09/06/07 15:31:11
ネトゲ関係のトロイの筈。
2つめは、そのまま圧縮しちゃうと34MB位あったので、7zを使って二重に圧縮しています。
全部撃墜か、まるっとスルーか明暗がはっきり出そうです。
URLリンク(tane.sakuratan.com)
(こちらは普通の1段階圧縮。解凍パスも同じ。34ファイル)
infected
URLリンク(tane.sakuratan.com)
(2段階圧縮。解凍後出てくる、114anhui.7z はパスワードなし7z形式のアーカイブ。中に、202個入ってます)
infected
AntiVirは全部撃墜です。
365:名無しさん@お腹いっぱい。
09/06/07 15:33:20
ごめん、367 の方は、連投規制でUP失敗してました。もうちょっと待ってから上げなおします。
366:名無しさん@お腹いっぱい。
09/06/07 15:44:37
UPできましたので>364の通りで。
367:名無しさん@お腹いっぱい。
09/06/07 16:12:45
>>359 >>364 乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
368:名無しさん@お腹いっぱい。
09/06/07 16:14:25
>>364
367はNortonとPandaは全検出確認
369:名無しさん@お腹いっぱい。
09/06/07 16:34:04
king 2009.6.7.14
>>359
0/4
>>364
29/34
202/202
未検出分を提出させて頂きました。
370:名無しさん@お腹いっぱい。
09/06/07 16:45:32
カスペ2010 15:00:00 検出状況
検体:>>342 (>>345)(tane0363)
4+事後提出2=6/14, 回答待ち8
Detected Trojan program Backdoor.PHP.Agent.de tane0363.zip/malicious_PHP_03.txt
検体:>>>351 ㌧(tane0364)
>>353 代理提出 ㌧
9/10のまま, 回答待ち1(bot.exe)
検体:>>>359 ㌧ (tane0365)
>>361 代理提出 ㌧
3/4のまま, 回答待ち1(index.htm)
うーん、あまりヒューリスティックは差がないな。
>>364㌧
全検知(34/34, 202/202)
371:名無しさん@お腹いっぱい。
09/06/07 16:51:54
Rising
>>364
>366
EtcフォルダはQvodSetup5.exeがSuspicious:Packer.Win32.UnkPacker.b、他対応済み
ff88567フォルダはすべて対応済み
tmhcarフォルダはスルー
jpgフォルダはすべてUnknown Win32 Virus
28+3(+1)/34
>367
すべて対応済み
372:61
09/06/07 16:55:59
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。
install.exe
URLリンク(www.virustotal.com) (2/39)
install2.exe
URLリンク(www.virustotal.com) (18/38)
popingred.exe
URLリンク(www.virustotal.com) (10/38)
popingred.pdf
URLリンク(www.virustotal.com) (16/38)
popingred.swf
URLリンク(www.virustotal.com) (9/39)
scriptvirus01.htm
URLリンク(www.virustotal.com) (15/38)
scriptvirus02.htm
URLリンク(www.virustotal.com) (17/38)
scriptvirus03.htm
URLリンク(www.virustotal.com) (4/39)
scriptvirus04.htm
URLリンク(www.virustotal.com) (12/8)
TubeViewer.ver.6.40000.exe
URLリンク(www.virustotal.com) (5/38)
※ 現在VTパンク気味らしく、VT→各ベンダーに検体が出るのに、多分最低でも3日以上のタイムラグがあると思われます。
先日、>342のInstall_2018.exeを6/2にVTにだけ出して、そのまま放置して確認。 VT提出後、丸3日経過しても>342の通りでVTでの検出率にほとんど変化が無い。
最終的にはベンダーに渡ると思いますが、一応ご注意下さい。(急ぐ人は、個別にベンダーへ提出した方が良いと思われます。)
373:名無しさん@お腹いっぱい。
09/06/07 17:07:31
Rising 2009 21.41.61 (21.32.61.00)
>>358
対応確認
>>359
flash.swf: Hack.Exploit.Win32.Swf.f
1/4
>>372
install2.exe: Trojan.Win32.FakeAV.oh
1/10
検体提出完了
374:名無しさん@お腹いっぱい。
09/06/07 17:09:02
COMODO Internet Security 1275
>>359
全てスルー。提出しました。
>>364
16/34
202/202
未検出分を提出しました。
375:名無しさん@お腹いっぱい。
09/06/07 17:11:17
>>372 乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
VT→各ベンダーに検体提供は、あり得ないような気がします
せいぜい統計資料くらいでは?
376:名無しさん@お腹いっぱい。
09/06/07 17:15:41
king 2009.6.7.15
>>372
\tane0368\install2.exe -Win32.Troj.FakeAV.oh.478243
1/10
未検出分を提出しました。
377:61
09/06/07 17:29:21
>>372
AVIRA9 7.01.04.65
install.exe - (UNDER ANALYSIS)
install2.exe - TR/Winwebsec.A.18
popingred.exe - (UNDER ANALYSIS)
popingred.pdf - EXP/PDF.16462
popingred.swf - (UNDER ANALYSIS)
scriptvirus01.htm - JS/Dldr.IFrame.BM
scriptvirus02.htm - JS/Dldr.IFrame.BM
scriptvirus03.htm - (UNDER ANALYSIS)
scriptvirus04.htm - (UNDER ANALYSIS)
TubeViewer.ver.6.40000.exe - (UNDER ANALYSIS)
黒4,解析中6。 未検出分 提出済み
Kaspersky 2009/06/07 15:00:00
install.exe -
install2.exe -
popingred.exe - Trojan-Dropper.Win32.Microjoin.gqu
popingred.pdf - Exploit.JS.Pdfka.jr
popingred.swf - Exploit.SWF.Agent.au
scriptvirus01.htm - HEUR:Trojan.Script.Iframer
scriptvirus02.htm - Trojan-Clicker.HTML.IFrame.rt
scriptvirus03.htm - HEUR:Trojan.Script.Iframer
scriptvirus04.htm - Trojan-Clicker.HTML.IFrame.ey
TubeViewer.ver.6.40000.exe - Trojan-Downloader.Win32.CodecPack.hza
黒6,HEUR 2,未検出2。 HEURと未検出は提出済み。
378:名無しさん@お腹いっぱい。
09/06/07 17:38:27
>>375
>VT→各ベンダーに検体提供は、あり得ないような気がします
>せいぜい統計資料くらいでは?
Prevx に検体提出先を問い合わせた際に、2007/10/04にはメールアドレスを指定され、
届かなくなったので、改めて問い合わせたところ、2008/03/18の返答では、VirusTotalに
Uploadするように指示されています。
少なくとも、特定のベンダーには、VTにUPされたファイルが回っていると思われます。
379:61
09/06/07 17:41:49
>>364,370
おっと、KIS2009と差があります。 KIS2009は、tane0366の方で
tmhcer\360.htm
tmhcer\js.js
の2個だけ未検出です。(32/34) tane0367は、(202/202)で全部検出。
一応、他のとまとめて上記も送ります。
>353のbot.exeは、つい先程 bot.exe_ - Trojan-Downloader.Win32.Agent.cewa New malicious software was found in this file.
と新種判定のメール来ましたので、その内検出するようになるかと。
>>375
以前、VTから各ベンダーに検体が提供されているという話がありました。 ただし、VTのどこにも明記されていないのですが...
PrevxがVT経由で検体を受け取るという話があったらしい(まとめWikiに書いてある)ので、そこから話が出たのかもしれません。
また、マルウェア制作者のチェックに使われるのを防止するため、VT→ベンダーに検体が渡るという話もありました。
が、どっちにしても、今のVTは150,000検体/日の提出量なので、仕分けが自動であっても、全く当てにできないとは思います。
ただ、以前の話を覚えていて、“VTに出てるから放置”という人が出る可能性もあるので、念のため書いておきました。(汗
380:名無しさん@お腹いっぱい。
09/06/07 17:42:49
>>364
tane0366
McAfee (Active Protection 無効)28/34
未検出分をMcAfeeに提出させて頂きました。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
360.htm |inconclusive | | |no
jpg.scr |inconclusive | | |no
js.js |inconclusive | | |no
jxsj9m.exe |inconclusive | | |no
sernn.exe |inconclusive | | |no
server.exe |inconclusive | | |no
>>364
tane0367
McAfee (Active Protection 無効)202/202
381:375
09/06/07 17:58:50
>>378
VTで再確認するような指示だったのではないでしょうか?
