Subjectに「うんこ」や「極秘」などがつくワーム 40
ストーリー by Oliver
ベンダ間で名称統一してくれ 部門より
ベンダ間で名称統一してくれ 部門より
mabu 曰く、 "INTERNET Watchの記事によるとメールのsubjectに「重要」、「こんにちは」、「極秘」、「うんこ」など数十種類の日本語の件名が表示されるウィルス「FBound」が広がっているようだ。急速に広がりそうなので、みなさますぐに対応を。
例によってネットワークアソシエイツはExtra.datが必要なので注意しましょう。"
McAfee (スコア:2, 参考になる)
既にNetwork Associatesからも正式に対応した定義ファイル4.0.4191がリリースされています。
- Lupinoid -
Re:McAfee (スコア:1)
それだけ拡大が早いってことでしょうか。
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。
Re:McAfee (スコア:1)
日本語 (スコア:2, すばらしい洞察)
Re:日本語 (スコア:1)
そのうち、日本狙い撃ちのサイバーテロの一環でウイルスばらまく際に
日本語のメッセージなりを折り込むばかりか、「萌え萌え.jpg」とかの
いかにもオタク心揺さぶるファイル名まで使いかねんな…
/* Kachou Utumi
I'm Not Rich... */
うんこは禁止? (スコア:2, おもしろおかしい)
「以下の文字列`等'から選択」だから間違ってはいないけど…。
Re:うんこは禁止? (スコア:1)
件名に"○×△"(適当に好きな放送禁止用語をいれてください)
のみを使うワームが出てきたらどうするんだろう。
Re:うんこは禁止? (スコア:1)
こちら [zdnet.co.jp]だと「思わせぶりな日本語」の例にもなってるのに...
「うんこ」はありえない (スコア:1, 参考になる)
私はこのウイルスを解析しました。このウイルスは17件の日本語の単語を含んでいます。しかし私の解析では乱数を作るときに0から15までの16種類の乱数を作ります。そのため、17番目の「うんこ」がメールの件名になることはありません。
アンチウイルスベンダーの情報でも16と書いてあるところと17と書いてあるところがあります。 しかし「うんこというサブジェクトにつられて、ついつい開いてしまった」 [srad.jp]と言っていう人もいるので、私ももう1度、乱数の生成のルーチンを中心に解析をしてみたいと思います。
Re:「うんこ」はありえない (スコア:1)
どうしても「うんこ」を件名にしたい人が改造したとか。
-----
Team Slashdot Japan [tripod.co.jp]に参加しよう。
Re:「うんこ」はありえない (スコア:0)
700バイト程度しかなかったので、バイナリエディタでダンプしても文字列なんてほとんどない(2つくら
復元後のファイルが変だとすれば (スコア:1)
(↓こんな感じ)
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA~~~~AAAAAAAAAA!
AA!
AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA~~~~AAAAAAAAAA!
AA!
ので,デコードツールによっては最初の1行分しかデコードされず,不完全な(サイズの小さい)復元ファイルしか得られない可能性があります(正常に実行されないのでむしろ幸せかもしれませんが)。
実は私の使用しているMUAでもこの様な結果となったため,受信後のメールを書き換えて70バイト程度で改行した("!"も除去した)ものを作り,patch.exeを復元しました。
- Lupinoid -
本当にW32/Fbound.B? (スコア:0)
このウイルスは12288バイトです。本当にW32/Fbound.Bですか?アンチウイルス製品はそのファイルに対し
Re:本当にW32/Fbound.B? (スコア:0)
ウイルスバスターはその時点では
【確定】「うんこ」はありえない (スコア:0)
#71808です。再度解析しましたがメールの件名が「うんこ」になることはありません。また3月15日19時現在、亜種も存在しないことを確認しました。アンチウイルスベンダーの情報でメールの件名の候補に「うんこ」が含まれていても、それはアンチウイルスベンダーの情報が間違っています。
Subjectに「うんこ」や「便秘」などがつくワーム (スコア:2, おもしろおかしい)
……オフトピックですね。ごめんなさい。
# でもほんとにそう見えちゃったんだい (;_;)
今日のお昼から (スコア:1, おもしろおかしい)
社内に蔓延してます。ちかくに感染しちゃった人がいるのですが、 彼曰く[うんこというサブジェクトにつられて、ついつい開いてしまった]とか。
なんでそんなサブジェクトのメイルみるんだよ、って周りから さんざん突っ込まれてましたが、きっとわたしも開いていたに 違いない...
Re:今日のお昼から (スコア:3, おもしろおかしい)
もちろん開きました…画面に次々と小さなう○こが…排泄時の音付きで…増えていく…やめてくれ…。
「例え信頼できる友人でも、不審な添付ファイルは開いてはいけない」と、痛切に思い知らされた一件でした…。
Re:今日のお昼から (スコア:1)
これのせいでしょうか?
Re:今日のお昼から (スコア:0)
一時ごろから夕方までメールサーバを全部止めました。
どうやら外に出てったようで。。。
ちなみにSubjectは"Important"でした
McAfee VirusScanは定義ファイルで対応 (スコア:1)
たまたま木曜に拡がったから対応が早かった?<毎週金曜更新なので。
Re:McAfee VirusScanは定義ファイルで対応 (スコア:1)
えっ、毎週木曜日更新では?
