【鑑定目的禁止】検出可否報告スレ11at SEC
【鑑定目的禁止】検出可否報告スレ11 - 暇つぶし2ch18:名無しさん@お腹いっぱい。
09/05/19 19:51:02
>>15
Symantecとa-squaredとMalwarebytesに提出済みです

>>1さん
>>4
*裏技:シマへは圧縮フォルダ×2回(*7zip-PPMd圧縮)で実はツメホーダイだが、対応が確実に遅くなるので非推奨

だいたい30分以内には更新が届くので、圧縮形式自体は実はたいした問題ではないのです。
僕はこの方法で数万回提出していますw

19:名無しさん@お腹いっぱい。
09/05/19 19:56:39
>>15
McAfeeに提出させて頂きました。

20:名無しさん@お腹いっぱい。
09/05/19 20:00:16
Rising 2009 21.39.12 (21.30.12.00)
>>15
play\1199.exe: Backdoor.Win32.PcClient.tvj
play\play.scr>>1199.exe: Backdoor.Win32.PcClient.tvj
RisingにHTML提出完了

21:名無しさん@お腹いっぱい。
09/05/19 20:26:16
>>18
(えー

わたしが送ったときは、自動返答のCLOSEが1ヶ月後だったのに…

22:18
09/05/19 20:58:08
>>21
ウチの郵便受けです。さながら地獄ですねw
URLリンク(f.imagehost.org)

23:名無しさん@お腹いっぱい。
09/05/19 21:46:46
GENOのサイト踏んだときにダウンロードしたexeってここに出せばいいの?
誘導されてきたんだが

24:名無しさん@お腹いっぱい。
09/05/19 22:00:14
>>23
おかあちゃんに渡しといてくれ

25:名無しさん@お腹いっぱい。
09/05/19 22:10:00
>>23
ここのUploaderにお願いします。

パス付きZIPで上げて、アドレスとダウンロードパス(解凍パスが異なるならそれも)を書いてくれれば、
誰かが提出してくれると思います。

26:名無しさん@お腹いっぱい。
09/05/19 22:26:17
URLリンク(tane.sakuratan.com)
infected

ここに今まで提出されていたGENO関係のまとめ(ここには上げていないスクリプト付きHTMLも入っています)を
UPしてみました。全て、各種ベンダーに提出済みのものですので再提出の必要はありません。きっと。

感染スクリプトを含んだHTMLが多く、無駄に容量食っていたので(ZIP1発だと3MB/7zだと1.1MB)、
7zで圧縮し、それをもう1回ZIPで圧縮しています。ZIPも7zも同じパスワードとなっています。

現時点で、どの程度のセキュリティソフトが対応しているのか、各自ご愛用のセキュリティソフトでの
対応状況を確認してみてください。

27:名無しさん@お腹いっぱい。
09/05/19 22:30:01
>>26
ごめん、20090505分の所に、その日に一緒に提出した、別件のZIPが混ざってました。そいつは無視してください。orz

BitDefenderの検出名
 4/5版 本体exe:Trojan.Agent.AMNN 本体PDF:Exploit.PDF-JS.Gen 本体SWF:Exploit.SWF.Gen
    (4/5版関連ファイル:Trojan.Downloader.JS.Agent.PM,Trojan.Downloader.JS.Agent.PM,Trojan.Delf.Agent.L,Trojan.Agent.AMNM)
 4/11版 本体exe:Trojan.Generic.1618916 本体PDF:Trojan.Script.11972
 5/2版 本体exe:Trojan.Agent.AMTB 本体PDF:Trojan.Downloader.JS.SetSlice.K 本体swf:Exploit.SWF.Gen
 5/4版 本体exe:Trojan.Generic.1813945 本体swf:Exploit.SWF.Gen
 5/5版 本体exe:Trojan.Dropper.TAX 本体PDF:Exploit.PDF-JS.Gen
 5/8版 本体exe:Trojan.Seekwel.C 本体PDF:Exploit.PDF-JS.Gen 本体swf:Exploit.SWF.Gen
 5/10版 本体exe:Trojan.Agent.AMVH 本体PDF:Exploit.PDF-JS.Gen 本体swf:スルー
 5/11版 本体exe:Trojan.Agent.AMVF 本体PDF:Trojan.Script.47321
 5/14版 本体exe:Trojan.Dropper.TBI 本体PDF:Trojan.JS.PZJ
 5/17版 本体exe:スルー 本体PDF:Suspect: Exploit.PDF-JS.Gen(正式ではない疑惑ファイル)

28:名無しさん@お腹いっぱい。
09/05/19 22:41:33
>>26
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

ITmedia News
PDFなどの脆弱性を悪用:Webに感染するマルウェア「JSRedir-R」が猛威 2009/05/19
JSRedir-RはWebサイトに仕掛けられ、
PDFとFlash Playerの脆弱性修正パッチを当てていないユーザーがそのサイトを閲覧すると、マルウェアに感染
URLリンク(www.itmedia.co.jp)
Computerworld.jp
猛威を振るう「JSRedir-R」マルウェア、ソフォスが注意を呼びかけ 2009/05/19
URLリンク(www.computerworld.jp)

29:名無しさん@お腹いっぱい。
09/05/19 22:49:03
Rising 2009 21.39.14 (21.30.14.00)
前スレ>881 (tane0320)
5\bot.exe: Trojan.DL.Win32.Undef.elt
3+1=4/12
>>26
20090505\3522938.zip>>3522938.exe: Trojan.PSW.Win32.GameOL.zla
20090508\id10_20090508.exe: Worm.Win32.Undef.gk
20090511\id10_20090511.exe: Trojan.Win32.Nodef.jak
20090516\martuz1upx.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090517\martuz_cn_id10_20090517.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090518_Execution result\muvl.exe: Trojan.Spy.Win32.Delf.dpt

30:名無しさん@お腹いっぱい。
09/05/19 22:49:21
>>26
AntiVir 1つを除いて全て検出

20090405/dropper.bin : (harmful) BDS/Agent.afid back-door program
20090405/monitor.bin : TR/Agent.caaj.B Trojan
20090405/dropper.pdf : EXP/Pidief.vtb exploit
20090405/dropper.swf : EXP/SWF.ED exploit
20090405/u.bat :
20090405_Execution result/bxatg.mnn : TR/Agent.AMPE Trojan
20090411/u2.exe : TR/Drop.Gadjo.1 Trojan
20090411/virus.pdf : EXP/PDF.10762 exploit
20090502/gumblar.swf : SWF/Agent.AI SWF virus
20090502/gumblar_fws.swf : SWF/Agent.AI SWF virus
20090502/gumblar.pdf : EXP/Pidief.JV exploit
20090502/gumblar.exe : TR/Agent2.ixj Trojan
20090502/gumblar_upx.exe : TR/Agent2.ixc Trojan
20090505/id2_20090505.pdf : EXP/Pidief.PB.1 exploit
20090505/id10_20090505.exe : TR/Agent.imh Trojan
20090508/id2_20090508.pdf : EXP/Pidief.rsn exploit
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : WORM/Autorun.aiai worm
20090510/id2_20090510.pdf : EXP/Pidief.gts exploit
20090510/id3_20090510.swf : SWF/Drop.Small.LC SWF virus
20090510/id10_20090510.exe : TR/Agent.cfuc Trojan
20090511/id2_20090511.pdf : EXP/Pidief.xah exploit
20090511/id10_20090511.exe : TR/Agent.cgch Trojan
20090516/martuz1.pdf : EXP/Pidief.aup exploit
20090516/martuz1cws.swf : SWF/Drop.Small.LJ SWF virus
20090516/martuz1upx.exe : TR/Agent.chbm Trojan
20090517/martuz_cn_id2_20090517.pdf : EXP/Pidief.aia exploit
20090517/martuz_cn_id10_20090517.exe : TR/Drop.Agent.qna.1 Trojan
20090518_Execution result/muvl.exe : TR/Drop.Agent.qna.2 Trojan

31:名無しさん@お腹いっぱい。
09/05/19 22:56:26
>>26 乙 カスペ2009 18:20
25/30 + HTML 4/555

Backdoor.Win32.Agent.afid   \0405\dropper.bin
Exploit.Win32.Pidief.aog   \0405\dropper.pdf
Exploit.SWF.Agent.ae   \0405\dropper.swf
Trojan-PSW.Win32.Kates.c   \0405\monitor.bin
Trojan-PSW.Win32.Kates.c   \0405_Execution result\bxatg.mnn
Exploit.Win32.Pidief.apg   \0411\virus.pdf
Trojan-PSW.Win32.Kates.e   \0502\gumblar.exe
Exploit.JS.Pdfka.ix   \0502\gumblar.pdf
Exploit.SWF.Agent.ai   \0502\gumblar.swf
Exploit.SWF.Agent.ai   \0502\gumblar_fws.swf
Trojan-PSW.Win32.Kates.e   \0502\gumblar_upx.exe
Trojan.Win32.Inject.xvb   \0505\3522938.zip/3522938.exe
Trojan.Win32.Agent.ceyr   \0505\id10_20090505.exe
Exploit.Win32.Pidief.atm   \0505\id2_20090505.pdf
Exploit.Win32.Pidief.atr   \0508\id2_20090508.pdf
virus Worm.Win32.AutoRun.aiai   \0508\id10_20090508.exe
Trojan.Win32.Agent.cfuc   \0510_1\id10_20090510.exe
Exploit.Win32.Pidief.atx   \0510_1\id2_20090510.pdf
Trojan.Win32.Agent.cgch   \0511\id10_20090511.exe
Trojan.JS.Agent.act   \0511\id2_20090511.pdf
Exploit.Win32.Pidief.aup   \0516\martuz1.pdf
Trojan.Win32.Agent.chbm   \0516\martuz1upx.exe
Trojan-Dropper.Win32.Agent.apfn   \0517\martuz_cn_id10_20090517.exe
Exploit.Win32.Pidief.auw   \0517\martuz_cn_id2_20090517.pdf
Trojan-PSW.Win32.Kates.c   \0518_Execution result\muvl.exe
Trojan-Downloader.JS.Agent.dwe   \HTML\0405\dropper.html
virus HEUR:Exploit.Script.Generic   \HTML\0411\index.php
Trojan.JS.Agent.adw   \HTML\0514\index.html
Trojan.JS.Agent.adx   \HTML\0514\kiso_syougou.html

