[▲前のスレッド]
[25246] Nortonのウイルス隔離でBeckyメール消失  
2004/10/26 (火) 09:19:38 ryuichin
ywbc.org / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)
他のQ&Aページにも回答が載っているようなのですが、
エラーで開けないので、こちらに書き込んでいます。

私は会社でBecky!を使っていますが、同じPCにインス
トールされているNorton Antivirusが、Becky!で受信し
たウイルスメールを関知し「隔離」作業を行いました。

この際にBecky!が「フォルダの整合性が云々、フォルダ
の修復をおこなう」というメッセージを発したので、
Yesとしたらここ10日分くらいのメールが消えてしま
いました。

このような症状は数回起こっており、おそらくNorton
のウイルス隔離行動がBecky! に何らかの影響を及ぼ
しているものと思われます。

何か良い対策はないのでしょうか? ちなみに Norton
は全社的に導入されており、私個人ではアンストール
はおろか、設定の変更もできません。
[25247] Re:Nortonのウイルス隔離でBeckyメール消失  
2004/10/26 (火) 09:21:41 ryuichin
ywbc.org / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.1.4322)
自己レスです。

▼ ryuichinさん
> この際にBecky!が「フォルダの整合性が云々、フォルダ
> の修復をおこなう」というメッセージを発したので、
> Yesとしたらここ10日分くらいのメールが消えてしま
> いました。

Becky!は、最新バージョンを使っています。
[25251] Re^2:Nortonのウイルス隔離でBeckyメール消失  
2004/10/26 (火) 14:37:30 shin-s
tyo112.gate.nec.co.jp / INCM1.23c

以下の設定はONになっていますか?

(以下ヘルプより引用)

全般的な設定
高度

添付ファイルを別ファイルに分離保存

メールに含まれる添付ファイル部分のみを別ファイルに切り離して保存することで、
検索や、メール表示などのパフォーマンスを向上させ、
さらに、ウイルス検索ソフトが添付ファイル中にウイルスを発見した場合、
他のメールも道連れに削除してしまうような潜在的な危険を回避することも目的としています。
添付部分はデコードせずに保存され、また、Becky!上からは
分離していることをまったく意識しないような構造になっています。
[25261] Re:Re^2:Nortonのウイルス隔離でBeckyメール消失  
2004/10/27 (水) 11:33:59 ryuichin
ywbc.org / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
▼ shin-sさん
>
> 以下の設定はONになっていますか?
>
> (以下ヘルプより引用)
>
> 全般的な設定
> 高度
>
> 添付ファイルを別ファイルに分離保存

ONになっていますが、効果はなかったようです。

Becky! Q&A に、メール消失の被害を最小限にくい止める
ために「メール格納分割サイズ」を低くすると良い、とい
うアドバイスがありましたので、これを試してみます。
[25267] Re2:Re^2:Nortonのウイルス隔離でBeckyメール消失  
2004/10/27 (水) 16:38:09 あや
px1.mbx.mainichi.co.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
バージョンアップ以来、同様のトラブルに悩まされています。
これまで何度も貴重なメールが消えました。

今は自宅ではリモートボックスでまずスパムメールやウイル
スメールを削除してから受信箱に移動させています。
この方法を採るようになって、整合性のエラーは消えました
が、うっかり「no subject」という友人からの携帯メールを
消してしまう失敗を何度も繰り返してます。

会社のパソコンでは「受信メールをサーバーに残す」と設定
し、自宅パソコンでメールを一括管理している関係もあって、
会社ではリモートボックス機能を一切使っていないため、
相変わらず、整合性エラーに泣く日々です。

> Becky! Q&A に、メール消失の被害を最小限にくい止める
> ために「メール格納分割サイズ」を低くすると良い、とい
> うアドバイスがありましたので、これを試してみます。

私もやってみます。ありがとうございます。
64〜640KB推奨、とあったので、64にしました。もっと
小さくても良いのかしら?

