本日「Delivery Status Notification (Failure)」という件名のメールがリスメールチームのメンバーの一人に何通か送られてきました。「送り先ドメイン名-TextInfo.zip」というファイルが添付されていて、「File-packed_dataInfo.exe」というファイルが入っていました。
某大手アンチウィルスソフトウェアメーカーのアンチウィルス対策ソフトでは検知されない中、RisuMail AntiVirus が実装されている環境へ転送すると次の通りの報告が戻ってきました。
以下の報告では各IPアドレス、ホスト名、メールアドレスは日本語に書き換えています。
----- 報告内容はここから -----
差出人 "RisuMail AntiVirus"
件名 VIRUS (Worm.Sober.U) FROM [送信元IPアドレス] @送信元ホスト名>
日付 2005年 11月 22日 (火) 13:19
宛先 virusalert@テスト環境ドメイン
A virus was found: Worm.Sober.U
A banned name was found:
P=p003,L=1,M=multipart/mixed |
P=p002,L=1/2,M=application/octet-stream,T=zip,N=sanguine-TextInfo.zip |
P=p004,L=1/2/1,T=exe,T=exe-ms,N=File-packed_dataInfo.exe |
P=p005,L=1/2/1/1,N=File-packed_dataInfo.exe
Scanner detecting a virus: ClamAV
The mail originated from: @テスト環境ドメイン>
First upstream SMTP client IP address: [SMTPサーバIPアドレス] SMTPサーバホスト名
According to the 'Received:' trace, the message originated at:
[WANIPアドレス]
WANIPアドレス (送信元メールのソフトウェア名 authenticated user ユーザ名)
Notification to sender will not be mailed.
The message WAS NOT delivered to:
:
250 2.7.1 Ok, discarded, id=16536-08 - VIRUS: Worm.Sober.U
Virus scanner output:
p004: Worm.Sober.U FOUND
The message has been quarantined as:
virus-20051122-131929-16536-08
------------------------- BEGIN HEADERS -----------------------------
ヘッダ情報(省略)
-------------------------- END HEADERS ------------------------------
----- 報告内容はここまで -----
上記のテストを行った後、某大手アンチウィルスソフトウェアメーカーのアンチウィルスソフトウェアを手動にてアンチウィルス定義の更新状況を確認し、さらに最新のものに更新しました(有効にするためにPCの再起動が必要でした)が、上記のウィルス(ワーム)はそれでも検知されませんでした。
なお、ウィルスやワームの普及状況を調査する目的もあり、上記のワームメールを受信したサーバ環境にはRisuMail AntiVirus を実装しておらず、意図してメールを素通りさせています。もちろん、RisuMail AntiVirus が実装されているのなら、気づかれずにメールは処理されています。
RisuMail AntiVirus はメールサーバにインストールして使用するソフトウェアで、本製品を利用すれば、送受信されるメールがウィルスに感染していないか検知し、感染したメールは配信されません。
RisuMail AntiVirus についてさらにご興味のある方はこちらをご参照下さい。
追記:Googleで検索する限り、現時点で二つのサイトのみが上記のワームに関する詳細を掲載しているようです。上記某大手アンチウィルスソフトウェアメーカーはそのうちの一つで、当該ワームを W32.Sober.X@mm と名づけており、米国時間の19日に発見されたものとなっています。しかしながら、上記の当メーカーの(PC)アンチウィルスソフトウェアを最新の状態にしたところで、アンチウィルスの署名(又は定義)が2005/11/16付けになっていました。すなわち、本ワークは既に発見されているにもかかわらず、最新の定義はその二日以上経過した今も配信されておらず、PC搭載の某大手アンチウィルスメーカーのソフトウェアだけでは、検知ができるようになっていません。