11/06/27 21:54:10.04
URLリンク(songivu.in)
お願いします
551:名無しさん@お腹いっぱい。
11/06/27 21:56:53.15
>>550ですけどマイクラダウソしようとしたら・・・('A`)
実行したらIEが挙動不審しております
対策と後処理のやり方もお願いします
552:名無しさん@お腹いっぱい。
11/06/27 22:36:58.14
>>550
File name: Minecraft.1.0.17.45096.exe Submission date: 2011-06-27 13:07:27 (UTC) Result: 8/ 42 (19.0%)
URLリンク(www.virustotal.com)
553:名無しさん@お腹いっぱい。
11/06/27 22:57:39.94
>>552
つまり・・・どゆこと?
554:名無しさん@お腹いっぱい。
11/06/27 23:02:27.25
>>553
気になるなら再インスコ
気にならないなら放置
555:名無しさん@お腹いっぱい。
11/06/27 23:09:33.94
>>554
IEをですか?OSをですか?
556:名無しさん@お腹いっぱい。
11/06/27 23:17:03.94
>>555
URLリンク(www.google.co.jp)
557:名無しさん@お腹いっぱい。
11/06/27 23:33:07.97
>>555
URLリンク(about-threats.trendmicro.com)
マンドクセ━━━('A`)━━━!!
558:名無しさん@お腹いっぱい。
11/06/27 23:42:32.97 BE:530137128-2BP(100)
踏んでみました
%temp%に3個、%windir%直下に1個、system32(syswow64)に1個EXEが発生しました
thepiratebay.org, mininova.org, suprbay.org へのアクセスを阻止するhosts改ざんがありました
タスク
HKLM\software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\software\ 直下
HKLM\software\ 直下 (環境によっては Wow6432Node下)
に自動起動のエントリができました
途中で、サーバが302を返したのをうまく処理できなかったのか、感染が最後まで完了しなかったようです
参考までに。
559:名無しさん@お腹いっぱい。
11/06/27 23:55:58.77
CCleanerみたいなソフトでも出来ますか?
560:名無しさん@お腹いっぱい。
11/07/15 04:17:11.97
キャプチャソフトでこれをインストールすればいい
とネットの友人に言われて下記のようなexeファイル
URLリンク(serialwarezxx.servehttp.com)
を落としてダブルクリックしたら、その落とした
exeファイル自体が消えてしまいました
これはもしかしたらウィルスかスパイウェア?
なのかと心配になりここに来た次第です
こういったクリックしたら消えるexe
と言うのは一体何なのでしょうか?
ソフトもインストールされた気配も無いですし
561:名無しさん@お腹いっぱい。
11/07/15 08:51:35.83
ドメイン屋に飛ばされる 実質404
ま、だめぽでしょう
まじもんのkeygenが、自己消去しなきゃならん理由がないからね
そのネットの友人に頼ることですね
居るのなら。
562:名無しさん@お腹いっぱい。
11/07/15 11:42:13.56
560です
>>561さん
本体じゃ無くてkeygenって奴だったんですね
てっきりそれ入れたらソフト自体が入るのかと思っていました
症状調べると勝手に変なサイトに飛ぶようになってたしマルウェア
って奴だったみたいです
ちょっとその友人に聞いてみます
ありがとうございました
563:名無しさん@お腹いっぱい。
11/07/15 12:34:31.16
そんなあやしいものを、自ら踏むこともせずに薦める
リアル友人がいるとは思いたくなかったんだが…。
とりあえず何かがんばれ
564:名無しさん@お腹いっぱい。
11/07/15 12:46:24.90
>>563
ありがとうございます
さっきメールで聞いてみたら当の本人もよく分かって
いなかったらしく、Bandicamと言うキャプチャソフトを
無料で使える程度にしか思ってなかったそうです
ひたすら謝られました・・・けど自分でもよく
調べてなかったので自己責任です
いい勉強になりました
ここで聞き終わった後、別スレで聞いてみましたが、
マルチやら違法だから駄目?的な事を言われて拒否されました・・・
クリーンインストールしかなさそうですね
重ね重ねありがとうございました
565:名無しさん@お腹いっぱい。
11/08/08 17:30:03.62
URLリンク(checksystem.cz.cc)
よろしくお願いいたします。
566:名無しさん@お腹いっぱい。
11/08/08 18:37:01.24
All Users の中にコピーができ、URLリンク(www.avplus2011pro.com) から
本体を落とそうとしますが、当方環境ではうまく落ちてきません 保留扱い
