感染しちゃったのか、手の込んだウイルスなのか

　うらるんた伝言板（BBS）でちょっと触れたんですが、今月中旬以降、ルンタ・プロジェクト日本事務局用の専用アドレスとして取得した「lung-ta.jp」ドメインのアドレスに、やたら英文字サブジェクト&添付ファイル付きのメールが送られてくるようになりました。
　↑そりゃもうこんな感じで（画像）。
　バイア○ラの宣伝など明らかにspam、てのも混じってますが、ほとんどは送信エラー（しかも送った覚えのないメールの）のような書式です。開けると文字化けしてるメールもあり、最初の数日は読まずに捨てていたんですが、こう度重なるとやや不審にも感じ、今日になってメールの英文を読んでみました。

Return-Path: <＊＊＊＊@lung-ta.jp>（←強制代表アドレス）
Delivered-To: ＊＊＊@lung-ta.jp（←ルンタのアドレス）
Received: (qmail 12444 invoked by uid 89); 17 Jun 2005 20:31:48 +0900
Received: from unknown (HELO lung-ta.jp) by 192.168.1.20 with SMTP; 17 Jun 2005 20:31:48 +0900
From: "Returned mail" <＊＊＊＊@lung-ta.jp>
To: ＊＊＊@lung-ta.jp
Subject: （←空白）
――――
Dear user of lung-ta.jp,
Your e-mail account was used to send a huge amount of spam during the last week.
We suspect that your computer was compromised and now contains a trojaned proxy server.
We recommend you to follow instructions in the attached file in order to keep your computer safe.
Sincerely yours,
The lung-ta.jp team.
（lung-ta.jpユーザ様
あなたのメールアカウントは、最近1週間に、膨大な量のスパムを送るのに使用されました。私たちは、あなたのコンピュータがウイルスに感染し、現在、trojaneされた（？）プロキシサーバを含んでいる可能性があると疑っています。あなたのコンピュータを安全に保つため、添付ファイル内の指示に従うことをお勧めします。
敬具　lung-ta.jpチーム）

　ええー？　なんかヤバ気な感じですかこれは？　……しかしそれで添付してあるのが「letter.zl3」（26.1KB）ってファイルで、ファイル名といい拡張子といい、怪しさ大爆発なような気がしてならないんですけど。
　もう1通。

Return-Path:
Delivered-To: ＊＊＊@lung-ta.jp
Received: (qmail 7335 invoked by uid 89); 19 Jun 2005 22:24:55 +0900
Received: from unknown (HELO lung-ta.jp) by 192.168.1.20 with SMTP; 19 Jun 2005 22:24:55 +0900
From: "Automatic Email Delivery Software"
To: ＊＊＊@lung-ta.jp
Subject: Report
――――
This message was undeliverable due to the following reason(s):
Your message was not delivered because the destination server was not reachable within the allowed queue period. The amount of time a message is queued before it is returned depends on local configura-
tion parameters.
Most likely there is a network problem that prevented delivery, but it is also possible that the computer is turned off, or does not have a mail system running right now.
Your message was not delivered within 8 days:
Mail server 36.41.142.39 is not responding.
The following recipients could not receive this message:<＊＊＊＊@lung-ta.jp>
Please reply to ****mastar@lung-ta.jp
if you feel this message to be in error.
（このメッセージは以下の理由のために送信できませんでした:あて先のサーバが許容された時間内に受信可能にならなかったので、あなたのメッセージは届きませんでした。返信されるまでのメッセージの待ち時間はローカルの構成パラメータに依存します。おそらく、配送できなかったネットワーク上の問題と思われます。また、コンピュータの電源が入っていないか、現時点でメールシステムが動いていない可能性もあります。
あなたのメッセージは8日以内に提供されませんでした:メールサーバ36.41.142.39からの応答がありません
以下の受取人はこのメッセージを受け取ることができませんでした:
<＊＊＊＊＊@lung-ta.jp >（←私のメールアドレス）
このメッセージが間違って届いた場合、＊＊＊＊＊@lung-ta.jp （←強制代表アドレス）に返信してください。）

　んでこれにも「pnx.zip」（26.7KB）というウサンくさいファイル名のついた圧縮ファイルが……。
　そんな内容の分からないファイル怖くって開けられませんっ!!
　まだあるので3通目。

Return-Path: <＊＊＊＊＊@lung-ta.jp>（強制代表アドレス）
Delivered-To: ＊＊＊＊@lung-ta.jp（アドレス）
Received: (qmail 1367 invoked by uid 89); 20 Jun 2005 22:52:53 +0900
Received: from unknown (HELO lung-ta.jp) (220.214.192.175)
by 192.168.1.20 with SMTP; 20 Jun 2005 22:52:53 +0900
From: "Mail Administrator" <＊＊＊＊@lung-ta.jp>
To: ＊＊＊@lung-ta.jp
Subject: Returned mail: Data format error
――――
Dear user of lung-ta.jp,
We have received reports that your account was used to send a large amount of spam during the recent week.Most likely your computer had been compromised and now runs a trojan proxy server.Please follow instructions in order to keep your computer safe.
Best regards,
The lung-ta.jp team.
（lung-ta.jpユーザ様
私たちはあなたのアカウントが最近１週間に、多量のスパムを送るのに使用されたというレポートを受け取りました。おそらく、あなたのコンピュータは、感染しており、現在、trojanプロキシサーバを実行しています。コンピュータを安全に保つには、指示に従ってください。
敬具
lung-ta.jpチーム）

