なんか怪しいメールが来た。トロイの木馬の踏台になってるとかどうとからしい。最後に「The ruby-lang.org team.」と書かれてあるから、てっきりRuby鯖の管理人から来たのだと思った。

Subject: Returned mail: see transcript for details
From: "Mail Administrator" <noreply@ruby-lang.org>
To: rubikitch あっと ruby-lang.org
Date: Wed, 24 Sep 2008 11:39:59 -0500
X-Mailer: Microsoft Outlook Express 6.00.2600.0000

Dear user rubikitch あっと ruby-lang.org,

We have found that your e-mail account has been used to send a large amount of unsolicited email messages during the recent week.
Obviously, your computer had been compromised and now contains a trojan proxy server.

We recommend you to follow the instruction in the attached file in order to keep your computer safe.

Virtually yours,
The ruby-lang.org team.

しかし、ヘッダを見てみると、unknown 64.88.212.236 と書いてあってホスト名を見てみると「mfe-tnt2-ppp-pool1-isdn00236.sc2000.net」と出た。その時点で怪しい。

Received: from ruby-lang.org (unknown [64.88.212.236])
	by carbon.ruby-lang.org (Postfix) with ESMTP id 0CEB43C229464
	for <rubikitch あっと ruby-lang.org>; Thu, 25 Sep 2008 01:40:11 +0900 (JST)

とりあえず、添付ファイルinstruction.zipを展開してみると、「instruction.html スペース210個.pif」だった。なるほど、あまりに長いファイル名だから「.pif」が見えないのかもね。Windowsだと実行ファイルだから開いたら大変なことになっていただろう。

  -rw-rw-rw-     28864  24-Sep-2008  16:39:58  instruction.htm                                                                                                                                                                                                                  .pif

ぐぐってみたら、Win32.Mydoom.BCというウィルスで3年前からあったらしい。

GNU/Linuxだからあえて釣られてみたｗ
windoze使ってなくてよかったよ、ほんと。正直GNU/Linuxはそんなに普及しなくていいと思う。あまりに普及してしまったらウィルスのターゲットにされてしまうもの。