:22 )

>フィルタすり抜け確認しています。

すり抜けたウイルスメールの特徴がちゃんと判れば、フィルタソフトを
書いて貰えるかも知れませんね。

今井真人 さんからのコメント
( Friday, December 14, 2001 16:25:25 )

私のところでは、未だフィルタのすり抜けを確認できてません。

今井真人 さんからのコメント
( Friday, December 14, 2001 22:42:47 )

>EIMSのメモリ割り当てを
>10Mに増やしたら動きました。

ウイルスフィルタの入れ過ぎってことはありませんか?
数が多けりゃそれだけメモリ食ってしまうことはあるだろうし。

今井真人 さんからのコメント
( Sunday, December 16, 2001 08:25:04 )

久々にEIMSのフィルタを探してみると、バージョンアップしてたり、
新型があったりと、発見がありました。

Filters for EIMS 2.2 and later
http://www.mactcp.org.nz/eims/eimsfilters.html

Attachment filters群が1.0b1から1.0.1になってたり、

SimpleText Filter($75)
http://www.mcfsoftware.com/simpletextfilter/

というテキストで自由にフィルタを記述できるタイプがあったりしました。

他にも出てたら教えてください。

今井真人 さんからのコメント
( Sunday, December 16, 2001 09:21:47 )

Incorrect MIME Header BadTrans.Bなどで検索をかけてみるものの、パッチの
情報ばかりで、具体的な不適切なヘッダそのものの情報に当たりません。

公開したくない情報なんでしょうね。

今泉克美 さんからのコメント
( Sunday, December 16, 2001 21:07:24 )

http://www.geocities.co.jp/SiliconValley/1667/penetration_techniques.pdf

というPDFをダウンロードして45ページめに
かなり詳しいことが書いてあります。

MIME形式に変換された悪意のあるファイルの
MIMEヘッダにあるContent−typeの値を
audio/x-wavに変更して、作成した拡張子「.eml」
のファイルに追加。

とあります。

−−−−−−−−−−−−−−−
フィルターかけられそうになかったので
Win全機、IEのバージョンアップを敢行しました。

今泉克美 さんからのコメント
( Sunday, December 16, 2001 21:16:55 )

とわいえ、(とは言え)

IEをいくら最新にしても
自動的な攻撃を防ぐことが出来るだけで
添付ファイルにはあいかわらず
おかしげなものがぶらさがっています。

こういうのを発動させないように
各エンドユーザに教えて回るのは
本当に大変でして
(さいわいうまくいっていますが)
フィルターできれば一番いいですね。

−−−−−−−−−−−−−−−−−

なお
さきほどのPDFの内容以外でも
不適切なMIMEヘッダ脆弱性の
手法があるかもしれません。
どこかのMLの過去ログでみかけたような
気がするのですが、手元に資料が
ありません。x-wavだけ注意すれば
本当によいのかどうかは不明です。



今泉克美 さんからのコメント
( Sunday, December 16, 2001 21:39:06 )

あったあった。ありました。
不適切なMIMEヘッダ関連の情報。

小島さんとこのセキュリティーMEMO
http://www.st.ryukoku.ac.jp/~kjm/security/memo/2001/04.html

このページを出したら
MS01-020
の言葉が出てくるところまでサーチすればOKです。


これを見て、フィルターを断念したのでした。

なにかいいアイデアがあれば。。


今泉克美 さんからのコメント
( Sunday, December 16, 2001 23:22:35 )

私のところにまいこんだ
「RE:」のヘッダですが
個人情報を隠しまして以下に。


Return-Path: <dareyakoitu@green.ocn.ne.jp>
Delivered-To: me@mysite.co.jp
Received: (qmail 64984 invoked from network); 14 Dec 2001 16:59:41 +0900
Received: from unknown (HELO green.ocn.ne.jp) ([202.234.232.70]) (envelope-sender <dareyakoitu@green.ocn.ne.jp>) by localhost.mysite.co.jp (redundant-clusterd qmail-1.03) with SMTP for <me@mysite.co.jp>; 14 Dec 2001 16:59:41 +0900
Received: from aol.com (p17-dn07yokohamami.kanagawa.ocn.ne.jp [210.154.181.146]) by green.ocn.ne.jp (OCN) with SMTP id QAA14501 for <me@mysite.co.jp>; Fri, 14 Dec 2001 16:59:18 +0900 (JST)
Date: Fri, 14 Dec 2001 16:59:18 +0900 (JST)
Message-Id: <200112140759.QAA14501@green.ocn.ne.jp>
From: "whowhowho" <_dareyakoitu@green.ocn.ne.jp>
To: me@mysite.co.jp
Subject: Re:
MIME-Version: 1.0
Content-Type: multipart/related; type="multipart/alternative"; boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1


さて、ここで
boundary="====_ABC1234567890DEF_===="
というのが異常値であるような気がします。
こういうのでひっかけるわけに
いかないでしょうかね?


田中求之 さんからのコメント
( Monday, December 17, 2001 00:52:05 )

>boundary="====_ABC1234567890DEF_===="
>というのが異常値であるような気がします。

異常と思われる理由はなんでしょう? 私にはありふれた boundary にしか
思えないのですが……?

今泉克美 さんからのコメント
( Tuesday, December 18, 2001 09:09:55 )

ありふれていましたでしょうか?
もうしわけありません。

私が受けた普通のメールではみかけたことがなく
数少ないのですが、受動的攻撃に適応した種類の
ウイルスメールでは
ことごとくなっているような気がしたものですから。

boundary="====_ABC1234567890DEF_===="

ショウシンショウメイ、マスクではなくて
_ABC1234567890DEF_
になっているのは、なにかおかしくありませんでしょうか?

