URLに見せかけたウイルス、W32/Myparty@MM 31
ストーリー by wakatono
不審なメールやファイルにはご注意を 部門より
不審なメールやファイルにはご注意を 部門より
k3c 曰く、 "W32/Myparty@MMというウイルスが流行しているそうです。よくあるメール添付ファイル型のウイルスなのですが、本文に「写真つきのWebページを添付しました」とかかれている上に添付ファイル名がwww.myparty.yahoo.comなので、ついついURLファイルと間違えてクリックしてしまうヒトが続出。
いや、もちろん、こんなものクリックするヒトもかなり…なのですが、しかし考えましたね。座布団一枚くらいは進呈したいところです。"
不審なメールにはご注意を。ウィルススキャナのパターンファイルも更新を忘れずに。
うちはー (スコア:3, 興味深い)
Outlook2002の人はクリックできないので難を逃れました・・・
Re:うちはー (スコア:2, すばらしい洞察)
新ワーム『MyParty』登場、またしても Outlook が標的に [internet.com]って記事はなかなか情けない。何も考えてない記者がMS叩きの記事を書けば見る人増えるかなと思って適当に書いたんでしょうか? (少なくとも今回に限れば)Outlookは特に関係ないもん…。
# なおうちはウィルススキャナのパターン更新が間に合ったみたい。
-- Takehiro TOMINAGA // may the source be with you!
Re:うちはー (スコア:0)
>たね。最近の Outlook はどんな設定をしても、添付ファイルの
>EXEとかCOMは実行できないそうで。この話が出たとき、最初は不
>便だ何だといわれたけど、正解だったみたいですね。
そうですよね。うちもそのおかげで助かりま
「添付ファイル」ってどこまでを言うんだろ? (スコア:2, すばらしい洞察)
トレンドマイクロのウイルス情報 [trendmicro.co.jp]によるとアドレス帳とOutlookExpressのデータベースからアドレスを得るみたいなので、後者経由なのかな?
んで、件のメールの形式は本文の直後にboundaryなしでuuencodeされたファイル(これのファイル名がwww.myparty.yahoo.com)がついているものだったんですが、最近はboundaryなしのものも添付ファイルというんですね。ためになるなぁ…。
Re:「添付ファイル」ってどこまでを言うんだろ? (スコア:1)
Outlook が本文に埋め込まれた uuencode データを 添付ファイル扱いするのは, 昔からのことだったと思います。 その副作用で,"end" だけの行があるメッセージを読むと 発狂するとか,妙な動作をする癖があって, 嫌われていたものですけど。
あと,何をどう設定するとそうなるか知らないけれど, 添付ファイルを全て本文埋め込みの uuencode 形式で送ってくる 人がいて,参ったことがあります。
Re:「添付ファイル」ってどこまでを言うんだろ? (スコア:1)
Re:「添付ファイル」ってどこまでを言うんだろ? (スコア:0)
>>アドレスを得るみたい
感染者からお詫びメールが来てたんだけど、
hoge.wl@domain
とか
hoge.fsf@domain
みたいな、Message-IDなところにも
メール出してるようです。
間に合わなかった (スコア:1, 興味深い)
パターンファイルの更新が間に合わなかったの、初めて。
Re:間に合わなかった (スコア:4, すばらしい洞察)
Re:間に合わなかった (スコア:2, すばらしい洞察)
Nimdaの時にはパターンファイルが出回る前に感染者続出。
http://www.msn.co.jpが感染していたせいで対策に翻弄されました。
同じ日にパターンファイルが数回も更新されるし、結局対策済みのパターンファイルは次の日になってようやく広まった(はず)。
こんなんだからマイクロソフト嫌いになっても無理はないでしょう。
Re:間に合わなかった (スコア:2, フレームのもと)
「すみません、Outlookを使っていたおかげでウィルスに感染してしまいました。」というメッセージ付き。
--rena
Re:間に合わなかった (スコア:1)
サーバーは、ちゃんと.idqなんかのアプリケーションマッピングを消していたし。
Re:間に合わなかった (スコア:1)
受け取った人がいたんで相談されて削除させて、二時間くらい経ってからようやく trendmicro で情報見つけた時、情報掲載から 70 分って書いてあったし。当然対策済みデータはまだ。
# nai は対応ちょっと遅かったの
すげえペースだったなあ.... や、まだ来るんだけど(;_;
Re:間に合わなかった (スコア:0)
けど、AntiVirus はその前に auto update で更新してパターンとって来てたので、警告がちゃんと出ました。
あとから、ニュース見てはやってる事を知った次第。
今回はちょっとメーカーを見直しちゃたよ。:-)
JavaHouseで (スコア:1)
ところで、JavaHouseって添付OKでしたっけ?
Re:JavaHouseで (スコア:2, 参考になる)
Re:JavaHouseで (スコア:1)
Re:JavaHouseで (スコア:1)
# Norton 君が捕まえられない、という未確認情報もあり
ウィルスメールを以下抜粋。
> Subject: new photos from my party!
>
> Hello!
>
> My party... It was absolutely amazing!
> I have attached my web page with new photos!
> f you can please make color prints of my photos. > > > Thanks!
>
> begin 666 www.myparty.yahoo.com
> M35J0``,````$````__\``+@`````````0
みんつ
.comの実行ファイル (スコア:1)
そろそろないことにしちゃっても(ないことにできるようにしてしまっても)いい時期なのかもしれません。
なくしちゃうと困りましたっけ? Windowsの深いところで使用してたりします?
Re:.comの実行ファイル (スコア:2, 参考になる)
Windows 9xは最初に起動するコマンドはwin.comだったような.
それ(Windows 9x)すら捨ててもよいという話もありますが.
えりゅふ
よくきたblog [blog.poyo.jp]
Re:.comの実行ファイル (スコア:1)
#58292 [srad.jp], #58298 [srad.jp]であげられているcommand.comも忘れていました(爆)。最近、cmd.exeしか使ってないもので(言い訳)。
Re:.comの実行ファイル (スコア:2, 参考になる)
無条件に使ってるようです。
Re:.comの実行ファイル (スコア:1)
Re:.comの実行ファイル (スコア:2, 参考になる)
MS-DOS (あえて Windows って言ってあげない) って 拡張子が .com でも .exe でも関係ありませんから :-)
# 先頭の 2byte が全て...
Re:.comの実行ファイル (スコア:2, 参考になる)
先頭がMZでも、何バイトか忘れちゃったけど、一定サイズ以下のモノは.comとして実行されます。
Re:.comの実行ファイル (スコア:2, 参考になる)
をを、本当だ ^^;;; debug で
dec bp
pop dx
push dx
int 20
として作った 5byte のファイルを foo.com や bar.exe を再度 debug 上に load すると、どちらも cs=ds=es=ss, ip=0100h で始まります。(これだけで .com file として実行していると言い切って大丈夫?<俺)
どうやら先頭の 2byte だけ で動作が変わるというのはデマのようです。すいません ^^;;;
# 関係ないけど int 20h って WinXP でもまだ使えたのか...
Re:.comの実行ファイル (スコア:0)
Re:.comの実行ファイル (スコア:0)
Re:.comの実行ファイル (スコア:1)
gen+nob+ash
うちも来たが (スコア:1, おもしろおかしい)
なぜかというと、英語がわからなかったから。
ちゃんちゃん。
(これでネット企業だぜ)
Re:うちも来たが (スコア:1)