10/09/11 16:29:15
URLリンク(labs-uploader.sabaitiba.com)
infected
400:名無しさん@お腹いっぱい。
10/09/11 18:56:21 BE:828338055-2BP(100)
NSIS, NSIS, UPX を解いて、ざざっと覗きました
ぱっと見、dump & patch ツールのようですが、用法・評価については、入手元にお尋ね下さい
401:名無しさん@お腹いっぱい。
10/09/11 19:09:40
ここで調べてみては?
URLリンク(www.virustotal.com)
402:名無しさん@お腹いっぱい。
10/09/12 01:34:33
URLリンク(juicyjunction.com)
ここのツールバーは無害?有害?
403:名無しさん@お腹いっぱい。
10/09/12 03:45:06 BE:1855476487-2BP(100)
インスコしてみましたが、いずれも有料サイトに飛ばされるばかりみたいです
アドウェア判定、無害でも無益に近い印象。もう少し詳細は近日中。
404:名無しさん@お腹いっぱい。
10/09/12 09:45:19
URLリンク(www.dotup.org)
infected
405:名無しさん@お腹いっぱい。
10/09/12 11:45:47 BE:198801623-2BP(100)
レジストリクリーナータイプのツールなのですけど。。
空のキーを全部指摘するっていうのは、どうなのか(w
トラブルシュート一覧と、問題のあるCLSID一覧は、テキストファイルです
URLリンク(www.AdvancedPCTweaker.com)
URLリンク(www.AdvancedPCTweaker.com)
One-Click Tweak.job がTasks にできます。
406:名無しさん@お腹いっぱい。
10/09/13 03:04:32
URLリンク(www.dotup.org)
infected
407:名無しさん@お腹いっぱい。
10/09/17 14:25:51 BE:2683814099-2BP(100)
途中経過だが一応
一応、セキュリティソフトということになっている WDMドライバを含む
WDMドライバは、ルートキット検出用らしいことが書いてあるが不明
ちょっとおもしろいのはファイルチェッカで、起動項目のファイルのハッシュかなにかを
鯖に片っぱしから送って、みてもらってる…らしい。
けど、すごい数を送るし、あれになにか個人情報が紛れ込んでてもわからんぞ?て感じ。
興味深いモノではあるが、どのみちreputationが不足してるし、
研究目的以上には、おすすめはしない
408:名無しさん@お腹いっぱい。
10/09/21 09:22:33
URLリンク(www.dotup.org)
infected
409:名無しさん@お腹いっぱい。
10/09/21 12:43:25
URLリンク(www.dotup.org)
infected
410:名無しさん@お腹いっぱい。
10/09/22 03:00:06 BE:1159672875-2BP(100)
>>409
ピカチューのアイコンが貼ってあるpatch.exe が入ってます おおよそ、既報のとおり。
ってだけではなんなので
・どとねと(2.0)で動作を確認。パッカのスタブもどとねと。
・確認時点で、受信鯖は通信のクオータを超えてます(たぶん: 6GB/月)
・見た感じ、setup.dll を参照している様子はありません 何かの隠しメッセージ(暗号)。
・見た感じ、"晒し"以上の機能はないようです
・書きかけなのか、コピペの削り忘れか、明らかに使っていないクラス/メソッドがいくらかあります
System.Reflection.Assembly::Load() で読み込んでますので、本質的にOEPはありません
伸張後アセンブリイメージはPEで、約22KB(パッカの仕様)
どうでもいいけど、freehostia って、広告出ないのね
411:名無しさん@お腹いっぱい。
10/09/23 23:45:50 BE:662670645-2BP(100)
>>408
サドンアタックの升ツール、ソース付き、こんなんは使ってるやつに聞けよ…と一瞬思ったが、
念のため覗いてみたら、
・サドンアタックがインスコされていたら、バイナリを自身で上書き。
・検出できなかったら、スタートメニューに自身を導入。
・どっちにしても、やっつけ的なメッセージを出して、シャットダウンする。
とかいうイタズラEXEでした (ざざっと見た感じ。)
慣れてる人が釣られたら苦笑で済みますが、初心者はパニクるはず
イタズラにしては、容赦ない 救済措置に作り込みが足りない
PC有害判定で。
再起動ループは、SHIFTキーおしっぱ起動で切り抜けて下さい
(慣れた人は、とっとと外部起動で済ませちゃうだろうから、案外忘れがち。)
412:名無しさん@お腹いっぱい。
10/09/23 23:50:01
書きわすれてた このEXEは、イタズラ以上の機能は、なし。
釣り記念に、C:\systems8 っていうゴミファイルができる
※管理者特権を持っているとき。フルパス決め打ち。
413:名無しさん@お腹いっぱい。
10/09/25 01:48:06
URLリンク(www.dotup.org)
infected
414:名無しさん@お腹いっぱい。
10/09/25 20:46:45 BE:198801623-2BP(100)
>>413
ffmpeg のラッパGUIのようなものでした
起動直後は異状ありませんでしたが、機能的に正しく動作するかは確認してません
415:名無しさん@お腹いっぱい。
10/09/30 00:04:18
>>412
EXEの消し方はどうやるんですか?無知ですいません
416:名無しさん@お腹いっぱい。
10/09/30 00:20:33
>>415
タスクマネージャのプロセス画面から該当.exeを終了させる
どれか判らない場合はユーザー名で起動しているプロセスを片っ端から終了させて再起動
417:名無しさん@お腹いっぱい。
10/09/30 00:36:26
>>416
片っ端からプロセスを終了して再起動したけどできない
なにか手順を間違えたのかな?
418:名無しさん@お腹いっぱい。
10/09/30 00:39:03
できないじゃなかった直らないです。
419:名無しさん@お腹いっぱい。
10/09/30 00:46:29
>>417
セーフモードもしくは管理者権限でログインで実行
420:名無しさん@お腹いっぱい。
10/09/30 00:58:24
>>419
セーフモードで重要なプロセス以外を全部終了させたが直らない
なにがおかしいのでしょう・・・
421:名無しさん@お腹いっぱい。
10/09/30 01:00:18
自分がひっかかったのと違うのでしょうか?
いちようこれです。
URLリンク(webtool.s372.xrea.com)
422:名無しさん@お腹いっぱい。
10/09/30 01:05:14
>>421
実行したらどうなったの?
