11/04/06 17:52:34.71
URLリンク(uploda.in)
12345
501:名無しさん@お腹いっぱい。
11/04/07 00:25:26.24 BE:2385612498-2BP(100)
>>499
Babylon のツールバー他一式を入れないか、と言ってきます(アフィリエイト)
本体は、bittorrent で落としてきます このために、aria2c を同梱しています(プロセス単位)
URLリンク(www.mininova.org)
本体は45KB(展開後)で、vtによると、vt初出は2009/09だそうです
一応、ファイル名・ディレクトリ名決め打ちで簡単に指定フォルダを掃除してくれるみたいです
URLリンク(www.virustotal.com)
>>500
MS Removal Tool なるものが起動しました 真っ青地の壁紙に置き換えようとします
当方環境では、c:\programdata, HKCU\...\RunOnce に入りました
502:名無しさん@お腹いっぱい。
11/04/08 21:23:29.59
URLリンク(zipdkr.net)
12345
怪しいダウンロードサイトからの落し物
503:名無しさん@お腹いっぱい。
11/04/09 00:01:57.92
ぜんぜんおとせないお
504:名無しさん@お腹いっぱい。
11/04/09 20:52:56.00
真ん中までスクロールした?
505:名無しさん@お腹いっぱい。
11/04/10 08:55:06.96 BE:2683814099-2BP(100)
てゆーか403が返ってきてた
なんか嫌われてたらしい
で、外殻は、>>499,501 と同じ
本体は、これだそうな .torrent は、torrents.thepiratebay.org から持ってきます
> Tokyo.Collection.Special.3.[English].XXX.DVDRiP.XviD-WwW.TorrentesX.CoM.avi 700MB
本体は落としてないです
珍しいもの(EXEとかそっち系)が入ってたらもってきてちょ
506:名無しさん@お腹いっぱい。
11/04/11 03:20:55.63
URLリンク(www.speedyshare.com)
12345
507:名無しさん@お腹いっぱい。
11/04/11 03:32:44.53
URLリンク(www.speedyshare.com)
12345
508:507
11/04/11 03:52:22.72
半分眠ってたのでそのままアップしてしまった
危険だからスルーして!!!!!!!!!!
脳豚は危険判定だそうです
509:名無しさん@お腹いっぱい。
11/04/11 12:25:43.80
>>506-507
共に何故かダウソできないよ><
次からは流れの早い以下のうpろだで頼む
URLリンク(www.dotup.org)
510:名無しさん@お腹いっぱい。
11/04/11 13:03:38.55
URLリンク(www.dotup.org)
506と同じです
511:名無しさん@お腹いっぱい。
11/04/11 13:15:31.79
URLリンク(www.dotup.org)
507と同じです
512:名無しさん@お腹いっぱい。
11/04/11 13:23:29.03
>>510
URLリンク(virusscan.jotti.org)
>>511
URLリンク(virusscan.jotti.org)
次からはブツ自体にもpass掛けてね
513:名無しさん@お腹いっぱい。
11/04/12 05:42:48.15
URLリンク(www.dotup.org)
12345
514:名無しさん@お腹いっぱい。
11/04/12 10:21:53.43
pass?
515:名無しさん@お腹いっぱい。
11/04/12 21:03:15.40
URLリンク(www.dotup.org)
12345
>>514
失礼数字が1つ多かったです 123456
516:名無しさん@お腹いっぱい。
11/04/12 21:19:46.73
>>515
URLリンク(virusscan.jotti.org)
次からは以下で調べてもらったらどうだろう?
【鑑定目的禁止】検出可否報告スレ14
スレリンク(sec板)
517:名無しさん@お腹いっぱい。
11/04/16 02:18:57.37 BE:795205038-2BP(100)
>>513
RARの自己解凍書庫のアイコンを貼った、ばかでかいEXEです
しばらくいじってたのですが、内部オブジェクトの移動の前後あたりでエラーになり落ちます
起動できてないですが、アイコンを偽装したEXEにろくなもんはない…という気が。
mailtoのハンドラの有無を見に行ってますが、それはQかなんかtの挙動かもしれない
>>515
MediaGet2 なるものを落として、それでpeepvoyeur を検索しようとします
URLリンク(download2.media-get.com)
MediaGet2 はインスコ中に、Babylon 一式のインスコを薦めてきます
torrent のクライアントで、どこぞのまとめサイトからひっぱってきた人気ファイルを
簡単に落とせる?ように、それらしいUI上に出してきます
しばらくほうっておくと、SSLで利用者番号らしきものを取ってくるのですが、
やけに詳細にハードウェア情報を送ろうとするので、キモチワルイです
もしかしたら、背後でBOTクライアント動いてたりして…。解析はできてませんが。
518:名無しさん@お腹いっぱい。
11/04/17 14:09:57.72
URLリンク(www.dotup.org)
URLリンク(www.dotup.org)
12345
519:名無しさん@お腹いっぱい。
11/04/18 00:02:14.44 BE:2087411279-2BP(100)
>>506,510
BlackBox for Windows のプラグインの一部です 単体実行不可
ソースも出ているプラグインなので、自分でビルドすれば無問題
…っていう台詞がひるむくらい、ばりばり検出されてますね
参考に、メッセージフックを置く関数を2バイトだけ(FFD6→9090)潰してみました
URLリンク(www.virustotal.com)
520:名無しさん@お腹いっぱい。
11/04/18 02:09:06.65 BE:596403263-2BP(100)
>>507,511
フランス語かなにかで書かれており、実行するといってもよくわからないです
実行はしてませんが、少し覗いてみました
シャットダウンを実行するアプレットのシャットダウン部分を1バイト潰して、
びふぉーあふたーでvtに送りつけてみました
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
同じく、電源操作のアプレットの本体部分について。
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
これらに限って言えば、誤検出ってことでいいんじゃないかなという気がする。
521:名無しさん@お腹いっぱい。
11/04/18 10:20:14.04 BE:198801623-2BP(100)
>>518 の上 = >>464,465 (インストーラが一致)
522:名無しさん@お腹いっぱい。
11/04/18 11:27:03.12
URLリンク(rjlpranks.com)
脳豚が悪質サイトとして遮断したんですが怪しいファイルが
置いてあるのでしょうか?
523:名無しさん@お腹いっぱい。
11/04/18 13:29:09.37
>>522
F-secureでも警告が出たね
何だろう?