各セキュリティベンダにはセキュリティポリシー(脅威判断)や技術水準で対応するかしないかの状況もあります
もしVTが各ベンダに検体提供しているのであれば・・・
対応が速い遅いを計算しても
今みたいな検出状況は、もっと平均化しているはずです
以前、VTが各セキュリティベンダに渡しているのではないか?という推測のニュースが流れたことがありましたが
実際には、別ルートからの技術的な努力対応だったようです
ですから淡い期待は抱かないことが賢明であります
382:名無しさん@お腹いっぱい。
09/06/07 17:59:00
>>372
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install.exe |inconclusive | | |no
popingred.exe |inconclusive | | |no
popingred.swf |inconclusive | | |no
scriptvirus03.htm |inconclusive | | |no
scriptvirus04.htm |inconclusive | | |no
383:名無しさん@お腹いっぱい。
09/06/07 18:14:01
COMODO Internet Security 1276
>>372
1/10
未検出分を提出しました。
384:61
09/06/07 20:49:04
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。
demos.exe
URLリンク(www.virustotal.com) (22/39)
frfr5.exe
URLリンク(www.virustotal.com) (21/39)
KB908117.exe
URLリンク(www.virustotal.com) (12/38)
Keygen&Crack.45000.exe
URLリンク(www.virustotal.com) (3/38)
pore.htm
URLリンク(www.virustotal.com) (5/39)
scan_now.exe
URLリンク(www.virustotal.com) (7/39)
scriptvirus05.htm
URLリンク(www.virustotal.com) (16/38)
scriptvirus06.htm
URLリンク(www.virustotal.com) (6/38)
svcshostes.exe
URLリンク(www.virustotal.com) (13/39)
vv.exe
URLリンク(www.virustotal.com) (24/38)
次の10個。今週末、新種発生率高すぎ...orz
385:61
09/06/07 20:58:13
>>384
AVIRA9 7.01.04.65
demos.exe - TR/Spy.ZBot.6502.11
frfr5.exe - TR/Drop.BHO.176640
KB908117.exe - (UNDER ANALYSIS)
Keygen&Crack.45000.exe - (UNDER ANALYSIS)
pore.htm - (UNDER ANALYSIS)
scan_now.exe - (UNDER ANALYSIS)
scriptvirus05.htm - JS/Dldr.IFrame.BM
scriptvirus06.htm - HEUR/HTML.Malware
svcshostes.exe - (UNDER ANALYSIS)
vv.exe - TR/PSW.FtpSteal.C
黒4,HEUR 1,解析中5。 未検出分 提出済み。
Kaspersky 2009/06/07 17:47:00
demos.exe - Trojan-Spy.Win32.Zbot.gen
frfr5.exe - Trojan.Win32.BHO.ufd
KB908117.exe - Trojan.Win32.Rabbit.en
Keygen&Crack.45000.exe - Trojan-Downloader.Win32.CodecPack.hza
pore.htm - Trojan-Downloader.JS.LuckySploit.q
scan_now.exe - Trojan-Downloader.Win32.FraudLoad.eoj
scriptvirus05.htm - Trojan-Clicker.HTML.IFrame.rw
scriptvirus06.htm - Trojan-Downloader.JS.LuckySploit.m
svcshostes.exe
vv.exe - Trojan-Downloader.Win32.FraudLoad.enw
黒9,未検出1。 未検出分 提出済み。
う~、マルウェアがKB908117とか、嫌がらせかよぅ...
386:名無しさん@お腹いっぱい。
09/06/07 20:58:15
>>381
その回答は1年前のものですので、本日改めて、検体投稿先について問い合わせを行ないました。
結果に変化があれば、まとめWikiの方を更新しておきます。該当ベンダーの返答があるまで静観願います。
387:名無しさん@お腹いっぱい。
09/06/07 21:13:00
>>385
>う~、マルウェアがKB908117とか、嫌がらせかよぅ.
定番の install.exe, setup.exe と同じく、確かに引っかかりやすそうだ。..
本来なら、WindowsXP-KBXXXXXX-x86-JPN.exeみたいな形だが、こういうファイル名を使われるのも時間の問題だなぁ。
388:名無しさん@お腹いっぱい。
09/06/07 21:18:55
>>384
McAfee (Active Protection 無効)6/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
demos.exe |new detection |generic pws.y!bb |Trojan |yes
pore.htm |inconclusive | | |no
scan_now.exe |inconclusive | | |no
scriptvirus06.htm |inconclusive | | |no
389:名無しさん@お腹いっぱい。
09/06/07 21:31:17
>>372
Pandaへ提出完了
>>384
SymantecとPandaへ提出完了
Symantecから自動返答(全部手動解析行き)
filename: scriptvirus06.htm
machine: Machine
result: See the developer notes
filename: KB908117.exe
machine: Machine
result: See the developer notes
filename: scriptvirus05.htm
machine: Machine
result: See the developer notes
filename: pore.htm
machine: Machine
result: See the developer notes
filename: Keygen-Crack.45000.exe
machine: Machine
result: See the developer notes
390:名無しさん@お腹いっぱい。
09/06/07 21:34:20
>>384乙
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
391:名無しさん@お腹いっぱい。
09/06/07 22:29:16
>>384
Risingに提出完了
392:名無しさん@お腹いっぱい。
09/06/07 22:55:56
カスペからの返事
検体:>>290 (>>294,299,328) (tane0358)
1+事後検出2=3/3でようやくFA
winqwl32.dll - Backdoor.Win32.WinUOJ.ap
This file is already detected. Please update your antivirus bases.
検体:>>>351 (>>370) ㌧ (tane0364)
>>379さんの言うとおり、17:47で
Detected Trojan program Trojan-Downloader.Win32.Agent.cewa tane0364.zip/bot.exe
9+事後検出1=10/10でFA
あとは変わりなし。
393:61
09/06/07 23:28:31
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。
188.pdf
URLリンク(www.virustotal.com) (12/38)
cn.pdf
URLリンク(www.virustotal.com) (4/39)
flash_player_plugin.exe
URLリンク(www.virustotal.com) (8/39)
infect.php
URLリンク(www.virustotal.com) (17/39)
load.exe
URLリンク(www.virustotal.com) (12/38)
scriptvirus07.htm
URLリンク(www.virustotal.com) (1/39)
scriptvirus08.htm
URLリンク(www.virustotal.com) (4/38)
scriptvirus09.htm
URLリンク(www.virustotal.com) (4/39)
SetupPack.exe
URLリンク(www.virustotal.com) (3/38)
troj.exe
URLリンク(www.virustotal.com) (16/39)
scriptvirus08.htmとscriptvirus09.htmは、改変方法が違うだけで多分呼び出し先一緒。一応、ベンダーが両方合った方がわかりやすそうなので同梱。
394:名無しさん@お腹いっぱい。
09/06/07 23:36:10
>>393
Risingスルー、提出中
395:名無しさん@お腹いっぱい。
09/06/07 23:38:08
>Prevx の件
本日の回答:今後は、パスワード "infected" で固めたZIPを次のアドレスに投げてくれ。mik☆prevx.com.
今後は、同報メールでの提出時に、Prevx にも投げるようにしたいと思います。
>>381
いや、真面目に、今までの検体受付アドレスに届かなくなったがどこに送付したらよいかという問い合わせへの
返答でしたので、VTで再確認しろという趣旨ではありませんでした。
396:61
09/06/07 23:38:12
>>393
AVIRA9 7.01.04.65
188.pdf - EXP/Pidief.aim
cn.pdf - (UNDER ANALYSIS)
flash_player_plugin.exe - (UNDER ANALYSIS)
infect.php - TR/Dldr.Murlo.bdg
load.exe - (UNDER ANALYSIS)
scriptvirus07.htm - (UNDER ANALYSIS)
scriptvirus08.htm - JS/Dldr.Agent.csr
scriptvirus09.htm - JS/Dldr.Agent.csr
SetupPack.exe - (UNDER ANALYSIS)
troj.exe - TR/Spy.ZBot.8345.1
黒5,解析中5。 未検出分 提出済み。
Kaspersky 2009/06/07 17:47:00
188.pdf - Exploit.Win32.Pidief.axy
cn.pdf -
flash_player_plugin.exe -
infect.php - Trojan-Downloader.Win32.Murlo.bdg
load.exe - Email-Worm.Win32.Joleee.bzx
scriptvirus07.htm - HEUR:Exploit.Script.Generic
scriptvirus08.htm - HEUR:Trojan.Script.Iframer
scriptvirus09.htm - HEUR:Trojan.Script.Iframer
SetupPack.exe - not-a-virus:FraudTool.Win32.FastAntivirus2009.f
troj.exe - Trojan-Spy.Win32.Zbot.gen
黒5,HEUR 3,未検出2。 HEURと未検出分 提出済み。
やっと終わりが見えてきた。
397:名無しさん@お腹いっぱい。
09/06/07 23:42:32
>>393
Symantec、Panda、GDATA(=avast!、BitDefender)へ提出完了
Symantecから自動返答(今回も解析中との報告)
filename: cn.pdf
machine: Machine
result: See the developer notes
filename: SetupPack.exe
machine: Machine
result: See the developer notes
filename: scriptvirus08.htm
machine: Machine
result: See the developer notes
filename: flash_player_plugin.exe
machine: Machine
result: See the developer notes
filename: scriptvirus09.htm
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
398:名無しさん@お腹いっぱい。
09/06/07 23:58:41
>>393乙
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
>>395
EUのフォーラムで
「VTにマルウェアをアップロードすれば、後日参加ベンダに行き渡りますよね~」って聞いてごらん
けっこうウケると思うよ
399:名無しさん@お腹いっぱい。
09/06/08 00:04:25
カスペからの返事
検体:>>359㌧
>>361 代理提出㌧
2+事後検出1+1=4/4でFA
index.htm - Exploit.JS.Agent.aim
検体:>>372
>>377 代理提出㌧
8+追加検出2=10/10でFA
install.exe - Trojan-Downloader.Win32.FraudLoad.eoz
install2.exe - Trojan-Downloader.Win32.FraudLoad.eoy
最近のもの(>>384,393))は>>61さんの回答待ちにします。
400:名無しさん@お腹いっぱい。
09/06/08 00:08:16
KasperskyとAviraは相変わらず対応速度が速いし安定してるな
他のベンダーも頑張れ
401:名無しさん@お腹いっぱい。
09/06/08 00:08:53
>>393
McAfee (Active Protection 無効)1/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
188.pdf |new detection |exploit-pdf.d |Trojan |yes
cn.pdf |inconclusive | | |no
infect.php |new detection |generic downloader.x!dy |Trojan |yes
load.exe |new detection |generic.dx!gn |Trojan |yes
scriptvirus07.htm |inconclusive | | |no
scriptvirus08.htm |inconclusive | | |no
scriptvirus09.htm |inconclusive | | |no
setuppack.exe |inconclusive | | |no
troj.exe |new detection |generic pws.y!bb |Trojan |yes
402:名無しさん@お腹いっぱい。
09/06/08 00:18:34
>>398
prevxの検体提出アドレスが使用できなくなった際の問い合わせで、今後はVTにUploadしてくれという回答を
貰った時期があった(2008/03/18)という以上の情報を私からは出していません。
>けっこうウケると思うよ
その情報に基づいて憶測を広げるかどうかは個人の自由ですので止めは致しませんが、ここは一応
真面目なスレだと解釈していますので、煽るような発言は程々にして頂けないでしょうか。
ちなみに、VTのようなサイトの1つである Jotti の説明文には、このような一文があります。
>Files uploaded here are shared with anti-virus companies so detection accuracy of their
>anti-virus products can be improved. Read more about this in our privacy policy.
