09/06/08 01:48:09
>>406
AVIRA9 7.01.04.65
5.htm - (UNDER ANALYSIS)
Adobe-Flash-Player-Update-pack-2009-06-07.exe - SPR/Fraud.PrivC.2
deisvop.htm - JS/Agent.AB
install.exe - HEUR/Malware (UNDER ANALYSIS)
load.exe - (UNDER ANALYSIS)
load2.exe - TR/Crypt.XPACK.Gen
perce.exe - (UNDER ANALYSIS)
Setup_build6_27.exe - TR/Crypt.ZPACK.Gen
黒4,HEUR 1(解析中),解析中3。 未検出分 提出済み。
Kaspersky 2009/06/08 1:14:00
5.htm - HEUR:Trojan.Script.Iframer
Adobe-Flash-Player-Update-pack-2009-06-07.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.dt
deisvop.htm - Packed.JS.Agent.ab
install.exe -
load.exe - Trojan-Spy.Win32.Zbot.wig
load2.exe - Trojan-Dropper.Win32.Agent.asui
perce.exe -
Setup_build6_27.exe -
黒4,HEUR 1,未検出3。 HEURと未検出提出済み。
>>399
最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w
410:名無しさん@お腹いっぱい。
09/06/08 01:55:50
>>406
Panda、GDATA(=avast!、BitDefender)へ提出完了
411:名無しさん@お腹いっぱい。
09/06/08 02:23:33
>>406
McAfee (Active Protection 無効)4/8
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
5.htm |inconclusive | | |no
load.exe |new detection |generic pws.y!be |Trojan |yes
load2.exe |new detection |generic dropper!bp |Trojan |yes
setup_build6_27.exe |inconclusive | | |no
412:名無しさん@お腹いっぱい。
09/06/08 08:33:40
king 2009.6.7.19
>>384
tane0369\vv.exe /Win32.TrojDownloader.FraudLoad.44544
tane0369\scan_now.exe /Win32.TrojDownloader.FraudLoad.262672
tane0369\KB908117.exe /Win32.Troj.Rabbit.en.20703
3/10
>>393
tane0370\scriptvirus09.htm /JS.Agent.za.11918
tane0370\scriptvirus08.htm /JS.Agent.za.11918
2/10
>>406
tane0372\perce.exe /Win32.Troj.Undef.125956
tane0372\load.exe /Win32.Troj.Zbot.64512
2/8
未検出分を提出しました。
413:名無しさん@お腹いっぱい。
09/06/08 10:11:12
カスペ2009 9:23
検体:>>384 ㌧ (代理提出 >>385 ㌧)
9+事後検出1=10/10でFA
Trojan program Trojan.Win32.Rabbit.eq tane0369\svcshostes.exe
検体:>>393 ㌧ (代理提出 >>396 ㌧)
8+事後検出1=9/10(HEUR2含み)、未検知1 (cn.pdf)
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dt tane0370.zip/flash_player_plugin.exe
Detected Trojan program Trojan-Downloader.HTML.IFrame.aad tane0370.zip/scriptvirus08.htm (←HEUR:Trojan.Script.Iframer)
検体:>>406 ㌧ (代理提出 >>409 ㌧)
5+事後検出2=7/8, 未検知1( install.exe )
Detected Trojan program Trojan-Downloader.JS.Iframe.bdc tane0372.zip/5.htm (←HEUR:Trojan.Script.Iframer)
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epa tane0372.zip/Setup_build6_27.exe
Detected Trojan program Trojan.Win32.Agent.cljd tane0372.zip/perce.exe
>>409
>最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w
了解。
未検出分、頃合いみて再送。
未だ、クローズしていない案件:>>342
414:名無しさん@お腹いっぱい。
09/06/08 10:30:14
>>406
Rising 2009
install.exe: Suspicious:Trojan.DL.Win32.Downloader.GEN
load.exe: Suspicious:Packer.Win32.UnkPacker.a
0(+2)/8
提出済み
415:名無しさん@お腹いっぱい。
09/06/08 11:01:42
COMODO Internet Security 1281
>>384
5/10
>>393
3/10
>>406
5/10
未検出分は提出しました
416:名無しさん@お腹いっぱい。
09/06/08 14:24:51
>>407
> VTが参加ベンダとマルウェア検体の共有をしているというのはあり得ないのではないのでしょうか?
検体を共有してることと、共有してる検体を積極的に解析することは別の問題
VTみたいに味噌も糞も一緒に放り込まれるようなものは優先順位が低いと思うよ
417:名無しさん@お腹いっぱい。
09/06/08 20:25:30
>>407
どのライン(一定の検出率を越えたら誤検出じゃない可能性が高いと見てベンダーに提出)で
チェックしてるかはわかんないですからねー。新種なんかの、検出率悪いのは誤検出の可能性と
判断して、ベンダーに回さないかもしれませんし。
>>395
Prevxの提出先ミス。届かないので問い合わせたら、1文字抜けてた模様。
Prevx(Prevx3) <mike☆prevx.com> これが正しい検体提出先だそうです。
418:407
09/06/08 21:12:57
>>416-417
ちなみに407は正真正銘のRootKitです。
419:413
09/06/08 21:26:29
検体:>>393 (>>396,>>413)
cn.pdf - Exploit.Win32.Pidief.azl
8+事後検出(1+1) = 10/10でクローズ
検体:>>406 (>>409,413)
install.exe - No malicious code was found in this file.
5+2=7/8、白1でクローズ
VTみていると、Trojan-Downloader.Renos.*** かなと思っていたけれど、カスペ判定では白だった。検出時には、VTでの他社検出状況は教えているが…。
※Trojan-Downloader.Renos attempts to download certain rogue anti-spyware application. (attempt to; ~しようと試みる。rogue=無法者(の)、ごろつき)、リスク:中
420:419
09/06/08 21:27:36
>>419
カスペからの返事です。すまぬ。
421:名無しさん@お腹いっぱい。
09/06/08 21:40:58
>>418
対応して欲しければ窓口に直接送るのが一番良い
各社のWEBページに送り先が書いてあるでしょ >>4-8みたいなのが
普通に考えれば自社で収集してる企業は
ほとんどがVTの検体はチェックしてないと思うよ
収集能力の低い企業ほどVTの検体に頼ると思う
422:418
09/06/08 21:44:53
>>421
昨夜Symantecに送っています。
423:名無しさん@お腹いっぱい。
09/06/08 21:45:20
>>421
最近Ikarus元気なくね
424:名無しさん@お腹いっぱい。
09/06/09 11:21:00
Rising 2009 21.42.04 (21.33.04.00)
>>351
codec.exe: Trojan.Win32.FakeAV.pc
1+1=2/10
>>384
KB908117.exe: Worm.Win32.Undef.hi
1/10
425:名無しさん@お腹いっぱい。
09/06/09 14:01:18
king 2009.6.9.7
>>372
tane0368\TubeViewer.ver.6.40000.exe /Win32.TrojDownloader.CodecPack.70180
tane0368\popingred.exe /Win32.Troj.Microjoin.1590272
1+2/10
>>384
tane0369\svcshostes.exe /Win32.Troj.Rabbit.eq.20705
tane0369\Keygen&Crack.45000.exe /Win32.TrojDownloader.CodecPack.70180
tane0369\frfr5.exe /Win32.Troj.BHO.176640
3+3/10
>>393
tane0370\troj.exe /Win32.Troj.Zbot.83456
2+1/10
>>406
tane0372\load2.exe /Win32.Troj.Agent.34496
2+1/8
426:名無しさん@お腹いっぱい。
09/06/09 15:20:13
>>15,72,289あたりと同類ですが一部スルーでした
URLリンク(tane.sakuratan.com)
infected
検出元
www●muswou●com/AVI.scr
AVI.scr 28/39 (71.79%)
URLリンク(www.virustotal.com)
427:名無しさん@お腹いっぱい。
09/06/09 18:48:31
>>426
ファイル名は違うものの、同じ検体(6/6提出済み)
URLリンク(www.virustotal.com)
ちらっと比較してみたところ、変な箇所が。
Antiy-AVL、ViRobot なんかは、提出後に対応してるのがわかりますが、
a-squaredは、検知してたのに、>426の結果だと、スルーに変化してる。再提出必要かな。
428:名無しさん@お腹いっぱい。
09/06/09 19:01:36
>>426-427
a-squared4.5Freeで検査してみました。中身の本体である1199.exeを検知して、削除は可能でした。
検出名も、6/6の通り、Trojan.Crypt!IKのままです。
VTのパターンが、4.0→4.5になってるせいかもしれませんが、手元で検査したのも4.5.0.1なんですよね。
VTでスルーになってるのが解せませんが、実際は対応しているということで安心しておきましょう。
他の未検出のベンダーには、提出済みですが、Comodoユーザーの人は、再提出しといてもいいかも。
CAT-QuickHeal、Comodo、eTrust-Vet、Ikarus、K7AntiVirus、nProtect、Rising、Sunbelt、TheHacker 済み。
429:名無しさん@お腹いっぱい。
09/06/09 19:11:02
Rising 2009 21.42.12 (21.33.12.00)
>>166
176+1=177/197
>>351
300.exe: Backdoor.Win32.Undef.drz
2+1=3/10
>>384
vv.exe: Trojan.PSW.Win32.Agent.etg
1+1=2/10
>>406
perce.exe: Trojan.Win32.Nodef.jwm
0(+2)+1=1(+2)/8
>>426
AVI.zip>>AVI.scr>>1199.exe: Trojan.Win32.Nodef.jwh
430:名無しさん@お腹いっぱい。
09/06/09 20:43:17
>>427
tane0373/mpg.scr再提出完了(McAfee)
431:349
09/06/09 21:56:57
>>342 (>>345,>>349)
カスペからの返事:
4+事後提出(1+3)=8/14、白6でクローズ。
load.php - Worm.Win32.AutoRun.aptw,
malicious_PHP_02.txt - Backdoor.PHP.Agent.df
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
malicious_PHP_01.txt, malicious_PHP_04.txt, malicious_PHP_05.txt, malicious_PHP_06.txt, malicious_PHP_08.txt, malicious_PHP_10.txt
No malicious code were found in these files.
malicious_PHP_03.txt - Backdoor.PHP.Agent.de
This file is already detected. Please update your antivirus bases.