423:名無しさん@お腹いっぱい。
10/09/30 01:10:14
>>422
実行したら黒い画面がでてきてやっつけ的なメッセージを出して
ログオフされる。それの繰り返し
再起動とかしてまたインすると↑のような現象の繰り返し
↑にあったような
・サドンアタックがインスコされていたら、バイナリを自身で上書き。
もされています
424:名無しさん@お腹いっぱい。
10/09/30 01:11:13
追記
EXEを起動したのは一回です
425:名無しさん@お腹いっぱい。
10/09/30 01:35:34
システム復元かクリーンインスコしかないね(‐人‐)
426:名無しさん@お腹いっぱい。
10/09/30 01:50:05
<<425
システムの復元ではダメでした
427:名無しさん@お腹いっぱい。
10/09/30 02:07:15
/ ̄ ̄ ̄ / /''7 ./''7 / ̄/ /''7
./ ./ ̄/ / /__/ / / ____  ̄ / /
'ー' _/ / ___ノ / /____/ ___ノ /
/___ノ /____,./ /____,./
_ノ ̄/ / ̄/ /''7 / ̄ ̄ ̄/ / ̄/ /'''7'''7
/ ̄ /  ̄ / /  ̄ フ ./ / ゙ー-; ____ / / /._
 ̄/ / ___ノ / __/ (___ / /ー--'゙ /____/ _ノ /i i/ ./
/__/ /____,./ /___,.ノゝ_/ /_/ /__,/ ゝ、__/
428:名無しさん@お腹いっぱい。
10/09/30 04:14:38 BE:397602926-2BP(100)
同じものだとすると(今片手間)、スタートアップ項目に本体がコピーされたと思うから、
スタートアップ項目をエクスプローラで開いて駆除するといいかと
サドンアタックは、セルフリカバリツールがあればそれを実行するのがはやい
なければ、サドンアタックを再インストール
429:名無しさん@お腹いっぱい。
10/09/30 10:08:15
>>428
ありがとうございます!スタートアップ項目にありました。
駆除したら直りました!!!クリーンシンストールしようかと準備してたところどうもです
430:名無しさん@お腹いっぱい。
10/10/03 12:09:14
URLリンク(labs-uploader.sabaitiba.com)
pass:h@ckt00l
431:名無しさん@お腹いっぱい。
10/10/03 15:48:25 BE:994005465-2BP(100)
>>430
mscomctl.ocx が導入されてないと動作しないです
ここに行って、アカウントを取れと言ってきます
URLリンク(rsmoney.suki-ari.net)
URLリンク(rsmoney.suki-ari.net)
なにかつなぐぽいしぐさをするのは、ここにつないでるみたいです
ようこそ!RyouSoftのブログへ!
URLリンク(ameblo.jp)
小銭稼ぎってことでいいんじゃないかなと。よくわからないけど。
432:名無しさん@お腹いっぱい。
10/10/11 21:47:04
URLリンク(www.dotup.org)
infected
433:名無しさん@お腹いっぱい。
10/10/11 22:04:45
>>432
EGG Marketとな・・・懐かしいなw
開発元(現在ダウンロード不可)
URLリンク(c-egg.com)
オリジナルファイルとハッシュ値が一致したのでこれにて終了。
434:名無しさん@お腹いっぱい。
10/10/13 09:42:28
URLリンク(cdn.optmd.com)
435:名無しさん@お腹いっぱい。
10/10/13 21:20:56 BE:2087410897-2BP(100)
>>434
MyWebSearch/FunWebProducts 系のアドウェアです
砂箱に入れて遊べばいいんじゃないかと。
機能の実体はHTMLアプリケーションで、以下から取得できます
window.external をどうにかすれば、一応、単独でも動作するかもです
URLリンク(www.mywebface.com)
URLリンク(www.mywebface.com)
436:名無しさん@お腹いっぱい。
10/10/14 13:40:34 BE:397602926-2BP(100)
Internet Explorer Application Compatibility VPC Image v4.2, 10/13/2010, English
Windows XP Images ... expire on January 11, 2011.
URLは>>6 と同じ。
437:名無しさん@お腹いっぱい。
10/10/14 13:52:35
URLリンク(www.dotup.org)
pass:virus
お願いします
438:名無しさん@お腹いっぱい。
10/10/14 14:04:08
>>437
ファイル自体にもパス掛けろよ
439:名無しさん@お腹いっぱい。
10/10/14 15:09:42
>>437
MSE検出
440:名無しさん@お腹いっぱい。
10/10/20 21:39:58
URLリンク(www1.axfc.net)
441:名無しさん@お腹いっぱい。
10/10/21 00:43:56 BE:331335252-2BP(100)
内蔵されているGIFアニメをデスクトップ上で再生するだけぽい感じです
砂箱内実行でちょっと遊んだ限りは、異状はなさげでした
442:名無しさん@お腹いっぱい。
10/10/24 03:03:22
URLリンク(labs-uploader.sabaitiba.com)
infected
443:名無しさん@お腹いっぱい。
10/10/27 12:27:43
URLリンク(uproda.2ch-library.com)
今時こんなzipはる中華って
444:名無しさん@お腹いっぱい。
10/10/28 14:04:46
>>443
朝見たときはfind2chで36スレ、今みたら43スレ
445:名無しさん@お腹いっぱい。
10/10/28 16:10:09
URLリンク(www.dotup.org)
infected
446:名無しさん@お腹いっぱい。
10/10/30 12:24:36 BE:331335252-2BP(100)
>>445
簡単に実行してみました。IEのスタートページを監視し、
変更されてもすかさず規定のURLで上書きするツールのようです
いきなりC:\NOSPY.ORGにインストールされます VB6のランタイム一式もそこに入ります
system32にdata.mgeという謎のファイルができます
Gumblar系の感染関係のファイルを連想しますが、中身はよくわからない音声ファイルでした
インストーラに同じファイルがありますから、ローカル環境の録音ではなさげなのですが。
447:名無しさん@お腹いっぱい。
10/11/19 00:09:07
URLリンク(www1.axfc.net)
お願いします
448:名無しさん@お腹いっぱい。
10/11/19 18:11:05
どうせだったら、スクリーンショット取得も、Perlの拡張でやればよかったんじゃないでしょうか?
っていう感じですね。帰ったら詳しくみます
449:名無しさん@お腹いっぱい。
10/11/20 17:03:18
URLリンク(uploda.in)
おねがいします
450:名無しさん@お腹いっぱい。
10/11/21 00:24:06
>>447-448
完全には読めてませんが、画面全体のスクリーンショットを、
某所へうpするだけ。ということでよさげです
>>449
これは、提供元にお問い合わせ下さい 俺はパス。
451:名無しさん@お腹いっぱい。
10/12/24 17:45:56
【社会】法務省、ウイルス作成罪新設へ 来年、法案を提出意向
スレリンク(newsplus板)
452:名無しさん@お腹いっぱい。
10/12/24 17:59:49
落とした検体の適正管理が問われることになりそげ。
どのみち、管理がきちんとできないと、セキュリティソフトの例外が煩雑になるし
453:名無しさん@お腹いっぱい。
11/01/02 19:04:21
暇だったから踏んだ
【サイト】
hxxp://online-stream-video.com/xfreeporn.php?id=48756
【各ベンダーの検出状況】
URLリンク(tot.to)
【症状】
New-Video-Addon.48756を実行するとこれがダウンローダーで他のプログラムを
呼び寄せてくる。bjh.exe bji.exe Bkabia.exe等。。
アドウェアのせいでやたらと広告が出てきてパソコンが重い。
つづく。。
454:453
11/01/02 19:09:55
スクリーンショットとろうと思ったけど想像以上につまんなかったからつづきません
455:名無しさん@お腹いっぱい。
11/01/03 10:34:03 BE:331335252-2BP(100)
初踏み乙w
自前コンテンツはないのねw > online-stream-video.com
ことよろ。
456:名無しさん@お腹いっぱい。
11/01/05 00:45:32
4 :z:2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。
ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
URLリンク(www.seikatubunka.metro.tokyo.jp)
漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
URLリンク(www2u.biglobe.ne.jp)
454 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 :動け動けウゴウゴ2ちゃんねる:2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか?