>If you do not want your files to be distributed, please do not send them at all.
翻訳エンジン経由の訳によると
>ここにアップロードされたファイルは、それらのアンチウイルス製品の検出精度を改良できるように
>ウイルス対策会社と共有されます。 これに関して私たちのプライバシーに関する方針でもう少し読んでください。
> あなたのファイルを分配して欲しくないなら、それらを全く送らないでください。
VirusTotal:アップされた検体の共有が行われているかは不明。Prevxが過去に提出はVTへと指示した時期がある。
VirSCAN.org:アップされた検体の共有が行われているかは不明。
Jotti's malware scan:指定しなければ、各ベンダーと共有されます
Jotti's のセキュリティポリシーと、VTにUpせよとの指定が混在して、VirusTotalへのUPでそのファイルは各ベンダーにも
提出されているのではないかという想定に繋がった可能性があります。以上。
403:名無しさん@お腹いっぱい。
09/06/08 00:22:29
訂正
VirSCAN.org:アップされた検体の共有が行われている。
>疑わしいものとして、アップロードしたファイルが検知されれば、VirSCANはファイルを送り、
>分析されるVirSCANサービスに参加する抗ウイルスのベンダーに離れて報告するでしょう。
>実際のマルウェアが見つかれば、アンチウイルスの会社は署名ウィルス・データベースを更新するでしょう。
いかにも機械語翻訳な解説の中にこのような文面がありましたので、VirSCAN.org も疑惑ファイルを
各ベンダーで共有しているようです。はっきりした説明がないのがVirusTotalだけということになりますね。
404:名無しさん@お腹いっぱい。
09/06/08 00:48:35
…度々すまん。VirusTotalも、各種ベンダーとファイルの共有をしているようです。
セキュリティポリシー(英文)のに段落目に下記のメッセージがありました。
URLリンク(www.virustotal.com)
>When you submit a sample file to VirusTotal for scanning, we may store it and share these with
>anti-malware and security companies (normally the companies participants in VirusTotal receives
>the samples cataloged as malware that theirs engines do not detect). The samples can be analysed
>by automatic tools and security analysts to detect malicious code and to improve anti-virus engines.
機械翻訳後
>あなたがスキャンのためにサンプルファイルをVirusTotalに提出するとき、私たちは、反マルウェアと
>警備会社とそれを保存して、これらを共有するかもしれません(通常、VirusTotalの会社の関係者は
>彼等のものが蒸気機関を備えているマルウェアが、検出されないので、カタログに載せられたサンプルを
>受け取ります)。 自動ツールと証券アナリストは、悪質なコードを検出して、アンチウイルスエンジンを
>改良するためにサンプルを分析できます。
VirusTotal/VirSCAN.org/Jotti's malware scan のいずれも、提出されたファイルを、なんらかの方法で
セキュリティベンダーと共有するようです。ただし、ベンダーの窓口に直接送付した方が、対応は圧倒的に
早いようです。
405:名無しさん@お腹いっぱい。
09/06/08 00:59:46 BE:596402892-2BP(0)
煽るというか、ネタ振りでしょw
vt は、privacy.html に一筆入ってました
> When you submit a sample file ...
ってリロしたら気づかれてたw
意図的に一部破壊したり、アンパックしたマルウェアを分析させたりすることもあるので、
ベンダに送付されるのは引き止められないが、せめてコメントを書き添えたりできないか。
って頼んだりしたことがあるのですけど、いまんとこ「あーそういうのもいいかもね、考えときます」
くらいで放置されてますw
406:61
09/06/08 01:36:30
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 8個入っています。
5.htm
URLリンク(www.virustotal.com) (4/39)
Adobe-Flash-Player-Update-pack-2009-06-07.exe
URLリンク(www.virustotal.com) (11/39)
deisvop.htm
URLリンク(www.virustotal.com) (12/38)
install.exe
URLリンク(www.virustotal.com) (20/38)
load.exe
URLリンク(www.virustotal.com) (16/38)
load2.exe
URLリンク(www.virustotal.com) (21/38)
perce.exe
URLリンク(www.virustotal.com) (9/38)
Setup_build6_27.exe
URLリンク(www.virustotal.com) (7/39)
今日はこれで終わりです。
407:名無しさん@お腹いっぱい。
09/06/08 01:37:31
ちょっとVTでテストしてみました。
このマルウェアは、
VTが最初に受け付けたのは2008.12.31 でした
VTが最後に受け付けたのは2009.03.04 でした(6/38) URLリンク(g.imagehost.org)
↓ 3ヶ月経過 ↓ 4社対応が増えた
再びVTで新規解析してみた2009.06.08結果が(10/39)でした URLリンク(g.imagehost.org)
この結果からは、
VTが参加ベンダとマルウェア検体の共有をしているというのはあり得ないのではないのでしょうか?
408:407
09/06/08 01:46:34
>>406乙
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
>VirusTotal/VirSCAN.org/Jotti's malware scan のいずれも、提出されたファイルを、なんらかの方法でセキュリティベンダーと共有
この件は、答えが見つかりそうも無いですね・・・
409:61
09/06/08 01:48:09
>>406
AVIRA9 7.01.04.65
5.htm - (UNDER ANALYSIS)
Adobe-Flash-Player-Update-pack-2009-06-07.exe - SPR/Fraud.PrivC.2
deisvop.htm - JS/Agent.AB
install.exe - HEUR/Malware (UNDER ANALYSIS)
load.exe - (UNDER ANALYSIS)
load2.exe - TR/Crypt.XPACK.Gen
perce.exe - (UNDER ANALYSIS)
Setup_build6_27.exe - TR/Crypt.ZPACK.Gen
黒4,HEUR 1(解析中),解析中3。 未検出分 提出済み。
Kaspersky 2009/06/08 1:14:00
5.htm - HEUR:Trojan.Script.Iframer
Adobe-Flash-Player-Update-pack-2009-06-07.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.dt
deisvop.htm - Packed.JS.Agent.ab
install.exe -
load.exe - Trojan-Spy.Win32.Zbot.wig
load2.exe - Trojan-Dropper.Win32.Agent.asui
perce.exe -
Setup_build6_27.exe -
黒4,HEUR 1,未検出3。 HEURと未検出提出済み。
>>399
最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w
410:名無しさん@お腹いっぱい。
09/06/08 01:55:50
>>406
Panda、GDATA(=avast!、BitDefender)へ提出完了
411:名無しさん@お腹いっぱい。
09/06/08 02:23:33
>>406
McAfee (Active Protection 無効)4/8
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
5.htm |inconclusive | | |no
load.exe |new detection |generic pws.y!be |Trojan |yes
load2.exe |new detection |generic dropper!bp |Trojan |yes
setup_build6_27.exe |inconclusive | | |no
412:名無しさん@お腹いっぱい。
09/06/08 08:33:40
king 2009.6.7.19
>>384
tane0369\vv.exe /Win32.TrojDownloader.FraudLoad.44544
tane0369\scan_now.exe /Win32.TrojDownloader.FraudLoad.262672
tane0369\KB908117.exe /Win32.Troj.Rabbit.en.20703
3/10
>>393
tane0370\scriptvirus09.htm /JS.Agent.za.11918
tane0370\scriptvirus08.htm /JS.Agent.za.11918
2/10
>>406
tane0372\perce.exe /Win32.Troj.Undef.125956
tane0372\load.exe /Win32.Troj.Zbot.64512
2/8
未検出分を提出しました。
413:名無しさん@お腹いっぱい。
09/06/08 10:11:12
カスペ2009 9:23
検体:>>384 ㌧ (代理提出 >>385 ㌧)
9+事後検出1=10/10でFA
Trojan program Trojan.Win32.Rabbit.eq tane0369\svcshostes.exe
検体:>>393 ㌧ (代理提出 >>396 ㌧)
8+事後検出1=9/10(HEUR2含み)、未検知1 (cn.pdf)
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dt tane0370.zip/flash_player_plugin.exe
Detected Trojan program Trojan-Downloader.HTML.IFrame.aad tane0370.zip/scriptvirus08.htm (←HEUR:Trojan.Script.Iframer)
検体:>>406 ㌧ (代理提出 >>409 ㌧)
5+事後検出2=7/8, 未検知1( install.exe )
Detected Trojan program Trojan-Downloader.JS.Iframe.bdc tane0372.zip/5.htm (←HEUR:Trojan.Script.Iframer)
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epa tane0372.zip/Setup_build6_27.exe
Detected Trojan program Trojan.Win32.Agent.cljd tane0372.zip/perce.exe
>>409
>最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w
了解。
未検出分、頃合いみて再送。
未だ、クローズしていない案件:>>342
414:名無しさん@お腹いっぱい。
09/06/08 10:30:14
>>406
Rising 2009
install.exe: Suspicious:Trojan.DL.Win32.Downloader.GEN
load.exe: Suspicious:Packer.Win32.UnkPacker.a
0(+2)/8
提出済み
415:名無しさん@お腹いっぱい。
09/06/08 11:01:42
COMODO Internet Security 1281
>>384
5/10
>>393
3/10
>>406
5/10
未検出分は提出しました
416:名無しさん@お腹いっぱい。
09/06/08 14:24:51
>>407
> VTが参加ベンダとマルウェア検体の共有をしているというのはあり得ないのではないのでしょうか?
検体を共有してることと、共有してる検体を積極的に解析することは別の問題
VTみたいに味噌も糞も一緒に放り込まれるようなものは優先順位が低いと思うよ
417:名無しさん@お腹いっぱい。
09/06/08 20:25:30
>>407
どのライン(一定の検出率を越えたら誤検出じゃない可能性が高いと見てベンダーに提出)で
チェックしてるかはわかんないですからねー。新種なんかの、検出率悪いのは誤検出の可能性と
判断して、ベンダーに回さないかもしれませんし。
>>395
Prevxの提出先ミス。届かないので問い合わせたら、1文字抜けてた模様。
Prevx(Prevx3) <mike☆prevx.com> これが正しい検体提出先だそうです。
418:407
09/06/08 21:12:57
>>416-417
ちなみに407は正真正銘のRootKitです。
419:413
09/06/08 21:26:29
検体:>>393 (>>396,>>413)
cn.pdf - Exploit.Win32.Pidief.azl
8+事後検出(1+1) = 10/10でクローズ
検体:>>406 (>>409,413)
install.exe - No malicious code was found in this file.
5+2=7/8、白1でクローズ
VTみていると、Trojan-Downloader.Renos.*** かなと思っていたけれど、カスペ判定では白だった。検出時には、VTでの他社検出状況は教えているが…。
※Trojan-Downloader.Renos attempts to download certain rogue anti-spyware application. (attempt to; ~しようと試みる。rogue=無法者(の)、ごろつき)、リスク:中
420:419
09/06/08 21:27:36
>>419
カスペからの返事です。すまぬ。
421:名無しさん@お腹いっぱい。
09/06/08 21:40:58
>>418
対応して欲しければ窓口に直接送るのが一番良い
各社のWEBページに送り先が書いてあるでしょ >>4-8みたいなのが
普通に考えれば自社で収集してる企業は
ほとんどがVTの検体はチェックしてないと思うよ
収集能力の低い企業ほどVTの検体に頼ると思う
422:418
09/06/08 21:44:53
>>421
昨夜Symantecに送っています。
423:名無しさん@お腹いっぱい。
09/06/08 21:45:20
>>421
最近Ikarus元気なくね
424:名無しさん@お腹いっぱい。
09/06/09 11:21:00
Rising 2009 21.42.04 (21.33.04.00)
>>351
codec.exe: Trojan.Win32.FakeAV.pc
1+1=2/10
>>384
KB908117.exe: Worm.Win32.Undef.hi
1/10
425:名無しさん@お腹いっぱい。
09/06/09 14:01:18
king 2009.6.9.7
>>372
tane0368\TubeViewer.ver.6.40000.exe /Win32.TrojDownloader.CodecPack.70180
tane0368\popingred.exe /Win32.Troj.Microjoin.1590272
1+2/10
>>384
tane0369\svcshostes.exe /Win32.Troj.Rabbit.eq.20705
tane0369\Keygen&Crack.45000.exe /Win32.TrojDownloader.CodecPack.70180
tane0369\frfr5.exe /Win32.Troj.BHO.176640
3+3/10
>>393
tane0370\troj.exe /Win32.Troj.Zbot.83456
2+1/10
>>406
tane0372\load2.exe /Win32.Troj.Agent.34496
2+1/8
426:名無しさん@お腹いっぱい。
09/06/09 15:20:13
>>15,72,289あたりと同類ですが一部スルーでした
URLリンク(tane.sakuratan.com)
infected
検出元
www●muswou●com/AVI.scr
AVI.scr 28/39 (71.79%)
URLリンク(www.virustotal.com)
427:名無しさん@お腹いっぱい。
09/06/09 18:48:31
>>426
ファイル名は違うものの、同じ検体(6/6提出済み)
URLリンク(www.virustotal.com)
ちらっと比較してみたところ、変な箇所が。
Antiy-AVL、ViRobot なんかは、提出後に対応してるのがわかりますが、
a-squaredは、検知してたのに、>426の結果だと、スルーに変化してる。再提出必要かな。
428:名無しさん@お腹いっぱい。
09/06/09 19:01:36
>>426-427
a-squared4.5Freeで検査してみました。中身の本体である1199.exeを検知して、削除は可能でした。
検出名も、6/6の通り、Trojan.Crypt!IKのままです。
VTのパターンが、4.0→4.5になってるせいかもしれませんが、手元で検査したのも4.5.0.1なんですよね。
VTでスルーになってるのが解せませんが、実際は対応しているということで安心しておきましょう。
他の未検出のベンダーには、提出済みですが、Comodoユーザーの人は、再提出しといてもいいかも。
CAT-QuickHeal、Comodo、eTrust-Vet、Ikarus、K7AntiVirus、nProtect、Rising、Sunbelt、TheHacker 済み。
429:名無しさん@お腹いっぱい。
09/06/09 19:11:02
Rising 2009 21.42.12 (21.33.12.00)
>>166
176+1=177/197
>>351
300.exe: Backdoor.Win32.Undef.drz
2+1=3/10
>>384
vv.exe: Trojan.PSW.Win32.Agent.etg
1+1=2/10
>>406
perce.exe: Trojan.Win32.Nodef.jwm
0(+2)+1=1(+2)/8
>>426
AVI.zip>>AVI.scr>>1199.exe: Trojan.Win32.Nodef.jwh
430:名無しさん@お腹いっぱい。
09/06/09 20:43:17
>>427
tane0373/mpg.scr再提出完了(McAfee)
431:349
09/06/09 21:56:57
>>342 (>>345,>>349)
カスペからの返事:
4+事後提出(1+3)=8/14、白6でクローズ。
load.php - Worm.Win32.AutoRun.aptw,
malicious_PHP_02.txt - Backdoor.PHP.Agent.df
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
malicious_PHP_01.txt, malicious_PHP_04.txt, malicious_PHP_05.txt, malicious_PHP_06.txt, malicious_PHP_08.txt, malicious_PHP_10.txt
No malicious code were found in these files.
malicious_PHP_03.txt - Backdoor.PHP.Agent.de
This file is already detected. Please update your antivirus bases.
Please quote all when answering.
The answer is relevant to the latest bases from update sources.
一応、これで未決分なし。
432:61
09/06/10 01:18:51
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 1個入っています。 話題の216.154.213.166 関連です。
load.exe
URLリンク(www.virustotal.com) (1/40)
AVIRA 7.01.04.77 - (UNDER ANALYSIS)
Kaspersky 2009/06/10 0:09:00 -
AVIRAもKasperskyもスルーしたので提出済み。 VT 1/40とか、なかなか壮観ですなぁ...
補足
・リストアップされていた35個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは6箇所。ただし、全部同じファイル。(IPアドレス同じなので、まあ予想通りだけど)
・flash.swfとindex.htmも落ちてきたが、これは>359と全く同じファイル。(MD5,SHA256 どっちも一緒)
・pdfは落ちてこなかった。(この感じだと、落ちてきたとしても多分>359と同じだったかも)
index.htmとflash.swfが同じなので、gnomeさん他の通り、87.106.103.122 → 216.154.213.166は同一犯確定でしょう。
exeファイルだけ入れ替えてるのかもしれません。
433:名無しさん@お腹いっぱい。
09/06/10 01:23:19
COMODO Internet Security 1286
>>426
tane0373\AVI\AVI.scr Heur.Suspicious@22520887 成功
434:名無しさん@お腹いっぱい。
09/06/10 01:25:51
COMODO Internet Security 1286
>>432
スルー 提出しました。
435:名無しさん@お腹いっぱい。
09/06/10 02:05:07
>>432
Symantec、Panda、GDATA2009(=avast!&BitDefender)に提出完了
436:名無しさん@お腹いっぱい。
09/06/10 02:20:56
>>432
Risingスルー、提出完了
437:61
09/06/10 02:31:41
>>432
続いて213.165.80.179...なんだけど、落ちてくるファイルが全部>359,432と同じ。ヽ(`Д´)ノウワーン
・リストアップされていた65個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは18箇所。ただし、全部>432と同じファイル。(ある程度予想はしてたが...)
