あれ？もうよろしいんですか？
ぜんのさんの方でほとんど答えは書いてありますが、蛇足を。
ウィルスの種類によっては、適当に拾ってきたアドレスを使って
あらたなアカウントをねつ造するものもあります。
拾ってくる先は、そのパソコンの中のアドレスすべてといってもいいでしょう。
ぜんのさんお書きの通り、Internet Exploreを利用していれば、
キャッシュを残す人も多いでしょう。そこから拾われます。
また、Outlook系のメーラーならアドレス帳を探しだしてそこから拾います。
AドライブからZドライブまですべて探すものもあるそうですから、
メールのストアをCドライブ以外に置いておけば安全と油断するとやられます。
そうやって適当に見つけだした(たとえば）ookami@abc.dxなどというアドレスを
virs@abc.dxなどと書き換えてみたりするものもあります。
そのようにして詐称される部分は、
From欄
Reply-to
Return-path
など、受け取る人の目に見えるほとんどです。
ただ、送信に使われたSMTPサーバーにある程度の証拠は残るので、
ヘッダを解析すればわかる場合があります。
そのため、さきほどは、「ヘッダを出してみてはいかがですか？」と書いたんです。
もちろん、詐称される情報が改竄（かいざん）されたものではなく、実在のものの場合もありますが。

ウチに来ていたウィルスのヘッダをあげてみると、次のようなのがあります。

MAILFROM: 詐称@try-net.or.jp
Received: from unknown (HELO natsu.zenno.net) (192.168.0.106)
by mail2.zenno.net with SMTP; 28 Apr 2004 03:30:44 +0900
Received: (qmail 13822 invoked from network); 28 Apr 2004 03:30:44 +0900
Received: from unknown (HELO hyper.cx) (219.***.108.180)
by natsu.zenno.net with SMTP; 28 Apr 2004 03:30:44 +0900
From: 詐称@try-net.or.jp
To: 私の@hyper.cx
Subject: Re: Hello
Date: Wed, 28 Apr 2004 03:30:43 +0900
MIME-Version: 1.0
Content-Type: multipart/mixed;
boundary="----=_NextPart_000_0005_00001128.00001B63"
X-Priority: 3
X-MSMail-Priority: Normal
このいちばん最後に出てくる"Received: from"のところにある
219.***.108.180
というIPアドレスが、ずっと同じものが2ヶ月近くウィルスをまき散らしていました。
該当するサーバーの管理会社にメールを10回以上して、やっとおさまったようです。

返信する