FC2ブログ

【最近のウイルスメール】みてみると

最近のウイルスメール、見てみると、、、

添付ファイルがついているので、multipart で構成されているのだが、コードページ(使用している文字コードセット)に2パターンある。内容は一緒だが、 iso-8859-1 と Windows-1252 だ。 ここをみると分かるけど、 Windows-1252 は 「€」や「‘」「’」が使えるんだ。

で、「Conflicker.B Infection Alert」サブジェクトでやってきた沢山のウイルスメールを見てみると、、、

あったあった♪

iso-8859-1 で 送られてきた、メールの本文は、「 舛onficker・worm began 」のように文字化けしている。

一方、Windows-1252で送られてきた、メールの本文は、「 ‘Conficker’ worm began 」となっている。

つまり犯人は、Windows-1252 で動作する環境で、メール本文を作成したことになる。ウイルス本体は、配布するメール本文を、2つのコードページで作成して、ばら撒く仕様になっているのだろう。

(Windows-1252で作成された本文を、iso-8859-1で送付すると、化けるのは当たり前。)

犯人は、そのことをあまり知らずに使用している(つまり、道具だけ手に入れて使用している)、ヨーロッパ系の人間ではないだろうか、、、、妄想だけど、、、笑。

コメント


非公開コメント

プロフィール

どらいつ 家主:どらいつ

情報セキュリティ会社勤務。13年前からタバコを止めたが禁煙はしてない。ダイエットとリバウンドの繰り返し。


1958年 北九州市生まれ。大原小学校、池田小学校、香月中学、北九州予備校、東筑高校、熊本大学土木科(中退)、1984年就職、現在にいたる。

中学時は水泳部。部内で平泳ぎ 4位(4人中)。高校・大学時代9年間はラグビー。ポジションはフッカー。当時に今の体重があれば、、

ツイッター(Twitter) dry2
つぶやきログ(Twilog) dry2
日経電子版コラム
日経BP連載
グーグル+写真アルバム
フォト蔵 dry2

最新記事
最新コメント
カテゴリ
RSS
どらいつのお気に入り