2004年8月の発見2004年8月の発見こんな形でこのコーナーが復活するというのは不本意なんですが,致し方ありません……。前回もこんな始まり方でしたが,今回もワームに関する報告をしたいと思います。今回は,いくつか記録を取っておいたので,少しは細かい話になりそうです。
8月20日13時46分から,突如大量のメールが届くようになりました。タイトルは「Re: Details」「Re: Wicked screensaver」「Re: Your application」「Re: Approved」など……。おいおい明らかにワームじゃないか。それにしても,異様に数が多いぞ。
結局この日は,19時01分までに182通のワーム付きメールが届きました。13時46分から19時01分まで,ほとんど間を明けず,2分に1通以上の割合で届いたことになります。
見かけ上,発信者はバラバラ。調べるとそれぞれの「From:」と「Return-Path:」は一致していますが,当然,偽装でしょう。感染者のハードディスクの中から探し出して,乱数表で送信元と発信先を組み合わせたに違いありません。前回のワームより手が込んでいるのは,送信元と発信先が同じアドレスにならないこと。今回は,自分から自分へなどと言うマヌケなメールはありませんでした。
ここまではメールをサーバに置いたまま確認しているので,まだ受信していません。
20日夜。メール受信前に,自分のPCが感染していないかチェックした上で,まずすべて受信して,182通が「WORM_SOBIG.F」だと確認しました(1通だけ「WORM_KLEZ.H」がありました)。そして,すべてのワームを削除しました。
このワームは,ローカルドライブ(ハードディスクなど)の中にある拡張子“.DBX”,“.HLP”,“.MHT”,“.WAB”,“.HTML”,“.HTM”,“.TXT”,“.EML”のファイルからメールアドレスを収集し,アトランダムに送信者と受信者に設定してワームをばら撒きます。
以前に訪れたウェブページはキャッシュとしてディスクに保存されているので,掲示板などに書き込んだメールアドレスがこのときに収集されてしまいます。(この文章は前回の流用)
それから,ワームの送ったメールが宛先不明のときや,先方のサーバのチェックに引っかかった時の通知メールも,私のところに来ました。これも,どうやら同じ感染者からのメールが,偽りの送信者である私のところに跳ね返っていたようです。
今回,掲示板に一方を載せなかったのは,偽装に使われているアドレスに私のなじみのものがなく,感染者は考古学関係者ではなく,送信時間帯からみて企業の人で,たまたま当サイトか何かを閲覧してハードディスク内に私のアドレスが残されてしまったのだろう,と考えたからでした。
とりあえず様子を見ることにしました。
8月21日。この日は10時ぴったりにワーム付きメールが届き始めました。そして,今度も19時03分までに,実に469件届きました。エラーメールもたいした量です。
ワームを削除して,抜け殻になったメールのヘッダを見ました。「From:」と「Return-Path:」は偽装されていますが,「Received:」のところには共通の記述があります。
> Received: from KXXXXXXXXHI (qqqq-aaaxbbbxccxddd.ap-US01.qqqq.rr.jp[aaa.bbb.cc.ddd])
もちろん,セキュリティ上の都合で一部(というより,かなり)改変していますが,ここで「[aaa.bbb.cc.ddd]」はIPアドレスです。すべてのメールにこの記述があると言うことは,[aaa.bbb.cc.ddd]が真の発信元(感染者)に違いありません。
調べると,やはり某社のIPアドレスでした。ウェブサイトを探し出して,問い合わせ用のアドレスに,次のようなメールを送りました。
From: "白井" <shr@ops%2edti%2ene%2ejp>
To: <info@xxx.co.jp>
Subject: SOBIG.F感染の疑いについて(問い合わせ)
> ご担当者様
>
> 白井と申します。
> 標記の件で問い合わせを致します。
>
> 私のもとに,WORM_SOBIG.Fを含む大量の電子メールが届きました。
> 8月20日13:46〜19:00に182件
> 8月21日10:00〜19:00に469件
> 私に届いた数の何倍ものワームがばら撒かれていることでしょう。
>
> いずれもFromやReturn-pathが改竄されたメールでしたが,共通に
> > Received: from KXXXXXXXXHI (qqqq-aaaxbbbxccxddd.ap-US01.qqqq.rr.jp[aaa.bbb.cc.ddd])
> という記述があり,IPアドレスを調べたところ,御社の名を見つけました。
> 1. 日を隔ててIPアドレスが一致すること
> 2. ワームの送信時間帯が出退勤時間を反映しているように見えること
> 3. その間,途切れることなく送信されていること(常時接続)
> からみても,企業のコンピュータから送信されたものと考えます。
>
> なにとぞご調査の上,もし感染していた場合には適切な対処をされるようお願い
> 申し上げます。
> また,あるいは御社が感染者でなかった場合,失礼をお許しください。
>
> 白井克也
> shr@ops%2edti%2ene%2ejp
> http://www.ops.dti.ne.jp/~shr/
>
8月22日,10時になってもワームが来ないので,やれやれと安心していたら,10時36分にまたもや大量に届き始めました。感染PCを使っている社員が遅く出社したのか,何かの事情かもしれません。しかし,しばらくして事情が変わってきました。11時過ぎから,メールの頻度は変わらぬものの,ワーム入りの添付ファイルがつかなくなったのです。何かの措置が講じられたのでしょう。
そして,12時36分を最後に,メールは来なくなりました。この日は133通。ワームが添付されていたのは26件でした。合計で,784通(ワームは677通に添付)です。
夕方になって,某社から返事が来ました。
From: "info" <info@xxx.co.jp>
To: "白井" <shr@ops%2edti%2ene%2ejp>
Subject: Re: SOBIG.F感染の疑いについて(問い合わせ)
> 白井様
> この度は大変申し訳ございませんでした。
> 弊社にてチェックしたところ、該当のウイルスに感染したPCがございました。
> 対策ソフトはインストールしていたものの、スキャンに不備があったようです。
> 該当PCのウイルスを駆除し、現在も他のPCを引き続きチェックしております。
> 今後は厳重にチェックし、このようなことのないように留意いたします。
> ご迷惑をおかけしまして、大変申し訳ございませんでした。
>
これはかなり驚き。ワームの通報でこんなに丁寧な返事が来たのは初めてでした。いずれにせよ,解決して何よりです。
改めて,届いた偽メールを調べると,偽装に使われたアドレスは71個で,1通だけから19通まで,量に違いがありました。エラーメールは102通来ていましたが,これ以外に,「メール受信しました」という自動応答メッセージも7件来ていました(ワームが来ても自動的に感謝するらしい)。単純に考えれば,私の名前に偽装されたメールも700通くらい送信されたはずで,そのうち600通くらいはワームが添付されたまま受信先(私あての偽送信元となってしまった人と一致)に行ってしまったのでしょう。やれやれ。
前回と同じまとめを,そのまま転載します。
今回の記事にもトレンドマイクロによる情報を活用させていただきました。