あやしいファイルを実行するスレ 2層目at SEC
あやしいファイルを実行するスレ 2層目 - 暇つぶし2ch695:名無しさん@お腹いっぱい。
13/01/12 17:03:10.27
URLリンク(u1.getuploader.com)

12345

よろしくお願いします

696:名無しさん@お腹いっぱい。
13/01/12 23:58:06.57 BE:397602443-2BP(100)
>>695
...\CurrentControlSet\Services\Tcpip\Parameters\Interfaces のパラメータを
調整してくれるソフトらしいです。インストール時にMACアドレスかなにかを収集・送信するほか、
条件によって、conduit ツールバーが入るようです

無理にこれ使わなくても。といったところでしょうか。

697:名無しさん@お腹いっぱい。
13/02/07 08:02:23.43
URLリンク(u1.getuploader.com)

12345

698:名無しさん@お腹いっぱい。
13/02/07 22:45:51.63
>>274 と同じものっぽいです
DataBase.ref をばらしてみることにします

699:名無しさん@お腹いっぱい。
13/02/08 00:48:48.56 BE:265068342-2BP(100)
>>697,698
軽微なレジストリエラーを検出、修復できるとうたっています
DataBase.ref はgzipで圧縮され、mcryptで暗号化されたホワイトリスト(TCL)でした
買わないと掃除できませんが、あんまり掃除しすぎなくていいエントリも入ってる気も。

700:名無しさん@お腹いっぱい。
13/02/18 18:14:06.47
URLリンク(u1.getuploader.com)

12345

701:名無しさん@お腹いっぱい。
13/02/18 19:02:48.42 BE:331335252-2BP(100)
>>700
本体が404なので、実行が進みません。
> URLリンク(awbeta.net-nucleus.com)

ぐぐるによると、古いアドウェアのようでした。

702:名無しさん@お腹いっぱい。
13/02/24 05:17:10.53
URLリンク(u1.getuploader.com)

12345

703:名無しさん@お腹いっぱい。
13/02/24 09:07:03.84 BE:1159673257-2BP(100)
>>702
トロイの木馬の本体のようです。起動すると、なにやらメーラを起動しようとしてました。
OEP 40B171.

704:名無しさん@お腹いっぱい。
13/03/01 12:20:51.60
URLリンク(u1.getuploader.com)

12345

705:名無しさん@お腹いっぱい。
13/03/01 19:34:20.44 BE:530135982-2BP(100)
>>704
Wordのアイコンがついていますが、起動すると、レシートぽいテキストファイルを表示します
それに気を取られているうちに、svchost.exeを起動して乗っ取り、猛烈な勢いで外部と通信します
基本的にトロイの1段目本体です

OEP 408960. ローダが冗長コードタイプのため、最後にUPXがかかってます

706:名無しさん@お腹いっぱい。
13/03/02 04:31:25.37
URLリンク(u1.getuploader.com)

12345

707:名無しさん@お腹いっぱい。
13/03/02 19:22:54.00
URLリンク(u1.getuploader.com)

12345

708:名無しさん@お腹いっぱい。
13/03/04 00:28:45.76
>>706
アドウェア付きの何かのような印象ですが不明
砂箱との相性なのか、インストーラのダウンロードが安定せず、インストールができません

709:名無しさん@お腹いっぱい。
13/03/04 00:56:04.07 BE:1060272948-2BP(100)
>>707
簡単なFLVプレーヤです Flash ランタイムを使用して動作するようです
searchya ツールバーをいれませんかと言ってきます

710:名無しさん@お腹いっぱい。
13/03/07 11:43:09.95
URLリンク(u1.getuploader.com)

12345

711:名無しさん@お腹いっぱい。
13/03/10 12:14:03.55 BE:397602443-2BP(100)
>>710
Flash Player Pro なるものを落としてこようとします
URLリンク(cdn.adlrma.com)
内容は、本家のものと同一です
URLリンク(www.flashplayerpro.com)

conduit のツールバーも落としてました。推定、アフィ付きダウンローダ。

712:名無しさん@お腹いっぱい。
13/03/12 21:56:43.01
パソコンのセキュリティに興味があり、現在独学で勉強しています。
家にある使ってないパソコン(ウィンドウズ)にウイルスを感染させて
どんな症状になるか?や、消えたファイルなどを復元できるか
試してみたいのですが、ウイルスファイルはどこで手に入りますか?