32:名無しさん@お腹いっぱい。
09/05/19 22:57:28
=== a-squared4.5 ===
IKなので、全部イカロスエンジンの方ですね。5つスルー。HTMLのスクリプトも検出方向の模様。
20090405/dropper.bin : Gen:Trojan!IK
20090405/monitor.bin : Trojan-PWS.Delf!IK
20090405/dropper.pdf : Exploit.PDF-JS!IK
20090405/dropper.swf : Exploit.SWF.Agent!IK
20090405/u.bat : Trojan-Dropper.Agent!IK
20090405_Execution result/bxatg.mnn : Trojan-PWS.Delf!IK
20090411/u2.exe : Trojan-PWS.Delf!IK
20090411/virus.pdf : Exploit.PDF-JS!IK
20090502/gumblar.swf : Exploit.SWF.Agent!IK
20090502/gumblar_fws.swf : Exploit.SWF.Agent!IK
20090502/gumblar.pdf : Exploit.JS.Pdfka!IK
20090502/gumblar.exe : Trojan.Win32.Small!IK
20090502/gumblar_upx.exe : Trojan.Win32.Small!IK
20090505/id2_20090505.pdf : Exploit.Win32.Pidief!IK
20090505/id10_20090505.exe : Trojan.Win32.Small!IK
20090508/id2_20090508.pdf : Exploit.Win32.Pidief!IK
20090508/id3_20090508.swf : Exploit.SWF!IK
20090508/id10_20090508.exe : Trojan-PWS.Delf!IK
20090510/id2_20090510.pdf : JS.Obfuscated!IK
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Daonol!IK
20090511/id2_20090511.pdf : Trojan.JS.Agent!IK
20090511/id10_20090511.exe : Trojan.Daonol!IK
20090516/martuz1.pdf : Exploit.PDF-JS!IK
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : rojan-PWS.Win32.Kates!IK
20090517/martuz_cn_id2_20090517.pdf : -
20090517/martuz_cn_id10_20090517.exe : -
20090518_Execution result/muvl.exe : -
HTML : Virus.JS.Redirector!IK , Trojan.JS.Agent!IK

33:23
09/05/19 23:12:54
さっきのファイルを>>3で解析したらこういう結果になったんだが、うpの必要性ある?
ちなみに元ファイルは785.exeって名前なんだが。

URLリンク(www.virustotal.com)

34:名無しさん@お腹いっぱい。
09/05/19 23:28:19
>>33
UP頼む。

35:名無しさん@お腹いっぱい。
09/05/19 23:33:04
今帰宅
F-Secure Internet Security 2009
・DeepGuard Update 2009-05-18_03
・Hydra Update 2009-05-19_06
・Universal System Scanner Update 2009-05-19_03
・Anti-Virus AVP Extended Update 2009-05-19_05

>>15 のチェック結果
play\1199.exe → Backdoor.Win32.PcClient.amgj
play\play.scr → Backdoor:W32/PcClient.AMC

htmlを本家F-Secure SASに登録したところ、
全てSUSPICIOUS(嫌疑)という結果となりました。

36:23
09/05/19 23:35:59
おまたせ
URLリンク(tane.sakuratan.com)
infected

です。

37:名無しさん@お腹いっぱい。
09/05/19 23:38:25
Rising 2009
>>36
785.exe: Trojan.DL.Win32.Mnless.dmi

38:23
09/05/19 23:41:02
すまんh抜くのわすれた。。。

39:名無しさん@お腹いっぱい。
09/05/19 23:43:50
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-19_05
* F-Secure Hydra: 3.08.9080, 2009-05-19_06
>>36
785.exe:未検出
F-Secure SAS に登録します。

 

40:名無しさん@お腹いっぱい。
09/05/20 00:00:46
>>39
カスペスルー
検体提出しました。

レピュテーションっぽく、Suspicious Site(危険サイト)として、WebAVでブロックしてもらうよう一応はお願いした。

41:35
09/05/20 00:02:23
>>35の回答

>Hello,
>Thank you for the samples. We will add them detection as soon as possible.
>Cheers,

42:23
09/05/20 00:19:12
ちなみにAVGは検出したわ

43:名無しさん@お腹いっぱい。
09/05/20 00:32:34
>>36
捕獲乙でした。

AntiVir : TR/Crypt.ZPACK.Gen Trojan
BitDefender : スルー
a-squared : スルー

各社に提出しときます。


44:名無しさん@お腹いっぱい。
09/05/20 00:58:59
>>36
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

45:名無しさん@お腹いっぱい。
09/05/20 01:23:43
>>36
これ本当にgeno? まるっきり別物に見えるんだが…。

46:名無しさん@お腹いっぱい。
09/05/20 01:27:41
( ´,_ゝ`)プッ

47:名無しさん@お腹いっぱい。
09/05/20 01:43:45
>>328
ニコンだからこんなに高いの?

48:名無しさん@お腹いっぱい。
09/05/20 01:43:52
genoとは違うな。
Anubisの結果。
URLリンク(anubis.iseclab.org)
動作としてはダウンローダで、
basesrv3■net/info/bin/explorer.exe
を拾って実行。このドメインはそれほど新しくはなく、
既にあちこちのブラックリストに突っ込まれている。
VTにも既に誰かが投げている。
URLリンク(www.virustotal.com)
直接拾うのが嫌な人はどうぞ(ファイル名はキモいので変更済み)。
URLリンク(tane.sakuratan.com)
virus

49:名無しさん@お腹いっぱい。
09/05/20 02:04:57
Rising 2009
>>48
unknown1.exe>>pecompact2x: Suspicious:Unknown Virus
提出完了

50:39
09/05/20 02:13:42
>>39
F-Secure Labsからの回答
>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. Detection as
>Trojan-Downloader:W32/Agent.KNX will be added in one of the next database updates.

別にGENOに限らなくてもいいと思うけど。
12/40ってあまりヒット率よくないし…。

本日提出分の回答来たので、今日はここまで。
お先に失礼します。m(_ _)m

51:名無しさん@お腹いっぱい。
09/05/20 02:16:47
限ってるわけじゃないよ。

52:名無しさん@お腹いっぱい。
09/05/20 06:00:44
>>36,48
McAfeeに提出させて頂きました。

53:名無しさん@お腹いっぱい。
09/05/20 08:52:17
>>48
今朝の時点で落ちてきたのは同じバイナリでした。

取り敢えず、VT未検出の各社+αに提出完了。多少被ってるけど気にしない。

54:名無しさん@お腹いっぱい。
09/05/20 09:33:33
>>26 === Avast VPS: 090519-0, 2009/05/19 === スルー個数:本体+α(5/30) HTML(11/555)
20090405/dropper.bin : Win32:Trojan-gen {Other}
20090405/monitor.bin : Win32:Delf-MBA [Trj]
20090405/dropper.pdf : JS:Pdfka-FQ [Expl]
20090405/dropper.swf : Other:Malware-gen
20090405/u.bat : -(これは自己抹消のためのbatなので検出しなくても問題無い奴)
20090405_Execution result/bxatg.mnn : Win32:Delf-MBA [Trj]
20090411/u2.exe : Win32:Daonol-N [Drp]
20090411/virus.pdf : JS:Pdfka-FQ [Expl]
20090502/gumblar.swf : -
20090502/gumblar_fws.swf : -
20090502/gumblar.pdf : JS:Pdfka-GD [Expl]
20090502/gumblar.exe : Win32:Trojan-gen {Other}
20090502/gumblar_upx.exe : Win32:Trojan-gen {Other}
20090505/id2_20090505.pdf : JS:Pdfka-GB [Expl]
20090505/id10_20090505.exe : Win32:Trojan-gen {Other}
20090508/id2_20090508.pdf : -
20090508/id3_20090508.swf : Other:Malware-gen
20090508/id10_20090508.exe : Win32:Trojan-gen {Other}
20090510/id2_20090510.pdf : JS:Pdfka-GP [Expl]
20090510/id3_20090510.swf : Other:Malware-gen
20090510/id10_20090510.exe : Win32:Trojan-gen {Other}
20090511/id2_20090511.pdf : JS:Pdfka-GP [Expl]
20090511/id10_20090511.exe : Win32:Trojan-gen {Other}
20090516/martuz1.pdf : JS:Pdfka-HF [Expl]
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : Win32:Trojan-gen {Other}
20090517/martuz_cn_id2_20090517.pdf : JS:Pdfka-HF [Expl]
20090517/martuz_cn_id10_20090517.exe : Win32:Trojan-gen {Other}
20090518_Execution result/muvl.exe : Win32:Daonol-P [Trj]
20090519/785.exe : Win32:Trojan-gen {Other}
HTML : JS:Downloader-AC [Trj]/JS:Redirector-H2,H4,H5,H7,H9 [Trj]/JS:Redirector-J1,J3,J4 [Trj]

55:名無しさん@お腹いっぱい。
09/05/20 10:33:14
>>26 === PCプロテクションプラス(F-Secure系) === 本体 25/30 HTML 3/555 を検知
20090405/dropper.bin : Backdoor.Win32.Agent.afid
20090405/monitor.bin : Trojan-PSW.Win32.Kates.c(5/18の活動中ファイルと同じ名前)
20090405/dropper.pdf : Exploit.Win32.Pidief.aog
20090405/dropper.swf : Exploit.SWF.Agent.ae
20090405/u.bat : -
20090405_Execution result/bxatg.mnn : -
20090411/u2.exe : Trojan:W32/Agent.KAO
20090411/virus.pdf : Exploit.Win32.Pidief.apg
20090502/gumblar.swf : Exploit.SWF.Agent.ai
20090502/gumblar_fws.swf : Exploit.SWF.Agent.ai
20090502/gumblar.pdf : Exploit:W32/AdobeReader.RG
20090502/gumblar.exe : Trojan-PSW.Win32.Kates.e
20090502/gumblar_upx.exe : Trojan-PSW.Win32.Kates.e
20090505/id2_20090505.pdf : Exploit.Win32.Pidief.atm
20090505/id10_20090505.exe : Trojan.Win32.Agent.ceyr
20090508/id2_20090508.pdf : Exploit.Win32.Pidief.atr
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : Worm.Win32.AutoRun.aiai
20090510/id2_20090510.pdf : Exploit.Win32.Pidief.atx
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Win32.Agent.cfuc
20090511/id2_20090511.pdf : Trojan.JS.Agent.act
20090511/id10_20090511.exe : Trojan.Win32.Agent.cgch
20090516/martuz1.pdf : Exploit.Win32.Pidief.aup
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : Trojan.Win32.Agent.chbm
20090517/martuz_cn_id2_20090517.pdf : Exploit:W32/Pidief.DX
20090517/martuz_cn_id10_20090517.exe : Trojan:W32/Agent.KMH
20090518_Execution result/muvl.exe : Trojan-PSW.Win32.Kates.c
20090519/785.exe : Trojan-Downloader:W32/Agent.KNX
HTML : Trojan.JS.Agent.adw , Trojan.JS.Agent.adx , Trojan-Downloader.JS.Agent.dwe

56:31
09/05/20 15:04:10
>>26 カスペからの返事
25+1=26/30

\0508\id3_20090508.swf - Exploit.SWF.Agent.ao

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.


