ウィルスZIP添付

a2d8f19fe7d154bea9f02ce19ead8077.png
a2d8f19fe7d154bea9f02ce19ead8077.png

最近、これ系のウィルス添付メール多い。
レンタルサーバ所でもウィルス判定しているはずなのにかいくぐってくる。迷惑な奴だ。

ヘッダから送信元は[197.15.9.133]こいつかと思わせるような偽装工作。

whoisをたどると、
http://whois.ansi.co.jp/197.15.9.133
Organization: African Network Information Center (AFRINIC)
アフリカかぁ。

んで、語られているアカウントは
conurbationo2@ares.eonet.ne.jp
これだろうなぁ。

関連してそうなサイト(ドメイン一緒)
http://www.eonet.ne.jp/~snowhunt/
メールアドレスも、@ares.eonet.ne.jp これだし。

経路的には アフリカ
Received: from [197.15.9.133] (account conurbationo2@ares.eonet.ne.jp HELO fdss.tmail.plala.or.jp)
Organization: African Network Information Center (AFRINIC)

イギリス
Received: from [192.173.131.203] (helo=gbykqo.qfgqmg.net)
http://whois.ansi.co.jp/192.173.131.203
country: GB

中国
Received: from 121.239.100.165 (unknown [121.239.100.165]) (envelope sender: )
http://whois.ansi.co.jp/121.239.100.165
country: CN

を経由して、レンタルサーバに入ってきてるように見えるけど。

多分、だけど、アフリカ・イギリスのRecivedは偽装かな。このヘッダの中で
信用できるのは、レンタルサーバ受け取っている中国のReceived: from 121.239.100.165
これだけだ。アフリカと、イギリスを回したように見せる事で送信元をばれないように
してんのかなぁとか。やっぱ中国かぁ。

アフリカと、イギリスのサーバ名・ホスト名のIPアドレスはメール送信サーバには見えない。
25,587 ちなみに、110,80もポートが空いてない。121.239.100.165からレンタルサーバめがけて
直送してきたのかなって思うけど。どうだろう。

Return-Path:
Delivered-To: hanako@hoge
Received: (qmail 26950 invoked by uid 101); 5 Jul 2016 15:36:28 +0900
Delivered-To: hoge-0cover-hoge@hoge
Received: (qmail 26946 invoked by uid 101); 5 Jul 2016 15:36:28 +0900
Delivered-To: hoge@hoge
Received: (qmail 26940 invoked by uid 101); 5 Jul 2016 15:36:27 +0900
Received: from unknown (HELO ah101.wadax.ne.jp) (211.1.224.151)
by 0 with SMTP; 5 Jul 2016 15:36:27 +0900
Received: from 121.239.100.165 (unknown [121.239.100.165]) (envelope sender: )
(not using TLS) by ah101.wadax.ne.jp (Active!Hunter) with ESMTP id FPkU07385A;
Tue, 5 Jul 2016 15:36:24 +0900
Received: from [192.173.131.203] (helo=gbykqo.qfgqmg.net)
by with esmtpa id oqmoazbhs8dwmnn.2.20160705141230
for hoge@hoge; Tue, 5 Jul 2016 14:12:30 +0800
Received: from [197.15.9.133] (account conurbationo2@ares.eonet.ne.jp HELO fdss.tmail.plala.or.jp)
by (Postfix)
with esmtpa id 836D85AFC8 for hoge@hoge; Tue, 5 Jul 2016 14:12:30 +0800
Date: Tue, 5 Jul 2016 14:12:30 +0800
From: kinou@hotmail.co.jp
Reply-To:
To: