このページは福井県立大学の田中求之が2006年1月まで運用していた Mac のサーバ運用に関する会議室 「Web Scripter's Meeting」の記録です。情報が古くなっている可能性がありますのでご注意ください。

MyDoomウイルス

発言者:今井真人
( Date Friday, January 30, 2004 07:02:31 )


世間ではMyDoomウイルスが繁殖して、もー大変です。

このウイルスは一見エラーメールのように見せかけ、クリックを誘う
仕様になってます。いったん感染すると裏口をセットされ外部から
操作されます。大手電機メーカーSも私のメールサーバ観測による
とやられてます。大変だこれ。

うちのサイトでは一時的ですが、ZIPファイルの添付を禁止しときました。
なにか対策されているサイト管理者さんはいますか?

→  「MyDoom」ウイルス、過去最悪のペースで感染拡大

たまちゃん さんからのコメント
( Friday, January 30, 2004 10:00:05 )

ウイルスチェックはサーバ側でやっています(届いたら discard)。

今回の騒動で一番厄介なのはウイルスメール本体を受け取ることよ
りも,「お前のところからウイルスメールが送られてきた」という
エラーメッセージの方が少なくとも私のところでは数的にははるか
に多かったことです。

多くのウイルススキャナがデフォルトで見掛け上の送信者にエラー
を返すようになっているためで,迷惑以外の何ものでもありません。

このようなエラーメールの数が増えてきたら,ウイルスメール本体
よりもこちらの方の対策(フィルタを書くなりして)を考えたいと
思ってます。

ろばたろう さんからのコメント
( Friday, January 30, 2004 11:40:30 )

当方勤務先も昨日感染端末が「チェルノブイリ」状態になりました。
原因は対策ソフトのアップデート機能をわざわざ手動で起動の都度キャンセル
していたことが判明。おまけに立場はCEOときたもだ。

当方でのウイルスの挙動は、まずEIMSにお越しになりアドレス帳を差出人に
自分を差出人のドメインにしどこかへ送ろうとするがEIMSはこれを制止。
しかし関連社(linux系)が送信認証後、当方のゲートウエイアドレスを一定時間
信任する設定であったためそちらに向かい被害発生。両方あわせわずか10数分に
120回以上の送信行為をたった1台の端末が行ったと思われます。

当方は持ち込みデータも多いので、端末とサーバー両方に要対策。
かつメール添付量が大きいので.zip.exe禁止がやりにくいのが大きな悩みです。

「ユーザーに教育を施して...」だけではもう間に合わないと今回は悟りました。
「権限なき責任」というネットワーク管理者でも間に合わない。
対策の方針とソフトを全面的に考え直している最中です。

今井真人 さんからのコメント
( Friday, January 30, 2004 11:46:44 )

>「お前のところからウイルスメールが送られてきた」というエラーメッセージ

これ、私のサイトでも多く見られました。ウイルス自体は削除されていましたが。

MyDoomはウイルスをZIPで圧縮して送ってくる仕様もあるので、いまのところ
ZIPファイルの受け取りを禁止してますが、いつまでもこの仕様では無理があるので、
本格的なウイルススキャナーを考えてます。候補はこれです。

→  ProScan

今井真人 さんからのコメント
( Friday, January 30, 2004 23:55:04 )

ZIP添付ファイルフィルタは有効に働いてます。いまのところウイルス以外の
ZIPファイルはありません。緊急避難的な措置としてはうまくいった。

たまちゃん さんからのコメント
( Sunday, February 01, 2004 09:43:31 )

現時点で Mac OS X 上で稼働するウイルススキャナーは ClamAV や Virex
などを除けば

http://www.raeinternet.com/mpp/

くらいでしょうか。Postfix にももちろん対応しています。

最新バージョンでは ClamAV や SpamAssassin もサポートしています。

今井真人 さんからのコメント
( Sunday, February 01, 2004 10:38:23 )

私のところに到着したメール中に、ランダムな名前のZIPファイルがありました
から、単なる名前のフィルタでは運用できないことがわかりました。

今井真人 さんからのコメント
( Sunday, February 01, 2004 21:19:16 )

添付ファイルの形式そのものが崩れていて、添付ファイルフィルタにかからない
場合もあります。本文(body)の中の単語でフィルタをかけるしかないようです。

たまちゃん さんからのコメント
( Saturday, February 07, 2004 10:27:22 )

私はまだ試していませんが,Virex を Postfix と一緒に使うことが
できるようです。

今井真人 さんからのコメント
( Sunday, February 08, 2004 23:57:19 )

このところメールサーバを監視していると、スパムも酷いけどMyDoomも
相変わらずです。1週間前より酷いんじゃないかな。治まる気配なし!

今井真人 さんからのコメント
( Thursday, February 12, 2004 23:00:02 )

LAN内で感染しているPCがあるかどうかはTCP 3127番にポートスキャンすることで判るかも。
ちょっと心配になったので、やってみようかと思います。

→  「TCP 3127番へのアクセスが急増,Mydoomのバックドアが狙い」

今井真人 さんからのコメント
( Friday, February 13, 2004 10:42:37 )

IPNetMonitorXでTCP 3127番のLAN内のポートスキャンしてみました。問題あり
ませんでした。ヤレヤレ!

今井真人 さんからのコメント
( Sunday, February 15, 2004 22:44:27 )

IPNetMonitorXの使い方のワンポイント!

・Port Scanではなく、Address Scanを使うこと
・Targetの設定は 例「192.168.1.1-255:3127」のように行うこと
・クライアントPCが起動されている時間帯を狙うこと

→  Sustainable Softworks - IPNetMonitorX | Overview