怪しいメールは電子メールウィルスだった!
なんか怪しいメールが来た。トロイの木馬の踏台になってるとかどうとからしい。最後に「The ruby-lang.org team.」と書かれてあるから、てっきりRuby鯖の管理人から来たのだと思った。
Subject: Returned mail: see transcript for details From: "Mail Administrator" <noreply@ruby-lang.org> To: rubikitch あっと ruby-lang.org Date: Wed, 24 Sep 2008 11:39:59 -0500 X-Mailer: Microsoft Outlook Express 6.00.2600.0000 Dear user rubikitch あっと ruby-lang.org, We have found that your e-mail account has been used to send a large amount of unsolicited email messages during the recent week. Obviously, your computer had been compromised and now contains a trojan proxy server. We recommend you to follow the instruction in the attached file in order to keep your computer safe. Virtually yours, The ruby-lang.org team.
しかし、ヘッダを見てみると、unknown 64.88.212.236 と書いてあってホスト名を見てみると「mfe-tnt2-ppp-pool1-isdn00236.sc2000.net」と出た。その時点で怪しい。
Received: from ruby-lang.org (unknown [64.88.212.236]) by carbon.ruby-lang.org (Postfix) with ESMTP id 0CEB43C229464 for <rubikitch あっと ruby-lang.org>; Thu, 25 Sep 2008 01:40:11 +0900 (JST)
とりあえず、添付ファイルinstruction.zipを展開してみると、「instruction.html スペース210個.pif」だった。なるほど、あまりに長いファイル名だから「.pif」が見えないのかもね。Windowsだと実行ファイルだから開いたら大変なことになっていただろう。
-rw-rw-rw- 28864 24-Sep-2008 16:39:58 instruction.htm .pif
ぐぐってみたら、Win32.Mydoom.BCというウィルスで3年前からあったらしい。
GNU/Linuxだからあえて釣られてみたw
windoze使ってなくてよかったよ、ほんと。正直GNU/Linuxはそんなに普及しなくていいと思う。あまりに普及してしまったらウィルスのターゲットにされてしまうもの。