• ベストアンサー

modul***.exeが勝手にSMTPで偽装メールを送信します。助けてください!

初心者で失礼な点があるかもしれませんが,ご教示頂けます様お願いします。 使用しているPCはメーカ製ノートPCです。 OSにはWINDOWSXP-SP2で最新のAntiVirus,Spypodを利用しております。 最近,PCが妙に重いと思いましてNetstatで調べましたところ,同じポート番号からTCP25(SMTP)で知らないグローバルアドレスに対し、ものすごい勢いで送信しておりました。(1秒間に3~4セッション程です) パケットの中身をEtherealでキャプチャーしました所、 『知らないメールアドレス』から『知らないメールアドレス』へネットショッピングの勧誘テキストメールを送信しているようでした。 ※ http://www.ottislan.comというアドレスですが,外国のショッピングモールのようです。このURLは行かない方がいいと思います。 次に,タスクマネージャ等で追跡した結果、 <Drive>:\Documents and Settings\<USERID>\Local Settings\Temp に『modulhae.exe』というファイルが出来ており,これがメールを送信しているようでした。 但し,modulの後の部分が違うファイルが複数ありまして,最後のhaeは適当な文字列と考えられます。 削除の試みとして,このファイルのプロセスを停止し,上記ファイル削除,レジストリでこのファイルのエントリを全て削除しました。 ところが,Windowsを再起動してInternetにつなげると,またファイルが出来ており,勝手にSMTPでパケットを投げ続けます。 ※ 上記の補足ですが,グローバルアドレスを付与されるInternet接続では症状がからなず出ますが,プライベートアドレスを付与したルータ経由にすると途端に出なくなります。何がトリガーになるのか不明瞭です。 このように厄介なウイルス系ファイルですが、 Googleやヤフー等のネットサーチで調べても該当記載が全然ヒットしません。 どなたか,このウイルスのようなファイルの詳細と対処法をご存知の方は是非教えてくださいますようお願い申し上げます。

質問者が選んだベストアンサー

  • ベストアンサー
回答No.4

原因は他の方が応えていますので、とりあえずの対処方法です。 まず対象のプログラムは俗にボットと呼ばれるプログラムです。ボットプログラムはウイルスやWeb経由、不正アクセス等でPCの場所内におかれます。 ボットプログラムは、ツール等でカスタマイズされる事も多いので、サンプル数も少なくウイルス対策ソフトで検知できる例は希です。 逆にソフトを過信しないことが大事ですね。 対策方法は基本的にClockupさんの手順で結構なのですが、その作業はワームが実行されている環境ではすぐに書き戻されますので、必ずセーフモードで行わなくてはなりません。 また、そのボットが実行するためにWindowsファイアーウォールに例外登録が行われている可能性が高いので、いちどそちらの設定も調べる必要があります。 また駆除作業が完了するまでネットワークは切り離す方が結構です。 最後に、対策を行う場合にボットのプログラムとほぼ同じ日時にPC内(特にc:\windows\system32\)に作成されたファイルを検索してください。 ファイルバージョン情報やメーカー情報のないファイルで隠し属性やシステム属性になっているファイルがあれば、そちらがワーム本体の可能性があります。 このプログラムも見つけるためには、フォルダオプションの表示の項目で一番下の「保護されたオペレーティングシステムファイルを表示しない」のチェックを外さないと発見できません。 無論駆除作業は、セーフモードで行うことが基本です。 駆除が終わったら再起動後ファイアーウォールの再点検を行って、ネットに接続、仕上げにシマンテックのオンラインスキャンで検索を行ってください。 (検索のみで駆除はしませんので注意してください)

Clockup
質問者

お礼

的確なご回答誠にありがとうございます。 色々と参考になる箇所が多々あり一番参考になりました。FWの例外登録もされておりました。 ただ、セーフモードでファイルとレジストリ削除を実施しましたが、結局また復活してしまいました。 多分このmodulhae.exeは本体ではなく、SMTPの実行のみで、本体はAirRock様の仰るとおりSystem32などの何処かに隠れているような感触があります。 残念ですが今回はあきらめてリカバリかなと思っております。ご対応誠にありがとうございました。

全文を見る
すると、全ての回答が全文表示されます。

その他の回答 (4)

  • hoihence
  • ベストアンサー率20% (438/2093)
回答No.5

俺もNo.4の専門家さんが言うようにBot系のやつだと思いますね。 最近ではmalware作者とスパム業者が結託してたりしますからね。 ぜんぜん珍しくなくなってます。 なんせ、その筋のコミュニティーなんかではBotやRATが人気があるそうですから。アンチウイルスやアンチスパイウエアに検知されないように細工された特別のバージョン作成を請け負って商売してるところもあるそうです。 >上記の補足ですが,グローバルアドレスを付与されるInternet接続では症状がからなず出ますが,プライベートアドレスを付与したルータ経由にすると途端に出なくなります そう、だから、グローバルIPだと外部から命令を受けられるからですよ。プライベートIPだとマシン上で待ち受けしてるプロセスとやり取り出来なくなるから。 で、No.4の専門家さんの言われる対処で解消するといいんですけどね。 場合によってはセーフモードでも機能するようになってるかもしれません。もし、その場合にはCDブートとかで削除して下さい。 おそらく、対策の仕方が不十分だったか、すり抜けがあったんでしょうね。

全文を見る
すると、全ての回答が全文表示されます。
  • yoshi-thk
  • ベストアンサー率38% (2059/5283)
回答No.3

質問文からノートン・アンチウイルスを使っていたようで、 ノートン・アンチスパムやノートン・インターネットファイアウォールを使っていないのですね。 というのは、僕の経験からすると、不正アクセスされて、それでスパイウェアかバックドア系のウイルスに入り込まれて、 不正広告メール送信の土台に使われていると思います。 TCP25から送信と言うことなので、ポート25番を使用して送っている迷惑メールの送信ツールが不正に入ったのでしょう。 とりあえずの処置としては、パソコンのリカバリをして、 ウイルス対策としてのノートンアンチウイルス以外に、 ファアウォールソフトの使用と、ADSLや光ファイバーであれば、ルータの使用を勧めます。 このことで外部からの不正アクセスは、低減されます。 なお、ポート25番の問題については、次のアドレスの内容等を確認してください。 アットマーク・アイティ @IT > Security&Trust > 25番ポートの攻防 http://www.atmarkit.co.jp/fsecurity/column/ueno/32.html 最近のspamの傾向とOutbound ポート25ブロッキング http://www.hart.co.jp/spam/ob25block.html INTERNETWatch BIGLOBEが25番ポートからのメール送信を制御、迷惑メールの9割に効果 http://internet.watch.impress.co.jp/cda/news/2005/07/11/8355.html

Clockup
質問者

お礼

ご指摘頂いたように、安全性を考えますとリカバリが一番確実ですね。 ルータの常時利用はしたいのですが、生憎とMobileカードで利用する機会が多い為、FWの利用しかないようですね。25番ポートの件ありがとうございます。早速参考にさせていただきます!ありがとうございました!

全文を見る
すると、全ての回答が全文表示されます。
  • PrintScree
  • ベストアンサー率25% (538/2091)
回答No.2

AntiVirus,Spypodは常駐させてリアルタイム検索させておけばこんな事にならなかったと思うのですが… SpybotもTeaTimerを常駐させておけばレジストリを書き換えられずに済んだはずです。 対策ソフトをインストールしただけで安心していませんでしたか? 迷惑メールの発信元になっているのなら、ネットから隔離して早急に再インストールしてください。

Clockup
質問者

お礼

ご指摘頂きましたとおりですね。痛感しました。 SpybotのTeaTimerなるものがあるのですか。 こちらのソフトは不慣れな為、勉強していく所存です。 ありがとうございました。

全文を見る
すると、全ての回答が全文表示されます。
  • violet430
  • ベストアンサー率36% (27472/75001)
回答No.1

ウイルスを検知して駆除して下さい http://homepage2.nifty.com/winfaq/c/hints.html#1430 また、ウイルス対策ソフトは常駐していないのですか?

