11/03/23 18:07:31.58
URLリンク(uploda.in)
12345
ジョークプログラムらしいです
485:名無しさん@お腹いっぱい。
11/03/23 22:40:44.56 BE:1491008459-2BP(100)
>>484
ドライブCをフォーマットしますかと出ます。
Noと答えても、フォーマットが進行するダイアログがでます
中止ボタンがありますが、クリックしようとすると逃げます
おわると、Aboutダイアログがでて(ドッキリオチ)終わります
ただし、フランス語です
砂箱で動作確認。内部は確認してません
添付のドキュメントは覗いてません(URLとか含んでますが)。
486:名無しさん@お腹いっぱい。
11/03/24 10:53:54.10
URLリンク(www.speedyshare.com)
487:名無しさん@お腹いっぱい。
11/03/24 18:21:23.36
当方環境では、事情によりうまく試せません ;-P
URLリンク(www.foofus.net)
MD5は合ってるようですが。。
488:名無しさん@お腹いっぱい。
11/03/24 19:35:26.68
URLリンク(uploda.in)
12345
489:名無しさん@お腹いっぱい。
11/03/24 20:27:25.81
URLリンク(uploda.in)
12345
ハックツールらしいです
490:名無しさん@お腹いっぱい。
11/03/25 15:33:16.70
URLリンク(uploda.in)
12345
491:名無しさん@お腹いっぱい。
11/03/25 19:33:30.86
itravelishop.com/page.php?id=super-bowl-sunday-2011-date-and-time
怪しげなものをインストールしようとする怪しいサイト
492:名無しさん@お腹いっぱい。
11/03/26 12:39:59.98
>>488
短報、インスコがなぜか途中でとまってしまうため、試用できておらず。
SHA1は一致しました
URLリンク(www.metasploit.com)
>>489
特定UDPポートに、特定データを送り続けることができるようです
汎用ツール。実行したとたんに不幸が起こることはなさげです
493:名無しさん@お腹いっぱい。
11/03/26 15:54:33.00 BE:596403836-2BP(100)
>>490
本体は以下の通りでした
URLリンク(vz.iminent.com)
URLリンク(vz.iminent.com)
URLリンク(vz.iminent.com)
URLリンク(vz.iminent.com)
コンフィグ
URLリンク(toolbar.iminent.com) URLリンク(apix.iminent.com)
IMBooster は、WLのフックのため、アプリケーションディレクトリのmsacm32.dllを置き換えるかもしれません
SearchTheWeb に入っているIminent.BHO.NavigationError.dll は、
ナビゲーションエラー時の画面を置き換える効果があるようですが、
置き換えに失敗すると、新しいウインドウを作ってまた失敗して…になるので、
結局、エラーウインドウが沸きまくりのゆるいブラクラになります
494:名無しさん@お腹いっぱい。
11/03/26 17:14:12.18
>>491
いかにもあやしげな鯖 rutraffic.biz に飛ばされますが、つながりません
503扱い
495:名無しさん@お腹いっぱい。
11/03/28 01:27:47.84
xpnetdiag
496:名無しさん@お腹いっぱい。
11/03/29 10:17:16.47
URLリンク(uploda.in)
12345
497:名無しさん@お腹いっぱい。
11/03/30 12:15:41.74
>>491
繋がったり繋がらなかったりするようで
繋がったらexploit攻撃うけました
498:名無しさん@お腹いっぱい。
11/04/02 07:21:32.04 BE:298202033-2BP(100)
>>496
MDIからPDFに落とし込めるらしいです
当方環境では、起動したとたんに不幸が発動する様子はなかったです
読み込みに必要なファイルは一応入っているようです
MSの純正エンジンで、TIFFは吐けるらしいので、それ使ったらよくね?というか。
URLリンク(msdn.microsoft.com)
動作確認はしてません MDIファイルってのがないので
499:12345
11/04/06 01:52:48.67
URLリンク(uploda.in)
12345
500:12345
11/04/06 17:52:34.71
URLリンク(uploda.in)
12345
501:名無しさん@お腹いっぱい。
11/04/07 00:25:26.24 BE:2385612498-2BP(100)
>>499
Babylon のツールバー他一式を入れないか、と言ってきます(アフィリエイト)
本体は、bittorrent で落としてきます このために、aria2c を同梱しています(プロセス単位)
URLリンク(www.mininova.org)
本体は45KB(展開後)で、vtによると、vt初出は2009/09だそうです
一応、ファイル名・ディレクトリ名決め打ちで簡単に指定フォルダを掃除してくれるみたいです
URLリンク(www.virustotal.com)
>>500
MS Removal Tool なるものが起動しました 真っ青地の壁紙に置き換えようとします
当方環境では、c:\programdata, HKCU\...\RunOnce に入りました
502:名無しさん@お腹いっぱい。
11/04/08 21:23:29.59
URLリンク(zipdkr.net)
12345
怪しいダウンロードサイトからの落し物
503:名無しさん@お腹いっぱい。
11/04/09 00:01:57.92
ぜんぜんおとせないお
504:名無しさん@お腹いっぱい。
11/04/09 20:52:56.00
真ん中までスクロールした?
505:名無しさん@お腹いっぱい。
11/04/10 08:55:06.96 BE:2683814099-2BP(100)
てゆーか403が返ってきてた
なんか嫌われてたらしい
で、外殻は、>>499,501 と同じ
本体は、これだそうな .torrent は、torrents.thepiratebay.org から持ってきます
> Tokyo.Collection.Special.3.[English].XXX.DVDRiP.XviD-WwW.TorrentesX.CoM.avi 700MB
本体は落としてないです
珍しいもの(EXEとかそっち系)が入ってたらもってきてちょ
506:名無しさん@お腹いっぱい。
11/04/11 03:20:55.63
URLリンク(www.speedyshare.com)
12345
507:名無しさん@お腹いっぱい。
11/04/11 03:32:44.53
URLリンク(www.speedyshare.com)
12345
508:507
11/04/11 03:52:22.72
半分眠ってたのでそのままアップしてしまった
危険だからスルーして!!!!!!!!!!
脳豚は危険判定だそうです
509:名無しさん@お腹いっぱい。
11/04/11 12:25:43.80
>>506-507
共に何故かダウソできないよ><
次からは流れの早い以下のうpろだで頼む
URLリンク(www.dotup.org)
510:名無しさん@お腹いっぱい。
11/04/11 13:03:38.55
URLリンク(www.dotup.org)
506と同じです
511:名無しさん@お腹いっぱい。
11/04/11 13:15:31.79
URLリンク(www.dotup.org)
507と同じです
512:名無しさん@お腹いっぱい。
11/04/11 13:23:29.03
>>510
URLリンク(virusscan.jotti.org)
>>511
URLリンク(virusscan.jotti.org)
次からはブツ自体にもpass掛けてね
513:名無しさん@お腹いっぱい。
11/04/12 05:42:48.15
URLリンク(www.dotup.org)
12345
514:名無しさん@お腹いっぱい。
11/04/12 10:21:53.43
pass?
515:名無しさん@お腹いっぱい。
11/04/12 21:03:15.40
URLリンク(www.dotup.org)
12345
>>514
失礼数字が1つ多かったです 123456
516:名無しさん@お腹いっぱい。
11/04/12 21:19:46.73
>>515
URLリンク(virusscan.jotti.org)
次からは以下で調べてもらったらどうだろう?
