09/04/28 08:08:40
URLリンク(kickback.cc)
何これ怖い、、、
よろしくお願いします
151:名無しさん@お腹いっぱい。
09/04/28 08:13:37
ただのブラクラ
152:名無しさん@お腹いっぱい。
09/04/28 08:15:39
>>151
ありがとう
153:名無しさん@お腹いっぱい。
09/05/05 23:06:28 BE:331335252-2BP(0)
直リンスレより 出先につき内容確認はしてない
Windows XP Mode Beta
URLリンク(www.microsoft.com)
URLリンク(download.microsoft.com)
URLリンク(download.microsoft.com)
※IEの互換テストvhdが、4/30過ぎても次出てないぽいことからして、これ関係してるかもしれんと思って貼る
154:名無しさん@お腹いっぱい。
09/05/06 19:52:20
更新でた
URLリンク(www.microsoft.com)
URLはおなじ。
155:名無しさん@お腹いっぱい。
09/05/20 23:01:07 BE:298202033-2BP(0)
とりあえずGENO系ウイルスの簡易検出ツールを関係スレひとつに投げてきたが…
…そいつが落としてくるバックドア(別モジュールだそうな)も検出しないといかんかな
踏みたいんだがどれなんだろう
156:名無しさん@お腹いっぱい。
09/05/21 00:45:06
>>155
既に配布サイトが閉鎖したので、現時点では落ちてこないですよ。次の攻撃をお待ちください?
157:名無しさん@お腹いっぱい。
09/05/21 00:56:08
すこし前のやつとか、taneにあがってないかな…。id=10 のEXE は手持ちがある
158:名無しさん@お腹いっぱい。
09/05/21 01:00:43
>>157
検出可否スレに上がってたのをまとめて整理した奴を昨晩辺りUPしといた気がする。infectedな。
0505だかどっかに別件のzipが混入してるのは無視してくれ。
そこに入ってないexeあったら、taneに上げといて。提出しとくから。
159:名無しさん@お腹いっぱい。
09/05/23 08:30:31
URLリンク(ynct-denken.hp.infoseek.co.jp)
で紹介されているuvdt5ps.exeというウイルス駆除ツールが
バスターコーポで怪しいファイルと警告が出るようになった。
誰か調べてくれ。
daunload↓
URLリンク(ynct-denken.hp.infoseek.co.jp)
160:名無しさん@お腹いっぱい。
09/05/23 09:20:16
>>159
そういう時は、まずVTを利用する
URLリンク(www.virustotal.com) (1/40)
で、トレンドマイクロの説明
URLリンク(www.trendmicro.co.jp)
正直、バスターのヒューリスティックで誤検出してる臭い。
バスター使ってないから対処する気無いけど、気になるなら 対応方法→問い合わせフォーム からトレンドマイクロに
ファイルを送っておくと、誤検出しないように対処してくれるかもしれない。
161:名無しさん@お腹いっぱい。
09/05/23 10:56:55 BE:894605639-2BP(0)
たまに、明らかに悪意があるとか、「こりゃーわからんけど、こういうこと(検出されちゃう)ってあるよ」とか
なんかわかるかもしれん みてみる
162:名無しさん@お腹いっぱい。
09/05/23 11:11:04 BE:2385612689-2BP(0)
ちょくりん ./list/UVDT5PS.zip
ざっと見、明らかな悪意はなさげだったけど(確度90%)、
同じ、autorun.inf を操作する者として、どっちもどっちということか、ヒューリスティック検出されちゃうのかもね
起動直後画面まで踏みました
…文字化けした^^; ← これは多分当方環境の削りすぎ
163:名無しさん@お腹いっぱい。
09/05/23 20:38:22
>>160,>>162
どうもありがとう。参考になりました。
結局対象のファイルを削除したけど、システム復元のせいで
\System Volume Infomation\_restore以下に入ってしまい
バスターは延々警告を出すけど削除が手動でできない状況に
陥ってしまったorz
何とか権限をつけて削除したけど、もっと簡単な方法があったのかな?
164:名無しさん@お腹いっぱい。
09/05/23 21:50:51
雑談。その件運用面的に詳しくないけど、思うに、
自分で権限つけて削除できるなら、実はそれが一番なのかも
他の復元項目(バイナリ、レジストリ、システムDB)は生かしておけるわけだし
普通、権限操作なんて頼めないものなので、リポジトリごとあぼんしてくださいとしか
言えないものです 特に、XPHomeとかだったりすると厄介です
機会があれば、作者さんに連絡できるといいですね
ヒューリスティックでグレー判定食らってますよと。
何か作者側の対策で回避できることもありますので
165:名無しさん@お腹いっぱい。
09/05/27 17:26:05
むぅ
166:名無しさん@お腹いっぱい。
09/06/27 08:14:15 BE:695804437-2BP(0)
普通にmpg.scrですた 同梱の釣り動画も相変わらずのアレ。
なんていうか、速度スクリューとか全然関係ナスww
167:名無しさん@お腹いっぱい。
09/06/27 08:15:30 BE:596402892-2BP(0)
誤爆
168:名無しさん@お腹いっぱい。
09/07/07 11:46:33 BE:530137128-2BP(0)
踏んでみる? 元ネタ: スレリンク(hosting板:31-32番)
空白消しで: URLリンク(18) 56 31 77 99:888/f.gif
169:名無しさん@お腹いっぱい。
09/07/07 15:04:23
>>168
ふつ~にウイルスが検知されてブロックされますた。いじょ。
170:名無しさん@お腹いっぱい。
09/07/08 10:31:27 BE:1391607667-2BP(0)
それじゃあ検出可否じゃねーかw
zxshell とかいうものらしい 挙動のランダム化があるかもしれんから参考程度だが、当方環境では、
system32 にUPX がかかったDLL がひとつでき、6to4 とかいう名前のサービスとして登録されようとした
それがうまくいかないと、netsvc_******** という名前のサービスを作ろうとしていた
171:名無しさん@お腹いっぱい。
09/07/08 18:36:14 BE:397602926-2BP(0)
起動して、いくらか確認をしたあと、
jpyy.meibu.com:53, www.jpyy.meibu.com:53 に【TCPで】接続しようとする
hosts に書いておいて、IPをつなぎかえれば、被害を低減できるかも
172:名無しさん@お腹いっぱい。
09/07/09 07:11:16 BE:1159672875-2BP(0)
DLL名は、mnpse.dll これは、exe内で決め打ってるみたいだ(エンベロープのexeが変われば変わる)
ランダムだと思ったら、そうじゃないみたい
接続先は、DLLの末尾にほぼそのまんま書いてあることもわかった
173:名無しさん@お腹いっぱい。
09/07/11 08:17:33
exeの更新があったもより
174:名無しさん@お腹いっぱい。
09/07/11 13:57:30
どのexe?
175:名無しさん@お腹いっぱい。
09/07/11 22:19:12
>>168-172の
176:名無しさん@お腹いっぱい。
09/08/08 01:54:31
これ最近垢ハック横行してるMMOのスレに貼ってあるやつだけどあぶないですか?
よろしくお願いします。
URLリンク(www.youtube.com)
177:名無しさん@お腹いっぱい。
09/08/08 16:06:58
踏んで広告からなんか出てきたら、SSでも貼ってくれ それだけではわからん FLVは観てない
178:名無しさん@お腹いっぱい。
09/08/09 02:59:57
某MMOのスレ立てしたやつが貼っていたものです。
どうやら、こいつはそこら辺にウィルス貼りまくってるようですが、
これもそれに該当するんでしょうか?
URLリンク(www.muswou.com)
179:名無しさん@お腹いっぱい。
09/08/09 10:43:41
おなじみ1199.exe てか、耐えられないくらい重かったぞ、ダウソがw
180:名無しさん@お腹いっぱい。
09/08/09 11:37:15
重いどころか、まともに繋がらん(´・ω・`)諦め
181:179
09/08/09 23:58:45 BE:695804437-2BP(0)
ガチ収集してるなら、1199.exe だけうpするけど
182:名無しさん@お腹いっぱい。
09/08/10 12:58:34
このスレ開けたらアンチウイルスソフト反応したんだけど・・・。
Trojan
183:名無しさん@お腹いっぱい。
09/08/10 14:23:42
ウイルスの直リン貼ったりもするから、そんなもんだろ ここはそういうスレ。(煽りとかじゃなく
184:名無しさん@お腹いっぱい。
09/08/10 18:28:15
URLリンク(jp.registrywinner.com)
これって…
185:名無しさん@お腹いっぱい。
09/08/10 21:05:07 BE:596403263-2BP(0)
どうでもいいものか、消さない方が無難なものまで、レジストリのあれやこれやを
大量に検出するものらしい おおかた、修復には購入が必要、とでもいうんだろうが、
当方環境では、途中から1.5GBくらいメモリ確保しはじめて、
検出画面が終わらなかった 強制終了したよ
ま、そんなようなもんだ、きっと
踏んだ記念 URLリンク(www.registrywinner.com)
The laws of the Province of Beijing, China will govern this agreement and
the software license and the usage of the software. ... you agree to submit to
the personal and exclusive jurisdiction of the courts located within
the District of Haidian, Beijing.
186:名無しさん@お腹いっぱい。
09/08/13 22:48:19
ゲームのスレに貼ってありました
URLリンク(aimeblog.com)
やはりウィルス?
187:名無しさん@お腹いっぱい。
09/08/14 17:13:34
>>186
反応した
Expoloit と Trojyan
188:名無しさん@お腹いっぱい。
09/08/14 17:32:11
>>186
NortonSafeWeb
URLリンク(safeweb.norton.com)
McAfeeサイトアドバイザ
URLリンク(www.mywot.com)
PandaWOT
URLリンク(www.mywot.com)
189:名無しさん@お腹いっぱい。
09/08/19 23:43:45
ここで直接聞くことではないんだが質問。
あ、スレチでしたらスルーで。
最近AIONというMMOが正式に始まったのですが、垢ハックが横行しています。
あやしいリンク踏んでないとか、このゲームのためにPC新調してこのサイトしか行かないとか。
それなのに被害は一向に止まらないと。
カキコミを見ていると、公式にセキュリティーソフトが反応したものもあるそうです。
ここにいる方は、ウィルスにかなり長けている方とお見受けしています。
公式リンク貼り付けて起きますので、よろしかったら調べてください。
URLリンク(aion.plaync.jp)
190:名無しさん@お腹いっぱい。
09/08/20 08:49:59
雑談として。
とりあえずnProなのね
nProはThemidaで保護されてたから、ちょくちょくヒューリスティックにひっかかるのはみかけた
蔵のプロトコルに、総当たりに弱い仕様があるんじゃないかな
どういうログイン手順かわからんが、パスワードが推測可能なものはやめとけ。
ログインIDが、悪意を持った仲間に筒抜けってケースを考えてみたらいい
巨大な蔵を解析しようという気にはなれないが、まあDLだけしてみるか
191:名無しさん@お腹いっぱい。
09/08/20 08:51:02
あれっなぜsageになってない?? 手が当たったか すまそ
192:名無しさん@お腹いっぱい。
09/08/20 09:37:25
> セキュリティーソフトが反応した
なんと反応したのかkwsk
193:名無しさん@お腹いっぱい。
09/08/20 11:53:40
nProが引っかかっただけだろ
チョンゲやるような奴なんざ放っとけ
194:名無しさん@お腹いっぱい。
09/08/20 20:53:20
>>193
クライアントを立ち上げたところで反応でなくて、
公式にあるパワーwikiってところを閲覧しただけで反応したってカキコミだったかな。
195:名無しさん@お腹いっぱい。
09/08/20 23:41:03 BE:198801623-2BP(0)
パワーwikiとやらにウイルスがいたとして、そいつを捕獲してもってくれば、
exeをばらしてみるなりなんなりする奴もいるだろうね
しっかし、公式サイトのトップにつなぐだけでcab2個
こいつが、なぜか%windir%直下にunicowsを入れる
ダウンローダはさらに別個とな
住民は、蔵のちょくりんとか知ってるのかな 普通にhttpだったけど
NCの垢のスクリーンネームとIDがおんなじだったら、スクリーンネームは平文で奪取し放題だよねこれ
196:名無しさん@お腹いっぱい。
09/08/21 00:15:26
>>189
感染してるの?