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか?
457:名無しさん@お腹いっぱい。
11/03/07 20:44:54.86
www.trackzapper.com/
ここで配布されてるソフトはどれもこれも怪しげなモノばかり
458:名無しさん@お腹いっぱい。
11/03/07 21:34:13.91
Firewall をみてみた
xanv のエンジンらしす
署名はされてない もちろん64bit非対応
459:名無しさん@お腹いっぱい。
11/03/10 10:13:48.49
URLリンク(www.dotup.org)
12345
460:名無しさん@お腹いっぱい。
11/03/10 10:16:20.61
URLリンク(www.dotup.org)
12345
461:名無しさん@お腹いっぱい。
11/03/10 21:46:44.89 BE:1855476678-2BP(100)
砂箱で実行。有害無害は確定しません
>>459
以下の各サイトのアフィリエイトを得た上(推定含む)、
URLリンク(asksearch.com) URLリンク(pcoptimizerpro.com) URLリンク(start.pogo.iplay.com)
以下から本体を落としてインスコするようです。それでもシェアウェアw
URLリンク(www.freeonlinetvplayer.com)
エロサイトらしきものが入っていたのを確認すると、たどっていったらこれでした
URLリンク(www.askdanandjennifer.com)
URLリンク(www.youtube.com)
ある意味エロサイトかw
462:名無しさん@お腹いっぱい。
11/03/10 21:49:39.40 BE:1855476487-2BP(100)
>>460
なぜかスキンライブラリ(サードパーティー製)のインスコに失敗するため、
試用できませんですた。Win7で評価。
解凍すると、メモリクリーナー的な何かが入ってます。
463:名無しさん@お腹いっぱい。
11/03/13 06:40:18.54
www.thespywaredetective.com/download.htm
怪しげなスパイ対策ソフトサイト 壁紙あり
464:名無しさん@お腹いっぱい。
11/03/13 18:09:29.32
URLリンク(uploda.in)
12345
465:名無しさん@お腹いっぱい。
11/03/13 21:04:55.83 BE:397602162-2BP(100)
>>463
なんかまともに表示出なかったです。。
MD5/レジストリキーベースの簡易スキャナのようです
出典は…www.antispywareprogram.se かな
どうせ、買わないと駆除できんのでしょう。そんな感じです
>>464
minidvdsoft のFree DVD Creator ということでよさげです
いろんな他社のコンポーネントをよせあつめてできている感じなのですが、
まあ一応起動しました 砂箱で使ってる分には、なんとかなりそうかも
良くも悪くも、ffmpeg同梱。DLLもはいってる気がする。
466:名無しさん@お腹いっぱい。
11/03/14 08:40:04.34
URLリンク(uploda.in)
12345
467:名無しさん@お腹いっぱい。
11/03/14 18:18:37.44
URLリンク(uploda.in)
468:名無しさん@お腹いっぱい。
11/03/14 18:20:01.44
467のパス 12345
469:名無しさん@お腹いっぱい。
11/03/14 23:55:23.67 BE:1159673257-2BP(100)
>>466
Akala EXE Lock v3.20
とりあえず起動しました。砂箱内に展開して確認。
EXEをパスワードロックするというのですけど、
なんだか実行中に、元EXEを吐き出してきました
ま、そんなんでよければ、って感じ。
470:名無しさん@お腹いっぱい。
11/03/14 23:58:38.74 BE:596403263-2BP(100)
>>467
Super macro.
これはちょっとよくわからんです(動作が複雑)。
紹介者にお尋ねください とりあえず、最新版なのは確認しました
URLリンク(adam.denadai.free.fr)
一時、トロイの混ざったバージョンが出回ったことがあるそうです
ソースは、公式ニュース。ぐぐる翻訳便利。
URLリンク(adam.denadai.free.fr)
471:名無しさん@お腹いっぱい。
11/03/15 20:51:21.01
URLリンク(uploda.in)
12345
海外サイトでブラックリストに載っていたURLから落としたモノ
472:名無しさん@お腹いっぱい。
11/03/16 02:24:18.97
>>471
FaceMoods2.0.CIS を抱き合わせで入れてくるみたいですねー。
入れなくていいっていっても、落としてくるし
それより、何か暗号化したものを送ってるのが気になります
インストールログぽいっちゃぽいんですが、ちょっと先に調べます
473:名無しさん@お腹いっぱい。
11/03/19 03:04:07.35
URLリンク(uploda.in)
12345
474:名無しさん@お腹いっぱい。
11/03/19 16:55:06.24
URLリンク(uploda.in)
12345
トロイが入ってるらしいです
475:名無しさん@お腹いっぱい。
11/03/19 17:31:39.42
URLリンク(uploda.in)
12345
ジョークソフトらしいです
476:名無しさん@お腹いっぱい。
11/03/20 17:52:38.60 BE:596402892-2BP(100)
>>471-472
ffmpeg.exe のフロントエンドに、facemoodsがくっついたもののようです
たぶん、infospace系のアドウェアです
ちょっと不審な文字列があるので、垢抜きみたいなこともしてるかもしれませんが、
もしかすると…ってことで。
この手合いのインストーラが、これで2度目です(>>365-367) もうちょい探ろうかな。
477:名無しさん@お腹いっぱい。
11/03/20 21:48:18.40 BE:2683814099-2BP(100)
>>473
SIMカード内のSMSをリカバリするそうです
SMSがSIMカードに記録されていれば、読み出せるのかもしれません
リーダライタがないと、動作確認はできないです。。
DLLはシリアルポートを見に行ってるようでした
>>474
bingのツールバーらしいのですが、なぜかsoftomate のToolbarStudio でできていて、
www.ebuyclub.com へのリンクがあちこちに残ってます
MSの署名もあるし。はて。…流用したのかな…なんでだろ。
>>475
Win3.1世代のプログラムです Win98で一応動作確認。
ランダムに虫がでてくる。ゴキブリみたいな不快な感じのやつじゃなくて、
(プログラムの)バグを具現化したようなやつです。
478:名無しさん@お腹いっぱい。
11/03/21 00:36:12.47
URLリンク(uploda.in)
12345
479:名無しさん@お腹いっぱい。
11/03/21 01:45:38.79 BE:1855476678-2BP(100)
>>478
3gp ファイルのビューアだそうです
いざ.3gp ファイルを見ようとすると、CODECを落として来いと言ってきます
中身はK-Lite Codec Pack でしたので、結局、案件ファイルはなくても
同じってことになります メディアプレーヤで開けますもんね。
セットアップログを送信するほか、実行中にも、
URLリンク(setup.ivelog.com) (実際にはPOST)
に動作ログを送ります 当方環境では、okと返ってくるだけでしたが。
