09/06/25 00:55:03
カスペからの返事
>>647(>>651,657,658,659)(tane0406)
8.htm_ - Trojan-Downloader.JS.Agent.efd (←HEUR:Exploit.Script.Generic)
>>565(>>566,602,609) tane0394
5+事後検出4=9/10、回答待ち1(winres.exe)
sitesS.swf - Exploit.SWF.Agent.bh
New malicious software was found in this file
665:名無しさん@お腹いっぱい。
09/06/25 13:21:38
URLリンク(tane.sakuratan.com)
infected
408は今月初めに提出済みのものを混ぜちゃってたので、削除しました。これが再UP分。
= 検体入手元 =
ほぼ日替わりのscr(www■miwcmac■com/www■shaimokale■com)
tt■ff88567■cn/down/[exe多数]
tj■114anhui■com/down/qqma■exe
tj■114anhui■com/down/qqmo■exe
>652の基本同じ物なpdf一杯。(全検出するか一部すり抜けるかのチェックにどうぞ)
666:名無しさん@お腹いっぱい。
09/06/25 13:26:43
qqma■exe が2箇所に入ってますが、同じバイナリでした。チェック甘くてすいません。orz
667:名無しさん@お腹いっぱい。
09/06/25 13:40:12
>>665さん乙
Symantecとa-squaredとMalwarebytesに提出しました
668:名無しさん@お腹いっぱい。
09/06/25 18:25:10
>>665
PandaとGDATA2009(=avast!&BitDefender)へ提出完了
669:名無しさん@お腹いっぱい。
09/06/25 19:33:25
>>665 ㌧ (tane0409)
カスペ2010 18:34:00
30/101 (pdfファイルは全スルーorz。それ以外は全検出。) 検体提出します。
(1) pdfフォルダ 0/71
(2) tj.114anhui.com フォルダ 2/2
Trojan-GameThief.Win32.OnLineGames.bkzf qqma.exe
Trojan.Win32.Pakes.nkm qqmo.exe
(3) tt.ff88567.cnフォルダ 23/23
Trojan.Win32.KillAV.dfg 130.exe
Trojan-GameThief.Win32.Magania.biht cp9m.exe cqwd9m.exe jxsj9m.exe dj9m.exe mu9m.exe
Trojan-GameThief.Win32.Magania.biht qq3g9m1.exe tl9m.exe wd9m.exe zzh9m.exe zt9m.exe zx9m.exe
Trojan-GameThief.Win32.Magania.bfdq cqsj9m.exe wl9m.exe
Trojan-GameThief.Win32.Magania.biop dnf9m.exe
Trojan-GameThief.Win32.Magania.biiu mhxu9m.exe
Trojan-GameThief.Win32.Magania.biis qq3g9m.exe
Trojan-PSW.Win32.LdPinch.agqe qqhx9m.exe
Trojan-GameThief.Win32.OnLineGames.bkzf qqma.exe
Trojan.Win32.Agent.cnac qqxx.exe
Trojan-Dropper.Win32.Agent.aqpn server.exe
Trojan-GameThief.Win32.OnLineGames.bmgl sg9m.exe
Trojan-GameThief.Win32.Magania.batm tx29m.exe
(4) www.miwcmac.comフォルダ 2/2
Backdoor.Win32.PcClient.arjg 1199.exe mpg.scr/1199.exe
(5) www.shaimokale.comフォルダ 3/3
Backdoor.Win32.PcClient.arit online.scr/処モモコユ.exe, 張佑赫.exe online.zip\online.scr
670:名無しさん@お腹いっぱい。
09/06/25 20:39:07
カスペ2010 検出ベース 18:34
>>647(>>651,657,658,659,664)(tane0406)
Exploit.JS.Agent.ajg 11.htm 13.htm 14.htm 15.htm (←HEUR:Exploit.Script.Generic)
回答待ち4 : 18.htm, 21.htm, ccsuper2.php, scanmyfolders.com.htm
671:名無しさん@お腹いっぱい。
09/06/25 21:01:54
>>665
94/101
McAfee (Active Protection 無効)94/101
online.zip(online.rar)は提出見送り。
張佑赫はpassword-protectedの様?なので提出見送り。
未検出分をMcAfeeに提出させて頂きました(4file提出)
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
online.scr |new detection |generic backdoor!d |Trojan |yes
qqma.exe |inconclusive | | |no
1199.exe |new detection |backdoor-ckb.gen.v |Trojan |yes
mpg.scr |new detection |generic backdoor!d |Trojan |yes
672:名無しさん@お腹いっぱい。
09/06/25 22:10:33
張佑赫
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xxxcxq.exe |new detection |backdoor-ckb.gen.v |Trojan |yes
673:名無しさん@お腹いっぱい。
09/06/25 23:51:21
日本語でおk
674:61
09/06/26 00:10:58
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 1個だけです。
mscorewr.dll
URLリンク(www.virustotal.com) (13/41)
>565に入っているgetexe.exeを実行した時に、system32フォルダ内に生成されるファイルです。
getexeexeは何かというと、mias.twから落ちてきたファイルです。
つまり、今話題?(本当に話題なのかどうかはわかりませんが...)のnine ballの感染ファイル本体です。
ただし、nine ballの感染ファイル本体がこれ1種類かどうかはわかりません。
あくまで、getexe.exeが実行された場合に生成されるのがこれ、というだけです。
また、mias.twが消滅している現在、これがどの程度重要かはわかりません。
ま、検出できる=感染しているかどうかの判断はできそうだ、程度に考えておけば良いという気がします。
AVIRAは検出します。 Kasperskyは検出しないので提出しました。
675:名無しさん@お腹いっぱい。
09/06/26 00:26:00
>>674
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
mscorewr.dll |inconclusive | | |no
676:645
09/06/26 00:43:18
Rising 2009 21.44.34 (21.35.34.00)
>>26
20090516\martuz1.pdf: Hack.Exploit.Win32.Agent.bm
>>318
softwarefortubeview.42002.exe: Trojan.DL.Win32.Undef.fby
3.exe: Trojan.DL.Win32.Undef.fbx
7+2=9/15
>>647
bbatzkvfha.net\ccsuper3.php: Trojan.Spy.Win32.Delf.dpx
4+1=5/43
>>674
mscorewr.dll: Trojan.PSW.Win32.Banker.dnn
677:名無しさん@お腹いっぱい。
09/06/26 00:51:33
>>665さん乙
SymantecとMalwarebytesに提出しました
678:61
09/06/26 01:07:01
>>674
Kaspersky返答。
mscorewr.dll - Trojan-Banker.Win32.Banker.ajyv
New malicious software was found in the attached file.
679:61
09/06/26 01:46:31
>>665
avira9 7.01.04.138
PDF - 0/71 (1個も検出しない)
tj.114anhui.com - 1/2 ,未検出 qqma.exe
tt.ff88567.cn - 22/23,未検出 qqma.exe
www.miwcmac.com - 2/2
www.shaimokale.com - 3/3
qqma.exeは、Webで提出すると MALWARE判定済み(TR/Drop.RQU.84)で、 VDF 7.01.02.104で対応済みと出るが、
実際には検出しない。VTでは
URLリンク(www.virustotal.com) (12/40)
と対応済みなので、とりあえず様子見。(こういう場合、時間をおかずにVDFのアップデートで検出できるようになることが多いため)
PDFは中身がほとんど同じなので、今日は1個だけ出して様子見。Genファイル作れれば良し、作れなければ明日全部送付。
680:名無しさん@お腹いっぱい。
09/06/26 14:04:31
URLリンク(tane.sakuratan.com)
infected
検体入手元(spamメールに含まれていたもの)
p://83■212■16■22/icons/doc-47473-4378914-34-JPG■exe
p://istitutomicoterapico■it/ecard■exe
ecard■exe(14/41)
URLリンク(www.virustotal.com)
doc-47473-4378914-34-JPG■exe(19/41)
URLリンク(www.virustotal.com)
AviraとAntinyLabsにはftp経由で提出済み。後はまだ送ってません。
681:名無しさん@お腹いっぱい。
09/06/26 14:21:51
おっと、検知数書くの忘れてた。
AntiVir9Free(1/2)
ecard■exeをスルー
bitDefender10Free(1/2)
ecard■exeをスルー
A-Squared(2/2)
682:名無しさん@お腹いっぱい。
09/06/26 14:35:49
>>674 , >>680
いずれも、Wikiのまとめにある各社+αまで全部提出完了。
今回は少なかったので、1個づつ提出するNormanなどにも提出。
A-Squaredは手元のFreeで全検出確認できたので提出せず。
他も全検出するベンダーあるだろうけどチェックしてられないので、そのまま提出しました。
683:名無しさん@お腹いっぱい。
09/06/26 19:00:55
URLリンク(tane.sakuratan.com)
infected
先日の、qqmo■exeを落としてくるスクリプト類+1個
=== 検体入手元 ===
p://52cps■com/goto/(なんたら)
p://txt■114central■com/goto/qqmo■exe
p://avpro-labs■com/vir-remover-pro■exe
nProtectだけが検知するとか、珍しいものも入ってます…殆どのとこは白判定になりそうなファイルですが(苦笑)
AviraとAntinyLabsにはftp経由で提出済み。
684:61
09/06/26 20:15:49
>>680
AVIRA9 7.01.04.141
ecard.exe - TR/Spy.ZBot.xgh
doc-47473-4378914-34-JPG.exe - TR/Dldr.Delphi.Gen
黒2,検出可。
Kaspersky 2009/06/26 19:38:00
ecard.exe - Trojan-Spy.Win32.Zbot.xgh
doc-47473-4378914-34-JPG.exe -
黒1,未検出1。 未検出分 提出済。
>679は、予想通り 7.01.04.141でqqma.exeを検出可になってました。
685:名無しさん@お腹いっぱい。
09/06/26 20:18:43
カスペ2010 18:21
>>680 ㌧ tane0411 1/2
>>684 代理提出 ㌧
Deleted Trojan program Trojan-Spy.Win32.Zbot.xgh tane0411\ecard.exe
>>683 ㌧ tane0412 3/23 検体提出します。(様子見ながら)
Deleted virus not-a-virus:FraudTool.Win32.VirusRemover.cg tane0412\avpro-labs.com\vir-remover-pro.exe
Deleted Trojan program Trojan-GameThief.Win32.OnLineGames.bkzf tane0412\txt.114central.com\qqmo.exe
Deleted Trojan program Trojan-Downloader.JS.Agent.ebt tane0412\52cps.com\yt14.htm
カスペからの返事
>>647(>>651,657,658,659,664,670) (tane0406)
tane0406\bbatzkvfha.net\ccsuper2.php - Trojan.Win32.Agent2.cgbi
提出数多いせいか、回答が滞り気味だ。優先順位が下げられているかな
>>665のPDFファイルが未だ0/71なのが気になる。
686:名無しさん@お腹いっぱい。
09/06/26 20:23:06
>>684
Wikiにまとめられている提出先に一通り提出完了。(NormanとZonerを除く)
687:名無しさん@お腹いっぱい。
09/06/26 20:39:10
>>674,>>683
McAfee自動返答(mscorewr.dll は>675と変化無し)
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
doc-47473-4378914-34|new detection |pws-banker!do |Trojan |yes
ecard.exe |new detection |generic pws.y!cy |Trojan |yes
mscorewr.dll |inconclusive | | |no
688:名無しさん@お腹いっぱい。
09/06/26 20:47:23
>>683
Symantec自動返答
■ 既知分 ■
filename: js.js
result: This file is detected as IFrame.Exploit. URLリンク(www.symantec.com)
filename: vir-remover-pro.exe
result: This file is detected as VirusRemover2008.
filename: qqmo.exe
result: This file is detected as Trojan.KillAV. URLリンク(www.symantec.com)
filename: ytvod.htm
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
■ 手動解析行き ■
filename: 092.js , 1111111111.swf , 15.js , 091.js , bff1.js , 2222222222.swf ,
16.js , yt122121.htm , Turl.js , real1.js , ytff.htm , real.js , mm.htm ,
ytbb.htm , yt14.htm , ytfl.htm, ytxxz.htm
result: See the developer notes
■ 白判定 ■
filename: 14.js
filename: bff.js
filename: msg-4040-3.txt
filename: msg-3828-1.txt
result: This file is clean
txtなんて入れた記憶無いけど、9ファイルのアーカイブがエラーで弾かれてきたので
jsだかhtmだかの内部から抽出したのかもしれない。
>>686
アンカー間違い。提出完了したのは>683です。
689:685
09/06/26 21:19:40
>>665 (>>685) tane0409
カスペからの返事
71個のPDFファイルについて一括送信したものについて返事
Hello,
its Exploit.Win32.Pidief
detection will be added soon
ths
Exploit.Win32.Pidief。シグネチャは後で追加する予定。thsはthanks.
690:61
09/06/26 22:24:21
>>684
Kaspersky返答。
doc-47473-4378914-34-JPG.exe_ - Trojan-Downloader.Win32.Banload.afwt
New malicious software was found in this file.
黒1+事後 黒1=黒2/2
691:61
09/06/26 22:33:45
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。
6.pdf
URLリンク(www.virustotal.com) (15/41)
adware_crypt.exe
URLリンク(www.virustotal.com) (8/41)
ecard.exe
URLリンク(www.virustotal.com) (18/41)
Exp_flash.swf
URLリンク(www.virustotal.com) (9/40)
FlashCodec.4.10.exe
URLリンク(www.virustotal.com) (13/41)
load.exe
URLリンク(www.virustotal.com) (17/41)
load2.exe
URLリンク(www.virustotal.com) (15/41)
load3.exe
URLリンク(www.virustotal.com) (26/41)
load4.exe
URLリンク(www.virustotal.com) (9/41)
streamviewer.45030.exe
URLリンク(www.virustotal.com) (14/41)
ecard.exeは、>680さんと別のものです。 色々な種類がSPAMで出回っているみたいですね...
692:61
09/06/26 22:43:11
>>691
AVIRA9 7.01.04.141
6.pdf - (EXP.Pidief.xgh) next update
adware_crypt.exe - TR/Agent.cmyl
File name - TR/Spy.ZBot.xgj
Exp_flash.swf - (UNDER ANALYSIS)
FlashCodec.4.10.exe - TR/Dldr.LoadAdv.Ace.8
load.exe - WORM/Autorun.aqmk
load2.exe - TR/Crypt.XPACK.Gen
load3.exe - TR/Spy.ZBot.xak
load4.exe - TR/Crypt.XPACK.Gen
streamviewer.45030.exe - TR/FraudPack.oyx.4
黒8,未検出2。未検出は、黒確定1+解析中1
Kaspersky 2009/06/26 19:38:00
6.pdf - Exploit.Win32.Pidief.bca
adware_crypt.exe - Trojan.Win32.Agent.cmyl
ecard.exe - Trojan-Spy.Win32.Zbot.xgj
Exp_flash.swf - Exploit.SWF.Agent.au
FlashCodec.4.10.exe - HEUR:Trojan-Downloader.Win32.Generic
load.exe - Worm.Win32.AutoRun.aqmk
load2.exe - Trojan-Dropper.Win32.Agent.auqf
load3.exe - Trojan-Spy.Win32.Zbot.xak
load4.exe -
streamviewer.45030.exe - Trojan.Win32.FraudPack.oyx
黒8,HEUR 1,未検出1。HEURと未検出は提出済
693:685
09/06/26 22:49:01
>>683 (>>685) tane0412
カスペからの返事(途中報告)
3/23, 白5, 回答待ち7
real.js, real1.js yt122121.htm ytff.htm ytfl.htm - No malicious code was found in this file.
※提出を見送っているもの 8 (2222222222.swf 14.js 15.js 091.js bff1.js mm.htm Turl.js ytxxz.html)
>>690-692 ㌧
694:名無しさん@お腹いっぱい。
09/06/27 02:28:58
>>691
SymantecとPandaとGDATA2009(=avast!&BitDefender)へ提出完了
Symantecから自動返答(解析中)
filename: load4.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
695:名無しさん@お腹いっぱい。
09/06/27 02:59:11
Rising 2009 21.44.44 (21.35.44.00)
>>680
スルー
>>683
52cps.com\real.js: Hack.Exploit.Script.JS.Agent.iy
52cps.com\real1.js: Hack.Exploit.Script.JS.Agent.iz
52cps.com\ytff.htm: Trojan.DL.Script.JS.Agnet.d
52cps.com\ytvod.htm: Trojan.DL.Script.JS.Agent.pe
txt.114central.com\qqmo.exe>>nspack: Trojan.DL.Win32.Undef.dyf
5/23
>>691
FlashCodec.4.10.exe>>Aspack212r: Trojan.DL.Win32.Mnless.dpz
load2.exe>>upx_c: Win32.Virut.cg
load3.exe: Backdoor.Win32.Ntos.dy
load.exe: Suspicious:Packer.Win32.UnkPacker.a
3(+1)/10
提出完了
696:2-1
09/06/27 05:01:57
>>683
McAfee (Active Protection 無効)1/23
未検出分をAVERTに提出させて頂きました。
Response
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
091.js |heuristic detection |beav-shellcode |Application |no
092.js |inconclusive | | |no
1111111111.swf |inconclusive | | |no
14.js |inconclusive | | |no
15.js |inconclusive | | |no
16.js |inconclusive | | |no
2222222222.swf |inconclusive | | |no
bff.js |inconclusive | | |no
bff1.js |inconclusive | | |no
js.js |inconclusive | | |no
mm.htm |inconclusive | | |no
real.js |inconclusive | | |no
real1.js |inconclusive | | |no
turl.js |inconclusive | | |no
vir-remover-pro.exe |inconclusive | | |no
yt122121.htm |inconclusive | | |no
697:2-2
09/06/27 05:03:55
>>683
yt14.htm |inconclusive | | |no
ytbb.htm |inconclusive | | |no
ytff.htm |inconclusive | | |no
ytfl.htm |inconclusive | | |no
ytvod.htm |inconclusive | | |no
ytxxz.htm |inconclusive | | |no
heuristic detection [091.js]
The file received may contain a potentially unwanted program or joke program. This
potential threat was identified with our most powerful set of heuristic DAT drivers.
