ウイルスバスター2002により受信メールのNo.06905
nogold さん 02/03/15 18:20
 
ウイルスバスター2002のウイルス検索により
受信メールのファイル「受信200203.txt」が隔離されてしまいました。
それにより、
「メール用のファイルが他のアプリケーションによって書き換えられたか、
または何らかの矛盾が発生しました。
矛盾のある一覧を作成しなおしますか?」
というメッセージが出て、3月分のメールが消えました
(隔離をやめることで復活はしました)。
3月に受信したウイルスはWORM_BADTRANS.Bです。
なお、鶴亀 1.70 WIN Me です。

ウイルスバスターの設定で、ウイルス発見時に隔離しないようにすれば
いいとは思いますが
鶴亀メールの方で隔離させないようにすることは
可能でしょうか。
[ ]
RE:06905 ウイルスバスター2002により受信No.06907
秀まるお さん 02/03/16 23:00
 
 鶴亀メールは添付ファイルをメール用のファイルとは分離する作りなので、仮
にウィルス入りメールを受信しても、メールそのもののファイル(受信XXXX.
txt)がアンチウィルスソフトによって削除されることは無いはずでした。(少
なくともつい最近まではそうでした)

 それが最近のウィルスバスター(バージョンアップ版?)によって、ウィルス
本体が含まれないテキスト形式ファイルですらも隔離するようになったのなら、
これはウィルスバスターがおせっかいなバージョンアップをしたと言うことでし
ょうか?

 出来ればウィルスバスター側に文句を言って欲しい所です。

 うちの会社にもウィルスバスターが1本あるんですけど、これを一度
Windows98マシンに入れたらそのwindows98マシンの印刷がおかしくなって、アン
インストールして他のマシンにインストールしたら、なんとかキーが違うだの言
ってオンラインアップデートが出来なくなり、事実上使えなくなってしまいまし
た。

 こんなテストのためにまたもう1本買わされるのは勘弁して欲しいです。
[ ]
RE:06907 ウイルスバスター2002により受信No.06908
ひろ さん 02/03/16 23:49
 
 秀まるおさん今日は、ひろです。
>  うちの会社にもウィルスバスターが1本あるんですけど、これを一度
> Windows98マシンに入れたらそのwindows98マシンの印刷がおかしくなって、アン
> インストールして他のマシンにインストールしたら、なんとかキーが違うだの言
> ってオンラインアップデートが出来なくなり、事実上使えなくなってしまいまし
> た。
 こちらについて、知人から聞いた範囲の情報を記載しておきます。本来鶴
亀と関係ないことですが、間接的にではありますが、原因究明が早まればよ
いと思い、投稿します。
(1)印刷について
 ネットワークを監視している関係で、プリンタをネットワーク経由で使用
している場合、おっしゃっていることが起きるそうです。ただウイルスバス
ターの FAQ らしく、トレンドマイクロの WEB site に回避方法が乗っている
そうです。
(2)アップデートに関して
 複数のハードからのアップデートが出来ないように、何とかキーはハード
ウェアごとに発行されます。秀まるおさんの環境の場合、テストに使ってい
るということで、どう辞しようという意味では、一台でしか使っていないの
で、テストするハードで説明書通りに、キーの再発行をすれば良いと思いま
す。
[ ]
RE:06907 ウイルスバスター2002により受信No.06909
アルビレオ さん 02/03/17 00:04
 
> それが最近のウィルスバスター(バージョンアップ版?)によって、ウィルス
>本体が含まれないテキスト形式ファイルですらも隔離するようになったのなら、
>これはウィルスバスターがおせっかいなバージョンアップをしたと言うことでし
>ょうか?
>
> 出来ればウィルスバスター側に文句を言って欲しい所です。

これについてはウィルスバスターが100%悪いともいえないようです。
むしろ、テキストで書かれた本文のスクリプトを実行してしまうメールクライアントが
非常に普及してしまっているため、こういう処理を取らざるを得なくなったのでしょ
う。
参考
http://www.jaipa.org/security/old_info/2001_09.html#28

メールクライアントがメールを受け取る前にウィルスバスターが問題のあるメールを
横取りしてしまう仕組みなので、鶴亀に限らずメールクライアント側で対処することは
不可能だと思います。

#それにしても、「バグ関係」の会議室に書き込む内容じゃないと思いますが。
[ ]
RE:06908 ウイルスバスター2002により受信No.06910
秀まるお さん 02/03/17 22:22
 
>(1)印刷について

 一応、うちの奥さんがそこを見て復旧させたと思ったけども、何枚か印刷す
るとやっぱりダメなことがあって、そのたびに再起動しているのがいやになっ
たと言ってました。

 うちのサーバー機が(秀丸などのテストのために)NT3.51を使ってまして、
それが原因かもしれないし、とにかく原因究明してる暇があったら削除した方
が早いという話になって削除しました。