これが失敗すると、ほかにも3箇所ほどに同様の通信しようとしますが、
いかんせん古いためか、すべてドメイン屋さんのページになってました
480:名無しさん@お腹いっぱい。
11/03/21 08:10:11.88
app-zilla.com/
海外サイトでブラックリストに記載されてるサイト
怪しげな臭いがプンプンするソフトを数々置いている
脳豚先生は侵入の試みを遮断しましたと怒っております
481:名無しさん@お腹いっぱい。
11/03/21 12:27:43.66 BE:1325340285-2BP(100)
各種無償ソフトに、どとねとでGUIをかぶせ、やほtoolbarを付けて置いてあるようです
SwiftAntiVirus とかいうのは、ClamWinでした。
FreeDVDRipper とかいうのは、mencoderとffmpegがはいってました。
license.txtがつけてあり、プロセス単位で連携してるので、一応GPL対応か。
mencoderって、直接DVD読めるのね。しらんかった。
ちなみに、MyDownloader はなんだろかとちょっと期待したのですが、404でした。
やる気あんのか(w
482:名無しさん@お腹いっぱい。
11/03/22 10:13:04.11
URLリンク(uploda.in)
12345
URLリンク(www.virustotal.com)
483:名無しさん@お腹いっぱい。
11/03/23 00:33:31.40 BE:265068342-2BP(100)
>>482
今実行環境を用意できないのであれなんですが、
もしかしたらこれかも、、
URLリンク(www.virustotal.com)
484:名無しさん@お腹いっぱい。
11/03/23 18:07:31.58
URLリンク(uploda.in)
12345
ジョークプログラムらしいです
485:名無しさん@お腹いっぱい。
11/03/23 22:40:44.56 BE:1491008459-2BP(100)
>>484
ドライブCをフォーマットしますかと出ます。
Noと答えても、フォーマットが進行するダイアログがでます
中止ボタンがありますが、クリックしようとすると逃げます
おわると、Aboutダイアログがでて(ドッキリオチ)終わります
ただし、フランス語です
砂箱で動作確認。内部は確認してません
添付のドキュメントは覗いてません(URLとか含んでますが)。
486:名無しさん@お腹いっぱい。
11/03/24 10:53:54.10
URLリンク(www.speedyshare.com)
487:名無しさん@お腹いっぱい。
11/03/24 18:21:23.36
当方環境では、事情によりうまく試せません ;-P
URLリンク(www.foofus.net)
MD5は合ってるようですが。。
488:名無しさん@お腹いっぱい。
11/03/24 19:35:26.68
URLリンク(uploda.in)
12345
489:名無しさん@お腹いっぱい。
11/03/24 20:27:25.81
URLリンク(uploda.in)
12345
ハックツールらしいです
490:名無しさん@お腹いっぱい。
11/03/25 15:33:16.70
URLリンク(uploda.in)
12345
491:名無しさん@お腹いっぱい。
11/03/25 19:33:30.86
itravelishop.com/page.php?id=super-bowl-sunday-2011-date-and-time
怪しげなものをインストールしようとする怪しいサイト
492:名無しさん@お腹いっぱい。
11/03/26 12:39:59.98
>>488
短報、インスコがなぜか途中でとまってしまうため、試用できておらず。
SHA1は一致しました
URLリンク(www.metasploit.com)
>>489
特定UDPポートに、特定データを送り続けることができるようです
汎用ツール。実行したとたんに不幸が起こることはなさげです
493:名無しさん@お腹いっぱい。
11/03/26 15:54:33.00 BE:596403836-2BP(100)
>>490
本体は以下の通りでした
URLリンク(vz.iminent.com)
URLリンク(vz.iminent.com)
URLリンク(vz.iminent.com)
URLリンク(vz.iminent.com)
コンフィグ
URLリンク(toolbar.iminent.com) URLリンク(apix.iminent.com)
IMBooster は、WLのフックのため、アプリケーションディレクトリのmsacm32.dllを置き換えるかもしれません
SearchTheWeb に入っているIminent.BHO.NavigationError.dll は、
ナビゲーションエラー時の画面を置き換える効果があるようですが、
置き換えに失敗すると、新しいウインドウを作ってまた失敗して…になるので、
結局、エラーウインドウが沸きまくりのゆるいブラクラになります
494:名無しさん@お腹いっぱい。
11/03/26 17:14:12.18
>>491
いかにもあやしげな鯖 rutraffic.biz に飛ばされますが、つながりません
503扱い
495:名無しさん@お腹いっぱい。
11/03/28 01:27:47.84
xpnetdiag
496:名無しさん@お腹いっぱい。
11/03/29 10:17:16.47
URLリンク(uploda.in)
12345
497:名無しさん@お腹いっぱい。
11/03/30 12:15:41.74
>>491
繋がったり繋がらなかったりするようで
繋がったらexploit攻撃うけました
498:名無しさん@お腹いっぱい。
11/04/02 07:21:32.04 BE:298202033-2BP(100)
>>496
MDIからPDFに落とし込めるらしいです
当方環境では、起動したとたんに不幸が発動する様子はなかったです
読み込みに必要なファイルは一応入っているようです
MSの純正エンジンで、TIFFは吐けるらしいので、それ使ったらよくね?というか。
URLリンク(msdn.microsoft.com)
動作確認はしてません MDIファイルってのがないので
499:12345
11/04/06 01:52:48.67
URLリンク(uploda.in)
12345
500:12345
11/04/06 17:52:34.71
URLリンク(uploda.in)
12345
501:名無しさん@お腹いっぱい。
11/04/07 00:25:26.24 BE:2385612498-2BP(100)
>>499
Babylon のツールバー他一式を入れないか、と言ってきます(アフィリエイト)
本体は、bittorrent で落としてきます このために、aria2c を同梱しています(プロセス単位)
URLリンク(www.mininova.org)
本体は45KB(展開後)で、vtによると、vt初出は2009/09だそうです
一応、ファイル名・ディレクトリ名決め打ちで簡単に指定フォルダを掃除してくれるみたいです
URLリンク(www.virustotal.com)
>>500
MS Removal Tool なるものが起動しました 真っ青地の壁紙に置き換えようとします
当方環境では、c:\programdata, HKCU\...\RunOnce に入りました
502:名無しさん@お腹いっぱい。
11/04/08 21:23:29.59
URLリンク(zipdkr.net)
12345
怪しいダウンロードサイトからの落し物
503:名無しさん@お腹いっぱい。
11/04/09 00:01:57.92
ぜんぜんおとせないお
504:名無しさん@お腹いっぱい。
11/04/09 20:52:56.00
真ん中までスクロールした?