【鑑定目的禁止】検出可否報告スレ14
スレリンク(sec板)
517:名無しさん@お腹いっぱい。
11/04/16 02:18:57.37 BE:795205038-2BP(100)
>>513
RARの自己解凍書庫のアイコンを貼った、ばかでかいEXEです
しばらくいじってたのですが、内部オブジェクトの移動の前後あたりでエラーになり落ちます
起動できてないですが、アイコンを偽装したEXEにろくなもんはない…という気が。
mailtoのハンドラの有無を見に行ってますが、それはQかなんかtの挙動かもしれない
>>515
MediaGet2 なるものを落として、それでpeepvoyeur を検索しようとします
URLリンク(download2.media-get.com)
MediaGet2 はインスコ中に、Babylon 一式のインスコを薦めてきます
torrent のクライアントで、どこぞのまとめサイトからひっぱってきた人気ファイルを
簡単に落とせる?ように、それらしいUI上に出してきます
しばらくほうっておくと、SSLで利用者番号らしきものを取ってくるのですが、
やけに詳細にハードウェア情報を送ろうとするので、キモチワルイです
もしかしたら、背後でBOTクライアント動いてたりして…。解析はできてませんが。
518:名無しさん@お腹いっぱい。
11/04/17 14:09:57.72
URLリンク(www.dotup.org)
URLリンク(www.dotup.org)
12345
519:名無しさん@お腹いっぱい。
11/04/18 00:02:14.44 BE:2087411279-2BP(100)
>>506,510
BlackBox for Windows のプラグインの一部です 単体実行不可
ソースも出ているプラグインなので、自分でビルドすれば無問題
…っていう台詞がひるむくらい、ばりばり検出されてますね
参考に、メッセージフックを置く関数を2バイトだけ(FFD6→9090)潰してみました
URLリンク(www.virustotal.com)
520:名無しさん@お腹いっぱい。
11/04/18 02:09:06.65 BE:596403263-2BP(100)
>>507,511
フランス語かなにかで書かれており、実行するといってもよくわからないです
実行はしてませんが、少し覗いてみました
シャットダウンを実行するアプレットのシャットダウン部分を1バイト潰して、
びふぉーあふたーでvtに送りつけてみました
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
同じく、電源操作のアプレットの本体部分について。
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
これらに限って言えば、誤検出ってことでいいんじゃないかなという気がする。
521:名無しさん@お腹いっぱい。
11/04/18 10:20:14.04 BE:198801623-2BP(100)
>>518 の上 = >>464,465 (インストーラが一致)
522:名無しさん@お腹いっぱい。
11/04/18 11:27:03.12
URLリンク(rjlpranks.com)
脳豚が悪質サイトとして遮断したんですが怪しいファイルが
置いてあるのでしょうか?
523:名無しさん@お腹いっぱい。
11/04/18 13:29:09.37
>>522
F-secureでも警告が出たね
何だろう?
Web サイト ://rjlpranks.com/pranks/
サイトの評価: 危険
Web サイトにアクセスしないことを推奨します
Web サイトから危険な動作やアイテムが検出されました。Web サイトは危険である可能性が高いです。
524:名無しさん@お腹いっぱい。
11/04/19 12:42:33.38 BE:397602634-2BP(100)
>>518 下
ちょっとだけ実行してみました YouTubeDownloader なるものが入ってます
keepvid.com に丸投げするだけの簡単なお仕事です。のような気がする。
Enigmaでパックされてます。アンパック後は、700KB弱. ただし、CRT/MFC含む。
525:名無しさん@お腹いっぱい。
11/04/29 18:11:35.11
URLリンク(www.dotup.org)
infected
526:名無しさん@お腹いっぱい。
11/04/30 11:03:01.35 BE:1159673257-2BP(100)
>>525
Director10 のプレーヤです 全画面にひろがり、終了方法がわかりにくい。
クリックすると、座標らしきものが表示され、なんかしゃべります(w
細かい解析はしてません
砂箱でしばらくつついた感じでは、外部への通信はなかったです
HKCUにShockwave のキーが増えますが、ランタイムの仕様でしょう、たぶん。
527:名無しさん@お腹いっぱい。
11/05/02 16:35:30.56
URLリンク(www.dotup.org)
12345
528:名無しさん@お腹いっぱい。
11/05/02 17:58:52.36
URLリンク(www.dotup.org)
12345
529:名無しさん@お腹いっぱい。
11/05/02 20:41:17.81 BE:795205038-2BP(100)
>>528
>>499,501 とかとおなじ。内臓のAria2 でこれを落としてくるのですが…。
URLリンク(thepiratebay.org)
全然落ちてこない。なんなのコレw
落ちてこないなあ、やっぱBabylon 入れないといけないのかなあ。
とかって思わせるのかな。
503扱いで。
530:名無しさん@お腹いっぱい。
11/05/02 21:20:59.97 BE:1159672875-2BP(100)
>>527
AppData\Roaming に本体が移動し、以下のコントロールサーバ(推定)と通信します
内容は暗号化されてるので、見ても判りません
URLリンク(vip.glavinassociates)<)
531:名無しさん@お腹いっぱい。
11/05/03 20:38:57.02
URLリンク(www.dotup.org)
12345
532:名無しさん@お腹いっぱい。
11/05/03 20:56:00.11
404
533:名無しさん@お腹いっぱい。
11/05/04 07:20:41.12
何言ってるんだ…と思ったら、認証後の本体URLが404だったでござる
こんなこともあるのねー
534:名無しさん@お腹いっぱい。
11/05/04 09:36:57.95
URLリンク(u1.getuploader.com)
12345
535:名無しさん@お腹いっぱい。
11/05/06 12:33:54.07
ぱっと見、>>471 と似たようなやつの気がする まだ実行はしてない
536:名無しさん@お腹いっぱい。
11/05/08 17:08:36.09
URLリンク(cheetu.malremoval.hop.clickbank.net)
537:名無しさん@お腹いっぱい。
11/05/08 17:13:15.65
>>536
3217 は省かせてもらいました
ちょくりん → URLリンク(www.malwareremovebot)。com/malwareremovalbot/setupxv.exe
538:名無しさん@お腹いっぱい。
11/05/15 07:39:42.53
スレリンク(software板:957-番)
539:名無しさん@お腹いっぱい。
11/06/09 12:04:57.24
558
540:名無しさん@お腹いっぱい。
11/06/10 10:57:19.01
URLリンク(foconde.net)
迷惑メールのURL
541: 忍法帖【Lv=10,xxxPT】
11/06/10 18:02:46.24
スレリンク(software板:977番)
()
542:名無しさん@お腹いっぱい。
11/06/10 18:42:32.40
>>540
さんざんあっちこっちに飛ばされて、 URLリンク(mreux)<)。info/file.php?job=action&action=get&downfile=d480e518d8400f2
砂箱避けが効いているとみえ、当方環境ではなにも起きなさすぎる
vtによれば、fakealertかなにかだそうだ
URLリンク(www.virustotal.com)
543:名無しさん@お腹いっぱい。
11/06/10 22:29:46.40 BE:2385612689-2BP(100)
>>541,542
砂箱避けを避けると、インチキセキュリティソフトのダウンロード画面が出たので、
インチキセキュリティソフト確定でいいかと。
544:名無しさん@お腹いっぱい。
11/06/11 16:02:00.97
URLリンク(www.dotup.org)
545:名無しさん@お腹いっぱい。
11/06/11 19:43:07.36
スレリンク(software板:879番)
546:名無しさん@お腹いっぱい。
11/06/11 22:28:47.87
>>545
>>541 と同じパッカ アウトだとおもわれ
547:名無しさん@お腹いっぱい。
11/06/11 22:36:25.87
>>544
なでしこのランタイム。スクリプトが平文で書いてあるので、覗いてみては。
実行はしてません。
548:名無しさん@お腹いっぱい。
11/06/13 20:06:48.34 BE:1325340285-2BP(100)
>>545,546
結局、>>541 と同じ画面でました。
549:名無しさん@お腹いっぱい。
11/06/17 15:52:54.88 BE:2087410897-2BP(100)
関係者各位、適宜法対応されたし。
「ウイルス」作成を処罰=サイバー犯罪に対応、7月から-改正刑法が成立
URLリンク(www.jiji.com)
/.J より引用: 人に実行させる目的でウイルスの取得や保管も
2年以下の懲役または30万円以下の罰金となる。
550:名無しさん@お腹いっぱい。
11/06/27 21:54:10.04
URLリンク(songivu.in)
お願いします
551:名無しさん@お腹いっぱい。
11/06/27 21:56:53.15
>>550ですけどマイクラダウソしようとしたら・・・('A`)
実行したらIEが挙動不審しております
対策と後処理のやり方もお願いします
552:名無しさん@お腹いっぱい。
11/06/27 22:36:58.14
>>550
File name: Minecraft.1.0.17.45096.exe Submission date: 2011-06-27 13:07:27 (UTC) Result: 8/ 42 (19.0%)
URLリンク(www.virustotal.com)
553:名無しさん@お腹いっぱい。
11/06/27 22:57:39.94
>>552
つまり・・・どゆこと?
554:名無しさん@お腹いっぱい。
11/06/27 23:02:27.25
>>553
気になるなら再インスコ
気にならないなら放置
555:名無しさん@お腹いっぱい。
11/06/27 23:09:33.94
>>554
IEをですか?OSをですか?
556:名無しさん@お腹いっぱい。
11/06/27 23:17:03.94
>>555
URLリンク(www.google.co.jp)
557:名無しさん@お腹いっぱい。
11/06/27 23:33:07.97
>>555
URLリンク(about-threats.trendmicro.com)
マンドクセ━━━('A`)━━━!!
558:名無しさん@お腹いっぱい。
11/06/27 23:42:32.97 BE:530137128-2BP(100)
踏んでみました
%temp%に3個、%windir%直下に1個、system32(syswow64)に1個EXEが発生しました
thepiratebay.org, mininova.org, suprbay.org へのアクセスを阻止するhosts改ざんがありました
タスク
HKLM\software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\software\ 直下
HKLM\software\ 直下 (環境によっては Wow6432Node下)
に自動起動のエントリができました
途中で、サーバが302を返したのをうまく処理できなかったのか、感染が最後まで完了しなかったようです
参考までに。
559:名無しさん@お腹いっぱい。
11/06/27 23:55:58.77
CCleanerみたいなソフトでも出来ますか?
560:名無しさん@お腹いっぱい。
11/07/15 04:17:11.97
キャプチャソフトでこれをインストールすればいい
とネットの友人に言われて下記のようなexeファイル
URLリンク(serialwarezxx.servehttp.com)
を落としてダブルクリックしたら、その落とした
exeファイル自体が消えてしまいました
これはもしかしたらウィルスかスパイウェア?
なのかと心配になりここに来た次第です
こういったクリックしたら消えるexe
と言うのは一体何なのでしょうか?
ソフトもインストールされた気配も無いですし
561:名無しさん@お腹いっぱい。
11/07/15 08:51:35.83
ドメイン屋に飛ばされる 実質404
ま、だめぽでしょう
まじもんのkeygenが、自己消去しなきゃならん理由がないからね
そのネットの友人に頼ることですね
居るのなら。
562:名無しさん@お腹いっぱい。
11/07/15 11:42:13.56
560です
>>561さん
本体じゃ無くてkeygenって奴だったんですね
てっきりそれ入れたらソフト自体が入るのかと思っていました
症状調べると勝手に変なサイトに飛ぶようになってたしマルウェア
って奴だったみたいです
ちょっとその友人に聞いてみます
ありがとうございました
563:名無しさん@お腹いっぱい。
11/07/15 12:34:31.16
そんなあやしいものを、自ら踏むこともせずに薦める
リアル友人がいるとは思いたくなかったんだが…。
とりあえず何かがんばれ
564:名無しさん@お腹いっぱい。
11/07/15 12:46:24.90
>>563
ありがとうございます
さっきメールで聞いてみたら当の本人もよく分かって
いなかったらしく、Bandicamと言うキャプチャソフトを
無料で使える程度にしか思ってなかったそうです
ひたすら謝られました・・・けど自分でもよく
調べてなかったので自己責任です
いい勉強になりました
ここで聞き終わった後、別スレで聞いてみましたが、
マルチやら違法だから駄目?的な事を言われて拒否されました・・・
クリーンインストールしかなさそうですね
重ね重ねありがとうございました
565:名無しさん@お腹いっぱい。
11/08/08 17:30:03.62
URLリンク(checksystem.cz.cc)
よろしくお願いいたします。
566:名無しさん@お腹いっぱい。
11/08/08 18:37:01.24
All Users の中にコピーができ、URLリンク(www.avplus2011pro.com) から
本体を落とそうとしますが、当方環境ではうまく落ちてきません 保留扱い
動作の過程で、HKCUのRunとhostsがいじられる…かも
567:名無しさん@お腹いっぱい。
11/08/09 02:49:29.62
URLリンク(2chnull.info)
568:名無しさん@お腹いっぱい。
11/08/09 12:41:59.66
Vista(32bit)の、↓と比較してみてください 俺もってない。
C:\Program Files\Microsoft Games\Minesweeper\MineSweeper.exe
いっしょだとしたら、配布元さんには、