ネット検索すると2002年ごろからあちこちで同様のトラブル
が報告されているみたいなんだけど、根本的な対応策はまだ
ないんでしょうかねえ。
[25269] Re3:Re^2:Nortonのウイルス隔離でBeckyメール消失  
2004/10/27 (水) 17:20:44 鈴木@大阪
gryps.as.wakwak.ne.jp / INCM1.23a
> 私もやってみます。ありがとうございます。
> 64〜640KB推奨、とあったので、64にしました。もっと
> 小さくても良いのかしら?
>
いっそのこと0にすると1メール1ファイルになりますので巻き添えは無くなります。

そこまでやるぐらいなら、データフォルダをウィルスチェックの対象外にしておいたほうがいいと思いますが。

> ネット検索すると2002年ごろからあちこちで同様のトラブル
> が報告されているみたいなんだけど、根本的な対応策はまだ
> ないんでしょうかねえ。

Becky!の側では「添付ファイルを分離保存」というのが一応根本的な対応策です。

--
(宣伝)質問する前にFAQを… "B2 FAQ Working Group"
http://www.becky-users.net/faq.html
[25270] Re: Re3:Re^2:Nortonのウイルス隔離でBeckyメール消失  
2004/10/27 (水) 18:07:55 なかにし HomePage
soc-w9gw.soc.titech.ac.jp / Becky! ver. 2.11.02 / BkCM Release 0.16
解決策の提示ではなく。

> そこまでやるぐらいなら、データフォルダをウィルスチェックの対象外にしておいたほうがいいと思いますが。

 元投稿者の方は会社で導入されているので設定変更はできないとい
う話でしたね。

> > ネット検索すると2002年ごろからあちこちで同様のトラブル
> > が報告されているみたいなんだけど、根本的な対応策はまだ
> > ないんでしょうかねえ。
>
> Becky!の側では「添付ファイルを分離保存」というのが一応根本的な対応策です。

 のはずなのですが、どうして巻き添えを食らってしまうんでしょう
ね?メーラーとサーバーの間にどのタイミングでウィルス対策ソフト
が介入するかによるのかな?

 FAQにも反映した方がいい(というか更新・追加するべき項目もあ
る(^^;)と思いますが、このあたりがはっきりしないと書きづらいで
すね。

--
FAQやプラグイン一覧など、Ver.2に関する情報を。
Becky!ユーザーの部屋 http://www.becky-users.net/

[25275] Re2: Re3:Re^2:Nortonのウイルス隔離でBeckyメール消失  
2004/10/28 (木) 10:10:55 あや
px1.mbx.mainichi.co.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
> > Becky!の側では「添付ファイルを分離保存」というのが一応根本的な対応策です。

はじめから、そういう設定で使っているんですけど。
何が原因なんだろう……。
別に原因があるのかしら……。
[25280] Re3:Re^2:Nortonのウイルス隔離でBeckyメール消失  
2004/10/28 (木) 13:24:51 ryuichin
ywbc.org / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
▼ あやさん

> > Becky! Q&A に、メール消失の被害を最小限にくい止める
> > ために「メール格納分割サイズ」を低くすると良い、とい
> > うアドバイスがありましたので、これを試してみます。
>
> 私もやってみます。ありがとうございます。
> 64〜640KB推奨、とあったので、64にしました。もっと
> 小さくても良いのかしら?

私は数値を"1"にしました。これですと1メール1ファイル
となるようなので、しばらくこれで使ってみようと思った
のですが、メールの数が多いと、バックアップをとるとき
にやっかいだということが、実際にやってみてわかりまし
た。数千のメールがあれば数千のファイルをコピーするこ
とになり、時間とマシンへの負担がかかるのです。
[25272] Re:Nortonのウイルス隔離でBeckyメール消失  
2004/10/28 (木) 00:27:57 MattunHomePage
z214.218-225-146.ppp.wakwak.ne.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0)
▼ ryuichinさん
> ちなみに Norton
> は全社的に導入されており、私個人ではアンストール
> はおろか、設定の変更もできません。
ということはNortonAntiVirusCorporateEdition(NAVCE)だとは
思うんですが、バージョンは何でしょうね。

NAVCE7.03
NAVCE7.53
NAVCE7.60
SAVCE8.1
SAVCE9.0
でBecky!2を利用しておりますが、添付ファイルの分離が出来る
バージョン以降のBecky!2では、そのような症状出てないです。
[25274] Re2:Nortonのウイルス隔離でBeckyメール消失  
2004/10/28 (木) 09:17:02 ryuichin
ywbc.org / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1)
▼ Mattunさん
> ▼ ryuichinさん
> > ちなみに Norton
> > は全社的に導入されており、私個人ではアンストール
> > はおろか、設定の変更もできません。
> ということはNortonAntiVirusCorporateEdition(NAVCE)だとは
> 思うんですが、バージョンは何でしょうね。

はい、NAVCEです。
バージョン情報を参照しますと「完全版 7.60.926」
となっています。パターンファイルは社内にあるサ
ーバーがネット上から自動的に取得し、それを各ク
ライアントが定期的に参照、常に最新のパターンフ
ァイルを得るような仕組みになっているようです。
[25277] Re^3:Nortonのウイルス隔離でBeckyメール消失  
2004/10/28 (木) 11:18:32 shin-s
tyo102.gate.nec.co.jp / INCM1.23c

私はあまりウイルスメールを受信したことがないので推測になりますが、
htmlメールって、メール本文(htmlソースの部分)は*.bmfに含まれますよね。
このhtml部分をウイルスと判断したら、*.bmfが削除されてしまうというのは
考えられないでしょうか。
[25315] ウィルスバスター2005でも同様の現象 
2004/11/1 (月) 12:12:15 まどり
61.194.32.65 / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322)
こんにちは。

私はずっとBecky!+ウィルスバスターの組み合わせで使用していて
今までは全く問題なかったのですが、ウィルスバスター2005の
インストール後から突然「フォルダの整合性が云々、フォルダの修復をおこなう」
のメッセージが頻繁に出るようになってしまいました。

ウィルスバスターの問題なのかなと考え、
昨日よりサポートに問い合わせをしているのですが、
問題の切り分けが難しそうなので、
あえて投稿してみました。

同様の症状の方いらっしゃいますか?
[25320] Re:ウィルスバスター2005でも同様の現象 
2004/11/1 (月) 14:14:01 まさきん
p2217-ipad04kagawa.kagawa.ocn.ne.jp / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
▼ まどりさん
> 私はずっとBecky!+ウィルスバスターの組み合わせで使用していて
> 今までは全く問題なかったのですが、ウィルスバスター2005の
> インストール後から突然「フォルダの整合性が云々、フォルダの修復をおこなう」
> のメッセージが頻繁に出るようになってしまいました。

同様の現象が発生します。
ただ、当方はウィルスメールを同時に受信した場合にのみ起こります。
4台のPCが同じ構成で、そのうち3台が発生します。発生しない1台はウィルスメールが送られてくる可能性のないメールアカウントしか使用していませんので、そうではないかと考えられます。
[25334] Re:ウィルスバスター2005でも同様の現象 
2004/11/2 (火) 09:09:59 たっくん
202.222.202.69 / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
こんにちわ。
うちも同じ現象出ていますよ。
NAVのログを見ると、bmfファイルやbklファイルが感染していると
言ってファイルが検疫されていたりします。
Becky!から見るとファイルが突然消えることになりますので同じ
ファイルにあるメールが消えてしまうようです。
実際にNAVのリアルタイム保護をOffにして上記bmfファイルを復活
させると消えてしまったメールが見えるようになりますが、リアル
タイム保護をOnにすると、またメールが消失してしまいます。
と言うことなので、消えてしまった時はリアルタイム保護Off→
→mbfファイルを復活→怪しいメールを削除→リアルタイムOn、
これで処理して消えたメールを復活させています。
添付ファイル分離にはチェックが入った状態で使用していますので、
添付ファイル部分で無いとしたらshin-sさんが言っている通りhtm
部分のウィルスなのかなぁ。
 ちなみに、うちでこれに引っかかっているウィルスはNAVによると
W32.Netsky.Pと言うやつです。
[25335] Re2:ウィルスバスター2005でも同様の現象 
2004/11/2 (火) 12:11:22 たっくん
202.222.202.69 / Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
検疫されているファイルを調べてみました。
テキストとして開いて見てみると、あるところのメールサーバが
宛先不明で配信不能と言ってウィルスが添付されたファイルを私
のところへ送り返してきており、このメールにウィルス部分が添
付されていたようです。
 返送されてくる過程で、うち(?)のメールサーバ辺りでVirus
Alartが出ているにもかかわらず、メールの方は駆除されず、さ
らにBecky!でも添付ファイルとして認知できなかったようで、
結果としてmbfファイルにbase64でエンコードされた部分が取り
込まれ、mbfファイル自体がNAVで感染ファイルとして認知され検
疫となったと言うことのようです。
 データのどこの部分で添付ファイルとして認知されなかったのか
が良く分かりませんが...。こう言う返送される時の元メールの形
式で添付ファイルを認知しそこなうと言うことがあるんですかねぇ。
[25338] Re3:ウィルスバスター2005でも同様の現象 
2004/11/2 (火) 20:56:53 Nat
210.238.237.10 / Mozilla/5.0 (Windows; U; Win98; rv:1.7.3) Gecko/20041001 Firefox/0.10.1
皆さん、こんばんわ。