動作の過程で、HKCUのRunとhostsがいじられる…かも
567:名無しさん@お腹いっぱい。
11/08/09 02:49:29.62
URLリンク(2chnull.info)
568:名無しさん@お腹いっぱい。
11/08/09 12:41:59.66
Vista(32bit)の、↓と比較してみてください 俺もってない。
C:\Program Files\Microsoft Games\Minesweeper\MineSweeper.exe
いっしょだとしたら、配布元さんには、
「なにか足りなくね?あとMSにライセンス料払ってくれてありがとう、ご馳走様」
って言っておいて
569:名無しさん@お腹いっぱい。
11/08/20 11:54:16.67
URLリンク(meta-search.net)
570:名無しさん@お腹いっぱい。
11/08/21 14:39:13.03 BE:397602443-2BP(100)
実行が最後まで行かなかったので、参考程度で
実行すると、torrentのクライアントと、Babylonと他何かのツールバーが
抱き合わせになった本体を落としに行きます
共通本体 URLリンク(setup.downvision.com)
データ例 URLリンク(stat.downvision.com)
idは、ダウンローダのDelphiのバイナリフォームに直接書かれています
571:名無しさん@お腹いっぱい。
11/08/25 05:11:33.61
URLリンク(skype-downloads.ru)
572:名無しさん@お腹いっぱい。
11/08/25 12:45:10.92
いまいったら403です
573:名無しさん@お腹いっぱい。
11/08/25 19:45:37.22
URLリンク(malwareremovalbot.com)
574:名無しさん@お腹いっぱい。
11/08/27 01:32:46.27
しょうもないぼったくりセキュリティソフトのようです
新しいものはさっぱり検出しなかったし、アホな誤検出もありました
x64環境にはインストールできませんでした
強制的にばらして起動した感じでは、特に動かない感じでもなかったですが。
575:名無しさん@お腹いっぱい。
11/08/27 03:11:24.85
URLリンク(www.iis.net)
576:名無しさん@お腹いっぱい。
11/08/27 09:51:18.38
どれをみるんだw 汚染されたのかな
577:名無しさん@お腹いっぱい。
11/08/27 10:22:24.50
URLリンク(img-video-xxx.com)
動画の再生をクリックするとカスペが「悪意あるURL」と反応します
なんでしょうか?誤認?
578:名無しさん@お腹いっぱい。
11/08/27 16:12:56.71
>>577
リンク先切れてるから不明
579:名無しさん@お腹いっぱい。
11/08/28 02:46:03.18
>>577
seefilmfeature.com に置いてある何かにリンクあり
seefilmfeature.com が今実質404のため、それ以上のことは不明
580:名無しさん@お腹いっぱい。
11/08/28 11:25:38.61
URLリンク(www.trackzapper.com)
ここで配布されてるソフト信用できますか?
581:名無しさん@お腹いっぱい。
11/08/28 23:20:58.60
仮に無害だとしても、品質には疑問あり
system32 にメンテナンス非対象のFlash8.ocxを放り込むようなベンダに、
まともなソフトの維持がつとまるはずがないです
582:名無しさん@お腹いっぱい。
11/09/06 09:40:11.61
URLリンク(u1.getuploader.com)
12345
583:名無しさん@お腹いっぱい。
11/09/11 02:39:02.84 BE:596404229-2BP(100)
一段だけ実行しました なんかそれらしい本体(12MBくらい)を落としてきます
*.casino-on-net.com をゲームサーバに指定しているらしいので、
そこのゲームがいけてるかどうかってことになりそうです
584:名無しさん@お腹いっぱい。
11/09/12 12:28:11.44
URLリンク(www.divxdownloads.org)
585:名無しさん@お腹いっぱい。
11/09/12 18:34:29.98 BE:331335252-2BP(100)
踏もうとすると、ZCと名にあるとおりですね
まずはvt
URLリンク(www.virustotal.com)
踏むのはのちほど
586:名無しさん@お腹いっぱい。
11/09/14 18:32:11.34
Emsisoftで完全スキャンしていた所アイコンファイルからTrojan-Downloader.Remote!IKなるモノを検出しました
ググっても全然情報がないのでVirusTotalでそのアイコンファイルをスキャンしてみたら4 /44という結果でした
アイコンファイルはセットで落としたもので念のために他のアイコンもVirusTotalでスキャンしても何も出ませんでした
よろしくお願いします
URLリンク(www1.axfc.net)
123
587:名無しさん@お腹いっぱい。
11/09/15 13:43:06.75 BE:463869072-2BP(100)
>>586
誤検出でいいと思います
ラスト6KBあたりに、既存のマイクロウイルス(exploit)によく似た部分があるようで、
そこを目視確認しましたが、プログラムらしげなものはなかったです
電子すかしでも入ってるのかな
はたらいてくる
588:名無しさん@お腹いっぱい。
11/09/15 17:23:54.29
>>587
ありがとうございます
589:名無しさん@お腹いっぱい。
11/09/15 22:47:34.82
URLリンク(www1.axfc.net)
×マークのアイコンのファイルの挙動がよく分かりません
590:名無しさん@お腹いっぱい。
11/09/18 03:41:28.87 BE:894605639-2BP(100)
>>584-585
少し日が経ったので、リンク先のファイルを再取得して踏んでみました
最終的には MD5:8e4adf256fca604f1143443acbb359c6 のxvid.exe が落ちてきましたが、
その間に、babylonSK100632.exe, questscan-setup.exe, ShprRprt.exe,
ClickPotatoLiteInstaller.exe (順不同)を順次落として実行しようとしました
いずれもアドウェア、アフィ付DLということでよさげです
conclusion: 本家から落とそうw
591:名無しさん@お腹いっぱい。
11/09/18 06:09:23.29 BE:596402892-2BP(100)
>>589
ちょっと時間があったのと、読みやすかったので、ある程度調べました
実行すると、速攻でDefenderを落としにいきます 一部ロシア語圏だと感染が免除されるようです
ブラウザが起動しておれば落とし、C:\Users\All Users に自身をコピーして、
CheckExeSignatures, SaveZoneInformation などの設定を緩め、制御をそっちに移します
壁紙をリセットするか(初回のみ)、explorer を落とし、
HDDアクセスをムダに発生させつつHDD随所にhidden設定等を行い(attrib)、
あとタスクマネージャを起動できなくするなどの自己防御設定を行います
並行て、内臓されているインチキシステムチェッカを産み落とし、起動します
デスクトップにlicense.txtというファイルを置いて再起動すれば(あるいは、%CSIDL_COMMON_APPDATA%\*.lic)、
一定範囲で異常を元に戻してくれるようですが、いろいろと不完全で、あんまりあてにはならないです
あと、感染数の統計を取っているのか、ログ鯖にhttp通信をします
URLを埋め込んでおけば、そこから次のウイルスを取ってくる実装が見られますが、未指定です
592:名無しさん@お腹いっぱい。
11/09/18 17:12:51.22
toolbarqueries-google.com
見るからにあやしいサイト よろしくお願いいたします。
593:名無しさん@お腹いっぱい。
11/09/18 21:21:16.89
空ページがかえってくるだけ
toolbarqueries.google.com ←これがホンモノ
594:名無しさん@お腹いっぱい。
11/09/19 00:11:04.23
URLリンク(www.doctor-alex.com)
595:名無しさん@お腹いっぱい。
11/09/19 10:47:38.33 BE:397602443-2BP(100)
かれこれ4年以上、このバージョンは開発が止まっています
パス/MD5で、有名なマルウェアを検出するようです
データベースを解凍すると、以下の文字列があったので…
> ... is Ported to VB5 and compiled to NATIVE CODE, uses custom control ...
…ぐぐると、www.spynomore.com に当たります
配ってるデータベース形式も似てますし、後継製品かなと
596:名無しさん@お腹いっぱい。
11/09/20 06:07:09.35
URLリンク(www.systweak.com)
597:名無しさん@お腹いっぱい。
11/09/24 18:35:34.14
URLリンク(u1.getuploader.com)
12345
598:名無しさん@お腹いっぱい。
11/09/24 22:15:44.69
>>569
最新のドライバを提案してくるユーティリティですが、
DB持ってないじゃん?と思ったら、SOAPで鯖に聞きに行ってました。
レジすると落とせるのかもしれませんが、そこまではわかりません
ところで、レジストリがなんとかいう文字列がリソースにあるのは、なんだろう。。
conclusion: 無理にこれ使わなくても…w
599:名無しさん@お腹いっぱい。
11/09/25 06:09:35.05
URLリンク(u1.getuploader.com)
12345
600:名無しさん@お腹いっぱい。
11/09/27 22:32:17.25
URLリンク(sms.kelyan.net:41443)
あやしいファイルならぬあやしい迷惑メールなんですが
詐欺でしょうか?
601:名無しさん@お腹いっぱい。
11/09/29 00:41:58.18
>>600
そもそも、SSLの証明書に、Webメールのデモ版に入ってるのを
そのまま使ってる(推定)らしいので、普通に見たのではエラーになります
URLリンク(sms.kelyan.net:41443) ...
みたいなやつをぐぐるで拾ってみると、
URLリンク(www.best.teacherdragged.com) に飛べと言われます
エロサイトx2, バイアグラサイトx1 の広告でした
602:名無しさん@お腹いっぱい。
11/09/29 00:50:24.63
△みたいなやつをぐぐるで拾ってみると、... に飛べと言われます
○みたいなやつを試しにひとつぐぐるで拾ってみると、... に飛べと言われました
603:名無しさん@お腹いっぱい。
11/10/06 00:11:03.96 BE:596402892-2BP(100)
>>599
インチキセキュリティソフトです
起動するプロセスを監視して、なんでもかんでも有害扱いにして、次々落とされます
購入状態になると、なにも検出しなくなるようです(きれいになった!…ってちがーう!)
購入状態になると、アップデートができるようになった…って、google.com に見に行くだけで、
実際は何もしないみたいです
OEP 10544CC.
604:名無しさん@お腹いっぱい。
11/10/06 00:28:03.98 BE:2120544588-2BP(100)
>>597
砂箱内で1面だけ試用しましたが、普通に動作しているように見えます
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
一応こちらと一致しました
URLリンク(download.zxgames.com)
>>599
おまけ: 購入画面こちら URLリンク(secandpay.net)
605:名無しさん@お腹いっぱい。
11/10/07 04:58:34.42
URLリンク(u1.getuploader.com)
qwert
606:名無しさん@お腹いっぱい。
11/10/07 12:21:11.75
URLリンク(kujira.digi2.jp)
あやしいサイトです よろしく
607:名無しさん@お腹いっぱい。
11/10/07 13:05:13.72 BE:463869072-2BP(100)
>>606
もしかして: 升ですか?
WPE Pro は、なんでしたら、本家のをお使いください URLリンク(wpepro.net)
スクリプトについては、試しようがないですので、わかりかねます
.oO(ピグって、あんまりサーバサイドチェックしてないのかもしらんね)
608:606
11/10/07 19:23:25.61
>>607
違いますニートです。回答ありがとう
609:名無しさん@お腹いっぱい。
11/10/07 19:30:58.67
URLリンク(u1.getuploader.com)
12345
610:名無しさん@お腹いっぱい。
11/10/08 20:26:16.92 BE:331335825-2BP(100)
>>605
次のファイルに一致しました
URLリンク(dl.babylon.com)
セットアップされたファイル(除くツールバー)をかためて、一応vtに投げてみます
URLリンク(www.virustotal.com)
ちなみに、ツールバーにあるゲームボタンは、
URLリンク(www.babylon.com)
に飛ばされました
611:名無しさん@お腹いっぱい。
11/10/08 23:18:39.75 BE:1789209869-2BP(100)
>>609
一見インチキに見えますが、funwebproducts のツールバーを入れると、
Mindspark社の契約した組み込みアカウントで、
URLリンク(www.gametap.com) のゲームができます。ということのようです
一応起動しました
ごちゃごちゃとツールバー側のファイルが入るため、安全のほどは不明です
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
612:名無しさん@お腹いっぱい。
11/11/12 12:23:18.42
URLリンク(soft.foxtab.com)
あやしいソフト
613:名無しさん@お腹いっぱい。
11/11/12 22:08:43.54 BE:265068724-2BP(100)
一応、簡単なFLVプレーヤが入りましたが、
BabylonToolbar, dealply のアフィ稼ぎのようです
PEヘッダのチェックサムを毎度変更してきます
発行IDかなんかですかね
614:名無しさん@お腹いっぱい。
11/11/17 05:01:16.29
URLリンク(u1.getuploader.com)
12345
615:名無しさん@お腹いっぱい。
11/11/17 15:34:20.79
VGもQtベースになったんですねえ
…無用にでかいぞ
あとで走らせてみます
616:名無しさん@お腹いっぱい。
11/11/25 21:43:06.83
お疲れ様です
手動復帰ノ