Web サイト ://rjlpranks.com/pranks/
サイトの評価: 危険
Web サイトにアクセスしないことを推奨します
Web サイトから危険な動作やアイテムが検出されました。Web サイトは危険である可能性が高いです。
524:名無しさん@お腹いっぱい。
11/04/19 12:42:33.38 BE:397602634-2BP(100)
>>518 下
ちょっとだけ実行してみました YouTubeDownloader なるものが入ってます
keepvid.com に丸投げするだけの簡単なお仕事です。のような気がする。
Enigmaでパックされてます。アンパック後は、700KB弱. ただし、CRT/MFC含む。
525:名無しさん@お腹いっぱい。
11/04/29 18:11:35.11
URLリンク(www.dotup.org)
infected
526:名無しさん@お腹いっぱい。
11/04/30 11:03:01.35 BE:1159673257-2BP(100)
>>525
Director10 のプレーヤです 全画面にひろがり、終了方法がわかりにくい。
クリックすると、座標らしきものが表示され、なんかしゃべります(w
細かい解析はしてません
砂箱でしばらくつついた感じでは、外部への通信はなかったです
HKCUにShockwave のキーが増えますが、ランタイムの仕様でしょう、たぶん。
527:名無しさん@お腹いっぱい。
11/05/02 16:35:30.56
URLリンク(www.dotup.org)
12345
528:名無しさん@お腹いっぱい。
11/05/02 17:58:52.36
URLリンク(www.dotup.org)
12345
529:名無しさん@お腹いっぱい。
11/05/02 20:41:17.81 BE:795205038-2BP(100)
>>528
>>499,501 とかとおなじ。内臓のAria2 でこれを落としてくるのですが…。
URLリンク(thepiratebay.org)
全然落ちてこない。なんなのコレw
落ちてこないなあ、やっぱBabylon 入れないといけないのかなあ。
とかって思わせるのかな。
503扱いで。
530:名無しさん@お腹いっぱい。
11/05/02 21:20:59.97 BE:1159672875-2BP(100)
>>527
AppData\Roaming に本体が移動し、以下のコントロールサーバ(推定)と通信します
内容は暗号化されてるので、見ても判りません
URLリンク(vip.glavinassociates)<)
531:名無しさん@お腹いっぱい。
11/05/03 20:38:57.02
URLリンク(www.dotup.org)
12345
532:名無しさん@お腹いっぱい。
11/05/03 20:56:00.11
404
533:名無しさん@お腹いっぱい。
11/05/04 07:20:41.12
何言ってるんだ…と思ったら、認証後の本体URLが404だったでござる
こんなこともあるのねー
534:名無しさん@お腹いっぱい。
11/05/04 09:36:57.95
URLリンク(u1.getuploader.com)
12345
535:名無しさん@お腹いっぱい。
11/05/06 12:33:54.07
ぱっと見、>>471 と似たようなやつの気がする まだ実行はしてない
536:名無しさん@お腹いっぱい。
11/05/08 17:08:36.09
URLリンク(cheetu.malremoval.hop.clickbank.net)
537:名無しさん@お腹いっぱい。
11/05/08 17:13:15.65
>>536
3217 は省かせてもらいました
ちょくりん → URLリンク(www.malwareremovebot)。com/malwareremovalbot/setupxv.exe
538:名無しさん@お腹いっぱい。
11/05/15 07:39:42.53
スレリンク(software板:957-番)
539:名無しさん@お腹いっぱい。
11/06/09 12:04:57.24
558
540:名無しさん@お腹いっぱい。
11/06/10 10:57:19.01
URLリンク(foconde.net)
迷惑メールのURL
541: 忍法帖【Lv=10,xxxPT】
11/06/10 18:02:46.24
スレリンク(software板:977番)
()
542:名無しさん@お腹いっぱい。
11/06/10 18:42:32.40
>>540
さんざんあっちこっちに飛ばされて、 URLリンク(mreux)<)。info/file.php?job=action&action=get&downfile=d480e518d8400f2
砂箱避けが効いているとみえ、当方環境ではなにも起きなさすぎる
vtによれば、fakealertかなにかだそうだ
URLリンク(www.virustotal.com)
543:名無しさん@お腹いっぱい。
11/06/10 22:29:46.40 BE:2385612689-2BP(100)
>>541,542
砂箱避けを避けると、インチキセキュリティソフトのダウンロード画面が出たので、
インチキセキュリティソフト確定でいいかと。
544:名無しさん@お腹いっぱい。
11/06/11 16:02:00.97
URLリンク(www.dotup.org)
545:名無しさん@お腹いっぱい。
11/06/11 19:43:07.36
スレリンク(software板:879番)
546:名無しさん@お腹いっぱい。
11/06/11 22:28:47.87
>>545
>>541 と同じパッカ アウトだとおもわれ
547:名無しさん@お腹いっぱい。
11/06/11 22:36:25.87
>>544
なでしこのランタイム。スクリプトが平文で書いてあるので、覗いてみては。
実行はしてません。
548:名無しさん@お腹いっぱい。
11/06/13 20:06:48.34 BE:1325340285-2BP(100)
>>545,546
結局、>>541 と同じ画面でました。
549:名無しさん@お腹いっぱい。
11/06/17 15:52:54.88 BE:2087410897-2BP(100)
関係者各位、適宜法対応されたし。
「ウイルス」作成を処罰=サイバー犯罪に対応、7月から-改正刑法が成立
URLリンク(www.jiji.com)
/.J より引用: 人に実行させる目的でウイルスの取得や保管も
2年以下の懲役または30万円以下の罰金となる。
550:名無しさん@お腹いっぱい。
11/06/27 21:54:10.04
URLリンク(songivu.in)
お願いします
551:名無しさん@お腹いっぱい。
11/06/27 21:56:53.15
>>550ですけどマイクラダウソしようとしたら・・・('A`)
実行したらIEが挙動不審しております
対策と後処理のやり方もお願いします
552:名無しさん@お腹いっぱい。
11/06/27 22:36:58.14
>>550
File name: Minecraft.1.0.17.45096.exe Submission date: 2011-06-27 13:07:27 (UTC) Result: 8/ 42 (19.0%)
URLリンク(www.virustotal.com)
553:名無しさん@お腹いっぱい。
11/06/27 22:57:39.94
>>552
つまり・・・どゆこと?
554:名無しさん@お腹いっぱい。
11/06/27 23:02:27.25
>>553
気になるなら再インスコ
気にならないなら放置
555:名無しさん@お腹いっぱい。
11/06/27 23:09:33.94
>>554
IEをですか?OSをですか?
556:名無しさん@お腹いっぱい。
11/06/27 23:17:03.94
>>555
URLリンク(www.google.co.jp)
557:名無しさん@お腹いっぱい。
11/06/27 23:33:07.97
>>555
URLリンク(about-threats.trendmicro.com)
マンドクセ━━━('A`)━━━!!
558:名無しさん@お腹いっぱい。
11/06/27 23:42:32.97 BE:530137128-2BP(100)
踏んでみました
%temp%に3個、%windir%直下に1個、system32(syswow64)に1個EXEが発生しました
thepiratebay.org, mininova.org, suprbay.org へのアクセスを阻止するhosts改ざんがありました
タスク
HKLM\software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\software\ 直下
HKLM\software\ 直下 (環境によっては Wow6432Node下)
に自動起動のエントリができました
途中で、サーバが302を返したのをうまく処理できなかったのか、感染が最後まで完了しなかったようです
参考までに。
559:名無しさん@お腹いっぱい。
11/06/27 23:55:58.77
CCleanerみたいなソフトでも出来ますか?
560:名無しさん@お腹いっぱい。
11/07/15 04:17:11.97
キャプチャソフトでこれをインストールすればいい
とネットの友人に言われて下記のようなexeファイル
URLリンク(serialwarezxx.servehttp.com)
を落としてダブルクリックしたら、その落とした
exeファイル自体が消えてしまいました
これはもしかしたらウィルスかスパイウェア?
なのかと心配になりここに来た次第です
こういったクリックしたら消えるexe
と言うのは一体何なのでしょうか?