 ま、テストの時だけ動かすようにすればいいだけなので、インストールして
動かさないようにすれば済むとは思いますが…。

>で、テストするハードで説明書通りに、キーの再発行をすれば良いと思いま
>す。

 これまた、うちの奥さんマシンでしかもうちの奥さんのメールアドレスで登
録してしまったので、その辺の事情を説明してうんぬんするのが大変だったり
しまして…。

 で、今誰も使ってない間にテストするべく、会社に出社した所です。
[ ]
RE:06909 ウイルスバスター2002により受信No.06911
秀まるお さん 02/03/17 22:24
 
 鶴亀メールが受信したWORM_BADTRANS.Bは、添付ファイルを除いた部分に関
してはほとんど中身の無いただのテキストファイルでして、これが削除されて
しまうととっても都合がわるいです。スクリプトを含んでいるから削除される
ならまだ許せます。

 ま、一度こちらでテストしてどういう条件で削除されるのか調べてから結論
を出したいと思います。

-----------
 もしかして受信したメールじゃなくて、受信ログが削除されたって話の間違
いだったらいいなぁと思ってますが。
[ ]
RE:06910 ウイルスバスター2002により受信No.06912
秀まるお さん 02/03/17 23:29
 
 ウィルスバスター2002をインストールし、最新版にアップデートしました。

 プログラムのバージョン:   9.01
 検索エンジンのバージョン: 5.63
 ビルド番号:               1213
 パターンファイル番号:     244

 で、この状態でxxxxxxxx@nifty.ne.jpのメールを受信したら、さっそく
BADTRANS.Bを1通受信しました。(^^;

 それで、以下の3つのファイルをc:\MyDocumentsフォルダにコピーして、そ
このフォルダをウィルスバスター2002で手動検索してみました。

 コピーしたファイル:
  A.受信ログファイル(受信ログ200203_01.txt)
    (エンコードされたウィルスが入っている)
  B.鶴亀メールが受信解析して取り出したウィルス本体。
  C.受信メールのテキストファイル(受信200203.txt)
    (ウィルス本体は除去されている)

 報告いただいた内容によれば、ウィルスバスター2002が「C」のテキストフ
ァイルを削除するような話かと思いますが、それは削除されませんでした。

 それどころか、「A」の受信ログすら削除されることがありませんでした。
削除されたのは「B」のウィルス本体のみです。

 ちなみにウィルスバスターホームページのウィルス情報によると、エンコー
ドされたままのBADTRANS.Bは「BADTRANS.B1」という別のパターンとして区別
されるようになったと書いてあります。これはつまり、Becky!でファイルが削
除されて困るという話が出てきたために、アンチウィルスソフト側がエンコー
ドされたままのウィルスについては削除しないように修正されたかのような話
かと思います。

 ということで、ウィルスバスター2002を最新版にアップデートすれば、そも
そも受信ログが削除される問題すらも解決するんじゃないかと思います。まし
てや「C」のテキスト形式部分すらも削除されるようなことが起こることは、
僕には想像できません。内容は以下のような本当にシンプルなテキストファイ
ルですから!

    Subject: Re:
    From: XXXXX <xxxxx@XXXX.XX.XX>
    Date: Sun, 17 Mar 2002 19:35:11 +0900
    To: xxxxxxxx@nifty.ne.jp
    Return-Path: xxxxxx@XXXX.XX.XX
    Content-Type: multipart/related;
         type="multipart/alternative";
         boundary="====_ABC1234567890DEF_===="
    X-Priority: 3
    X-MSMail-Priority: Normal
    X-Unsent: 1
    Message-Id: <xxxxxxxxxxxxxx@XXXX.XX.XX>
    X-Attach: 受信添付\020317_02\Sorry_about_yesterday.MP3.pif
    X-Html: 受信HTML\020317_00\index.htm

 もし上記のようなテキストファイルがウィルスバスターによって削除される
と言うなら、「Sorry_about_yesterday.MP3.pif」と書いただけでそのファイ
ルが削除されるとしか考えられません。そんな怖いソフトがもし存在するなら、
即アンインストールしたらいいと思います。
[ ]
RE:06912 ウイルスバスター2002により受信No.06913
nogold さん 02/03/18 07:25
 
秀まるお様、皆様、ご回答頂きありがとうございました。

使っているウイルスバスターのバージョンは
プログラムのバージョン:   9.01 build 1217
検索エンジンのバージョン: 6.10
パターンファイル番号:     244
です。

これまでもBADTRANS.Bを受信したことがあったのですが
その場合は受信ログが削除されただけです。

今回は確かにメールのファイルの受信・・.txtが
隔離されました。

どういう条件でこの現象が起きるかは
まだはっきりしていないので
自分でもう少し調べようと思います。

いろいろとお手数をおかけしてしまい、
どうもすいませんでした。
[ ]
RE:06913 ウイルスバスター2002により受信No.06916
秀まるお さん 02/03/18 11:38
 
