ホーム > security > ワーム Mydoom.A について

ワーム Mydoom.A について

2004/02/07 コメントを残す Go to comments

感染拡大中のコンピュータワーム Win32.Mydoom.A はメールアドレスのみならず、各種メールヘッダー情報も詐称し発信されています。
改竄されているヘッダー情報
Return-Path:
メールアドレス
など
別名:
Novarg (F-Secure)
W32.Novarg.A@mm (Symantec)
Win32.Mydoom.A (CA)
Win32/Shimg (CA)
WORM_MIMAIL.R (Trend)

ヘッダー情報詐称例(参照URLあり):
海上保安庁 ⇒ http://www.kaiho.mlit.go.jp/info/kouhou/h16/k20040129/index.html
長野県 ***@pref.nagano.jp ⇒ http://www.pref.nagano.jp/kikaku/jousei/happyou/oshirasevirus.htm
ヘッダー情報詐称例(From だけでなく各種情報の悪質な改竄):
ISP ⇒ ***@nifty.ne.jp
その他 ⇒ 国内企業ドメイン名
弊社 shinjocl @ pat.hi-ho.ne.jp も詐称されることがあります。
ネットワークアソシエイツ社 ウイルス駆除ソフト Stinger
http://www.nai.com/japan/security/virM.asp?v=W32/Mydoom@MM
McAfee AVERT Stinger Version 2.0.0 built on Jan 29 2004
Copyright (C) 2004 Networks Associates Technology, Inc. All Rights Reserved.
にて、最近では
Scan initiated on Wed Feb 11 10:35:27 2004
に弊社使用パソコン内がウイルスに感染していないことを確認済みです。

最下段のReceived情報がポイント
=== ヘッダー情報 ( email header ) ===
Received: from [1] pat.hi-ho.ne.jp ([2] 138.***.2*1.*02.ab.example.net [[3] 20*.2*1.***.138])
by [4] smtp3.noexistence.ne.jp with ESMTP id B7YYAE460
for ; Sat, 7 Feb 2004 10:55:52 +0900 (JST)
From: shinjocl @ pat.hi-ho.ne.jp
To: 送信先メールアドレス
Subject:
Date: Sat, 7 Feb 2004 11:23:18 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary=”—-=_NextPart_000_0013_F24YR47B.BCA92AC3″
Message-Id:

弊社メールアドレスの契約プロバイダーHi-HOのSMTP名[1] が詐称されて使用。
[2] ホスト名 ⇒ 固定グローバルIPであれば感染パソコン(ユーザ)のホスト名
[3] IPアドレス ⇒ 固定グローバルIPであれば感染パソコン(ユーザ)のIPアドレス
[4] SMTPサーバ名

[2] [3] は匿名プロキシサーバのことがありました。
匿名プロキシサーバや Open relayのSMTPサーバなどでは、ユーザーへの警告・通知などは困難を極めます。ただし、Return-Path: と [4] SMTPサーバーのドメイン名が一致すれば、詐称のないメール送信です。
SMTPサーバーが選択される仕組み⇒ http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_MYDOOM.A&VSect=T
【引用】 ワームメールの送信に使用するメールサーバの情報は送信先のドメイン名を元に取得します。ワームは送信先のドメイン名に以下の文字列を付加したサーバのポート25番に接続して実際にメールサーバが稼動しているかどうかを確認します。メールサーバが稼動していた場合にはそのサーバを利用してメール送信を行います。
mx. mail. smtp. mx1. mxs. mail1. relay. ns. gate.
例:送信先が user@domain.co.jp だった場合、gate.domain.co.jp、mail1.domain.co.jp、、など。
 上記の方法でメールサーバが見つからなかった場合にはローカルで設定されているメールサーバを利用してメール送信します。

送信元詐称例(ドメイン名などの一部をダミーに変更し表示しました):
Return-Path: <abc@example.co.jp>
Received:
from example.co.jp (61-**-1*8-***.home.ne.jp [61.**.1*8.***])
by sproxy11.hi-ho.ne.jp (hi-ho Mail Server)
with ESMTP id for
shinjocl @ pat.hi-ho.ne.jp (ORCPT rfc822;shinjocl @ pat.hi-ho.ne.jp);

広告
カテゴリー:security
  1. まだコメントはありません。
  1. No trackbacks yet.

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

Gravatar
WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

キャンセル

%s と連携中

%d人のブロガーが「いいね」をつけました。