10/05/26 11:29:28
URLリンク(loda.jp)
最近ネトゲのスレッドに貼り付けられています
迷惑中華でしょうか?
301:名無しさん@お腹いっぱい。
10/05/26 14:02:04
URLリンク(aspstone-co.com)
ついでにこれもです
302:名無しさん@お腹いっぱい。
10/05/28 00:28:37 BE:596403263-2BP(100)
>>300
ウイルスらしきものがまざってます
URLリンク(www.virustotal.com)
>>301
ちゃんとみてませんが、ウイルスらしきURLがまさってます
数日前に、vtに出されてました
URLリンク(www.virustotal.com)
ちゃんと最後まで踏んでませんけど、PC有害でいいと思います
303:名無しさん@お腹いっぱい。
10/05/28 00:42:38
>>300
URLリンク(www.virustotal.com)
トロイですね。 検出 34/41で、日本でよく使われているソフトだとフリーも含めて全部検出するから、特に問題ない気もするけど。
つーか、逆に、こんな検出率高いものに感染するような人は、正直何をやってもダメでしょ。
>>301
なんか変なスクリプトが仕込まれてる。カスペのサンドボックス経由で踏んだらトロイが3個検出されて全部遮断。
google safe browsingも真っ赤。
URLリンク(safebrowsing.clients.google.com)
NortonSafeWebも真っ赤。
URLリンク(safeweb.norton.com)
ま、近寄らない方が良いですね。専ブラ使っているなら、両方ともブラクラ登録その他しておきましょう。
304:303
10/05/28 00:46:39
おおっと、>302さんとかぶった。 質問出てから時間たってるから、今更かぶらないと思ったら意外。
まあ、世の中こんなもんかも。(苦笑
305:名無しさん@お腹いっぱい。
10/05/28 00:52:21 BE:994005465-2BP(100)
Zw
306:名無しさん@お腹いっぱい。
10/05/28 18:31:28
URLリンク(aimeblog.com)
偽装っぽいのですが
307:名無しさん@お腹いっぱい。
10/05/28 18:34:36
URLリンク(aimeblog.com)
これも偽装っぽいです
308:名無しさん@お腹いっぱい。
10/05/28 19:31:47
>>306
URLリンク(www.virustotal.com)
309:名無しさん@お腹いっぱい。
10/05/28 23:42:38
>>307
IE6/7の脆弱性攻撃へのリンクがあります。(画像が表示されている裏で攻撃を受ける)
URLリンク(www.virustotal.com)
対応していないベンダーは危険かも...というか、Nortonとバスターが未対応とか、結構危険かな。
ただし、IE8(SmartScreen)もFirefox,Chrome(Google Safe Blowsing)も、どちらもブラウザがブロックしてくれます。
IE6/7の使用者で、未対応ベンダーのソフトを使ってる人はヤバイと思います。
ちなみに、CVE-2010-0806の解説(毎度おなじみso-netさん)
URLリンク(www.so-net.ne.jp)
310:名無しさん@お腹いっぱい。
10/05/30 20:53:11
踏んだ奴がテンパってるらしくて鑑定スレでよく見かける
URLリンク(blog-imgs-33.fc2.com)
URLリンク(www.russianbare.com)
悪乗りしたバカが他スレにも転載してやがる
311:名無しさん@お腹いっぱい。
10/05/31 00:51:14
>>310
私は、そのURL鑑定を依頼した本人です。
私がパニックになって複数の鑑定スレで該当URLの鑑定依頼をしてしまったため、
そのレスが愉快犯に目をつけられてしまったらしく、該当URLの直リンを鑑定スレとは関係のない
他スレに転載されてしまいました。罠のように貼られていました。
私の軽率な行動が起こしてしまった事態です、申し訳ありません。
私は当初セキュリティ板の存在を知らず、画像鑑定スレで依頼をしてしまったため、リンク先の
画像の鑑定はしていただけたのですが、ページ自体に何か仕込まれていないかの答えが得られなかったのです。
312:311
10/06/02 07:51:49
>>310の上のほうのURLは中国の最低なアダルトサイトなので開かないほうがいいです。
私が他鑑定スレで鑑定依頼したところ、一応このページ自体には仕掛けはないとのことでした。
下のほうのURLは海外のヌーディストサイトの直リンよけページみたいです。
私がそのURLを踏んだのはスレリンク(x3板)の45レス目と46レス目で
クリックした後不安になり、該当URLをグーグル検索したのですがヒットしたのは元サイトと上記のスレだけでした。
(現在は私が鑑定スレにURLを貼ったのでそちらもヒットしますが)
不思議なのは、2ちゃんでよくある嫌がらせの騙しリンクであれば過去にも貼られているはずなのにその形跡がなかったことです。
なぜ突然このURLが上記のスレに貼られたのか宣伝のために貼ったのか意図が読めなくて気持ち悪いですね。
どうせ直リン先に仕掛けはなくてもページを進んだ先に詐欺リンクがありそうなサイトですが。
313:311
10/06/03 22:05:11
問題解決しました。すでにiframeが消滅しているため、このページに限っては大丈夫みたいです。
しかし、こんな不快な騙しリンクを貼るなんて何者だろうと思い、類似URLを検索したら結構ヒットしますね。
貼ってる連中のほとんどが単発IDで微妙な日本語で書き込んでるので外人でしょうね。
初心者質問スレではお騒がせして申し訳ありませんでした。
314:311
10/06/04 15:48:45
スレのみなさん申し訳ありません。
>>310に書かれているURLはウイルスではなく、ただの倫理的に問題のあるアダルトサイトだとわかったため
スレ違いだと思い削除依頼したのですが、依頼方法に誤りがあったため、受理されませんでした。
申し訳ありませんでした。今後はマルチポストにならないように気をつけます。
315:名無しさん@お腹いっぱい。
10/06/04 23:10:10
はっきり言っておいてやろう
もちつけwwww
316:311
10/06/04 23:57:30
>>315さんレスをいただき、ありがとうございます。
今は、URL鑑定の結果が分かり、落ち着いているのですが、罠リンクを踏んだ当時は
冷静さを欠いてしまい、早く答えがほしくて(別板で質問すればマルチにはならないだろう)と、
複数の板で同様の質問をしてしまいました。ごめんなさい。
ただ、冷静になって考えたら、多くの板にこの危険なリンクを貼ってしまって、
貼り方だってもっと安全なやり方があったのにただ単純にURLを書いてしまって
後悔ばかりが出てきて言い訳がましい書き込みを連投してしまいました。
本当にすいませんでした。
317:名無しさん@お腹いっぱい。
10/06/12 12:03:40
URLリンク(upp.sakura.ne.jp)
infected
怪しいと思います。どうでしょうか?
318:名無しさん@お腹いっぱい。
10/06/12 16:26:59
実行すると一応書いてありますが、URLリンク(for-ever.us) のラッパのようです
直接 for-ever.us に行けばいいのではないかと。
for-ever.us が信用出来るかどうかは不明です
一応、送信できました。というwebページもわずかにありますが、
評価は定まっていないと見るべき
319:名無しさん@お腹いっぱい。
10/06/17 02:57:06
URLリンク(firestorage.jp)
フリーゲーム
320:名無しさん@お腹いっぱい。
10/06/17 09:42:09 BE:1192806094-2BP(100)
とりあえず、これと同じ
URLリンク(d3.spintop-media.com)
展開すると、バカでかいEXEと残りに分けられる
EXE【以外】をとりあえずvtに投げておく
URLリンク(www.virustotal.com)
今はここまで。働いてくる
clamav のPUA.Packed.MinGWGCCDLL.2xx がどのくらいのものかは、たった今はわからない
321:名無しさん@お腹いっぱい。
10/06/17 10:55:05
>>320
多忙のなかありがとうございます。
配布元HPにはNOスパイ NOアドと書いてあったので
ゲームを実行しようと思ったのですが少し心配になったので
ここに貼らさせていただきました。
322:名無しさん@お腹いっぱい。
10/06/18 09:05:09 BE:2385612498-2BP(100)
結局、ちょっとプレイしてみた感じでは、異常はなさげでしたが…
…そんなことより、これ60分の評価版ですよ
323:名無しさん@お腹いっぱい。
10/06/22 10:55:45
URLリンク(www.dotup.org)
2010 fifaワールドカップのサイトで落とした怪しいファイル
infected
324:名無しさん@お腹いっぱい。
10/06/22 13:45:26
アウトの気がする、正規品が、こんだけややこしいローダを組む理由がわからない
が当方環境でうまく実行できないのでいまんとこ保留扱い
325:名無しさん@お腹いっぱい。
10/06/22 19:50:35
>>323
AviraでもカスペでもDropper扱いされるね。
326:名無しさん@お腹いっぱい。
10/06/30 10:11:07
URLリンク(www.dotup.org)
akb48
URLリンク(www.virustotal.com)
327:名無しさん@お腹いっぱい。
10/06/30 15:23:32 BE:397602926-2BP(100)
ペイロードが3つ入っていました 検出可否スレに送ります
スレリンク(sec板:541番)
328:名無しさん@お腹いっぱい。
10/07/07 11:25:07
このファイルの鑑定をお願いします。
URLリンク(www.dotup.org)
329:名無しさん@お腹いっぱい。
10/07/07 14:45:50
keygenとメガデモらしきEXE
330:名無しさん@お腹いっぱい。
10/07/12 16:06:18
URLリンク(www.dotup.org)
infected
331:名無しさん@お腹いっぱい。
10/07/12 21:33:11 BE:1789209869-2BP(100)
>>330
>>326 の亜種です。ウイルスということでいいと思います
ペイロードが3つ入っていました 検出可否スレに送ります
スレリンク(sec板:545番)
書き忘れてましたが、>>326 とも、実行が最後まで行かなかったため、
「で、結局これ何」というのは、うまく答えられません
何かのパッチのような説明書が付いてましたけど。。
勘で言えば、ウイルス100% 例によって、釣りバイナリではないかと。
332:名無しさん@お腹いっぱい。
10/07/16 08:28:24
よろしくお願いします。
URLリンク(www1.axfc.net)
URLリンク(www1.axfc.net)
パスワードは12345です。
ウイルスかもしれないというレスがあり、怖くて解凍できません。
333:名無しさん@お腹いっぱい。
10/07/16 09:00:24
150MBか。でかいな。
とりあえず落としておけば?腐ってたら、開封しなきゃいいのさ
っていうのも、600名近くDLがあり、DL自体は無難げと推定できる
DLしかけて、仕事してくる
334:名無しさん@お腹いっぱい。
10/07/16 11:49:34
とりあえずexeらしきものは見つからず。。
335:332
10/07/16 22:47:53
ありがとう御座います。
ウイルスは無し、ということで宜しいでしょうか?