57:名無しさん@お腹いっぱい。
09/05/20 18:14:04
>>48
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

58:名無しさん@お腹いっぱい。
09/05/20 19:10:55
>>36
URLリンク(www.virustotal.com)

Norton、McAfee、Panda、avast!、Kaspersky、Sophos、Ikarusが対応

59:名無しさん@お腹いっぱい。
09/05/20 22:16:05
今帰宅。残件をぼちぼちとやっていきます…
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20
>>48
unknown1.exe  → Trojan-Spy.Win32.Agent.argz

60:名無しさん@お腹いっぱい。
09/05/20 22:28:25
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20

>>15 (サイト未検出分 → [検出数 22/22] 100%)
Trojan-Downloader.JS.Agent.dzw
  * \call martuz.cn\yuuno.sakura\bouei-coment01.html
  * \call martuz.cn\yuuno.sakura\bouei-opsong.html
  * \call martuz.cn\yuuno.sakura\bouei-pvc.html
  * \call martuz.cn\yuuno.sakura\bouei.html
  * \call martuz.cn\yuuno.sakura\c75-2.html
  * \call martuz.cn\yuuno.sakura\c75.html
  * \call martuz.cn\yuuno.sakura\gallery.html
  * \call martuz.cn\yuuno.sakura\girl.html
  * \call martuz.cn\yuuno.sakura\news.html
  * \call martuz.cn\yuuno.sakura\profile.html
  * \call martuz.cn\yuuno.sakura\rireki.html
  * \call martuz.cn\yuuno.sakura\wf.html
  * \call martuz.cn\yuuno.sakura\works.html
  * \call martuz.cn\yuuno.sakura\yuuno.sakura.ne.jp.htm
Trojan-Downloader.JS.Agent.dzv
  * \call martuz.cn\mikesquarter\about-2.htm
  * \call martuz.cn\mikesquarter\advertise.htm
  * \call martuz.cn\mikesquarter\contact.htm
  * \call martuz.cn\mikesquarter\disclaimer.htm
  * \call martuz.cn\mikesquarter\newsletter.htm
  * \call martuz.cn\mikesquarter\sitemap.htm
  * \call martuz.cn\mikesquarter\www.mikesquarter.com.htm
Trojan-Downloader.JS.Agent.dzx
  * \call martuz.cn\loca.zombie\loca.zombie.jp.htm
>>39 >>50
785.exe → Trojan-Downloader:W32/Agent.KNX

61:前スレ699
09/05/20 22:33:43
>>14
転載ありがとうございます。 規制は解除されました。ヤレヤレ
これ、お礼です...ちょっと賞味期限切れかかりかも。(苦笑
 URLリンク(tane.sakuratan.com)
  DL virus/解凍 virus

【中身】
cry.exe
 URLリンク(www.virustotal.com) (17/39)
 AVIRA - TR/Dropper.Gen,Kapersky - Trojan-Proxy.Win32.Small.aal
dia.exe
 URLリンク(www.virustotal.com) (17/40)
 AVIRA - TR/Dropper.Gen,Kapersky - Worm.Win32.AutoRun.aist
file.exe
 URLリンク(www.virustotal.com) (8/40)
 AVIRA - MALWARE (added next update),Kapersky - HEUR:Trojan.Win32.Generic
softwarefortubeview.40000.exe
 URLリンク(www.virustotal.com) (9/40)
 AVIRA - MALWARE (added next update),Kapersky - Trojan-Downloader.Win32.Agent.byla

AVIRAは全部対応済みとのことなので、未送付。KasperskyはHEURのfile.exeだけ送付。

martuz.cnは、色々書かれているように閉鎖されたようです。
また、一足違いですが、Google Sage Browsingでブロック設定入っています。(5/19に確認)
 URLリンク(safebrowsing.clients.google.com)
 → 12507 個のドメインを感染させています。

短期間に、良くこれだけ荒らしたものです。
あと、Kasperskyは私に白判定のメール送った割には本体を黒で検出するようになっていました。(苦笑

おまけ) URLリンク(gdata.co.jp) ・・・ 結局genoウイルスが日本国内の通称になりそうですねぇ。

62:名無しさん@お腹いっぱい。
09/05/20 23:05:43
>>61
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

G DATA
「GENOウイルス」対策について 2009/05/20
URLリンク(gdata.co.jp)
ITmedia News
いたちごっこ状態に:ますます巧妙化するJSRedir-Rの攻撃手法 2009/05/20
「JSRedir-R」(別名Gumblar)が攻撃に使うドメインを切り替え、JavaScript難読化の手口もさらに巧妙に
攻撃に使われるドメインやJavaScriptは、今後も変わり続けるだろうとSymantecは予想
URLリンク(www.itmedia.co.jp)

63:名無しさん@お腹いっぱい。
09/05/20 23:14:21
>>62
GENOもあんな対応しなければこんなメジャーになることもなかったろうにw

64:名無しさん@お腹いっぱい。
09/05/20 23:14:34
>>26[検出:27/30]
定義パターン:>>60
*Backdoor.Win32.Agent.afid → \0405\dropper.bin
*Exploit.Win32.Pidief.aog  → \0405\dropper.pdf
*Exploit.SWF.Agent.ae      → \0405\dropper.swf
*Trojan-PSW.Win32.Kates.c  → \0405\monitor.bin
*Trojan-PSW.Win32.Kates.c  → \0405_Execution result\bxatg.mnn
*Trojan:W32/Agent.KAO      → \0411\u2.exe
*Exploit.Win32.Pidief.apg  → \0411\virus.pdf
*Exploit.SWF.Agent.ai      → \0502\gumblar.swf
*Exploit.SWF.Agent.ai      → \0502\gumblar_fws.swf
*Exploit:W32/AdobeReader.RG → \0502\gumblar.pdf
*Trojan-PSW.Win32.Kates.e → \0502\gumblar.exe
*Trojan-PSW.Win32.Kates.e → \0502\gumblar_upx.exe
*Exploit.Win32.Pidief.atm → \0505\id2_20090505.pdf
*Trojan.Win32.Agent.ceyr  → \0505\id10_20090505.exe
*Trojan-PSW:W32/Magania.gen!B → \0505\3522938.zip\3522938.exe
*Exploit.Win32.Pidief.atr → \0508\id2_20090508.pdf
*Exploit.SWF.Agent.ao     → \0508\id3_20090508.swf
*Worm.Win32.AutoRun.aiai  → \0508\id10_20090508.exe
*Exploit.Win32.Pidief.atx → \0510_1\id2_20090510.pdf
*Trojan.Win32.Agent.cfuc  → \0510_1\id10_20090510.exe
*Trojan.JS.Agent.act      → \0511\id2_20090511.pdf
*Trojan.Win32.Agent.cgch  → \0511\id10_20090511.exe
*Exploit.Win32.Pidief.aup → \0516\martuz1.pdf
*Trojan.Win32.Agent.chbm  → \0516\martuz1upx.exe
*Exploit:W32/Pidief.DX    → \0517\martuz_cn_id2_20090517.pdf
*Trojan:W32/Agent.KMH     → \0517\martuz_cn_id10_20090517.exe
*Trojan-PSW.Win32.Kates.c → \0518_Execution result\muvl.exe
-未検出 → \0405\u.bat
-未検出 → \0510_1\id3_20090510.swf
-未検出 → \0516\martuz1cws.swf

65:名無しさん@お腹いっぱい。
09/05/20 23:24:27
>>64の続き
HTML検出: 33/555
* Trojan.JS.Agent.adw → \HTML\20090514\index.html
* Trojan.JS.Agent.adx → \HTML\20090514\kiso_syougou.html
* Trojan-Downloader.JS.Agent.dwe → \HTML\20090405\dropper.html
* Trojan-Downloader.JS.Agent.dzw → \HTML\20090519\yuuno.sakura\ ※配下すべて
* Trojan-Downloader.JS.Agent.dzx → \HTML\20090519\loca.zombie\loca.zombie.jp.htm
* Trojan-Downloader.JS.Agent.dzv → \HTML\20090519\mikesquarter\ ※配下すべて

上記以外未検出:検体提供は何方かにお任せします。

残件:>>61

66:61
09/05/20 23:26:10
>>14
> 上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
> 再度感染させて検査しています。 この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。
>
> URLリンク(www.virustotal.com) -1

mwgpedu.tya 現状
 URLリンク(www.virustotal.com) (20/40)

4/40 → 20/40と、一気に増えましたね。やっと終息期かな。 後はドメイン名変えて再活動開始するかどうか、ですか。

>62
G DATAですが、リンク先の通り、酷いことに?ドイツ本国のプレスリリースがgenoって言ってるんですよ。(苦笑
URLリンク(www.gdata.de)
>Exemplare des Schadlings tauchten unter dem Aliasnamen "Geno" unter anderem in Japan auf und infizierten dort reihenweise populare Domains.

国外でも、予想以上にgenoの名前が知れ渡っているのかもしれません。

67:62
09/05/20 23:38:12
>>66
ドイツ勢は時差的にも
日本のセキュリティ関連ニュースをチェックしているのかもね
Confickerですら最終的に業界統一名にならなかった(これは意図的なのかもしれないけど)

68:名無しさん@お腹いっぱい。
09/05/20 23:39:21
>>66-67
情報元からあの日本法人からだからだよw
通称や別名として書くならわかるけどそのまま載せちゃうのは日本の会社とは思えない

69:68
09/05/20 23:41:13
訂正

情報元から→情報元が

70:名無しさん@お腹いっぱい。
09/05/21 00:07:46

>>61
復帰おめでとう。

BitDefender
dia.exe : Trojan.CryptRedol.Gen.1
(他スルー)

a-squared : 全部スルーかと思ったら、パターン更新したら2つ検知。
cry.exe : Trojan-Proxy.Win32.Small!IK
dia.exe : Worm.Win32.AutoRun!IK
(他2つスルー)

Avira
cry.exe : TR/Dropper.Gen Trojan
dia.exe : TR/Dropper.Gen Trojan
(他2つスルー)

AviraとAntiy LabsにはFTP経由で提出しときました。他各社はこれから一通り送付しときます。

71:名無しさん@お腹いっぱい。
09/05/21 00:10:13
お疲れさまです。
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20_05
* F-Secure Hydra: 3.08.9080, 2009-05-20_05

>>61
* \tane0337\cry.exe → Trojan-Proxy.Win32.Small.aal
* \tane0337\softwarefortubeview.40000.exe → Trojan-Downloader.Win32.Agent.byla
* \tane0337\dia.exe → Worm.Win32.AutoRun.ais
* \tane0337\file.exe → NOT DETECTED

file.exe を 本家 F-Secure SAS に登録しました。

72:名無しさん@お腹いっぱい。
09/05/21 00:12:00
URLリンク(tane.sakuratan.com)
infected

いつもの中華業者の、ネトゲアカウントハック用日替わりscrです。
いつものようにリリース(?)当日は、20~26前後/40の検出率。

各社には先程提出済みですので、重複提出する必要はないと思います。

URLリンク(www.virustotal.com) ftp25.exe(24/40)
URLリンク(www.virustotal.com) online.scr(25/40)
URLリンク(www.virustotal.com) online.zip(24/40)
URLリンク(www.virustotal.com) 1199.exe(22/40)
URLリンク(www.virustotal.com) mpg.scr(23/40)

73:61
09/05/21 00:23:07
>>70
どうもです。今、感染した仮想PC(Win2K)でいくつか試しました。

1. シマンテック オンラインスキャン
 2009/5/21 0時頃の時点で、オンラインスキャンでは感染ファイルの本体を検出しません。
 VTの結果から考えて、NISやNAVがインストールされているマシンはgumblarやmartuz感染を検出できると思いますが、
 オンラインスキャンの対応はもう少し先になりそうな感じです。

2.AVIRAシステムスキャン (※ データベースが7.01.04.01と、3番目の世代番号が03→04にアップしています。)
martuz.cnの5/16版,5/17版
 gumblar.cnの5/5版,5/8版

 この4つを全部試してみたのですが、4つとも感染後にシステムスキャンをすると感染していることを検出できます。
 gumblar時代のものまで検出できるようになっているのは、地味ですが大きいですね。

 ただ、感染検出と、感染ファイル本体の削除はしてくれるのですが、感染状態のレジストリは放置されます。

これだけ大騒ぎになったので、gumblarやmartuzについては、どこかのベンダーが完全駆除ソフトを作ることに期待しましょう。

74:名無しさん@お腹いっぱい。
09/05/21 00:28:37
Rising 2009 21.39.20 (21.30.20.00)
>>61
スルー
>>72
ftp25.exe: Backdoor.Win32.PcClient.tvj
online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
online.zip>>online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
3/5

75:名無しさん@お腹いっぱい。
09/05/21 00:37:27
>>61
まとめWiki記載先一通りと、Malwarebytes、NictaTech Software に提出完了。

McAfee自動返答、全部[inconclusive]

カスペ返答(HEURのとこ名前確定した模様)
file.exe - Backdoor.Win32.Agent.agqv
New malicious software was found in this file.

