09/01/23 23:15:42
>>248
各ベンダーのシグネチャの性質にやはり違いはありますね
カスペは個別にシグネチャ作るんでしょうね
あとはヒューリスティックにもそれぞれ特徴がありますよね
Pandaはクラウドベースとヒューリスティックが連携してるからとりあえず怪しければグレー判定する傾向が強い
Nortonの方はまだまだわからないのでもっと使ってみてどんな傾向があるのか調べてみたい
NOD32のアドバンスドヒューリスティックみたいなものだったらシグネチャが多いNortonに活きそうだけど現時点ではシグネチャ(パルスアップデート)とヒューリスティックが連携取れてるように見えないのが残念
251:名無しさん@お腹いっぱい。
09/01/23 23:24:13
>>241
Dr.Web(VirusTotalでは検出しないが、既知のファイルとして返答)
Your submission has been processed.
This virus is already known to us;
an entry for this virus has been added to the Dr.Web virus database earlier.
Viruses: Trojan.Packed.449
-----
Rising メールで送付すると、サポートセンターへ行けという自動返信がくるようになった。
Webフォームからの受付に絞られたかも。
252:名無しさん@お腹いっぱい。
09/01/23 23:46:15
>>236
カスペ2009もアクセスできない。
2009/01/23 23:40:23 URLリンク(193.138.205.121) Detected: 193.138.205.121/* Reason: Databases
IPアドレス事態が危険なアドレスとしてデータベースに含まれているな。>Web Anti-Virusのsuspicious sites
253:名無しさん@お腹いっぱい。
09/01/23 23:50:30
>>252
avast!とAntiVirは普通にアクセスできた
ネットワークシールドもAntiVirWebガードもスルーという状態
254:名無しさん@お腹いっぱい。
09/01/24 00:08:23
>>249
>Nortonは侵入防止機能が激怒してそこのサイトには行かしてくれず
実際の検体は(VirusTotalでは)スルーしてるけど、アクセス拒否するなら安心だね。
USBメモリとか経由して持ち込まれたら感染するんだろうから、提出は必要だけど。
(Symantecにも>241の検体退出済み)
255:名無しさん@お腹いっぱい。
09/01/24 00:09:09
>>241
NOD32 v3.0 定義3792
オールスルー。
Esetへ提出しました。
256:名無しさん@お腹いっぱい。
09/01/24 00:11:35
>>249
>avast!はネットワークシールドがAntiVirはWebガードが働けばそういうサイトに踏むことはないと思うけど
2つとも検出してないから無理
257:名無しさん@お腹いっぱい。
09/01/24 00:13:00
255です。追記。
NOD32 webアクセス保護機能では保護機能が働かずにアクセスが可能状態。
従ってURLも同時に報告しました。
258:名無しさん@お腹いっぱい。
09/01/24 00:14:09
>>241
AntiVir
(0/48)
BitDefender 10 Free
(0/48)
Spybot
(0/48)
SUPERAntiSpyware Free Edition
(0/48)
259:名無しさん@お腹いっぱい。
09/01/24 00:18:45
>>254
>実際の検体は(VirusTotalでは)スルーしてるけど
Norton2009はヒューリスティックで検出しますよ>>246
ただPandaのクラウドベース検出にもいえるけどNortonの拡張ヒューリスティック検出は手動スキャンじゃないと反応しない
恐らく常駐時での誤検出を防ぐために手動スキャンのみヒューリスティックを強力にしてるんだろうけど
260:名無しさん@お腹いっぱい。
09/01/24 00:39:04
>>241を何個かだけ実行してみて、落ちてきたファイル(6個)
URLリンク(tane.sakuratan.com)
virus
ちなみにカスペ2009(送信済み)
1/6
HEUR:Trojan.Win32.Generic gEWoPfgd.dll
261:名無しさん@お腹いっぱい。
09/01/24 00:46:53
>>240
MD5が違うよ
262:名無しさん@お腹いっぱい。
09/01/24 01:01:44
>>261
毎回ちょっとだけ違うのが落ちてくるんだよ。だから既出の同アドレスからの検体とMD5が異なって当然。
自動生成して検出逃れを目論んでるぽい。
263:名無しさん@お腹いっぱい。
09/01/24 01:06:01
>>260
Risingに送信済み
264:名無しさん@お腹いっぱい。
09/01/24 01:16:27
>>241
ssdeepのfuzzy hashを見ると途中と末尾がちょっとずつ変わるようだ。
互いのmatch scoreは99~100。
265:名無しさん@お腹いっぱい。
09/01/24 01:19:54
タイムスタンプかなんかだろね
266:名無しさん@お腹いっぱい。
09/01/24 01:59:32
>>241
Fortinet:
The samples you submitted will be detected as "W32/Agent.CEV!tr".
267:名無しさん@お腹いっぱい。
09/01/24 02:20:33
URLリンク(207.29.253.75)
268:名無しさん@お腹いっぱい。
09/01/24 02:45:17
>>267
>>3
269:名無しさん@お腹いっぱい。
09/01/24 08:32:22
>>260
AviraPremiumSecuritySuit
fccaWpME\gEWoPfgd.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
1/6
avast!4.8
スルー
270:名無しさん@お腹いっぱい。
09/01/24 08:37:09
>>260
PandaGlobalProtection2009
全スルー
McAfeeVirusScan+ActiveProtection
Generic!Artemis:fccaWpME\gEWoPfgd.dll
271:名無しさん@お腹いっぱい。
09/01/24 08:40:51
スマソ
McAfeeの検出検体はfccaWpME\vTligHBu.dll
だったorz
AntiVirと検出検体同じだと勘違いしてそこからコピペしてしまったorz
272:名無しさん@お腹いっぱい。
09/01/24 08:42:27
>>260
NortonInternetSecurity2009
とりあえず検出数とウイルス検出名のみ
2/6
Downloader
Packed.Generic.203
273:名無しさん@お腹いっぱい。
09/01/24 08:48:55
>>260
AntiVir、avast!、Panda、Symantecに提出完了
274:名無しさん@お腹いっぱい。
09/01/24 09:11:54
>>260
McAfeeに提出させて頂ました。
275:名無しさん@お腹いっぱい。
09/01/24 11:18:24
>>260
virustotal ok
276:名無しさん@お腹いっぱい。
09/01/24 12:43:57
>>241
カスペ返答
Trojan.Win32.Agent.bknw
New malicious software was found in these files. Detection will be included in the next update.
Microsoft返答
Submitted Files
=============================================
+---file(0).exe [Trojan:Win32/AgentBypass.gen!I]
以下、全て同じ名称のため省略
277:名無しさん@お腹いっぱい。
09/01/24 13:18:51
警視庁PCがウイルス感染
スレリンク(news板)
URLリンク(headlines.yahoo.co.jp)
警視庁は23日、一部のオンライン端末がコンピューターウイルス「W32.Downadup.B」に感染し、車庫証明事務を管理する端末装置などに支障が生じていると発表した。外部には接続していないため情報流出の恐れはないという。
Net-Worm.Win32.Kido.ef
URLリンク(www.symantec.com)
278:277訂正
09/01/24 13:20:40
警視庁PCがウイルス感染
スレリンク(news板)
URLリンク(headlines.yahoo.co.jp)
警視庁は23日、一部のオンライン端末がコンピューターウイルス「W32.Downadup.B」に感染し、車庫証明事務を管理する端末装置などに支障が生じていると発表した。外部には接続していないため情報流出の恐れはないという。
W32.Downadup.B
URLリンク(www.symantec.com)
279:名無しさん@お腹いっぱい。
09/01/24 14:09:26
>>278
外部に接続してないのに感染したってどういうこと?
誰かが持ち込んだってことなら、誰かが持ち出すこともできる
持ち出した情報を個人のPCに保存して、そこから流出することを
警察は考えてないのか?
280:名無しさん@お腹いっぱい。
09/01/24 14:15:29
人が死ぬほどの大事にならないと対策しないのは何時まで経っても治らないのな
281:名無しさん@お腹いっぱい。
09/01/24 14:51:09
人間だもん。仕方ないよ(´・ω・`)
282:名無しさん@お腹いっぱい。
09/01/24 15:03:43
>>279
nyとかじゃないから、探してもないよ。って言いたいんじゃw
283:名無しさん@お腹いっぱい。
09/01/24 17:42:06
209 名前:名無しさん@九周年 メール: 投稿日:2009/01/24(土) 16:27:06 ID:5uSN00jo0
みんなー、気をつけろ!
Windowsの脆弱性悪用ウイルスに350万台以上が感染、国内でも被害多数:ITpro
URLリンク(itpro.nikkeibp.co.jp)
Windowsの脆弱性悪用ウイルスが900万台に感染、3割は中国のパソコン:ITpro
URLリンク(itpro.nikkeibp.co.jp)
284:名無しさん@お腹いっぱい。
09/01/24 21:11:45
>>260
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A fccaWpME\gEWoPfgd.dll
それ以外は全て疑わしいファイルとして検出
それ以外のベンダー(AntiVir、avast!、McAfee、Norton)の検出状況は変化なし
285:名無しさん@お腹いっぱい。
09/01/24 22:30:11
カスペ2009
fccaWpME.dll,
ssQggfGX.dll,
tuvtRjGw.dll,
urqQjGWn.dll - Trojan.Win32.Agent.bknr,
gEWoPfgd.dll - Trojan.Win32.Agent.bkns,
vTligHBu.dll - Trojan.Win32.Agent.bknt
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
よって、1/6>6/6
286:名無しさん@お腹いっぱい。
09/01/24 22:35:22
>>285
>>260か?
検体名記載よろしく。
287:285
09/01/24 22:54:49
ごめん、書き忘れ。
>>260です。
ちなみに、今スキャンしたらメールと検出名が違ってた。
Trojan-Downloader.Win32.Injecter.bzq fccaWpME\fccaWpME.dll
Trojan.Win32.Agent.bkns fccaWpME\gEWoPfgd.dll
Trojan-Downloader.Win32.Injecter.bzq fccaWpME\ssQggfGX.dll
Trojan-Downloader.Win32.Injecter.bzq fccaWpME\tuvtRjGw.dll
Trojan.Win32.Agent.bknt fccaWpME\vTligHBu.dll
Trojan-Downloader.Win32.Injecter.bzq fccaWpME\urqQjGWn.dll
288:名無しさん@お腹いっぱい。
09/01/25 01:13:12
>>260
SpySweeper with AV
6/6
すべてTroj/Virtum-Gen
289:名無しさん@お腹いっぱい。
09/01/25 15:45:16
>>83
Dr.Web 2009/01/18 -> 2009/01/25
Your request has been analyzed. New virus record has been added.
Trojan.PWS.Wsgame.10182
Trojan.DownLoad.28440
Trojan.DownLoad.28442
Trojan.DownLoad.28443
Thank you for the cooperation.
290:名無しさん@お腹いっぱい。
09/01/25 20:50:18
>>241、>>260
NOD32 v3.0 定義3798
全スルー→全検出 Win32/Adware.Virtumonde
>>260のgEWoPfgd.dllのみ、Win32/Adware.Virtumonde.FP
土日なのに、対応早くてびっくり。
291:名無しさん@お腹いっぱい。
09/01/25 21:11:57
>>260
URLリンク(www.virustotal.com)
McAfee 5505 2009.01.24 Vundo
292:名無しさん@お腹いっぱい。
09/01/25 22:10:59
ヒマなので…。
>前スレ
>100 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/08(月) 15:30:27
>URLリンク(tane.sakuratan.com)
>virus
>いつもの。
>bkdoorはとりあえずこのファイル名にしたけど、動きはダウンローダ。
約50日前検体のVT結果
URLリンク(www.virustotal.com) agent0.exe 35/39 (eSafe, eTrust,PCTools,VirusBusterスルー)
URLリンク(www.virustotal.com) agent1.exe 36/39 (Comodo,PCTools,ViRobotスルー)
URLリンク(www.virustotal.com) agent2.exe 34/37 (nProtect,PCTools,VirusBusterスルー)
URLリンク(www.virustotal.com) agent3.exe 33/37 (Authen., PCTools, Sophos, VirusBusterスルー)
URLリンク(www.virustotal.com) agent4.exe 26/37 (Authen., Clam, DrWeb, eSafe, eTrust, FProt,Norman, PCTools, Sophos, TrendMicro,Virobotスルー)
URLリンク(www.virustotal.com) bkdoor0.exe 29/37 (AhnLab, CAT, Clam, eSafe, eTrust, PCTools, Sophos, TrendMicroスルー)
URLリンク(www.virustotal.com) bkdoor1.exe 32/39 (Clam,Comodo,eSafe,Panda,PCTools,Prevx,Sophosスルー)
URLリンク(www.virustotal.com) bkdoor2.exe 28/39 (Authen,Clam,Comodo, eSafe,eTrust,FProt,nProtect,PCTools,Prev,TrendMicro,VirusBusterスルー)
URLリンク(www.virustotal.com) upk1.exe 35/39 (AhnLab, Clam,eTrust, Prevスルー)
・注意事項;ポリシー?、拡散度低い?(検体がベンダーに認識されていない?) VTと新Ver.での検出結果の相違
293:名無しさん@お腹いっぱい。
09/01/26 02:59:25
>>236
>>241
>>260
avast!4.8
Win32:Adware-gen [Adw]
全て同じ検出名だったので一つにまとめました
294:名無しさん@お腹いっぱい。
09/01/26 03:24:48
>>292
>VTと新Ver.での検出結果の相違
これがまだまだ気になるよね
SymantecとKasperskyとPandaの他にDr.webとRisingはVTと最新バージョンでは違うみたいだね
Dr.webは最新版はヒューリスティックが強力(?)でRisingは最新版はアップデート回数が増えてるみたいだね
RisingはNortonの2007以前と2008以降みたいな感じかな?
他のベンダーはどうだろう?
BitDefenderはVTのエンジンが古いからやっぱり最新版は違うのかな?違うんだったら興味がわくけど
295:名無しさん@お腹いっぱい。
09/01/26 12:12:39
Risingは数年前から1日3回だよ
296:名無しさん@お腹いっぱい。
09/01/26 16:45:57
>>202
NortonInternetSecurity2009追加検出
Packed.Generic.187:InstallAVg_77025309.exe
8/12
>>295
Risign2009のパターンファイルバージョンはそれまでのRisingのパターンファイルとは違うみたいだけど?
パターンファイルは違うけど2009でも一日3回とか?
297:名無しさん@お腹いっぱい。
09/01/26 16:50:04
>>241
McAfeeVirusScan+ActiveProtection
検出数だけ
28/48
298:名無しさん@お腹いっぱい。
09/01/26 20:26:55
>>296
20.xx.zzが2008向けの定義やプログラムのバージョン表記
21.yy.zzが2009向けの定義やプログラムのバージョン表記
パターンファイルの中身が違うかどうかはわからないけど更新頻度は同じだよ
ちなみに、中国が春節のため土曜日から更新なし
Rising 2009 21.22.50 (21.13.50.00) Last Update Time=2009-01-24 10:31
↑ ↑
プログラム 定義
299:名無しさん@お腹いっぱい。
09/01/27 01:44:05
ClamAVの返答…えーと、どの検体だろう?
11ファイルあるので、Marware-Packxxのどれかだとは思いますが。
URLリンク(lurker.clamav.net)
Submission-ID: 6298407
Added: Trojan.Fakealert-1414
Added: Trojan.Dropper-18514
Added: Trojan.Agent-70909
Added: Trojan.Downloader-67635
Added: Trojan.Fakeav-41
Added: Trojan.Zbot-2961
Added: Trojan.Zbot-2962
Added: Trojan.Spy-58983
Added: Trojan.Downloader-67636
Added: Trojan.Fakeav-42
Added: Trojan.Spy-58984
300:名無しさん@お腹いっぱい。
09/01/27 23:27:00
URLリンク(tane.sakuratan.com)
virus
URLリンク(www.virustotal.com)
301:名無しさん@お腹いっぱい。
09/01/27 23:53:43
>>300
Risingに送付完了
302:名無しさん@お腹いっぱい。
09/01/28 00:04:05
>>300
PandaGlobalProtection2009とNortonInternetSecurity2009はガチスルーだったので提出しました
303:名無しさん@お腹いっぱい。
09/01/28 00:08:30
「ガチ」はなんか嫌だ
304:名無しさん@お腹いっぱい。
09/01/28 00:17:21
「VT上でスルー」じゃなく「実機でもスルー」だからガチスルーということで
305:名無しさん@お腹いっぱい。
09/01/28 00:19:24
嫌、「ガチ」が気に障るだけだw
そこんところはスルーしていいよ
306:名無しさん@お腹いっぱい。
09/01/28 00:26:39
あとMcAfeeの報告は止めました
どうも仮想環境が上手く構築できないから現時点ではこれ以上のベンダーの検出報告は無理だorz(avast!はAntiVirとの併用が奇跡的に不具合なく快適に動かせるんだが・・・)
McAfeeActiveProtectionは興味あるしBitDefender2009とかも動かしてみたいんだが・・・・
VMwareのゲストOSをVistaかXPにするにはどうしたらいいんだろう・・・?やっぱり新たにOSのライセンス購入しなきゃいけない?(ちなみに実機のOSはVista)
こんな恥ずかしい質問してすいません、どうも仮想環境には慣れてないから上手く使いこなせない
307:名無しさん@お腹いっぱい。
09/01/28 00:35:54
VirusBusterに送ってみたけど
優先度lowとか書いてあるしやる気なさそうだな
せっかく送ってやったのに糞の癖に生意気
308:名無しさん@お腹いっぱい。
09/01/28 01:07:54
>>306
XP・VistaのVPC用イメージファイルならここにあるよ
URLリンク(www.microsoft.com)
いまならWindows7を勧めるけどw
309:名無しさん@お腹いっぱい。
09/01/28 01:28:38
>>306
VMware総合スレ Part19
スレリンク(software板)
↑ここで聞いてみれば
Microsoft VirtualPCなら使った事はありますが
VMwareは高くて無理w
310: [―{}@{}@{}-] 名無しさん@お腹いっぱい。
09/01/28 03:51:49
URLリンク(www.hackpalace.com)
URLリンク(www.hackpalace.com)
URLリンク(www.hackpalace.com)
311:名無しさん@お腹いっぱい。
09/01/28 06:15:05
>>310
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
312:名無しさん@お腹いっぱい。
09/01/28 06:44:02
表示環境によっては、手が当たって踏むリスクのある人があるので、
マルウェアソース晒す人は、"http://" 入れるのやめよう (h一個だけ抜きも不十分)
313:名無しさん@お腹いっぱい。
09/01/28 07:37:56
直リンするバカは放置でいいよ
314:名無しさん@お腹いっぱい。
09/01/28 08:28:51
310さん サイト見たらマカフィーて以外に対応早くていいのね
315:名無しさん@お腹いっぱい。
09/01/28 09:09:19
>>308
>>309
thx
無事仮想環境構築できたならMcAfeeActivrProtectionの報告をするつもりです
本当はESETやKasperskyのライセンスを持ってるけど既にお客さんがいるためここら辺の検出報告は控えてるという状況です
316:名無しさん@お腹いっぱい。
09/01/28 09:22:24
>>310
avast!4.8
一番上
Other:Malware-gen
ちなみに一番上のファイルはAntiVirとPandaとNortonはスルーでした
これだけ見るとavast!の誤検出なのかな・・・・?
317:名無しさん@お腹いっぱい。
09/01/28 09:22:39
重複してもいい。送付漏れする位なら。
318:名無しさん@お腹いっぱい。
09/01/28 09:24:28
>>314
最近はMcAfeeとNortonとPandaとESETとavast!が頑張ってるという感じだね
前者3つのベンダーは新エンジンに伴って検出率が向上した感じ
319:名無しさん@お腹いっぱい。
09/01/28 11:38:25
>>312
> 表示環境によっては、手が当たって踏むリスク
それどころかプリフェッチとかあるからな。
320:名無しさん@お腹いっぱい。
09/01/28 13:19:40
>>310
AntiVir
ansigen.exe
[DETECTION] KIT/DOS.Ansigen construction kit
mass produced code\PS-MPC.COM
mass produced code.zip
--> PS-MPC.COM
[DETECTION] VKIT/PSMPC virus
nowhere utilities20.zip
NotDetected
BitDefender10Free
nowhere utilities20.zip=>CIPHER.COM Infected: BAT.Calhob.A@mm
nowhere utilities20.zip=>FAKEFILE.COM Detected: Application.Fakefile.A
nowhere utilities20.zip=>RESIZE.COM Detected: Application.Fileresizer.A
ansigen.exe Infected: Trojan.Constructor.Dos.Ansigen.A
mass produced code.zip=>PS-MPC.COM Infected: Constructor.PS-MPC
321:306
09/01/28 16:30:21
>>308
無事VPCでxpを構築することができました
ありがとう、これで検出報告するベンダーを増やすことができる
322:名無しさん@お腹いっぱい。
09/01/28 17:25:51
URLリンク(tane.sakuratan.com)
virus
>>300(tane0207.zipの中の偽装jpeg)から呼ばれるもので404になっていないものを幾つか拾ってみました。
img20081223085209.jpgは同梱されていますが、>300のものです。
img20081223085209.jpg : Trojan-Downloader.HTML.IFrame.if(Kaspersky)
CursorManiaFFSetup2.0.4.0.exe : not-a-virus:AdTool.Win32.MyWebSearch.bm(Kaspersky)
goldfish.xls.scr : Worm:Win32/Yaha.F@mm(Microsoft)
golden-keylogger.zip : not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
GoldenKeylogger-setup.exe : not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
Document003.pif : Worm:Win32/Sobig.A@mm(Microsoft)
phone_number2.pif : Worm:Win32/Netsky.T@mm(Microsoft)
movie0045.pif : Worm:Win32/Sobig.F@mm(Microsoft)
sensitive.pif : Virus:Win32/Magistr.B@mm(Microsoft)
hello.zip : Trojan-Proxy.Win32.Delf.ce(Kaspersky)
一応入手元
URLリンク(ak)<)■calistra■com/virus/goldfish■xls■scr
URLリンク(www)<)■sentry■net/archive/bioastro/2003/Feb/att-0025/Document003■pif
URLリンク(www)<)■w3■org/Archives/Public/site-comments/2003Aug/att-0008/movie0045■pif
URLリンク(lists)<)■geocities■com/lelele111111/hello■zip
323:名無しさん@お腹いっぱい。
09/01/28 17:32:59
追記
殆どのものが古めのもののようで、対応されている率が高かったです。
カスペ返答
返答に検出名称はありませんでしたが、なにかすりぬけ分があったようで。
New malicious software was found in the attached file. Its detection will be included in the next update.
マカフィー
File Name Findings Detection Type
--------------------|---------------------------------|------------
cursormaniaffsetup2.|current detectionadware-websearch|Application
document003.pif |current detectionw32/sobig.a@mm |Virus
file_id.diz |inconclusive |
goldenkeylogger-setu|current detectionkeylog-goldenkey|Application
goldfish.xls.scr |current detectionw32/yaha.g@mm |Virus
hello_01.exe |variant detectiongeneric.eo |Trojan
hello_02.exe |variant detectiongeneric.eo |Trojan
hello_03.exe |variant detectiongeneric.eo |Trojan
hello_04.exe |variant detectiongeneric.eo |Trojan
hello_05.exe |variant detectiongeneric.eo |Trojan
hello_06.exe |variant detectiongeneric.eo |Trojan
img20081223085209.jp|current detectionvbs/generic@mm |Virus
movie0045.pif |current detectionw32/sobig.f@mm |Virus
phone_number2.pif |current detectionw32/netsky.t@mm |Virus
sensitive.pif |current detectionw32/magistr.b@mm|Virus
324:名無しさん@お腹いっぱい。
09/01/28 17:37:35
>>322
シマンテック
2分割で送ったうちの片方だけ返答
filename: CursorManiaFFSetup2.0.4.0.exe
result: See the developer notes
filename: goldfish.xls.scr
result: This file is detected as W32.Yaha.F@mm.
URLリンク(www.symantec.com)
filename: Document003.pif
result: This file is detected as W32.Sobig.A@mm.
URLリンク(www.symantec.com)
filename: golden-keylogger.zip
result: This file is clean
filename: file_id.diz
result: This file is clean
filename: GoldenKeylogger-setup.exe
result: This file is detected as Spyware.GoldenKeylog.
URLリンク(www.symantec.com)
325:306
09/01/28 17:38:03
>>322
avast!4.8
CursorManiaFFSetup2.0.4.0.exe:Win32:Adware-gen [Adw]
Document003.pif:Win32:Sobig [Wrm]
goldfish.xls.scr:Win32:Yaha-E [Wrm]
img20081223085209.jpg:VBS:LoveLetter-C [Wrm]
img20081223085209.jpg:VBS:LoveLetter-C [Wrm]
movie0045.pif:Win32:Sobig-F [Wrm]
phone_number2.pif:Win32:Netsky-T [Wrm]
sensitive.pif:Win32:Magistr
326:名無しさん@お腹いっぱい。
09/01/28 17:38:26
>>322
Fortinet:
新規対応分
CIPHER.COM - Misc/Cipher
CRYPTCOM.COM - HackerTool/Cryptcom
FAKEWARE.COM - Misc/Toolfkw
REPLACE.COM - HackerTool/CoverFile
既知の分:
ansigen.exe - W32/ConstructionKit
FAKEFILE.COM - Misc/Toolfkf
PS-MPC.COM - PSMPC.A!tr
hello.zip/hello/hello_01.exe - W32/Delf.CE!tr
hello.zip/hello/hello_02.exe - W32/Delf.CE!tr
hello.zip/hello/hello_03.exe - W32/Delf.CE!tr
hello.zip/hello/hello_04.exe - W32/Delf.CE!tr
hello.zip/hello/hello_05.exe - W32/Delf.CE!tr
hello.zip/hello/hello_06.exe - W32/Delf.CE!tr
img20081223085209.jpg - HTML/IFrame.CUQ!tr
movie0045.pif - W32/Sobig.F@mm
phone_number2.pif - W32/Netsky.T@mm
sensitive.pif - W32/Magistr.B@mm
327:名無しさん@お腹いっぱい。
09/01/28 17:42:07
>332
AviraPremiumSecuritySuit
CursorManiaFFSetup2.0.4.0.exe [DETECTION] Contains recognition pattern of the ADSPY/AdSpy.Gen adware or spyware
Document003.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.A worm
golden-keylogger.zip
[0] Archive type: ZIP
--> GoldenKeylogger-setup.exe
[DETECTION] Contains recognition pattern of the DR/GoldenKeylogger.130 dropper
goldfish.xls.scr [DETECTION] Contains recognition pattern of the HTML/Dldr.Agen.QV.1 HTML script virus
hello.zip
[0] Archive type: ZIP
--> hello/hello_01.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_02.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_03.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_04.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_05.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_06.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
movie0045.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.F worm
phone_number2.pif [DETECTION] Contains recognition pattern of the WORM/Netsky.#1 worm
sensitive.pif [DETECTION] Contains recognition pattern of the W32/Magistr.B5 Windows virus
328:名無しさん@お腹いっぱい。
09/01/28 17:42:48
>>322
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
329:名無しさん@お腹いっぱい。
09/01/28 17:50:18
>>328
もうひとつあった
URLリンク(www.virustotal.com)
330:名無しさん@お腹いっぱい。
09/01/28 17:58:14
>>322
NOD32 v3.0定義3805
9/9
CursorManiaFFSetup2.0.4.0.exe Win32/AdInstaller アプリケーション
Document003.pif Win32/Sobig.A ワーム
goldfish.xls.scr Win32/Yaha.E ワーム
img20081223085209.jpg HTML/TrojanDownloader.Agent.NAX トロイの木馬
movie0045.pif Win32/Sobig.F ワーム
phone_number2.pif Win32/Netsky.T ワーム
sensitive.pif Win32/Magistr.29188 ワーム
golden-keylogger.zip
->GoldenKeylogger-setup.exe Win32/GoldenKeylogger.132 アプリケーション
hello.zip
->hello_01.exe Win32/TrojanProxy.Delf.CE トロイの木馬
(以下02~06まで同名で検出)
sensitive.pifはワームとして検知しましたが、全削除されずに残りました。
ファイルサイズが変化しているので、危険な部分だけ削除しているのかも。
331:名無しさん@お腹いっぱい。
09/01/28 18:25:35
>>324
> filename: CursorManiaFFSetup2.0.4.0.exe
> result: See the developer notes
よく見かける
See the developer notes
の意味が分からない。
黒、白、リスクウェア、どっち?
教えてエロい人
332:名無しさん@お腹いっぱい。
09/01/28 18:28:00
>>331
解析中という見方が正しいけど検体送って数日経ってこういうメールが来る場合がある
その場合は白と見ても良いと思う、その後も対応する気配が感じられないから
333: ◆W32/Vael.o
09/01/28 18:41:25
URLリンク(www.tane.sakuratan.com)
Malware-Pack58
例によってMcAfeeには提出済み
334:名無しさん@お腹いっぱい。
09/01/28 18:47:17
>>333
今は仮想環境構築にまだ苦戦状態なので検出数の報告だけで
どうしようもなかったらまたスレチ失礼ながらも質問するかもしれません(そうならないように出来るだけがんばります)
PandaGlobalProtection2009
10/12
335:名無しさん@お腹いっぱい。
09/01/28 18:53:38
>>333
avast!4.8とAviraPremiumSecuritySuit
ともに10/12
336:名無しさん@お腹いっぱい。
09/01/28 18:58:46
>>333
NortonInternetSecurity2009
9/12(うち一つは2009ヒューリスティックエンジンで検出)
337:名無しさん@お腹いっぱい。
09/01/28 19:17:34
とりあえず仮想環境についていろいろと調べてみた結果、やはりOSは新たに買ってきた方がスムーズにいきそうですね・・・
>>308さんが挙げてくれたファイルは確かにxpを展開できたけど英語版なせいか日本語サイトは文字化け起こすわMcAfeeセットアップファイルも起動することが出来なかったので仮想環境でもう一つ検出報告追加はまだまだ後になりそうです(予算検討のため)
338:名無しさん@お腹いっぱい。
09/01/28 19:21:10
>>331
>See the developer notes の意味が分からない。
書かれている通り、「デベロッパーノートを見ろ」。
メールの後半に「Developer notes:」という項目があってそこに書かれている。ほぼこの定型文がくると思っていい。
>xxxx.exe Our automation was unable to identify any malicious content in this submission.
>The file will be stored for further human analysis
自動処理できなかったので、将来人手で解析するファイルとして蓄積しましたということ。
黒とも白ともリスクウェアとも判別されていない状態。
シマンテックからの回答は基本的にこれでクローズ。人手で解析した結果の報告までは来ません。
339:名無しさん@お腹いっぱい。
09/01/28 19:24:26
シグネチャを自動化してるベンダーってSymantecとあとどこら辺?
McAfeeやPandaとかも企業規模が大きいからシグネチャの自動化はしてそうな感じはするけど
Kasperskyは前に全て人手で行ってると聞いたけど今はどうなんだろう?
340:名無しさん@お腹いっぱい。
09/01/28 20:12:14
Rising 2009 21.23.20 (21.14.20.00) Last Update Time=2009-01-28 10:33
>>322
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>M3OUTLCN.DLL: Adware.MyWebSearch.e
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3WPHOOK.DLL: Trojan.Win32.Undef.aun
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3SCHMON.EXE: Adware.Msearch.a
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3HTTPCT.DLL: Adware.MyWebSearch.d
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE: <Unknown virus>
Document003.pif: Worm.SoBig
golden-keylogger.zip>>GoldenKeylogger-setup.exe>>rView.exe: Trojan.Spy.Agent.asm
goldfish.xls.scr: Worm.Mail.Lentin.w
hello.zip>>hello/hello_01-06.exe: Trojan.Proxy.Delf.jt
movie0045.pif: Worm.Sobig.f
phone_number2.pif: Worm.Mail.Win32.NetSky.daq
sensitive.pif: Win32.Magistr
8/9
>>333
4\ldr.exe: Trojan.Clicker.Win32.Undef.gj
1/12
341:名無しさん@お腹いっぱい。
09/01/28 20:22:30
>>339
マカフィーも自動だな。
Dr.Webもパスワードinfectedで送ってたら、自動処理できないので、virusにしてくれって言ってきた。
トレンドマイクロも自動かな?
あとはMicrosoftも自動っぽい気がする。
342:名無しさん@お腹いっぱい。
09/01/28 21:12:39
>>333
Symantecから
未検出分のみ提出ものから返答
filename: WinDefender2009.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: This file is detected as W32.Waledac.
filename: iMunizatorSetup.dmg
machine: Machine
result: See the developer notes
で、10/12
>>341
ウイルス解析規模が大きいところは大体自動化してるみたいだね
McAfeeとPandaはクラウドベースのシステム的に自動化のほうが理にかなってるし
AVGはどうだろう?
343:名無しさん@お腹いっぱい。
09/01/28 21:19:56
>>338
意味わかった。㌧。
344:名無しさん@お腹いっぱい。
09/01/28 21:30:04
>>333
11/12(0以外)
Detected Trojan program Trojan-Spy.Win32.Zbot.kvv tane0209.zip/Malware/1/r.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.lff tane0209.zip/Malware/2/system.lib
Detected Trojan program Trojan-Downloader.Win32.CodecPack.dxi tane0209.zip/Malware/3/antivirus.v.1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kza tane0209.zip/Malware/4/ldr.exe
Detected virus not-a-virus:FraudTool.Win32.SecurityCenter.ac tane0209.zip/Malware/5/av_2009glof.exe
Detected Trojan program Backdoor.Win32.Small.hiy tane0209.zip/Malware/6/load.exe
Detected virus not-a-virus:FraudTool.Win32.WinDefender.n tane0209.zip/Malware/7/WinDefender2009.exe//data0006
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch1
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch0
Detected Trojan program Trojan-Downloader.Win32.CodecPack.ejd tane0209.zip/Malware/9/tubeviewersetup.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan-Dropper.Win32.Agent.afsc tane0209.zip/Malware/a/c-setup.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bfiu tane0209.zip/Malware/b/tubeviewersetup.exe
検体提出します。(0)
8はMac OS X用か?珍しいな。
345:344
09/01/28 21:30:19
カスペ2009
346:344
09/01/28 22:10:03
>>333
カスペからの返事
11+事後検出1=12/12
0\tubeviewersetup.exe
Hello.
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan-Downloader.Win32.CodecPack.enc
347:名無しさん@お腹いっぱい。
09/01/28 22:15:46
>>333
NOD32 v3.0 定義3806
11/12
0\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WU トロイの木馬
1\r.exe Win32/Kryptik.FHの亜種 トロイの木馬
2\system.lib Win32/Spy.Zbot.GA トロイの木馬
3\antivirus.v.1.exe Win32/TrojanDownloader.FakeAlert.WW トロイの木馬
4\ldr.exe Win32/Spy.Zbot.FU トロイの木馬
5\av_2009glof.exe Win32/Adware.XPAntivirus アプリケーション
6\load.exe Win32/TrojanDownloader.Small.OJX トロイの木馬
7\WinDefender2009.exe Win32/Adware.IeDefender.NHAの亜種である可能性 アプリケーション
9\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.XG トロイの木馬
a\c-setup.exe Win32/Adware.IeDefender.NICの亜種 アプリケーション
b\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WR トロイの木馬
あそこは対応しないかもしれないけど、8の検体をEsetに送付しました。
348:名無しさん@お腹いっぱい。
09/01/28 23:02:40
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
BitDefenderはいくらなんでもこれはない、酷すぎる
Pandaだったら「VTではしょぼいけど実機ではすごいもん!」と言い張れるのに
349:名無しさん@お腹いっぱい。
09/01/28 23:12:46
>>348
AhnLabだって同じ結果だろ
なんでBitDefenderだけそう言うんだ
まあ凋落の一途って感じだけど
350:名無しさん@お腹いっぱい。
09/01/28 23:13:56
>>348
>>1読め
351:名無しさん@お腹いっぱい。
09/01/28 23:21:55
>>349
確かにこのスレでは検体は偏ってるし何も参考にはならないだろうとは思うけど他の大手ベンダーが軒並みほとんど検出できてるのにBitDefenderはほとんど検出できてないのはどうかと・・・
ESETですらほとんど検出できてるのに、それにAhnlabと比較されるBitDefenderって・・・
BitもVTエンジンは古いから最新版だったら検出できるって話しならまた違ってくるけど
352:名無しさん@お腹いっぱい。
09/01/28 23:24:10
ESETですらってなんだよ
優秀な方だよ
353:名無しさん@お腹いっぱい。
09/01/28 23:28:49
>>352
ESETは最近はすごく頑張ってるけどそれまでは本当にダメダメだったんだけど(このスレでは)
以前までのESET:このスレにうpされた検体はほとんどスルー、検体提出しても対応してくれる気配がない
今のESET:このスレでうpされた検体はよく検出してくれる、スルーした検体を提出すると最速とまではいかないけど対応が速くなった
354:名無しさん@お腹いっぱい。
09/01/28 23:30:44
>>353
だからなんだよ
このスレ的には不適切じゃないか
まあ誹謗中傷ではないから良いのかな
まああまり適切とは思えないから終わりにしろよ
355:名無しさん@お腹いっぱい。
09/01/28 23:36:28
>>354
スマソね
ま、ESETがどうしてこんなに良くなったのかそのきっかけはわからないけどとにかく本当に好印象なベンダーになったね
このまま頑張って欲しいですね
というわけでまた新たに未検出検体が対応されたら報告します
356:名無しさん@お腹いっぱい。
09/01/29 05:37:09
ESETの対応が好印象に変化したというのは、実感してる。ただ、>>1をよく見て欲しい。
>特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
余計な書き込みでスレ埋め立てないように注意しながら検出可否確認してこうぜ。
357:名無しさん@お腹いっぱい。
09/01/29 07:19:51
お前が言うな
358:名無しさん@お腹いっぱい。
09/01/29 07:59:04
ESETもMcAfeeもちょっと前まで絶望感と悲壮感が漂ってたけど今は見事に復活したからBitDefenderもいつかは復活したらいいなとは思う
>>333
AntiVir全検出確認
359:名無しさん@お腹いっぱい。
09/01/29 12:53:12
URLリンク(www.supervirus.com)
360:名無しさん@お腹いっぱい。
09/01/29 13:04:26
>>359
該当するIPなし。名前解決できないので、検体入手不可能。鑑定目的ならお引き取りください。
検体提出なら、>1のアプロダに置いてください。
361:名無しさん@お腹いっぱい。
09/01/29 14:17:10
>>333
Fortinet:
We will add detection for these samples in the next regular update.
The samples you submitted will be detected as follows:
Malware\0\tubeviewersetup.exe - W32/Agent.FBZ!tr.bdr
Malware\1\r.exe - W32/Zbot.KVV!tr.spy
Malware\2\system.lib - W32/Zbot.LFF!tr.spy
Malware\3\antivirus.v.1.exe - W32/CodecPack.DXI!tr.dldr
Malware\4\ldr.exe - W32/Zbot.KZA!tr.spy
Malware\5\av_2009glof.exe - Misc/SecurityCenter
Malware\6\load.exe - W32/Small.HIY!tr.bdr
Malware\7\WinDefender2009.exe - Adware/WinDefender
Malware\8\iMunizatorSetup.dmg - Misc/IMunizator
Malware\9\tubeviewersetup.exe - W32/CodecPack.EJD!tr.dldr
Malware\a\c-setup.exe - W32/Agent.AFSC!tr
Malware\b\tubeviewersetup.exe - W32/Agent.BFIU!tr.dldr
362:名無しさん@お腹いっぱい。
09/01/29 15:13:56
検体入手元:
リネージュ資料室のセキュリティ対策 (ウィルス情報 - ウィルス更新状況)から最近更新されたページを
拾ってみたもの。htmlも多く含んでいるため、無害判定の出るファイルも含んでいると思われます。
幾つかのCSSは偽装された実行ファイルでした。
URLリンク(lineage.paix.jp)
363:名無しさん@お腹いっぱい。
09/01/29 15:15:16
訂正。orz
URLリンク(tane.sakuratan.com)
virus
検体入手元:
リネージュ資料室のセキュリティ対策 (ウィルス情報 - ウィルス更新状況)から最近更新されたページを
拾ってみたもの。htmlも多く含んでいるため、無害判定の出るファイルも含んでいると思われます。
幾つかのCSSは偽装された実行ファイルでした。
URLリンク(lineage.paix.jp)
play.scrを解凍して出てくる1199.exeはベンダーによって外と中身で検出状況が違うことも。
(うっかりして、解凍したexeを入れ忘れました。ベンダーに提出される方は、Play.scrを解凍してください)
URLリンク(www.virustotal.com) 1199.exe(19/38)
URLリンク(www.virustotal.com) play.scr(23/39)
364:名無しさん@お腹いっぱい。
09/01/29 15:15:50
AntiVirFree(他のファイルはスルー)
14.htm : HTML/Crypted.Gen HTML script virus
a1.css : R/Dropper.Gen Trojan
Bfyy.htm : HTML/Shellcode.Gen HTML script virus
cx.htm : HTML/Rce.Gen HTML script virus
fx.htm : JS/Dldr.IFrame.JD Java script virus
lzz.htm : HTML/Dldr.Agent.SB HTML script virus
new.html : HTML/Malicious.ActiveX.Gen HTML script virus
play.scr : DR/PcClient.agv dropper
real10.htm : EXP/RealPlr.CT exploit
real11.htm : HTML/Rce.Gen HTML script virus
sina.css : R/Crypt.XDR.Gen Trojan
b05.css : R/Crypt.XDR.Gen Trojan
playonline\1.css : R/Inject.ntg Trojan
playonline\ff.swf : SWF/Dldr.Tiny.D SWF virus
playonline\flsp.exe : R/Inject.ntg Trojan
playonline\fx.htm : JS/Dldr.Agent.PZ Java script virus
playonline\ie.swf : Contains the SWF/Dldr.Tiny.D.1 SWF virus
playonline\index.htm : JS/Dldr.Agent.HZ Java script virus
playonline\Ms06014.htm : HTML/Rce.Gen HTML script virus
playonline\real.htm : EXP/RealPlr.CT exploit
playonline\real.html : HTML/Shellcode.Gen HTML script virus
xin\ani.asp : EXP/Ani.Gen exploit
xin\ani.c : EXP/Ani.Gen exploit
xin\index.htm : HTML/Dldr.Nilag.bqz HTML script virus
xin\Ms06014.htm : JS/Dldr.Agent.ZY Java script virus
xin\Ms06046.htm : JS/Bofra.A.1 Java script virus
xin\Ms07004.js : EXP/JS.MS07-004 exploit
xin\xia.exe : R/Dropper.Gen Trojan
xin\Yahoo.htm : HTML/Shellcode.Gen HTML script virus
365:名無しさん@お腹いっぱい。
09/01/29 15:18:01
AntiVirでスルーするファイルのうち、2ファイルは他ベンダーでは検知。
残る8ファイルはVirusTotalでは検知なしのファイルでした。
playonline/ss.htm : Exploit.JS.Agent!IK(a-squared)
playonline/off.htm : Trojan-Downloader.JS.Small.mr(Kaspersky)
366:名無しさん@お腹いっぱい。
09/01/29 15:39:57
>>363
PandaGlobalProtection2009
とりあえず検出数だけ(詳細な報告は今はちょっとできません)
8個検出(ヒューリスティック検出はなし)
367:名無しさん@お腹いっぱい。
09/01/29 15:47:47
>>363
NortonInternetSecurity2009
16個検出(うちヒューリスティック検出一つ)
詳細な報告はできなったけどPandaとSymantecに提出してきます
368:名無しさん@お腹いっぱい。
09/01/29 17:42:14
>>363
ftpで一括提出予定(McAfee側の準備に2日程必要)
369:名無しさん@お腹いっぱい。
09/01/29 18:13:17
へー、McAfeeもでかいファイルは別途FTPなのか
370:名無しさん@お腹いっぱい。
09/01/29 18:13:21
NOD32 v3.0 定義3809
14個検出。未検出ファイルのみ、zip圧縮でEsetへメール送信しました。
a1.css Win32/TrojanDownloader.Agent.OQW トロイの木馬
b05.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性 トロイの木馬
play.scr Win32/PcClient.NCRの亜種 トロイの木馬
playonline\fx.htm JS/TrojanDownloader.SWFlash.J トロイの木馬
playonline\ie.swf SWF/TrojanDownloader.Small.DJ トロイの木馬
playonline\Ms06014.htm VBS/TrojanDownloader.Psyme.NFF トロイの木馬
playonline\off.htm JS/Exploit.CVE-2008-2463 トロイの木馬
sina.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性 トロイの木馬
xin\ani.asp Win32/TrojanDownloader.Ani.Genの亜種 トロイの木馬
xin\ani.c Win32/TrojanDownloader.Ani.Genの亜種 トロイの木馬
xin\Ms06014.htm JS/TrojanDownloader.Psymeの亜種である可能性 トロイの木馬
xin\Ms06046.htm JS/Exploit.CVE-2008-4844.gen トロイの木馬
xin\xia.exe Win32/PSW.QQShouの亜種である可能性 トロイの木馬
xin\Yahoo.htm HTML/Exploit.IframeBof トロイの木馬
371:名無しさん@お腹いっぱい。
09/01/29 19:19:06
>>363
カスペ2009 18:45:00
全部スルー ( ノ∀`)アチャー
検体提出します。
さて、どうやって提出しようか検討中。(いつもは個別送付)
372:371
09/01/29 19:39:18
>>363
カスペ2009+新エミュレータ 22/39 @6:16:00
Detected Trojan-Dropper.Win32.Agent.afws a1.css//FSG
Detected Trojan-Dropper.Win32.Agent.abku b05.css//PE_Patch.UPX//UPX
Detected Backdoor.Win32.PcClient.abwo play.scr//data0002
Detected Trojan.Win32.Inject.ntg playonline/1.css
Detected Trojan-Downloader.SWF.Small.dj playonline/ff.swf//Swf2Swc
Detected Trojan.Win32.Inject.ntg playonline/flsp.exe
Detected Trojan-Downloader.JS.SWFlash.j playonline/fx.htm
Detected Trojan-Downloader.SWF.Small.dj playonline/ie.swf//Swf2Swc
Detected Trojan-Downloader.JS.Psyme.anc playonline/Ms06014.htm
Detected Trojan-Downloader.JS.Small.mr playonline/off.htm
Detected Exploit.JS.Agent.aay playonline/real.htm
Detected Exploit.JS.Agent.aax playonline/real.html
Detected Exploit.JS.XMLPars.v playonline/ss.htm
Detected Trojan-Dropper.Win32.Agent.abku sina.css//PE_Patch.UPX//UPX
Detected Exploit.Win32.IMG-ANI.ac xin/ani.asp
Detected Exploit.Win32.IMG-ANI.ac xin/ani.c
Detected Trojan-Downloader.HTML.IFrame.dv xin/index.htm
Detected Trojan-Downloader.JS.Psyme.kf xin/Ms06014.htm
Detected Exploit.JS.Agent.yq xin/Ms06046.htm
Detected Trojan-Downloader.JS.VML.a xin/Ms07004.js
Detected Trojan-Downloader.Win32.Delf.jfj xin/xia.exe
Detected Exploit.HTML.IESlice.z xin/Yahoo.htm
あれ?
373:371
09/01/29 19:48:58
>>363
カスペ2009 19:27:00
22/39
>>372と同一でした。
検体提出します。
スレ汚しすまぬ。orz
374:名無しさん@お腹いっぱい。
09/01/29 20:01:48
>>370です。
NOD32 定義ファイル3810になったため、見逃したぶんを再検査(14+2→16)
\playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
\playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
375:名無しさん@お腹いっぱい。
09/01/29 20:16:40
>>368
ごめん、2分割でメールしちゃったんで提出済み。
376:名無しさん@お腹いっぱい。
09/01/29 20:18:16
>>363
Rising 2009 21.23.20 (21.14.20.00)
15個検出
b05.css>>upx_c: Trojan.Win32.Edog.bl
playonline\1.css: Trojan.Win32.Nodef.afb
playonline\flsp.exe: Trojan.Win32.Nodef.afb
playonline\index.htm: Trojan.DL.Script.VBS.Agent.ex
playonline\real.htm: Hack.Exploit.Script.JS.Agent.ik
real10.htm: Hack.Exploit.Script.JS.Agent.il
sina.css>>upx_c: Trojan.Win32.Edog.bl
xin\ani.asp: Hack.SuspiciousAni
xin\ani.c: Hack.SuspiciousAni
xin\index.htm: Trojan.DL.Script.JS.Agent.lyr
xin\Ms06014.htm: Trojan.DL.JS.Agent.lio
xin\Ms06046.htm: Hack.Exploit.Script.JS.Agent.ie
xin\Ms07004.js: Hack.Exploit.Script.JS.Vml.a
xin\xia.exe: Trojan.PSW.Win32.QQPass.qir
xin\Yahoo.htm: Hack.Exploit.YahooWebcam.a
377:名無しさん@お腹いっぱい。
09/01/29 20:21:48
マカフィー、>>363現時点の返答。この表、奇麗に投稿できないもんかなぁ。
File Name Findings Detection Type Extra
-------------|------------------|----------------------|------|-----
14.htm |inconclusive | | |no
a1.css |new detection |generic dropper |Trojan|yes
b05.css |current detection |downloader-ble |Trojan|no
b05.htm |inconclusive | | |no
bfyy.htm |inconclusive | | |no
cx.htm |inconclusive | | |no
fx.htm |inconclusive | | |no
index(1).htm |inconclusive | | |no
index(2).htm |inconclusive | | |no
index(3).htm |inconclusive | | |no
index.htm |inconclusive | | |no
lzz.htm |inconclusive | | |no
ms07004.js |current detection |generic downloader.o |Trojan|no
new.html |inconclusive | | |no
play.scr |inconclusive | | |no
real10.htm |current detection |exploit-realplay |Trojan|no
real11.htm |inconclusive | | |no
sina.css |current detection |downloader-ble |Trojan|no
style2224.jsp|inconclusive | | |no
yahoo.htm |current detection |js/exploit-bo.gen |Trojan|no
378:名無しさん@お腹いっぱい。
09/01/29 20:22:28
(続き)
File Name Findings Detection Type Extra
-------------|------------------|----------------------|------|-----
1.css |current detection |pws-mmorpg.gen |Trojan|no
1199.exe |inconclusive | | |no
2078759.js |inconclusive | | |no
ani.asp |current detection |exploit-anifile.c |Trojan|no
ani.c |current detection |exploit-anifile.c |Trojan|no
ff.swf |current detection |generic downloader.bk |Trojan|no
flsp.exe |current detection |pws-mmorpg.gen |Trojan|no
fx.htm |inconclusive | | |no
ie.swf |current detection |exploit-cve2007-0071 |Trojan|no
index.htm |inconclusive | | |no
index.htm |heuristic detectio|exploit-iframe.gen.h |Trojan|no
l2.htm |inconclusive | | |no
ms06014.htm |current detection |vbs/psyme |Trojan|no
ms06014.htm |current detection |exploit-ms06-014 |Trojan|no
ms06046.htm |current detection |exploit-xmlhttp.d.gen |Trojan|no
off.htm |inconclusive | | |no
real.htm |current detection |exploit-realplay |Trojan|no
real.html |current detection |exploit-realplay.d.gen|Trojan|no
ss.htm |inconclusive | | |no
xia.exe |current detection |generic downloader.x |Trojan|no
379:名無しさん@お腹いっぱい。
09/01/29 21:54:24
ESETも返答返すようになってきたようだ。翌日には対応とは頑張ってる。いい感じだ。
>>322…って、>>330で全検出の報告出てるがESETから返答来たので一応報告。1/28提出で翌日には対応。
Thank you for your submission.
The detection for this threat will be included in our next signature update.
>>333 こっちも次回更新で対応との返答。
>347で報告(11/12)されてるが、8の検体にも対応して全検出になってるか、確認よろしく。
Thank you for your submission.
The detection for this threat will be included in our next signature update.
380:名無しさん@お腹いっぱい。
09/01/29 21:56:50
>>363
テキストエディタで見ると、相互に呼び出しあっていて、複雑に分解させてるね。,
javaScriptを外部リンクに持ってきたり、iframe使ったり、リンク参照したり、…。
全部ひっくるめて機能する気がする。
単体では、Web作成上、よく使われるスクリプトも多い。
混ぜるな!危険、の硫化水素みたいだ。
既検出分も含め、総提出しないとダメか?
381:名無しさん@お腹いっぱい。
09/01/29 22:16:29
>>380
その辺の呼び出しスクリプトにも対応するか、本体だけ対応するかはセキュリティベンダーのポリシーで
対応状況変わるからねぇ。一通り提出はしてあるので、あとはベンダー次第かと。
382:名無しさん@お腹いっぱい。
09/01/30 00:55:34
>>363
Avira AntiVir
The files you have sent us represent a bigger collection of malware.
Our virus lab will check the files and integrate new signatures in one of our next updates.
AntiVirFree(エンジン 8.02.00.60/定義 7.01.01.202) 現時点で、>364と比較してみる (30は、364の29+(1199.exe)=30
(30/40)→(31/40)
383:名無しさん@お腹いっぱい。
09/01/30 00:57:57
>>363
トレンドマイクロ 追加で3種類の定義追加らしい
We are glad to inform you that the detection for the following malware below is now available for
downloading using CPR 5.804.06.
JS_DLOADER.TJP
VBS_PSYME.CLB
HTML_IFRAMEBO.CG
384:名無しさん@お腹いっぱい。
09/01/30 01:51:29
>>363
カスペからの返事
14.htm_ - Trojan-Downloader.JS.Agent.dkv
fx.htm - No malicious code was found in this file.
その後、17ファイル再度送ったら、回答待ち。
優先順位低いと思われているのかな。
まあ、中途半端なファイルが多くて、agentに入れるかどうか迷ってんのかね。
385:名無しさん@お腹いっぱい。
09/01/30 03:14:00
>>363
Fortinet.
Some of the samples you sent should already be detected:
xin/ani.asp - W32/MalFormedani.C
xin/ani.c - W32/MalFormedani.C
xin/index.htm - JS/Agent.CG!tr.dldr
xin/Ms06014.htm - JS/Psyme.KF!exploit
xin/Ms06046.htm - JS/MS08078!exploit
xin/Ms07004.js - JS/Vml.A!exploit
xin/Yahoo.htm - JS/ShellCode.A!exploit
b05.css - W32/Dropper.CDB!tr
386:名無しさん@お腹いっぱい。
09/01/30 03:14:37
Fortinet. (続き)
We have recently added detection for other malwares.These signatures will be included in the next regular update.
The samples you submitted will be detected as:
playonline/ff.swf - SWF/Small.A!tr.dldr
playonline/fx.htm - JS/FlashDownloader.A!tr.dldr
playonline/ie.swf - SWF/Small.A!tr.dldr
playonline/index.htm - JS/Multibreach.B!tr.dldr
playonline/1.css - W32/Inject.NTG!tr
playonline/flsp.exe - W32/Inject.NTG!tr
playonline/Ms06014.htm - JS/Psyme.ANC!tr.dldr
playonline/real.htm - JS/RealPlayer.D!exploit
playonline/real.html - JS/Agent.AAX!exploit
xin/xia.exe - W32/OnLineGames.FHW!tr.pws
real10.htm - JS/RealPlayer.D!exploit
real11.htm - JS/Agent.AAX!exploit
1199.exe - W32/Pcclient.abwo!tr.bdr
a1.css - W32/Agent.JKG!tr
Bfyy.htm - JS/Obfuscated.E!tr
new.html - JS/Multibreach.B!tr.dldr
off.htm - JS/Small.MR!tr.dldr
ss.htm - JS/XMLParse.V!exploit
387:名無しさん@お腹いっぱい。
09/01/30 16:32:37
>>379
ESETは対応速度も速くなったけどヒューリスティックも良い感じに検出するようになったね
というかPandaもそうだけどESETはやはり他ベンダーと比べるとヒューリスティックでの検出が多いね
388:名無しさん@お腹いっぱい。
09/01/30 17:56:12
そりゃシグネチャスッカスカだからな
389:名無しさん@お腹いっぱい。
09/01/30 18:12:15
>>363
McAfee、ftpアップロード完了。
390:名無しさん@お腹いっぱい。
09/01/30 20:19:33
URLリンク(tane.sakuratan.com)
virus
URLリンク(www.virustotal.com)
391:384
09/01/30 20:47:11
カスペ2009
未だ、22+2=24/39で返事来ず。
順番が後回しにされているっぽい。orz
だれか、代理提出お願いします。
提出しすぎてマークされているのかな。
392:384
09/01/30 20:47:53
すまぬ、
検体は>>363です。
393:名無しさん@お腹いっぱい。
09/01/30 20:48:30
NOD32 V3.0 定義3812
>>370,>>374の続き 16+10→26 未検出ファイル17
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\ff.swf SWF/TrojanDownloader.Small.DJ トロイの木馬
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\real.htm JS/Exploit.RealPlay.NBF トロイの木馬
playonline\real.html JS/TrojanDownloader.Agent.NEJ トロイの木馬
playonline\ss.htm JS/Exploit.XMLPars.V トロイの木馬
xin\index.htm JS/TrojanDownloader.Iframe.DV トロイの木馬
xin\Ms07004.js HTML/Exploit.VML.NAQ トロイの木馬
完全対応は厳しそう。
>>390 1/1
4b3e8d9c0o7a1p5n6i0g7m.exe Win32/PSW.Gamania.NBF トロイの木馬
前後しますが >>379 8の検体(MacOSのマルウェア)は未検出のままです。
394:名無しさん@お腹いっぱい。
09/01/30 20:51:19
>>390
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A 4b3e8d9c0o7a1p5n6i0g7m.exe
>>388
それをいったらMcAfeeやPandaだってクラウドベースがなければスッカスカだぞw
395:名無しさん@お腹いっぱい。
09/01/30 21:10:58
>>106
avgもメールが帰って来るはずだが
396:名無しさん@お腹いっぱい。
09/01/30 21:21:23
393です。>>363の続きの検出結果でしたが、重複して報告してましたorz
検出数合計22/39に訂正。申し訳ないです。
397:名無しさん@お腹いっぱい。
09/01/30 23:32:45
>>391-392
提出済み
>>395
おかしいな。2007年4~5月は受理の報告だけは来てたが、それ以降は返事来てないや。
と思ったら宛て先が古かった模様。次からは、宛て先直そう。<submit@ewido.net>→<virus@avg.com>
398:384
09/01/30 23:50:29
>>397
㌧
399:名無しさん@お腹いっぱい。
09/01/30 23:55:36
Rising 2009 21.23.40 (21.14.40.00)
ここまで追加検出なし
いまだ春節モードで検体放置中
400:名無しさん@お腹いっぱい。
09/01/31 00:15:55
>>390
VirusTotalで未検出の所へ提出
Ahnlab Customer , Authentium , Cat Computer , CA(eTrust Vet) , Fortinet , K7Computing , Panda ,
Rising Antivirus , VirusBuster , nProtect , Sunbelt , ViRobot
nProtectは検体のファイルを受け付けていないので、>390のあぷろだへのリンクとパスを書いて報告。
401:名無しさん@お腹いっぱい。
09/01/31 00:21:59
おおすごい
お疲れ様です
402:名無しさん@お腹いっぱい。
09/01/31 00:24:58
Panda&Norton使いです
これらとAntiVir&avast!を使い続けて気になったのはNortonやPandaはウイルス駆除するとき、再起動が必要な場合があるけどAntiVirとavast!は殆どない
ウイルスを解凍→駆除のときに再起動が必要というのは他のベンダーではどうです?
403:名無しさん@お腹いっぱい。
09/01/31 01:13:36
AntiVirではないなぁ。その前に使ってたカスペもNOD32も駆除の後再起動は経験が無い。
本体更新での再起動位か。
起動させてから駆除したことはないので、ファイル書込み段階での駆除の話ですが。
スレ違いな気もするけど、どこのスレが適当だかわからんわ。
404:名無しさん@お腹いっぱい。
09/01/31 01:54:09
>>390
Fortinet:未検出→W32/Inject.NNH!tr.
流石に速いな。いつもカスペに次ぐ位の速度で対応してくるベンダーだけあるわ。
一般向けのセキュリティソフトをここが出してくれればなぁ…
405:名無しさん@お腹いっぱい。
09/01/31 11:45:51
>>403
>スレ違いな気もするけど、どこのスレが適当だかわからんわ。
そうなんですよね、確かにスレ違いだし「一番良い~」のスレの方が妥当なのかもしれないけどあっちは完全な糞スレになっちゃってまともな会話ができない・・・
こちらのスレではいろんなソフトを使ってる方がいるということで少々テクニカルな話しもできるのではないかと
カスペはウイルス駆除で再起動とかはないんですか・・・・カスペは再起動がありそうなベンダーに見えたんですけどね
406:名無しさん@お腹いっぱい。
09/01/31 11:51:57
というかマルウェアの種類によっては
どのセキュリティソフトでも再起動が必要な場合はある
407:名無しさん@お腹いっぱい。
09/01/31 12:15:36
BitDefenderから今頃になって返事が来た件
もうBitDefenderへの提出打ち切りが数週間経つから今頃返事来るなんて遅すぎだよ~
しかも何の検体かわからん
Dear Sir/Madam,
The analysis of your files has been completed with the following results:
It's detected as Trojan.PWS.YJQ.
Please do not hesitate to send us even more suspect/infected files in the future.
Best regards,
Aurelian Neagu
BitDefender Technical Support Engineer
>>363
からSymantecの返事が来て「とりあえず解析中だからしばらく待ってろ」だって
408:名無しさん@お腹いっぱい。
09/01/31 12:22:43
Bitから返事貰ったことないぞ
409:名無しさん@お腹いっぱい。
09/01/31 13:11:06
>>407
その検出名の返答が来てるのは1/9に提出したOnline.scrなので、前スレ834だな。
1/9に提出して、1/26に回答来てた。提出する時に、ファイル名に日付入れたり、中身のファイル名書いとくといいよ。
ラボに送ったっていうテンプレメールばっかりなんで、読み飛ばしてたけど、たまに検出名や
既知のファイルだって返答来てるな。>BitDefender。
>834 名無しさん@お腹いっぱい。 sage 2009/01/09(金) 10:52:55
>URLリンク(tane.sakuratan.com)
>virus
>検体入手元:URLリンク(99)<)
10/21~1/9に送った奴の検出名が、まとめて1/26に来てる。
(この範囲の分をラボに送ったってメールが1/24。どっかで止めてたなw)
1/22送付分が、1/23にラボに送付ってメール来てたりするし、実際の処理と返信が連動してないのかも。
spamフィルタで振り分けられてたのを一気に処理した可能性もある。
410:名無しさん@お腹いっぱい。
09/01/31 13:26:52
>>407-409
>前スレ834
ちょっと気になったので比較してみた。未対応がそこそこあるように見えるけど、殆どのベンダーは
外側か中身のどっちかには対応してるので、実際にはブロック可能と思われる。
両方まだ対応してないのは、Prevx1とSunbeltの2ベンダーだけ。
Online.scr
1/11(27/37) URLリンク(www.virustotal.com)
1/31(31/39) URLリンク(www.virustotal.com)
123456789.exe(Online.scrの中身)
1/11(24/38) URLリンク(www.virustotal.com)
1/31(34/39) URLリンク(www.virustotal.com)
411:名無しさん@お腹いっぱい。
09/01/31 13:38:59
1/9に送った別の検体もついでに比較。
flash.exe
1/11(13/37) URLリンク(www.virustotal.com)
1/31(22/39) URLリンク(www.virustotal.com)
412:名無しさん@お腹いっぱい。
09/01/31 13:52:18
>>363
シマンテック
ファイル9つづつに分けて、5分割で送信した回答。3つめの分がまだ未回答
っていうか、4つめのファイル名が2回来てるので、送付ミスったかも…。
提出 1/29(5件) 回答 1/29(3件) 1/31(2件/但し同じファイル)
検出名のあるもの
filename: flsp.exe
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
filename: 1.css
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
filename: real.html
result: This file is detected as Downloader. URLリンク(www.symantec.com)
filename: ani.c
result: This file is detected as Trojan.Exploit.131.
filename: xia.exe
result: This file is detected as Infostealer. URLリンク(www.symantec.com)
filename: ani.asp
result: This file is detected as Trojan.Exploit.131.
filename: play.scr
result: This file is detected as Backdoor.Formador. URLリンク(www.symantec.com)
filename: real11.htm
result: This file is detected as Downloader. URLリンク(www.symantec.com)
手動解析に回したという報告
index.htm , off.htm , Ms06014.htm , 1199.exe , l2.htm , real.htm , fx.htm , ie.swf ,
ss.htm , 2078759.js , ff.swf , index.htm , index(3).htm , real10.htm , index(1).htm ,
cx.htm , lzz.htm , Bfyy.htm , fx.htm , index(2).htm , index.htm , new.html , style2224.jsp
413:名無しさん@お腹いっぱい。
09/01/31 14:14:36
URLリンク(tane.sakuratan.com)
virus
>363と同じくリネージュ資料室の更新状況から。
アドレスは同じだが、ファイルが差し替えられたようなので、再入手。
検体入手元
URLリンク(down)<)■wokutonoken-online■com/blog/play■scr
※ 1199.exeはplay.scrを解凍するとでてきます。
VirsTotal
URLリンク(www.virustotal.com) a1.css(26/39)
URLリンク(www.virustotal.com) play.scr(23/39)
URLリンク(www.virustotal.com) 1199.exe(21/38)
AntiVir
a1.css : TR/Dropper.Gen Trojan
play.scr : DR/PcClient.agv dropper
play/1199.exe : DR/PcClient.Gen dropper
BitDefender
play\1199.exe : Trojan.Crypt.DG
a1.css : Rootkit.Agent.AIWN
play.scr : Dropped:Backdoor.PCClient.TCH
414:名無しさん@お腹いっぱい。
09/01/31 14:39:24
>>413
未検出の所は一通り提出
マカフィー(全スルー)
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe |inconclusive | | |no
a1.css |inconclusive | | |no
play.scr |inconclusive | | |no
415:名無しさん@お腹いっぱい。
09/01/31 14:48:32
>>413
PandaGlobalProtection2009
a1.cssのみ疑わしいファイルとして検出
416:名無しさん@お腹いっぱい。
09/01/31 14:49:41
>>413
乙です。
NOD32 v3.0 定義3814
a1.css Win32/Genetikの亜種である可能性 トロイの木馬
play\1199.exe Win32/PcClient.NCRの亜種 トロイの木馬
play.scr Win32/PcClient.NCRの亜種 トロイの木馬
417:名無しさん@お腹いっぱい。
09/01/31 14:53:28
>>413
NortonInternetSecurity2009はVirustotal通りの結果です
418:名無しさん@お腹いっぱい。
09/01/31 14:58:46
>>413
avast!4.8
play\1199.exe:Win32:Downloader-AZY [Trj]
419:名無しさん@お腹いっぱい。
09/01/31 15:23:53
>>413
カスペ、対応済みとの返答。Virustotalの定義が古かった?
1199.exe_,
play.scr_ - Backdoor.Win32.PcClient.abyk,
a1.css - Trojan-Dropper.Win32.Agent.agbj
These files are already detected. Please update your antivirus bases.
420:名無しさん@お腹いっぱい。
09/01/31 15:40:09
We will add detection for these samples in the next regular update.
The samples you submitted will be detected as follows:
a1■css - W32/Agent.AGB!tr
play■scr - W32/PcClient.ABY!tr
1199■exe - W32/PcClient.ABY!tr
421:名無しさん@お腹いっぱい。
09/01/31 15:45:15
>>420
それはどこのベンダー?
検出名からNOD32っぽく見えるけど
422:名無しさん@お腹いっぱい。
09/01/31 15:49:14
…禁止ワードはこれか。orz(投稿に失敗したらしい)
1つ前のカスペの検出名投稿ではこけなかったのに。
ここに検出名投稿するのと前後して、他のBBSでDSBL規制にひっかかるのはなんでだー。
一昨日:BitDefenderの検出名10個位貼る→3回位失敗して諦める→他のBBSでDSBL規制にひっかかる
→ISPに対応依頼を出してから、モデムの電源切ってIP変える
今日:カスペの検出名を貼る→他のBBSでDSBL規制にひっかかる→Fortinetの検出名貼るがこける
近いISPで誰かがspam垂れ流してるだけだと思うけど、規制に引っ掛かる直前にここの書込みを
してる点が共通してるのが嫌すぎる。
>420は>413の検出名。ベンダーはFortinet。
423:名無しさん@お腹いっぱい。
09/01/31 15:50:14
>>421
ごめん、ベンダー名とアンカーを投稿修正時に間違って消してた。
424:名無しさん@お腹いっぱい。
09/01/31 15:54:14
あ、Fortinetかもしれないですね
>>404
AV-Comparativesでものすごい誤検出起こした結果を見るととても個人向けには扱えそうにないと思うんですが・・・・
Sophosも毎回ものすごい数の誤検出起こしてるから個人向けには出さない理由がわかる気がする(SpySweeperはあるけど)
425:名無しさん@お腹いっぱい。
09/01/31 16:47:35
関係ねえよ
426:名無しさん@お腹いっぱい。
09/01/31 16:56:46
んなこたあねえ
427:名無しさん@お腹いっぱい。
09/01/31 21:47:03
BitDefenderのサイトが攻撃されてるみたいだけど
URLリンク(www.bitdefender.com)
仮想環境などで詳細がわかる方レポート頼みます
428:名無しさん@お腹いっぱい。
09/01/31 22:02:32
>>427
全然問題ないよ
騙されたんじゃね
429:名無しさん@お腹いっぱい。
09/01/31 22:22:46
>>428
う~ん、それがFireFoxだとブロックされて全く見れない状態なんだよね
FireFox(Google)の誤検出なのかな~?
430:名無しさん@お腹いっぱい。
09/01/31 22:26:11
前スレのDishの件なんだけどとうとうNOD32とNormanまで反応した
URLリンク(www.virustotal.com)
これでトレンドマイクロ以外の大手ベンダーは全て黒扱い
431:名無しさん@お腹いっぱい。
09/01/31 22:32:35
>>429
>このサイトで不審なコンテンツが最後に検出されたのは2009-01-18です。
って書いてあるでしょ
検出されたのはこの一回だけ
432:名無しさん@お腹いっぱい。
09/01/31 23:40:31
googleで何 検索しても「このサイトはコンピュータに損害を与える可能性があります。」って
なるね。
さっきのFireFoxの件と関係ありそうだね。
なんかどっかで攻撃あんのかな?
433:名無しさん@お腹いっぱい。
09/01/31 23:56:27
本当だ
Googleで何検索しても「このサイトはコンピュータに損害を与える可能性があります。」って出る
Googleが何かの攻撃にやられたのかな?
434:名無しさん@お腹いっぱい。
09/01/31 23:57:10
ほんとだ
googleが壊れてんのか
435:名無しさん@お腹いっぱい。
09/01/31 23:57:24
googleがおかしい★2 (ν速)
スレリンク(news板)
436:名無しさん@お腹いっぱい。
09/01/31 23:57:46
なんだよbid疑って悪いことをした
437:名無しさん@お腹いっぱい。
09/01/31 23:58:41
先生ご乱心ときいて
438:名無しさん@お腹いっぱい。
09/02/01 00:10:23
Google USもダメだな。
*内部的ミス
**検索エンジン更新時のインストールミス☆
:**単純な設定ミス ★
+外部的ミス
**第三者による攻撃
***Who?
****政府
****悪意のあるハッカー
****テロ組織
****内部組織
++種類
+++サイト改ざん
++目的
+++愉快犯
+++マルウェアのインストール目的
**方法
***ボットネット
***SQLインジェクション
***DNSキャッシュポイズニング
+++SEOポイズニング
****iFrame挿入攻撃
★に2ペリカ、☆に1ペリカ
439:名無しさん@お腹いっぱい。
09/02/01 00:11:13
Googleは逝っちゃってるけどBitDefnderのサイトの件はヤフーで検索しても危険サイト扱いされるな(火狐だけだろうけど)
440:名無しさん@お腹いっぱい。
09/02/01 00:12:12
URLリンク(www.sleipnirstart.com)
↑これつかえ
441:名無しさん@お腹いっぱい。
09/02/01 00:25:29
Googleに不具合 全検索結果に「コンピューターに損害を与える可能性」とメッセージ
URLリンク(www.itmedia.co.jp)
442:名無しさん@お腹いっぱい。
09/02/01 00:45:39
>>439
何度か出てるがFirefoxはGoogleのデータ使ってるから
443:名無しさん@お腹いっぱい。
09/02/01 00:47:23
bitdefenderは今も変わらないな
444:名無しさん@お腹いっぱい。
09/02/01 08:12:14
>>413
NortonInternetSecurity2009
Backdoor.Formador:play\1199.exe
これで全検出確認
SymantecとPandaは対応速度が安定してないのが欠点だな
445:名無しさん@お腹いっぱい。
09/02/01 11:20:26
>>461
そういや、こっちには書いてなかったな…。中身の1199.exeとscrでは検出状況がちょっと違う。
最近、ファイルが差し替えられてる。↓は検体提出時の検出結果。
URLリンク(www.virustotal.com) play.scr(23/39)
URLリンク(www.virustotal.com) 1199.exe(19/38)
URLリンク(www.virustotal.com) play.scr(23/39)
URLリンク(www.virustotal.com) 1199.exe(21/38)
446:名無しさん@お腹いっぱい。
09/02/01 11:20:52
>>445は誤爆です orz
447:名無しさん@お腹いっぱい。
09/02/01 15:12:18
511 名前:/名無しさん[1-30].jpg[] 投稿日:2009/01/29(木) 19:29:59 ID:zbtNWF/40
僕もおねがいしまつ
URLリンク(miracleup.huu.cc)
517 名前:/名無しさん[1-30].jpg[sage] 投稿日:2009/01/29(木) 22:29:31 ID:wuKi3eid0
>>511
このページはウイルスに感染しています。カスペルさんは、Trojan.Script.Iframer だと言っています。
URLリンク(www.virustotal.com)
448:名無しさん@お腹いっぱい。
09/02/01 17:11:31
>>447
>>2
・ブラクラ禁止
ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません。
449:名無しさん@お腹いっぱい。
09/02/01 17:35:08
>>447
検出するベンダーもあるようですし、ブロックしてもよさそうではありますが、今回は提出せず。
450:名無しさん@お腹いっぱい。
09/02/02 01:07:30
URLリンク(tane.sakuratan.com)
virus
検体入手元
URLリンク(down)<) (30/39)
一部ファイル名が、禁止ワードになっているようで、投稿するとBBX規制リストに載ってしまうようです。
規制に引っ掛からないように、報告時には一部箇所を置き換えたほうがいいかもしれません。
451:名無しさん@お腹いっぱい。
09/02/02 01:13:29
>>450
Risingに提出完了
452:名無しさん@お腹いっぱい。
09/02/02 10:52:04
>>241
McAfeeより返答。1/23提出分。
file.exe~file(46).exe:generic.dx,vundo のどちらかの名称
453:名無しさん@お腹いっぱい。
09/02/02 11:19:22
NOD32 v3.0 定義3817
>>450
tane0215\a1.css Win32/Genetikの亜種である可能性
(アドバンスドヒューステリックによる検出)
454:名無しさん@お腹いっぱい。
09/02/02 13:39:02
Kingsoftからまとめて返答来ました。
>>122 1/19提出
既知:「ウイルス名:Win32.Troj.Crypt.DG.62506」他
>>145 1/20提出
キングソフトにおいてウイルスではないことが確認できましたことをご連絡いたします。
(え゛~)
>>168 1/21提出
既知:「ウイルス名:Win32.Troj.Delf.78848」他
>>202 1/22提出
既知:「ウイルス名:Win32.Troj.Delf.gb.163840」
>>310 1/28提出
既知:「ウイルス名:> VTool.Ansigen.CD.42420 」他
455:名無しさん@お腹いっぱい。
09/02/02 13:41:29
一ヶ所、他って付け忘れてますので脳内補完お願いします。キングソフトは複数ファイルをアーカイブして送っても
1つしか検出名を書いてこないので、このような書き方になってます。ご了承ください。
456:371,373,380
09/02/02 13:49:53
>>363
カスペからの返事
22+3=25
カスペ的には、これでFAみたいね。
Hello,
2078759.js_, b05.htm_, Bfyy.htm_, cx.htm_, index(1).htm_, index(2).htm_, index(3).htm_, index(4).htm_, index.htm_, l2.htm_, real11.htm_, style2224.jsp
No malicious code were found in these files.
new.html_ - Trojan-Clicker.HTML.IFrame.aci,
real10.htm_ - Exploit.JS.RealPlr.ou
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
457:名無しさん@お腹いっぱい。
09/02/03 00:07:13
URLリンク(online)<) (23/39)
458:名無しさん@お腹いっぱい。
09/02/03 00:23:47
>>457
PandaGlobalProtectio2009
疑いのあるファイル 未知の脅威からの保護 URLリンク(online.w84.okwit.com)
459:名無しさん@お腹いっぱい。
09/02/03 00:28:54
>>457
URLリンク(www)<) 1199.exe(22/39)
460:名無しさん@お腹いっぱい。
09/02/03 00:37:40
>>459
PandaGlobalProtection2009は疑わしいファイルとして検出
NortonInternetSecurity2009も検出
461:名無しさん@お腹いっぱい。
09/02/03 00:40:04
ちなみにPandaもNortonもダウンロード時に検出なので>>459のVirustotalの検体とは違うものだと思いますね
462:名無しさん@お腹いっぱい。
09/02/03 01:07:54
>>461
>459のVirustotalの結果は、ダウンロードしたファイルを解凍すると出てくるものですよ。
459で落ちてくるファイルそのものは、>457と同一です。 fc /b で比較してみてください。
463:名無しさん@お腹いっぱい。
09/02/03 02:46:45
NSISの解凍がわからないのでは。7-Zipで解凍できるよ。
464:名無しさん@お腹いっぱい。
09/02/03 02:56:33
URLリンク(tane.sakuratan.com)
infected
>459,>461+その他いろいろ(ちょっと古いけどすり抜けるベンダーのあるもの等)。
検体は各社に提出済み。ファイル数やサイズに制限のあるベンダーにも分割して提出しました。
マルウェア本体を呼び出す途中のhtmlも含むため、スルーされるファイルが比較的多いと思います。
465:名無しさん@お腹いっぱい。
09/02/03 03:23:24
ちょっと入れすぎたんで…検出結果報告どうすっかなぁ。
MaCafee
検出+拡張/総数=65+2/130
殆ど似たようなswfのファイルで検出するものとしないものが混ざってたり。
ノートン
130個中、97個分がすぐに自動回答きました(15分割したうち4ファイル分は返答来ていません)
47/90 既知のマルウェア
50/97 自動検出できず、手動解析に回す
466:名無しさん@お腹いっぱい。
09/02/03 03:49:06
>>464
AntiVir Free(マルウェア本体のexeで残ったのは2種類だけ)
ファイル:138
検出:117
疑惑:2
BitDefender10Free
ファイル:173(アーカイブ内のファイルも含む)
アーカイブ:4
ランタイムパッカー:18
感染しているオブジェクト:101
疑わしいオブジェクト:1
ウイルス識別:37(37種類?)
