inet@*********.comからウイルスメール（W32.Klez）

EINAさんの情報をさらに確かにするために、実例を出します。 詐称されている例は、 http://memo.st.ryukoku.ac.jp/archive/200205.month/3801.html http://memo.st.ryukoku.ac.jp/archive/200205.month/3806.html http://memo.st.ryukoku.ac.jp/archive/200205.month/3809.html や、 http://memo.st.ryukoku.ac.jp/archive/200205.month/3821.html に実際の話が載っています。 これら以外にも、セキュリティ関係に詳しいページや、ニュース、MLを見ていれば、Return-Pathが詐称されていることはすぐにわかります。 ちなみに、ウイルスソフト会社からの情報では、Return-Pathが詐称されているとはかかれていませんが、詐称していないとはどこにも書いていません。

重ねて書きますが、 Klezは、Fromは偽装しますが、"Return-Path"の改変は行いません。 Return-Pathが偽装可能であるかどうかと、KlezがReturn-Pathを偽装するかどうかは、全く別の問題です。 SPAM送信者が、Return-Pathを改変するのと、Klezが偽装するかどうかを論じるのは、どう考えてもおかしいです。 こんな事を言い出せば、ヘッダ情報は、全て信用できないことになります(故意に送信されている、ウィルスメールや迷惑メールはその通り)が、Klezの場合は、そんな事はありません。 ソースとして、トレンドマイクロのKlez情報のページが出されていますが、そこにも、 >【 ワーム特性について】 >このようなタイプのワームでは、「差出人」を感染コンピュータ内で取得した任意のメ ールアドレスとして設定する場合があります。 >そのため「差出人」として設定されているメールアドレス使用者のコンピュータが感染 しているとは限りません。 (差出人とは、"From"に記載されている人の事です) と、出ています。 いい加減な情報を書くのは、勘弁してもらいたい物です。

KLEZ系のウィルスの厄介なところですね。 mailの配送システム上、MessageIDは発信者の接続しているSMTPサーバーが付与します。 つまり、メールアドレス（From, ErrosTo,ReturnTO）は偽装できても送信元のSMTPサーバーを隠蔽することは出来ません。 （これがウィルスでなく、単なる匿名メールの場合は隠蔽可能です） 結果、SMTPサーバの管理者に通告して発信者に警告してもらうべきでしょう。 まっとうなSMTPサーバならMessageIDにドメイン名が含まれています。 また、SMTPサーバ管理者の義務としてpostmaster,abuseなどの苦情受付系のメールアドレスが存在するはずです。 postmaster@ドメイン名、abuse@ドメイン名のメールアドレスにウィルスメールのヘッダ情報を全て通告して発信者に警告を促すべきです。 通常、SMTPサーバのログから発信者を特定できる情報が得られるはずです。 ウィルスメールの発信者は被害者に過ぎないので、サーバ管理者経由でやんわりと「ウィルスに感染していますよ！」と警告してもらうのが一番です。

ANo.#4 です。 ANo.#4 の表現があいまいだったので補足します。 ＞「Return-Path」は偽装可能です。 ＃「Return-Path」は偽装します。

＞"Return-Path" はそのままなのですね、確認してみます。 「Return-Path」は偽装可能です。 別のケースですが、次のサイトに事例が掲載されています。 http://www.freemail.ne.jp/spam.html なので、連絡には十分注意してください。 ご質問を読ませて頂きますと。 hideka さんのホームページが添付されていることから、 Klez.A の亜種「Klez.H」の可能性が高いと思われます。 http://www.zdnet.co.jp/news/0204/22/e_klez.html hideka さんのホームページを訪問したユーザ（PC）の、キャッシュされた html ファイル（hideka さんのホームページ）が添付されたのでしょう。 差出人の特定ですが。 メールのヘッダを確認して、複数ある「Received:」の中で、一番下にある 「Received: from ～」 に、お友達や知り合いが利用している「プロバイダ」が表示されていませんか？ 見覚えのある「メールアドレス」が表示されていませんか？ どちらか確認できましたら、差出人（感染 PC）の特定ができると思います。 警告につきまして。 感染した方にお知らせするのは、十分注意してください。 特に今回の場合は、hideka さんのホームページを訪問したユーザなのですから。 「何を言ってる、ウイルスをばら撒いたのが悪い！」という意見もあるかもしれませんが、協力してウイルスを駆除（削除）してください。 お友達や知り合いなら、なおさらです。 ホームページは、全く知らない人でも訪問が可能です。 なので、差出人が知らない可能性もあります。 その場合は、上記で確認した「プロバイダ」へ連絡するといいでしょう。 「Received: from ～」全行をメールで送信してください。 連絡の内容は「調査依頼」です。 「ケンカごし」にはならないよう、注意してください。 ホームページにご自分のメールアドレスを公開している場合、削除してください。 最近のウイルスは、このメールアドレスを訪問者の PC （キャッシュ）から抜き出し、差出人や宛先にします。 削除するだけでも、ウイルスメールが減るかもしれません。 削除して、様子をみるのも案です。

ヘッダの "Return-Path" を、確認すれば、本当の送信元が分かります。 (Klezは、"From"を改変するだけで、"Return-Path"迄は、詐称しません) ただ、あまり、ズバリと"感染しています"と言うと、反感を買う事もあるので、本当に親しい人以外には、遠回しに指摘(Symantec等のオンラインスキャンや、体験版のインストールを勧める)した方が良いでしょう。 また、全く知らない人の場合は、プロバイダ(若しくは、POPメールをサービスしている会社)に連絡するのも、一つの方法です。 参考URLは、上がオンラインスキャン。 下が、体験版のダウンロードページです。

klez系のウイルスでやっかいなのが、差出人は感染してない可能性があるということです。 この表現は的確ではないですね。 言葉を変えますと、メールソフトで見た差出人は本当のウイルスを送った差出人ではないということです。 AさんとBさんとCさんがいたとします。 あなたがAさんだとします。 Bさんがklezに感染しました。しかしそこから発信されたメールには差出人はCさんとなっているのです。 つまりCさんに連絡をとっても「うちは感染してないよ」と言われてしまい、差出人が不明となってしまいます。 ウイルスを送る先はアウトルックのアドレス帳からランダムで選ばれたものですが、偽装された差出人もランダムに選ばれた人なのです。 何度も来るのであれば、それらの差出人及び自分のメールアドレスをアドレス帳にいれており、アウトルックを使ってる人が差出人となります。 ただこの場合、感染者が複数いるとわかりにくいですよね。 感染者が発見しにくいことでなかなか駆除されず、蔓延しているウイルスでもあります。

感染していると思われる人に ウィルスチェックをお願いする。 それしかありません。