このエントリーをはてなブックマークに追加

NETSKY・ネットスカイとは - ウイルスメール [ヘッダ情報サンプル,送信者,添付ファイル]

更新:

ウイルスメールとして有名なNETSKYのサンプルと対処方法。

NETSKYとは - ネットスカイの特徴

  1. NETSKYとはウイルスメールの一種です。
    トレンドマイクロの WORM_NETSKY.Q に解説があります。
    NETSKYには、亜種がたくさんあり、 http://www.trendmicro.co.jp/vinfo/ に情報が記載されています。
  2. 亜種とは、基本となるスタイルが同じで、見た目などが多少異なる種類のものです。
    NETSKYは、英文の内容や、送信者のアドレス、添付ファイル名などはメールごとに毎回異なりますが、 基本的に同じような特徴があります。
  3. NETSKYの特徴は、以下の通りです。
    1. メールの本文やタイトルが英語で書かれている。
    2. メールに添付ファイルがある。
  4. NETSKYの1つに、メール本文にURLが書かれているものがあります。
    URLが自分のメールメールボックスのようなアドレスになっています。
    URLをクリックするとそのURLにジャンプせず、添付ファイルが実行されることがあるので、クリックしないで下さい。
  5. メールソフトに脆弱性(セキュリティホール)があると、添付ファイルを開いたり、 リンクをクリックするとウイルスに感染します。
    プレビューするだけでも感染する場合があります。
  6. ウイルスに感染すると、今度は自分がウイルス送信者になって、知らずにウイルスメールを送信し続けます。

感染者の特定方法

  1. NETSKYが送られてきた場合、NETSKYに感染した人から送信されている場合が、ほとんどだと思います。
    感染者自身は気づいていません。
  2. NETSKYの感染者が所持しているメールアドレスが、NETSKYの送信者のアドレスとして使われる場合があります。
    感染者がインターネットをしているときにウイルスが自動的にウェブページからメールアドレスを拾い、 あなたのメールアドレスがNETSKYの送信者(From)または送信先(To)のアドレスとして使わる可能性もあります。
    ホームページでメールアドレスを公開している場合は、メールアドレスを拾われやすいので注意が必要です。
  3. 個人のアドレスだけでなく、シマンテックなどのセキュリティ関連会社や大手企業のアドレスも使われます。
    メールアドレスが偽装されているので、それらのアドレスを安易に信用すると危険です。
  4. 感染者Aが、まったく知らない第3者BのアドレスをFromに使い、Cへメールを送信した場合、 Cのアドレスが無効または受信拒否になっていると、 Bにエラーメールが返って来ます。
    エラーメールとは、存在しないメールアドレスや、相手のメールアドレスが使われなくなった場合、 サーバが自動的にメールが不達だったことを知らせてくれるメールのことです。
  5. NETSKYのメールのヘッダ情報を見ると、FromとToには関係ないIPアドレスが書かれている場合があります。
    メールヘッダについては、メールのヘッダ情報とはを参照。
    下記の「サンプル1」の例だと
    Received: from mue.biglobe.ne.jp (YahooBB219208064140.bbtec.net [219.208.64.140])
    
    という部分です。
    この時間にヤフーBBに接続してIPアドレスが219.208.64.140の人のパソコンがウイルスに感染していると推測できます。
    この場合は、感染者のプロバイダがヤフーBBだと分かるので、ヤフーBBに連絡して対応してもらいます。
    プロバイダへの連絡方法は、 迷惑メールの連絡方法 を参照。
  6. メールヘッダのReceivedには、送信元や経由したサーバのIPアドレスが記録されます。
    送信者を偽装しても、必ず送り主が分かります。
  7. ウイルスメールの対処方法は、ウイルスメール対策、対処方法を参照。

ウイルスメール:NETSKYサンプル1

  1. 受信日:2005.04.09
  2. メールのヘッダ情報:
    Return-Path: <vb@emuhq.com>
    Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
    	id WAA13542; Sat, 09 Apr 2005 22:38:49 +0900 (JST)
    Received: from mue.biglobe.ne.jp (YahooBB219208064140.bbtec.net [219.208.64.140])
    	by rcpt-impgw.biglobe.ne.jp (mssh/4810061004) with ESMTP id j39DclgH013529
    	for <自分のアドレス@mue.biglobe.ne.jp>; Sat, 9 Apr 2005 22:38:48 +0900 (JST)
    Message-Id: <200504091338.j39DclgH013529@rcpt-impgw.biglobe.ne.jp>
    From: vb@emuhq.com
    To: 自分のアドレス@mue.biglobe.ne.jp
    Subject: Mail Delivery (failure 自分のアドレス@mue.biglobe.ne.jp)
    Date: Sat, 9 Apr 2005 22:38:47 +0900
    MIME-Version: 1.0
    Content-Type: multipart/related;
    	type="multipart/alternative";
    (以下略)
    
  3. 件名:Mail Delivery (failure 自分のアドレス@mue.biglobe.ne.jp)
  4. 添付ファイル:message.scr
  5. メール本文:
    If the message will not displayed automatically,
    follow the link to read the delivered message.
    
    Received message is available at:
    www.mue.biglobe.ne.jp/inbox/自分のアドレス/read.php?sessionid-11379
    

ウイルスメール:NETSKYサンプル2

  1. 件名:Re: Submit a Virus Sample
  2. 添付ファイル:signature.pif
  3. メール本文:
    The sample file you sent contains a new virus version of buppa.k.
    Please update your virus scanner with the attached dat file.
    
    Best Regards,
     Keria Reynolds
    
    +++ Attachment: No Virus found
    +++ Bitdefender AntiVirus - www.bitdefender.com
    

ウイルスメール:NETSKYサンプル3

  1. 件名:Spamed?
  2. 添付ファイル:websitelist01.zip
  3. メール本文:
    I have visited this website and I found you in the spammer list. Is that true?
    
    ++++ Attachment: No Virus found
    ++++ Norton AntiVirus - www.symantec.de
    

ウイルスメール:NETSKYサンプル4

  1. 件名:Re: hi
  2. 添付ファイル:details.zip
  3. メール本文:
    Please see the attached file for details.
    

ウイルスメール:NETSKYサンプル5

  1. 件名:Notice again
  2. 添付ファイル:abuses.doc
  3. メール本文:
    You have downloaded these illegal cracks?.
    

ウイルスメール:NETSKYサンプル6

  1. 件名:Re: Extended Mail System
  2. 添付ファイル:readme.zip
  3. メール本文:
    Your requested mail has been attached.
    

ウイルスメール:NETSKYサンプル7

  1. 件名:Hello
  2. 添付ファイル:game.zip
  3. メール本文:
    I hope the patch works.
    

このエントリーをはてなブックマークに追加