09/06/21 16:14:13
>>587関連htmlで無さそうだったもの1つ
見落としてたらごめんなさい
URLリンク(tane.sakuratan.com)
infected
検体入手元
livedoorm■com/Test■html
virscan (9/38)
URLリンク(www.virscan.org)
606:名無しさん@お腹いっぱい。
09/06/21 16:41:40
>>605
あー、404だと思ったら、wwwつけたら落ちてきたわ
AntiVir 撃墜。
607:名無しさん@お腹いっぱい。
09/06/21 16:46:47
>605
6/14時点 (15/41)
URLリンク(www.virustotal.com)
6/21時点 (17/41)
URLリンク(www.virustotal.com)
608:名無しさん@お腹いっぱい。
09/06/21 17:09:15
Rising 2009 21.43.61 (21.34.61.00)
>>359
load.exe: Trojan.Spy.Win32.Undef.nh
2+1=3/4 (index.htmは不是病毒)
>>384
svcshostes.exe: Trojan.Spy.Win32.Undef.ni
6+1=7/10
>>393
cn.pdf: Hack.Exploit.Win32.PDF.jvu
troj.exe: Trojan.Spy.Win32.Undef.nn
6+2=8/10
>>605
Test.html: Trojan.DL.VBS.Small.ep
1/1
609:名無しさん@お腹いっぱい。
09/06/21 18:16:35
カスペからの返事 tane0387
>>540 (>>543,544,546)
42+追加検出2-白変更1=43/46で再クローズ
39.exe - No malicious code was found in this file. (←HEUR:Trojan.Win32.Invaderから白への変更)
>>565(>>566,602) tane0394
5+事後検出(1+2)=8/10、回答待ち1
index.htm_ - Trojan-Downloader.JS.Iframe.bhe
load3.exe_ - Trojan.Win32.Pakes.nmx
New malicious software was found in this file.
>>562のtane0389提出完了,これからtane0390-0393提出予定
で、VT検出の14ファイル提出
たぶん161ファイルくらいが黒。(1ファイルで複数シグネチャ入り、1シグネチャで複数ファイルなどあり、現状、正確に計算できず。)
34.exe_ - Trojan-GameThief.Win32.OnLineGames.bmgn
setup.exe_ - Trojan.Win32.FraudPack.owu
pornotube912.htm_ - Trojan-Downloader.JS.Agent.eez
ManieZ.jpg_ - Trojan-Spy.PHP.Agent.a
New malicious software was found in this file.
svchost.jpg, load.exe, dd.jpg, angry.gif, SmartDownload.exe , tdzy3.82.exe - No malicious code was found in this file.
610:61
09/06/21 22:53:11
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 8個入っています。
7a1ae8bc2868407b0b957ba37148b1ec5520317.js
URLリンク(www.virustotal.com) (1/41)
codec.exe
URLリンク(www.virustotal.com) (15/41)
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe
URLリンク(www.virustotal.com) (5/41)
installer_1.exe
URLリンク(www.virustotal.com) (12/41)
pp.10.exe
URLリンク(www.virustotal.com) (7/41)
setup.exe
URLリンク(www.virustotal.com) (13/41)
Setup_build7_102.exe
URLリンク(www.virustotal.com) (13/41)
streamviewer.40009.exe
URLリンク(www.virustotal.com) (5/41)
最初の長いjsは、マルウェアの呼び出しスクリプトです。 codec.exeは、>595の改変版。
あと、一応断っておきますが、crack.~は偽keygenです。VTの結果を見るか、それも信じられないなら自分でVTに投げるなり、
ハッシュをとってVTのハッシュと比較するなりご自由にどうぞです。 また、提出の判断も個人でお願いします。
611:名無しさん@お腹いっぱい。
09/06/21 23:00:41
>>610
乙
Symantec、Panda、GDATA2009(=avast!&BitDefender)へ提出
612:61
09/06/21 23:03:57
>>610
AVIRA9 7.01.04.119
7a1ae8bc2868407b0b957ba37148b1ec5520317.js - (UNDER ANALYSIS)
codec.exe - (UNDER ANALYSIS)
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe - (UNDER ANALYSIS)
installer_1.exe - (UNDER ANALYSIS)
pp.10.exe - TR/Downloader.Gen
setup.exe - TR/Dropper.Gen
Setup_build7_102.exe - TR/Crypt.XPACK.Gen
streamviewer.40009.exe - (UNDER ANALYSIS)
黒3,未検出5(全部解析中)
Kaspersky 2009/06/21 21:19:00
7a1ae8bc2868407b0b957ba37148b1ec5520317.js -
codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe - Trojan.Win32.FraudPack.owo
installer_1.exe -
pp.10.exe - HEUR:Trojan.Win32.Generic (Trojan.Win32.Agent2.ksd)
setup.exe - Trojan-Dropper.Win32.Agent.auid
Setup_build7_102.exe -
streamviewer.40009.exe - Trojan.Win32.FraudPack.owo
黒4,HEUR 1,未検出3。未検出 提出済み。なお、HEURは検出名の解答来てます。(カッコ内)
613:名無しさん@お腹いっぱい。
09/06/21 23:16:49
Rising 2009 21.43.62 (21.34.62.00)
>>565
load3.exe: Backdoor.Win32.Undef.dwq
load.exe: Backdoor.Win32.Ntos.dp
1+2-3/10
>>610
スルー、提出完了
614:名無しさん@お腹いっぱい。
09/06/21 23:30:37
COMODO Internet Security 1385
>>610
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe Heur.Packed.Unknown
streamviewer.40009.exe Heur.Packed.Unknown
2/8
未検出分を提出しました。
615:名無しさん@お腹いっぱい。
09/06/22 00:23:58
>>610さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
616:名無しさん@お腹いっぱい。
09/06/22 00:28:50
>>562(>>564)
カスペ2010 23:39
tane 0391
8+事後検出6=14/14でクローズ
virus not-a-virus:FraudTool.Win32.VirusSweeper.a \ReleaseXP\ReleaseXP.exe
virus not-a-virus:FraudTool.Win32.VirusShield.j \ReleaseXP\ReleaseXP(1).exe
Trojan program Packed.Win32.Krap.i \ReleaseXP\ReleaseXP(2).exe, ReleaseXP(3).exe
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.b \ReleaseXP\ReleaseXP(4).exe
virus not-a-virus:FraudTool.Win32.PrestoTuneUp.b ReleaseXP\ReleaseXP(5).exe
irus not-a-virus:FraudTool.Win32.MalwareCatcher2009.q \ReleaseXP\ReleaseXP(6).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ag \ReleaseXP\ReleaseXP(7).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.i \ReleaseXP\ReleaseXP(8).exe
virus not-a-virus:FraudTool.Win32.VirusSweeper.a \SetupPack\SetupPack.exe, SetupPack(4).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ad \SetupPack\SetupPack(1).exe, \SetupPack(2).exe, \SetupPack(3).exe
tane0393\SetupReleaseXP
6+事後検出3=9/14でクローズ
virus not-a-virus:FraudTool.Win32.VirusSweeper.a SetupReleaseXP.exe , SetupReleaseXP(1).exe, SetupReleaseXP(3).exe, SetupReleaseXP(4).exe, SetupReleaseXP(8).exe
virus not-a-virus:FraudTool.Win32.VirusShield.j SetupReleaseXP(2).exe
virus not-a-virus:FraudTool.Win32.MalwareCatcher2009.q SetupReleaseXP(5).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ag SetupReleaseXP(6).exe
virus not-a-virus:FraudTool.Win32.PrestoTuneUp.b SetupReleaseXP(7).exe
617:名無しさん@お腹いっぱい。
09/06/22 00:46:28
カスペ2010 23:39
>>602, (>>604)
tane0393 >>616を9/9でクローズに誤記訂正
tane0382 28/41のまま 検体提出します。
●tane0382\Setup
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.c setup\setup(1).exe
virus not-a-virus:FraudTool.Win32.ExtraAntivir.h setup\setup(2).exe
Trojan program Packed.Win32.Krap.i setup\setup.exe, setup1.exe, uninstall(2).exe, \uninstall(3).exe, update(2).exe, \update(3).exe
Trojan program Packed.Win32.Krap.i setup\Work(2).exe, Work(3).exe, Rpdm.exe
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.d setup\uninstall(4).exe
virus not-a-virus:FraudTool.Win32.VirusDoctor.k setup\uninstall(5).exe, update(5).exe
virus not-a-virus:FraudTool.Win32.ExtraAntivir.i setup\uninstall(8).exe
Trojan program Trojan-Downloader.Win32.FraudLoad.eir setup\update(4).exe
Trojan program Trojan-Downloader.Win32.FraudLoad.epy setup\update(8).exe
virus not-a-virus:FraudTool.Win32.VirusSweeper.b setup\update.exe
virus not-a-virus:FraudTool.Win32.Agent.rb setup\Work(4).exe
virus not-a-virus:FraudTool.Win32.Agent.oh setup\Work(5).exe
Trojan program Trojan.Win32.Qhost.lpu setup\Work(8).exe
virus not-a-virus:FraudTool.Win32.Agent.oe setup\Work.exe
●tane0382\SetupRelease
virus not-a-virus:FraudTool.Win32.VirusSweeper.a SetupRelease\SetupRelease(1, 2, 3, 4, 8).exe (5files)
virus not-a-virus:FraudTool.Win32.PrestoTuneUp SetupRelease\SetupRelease(5).exe
>>610㌧
>>612代理提出㌧。>>612さんの通り 5/10
カスペからの返事
>>562(tane0389) 白1追加
zy.jpg - No malicious code was found in this file.
618:61
09/06/22 01:17:10
>>612
Kaspersky返答
7a1ae8bc2868407b0b957ba37148b1ec5520317.js - Trojan.JS.Agent.aik
installer_1.exe - not-a-virus:FraudTool.Win32.AntivirusPlus.iu
Setup_build7_102.exe - not-a-virus:FraudTool.Win32.FastAntivirus2009.ao
黒4,HEUR→黒 1,事後 黒3の全黒(8/8)でclose.
619:617
09/06/22 01:58:30
カスペ2010 0:50:00
>>562(>>564,617)
tane0392
28+事後検出7=35/41,回答待ち6
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ak setup\uninstall(7).exe
virus not-a-virus:FraudTool.Win32.MalwareCatcher2009.t setup\uninstall(6).exe
virus not-a-virus:FraudTool.Win32.VirusShield.n setup\uninstall(1).exe
virus not-a-virus:FraudTool.Win32.Agent.rm setup\update(7).exe
virus not-a-virus:FraudTool.Win32.Agent.rl setup\update(6).exe
virus not-a-virus:FraudTool.Win32.Agent.rn setup\update(1).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.al SetupRelease\SetupRelease(7).exe
620:名無しさん@お腹いっぱい。
09/06/22 08:56:33
■ おすすめ2ちゃんねる 開発中。。。 by FOX ★
このスレを見ている人はこんなスレも見ています。(ver 0.20)
【報告専用】同人サイト向け・GENOウィルス注意11 [同人]
鹿児島のテレビを語ろう part7 [テレビサロン]
621:617
09/06/22 16:36:37
カスペからの返事&追加検出 15:12
>>562(>>564,617,619)
tane0392
28+事後検出(7+5)=40/41, 回答待ち1(work(7).exe)
Work(1).exe_ - not-a-virus:FraudTool.Win32.Agent.rs
Work(6).exe_ - not-a-virus:FraudTool.Win32.Agent.rr
SetupRelease(6).exe_ - not-a-virus:FraudTool.Win32.MalwareCatcher2009.x
New potentially risk software was found in this file.
追加検出
Deleted virus not-a-virus:FraudTool.Win32.VirusSweeper.c tane0392\setup\uninstall.exe
Deleted virus not-a-virus:FraudTool.Win32.VirusShield.o tane0392\SetupRelease\SetupRelease.exe
622:名無しさん@お腹いっぱい。
09/06/22 17:04:52
>>610
McAfee (Active Protection 無効)3/8
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
--------------------|------------------------------|----------------------------|------------|-----
7a1ae8bc2868407b0b95|inconclusive | | |no
crack.amond.dvd.to.i|inconclusive | | |no
setup.exe |inconclusive | | |no
setup_build7_102.exe|inconclusive | | |no
streamviewer.40009.e|inconclusive | | |no
623:617
09/06/23 01:11:52
カスペからの返事
>>562(>>564,617,619,621)
tane0392
28+事後検出(7+5+1)=41/41で終了
Work(7).exe_ - Trojan.Win32.Qhost.lql
New malicious software was found in this file.
624:名無しさん@お腹いっぱい。
09/06/23 03:45:28
Rising 2009 21.44.04 (21.35.04.00)
>>565
load2.exe: Backdoor.Win32.Undef.dxj
3+1=4/10
>>610
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe: Backdoor.Win32.Undef.dxm
streamviewer.40009.exe: Backdoor.Win32.Undef.dxm
2/8
625:名無しさん@お腹いっぱい。
09/06/23 09:47:39
>>571,>>578
McAfee最終返答。ペンディングで終了が1件か…
File Name Findings Detection Type
========= ======== ========= ====
1199.exe detected backdoor-ckb.dr trojan
bestvideo.avi.exe detected generic.dx trojan
play.exe detected unknown pending
0001.bin detected generic.dx trojan
0001b.bin detected generic downloader.x trojan
0002.bin detected generic.dx trojan
626:名無しさん@お腹いっぱい。
09/06/23 16:07:09
URLリンク(tane.sakuratan.com)
infected
日替わり品とMarwareListから拾ったもの。過去の検体と重複が混ざってたらごめん。
627:名無しさん@お腹いっぱい。
09/06/23 16:25:34
>>626
SymantecとPandaとGDATA2009(=avast!&BitDefender)へ提出完了
628:名無しさん@お腹いっぱい。
09/06/23 16:33:11
>>626
AntiVir未検出分をftp経由で提出完了。
AntinyLabsにも提出完了。
629:名無しさん@お腹いっぱい。
09/06/23 16:35:26
COMODO Internet Security 1396
>>626
30/48
未検出分を提出しました
630:名無しさん@お腹いっぱい。
09/06/23 16:44:31
>>626
filename: vop.htm
machine: Machine
result: See the developer notes
filename: rp10.htm
machine: Machine
result: This file is detected as JS.Downloader.
filename: flink.html
machine: Machine
result: See the developer notes
filename: 1051.htm
machine: Machine
result: See the developer notes
filename: live.htm
machine: Machine
result: This file is detected as Downloader. URLリンク(www.symantec.com)
filename: bfyy.htm
machine: Machine
result: This file is detected as Downloader. URLリンク(www.symantec.com)
filename: vip.htm
machine: Machine
result: See the developer notes
filename: sina.htm
machine: Machine
result: This file is detected as Downloader. URLリンク(www.symantec.com)
631:名無しさん@お腹いっぱい。
09/06/23 17:03:36
virus_submission@bitdefender.comに送れない件について
virus_submission@bitdefender.comに検体送るとエラーメールが返ってくる
アドレス変わったのか・・・
632:名無しさん@お腹いっぱい。
09/06/23 18:26:35
>>631
少なくとも、今朝送った分は、エラー出てなかった。容量大き過ぎエラーじゃないか?
633:名無しさん@お腹いっぱい。
09/06/23 18:36:09
>>626さん乙
a-squaredとMalwarebytesに提出しました
Microsoftは何通りかの圧縮を試して検体送信を試みましたが
失敗画面(成功画面と2種類あって紛らわしいので気づきにくい)にリダイレクトされてしまい受け付けてもらえませんでした
パスワードzip×パスワードzip
7zip×パスワードzip でもダメでした・・・
Microsoftへの検体提出は今回から切りますので悪しからずご了承下さい
634:名無しさん@お腹いっぱい。
09/06/23 18:48:19
>>633
MSは最大10MB。
(うちの回線速度の問題かサーバーの速度の問題か)2MB程度なら成功するが、3MB程度はリトライになることが多い。
分割して送るといいよ。
635:633
09/06/23 19:22:38
>>634
ファイル容量が大きかった為、3分割して送信を試みた結果失敗でした・・・
以前、Confickerに関する情報提供を日本のMicrosoft Securityに申し出たところ
ほとんど1日待たされた挙句、日本では受付をしていないという返答だったのを思い出します
636:名無しさん@お腹いっぱい。
09/06/23 19:55:58
>>633-635
Microsoftへの提出完了。
圧縮しても3.27MBある1ファイルだけリトライが必要でしたが、7分割したらスムーズに提出できました。
637:名無しさん@お腹いっぱい。
09/06/23 19:57:54
>>626
トレンドマイクロも提出完了。
メールで提出するところは送信中。残りのベンダーは、夕飯の後で提出しときます。
638:633
09/06/23 20:03:17
>>636
お疲れ様
誰もそのことについて進言しないから
そういった状況なんでしょうかね?
Symantecも10MB上限ですが光回線なので9MB位でもなんとか届きます
639:名無しさん@お腹いっぱい。
09/06/23 20:50:55
>>638
ちなみに、失敗画面になっても送信成功していることがあって、受付完了メールが返ってきたこともあります>MS
>>631
>626を4分割で送りましたが、エラーは返ってきていない様子。その宛て先死んでないぽいです。
>>626
各社一通り提出完了。(提出報告のあったベンダーには送付していません)
未提出のベンダー
Symantec >630さんが送信してくれてるようですし、9ファイルごとに分割するの面倒なのでパス
Safer Networking(Spybot) > 純粋にめんどうくさ…(セキュリティソフトベンダーともちょっと違うし)
Norman,Zoner > 1ファイルづつサンドボックス送りは時間かかるのでやってらんないです
一部だけ提出のベンダー
ClamAV > 圧縮しても単独で3MBを越えるファイルは提出できないので、一部除外して送付
Rising > 2MBファイル制限があるので、単独ファイルで圧縮しても送信できないものを除いて送付
51dlq69.exe,51dlqwt69.exe関係だが、ばらした中身のファイルは提出したので問題ないかと
640:名無しさん@お腹いっぱい。
09/06/23 20:53:38
>>626
カスペ返答
09wm.js_ - Exploit.JS.Agent.ajd,
1051.htm_ - Trojan-Downloader.JS.Iframe.bhk,
223.bat_ - Trojan.BAT.Qhost.em,
index.php - Trojan.JS.Agent.aio,
video-codec.exe_ - Trojan-Downloader.Win32.FraudLoad.eua
New malicious software
cl.exe_, dlq.exe_, uc.htm_
No malicious code were found
後は既知のものだそうです。
641:名無しさん@お腹いっぱい。
09/06/23 20:59:03
>>640
…しまった。それ4分割のうちの1つ分でした。orz
online.scr_ - Backdoor.Win32.PcClient.argy
This file is already detected.
返答待ち、51dlq69.exe,51dlqwt69.exe の2ファイル。
内部のHook.dllは検知してるので、黒判定じゃないかなー。黒じゃなかった時だけ報告するってことで、
報告待ち状態ですが、回答をコピペせずにここへの報告をCLOSE(笑)
642:名無しさん@お腹いっぱい。
09/06/23 21:21:54
>>626 ㌧ 今北産業 カスペ2010 20:28 39/48 未検出分提出
(1)12cssf.comフォルダ 0/1 (残dlq.exe)
(2)51.pcikcq.cn 6/9 (残223.bat2つ、51破天登・器.exe1 計3つ) - それ以外検体名すべて:Trojan.Win32.FlyStudio.uで検出
(3)51momo.zx3k.cnフォルダ 23/26
①51momo.zx3k.cn\swfフォルダ 11/11 - swfファイルの検体名すべて:Exploit.SWF.Downloader.eh
②51momo.zx3k.cnフォルダ直下 12/15 (残09wm.js, 1051.htm, uc.htm 3つ)
Trojan-Downloader.VBS.Agent系 11.htm
Exploit.JS.Agent系 bfyy.htm, live.htm
Trojan-Downloader.JS.Agent系 flink.html, sina.htm
Trojan-Downloader.JS.Iframe系 Ilink.html, vip.htm, vop.htm, fx.htm
Exploit.JS.RealPlr系 Real11.htm, rp10.htm
Trojan-Dropper.Win32.Agent.apsz top.css
(4)adultfec.comフォルダ 3/4 (残index.php)
Exploit.Win32.Pidief.bbh adultfex.com\humourAlwaysHumour.pdf
Trojan-Downloader.Win32.Agent.cgiy adultfex.com\load.exe
Exploit.SWF.Agent.bg adultfex.com\usesHumour.swf
(5)adwwareindependence.comフォルダ 2/2
Trojan-Dropper.Win32.Agent.asuo 494.exe
not-a-virus:FraudTool.Win32.MalwareDoctor.aw mlw.exe
(6)www.shaimokale.comフォルダ 3/3
Backdoor.Win32.PcClient.argy online.scr, 張佑赫.exe、 online.zip/online.scr
(7)その他 3/4 (残fastdor.rui\video-codec.exe)
Trojan.BAT.Agent.qe an66.com\an66.exe
Trojan-Dropper.Win32.Agent.atxi eurorem2009.ru\HQAVI.exe
Trojan-Downloader.Win32.FraudLoad.wbyk fassare.ru\setup.exe
643:642
09/06/23 21:32:28
カスペ
>>640-641
㌧
かぶった。orzすまぬ。
>dlq69.exe,51dlqwt69.exe の2ファイル。
Trojan.Win32.FlyStudio.uでいいんじゃね?
検出して、ファイルは削除される。
総合すると、44/48、白3、回答待ち1で51.pcikcq.cn\51dlq69の51破天登?器.exeだけが、回答なしか。再度提出してみる。
644:名無しさん@お腹いっぱい。
09/06/23 22:09:41
Rising 2009 21.44.14 (21.35.14.00)
>>626
51.pcikcq.cn\51dlq69\Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlq69.exe>>Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlqwt69\Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlqwt69.exe>>Hook.dll: Trojan.Small.hxl
51momo.zx3k.cn\09wm.js: Trojan.DL.Script.JS.Agent.nx
51momo.zx3k.cn\11.htm: Trojan.DL.Script.VBS.Agent.fo
51momo.zx3k.cn\bfyy.htm: Trojan.DL.Script.JS.Agent.ng
51momo.zx3k.cn\Ilink.html: Trojan.DL.Script.VBS.Agent.fx
51momo.zx3k.cn\live.htm: Trojan.DL.Script.JS.Agent.ob
51momo.zx3k.cn\Real11.htm: Trojan.DL.Script.JS.Agent.kv
51momo.zx3k.cn\rp10.htm: Trojan.DL.Script.JS.Agent.nd
51momo.zx3k.cn\swf\f(115|16|28|45|47),f(115|16|28|45|47|64).swf: Hack.Exploit.Swf.a
51momo.zx3k.cn\top.css: Dropper.Win32.Undef.wc
51momo.zx3k.cn\vip.htm: Trojan.DL.Script.JS.Agent.od
eurorem2009.ru\HQAVI.exe: Trojan.Win32.FakeAV.nz
fassare.ru\setup.exe: Trojan.DL.Win32.Undef.exe
fastdor.ru\video-codec.exe: Trojan.Win32.FakeAV.nz
www.shaimokale.com\online.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
\www.shaimokale.com\online.zip>>online.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\張佑赫.exe: Backdoor.Win32.PcClient.uwp
30/48
>>639さん
2MBの制限はないですよ。
>>5のリンクからなら5MB
↓なら10MBまで可能です。(電話番号が必要なので送れませんが・・・)
URLリンク(mailcenter.rising.com.cn)
ただ、他社と同じくエラーが多いので4MB程度が限界です。不調な時は1MB超えても失敗します。
645:名無しさん@お腹いっぱい。
09/06/23 22:29:26
Rising 2009 >>644の続き
>>318
codec2009.exe: Trojan.DL.Win32.Undef.ezg
6+1=7/15
>>393
SetupPack.exe>>{app}\VShield.exe: AdWare.Win32.FakeAV.do
SetupPack.exe: <Unknown virus>
8+1=9/10(scriptvirus07.htmは不是病毒との回答)
>>565
getexe.exe: Trojan.PSW.Win32.Banker.dno
loader.exe: Dropper.Win32.Undef.adc
winres.exe: Dropper.Win32.VB.faa
4+3=7/10
>>578
1199.exe: Backdoor.Win32.PcClient.uwp
play.exe>>1199.exe: Backdoor.Win32.PcClient.uwp
2/3
>>587
www.hotgome.net\www.livedoorm.com\Test.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\livedoor.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\張佑赫.exe: www.shaimokale.com\張佑赫.exe
14+3=17/29
>>595
codec.exe: Trojan.Spy.Win32.Undef.nx
4+1=5/8
>>610
codec.exe: Trojan.Spy.Win32.Undef.nx
Trojan.Spy.Win32.Undef.nx: AdWare.Win32.FakeAV.dn
pp.10.exe>>upx_c: Trojan.Spy.Win32.Undef.ny
2+3=5/8
646:名無しさん@お腹いっぱい。
09/06/23 22:55:18
>>644
Risingにそのフォームから送ってるけど、5MBと書いてあるけど、実質2MB。2.3MB程度が限界ぽい。
わたしが2MBと言ってる根拠は、Risingからの返答メールの文面。2MBがLimitと書いてある。
>You can simply send this file to our anti-malware team for investigation by uploading it here.
>We have a limit of 2MB per uploaded file.
647:名無しさん@お腹いっぱい。
09/06/23 23:01:39
URLリンク(tane.sakuratan.com)
infected
MarwareListから拾ったもの。
Wikiにある各社+α(5社程度)に(NormanとZonerを除いて)一通り提出済みです。
再提出の必要はないですが、同じようにMarwareListから拾ってる人がいるようなので、重複防止のためにUP。
うち2ファイル(18.htmとjtcqqe.php)は、VTで検出ベンダー数0なので白判定で返ってくるかも。
他は、なんかしら引っ掛かってます。
648:名無しさん@お腹いっぱい。
09/06/23 23:05:52
>>646
それは制限が2MBだった頃から英語回答のテンプレートが更新されてないだけかとw
51dlq69.exe、51dlqwt69.exeをRisingに提出しておきました。
649:名無しさん@お腹いっぱい。
09/06/23 23:12:45
Rising 2009
>>647
abkzfdilko.com\nkklpcghhv.txt: Trojan.DL.Win32.Mnless.dpz
www.shhdyb.cn\1.exe: Backdoor.Win32.Delf.ecy
www.shhdyb.cn\22.htm: Trojan.DL.Script.JS.Agent.lg
3/43
650:643
09/06/24 00:14:16
カスペからの返事
>>626(>>640-643)
44/48(事後検出含む),白4(cl.exe_, dlq.exe_, uc.htm, 51破天登?器.exe_)で閉鎖
51破天登?器.exe - No malicious code were found
651:名無しさん@お腹いっぱい。
09/06/24 00:53:04
>>647 ㌧ (tane0406)
カスペ2010 22:59
33/43
(1) abkzfdilko.comフォルダ 4/7 (スルー3…jtcqqe.php, nkklpcghhv.txt, voclzzjkg.php )
unknown threat UDS:DangerousObject.Multi.Generic - jyiifgkxhy.php、syvvw.php、udeee.php、iobpgg.php
※Kaspersky Security Network(KSN)により有害なコードと検知(シグネチャ配信前なので検体名なし)
(2)bbatzkvfha.netフォルダ 2/4 (スルー2…cuper1.php, ccsuper2.php)
Backdoor.Win32.NewRest.ao ccsuper0.php
Trojan.Win32.Buzus.bhnb ccsuper3.php
(3)sexyslutschicks.comフォルダ 0/1 (scanmyfolders.com.htmスルー)
(4)www.shhdyb.cnフォルダ 27/31 (スルー4…18.html, 21.html, gvcx.html, gxfl.html)
virus HEUR:Exploit.Script.Generic [2-9, 10, 11, 13, 14, 15, 22].htm, index.html (16)
virus HEUR:Trojan-Downloader.Script.Generic 23.htm
Backdoor.Win32.Hupigon.gweo 1.exe
Trojan program Exploit.JS.RealPlr.qk 12.htm
Trojan-Downloader.JS.Agent.dnf 16.htm
Trojan-Downloader.JS.Agent.doa 17.htm
Trojan-Downloader.JS.Agent.dnz 19.htm
Trojan program Trojan-Downloader.JS.Agent.dnf 20.htm
Trojan program Trojan-Downloader.JS.Agent.dsk gvff.htm
Trojan program Exploit.JS.Agent.afq gvbf.htm
Trojan program Trojan-Downloader.JS.Agent.dwx gv14.htm
Trojan program Trojan-Downloader.JS.Agent.dxc gv122121.htm
Trojan program Exploit.JS.Agent.aip gvgg.htm
652:61
09/06/24 00:53:20
>>610
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 2個入っています。
v80k.pdf
URLリンク(www.virustotal.com) (10/39)
Worldpay_NR9772.exe
URLリンク(www.virustotal.com) (20/41)
MDLは取ってきてくれた人がいるので、cNoteさんの所に書いてあったヤツと、私宛にメールできたマルウェアです。
v80k.pdfは、URLリンク(laed)■ru/exp/include/spl■php?stat=Windows%20XP|Internet%20Explorer%207.0|US|Internet%20Explorer
から落ちてきたもので、アクセスする度に少しずつ中身が変わりますが、基本、同じものです。
Worldpay_NR9772.exeはメールで来たものですが、まだ半分くらいしか検出しないので、一応。
v80k.pdfはAVIRAとKasperskyは検出しないので、提出済みです。 Worldpay_NR9772.exeはVTの通りです。
653:名無しさん@お腹いっぱい。
09/06/24 00:57:14
>>652
乙
PandaとGDATA2009(avast!&BitDefender)へ提出
654:名無しさん@お腹いっぱい。
09/06/24 01:13:20
>>652さん乙
a-squaredとMalwarebytesに提出しました
655:名無しさん@お腹いっぱい。
09/06/24 01:16:08
>>5
Risingの提出先(単体ファイルのチェックページ)追加です
URLリンク(mailcenter.rising.com.cn)
可疑文件上?=怪しいファイルの報告
??文件上?=誤検知ファイルの報告
圧縮せずに提出、容量制限不明
>>652
↑からRisingに提出完了(Worldpay_NR9772.exeは既に提出済みだった)
検出可否は後で確認
656:名無しさん@お腹いっぱい。
09/06/24 02:06:53
>>652
Rising 2009スルー
>>655
中国語が化けてましたね・・・
補足で
ブラウザにクッキーを保存しない設定にしていると提出に失敗します。
657:名無しさん@お腹いっぱい。
09/06/24 11:36:42
>>647(>>651) (tane0406)
カスペ2010 10:44
33+3=36/44
Quarantined Trojan program Trojan-Downloader.Win32.VB.ooq tane0406\bbatzkvfha.net\ccsuper1.php
Quarantined Trojan program Trojan.Win32.Rabbit.iq tane0406\abkzfdilko.com\voclzzjkg.php
Quarantined Trojan program Trojan-Downloader.Win32.Small.jwz tane0406\abkzfdilko.com\nkklpcghhv.txt
ほか追加検出なし。
提出してみようかな。
658:657
09/06/24 15:20:56
カスペからの返事 (途中報告)
>>647(>>651,657)(tane0406)
33+(3-4)/32/43、白6、回答待ち5
2.htm_ - Exploit.JS.Agent.aje
3.htm_ - Exploit.JS.Agent.ajf
5.htm_, 11.htm, 10.htm_, 9.htm__ - Exploit.JS.Agent.ajg
22.htm_ - Exploit.JS.Agent.ajh
6.htm_- Exploit.JS.RealPlr.ql
7.htm_ - Exploit.JS.RealPlr.qm
New malicious software was found in this file. (全てヒューリスティックからの変換)
gvcx.htm , gvfl.htm, jyiifgkxhy.php, syvvw.php, udeee.php, iobpgg.php
No malicious code was found in this file. (KSN検知も白判定)
>>652㌧(tane0407)
1+事後検出1=2/2でFA
v80k.pdf - Exploit.Win32.Pidief.bbuPidief.bbu
New malicious software was found in this file.
659:657
09/06/24 20:55:20
カスペからの返事 (途中報告)
>>647(>>651,657,658)(tane0406)
33+(3-4)=32/43、白7、回答待ち4
tane0406\abkzfdilko.com\jtcqqe.php
No malicious code was found in this file.
660:名無しさん@お腹いっぱい。
09/06/24 21:31:30
Rising 2009 21.44.23 (21.35.23.00)
>>26
20090411\u2.exe>>upx_c: Trojan.DL.Win32.Delf.ztg
>>183
b\malay.exe: Trojan.Win32.BHO.fpu
2+1=3/12
>>246
file.exe: Packer.Win32.Agent.au
5+1=6/9
>>626
adwareindependence.com\f494.exe: Trojan.DL.Win32.Mnless.dyy
30+1=31/48
>>647
abkzfdilko.com\voclzzjkg.php: Trojan.DL.Win32.Undef.fao
3+1=4/43
>>652
v80k.pdf: Hack.Exploit.Win32.PDFCode.a
1/2
661:645
09/06/24 21:36:08
>>565
Risingより
文件名:sitesS.swf
不是病毒
文件名:readme.pdf
不是病毒
文件名:index.htm
不是病毒
との回答メール
7/10
662:名無しさん@お腹いっぱい。
09/06/24 22:25:21
提出者としては、検体がコンスタントに少量ずつ来るといいな。
多いとイヤになる。
663:名無しさん@お腹いっぱい。
09/06/24 23:11:53
COMODO Internet Security 1404
>>647
11/43
>>652
スルー
未検出分を提出しました。
664:名無しさん@お腹いっぱい。
09/06/25 00:55:03
カスペからの返事
>>647(>>651,657,658,659)(tane0406)
8.htm_ - Trojan-Downloader.JS.Agent.efd (←HEUR:Exploit.Script.Generic)
>>565(>>566,602,609) tane0394
5+事後検出4=9/10、回答待ち1(winres.exe)
sitesS.swf - Exploit.SWF.Agent.bh
New malicious software was found in this file
665:名無しさん@お腹いっぱい。
09/06/25 13:21:38
URLリンク(tane.sakuratan.com)
infected
408は今月初めに提出済みのものを混ぜちゃってたので、削除しました。これが再UP分。
= 検体入手元 =
ほぼ日替わりのscr(www■miwcmac■com/www■shaimokale■com)
tt■ff88567■cn/down/[exe多数]
tj■114anhui■com/down/qqma■exe
tj■114anhui■com/down/qqmo■exe
>652の基本同じ物なpdf一杯。(全検出するか一部すり抜けるかのチェックにどうぞ)
666:名無しさん@お腹いっぱい。
09/06/25 13:26:43
qqma■exe が2箇所に入ってますが、同じバイナリでした。チェック甘くてすいません。orz
667:名無しさん@お腹いっぱい。
09/06/25 13:40:12
>>665さん乙
Symantecとa-squaredとMalwarebytesに提出しました
668:名無しさん@お腹いっぱい。
09/06/25 18:25:10
>>665
PandaとGDATA2009(=avast!&BitDefender)へ提出完了
669:名無しさん@お腹いっぱい。
09/06/25 19:33:25
>>665 ㌧ (tane0409)
カスペ2010 18:34:00
30/101 (pdfファイルは全スルーorz。それ以外は全検出。) 検体提出します。
(1) pdfフォルダ 0/71
(2) tj.114anhui.com フォルダ 2/2
Trojan-GameThief.Win32.OnLineGames.bkzf qqma.exe
Trojan.Win32.Pakes.nkm qqmo.exe
(3) tt.ff88567.cnフォルダ 23/23
Trojan.Win32.KillAV.dfg 130.exe
Trojan-GameThief.Win32.Magania.biht cp9m.exe cqwd9m.exe jxsj9m.exe dj9m.exe mu9m.exe
Trojan-GameThief.Win32.Magania.biht qq3g9m1.exe tl9m.exe wd9m.exe zzh9m.exe zt9m.exe zx9m.exe
Trojan-GameThief.Win32.Magania.bfdq cqsj9m.exe wl9m.exe
Trojan-GameThief.Win32.Magania.biop dnf9m.exe
Trojan-GameThief.Win32.Magania.biiu mhxu9m.exe
Trojan-GameThief.Win32.Magania.biis qq3g9m.exe
Trojan-PSW.Win32.LdPinch.agqe qqhx9m.exe
Trojan-GameThief.Win32.OnLineGames.bkzf qqma.exe
Trojan.Win32.Agent.cnac qqxx.exe
Trojan-Dropper.Win32.Agent.aqpn server.exe
Trojan-GameThief.Win32.OnLineGames.bmgl sg9m.exe
Trojan-GameThief.Win32.Magania.batm tx29m.exe
(4) www.miwcmac.comフォルダ 2/2
Backdoor.Win32.PcClient.arjg 1199.exe mpg.scr/1199.exe
(5) www.shaimokale.comフォルダ 3/3
Backdoor.Win32.PcClient.arit online.scr/処モモコユ.exe, 張佑赫.exe online.zip\online.scr
670:名無しさん@お腹いっぱい。
09/06/25 20:39:07
カスペ2010 検出ベース 18:34
>>647(>>651,657,658,659,664)(tane0406)
Exploit.JS.Agent.ajg 11.htm 13.htm 14.htm 15.htm (←HEUR:Exploit.Script.Generic)
回答待ち4 : 18.htm, 21.htm, ccsuper2.php, scanmyfolders.com.htm
671:名無しさん@お腹いっぱい。
09/06/25 21:01:54
>>665
94/101
McAfee (Active Protection 無効)94/101
online.zip(online.rar)は提出見送り。
張佑赫はpassword-protectedの様?なので提出見送り。
未検出分をMcAfeeに提出させて頂きました(4file提出)
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
online.scr |new detection |generic backdoor!d |Trojan |yes
qqma.exe |inconclusive | | |no
1199.exe |new detection |backdoor-ckb.gen.v |Trojan |yes
mpg.scr |new detection |generic backdoor!d |Trojan |yes
672:名無しさん@お腹いっぱい。
09/06/25 22:10:33
張佑赫
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xxxcxq.exe |new detection |backdoor-ckb.gen.v |Trojan |yes
673:名無しさん@お腹いっぱい。
09/06/25 23:51:21
日本語でおk
674:61
09/06/26 00:10:58
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 1個だけです。
mscorewr.dll
URLリンク(www.virustotal.com) (13/41)
>565に入っているgetexe.exeを実行した時に、system32フォルダ内に生成されるファイルです。
getexeexeは何かというと、mias.twから落ちてきたファイルです。
つまり、今話題?(本当に話題なのかどうかはわかりませんが...)のnine ballの感染ファイル本体です。
ただし、nine ballの感染ファイル本体がこれ1種類かどうかはわかりません。
あくまで、getexe.exeが実行された場合に生成されるのがこれ、というだけです。
また、mias.twが消滅している現在、これがどの程度重要かはわかりません。
ま、検出できる=感染しているかどうかの判断はできそうだ、程度に考えておけば良いという気がします。
AVIRAは検出します。 Kasperskyは検出しないので提出しました。
675:名無しさん@お腹いっぱい。
09/06/26 00:26:00
>>674
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
mscorewr.dll |inconclusive | | |no
676:645
09/06/26 00:43:18
Rising 2009 21.44.34 (21.35.34.00)
>>26
20090516\martuz1.pdf: Hack.Exploit.Win32.Agent.bm
>>318
softwarefortubeview.42002.exe: Trojan.DL.Win32.Undef.fby
3.exe: Trojan.DL.Win32.Undef.fbx
7+2=9/15
>>647
bbatzkvfha.net\ccsuper3.php: Trojan.Spy.Win32.Delf.dpx
4+1=5/43
>>674
mscorewr.dll: Trojan.PSW.Win32.Banker.dnn
677:名無しさん@お腹いっぱい。
09/06/26 00:51:33
>>665さん乙
SymantecとMalwarebytesに提出しました
678:61
09/06/26 01:07:01
>>674
Kaspersky返答。
mscorewr.dll - Trojan-Banker.Win32.Banker.ajyv
New malicious software was found in the attached file.
679:61
09/06/26 01:46:31
>>665
avira9 7.01.04.138
PDF - 0/71 (1個も検出しない)
tj.114anhui.com - 1/2 ,未検出 qqma.exe
tt.ff88567.cn - 22/23,未検出 qqma.exe
www.miwcmac.com - 2/2
www.shaimokale.com - 3/3
qqma.exeは、Webで提出すると MALWARE判定済み(TR/Drop.RQU.84)で、 VDF 7.01.02.104で対応済みと出るが、
実際には検出しない。VTでは
URLリンク(www.virustotal.com) (12/40)
と対応済みなので、とりあえず様子見。(こういう場合、時間をおかずにVDFのアップデートで検出できるようになることが多いため)
PDFは中身がほとんど同じなので、今日は1個だけ出して様子見。Genファイル作れれば良し、作れなければ明日全部送付。
680:名無しさん@お腹いっぱい。
09/06/26 14:04:31
URLリンク(tane.sakuratan.com)
infected
検体入手元(spamメールに含まれていたもの)
p://83■212■16■22/icons/doc-47473-4378914-34-JPG■exe
p://istitutomicoterapico■it/ecard■exe
ecard■exe(14/41)
URLリンク(www.virustotal.com)
doc-47473-4378914-34-JPG■exe(19/41)
URLリンク(www.virustotal.com)
AviraとAntinyLabsにはftp経由で提出済み。後はまだ送ってません。
681:名無しさん@お腹いっぱい。
09/06/26 14:21:51
おっと、検知数書くの忘れてた。
AntiVir9Free(1/2)
ecard■exeをスルー
bitDefender10Free(1/2)
ecard■exeをスルー
A-Squared(2/2)
682:名無しさん@お腹いっぱい。
09/06/26 14:35:49
>>674 , >>680
いずれも、Wikiのまとめにある各社+αまで全部提出完了。
今回は少なかったので、1個づつ提出するNormanなどにも提出。
A-Squaredは手元のFreeで全検出確認できたので提出せず。
他も全検出するベンダーあるだろうけどチェックしてられないので、そのまま提出しました。
683:名無しさん@お腹いっぱい。
09/06/26 19:00:55
URLリンク(tane.sakuratan.com)
infected
先日の、qqmo■exeを落としてくるスクリプト類+1個
=== 検体入手元 ===
p://52cps■com/goto/(なんたら)
p://txt■114central■com/goto/qqmo■exe
p://avpro-labs■com/vir-remover-pro■exe
nProtectだけが検知するとか、珍しいものも入ってます…殆どのとこは白判定になりそうなファイルですが(苦笑)
AviraとAntinyLabsにはftp経由で提出済み。
684:61
09/06/26 20:15:49
>>680
AVIRA9 7.01.04.141
ecard.exe - TR/Spy.ZBot.xgh
doc-47473-4378914-34-JPG.exe - TR/Dldr.Delphi.Gen
黒2,検出可。
Kaspersky 2009/06/26 19:38:00
ecard.exe - Trojan-Spy.Win32.Zbot.xgh
doc-47473-4378914-34-JPG.exe -
黒1,未検出1。 未検出分 提出済。
>679は、予想通り 7.01.04.141でqqma.exeを検出可になってました。
685:名無しさん@お腹いっぱい。
09/06/26 20:18:43
カスペ2010 18:21
>>680 ㌧ tane0411 1/2
>>684 代理提出 ㌧
Deleted Trojan program Trojan-Spy.Win32.Zbot.xgh tane0411\ecard.exe
>>683 ㌧ tane0412 3/23 検体提出します。(様子見ながら)
Deleted virus not-a-virus:FraudTool.Win32.VirusRemover.cg tane0412\avpro-labs.com\vir-remover-pro.exe
Deleted Trojan program Trojan-GameThief.Win32.OnLineGames.bkzf tane0412\txt.114central.com\qqmo.exe
Deleted Trojan program Trojan-Downloader.JS.Agent.ebt tane0412\52cps.com\yt14.htm
カスペからの返事
>>647(>>651,657,658,659,664,670) (tane0406)
tane0406\bbatzkvfha.net\ccsuper2.php - Trojan.Win32.Agent2.cgbi
提出数多いせいか、回答が滞り気味だ。優先順位が下げられているかな
>>665のPDFファイルが未だ0/71なのが気になる。
686:名無しさん@お腹いっぱい。
09/06/26 20:23:06
>>684
Wikiにまとめられている提出先に一通り提出完了。(NormanとZonerを除く)
687:名無しさん@お腹いっぱい。
09/06/26 20:39:10
>>674,>>683
McAfee自動返答(mscorewr.dll は>675と変化無し)
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
doc-47473-4378914-34|new detection |pws-banker!do |Trojan |yes
ecard.exe |new detection |generic pws.y!cy |Trojan |yes
mscorewr.dll |inconclusive | | |no
688:名無しさん@お腹いっぱい。
09/06/26 20:47:23
>>683
Symantec自動返答
■ 既知分 ■
filename: js.js
result: This file is detected as IFrame.Exploit. URLリンク(www.symantec.com)
filename: vir-remover-pro.exe
result: This file is detected as VirusRemover2008.
filename: qqmo.exe
result: This file is detected as Trojan.KillAV. URLリンク(www.symantec.com)
filename: ytvod.htm
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
■ 手動解析行き ■
filename: 092.js , 1111111111.swf , 15.js , 091.js , bff1.js , 2222222222.swf ,
16.js , yt122121.htm , Turl.js , real1.js , ytff.htm , real.js , mm.htm ,
ytbb.htm , yt14.htm , ytfl.htm, ytxxz.htm
result: See the developer notes
■ 白判定 ■
filename: 14.js
filename: bff.js
filename: msg-4040-3.txt
filename: msg-3828-1.txt
result: This file is clean
txtなんて入れた記憶無いけど、9ファイルのアーカイブがエラーで弾かれてきたので
jsだかhtmだかの内部から抽出したのかもしれない。
>>686
アンカー間違い。提出完了したのは>683です。
689:685
09/06/26 21:19:40
>>665 (>>685) tane0409
カスペからの返事
71個のPDFファイルについて一括送信したものについて返事
Hello,
its Exploit.Win32.Pidief
detection will be added soon
ths
Exploit.Win32.Pidief。シグネチャは後で追加する予定。thsはthanks.
690:61
09/06/26 22:24:21
>>684
Kaspersky返答。
doc-47473-4378914-34-JPG.exe_ - Trojan-Downloader.Win32.Banload.afwt
New malicious software was found in this file.
黒1+事後 黒1=黒2/2
691:61
09/06/26 22:33:45
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。
6.pdf
URLリンク(www.virustotal.com) (15/41)
adware_crypt.exe
URLリンク(www.virustotal.com) (8/41)
ecard.exe
URLリンク(www.virustotal.com) (18/41)
Exp_flash.swf
URLリンク(www.virustotal.com) (9/40)
FlashCodec.4.10.exe
URLリンク(www.virustotal.com) (13/41)
load.exe
URLリンク(www.virustotal.com) (17/41)
load2.exe
URLリンク(www.virustotal.com) (15/41)
load3.exe
URLリンク(www.virustotal.com) (26/41)
load4.exe
URLリンク(www.virustotal.com) (9/41)
streamviewer.45030.exe
URLリンク(www.virustotal.com) (14/41)
ecard.exeは、>680さんと別のものです。 色々な種類がSPAMで出回っているみたいですね...
692:61
09/06/26 22:43:11
>>691
AVIRA9 7.01.04.141
6.pdf - (EXP.Pidief.xgh) next update
adware_crypt.exe - TR/Agent.cmyl
File name - TR/Spy.ZBot.xgj
Exp_flash.swf - (UNDER ANALYSIS)
FlashCodec.4.10.exe - TR/Dldr.LoadAdv.Ace.8
load.exe - WORM/Autorun.aqmk
load2.exe - TR/Crypt.XPACK.Gen
load3.exe - TR/Spy.ZBot.xak
load4.exe - TR/Crypt.XPACK.Gen
streamviewer.45030.exe - TR/FraudPack.oyx.4
黒8,未検出2。未検出は、黒確定1+解析中1
Kaspersky 2009/06/26 19:38:00
6.pdf - Exploit.Win32.Pidief.bca
adware_crypt.exe - Trojan.Win32.Agent.cmyl
ecard.exe - Trojan-Spy.Win32.Zbot.xgj
Exp_flash.swf - Exploit.SWF.Agent.au
FlashCodec.4.10.exe - HEUR:Trojan-Downloader.Win32.Generic
load.exe - Worm.Win32.AutoRun.aqmk
load2.exe - Trojan-Dropper.Win32.Agent.auqf
load3.exe - Trojan-Spy.Win32.Zbot.xak
load4.exe -
streamviewer.45030.exe - Trojan.Win32.FraudPack.oyx
黒8,HEUR 1,未検出1。HEURと未検出は提出済
693:685
09/06/26 22:49:01
>>683 (>>685) tane0412
カスペからの返事(途中報告)
3/23, 白5, 回答待ち7
real.js, real1.js yt122121.htm ytff.htm ytfl.htm - No malicious code was found in this file.
※提出を見送っているもの 8 (2222222222.swf 14.js 15.js 091.js bff1.js mm.htm Turl.js ytxxz.html)
>>690-692 ㌧
694:名無しさん@お腹いっぱい。
09/06/27 02:28:58
>>691
SymantecとPandaとGDATA2009(=avast!&BitDefender)へ提出完了
Symantecから自動返答(解析中)
filename: load4.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
695:名無しさん@お腹いっぱい。
09/06/27 02:59:11
Rising 2009 21.44.44 (21.35.44.00)
>>680
スルー
>>683
52cps.com\real.js: Hack.Exploit.Script.JS.Agent.iy
52cps.com\real1.js: Hack.Exploit.Script.JS.Agent.iz
52cps.com\ytff.htm: Trojan.DL.Script.JS.Agnet.d
52cps.com\ytvod.htm: Trojan.DL.Script.JS.Agent.pe
txt.114central.com\qqmo.exe>>nspack: Trojan.DL.Win32.Undef.dyf
5/23
>>691
FlashCodec.4.10.exe>>Aspack212r: Trojan.DL.Win32.Mnless.dpz
load2.exe>>upx_c: Win32.Virut.cg
load3.exe: Backdoor.Win32.Ntos.dy
load.exe: Suspicious:Packer.Win32.UnkPacker.a
3(+1)/10
提出完了
696:2-1
09/06/27 05:01:57
>>683
McAfee (Active Protection 無効)1/23
未検出分をAVERTに提出させて頂きました。
Response
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
091.js |heuristic detection |beav-shellcode |Application |no
092.js |inconclusive | | |no
1111111111.swf |inconclusive | | |no
14.js |inconclusive | | |no
15.js |inconclusive | | |no
16.js |inconclusive | | |no
2222222222.swf |inconclusive | | |no
bff.js |inconclusive | | |no
bff1.js |inconclusive | | |no
js.js |inconclusive | | |no
mm.htm |inconclusive | | |no
real.js |inconclusive | | |no
real1.js |inconclusive | | |no
turl.js |inconclusive | | |no
vir-remover-pro.exe |inconclusive | | |no
yt122121.htm |inconclusive | | |no
697:2-2
09/06/27 05:03:55
>>683
yt14.htm |inconclusive | | |no
ytbb.htm |inconclusive | | |no
ytff.htm |inconclusive | | |no
ytfl.htm |inconclusive | | |no
ytvod.htm |inconclusive | | |no
ytxxz.htm |inconclusive | | |no
heuristic detection [091.js]
The file received may contain a potentially unwanted program or joke program. This
potential threat was identified with our most powerful set of heuristic DAT drivers.
Heuristic drivers can cause false-positive identifications, as such, this issue is
being escalated to Avert Labs for a thorough review. You will be contacted through
e-mail with the results of our analysis.
inconclusive [092.js 1111111111.swf 14.js 15.js 16.js 2222222222.swf bff.js bff1.js js.js mm.htm
real.js real1.js turl.js vir-remover-pro.exe yt122121.htm yt14.htm ytbb.htm ytff.htm
ytfl.htm ytvod.htm ytxxz.htm]
698:名無しさん@お腹いっぱい。
09/06/27 05:27:50
>>691
McAfee (Active Protection 無効)1/10
未検出分をAVERTに提出させて頂きました。
自動返信、オートメーションシステムはメンテナンス中
699:名無しさん@お腹いっぱい。
09/06/27 06:13:19
スレリンク(sec板:60番)
URLリンク(tane.sakuratan.com)
infected
URLリンク(www.virustotal.com)
McAfee提出済
700:名無しさん@お腹いっぱい。
09/06/27 06:55:57
むぅ、なんか1ファイルで出すのがためらわれるが、検出率悪いので。
URLリンク(tane.sakuratan.com)
infected
=== 検体入手元 ===
spamメールでアドレスが届いたもの。なんか、exeのアドレスが届くspamは久しぶりだ。
届いてから数日たって拾おうとすると、404になってたりするので、使い捨てのドメインで
やってるのかもしれませんね。
p://javiercubel■com/statement_45365352■exe
=== VirusTotal ===
15/41
URLリンク(www.virustotal.com)
701:名無しさん@お腹いっぱい。
09/06/27 07:35:58
>>700
McAfeeに提出させて頂きました。
702:名無しさん@お腹いっぱい。
09/06/27 07:41:13
COMODO Internet Security 1443
>>665
101/101
>>674
スルー
>>680
2/2
>>683
11/23
>>691
5/10
>>700
スルー
未検出分を提出しました
703:61
09/06/27 09:45:04
>>699
AVIRA9 7.01.04.144
fk.pdf - HTML/Shellcode.Gen
Kaspersky 2009/06/27 8:38:00
fk.pdf -
Kaspersky提出済み。
>700
AVIRA9 7.01.04.144
statement_45365352.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/06/27 8:38:00
statement_45365352.exe - Trojan-Dropper.Win32.Zbot.i
私の方も、一時期 exeファイル添付のSPAMとかほとんど無かったのに、最近また来るようになってきました。
新手がSPAM業界?に参入してきたのかもしれません。
704:名無しさん@お腹いっぱい。
09/06/27 10:29:32
>>691
>>699
>>700
NormanとZoner以外は一通り提出完了。
705:名無しさん@お腹いっぱい。
09/06/27 10:32:46
URLリンク(tane.sakuratan.com)
infected
MarwareListから拾って無かったものを幾つか。殆どがダウンロード用のスクリプトの為、白判定多いかも?
NormanとZoner以外は一通り提出完了。
706:名無しさん@お腹いっぱい。
09/06/27 23:03:06
URLリンク(tane.sakuratan.com)
infected
FakeAV
各社一通り提出済み
未提出のベンダー:トレンドマイクロ、Norman、Zoner、nProtect
何故かトレンドマイクロの提出ページに繋がらないので、提出可能な方、お願いします。
707:名無しさん@お腹いっぱい。
09/06/27 23:03:46
>>706
一応、検出名称(ベンダーごちゃまぜですが…)
[Detection possible other software]
drugstore.eu.com/test.htm : JS:Packed-BC(Avast) , Obfuscated Script.h(McAfee) , Trojan-Downloader.JS.Iframe.bhe(VBA32)
mypersonalhttp.com/weather.pl : Trojan-Clicker.JS.Agent.cj(Kaspersky)
mysecurepcshields.com/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
mysecurepcshields.com/install.exe : TR/Dropper.Gen Trojan(AntiVir)
onlyfind.net/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
scan4plan.info/install.exe : TR/Crypt.XPACK.Gen2 Trojan(AntiVir)
scan4plan.info/scan4plan.info(1).htm : JS:FakeAV-X(Avast) , JS/FakeAVOnline.A!tr.dld(Fortinet)
scan4plan.info/scan4plan.info.htm : Trojan.Script.99300(BitDefender)
sexbases.cn/bonus.php : HEUR/HTML.Malware suspicious code(AntiVir) , Trojan.JS.PYF(BitDefender)
sexbases.cn/in.cgi : HEUR/HTML.Malware suspicious code(AntiVir) , HTML:Framer-inf(Avast)
struckyorluck.cn/fastfolderscanner.com.htm : JS/FakeAV.G(F-Prot) , Mal/FakeAvJs-A(Sophos)
struckyorluck.cn/Setup-1ab1432_02021.exe : - Not Detected -
struckyorluck.cn/Setup-fc9e079_02021.exe : Win32.Malware.dam (suspicious) (McAfee-GW-Edition)
tangoing.info/counter.htm : - Not Detected -
708:名無しさん@お腹いっぱい。
09/06/28 00:28:31
>>698
AVERTからのResponseがなかったので再度提出
自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
adware_crypt.exe |inconclusive | | |no
ecard.exe |current detection |generic pws.y!cy |Trojan |no
exp_flash.swf |inconclusive | | |no
flashcodec.4.10.exe |new detection |generic downloader.x!gs |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
load3.exe |current detection |pws-zbot |Trojan |no
load4.exe |inconclusive | | |no
streamviewer.45030.e|current detection |fakealert-eo |Trojan |no
エンジン:5301、dat:5658環境でecard.exe ,load3.exe ,streamviewer.45030.exe検出
virustotalで確認
ecard.exe
URLリンク(www.virustotal.com)
load3.exe
URLリンク(www.virustotal.com)
streamviewer.45030.exe
URLリンク(www.virustotal.com)
AVERTからのメールを確認
Current Scan Engine Version:5300.2777
Current DAT Version:5658.0000
709:名無しさん@お腹いっぱい。
09/06/28 00:52:27
>>706
トレンドマイクロに提出完了
710:61
09/06/28 10:54:59
>>692
Kaspersky 2009/06/28 9:20:00
FlashCodec.4.10.exe - Trojan-Downloader.Win32.Agent.cgwd
load4.exe - Backdoor.Win32.Agent.aiau
返答無いけど検出可になってます。黒8+事後 黒2=黒10/10でclose.
711:61
09/06/28 11:19:57
>>705 乙です。
Kaspersky 2009/06/28 9:20:00で、黒5/57,検出したのは下記の5個
cutaiamortgagegroup.cn\load.exe - Trojan.Win32.Inject.aekt
free-tube-orgasm.biz\setup.exe - Trojan-Downloader.Win32.FraudLoad.euz
porntvforu.com\pornotube915.com\codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
www.daftarwarisan.gov.my\ec.txt - Backdoor.PHP.Small.o&referer
www.fotosdepeinados.net\www.fotosdepeinados.net.htm - Exploit.PHP.Deftool.a
残りはPHPとjsのため、提出して頂いているようなので様子見します。
AVIRA9 7.01.04.144 49/57で、,黒5/57,HEUR 44/57。
cutaiamortgagegroup.cn\load.exe - DR/Delphi.Gen
porntvforu.com\pornotube915.com\codec.exe - TR/Dldr.FraudLoad.wcby
scanallviruses.com\scanallviruses.com.htm - HTML/BurnInHell.A
www.daftarwarisan.gov.my\ec.txt - BDS/PHP.Small.O.12
www.fotosdepeinados.net\www.fotosdepeinados.net.htm - EXP/PHP.Deftool.B
porntvforu.comの中の、index22(1).php ~ index22(44).phpの44個 - 全部 HEUR/HTML.Malware
index22.phpは未検出。
free-tube-orgasm.biz\setup.exeをスルーしたので、一応こちらでも提出しました。後は様子見します。
712:61
09/06/28 11:47:31
>>706 乙です。
Kaspersky 2009/06/28 9:20:00で、黒6/14
mypersonalhttp.com\weather.pl - Trojan-Clicker.JS.Agent.cj
mysecurepcshields.com\index.php - Trojan-Downloader.HTML.FraudLoad.a
onlyfind.net\index.php - Trojan-Downloader.HTML.FraudLoad.a
scan4plan.info\install.exe - Trojan.Win32.Tdss.aidq
struckyorluck.cn\setup-1ab1432_02021.exe - Trojan.Win32.FraudPack.pap
struckyorluck.cn\setup-fc9e079_02021.exe - Trojan.Win32.FraudPack.pap
mysecurepcshields.com\install.exe はこちらでも提出。後は提出して頂いているので、スクリプトだけだから様子見。
AVIRA9 7.01.04.144 49/57で、黒4/14,HEUR 2/14
mysecurepcshields.com\index.php - HTML/Dldr.FraudLo.A
mysecurepcshields.com\install.exe - TR/Dropper.Gen Trojan
onlyfind.net\index.php - HTML/Dldr.FraudLo.A
scan4plan.info\install.exe - TR/Crypt.XPACK.Gen2
sexbases.cn\bonus.php - HEUR/HTML.Malware
sexbases.cn\in.cgi - HEUR/HTML.Malware
下記の3個はこちらでも提出。後は様子見。
mypersonalhttp.com\weather.pl
struckyorluck.cn\Setup-1ab1432_02021.exe
struckyorluck.cn\Setup-fc9e079_02021.exe
713:名無しさん@お腹いっぱい。
09/06/28 15:50:43
URLリンク(tane.sakuratan.com)
infected
検体入手元
p://hearsedriver■com/chat/chat/localization/czech/img/646808■js
p://www■livedoorm■com/Test■exe
p://roons■cn/ded/Project2■exe
p://reddii■ru/traffic/sploit1/?57035YbttbaaYbb
p://satanic■easycoding■org/file■exe
p://update■microsoft■com■hillij■com/microsoftofficeupdate/isapdl/default■aspx/officexp-KB910721-FullFile-ENU■exe
p://woons■cn/pinch_no_cript■exe
p://ztb■cztv■tv/360/1■exe
p://ztb■cztv■tv/360/2■exe
p://ztb■cztv■tv/360/7■exe
p://ztb■cztv■tv/360/88■exe
p://ztb■cztv■tv/360/9■exe
p://www■hzcpwl■cn/djellow■exe
p://gold-smerch■cn/flash■exe
p://slil■ru/27769294/2fcdca20■4a3e7138/adware_crypt■exe
p://72■9■108■26/install_10■exe
714:名無しさん@お腹いっぱい。
09/06/28 15:52:21
>>713
NormanとZoner以外は一通り提出完了
検出名称:Aviraスルーのものに関して、他のベンダーの検出名で補完したもの
72.9.108.26/install_10.exe : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
gold-smerch.cn/flash.exe : TR/Agent.15360.108 Trojan(AntiVir)
hearsedriver.com/646808.js : JS/Wonka(McAfee) , Trojan-Clicker.HTML.IFrame.gen (v)(Sunbelt)
reddii.ru/reddii.ru.htm : HEUR/HTML.Malware suspicious code(AntiVir) , JS:Packed-BE(Avast) , Packed.JS.Agent.ad(Kaspersky)
roons.cn/Project2.exe : Trojan-Downloader.Win32.Agent.cguk(Kaspersky) , TrojanDownloader:Win32/Delf.HF(microsoft)
satanic.easycoding.org/file.exe : TR/Dropper.Gen Trojan(AntiVir)
slil.ru/adware_crypt.exe : - Not Detected -
update.microsoft.com.hillij.com/officexp-KB910721-FullFile-ENU.exe : TR/Crypt.ZPACK.Gen Trojan
woons.cn/pinch_no_cript.exe : TR/PSW.LdPinch.ahdf Trojan(AntiVir)
www.hzcpwl.cn/djellow.exe : TR/Spy.ZBot.xgh Trojan(AntiVir)
www.livedoorm.com/Test.exe : DR/PcClient.Gen dropper(AntiVir)
ztb.cztv.tv/1.exe : Trojan:Win32/Malex.gen!E(Microsoft) , PSW.OnlineGames_r.DP(AVG)
ztb.cztv.tv/2.exe : ADSPY/Agent.160989(AntiVir)
ztb.cztv.tv/2/235.exe : DR/Cinmus.fow dropper(AntiVir)
ztb.cztv.tv/2/NSIS.Library.RegTool.v2.$[36].exe : Win32.Banker(eSafe)
ztb.cztv.tv/2/$R0 : ADSPY/Cinmus.auxo.3(AntiVir)
ztb.cztv.tv/7.exe : DR/BHO.hmc dropper(AntiVir)
ztb.cztv.tv/7/cpush.dll : ADSPY/Cinmus.ucc.6 adware or spyware(AntiVir)
ztb.cztv.tv/88.exe : TR/PSW.OnlineGames.vcqj.3 Trojan(AntiVir)
ztb.cztv.tv/9.exe : DR/Zhongsou.170576 dropper(AntiVir)
ztb.cztv.tv/9/IETimber.dll : ADSPY/Timber.BHO adware or spyware(AntiVir)
715:名無しさん@お腹いっぱい。
09/06/28 16:25:29
COMODO Internet Security 1465
>>704
7/58
>>705
スルー
>>713
13/21
未検出分を提出しました。
716:名無しさん@お腹いっぱい。
09/06/28 16:47:48
カスペからの返事
>>683 (>>685,693) tane0412
3+3=6
js.js_ - Exploit.JS.Agent.ajo
ytbb.htm_ - Exploit.JS.Agent.ajn
ytvod.htm_ - Exploit.JS.Agent.ajm
>>647(>>651,657,658,659,664,670) (tane0406)
index.html_ - Trojan-Downloader.JS.Agent.egp (← "HEUR:Exploit.Script.Generic")
個人的に忙しいので、カスペは代理の方にお願いしたい。すまん。
717:名無しさん@お腹いっぱい。
09/06/28 16:48:39
>>713さん乙
>>714さん乙
メールの受信トレイがタイヘンなんじゃないのw
個別回答が丁寧なベンダってどこですか?
718:名無しさん@お腹いっぱい。
09/06/28 17:27:38
>>717
送受信はどうってことない。一番面倒なのは、提出前の整理。
ほんとは、ベンダーごとにスルーしてるものだけ抽出して送った方がいいんだけど、その辺省略してるから。
個別回答が丁寧なのは、Avira、カスペ、Fortinet辺りかな。でも、多量に送ると迷惑になるので注意。
AviraとFortinetは、返答なしって約束になったし、カスペも返答がこなかったり遅れたりしてる(対応自体は早い)。
マカフィー、トレンドマイクロ、シマンテック、Rising辺りは機械的だけど、返事がくるね。
受理メールが文字化けするところはご愛敬(ソフォスと、アンラボと、VirusDoctor辺り)
返事が不定期に来たり来なかったりはMicrosoftとか。Dr.Webも返事が来る方かな。
F-Secureはメールで送ると返事来ないかな。SASだっけ、フォームからだと返事が来ます。
AVGとか、最近は返事こないベンダーも多いですよ。
というか、返事が来る方が少数かも。受理メールすらこない所の方が多いです。
719:61
09/06/28 23:49:16
>>713 乙です。
AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/14
黒は数が多いので、HEURと未検出の方を書きます。
reddii.ru\reddii.ru.htm - (HEUR/HTML.Malware) - (UNDER ANALYSIS)
hearsedriver.com\646808.js - (UNDER ANALYSIS)
roons.cn\Project2.exe - (UNDER ANALYSIS)
ztb.cztv.tv\1.exe - (UNDER ANALYSIS)
ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe - (KNOWN CLEAN)
Web提出で、既に白確定が1個ありました。(既に誰かが出していて、判断が終わっているもの)
あと、slil.ru\adware_crypt.exe は中身がhtmlなので未提出。(様子見) アドレスからすると、>691のものが本来の実行ファイルだと思います。
720:61
09/06/29 00:21:42
>>718 乙です。
AVIRAですが、本来はWebからの提出を基本としているようなので、メールで大量に送ると冷たくされる
(返答無しになる)のは仕方ないかと。
今まで結構出してきましたが、AVIRAの作業パターンが読めてきました。AVIRAはWeb提出されたファイルを、
サーバーが下記の5種類に自動分別しているようです。
1) 現時点のパターンファイルで既に確定検出できるもの (HEURではない)
2) 確定検出できないもの (HEUR含む)
2-1) 既に誰かが提出していて、黒判定済み
2-2) 既に誰かが提出していて、白判定済み
2-3) 既に誰かが提出していて、解析中
2-4) 新しい提出
1),2-1),2-2)の3種については、サーバーが自動で解答を返してきます。 この3種は、アナリストに届かないようです。
例えば、>719の KNOWN CLEANのファイルなどです。
2-3)のファイルは、最初に提出されたファイルにタグ付けされて、一つにまとめられるようです。
この場合、最初の提出者のファイルに付けられた File ID と UNDER ANALYSISという解答が出ます。
多分、アナリストが最初の1個だけ解析すれば、サーバーが自動で全部解答する様になっています。
2-4)のファイルは、新しいFile IDが取得され、そのFile ID と UNDER ANALYSISという解答が出ます。
こうすることで、アナリストに無駄な負荷がかからないようになっているようです。
(この辺が、AVIRAが効率良く、早い判定をしている理由っぽい。)
※ 2-3)のファイルは、解析が最初に出された人が基準になるので、連投しても2-4)よりFile IDが若い番号になるのと
解答の順番が速い。 あと、どの場合でもサーバーが判定結果まで含めて自動返答でメールをくれます。
なので、AVIRAでは、メールで検体を受け取るのは、多分あまり想定されていないと思います。
それに、Webで出した方が、どうもメールより判定が早いっぽい(Gumblarの時にメールとWebと両方出したら、Webの方が解答が断然速かった)ので、
AVIRA使いの人は、Web提出を基本にした方が良いです。 サーバーにアップロードするだけだから、英文書かなくて良いし。(w
721:61
09/06/29 00:52:07
>>713 乙です。
Kaspersky 2009/06/28 23:50:00
72.9.108.26\install_10.exe - Trojan-Downloader.Win32.Boltolog.ewo
gold-smerch.cn\flash.exe - Trojan-Downloader.Win32.Small.jxb
reddii.ru\reddii.ru.htm - Packed.JS.Agent.ad
roons.cn\Project2.exe - Trojan-Downloader.Win32.Agent.cguk
satanic.easycoding.org\file.exe - Trojan.Win32.Inject.aesn
update.microsoft.com.hillij.com\officexp-KB910721-FullFile-ENU.exe - Trojan-Dropper.Win32.Zbot.h
woons.cn\pinch_no_cript.exe - Trojan-PSW.Win32.LdPinch.ahdf
www.livedoorm.com\Test.exe - Backdoor.Win32.PcClient.arsm
www.hzcpwl.cn\djellow.exe - Trojan-Spy.Win32.Zbot.xgh
ztb.cztv.tv\1.exe - Backdoor.Win32.Wuca.by
ztb.cztv.tv\2.exe - not-a-virus:AdWare.Win32.AdMedia.ed
ztb.cztv.tv\2\$r0 - not-a-virus:AdWare.Win32.Cinmus.auxo
ztb.cztv.tv\2\235.exe - not-a-virus:AdWare.Win32.Cinmus.auxo
ztb.cztv.tv\7.exe - not-a-virus:AdWare.Win32.BHO.hmc
ztb.cztv.tv\7\cpush.dll - not-a-virus:AdWare.Win32.BHO.hmc
ztb.cztv.tv\88.exe - Trojan-GameThief.Win32.OnLineGames.vcqj
ztb.cztv.tv\9.exe - not-a-virus:AdWare.Win32.Iebar.w
ztb.cztv.tv\9\ietimber.dll - not-a-virus:AdWare.Win32.Iebar.w
黒18,未検出3(下記)
hearsedriver.com\646808.js
slil.ru\adware_crypt.exe
ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe
下2つの実行ファイルは、>719の結果により様子見。 646808.jsもスクリプトなので、>713提出に付き様子見。
722:61
09/06/29 00:54:20
>>719
今気がついたけど、
× AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/14
○ AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/21 未検出 5/21 です。
723:名無しさん@お腹いっぱい。
09/06/29 22:52:53
URLリンク(tane.sakuratan.com)
infected
MarwareListから拾ったもの。(今日のspamにあったアドレスecard.exeも含んでました)
724:名無しさん@お腹いっぱい。
09/06/30 00:06:35
>>723さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
725:724
09/06/30 00:07:26
一部訂正
Symantecとa-squaredとMalwarebytesに提出しました
726:61
09/06/30 00:42:25
>>723 乙です。
AVIRA9 7.01.04.152 検出47/56
残9個の内、下記7個提出。 全部UNDER ANALYSIS
84.244.138.55\84.244.138.55.htm → zip圧縮ファイルだったので、解凍したファイルをAVIRAに提出
hostvids.net\streamviewer.45129.exe
softportal-files.com\streamviewer.40000.exe
turkey-h.org\r57.txt
www.amd20094.xpg.com.br\xroot.txt
www.free-celeb-videos.net\softwarefortubeview.40056.exe
www.scoringsessions.com\test.gif
下記2個は、中身を見て、VTに投げた後、未提出としました。
www.amd20093.xpg.com.br\xroot(1).txt
www.free-celeb-videos.net\www.free-celeb-videos.net.htm
Kasperskyはこれからチェックします。
727:61
09/06/30 01:43:56
>>723 乙です。
Kaspersky 2009/06/29 23:05:00 検出42,HEUR 1,未検出13
HEUR
mm.cj-vv.cn\lm\new9.exe - HEUR:Trojan.Win32.Generic → Trojan-GameThief.Win32.Magania.bjfq (既に返答来た)
未検出13個の内、下記11個提出。>726と同じ2個は未提出。
bingb.5webs.net\login.js
eshymkent.cn\setup_tube.exe
hostvids.net\streamviewer.45129.exe
invomedia.net\yes.txt
online-casino-lpt.biz\SmartDownload.exe
softportal-files.com\streamviewer.40000.exe
www.amd20094.xpg.com.br\xroot.txt
www.brun-sylvain.fr\idv6.txt
www.free-celeb-videos.net\softwarefortubeview.40056.exe
www.scoringsessions.com\test.gif
ヒューリスティック→隔離フォルダから送った分は相変わらず速攻で返事来るけど、怪しいぞってメール送った分は全然返事来ない。
AVIRAも解析遅れが結構出てきてるし、AVIRAもKasperskyもパンク中なんだろうねぇ...さて、寝ますか。ノシ
728:名無しさん@お腹いっぱい。
09/06/30 02:43:35
>>723
Wikiにまとめてある提出先一通り(提出報告のあったベンダーと、Norman、Zonerを除く)に提出完了。
www.free-celeb-videos.net\www.free-celeb-videos.net.htm は、VTでは、eSafeしか検知してないようですが
同じフォルダに入っている softwarefortubeview.40056.exe を落させようとするフィッシングサイト(の分類?)です。
FakeAVではなく、FakeCodecと言うべきですかね。
アクセスしただけで落ちては来ないですが、動画に見えるものをクリックすると、コーデックを落とすよう
指示を出してファイルを落とさせようとします。確かに、アクセスしただけでは感染しませんし、クリックするまで
ファイルも落ちて来ませんので、白判定になっちゃうのかも。
htmlの冒頭の辺りに、堂々とexe名乗っけてる位なので、わたしは、提出対象に含めました。
検体入手元
p://www■free-celeb-videos■net
p://exe-profile■com/softwarefortubeview■40056■exe
729:名無しさん@お腹いっぱい。
09/06/30 02:48:22
>>726
マカフィーは、そのhtmlをフィッシングサイト扱いで(ヒューリスティックだけど)検知する模様。(自動返答より抜粋)
www.free-celeb-video|heuristic detection |with fishy extension |Application |no
730:名無しさん@お腹いっぱい。
09/06/30 05:04:18
検体提出先変更
Cybersoft(VFind) info☆cyber.com → virus☆cyber.com
届かずに戻ってくるから、送信先変えてたんだけど、メールで言ってきたってことは
今度はちゃんと届くんだろうな、多分。次の送付から、こっちのアドレスに直すか。
731:名無しさん@お腹いっぱい。
09/06/30 10:34:35
カスペからの返事(比較的古いもの)
scanmyfolders.com.htm_ (>>647) - Trojan-Downloader.JS.Iframe.bhz
winres.exe_(>>565) - Trojan-Spy.Win32.VB.btm
This file is already detected. Please update your antivirus bases.(検知済み)
>>647
18.htm
No malicious software was found in the attached file.
>>565(>>566,602,609,664) tane0394は、5+5=10/10でようやくクローズ。
732:名無しさん@お腹いっぱい。
09/06/30 13:31:27
URLリンク(tane.sakuratan.com)
infected
昨日、一昨日に拾ったドメインのもので、更新されてたファイルが結構あったので。
但し、殆どのベンダーが全部検知するんじゃないかなぁ。
検体入手元
p://up■cj-vv■cn:889/
p://tt■ff88567■cn/bbs/exe/
Aviraは全検出したので、提出せず。
マカフィーは、自動返答によると、既知とヒューリスティックで全検出。
Wikiにまとめられている他のベンダーは、検出状況確認せずにまとめて送付。(NormanとZoner以外は一通り提出完了)
トレンドマイクロは5分割したうちの3つが500エラーで送れないので、時間を置いてから残件処理予定。
=== AntiVir Detection Name ===
tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper
up.cj-vv.cn/mm/jm/new1.exe : TR/Dropper.Gen Trojan
up.cj-vv.cn/mm/jx/new[1-13].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/la/new1.exe : TR/Spy.Gen Trojan
up.cj-vv.cn/mm/lm/new[1-27].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/qt/new1.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new2.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new3.exe : TR/Small.aawp Trojan
up.cj-vv.cn/mm/qt/new4.exe : TR/Dldr.Small.aleg.4 Trojan
up.cj-vv.cn/mm/qt/new6.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/mm/qt/new7.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/up1/up.exe : TR/Hijacker.Gen Trojan / RKIT/Agent.AIWN.20 root kit
733:名無しさん@お腹いっぱい。
09/06/30 17:21:27
>>732さん乙
Symantecとa-squaredとMalwarebytesに提出しました
ゲーム系とオートラン多数だね
734:名無しさん@お腹いっぱい。
09/06/30 17:42:31
>>732
トレンドマイクロのsubwizフォームから送っていて
(500かは忘れたけど)aspでエラー吐くのは
検出できる物が混じっている場合。バラしてみ。
735:名無しさん@お腹いっぱい。
09/06/30 20:15:40
COMODO Internet Security 1504
>>706
13/14
未検出分提出
>>723
40/56
未提出
>>732
141/149
未検出分を提出しました。
736:名無しさん@お腹いっぱい。
09/06/30 21:32:59
>>735
ああ、そういや、そんな話もあったっけね。
容量がでかくてタイムアウトする時は500エラー出て、2分割したらすんなり通ったことあったので
鯖が重くてタイムアウトしてるだけかと思ってたわ。
引っ掛かったのは、tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper で、幾つかVTに投げてみたら
トレンドマイクロでは検出する奴だった。(検出名:WORM_AUTORUN.FHU)
検出可能なものしか入ってないのでエラーになってたということで、提出の必要なさそうだと判断しとくわ。
737:61
09/06/30 22:55:50
>>726
AVIRA返答
84.244.138.55\84.244.138.55.htm - JS/LuckySploit.L.1
hostvids.net\streamviewer.45129.exe - MALWARE(名称未定)
softportal-files.com\streamviewer.40000.exe - MALWARE(名称未定)
turkey-h.org\r57.txt - DAMAGED FILE (UNKNOWN)
www.amd20094.xpg.com.br\xroot.txt - CLEAN
www.free-celeb-videos.net\softwarefortubeview.40056.exe - MALWARE(名称未定)
www.scoringsessions.com\test.gif - PHP/Small.NAC
7個について、黒5,白1,ファイル破損で判定不能1
>>728-729
踏んだら自動でファイルを落としてくるようなものは提出しますが、流石に単なるリンクまで出してると
キリが無いかと思いました故。
出さなかった分は今後も明記しますので、気になる人は出して下さい。m(_ _)m
>>732
AVIRAは問題無さそうなので、これからKasperskyのチェックはじめます。
738:61
09/06/30 23:16:45
>>732
Kaspersky 2009/06/30 22:12:00 黒147/149,HEUR無し。
下記2個を取りこぼしたので、提出しました。
up.cj-vv.cn\mm\la\new1.exe
up.cj-vv.cn\mm\qt\new2.exe
739:61
09/07/01 00:01:52
>>727
提出分11個の現状,Kaspersky 2009/06/30 22:12:00
●bingb.5webs.net\login.js - Trojan-Downloader.JS.Iframe.bik
●eshymkent.cn\setup_tube.exe - not-a-virus:FraudTool.Win32.SystemSecurity.oa
●hostvids.net\streamviewer.45129.exe - Trojan.Win32.FraudPack.pby
invomedia.net\yes.txt
online-casino-lpt.biz\SmartDownload.exe
●softportal-files.com\streamviewer.40000.exe - Trojan.Win32.FraudPack.pby
turkey-h.org\r57.txt
www.amd20094.xpg.com.br\xroot.txt
www.brun-sylvain.fr\idv6.txt
●www.free-celeb-videos.net\softwarefortubeview.40056.exe - Trojan.Win32.FraudPack.pby
www.scoringsessions.com\test.gif
返答無いけど検出可 5個,判断待ち 6個。
ただ、経験上KasperskyはGAME系をスルーするので、online-casino-lpt.biz\SmartDownload.exeは白判定の可能性大。
URLリンク(www.virustotal.com) (11/40)
(カジノゲームで、ウイルスではない)
740:名無しさん@お腹いっぱい。
09/07/01 00:47:36
カスペ2010 0:08
直近検出状況まとめ
提出者の方、代理提出者の方㌧。
>>652 tane0407 (>>658) 2/2で閉鎖
>>674 tane0410 (>>678) 1/1で閉鎖
>>680 tane0411 (>>684,685) 1+下記1=2/2で閉鎖
Detected Trojan program Trojan-Downloader.Win32.Banload.afwt doc-47473-4378914-34-JPG.exe
>>683 tane0412 (>>683,693,716) 3+3=6/23(>>683,716)のままで一部未決
>>691 tane0413 (>>692,710) 9+1=10/10で閉鎖
>>699 tane0414 (>>703) 0/1 (fk.pdfスルー)で未決
>>700 tane0415 (VT通り,>>703) 1/1で閉鎖
>>705 tane0416 (>>711) >>711さん通り、5/59のまま。変化なしで未決
>>706 tane0417 (>>712) 6+追加検出1=7/14で未決
Deleted Trojan program Trojan.Win32.FraudPack.pbo tane0417\mysecurepcshields.com\install.exe
>>713 tane0418 (>>721) 18/21のままで未決
741:名無しさん@お腹いっぱい。
09/07/01 00:48:44
カスペ2010 0:08
直近検出状況まとめ
>>723 tane 0419(>>727)
43+事後検知5=48/56で未決
Detected Trojan program Trojan-Downloader.JS.Iframe.bik \bingb.5webs.net\login.js
Detected virus not-a-virus:FraudTool.Win32.SystemSecurity.oa \eshymkent.cn\setup_tube.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \hostvids.net\streamviewer.45129.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \streamviewer.40000.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \www.free-celeb-videos.net\softwarefortubeview.40056.exe
>>732 tane 0420 148/149で未決
スルー1 tane0420\up.cj-vv.cn\mm\la\new1.exe
検体名は略
>>738 0:08では、new2.exeは既検出- Trojan.win32.agent.kud
スクリプト系は、VT他社検出状況みながら明日以降順次提出。
寝る。w
742:名無しさん@お腹いっぱい。
09/07/01 01:41:37
URLリンク(tane.sakuratan.com)
infected
眠いので、提出は起きてから…(o_ _)o ぱたり
743:名無しさん@お腹いっぱい。
09/07/01 01:42:30
あ、>>742は、AviraとAntiyLabsにはftp経由で提出済みです。
744:名無しさん@お腹いっぱい。
09/07/01 06:14:13
>>742
McAfee (Active Protection 無効)55/96
未検出分をMcAfeeに提出させて頂きました。
745:名無しさん@お腹いっぱい。
09/07/01 07:32:45
>>742さん乙
Symantecとa-squaredとMalwarebytesに提出しました
でもあまり無理をしないようにね
746:名無しさん@お腹いっぱい。
09/07/01 11:33:19
>>742 乙です。
カスペ2010 11:10
80/96
(1) havvha.com 51/52 (aa35.exeスルー)
Trojan.VBS.IEstart.e 1.exe、 3-5..exe 7-20.exe (18files)
Trojan-GameThief.Win32.Magania.* /havvha.com/aa[1, 3-28, 30-33].exe (31files)
virus HEUR:Trojan.Win32.Generic aa2.exe
Trojan.Win32.Agent.cnll aa34.exe
(2)liesbethmian.be 10/11 (fb48.exeスルー)
Trojan-Dropper.Win32.BHO.bo /6244.exe
virus Net-Worm.Win32.Koobface.ahx /be.15.exe
Trojan-Downloader.Win32.Tiny.byt /captcha6.exe
virus Net-Worm.Win32.Koobface.aie /hi.12.exe
Trojan.Win32.Agent.cntq /ms.19.exe
Trojan.Win32.Agent2.jyw /nfr.exe
Trojan-Dropper.Win32.Agent.auoy /pdrv.exe
Trojan.Win32.Agent2.ktz /pp.10.exe
virus Net-Worm.Win32.Koobface.aif /tg.12.exe
Trojan-Proxy.Win32.Agent.bpd /websrvx2.exe
(3)その他 19/22
Trojan-Downloader.JS.Iframe.bik /74.114.116.101/ads.js (1/1)
Trojan-Downloader.JS.Iframe.bgx /95.209.81.156/92.236.141.125.htm (2/2)
virus HEUR:Trojan.Win32.Generic /95.209.81.156/setup.exe
Trojan.Win32.Rabbit.fr /109438129432.cn/load.exe (1/1)
Exploit.Win32.Pidief.bcp /antivirusxp09.com/9426.pdf (2/2)
virus HEUR:Trojan.Win32.Generic /antivirusxp09.com/load.exe
Trojan-Downloader.Win32.FraudLoad.euw /atuyfe.cn/installer_70126.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.evq /bobo-tube.com/streamviewer.45031.exe (1/2)
Trojan-Spy.Win32.Zbot.xrt /chaseonline.chase.com/officexp-KB910721-FullFile-ENU.exe (1/1)
747:746
09/07/01 11:34:10
>>742,>>746の続き
Trojan-Downloader.Win32.FraudLoad.evq /hot-tube-work.com/TubeViewer.ver.6.48268.exe (1/2)
Trojan-Downloader.HTML.FraudLoad.a /lianadumitrescu.ro/atiguko.cn.htm (3/4)
Trojan-Downloader.Win32.FraudLoad.euw /lianadumitrescu.ro/installer_70141.exe
Trojan.JS.Agent.ahr /lianadumitrescu.ro/lianadumitrescu.ro.htm
Trojan-Downloader.Win32.FraudLoad.evq /load-exe-soft.com/TubeViewer.ver.6.40000.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.wcva /pornotube915.com/codec.exe (1/1)
Trojan-GameThief.Win32.Magania.bipt /sesese.y145c.cn/1.exe (1/1)
adware not-a-virus:AdWare.Win32.Simbar.e /simpletoolbar.com/toolbar.exe (1/1)
Trojan.Win32.Tdss.aiij /toptubehunt.info/video_player.exe (1/1)
Trojan-Downloader.Win32.Agent.bqtn /zief.pl/wr.exe (1/1)
(4)スルー 11files
88.198.234.133 0/3,
FakeAV*.ru 0/4
kepko.net 0/3
update1.fastantivirus09.com. 0/1
検体提出します。
748:名無しさん@お腹いっぱい。
09/07/01 12:28:26
COMODO Internet Security 1521
>>742
tane421
63/96
未検出分を提出しました
749:748
09/07/01 13:06:03
追記
bo-bo-tube.comフォルダに入っているxplays.phpは
通常のHTMLタグしか書かれてないので提出しませんでした
750:名無しさん@お腹いっぱい。
09/07/01 13:34:51
>>2
・淡々とやれ淡々と!
・ソフトの優劣の議論は別スレで!!
長文で主観がこもった叙述調の長文イラネ。( ゚д゚)、ペッ
751:名無しさん@お腹いっぱい。
09/07/01 15:35:50
1000いく前にこのスレもうすぐ落ちるな。現在、476KB
512KBでdat落ち仕様
そろそろテンプレメンテして、次スレ必要かと。
752:名無しさん@お腹いっぱい。
09/07/01 17:59:50
>>751 了解
提出先(テンプレ)変更
>>1
>>18,534,542,549,655,730,12,227,188,191
だけ?
確認よろしく。
現行種は、現行スレで報告、新種は新スレで報告がいいのかな。
まだ、30KB ほど余裕があるから、新種のうpは、1~2日は大丈夫と思うが。
立てれれば、新スレたてます。
現行レス推移だと、>>800超で落ちるのかな。