09/05/19 19:51:02
>>15乙
Symantecとa-squaredとMalwarebytesに提出済みです
>>1さん
>>4
*裏技:シマへは圧縮フォルダ×2回(*7zip-PPMd圧縮)で実はツメホーダイだが、対応が確実に遅くなるので非推奨
だいたい30分以内には更新が届くので、圧縮形式自体は実はたいした問題ではないのです。
僕はこの方法で数万回提出していますw
19:名無しさん@お腹いっぱい。
09/05/19 19:56:39
>>15
McAfeeに提出させて頂きました。
20:名無しさん@お腹いっぱい。
09/05/19 20:00:16
Rising 2009 21.39.12 (21.30.12.00)
>>15
play\1199.exe: Backdoor.Win32.PcClient.tvj
play\play.scr>>1199.exe: Backdoor.Win32.PcClient.tvj
RisingにHTML提出完了
21:名無しさん@お腹いっぱい。
09/05/19 20:26:16
>>18
(えー
わたしが送ったときは、自動返答のCLOSEが1ヶ月後だったのに…
22:18
09/05/19 20:58:08
>>21
ウチの郵便受けです。さながら地獄ですねw
URLリンク(f.imagehost.org)
23:名無しさん@お腹いっぱい。
09/05/19 21:46:46
GENOのサイト踏んだときにダウンロードしたexeってここに出せばいいの?
誘導されてきたんだが
24:名無しさん@お腹いっぱい。
09/05/19 22:00:14
>>23
おかあちゃんに渡しといてくれ
25:名無しさん@お腹いっぱい。
09/05/19 22:10:00
>>23
ここのUploaderにお願いします。
パス付きZIPで上げて、アドレスとダウンロードパス(解凍パスが異なるならそれも)を書いてくれれば、
誰かが提出してくれると思います。
26:名無しさん@お腹いっぱい。
09/05/19 22:26:17
URLリンク(tane.sakuratan.com)
infected
ここに今まで提出されていたGENO関係のまとめ(ここには上げていないスクリプト付きHTMLも入っています)を
UPしてみました。全て、各種ベンダーに提出済みのものですので再提出の必要はありません。きっと。
感染スクリプトを含んだHTMLが多く、無駄に容量食っていたので(ZIP1発だと3MB/7zだと1.1MB)、
7zで圧縮し、それをもう1回ZIPで圧縮しています。ZIPも7zも同じパスワードとなっています。
現時点で、どの程度のセキュリティソフトが対応しているのか、各自ご愛用のセキュリティソフトでの
対応状況を確認してみてください。
27:名無しさん@お腹いっぱい。
09/05/19 22:30:01
>>26
ごめん、20090505分の所に、その日に一緒に提出した、別件のZIPが混ざってました。そいつは無視してください。orz
BitDefenderの検出名
4/5版 本体exe:Trojan.Agent.AMNN 本体PDF:Exploit.PDF-JS.Gen 本体SWF:Exploit.SWF.Gen
(4/5版関連ファイル:Trojan.Downloader.JS.Agent.PM,Trojan.Downloader.JS.Agent.PM,Trojan.Delf.Agent.L,Trojan.Agent.AMNM)
4/11版 本体exe:Trojan.Generic.1618916 本体PDF:Trojan.Script.11972
5/2版 本体exe:Trojan.Agent.AMTB 本体PDF:Trojan.Downloader.JS.SetSlice.K 本体swf:Exploit.SWF.Gen
5/4版 本体exe:Trojan.Generic.1813945 本体swf:Exploit.SWF.Gen
5/5版 本体exe:Trojan.Dropper.TAX 本体PDF:Exploit.PDF-JS.Gen
5/8版 本体exe:Trojan.Seekwel.C 本体PDF:Exploit.PDF-JS.Gen 本体swf:Exploit.SWF.Gen
5/10版 本体exe:Trojan.Agent.AMVH 本体PDF:Exploit.PDF-JS.Gen 本体swf:スルー
5/11版 本体exe:Trojan.Agent.AMVF 本体PDF:Trojan.Script.47321
5/14版 本体exe:Trojan.Dropper.TBI 本体PDF:Trojan.JS.PZJ
5/17版 本体exe:スルー 本体PDF:Suspect: Exploit.PDF-JS.Gen(正式ではない疑惑ファイル)
28:名無しさん@お腹いっぱい。
09/05/19 22:41:33
>>26乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ITmedia News
PDFなどの脆弱性を悪用:Webに感染するマルウェア「JSRedir-R」が猛威 2009/05/19
JSRedir-RはWebサイトに仕掛けられ、
PDFとFlash Playerの脆弱性修正パッチを当てていないユーザーがそのサイトを閲覧すると、マルウェアに感染
URLリンク(www.itmedia.co.jp)
Computerworld.jp
猛威を振るう「JSRedir-R」マルウェア、ソフォスが注意を呼びかけ 2009/05/19
URLリンク(www.computerworld.jp)
29:名無しさん@お腹いっぱい。
09/05/19 22:49:03
Rising 2009 21.39.14 (21.30.14.00)
前スレ>881 (tane0320)
5\bot.exe: Trojan.DL.Win32.Undef.elt
3+1=4/12
>>26
20090505\3522938.zip>>3522938.exe: Trojan.PSW.Win32.GameOL.zla
20090508\id10_20090508.exe: Worm.Win32.Undef.gk
20090511\id10_20090511.exe: Trojan.Win32.Nodef.jak
20090516\martuz1upx.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090517\martuz_cn_id10_20090517.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090518_Execution result\muvl.exe: Trojan.Spy.Win32.Delf.dpt
30:名無しさん@お腹いっぱい。
09/05/19 22:49:21
>>26
AntiVir 1つを除いて全て検出
20090405/dropper.bin : (harmful) BDS/Agent.afid back-door program
20090405/monitor.bin : TR/Agent.caaj.B Trojan
20090405/dropper.pdf : EXP/Pidief.vtb exploit
20090405/dropper.swf : EXP/SWF.ED exploit
20090405/u.bat :
20090405_Execution result/bxatg.mnn : TR/Agent.AMPE Trojan
20090411/u2.exe : TR/Drop.Gadjo.1 Trojan
20090411/virus.pdf : EXP/PDF.10762 exploit
20090502/gumblar.swf : SWF/Agent.AI SWF virus
20090502/gumblar_fws.swf : SWF/Agent.AI SWF virus
20090502/gumblar.pdf : EXP/Pidief.JV exploit
20090502/gumblar.exe : TR/Agent2.ixj Trojan
20090502/gumblar_upx.exe : TR/Agent2.ixc Trojan
20090505/id2_20090505.pdf : EXP/Pidief.PB.1 exploit
20090505/id10_20090505.exe : TR/Agent.imh Trojan
20090508/id2_20090508.pdf : EXP/Pidief.rsn exploit
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : WORM/Autorun.aiai worm
20090510/id2_20090510.pdf : EXP/Pidief.gts exploit
20090510/id3_20090510.swf : SWF/Drop.Small.LC SWF virus
20090510/id10_20090510.exe : TR/Agent.cfuc Trojan
20090511/id2_20090511.pdf : EXP/Pidief.xah exploit
20090511/id10_20090511.exe : TR/Agent.cgch Trojan
20090516/martuz1.pdf : EXP/Pidief.aup exploit
20090516/martuz1cws.swf : SWF/Drop.Small.LJ SWF virus
20090516/martuz1upx.exe : TR/Agent.chbm Trojan
20090517/martuz_cn_id2_20090517.pdf : EXP/Pidief.aia exploit
20090517/martuz_cn_id10_20090517.exe : TR/Drop.Agent.qna.1 Trojan
20090518_Execution result/muvl.exe : TR/Drop.Agent.qna.2 Trojan
31:名無しさん@お腹いっぱい。
09/05/19 22:56:26
>>26 乙 カスペ2009 18:20
25/30 + HTML 4/555
Backdoor.Win32.Agent.afid \0405\dropper.bin
Exploit.Win32.Pidief.aog \0405\dropper.pdf
Exploit.SWF.Agent.ae \0405\dropper.swf
Trojan-PSW.Win32.Kates.c \0405\monitor.bin
Trojan-PSW.Win32.Kates.c \0405_Execution result\bxatg.mnn
Exploit.Win32.Pidief.apg \0411\virus.pdf
Trojan-PSW.Win32.Kates.e \0502\gumblar.exe
Exploit.JS.Pdfka.ix \0502\gumblar.pdf
Exploit.SWF.Agent.ai \0502\gumblar.swf
Exploit.SWF.Agent.ai \0502\gumblar_fws.swf
Trojan-PSW.Win32.Kates.e \0502\gumblar_upx.exe
Trojan.Win32.Inject.xvb \0505\3522938.zip/3522938.exe
Trojan.Win32.Agent.ceyr \0505\id10_20090505.exe
Exploit.Win32.Pidief.atm \0505\id2_20090505.pdf
Exploit.Win32.Pidief.atr \0508\id2_20090508.pdf
virus Worm.Win32.AutoRun.aiai \0508\id10_20090508.exe
Trojan.Win32.Agent.cfuc \0510_1\id10_20090510.exe
Exploit.Win32.Pidief.atx \0510_1\id2_20090510.pdf
Trojan.Win32.Agent.cgch \0511\id10_20090511.exe
Trojan.JS.Agent.act \0511\id2_20090511.pdf
Exploit.Win32.Pidief.aup \0516\martuz1.pdf
Trojan.Win32.Agent.chbm \0516\martuz1upx.exe
Trojan-Dropper.Win32.Agent.apfn \0517\martuz_cn_id10_20090517.exe
Exploit.Win32.Pidief.auw \0517\martuz_cn_id2_20090517.pdf
Trojan-PSW.Win32.Kates.c \0518_Execution result\muvl.exe
Trojan-Downloader.JS.Agent.dwe \HTML\0405\dropper.html
virus HEUR:Exploit.Script.Generic \HTML\0411\index.php
Trojan.JS.Agent.adw \HTML\0514\index.html
Trojan.JS.Agent.adx \HTML\0514\kiso_syougou.html
32:名無しさん@お腹いっぱい。
09/05/19 22:57:28
=== a-squared4.5 ===
IKなので、全部イカロスエンジンの方ですね。5つスルー。HTMLのスクリプトも検出方向の模様。
20090405/dropper.bin : Gen:Trojan!IK
20090405/monitor.bin : Trojan-PWS.Delf!IK
20090405/dropper.pdf : Exploit.PDF-JS!IK
20090405/dropper.swf : Exploit.SWF.Agent!IK
20090405/u.bat : Trojan-Dropper.Agent!IK
20090405_Execution result/bxatg.mnn : Trojan-PWS.Delf!IK
20090411/u2.exe : Trojan-PWS.Delf!IK
20090411/virus.pdf : Exploit.PDF-JS!IK
20090502/gumblar.swf : Exploit.SWF.Agent!IK
20090502/gumblar_fws.swf : Exploit.SWF.Agent!IK
20090502/gumblar.pdf : Exploit.JS.Pdfka!IK
20090502/gumblar.exe : Trojan.Win32.Small!IK
20090502/gumblar_upx.exe : Trojan.Win32.Small!IK
20090505/id2_20090505.pdf : Exploit.Win32.Pidief!IK
20090505/id10_20090505.exe : Trojan.Win32.Small!IK
20090508/id2_20090508.pdf : Exploit.Win32.Pidief!IK
20090508/id3_20090508.swf : Exploit.SWF!IK
20090508/id10_20090508.exe : Trojan-PWS.Delf!IK
20090510/id2_20090510.pdf : JS.Obfuscated!IK
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Daonol!IK
20090511/id2_20090511.pdf : Trojan.JS.Agent!IK
20090511/id10_20090511.exe : Trojan.Daonol!IK
20090516/martuz1.pdf : Exploit.PDF-JS!IK
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : rojan-PWS.Win32.Kates!IK
20090517/martuz_cn_id2_20090517.pdf : -
20090517/martuz_cn_id10_20090517.exe : -
20090518_Execution result/muvl.exe : -
HTML : Virus.JS.Redirector!IK , Trojan.JS.Agent!IK
33:23
09/05/19 23:12:54
さっきのファイルを>>3で解析したらこういう結果になったんだが、うpの必要性ある?
