ウィルス・メールでエラーNo.06172
マイケル さん 01/11/27 16:47
 
マイケルです。

今、最新流行の BADTRANS.B を貰いました。私の方は Norton Anti-
Virus を入れてて、最新の定義ファイルにしてますので、ブロック
してくれました。
しかし、AntiVirus が添付ファイル削除後、“鶴亀”からエラー・
メッセージが出て、下記のような dump.txt が出来てました。

私の方では“鶴亀”の動作が不安定になるようなこともなく、支障は
ないのですが、一応、報告いたします。

Win98SE, IE6.0 です。

********** 01/11/27 16:33:38.870 1.52  CopyFile failed, Html-file may be bro
ken.
src=D:\Program Files\TuruKame\mtk@******.com\受信添付\011127_00\stuff.MP3.pif
dest=D:\Program Files\TuruKame\mtk@******.com\受信HTML\011127_00\stuff.MP3.pif
error-code=5
\trans.cpp(1079) error = 5
Current thread dump
eax=002A0014 ebx=00000437 ecx=00000000 edx=D0DBC540 esi=00000001 edi=8184304
8 ebp=006FBAA8 esp=006FBA9C eip=BFF94E4D
Stack Dump
027C4E34 0049FAB9 00000437 006FBB84 006FBB84 00482E55 00000000 00010007
7274406B 2D736E61 2E617375 5C6D6F63 4D90F38E 74955993 3131305C 5F373231
735C3030 66667574 33504D2E 6669702E 75727500 656D614B 6B746D5C 61727440
752D736E 632E6173 8E5C6D6F 484D90F3 5C4C4D54 31313130 0000000A 00000000
00000000 00000005 00000000 006FBBA4 006FBCA0 FFFFFFFD 0000000A 0000030B
00000001 2000001B 00002E9E 00002F87 00000187 00000187 81843048 00000001
00000437 D0DBC540 00000000 002A0014 006FBAA8 BFF94E4D 0000017F 00000246
006FBA9C 00000187 006FBB98 00480366 FFFFFFFE 004A1B94 0049FAB9 006FBE2C
FramePtr ReturnAd Param#1  Param#2  Param#3  Param#4  Param#5  Param#6  Para
m#7  Param#8  Param#9  Param#10 MachineCode
006FBB84 006FBB84 00482E55 00000000 00010007 7274406B 2D736E61 2E617375 5C6D
6F63 4D90F38E 74955993 3131305C 98 BB 6F 00 66 03 48 00
006FBB98 00480366 FFFFFFFE 004A1B94 0049FAB9 006FBE2C 00480343 006FBBAC 006F
BE8B 000000D0 79706F43 656C6946 6A 00 E8 54 2B 00 00 68
006FBE2C 00480343 006FBBAC 006FBE8B 000000D0 79706F43 656C6946 69616620 2C64
656C 6D744820 69662D6C 6D20656C 5E 5B C9 C2 0C 00 55 8B
006FC97C 004752AF 006FC05C 0049FAA8 00000437 00000000 006FDA98 00000000 505C
3A44 72676F72 46206D61 73656C69 57 E8 FB E5 00 00 80 7C
006FCE18 00475F88 00000074 006FCDE8 006FCDC8 006FDA98 00000000 006FCDE0 0000
0001 00C4052C 00000000 067716A0 83 C4 18 85 C0 0F 84 BA
006FD3C8 0045B4B8 006FD1AC 006FDA98 00000000 00000001 02728F62 004AEF68 006F
D704 00C4052C 00000000 505C3A44 83 F8 02 89 45 10 75 0D
006FD3E0 0045A6F1 0278EE16 000000C8 000000D0 004AEF88 006FD6DC 00476A50 00C4
052C 000000C8 00000001 006FD704 EB 05 E8 41 3D 00 00 5E
006FD6DC 00476A50 00C4052C 000000C8 00000001 006FD704 00008772 006FD74E 163F
2FDA BFF714D9 4B48017F 006FD414 E9 7B 0A 00 00 8B 4D 14
006FD6FC 004765C3 004AEF88 00000E38 0000546B 000000C8 00000001 00008772 006F
D71C BFF7363B 00000E38 0000546B FF 75 14 8B F0 FF 75 10
006FD71C BFF7363B 00000E38 0000546B 000000C8 00000001 874C5107 00000187 006F
D730 BFF945AF 529F8772 0000529F 8B E7 33 C9 8E E9 5F 5E
006FD730 BFF945AF 529F8772 0000529F 00000000 BFF719B8 006F876C 006FDA74 BFF7
186D 874C5107 00000000 529F874C E8 56 D2 FD FF 8B D0 C1
BFF719B8 006F876C 006FDA74 BFF7186D 874C5107 00000000 529F874C 00000000 0000
0246 000387AA 00033EF8 006F1617 00 00 00 00 00 00 00 00
C9B60F5D 00058F64 8D000000 5F042464 3D896466 0000000E B20F665B 64662424 001E
1D89 0B5B0000 800F74DB 74FF147B 01 75 07 26 F6 47 18 08

16:33:02.730 S 1513 00000E38 0138 00000932 00000E4C
16:33:02.730 R 1515 00000E38 0138 00000932 00000E4C
16:33:02.730 S 1513 00000E38 0138 00000932 00000E4C
16:33:02.730 R 1515 00000E38 0138 00000932 00000E4C
16:33:02.730 S 1513 00000E38 0111 03000416 00000E4C
16:33:02.730 R 1515 00000E38 0111 03000416 00000E4C
16:33:02.730 S 1513 00000E38 0138 00000932 00000E3C
16:33:02.730 R 1515 00000E38 0138 00000932 00000E3C
16:33:02.730 S 1513 00000E38 0111 04000416 00000E4C
16:33:02.730 R 1515 00000E38 0111 04000416 00000E4C
16:33:02.730 S 1513 00000E38 0138 00000932 00000E4C
16:33:02.730 R 1515 00000E38 0138 00000932 00000E4C
16:33:02.730 S 1513 00000E38 0111 06020416 00000E4C
16:33:02.730 R 1515 00000E38 0111 06020416 00000E4C
16:33:02.730 S 1513 00000E38 0138 0000093E 00000E4C
16:33:02.730 R 1515 00000E38 0138 0000093E 00000E4C
16:33:02.730 S 1513 00000E38 0138 0000093E 00000E4C
16:33:02.730 R 1515 00000E38 0138 0000093E 00000E4C
16:33:02.730 S 1513 00000E38 0111 03000416 00000E4C
16:33:02.730 R 1515 00000E38 0111 03000416 00000E4C

---
TuruKame Ver.1.52, Hidemaru Ver.3.11
[ ]
RE:06172 ウィルス・メールでエラーNo.06173
秀まるお さん 01/11/27 17:42
 
>しかし、AntiVirus が添付ファイル削除後、“鶴亀”からエラー・
>メッセージが出て、下記のような dump.txt が出来てました。

 まさしくこのエラーメッセージを出ないように修正したはずだったんですが、
エラーコードが僕の想定している物とは違ってました。

 AntiVirusがファイルを削除した場合は「ファイルが見つからない」という
エラーが出るはずで、そのエラーの場合は無視するようにしたんですが、今回
出ているのは「ファイルへのアクセスが拒否された」だそうです。

 他の方の報告によると、アンチウィルスソフトはウィルスファイルを単純に
削除するのではなく、どこか別のフォルダにコピーしてから削除するそうで、
たぶんそのコピーの最中に鶴亀メールがアクセスしてエラーになったんだと思
います。

 ということで、こういう場合にはDUMP.TXTに出力しない、何か適当な処理を
入れてみます。
[ ]
RE:06173 ウィルス・メールでエラーNo.06204
マイケル さん 01/12/03 11:24
 