「なにか足りなくね?あとMSにライセンス料払ってくれてありがとう、ご馳走様」
って言っておいて
569:名無しさん@お腹いっぱい。
11/08/20 11:54:16.67
URLリンク(meta-search.net)
570:名無しさん@お腹いっぱい。
11/08/21 14:39:13.03 BE:397602443-2BP(100)
実行が最後まで行かなかったので、参考程度で
実行すると、torrentのクライアントと、Babylonと他何かのツールバーが
抱き合わせになった本体を落としに行きます
共通本体 URLリンク(setup.downvision.com)
データ例 URLリンク(stat.downvision.com)
idは、ダウンローダのDelphiのバイナリフォームに直接書かれています
571:名無しさん@お腹いっぱい。
11/08/25 05:11:33.61
URLリンク(skype-downloads.ru)
572:名無しさん@お腹いっぱい。
11/08/25 12:45:10.92
いまいったら403です
573:名無しさん@お腹いっぱい。
11/08/25 19:45:37.22
URLリンク(malwareremovalbot.com)
574:名無しさん@お腹いっぱい。
11/08/27 01:32:46.27
しょうもないぼったくりセキュリティソフトのようです
新しいものはさっぱり検出しなかったし、アホな誤検出もありました
x64環境にはインストールできませんでした
強制的にばらして起動した感じでは、特に動かない感じでもなかったですが。
575:名無しさん@お腹いっぱい。
11/08/27 03:11:24.85
URLリンク(www.iis.net)
576:名無しさん@お腹いっぱい。
11/08/27 09:51:18.38
どれをみるんだw 汚染されたのかな
577:名無しさん@お腹いっぱい。
11/08/27 10:22:24.50
URLリンク(img-video-xxx.com)
動画の再生をクリックするとカスペが「悪意あるURL」と反応します
なんでしょうか?誤認?
578:名無しさん@お腹いっぱい。
11/08/27 16:12:56.71
>>577
リンク先切れてるから不明
579:名無しさん@お腹いっぱい。
11/08/28 02:46:03.18
>>577
seefilmfeature.com に置いてある何かにリンクあり
seefilmfeature.com が今実質404のため、それ以上のことは不明
580:名無しさん@お腹いっぱい。
11/08/28 11:25:38.61
URLリンク(www.trackzapper.com)
ここで配布されてるソフト信用できますか?
581:名無しさん@お腹いっぱい。
11/08/28 23:20:58.60
仮に無害だとしても、品質には疑問あり
system32 にメンテナンス非対象のFlash8.ocxを放り込むようなベンダに、
まともなソフトの維持がつとまるはずがないです
582:名無しさん@お腹いっぱい。
11/09/06 09:40:11.61
URLリンク(u1.getuploader.com)
12345
583:名無しさん@お腹いっぱい。
11/09/11 02:39:02.84 BE:596404229-2BP(100)
一段だけ実行しました なんかそれらしい本体(12MBくらい)を落としてきます
*.casino-on-net.com をゲームサーバに指定しているらしいので、
そこのゲームがいけてるかどうかってことになりそうです
584:名無しさん@お腹いっぱい。
11/09/12 12:28:11.44
URLリンク(www.divxdownloads.org)
585:名無しさん@お腹いっぱい。
11/09/12 18:34:29.98 BE:331335252-2BP(100)
踏もうとすると、ZCと名にあるとおりですね
まずはvt
URLリンク(www.virustotal.com)
踏むのはのちほど
586:名無しさん@お腹いっぱい。
11/09/14 18:32:11.34
Emsisoftで完全スキャンしていた所アイコンファイルからTrojan-Downloader.Remote!IKなるモノを検出しました
ググっても全然情報がないのでVirusTotalでそのアイコンファイルをスキャンしてみたら4 /44という結果でした
アイコンファイルはセットで落としたもので念のために他のアイコンもVirusTotalでスキャンしても何も出ませんでした
よろしくお願いします
URLリンク(www1.axfc.net)
123
587:名無しさん@お腹いっぱい。
11/09/15 13:43:06.75 BE:463869072-2BP(100)
>>586
誤検出でいいと思います
ラスト6KBあたりに、既存のマイクロウイルス(exploit)によく似た部分があるようで、
そこを目視確認しましたが、プログラムらしげなものはなかったです
電子すかしでも入ってるのかな
はたらいてくる
588:名無しさん@お腹いっぱい。
11/09/15 17:23:54.29
>>587
ありがとうございます
589:名無しさん@お腹いっぱい。
11/09/15 22:47:34.82
URLリンク(www1.axfc.net)
×マークのアイコンのファイルの挙動がよく分かりません
590:名無しさん@お腹いっぱい。
11/09/18 03:41:28.87 BE:894605639-2BP(100)
>>584-585
少し日が経ったので、リンク先のファイルを再取得して踏んでみました
最終的には MD5:8e4adf256fca604f1143443acbb359c6 のxvid.exe が落ちてきましたが、
その間に、babylonSK100632.exe, questscan-setup.exe, ShprRprt.exe,
ClickPotatoLiteInstaller.exe (順不同)を順次落として実行しようとしました
いずれもアドウェア、アフィ付DLということでよさげです
conclusion: 本家から落とそうw
591:名無しさん@お腹いっぱい。
11/09/18 06:09:23.29 BE:596402892-2BP(100)
>>589
ちょっと時間があったのと、読みやすかったので、ある程度調べました
実行すると、速攻でDefenderを落としにいきます 一部ロシア語圏だと感染が免除されるようです
ブラウザが起動しておれば落とし、C:\Users\All Users に自身をコピーして、
CheckExeSignatures, SaveZoneInformation などの設定を緩め、制御をそっちに移します
壁紙をリセットするか(初回のみ)、explorer を落とし、
HDDアクセスをムダに発生させつつHDD随所にhidden設定等を行い(attrib)、
あとタスクマネージャを起動できなくするなどの自己防御設定を行います
並行て、内臓されているインチキシステムチェッカを産み落とし、起動します
デスクトップにlicense.txtというファイルを置いて再起動すれば(あるいは、%CSIDL_COMMON_APPDATA%\*.lic)、
一定範囲で異常を元に戻してくれるようですが、いろいろと不完全で、あんまりあてにはならないです
あと、感染数の統計を取っているのか、ログ鯖にhttp通信をします
URLを埋め込んでおけば、そこから次のウイルスを取ってくる実装が見られますが、未指定です
592:名無しさん@お腹いっぱい。
11/09/18 17:12:51.22
toolbarqueries-google.com
見るからにあやしいサイト よろしくお願いいたします。
593:名無しさん@お腹いっぱい。
11/09/18 21:21:16.89
空ページがかえってくるだけ
toolbarqueries.google.com ←これがホンモノ
594:名無しさん@お腹いっぱい。
11/09/19 00:11:04.23
URLリンク(www.doctor-alex.com)
595:名無しさん@お腹いっぱい。
11/09/19 10:47:38.33 BE:397602443-2BP(100)
かれこれ4年以上、このバージョンは開発が止まっています
パス/MD5で、有名なマルウェアを検出するようです
データベースを解凍すると、以下の文字列があったので…
> ... is Ported to VB5 and compiled to NATIVE CODE, uses custom control ...
…ぐぐると、www.spynomore.com に当たります
配ってるデータベース形式も似てますし、後継製品かなと
596:名無しさん@お腹いっぱい。
11/09/20 06:07:09.35
URLリンク(www.systweak.com)
597:名無しさん@お腹いっぱい。
11/09/24 18:35:34.14
URLリンク(u1.getuploader.com)
12345
598:名無しさん@お腹いっぱい。
11/09/24 22:15:44.69
>>569
最新のドライバを提案してくるユーティリティですが、
DB持ってないじゃん?と思ったら、SOAPで鯖に聞きに行ってました。
レジすると落とせるのかもしれませんが、そこまではわかりません
ところで、レジストリがなんとかいう文字列がリソースにあるのは、なんだろう。。
conclusion: 無理にこれ使わなくても…w
599:名無しさん@お腹いっぱい。
11/09/25 06:09:35.05
URLリンク(u1.getuploader.com)
12345
600:名無しさん@お腹いっぱい。
11/09/27 22:32:17.25
URLリンク(sms.kelyan.net:41443)
あやしいファイルならぬあやしい迷惑メールなんですが
詐欺でしょうか?
