■■感染したら、ウィルスメールを送られたら■■



■感染するとどうなるか

ニムダに感染した知人の貴重な体験によると、
・パソコンの処理速度が遅くなる
・メッセを立ち上げても、すぐ落ちたり、窓がグレーで表示される

などの、症状が出るようです。

ただし、ニムダは、Windows内のプログラムを次々と書き換えるようですので、
どのプログラムが書き換えられたかによって、症状は異なるようです。

また、ワクチンで退治している間に、いたちごっこで感染ファイルが増える可能性もあり
その場合は、最悪、再インストールしかないようです。


なお、この方の経験では、昨日夜、家族の人が、MSNを訪問していたので、
そこで感染した可能性もあると話しています。
(現在は修復したので、MSNも感染のおそれはないようです)

もっとも、ニムダのように「感染がわかりやすい」ものだけではありません。


■ホームページ主催者や、ウィルスメールを受信した人にお願い

一番安全なのは、怪しいメールは見ないで捨てることです。
しかし、有る程度技術力のある方には、ぜひ、お願いしたいのです。

汚染したメールの発信者は、自分が汚染されていることに気が付
いてないケースがほとんどです。
だれかが、「汚染されていることを指摘」しない限り、
その人はウィルスをばらまき続けます。


そこで、「発信者に対して、ウィルスメールが発信されたこと」を
警告してあげてほしいのです。

そうすることで、「汚染されている被害者がこれ以上加害を続ける
ことを防」ぎ、「被害者を増やさない」ことにつながるからです。

注:最近のウィルスには「発信者を偽装」する場合があります。
  必ずしも「発信者」=「ウィルスに感染した人」ではありません。



■警告の仕方

通常メールにには「ヘッダー」という、「送受信のためのデータ」
が先頭に着いています。

メーラーの通常の設定では、この、ヘッダー部分を表示しないか、
あるいは、ごく一部だけを表示するようになっています。
しかし、必ず「ヘッダを全て表示」するという設定ができるはずです。

この設定を「オン」にすると、メールは以下のように表示されるはずです。

   あくまで、一例で、ワームの種類によって、項目が違う場合があります。


Return-Path: <yyyyyyyyyyyyyyyyyyy>
Delivered-To: toys-co-jp-half@toys.co.jp
Received: (qmail 18220 invoked from network); 7 Sep 2001 09:38:08 -0000
Received: from XXXXXX.XXX.ne.jp (XXX.XXX.XXX.XX)
  by XXX.XX.XXX.XXX with SMTP; 7 Sep 2001 09:38:08 -0000
Received: from computer (XXXXXXXXXXXXXXXX.XXXXXX.XXX.ne.jp [XXX.XX.XX.XXX])
    by XXXXXX.zzz.ne.jp (X.X.XXXXXXX) with SMTP id XXXXXXXX
    for ; Fri, 7 Sep 2001 18:38:01 +0900 (JST)
Date: Fri, 7 Sep 2001 18:38:01 +0900 (JST)
Message-Id: <XXXXXXXXXXXX.XXXXXXXX@XXXXXX.zzz.ne.jp>
MIME-Version: 1.0
Content-Type: multipart/mixed; boundary="--XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX"
X-Spam-Rating: XXX.XX.XXX.XXX X.X.X X/1000/N
X-DPOP: Version number supressed
X-UIDL: xxxxxxxxx.xxxxx
Status: U

一番上の「Return-Path:」の「<yyyyyyyyyyyyyyyyyyy>」の部分に
メルアドが書かれている場合もあります。
この場合は直接「警告メール」を送ることも出来ます。

しかし、ワームによっては「yyyyyyy」の部分が空白になっている場合があります。
あるいは、前述のように、発信者を偽造している場合もあります。

この場合は、「Received: 」の一番下を見てください。
Received: 」はメールが転送されてきた途中の経由サーバの情報です。
つまり、一番下の「Received: 」は通常「発信元のメールサーバ」です。

ここの
by XXXXXX.zzz.ne.jp (X.X.XXXXXXX) with SMTP id XXXXXXXX
の「zzz.ne.jp」の部分、
もしくは
Message-Id: <XXXXXXXXXXXX.XXXXXXXX@XXXXXX.zzz.ne.jp>
の「zzz.ne.jp」の部分、
がも発信元のプロバイダ(もしくはWebメールの主催者)なのです。

面倒かもしれませんが、プロバイダの窓口に対して、
上記のヘッダーを添付して
「ウィルス付きメールがこういうヘッダーで送られてきたから
調べて発信者に警告してあげて欲しい」
というメールを送ってあげてください。

注:この方法は、イタズラメールを発信してくる相手に対してプロバイダ
  に抗議する場合にも使えます。
  「メールの発信者」を嘘の名前にすることはそれほど難しくありませんが
  この「ヘッダ詳細」部分をごまかすにはかなり高度な技術が必要なため
  この方法で犯人を特定出来ます(笑)。