505:名無しさん@お腹いっぱい。
11/04/10 08:55:06.96 BE:2683814099-2BP(100)
てゆーか403が返ってきてた
なんか嫌われてたらしい
で、外殻は、>>499,501 と同じ
本体は、これだそうな .torrent は、torrents.thepiratebay.org から持ってきます
> Tokyo.Collection.Special.3.[English].XXX.DVDRiP.XviD-WwW.TorrentesX.CoM.avi 700MB
本体は落としてないです
珍しいもの(EXEとかそっち系)が入ってたらもってきてちょ
506:名無しさん@お腹いっぱい。
11/04/11 03:20:55.63
URLリンク(www.speedyshare.com)
12345
507:名無しさん@お腹いっぱい。
11/04/11 03:32:44.53
URLリンク(www.speedyshare.com)
12345
508:507
11/04/11 03:52:22.72
半分眠ってたのでそのままアップしてしまった
危険だからスルーして!!!!!!!!!!
脳豚は危険判定だそうです
509:名無しさん@お腹いっぱい。
11/04/11 12:25:43.80
>>506-507
共に何故かダウソできないよ><
次からは流れの早い以下のうpろだで頼む
URLリンク(www.dotup.org)
510:名無しさん@お腹いっぱい。
11/04/11 13:03:38.55
URLリンク(www.dotup.org)
506と同じです
511:名無しさん@お腹いっぱい。
11/04/11 13:15:31.79
URLリンク(www.dotup.org)
507と同じです
512:名無しさん@お腹いっぱい。
11/04/11 13:23:29.03
>>510
URLリンク(virusscan.jotti.org)
>>511
URLリンク(virusscan.jotti.org)
次からはブツ自体にもpass掛けてね
513:名無しさん@お腹いっぱい。
11/04/12 05:42:48.15
URLリンク(www.dotup.org)
12345
514:名無しさん@お腹いっぱい。
11/04/12 10:21:53.43
pass?
515:名無しさん@お腹いっぱい。
11/04/12 21:03:15.40
URLリンク(www.dotup.org)
12345
>>514
失礼数字が1つ多かったです 123456
516:名無しさん@お腹いっぱい。
11/04/12 21:19:46.73
>>515
URLリンク(virusscan.jotti.org)
次からは以下で調べてもらったらどうだろう?
【鑑定目的禁止】検出可否報告スレ14
スレリンク(sec板)
517:名無しさん@お腹いっぱい。
11/04/16 02:18:57.37 BE:795205038-2BP(100)
>>513
RARの自己解凍書庫のアイコンを貼った、ばかでかいEXEです
しばらくいじってたのですが、内部オブジェクトの移動の前後あたりでエラーになり落ちます
起動できてないですが、アイコンを偽装したEXEにろくなもんはない…という気が。
mailtoのハンドラの有無を見に行ってますが、それはQかなんかtの挙動かもしれない
>>515
MediaGet2 なるものを落として、それでpeepvoyeur を検索しようとします
URLリンク(download2.media-get.com)
MediaGet2 はインスコ中に、Babylon 一式のインスコを薦めてきます
torrent のクライアントで、どこぞのまとめサイトからひっぱってきた人気ファイルを
簡単に落とせる?ように、それらしいUI上に出してきます
しばらくほうっておくと、SSLで利用者番号らしきものを取ってくるのですが、
やけに詳細にハードウェア情報を送ろうとするので、キモチワルイです
もしかしたら、背後でBOTクライアント動いてたりして…。解析はできてませんが。
518:名無しさん@お腹いっぱい。
11/04/17 14:09:57.72
URLリンク(www.dotup.org)
URLリンク(www.dotup.org)
12345
519:名無しさん@お腹いっぱい。
11/04/18 00:02:14.44 BE:2087411279-2BP(100)
>>506,510
BlackBox for Windows のプラグインの一部です 単体実行不可
ソースも出ているプラグインなので、自分でビルドすれば無問題
…っていう台詞がひるむくらい、ばりばり検出されてますね
参考に、メッセージフックを置く関数を2バイトだけ(FFD6→9090)潰してみました
URLリンク(www.virustotal.com)
520:名無しさん@お腹いっぱい。
11/04/18 02:09:06.65 BE:596403263-2BP(100)
>>507,511
フランス語かなにかで書かれており、実行するといってもよくわからないです
実行はしてませんが、少し覗いてみました
シャットダウンを実行するアプレットのシャットダウン部分を1バイト潰して、
びふぉーあふたーでvtに送りつけてみました
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
同じく、電源操作のアプレットの本体部分について。
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
これらに限って言えば、誤検出ってことでいいんじゃないかなという気がする。
521:名無しさん@お腹いっぱい。
11/04/18 10:20:14.04 BE:198801623-2BP(100)
>>518 の上 = >>464,465 (インストーラが一致)
522:名無しさん@お腹いっぱい。
11/04/18 11:27:03.12
URLリンク(rjlpranks.com)
脳豚が悪質サイトとして遮断したんですが怪しいファイルが
置いてあるのでしょうか?
523:名無しさん@お腹いっぱい。
11/04/18 13:29:09.37
>>522
F-secureでも警告が出たね
何だろう?
