09/01/27 23:27:00
URLリンク(tane.sakuratan.com)
virus
URLリンク(www.virustotal.com)
301:名無しさん@お腹いっぱい。
09/01/27 23:53:43
>>300
Risingに送付完了
302:名無しさん@お腹いっぱい。
09/01/28 00:04:05
>>300
PandaGlobalProtection2009とNortonInternetSecurity2009はガチスルーだったので提出しました
303:名無しさん@お腹いっぱい。
09/01/28 00:08:30
「ガチ」はなんか嫌だ
304:名無しさん@お腹いっぱい。
09/01/28 00:17:21
「VT上でスルー」じゃなく「実機でもスルー」だからガチスルーということで
305:名無しさん@お腹いっぱい。
09/01/28 00:19:24
嫌、「ガチ」が気に障るだけだw
そこんところはスルーしていいよ
306:名無しさん@お腹いっぱい。
09/01/28 00:26:39
あとMcAfeeの報告は止めました
どうも仮想環境が上手く構築できないから現時点ではこれ以上のベンダーの検出報告は無理だorz(avast!はAntiVirとの併用が奇跡的に不具合なく快適に動かせるんだが・・・)
McAfeeActiveProtectionは興味あるしBitDefender2009とかも動かしてみたいんだが・・・・
VMwareのゲストOSをVistaかXPにするにはどうしたらいいんだろう・・・?やっぱり新たにOSのライセンス購入しなきゃいけない?(ちなみに実機のOSはVista)
こんな恥ずかしい質問してすいません、どうも仮想環境には慣れてないから上手く使いこなせない
307:名無しさん@お腹いっぱい。
09/01/28 00:35:54
VirusBusterに送ってみたけど
優先度lowとか書いてあるしやる気なさそうだな
せっかく送ってやったのに糞の癖に生意気
308:名無しさん@お腹いっぱい。
09/01/28 01:07:54
>>306
XP・VistaのVPC用イメージファイルならここにあるよ
URLリンク(www.microsoft.com)
いまならWindows7を勧めるけどw
309:名無しさん@お腹いっぱい。
09/01/28 01:28:38
>>306
VMware総合スレ Part19
スレリンク(software板)
↑ここで聞いてみれば
Microsoft VirtualPCなら使った事はありますが
VMwareは高くて無理w
310: [―{}@{}@{}-] 名無しさん@お腹いっぱい。
09/01/28 03:51:49
URLリンク(www.hackpalace.com)
URLリンク(www.hackpalace.com)
URLリンク(www.hackpalace.com)
311:名無しさん@お腹いっぱい。
09/01/28 06:15:05
>>310
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
312:名無しさん@お腹いっぱい。
09/01/28 06:44:02
表示環境によっては、手が当たって踏むリスクのある人があるので、
マルウェアソース晒す人は、"http://" 入れるのやめよう (h一個だけ抜きも不十分)
313:名無しさん@お腹いっぱい。
09/01/28 07:37:56
直リンするバカは放置でいいよ
314:名無しさん@お腹いっぱい。
09/01/28 08:28:51
310さん サイト見たらマカフィーて以外に対応早くていいのね
315:名無しさん@お腹いっぱい。
09/01/28 09:09:19
>>308
>>309
thx
無事仮想環境構築できたならMcAfeeActivrProtectionの報告をするつもりです
本当はESETやKasperskyのライセンスを持ってるけど既にお客さんがいるためここら辺の検出報告は控えてるという状況です
316:名無しさん@お腹いっぱい。
09/01/28 09:22:24
>>310
avast!4.8
一番上
Other:Malware-gen
ちなみに一番上のファイルはAntiVirとPandaとNortonはスルーでした
これだけ見るとavast!の誤検出なのかな・・・・?
317:名無しさん@お腹いっぱい。
09/01/28 09:22:39
重複してもいい。送付漏れする位なら。
318:名無しさん@お腹いっぱい。
09/01/28 09:24:28
>>314
最近はMcAfeeとNortonとPandaとESETとavast!が頑張ってるという感じだね
前者3つのベンダーは新エンジンに伴って検出率が向上した感じ
319:名無しさん@お腹いっぱい。
09/01/28 11:38:25
>>312
> 表示環境によっては、手が当たって踏むリスク
それどころかプリフェッチとかあるからな。
320:名無しさん@お腹いっぱい。
09/01/28 13:19:40
>>310
AntiVir
ansigen.exe
[DETECTION] KIT/DOS.Ansigen construction kit
mass produced code\PS-MPC.COM
mass produced code.zip
--> PS-MPC.COM
[DETECTION] VKIT/PSMPC virus
nowhere utilities20.zip
NotDetected
BitDefender10Free
nowhere utilities20.zip=>CIPHER.COM Infected: BAT.Calhob.A@mm
nowhere utilities20.zip=>FAKEFILE.COM Detected: Application.Fakefile.A
nowhere utilities20.zip=>RESIZE.COM Detected: Application.Fileresizer.A
ansigen.exe Infected: Trojan.Constructor.Dos.Ansigen.A
mass produced code.zip=>PS-MPC.COM Infected: Constructor.PS-MPC
321:306
09/01/28 16:30:21
>>308
無事VPCでxpを構築することができました
ありがとう、これで検出報告するベンダーを増やすことができる
322:名無しさん@お腹いっぱい。
09/01/28 17:25:51
URLリンク(tane.sakuratan.com)
virus
>>300(tane0207.zipの中の偽装jpeg)から呼ばれるもので404になっていないものを幾つか拾ってみました。
img20081223085209.jpgは同梱されていますが、>300のものです。
img20081223085209.jpg : Trojan-Downloader.HTML.IFrame.if(Kaspersky)
CursorManiaFFSetup2.0.4.0.exe : not-a-virus:AdTool.Win32.MyWebSearch.bm(Kaspersky)
goldfish.xls.scr : Worm:Win32/Yaha.F@mm(Microsoft)
golden-keylogger.zip : not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
GoldenKeylogger-setup.exe : not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
Document003.pif : Worm:Win32/Sobig.A@mm(Microsoft)
phone_number2.pif : Worm:Win32/Netsky.T@mm(Microsoft)
movie0045.pif : Worm:Win32/Sobig.F@mm(Microsoft)
sensitive.pif : Virus:Win32/Magistr.B@mm(Microsoft)
hello.zip : Trojan-Proxy.Win32.Delf.ce(Kaspersky)
一応入手元
URLリンク(ak)<)■calistra■com/virus/goldfish■xls■scr
URLリンク(www)<)■sentry■net/archive/bioastro/2003/Feb/att-0025/Document003■pif
URLリンク(www)<)■w3■org/Archives/Public/site-comments/2003Aug/att-0008/movie0045■pif
URLリンク(lists)<)■geocities■com/lelele111111/hello■zip
323:名無しさん@お腹いっぱい。
09/01/28 17:32:59
追記
殆どのものが古めのもののようで、対応されている率が高かったです。
カスペ返答
返答に検出名称はありませんでしたが、なにかすりぬけ分があったようで。
New malicious software was found in the attached file. Its detection will be included in the next update.
マカフィー
File Name Findings Detection Type
--------------------|---------------------------------|------------
cursormaniaffsetup2.|current detectionadware-websearch|Application
document003.pif |current detectionw32/sobig.a@mm |Virus
file_id.diz |inconclusive |
goldenkeylogger-setu|current detectionkeylog-goldenkey|Application
goldfish.xls.scr |current detectionw32/yaha.g@mm |Virus
hello_01.exe |variant detectiongeneric.eo |Trojan
hello_02.exe |variant detectiongeneric.eo |Trojan
hello_03.exe |variant detectiongeneric.eo |Trojan
hello_04.exe |variant detectiongeneric.eo |Trojan
hello_05.exe |variant detectiongeneric.eo |Trojan
hello_06.exe |variant detectiongeneric.eo |Trojan
img20081223085209.jp|current detectionvbs/generic@mm |Virus
movie0045.pif |current detectionw32/sobig.f@mm |Virus
phone_number2.pif |current detectionw32/netsky.t@mm |Virus
sensitive.pif |current detectionw32/magistr.b@mm|Virus
324:名無しさん@お腹いっぱい。
09/01/28 17:37:35
>>322
シマンテック
2分割で送ったうちの片方だけ返答
filename: CursorManiaFFSetup2.0.4.0.exe
result: See the developer notes
filename: goldfish.xls.scr
result: This file is detected as W32.Yaha.F@mm.
URLリンク(www.symantec.com)
filename: Document003.pif
result: This file is detected as W32.Sobig.A@mm.
URLリンク(www.symantec.com)
filename: golden-keylogger.zip
result: This file is clean
filename: file_id.diz
result: This file is clean
filename: GoldenKeylogger-setup.exe
result: This file is detected as Spyware.GoldenKeylog.
URLリンク(www.symantec.com)
325:306
09/01/28 17:38:03
>>322
avast!4.8
CursorManiaFFSetup2.0.4.0.exe:Win32:Adware-gen [Adw]
Document003.pif:Win32:Sobig [Wrm]
goldfish.xls.scr:Win32:Yaha-E [Wrm]
img20081223085209.jpg:VBS:LoveLetter-C [Wrm]
img20081223085209.jpg:VBS:LoveLetter-C [Wrm]
movie0045.pif:Win32:Sobig-F [Wrm]
phone_number2.pif:Win32:Netsky-T [Wrm]
sensitive.pif:Win32:Magistr
326:名無しさん@お腹いっぱい。
09/01/28 17:38:26
>>322
Fortinet:
新規対応分
CIPHER.COM - Misc/Cipher
CRYPTCOM.COM - HackerTool/Cryptcom
FAKEWARE.COM - Misc/Toolfkw
REPLACE.COM - HackerTool/CoverFile
既知の分:
ansigen.exe - W32/ConstructionKit
FAKEFILE.COM - Misc/Toolfkf
PS-MPC.COM - PSMPC.A!tr
hello.zip/hello/hello_01.exe - W32/Delf.CE!tr
hello.zip/hello/hello_02.exe - W32/Delf.CE!tr
hello.zip/hello/hello_03.exe - W32/Delf.CE!tr
hello.zip/hello/hello_04.exe - W32/Delf.CE!tr
hello.zip/hello/hello_05.exe - W32/Delf.CE!tr
hello.zip/hello/hello_06.exe - W32/Delf.CE!tr
img20081223085209.jpg - HTML/IFrame.CUQ!tr
movie0045.pif - W32/Sobig.F@mm
phone_number2.pif - W32/Netsky.T@mm
sensitive.pif - W32/Magistr.B@mm
327:名無しさん@お腹いっぱい。
09/01/28 17:42:07
>332
AviraPremiumSecuritySuit
CursorManiaFFSetup2.0.4.0.exe [DETECTION] Contains recognition pattern of the ADSPY/AdSpy.Gen adware or spyware
Document003.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.A worm
golden-keylogger.zip
[0] Archive type: ZIP
--> GoldenKeylogger-setup.exe
[DETECTION] Contains recognition pattern of the DR/GoldenKeylogger.130 dropper
goldfish.xls.scr [DETECTION] Contains recognition pattern of the HTML/Dldr.Agen.QV.1 HTML script virus
hello.zip
[0] Archive type: ZIP
--> hello/hello_01.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_02.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_03.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_04.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_05.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_06.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
movie0045.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.F worm
phone_number2.pif [DETECTION] Contains recognition pattern of the WORM/Netsky.#1 worm
sensitive.pif [DETECTION] Contains recognition pattern of the W32/Magistr.B5 Windows virus
328:名無しさん@お腹いっぱい。
09/01/28 17:42:48
>>322
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
329:名無しさん@お腹いっぱい。
09/01/28 17:50:18
>>328
もうひとつあった
URLリンク(www.virustotal.com)
330:名無しさん@お腹いっぱい。
09/01/28 17:58:14
>>322
NOD32 v3.0定義3805
9/9
CursorManiaFFSetup2.0.4.0.exe Win32/AdInstaller アプリケーション
Document003.pif Win32/Sobig.A ワーム
goldfish.xls.scr Win32/Yaha.E ワーム
img20081223085209.jpg HTML/TrojanDownloader.Agent.NAX トロイの木馬
movie0045.pif Win32/Sobig.F ワーム
phone_number2.pif Win32/Netsky.T ワーム
sensitive.pif Win32/Magistr.29188 ワーム
golden-keylogger.zip
->GoldenKeylogger-setup.exe Win32/GoldenKeylogger.132 アプリケーション
hello.zip
->hello_01.exe Win32/TrojanProxy.Delf.CE トロイの木馬
(以下02~06まで同名で検出)
sensitive.pifはワームとして検知しましたが、全削除されずに残りました。
ファイルサイズが変化しているので、危険な部分だけ削除しているのかも。
331:名無しさん@お腹いっぱい。
09/01/28 18:25:35
>>324
> filename: CursorManiaFFSetup2.0.4.0.exe
> result: See the developer notes
よく見かける
See the developer notes
の意味が分からない。
黒、白、リスクウェア、どっち?
教えてエロい人
332:名無しさん@お腹いっぱい。
09/01/28 18:28:00
>>331
解析中という見方が正しいけど検体送って数日経ってこういうメールが来る場合がある
その場合は白と見ても良いと思う、その後も対応する気配が感じられないから
333: ◆W32/Vael.o
09/01/28 18:41:25
URLリンク(www.tane.sakuratan.com)
Malware-Pack58
例によってMcAfeeには提出済み
334:名無しさん@お腹いっぱい。
09/01/28 18:47:17
>>333
今は仮想環境構築にまだ苦戦状態なので検出数の報告だけで
どうしようもなかったらまたスレチ失礼ながらも質問するかもしれません(そうならないように出来るだけがんばります)
PandaGlobalProtection2009
10/12
335:名無しさん@お腹いっぱい。
09/01/28 18:53:38
>>333
avast!4.8とAviraPremiumSecuritySuit
ともに10/12
336:名無しさん@お腹いっぱい。
09/01/28 18:58:46
>>333
NortonInternetSecurity2009
9/12(うち一つは2009ヒューリスティックエンジンで検出)
337:名無しさん@お腹いっぱい。
09/01/28 19:17:34
とりあえず仮想環境についていろいろと調べてみた結果、やはりOSは新たに買ってきた方がスムーズにいきそうですね・・・
>>308さんが挙げてくれたファイルは確かにxpを展開できたけど英語版なせいか日本語サイトは文字化け起こすわMcAfeeセットアップファイルも起動することが出来なかったので仮想環境でもう一つ検出報告追加はまだまだ後になりそうです(予算検討のため)
338:名無しさん@お腹いっぱい。
09/01/28 19:21:10
>>331
>See the developer notes の意味が分からない。
書かれている通り、「デベロッパーノートを見ろ」。
メールの後半に「Developer notes:」という項目があってそこに書かれている。ほぼこの定型文がくると思っていい。
>xxxx.exe Our automation was unable to identify any malicious content in this submission.
>The file will be stored for further human analysis
自動処理できなかったので、将来人手で解析するファイルとして蓄積しましたということ。
黒とも白ともリスクウェアとも判別されていない状態。
シマンテックからの回答は基本的にこれでクローズ。人手で解析した結果の報告までは来ません。
339:名無しさん@お腹いっぱい。
09/01/28 19:24:26
シグネチャを自動化してるベンダーってSymantecとあとどこら辺?
McAfeeやPandaとかも企業規模が大きいからシグネチャの自動化はしてそうな感じはするけど
Kasperskyは前に全て人手で行ってると聞いたけど今はどうなんだろう?
340:名無しさん@お腹いっぱい。
09/01/28 20:12:14
Rising 2009 21.23.20 (21.14.20.00) Last Update Time=2009-01-28 10:33
>>322
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>M3OUTLCN.DLL: Adware.MyWebSearch.e
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3WPHOOK.DLL: Trojan.Win32.Undef.aun
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3SCHMON.EXE: Adware.Msearch.a
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3HTTPCT.DLL: Adware.MyWebSearch.d
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE: <Unknown virus>
Document003.pif: Worm.SoBig
golden-keylogger.zip>>GoldenKeylogger-setup.exe>>rView.exe: Trojan.Spy.Agent.asm
goldfish.xls.scr: Worm.Mail.Lentin.w
hello.zip>>hello/hello_01-06.exe: Trojan.Proxy.Delf.jt
movie0045.pif: Worm.Sobig.f
phone_number2.pif: Worm.Mail.Win32.NetSky.daq
sensitive.pif: Win32.Magistr
8/9
>>333
4\ldr.exe: Trojan.Clicker.Win32.Undef.gj
1/12
341:名無しさん@お腹いっぱい。
09/01/28 20:22:30
>>339
マカフィーも自動だな。
Dr.Webもパスワードinfectedで送ってたら、自動処理できないので、virusにしてくれって言ってきた。
トレンドマイクロも自動かな?
あとはMicrosoftも自動っぽい気がする。
342:名無しさん@お腹いっぱい。
09/01/28 21:12:39
>>333
Symantecから
未検出分のみ提出ものから返答
filename: WinDefender2009.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: This file is detected as W32.Waledac.
filename: iMunizatorSetup.dmg
machine: Machine
result: See the developer notes
で、10/12
>>341
ウイルス解析規模が大きいところは大体自動化してるみたいだね
McAfeeとPandaはクラウドベースのシステム的に自動化のほうが理にかなってるし
AVGはどうだろう?
343:名無しさん@お腹いっぱい。
09/01/28 21:19:56
>>338
意味わかった。㌧。
344:名無しさん@お腹いっぱい。
09/01/28 21:30:04
>>333
11/12(0以外)
Detected Trojan program Trojan-Spy.Win32.Zbot.kvv tane0209.zip/Malware/1/r.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.lff tane0209.zip/Malware/2/system.lib
Detected Trojan program Trojan-Downloader.Win32.CodecPack.dxi tane0209.zip/Malware/3/antivirus.v.1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kza tane0209.zip/Malware/4/ldr.exe
Detected virus not-a-virus:FraudTool.Win32.SecurityCenter.ac tane0209.zip/Malware/5/av_2009glof.exe
Detected Trojan program Backdoor.Win32.Small.hiy tane0209.zip/Malware/6/load.exe
Detected virus not-a-virus:FraudTool.Win32.WinDefender.n tane0209.zip/Malware/7/WinDefender2009.exe//data0006
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch1
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch0
Detected Trojan program Trojan-Downloader.Win32.CodecPack.ejd tane0209.zip/Malware/9/tubeviewersetup.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan-Dropper.Win32.Agent.afsc tane0209.zip/Malware/a/c-setup.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bfiu tane0209.zip/Malware/b/tubeviewersetup.exe
検体提出します。(0)
8はMac OS X用か?珍しいな。
345:344
09/01/28 21:30:19
カスペ2009
346:344
09/01/28 22:10:03
>>333
カスペからの返事
11+事後検出1=12/12
0\tubeviewersetup.exe
Hello.
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan-Downloader.Win32.CodecPack.enc
347:名無しさん@お腹いっぱい。
09/01/28 22:15:46
>>333
NOD32 v3.0 定義3806
11/12
0\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WU トロイの木馬
1\r.exe Win32/Kryptik.FHの亜種 トロイの木馬
2\system.lib Win32/Spy.Zbot.GA トロイの木馬
3\antivirus.v.1.exe Win32/TrojanDownloader.FakeAlert.WW トロイの木馬
4\ldr.exe Win32/Spy.Zbot.FU トロイの木馬
5\av_2009glof.exe Win32/Adware.XPAntivirus アプリケーション
6\load.exe Win32/TrojanDownloader.Small.OJX トロイの木馬
7\WinDefender2009.exe Win32/Adware.IeDefender.NHAの亜種である可能性 アプリケーション
9\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.XG トロイの木馬
a\c-setup.exe Win32/Adware.IeDefender.NICの亜種 アプリケーション
b\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WR トロイの木馬
あそこは対応しないかもしれないけど、8の検体をEsetに送付しました。
348:名無しさん@お腹いっぱい。
09/01/28 23:02:40
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
BitDefenderはいくらなんでもこれはない、酷すぎる
Pandaだったら「VTではしょぼいけど実機ではすごいもん!」と言い張れるのに
349:名無しさん@お腹いっぱい。
09/01/28 23:12:46
>>348
AhnLabだって同じ結果だろ
なんでBitDefenderだけそう言うんだ
まあ凋落の一途って感じだけど
350:名無しさん@お腹いっぱい。
09/01/28 23:13:56
>>348
>>1読め
351:名無しさん@お腹いっぱい。
09/01/28 23:21:55
>>349
確かにこのスレでは検体は偏ってるし何も参考にはならないだろうとは思うけど他の大手ベンダーが軒並みほとんど検出できてるのにBitDefenderはほとんど検出できてないのはどうかと・・・
ESETですらほとんど検出できてるのに、それにAhnlabと比較されるBitDefenderって・・・
BitもVTエンジンは古いから最新版だったら検出できるって話しならまた違ってくるけど
352:名無しさん@お腹いっぱい。
09/01/28 23:24:10
ESETですらってなんだよ
優秀な方だよ
353:名無しさん@お腹いっぱい。
09/01/28 23:28:49
>>352
ESETは最近はすごく頑張ってるけどそれまでは本当にダメダメだったんだけど(このスレでは)
以前までのESET:このスレにうpされた検体はほとんどスルー、検体提出しても対応してくれる気配がない
今のESET:このスレでうpされた検体はよく検出してくれる、スルーした検体を提出すると最速とまではいかないけど対応が速くなった
354:名無しさん@お腹いっぱい。
09/01/28 23:30:44
>>353
だからなんだよ
このスレ的には不適切じゃないか
まあ誹謗中傷ではないから良いのかな
まああまり適切とは思えないから終わりにしろよ
355:名無しさん@お腹いっぱい。
09/01/28 23:36:28
>>354
スマソね
ま、ESETがどうしてこんなに良くなったのかそのきっかけはわからないけどとにかく本当に好印象なベンダーになったね
このまま頑張って欲しいですね
というわけでまた新たに未検出検体が対応されたら報告します
356:名無しさん@お腹いっぱい。
09/01/29 05:37:09
ESETの対応が好印象に変化したというのは、実感してる。ただ、>>1をよく見て欲しい。
>特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
余計な書き込みでスレ埋め立てないように注意しながら検出可否確認してこうぜ。
357:名無しさん@お腹いっぱい。
09/01/29 07:19:51
お前が言うな
358:名無しさん@お腹いっぱい。
09/01/29 07:59:04
ESETもMcAfeeもちょっと前まで絶望感と悲壮感が漂ってたけど今は見事に復活したからBitDefenderもいつかは復活したらいいなとは思う
>>333
AntiVir全検出確認
359:名無しさん@お腹いっぱい。
09/01/29 12:53:12
URLリンク(www.supervirus.com)
360:名無しさん@お腹いっぱい。
09/01/29 13:04:26
>>359
該当するIPなし。名前解決できないので、検体入手不可能。鑑定目的ならお引き取りください。
検体提出なら、>1のアプロダに置いてください。
361:名無しさん@お腹いっぱい。
09/01/29 14:17:10
>>333
Fortinet:
We will add detection for these samples in the next regular update.
The samples you submitted will be detected as follows:
Malware\0\tubeviewersetup.exe - W32/Agent.FBZ!tr.bdr
Malware\1\r.exe - W32/Zbot.KVV!tr.spy
Malware\2\system.lib - W32/Zbot.LFF!tr.spy
Malware\3\antivirus.v.1.exe - W32/CodecPack.DXI!tr.dldr
Malware\4\ldr.exe - W32/Zbot.KZA!tr.spy
Malware\5\av_2009glof.exe - Misc/SecurityCenter
Malware\6\load.exe - W32/Small.HIY!tr.bdr
Malware\7\WinDefender2009.exe - Adware/WinDefender
Malware\8\iMunizatorSetup.dmg - Misc/IMunizator
Malware\9\tubeviewersetup.exe - W32/CodecPack.EJD!tr.dldr
Malware\a\c-setup.exe - W32/Agent.AFSC!tr
Malware\b\tubeviewersetup.exe - W32/Agent.BFIU!tr.dldr
362:名無しさん@お腹いっぱい。
09/01/29 15:13:56
検体入手元:
リネージュ資料室のセキュリティ対策 (ウィルス情報 - ウィルス更新状況)から最近更新されたページを
拾ってみたもの。htmlも多く含んでいるため、無害判定の出るファイルも含んでいると思われます。
幾つかのCSSは偽装された実行ファイルでした。
URLリンク(lineage.paix.jp)
363:名無しさん@お腹いっぱい。
09/01/29 15:15:16
訂正。orz
URLリンク(tane.sakuratan.com)
virus
検体入手元:
リネージュ資料室のセキュリティ対策 (ウィルス情報 - ウィルス更新状況)から最近更新されたページを
拾ってみたもの。htmlも多く含んでいるため、無害判定の出るファイルも含んでいると思われます。
幾つかのCSSは偽装された実行ファイルでした。
URLリンク(lineage.paix.jp)
play.scrを解凍して出てくる1199.exeはベンダーによって外と中身で検出状況が違うことも。
(うっかりして、解凍したexeを入れ忘れました。ベンダーに提出される方は、Play.scrを解凍してください)
URLリンク(www.virustotal.com) 1199.exe(19/38)
URLリンク(www.virustotal.com) play.scr(23/39)
364:名無しさん@お腹いっぱい。
09/01/29 15:15:50
AntiVirFree(他のファイルはスルー)
14.htm : HTML/Crypted.Gen HTML script virus
a1.css : R/Dropper.Gen Trojan
Bfyy.htm : HTML/Shellcode.Gen HTML script virus
cx.htm : HTML/Rce.Gen HTML script virus
fx.htm : JS/Dldr.IFrame.JD Java script virus
lzz.htm : HTML/Dldr.Agent.SB HTML script virus
new.html : HTML/Malicious.ActiveX.Gen HTML script virus
play.scr : DR/PcClient.agv dropper
real10.htm : EXP/RealPlr.CT exploit
real11.htm : HTML/Rce.Gen HTML script virus
sina.css : R/Crypt.XDR.Gen Trojan
b05.css : R/Crypt.XDR.Gen Trojan
playonline\1.css : R/Inject.ntg Trojan
playonline\ff.swf : SWF/Dldr.Tiny.D SWF virus
playonline\flsp.exe : R/Inject.ntg Trojan
playonline\fx.htm : JS/Dldr.Agent.PZ Java script virus
playonline\ie.swf : Contains the SWF/Dldr.Tiny.D.1 SWF virus
playonline\index.htm : JS/Dldr.Agent.HZ Java script virus
playonline\Ms06014.htm : HTML/Rce.Gen HTML script virus
playonline\real.htm : EXP/RealPlr.CT exploit
playonline\real.html : HTML/Shellcode.Gen HTML script virus
xin\ani.asp : EXP/Ani.Gen exploit
xin\ani.c : EXP/Ani.Gen exploit
xin\index.htm : HTML/Dldr.Nilag.bqz HTML script virus
xin\Ms06014.htm : JS/Dldr.Agent.ZY Java script virus
xin\Ms06046.htm : JS/Bofra.A.1 Java script virus
xin\Ms07004.js : EXP/JS.MS07-004 exploit
xin\xia.exe : R/Dropper.Gen Trojan
xin\Yahoo.htm : HTML/Shellcode.Gen HTML script virus
365:名無しさん@お腹いっぱい。
09/01/29 15:18:01
AntiVirでスルーするファイルのうち、2ファイルは他ベンダーでは検知。
残る8ファイルはVirusTotalでは検知なしのファイルでした。
playonline/ss.htm : Exploit.JS.Agent!IK(a-squared)
playonline/off.htm : Trojan-Downloader.JS.Small.mr(Kaspersky)
366:名無しさん@お腹いっぱい。
09/01/29 15:39:57
>>363
PandaGlobalProtection2009
とりあえず検出数だけ(詳細な報告は今はちょっとできません)
8個検出(ヒューリスティック検出はなし)
367:名無しさん@お腹いっぱい。
09/01/29 15:47:47
>>363
NortonInternetSecurity2009
16個検出(うちヒューリスティック検出一つ)
詳細な報告はできなったけどPandaとSymantecに提出してきます
368:名無しさん@お腹いっぱい。
09/01/29 17:42:14
>>363
ftpで一括提出予定(McAfee側の準備に2日程必要)
369:名無しさん@お腹いっぱい。
09/01/29 18:13:17
へー、McAfeeもでかいファイルは別途FTPなのか
370:名無しさん@お腹いっぱい。
09/01/29 18:13:21
NOD32 v3.0 定義3809
14個検出。未検出ファイルのみ、zip圧縮でEsetへメール送信しました。
a1.css Win32/TrojanDownloader.Agent.OQW トロイの木馬
b05.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性 トロイの木馬
play.scr Win32/PcClient.NCRの亜種 トロイの木馬
playonline\fx.htm JS/TrojanDownloader.SWFlash.J トロイの木馬
playonline\ie.swf SWF/TrojanDownloader.Small.DJ トロイの木馬
playonline\Ms06014.htm VBS/TrojanDownloader.Psyme.NFF トロイの木馬
playonline\off.htm JS/Exploit.CVE-2008-2463 トロイの木馬
sina.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性 トロイの木馬
xin\ani.asp Win32/TrojanDownloader.Ani.Genの亜種 トロイの木馬
xin\ani.c Win32/TrojanDownloader.Ani.Genの亜種 トロイの木馬
xin\Ms06014.htm JS/TrojanDownloader.Psymeの亜種である可能性 トロイの木馬
xin\Ms06046.htm JS/Exploit.CVE-2008-4844.gen トロイの木馬
xin\xia.exe Win32/PSW.QQShouの亜種である可能性 トロイの木馬
xin\Yahoo.htm HTML/Exploit.IframeBof トロイの木馬
371:名無しさん@お腹いっぱい。
09/01/29 19:19:06
>>363
カスペ2009 18:45:00
全部スルー ( ノ∀`)アチャー
検体提出します。
さて、どうやって提出しようか検討中。(いつもは個別送付)
372:371
09/01/29 19:39:18
>>363
カスペ2009+新エミュレータ 22/39 @6:16:00
Detected Trojan-Dropper.Win32.Agent.afws a1.css//FSG
Detected Trojan-Dropper.Win32.Agent.abku b05.css//PE_Patch.UPX//UPX
Detected Backdoor.Win32.PcClient.abwo play.scr//data0002
Detected Trojan.Win32.Inject.ntg playonline/1.css
Detected Trojan-Downloader.SWF.Small.dj playonline/ff.swf//Swf2Swc
Detected Trojan.Win32.Inject.ntg playonline/flsp.exe
Detected Trojan-Downloader.JS.SWFlash.j playonline/fx.htm
Detected Trojan-Downloader.SWF.Small.dj playonline/ie.swf//Swf2Swc
Detected Trojan-Downloader.JS.Psyme.anc playonline/Ms06014.htm
Detected Trojan-Downloader.JS.Small.mr playonline/off.htm
Detected Exploit.JS.Agent.aay playonline/real.htm
Detected Exploit.JS.Agent.aax playonline/real.html
Detected Exploit.JS.XMLPars.v playonline/ss.htm
Detected Trojan-Dropper.Win32.Agent.abku sina.css//PE_Patch.UPX//UPX
Detected Exploit.Win32.IMG-ANI.ac xin/ani.asp
Detected Exploit.Win32.IMG-ANI.ac xin/ani.c
Detected Trojan-Downloader.HTML.IFrame.dv xin/index.htm
Detected Trojan-Downloader.JS.Psyme.kf xin/Ms06014.htm
Detected Exploit.JS.Agent.yq xin/Ms06046.htm
Detected Trojan-Downloader.JS.VML.a xin/Ms07004.js
Detected Trojan-Downloader.Win32.Delf.jfj xin/xia.exe
Detected Exploit.HTML.IESlice.z xin/Yahoo.htm
あれ?
373:371
09/01/29 19:48:58
>>363
カスペ2009 19:27:00
22/39
>>372と同一でした。
検体提出します。
スレ汚しすまぬ。orz
374:名無しさん@お腹いっぱい。
09/01/29 20:01:48
>>370です。
NOD32 定義ファイル3810になったため、見逃したぶんを再検査(14+2→16)
\playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
\playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
375:名無しさん@お腹いっぱい。
09/01/29 20:16:40
>>368
ごめん、2分割でメールしちゃったんで提出済み。
376:名無しさん@お腹いっぱい。
09/01/29 20:18:16
>>363
Rising 2009 21.23.20 (21.14.20.00)
15個検出
b05.css>>upx_c: Trojan.Win32.Edog.bl
playonline\1.css: Trojan.Win32.Nodef.afb
playonline\flsp.exe: Trojan.Win32.Nodef.afb
playonline\index.htm: Trojan.DL.Script.VBS.Agent.ex
playonline\real.htm: Hack.Exploit.Script.JS.Agent.ik
real10.htm: Hack.Exploit.Script.JS.Agent.il
sina.css>>upx_c: Trojan.Win32.Edog.bl
xin\ani.asp: Hack.SuspiciousAni
xin\ani.c: Hack.SuspiciousAni
xin\index.htm: Trojan.DL.Script.JS.Agent.lyr
xin\Ms06014.htm: Trojan.DL.JS.Agent.lio
xin\Ms06046.htm: Hack.Exploit.Script.JS.Agent.ie
xin\Ms07004.js: Hack.Exploit.Script.JS.Vml.a
xin\xia.exe: Trojan.PSW.Win32.QQPass.qir
xin\Yahoo.htm: Hack.Exploit.YahooWebcam.a
377:名無しさん@お腹いっぱい。
09/01/29 20:21:48
マカフィー、>>363現時点の返答。この表、奇麗に投稿できないもんかなぁ。
File Name Findings Detection Type Extra
-------------|------------------|----------------------|------|-----
14.htm |inconclusive | | |no
a1.css |new detection |generic dropper |Trojan|yes
b05.css |current detection |downloader-ble |Trojan|no
b05.htm |inconclusive | | |no
bfyy.htm |inconclusive | | |no
cx.htm |inconclusive | | |no
fx.htm |inconclusive | | |no
index(1).htm |inconclusive | | |no
index(2).htm |inconclusive | | |no
index(3).htm |inconclusive | | |no
index.htm |inconclusive | | |no
lzz.htm |inconclusive | | |no
ms07004.js |current detection |generic downloader.o |Trojan|no
new.html |inconclusive | | |no
play.scr |inconclusive | | |no
real10.htm |current detection |exploit-realplay |Trojan|no
real11.htm |inconclusive | | |no
sina.css |current detection |downloader-ble |Trojan|no
style2224.jsp|inconclusive | | |no
yahoo.htm |current detection |js/exploit-bo.gen |Trojan|no
378:名無しさん@お腹いっぱい。
09/01/29 20:22:28
(続き)
File Name Findings Detection Type Extra
-------------|------------------|----------------------|------|-----
1.css |current detection |pws-mmorpg.gen |Trojan|no
1199.exe |inconclusive | | |no
2078759.js |inconclusive | | |no
ani.asp |current detection |exploit-anifile.c |Trojan|no
ani.c |current detection |exploit-anifile.c |Trojan|no
ff.swf |current detection |generic downloader.bk |Trojan|no
flsp.exe |current detection |pws-mmorpg.gen |Trojan|no
fx.htm |inconclusive | | |no
ie.swf |current detection |exploit-cve2007-0071 |Trojan|no
index.htm |inconclusive | | |no
index.htm |heuristic detectio|exploit-iframe.gen.h |Trojan|no
l2.htm |inconclusive | | |no
ms06014.htm |current detection |vbs/psyme |Trojan|no
ms06014.htm |current detection |exploit-ms06-014 |Trojan|no
ms06046.htm |current detection |exploit-xmlhttp.d.gen |Trojan|no
off.htm |inconclusive | | |no
real.htm |current detection |exploit-realplay |Trojan|no
real.html |current detection |exploit-realplay.d.gen|Trojan|no
ss.htm |inconclusive | | |no
xia.exe |current detection |generic downloader.x |Trojan|no
379:名無しさん@お腹いっぱい。
09/01/29 21:54:24
ESETも返答返すようになってきたようだ。翌日には対応とは頑張ってる。いい感じだ。
>>322…って、>>330で全検出の報告出てるがESETから返答来たので一応報告。1/28提出で翌日には対応。
Thank you for your submission.
The detection for this threat will be included in our next signature update.
>>333 こっちも次回更新で対応との返答。
>347で報告(11/12)されてるが、8の検体にも対応して全検出になってるか、確認よろしく。
Thank you for your submission.
The detection for this threat will be included in our next signature update.
380:名無しさん@お腹いっぱい。
09/01/29 21:56:50
>>363
テキストエディタで見ると、相互に呼び出しあっていて、複雑に分解させてるね。,
javaScriptを外部リンクに持ってきたり、iframe使ったり、リンク参照したり、…。
全部ひっくるめて機能する気がする。
単体では、Web作成上、よく使われるスクリプトも多い。
混ぜるな!危険、の硫化水素みたいだ。
既検出分も含め、総提出しないとダメか?
381:名無しさん@お腹いっぱい。
09/01/29 22:16:29
>>380
その辺の呼び出しスクリプトにも対応するか、本体だけ対応するかはセキュリティベンダーのポリシーで
対応状況変わるからねぇ。一通り提出はしてあるので、あとはベンダー次第かと。
382:名無しさん@お腹いっぱい。
09/01/30 00:55:34
>>363
Avira AntiVir
The files you have sent us represent a bigger collection of malware.
Our virus lab will check the files and integrate new signatures in one of our next updates.
AntiVirFree(エンジン 8.02.00.60/定義 7.01.01.202) 現時点で、>364と比較してみる (30は、364の29+(1199.exe)=30
(30/40)→(31/40)
383:名無しさん@お腹いっぱい。
09/01/30 00:57:57
>>363
トレンドマイクロ 追加で3種類の定義追加らしい
We are glad to inform you that the detection for the following malware below is now available for
downloading using CPR 5.804.06.
JS_DLOADER.TJP
VBS_PSYME.CLB
HTML_IFRAMEBO.CG
384:名無しさん@お腹いっぱい。
09/01/30 01:51:29
>>363
カスペからの返事
14.htm_ - Trojan-Downloader.JS.Agent.dkv
fx.htm - No malicious code was found in this file.
その後、17ファイル再度送ったら、回答待ち。
優先順位低いと思われているのかな。
まあ、中途半端なファイルが多くて、agentに入れるかどうか迷ってんのかね。
385:名無しさん@お腹いっぱい。
09/01/30 03:14:00
>>363
Fortinet.
Some of the samples you sent should already be detected:
xin/ani.asp - W32/MalFormedani.C
xin/ani.c - W32/MalFormedani.C
xin/index.htm - JS/Agent.CG!tr.dldr
xin/Ms06014.htm - JS/Psyme.KF!exploit
xin/Ms06046.htm - JS/MS08078!exploit
xin/Ms07004.js - JS/Vml.A!exploit
xin/Yahoo.htm - JS/ShellCode.A!exploit
b05.css - W32/Dropper.CDB!tr
386:名無しさん@お腹いっぱい。
09/01/30 03:14:37
Fortinet. (続き)
We have recently added detection for other malwares.These signatures will be included in the next regular update.
The samples you submitted will be detected as:
playonline/ff.swf - SWF/Small.A!tr.dldr
playonline/fx.htm - JS/FlashDownloader.A!tr.dldr
playonline/ie.swf - SWF/Small.A!tr.dldr
playonline/index.htm - JS/Multibreach.B!tr.dldr
playonline/1.css - W32/Inject.NTG!tr
playonline/flsp.exe - W32/Inject.NTG!tr
playonline/Ms06014.htm - JS/Psyme.ANC!tr.dldr
playonline/real.htm - JS/RealPlayer.D!exploit
playonline/real.html - JS/Agent.AAX!exploit
xin/xia.exe - W32/OnLineGames.FHW!tr.pws
real10.htm - JS/RealPlayer.D!exploit
real11.htm - JS/Agent.AAX!exploit
1199.exe - W32/Pcclient.abwo!tr.bdr
a1.css - W32/Agent.JKG!tr
Bfyy.htm - JS/Obfuscated.E!tr
new.html - JS/Multibreach.B!tr.dldr
off.htm - JS/Small.MR!tr.dldr
ss.htm - JS/XMLParse.V!exploit
387:名無しさん@お腹いっぱい。
09/01/30 16:32:37
>>379
ESETは対応速度も速くなったけどヒューリスティックも良い感じに検出するようになったね
というかPandaもそうだけどESETはやはり他ベンダーと比べるとヒューリスティックでの検出が多いね
388:名無しさん@お腹いっぱい。
09/01/30 17:56:12
そりゃシグネチャスッカスカだからな
389:名無しさん@お腹いっぱい。
09/01/30 18:12:15
>>363
McAfee、ftpアップロード完了。
390:名無しさん@お腹いっぱい。
09/01/30 20:19:33
URLリンク(tane.sakuratan.com)
virus
URLリンク(www.virustotal.com)
391:384
09/01/30 20:47:11
カスペ2009
未だ、22+2=24/39で返事来ず。
順番が後回しにされているっぽい。orz
だれか、代理提出お願いします。
提出しすぎてマークされているのかな。
392:384
09/01/30 20:47:53
すまぬ、
検体は>>363です。
393:名無しさん@お腹いっぱい。
09/01/30 20:48:30
NOD32 V3.0 定義3812
>>370,>>374の続き 16+10→26 未検出ファイル17
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\ff.swf SWF/TrojanDownloader.Small.DJ トロイの木馬
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\real.htm JS/Exploit.RealPlay.NBF トロイの木馬
playonline\real.html JS/TrojanDownloader.Agent.NEJ トロイの木馬
playonline\ss.htm JS/Exploit.XMLPars.V トロイの木馬
xin\index.htm JS/TrojanDownloader.Iframe.DV トロイの木馬
xin\Ms07004.js HTML/Exploit.VML.NAQ トロイの木馬
完全対応は厳しそう。
>>390 1/1
4b3e8d9c0o7a1p5n6i0g7m.exe Win32/PSW.Gamania.NBF トロイの木馬
前後しますが >>379 8の検体(MacOSのマルウェア)は未検出のままです。
394:名無しさん@お腹いっぱい。
09/01/30 20:51:19
>>390
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A 4b3e8d9c0o7a1p5n6i0g7m.exe
>>388
それをいったらMcAfeeやPandaだってクラウドベースがなければスッカスカだぞw
395:名無しさん@お腹いっぱい。
09/01/30 21:10:58
>>106
avgもメールが帰って来るはずだが
396:名無しさん@お腹いっぱい。
09/01/30 21:21:23
393です。>>363の続きの検出結果でしたが、重複して報告してましたorz
検出数合計22/39に訂正。申し訳ないです。
397:名無しさん@お腹いっぱい。
09/01/30 23:32:45
>>391-392
提出済み
>>395
おかしいな。2007年4~5月は受理の報告だけは来てたが、それ以降は返事来てないや。
と思ったら宛て先が古かった模様。次からは、宛て先直そう。<submit@ewido.net>→<virus@avg.com>
398:384
09/01/30 23:50:29
>>397
㌧
399:名無しさん@お腹いっぱい。
09/01/30 23:55:36
Rising 2009 21.23.40 (21.14.40.00)
ここまで追加検出なし
いまだ春節モードで検体放置中
400:名無しさん@お腹いっぱい。
09/01/31 00:15:55
>>390
VirusTotalで未検出の所へ提出
Ahnlab Customer , Authentium , Cat Computer , CA(eTrust Vet) , Fortinet , K7Computing , Panda ,
Rising Antivirus , VirusBuster , nProtect , Sunbelt , ViRobot
nProtectは検体のファイルを受け付けていないので、>390のあぷろだへのリンクとパスを書いて報告。
401:名無しさん@お腹いっぱい。
09/01/31 00:21:59
おおすごい
お疲れ様です
402:名無しさん@お腹いっぱい。
09/01/31 00:24:58
Panda&Norton使いです
これらとAntiVir&avast!を使い続けて気になったのはNortonやPandaはウイルス駆除するとき、再起動が必要な場合があるけどAntiVirとavast!は殆どない
ウイルスを解凍→駆除のときに再起動が必要というのは他のベンダーではどうです?
403:名無しさん@お腹いっぱい。
09/01/31 01:13:36
AntiVirではないなぁ。その前に使ってたカスペもNOD32も駆除の後再起動は経験が無い。
本体更新での再起動位か。
起動させてから駆除したことはないので、ファイル書込み段階での駆除の話ですが。
スレ違いな気もするけど、どこのスレが適当だかわからんわ。
404:名無しさん@お腹いっぱい。
09/01/31 01:54:09
>>390
Fortinet:未検出→W32/Inject.NNH!tr.
流石に速いな。いつもカスペに次ぐ位の速度で対応してくるベンダーだけあるわ。
一般向けのセキュリティソフトをここが出してくれればなぁ…
405:名無しさん@お腹いっぱい。
09/01/31 11:45:51
>>403
>スレ違いな気もするけど、どこのスレが適当だかわからんわ。
そうなんですよね、確かにスレ違いだし「一番良い~」のスレの方が妥当なのかもしれないけどあっちは完全な糞スレになっちゃってまともな会話ができない・・・
こちらのスレではいろんなソフトを使ってる方がいるということで少々テクニカルな話しもできるのではないかと
カスペはウイルス駆除で再起動とかはないんですか・・・・カスペは再起動がありそうなベンダーに見えたんですけどね
406:名無しさん@お腹いっぱい。
09/01/31 11:51:57
というかマルウェアの種類によっては
どのセキュリティソフトでも再起動が必要な場合はある
407:名無しさん@お腹いっぱい。
09/01/31 12:15:36
BitDefenderから今頃になって返事が来た件
もうBitDefenderへの提出打ち切りが数週間経つから今頃返事来るなんて遅すぎだよ~
しかも何の検体かわからん
Dear Sir/Madam,
The analysis of your files has been completed with the following results:
It's detected as Trojan.PWS.YJQ.
Please do not hesitate to send us even more suspect/infected files in the future.
Best regards,
Aurelian Neagu
BitDefender Technical Support Engineer
>>363
からSymantecの返事が来て「とりあえず解析中だからしばらく待ってろ」だって
408:名無しさん@お腹いっぱい。
09/01/31 12:22:43
Bitから返事貰ったことないぞ
409:名無しさん@お腹いっぱい。
09/01/31 13:11:06
>>407
その検出名の返答が来てるのは1/9に提出したOnline.scrなので、前スレ834だな。
1/9に提出して、1/26に回答来てた。提出する時に、ファイル名に日付入れたり、中身のファイル名書いとくといいよ。
ラボに送ったっていうテンプレメールばっかりなんで、読み飛ばしてたけど、たまに検出名や
既知のファイルだって返答来てるな。>BitDefender。
>834 名無しさん@お腹いっぱい。 sage 2009/01/09(金) 10:52:55
>URLリンク(tane.sakuratan.com)
>virus
>検体入手元:URLリンク(99)<)
10/21~1/9に送った奴の検出名が、まとめて1/26に来てる。
(この範囲の分をラボに送ったってメールが1/24。どっかで止めてたなw)
1/22送付分が、1/23にラボに送付ってメール来てたりするし、実際の処理と返信が連動してないのかも。
spamフィルタで振り分けられてたのを一気に処理した可能性もある。
410:名無しさん@お腹いっぱい。
09/01/31 13:26:52
>>407-409
>前スレ834
ちょっと気になったので比較してみた。未対応がそこそこあるように見えるけど、殆どのベンダーは
外側か中身のどっちかには対応してるので、実際にはブロック可能と思われる。
両方まだ対応してないのは、Prevx1とSunbeltの2ベンダーだけ。
Online.scr
1/11(27/37) URLリンク(www.virustotal.com)
1/31(31/39) URLリンク(www.virustotal.com)
123456789.exe(Online.scrの中身)
1/11(24/38) URLリンク(www.virustotal.com)
1/31(34/39) URLリンク(www.virustotal.com)
411:名無しさん@お腹いっぱい。
09/01/31 13:38:59
1/9に送った別の検体もついでに比較。
flash.exe
1/11(13/37) URLリンク(www.virustotal.com)
1/31(22/39) URLリンク(www.virustotal.com)
412:名無しさん@お腹いっぱい。
09/01/31 13:52:18
>>363
シマンテック
ファイル9つづつに分けて、5分割で送信した回答。3つめの分がまだ未回答
っていうか、4つめのファイル名が2回来てるので、送付ミスったかも…。
提出 1/29(5件) 回答 1/29(3件) 1/31(2件/但し同じファイル)
検出名のあるもの
filename: flsp.exe
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
filename: 1.css
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
filename: real.html
result: This file is detected as Downloader. URLリンク(www.symantec.com)
filename: ani.c
result: This file is detected as Trojan.Exploit.131.
filename: xia.exe
result: This file is detected as Infostealer. URLリンク(www.symantec.com)
filename: ani.asp
result: This file is detected as Trojan.Exploit.131.
filename: play.scr
result: This file is detected as Backdoor.Formador. URLリンク(www.symantec.com)
filename: real11.htm
result: This file is detected as Downloader. URLリンク(www.symantec.com)
手動解析に回したという報告
index.htm , off.htm , Ms06014.htm , 1199.exe , l2.htm , real.htm , fx.htm , ie.swf ,
ss.htm , 2078759.js , ff.swf , index.htm , index(3).htm , real10.htm , index(1).htm ,
cx.htm , lzz.htm , Bfyy.htm , fx.htm , index(2).htm , index.htm , new.html , style2224.jsp
413:名無しさん@お腹いっぱい。
09/01/31 14:14:36
URLリンク(tane.sakuratan.com)
virus
>363と同じくリネージュ資料室の更新状況から。
アドレスは同じだが、ファイルが差し替えられたようなので、再入手。
検体入手元
URLリンク(down)<)■wokutonoken-online■com/blog/play■scr
※ 1199.exeはplay.scrを解凍するとでてきます。
VirsTotal
URLリンク(www.virustotal.com) a1.css(26/39)
URLリンク(www.virustotal.com) play.scr(23/39)
URLリンク(www.virustotal.com) 1199.exe(21/38)
AntiVir
a1.css : TR/Dropper.Gen Trojan
play.scr : DR/PcClient.agv dropper
play/1199.exe : DR/PcClient.Gen dropper
BitDefender
play\1199.exe : Trojan.Crypt.DG
a1.css : Rootkit.Agent.AIWN
play.scr : Dropped:Backdoor.PCClient.TCH
414:名無しさん@お腹いっぱい。
09/01/31 14:39:24
>>413
未検出の所は一通り提出
マカフィー(全スルー)
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe |inconclusive | | |no
a1.css |inconclusive | | |no
play.scr |inconclusive | | |no
415:名無しさん@お腹いっぱい。
09/01/31 14:48:32
>>413
PandaGlobalProtection2009
a1.cssのみ疑わしいファイルとして検出
416:名無しさん@お腹いっぱい。
09/01/31 14:49:41
>>413
乙です。
NOD32 v3.0 定義3814
a1.css Win32/Genetikの亜種である可能性 トロイの木馬
play\1199.exe Win32/PcClient.NCRの亜種 トロイの木馬
play.scr Win32/PcClient.NCRの亜種 トロイの木馬
417:名無しさん@お腹いっぱい。
09/01/31 14:53:28
>>413
NortonInternetSecurity2009はVirustotal通りの結果です
418:名無しさん@お腹いっぱい。
09/01/31 14:58:46
>>413
avast!4.8
play\1199.exe:Win32:Downloader-AZY [Trj]
419:名無しさん@お腹いっぱい。
09/01/31 15:23:53
>>413
カスペ、対応済みとの返答。Virustotalの定義が古かった?
1199.exe_,
play.scr_ - Backdoor.Win32.PcClient.abyk,
a1.css - Trojan-Dropper.Win32.Agent.agbj
These files are already detected. Please update your antivirus bases.
420:名無しさん@お腹いっぱい。
09/01/31 15:40:09
We will add detection for these samples in the next regular update.
The samples you submitted will be detected as follows:
a1■css - W32/Agent.AGB!tr
play■scr - W32/PcClient.ABY!tr
1199■exe - W32/PcClient.ABY!tr
421:名無しさん@お腹いっぱい。
09/01/31 15:45:15
>>420
それはどこのベンダー?
検出名からNOD32っぽく見えるけど
422:名無しさん@お腹いっぱい。
09/01/31 15:49:14
…禁止ワードはこれか。orz(投稿に失敗したらしい)
1つ前のカスペの検出名投稿ではこけなかったのに。
ここに検出名投稿するのと前後して、他のBBSでDSBL規制にひっかかるのはなんでだー。
一昨日:BitDefenderの検出名10個位貼る→3回位失敗して諦める→他のBBSでDSBL規制にひっかかる
→ISPに対応依頼を出してから、モデムの電源切ってIP変える
今日:カスペの検出名を貼る→他のBBSでDSBL規制にひっかかる→Fortinetの検出名貼るがこける
近いISPで誰かがspam垂れ流してるだけだと思うけど、規制に引っ掛かる直前にここの書込みを
してる点が共通してるのが嫌すぎる。
>420は>413の検出名。ベンダーはFortinet。
423:名無しさん@お腹いっぱい。
09/01/31 15:50:14
>>421
ごめん、ベンダー名とアンカーを投稿修正時に間違って消してた。
424:名無しさん@お腹いっぱい。
09/01/31 15:54:14
あ、Fortinetかもしれないですね
>>404
AV-Comparativesでものすごい誤検出起こした結果を見るととても個人向けには扱えそうにないと思うんですが・・・・
Sophosも毎回ものすごい数の誤検出起こしてるから個人向けには出さない理由がわかる気がする(SpySweeperはあるけど)
425:名無しさん@お腹いっぱい。
09/01/31 16:47:35
関係ねえよ
426:名無しさん@お腹いっぱい。
09/01/31 16:56:46
んなこたあねえ
427:名無しさん@お腹いっぱい。
09/01/31 21:47:03
BitDefenderのサイトが攻撃されてるみたいだけど
URLリンク(www.bitdefender.com)
仮想環境などで詳細がわかる方レポート頼みます
428:名無しさん@お腹いっぱい。
09/01/31 22:02:32
>>427
全然問題ないよ
騙されたんじゃね
429:名無しさん@お腹いっぱい。
09/01/31 22:22:46
>>428
う~ん、それがFireFoxだとブロックされて全く見れない状態なんだよね
FireFox(Google)の誤検出なのかな~?
430:名無しさん@お腹いっぱい。
09/01/31 22:26:11
前スレのDishの件なんだけどとうとうNOD32とNormanまで反応した
URLリンク(www.virustotal.com)
これでトレンドマイクロ以外の大手ベンダーは全て黒扱い
431:名無しさん@お腹いっぱい。
09/01/31 22:32:35
>>429
>このサイトで不審なコンテンツが最後に検出されたのは2009-01-18です。
って書いてあるでしょ
検出されたのはこの一回だけ
432:名無しさん@お腹いっぱい。
09/01/31 23:40:31
googleで何 検索しても「このサイトはコンピュータに損害を与える可能性があります。」って
なるね。
さっきのFireFoxの件と関係ありそうだね。
なんかどっかで攻撃あんのかな?
433:名無しさん@お腹いっぱい。
09/01/31 23:56:27
本当だ
Googleで何検索しても「このサイトはコンピュータに損害を与える可能性があります。」って出る
Googleが何かの攻撃にやられたのかな?
434:名無しさん@お腹いっぱい。
09/01/31 23:57:10
ほんとだ
googleが壊れてんのか
435:名無しさん@お腹いっぱい。
09/01/31 23:57:24
googleがおかしい★2 (ν速)
スレリンク(news板)
436:名無しさん@お腹いっぱい。
09/01/31 23:57:46
なんだよbid疑って悪いことをした
437:名無しさん@お腹いっぱい。
09/01/31 23:58:41
先生ご乱心ときいて
438:名無しさん@お腹いっぱい。
09/02/01 00:10:23
Google USもダメだな。
*内部的ミス
**検索エンジン更新時のインストールミス☆
:**単純な設定ミス ★
+外部的ミス
**第三者による攻撃
***Who?
****政府
****悪意のあるハッカー
****テロ組織
****内部組織
++種類
+++サイト改ざん
++目的
+++愉快犯
+++マルウェアのインストール目的
**方法
***ボットネット
***SQLインジェクション
***DNSキャッシュポイズニング
+++SEOポイズニング
****iFrame挿入攻撃
★に2ペリカ、☆に1ペリカ
439:名無しさん@お腹いっぱい。
09/02/01 00:11:13
Googleは逝っちゃってるけどBitDefnderのサイトの件はヤフーで検索しても危険サイト扱いされるな(火狐だけだろうけど)
440:名無しさん@お腹いっぱい。
09/02/01 00:12:12
URLリンク(www.sleipnirstart.com)
↑これつかえ
441:名無しさん@お腹いっぱい。
09/02/01 00:25:29
Googleに不具合 全検索結果に「コンピューターに損害を与える可能性」とメッセージ
URLリンク(www.itmedia.co.jp)
442:名無しさん@お腹いっぱい。
09/02/01 00:45:39
>>439
何度か出てるがFirefoxはGoogleのデータ使ってるから
443:名無しさん@お腹いっぱい。
09/02/01 00:47:23
bitdefenderは今も変わらないな
444:名無しさん@お腹いっぱい。
09/02/01 08:12:14
>>413
NortonInternetSecurity2009
Backdoor.Formador:play\1199.exe
これで全検出確認
SymantecとPandaは対応速度が安定してないのが欠点だな
445:名無しさん@お腹いっぱい。
09/02/01 11:20:26
>>461
そういや、こっちには書いてなかったな…。中身の1199.exeとscrでは検出状況がちょっと違う。
最近、ファイルが差し替えられてる。↓は検体提出時の検出結果。
URLリンク(www.virustotal.com) play.scr(23/39)
URLリンク(www.virustotal.com) 1199.exe(19/38)
URLリンク(www.virustotal.com) play.scr(23/39)
URLリンク(www.virustotal.com) 1199.exe(21/38)
446:名無しさん@お腹いっぱい。
09/02/01 11:20:52
>>445は誤爆です orz
447:名無しさん@お腹いっぱい。
09/02/01 15:12:18
511 名前:/名無しさん[1-30].jpg[] 投稿日:2009/01/29(木) 19:29:59 ID:zbtNWF/40
僕もおねがいしまつ
URLリンク(miracleup.huu.cc)
517 名前:/名無しさん[1-30].jpg[sage] 投稿日:2009/01/29(木) 22:29:31 ID:wuKi3eid0
>>511
このページはウイルスに感染しています。カスペルさんは、Trojan.Script.Iframer だと言っています。
URLリンク(www.virustotal.com)
448:名無しさん@お腹いっぱい。
09/02/01 17:11:31
>>447
>>2
・ブラクラ禁止
ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません。
449:名無しさん@お腹いっぱい。
09/02/01 17:35:08
>>447
検出するベンダーもあるようですし、ブロックしてもよさそうではありますが、今回は提出せず。
450:名無しさん@お腹いっぱい。
09/02/02 01:07:30
URLリンク(tane.sakuratan.com)
virus
検体入手元
URLリンク(down)<) (30/39)
一部ファイル名が、禁止ワードになっているようで、投稿するとBBX規制リストに載ってしまうようです。
規制に引っ掛からないように、報告時には一部箇所を置き換えたほうがいいかもしれません。
451:名無しさん@お腹いっぱい。
09/02/02 01:13:29
>>450
Risingに提出完了
452:名無しさん@お腹いっぱい。
09/02/02 10:52:04
>>241
McAfeeより返答。1/23提出分。
file.exe~file(46).exe:generic.dx,vundo のどちらかの名称
453:名無しさん@お腹いっぱい。
09/02/02 11:19:22
NOD32 v3.0 定義3817
>>450
tane0215\a1.css Win32/Genetikの亜種である可能性
(アドバンスドヒューステリックによる検出)
454:名無しさん@お腹いっぱい。
09/02/02 13:39:02
Kingsoftからまとめて返答来ました。
>>122 1/19提出
既知:「ウイルス名:Win32.Troj.Crypt.DG.62506」他
>>145 1/20提出
キングソフトにおいてウイルスではないことが確認できましたことをご連絡いたします。
(え゛~)
>>168 1/21提出
既知:「ウイルス名:Win32.Troj.Delf.78848」他
>>202 1/22提出
既知:「ウイルス名:Win32.Troj.Delf.gb.163840」
>>310 1/28提出
既知:「ウイルス名:> VTool.Ansigen.CD.42420 」他
455:名無しさん@お腹いっぱい。
09/02/02 13:41:29
一ヶ所、他って付け忘れてますので脳内補完お願いします。キングソフトは複数ファイルをアーカイブして送っても
1つしか検出名を書いてこないので、このような書き方になってます。ご了承ください。
456:371,373,380
09/02/02 13:49:53
>>363
カスペからの返事
22+3=25
カスペ的には、これでFAみたいね。
Hello,
2078759.js_, b05.htm_, Bfyy.htm_, cx.htm_, index(1).htm_, index(2).htm_, index(3).htm_, index(4).htm_, index.htm_, l2.htm_, real11.htm_, style2224.jsp
No malicious code were found in these files.
new.html_ - Trojan-Clicker.HTML.IFrame.aci,
real10.htm_ - Exploit.JS.RealPlr.ou
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
457:名無しさん@お腹いっぱい。
09/02/03 00:07:13
URLリンク(online)<) (23/39)
458:名無しさん@お腹いっぱい。
09/02/03 00:23:47
>>457
PandaGlobalProtectio2009
疑いのあるファイル 未知の脅威からの保護 URLリンク(online.w84.okwit.com)
459:名無しさん@お腹いっぱい。
09/02/03 00:28:54
>>457
URLリンク(www)<) 1199.exe(22/39)
460:名無しさん@お腹いっぱい。
09/02/03 00:37:40
>>459
PandaGlobalProtection2009は疑わしいファイルとして検出
NortonInternetSecurity2009も検出
461:名無しさん@お腹いっぱい。
09/02/03 00:40:04
ちなみにPandaもNortonもダウンロード時に検出なので>>459のVirustotalの検体とは違うものだと思いますね
462:名無しさん@お腹いっぱい。
09/02/03 01:07:54
>>461
>459のVirustotalの結果は、ダウンロードしたファイルを解凍すると出てくるものですよ。
459で落ちてくるファイルそのものは、>457と同一です。 fc /b で比較してみてください。
463:名無しさん@お腹いっぱい。
09/02/03 02:46:45
NSISの解凍がわからないのでは。7-Zipで解凍できるよ。
464:名無しさん@お腹いっぱい。
09/02/03 02:56:33
URLリンク(tane.sakuratan.com)
infected
>459,>461+その他いろいろ(ちょっと古いけどすり抜けるベンダーのあるもの等)。
検体は各社に提出済み。ファイル数やサイズに制限のあるベンダーにも分割して提出しました。
マルウェア本体を呼び出す途中のhtmlも含むため、スルーされるファイルが比較的多いと思います。
465:名無しさん@お腹いっぱい。
09/02/03 03:23:24
ちょっと入れすぎたんで…検出結果報告どうすっかなぁ。
MaCafee
検出+拡張/総数=65+2/130
殆ど似たようなswfのファイルで検出するものとしないものが混ざってたり。
ノートン
130個中、97個分がすぐに自動回答きました(15分割したうち4ファイル分は返答来ていません)
47/90 既知のマルウェア
50/97 自動検出できず、手動解析に回す
466:名無しさん@お腹いっぱい。
09/02/03 03:49:06
>>464
AntiVir Free(マルウェア本体のexeで残ったのは2種類だけ)
ファイル:138
検出:117
疑惑:2
BitDefender10Free
ファイル:173(アーカイブ内のファイルも含む)
アーカイブ:4
ランタイムパッカー:18
感染しているオブジェクト:101
疑わしいオブジェクト:1
ウイルス識別:37(37種類?)
----- 参考までに、スパイウェア対策ソフトでもチェック -----
Ad-Aware
検出数 19ファイル(9種類)
Spybot
検出数 1(うち、ヒューリスティック1)
SuperAntiSpyware
検出数 0
467:名無しさん@お腹いっぱい。
09/02/03 12:09:10
>>466
464解凍後にMalwarebytesの右クリックスキャンでは検出数4だった
468:名無しさん@お腹いっぱい。
09/02/03 12:09:23
>>464
PandaGlobalProtection2009
とりあえず33個検出
実際にはどれだけ検出駆除できたかまだ調べてません
469:名無しさん@お腹いっぱい。
09/02/03 12:23:54
>>464
NortonInternetSecurity2009
73個検出
470:名無しさん@お腹いっぱい。
09/02/03 15:44:15
>>464
カスペ2009
97/126
(アーカイブで検知、さらにアーカイブを自動解凍してマルウェアを検知した場合は、2として計算せず、1として計算)
Trojan.Win32.Pakes.kad tt1.exe
Trojan.Win32.Inject.ntg flsp.exe
Trojan.Win32.Inject.ndf teamerblog/cer.exe
Trojan.Win32.Inject.ncz k1.exe
Trojan.Win32.Inject.ncz gawezuki/k1.exe
Trojan.Win32.Inject.dzc 001G000183/001G000183.exe
Trojan.Win32.Delux.eo play0nlink/ff11.exe
Trojan.Win32.Delux.bp play0nlink/t1.exe
Trojan.JS.Agent.kb teamerblog/Muma.htm、gawezuki/Muma.htm 「2」
Trojan.HTML.IFrame.ad gawezuki/Blog.htm
Trojan-PSW.Win32.Agent.ka tmsn.exe
Trojan-GameThief.Win32.OnLineGames.wkt mbspro6uic/ff22.exe
Trojan-GameThief.Win32.OnLineGames.skmj vip.dob3.cn/Baidu/mm.exe
Trojan-Dropper.Win32.Agent.zmr gameicity/ofed/mov.scr、 flsp.exe、 fls.exe 「3」18
Trojan-Downloader.Win32.Delf.jfj play0nlink/xia.exe、 mbspro6uic/xia.exe jerikoblog88fc2/xia.exe 、 dimorphothec/xia.exe 「4」
Trojan-Downloader.VBS.Psyme.pm teamerblog/Muma_1.htm、 gawezuki/Muma_2.htm 「2」
Trojan-Downloader.VBS.Agent.rm vip.dob3.cn/11.htm
Trojan-Downloader.JS.VML.a play0nlink/Ms07004.js
Trojan-Downloader.JS.Small.mr gameicity/off.htm
Trojan-Downloader.JS.SWFlash.j gameicity/fx.htm
Trojan-Downloader.JS.Psyme.kf play0nlink\Ms06014.htm、 jerikoblog88fc2\Ms06014.htm、 dimorphothec\Ms06014.htm 「3」
Trojan-Downloader.JS.Psyme.anc gameicity/Ms06014.htm
Trojan-Downloader.JS.Agent.dhv gawezuki/Ms06-014.htm
Trojan-Downloader.JS.Agent.dfv vip.dob3.cn/vip.htm
(つづく)
471:470
09/02/03 15:48:01
>>470の続き
>>464 カスペ2009@14:54:00
Trojan-Downloader.JS.Agent.cif vip.dob3.cn/live.htm
Trojan-Downloader.JS.Agent.bnc mbspro6uic/Ms06014.htm
Trojan-Downloader.HTML.IFrame.dv play0nlink/wugui.htm、 naizi.htm、 xinma.htm、 ma.htm 「4」
Trojan-Downloader.HTML.IFrame.dv mbspro6uic/naizi.htm、 jerikoblog88fc2/xinma.htm、 dimorphothec/ma.htm 「3」
Trojan-Downloader.HTML.Agent.nh vip.dob3.cn/fx.htm
Trojan-Clicker.HTML.IFrame.so k.js
Exploit.Win32.IMG-ANI.ac play0nlink/ani.c、 mbspro6uic/ani.c、 jerikoblog88fc2/ani.cdimorphothec/ani.c 「4」
Exploit.SWF.Downloader.lb vip.dob3.cn/i64.swf、 i47.swf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「6」
Exploit.SWF.Downloader.lb vip.dob3.cn/f47.swf 、 f45.swf、 f28.swf、 f16.swf、 s115.swf 「5」
Exploit.SWF.Downloader.eh e7zx.cn/i64.swf、 i47.dwf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「6」
Exploit.SWF.Downloader.eh e7zx.cn/f47.swf、 f25.swf、 f28.swf. f16.swf、 f115.swf 「5」
Exploit.JS.XMLPars.v gameicity/ss.htm
Exploit.JS.RealPlr.ny vip.dob3.cn/Real11.htm
Exploit.JS.RealPlr.nt vip.dob3.cn/rp10.htm
Exploit.JS.Agent.zs gawezuki/Muma_4.htm
Exploit.JS.Agent.yq play0nlink/Xunlei.htm、 jerikoblog88fc2/Ms06046.htm、vip.dob3.cn/bfyy.htm 「3」
Exploit.JS.Agent.aay gameicity/real.htm
Exploit.JS.Agent.aax gameicity/real.html
Exploit.HTML.IESlice.z play0nlink/Yahoo.htm、mbspro6uic/Yahoo.htm、jerikoblog88fc2/Yahoo.htm、dimorphothec/Yahoo.htm 「4」84
Exploit.HTML.Ascii.ai play0nlink/Ms06046.htm
472:470
09/02/03 15:49:26
>>470,471の続き
>>464 カスペ2009@14:54:00
Backdoor.Win32.PcClient.acak Start.pif 、 play\1199.exe、 play.scr、 1.exe 「4」
Backdoor.Win32.Agent.obd ff11goodstory0808111/ff11goodstory0808111.exe
Worm.Win32.Otwycal.bq gameicity/1.css
Rootkit.Win32.Agent.gaf ko.exe
*ヒューリスティック検知
HEUR:Trojan-Downloader.Script.Generic gawezuki/Ms06-014_3.htm、 gameicity/no.htm、 gameicity/14.htm、 teamerblog/Ms06-014.htm 「4」
HEUR:Exploit.Script.Generic gameicity/real(1).html、 nct.htm 「2」
以上
>>470-472
検体提出します。
473:名無しさん@お腹いっぱい。
09/02/03 16:03:46
ファイル名とか書くなって
どこまで馬鹿なの?
474:名無しさん@お腹いっぱい。
09/02/03 16:38:25
>>473
>>377-378
475:名無しさん@お腹いっぱい。
09/02/03 20:44:54
NOD32 v3.0 定義3821
>>464
さすがに多いので検出数のみの報告です。
感染オブジェクトの合計数/検査したオブジェクトの合計数=87/138
476:名無しさん@お腹いっぱい。
09/02/03 22:02:33
>>464カスペ返事 大量報告又すまぬ。(>>473)推定97+11=108/126(2白)
flink.html_ - Trojan-Downloader.JS.SWFlash.ai
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dlw *
Ms06-014_1.htm_ - Trojan-Downloader.JS.Agent.dlu
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dlt
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dls *
ilink.html_ - Trojan-Downloader.JS.SWFlash.aj
real(1).htm_ - Exploit.JS.RealPlr.ov *
play.htm_ - Trojan-Downloader.JS.Iframe.agm
no.htm_ - Trojan-Downloader.JS.Agent.dlv *
ifl.html_ - Trojan-Downloader.JS.SWFlash.aj
14.htm_ - Trojan-Downloader.JS.Agent.dlx *
index.htm_ - Trojan-Downloader.JS.Iframe.agl
Muma_1.htm_ - Exploit.JS.Agent.abo
zuo.htm_ - Trojan-Downloader.JS.Iframe.agk
no.htm_ - Trojan-Downloader.JS.Agent.dlv
Ms06-014_1.htm_(TeamerBlog) - Trojan-Downloader.JS.Agent.dma
vir.exe, ffl.htm 2つ白
477:名無しさん@お腹いっぱい。
09/02/03 22:15:56
>>464
AntiVir回答。
流石に検出名とか新種の数は書いてこなかった。その手間を他の検体の解析と対応に振り向けて下され>ベンダー担当者
We found some new viruses in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
478:名無しさん@お腹いっぱい。
09/02/04 00:13:18
Rising 2009 21.24.10 (21.15.10.00)
>>363
a1.css>>fsg2.0: Trojan.DL.Win32.Mnless.cbt
play.scr>>1199.exe: Backdoor.Win32.PcClient.qyy
15+2個
>>413
a1.css>>fsg2.0: Dropper.Win32.Undef.oc
play\1199.exe: Backdoor.Win32.PcClient.qyy
play.scr>>1199.exe: Backdoor.Win32.PcClient.qyy
3/3
>>450
a1.css>>fsg2.0: a1.css>>fsg2.0
1/1
まだ春節モード
479:名無しさん@お腹いっぱい。
09/02/04 00:22:03
>>464
Rising 2009
Files scanned: 157
Viruses found: 86
パッカー内検出もあるからファイル数はもう少し少ないと思われる
480:470
09/02/04 01:42:35
>>464 カスペからの返事
97+20=117/126(うち3白)
Ms06-014_4.htm_ - Trojan-Downloader.JS.Agent.dmb (Teamerblogフォルダ)
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dmc
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dmd
FFISearch.htm, fc2.htm_ blog.htm,, play.htm_ - Trojan-Downloader.JS.Iframe.agm
office.htm_ - Trojan-Downloader.JS.Agent.dmg
ffl.html_ - Trojan-Downloader.JS.SWFlash.aj (←白から訂正)
flash(1).htm_- No malicious code was found in this file.
iff.swf - This file is corrupted.(破損)
481:名無しさん@お腹いっぱい。
09/02/04 11:39:19
VirustotalにNorton2009の拡張ヒューリスティックが適用されたっぽい
これでVirustotalのSymantecはバージョンがかなり古いけどNorton2009のパルスアップデートと拡張ヒューリスティックが適用されて実機での結果とVirustotalの結果に違いはなくなるかも
あとはカスペ2009のヒューリスティックとPandaにCollective Intelligenceを適用させれば完璧なんだが・・・
PandaのことはMcAfeeのActiveProtectionがVirustotalにあるんだからできるはず
でもVirustotalは本当にわからんサイトだな・・・
785 名前:八頭 ◆YAGApwSaEw [sage] 投稿日:2009/02/03(火) 22:21:50
URLリンク(i40.tinypic.com)
Suspicious.MH690 発動!
482:470
09/02/04 14:39:32
>>464
カスペからの返事
97+22=119くらい/126でFA
Muma_3.htm_ - Exploit.JS.XMLPars.aa
jbbs578601.htm - Trojan.HTML.Agent.bj
flash.htm, l2.htm, ani.asp, fanity.htm, nify-demo.htm - No malicious code was found in this file.
fff.swf - This file is corrupted.(破損)
483:名無しさん@お腹いっぱい。
09/02/04 22:57:33
>>464
>465
>ノートン
>130個中、97個分がすぐに自動回答きました(15分割したうち4ファイル分は返答来ていません)
> 47/90 既知のマルウェア
(47/97の間違い)
> 50/97 自動検出できず、手動解析に回す
追加でもう1ファイル分返答あり
ノートン
130個中、97個分がすぐに自動回答きました(15分割したうち3ファイル分は返答来ていません)
47/106 既知のマルウェア
59/106 自動検出できず、手動解析に回す
484:名無しさん@お腹いっぱい。
09/02/05 00:14:24
URLリンク(tane.sakuratan.com)
virus
かぶってる気がするけどキニシナイ!
485:名無しさん@お腹いっぱい。
09/02/05 00:29:57
>かぶってる気がするけど
それじゃこちらもとりあえず報告しますね
>>484
PandaGlobalProtection2009
ハッキングツールを検出 :Rootkit/Agent.LLE UPK1.EXE、FSG350.EXE、FSG1.EXE
疑いのあるファイル PETITE1.EXE
検出数4/5
486:名無しさん@お腹いっぱい。
09/02/05 00:36:57
>>484
avast!4.8
fsg1.exe、fsg350.exe:Win32:Rootkit-gen [Rtk]
pcclient1.exe:Win32:Downloader-AZY [Trj]
petite1.exe\[Petite]\[Embedded_I#3000]\[Embedded_Ix#0230]\[NsPack]:Win32:Small-IHH [Trj]
upk1.exe\[Upack]\[Embedded_I#0d550]:Win32:Trojan-gen {Other}
AviraPemiumSecuritySuite
fsg1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
fsg350.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
petite1.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
upk1.exe
[DETECTION] Is the TR/Drop.Agent.agck Trojan
487:名無しさん@お腹いっぱい。
09/02/05 00:40:40
>>484
NortonInternetSecurity2009
Suspicious.MH690:petite1.exe
Trojan.Dropper:fsg1.exe、fsg350.exe、upk1.exe
検出数4/5
VirustotalでSuspicious.MH690が出るかどうかも検証してみようと思います
それにしてもNortonのヒューリスティックは良くなってきた印象がありますね
488:名無しさん@お腹いっぱい。
09/02/05 00:46:35
VirustotalでもSuspicious.MH690が表示されてますね
これでSymantecに関してはNorton2009とVirustotalの検出結果の違いはないと思います
あとはVirustotalと実機の結果が違うという現象があるベンダーはKasperskyとPandaだけになりましたね
URLリンク(www.virustotal.com)
ついでに他の結果も貼ります
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
489:名無しさん@お腹いっぱい。
09/02/05 00:56:37
>>484
㌧
カスペ2009 0:27:00
Detected virus HEUR:Trojan.Win32.AntiAV tane0217.zip/petite1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.agck tane0217.zip/upk1.exe
Detected Trojan program Backdoor.Win32.PcClient.acbn tane0217.zip/pcclient1.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aab tane0217.zip/fsg350.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aab tane0217.zip/fsg1.exe
HEUR:Trojan.Win32.AntiAVは初めて見た。AVKillerか?これだけ検体提出します。
490:名無しさん@お腹いっぱい。
09/02/05 01:03:05
>HEUR:Trojan.Win32.AntiAVは初めて見た
2009ヒューリスティックで検出のようですね
それにしても>>488を見るとNOD32は本当にヒューリスティックが強力というかヒューリスティックに依存しすぎというか・・・
McAfeeやPandaはクラウドベースがなければ検出率がかなり低くなるけどNOD32もヒューリスティックなければ検出率がかなり低くなりますね・・・
491:479
09/02/05 01:08:14
Rising 2009 21.24.20 (21.15.20.00)
>>260
fccaWpME.dll,
ssQggfGX.dll,
tuvtRjGw.dll,
urqQjGWn.dll: Trojan.Win32.Nodef.ash
4/6
>>464
86+14=100
492:名無しさん@お腹いっぱい。
09/02/05 01:11:06
>>484
Rising 2009
fsg1.exe>>fsg2.0,
fsg350.exe>>fsg2.0,
upk1.exe>>upack0.39: Trojan.DL.Win32.Mnless.cbv
3/5
493:名無しさん@お腹いっぱい。
09/02/05 01:11:07
ちょっと古い話
12/11提出分トレンドマイクロより
・12/12
TROJ_SMALL.JCH
HTML_WEBKIT.AC
TROJ_REPL.BX
JS_OBFUSCATED.AP
・02/05
JS_IFRAME.AAQ
追加で検出した分も報告が来た…けど、幾等なんでも今頃追加の検出言ってこなくてもw
494:名無しさん@お腹いっぱい。
09/02/05 01:27:54
>>493
BitDefenderとTrendMicroはそういうところおかしいよね
495:489
09/02/05 01:51:09
>>484
カスペからの返事
petite1.exe - Worm.Win32.AutoRun.zii (← HEUR:Trojan.Win32.AntiAV)
New malicious software was found in this file.
496:名無しさん@お腹いっぱい。
09/02/05 02:43:33
URLリンク(tane.sakuratan.com)
virus
各所のニュースサイトにバレンタインウィルスの警告記事が出ていたので検体を探してみました。
みんな画像マスクしてるのでなかなかアドレスがわかりませんでしたがようやくゲット。
検出率悪いので、各所に提出してきます。
検体入手元 : URLリンク(expowale)<) (8/39)
497:名無しさん@お腹いっぱい。
09/02/05 02:53:05
検体提出しようと、各ベンダーの検出名を拾ってたら…警告記事の元になってるMcAfeeがスルーしてるのはなんでだー(笑)
AntiVir : Worm/Zhelatin.N
AVG : SHeur2.OOA
CAT-QuickHeal : (Suspicious) - DNAScan
F-Secure : Trojan:W32/Waledac.BL
Kaspersky : Email-Worm.Win32.Iksmas.ed
NOD32 : Win32/Waledac.AM
SecureWeb-Gateway : Worm.Zhelatin.N
Sophos : Troj/Dloadr-CGD
498:名無しさん@お腹いっぱい。
09/02/05 03:13:53
>>496-497
自動返答によると、拡張検出でMcAfee 対応してたっぽい。
画像をクリックするとexe落としてくるだけなので、htmが未検出なのは正常だと思う。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
expowale.com.htm |inconclusive | | |no
love.exe |new detection |generic downloader.z |Trojan |yes
499:名無しさん@お腹いっぱい。
09/02/05 03:20:52
>>496
McAfeeに提出させて頂ました。
500:名無しさん@お腹いっぱい。
09/02/05 10:06:03
>>496
SymatencとPandaに提出しました
・・・なんだけどどうも最近Pandaの調子が良くない
検体提出してるのに一向に対応する気配もCollective Intelligenceによるヒューリスティックで検出する気配も感じられない
Pandaの鯖がおかしいのかな
501:名無しさん@お腹いっぱい。
09/02/05 10:20:15
そういや、ESETも返事よこさないように戻った気がする。
>>496
カスペ返答
love.exe_ - Email-Worm.Win32.Iksmas.ed
502:名無しさん@お腹いっぱい。
09/02/05 10:23:24
あとPanda検疫からの検体提出ができなくなってるから確実にPanda側に問題あるだろうねこれは
Panda検疫から提出しようとすると必ず提出失敗しましたと表示されるのが最近のPanda
あとアップデートできなかった時もあったから仕方なくPandaのサイトから手動でアップデートしたこともあった
503:名無しさん@お腹いっぱい。
09/02/05 12:39:59
>>490
Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる。
NOD32はプロファイルに検査方法や検査対象を登録しておき、
そのプロファイルを指定してスケジュールを組むことが出来る。
プロファイルも自由に複数作成出来るから目的に応じた運用が可能だ。
例えば、書庫類等は検査済みフォルダと検査前フォルダを作成しておき、
検査前フォルダ内の書庫だけを定期的に高速検査するというような運用も行える。
他のAVだと書庫を対象とするか否かの2択しかないものが多く、ムダに時間が掛かる検査となり効率が悪い。
一度検査し安全が確かめられれば検査済みフォルダに移し、
検査済みフォルダの再検査は数か月に一度程度に減らすことで処理効率を上げるというような運用が他のAVでは難しい。
細かな設定をすることでNOD32は処理効率の良い運用が可能になっている。
NOD32は機関や企業や有名人等 狙われやすい人ほど役立つAV
一般人でもそのウイルス全体の70%を占める未知ウイルスから狙われることもある。
そこがESSのセールスポイント
未知ウイルスへの対応度 = ハッキングに対する対応度
ここにNOD32が研究機関や公的機関で主に採用されている理由がある。
504:名無しさん@お腹いっぱい。
09/02/05 14:14:21
雑音のコピペ
>Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
>これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
>このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
>亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
>そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる
>アンパッカー技術
Packers support test
URLリンク(www.anti-malware-test.com)
金賞 F-Secure
金賞 Kaspersky
銀賞 BitDefender
銀賞 Dr.WEB
銅賞 NOD32
>ヒューリスティックエンジン
ブロードバンド推進協議会(BBA)セキュリティ専門部会長
「中には、ヒューリステックに頼りすぎて、
ウイルスの検体を集めず、
ちゃんとシグネチャを作らないところもある」
URLリンク(internet.watch.impress.co.jp)
URLリンク(internet.watch.impress.co.jp)
505:名無しさん@お腹いっぱい。
09/02/05 14:15:18
違うとこでやってください
506:名無しさん@お腹いっぱい。
09/02/05 19:36:52
>>496
Symantecから
filename: love.exe
machine: Machine
result: This file is detected as W32.Waledac.
filename: expowale.com.htm
machine: Machine
result: See the developer notes
507:名無しさん@お腹いっぱい。
09/02/05 19:45:37
>>484
PandaGlobalProtection2009
pcclient1.exeを疑わしいファイルとして検出(Collective Intelligenceによる検出)
VirustotalでのSymantecがSuspicious.MH690検出結果表示出るようになったけどそれと同時にNorton2009で常駐スキャンでSuspicious.MH690が検出されるようになった(それまでは手動スキャンじゃなければ検出できなかった)
Pandaも常駐スキャン時でもCollective Intelligence検出が可能になればVirustotalでも反映されるんじゃないかと思う
それにPanda自身の検出率が大幅に上がるしね(その代り誤検出が増えそうな予感)
508:名無しさん@お腹いっぱい。
09/02/05 23:41:44
NOD32 定義3829
>>484
4/5
fsg1.exe Win32/Genetikの亜種である可能性
fsg350.exe Win32/Genetikの亜種である可能性
petite1.exe Win32/TrojanDownloader.Agent.OMQの亜種
upk1.exe Win32/Genetikの亜種である可能性
>>490の言う通り、アドバンスドヒューステリック検出ばかりだな・・・。
検出できなかった検体は返事が来るか確かめるため(笑) メールでEsetに提出
1/1
love.exe Win32/Waledac.AM トロイの木馬
509:名無しさん@お腹いっぱい。
09/02/05 23:44:27
>>508 です。
>love.exe Win32/Waledac.AM トロイの木馬
書き忘れました・・・。>>486 の検査結果です。
510:名無しさん@お腹いっぱい。
09/02/05 23:50:11
>>508
ヒューステリックだけど
アドバンスドヒューステリックではない
511:名無しさん@お腹いっぱい。
09/02/05 23:51:20
なんだよヒューステリックじゃないよ
訂正
ヒューリスティックだけど
アドバンスヒューリスティックじゃないよ
512:名無しさん@お腹いっぱい。
09/02/06 00:17:52
ところで、検体は今日は3時以来ないね。
できれば、一括せず。こまめに出してほしいです。><
20個くらいが限界。50~100個を超えると辛い。
余談
VTのHispasec Sistemasってスペインの企業っぽいね。
Pandaとは一番話が通じそうなもんだけど。
513:名無しさん@お腹いっぱい。
09/02/06 00:26:10
>>510
え?「○○の亜種」はアドヴァンスドヒューリスティックでしょ
これが違うんだったらキヤノンのウイルス情報に書いてあることは間違いだってこと?
514:名無しさん@お腹いっぱい。
09/02/06 00:31:12
>>512
Virustotalもスペインの企業っぽいどころかスペインの企業
ただPandaのVirustotalの検出結果の不思議な現象はまずはPandaのクラウドベースが常駐スキャンでも検出できるようにならなきゃVirustotalに反映されないと思う
Norton2009の拡張ヒューリスティックがその例だからね
515:名無しさん@お腹いっぱい。
09/02/06 00:43:33
>>513
書いてないだろ
516:名無しさん@お腹いっぱい。
09/02/06 03:13:20
URLリンク(tane.sakuratan.com)
infected
検体入手元
URLリンク(99)<) : Online.scr(20/39)
URLリンク(www.virustotal.com) : hbsj5j5j5.exe(19/39)
517:名無しさん@お腹いっぱい。
09/02/06 07:38:37
URLリンク(tane.sakuratan.com)
virus
518:名無しさん@お腹いっぱい。
09/02/06 08:46:12
>>517
全てvirustotalにおくったがそれぞれのURLを書いたエディタがフリーズしてしまったのでご容赦下さい。
519:名無しさん@お腹いっぱい。
09/02/06 09:41:42
>>516
McAfee
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
hbsj5j5j5.exe |inconclusive | | |no
online.scr |inconclusive | | |no
520:名無しさん@お腹いっぱい。
09/02/06 09:54:52
>>515
URLリンク(canon-its.jp)
アドバンスドヒューリスティック検査による結果だった場合:このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Conficker ワームの亜種」という名称で警告が出ます。
はい、反論どうぞ