1read 100read
2012年6月セキュリティ699: 【ウィルス警報】patch.exeに注意しる! (494) TOP カテ一覧 スレ一覧 2ch元 削除依頼
GENOウイルススレ ★23 (859)
基地外a隔離スレ (538)
i-フィルターを解除したい (813)
基地外a隔離スレ (538)
【スパイウェア】Yahoo Emulator【堀川水樹】 (277)
googkle.comに飛ぶとPCが乗っ取られる (594)

【ウィルス警報】patch.exeに注意しる!


1 :02/03/14 〜 最終レス :11/03/08
件名:<何らかの日本語文字列>
    ※宛先メールアドレスが「.jp」ドメインの場合。
    または
    Important.
    ※宛先メールアドレスが上記以外の場合。
添付ファイル:PATCH.EXE
日本語を用いて拡散するFidao
 アイ・ディフェンス・ジャパンからの情報によると、新種のマスメーリングワーム「Fidao」が発見された。
このワームの特徴として、件名が日本語文字列 (宛先メールアドレスが「.jp」ドメインの場合)
またはImportant. (宛先メールアドレスが上記以外の場合)となっており、自身のSMTPエンジンを
用いて電子メールを送信する機能を持っている。
http://headlines.yahoo.co.jp/hl?a=20020306-00000003-vgb-sci
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FIDAO.A&VSect=T

2 :
某社の人間だけど
すごい勢いで拡散中。
メールサーバー止めた。

3 :
恥ずかしいことに、うちの会社でも広がってます(藁

4 :
うちも感染した。
ただいま対処中。
注意されたし。

5 :
いまんとこトレンド、マカフィー、ノートンは対応できてないことは確認
うちの役員アフォだから、実行しやがった・・・

6 :
http://www.nai.com/japan/virusinfo/newvirus0314.asp

緊急速報3/14(13:40):
日本語件名を持つメール配信型ウイルスが現在、繁殖を続けている可能性があります。以下の特徴を持つメールが届いたら、すぐに削除してください。詳細な情報は後ほどお伝えします。

【特徴】
pacth.exeというファイルがテンプされたメールが届く。
メール内は空。
サブジェクトは以下(メールアドレスが.jpの時は日本語)


SUBECT: IMPORTANT
SUBJECT: 重要
SUBJECT: Re:重要
SUBJECT: 重要なお知らせ
SUBJECT: Re:重要なお知らせ
SUBJECT: 例の件
SUBJECT: Re:例の件
SUBJECT: お久しぶりです
SUBJECT: Re:お久しぶりです
SUBJECT: こんにちは
SUBJECT: Re:こんにちは
SUBJECT: 極秘
SUBJECT: Re:極秘
SUBJECT: 資料
SUBJECT: Re:資料
SUBJECT: 蛙
SUBJECT: ウャR
SUBJECT:
【破壊活動】
現在確認されていません。メールを大量配信

「」にwarata

7 :
来た。メーラ古すぎて無事

8 :
>>6
つーか、下の3つにワラタ

9 :
トレンドは作成に動き始めたな、メールきた

10 :
これってのはプレビューで自動拡散? 状況つかめないんだけど

11 :
あ、うちの会社も感染しまくり。メール鯖とめた。
…通信系なのにはずかすぃ。
ていうか、なぜこれが広まるんだ?露骨なほどにウイルスメールなのに。

12 :
バウンダリと MIME うp
--Boundary-a8dfidaoRadvfuck
Content-Type: application/x-msdownload; name="patch.exe"
Content-Disposition: attachment; filename="patch.exe"
Content-Transfer-Encoding: BASE64

13 :
どうせなら「モナー」「吉野家」「マンセー」「ゴルァ(全角)」などを入れて欲しかった。

14 :
どーやって駆除するの?

15 :
>>13
ヴァカどもは、それはそれは喜んで開けるだろうな
「僕モナー! いつも2ch に来てくれてありがとう!」
女子供は絶対開ける

16 :
ついさっきノートンのウィルス定義更新された。関係あり?

17 :
>>14 どうも常駐しない気配 拡散するだけのよう

18 :
>>10
どうもプレビューは平気そう
閉鎖環境で実験したけど、問題なかった

19 :
>>18
じゃ任意の実行時だけっすね

20 :
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FIDAO.A
要するに添付にくっついてるだけだから、間違って触る前に自分で消せとのこと

21 :
正直、「ウャR」が何なのか気になって仕方が無い。

22 :
>>21
あ、うちにも来ました「ウャR」。 「蛙」なんてのもあった。

23 :
「」が来た人は居らんのか?