あまりPCに詳しくないのですが、ウイルスは基本的にexeの拡張子が
付いている、ということでしょうか?
336:名無しさん@お腹いっぱい。
10/07/16 23:42:13
名前にexeとついてなくても、exeだったりすることは多々あります
exeでなくても、exe同等の効果を発揮する書類もあります
ただ、最近の傾向としては、うpろだにおかしなものが混ざってるときは、
exeであることが多いと思います
337:332
10/07/16 23:47:32
ありがとう御座います。
うーん、なかなか難しいんですね^^;
解凍するのはやめようかな。
なんか気になって精神的に悪そうなので。
338:名無しさん@お腹いっぱい。
10/07/17 16:26:42
URLリンク(www.dotup.org)
virus
339:名無しさん@お腹いっぱい。
10/07/18 19:49:06 BE:1192807049-2BP(100)
exe以外は釣りバイナリらしいです 破損アーカイブ。今回は追求してません
exeは、何かのインストーラに見せかけたダウンローダの模様
簡易実行でファイルリストが落ちてきたので、検出可否スレに送りました
スレリンク(sec板:552番)
340:名無しさん@お腹いっぱい。
10/08/07 12:18:54
URLリンク(www.dotup.org)
infected
ワンクリ詐欺サイトから落としたファイルだけどGDATAは無反応でした。
341:名無しさん@お腹いっぱい。
10/08/08 09:02:32
(ワンクリ) URLリンク(adult-smsexadult.com) に飛ばされるだけの.htaファイル
どっちかといえばURLで規制されるべきもので、
ファイルが有害に検出されなくてもあまり文句は言えなさげです
342:名無しさん@お腹いっぱい。
10/08/11 01:46:50
>>340
aviraからの返答
Thank you for your email to Avira's virus lab.
Tracking number: INC00577344.
A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25841829 movies_adult.hta 1005 Byte MALWARE
25843111 set_reg[1] 1.91 KB MALWARE
Please find a detailed report concerning each individual sample below:
Filename Result
movies_adult.hta MALWARE
The file 'movies_adult.hta' has been determined to be 'MALWARE'. Our analysts named the threat HTML/RedirecE
The term "HTML/" denotes a script-virus that is able to infect the system using a HTML script.Detection will be added to our virus definition file (VDF) with one of the next updates.
343:名無しさん@お腹いっぱい。
10/08/14 08:08:44
URLリンク(labs-uploader.sabaitiba.com)
infected
344:名無しさん@お腹いっぱい。
10/08/14 09:12:06 BE:662670454-2BP(100)
%PATH%内に、exter32.dll ってのがないか探して下さい
inst.exe は機能的にはexter32.dll に依存していないようですが、
static link で読み込んでいますので、そいつは、想像するに、another malware です
inst.exe 自体は、ぱっと見、よくある偽セキュリティソフトでした
SS も撮りましたが、それは後ほど。
働いてくる
345:名無しさん@お腹いっぱい。
10/08/14 20:39:05 BE:198801432-2BP(100)
>>343 のSS
URLリンク(www1.axfc.net) dlpass: l10n
こっちが聞きたいわ(w
346:名無しさん@お腹いっぱい。
10/08/14 23:39:20
URLリンク(labs-uploader.sabaitiba.com)
347:名無しさん@お腹いっぱい。
10/08/15 02:48:42
クソワラタwww
348:名無しさん@お腹いっぱい。
10/08/15 04:19:58
URLリンク(www.virustotal-2010.com)
virustotalの偽物
349:名無しさん@お腹いっぱい。
10/08/15 08:54:12
XP Antispyware 2010 が置いてありました 特にヒネりとかはなさげ
350:名無しさん@お腹いっぱい。
10/08/19 20:41:40
URLリンク(labs-uploader.sabaitiba.com)
351:名無しさん@お腹いっぱい。
10/08/20 05:36:18
URLリンク(labs-uploader.sabaitiba.com)
infected
352:名無しさん@お腹いっぱい。
10/08/20 13:48:25
URLリンク(labs-uploader.sabaitiba.com)
virus
353:名無しさん@お腹いっぱい。
10/08/20 16:14:11
URLリンク(mikami-chida.com)
354:名無しさん@お腹いっぱい。
10/08/20 18:55:10
URLリンク(cgi.members.interq.or.jp)
トロイ検出されるのですがどうなのでしょうか?
355:名無しさん@お腹いっぱい。
10/08/21 13:13:22 BE:596404229-2BP(100)
ちょっとずつ引っかかる点があって、フル回答できないが、
現時点の、一応踏んでみたよと言うことで
>>350
一見すると、中小の作ったセキュリティソフト
mchinjdrv.sys なるものを実行しようとする madCodeHookのランタイムらしい
madCodeHook はあくまでライブラリだが、マルウェアに悪用されたことがあり、
クロとして検出するセキュリティソフトがある
madCodeHook を、リアルタイム監視に使おうとしているのか、
裏でなんかこそこそしようとしてるのかまでは未特定
>>351
FunWebProducts のブラウザプラグインがインスコされた
それ以上何も起こらない IE7以降が必須なんかもしれん
また、IE7の入ってる試験環境で一応踏んでみる
余計な害をなさないとしたら、アドウェア判定
356:名無しさん@お腹いっぱい。
10/08/21 13:41:19 BE:596403263-2BP(100)
>>352
hosts に、以下についてlocalhost を指すように書き込みます
--www.yahoo.co.jp search.yahoo.co.jp www.google.co.jp
goo.ne.jp www.goo.ne.jp www.goo.ne.jp
www.nifty.com www.nicovideo.jp www.youtube.com
2ch.net www.2ch.net kamome.2ch.net yuzuru.2ch.net toki.2ch.net
mixi.jp www.mixi.jp twitter.com www.twitter.com
www.rakuten.co.jp www.amazon.co.jp www.naver.jp www.nifty.com
www.livedoor.com blog.livedoor.jp jbbs.livedoor.jp
--
これが、「職場PCを遊びに使えなくするツール」として配ってるならいいのですけど、
"An installation preference is not found." などと表示しながら書き換えてますし、
勝手に書き換える意図があるのでしたら、有害です
%SystemRoot% をc:\windows に決め打ってますので、そこが変えてある環境では無効です
357:名無しさん@お腹いっぱい。
10/08/21 14:31:32
>>353
とりあえず、動画ぽい部分は、 URLリンク(mikami-chida.com)
358:名無しさん@お腹いっぱい。
10/08/21 14:49:01
>>357
この回転する奴の正式名称ってなんだっけ?
なんとかパイナップルだったような気がするんだが・・・。
359:名無しさん@お腹いっぱい。
10/08/21 18:14:19
>>358
くるくるパイナップル
無限パイナップル
どこまでもパイナップル
ネタが思いのほか出てこないので、ぐぐってみた
URLリンク(developer.apple.com)
> The “spinning gear” appearance of the activity indicator shows ...
360:名無しさん@お腹いっぱい。
10/08/25 15:55:01
ファイルを実行しなくてもページを開いただけで感染したり、本当に怖いですね。
アドレスを偽装する人もいるし。
361:名無しさん@お腹いっぱい。
10/08/26 15:37:17
URLリンク(labs-uploader.sabaitiba.com)
infected
362:名無しさん@お腹いっぱい。
10/08/27 12:43:34
ま た ど と ね と か
363:名無しさん@お腹いっぱい。
10/08/27 13:18:37 BE:2087411279-2BP(100)
>>361
MSN等の簡単な攻撃ツールらしいです 機能上の動作確認はしてません
一応SS: URLリンク(www1.axfc.net)
当方環境では、踏んだ直後は異状ありませんでしたが、無害と言い切れるかどうかは不明。
起動直後に、URLリンク(mobile.msn.com) を見に行くのは、
誤ログインを多発させて、正規ログインを阻止し、実質的にアカウントをfreezeさせる。
という攻撃法を模倣している関係らしいです。ソースはぐぐる。
364:名無しさん@お腹いっぱい。
10/08/27 17:03:42
貼り直し(SS): URLリンク(www1.axfc.net) pass: niosnvf
365:名無しさん@お腹いっぱい。
10/08/27 22:56:38
URLリンク(labs-uploader.sabaitiba.com)
infected
366:名無しさん@お腹いっぱい。
10/08/28 09:15:33 BE:1192806094-2BP(100)
途中経過。以下のファイルを落とそうとします (タイムスタンプは、Last-Modified より。)
これだけ見たら、Babylon のアフィ稼ぎに見える。
2010/08/08 09:38 212,043 AInstaller.CIS
2010/08/11 06:09 2,652,188 audiocnv.cis
2010/08/19 22:47 6,838,456 Babylon8_sq_14542.cis
串と相性が悪いみたいで、インスコが進まない…?
*.checkver.org との通信を許可しないといけないのかな(http-pingぽいので蹴ってる)
働いてくる
367:名無しさん@お腹いっぱい。
10/08/29 01:00:39 BE:662670454-2BP(100)
その後、*.checkver.org は、DONE としか言ってこないらしいと判明。
それを透過させても、なぜかインストレーションはうまくいかない。
文字列のデコードに成功、よくわからないあやしげな文字列もあったので、
(動かないながら)グレー判定にしておきます 無害でもアドウェア扱い。
368:名無しさん@お腹いっぱい。
10/08/31 00:10:35
zroot.info.tm
ここにアクセスするとGDATAがブロックするのですが
ウイルスサイトとゆう理解でよろしいでしょうか?
369:名無しさん@お腹いっぱい。
10/08/31 00:42:40 BE:894604493-2BP(100)
スレチですけど、雑談として。
>>368
GDATAの具体的な(データベース状況)は存じませんが、
ウイルス(Zeus系)に感染(or 管轄)しているドメインです。ソースはぐぐる。
さきほどconfig.bin が取れましたので、ただいま絶賛稼働中です(w
370:名無しさん@お腹いっぱい。
10/08/31 01:13:28
URLリンク(jujusoft.com)
海外のサイトで怪しいサイトとして紹介されてるのですが
ここに置いてあるソフトもあやしいファイルなんでしょうか?