713:名無しさん@お腹いっぱい。
13/03/13 09:00:25.14
ご本人ですか?
URLリンク(detail.chiebukuro.yahoo.co.jp)

714:名無しさん@お腹いっぱい。
13/03/13 17:21:38.14
URLリンク(u1.getuploader.com)

12345

715:名無しさん@お腹いっぱい。
13/03/13 19:10:07.70
>>714
いまでも動くんですかねえ。

URLリンク(en.wikipedia.org)
> ... and eXeem's network was shut down by the end of 2005.

クライアントを覗くと、たしかにcydoorのライブラリを積んでいるようです

716:名無しさん@お腹いっぱい。
13/03/13 21:02:21.26
URLリンク(u1.getuploader.com)

12345

717:名無しさん@お腹いっぱい。
13/03/13 22:46:17.15 BE:795204746-2BP(100)
>>716
起動すると%temp%にコピーができ、そこに制御が移ります
unpackすると、>>694 とほぼ同じみたいです 作動条件等は未だ不明。

718:名無しさん@お腹いっぱい。
13/03/19 12:22:02.42
URLリンク(u1.getuploader.com)

12345

719:名無しさん@お腹いっぱい。
13/03/19 19:59:24.52
URLリンク(u1.getuploader.com)

12345

720:名無しさん@お腹いっぱい。
13/03/20 13:54:25.76 BE:397602443-2BP(100)
>>719
PDFではなく、NcDownloader が落ちてきます
ニコ動じゃないほうな。URLリンク(www.ncdownloader.com)
環境によってはdotnet4を落として入れるので、とてつもなく時間がかかります

で、その上に、search_defender, optimizerpro がセットアップされます
素性の良くないアドウェアのようです

721:名無しさん@お腹いっぱい。
13/03/20 20:38:03.80 BE:795204083-2BP(100)
>>718
それだけでは何も起りませんが、
配布元のページを開いておくと、インストールが続行されます
最終的に、たしかにVideo Download Converter がセットアップされます
URLリンク(ak.imgfarm.com)
基本的にはffmpegのフロントエンドです

>>719,720
忘れてましたが本体
URLリンク(i1.installbox1.info)

722:名無しさん@お腹いっぱい。
13/03/20 20:46:11.89 BE:2120544588-2BP(100)
>>718,720
それと、MyWebSearch ツールバーが入ります

723:名無しさん@お腹いっぱい。
13/03/31 16:05:07.86
URLリンク(u1.getuploader.com)

12345

724:名無しさん@お腹いっぱい。
13/05/04 15:28:25.95
URLリンク(www.neverend.co.jp)

中身はexe

725:名無しさん@お腹いっぱい。
13/05/05 09:02:37.28 BE:695804437-2BP(100)
>>724
数回のダウンローダを経て、本体に到達します
普通に実行しただけではエラーになりました
本体までは、AutoIt とかいうスクリプトのexe化されたものです

本体
アンパック前 URLリンク(www.virustotal.com)
アンパック後 URLリンク(www.virustotal.com)

726:名無しさん@お腹いっぱい。
13/05/17 12:24:43.14
URLリンク(u1.getuploader.com)

12345

727:名無しさん@お腹いっぱい。
13/05/18 10:37:35.95
>>726
うまく起動しなかったでござる
何かの中間ファイル?

728:名無しさん@お腹いっぱい。
13/06/18 23:43:46.09
日本気象協会tenki.jpが改ざんされている。まだ対策されていない。

729:名無しさん@お腹いっぱい。
13/06/21 00:20:23.34
>>728
ん?
Kaspersky反応しなかったけど改ざんされてるんか?


最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch