08/08/06 18:37:59
>910
無論、8/5の時点で提出済み。そのときは、どのソフトもウイルス判定してませんでした。
今日の朝になるまでは、カスペすら全く反応無し。
あからさまにネットワークの使用量が跳ね上がったので、おかしいとは思ったんだけど、
ウイルス判定が全く出なかったので自分の勘違いかと思ったよ。
タスクマネージャみたら、妙な名前のプロセスだけが動いてるもんだから、これ以外、あり得なかったのだが。
アドバンストヒューリスティックエンジンを過信しすぎるのも禁物だな……いい経験になったよ。
912:名無しさん@お腹いっぱい。
08/08/06 21:05:53
URLリンク(uploadr.net)
913:名無しさん@お腹いっぱい。
08/08/06 21:10:22
URLリンク(uploadr.net)
914:名無しさん@お腹いっぱい。
08/08/06 23:24:10
>>912
AVGが反応したぞ。なんだこれは。
915:名無しさん@お腹いっぱい。
08/08/07 09:53:07
912はAntiVirもavast!もBitDefenderも反応する。
Symantecまで反応するがカスペはスルーした。
916:名無しさん@お腹いっぱい。
08/08/07 10:54:56
>>914-915
他スレで晒されていた"NeorageX"というエミュレータのhack版らしいw
多分、誤検出。
917:名無しさん@お腹いっぱい。
08/08/07 11:00:48
>>916
AntiVir、avast!、AVG、BitDefender、McAfee、NOD32、Symantecまで検出してるのにこれが誤検出?
ここまで主要ベンダーが検出してるのにとても誤検出とは考えにくいんですけど・・・?
918:名無しさん@お腹いっぱい。
08/08/07 11:55:34
>>917
実行してみたけど、普通にエミュレータとして動作したよ?
919:名無しさん@お腹いっぱい。
08/08/07 16:19:55
そんなの検体送ればすぐ分かる事
920:名無しさん@お腹いっぱい。
08/08/07 18:30:45
clamではスルーされたorz
921:名無しさん@お腹いっぱい。
08/08/10 22:07:30
そもそもキーを入力しないと、unpackが進まない予感
パックされた本体(PDATA)を除いて、スタブだけにして送ってみた
(整合性が失われた状態のファイルのスキャン結果は、ベンダのポリシにもよるため、参考値)
URLリンク(www.virustotal.com)
922:名無しさん@お腹いっぱい。
08/08/10 22:47:30
そもそも本当にウイルスなら実行した時点でキーの入力なんて求めるわけないし、
わざわざキーを入力しないとウイルスとして動けないなんてものあるわけないw
923:名無しさん@お腹いっぱい。
08/08/10 23:18:46
…まあ、実行してみたサンドボックスのせいで、
通常要求してこないキー要求があったのかもしれないとも思ってたり
パッカって意外とそんなもん。
っていう雑談
924:名無しさん@お腹いっぱい。
08/08/10 23:36:01
一応>>912のファイルはzlib.dllとneogeoのbiosが無いと起動すらしないはず。
さらに以下のキーを入力しないとちゃんと動作しない。
Emu-Zone
6FB3-2BC0-A3B4-B5A5
925:名無しさん@お腹いっぱい。
08/08/11 00:54:58
Z. 起動はしないけど、制御は本体までたどり着ける
entry 48876c かな
つかこれ、何層パッカかかってるんだか
制御を奪取できればおんなじことなんだが、誤検出だとしたれら、それを招いてる原因にはなるかも
一応、その時点でダンプしたものをVTに押し込んでみた
純粋にダンプしただけ PEファイルとして一貫性はないので、著しく参考値
URLリンク(www.virustotal.com)
で、本体について
ぱっと見には、通信機能はなさげかもだけど、有害じゃない。と言い切ることは昨今不可能に近いので、
それこそ、サンドボックス内での実行を勧めるというあたりかと
926:名無しさん@お腹いっぱい。
08/08/11 17:05:59
明らかにマイクロソフトじゃない所からメールで
IE最新版ダウンロードとかいってそれらしくexeファイルにリンクされてるんですが
これは危険ですか?
www.altotrabajosverticales.com/images/ie7.0.exe
927:名無しさん@お腹いっぱい。
08/08/11 17:25:21
URLリンク(www.trendmicro.co.jp)
928:名無しさん@お腹いっぱい。
08/08/11 20:59:15
途中まで踏んでみた
中にこれ入ってた (UPXかかってるので、サイズはまったく異なる)
URLリンク(www.microsoft.com)
URLリンク(download.sysinternals.com)
セキュ板に居るくらいの人なら、出てくるエラーの内容で、ただのブルースクリーンじゃないと気づくだろうけど、
(ネタエラーが出てくることもあるし、そうでなくても、見かけない種類のエラーを吐く)
普通だとナンダコリャ?ってなるだろうな
NoDispScrSavPage, NoDispBackgroundPage が設定されるのは、前評判どおり
929:名無しさん@お腹いっぱい。
08/08/11 22:30:48
>>928
そのscrロックされて解除できなくなるそうだ。
930:名無しさん@お腹いっぱい。
08/08/11 22:52:05
うん。NoDispScrSavPage によるところかな、他にもあるのかな
なんにせ、本家のやつで楽しめばおk
931:名無しさん@お腹いっぱい。
08/08/12 16:33:03
>926 さっき俺が踏んでみたww
ニセセキュリティが起動して
お前は感染してるだの何だの言ってきた
IEのTOP(の一部?)とか壁紙とか変えられちまった
URLリンク(www-2ch.net:8080) ここの
08/08/12(Tue) 15:32:29 のファイルが
その時のスクリーンショットだから
見たいやつは見て来い