Symantec

filename: dia.exe
filename: file.exe
result: <手動解析へ>

filename: cry.exe
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)

filename: softwarefortubeview.40000.exe
result: This file is detected as Downloader. URLリンク(www.symantec.com)

Rising(あれ?ファイル1つしか回答が…)
1. Filename:cry.exe
No malware.

76:名無しさん@お腹いっぱい。
09/05/21 00:55:08
GENOを落とすスクリプトをTXTで置いといたら、今日になって、Avira AntiVirが反応したとの報告があったので、
>>26のHTMLを再チェックしてみた。

45/555 と反応したファイルが増えていた。>>30にはHTMLの反応数書いてないけど4ファイル位だった気が。
徐々に対応進めてる模様。

検出名
JS/Dldr.Agent.dwe Java script virus
JS/Dldr.Zonke.A Java script virus
JS/Redirector.R Java script virus
JS/Redirector.V Java script virus

77:61
09/05/21 00:59:11
>>73
追加です。Kasperskyは流石にメインマシンなので感染させるわけにはいかないのですが、
仮想PCから同じくmartuz.cnの5/16版,5/17版,gumblar.cnの5/5版,5/8版の4つの感染後の
本体ファイルを持ってきて検出可否を調べました。

Kasperskyもgumblar時代の分も含めて全部感染後ファイルを検出します。検出ファイル名 Trojan-PSW.Win32.Kates.c (全部一緒)
てことは、VTで検出する方のリストに載ったSymantec他も同じでしょうね。


あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
使い慣れてる人なら、この時点で異変に気がつきそう。

※ 『 xxxxは他のプロセスWindows NT Command Processor(パラメータ(...))を使おうとしています。 』
  という、未登録ファイルの実行時に出てくるいつものダイアログ。(マルウェア検出ではない。)

  xxxxに見覚えのないファイル名が入って表示される。多分、PC toolsと同等の能力があるメジャー所のFWなら、
  同じようにメッセージ出してくるはず。
  (ここでメッセージを読まずに許可を出すような人は、感染してもしょうがない気がしなくもない。)


gumblar,martuz関係は大体終息したっぽいので、これの新しいドメインが出てくるまでは、しばらくデフコン下げられそう。 では今日はこれで ノシ

78:名無しさん@お腹いっぱい。
09/05/21 01:08:58
>>77 報告乙です。
>あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
>使い慣れてる人なら、この時点で異変に気がつきそう。

はっはっは…4/5版を入手した時にやっちまった記憶が。PC Tools のFWが反応して通信は遮断しましたよ。

でも、発動して出来上がった本体と、u.bat(正常に動作していれば削除されたもの)がC:のルートにしっかりと。
そして、通信はブロックしたものの動作はしっかりしていたようで、再起動後にCMDとかレジストリエディタとかが
動作不良を…PC Tools の通信許可で気付いても手遅れなんですねぇ。

雑談混ぜてすいません。これで引っ込みます。

79:名無しさん@お腹いっぱい。
09/05/21 01:16:09
>>72
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

80:61
09/05/21 01:26:39
>>78
あ~...確認しました。私も気がつきませんでした。

遮断すれば感染しないかと思ったのですが、PC toolsでメッセージ→遮断でも結局感染しますね。
確かに、その後AntiVirでシステムスキャンしたら、感染検出しました。

そこで一度実行を完全に止めてくれないと、全然意味無いですよ?>PC tools

結局、メッセージが出るだけでしたか...出るだけマシかもしれませんが、誤報書いてスミマセン。

81:名無しさん@お腹いっぱい。
09/05/21 01:32:31 BE:265068724-2BP(0)
cmd.exe が起動するのは、エンベロープの自己消去やらなんやら後始末のためで、
基本的に感染はすんだ後かもしれん。前読んだときは、そんな感じだった

82:40
09/05/21 01:58:32
カスペからの返事

>>36 0+追加検出1=1/1

785.exe_ - Trojan-Downloader.Win32.Agent.byjj
This file is already detected. Please update your bases.

>>50のF-Secureとは別名称

以下、乙
一応まとめ。

>>48 1/1

>>61
>>61,75さんの通り、5/5
※シグネチャ確定済み

>>72
VT通り、5/5

83:名無しさん@お腹いっぱい。
09/05/21 03:13:02
お疲れさまです。

>>71の回答が来ましたので掲載します。
次回の更新にて対応されます。

>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. An appropriate detection will be added
>in one of the next database updates.
>Our latest database updates are available here:
>
>URLリンク(www.f-secure.com)
>
>Have a nice day!

さすがに眠いので今夜はこれにて退散します。
また夜にでも...

84:名無しさん@お腹いっぱい。
09/05/21 05:39:51
>前スレの奴(GENO 5/17分)

McAfee最終返答。

Analysis Id: 5312461
--------------------

File Name Findings Detection Type
========= ======== ========= ====
martuz_cn_id10_20090517.e detected generic dropper.p trojan
martuz_cn_id2_20090517.pd detected exploit-pdf.d trojan

85:名無しさん@お腹いっぱい。
09/05/21 05:48:08
>>61
トレンドマイクロ回答

TROJ_PROXY.AHY
WORM_AUTORUN.ETD

どれと対応してるかは不明。

86:名無しさん@お腹いっぱい。
09/05/21 10:41:05
>>64ではないが午前1時にF-secureで検出しないものを、まとめてF-Secure SASに提出した。

F-Secure Security Labs
2009/05/21 5:57
>Hello,
>
>Thank you for your e-mail.
>>
>The file you sent was found to be malicious. An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>URLリンク(www.f-secure.com)
>
>Have a nice day!


以下については検出確認
Exploit:W32/SWFdloader.B \20090510_1\id3_20090510.swf
Exploit:W32/SWFdloader.C \20090516\martuz1cws.swf

F-Secure Internet Security 2009
パターン ファイルのバージョン:
 ウィルス: 2009-05-20_08
 スパイウェア: 2009-05-20_05
スキャン エンジン:
 F-Secure AVP: 7.00.171, 2009-05-20
 F-Secure Hydra: 3.08.9080, 2009-05-20

87:名無しさん@お腹いっぱい。
09/05/21 12:24:40
いまさら感はありますが、依然として、GENOのスクリプトが入っているサイトがあるようで、スクリプトの検体として。
検体提出は、他のなにかのついでにでも…

URLリンク(tane.sakuratan.com)
infected

88:名無しさん@お腹いっぱい。
09/05/21 15:54:21
>>87
カスペ2009 15:20

51/206

Trojan-Downloader.HTML.Agent.pe   tane0339\JS_Gamburl.gen!A\kuruma-kounyuu\*.htm
(frogmode.jp.htm, tsuridon.com.htm以外のkuruma-kounyuuフォルダのhtmファイルすべて)

89:名無しさん@お腹いっぱい。
09/05/21 18:11:29
Rising 2009 21.39.30 (21.30.30.00)
前スレ>954 (tane0328)
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
1+1=2/2
>>26
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
>>72
mpg\1199.exe: Backdoor.Win32.PcClient.txa
mpg.scr>>1199.exe: Backdoor.Win32.PcClient.txa
3+2=5/5
>>87
スルー
提出は保留

90:名無しさん@お腹いっぱい。
09/05/21 18:43:55
NortonInternetSecurity2009
今回も検出数だけの報告
>>48
全検出確認

>>61
4/3
スルー:file.exe

>>72
全検出確認



91:名無しさん@お腹いっぱい。
09/05/21 20:12:04
>>87
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

92:名無しさん@お腹いっぱい。
09/05/21 21:08:35
Rising 2009 21.39.33 (21.30.33.00)
前スレ>843 (tane0315)
codec.exe: AdWare.Win32.FakeAV.bm
1/1
前スレ>907 (tane0325)
load.exe: Trojan.Win32.Nodef.jij
3+1=4/10

93:名無しさん@お腹いっぱい。
09/05/21 23:40:25
お疲れさまです。
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-21
Definition version
* Virus: 2009-05-21_01
* SpyWare: 2009-05-20_05
>>87
検出結果:0/206
SASへの登録は保留します。

#規制中なので今日は落ちます?
 残件がありましたら何方かお願いします?