当方でも以前より 〜.bmf が検疫に隔離(移動)される事が
あったのですが、正確な検証が出来ていない為、
これまでは報告を見送っていました。

以下は解決策ではなく、参考程度なのですが、
この機会に手元の情報を纏めておこうと思います。

今回の焦点となっているウィルスは、
ウィルス本体がエンコードされた状態で、
メール本文にテキストとして記載された状態のものと
思われます。

※ HTML Part に含まれるタイプも有り得ます。

このような形態のウィルスメールの場合、
ウィルス本体が添付ファイルとして分離できない為、
 〜.bmf 毎隔離されてしまうようです。

確認したサンプルでは、添付ファイルが無く、
メール本文にエンコードされたウィルスが含まれていました。


現在、確認できているのは以下のとおりです。

・〜.bmf 毎隔離されるウィルス

 ・W32.Netsky.P@mm!enc
  http://www.symantec.com/region/jp/sarcj/
data/w/w32.netsky.p@mm!enc.html

 ・W32.Netsky.Q@mm.enc
  w32.netsky.q@mm.enc.html -->w32.netsky.q@mm.enc.html target=_top>http://www.symantec.com/region/jp/sarcj/
data/w/w32.netsky.q@mm.enc.html

  ※ URL は投稿時に改変されています・・・。

 過去には上記以外に W32.Sobig.A@mm.enc、
 HTML.Redlof.A でも発生していたようですが、
 既に検疫ファイルが残っていない為、確証はありません。

・ウィルス駆除ソフト

 Norton AntiVirus Corporate Edition 7.60.926

・スキャン方法

 ・リアルタイムスキャン
  (ファイルアクセスに対するスキャン)

 ・定時スキャン
  (指定時刻にディスクをフルスキャン)

 ※ NAVCE / SAVCE は、
   POP、SMTP 通信を直接スキャンする機能はありません。

  → 一般向けの Norton AntiVirus 200x、
    (或いは同機能を含む Norton Internet Security、
     Norton SystemWorks 等)
    ウイルスバスター コーポレートエディションの
     POP3 Scanner 等は、Becky! が受け取る前に
    通信内容をスキャンできます。
    (駆除できるかは別問題)

・発見されるタイミング

 ・定時スキャン時
  (スケジュール設定されたディスクスキャン)

 ・Becky! にて、メール本文選択時
  (〜.bmf へのアクセス発生時)

 この時、〜.bmf 内の当該ウィルスメールが発見され、
 検疫に隔離されます。

 稀に、 〜.tmp 時点で発見される事もありますが、
 メール受信時にディスクに書き込まれたタイミングでは
 リアルタイムスキャンで発見できない(?)事が
 あるようで、その場合に上記のタイミングで
 発見されているようです。

同じウィルスでも、
 〜.bmf を巻き込む時とそうでない時があり、
その違いが、ウィルスメールがランダムに生成された
形態の違いによるものか、その他の理由、
例えばエンコードの施し方によるものかが不明です。

※ BkASPil のチェック時に検疫されるケース
 http://b2antispam.s33.xrea.com/cgi/cybbs
/cyclamen.cgi?tree=r769


巻き添え対策としては、 〜.bmf をスキャン対象外とするか、
格納ファイルサイズ指定をゼロにするしかないのですが、
当方では、セキュリティレベルの確保を優先し、
何れも変更せずに個別に復元対応するようにしています。

ファイルに対するリアルタイムスキャンしかできない
ウィルス駆除ソフトに対応するには、メールボックスに
格納される前に、ウィルス駆除ソフトが検知、
駆除できるタイミングを設けるしか対策が無いように
思いますが、容易な事ではないようにわれます。


