MyDoom ウィルス関連情報 - 秀丸メール情報交換会議室 - スレッド16606, 2004/02/10

MyDoom ウィルス関連情報

山田健一 さん　04/02/10 08:44

みなさん、こんにちは。 ver.3.19 を使用しています。

　EdMax掲示板に MyDoom ウィルス関連で興味深い報告がありました。
http://hpmboard1.nifty.com/cgi-bin/thread.cgi?user_id=CXP02054&disp_no=20550
http://hpmboard1.nifty.com/cgi-bin/thread.cgi?user_id=CXP02054&disp_no=20552

　鶴亀メールでも似たような現象が起きる可能性もないとは言えないような気が
しますので、情報として提示しておきます。

山田健一@鶴亀ユーザー
http://homepage3.nifty.com/yamada_ken1/

RE:16606 MyDoom ウィルス関連情報

たまがわ さん　04/02/10 10:25

こんにちは。ユーザーのたまがわです。

> 　鶴亀メールでも似たような現象が起きる可能性もないとは言えないような気が
> しますので、情報として提示しておきます。

　鶴亀の「アンチウィルスソフトのリアルタイム検索に対応させる」という設定
は、メールデータがアンチウイルスソフトによってごっそり削除されてしまう事
件を防止する目的で設けられた機能ですね。
　私自身、MyDoomについて実験したことはないですけど。
　以下、ヘルプの抜粋です。

> 　ここをONにすると、鶴亀メールは受信したメールを一度テンポラリファイルに保
>存し、
> ほんのわずかな時間だけ待機します。受信したメールがもしウィルス入りのメール
>だった
> すると、そのわずかな待ち時間の間にアンチウィルスソフトがテンポラリファイル
>を削除
> （または隔離）します。鶴亀メール側では、テンポラリファイルが削除された場合
>にはそ
> の後のメールの保存を取りやめ、「メールがアンチウィルスソフトによって隔離さ
>れた」
> と分かるように後処理（ヘッダ部分のみのメールの生成など）を行います。
>
> 　アンチウィルスソフトのリアルタイム検索を使う場合には、ここのオプションを
>必ずON
> にしてください。そうしないとウィルス入りのメールだけではなく、他の隣接する
>メール
> もまとめてアンチウィルスソフトに削除（または隔離）されてしまいます。なぜか
>と言う
> と、鶴亀メールでは１つのファイルに複数のメールをまとめて保存するからです。
>多くの
> アンチウィルスソフトはファイル単位でごっそり削除してしまいます。注意してく
>ださい。

RE:16607 MyDoom ウィルス関連情報

秀まるお2 さん　04/02/10 11:13

　鶴亀メールでのその「アンチウィルスソフトのリアルタイム検索に対応させ
る」がONになっていれば、メールがごっそり無くなる（アンチウィルスソフトに
よって隔離される）ことはありません。

　そもそも、このオプションがたとえOFFでも、鶴亀メールは添付ファイルを別
ファイルに保存する作りなので、ウィルス本体（=添付ファイル）がアンチウィ
ルスソフトによって隔離されても、メールは無くなりません。しいて無くなると
すれば、受信ログが隔離されてしまう可能性はありますけど。

　一番運が悪いケースでは、メールがごっそり隔離されることもあります。ウィ
ルス本体がBASE64エンコードされていて、それが正しいメール形式になってない
ために本文の中にBASE64エンコードされたメールがまぎれこんでしまうと、メー
ル用のファイルの中にウィルスが入っていると解釈されて、メールのファイル単
位でごっそり隔離されてしまいます。それだけは注意が必要です。

　ノートンアンチウィルスなんかの場合だと、ファイル単位じゃなくて、ファイ
ル中のウィルス部分だけを空白で塗りつぶすような処理をしてくれるので、この
場合はメールが無くなることはありません。ウィルスバスターの場合だとファイ
ル単位で隔離してしまうので、複数メールがごっそり隔離されることがあります。

RE:16608 MyDoom ウィルス関連情報

秀まるお2 さん　04/02/10 11:32

　EdMaxの掲示板を見たら、どうやら僕の心配した最悪ケースと同じ症状が起き
たみたいですね。つまり、BASE64エンコードさたウィルスが、メール本文にまぎ
れこんでしまったケースのような気がします。

　あと、Norton Antivirusを使っているにもかかわらず、mbxファイルごとごっ
そり隔離されたと書いてあります。

　メール本文中にBASE64エンコードされたと思わしき内容がそれなりのサイズ
（だいたいウィルスは10キロバイト以上？）含まれていたら、それはそれで１
メール１ファイルとして保存するという作戦にしようかなぁと…。

　何かご意見があればお願いします。

RE:16609 MyDoom ウィルス関連情報

山田健一 さん　04/02/10 14:05

秀まるお2 さん、こんにちは。

>　メール本文中にBASE64エンコードされたと思わしき内容がそれなりのサイズ
>（だいたいウィルスは10キロバイト以上？）含まれていたら、それはそれで１
>メール１ファイルとして保存するという作戦にしようかなぁと…。
>
>　何かご意見があればお願いします。

　フォルダの設定が月単位だと仮定すると、、、
通常は月単位ファイル（xxxx200402.txt）で保管するけれど、疑わしいメールは
xxxx200402-yyy.txtみたいに記録し、参照するときは

xxxx200401.txt
xxxx200402.txt
xxxx200402-001.txt
xxxx200402-002.txt
xxxx200403.txt

　をまとめて処理するような感じですね。

　処理が難しくないようなら、設定によらず安全策という感じがしますので、賛
成です。

山田健一@鶴亀ユーザー
http://homepage3.nifty.com/yamada_ken1/

RE:16613 MyDoom ウィルス関連情報

秀まるお2 さん　04/02/10 17:49

　次のV3.50βにて、メール本文が20キロバイトを超える場合は１メール１ファ
イルとして保存するようにします。「全般的な設定・ウィルス対策」にオプショ
ンを追加しつつ、デフォルトONとします。

　BASE64エンコードされてるかどうか判定するのは難しいのでやめました。

　普通にやりとりしててメール本文が20キロバイトを超えるケースはまずないの
で、これでほとんど問題ないと思います。

RE:16616 MyDoom ウィルス関連情報

tnobu2 さん　04/02/10 18:27

>　普通にやりとりしててメール本文が20キロバイトを超えるケースはまずないの
>で、これでほとんど問題ないと思います。

仕事関係では引用を繰り返していても超えることはほとんど無いんですが、
私が毎日受信しているメールマガジンの中には、本文のみで20キロバイトを
超えているものが何通かあります。

オプションをoffにすれば済む話ですが、そういうケースもあるということで。

RE:16617 MyDoom ウィルス関連情報

秀まるお2 さん　04/02/10 19:02

　しいてそういう場合でも、1メール1ファイル形式で保存されてそんなに悪影響、
つまり、鶴亀メールの動作が遅くなったりディスクスペースを無駄食いしたりっ
てことには、あまりならないと思います。

　20KBオーバーのメールがとびとびで頻繁に発生すると、少々ディスクスペース
を食うことになりますが…。これは仕方がないということで…。

　やはり、メールが知らないうちにごっそり無くなる方が怖いです。

　ということで、オプション追加＆デフォルトONってことにします。今日アップ
ロードしたV3.50β1にて既にそうなってます。