ソフトもインストールされた気配も無いですし
561:名無しさん@お腹いっぱい。
11/07/15 08:51:35.83
ドメイン屋に飛ばされる 実質404
ま、だめぽでしょう
まじもんのkeygenが、自己消去しなきゃならん理由がないからね
そのネットの友人に頼ることですね
居るのなら。
562:名無しさん@お腹いっぱい。
11/07/15 11:42:13.56
560です
>>561さん
本体じゃ無くてkeygenって奴だったんですね
てっきりそれ入れたらソフト自体が入るのかと思っていました
症状調べると勝手に変なサイトに飛ぶようになってたしマルウェア
って奴だったみたいです
ちょっとその友人に聞いてみます
ありがとうございました
563:名無しさん@お腹いっぱい。
11/07/15 12:34:31.16
そんなあやしいものを、自ら踏むこともせずに薦める
リアル友人がいるとは思いたくなかったんだが…。
とりあえず何かがんばれ
564:名無しさん@お腹いっぱい。
11/07/15 12:46:24.90
>>563
ありがとうございます
さっきメールで聞いてみたら当の本人もよく分かって
いなかったらしく、Bandicamと言うキャプチャソフトを
無料で使える程度にしか思ってなかったそうです
ひたすら謝られました・・・けど自分でもよく
調べてなかったので自己責任です
いい勉強になりました
ここで聞き終わった後、別スレで聞いてみましたが、
マルチやら違法だから駄目?的な事を言われて拒否されました・・・
クリーンインストールしかなさそうですね
重ね重ねありがとうございました
565:名無しさん@お腹いっぱい。
11/08/08 17:30:03.62
URLリンク(checksystem.cz.cc)
よろしくお願いいたします。
566:名無しさん@お腹いっぱい。
11/08/08 18:37:01.24
All Users の中にコピーができ、URLリンク(www.avplus2011pro.com) から
本体を落とそうとしますが、当方環境ではうまく落ちてきません 保留扱い
動作の過程で、HKCUのRunとhostsがいじられる…かも
567:名無しさん@お腹いっぱい。
11/08/09 02:49:29.62
URLリンク(2chnull.info)
568:名無しさん@お腹いっぱい。
11/08/09 12:41:59.66
Vista(32bit)の、↓と比較してみてください 俺もってない。
C:\Program Files\Microsoft Games\Minesweeper\MineSweeper.exe
いっしょだとしたら、配布元さんには、
「なにか足りなくね?あとMSにライセンス料払ってくれてありがとう、ご馳走様」
って言っておいて
569:名無しさん@お腹いっぱい。
11/08/20 11:54:16.67
URLリンク(meta-search.net)
570:名無しさん@お腹いっぱい。
11/08/21 14:39:13.03 BE:397602443-2BP(100)
実行が最後まで行かなかったので、参考程度で
実行すると、torrentのクライアントと、Babylonと他何かのツールバーが
抱き合わせになった本体を落としに行きます
共通本体 URLリンク(setup.downvision.com)
データ例 URLリンク(stat.downvision.com)
idは、ダウンローダのDelphiのバイナリフォームに直接書かれています
571:名無しさん@お腹いっぱい。
11/08/25 05:11:33.61
URLリンク(skype-downloads.ru)
572:名無しさん@お腹いっぱい。
11/08/25 12:45:10.92
いまいったら403です
573:名無しさん@お腹いっぱい。
11/08/25 19:45:37.22
URLリンク(malwareremovalbot.com)
574:名無しさん@お腹いっぱい。
11/08/27 01:32:46.27
しょうもないぼったくりセキュリティソフトのようです
新しいものはさっぱり検出しなかったし、アホな誤検出もありました
x64環境にはインストールできませんでした
強制的にばらして起動した感じでは、特に動かない感じでもなかったですが。
575:名無しさん@お腹いっぱい。
11/08/27 03:11:24.85
URLリンク(www.iis.net)
576:名無しさん@お腹いっぱい。
11/08/27 09:51:18.38
どれをみるんだw 汚染されたのかな
577:名無しさん@お腹いっぱい。
11/08/27 10:22:24.50
URLリンク(img-video-xxx.com)
動画の再生をクリックするとカスペが「悪意あるURL」と反応します
なんでしょうか?誤認?
578:名無しさん@お腹いっぱい。
11/08/27 16:12:56.71
>>577
リンク先切れてるから不明
579:名無しさん@お腹いっぱい。
11/08/28 02:46:03.18
>>577
seefilmfeature.com に置いてある何かにリンクあり
seefilmfeature.com が今実質404のため、それ以上のことは不明
580:名無しさん@お腹いっぱい。
11/08/28 11:25:38.61
URLリンク(www.trackzapper.com)
ここで配布されてるソフト信用できますか?
581:名無しさん@お腹いっぱい。
11/08/28 23:20:58.60
仮に無害だとしても、品質には疑問あり
system32 にメンテナンス非対象のFlash8.ocxを放り込むようなベンダに、
まともなソフトの維持がつとまるはずがないです
582:名無しさん@お腹いっぱい。
11/09/06 09:40:11.61
URLリンク(u1.getuploader.com)
12345
583:名無しさん@お腹いっぱい。
11/09/11 02:39:02.84 BE:596404229-2BP(100)
一段だけ実行しました なんかそれらしい本体(12MBくらい)を落としてきます
*.casino-on-net.com をゲームサーバに指定しているらしいので、
そこのゲームがいけてるかどうかってことになりそうです
584:名無しさん@お腹いっぱい。
11/09/12 12:28:11.44
URLリンク(www.divxdownloads.org)
585:名無しさん@お腹いっぱい。
11/09/12 18:34:29.98 BE:331335252-2BP(100)
踏もうとすると、ZCと名にあるとおりですね
まずはvt
URLリンク(www.virustotal.com)
踏むのはのちほど
586:名無しさん@お腹いっぱい。
11/09/14 18:32:11.34
Emsisoftで完全スキャンしていた所アイコンファイルからTrojan-Downloader.Remote!IKなるモノを検出しました
ググっても全然情報がないのでVirusTotalでそのアイコンファイルをスキャンしてみたら4 /44という結果でした
アイコンファイルはセットで落としたもので念のために他のアイコンもVirusTotalでスキャンしても何も出ませんでした
よろしくお願いします
URLリンク(www1.axfc.net)
123
587:名無しさん@お腹いっぱい。
11/09/15 13:43:06.75 BE:463869072-2BP(100)
>>586
誤検出でいいと思います
ラスト6KBあたりに、既存のマイクロウイルス(exploit)によく似た部分があるようで、
そこを目視確認しましたが、プログラムらしげなものはなかったです
電子すかしでも入ってるのかな
はたらいてくる
588:名無しさん@お腹いっぱい。
11/09/15 17:23:54.29
>>587
ありがとうございます
589:名無しさん@お腹いっぱい。
11/09/15 22:47:34.82
URLリンク(www1.axfc.net)
×マークのアイコンのファイルの挙動がよく分かりません
590:名無しさん@お腹いっぱい。
11/09/18 03:41:28.87 BE:894605639-2BP(100)
>>584-585
少し日が経ったので、リンク先のファイルを再取得して踏んでみました
最終的には MD5:8e4adf256fca604f1143443acbb359c6 のxvid.exe が落ちてきましたが、
その間に、babylonSK100632.exe, questscan-setup.exe, ShprRprt.exe,
ClickPotatoLiteInstaller.exe (順不同)を順次落として実行しようとしました
いずれもアドウェア、アフィ付DLということでよさげです
conclusion: 本家から落とそうw
591:名無しさん@お腹いっぱい。
11/09/18 06:09:23.29 BE:596402892-2BP(100)
>>589
ちょっと時間があったのと、読みやすかったので、ある程度調べました
実行すると、速攻でDefenderを落としにいきます 一部ロシア語圏だと感染が免除されるようです
ブラウザが起動しておれば落とし、C:\Users\All Users に自身をコピーして、
CheckExeSignatures, SaveZoneInformation などの設定を緩め、制御をそっちに移します
壁紙をリセットするか(初回のみ)、explorer を落とし、
HDDアクセスをムダに発生させつつHDD随所にhidden設定等を行い(attrib)、
あとタスクマネージャを起動できなくするなどの自己防御設定を行います
並行て、内臓されているインチキシステムチェッカを産み落とし、起動します
デスクトップにlicense.txtというファイルを置いて再起動すれば(あるいは、%CSIDL_COMMON_APPDATA%\*.lic)、
一定範囲で異常を元に戻してくれるようですが、いろいろと不完全で、あんまりあてにはならないです
あと、感染数の統計を取っているのか、ログ鯖にhttp通信をします
URLを埋め込んでおけば、そこから次のウイルスを取ってくる実装が見られますが、未指定です
592:名無しさん@お腹いっぱい。
11/09/18 17:12:51.22
toolbarqueries-google.com
見るからにあやしいサイト よろしくお願いいたします。
593:名無しさん@お腹いっぱい。
11/09/18 21:21:16.89
空ページがかえってくるだけ
toolbarqueries.google.com ←これがホンモノ
594:名無しさん@お腹いっぱい。
11/09/19 00:11:04.23
URLリンク(www.doctor-alex.com)
595:名無しさん@お腹いっぱい。
11/09/19 10:47:38.33 BE:397602443-2BP(100)
かれこれ4年以上、このバージョンは開発が止まっています
パス/MD5で、有名なマルウェアを検出するようです
データベースを解凍すると、以下の文字列があったので…
> ... is Ported to VB5 and compiled to NATIVE CODE, uses custom control ...