94:61
09/05/22 02:14:13
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

ちょっと大きいので、1個だけでパックしてあります。

【中身】
 antivirus.exe
 MD5 : ea56809b50ccc90bb74e6bf65c023f0a
 URLリンク(www.virustotal.com) (12/40)
 AVIRA9 7.01.04.03 -スルー,提出時の判断 -UNDER ANALYSIS
 Kapersky - not-a-virus:AdWare.Win32.AdAgent.aq

AVIRA提出済みです。Kasperskyは既に検出できるので何も無し。

95:名無しさん@お腹いっぱい。
09/05/22 02:52:51
>>94
Risingに提出完了

96:61
09/05/22 03:03:53
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】8個入っています。
ak1.exe
 URLリンク(www.virustotal.com) (15/40)
bot.exe
 URLリンク(www.virustotal.com) (16/40)
install.exe
 URLリンク(www.virustotal.com) (5/40)
install2.exe
 URLリンク(www.virustotal.com) (5/40)
ldr.exe
 URLリンク(www.virustotal.com) (13/39)
media_player_update.exe
 URLリンク(www.virustotal.com) (10/40)
softwarefortubeview.45013.exe
 URLリンク(www.virustotal.com) (2/40)
xp.exe
 URLリンク(www.virustotal.com) (19/40)

AVIRAとKasperskyは必要分送付済み。提出頑張れば、週末前に処理してくれるハズ...(;´д`)

97:61
09/05/22 03:14:08
>>96
一応、AVIRA9 7.01.04.03,Kaspersky 2009/05/22 2:31:00の結果

ak1.exe
 AVIRA - スルー(黒,次のアップデートで追加)
 Kapersky - Trojan-Downloader.Win32.Boltolog.efx
bot.exe
 AVIRA - スルー(黒,次のアップデートで追加)
 Kapersky - Trojan-Spy.Win32.Zbot.uje
install.exe
 AVIRA - TR/Dropper.Gen
 Kapersky - スルー
install2.exe
 AVIRA - TR/Dropper.Gen
 Kapersky - スルー
ldr.exe
 AVIRA - スルー(黒,次のアップデートで追加)
 Kapersky - Trojan-Spy.Win32.Zbot.uji
media_player_update.exe
 AVIRA - TR/Dropper.Gen
 Kapersky - Trojan-Dropper.Win32.Agent.apig
softwarefortubeview.45013.exe
 AVIRA - スルー(分析中)
 Kapersky - スルー
xp.exe
 AVIRA - TR/Drop.Geral.NA.1
 Kapersky - Trojan-Downloader.Win32.Geral.rn

週末前なので、ちょっと頑張ってみた。(苦笑

98:名無しさん@お腹いっぱい。
09/05/22 03:30:07
>>94,96
McAfeeに提出させて頂きました。


99:名無しさん@お腹いっぱい。
09/05/22 04:17:29
Rising 2009
>>96
ak1.exe: Trojan.DL.Win32.Undef.emo
media_player_update.exe: Trojan.Win32.Nodef.jcx
xp.exe>>upx_c: Trojan.Win32.TSK.e
3/8
提出完了

100:名無しさん@お腹いっぱい。
09/05/22 11:54:00
>5/9提出分のGENO呼び出しスクリプト
トレンドマイクロ返答…えーと、名前付けすぎじゃありませんか?

JS_AGENT.ASWE   JS_AGENT.ASXB   JS_AGENT.ASYC
JS_AGENT.ASWF   JS_AGENT.ASXC   JS_AGENT.ASYD
JS_AGENT.ASWG   JS_AGENT.ASXD   JS_AGENT.ASYE
JS_AGENT.ASWH   JS_AGENT.ASXE   JS_AGENT.ASYG
JS_AGENT.ASWI   JS_AGENT.ASXF   JS_AGENT.ASYH
JS_AGENT.ASWO   JS_AGENT.ASXG   JS_AGENT.ASYL
JS_AGENT.ASWP   JS_AGENT.ASXI   JS_AGENT.ASYM
JS_AGENT.ASWQ   JS_AGENT.ASXK   JS_AGENT.ASYN
JS_AGENT.ASWR   JS_AGENT.ASXL   JS_AGENT.ASYO
JS_AGENT.ASWS   JS_AGENT.ASXN   JS_AGENT.ASYP
JS_AGENT.ASWT   JS_AGENT.ASXR   JS_AGENT.ASYQ
JS_AGENT.ASWV   JS_AGENT.ASXS   JS_AGENT.ASYR
JS_AGENT.ASWX   JS_AGENT.ASXT   JS_AGENT.ASYS
JS_AGENT.ASWY   JS_AGENT.ASXU
JS_AGENT.ASXA   JS_AGENT.ASXX

101:名無しさん@お腹いっぱい。
09/05/22 18:59:15
>>94
Nortonで検出確認

102:名無しさん@お腹いっぱい。
09/05/22 18:59:34
>>96
F-Secure Internet Security 2009
パターン ファイルのバージョン:
 ウィルス: 2009-05-22_03
 スパイウェア: 2009-05-22_03
スキャン エンジン:
 F-Secure AVP: 7.00.171, 2009-05-22


Trojan-Downloader.Win32.Boltolog.efx     ak1.exe
Trojan-Spy.Win32.Zbot.uje           bot.exe
Trojan-Downloader.Win32.FraudLoad.eky   install.exe
Trojan-Downloader.Win32.FraudLoad.vvqz  install2.exe
Trojan-Spy.Win32.Zbot.uji            ldr.exe
Trojan-Dropper.Win32.Agent.apig        media_player_update.exe
Trojan-Downloader.Win32.Agent.byqu     softwarefortubeview.45013.exe
Trojan-Downloader.Win32.Geral.rn       xp.exe

103:名無しさん@お腹いっぱい。
09/05/22 19:00:23
Rising 2009 21.39.42 (21.30.42.00)
前スレ>866 (tane0317)
install2.exe: Trojan.Win32.FakeAV.nz
install4.exe: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
3/5
前スレ>896 (tane0323)
install.exe: Trojan.Win32.FakeAV.nz
1+1=2/4
前スレ>916 (tane0326)
download.php: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
2/2
>>96
install.exe: Trojan.Win32.FakeAV.nz
3+1=4/8

104:名無しさん@お腹いっぱい。
09/05/22 19:02:26
F-Secureを使ってる方に質問ですがF-Secureが採用してるアンチウイルスエンジンってKasperskyだけですか?
F-SecureのHPみても詳細が出てないからいまいちわからないんですよね

105:名無しさん@お腹いっぱい。
09/05/22 20:13:05
F-Secureのスレで聞けよ

106:名無しさん@お腹いっぱい。
09/05/22 20:17:45
ちがう。

107:名無しさん@お腹いっぱい。
09/05/22 20:44:23
>>96
>>97

カスペ2009 18:26
>>96
5+事後検出3=8/8でクローズ
既検出
Detected Trojan program Trojan-Downloader.Win32.Boltolog.efx     /ak1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uje     /bot.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uji     /ldr.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.apig     /media_player_update.exe
Detected Trojan program Trojan-Downloader.Win32.Geral.rn     /xp.exe

以下事後検出3
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eky     /install.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vvqz     /install2.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.byqu     /softwarefortubeview.45013.exe


108:61
09/05/22 21:30:33
>>97
AVIRA9 7.01.04.05 未検出確定分

ak1.exe - TR/Drop.BOL.efx
bot.exe - TR/Spy.ZBot.dag
ldr.exe - TR/Spy.ZBot.uji
softwarefortubeview.45013.exe - TR/Dldr.Agent.byqu

以上で、8個全部が黒確定でcloseしました。

109:61
09/05/22 21:33:48
>>94 書き忘れた...

AVIRA9 7.01.04.05
 antivirus.exe - TR/PrivacyCenter.A.58

こちらも検出可でclose。

110:名無しさん@お腹いっぱい。
09/05/22 22:47:29
VIRUSTOTAL繋がらん・・・

111:名無しさん@お腹いっぱい。
09/05/22 23:12:37
お疲れ様です。規制中につき代理スレからの書き込みです。
>>102
FIS-2009では結果が出ているようなのでちょっと趣向を変えてみました。
F-Secure Internet Security Technology Preview 9.40
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
Pattern File Version
* Virus: 2009-05-22_06
* SpyWare: 2009-05-22_06
[結果] 検出 1/8
・\Malware_20090521\xp.exe ? Gen:Trojan.Heur.2015746F6F
・残りは NOT DETECTED
これはどうしたらいいのかな。SASへ登録は必要かな...?

112:名無しさん@お腹いっぱい。
09/05/22 23:16:39
>>111
Technology Preview 9.40 ってこれかな?
URLリンク(blog.f-secure.jp)
>検出に関連したLabへのフィードバックには、Sample Analysis Systemを使用して欲しい。
だそうです。

113:名無しさん@お腹いっぱい。
09/05/22 23:20:49
URLリンク(tane.sakuratan.com)
パス virus

インチキアンチスパイ詰め合わせ

114:111
09/05/22 23:40:53
>>112
一応確認したところ、FIS-2009はKasperskyでFIS-TPはBitDefenderですね。
となると、ここ1週間分くらいは最低限再チェックしてSASへ登録したほうがいいかな...?
それとも本件登録時に、以前登録分についても確認してもらうようなコメントを追記すればいいかな...?

>>113
>>111のパターンでのチェック結果
[検出:2/10]
\01\Work.exe → Gen:Trojan.Heur.90D02FAAAA (検疫可)
\01\SetupRelease.exe → Gen:Trojan.Heur.Hype.0A5AA5A5A5 (検疫不可)
残りは NOT DETECTED
やっぱりFIS-2009 に戻そうかしら...orz

115:名無しさん@お腹いっぱい。
09/05/22 23:48:47
>>113
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

116:名無しさん@お腹いっぱい。
09/05/22 23:48:49
Rising 2009 21.39.44 (21.30.44.00)
>>113
スルー
PrestoTuneUp.exeとActivatedReleaseXP.exeはハッシュ同じだよ

117:名無しさん@お腹いっぱい。
09/05/23 01:07:30
>>113
McAfeeに提出させて頂きました。

118:名無しさん@お腹いっぱい。
09/05/23 06:07:54
このスレの皆さん、ホンと凄いですね。いつも参照させてもらってます。
どんなメディアの情報よりも参考になります。
(いつか勉強して参加したいと思います)

119:名無しさん@お腹いっぱい。
09/05/23 07:11:03
>>48 >>72 >>61
McAfee回答

File Name Findings Detection Type
========= ======== ========= ====
explorer.exe detected generic pws.y!s trojan

File Name Findings Detection Type
========= ======== ========= ====
mpg.scr detected generic backdoor trojan
1199.exe detected generic backdoor!y trojan
ftp25.exe detected generic backdoor!y trojan

File Name Findings Detection Type
========= ======== ========= ====
cry.exe detected generic.dx!cx trojan
dia.exe detected w32/autorun.worm!n virus
file.exe detected generic.d!a trojan
softwarefortubeview.40000 detected generic downloader.x trojan

120:名無しさん@お腹いっぱい。
09/05/23 07:53:26
>>113
AntiVirとAntiyLabsにFTP経由で提出。

ActivatedReleaseXP.exe : Suspicious File(eSafe)
ActivatedSetup.exe : Trojan.Fakeav!IK(a-squared)
ActivatedSetupReleaseXP.exe : - Not Detected -
PrestoTuneUp.exe : Suspicious File(eSafe)
ReleaseXP.exe : SHeur2.AHGZ(AVG) , Suspicious File(eSafe)
SetupRelease.exe : Gen:Trojan.Heur.Hype.0A5AA5A5A5(BitDefender) , VirTool:Win32/Obfuscator.ER(Microsoft)
SetupReleaseXP.exe : - Not Detected -
uninstall.exe : Trojan.Fakeav!IK(a-squared)
update.exe : Trojan.Fakeav!IK(a-squared)
Work.exe : TR/Crypt.CFI.Gen Trojan(AntiVir) , Gen:Trojan.Heur.90D02FAAAA(BitDefender)

121:名無しさん@お腹いっぱい。
09/05/23 07:54:32
>>116
ほんとだ…提出前に気付けば良かった。他には、片方消してから提出しよう。

122:61
09/05/23 08:22:58
>>113 乙です。
Kaspersky 2009/05/23 7:12:00
 ActivatedReleaseXP.exe -
 ActivatedSetup.exe -
 ActivatedSetupReleaseXP.exe -
 ReleaseXP.exe -
 SetupRelease.exe -
 SetupReleaseXP.exe -
 uninstall.exe -
 update.exe -
 Work.exe -

てなわけで全部スルーしたので、全部提出しました。(>116があったので、PrestoTuneUp.exeは省略)


123:61
09/05/23 08:58:48
>>113,120 乙です。
AVIRA9 7.01.04.06 現状です。
 ActivatedReleaseXP.exe -
 ActivatedSetup.exe -
 ActivatedSetupReleaseXP.exe -
 ReleaseXP.exe -
 SetupRelease.exe -
 SetupReleaseXP.exe -
 uninstall.exe -
 update.exe -
 Work.exe - TR/Crypt.CFI.Gen

スルーしたものはこちらでも提出。全部UNDER ANALYSIS(分析中)表示でした。 う~ん、回線が細いから時間がかかる...