Clockup
質問者

お礼

ご回答いただきながら遅くなりまして申し訳ございません。 残念ながらAntiVirusやマカフィではウイルスとしては検知してくれませんでした。 スパイウェアは頻繁に利用していたつもりでしたが、まだまだ甘かったようです。 FWの常駐は必須ですね。今後はFWも入れていくつもりです。

全文を見る
すると、全ての回答が全文表示されます。
  1. カテゴリ
  2. インターネット・Webサービス
  3. セキュリティ対策・ネットトラブル
  4. ウィルス・マルウェア

関連するQ&A

  • メールでSMTPでの送信について

    メールでSMTPでの送信について 最近気が付いて身震いをしたのですが、 プロバイダから提供されていたりするメールアドレスにて、 メールを送信しようとする時に受信時とは違って、 ユーザー名とパスワードが不要です。 ということは‥、 メールアドレスさえ知っていれば、 誰でもそのメールアドレスに、 なりすますことができるのではと思うんです。 (例) アドレス:hoge@xxx.ne.jp SMTPサーバー:xxx.ne.jp といったようにメールアドレスが分かると、 自然とSMTPサーバー名も分かってしまうので、 容易になりすますことができてしまうように思います。 これをどうにか防ぐ方法はないでしょうか。 ご回答よろしくお願い致します。

  • SMTPで送信元メールアドレスは偽装可能?

    SMTPをコマンドから手動で動かしてみたのですが、で送信元メールアドレスを自由に打ち込めたのですが、どのアドレスにも基本的には偽装可能なのでしょうか?(危険ですよね)

  • 送信メールサーバー(SMTP)について

    Eメールを送りたいのですが、SMTPというものを入力しなくてはならず、 それが何かわからなくて困っています。 送信メールサーバー(SMTP)を教えてください。 ちなみに私の送信側のE-mailアドレスは ****@msj.biglobe.ne.jp で受信側のE-mailアドレスは、 ****@ezweb.ne.jp です。 どうかよろしくお願いします。

  • SMTP設定

    Adaptec RAID 71605E を使っていまして、SMTPによるメールでのエラー等の情報取得をしたいのですが、今一設定がうまくいきません。 SMTP Server Settings SMTP Server Address ? SMTP Server Port =467 又は 587 ? Sender Information From Email address 普通に送信元のEメールアドレス Use Secure Mail Server チェックon 下のIDとPass を入力 使っているのは、yahoooメールとgoogleメールです。 やりやすい方で、教えて下さい。 お願いします。

  • 外部からのSMTP送信について

    外部からのSMTP送信について お世話になります。 ネットワークについて初心者です。 自宅PCにて、会社で取得したメールアドレスでのメール送受信を行いたいと考えています。 しかし、会社のSMTPサーバには外部からつなぐことができないため、メールの受信はできても送信が行えずにいます。 上記問題を解決する方法として知識がないなりに調べてみたのですが、やはりよくわかりませんでした。 出てきたのは以下のようなものです。 ・自前でSMTPサーバを構築する ・フリーのSMTPサーバを利用する ・WindowsのIISを利用する ※知識不足のため明らかに間違っていたらごめんなさい 私としては、会社のSMTPを中継しない方法で会社メールアドレスでのやり取りができればいいと考えています。 また、解決方法があっても、必要な知識量、複雑な設定、セキュリティの甘さ、費用などが問題視されるようであれば、 『現実的に難しい』という回答でもかまいません。 OSはWindows Vista Office Outlook2007を使用しています。 皆様、どうかご教授をよろしくお願いします。