・flash.swfとreadme.pdfは、>359と全く同じファイル。(ハッシュ値同じ)
む~、35+65=100個サイト踏んで、新種1個だけか。
つか、どこにアクセスしても落ちてくるファイルが同じだと、逆に尻尾をつかまえやすい気がしなくもなし...誰かが1個捕まえて
検体提出したら全部のサイトが対策されてしまうんで、gumblarよりマヌケだな。 pdfとswfは入れ替えしないし。
gumblarみたいな、1サイトで24時間以内の再アクセス制限+1~2日での新種入れ替えに比べると、緻密さが無い。 模倣犯かなぁ。
438:名無しさん@お腹いっぱい。
09/06/10 02:55:51
>>437
この辺の奴?
URLリンク(jvnrss.ise.chuo-u.ac.jp)
GENOみたいにアクセス制御で検体拾いにくくしてる奴が稼動してるらしいです。
このサイトの解説は判りやすくていいね…っつーか、どうやったら安全に拾えるかだな。
439:名無しさん@お腹いっぱい。
09/06/10 05:39:18
>>432
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
440:名無しさん@お腹いっぱい。
09/06/10 06:47:58
>>416
>>417
>>421
まぁ常識的に考えれば、VTなどの解析サイトが企業に検体を再配布することは無い
渡す渡さないで国際的な企業摩擦になるのは予想できるから予め取り決めがあるのでしょう
441:名無しさん@お腹いっぱい。
09/06/10 07:16:17
king 2009.6.9.21
>>432(tane0374)
スルー
提出させて頂きました。
442:名無しさん@お腹いっぱい。
09/06/10 07:25:09
>>432
大手ベンダーではAVG、Kaspersky、McAfee、NOD32、Symantecが対応
URLリンク(www.virustotal.com)
443:名無しさん@お腹いっぱい。
09/06/10 10:05:02
>>440
また嘘かよ
無知なら黙ってろ
444:名無しさん@お腹いっぱい。
09/06/10 16:39:42
VTについて、議論が多い(VT→ベンダーへの検体の提出)ので、分離するため、試験的にスレを立てた。
総合オンラインスキャンサービス VirusTotal, Jotti, VirScan
スレリンク(sec板)
まあ、dat落ちするなら、それまでということで。
445:名無しさん@お腹いっぱい。
09/06/10 17:42:34
URLリンク(www.virustotal.com)
BitDefenderとAviraが対応
最近BitDefenderの対応速度が速くなった感じがするが中の人変わったのか?
あと最近Pandaに検体提出しても全く対応してくれない・・・
今までだったら1日でだいぶ対応してくれたのに・・・
Pandaに一体何があったんだが?
ってか検体提出アドレス合ってる?
もしかしてPandaの提出先変わった?
↓で合ってる?
virussamples@pandasecurity.com
446:名無しさん@お腹いっぱい。
09/06/10 17:51:21
自分はpandasoftware.comに送ってるけど、
まぁ同じメールボックスだろうね。
返信来たことないから対応してくれてるのかは知らない
(VT等での追試はしない、というか送ったら削除しちゃってる)。
447:名無しさん@お腹いっぱい。
09/06/11 13:38:16
COMODO Internet Security 1310
>>432はVSには反映されてないが対応済みです。
tane0374\load.exe TrojWare.Win32.Trojan.Agent.Gen@22657916
448:名無しさん@お腹いっぱい。
09/06/11 16:03:12
Rising 2009 21.42.30 (21.33.30.00)
>>432
load.exe: Trojan.DL.Win32.Mnless.dvq
449:名無しさん@お腹いっぱい。
09/06/11 16:23:29
>>432
VT最新の結果
URLリンク(www.virustotal.com)
450:名無しさん@お腹いっぱい。
09/06/11 16:29:00
>>449
一日でだいぶ対応されたな
451:61
09/06/12 03:11:00
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 11個入っています。
bot.exe
URLリンク(www.virustotal.com) (20/40)
codec.exe
URLリンク(www.virustotal.com) (13/39)
download.exe
URLリンク(www.virustotal.com) (12/39)
ldr26.exe
URLリンク(www.virustotal.com) (12/39)
load.exe
URLリンク(www.virustotal.com) (20/40)
load2.exe
URLリンク(www.virustotal.com) (8/40)
load3.exe
URLリンク(www.virustotal.com) (18/40)
pdf.pdf
URLリンク(www.virustotal.com) (14/40)
pdf2.pdf
URLリンク(www.virustotal.com) (16/40)
readme.pdf
URLリンク(www.virustotal.com) (8/40)
softwarefortubeview.40009.exe
URLリンク(www.virustotal.com) (5/39)
452:61
09/06/12 03:21:26
>>451
AVIRA9 7.01.04.84
bot.exe - TR/Spy.ZBot.8294.2
codec.exe - (UNDER ANALYSIS)
download.exe - TR/Dropper.Gen
ldr26.exe - TR/Crypt.XPACK.Gen
load.exe - TR/Spy.ZBot.8294.2
load2.exe - (UNDER ANALYSIS)
load3.exe - TR/Dldr.Small.jvn
pdf.pdf - HTML/Malicious.PDF.Gen
pdf2.pdf - HTML/Malicious.PDF.Gen
readme.pdf - HEUR/HTML.Malware
softwarefortubeview.40009.exe - (UNDER ANALYSIS)
黒7,HEUR 1,解析中3。HEURと未検出分 提出済み。
Kaspersky 2009/06/12 2:24:00
bot.exe - Trojan-Spy.Win32.Zbot.gen
codec.exe - Trojan-Downloader.Win32.CodecPack.hzh
download.exe -
ldr26.exe -
load.exe - Trojan-Spy.Win32.Zbot.gen
load2.exe - Trojan.Win32.Inject.adng
load3.exe - Trojan-Downloader.Win32.Small.jvn
pdf.pdf -
pdf2.pdf -
readme.pdf -
softwarefortubeview.40009.exe
黒5,未検出7。未検出分 提出済み。
453:名無しさん@お腹いっぱい。
09/06/12 03:23:20
>>451
乙
SymantecとPandaとGDATA2009(=avast!&BitDefender)に提出完了
454:名無しさん@お腹いっぱい。
09/06/12 03:26:01
>>451
Symantecから自動返答(全部解析中)
filename: readme.pdf
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
filename: bot.exe
machine: Machine
result: See the developer notes
filename: ldr26.exe
machine: Machine
result: See the developer notes
それにしてもちょっと前までは全部未検出検体の場合は返事が来るのが遅くて一個でも検出できる検体が混ざってると今回みたいに1分足らずで返事が来るシステムだった記憶だったんだが・・・
返答システム変わったのか?
455:名無しさん@お腹いっぱい。
09/06/12 03:41:59
Rising 2009 21.42.34 (21.33.34.00)
>>372
install.exe: Trojan.DL.Win32.Undef.eve
1+1=2/10
>>393
flash_player_plugin.exe>>pc.exe: Trojan.Win32.FakeAV.pv
flash_player_plugin.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/10
>>406
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>pc.exe: Trojan.Win32.FakeAV.pv
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/8
>>451
download.exe: Trojan.Win32.FakeAV.oh
softwarefortubeview.40009.exe: Trojan.DL.Win32.Xpav.a
ldr26.exe: Suspicious:Packer.Win32.UnkPacker.a
2(+1)/11
検体提出完了
456:名無しさん@お腹いっぱい。
09/06/12 04:27:18
あぷろだの375、376は報告ないが、誰だよ。DLパスワードもわからんので、検出対象かすらわからん。
virus infected は違いました。orz
457:名無しさん@お腹いっぱい。
09/06/12 05:17:54
>>451乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
458:名無しさん@お腹いっぱい。
09/06/12 06:18:23
>>451
McAfee (Active Protection 無効)3/11
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bot.exe |new detection |generic pws.y!bp |Trojan |yes
codec.exe |heuristic detection |new malware.jj |Trojan |no
ldr26.exe |inconclusive | | |no
load.exe |new detection |generic pws.y!bp |Trojan |yes
load2.exe |inconclusive | | |no
load3.exe |inconclusive | | |no
pdf.pdf |heuristic detection |exploit-pdf.q.gen!stream |Trojan |no
readme.pdf |inconclusive | | |no
459:名無しさん@お腹いっぱい。
09/06/12 07:21:03
>>456
あーごめん、こないだのパス忘れ…
…じゃない 俺のじゃなかった
サイズが詰め合わせっぽいが、なんだろね
460:名無しさん@お腹いっぱい。
09/06/12 08:33:36
COMODO Internet Security 1316
>>451
TrojWare.Win32.Trojan.Agent.Gen@22908802 \tane0378\load2.exe
Heur.Suspicious@22908471 \tane0378\ldr26.exe
Heur.Suspicious@22636214 \tane0378\load3.exe
3/11
未検出を提出しました。
461:名無しさん@お腹いっぱい。
09/06/12 09:04:46
king 2009.6.11.18
>>451
tane0378\load3.exe /Win32.TrojDownloader.Small.19456
1/11
未検出分を提出しました。
462:名無しさん@お腹いっぱい。
09/06/12 12:28:24
カスペ2009 12:00
>>451 ㌧
>>452 代理提出㌧
5+事後検出1=6/12
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epl tane0378.zip/softwarefortubeview.40009.exe
検出状況を注視
463:462
09/06/12 23:42:22
>>451 (>>452,>>462)
数時間前検体提出、カスペからの返事
5+事後検出(1+3)=9/11, 回答待ち2 (pdf.pdf, pdf2.pdf)
readme.pdf - Exploit.Win32.Pidief.azr
download.exe_ - Trojan-Downloader.Win32.FraudLoad.wbxz
ldr26.exe_ - Trojan-Downloader.Win32.Agent.cfma
New malicious software was found in this file.
