09/02/24 16:15:12
①はじめに
各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うpろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
前スレ
【鑑定目的禁止】検出可否報告スレ9
スレリンク(sec板)
●セキュリティ板専用アプロダ推奨↓
URLリンク(tane.sakuratan.com)
●検体提出先まとめWiki (参考)
URLリンク(rosafe.rowiki.jp)
各ベンダーの検体提出先(Webフォーム、メールアドレス)、検体提出方法、推奨される文例、検体提出時の注意事項が掲載されています。
2:名無しさん@お腹いっぱい。
09/02/24 16:17:37
②議論や意見のまとめ
・圧縮ファイルと検出数
exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。
・DOSウイルス禁止
大昔のウイルスを集めてきても無意味なことがあります。
・パスなしZIPをパス有りLZH(またはRAR)で
安全性と利便性のため、上記の手法を推奨します。
・淡々とやれ淡々と!
淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。
・ブラクラ禁止
ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません!
・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 という意見もあり。
・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、提出していない旨記載。(ベンダーに多重送付を避けるため)
・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
・スレ違いでもめる(2スレ目以降)
・あらしはスルー。ソフトの優劣の議論は別スレで!!(下記スレなど)
一番いいセキュリティソフトはなんだ!!Part62
スレリンク(sec板)
3:名無しさん@お腹いっぱい。
09/02/24 16:18:28
【重要】
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら貢献することを目的としているスレです。
検体の悪用・不正利用は厳禁願います。
●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。
●検体確認は自己責任でお願いします。感染しても責任は一切持ちません!
(鑑定スレではないので、無害と判定されたファイルを実行して感染しても責任は一切持ちません!)
※◆W32/Vael.oは信頼できるコテさんです。
★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。
・VIRUSTOTAL (略称:VT)
URLリンク(www.virustotal.com)
・VirScan
URLリンク(www.virscan.org)
・Jotti
URLリンク(virusscan.jotti.org)
※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。(例:VT上のカスペ7.0.0.125、最新版2009など)
4:名無しさん@お腹いっぱい。
09/02/24 16:22:27
★各ベンダーへの提出先 (順不同)
・ベンダーにより、Webフォームでの提出と、eメールでの提出などがある。
・ eメールアドレスは、☆→@に読み替えてください。パスワードは"infected"(推奨、特にMcAfee, Bit, ESET)で圧縮して添付
●シマンテック (ノートン)
・Symantec Security Response 〔Upload a suspected infected file:疑わしいファイルの提出〕:新しい提出先。こちらを推奨。
URLリンク(submit.symantec.com)
*ファイルやtxtメモや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕 が提出条件
*裏技:シマへは圧縮フォルダ×2回(*7zip-PPMd圧縮)で実はツメホーダイ
※参考:旧テンプレ。情報が古い?→次スレでは、不要?
Symantec Security Response USA 〔Upload a suspected infected file〕
URLリンク(submit.symantec.com)
提出要項:URLリンク(service1.symantec.com)
●ウイルスバスター(トレンドマイクロ)
URLリンク(inet.trendmicro.co.jp)
バスターユーザー以外は
URLリンク(www.trendmicro.com)
URLリンク(subwiz.trendmicro.com)
●マカフィー (英語の方が対応が早いかも)
URLリンク(www.nai.com) (日本語)
URLリンク(vil.nai.com) (英語)
URLリンク(www.webimmune.net) (要登録・英語)
メール:virus_research☆avertlabs.com
●ESET NOD32アンチウイルス
URLリンク(training.eset.com)
e-mail:samples☆eset.com
5:名無しさん@お腹いっぱい。
09/02/24 16:24:38
●Kaspersky(カスペルスキー)
URLリンク(www.kaspersky.co.jp)
一番下の「新しいウイルスをお知らせ下さい」
e-mail: newvirus☆kaspersky.com
●Avira AntiVir
URLリンク(www.avira.com)
e-mail:virus_malware☆avira.com
●Rising(ウイルスキラー)
URLリンク(up.rising.com.cn)
URLリンク(sample.rising-global.com) (英語版)
●Microsoft(マイクロソフト)
URLリンク(www.microsoft.com)
●Dr.WEB
URLリンク(drweb.jp)
●F-Secure (エフセキュア)
URLリンク(www.f-secure.co.jp)
●AVG
URLリンク(www.grisoft.cz) ←不要?
URLリンク(www.grisoft.com)
●avast!
URLリンク(www.avast.com)
●ソフォス(Sophos)
URLリンク(www.sophos.co.jp)
6:名無しさん@お腹いっぱい。
09/02/24 16:26:03
●キングソフト・アンチウィルス
URLリンク(www.kingsoft.jp)
●バイロボット(hauri、ViRobot)
URLリンク(www.hauri.net)
●Ewido (AVG;Anti ;Spyware)
URLリンク(www.ewido.net)
●ウイルスドクター (メールの場合、本国(e-mail 2)の方が速いかも)
URLリンク(www.virusdoctor.jp)
e-mail 1:labo☆virusdoctor.jp
e-mail 2:virus☆jiangmin.com
●eTrust
URLリンク(www.caj.co.jp)
●F-PROT; (フォームよりe-mail推奨)
URLリンク(www.f-prot.com)
e-mail:viruslab☆f-prot.com
●eSafe
URLリンク(www.aladdin.com)
●a2 (a-squared)
URLリンク(www.emsisoft.jp)
●ウイルスセキュリティZERO (K7Computing)
URLリンク(k7computing.com)
7:名無しさん@お腹いっぱい。
09/02/24 16:27:19
●ウイルスチェイサー (※ Dr.Webエンジンのため、>>5のDr.Webの窓口に直接送ったほうが良い。)
URLリンク(www.viruschaser.jp)
●BitDefender
送付先1:
e-mail:support☆bitdefender.com
URLリンク(beta.bitdefender.com)
Fight against malware → Improving Detection →What to do when BitDefender does not detect malware
送付先2:
e-mail:virus_submission☆bitdefender.com(2MBまで?)
URLリンク(forum.bitdefender.com)
●アンラボ(AhnLab V3)
・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答(詳細は>>1のWiki参照)
Ahnlab Customer(AhnLab-V3) メール:ahnlabcustomer☆ahnlab.co.jp
・アンラボ(韓国)にはフォームあり。最近はエラーで送れない。
URLリンク(kr.ahnlab.com)
・アンラボ(グローバル/鯖は韓国)からは、専用のAhnReportを使用するよう指示されている。
URLリンク(global.ahnlab.com)
8:名無しさん@お腹いっぱい。
09/02/24 16:28:18
以上 テンプレここまで
-----------------------------------------
検体提出先を一部変更、追記。
テンプレ(>>1->>7)、検体提出先(>>4->>7)の変更・追加あれば、>>8にレスする形で指摘よろ。
9:名無しさん@お腹いっぱい。
09/02/24 16:40:11
>>1-8
乙
10:名無しさん@お腹いっぱい。
09/02/24 18:11:42
補足事項:>>6 F-port宛メールはエンコード後サイズで10,240,000迄
11:名無しさん@お腹いっぱい。
09/02/24 20:07:53
>>1 0222222
12:名無しさん@お腹いっぱい。
09/02/25 13:00:21
AV-Test.org - Update Frequency of Anti-Virus Software (1週間の定義更新頻度)
URLリンク(www.av-test.org)
13:名無しさん@お腹いっぱい。
09/02/25 20:01:41
>前スレ1000
次スレ誘導貼ろうとしたら埋まってた。バカヤロー。
14:名無しさん@お腹いっぱい。
09/02/25 20:13:34
Rising 2009 21.27.22 (21.18.22.00)
>>tane0233
Patsh.exe: Trojan.DL.Win32.Delf.zjt
scanner[1].exe: Trojan.Win32.FakeVir.if
5+2=7/16
>>tane0243
0\readmer.txt: Trojan.Win32.Nodef.dvx
3\install.exe: Trojan.Win32.FakeAV.hf
4+2=6/12
15:名無しさん@お腹いっぱい。
09/02/25 20:21:09
スレリンク(sec板:991番)
McAfeeに提出させて頂ました。
16:名無しさん@お腹いっぱい。
09/02/26 00:49:08
URLリンク(tane.sakuratan.com)
infected
AntiVir Free 10/13
avast! 4.8 Home 5/13
Avira, avast 提出済み
17:名無しさん@お腹いっぱい。
09/02/26 00:49:43
>>16
URLリンク(www.virustotal.com) 10/39 (8077.htm)
URLリンク(www.virustotal.com) 2/39 (8099.pdf)
URLリンク(www.virustotal.com) 6/38 (Camfrog video chat 5.2.exe)
URLリンク(www.virustotal.com) 3/39 (Codec.exe)
URLリンク(www.virustotal.com) 12/39 (DoWap_Elite_v1.0.exe)
URLリンク(www.virustotal.com) 15/39 (mavco for eyes.scr)
URLリンク(www.virustotal.com) 16/39 (multiid_new.exe)
URLリンク(www.virustotal.com) 9/39 (PLAY_MP3.exe)
URLリンク(www.virustotal.com) 9/39 (proxy http new fresh .exe)
URLリンク(www.virustotal.com) 7/39 (Setup5.exe)
URLリンク(www.virustotal.com) 25/39 (Spynet-Server.exe)
URLリンク(www.virustotal.com) 7/37 (Yahoo Messenger 10.exe)
18:名無しさん@お腹いっぱい。
09/02/26 01:00:34
>>16
Rising 2009
PLAY_MP3.exe>>PlayMP3.exe: AdWare.Win32.Agent.jb
Spynet-Server.exe>>upx_c: Trojan.Win32.Nodef.bgb
2/13
送付中
19:名無しさん@お腹いっぱい。
09/02/26 03:32:13
>>16乙
Symantecへ提出しました
しかし各社とも酷いもんだねー
20:名無しさん@お腹いっぱい。
09/02/26 10:24:00
>>16
Pandaへ提出
>>19
Symantecへの提出、助かります
21:名無しさん@お腹いっぱい。
09/02/26 15:52:54
今北産業
カスペ2009@15:05 (昨日21:15も同結果)
>>16 ㌧
9/13 (うち、ヒューリスティック2)