371:名無しさん@お腹いっぱい。
10/08/31 01:29:59 BE:1623542077-2BP(100)
質問の意図を察するに、
いまどき、あやしくないファイルなんて、存在しないのです。
ウイルスでないとしても、システムを犯すようなバグありEXEかもしれない。
あるいは、安全を保証するはずのランタイムに、致命的なバグがあるかしれない。
あやしくないと、仮定せざるを得ないファイルが、存在するだけなのです。
でも、使いたい。
そんなときは、環境・情報を保護するソフトウェアの併用を検討してください。 >>2
372:名無しさん@お腹いっぱい。
10/08/31 01:49:03
>>371
ご返答ありがとうございました。
上のサイトのは得体が知れないので使うのは止めておきます。
373:名無しさん@お腹いっぱい。
10/08/31 13:06:20
うーん、やめとけっていう方よりは、迷ってもしょうがないんだから(完全な安全はない)、
ソフトが万一腐ってても平気なように環境を構成しちゃえばいいんじゃない?って
主張したいんだけどな。。
374:名無しさん@お腹いっぱい。
10/09/01 12:11:26
URLリンク(labs-uploader.sabaitiba.com)
infected
375:名無しさん@お腹いっぱい。
10/09/01 16:39:17
URLリンク(labs-uploader.sabaitiba.com)
infected
376:名無しさん@お腹いっぱい。
10/09/01 20:00:49
URLリンク(labs-uploader.sabaitiba.com)
infected
377:名無しさん@お腹いっぱい。
10/09/01 22:04:58 BE:2385612498-2BP(100)
>>374
内容的には、よくあるレジストリクリーナーのようです
珍しいことといえば、オンラインに簡素なホワイトリストを持っていることです
URLリンク(ud1.speedypc.com)
>>375
普通にキーロガーです。といっても、どこかに送信するタイプでなくて、
ローカルに保存して、ローカルで内容確認するようなやつでした
要どとねと、30日の評価版、SetWindowsHookEx() で監視するようです
378:名無しさん@お腹いっぱい。
10/09/01 22:06:52 BE:1789209296-2BP(100)
>>376
iamwired.net 系のホームページ、検索ページを設定するよう勧めてきます
iamwired.net は最終的にはask.com に飛ばすのですが、そのときにアフィを稼いでいる模様。
で、さらに、やけに詳細なユーザ登録をするようにも勧めてきます(省略可)
本体は: URLリンク(download.flvdome.com)
一部動画サイトについては、ページURLをつっこむと動画を引っ張ってくるように
なっているようですが、無理にこれ使わなくても。って感じではあります
アドウェア判定、ドメインがグレーなとこらしい(ソースはぐぐる)ので、
もうちょっとなにかあるかも。
379:名無しさん@お腹いっぱい。
10/09/02 06:19:28
URLリンク(labs-uploader.sabaitiba.com)
infected
380:名無しさん@お腹いっぱい。
10/09/02 09:13:58
URLリンク(www.freeinternetradio.biz)
381:名無しさん@お腹いっぱい。
10/09/02 20:20:25
このexeはみなどっからもってきてるのかな
382:名無しさん@お腹いっぱい。
10/09/02 22:25:33 BE:1491007695-2BP(100)
>>379,380
IE版の方を展開して、ざざっとみてみました
Softomate ToolbarStudio で作成されたツールバーのようです
一応、それらしいインターネットラジオURLリストが入っているのですが。。
Japan になっているものを抽出しておきます ま、(リストの)クオリティは推して知るべし。
-----
stations[362] = new Array('Japan - ABC Music Paradise', 'URLリンク(abc1008.com)');
stations[363] = new Array('Japan - ANAPARA - Oh! La Fiiki -', 'URLリンク(abc1008.com)');
stations[364] = new Array('Japan - Arigato Hamamura Jun desu', 'URLリンク(mbs.jp)');
stations[365] = new Array('Japan - BLACK ANGEL RADIO 2', 'URLリンク(std1.ladio.net:8070)');
stations[366] = new Array('Japan - BlueFM', 'URLリンク(zoo.inlive.co.kr:8080)');
stations[367] = new Array('Japan - Dara-Daradio in Funira-Ku', 'URLリンク(db1.voiceblog.jp)');
stations[368] = new Array('Japan - Drama no KAZE 1', 'URLリンク(mbs1179.com)');
stations[369] = new Array('Japan - Drama no KAZE 2', 'URLリンク(mbs1179.com)');
stations[370] = new Array('Japan - Earth Dreaming - Save the', 'URLリンク(abc1008.com)');
stations[371] = new Array('Japan - Music Kore iina Non Stop ', 'URLリンク(std1.ladio.net:8000)');
-----
トップ画面、検索画面、ツールバー内広告で小さく稼いでいる気がします
アドウェア判定で。
383:名無しさん@お腹いっぱい。
10/09/04 12:21:43
URLリンク(www.movierapid.com)
URLリンク(labs-uploader.sabaitiba.com)
infected
384:名無しさん@お腹いっぱい。
10/09/04 12:30:40
URLリンク(www.youtube.com)
385:名無しさん@お腹いっぱい。
10/09/05 13:21:23 BE:927738274-2BP(100)
>>383
7zip で展開すると、3つあやしいexeがはいってる
暇が取れないので、中身の簡単なやつをひとつ、つついてみた
ネットから本体らしきWDMドライバをhttpsでひっぱってきて、読み込む実装が見られるので、
有害は確定でOK しかし、そのドライバのDLがなぜかうまくいかないので、面白くない
のこりの2つも見た感じ、おそらく、無害でも無益
386:名無しさん@お腹いっぱい。
10/09/06 12:59:53
URLリンク(labs-uploader.sabaitiba.com)
infected
387:名無しさん@お腹いっぱい。
10/09/06 15:18:51
URLリンク(labs-uploader.sabaitiba.com)
infected
388:名無しさん@お腹いっぱい。
10/09/06 21:09:41 BE:463870027-2BP(100)
Win7 AMD64 の正規ファイル【かもしれません】。
同環境を持っている方にお尋ね下さい。32bit環境では無用の長物
なお、そうだとすると、動作不安定の報告が結構出ているようです
KB981770もご参照下さい Fix303310が出ております(v12.0.7600.20683)
389:名無しさん@お腹いっぱい。
10/09/06 21:12:56
>>388 >>386
390:名無しさん@お腹いっぱい。
10/09/06 22:10:02 BE:994005656-2BP(100)
>>387
ドキュメントをざっと見たのですけど、sc.exeで十分じゃないですかこれ
391:名無しさん@お腹いっぱい。
10/09/07 04:39:05
URLリンク(labs-uploader.sabaitiba.com)
infected
392:名無しさん@お腹いっぱい。
10/09/07 07:43:51
ダウンロードパスワードが間(ry
393:名無しさん@お腹いっぱい。
10/09/07 09:05:39
URLリンク(labs-uploader.sabaitiba.com)
12345
上の再up
394:名無しさん@お腹いっぱい。
10/09/07 10:38:52
URLリンク(labs-uploader.sabaitiba.com)
infected
395:名無しさん@お腹いっぱい。
10/09/07 16:28:37 BE:1789209296-2BP(100)
砂箱で起動する限り、起動直後に異変はなさげでした
通常環境での起動の安全は、【常に】保証されません
>>393 デスクトップをめちゃくちゃに破壊…して遊ぶお遊びツール
>>394 mp4形式に変換できるツール
396:名無しさん@お腹いっぱい。
10/09/07 19:58:33
URLリンク(labs-uploader.sabaitiba.com)
infected
397:名無しさん@お腹いっぱい。
10/09/07 20:01:35
URLリンク(labs-uploader.sabaitiba.com)
infected
398:名無しさん@お腹いっぱい。
10/09/07 23:21:14 BE:530135982-2BP(100)
砂箱で起動する限り、起動直後に異変はなさげでした
通常環境での起動の安全は、【常に】保証されません
>>396
レジストリクリーナータイプのぼったくりセキュリティソフトでした
しかも、当方環境では、最後までスキャンが進まずに落ちます
セルフアップデートもなぜかうまくかからない。まあ、そのくらいの品質のものです
>>397
imvuのクライアントを落としてくるみたいです 直リン貼っておきます
URLリンク(www.imvu.com)
399:名無しさん@お腹いっぱい。
10/09/11 16:29:15
URLリンク(labs-uploader.sabaitiba.com)
infected
400:名無しさん@お腹いっぱい。
10/09/11 18:56:21 BE:828338055-2BP(100)
NSIS, NSIS, UPX を解いて、ざざっと覗きました
ぱっと見、dump & patch ツールのようですが、用法・評価については、入手元にお尋ね下さい
401:名無しさん@お腹いっぱい。
10/09/11 19:09:40
ここで調べてみては?
URLリンク(www.virustotal.com)
402:名無しさん@お腹いっぱい。
10/09/12 01:34:33
URLリンク(juicyjunction.com)
ここのツールバーは無害?有害?