----- 参考までに、スパイウェア対策ソフトでもチェック -----
Ad-Aware
検出数 19ファイル(9種類)
Spybot
検出数 1(うち、ヒューリスティック1)
SuperAntiSpyware
検出数 0
467:名無しさん@お腹いっぱい。
09/02/03 12:09:10
>>466
464解凍後にMalwarebytesの右クリックスキャンでは検出数4だった
468:名無しさん@お腹いっぱい。
09/02/03 12:09:23
>>464
PandaGlobalProtection2009
とりあえず33個検出
実際にはどれだけ検出駆除できたかまだ調べてません
469:名無しさん@お腹いっぱい。
09/02/03 12:23:54
>>464
NortonInternetSecurity2009
73個検出
470:名無しさん@お腹いっぱい。
09/02/03 15:44:15
>>464
カスペ2009
97/126
(アーカイブで検知、さらにアーカイブを自動解凍してマルウェアを検知した場合は、2として計算せず、1として計算)
Trojan.Win32.Pakes.kad tt1.exe
Trojan.Win32.Inject.ntg flsp.exe
Trojan.Win32.Inject.ndf teamerblog/cer.exe
Trojan.Win32.Inject.ncz k1.exe
Trojan.Win32.Inject.ncz gawezuki/k1.exe
Trojan.Win32.Inject.dzc 001G000183/001G000183.exe
Trojan.Win32.Delux.eo play0nlink/ff11.exe
Trojan.Win32.Delux.bp play0nlink/t1.exe
Trojan.JS.Agent.kb teamerblog/Muma.htm、gawezuki/Muma.htm 「2」
Trojan.HTML.IFrame.ad gawezuki/Blog.htm
Trojan-PSW.Win32.Agent.ka tmsn.exe
Trojan-GameThief.Win32.OnLineGames.wkt mbspro6uic/ff22.exe
Trojan-GameThief.Win32.OnLineGames.skmj vip.dob3.cn/Baidu/mm.exe
Trojan-Dropper.Win32.Agent.zmr gameicity/ofed/mov.scr、 flsp.exe、 fls.exe 「3」18
Trojan-Downloader.Win32.Delf.jfj play0nlink/xia.exe、 mbspro6uic/xia.exe jerikoblog88fc2/xia.exe 、 dimorphothec/xia.exe 「4」
Trojan-Downloader.VBS.Psyme.pm teamerblog/Muma_1.htm、 gawezuki/Muma_2.htm 「2」
Trojan-Downloader.VBS.Agent.rm vip.dob3.cn/11.htm
Trojan-Downloader.JS.VML.a play0nlink/Ms07004.js
Trojan-Downloader.JS.Small.mr gameicity/off.htm
Trojan-Downloader.JS.SWFlash.j gameicity/fx.htm
Trojan-Downloader.JS.Psyme.kf play0nlink\Ms06014.htm、 jerikoblog88fc2\Ms06014.htm、 dimorphothec\Ms06014.htm 「3」
Trojan-Downloader.JS.Psyme.anc gameicity/Ms06014.htm
Trojan-Downloader.JS.Agent.dhv gawezuki/Ms06-014.htm
Trojan-Downloader.JS.Agent.dfv vip.dob3.cn/vip.htm
(つづく)
471:470
09/02/03 15:48:01
>>470の続き
>>464 カスペ2009@14:54:00
Trojan-Downloader.JS.Agent.cif vip.dob3.cn/live.htm
Trojan-Downloader.JS.Agent.bnc mbspro6uic/Ms06014.htm
Trojan-Downloader.HTML.IFrame.dv play0nlink/wugui.htm、 naizi.htm、 xinma.htm、 ma.htm 「4」
Trojan-Downloader.HTML.IFrame.dv mbspro6uic/naizi.htm、 jerikoblog88fc2/xinma.htm、 dimorphothec/ma.htm 「3」
Trojan-Downloader.HTML.Agent.nh vip.dob3.cn/fx.htm
Trojan-Clicker.HTML.IFrame.so k.js
Exploit.Win32.IMG-ANI.ac play0nlink/ani.c、 mbspro6uic/ani.c、 jerikoblog88fc2/ani.cdimorphothec/ani.c 「4」
Exploit.SWF.Downloader.lb vip.dob3.cn/i64.swf、 i47.swf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「6」
Exploit.SWF.Downloader.lb vip.dob3.cn/f47.swf 、 f45.swf、 f28.swf、 f16.swf、 s115.swf 「5」
Exploit.SWF.Downloader.eh e7zx.cn/i64.swf、 i47.dwf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「6」
Exploit.SWF.Downloader.eh e7zx.cn/f47.swf、 f25.swf、 f28.swf. f16.swf、 f115.swf 「5」
Exploit.JS.XMLPars.v gameicity/ss.htm
Exploit.JS.RealPlr.ny vip.dob3.cn/Real11.htm
Exploit.JS.RealPlr.nt vip.dob3.cn/rp10.htm
Exploit.JS.Agent.zs gawezuki/Muma_4.htm
Exploit.JS.Agent.yq play0nlink/Xunlei.htm、 jerikoblog88fc2/Ms06046.htm、vip.dob3.cn/bfyy.htm 「3」
Exploit.JS.Agent.aay gameicity/real.htm
Exploit.JS.Agent.aax gameicity/real.html
Exploit.HTML.IESlice.z play0nlink/Yahoo.htm、mbspro6uic/Yahoo.htm、jerikoblog88fc2/Yahoo.htm、dimorphothec/Yahoo.htm 「4」84
Exploit.HTML.Ascii.ai play0nlink/Ms06046.htm
472:470
09/02/03 15:49:26
>>470,471の続き
>>464 カスペ2009@14:54:00
Backdoor.Win32.PcClient.acak Start.pif 、 play\1199.exe、 play.scr、 1.exe 「4」
Backdoor.Win32.Agent.obd ff11goodstory0808111/ff11goodstory0808111.exe
Worm.Win32.Otwycal.bq gameicity/1.css
Rootkit.Win32.Agent.gaf ko.exe
*ヒューリスティック検知
HEUR:Trojan-Downloader.Script.Generic gawezuki/Ms06-014_3.htm、 gameicity/no.htm、 gameicity/14.htm、 teamerblog/Ms06-014.htm 「4」
HEUR:Exploit.Script.Generic gameicity/real(1).html、 nct.htm 「2」
以上
>>470-472
検体提出します。
473:名無しさん@お腹いっぱい。
09/02/03 16:03:46
ファイル名とか書くなって
どこまで馬鹿なの?
474:名無しさん@お腹いっぱい。
09/02/03 16:38:25
>>473
>>377-378
475:名無しさん@お腹いっぱい。
09/02/03 20:44:54
NOD32 v3.0 定義3821
>>464
さすがに多いので検出数のみの報告です。
感染オブジェクトの合計数/検査したオブジェクトの合計数=87/138
476:名無しさん@お腹いっぱい。
09/02/03 22:02:33
>>464カスペ返事 大量報告又すまぬ。(>>473)推定97+11=108/126(2白)
flink.html_ - Trojan-Downloader.JS.SWFlash.ai
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dlw *
Ms06-014_1.htm_ - Trojan-Downloader.JS.Agent.dlu
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dlt
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dls *
ilink.html_ - Trojan-Downloader.JS.SWFlash.aj
real(1).htm_ - Exploit.JS.RealPlr.ov *
play.htm_ - Trojan-Downloader.JS.Iframe.agm
no.htm_ - Trojan-Downloader.JS.Agent.dlv *
ifl.html_ - Trojan-Downloader.JS.SWFlash.aj
14.htm_ - Trojan-Downloader.JS.Agent.dlx *
index.htm_ - Trojan-Downloader.JS.Iframe.agl
Muma_1.htm_ - Exploit.JS.Agent.abo
zuo.htm_ - Trojan-Downloader.JS.Iframe.agk
no.htm_ - Trojan-Downloader.JS.Agent.dlv
Ms06-014_1.htm_(TeamerBlog) - Trojan-Downloader.JS.Agent.dma
vir.exe, ffl.htm 2つ白
477:名無しさん@お腹いっぱい。
09/02/03 22:15:56
>>464
AntiVir回答。
流石に検出名とか新種の数は書いてこなかった。その手間を他の検体の解析と対応に振り向けて下され>ベンダー担当者
We found some new viruses in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
478:名無しさん@お腹いっぱい。
09/02/04 00:13:18
Rising 2009 21.24.10 (21.15.10.00)
>>363
a1.css>>fsg2.0: Trojan.DL.Win32.Mnless.cbt
play.scr>>1199.exe: Backdoor.Win32.PcClient.qyy
15+2個
>>413
a1.css>>fsg2.0: Dropper.Win32.Undef.oc
play\1199.exe: Backdoor.Win32.PcClient.qyy
play.scr>>1199.exe: Backdoor.Win32.PcClient.qyy
3/3
>>450
a1.css>>fsg2.0: a1.css>>fsg2.0
1/1
まだ春節モード
479:名無しさん@お腹いっぱい。
09/02/04 00:22:03
>>464
Rising 2009
Files scanned: 157
Viruses found: 86
パッカー内検出もあるからファイル数はもう少し少ないと思われる
480:470
09/02/04 01:42:35
>>464 カスペからの返事
97+20=117/126(うち3白)
Ms06-014_4.htm_ - Trojan-Downloader.JS.Agent.dmb (Teamerblogフォルダ)
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dmc
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dmd
FFISearch.htm, fc2.htm_ blog.htm,, play.htm_ - Trojan-Downloader.JS.Iframe.agm
office.htm_ - Trojan-Downloader.JS.Agent.dmg
ffl.html_ - Trojan-Downloader.JS.SWFlash.aj (←白から訂正)
flash(1).htm_- No malicious code was found in this file.
iff.swf - This file is corrupted.(破損)