※ Netsky.P
 http://www.sophos.co.jp/virusinfo/analys
es/w32netskyq.html

 http://www.trendmicro.co.jp/vinfo/viruse
ncyclo/default5.asp?VName=WORM_NETSKY.P&
amp;VSect=T

 http://www.mcafeesecurity.com/japan/secu
rity/virN.asp?v=W32/Netsky.p@MM

 http://www.f-secure.co.jp/v-descs/v-desc
s3/netskyp.htm


以下、直接関係はありませんが参考迄に。

・Norton AntiVirus 200x で
 ウイルスの検出後メールボックスが削除される
 http://service1.symantec.com/SUPPORT/INT
ER/navjapanesekb.nsf/0a56418557b1ba99852
56b03006ba774/ddbc4e720fa42e4e49256ea600
38c3a6?OpenDo
cument&csm=no&prev=http%3A//search.symantec.com/custom/jp/techsupp/kb/query.html%3F*col=kb*st=1*nh=10*qp=url%3A/INTER/navjapanesekb.nsf;*qt=Becky%20bmf*miniver=*pcode=*la=ja%3C%3E&sone=_tasks.html&stg=&prod=&ver=&base=&next=&tpre=jp&src=jp_sg&pcode=

・Netscape や Outlook Express の
 受信トレイ自体が検疫されてしまう
 http://service1.symantec.com/SUPPORT/INT
ER/entsecurityjapanesekb.nsf/jp_docid/20
021108205025949?OpenDocument&dtype=c
orp

・電子メールリアルタイム保護の対応している
 電子メールクライアントのバージョンに関して
 http://service1.symantec.com/support/INT
ER/entsecurityjapanesekb.nsf/jp_docid/20
000905172801905?OpenDocument&dtype=c
orp
[25350] Re4:ウィルスバスター2005でも同様の現象 
2004/11/4 (木) 11:30:02 nao
202.224.209.158 / Mozilla/5.0 (Windows; U; Windows NT 5.1; rv:1.7.3) Gecko/20040913 Firefox/0.10.1
>  ※ NAVCE / SAVCE は、
>    POP、SMTP 通信を直接スキャンする機能はありません。
>
>   → 一般向けの Norton AntiVirus 200x、
>     (或いは同機能を含む Norton Internet Security、
>      Norton SystemWorks 等)
>     ウイルスバスター コーポレートエディションの
>      POP3 Scanner 等は、Becky! が受け取る前に
>     通信内容をスキャンできます。
>     (駆除できるかは別問題)

NAVCE も9.0 から可能になりました。初期値として有効になっています。
ライセンス持続しているなら、最新版が使用可能だと思います。

私も1回なりましたが、NAVCEのファイルシステムAuto-Protectの設定で
「除外」で拡張子 BMF を検査対象からはずしました。
実際に被害にあうなものは添付で別に保存されるのでそれほど大きな
問題はないと思っています。
(インターネット電子メールAutoProtectは無効しています)
[25355] Re5:ウィルスバスター2005でも同様の現象 
2004/11/4 (木) 19:41:29 Nat
210.238.237.10 / Mozilla/5.0 (Windows; U; Win98; rv:1.7.3) Gecko/20041001 Firefox/0.10.1
nao さん、こんばんわ。

> NAVCE も9.0 から可能になりました。
> 初期値として有効になっています。

情報ありがとう御座居ます。

間もなく年間ライセンスの更新時期ですので、
バージョンアップしてみようと思います。

# 一部の止むを得ず使っている Windows 95 だけ
# 放置になりますが・・・。
#  SMTP ゲートウェイで防ぐしかないですね。

http://service1.symantec.com/SUPPORT/INT
ER/entsecurityjapanesekb.nsf/jp_docid/20
040511145944949?OpenDocument&dtype=c
orp

http://service1.symantec.com/SUPPORT/INT
ER/tsgeninfojapanesekb.nsf/jdocid/200309
01121305949?OpenDocument&dtype=corp


 〜.bmf の除外設定については、私も実害は無いと
思いますが、その場合当事者が消さない限り
ディスクに残り続ける点が、
当方のセキュリティポリシーとは合わないのが
辛い所です。
[▼次のスレッド]
INCM/CMT
Cyclamen v3.84