It's detection will be included in the next update. Thank you for your help.
464:463
09/06/13 01:45:29
>>451 (>>452,>>462,>>463)
カスペからの返事
5+事後検出6=11/11でクローズ
pdf.pdf - Exploit.Win32.Pidief.azt
pdf2.pdf - Exploit.Win32.Pidief.azs
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
465:名無しさん@お腹いっぱい。
09/06/13 08:02:35
Rising 2009 21.42.44 (21.33.44.00)
>>364
>366
Etc\QvodSetup5.exe: Suspicious:Packer.Win32.UnkPacker.b → Dropper.Win32.Undef.abe
29+3/34
>>451
bot.exe: Trojan.Win32.Nodef.jyl
load.exe: Trojan.Win32.Nodef.jyl
2(+1)+2=4(+1)/11
466:名無しさん@お腹いっぱい。
09/06/13 13:25:04
>>451
Norton全検出確認
Panda検出数:7
GDATA2009検出数:8
467:名無しさん@お腹いっぱい。
09/06/13 14:17:48
king 2009.6.12.21
>>451
tane0378\softwarefortubeview.40009.exe /Win32.TrojDownloader.Xpav.a.78967
tane0378\download.exe /Win32.Troj.FakeAV.oh.491318
tane0378\codec.exe /Win32.TrojDownloader.CodecPack.42991
1+3=4/11
468:名無しさん@お腹いっぱい。
09/06/13 17:00:02
NOD32 v3.0 定義4152
>>451 8/11
softwarefortubeview.40009.exe Win32/TrojanDownloader.FakeAlert.ACE トロイの木馬
tane0378\pdf2.pdf PDF/Exploit.Pidief.OJS.Gen トロイの木馬
tane0378\pdf.pdf PDF/Exploit.Pidief.OOW トロイの木馬
load3.exe Win32/TrojanDownloader.Agent.PEH トロイの木馬
load2.exe Win32/TrojanDownloader.Bredolab.AA トロイの木馬
load.exe Win32/Spy.Zbot.JF トロイの木馬
ldr26.exe Win32/TrojanDownloader.Agent.PEA トロイの木馬
bot.exe Win32/Spy.Zbot.JF トロイの木馬
未検出ぶんをEsetへ提出しました
469:名無しさん@お腹いっぱい。
09/06/13 17:41:16
>>451
McAfee
バージョン:13.3
ビルド:13.3.127
DATのバージョン:5644.0000
エンジンのバージョン:5301.4018
なんかタイミングによって検出できたりできなかったり...
(1)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
場所: bot.exe
(2)検出済み: FakeAlert-WinwebSecurity.a (トロイの木馬), FakeAlert-WinwebSecurity.a (トロイの木馬)
場所: download.exe
(3)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
場所: load.exe
(4)検出済み: Artemis!2303006FA299 (トロイの木馬)
場所: load3.exe
(5)検出済み: Exploit-PDF.q.gen!stream (トロイの木馬)
場所: pdf.pdf
(6)検出済み: Exploit-PDF.f (トロイの木馬)
場所: pdf2.pdf
(7)検出済み: Downloader-BQI (トロイの木馬), Downloader-BQI (トロイの木馬)
場所: softwarefortubeview.40009.exe
(8)検出済み: Artemis!19EEF1B8B7A9 (トロイの木馬)
場所: codec.exe
(9)検出済み: Artemis!1C14CAC07BD2 (トロイの木馬)
場所: ldr26.exe
(10)未検出
pdf2.pdf
(11)未検出:
readme.pdf
470:469
09/06/13 17:45:30
検出タイミングは以下の3つ
a)Vistaの標準ツールで解凍すると全て検出
b)7zipで解凍すると>>469の(1)-(7)まで検出
c)b)のあとで解凍後のフォルダの名前を変更すると(8)-(9)を検出
d)(10)-(11)はa)以外では検出されない、手動スキャンでも...
471:469
09/06/13 17:50:14
念のため補足
× a)Vistaの標準ツールで解凍すると全て検出
○ a)Vistaの標準ツールで解凍すると(1)-(11)まで全て検出
472:名無しさん@お腹いっぱい。
09/06/13 19:00:36
7zipの問題だろ
あるいは圧縮したソフトと言うこともあり得るけど
スレ違い気味
473:名無しさん@お腹いっぱい。
09/06/13 19:02:34
ごめん違うか
マカフィーがバカフィーって可能性もあるな
474:61
09/06/14 12:46:02
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。
codec2.exe
URLリンク(www.virustotal.com) (12/39)
flash.swf
URLリンク(www.virustotal.com) (8/39)
install.exe
URLリンク(www.virustotal.com) (12/39)
load.exe
URLリンク(www.virustotal.com) (5/40)
load2.exe
URLリンク(www.virustotal.com) (13/40)
me.exe
URLリンク(www.virustotal.com) (30/40)
pcdef.exe
URLリンク(www.virustotal.com) (17/39)
readme.pdf
URLリンク(www.virustotal.com) (15/39)
readme2.pdf
URLリンク(www.virustotal.com) (10/40)
ws.exe
URLリンク(www.virustotal.com) (11/39)
me.exeは、実質TrendMicro専用です。最近zbot系への対応悪い(VTに投げていると、TrendMicroだけ未検出ってのが増えてる)気がするので、
サンプルとして入れてあります。 バスター使いの人がいたら、提出してみて下さい。
※ TrendMicroが、zbot系の不検出が多いのが、故意なのか偶然なのかわからないので。
475:名無しさん@お腹いっぱい。
09/06/14 12:57:36
>>474 乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
476:61
09/06/14 13:00:34
>>474
AVIRA9 7.01.04.88
codec2.exe - (UNDER ANALYSIS)
flash.swf - (UNDER ANALYSIS)
install.exe - (UNDER ANALYSIS)
load.exe - (UNDER ANALYSIS)
load2.exe - TR/Crypt.ZPACK.Gen
me.exe - TR/Crypt.ZPACK.Gen
pcdef.exe - (UNDER ANALYSIS)
readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
readme2.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
ws.exe - TR/Dropper.Gen
黒3,HEUR 2,解析中5。未検出とHEUR 提出済み。
Kaspersky 2009/06/14 12:06:00
codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
flash.swf -
install.exe -
load.exe -
load2.exe - Trojan-Spy.Win32.Zbot.gen
me.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
pcdef.exe -
readme.pdf -
readme2.pdf - Exploit.JS.Pdfka.lf
ws.exe -
黒4,未検出6。未検出分 提出済み。
最近AVIRAもKasperskyもパンク気味で、以前に比べて対応に遅れが出始めてますね...遅れてるといっても、1~2日で対応してますが。
MDL見てても思うけど、6月に入ってからMalwareの量が非常に増えているので、各ベンダーとも大変そうです。
477:名無しさん@お腹いっぱい。
09/06/14 13:02:26
Rising 2009 21.42.60 (21.33.60.00)
>>474
me.exe: Trojan.Spy.Win32.Agent.epp
提出完了
478:名無しさん@お腹いっぱい。
09/06/14 13:03:40
>>474
Symantec、Panda、GDATA2009(=avast!&BitDefender)へ提出完了
479:61
09/06/14 13:40:28
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 2個入っています。ここ数日、私の所に大量に送られてきているウイルスメールの付属物
ecard.exe
URLリンク(www.virustotal.com) (32/39)
sms_reader_trial.exe
URLリンク(www.virustotal.com) (32/40)
ちょっと改変されているだけで、多分同じもの。 なんだけど、これもTrendMicroがスルーするので、気になるから上げてみた。
メジャーなウイルスで、しかも大量にメールで飛び交っている(私の方は会社にも同じ物が来ている)のに、日本で使われている製品で
バスターとAhnLabがスルーするのは、とってもマズイ気がする。(特にバスターがスルーしちゃうのは、コーポレート版もあるし...)