24 :
*********** このスレは「ウャR」が何なのか解明するスレになりました ***********
受信した人は >>1-20 を参照

25 :
>>23
俺メール管理者だから全部きてるよ

26 :
まだ上司のとこに「Re:重要なお知らせ」だけだ
マカー多いしナー見たいナー

27 :
>>24
たぶん「うりゃ」

28 :
Interscanはもう対応済

29 :
>>24
ぐしゃっとキーボード押した感じじゃないしなぁ…謎。

30 :
>>5
うちの取締役も実行しやがった。
もうね、バカかと。アフォかと。
ちなみに感染したのはそいつ一人。ヽ(´ー`)ノ
by某弱小プロバイダ。

31 :
>>28
ほんと?
バリバリpassしてっちゃってるんだけどSA!

32 :
>>28
ほんとに?
うちの会社にゃ連絡ないな、パターンは240?

33 :
>>28
パターン番号は?
こっちは 239 で通っちゃったよ。

34 :
240ってまだ出てないんでしょ? 出てる?

35 :
>>28
うちパターンファイル 239 だけど、
スキャンに引っかかってない...

36 :
きた!
IS管理者は業者つっつけ!240は存在してるぞ!

37 :
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FIDAO.A&VSect=T
では、235で対応してると・・・

38 :
ウャR、蛙はなんとなくビットずれの文字化けくさいね。

39 :
来てしまいました。メールは開封したけど大丈夫だった。メール自体削除すれば大丈夫?

40 :
「」じゃないの?

41 :
どうもトレンドではこういう名前でトラップしてんね
パターン240のログで確認した
WORM_JAPANIZE.A

42 :
はくさい。

43 :
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
で、241から亜種に対応になっているけど・・・

44 :
>39
念の為プレビューをOFFにして、削除したけど、とりあえずは平気だと思う。
心配だったら、もうちょっとはっきりするまで触らない方が・・

45 :
>>39
添付ファイルさえ消せば大丈夫

46 :
馬鹿ふぃーExtra.datでた

47 :
マカは使ってないので、よくわからんが。

>このウイルスにはExtra.datを使用すれば対応できます。
>またはβ版ウイルス定義ファイルでも対応可能です。

http://www.nai.com/japan/virusinfo/virF.asp?v=W32/Fbound.c@MM

48 :
シマンテックでは名称が違うね、別名もいくつか挙げられてる。
今解析中らしいけど。
http://www.symantec.co.jp/region/jp/sarcj/data/w/w32.fbound%40mm.html

49 :
蛙 : 333f
ウソ : b3bf

50 :
*********** このスレは「パターン240リリース」を見守るスレになりました ***********

51 :
マターリしてるねえ・・・
企業内感染は多いが、Nimdaの時のような緊張感悲壮感がないねえ・・・

52 :
>44,45
ありがとうございました。
とりあえず削除しましたが何も起こっていません。多分。

53 :
うちに送ってきた奴、警告したら「申し訳ありません、まだ原因不明なんですが・・・」
とかいってた。あんたがクリックしたんじゃねーのか? おうおう

54 :
>>51
対策が簡単だからねー

55 :
>>51
「蛙」「」「ウャR」だしねー

56 :
パターン 241 はいつでるんぢゃ....

57 :
>>55
でも取引先にこの件名で送っちゃったらかなりイタイよなー

58 :
うちの会社もメールサーバー止まっちゃった。
もっと盛大な祭になると思ったんだが、意外とマターリ。
半年前の大騒ぎで慣れちゃったのかな。

59 :
>>58
あん時はテロ効果もあったしなぁ
今回はタイトルで和む(藁

60 :
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
>※パターン 234 から対応しておりましたが、検出できない亜種が確認された
>ため、パターンファイル 241 より亜種への検知対応を致しました。

61 :
>>58
いやーまたニムダ級が来たら祭りになるんじゃないですか。
うちは商売に使ってるNTがやられて大変でしたよ<ニム駄
全社員にウイルス情報と対策を告知。マターリ
(情報くださった皆さんに感謝)

62 :
>>58
同意
あんときは徹夜だったからな〜

63 :
ウチの場合。
「なぁ、××君。変なメールが来たのだが」
「変なメール?」
「”重要”って件名で本文が無くてファイルが付いてるメールだ」
「ウイルスっぽいですね」
「あぁ、やはり君もそう思うかね。でだ。ファイルをWクリックしたのだが、感染したと思うかね?」
「(;´Д`)アゥ・・・」

64 :
>>63
>「あぁ、やはり君もそう思うかね。
往々にしてここは、
実行しても何も起こらなかったから自分も「思った」んだろうな。
この手の人達は

65 :
241でたね

66 :
窓の杜に記事が載った

67 :
祭り終了?

68 :
>>67
祭りなど起こってませんが何か?

69 :
せっかく紙配って歩いたのにもう対応されちゃったよ。
いいんだか悪いんだか、複雑な心境だよ。

70 :
subjectの種類が全部「蛙」「」系だったらもうちょっと盛り上がったかもしれないな。

71 :
>>70
何というか、作者・選者に良識があるのかね?

72 :
パターンファイル241にしたけど、うちに廻ってきたのは
これでは検出できなかった。
TrendMicro社が認識していない派生種があるのでは?