Web サイト ://rjlpranks.com/pranks/
サイトの評価: 危険
Web サイトにアクセスしないことを推奨します
Web サイトから危険な動作やアイテムが検出されました。Web サイトは危険である可能性が高いです。
524:名無しさん@お腹いっぱい。
11/04/19 12:42:33.38 BE:397602634-2BP(100)
>>518 下
ちょっとだけ実行してみました YouTubeDownloader なるものが入ってます
keepvid.com に丸投げするだけの簡単なお仕事です。のような気がする。
Enigmaでパックされてます。アンパック後は、700KB弱. ただし、CRT/MFC含む。
525:名無しさん@お腹いっぱい。
11/04/29 18:11:35.11
URLリンク(www.dotup.org)
infected
526:名無しさん@お腹いっぱい。
11/04/30 11:03:01.35 BE:1159673257-2BP(100)
>>525
Director10 のプレーヤです 全画面にひろがり、終了方法がわかりにくい。
クリックすると、座標らしきものが表示され、なんかしゃべります(w
細かい解析はしてません
砂箱でしばらくつついた感じでは、外部への通信はなかったです
HKCUにShockwave のキーが増えますが、ランタイムの仕様でしょう、たぶん。
527:名無しさん@お腹いっぱい。
11/05/02 16:35:30.56
URLリンク(www.dotup.org)
12345
528:名無しさん@お腹いっぱい。
11/05/02 17:58:52.36
URLリンク(www.dotup.org)
12345
529:名無しさん@お腹いっぱい。
11/05/02 20:41:17.81 BE:795205038-2BP(100)
>>528
>>499,501 とかとおなじ。内臓のAria2 でこれを落としてくるのですが…。
URLリンク(thepiratebay.org)
全然落ちてこない。なんなのコレw
落ちてこないなあ、やっぱBabylon 入れないといけないのかなあ。
とかって思わせるのかな。
503扱いで。
530:名無しさん@お腹いっぱい。
11/05/02 21:20:59.97 BE:1159672875-2BP(100)
>>527
AppData\Roaming に本体が移動し、以下のコントロールサーバ(推定)と通信します
内容は暗号化されてるので、見ても判りません
URLリンク(vip.glavinassociates)<)
531:名無しさん@お腹いっぱい。
11/05/03 20:38:57.02
URLリンク(www.dotup.org)
12345
532:名無しさん@お腹いっぱい。
11/05/03 20:56:00.11
404
533:名無しさん@お腹いっぱい。
11/05/04 07:20:41.12
何言ってるんだ…と思ったら、認証後の本体URLが404だったでござる
こんなこともあるのねー
534:名無しさん@お腹いっぱい。
11/05/04 09:36:57.95
URLリンク(u1.getuploader.com)
12345
535:名無しさん@お腹いっぱい。
11/05/06 12:33:54.07
ぱっと見、>>471 と似たようなやつの気がする まだ実行はしてない
536:名無しさん@お腹いっぱい。
11/05/08 17:08:36.09
URLリンク(cheetu.malremoval.hop.clickbank.net)
537:名無しさん@お腹いっぱい。
11/05/08 17:13:15.65
>>536
3217 は省かせてもらいました
ちょくりん → URLリンク(www.malwareremovebot)。com/malwareremovalbot/setupxv.exe
538:名無しさん@お腹いっぱい。
11/05/15 07:39:42.53
スレリンク(software板:957-番)
539:名無しさん@お腹いっぱい。
11/06/09 12:04:57.24
558
540:名無しさん@お腹いっぱい。
11/06/10 10:57:19.01
URLリンク(foconde.net)
迷惑メールのURL
541: 忍法帖【Lv=10,xxxPT】
11/06/10 18:02:46.24
スレリンク(software板:977番)
()
542:名無しさん@お腹いっぱい。
11/06/10 18:42:32.40
>>540
さんざんあっちこっちに飛ばされて、 URLリンク(mreux)<)。info/file.php?job=action&action=get&downfile=d480e518d8400f2
砂箱避けが効いているとみえ、当方環境ではなにも起きなさすぎる
vtによれば、fakealertかなにかだそうだ
URLリンク(www.virustotal.com)
543:名無しさん@お腹いっぱい。
11/06/10 22:29:46.40 BE:2385612689-2BP(100)
>>541,542
砂箱避けを避けると、インチキセキュリティソフトのダウンロード画面が出たので、
インチキセキュリティソフト確定でいいかと。
544:名無しさん@お腹いっぱい。
11/06/11 16:02:00.97
URLリンク(www.dotup.org)
545:名無しさん@お腹いっぱい。
11/06/11 19:43:07.36
スレリンク(software板:879番)
546:名無しさん@お腹いっぱい。
11/06/11 22:28:47.87
>>545
>>541 と同じパッカ アウトだとおもわれ
547:名無しさん@お腹いっぱい。
11/06/11 22:36:25.87
>>544
なでしこのランタイム。スクリプトが平文で書いてあるので、覗いてみては。
実行はしてません。
548:名無しさん@お腹いっぱい。
11/06/13 20:06:48.34 BE:1325340285-2BP(100)
>>545,546
結局、>>541 と同じ画面でました。
549:名無しさん@お腹いっぱい。
11/06/17 15:52:54.88 BE:2087410897-2BP(100)
関係者各位、適宜法対応されたし。
「ウイルス」作成を処罰=サイバー犯罪に対応、7月から-改正刑法が成立
URLリンク(www.jiji.com)
/.J より引用: 人に実行させる目的でウイルスの取得や保管も
2年以下の懲役または30万円以下の罰金となる。
550:名無しさん@お腹いっぱい。
11/06/27 21:54:10.04
URLリンク(songivu.in)
お願いします
551:名無しさん@お腹いっぱい。
11/06/27 21:56:53.15
>>550ですけどマイクラダウソしようとしたら・・・('A`)
実行したらIEが挙動不審しております
対策と後処理のやり方もお願いします
552:名無しさん@お腹いっぱい。
11/06/27 22:36:58.14
>>550
File name: Minecraft.1.0.17.45096.exe Submission date: 2011-06-27 13:07:27 (UTC) Result: 8/ 42 (19.0%)
URLリンク(www.virustotal.com)
553:名無しさん@お腹いっぱい。
11/06/27 22:57:39.94
>>552
つまり・・・どゆこと?
554:名無しさん@お腹いっぱい。
11/06/27 23:02:27.25
>>553
気になるなら再インスコ
気にならないなら放置
555:名無しさん@お腹いっぱい。
11/06/27 23:09:33.94
>>554
IEをですか?OSをですか?
556:名無しさん@お腹いっぱい。
11/06/27 23:17:03.94
>>555
URLリンク(www.google.co.jp)
557:名無しさん@お腹いっぱい。
11/06/27 23:33:07.97
>>555
URLリンク(about-threats.trendmicro.com)
マンドクセ━━━('A`)━━━!!
558:名無しさん@お腹いっぱい。
11/06/27 23:42:32.97 BE:530137128-2BP(100)
踏んでみました
%temp%に3個、%windir%直下に1個、system32(syswow64)に1個EXEが発生しました
thepiratebay.org, mininova.org, suprbay.org へのアクセスを阻止するhosts改ざんがありました
タスク
HKLM\software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\software\ 直下
HKLM\software\ 直下 (環境によっては Wow6432Node下)
に自動起動のエントリができました
途中で、サーバが302を返したのをうまく処理できなかったのか、感染が最後まで完了しなかったようです
参考までに。
559:名無しさん@お腹いっぱい。
11/06/27 23:55:58.77
CCleanerみたいなソフトでも出来ますか?
560:名無しさん@お腹いっぱい。
11/07/15 04:17:11.97
キャプチャソフトでこれをインストールすればいい
とネットの友人に言われて下記のようなexeファイル
URLリンク(serialwarezxx.servehttp.com)
を落としてダブルクリックしたら、その落とした
exeファイル自体が消えてしまいました
これはもしかしたらウィルスかスパイウェア?
なのかと心配になりここに来た次第です
こういったクリックしたら消えるexe
と言うのは一体何なのでしょうか?