480:名無しさん@お腹いっぱい。
09/06/14 14:36:03
>>474
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
install.exe |new detection |generic fakealert.k |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
readme2.pdf |inconclusive | | |no
481:名無しさん@お腹いっぱい。
09/06/14 16:22:07
king 2009.6.14.15
>>474(tane0379)
0/10 未検出分を提出しました。
>>479
tane0380\sms_reader_trial.exe /Win32.TrojDownloader.FraudLoad.38144
tane0380\ecard.exe /Win32.TrojDownloader.FraudLoad.38144
2/2
482:名無しさん@お腹いっぱい。
09/06/14 17:30:19
>>474 ㌧ tane0379
>>476 代理提出㌧
カスペ2010(ベータ) 15:44:00
4+事後検出3=7/10
Detected Trojan program Exploit.Win32.Pidief.baf tane0379.zip/readme.pdf
Detected virus not-a-virus:FraudTool.Win32.InternetAntivirus.cg tane0379.zip/install.exe
Detected Trojan program Trojan.Win32.Inject.adnm tane0379.zip/load.exe
483:名無しさん@お腹いっぱい。
09/06/14 18:28:27
COMODO Internet Security 1327
>>474
全てスルー
>>479
tane0380\ecard.exe Heur.Packed.Unknown
tane0380\sms_reader_trial.exe Heur.Packed.Unknown
2/2
未検出分を提出しました
484:61
09/06/14 20:01:43
>>476
超久しぶりにKasperskyから返答がキタ━(゚∀゚)━!
flash.swf - 白
ws.exe - 白
install.exe - not-a-virus:FraudTool.Win32.InternetAntivirus.cg
load.exe - Trojan.Win32.Inject.adnm,
readme.pdf - Exploit.Win32.Pidief.baf
pcdef.exe - not-a-virus:FraudTool.Win32.WinPCDefender.aw
黒8,白2でclose.
485:61
09/06/14 21:42:06
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。
1.exe
URLリンク(www.virustotal.com) (17/39)
bin.exe
URLリンク(www.virustotal.com) (16/39)
bot.exe
URLリンク(www.virustotal.com) (23/37)
codec.exe
URLリンク(www.virustotal.com) (16/40)
codec2.exe
URLリンク(www.virustotal.com) (13/39)
codec3.exe
URLリンク(www.virustotal.com) (13/40)
ldr.exe
URLリンク(www.virustotal.com) (26/39)
nero_key.exe
URLリンク(www.virustotal.com) (11/39)
xpsp2patch.exe
URLリンク(www.virustotal.com) (12/39)
id.htm
URLリンク(www.virustotal.com) (2/40)
codecとcodec2とcodec3は、多分ちょっと改変されているだけで同種のマルウェアだと思いますが、微妙にVTの結果などが違うので同梱。
にしても、今度はxpsp2patchとか...KBxxxxxxもそうだけど、セキュリティソフトが検出できないと簡単に引っかかりそうだ。
486:名無しさん@お腹いっぱい。
09/06/14 21:48:33
>>485
乙
SymantecとPandaとGDATA2009(avast!&BitDefender)へ提出完了
Symantecから自動返答
filename: id.htm
machine: Machine
result: See the developer notes
filename: nero_key.exe
machine: Machine
result: See the developer notes
filename: xpsp2patch.exe
machine: Machine
result: See the developer notes
filename: 1.exe
machine: Machine
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
487:61
09/06/14 21:51:20
>>485
AVIRA9 7.01.04.88
1.exe - TR/Crypt.ZPACK.Gen
bin.exe - TR/Crypt.ZPACK.Gen
bot.exe - TR/Spy.ZBot.7680.1
codec.exe - (UNDER ANALYSIS)
codec2.exe - (UNDER ANALYSIS)
codec3.exe - (UNDER ANALYSIS)
ldr.exe - TR/Crypt.ZPACK.Gen
nero_key.exe - (UNDER ANALYSIS)
xpsp2patch.exe - TR/Dropper.Gen
id.htm - (UNDER ANALYSIS)
黒5,解析中5。 未検出分 提出済み。
Kaspersky 2009/06/14 20:38:00
1.exe - Trojan-Spy.Win32.Zbot.wpr
bin.exe - Trojan-Spy.Win32.Zbot.gen
bot.exe - Trojan-Spy.Win32.Zbot.gen
codec.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
codec3.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
ldr.exe - Trojan-Spy.Win32.Zbot.gen
nero_key.exe - Trojan.Win32.FraudPack.out
xpsp2patch.exe - Trojan-Dropper.Win32.Small.dlh
id.htm -
黒9,未検出1。 id.htmは、後程別の物とまとめて提出しますが、先に出したい方は、提出お願いします。
488:名無しさん@お腹いっぱい。
09/06/14 21:56:19
COMODO Internet Security 1327
>>485
全てスルー 提出しました。
489:名無しさん@お腹いっぱい。
09/06/14 22:01:11
>>474 (>>476,482)
カスペ2010 20:38:00
7+追加検出3=10/10でクローズ
Quarantined Trojan program Exploit.SWF.Agent.bb tane0379\flash.swf
Quarantined virus not-a-virus:FraudTool.Win32.WinPCDefender.aw tane0379\pcdef.exe
Quarantined Trojan program Trojan-Downloader.Win32.FraudLoad.eqd tane0379\ws.exe
>>484と違うのは、アナリスト偏差かな。
まれに、同じ検体でも、カスペ内で判定分かれるね。
困った。orz
>>487の id.htm は先に提出しておきます。
490:61
09/06/14 22:02:48
>>484
判定ひっくり返しキタ━(゚∀゚)━!
flash.swf - Exploit.SWF.Agent.bb
ws.exe - Trojan-Downloader.Win32.FraudLoad.eqd
何か最近このパターン増えてきた気が...
491:名無しさん@お腹いっぱい。
09/06/14 22:14:06
>>485
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
bin.exe |inconclusive | | |no
id.htm |inconclusive | | |no
nero_key.exe |inconclusive | | |no
xpsp2patch.exe |inconclusive | | |no
492:名無しさん@お腹いっぱい。
09/06/14 22:52:38
Rising 2009 21.42.62 (21.33.62.00)
>>479
ecard.exe: Trojan.DL.Win32.Small.zuv
sms_reader_trial.exe: Trojan.DL.Win32.Small.zuv
2/2
>>485
1.exe: Suspicious:Packer.Win32.UnkPacker.a
(+1)/10
提出完了
493:61
09/06/14 23:33:18
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 42個入っています。
・www.2a8k.cn/d/1.exe~99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.104.15
・数が多すぎて全部VTに投げていません。適当に5個投げた結果はこんな感じです。
1.exe - URLリンク(www.virustotal.com) (14/40)
6.exe - URLリンク(www.virustotal.com) (12/39)
11.exe - URLリンク(www.virustotal.com) (34/40)
16.exe - URLリンク(www.virustotal.com) (38/40)
50.exe - URLリンク(www.virustotal.com) (20/39)
新旧ごちゃ混ぜって感じです。 マルウェアのコレクターか何かですかね...?
AVIRA 42/42 全検出
Kaspersky 41/42検出,未検出1(6.exe) 6.exeと>487と一緒に提出。
>>489
アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。
494:名無しさん@お腹いっぱい。
09/06/14 23:53:21
>>493
McAfee (Active Protection 無効)35/42
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
22.exe |inconclusive | | |no
28.exe |new detection |pws-mmorpg!t |Trojan |yes
34.exe |new detection |generic pws.y!bt |Trojan |yes
37.exe |inconclusive | | |no
6.exe |inconclusive | | |no
9.exe |inconclusive | | |no
495:61
09/06/15 00:24:15
>>493 本日最終分
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 34個入っています。
・5yttrre.cn/xx1.exe~xx99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.105.11
・>493の42個と重複が無いことを確認済み。
・数が多すぎて全部VTに投げていません。適当に5個投げた結果はこんな感じです。
xx1.exe - URLリンク(www.virustotal.com) (19/40)
xx6.exe - URLリンク(www.virustotal.com) (35/40)
xx11.exe - URLリンク(www.virustotal.com) (36/40)
xx16.exe - URLリンク(www.virustotal.com) (31/40)
xx39.exe - URLリンク(www.virustotal.com) (27/39)
マルウェア コレクターその2? こちらの方が古い物(検出可能)が多いかも。
AVIRA 34/34 全検出
Kaspersky 34/34 全検出 なんで、AVIRAもKasperskyも何もせず。
496:489
09/06/15 00:24:50
カスペからの返事
>>485 ㌧
id.htm -No malicious software was found in the attached file.
9/10,で白1でクローズ
>>493
>アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
>白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。
だな。
ただ、返事の末尾に
The answer is relevant to the latest bases from update sources (この判定結果はアップデート・ソースの最新の結果に基づく(関連性がある))
の一文が付いていると、重複回避のため、白・黒判定済みとして一度判定した検査結果をそのまま報告されると思う。
.
497:名無しさん@お腹いっぱい。
09/06/15 00:55:35
>>495
McAfee (Active Protection 無効)33/34
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xx8.exe |inconclusive | | |no
498:名無しさん@お腹いっぱい。
09/06/15 01:17:32
>>485 >>493 >>495 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
499:名無しさん@お腹いっぱい。
09/06/15 01:33:29
Rising 2009
>>493
31.exe: Suspicious:Dropper.Win32.Mnless.GEN
6,37,50.exe: スルー
38(+1)/42
検体提出完了
>>495
すべて検出
34/34
500:名無しさん@お腹いっぱい。
09/06/15 06:44:44
king 2009.6.14.21
>>485
tane0381\xpsp2patch.exe /Win32.Troj.OnLineG.13824
1/10
>>493(tane0382)
6.exe、31.exe、37exeのみスルー
39/42
>>495(tane0383)
34/34
未検出分を提出しました。
501:名無しさん@お腹いっぱい。
09/06/15 10:53:04
COMODO Internet Security 1329
>>493
26/42
>>495
25/34
未検出分を提出しました。
502:名無しさん@お腹いっぱい。
09/06/15 15:29:38
>>493 tane0382
>>495代理提出㌧
カスペ2010(ベータ) 13:11
41+事後検出1=42/42でFA
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.vdja 6.exe
503:名無しさん@お腹いっぱい。
09/06/15 21:53:10
おまえらってkeygen単体だと大騒ぎして批判するくせに
まとまった中に同じような目的のばかり入っててもなんにも言わないんだな
不思議な奴らだよ
504:名無しさん@お腹いっぱい。
09/06/15 22:11:50
>>3
505:61
09/06/15 22:26:17
>>503
ありゃりゃ、どっかにkeygen入ってた?
