題名がHappy New Year!で添付にpostcard.exeがありかなりのメールが侵入して居るみたいです。

件名: Happy New Year!
メッセージ本文: （空白）
添付ファイル名: postcard.exe

F-Secureによると亜種も出ているそうです。"greeting card.exe", "Greeting Postcard.exe"なんかのEXEが付くそうです。

• Modified versions of the malicious New Year cards

This time the e-mail subjects vary a lot but are always themed around New Year greetings. For example, "Fun Filled New Year", "May Your Dreams Come True!", "Sparkling Happiness And Good Times!", or "Sender Happy 2007!". The attachment name is "greeting card.exe", "Greeting Postcard.exe", or something else along those lines.

亜種の対応について調べてみた(13:15Update)

4.151.00	2006/12/29 19:15	新規対応
4.153.00	2007/01/01 14:30	亜種対応
4.155.00	2007/01/02 13:45	亜種対応

■Terminal
①以下のコマンドで、抽出する。
　zcat -f log.2006.12.28.gz log.2006.12.29.gz log.2006.12.30.gz log.2006.12.31.gz log.2007.01.01.gz  log.2007.01.02.gz  log.2007.01.03.gz    | grep "smtp\[" > smtp-log
②以下のコマンドで侵入を抽出
　grep -i "card.exe " smtp-log |grep "contains no virus" > WORM_NUWAR.AY
■Excel
①区切り文字スペースで、区切る。
②以下の関数で、検索分を作成する。
　="grep -F """&C1&" "&D1& """ smtp-log >> WORM_NUWAR.AY_INFECTED"
　結果例）grep -F "smtp[4814]: smtp[172]:" smtp-log >> WORM_NUWAR.AY_INFECTED
■Terminal
①vi WORM_NUWAR.AY.shを作成する。
　内容は、上記Excelにて作成した文字列
②実行する。
③以下のコマンドでFROMとTOを抽出する
　cat WORM_NUWAR.AY_INFECTED | grep "mail delivered"

関連URL

• postcard.exe(SANS Diary)
• ASTALAVISTA - Domain bundle for sale
• http://www.esecurityplanet.com/alerts/article.php/3651576
• ASTALAVISTA - Domain bundle for sale
• http://www.vnunet.com/computing/news/2171592/first-worm
• Sophos users protected against Happy New Year malware
• http://www.net-security.org/virus_news.php?id=726
• http://www.bleedingthreats.net/index.php/2006/12/29/new-postcardexe-style-outbreak/
• Postcard.exe – be aware! – SecuriTeam Blogs
• Modified versions of the malicious New Year cards(F-Secure Blog)