なにも裏付けなく、もうしわけないお話しでした。


今井真人 さんからのコメント
( Tuesday, December 18, 2001 10:56:20 )

今泉さん。情報ありがとうございました。 

SimpleText Filter($75)
http://www.mcfsoftware.com/simpletextfilter/

でフィルタできる情報が見つかればいいのですが、ただいま検討中です。

今井真人 さんからのコメント
( Tuesday, December 18, 2001 10:57:01 )

このところ警告メールに対する返事が全く来なくなりました。知らんぷりをし
てるのか?それとも対策がなく途方にくれてるのか?

それでも3回ぐらい警告メールをすると、ウイルスメールは来なくなるところ
を見ると、パソコンを使うのを止めたんでしょ。ちょっと悲しいかも。

p さんからのコメント
( Tuesday, December 18, 2001 14:16:06 )

http://www.oitc.com/EIMS/SimpleTextFilterPrefs.txt
ここにBadTrans.B用の定義があります。

今井真人 さんからのコメント
( Tuesday, December 18, 2001 22:06:21 )

コメントありがとうございました。探せばあるもんですね。長いスクリプトか
らBadtrans.Bに関係する部分だけ抜いてみました。

Content-Type:  name=%*.%*.pif  550 5.7.0 This message may contain the W32/SirCam@MM or W32.Badtrans.B@mm virus. Mail rejected - contact postmaster.  (attach: PIF) Blocked .PIF attachment [0, %h (%i), %s]
Content-Type:  name=%*.%*.scr  550 5.7.0 This message may contain the W32/SirCam@MM or W32.Badtrans.B@mm virus. Mail rejected - contact postmaster.  (attach: SCR) Blocked .SCR attachment [0, %h (%i), %s]

上記は通常の拡張子.pifと.scrのファイルフィルタです。
Filters for EIMS 2.2 and laterに置いてあるPIF FilterとSCR Filterと同等
なものです。「.」が2つ含んでいることを確認しているだけ少し高度です。
----------------------------------------------------------------------
以下が追加された仕様です。メール本文に拡張子.pifと.scrでBadtrans.Bに関
係するファイルを特定できるようになっています。これが不完全でMIMEが壊れ
メールに関連します。

BODY:  begin %# %*.%*.pif  550 5.7.0 This message may contain the W32/SirCam@MM or W32.Badtrans.B@mm virus. Mail rejected - contact postmaster.  (attach: PIF 666) Blocked .PIF attachment [0, %h (%i), %s]
BODY:  begin %# %*.%*.scr  550 5.7.0 This message may contain the W32/SirCam@MM or W32.Badtrans.B@mm virus. Mail rejected - contact postmaster.  (attach: SCR 666) Blocked .SCR attachment [0, %h (%i), %s]
----------------------------------------------------------------------
また、Badtrans.Bはメールアドレス先頭に"_" (アンダーライン)が追加され
ることが知られています。

McAfee ウイルス百科事典
http://www.nai.com/japan/virusinfo/virB.asp?v=W32/Badtrans@MM

FROM:  <_  550 5.7.0 This message may contain the W32.Badtrans.B@mm virus. Mail rejected - contact postmaster.  (attach: Badtrans.b) [0, %h (%i), %s]

そこで、このスクリプトが動くわけです。通常先頭に、"_" (アンダーライン
)を付けるユーザはいませんので、これで大丈夫でしょう。

これで Badtrans.Bが完全防御できればいいのですけど。

今泉克美 さんからのコメント
( Wednesday, December 19, 2001 09:44:36 )

ドットなしIPアドレスや、一部のJAVAスクリプトなど
受動的攻撃のネタもフィルターしてますね。

今井真人 さんからのコメント
( Wednesday, December 19, 2001 12:43:13 )

さきほどよりフィルタを稼働させました。これから調子を見ていきます。

今井真人 さんからのコメント
( Wednesday, December 19, 2001 12:44:53 )

SimpleText Filter($75)
http://www.mcfsoftware.com/simpletextfilter/

お金を払ってあげたんだけど、何も返事がこないな。タダでずっと使える仕様かな。

今井真人 さんからのコメント
( Thursday, December 20, 2001 07:21:18 )

SimpleText Filter($75)
http://www.mcfsoftware.com/simpletextfilter/

登録コードが到着。ちゃんと仕事してました。

今井真人 さんからのコメント
( Thursday, December 20, 2001 09:03:02 )

ホームページはやる気があるとは思えないんだけど、ソフトの方はすごい
勢いで更新されてました。

SimpleText Filter 1.1b3 18-Dec-01
SimpleText Filter 1.1b2 18-Dec-01
SimpleText Filter 1.1b1 17-Dec-01
SimpleText Filter 1.1a12 17-Dec-01
SimpleText Filter 1.1a11 14-Dec-01
SimpleText Filter 1.1a10 14-Dec-01
SimpleText Filter 1.1a9 13-Dec-01
SimpleText Filter 1.1a8 12-Dec-01
SimpleText Filter 1.1a7 11-Dec-01
SimpleText Filter 1.1a6 10-Dec-01
SimpleText Filter 1.1a5 8-Dec-01
SimpleText Filter 1.1a4 6-Dec-01
SimpleText Filter 1.1a3 5-Dec-01
SimpleText Filter 1.1a2 2-Dec-01
SimpleText Filter 1.1a1 30-Nov-01