私の公式メールアドレスを御存じの方は知っていると思いますが、ある有名? メール転送サービスを使っています。 今日はそこの管理者らしきメールアドレスから以下のようなメールが届きました。 — Dear Valued Member, According to our terms of services, you will have to confirm your e-mail by the following link, or your account will be suspended for security reasons. http://www.my_address_domain/confirm.php?account=my@address After following the instructions in the sheet, your account will not be interrupted and will continue as normal. Thanks for your attention to this request. We apologize for any inconvenience. Sincerely, Mail Abuse Department — うーん、こういうメールが今までこなかったことは無いこともないので、URLを クリックしてみました。 すると、FireFoxのダウンロードマネージャに 「http://webhosts.yfcdavao.org/Confirmation_Sheet.pif」 という情報が。…慌ててキャンセルして、cygwinのwgetでダウンロードしてみま した。 PIFとPDFは拡張子が似ているのですが、PIFはMS-DOSアプリの実行のための情報 ファイルのはずが、結構大きいバイナリ。ウィルスは検出されていませんが、限 りなくクロに近いマルウェア(malware)なのではないかと推測します。 調べてみたのですが、.pifを添付するという方法はnetskyで前例がありますが、 巧妙なHTMLメールでフィッシング&.pif攻撃というのはあまり見掛けません。 まあゾンビ化して、同じようなメールを送り散らすとかいう機能かもしれません が…いずれにせよ削除削除です。 以下、ヘッダ部分を引用しておきます。 Received-SPF: neutral (google.com: 208.36.123.17 is neither permitted nor denied by best guess record for domain of abuse@my_address_domain) Received: from megatron.cliu.org (smtp.cliu.org [209.18.48.132]) by spf13.us4.tenso-service.com (Postfix) with ESMTP id 7BC9317F31 for my@address; Tue, 24 Oct 2006 17:38:02 +0000 (GMT) Received: from localhost (localhost [127.0.0.1]) by megatron.cliu.org (Postfix) with ESMTP id 09DED2E97E for my@address; Tue, 24 Oct 2006 13:36:07 -0400 (EDT) Received: from megatron.cliu.org ([127.0.0.1]) by localhost (megatron.cliu.org [127.0.0.1]) (amavisd-new, port 10024) with ESMTP id 98716-08 for my@address; Tue, 24 Oct 2006 13:36:06 -0400 (EDT) Received: from my_address_domain (unknown [172.29.65.8]) by megatron.cliu.org (Postfix) with ESMTP id 67B7C2E994 for my@address; Tue, 24 Oct 2006 13:31:20 -0400 (EDT) From: abuse@my_address_domain To: my@address Subject: Account Alert Date: Tue, 24 Oct 2006 13:31:19 -0400 MIME-Version: 1.0 Content-Type: multipart/mixed; boundary=”—-=_NextPart_000_0008_AFF4023C.43B5FF10” X-Priority: 3 X-MSMail-Priority: Normal Message-Id: [email protected] X-Virus-Scanned: by amavisd-new at cliu.org This is a multi-part message in MIME format. ——=_NextPart_000_0008_AFF4023C.43B5FF10 Content-Type: text/html; charset=”ISO-8859-1” Content-Transfer-Encoding: 7bit <html> <body>
Dear Valued Member,

According to our terms of services, you will have to confirm your e-mail by the following link, or your account will be suspended for security reasons.

http://www.my_address_domain/confirm.php?account=my@address

After following the instructions in the sheet, your account will not be interrupted and will continue as normal.

Thanks for your attention to this request. We apologize for any inconvenience.

Sincerely, Mail Abuse Department
</body> </html>