403:名無しさん@お腹いっぱい。
10/09/12 03:45:06 BE:1855476487-2BP(100)
インスコしてみましたが、いずれも有料サイトに飛ばされるばかりみたいです
アドウェア判定、無害でも無益に近い印象。もう少し詳細は近日中。
404:名無しさん@お腹いっぱい。
10/09/12 09:45:19
URLリンク(www.dotup.org)
infected
405:名無しさん@お腹いっぱい。
10/09/12 11:45:47 BE:198801623-2BP(100)
レジストリクリーナータイプのツールなのですけど。。
空のキーを全部指摘するっていうのは、どうなのか(w
トラブルシュート一覧と、問題のあるCLSID一覧は、テキストファイルです
URLリンク(www.AdvancedPCTweaker.com)
URLリンク(www.AdvancedPCTweaker.com)
One-Click Tweak.job がTasks にできます。
406:名無しさん@お腹いっぱい。
10/09/13 03:04:32
URLリンク(www.dotup.org)
infected
407:名無しさん@お腹いっぱい。
10/09/17 14:25:51 BE:2683814099-2BP(100)
途中経過だが一応
一応、セキュリティソフトということになっている WDMドライバを含む
WDMドライバは、ルートキット検出用らしいことが書いてあるが不明
ちょっとおもしろいのはファイルチェッカで、起動項目のファイルのハッシュかなにかを
鯖に片っぱしから送って、みてもらってる…らしい。
けど、すごい数を送るし、あれになにか個人情報が紛れ込んでてもわからんぞ?て感じ。
興味深いモノではあるが、どのみちreputationが不足してるし、
研究目的以上には、おすすめはしない
408:名無しさん@お腹いっぱい。
10/09/21 09:22:33
URLリンク(www.dotup.org)
infected
409:名無しさん@お腹いっぱい。
10/09/21 12:43:25
URLリンク(www.dotup.org)
infected
410:名無しさん@お腹いっぱい。
10/09/22 03:00:06 BE:1159672875-2BP(100)
>>409
ピカチューのアイコンが貼ってあるpatch.exe が入ってます おおよそ、既報のとおり。
ってだけではなんなので
・どとねと(2.0)で動作を確認。パッカのスタブもどとねと。
・確認時点で、受信鯖は通信のクオータを超えてます(たぶん: 6GB/月)
・見た感じ、setup.dll を参照している様子はありません 何かの隠しメッセージ(暗号)。
・見た感じ、"晒し"以上の機能はないようです
・書きかけなのか、コピペの削り忘れか、明らかに使っていないクラス/メソッドがいくらかあります
System.Reflection.Assembly::Load() で読み込んでますので、本質的にOEPはありません
伸張後アセンブリイメージはPEで、約22KB(パッカの仕様)
どうでもいいけど、freehostia って、広告出ないのね
411:名無しさん@お腹いっぱい。
10/09/23 23:45:50 BE:662670645-2BP(100)
>>408
サドンアタックの升ツール、ソース付き、こんなんは使ってるやつに聞けよ…と一瞬思ったが、
念のため覗いてみたら、
・サドンアタックがインスコされていたら、バイナリを自身で上書き。
・検出できなかったら、スタートメニューに自身を導入。
・どっちにしても、やっつけ的なメッセージを出して、シャットダウンする。
とかいうイタズラEXEでした (ざざっと見た感じ。)
慣れてる人が釣られたら苦笑で済みますが、初心者はパニクるはず
イタズラにしては、容赦ない 救済措置に作り込みが足りない
PC有害判定で。
再起動ループは、SHIFTキーおしっぱ起動で切り抜けて下さい
(慣れた人は、とっとと外部起動で済ませちゃうだろうから、案外忘れがち。)
412:名無しさん@お腹いっぱい。
10/09/23 23:50:01
書きわすれてた このEXEは、イタズラ以上の機能は、なし。
釣り記念に、C:\systems8 っていうゴミファイルができる
※管理者特権を持っているとき。フルパス決め打ち。
413:名無しさん@お腹いっぱい。
10/09/25 01:48:06
URLリンク(www.dotup.org)
infected
414:名無しさん@お腹いっぱい。
10/09/25 20:46:45 BE:198801623-2BP(100)
>>413
ffmpeg のラッパGUIのようなものでした
起動直後は異状ありませんでしたが、機能的に正しく動作するかは確認してません
415:名無しさん@お腹いっぱい。
10/09/30 00:04:18
>>412
EXEの消し方はどうやるんですか?無知ですいません
416:名無しさん@お腹いっぱい。
10/09/30 00:20:33
>>415
タスクマネージャのプロセス画面から該当.exeを終了させる
どれか判らない場合はユーザー名で起動しているプロセスを片っ端から終了させて再起動
417:名無しさん@お腹いっぱい。
10/09/30 00:36:26
>>416
片っ端からプロセスを終了して再起動したけどできない
なにか手順を間違えたのかな?
418:名無しさん@お腹いっぱい。
10/09/30 00:39:03
できないじゃなかった直らないです。
419:名無しさん@お腹いっぱい。
10/09/30 00:46:29
>>417
セーフモードもしくは管理者権限でログインで実行
420:名無しさん@お腹いっぱい。
10/09/30 00:58:24
>>419
セーフモードで重要なプロセス以外を全部終了させたが直らない
なにがおかしいのでしょう・・・
421:名無しさん@お腹いっぱい。
10/09/30 01:00:18
自分がひっかかったのと違うのでしょうか?
いちようこれです。
URLリンク(webtool.s372.xrea.com)
422:名無しさん@お腹いっぱい。
10/09/30 01:05:14
>>421
実行したらどうなったの?
423:名無しさん@お腹いっぱい。
10/09/30 01:10:14
>>422
実行したら黒い画面がでてきてやっつけ的なメッセージを出して
ログオフされる。それの繰り返し
再起動とかしてまたインすると↑のような現象の繰り返し
↑にあったような
・サドンアタックがインスコされていたら、バイナリを自身で上書き。
もされています
424:名無しさん@お腹いっぱい。
10/09/30 01:11:13
追記
EXEを起動したのは一回です
425:名無しさん@お腹いっぱい。
10/09/30 01:35:34
システム復元かクリーンインスコしかないね(‐人‐)
426:名無しさん@お腹いっぱい。
10/09/30 01:50:05
<<425
システムの復元ではダメでした
427:名無しさん@お腹いっぱい。
10/09/30 02:07:15
/ ̄ ̄ ̄ / /''7 ./''7 / ̄/ /''7
./ ./ ̄/ / /__/ / / ____  ̄ / /
'ー' _/ / ___ノ / /____/ ___ノ /
/___ノ /____,./ /____,./
_ノ ̄/ / ̄/ /''7 / ̄ ̄ ̄/ / ̄/ /'''7'''7
/ ̄ /  ̄ / /  ̄ フ ./ / ゙ー-; ____ / / /._
 ̄/ / ___ノ / __/ (___ / /ー--'゙ /____/ _ノ /i i/ ./
/__/ /____,./ /___,.ノゝ_/ /_/ /__,/ ゝ、__/
428:名無しさん@お腹いっぱい。
10/09/30 04:14:38 BE:397602926-2BP(100)
同じものだとすると(今片手間)、スタートアップ項目に本体がコピーされたと思うから、
スタートアップ項目をエクスプローラで開いて駆除するといいかと
サドンアタックは、セルフリカバリツールがあればそれを実行するのがはやい
なければ、サドンアタックを再インストール
429:名無しさん@お腹いっぱい。
10/09/30 10:08:15
>>428
ありがとうございます!スタートアップ項目にありました。
駆除したら直りました!!!クリーンシンストールしようかと準備してたところどうもです
430:名無しさん@お腹いっぱい。
10/10/03 12:09:14
URLリンク(labs-uploader.sabaitiba.com)
pass:h@ckt00l
431:名無しさん@お腹いっぱい。
10/10/03 15:48:25 BE:994005465-2BP(100)
>>430
mscomctl.ocx が導入されてないと動作しないです
ここに行って、アカウントを取れと言ってきます
URLリンク(rsmoney.suki-ari.net)
URLリンク(rsmoney.suki-ari.net)
なにかつなぐぽいしぐさをするのは、ここにつないでるみたいです
ようこそ!RyouSoftのブログへ!
URLリンク(ameblo.jp)
小銭稼ぎってことでいいんじゃないかなと。よくわからないけど。
432:名無しさん@お腹いっぱい。
10/10/11 21:47:04
URLリンク(www.dotup.org)
infected
433:名無しさん@お腹いっぱい。
10/10/11 22:04:45
>>432
EGG Marketとな・・・懐かしいなw
開発元(現在ダウンロード不可)
URLリンク(c-egg.com)
オリジナルファイルとハッシュ値が一致したのでこれにて終了。
434:名無しさん@お腹いっぱい。
10/10/13 09:42:28
URLリンク(cdn.optmd.com)
435:名無しさん@お腹いっぱい。
10/10/13 21:20:56 BE:2087410897-2BP(100)
>>434
MyWebSearch/FunWebProducts 系のアドウェアです
砂箱に入れて遊べばいいんじゃないかと。
機能の実体はHTMLアプリケーションで、以下から取得できます
window.external をどうにかすれば、一応、単独でも動作するかもです
URLリンク(www.mywebface.com)
URLリンク(www.mywebface.com)
436:名無しさん@お腹いっぱい。
10/10/14 13:40:34 BE:397602926-2BP(100)
Internet Explorer Application Compatibility VPC Image v4.2, 10/13/2010, English
Windows XP Images ... expire on January 11, 2011.
URLは>>6 と同じ。
437:名無しさん@お腹いっぱい。
10/10/14 13:52:35
URLリンク(www.dotup.org)
pass:virus
お願いします
438:名無しさん@お腹いっぱい。
10/10/14 14:04:08
>>437
ファイル自体にもパス掛けろよ
439:名無しさん@お腹いっぱい。
10/10/14 15:09:42
>>437
MSE検出
440:名無しさん@お腹いっぱい。
10/10/20 21:39:58
URLリンク(www1.axfc.net)
441:名無しさん@お腹いっぱい。
10/10/21 00:43:56 BE:331335252-2BP(100)
内蔵されているGIFアニメをデスクトップ上で再生するだけぽい感じです
砂箱内実行でちょっと遊んだ限りは、異状はなさげでした
442:名無しさん@お腹いっぱい。
10/10/24 03:03:22
URLリンク(labs-uploader.sabaitiba.com)
infected
443:名無しさん@お腹いっぱい。
10/10/27 12:27:43
URLリンク(uproda.2ch-library.com)
今時こんなzipはる中華って
444:名無しさん@お腹いっぱい。
10/10/28 14:04:46
>>443
朝見たときはfind2chで36スレ、今みたら43スレ
445:名無しさん@お腹いっぱい。
10/10/28 16:10:09
URLリンク(www.dotup.org)
infected
446:名無しさん@お腹いっぱい。
10/10/30 12:24:36 BE:331335252-2BP(100)
>>445
簡単に実行してみました。IEのスタートページを監視し、
変更されてもすかさず規定のURLで上書きするツールのようです
いきなりC:\NOSPY.ORGにインストールされます VB6のランタイム一式もそこに入ります
system32にdata.mgeという謎のファイルができます
Gumblar系の感染関係のファイルを連想しますが、中身はよくわからない音声ファイルでした
インストーラに同じファイルがありますから、ローカル環境の録音ではなさげなのですが。
447:名無しさん@お腹いっぱい。
10/11/19 00:09:07
URLリンク(www1.axfc.net)
お願いします
448:名無しさん@お腹いっぱい。
10/11/19 18:11:05
どうせだったら、スクリーンショット取得も、Perlの拡張でやればよかったんじゃないでしょうか?