Please quote all when answering.
The answer is relevant to the latest bases from update sources.
一応、これで未決分なし。
432:61
09/06/10 01:18:51
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 1個入っています。 話題の216.154.213.166 関連です。
load.exe
URLリンク(www.virustotal.com) (1/40)
AVIRA 7.01.04.77 - (UNDER ANALYSIS)
Kaspersky 2009/06/10 0:09:00 -
AVIRAもKasperskyもスルーしたので提出済み。 VT 1/40とか、なかなか壮観ですなぁ...
補足
・リストアップされていた35個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは6箇所。ただし、全部同じファイル。(IPアドレス同じなので、まあ予想通りだけど)
・flash.swfとindex.htmも落ちてきたが、これは>359と全く同じファイル。(MD5,SHA256 どっちも一緒)
・pdfは落ちてこなかった。(この感じだと、落ちてきたとしても多分>359と同じだったかも)
index.htmとflash.swfが同じなので、gnomeさん他の通り、87.106.103.122 → 216.154.213.166は同一犯確定でしょう。
exeファイルだけ入れ替えてるのかもしれません。
433:名無しさん@お腹いっぱい。
09/06/10 01:23:19
COMODO Internet Security 1286
>>426
tane0373\AVI\AVI.scr Heur.Suspicious@22520887 成功
434:名無しさん@お腹いっぱい。
09/06/10 01:25:51
COMODO Internet Security 1286
>>432
スルー 提出しました。
435:名無しさん@お腹いっぱい。
09/06/10 02:05:07
>>432
Symantec、Panda、GDATA2009(=avast!&BitDefender)に提出完了
436:名無しさん@お腹いっぱい。
09/06/10 02:20:56
>>432
Risingスルー、提出完了
437:61
09/06/10 02:31:41
>>432
続いて213.165.80.179...なんだけど、落ちてくるファイルが全部>359,432と同じ。ヽ(`Д´)ノウワーン
・リストアップされていた65個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは18箇所。ただし、全部>432と同じファイル。(ある程度予想はしてたが...)
・flash.swfとreadme.pdfは、>359と全く同じファイル。(ハッシュ値同じ)
む~、35+65=100個サイト踏んで、新種1個だけか。
つか、どこにアクセスしても落ちてくるファイルが同じだと、逆に尻尾をつかまえやすい気がしなくもなし...誰かが1個捕まえて
検体提出したら全部のサイトが対策されてしまうんで、gumblarよりマヌケだな。 pdfとswfは入れ替えしないし。
gumblarみたいな、1サイトで24時間以内の再アクセス制限+1~2日での新種入れ替えに比べると、緻密さが無い。 模倣犯かなぁ。
438:名無しさん@お腹いっぱい。
09/06/10 02:55:51
>>437
この辺の奴?
URLリンク(jvnrss.ise.chuo-u.ac.jp)
GENOみたいにアクセス制御で検体拾いにくくしてる奴が稼動してるらしいです。
このサイトの解説は判りやすくていいね…っつーか、どうやったら安全に拾えるかだな。
439:名無しさん@お腹いっぱい。
09/06/10 05:39:18
>>432
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
440:名無しさん@お腹いっぱい。
09/06/10 06:47:58
>>416
>>417
>>421
まぁ常識的に考えれば、VTなどの解析サイトが企業に検体を再配布することは無い
渡す渡さないで国際的な企業摩擦になるのは予想できるから予め取り決めがあるのでしょう
441:名無しさん@お腹いっぱい。
09/06/10 07:16:17
king 2009.6.9.21
>>432(tane0374)
スルー
提出させて頂きました。
442:名無しさん@お腹いっぱい。
09/06/10 07:25:09
>>432
大手ベンダーではAVG、Kaspersky、McAfee、NOD32、Symantecが対応
URLリンク(www.virustotal.com)
443:名無しさん@お腹いっぱい。
09/06/10 10:05:02
>>440
また嘘かよ
無知なら黙ってろ
444:名無しさん@お腹いっぱい。
09/06/10 16:39:42
VTについて、議論が多い(VT→ベンダーへの検体の提出)ので、分離するため、試験的にスレを立てた。
総合オンラインスキャンサービス VirusTotal, Jotti, VirScan
スレリンク(sec板)
まあ、dat落ちするなら、それまでということで。
445:名無しさん@お腹いっぱい。
09/06/10 17:42:34
URLリンク(www.virustotal.com)
BitDefenderとAviraが対応
最近BitDefenderの対応速度が速くなった感じがするが中の人変わったのか?
あと最近Pandaに検体提出しても全く対応してくれない・・・
今までだったら1日でだいぶ対応してくれたのに・・・
Pandaに一体何があったんだが?
ってか検体提出アドレス合ってる?
もしかしてPandaの提出先変わった?
↓で合ってる?
virussamples@pandasecurity.com
446:名無しさん@お腹いっぱい。
09/06/10 17:51:21
自分はpandasoftware.comに送ってるけど、
まぁ同じメールボックスだろうね。
返信来たことないから対応してくれてるのかは知らない
(VT等での追試はしない、というか送ったら削除しちゃってる)。
447:名無しさん@お腹いっぱい。
09/06/11 13:38:16
COMODO Internet Security 1310
>>432はVSには反映されてないが対応済みです。
tane0374\load.exe TrojWare.Win32.Trojan.Agent.Gen@22657916
448:名無しさん@お腹いっぱい。
09/06/11 16:03:12
Rising 2009 21.42.30 (21.33.30.00)
>>432
load.exe: Trojan.DL.Win32.Mnless.dvq
449:名無しさん@お腹いっぱい。
09/06/11 16:23:29
>>432
VT最新の結果
URLリンク(www.virustotal.com)
450:名無しさん@お腹いっぱい。
09/06/11 16:29:00
>>449
一日でだいぶ対応されたな
451:61
09/06/12 03:11:00
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 11個入っています。
bot.exe
URLリンク(www.virustotal.com) (20/40)
codec.exe
URLリンク(www.virustotal.com) (13/39)
download.exe
URLリンク(www.virustotal.com) (12/39)
ldr26.exe
URLリンク(www.virustotal.com) (12/39)
load.exe
URLリンク(www.virustotal.com) (20/40)
load2.exe
URLリンク(www.virustotal.com) (8/40)
load3.exe
URLリンク(www.virustotal.com) (18/40)
pdf.pdf
URLリンク(www.virustotal.com) (14/40)
pdf2.pdf
URLリンク(www.virustotal.com) (16/40)
readme.pdf
URLリンク(www.virustotal.com) (8/40)
softwarefortubeview.40009.exe
URLリンク(www.virustotal.com) (5/39)
452:61
09/06/12 03:21:26
>>451
AVIRA9 7.01.04.84
bot.exe - TR/Spy.ZBot.8294.2
codec.exe - (UNDER ANALYSIS)
download.exe - TR/Dropper.Gen
ldr26.exe - TR/Crypt.XPACK.Gen
load.exe - TR/Spy.ZBot.8294.2
load2.exe - (UNDER ANALYSIS)
load3.exe - TR/Dldr.Small.jvn
pdf.pdf - HTML/Malicious.PDF.Gen
pdf2.pdf - HTML/Malicious.PDF.Gen
readme.pdf - HEUR/HTML.Malware
softwarefortubeview.40009.exe - (UNDER ANALYSIS)
黒7,HEUR 1,解析中3。HEURと未検出分 提出済み。
Kaspersky 2009/06/12 2:24:00
bot.exe - Trojan-Spy.Win32.Zbot.gen
codec.exe - Trojan-Downloader.Win32.CodecPack.hzh
download.exe -
ldr26.exe -
load.exe - Trojan-Spy.Win32.Zbot.gen
load2.exe - Trojan.Win32.Inject.adng
load3.exe - Trojan-Downloader.Win32.Small.jvn
pdf.pdf -
pdf2.pdf -
readme.pdf -
softwarefortubeview.40009.exe
黒5,未検出7。未検出分 提出済み。
453:名無しさん@お腹いっぱい。
09/06/12 03:23:20
>>451
乙
SymantecとPandaとGDATA2009(=avast!&BitDefender)に提出完了
454:名無しさん@お腹いっぱい。
09/06/12 03:26:01
>>451
Symantecから自動返答(全部解析中)
filename: readme.pdf
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
filename: bot.exe
machine: Machine
result: See the developer notes
filename: ldr26.exe
machine: Machine
result: See the developer notes
それにしてもちょっと前までは全部未検出検体の場合は返事が来るのが遅くて一個でも検出できる検体が混ざってると今回みたいに1分足らずで返事が来るシステムだった記憶だったんだが・・・
返答システム変わったのか?
455:名無しさん@お腹いっぱい。
09/06/12 03:41:59
Rising 2009 21.42.34 (21.33.34.00)
>>372
install.exe: Trojan.DL.Win32.Undef.eve
1+1=2/10
>>393
flash_player_plugin.exe>>pc.exe: Trojan.Win32.FakeAV.pv
flash_player_plugin.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/10
>>406
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>pc.exe: Trojan.Win32.FakeAV.pv
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/8
>>451
download.exe: Trojan.Win32.FakeAV.oh
softwarefortubeview.40009.exe: Trojan.DL.Win32.Xpav.a
ldr26.exe: Suspicious:Packer.Win32.UnkPacker.a
2(+1)/11
検体提出完了
456:名無しさん@お腹いっぱい。
09/06/12 04:27:18
あぷろだの375、376は報告ないが、誰だよ。DLパスワードもわからんので、検出対象かすらわからん。
virus infected は違いました。orz
457:名無しさん@お腹いっぱい。
09/06/12 05:17:54
>>451乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
458:名無しさん@お腹いっぱい。
09/06/12 06:18:23
>>451
McAfee (Active Protection 無効)3/11
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bot.exe |new detection |generic pws.y!bp |Trojan |yes
codec.exe |heuristic detection |new malware.jj |Trojan |no
ldr26.exe |inconclusive | | |no
load.exe |new detection |generic pws.y!bp |Trojan |yes
load2.exe |inconclusive | | |no
load3.exe |inconclusive | | |no
pdf.pdf |heuristic detection |exploit-pdf.q.gen!stream |Trojan |no
readme.pdf |inconclusive | | |no
459:名無しさん@お腹いっぱい。
09/06/12 07:21:03
>>456
あーごめん、こないだのパス忘れ…
…じゃない 俺のじゃなかった
サイズが詰め合わせっぽいが、なんだろね
460:名無しさん@お腹いっぱい。
09/06/12 08:33:36
COMODO Internet Security 1316
>>451
TrojWare.Win32.Trojan.Agent.Gen@22908802 \tane0378\load2.exe
Heur.Suspicious@22908471 \tane0378\ldr26.exe
Heur.Suspicious@22636214 \tane0378\load3.exe
3/11
未検出を提出しました。
461:名無しさん@お腹いっぱい。
09/06/12 09:04:46
king 2009.6.11.18
>>451
tane0378\load3.exe /Win32.TrojDownloader.Small.19456
1/11
未検出分を提出しました。
462:名無しさん@お腹いっぱい。
09/06/12 12:28:24
カスペ2009 12:00
>>451 ㌧
>>452 代理提出㌧
5+事後検出1=6/12
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epl tane0378.zip/softwarefortubeview.40009.exe
検出状況を注視
463:462
09/06/12 23:42:22
>>451 (>>452,>>462)
数時間前検体提出、カスペからの返事
5+事後検出(1+3)=9/11, 回答待ち2 (pdf.pdf, pdf2.pdf)
readme.pdf - Exploit.Win32.Pidief.azr
download.exe_ - Trojan-Downloader.Win32.FraudLoad.wbxz
ldr26.exe_ - Trojan-Downloader.Win32.Agent.cfma
New malicious software was found in this file.
It's detection will be included in the next update. Thank you for your help.
464:463
09/06/13 01:45:29
>>451 (>>452,>>462,>>463)
カスペからの返事
5+事後検出6=11/11でクローズ
pdf.pdf - Exploit.Win32.Pidief.azt
pdf2.pdf - Exploit.Win32.Pidief.azs
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
465:名無しさん@お腹いっぱい。
09/06/13 08:02:35
Rising 2009 21.42.44 (21.33.44.00)
>>364
>366
Etc\QvodSetup5.exe: Suspicious:Packer.Win32.UnkPacker.b → Dropper.Win32.Undef.abe
29+3/34
>>451
bot.exe: Trojan.Win32.Nodef.jyl
load.exe: Trojan.Win32.Nodef.jyl
2(+1)+2=4(+1)/11
466:名無しさん@お腹いっぱい。
09/06/13 13:25:04
>>451
Norton全検出確認
Panda検出数:7
GDATA2009検出数:8
467:名無しさん@お腹いっぱい。
09/06/13 14:17:48
king 2009.6.12.21
>>451
tane0378\softwarefortubeview.40009.exe /Win32.TrojDownloader.Xpav.a.78967
tane0378\download.exe /Win32.Troj.FakeAV.oh.491318
tane0378\codec.exe /Win32.TrojDownloader.CodecPack.42991
1+3=4/11
468:名無しさん@お腹いっぱい。
09/06/13 17:00:02
NOD32 v3.0 定義4152
>>451 8/11
softwarefortubeview.40009.exe Win32/TrojanDownloader.FakeAlert.ACE トロイの木馬
tane0378\pdf2.pdf PDF/Exploit.Pidief.OJS.Gen トロイの木馬
tane0378\pdf.pdf PDF/Exploit.Pidief.OOW トロイの木馬
load3.exe Win32/TrojanDownloader.Agent.PEH トロイの木馬
load2.exe Win32/TrojanDownloader.Bredolab.AA トロイの木馬
load.exe Win32/Spy.Zbot.JF トロイの木馬
ldr26.exe Win32/TrojanDownloader.Agent.PEA トロイの木馬
bot.exe Win32/Spy.Zbot.JF トロイの木馬
未検出ぶんをEsetへ提出しました
469:名無しさん@お腹いっぱい。
09/06/13 17:41:16
>>451
McAfee
バージョン:13.3
ビルド:13.3.127
DATのバージョン:5644.0000
エンジンのバージョン:5301.4018
なんかタイミングによって検出できたりできなかったり...
(1)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
場所: bot.exe
(2)検出済み: FakeAlert-WinwebSecurity.a (トロイの木馬), FakeAlert-WinwebSecurity.a (トロイの木馬)
場所: download.exe
(3)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
場所: load.exe
(4)検出済み: Artemis!2303006FA299 (トロイの木馬)
場所: load3.exe
(5)検出済み: Exploit-PDF.q.gen!stream (トロイの木馬)
場所: pdf.pdf
(6)検出済み: Exploit-PDF.f (トロイの木馬)
場所: pdf2.pdf
(7)検出済み: Downloader-BQI (トロイの木馬), Downloader-BQI (トロイの木馬)
場所: softwarefortubeview.40009.exe
(8)検出済み: Artemis!19EEF1B8B7A9 (トロイの木馬)
場所: codec.exe
(9)検出済み: Artemis!1C14CAC07BD2 (トロイの木馬)
場所: ldr26.exe
(10)未検出
pdf2.pdf
(11)未検出:
readme.pdf
470:469
09/06/13 17:45:30
検出タイミングは以下の3つ
a)Vistaの標準ツールで解凍すると全て検出
b)7zipで解凍すると>>469の(1)-(7)まで検出
c)b)のあとで解凍後のフォルダの名前を変更すると(8)-(9)を検出
d)(10)-(11)はa)以外では検出されない、手動スキャンでも...
471:469
09/06/13 17:50:14
念のため補足
× a)Vistaの標準ツールで解凍すると全て検出
○ a)Vistaの標準ツールで解凍すると(1)-(11)まで全て検出
472:名無しさん@お腹いっぱい。
09/06/13 19:00:36
7zipの問題だろ
あるいは圧縮したソフトと言うこともあり得るけど
スレ違い気味
473:名無しさん@お腹いっぱい。
09/06/13 19:02:34
ごめん違うか
マカフィーがバカフィーって可能性もあるな
474:61
09/06/14 12:46:02
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。
codec2.exe
URLリンク(www.virustotal.com) (12/39)
flash.swf
URLリンク(www.virustotal.com) (8/39)
install.exe
URLリンク(www.virustotal.com) (12/39)
load.exe
URLリンク(www.virustotal.com) (5/40)
load2.exe
URLリンク(www.virustotal.com) (13/40)
me.exe
URLリンク(www.virustotal.com) (30/40)
pcdef.exe
URLリンク(www.virustotal.com) (17/39)
readme.pdf
URLリンク(www.virustotal.com) (15/39)
readme2.pdf
URLリンク(www.virustotal.com) (10/40)
ws.exe
URLリンク(www.virustotal.com) (11/39)
me.exeは、実質TrendMicro専用です。最近zbot系への対応悪い(VTに投げていると、TrendMicroだけ未検出ってのが増えてる)気がするので、
サンプルとして入れてあります。 バスター使いの人がいたら、提出してみて下さい。
※ TrendMicroが、zbot系の不検出が多いのが、故意なのか偶然なのかわからないので。
475:名無しさん@お腹いっぱい。
09/06/14 12:57:36
>>474 乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
476:61
09/06/14 13:00:34
>>474
AVIRA9 7.01.04.88
codec2.exe - (UNDER ANALYSIS)
flash.swf - (UNDER ANALYSIS)
install.exe - (UNDER ANALYSIS)
load.exe - (UNDER ANALYSIS)
load2.exe - TR/Crypt.ZPACK.Gen
me.exe - TR/Crypt.ZPACK.Gen
pcdef.exe - (UNDER ANALYSIS)
readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
readme2.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
ws.exe - TR/Dropper.Gen
黒3,HEUR 2,解析中5。未検出とHEUR 提出済み。
Kaspersky 2009/06/14 12:06:00
codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
flash.swf -
install.exe -
load.exe -
load2.exe - Trojan-Spy.Win32.Zbot.gen
me.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
pcdef.exe -
readme.pdf -
readme2.pdf - Exploit.JS.Pdfka.lf
ws.exe -
黒4,未検出6。未検出分 提出済み。
最近AVIRAもKasperskyもパンク気味で、以前に比べて対応に遅れが出始めてますね...遅れてるといっても、1~2日で対応してますが。
MDL見てても思うけど、6月に入ってからMalwareの量が非常に増えているので、各ベンダーとも大変そうです。
477:名無しさん@お腹いっぱい。
09/06/14 13:02:26
Rising 2009 21.42.60 (21.33.60.00)
>>474
me.exe: Trojan.Spy.Win32.Agent.epp
提出完了
478:名無しさん@お腹いっぱい。
09/06/14 13:03:40
>>474
Symantec、Panda、GDATA2009(=avast!&BitDefender)へ提出完了
479:61
09/06/14 13:40:28
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 2個入っています。ここ数日、私の所に大量に送られてきているウイルスメールの付属物
ecard.exe
URLリンク(www.virustotal.com) (32/39)
sms_reader_trial.exe
URLリンク(www.virustotal.com) (32/40)
ちょっと改変されているだけで、多分同じもの。 なんだけど、これもTrendMicroがスルーするので、気になるから上げてみた。
メジャーなウイルスで、しかも大量にメールで飛び交っている(私の方は会社にも同じ物が来ている)のに、日本で使われている製品で
バスターとAhnLabがスルーするのは、とってもマズイ気がする。(特にバスターがスルーしちゃうのは、コーポレート版もあるし...)
480:名無しさん@お腹いっぱい。
09/06/14 14:36:03
>>474
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
install.exe |new detection |generic fakealert.k |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
readme2.pdf |inconclusive | | |no
481:名無しさん@お腹いっぱい。
09/06/14 16:22:07
king 2009.6.14.15
>>474(tane0379)
0/10 未検出分を提出しました。
>>479
tane0380\sms_reader_trial.exe /Win32.TrojDownloader.FraudLoad.38144
tane0380\ecard.exe /Win32.TrojDownloader.FraudLoad.38144
2/2
482:名無しさん@お腹いっぱい。
09/06/14 17:30:19
>>474 ㌧ tane0379
>>476 代理提出㌧
カスペ2010(ベータ) 15:44:00
4+事後検出3=7/10
Detected Trojan program Exploit.Win32.Pidief.baf tane0379.zip/readme.pdf
Detected virus not-a-virus:FraudTool.Win32.InternetAntivirus.cg tane0379.zip/install.exe
Detected Trojan program Trojan.Win32.Inject.adnm tane0379.zip/load.exe
483:名無しさん@お腹いっぱい。
09/06/14 18:28:27
COMODO Internet Security 1327
>>474
全てスルー
>>479
tane0380\ecard.exe Heur.Packed.Unknown
tane0380\sms_reader_trial.exe Heur.Packed.Unknown
2/2
未検出分を提出しました
484:61
09/06/14 20:01:43
>>476
超久しぶりにKasperskyから返答がキタ━(゚∀゚)━!
flash.swf - 白
ws.exe - 白
install.exe - not-a-virus:FraudTool.Win32.InternetAntivirus.cg
load.exe - Trojan.Win32.Inject.adnm,
readme.pdf - Exploit.Win32.Pidief.baf
pcdef.exe - not-a-virus:FraudTool.Win32.WinPCDefender.aw
黒8,白2でclose.
485:61
09/06/14 21:42:06
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。
1.exe
URLリンク(www.virustotal.com) (17/39)
bin.exe
URLリンク(www.virustotal.com) (16/39)
bot.exe
URLリンク(www.virustotal.com) (23/37)
codec.exe
URLリンク(www.virustotal.com) (16/40)
codec2.exe
URLリンク(www.virustotal.com) (13/39)
codec3.exe
URLリンク(www.virustotal.com) (13/40)
ldr.exe
URLリンク(www.virustotal.com) (26/39)
nero_key.exe
URLリンク(www.virustotal.com) (11/39)
xpsp2patch.exe
URLリンク(www.virustotal.com) (12/39)
id.htm
URLリンク(www.virustotal.com) (2/40)
codecとcodec2とcodec3は、多分ちょっと改変されているだけで同種のマルウェアだと思いますが、微妙にVTの結果などが違うので同梱。
にしても、今度はxpsp2patchとか...KBxxxxxxもそうだけど、セキュリティソフトが検出できないと簡単に引っかかりそうだ。
486:名無しさん@お腹いっぱい。
09/06/14 21:48:33
>>485
乙
SymantecとPandaとGDATA2009(avast!&BitDefender)へ提出完了
Symantecから自動返答
filename: id.htm
machine: Machine
result: See the developer notes
filename: nero_key.exe
machine: Machine
result: See the developer notes
filename: xpsp2patch.exe
machine: Machine
result: See the developer notes
filename: 1.exe
machine: Machine
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
487:61
09/06/14 21:51:20
>>485
AVIRA9 7.01.04.88
1.exe - TR/Crypt.ZPACK.Gen
bin.exe - TR/Crypt.ZPACK.Gen
bot.exe - TR/Spy.ZBot.7680.1
codec.exe - (UNDER ANALYSIS)
codec2.exe - (UNDER ANALYSIS)
codec3.exe - (UNDER ANALYSIS)
ldr.exe - TR/Crypt.ZPACK.Gen
nero_key.exe - (UNDER ANALYSIS)
xpsp2patch.exe - TR/Dropper.Gen
id.htm - (UNDER ANALYSIS)
黒5,解析中5。 未検出分 提出済み。
Kaspersky 2009/06/14 20:38:00
1.exe - Trojan-Spy.Win32.Zbot.wpr
bin.exe - Trojan-Spy.Win32.Zbot.gen
bot.exe - Trojan-Spy.Win32.Zbot.gen
codec.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
codec3.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
ldr.exe - Trojan-Spy.Win32.Zbot.gen
nero_key.exe - Trojan.Win32.FraudPack.out
xpsp2patch.exe - Trojan-Dropper.Win32.Small.dlh
id.htm -
黒9,未検出1。 id.htmは、後程別の物とまとめて提出しますが、先に出したい方は、提出お願いします。
488:名無しさん@お腹いっぱい。
09/06/14 21:56:19
COMODO Internet Security 1327
>>485
全てスルー 提出しました。
489:名無しさん@お腹いっぱい。
09/06/14 22:01:11
>>474 (>>476,482)
カスペ2010 20:38:00
7+追加検出3=10/10でクローズ
Quarantined Trojan program Exploit.SWF.Agent.bb tane0379\flash.swf
Quarantined virus not-a-virus:FraudTool.Win32.WinPCDefender.aw tane0379\pcdef.exe
Quarantined Trojan program Trojan-Downloader.Win32.FraudLoad.eqd tane0379\ws.exe
>>484と違うのは、アナリスト偏差かな。
まれに、同じ検体でも、カスペ内で判定分かれるね。
困った。orz
>>487の id.htm は先に提出しておきます。
490:61
09/06/14 22:02:48
>>484
判定ひっくり返しキタ━(゚∀゚)━!
flash.swf - Exploit.SWF.Agent.bb
ws.exe - Trojan-Downloader.Win32.FraudLoad.eqd
何か最近このパターン増えてきた気が...
491:名無しさん@お腹いっぱい。
09/06/14 22:14:06
>>485
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
bin.exe |inconclusive | | |no
id.htm |inconclusive | | |no
nero_key.exe |inconclusive | | |no
xpsp2patch.exe |inconclusive | | |no
492:名無しさん@お腹いっぱい。
09/06/14 22:52:38
Rising 2009 21.42.62 (21.33.62.00)
>>479
ecard.exe: Trojan.DL.Win32.Small.zuv
sms_reader_trial.exe: Trojan.DL.Win32.Small.zuv
2/2
>>485
1.exe: Suspicious:Packer.Win32.UnkPacker.a
(+1)/10
提出完了
493:61
09/06/14 23:33:18
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 42個入っています。
・www.2a8k.cn/d/1.exe~99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.104.15
・数が多すぎて全部VTに投げていません。適当に5個投げた結果はこんな感じです。
1.exe - URLリンク(www.virustotal.com) (14/40)
6.exe - URLリンク(www.virustotal.com) (12/39)
11.exe - URLリンク(www.virustotal.com) (34/40)
16.exe - URLリンク(www.virustotal.com) (38/40)
50.exe - URLリンク(www.virustotal.com) (20/39)
新旧ごちゃ混ぜって感じです。 マルウェアのコレクターか何かですかね...?
AVIRA 42/42 全検出
Kaspersky 41/42検出,未検出1(6.exe) 6.exeと>487と一緒に提出。
>>489
アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。
494:名無しさん@お腹いっぱい。
09/06/14 23:53:21
>>493
McAfee (Active Protection 無効)35/42
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
22.exe |inconclusive | | |no
28.exe |new detection |pws-mmorpg!t |Trojan |yes
34.exe |new detection |generic pws.y!bt |Trojan |yes
37.exe |inconclusive | | |no
6.exe |inconclusive | | |no
9.exe |inconclusive | | |no
495:61
09/06/15 00:24:15
>>493 本日最終分
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 34個入っています。
・5yttrre.cn/xx1.exe~xx99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.105.11
・>493の42個と重複が無いことを確認済み。
・数が多すぎて全部VTに投げていません。適当に5個投げた結果はこんな感じです。
xx1.exe - URLリンク(www.virustotal.com) (19/40)
xx6.exe - URLリンク(www.virustotal.com) (35/40)
xx11.exe - URLリンク(www.virustotal.com) (36/40)
xx16.exe - URLリンク(www.virustotal.com) (31/40)
xx39.exe - URLリンク(www.virustotal.com) (27/39)
マルウェア コレクターその2? こちらの方が古い物(検出可能)が多いかも。
AVIRA 34/34 全検出
Kaspersky 34/34 全検出 なんで、AVIRAもKasperskyも何もせず。
496:489
09/06/15 00:24:50
カスペからの返事
>>485 ㌧
id.htm -No malicious software was found in the attached file.
