ソービッグウイルス駆除できました。

MLメンバー各位

ご協力ありがとうございました。
次の手法で、メールサーバーの管理者が解りましたので、処置依頼をしたところ、感染者を特定し駆除方法を指導して駆除したようです。

1、メールのプロパティで、最初(一番下)に書かれたReceived(受け取ったメールサーバ)にかかれたIPアドレス調べる
(ウイルス駆除済みでないメールは、不用意な操作をしないでください)
Received: from OEMCOMPUTER (p3160-ipad06kyoto.kyoto.ocn.ne.jp [220.107.26.160])
	by rcpt-impgw.biglobe.ne.jp (nkrw/5008050603) with ESMTP id h7TCw1C11580
	for <qpon@mtd.biglobe.ne.jp> Fri, 29 Aug 2003 21:58:01 +0900 (JST)
Message-Id: <200308291258.h7TCw1C11580@rcpt-impgw.biglobe.ne.jp>
2、日本ネットワークインフォメーションセンター(JPNIC)のホームページ http://www.nic.ad.jp/に行き、下記で検索する
JPNIC Whois Gateway
海外のサーバーも調べにはCyberSyndromeのWhoisを使うと検索できます。
Whois


3、IPアドレス管理者が次のように表示されます
[ JPNIC & JPRS database provides information on network administration. Its   ]
[ use is restricted to network administration purposes. For further infor-    ]
[ mation, use 'whois -h whois.nic.ad.jp help'. To suppress Japanese output,   ]
[ add'/e' at the end of command, e.g. 'whois -h whois.nic.ad.jp xxx/e'.       ]

Network Information: [ネットワーク情報]
a. [IPネットワークアドレス]     220.107.0.0-220.107.255.0
b. [ネットワーク名]             OCN
f. [組織名]                     オープンコンピュータネットワーク
g. [Organization]               Open Computer Network
m. [運用責任者]                 AY1361JP
n. [技術連絡担当者]             MO081JP
n. [技術連絡担当者]             KK551JP
n. [技術連絡担当者]             IM657JP
p. [ネームサーバ]               ns-kg001.ocn.ad.jp
p. [ネームサーバ]               ns-kn001.ocn.ad.jp
y. [通知アドレス]               db-admin@ocn.ad.jp
[割当年月日]                    2003/03/31
[返却年月日]                     
[最終更新]                      2003/03/31 10:52:05 (JST)
                                ip-alloc@nic.ad.jp


4、 [通知アドレス]あてに駆除要請した結果次のような対応されました。
宮本幸雄 様


この度はお問い合わせをいただき、ありがとうございます。
OCNカスタマサポート担当 本間と申します。

ご迷惑をお掛けいたしておりまして大変申し訳ございません。
この度の件につきましては、早速、確認出来次第対処させて
頂きたいと存じますので、大変恐縮でございますが、いま暫く
お時間を賜れば幸いでございます。
ご迷惑、並びにお手間を取らせまして、誠に申し訳ございません。

今後ともOCNサービスをよろしくお願い申し上げます。


-----
NTTコミュニケーションズ株式会社
OCNサービスセンタ カスタマサポート担当 /本間
abuse@ocn.ad.jp
http://www.ocn.ne.jp/ (OCNホームページ)


ソービッグウイルス駆除に協力のお願い。


MLメンバー各位

ここ数日、多くのウイルスの襲来を受けていますが、中でも下記の感染パソコンからは繰返しばら撒かれています。
次の条件に、あてはまる方は、一度パソコンの点検をしてください。
ウイルスソフトを持っていない方は
ウイルスバスターオンラインスキャン 」がインターネット上で利用できます。
  1. プロバイダーがOCN(京都?)の方

  2. 8/27 15:00頃、疑わしいメール操作をした方

  3. 常時接続で、次の時間インターネットに接続していた方
      8/28 14:00〜19:00 ・ 8/29 13:00〜8/30 0:35
      8/30 昼間は使わず 17:40〜23:15
    8/31 15:25〜22:50 9/1 18:45〜1:40 9/2 10:45〜16:00

  4. ウイルスが使ったメールアドレスに心当たりがある方
    (メールアドレスから見ると教育関係に興味があり、
     その関係のメーリングリストに参加されている?)


感染したパソコンが使用しているメールサーバー


Received: from OEMCOMPUTER (p3160-ipad06kyoto.kyoto.ocn.ne.jp [220.107.26.160])
	by rcpt-impgw.biglobe.ne.jp (nkrw/5008050603) with ESMTP id h7TCw1C11580
	for <qpon@mtd.biglobe.ne.jp> Fri, 29 Aug 2003 21:58:01 +0900 (JST)
Message-Id: <200308291258.h7TCw1C11580@rcpt-impgw.biglobe.ne.jp>


上記サーバーからqpon@mtd.biglobe.ne.jpに送られてきたウイルスメール
qpon@mtd.biglobe.ne.jpが送信者として盗用されために受けた警告メール
------------------  Virus Warning Message

Found virus WORM_SOBIG.F in file document_all.pif

--------------------- 警告!Warning! ---------------------
あなたが、以下の宛先に送信したメールはコンピュータウイルスに
感染していたため、届かなかった可能性があります。
添付ファイルのウイルスの確認を行い、メールを再送信してください。
The file you have attached was infected with a computer virus.

これは、ビジネスBIGLOBEのメールウイルスチェックサービスにおいて
トレンドマイクロ社が提供しているInterScanでチェックした結果です。

検出日時      : 08/29/2003 21:40:04
発信者        : qpon@mtd.biglobe.ne.jp
受信者        : yamasaki@waseda.jp
ウイルス名    : WORM_SOBIG.F
感染ファイル名: document_all.pif

ウイルスの詳細は、下記サイトのウイルスデータベースで確認できます。
The details of the virus can be checked by the following sites.
http://www.trendmicro.co.jp/
http://www.antivirus.com/
※ウイルスの種類によっては、感染コンピュータ内で取得した任意の
  メールアドレスを「発信者(From)」として設定する場合があります。
  「発信者」として設定されているメールアドレスを登録している
  コンピュータが、ウイルスに感染しているとは限りませんので
  ご了承ください。
--------------------- 警告!Warning! ---------------------

ALERT!
A virus was detected in your message.
NAV(Norton Anti Virus)はあなたのメールにウイルスを発見しました。

A virus was NOT removed.
ウイルスの駆除に失敗したため、
配信を拒否しました。
(status = not repaired :未修復)

file=your_document.pif,status=deleted,virus-id=36527,virus-name=W32.Sobig.F@mm

Thank you.

Plala Networks

-------------- Original message text follows ---------------
Subject:  Re: That movie
Message-ID:  <20030829105938.SQYL27675.mps8.plala.or.jp@OEMCOMPUTER>
Date: 2003/08/29
From: qpon@mtd.biglobe.ne.jp
To: take0826@khaki.plala.or.jp

We found the computer virus in this mail attachment(s).
Therefore, we deleted these attachment(s) that was infected by computer virus.
These attachment(s) name are listed below:
document_9446.pif   WORM_SOBIG.F

viruswall@koetoi.cc.sophia.ac.jp

The mail message (file: your_details.pif) 
you sent to r_tateiwa@kufs.ac.jp contains a virus. 
(on mail)