73 :
>>72
マジ。せっかくサービス再開したのに
また停止?
詳細キボン

74 :
>>66
微妙に変じゃない?この記事。
WORM_JAPANIZE.Aは、WORM_FBOUND.Bの亜種って書いてあるけど
トレンドマイクロではWORM_JAPANIZE.Aは、WORM_FBOUND.Bに名称が変更って書いてある。

75 :
ここからこのスレは「蛙」と「ウャR」の謎を解くスレに変わります。

76 :
パターン241も正式にでたな
トレンド製品使ってる奴らはあげとけよー

77 :
カエルゲコゲコ
  ,,
 (◇)
≦ ,, ≧

78 :
>>72
本当?!

79 :
>>78
ほんとだ。
interscan の方ではひっかかる

80 :
窓の杜
http://www.watch.impress.co.jp/broadband/news/2002/03/14/virus.htm

81 :
>>79
ウイルスバスター2002でも平気でしたが?

82 :
うぉっ、ウイルスバスタが動作してないクライアント発見。
早く修復しとこ。

83 :
>>80
>の感染が拡大している。ファイル「PATCH.EXE」が添付されたE-mailはこのウイルスに感染
>ている可能性が高く、トレンドマイクロなどのウイルス対策ソフトメーカーは注意を呼
この言い回しってどうなのよ 感染してるんじゃなくて patch.exe が自己送信するんだろ?
ま、いいけどね

84 :
>>83
>>74のこともあるし
書いた奴も良くわかって無い可能性大だな・・・

85 :
で、このウイルスの被害は、
「情報系の会社なのに、ネットセキュリティー意識が低いです。」
っていうことを取引先にメールで伝えてしまうという事で、
作者の意図は
「ニムダの後で、セキュリティー意識低すぎるんじゃねーの」
ってことでいいですか?

86 :
>>85
同意

87 :

デジタル放送の番組で今取り上げてる。名は知らんw

88 :
やぱ241からだってさ。
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B

89 :
FROMが自分のアドレスになるのがなにげに嫌だ。
自分がウイルス発信したのかとびびったじゃねーか。

90 :
只今、役員のジジィたちが立て続けにダブルクリック中・・・・(ワラ

91 :
我が社でも警戒態勢に入りました

92 :
241でも駄目だ。
南無ー

93 :
>>90
ジジィにPC与えるな
まあ俺の会社も感染したのは役員ばっかだけどね

94 :
うちは241で大丈夫みたいだが・・・

95 :
ノートンはよ対応しろや

96 :
どうやら trendmicro のは mime header だけみて判断している模様

97 :
私共の会社では、「ぎゃははー、だって、、実行しちゃったよ、なにこれっ!おわっ、やばくね?」
と全社員に警告を与え、早期発見致しましたのでご安心下さい

98 :
中身見たけどわりと改造しやすそうだな、これ。
本文つけたり、Subjectや添付ファイル名を変更した亜種がいっぱい出そう。

99 :
これじゃねの 
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM_FBOUND.B
また、ウイルスプログラムがエンコードされたままの状態のファイルが
確認されています。その場合はウイルスとしての活動はできないため、
ウイルス検知もしません。単純にファイルもしくはファイルが添付された
メールを削除してください。

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
Avira AntiVir Premium Part.1 (975)
'code red'wormに続きw32/sircam (212)
WindowsをAdministrator権限で常用してる人 (589)
Online Armor Personal Firewall Free Part4 (445)
冒険の書ってなんですか? (427)
ドクターアレック スアンチスパイウェア (202)
--log9.info------------------
【42】12012【42】 (885)
GARGOYLE19 (734)
【ROLLY復活】SCANCH-すかんち-【御見舞金ツアー】 (531)
【25周年記念】聖飢魔U-SEIKIMA-U-【限定再集結】 (204)
【LIVE TOUR2012】jealkb 其ノ22【異色薔薇ノ歌合戦】 (329)
boogieman part6 (670)
【元アンカフェ】  Lc5  【みく→miku】 (799)
VII-Sense (403)
Kra60 (628)
【ひぃたん】 Versailles 41 【ペロペロ///】 (211)
【 】カッコー1羽目【 】 (442)
MerryGoRound (216)
●Dolly 11● (287)
【YOSHIKI・Gackt】S.K.I.N. part20 【SUGIZO・雅】 (377)
【チェロリータ分島花音】kanon×kanon【カノン(アンカフェ)】 (504)
Lucifer luscious Violenoue 3 (247)
--log55.com------------------
今井真人のクマホン倶楽部
【ティアラ】PG1徳山第8回クイーンズクライマックス9【賞金女玉】
【中国四国地区G1G2】鳴門・丸亀・児島・宮島・下関・徳山24
【2020年もタコ踊り】松丼繁52【ドボンもあるでよ】
【スマホ持ち込み】びわこは廃止案件
西川に継ぐイン飛び率高めの常習犯教えて
西川逮捕を全く報道しないテレビ
八百長の件で問い合わせ電話した奴集まれ