9/10,で白1でクローズ
>>493
>アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
>白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。
だな。
ただ、返事の末尾に
The answer is relevant to the latest bases from update sources (この判定結果はアップデート・ソースの最新の結果に基づく(関連性がある))
の一文が付いていると、重複回避のため、白・黒判定済みとして一度判定した検査結果をそのまま報告されると思う。
.
497:名無しさん@お腹いっぱい。
09/06/15 00:55:35
>>495
McAfee (Active Protection 無効)33/34
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xx8.exe |inconclusive | | |no
498:名無しさん@お腹いっぱい。
09/06/15 01:17:32
>>485 >>493 >>495 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
499:名無しさん@お腹いっぱい。
09/06/15 01:33:29
Rising 2009
>>493
31.exe: Suspicious:Dropper.Win32.Mnless.GEN
6,37,50.exe: スルー
38(+1)/42
検体提出完了
>>495
すべて検出
34/34
500:名無しさん@お腹いっぱい。
09/06/15 06:44:44
king 2009.6.14.21
>>485
tane0381\xpsp2patch.exe /Win32.Troj.OnLineG.13824
1/10
>>493(tane0382)
6.exe、31.exe、37exeのみスルー
39/42
>>495(tane0383)
34/34
未検出分を提出しました。
501:名無しさん@お腹いっぱい。
09/06/15 10:53:04
COMODO Internet Security 1329
>>493
26/42
>>495
25/34
未検出分を提出しました。
502:名無しさん@お腹いっぱい。
09/06/15 15:29:38
>>493 tane0382
>>495代理提出㌧
カスペ2010(ベータ) 13:11
41+事後検出1=42/42でFA
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.vdja 6.exe
503:名無しさん@お腹いっぱい。
09/06/15 21:53:10
おまえらってkeygen単体だと大騒ぎして批判するくせに
まとまった中に同じような目的のばかり入っててもなんにも言わないんだな
不思議な奴らだよ
504:名無しさん@お腹いっぱい。
09/06/15 22:11:50
>>3
505:61
09/06/15 22:26:17
>>503
ありゃりゃ、どっかにkeygen入ってた?
ざっくり見て偽keygenのトロイばっかりだと思ってたけど、ちとチェック甘かったかなー...指摘してくれれば削除しておくけど。
506:名無しさん@お腹いっぱい。
09/06/15 22:30:02
>>485で、
nero_key.exe
xpsp2patch.exe
などは、個人的には送りません。
外国の著作権関係の刑法は知らないので。
507:61
09/06/16 00:01:55
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 7個入っています。
load.exe
URLリンク(www.virustotal.com) (1/39)
normalLeap.swf
URLリンク(www.virustotal.com) (5/41)
notTheoryCites.pdf
URLリンク(www.virustotal.com) (8/40)
readme.pdf
URLリンク(www.virustotal.com) (12/39)
readme2.pdf
URLリンク(www.virustotal.com) (13/41)
rferfref5.exe
URLリンク(www.virustotal.com) (3/40)
update.exe
URLリンク(www.virustotal.com) (15/41)
508:61
09/06/16 00:07:25
>>506
その辺は個人の判断にお任せしますが、どっちも偽keygenですよ?(keygenではない)
※ keygenを探している人にトロイを仕込むための、偽keygen。要は釣り餌
つか、その辺の判断をしやすいようにVirustotalを添付してるので、怪しいと思ったら、ファイル名だけではなく
VTの結果も見て欲しいところなのですが...
509:61
09/06/16 00:15:18
>>507
AVIRA9 7.01.04.94
load.exe - (MALWARE) next update
normalLeap.swf - (UNDER ANALYSIS)
notTheoryCites.pdf - HTML/Shellcode.Gen
readme.pdf - (UNDER ANALYSIS)
readme2.pdf - (UNDER ANALYSIS)
rferfref5.exe - (TR/Drop.BHO.BT) next update
update.exe - TR/Agent.clzx
黒2,未検出5。 未検出の内、黒判定2(次回update対応),解析中3。
Kaspersky 2009/06/15 19:59:00
load.exe -
normalLeap.swf -
notTheoryCites.pdf -
readme.pdf -
readme2.pdf -
rferfref5.exe -
update.exe - Trojan.Win32.Agent.clzx
黒1,未検出6。 未検出分 提出済み。
510:名無しさん@お腹いっぱい。
09/06/16 00:26:09
>>507 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
511:名無しさん@お腹いっぱい。
09/06/16 00:39:17
最近送付には参加してないが、ざっと眺めて、真性のkeygenってわかればスルーするかな
512:名無しさん@お腹いっぱい。
09/06/16 01:07:06
Rising 2009 21.43.04 (21.34.04.00)
>>113
ActivatedSetup.exe: Trojan.Win32.FakeAV.qk
1/10
>>384
frfr5.exe: Trojan.Win32.Nodef.kaa
2+1=3/10
>>406
Setup_build6_27.exe: Trojan.DL.Win32.Nodef.tq
1+1=2/8
>>451
load2.exe: Trojan.Win32.Nodef.kad
4(+1)+1=5(+1)/11
>>485
ldr.exe: Backdoor.Win32.Ntos.dk
nero_key.exe: Trojan.DL.Win32.Undef.ewa
xpsp2patch.exe: Trojan.DL.Win32.Undef.evx
(+1)+3=3(+1)/10
>>493
31.exe>>66: Suspicious:Dropper.Win32.Mnless.GEN → Trojan.PSW.Win32.OnlineGame.zbl
37.exe: Trojan.Spy.Win32.Undef.lx
50.exe>>Aspack212r: Trojan.PSW.Win32.QQPass.ekk
6.exe>>upx_c>>6d: Trojan.PSW.Win32.OnlineGame.zbq
38(+1)+4(-1)=42/42
>>507
スルー
提出完了
513:61
09/06/16 01:14:59
>>509
今回は返事が早かった...寝る前にKasperskyから返事来ました。
load.exe_ - Trojan.Win32.Inject.adov,
normalLeap.swf - Exploit.SWF.Downloader.nm,
notTheoryCites.pdf_ - Exploit.Win32.Pidief.ban,
readme.pdf_ - Exploit.Win32.Pidief.bar,
readme2.pdf_ - Exploit.Win32.Pidief.bap,
rferfref5.exe_ - Trojan.Win32.FraudPack.ovc
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
ということで、Kasperskyは>507 全黒でclose.
>>511
ん~、結構気をつけているけど、もしやっちゃったら指摘して欲しいのです。(汗 そこまで自分が完璧だと思わんし。
514:名無しさん@お腹いっぱい。
09/06/16 01:23:09
>>506,508
自己責任
シマンテックにノートンのキージェネやクラックツールを送ってヤバいことになったバカがいたようなw
515:名無しさん@お腹いっぱい。
09/06/16 06:27:31
>>507
McAfee (Active Protection 無効)1/7
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
normalleap.swf |inconclusive | | |no
nottheorycites.pdf |new detection |exploit-pdf.b |Trojan |yes
readme.pdf |heuristic detection |exploit-pdf.q.gen |Trojan |no
rferfref5.exe |new detection |generic dropper.p |Trojan |yes
update.exe |new detection |generic downloader.x!fi |Trojan |yes
516:名無しさん@お腹いっぱい。
09/06/16 13:54:10
COMODO Internet Security 1339
>>507
tane0384\rferfref5.exe Heur.Packed.Unknown
tane0384\update.exe TrojWare.Win32.Trojan.Agent.Gen@23283614
2/7
未検出分を提出しました。
>>595はアップデートにて全て検出確認しました。
517:516
09/06/16 13:56:57
訂正。595じゃなく>>495でした。すんません。
>>493もアップデートにて全て検出確認しました。
518:名無しさん@お腹いっぱい。
09/06/16 19:56:42
king 2009.6.16.18
>>507(tane0384)
0/7 スルー
未検出分を提出しました。
519:名無しさん@お腹いっぱい。
09/06/16 22:31:28
URLリンク(tane.sakuratan.com)
infected
検体入手元
GENO(いまだに生き残ってるサイトあるんだねぇ)
p://www■mennoyamaichi■co■jp/soumen/
偽FlashPlayer(5/26版) 前に提出したのは5/14頃。ファイル入れ代わってたようで。netの方は繋がりませんでした。
p://addobeflashplayer■com/flashplayer/thankyou/?installer=Flash_player_10_for_windows
p://addobeflashplayer■com/get/flashplayer/current/install_flash_player■exe
VirusTotal
install_flash_player■exe(15/40)
URLリンク(www.virustotal.com)
520:名無しさん@お腹いっぱい。
09/06/16 23:13:32
>>519,>>507
Norman,Zoner,nProtectを除く各社に提出完了。
最近、検出率の報告すらしてなくてすまん。送付だけで手一杯になるとは。orz
521:名無しさん@お腹いっぱい。
09/06/16 23:16:14
>>507
>>509の後、対応が進んでますね。やっぱ早いなぁ。
AntiVir9
(5+1/7) 残1+HEUR1
load.exe : TR/Drop.Agent.20480 Trojan
normalLeap.swf : SWF/Drop.Small.MD SWF virus
notTheoryCites.pdf : HTML/Shellcode.Gen HTML script virus
readme.pdf : スルー
readme2.pdf : HEUR/HTML.Malware suspicious code
rferfref5.exe : TR/Drop.BHO.BT Trojan
update.exe : TR/Agent.clzx Trojan
522:名無しさん@お腹いっぱい。
09/06/16 23:28:08
Rising 2009 21.43.14 (21.34.14.00)
>>474
install.exe: Packer.Win32.Agent.ar
readme.pdf: Hack.Exploit.Win32.PDF.jvp
1+2=3/10
>>507
load.exe: Trojan.Win32.Nodef.kaq
1/7
>>519
スルー
523:名無しさん@お腹いっぱい。
09/06/16 23:41:57
>>519 ㌧
カスペ2010 21:55:00
addobeflashplayer.com フォルダ
スルー 0/2
Gamburl.Aフォルダ
32/32
Detected Trojan program Trojan-Downloader.JS.Gumblar.a tane0385\Gamburl.A\mennoyamaichi\*.html
検体提出
524:61
09/06/17 02:10:09
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 8個入っています。
flash.swf
URLリンク(www.virustotal.com) (8/39)
ins.exe
URLリンク(www.virustotal.com) (22/41)
installer_1.exe
URLリンク(www.virustotal.com) (13/40)
load.exe
URLリンク(www.virustotal.com) (3/40)
readme.pdf
URLリンク(www.virustotal.com) (12/40)
sdfsdf.exe
URLリンク(www.virustotal.com) (6/41)
se.exe
URLリンク(www.virustotal.com) (12/41)
setup.exe
URLリンク(www.virustotal.com) (16/40)
525:61
09/06/17 02:19:25
>>524
AVIRA9 7.01.04.100
flash.swf - (SWF/Dldr.Agent.16752) next update
ins.exe - TR/Spy.Agent.amif.4
installer_1.exe - HEUR/Crypted , (UNDER ANALYSIS)
load.exe - (25375700 MALWARE) next update
readme.pdf - (UNDER ANALYSIS)
sdfsdf.exe - TR/ATRAPS.Gen
se.exe - TR/Crypt.ZPACK.Gen
setup.exe - (UNDER ANALYSIS)
黒3,HEUR 1,未検出4。 未検出の内、黒判定2(次回update対応),解析中2。
Kaspersky 2009/06/17 0:20:00
flash.swf -
ins.exe - Trojan-Spy.Win32.Agent.amif
installer_1.exe -
load.exe -
readme.pdf - Exploit.JS.Pdfka.lr
sdfsdf.exe - Trojan.Win32.Buzus.bgwj
se.exe -
setup.exe -
黒3,未検出5。 未検出分 提出済み。
526:523
09/06/17 03:30:01
>>519 (>>523)
カスペからの返事
32+事後検出1=33/34、回答待ち1(addobeflashplayer.com.htm)
install_flash_player.exe_ - Trojan-Dropper.Win32.Joiner.iz
New malicious software was found in this file.