ちなみに元ファイルは785.exeって名前なんだが。
URLリンク(www.virustotal.com)
34:名無しさん@お腹いっぱい。
09/05/19 23:28:19
>>33
UP頼む。
35:名無しさん@お腹いっぱい。
09/05/19 23:33:04
今帰宅
F-Secure Internet Security 2009
・DeepGuard Update 2009-05-18_03
・Hydra Update 2009-05-19_06
・Universal System Scanner Update 2009-05-19_03
・Anti-Virus AVP Extended Update 2009-05-19_05
>>15 のチェック結果
play\1199.exe → Backdoor.Win32.PcClient.amgj
play\play.scr → Backdoor:W32/PcClient.AMC
htmlを本家F-Secure SASに登録したところ、
全てSUSPICIOUS(嫌疑)という結果となりました。
36:23
09/05/19 23:35:59
おまたせ
URLリンク(tane.sakuratan.com)
infected
です。
37:名無しさん@お腹いっぱい。
09/05/19 23:38:25
Rising 2009
>>36
785.exe: Trojan.DL.Win32.Mnless.dmi
38:23
09/05/19 23:41:02
すまんh抜くのわすれた。。。
39:名無しさん@お腹いっぱい。
09/05/19 23:43:50
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-19_05
* F-Secure Hydra: 3.08.9080, 2009-05-19_06
>>36
785.exe:未検出
F-Secure SAS に登録します。
40:名無しさん@お腹いっぱい。
09/05/20 00:00:46
>>39
カスペスルー
検体提出しました。
レピュテーションっぽく、Suspicious Site(危険サイト)として、WebAVでブロックしてもらうよう一応はお願いした。
41:35
09/05/20 00:02:23
>>35の回答
>Hello,
>Thank you for the samples. We will add them detection as soon as possible.
>Cheers,
42:23
09/05/20 00:19:12
ちなみにAVGは検出したわ
43:名無しさん@お腹いっぱい。
09/05/20 00:32:34
>>36
捕獲乙でした。
AntiVir : TR/Crypt.ZPACK.Gen Trojan
BitDefender : スルー
a-squared : スルー
各社に提出しときます。
44:名無しさん@お腹いっぱい。
09/05/20 00:58:59
>>36乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
45:名無しさん@お腹いっぱい。
09/05/20 01:23:43
>>36
これ本当にgeno? まるっきり別物に見えるんだが…。
46:名無しさん@お腹いっぱい。
09/05/20 01:27:41
( ´,_ゝ`)プッ
47:名無しさん@お腹いっぱい。
09/05/20 01:43:45
>>328
ニコンだからこんなに高いの?
48:名無しさん@お腹いっぱい。
09/05/20 01:43:52
genoとは違うな。
Anubisの結果。
URLリンク(anubis.iseclab.org)
動作としてはダウンローダで、
basesrv3■net/info/bin/explorer.exe
を拾って実行。このドメインはそれほど新しくはなく、
既にあちこちのブラックリストに突っ込まれている。
VTにも既に誰かが投げている。
URLリンク(www.virustotal.com)
直接拾うのが嫌な人はどうぞ(ファイル名はキモいので変更済み)。
URLリンク(tane.sakuratan.com)
virus
49:名無しさん@お腹いっぱい。
09/05/20 02:04:57
Rising 2009
>>48
unknown1.exe>>pecompact2x: Suspicious:Unknown Virus
提出完了
50:39
09/05/20 02:13:42
>>39
F-Secure Labsからの回答
>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. Detection as
>Trojan-Downloader:W32/Agent.KNX will be added in one of the next database updates.
別にGENOに限らなくてもいいと思うけど。
12/40ってあまりヒット率よくないし…。
本日提出分の回答来たので、今日はここまで。
お先に失礼します。m(_ _)m
51:名無しさん@お腹いっぱい。
09/05/20 02:16:47
限ってるわけじゃないよ。
52:名無しさん@お腹いっぱい。
09/05/20 06:00:44
>>36,48
McAfeeに提出させて頂きました。
53:名無しさん@お腹いっぱい。
09/05/20 08:52:17
>>48
今朝の時点で落ちてきたのは同じバイナリでした。
取り敢えず、VT未検出の各社+αに提出完了。多少被ってるけど気にしない。
54:名無しさん@お腹いっぱい。
09/05/20 09:33:33
>>26 === Avast VPS: 090519-0, 2009/05/19 === スルー個数:本体+α(5/30) HTML(11/555)
20090405/dropper.bin : Win32:Trojan-gen {Other}
20090405/monitor.bin : Win32:Delf-MBA [Trj]
20090405/dropper.pdf : JS:Pdfka-FQ [Expl]
20090405/dropper.swf : Other:Malware-gen
20090405/u.bat : -(これは自己抹消のためのbatなので検出しなくても問題無い奴)
20090405_Execution result/bxatg.mnn : Win32:Delf-MBA [Trj]
20090411/u2.exe : Win32:Daonol-N [Drp]
20090411/virus.pdf : JS:Pdfka-FQ [Expl]
20090502/gumblar.swf : -
20090502/gumblar_fws.swf : -
20090502/gumblar.pdf : JS:Pdfka-GD [Expl]
20090502/gumblar.exe : Win32:Trojan-gen {Other}
20090502/gumblar_upx.exe : Win32:Trojan-gen {Other}
20090505/id2_20090505.pdf : JS:Pdfka-GB [Expl]
20090505/id10_20090505.exe : Win32:Trojan-gen {Other}
20090508/id2_20090508.pdf : -
20090508/id3_20090508.swf : Other:Malware-gen
20090508/id10_20090508.exe : Win32:Trojan-gen {Other}
20090510/id2_20090510.pdf : JS:Pdfka-GP [Expl]
20090510/id3_20090510.swf : Other:Malware-gen
20090510/id10_20090510.exe : Win32:Trojan-gen {Other}
20090511/id2_20090511.pdf : JS:Pdfka-GP [Expl]
20090511/id10_20090511.exe : Win32:Trojan-gen {Other}
20090516/martuz1.pdf : JS:Pdfka-HF [Expl]
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : Win32:Trojan-gen {Other}
20090517/martuz_cn_id2_20090517.pdf : JS:Pdfka-HF [Expl]
20090517/martuz_cn_id10_20090517.exe : Win32:Trojan-gen {Other}
20090518_Execution result/muvl.exe : Win32:Daonol-P [Trj]
20090519/785.exe : Win32:Trojan-gen {Other}
HTML : JS:Downloader-AC [Trj]/JS:Redirector-H2,H4,H5,H7,H9 [Trj]/JS:Redirector-J1,J3,J4 [Trj]
55:名無しさん@お腹いっぱい。
09/05/20 10:33:14
>>26 === PCプロテクションプラス(F-Secure系) === 本体 25/30 HTML 3/555 を検知
20090405/dropper.bin : Backdoor.Win32.Agent.afid
20090405/monitor.bin : Trojan-PSW.Win32.Kates.c(5/18の活動中ファイルと同じ名前)
20090405/dropper.pdf : Exploit.Win32.Pidief.aog
20090405/dropper.swf : Exploit.SWF.Agent.ae
20090405/u.bat : -
20090405_Execution result/bxatg.mnn : -
20090411/u2.exe : Trojan:W32/Agent.KAO
20090411/virus.pdf : Exploit.Win32.Pidief.apg
20090502/gumblar.swf : Exploit.SWF.Agent.ai
20090502/gumblar_fws.swf : Exploit.SWF.Agent.ai
20090502/gumblar.pdf : Exploit:W32/AdobeReader.RG
20090502/gumblar.exe : Trojan-PSW.Win32.Kates.e
20090502/gumblar_upx.exe : Trojan-PSW.Win32.Kates.e
20090505/id2_20090505.pdf : Exploit.Win32.Pidief.atm
20090505/id10_20090505.exe : Trojan.Win32.Agent.ceyr
20090508/id2_20090508.pdf : Exploit.Win32.Pidief.atr
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : Worm.Win32.AutoRun.aiai
20090510/id2_20090510.pdf : Exploit.Win32.Pidief.atx
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Win32.Agent.cfuc
20090511/id2_20090511.pdf : Trojan.JS.Agent.act
20090511/id10_20090511.exe : Trojan.Win32.Agent.cgch
20090516/martuz1.pdf : Exploit.Win32.Pidief.aup
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : Trojan.Win32.Agent.chbm
20090517/martuz_cn_id2_20090517.pdf : Exploit:W32/Pidief.DX
20090517/martuz_cn_id10_20090517.exe : Trojan:W32/Agent.KMH
20090518_Execution result/muvl.exe : Trojan-PSW.Win32.Kates.c
20090519/785.exe : Trojan-Downloader:W32/Agent.KNX
HTML : Trojan.JS.Agent.adw , Trojan.JS.Agent.adx , Trojan-Downloader.JS.Agent.dwe
56:31
09/05/20 15:04:10
>>26 カスペからの返事
25+1=26/30
\0508\id3_20090508.swf - Exploit.SWF.Agent.ao
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
57:名無しさん@お腹いっぱい。
09/05/20 18:14:04
>>48乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
58:名無しさん@お腹いっぱい。
09/05/20 19:10:55
>>36
URLリンク(www.virustotal.com)
Norton、McAfee、Panda、avast!、Kaspersky、Sophos、Ikarusが対応
59:名無しさん@お腹いっぱい。
09/05/20 22:16:05
今帰宅。残件をぼちぼちとやっていきます…
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20
>>48
unknown1.exe → Trojan-Spy.Win32.Agent.argz
60:名無しさん@お腹いっぱい。
09/05/20 22:28:25
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20
>>15 (サイト未検出分 → [検出数 22/22] 100%)
Trojan-Downloader.JS.Agent.dzw
* \call martuz.cn\yuuno.sakura\bouei-coment01.html
* \call martuz.cn\yuuno.sakura\bouei-opsong.html
* \call martuz.cn\yuuno.sakura\bouei-pvc.html
* \call martuz.cn\yuuno.sakura\bouei.html
* \call martuz.cn\yuuno.sakura\c75-2.html
* \call martuz.cn\yuuno.sakura\c75.html
* \call martuz.cn\yuuno.sakura\gallery.html
* \call martuz.cn\yuuno.sakura\girl.html
* \call martuz.cn\yuuno.sakura\news.html
* \call martuz.cn\yuuno.sakura\profile.html
* \call martuz.cn\yuuno.sakura\rireki.html
* \call martuz.cn\yuuno.sakura\wf.html
* \call martuz.cn\yuuno.sakura\works.html