124:61
09/05/23 09:01:45
>>113
最後にVirustotal現状です。
 ActivatedReleaseXP.exe - URLリンク(www.virustotal.com) (1/40)
 ActivatedSetup.exe - URLリンク(www.virustotal.com) (6/40)
 ActivatedSetupReleaseXP.exe - URLリンク(www.virustotal.com) (1/40)
 ReleaseXP.exe - URLリンク(www.virustotal.com) (3/40)
 SetupRelease.exe - URLリンク(www.virustotal.com) (4/40)
 SetupReleaseXP.exe - URLリンク(www.virustotal.com) (1/39)
 uninstall.exe - URLリンク(www.virustotal.com) (7/40)
 update.exe - URLリンク(www.virustotal.com) (6/40)
 Work.exe - URLリンク(www.virustotal.com) (7/40)

VT、解析結果のアドレスの付け方が変わりましたね。

125:名無しさん@お腹いっぱい。
09/05/23 12:20:03
偽セキュリティソフト提出してたらきりがねーぞ

126:名無しさん@お腹いっぱい。
09/05/23 15:34:55
偽セキュリティソフトは提出していいんじゃないかな。

それ相応の悪さする訳だし。収集も提出も各自の自己責任だけど、キージェネの鑑定とかと違うし
ここに持ち込むことは構わないと思う。

127:名無しさん@お腹いっぱい。
09/05/23 19:58:31
>>124

ActivatedReleaseXP.ex
ActivatedSetup.exe
ActivatedSetupReleaseXP.exe
ReleaseXP.exe
SetupRelease.exe
SetupReleaseXP.exe


Windows XPの公開版をアクチ(Activate)したり、WGA(Windows Genuine Advantage)非経由でパッチ当てる(Update)ためのソフトに見える。

【新板】WGA回避大作戦 part2だよ (Windows板)
スレリンク(win板)

128:名無しさん@お腹いっぱい。
09/05/23 20:43:09
Rising 2009 21.39.52 (21.30.52.00)
前スレ>881 (tane0320)
7\load.exe: Trojan.DL.Win32.Undef.ent
b\Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
b\Mediacodec_v3.7.exe>>agent.exe: Trojan.Win32.FakeVir.it
4+2=6/12
前スレ>895 (tane0322)
Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1
>>26
dropper.bin>>upx_c: Trojan.DL.Win32.Delf.zrg
>>94
antivirus.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1

129:名無しさん@お腹いっぱい。
09/05/23 21:59:07
>>113
カスペ

update.exe→not-a-virus:FraudTool.Win32.VirusDoctor.f
uninstall.exe→not-a-virus:FraudTool.Win32.VirusDoctor.g
ActivatedSetup.exe→not-a-virus:FraudTool.Win32.VirusDoctor.h

130:名無しさん@お腹いっぱい。
09/05/23 23:26:29
>>124
>VT、解析結果のアドレスの付け方が変わりましたね。

再解析するファイルが多すぎて、ハイフン以下で日付と時間入れてみたのかね。2chのスレタイみたい。

131:61
09/05/23 23:28:37
URLリンク(tane.sakuratan.com)
 DL virus/解凍 virus

【中身】8個入っています。
1.exe
 URLリンク(www.virustotal.com) (11/38)
6244.exe
 URLリンク(www.virustotal.com) (21/40)
bb021908.exe
 URLリンク(www.virustotal.com) (8/38)
softwarefortubeview.45027.exe
 URLリンク(www.virustotal.com) (1/40)
SudoPlanet_setup.exe
 URLリンク(www.virustotal.com) (7/39)
ya.exe
 URLリンク(www.virustotal.com) (19/39)
readme.pdf
 URLリンク(www.virustotal.com) (12/40)
load.php
 URLリンク(www.virustotal.com) (7/40)

softwarefortubeview.XXXXX.exeは改変が早いので、ちょっと注意が必要ですね。

132:61
09/05/23 23:41:54
>>131
AVIRA9 7.01.04.07 未検出分3個は提出済み。
 1.exe - TR/Spy.Ambler.D.27
 6244.exe - TR/BHO.Gen
 bb021908.exe -
 softwarefortubeview.45027.exe -
 SudoPlanet_setup.exe - ADSPY/AdSpy.Gen
 ya.exe - TR/Crypt.ZPACK.Gen
 readme.pdf - HTML/Crypted.Gen
 load.php -

>>130
SHA256のハッシュ - タイムスタンプ になっているみたい。

今度からMD5を貼らなくても、アドレスからSHA256を抜き出せるので、VTでハッシュ検索がしやすくなってます。
が、その分アドレスが異常に長い...orz

133:61
09/05/23 23:53:25
>>131
Kaspersky 2009/05/23 23:02:00 未検出分4個は提出済み。
 1.exe - Trojan.Win32.Agent.cimn
 6244.exe - Trojan-Dropper.Win32.BHO.bt
 bb021908.exe -
 softwarefortubeview.45027.exe - Trojan-Downloader.Win32.FraudLoad.elf
 SudoPlanet_setup.exe -
 ya.exe - Trojan-Spy.Win32.Zbot.gen
 readme.pdf -
 load.php -

>>125-126
 う~ん、今時のマルウェアは、主流が偽Antivirusと偽codecなので、偽Antivirusが増えるのはしょうがないと思う。

 偽Antivirus - 偽の検索画面を見せて、マルウェア発見→Antivirusインストールして!
 偽codec - 偽動画サイトを見せて、codecが入ってないから再生できない→codecインストールよろ。

なんで、今のマルウェアは裏から来ないで、表から堂々と来ます。その手の案内がメールで来ることも予想すると
偽Antivirusも出しておいた方が良いと思ったり。

あと、偽codecはポルノサイトが多い。 男って悲しいネ...orz

134:名無しさん@お腹いっぱい。
09/05/24 00:03:00
>>131
Risingに送りました

135:名無しさん@お腹いっぱい。
09/05/24 00:04:01
>>131
McAfeeに提出させて頂きました。

136:名無しさん@お腹いっぱい。
09/05/24 00:19:55
>>131
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

137:こなた ◆KONATAzZoM
09/05/24 02:14:46
お疲れ様です。
規制解除されたので報告。
F-Secure Internet Security Technology Preview 9.40
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-20
    * F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
    * Virus: 2009-05-23_01
    * SpyWare: 2009-05-23_01
>>94
BitDefenderで検出済みにつき確認/報告していません。
>>111
検出結果変わらず。SASへは金曜日の夜中に報告済みですが、回答未だ無し。
>>114
状況変わらず。
>>131
[検出結果:2/12]
 \tane0345\1.exe → Trojan.Crypt.DF: 処理 失敗
 \tane0345\ya.exe → Gen:Trojan.Heur.Hype.40708F8F8F :検疫可
 残りはNOT DETECT

FIS-TPでの未検出分報告(>>114 >>131)については、>>111の回答を待ってから考えます。
あと、何方か FIS-2009で確認してる方いらっしゃいませんか?
F-Secureとしてはそちらがメインだと思いますので、確認して頂けると助かります。

138:こなた ◆KONATAzZoM
09/05/24 03:37:40
お疲れ様です。
一応念のため>>26をFIS-TPにて再確認。
チェック環境は>>137のと一緒。

[検出:本体 30/30 HTML 117/555]
本体は全て検出。HTMLは以下のとおりで、行末の数字は検出数。
\20090405\ [3/3] *
\20090411\ [1/1] *
\20090509\ [47/47] *
\20090514\ [2/2] *
\20090516\joyjoynet\ [5/17]
\20090516\livmail\ [8/43]
\20090516\nifty-hair\ [3/36]
\20090516\revue1999\ [6/18]
20090516\skyhighpremium\ [2/11]
\20090518\laqoo\ [1/137]
\20090518\pmpk\ [7/14]
\20090518\replica08\ [18/52]
\20090518\seibidoshuppan\ [5/10]
\20090518\themusasi\ [4/27]
\20090519\loca.zombie\ [1/1] *
\20090519\yuuno.sakura\ [4/14]
(上記以外は未検出)

とりあえず FIS-TP でも検出精度はそこそこ問題なさそう?
日数経ってるから当たり前といえば当たり前なのだろうけど…

139:61
09/05/24 10:56:29
URLリンク(tane.sakuratan.com)
 DL virus/解凍 virus

【中身】8個入っています。

install.exe
 URLリンク(www.virustotal.com) (9/40)
Install_2019.exe
 URLリンク(www.virustotal.com) (3/40)
install2.exe
 URLリンク(www.virustotal.com) (13/40)
softwarefortubeview.45027-2.exe
 URLリンク(www.virustotal.com) (1/40)
ws.exe
 URLリンク(www.virustotal.com) (3/40)
pdf.pdf
 URLリンク(www.virustotal.com) (15/40)
two.pdf
 URLリンク(www.virustotal.com) (10/40)
flash.swf
 URLリンク(www.virustotal.com) (10/40)

※ softwarefortubeview.45027-2.exeは、>131と別のもの。(新種に改変された)

140:名無しさん@お腹いっぱい。
09/05/24 11:01:21
>>131,133 乙

カスペ2009 9:37:00
対象検体>>131

4+事後検出2(下2行)=6/8

Detected Trojan program Trojan.Win32.Agent.cimn   /1.exe
Detected Trojan program Trojan-Dropper.Win32.BHO.bt   /6244.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.elf   /softwarefortubeview.45027.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen   /ya.exe

Detected Trojan program Trojan.Win32.VB.psi, Trojan.Win32.Delf.mso  /bb021908.exe
Detected Trojan program Trojan.JS.Agent.age   /readme.pdf


141:61
09/05/24 11:09:58
>>139
AVIRA9 7.01.04.07 未検出分3個+HEUR 1個=4個は提出済み。
 install.exe - TR/Crypt.XPACK.Gen
 Install_2019.exe -
 install2.exe - TR/Crypt.ZPACK.Gen
 softwarefortubeview.45027-2.exe -
 ws.exe - TR/Dropper.Gen
 pdf.pdf - HEUR/HTML.Malware
 two.pdf - EXP/CVE-2009-0837
 flash.swf -

Kaspersky 2009/05/24 9:37:00 未検出分5個は提出済み。
 install.exe -
 Install_2019.exe -
 install2.exe - Trojan-Dropper.Win32.FrauDrop.bi
 softwarefortubeview.45027-2.exe - Trojan-Downloader.Win32.FraudLoad.elf
 ws.exe -
 pdf.pdf -
 two.pdf - Exploit.Win32.Pidief.alc
 flash.swf -

む、AVIRAのHEUR、実物初めて出た。

142:名無しさん@お腹いっぱい。
09/05/24 11:38:15
>>139
McAfeeに提出させて頂きました。

143:名無しさん@お腹いっぱい。
09/05/24 11:44:38
>>139
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----

6244.exe |new detection |puper!f |Trojan |yes
ya.exe |new detection |generic pws.y!t |Trojan |yes

あとは全部 inconclusive

144:名無しさん@お腹いっぱい。
09/05/24 11:46:34
>>139
Norton自動返答

filename: sopidkc.exe
result: This file is detected as Downloader. URLリンク(www.symantec.com)

filename: 6244.exe
result: This file is detected as Downloader. URLリンク(www.symantec.com)

あとは全部手動解析行き

145:名無しさん@お腹いっぱい。
09/05/24 12:10:18
>>139
カスペ返答

1.exe_ - Trojan.Win32.Agent.cirp,
load.php - Trojan.Win32.Inject.aazv
New malicious software was found in these files.