このサイト
ソフト反応したけど
197:名無しさん@お腹いっぱい。
09/08/21 00:44:46
>>196
感染してない。公式は安全。
198:名無しさん@お腹いっぱい。
09/08/21 07:24:00
AION垢ハックについて質問した者です。
みなさん、スレチにもかかわらず色々な検証していただいてありがとうございました。
ここの住人の方の検証で公式が安全ということがわかりました。
今後、セキュリティーソフト(ノートン2009)が反応しましたら、
ここで伺いますのでよろしくお願いします。
199:名無しさん@お腹いっぱい。
09/08/21 07:42:43
ニュアンスとか、過去のことまで含めると、意見は分かれるね
あれだけごちゃごちゃとしていたら、どこに何が埋まっててもわからんし
仕様の段階で、垢ハクに強そうなイメージがわかないな
だめと断定してるというより、堅牢というイメージがないというか
こんなもんなのか?
200:名無しさん@お腹いっぱい。
09/08/23 22:20:15
URLリンク(icanhaz.com)
これはなんでしょうか?
開いたら鬼のように、タスクバーが埋まってやばかったです。
201:名無しさん@お腹いっぱい。
09/08/24 08:20:07
ふつうにブラクラ ただし、ウイルス(スクリプト)のカスが埋め込まれているので、
まれにウイルスとして検出されるかも (vt 2 of 36)
202:名無しさん@お腹いっぱい。
09/08/25 23:39:03 BE:1590408386-2BP(0)
Internet Explorer Application Compatibility VPC Image の更新 URLは変わらず
203:名無しさん@そうだ選挙に行こう
09/08/30 15:22:59
URLリンク(loda.jp)
ウイルスが入っているらしいんですが…
204:名無しさん@そうだ選挙に行こう
09/08/30 18:28:19
>>203
まさかこのスレでそのゲームを見る日が来るとは…
偶然にも俺そのゲームの愛用者つーか廃人ですw
肝心のvipjojogames.zipですが
diavolo_ver0_13.lzhオリジナルに比べかなりファイルは増えていますが
実行ファイル及び関連DLLはver0.13と同一
99%安全です
残り1%の危険性はプレイヤーへの肉体依存及び精神依存という事でw
205:名無しさん@そうだ選挙に行こう
09/08/30 18:31:15
おっと追記
同一とレスしましたがファイルサイズでは無く、MD5及びSHA1でチェックしました
つまり、より確実に安全と言う事です
206:名無しさん@お腹いっぱい。
09/08/30 22:27:00 BE:1060272948-2BP(0)
diabolo.zip は、HSP3.0ランタイムに反応している様子
HSP3.0 SDKライブラリをDLL化したものには反応しない どの部分に反応してるのか気になるw
onionsoft 側の告知: URLリンク(www.onionsoft.net)
HSPで書かれたイタズラプログラムがけっこうたくさん報告されるので、
もういっそ、ランタイムでペケにしちゃえ。ってことなのかな、と
いずれにしても、これだけ巨大なプログラムだと、完全な安全判定は難しいです
ネットワークプレイに対応してるとなると、サブコンポーネントの脆弱性の可能性とかも気になる
砂箱とか、そういうもんを使うのがよろしいかと。
// 自レス スレリンク(occult板:725番) のコピ
207:名無しさん@お腹いっぱい。
09/09/26 18:14:46
URLリンク(www.nextgamer.nl)
ここをIEで踏むと、場合によってはパソコンをスキャンするようなフラッシュが出てくるのですが、
他の方はどうでしょうか?
208:名無しさん@お腹いっぱい。
09/09/27 04:34:28
URLリンク(www.dotup.org)
これの詳細わかりませんか?クリックしたんですがAviraも無反応で不安です。
ファイル名はcrack.45155.exeです。
209:名無しさん@お腹いっぱい。
09/09/27 11:38:00
>>208
残念ながら新種のウイルス(トロイ)です。
URLリンク(www.virustotal.com)
AVIRAには提出しておきましたが、今週末で休みなので、多分日本時間で月曜日の夜(ドイツが昼)まで
対応されません。
今の所、メジャー所で検出できるのはマカフィーとカスペなので、カスペのオンラインスキャンをやってみるのが
良いのかな? マカフィーってオンラインスキャンあったっけ...?
210:名無しさん@お腹いっぱい。
09/09/27 13:39:17
>>207
当方では、FireFfoxでもIEでも、特にそういう画面は出てこないです。
毎回キャッシュをクリアして3回程アクセスしてみましたが、毎回同じ表示でした。
そのページのソース(検出 0)
URLリンク(www.virustotal.com)
表示されるフラッシュ(検出 0)
URLリンク(www.virustotal.com)
何も感染していないか、もしくは閲覧者の環境をみて表示が変わるかだと思いますが、とりあえず
こちらでは怪しい所は確認できませんでした。
211:名無しさん@お腹いっぱい。
09/09/27 23:19:59
>>209
>メジャー所で検出できるのはマカフィーとカスペなので
Pandaのことも時々でいいから思い出してあげてください(日本で知名度なくても欧米では御三家に次ぐメジャー)駆除できるオンラインスキャンもあります
>マカフィーってオンラインスキャンあったっけ...?
確かあったはず
「マカフィー オンラインスキャン」でググればすぐに出てくるはず
212:名無しさん@お腹いっぱい。
09/10/03 03:28:27
>>210
お礼の返事が遅くなってすみません。
ありがとうございます。
213:名無しさん@お腹いっぱい。
09/11/04 10:31:09
VLC Media Player Portable
URLリンク(downloads.sourceforge.net)
解凍するとMcafeeが大ハッスルします。
有名なソフトらしいので、結構ヤバイと思うのですが・・・・
214:名無しさん@お腹いっぱい。
09/11/05 09:42:58
すんげー大量にファイルはいってるやつだろこれ…どの内部ファイルがひっかかるんだ?
どうせ誤検出だろ…とか8割思ってるが、そうかと思うと、ウイルス混入とかいうこともたまにある
なんでも見てみるもの
215:名無しさん@お腹いっぱい。
09/11/09 14:48:07
ネットゲーム板に貼られていました。
AguseもGredもURL上のZIPファイルには反応しないため
ウイルスかどうか判定することが出来なくて困っています。
こういうファイルをウイルスかどうか判定するには
やはりいったんダウンロードしないといけないのでしょうか?
下記サイトに火狐だと攻撃サイトとして自動的にブロックするため
ファイルも多分ウイルスだと思うのですが・・
確定できません。
URLリンク(infosueek.w53.okwit.com)
URLリンク(www.gamepaslog.com)
216:名無しさん@お腹いっぱい。
09/11/09 21:18:17
>>215
zipの中身。ちなみに、2つとも同じだった。
URLリンク(www.virustotal.com) (32/40)
検出率高いんで、結構古いウイルスじゃないかと。
> こういうファイルをウイルスかどうか判定するには
> やはりいったんダウンロードしないといけないのでしょうか?
基本は、そうです。ダウンロード → 必要なら解凍 → VirusTotalに投げる、というのが常套手段ですね。
217:215
09/11/09 21:44:50
>>216
お忙しい中、調べていただき
ありがとうございます
218:名無しさん@お腹いっぱい。
09/11/12 17:08:26
>>215
それって前のスレに出てきたんじゃねえの
かなり前にダウンロードしたことあったけど
219:名無しさん@お腹いっぱい。
09/11/21 10:50:28
URLリンク(maniax.dlsite.com)
URLリンク(maniax.dlsite.com)
昨日この体験版をダウンロードした直後、PCの動作が異常になったのですが
これが原因なのか、そうでないのかが判りません
avastでチェックをしてもウイルスは検出はされませんでした
よろしくお願いします
220:名無しさん@お腹いっぱい。
09/11/21 17:12:05
>>219
視聴問題なし。
っつーか元のスレで聞けばいいのに。
221:名無しさん@お腹いっぱい。
09/11/21 17:21:22
>>220
専用スレ以外で疑いのあるファイルを貼るのはまずいと思ったので、ここで鑑定依頼をさせていただきました
回答ありがとうございました
222:名無しさん@お腹いっぱい。
09/12/01 04:04:07
どのスレに依頼したらいいのか困ったのですが
スレ違いでしたらごめんなさい
URLリンク(www.qopix.com)
この画像をPCに保存しようとするとトロイ検出されるんですが
ブラウザで見るのは普通に見れるんですが
反応したソフトはMicrosoft Security Essentialsです
223:名無しさん@お腹いっぱい。
09/12/01 14:17:36
>>222
Virus Totalの結果は?
