11/08/27 10:22:24.50
URLリンク(img-video-xxx.com)
動画の再生をクリックするとカスペが「悪意あるURL」と反応します
なんでしょうか?誤認?
578:名無しさん@お腹いっぱい。
11/08/27 16:12:56.71
>>577
リンク先切れてるから不明
579:名無しさん@お腹いっぱい。
11/08/28 02:46:03.18
>>577
seefilmfeature.com に置いてある何かにリンクあり
seefilmfeature.com が今実質404のため、それ以上のことは不明
580:名無しさん@お腹いっぱい。
11/08/28 11:25:38.61
URLリンク(www.trackzapper.com)
ここで配布されてるソフト信用できますか?
581:名無しさん@お腹いっぱい。
11/08/28 23:20:58.60
仮に無害だとしても、品質には疑問あり
system32 にメンテナンス非対象のFlash8.ocxを放り込むようなベンダに、
まともなソフトの維持がつとまるはずがないです
582:名無しさん@お腹いっぱい。
11/09/06 09:40:11.61
URLリンク(u1.getuploader.com)
12345
583:名無しさん@お腹いっぱい。
11/09/11 02:39:02.84 BE:596404229-2BP(100)
一段だけ実行しました なんかそれらしい本体(12MBくらい)を落としてきます
*.casino-on-net.com をゲームサーバに指定しているらしいので、
そこのゲームがいけてるかどうかってことになりそうです
584:名無しさん@お腹いっぱい。
11/09/12 12:28:11.44
URLリンク(www.divxdownloads.org)
585:名無しさん@お腹いっぱい。
11/09/12 18:34:29.98 BE:331335252-2BP(100)
踏もうとすると、ZCと名にあるとおりですね
まずはvt
URLリンク(www.virustotal.com)
踏むのはのちほど
586:名無しさん@お腹いっぱい。
11/09/14 18:32:11.34
Emsisoftで完全スキャンしていた所アイコンファイルからTrojan-Downloader.Remote!IKなるモノを検出しました
ググっても全然情報がないのでVirusTotalでそのアイコンファイルをスキャンしてみたら4 /44という結果でした
アイコンファイルはセットで落としたもので念のために他のアイコンもVirusTotalでスキャンしても何も出ませんでした
よろしくお願いします
URLリンク(www1.axfc.net)
123
587:名無しさん@お腹いっぱい。
11/09/15 13:43:06.75 BE:463869072-2BP(100)
>>586
誤検出でいいと思います
ラスト6KBあたりに、既存のマイクロウイルス(exploit)によく似た部分があるようで、
そこを目視確認しましたが、プログラムらしげなものはなかったです
電子すかしでも入ってるのかな
はたらいてくる
588:名無しさん@お腹いっぱい。
11/09/15 17:23:54.29
>>587
ありがとうございます
589:名無しさん@お腹いっぱい。
11/09/15 22:47:34.82
URLリンク(www1.axfc.net)
×マークのアイコンのファイルの挙動がよく分かりません
590:名無しさん@お腹いっぱい。
11/09/18 03:41:28.87 BE:894605639-2BP(100)
>>584-585
少し日が経ったので、リンク先のファイルを再取得して踏んでみました
最終的には MD5:8e4adf256fca604f1143443acbb359c6 のxvid.exe が落ちてきましたが、
その間に、babylonSK100632.exe, questscan-setup.exe, ShprRprt.exe,
ClickPotatoLiteInstaller.exe (順不同)を順次落として実行しようとしました
いずれもアドウェア、アフィ付DLということでよさげです
conclusion: 本家から落とそうw
591:名無しさん@お腹いっぱい。
11/09/18 06:09:23.29 BE:596402892-2BP(100)
>>589
ちょっと時間があったのと、読みやすかったので、ある程度調べました
実行すると、速攻でDefenderを落としにいきます 一部ロシア語圏だと感染が免除されるようです
ブラウザが起動しておれば落とし、C:\Users\All Users に自身をコピーして、
CheckExeSignatures, SaveZoneInformation などの設定を緩め、制御をそっちに移します
壁紙をリセットするか(初回のみ)、explorer を落とし、
HDDアクセスをムダに発生させつつHDD随所にhidden設定等を行い(attrib)、
あとタスクマネージャを起動できなくするなどの自己防御設定を行います
並行て、内臓されているインチキシステムチェッカを産み落とし、起動します
デスクトップにlicense.txtというファイルを置いて再起動すれば(あるいは、%CSIDL_COMMON_APPDATA%\*.lic)、
一定範囲で異常を元に戻してくれるようですが、いろいろと不完全で、あんまりあてにはならないです
あと、感染数の統計を取っているのか、ログ鯖にhttp通信をします
URLを埋め込んでおけば、そこから次のウイルスを取ってくる実装が見られますが、未指定です
592:名無しさん@お腹いっぱい。
11/09/18 17:12:51.22
toolbarqueries-google.com
見るからにあやしいサイト よろしくお願いいたします。
593:名無しさん@お腹いっぱい。
11/09/18 21:21:16.89
空ページがかえってくるだけ
toolbarqueries.google.com ←これがホンモノ
594:名無しさん@お腹いっぱい。
11/09/19 00:11:04.23
URLリンク(www.doctor-alex.com)
595:名無しさん@お腹いっぱい。
11/09/19 10:47:38.33 BE:397602443-2BP(100)
かれこれ4年以上、このバージョンは開発が止まっています
パス/MD5で、有名なマルウェアを検出するようです
データベースを解凍すると、以下の文字列があったので…
> ... is Ported to VB5 and compiled to NATIVE CODE, uses custom control ...
…ぐぐると、www.spynomore.com に当たります
配ってるデータベース形式も似てますし、後継製品かなと
596:名無しさん@お腹いっぱい。
11/09/20 06:07:09.35
URLリンク(www.systweak.com)
597:名無しさん@お腹いっぱい。
11/09/24 18:35:34.14
URLリンク(u1.getuploader.com)
12345
598:名無しさん@お腹いっぱい。
11/09/24 22:15:44.69
>>569
最新のドライバを提案してくるユーティリティですが、
DB持ってないじゃん?と思ったら、SOAPで鯖に聞きに行ってました。
レジすると落とせるのかもしれませんが、そこまではわかりません
ところで、レジストリがなんとかいう文字列がリソースにあるのは、なんだろう。。
conclusion: 無理にこれ使わなくても…w
599:名無しさん@お腹いっぱい。
11/09/25 06:09:35.05
URLリンク(u1.getuploader.com)
12345
600:名無しさん@お腹いっぱい。
11/09/27 22:32:17.25
URLリンク(sms.kelyan.net:41443)
あやしいファイルならぬあやしい迷惑メールなんですが
詐欺でしょうか?
601:名無しさん@お腹いっぱい。
11/09/29 00:41:58.18
>>600
そもそも、SSLの証明書に、Webメールのデモ版に入ってるのを
そのまま使ってる(推定)らしいので、普通に見たのではエラーになります
URLリンク(sms.kelyan.net:41443) ...
みたいなやつをぐぐるで拾ってみると、
URLリンク(www.best.teacherdragged.com) に飛べと言われます
エロサイトx2, バイアグラサイトx1 の広告でした
602:名無しさん@お腹いっぱい。
11/09/29 00:50:24.63
△みたいなやつをぐぐるで拾ってみると、... に飛べと言われます
○みたいなやつを試しにひとつぐぐるで拾ってみると、... に飛べと言われました
603:名無しさん@お腹いっぱい。
11/10/06 00:11:03.96 BE:596402892-2BP(100)
>>599
インチキセキュリティソフトです
起動するプロセスを監視して、なんでもかんでも有害扱いにして、次々落とされます
購入状態になると、なにも検出しなくなるようです(きれいになった!…ってちがーう!)
購入状態になると、アップデートができるようになった…って、google.com に見に行くだけで、
実際は何もしないみたいです
OEP 10544CC.
604:名無しさん@お腹いっぱい。
11/10/06 00:28:03.98 BE:2120544588-2BP(100)
>>597
砂箱内で1面だけ試用しましたが、普通に動作しているように見えます
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
一応こちらと一致しました
URLリンク(download.zxgames.com)
>>599
おまけ: 購入画面こちら URLリンク(secandpay.net)
605:名無しさん@お腹いっぱい。
11/10/07 04:58:34.42
URLリンク(u1.getuploader.com)
qwert
606:名無しさん@お腹いっぱい。
11/10/07 12:21:11.75
URLリンク(kujira.digi2.jp)
あやしいサイトです よろしく
607:名無しさん@お腹いっぱい。
11/10/07 13:05:13.72 BE:463869072-2BP(100)
>>606
もしかして: 升ですか?
WPE Pro は、なんでしたら、本家のをお使いください URLリンク(wpepro.net)
スクリプトについては、試しようがないですので、わかりかねます
.oO(ピグって、あんまりサーバサイドチェックしてないのかもしらんね)
608:606
11/10/07 19:23:25.61
>>607
違いますニートです。回答ありがとう
609:名無しさん@お腹いっぱい。
11/10/07 19:30:58.67
URLリンク(u1.getuploader.com)
12345
610:名無しさん@お腹いっぱい。
11/10/08 20:26:16.92 BE:331335825-2BP(100)
>>605
次のファイルに一致しました
URLリンク(dl.babylon.com)
セットアップされたファイル(除くツールバー)をかためて、一応vtに投げてみます
URLリンク(www.virustotal.com)
ちなみに、ツールバーにあるゲームボタンは、
URLリンク(www.babylon.com)
に飛ばされました
611:名無しさん@お腹いっぱい。
11/10/08 23:18:39.75 BE:1789209869-2BP(100)
>>609
一見インチキに見えますが、funwebproducts のツールバーを入れると、
Mindspark社の契約した組み込みアカウントで、
URLリンク(www.gametap.com) のゲームができます。ということのようです
一応起動しました
ごちゃごちゃとツールバー側のファイルが入るため、安全のほどは不明です
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
612:名無しさん@お腹いっぱい。
11/11/12 12:23:18.42
URLリンク(soft.foxtab.com)
あやしいソフト
613:名無しさん@お腹いっぱい。
11/11/12 22:08:43.54 BE:265068724-2BP(100)
一応、簡単なFLVプレーヤが入りましたが、
BabylonToolbar, dealply のアフィ稼ぎのようです
PEヘッダのチェックサムを毎度変更してきます
発行IDかなんかですかね
614:名無しさん@お腹いっぱい。
11/11/17 05:01:16.29
URLリンク(u1.getuploader.com)
12345
615:名無しさん@お腹いっぱい。
11/11/17 15:34:20.79
VGもQtベースになったんですねえ
…無用にでかいぞ
あとで走らせてみます
616:名無しさん@お腹いっぱい。
11/11/25 21:43:06.83
お疲れ様です
手動復帰ノ