ソフトもインストールされた気配も無いですし
561:名無しさん@お腹いっぱい。
11/07/15 08:51:35.83
ドメイン屋に飛ばされる 実質404
ま、だめぽでしょう
まじもんのkeygenが、自己消去しなきゃならん理由がないからね
そのネットの友人に頼ることですね
居るのなら。
562:名無しさん@お腹いっぱい。
11/07/15 11:42:13.56
560です
>>561さん
本体じゃ無くてkeygenって奴だったんですね
てっきりそれ入れたらソフト自体が入るのかと思っていました
症状調べると勝手に変なサイトに飛ぶようになってたしマルウェア
って奴だったみたいです
ちょっとその友人に聞いてみます
ありがとうございました
563:名無しさん@お腹いっぱい。
11/07/15 12:34:31.16
そんなあやしいものを、自ら踏むこともせずに薦める
リアル友人がいるとは思いたくなかったんだが…。
とりあえず何かがんばれ
564:名無しさん@お腹いっぱい。
11/07/15 12:46:24.90
>>563
ありがとうございます
さっきメールで聞いてみたら当の本人もよく分かって
いなかったらしく、Bandicamと言うキャプチャソフトを
無料で使える程度にしか思ってなかったそうです
ひたすら謝られました・・・けど自分でもよく
調べてなかったので自己責任です
いい勉強になりました
ここで聞き終わった後、別スレで聞いてみましたが、
マルチやら違法だから駄目?的な事を言われて拒否されました・・・
クリーンインストールしかなさそうですね
重ね重ねありがとうございました
565:名無しさん@お腹いっぱい。
11/08/08 17:30:03.62
URLリンク(checksystem.cz.cc)
よろしくお願いいたします。
566:名無しさん@お腹いっぱい。
11/08/08 18:37:01.24
All Users の中にコピーができ、URLリンク(www.avplus2011pro.com) から
本体を落とそうとしますが、当方環境ではうまく落ちてきません 保留扱い
動作の過程で、HKCUのRunとhostsがいじられる…かも
567:名無しさん@お腹いっぱい。
11/08/09 02:49:29.62
URLリンク(2chnull.info)
568:名無しさん@お腹いっぱい。
11/08/09 12:41:59.66
Vista(32bit)の、↓と比較してみてください 俺もってない。
C:\Program Files\Microsoft Games\Minesweeper\MineSweeper.exe
いっしょだとしたら、配布元さんには、
「なにか足りなくね?あとMSにライセンス料払ってくれてありがとう、ご馳走様」
って言っておいて
569:名無しさん@お腹いっぱい。
11/08/20 11:54:16.67
URLリンク(meta-search.net)
570:名無しさん@お腹いっぱい。
11/08/21 14:39:13.03 BE:397602443-2BP(100)
実行が最後まで行かなかったので、参考程度で
実行すると、torrentのクライアントと、Babylonと他何かのツールバーが
抱き合わせになった本体を落としに行きます
共通本体 URLリンク(setup.downvision.com)
データ例 URLリンク(stat.downvision.com)
idは、ダウンローダのDelphiのバイナリフォームに直接書かれています
571:名無しさん@お腹いっぱい。
11/08/25 05:11:33.61
URLリンク(skype-downloads.ru)
572:名無しさん@お腹いっぱい。
11/08/25 12:45:10.92
いまいったら403です
573:名無しさん@お腹いっぱい。
11/08/25 19:45:37.22
URLリンク(malwareremovalbot.com)
574:名無しさん@お腹いっぱい。
11/08/27 01:32:46.27
しょうもないぼったくりセキュリティソフトのようです
新しいものはさっぱり検出しなかったし、アホな誤検出もありました
x64環境にはインストールできませんでした
強制的にばらして起動した感じでは、特に動かない感じでもなかったですが。
575:名無しさん@お腹いっぱい。
11/08/27 03:11:24.85
URLリンク(www.iis.net)
576:名無しさん@お腹いっぱい。
11/08/27 09:51:18.38
どれをみるんだw 汚染されたのかな
577:名無しさん@お腹いっぱい。
11/08/27 10:22:24.50
URLリンク(img-video-xxx.com)
動画の再生をクリックするとカスペが「悪意あるURL」と反応します
なんでしょうか?誤認?
578:名無しさん@お腹いっぱい。
11/08/27 16:12:56.71
>>577
リンク先切れてるから不明
579:名無しさん@お腹いっぱい。
11/08/28 02:46:03.18
>>577
seefilmfeature.com に置いてある何かにリンクあり
seefilmfeature.com が今実質404のため、それ以上のことは不明
580:名無しさん@お腹いっぱい。
11/08/28 11:25:38.61
URLリンク(www.trackzapper.com)
ここで配布されてるソフト信用できますか?
581:名無しさん@お腹いっぱい。
11/08/28 23:20:58.60
仮に無害だとしても、品質には疑問あり
system32 にメンテナンス非対象のFlash8.ocxを放り込むようなベンダに、
まともなソフトの維持がつとまるはずがないです
582:名無しさん@お腹いっぱい。
11/09/06 09:40:11.61
URLリンク(u1.getuploader.com)
12345
583:名無しさん@お腹いっぱい。
11/09/11 02:39:02.84 BE:596404229-2BP(100)
一段だけ実行しました なんかそれらしい本体(12MBくらい)を落としてきます
*.casino-on-net.com をゲームサーバに指定しているらしいので、
そこのゲームがいけてるかどうかってことになりそうです
584:名無しさん@お腹いっぱい。
11/09/12 12:28:11.44
URLリンク(www.divxdownloads.org)
585:名無しさん@お腹いっぱい。
11/09/12 18:34:29.98 BE:331335252-2BP(100)
踏もうとすると、ZCと名にあるとおりですね
まずはvt
URLリンク(www.virustotal.com)
踏むのはのちほど
586:名無しさん@お腹いっぱい。
11/09/14 18:32:11.34
Emsisoftで完全スキャンしていた所アイコンファイルからTrojan-Downloader.Remote!IKなるモノを検出しました
ググっても全然情報がないのでVirusTotalでそのアイコンファイルをスキャンしてみたら4 /44という結果でした
アイコンファイルはセットで落としたもので念のために他のアイコンもVirusTotalでスキャンしても何も出ませんでした
よろしくお願いします
URLリンク(www1.axfc.net)
123
587:名無しさん@お腹いっぱい。
11/09/15 13:43:06.75 BE:463869072-2BP(100)
>>586
誤検出でいいと思います
ラスト6KBあたりに、既存のマイクロウイルス(exploit)によく似た部分があるようで、
そこを目視確認しましたが、プログラムらしげなものはなかったです
電子すかしでも入ってるのかな
はたらいてくる
588:名無しさん@お腹いっぱい。
11/09/15 17:23:54.29
>>587
ありがとうございます
589:名無しさん@お腹いっぱい。
11/09/15 22:47:34.82
URLリンク(www1.axfc.net)
×マークのアイコンのファイルの挙動がよく分かりません
590:名無しさん@お腹いっぱい。
11/09/18 03:41:28.87 BE:894605639-2BP(100)
>>584-585
少し日が経ったので、リンク先のファイルを再取得して踏んでみました
最終的には MD5:8e4adf256fca604f1143443acbb359c6 のxvid.exe が落ちてきましたが、
その間に、babylonSK100632.exe, questscan-setup.exe, ShprRprt.exe,
ClickPotatoLiteInstaller.exe (順不同)を順次落として実行しようとしました
いずれもアドウェア、アフィ付DLということでよさげです
conclusion: 本家から落とそうw
591:名無しさん@お腹いっぱい。
11/09/18 06:09:23.29 BE:596402892-2BP(100)
>>589
ちょっと時間があったのと、読みやすかったので、ある程度調べました
実行すると、速攻でDefenderを落としにいきます 一部ロシア語圏だと感染が免除されるようです
ブラウザが起動しておれば落とし、C:\Users\All Users に自身をコピーして、
CheckExeSignatures, SaveZoneInformation などの設定を緩め、制御をそっちに移します
壁紙をリセットするか(初回のみ)、explorer を落とし、
HDDアクセスをムダに発生させつつHDD随所にhidden設定等を行い(attrib)、
あとタスクマネージャを起動できなくするなどの自己防御設定を行います
並行て、内臓されているインチキシステムチェッカを産み落とし、起動します
デスクトップにlicense.txtというファイルを置いて再起動すれば(あるいは、%CSIDL_COMMON_APPDATA%\*.lic)、
一定範囲で異常を元に戻してくれるようですが、いろいろと不完全で、あんまりあてにはならないです
あと、感染数の統計を取っているのか、ログ鯖にhttp通信をします
URLを埋め込んでおけば、そこから次のウイルスを取ってくる実装が見られますが、未指定です
592:名無しさん@お腹いっぱい。
11/09/18 17:12:51.22
toolbarqueries-google.com
見るからにあやしいサイト よろしくお願いいたします。
593:名無しさん@お腹いっぱい。
11/09/18 21:21:16.89
空ページがかえってくるだけ
toolbarqueries.google.com ←これがホンモノ
594:名無しさん@お腹いっぱい。
11/09/19 00:11:04.23
URLリンク(www.doctor-alex.com)
595:名無しさん@お腹いっぱい。
11/09/19 10:47:38.33 BE:397602443-2BP(100)
かれこれ4年以上、このバージョンは開発が止まっています
パス/MD5で、有名なマルウェアを検出するようです
データベースを解凍すると、以下の文字列があったので…
> ... is Ported to VB5 and compiled to NATIVE CODE, uses custom control ...
