最近じゃあ直接飛んでくるのって珍しいんだけど、プライベートなアドレスにウイルス付きメールが飛んで来ました。
メールのヘッダ情報はこんな感じ。

Return-Path: 
（中略）
Received: from idak (192.5.109.49 [192.5.109.49])
 by sbmx11 (SpamBlock.ps 3.4.95)
 with ESMTP id <45B2861D.8020004@travelust.com> for <あちきのメアド>;
 Sun, 21 Jan 2007 06:14:33 +0900
Received: (qmail 23782 invoked from network);
 Sat, 20 Jan 2007 16:14:05 -0500
Received: from unknown (HELO ktgedz) (101.28.46.169)
 by idak
 with SMTP;
 Sat, 20 Jan 2007 16:14:05 -0500
Message-Id: <45B2861D.8020004@travelust.com>
Date: Sat, 20 Jan 2007 16:14:05 -0500
From: Mclean 
User-Agent: Thunderbird 1.5.0.9 (Windows/20061207)
MIME-Version: 1.0
To: あちきのメアド
Subject: Russian missle shot down Chinese satellite
Content-Type: multipart/related; boundary="------------040503050209090704030905"
X-IP: 192.5.109.49
X-FROM-DOMAIN: travelust.com
X-FROM-EMAIL: xxmr@travelust.com

最初のIPアドレス101.28.46.169は、アサインされてないよん、とか言われるし偽装っぽいですね。アサインされている最初のIP、192.5.109.49はアメリカの大学みたいです。
ちなみに、DNSでtravelust.comていうのを引いてみたら、

Name:    travelust.com
Address:  206.225.81.34

出てきたIPを逆引きしてみたら、

Name:    206-225-81-34.dedicated.abac.net
Address:  206.225.81.34

とか出ましたね。このドメインをrbl.jpの中継チェックにかけてみたら、

第三者中継テストの結果
全てのテストが行われました, 9 relays accepted.

と出ました。IDとか見ると中継経由の可能性も否定できないかなあ。
付いてるのは「Full News.exe」っていうファイル。カスペルスキー先生にお伺いを立ててみると、トロイの木馬系ウイルス（ダウンローダー）だよ、という診断でした。まだ詳しい情報は無いみたいだけど。
まあ、英語のおかしなメールで、しかも本文無いので、誰もダブルクリックとかしないとは思いますが、念のためお気を付けくだされ。
ちなみに、中身を簡単には見られないような対策は施されてるみたいですね。最近こういうの多いよなあ。
この系列だったみたいですね。
European Storm Video E-Mail
あちきのところに来ていたののハッシュ値を確認したら、

• D93FFCE8B87E2176BBE4EDACA12A244F
• 562D6DAD245497E6C95D1BB33E4BEDDA
• 01A1115BCB0D5E32A98C76A50AC8868D

ですた。おっと、今見たらSANSのブログに出てないのもあった。

• DC3A64088723FADA156D2A254E16A2D4
• 9BEE3B4AE3DA03EB3D5240B85372BCFA

手元にはメールのサブジェクト5〜6種類来てますねー。なんだかなあ。
ちなみにハッシュ値確認は、
「HashTab」のページは移転いたしました
でやりますた。これ便利だよん。