今回も木曜日にVer.4190が出て金曜日にVer.4191が出たのですが。
と、思ったら、日本語版は金曜日なんですか?英語版は木曜日にVer.4190が出たんですけど。
って事は、日本語版Ver.4190は?
うちにも来たね (スコア:1)
その人がどういう人だったか、全然覚えてなくて、難儀しました。
別のところでは、ウィルスでばらまかれてしまい「お詫びメール」を沢山出したところ思い出してもらい、新しい仕事につながった、というラッキーな方もいらしたようですが。
「ウィルスは悪い」んだけど「その効果」は、けっこう良い面もあったりする。でも、それって「戦争は悪いが科学技術が戦争で発展したんだよね」というのと同じだね。本質的には望ましいことではないです。
Re:極秘 (スコア:0)
定義ファイルが更新される前に届いたじゃねぇか。
PHP-USERS MLでも (スコア:1)
subj:「重要」で3.14昼くらいには ばら撒かれましたでした。
識者たちがすぐ指摘して収拾したので、ML自体は平常心でしたが。
# 「うんこ」のタイトルだったら
# また違う盛り上がりがあったの鴨
遅い?! (スコア:0)
TrendMicroも昨日の時点では2つ先のパターンファイルで対応予定、になってたし。
Symantecだけが遅いわけじゃないような。
ところで (スコア:0)
Re:ところで (スコア:1)
Re:ところで (スコア:1, 参考になる)
「ウンコ」のうち1バイトが欠落した結果です。バイナリエディタなどで「ウンコ」を見てみましょう。
#71811さんの書き込みを見て…(オフトピ) (スコア:1, おもしろおかしい)
日本全国で発生するかと考えるとシュール
Re:ところで (スコア:0)
ちょっと待ってくれ! (スコア:0)
サブジェクトが変わっているだけだぞ!
っていうかいまさら「添付ファイルを実行すると」っておい…
そこのお前!実行は勘弁してください。
…(落ち着いた)…
最初に感染したやつが馬鹿なのは疑いないが、
二次感染以降は仕方ないのだろうか。
隣の席から飛んできたらとりあえず本人に確認するだろうが、
隣のオフィスとなると、、、まず開く、、、かも。
ソフトの脆弱性がらみなら、セキュリティパッチで何とかなるが、
やはり、人間の隙をつく攻撃が一番痛いと言うことだろう。
#しかし、上司とか、憧れの人からう○ことか来たら、
#正直なところかなり引くぞ。
Re:ちょっと待ってくれ! (スコア:1)
subject:importantのメールを開く人が続出して一気に広がった模様です。
そりゃ私も開くだろうな…
exeの実行は取りあえず思いとどまったろうけど
脳みそ腐ってるタイミングだったらそれもやっちゃうかもしれない。
〜後悔先に立たず・後悔役に立たず・後悔後を絶たず〜
Re:ちょっと待ってくれ! (スコア:1)
まあ、実際に部長本人が流したんだが。社外にも出たんだろーな。
すっごく有名なIT関連の大企業。これ以上評判を落とされるとうちも困る。何とかしてくれ。
パターン更新おっかけより、ユーザ意識向上で対処した (スコア:1)
所詮は亜種と新パターンのいたちごっこが続くわけで、
パターン更新と検出状況に一喜一憂してもしょうがないと思っています。
#技術的興味自体はありますが。
添付ファイルの注意及び、適切なサブジェクトを付ける習慣(文化) があれば、この程度の罠にひっかかることはないはず。 全体のユーザレベルを考えるとそれは困難だから、 IS部門がパターン更新の仕組みで乗り切ろうとするのは 当然だが、それで良いのかと疑問に思う今日この頃です。
担当部内の啓蒙には手間掛けてきたつもりなのに、 部内若手エンジニアが素直に実行してくれてがっかりです。 部内に下記連絡していますが、どれだけ役に立つのだろうかと思うと頭痛く、良い方法あれば教えていただけるとありがたい。
>・不審なメールは発信者に確認してから開くこと。
>・パターン更新は所詮間に合わない場合があること、
>・対策には亜種の対応(パターンアップデート)が欠かせないこと
>など、一般論ですが十分留意してください。
メールの添付ファイルの取り扱い 5つの心得
http://www.ipa.go.jp/security/antivirus/attach5.html
も勿論連絡済みです。
日本語subject対応によりこれだけの好評を博した以上、 直前の同報メール内容を同報者に >replyし、前回の自分の挨拶と議事録.exe などの的確な添付ファイル付けるくらいの情報処理は行ってくれないと、次を実行した人に同情する気にはなりません。
# 要求仕様を書いているわけでは無く、注意しておいても、この程度の判断ができないユーザは逝ってヨシということ。迷惑の一言。
…開くかも知れず (スコア:0)
Re:…開くかも知れず (スコア:0)
#実際に亜種でありそうだけど
Re:…開くかも知れず (スコア:1)
ありそうなだけでなく、『「まん*」という添付ファイルに注意』という情報を流すのにためらいがでて、正しい情報が伝わらず被害が拡大しそうな気がする。
Re:…開くかも知れず (スコア:0)
(おふとぴ)まるで…。 (スコア:0)
ち(略)こ!とかま(略)こ!でるようなもぅ最高(藁
---
男なら辻希美