Comp. Worm
「ワームの削除」
添付ファイル付きの e-mail が届いたので見てみると今はやりの Netsky ワームだった。← いかにもありそう。
そこで Mozilla_Mail を使用していて f-prot を導入している人向けの注意点をいくつか ...
あやしいメールが来ても、
1. すぐに削除せずに、まず kterm をたちあげて次のプロンプトを実行。
$sudo f-prot /home/ > f-prot_result
password:
$less f-prot_result
2. するともし Netsky ワームだったら result ファイルに
- Inbox -> ... W32/NetskyX@mm*1
という文字がみえるはず。
あわてて 削除 → Trash 内のメールも削除 とした人*2なら
- Trash -> ... W32/NetskyX@mm
となってるでしょう。
(↑まだワームはいるんだヨ)
なぜなら、
3. Mozilla*3 では、たとえメールを削除しても(あとで取り出せるように)ハードに保管するよう設定してある。
4. では f-prot を使えばいいかというと、それができない。まずは下の英文を見てください。
Unix mailboxes are considered to be archives and therefore F-Prot Antivirus is not able to remove infected attachment.
↑「Unix のメールボックスは保管場所とみなされるので f-prot では感染した添付ファイルは削除できません」
つまり、
- $sudo f-prot -auto /home/ または
- $sudo f-prot -delete /home/
として実行しても、実際に感染してるわけではないので、ワームを削除してくれない。
ではどうすればよいかというと、
5. まず Mozilla を終了させておいてから、
6. ホームディレクトリにある Mozilla の設定ファイル下のプロファイルディレクトリにいく。
この下に xxxxx.slt というプロファイルディレクトリがあるので、そこに下がる。
$ls
xxxxx.slt
$cd xxxxx.slt
$ls
次にその中の Mail ディレクトリへ、
$cd Mail
$ls
(だいぶ階層が深くなってきたが、次で最後)
ここに xxx.ne.jp というメールサーバ名のディレクトリがあるので、そこに下がる。
$cd xxx.ne.jp
$ls
ワームの入ってる Inbox と、ついでに Trash の2つのファイルを削除。
$rm Inbox Trash
$cd
$pwd
/home/ユーザ名
$sudo f-prot /home/
password:
として確かめてください。
f-prot_result ファイルは今後の参考のためにとっておくといいでしょう(ぼくは削除してしまったけど)。
(追記) また Netsky がきたので今度は f-prot_result ファイルをとっておいた。参考に ここ に置いておきます。まだまだ来そうだ ...