Detected virus HEUR:Exploit.Script.Generic 8077.htm
Detected virus HEUR:Trojan.Win32.Generic Spynet-Server.exe
Detected Trojan-Downloader.Win32.VB.kqy DoWap_Elite_v1.0.exe
Detected Trojan.Win32.Agent.brrm mavco for eyes.scr
Detected Trojan-Downloader.Win32.Agent.bitt proxy http new fresh .exe
Detected Trojan-Downloader.Win32.Agent.bitt socks fresh new .exe
Detected Trojan.Win32.Buzus.anec Yahoo Messenger 10.exe
Detected Trojan.Win32.Buzus.anec Camfrog video chat 5.2.exe
Detected adware not-a-virus:AdWare.Win32.Agent.kve PLAY_MP3.exe
検体提出します。
22:名無しさん@お腹いっぱい。
09/02/26 17:25:54
>>16
McAfeeに提出させて頂ました。
23:名無しさん@お腹いっぱい。
09/02/26 17:59:49
>>16
Rising回答
1. Filename:DoWap_Elite_v1.0.exe Virusname:Trojan.Win32.VBCode.gb
2. Filename:Codec.exe Virusname:Trojan.Win32.VBCode.fz
3. Filename:Camfrog video chat 5.2.exe Virusname:Trojan.Win32.VBCode.fy
4. Filename:manager.exe Virusname:Trojan.Win32.VBCode.fy
5. Filename:mavco for eyes■scr Virusname:Dropper.Win32.Agent.zwo
6. Filename:PLAY_MP3.exe No malware.
7. Filename:multiid_new.exe No malware.
8. Filename:8077.htm No malware.
9. Filename:8099.pdf No malware.
1. Filename:45.exe Virusname:Trojan.Win32.VBCode.ga
2. Filename:46.exe Virusname:Trojan.Win32.VBCode.ga
3. Filename:socks fresh new .exe Virusname:Trojan.Win32.VBCode.ga
4. Filename:proxy http new fresh .exe Virusname:Trojan.Win32.VBCode.ga
5. Filename:Yahoo Messenger 10.exe Virusname:Trojan.Win32.VBCode.fy
6. Filename:manager.exe Virusname:Trojan.Win32.VBCode.fy
7. Filename:Spynet-Server.exe Virusname:Trojan.Win32.Nodef.bgb
8. Filename:System.dll No malware.
9. Filename:Setup5.exe No malware.
10. Filename:y.txt No malware.
11. Filename:$[34] No malware.
12. Filename:http1.txt No malware.
13. Filename:NSISdl.dll No malware.
14. Filename:nsisXML.dll No malware.
15. Filename:pcre.dll No malware.
16. Filename:PlayMP3.exe No malware.
24:名無しさん@お腹いっぱい。
09/02/26 18:02:39
>>16
Symantec自動回答
filename: PLAY_MP3.exe
filename: 8077.htm
filename: DoWap_Elite_v1.0.exe
filename: manager.exe
filename: mavcoforeyes■scr
filename: 8099.pdf
filename: Camfrogvideochat5.2.exe
filename: nsisXML.dll
filename: System.dll
filename: PlayMP3.exe
filename: proxyhttpnewfresh.exe
filename: 46.exe
filename: pcre.dll
filename: NSISdl.dll
result: See the developer notes
filename: multiid_new.exe
result: This file is detected as Infostealer.Gampass. URLリンク(www.symantec.com)
filename: Codec.exe
result: This file is detected as Downloader. URLリンク(www.symantec.com)
25:18
09/02/26 18:53:10
Rising 2009 21.27.32 (21.18.32.00)
>>tane0239
(2) sexi.scr: Dropper.Win32.Agent.zwo
Bh120.scr>>Overlay: Trojan.Win32.Nodef.ebl
coocking.scr: Dropper.Win32.Agent.zwo
estadium.scr>>Overlay: Trojan.Win32.Nodef.ebl
fullazadi.scr>>Overlay: Trojan.Win32.Nodef.ebl
12+5=17/28
>>16
Camfrog video chat 5.2.exe>>manager.exe: Trojan.Win32.VBCode.fy
Codec.exe: Trojan.Win32.VBCode.fz
DoWap_Elite_v1.0.exe: Trojan.Win32.VBCode.gb
mavco for eyes.scr: Dropper.Win32.Agent.zwo
proxy http new fresh .exe>>46.exe: Trojan.Win32.VBCode.ga
socks fresh new .exe>>45.exe: Trojan.Win32.VBCode.ga
Yahoo Messenger 10.exe>>manager.exe: Trojan.Win32.VBCode.fy
2+7=9/13
26:名無しさん@お腹いっぱい。
09/02/26 18:55:45
>>24
自動処理できないから全部手動解析行きとか・・・
Symantecしっかりしてよ
27:名無しさん@お腹いっぱい。
09/02/26 19:12:11
>>16
BitDefender10Free
mavco for eyes■scr 感染: Trojan.Dropper.SVQ
Spynet-Server.exe 感染: Virtool.25289
28:名無しさん@お腹いっぱい。
09/02/26 19:26:14
AV-TESTによるウイルス検出率テスト
(2009年2月22日実施、検体数835,234)
順位 社名(製品名) 検出数 検出率
#1 G DATA 831,101 99.51%
*****************以上は平均99%以上
#2 マカフィー 818,785 98.03%
#3 エフセキュア 815,692 97.66%
#4 シマンテック 814,413 97.51%
#5 NOD32 805,188 96.40%
#6 カスペルスキー 804,408 96.31%
*****************以上は平均95%以上
#7 マイクロソフト 77,606 92.50%
#8 ソースネクスト 761,234 91.14%
*****************以上は平均90%以上
#9 トレンドマイクロ 628,443 75.24%
#10 イーフロンティア 602,082 72.09%
*ここでいう「ウイルス」とは、「狭義でのウイルス」のみならず、「ワーム」「トロイ
の木馬」「ボット」「バックドア」を含む。
*アジア=パシフィック地域、特に日本、台湾、中国において頻発しているウイルスを
中心に採集されており、検体は6ヶ月以内に発生したものに限定されている。
URLリンク(antivirus-news.net)
29:名無しさん@お腹いっぱい。
09/02/26 20:08:19
>>16
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------|---------------------|------|-----
spynet-server.exe |new detection |generic dropper |Trojan|yes
8077.htm |current detection |exploit-cve2009-0075 |Trojan|no
dowap_elite_v1.0.exe|new detection |generic downloader.x |Trojan|yes
multiid_new.exe |current detection |generic.dx |Trojan|no
他のファイルは全て inconclusive
余談ですが、「■scr」の文字列をそのまま貼り付けると、BBX規制のリストに乗るようです。ご注意を。
30:名無しさん@お腹いっぱい。
09/02/26 20:18:16
問題ないけど?
31:21
09/02/26 22:24:58
>>16
カスペからの返事
9/13(白2,回答待ち2)
multiid_new.exe , 8099.pdf
No malicious code was found in this file.
32:名無しさん@お腹いっぱい。
09/02/26 22:34:45
>>31
8099.pdf カスペ, Rising は白判定なんですね。
Avira は Exploit 認定してくれましたw
The file '8099.pdf' has been determined to be 'MALWARE'.
Our analysts named the threat EXP/Pidief.IV.
33:名無しさん@お腹いっぱい。
09/02/27 00:04:14
>>32
で?
GOM PLAYERのバカ騒ぎを思い出す。
34:名無しさん@お腹いっぱい。
09/02/27 00:12:28
Exploit だけではマルウェア認定されるわけではない
ということがわかっただけ
35:21
09/02/27 00:37:56
>>16 (>>21,31)
カスペからの返事
10/13(白2, 回答待ち1, setup5.exe)
Codec.exe - New malicious software was found in the attached file. (検体名なし) >>24でDownloaderか?
Spynet-Server.exe - Trojan.Win32.Buzus.anlt (←HEUR:Trojan.Win32.Generic)
遅いな。
36:名無しさん@お腹いっぱい。
09/02/27 11:36:57
本来は一番スレに貼るべき記事だけどあそこは機能してないので(ry
ちょっと興味深い記事があったので貼ります
URLリンク(japan.internet.com)
AVGも将来的にクラウドベース型検出を採用するのかな?
クラウドベース検出に合ってるベンダーはこれとトレンドマイクロとavast!ぐらいだからね(つまり従来のアップデート回数は少なすぎるので新種の対応についていけない)
Symantecはパルスアップデートといったストリーミングアップデートを採用したからこちらはクラウドベース型検出を採用するとは考えにくい
37:35
09/02/27 11:40:03
と、思ったら違ったみたいだ(「エンドポイント保護プラットフォームに移行しつつある」と書いてあるね)
記事をよく読んでなくてゴメンナサイ
38:36
09/02/27 11:42:26
35じゃなくて36でしたorz
39:21
09/02/27 16:35:13
カスペ
>>16 (>>21,31,35)
9+事後1=10(白3)/13でFA
8077.htm - Exploit.JS.Agent.aea (←HEUR:Exploit.Script.Generic)
Codec.exe - Trojan program Trojan.Win32.Agent2.eii (>>35)
Setup5.exe - No malicious software was found in the attached file.
40:名無しさん@お腹いっぱい。
09/02/27 16:49:41
>前スレのMalware-Pack60
ClamAV返答(送信日 2009/02/19)
Submission-ID: 6750170
Added: Trojan.Agent-81082
Added: Trojan.Downloader-68094
Added: Trojan.Fakealert-1424
Added: Trojan.Crypt-170
Added: Trojan.Agent-81083
Added: Trojan.Agent-81084
Added: Trojan.Dropper-18732
Added: Trojan.Fakecodecs-6
Added: Trojan.Agent-81085
41: ◆W32/Vael.o
09/02/27 20:06:27
URLリンク(www.tane.sakuratan.com)
Malware-Pack62
例によってMcAfeeには提出済み
42:名無しさん@お腹いっぱい。
09/02/27 20:12:32
>>41
AviraPremiumSecuritySuite
Malware\0\ko.exe [DETECTION] Is the TR/Downloader.Gen Trojan
Malware\2\bt.txt [DETECTION] Is the TR/Spy.ZBot.nzo Trojan
Malware\3\lopaman.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\4\g9555.exe [DETECTION] Is the TR/Dldr.Swizzor.Gen Trojan
Malware\5\1hao.exe [DETECTION] Contains a recognition pattern of the (harmful) BDS/Hupigon.144396.1 back-door program
Malware\6\shop1.exe [DETECTION] Is the TR/Spy.ZBot.QG Trojan
Malware\8\ldr1.exe [DETECTION] Is the TR/Spy.ZBot.lxn.2 Trojan
Malware\9\sale.exe [DETECTION] Is the TR/Dropper.Gen Trojan
Malware\b\SystemGuard2009.exe [DETECTION] Is the TR/PCK.Tdss.F.121 Trojan
avast!4.8
Malware\2\bt.txt:Win32:Rootkit-gen [Rtk]
Malware\5\1hao.exe:Win32:Trojan-gen {Other}
Malware\a\d2x.exe:Win32:Refpron-I [Trj]
43:名無しさん@お腹いっぱい。
09/02/27 20:21:43
>>41
PandaGlobalProtection2009
ウイルス発見 : Generic Malware:Malware\1\Install_200002_-1_.exe
ウイルス発見 : Trj/Sinowal.WBB:Malware\6\shop1.exe
セキュリティリスクを検出 :Malicious Packer:Malware\4\g9555.exe
ウイルス発見 : Trj/Sinowal.WAX:Malware\2\bt.txt
ウイルス発見 : Generic Trojan:Malware\0\ko.exe
疑わしいファイル:Malware\5\1hao.exe、Malware\a\d2x.exe
44:名無しさん@お腹いっぱい。
09/02/27 20:41:38
>>41
Rising 2009 21.27.42 (21.18.42.00)
0\ko.exe>>upack0.39: Trojan.DL.Win32.Undef.bha
2\bt.txt: Trojan.Win32.Nodef.dxy
3\lopaman.exe: Trojan.Win32.Nodef.edi