マイケルです。

秀まるおさんの 11月27日(火) 午後 5時42分 の
“RE 06172 ウィルス・メールでエラー”について:
====

>>しかし、AntiVirus が添付ファイル削除後、“鶴亀”からエラー・
>>メッセージが出て、下記のような dump.txt が出来てました。
 :
> ということで、こういう場合にはDUMP.TXTに出力しない、何か適当な処理を
>入れてみます。

このセイかどうか判らないんですが、WinXP + Norton AntiVirus
2002 で BadTrans.B からのメールを受信すると、受信ログが

|送信元: Norton AntiVirus 電子メール保護
|
|Norton AntiVirus が以下の電子メールメッセージを削除しました。
| 理由は次のウィルスが感染していたためです:
|
|送信元:
|送信先:
|件名:

と言う風に改変されました。当然(?)メールの内容も空っぽです。


WinXP の方はメールを削除しない設定になってるので、同じメール
を Win98SE + Norton AntiVirus 5.0(OEM version for IBM で受信
すると、添付ファイルは削除済みのようになってて、AntiVirus は
警告も何も出しませんでした。当然、ログもメールも下記の通り正
常です。

|Subject:  Re:
|From:     "Ta****a" <_a******0@par.odn.ne.jp>
|To:       mtk@trans-usa.com
|Date:     Mon, 3 Dec 2001 08:56:14 +0900
削除マークになってる添付ファイル HAMSTER.DOC.pif
(BadTrans.B のエンコード・ルーチンにバグがありうまく行かない
ことがある?? 時々上手くデコード出来なのがある)

たぶん、AntiVirus 2002 のセイだと思うのですが、鶴亀メールが絡
んでいるのだとしたら、送信元などが判らなくなってしまうのはま
ずいと思います。
また、もしかしたら AntiVirus 2002 が元のログをどっかに隔離し
て置いてるのかも知れませんが、まだ捜してません。

・・にしても、いまだに BadTrans.B が日に数通来る…。

---
TuruKame Ver.1.53, Hidemaru Ver.3.11
[ ]
RE:06204 ウィルス・メールでエラーNo.06207
マイケル さん 01/12/03 13:02
 
マイケルです。

自己レスです。私めの 今朝 11時24分 の
“RE 06173 ウィルス・メールでエラー”について:
====

>削除マークになってる添付ファイル HAMSTER.DOC.pif
>(BadTrans.B のエンコード・ルーチンにバグがありうまく行かない
>ことがある?? 時々上手くデコード出来なのがある)

あ、.pif ファイルは自動的に削除になってますね。

---
TuruKame Ver.1.53, Hidemaru Ver.3.11
[ ]
RE:06204 ウィルス・メールでエラーNo.06209
秀まるお さん 01/12/03 13:14
 
>このセイかどうか判らないんですが、WinXP + Norton AntiVirus
>2002 で BadTrans.B からのメールを受信すると、受信ログが

 Notron Anti Virusにはいくつかウィルスチェックの手段があるようなんで
すが、メールについてのアンチウィルスをONにすると、そもそも鶴亀メールが
受信するデータ(POP3サーバーと鶴亀メールがやりとりするデータ)を監視し
て、そこにウィルスがあれば勝手にメールを改ざんしてしまうようです。

 どうやってそんなことが出来るのか、詳しい仕組みは知りませんけど。
[ ]
RE:06209 ウィルス・メールでエラーNo.06210
マイケル さん 01/12/03 13:58
 
マイケルです。

秀まるおさんの きょう 午後 1時14分 の
“RE 06204 ウィルス・メールでエラー”について:
====

> Notron Anti Virusにはいくつかウィルスチェックの手段があるようなんで
>すが、メールについてのアンチウィルスをONにすると、そもそも鶴亀メールが
>受信するデータ(POP3サーバーと鶴亀メールがやりとりするデータ)を監視し
>て、そこにウィルスがあれば勝手にメールを改ざんしてしまうようです。

了解しました。AntiVirus 側の設定を見るなりしてみます。
お忙しいのに有り難うございました。

---
TuruKame Ver.1.53, Hidemaru Ver.3.11
[ ]