…ぐぐると、www.spynomore.com に当たります
配ってるデータベース形式も似てますし、後継製品かなと
596:名無しさん@お腹いっぱい。
11/09/20 06:07:09.35
URLリンク(www.systweak.com)
597:名無しさん@お腹いっぱい。
11/09/24 18:35:34.14
URLリンク(u1.getuploader.com)
12345
598:名無しさん@お腹いっぱい。
11/09/24 22:15:44.69
>>569
最新のドライバを提案してくるユーティリティですが、
DB持ってないじゃん?と思ったら、SOAPで鯖に聞きに行ってました。
レジすると落とせるのかもしれませんが、そこまではわかりません
ところで、レジストリがなんとかいう文字列がリソースにあるのは、なんだろう。。
conclusion: 無理にこれ使わなくても…w
599:名無しさん@お腹いっぱい。
11/09/25 06:09:35.05
URLリンク(u1.getuploader.com)
12345
600:名無しさん@お腹いっぱい。
11/09/27 22:32:17.25
URLリンク(sms.kelyan.net:41443)
あやしいファイルならぬあやしい迷惑メールなんですが
詐欺でしょうか?
601:名無しさん@お腹いっぱい。
11/09/29 00:41:58.18
>>600
そもそも、SSLの証明書に、Webメールのデモ版に入ってるのを
そのまま使ってる(推定)らしいので、普通に見たのではエラーになります
URLリンク(sms.kelyan.net:41443) ...
みたいなやつをぐぐるで拾ってみると、
URLリンク(www.best.teacherdragged.com) に飛べと言われます
エロサイトx2, バイアグラサイトx1 の広告でした
602:名無しさん@お腹いっぱい。
11/09/29 00:50:24.63
△みたいなやつをぐぐるで拾ってみると、... に飛べと言われます
○みたいなやつを試しにひとつぐぐるで拾ってみると、... に飛べと言われました
603:名無しさん@お腹いっぱい。
11/10/06 00:11:03.96 BE:596402892-2BP(100)
>>599
インチキセキュリティソフトです
起動するプロセスを監視して、なんでもかんでも有害扱いにして、次々落とされます
購入状態になると、なにも検出しなくなるようです(きれいになった!…ってちがーう!)
購入状態になると、アップデートができるようになった…って、google.com に見に行くだけで、
実際は何もしないみたいです
OEP 10544CC.
604:名無しさん@お腹いっぱい。
11/10/06 00:28:03.98 BE:2120544588-2BP(100)
>>597
砂箱内で1面だけ試用しましたが、普通に動作しているように見えます
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
一応こちらと一致しました
URLリンク(download.zxgames.com)
>>599
おまけ: 購入画面こちら URLリンク(secandpay.net)
605:名無しさん@お腹いっぱい。
11/10/07 04:58:34.42
URLリンク(u1.getuploader.com)
qwert
606:名無しさん@お腹いっぱい。
11/10/07 12:21:11.75
URLリンク(kujira.digi2.jp)
あやしいサイトです よろしく
607:名無しさん@お腹いっぱい。
11/10/07 13:05:13.72 BE:463869072-2BP(100)
>>606
もしかして: 升ですか?
WPE Pro は、なんでしたら、本家のをお使いください URLリンク(wpepro.net)
スクリプトについては、試しようがないですので、わかりかねます
.oO(ピグって、あんまりサーバサイドチェックしてないのかもしらんね)
608:606
11/10/07 19:23:25.61
>>607
違いますニートです。回答ありがとう
609:名無しさん@お腹いっぱい。
11/10/07 19:30:58.67
URLリンク(u1.getuploader.com)
12345
610:名無しさん@お腹いっぱい。
11/10/08 20:26:16.92 BE:331335825-2BP(100)
>>605
次のファイルに一致しました
URLリンク(dl.babylon.com)
セットアップされたファイル(除くツールバー)をかためて、一応vtに投げてみます
URLリンク(www.virustotal.com)
ちなみに、ツールバーにあるゲームボタンは、
URLリンク(www.babylon.com)
に飛ばされました
611:名無しさん@お腹いっぱい。
11/10/08 23:18:39.75 BE:1789209869-2BP(100)
>>609
一見インチキに見えますが、funwebproducts のツールバーを入れると、
Mindspark社の契約した組み込みアカウントで、
URLリンク(www.gametap.com) のゲームができます。ということのようです
一応起動しました
ごちゃごちゃとツールバー側のファイルが入るため、安全のほどは不明です
環境・情報を保護するソフトウェアの併用を検討してください(>>2)
612:名無しさん@お腹いっぱい。
11/11/12 12:23:18.42
URLリンク(soft.foxtab.com)
あやしいソフト
613:名無しさん@お腹いっぱい。
11/11/12 22:08:43.54 BE:265068724-2BP(100)
一応、簡単なFLVプレーヤが入りましたが、
BabylonToolbar, dealply のアフィ稼ぎのようです
PEヘッダのチェックサムを毎度変更してきます
発行IDかなんかですかね
614:名無しさん@お腹いっぱい。
11/11/17 05:01:16.29
URLリンク(u1.getuploader.com)
12345
615:名無しさん@お腹いっぱい。
11/11/17 15:34:20.79
VGもQtベースになったんですねえ
…無用にでかいぞ
あとで走らせてみます
616:名無しさん@お腹いっぱい。
11/11/25 21:43:06.83
お疲れ様です
手動復帰ノ
617:名無しさん@お腹いっぱい。
11/11/29 12:35:21.98 BE:497002853-2BP(100)
>>614
VirtualGirl のクライアントです。本場のストリッパーがデスクトップで踊ります。
「カード」(デモ無料、フルセットはそれぞれ1-2ドル)を集めてインストールし、鑑賞します。
初回起動時に、アカウントの取得を求められます。作成する…と操作すると、
メアドの入力すらいらず、仮アカウントが即座に発行されます。
モデルの表示は、タスクアイコンをクリックすると、フェードアウト(停止)します。
配信コストの関係があるとみえ、P2Pでの取得を許可すると、20スロット。
許可しなければ(元鯖からhttpで取得)、5スロットが与えられ、無料カード(デモ)が入ります。
デモは微絵炉が多いみたいですが、たまにティクビ透けてるモデルさんもいます。
取得した無料カードの一覧は、ローカルに保持され、アカウントに紐付けられる
わけではないようです(後日再インストールで無料分の権利消滅)。
618:名無しさん@お腹いっぱい。
11/11/29 12:35:52.28 BE:331335252-2BP(100)
落としてきた動画(独自形式)は、保持しておくと再ダウンロードを抑制できるようです。
複雑なソフトウェアなので、安全性は不明です(悪意はなくても、脆弱性があるかもしれません)
完全な安全を目指すには、環境・情報を保護するソフトウェアの併用を検討してください。(>>2)
>>616 ノシシ
619:名無しさん@お腹いっぱい。
11/12/03 00:56:44.51 BE:397602443-2BP(100)
英外務省の下部組織、政府通信本部(GCHQ)が採用活動の一環として、
ネット上に暗号解読クイズページ「_Can you crack it?」を立ち上げた。
URLリンク(www.itmedia.co.jp)
URLリンク(www.canyoucrackit.co.uk)
# 結構良問かと。
620:名無しさん@お腹いっぱい。
11/12/06 10:03:06.35
URLリンク(u1.getuploader.com)
12345
621:名無しさん@お腹いっぱい。
11/12/06 13:07:47.26 BE:1159673257-2BP(100)
>>620
www.google.com/ig/api?hl=en&weather= からお天気を照会してくるだけの
簡単なお仕事です。のような気がします。
Babylon のアフィを稼ごうとします。いつものとおりです。
622:名無しさん@お腹いっぱい。
11/12/09 06:41:52.29
wpe proって有害なんですか?
ウィルス・バスターにブロックされます・・・
623:名無しさん@お腹いっぱい。
11/12/09 06:46:45.40
追記
しかもダウンロードしたんですがきどうできません!
624:名無しさん@お腹いっぱい。
11/12/09 09:33:03.56 BE:1159672875-2BP(100)
WPE Pro は、原理的には、不正に利用すれば、セキュリティの問題を起こすことができます。
原始的な刃物は、便利だが危険なのと似ています。
WPE Pro に似せたウイルス、とかだったら当スレのよく扱う範囲ですが、
WPE Pro の使い方については、紹介元にお尋ねください。
625:名無しさん@お腹いっぱい。
11/12/11 05:55:32.87
URLリンク(www.vlcplayerdownload.com)
まともに動作するか鑑定お願いします
626:名無しさん@お腹いっぱい。
11/12/11 06:00:59.06
URLリンク(www.vlcplayerdownload.com)
すみません こちらが正しいURlです
627:名無しさん@お腹いっぱい。
11/12/11 11:47:03.80 BE:596403836-2BP(100)
Babylon のツールバーのアフィを稼ぎつつ、VLCをインストールします
URLリンク(us.bndle.com)
このVLCは、ブラウザプラグインがなく、SDKが付いてきます
っていうか、中身はインストールイメージで、インストーラではありません
(GPLのものなので、どう配ろうとかまいませんが、
複雑なソフトを初心者に配信するのに、これで大丈夫か?とは思いますが。)
ツールバーのURLをvtに投げた結果です。中身はともかく、サイトはグレー、と。
URLリンク(www.virustotal.com)
conclusion: 本家のやつでいいんじゃないでしょうか。
628:名無しさん@お腹いっぱい。
11/12/11 12:21:07.32
鑑定ありがとうございます。本家から落とします
629:名無しさん@お腹いっぱい。
11/12/25 04:44:28.01
URLリンク(www.etype.com)
630:名無しさん@お腹いっぱい。
11/12/26 13:38:34.98 BE:2385612498-2BP(100)
途中経過報告。
SweetIM なるものと、eTypeのインストーラ(これまたwebsetup)を落としてくるようになっています。
SweetIM は未チェックです DrWeb はadwareだと言ってます。
URLリンク(www.virustotal.com)
eTypeの本体はこちら。URLリンク(newversion.etype)。com/SilentInstall/eTypeSetup.exe
eTypeは、オートコンプリート機能が主で、簡単な英和機能、シソーラスが付くそうです。
英和の訳語を入力すると、SNS類のAPIと連動して、ポイントやバッジが付与されるんだそうです。
簡単な辞書らしきものがセットアップされますが、基本的にはオンラインで使ってくれとか。
SNS機能はともかく、すこし使ってみます。
631:名無しさん@お腹いっぱい。
12/01/03 23:16:22.00 BE:927738847-2BP(100)
三が日中に、あけおめ。ことよろ。
>>630 は、pendingになってます。御免。
632:名無しさん@お腹いっぱい。
12/01/06 02:01:46.74
鑑定おねがいします
URLリンク(ux.getuploader.com)
633:名無しさん@お腹いっぱい。
12/01/16 13:24:21.61
>>632
解析が間に合わないので、パスにします
イタズラする側でしたら、発行元にソースらしきものがおいてあるので、
ご自分でコンパイルされるといいかと思います
634:名無しさん@お腹いっぱい。
12/01/25 21:39:48.25
あ
635:名無しさん@お腹いっぱい。
12/01/31 06:30:51.23
URLリンク(www.iqonn.com)
636:名無しさん@お腹いっぱい。
12/01/31 16:28:37.75
URLリンク(u1.getuploader.com)
12345
637:名無しさん@お腹いっぱい。
12/01/31 17:01:24.25
>>635
見るからに著しい異常がないかだけみます
>>636
またばびろんか
帰ったら見ますが、本家のでよくないか?みたいな希がす
638:名無しさん@お腹いっぱい。
12/02/01 02:23:24.56
>>637
EULA に、
> The Software uses Common Archiver Kit Experiment 3 under GPL ...
などと書いてありましたが、実際には、7za.dll がバイナリリソースとして入っていて、
これのフロントエンドになっているようです。
だったら、7zfmでよくないか?っていう。
標準では、babylon toolbar を入れませんか、と言ってきます。拒否れました。
639:名無しさん@お腹いっぱい。
12/02/01 05:23:52.75
URLリンク(u1.getuploader.com)
12345
640:名無しさん@お腹いっぱい。
12/02/01 11:52:25.82
要PASS…?
641:名無しさん@お腹いっぱい。
12/02/02 11:10:01.93
>>639
RARSFX0
ウイルス検査したらパス求められて上の記号入れたら
検査できたけど これがパスワードなのかな????????
ちなみに結果は不検出 Bitdefenderです
642:名無しさん@お腹いっぱい。
12/02/02 11:21:17.92
>>639
実行するとパスを求められる事もなく
インストール画面がでてきたけどwww
どうもハッカツールみたいです
643:名無しさん@お腹いっぱい。
12/02/02 12:35:10.98
>>642
最後まで進んだ?