Heuristic drivers can cause false-positive identifications, as such, this issue is
being escalated to Avert Labs for a thorough review. You will be contacted through
e-mail with the results of our analysis.
inconclusive [092.js 1111111111.swf 14.js 15.js 16.js 2222222222.swf bff.js bff1.js js.js mm.htm
real.js real1.js turl.js vir-remover-pro.exe yt122121.htm yt14.htm ytbb.htm ytff.htm
ytfl.htm ytvod.htm ytxxz.htm]
698:名無しさん@お腹いっぱい。
09/06/27 05:27:50
>>691
McAfee (Active Protection 無効)1/10
未検出分をAVERTに提出させて頂きました。
自動返信、オートメーションシステムはメンテナンス中
699:名無しさん@お腹いっぱい。
09/06/27 06:13:19
スレリンク(sec板:60番)
URLリンク(tane.sakuratan.com)
infected
URLリンク(www.virustotal.com)
McAfee提出済
700:名無しさん@お腹いっぱい。
09/06/27 06:55:57
むぅ、なんか1ファイルで出すのがためらわれるが、検出率悪いので。
URLリンク(tane.sakuratan.com)
infected
=== 検体入手元 ===
spamメールでアドレスが届いたもの。なんか、exeのアドレスが届くspamは久しぶりだ。
届いてから数日たって拾おうとすると、404になってたりするので、使い捨てのドメインで
やってるのかもしれませんね。
p://javiercubel■com/statement_45365352■exe
=== VirusTotal ===
15/41
URLリンク(www.virustotal.com)
701:名無しさん@お腹いっぱい。
09/06/27 07:35:58
>>700
McAfeeに提出させて頂きました。
702:名無しさん@お腹いっぱい。
09/06/27 07:41:13
COMODO Internet Security 1443
>>665
101/101
>>674
スルー
>>680
2/2
>>683
11/23
>>691
5/10
>>700
スルー
未検出分を提出しました
703:61
09/06/27 09:45:04
>>699
AVIRA9 7.01.04.144
fk.pdf - HTML/Shellcode.Gen
Kaspersky 2009/06/27 8:38:00
fk.pdf -
Kaspersky提出済み。
>700
AVIRA9 7.01.04.144
statement_45365352.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/06/27 8:38:00
statement_45365352.exe - Trojan-Dropper.Win32.Zbot.i
私の方も、一時期 exeファイル添付のSPAMとかほとんど無かったのに、最近また来るようになってきました。
新手がSPAM業界?に参入してきたのかもしれません。
704:名無しさん@お腹いっぱい。
09/06/27 10:29:32
>>691
>>699
>>700
NormanとZoner以外は一通り提出完了。
705:名無しさん@お腹いっぱい。
09/06/27 10:32:46
URLリンク(tane.sakuratan.com)
infected
MarwareListから拾って無かったものを幾つか。殆どがダウンロード用のスクリプトの為、白判定多いかも?
NormanとZoner以外は一通り提出完了。
706:名無しさん@お腹いっぱい。
09/06/27 23:03:06
URLリンク(tane.sakuratan.com)
infected
FakeAV
各社一通り提出済み
未提出のベンダー:トレンドマイクロ、Norman、Zoner、nProtect
何故かトレンドマイクロの提出ページに繋がらないので、提出可能な方、お願いします。
707:名無しさん@お腹いっぱい。
09/06/27 23:03:46
>>706
一応、検出名称(ベンダーごちゃまぜですが…)
[Detection possible other software]
drugstore.eu.com/test.htm : JS:Packed-BC(Avast) , Obfuscated Script.h(McAfee) , Trojan-Downloader.JS.Iframe.bhe(VBA32)
mypersonalhttp.com/weather.pl : Trojan-Clicker.JS.Agent.cj(Kaspersky)
mysecurepcshields.com/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
mysecurepcshields.com/install.exe : TR/Dropper.Gen Trojan(AntiVir)
onlyfind.net/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
scan4plan.info/install.exe : TR/Crypt.XPACK.Gen2 Trojan(AntiVir)
scan4plan.info/scan4plan.info(1).htm : JS:FakeAV-X(Avast) , JS/FakeAVOnline.A!tr.dld(Fortinet)
scan4plan.info/scan4plan.info.htm : Trojan.Script.99300(BitDefender)
sexbases.cn/bonus.php : HEUR/HTML.Malware suspicious code(AntiVir) , Trojan.JS.PYF(BitDefender)
sexbases.cn/in.cgi : HEUR/HTML.Malware suspicious code(AntiVir) , HTML:Framer-inf(Avast)
struckyorluck.cn/fastfolderscanner.com.htm : JS/FakeAV.G(F-Prot) , Mal/FakeAvJs-A(Sophos)
struckyorluck.cn/Setup-1ab1432_02021.exe : - Not Detected -
struckyorluck.cn/Setup-fc9e079_02021.exe : Win32.Malware.dam (suspicious) (McAfee-GW-Edition)
tangoing.info/counter.htm : - Not Detected -
708:名無しさん@お腹いっぱい。
09/06/28 00:28:31
>>698
AVERTからのResponseがなかったので再度提出
自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
adware_crypt.exe |inconclusive | | |no
ecard.exe |current detection |generic pws.y!cy |Trojan |no
exp_flash.swf |inconclusive | | |no
flashcodec.4.10.exe |new detection |generic downloader.x!gs |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
load3.exe |current detection |pws-zbot |Trojan |no
load4.exe |inconclusive | | |no
streamviewer.45030.e|current detection |fakealert-eo |Trojan |no
エンジン:5301、dat:5658環境でecard.exe ,load3.exe ,streamviewer.45030.exe検出
virustotalで確認
ecard.exe
URLリンク(www.virustotal.com)
load3.exe
URLリンク(www.virustotal.com)
streamviewer.45030.exe
URLリンク(www.virustotal.com)
AVERTからのメールを確認
Current Scan Engine Version:5300.2777
Current DAT Version:5658.0000
709:名無しさん@お腹いっぱい。
09/06/28 00:52:27
>>706
トレンドマイクロに提出完了
710:61
09/06/28 10:54:59
>>692
Kaspersky 2009/06/28 9:20:00
FlashCodec.4.10.exe - Trojan-Downloader.Win32.Agent.cgwd
load4.exe - Backdoor.Win32.Agent.aiau
返答無いけど検出可になってます。黒8+事後 黒2=黒10/10でclose.
711:61
09/06/28 11:19:57
>>705 乙です。
Kaspersky 2009/06/28 9:20:00で、黒5/57,検出したのは下記の5個
cutaiamortgagegroup.cn\load.exe - Trojan.Win32.Inject.aekt
free-tube-orgasm.biz\setup.exe - Trojan-Downloader.Win32.FraudLoad.euz
porntvforu.com\pornotube915.com\codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
www.daftarwarisan.gov.my\ec.txt - Backdoor.PHP.Small.o&referer
www.fotosdepeinados.net\www.fotosdepeinados.net.htm - Exploit.PHP.Deftool.a
残りはPHPとjsのため、提出して頂いているようなので様子見します。
AVIRA9 7.01.04.144 49/57で、,黒5/57,HEUR 44/57。
cutaiamortgagegroup.cn\load.exe - DR/Delphi.Gen
porntvforu.com\pornotube915.com\codec.exe - TR/Dldr.FraudLoad.wcby
scanallviruses.com\scanallviruses.com.htm - HTML/BurnInHell.A
www.daftarwarisan.gov.my\ec.txt - BDS/PHP.Small.O.12
www.fotosdepeinados.net\www.fotosdepeinados.net.htm - EXP/PHP.Deftool.B
porntvforu.comの中の、index22(1).php ~ index22(44).phpの44個 - 全部 HEUR/HTML.Malware
index22.phpは未検出。
free-tube-orgasm.biz\setup.exeをスルーしたので、一応こちらでも提出しました。後は様子見します。
712:61
09/06/28 11:47:31
>>706 乙です。
Kaspersky 2009/06/28 9:20:00で、黒6/14
mypersonalhttp.com\weather.pl - Trojan-Clicker.JS.Agent.cj
mysecurepcshields.com\index.php - Trojan-Downloader.HTML.FraudLoad.a
onlyfind.net\index.php - Trojan-Downloader.HTML.FraudLoad.a
scan4plan.info\install.exe - Trojan.Win32.Tdss.aidq
struckyorluck.cn\setup-1ab1432_02021.exe - Trojan.Win32.FraudPack.pap
struckyorluck.cn\setup-fc9e079_02021.exe - Trojan.Win32.FraudPack.pap
mysecurepcshields.com\install.exe はこちらでも提出。後は提出して頂いているので、スクリプトだけだから様子見。
AVIRA9 7.01.04.144 49/57で、黒4/14,HEUR 2/14
mysecurepcshields.com\index.php - HTML/Dldr.FraudLo.A
mysecurepcshields.com\install.exe - TR/Dropper.Gen Trojan
onlyfind.net\index.php - HTML/Dldr.FraudLo.A
scan4plan.info\install.exe - TR/Crypt.XPACK.Gen2
sexbases.cn\bonus.php - HEUR/HTML.Malware
sexbases.cn\in.cgi - HEUR/HTML.Malware
下記の3個はこちらでも提出。後は様子見。
mypersonalhttp.com\weather.pl
struckyorluck.cn\Setup-1ab1432_02021.exe
struckyorluck.cn\Setup-fc9e079_02021.exe
713:名無しさん@お腹いっぱい。
09/06/28 15:50:43
URLリンク(tane.sakuratan.com)
infected
検体入手元
p://hearsedriver■com/chat/chat/localization/czech/img/646808■js
p://www■livedoorm■com/Test■exe
p://roons■cn/ded/Project2■exe
p://reddii■ru/traffic/sploit1/?57035YbttbaaYbb
p://satanic■easycoding■org/file■exe
p://update■microsoft■com■hillij■com/microsoftofficeupdate/isapdl/default■aspx/officexp-KB910721-FullFile-ENU■exe
p://woons■cn/pinch_no_cript■exe
p://ztb■cztv■tv/360/1■exe
p://ztb■cztv■tv/360/2■exe
p://ztb■cztv■tv/360/7■exe
p://ztb■cztv■tv/360/88■exe
p://ztb■cztv■tv/360/9■exe
p://www■hzcpwl■cn/djellow■exe
p://gold-smerch■cn/flash■exe
p://slil■ru/27769294/2fcdca20■4a3e7138/adware_crypt■exe
p://72■9■108■26/install_10■exe
714:名無しさん@お腹いっぱい。
09/06/28 15:52:21
>>713
NormanとZoner以外は一通り提出完了
検出名称:Aviraスルーのものに関して、他のベンダーの検出名で補完したもの
72.9.108.26/install_10.exe : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
gold-smerch.cn/flash.exe : TR/Agent.15360.108 Trojan(AntiVir)
hearsedriver.com/646808.js : JS/Wonka(McAfee) , Trojan-Clicker.HTML.IFrame.gen (v)(Sunbelt)
reddii.ru/reddii.ru.htm : HEUR/HTML.Malware suspicious code(AntiVir) , JS:Packed-BE(Avast) , Packed.JS.Agent.ad(Kaspersky)
roons.cn/Project2.exe : Trojan-Downloader.Win32.Agent.cguk(Kaspersky) , TrojanDownloader:Win32/Delf.HF(microsoft)
satanic.easycoding.org/file.exe : TR/Dropper.Gen Trojan(AntiVir)
slil.ru/adware_crypt.exe : - Not Detected -
update.microsoft.com.hillij.com/officexp-KB910721-FullFile-ENU.exe : TR/Crypt.ZPACK.Gen Trojan
woons.cn/pinch_no_cript.exe : TR/PSW.LdPinch.ahdf Trojan(AntiVir)
www.hzcpwl.cn/djellow.exe : TR/Spy.ZBot.xgh Trojan(AntiVir)
www.livedoorm.com/Test.exe : DR/PcClient.Gen dropper(AntiVir)
ztb.cztv.tv/1.exe : Trojan:Win32/Malex.gen!E(Microsoft) , PSW.OnlineGames_r.DP(AVG)
ztb.cztv.tv/2.exe : ADSPY/Agent.160989(AntiVir)
ztb.cztv.tv/2/235.exe : DR/Cinmus.fow dropper(AntiVir)
ztb.cztv.tv/2/NSIS.Library.RegTool.v2.$[36].exe : Win32.Banker(eSafe)
ztb.cztv.tv/2/$R0 : ADSPY/Cinmus.auxo.3(AntiVir)
ztb.cztv.tv/7.exe : DR/BHO.hmc dropper(AntiVir)
ztb.cztv.tv/7/cpush.dll : ADSPY/Cinmus.ucc.6 adware or spyware(AntiVir)
ztb.cztv.tv/88.exe : TR/PSW.OnlineGames.vcqj.3 Trojan(AntiVir)
ztb.cztv.tv/9.exe : DR/Zhongsou.170576 dropper(AntiVir)
ztb.cztv.tv/9/IETimber.dll : ADSPY/Timber.BHO adware or spyware(AntiVir)
715:名無しさん@お腹いっぱい。
09/06/28 16:25:29
COMODO Internet Security 1465
>>704
7/58
>>705
スルー
>>713
13/21
未検出分を提出しました。
716:名無しさん@お腹いっぱい。
09/06/28 16:47:48
カスペからの返事
>>683 (>>685,693) tane0412
3+3=6
js.js_ - Exploit.JS.Agent.ajo
ytbb.htm_ - Exploit.JS.Agent.ajn
ytvod.htm_ - Exploit.JS.Agent.ajm
>>647(>>651,657,658,659,664,670) (tane0406)
index.html_ - Trojan-Downloader.JS.Agent.egp (← "HEUR:Exploit.Script.Generic")
個人的に忙しいので、カスペは代理の方にお願いしたい。すまん。
717:名無しさん@お腹いっぱい。
09/06/28 16:48:39
>>713さん乙
>>714さん乙
メールの受信トレイがタイヘンなんじゃないのw
個別回答が丁寧なベンダってどこですか?
718:名無しさん@お腹いっぱい。
09/06/28 17:27:38
>>717
送受信はどうってことない。一番面倒なのは、提出前の整理。
ほんとは、ベンダーごとにスルーしてるものだけ抽出して送った方がいいんだけど、その辺省略してるから。
個別回答が丁寧なのは、Avira、カスペ、Fortinet辺りかな。でも、多量に送ると迷惑になるので注意。
AviraとFortinetは、返答なしって約束になったし、カスペも返答がこなかったり遅れたりしてる(対応自体は早い)。
マカフィー、トレンドマイクロ、シマンテック、Rising辺りは機械的だけど、返事がくるね。
受理メールが文字化けするところはご愛敬(ソフォスと、アンラボと、VirusDoctor辺り)
返事が不定期に来たり来なかったりはMicrosoftとか。Dr.Webも返事が来る方かな。
F-Secureはメールで送ると返事来ないかな。SASだっけ、フォームからだと返事が来ます。
AVGとか、最近は返事こないベンダーも多いですよ。
というか、返事が来る方が少数かも。受理メールすらこない所の方が多いです。
719:61
09/06/28 23:49:16
>>713 乙です。
AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/14
黒は数が多いので、HEURと未検出の方を書きます。
reddii.ru\reddii.ru.htm - (HEUR/HTML.Malware) - (UNDER ANALYSIS)
hearsedriver.com\646808.js - (UNDER ANALYSIS)
roons.cn\Project2.exe - (UNDER ANALYSIS)
ztb.cztv.tv\1.exe - (UNDER ANALYSIS)
ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe - (KNOWN CLEAN)
Web提出で、既に白確定が1個ありました。(既に誰かが出していて、判断が終わっているもの)
あと、slil.ru\adware_crypt.exe は中身がhtmlなので未提出。(様子見) アドレスからすると、>691のものが本来の実行ファイルだと思います。
720:61
09/06/29 00:21:42
>>718 乙です。
AVIRAですが、本来はWebからの提出を基本としているようなので、メールで大量に送ると冷たくされる
(返答無しになる)のは仕方ないかと。
今まで結構出してきましたが、AVIRAの作業パターンが読めてきました。AVIRAはWeb提出されたファイルを、
サーバーが下記の5種類に自動分別しているようです。
1) 現時点のパターンファイルで既に確定検出できるもの (HEURではない)
2) 確定検出できないもの (HEUR含む)
2-1) 既に誰かが提出していて、黒判定済み
2-2) 既に誰かが提出していて、白判定済み
2-3) 既に誰かが提出していて、解析中
2-4) 新しい提出
1),2-1),2-2)の3種については、サーバーが自動で解答を返してきます。 この3種は、アナリストに届かないようです。
例えば、>719の KNOWN CLEANのファイルなどです。
2-3)のファイルは、最初に提出されたファイルにタグ付けされて、一つにまとめられるようです。
この場合、最初の提出者のファイルに付けられた File ID と UNDER ANALYSISという解答が出ます。
多分、アナリストが最初の1個だけ解析すれば、サーバーが自動で全部解答する様になっています。
2-4)のファイルは、新しいFile IDが取得され、そのFile ID と UNDER ANALYSISという解答が出ます。
こうすることで、アナリストに無駄な負荷がかからないようになっているようです。
(この辺が、AVIRAが効率良く、早い判定をしている理由っぽい。)
※ 2-3)のファイルは、解析が最初に出された人が基準になるので、連投しても2-4)よりFile IDが若い番号になるのと
解答の順番が速い。 あと、どの場合でもサーバーが判定結果まで含めて自動返答でメールをくれます。
なので、AVIRAでは、メールで検体を受け取るのは、多分あまり想定されていないと思います。
それに、Webで出した方が、どうもメールより判定が早いっぽい(Gumblarの時にメールとWebと両方出したら、Webの方が解答が断然速かった)ので、
AVIRA使いの人は、Web提出を基本にした方が良いです。 サーバーにアップロードするだけだから、英文書かなくて良いし。(w
721:61
09/06/29 00:52:07
>>713 乙です。
Kaspersky 2009/06/28 23:50:00
72.9.108.26\install_10.exe - Trojan-Downloader.Win32.Boltolog.ewo
gold-smerch.cn\flash.exe - Trojan-Downloader.Win32.Small.jxb
reddii.ru\reddii.ru.htm - Packed.JS.Agent.ad
roons.cn\Project2.exe - Trojan-Downloader.Win32.Agent.cguk
satanic.easycoding.org\file.exe - Trojan.Win32.Inject.aesn
update.microsoft.com.hillij.com\officexp-KB910721-FullFile-ENU.exe - Trojan-Dropper.Win32.Zbot.h
woons.cn\pinch_no_cript.exe - Trojan-PSW.Win32.LdPinch.ahdf
www.livedoorm.com\Test.exe - Backdoor.Win32.PcClient.arsm
www.hzcpwl.cn\djellow.exe - Trojan-Spy.Win32.Zbot.xgh
ztb.cztv.tv\1.exe - Backdoor.Win32.Wuca.by
ztb.cztv.tv\2.exe - not-a-virus:AdWare.Win32.AdMedia.ed
ztb.cztv.tv\2\$r0 - not-a-virus:AdWare.Win32.Cinmus.auxo
ztb.cztv.tv\2\235.exe - not-a-virus:AdWare.Win32.Cinmus.auxo
ztb.cztv.tv\7.exe - not-a-virus:AdWare.Win32.BHO.hmc
ztb.cztv.tv\7\cpush.dll - not-a-virus:AdWare.Win32.BHO.hmc
ztb.cztv.tv\88.exe - Trojan-GameThief.Win32.OnLineGames.vcqj
ztb.cztv.tv\9.exe - not-a-virus:AdWare.Win32.Iebar.w
ztb.cztv.tv\9\ietimber.dll - not-a-virus:AdWare.Win32.Iebar.w
黒18,未検出3(下記)
hearsedriver.com\646808.js
slil.ru\adware_crypt.exe
ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe
下2つの実行ファイルは、>719の結果により様子見。 646808.jsもスクリプトなので、>713提出に付き様子見。
722:61
09/06/29 00:54:20
>>719
今気がついたけど、
× AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/14
○ AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/21 未検出 5/21 です。
723:名無しさん@お腹いっぱい。
09/06/29 22:52:53
URLリンク(tane.sakuratan.com)
infected
MarwareListから拾ったもの。(今日のspamにあったアドレスecard.exeも含んでました)
724:名無しさん@お腹いっぱい。
09/06/30 00:06:35
>>723さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
725:724
09/06/30 00:07:26
一部訂正
Symantecとa-squaredとMalwarebytesに提出しました
726:61
09/06/30 00:42:25
>>723 乙です。
AVIRA9 7.01.04.152 検出47/56
残9個の内、下記7個提出。 全部UNDER ANALYSIS
84.244.138.55\84.244.138.55.htm → zip圧縮ファイルだったので、解凍したファイルをAVIRAに提出
hostvids.net\streamviewer.45129.exe
softportal-files.com\streamviewer.40000.exe
turkey-h.org\r57.txt
www.amd20094.xpg.com.br\xroot.txt
www.free-celeb-videos.net\softwarefortubeview.40056.exe
www.scoringsessions.com\test.gif
下記2個は、中身を見て、VTに投げた後、未提出としました。
www.amd20093.xpg.com.br\xroot(1).txt
www.free-celeb-videos.net\www.free-celeb-videos.net.htm
Kasperskyはこれからチェックします。
727:61
09/06/30 01:43:56
>>723 乙です。
Kaspersky 2009/06/29 23:05:00 検出42,HEUR 1,未検出13
HEUR
mm.cj-vv.cn\lm\new9.exe - HEUR:Trojan.Win32.Generic → Trojan-GameThief.Win32.Magania.bjfq (既に返答来た)
未検出13個の内、下記11個提出。>726と同じ2個は未提出。
bingb.5webs.net\login.js
eshymkent.cn\setup_tube.exe
hostvids.net\streamviewer.45129.exe
invomedia.net\yes.txt
online-casino-lpt.biz\SmartDownload.exe
softportal-files.com\streamviewer.40000.exe
www.amd20094.xpg.com.br\xroot.txt
www.brun-sylvain.fr\idv6.txt
www.free-celeb-videos.net\softwarefortubeview.40056.exe
www.scoringsessions.com\test.gif
ヒューリスティック→隔離フォルダから送った分は相変わらず速攻で返事来るけど、怪しいぞってメール送った分は全然返事来ない。
AVIRAも解析遅れが結構出てきてるし、AVIRAもKasperskyもパンク中なんだろうねぇ...さて、寝ますか。ノシ
728:名無しさん@お腹いっぱい。
09/06/30 02:43:35
>>723
Wikiにまとめてある提出先一通り(提出報告のあったベンダーと、Norman、Zonerを除く)に提出完了。
www.free-celeb-videos.net\www.free-celeb-videos.net.htm は、VTでは、eSafeしか検知してないようですが
同じフォルダに入っている softwarefortubeview.40056.exe を落させようとするフィッシングサイト(の分類?)です。
FakeAVではなく、FakeCodecと言うべきですかね。
アクセスしただけで落ちては来ないですが、動画に見えるものをクリックすると、コーデックを落とすよう
指示を出してファイルを落とさせようとします。確かに、アクセスしただけでは感染しませんし、クリックするまで
ファイルも落ちて来ませんので、白判定になっちゃうのかも。
htmlの冒頭の辺りに、堂々とexe名乗っけてる位なので、わたしは、提出対象に含めました。
検体入手元
p://www■free-celeb-videos■net
p://exe-profile■com/softwarefortubeview■40056■exe
729:名無しさん@お腹いっぱい。
09/06/30 02:48:22
>>726
マカフィーは、そのhtmlをフィッシングサイト扱いで(ヒューリスティックだけど)検知する模様。(自動返答より抜粋)
www.free-celeb-video|heuristic detection |with fishy extension |Application |no
730:名無しさん@お腹いっぱい。
09/06/30 05:04:18
検体提出先変更
Cybersoft(VFind) info☆cyber.com → virus☆cyber.com
届かずに戻ってくるから、送信先変えてたんだけど、メールで言ってきたってことは
今度はちゃんと届くんだろうな、多分。次の送付から、こっちのアドレスに直すか。
731:名無しさん@お腹いっぱい。
09/06/30 10:34:35
カスペからの返事(比較的古いもの)
scanmyfolders.com.htm_ (>>647) - Trojan-Downloader.JS.Iframe.bhz
winres.exe_(>>565) - Trojan-Spy.Win32.VB.btm
This file is already detected. Please update your antivirus bases.(検知済み)
>>647
18.htm
No malicious software was found in the attached file.
>>565(>>566,602,609,664) tane0394は、5+5=10/10でようやくクローズ。
732:名無しさん@お腹いっぱい。
09/06/30 13:31:27
URLリンク(tane.sakuratan.com)
infected
昨日、一昨日に拾ったドメインのもので、更新されてたファイルが結構あったので。
但し、殆どのベンダーが全部検知するんじゃないかなぁ。
検体入手元
p://up■cj-vv■cn:889/
p://tt■ff88567■cn/bbs/exe/
Aviraは全検出したので、提出せず。
マカフィーは、自動返答によると、既知とヒューリスティックで全検出。
Wikiにまとめられている他のベンダーは、検出状況確認せずにまとめて送付。(NormanとZoner以外は一通り提出完了)
トレンドマイクロは5分割したうちの3つが500エラーで送れないので、時間を置いてから残件処理予定。
=== AntiVir Detection Name ===
tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper
up.cj-vv.cn/mm/jm/new1.exe : TR/Dropper.Gen Trojan
up.cj-vv.cn/mm/jx/new[1-13].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/la/new1.exe : TR/Spy.Gen Trojan
up.cj-vv.cn/mm/lm/new[1-27].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/qt/new1.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new2.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new3.exe : TR/Small.aawp Trojan
up.cj-vv.cn/mm/qt/new4.exe : TR/Dldr.Small.aleg.4 Trojan
up.cj-vv.cn/mm/qt/new6.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/mm/qt/new7.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/up1/up.exe : TR/Hijacker.Gen Trojan / RKIT/Agent.AIWN.20 root kit
733:名無しさん@お腹いっぱい。
09/06/30 17:21:27
>>732さん乙
Symantecとa-squaredとMalwarebytesに提出しました
ゲーム系とオートラン多数だね
734:名無しさん@お腹いっぱい。
09/06/30 17:42:31
>>732
トレンドマイクロのsubwizフォームから送っていて
(500かは忘れたけど)aspでエラー吐くのは
検出できる物が混じっている場合。バラしてみ。
735:名無しさん@お腹いっぱい。
09/06/30 20:15:40
COMODO Internet Security 1504
>>706
13/14
未検出分提出
>>723
40/56
未提出
>>732
141/149
未検出分を提出しました。
736:名無しさん@お腹いっぱい。
09/06/30 21:32:59
>>735
ああ、そういや、そんな話もあったっけね。
容量がでかくてタイムアウトする時は500エラー出て、2分割したらすんなり通ったことあったので
鯖が重くてタイムアウトしてるだけかと思ってたわ。
引っ掛かったのは、tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper で、幾つかVTに投げてみたら
トレンドマイクロでは検出する奴だった。(検出名:WORM_AUTORUN.FHU)
検出可能なものしか入ってないのでエラーになってたということで、提出の必要なさそうだと判断しとくわ。
737:61
09/06/30 22:55:50
>>726
AVIRA返答
84.244.138.55\84.244.138.55.htm - JS/LuckySploit.L.1
hostvids.net\streamviewer.45129.exe - MALWARE(名称未定)
softportal-files.com\streamviewer.40000.exe - MALWARE(名称未定)
turkey-h.org\r57.txt - DAMAGED FILE (UNKNOWN)
www.amd20094.xpg.com.br\xroot.txt - CLEAN
www.free-celeb-videos.net\softwarefortubeview.40056.exe - MALWARE(名称未定)
www.scoringsessions.com\test.gif - PHP/Small.NAC
7個について、黒5,白1,ファイル破損で判定不能1
>>728-729
踏んだら自動でファイルを落としてくるようなものは提出しますが、流石に単なるリンクまで出してると
キリが無いかと思いました故。
出さなかった分は今後も明記しますので、気になる人は出して下さい。m(_ _)m
>>732
AVIRAは問題無さそうなので、これからKasperskyのチェックはじめます。
738:61
09/06/30 23:16:45
>>732
Kaspersky 2009/06/30 22:12:00 黒147/149,HEUR無し。
下記2個を取りこぼしたので、提出しました。
up.cj-vv.cn\mm\la\new1.exe
up.cj-vv.cn\mm\qt\new2.exe
739:61
09/07/01 00:01:52
>>727
提出分11個の現状,Kaspersky 2009/06/30 22:12:00
●bingb.5webs.net\login.js - Trojan-Downloader.JS.Iframe.bik
●eshymkent.cn\setup_tube.exe - not-a-virus:FraudTool.Win32.SystemSecurity.oa
●hostvids.net\streamviewer.45129.exe - Trojan.Win32.FraudPack.pby
invomedia.net\yes.txt
online-casino-lpt.biz\SmartDownload.exe
●softportal-files.com\streamviewer.40000.exe - Trojan.Win32.FraudPack.pby
turkey-h.org\r57.txt
www.amd20094.xpg.com.br\xroot.txt
www.brun-sylvain.fr\idv6.txt
●www.free-celeb-videos.net\softwarefortubeview.40056.exe - Trojan.Win32.FraudPack.pby
www.scoringsessions.com\test.gif
返答無いけど検出可 5個,判断待ち 6個。
ただ、経験上KasperskyはGAME系をスルーするので、online-casino-lpt.biz\SmartDownload.exeは白判定の可能性大。
URLリンク(www.virustotal.com) (11/40)
(カジノゲームで、ウイルスではない)
740:名無しさん@お腹いっぱい。
09/07/01 00:47:36
カスペ2010 0:08
直近検出状況まとめ
提出者の方、代理提出者の方㌧。
>>652 tane0407 (>>658) 2/2で閉鎖
>>674 tane0410 (>>678) 1/1で閉鎖
>>680 tane0411 (>>684,685) 1+下記1=2/2で閉鎖
Detected Trojan program Trojan-Downloader.Win32.Banload.afwt doc-47473-4378914-34-JPG.exe
>>683 tane0412 (>>683,693,716) 3+3=6/23(>>683,716)のままで一部未決
>>691 tane0413 (>>692,710) 9+1=10/10で閉鎖
>>699 tane0414 (>>703) 0/1 (fk.pdfスルー)で未決
>>700 tane0415 (VT通り,>>703) 1/1で閉鎖
>>705 tane0416 (>>711) >>711さん通り、5/59のまま。変化なしで未決
>>706 tane0417 (>>712) 6+追加検出1=7/14で未決
Deleted Trojan program Trojan.Win32.FraudPack.pbo tane0417\mysecurepcshields.com\install.exe
>>713 tane0418 (>>721) 18/21のままで未決
741:名無しさん@お腹いっぱい。
09/07/01 00:48:44
カスペ2010 0:08
直近検出状況まとめ
>>723 tane 0419(>>727)
43+事後検知5=48/56で未決
Detected Trojan program Trojan-Downloader.JS.Iframe.bik \bingb.5webs.net\login.js
Detected virus not-a-virus:FraudTool.Win32.SystemSecurity.oa \eshymkent.cn\setup_tube.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \hostvids.net\streamviewer.45129.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \streamviewer.40000.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \www.free-celeb-videos.net\softwarefortubeview.40056.exe
>>732 tane 0420 148/149で未決
スルー1 tane0420\up.cj-vv.cn\mm\la\new1.exe
検体名は略
>>738 0:08では、new2.exeは既検出- Trojan.win32.agent.kud
スクリプト系は、VT他社検出状況みながら明日以降順次提出。
寝る。w
742:名無しさん@お腹いっぱい。
09/07/01 01:41:37
URLリンク(tane.sakuratan.com)
infected
眠いので、提出は起きてから…(o_ _)o ぱたり
743:名無しさん@お腹いっぱい。
09/07/01 01:42:30
あ、>>742は、AviraとAntiyLabsにはftp経由で提出済みです。
744:名無しさん@お腹いっぱい。
09/07/01 06:14:13
>>742
McAfee (Active Protection 無効)55/96
未検出分をMcAfeeに提出させて頂きました。
745:名無しさん@お腹いっぱい。
09/07/01 07:32:45
>>742さん乙
Symantecとa-squaredとMalwarebytesに提出しました
でもあまり無理をしないようにね
746:名無しさん@お腹いっぱい。
09/07/01 11:33:19
>>742 乙です。
カスペ2010 11:10
80/96
(1) havvha.com 51/52 (aa35.exeスルー)
Trojan.VBS.IEstart.e 1.exe、 3-5..exe 7-20.exe (18files)
Trojan-GameThief.Win32.Magania.* /havvha.com/aa[1, 3-28, 30-33].exe (31files)
virus HEUR:Trojan.Win32.Generic aa2.exe
Trojan.Win32.Agent.cnll aa34.exe
(2)liesbethmian.be 10/11 (fb48.exeスルー)
Trojan-Dropper.Win32.BHO.bo /6244.exe
virus Net-Worm.Win32.Koobface.ahx /be.15.exe
Trojan-Downloader.Win32.Tiny.byt /captcha6.exe
virus Net-Worm.Win32.Koobface.aie /hi.12.exe
Trojan.Win32.Agent.cntq /ms.19.exe
Trojan.Win32.Agent2.jyw /nfr.exe
Trojan-Dropper.Win32.Agent.auoy /pdrv.exe
Trojan.Win32.Agent2.ktz /pp.10.exe
virus Net-Worm.Win32.Koobface.aif /tg.12.exe
Trojan-Proxy.Win32.Agent.bpd /websrvx2.exe
(3)その他 19/22
Trojan-Downloader.JS.Iframe.bik /74.114.116.101/ads.js (1/1)
Trojan-Downloader.JS.Iframe.bgx /95.209.81.156/92.236.141.125.htm (2/2)
virus HEUR:Trojan.Win32.Generic /95.209.81.156/setup.exe
Trojan.Win32.Rabbit.fr /109438129432.cn/load.exe (1/1)
Exploit.Win32.Pidief.bcp /antivirusxp09.com/9426.pdf (2/2)
virus HEUR:Trojan.Win32.Generic /antivirusxp09.com/load.exe
Trojan-Downloader.Win32.FraudLoad.euw /atuyfe.cn/installer_70126.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.evq /bobo-tube.com/streamviewer.45031.exe (1/2)
Trojan-Spy.Win32.Zbot.xrt /chaseonline.chase.com/officexp-KB910721-FullFile-ENU.exe (1/1)
747:746
09/07/01 11:34:10
>>742,>>746の続き
Trojan-Downloader.Win32.FraudLoad.evq /hot-tube-work.com/TubeViewer.ver.6.48268.exe (1/2)
Trojan-Downloader.HTML.FraudLoad.a /lianadumitrescu.ro/atiguko.cn.htm (3/4)
Trojan-Downloader.Win32.FraudLoad.euw /lianadumitrescu.ro/installer_70141.exe
Trojan.JS.Agent.ahr /lianadumitrescu.ro/lianadumitrescu.ro.htm
Trojan-Downloader.Win32.FraudLoad.evq /load-exe-soft.com/TubeViewer.ver.6.40000.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.wcva /pornotube915.com/codec.exe (1/1)
Trojan-GameThief.Win32.Magania.bipt /sesese.y145c.cn/1.exe (1/1)
adware not-a-virus:AdWare.Win32.Simbar.e /simpletoolbar.com/toolbar.exe (1/1)
Trojan.Win32.Tdss.aiij /toptubehunt.info/video_player.exe (1/1)
Trojan-Downloader.Win32.Agent.bqtn /zief.pl/wr.exe (1/1)
(4)スルー 11files
88.198.234.133 0/3,
FakeAV*.ru 0/4
kepko.net 0/3
update1.fastantivirus09.com. 0/1
検体提出します。
748:名無しさん@お腹いっぱい。
09/07/01 12:28:26
COMODO Internet Security 1521
>>742
tane421
63/96
未検出分を提出しました
749:748
09/07/01 13:06:03
追記
bo-bo-tube.comフォルダに入っているxplays.phpは
通常のHTMLタグしか書かれてないので提出しませんでした
750:名無しさん@お腹いっぱい。
09/07/01 13:34:51
>>2
・淡々とやれ淡々と!
・ソフトの優劣の議論は別スレで!!
長文で主観がこもった叙述調の長文イラネ。( ゚д゚)、ペッ
751:名無しさん@お腹いっぱい。
09/07/01 15:35:50
1000いく前にこのスレもうすぐ落ちるな。現在、476KB
512KBでdat落ち仕様
そろそろテンプレメンテして、次スレ必要かと。
752:名無しさん@お腹いっぱい。
09/07/01 17:59:50
>>751 了解
提出先(テンプレ)変更
>>1
>>18,534,542,549,655,730,12,227,188,191
だけ?
確認よろしく。
現行種は、現行スレで報告、新種は新スレで報告がいいのかな。
まだ、30KB ほど余裕があるから、新種のうpは、1~2日は大丈夫と思うが。
立てれれば、新スレたてます。
現行レス推移だと、>>800超で落ちるのかな。
753:740
09/07/01 20:41:29
カスペ2010 19:08&返答
>>705 tane0416 (>>711)
5+1=6
22ac7bebd...1d520317.js - - Trojan.JS.Agent.ajc
>>706 tane0417 (>>712,740)
6+(1+2)=9/14、白2、待ち2(scan4plan.html2つ)、見送り1(coutner.htm)
Trojan.HTML.Agent.by - struck...\fastfolderscanner.com.htm
Trojan-Downloader.HTML.FraudLoad.a - \onlyfind...\index.php
Trojan-Downloader.JS.Iframe.bio - drugstore...\test.html
sexbases.cn\bonus.php, in.cgi (2files) - 白
>>713 tane0418 (>>721,740)
18+1=19/21、白2でクローズ
Trojan-Clicker.JS.Agent.gq - hearsedriver.com\646808.js
adware_crypt.exe, NSIS.Library.RegTool.v2.$[36].exe. - 白
>>723 tane 0419(>>727,739,741)
43+5=48/56, 白2,回答待ち3 (yes.txt, idv6.txt, www.free-celem....),.,見合せ3(r57.txt, xroot.txt、xroot(1).txt)
SmartDownload.exe, test.gif - 白
>>742 tane0421 (>>746)
80+1=81/96、白1
Trojan-GameThief.Win32.Magania.bjsy - aa2.exe (←HEUR:Trojan.Win32.Generic)
Trojan.Win32.Inject.afgm - 95.209.81.156\setup.exe (←同上)
Trojan-Downloader.Win32.Agent.chgu - antivirus09.com\load.exe(←同上)
Trojan-GameThief.Win32.OnLineGames.bmiy - \havvha.com\aa35.exe
kepko.net\.exe - 白
754:名無しさん@お腹いっぱい。
09/07/01 23:10:30
カスペ2010
>>699(>>703) tane0414 1/1で閉鎖
Trojan program Exploit.Win32.Pidief.bcx tane0414\fk.pdf
>>742(>>746,753) tane0421
80+1+1=82/96
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.be update1.fastantivirus09.com\ReleaseXP.exe
今日はここまで
755:61
09/07/01 23:19:27
>>703,740
fk.pdf - Exploit.Win32.Pidief.bcx
返答無いけど検出可になりました。
>>750
それを言うたら、検体提出でも報告でもない、お前さんのただの感想文もこのスレでは何の役にもたっとらんがな。(w
756:61
09/07/01 23:44:32
>>742 乙です。
Kaspersky2009 2009/07/01 22:12:00 検出81/96(HEUR無し),未検出は下記15個。
88.198.234.133
index-go.html
new.exe
search.php
95.209.81.156
setup.exe
bobo-tube.com
xplays.php
FakeAV videoxporno.ru
ddanchev-suck-my-dick.php
Setup-27ab1cc_02022.exe
Setup-30a959_02022.exe
Setup-9139d_02022.exe
hot-tube-work.com
xindex.php
kepko.net
.exe
7klik.com.htm
n1.htm
lianadumitrescu.ro
bidch.js
liesbethmilan.be
fb.48.exe
>746さんの2010に比べて、HEURで捕まえられないものがありますねぇ。(95.209.81.156\setup.exeとか)
>746さんと提出が重複しないようにチェックしてから、こちらも検体を提出します。
757:名無しさん@お腹いっぱい。
09/07/02 01:47:57
URLリンク(tane.sakuratan.com)
infected
リネージュ資料室の更新リスト+α
見覚えのあるファイルもありますが、更新日が新しかったので再提出してみるテスト。
===検体入手元===
p://codecpack■nl/divx680vfw■exe
p://www■xlsf013■cn/zr/sct■exe
p://www■xlsf013■cn/Lz■htm
p://www■xlsf013■cn/server■exe
p://www■xlsf013■cn/Pps■htm
p://www■xlsf013■cn/Bfyy■htm
p://www■xlsf013■cn/Ms06014■htm
p://www■686ip■cn/shen/ma■exe
p://www■mvoe■cn/all/aa■js
p://tt■ff88567■cn/bbs/exe/[1-100]■exe
p://tt■ff88567■cn/bbs/exe1/[1-100]■exe
p://tt■ff88567■cn/down/dnf9m■exe
p://tt■ff88567■cn/down/jxsj9m■exe
p://tt■ff88567■cn/down/mhxu9m■exe
p://tt■ff88567■cn/down/mu9m■exe
p://tt■ff88567■cn/down/qq3g9m■exe
p://tt■ff88567■cn/down/qq3g9m1■exe
p://tt■ff88567■cn/down/qqhx9m■exe
p://tt■ff88567■cn/down/qqxx■exe
p://tt■ff88567■cn/down/wl9m■exe
p://tt■ff88567■cn/down/zt9m■exe
p://tt■ff88567■cn/down/zzh9m■exe
758:名無しさん@お腹いっぱい。
09/07/02 01:48:49
>>757(続き)
===備考===
1.tt.ff88567.cn は、容量が大き過ぎるので、パスワードなしの7zアーカイブで固めたものを、
zipの中に放り込んであります。提出時にはご注意ください。
2.divx680vfw■exe は誤検知かも?このファイルを提出するかどうかは各自の判断で。
divx680vfw■exe(2/41) AntiVir検出名:TR/StartPage.dpb
URLリンク(www.virustotal.com)
759:名無しさん@お腹いっぱい。
09/07/02 02:08:16
ごめんなさい、>>757の「www.686ip.cn」「www.mvoe.cn」「www.xlsf013.cn」内は無害なファイルでした。
ドメイン消失でhtml落ちてきてただけのようで、一旦消して、上げ直します。
760:名無しさん@お腹いっぱい。
09/07/02 08:37:34
連投規制の時間待ちしてたらそのまま寝てた…コタツトップ(そのまま後ろにバタンQ)の悪いとこだな。
>>758のUPしなおし。
URLリンク(tane.sakuratan.com)
URLリンク(tane.sakuratan.com)
infected
下は、ZIPの中身は7zのパスなしアーカイブに圧縮してあります。
多分、殆どのベンダーがdivx680vfw■exe以外は、全部検知するんじゃないかと。
AntiVirは全検知してました。
761:名無しさん@お腹いっぱい。
09/07/02 13:35:25
>>757-760㌧
カスペ2010 12:36
>>760 (tane0423)
11/12(うちHEUR2)、スルー1(divx680vfw.exe)。検体提出します。
Trojan-GameThief.Win32.Magania.bjoz dnf9m.exe
Trojan-GameThief.Win32.Magania.biht jxsj9m.exe、 mhxu9m.exe、 wl9m.exe、 zt9m.exe、 zzh9m.exe (5files)
Trojan-GameThief.Win32.Magania.bjnj mu9m.exe
Trojan-GameThief.Win32.Magania.bfrp qqhx9m.exe
Trojan.Win32.Agent.cnwy qqxx.exe
virus HEUR:Trojan.Win32.Generic qq3g9m.exe、 qq3g9m1.exe (2files)
>>760 (tane0424)
200/200でクローズ
(1)exeフォルダ 100/100
Detected virus Worm.Win32.AutoRun.afcb /exe/*.exe
(2)exe1フォルダ 100/100
Detected Trojan.Win32.Agent.bsmyなど /exe1/*.exe
762:名無しさん@お腹いっぱい。
09/07/02 15:31:26
>>752
多分、テンプレに入れる必要はないけど、マイナー所の提出先を幾つか…まだWikiの方には反映させてない気がする。
メール
BullGuard Internet Security <support☆bullguard.com>
Central Command(Vexira Antivirus) <virus☆centralcommand.com>
Intego(VirusBarrier) <sample☆virusbarrier.com>
Mischel Internet Security(TrojanHunter) <support☆trojanhunter.com>
Moosoft(The Cleaner) <trojans☆moosoft.com>
NictaTech Software(Digital Patrol) <newvirus☆nictasoft.com>
Simply Super Software(Trojan Remover) <submit☆simplysup.com>
SRN Micro(Solo Antivirus) <support☆srnmicro.com>
Webフォーム
ATShield Ltd.(Anti-Trojan Shield)
URLリンク(www.atshield.com)
3MBまで
---
そういや、昨日出した分から、nProtect GameGuardから、受理のメールが届くようになってた。
始めてメール来たので、ちょっとびっくり。
ファイル添付可能にしてくれればなぁ…アドレス連絡しても、日替わりで、対応してない奴とかあるし。
763:名無しさん@お腹いっぱい。
09/07/02 15:45:49
メモ書き
>>1
>>762
764:名無しさん@お腹いっぱい。
09/07/02 17:16:59
カスペ2010 返答&検出状況 15:46
>>723 tane 0419 (>>727,739,741,753)
43+5=48/56, 白6,回答待ち2 (yes.txt, , www.free-celem.....htm),
www.brun-sylvain.fr\idv6.txt - 白 (返事)
見合わせ3ファイルは、各ベンダーに提出後も現在VT再解析0%であるから、白に加算.
>>732 (>>741) tane0420
148+1=149/149で閉鎖
Trojan-Dropper.Win32.Agent.auzd up.cj-vv.cn\mm\la\new1.exe
>>742(>>746-747,753,756)
80+1+1=82/96,白1、残13
Net-Worm.Win32.Koobface.akh - liesbethmilan.be\fb.48.exe (返事)
>>760,(>>761) tane0423
11/12(うちHEUR1)、白1で仮閉鎖
Trojan-GameThief.Win32.Magania.bjyb qq3g9m1.exe (←HEUR:Trojan.Win32.Generic)
divx680vfw.exe - 白 (返事)
765:名無しさん@お腹いっぱい。
09/07/02 19:26:23
>>760さん乙
Symantecとa-squaredとMalwarebytesに提出しました
セキュ板はたしか連投4回までです。秒規制は40秒間隔かな(2ch専用ブラウザで確認回避可能)
760さんの7zipの圧縮形式(LZMA・PPMd・ZIP)と圧縮率はいくつですか?
>>1さん
このスレは、いわば危険物が集まる場所なワケで、
セキュリティに疎い人が来てワクチンすら間に合っていない危険に晒されてしまう可能性も考えられるので、
最低限、オートラン無効設定の案内を予めことわり書きしておく必要があると思います。
IPA 情報処理推進機構
「外部記憶メディアのセキュリティ対策を再確認しよう!」 ― USB メモリ、便利のウラに落とし穴 ―
URLリンク(www.ipa.go.jp)
「 USB メモリのセキュリティ対策を意識していますか? 」 ― USB メモリの安全な使い方を知ろう ―
URLリンク(www.ipa.go.jp)
766:名無しさん@お腹いっぱい。
09/07/02 20:09:57
>>760
>>760
McAfee (Active Protection 無効)
tane0423
11/12
tane0434
200/200
未検出分(divx680vfw)をMcAfeeに提出させて頂きました。
767:61
09/07/02 23:20:34
>>758,760
divx680vfw■exe は URLリンク(codecpack)■nl/divx680vfw.exe と同じものですが、流石にこれは誤検出だと
思われますので、AVIRAにSuspected False Positiveで提出しておきました。
返答来たら書き込みます。
768:764
09/07/02 23:31:28
カスペ 返答
>>742(>>746-747,753,756,764)
80+2+2=84/96,白1、残11
kepko.net\.exe_
No malicious code was found in this file.(>>753通り)
kepko.net\7klik.com.htm_ - Trojan-Downloader.HTML.Agent.pk,
kepko.net\n1.htm_ - Trojan-Clicker.HTML.Agent.an
New malicious software was found in these files.
ほかは進展なし。今日はここまで。
769:名無しさん@お腹いっぱい。
09/07/03 10:52:23
そろそろ次スレですかね。容量的に。
URLリンク(tane.sakuratan.com)
infected
MarwareListから拾ったもの。Norman、Zoner以外は一通り提出完了しています。
AntiVir(48/53)
770:名無しさん@お腹いっぱい。
09/07/03 10:57:35
>>769
カスペ返答
*** already detected ***
<省略>
*** New ***
aa8.exe_ - Trojan-GameThief.Win32.OnLineGames.bmkd,
installer_70321.exe_ - Trojan-Downloader.Win32.FraudLoad.evw,
socks.exe_ - Trojan-Spy.Win32.Agent.awnv,
winres.exe_ - Trojan-Dropper.Win32.VB.mtc
*** CLEAN ***
EvID4226Patch.exe_, flist.js_
まかふぃー返答
aa10.exe , aa8.exe , flist.js , t.exe が inconclusive 。他は、current detection 、new detection 、heuristic detection のいずれか。
---
flist.jsは、Avast(+G DATA)のみが検知。内容的にも、普通は白判定になると思う。
771:764
09/07/03 11:11:44
>>742(>>746-747,753,756,764,768)
カスペからの返事
80+(4+3)=87/96, 白2, 残7
FakeAV videoxporno.ruフォルダ
ddanchev-suck-my-dick.php
No malicious code was found in this file.
Setup-27ab1cc_02022.exe, Setup-30a959_02022.exe, Setup-9139d_02022.exe - Trojan.Win32.FraudPack.pev
New malicious software was found in these files.
772:名無しさん@お腹いっぱい。
09/07/03 16:39:15
URLリンク(tane.sakuratan.com)
infected
いつも(?)のように、Norman、Zoner以外は一通り提出完了。
MarwareListの7/2分から拾ったものと、リネージュ資料室の更新リストにあった日替わり(?)scrです。
AntiVir(41/48)
※ 設定ファイルのstatic.stdも入ってますが、これは白判定が普通だと思います。
Avastはなんで検知するんだか…
そういや、PC.exeとAgent.exeの入った奴の中のリストを、A-Squaredが検知してたこともあったっけ。
773:名無しさん@お腹いっぱい。
09/07/03 16:54:33
>>772
NortonInternetSecurity2009
40/48
PandaGlobalProtection2010
38/48
GDATAInternetSecurity2010
39/48
774:名無しさん@お腹いっぱい。
09/07/03 18:59:44
>>772
McAfee (Active Protection 無効)39/48
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gbtext.dll |inconclusive | | |no
ld.php |inconclusive | | |no
musictupac.-.all.eye|inconclusive | | |no
scan.php |inconclusive | | |no
static.exe |new detection |generic pws.y!dp |Trojan |yes
static.std |inconclusive | | |no
tupac-all-eyez-on-me|inconclusive | | |no
w.exe |inconclusive | | |no
wingb.dll |inconclusive | | |no
ここまで、McAfee残件なし。
775:名無しさん@お腹いっぱい。
09/07/03 19:20:39
取り急ぎ次スレたてました。
【鑑定目的禁止】検出可否報告スレ12
スレリンク(sec板)
取り急ぎ、提出先など確認お願いします。
(ベンダーが含まれているか?提出先が誤っていないか?死んでいるリンク、アドレスはないか?余分なものはないか?など)
776:名無しさん@お腹いっぱい。
09/07/03 19:36:14
>>772さん乙
Symantecとa-squaredとMalwarebytesに提出しました
>>775さん乙
777:名無しさん@お腹いっぱい。
09/07/03 19:57:13
>>775
乙
>>655のRising提出先
RARまたはZIPで圧縮、パスワード付き圧縮・分割圧縮は不可、5MBまで
旧アップロードページと同じ仕様に変更されていました
778:名無しさん@お腹いっぱい。
09/07/03 20:05:01
URLリンク(tane.sakuratan.com)
virus
swfはcws(zlib圧縮)形式だけど、(FFmpegのcws2fwsで)fws形式に解凍すると
超巨大サイズになるのでそのままで。
ネタ元 SANS ISC
Cold Fusion web sites getting compromised
URLリンク(isc.sans.org)
exeは2つ。
www■vii3■cn/svcst.exe (今日製造)
www■qiqijs■com/gm/gm.exe (先月28日製造、賞味期限切れ)
779:名無しさん@お腹いっぱい。
09/07/03 20:11:25
>>775乙
>>772㌧ tane0426
カスペ2010 41/48
(1)iframe 1/3 (id.php, static.stdスルー)
Trojan-Spy.Win32.Zbot.gen static.exe
(2)lawd 34/34
Trojan-GameThief.Win32.Magania.biht CJSH9M.exe、 WZSJ9M.exe、 cp9m.exe、 cqwd9m.exe、 dh29m.exe、 dh39m.exe、 dhwd9m.exe、 dj9m.exe、 jxsj9m.exe、jr9m.exe
同上 kx9m.exe、 mhxu9m.exe、 rxjh9m.exe、 tl9m.exe、 wd9m.exe、 wl9m.exe、 wmgj9m.exe、 xc9m.exe、 zt9m.exe、 zu9m.exe、 zx9m.exe、 zzh9m.exe
Magania.*系 aion9m.exe、 cqsj9m.exe dnf9m.exe hx29m.exe mhxu9m1.exe mu9m.exe qq3g9m1.exe qqhx9m.exe tx29m.exe
Trojan-GameThief.Win32.OnLineGames.bkzf qqma1.exe
Trojan.Win32.Pakes.nkm qqmo.exe
unknown threat UDS:DangerousObject.Multi.Generic qq3g9m.exe
(3)music 1/2 (tupac-*..htm;スルー)
Trojan.Win32.FraudPack.pet MusicTupac-*.exe
(4)www.mlwc 2/2
Backdoor.Win32.PcClient.asff 1199.exe、 mpg.scr
(5)その他 3/3
Trojan-GameThief.Win32.OnLineGames.bmiy \w9.7777ee.com\a9.exe
Trojan-PSW.Win32.Delf.dud \www.area03601.com\w.exe
Trojan-Downloader.Win32.VB.ovh www.vduz.cn\r8.exe
6)スルー iarc 0/2, total sec 0/2
780:名無しさん@お腹いっぱい。
09/07/03 20:35:41
>>778 ㌧ tane0427
カスペ2010
7/7でクローズ
Trojan-GameThief.Win32.Magania.bkfy bome1.exe
Exploit.SWF.Downloader.nn i115cws.swf、 i64cws.swf、 n115cws.swf、 n64cws.swf
Trojan program Exploit.Win32.Pidief.bcm shellcode1.pdf
Trojan.Win32.Agent2.kum trj1.exe
>>769 tane0425
>>770さん㌧
51/53、白2でクローズ(?)
781:名無しさん@お腹いっぱい。
09/07/03 20:35:59
>>778
McAfee (Active Protection 無効)5/7
未検出分(bome1,shellcode1)
>>778
McAfeeに提出させて頂きました。
782:名無しさん@お腹いっぱい。
09/07/03 20:36:11
>>778
Symantec、Panda、GDATA2010(=avast!&BitDefender)提出完了
Symantecから自動返答
filename: shellcode1.pdf
machine: Machine
result: See the developer notes
Aviraにも提出したけど全検出とのこと
25388375 bome1.exe 124.82 KB MALWARE
25388376 i115cws.swf 18.47 KB MALWARE
25388377 i64cws.swf 18.41 KB MALWARE
25388378 n115cws.swf 18.41 KB MALWARE
25388379 n64cws.swf 18.41 KB MALWARE
25387310 shellcode1.pdf 22.62 KB DAMAGED FILE (MALWARE)
25387183 trj1.exe 12 KB MALWARE
783:61
09/07/03 21:37:27
>>758,767
AVIRA返答。
divx680vfw.exe - FALSE POSITIVE
Detection will be removed from our virus definition file (VDF) with one of the next updates.
と言うことで、誤検出でした。
784:779
09/07/03 22:19:43
カスペからの返事
>>760(>>761,764) tane0423
11/12、白1で閉鎖
qq3g9m.exe - Trojan-GameThief.Win32.Magania.bkii (←HEUR:Trojan.Win32.Generic)
>>772 (>>779) tane0426
カスペ2010 41/48、白2
iarc.er-robotics.orgフォルダ
gbtext.dll,wingb.dll - No malicious code were found in these files.