…ぐぐると、www.spynomore.com に当たります
配ってるデータベース形式も似てますし、後継製品かなと
596:名無しさん@お腹いっぱい。
11/09/20 06:07:09.35
URLリンク(www.systweak.com)
597:名無しさん@お腹いっぱい。
11/09/24 18:35:34.14
URLリンク(u1.getuploader.com)
12345
598:名無しさん@お腹いっぱい。
11/09/24 22:15:44.69
>>569
最新のドライバを提案してくるユーティリティですが、
DB持ってないじゃん?と思ったら、SOAPで鯖に聞きに行ってました。
レジすると落とせるのかもしれませんが、そこまではわかりません
ところで、レジストリがなんとかいう文字列がリソースにあるのは、なんだろう。。
conclusion: 無理にこれ使わなくても…w
599:名無しさん@お腹いっぱい。
11/09/25 06:09:35.05
URLリンク(u1.getuploader.com)
12345
600:名無しさん@お腹いっぱい。
11/09/27 22:32:17.25
URLリンク(sms.kelyan.net:41443)
あやしいファイルならぬあやしい迷惑メールなんですが
詐欺でしょうか?
601:名無しさん@お腹いっぱい。
11/09/29 00:41:58.18
>>600
そもそも、SSLの証明書に、Webメールのデモ版に入ってるのを
そのまま使ってる(推定)らしいので、普通に見たのではエラーになります
URLリンク(sms.kelyan.net:41443) ...
みたいなやつをぐぐるで拾ってみると、
URLリンク(www.best.teacherdragged.com) に飛べと言われます
エロサイトx2, バイアグラサイトx1 の広告でした
602:名無しさん@お腹いっぱい。
11/09/29 00:50:24.63
△みたいなやつをぐぐるで拾ってみると、... に飛べと言われます
○みたいなやつを試しにひとつぐぐるで拾ってみると、... に飛べと言われました
603:名無しさん@お腹いっぱい。
11/10/06 00:11:03.96 BE:596402892-2BP(100)
>>599
インチキセキュリティソフトです
起動するプロセスを監視して、なんでもかんでも有害扱いにして、次々落とされます
購入状態になると、なにも検出しなくなるようです(きれいになった!…ってちがーう!)
購入状態になると、アップデートができるようになった…って、google.com に見に行くだけで、
実際は何もしないみたいです
OEP 10544CC.
604:名無しさん@お腹いっぱい。
11/10/06 00:28:03.98 BE:2120544588-2BP(100)
>>597
砂箱内で1面だけ試用しましたが、普通に動作しているように見えます
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
一応こちらと一致しました
URLリンク(download.zxgames.com)
>>599
おまけ: 購入画面こちら URLリンク(secandpay.net)
605:名無しさん@お腹いっぱい。
11/10/07 04:58:34.42
URLリンク(u1.getuploader.com)
qwert
606:名無しさん@お腹いっぱい。
11/10/07 12:21:11.75
URLリンク(kujira.digi2.jp)
あやしいサイトです よろしく
607:名無しさん@お腹いっぱい。
11/10/07 13:05:13.72 BE:463869072-2BP(100)
>>606
もしかして: 升ですか?
WPE Pro は、なんでしたら、本家のをお使いください URLリンク(wpepro.net)
スクリプトについては、試しようがないですので、わかりかねます
.oO(ピグって、あんまりサーバサイドチェックしてないのかもしらんね)
608:606
11/10/07 19:23:25.61
>>607
違いますニートです。回答ありがとう
609:名無しさん@お腹いっぱい。
11/10/07 19:30:58.67
URLリンク(u1.getuploader.com)
12345
610:名無しさん@お腹いっぱい。
11/10/08 20:26:16.92 BE:331335825-2BP(100)
>>605
次のファイルに一致しました
URLリンク(dl.babylon.com)
セットアップされたファイル(除くツールバー)をかためて、一応vtに投げてみます
URLリンク(www.virustotal.com)
ちなみに、ツールバーにあるゲームボタンは、
URLリンク(www.babylon.com)
に飛ばされました
611:名無しさん@お腹いっぱい。
11/10/08 23:18:39.75 BE:1789209869-2BP(100)
>>609
一見インチキに見えますが、funwebproducts のツールバーを入れると、
Mindspark社の契約した組み込みアカウントで、
URLリンク(www.gametap.com) のゲームができます。ということのようです
一応起動しました
ごちゃごちゃとツールバー側のファイルが入るため、安全のほどは不明です
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
612:名無しさん@お腹いっぱい。
11/11/12 12:23:18.42
URLリンク(soft.foxtab.com)
あやしいソフト
613:名無しさん@お腹いっぱい。
11/11/12 22:08:43.54 BE:265068724-2BP(100)
一応、簡単なFLVプレーヤが入りましたが、
BabylonToolbar, dealply のアフィ稼ぎのようです
PEヘッダのチェックサムを毎度変更してきます
発行IDかなんかですかね
614:名無しさん@お腹いっぱい。
11/11/17 05:01:16.29
URLリンク(u1.getuploader.com)
12345
615:名無しさん@お腹いっぱい。
11/11/17 15:34:20.79
VGもQtベースになったんですねえ
…無用にでかいぞ
あとで走らせてみます
616:名無しさん@お腹いっぱい。
11/11/25 21:43:06.83
お疲れ様です
手動復帰ノ