URLリンク(www.virustotal.com)
224:名無しさん@お腹いっぱい。
09/12/01 17:58:53 BE:397602443-2BP(0)
末尾になんか、トップページみたいなデータ(HTML)がくっついてくるね、ここ
iframeタグみたいなのが埋め込まれた画像は、安全とは言えない。として、
一様に検出するのかもしれん
URLリンク(www.microsoft.com)
だれか詳しい人に、末尾の、画像に関係無い部分をカットしてもらってください
225:名無しさん@お腹いっぱい。
09/12/01 23:59:12
>>222
URLリンク(www.virustotal.com)
結果: 0/40 (0.00%)
226:222
09/12/02 11:18:28
>>223
有難うございます、ファイル保存する前に消されてたので、保存方法変えながら試してみました
結果: 3/41 (7.32%)でした。
URLリンク(www.virustotal.com)
>>224
解説有難うございます。やはり怪しい部分は有るんですね
>>225
ファイル自体が違う物のようですね・・・・・
227:名無しさん@お腹いっぱい。
09/12/02 11:40:44 BE:662670454-2BP(0)
有害とはかぎらないけど、あれじゃ多少有害と判定されても仕方ないwみたいな。
そんな感じです
228:地雷確認
09/12/17 13:57:46
>>すてPCで地雷を確かめることができます
PC交換してバックアップも終わったので地雷のレポートします。
リカバリも終わりXPのSP3まっさらで地雷にアタックできます。
D:\にダミーデータも置けます。
お勧めの地雷を教えてください。有料サイトの試撃ちはだめ、アプリに関するもだめ
p2pもソフトインストやっかいなのでだめ、URL直行が楽でいいです。
二回目以降は暇な時にリカバリ後となるため時間がかかります。SP1のつもり
229:名無しさん@お腹いっぱい。
09/12/17 15:01:04
煽り的に、これでも踏んでみろやゴルァ!ってネタはあんまないな
検出可否スレで適当に検体拾ってみる。報告・実況はこちらに。
230:名無しさん@お腹いっぱい。
09/12/17 15:07:37
あっぴん偉そうに言ってるけど
相沢と何も変らんなw
231:名無しさん@お腹いっぱい。
10/01/03 16:55:28 BE:397602443-2BP(0)
昨年末に、>>6 の IE AppCompat VHD 更新。
ことよろです。
232:名無しさん@お腹いっぱい。
10/01/19 15:00:51
URLリンク(www1.axfc.net)
先日、誤ってこのexeファイルを実行してしまいました。
この時、複数のウイルス・スパイウェア対策ソフトで調べた結果
PCからいくつかのトロイが検出され、これは駆除したのですが、
その後はカスペルスキーでのスキャン時に、C:\:kospre1.exe//exerb
を検出し、ここで毎回スキャンが進まなくなります。
また実際にこのパスを開いても該当ファイルが見当たりません。
これはどういったものでしょうか?よろしければ教えて頂きたいと思います。
上記はこの実行してしまったファイルをzip圧縮したものです。
DLパス・解凍パスともにvirusです。よろしくお願いします。
233:名無しさん@お腹いっぱい。
10/01/19 15:20:42
>>232
こっちのスレで聞いたほうがいいんじゃね?
【鑑定目的禁止】検出可否報告スレ13
スレリンク(sec板)
234:名無しさん@お腹いっぱい。
10/01/19 15:41:00
>233
そんなスレあったんですね、ありがとう
同じ内容でそっちに書いちゃっていいのかなあ
235:名無しさん@お腹いっぱい。
10/01/19 16:07:08
>>232
URLリンク(www.virustotal.com)
ウイルスバスター、カスペルスキー、NOD32使っててこの実行ファイルを踏んだ人はご愁傷様
ってかカスペルスキーはプロアクティブディフェンスでも引っかからなかったの?
236:名無しさん@お腹いっぱい。
10/01/19 16:30:31
>235
普通に実行してしまいました
後からスキャンしてみると途中で止まりますね…
ログを見ると「潜在的に望ましくないソフトウェア」として
検出はしているようですが削除等は機能しなくて困っています。
winny等のp2pソフトは入っていないんですが
それでも安心はできないですよね
237:名無しさん@お腹いっぱい。
10/01/27 09:50:26 BE:994005465-2BP(0)
antidojinてやつなのか。強制解凍にて確認。よくわからんが、常駐するんかこれ
カスペのエンジンにDoSを発生させてるんなら、それはそれで問題かと
238:名無しさん@お腹いっぱい。
10/01/27 10:59:33
>>235
ウィルスバスター2010は「不正コードが含まれている疑い」で
リアルタイム検索で正常にロックしますんで
バスター使いは大丈夫
一応検体提出完了
239:名無しさん@お腹いっぱい。
10/02/08 09:31:11
URLリンク(www.yahoo.co.jp)
これMMO晒しスレに貼り付けてあったんですがウィルスでしょうか?
怖くて踏めませんのでよろしくおねがいします。
240:名無しさん@お腹いっぱい。
10/02/08 13:37:34
yahoo!のトップなんて、画像・広告まできちんと表示させることがないもんな
そういう意味では、マジレスのしようがない
241:名無しさん@お腹いっぱい。
10/02/08 16:02:46
>>240
すいません間違えです
URLリンク(gamepaslog.com)
これですが、踏んでしまいましたがノートンがブロックしました
だいじょぶでしょうか
242:名無しさん@お腹いっぱい。
10/02/08 16:11:30
一般サイトと、昔からある有害URLの抱き合わせです
参考に、一般サイトのほうのRSSを貼っておきます URLリンク(cccdiary.blog55.fc2.com)
有害かどうかといったら、有害URLを抱き合わせてるんですから、有害です。
ブロックしたんだったら、なんとかなるんじゃね?という気もするし、
部分的にブロックが漏れて、貫通してるかも?という気もするし。
せっかくなので、帰ったらEXE踏んでみますけど、お急ぎでしたら、
アダ被あたり伺ってみてください >>2 (当スレと直接の連携はありません)
243:名無しさん@お腹いっぱい。
10/02/08 16:16:41
>>242
すいませんよろしくおねがいします。
244:名無しさん@お腹いっぱい。
10/02/08 17:58:05 BE:927738274-2BP(0)
見た感じ、h.exe, x.exe があり、x.exe を落とせました
動作の一例ですが、簡単に確認できる範囲では、俺の環境では、IEのアドオンに、
Thunder Browser Helper ってのが増えてるのが確認できます
感染していないことを証明することは出来ませんが、
Thunder Browser Helper ってのが増えてれば、何か居ることは判ります
これは、system32 にあり、XunLeiBHO のような名前の65KB のPEファイルです
Thunder Browser Helper は、今回ウイルス固有とは限らないようです ソースはぐぐる。
adware と判定しているセキュリティソフトもあるようです
ほかに、drivers に6KB, system32 に94KB, 52KB, 52KB のPEファイルが発生しました
245:名無しさん@お腹いっぱい。
10/02/11 01:04:37
>>244
お礼おくれました
ありがとうございました
246:名無しさん@お腹いっぱい。
10/02/15 21:21:42
URLリンク(labs-uploader.sabaitiba.com)
pass infected
たぶん偽セキュリティーソフト
247:名無しさん@お腹いっぱい。
10/02/16 11:07:50
>>246
URLリンク(www.virustotal.com)
検出名からして偽セキュリティソフトで間違いない
248:名無しさん@お腹いっぱい。
10/02/17 12:35:52 BE:1855476678-2BP(0)
実行してみました 偽セキュリティソフトで間違いないようです
・2.5MBの本体を取りに行きました
・ときどき、インチキ感染表示とともに、カスペでおなじみ、豚の悲鳴みたいな音がしました
・少なくとも、ダウンローダは、RunOnce, 本体は、Run にキーをつくりました
・感染に必要な?(未解析)一時サービスが作成され、残骸が残りました
・一定時間おきに、動作をどこかに通報していました
・hostsを書き換えてしまいました 以下のホストを含みます
google, yahoo, bing, www.google-analytics.com,
safebrowsing-cache.google.com, urs.microsoft.com
・IEの検索サイト一覧に、findgala.com が増えました
ひとつ騙されてみたところ、*.zedo.com に飛ばされました(一例)
249:名無しさん@お腹いっぱい。
10/02/17 16:21:32
>>246-247
URLリンク(www.virustotal.com)
検出数がかなり増えたな
17/41 (41.46%) -> 22/40 (55.00%)
250:名無しさん@お腹いっぱい。
10/02/23 04:48:02
ウイルスらしいです。検証よろしくお願いします
URLリンク(www1.axfc.net)
251:名無しさん@お腹いっぱい。
10/02/23 07:12:32
どとねとだ。。
無理しないで、本家のやつでよくないか、こんなの
URLリンク(www.stealthnet.de)
svnとか行ってきてはどうか
252:名無しさん@お腹いっぱい。
10/03/03 10:23:55 BE:1192806094-2BP(0)
touch
253:名無しさん@お腹いっぱい。
10/03/10 08:50:16
URLリンク(labs-uploader.sabaitiba.com)
virus
URLリンク(www.virustotal.com)
254:名無しさん@お腹いっぱい。
10/03/25 12:34:57
URLリンク(gamepaslog.com)
というURLを間違えて踏んだのですが、
ウィルスバスターのフィッシング詐欺対策ツールがページを弾いて表示されませんでした。
不安だったのでバスターとBitDefenderでスキャンをかけてみましたが何も検出されませんでした。
この場合はセーフでしょうか?
255:名無しさん@お腹いっぱい。
10/03/25 15:37:26
>>254
マルウェアですな。バスターでは検出できないようですので
オンラインスキャンを受けることを推奨します。
食え悪しくは質問スレで。
256:名無しさん@お腹いっぱい。
10/03/25 16:51:38
>>255
質問スレってどこにあるのでしょうか…orz
とりあえずBitDefenderのオンラインスキャンとカスペルスキーをインストールしてスキャンかけましたが、何も検出されなかったです
257:名無しさん@お腹いっぱい。
10/03/26 20:23:32
>>256
じゃあバスターが防いでくれたんでしょう、フィッシングの方で。
心配する必要はありません。
258:名無しさん@お腹いっぱい。
10/03/31 03:33:00 BE:463869072-2BP(0)
IE App Compat VHD 更新。URLはおなじ。
259:名無しさん@お腹いっぱい。
10/04/10 18:48:31
URLリンク(labs-uploader.sabaitiba.com)
動画を再生しようとしたらコーデックをインストールしろの表示がでた
パス infected
260:名無しさん@お腹いっぱい。
10/04/11 11:25:08 BE:795205038-2BP(0)
インチキセキュリティソフト(単体)のようでした
インチキコーデックをインスコしている様子はありませんので、無害でも無益です
HKLMのrunに加えて、HKLM/Software に数字の名前のゴミキーができました
砂箱よけらしきコードが入っていました
砂箱のバグ(エミュレーションレイヤが適切なエラーコードを返さない)を突いているようです
バグはバグなので、砂箱ベンダに報告の見込み。
261:名無しさん@お腹いっぱい。
10/04/11 14:08:18
>>259-260 乙です。
URLリンク(www.virustotal.com)
検出 9/38
最近のはサンドボックスや仮想PC避け(解析妨害)が入っていて、実機のみ感染というタイプもあるので、
無害ってことは無い気がします。(仮想PCとかだと、感染しないで終了して、無害に見せかける)
262:名無しさん@お腹いっぱい。
10/04/11 18:47:58
どっちにしても訳分からんexeを実機で実行するような勇気も趣味もないなwww
263:名無しさん@お腹いっぱい。
10/04/11 19:38:08 BE:695803673-2BP(0)
無害でも、というのは、このスレらしいところで、
タスクマネージャから落とせる程度の、びっくりさせるだけなマルウェアなら、
有害のうちに入らない。って人が結構いるためです
ま、常識的に考えて、有害ですよね
264:名無しさん@お腹いっぱい。
10/04/11 20:28:19
じゃあもしかしてNew AntiVirusは無害になっちゃうのですか?