6\shop1.exe: Trojan.Win32.Nodef.dzv
4/12
Risingに提出完了
45:名無しさん@お腹いっぱい。
09/02/27 20:41:50
>>41
NortonInternetSecurity2009
Downloader:ko.exe、1hao.exe
Infostealer.Banker.C:lopaman.exe、shop1.exe
Packed.Generic.187:Install_200002_-1_.exe
Packed.Generic.210:sale.exe
ESETSmartSecurity3.0
Malware\2\bt.txt - Win32/Spy.Zbot.JF トロイの木馬
Malware\3\lopaman.exe - Win32/Spy.Zbot.KH トロイの木馬
Malware\6\shop1.exe - Win32/Spy.Zbot.KD トロイの木馬
Malware\8\ldr1.exe - Win32/Spy.Zbot.JF トロイの木馬
Malware\9\sale.exe - Win32/Waledac.GQの亜種 トロイの木馬
46:名無しさん@お腹いっぱい。
09/02/27 21:01:29
>>41
AntiVir、avast!、AVG、BitDefender、Panda、Symantec、ESET、アンラボに提出
AntiVirから一時的な回答
25271391 ko.exe 4.75 KB MALWARE
25274359 Install_200002_-1_.exe 1.08 MB UNDER ANALYSIS
25269670 bt.txt 77.5 KB MALWARE
25272584 lopaman.exe 65 KB MALWARE
25274360 g9555.exe 596 KB MALWARE
25274361 1hao.exe 71.77 KB MALWARE
25272126 shop1.exe 66 KB MALWARE
25273877 load.exe 88.5 KB MALWARE
25273063 ldr1.exe 69.5 KB MALWARE
25274362 sale.exe 403.5 KB MALWARE
25273924 d2x.exe 58 KB MALWARE
25273624 SystemGuard2009.exe 2.55 MB MALWARE
47:名無しさん@お腹いっぱい。
09/02/27 21:01:31
>> 41㌧
カスペ2009 20:29
8/12 (0, 2 3, 6, 7, 8, a, b) 検体提出します。
Detected virus HEUR:Trojan-Downloader.Win32.Generic /0/ko.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.nzo /2/bt.txt
Detected Trojan program Trojan-Spy.Win32.Zbot.ofc /3/lopaman.exe
Detected Trojan program Trojan.Win32.Agent.bsic /6/shop1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.oiu /7/load.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.oit /8/ldr1.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.adi /a/d2x.exe
Detected Trojan program Packed.Win32.Tdss.f /b/SystemGuard2009.exe
48:名無しさん@お腹いっぱい。
09/02/27 21:04:47
>>41
0 URLリンク(www.virustotal.com)
1 URLリンク(www.virustotal.com)
2 URLリンク(www.virustotal.com)
3 URLリンク(www.virustotal.com)
4 URLリンク(www.virustotal.com)
5 URLリンク(www.virustotal.com)
6 URLリンク(www.virustotal.com)
7 URLリンク(www.virustotal.com)
8 URLリンク(www.virustotal.com)
9 URLリンク(www.virustotal.com)
a URLリンク(www.virustotal.com)
b URLリンク(www.virustotal.com)
49:名無しさん@お腹いっぱい。
09/02/27 21:15:43
バスター、ZERO、Bitは相変わらずボロボロだな
50:名無しさん@お腹いっぱい。
09/02/27 22:18:22
セキュリティ初心者質問スレッドpart117
スレリンク(sec板)
で上げられてたウイルス?で申し訳ないんですが
VirusTotalでの結果
URLリンク(www.virustotal.com)
問題のファイルは斧に上げられてます…(DLパスはありません。未確認で申し訳ないですが解凍パスも無いとおもわれます。)
URLリンク(www1.axfc.net)
上記、セキュリティ初心者質問スレではウイルスという判定がでたようです。
自分で落としてAviraに報告しようと思ったんですが、無知な自分が落としていいものか悩んだ末、こちらにお願いに参りました。
51:名無しさん@お腹いっぱい。
09/02/27 23:28:55
>>50
McAfeeに提出させて頂ました。
URLリンク(tane.sakuratan.com)
infected
52:名無しさん@お腹いっぱい。
09/02/28 00:13:14
>>51
カスペ2009 スルー
検体提出。
readme.exeか。
大昔(OSにzipの展開・圧縮機能がない頃)は、大容量ファイルをexeの自己解凍ファイルで送って、実行するだけで解凍できる方法もあったのに。
時代も変わったね。
53:名無しさん@お腹いっぱい。
09/02/28 00:14:13
今でもあるだろ
54:名無しさん@お腹いっぱい。
09/02/28 00:37:57
>>50
カスペ返答
Readme.exe_ - Worm.Win32.AutoRun.fcr
New malicious software was found in this file. It's detection will be included in the next update.
55:名無しさん@お腹いっぱい。
09/02/28 00:46:14
>>51
URLリンク(www.virustotal.com)
56:メモ
09/02/28 01:04:06
URLリンク(www.virustotal.com)
57:名無しさん@お腹いっぱい。
09/02/28 01:30:11
>>50
Aviraに提出しといたよ
58:名無しさん@お腹いっぱい。
09/02/28 01:37:48
>>51
avast!、AVG、BitDefender、Symantec、Panda、ESET、アンラボに提出
59:47
09/02/28 01:49:58
>>41
カスペからの返事
8+事後1=9/12,、回答待ち3
0\ko.exe_ - Trojan-Downloader.Win32.Small.jhm (←HEUR:Trojan-Downloader)
1\Install_200002_-1.exe_ - not-a-virus:FraudTool.Win32.MSAntispyware2009.v
60:名無しさん@お腹いっぱい。
09/02/28 02:03:41
>>41
NortonInternetSecurity2009追加検出+1
Infostealer.Banker.C:bt.txt
7/12
61:名無しさん@お腹いっぱい。
09/02/28 02:39:06
>>59
Hello,
ko.exe_ - Trojan-Downloader.Win32.Small.jhm
This file is corrupted.
ってメールがカスペから来た。送ってないんだけど (^_^;)
62:名無しさん@お腹いっぱい。
09/02/28 10:45:44
>>51
Symantecから返事は来てないけど検出できるようになりました
URLリンク(www.virustotal.com)
63:名無しさん@お腹いっぱい。
09/02/28 11:10:13
>>41
NortonInternetSecurity2009追加検出+2
Trojan Horse:g9555.exe
SpywareGuard2008:SystemGuard2009.exe
9/12
64:名無しさん@お腹いっぱい。
09/02/28 11:15:50
>>41
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A:Malware\3\lopaman.exe
疑わしいファイル:Malware\9\sale.exe
9/12
65:名無しさん@お腹いっぱい。
09/02/28 11:22:28
>>41
ESETSmartSecurity3.0
Malware\1\Install_200002_-1_.exe - Win32/Adware.MSAntispyware2009 アプリケーション
Malware\4\g9555.exe - Win32/TrojanDownloader.Swizzor トロイの木馬
Malware\7\load.exe - Win32/Spy.Zbot.KQ トロイの木馬
Malware\a\d2x.exe - Win32/Adware.Coolezweb アプリケーション
9/12
66:名無しさん@お腹いっぱい。
09/02/28 11:27:05
>>41
avast!4.8
Malware\0\ko.exe:Win32:Trojan-gen {Other}
Malware\3\lopaman.exe:Win32:Spyware-gen [Trj]
Malware\6\shop1.exe:Win32:Rootkit-gen [Rtk]
Malware\9\sale.exe:Win32:Trojan-gen {Other}
7/12
以上、自分のところで確認できるだけの追加検出報告完了
正直言うとこれだけのベンダーを報告したのは疲れました・・・(苦笑)
67:名無しさん@お腹いっぱい。
09/02/28 11:40:17
>>41
2/28 11:40現在
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
68:名無しさん@お腹いっぱい。
09/02/28 16:17:37
URLリンク(virus-factory.tv)
69:名無しさん@お腹いっぱい。
09/02/28 17:53:57
>>68
アドレスが見つかりません
www.virus-factory.tv という名前のサーバが見つかりませんでした。
指定されたアドレスのホストサーバが見つかりませんでした。
70:名無しさん@お腹いっぱい。
09/02/28 20:38:24
>>41
ESETSmartSecurity3.0
Malware\0\ko.exe Win32/TrojanDownloader.Agent.OVM トロイの木馬
Malware\b\SystemGuard2009.exe Win32/Adware.SpywareGuard アプリケーション
11/12
71:名無しさん@お腹いっぱい。
09/02/28 20:43:06
>>41
PandaGlobalProtection2009
疑わしいファイル:Malware\7\load.exe、Malware\8\ldr1.exe
11/12
72:名無しさん@お腹いっぱい。
09/02/28 20:59:50
Virustotalで確認したら>>41の検体を多く検出できてるベンダーはAntiVir、Kaspersky、McAfee、Panda、NOD32のようですね(11/12)
あとはDr.Webも11個検出可能
73:57
09/02/28 21:17:59
>>50-51
Aviraも検出するようになったよ
URLリンク(www.virustotal.com)
74:47
09/03/01 00:21:08
>>41 (>>47,59)
カスペからの返事
8+事後3=11/12 , 回答待ち1(4\r9555.exe)
Detected Trojan program Trojan.Win32.Agent2.ekn 5/1hao.exe
Detected Trojan program Trojan.Win32.Agent.bsic 6/shop1.exe
9555.exeはフォローしてみるか。
75:名無しさん@お腹いっぱい。
09/03/01 11:29:26
>>51
AVG、McAfeeが検出可能になった
URLリンク(www.virustotal.com)
76: ◆W32/Vael.o
09/03/01 18:21:17
URLリンク(www.tane.sakuratan.com)
Malware-Pack63
例によってMcAfeeには提出済み
77:名無しさん@お腹いっぱい。
09/03/01 18:53:33
Rising 2009 21.27.62 (21.18.62.00)
>>41
b\SystemGuard2009.exe: Trojan.Win32.Nodef.eij
4+1=5/12
>>76
7\sex8.exe>>upx_c: Trojan.Win32.KillSoul.a
1/12
78:名無しさん@お腹いっぱい。
09/03/01 19:08:46
>>76
NIS2009で3/12(2、6、b)検出
これからSymantecへ贈ります
79:名無しさん@お腹いっぱい。
09/03/01 19:27:13
>>76
0 URLリンク(www.virustotal.com)
1 URLリンク(www.virustotal.com)
2 URLリンク(www.virustotal.com)
3 URLリンク(www.virustotal.com)
4 URLリンク(www.virustotal.com)
5 URLリンク(www.virustotal.com)
6 URLリンク(www.virustotal.com)
7 URLリンク(www.virustotal.com)
8 URLリンク(www.virustotal.com)
9 URLリンク(www.virustotal.com)
a URLリンク(www.virustotal.com)
b URLリンク(www.virustotal.com)
80:名無しさん@お腹いっぱい。
09/03/01 19:40:29
>>76
乙です。
NOD32 v3.0 定義3897
4/12
2\run.exe_______________Win32/Waledac.GTの亜種 トロイの木馬
6\LiveSetup.com______Win32/TrojanDownloader.Banload.CHQの亜種 トロイの木馬
7\sex8.exe_____________Win32/TrojanDownloader.Adload.NFK トロイの木馬
8\install.exe___________Win32/Injector.JNの亜種 トロイの木馬
81:名無しさん@お腹いっぱい。
09/03/01 20:31:51
>>76
AviraPremiumSecuritySuite
Malware\2\run.exe [DETECTION] Is the TR/Dropper.Gen Trojan
Malware\9\PointWayU.exe [DETECTION] Contains HEUR/Malware suspicious code
avast!4.8
Malware\2\run.exe:Malware\2\run.exe
AntiVirがこの様とは・・・・
82:名無しさん@お腹いっぱい。
09/03/01 20:39:29
>>76
avast!、AVG、ESET、Pandaに提出
>>78
Symantecへの提出、助かりました
83:47
09/03/01 22:17:49
>>76
㌧
カスペ2009 21:11:00
4/12 (1,5,8,9) >>79と変わらず。検体提出します。
Detected Trojan program Trojan-Downloader.Win32.Banload.abtk /1/images.exe
Detected Trojan program Packed.Win32.Katusha.a /5/codec.exe
Detected Trojan program Trojan.Win32.VB.kfv /8/install.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bjeq /9/PointWayU.exe
>>41 (>>47,59,74)
12/12でFA
4\g9555.exe - Trojan.Win32.Obfuscated.abjc
New malicious software was found in the attached file. Its detection will be included in the next update.
84:83
09/03/02 01:22:07
>>76
カスペからの返事
4+事後3=7/12 (0,1,5,6,8,9,b) 、破損1(4)、白1(7)、回答待ち3(2,3,a)
0\IAInstall.exe - Trojan-Downloader.Win32.FraudLoad.dqb
6\run.exe - Backdoor.Win32.Delf.ocz
b\SystemGuard2009.exe - Packed.Win32.Tdss.x
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
4\172.exe - File is corrupted
7\sex8.exe - No malicious software was found in the attached file.
85:83
09/03/02 01:26:05
>>84
6 \ run.exe→2 \ run.exe - Backdoor.Win32.Delf.ocz
に訂正
すまぬ。
7/12 (0,1,2,5,8,9,b)
86:名無しさん@お腹いっぱい。
09/03/02 02:46:47
/
87:名無しさん@お腹いっぱい。
09/03/02 02:52:52
/
88:名無しさん@お腹いっぱい。
09/03/02 02:53:02
/
89:名無しさん@お腹いっぱい。
09/03/02 02:53:07
/
90:名無しさん@お腹いっぱい。
09/03/02 02:53:16
/
91:名無しさん@お腹いっぱい。
09/03/02 02:53:29
/
92:77
09/03/02 16:52:25
Risingより
>>76
1、文件名:IAInstall.exe
病毒名:Trojan.Win32.Nodef.eki
2、文件名:SystemGuard2009.exe
病毒名:Trojan.Win32.Nodef.ekg
3、文件名:run.exe
病毒名:Trojan.Win32.Nodef.ekf
4、文件名:LiveSetup.com
病毒名:Trojan.Win32.Nodef.eke
5、文件名:install.exe
病毒名:Trojan.Win32.Nodef.ekd
6、文件名:codec.exe
病毒名:Trojan.DL.Win32.Mnless.cis
7、文件名:images.exe
病毒名:Trojan.DL.Win32.VB.zmx
8、文件名:honghong.exe
不是病毒
9、文件名:172.exe
不是病毒
10、文件名:PointWayU.exe
不是病毒
11、文件名:vzChkUp.exe
不是病毒
瑞星2009的21.19.02版本(瑞星2008的20.86.02版本)で対応予定
93:名無しさん@お腹いっぱい。
09/03/02 20:06:01
Rising 2009 21.28.02 (21.19.02.00)
>>41
7\load.exe: Trojan.Win32.Nodef.eln
8\ldr1.exe: Trojan.Win32.Nodef.elm
5+2=7/12
>>51
Readme.exe: Trojan.Win32.Nodef.elp
1/1
94:83
09/03/03 16:34:15
>>76 (>>83-85)
カスペ2009 15:32:00
4+事後5=9/12 (3,4,7以外),破損1(4)、白1(7)、回答待ち1(3)
Trojan program Trojan-Downloader.Win32.Agent.bjpq \a\vzChkUp.exe
Trojan program Trojan-Downloader.Win32.Banload.abvk \6\LiveSetup.com
95:名無しさん@お腹いっぱい。
09/03/03 16:58:26
>>76,79 再解析 約46時間後
0 URLリンク(www.virustotal.com) 6->14
1 URLリンク(www.virustotal.com) 7->18
2 URLリンク(www.virustotal.com) 11->26
3 URLリンク(www.virustotal.com) 3->5
4 URLリンク(www.virustotal.com) 4->10
5 URLリンク(www.virustotal.com) 4->22
6 URLリンク(www.virustotal.com) 21->28
7 URLリンク(www.virustotal.com) 9->12
8 URLリンク(www.virustotal.com) 4->21
9 URLリンク(www.virustotal.com) 5->16
a URLリンク(www.virustotal.com) 4->6
b URLリンク(www.virustotal.com) 10->22
96:名無しさん@お腹いっぱい。
09/03/03 18:53:11
>>41
Rising 2009 21.28.12 (21.19.12.00)にて
4\g9555.exe: Trojan.Win32.Nodef.els
a\d2x.exe: Trojan.Win32.Nodef.elu
そしてRisingより
1、文件名:1hao.exe
病毒名:Trojan.DL.Win32.Mnless.cjj
2、文件名:sale.exe
病毒名:Trojan.Win32.Nodef.epl
7、文件名:Install_200002_-1_.exe
不是病毒
瑞星2009的21.19.20版本(瑞星2008的20.86.20版本)で対応予定
7+2+2=11/12
97:83
09/03/03 21:12:48
カスペからの返事
>>76 (>>83-85,94)
4+事後5=9/12 (3,4,7以外)、白2(3,7) 破損1(4)で終了
3\honghong.exe - No malicious code was found in this file.
98:名無しさん@お腹いっぱい。
09/03/04 00:58:42
URLリンク(tane.sakuratan.com)
infected
各社に提出済み
PraXd5PFspm1Zdy2.zip , PraXd5PFspm1Zdy2.exe は破損ファイルだが、幾つかのベンダーは検知。
PraXd5PFspm1Zdy2■zip : W32/Magania.A!tr(Fortinet)
PraXd5PFspm1Zdy2■exe : Trojan.PWS.Gamania.17731(DrWeb)
9c82c7fb76a7160b1c1bd6b909b970391a2edcab■zip : Trojan.Win32.Inject.paz(Kaspersky)
9c82c7fb76a7160b1c1bd6b909b970391a2edcab■exe : Trojan.Win32.Inject.paz(Kaspersky)
azB001JBOIQ6■zip : Trojan.Win32.Inject.paz(Kaspersky)
azB001JBOIQ6■exe : Trojan.Win32.Inject.paz(Kaspersky)
4b3e8d9c0o7a1p5n6i0g7m■zip : Trojan.Win32.Inject.nnh(Kaspersky)
4b3e8d9c0o7a1p5n6i0g7m■exe : Trojan.Win32.Inject.nnh(Kaspersky)
99:名無しさん@お腹いっぱい。
09/03/04 01:00:25
>>98
カスペ返答
既知
1a2edcab.exe_, 9c82c7fb76a7160b1c1bd6b909b970391a2edcab.exe_, azB001JBOIQ6.exe_ - Trojan.Win32.Inject.paz,
4b3e8d9c0o7a1p5n6i0g7m.exe_, 5n6i0g7m.exe_ - Trojan.Win32.Inject.nnh
不正確な(破損)ファイル
PraXd5PFspm1Zdy2.exe_
100:名無しさん@お腹いっぱい。
09/03/04 01:05:30
>>98
AviraPremiumSecuritySuite
4b3e8d9c0o7a1p5n6i0g7m.zip
[0] Archive type: ZIP
--> 4b3e8d9c0o7a1p5n6i0g7m.exe
[DETECTION] Is the TR/Inject.nnh Trojan
9c82c7fb76a7160b1c1bd6b909b970391a2edcab.zip
[0] Archive type: ZIP
--> 9c82c7fb76a7160b1c1bd6b909b970391a2edcab .exe
[DETECTION] Is the TR/Inject.paz Trojan
[DETECTION] The file contains an executable program that is disguised by a harmless file extension (HIDDENEXT/Worm.Gen)
azB001JBOIQ6.zip
[0] Archive type: ZIP
--> azB001JBOIQ6.exe
[DETECTION] Is the TR/Inject.paz Trojan
4b3e8d9c0o7a1p5n6i0g7m\4b3e8d9c0o7a1p5n6i0g7m.exe
[DETECTION] Is the TR/Inject.nnh Trojan
9c82c7fb76a7160b1c1bd6b909b970391a2edcab\9c82c7fb76a7160b1c1bd6b909b970391a2edcab.exe
[DETECTION] Is the TR/Inject.paz Trojan
azB001JBOIQ6\azB001JBOIQ6.exe
[DETECTION] Is the TR/Inject.paz Trojan
101:名無しさん@お腹いっぱい。
09/03/04 01:07:51
>>98
avast!4.8
4b3e8d9c0o7a1p5n6i0g7m\4b3e8d9c0o7a1p5n6i0g7m.exe:Win32:Trojan-gen {Other}
4b3e8d9c0o7a1p5n6i0g7m.zip\4b3e8d9c0o7a1p5n6i0g7m.exe:Win32:Trojan-gen {Other}
9c82c7fb76a7160b1c1bd6b909b970391a2edcab\9c82c7fb76a7160b1c1bd6b909b970391a2edcab.exe:Win32:Trojan-gen {Other}
9c82c7fb76a7160b1c1bd6b909b970391a2edcab.zip\9c82c7fb76a7160b1c1bd6b909b970391a2edcab .exe:Win32:Trojan-gen {Other}
azB001JBOIQ6\azB001JBOIQ6.exe:Win32:Trojan-gen {Other}
azB001JBOIQ6.zip\azB001JBOIQ6.exe:Win32:Trojan-gen {Other}
102:名無しさん@お腹いっぱい。
09/03/04 01:14:27
>>98
PandaglobalProtection2009
ウイルス発見 : Trj/Inject.K
4b3e8d9c0o7a1p5n6i0g7m.zip[4b3e8d9c0o7a1p5n6i0g7m.exe]
4b3e8d9c0o7a1p5n6i0g7m\4b3e8d9c0o7a1p5n6i0g7m.exe
azB001JBOIQ6.zip[azB001JBOIQ6.exe]
9c82c7fb76a7160b1c1bd6b909b970391a2edcab.zip[9c82c7fb76a7160b1c1bd6b909b970391a2edcab
AZB001JBOIQ6\AZB001JBOIQ6.EXE
9C82C7FB76A7160B1C1BD6B909B970391A2EDCAB\9C82C7FB76A7160B1C1BD6B909B970391A2EDCAB.EXE
103:名無しさん@お腹いっぱい。
09/03/04 01:16:48
>>98
Rising 2009
4b3e8d9c0o7a1p5n6i0g7m\4b3e8d9c0o7a1p5n6i0g7m.exe: Trojan.Win32.Nodef.azl
4b3e8d9c0o7a1p5n6i0g7m.zip>>4b3e8d9c0o7a1p5n6i0g7m.exe: Trojan.Win32.Nodef.azl
104:名無しさん@お腹いっぱい。
09/03/04 01:20:25
>>98
ESETSmartSecurity3.0
4b3e8d9c0o7a1p5n6i0g7m.zip > ZIP > 4b3e8d9c0o7a1p5n6i0g7m.exe - Win32/PSW.Gamania.NBF トロイの木馬
9c82c7fb76a7160b1c1bd6b909b970391a2edcab.zip > ZIP > 9c82c7fb76a7160b1c1bd6b909b970391a2edcab .exe - Win32/PSW.Gamania.NBI トロイの木馬
azB001JBOIQ6.zip > ZIP > azB001JBOIQ6.exe - Win32/PSW.Gamania.NBI トロイの木馬
4b3e8d9c0o7a1p5n6i0g7m\4b3e8d9c0o7a1p5n6i0g7m.exe - Win32/PSW.Gamania.NBF トロイの木馬
9c82c7fb76a7160b1c1bd6b909b970391a2edcab\9c82c7fb76a7160b1c1bd6b909b970391a2edcab.exe - Win32/PSW.Gamania.NBI トロイの木馬
azB001JBOIQ6\azB001JBOIQ6.exe - Win32/PSW.Gamania.NBI トロイの木馬
105:名無しさん@お腹いっぱい。
09/03/04 01:27:43
>>98
NortonInternetSecurity2009
Suspicious.MH690.A:PraXd5PFspm1Zdy2.exe
Trojan Horse:4b3e8d9c0o7a1p5n6i0g7m.zip、4b3e8d9c0o7a1p5n6i0g7m\4b3e8d9c0o7a1p5n6i0g7m.exe
106:名無しさん@お腹いっぱい。
09/03/04 15:26:50
ところで、トレンドマイクロの人は最近あまりみないね。
バスターユーザー以外は、誰も提出していない悪寒。〒で送るの('A`)マンドクセw
あと、キングソフト、ZEROは全く来ないね
107:名無しさん@お腹いっぱい。
09/03/04 15:38:37
>>106
そうですね~
最近は全く見ないですね
あとAVGの人も見なくなった
逆にRisingとカスペの人は頑張ってますね
で、AntiVirとPandaとNortonとavast!とESET使いの私ですが私ももう少しで大きな仕事が始まるので検出報告してる暇が少なくなると思います
でも出来るだけ報告するつもりでいますが検体提出はその間は皆様よろしくお願いします
6月過ぎればまた落ち着いて検出報告することができると思いますのでそのときはまたよろしくお願いします
108:名無しさん@お腹いっぱい。
09/03/04 17:15:14
>>106
投稿だけは英文フォームからやってるよ。返事が遅いのと、いつ提出の分だか確認するのが面倒なので
返答来ても放置してる。検出名も1つしかこないし。
キングソフトは、返答来てるよ。但し、まとめて処理してる模様で、受理と返答がまとめてきたりする。
検出名も1つだけしか回答してこないので、(キングを使ってないから)対応の返答後の報告もやっぱりスルー。
土日はお休みらしく、金曜~の提出分がまとめて月曜に届いたな。
※ キングソフトのフォームからの投稿では、メールタイトル固定になってるので、返答の来るアドレスに
メールで投げるようにしたら、それでも対応してくれている模様。
109:名無しさん@お腹いっぱい。
09/03/04 18:52:18
>>107
5つですか。
乙です。
Avira, ノートンは代わりが見つかりそうですが。
残りは放置されていてヒマだったら代理提出しておきます。
110:名無しさん@お腹いっぱい。
09/03/04 22:25:09
111:名無しさん@お腹いっぱい。
09/03/04 23:17:10
>>98
BitDefender返答 (3/3+破損分 0/1)で全検出OK
2種類は既知。1つは破損。気にせずガンガン送ってくれ。(意訳?)
First 2 already detected. Last one is damaged.
Please do not hesitate to send us even more suspect/infected files in the future.
azB001JBOIQ6.zip : Trojan.Generic.1450561
9c82c7fb76a7160b1c1bd6b909b970391a2edcab.zip : Trojan.Generic.1450561
4b3e8d9c0o7a1p5n6i0g7m.zip : Trojan.Generic.1356583
PraXd5PFspm1Zdy2.zip : 破損してるのでスルー
112:名無しさん@お腹いっぱい。
09/03/04 23:51:40
>>107
前にAviraの報告&提出していたものですが、107さんのほうが早く報告とかされていたため、
最近疎かになっていましたが、忙しいようでしたらAviraに関しては代わりにやっておきますよ。
113:名無しさん@お腹いっぱい。
09/03/04 23:54:58
>>107
avast! なら代りに提出できます。
ただ、JCOM 一本なので規制にまきぞえ食らうときがあるのですが・・・
114:名無しさん@お腹いっぱい。
09/03/05 00:28:02
>>107
AVGを提出していた一人ですが、Avast!に乗り換えました><
115:名無しさん@お腹いっぱい。
09/03/05 00:29:49
VIRUSTOTALでスキャンしたら各アンチウイルスベンダーにファイルを送るって書いてあるけど
ちゃんと機能してないのかね
俺らが送らなくても良さそうだけど
送らないと対応しないよな
116:名無しさん@お腹いっぱい。
09/03/05 00:34:59
>>115
> VIRUSTOTALでスキャンしたら各アンチウイルスベンダーにファイルを送るって書いてあるけど
> ちゃんと機能してないのかね
そんなこと、どこに書いてあるんだ?
VirusTotal について URLリンク(www.virustotal.com)
117:名無しさん@お腹いっぱい。
09/03/05 00:53:46
>>115 送られてるはず。
clamAVから返事が来たとき、対応状況に他人の送ったウイルスが併記されてたんだが、そこにVirustotalとあった。
118:名無しさん@お腹いっぱい。
09/03/05 00:58:13
どうゆう条件で送ってるのかよくわからんのよな
たとえば、一発でも、だいたい他社が検出してたら通報してるとか、
「よくわからないパッカ」で、同じのが数度うpされたら通報してるとか
119:名無しさん@お腹いっぱい。
09/03/05 01:00:18
書いてないのに送るわけ無いだろw
AV Comparativesとかは検出しなかった検体の一部をベンダーに送るって書いてあるけどな
120:名無しさん@お腹いっぱい。
09/03/05 01:06:30
>>119
前はあった気が、、、期待どおりに動いてない可能性が。
jottiは例外なく送ると明示している。
121:名無しさん@お腹いっぱい。
09/03/05 02:07:56
ちょっと前読んだからどっかに書いてあった
jottiには以前書いてあるの読んだから
VIRUSTOTALも書いてあるかと思って調べたから間違いない
消えたのか?
122:名無しさん@お腹いっぱい。
09/03/05 02:23:14
これのことだと思う。
URLリンク(www.virustotal.com)
Collection and use of submit samples and personal information
の節
必ず送るわけではないように読めるが、ちょっと自信がない。
123:名無しさん@お腹いっぱい。
09/03/05 02:23:21
ここだ
URLリンク(www.virustotal.com)
mayって書いてあるからほとんど機能しないのかもな
124:名無しさん@お腹いっぱい。
09/03/05 02:24:43
かぶった
実際は送ってない感じだね
プライバシーの問題とかもあるし
125:名無しさん@お腹いっぱい。
09/03/05 02:26:14
しかし送らないとなるとベンダーは何で参加してるんだろ
126:名無しさん@お腹いっぱい。
09/03/05 02:30:02
>>117
実際に機能してる例もあるんだね
直接送った方が対応が早いしより確実ってところか
127:名無しさん@お腹いっぱい。
09/03/05 03:17:41
>>123 だまされた気分だな
128:名無しさん@お腹いっぱい。
09/03/05 07:34:15
なんでまたVirusTotalはベンダーに送らないとか言い出してんの?
昔はベンダーには送らないというオプションが用意されてて
マルウェア作者に悪用されかねないからと
それが廃止されるということまであったろ…
129:名無しさん@お腹いっぱい。
09/03/05 07:45:03
ベンダーに送らないって言うオプションなんてあったのか
jottiはあったのは知ってるけど
130:名無しさん@お腹いっぱい。
09/03/05 08:02:36
昔はあったね。
ここの過去スレでもマルウェアの作者がアンチウイルスで検出されないか
事前にチェックするんじゃ?
とか色々言われてた気がする。
131:名無しさん@お腹いっぱい。
09/03/05 08:17:02
というか、>>122が指摘のとこに書いてあるのにな
正反対に読むなんてどんだけ…
VirusTotalに提供されたサンプルは保存され、セキュリティ企業に共有されるかもしれません
通常、VirusTotalに参加してる企業は、自分達のエンジンで検出しなかった
マルウェアに分類されたサンプルを受け取っています
適当に訳すとこんな感じでしょ
132:名無しさん@お腹いっぱい。
09/03/05 08:19:48
Prevxの受け付け窓口が無くなった(メールが届かなくなった)時に、問い合わせた返答でも
VirusTotalに投げてくれって回答だったから、ちゃんと送られてる筈だよ。
133:名無しさん@お腹いっぱい。
09/03/05 08:53:01
>>131
誰も正反対になんて読んでないだろ
ベンダーに送るのを知らない人がいるってだけ
134:名無しさん@お腹いっぱい。
09/03/05 09:08:10
VirusTotalがベンダーに送るのは書いてあるんだから良いんだよ
そんなことじゃなくて
あえておまえらは送る必要があるのかってことだろ
135:名無しさん@お腹いっぱい。
09/03/05 10:30:10
>>134
・対応速度が段違い。
・VirusTotalに投げたのは放置されていたが、提出したら対応された
・検出名の返答が返ってくる
・対応状況も含めたベンダーの善し悪しがある程度把握できる
などなど
136:名無しさん@お腹いっぱい。
09/03/05 12:23:37
>>128 言い直すと、おくってるには違いないけど、ぜんぶじゃないのかも?規則性は?みたいな雑談
137:名無しさん@お腹いっぱい。
09/03/05 14:18:31
>>131
例外なく送ってほしいわけだ。jottiみたいに。
138:名無しさん@お腹いっぱい。
09/03/06 01:15:00
URLリンク(tane.sakuratan.com)
infected
AntiVir, avast! 提出済み
139:名無しさん@お腹いっぱい。
09/03/06 01:16:14
>>138
1 23/39 URLリンク(www.virustotal.com)
2 24/39 URLリンク(www.virustotal.com)
3 12/39 URLリンク(www.virustotal.com)
4 14/39 URLリンク(www.virustotal.com)
5 16/38 URLリンク(www.virustotal.com)
6 20/39 URLリンク(www.virustotal.com)
7 23/39 URLリンク(www.virustotal.com)
8 21/39 URLリンク(www.virustotal.com)
9 15/39 URLリンク(www.virustotal.com)
10 20/38 URLリンク(www.virustotal.com)
140:名無しさん@お腹いっぱい。
09/03/06 01:16:54
>>138
AntiVir 9/10
1 TR/Spy.Gen
2 TR/Spy.Gen
3 TR/Dropper.Gen
4 TR/PSW.Flood.CL
5 スルー
6 TR/Dropper.Gen
7 TR/Midgare.umn
8 TR/ATRAPS.Gen
9 TR/ATRAPS.Gen
10 TR/Spy.ZBot.lxr
141:名無しさん@お腹いっぱい。
09/03/06 01:17:55
>>138
avast! 4.8 9/10
1 Win32:Delf-EQM
2 Win32:Agent-ADAS
3 Win32:Trojan-gen {Other}
4 スルー
5 Win32:Trojan-gen {Other}
6 Win32:Spyware-gen
7 Win32:Trojan-gen {Other}
8 Win32:Delf-DTW
9 Win32:Delf-DTW
10 Win32:Trojan-gen {Other}
142:名無しさん@お腹いっぱい。
09/03/06 01:33:40
Rising 2009 21.28.32 (21.19.32.00)
>>138
2\Camfrog 5.4.199.exe>>upx_c: Suspicious.Backdoor.Win32.Delgen.a
7\Nick.exe: Trojan.Win32.Midgare.hhn
2/10
検体提出完了
143:名無しさん@お腹いっぱい。
09/03/06 01:59:23
>>138乙
Symantecとa-squaredに提出しました
今夜はVirusTotal大荒れだねw
144:名無しさん@お腹いっぱい。
09/03/06 02:52:59
>>138 ㌧
カスペ2009 1:47:00
8/10 (3,4以外)
Trojan program Trojan-Dropper.Win32.Agent.airs /1/PS3.scr
virus HEUR:Trojan.Win32.Generic /2/Camfrog 5.4.199.exe
Trojan program Packed.Win32.Krap.k /5/ultra surf & 8[1].8 .exe
Trojan program Trojan-Spy.Win32.Flux.bbt /6/EngineCheat.exe
Trojan program Trojan.Win32.Midgare.uty /7/Nick.exe
Trojan program Trojan-Downloader.Win32.Banload.abwp /8/Slide-Videos.scr
virus HEUR:Trojan.Win32.Generic /9/snes.exe
Trojan program Trojan-Dropper.Win32.VB.iyk /10/Habbo Zeldha new 2009.exe
検体提出します。
145:名無しさん@お腹いっぱい。
09/03/06 05:21:19
>>138
McAfeeに提出させて頂ました。
146:名無しさん@お腹いっぱい。
09/03/06 17:52:33
各社に提出しましたと言って、いつも個別の提出先名を言わない横着な人です。こんばんわ。
>138も各社に提出かけときました。
Aviraに昨日と今日で都合6回検体提出したら、沢山送るから特別扱いするねって返事が来た。orz
1.FTPアカウントあげるからそこにUPする。エンジニアが毎日それをチェックする
2.エンジニア直送の提出先アドレスを用意する
どっちか選べ、どっちを選んでも、検出名称の回答はありません…だそうな。
そんな訳で、Aviraの(提出後の)検出状況報告は他の人にお任せします。
Premiumの人がいるぽいから大丈夫だと思うけど。
# 複数提出したのは、古いけどすり抜けてたものとか、どこぞの1.CSS~370.CSSが昨日と今日の2回更新されてたので
# 検出名は同じだろうけど、一応送ってみた奴です。あんまり古いのはこのスレでは扱わないとのことなので
# ここには持ち込んでないけどいらないよね?
147:144
09/03/06 19:10:11
>>138
カスペからの返事 (7:33)
8+事後検出1=9/10 、回答待ち1(4)
3\(3)_server.exe_ - Trojan-Dropper.Win32.Agent.aite
New malicious software was found in this file.
148:名無しさん@お腹いっぱい。
09/03/06 19:35:34
>>138
>>140で報告出てるけど、AntiVir全検出になってました。
但し、解凍して出てきた中身のu.exeだけスルーなので(外側、及び、Server.exeでは検知)
それだけ対応待ちかな。
ultra surf & 8[1].8/u.exe : スルー
149:名無しさん@お腹いっぱい。
09/03/06 21:03:31
>>146
Premium使いですこんばんは
現在はまだ仕事はないもののこちらでアンチウイルスの再編中でした
前まではこんな感じ
AviraPremiumSecurittSuite+avast!
Panda
Norton+ESET
現にこれでも問題なく動いて不具合なく快適なんですがどうも他のベンダーも試してみたいと思い試行錯誤を繰り返してるところです(基本的に仮想環境は利用しません、ただしマルウェア実行実験用としてRVSを導入してます)
併用による不具合やインストール時の競合製品の検出→削除等により新たに導入できるベンダーはKasperskyになりそうで逆にESETは削られる運命になりそうです(結局ベンダー数自体は変わりませんね)
ま、やってることはアホかと思いますがこれも個人の趣味なので何も言わないで下さい
ただKasperskyを導入したとはいえ既にKasperskyの報告をしてる方がおられるのでそちらの邪魔はしてはいけないと思うので私はKasperskyの検出報告や検体提出は一切しません
(AntiVirの件はPremiumとFreeでは検出内容が違うので積極的に報告してました。ESETは・・・・本当は自重するつもりでいたんですがつい勢いで検出報告してしまいました・・・Kasperskyは気をつけるようにします)
150:名無しさん@お腹いっぱい。
09/03/06 23:06:04
>>138
たぶんまだ報告が出ていない・・・はず(苦笑)
Eset NOD32 v3.0 定義3913
1\PS3.scr Win32/TrojanDropper.Delf.NMB トロイの木馬
10\Habbo Zeldha new 2009.exe Win32/Poison トロイの木馬
2\Camfrog 5.4.199.exe Win32/Genetikの亜種である可能性 トロイの木馬
3\(3) server.exe Win32/TrojanDropper.VB.NFZの亜種 トロイの木馬
4\18_wos_across_america_br[www.gamevicio.com.br].exe Win32/Agentの亜種である可能性 トロイの木馬
5\ultra surf & 8[1].8 .exe Win32/Bifrose.EY トロイの木馬
6\EngineCheat.exe Win32/Genetikの亜種である可能性 トロイの木馬
9\snes.exe Win32/Delf.NOX トロイの木馬
未検出ぶん2つはEsetへ提出済
151:144
09/03/06 23:48:01
>>138 (>>147)
カスペからの返事 19:48
8+事後1=9/10, 白1(4)でクローズ
4\18_wos_across_america_br[www.gamevicio.com.br].exe_
No malicious code was found in this file.
152: ◆W32/Vael.o
09/03/07 17:22:05
URLリンク(www.tane.sakuratan.com)
Malware-Pack64
例によってMcAfeeには提出済み
153:名無しさん@お腹いっぱい。
09/03/07 17:39:59
>152
AviraPremiumSecuritySuite
Malware\0\lsp.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\2\tapok.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\3\easttag.exe [DETECTION] Is the TR/Dldr.Delf.sdw Trojan
Malware\5\myfile.exe [DETECTION] Is the TR/PCK.Tdss.F.481 Trojan
Malware\7\InternetAntivirusPro2.exe [DETECTION] Is the TR/Drop.fra.1813933 Trojan
Malware\8\phr.png [DETECTION] Is the TR/Dropper.Gen Trojan
avast!4.8
Malware\0\lsp.exe:Win32:Rootkit-gen [Rtk]
Malware\1\setup.dat\xppolice.exe:Win32:Crypt-DIP [Trj]
Malware\2\tapok.exe:Win32:Trojan-gen {Other}
NortonInternetSecurity2009
Packed.Generic.200:Malware\5\myfile.exe
Suspicious.MH690.A:Malware\0\lsp.exe、Malware\8\phr.png
Trojan Horse:Malware\2\tapok.exe
154:名無しさん@お腹いっぱい。
09/03/07 17:46:55
>>152
PandaGloablProtection2009
ウイルス発見 : Trj/Sinowal.DW:MALWARE\2\TAPOK.EXE
アドウェアを検出 : Adware/XPPolice:Malware\1\setup.dat
ウイルス発見 : Trj/CI.A:Malware\0\lsp.exe
疑わしいファイル:Malware\5\myfile.exe
検体提出は前の宣言どおり提出は行わないので代理検体提出よろしくお願いします
155:名無しさん@お腹いっぱい。
09/03/07 17:53:10
>>152
a-squared Free - バージョン 4.0
マルウェアシグネチャ:2,879,401
setup.dat 検出: Trojan.Fakeav!IK
tapok.exe 検出: Trojan.Obfuscater!IK
easttag.exe 検出: Trojan-Dropper.Delf!IK
myfile.exe 検出: Rootkit.Win32.TDSS!IK
phr.png 検出: Trojan-Spy.Banker!IK
5/12 未検出の検体をemsiに提出してきます
156:名無しさん@お腹いっぱい。
09/03/07 17:57:25
>>152乙
NIS2009で4/12(0、2、5、8)検出
これからSymantecへ贈ります
157:名無しさん@お腹いっぱい。
09/03/07 18:07:47
>>152
0 URLリンク(www.virustotal.com)
1 URLリンク(www.virustotal.com)
2 URLリンク(www.virustotal.com)
3 URLリンク(www.virustotal.com)
4 URLリンク(www.virustotal.com)
5 URLリンク(www.virustotal.com)
6 URLリンク(www.virustotal.com)
7 URLリンク(www.virustotal.com)
8 URLリンク(www.virustotal.com)
9 URLリンク(www.virustotal.com)
a URLリンク(www.virustotal.com)
b URLリンク(www.virustotal.com)
158:名無しさん@お腹いっぱい。
09/03/07 18:48:58
>>152 ㌧
カスペ2009 18:08:00
7/12 (0,2,3,5,9,a,b)
検体提出します。
Detected Trojan program Trojan-Dropper.Win32.Agent.aiub /0/lsp.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.orc /2/tapok.exe
Detected Trojan program Trojan-Downloader.Win32.Delf.sdw /3/easttag.exe
Detected Trojan program Packed.Win32.Tdss.f /5/myfile.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.pag /9/555_cr.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.aitu /a/ftpgrb.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.dsn /b/InstallAVg_77107310.exe
159:名無しさん@お腹いっぱい。
09/03/07 19:54:40
>>152
Rising 2009 21.28.52 (21.19.52.00)
0\lsp.exe: Trojan.Win32.Nodef.evf
送ってきます
160:名無しさん@お腹いっぱい。
09/03/07 19:55:16
>>152
夕飯の後にでも各社に提出しときます。
setup.datを解凍して出てくる AVCoreFn.dll と Core.dll の検出率があんまり良くない様子。
BitDefender10Free
myfile.exe : Gen:Trojan.Heur.TDSS.10708F9F9F
vcard.exe : Trojan.Waledac.Gen.1
AntiVirFree
easttag.exe : TR/Dldr.Delf.sdw Trojan
InternetAntivirusPro2.exe : TR/Drop.fra.1813933 Trojan
JVREP_setup3.exe : Suspicious File(eSafe)
lsp.exe : TR/Crypt.XPACK.Gen Trojan
myfile.exe : TR/PCK.Tdss.F.481 Trojan
phr.png : TR/Dropper.Gen Trojan
setup.dat : TR/Fake.XPPol.1 Trojan
tapok.exe : TR/Crypt.XPACK.Gen Trojan
setup/xppolice.exe : TR/Dropper.Gen Trojan
161:名無しさん@お腹いっぱい。
09/03/07 20:33:12
>>152
NOD32 v3.0 定義3916
6/11
0\lsp.exe win32/FakeInit.G トロイの木馬
1\setup.dat__________win32/Adware.XPPoliceAntivirus アプリケーション
2\tapok.exe_________win32/Spy.Zbot.JF トロイの木馬
3\easttag.exe_______win32/TrojanDownloader.Delf.SDW トロイの木馬
5\myfile.exe_________win32/TrojanDownloader.Small.OJH トロイの木馬
9\555_cr.exe_________win32/Kryptik.JXの亜種 トロイの木馬
a\ftpgrb.exe__________win32/TrojanDropper.Agent.NWD トロイの木馬
未検出ぶん5ファイルをEsetへ提出しました。
162:158
09/03/08 00:40:29
>>152
カスペからの返事
7+事後2=9/12 (0-3, 5 ,7 ,9-b)、破損1(6),白(4)、回答待ち1(8)
7\InternetAntivirusPro2.exe_ - not-a-virus:FraudTool.Win32.InternetAntivirusPro.f
1\setup.dat - not-a-virus:FraudTool.Win32.XpPoliceAntivirus.z
New malicious software was found in the attached file.
6\vcard.exe_ - This file is corrupted.
4\JVREP_setup3.exe_ - No malicious code was found in this file.
163:158
09/03/08 00:43:25
>>152 (>>162)
カスペからの返事、今来た。
7+事後3=10/12 (0-3, 5 ,7 ,8-b)、破損1(6),白1(4)
8\phr.png - Trojan-Downloader.Win32.Delf.shs
164:名無しさん@お腹いっぱい。
09/03/10 02:01:13
Rising 2009 21.29.02 (21.20.02.00)
>>tane0239
Angel2.exe: Worm.Win32.VB.tj
boot.com: Worm.Win32.Autorun.fgl
Hm211.scr>>Overlay: Trojan.Win32.Nodef.fgu
17+3=20/28
>>41
1\Install_200002_-1_.exe: Trojan.Win32.FakeAV.hr
11+1=12/12
>>152
2\tapok.exe: Trojan.Win32.Nodef.fga
1+1=2/12
165:名無しさん@お腹いっぱい。
09/03/11 01:41:49
URLリンク(tane.sakuratan.com)
infected
>146の件でftp用意してもらったので、なんか送るものないか探してみました。
ちょっと古いのも混ざってますが、すり抜けてるベンダーもあるので、いいかなとかなんとか。
Aviraには提出済み。
他の各社は、探すだけで疲れちゃったので一休みしてからにします。(o_ _)o ぱたり
166:名無しさん@お腹いっぱい。
09/03/11 02:13:07
>>165
Rising 2009 21.29.14 (21.20.14.00)
cyokinde\10155326p\10155326p.exe: Trojan.Win32.Undef.ktb
10155326p.rarも同上
cyokinde\16498897649\16498897649.EXE>>upack0.32>>CABINET>>ffxi.exe>>upack0.32: Trojan.Win32.Agent.zri
cyokinde\16498897649\16498897649.EXE>>upack0.32>>CABINET>>ie.exe>>upack0.32: Trojan.Win32.Agent.zri
cyokinde\16498897649\16498897649.EXE>>upack0.32: <Unknown virus>
16498897649.rarも同上
excitysjp\879620546\976662.exe: Trojan.Win32.Nodef.fji
879620546.zipも同上
gomenifty\skywebsv\Ms06014.htm, MS06042.htm, MS07004.htm, office.htm: Packer.Win32.JS.Cross.a
syllabuschukyo-uac\home.pif>>upack0.39: Trojan.Win32.Nodef.tt
15/25
167:名無しさん@お腹いっぱい。
09/03/11 02:53:11
あ、そうか。忘れてた。
>>165 AntiVirFree
cyokinde/10155326p/10155326p.exe : TR/Inject.dzc Trojan
cyokinde/10155326p.rar : TR/Inject.dzc Trojan
cyokinde/16498897649/16498897649.EXE : DR/Agent.qtj.1 dropper
cyokinde/16498897649.rar : DR/Agent.qtj.1 dropper
excitysjp/879620546/976662.exe : TR/Inject.prz Trojan
excitysjp/879620546.zip : TR/Inject.prz Trojan
excitysjp/Blog.htm : EXP/Ascii.CA exploit
gomenifty/web.htm : -
gomenifty/skywebsv/Ms06014.htm : -
gomenifty/skywebsv/MS06042.htm : -
gomenifty/skywebsv/MS07004.htm : -
gomenifty/skywebsv/office.htm : -
HTML/antersd38fc2.com.htm : -
HTML/exandak.htm : HTML/Infected.WebPage.Gen HTML script virus
HTML/ff11scribble.htm : -
HTML/rsprincess.htm : -
mm-tw/PTWoman_V2.1.exe : TR/Dropper.Gen Trojan
mm-tw/PTWoman_V2.1/bb.exe : TR/Dropper.Gen Trojan
syllabuschukyo-uac/home.pif : -
wokutonoken-online/mpg.scr : TR/Dropper.Gen Trojan
wokutonoken-online/mpg/1199.exe : DR/PcClient.Gen dropper
168:名無しさん@お腹いっぱい。
09/03/11 11:27:33
>>165 ㌧
カスペ2009@10:31:00
14/21 検体(7つ)提出します。
Backdoor.Win32.Agent.aber /syllabuschukyo-uac/home.pif
Trojan-GameThief.Win32.OnLineGames.usiq /mm-tw/PTWoman_V2.1/bb.exe
Trojan-GameThief.Win32.OnLineGames.usiq /mm-tw/PTWoman_V2.1.exe
Trojan-Downloader.JS.Iframe.aab /HTML/antersd38fc2.com.htm
Trojan.JS.Agent.pz /gomenifty/skywebsv/office.htm
Trojan.JS.Agent.py /gomenifty/skywebsv/MS07004.htm
Exploit.JS.Agent.acu /gomenifty/skywebsv/MS06042.htm
Trojan-Downloader.JS.Agent.dpt /gomenifty/skywebsv/Ms06014.htm
Trojan.Win32.Inject.prz /excitysjp/879620546/976662.exe
Trojan.Win32.Inject.prz /excitysjp/879620546.zip/976662.exe
Backdoor.Win32.Agent.qtj /cyokinde/16498897649/16498897649.EXE
Backdoor.Win32.Agent.qtj /cyokinde/16498897649.rar/16498897649.EXE
Trojan.Win32.Inject.dzc /cyokinde/10155326p/10155326p.exe
Trojan.Win32.Inject.dzc /cyokinde/10155326p.rar/10155326p.exe
169:名無しさん@お腹いっぱい。
09/03/11 12:05:46
>>165
a-squared Free - バージョン 4.0
マルウェアシグネチャ;2,980,550
10155326p.exe 検出: PWS.Win32.Magania!IK
10155326p.rar/10155326p.exe 検出: PWS.Win32.Magania!IK
16498897649.EXE 検出: Email-Worm.Win32.Bagz!IK
16498897649.rar/16498897649.EXE 検出: Email-Worm.Win32.Bagz!IK
976662.exe 検出: Trojan.Win32.Inject!IK
879620546.zip/976662.exe 検出: Trojan.Win32.Inject!IK
Blog.htm 検出: Virus.HTML.CVE.2006!IK
Ms06014.htm 検出: HTML.Downloader!IK
MS06042.htm 検出: Exploit.JS.Agent!IK
MS07004.htm 検出: Exploit.JS.Agent!IK
office.htm 検出: HTML.Downloader!IK
web.htm 検出: Virus.VBS.Obfuscated!IK
PTWoman_V2.1.exe 検出: Trojan-GameThief.Win32.OnLineGames!IK
1199.exe 検出: Trojan.Crypt!IK
mpg.scr 検出: Trojan-Spy.Win32.FlyStudio!IK
rsprincess.htm 検出: Trojan.HTML.Frame!IK
16/23 未検出の検体をemsiに提出してきます
170:168
09/03/11 14:36:38
>>165
カスペからの返事
14+追加検出4=18/21(白3)でFA
web.htm_ - Trojan-Downloader.JS.Iframe.a
exandak.htm - Trojan-Downloader.HTML.IFrame.yj
mpg.scr, 1199.exe - Backdoor.Win32.PcClient.aevq
New malicious software was found in this file.
Blog.htm_ , ff11scribble.htm, rsprincess.htm
No malicious code was found in this file
171:名無しさん@お腹いっぱい。
09/03/11 14:43:27
>>165乙
Symantecへ贈りました
172:名無しさん@お腹いっぱい。
09/03/11 17:24:35
>>165
Rising返答
1. bb■exe : Trojan.PSW.Win32.GameOL.vya
2. 1199■exe : Backdoor.Win32.PcClient.rsv
3. 976662■exe : Trojan.Win32.Nodef.fji
4. 879620546■zip : Trojan.Win32.Nodef.fji
5. MS07004■htm : Packer.Win32.JS.Cross.a
6. Ms06014■htm : Packer.Win32.JS.Cross.a
7. home■pif : Trojan.Win32.Nodef.tt
8. 10155326p■exe : Trojan.Win32.Undef.ktb
9. 10155326p■rar : Trojan.Win32.Undef.ktb
10. 16498897649■EXE : Trojan.Win32.Agent.zri
11. 16498897649■rar : Trojan.Win32.Agent.zri
12. antersd38fc2■com■htm : No malware.
13. exandak■htm : No malware.
14. ff11scribble■htm : No malware.
15. MS06042■htm : No malware.
16. Blog■htm : No malware.
17. office■htm : No malware.
18. web■htm : No malware.
19. rsprincess■htm : No malware.
20. PTWoman_V2■1■exe : Trojan.PSW.Win32.GameOL.vya
21. mpg■scr : Backdoor.Win32.PcClient.rsv
173:名無しさん@お腹いっぱい。
09/03/11 17:36:57
>>165
excitysjpフォルダの
879620546zip
マルチボリュームセットの最後のディスクを要求されるけど何?
解凍出来ないけど
174:166
09/03/11 19:05:41
>>165
Rising 2009 21.29.22 (21.20.22.00)
mm-tw\PTWoman_V2.1\bb.exe: Trojan.PSW.Win32.GameOL.vya
mm-tw\PTWoman_V2.1.exe>>bb.exe: Trojan.PSW.Win32.GameOL.vya
wokutonoken-online\mpg\1199.exe: Backdoor.Win32.PcClient.rsv
wokutonoken-online\mpg.scr>>1199.exe: Backdoor.Win32.PcClient.rsv
15+4=19/25
175:名無しさん@お腹いっぱい。
09/03/11 23:11:14
URLリンク(tane.sakuratan.com)
infected
0 18/39 URLリンク(www.virustotal.com)
1 18/39 URLリンク(www.virustotal.com)
2 22/38 URLリンク(www.virustotal.com)
3 15/39 URLリンク(www.virustotal.com)
4 21/39 URLリンク(www.virustotal.com)
5 23/39 URLリンク(www.virustotal.com)
6 23/39 URLリンク(www.virustotal.com)
7 6/39 URLリンク(www.virustotal.com)
8 11/39 URLリンク(www.virustotal.com)
9 9/39 URLリンク(www.virustotal.com)
176:名無しさん@お腹いっぱい。
09/03/11 23:12:33
>>175
AntiVir (10/10)
0 TR/Dropper.Gen
1 TR/Dropper.Gen
2 DR/Delphi.Gen
3 TR/Dropper.Gen
4 DR/Delphi.Gen
5 TR/Dldr.Delphi.Gen
6 DR/Delphi.Gen
7 TR/Sonat.298271
8 TR/Agent.buag.6
9 TR/Dropper.Gen
177:名無しさん@お腹いっぱい。
09/03/11 23:13:41
>>175
avast! (7/10 : 提出済み)
0 Win32:Trojan-gen {Other}
1 Win32:Trojan-gen {Other}
2 Win32:Trojan-gen {Other}
3 スルー
4 Win32:Trojan-gen {Other}
5 Win32:Rootkit-gen
6 Win32:Trojan-gen {Other}
7 スルー
8 Win32:Trojan-gen {Other}
9 スルー
178:名無しさん@お腹いっぱい。
09/03/11 23:17:18
>>173
excitysjp/879620546■zip を解凍した奴が excitysjp/879620546/976662■exe で壊れてない筈。
うちでは解凍時にエラー出ませんでした。
原本入手元↓どちらも同じバイナリです。
URLリンク(www)<)■excitysjp■com/Web/879620546■zip
壊れてると思うなら直接入手してみてくださいな。
179:名無しさん@お腹いっぱい。
09/03/11 23:39:16
Rising 2009 21.29.24 (21.20.24.00)
>>152
3\easttag.exe>>upx_c: Trojan.DL.Win32.Mnless.clr
5\myfile.exe: Trojan.DL.Win32.Mnless.cls
2+2=4/12
>>175
1\CAMFROG 5.5.SCR>>mian007: Packer.Win32.Mian007.a
解凍中にパッカー検出
解凍後はスルー
Risingに提出完了
180:名無しさん@お腹いっぱい。
09/03/11 23:47:27
>>175
検体提出します。
カスペ2009@22:28:00
4/10 (0,1,5,8)
2009/03/11 23:37:39 Detected Trojan program Backdoor.Win32.Poison.vix /0/9a7ba.jpg.scr/picture.exe
2009/03/11 23:37:39 Detected Trojan program Backdoor.Win32.Bifrose.apvw /1/Camfrog 5.5.scr
2009/03/11 23:37:55 Detected virus HEUR:Trojan-Downloader.Win32.Generic /5/Slide-Videos.scr
2009/03/11 23:38:09 Detected Trojan program Trojan.Win32.Agent.buag /8/SkypePlus.exe
181:名無しさん@お腹いっぱい。
09/03/11 23:48:44
>>175乙
Symantecとa-squaredに提出しました
182:名無しさん@お腹いっぱい。
09/03/11 23:49:38
NOD32 v3.0 定義3926
>>165
1199.exe________Win32/PcClientの亜種 トロイの木馬
mpg.scr_________Win32/PcClientの亜種 トロイの木馬
home.pif________Win32/Agent.ORE トロイの木馬
976662.exe______Win32/Injector.JRの亜種 トロイの木馬
16498897649.EXE_Win32/PSW.Delf.NMH トロイの木馬
10155326p.exe___Win32/PSW.Gamania.NAM トロイの木馬
rarやzipは解凍時に検出、htmlは全部未検出
>>175
Slide-Videos.scr____Win32/TrojanDownloader.Delf.OQHの亜種 トロイの木馬
>>175の検出率はひどい。
183:名無しさん@お腹いっぱい。
09/03/12 00:01:37
>>175
McAfeeに提出させて頂ました。
184:名無しさん@お腹いっぱい。
09/03/12 00:04:30
>>178
どもです
185:名無しさん@お腹いっぱい。
09/03/12 00:05:40
>>165
McAfeeに提出させて頂ました。
186:名無しさん@お腹いっぱい。
09/03/12 00:12:34
>>165
avast! 13/21
未検出の 8つ 提出させていただきました。
10155326p.exe * Win32:Trojan-gen {Other}
10155326p.rar * Win32:Trojan-gen {Other}
16498897649.EXE * Win32:Agent-AAPM [Trj]
16498897649.rar * Win32:Agent-AAPM [Trj]
976662.exe * Win32:Trojan-gen {Other}
879620546.zip * Win32:Trojan-gen {Other}
Blog.htm * HTML:CVE-2006-3227 [Expl]
web.htm * VBS:Obfuscated-gen [Trj]
bb.exe * Win32:Trojan-gen {Other}
PTWoman_V2.1.exe * Win32:Trojan-gen {Other}
home.pif * Win32:Rootkit-gen [Rtk]
mpg.scr * Win32:Trojan-gen {Other}
1199.exe * Win32:Downloader-AZY [Trj]
187:名無しさん@お腹いっぱい。
09/03/12 12:09:22
URLリンク(tane.sakuratan.com)
infected
提出用に適度なサイズに分割したものをまとめてあります。中身も解凍パスは同じでinfected。
AntiVirには提出済み…なんだけど、まだ処理してないぽい(苦笑)
188:名無しさん@お腹いっぱい。
09/03/12 12:45:12
Rising 2009 21.29.30 (21.20.30.00)
>>179
>20090312_1_m1
ARK163.tmp: Backdoor.Win32.PcClient.rsh
AVI\1199.exe: Backdoor.Win32.PcClient.rmu
playtion.pif>>upack0.39: Trojan.Win32.Nodef.tt
playtion.pif>>Overlay>>upx_c: Backdoor.Win32.PcClient.qck
play_0225\1199.exe: Backdoor.Win32.PcClient.rmu
play_0310\1199.exe: Backdoor.Win32.PcClient.rsv
red000\0808033566_5linmovesmm.scr>>013.exe: Trojan.DL.Win32.Undef.cbr
red000.zip>>0808033566_5linmovesmm.scr>>013.exe: Trojan.DL.Win32.Undef.cbr
redstone\0808033566_5linmovesmm.scr>>013.exe: Trojan.DL.Win32.Undef.cbr
redstone.zip>>0808033566_5linmovesmm.scr>>013.exe: Trojan.DL.Win32.Undef.cbr
Start\1199.exe: Backdoor.Win32.PcClient.rtb
ubdlqw.sys: RootKit.Win32.FileHidder.c
>20090312_1_m2
AVI.pif>>1199.exe: Backdoor.Win32.PcClient.rmu
>20090312_1_m4
play.exe>>1199.exe: Backdoor.Win32.PcClient.rsv
>20090312_1_m5
play.scr>>1199.exe: Backdoor.Win32.PcClient.rmu
>20090312_1_m6
Start.pif>>1199.exe: Backdoor.Win32.PcClient.rtb
15/27
検体提出はサーバが落ちてるので後ほど
189:188
09/03/12 12:50:02
>>188アンカー訂正
>>187
190:名無しさん@お腹いっぱい。
09/03/12 14:55:50
>>187 ㌧
カスペ2009 14:17:00
17/25
検体提出します。
Backdoor.Win32.PcClient.adzk AVI/1199.exe
Backdoor.Win32.PcClient.aevq chaos/gem8080.exe
Trojan.HTML.Agent.bj html/jbbs578601.htm
Trojan-Downloader.JS.Agent.dqy html/flash081205.htm
Trojan-Downloader.JS.Agent.dry html/12.htm
Backdoor.Win32.PcClient.aeqh play_0225/1199.exe
Backdoor.Win32.PcClient.aevq play_0310/1199.exe
Backdoor.Win32.PcClient.aeut Start/1199.exe
Trojan-GameThief.Win32.Magania.akzj redstone.zip/0808033566_....scr
Trojan-GameThief.Win32.Magania.akzj red000.zip/0808033566_....scr
Backdoor.Win32.Agent.aber playtion.pif
Trojan-Dropper.Win32.Mudrop.mx ubdlqw.sys
Backdoor.Win32.PcClient.adzk /m2.zip/AVI.pif
Backdoor.Win32.PcClient.aevq /m3.zip/chaos.pif
Backdoor.Win32.PcClient.aevq //m4.zip/play.exe
Backdoor.Win32.PcClient.aeqh /m5.zip/play.scr
Backdoor.Win32.PcClient.aeut /m6.zip/Start.pif
191:180
09/03/12 15:16:31
検体名:>>175
カスペからの返事
4+事後検出2=6/10(0,1,3,5,8,9),白1(7),回答待ち3(2,4,6)
9\ana_9vxTMsvs73t9h8qE5moK.exe_ - Backdoor.Win32.Poison.vmd
3\meshmesha.scr_ - Trojan.Win32.VB.kqa
5\Slide-Videos.scr_ - Trojan-Downloader.Win32.Banload.acdc (←HEUR:Trojan-Downloader.Win32.Generic)
New malicious software was found in this file.
7\Yahoo pass recover.exe_ - No malicious code was found in this file.
192:名無しさん@お腹いっぱい。
09/03/12 16:58:17
>>175
McAfee自動返答。検知2つだけ。
1.exe |inconclusive | | |no
9a7ba.jpg.scr |inconclusive | | |no
ana_9vxtmsvs73t9h8qe|inconclusive | | |no
camfrog 5.5.scr |current detection |backdoor-cep.svr |Trojan |no
hillary clinton's as|inconclusive | | |no
meshmesha.scr |inconclusive | | |no
obama's budget plan.|inconclusive | | |no
picture.exe |inconclusive | | |no
skypeplus.exe |inconclusive | | |no
slide-videos.scr |current detection |generic downloader.x |Trojan |no
u.s., pakistan and a|inconclusive | | |no
yahoo pass recover.e|inconclusive | | |no
193:名無しさん@お腹いっぱい。
09/03/12 17:15:00
>>187
McAfeeに提出させて頂ました。
194:名無しさん@お腹いっぱい。
09/03/12 17:21:01
>>187乙
Symantecとa-squaredに提出しました
195:名無しさん@お腹いっぱい。
09/03/12 17:29:22
>>187
=== BitDefenderFree(24/29) ===
ARK163■tmp : Trojan.Crypt.DG
AVI/1199■exe : Trojan.Crypt.DG
AVI■pif : Dropped:Backdoor.PCClient.TCH
chaos/gem8080■exe : Backdoor.PCClient.TCH
chaos■pif : Dropped:Backdoor.PCClient.TCH
html/12■htm : Trojan.Script.8255
html/12_decord■htm : -
html/296071■js : -
html/flash081205■htm : Trojan.Downloader.JS.Agent.F
html/jbbs578601■htm : -
html/link■htm : Trojan.HTML.Frame.A
html/pifts_exe■html : -
html/teacupa■htm : -
play■exe : Dropped:Backdoor.PCClient.TCH
play■scr : Dropped:Backdoor.PCClient.TCH
playtion■pif : Trojan.Generic.1390866
play_0225/1199■exe : Trojan.Crypt.DG
play_0310/1199■exe : Backdoor.PCClient.TCH
red000/0808033566_5linmovesmm■scr : Dropped:Generic.PWStealer.055788C1
red000/013■exe : Dropped:Trojan.PWS.Agent.SGY
red000■zip : Dropped:Generic.PWStealer.055788C1
redstone/0808033566_5linmovesmm■scr : Dropped:Generic.PWStealer.055788C1
redstone/013■exe : Dropped:Trojan.PWS.Agent.SGY
redstone■zip : Dropped:Generic.PWStealer.055788C1
Start/1199■exe : Backdoor.PCClient.TCH
Start■pif : Dropped:Backdoor.PCClient.TCH
ubdlqw■sys : Backdoor.PCClient.1
wmv/1199■exe : Backdoor.PCClient.TCH
wmv■pif : Dropped:Backdoor.PCClient.TCH
196:名無しさん@お腹いっぱい。
09/03/12 17:29:53
>>187
=== AntiVir Free(23/29) ===
ARK163■tmp : (harmful) BDS/Backdoor.Gen back-door program
AVI/1199■exe : DR/PcClient.Gen dropper
AVI■pif : DR/PcClient.agv dropper
chaos/gem8080■exe : DR/PcClient.Gen dropper
chaos■pif : TR/Dropper.Gen Trojan
html/12■htm : JS/Agent.RR Java script virus
html/12_decord■htm : -
html/296071■js : -
html/flash081205■htm : HTML/IFrame.abe HTML script virus
html/jbbs578601■htm : -
html/link■htm : -
html/pifts_exe■html : -
html/teacupa■htm : -
play■exe : TR/Dropper.Gen Trojan
play■scr : DR/PcClient.agv dropper
playtion■pif : (harmful) BDS/Agent.aber.45 back-door program
play_0225/1199■exe : DR/PcClient.Gen dropper
play_0310/1199■exe : DR/PcClient.Gen dropper
red000/0808033566_5linmovesmm■scr : DR/PSW.Magania.akzj.2 dropper
red000/013■exe : TR/ATRAPS.Gen Trojan
red000■zip : TR/ATRAPS.Gen Trojan
redstone/0808033566_5linmovesmm■scr : DR/PSW.Magania.akzj.2 dropper
redstone/013■exe : TR/ATRAPS.Gen Trojan
redstone■zip : TR/ATRAPS.Gen Trojan
Start/1199■exe : DR/PcClient.Gen dropper
Start■pif : TR/Dropper.Gen Trojan
ubdlqw■sys : TR/Rootkit.Gen Trojan
wmv/1199■exe : DR/PcClient.Gen dropper
wmv■pif : TR/Dropper.Gen Trojan