5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

Klez.E、Klez系スレッド part3

1 :1:02/06/17 04:28
メール題名
   A excite game
   Hello,please try again など様々
感染契機
   OEでメールプレビュー(IE脆弱性)
   感染添付ファイルを実行
対策
   [1]IE5.xはIE6にアップグレード<Netscape利用者でも必須>
   [2]OEは「プレビューウィンドウを表示する」をOFF<OE利用者は必須>
       http://www.zdnet.co.jp/help/tips/windows/w0425.html
   [3]ウイルス対策ソフトの導入<必ずIE6を導入してから>
   [4]Windows Updateで「重要な更新」などをインストール<全ユーザ必須>
       http://windowsupdate.microsoft.com/
   [5]怪しい添付ファイルを実行しない
送信先メールアドレス
   Windowsアドレス帳、ローカルファイル(HTMLやテキストファイル) など
感染活動
   奇数月6日に、拡張子がtxt,html,doc,xlsなどのファイルを破壊
     01/06と07/06には全てのファイルを破壊か
犯人情報
   >>2の通り
   Fromヘッダなどが勝手なメールアドレスに書き換わる
文献
   http://www.ipa.go.jp/security/topics/newvirus/klez.html
過去ログ
   http://pc.2ch.net/test/read.cgi/sec/1018248786/ part1
   http://pc.2ch.net/test/read.cgi/sec/1021137509/ part2


769 :名無しさん@お腹いっぱい。:02/07/27 22:30
Return-Path: <***@be.to>
Received: from Mlr (****.tky.mesh.ad.jp [XXX.XXX.XXX.XXX])by mail1.be.to (8.9.3+3.2W/BETO.2.1-02010803) ....
From: ??? <????@????.dti.ne.jp>
To: ***@***.dti.ne.jp
Subject: Returned mail--"noresize src"

Return-Path: <????@????.co.jp>
Received: from Ywhzk (***.tky.mesh.ad.jp [XXX.XXX.XXX.XXX])by moon.birthday.co.jp (8.11.1/8.9.3) ..
From: <?????@geocities.com>
To: ***@***.dti.ne.jp
Subject: Hello,introduction on ADSL

Return-Path: <???@?????.com>
Received: from Cwlzjm (***.tky.mesh.ad.jp [XXX.XXX.XXX.XXX])by sharp01.bekkoame.ne.jp (8.9.3+Sun/3.7W-FLAT) ...
From: ??? <?????@???.????.kawasaki.jp>
To: ***@***.dti.ne.jp
Subject: Your password

envelope-fromが毎回違うし、送信サーバも毎回違う。
****.tky.mesh.ad.jp は、eAccessのADSLなのか毎回、同一。
どうなってるんだろ。。。

770 :名無しさん@お腹いっぱい。:02/07/27 23:11
>>769
tky.mesh.ad.jpのあとのIPキボン

771 :第三者中継:02/07/28 00:28
>>769
moon.birthday.co.jp
問題あり:不正な中継を受け付けます。
(210.225.110.4)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。

mail1.be.to
問題あり:不正な中継を受け付けます。
(202.222.162.242)
ORDB database...登録されていません。
maps realtime blackhole list...登録されていません。

772 :771の続き:02/07/28 09:28
mail1.be.to (202.222.162.242)

http://www.ordb.org/lookup/?host=202.222.162.242
このホストは ORDB.org に不正中継ホストとして登録されています。
データベースの検索結果: 202.222.162.242 (202.222.162.242)
Look up this host in non-ORDB RBL's (May take a while to load)
ORDB.org への初回登録日時: 2002-07-27 19:44 GMT
初回送信ホスト: 208.37.238.178
最終検査日時: 2002-07-27 19:44 GMT
不正中継が確認されたメールのヘッダ情報:
Return-Path:
Delivered-To: marvin@bockscar.ordb.org
Received: from mailgw1.be.to (mailgw1.be.to [202.222.162.245])
by BocksCar.ORDB.org (Postfix) with ESMTP id 17DEA57F6
for ; Sat, 27 Jul 2002 19:44:53 +0000 (GMT)
Received: from mail1.be.to (mail1.be.to [202.222.162.242])
by mailgw1.be.to (8.11.0+3.3W/8.11.0/BETO3.11-20000907025324) with ESMTP id g6RJiox16240
for ; Sun, 28 Jul 2002 04:44:50 +0900
(envelope-from spamtest@mail1.be.to )
Received: from localhost.localdomain (ordb01.fnidder.dk [62.79.90.71])
by mail1.be.to (8.9.3+3.2W/BETO.2.1-02010803) with ESMTP id EAA03998
for ; Sun, 28 Jul 2002 04:44:49 +0900
Date: Sun, 28 Jul 2002 04:44:49 +0900
Message-Id:< 200207271944.EAA03998@mail1.be.to >
From: spamtest@mail1.be.to
To: marvin@marvin.ordb.org@mail1.be.to
X-ORDB-Envelope-From: spamtest@mail1.be.to
X-ORDB-Envelope-To: marvin@marvin.ordb.org@[202.222.162.242]
Subject: ORDB.org check (0.3007979080083560.8652968033) ip=202.222.162.242

773 :769:02/07/28 10:31
>>769 218.227.112.61
上の2つは 不正中継受け付けてるんですね。。
Klezには持ってこいってことですか。。。



329 KB
★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)