URLリンク(labs-uploader.sabaitiba.com)
パスinfected
265:名無しさん@お腹いっぱい。
10/04/11 20:43:20
こいつも何か怪しいな
URLリンク(download.cnet.com)
ファイル自体もこんな感じで
URLリンク(www.virustotal.com)
実行すると明らかにインチキくさいスキャン画面がでてこれ
URLリンク(www.virustotal.com)
をダウンロードさせようとする。しかももっと調べるとこれとよく似たUIのソフトがおいてある。
ただの誤検知、偶然でいいのか、もしくはdownload.comがまともに審査してないのか、、、
266:261
10/04/11 20:58:44
>>264 乙です。
URLリンク(www.virustotal.com)
検出 19/39
ん~、それは流石に無い気がする。つか、現時点でベンダーの半分は黒判定してますね。
ところで、ちょっと面白いと思ったのが、>259,261も>264もBitDefenderは検出しないのに、Bitエンジン+αのF-Secはきっちり検出するのね。
>261ではAvastもBitもスルーするから当然G DATAもスルー。F-Secもスルーしても良さそうなのに...
あと、>264はKasperskyがスルーぶっこきやがったんで、提出させていただきました。検体提供どーもです。
267:261
10/04/11 21:33:42
>>265 乙です。
それ、胡散臭すぎ...(苦笑
とりあえず、Kasperskyの他に、AntiVir,Avast,AVG,BitDefender,MicrosoftのFree組5社に送ってみた。
(Adware-Setup.exe , setupxv.exeの両方)
判定結果くれない所多いから、1週間位したら、再度VTにかけてみますか。
268:261
10/04/11 22:05:08
>>267 補足
理由はわからんけど、Microsoftのサーバーが検体受け取りを拒否して setupxv.exeが提出できなかったんで
Microsoftへの提出はAdware-Setup.exeのみです。(他のAvastとかは2個とも提出)
269:261
10/04/11 22:35:47
>>265,267-268 の件
まいど。
ちょっと調べてからコメント書けば良かったんだけど、それ、MalwareRemovalBot と言って海外じゃ結構有名らしい。
(検索すると結構出てくる)
→ URLリンク(forums.malwarebytes.org) (Malwarebytesの解説)
有名なわりに検出率低いので、多分、最近の亜種か改変版じゃないかと...
270:名無しさん@お腹いっぱい。
10/04/12 09:18:41 BE:2385612689-2BP(0)
AutoPlay Media Studio てののランタイムと、フォント。
autorun.cdd にかかってる保護はどってことなくて、
独自部分は、たぶん4KBくらいしかないです(圧縮時)
特に肝心なのは、この部分かと。
> File.OpenURL("URLリンク(www.registry-fix-softwares.com)",SW_SHOWNORMAL);
cnet もほっとくなよ、こんなもん(w
無害と強弁したとして、ただのスパムアプリじゃんw
271:名無しさん@お腹いっぱい。
10/04/12 09:38:06
>>264
常識的に考えて、IEのアップデートがどとねととか、おかしい罠w (普通はわからんにしても)
> C:\Users\Sergiu\Documents\Visual Studio 2008\Projects\Antivirus2010\Antivirus2010\obj\Release\Antivirus2010.pdb
Sergiu って誰よw
NT6- で開発か。インチキ集団も金持ちだなあw
272:名無しさん@お腹いっぱい。
10/04/12 21:37:18
コード読んで解析できるってみんなすごいなぁ...
273:名無しさん@お腹いっぱい。
10/04/12 22:47:46
>>264
こいつ、元ネタはUser AntiVirusっていうらしい。www
もともとUserって書いてたところを消してNEWに書き換えただけみたいだ。
比べていたら分かるが、それ以外何一つ変わってないぞこれwww
274:名無しさん@お腹いっぱい。
10/04/12 23:20:56 BE:596404229-2BP(0)
setupxv も実行してみた
download.2squared.com から検出DBらしきものを拾ってくるのはいいんだが…
> Server: Apache
> Last-Modified: Fri, 12 Mar 2010 17:23:43 GMT
どんだけ更新してないんだよw
まさか、鯖が1ヶ月ズレてるとかないよな
> Date: Mon, 12 Apr 2010 12:XX:XX GMT
それはなかった
275:名無しさん@お腹いっぱい。
10/04/14 19:40:10
Welcome back!
各ファイルの調査結果は以下のとおりです。
ファイル ID ファイル名 サイズ (バイト): 結果
25647073 Adware-Setup.exe 2.79 MB MALWARE
各サンプルに関する詳細レポートは以下のとおりです。
ファイル名 結果
Adware-Setup.exe MALWARE
ファイル 'Adware-Setup.exe' は、'MALWARE' と判定されました。 この脅威は、弊社アナリストにより TR/Agent.2930168 と命名されています。
"TR/" という用語は、データの内容を密かに探ったり、プライバシーを侵害したり、システムに無用の変更を加えたりする機能を備えた、トロイの木馬を指します。バージョン 7.10.06.71 以降、ウイルス定義ファイル (VDF) に検出用のデータが追加されます。
276:名無しさん@お腹いっぱい。
10/04/15 05:24:47
URLリンク(upup.s10.x-beat.com)
infected
URLリンク(www.virustotal.com)
中身は同じインチキソフトなのに検出数が違うのはなぜですか?
277:276
10/04/15 05:41:26
書き忘れました。259と中身は同じインチキソフトです。
278:名無しさん@お腹いっぱい。
10/04/15 14:05:56 BE:530136544-2BP(0)
本質的には同じもののようですが、解析よけ(パッカ)の先頭部分が異なるようです
パタン型検出エンジンとの攻防の結果でしょうかね
279:名無しさん@お腹いっぱい。
10/04/24 18:38:24
URLリンク(www.uploda.biz)
このアプリが反応するんだけど他の人はどうですか?
280:名無しさん@お腹いっぱい。
10/04/26 00:08:06
誘導された先からたどり着きました
URLリンク(www.sexuploader.com)
exeなのですが、実行しても大丈夫でしょうか
中身はエロ動画だと思います
281:名無しさん@お腹いっぱい。
10/04/26 10:01:01
先頭1MBのみ確認、ぱっと見、dgcaの自己解凍書庫ではないでしょうか
自己解凍機能を使用する必要はありません、信頼できるexeで解凍しても同じこと
で、解凍した中身については不関知
数は少ないが、腐った動画ファイルってのもないではないわけだし
山野のファイルを拾って楽しむなら、爆弾踏んでも壊れない環境を構築すること
282:名無しさん@お腹いっぱい。
10/04/26 11:06:32
>>279
実質404 転載よろ
283:名無しさん@お腹いっぱい。
10/04/26 17:58:13
>>281
ありがとうございます
開いて安全か分からないって事ですよね、とりあえず放置する事にします
284:名無しさん@お腹いっぱい。
10/04/27 09:14:35
やべぇ、踏んじまった。
URLリンク(www.dotup.org)
kiken
広告が大量に開いたが、これって?
virustotalでも剣質0なんて・・・
URLリンク(www.virustotal.com)
285:名無しさん@お腹いっぱい。
10/04/27 21:29:47 BE:1855476487-2BP(0)
17個ものアフィURLを開いた上で、ゲームキャプ動画かなんかが少し流れる
Flashのバージョンによっては、px.a8.net につないでいいですかと聞いてきます
無害でも非絵炉 どっちかっていうと、ブラクラかも(w
参考: 設定変更URLはこちら
URLリンク(www.macromedia.com)
286:名無しさん@お腹いっぱい。
10/05/03 10:12:44
URLリンク(upup.s10.x-beat.com)
12345
287:名無しさん@お腹いっぱい。
10/05/03 13:53:21
これと同じ URLリンク(sarbash.com)
ちょっと起動しただけでは、何の変哲もないようですが…。
>>2 のとおり、完全な安全判定というのは、ありえないという考え方なので、
判定: 不明
288:名無しさん@お腹いっぱい。
10/05/04 18:13:28
URLリンク(www.dotup.org)
infected
ノートンのダウンロード検査では要確認
URLリンク(www.virustotal.com)
289:名無しさん@お腹いっぱい。
10/05/04 21:04:50
これと同じ URLリンク(www.streamingstar.com)
winpcapを同梱してるので、警戒表示が出ているのかもですね
ネットワークを監視して、ストリーミングキャプチャのきっかけにしたいのだと思いますが、
セキュリティソフトとしては、たしかに、あらゆる通信が傍受されかねないと、言えなくはない
安全確保には、仮想PCをお使いください(※危険とは限らない)
なお、起動直後に、URLリンク(www.streamingstar.org) を見に行きました
290:名無しさん@お腹いっぱい。
10/05/09 16:10:17
URLリンク(ux.getuploader.com)
お願いします。
291:名無しさん@お腹いっぱい。
10/05/09 17:30:22
>>290
URLリンク(www.virustotal.com)
292:名無しさん@お腹いっぱい。
10/05/09 22:00:02 BE:1391607667-2BP(100)
単体では動作確認が難しいです(xfi.dllへのスタティックリンクあり)
warezのようですので、簡単な確認のみ: 実行時ダンプしたものを投げると、
ヒューリスティックでW32/Downloader.K.gen!Eldorado などの判定が一部に出ます
URLリンク(www.virscan.org)
よく出る誤判定のようなのですけど、そのへんはなんのこっちゃわからんです
いずれにしても、これは提供元にご相談ください
----
※vtが人気ですけど、vtがなんか重くてつながらなかっただけ。
293:名無しさん@お腹いっぱい。
10/05/10 23:42:00
URLリンク(www.dotup.org)
このスクリーンセーバは信用できますか?
294:293
10/05/10 23:44:40
追記 パス infected
295:名無しさん@お腹いっぱい。
10/05/11 08:26:41 BE:463869072-2BP(100)
MyWebSearch系. コテコテのadwareです
2ちゃん的には、回避推奨になるんじゃ。
インストールしたバイナリをうpしたもの:
URLリンク(www.virustotal.com)
で、肝心のスクリーンセーバーについては、
暗号化された(推定)動画ファイルを使用したもののようです
例) URLリンク(ak.scr.imgfarm.com)
296:名無しさん@お腹いっぱい。
10/05/11 08:33:21 BE:2385612689-2BP(100)
SWFのも、あった
例) URLリンク(ak.scr.imgfarm.com) 【安全未確認】
297:名無しさん@お腹いっぱい。
10/05/17 20:57:32
URLリンク(toku-strawberry.net)
念のためにDLkey、解凍共にvirusでパスかけてあります。
タイトルと無関係に変な動画を再生する偽装exeですが、
そのほかに常駐等、裏で悪さをしてないかちょっと気になったもので・・・
ちなみにノートンは無反応でした。
298:名無しさん@お腹いっぱい。
10/05/17 23:30:53 BE:331335252-2BP(100)
yaojing.exe がラップされています
島は指名回避されているようです
URLリンク(www.virustotal.com)
これは、検出可否スレに送っておきます
299:名無しさん@お腹いっぱい。
10/05/18 00:36:31
>>298
どれの話?
300:名無しさん@お腹いっぱい。
10/05/26 11:29:28
URLリンク(loda.jp)
最近ネトゲのスレッドに貼り付けられています
迷惑中華でしょうか?