644:名無しさん@お腹いっぱい。
12/02/03 11:04:56.15
>>643
641の記号をいれると展開するけど途中で
このファイルは破損してる旨の英文エラー
がでる
645:名無しさん@お腹いっぱい。
12/02/06 18:41:42.33
URLリンク(lp.imesh.com)
646:名無しさん@お腹いっぱい。
12/02/06 19:00:48.45
URLリンク(www.vlcplayerdownload.com)
647:名無しさん@お腹いっぱい。
12/02/06 20:45:39.45
# 或る事情により、速攻(簡易鑑定水準)を1週間程度お休みいたしまする。。
648:名無しさん@お腹いっぱい。
12/02/06 23:20:40.61
Deus Exというシングルゲームでチートを使うツールを鑑定してもらいたいです。
Avastやカスペルだと有害と出るのですが…
お時間がある方よろしくお願いします。
URLリンク(www1.axfc.net)
virus
649:名無しさん@お腹いっぱい。
12/02/07 20:30:44.19
>>645
まずは: URLリンク(en.wikipedia.org)
>>646
もしかして: >>625
650:名無しさん@お腹いっぱい。
12/03/01 23:55:05.37
URLリンク(u1.getuploader.com)
12345
651:名無しさん@お腹いっぱい。
12/03/03 13:56:29.93 BE:1491007695-2BP(100)
ダウンロードマネージャと、vlc(v1.1)のセットです。
URLリンク(download.cdn.ilivid.com)
rapidshare などの垢を設定しておくと、そこにあがっている動画を指定すると、
勝手に落としてきて、vlc で開いてくれるみたいです。
youtube のものは、flvpro を使えと言ってくるようです。
searchqu というツールバーを入れませんかと言ってきます
ask.com の流れを汲むもののようです。
652:名無しさん@お腹いっぱい。
12/03/03 17:02:20.25 BE:2087411279-2BP(100)
ああそうそう。
使用時にGoogle Analytics を呼んでたのが、いまひとつ2ちゃん向きではないです。
653:名無しさん@お腹いっぱい。
12/03/03 23:09:28.98
URLリンク(www.mobile-download.net)
654:名無しさん@お腹いっぱい。
12/03/06 18:38:12.06
URLリンク(adlesse.com)
655:名無しさん@お腹いっぱい。
12/03/08 20:41:46.84 BE:530137128-2BP(100)
>>653
これは、紹介者にお尋ねください、でいいと思います
ソースによれば、やっていることはそうややこしくないようですが。
実行はしてません。あと、おまけでついてきてるライブラリは、内容未確認です。
>>654
IE,x86版だけ踏みました。IEに対してぐりもんします。
本体はこちら。product_id は、BHOのCLSIDと同じ。
URLリンク(lite.adlesse.com)
SNSにも影響のあるぽいことがちらっと見えますが、詳しいことは見ていません。
ブロックリストは、これみたいです。ちょっと旧い?
URLリンク(dyn.lite.adlesse.com)
stat.adlesse.com のほか、.../report.php にも何か送ろうとしてましたが、
とっとと止めちゃったので、よくわかりません。
656:名無しさん@お腹いっぱい。
12/03/30 07:31:06.07
URLリンク(u1.getuploader.com)
12345
657:名無しさん@お腹いっぱい。
12/03/30 21:12:51.21
URLリンク(u1.getuploader.com)
12345
658:名無しさん@お腹いっぱい。
12/03/31 10:06:36.37 BE:198801432-2BP(100)
多階層の自己解凍書庫で、インチキセキュリティソフトが入ってます
UI要素にFlashを使っているらしく、Flashが導入されていない環境では、
なんと、Flashの本体をどこかから拾ってきます
URLリンク(dl.dropbox.com) (自己解凍書庫)
興味深いのは、購入ボタンを押すと、IEっぽいフレームに、
URLリンク(onlineregister.com)
と書かれているのですが、実際には、
URLリンク(*.online-secure-pay4)。info/service/
につながることです
659:名無しさん@お腹いっぱい。
12/05/03 12:26:08.50
URLリンク(www.videoconvertertool.net)
660:名無しさん@お腹いっぱい。
12/05/03 12:31:44.04
URLリンク(www.rinsemymusic.com)
661:名無しさん@お腹いっぱい。
12/05/03 20:49:02.62 BE:596404229-2BP(100)
>>659
Babylon のツールバーをインストールしませんかと言ってきます わりといつも通り。
内容は、ffmpeg のフロントエンドのようです。
インストール後は、 URLリンク(www.videoconvertertool.net) に飛ばされます
662:名無しさん@お腹いっぱい。
12/05/03 22:37:53.46 BE:596404229-2BP(100)
>>660
iTunesもってないのでわかりませんが、ばらして覗いてみました
だいたい評判どおりのアプリっぽいです
ほんとにrealの製品の品質か?とは思いますが。。
バイナリは3MB近くありますが、そのうちの30%が
Gracenoteのクライアントランタイムで占められています
663:名無しさん@お腹いっぱい。
12/05/04 10:02:22.26
URLリンク(u1.getuploader.com)
12345
664:名無しさん@お腹いっぱい。
12/05/04 17:58:19.72 BE:463870027-2BP(100)
ツールバー URLリンク(cdn.download.sweetim.com)
IM拡張? URLリンク(cdn.download.sweetim.com)
その他。
URLリンク(cdn.download.sweetim.com)
URLリンク(cdn.download.sweetim.com)
URLリンク(cdn.content.sweetim.com)
広告として、ここから検索してくださいと言ってきます
URLリンク(search.sweetim.com)
IMしないので、ツールバーのみ評価しました
これというものを選んで、クリックすると、埋め込みコードがでてきます
emoticons はSWFでプレビュー、貼り付けはアニメGIF
icons はJPGでプレビュー、貼り付けはSWFです 総1300個ほどあります
665:名無しさん@お腹いっぱい。
12/05/04 18:09:33.32 BE:463870027-2BP(100)
お遊びとして、サイズの大きかったトップ3を参考に貼っておきます
コンパクトなものも、ベクターアニメで描かれていて、ちゃんと楽しめます
これを素材として、SNSなりIMなりで遊んでくれということみたいです
URLリンク(cdn.content.sweetim.com)
URLリンク(cdn.content.sweetim.com)
URLリンク(cdn.content.sweetim.com)
URLリンク(cdn.content.sweetim.com)
URLリンク(cdn.content.sweetim.com)
URLリンク(cdn.content.sweetim.com)
666:名無しさん@お腹いっぱい。
12/05/04 18:14:31.93 BE:1192807049-2BP(100)
貼り直し
URLリンク(cdn.content.sweetim.com)
URLリンク(cdn.content.sweetim.com)
URLリンク(cdn.content.sweetim.com)
URLリンク(cdn.content.sweetim.com)
URLリンク(cdn.content.sweetim.com)
URLリンク(cdn.content.sweetim.com)
667:名無しさん@お腹いっぱい。
12/05/05 02:44:02.96
URLリンク(t.co)
嘘セキュリティサイト
668:名無しさん@お腹いっぱい。
12/05/05 14:33:05.12
URLリンク(u1.getuploader.com)
12345
669:名無しさん@お腹いっぱい。
12/05/05 17:26:11.93 BE:695804437-2BP(100)
>>668
ばらしてみました
のべ20個近いツールバー・アドウェアのURLが書き込まれています
本体は URLリンク(software.cdnredirect01.info) のようです
960KB MD5: 39cd000dcd97cf5d355d112922797e3e
> Xvid 1.3.2 32-bit (built on 24.06.2011)
とありますが、真贋のほどは未確認です
670:668
12/05/05 19:02:31.62
>>669
ありがとう。厳しく評価して有害甘く評価して無害でも無益で一件落着ですね
671:名無しさん@お腹いっぱい。
12/05/05 19:46:05.88 BE:596404229-2BP(100)
無益というか、本家のでよくね?ってやつですね
2ちゃん的には、アドウェア入りは有害判定に偏らせますので、有害ですね。
672:名無しさん@お腹いっぱい。
12/05/05 19:48:38.85 BE:662670645-2BP(100)
>>667 は、仰るとおりなのですが、のんびり解析のほうに入れました。
十分な薀蓄が得られればレスします 見かけ上スルー?になってて御免。
673:名無しさん@お腹いっぱい。
12/09/09 02:57:41.76 BE:1855476678-2BP(100)
> ... So we’re delighted that Google, a long-time partner, has acquired VirusTotal.