　まあ1通目と似たような内容ですね。で、これにも「document.zip」（26.2KB）というファイルがくっついてます。
　どれもこれも送信元はドメイン取得した時に強制的に設定することになっている管理者用アドレスで、そのへんが「もしかしてこれは本当に私のパソコンが何かに感染してる？」って気もしなくもないんだけど、……うーんでも、レンタルサーバーの管理会社からメールが来るんだったら管理会社のメールアドレスで送ってきそうなモンだし、だったら日本語で送ってくれよ、とも思うし、そもそもそんなに親切なレンタルサーバ会社じゃなかった気もするし、これじゃ自分が自分にあててメール出してるわけで不自然な気もするし。
　仮にルンタ.jpのアカウントでの多量のSpamが送られていたとして、アカウントはなりすましが可能だから、それだけで私のパソコンが何かに感染したって証拠にはならないよね？　もし、ルンタ.jpのサーバーが踏み台にされてSpamが吐き出されていた、としたらそれは大問題だろうけど（「踏み台にする」ってどういうことか今ひとつ分からずに書いてるけど）、自宅でサーバー立ててたり自前のサーバーを使ってるわけでもないので、そもそもそんなことやろうとしたって根本的にムリ、って気もするし。過信は禁物だけど一応アンチウイルスソフトは最新版が入っていて、毎日オートで更新をチェックするようになってるし（WindowsXPは「危険です」ってメッセージを毎日出してきてうっとおしいけど^^;）。
　自分でもよくわからないままごちゃごちゃ書きましたがすいません。
　書きながら考えてたんですが、やっぱり添付ファイルは開かないことにしました。ホントにヤバかったらサーバー会社がアカウント削除するとかドメインごと飛ばすとか、何かするでしょ（←ってこの後本当にルンタのサイトが消されたりしたらごめんなさい！）。
　どなたか詳しい方が読んでいて「ちょっ、そりゃヤバいからすぐ言われたとおりしろ！」ってことだったらコメントかどこかで教えて下さい（弱気）。

Comments

ウィルスチェックをしているようなので、トロイの木馬型のプロキシサーバーが潜んでいるのじゃないでしょう。手の込んだスパムでしょう、添付ファイルがウィルスであればウィルスバスターが駆除しているはずですし、送信メールもチェックしているはず。
◇時間：2005年3月26日（日）　旧暦？　明日のことかな、場所が決まったらお伺いします。

Posted by: 醉鬼 | 2005.06.25 11:52 AM

(1)実際にウイルスに感染してる場合
(2)感染してない場合

(1)についてまず検証して、大丈夫なら、どうすることも
できません。
とりあえず、アンチウイルスソフトでチェックしてるなら
大丈夫でしょう。もし、まだ不安なら、無料のWEBの
ウイルススキャンでチェックすることも可能です。
http://www.trendmicro.co.jp/hcall/index.asp

これで検出されなければ、99％大丈夫かと

(2)の可能性大
■原理
プロバイダによりますが、送信元は偽装可能なので、
＊＊＊＊＊@lung-ta.jpの送信元にして、存在しないメール
アドレスに送付します。
そうすると、届かなかったメールが、＊＊＊＊＊@lung-ta.jpに
届くことになります。

■原因
＊＊＊＊＊@lung-ta.jpのメールを受け取ったどれかのマシン
で、ウイルスに感染してる可能性が大。

■分析
自分が加害者でないのかという意識と、届かなかったメールに
見に覚えがないため、添付ファイル等を確認して原因を追求
したいという衝動に駆られる。・・　感染率が高まる
とかでは（汗）

以前、妻にも同じ現象が起こったのですが、納得してもらえません
でした。

Posted by: KURO | 2005.06.25 03:47 PM

>＊＊＊＊＊@lung-ta.jpのメールを受
>け取ったどれかのマシン
>で、ウイルスに感染してる可能性が大。

ルンタさん以外のマシンというか
知り合いのマシン。

自信満々にかいてますけど、ほかのケースも
ありうるかもしれません。

Posted by: KURO | 2005.06.25 03:50 PM

＞酔鬼様
＞KURO様
　コメントありがとうございました。やはりウイルスかSpamのような何か（あの手この手でファイルを開けさせようとする）の可能性が高いということですか。BBSに伝言下さった苦沙弥さんも同じような文面のメールを受け取っているということで、よし放っておこう、と決意しました。プロバイダメールのほうにはまったく届いたことがないパターンだったのでうろたえました。独自ドメイン取ってる人を狙い打つウイルスなんですかねぇ？
＞酔鬼様
26日、月の間違いしてすいません。なぜ3月なんて書いたやら…。場所等は一応素案がありますのでメール送ります。

Posted by: うらるんた | 2005.06.25 11:55 PM