っていう感じですね。帰ったら詳しくみます
449:名無しさん@お腹いっぱい。
10/11/20 17:03:18
URLリンク(uploda.in)
おねがいします
450:名無しさん@お腹いっぱい。
10/11/21 00:24:06
>>447-448
完全には読めてませんが、画面全体のスクリーンショットを、
某所へうpするだけ。ということでよさげです
>>449
これは、提供元にお問い合わせ下さい 俺はパス。
451:名無しさん@お腹いっぱい。
10/12/24 17:45:56
【社会】法務省、ウイルス作成罪新設へ 来年、法案を提出意向
スレリンク(newsplus板)
452:名無しさん@お腹いっぱい。
10/12/24 17:59:49
落とした検体の適正管理が問われることになりそげ。
どのみち、管理がきちんとできないと、セキュリティソフトの例外が煩雑になるし
453:名無しさん@お腹いっぱい。
11/01/02 19:04:21
暇だったから踏んだ
【サイト】
hxxp://online-stream-video.com/xfreeporn.php?id=48756
【各ベンダーの検出状況】
URLリンク(tot.to)
【症状】
New-Video-Addon.48756を実行するとこれがダウンローダーで他のプログラムを
呼び寄せてくる。bjh.exe bji.exe Bkabia.exe等。。
アドウェアのせいでやたらと広告が出てきてパソコンが重い。
つづく。。
454:453
11/01/02 19:09:55
スクリーンショットとろうと思ったけど想像以上につまんなかったからつづきません
455:名無しさん@お腹いっぱい。
11/01/03 10:34:03 BE:331335252-2BP(100)
初踏み乙w
自前コンテンツはないのねw > online-stream-video.com
ことよろ。
456:名無しさん@お腹いっぱい。
11/01/05 00:45:32
4 :z:2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。
ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
URLリンク(www.seikatubunka.metro.tokyo.jp)
漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
URLリンク(www2u.biglobe.ne.jp)
454 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか?
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか?
457:名無しさん@お腹いっぱい。
11/03/07 20:44:54.86
www.trackzapper.com/
ここで配布されてるソフトはどれもこれも怪しげなモノばかり
458:名無しさん@お腹いっぱい。
11/03/07 21:34:13.91
Firewall をみてみた
xanv のエンジンらしす
署名はされてない もちろん64bit非対応
459:名無しさん@お腹いっぱい。
11/03/10 10:13:48.49
URLリンク(www.dotup.org)
12345
460:名無しさん@お腹いっぱい。
11/03/10 10:16:20.61
URLリンク(www.dotup.org)
12345
461:名無しさん@お腹いっぱい。
11/03/10 21:46:44.89 BE:1855476678-2BP(100)
砂箱で実行。有害無害は確定しません
>>459
以下の各サイトのアフィリエイトを得た上(推定含む)、
URLリンク(asksearch.com) URLリンク(pcoptimizerpro.com) URLリンク(start.pogo.iplay.com)
以下から本体を落としてインスコするようです。それでもシェアウェアw
URLリンク(www.freeonlinetvplayer.com)
エロサイトらしきものが入っていたのを確認すると、たどっていったらこれでした
URLリンク(www.askdanandjennifer.com)
URLリンク(www.youtube.com)
ある意味エロサイトかw
462:名無しさん@お腹いっぱい。
11/03/10 21:49:39.40 BE:1855476487-2BP(100)
>>460
なぜかスキンライブラリ(サードパーティー製)のインスコに失敗するため、
試用できませんですた。Win7で評価。
解凍すると、メモリクリーナー的な何かが入ってます。
463:名無しさん@お腹いっぱい。
11/03/13 06:40:18.54
www.thespywaredetective.com/download.htm
怪しげなスパイ対策ソフトサイト 壁紙あり
464:名無しさん@お腹いっぱい。
11/03/13 18:09:29.32
URLリンク(uploda.in)
12345
465:名無しさん@お腹いっぱい。
11/03/13 21:04:55.83 BE:397602162-2BP(100)
>>463
なんかまともに表示出なかったです。。
MD5/レジストリキーベースの簡易スキャナのようです
出典は…www.antispywareprogram.se かな
どうせ、買わないと駆除できんのでしょう。そんな感じです
>>464
minidvdsoft のFree DVD Creator ということでよさげです
いろんな他社のコンポーネントをよせあつめてできている感じなのですが、
まあ一応起動しました 砂箱で使ってる分には、なんとかなりそうかも
良くも悪くも、ffmpeg同梱。DLLもはいってる気がする。
466:名無しさん@お腹いっぱい。
11/03/14 08:40:04.34
URLリンク(uploda.in)
12345
467:名無しさん@お腹いっぱい。
11/03/14 18:18:37.44
URLリンク(uploda.in)
468:名無しさん@お腹いっぱい。
11/03/14 18:20:01.44
467のパス 12345
469:名無しさん@お腹いっぱい。
11/03/14 23:55:23.67 BE:1159673257-2BP(100)
>>466
Akala EXE Lock v3.20
とりあえず起動しました。砂箱内に展開して確認。
EXEをパスワードロックするというのですけど、
なんだか実行中に、元EXEを吐き出してきました
ま、そんなんでよければ、って感じ。
470:名無しさん@お腹いっぱい。
11/03/14 23:58:38.74 BE:596403263-2BP(100)
>>467
Super macro.
これはちょっとよくわからんです(動作が複雑)。
紹介者にお尋ねください とりあえず、最新版なのは確認しました
URLリンク(adam.denadai.free.fr)
一時、トロイの混ざったバージョンが出回ったことがあるそうです
ソースは、公式ニュース。ぐぐる翻訳便利。
URLリンク(adam.denadai.free.fr)
471:名無しさん@お腹いっぱい。
11/03/15 20:51:21.01
URLリンク(uploda.in)
12345
海外サイトでブラックリストに載っていたURLから落としたモノ
472:名無しさん@お腹いっぱい。
11/03/16 02:24:18.97
>>471
FaceMoods2.0.CIS を抱き合わせで入れてくるみたいですねー。
入れなくていいっていっても、落としてくるし
それより、何か暗号化したものを送ってるのが気になります
インストールログぽいっちゃぽいんですが、ちょっと先に調べます
473:名無しさん@お腹いっぱい。
11/03/19 03:04:07.35
URLリンク(uploda.in)
12345
474:名無しさん@お腹いっぱい。
11/03/19 16:55:06.24
URLリンク(uploda.in)
12345
トロイが入ってるらしいです
475:名無しさん@お腹いっぱい。
11/03/19 17:31:39.42
URLリンク(uploda.in)
12345
ジョークソフトらしいです
476:名無しさん@お腹いっぱい。
11/03/20 17:52:38.60 BE:596402892-2BP(100)
>>471-472
ffmpeg.exe のフロントエンドに、facemoodsがくっついたもののようです
たぶん、infospace系のアドウェアです
ちょっと不審な文字列があるので、垢抜きみたいなこともしてるかもしれませんが、
もしかすると…ってことで。
この手合いのインストーラが、これで2度目です(>>365-367) もうちょい探ろうかな。
477:名無しさん@お腹いっぱい。
11/03/20 21:48:18.40 BE:2683814099-2BP(100)
>>473
SIMカード内のSMSをリカバリするそうです
SMSがSIMカードに記録されていれば、読み出せるのかもしれません
リーダライタがないと、動作確認はできないです。。
DLLはシリアルポートを見に行ってるようでした
>>474
bingのツールバーらしいのですが、なぜかsoftomate のToolbarStudio でできていて、
www.ebuyclub.com へのリンクがあちこちに残ってます
MSの署名もあるし。はて。…流用したのかな…なんでだろ。
>>475
Win3.1世代のプログラムです Win98で一応動作確認。
ランダムに虫がでてくる。ゴキブリみたいな不快な感じのやつじゃなくて、
(プログラムの)バグを具現化したようなやつです。
478:名無しさん@お腹いっぱい。
11/03/21 00:36:12.47
URLリンク(uploda.in)
12345
479:名無しさん@お腹いっぱい。
11/03/21 01:45:38.79 BE:1855476678-2BP(100)
>>478
3gp ファイルのビューアだそうです
いざ.3gp ファイルを見ようとすると、CODECを落として来いと言ってきます
中身はK-Lite Codec Pack でしたので、結局、案件ファイルはなくても
同じってことになります メディアプレーヤで開けますもんね。
セットアップログを送信するほか、実行中にも、
URLリンク(setup.ivelog.com) (実際にはPOST)
に動作ログを送ります 当方環境では、okと返ってくるだけでしたが。
これが失敗すると、ほかにも3箇所ほどに同様の通信しようとしますが、
いかんせん古いためか、すべてドメイン屋さんのページになってました
480:名無しさん@お腹いっぱい。
11/03/21 08:10:11.88
app-zilla.com/
海外サイトでブラックリストに記載されてるサイト
怪しげな臭いがプンプンするソフトを数々置いている
脳豚先生は侵入の試みを遮断しましたと怒っております
481:名無しさん@お腹いっぱい。
11/03/21 12:27:43.66 BE:1325340285-2BP(100)
各種無償ソフトに、どとねとでGUIをかぶせ、やほtoolbarを付けて置いてあるようです
SwiftAntiVirus とかいうのは、ClamWinでした。
FreeDVDRipper とかいうのは、mencoderとffmpegがはいってました。
license.txtがつけてあり、プロセス単位で連携してるので、一応GPL対応か。
mencoderって、直接DVD読めるのね。しらんかった。
ちなみに、MyDownloader はなんだろかとちょっと期待したのですが、404でした。
やる気あんのか(w
482:名無しさん@お腹いっぱい。
11/03/22 10:13:04.11
URLリンク(uploda.in)
12345
URLリンク(www.virustotal.com)
483:名無しさん@お腹いっぱい。
11/03/23 00:33:31.40 BE:265068342-2BP(100)
>>482
今実行環境を用意できないのであれなんですが、
もしかしたらこれかも、、
URLリンク(www.virustotal.com)
484:名無しさん@お腹いっぱい。
11/03/23 18:07:31.58