> URLリンク(blog.virustotal.com)
674:名無しさん@お腹いっぱい。
12/09/19 12:53:50.04
URLリンク(www.utorrent.lv)
↑
ここのuTorrent 2.2.0 free download languages pack
落として、EXEだったんだけどクリックしたら変なのがインスコされて
IEのトップページが変わりました。
普通にアンインスコできたっぽいけど、これなんでしょうか?おねがいします。
675:名無しさん@お腹いっぱい。
12/09/19 12:56:17.20
あれ セキュ板にこんなスレがあったなんて
住人歴長い俺でも知らんかったわ
676:名無しさん@お腹いっぱい。
12/09/19 13:24:25.28
>>674
VirusTotalにかけてみると微妙
23 / 43という結果で一見やばいファイル確定かと思うけど
PCシステムには影響は及ぼさない程度のものか?
まぁP2Pアプリケーションだから変なの入ってても文句言えないけどw
677:674
12/09/19 14:50:30.17
>>676
ありがとうございます。
VirusTotal知らなかったんですが、自分でもやってみて結果画面を見ました。
ちょっと気持ち悪いんでOSのクリーンインスコしてきますw
落とした物のファイル名は偽装だったみたいです。
678:名無しさん@お腹いっぱい。
12/09/19 19:14:00.92 BE:1391607667-2BP(100)
mail.ru のアプリ?を落としてくるみたい
babylonが抱き合わせでついてくるのと同じ
中身は帰ったらvtにかけてみる
で、それを落としたら、btの署名のついた、
URLリンク(www.utorrent.lv)
を取ってくるけど、こんどはconduitのツールバーを引っ張ってくる(たぶん拒否可能)
たぶん、本命のランゲージファイルは、
URLリンク(utorrent.com)
で落とせると思う
なお、ボーナスコンテンツは、
URLリンク(featuredcontent.utorrent.com)
らしいので、インストール時はいったん拒否でおk
679:名無しさん@お腹いっぱい。
12/09/19 21:23:14.48 BE:795204746-2BP(100)
で、落とされてくるexeのURL/ファイル解析
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
GuardMailRu.exe(内臓) ってのは、砂箱と相性が悪いらしくて大量起動する よくわからない
mailrusputnik.exe ってのは、ツールバーのコンフィグ画面がでてきた ロシア語w
internet.exe ってのは、カスタム版のChromiumがでてきた
害があったかはわからないが、本家で落とせばよかったも、くらいの結果に。
680:674
12/09/20 09:44:18.13
>>678-679
感謝感激です。
ググって出てきたヤフー知恵袋のベストアンサーにあったリンクだったので、
EXEファイルながらなんも考えずに実行したのでしたw
PCもおかしなことになっていないっぽいんで、ちょっとこのまま使ってみます
681:名無しさん@お腹いっぱい。
12/09/20 09:56:26.70 BE:397602162-2BP(100)
mail.ru はロシアでは大手のサイトなので、
あまり腐ったものを配っていると思いたくはないのですが、
それでも、それなりにシステムに干渉するソフトでしょうから、
ぼつぼつ再インストール。を検討したほうがいいかもしれませんw
働いてくる
682:名無しさん@お腹いっぱい。
12/09/28 13:47:54.38
ロシアというだけで・・・と思うのは俺だけ?
683:名無しさん@お腹いっぱい。
12/09/29 00:30:34.03
パッカも、アンチウイルスも、解析ソフトも、結構ロシアは先進国
そしてたぶん、ウイルスも。
684:名無しさん@お腹いっぱい。
12/10/09 20:36:24.89
URLリンク(u1.getuploader.com)
12345
685:名無しさん@お腹いっぱい。
12/10/10 01:13:48.77 BE:662670645-2BP(100)
>>684
本体は、ffmpegの単なるGUIラッパで、見た感じ、特に珍しい点はありません
指摘のexeは、Babylon, PriceGong, Savings-Sidekick を落としてくるようです
問題は、bprotector なるモジュールで、ツールバー・検索設定などが
変更されないようにするらしいのですが、ディレクトリ名・EXE名を
Video Performer Manager に変更して(偽装して)All Users に紛れ込むようです
このモジュールの電子署名は、ForwardTech Inc になっています
686:名無しさん@お腹いっぱい。
12/10/10 15:47:29.04
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
687:名無しさん@お腹いっぱい。
12/10/13 04:57:36.91
URLリンク(u1.getuploader.com)
12345
688:名無しさん@お腹いっぱい。
12/10/13 11:09:39.32 BE:397602926-2BP(100)
ちょっと動かしてみましたが、同梱のヘルプファイルのとおりのようです
2つ起動して、localhostに接続させて、動作試験できました
これで、どこかに自IPを通知する機能でもあれば、立派な筒抜けソフトです
しばらく外部接続ぽい動きがないか、つけておいてみます
689:名無しさん@お腹いっぱい。
12/10/29 10:16:38.68
URLリンク(u1.getuploader.com)
12345
690:名無しさん@お腹いっぱい。
12/10/29 10:28:44.15
産業用コントロールシステムを専門とするセキュリティ企業Digital Bondが10月25日に明らかにした。
URLリンク(www.itmedia.co.jp)
691:名無しさん@お腹いっぱい。
12/10/29 13:20:55.98
>>689
SoftEther を信用するほかないとは思うのですが、、
インストールしてみましたが、ポータブル化を意識してなのか、
傍受用のドライバは実行時に入るみたいです
そこらへんを警告してくるセキュリティソフトは、あると思います
692:名無しさん@お腹いっぱい。
13/01/01 16:49:20.71
URLリンク(u1.getuploader.com)
12345
あけましておめでとうございます。
693:名無しさん@お腹いっぱい。
13/01/03 14:41:55.41 BE:397602634-2BP(100)
ことよろです。(・∀・)
帰省していた関係で、今気づきました
無圧縮EXEに偽装されている段階で、まあろくなんもんではないでしょうw
仕事から帰ったら踏んでみます
694:名無しさん@お腹いっぱい。
13/01/10 00:30:20.62 BE:894605639-2BP(100)
>>692
インチキセキュリティソフトとおもいきや、なにかのマルウェア本体のようです
発行IDらしきものがEXEのオフセット0x25から書いてあります
これとシステムID(16バイト)をサーバに送り、本体であるドライバの解読鍵を得るようになってます
695:名無しさん@お腹いっぱい。
13/01/12 17:03:10.27
URLリンク(u1.getuploader.com)
12345
よろしくお願いします
696:名無しさん@お腹いっぱい。
13/01/12 23:58:06.57 BE:397602443-2BP(100)
>>695
...\CurrentControlSet\Services\Tcpip\Parameters\Interfaces のパラメータを
調整してくれるソフトらしいです。インストール時にMACアドレスかなにかを収集・送信するほか、
条件によって、conduit ツールバーが入るようです
無理にこれ使わなくても。といったところでしょうか。
697:名無しさん@お腹いっぱい。
13/02/07 08:02:23.43
URLリンク(u1.getuploader.com)
12345
698:名無しさん@お腹いっぱい。
13/02/07 22:45:51.63
>>274 と同じものっぽいです
DataBase.ref をばらしてみることにします
699:名無しさん@お腹いっぱい。
13/02/08 00:48:48.56 BE:265068342-2BP(100)
>>697,698
軽微なレジストリエラーを検出、修復できるとうたっています
DataBase.ref はgzipで圧縮され、mcryptで暗号化されたホワイトリスト(TCL)でした
買わないと掃除できませんが、あんまり掃除しすぎなくていいエントリも入ってる気も。
700:名無しさん@お腹いっぱい。
13/02/18 18:14:06.47
URLリンク(u1.getuploader.com)
12345
701:名無しさん@お腹いっぱい。
13/02/18 19:02:48.42 BE:331335252-2BP(100)
>>700
本体が404なので、実行が進みません。
> URLリンク(awbeta.net-nucleus.com)
ぐぐるによると、古いアドウェアのようでした。
702:名無しさん@お腹いっぱい。
13/02/24 05:17:10.53
URLリンク(u1.getuploader.com)
12345
703:名無しさん@お腹いっぱい。
13/02/24 09:07:03.84 BE:1159673257-2BP(100)
>>702
トロイの木馬の本体のようです。起動すると、なにやらメーラを起動しようとしてました。
OEP 40B171.
