ウイルスメールを開かせるためにウイルスが偽装する手口              CAD CAM > ウイルス対策 > 悪質なウイルスメール

ウイルス対策 感染予防と緊急対処

ウイルス対策
MENU

ウイルス対策 HOME

感染防止の基本

メールからの感染防止

メール発信の工夫

ブラウザからの感染防止

感染した場合の緊急対処

仲間が感染した場合

苦情の出し方
差出人の割出し方

主なウイルス情報

悪質なウイルスメール

TOPページに戻る


ソースネクストインターネットセキュリティー マカフィー・ストアマカフィー シマンテックストア

ウイルス対策ソフト
人気順総覧

悪質なウイルスメール

ウイルスの悪質な偽装手口

ウイルス感染の警告→偽駆除ソフト送付(ウイルス本体)

  • 先ずどこかのメールサーバーを騙ったり、別の人のメールアドレスを騙って「MDaemon Warning - Virus Found」とか「ウィルスが届きました」と言うような意味のワーニングメールが届きます。
  • 次に時間を置いてから「W32.Klez removal tools」と言うようなウィルス駆除ソフトを騙った添付ファイル付きのメールが届きます。このメールの本文には「この駆除ソフトでウィルスを駆除しなさい」と言う意味が書かれていますが、この添付ファイルこそがウィルスの本体ですので、うっかり作動させるとウィルスに感染してしまいます。

「メールが届かない」の通知でウイルス送付

「Mail Delivery Subsystem <MAILER-DAEMON>」を騙って、メールが届かなかったように装ったメールが届きます。

本物の「Mail Delivery Subsystem」なら「送付したけど届かなかったメール」が添付されているのですが、この場合はウィルスが添付されていますので、うっかり開くと感染します。

 どちらも、なかなか手の込んだ事をしていますが、出した覚えの無いメールに対する返信メールは開かない事です。

どうしても不安ならば、プロパイダに「自分のアドレスでメールが出されたかどうか」を問い合わせてみると良いでしょう。

プロパイダを装ってウイルス送付

こういうのが来ました。

タイトルは「Notice of account limitation」

Dear Yamato Member,
Your e-mail account was used to send a huge amount of unsolicited spam messages during the recent week. If you could please take 5-10 minutes out of your online experience and confirm the attached document so you will not run into any future problems with the online service.
If you choose to ignore our request, you leave us no choice but to cancel your membership.
Virtually yours,
The Yamato Support Team
+++ Attachment: No Virus found
+++ Yamato Antivirus - www.yamato.plala.or.jp


翻訳すると  (注 讃岐弁)

あんたのメールアカウントから迷惑メールがよおけ発信されよったで。
証拠は添えとるファイルに入れといたるから、ちょっとだけ時間取って見てみ。
このまんま ほっといたらあんたの権利は停止するけんの。
ぷららサポートチームより
+++ このメールにゃウィルスなんぞ居らんけんの
+++ ヤマトアンチウィルス

「www.yamato.plala.or.jp」って・・・そんな物は無い!
でも、知識が十分でなければ簡単に引っ掛かる内容です。

ヘッダーは

Return-Path: <support@yamato.plala.or.jp>
Received: from yamato.plala.or.jp ([220.254.6.220]) by mps15.plala.or.jp
     with ESMTP
     id <20050623000704.FCBJ1147.mps15.plala.or.jp@yamato.plala.or.jp>
     for <amaterus@yamato.plala.or.jp>;
     Thu, 23 Jun 2005 09:07:04 +0900
From: support@yamato.plala.or.jp
To: amaterus@yamato.plala.or.jp
Subject: Notice of account limitation
Date: Thu, 23 Jun 2005 09:07:03 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0002_9A693F00.2E7A4B7A"
X-Priority: 3
X-MSMail-Priority: Normal
Message-Id: <20050623000704.FCBJ1147.mps15.plala.or.jp@yamato.plala.or.jp>
X-NAS-Language: English
X-NAS-Bayes: #0: 0.0766477; #1: 0.923352
X-NAS-Classification: 0
X-NAS-MessageID: 8944
X-NAS-Validation: {BB2EF53C-60F6-47CF-8A43-56D8EC18528D}

 IPの「220.254.6.220」は偽装でした。

 自鯖を立てているのかもしれませんが、逆探知は出来ませんでした。

プロパイダを装ってウイルス送付 その2

 これで終わらず非常に良く似たものがもう一通!

Dear user amaterus,
It has come to our attention that your Yamato User Profile ( x ) records are out of date. For further details see the attached document.
Thank you for using Yamato!
The Yamato Support Team
+++ Attachment: No Virus (Clean)
+++ Yamato Antivirus - www.yamato.plala.or.jp

翻訳すると  (讃岐弁)

おめぇの個人情報が古うなっとるゆう警告が出とるぞ。
データは添えとるけん、ちょっと見とってくれ。
うちらをつこぉてくれてありがとで
ヤマトサポートチームより
+++ このメールにゃウィルスなんぞ居らんけんの
+++ ヤマトアンチウィルス

 これも引っ掛かる人が居るだろうなぁ・・

 皆さん、気をつけましょうね。
ウイルス対策 著作権表示