  • SMTPメール送信で送信者名と送信者アドレスを設定したい

    以前質問をさせて頂いたのですが、 自己解決しましたので、その対処方法と それによる新たな疑問を書かせて下さい。 JavaMailを使わずSMTP通信にてメールを送る プログラムを書いているのですが、SMTPコマンドにて  MAIL FROM: コマンドのアドレスと DATA From: コマンドの中身が一致しないと、 携帯にメールを送れない事が判明しました。 同じ内容ならば問題なくメールを送る事が出来るのですが、 送信者名を表示したいので、色々と試行錯誤してみましたが、 携帯で受信すると「不正フォーマット」として表示されてしまいます。 MAIL FROM:に送信者アドレスを書き、 DATA From:に送信者名のみを書くと、 不正ヘッダ情報となり携帯が受信をしてくれません。 以前の問題はそこが問題だったようです。 現在、MAIL FROM:はそのままメールアドレスを書き、 DATA From: に、 送信者名 <メールアドレス>  "送信者名" <メールアドレス> 送信者名 メールアドレス などとSMTPコマンドを書き換えて送ってみているのですが、 すべて「不正フォーマット」として表示されてしまいます。 お解かりになる方がいらしたらご教授して頂けると幸いです。

    • ベストアンサー
    • Java
  • SMTPエラー?メールが送信できないときがあります

    こんにちは。 友人宛に送ったメールが、最近エラーになります。 プロバイダはDIONを使っていて、メールもプロバイダのメールを使っています。 おかしくなったのはGWからで、実家に帰省中、DIONのWEBメールから送信したときにエラーが出ました。 その後帰宅して、自宅のPCから送信しなおしたら問題はなく、相手からちゃんと届いたと連絡もあったので安心していたのですが、今日また同じエラーが出て送信できない状態になりました。 エラーメッセージは下記です。 このメールは、以下のSMTPエラーが発生したため、送信できませんでした。 ( 以下、サーバから出力されたエラーメッセージ ) Your mail attempted to be delivered on Mon, 8 May 2006 10:43:25 +0900 Could not be delivered to <友人のアドレス> Due to the following SMTP relay error >>> MAIL FROM:<私のアドレス> <<< 550-rejected because 61.117.3.77 is in a black list at bl.spamcop.net 550 Blocked - see http://www.spamcop.net/bl.shtml?61.117.3.77 ぱっと見たところ、スパムメールのブラックリストに載っているというような内容に思えたので、友人に確認しましたがそのような設定はしていないとのことでした。 どのようにすれば、普通に送信できるようになるのでしょうか。 どなたかアドバイスをお願いします。

  • メールの送信ができません

     つい2、3日前からメールが送信できなくなりました。  メールの送信を行おうとすると、「SMTPサーバーへの接続が失敗しました」とのメッセージが表示されます。各種設定はメールの送信ができていた時から変更してません。また、SMTPサーバーアドレスも再度確認したところ間違っていません。  インターネット接続、メールの受信は通常通り行う事ができます。  また、使っているメールソフトは、Thundebirdです。  一体、なぜなのでしょうか。なにか問題点があるのならば、お教え下さい。

  • PHPでメール送信する際、SMTPを利用するメリッ

    PHPでメール送信する際、SMTPを利用するメリットについて教えてください。 ログイン認証でメールを送信したいのですが、 SMTPを利用した方がよいか、判断がつきません。 例えば、 http://www.sapphirus.biz/php/sformmail2/ http://www.sapphirus.biz/php/sformmail2s/ では、SMTPの方は「認証」が必要なので、 それだけ大変そうなのですが、 SMTPを利用する、しない場合の、 「メリット」「デメリット」を教えてください。 また、SMTPを利用しないやり方(メールアドレスを書いてmail関数を利用)は、 何方式と呼ぶのでしょうか? WEBメール方式? 環境) レンタルサーバ 現状) SMTPを利用せずにメールは送れるのですが、    どういう仕組みで届くか理解できてません

    • ベストアンサー
    • PHP
  • SMTPを自ドメインにしてメール送信

    メール送信プログラムでphp.iniのSMTP部分に ローカルのアドレスやlocalhostを入れると送れるのですが、サーバ自体(PHPを動かしているPC)のドメイン名を入れて送信するとエラーが出ます。 コマンドでtelnet 自ドメイン名 25とコマンドで入力するとつながりません。 何か原因がわかる方いますでしょうか? OSはwindows server 2003をメールサーバにはxmailを使用しております。

    • ベストアンサー
    • PHP

注目のQ&A

カテゴリ

専門家に質問してみよう

職業から探して質問する

あなたにピッタリな商品が見つかる! OKWAVEセレクト

質問する