527:名無しさん@お腹いっぱい。
09/06/17 03:32:13
>>524
McAfee (Active Protection 無効)5/8
未検出分+ins.exeをMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
ins.exe |current detection |generic dropper.gh |Trojan |no
load.exe |inconclusive | | |no
sdfsdf.exe |inconclusive | | |no
se.exe |inconclusive | | |no
528:名無しさん@お腹いっぱい。
09/06/17 11:03:30
king 2009.6.17.7
>>519(tane0385)
スルー
>>524(tane0386)
スルー
全部提出させてもらいました(^_^;)
529:名無しさん@お腹いっぱい。
09/06/17 11:14:49
>>523 ㌧
>>525 代理提出㌧
カスペ2010 8:23
3+事後検出3=6/8
Trojan program Exploit.SWF.Agent.bc tane0386\flash.swf
Trojan program Trojan-Downloader.Win32.Delf.uji tane0386\se.exe
Trojan program Trojan-Downloader.Win32.FraudLoad.erd tane0386\setup.exe
未検出分、提出
530:529
09/06/17 14:47:21
>>523 (>>525,529)
カスペからの返事
3+事後検出5=8/8でクローズ
installer_1.exe_ - Trojan-Downloader.Win32.FraudLoad.ere
load.exe_ - Trojan-Downloader.Win32.FraudLoad.ere
This file is already detected. Please update your antivirus bases.
531:529
09/06/17 14:49:49
>>529-530
検体は、
×>>523 → >>524に訂正。(tane0386)
スマヌ。
532:名無しさん@お腹いっぱい。
09/06/17 15:32:22
>>524
Norman Zoner nProtect を除くマイナー所を含む各社に提出完了。
533:名無しさん@お腹いっぱい。
09/06/17 19:05:46
>>519 >>524 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
534:533
09/06/17 19:13:28
>>1
確認して、次回からテンプレを修正しておいて下さい
>>5の●Microsoft(マイクロソフト)
「1fileづつ」で「10megabytes」までの制限だが、パスワード圧縮してやることで「1fileづつ」の方は制限をクリアできます
>>6の●ソフォス(Sophos)
ユーザープロダクトキーを持っていないと、一切「検体提供の受付」をしてもらえません
535:名無しさん@お腹いっぱい。
09/06/17 19:50:27
なんか偉そうだなおい。
MicrosoftもSophosも(少なくともフォームから送れば)届く。
536:533
09/06/17 19:59:02
試せばわかる
馬鹿はすっこんでてくれ
537:名無しさん@お腹いっぱい。
09/06/17 20:10:10
いつも送ってるが。
馬鹿はすっこんでてくれ。
538:名無しさん@お腹いっぱい。
09/06/17 21:13:20
Only one file can be submitted
at one time and the size of that file is limited to 10 megabytes.
If possible, please compress the file
and password protect the file with the password "infected" (without quotes).
If you want to submit more than one file for analysis,
please compress the files into a single archive
and password protect the files with the password "infected" (without quotes).
539:名無しさん@お腹いっぱい。
09/06/18 01:57:21
Rising 2009 21.43.24 (21.34.24.00)
>>524
ins.exe>>DATA4: Trojan.PSW.Win32.GameOL.oyz
ins.exe>>DATA2: Trojan.Win32.Nodef.jwu
ins.exe: <Unknown virus>
installer_1.exe: Trojan.DL.Win32.Delf.zsu
load.exe: Trojan.Spy.Win32.Agent.eul
se.exe: Trojan.DL.Win32.Delf.zsw
setup.exe: Trojan.DL.Win32.Delf.zsv
1+4=5/8
540:名無しさん@お腹いっぱい。
09/06/18 07:55:58
URLリンク(tane.sakuratan.com)
virus
いかにもな作りなので撃墜率は高いと思われ。
541:名無しさん@お腹いっぱい。
09/06/18 08:36:56
>>540 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
542:名無しさん@お腹いっぱい。
09/06/18 09:18:31
>>534
|>>6の●ソフォス(Sophos)
|ユーザープロダクトキーを持っていないと、一切「検体提供の受付」をしてもらえません
受け付けはしてくれてますよ。昨日も送ったし。
プロダクトIDが必要なのは、検出結果や対応状況の返答を貰うこと。
543:名無しさん@お腹いっぱい。
09/06/18 11:20:48
>>540 ㌧
カスペ2010 10:04
42/43
virus HEUR:Trojan.Win32.Generic 03.exe 07.exe 08.exe 24.exe
virus HEUR:Trojan.Win32.Invader、unknown threat UDS:DangerousObject.Multi.Generic 39.exe
Trojan-GameThief.Win32.Magania.bfwc 0.exe
Trojan-Clicker.Win32.VB.cyu 02.exe
Trojan-Dropper.Win32.Agent.atmg 06.exe
Trojan-GameThief.Win32.Magania.bfdq 1.exe 12.exe, 20.exe 32.exe 34.exe
Trojan-GameThief.Win32.Magania.bgtx 2.exe
Trojan-GameThief.Win32.Magania.bful 3.exe 6.exe, 9.exe 11.exe 18.exe 27.exe
Trojan-PSW.Win32.LdPinch.agqc 4.exe
Trojan-GameThief.Win32.Magania.bfru 7.exe, 8.exe 10.exe 13.exe 15.exe 17.exe. 19.exe 33.exe
Trojan-GameThief.Win32.Magania.bfrp 14.exe
Trojan-Dropper.Win32.Agent.asul 16.exe
Trojan-GameThief.Win32.Magania.awce 21.exe
Trojan-PSW.Win32.LdPinch.afvp 25.exe
Trojan-Dropper.Win32.VB.kff 26.exe
Trojan-GameThief.Win32.Magania.bfsy 28.exe
Trojan-GameThief.Win32.Magania.beaa 29.exe
Trojan-GameThief.Win32.Magania.bfgu 30.exe
Trojan-PSW.Win32.Agent.ner 31.exe
Trojan-GameThief.Win32.Magania.bffe 35.exe
Trojan-GameThief.Win32.Magania.bfws 36.exe, 37.exe
Trojan-Downloader.Win32.Banload.aeyp nspk1.exe
ヒューリスティック含め検体提出します。
544:543
09/06/18 11:22:04
>>543
カスペ 42/46に訂正。
545:名無しさん@お腹いっぱい。
09/06/18 12:56:39
Rising 2009 21.43.30 (21.34.30.00)
>>474
codec2.exe: Trojan.DL.Win32.Undef.exe
3+1=4/10
>>485
1.exe: Trojan.Spy.Win32.Undef.mp
codec2.exe: Trojan.DL.Win32.Undef.exe
codec3.exe: Trojan.DL.Win32.Undef.exe
codec.exe: Trojan.DL.Win32.Undef.exe
3(+1)+1=4(+1)/10
>>540
08.exe, 22.exe, 38.exe, nspk1.exe: スルー
42/46
提出完了
546:名無しさん@お腹いっぱい。
09/06/18 15:28:28
>>540 (>>543,544)
カスペからの返事
42+追加検出2=44/46, 白2で一応クローズ
03.exe_ - Trojan.Win32.Agent.cmoh (←HEUR:Trojan.Win32.Generic)
08.exe_ - Trojan.Win32.Agent.cmon (←HEUR:Trojan.Win32.Generic)
22.exe_ - Trojan.Win32.Agent.cmoi
38.exe_ - Trojan-Clicker.Win32.VB.cyw
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
24.exe_ - Trojan-GameThief.Win32.Magania.bhlq (←HEUR:Trojan.Win32.Generic)
This file is already detected. Please update your antivirus bases.