45027.exe_ - Trojan-Downloader.Win32.FraudLoad.elf,
6244.exe_ - Trojan-Dropper.Win32.BHO.bt,
bb021908.exe_, dpcxool64.sys - Trojan.Win32.VB.psi,
readme.pdf_ - Trojan.JS.Agent.age,
sopidkc.exe_, tpsaxyd.exe_ - Trojan.Win32.Delf.mso,
ya.exe_ - Trojan-Spy.Win32.Zbot.gen
These files are already detected.

comsa32.sys, SudoPlanet_setup.exe_
No malicious code were found in these files.

※ bb021908.exe_は解凍したファイルも一緒に送っていますので、そのファイル名も報告に含まれています。

146:61
09/05/24 12:27:17
>>141
Kaspersky未検出分返答
 install.exe - Trojan-Downloader.Win32.FraudLoad.eln
 Install_2019.exe_ - Trojan-Downloader.Win32.FraudLoad.elo
 ws.exe_ - Trojan-Downloader.Win32.FraudLoad.vxmg
 pdf.pdf - Exploit.Win32.Pidief.avw
 flash.swf - Exploit.SWF.Agent.aq

ということで、全黒でclose.

どうも、分析を担当したアナリストによって返答したりしなかったり、という感じ。
早い人だと、送ってからあっという間に解析結果のメールが来る。逆に、メール来ないのに対応終わってることもあるし、ちょっと面白い。

147:名無しさん@お腹いっぱい。
09/05/24 14:43:12
Rising 2009 21.39.60 (21.30.60.00)
前スレ>636 (tane0293)
playenline\1.exe: Trojan.PSW.Win32.GameOL.zyj
17+1=18/33
>>139
Risingに送りました

148:名無しさん@お腹いっぱい。
09/05/24 16:05:59
>>139
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

149:こなた ◆KONATAzZoM
09/05/24 16:34:11
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-20
    * F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
    * Virus: 2009-05-23_01
    * SpyWare: 2009-05-23_01

[検出結果:4/8]
flash.swf → Exploit.SWF.Gen [検疫]
install.exe → GenPack:Trojan.Generic.1552053 [検疫]
pdf.pdf → Exploit.PDF-JS.Gen [検疫]
two.pdf → Exploit.PDF-URI2.Gen [検疫]

[以下未検出]
Install_2019.exe
install2.exe
softwarefortubeview.45027-2.exe
ws.exe

>>111の回答がもらえていませんので、対応する気があるのか不明との判断に付き報告は保留しています。

150:こなた ◆KONATAzZoM
09/05/24 16:36:37
ぬあ…抜けてた。
>>149>>139の結果です。
失礼しました。

151:61
09/05/24 23:13:13
URLリンク(tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 27個入っています。多いです。スミマセン

インフォメーションは後程。AVIRAとKasperskyは提出済み。いつも通りVirustotalにも全部投げてあります。

152:名無しさん@お腹いっぱい。
09/05/24 23:30:46
>>151
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
NIS2009で、解凍後のAutoProtect検出で13/27 (でもファイル数は16ヶ残った)
手動スキャンを続けて試みたが追加検出は無しでした

153:名無しさん@お腹いっぱい。
09/05/24 23:33:53
Rising 2009 21.39.62 (21.30.62.00)
>>151
1.exe>>mian007: Packer.Win32.Mian007.a
file.exe: Backdoor.Win32.Undef.did
install3.exe: Trojan.Win32.Nodef.jka
3/27
提出完了

154:61
09/05/25 00:04:26
>>151 いんふぉめ~しょん(1/3)
1.exe
 URLリンク(www.virustotal.com) (16/40)
access.exe
 URLリンク(www.virustotal.com) (0/40)
e98m.pdf
 URLリンク(www.virustotal.com) (6/40)
EXP_pdf.pdf
 URLリンク(www.virustotal.com) (16/39)
file.exe
 URLリンク(www.virustotal.com) (18/40)
file2.exe
 URLリンク(www.virustotal.com) (5/40)
install.exe
 URLリンク(www.virustotal.com) (4/40)
Install_11-1.exe
 URLリンク(www.virustotal.com) (0/40)
install2.exe
 URLリンク(www.virustotal.com) (5/40)
install3.exe
 URLリンク(www.virustotal.com) (15/40)

155:名無しさん@お腹いっぱい。
09/05/25 00:04:29
>>151
McAfeeに提出させて頂きました。

156:61
09/05/25 00:15:18
>>151 いんふぉめ~しょん(2/3)
ldr.exe
 URLリンク(www.virustotal.com) (9/39)
load.exe
 URLリンク(www.virustotal.com) (0/40)
load.php
 URLリンク(www.virustotal.com) (14/40)
load2.exe
 URLリンク(www.virustotal.com) (6/39)
load2.php
 URLリンク(www.virustotal.com) (6/39)
load3.php
 URLリンク(www.virustotal.com) (1/40)
load4.php
 URLリンク(www.virustotal.com) (7/40)
loadhlp.exe
 URLリンク(www.virustotal.com) (10/39)
m.dll
 URLリンク(www.virustotal.com) (11/38)
pdf.php
 URLリンク(www.virustotal.com) (6/40)

157:61
09/05/25 00:22:11
>>151 いんふぉめ~しょん(3/3)
readme.pdf
 URLリンク(www.virustotal.com) (13/40)
setup.exe
 URLリンク(www.virustotal.com) (5/40)
softwarefortubeview.45013.exe
 URLリンク(www.virustotal.com) (3/40)
spl.php
 URLリンク(www.virustotal.com) (12/40)
spl2.php
 URLリンク(www.virustotal.com) (12/40)
sta.exe
 URLリンク(www.virustotal.com) (17/39)
z.exe
 URLリンク(www.virustotal.com) (9/40)

全部で27個でした。あと、>156訂正
load.exe
 URLリンク(www.virustotal.com) (0/40) → (10/40)



158:名無しさん@お腹いっぱい。
09/05/25 00:30:17
>>151 乙&代理提出㌧

(参考)
カスペ 2009 23:11:00 13/27
カスペ 2010 ベータ 23:11:00 14/27 (setup.exeを追加検出)

Detected Trojan program Trojan.Win32.Pakes.nkq /1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uty /file2.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vxsv /install.exe
Detected Trojan program Trojan.Win32.Tdss.aeii /install3.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic /load.exe
Detected Trojan program Backdoor.Win32.Agent.agua /load.php
Detected virus Email-Worm.Win32.Joleee.bot /load2.exe
Detected Trojan program Trojan.Win32.Small.byt /load2.php
Detected Trojan program Trojan-Dropper.Win32.Agent.apvd /loadhelp.exe
Detected virus not-a-virus:FraudTool.Win32.SpywareGuard2008.ccl /m.dll
Detected Trojan program Trojan.JS.Pakes.bf /readme.pdf
Detected virus HEUR:Trojan.Win32.Generic /setup.exe
Detected Trojan program Trojan.Win32.Obfuscated.afvj /sta.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.urw /z.exe

159:61
09/05/25 00:32:58
>>151
最後にAVIRA9とKasperskyの結果。今回は数が多いので検出数だけ。

AVIRA9 7.01.04.07 - 検出11,未検出16
Kaspersky 2009/05/24 23:11:00 - 検出13,未検出14

160:名無しさん@お腹いっぱい。
09/05/25 00:56:11

お疲れ

161:61
09/05/25 00:56:32
>>122 メール来てないけど事後報告。

Kasperskyで検出するようになったの下記の3個のみ。
 ActivatedSetup.exe - not-a-virus:FraudTool.Win32.VirusDoctor.h
 uninstall.exe - not-a-virus:FraudTool.Win32.VirusDoctor.g
 update.exe - not-a-virus:FraudTool.Win32.VirusDoctor.f

あとは白判定だったような感じです。では ノシ

162:こなた ◆KONATAzZoM
09/05/25 02:14:36
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-20
    * F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
    * Virus: 2009-05-23_01
    * SpyWare: 2009-05-23_01

>>151
[検出結果:11/27]
\e98m.pdf -> Exploit.PDF-JS.Gen [検疫可]
\EXP_pdf.pdf -> Exploit.PDF-JS.Gen [検疫可]
\pdf.php -> Exploit.PDF-JS.Gen [検疫可]
\spl.php -> Exploit.PDF-JS.Gen [検疫可]
\spl2.php -> Exploit.PDF-JS.Gen [検疫可]
\file.exe -> Gen:Trojan.Heur.GM.0000C14108 [検疫可]
\file2.exe ->Gen:Trojan.Heur.Hype.40708F8F8F  [検疫可]
\loadhelp.exe -> Trojan-Spy:W32/Ambler.gen!B [検疫可]
\setup.exe -> Net-Worm:W32/Koobface.gen!A [検疫可]
\load2.exe -> Gen:Trojan.Heur.Hype.2014EBEBEB [検疫可]
\sta.exe -> Gen:Trojan.Heur.P3001FEEEEE [検疫可]
[残り未検出:16/27]

SASへの報告については>>111の回答待ち。
未報告案件:>>111 >>114 >>137 >>149 + 今回分

明日…というか今晩帰宅した際に回答があった場合は、未報告分をチェックの上、残件を報告します。

163:名無しさん@お腹いっぱい。
09/05/25 12:51:46
GENO5/8分 Symantec返答

filename: id3_20090508.swf
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)

filename: id10_20090508.exe
result: This file is detected as Infostealer.Daonol.

filename: id2_20090508.pdf
result: This file is detected as Bloodhound.PDF.7.