 検索エンジンのバージョンが違うのはいったいどうしたことやら?。それに、
僕の所では受信ログについてはウィルスとは判定されませんでした。

 仮に受信ログがウィルスと判定されるのであれば、可能性として考えられる
のは、エンコードされたウィルスが何らかの形でメール本文中にまぎれこんだ
ケースが考えられます。例えばウィルスメールのContent-Type:ヘッダが壊れ
てしまったりすると、鶴亀メールのデコード処理がうまく働かず、エンコード
されたウィルス本体がメール本文にまぎれこんでしまいます。

 メール本文にエンコードされたウィルスがまぎれこめば、このファイル全体
がウィルスとして隔離されるのは分かります。

-----------------------
 ということは、根本的にウィルス入りメールを削除させないためには、

 − いったん、メールを一時ファイルに保存して、しばらく様子を見る。
 − ファイルが削除されてなければ、その一時ファイルをメール用の
   ファイルに追加保存する。

 というような処理が必要なのかもしれないです。

 はて、そこまでするかどうかは、とりあえず今後のユーザー様からの報告し
だいとさせていただきます。
[ ]
RE:06916 ウイルスバスター2002により受信No.06928
nogold さん 02/03/19 09:36
 
秀まるお様、お世話になっております。
いろいろとありがとうございました。

> 仮に受信ログがウィルスと判定されるのであれば、可能性として考えられる
>のは、エンコードされたウィルスが何らかの形でメール本文中にまぎれこんだ
>ケースが考えられます。例えばウィルスメールのContent-Type:ヘッダが壊れ
>てしまったりすると、鶴亀メールのデコード処理がうまく働かず、エンコード
>されたウィルス本体がメール本文にまぎれこんでしまいます。
どうもこれが原因のように思います。
3月に受信したWORM_BADTRANS.Bが添付されたメールで
ヘッダの以下の部分と添付ファイルが本文にまぎれこんでいるものがありました。

Subject: Re:
MIME-Version: 1.0
Content-Type: multipart/related;
 type="multipart/alternative";
 boundary="====_ABC1234567890DEF_===="
X-Priority: 3
X-MSMail-Priority: Normal
X-Unsent: 1
[ ]
RE:06928 ウイルスバスター2002により受信No.06936
秀まるお さん 02/03/19 16:49
 
 あれからまた調べてみたんですが、なぜうちの環境で受信ログが削除されな
いか分かりました。

 ウィルスバスター2002側での、「検索するファイルの対象」がうちのマシン
では「トレンドマイクロの推奨設定」となっていて、この場合だと、.txtとい
う拡張子のファイルはチェック対象とならないようです。

 ここを「すべて」にしたら、受信と同時にメール用ファイルが隔離される症
状が確認できました。

 でもって、鶴亀メール側にオプション追加しました。

 「全般的な設定・ウィルス対策」に、

 「アンチウィルスソフトのリアルタイム検索に対応させる」

 オプションを付けました。これをONにすると、鶴亀メールは受信したメール
を一度テンポラリファイルに保存し、ほんのわずかな時間だけ待機します。待
機が終わったらそのファイルが残っているかどうか確認し、残っていれば普通
に作業します。

 もし残っていなければアンチウィルスソフトが削除した物と解釈し、その
メールの保存処理を省略し、受信が終わってからエラーメッセージを表示しま
す。

 ということで、メールがごっそり隔離される現象はとりあえず回避できると
思います。

---------
 ま、しいてこのオプションが無くても、上記の通り、ウィルスバスター2002
側でのリアルタイム検索の設定を変更すれば済む話ではありますが…。そもそ
もメール検索の機能もあるし。
[ ]
RE:06936 ウイルスバスター2002により受信No.06944
nogold さん 02/03/19 20:42
 
秀まるお様
ご回答、ありがとうございました。

> ウィルスバスター2002側での、「検索するファイルの対象」がうちのマシン
>では「トレンドマイクロの推奨設定」となっていて、この場合だと、.txtとい
>う拡張子のファイルはチェック対象とならないようです。
ウイルスバスターの設定を見直すと、
「タスク検索」で週1回金曜にCドライブを検索するタスクの
「検索オプション」が「すべて」となっており、それが原因だったようです
(受信メールのファイルが隔離される現象が起きたのは
 確かに15日金曜のタスク検索時でした)。
ちなみに、
私のパソコン(いじっていないのでおそらく初期設定だと思います)でも
検索設定の「リアルタイム検索」の「検索するファイルの対象」は
「トレンドマイクロの推奨設定」となっていました。

また、オプションを追加して頂き
ありがとうございました。
> ま、しいてこのオプションが無くても、上記の通り、ウィルスバスター2002
>側でのリアルタイム検索の設定を変更すれば済む話ではありますが…。
仰るとおりに「リアルタイム検索」やタスク検索の
「検索するファイルの対象」を変更しようと思います。

ありがとうございました。
[ ]