ざっくり見て偽keygenのトロイばっかりだと思ってたけど、ちとチェック甘かったかなー...指摘してくれれば削除しておくけど。
506:名無しさん@お腹いっぱい。
09/06/15 22:30:02
>>485で、
nero_key.exe
xpsp2patch.exe
などは、個人的には送りません。
外国の著作権関係の刑法は知らないので。
507:61
09/06/16 00:01:55
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 7個入っています。
load.exe
URLリンク(www.virustotal.com) (1/39)
normalLeap.swf
URLリンク(www.virustotal.com) (5/41)
notTheoryCites.pdf
URLリンク(www.virustotal.com) (8/40)
readme.pdf
URLリンク(www.virustotal.com) (12/39)
readme2.pdf
URLリンク(www.virustotal.com) (13/41)
rferfref5.exe
URLリンク(www.virustotal.com) (3/40)
update.exe
URLリンク(www.virustotal.com) (15/41)
508:61
09/06/16 00:07:25
>>506
その辺は個人の判断にお任せしますが、どっちも偽keygenですよ?(keygenではない)
※ keygenを探している人にトロイを仕込むための、偽keygen。要は釣り餌
つか、その辺の判断をしやすいようにVirustotalを添付してるので、怪しいと思ったら、ファイル名だけではなく
VTの結果も見て欲しいところなのですが...
509:61
09/06/16 00:15:18
>>507
AVIRA9 7.01.04.94
load.exe - (MALWARE) next update
normalLeap.swf - (UNDER ANALYSIS)
notTheoryCites.pdf - HTML/Shellcode.Gen
readme.pdf - (UNDER ANALYSIS)
readme2.pdf - (UNDER ANALYSIS)
rferfref5.exe - (TR/Drop.BHO.BT) next update
update.exe - TR/Agent.clzx
黒2,未検出5。 未検出の内、黒判定2(次回update対応),解析中3。
Kaspersky 2009/06/15 19:59:00
load.exe -
normalLeap.swf -
notTheoryCites.pdf -
readme.pdf -
readme2.pdf -
rferfref5.exe -
update.exe - Trojan.Win32.Agent.clzx
黒1,未検出6。 未検出分 提出済み。
510:名無しさん@お腹いっぱい。
09/06/16 00:26:09
>>507 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
511:名無しさん@お腹いっぱい。
09/06/16 00:39:17
最近送付には参加してないが、ざっと眺めて、真性のkeygenってわかればスルーするかな
512:名無しさん@お腹いっぱい。
09/06/16 01:07:06
Rising 2009 21.43.04 (21.34.04.00)
>>113
ActivatedSetup.exe: Trojan.Win32.FakeAV.qk
1/10
>>384
frfr5.exe: Trojan.Win32.Nodef.kaa
2+1=3/10
>>406
Setup_build6_27.exe: Trojan.DL.Win32.Nodef.tq
1+1=2/8
>>451
load2.exe: Trojan.Win32.Nodef.kad
4(+1)+1=5(+1)/11
>>485
ldr.exe: Backdoor.Win32.Ntos.dk
nero_key.exe: Trojan.DL.Win32.Undef.ewa
xpsp2patch.exe: Trojan.DL.Win32.Undef.evx
(+1)+3=3(+1)/10
>>493
31.exe>>66: Suspicious:Dropper.Win32.Mnless.GEN → Trojan.PSW.Win32.OnlineGame.zbl
37.exe: Trojan.Spy.Win32.Undef.lx
50.exe>>Aspack212r: Trojan.PSW.Win32.QQPass.ekk
6.exe>>upx_c>>6d: Trojan.PSW.Win32.OnlineGame.zbq
38(+1)+4(-1)=42/42
>>507
スルー
提出完了
513:61
09/06/16 01:14:59
>>509
今回は返事が早かった...寝る前にKasperskyから返事来ました。
load.exe_ - Trojan.Win32.Inject.adov,
normalLeap.swf - Exploit.SWF.Downloader.nm,
notTheoryCites.pdf_ - Exploit.Win32.Pidief.ban,
readme.pdf_ - Exploit.Win32.Pidief.bar,
readme2.pdf_ - Exploit.Win32.Pidief.bap,
rferfref5.exe_ - Trojan.Win32.FraudPack.ovc
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
ということで、Kasperskyは>507 全黒でclose.
>>511
ん~、結構気をつけているけど、もしやっちゃったら指摘して欲しいのです。(汗 そこまで自分が完璧だと思わんし。
514:名無しさん@お腹いっぱい。
09/06/16 01:23:09
>>506,508
自己責任
シマンテックにノートンのキージェネやクラックツールを送ってヤバいことになったバカがいたようなw
515:名無しさん@お腹いっぱい。
09/06/16 06:27:31
>>507
McAfee (Active Protection 無効)1/7
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
normalleap.swf |inconclusive | | |no
nottheorycites.pdf |new detection |exploit-pdf.b |Trojan |yes
readme.pdf |heuristic detection |exploit-pdf.q.gen |Trojan |no
rferfref5.exe |new detection |generic dropper.p |Trojan |yes
update.exe |new detection |generic downloader.x!fi |Trojan |yes
516:名無しさん@お腹いっぱい。
09/06/16 13:54:10
COMODO Internet Security 1339
>>507
tane0384\rferfref5.exe Heur.Packed.Unknown
tane0384\update.exe TrojWare.Win32.Trojan.Agent.Gen@23283614
2/7
未検出分を提出しました。
>>595はアップデートにて全て検出確認しました。
517:516
09/06/16 13:56:57
訂正。595じゃなく>>495でした。すんません。
>>493もアップデートにて全て検出確認しました。
518:名無しさん@お腹いっぱい。
09/06/16 19:56:42
king 2009.6.16.18
>>507(tane0384)
0/7 スルー
未検出分を提出しました。
519:名無しさん@お腹いっぱい。
09/06/16 22:31:28
URLリンク(tane.sakuratan.com)
infected
検体入手元
GENO(いまだに生き残ってるサイトあるんだねぇ)
p://www■mennoyamaichi■co■jp/soumen/
偽FlashPlayer(5/26版) 前に提出したのは5/14頃。ファイル入れ代わってたようで。netの方は繋がりませんでした。
p://addobeflashplayer■com/flashplayer/thankyou/?installer=Flash_player_10_for_windows
p://addobeflashplayer■com/get/flashplayer/current/install_flash_player■exe
VirusTotal
install_flash_player■exe(15/40)
URLリンク(www.virustotal.com)
520:名無しさん@お腹いっぱい。
09/06/16 23:13:32
>>519,>>507
Norman,Zoner,nProtectを除く各社に提出完了。
最近、検出率の報告すらしてなくてすまん。送付だけで手一杯になるとは。orz
521:名無しさん@お腹いっぱい。
09/06/16 23:16:14
>>507
>>509の後、対応が進んでますね。やっぱ早いなぁ。
AntiVir9
(5+1/7) 残1+HEUR1
load.exe : TR/Drop.Agent.20480 Trojan
normalLeap.swf : SWF/Drop.Small.MD SWF virus
notTheoryCites.pdf : HTML/Shellcode.Gen HTML script virus
readme.pdf : スルー
readme2.pdf : HEUR/HTML.Malware suspicious code
rferfref5.exe : TR/Drop.BHO.BT Trojan
update.exe : TR/Agent.clzx Trojan
522:名無しさん@お腹いっぱい。
09/06/16 23:28:08
Rising 2009 21.43.14 (21.34.14.00)
>>474
install.exe: Packer.Win32.Agent.ar
readme.pdf: Hack.Exploit.Win32.PDF.jvp
1+2=3/10
>>507
load.exe: Trojan.Win32.Nodef.kaq
1/7
>>519
スルー
523:名無しさん@お腹いっぱい。
09/06/16 23:41:57
>>519 ㌧
カスペ2010 21:55:00
addobeflashplayer.com フォルダ
スルー 0/2
Gamburl.Aフォルダ
32/32
Detected Trojan program Trojan-Downloader.JS.Gumblar.a tane0385\Gamburl.A\mennoyamaichi\*.html
検体提出
524:61
09/06/17 02:10:09
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 8個入っています。
flash.swf
URLリンク(www.virustotal.com) (8/39)
ins.exe
URLリンク(www.virustotal.com) (22/41)
installer_1.exe
URLリンク(www.virustotal.com) (13/40)
load.exe
URLリンク(www.virustotal.com) (3/40)
readme.pdf
URLリンク(www.virustotal.com) (12/40)
sdfsdf.exe
URLリンク(www.virustotal.com) (6/41)
se.exe
URLリンク(www.virustotal.com) (12/41)
setup.exe
URLリンク(www.virustotal.com) (16/40)