5.exe, 23.exe
No malicious software was found in the attached file.
547:546
09/06/18 15:54:00
>>540 (>>543,544,546)
カスペ2010 14:41 (39.exeのみHeur.Invaderのまま)
Detected Trojan program Trojan-GameThief.Win32.Magania.bfru tane0387\7.exe (←HEUR:Trojan.Win32.Generic)
548:名無しさん@お腹いっぱい。
09/06/18 17:30:20
>>540
McAfee (Active Protection 無効)37/46
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
02.exe |new detection |generic.dx!mz |Trojan |yes
07.exe |inconclusive | | |no
08.exe |inconclusive | | |no
16.exe |new detection |generic pws.y!ch |Trojan |yes
22.exe |inconclusive | | |no
23.exe |new detection |generic.dx!mz |Trojan |yes
38.exe |inconclusive | | |no
5.exe |inconclusive | | |no
nspk1.exe |new detection |pws-banker!cw |Trojan |yes
549:名無しさん@お腹いっぱい。
09/06/18 18:01:27
>>540 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
>>542
>プロダクトIDが必要なのは、検出結果や対応状況の返答を貰うこと。
なるほど了解
せっかく提出してるのに受け付けてもらえないのかと思ってしまった。。。
Sophosが本国ですら支持されていない理由の一端を垣間見たような気がします
550:名無しさん@お腹いっぱい。
09/06/18 18:15:47
じゃあ謝っとけ
551:名無しさん@お腹いっぱい。
09/06/18 18:17:05
Sophosは企業向けだけだろ
支持されないとかどこで分かったんだ?
552:名無しさん@お腹いっぱい。
09/06/18 18:36:14
また嘘だろ
知らなきゃ書かなきゃ良いのに
553:名無しさん@お腹いっぱい。
09/06/18 19:49:47
Sophos Anti-Virus 7.3.0
Protect your network,
desktop and even remote laptop computers from the latest viruses
554:名無しさん@お腹いっぱい。
09/06/18 22:20:15
>>549は平気で重複提出する馬鹿だから仕方ない
いや、重複提出自体は悪じゃないんだが先に提出した人に「乙」すら書かない礼儀知らず
555:名無しさん@お腹いっぱい。
09/06/18 22:26:15
それはガン無視されてんだろw
556:名無しさん@お腹いっぱい。
09/06/18 22:41:25
いや、スレの流れを読めないんだろw
557:名無しさん@お腹いっぱい。
09/06/19 01:21:12
Rising 2009 21.43.34 (21.34.34.00)
>>359
readme.pdf: Hack.Exploit.Win32.PDF.jvr
1+1=2/4
>>364
jpg\jpg.scr>>server.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.ms
jpg\jpg.scr>>sernn.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.mr
jpg\sernn.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.mr
jpg\server.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.ms
tmhcar\360.htm: Trojan.DL.Script.JS.Agent.pg
29+3+1=33/34
>>372
popingred.pdf: Hack.Exploit.Script.PDF.j
popingred.swf: Hack.Exploit.Win32.SWF.q
scriptvirus01.htm: Trojan.DL.Script.HTML.Agent.am
scriptvirus02.htm: Trojan.DL.Script.HTML.Agent.an
scriptvirus04.htm: Trojan.DL.Script.JS.Agent.pf
TubeViewer.ver.6.40000.exe: Trojan.DL.Win32.Undef.exz
2+6=8/10
>>384
demos.exe: Trojan.Spy.Win32.Undef.mw
Keygen&Crack.45000.exe: Trojan.DL.Win32.Undef.exi
scriptvirus05.htm: Trojan.DL.Script.HTML.Agent.ao
3+3=6/10
558:名無しさん@お腹いっぱい。
09/06/19 01:22:32
Rising 2009 >>557の続き
>>393
188.pdf: Hack.Exploit.Win32.PDF.jvt
infect.php: Trojan.Spy.Win32.Undef.my
load.exe: Trojan.Spy.Win32.Undef.mz
scriptvirus08.htm, scriptvirus09.htm: Trojan.Script.HTML.Agent.p
1+5=6/10
>>406
deisvop.htm: Trojan.Script.JS.Agent.ci
2+1=3/8
>>485 ( >>545集計間違えてました: 3(+1)+4(-1)=7/10 )
bin.exe: Trojan.Spy.Win32.Undef.mt
bot.exe: Trojan.Spy.Win32.Undef.mv
7+2=9/10
id.htmは不是病毒との返答あり
>>540
08.exe: Trojan.DL.Win32.VB.zyy
22.exe: Trojan.PSW.Win32.OnlineGame.zcp
38.exe: Trojan.DL.Win32.Small.zuz
42+3=45/46
559:名無しさん@お腹いっぱい。
09/06/19 11:27:31
COMODO Internet Security 1339
>>519
33/34
>>524
8/8
>>540
46/46
未検出分を提出しました。
560:名無しさん@お腹いっぱい。
09/06/19 11:54:06
>>540
カスペ返答
This file is already detected. Please update your bases.
23.exe_ clean
5.exe_ clean
561:名無しさん@お腹いっぱい。
09/06/19 12:07:26
king 2009.6.19.7
>>540
02.exe、06.exe、07.exe、08.exeスルー
42/46
未検出分を提出しました。
562:名無しさん@お腹いっぱい。
09/06/19 22:52:51
URLリンク(tane.sakuratan.com)
URLリンク(tane.sakuratan.com)
infected
URLリンク(tane.sakuratan.com)
URLリンク(tane.sakuratan.com)
URLリンク(tane.sakuratan.com)
infected
tane389.zip:ZIP圧縮のみ
tane390.zip:ZIP圧縮のみ
tane391.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )
tane392.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )
tane393.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )
検体入手元
マルウェアドメインリストにあったものからここ1週間位に登録された
ものから適当に拾ってみました。まさかここまで容量があるとは。(199MBってなに!?)
ファイル名に見覚えのあるのがかなりあったので、61さんが上げておられる
検体と被っているものが多いかもしれません。
p://www■malwaredomainlist■com/mdl■php
でかい方(7zも使って二重圧縮)は、ファイル名からすると、提出すべきか悩むところ。
各自の判断でお願いします。自分の使ってるセキュリティソフト分位なら、
分割して送ればなんとかなるでしょう。
・AntiVirには、未検出分+ヒューリスティック1(ZIP圧縮で3MB程度)をftp経由で提出しています。
・FTPアカウントを貰っているAntiyLabsにも提出済み。
・BitDefenderは、一番容量でかいところをまるまるスルーしてたので、120MBとか提出無理で諦めました。
・a-Squearedは、Bitよりましでしたが、58MBとか…(でかいとこ抜けば2MB程度)
各自、未検出分だけでも提出がんばれ。わたしは集めただけで力尽きました。(o_ _)o ぱたり
563:名無しさん@お腹いっぱい。
09/06/19 23:46:24
>>562 乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出します
564:名無しさん@お腹いっぱい。
09/06/19 23:50:07
>>562 乙
カスペ2010 21:21
tane0389
151/190
tane0390
7/7でFA.