704:名無しさん@お腹いっぱい。
13/03/01 12:20:51.60
URLリンク(u1.getuploader.com)
12345
705:名無しさん@お腹いっぱい。
13/03/01 19:34:20.44 BE:530135982-2BP(100)
>>704
Wordのアイコンがついていますが、起動すると、レシートぽいテキストファイルを表示します
それに気を取られているうちに、svchost.exeを起動して乗っ取り、猛烈な勢いで外部と通信します
基本的にトロイの1段目本体です
OEP 408960. ローダが冗長コードタイプのため、最後にUPXがかかってます
706:名無しさん@お腹いっぱい。
13/03/02 04:31:25.37
URLリンク(u1.getuploader.com)
12345
707:名無しさん@お腹いっぱい。
13/03/02 19:22:54.00
URLリンク(u1.getuploader.com)
12345
708:名無しさん@お腹いっぱい。
13/03/04 00:28:45.76
>>706
アドウェア付きの何かのような印象ですが不明
砂箱との相性なのか、インストーラのダウンロードが安定せず、インストールができません
709:名無しさん@お腹いっぱい。
13/03/04 00:56:04.07 BE:1060272948-2BP(100)
>>707
簡単なFLVプレーヤです Flash ランタイムを使用して動作するようです
searchya ツールバーをいれませんかと言ってきます
710:名無しさん@お腹いっぱい。
13/03/07 11:43:09.95
URLリンク(u1.getuploader.com)
12345
711:名無しさん@お腹いっぱい。
13/03/10 12:14:03.55 BE:397602443-2BP(100)
>>710
Flash Player Pro なるものを落としてこようとします
URLリンク(cdn.adlrma.com)
内容は、本家のものと同一です
URLリンク(www.flashplayerpro.com)
conduit のツールバーも落としてました。推定、アフィ付きダウンローダ。
712:名無しさん@お腹いっぱい。
13/03/12 21:56:43.01
パソコンのセキュリティに興味があり、現在独学で勉強しています。
家にある使ってないパソコン(ウィンドウズ)にウイルスを感染させて
どんな症状になるか?や、消えたファイルなどを復元できるか
試してみたいのですが、ウイルスファイルはどこで手に入りますか?
713:名無しさん@お腹いっぱい。
13/03/13 09:00:25.14
ご本人ですか?
URLリンク(detail.chiebukuro.yahoo.co.jp)
714:名無しさん@お腹いっぱい。
13/03/13 17:21:38.14
URLリンク(u1.getuploader.com)
12345
715:名無しさん@お腹いっぱい。
13/03/13 19:10:07.70
>>714
いまでも動くんですかねえ。
URLリンク(en.wikipedia.org)
> ... and eXeem's network was shut down by the end of 2005.
クライアントを覗くと、たしかにcydoorのライブラリを積んでいるようです
716:名無しさん@お腹いっぱい。
13/03/13 21:02:21.26
URLリンク(u1.getuploader.com)
12345
717:名無しさん@お腹いっぱい。
13/03/13 22:46:17.15 BE:795204746-2BP(100)
>>716
起動すると%temp%にコピーができ、そこに制御が移ります
unpackすると、>>694 とほぼ同じみたいです 作動条件等は未だ不明。
718:名無しさん@お腹いっぱい。
13/03/19 12:22:02.42
URLリンク(u1.getuploader.com)
12345
719:名無しさん@お腹いっぱい。
13/03/19 19:59:24.52
URLリンク(u1.getuploader.com)
12345
720:名無しさん@お腹いっぱい。
13/03/20 13:54:25.76 BE:397602443-2BP(100)
>>719
PDFではなく、NcDownloader が落ちてきます
ニコ動じゃないほうな。URLリンク(www.ncdownloader.com)
環境によってはdotnet4を落として入れるので、とてつもなく時間がかかります
で、その上に、search_defender, optimizerpro がセットアップされます
素性の良くないアドウェアのようです
721:名無しさん@お腹いっぱい。
13/03/20 20:38:03.80 BE:795204083-2BP(100)
>>718
それだけでは何も起りませんが、
配布元のページを開いておくと、インストールが続行されます
最終的に、たしかにVideo Download Converter がセットアップされます
URLリンク(ak.imgfarm.com)
基本的にはffmpegのフロントエンドです
>>719,720
忘れてましたが本体
URLリンク(i1.installbox1.info)
722:名無しさん@お腹いっぱい。
13/03/20 20:46:11.89 BE:2120544588-2BP(100)
>>718,720
それと、MyWebSearch ツールバーが入ります
723:名無しさん@お腹いっぱい。
13/03/31 16:05:07.86
URLリンク(u1.getuploader.com)
12345
724:名無しさん@お腹いっぱい。
13/05/04 15:28:25.95
URLリンク(www.neverend.co.jp)
中身はexe
725:名無しさん@お腹いっぱい。
13/05/05 09:02:37.28 BE:695804437-2BP(100)
>>724
数回のダウンローダを経て、本体に到達します
普通に実行しただけではエラーになりました
本体までは、AutoIt とかいうスクリプトのexe化されたものです
本体
アンパック前 URLリンク(www.virustotal.com)
アンパック後 URLリンク(www.virustotal.com)
726:名無しさん@お腹いっぱい。
13/05/17 12:24:43.14
URLリンク(u1.getuploader.com)
12345
727:名無しさん@お腹いっぱい。
13/05/18 10:37:35.95
>>726
うまく起動しなかったでござる
何かの中間ファイル?
728:名無しさん@お腹いっぱい。
13/06/18 23:43:46.09
日本気象協会tenki.jpが改ざんされている。まだ対策されていない。
729:名無しさん@お腹いっぱい。
13/06/21 00:20:23.34
>>728
ん?
Kaspersky反応しなかったけど改ざんされてるんか?