* \call martuz.cn\yuuno.sakura\yuuno.sakura.ne.jp.htm
Trojan-Downloader.JS.Agent.dzv
* \call martuz.cn\mikesquarter\about-2.htm
* \call martuz.cn\mikesquarter\advertise.htm
* \call martuz.cn\mikesquarter\contact.htm
* \call martuz.cn\mikesquarter\disclaimer.htm
* \call martuz.cn\mikesquarter\newsletter.htm
* \call martuz.cn\mikesquarter\sitemap.htm
* \call martuz.cn\mikesquarter\www.mikesquarter.com.htm
Trojan-Downloader.JS.Agent.dzx
* \call martuz.cn\loca.zombie\loca.zombie.jp.htm
>>39 >>50
785.exe → Trojan-Downloader:W32/Agent.KNX
61:前スレ699
09/05/20 22:33:43
>>14
転載ありがとうございます。 規制は解除されました。ヤレヤレ
これ、お礼です...ちょっと賞味期限切れかかりかも。(苦笑
URLリンク(tane.sakuratan.com)
DL virus/解凍 virus
【中身】
cry.exe
URLリンク(www.virustotal.com) (17/39)
AVIRA - TR/Dropper.Gen,Kapersky - Trojan-Proxy.Win32.Small.aal
dia.exe
URLリンク(www.virustotal.com) (17/40)
AVIRA - TR/Dropper.Gen,Kapersky - Worm.Win32.AutoRun.aist
file.exe
URLリンク(www.virustotal.com) (8/40)
AVIRA - MALWARE (added next update),Kapersky - HEUR:Trojan.Win32.Generic
softwarefortubeview.40000.exe
URLリンク(www.virustotal.com) (9/40)
AVIRA - MALWARE (added next update),Kapersky - Trojan-Downloader.Win32.Agent.byla
AVIRAは全部対応済みとのことなので、未送付。KasperskyはHEURのfile.exeだけ送付。
martuz.cnは、色々書かれているように閉鎖されたようです。
また、一足違いですが、Google Sage Browsingでブロック設定入っています。(5/19に確認)
URLリンク(safebrowsing.clients.google.com)
→ 12507 個のドメインを感染させています。
短期間に、良くこれだけ荒らしたものです。
あと、Kasperskyは私に白判定のメール送った割には本体を黒で検出するようになっていました。(苦笑
おまけ) URLリンク(gdata.co.jp) ・・・ 結局genoウイルスが日本国内の通称になりそうですねぇ。
62:名無しさん@お腹いっぱい。
09/05/20 23:05:43
>>61乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
G DATA
「GENOウイルス」対策について 2009/05/20
URLリンク(gdata.co.jp)
ITmedia News
いたちごっこ状態に:ますます巧妙化するJSRedir-Rの攻撃手法 2009/05/20
「JSRedir-R」(別名Gumblar)が攻撃に使うドメインを切り替え、JavaScript難読化の手口もさらに巧妙に
攻撃に使われるドメインやJavaScriptは、今後も変わり続けるだろうとSymantecは予想
URLリンク(www.itmedia.co.jp)
63:名無しさん@お腹いっぱい。
09/05/20 23:14:21
>>62
GENOもあんな対応しなければこんなメジャーになることもなかったろうにw
64:名無しさん@お腹いっぱい。
09/05/20 23:14:34
>>26[検出:27/30]
定義パターン:>>60
*Backdoor.Win32.Agent.afid → \0405\dropper.bin
*Exploit.Win32.Pidief.aog → \0405\dropper.pdf
*Exploit.SWF.Agent.ae → \0405\dropper.swf
*Trojan-PSW.Win32.Kates.c → \0405\monitor.bin
*Trojan-PSW.Win32.Kates.c → \0405_Execution result\bxatg.mnn
*Trojan:W32/Agent.KAO → \0411\u2.exe
*Exploit.Win32.Pidief.apg → \0411\virus.pdf
*Exploit.SWF.Agent.ai → \0502\gumblar.swf
*Exploit.SWF.Agent.ai → \0502\gumblar_fws.swf
*Exploit:W32/AdobeReader.RG → \0502\gumblar.pdf
*Trojan-PSW.Win32.Kates.e → \0502\gumblar.exe
*Trojan-PSW.Win32.Kates.e → \0502\gumblar_upx.exe
*Exploit.Win32.Pidief.atm → \0505\id2_20090505.pdf
*Trojan.Win32.Agent.ceyr → \0505\id10_20090505.exe
*Trojan-PSW:W32/Magania.gen!B → \0505\3522938.zip\3522938.exe
*Exploit.Win32.Pidief.atr → \0508\id2_20090508.pdf
*Exploit.SWF.Agent.ao → \0508\id3_20090508.swf
*Worm.Win32.AutoRun.aiai → \0508\id10_20090508.exe
*Exploit.Win32.Pidief.atx → \0510_1\id2_20090510.pdf
*Trojan.Win32.Agent.cfuc → \0510_1\id10_20090510.exe
*Trojan.JS.Agent.act → \0511\id2_20090511.pdf
*Trojan.Win32.Agent.cgch → \0511\id10_20090511.exe
*Exploit.Win32.Pidief.aup → \0516\martuz1.pdf
*Trojan.Win32.Agent.chbm → \0516\martuz1upx.exe
*Exploit:W32/Pidief.DX → \0517\martuz_cn_id2_20090517.pdf
*Trojan:W32/Agent.KMH → \0517\martuz_cn_id10_20090517.exe
*Trojan-PSW.Win32.Kates.c → \0518_Execution result\muvl.exe
-未検出 → \0405\u.bat
-未検出 → \0510_1\id3_20090510.swf
-未検出 → \0516\martuz1cws.swf
65:名無しさん@お腹いっぱい。
09/05/20 23:24:27
>>64の続き
HTML検出: 33/555
* Trojan.JS.Agent.adw → \HTML\20090514\index.html
* Trojan.JS.Agent.adx → \HTML\20090514\kiso_syougou.html
* Trojan-Downloader.JS.Agent.dwe → \HTML\20090405\dropper.html
* Trojan-Downloader.JS.Agent.dzw → \HTML\20090519\yuuno.sakura\ ※配下すべて
* Trojan-Downloader.JS.Agent.dzx → \HTML\20090519\loca.zombie\loca.zombie.jp.htm
* Trojan-Downloader.JS.Agent.dzv → \HTML\20090519\mikesquarter\ ※配下すべて
上記以外未検出:検体提供は何方かにお任せします。
残件:>>61
66:61
09/05/20 23:26:10
>>14
> 上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
> 再度感染させて検査しています。 この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。
>
> URLリンク(www.virustotal.com) -1
mwgpedu.tya 現状
URLリンク(www.virustotal.com) (20/40)
4/40 → 20/40と、一気に増えましたね。やっと終息期かな。 後はドメイン名変えて再活動開始するかどうか、ですか。
>62
G DATAですが、リンク先の通り、酷いことに?ドイツ本国のプレスリリースがgenoって言ってるんですよ。(苦笑
URLリンク(www.gdata.de)
>Exemplare des Schadlings tauchten unter dem Aliasnamen "Geno" unter anderem in Japan auf und infizierten dort reihenweise populare Domains.
国外でも、予想以上にgenoの名前が知れ渡っているのかもしれません。
67:62
09/05/20 23:38:12
>>66
ドイツ勢は時差的にも
日本のセキュリティ関連ニュースをチェックしているのかもね
Confickerですら最終的に業界統一名にならなかった(これは意図的なのかもしれないけど)
68:名無しさん@お腹いっぱい。
09/05/20 23:39:21
>>66-67
情報元からあの日本法人からだからだよw
通称や別名として書くならわかるけどそのまま載せちゃうのは日本の会社とは思えない
69:68
09/05/20 23:41:13
訂正
情報元から→情報元が
70:名無しさん@お腹いっぱい。
09/05/21 00:07:46
>>61
復帰おめでとう。
BitDefender
dia.exe : Trojan.CryptRedol.Gen.1
(他スルー)
a-squared : 全部スルーかと思ったら、パターン更新したら2つ検知。
cry.exe : Trojan-Proxy.Win32.Small!IK
dia.exe : Worm.Win32.AutoRun!IK
(他2つスルー)
Avira
cry.exe : TR/Dropper.Gen Trojan
dia.exe : TR/Dropper.Gen Trojan
(他2つスルー)
AviraとAntiy LabsにはFTP経由で提出しときました。他各社はこれから一通り送付しときます。
71:名無しさん@お腹いっぱい。
09/05/21 00:10:13
お疲れさまです。
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20_05
* F-Secure Hydra: 3.08.9080, 2009-05-20_05
>>61
* \tane0337\cry.exe → Trojan-Proxy.Win32.Small.aal
* \tane0337\softwarefortubeview.40000.exe → Trojan-Downloader.Win32.Agent.byla
* \tane0337\dia.exe → Worm.Win32.AutoRun.ais
* \tane0337\file.exe → NOT DETECTED
file.exe を 本家 F-Secure SAS に登録しました。
72:名無しさん@お腹いっぱい。
09/05/21 00:12:00
URLリンク(tane.sakuratan.com)
infected
いつもの中華業者の、ネトゲアカウントハック用日替わりscrです。
いつものようにリリース(?)当日は、20~26前後/40の検出率。
各社には先程提出済みですので、重複提出する必要はないと思います。
URLリンク(www.virustotal.com) ftp25.exe(24/40)
URLリンク(www.virustotal.com) online.scr(25/40)
URLリンク(www.virustotal.com) online.zip(24/40)
URLリンク(www.virustotal.com) 1199.exe(22/40)
URLリンク(www.virustotal.com) mpg.scr(23/40)
73:61
09/05/21 00:23:07
>>70
どうもです。今、感染した仮想PC(Win2K)でいくつか試しました。
1. シマンテック オンラインスキャン
2009/5/21 0時頃の時点で、オンラインスキャンでは感染ファイルの本体を検出しません。
VTの結果から考えて、NISやNAVがインストールされているマシンはgumblarやmartuz感染を検出できると思いますが、
オンラインスキャンの対応はもう少し先になりそうな感じです。
2.AVIRAシステムスキャン (※ データベースが7.01.04.01と、3番目の世代番号が03→04にアップしています。)
martuz.cnの5/16版,5/17版
gumblar.cnの5/5版,5/8版
この4つを全部試してみたのですが、4つとも感染後にシステムスキャンをすると感染していることを検出できます。
gumblar時代のものまで検出できるようになっているのは、地味ですが大きいですね。
ただ、感染検出と、感染ファイル本体の削除はしてくれるのですが、感染状態のレジストリは放置されます。
これだけ大騒ぎになったので、gumblarやmartuzについては、どこかのベンダーが完全駆除ソフトを作ることに期待しましょう。
74:名無しさん@お腹いっぱい。
09/05/21 00:28:37
Rising 2009 21.39.20 (21.30.20.00)
>>61
スルー
>>72
ftp25.exe: Backdoor.Win32.PcClient.tvj
online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
online.zip>>online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
3/5
75:名無しさん@お腹いっぱい。
09/05/21 00:37:27
>>61
まとめWiki記載先一通りと、Malwarebytes、NictaTech Software に提出完了。
McAfee自動返答、全部[inconclusive]
カスペ返答(HEURのとこ名前確定した模様)
file.exe - Backdoor.Win32.Agent.agqv
New malicious software was found in this file.
Symantec
filename: dia.exe
filename: file.exe
result: <手動解析へ>
filename: cry.exe
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
filename: softwarefortubeview.40000.exe
result: This file is detected as Downloader. URLリンク(www.symantec.com)
Rising(あれ?ファイル1つしか回答が…)
1. Filename:cry.exe
No malware.
76:名無しさん@お腹いっぱい。
09/05/21 00:55:08
GENOを落とすスクリプトをTXTで置いといたら、今日になって、Avira AntiVirが反応したとの報告があったので、
>>26のHTMLを再チェックしてみた。
45/555 と反応したファイルが増えていた。>>30にはHTMLの反応数書いてないけど4ファイル位だった気が。
徐々に対応進めてる模様。
検出名
JS/Dldr.Agent.dwe Java script virus
JS/Dldr.Zonke.A Java script virus
JS/Redirector.R Java script virus
JS/Redirector.V Java script virus
77:61
09/05/21 00:59:11
>>73
追加です。Kasperskyは流石にメインマシンなので感染させるわけにはいかないのですが、
仮想PCから同じくmartuz.cnの5/16版,5/17版,gumblar.cnの5/5版,5/8版の4つの感染後の
本体ファイルを持ってきて検出可否を調べました。
Kasperskyもgumblar時代の分も含めて全部感染後ファイルを検出します。検出ファイル名 Trojan-PSW.Win32.Kates.c (全部一緒)
てことは、VTで検出する方のリストに載ったSymantec他も同じでしょうね。
あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
使い慣れてる人なら、この時点で異変に気がつきそう。
※ 『 xxxxは他のプロセスWindows NT Command Processor(パラメータ(...))を使おうとしています。 』
という、未登録ファイルの実行時に出てくるいつものダイアログ。(マルウェア検出ではない。)
xxxxに見覚えのないファイル名が入って表示される。多分、PC toolsと同等の能力があるメジャー所のFWなら、
同じようにメッセージ出してくるはず。
(ここでメッセージを読まずに許可を出すような人は、感染してもしょうがない気がしなくもない。)
gumblar,martuz関係は大体終息したっぽいので、これの新しいドメインが出てくるまでは、しばらくデフコン下げられそう。 では今日はこれで ノシ
78:名無しさん@お腹いっぱい。
09/05/21 01:08:58
>>77 報告乙です。
>あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
>使い慣れてる人なら、この時点で異変に気がつきそう。
はっはっは…4/5版を入手した時にやっちまった記憶が。PC Tools のFWが反応して通信は遮断しましたよ。
でも、発動して出来上がった本体と、u.bat(正常に動作していれば削除されたもの)がC:のルートにしっかりと。
そして、通信はブロックしたものの動作はしっかりしていたようで、再起動後にCMDとかレジストリエディタとかが
動作不良を…PC Tools の通信許可で気付いても手遅れなんですねぇ。
雑談混ぜてすいません。これで引っ込みます。
79:名無しさん@お腹いっぱい。
09/05/21 01:16:09
>>72乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
80:61
09/05/21 01:26:39
>>78
あ~...確認しました。私も気がつきませんでした。
遮断すれば感染しないかと思ったのですが、PC toolsでメッセージ→遮断でも結局感染しますね。
確かに、その後AntiVirでシステムスキャンしたら、感染検出しました。
そこで一度実行を完全に止めてくれないと、全然意味無いですよ?>PC tools
結局、メッセージが出るだけでしたか...出るだけマシかもしれませんが、誤報書いてスミマセン。
81:名無しさん@お腹いっぱい。
09/05/21 01:32:31 BE:265068724-2BP(0)
cmd.exe が起動するのは、エンベロープの自己消去やらなんやら後始末のためで、
基本的に感染はすんだ後かもしれん。前読んだときは、そんな感じだった
82:40
09/05/21 01:58:32
カスペからの返事
>>36 0+追加検出1=1/1
785.exe_ - Trojan-Downloader.Win32.Agent.byjj
This file is already detected. Please update your bases.
※>>50のF-Secureとは別名称
以下、乙
一応まとめ。
>>48 1/1
>>61
>>61,75さんの通り、5/5
※シグネチャ確定済み
>>72
VT通り、5/5
83:名無しさん@お腹いっぱい。
09/05/21 03:13:02
お疲れさまです。
>>71の回答が来ましたので掲載します。
次回の更新にて対応されます。
>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. An appropriate detection will be added
>in one of the next database updates.
>Our latest database updates are available here:
>
>URLリンク(www.f-secure.com)
>
>Have a nice day!
さすがに眠いので今夜はこれにて退散します。
また夜にでも...
84:名無しさん@お腹いっぱい。
09/05/21 05:39:51
>前スレの奴(GENO 5/17分)
McAfee最終返答。
Analysis Id: 5312461
--------------------
File Name Findings Detection Type
========= ======== ========= ====
martuz_cn_id10_20090517.e detected generic dropper.p trojan
martuz_cn_id2_20090517.pd detected exploit-pdf.d trojan
85:名無しさん@お腹いっぱい。
09/05/21 05:48:08
>>61
トレンドマイクロ回答
TROJ_PROXY.AHY
WORM_AUTORUN.ETD
どれと対応してるかは不明。
86:名無しさん@お腹いっぱい。
09/05/21 10:41:05
>>64ではないが午前1時にF-secureで検出しないものを、まとめてF-Secure SASに提出した。
F-Secure Security Labs
2009/05/21 5:57
>Hello,
>
>Thank you for your e-mail.
>>
>The file you sent was found to be malicious. An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>URLリンク(www.f-secure.com)
>
>Have a nice day!
以下については検出確認
Exploit:W32/SWFdloader.B \20090510_1\id3_20090510.swf
Exploit:W32/SWFdloader.C \20090516\martuz1cws.swf
F-Secure Internet Security 2009
パターン ファイルのバージョン:
ウィルス: 2009-05-20_08
スパイウェア: 2009-05-20_05
スキャン エンジン:
F-Secure AVP: 7.00.171, 2009-05-20
F-Secure Hydra: 3.08.9080, 2009-05-20
87:名無しさん@お腹いっぱい。
09/05/21 12:24:40
いまさら感はありますが、依然として、GENOのスクリプトが入っているサイトがあるようで、スクリプトの検体として。
検体提出は、他のなにかのついでにでも…
URLリンク(tane.sakuratan.com)
infected
88:名無しさん@お腹いっぱい。
09/05/21 15:54:21
>>87
カスペ2009 15:20
51/206
Trojan-Downloader.HTML.Agent.pe tane0339\JS_Gamburl.gen!A\kuruma-kounyuu\*.htm
(frogmode.jp.htm, tsuridon.com.htm以外のkuruma-kounyuuフォルダのhtmファイルすべて)
89:名無しさん@お腹いっぱい。
09/05/21 18:11:29
Rising 2009 21.39.30 (21.30.30.00)
前スレ>954 (tane0328)
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
1+1=2/2
>>26
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
>>72
mpg\1199.exe: Backdoor.Win32.PcClient.txa
mpg.scr>>1199.exe: Backdoor.Win32.PcClient.txa
3+2=5/5
>>87
スルー
提出は保留
90:名無しさん@お腹いっぱい。
09/05/21 18:43:55
NortonInternetSecurity2009
今回も検出数だけの報告
>>48
全検出確認
>>61
4/3
スルー:file.exe
>>72
全検出確認
91:名無しさん@お腹いっぱい。
09/05/21 20:12:04
>>87乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
92:名無しさん@お腹いっぱい。
09/05/21 21:08:35
Rising 2009 21.39.33 (21.30.33.00)
前スレ>843 (tane0315)
codec.exe: AdWare.Win32.FakeAV.bm
1/1
前スレ>907 (tane0325)
load.exe: Trojan.Win32.Nodef.jij
3+1=4/10
93:名無しさん@お腹いっぱい。
09/05/21 23:40:25
お疲れさまです。
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-21
Definition version
* Virus: 2009-05-21_01
* SpyWare: 2009-05-20_05
>>87
検出結果:0/206
SASへの登録は保留します。
#規制中なので今日は落ちます?
残件がありましたら何方かお願いします?
94:61
09/05/22 02:14:13
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
ちょっと大きいので、1個だけでパックしてあります。
【中身】
antivirus.exe
MD5 : ea56809b50ccc90bb74e6bf65c023f0a
URLリンク(www.virustotal.com) (12/40)
AVIRA9 7.01.04.03 -スルー,提出時の判断 -UNDER ANALYSIS
Kapersky - not-a-virus:AdWare.Win32.AdAgent.aq
AVIRA提出済みです。Kasperskyは既に検出できるので何も無し。
95:名無しさん@お腹いっぱい。
09/05/22 02:52:51
>>94
Risingに提出完了
96:61
09/05/22 03:03:53
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】8個入っています。
ak1.exe
URLリンク(www.virustotal.com) (15/40)
bot.exe
URLリンク(www.virustotal.com) (16/40)
install.exe
URLリンク(www.virustotal.com) (5/40)
install2.exe
URLリンク(www.virustotal.com) (5/40)
ldr.exe
URLリンク(www.virustotal.com) (13/39)
media_player_update.exe
URLリンク(www.virustotal.com) (10/40)
softwarefortubeview.45013.exe
URLリンク(www.virustotal.com) (2/40)
xp.exe
URLリンク(www.virustotal.com) (19/40)
AVIRAとKasperskyは必要分送付済み。提出頑張れば、週末前に処理してくれるハズ...(;´д`)
97:61
09/05/22 03:14:08
>>96
一応、AVIRA9 7.01.04.03,Kaspersky 2009/05/22 2:31:00の結果
ak1.exe
AVIRA - スルー(黒,次のアップデートで追加)
Kapersky - Trojan-Downloader.Win32.Boltolog.efx
bot.exe
AVIRA - スルー(黒,次のアップデートで追加)
Kapersky - Trojan-Spy.Win32.Zbot.uje
install.exe
AVIRA - TR/Dropper.Gen
Kapersky - スルー
install2.exe
AVIRA - TR/Dropper.Gen
Kapersky - スルー
ldr.exe
AVIRA - スルー(黒,次のアップデートで追加)
Kapersky - Trojan-Spy.Win32.Zbot.uji
media_player_update.exe
AVIRA - TR/Dropper.Gen
Kapersky - Trojan-Dropper.Win32.Agent.apig
softwarefortubeview.45013.exe
AVIRA - スルー(分析中)
Kapersky - スルー
xp.exe
AVIRA - TR/Drop.Geral.NA.1
Kapersky - Trojan-Downloader.Win32.Geral.rn
週末前なので、ちょっと頑張ってみた。(苦笑
98:名無しさん@お腹いっぱい。
09/05/22 03:30:07
>>94,96
McAfeeに提出させて頂きました。
99:名無しさん@お腹いっぱい。
09/05/22 04:17:29
Rising 2009
>>96
ak1.exe: Trojan.DL.Win32.Undef.emo
media_player_update.exe: Trojan.Win32.Nodef.jcx
xp.exe>>upx_c: Trojan.Win32.TSK.e
3/8
提出完了
100:名無しさん@お腹いっぱい。
09/05/22 11:54:00
>5/9提出分のGENO呼び出しスクリプト
トレンドマイクロ返答…えーと、名前付けすぎじゃありませんか?
JS_AGENT.ASWE JS_AGENT.ASXB JS_AGENT.ASYC
JS_AGENT.ASWF JS_AGENT.ASXC JS_AGENT.ASYD
JS_AGENT.ASWG JS_AGENT.ASXD JS_AGENT.ASYE
JS_AGENT.ASWH JS_AGENT.ASXE JS_AGENT.ASYG
JS_AGENT.ASWI JS_AGENT.ASXF JS_AGENT.ASYH
JS_AGENT.ASWO JS_AGENT.ASXG JS_AGENT.ASYL
JS_AGENT.ASWP JS_AGENT.ASXI JS_AGENT.ASYM
JS_AGENT.ASWQ JS_AGENT.ASXK JS_AGENT.ASYN
JS_AGENT.ASWR JS_AGENT.ASXL JS_AGENT.ASYO
JS_AGENT.ASWS JS_AGENT.ASXN JS_AGENT.ASYP
JS_AGENT.ASWT JS_AGENT.ASXR JS_AGENT.ASYQ
JS_AGENT.ASWV JS_AGENT.ASXS JS_AGENT.ASYR
JS_AGENT.ASWX JS_AGENT.ASXT JS_AGENT.ASYS
JS_AGENT.ASWY JS_AGENT.ASXU
JS_AGENT.ASXA JS_AGENT.ASXX
101:名無しさん@お腹いっぱい。
09/05/22 18:59:15
>>94
Nortonで検出確認
102:名無しさん@お腹いっぱい。
09/05/22 18:59:34
>>96
F-Secure Internet Security 2009
パターン ファイルのバージョン:
ウィルス: 2009-05-22_03
スパイウェア: 2009-05-22_03
スキャン エンジン:
F-Secure AVP: 7.00.171, 2009-05-22
Trojan-Downloader.Win32.Boltolog.efx ak1.exe
Trojan-Spy.Win32.Zbot.uje bot.exe
Trojan-Downloader.Win32.FraudLoad.eky install.exe
Trojan-Downloader.Win32.FraudLoad.vvqz install2.exe
Trojan-Spy.Win32.Zbot.uji ldr.exe
Trojan-Dropper.Win32.Agent.apig media_player_update.exe
Trojan-Downloader.Win32.Agent.byqu softwarefortubeview.45013.exe
Trojan-Downloader.Win32.Geral.rn xp.exe
103:名無しさん@お腹いっぱい。
09/05/22 19:00:23
Rising 2009 21.39.42 (21.30.42.00)
前スレ>866 (tane0317)
install2.exe: Trojan.Win32.FakeAV.nz
install4.exe: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
3/5
前スレ>896 (tane0323)
install.exe: Trojan.Win32.FakeAV.nz
1+1=2/4
前スレ>916 (tane0326)
download.php: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
2/2
>>96
install.exe: Trojan.Win32.FakeAV.nz
3+1=4/8
104:名無しさん@お腹いっぱい。
09/05/22 19:02:26
F-Secureを使ってる方に質問ですがF-Secureが採用してるアンチウイルスエンジンってKasperskyだけですか?
F-SecureのHPみても詳細が出てないからいまいちわからないんですよね
105:名無しさん@お腹いっぱい。
09/05/22 20:13:05
F-Secureのスレで聞けよ
106:名無しさん@お腹いっぱい。
09/05/22 20:17:45
ちがう。
107:名無しさん@お腹いっぱい。
09/05/22 20:44:23
>>96 乙
>>97 ㌧
カスペ2009 18:26
>>96
5+事後検出3=8/8でクローズ
既検出
Detected Trojan program Trojan-Downloader.Win32.Boltolog.efx /ak1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uje /bot.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uji /ldr.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.apig /media_player_update.exe
Detected Trojan program Trojan-Downloader.Win32.Geral.rn /xp.exe
以下事後検出3
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eky /install.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vvqz /install2.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.byqu /softwarefortubeview.45013.exe
108:61
09/05/22 21:30:33
>>97
AVIRA9 7.01.04.05 未検出確定分
ak1.exe - TR/Drop.BOL.efx
bot.exe - TR/Spy.ZBot.dag
ldr.exe - TR/Spy.ZBot.uji
softwarefortubeview.45013.exe - TR/Dldr.Agent.byqu
以上で、8個全部が黒確定でcloseしました。
109:61
09/05/22 21:33:48
>>94 書き忘れた...
AVIRA9 7.01.04.05
antivirus.exe - TR/PrivacyCenter.A.58
こちらも検出可でclose。
110:名無しさん@お腹いっぱい。
09/05/22 22:47:29
VIRUSTOTAL繋がらん・・・
111:名無しさん@お腹いっぱい。
09/05/22 23:12:37
お疲れ様です。規制中につき代理スレからの書き込みです。
>>102
FIS-2009では結果が出ているようなのでちょっと趣向を変えてみました。
F-Secure Internet Security Technology Preview 9.40
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
Pattern File Version
* Virus: 2009-05-22_06
* SpyWare: 2009-05-22_06
[結果] 検出 1/8
・\Malware_20090521\xp.exe ? Gen:Trojan.Heur.2015746F6F
・残りは NOT DETECTED
これはどうしたらいいのかな。SASへ登録は必要かな...?
112:名無しさん@お腹いっぱい。
09/05/22 23:16:39
>>111
Technology Preview 9.40 ってこれかな?
URLリンク(blog.f-secure.jp)
>検出に関連したLabへのフィードバックには、Sample Analysis Systemを使用して欲しい。
だそうです。
113:名無しさん@お腹いっぱい。
09/05/22 23:20:49
URLリンク(tane.sakuratan.com)
パス virus
インチキアンチスパイ詰め合わせ
114:111
09/05/22 23:40:53
>>112
一応確認したところ、FIS-2009はKasperskyでFIS-TPはBitDefenderですね。
となると、ここ1週間分くらいは最低限再チェックしてSASへ登録したほうがいいかな...?
それとも本件登録時に、以前登録分についても確認してもらうようなコメントを追記すればいいかな...?
>>113
>>111のパターンでのチェック結果
[検出:2/10]
\01\Work.exe → Gen:Trojan.Heur.90D02FAAAA (検疫可)
\01\SetupRelease.exe → Gen:Trojan.Heur.Hype.0A5AA5A5A5 (検疫不可)
残りは NOT DETECTED
やっぱりFIS-2009 に戻そうかしら...orz
115:名無しさん@お腹いっぱい。
09/05/22 23:48:47
>>113乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
116:名無しさん@お腹いっぱい。
09/05/22 23:48:49
Rising 2009 21.39.44 (21.30.44.00)
>>113
スルー
PrestoTuneUp.exeとActivatedReleaseXP.exeはハッシュ同じだよ
117:名無しさん@お腹いっぱい。
09/05/23 01:07:30
>>113
McAfeeに提出させて頂きました。
118:名無しさん@お腹いっぱい。
09/05/23 06:07:54
このスレの皆さん、ホンと凄いですね。いつも参照させてもらってます。
どんなメディアの情報よりも参考になります。
(いつか勉強して参加したいと思います)
119:名無しさん@お腹いっぱい。
09/05/23 07:11:03
>>48 >>72 >>61
McAfee回答
File Name Findings Detection Type
========= ======== ========= ====
explorer.exe detected generic pws.y!s trojan
File Name Findings Detection Type
========= ======== ========= ====
mpg.scr detected generic backdoor trojan
1199.exe detected generic backdoor!y trojan
ftp25.exe detected generic backdoor!y trojan
File Name Findings Detection Type
========= ======== ========= ====
cry.exe detected generic.dx!cx trojan
dia.exe detected w32/autorun.worm!n virus
file.exe detected generic.d!a trojan
softwarefortubeview.40000 detected generic downloader.x trojan
120:名無しさん@お腹いっぱい。
09/05/23 07:53:26
>>113
AntiVirとAntiyLabsにFTP経由で提出。
ActivatedReleaseXP.exe : Suspicious File(eSafe)
ActivatedSetup.exe : Trojan.Fakeav!IK(a-squared)
ActivatedSetupReleaseXP.exe : - Not Detected -
PrestoTuneUp.exe : Suspicious File(eSafe)
ReleaseXP.exe : SHeur2.AHGZ(AVG) , Suspicious File(eSafe)
SetupRelease.exe : Gen:Trojan.Heur.Hype.0A5AA5A5A5(BitDefender) , VirTool:Win32/Obfuscator.ER(Microsoft)
SetupReleaseXP.exe : - Not Detected -
uninstall.exe : Trojan.Fakeav!IK(a-squared)
update.exe : Trojan.Fakeav!IK(a-squared)
Work.exe : TR/Crypt.CFI.Gen Trojan(AntiVir) , Gen:Trojan.Heur.90D02FAAAA(BitDefender)
121:名無しさん@お腹いっぱい。
09/05/23 07:54:32
>>116
ほんとだ…提出前に気付けば良かった。他には、片方消してから提出しよう。
122:61
09/05/23 08:22:58
>>113 乙です。
Kaspersky 2009/05/23 7:12:00
ActivatedReleaseXP.exe -
ActivatedSetup.exe -
ActivatedSetupReleaseXP.exe -
ReleaseXP.exe -
SetupRelease.exe -
SetupReleaseXP.exe -
uninstall.exe -
update.exe -
Work.exe -
てなわけで全部スルーしたので、全部提出しました。(>116があったので、PrestoTuneUp.exeは省略)
123:61
09/05/23 08:58:48
>>113,120 乙です。
AVIRA9 7.01.04.06 現状です。
ActivatedReleaseXP.exe -
ActivatedSetup.exe -
ActivatedSetupReleaseXP.exe -
ReleaseXP.exe -
SetupRelease.exe -
SetupReleaseXP.exe -
uninstall.exe -
update.exe -
Work.exe - TR/Crypt.CFI.Gen
スルーしたものはこちらでも提出。全部UNDER ANALYSIS(分析中)表示でした。 う~ん、回線が細いから時間がかかる...
124:61
09/05/23 09:01:45
>>113
最後にVirustotal現状です。
ActivatedReleaseXP.exe - URLリンク(www.virustotal.com) (1/40)
ActivatedSetup.exe - URLリンク(www.virustotal.com) (6/40)
ActivatedSetupReleaseXP.exe - URLリンク(www.virustotal.com) (1/40)
ReleaseXP.exe - URLリンク(www.virustotal.com) (3/40)
SetupRelease.exe - URLリンク(www.virustotal.com) (4/40)
SetupReleaseXP.exe - URLリンク(www.virustotal.com) (1/39)
uninstall.exe - URLリンク(www.virustotal.com) (7/40)
update.exe - URLリンク(www.virustotal.com) (6/40)
Work.exe - URLリンク(www.virustotal.com) (7/40)
VT、解析結果のアドレスの付け方が変わりましたね。
125:名無しさん@お腹いっぱい。
09/05/23 12:20:03
偽セキュリティソフト提出してたらきりがねーぞ
126:名無しさん@お腹いっぱい。
09/05/23 15:34:55
偽セキュリティソフトは提出していいんじゃないかな。
それ相応の悪さする訳だし。収集も提出も各自の自己責任だけど、キージェネの鑑定とかと違うし
ここに持ち込むことは構わないと思う。
127:名無しさん@お腹いっぱい。
09/05/23 19:58:31
>>124
ActivatedReleaseXP.ex
ActivatedSetup.exe
ActivatedSetupReleaseXP.exe
ReleaseXP.exe
SetupRelease.exe
SetupReleaseXP.exe
Windows XPの公開版をアクチ(Activate)したり、WGA(Windows Genuine Advantage)非経由でパッチ当てる(Update)ためのソフトに見える。
【新板】WGA回避大作戦 part2だよ (Windows板)
スレリンク(win板)
128:名無しさん@お腹いっぱい。
09/05/23 20:43:09
Rising 2009 21.39.52 (21.30.52.00)
前スレ>881 (tane0320)
7\load.exe: Trojan.DL.Win32.Undef.ent
b\Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
b\Mediacodec_v3.7.exe>>agent.exe: Trojan.Win32.FakeVir.it
4+2=6/12
前スレ>895 (tane0322)
Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1
>>26
dropper.bin>>upx_c: Trojan.DL.Win32.Delf.zrg
>>94
antivirus.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1
129:名無しさん@お腹いっぱい。
09/05/23 21:59:07
>>113
カスペ
update.exe→not-a-virus:FraudTool.Win32.VirusDoctor.f
uninstall.exe→not-a-virus:FraudTool.Win32.VirusDoctor.g
ActivatedSetup.exe→not-a-virus:FraudTool.Win32.VirusDoctor.h
130:名無しさん@お腹いっぱい。
09/05/23 23:26:29
>>124
>VT、解析結果のアドレスの付け方が変わりましたね。
再解析するファイルが多すぎて、ハイフン以下で日付と時間入れてみたのかね。2chのスレタイみたい。
131:61
09/05/23 23:28:37
URLリンク(tane.sakuratan.com)
DL virus/解凍 virus
【中身】8個入っています。
1.exe
URLリンク(www.virustotal.com) (11/38)
6244.exe
URLリンク(www.virustotal.com) (21/40)
bb021908.exe
URLリンク(www.virustotal.com) (8/38)
softwarefortubeview.45027.exe
URLリンク(www.virustotal.com) (1/40)
SudoPlanet_setup.exe
URLリンク(www.virustotal.com) (7/39)
ya.exe
URLリンク(www.virustotal.com) (19/39)
readme.pdf
URLリンク(www.virustotal.com) (12/40)
load.php
URLリンク(www.virustotal.com) (7/40)
softwarefortubeview.XXXXX.exeは改変が早いので、ちょっと注意が必要ですね。
132:61
09/05/23 23:41:54
>>131
AVIRA9 7.01.04.07 未検出分3個は提出済み。
1.exe - TR/Spy.Ambler.D.27
6244.exe - TR/BHO.Gen
bb021908.exe -
softwarefortubeview.45027.exe -
SudoPlanet_setup.exe - ADSPY/AdSpy.Gen
ya.exe - TR/Crypt.ZPACK.Gen
readme.pdf - HTML/Crypted.Gen
load.php -
>>130
SHA256のハッシュ - タイムスタンプ になっているみたい。
今度からMD5を貼らなくても、アドレスからSHA256を抜き出せるので、VTでハッシュ検索がしやすくなってます。
が、その分アドレスが異常に長い...orz
133:61
09/05/23 23:53:25
>>131
Kaspersky 2009/05/23 23:02:00 未検出分4個は提出済み。
1.exe - Trojan.Win32.Agent.cimn
6244.exe - Trojan-Dropper.Win32.BHO.bt
bb021908.exe -
softwarefortubeview.45027.exe - Trojan-Downloader.Win32.FraudLoad.elf
SudoPlanet_setup.exe -
ya.exe - Trojan-Spy.Win32.Zbot.gen
readme.pdf -
load.php -
>>125-126
う~ん、今時のマルウェアは、主流が偽Antivirusと偽codecなので、偽Antivirusが増えるのはしょうがないと思う。
偽Antivirus - 偽の検索画面を見せて、マルウェア発見→Antivirusインストールして!
偽codec - 偽動画サイトを見せて、codecが入ってないから再生できない→codecインストールよろ。
なんで、今のマルウェアは裏から来ないで、表から堂々と来ます。その手の案内がメールで来ることも予想すると
偽Antivirusも出しておいた方が良いと思ったり。
あと、偽codecはポルノサイトが多い。 男って悲しいネ...orz
134:名無しさん@お腹いっぱい。
09/05/24 00:03:00
>>131
Risingに送りました
135:名無しさん@お腹いっぱい。
09/05/24 00:04:01
>>131
McAfeeに提出させて頂きました。
136:名無しさん@お腹いっぱい。
09/05/24 00:19:55
>>131乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
137:こなた ◆KONATAzZoM
09/05/24 02:14:46
お疲れ様です。
規制解除されたので報告。
F-Secure Internet Security Technology Preview 9.40
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01
>>94
BitDefenderで検出済みにつき確認/報告していません。
>>111
検出結果変わらず。SASへは金曜日の夜中に報告済みですが、回答未だ無し。
>>114
状況変わらず。
>>131
[検出結果:2/12]
\tane0345\1.exe → Trojan.Crypt.DF: 処理 失敗
\tane0345\ya.exe → Gen:Trojan.Heur.Hype.40708F8F8F :検疫可
残りはNOT DETECT
FIS-TPでの未検出分報告(>>114 >>131)については、>>111の回答を待ってから考えます。
あと、何方か FIS-2009で確認してる方いらっしゃいませんか?
F-Secureとしてはそちらがメインだと思いますので、確認して頂けると助かります。
138:こなた ◆KONATAzZoM
09/05/24 03:37:40
お疲れ様です。
一応念のため>>26をFIS-TPにて再確認。
チェック環境は>>137のと一緒。
[検出:本体 30/30 HTML 117/555]
本体は全て検出。HTMLは以下のとおりで、行末の数字は検出数。
\20090405\ [3/3] *
\20090411\ [1/1] *
\20090509\ [47/47] *
\20090514\ [2/2] *
\20090516\joyjoynet\ [5/17]
\20090516\livmail\ [8/43]
\20090516\nifty-hair\ [3/36]
\20090516\revue1999\ [6/18]
20090516\skyhighpremium\ [2/11]
\20090518\laqoo\ [1/137]
\20090518\pmpk\ [7/14]
\20090518\replica08\ [18/52]
\20090518\seibidoshuppan\ [5/10]
\20090518\themusasi\ [4/27]
\20090519\loca.zombie\ [1/1] *
\20090519\yuuno.sakura\ [4/14]
(上記以外は未検出)
とりあえず FIS-TP でも検出精度はそこそこ問題なさそう?
日数経ってるから当たり前といえば当たり前なのだろうけど…
139:61
09/05/24 10:56:29
URLリンク(tane.sakuratan.com)
DL virus/解凍 virus
【中身】8個入っています。
install.exe
URLリンク(www.virustotal.com) (9/40)
Install_2019.exe
URLリンク(www.virustotal.com) (3/40)
install2.exe
URLリンク(www.virustotal.com) (13/40)
softwarefortubeview.45027-2.exe
URLリンク(www.virustotal.com) (1/40)
ws.exe
URLリンク(www.virustotal.com) (3/40)
pdf.pdf
URLリンク(www.virustotal.com) (15/40)
two.pdf
URLリンク(www.virustotal.com) (10/40)
flash.swf
URLリンク(www.virustotal.com) (10/40)
※ softwarefortubeview.45027-2.exeは、>131と別のもの。(新種に改変された)
140:名無しさん@お腹いっぱい。
09/05/24 11:01:21
>>131,133 乙
カスペ2009 9:37:00
対象検体>>131
4+事後検出2(下2行)=6/8
Detected Trojan program Trojan.Win32.Agent.cimn /1.exe
Detected Trojan program Trojan-Dropper.Win32.BHO.bt /6244.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.elf /softwarefortubeview.45027.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen /ya.exe
Detected Trojan program Trojan.Win32.VB.psi, Trojan.Win32.Delf.mso /bb021908.exe
Detected Trojan program Trojan.JS.Agent.age /readme.pdf
141:61
09/05/24 11:09:58
>>139
AVIRA9 7.01.04.07 未検出分3個+HEUR 1個=4個は提出済み。
install.exe - TR/Crypt.XPACK.Gen
Install_2019.exe -
install2.exe - TR/Crypt.ZPACK.Gen
softwarefortubeview.45027-2.exe -
ws.exe - TR/Dropper.Gen
pdf.pdf - HEUR/HTML.Malware
two.pdf - EXP/CVE-2009-0837
flash.swf -
Kaspersky 2009/05/24 9:37:00 未検出分5個は提出済み。
install.exe -
Install_2019.exe -
install2.exe - Trojan-Dropper.Win32.FrauDrop.bi
softwarefortubeview.45027-2.exe - Trojan-Downloader.Win32.FraudLoad.elf
ws.exe -
pdf.pdf -
two.pdf - Exploit.Win32.Pidief.alc
flash.swf -
む、AVIRAのHEUR、実物初めて出た。
142:名無しさん@お腹いっぱい。
09/05/24 11:38:15
>>139
McAfeeに提出させて頂きました。
143:名無しさん@お腹いっぱい。
09/05/24 11:44:38
>>139
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
6244.exe |new detection |puper!f |Trojan |yes
ya.exe |new detection |generic pws.y!t |Trojan |yes
あとは全部 inconclusive
144:名無しさん@お腹いっぱい。
09/05/24 11:46:34
>>139
Norton自動返答
filename: sopidkc.exe
result: This file is detected as Downloader. URLリンク(www.symantec.com)
filename: 6244.exe
result: This file is detected as Downloader. URLリンク(www.symantec.com)
あとは全部手動解析行き
145:名無しさん@お腹いっぱい。
09/05/24 12:10:18
>>139
カスペ返答
1.exe_ - Trojan.Win32.Agent.cirp,
load.php - Trojan.Win32.Inject.aazv
New malicious software was found in these files.
45027.exe_ - Trojan-Downloader.Win32.FraudLoad.elf,
6244.exe_ - Trojan-Dropper.Win32.BHO.bt,
bb021908.exe_, dpcxool64.sys - Trojan.Win32.VB.psi,
readme.pdf_ - Trojan.JS.Agent.age,
sopidkc.exe_, tpsaxyd.exe_ - Trojan.Win32.Delf.mso,
ya.exe_ - Trojan-Spy.Win32.Zbot.gen
These files are already detected.
comsa32.sys, SudoPlanet_setup.exe_
No malicious code were found in these files.
※ bb021908.exe_は解凍したファイルも一緒に送っていますので、そのファイル名も報告に含まれています。
146:61
09/05/24 12:27:17
>>141
Kaspersky未検出分返答
install.exe - Trojan-Downloader.Win32.FraudLoad.eln
Install_2019.exe_ - Trojan-Downloader.Win32.FraudLoad.elo
ws.exe_ - Trojan-Downloader.Win32.FraudLoad.vxmg
pdf.pdf - Exploit.Win32.Pidief.avw
flash.swf - Exploit.SWF.Agent.aq
ということで、全黒でclose.
どうも、分析を担当したアナリストによって返答したりしなかったり、という感じ。
早い人だと、送ってからあっという間に解析結果のメールが来る。逆に、メール来ないのに対応終わってることもあるし、ちょっと面白い。
147:名無しさん@お腹いっぱい。
09/05/24 14:43:12
Rising 2009 21.39.60 (21.30.60.00)
前スレ>636 (tane0293)
playenline\1.exe: Trojan.PSW.Win32.GameOL.zyj
17+1=18/33
>>139
Risingに送りました
148:名無しさん@お腹いっぱい。
09/05/24 16:05:59
>>139乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
149:こなた ◆KONATAzZoM
09/05/24 16:34:11
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01
[検出結果:4/8]
flash.swf → Exploit.SWF.Gen [検疫]
install.exe → GenPack:Trojan.Generic.1552053 [検疫]
pdf.pdf → Exploit.PDF-JS.Gen [検疫]
two.pdf → Exploit.PDF-URI2.Gen [検疫]
[以下未検出]
Install_2019.exe
install2.exe
softwarefortubeview.45027-2.exe
ws.exe
>>111の回答がもらえていませんので、対応する気があるのか不明との判断に付き報告は保留しています。
150:こなた ◆KONATAzZoM
09/05/24 16:36:37
ぬあ…抜けてた。
>>149は>>139の結果です。
失礼しました。
151:61
09/05/24 23:13:13
URLリンク(tane.sakuratan.com)
DL virus/解凍 virus
【中身】 27個入っています。多いです。スミマセン
インフォメーションは後程。AVIRAとKasperskyは提出済み。いつも通りVirustotalにも全部投げてあります。
152:名無しさん@お腹いっぱい。
09/05/24 23:30:46
>>151乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
NIS2009で、解凍後のAutoProtect検出で13/27 (でもファイル数は16ヶ残った)
手動スキャンを続けて試みたが追加検出は無しでした
153:名無しさん@お腹いっぱい。
09/05/24 23:33:53
Rising 2009 21.39.62 (21.30.62.00)
>>151
1.exe>>mian007: Packer.Win32.Mian007.a
file.exe: Backdoor.Win32.Undef.did
install3.exe: Trojan.Win32.Nodef.jka
3/27
提出完了
154:61
09/05/25 00:04:26
>>151 いんふぉめ~しょん(1/3)
1.exe
URLリンク(www.virustotal.com) (16/40)
access.exe
URLリンク(www.virustotal.com) (0/40)
e98m.pdf
URLリンク(www.virustotal.com) (6/40)
EXP_pdf.pdf
URLリンク(www.virustotal.com) (16/39)
file.exe
URLリンク(www.virustotal.com) (18/40)
file2.exe
URLリンク(www.virustotal.com) (5/40)
install.exe
URLリンク(www.virustotal.com) (4/40)
Install_11-1.exe
URLリンク(www.virustotal.com) (0/40)
install2.exe
URLリンク(www.virustotal.com) (5/40)
install3.exe
URLリンク(www.virustotal.com) (15/40)
155:名無しさん@お腹いっぱい。
09/05/25 00:04:29
>>151
McAfeeに提出させて頂きました。
156:61
09/05/25 00:15:18
>>151 いんふぉめ~しょん(2/3)
ldr.exe
URLリンク(www.virustotal.com) (9/39)
load.exe
URLリンク(www.virustotal.com) (0/40)
load.php
URLリンク(www.virustotal.com) (14/40)
load2.exe
URLリンク(www.virustotal.com) (6/39)
load2.php
URLリンク(www.virustotal.com) (6/39)
load3.php
URLリンク(www.virustotal.com) (1/40)
load4.php
URLリンク(www.virustotal.com) (7/40)
loadhlp.exe
URLリンク(www.virustotal.com) (10/39)
m.dll
URLリンク(www.virustotal.com) (11/38)
pdf.php
URLリンク(www.virustotal.com) (6/40)
157:61
09/05/25 00:22:11
>>151 いんふぉめ~しょん(3/3)
readme.pdf
URLリンク(www.virustotal.com) (13/40)
setup.exe
URLリンク(www.virustotal.com) (5/40)
softwarefortubeview.45013.exe
URLリンク(www.virustotal.com) (3/40)
spl.php
URLリンク(www.virustotal.com) (12/40)
spl2.php
URLリンク(www.virustotal.com) (12/40)
sta.exe
URLリンク(www.virustotal.com) (17/39)
z.exe
URLリンク(www.virustotal.com) (9/40)
全部で27個でした。あと、>156訂正
load.exe
URLリンク(www.virustotal.com) (0/40) → (10/40)
158:名無しさん@お腹いっぱい。
09/05/25 00:30:17
>>151 乙&代理提出㌧
(参考)
カスペ 2009 23:11:00 13/27
カスペ 2010 ベータ 23:11:00 14/27 (setup.exeを追加検出)
Detected Trojan program Trojan.Win32.Pakes.nkq /1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uty /file2.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vxsv /install.exe
Detected Trojan program Trojan.Win32.Tdss.aeii /install3.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic /load.exe
Detected Trojan program Backdoor.Win32.Agent.agua /load.php
Detected virus Email-Worm.Win32.Joleee.bot /load2.exe
Detected Trojan program Trojan.Win32.Small.byt /load2.php
Detected Trojan program Trojan-Dropper.Win32.Agent.apvd /loadhelp.exe
Detected virus not-a-virus:FraudTool.Win32.SpywareGuard2008.ccl /m.dll
Detected Trojan program Trojan.JS.Pakes.bf /readme.pdf
Detected virus HEUR:Trojan.Win32.Generic /setup.exe
Detected Trojan program Trojan.Win32.Obfuscated.afvj /sta.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.urw /z.exe
159:61
09/05/25 00:32:58
>>151
最後にAVIRA9とKasperskyの結果。今回は数が多いので検出数だけ。
AVIRA9 7.01.04.07 - 検出11,未検出16
Kaspersky 2009/05/24 23:11:00 - 検出13,未検出14
160:名無しさん@お腹いっぱい。
09/05/25 00:56:11
お疲れ
161:61
09/05/25 00:56:32
>>122 メール来てないけど事後報告。
Kasperskyで検出するようになったの下記の3個のみ。
ActivatedSetup.exe - not-a-virus:FraudTool.Win32.VirusDoctor.h
uninstall.exe - not-a-virus:FraudTool.Win32.VirusDoctor.g
update.exe - not-a-virus:FraudTool.Win32.VirusDoctor.f
あとは白判定だったような感じです。では ノシ
162:こなた ◆KONATAzZoM
09/05/25 02:14:36
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01
>>151
[検出結果:11/27]
\e98m.pdf -> Exploit.PDF-JS.Gen [検疫可]
\EXP_pdf.pdf -> Exploit.PDF-JS.Gen [検疫可]
\pdf.php -> Exploit.PDF-JS.Gen [検疫可]
\spl.php -> Exploit.PDF-JS.Gen [検疫可]
\spl2.php -> Exploit.PDF-JS.Gen [検疫可]
\file.exe -> Gen:Trojan.Heur.GM.0000C14108 [検疫可]
\file2.exe ->Gen:Trojan.Heur.Hype.40708F8F8F [検疫可]
\loadhelp.exe -> Trojan-Spy:W32/Ambler.gen!B [検疫可]
\setup.exe -> Net-Worm:W32/Koobface.gen!A [検疫可]
\load2.exe -> Gen:Trojan.Heur.Hype.2014EBEBEB [検疫可]
\sta.exe -> Gen:Trojan.Heur.P3001FEEEEE [検疫可]
[残り未検出:16/27]
SASへの報告については>>111の回答待ち。
未報告案件:>>111 >>114 >>137 >>149 + 今回分
明日…というか今晩帰宅した際に回答があった場合は、未報告分をチェックの上、残件を報告します。
163:名無しさん@お腹いっぱい。
09/05/25 12:51:46
GENO5/8分 Symantec返答
filename: id3_20090508.swf
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
filename: id10_20090508.exe
result: This file is detected as Infostealer.Daonol.
filename: id2_20090508.pdf
result: This file is detected as Bloodhound.PDF.7.
最新のRapidRelease定義を作成したので使ってくれ(以下、原文)
>Symantec Security Response has determined that the sample(s) that you provided
>are infected with a virus, worm, or Trojan. We have created RapidRelease defini
>tions that will detect this threat. Please follow the instruction at the end of
> this email message to download and install the latest RapidRelease definitions.
>Downloading and Installing RapidRelease Definition Instructions:
>1. Open your Web browser. If you are using a dial-up connection, connect to any
> Web site, such as: URLリンク(securityresponse.symantec.com)
>2. Click this link to the ftp site: fURLリンク(ftp.symantec.com)
> If it does not go to the site (this could take a minute or so if you have
> a slow connection), copy and paste the address into the address bar of your Web
> browser and then press Enter.
>3. When a download dialog box appears, save the file to the Windows desktop.
>4. Double-click the downloaded file and follow the prompts.
>
>Virus definition detail:
>
>Sequence Number Greater Than: 95887
>Defs Version: 110524u
>Extended Version: 05/24/2009 rev.21
164:名無しさん@お腹いっぱい。
09/05/25 12:53:28
私はSymantec使ってないけど、最新定義使いたい人の目に止まるように上げておきました。
165:158
09/05/25 15:54:09
>>151
カスペ14:22:00 検出ベース&返答
13+事後検出12=25/27, 白1,破損1でクローズ
e98m.pdf - Exploit.Win32.Pidief.awp
EXP_pdf.pdf - Exploit.Win32.Pidief.awf
load2.exe - Email-Worm.Win32.Joleee.bot
file.exe - Worm.Win32.AutoRun.ajoi
Install_11-1.exe - Trojan program Trojan.Win32.FraudPack.oiu
ldr.exe - Trojan-Spy.Win32.Zbot.uwl
load.exe - Trojan-Downloader.Win32.Small.akvu (HEUR:Trojan-Downloader.Win32.Generic)
load3.php - Trojan.Win32.Inject.abau
load4.php - Trojan-Dropper.Win32.Agent.aqph
softwarefortubeview.45013.exe - Trojan-Downloader.Win32.Agent.bzxx
setup.exe - Net-Worm.Win32.Koobface.kk (←HEUR:Trojan.Win32.Generic)
spl.php - Exploit.Win32.Pidief.awo
spl2.php - Exploit.Win32.Pidief.awn
access.exe - No malicious code was found in this file.
install2.exe - This file is corrupted.
166:名無しさん@お腹いっぱい。
09/05/25 18:07:00
URLリンク(tane.sakuratan.com)
Infected
無駄にでかいです。orz
どこぞの鑑定スレに古いマルウェアアドレスが出る→何の気なしに、ドメイン名の一部とexeをキーワードに検索
→文字化けしてたが、どこかの報告リストを目撃→うかつにも全部落としてみる→404とかもあったけどファイル多数
無害なものも幾つか入っちゃってるかもしれませんので、自分の使用中のベンダーで検知・削除されないものに
限定して(VTに投げて0/40なものは外すとかして)提出してください。
古いものも混じっているので、全部提出する必要はないと思います。
AntiVirとAntiyLabs宛にはFTP経由で提出済み(AntiVirはすり抜け分のみ8.7MB程度)
167:名無しさん@お腹いっぱい。
09/05/25 18:08:13
あ、パスは infected の間違い。頭大文字じゃないです。
168:名無しさん@お腹いっぱい。
09/05/25 18:43:37
>>166-167乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
169:名無しさん@お腹いっぱい。
09/05/25 19:51:47
>>166
未検出分をMcAfeeに提出させて頂きました。
170:名無しさん@お腹いっぱい。
09/05/25 21:02:01
Rising 2009 21.40.02 (21.31.02.00)
>>96
bot.exe: Backdoor.Win32.Ntos.cc
4+1=5/8
>>131
6244.exe>>upx_c>>3e9>>upx_c: AdWare.Win32.Undef.evr
1/8
>>166
172(+1)/197
171:名無しさん@お腹いっぱい。
09/05/25 21:56:37
>>166-167
乙
カスペ2009 21:02(KIS2010も同じ)
180/197 (うちヒューリスティック4)
検出結果詳細 略
順次提出。
172:61
09/05/25 22:00:50
>>165 乙です。
Kaspersky データベース 2009/05/25 21:02:00で>165の通り検出できました。
>>161
同上のデータベースで、1個追加。
Work.exe - Trojan.Win32.Qhost.loa
後は未検出のままです。>161の分は返事が来ないから、白黒がはっきりしない...
173:61
09/05/25 22:14:02
>>123 AVIRA未検出分返答
ActivatedReleaseXP.exe - 黒(名称未定)
ActivatedSetup.exe - TR/FakeVimes.A.23
ActivatedSetupReleaseXP.exe - 白
ReleaseXP.exe - TR/Fakealert.ZB
SetupRelease.exe - 白
SetupReleaseXP.exe - DR/FakeAlert.RW
uninstall.exe - TR/FakeVimes.A.21
update.exe - TR/FakeVimes.A.22
以上、黒=事前1+事後6=7,白=2でclose.
174:61
09/05/25 22:34:46
>>159
AVIRA未検出分16個のうち返答があったもの
file2.exe - TR/Spy.ZBot.uty
Install_11-1.exe - TR/FraudPack.oiu
install2.exe - SPR/Tool.Obfuscator.EW.2
install3.exe - TR/TDss.aeii
load2.exe - Worm/Joleee.bot
load2.php - TR/Small.byt
load3.php - TR/Inject.abau
loadhlp.exe - TR/Drop.Agent.apvd
m.dll - 黒(名称未定)
setup.exe - 白
softwarefortubeview.45013.exe - TR/Dldr.Agent.bzxx
z.exe - TR/Spy.ZBot.urw
12個判断終わり。黒=11,白=1。 4個まだ解析中・・・めずらしくAVIRAが判断に迷ってる。(後から出した方が先に返答来ている)
しかも更にめずらしく、setup.exeがKaspersky黒でAVIRA白。逆は多いけど、これは初めての気がする。( ゚д゚)
175:61
09/05/25 23:08:13
>>141 また書き忘れた...
Install_2019.exe - TR/Dldr.FraudLoad.elo
softwarefortubeview.45027-2.exe - TR/Dldr.FraudLoad.Elf.7
flash.swf -EXP/SWF.16723
HEURは隔離フォルダから送ったけど、これだとWeb提出と違って結果がみれないから状況不明。
どっちにしても、HEUR込みにすれば>139,141はAVIRAも全黒。
ただいま>166にAVIRA トライ中。
176:こなた ◆KONATAzZoM
09/05/25 23:18:20
お疲れ様です。
>>111で登録したときに書いた文句についての回答がありました。
>Hello,
>
>The ISTP product is a beta product and therefore may not be on the same level as our
>released products, as a result there may still be gaps in the on-demand scanning
>detection coverage. As the beta process continues we will take steps to ensure our
>detection coverage is as complete or exceeds coverage in our released products.
>Feedback such as yours is vital to this effort.
>
>We will add detection for these samples to ISTP databases as soon as possible.
>
>Thanks for your help!
>
超意訳:
>ISTPはベータ段階だから製品のより劣ってるかもしれないし、検出結果にギャップがあるのも否定はしない。
>このベータ段階を経て、既存の製品よりいいものにしようと私たちは手を打ってます。
>この努力に君らからのフィードバックを必要としています。
>今回提供してくれた検体の定義については、近々ISTPのデータベースに追加します。
ということなので、今日からまたちまちまとSASへの報告作業をはじめます。
177:61
09/05/25 23:20:48
>>166 乙です。Kasperskyは>171さんがやってくれていますので、AVIRAの方です。
AVIRA9 7.01.04.13 検出183,未検出14でした。(HEUR検出は無し)
ちなみに、未検出は
32.exe
a8.exe
c.js
go.exe
maya4.0.exe
qvodsetupplus.exe
read.php
setup(1).exe
show_ads.js
u89(1).exe
u89.exe
xx(1).htm
xx(2).htm
xxxdizhi.exe です。
順次AVIRAに提出しますがu89(1).exeとu89.exeは同じものなので、提出は13個になります。
178:61
09/05/26 00:24:53
>>177
Web提出時に既出で判定済み
黒 a8.exe - SPR/Hacktool.28501
白 maya4.0.exe,u89.exe,xxxdizhi.exe の3個
解析中
32.exe,c.js,go.exe,qvodsetupplus.exe,read.php,setup(1).exe,show_ads.js の7個
中身を見て、VTに投げた後、提出しなかったもの
xx(1).htm,xx(2).htm の2個 (VTでも 0/40)
AVIRA先生は終業時間過ぎてますので、報告は明日でしょう。では ノシ
179:61
09/05/26 00:38:31
>>174 訂正
× setup.exe - 白 → 黒判定。
同じ日に出した他のファイルと間違えた。orz >151,159,174のsetup.exeは、AVIRAも黒判定。
※ 白だったのは、VTに投げてはっきりしなかった分を、AVIRAに試しに出してみた分。
180:名無しさん@お腹いっぱい。
09/05/26 00:44:22
Rising 2009 21.40.04 (21.31.04.00)
前スレ>822
8\antivirus.exe>>pc.exe: AdWare.Win32.FakeAV.cp
5(+1)+1=6(+1)/12
>>131
bb021908.exe>>sopidkc.exe: Backdoor.Win32.Undef.dlw
bb021908.exe>>tpsaxyd.exe: Backdoor.Win32.Delf.ebq
1+1=2/8
>>166
追加検出1
172(+1)+1=173(+1)/197
181:こなた ◆KONATAzZoM
09/05/26 00:46:58
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-25_11
* SpyWare: 2009-05-25_11
>>113 (0344)
[検出結果:10/10]
\ActivatedSetup.exe -> Trojan-Downloader:W32/FraudLoad.EJ [検疫可]
\uninstall.exe -> Trojan-Downloader:W32/FraudLoad.EK [検疫可]
\update.exe -> Trojan-Downloader:W32/FraudLoad.EL [検疫可]
\Work.exe -> Gen:Trojan.Heur.90D02FAAAA [検疫可]
\SetupRelease.exe -> Gen:Trojan.Heur.Hype.0A5AA5A5A5 [検疫不可]
[RiskWare]
\ActivatedReleaseXP.exe -> Riskware:W32/Prestune.A
\PrestoTuneUp.exe -> Riskware:W32/Prestune.A
\ReleaseXP.exe -> Rogue:W32/PrestoTuneUp.D
\ActivatedSetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.C
\SetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.B
>>131 (0345)
>>137から変化なし。未検出分をSASへ登録しました。
>>139 (0346)
>>149から変化なし。未検出分をSASへ登録しました。
>>151 (0347)
>>162から変化なし。未検出分をSASへ登録しました。
182:171
09/05/26 01:07:56
>>166
カスペからの返事
180+事後検出6=186/197 、白5, 回答待ち6
白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち:32.exe, qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm
寝る