tane0391
8/14
tane0392
28/41
tane0393
6/9
忙しいので、タイミングを見て提出。
余裕がある方は、先に提出していただいて結構です。
しかし、多いね。w
565:61
09/06/20 00:26:47
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。
getexe.exe
URLリンク(www.virustotal.com) (16/41)
index.htm
URLリンク(www.virustotal.com) (3/41)
load.exe
URLリンク(www.virustotal.com) (18/41)
load2.exe
URLリンク(www.virustotal.com) (1/41)
load3.exe
URLリンク(www.virustotal.com) (5/41)
loader.exe
URLリンク(www.virustotal.com) (22/41)
readme.pdf
URLリンク(www.virustotal.com) (14/41)
Setup.exe
URLリンク(www.virustotal.com) (23/41)
sitesS.swf
URLリンク(www.virustotal.com) (3/40)
winres.exe
URLリンク(www.virustotal.com) (7/41)
こちらもMDLから持ってきているので、今回は>562さんと重複しているかも。
MDLは黒確率非常に高いけど、逆に古いもの(検出ベンダー35以上とか)も結構入っているので、何も考えずに全部出すと
ベンダーの迷惑になるため、出す人は自分のソフトで検出しない物を出した方が吉です。
566:61
09/06/20 00:44:40
>>565
AVIRA9 7.01.04.116
getexe.exe - (UNDER ANALYSIS)
index.htm - (UNDER ANALYSIS)
load.exe - TR/Crypt.ZPACK.Gen
load2.exe - (UNDER ANALYSIS)
load3.exe - (UNDER ANALYSIS)
loader.exe - TR/Crypt.ZPACK.Gen
readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
Setup.exe - TR/Downloader.Gen
sitesS.swf - (UNDER ANALYSIS)
winres.exe - TR/Drop.VB.mgh
黒4,HEUR 1,未検出5。HEURと未検出 提出済。
Kaspersky 2009/06/19 21:21:00
getexe.exe - Trojan-Spy.Win32.Agent.avxf
index.htm -
load.exe - Trojan-Spy.Win32.Zbot.gen
load2.exe -
load3.exe -
loader.exe - Trojan-Spy.Win32.Zbot.gen
readme.pdf - Exploit.JS.Pdfka.lf
Setup.exe - Net-Worm.Win32.Koobface.d
sitesS.swf -
winres.exe -
黒5,未検出5。 未検出分 提出済。
あと、ここの人なら言わなくても大丈夫な気もしますが、MDLは、ほとんどのベンダーをすり抜けるような新種も結構あります。
なので、MDLのリストから検体確保する人は、最低限VirtualPCか検出専用機などの環境は準備をした方が良いです。
(VirtualPC+Win2Kがお手軽です。OSが軽いのでVirtualPCでもストレス感じませんし、イメージファイルも小さくてすむので
ミスって感染した時に使う復旧用クリーンイメージの保管も場所を取りません。)
567:名無しさん@お腹いっぱい。
09/06/20 00:50:11
>>565 乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出します
568:名無しさん@お腹いっぱい。
09/06/20 01:20:50
Rising 2009 21.43.34 (21.34.34.00)
>>113
Work.exe: Worm.Win32.Agent.auk
1+1=2/10
>>372
popingred.exe: Dropper.Win32.Undef.acm
8+1=9/10
>>451
load3.exe: Dropper.Win32.Nodef.gc
5(+1)+1=6(+1)/11
>>562
>tane0389
118(+4)/190 (二重検出が3つほどあったので正確には115(+4))
>tane0390
5/7
>tane0391
0/14
>tane0392
25/41
>tane0393
0/9
すべて提出保留
>>565
スルー、提出完了
569:名無しさん@お腹いっぱい。
09/06/20 06:29:23
PFWなしでのんびりWUしてたら感染しちゃったw のを駆除にいってきた。っていうのをもらってきた
URLリンク(tane.sakuratan.com) dl:hszscf rar:dhbvzs
0001 がたぶん本体。0001B はProgramFiles にできる。
C以外のexeに感染しようとする 感染したexeと0001B の実行部分が同じなので、0001B は感染メインか、感染スタブかと
0002 も同じPC から拾ったやつで、関連は不明だが、常駐形態が0001 とおんなじなので、同出所のサブファイルかなと
570:名無しさん@お腹いっぱい。
09/06/20 06:34:09
あーすまん、解パスまでランダム化する必要なかったんだ 寝ぼけてるわ
571:名無しさん@お腹いっぱい。
09/06/20 06:48:35
うpしなおし
URLリンク(tane.sakuratan.com) dl:hszscf
572:名無しさん@お腹いっぱい。
09/06/20 06:48:57
ここまで、McAfee
提出困難なもの(tane0390 サイズ制限)を除き提出完了。
詳細はうpしました。
URLリンク(tane.sakuratan.com)
infected
573:名無しさん@お腹いっぱい。
09/06/20 07:04:33
>>571
解パスおながい
574:名無しさん@お腹いっぱい。
09/06/20 07:42:55
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
575:名無しさん@お腹いっぱい。
09/06/20 08:27:04
>>571
ファイル名 (0001) 30049752008e569748c301a43c2de700cc619eb8.EXE
URLリンク(www.virustotal.com)
ファイル名 (0001B) VC0G8AJTF5NN.exe.vir
URLリンク(www.virustotal.com)
ファイル名 (0002) ae4c3ea9006679f9e0c900d08f2beb00c7a032b5.EXE
URLリンク(www.virustotal.com)
576:名無しさん@お腹いっぱい。
09/06/20 08:31:12
>>571
McAfee (Active Protection 無効)0/3
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0001.bin |inconclusive | | |no
0001b.bin |inconclusive | | |no
0002.bin |inconclusive | | |no
577:名無しさん@お腹いっぱい。
09/06/20 08:52:09
>>569-571
AntiVir (3/3) 全部撃墜
578:名無しさん@お腹いっぱい。
09/06/20 08:55:24
URLリンク(tane.sakuratan.com)
infected
日替わりのネトゲアカハックトロイと、SPAMメールに直接exeのアドレスが書いてあったのを拾ったもの。
検体入手元
p://www■cavle-online■com/play■exe
p://220■194■44■67/~nbfe47/bestvideo■avi■exe
579:61
09/06/20 09:36:33
>>562 乙です。 今日は時間が無いのでtane389の分だけ先に
Kaspersky 2009/06/20 07:07:00
190個の内、HEUR検出5,未検出33個。なので、計算では確定検出152個
【提出済】 6個
HEUR 5個
moviesdesert.org\0nonus.jpg - HEUR:Trojan.Win32.Generic
f97q.cn\index.php - HEUR:Trojan-Downloader.Script.Generic
anti-payed-porn\index.php - HEUR:Exploit.Script.Generic
almasto.net\lnk.php - HEUR:Exploit.Script.Generic
5yttrre.cn\xx20.exe - HEUR:Trojan.Win32.Generic
>565と重複 1個
xz.ub9.net\winres.exe
580:61
09/06/20 09:39:14
>>562 >579 続き
【提出しないもの】 17個
zbotのconfig fileで、マルウェアではないことが確定済み。(14個) - 環境ごとに中身が違うが、単なる設定ファイルでしかないのでベンダーに無視される。
7171.freehostia.com\cfg.bin
djellow.com\djwl.bin
ecounterstats.ws\cfg.bin
forserv.net\config.bin
klikvs.cn\EXP_01.bin
mywebsite\config.bin
noproblemz.net\cf.bin
noproblemz.net\cm.bin
omizerto.com\tttt.bin
porevovsem.ru\config.bin
shock-world.mobi\cfg.bin
tinrussia.cn\a.b
w00tl33t.h1x.com\cfg1tor.bin
x-systems.name\cfg.bin
中身がマルウェアではない。(3個)
mias.tw\index.php - 404エラーメッセージで無意味
viva-delpinata2.com\index.php - 0 byte
www.realinnovation.com\menu.js - マルウェアではないメッセージに変更後のもの。
後は提出。
581:名無しさん@お腹いっぱい。
09/06/20 09:45:02
>>578
McAfee (Active Protection 無効)1/3
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bestvideo.avi.exe |heuristic detection |new malware.jj |Trojan |no
play.exe |current detection |backdoor-ckb.dr |Trojan |no
582:名無しさん@お腹いっぱい。
09/06/20 10:25:43
>>578さん乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
583:名無しさん@お腹いっぱい。
09/06/20 10:37:24
king 2009.6.19.21
>>562
tane0389
110/190
tane0390
4/7
tane0391
4/14
tane0392
7/41
tane0393
5/9
時間掛かりましたが・・・未検出分提出させて頂きました。
584:名無しさん@お腹いっぱい。
09/06/20 11:17:28
king 2009.6.19.21
>>565
tane0394\Setup.exe /Worm.Koobface.d.53248
1/10
>>578(tane0399)
スルー
0/3
未検出分を提出させて頂きました。
585:名無しさん@お腹いっぱい。
09/06/20 13:29:25
Rising 2009 21.43.50 (21.34.50.00)
>>571
0001B.bin: Worm.Win32.Agent.auf
0002.bin: Harm.Win32.Agent.kn
2/3
>>578
スルー
検体提出完了
>>568 定義番号修正
Rising 2009 21.43.44 (21.34.44.00)
586:名無しさん@お腹いっぱい。
09/06/20 19:04:09
>>578
VTこんでたのでvirscan
play.ext(23/38)
URLリンク(www.virscan.org)
他もやろうと思ったんだけどタイムオーバーだすまん
587:名無しさん@お腹いっぱい。
09/06/20 20:11:05
URLリンク(tane.sakuratan.com)
infected
検体入手元
p://www■hotgome■net/
p://www■okireng■com/
p://www■livedoorm■com/Test■exe
p://www■shaimokale■com/livedoor■scr
呼び出しのhtml類も入ってます。
588:名無しさん@お腹いっぱい。
09/06/20 20:53:14
>>587さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
589:名無しさん@お腹いっぱい。
09/06/20 21:01:00
>>587
McAfee (Active Protection 無効)3/29
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
cx.js |inconclusive | | |no
dd115.swf |inconclusive | | |no
dd16.swf |inconclusive | | |no
dd28.swf |inconclusive | | |no
dd45.swf |inconclusive | | |no
dd47.swf |inconclusive | | |no
dd64.swf |inconclusive | | |no
dk11.html |inconclusive | | |no
dk122121.htm |heuristic detection |exploit-realplay.h |Trojan |no
dk14.htm |inconclusive | | |no
590:名無しさん@お腹いっぱい。
09/06/20 21:01:33
dk22.html |inconclusive | | |no
dkbf.htm |inconclusive | | |no
dkcx.htm |inconclusive | | |no
dkff.htm |inconclusive | | |no
dkfl.htm |inconclusive | | |no
dkgg.htm |inconclusive | | |no
dkxxz.htm |inconclusive | | |no
kk115.swf |inconclusive | | |no
kk16.swf |inconclusive | | |no
kk28.swf |inconclusive | | |no
kk45.swf |inconclusive | | |no
kk47.swf |inconclusive | | |no
kk64.swf |inconclusive | | |no
livedoor.scr |current detection |backdoor-ckb.dr |Trojan |no
ruixing.js |heuristic detection |beav-shellcode |Application |no
swfobject.js |no malware | | |no
www.hotgome.net.htm |heuristic detection |with fishy extension |Application |no