301:名無しさん@お腹いっぱい。
10/05/26 14:02:04
URLリンク(aspstone-co.com)
ついでにこれもです
302:名無しさん@お腹いっぱい。
10/05/28 00:28:37 BE:596403263-2BP(100)
>>300
ウイルスらしきものがまざってます
URLリンク(www.virustotal.com)
>>301
ちゃんとみてませんが、ウイルスらしきURLがまさってます
数日前に、vtに出されてました
URLリンク(www.virustotal.com)
ちゃんと最後まで踏んでませんけど、PC有害でいいと思います
303:名無しさん@お腹いっぱい。
10/05/28 00:42:38
>>300
URLリンク(www.virustotal.com)
トロイですね。 検出 34/41で、日本でよく使われているソフトだとフリーも含めて全部検出するから、特に問題ない気もするけど。
つーか、逆に、こんな検出率高いものに感染するような人は、正直何をやってもダメでしょ。
>>301
なんか変なスクリプトが仕込まれてる。カスペのサンドボックス経由で踏んだらトロイが3個検出されて全部遮断。
google safe browsingも真っ赤。
URLリンク(safebrowsing.clients.google.com)
NortonSafeWebも真っ赤。
URLリンク(safeweb.norton.com)
ま、近寄らない方が良いですね。専ブラ使っているなら、両方ともブラクラ登録その他しておきましょう。
304:303
10/05/28 00:46:39
おおっと、>302さんとかぶった。 質問出てから時間たってるから、今更かぶらないと思ったら意外。
まあ、世の中こんなもんかも。(苦笑
305:名無しさん@お腹いっぱい。
10/05/28 00:52:21 BE:994005465-2BP(100)
Zw
306:名無しさん@お腹いっぱい。
10/05/28 18:31:28
URLリンク(aimeblog.com)
偽装っぽいのですが
307:名無しさん@お腹いっぱい。
10/05/28 18:34:36
URLリンク(aimeblog.com)
これも偽装っぽいです
308:名無しさん@お腹いっぱい。
10/05/28 19:31:47
>>306
URLリンク(www.virustotal.com)
309:名無しさん@お腹いっぱい。
10/05/28 23:42:38
>>307
IE6/7の脆弱性攻撃へのリンクがあります。(画像が表示されている裏で攻撃を受ける)
URLリンク(www.virustotal.com)
対応していないベンダーは危険かも...というか、Nortonとバスターが未対応とか、結構危険かな。
ただし、IE8(SmartScreen)もFirefox,Chrome(Google Safe Blowsing)も、どちらもブラウザがブロックしてくれます。
IE6/7の使用者で、未対応ベンダーのソフトを使ってる人はヤバイと思います。
ちなみに、CVE-2010-0806の解説(毎度おなじみso-netさん)
URLリンク(www.so-net.ne.jp)
310:名無しさん@お腹いっぱい。
10/05/30 20:53:11
踏んだ奴がテンパってるらしくて鑑定スレでよく見かける
URLリンク(blog-imgs-33.fc2.com)
URLリンク(www.russianbare.com)
悪乗りしたバカが他スレにも転載してやがる
311:名無しさん@お腹いっぱい。
10/05/31 00:51:14
>>310
私は、そのURL鑑定を依頼した本人です。
私がパニックになって複数の鑑定スレで該当URLの鑑定依頼をしてしまったため、
そのレスが愉快犯に目をつけられてしまったらしく、該当URLの直リンを鑑定スレとは関係のない
他スレに転載されてしまいました。罠のように貼られていました。
私の軽率な行動が起こしてしまった事態です、申し訳ありません。
私は当初セキュリティ板の存在を知らず、画像鑑定スレで依頼をしてしまったため、リンク先の
画像の鑑定はしていただけたのですが、ページ自体に何か仕込まれていないかの答えが得られなかったのです。
312:311
10/06/02 07:51:49
>>310の上のほうのURLは中国の最低なアダルトサイトなので開かないほうがいいです。
私が他鑑定スレで鑑定依頼したところ、一応このページ自体には仕掛けはないとのことでした。
下のほうのURLは海外のヌーディストサイトの直リンよけページみたいです。
私がそのURLを踏んだのはスレリンク(x3板)の45レス目と46レス目で
クリックした後不安になり、該当URLをグーグル検索したのですがヒットしたのは元サイトと上記のスレだけでした。
(現在は私が鑑定スレにURLを貼ったのでそちらもヒットしますが)
不思議なのは、2ちゃんでよくある嫌がらせの騙しリンクであれば過去にも貼られているはずなのにその形跡がなかったことです。
なぜ突然このURLが上記のスレに貼られたのか宣伝のために貼ったのか意図が読めなくて気持ち悪いですね。
どうせ直リン先に仕掛けはなくてもページを進んだ先に詐欺リンクがありそうなサイトですが。
313:311
10/06/03 22:05:11
問題解決しました。すでにiframeが消滅しているため、このページに限っては大丈夫みたいです。
しかし、こんな不快な騙しリンクを貼るなんて何者だろうと思い、類似URLを検索したら結構ヒットしますね。
貼ってる連中のほとんどが単発IDで微妙な日本語で書き込んでるので外人でしょうね。
初心者質問スレではお騒がせして申し訳ありませんでした。
314:311
10/06/04 15:48:45
スレのみなさん申し訳ありません。
>>310に書かれているURLはウイルスではなく、ただの倫理的に問題のあるアダルトサイトだとわかったため
スレ違いだと思い削除依頼したのですが、依頼方法に誤りがあったため、受理されませんでした。
申し訳ありませんでした。今後はマルチポストにならないように気をつけます。
315:名無しさん@お腹いっぱい。
10/06/04 23:10:10
はっきり言っておいてやろう
もちつけwwww
316:311
10/06/04 23:57:30
>>315さんレスをいただき、ありがとうございます。
今は、URL鑑定の結果が分かり、落ち着いているのですが、罠リンクを踏んだ当時は
冷静さを欠いてしまい、早く答えがほしくて(別板で質問すればマルチにはならないだろう)と、
複数の板で同様の質問をしてしまいました。ごめんなさい。
ただ、冷静になって考えたら、多くの板にこの危険なリンクを貼ってしまって、
貼り方だってもっと安全なやり方があったのにただ単純にURLを書いてしまって
後悔ばかりが出てきて言い訳がましい書き込みを連投してしまいました。
本当にすいませんでした。
317:名無しさん@お腹いっぱい。
10/06/12 12:03:40
URLリンク(upp.sakura.ne.jp)
infected
怪しいと思います。どうでしょうか?
318:名無しさん@お腹いっぱい。
10/06/12 16:26:59
実行すると一応書いてありますが、URLリンク(for-ever.us) のラッパのようです
直接 for-ever.us に行けばいいのではないかと。
for-ever.us が信用出来るかどうかは不明です
一応、送信できました。というwebページもわずかにありますが、
評価は定まっていないと見るべき
319:名無しさん@お腹いっぱい。
10/06/17 02:57:06
URLリンク(firestorage.jp)
フリーゲーム
320:名無しさん@お腹いっぱい。
10/06/17 09:42:09 BE:1192806094-2BP(100)
とりあえず、これと同じ
URLリンク(d3.spintop-media.com)
展開すると、バカでかいEXEと残りに分けられる
EXE【以外】をとりあえずvtに投げておく
URLリンク(www.virustotal.com)
今はここまで。働いてくる
clamav のPUA.Packed.MinGWGCCDLL.2xx がどのくらいのものかは、たった今はわからない
321:名無しさん@お腹いっぱい。
10/06/17 10:55:05
>>320
多忙のなかありがとうございます。
配布元HPにはNOスパイ NOアドと書いてあったので
ゲームを実行しようと思ったのですが少し心配になったので
ここに貼らさせていただきました。
322:名無しさん@お腹いっぱい。
10/06/18 09:05:09 BE:2385612498-2BP(100)
結局、ちょっとプレイしてみた感じでは、異常はなさげでしたが…
…そんなことより、これ60分の評価版ですよ
323:名無しさん@お腹いっぱい。
10/06/22 10:55:45
URLリンク(www.dotup.org)
2010 fifaワールドカップのサイトで落とした怪しいファイル
infected
324:名無しさん@お腹いっぱい。
10/06/22 13:45:26
アウトの気がする、正規品が、こんだけややこしいローダを組む理由がわからない
が当方環境でうまく実行できないのでいまんとこ保留扱い
325:名無しさん@お腹いっぱい。
10/06/22 19:50:35
>>323
AviraでもカスペでもDropper扱いされるね。
326:名無しさん@お腹いっぱい。
10/06/30 10:11:07
URLリンク(www.dotup.org)
akb48
URLリンク(www.virustotal.com)
327:名無しさん@お腹いっぱい。
10/06/30 15:23:32 BE:397602926-2BP(100)
ペイロードが3つ入っていました 検出可否スレに送ります
スレリンク(sec板:541番)
328:名無しさん@お腹いっぱい。
10/07/07 11:25:07
このファイルの鑑定をお願いします。
URLリンク(www.dotup.org)
329:名無しさん@お腹いっぱい。
10/07/07 14:45:50
keygenとメガデモらしきEXE
330:名無しさん@お腹いっぱい。
10/07/12 16:06:18
URLリンク(www.dotup.org)
infected
331:名無しさん@お腹いっぱい。
10/07/12 21:33:11 BE:1789209869-2BP(100)
>>330
>>326 の亜種です。ウイルスということでいいと思います
ペイロードが3つ入っていました 検出可否スレに送ります
スレリンク(sec板:545番)
書き忘れてましたが、>>326 とも、実行が最後まで行かなかったため、
「で、結局これ何」というのは、うまく答えられません
何かのパッチのような説明書が付いてましたけど。。
勘で言えば、ウイルス100% 例によって、釣りバイナリではないかと。
332:名無しさん@お腹いっぱい。
10/07/16 08:28:24
よろしくお願いします。
URLリンク(www1.axfc.net)
URLリンク(www1.axfc.net)
パスワードは12345です。
ウイルスかもしれないというレスがあり、怖くて解凍できません。
333:名無しさん@お腹いっぱい。
10/07/16 09:00:24
150MBか。でかいな。
とりあえず落としておけば?腐ってたら、開封しなきゃいいのさ
っていうのも、600名近くDLがあり、DL自体は無難げと推定できる
DLしかけて、仕事してくる
334:名無しさん@お腹いっぱい。
10/07/16 11:49:34
とりあえずexeらしきものは見つからず。。
335:332
10/07/16 22:47:53
ありがとう御座います。
ウイルスは無し、ということで宜しいでしょうか?
あまりPCに詳しくないのですが、ウイルスは基本的にexeの拡張子が
付いている、ということでしょうか?
336:名無しさん@お腹いっぱい。
10/07/16 23:42:13
名前にexeとついてなくても、exeだったりすることは多々あります
exeでなくても、exe同等の効果を発揮する書類もあります
ただ、最近の傾向としては、うpろだにおかしなものが混ざってるときは、
exeであることが多いと思います
337:332
10/07/16 23:47:32
ありがとう御座います。
うーん、なかなか難しいんですね^^;
解凍するのはやめようかな。
なんか気になって精神的に悪そうなので。
338:名無しさん@お腹いっぱい。
10/07/17 16:26:42
URLリンク(www.dotup.org)
virus
339:名無しさん@お腹いっぱい。
10/07/18 19:49:06 BE:1192807049-2BP(100)
exe以外は釣りバイナリらしいです 破損アーカイブ。今回は追求してません
exeは、何かのインストーラに見せかけたダウンローダの模様
簡易実行でファイルリストが落ちてきたので、検出可否スレに送りました
スレリンク(sec板:552番)
340:名無しさん@お腹いっぱい。
10/08/07 12:18:54
URLリンク(www.dotup.org)
infected
ワンクリ詐欺サイトから落としたファイルだけどGDATAは無反応でした。
341:名無しさん@お腹いっぱい。
10/08/08 09:02:32
(ワンクリ) URLリンク(adult-smsexadult.com) に飛ばされるだけの.htaファイル
どっちかといえばURLで規制されるべきもので、
ファイルが有害に検出されなくてもあまり文句は言えなさげです
342:名無しさん@お腹いっぱい。
10/08/11 01:46:50
>>340
aviraからの返答
Thank you for your email to Avira's virus lab.
Tracking number: INC00577344.
A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25841829 movies_adult.hta 1005 Byte MALWARE
25843111 set_reg[1] 1.91 KB MALWARE
Please find a detailed report concerning each individual sample below:
Filename Result
movies_adult.hta MALWARE
The file 'movies_adult.hta' has been determined to be 'MALWARE'. Our analysts named the threat HTML/RedirecE
The term "HTML/" denotes a script-virus that is able to infect the system using a HTML script.Detection will be added to our virus definition file (VDF) with one of the next updates.
343:名無しさん@お腹いっぱい。
10/08/14 08:08:44
URLリンク(labs-uploader.sabaitiba.com)
infected
344:名無しさん@お腹いっぱい。
10/08/14 09:12:06 BE:662670454-2BP(100)
%PATH%内に、exter32.dll ってのがないか探して下さい
inst.exe は機能的にはexter32.dll に依存していないようですが、
static link で読み込んでいますので、そいつは、想像するに、another malware です
inst.exe 自体は、ぱっと見、よくある偽セキュリティソフトでした
SS も撮りましたが、それは後ほど。
働いてくる
345:名無しさん@お腹いっぱい。
10/08/14 20:39:05 BE:198801432-2BP(100)
>>343 のSS
URLリンク(www1.axfc.net) dlpass: l10n
こっちが聞きたいわ(w
346:名無しさん@お腹いっぱい。
10/08/14 23:39:20
URLリンク(labs-uploader.sabaitiba.com)
347:名無しさん@お腹いっぱい。
10/08/15 02:48:42
クソワラタwww
348:名無しさん@お腹いっぱい。
10/08/15 04:19:58
URLリンク(www.virustotal-2010.com)
virustotalの偽物
349:名無しさん@お腹いっぱい。
10/08/15 08:54:12
XP Antispyware 2010 が置いてありました 特にヒネりとかはなさげ
350:名無しさん@お腹いっぱい。
10/08/19 20:41:40
URLリンク(labs-uploader.sabaitiba.com)
351:名無しさん@お腹いっぱい。
10/08/20 05:36:18
URLリンク(labs-uploader.sabaitiba.com)
infected
352:名無しさん@お腹いっぱい。
10/08/20 13:48:25
URLリンク(labs-uploader.sabaitiba.com)
virus
353:名無しさん@お腹いっぱい。
10/08/20 16:14:11
URLリンク(mikami-chida.com)
354:名無しさん@お腹いっぱい。
10/08/20 18:55:10
URLリンク(cgi.members.interq.or.jp)
トロイ検出されるのですがどうなのでしょうか?
355:名無しさん@お腹いっぱい。
10/08/21 13:13:22 BE:596404229-2BP(100)
ちょっとずつ引っかかる点があって、フル回答できないが、
現時点の、一応踏んでみたよと言うことで
>>350
一見すると、中小の作ったセキュリティソフト
mchinjdrv.sys なるものを実行しようとする madCodeHookのランタイムらしい
madCodeHook はあくまでライブラリだが、マルウェアに悪用されたことがあり、
クロとして検出するセキュリティソフトがある
madCodeHook を、リアルタイム監視に使おうとしているのか、
裏でなんかこそこそしようとしてるのかまでは未特定
>>351
FunWebProducts のブラウザプラグインがインスコされた
それ以上何も起こらない IE7以降が必須なんかもしれん
また、IE7の入ってる試験環境で一応踏んでみる
余計な害をなさないとしたら、アドウェア判定
356:名無しさん@お腹いっぱい。
10/08/21 13:41:19 BE:596403263-2BP(100)
>>352
hosts に、以下についてlocalhost を指すように書き込みます
--www.yahoo.co.jp search.yahoo.co.jp www.google.co.jp
goo.ne.jp www.goo.ne.jp www.goo.ne.jp
www.nifty.com www.nicovideo.jp www.youtube.com
2ch.net www.2ch.net kamome.2ch.net yuzuru.2ch.net toki.2ch.net
mixi.jp www.mixi.jp twitter.com www.twitter.com
www.rakuten.co.jp www.amazon.co.jp www.naver.jp www.nifty.com
www.livedoor.com blog.livedoor.jp jbbs.livedoor.jp
--
これが、「職場PCを遊びに使えなくするツール」として配ってるならいいのですけど、
"An installation preference is not found." などと表示しながら書き換えてますし、
勝手に書き換える意図があるのでしたら、有害です
%SystemRoot% をc:\windows に決め打ってますので、そこが変えてある環境では無効です
357:名無しさん@お腹いっぱい。
10/08/21 14:31:32
>>353
とりあえず、動画ぽい部分は、 URLリンク(mikami-chida.com)
358:名無しさん@お腹いっぱい。
10/08/21 14:49:01
>>357
この回転する奴の正式名称ってなんだっけ?
なんとかパイナップルだったような気がするんだが・・・。
359:名無しさん@お腹いっぱい。
10/08/21 18:14:19
>>358
くるくるパイナップル
無限パイナップル
どこまでもパイナップル
ネタが思いのほか出てこないので、ぐぐってみた
URLリンク(developer.apple.com)
> The “spinning gear” appearance of the activity indicator shows ...
360:名無しさん@お腹いっぱい。
10/08/25 15:55:01
ファイルを実行しなくてもページを開いただけで感染したり、本当に怖いですね。
アドレスを偽装する人もいるし。
361:名無しさん@お腹いっぱい。
10/08/26 15:37:17
URLリンク(labs-uploader.sabaitiba.com)
infected
362:名無しさん@お腹いっぱい。
10/08/27 12:43:34
ま た ど と ね と か
363:名無しさん@お腹いっぱい。
10/08/27 13:18:37 BE:2087411279-2BP(100)
>>361
MSN等の簡単な攻撃ツールらしいです 機能上の動作確認はしてません
一応SS: URLリンク(www1.axfc.net)
当方環境では、踏んだ直後は異状ありませんでしたが、無害と言い切れるかどうかは不明。
起動直後に、URLリンク(mobile.msn.com) を見に行くのは、
誤ログインを多発させて、正規ログインを阻止し、実質的にアカウントをfreezeさせる。
という攻撃法を模倣している関係らしいです。ソースはぐぐる。
364:名無しさん@お腹いっぱい。
10/08/27 17:03:42
貼り直し(SS): URLリンク(www1.axfc.net) pass: niosnvf
365:名無しさん@お腹いっぱい。
10/08/27 22:56:38
URLリンク(labs-uploader.sabaitiba.com)
infected
366:名無しさん@お腹いっぱい。
10/08/28 09:15:33 BE:1192806094-2BP(100)
途中経過。以下のファイルを落とそうとします (タイムスタンプは、Last-Modified より。)
これだけ見たら、Babylon のアフィ稼ぎに見える。
2010/08/08 09:38 212,043 AInstaller.CIS
2010/08/11 06:09 2,652,188 audiocnv.cis
2010/08/19 22:47 6,838,456 Babylon8_sq_14542.cis
串と相性が悪いみたいで、インスコが進まない…?
*.checkver.org との通信を許可しないといけないのかな(http-pingぽいので蹴ってる)
働いてくる
367:名無しさん@お腹いっぱい。
10/08/29 01:00:39 BE:662670454-2BP(100)
その後、*.checkver.org は、DONE としか言ってこないらしいと判明。
それを透過させても、なぜかインストレーションはうまくいかない。
文字列のデコードに成功、よくわからないあやしげな文字列もあったので、
(動かないながら)グレー判定にしておきます 無害でもアドウェア扱い。
368:名無しさん@お腹いっぱい。
10/08/31 00:10:35
zroot.info.tm
ここにアクセスするとGDATAがブロックするのですが
ウイルスサイトとゆう理解でよろしいでしょうか?
369:名無しさん@お腹いっぱい。
10/08/31 00:42:40 BE:894604493-2BP(100)
スレチですけど、雑談として。
>>368
GDATAの具体的な(データベース状況)は存じませんが、
ウイルス(Zeus系)に感染(or 管轄)しているドメインです。ソースはぐぐる。
さきほどconfig.bin が取れましたので、ただいま絶賛稼働中です(w
370:名無しさん@お腹いっぱい。
10/08/31 01:13:28
URLリンク(jujusoft.com)
海外のサイトで怪しいサイトとして紹介されてるのですが
ここに置いてあるソフトもあやしいファイルなんでしょうか?
371:名無しさん@お腹いっぱい。
10/08/31 01:29:59 BE:1623542077-2BP(100)
質問の意図を察するに、
いまどき、あやしくないファイルなんて、存在しないのです。
ウイルスでないとしても、システムを犯すようなバグありEXEかもしれない。
あるいは、安全を保証するはずのランタイムに、致命的なバグがあるかしれない。
あやしくないと、仮定せざるを得ないファイルが、存在するだけなのです。
でも、使いたい。
そんなときは、環境・情報を保護するソフトウェアの併用を検討してください。 >>2
372:名無しさん@お腹いっぱい。
10/08/31 01:49:03
>>371
ご返答ありがとうございました。
上のサイトのは得体が知れないので使うのは止めておきます。
373:名無しさん@お腹いっぱい。
10/08/31 13:06:20
うーん、やめとけっていう方よりは、迷ってもしょうがないんだから(完全な安全はない)、
ソフトが万一腐ってても平気なように環境を構成しちゃえばいいんじゃない?って
主張したいんだけどな。。
374:名無しさん@お腹いっぱい。
10/09/01 12:11:26
URLリンク(labs-uploader.sabaitiba.com)
infected
375:名無しさん@お腹いっぱい。
10/09/01 16:39:17
URLリンク(labs-uploader.sabaitiba.com)
infected
376:名無しさん@お腹いっぱい。
10/09/01 20:00:49
URLリンク(labs-uploader.sabaitiba.com)
infected
377:名無しさん@お腹いっぱい。
10/09/01 22:04:58 BE:2385612498-2BP(100)
>>374
内容的には、よくあるレジストリクリーナーのようです
珍しいことといえば、オンラインに簡素なホワイトリストを持っていることです
URLリンク(ud1.speedypc.com)
>>375
普通にキーロガーです。といっても、どこかに送信するタイプでなくて、
ローカルに保存して、ローカルで内容確認するようなやつでした
要どとねと、30日の評価版、SetWindowsHookEx() で監視するようです
378:名無しさん@お腹いっぱい。
10/09/01 22:06:52 BE:1789209296-2BP(100)
>>376
iamwired.net 系のホームページ、検索ページを設定するよう勧めてきます
iamwired.net は最終的にはask.com に飛ばすのですが、そのときにアフィを稼いでいる模様。
で、さらに、やけに詳細なユーザ登録をするようにも勧めてきます(省略可)
本体は: URLリンク(download.flvdome.com)
一部動画サイトについては、ページURLをつっこむと動画を引っ張ってくるように
なっているようですが、無理にこれ使わなくても。って感じではあります
アドウェア判定、ドメインがグレーなとこらしい(ソースはぐぐる)ので、
もうちょっとなにかあるかも。
379:名無しさん@お腹いっぱい。
10/09/02 06:19:28
URLリンク(labs-uploader.sabaitiba.com)
infected
380:名無しさん@お腹いっぱい。
10/09/02 09:13:58
URLリンク(www.freeinternetradio.biz)
381:名無しさん@お腹いっぱい。
10/09/02 20:20:25
このexeはみなどっからもってきてるのかな
382:名無しさん@お腹いっぱい。
10/09/02 22:25:33 BE:1491007695-2BP(100)
>>379,380
IE版の方を展開して、ざざっとみてみました
Softomate ToolbarStudio で作成されたツールバーのようです
一応、それらしいインターネットラジオURLリストが入っているのですが。。
Japan になっているものを抽出しておきます ま、(リストの)クオリティは推して知るべし。
-----
stations[362] = new Array('Japan - ABC Music Paradise', 'URLリンク(abc1008.com)');
stations[363] = new Array('Japan - ANAPARA - Oh! La Fiiki -', 'URLリンク(abc1008.com)');
stations[364] = new Array('Japan - Arigato Hamamura Jun desu', 'URLリンク(mbs.jp)');
stations[365] = new Array('Japan - BLACK ANGEL RADIO 2', 'URLリンク(std1.ladio.net:8070)');
stations[366] = new Array('Japan - BlueFM', 'URLリンク(zoo.inlive.co.kr:8080)');
stations[367] = new Array('Japan - Dara-Daradio in Funira-Ku', 'URLリンク(db1.voiceblog.jp)');
stations[368] = new Array('Japan - Drama no KAZE 1', 'URLリンク(mbs1179.com)');
stations[369] = new Array('Japan - Drama no KAZE 2', 'URLリンク(mbs1179.com)');
stations[370] = new Array('Japan - Earth Dreaming - Save the', 'URLリンク(abc1008.com)');
stations[371] = new Array('Japan - Music Kore iina Non Stop ', 'URLリンク(std1.ladio.net:8000)');
-----
トップ画面、検索画面、ツールバー内広告で小さく稼いでいる気がします
アドウェア判定で。
383:名無しさん@お腹いっぱい。
10/09/04 12:21:43
URLリンク(www.movierapid.com)
URLリンク(labs-uploader.sabaitiba.com)
infected
384:名無しさん@お腹いっぱい。
10/09/04 12:30:40
URLリンク(www.youtube.com)
385:名無しさん@お腹いっぱい。
10/09/05 13:21:23 BE:927738274-2BP(100)
>>383
7zip で展開すると、3つあやしいexeがはいってる
暇が取れないので、中身の簡単なやつをひとつ、つついてみた
ネットから本体らしきWDMドライバをhttpsでひっぱってきて、読み込む実装が見られるので、
有害は確定でOK しかし、そのドライバのDLがなぜかうまくいかないので、面白くない
のこりの2つも見た感じ、おそらく、無害でも無益
386:名無しさん@お腹いっぱい。
10/09/06 12:59:53
URLリンク(labs-uploader.sabaitiba.com)
infected
387:名無しさん@お腹いっぱい。
10/09/06 15:18:51
URLリンク(labs-uploader.sabaitiba.com)
infected
388:名無しさん@お腹いっぱい。
10/09/06 21:09:41 BE:463870027-2BP(100)
Win7 AMD64 の正規ファイル【かもしれません】。
同環境を持っている方にお尋ね下さい。32bit環境では無用の長物
なお、そうだとすると、動作不安定の報告が結構出ているようです
KB981770もご参照下さい Fix303310が出ております(v12.0.7600.20683)
389:名無しさん@お腹いっぱい。
10/09/06 21:12:56
>>388 >>386
390:名無しさん@お腹いっぱい。
10/09/06 22:10:02 BE:994005656-2BP(100)
>>387
ドキュメントをざっと見たのですけど、sc.exeで十分じゃないですかこれ
391:名無しさん@お腹いっぱい。
10/09/07 04:39:05
URLリンク(labs-uploader.sabaitiba.com)
infected
392:名無しさん@お腹いっぱい。
10/09/07 07:43:51
ダウンロードパスワードが間(ry
393:名無しさん@お腹いっぱい。
10/09/07 09:05:39
URLリンク(labs-uploader.sabaitiba.com)
12345
上の再up
394:名無しさん@お腹いっぱい。
10/09/07 10:38:52
URLリンク(labs-uploader.sabaitiba.com)
infected
395:名無しさん@お腹いっぱい。
10/09/07 16:28:37 BE:1789209296-2BP(100)
砂箱で起動する限り、起動直後に異変はなさげでした
通常環境での起動の安全は、【常に】保証されません
>>393 デスクトップをめちゃくちゃに破壊…して遊ぶお遊びツール
>>394 mp4形式に変換できるツール
396:名無しさん@お腹いっぱい。
10/09/07 19:58:33
URLリンク(labs-uploader.sabaitiba.com)
infected
397:名無しさん@お腹いっぱい。
10/09/07 20:01:35
URLリンク(labs-uploader.sabaitiba.com)
infected
398:名無しさん@お腹いっぱい。
10/09/07 23:21:14 BE:530135982-2BP(100)
砂箱で起動する限り、起動直後に異変はなさげでした
通常環境での起動の安全は、【常に】保証されません
>>396
レジストリクリーナータイプのぼったくりセキュリティソフトでした
しかも、当方環境では、最後までスキャンが進まずに落ちます
セルフアップデートもなぜかうまくかからない。まあ、そのくらいの品質のものです
>>397
imvuのクライアントを落としてくるみたいです 直リン貼っておきます
URLリンク(www.imvu.com)
399:名無しさん@お腹いっぱい。
10/09/11 16:29:15
URLリンク(labs-uploader.sabaitiba.com)
infected
400:名無しさん@お腹いっぱい。
10/09/11 18:56:21 BE:828338055-2BP(100)
NSIS, NSIS, UPX を解いて、ざざっと覗きました
ぱっと見、dump & patch ツールのようですが、用法・評価については、入手元にお尋ね下さい
401:名無しさん@お腹いっぱい。
10/09/11 19:09:40
ここで調べてみては?
URLリンク(www.virustotal.com)
402:名無しさん@お腹いっぱい。
10/09/12 01:34:33
URLリンク(juicyjunction.com)
ここのツールバーは無害?有害?
403:名無しさん@お腹いっぱい。
10/09/12 03:45:06 BE:1855476487-2BP(100)
インスコしてみましたが、いずれも有料サイトに飛ばされるばかりみたいです
アドウェア判定、無害でも無益に近い印象。もう少し詳細は近日中。
404:名無しさん@お腹いっぱい。
10/09/12 09:45:19
URLリンク(www.dotup.org)
infected
405:名無しさん@お腹いっぱい。
10/09/12 11:45:47 BE:198801623-2BP(100)
レジストリクリーナータイプのツールなのですけど。。
空のキーを全部指摘するっていうのは、どうなのか(w
トラブルシュート一覧と、問題のあるCLSID一覧は、テキストファイルです
URLリンク(www.AdvancedPCTweaker.com)
URLリンク(www.AdvancedPCTweaker.com)
One-Click Tweak.job がTasks にできます。
406:名無しさん@お腹いっぱい。
10/09/13 03:04:32
URLリンク(www.dotup.org)
infected
407:名無しさん@お腹いっぱい。
10/09/17 14:25:51 BE:2683814099-2BP(100)
途中経過だが一応
一応、セキュリティソフトということになっている WDMドライバを含む
WDMドライバは、ルートキット検出用らしいことが書いてあるが不明
ちょっとおもしろいのはファイルチェッカで、起動項目のファイルのハッシュかなにかを
鯖に片っぱしから送って、みてもらってる…らしい。
けど、すごい数を送るし、あれになにか個人情報が紛れ込んでてもわからんぞ?て感じ。
興味深いモノではあるが、どのみちreputationが不足してるし、
研究目的以上には、おすすめはしない
408:名無しさん@お腹いっぱい。
10/09/21 09:22:33
URLリンク(www.dotup.org)
infected
409:名無しさん@お腹いっぱい。
10/09/21 12:43:25
URLリンク(www.dotup.org)
infected
410:名無しさん@お腹いっぱい。
10/09/22 03:00:06 BE:1159672875-2BP(100)
>>409
ピカチューのアイコンが貼ってあるpatch.exe が入ってます おおよそ、既報のとおり。
ってだけではなんなので
・どとねと(2.0)で動作を確認。パッカのスタブもどとねと。
・確認時点で、受信鯖は通信のクオータを超えてます(たぶん: 6GB/月)
・見た感じ、setup.dll を参照している様子はありません 何かの隠しメッセージ(暗号)。
・見た感じ、"晒し"以上の機能はないようです
・書きかけなのか、コピペの削り忘れか、明らかに使っていないクラス/メソッドがいくらかあります
System.Reflection.Assembly::Load() で読み込んでますので、本質的にOEPはありません
伸張後アセンブリイメージはPEで、約22KB(パッカの仕様)
どうでもいいけど、freehostia って、広告出ないのね
411:名無しさん@お腹いっぱい。
10/09/23 23:45:50 BE:662670645-2BP(100)
>>408
サドンアタックの升ツール、ソース付き、こんなんは使ってるやつに聞けよ…と一瞬思ったが、
念のため覗いてみたら、
・サドンアタックがインスコされていたら、バイナリを自身で上書き。
・検出できなかったら、スタートメニューに自身を導入。
・どっちにしても、やっつけ的なメッセージを出して、シャットダウンする。
とかいうイタズラEXEでした (ざざっと見た感じ。)
慣れてる人が釣られたら苦笑で済みますが、初心者はパニクるはず
イタズラにしては、容赦ない 救済措置に作り込みが足りない
PC有害判定で。
再起動ループは、SHIFTキーおしっぱ起動で切り抜けて下さい
(慣れた人は、とっとと外部起動で済ませちゃうだろうから、案外忘れがち。)
412:名無しさん@お腹いっぱい。
10/09/23 23:50:01
書きわすれてた このEXEは、イタズラ以上の機能は、なし。
釣り記念に、C:\systems8 っていうゴミファイルができる
※管理者特権を持っているとき。フルパス決め打ち。
413:名無しさん@お腹いっぱい。
10/09/25 01:48:06
URLリンク(www.dotup.org)
infected
414:名無しさん@お腹いっぱい。
10/09/25 20:46:45 BE:198801623-2BP(100)
>>413
ffmpeg のラッパGUIのようなものでした
起動直後は異状ありませんでしたが、機能的に正しく動作するかは確認してません
415:名無しさん@お腹いっぱい。
10/09/30 00:04:18
>>412
EXEの消し方はどうやるんですか?無知ですいません
416:名無しさん@お腹いっぱい。
10/09/30 00:20:33
>>415
タスクマネージャのプロセス画面から該当.exeを終了させる
どれか判らない場合はユーザー名で起動しているプロセスを片っ端から終了させて再起動
417:名無しさん@お腹いっぱい。
10/09/30 00:36:26
>>416
片っ端からプロセスを終了して再起動したけどできない
なにか手順を間違えたのかな?
