私の公式メールアドレスを御存じの方は知っていると思いますが、ある有名? メール転送サービスを使っています。 今日はそこの管理者らしきメールアドレスから以下のようなメールが届きました。 — Dear Valued Member, According to our terms of services, you will have to confirm your e-mail by the following link, or your account will be suspended for security reasons. http://www.my_address_domain/[email protected] After following the instructions in the sheet, your account will not be interrupted and will continue as normal. Thanks for your attention to this request. We apologize for any inconvenience. Sincerely, Mail Abuse Department — うーん、こういうメールが今までこなかったことは無いこともないので、URLを クリックしてみました。 すると、FireFoxのダウンロードマネージャに 「http://webhosts.yfcdavao.org/Confirmation_Sheet.pif」 という情報が。…慌ててキャンセルして、cygwinのwgetでダウンロードしてみま した。 PIFとPDFは拡張子が似ているのですが、PIFはMS-DOSアプリの実行のための情報 ファイルのはずが、結構大きいバイナリ。ウィルスは検出されていませんが、限 りなくクロに近いマルウェア(malware)なのではないかと推測します。 調べてみたのですが、.pifを添付するという方法はnetskyで前例がありますが、 巧妙なHTMLメールでフィッシング&.pif攻撃というのはあまり見掛けません。 まあゾンビ化して、同じようなメールを送り散らすとかいう機能かもしれません が…いずれにせよ削除削除です。 以下、ヘッダ部分を引用しておきます。 Received-SPF: neutral (google.com: 208.36.123.17 is neither permitted nor denied by best guess record for domain of [email protected]_address_domain) Received: from megatron.cliu.org (smtp.cliu.org [209.18.48.132]) by spf13.us4.tenso-service.com (Postfix) with ESMTP id 7BC9317F31 for [email protected]; Tue, 24 Oct 2006 17:38:02 +0000 (GMT) Received: from localhost (localhost [127.0.0.1]) by megatron.cliu.org (Postfix) with ESMTP id 09DED2E97E for [email protected]; Tue, 24 Oct 2006 13:36:07 -0400 (EDT) Received: from megatron.cliu.org ([127.0.0.1]) by localhost (megatron.cliu.org [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 98716-08 for [email protected]; Tue, 24 Oct 2006 13:36:06 -0400 (EDT) Received: from my_address_domain (unknown [172.29.65.8]) by megatron.cliu.org (Postfix) with ESMTP id 67B7C2E994 for [email protected]; Tue, 24 Oct 2006 13:31:20 -0400 (EDT) From: [email protected]_address_domain To: [email protected] Subject: Account Alert Date: Tue, 24 Oct 2006 13:31:19 -0400 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”—-=_NextPart_000_0008_AFF4023C.43B5FF10” X-Priority: 3 X-MSMail-Priority: Normal Message-Id: [email protected] X-Virus-Scanned: by amavisd-new at cliu.org This is a multi-part message in MIME format. ——=_NextPart_000_0008_AFF4023C.43B5FF10 Content-Type: text/html; charset=”ISO-8859-1” Content-Transfer-Encoding: 7bit <html> <body>
Dear Valued Member,

According to our terms of services, you will have to confirm your e-mail by the following link, or your account will be suspended for security reasons.

http://www.my_address_domain/[email protected]

After following the instructions in the sheet, your account will not be interrupted and will continue as normal.

Thanks for your attention to this request. We apologize for any inconvenience.

Sincerely, Mail Abuse Department
</body> </html>