メールにて拡散するマスメール型ウィルス

メールアドレス（＠以前）は詐称するが、
＠以降は詐称しない模様
社内のクライアントが発信しているのが判明するかも

シンガポールから、大量に飛んできています！

WORM_SOBER.S(Trend)

W32/Sober.p@MM(Mcafee)

W32.Sober.O@mm (SYMANTEC)

W32/Sober-N(SOPHOS)

Sober.P(F-SECURE)

Sober variant

（SANS Diary)

W32.Sober.O@mm（W32/Sober.p@MM,WORM_SOBER.S）ウイルスの発生について(5/3)（@Police）

■Terminal
①以下のコマンドで、抽出する。
　zcat -f log.2005.05.02.gz log.2005.05.03 | grep "smtp\[" > smtp-log
②以下のコマンドで侵入を抽出
grep -i "\.zip " smtp-log |grep "contains no virus" > WORM_SOBER.S
■Excel
①区切り文字スペースで、区切る。
②以下の関数で、検索分を作成する。
　="grep -F """&C1&" "&D1& """ smtp-log >> WORM_SOBER.S_INFECTED"
　結果例）grep -F "smtp[4814]: smtp[172]:" smtp-log >> WORM_SOBER.S_INFECTED
■Terminal
①vi WORM_SOBER.S.shを作成する。
　内容は、上記Excelにて作成した文字列
②実行する。
③以下のコマンドでFROMとTOを抽出する
　cat WORM_SOBER.S_INFECTED | grep "mail delivered"