URLリンク(uploda.in)
12345
ジョークプログラムらしいです
485:名無しさん@お腹いっぱい。
11/03/23 22:40:44.56 BE:1491008459-2BP(100)
>>484
ドライブCをフォーマットしますかと出ます。
Noと答えても、フォーマットが進行するダイアログがでます
中止ボタンがありますが、クリックしようとすると逃げます
おわると、Aboutダイアログがでて(ドッキリオチ)終わります
ただし、フランス語です
砂箱で動作確認。内部は確認してません
添付のドキュメントは覗いてません(URLとか含んでますが)。
486:名無しさん@お腹いっぱい。
11/03/24 10:53:54.10
URLリンク(www.speedyshare.com)
487:名無しさん@お腹いっぱい。
11/03/24 18:21:23.36
当方環境では、事情によりうまく試せません ;-P
URLリンク(www.foofus.net)
MD5は合ってるようですが。。
488:名無しさん@お腹いっぱい。
11/03/24 19:35:26.68
URLリンク(uploda.in)
12345
489:名無しさん@お腹いっぱい。
11/03/24 20:27:25.81
URLリンク(uploda.in)
12345
ハックツールらしいです
490:名無しさん@お腹いっぱい。
11/03/25 15:33:16.70
URLリンク(uploda.in)
12345
491:名無しさん@お腹いっぱい。
11/03/25 19:33:30.86
itravelishop.com/page.php?id=super-bowl-sunday-2011-date-and-time
怪しげなものをインストールしようとする怪しいサイト
492:名無しさん@お腹いっぱい。
11/03/26 12:39:59.98
>>488
短報、インスコがなぜか途中でとまってしまうため、試用できておらず。
SHA1は一致しました
URLリンク(www.metasploit.com)
>>489
特定UDPポートに、特定データを送り続けることができるようです
汎用ツール。実行したとたんに不幸が起こることはなさげです
493:名無しさん@お腹いっぱい。
11/03/26 15:54:33.00 BE:596403836-2BP(100)
>>490
本体は以下の通りでした
URLリンク(vz.iminent.com)
URLリンク(vz.iminent.com)
URLリンク(vz.iminent.com)
URLリンク(vz.iminent.com)
コンフィグ
URLリンク(toolbar.iminent.com) URLリンク(apix.iminent.com)
IMBooster は、WLのフックのため、アプリケーションディレクトリのmsacm32.dllを置き換えるかもしれません
SearchTheWeb に入っているIminent.BHO.NavigationError.dll は、
ナビゲーションエラー時の画面を置き換える効果があるようですが、
置き換えに失敗すると、新しいウインドウを作ってまた失敗して…になるので、
結局、エラーウインドウが沸きまくりのゆるいブラクラになります
494:名無しさん@お腹いっぱい。
11/03/26 17:14:12.18
>>491
いかにもあやしげな鯖 rutraffic.biz に飛ばされますが、つながりません
503扱い
495:名無しさん@お腹いっぱい。
11/03/28 01:27:47.84
xpnetdiag
496:名無しさん@お腹いっぱい。
11/03/29 10:17:16.47
URLリンク(uploda.in)
12345
497:名無しさん@お腹いっぱい。
11/03/30 12:15:41.74
>>491
繋がったり繋がらなかったりするようで
繋がったらexploit攻撃うけました
498:名無しさん@お腹いっぱい。
11/04/02 07:21:32.04 BE:298202033-2BP(100)
>>496
MDIからPDFに落とし込めるらしいです
当方環境では、起動したとたんに不幸が発動する様子はなかったです
読み込みに必要なファイルは一応入っているようです
MSの純正エンジンで、TIFFは吐けるらしいので、それ使ったらよくね?というか。
URLリンク(msdn.microsoft.com)
動作確認はしてません MDIファイルってのがないので
499:12345
11/04/06 01:52:48.67
URLリンク(uploda.in)
12345
500:12345
11/04/06 17:52:34.71
URLリンク(uploda.in)
12345
501:名無しさん@お腹いっぱい。
11/04/07 00:25:26.24 BE:2385612498-2BP(100)
>>499
Babylon のツールバー他一式を入れないか、と言ってきます(アフィリエイト)
本体は、bittorrent で落としてきます このために、aria2c を同梱しています(プロセス単位)
URLリンク(www.mininova.org)
本体は45KB(展開後)で、vtによると、vt初出は2009/09だそうです
一応、ファイル名・ディレクトリ名決め打ちで簡単に指定フォルダを掃除してくれるみたいです
URLリンク(www.virustotal.com)
>>500
MS Removal Tool なるものが起動しました 真っ青地の壁紙に置き換えようとします
当方環境では、c:\programdata, HKCU\...\RunOnce に入りました
502:名無しさん@お腹いっぱい。
11/04/08 21:23:29.59
URLリンク(zipdkr.net)
12345
怪しいダウンロードサイトからの落し物
503:名無しさん@お腹いっぱい。
11/04/09 00:01:57.92
ぜんぜんおとせないお
504:名無しさん@お腹いっぱい。
11/04/09 20:52:56.00
真ん中までスクロールした?
505:名無しさん@お腹いっぱい。
11/04/10 08:55:06.96 BE:2683814099-2BP(100)
てゆーか403が返ってきてた
なんか嫌われてたらしい
で、外殻は、>>499,501 と同じ
本体は、これだそうな .torrent は、torrents.thepiratebay.org から持ってきます
> Tokyo.Collection.Special.3.[English].XXX.DVDRiP.XviD-WwW.TorrentesX.CoM.avi 700MB
本体は落としてないです
珍しいもの(EXEとかそっち系)が入ってたらもってきてちょ
506:名無しさん@お腹いっぱい。
11/04/11 03:20:55.63
URLリンク(www.speedyshare.com)
12345
507:名無しさん@お腹いっぱい。
11/04/11 03:32:44.53
URLリンク(www.speedyshare.com)
12345
508:507
11/04/11 03:52:22.72
半分眠ってたのでそのままアップしてしまった
危険だからスルーして!!!!!!!!!!
脳豚は危険判定だそうです
509:名無しさん@お腹いっぱい。
11/04/11 12:25:43.80
>>506-507
共に何故かダウソできないよ><
次からは流れの早い以下のうpろだで頼む
URLリンク(www.dotup.org)
510:名無しさん@お腹いっぱい。
11/04/11 13:03:38.55
URLリンク(www.dotup.org)
506と同じです
511:名無しさん@お腹いっぱい。
11/04/11 13:15:31.79
URLリンク(www.dotup.org)
507と同じです
512:名無しさん@お腹いっぱい。
11/04/11 13:23:29.03
>>510
URLリンク(virusscan.jotti.org)
>>511
URLリンク(virusscan.jotti.org)
次からはブツ自体にもpass掛けてね
513:名無しさん@お腹いっぱい。
11/04/12 05:42:48.15
URLリンク(www.dotup.org)
12345
514:名無しさん@お腹いっぱい。
11/04/12 10:21:53.43
pass?
515:名無しさん@お腹いっぱい。
11/04/12 21:03:15.40
URLリンク(www.dotup.org)
12345
>>514
失礼数字が1つ多かったです 123456
516:名無しさん@お腹いっぱい。
11/04/12 21:19:46.73
>>515
URLリンク(virusscan.jotti.org)
次からは以下で調べてもらったらどうだろう?
【鑑定目的禁止】検出可否報告スレ14
スレリンク(sec板)
517:名無しさん@お腹いっぱい。
11/04/16 02:18:57.37 BE:795205038-2BP(100)
>>513
RARの自己解凍書庫のアイコンを貼った、ばかでかいEXEです
しばらくいじってたのですが、内部オブジェクトの移動の前後あたりでエラーになり落ちます
起動できてないですが、アイコンを偽装したEXEにろくなもんはない…という気が。
mailtoのハンドラの有無を見に行ってますが、それはQかなんかtの挙動かもしれない
>>515
MediaGet2 なるものを落として、それでpeepvoyeur を検索しようとします
URLリンク(download2.media-get.com)
MediaGet2 はインスコ中に、Babylon 一式のインスコを薦めてきます
torrent のクライアントで、どこぞのまとめサイトからひっぱってきた人気ファイルを
簡単に落とせる?ように、それらしいUI上に出してきます
しばらくほうっておくと、SSLで利用者番号らしきものを取ってくるのですが、
やけに詳細にハードウェア情報を送ろうとするので、キモチワルイです
もしかしたら、背後でBOTクライアント動いてたりして…。解析はできてませんが。
518:名無しさん@お腹いっぱい。
11/04/17 14:09:57.72
URLリンク(www.dotup.org)
URLリンク(www.dotup.org)
12345
519:名無しさん@お腹いっぱい。
11/04/18 00:02:14.44 BE:2087411279-2BP(100)
>>506,510
BlackBox for Windows のプラグインの一部です 単体実行不可
ソースも出ているプラグインなので、自分でビルドすれば無問題
…っていう台詞がひるむくらい、ばりばり検出されてますね
参考に、メッセージフックを置く関数を2バイトだけ(FFD6→9090)潰してみました
URLリンク(www.virustotal.com)
520:名無しさん@お腹いっぱい。
11/04/18 02:09:06.65 BE:596403263-2BP(100)
>>507,511
フランス語かなにかで書かれており、実行するといってもよくわからないです
実行はしてませんが、少し覗いてみました
シャットダウンを実行するアプレットのシャットダウン部分を1バイト潰して、
びふぉーあふたーでvtに送りつけてみました
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
同じく、電源操作のアプレットの本体部分について。
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
これらに限って言えば、誤検出ってことでいいんじゃないかなという気がする。
521:名無しさん@お腹いっぱい。
11/04/18 10:20:14.04 BE:198801623-2BP(100)
>>518 の上 = >>464,465 (インストーラが一致)
522:名無しさん@お腹いっぱい。
11/04/18 11:27:03.12
URLリンク(rjlpranks.com)
脳豚が悪質サイトとして遮断したんですが怪しいファイルが
置いてあるのでしょうか?
523:名無しさん@お腹いっぱい。
11/04/18 13:29:09.37
>>522
F-secureでも警告が出たね
何だろう?
Web サイト ://rjlpranks.com/pranks/
サイトの評価: 危険
Web サイトにアクセスしないことを推奨します
Web サイトから危険な動作やアイテムが検出されました。Web サイトは危険である可能性が高いです。
524:名無しさん@お腹いっぱい。
11/04/19 12:42:33.38 BE:397602634-2BP(100)
>>518 下
ちょっとだけ実行してみました YouTubeDownloader なるものが入ってます
keepvid.com に丸投げするだけの簡単なお仕事です。のような気がする。
Enigmaでパックされてます。アンパック後は、700KB弱. ただし、CRT/MFC含む。
525:名無しさん@お腹いっぱい。
11/04/29 18:11:35.11
URLリンク(www.dotup.org)
infected
526:名無しさん@お腹いっぱい。
11/04/30 11:03:01.35 BE:1159673257-2BP(100)
>>525
Director10 のプレーヤです 全画面にひろがり、終了方法がわかりにくい。
クリックすると、座標らしきものが表示され、なんかしゃべります(w
細かい解析はしてません
砂箱でしばらくつついた感じでは、外部への通信はなかったです
HKCUにShockwave のキーが増えますが、ランタイムの仕様でしょう、たぶん。
527:名無しさん@お腹いっぱい。
11/05/02 16:35:30.56
URLリンク(www.dotup.org)
12345
528:名無しさん@お腹いっぱい。
11/05/02 17:58:52.36
URLリンク(www.dotup.org)
12345
529:名無しさん@お腹いっぱい。
11/05/02 20:41:17.81 BE:795205038-2BP(100)
>>528
>>499,501 とかとおなじ。内臓のAria2 でこれを落としてくるのですが…。
URLリンク(thepiratebay.org)
全然落ちてこない。なんなのコレw
落ちてこないなあ、やっぱBabylon 入れないといけないのかなあ。
とかって思わせるのかな。
503扱いで。
530:名無しさん@お腹いっぱい。
11/05/02 21:20:59.97 BE:1159672875-2BP(100)
>>527
AppData\Roaming に本体が移動し、以下のコントロールサーバ(推定)と通信します
内容は暗号化されてるので、見ても判りません
URLリンク(vip.glavinassociates)<)
531:名無しさん@お腹いっぱい。
11/05/03 20:38:57.02
URLリンク(www.dotup.org)
12345
532:名無しさん@お腹いっぱい。
11/05/03 20:56:00.11
404
533:名無しさん@お腹いっぱい。
11/05/04 07:20:41.12
何言ってるんだ…と思ったら、認証後の本体URLが404だったでござる
こんなこともあるのねー
534:名無しさん@お腹いっぱい。
11/05/04 09:36:57.95
URLリンク(u1.getuploader.com)
12345
535:名無しさん@お腹いっぱい。
11/05/06 12:33:54.07
ぱっと見、>>471 と似たようなやつの気がする まだ実行はしてない
536:名無しさん@お腹いっぱい。
11/05/08 17:08:36.09
URLリンク(cheetu.malremoval.hop.clickbank.net)
537:名無しさん@お腹いっぱい。
11/05/08 17:13:15.65
>>536
3217 は省かせてもらいました
ちょくりん → URLリンク(www.malwareremovebot)。com/malwareremovalbot/setupxv.exe
538:名無しさん@お腹いっぱい。
11/05/15 07:39:42.53
スレリンク(software板:957-番)
539:名無しさん@お腹いっぱい。
11/06/09 12:04:57.24
558
540:名無しさん@お腹いっぱい。
11/06/10 10:57:19.01
URLリンク(foconde.net)
迷惑メールのURL
541: 忍法帖【Lv=10,xxxPT】
11/06/10 18:02:46.24
スレリンク(software板:977番)
()
542:名無しさん@お腹いっぱい。
11/06/10 18:42:32.40
>>540
さんざんあっちこっちに飛ばされて、 URLリンク(mreux)<)。info/file.php?job=action&action=get&downfile=d480e518d8400f2
砂箱避けが効いているとみえ、当方環境ではなにも起きなさすぎる
vtによれば、fakealertかなにかだそうだ
URLリンク(www.virustotal.com)
543:名無しさん@お腹いっぱい。
11/06/10 22:29:46.40 BE:2385612689-2BP(100)
>>541,542
砂箱避けを避けると、インチキセキュリティソフトのダウンロード画面が出たので、
インチキセキュリティソフト確定でいいかと。
544:名無しさん@お腹いっぱい。
11/06/11 16:02:00.97
URLリンク(www.dotup.org)
545:名無しさん@お腹いっぱい。
11/06/11 19:43:07.36
スレリンク(software板:879番)
546:名無しさん@お腹いっぱい。
11/06/11 22:28:47.87
>>545
>>541 と同じパッカ アウトだとおもわれ
547:名無しさん@お腹いっぱい。
11/06/11 22:36:25.87
>>544
なでしこのランタイム。スクリプトが平文で書いてあるので、覗いてみては。
実行はしてません。
548:名無しさん@お腹いっぱい。
11/06/13 20:06:48.34 BE:1325340285-2BP(100)
>>545,546
結局、>>541 と同じ画面でました。
549:名無しさん@お腹いっぱい。
11/06/17 15:52:54.88 BE:2087410897-2BP(100)
関係者各位、適宜法対応されたし。
「ウイルス」作成を処罰=サイバー犯罪に対応、7月から-改正刑法が成立
URLリンク(www.jiji.com)
/.J より引用: 人に実行させる目的でウイルスの取得や保管も
2年以下の懲役または30万円以下の罰金となる。
550:名無しさん@お腹いっぱい。
11/06/27 21:54:10.04
URLリンク(songivu.in)
お願いします
551:名無しさん@お腹いっぱい。
11/06/27 21:56:53.15
>>550ですけどマイクラダウソしようとしたら・・・('A`)
実行したらIEが挙動不審しております
対策と後処理のやり方もお願いします
552:名無しさん@お腹いっぱい。
11/06/27 22:36:58.14
>>550
File name: Minecraft.1.0.17.45096.exe Submission date: 2011-06-27 13:07:27 (UTC) Result: 8/ 42 (19.0%)
URLリンク(www.virustotal.com)
553:名無しさん@お腹いっぱい。
11/06/27 22:57:39.94
>>552
つまり・・・どゆこと?
554:名無しさん@お腹いっぱい。
11/06/27 23:02:27.25
>>553
気になるなら再インスコ
気にならないなら放置
555:名無しさん@お腹いっぱい。
11/06/27 23:09:33.94
>>554
IEをですか?OSをですか?
556:名無しさん@お腹いっぱい。
11/06/27 23:17:03.94
>>555
URLリンク(www.google.co.jp)
557:名無しさん@お腹いっぱい。
11/06/27 23:33:07.97
>>555
URLリンク(about-threats.trendmicro.com)
マンドクセ━━━('A`)━━━!!
558:名無しさん@お腹いっぱい。
11/06/27 23:42:32.97 BE:530137128-2BP(100)
踏んでみました
%temp%に3個、%windir%直下に1個、system32(syswow64)に1個EXEが発生しました
thepiratebay.org, mininova.org, suprbay.org へのアクセスを阻止するhosts改ざんがありました
タスク
HKLM\software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\software\ 直下
HKLM\software\ 直下 (環境によっては Wow6432Node下)
に自動起動のエントリができました
途中で、サーバが302を返したのをうまく処理できなかったのか、感染が最後まで完了しなかったようです
参考までに。
559:名無しさん@お腹いっぱい。
11/06/27 23:55:58.77
CCleanerみたいなソフトでも出来ますか?
560:名無しさん@お腹いっぱい。
11/07/15 04:17:11.97
キャプチャソフトでこれをインストールすればいい
とネットの友人に言われて下記のようなexeファイル
URLリンク(serialwarezxx.servehttp.com)
を落としてダブルクリックしたら、その落とした
exeファイル自体が消えてしまいました
これはもしかしたらウィルスかスパイウェア?
なのかと心配になりここに来た次第です
こういったクリックしたら消えるexe
と言うのは一体何なのでしょうか?
ソフトもインストールされた気配も無いですし
561:名無しさん@お腹いっぱい。
11/07/15 08:51:35.83
ドメイン屋に飛ばされる 実質404
ま、だめぽでしょう
まじもんのkeygenが、自己消去しなきゃならん理由がないからね
そのネットの友人に頼ることですね
居るのなら。
562:名無しさん@お腹いっぱい。
11/07/15 11:42:13.56
560です
>>561さん
本体じゃ無くてkeygenって奴だったんですね
てっきりそれ入れたらソフト自体が入るのかと思っていました
症状調べると勝手に変なサイトに飛ぶようになってたしマルウェア
って奴だったみたいです
ちょっとその友人に聞いてみます
ありがとうございました
563:名無しさん@お腹いっぱい。
11/07/15 12:34:31.16
そんなあやしいものを、自ら踏むこともせずに薦める
リアル友人がいるとは思いたくなかったんだが…。
とりあえず何かがんばれ
564:名無しさん@お腹いっぱい。
11/07/15 12:46:24.90
>>563
ありがとうございます
さっきメールで聞いてみたら当の本人もよく分かって
いなかったらしく、Bandicamと言うキャプチャソフトを
無料で使える程度にしか思ってなかったそうです
ひたすら謝られました・・・けど自分でもよく
調べてなかったので自己責任です
いい勉強になりました
ここで聞き終わった後、別スレで聞いてみましたが、
マルチやら違法だから駄目?的な事を言われて拒否されました・・・
クリーンインストールしかなさそうですね
重ね重ねありがとうございました
565:名無しさん@お腹いっぱい。
11/08/08 17:30:03.62
URLリンク(checksystem.cz.cc)
よろしくお願いいたします。
566:名無しさん@お腹いっぱい。
11/08/08 18:37:01.24
All Users の中にコピーができ、URLリンク(www.avplus2011pro.com) から
本体を落とそうとしますが、当方環境ではうまく落ちてきません 保留扱い
動作の過程で、HKCUのRunとhostsがいじられる…かも
567:名無しさん@お腹いっぱい。
11/08/09 02:49:29.62
URLリンク(2chnull.info)
568:名無しさん@お腹いっぱい。
11/08/09 12:41:59.66
Vista(32bit)の、↓と比較してみてください 俺もってない。
C:\Program Files\Microsoft Games\Minesweeper\MineSweeper.exe
いっしょだとしたら、配布元さんには、
「なにか足りなくね?あとMSにライセンス料払ってくれてありがとう、ご馳走様」
って言っておいて
569:名無しさん@お腹いっぱい。
11/08/20 11:54:16.67
URLリンク(meta-search.net)
570:名無しさん@お腹いっぱい。
11/08/21 14:39:13.03 BE:397602443-2BP(100)
実行が最後まで行かなかったので、参考程度で
実行すると、torrentのクライアントと、Babylonと他何かのツールバーが
抱き合わせになった本体を落としに行きます
共通本体 URLリンク(setup.downvision.com)
データ例 URLリンク(stat.downvision.com)
idは、ダウンローダのDelphiのバイナリフォームに直接書かれています
571:名無しさん@お腹いっぱい。
11/08/25 05:11:33.61
URLリンク(skype-downloads.ru)
572:名無しさん@お腹いっぱい。
11/08/25 12:45:10.92
いまいったら403です
573:名無しさん@お腹いっぱい。
11/08/25 19:45:37.22
URLリンク(malwareremovalbot.com)
574:名無しさん@お腹いっぱい。
11/08/27 01:32:46.27
しょうもないぼったくりセキュリティソフトのようです
新しいものはさっぱり検出しなかったし、アホな誤検出もありました
x64環境にはインストールできませんでした
強制的にばらして起動した感じでは、特に動かない感じでもなかったですが。
575:名無しさん@お腹いっぱい。
11/08/27 03:11:24.85
URLリンク(www.iis.net)
576:名無しさん@お腹いっぱい。
11/08/27 09:51:18.38
どれをみるんだw 汚染されたのかな
577:名無しさん@お腹いっぱい。
11/08/27 10:22:24.50
URLリンク(img-video-xxx.com)
動画の再生をクリックするとカスペが「悪意あるURL」と反応します
なんでしょうか?誤認?