418:名無しさん@お腹いっぱい。
10/09/30 00:39:03
できないじゃなかった直らないです。
419:名無しさん@お腹いっぱい。
10/09/30 00:46:29
>>417
セーフモードもしくは管理者権限でログインで実行
420:名無しさん@お腹いっぱい。
10/09/30 00:58:24
>>419
セーフモードで重要なプロセス以外を全部終了させたが直らない
なにがおかしいのでしょう・・・
421:名無しさん@お腹いっぱい。
10/09/30 01:00:18
自分がひっかかったのと違うのでしょうか?
いちようこれです。
URLリンク(webtool.s372.xrea.com)
422:名無しさん@お腹いっぱい。
10/09/30 01:05:14
>>421
実行したらどうなったの?
423:名無しさん@お腹いっぱい。
10/09/30 01:10:14
>>422
実行したら黒い画面がでてきてやっつけ的なメッセージを出して
ログオフされる。それの繰り返し
再起動とかしてまたインすると↑のような現象の繰り返し
↑にあったような
・サドンアタックがインスコされていたら、バイナリを自身で上書き。
もされています
424:名無しさん@お腹いっぱい。
10/09/30 01:11:13
追記
EXEを起動したのは一回です
425:名無しさん@お腹いっぱい。
10/09/30 01:35:34
システム復元かクリーンインスコしかないね(‐人‐)
426:名無しさん@お腹いっぱい。
10/09/30 01:50:05
<<425
システムの復元ではダメでした
427:名無しさん@お腹いっぱい。
10/09/30 02:07:15
/ ̄ ̄ ̄ / /''7 ./''7 / ̄/ /''7
./ ./ ̄/ / /__/ / / ____  ̄ / /
'ー' _/ / ___ノ / /____/ ___ノ /
/___ノ /____,./ /____,./
_ノ ̄/ / ̄/ /''7 / ̄ ̄ ̄/ / ̄/ /'''7'''7
/ ̄ /  ̄ / /  ̄ フ ./ / ゙ー-; ____ / / /._
 ̄/ / ___ノ / __/ (___ / /ー--'゙ /____/ _ノ /i i/ ./
/__/ /____,./ /___,.ノゝ_/ /_/ /__,/ ゝ、__/
428:名無しさん@お腹いっぱい。
10/09/30 04:14:38 BE:397602926-2BP(100)
同じものだとすると(今片手間)、スタートアップ項目に本体がコピーされたと思うから、
スタートアップ項目をエクスプローラで開いて駆除するといいかと
サドンアタックは、セルフリカバリツールがあればそれを実行するのがはやい
なければ、サドンアタックを再インストール
429:名無しさん@お腹いっぱい。
10/09/30 10:08:15
>>428
ありがとうございます!スタートアップ項目にありました。
駆除したら直りました!!!クリーンシンストールしようかと準備してたところどうもです
430:名無しさん@お腹いっぱい。
10/10/03 12:09:14
URLリンク(labs-uploader.sabaitiba.com)
pass:h@ckt00l
431:名無しさん@お腹いっぱい。
10/10/03 15:48:25 BE:994005465-2BP(100)
>>430
mscomctl.ocx が導入されてないと動作しないです
ここに行って、アカウントを取れと言ってきます
URLリンク(rsmoney.suki-ari.net)
URLリンク(rsmoney.suki-ari.net)
なにかつなぐぽいしぐさをするのは、ここにつないでるみたいです
ようこそ!RyouSoftのブログへ!
URLリンク(ameblo.jp)
小銭稼ぎってことでいいんじゃないかなと。よくわからないけど。
432:名無しさん@お腹いっぱい。
10/10/11 21:47:04
URLリンク(www.dotup.org)
infected
433:名無しさん@お腹いっぱい。
10/10/11 22:04:45
>>432
EGG Marketとな・・・懐かしいなw
開発元(現在ダウンロード不可)
URLリンク(c-egg.com)
オリジナルファイルとハッシュ値が一致したのでこれにて終了。
434:名無しさん@お腹いっぱい。
10/10/13 09:42:28
URLリンク(cdn.optmd.com)
435:名無しさん@お腹いっぱい。
10/10/13 21:20:56 BE:2087410897-2BP(100)
>>434
MyWebSearch/FunWebProducts 系のアドウェアです
砂箱に入れて遊べばいいんじゃないかと。
機能の実体はHTMLアプリケーションで、以下から取得できます
window.external をどうにかすれば、一応、単独でも動作するかもです
URLリンク(www.mywebface.com)
URLリンク(www.mywebface.com)
436:名無しさん@お腹いっぱい。
10/10/14 13:40:34 BE:397602926-2BP(100)
Internet Explorer Application Compatibility VPC Image v4.2, 10/13/2010, English
Windows XP Images ... expire on January 11, 2011.
URLは>>6 と同じ。
437:名無しさん@お腹いっぱい。
10/10/14 13:52:35
URLリンク(www.dotup.org)
pass:virus
お願いします
438:名無しさん@お腹いっぱい。
10/10/14 14:04:08
>>437
ファイル自体にもパス掛けろよ
439:名無しさん@お腹いっぱい。
10/10/14 15:09:42
>>437
MSE検出
440:名無しさん@お腹いっぱい。
10/10/20 21:39:58
URLリンク(www1.axfc.net)
441:名無しさん@お腹いっぱい。
10/10/21 00:43:56 BE:331335252-2BP(100)
内蔵されているGIFアニメをデスクトップ上で再生するだけぽい感じです
砂箱内実行でちょっと遊んだ限りは、異状はなさげでした
442:名無しさん@お腹いっぱい。
10/10/24 03:03:22
URLリンク(labs-uploader.sabaitiba.com)
infected
443:名無しさん@お腹いっぱい。
10/10/27 12:27:43
URLリンク(uproda.2ch-library.com)
今時こんなzipはる中華って
444:名無しさん@お腹いっぱい。
10/10/28 14:04:46
>>443
朝見たときはfind2chで36スレ、今みたら43スレ
445:名無しさん@お腹いっぱい。
10/10/28 16:10:09
URLリンク(www.dotup.org)
infected
446:名無しさん@お腹いっぱい。
10/10/30 12:24:36 BE:331335252-2BP(100)
>>445
簡単に実行してみました。IEのスタートページを監視し、
変更されてもすかさず規定のURLで上書きするツールのようです
いきなりC:\NOSPY.ORGにインストールされます VB6のランタイム一式もそこに入ります
system32にdata.mgeという謎のファイルができます
Gumblar系の感染関係のファイルを連想しますが、中身はよくわからない音声ファイルでした
インストーラに同じファイルがありますから、ローカル環境の録音ではなさげなのですが。
447:名無しさん@お腹いっぱい。
10/11/19 00:09:07
URLリンク(www1.axfc.net)
お願いします
448:名無しさん@お腹いっぱい。
10/11/19 18:11:05
どうせだったら、スクリーンショット取得も、Perlの拡張でやればよかったんじゃないでしょうか?
っていう感じですね。帰ったら詳しくみます
449:名無しさん@お腹いっぱい。
10/11/20 17:03:18
URLリンク(uploda.in)
おねがいします
450:名無しさん@お腹いっぱい。
10/11/21 00:24:06
>>447-448
完全には読めてませんが、画面全体のスクリーンショットを、
某所へうpするだけ。ということでよさげです
>>449
これは、提供元にお問い合わせ下さい 俺はパス。
451:名無しさん@お腹いっぱい。
10/12/24 17:45:56
【社会】法務省、ウイルス作成罪新設へ 来年、法案を提出意向
スレリンク(newsplus板)
452:名無しさん@お腹いっぱい。
10/12/24 17:59:49
落とした検体の適正管理が問われることになりそげ。
どのみち、管理がきちんとできないと、セキュリティソフトの例外が煩雑になるし
453:名無しさん@お腹いっぱい。
11/01/02 19:04:21
暇だったから踏んだ
【サイト】
hxxp://online-stream-video.com/xfreeporn.php?id=48756
【各ベンダーの検出状況】
URLリンク(tot.to)
【症状】
New-Video-Addon.48756を実行するとこれがダウンローダーで他のプログラムを
呼び寄せてくる。bjh.exe bji.exe Bkabia.exe等。。
アドウェアのせいでやたらと広告が出てきてパソコンが重い。
つづく。。
454:453
11/01/02 19:09:55
スクリーンショットとろうと思ったけど想像以上につまんなかったからつづきません
455:名無しさん@お腹いっぱい。
11/01/03 10:34:03 BE:331335252-2BP(100)
初踏み乙w
自前コンテンツはないのねw > online-stream-video.com
ことよろ。
456:名無しさん@お腹いっぱい。
11/01/05 00:45:32
4 :z:2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。
ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
URLリンク(www.seikatubunka.metro.tokyo.jp)
漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
URLリンク(www2u.biglobe.ne.jp)
454 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか?
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか?
457:名無しさん@お腹いっぱい。
11/03/07 20:44:54.86
www.trackzapper.com/
ここで配布されてるソフトはどれもこれも怪しげなモノばかり
458:名無しさん@お腹いっぱい。
11/03/07 21:34:13.91
Firewall をみてみた
xanv のエンジンらしす
署名はされてない もちろん64bit非対応
459:名無しさん@お腹いっぱい。
11/03/10 10:13:48.49
URLリンク(www.dotup.org)
12345
460:名無しさん@お腹いっぱい。
11/03/10 10:16:20.61
URLリンク(www.dotup.org)
12345
461:名無しさん@お腹いっぱい。
11/03/10 21:46:44.89 BE:1855476678-2BP(100)
砂箱で実行。有害無害は確定しません
>>459
以下の各サイトのアフィリエイトを得た上(推定含む)、
URLリンク(asksearch.com) URLリンク(pcoptimizerpro.com) URLリンク(start.pogo.iplay.com)
以下から本体を落としてインスコするようです。それでもシェアウェアw
URLリンク(www.freeonlinetvplayer.com)
エロサイトらしきものが入っていたのを確認すると、たどっていったらこれでした
URLリンク(www.askdanandjennifer.com)
URLリンク(www.youtube.com)
ある意味エロサイトかw