09/07/05 14:40:11
>>47
GENO系スレにこそっと貼られてたのはそういう意味だったか。
Ilya Tols****inさん、次からは気をつけてねー (-ノ-)/Ωチーン
(プライバシー保護の為、アナリスト名にはマスクをかけてあります)
51:20
09/07/05 14:41:02
>>38
Kaspersky2009 2009/07/05 14:10:00
online.scr - Backdoor.Win32.PcClient.asik
online.zip - Backdoor.Win32.PcClient.asik
張佑赫.exe - Backdoor.Win32.PcClient.asik
黒3/3 なので、特に何もしません。
52:名無しさん@お腹いっぱい。
09/07/05 15:53:11
URLリンク(tane.sakuratan.com)
infected
リネージュ資料室の更新リストより。日替わりのscr。AntiVirは全検出。
LavasoftとVTで全検出しているベンダー以外は、NormanやZonerも含め、
Wikiのまとめにある各社全てに提出済みです。(カスペも出してますので再提出不要です)
53:名無しさん@お腹いっぱい。
09/07/05 16:02:54
URLリンク(tane.sakuratan.com)
infected
■検体入手元■
Malware Database 07/04のもの。FakeAVとFakeCodec。
LavasoftとVTで全検出しているベンダー以外は、NormanやZonerも含め、
Wikiのまとめにある各社全てに提出済みです。
(カスペはVTの結果で全検出だったので提出せず)
54:名無しさん@お腹いっぱい。
09/07/05 16:04:00
■>53の各社検出名■
AntiVirは1ファイルのみ検知
avyodu.cn/installer_70126.exe : TR/Dldr.FraudLoad.evw Trojan
Symantec返答
filename: avyodu.cn.htm
filename: avyciso.cn.htm
result: This file is detected as Trojan.Fakeavalert.
filename: installer_70126.exe
result: This file is detected as AntiVirus2008.
filename: streamviewer.40014.exe
filename: keygen.Stellar.Phoenix.File.Recovery..3.0.0.1.45088.exe
result: See the developer notes
まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
avyciso.cn.htm |current detection |generic fakealert!htm |Trojan |no
avyodu.cn.htm |current detection |generic fakealert!htm |Trojan |no
installer_70126.exe |current detection |fakealert-df |Trojan |no
keygen.stellar.phoen|inconclusive | | |no
streamviewer.40014.e|inconclusive | | |no
55:名無しさん@お腹いっぱい。
09/07/05 16:51:48
>>52
PandaGlobalProtection2010
Virus detected: Trj/CI.A
www.shaimokale.com\張佑赫.exe
www.shaimokale.com\online.zip[online.scr][Ae????.exe]
www.shaimokale.com\online.zip[online.scr]
www.shaimokale.com\online.sc
それ以外はSuspicious fileファイルとして全検出
※今までの検出報告形式だと見づらいと思ったので趣向変えました
56:名無しさん@お腹いっぱい。
09/07/05 16:54:35
>>53
PandaGlobalProtection2010
Suspicious file
greatexe.com\streamviewer.40014.exe
keygen.Stellar.Phoenix.File.Recovery..3.0.0.1.45088.exe
Virus detected: Trj/CI.A
avyodu.cn\installer_70126.exe
57:名無しさん@お腹いっぱい。
09/07/05 17:02:51
>>52
GDATAInternetSecurity2010(avast!+BitDefender)
Object: 1188.exe
Status: Virus detected
Virus: Win32:Adware-gen [Adw] (Engine B)
Object:www.muswou.com\play.scr
Status: Virus detected
Virus: Win32:Trojan-gen {Other} (Engine B)
Object: play.scr
Status: File moved to quarantine
Virus: Win32:Adware-gen [Adw], Win32:Trojan-gen {Other} (Engine B)
Object: (RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr=>(RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.zip
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
Object: 張佑赫.exe
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
58:名無しさん@お腹いっぱい。
09/07/05 17:04:56
>>53
GDATAInternetSecurity2010(avast!+BitDefender)
Object: avyodu.cn.htm
Status: File moved to quarantine
Virus: JS:FakeAV-AH [Trj] (Engine B)
Object: avyciso.cn.htm
Status: File moved to quarantine
Virus: JS:FakeAV-AH [Trj] (Engine B)
Object: installer_70126.exe
Status: File moved to quarantine
Virus: Gen:Trojan.Heur.8202FDA8D9 (Engine A)
59:名無しさん@お腹いっぱい。
09/07/05 17:09:47
>>52
NortonInternetSecurity2009
Trojan Horse:www.muswou.com\play.scr
60:名無しさん@お腹いっぱい。
09/07/05 17:13:33
>>53
NortonInternetSecurity2009
Trojan.Fakeavalert:avyciso.cn.htm、avyodu.cn.htm
AntiVirus2008:installer_70126.exe
61:名無しさん@お腹いっぱい。
09/07/05 18:31:45
カスペ 2010 9.0.0.451CF1ベータ 16:34
CF1テスト中のため、参加遅れた。orz
>>38 ㌧ tane0430
>>51の通り,3/3で閉鎖
>>49 ㌧ tane0431
1/2 、ただし、アナリスト返事で1+1=2/2 (>>44-48)
Trojan program Trojan-PSW.Win32.Kates.cohqhdr.gcm
>>52 ㌧tane0432
3/5 (www.muswou.com\1188.exe, play.scrスルー)
Backdoor.Win32.PcClient.asjr www.shaimokale.com\online.scr \online.zip \online.zip 張佑赫.exe
>>53 ㌧ tane 0433
5/5
Trojan-Downloader.HTML.FraudLoad.a avyodu.cn\avyciso.cn.htm、 avyodu.cn.htm
Trojan-Downloader.Win32.FraudLoad.evw avyodu.cn\installer_70126.exe
Trojan-Downloader.Win32.CodecPack.ila greatexe.com\keygen.Stellar.Phoenix.*45088.exe, streamviewer.40014.exe
代理提出の方㌧
62:名無しさん@お腹いっぱい。
09/07/05 21:08:13
>>34
前スレ705 tane0416 (711,753)
カスペ再提出
5+(1+1)=7/57、白1、残49(porn,scanallフォルダのPHPとjs)
free-tube-orgasm.biz\index.php - Trojan-Downloader.Win32.FraudLoad.ewf
New malicious software was found in this file.
websystemsec.info\websystemsec.info.htm - No malicious code was found in this file.
63:20
09/07/05 21:16:23
>>44-49
Kaspersky2009 2009/07/05 20:52:00で検出可能になっています。一応報告。
64:名無しさん@お腹いっぱい。
09/07/05 21:50:25
URLリンク(tane.sakuratan.com)
infected
■ 検体入手元 ■
Malware Database 7/5分より
p://spacefunk■cn/go■php?id=2012&key=b6a0fad62&p=1
p://fast-antimalware-scannerv2■com/1/?id=2012&query=09689f146&q=%3DzQx3zj3NkQNMI%3DN
p://fast-antimalware-scannerv2■com/download/Setup(ランダム)■exe
どうみても、落とすページは Fake AV なんですが、落ちてくるexeはVTでは検出なし。
何度やってもファイル名は違うものの同じバイナリが落ちてくるので配布元がミスっているのか、
新種なので検知しないのか、それともIP見て無害なのを流されたか(それはないか…)
Setup-a3b7f_02012.exe(0/41)
URLリンク(www.virustotal.com)
各社への提出はこれからやります。
65:名無しさん@お腹いっぱい。
09/07/05 22:03:01
>>53
Nortonは残りのファイルはDownloaderとして全検出完了
66:名無しさん@お腹いっぱい。
09/07/05 22:06:49
>>64
Norton2009、Panda2010、GDATA2010、Avira全部スルーでした
検体提出してくれるようなので私は何もしません
67:名無しさん@お腹いっぱい。
09/07/05 22:50:39
>>64
一応、各社に提出完了。配布準備中だったのか…exeは無害なんかねぇ?
F-Secure SAS の結果。
fast-antimalware-scannerv2.com.htmは投稿直後に疑惑ステータス。他はクリーン。
Norman
Setup-a3b7f_02012.exe : Not detected by Sandbox (Signature: NO_VIRUS)
Rising
2. Filename:Setup-a3b7f_02012.exe
No malware.
68:名無しさん@お腹いっぱい。
09/07/05 23:06:38
>>64
Nortonが早速一個検出してくれました
XPAntivirus:Setup-a3b7f_02012.exe
69:名無しさん@お腹いっぱい。
09/07/05 23:23:07
>>64 ㌧
カスペ2010 22:02
1/6 (DownloadのSetup-*a3f*.exeと、imgの4つの jsファイルはスルー)
Trojan-Downloader.JS.FraudLoad.a \fast-antimalware-scannerv2.com\fast-antimalware-scannerv2.com.htm
カスペからの返事
>>35 tane0421
前スレ742(746-747,753,756,764,768、本スレ>>36) (88.198.234.133)
80+10=90/91/96、 白5で本件クローズ
index-go.htm_ - Trojan-Downloader.JS.Agent.ehc,
new.exe_ - Trojan-Dropper.Win32.Agent.avfn
search.php - No malicious code was found in this file.
>>34 tane 0419
前スレ723 (727,739,741,753,764)
43+(5+1)=49/56 ,白6, 回答待ち1 yes.txt)
w ww.free-celeb-videos.net.htm - - Trojan-Downloader.HTML.Agent.pl
70:20
09/07/05 23:40:51
>>64,67 乙です。
一通り提出して頂いているようなので、exeだけ単独で送ってみました。
Setup-a3b7f_02012.exe - Trojan-Downloader.Win32.FraudLoad.ews
New malicious software was found in this file.
exe単独は返事早いですね。 ということで、実行ファイルは黒でした。
71:名無しさん@お腹いっぱい。
09/07/06 00:00:08
>>38
Norton全検出確認(詳細な検出報告できなくてごめんなさい)
72:名無しさん@お腹いっぱい。
09/07/06 00:03:41
>>52
NortonInternetSecurity2009
Backdoor.Formador:online.zip、online.scr
73:名無しさん@お腹いっぱい。
09/07/06 00:08:29
前スレ772
NortonInternetSecurity2009
Infostealer:w.exe
Trojan Horse:MusicTupac-*.exe
74:62
09/07/06 00:11:55
>>34
前スレ705 tane0416 (711,753, >>62)
カスペからの返事
5+(1+1)=7/57、白1+4=5、残45(pornフォルダの 45 PHP files)
scanallviruses.comフォルダ
flist.js_, jquery-init.js_, jquery.js_, scanallviruses.com.htm_
No malicious code were found in these files.
75:名無しさん@お腹いっぱい。
09/07/06 02:45:19
>>44
URLリンク(www.filefactory.com)
たぶん、これも亜種
76:名無しさん@お腹いっぱい。
09/07/06 03:04:42
>>75
VirusTotal(22/40)
URLリンク(www.virustotal.com)
77:名無しさん@お腹いっぱい。
09/07/06 03:26:45
Kaspersky・・・
avast!(笑)
78:20
09/07/06 07:01:36
>>75-77
それは本当のKeygenかもしれんので、要注意。(単なるトロイではなく、Keygen+トロイという可能性)
※ Symantecの所が Hacktool になっているのが危ない。パスワード破りのツール等に分類されると、
Symantecがこういう検出名を付けることが多い。
今から出張でしばらく不在のため確認できないので、一応注意喚起します。
提出する人はご注意下さい。(特にavastに出す人)
79:名無しさん@お腹いっぱい。
09/07/06 08:16:18
COMODO Internet Security 1551
>>38
3/3
>>49
1/2
>>52
3/5
>>53
2/5
>>64
1/6
Setup-a3b7f_02012.exeのみ検出
>>75
VirusTotalでは反映されてませんが検出します
Heur.Packed.Unknown
未検出分を提出しました。
80:1
09/07/06 14:18:18
>>3とスレタイ通り
keygenの類を際限なくチェックしていると、ダウン板住民の格好のおとりになる危険がある。
割れ厨がアップローダに無責任にファイルをあげて、自らの手を汚さず、セキュ板住人に安全性をチェックさせていく構図が生まれる。
nyや洒落で流れている写真屋のキージェネのexeなんて、いくらでもあるぞ。
割れ厨を救済する義理も全くないし、厄介事にもかかわりたくないんだが。
うpする人も信頼できる人に特定した方がいいのかな。
81:名無しさん@お腹いっぱい。
09/07/06 14:19:45
>>76
そのスキャン結果は5月1日のものだけど
今日の結果ではどうなの?
2ヶ月前の結果出されても参考にならないよ
82:名無しさん@お腹いっぱい。
09/07/06 14:40:44
76ではないが・・・
VirusTotal(25/41)
URLリンク(www.virustotal.com)
83:名無しさん@お腹いっぱい。
09/07/06 14:48:16
>>80
提出するしないは各個人の自由かつ自己責任でいいと思う。
>>76
カスペには一応提出
でも、今後は見合わせる予定。
84:82
09/07/06 14:48:43
間違えた(汗
VirusTotal(19/41)
URLリンク(www.virustotal.com)
85:名無しさん@お腹いっぱい。
09/07/06 14:54:38
>>75
それは本当のavast!(笑)Keygenだな。
86:名無しさん@お腹いっぱい。
09/07/06 15:00:32
検出数とMD5を比較すると
>>76 22/40 (55.00%) 3e492441557ae98f27f01df4042625a7
>>84 19/41 (46.35%) 3e492441557ae98f27f01df4042625a7
同じファイルの結果だけど2ヵ月後には
a-squared、BitDefender、F-Secure、GData、Normanが白判定に変わって
ClamAV、eSafeが黒判定に変わってるね
Ikarusは白判定で検出のまま変わらず
検出してるところは誤検出の可能性がありそうだね
87:名無しさん@お腹いっぱい。
09/07/06 17:54:55
URLリンク(enif.mmobbs.com) から来ました。
Value DomainのWebサイト改竄で外部から仕込まれるJavaScript
URLリンク(tane.sakuratan.com)
infected
VirusTotal(6/41)
URLリンク(www.virustotal.com)
88:名無しさん@お腹いっぱい。
09/07/06 18:00:35
>>87
Panda、GDATA2010(=avast!&BitDefender)へ提出完了
89:名無しさん@お腹いっぱい。
09/07/06 18:30:44
>>87
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
go.jpg |inconclusive | | |no
90:名無しさん@お腹いっぱい。
09/07/06 18:58:17
>>75
カスペからの返事
a.exe (=keygen.exe) 改名して提出した結果
No malicious code was found in this file
.
>>47がTrojan.Win32."Agent" なので、白黒何も言えない。
>>87㌧
VT通り、スルー 0/1
提出します。
91:名無しさん@お腹いっぱい。
09/07/07 07:22:28
URLリンク(tane.sakuratan.com)
virus
jsとhtmはmsvidctl.dllの脆弱性のスクリプト。
URLリンク(www.microsoft.com)
exeはオマケみたいなもん。
92:名無しさん@お腹いっぱい。
09/07/07 08:57:33
>>91
Syamantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
exeはおまけといってるものの一応Symantecから自動返答
filename: trj1_1.exe
machine: Machine
result: See the developer notes
filename: trj1.exe
machine: Machine
result: See the developer notes
93:名無しさん@お腹いっぱい。
09/07/07 09:33:17
>>91
AviraPremiumSecuritySuite
msvideo1.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo1.js [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo2.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo2.js [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
nspk1.exe [DETECTION] Is the TR/Crypt.NSPM.Gen Trojan
trj1.exe
[0] Archive type: RSRC
[DETECTION] Is the TR/Spy.Gen Trojan
trj1_1.exe
[0] Archive type: RSRC
[DETECTION] Is the TR/Spy.Gen Trojan
94:名無しさん@お腹いっぱい。
09/07/07 09:37:30
>>91
NortonInternetSecurity2009
Downloader.Fostrem:msvideo1.htm、msvideo1.js、msvideo2.htm、msvideo2.js
Hacktool:nspk1.exe
95:名無しさん@お腹いっぱい。
09/07/07 09:40:05
>>91
PandaGlobalProtection2010
Virus detected: Trj/CI.A:nspk1.exe
Suspicious file:trj1.exe
96:名無しさん@お腹いっぱい。
09/07/07 09:42:36
>>91
GDATAInternetSecurity2010
nspk1.exe
Virus: Trojan.Dropper.RHC (Engine A)
※avast!側でも検出可能
97:90
09/07/07 11:03:40
カスペ2010 10:35
>>91㌧ tane0436
3/7 検体提出します。
Trojan program Exploit.JS.DirektShow.b tane0436\msvideo1.js
Trojan program Exploit.JS.DirektShow.b tane0436\msvideo2.js
not-a-virus:NetTool.Win32.ZXProxy.h tane0436\nspk1.exe
>>87 tane0435(>>90)
0+事後検知1/1で閉鎖
Trojan program Exploit.JS.DirektShow.b tane0435\go.jp (検知)
98:名無しさん@お腹いっぱい。
09/07/07 11:56:43
>>91
マイクロソフト、Video ActiveXコントロールの脆弱性について警告
URLリンク(japan.cnet.com)
『IE』に対する新たなゼロデイ攻撃
URLリンク(japan.internet.com)
ゼロデイか。
パッチ未提供で、コードが出回っているって。orz
当面は、アドバイザリにしたがい、回避策を実行するしかないのかな。
MSの言い方では、7月の月例パッチには間に合わないように聞こえる。orz
99:名無しさん@お腹いっぱい。
09/07/07 12:06:34
URLリンク(tane.sakuratan.com)
pass:virus
今朝、スキャンしたら検出しますた。
使用:あばすとー!
100:名無しさん@お腹いっぱい。
09/07/07 12:32:58
>>98
5月のquartz.dllのQuickTime呼び出しの件
URLリンク(www.microsoft.com)
すら未パッチだしねぇ。
101:名無しさん@お腹いっぱい。
09/07/07 12:52:15
>>99
一応SymantecとPandaとGDATA2010(今回はBitDefenderのみ)に提出しといた
102:名無しさん@お腹いっぱい。
09/07/07 13:59:13
>>91
AntiVir9 全検出
msvideo1.htm : HTML/Shellcode.Gen HTML script virus
msvideo1.js : HTML/Shellcode.Gen HTML script virus
msvideo2.htm : HTML/Shellcode.Gen HTML script virus
msvideo2.js : HTML/Shellcode.Gen HTML script virus
nspk1.exe : TR/Crypt.NSPM.Gen Trojan
trj1.exe : TR/Spy.Gen Trojan
trj1_1.exe : TR/Spy.Gen Trojan
103:名無しさん@お腹いっぱい。
09/07/07 14:01:03
URLリンク(tane.sakuratan.com)
infected
MalwareDatabase 7/6分より
104:名無しさん@お腹いっぱい。
09/07/07 14:02:59
>>103
AntiVirとAntiyLabsにはftp経由で提出済み。
AntiVir検出結果
bot.anhheo.com/IEupdate.exe : -
cutaiamortgagegroup.cn/load.exe : DR/Delphi.Gen dropper
down.ddosor.cn/1.exe : -
down.ddosor.cn/2.exe : TR/Crypt.FKM.Gen Trojan
down.ddosor.cn/6.exe : TR/Crypt.XPACK.Gen Trojan
down.ddosor.cn/9.exe : TR/Crypt.ULPM.Gen Trojan
download.live-player.com/Live-Player_setup.exe : ADSPY/LivePlayer.A.44 adware or spyware
free-ipodtouch.com/technigo.exe : TR/Dropper.Gen Trojan
inb4sk.com/file.exe : TR/Crypt.XPACK.Gen2 Trojan
msnweb.dyns.net/express.exe : TR/Dropper.Gen Trojan
msnweb.dyns.net/IMG511975310_134453_9198-JPG.EXE : DR/Agent.vad dropper
s10248s0s.tzsx226.2666.com.cn/026.exe : TR/Crypt.FKM.Gen Trojan
tube-best-4free.com/TubeViewer.ver.6.40000.exe : -
tube-best-4free.com/xplay.php : -
www.alfafoxx.com/mbt.exe : TR/Crypt.ZPACK.Gen Trojan
www.hkzj520.com/ok.exe : TR/Dropper.Gen Trojan
xpdeluxeprotector.com/109.exe : TR/Crypt.ZPACK.Gen Trojan
xpdeluxeprotector.com/113.exe : TR/Spy.45059 Trojan
xpdeluxeprotector.com/116.exe : -
zuka.dsl.ge/wetin.exe : DR/Delphi.Gen dropper
105:名無しさん@お腹いっぱい。
09/07/07 14:06:29
>>103
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
106:97
09/07/07 14:36:21
カスペからの返事
>>91(>>97) tane0436
3+2=5, 残2(troj1.exe, troj1_1.exe)
msvideo1.htm_, msvideo2.htm_ - Exploit.JS.DirektShow.c
New malicious software was found in these files.
107:名無しさん@お腹いっぱい。
09/07/07 15:03:02
カスペ2010 13:59:00
>>103 ㌧
tane0438
11/20
Trojan-Dropper.Win32.Wlord.gen \cutai*\load.exe (1/1)
Trojan.Win32.Multis.hl \down.ddosor.cn\2.exe '(2/4, - 1.exe, 6.exe スルー)
Trojan.Win32.AntiAV.bwg \down.ddosor.cn\9.exe
Trojan-Spy.Win32.TDSS.bk \inb4sk.com\file.exe (1/1)
Trojan.Win32.Agent.cnrq \msnweb.*\express.exe (2/2)
Trojan.Win32.Agent.cnrq \msnweb.*\IMG511975310*JPG.EXE
Backdoor.Win32.Delf.puh \s10248s0s*\026.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.exe \tube-best*\TubeViewer.ver.6.40000.exe (1/2, - xplay.phpスルー)
Packed.Win32.Klone.bh \www.hkzj520.com\ok.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.ewe \xpdeluxeprotector.com\113.exe (1/3, - 109.exe, 116.exe スルー))
Detected virus Net-Worm.Win32.Kolab.cnx \zuka.dsl.ge\wetin.exe (1/1)
スルー
bot*\IEupdate.exe, download*\ive-Player-Setup.exe, free-ipod\technigo.exe, wwwalfa*\mbt.exe
108:名無しさん@お腹いっぱい。
09/07/07 15:38:52
>>91 >>99 >>103
NormanとZoner以外はマイナー所も含め、一通り提出完了。(一部重複提出になってます。ベンダーさんごめんなさい)
109:107
09/07/07 18:16:24
カスペからの返事
>>103 tane0438 (>>107)
11+事後2=13/20 、白1、破損1、残5
xpdeluxeprotector.com\116.exe - Trojan-Downloader.Win32.FraudLoad.exm (返答→KDN検知)
bot.anhheo.com\IEupdate.exe - Trojan.Win32.Autoit.zs (検知)
free-ipodtouch.com\technigo.exe - This file is corrupted. (破損)
download.live-player.com\Live-Player_setup.exe - No malicious software (白)
>>52 (>>61) tane0432
tane0432\www.muswou.com\1188.exe, play.scr が未回答&未検知なのが気になる。
110:20
09/07/07 18:48:12
>>90
出張先のため検出可否判断はできないので、関係したこの件についてのコメントだけ...
>44-48のものと>75-77のものは、VTの結果を見ての通り、全くの別物です。
>75にある“亜種”というコメントが間違いです。(各ベンダーの検出時の種類が、ほとんど一致していない)
ですので、>75については、そのまま放置で可だと思います。(Anubisにも投げてみましたが、あまり変な挙動は無い)
# 多分>85が正解。
あと、DirectShow関連のゼロデイ攻撃、一気に増えそうな感じ...皆様乙です。しばらく手伝えませんが、頑張って下さい。
111:名無しさん@お腹いっぱい。
09/07/07 18:49:56
COMODO Internet Security 1573
>>87
スルー
>>91
nspk1.exe:Heur.Pck.NsPack
trj1.exe:Heur.Suspicious@25876964
2/7
>>99
スルー
>>103
down.ddosor.cn\9.exe:TrojWare.Win32.Trojan.Agent.Gen@23093763
inb4sk.com\file.exe:TrojWare.Win32.TrojanSpy.TDSS.~B@25841645
msnweb.dyns.net\express.exe:UnclassifiedMalware@25394088
tube-best-4free.com\TubeViewer.ver.6.40000.exe:Heur.Packed.Unknown
xpdeluxeprotector.com\113.exe:TrojWare.Win32.TrojanDownloader.FraudLoad.~AQZ@25841644
zuka.dsl.ge\wetin.exe:TrojWare.Win32.Trojan.Agent.Gen@19880492
6/20
未検出分を提出しました
112:107
09/07/07 22:20:58
カスペからの返事
>>103 tane0438 (>>107,109)
11+事後3=14/20 、白1、破損1、残4
www.alfafoxx.com\mbt.exe - Trojan-Downloader.Win32.Agent.chua
New malicious software was found in the attached file.
113:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:01:44
今晩、アプロダメンテへとはいりますね
みなさんよろしく
114:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:02:51
ついでに「某」抜かしました
午前0時にかけてメンテはいります
115:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:25:03
アプロダメンテ完了
変更点
・ストレージを2GB
・再投稿秒数60秒
・ファイル保持数を5000
以上
116:名無しさん@お腹いっぱい。
09/07/08 03:33:36
あぷろだメンテお疲れ様です。早速利用してみました。
URLリンク(tane.sakuratan.com)
infected
■検体入手元
MalwareDatabase 7/6分より
p://m10b■com/in■cgi?2¶meter=
Redirect to
p://www■specialsuggestion■com/rl_keycmp■php?ct=46LU7&key=
Redirect to
p://m11b■org/in■cgi?2¶meter=
Redirect to
p://fast-filedownload■com/l/6c524f9d7bv7bp6en
Redirect to
p://ez-scanner-online■com/5/11/0/wsetup■exe
117:名無しさん@お腹いっぱい。
09/07/08 03:40:02
>>116
各社一通り提出済み。今回は珍しく、exeの検出率が悪いです。
片方のhtmlは比較的多目のベンダーが引っ掛けますが、exeと6c524f9d7bv7bp6en.htm以外は白判定かも。
AntiVir
6c524f9d7bv7bp6en.htm : HTML/FakeAlert.njh HTML script virus
他スルー
まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
6c524f9d7bv7bp6en.ht|current detection |generic fakealert!htm |Trojan |no
cse.htm |inconclusive | | |no
search.php |inconclusive | | |no
wsetup.exe |inconclusive | | |no
のーとん
filename: 6c524f9d7bv7bp6en.htm
result: This file is detected as Trojan.Fakeavalert.
(他は手動解析)
F-Secure SAS
6c524f9d7bv7bp6en.htm : Trojan-Downloader.HTML.FraudLoad.a
wsetup.exe : Trojan-Downloader.Win32.FraudLoad.exl
他2つは白判定/提出直後はexeが白判定だったけど、暫くしたら黒に変化。
118:名無しさん@お腹いっぱい。
09/07/08 13:05:25
IE Zero-Day attackがらみなんだが
URLリンク(ilion.blog47.fc2.com)
でレポされてるhellh.netにあるトロイ本体(f.gifと t.gif.gif)
の検出可否の報告がまだみたい(fk.pdfとgo.jpgは既出)なんだけど、
だれか可能な方いますか?
当方でURL踏んでも鯖が404返して検体が手に入らない・・・
119:91
09/07/08 13:16:23
>>118
>>91 のオマケのexeがt.gif.gif(を解凍したもの)です。
f.gifは入れ忘れたのでちょっとお待ちを。
120:名無しさん@お腹いっぱい。
09/07/08 13:26:21
URLリンク(tane.sakuratan.com)
virus
swfも入れときました(9.0.115用。それより古いFlashPlayerはシラネ)。
121:名無しさん@お腹いっぱい。
09/07/08 13:43:40
>>113-115 あっぷろーだ管理人さん 乙です。
カスペ2010 11:49:00
>>116 ㌧ tane0439
2/4 (m10b\cse.htm m11b.org\search.php スルー)
Trojan-Downloader.Win32.FraudLoad.exl ez-scanner-online.com\wsetup.exe
Trojan-Downloader.HTML.FraudLoad.a fast-filedownload.com\6c524f9d7bv7bp6en.htm
>>120 ㌧ tane0440
1/3 (i115,swf, n115.swf スルー)
virus Worm.Win32.AutoRun.gfq \tane0440\nspk2.exe
提出します。
122:121
09/07/08 13:53:28
カスペ2010 12:58:00
>>120 (>>121) tane0440
1+事後検知2=3/3でクローズ
Trojan program Exploit.SWF.Downloader.nt tane0440\i115.swf (検知)
Trojan program Exploit.SWF.Downloader.nu tane0440\n115.swf (検知)
123:名無しさん@お腹いっぱい。
09/07/08 14:01:06
はえーよw
124:名無しさん@お腹いっぱい。
09/07/08 14:49:22
>>120
Pandaへ提出完了(Symantecとavast!、BitDefenderは全検出なので何もせず)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
125:名無しさん@お腹いっぱい。
09/07/08 15:33:06
>>124の結果から、FlashPlayer関係を3件全部検出してるのは以下の19製品
a-squared, AhnLab-V3, AntiVir, Authentiumm, Avast, AVG, BitDefender, CAT-QuickHeal,
DrWeb, GData, Ikarus, Kaspersky, McAfee-GW-Edition, Microsoft, Norman, PCTools,
Rising, Sophos, Symantec
126:名無しさん@お腹いっぱい。
09/07/08 15:43:02
カスペからの返事
>>103(>>107,109,112) tane0438
11+事後4=15/20、白1、破損1,残3 (1.exe、6.exe、xplay.php)
xpdeluxeprotector.com\109.exe_ - not-a-virus:FraudTool.Win32.Agent.tc
New potentially risk software was found in this file.