578:名無しさん@お腹いっぱい。
11/08/27 16:12:56.71
>>577
リンク先切れてるから不明
579:名無しさん@お腹いっぱい。
11/08/28 02:46:03.18
>>577
seefilmfeature.com に置いてある何かにリンクあり
seefilmfeature.com が今実質404のため、それ以上のことは不明
580:名無しさん@お腹いっぱい。
11/08/28 11:25:38.61
URLリンク(www.trackzapper.com)
ここで配布されてるソフト信用できますか?
581:名無しさん@お腹いっぱい。
11/08/28 23:20:58.60
仮に無害だとしても、品質には疑問あり
system32 にメンテナンス非対象のFlash8.ocxを放り込むようなベンダに、
まともなソフトの維持がつとまるはずがないです
582:名無しさん@お腹いっぱい。
11/09/06 09:40:11.61
URLリンク(u1.getuploader.com)
12345
583:名無しさん@お腹いっぱい。
11/09/11 02:39:02.84 BE:596404229-2BP(100)
一段だけ実行しました なんかそれらしい本体(12MBくらい)を落としてきます
*.casino-on-net.com をゲームサーバに指定しているらしいので、
そこのゲームがいけてるかどうかってことになりそうです
584:名無しさん@お腹いっぱい。
11/09/12 12:28:11.44
URLリンク(www.divxdownloads.org)
585:名無しさん@お腹いっぱい。
11/09/12 18:34:29.98 BE:331335252-2BP(100)
踏もうとすると、ZCと名にあるとおりですね
まずはvt
URLリンク(www.virustotal.com)
踏むのはのちほど
586:名無しさん@お腹いっぱい。
11/09/14 18:32:11.34
Emsisoftで完全スキャンしていた所アイコンファイルからTrojan-Downloader.Remote!IKなるモノを検出しました
ググっても全然情報がないのでVirusTotalでそのアイコンファイルをスキャンしてみたら4 /44という結果でした
アイコンファイルはセットで落としたもので念のために他のアイコンもVirusTotalでスキャンしても何も出ませんでした
よろしくお願いします
URLリンク(www1.axfc.net)
123
587:名無しさん@お腹いっぱい。
11/09/15 13:43:06.75 BE:463869072-2BP(100)
>>586
誤検出でいいと思います
ラスト6KBあたりに、既存のマイクロウイルス(exploit)によく似た部分があるようで、
そこを目視確認しましたが、プログラムらしげなものはなかったです
電子すかしでも入ってるのかな
はたらいてくる
588:名無しさん@お腹いっぱい。
11/09/15 17:23:54.29
>>587
ありがとうございます
589:名無しさん@お腹いっぱい。
11/09/15 22:47:34.82
URLリンク(www1.axfc.net)
×マークのアイコンのファイルの挙動がよく分かりません
590:名無しさん@お腹いっぱい。
11/09/18 03:41:28.87 BE:894605639-2BP(100)
>>584-585
少し日が経ったので、リンク先のファイルを再取得して踏んでみました
最終的には MD5:8e4adf256fca604f1143443acbb359c6 のxvid.exe が落ちてきましたが、
その間に、babylonSK100632.exe, questscan-setup.exe, ShprRprt.exe,
ClickPotatoLiteInstaller.exe (順不同)を順次落として実行しようとしました
いずれもアドウェア、アフィ付DLということでよさげです
conclusion: 本家から落とそうw
591:名無しさん@お腹いっぱい。
11/09/18 06:09:23.29 BE:596402892-2BP(100)
>>589
ちょっと時間があったのと、読みやすかったので、ある程度調べました
実行すると、速攻でDefenderを落としにいきます 一部ロシア語圏だと感染が免除されるようです
ブラウザが起動しておれば落とし、C:\Users\All Users に自身をコピーして、
CheckExeSignatures, SaveZoneInformation などの設定を緩め、制御をそっちに移します
壁紙をリセットするか(初回のみ)、explorer を落とし、
HDDアクセスをムダに発生させつつHDD随所にhidden設定等を行い(attrib)、
あとタスクマネージャを起動できなくするなどの自己防御設定を行います
並行て、内臓されているインチキシステムチェッカを産み落とし、起動します
デスクトップにlicense.txtというファイルを置いて再起動すれば(あるいは、%CSIDL_COMMON_APPDATA%\*.lic)、
一定範囲で異常を元に戻してくれるようですが、いろいろと不完全で、あんまりあてにはならないです
あと、感染数の統計を取っているのか、ログ鯖にhttp通信をします
URLを埋め込んでおけば、そこから次のウイルスを取ってくる実装が見られますが、未指定です
592:名無しさん@お腹いっぱい。
11/09/18 17:12:51.22
toolbarqueries-google.com
見るからにあやしいサイト よろしくお願いいたします。
593:名無しさん@お腹いっぱい。
11/09/18 21:21:16.89
空ページがかえってくるだけ
toolbarqueries.google.com ←これがホンモノ
594:名無しさん@お腹いっぱい。
11/09/19 00:11:04.23
URLリンク(www.doctor-alex.com)
595:名無しさん@お腹いっぱい。
11/09/19 10:47:38.33 BE:397602443-2BP(100)
かれこれ4年以上、このバージョンは開発が止まっています
パス/MD5で、有名なマルウェアを検出するようです
データベースを解凍すると、以下の文字列があったので…
> ... is Ported to VB5 and compiled to NATIVE CODE, uses custom control ...
…ぐぐると、www.spynomore.com に当たります
配ってるデータベース形式も似てますし、後継製品かなと
596:名無しさん@お腹いっぱい。
11/09/20 06:07:09.35
URLリンク(www.systweak.com)
597:名無しさん@お腹いっぱい。
11/09/24 18:35:34.14
URLリンク(u1.getuploader.com)
12345
598:名無しさん@お腹いっぱい。
11/09/24 22:15:44.69
>>569
最新のドライバを提案してくるユーティリティですが、
DB持ってないじゃん?と思ったら、SOAPで鯖に聞きに行ってました。
レジすると落とせるのかもしれませんが、そこまではわかりません
ところで、レジストリがなんとかいう文字列がリソースにあるのは、なんだろう。。
conclusion: 無理にこれ使わなくても…w
599:名無しさん@お腹いっぱい。
11/09/25 06:09:35.05
URLリンク(u1.getuploader.com)
12345
600:名無しさん@お腹いっぱい。
11/09/27 22:32:17.25
URLリンク(sms.kelyan.net:41443)
あやしいファイルならぬあやしい迷惑メールなんですが
詐欺でしょうか?
601:名無しさん@お腹いっぱい。
11/09/29 00:41:58.18
>>600
そもそも、SSLの証明書に、Webメールのデモ版に入ってるのを
そのまま使ってる(推定)らしいので、普通に見たのではエラーになります
URLリンク(sms.kelyan.net:41443) ...
みたいなやつをぐぐるで拾ってみると、
URLリンク(www.best.teacherdragged.com) に飛べと言われます
エロサイトx2, バイアグラサイトx1 の広告でした
602:名無しさん@お腹いっぱい。
11/09/29 00:50:24.63
△みたいなやつをぐぐるで拾ってみると、... に飛べと言われます
○みたいなやつを試しにひとつぐぐるで拾ってみると、... に飛べと言われました
603:名無しさん@お腹いっぱい。
11/10/06 00:11:03.96 BE:596402892-2BP(100)
>>599
インチキセキュリティソフトです
起動するプロセスを監視して、なんでもかんでも有害扱いにして、次々落とされます
購入状態になると、なにも検出しなくなるようです(きれいになった!…ってちがーう!)
購入状態になると、アップデートができるようになった…って、google.com に見に行くだけで、
実際は何もしないみたいです
OEP 10544CC.
604:名無しさん@お腹いっぱい。
11/10/06 00:28:03.98 BE:2120544588-2BP(100)
>>597
砂箱内で1面だけ試用しましたが、普通に動作しているように見えます
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
一応こちらと一致しました
URLリンク(download.zxgames.com)
>>599
おまけ: 購入画面こちら URLリンク(secandpay.net)
605:名無しさん@お腹いっぱい。
11/10/07 04:58:34.42
URLリンク(u1.getuploader.com)
qwert
606:名無しさん@お腹いっぱい。
11/10/07 12:21:11.75
URLリンク(kujira.digi2.jp)
あやしいサイトです よろしく
607:名無しさん@お腹いっぱい。
11/10/07 13:05:13.72 BE:463869072-2BP(100)
>>606
もしかして: 升ですか?
WPE Pro は、なんでしたら、本家のをお使いください URLリンク(wpepro.net)
スクリプトについては、試しようがないですので、わかりかねます
.oO(ピグって、あんまりサーバサイドチェックしてないのかもしらんね)
608:606
11/10/07 19:23:25.61
>>607
違いますニートです。回答ありがとう
609:名無しさん@お腹いっぱい。
11/10/07 19:30:58.67
URLリンク(u1.getuploader.com)
12345
610:名無しさん@お腹いっぱい。
11/10/08 20:26:16.92 BE:331335825-2BP(100)
>>605
次のファイルに一致しました
URLリンク(dl.babylon.com)
セットアップされたファイル(除くツールバー)をかためて、一応vtに投げてみます
URLリンク(www.virustotal.com)
ちなみに、ツールバーにあるゲームボタンは、
URLリンク(www.babylon.com)
に飛ばされました
611:名無しさん@お腹いっぱい。
11/10/08 23:18:39.75 BE:1789209869-2BP(100)
>>609
一見インチキに見えますが、funwebproducts のツールバーを入れると、
Mindspark社の契約した組み込みアカウントで、
URLリンク(www.gametap.com) のゲームができます。ということのようです
一応起動しました
ごちゃごちゃとツールバー側のファイルが入るため、安全のほどは不明です
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
612:名無しさん@お腹いっぱい。
11/11/12 12:23:18.42
URLリンク(soft.foxtab.com)
あやしいソフト
613:名無しさん@お腹いっぱい。
11/11/12 22:08:43.54 BE:265068724-2BP(100)
一応、簡単なFLVプレーヤが入りましたが、
BabylonToolbar, dealply のアフィ稼ぎのようです
PEヘッダのチェックサムを毎度変更してきます
発行IDかなんかですかね
614:名無しさん@お腹いっぱい。
11/11/17 05:01:16.29
URLリンク(u1.getuploader.com)
12345
615:名無しさん@お腹いっぱい。
11/11/17 15:34:20.79
VGもQtベースになったんですねえ
…無用にでかいぞ
あとで走らせてみます
616:名無しさん@お腹いっぱい。
11/11/25 21:43:06.83
お疲れ様です
手動復帰ノ