601:名無しさん@お腹いっぱい。
11/09/29 00:41:58.18
>>600
そもそも、SSLの証明書に、Webメールのデモ版に入ってるのを
そのまま使ってる(推定)らしいので、普通に見たのではエラーになります
URLリンク(sms.kelyan.net:41443) ...
みたいなやつをぐぐるで拾ってみると、
URLリンク(www.best.teacherdragged.com) に飛べと言われます
エロサイトx2, バイアグラサイトx1 の広告でした
602:名無しさん@お腹いっぱい。
11/09/29 00:50:24.63
△みたいなやつをぐぐるで拾ってみると、... に飛べと言われます
○みたいなやつを試しにひとつぐぐるで拾ってみると、... に飛べと言われました
603:名無しさん@お腹いっぱい。
11/10/06 00:11:03.96 BE:596402892-2BP(100)
>>599
インチキセキュリティソフトです
起動するプロセスを監視して、なんでもかんでも有害扱いにして、次々落とされます
購入状態になると、なにも検出しなくなるようです(きれいになった!…ってちがーう!)
購入状態になると、アップデートができるようになった…って、google.com に見に行くだけで、
実際は何もしないみたいです
OEP 10544CC.
604:名無しさん@お腹いっぱい。
11/10/06 00:28:03.98 BE:2120544588-2BP(100)
>>597
砂箱内で1面だけ試用しましたが、普通に動作しているように見えます
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
一応こちらと一致しました
URLリンク(download.zxgames.com)
>>599
おまけ: 購入画面こちら URLリンク(secandpay.net)
605:名無しさん@お腹いっぱい。
11/10/07 04:58:34.42
URLリンク(u1.getuploader.com)
qwert
606:名無しさん@お腹いっぱい。
11/10/07 12:21:11.75
URLリンク(kujira.digi2.jp)
あやしいサイトです よろしく
607:名無しさん@お腹いっぱい。
11/10/07 13:05:13.72 BE:463869072-2BP(100)
>>606
もしかして: 升ですか?
WPE Pro は、なんでしたら、本家のをお使いください URLリンク(wpepro.net)
スクリプトについては、試しようがないですので、わかりかねます
.oO(ピグって、あんまりサーバサイドチェックしてないのかもしらんね)
608:606
11/10/07 19:23:25.61
>>607
違いますニートです。回答ありがとう
609:名無しさん@お腹いっぱい。
11/10/07 19:30:58.67
URLリンク(u1.getuploader.com)
12345
610:名無しさん@お腹いっぱい。
11/10/08 20:26:16.92 BE:331335825-2BP(100)
>>605
次のファイルに一致しました
URLリンク(dl.babylon.com)
セットアップされたファイル(除くツールバー)をかためて、一応vtに投げてみます
URLリンク(www.virustotal.com)
ちなみに、ツールバーにあるゲームボタンは、
URLリンク(www.babylon.com)
に飛ばされました
611:名無しさん@お腹いっぱい。
11/10/08 23:18:39.75 BE:1789209869-2BP(100)
>>609
一見インチキに見えますが、funwebproducts のツールバーを入れると、
Mindspark社の契約した組み込みアカウントで、
URLリンク(www.gametap.com) のゲームができます。ということのようです
一応起動しました
ごちゃごちゃとツールバー側のファイルが入るため、安全のほどは不明です
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
612:名無しさん@お腹いっぱい。
11/11/12 12:23:18.42
URLリンク(soft.foxtab.com)
あやしいソフト
613:名無しさん@お腹いっぱい。
11/11/12 22:08:43.54 BE:265068724-2BP(100)
一応、簡単なFLVプレーヤが入りましたが、
BabylonToolbar, dealply のアフィ稼ぎのようです
PEヘッダのチェックサムを毎度変更してきます
発行IDかなんかですかね
614:名無しさん@お腹いっぱい。
11/11/17 05:01:16.29
URLリンク(u1.getuploader.com)
12345
615:名無しさん@お腹いっぱい。
11/11/17 15:34:20.79
VGもQtベースになったんですねえ
…無用にでかいぞ
あとで走らせてみます
616:名無しさん@お腹いっぱい。
11/11/25 21:43:06.83
お疲れ様です
手動復帰ノ