10/04/11 20:43:20
こいつも何か怪しいな
URLリンク(download.cnet.com)
ファイル自体もこんな感じで
URLリンク(www.virustotal.com)
実行すると明らかにインチキくさいスキャン画面がでてこれ
URLリンク(www.virustotal.com)
をダウンロードさせようとする。しかももっと調べるとこれとよく似たUIのソフトがおいてある。
ただの誤検知、偶然でいいのか、もしくはdownload.comがまともに審査してないのか、、、
266:261
10/04/11 20:58:44
>>264 乙です。
URLリンク(www.virustotal.com)
検出 19/39
ん~、それは流石に無い気がする。つか、現時点でベンダーの半分は黒判定してますね。
ところで、ちょっと面白いと思ったのが、>259,261も>264もBitDefenderは検出しないのに、Bitエンジン+αのF-Secはきっちり検出するのね。
>261ではAvastもBitもスルーするから当然G DATAもスルー。F-Secもスルーしても良さそうなのに...
あと、>264はKasperskyがスルーぶっこきやがったんで、提出させていただきました。検体提供どーもです。
267:261
10/04/11 21:33:42
>>265 乙です。
それ、胡散臭すぎ...(苦笑
とりあえず、Kasperskyの他に、AntiVir,Avast,AVG,BitDefender,MicrosoftのFree組5社に送ってみた。
(Adware-Setup.exe , setupxv.exeの両方)
判定結果くれない所多いから、1週間位したら、再度VTにかけてみますか。
268:261
10/04/11 22:05:08
>>267 補足
理由はわからんけど、Microsoftのサーバーが検体受け取りを拒否して setupxv.exeが提出できなかったんで
Microsoftへの提出はAdware-Setup.exeのみです。(他のAvastとかは2個とも提出)
269:261
10/04/11 22:35:47
>>265,267-268 の件
まいど。
ちょっと調べてからコメント書けば良かったんだけど、それ、MalwareRemovalBot と言って海外じゃ結構有名らしい。
(検索すると結構出てくる)
→ URLリンク(forums.malwarebytes.org) (Malwarebytesの解説)
有名なわりに検出率低いので、多分、最近の亜種か改変版じゃないかと...
270:名無しさん@お腹いっぱい。
10/04/12 09:18:41 BE:2385612689-2BP(0)
AutoPlay Media Studio てののランタイムと、フォント。
autorun.cdd にかかってる保護はどってことなくて、
独自部分は、たぶん4KBくらいしかないです(圧縮時)
特に肝心なのは、この部分かと。
> File.OpenURL("URLリンク(www.registry-fix-softwares.com)",SW_SHOWNORMAL);
cnet もほっとくなよ、こんなもん(w
無害と強弁したとして、ただのスパムアプリじゃんw
271:名無しさん@お腹いっぱい。
10/04/12 09:38:06
>>264
常識的に考えて、IEのアップデートがどとねととか、おかしい罠w (普通はわからんにしても)
> C:\Users\Sergiu\Documents\Visual Studio 2008\Projects\Antivirus2010\Antivirus2010\obj\Release\Antivirus2010.pdb
Sergiu って誰よw
NT6- で開発か。インチキ集団も金持ちだなあw
272:名無しさん@お腹いっぱい。
10/04/12 21:37:18
コード読んで解析できるってみんなすごいなぁ...
273:名無しさん@お腹いっぱい。
10/04/12 22:47:46
>>264
こいつ、元ネタはUser AntiVirusっていうらしい。www
もともとUserって書いてたところを消してNEWに書き換えただけみたいだ。
比べていたら分かるが、それ以外何一つ変わってないぞこれwww
274:名無しさん@お腹いっぱい。
10/04/12 23:20:56 BE:596404229-2BP(0)
setupxv も実行してみた
download.2squared.com から検出DBらしきものを拾ってくるのはいいんだが…
> Server: Apache
> Last-Modified: Fri, 12 Mar 2010 17:23:43 GMT
どんだけ更新してないんだよw
まさか、鯖が1ヶ月ズレてるとかないよな
> Date: Mon, 12 Apr 2010 12:XX:XX GMT
それはなかった
275:名無しさん@お腹いっぱい。
10/04/14 19:40:10
Welcome back!
各ファイルの調査結果は以下のとおりです。
ファイル ID ファイル名 サイズ (バイト): 結果
25647073 Adware-Setup.exe 2.79 MB MALWARE
各サンプルに関する詳細レポートは以下のとおりです。
ファイル名 結果
Adware-Setup.exe MALWARE
ファイル 'Adware-Setup.exe' は、'MALWARE' と判定されました。 この脅威は、弊社アナリストにより TR/Agent.2930168 と命名されています。
"TR/" という用語は、データの内容を密かに探ったり、プライバシーを侵害したり、システムに無用の変更を加えたりする機能を備えた、トロイの木馬を指します。バージョン 7.10.06.71 以降、ウイルス定義ファイル (VDF) に検出用のデータが追加されます。
276:名無しさん@お腹いっぱい。
10/04/15 05:24:47
URLリンク(upup.s10.x-beat.com)
infected
URLリンク(www.virustotal.com)
中身は同じインチキソフトなのに検出数が違うのはなぜですか?
277:276
10/04/15 05:41:26
書き忘れました。259と中身は同じインチキソフトです。
278:名無しさん@お腹いっぱい。
10/04/15 14:05:56 BE:530136544-2BP(0)
本質的には同じもののようですが、解析よけ(パッカ)の先頭部分が異なるようです
パタン型検出エンジンとの攻防の結果でしょうかね
279:名無しさん@お腹いっぱい。
10/04/24 18:38:24
URLリンク(www.uploda.biz)
このアプリが反応するんだけど他の人はどうですか?
280:名無しさん@お腹いっぱい。
10/04/26 00:08:06
誘導された先からたどり着きました
URLリンク(www.sexuploader.com)
exeなのですが、実行しても大丈夫でしょうか
中身はエロ動画だと思います
281:名無しさん@お腹いっぱい。
10/04/26 10:01:01
先頭1MBのみ確認、ぱっと見、dgcaの自己解凍書庫ではないでしょうか
自己解凍機能を使用する必要はありません、信頼できるexeで解凍しても同じこと
で、解凍した中身については不関知
数は少ないが、腐った動画ファイルってのもないではないわけだし
山野のファイルを拾って楽しむなら、爆弾踏んでも壊れない環境を構築すること
282:名無しさん@お腹いっぱい。
10/04/26 11:06:32
>>279
実質404 転載よろ
283:名無しさん@お腹いっぱい。
10/04/26 17:58:13
>>281
ありがとうございます
開いて安全か分からないって事ですよね、とりあえず放置する事にします
284:名無しさん@お腹いっぱい。
10/04/27 09:14:35
やべぇ、踏んじまった。
URLリンク(www.dotup.org)
kiken
広告が大量に開いたが、これって?
virustotalでも剣質0なんて・・・
URLリンク(www.virustotal.com)
285:名無しさん@お腹いっぱい。
10/04/27 21:29:47 BE:1855476487-2BP(0)
17個ものアフィURLを開いた上で、ゲームキャプ動画かなんかが少し流れる
Flashのバージョンによっては、px.a8.net につないでいいですかと聞いてきます
無害でも非絵炉 どっちかっていうと、ブラクラかも(w
参考: 設定変更URLはこちら
URLリンク(www.macromedia.com)
286:名無しさん@お腹いっぱい。
10/05/03 10:12:44
URLリンク(upup.s10.x-beat.com)
12345
287:名無しさん@お腹いっぱい。
10/05/03 13:53:21
これと同じ URLリンク(sarbash.com)
ちょっと起動しただけでは、何の変哲もないようですが…。
>>2 のとおり、完全な安全判定というのは、ありえないという考え方なので、
判定: 不明
288:名無しさん@お腹いっぱい。
10/05/04 18:13:28
URLリンク(www.dotup.org)
infected
ノートンのダウンロード検査では要確認
URLリンク(www.virustotal.com)
289:名無しさん@お腹いっぱい。
10/05/04 21:04:50
これと同じ URLリンク(www.streamingstar.com)
winpcapを同梱してるので、警戒表示が出ているのかもですね
ネットワークを監視して、ストリーミングキャプチャのきっかけにしたいのだと思いますが、
セキュリティソフトとしては、たしかに、あらゆる通信が傍受されかねないと、言えなくはない
安全確保には、仮想PCをお使いください(※危険とは限らない)
なお、起動直後に、URLリンク(www.streamingstar.org) を見に行きました
290:名無しさん@お腹いっぱい。
10/05/09 16:10:17
URLリンク(ux.getuploader.com)
お願いします。
291:名無しさん@お腹いっぱい。
10/05/09 17:30:22
>>290
URLリンク(www.virustotal.com)
292:名無しさん@お腹いっぱい。
10/05/09 22:00:02 BE:1391607667-2BP(100)
単体では動作確認が難しいです(xfi.dllへのスタティックリンクあり)
warezのようですので、簡単な確認のみ: 実行時ダンプしたものを投げると、
ヒューリスティックでW32/Downloader.K.gen!Eldorado などの判定が一部に出ます
URLリンク(www.virscan.org)
よく出る誤判定のようなのですけど、そのへんはなんのこっちゃわからんです
いずれにしても、これは提供元にご相談ください
----
※vtが人気ですけど、vtがなんか重くてつながらなかっただけ。
293:名無しさん@お腹いっぱい。
10/05/10 23:42:00
URLリンク(www.dotup.org)
このスクリーンセーバは信用できますか?
294:293
10/05/10 23:44:40
追記 パス infected
295:名無しさん@お腹いっぱい。
10/05/11 08:26:41 BE:463869072-2BP(100)
MyWebSearch系. コテコテのadwareです
2ちゃん的には、回避推奨になるんじゃ。
インストールしたバイナリをうpしたもの:
URLリンク(www.virustotal.com)
で、肝心のスクリーンセーバーについては、
暗号化された(推定)動画ファイルを使用したもののようです
例) URLリンク(ak.scr.imgfarm.com)
296:名無しさん@お腹いっぱい。
10/05/11 08:33:21 BE:2385612689-2BP(100)
SWFのも、あった
例) URLリンク(ak.scr.imgfarm.com) 【安全未確認】
297:名無しさん@お腹いっぱい。
10/05/17 20:57:32
URLリンク(toku-strawberry.net)
念のためにDLkey、解凍共にvirusでパスかけてあります。
タイトルと無関係に変な動画を再生する偽装exeですが、
そのほかに常駐等、裏で悪さをしてないかちょっと気になったもので・・・
ちなみにノートンは無反応でした。
298:名無しさん@お腹いっぱい。
10/05/17 23:30:53 BE:331335252-2BP(100)
yaojing.exe がラップされています
島は指名回避されているようです
URLリンク(www.virustotal.com)
これは、検出可否スレに送っておきます
299:名無しさん@お腹いっぱい。
10/05/18 00:36:31
>>298
どれの話?
300:名無しさん@お腹いっぱい。
10/05/26 11:29:28
URLリンク(loda.jp)
最近ネトゲのスレッドに貼り付けられています
迷惑中華でしょうか?
301:名無しさん@お腹いっぱい。
10/05/26 14:02:04
URLリンク(aspstone-co.com)
ついでにこれもです
302:名無しさん@お腹いっぱい。
10/05/28 00:28:37 BE:596403263-2BP(100)
>>300
ウイルスらしきものがまざってます
URLリンク(www.virustotal.com)
>>301
ちゃんとみてませんが、ウイルスらしきURLがまさってます
数日前に、vtに出されてました
URLリンク(www.virustotal.com)
ちゃんと最後まで踏んでませんけど、PC有害でいいと思います
303:名無しさん@お腹いっぱい。
10/05/28 00:42:38
>>300
URLリンク(www.virustotal.com)
トロイですね。 検出 34/41で、日本でよく使われているソフトだとフリーも含めて全部検出するから、特に問題ない気もするけど。
つーか、逆に、こんな検出率高いものに感染するような人は、正直何をやってもダメでしょ。
>>301
なんか変なスクリプトが仕込まれてる。カスペのサンドボックス経由で踏んだらトロイが3個検出されて全部遮断。
google safe browsingも真っ赤。
URLリンク(safebrowsing.clients.google.com)
NortonSafeWebも真っ赤。
URLリンク(safeweb.norton.com)
ま、近寄らない方が良いですね。専ブラ使っているなら、両方ともブラクラ登録その他しておきましょう。
304:303
10/05/28 00:46:39
おおっと、>302さんとかぶった。 質問出てから時間たってるから、今更かぶらないと思ったら意外。
まあ、世の中こんなもんかも。(苦笑
305:名無しさん@お腹いっぱい。
10/05/28 00:52:21 BE:994005465-2BP(100)
Zw
306:名無しさん@お腹いっぱい。
10/05/28 18:31:28
URLリンク(aimeblog.com)
偽装っぽいのですが
307:名無しさん@お腹いっぱい。
10/05/28 18:34:36
URLリンク(aimeblog.com)
これも偽装っぽいです
308:名無しさん@お腹いっぱい。
10/05/28 19:31:47
>>306
URLリンク(www.virustotal.com)
309:名無しさん@お腹いっぱい。
10/05/28 23:42:38
>>307
IE6/7の脆弱性攻撃へのリンクがあります。(画像が表示されている裏で攻撃を受ける)
URLリンク(www.virustotal.com)
対応していないベンダーは危険かも...というか、Nortonとバスターが未対応とか、結構危険かな。
ただし、IE8(SmartScreen)もFirefox,Chrome(Google Safe Blowsing)も、どちらもブラウザがブロックしてくれます。
IE6/7の使用者で、未対応ベンダーのソフトを使ってる人はヤバイと思います。
ちなみに、CVE-2010-0806の解説(毎度おなじみso-netさん)
URLリンク(www.so-net.ne.jp)
310:名無しさん@お腹いっぱい。
10/05/30 20:53:11
踏んだ奴がテンパってるらしくて鑑定スレでよく見かける
URLリンク(blog-imgs-33.fc2.com)
URLリンク(www.russianbare.com)
悪乗りしたバカが他スレにも転載してやがる
311:名無しさん@お腹いっぱい。
10/05/31 00:51:14
>>310
私は、そのURL鑑定を依頼した本人です。
私がパニックになって複数の鑑定スレで該当URLの鑑定依頼をしてしまったため、
そのレスが愉快犯に目をつけられてしまったらしく、該当URLの直リンを鑑定スレとは関係のない
他スレに転載されてしまいました。罠のように貼られていました。
私の軽率な行動が起こしてしまった事態です、申し訳ありません。
私は当初セキュリティ板の存在を知らず、画像鑑定スレで依頼をしてしまったため、リンク先の
画像の鑑定はしていただけたのですが、ページ自体に何か仕込まれていないかの答えが得られなかったのです。
312:311
10/06/02 07:51:49
>>310の上のほうのURLは中国の最低なアダルトサイトなので開かないほうがいいです。
私が他鑑定スレで鑑定依頼したところ、一応このページ自体には仕掛けはないとのことでした。
下のほうのURLは海外のヌーディストサイトの直リンよけページみたいです。
私がそのURLを踏んだのはスレリンク(x3板)の45レス目と46レス目で
クリックした後不安になり、該当URLをグーグル検索したのですがヒットしたのは元サイトと上記のスレだけでした。
(現在は私が鑑定スレにURLを貼ったのでそちらもヒットしますが)
不思議なのは、2ちゃんでよくある嫌がらせの騙しリンクであれば過去にも貼られているはずなのにその形跡がなかったことです。
なぜ突然このURLが上記のスレに貼られたのか宣伝のために貼ったのか意図が読めなくて気持ち悪いですね。
どうせ直リン先に仕掛けはなくてもページを進んだ先に詐欺リンクがありそうなサイトですが。
313:311
10/06/03 22:05:11
問題解決しました。すでにiframeが消滅しているため、このページに限っては大丈夫みたいです。
しかし、こんな不快な騙しリンクを貼るなんて何者だろうと思い、類似URLを検索したら結構ヒットしますね。
貼ってる連中のほとんどが単発IDで微妙な日本語で書き込んでるので外人でしょうね。
初心者質問スレではお騒がせして申し訳ありませんでした。
314:311
10/06/04 15:48:45
スレのみなさん申し訳ありません。
>>310に書かれているURLはウイルスではなく、ただの倫理的に問題のあるアダルトサイトだとわかったため
スレ違いだと思い削除依頼したのですが、依頼方法に誤りがあったため、受理されませんでした。
申し訳ありませんでした。今後はマルチポストにならないように気をつけます。
315:名無しさん@お腹いっぱい。
10/06/04 23:10:10
はっきり言っておいてやろう
もちつけwwww
316:311
10/06/04 23:57:30
>>315さんレスをいただき、ありがとうございます。
今は、URL鑑定の結果が分かり、落ち着いているのですが、罠リンクを踏んだ当時は
冷静さを欠いてしまい、早く答えがほしくて(別板で質問すればマルチにはならないだろう)と、
複数の板で同様の質問をしてしまいました。ごめんなさい。
ただ、冷静になって考えたら、多くの板にこの危険なリンクを貼ってしまって、
貼り方だってもっと安全なやり方があったのにただ単純にURLを書いてしまって
後悔ばかりが出てきて言い訳がましい書き込みを連投してしまいました。
本当にすいませんでした。
317:名無しさん@お腹いっぱい。
10/06/12 12:03:40
URLリンク(upp.sakura.ne.jp)
infected
怪しいと思います。どうでしょうか?
318:名無しさん@お腹いっぱい。
10/06/12 16:26:59
実行すると一応書いてありますが、URLリンク(for-ever.us) のラッパのようです
直接 for-ever.us に行けばいいのではないかと。
for-ever.us が信用出来るかどうかは不明です
一応、送信できました。というwebページもわずかにありますが、
評価は定まっていないと見るべき
319:名無しさん@お腹いっぱい。
10/06/17 02:57:06
URLリンク(firestorage.jp)
フリーゲーム
320:名無しさん@お腹いっぱい。
10/06/17 09:42:09 BE:1192806094-2BP(100)
とりあえず、これと同じ
URLリンク(d3.spintop-media.com)
展開すると、バカでかいEXEと残りに分けられる
EXE【以外】をとりあえずvtに投げておく
URLリンク(www.virustotal.com)
今はここまで。働いてくる
clamav のPUA.Packed.MinGWGCCDLL.2xx がどのくらいのものかは、たった今はわからない
321:名無しさん@お腹いっぱい。
10/06/17 10:55:05
>>320
多忙のなかありがとうございます。
配布元HPにはNOスパイ NOアドと書いてあったので
ゲームを実行しようと思ったのですが少し心配になったので
ここに貼らさせていただきました。
322:名無しさん@お腹いっぱい。
10/06/18 09:05:09 BE:2385612498-2BP(100)
結局、ちょっとプレイしてみた感じでは、異常はなさげでしたが…
…そんなことより、これ60分の評価版ですよ
323:名無しさん@お腹いっぱい。
10/06/22 10:55:45
URLリンク(www.dotup.org)
2010 fifaワールドカップのサイトで落とした怪しいファイル
infected
324:名無しさん@お腹いっぱい。
10/06/22 13:45:26
アウトの気がする、正規品が、こんだけややこしいローダを組む理由がわからない
が当方環境でうまく実行できないのでいまんとこ保留扱い
325:名無しさん@お腹いっぱい。
10/06/22 19:50:35
>>323
AviraでもカスペでもDropper扱いされるね。
326:名無しさん@お腹いっぱい。
10/06/30 10:11:07
URLリンク(www.dotup.org)
akb48
URLリンク(www.virustotal.com)
327:名無しさん@お腹いっぱい。
10/06/30 15:23:32 BE:397602926-2BP(100)
ペイロードが3つ入っていました 検出可否スレに送ります
スレリンク(sec板:541番)
328:名無しさん@お腹いっぱい。
10/07/07 11:25:07
このファイルの鑑定をお願いします。
URLリンク(www.dotup.org)
329:名無しさん@お腹いっぱい。
10/07/07 14:45:50
keygenとメガデモらしきEXE
330:名無しさん@お腹いっぱい。
10/07/12 16:06:18
URLリンク(www.dotup.org)
infected
331:名無しさん@お腹いっぱい。
10/07/12 21:33:11 BE:1789209869-2BP(100)
>>330
>>326 の亜種です。ウイルスということでいいと思います
ペイロードが3つ入っていました 検出可否スレに送ります
スレリンク(sec板:545番)
書き忘れてましたが、>>326 とも、実行が最後まで行かなかったため、
「で、結局これ何」というのは、うまく答えられません
何かのパッチのような説明書が付いてましたけど。。
勘で言えば、ウイルス100% 例によって、釣りバイナリではないかと。