>>123
誰か先に提出してくれていた分だと思う。㌧。
127:名無しさん@お腹いっぱい。
09/07/08 18:01:20
>>120
McAfee3/3
XP dat5669
i115.swf Exploit-CVE2007-0071
n115.swf Exploit-CVE2007-0071
nspk2.exe New Malware.u
virustotalと実機で結果が違うorz
128:名無しさん@お腹いっぱい。
09/07/08 18:31:43
>>127
extra.dat扱いなんじゃね?
129:名無しさん@お腹いっぱい。
09/07/08 18:45:56
カスペからの返事
>>52(>>61) tane0432
3+事後検出2=5/5でクローズ
1188.exe_, play.scr_ - Trojan-Dropper.Win32.Small.dog
New malicious software was found in these files.
>>116(>>121) tane0439
2/4、白2でクローズ
m10b.com\cse.htm_,
m11b.org\search.php
No malicious code were found in these files.
>>64(>>69,70) tane0434
1+1(>>70)=2/6、白1 残3 (*.jsファイル、ちなみにVT再解析しても0/41、白か?)
listfile.js_ - No malicious code was found in this file.
130:名無しさん@お腹いっぱい。
09/07/08 20:24:00
カスペ2010 19:27
>>103(>>107,109,112,126) tane0438
11+事後6=17/20、白1、破損1,残1 (xplay.php)
Trojan-Downloader.Win32.VB.ozn \down.ddosor.cn\1.exe (検知)
Trojan-Downloader.Win32.Agent.chxq \down.ddosor.cn\6.exe (返答)
(参考)
>>91,98,110
●MS、Windows XP/Server 2003のIEに対するゼロデイ攻撃への対策ツールを公開 (インプレス)
すでに広範囲で攻撃が確認されており、早急な対策が必要
URLリンク(www.forest.impress.co.jp)
URLリンク(internet.watch.impress.co.jp)
※中国を中心に最大1000程度のサイトが既にこのスクリプトに感染しており、さらに増加傾向。日本のサイトも被害に。
131:名無しさん@お腹いっぱい。
09/07/09 00:52:24
URLリンク(tane.sakuratan.com)
virus
132:名無しさん@お腹いっぱい。
09/07/09 01:00:15
>>131さん乙
Symantecとa-squaredとMalwarebytesに提出しました
NIS2009で1/7
133:名無しさん@お腹いっぱい。
09/07/09 06:30:38
>>132
McAfee (Active Protection 無効)0/7
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
1_1.exe |inconclusive | | |no
2.exe |inconclusive | | |no
2_1.exe |inconclusive | | |no
2_2.exe |inconclusive | | |no
dldr1.exe |inconclusive | | |no
trj1.exe |inconclusive | | |no
134:20
09/07/09 12:20:01
>>131
1.exe
URLリンク(www.virustotal.com) (16/41)
1_1.exe
URLリンク(www.virustotal.com) (4/41)
2.exe
URLリンク(www.virustotal.com) (15/41)
2_1.exe
URLリンク(www.virustotal.com) (9/40)
2_2.exe
URLリンク(www.virustotal.com) (7/41)
dldr1.exe
URLリンク(www.virustotal.com) (18/41)
trj1.exe
URLリンク(www.virustotal.com) (20/41)
VTでAVIRAが未検出の1_1.exeと2_2.exeは、AVIRAに提出しました。
Kasperskyは提出できる状況ではないので、他の人にお任せ。m(_ _)m
135:名無しさん@お腹いっぱい。
09/07/09 13:44:47
URLリンク(tane.sakuratan.com)
infected
MalwareDatabase 7/8分より
各社一通り提出済み(Norman,Zonerを除く)。今回もexeの検出率が悪いです。
[Detection possible other software]
1856317799/fk.pdf : HTML/Shellcode.Gen HTML script virus(AntiVir)
1856317799/jp.js : JS/Agent.HQ(F-Prot) , Trojan.Malscript!html(Symantec) , JS.EX-ActiveX.1096(ViRobot)
advanedspywarescan.com/Setup-d2f1c46_02022.exe : Trojan:Win32/FakeXPA(Microsoft)
exe-site.com/streamviewer.40069.exe : Trojan-Downloader.Win32.FraudLoad.exw(Kaspersky)
exe-site.com/xplays.php : - Not Detected - (Call streamviewer.40069.exe)
136:名無しさん@お腹いっぱい。
09/07/09 14:09:52
>>120
>>131
いずれも、各社一通り提出完了(Norman,Zonerを除く)。
137:名無しさん@お腹いっぱい。
09/07/09 14:59:17
URLリンク(tane.sakuratan.com)
virus
アメリカの複数のゲーマー向けサイトの広告に入っていたらしい
WoWの中国製パス抜きトロイ
138:名無しさん@お腹いっぱい。
09/07/09 16:51:37
>>135
Rising返答
1. Filename:streamviewer.40069.exe
Virusname:Trojan.Clicker.Win32.Agent.eos
2. Filename:xplays.php
3. Filename:fk.pdf
4. Filename:jp.js
5. Filename:Setup-d2f1c46_02022.exe
No malware.
まぁ、Risingだし・・・・・・・・・・・がんばれ。
139:名無しさん@お腹いっぱい。
09/07/09 16:53:36
ノートン自動返答
>>120
filename: n115.swf
filename: i115.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: nspk2.exe
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
>>131
filename: trj1.exe
result: This file is detected as Trojan.Dropper. URLリンク(www.symantec.com)
filename: 2_1.exe
filename: 2.exe
filename: 1_1.exe
filename: 1.exe
filename: dldr1.exe
filename: 2_2.exe
result: See the developer notes <手動解析へ>
140:名無しさん@お腹いっぱい。
09/07/09 16:55:55
まかふぃー自動返答
>>135
File Name Findings Detection Type Extra
--------------------|-----------------|------------------|------|-----
fk.pdf |inconclusive | | |no
jp.js |inconclusive | | |no
setup-d2f1c46_02022.|current detection|fakealert-di |Trojan|no
streamviewer.40069.e|inconclusive | | |no
xplays.php |inconclusive | | |no
>>120 >>131
File Name Findings Detection Type Extra
--------------------|-----------------|------------------|------|-----
1.exe |inconclusive | | |no
1_1.exe |inconclusive | | |no
2.exe |new detection |generic pws.y!dw |Trojan|yes
2_1.exe |inconclusive | | |no
2_2.exe |inconclusive | | |no
dldr1.exe |inconclusive | | |no
i115.swf |inconclusive | | |no
n115.swf |inconclusive | | |no
nspk2.exe |inconclusive | | |no
trj1.exe |new detection |generic dropper!do|Trojan|yes
141:名無しさん@お腹いっぱい。
09/07/09 17:44:22
カスペ2010 16:17
>>131㌧ tane0441 (>>134VT通り)
3/7
Trojan-Dropper.Win32.Small.dnd \2_2.exe
virus Worm.Win32.AutoRun.gfw \trj1.exe
Trojan program Trojan-GameThief.Win32.Lmir.cha (HEUR:Trojan.Win32.Beep_sys.silent) \dldr1.exe
>>135 ㌧ tane0442
2/5
Trojan-Downloader.Win32.FraudLoad.exw \exe-site.com\streamviewer.40069.exe
Exploit.Win32.Pidief.bcx \1856317799\fk.pdf
>>137 ㌧ tane0443
1/2, (wow1_1.exe スルー)
virus HEUR:Trojan.Win32.Generic tane0443\wow1.exe
検体提出します。
142:名無しさん@お腹いっぱい。
09/07/09 18:07:13
URLリンク(tane.sakuratan.com)
virus
143:20
09/07/09 18:19:02
AVIRA返答(VTで未検出だったものを提出した結果)
>>134
1_1.exe - TR/BHO.uds
2_2.exe - TR/Drop.Small.dnd.6
>>135
Setup-d2f1c46_02022.exe - MALWARE(genで検出できるようにすると記載)
streamviewer.40069.exe - TR/Dldr.Agent.xwb
>>137
wow1_1.exe - CLEAN (白)
あと、>135のxplays.phpjは、中身が</BODY></HTML>だけの14バイトのファイルなので、
黒判定するベンダーは出ないと思われます。
jp.jsも、中身を見ると黒判定するかどうか、かなり微妙。
144:名無しさん@お腹いっぱい。
09/07/09 18:52:56
>>137
AntiVir wow1_1.exe のみスルー
>>142
AntiVir 全検出
両検体、各社(NormanとZonerを除く)に提出完了。
>>143
>135のxplays.phpjは<略>
うわ、またやっちまった。orz
指摘サンクス&各ベンダー担当者さんごめんなさい…(ここで言っても仕方ないけど)
145:名無しさん@お腹いっぱい。
09/07/09 18:53:24
>>133
>>132を>>131に訂正orz
>>142
McAfee (Active Protection 無効)0/5
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dldr1.exe |inconclusive | | |no
trj1.exe |new detection |generic pws.y!dw |Trojan |yes
trj1_1.exe |inconclusive | | |no
trj2.exe |inconclusive |new malware-e |Virus |no
trj2_1.exe |inconclusive |new malware-e |Virus |no
146:名無しさん@お腹いっぱい。
09/07/09 18:54:50
>>137 >>142 まとめて提出したので
まかふぃー自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dldr1.exe |inconclusive | | |no
trj1.exe |new detection |generic pws.y!dw |Trojan |yes
trj1_1.exe |inconclusive | | |no
trj2.exe |inconclusive |new malware-e |Virus |no
trj2_1.exe |inconclusive |new malware-e |Virus |no
wow1.exe |current detection |generic.dx!us |Trojan |no
wow1_1.exe |inconclusive | | |no
147:名無しさん@お腹いっぱい。
09/07/09 18:56:00
被ったけど、検出漏れがあるよりいいよねってことで気にせず…
>>137 >>142
Rising返答。珍しく全検出。
1. Filename:dldr1.exe
Virusname:Backdoor.Win32.Undef.edl
2. Filename:trj1_1.exe
Virusname:Trojan.PSW.Win32.GameOLx.di
3. Filename:trj2.exe
4. Filename:trj2_1.exe
Virusname:Trojan.PSW.Win32.GameOnline.dxv
5. Filename:wow1_1.exe
6. Filename:wow1.exe
Virusname:Trojan.PSW.Win32.OnlineGame.zkc
7. Filename:trj1.exe
Virusname:Trojan.PSW.Win32.OnlineGame.zjz
148:名無しさん@お腹いっぱい。
09/07/09 19:14:33
検出可否確認せずにベンダーへ送るのやめようよ
Risingはただでさえ解析が遅いのに・・・
149:名無しさん@お腹いっぱい。
09/07/09 20:33:25
>>148
それが可能な時はやってます。
現在、私が提出してるのはこれだけ(↓)あります。
メールで43社、Webフォームから14社(うち2社は省略すること多し)、FTPから2社。
このそれぞれに対して、検出可否を確認した上で提出検体を振り分けて、未検出分のみにしろというのは
現実的ではありません。検出するものであれば、今回のように、機械的に返答して終わりなのですから
(同一検体が複数回届くのに比べたら)そんなに労力の増加には繋がらないはずです。
提出されないよりは、重複したり既知のものであっても送った方が良いという方針で処理しています。
(時間のない時はごめんなさいで、スレチェックせずにそのまま送ってますが)、可能な範囲で、提出報告の
あったものについては重複しないように提出先から省いています。
>>148のようにお考えでしたら、ご自身で検出可否をチェックされた上で、ベンダーに提出し、提出したことを
ここに報告してください。そうしたら、そのベンダーへの提出をこちらではスルーできます。
150:名無しさん@お腹いっぱい。
09/07/09 20:34:36
カスペからの返事
>>131(>>141) tane0441
3+1=4/7、残3
2.exe - Trojan-GameThief.Win32.WOW.ijz
>>135 (>>141) tane0442
2+1=3/5、残2
Setup-d2f1c46_02022.exe_ - Trojan-Downloader.Win32.FraudLoad.eyb
New malicious software was found in this file.
カスペ2010 18:29:00
>>142 ㌧ tane0444
1/5
Trojan-GameThief.Win32.OnLineGames.bmko tane0444\trj2.exe
検体提出します。
151:名無しさん@お腹いっぱい。
09/07/09 20:49:31
>>150
> >>142 ㌧ tane0444
> 検体提出します。
>144でカスペにも提出完了してます…けど、パターン更新してもうちへの返答は結構後回しにされること多いので
返答欲しいなら別途提出するのは正解かもしれない。
152:名無しさん@お腹いっぱい。
09/07/09 22:06:28
カスペからの返事
>>131 (>>141) tane0441
3/7、白1, 残3
1.exe - No malicious code was found in this file.
>>137 (>>141) tane0443
1/2、残1 (wow1_1.exe)
wow1.exe_ - Trojan-GameThief.Win32.WOW.ijy (←HEUR:Trojan.Win32.Generic)
>>142(>>150) tane0444
1+事後=3=4/5 (残 dldr1.exe)
trj1.exe - Trojan-GameThief.Win32.WOW.ijz
trj1_1.exe - Trojan-PSW.Win32.Agent.nja
trj2_1.exe - Trojan-PSW.Win32.QQPass.kej
>>151
んー、検査している順番がわからない。
返事を返さないアナリストもいるらしい。
救急搬送トリアージ的な発想で、常連は後回しにされてそう。(また、こいつか?みたいな)
153:名無しさん@お腹いっぱい。
09/07/09 23:00:38
>>137 >>143
カスペ返答(>152 残件も返答あり)
137 (2/2)
143 (5/5) でクローズ
dldr1.exe_ - Trojan-Downloader.Win32.Tiny.cew,
trj1.exe_ - Trojan-GameThief.Win32.WOW.ijz,
trj1_1.exe_ - Trojan-PSW.Win32.Agent.nja,
trj2_1.exe_ - Trojan-PSW.Win32.QQPass.kej,
wow1.exe_, wow1_1.exe_ - Trojan-GameThief.Win32.WOW.ijy
New malicious software was found.
trj2.exe_ - Trojan-GameThief.Win32.OnLineGames.bmko
This file is already detected.
154:名無しさん@お腹いっぱい。
09/07/09 23:40:55
URLリンク(tane.sakuratan.com)
infected
○ 検体入手元 ○
FakeAV MalwareDatabase 7/9分より
p://securedvirusscan■com/download/Setup-4e45_02022■exe
○ VirusTotal ○
Setup-4e45_02022■exe (0/41)
URLリンク(www.virustotal.com)
各社一通り提出完了。
155:名無しさん@お腹いっぱい。
09/07/09 23:48:27
カスペからの返事
>>135 tane0442
2+2=4/5、白1でクローズ
jp.js_ - Trojan-Downloader.JS.Iframe.bjt
xplays.php - 白
>>153 ㌧
>>142 5/5 クローズ tane0444に訂正
156:名無しさん@お腹いっぱい。
09/07/10 00:54:57
>>154
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup-4e45_02022.exe|inconclusive | | |no
157:名無しさん@お腹いっぱい。
09/07/10 09:54:32
URLリンク(tane.sakuratan.com)
virus
158:名無しさん@お腹いっぱい。
09/07/10 10:10:05
>>157
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
159:名無しさん@お腹いっぱい。
09/07/10 13:20:48
カスペ2010 12:27
>>157 ㌧ tane0446
>>3/6 (HEUR2) HEUR含め検体提出します。
virus HEUR:Exploit.Script.Generic msvideo2_1.js
virus HEUR:Exploit.Script.Generic msvideo2_2.js
not-a-virus:NetTool.Win32.ZXProxy.gn pcker1.exe
>>154 ㌧ tane0445
0/1のまま
こちらからも再提出
160:名無しさん@お腹いっぱい。
09/07/10 13:36:14
>>157
McAfee (Active Protection 無効)1/6
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
aspk1dldr.exe |current detection |generic.dx |Trojan |no
msvideo2_1.js |inconclusive | | |no
msvideo2_2.js |inconclusive | | |no
pcker1.exe |new detection |generic backdoor!ef |Trojan |yes
trj2.exe |inconclusive | | |no
trj2_1.exe |inconclusive | | |no
161:名無しさん@お腹いっぱい。
09/07/10 15:01:52
>>157 (>>159) tane0446
3+1=4/6 ,白1, 残1 (trj2_1.exe)
Trojan.JS.Agent.ajl - msvideo2_1.js、 msvideo2_2.js (←virus HEUR:Exploit.Script.Generic)
trj2.exe_ - Trojan.Win32.Agent2.kwa
aspk1dldr.exe - No malicious code was found in this file.
>>91(>>97,106) tane0436
3+事後検出4=7/7でクローズ
trj1.exe_ - Trojan-Dropper.Win32.Agent.avpr
trj1_1.exe_ - Trojan.Win32.BHO.vng
162:名無しさん@お腹いっぱい。
09/07/10 15:14:54
URLリンク(tane.sakuratan.com)
infected
検体入手元
MalwareDatabase 7/9分より
URLリンク(go-go-tube)<)■com/onlinemovies■[40000-40100]■exe
p://youtube-adult■name/
p://upload■octopus-multimedia■be/1/pdrv■exe
p://upload■octopus-multimedia■be/1/pp■10■exe
p://arplgm■cn/a■exe
p://youtube-adult■name/setup■exe
p://youtube-adult■name/VideoCodec■exe
p://youtube-adult■name/Mediacodec■exe
p://imagehut3■cn/images/evilItTheir■pdf
p://imagehut3■cn/images/update■php
p://missing-codecs■net/download/download■php
p://91■212■198■116/lib/update■php
p://www■hoje-noticias■pagebr■com/downloads/plug2■txt
p://www■hoje-noticias■pagebr■com/downloads/wiskyx■exe
p://www■hoje-noticias■pagebr■com/downloads/winsex2■txt
p://www■hoje-noticias■pagebr■com/downloads/winsex2■exe
p://vikd3jj-2■com/2/index■php
p://vikd3jj-2■com/2/update■exe
163:名無しさん@お腹いっぱい。
09/07/10 16:40:25
>>157 , >>162
各社一通り提出完了
未提出:Norman,Zoner
一部未提出:トレンドマイクロ
>>162の p://red-exe■com/onlinemovies■[40000-40100]■exe のみが入ったファイルが
500エラーで弾かれるのでそこだけ未提出。VTでは未検出の筈なんだけど、検出済みファイルのみの
時と同じエラーで提出不可?
これは時間を置いてから再提出を試み、ダメなら対応済みなのだと思って納得することにします。
164:名無しさん@お腹いっぱい。
09/07/10 16:42:42
AntiVir9 検出結果
>>157 (4+2/6)
tane0446/aspk1dldr.exe : SPR/Dldr.J program
tane0446/msvideo2_1.js : HEUR/HTML.Malware suspicious code
tane0446/msvideo2_2.js : HEUR/HTML.Malware suspicious code
tane0446/pcker1.exe : TR/Crypt.ZPACK.Gen Trojan
tane0446/trj2.exe : TR/Spy.Gen Trojan
tane0446/trj2_1.exe : TR/Spy.Gen Trojan
>>162
91.212.198.116/load.exe : - Not Detected -
arplgm.cn/a.exe : TR/Downloader.Gen Trojan
imagehut3.cn/evilItTheir.pdf : HTML/Shellcode.Gen HTML script virus
imagehut3.cn/load.exe : - Not Detected -
missing-codecs.net/install_flash_player.exe : - Not Detected -
red-exe.com/onlinemovies.[40000-40018].exe : - Not Detected -
red-exe.com/onlinemovies.40019.exe : TR/Crypt.ZPACK.Gen Trojan
red-exe.com/onlinemovies.[40020-40100].exe : - Not Detected -
upload.octopus-multimedia.be/pdrv.exe : - Not Detected -
upload.octopus-multimedia.be/pp.10.exe : - Not Detected -
vikd3jj-2.com/index.php : - Not Detected -
vikd3jj-2.com/update.exe : - Not Detected -
youtube-adult.name/index.htm.exe : TR/Dropper.Gen Trojan
youtube-adult.name/Mediacodec.exe : TR/Dropper.Gen Trojan
youtube-adult.name/setup(1).exe : TR/Dropper.Gen Trojan
youtube-adult.name/setup.exe : TR/Dropper.Gen Trojan
youtube-adult.name/VideoCodec.exe : TR/Dropper.Gen Trojan
165:名無しさん@お腹いっぱい。
09/07/10 17:56:45
>>162 ㌧ tane0447
カスペ2010 16:15
113/116・提出します。
(1) red-exe.com 101/101
Trojan.Win32.FraudPack.pjl red-exe.com/onlinemovies.[40000-40100].exe (ただし、40019.exe除く) (100files)
Trojan-Downloader.Win32.Small.jvl red-exe.com/onlinemovies.40019.exe
(2) youtube-adult.nameフォルダ 5/5
Trojan-Downloader.Win32.CodecPack.ilv /index.htm.exe
Trojan-Downloader.Win32.FraudLoad.exm /Mediacodec.exe /setup(1).exe /setup.exe /VideoCodec.exe
(3) 残 7/10
Trojan-Dropper.Win32.Agent.avow 91.212.198.116/load.exe (1/1)
Trojan-Downloader.Win32.Tiny.cew arplgm.cn/a.exe (1/1)
virus HEUR:Exploit.Script.Generic imagehut3.cn/evilItTheir.pdf (2/2)
Trojan.Win32.VB.smd imagehut3.cn/load.exe
Trojan.Win32.Small.can upload*/pp.10.exe (1/2, pdrv.exe スルー)
Trojan.Win32.Inject.afqp vikd3jj-2.com/update.exe (1/2, index.php スルー)
Trojan-Downloader.Win32.Injecter.dd youtube-adult.name/index.htm.exe (1/1)
※missing*\install_flash_net.exe スルー
返事
>>157(>>159,161) tane0446
3+2=5/6、白1で閉鎖
trj2_1.exe_ - Trojan.Win32.BHO.vnh
166:名無しさん@お腹いっぱい。
09/07/10 18:35:07
気になる人は提出する方向で
URLリンク(foobar2000.xrea.jp) (PWロックは掛かってない)
URLリンク(www.virustotal.com)
167:20
09/07/10 18:53:45
>>166 乙です。
AVIRAに提出してみたら、判定済みで FALSE POSITIVE(誤検出)とのことです。
つまり、黒→白という扱いになっています。 一応、参考として。
# 出張先だと、AVIRAの提出用鯖にファイルをアップする以外、できる事がほとんど無い。
168:名無しさん@お腹いっぱい。
09/07/10 21:16:23
とあるexploitをMcAfeeに送った時のインドのラボからの返信。
Why do you suspect this of being the culprit of malicious behavior?
Has any AV product detected it?
What engine/dat number are you using?
Have you noted any suspicious behavior on a system where this file has been run?
If so, what?
ちょ…ちょっと怒ってる(;^ω^)?
169:名無しさん@お腹いっぱい。
09/07/10 21:21:23
なんで送ってきた?
なんかで検知したのか?
てかなにつかってるんだ?
なんか変な挙動でもあったのか?
だとすればなに?
170:名無しさん@お腹いっぱい。
09/07/10 21:23:15
これはひどい。忙しいのかな
171:名無しさん@お腹いっぱい。
09/07/10 22:28:23
>>162(>>165) tane0447
113+1=114/116、残2
Hello,
(missings-codec.net)\install_flash_player.exe_ - Trojan.Win32.VB.soj
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
172:20
09/07/11 09:36:09
>>168-170
これはアナリスト怒ってるねぇ。 検出できるもの・できないものを分別しないで大量に送りつけたとか?
どこのベンダーも忙しいみたいだから、検出できるものまで送りつけられたら、そりゃアナリストは不愉快だと
思うので、それ以外思いつかないが...
私の方だと、AVIRAとKasperskyにかなり送っているが、検出可能ファイルは排除してから送ってるせいか
それともベンダーの性格の違いか、そういう苦情っぽいメールは受けたこと無いけど。 といっても、AVIRAは
メール提出してない(提出用鯖にアップしているだけ)だから、自動応答メール以外来ないけどね。
>>152 雑談ついで。
Kasperskyは、とりあえずヒューリスティックが隔離して、KISの隔離フォルダからQuarantine Objectで
送付されるファイルが、最優先で処理される。 経験的には、こいつは処理が異常に早い。
次が、exe単独の提出で、出所orマルウェアであることがはっきりしているファイル。
(ウイルス本体とみなされるファイル)これは、ファイルのダウンロード元(サイト名とか)をメールに
明記して送るか、VTの検出結果のurlを記入して送った場合。
それ以外は、かなりランダム。分析が早い時もあるし遅い時もある、という感じです。
私の方の状況ですが、参考になれば。
# 全部まとめて送っても隔離ファイルなみに処理が早いことがあるので、前の2つ以外は、正直、
どういう順番なのか全く読めないですね。ただ、自分の提出状況と処理結果を見ていると、
提出者が誰かor過去に大量の提出をしているか、は全く関係なさそう。
173:名無しさん@お腹いっぱい。
09/07/11 12:15:59
カスペからの返事&カスペ 11:24
>>162(>>165,171) tane0447
113+(1+1)=115/116、残1 (index.php)
Exploit.JS.Pdfka.ni - imagehut3.cn/evilItTheir.pdf (←virus HEUR:Exploit.Script.Generic)(返答)
Trojan.Win32.Agent2.kvz - /upload.octopus-multimedia.be/pdrv.exe (検知)
174:168
09/07/11 14:55:45
URLリンク(tane.sakuratan.com)
virus
いやー1ファイルだけだったんだけどねぇ。
物はmilw0rmに載っていて消えた物(SANS-ISCにあるとおりmilw0rmが今ちょっと不調)で、
載せたのは確かHP(ヒューレットパッカード)の中の人。
同梱の画像はアップローダの下限(1kB)回避用のダミーなので無視で。
175:20
09/07/11 15:12:25
>>174
URLリンク(www.virustotal.com) (1/41)
AVIRAに提出しました。
1ファイルで、普通ああいうメールは返ってこないと思うが...提出したExploitファイルの中に、McAfeeの悪口が書かれてたとか?(w
176:20
09/07/11 15:14:39
>>175
AVIRA返答
addfav_crash1.htm - CLEAN(白)
177:名無しさん@お腹いっぱい。
09/07/11 16:09:07
>>175
いや見てのとおり大したファイルじゃないのよ。
IEが落ちる以外は実害のないコンセプトコードなので実行してみそ。
送ったメールの文も「Exploit.IEAddFavorite」の一言だし。
とりあえずイシューNo.とアナリストの名前を書いて
ラボとカスタマーサービスに以下を送信(;^ω^)。
WHATS THIS FCKN ATTITUDE ?
McAfee employs plug-ugly ?
178:名無しさん@お腹いっぱい。
09/07/11 18:46:32
URLリンク(tane.sakuratan.com)
infected
VirusTotal(7/41)
URLリンク(www.virustotal.com)
179:名無しさん@お腹いっぱい。
09/07/11 19:22:13
>>178
Symantec、Panda、GDATA2010(今回はBitDefenderのみ)に提出完了
今回はESETにも提出
180:名無しさん@お腹いっぱい。
09/07/11 20:14:14
>>178
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
banner |inconclusive | | |no
181:名無しさん@お腹いっぱい。
09/07/11 20:59:24
>>178 tane0449
カスペ 19:56
スルー
検体提出します。
182:名無しさん@お腹いっぱい。
09/07/12 21:36:53
初スレからのタレコミです
マルウェア配布サイトlapcie.com/
11アーカイブ
Symantecとa-squaredとMalwarebytesとMicrosoftとAVGに提出済みです
みなさんもよろしく
183:名無しさん@お腹いっぱい。
09/07/12 22:30:14
>>182
それ、誤検出の疑いって奴だろ。VTでチェックして、検出してるとこにだけ出せばいいことかと。
どのアーカイブのなんていうファイルに反応しているのかの報告がないので、現時点では提出をスルー。
184:182
09/07/12 22:34:43
2chの誤検出の疑いなんて信用しないで
自分で調べりゃすぐ分かるだろ
185:名無しさん@お腹いっぱい。
09/07/13 12:35:07
URLリンク(tane.sakuratan.com)
infected
■ 検体入手元
Malware Domain List の更新情報 7/11分、リネージュ資料室の更新情報 7/12分 より
■ 既提出先
AntiVir AntiyLabs のみ。今日は時間が無いので、他への提出はやってません。
186:名無しさん@お腹いっぱい。
09/07/13 12:44:13
>>185
Panda、GDATA2010(=avast!&BitDefender)へ提出完了
Symantecへは提出するのにちょっと時間がかかりそうなのでまだ提出してない、代わりにやってくれる人がいるならお願いします
187:名無しさん@お腹いっぱい。
09/07/13 14:15:34
>>185-186
Symantecとa-squaredとMalwarebytesに提出しました
188:名無しさん@お腹いっぱい。
09/07/13 16:29:18
カスペ2010 14:47
>>185 tane0451
23/37
(1) skywebsv.comフォルダ 8/11 (Darkst.html, MS08011.htm, MS08053.htm スルー)
virus HEUR:Exploit.Script.Generic /Blog.htm /MsAccess.htm /web(1).htm /web.htm
virus HEUR:Trojan.Win32.Invader /cer.exe
Exploit.JS.DirektShow.a /darkst.png
Trojan-Downloader.VBS.Agent.io /Ms06014.htm
Exploit.JS.RealPlr.ob /Real.htm
(2)teamerblogフォルダ 9/12 (3files スルー、同上)
virus HEUR:Exploit.Script.Generic /blog.htm /fc2.htm /FFXI-search.htm /MsAccess.htm /play.htm
Trojan.Win32.Inject.afyg /cer.exe
Exploit.JS.DirektShow.a /darkst.png
Trojan-Downloader.VBS.Agent.io /Ms06014.htm
Exploit.JS.RealPlr.ob /Real.htm
(3) upload.octopusフォルダ 3/4 (gen.phpスルー)
Trojan-Dropper.Win32.BHO.bo /6244.exe
Trojan.Win32.Agent2.kwh /fb.49.exe
Trojan.Win32.Agent2.jyw /nfr.exe
(4)その他 3/10
Trojan-Downloader.JS.Agent.ehl /benpao2020.com/go.jpg (1/5, 360.htm, a1a.htm, go1.jpg, t.js スルー)
Trojan-Spy.Win32.Ayludle.a /esli.tw/load.exe (1/2 Russia_attacks.pdfスルー)
virus not-a-virus:FraudTool.Win32.Agent.tj /secure-safe-download.com/wsetup.exe (1/1)
antivirus*フォルダ 0/2 (anti*.htm, Setup-15815*.exe スルー)
189:名無しさん@お腹いっぱい。
09/07/13 18:30:54
>>185
McAfee (Active Protection 無効)14/37
未検出分をMcAfeeに提出させて頂きました。
※ヒューリスティックoff→17/37
ヒューリスティックを無効にすると検出数が増えたorz
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
360.htm |inconclusive | | |no
a1a.htm |inconclusive | | |no
antiviruspcscannerv7|inconclusive | | |no
blog.htm |inconclusive | | |no
darkst.htm |inconclusive | | |no
darkst.htm |inconclusive | | |no
fb.49.exe |new detection |w32/koobface.worm.gen.h |Virus |yes
gen.php |inconclusive | | |no
go.jpg |heuristic detection |beav-shellcode |Application |no
go1.jpg |inconclusive | | |no
190:名無しさん@お腹いっぱい。
09/07/13 18:32:43
load.exe |inconclusive | | |no
ms06014.htm |heuristic detection |vbs/psyme.gen.a |Trojan |no
ms08011.htm |inconclusive | | |no
ms08011.htm |inconclusive | | |no
ms08053.htm |inconclusive | | |no
ms08053.htm |inconclusive | | |no
real.htm |heuristic detection |beav-shellcode |Application |no
russia_attacks.pdf |inconclusive | | |no
setup-15815_02002-8.|inconclusive | | |no
t.js |inconclusive | | |no
web(1).htm |inconclusive | | |no
web.htm |inconclusive | | |no
wsetup.exe |inconclusive | | |no
191:名無しさん@お腹いっぱい。
09/07/13 21:24:20
>>154 tane0445
0+1=1/1で閉鎖
Setup-4e45_02022.exe_ - Trojan-Downloader.Win32.FraudLoad.eyu
>>178 tane0449
0+1=1/1で閉鎖
banner - Exploit.Win32.Pidief.bee
>>185 tane0451
23+2=25/37(うちHEUR9)、残12
esli.tw\Russia_attacks.pdf_ - Exploit.Win32.Pidief.bef
wwwskywebsv.com\cer.exe_ - Trojan-GameThief.Win32.OnLineGames.bmlr (←HEUR:Trojan.Win32.Invader)
antiviruspcscannerv7.com\Setup-15815_02002-8.exe - Trojan.Win32.FraudPack.plk
New malicious software was found in this file.
192:191
09/07/13 21:26:25
すまん。カスペからの返事です。
>>185(>>188,191)
193:20
09/07/14 12:45:50
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 9個入っています。MDLの2009/07/13分から。(7/13の全部ではない)
a222.dnf5.com
1.exe - URLリンク(www.virustotal.com) (15/41)
a444.dnf5.com
of.js - URLリンク(www.virustotal.com) (8/41)
krisnet.cn
mss8.exe - URLリンク(www.virustotal.com) (12/41)
puppsik.biz
mainokK.exe - URLリンク(www.virustotal.com) (10/41)
wesssrett.cn
theirTextLayout.pdf - URLリンク(www.virustotal.com) (23/41)
index.php - URLリンク(www.virustotal.com) (8/41)
typeSBc.swf - URLリンク(www.virustotal.com) (17/41)
update.exe - URLリンク(www.virustotal.com) (34/41)
www.fdsdffdfsf.cn
of.htm - URLリンク(www.virustotal.com) (4/41)
a444.dnf5.comとwww.fdsdffdfsf.cnが、OfficeWebへの0-day攻撃...らしい。
一部検出率の高いものが入っていますが、出張中で自分の使用環境が整ってないので、すみませんが全部パックしました。m(_ _)m
194:20
09/07/14 12:55:16
>>193
AVIRA9 7.01.04.228 黒6/9,未検出の3個は提出済み。
a222.dnf5.com
1.exe - TR/Rootkit.Gen
a444.dnf5.com
of.js - HTML/Shellcode.Gen
krisnet.cn
mss8.exe -
puppsik.biz
mainokK.exe - WORM/Emold.U.8
wesssrett.cn
theirTextLayout.pdf - HTML/Shellcode.Gen
index.php -
typeSBc.swf - SWF/Drop.Small.LP
update.exe - TR/BurnInHell.L
www.fdsdffdfsf.cn
of.htm -
AVIRA入りの仮想PCしか作業環境が無いので、他ベンダーのチェック・提出は他の人にお任せします。
195:名無しさん@お腹いっぱい。
09/07/14 13:35:37
>>193
fdsなんちゃらのOfficeWebComponentのゼロデイ、
スクリプトが分割されていてof.htm単品だと攻撃が成立しない
ので(a.jsがシェルコード)くっつけときました。
URLリンク(tane.sakuratan.com)
virus
196:名無しさん@お腹いっぱい。
09/07/14 14:21:26
>>193
>>195
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
197:20
09/07/14 15:02:16
>>195
ありがトン。分割されていたのに気がつかんかった...orz
URLリンク(www.virustotal.com) (7/41)
a.js単独,a.js込みの>195だと検出しますが、念のためof.htm + a.jsをzipで圧縮して、AVIRAに再提出しておきました。
※ 一応書いておくと、AVIRAの検体提出鯖は、パス無しzipであれば自動で解凍して、個別の検体として受け取ってくれます。
(zipファイル=検体ではなく、中身を個別に判定してくれます。) ただ、中身の数が多くなると拒否されます。
いくつまで平気なのかは、試してないので不明。
# 数が多すぎる場合の拒否メッセージが“ KO ”という所(鯖がKOされた、という意味だと思う)が、ユーモアがあって面白い...
198:名無しさん@お腹いっぱい。
09/07/14 16:52:57
URLリンク(tane.sakuratan.com)
virus
同じOfficeWebComponentsの奴です。
こちらはシェルコードが小さいため最初から1ファイルでした。
199:名無しさん@お腹いっぱい。
09/07/14 16:58:08
あっごめん、今見たら453にDLKey設定してなかった。
200:名無しさん@お腹いっぱい。
09/07/14 17:00:40
>>198
Pandaへ提出完了、他のいつも送ってるベンダー(Symantec、avast!、BitDefender)は検出してるので今回は提出なし
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
201:20
09/07/14 17:49:14
>>198
AVIRA9 7.01.04.229 黒2/2
owc2.htm - HTML/Silly.Gen
owc2.js - HTML/Silly.Gen
検出できるので提出無し。
202:20
09/07/14 17:57:26
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。MDLの2009/07/13分から。
ferarilatka.cn
index.php - URLリンク(www.virustotal.com) (5/41)
koxyebuth.pdf - URLリンク(www.virustotal.com) (11/41)
xyachuch.swf - URLリンク(www.virustotal.com) (7/41)
thetests.net
index.php - URLリンク(www.virustotal.com) (4/41)
index.htm - URLリンク(www.virustotal.com) (4/41)
file.exe - URLリンク(www.virustotal.com) (1/41)
e50i.pdf - URLリンク(www.virustotal.com) (5/41)
bezopbizn.ru
index.php - URLリンク(www.virustotal.com) (2/41)
pdf.pdf - URLリンク(www.virustotal.com) (8/41)
getexe.exe - URLリンク(www.virustotal.com) (22/41)
203:20
09/07/14 18:05:22
>>202
AVIRA9 7.01.04.229 黒 3,黒確定(VDF update待ち) 1,解析中 6
ferarilatka.cn
index.php - (UNDER ANALYSIS)
koxyebuth.pdf - HTML/Shellcode.Gen
xyachuch.swf - (UNDER ANALYSIS)
thetests.net
index.php - (UNDER ANALYSIS)
index.htm - (UNDER ANALYSIS)
file.exe - (TR/Dldr.Agent.duc) - VDF next update
e50i.pdf - EXP/Pidief.WH
bezopbizn.ru
index.php - (UNDER ANALYSIS)
pdf.pdf - (UNDER ANALYSIS)
getexe.exe - Worm/Bezopi.A
204:20
09/07/14 18:31:55
>>194
AVIRA返答
krisnet.cn
mss8.exe - TR/Malex.121856E
wesssrett.cn
index.php - JS/IFrame.dpr
www.fdsdffdfsf.cn
of.htm - CLEAN(白)
黒2,白1でclose. 分割されてて、攻撃コードを含まない方は白になりました。
(zipでまとめて送った方も同じ結果でした。)
205:名無しさん@お腹いっぱい。
09/07/14 18:40:16
>>193
McAfee (Active Protection 無効)4/9
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |new detection |generic downloader.x!ji |Trojan |yes
index.php |current detection |obfuscated script.h |Trojan |no
mainokk.exe |inconclusive | | |no
mss8.exe |inconclusive | | |no
of.htm |new detection |exploit-cve2009-1136 |Trojan |yes
of.js |heuristic detection |beav-shellcode |Application |no
theirtextlayout.pdf |current detection |exploit-pdf.b.gen |Trojan |no
typesbc.swf |current detection |exploit-cve2007-0071 |Trojan |no
update.exe |current detection |generic downloader.z |Trojan |no
206:名無しさん@お腹いっぱい。
09/07/14 18:42:13
>>195
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
owc1.htm |heuristic detection |beav-shellcode |Application |no
owc1.js |heuristic detection |beav-shellcode |Application |no
207:名無しさん@お腹いっぱい。
09/07/14 18:45:57
>>202
McAfee (Active Protection 無効)2/10
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
e50i.pdf |inconclusive | | |no
file.exe |inconclusive | | |no
getexe.exe |current detection |generic.dx!ys |Trojan |no
index.htm |inconclusive | | |no
index.php |inconclusive | | |no
index.php |inconclusive | | |no
index.php |current detection |obfuscated script.h |Trojan |no
koxyebuth.pdf |inconclusive | | |no
pdf.pdf |inconclusive | | |no
xyachuch.swf |inconclusive | | |no
208:20
09/07/14 19:52:28
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
MDLの2009/07/13で確保できた分の残り15個。exeとpdfばっかりです。
今、VirusTotalがパンクしているので、この15個についてはインフォメーションがありません。
また、もしかしたら古いものとかも入っているかもしれません。m(_ _)m
AVIRA 7.01.04.231 黒11/15。
analitics.in\load.exe - TR/Crypt.ZPACK.Gen
axevoq.cn\installer_1.exe - TR/ATRAPS.Gen
ircleaner.com\install.exe - TR/Dropper.Gen
onuka.cn\mal.exe - TR/Dropper.Gen Trojan
securitytrial.com\install.exe - TR/Dropper.Gen
updatedate.cn\255.pdf - DR/Pdfka.NL.1
updatedate.cn\464.pdf - DR/Pdfka.NL
webalfa.cn\load.exe - TR/Crypt.ULPM.Gen
webalfa.cn\spl.pdf - EXP/Pidief.WH
www.tech2tech.cn\load.exe - TR/FraudPack.pjs
www.tech2tech.cn\pdf.pdf - JS/Dldr.Small.CR.2
未検出
download.anti-virus-best.info\PreInstaller.exe
testtubefilms.com\onlinemovies.48022.exe
updatedate.cn\installb.exe
yourtubetop.com\onlinemovies.45095.exe
未検出分はAVIRAに提出済みです。
209:名無しさん@お腹いっぱい。
09/07/14 20:07:20
検体提出の方㌧
カスペ2010 19:11
>>193 tane0452
4/9
virus HEUR:Trojan.Win32.Generic /krisnet.cn/mss8.exe
virus Worm.Win32.Bezopi.b /puppsik.biz/mainokK.exe
Exploit.Win32.Pidief.bby /wesssrett.cn/theirTextLayout.pdf
Trojan-Downloader.Win32.Small.jwo /wesssrett.cn/update.exe
>>195 tane0453
2/2
virus HEUR:Exploit.Script.Generic owc1.htm、 owl1.js
>>197 tane0454
0/2 スルー
>>199 tane0455
2/10
virus Worm.Win32.Bezopi.a tane0455.zip/bezopbizn.ru/getexe.exe
virus HEUR:Trojan-Downloader.Script.Generic /ferarilatka.cn/index.php
検体提出します。
VTがoverloadになっている。orz
210:名無しさん@お腹いっぱい。
09/07/14 21:37:23
>>202
>>208
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
211:名無しさん@お腹いっぱい。
09/07/14 21:44:45
>>208
Symantecから自動返答
filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.
filename: onlinemovies.45095.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
filename: spl.pdf
machine: Machine
result: See the developer notes
書ききれないので続き
212:名無しさん@お腹いっぱい。
09/07/14 21:45:23
>>208
>>211からの続き
filename: installb.exe
machine: Machine
result: See the developer notes
filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.
filename: installer_1.exe
machine: Machine
result: See the developer notes
filename: PreInstaller.exe
machine: Machine
result: See the developer notes
filename: onlinemovies.48022.exe
machine: Machine
result: See the developer notes
213:名無しさん@お腹いっぱい。
09/07/14 21:47:43
スマソ>>211と>>212見てなんかおかしいなと思ったら提出した検体が被ってたようだorz(圧縮ファイルを二つにわけて送ったらから恐らく選別ミス)
filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.
結局検出確定はこれ一つだけか・・・
214:名無しさん@お腹いっぱい。
09/07/14 22:18:53
>>208
McAfee (Active Protection 無効)6/15
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
installer_1.exe |inconclusive | | |no
preinstaller.exe |inconclusive | | |no
255.pdf |inconclusive | | |no
464.pdf |inconclusive | | |no
installb.exe |inconclusive | | |no
load.exe |inconclusive | | |no
spl.pdf |inconclusive | | |no
load.exe |new detection |fakealert-es |Trojan |yes
215:名無しさん@お腹いっぱい。
09/07/14 23:34:45
>>208 ㌧
カスペ2010 23:09
10/15
Trojan-Dropper.Win32.Microjoin.gtm analitics.in/load.exe
virus HEUR:Trojan.Win32.Generic axevoq.cn/installer_1.exe
Trojan program Trojan.Win32.Agent.clls onuka.cn/mal.exe
Exploit.JS.Pdfka.nl updatedate.cn/464.pdf
Exploit.JS.Pdfka.nl updatedate.cn/255.pdf
Trojan-Downloader.Win32.FraudLoad.eza testtubefilms.com/onlinemovies.48022.exe
Trojan-Spy.Win32.Goldun.cbr webalfa.cn/load.exe
Trojan-Downloader.Win32.FraudLoad.eza yourtubetop.com/onlinemovies.45095.exe
Exploit.HTML.IframeBof www.tech2tech.cn/pdf.pdf
Trojan.Win32.FraudPack.pjs www.tech2tech.cn/load.exe
私が手一杯なので、できれば、代理提出お願いします。
216:名無しさん@お腹いっぱい。
09/07/15 01:02:49
カスペからの返事
>>195 (>>209) tane0453
2/2
owc1.htm_ - Trojan-Downloader.JS.ShellCode.g (←HEUR:Exploit.Script.Generic)
>>198(>>209) tane0454
0+2=2/2で閉鎖
owc2.htm、 owc2.js_ _ - Exploit.JS.ActiveX.ae (返事)
>>202(>>209) tane0455
2+1=3/10、残7
ferarilatka.cn\koxyebuth.pdf - Exploit.Win32.Pidief.bej (返事)
>>193(>>209) tane0452
a222.dnf5.com\1.exe は、KSN検知、KIS2010では危険なオブジェクトとして検知してアクセスをブロック。シグネチャ作成待ち。
.
前スレ705>>34(>>62,74) tane0416
5+2=7/57,.白50でクローズ
index22.php、index22[1-44].php (45files) - No malicious code were found in these files
昔大量に出したせいで、今頃渋滞しているのかな。orz
217:名無しさん@お腹いっぱい。
09/07/15 02:35:31
ここまでSymantecとa-squaredとMalwarebytesに提出しました
218:名無しさん@お腹いっぱい。
09/07/15 08:55:20
カスペからの返事&カスペ2010 8:09
>>208(>>215) tane0456
10/15
Detected Trojan-Downloader.Win32.FraudLoad.wfxs axevoq.cn\installer_1.exe (←HEUR:Trojan.Win32.Generic) (検知)
>>202(>>209,216) tane0455
2+1=3/10、残7のまま
ferarilatka.cn \ index.php - Trojan.HTML.IFrame.ao (←HEUR:Trojan-Downloader.Script.Generic) (返答)
219:名無しさん@お腹いっぱい。
09/07/15 09:31:55
URLリンク(tane.sakuratan.com)
virus
milw0rmよりFirefox3.5のPoC。
220:名無しさん@お腹いっぱい。
09/07/15 10:34:26
カスペ2010 9:20
>>219 ㌧ tane0457
1/1
virus HEUR:Exploit.Script.Generic tane0457.zip/fx35bof1.htm
検体提出します。
カスペからの返事と検知
>>208(>>215,218) tane0456
先ほど提出
10+4=14/15,残1 (sectrial \ install.exe. )
ircleaner.com \ install.exe_ - Trojan-Dropper.Win32.FrauDrop.fd (返事)
webalfa.cn \ spl.pdf - Exploit.Win32.Pidief.bem (返事)
updatedate.cn \ installb.exe - Trojan-Dropper.Win32.Mudrop.bsx (検知)
download.anti-virus-best.info \ PreInstaller.exe_ - not-a-virus:FraudTool.Win32.Agent.tl (返事)
>>193 tane0452
4+1=5/9、残4 (a222 \ 1.exe a444.\ of.js , wesss \ typeSBc,swf, index.php)
Trojan program Exploit.JS.Sheat.a - tane0452\www.fdsdffdfsf.cn\of.htm (返事)
221:220
09/07/15 13:38:52
カスペからの返事
>>219 (>>220) tane0457 1/1で閉鎖
tane0457\fx35bof1.htm - Trojan program Exploit.JS.FoxFir.a (←HEUR:Exploit.Script.Generic)
>>208(>>215,218,220) tane0456
10+(4+1)=15/15で閉鎖
securitytrial \ install.exe_ - Trojan-Dropper.Win32.FrauDrop.fd
>>185(>>188,191) tane0451
25/37、白1、残11
benpao2020.com\go1.jpg - 白