最新のRapidRelease定義を作成したので使ってくれ(以下、原文)

>Symantec Security Response has determined that the sample(s) that you provided
>are infected with a virus, worm, or Trojan. We have created RapidRelease defini
>tions that will detect this threat. Please follow the instruction at the end of
> this email message to download and install the latest RapidRelease definitions.
>Downloading and Installing RapidRelease Definition Instructions:
>1. Open your Web browser. If you are using a dial-up connection, connect to any
> Web site, such as: URLリンク(securityresponse.symantec.com)
>2. Click this link to the ftp site: fURLリンク(ftp.symantec.com)
> If it does not go to the site (this could take a minute or so if you have
> a slow connection), copy and paste the address into the address bar of your Web
> browser and then press Enter.
>3. When a download dialog box appears, save the file to the Windows desktop.
>4. Double-click the downloaded file and follow the prompts.
>
>Virus definition detail:
>
>Sequence Number Greater Than: 95887
>Defs Version: 110524u
>Extended Version: 05/24/2009 rev.21

164:名無しさん@お腹いっぱい。
09/05/25 12:53:28
私はSymantec使ってないけど、最新定義使いたい人の目に止まるように上げておきました。

165:158
09/05/25 15:54:09
>>151
カスペ14:22:00 検出ベース&返答
13+事後検出12=25/27, 白1,破損1でクローズ


e98m.pdf - Exploit.Win32.Pidief.awp
EXP_pdf.pdf - Exploit.Win32.Pidief.awf
load2.exe - Email-Worm.Win32.Joleee.bot
file.exe - Worm.Win32.AutoRun.ajoi
Install_11-1.exe - Trojan program Trojan.Win32.FraudPack.oiu
ldr.exe - Trojan-Spy.Win32.Zbot.uwl
load.exe - Trojan-Downloader.Win32.Small.akvu (HEUR:Trojan-Downloader.Win32.Generic)
load3.php - Trojan.Win32.Inject.abau
load4.php - Trojan-Dropper.Win32.Agent.aqph
softwarefortubeview.45013.exe - Trojan-Downloader.Win32.Agent.bzxx
setup.exe - Net-Worm.Win32.Koobface.kk (←HEUR:Trojan.Win32.Generic)
spl.php - Exploit.Win32.Pidief.awo
spl2.php - Exploit.Win32.Pidief.awn

access.exe - No malicious code was found in this file.

install2.exe - This file is corrupted.

166:名無しさん@お腹いっぱい。
09/05/25 18:07:00
URLリンク(tane.sakuratan.com)
Infected

無駄にでかいです。orz

どこぞの鑑定スレに古いマルウェアアドレスが出る→何の気なしに、ドメイン名の一部とexeをキーワードに検索
→文字化けしてたが、どこかの報告リストを目撃→うかつにも全部落としてみる→404とかもあったけどファイル多数

無害なものも幾つか入っちゃってるかもしれませんので、自分の使用中のベンダーで検知・削除されないものに
限定して(VTに投げて0/40なものは外すとかして)提出してください。

古いものも混じっているので、全部提出する必要はないと思います。

AntiVirとAntiyLabs宛にはFTP経由で提出済み(AntiVirはすり抜け分のみ8.7MB程度)

167:名無しさん@お腹いっぱい。
09/05/25 18:08:13
あ、パスは infected の間違い。頭大文字じゃないです。

168:名無しさん@お腹いっぱい。
09/05/25 18:43:37
>>166-167乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

169:名無しさん@お腹いっぱい。
09/05/25 19:51:47
>>166
未検出分をMcAfeeに提出させて頂きました。

170:名無しさん@お腹いっぱい。
09/05/25 21:02:01
Rising 2009 21.40.02 (21.31.02.00)
>>96
bot.exe: Backdoor.Win32.Ntos.cc
4+1=5/8
>>131
6244.exe>>upx_c>>3e9>>upx_c: AdWare.Win32.Undef.evr
1/8
>>166
172(+1)/197

171:名無しさん@お腹いっぱい。
09/05/25 21:56:37
>>166-167


カスペ2009 21:02(KIS2010も同じ)
180/197 (うちヒューリスティック4)
検出結果詳細 略

順次提出。

172:61
09/05/25 22:00:50
>>165 乙です。
Kaspersky データベース 2009/05/25 21:02:00で>165の通り検出できました。

>>161
同上のデータベースで、1個追加。

 Work.exe - Trojan.Win32.Qhost.loa

後は未検出のままです。>161の分は返事が来ないから、白黒がはっきりしない...

173:61
09/05/25 22:14:02
>>123 AVIRA未検出分返答

 ActivatedReleaseXP.exe - 黒(名称未定)
 ActivatedSetup.exe - TR/FakeVimes.A.23
 ActivatedSetupReleaseXP.exe - 白
 ReleaseXP.exe - TR/Fakealert.ZB
 SetupRelease.exe - 白
 SetupReleaseXP.exe - DR/FakeAlert.RW
 uninstall.exe - TR/FakeVimes.A.21
 update.exe - TR/FakeVimes.A.22

以上、黒=事前1+事後6=7,白=2でclose.

174:61
09/05/25 22:34:46
>>159
AVIRA未検出分16個のうち返答があったもの

 file2.exe - TR/Spy.ZBot.uty
 Install_11-1.exe - TR/FraudPack.oiu
 install2.exe - SPR/Tool.Obfuscator.EW.2
 install3.exe - TR/TDss.aeii
 load2.exe - Worm/Joleee.bot
 load2.php - TR/Small.byt
 load3.php - TR/Inject.abau
 loadhlp.exe - TR/Drop.Agent.apvd
 m.dll - 黒(名称未定)
 setup.exe - 白
 softwarefortubeview.45013.exe - TR/Dldr.Agent.bzxx
 z.exe - TR/Spy.ZBot.urw

12個判断終わり。黒=11,白=1。 4個まだ解析中・・・めずらしくAVIRAが判断に迷ってる。(後から出した方が先に返答来ている)

しかも更にめずらしく、setup.exeがKaspersky黒でAVIRA白。逆は多いけど、これは初めての気がする。( ゚д゚)

175:61
09/05/25 23:08:13
>>141 また書き忘れた...

 Install_2019.exe - TR/Dldr.FraudLoad.elo
 softwarefortubeview.45027-2.exe - TR/Dldr.FraudLoad.Elf.7
 flash.swf -EXP/SWF.16723

HEURは隔離フォルダから送ったけど、これだとWeb提出と違って結果がみれないから状況不明。
どっちにしても、HEUR込みにすれば>139,141はAVIRAも全黒。

ただいま>166にAVIRA トライ中。


176:こなた ◆KONATAzZoM
09/05/25 23:18:20
お疲れ様です。
>>111で登録したときに書いた文句についての回答がありました。

>Hello,
>
>The ISTP product is a beta product and therefore may not be on the same level as our
>released products, as a result there may still be gaps in the on-demand scanning
>detection coverage. As the beta process continues we will take steps to ensure our
>detection coverage is as complete or exceeds coverage in our released products.
>Feedback such as yours is vital to this effort.
>
>We will add detection for these samples to ISTP databases as soon as possible.
>
>Thanks for your help!
>
超意訳:
>ISTPはベータ段階だから製品のより劣ってるかもしれないし、検出結果にギャップがあるのも否定はしない。
>このベータ段階を経て、既存の製品よりいいものにしようと私たちは手を打ってます。
>この努力に君らからのフィードバックを必要としています。
>今回提供してくれた検体の定義については、近々ISTPのデータベースに追加します。

ということなので、今日からまたちまちまとSASへの報告作業をはじめます。

177:61
09/05/25 23:20:48
>>166 乙です。Kasperskyは>171さんがやってくれていますので、AVIRAの方です。

AVIRA9 7.01.04.13 検出183,未検出14でした。(HEUR検出は無し)

ちなみに、未検出は
 32.exe
 a8.exe
 c.js
 go.exe
 maya4.0.exe
 qvodsetupplus.exe
 read.php
 setup(1).exe
 show_ads.js
 u89(1).exe
 u89.exe
 xx(1).htm
 xx(2).htm
 xxxdizhi.exe です。

順次AVIRAに提出しますがu89(1).exeとu89.exeは同じものなので、提出は13個になります。

178:61
09/05/26 00:24:53
>>177
Web提出時に既出で判定済み
 黒 a8.exe - SPR/Hacktool.28501
 白 maya4.0.exe,u89.exe,xxxdizhi.exe の3個

解析中
 32.exe,c.js,go.exe,qvodsetupplus.exe,read.php,setup(1).exe,show_ads.js の7個

中身を見て、VTに投げた後、提出しなかったもの
 xx(1).htm,xx(2).htm の2個 (VTでも 0/40)

AVIRA先生は終業時間過ぎてますので、報告は明日でしょう。では ノシ

179:61
09/05/26 00:38:31
>>174 訂正

× setup.exe - 白 → 黒判定。

同じ日に出した他のファイルと間違えた。orz >151,159,174のsetup.exeは、AVIRAも黒判定。

※ 白だったのは、VTに投げてはっきりしなかった分を、AVIRAに試しに出してみた分。

180:名無しさん@お腹いっぱい。
09/05/26 00:44:22
Rising 2009 21.40.04 (21.31.04.00)
前スレ>822
8\antivirus.exe>>pc.exe: AdWare.Win32.FakeAV.cp
5(+1)+1=6(+1)/12
>>131
bb021908.exe>>sopidkc.exe: Backdoor.Win32.Undef.dlw
bb021908.exe>>tpsaxyd.exe: Backdoor.Win32.Delf.ebq
1+1=2/8
>>166
追加検出1
172(+1)+1=173(+1)/197

181:こなた ◆KONATAzZoM
09/05/26 00:46:58
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-20
    * F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
    * Virus: 2009-05-25_11
    * SpyWare: 2009-05-25_11

>>113 (0344)
[検出結果:10/10]
\ActivatedSetup.exe -> Trojan-Downloader:W32/FraudLoad.EJ [検疫可]
\uninstall.exe -> Trojan-Downloader:W32/FraudLoad.EK [検疫可]
\update.exe -> Trojan-Downloader:W32/FraudLoad.EL [検疫可]
\Work.exe -> Gen:Trojan.Heur.90D02FAAAA [検疫可]
\SetupRelease.exe -> Gen:Trojan.Heur.Hype.0A5AA5A5A5 [検疫不可]
[RiskWare]
\ActivatedReleaseXP.exe -> Riskware:W32/Prestune.A
\PrestoTuneUp.exe -> Riskware:W32/Prestune.A
\ReleaseXP.exe -> Rogue:W32/PrestoTuneUp.D
\ActivatedSetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.C
\SetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.B

>>131 (0345)
>>137から変化なし。未検出分をSASへ登録しました。

>>139 (0346)
>>149から変化なし。未検出分をSASへ登録しました。

>>151 (0347)
>>162から変化なし。未検出分をSASへ登録しました。

182:171
09/05/26 01:07:56
>>166
カスペからの返事
180+事後検出6=186/197 、白5, 回答待ち6

白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち:32.exe, qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm

寝る


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch