09/07/03 19:03:46
①はじめに
各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うpろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
前スレ
【鑑定目的禁止】検出可否報告スレ11
スレリンク(sec板)
●セキュリティ板専用アプロダ推奨↓
URLリンク(tane.sakuratan.com)
・ダウンロードパスワード、解凍パスワードは、できれば、"infected"か "virus"推奨
●検体提出先まとめWiki (参考)
URLリンク(rosafe.rowiki.jp)
各ベンダーの検体提出先(Webフォーム、メールアドレス)、検体提出方法、
推奨される文例、検体提出時の注意事項が掲載されています。
2:名無しさん@お腹いっぱい。
09/07/03 19:04:31
②議論や意見のまとめ
・圧縮ファイルと検出数
exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。
・DOSウイルス禁止
大昔のウイルスを集めてきても無意味なことがあります。
・パスなしZIPをパス有りLZH(またはRAR)で
安全性と利便性のため、上記の手法を推奨します。
・淡々とやれ淡々と!
淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。
・ブラクラや危険サイトのURL直リン厳禁
ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません!
・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 という意見もあり。
・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、
提出していない旨記載。(ベンダーに多重送付を避けるため)
・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
・スレ違いでもめる(2スレ目以降)
・あらしはスルー。ソフトの優劣の議論は別スレで!!(下記スレなど)
一番いいセキュリティソフトはなんだ!!Part66
スレリンク(sec板)
3:名無しさん@お腹いっぱい。
09/07/03 19:05:49
【重要】
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら
貢献することを目的としているスレです。
検体の悪用・不正利用は厳禁願います。
●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。
●検体確認は自己責任でお願いします。感染しても責任は一切持ちません!
(鑑定スレではないので、無害と判定されたファイルを実行して感染しても責任は一切持ちません!)
※◆W32/Vael.oは信頼できるコテさんです。
★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。
・VIRUSTOTAL (略称:VT)
URLリンク(www.virustotal.com)
・VirScan
URLリンク(www.virscan.org)
・Jotti
URLリンク(virusscan.jotti.org)
※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。(例:VT上のカスペ7.0.0.125、最新版2009など)
4:名無しさん@お腹いっぱい。
09/07/03 19:07:45
★各ベンダーへの提出先 (順不同)
・ベンダーにより、Webフォームでの提出と、eメールでの提出などがある。
・ eメールアドレスは、☆→@に読み替えてください。
圧縮パスワードは"infected"推奨.'(特にMcAfee, BitDefender, ESET).。このパスワードで圧縮して添付
>>1の検体提出先まとめWiki も参照してください。
URLリンク(rosafe.rowiki.jp)
●シマンテック (ノートン) [前スレ18]
・Symantec Security Response 〔Upload a suspected infected file:疑わしいファイルの提出〕:新しい提出先。こちらを推奨。
URLリンク(submit.symantec.com)
*ファイルやtxtメモや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕 が提出条件
*裏技:シマへは圧縮フォルダ×2回(圧縮形式不問)で実はツメホーダイだが、対応が確実に遅くなるので非推奨
●ウイルスバスター(トレンドマイクロ)
URLリンク(inet.trendmicro.co.jp)
バスターユーザー以外は
URLリンク(www.trendmicro.com)(該当ページ消滅/次スレでは削除?)
URLリンク(subwiz.trendmicro.com)
●マカフィー (英語の方が対応が早いかも)
URLリンク(www.nai.com) (日本語)
URLリンク(vil.nai.com) (英語)
URLリンク(www.webimmune.net) (要登録・英語)
メール:virus_research☆avertlabs.com
●ESET NOD32アンチウイルス
URLリンク(training.eset.com)
e-mail:samples☆eset.com
5:名無しさん@お腹いっぱい。
09/07/03 19:08:38
●Kaspersky(カスペルスキー)
URLリンク(www.kaspersky.co.jp)
一番下の「新しいウイルスをお知らせ下さい」
e-mail: newvirus☆kaspersky.com
●Avira AntiVir
URLリンク(www.avira.com)
e-mail:virus_malware☆avira.com
●Rising(ウイルスキラー)[前スレ655,656]
(1) URLリンク(up.rising.com.cn)
(2) URLリンク(sample.rising-global.com) (英語版)
(3) URLリンク(mailcenter.rising.com.cn)
※(3)は、可疑文件上?=怪しいファイルの報告.??文件上?=誤検知ファイルの報告,圧縮せずに提出、容量制限不明、ブラウザはクッキー保存設定
●Microsoft(マイクロソフト)
URLリンク(www.microsoft.com)
onecare☆submit.microsoft.com
submit_virus☆research.sybari.com
「1fileづつ」で「10megabytes」までの制限だが、パスワード圧縮してやることで「1fileづつ」の方は制限をクリアできます.[前スレ534]
●Dr.WEB
URLリンク(drweb.jp)
vms☆drweb.com または vms☆drweb.jp
パスワードはvirus固定
●F-Secure (エフセキュア)
URLリンク(www.f-secure.co.jp)
samples☆f-secure.co.jp
6:名無しさん@お腹いっぱい。
09/07/03 19:09:24
●AVG
URLリンク(www.grisoft.com)
virus☆avg.com
●Ewido (AVG;Anti ;Spyware)
URLリンク(www.ewido.net)(→AVGに変更。次スレでは削除)
●avast!
URLリンク(www.avast.com)
virus☆avast.com
●ソフォス(Sophos)
URLリンク(www.sophos.co.jp)
ps://secure.sophos.co.jp/support/samples
URLリンク(www.sophos.com)
ユーザープロダクトキーを持っていなくても、倦怠受付はするが、返答は帰ってこないようだ。[前スレ534,542,549]
●キングソフト・アンチウィルス (Kingsoft)
URLリンク(www.kingsoft.jp)
kentai2☆kingsoft.jp
●バイロボット(hauri、ViRobot)
URLリンク(www.hauri.net)
●ウイルスドクター (メールの場合、本国(e-mail 2)の方が速いかも)
URLリンク(www.virusdoctor.jp)
e-mail 1:labo☆virusdoctor.jp
e-mail 2:virus☆jiangmin.com
●eTrust
URLリンク(www.caj.co.jp)
virus☆caj.co.jp
7:名無しさん@お腹いっぱい。
09/07/03 19:10:18
●F-PROT; (フォームよりe-mail推奨)
URLリンク(www.f-prot.com)
e-mail:viruslab☆f-prot.com
F-port宛メールはエンコード後サイズで10,240,000Byte迄
●a2 (a-squared)
URLリンク(www.emsisoft.jp)
e-mail:submit☆emsisoft.com
●ソースネクスト ウイルスセキュリティZERO (K7Computing)
URLリンク(k7computing.com)
k7viruslab☆k7computing.com
●Panda
ベンダーに問い合わせた結果、下記のアドレスを指示されました
virussamples☆pandasecurity.com
●ArcaBit
URLリンク(www.arcabit.com)
virus☆arcabit.com
●Proland Software
URLリンク(www.pspl.com)
virsample☆pspl.com?subject=Virus Sample
(メールは、固定タイトルでないと弾かれる模様)
●ClamAV
URLリンク(cgi.clamav.net)
パスワードはvirus固定。3145728 bytes未満のファイルで。
8:名無しさん@お腹いっぱい。
09/07/03 19:11:30
●Sunbelt
URLリンク(research.sunbelt-software.com)
malware-cruncher☆sunbelt-software.com
●Malwarebytes
URLリンク(uploads.malwarebytes.org)
●Lavasoft
URLリンク(upload.lavasoft.com)
●NictaTech Software
URLリンク(www.nictasoft.com)
newvirus☆nictasoft.com
●VirusBuster (※トレンドマイクロ社のウイルスバスターではない。)
URLリンク(www.virusbuster.hu)
virus☆vbuster.hu
●ウイルスチェイサー (※ Dr.Webエンジンのため、>>5のDr.Webの窓口に直接送ったほうが良い。)
URLリンク(www.viruschaser.jp)
●Norman(未圧縮1ファイルづつしか投稿できない)
URLリンク(www.norman.com)
(↓誤検知報告:まとめて報告可能)
URLリンク(www.norman.com)
●BitDefender [前スレ227]
送付先2:
e-mail:virus_submission☆bitdefender.com(2MBまで?)
URLリンク(forum.bitdefender.com)
9:名無しさん@お腹いっぱい。
09/07/03 19:12:30
●eSafe
URLリンク(www.aladdin.com)(→該当ページ削除/誰か補足を)
virus☆aladdin.co.jp
●アンラボ(AhnLab V3)
・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答(詳細は>>1のWiki参照)
Ahnlab Customer(AhnLab-V3) メール:ahnlabcustomer☆ahnlab.co.jp
[前スレ762]
●BullGuard Internet Security <support☆bullguard.com>
●Central Command(Vexira Antivirus) <virus☆centralcommand.com>
●Intego(VirusBarrier) <sample☆virusbarrier.com>
●Mischel Internet Security(TrojanHunter) <support☆trojanhunter.com>
●Moosoft(The Cleaner) <trojans☆moosoft.com>
●NictaTech Software(Digital Patrol) <newvirus☆nictasoft.com>
●Simply Super Software(Trojan Remover) <submit☆simplysup.com>
●SRN Micro(Solo Antivirus) <support☆srnmicro.com>
●ATShield Ltd.(Anti-Trojan Shield) (Webフォーム、3MBまで)
URLリンク(www.atshield.com)
●Cybersoft(VFind) : virus☆cyber.com [前スレ730
10:名無しさん@お腹いっぱい。
09/07/03 19:14:00
検体提出先を一部変更、追記しました。
テンプレ(>>1->>9)、検体提出先(>>4->>9)の変更・追加あれば、>>1にレスする形で指摘よろ。
---------------[テンプレここまで]--------------------------
確認よろしく。
●注記 (テンプレに入れるべき?)
・本文中、検体入手元で■で書いているのは、"."(半角ドット)に読み替え。
・前スレでの検体は、前スレ埋まるまで、なるべく前スレでの報告よろしく。
・GENOウイルス多し。回避策は、以下。
GENOウイルススレ ★22
スレリンク(sec板)
・・初心者のベンダーの検体提出は推奨しません。(感染リスクあるため)
・また、VT注記通り、すべてのベンダーで検出しないからといって、安全性を100%保証するわけではありません。
・オートラン無効推奨。設定方法は、
「外部記憶メディアのセキュリティ対策を再確認しよう!」 ― USB メモリ、便利のウラに落とし穴 ―
URLリンク(www.ipa.go.jp)
「 USB メモリのセキュリティ対策を意識していますか? 」 ― USB メモリの安全な使い方を知ろう ―
URLリンク(www.ipa.go.jp)
11:名無しさん@お腹いっぱい。
09/07/03 19:17:36
AV-Test.org - Update Frequency of Anti-Virus Software (1週間の定義更新頻度)
URLリンク(www.av-test.org)
12:名無しさん@お腹いっぱい。
09/07/03 20:37:37
URLリンク(tane.sakuratan.com)
infected
前スレが埋まりそうなので、こっちに投下。
検体提出はAntiVirとAntinyLabsにftp経由で行なっただけです。(現在提出準備中)
■検体入手元
MarwareDatabase( URLリンク(malwaredatabase.net) )から拾ったもの。
アドレスは…↓の名称からお察し頂けるような気がするので省略。
■検出名称一覧(AntiVirでスルーしたものは他社名称で補完)
1fast-antimalware-scanner.com/1fast-antimalware-scanner.com.htm : Trojan:HTML/FakeXPA(Microsoft)
1fast-antimalware-scanner.com/Setup-6a75f4c_02009-1320.exe : - Not Detected - (Fake AV)
207.159.133.42/11630.exe : TR/Wimpixo.50688A.1 Trojan(AntiVir)
207.159.133.42/wow.exe : TR/Dropper.Gen Trojan(AntiVir)
74.52.164.210/bb090621.exe : Trojan.Win32.Koblu(Ikarus) , Trj/Refpron.N(Panda)
74.52.164.210/bb090621/sopidkc.exe : Backdoor:Win32/Refpron.gen!C(Microsoft)
74.52.164.210/bb090621/tpsaxyd.exe : Backdoor:Win32/Refpron.gen!C(Microsoft)
74.52.164.210/bb090621/wiawow32.sys : Trojan.ATRAPS(Ikarus)
74.52.164.210/sopidkc.exe : TR/Delf.fdg Trojan(AntiVir)
aveyco.cn/installer_70321.exe : TR/Dldr.FraudLoad.evw Trojan(AntiVir)
freett.com/hb.exe : TR/Dldr.Delphi.Gen Trojan(AntiVir)
guardsecurity.info/Setup_build6_102.exe : Trojan.Win32.FraudPack.pfc(Kaspersky)
ina6iq.com/file.exe : TR/Crypt.XPACK.Gen2 Trojan(AntiVir)
nextantivirusplus.com/AntivirusPlus.exe : SPR/FakeAV.1371136 program(AntiVir)
www2.porntube-vip.com/FlashPlayerH264Ext.exe : TR/Downloader.Gen Trojan(AntiVir)
13:名無しさん@お腹いっぱい。
09/07/03 20:39:39
>テンプレ
>>10
>・GENOウイルス多し。回避策は、以下。
これ、いらないでしょ。
>・オートラン無効推奨。設定方法は、
検体提出するような人にはこの辺もいらないと思う。
14:名無しさん@お腹いっぱい。
09/07/03 20:45:45
>>13
前スレ 765 あたりに文句言っとかないから。
15:名無しさん@お腹いっぱい。
09/07/03 20:45:45
>>12
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
16:名無しさん@お腹いっぱい。
09/07/03 21:07:52
>>12
一通り提出完了
未提出
Norman、Zoner、Lavasoft(なぜか繋がらない。tracertでタイムアウトしてるので上のどっかで切れてる模様)
提出済みなので渡しからは提出せず
Symantec、Panda
(AvastとBitDefenderには提出しました)
17:名無しさん@お腹いっぱい。
09/07/03 21:19:50
>>12
まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
11630.exe |new detection |generic.dx!te |Trojan |yes
1fast-antimalware-sc|inconclusive | | |no
antivirusplus.exe |current detection |fakealert-df |Trojan |no
bb090621.exe |heuristic detection |beav-shellcode |Application |no
file.exe |inconclusive | | |no
flashplayerh264ext.e|current detection |fakealert-bd |Trojan |no
hb.exe |current detection |generic downloader.x |Trojan |no
installer_70321.exe |current detection |fakealert-df |Trojan |no
setup-6a75f4c_02009-|inconclusive | | |no
setup_build6_102.exe|inconclusive | | |no
sopidkc.exe |current detection |refpron.gen.c |Trojan |no
sopidkc.exe |heuristic detection |beav-shellcode |Application |no
tpsaxyd.exe |heuristic detection |beav-shellcode |Application |no
wiawow32.sys |inconclusive | | |no
wow.exe |new detection |generic pws.y!dp |Trojan |yes
18:名無しさん@お腹いっぱい。
09/07/03 21:28:41
>>12
㌧
カスペ2010 20:07
11/15 (スルー4:1fastフォルダ 2 , 11630.exe, AntiVirusPlus.exe)
Trojan-GameThief.Win32.WOW.qlz 207.159.133.42/wow.exe
Trojan.Win32.Koblu.re 74.52.164.210/bb090621.exe/sopidkc.exe
virus HEUR:Trojan.Win32.Generic 74.52.164.210/bb090621.exe
Trojan.Win32.Koblu.re 74.52.164.210/bb090621/sopidkc.exe
virus HEUR:Trojan.Win32.Generic 74.52.164.210/bb090621/tpsaxyd.exe
Trojan.Win32.Delf.mqh 74.52.164.210/sopidkc.exe
Trojan-Downloader.Win32.FraudLoad.evw aveyco.cn/installer_70321.exe
Trojan-Downloader.Win32.Losabel.avp freett.com/hb.exe
Trojan.Win32.FraudPack.pfc guardsecurity.info/Setup_build6_102.exe
Trojan-Spy.Win32.Agent.awmv ina6iq.com/file.exe
Trojan-Downloader.Win32.Obfuscated.ijz www2.porntube-vip.com/FlashPlayerH264Ext.exe
検体提出します。
19:18
09/07/04 00:31:17
カスペからの返事
>>12(>>18) tane0428
11+3=14/15、残1(11630.exe)
sopidkc.exe - Trojan.Win32.Delf.mqh (検出) (←HEUR:Trojan.Win32.Generic)
tpsaxyd.exe - Trojan-Downloader.Win32.DlfBfkg.em (検出) (←HEUR:Trojan.Win32.Generic)
AntiVirusPro.exe - not-a-virus:FraudTool.Win32.AntivirusPlus.jm
1fast-antimalware-scanner.com.htm - Trojan-Downloader.JS.FraudLoad.a
Setup-6a75f4c_02009-1320.exe - Trojan.Win32.FraudPack.pfq
New malicious software was found in these files.
20:名無しさん@お腹いっぱい。
09/07/04 02:28:16
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 7個入っています。MDLの2009/07/02分で、スレ既出を除いた分。
ancom1.ru\install.exe
URLリンク(www.virustotal.com) (13/41)
free-full.com\Tupac.-.All.Eyez.On.Me.(1996).exe
URLリンク(www.virustotal.com) (7/41)
vikd3jj-1.com\index.htm
URLリンク(www.virustotal.com) (7/40)
vikd3jj-1.com\goodCiceroOf.pdf
URLリンク(www.virustotal.com) (12/41)
vikd3jj-1.com\lookedGoingWhich.swf
URLリンク(www.virustotal.com) (8/41)
vikd3jj-1.com\update.exe
URLリンク(www.virustotal.com) (17/41)
www.toncom.net\indexn.exe
URLリンク(www.virustotal.com) (22/41)
21:名無しさん@お腹いっぱい。
09/07/04 02:40:58
>>20
AVIRA9 7.01.04.179
●ancom1.ru\install.exe - TR/Dropper.Gen
●free-full.com\Tupac.-.All.Eyez.On.Me.(1996).exe - TR/Dropper.Gen
vikd3jj-1.com\index.htm - (UNDER ANALYSIS)
●vikd3jj-1.com\goodCiceroOf.pdf - HTML/Shellcode.Gen
vikd3jj-1.com\lookedGoingWhich.swf - (UNDER ANALYSIS)
●vikd3jj-1.com\update.exe - TR/Dldr.Agent.xqa
●www.toncom.net\indexn.exe - TR/Banker.cnvu
黒5,未検出2。未検出分 提出済み
-----
Kaspersky 2009/07/04 1:52:00
ancom1.ru\install.exe
●free-full.com\Tupac.-.All.Eyez.On.Me.(1996).exe
▲vikd3jj-1.com\index.htm - HEUR:Trojan-Downloader.Script.Generic
●vikd3jj-1.com\goodCiceroOf.pdf - Exploit.JS.Pdfka.mr
●vikd3jj-1.com\lookedGoingWhich.swf - Exploit.SWF.Agent.bl
●vikd3jj-1.com\update.exe - Trojan.Win32.Inject.afgz
●www.toncom.net\indexn.exe - Trojan.Win32.Agent.cnvu
黒5,HEUR 1,未検出1。HEURと未検出 提出済み
22:名無しさん@お腹いっぱい。
09/07/04 02:50:00
>>20さん乙
Symantecとa-squaredとMalwarebytesに提出しました
コンフィッカーオートランが活動中です。。。ご注意を
URLリンク(h.imagehost.org)
23:名無しさん@お腹いっぱい。
09/07/04 03:25:08
Rising 2009 21.45.44 (21.36.44.00)
>>12
207.159.133.42\11630.exe>>upx_c: Dropper.Win32.Undef.zt
207.159.133.42\wow.exe: Trojan.PSW.Win32.WoWar.bhv
74.52.164.210\sopidkc.exe: Trojan.DL.Win32.Undef.ese
freett.com\hb.exe: Worm.Win32.DownLoad.ki
ina6iq.com\file.exe: Trojan.Win32.Obfuscated.frq
5/15
>>20
vikd3jj-1.com\update.exe: Trojan.Win32.Nodef.kjl
free-full.com\2Pac[1].-.All.Eyez.On.Me.45026.exe: Suspicious:Packer.Win32.Agent.aq
1(+1)/7
提出完了(RS2009062300143)
こっちでも一応報告
>>5のRising提出先(1)(3)
RARまたはZIPで圧縮、パスワード付き圧縮・分割圧縮は不可、5MBまで
(2)も多分共通仕様(+Description必須)
24:名無しさん@お腹いっぱい。
09/07/04 03:26:43
>>20
McAfee (Active Protection 無効)4/7
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
goodciceroof.pdf |inconclusive | | |no
lookedgoingwhich.swf|inconclusive | | |no
update.exe |inconclusive | | |no
25:名無しさん@お腹いっぱい。
09/07/04 04:15:12
>>23訂正
RS2009062300143→RS2009070400001
>>20、Rising
2Pac[1].-.All.Eyez.On.Me.45026.exe: Trojan.Win32.Generic.51E9C31C
index.htm: 安全文件
他4ファイル: 分析中
26:20
09/07/04 08:43:27
>>21
Kaspersky返答
●vikd3jj-1.com\index.htm - HEUR:Trojan-Downloader.Script.Generic → Trojan-Downloader.JS.Agent.egy
27:名無しさん@お腹いっぱい。
09/07/04 09:49:34
COMODO Internet Security 1538
全スレより
tane423 6/12
tane424 200/200
tane425 33/54
tane426 30/48
tane427 4/7
>>12
12/15
>>20
2/7
未検出分を提出しました
28:名無しさん@お腹いっぱい。
09/07/04 10:20:10
>>20
繋がらなかった、AntinyLabsとLavasoftと、面倒なんでパスしたNormanとZoner以外は一通り提出。
Aviraは2ファイルスルー
昨晩から、Lavasoftに繋がらない。サーバー落ちてるのかな。
29:18
09/07/04 11:24:39
カスペ2010 10:02:00
>>12(>>18,19) tane0428
11+4=15/15でクローズ
Trojan program Trojan.Win32.Agent2.kuz tane0428\207.159.133.42\11630.exe
30:名無しさん@お腹いっぱい。
09/07/04 11:36:24
>>20㌧ tane 0429 (>>21,26)
>>21 代理提出㌧
カスペ2010 10:02
6+1=7/7でクローズ
Trojan.Win32.FraudPack.pfx tane0429.zip/ancom1.ru/install.exe
31:名無しさん@お腹いっぱい。
09/07/04 13:39:39
検体入手に活用されてた、Marware List が This Account Has Been Suspended になってました。
他のマルウェアアンテナみたいなとこ探さないとなぁ。
32:名無しさん@お腹いっぱい。
09/07/04 14:00:19
>>31さん
それだと『マーウェア』です。。。汁
33:名無しさん@お腹いっぱい。
09/07/04 14:22:54
カスペからの返事
41/48、白5、残2 (totalsecurityフォルダの2ファイル-install.exe, scan.php)
前スレ772 (779,784,787) tane0426
datオーバーで書けなかったので…。
"id.php" , "static.std" and "tupac-all-eyez-on-me-1996.html "
No malicious software was found in the attached file.
>>31
乙です。
34:名無しさん@お腹いっぱい。
09/07/04 14:32:58
●前スレ、最近1週間にうpされた検体(dat落ちして見れない人用)念のため。レス用。
699 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 06:13:19
URLリンク(tane.sakuratan.com)
infected
700 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 06:55:57
URLリンク(tane.sakuratan.com)
infected
705 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 10:32:46
URLリンク(tane.sakuratan.com)
infected
706 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 23:03:06
URLリンク(tane.sakuratan.com)
infected
713 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/28(日) 15:50:43
URLリンク(tane.sakuratan.com)
infected
723 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/29(月) 22:52:53
URLリンク(tane.sakuratan.com)
infected
732 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/30(火) 13:31:27
URLリンク(tane.sakuratan.com)
infected
35:名無しさん@お腹いっぱい。
09/07/04 14:35:36
742 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/01(水) 01:41:37
URLリンク(tane.sakuratan.com)
infected
757 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/02(木) 01:47:57
URLリンク(tane.sakuratan.com)
infected
※リネージュ資料室の更新リスト+α
760 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/02(木) 08:37:34
URLリンク(tane.sakuratan.com)
URLリンク(tane.sakuratan.com)
infected
下は、ZIPの中身は7zのパスなしアーカイブに圧縮してあります。
769 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/03(金) 10:52:23
URLリンク(tane.sakuratan.com)
infected
772 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/03(金) 16:39:15
URLリンク(tane.sakuratan.com)
infected
778 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/03(金) 20:05:01
URLリンク(tane.sakuratan.com)
virus
独立して一検体、一レスにした方がレスしやすいとも思ったけれど、参考用なので、まとめて。
36:名無しさん@お腹いっぱい。
09/07/04 17:38:57
>>35
前スレ742(746-747,753,756,764,768) tane0421
カスペからの返事
80+(7+1)=88/96, 白5 残3 (88.198.234.133フォルダ3files)
bidch.js_ - Trojan-Downloader.JS.FraudLoad.b
New malicious software was found in this file.
xindex.php, xplays.php - No malicious code were found in these files.
37:名無しさん@お腹いっぱい。
09/07/04 22:39:16
723 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/04(土) 18:39:38
Clamwinの常駐保護付きバージョンに、moon secure てのがあるじゃん。
これ自身がウイルス感染してる、って出たんだけど、どうよ。
問題のファイルは2つ。
moonsysh.dll
moontray.exe
結果
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
今まで使ってたんだけど、心配になった。
38:名無しさん@お腹いっぱい。
09/07/04 22:39:48
URLリンク(tane.sakuratan.com)
infected
日替わりscr
VirusTotalでスルーしてるベンダーには全て提出済み。
他のVTに載ってないベンダーも、Norman、Zoner、Lavasoftを除いて全て提出済み。
AntiVir 全検出
39:名無しさん@お腹いっぱい。
09/07/04 22:41:12
>>37
>>3
|【重要】
|●ここは鑑定スレではありません!!!!!
|
|※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
スルーします。
40:名無しさん@お腹いっぱい。
09/07/04 22:42:07
>>38
マカフィー自動返答。全部ヒューリスティックで検知。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
online.zip |heuristic detection |generic backdoor!hv.k |Trojan |no
online.scr |heuristic detection |generic backdoor!hv.k |Trojan |no
xxxcxq.exe |heuristic detection |generic backdoor!hv.k |Trojan |no
41:名無しさん@お腹いっぱい。
09/07/04 23:50:52
>>38
PandaGlobalProtection2010
Virus detected: Trj/CI.A On-demand antivirus scan 2009/07/04 11:46... Deleted 張佑赫.exe
Virus detected: Trj/CI.A On-demand antivirus scan 2009/07/04 11:46... Notified online.zip[online.scr][Ae????.exe]
Suspicious file On-demand antivirus scan 2009/07/04 11:46... Notified online.scr[Ae????.exe]
42:名無しさん@お腹いっぱい。
09/07/04 23:56:28
>>38
GDATAInternetSecurity2010(BitDefender)
Object: (RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr=>(RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.zip
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: 張佑赫.exe
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
43:名無しさん@お腹いっぱい。
09/07/04 23:59:22
>>38
GDATAInternetSecurity2010(avast!)
Object: 張佑赫.exe
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj] (Engine B)
Object: online.scr
Status: Virus detected
Virus: Win32:Trojan-gen {Other} (Engine B)
Object: online.scr
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj], Win32:Trojan-gen {Other} (Engine B)
Object: online.scr\張佑赫.exe
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj] (Engine B)
Object: online.scr
Status: Virus detected
Virus: Win32:Trojan-gen {Other} (Engine B)
Object: online.zip
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj], Win32:Trojan-gen {Other} (Engine B)
ちなみにNortonはオールスルーでした
44:名無しさん@お腹いっぱい。
09/07/05 00:12:13
34 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/07/04(土) 23:47:28
③avast!(無料のアンチウイルスソフト)で確認
URLリンク(www.btfree.info)
Code by: 790e3cc3feabad9
35 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/04(土) 23:56:39
の3はコード入れてダウンロードすると
avastのプロフェッショナルバージョンのkeygenのRARファイルと
表示されるけど無料のavastでチェックしたらマルウェアと診断された・・
Virustotalで解析しても今日現在だと半分以上が黒と診断してる
45:名無しさん@お腹いっぱい。
09/07/05 00:27:32
>>44
URLリンク(www.virustotal.com)
Kaspersky・・・
46:名無しさん@お腹いっぱい。
09/07/05 01:21:40
>>44
6/23に各ベンダーに提出済み…だけど、キージェネ系はこのスレではアウトなんだな。
>>45
カスペ返答(出した当日に返答来てます)
keygen.exe
No malicious code was found in this file.
47:20
09/07/05 13:55:05
>>44-46
VTの結果が偽keygenなので、私の方でもKasperskyに提出してみました。
keygen.exe - Trojan.Win32.Agent.cooa
New malicious software was found in the attached file.
前スレでもありましたが、Kasperskyはアナリストの(技量の)差が明らかにあります。
この辺はちょっと注意ですね。
あと、鑑定っぽくなるんでアレですが、仮想PCでそのkeygen.exeを実行した結果、
・感染後に作製されるファイルが Trojan-PSW.Win32.Kates.c
・レジストリのAUXにウイルスの登録
・sqlsodbc.chmの改変発生
なんで、これgumblarの一種ですね。 前回の騒ぎの時に確保しそこねたファイルか、再活動をはじめたのかは不明ですが...
48:20
09/07/05 14:11:45
>>47
ちなみに現状。
URLリンク(www.virustotal.com) (30/41)
むー、Kasperskyは>46さんから受け取ったアナリストの責任が大きいな。 他社からかなり遅れてしまった。
49:20
09/07/05 14:24:37
>>44-48 一応、ロダに上げておきます。
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 >44のファイル。2個入っています。
keygenexe
>48
ohqhdr.gcm
URLリンク(www.virustotal.com) (26/41)
AVIRAは両方検出するんで何もしてません。つか、これ新種じゃないし。 Kasperskyは >47の通りです。
50:名無しさん@お腹いっぱい。
09/07/05 14:40:11
>>47
GENO系スレにこそっと貼られてたのはそういう意味だったか。
Ilya Tols****inさん、次からは気をつけてねー (-ノ-)/Ωチーン
(プライバシー保護の為、アナリスト名にはマスクをかけてあります)
51:20
09/07/05 14:41:02
>>38
Kaspersky2009 2009/07/05 14:10:00
online.scr - Backdoor.Win32.PcClient.asik
online.zip - Backdoor.Win32.PcClient.asik
張佑赫.exe - Backdoor.Win32.PcClient.asik
黒3/3 なので、特に何もしません。
52:名無しさん@お腹いっぱい。
09/07/05 15:53:11
URLリンク(tane.sakuratan.com)
infected
リネージュ資料室の更新リストより。日替わりのscr。AntiVirは全検出。
LavasoftとVTで全検出しているベンダー以外は、NormanやZonerも含め、
Wikiのまとめにある各社全てに提出済みです。(カスペも出してますので再提出不要です)
53:名無しさん@お腹いっぱい。
09/07/05 16:02:54
URLリンク(tane.sakuratan.com)
infected
■検体入手元■
Malware Database 07/04のもの。FakeAVとFakeCodec。
LavasoftとVTで全検出しているベンダー以外は、NormanやZonerも含め、
Wikiのまとめにある各社全てに提出済みです。
(カスペはVTの結果で全検出だったので提出せず)
54:名無しさん@お腹いっぱい。
09/07/05 16:04:00
■>53の各社検出名■
AntiVirは1ファイルのみ検知
avyodu.cn/installer_70126.exe : TR/Dldr.FraudLoad.evw Trojan
Symantec返答
filename: avyodu.cn.htm
filename: avyciso.cn.htm
result: This file is detected as Trojan.Fakeavalert.
filename: installer_70126.exe
result: This file is detected as AntiVirus2008.
filename: streamviewer.40014.exe
filename: keygen.Stellar.Phoenix.File.Recovery..3.0.0.1.45088.exe
result: See the developer notes
まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
avyciso.cn.htm |current detection |generic fakealert!htm |Trojan |no
avyodu.cn.htm |current detection |generic fakealert!htm |Trojan |no
installer_70126.exe |current detection |fakealert-df |Trojan |no
keygen.stellar.phoen|inconclusive | | |no
streamviewer.40014.e|inconclusive | | |no
55:名無しさん@お腹いっぱい。
09/07/05 16:51:48
>>52
PandaGlobalProtection2010
Virus detected: Trj/CI.A
www.shaimokale.com\張佑赫.exe
www.shaimokale.com\online.zip[online.scr][Ae????.exe]
www.shaimokale.com\online.zip[online.scr]
www.shaimokale.com\online.sc
それ以外はSuspicious fileファイルとして全検出
※今までの検出報告形式だと見づらいと思ったので趣向変えました
56:名無しさん@お腹いっぱい。
09/07/05 16:54:35
>>53
PandaGlobalProtection2010
Suspicious file
greatexe.com\streamviewer.40014.exe
keygen.Stellar.Phoenix.File.Recovery..3.0.0.1.45088.exe
Virus detected: Trj/CI.A
avyodu.cn\installer_70126.exe
57:名無しさん@お腹いっぱい。
09/07/05 17:02:51
>>52
GDATAInternetSecurity2010(avast!+BitDefender)
Object: 1188.exe
Status: Virus detected
Virus: Win32:Adware-gen [Adw] (Engine B)
Object:www.muswou.com\play.scr
Status: Virus detected
Virus: Win32:Trojan-gen {Other} (Engine B)
Object: play.scr
Status: File moved to quarantine
Virus: Win32:Adware-gen [Adw], Win32:Trojan-gen {Other} (Engine B)
Object: (RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr=>(RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.zip
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
Object: 張佑赫.exe
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
58:名無しさん@お腹いっぱい。
09/07/05 17:04:56
>>53
GDATAInternetSecurity2010(avast!+BitDefender)
Object: avyodu.cn.htm
Status: File moved to quarantine
Virus: JS:FakeAV-AH [Trj] (Engine B)
Object: avyciso.cn.htm
Status: File moved to quarantine
Virus: JS:FakeAV-AH [Trj] (Engine B)
Object: installer_70126.exe
Status: File moved to quarantine
Virus: Gen:Trojan.Heur.8202FDA8D9 (Engine A)
59:名無しさん@お腹いっぱい。
09/07/05 17:09:47
>>52
NortonInternetSecurity2009
Trojan Horse:www.muswou.com\play.scr
60:名無しさん@お腹いっぱい。
09/07/05 17:13:33
>>53
NortonInternetSecurity2009
Trojan.Fakeavalert:avyciso.cn.htm、avyodu.cn.htm
AntiVirus2008:installer_70126.exe
61:名無しさん@お腹いっぱい。
09/07/05 18:31:45
カスペ 2010 9.0.0.451CF1ベータ 16:34
CF1テスト中のため、参加遅れた。orz
>>38 ㌧ tane0430
>>51の通り,3/3で閉鎖
>>49 ㌧ tane0431
1/2 、ただし、アナリスト返事で1+1=2/2 (>>44-48)
Trojan program Trojan-PSW.Win32.Kates.cohqhdr.gcm
>>52 ㌧tane0432
3/5 (www.muswou.com\1188.exe, play.scrスルー)
Backdoor.Win32.PcClient.asjr www.shaimokale.com\online.scr \online.zip \online.zip 張佑赫.exe
>>53 ㌧ tane 0433
5/5
Trojan-Downloader.HTML.FraudLoad.a avyodu.cn\avyciso.cn.htm、 avyodu.cn.htm
Trojan-Downloader.Win32.FraudLoad.evw avyodu.cn\installer_70126.exe
Trojan-Downloader.Win32.CodecPack.ila greatexe.com\keygen.Stellar.Phoenix.*45088.exe, streamviewer.40014.exe
代理提出の方㌧
62:名無しさん@お腹いっぱい。
09/07/05 21:08:13
>>34
前スレ705 tane0416 (711,753)
カスペ再提出
5+(1+1)=7/57、白1、残49(porn,scanallフォルダのPHPとjs)
free-tube-orgasm.biz\index.php - Trojan-Downloader.Win32.FraudLoad.ewf
New malicious software was found in this file.
websystemsec.info\websystemsec.info.htm - No malicious code was found in this file.
63:20
09/07/05 21:16:23
>>44-49
Kaspersky2009 2009/07/05 20:52:00で検出可能になっています。一応報告。
64:名無しさん@お腹いっぱい。
09/07/05 21:50:25
URLリンク(tane.sakuratan.com)
infected
■ 検体入手元 ■
Malware Database 7/5分より
p://spacefunk■cn/go■php?id=2012&key=b6a0fad62&p=1
p://fast-antimalware-scannerv2■com/1/?id=2012&query=09689f146&q=%3DzQx3zj3NkQNMI%3DN
p://fast-antimalware-scannerv2■com/download/Setup(ランダム)■exe
どうみても、落とすページは Fake AV なんですが、落ちてくるexeはVTでは検出なし。
何度やってもファイル名は違うものの同じバイナリが落ちてくるので配布元がミスっているのか、
新種なので検知しないのか、それともIP見て無害なのを流されたか(それはないか…)
Setup-a3b7f_02012.exe(0/41)
URLリンク(www.virustotal.com)
各社への提出はこれからやります。
65:名無しさん@お腹いっぱい。
09/07/05 22:03:01
>>53
Nortonは残りのファイルはDownloaderとして全検出完了
66:名無しさん@お腹いっぱい。
09/07/05 22:06:49
>>64
Norton2009、Panda2010、GDATA2010、Avira全部スルーでした
検体提出してくれるようなので私は何もしません
67:名無しさん@お腹いっぱい。
09/07/05 22:50:39
>>64
一応、各社に提出完了。配布準備中だったのか…exeは無害なんかねぇ?
F-Secure SAS の結果。
fast-antimalware-scannerv2.com.htmは投稿直後に疑惑ステータス。他はクリーン。
Norman
Setup-a3b7f_02012.exe : Not detected by Sandbox (Signature: NO_VIRUS)
Rising
2. Filename:Setup-a3b7f_02012.exe
No malware.
68:名無しさん@お腹いっぱい。
09/07/05 23:06:38
>>64
Nortonが早速一個検出してくれました
XPAntivirus:Setup-a3b7f_02012.exe
69:名無しさん@お腹いっぱい。
09/07/05 23:23:07
>>64 ㌧
カスペ2010 22:02
1/6 (DownloadのSetup-*a3f*.exeと、imgの4つの jsファイルはスルー)
Trojan-Downloader.JS.FraudLoad.a \fast-antimalware-scannerv2.com\fast-antimalware-scannerv2.com.htm
カスペからの返事
>>35 tane0421
前スレ742(746-747,753,756,764,768、本スレ>>36) (88.198.234.133)
80+10=90/91/96、 白5で本件クローズ
index-go.htm_ - Trojan-Downloader.JS.Agent.ehc,
new.exe_ - Trojan-Dropper.Win32.Agent.avfn
search.php - No malicious code was found in this file.
>>34 tane 0419
前スレ723 (727,739,741,753,764)
43+(5+1)=49/56 ,白6, 回答待ち1 yes.txt)
w ww.free-celeb-videos.net.htm - - Trojan-Downloader.HTML.Agent.pl
70:20
09/07/05 23:40:51
>>64,67 乙です。
一通り提出して頂いているようなので、exeだけ単独で送ってみました。
Setup-a3b7f_02012.exe - Trojan-Downloader.Win32.FraudLoad.ews
New malicious software was found in this file.
exe単独は返事早いですね。 ということで、実行ファイルは黒でした。
71:名無しさん@お腹いっぱい。
09/07/06 00:00:08
>>38
Norton全検出確認(詳細な検出報告できなくてごめんなさい)
72:名無しさん@お腹いっぱい。
09/07/06 00:03:41
>>52
NortonInternetSecurity2009
Backdoor.Formador:online.zip、online.scr
73:名無しさん@お腹いっぱい。
09/07/06 00:08:29
前スレ772
NortonInternetSecurity2009
Infostealer:w.exe
Trojan Horse:MusicTupac-*.exe
74:62
09/07/06 00:11:55
>>34
前スレ705 tane0416 (711,753, >>62)
カスペからの返事
5+(1+1)=7/57、白1+4=5、残45(pornフォルダの 45 PHP files)
scanallviruses.comフォルダ
flist.js_, jquery-init.js_, jquery.js_, scanallviruses.com.htm_
No malicious code were found in these files.
75:名無しさん@お腹いっぱい。
09/07/06 02:45:19
>>44
URLリンク(www.filefactory.com)
たぶん、これも亜種
76:名無しさん@お腹いっぱい。
09/07/06 03:04:42
>>75
VirusTotal(22/40)
URLリンク(www.virustotal.com)
77:名無しさん@お腹いっぱい。
09/07/06 03:26:45
Kaspersky・・・
avast!(笑)
78:20
09/07/06 07:01:36
>>75-77
それは本当のKeygenかもしれんので、要注意。(単なるトロイではなく、Keygen+トロイという可能性)
※ Symantecの所が Hacktool になっているのが危ない。パスワード破りのツール等に分類されると、
Symantecがこういう検出名を付けることが多い。
今から出張でしばらく不在のため確認できないので、一応注意喚起します。
提出する人はご注意下さい。(特にavastに出す人)
79:名無しさん@お腹いっぱい。
09/07/06 08:16:18
COMODO Internet Security 1551
>>38
3/3
>>49
1/2
>>52
3/5
>>53
2/5
>>64
1/6
Setup-a3b7f_02012.exeのみ検出
>>75
VirusTotalでは反映されてませんが検出します
Heur.Packed.Unknown
未検出分を提出しました。
80:1
09/07/06 14:18:18
>>3とスレタイ通り
keygenの類を際限なくチェックしていると、ダウン板住民の格好のおとりになる危険がある。
割れ厨がアップローダに無責任にファイルをあげて、自らの手を汚さず、セキュ板住人に安全性をチェックさせていく構図が生まれる。
nyや洒落で流れている写真屋のキージェネのexeなんて、いくらでもあるぞ。
割れ厨を救済する義理も全くないし、厄介事にもかかわりたくないんだが。
うpする人も信頼できる人に特定した方がいいのかな。
81:名無しさん@お腹いっぱい。
09/07/06 14:19:45
>>76
そのスキャン結果は5月1日のものだけど
今日の結果ではどうなの?
2ヶ月前の結果出されても参考にならないよ
82:名無しさん@お腹いっぱい。
09/07/06 14:40:44
76ではないが・・・
VirusTotal(25/41)
URLリンク(www.virustotal.com)
83:名無しさん@お腹いっぱい。
09/07/06 14:48:16
>>80
提出するしないは各個人の自由かつ自己責任でいいと思う。
>>76
カスペには一応提出
でも、今後は見合わせる予定。
84:82
09/07/06 14:48:43
間違えた(汗
VirusTotal(19/41)
URLリンク(www.virustotal.com)
85:名無しさん@お腹いっぱい。
09/07/06 14:54:38
>>75
それは本当のavast!(笑)Keygenだな。
86:名無しさん@お腹いっぱい。
09/07/06 15:00:32
検出数とMD5を比較すると
>>76 22/40 (55.00%) 3e492441557ae98f27f01df4042625a7
>>84 19/41 (46.35%) 3e492441557ae98f27f01df4042625a7
同じファイルの結果だけど2ヵ月後には
a-squared、BitDefender、F-Secure、GData、Normanが白判定に変わって
ClamAV、eSafeが黒判定に変わってるね
Ikarusは白判定で検出のまま変わらず
検出してるところは誤検出の可能性がありそうだね
87:名無しさん@お腹いっぱい。
09/07/06 17:54:55
URLリンク(enif.mmobbs.com) から来ました。
Value DomainのWebサイト改竄で外部から仕込まれるJavaScript
URLリンク(tane.sakuratan.com)
infected
VirusTotal(6/41)
URLリンク(www.virustotal.com)
88:名無しさん@お腹いっぱい。
09/07/06 18:00:35
>>87
Panda、GDATA2010(=avast!&BitDefender)へ提出完了
89:名無しさん@お腹いっぱい。
09/07/06 18:30:44
>>87
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
go.jpg |inconclusive | | |no
90:名無しさん@お腹いっぱい。
09/07/06 18:58:17
>>75
カスペからの返事
a.exe (=keygen.exe) 改名して提出した結果
No malicious code was found in this file
.
>>47がTrojan.Win32."Agent" なので、白黒何も言えない。
>>87㌧
VT通り、スルー 0/1
提出します。
91:名無しさん@お腹いっぱい。
09/07/07 07:22:28
URLリンク(tane.sakuratan.com)
virus
jsとhtmはmsvidctl.dllの脆弱性のスクリプト。
URLリンク(www.microsoft.com)
exeはオマケみたいなもん。
92:名無しさん@お腹いっぱい。
09/07/07 08:57:33
>>91
Syamantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
exeはおまけといってるものの一応Symantecから自動返答
filename: trj1_1.exe
machine: Machine
result: See the developer notes
filename: trj1.exe
machine: Machine
result: See the developer notes
93:名無しさん@お腹いっぱい。
09/07/07 09:33:17
>>91
AviraPremiumSecuritySuite
msvideo1.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo1.js [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo2.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo2.js [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
nspk1.exe [DETECTION] Is the TR/Crypt.NSPM.Gen Trojan
trj1.exe
[0] Archive type: RSRC
[DETECTION] Is the TR/Spy.Gen Trojan
trj1_1.exe
[0] Archive type: RSRC
[DETECTION] Is the TR/Spy.Gen Trojan
94:名無しさん@お腹いっぱい。
09/07/07 09:37:30
>>91
NortonInternetSecurity2009
Downloader.Fostrem:msvideo1.htm、msvideo1.js、msvideo2.htm、msvideo2.js
Hacktool:nspk1.exe
95:名無しさん@お腹いっぱい。
09/07/07 09:40:05
>>91
PandaGlobalProtection2010
Virus detected: Trj/CI.A:nspk1.exe
Suspicious file:trj1.exe
96:名無しさん@お腹いっぱい。
09/07/07 09:42:36
>>91
GDATAInternetSecurity2010
nspk1.exe
Virus: Trojan.Dropper.RHC (Engine A)
※avast!側でも検出可能
97:90
09/07/07 11:03:40
カスペ2010 10:35
>>91㌧ tane0436
3/7 検体提出します。
Trojan program Exploit.JS.DirektShow.b tane0436\msvideo1.js
Trojan program Exploit.JS.DirektShow.b tane0436\msvideo2.js
not-a-virus:NetTool.Win32.ZXProxy.h tane0436\nspk1.exe
>>87 tane0435(>>90)
0+事後検知1/1で閉鎖
Trojan program Exploit.JS.DirektShow.b tane0435\go.jp (検知)
98:名無しさん@お腹いっぱい。
09/07/07 11:56:43
>>91
マイクロソフト、Video ActiveXコントロールの脆弱性について警告
URLリンク(japan.cnet.com)
『IE』に対する新たなゼロデイ攻撃
URLリンク(japan.internet.com)
ゼロデイか。
パッチ未提供で、コードが出回っているって。orz
当面は、アドバイザリにしたがい、回避策を実行するしかないのかな。
MSの言い方では、7月の月例パッチには間に合わないように聞こえる。orz
99:名無しさん@お腹いっぱい。
09/07/07 12:06:34
URLリンク(tane.sakuratan.com)
pass:virus
今朝、スキャンしたら検出しますた。
使用:あばすとー!
100:名無しさん@お腹いっぱい。
09/07/07 12:32:58
>>98
5月のquartz.dllのQuickTime呼び出しの件
URLリンク(www.microsoft.com)
すら未パッチだしねぇ。
101:名無しさん@お腹いっぱい。
09/07/07 12:52:15
>>99
一応SymantecとPandaとGDATA2010(今回はBitDefenderのみ)に提出しといた
102:名無しさん@お腹いっぱい。
09/07/07 13:59:13
>>91
AntiVir9 全検出
msvideo1.htm : HTML/Shellcode.Gen HTML script virus
msvideo1.js : HTML/Shellcode.Gen HTML script virus
msvideo2.htm : HTML/Shellcode.Gen HTML script virus
msvideo2.js : HTML/Shellcode.Gen HTML script virus
nspk1.exe : TR/Crypt.NSPM.Gen Trojan
trj1.exe : TR/Spy.Gen Trojan
trj1_1.exe : TR/Spy.Gen Trojan
103:名無しさん@お腹いっぱい。
09/07/07 14:01:03
URLリンク(tane.sakuratan.com)
infected
MalwareDatabase 7/6分より
104:名無しさん@お腹いっぱい。
09/07/07 14:02:59
>>103
AntiVirとAntiyLabsにはftp経由で提出済み。
AntiVir検出結果
bot.anhheo.com/IEupdate.exe : -
cutaiamortgagegroup.cn/load.exe : DR/Delphi.Gen dropper
down.ddosor.cn/1.exe : -
down.ddosor.cn/2.exe : TR/Crypt.FKM.Gen Trojan
down.ddosor.cn/6.exe : TR/Crypt.XPACK.Gen Trojan
down.ddosor.cn/9.exe : TR/Crypt.ULPM.Gen Trojan
download.live-player.com/Live-Player_setup.exe : ADSPY/LivePlayer.A.44 adware or spyware
free-ipodtouch.com/technigo.exe : TR/Dropper.Gen Trojan
inb4sk.com/file.exe : TR/Crypt.XPACK.Gen2 Trojan
msnweb.dyns.net/express.exe : TR/Dropper.Gen Trojan
msnweb.dyns.net/IMG511975310_134453_9198-JPG.EXE : DR/Agent.vad dropper
s10248s0s.tzsx226.2666.com.cn/026.exe : TR/Crypt.FKM.Gen Trojan
tube-best-4free.com/TubeViewer.ver.6.40000.exe : -
tube-best-4free.com/xplay.php : -
www.alfafoxx.com/mbt.exe : TR/Crypt.ZPACK.Gen Trojan
www.hkzj520.com/ok.exe : TR/Dropper.Gen Trojan
xpdeluxeprotector.com/109.exe : TR/Crypt.ZPACK.Gen Trojan
xpdeluxeprotector.com/113.exe : TR/Spy.45059 Trojan
xpdeluxeprotector.com/116.exe : -
zuka.dsl.ge/wetin.exe : DR/Delphi.Gen dropper
105:名無しさん@お腹いっぱい。
09/07/07 14:06:29
>>103
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
106:97
09/07/07 14:36:21
カスペからの返事
>>91(>>97) tane0436
3+2=5, 残2(troj1.exe, troj1_1.exe)
msvideo1.htm_, msvideo2.htm_ - Exploit.JS.DirektShow.c
New malicious software was found in these files.
107:名無しさん@お腹いっぱい。
09/07/07 15:03:02
カスペ2010 13:59:00
>>103 ㌧
tane0438
11/20
Trojan-Dropper.Win32.Wlord.gen \cutai*\load.exe (1/1)
Trojan.Win32.Multis.hl \down.ddosor.cn\2.exe '(2/4, - 1.exe, 6.exe スルー)
Trojan.Win32.AntiAV.bwg \down.ddosor.cn\9.exe
Trojan-Spy.Win32.TDSS.bk \inb4sk.com\file.exe (1/1)
Trojan.Win32.Agent.cnrq \msnweb.*\express.exe (2/2)
Trojan.Win32.Agent.cnrq \msnweb.*\IMG511975310*JPG.EXE
Backdoor.Win32.Delf.puh \s10248s0s*\026.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.exe \tube-best*\TubeViewer.ver.6.40000.exe (1/2, - xplay.phpスルー)
Packed.Win32.Klone.bh \www.hkzj520.com\ok.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.ewe \xpdeluxeprotector.com\113.exe (1/3, - 109.exe, 116.exe スルー))
Detected virus Net-Worm.Win32.Kolab.cnx \zuka.dsl.ge\wetin.exe (1/1)
スルー
bot*\IEupdate.exe, download*\ive-Player-Setup.exe, free-ipod\technigo.exe, wwwalfa*\mbt.exe
108:名無しさん@お腹いっぱい。
09/07/07 15:38:52
>>91 >>99 >>103
NormanとZoner以外はマイナー所も含め、一通り提出完了。(一部重複提出になってます。ベンダーさんごめんなさい)
109:107
09/07/07 18:16:24
カスペからの返事
>>103 tane0438 (>>107)
11+事後2=13/20 、白1、破損1、残5
xpdeluxeprotector.com\116.exe - Trojan-Downloader.Win32.FraudLoad.exm (返答→KDN検知)
bot.anhheo.com\IEupdate.exe - Trojan.Win32.Autoit.zs (検知)
free-ipodtouch.com\technigo.exe - This file is corrupted. (破損)
download.live-player.com\Live-Player_setup.exe - No malicious software (白)
>>52 (>>61) tane0432
tane0432\www.muswou.com\1188.exe, play.scr が未回答&未検知なのが気になる。
110:20
09/07/07 18:48:12
>>90
出張先のため検出可否判断はできないので、関係したこの件についてのコメントだけ...
>44-48のものと>75-77のものは、VTの結果を見ての通り、全くの別物です。
>75にある“亜種”というコメントが間違いです。(各ベンダーの検出時の種類が、ほとんど一致していない)
ですので、>75については、そのまま放置で可だと思います。(Anubisにも投げてみましたが、あまり変な挙動は無い)
# 多分>85が正解。
あと、DirectShow関連のゼロデイ攻撃、一気に増えそうな感じ...皆様乙です。しばらく手伝えませんが、頑張って下さい。
111:名無しさん@お腹いっぱい。
09/07/07 18:49:56
COMODO Internet Security 1573
>>87
スルー
>>91
nspk1.exe:Heur.Pck.NsPack
trj1.exe:Heur.Suspicious@25876964
2/7
>>99
スルー
>>103
down.ddosor.cn\9.exe:TrojWare.Win32.Trojan.Agent.Gen@23093763
inb4sk.com\file.exe:TrojWare.Win32.TrojanSpy.TDSS.~B@25841645
msnweb.dyns.net\express.exe:UnclassifiedMalware@25394088
tube-best-4free.com\TubeViewer.ver.6.40000.exe:Heur.Packed.Unknown
xpdeluxeprotector.com\113.exe:TrojWare.Win32.TrojanDownloader.FraudLoad.~AQZ@25841644
zuka.dsl.ge\wetin.exe:TrojWare.Win32.Trojan.Agent.Gen@19880492
6/20
未検出分を提出しました
112:107
09/07/07 22:20:58
カスペからの返事
>>103 tane0438 (>>107,109)
11+事後3=14/20 、白1、破損1、残4
www.alfafoxx.com\mbt.exe - Trojan-Downloader.Win32.Agent.chua
New malicious software was found in the attached file.
113:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:01:44
今晩、アプロダメンテへとはいりますね
みなさんよろしく
114:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:02:51
ついでに「某」抜かしました
午前0時にかけてメンテはいります
115:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:25:03
アプロダメンテ完了
変更点
・ストレージを2GB
・再投稿秒数60秒
・ファイル保持数を5000
以上
116:名無しさん@お腹いっぱい。
09/07/08 03:33:36
あぷろだメンテお疲れ様です。早速利用してみました。
URLリンク(tane.sakuratan.com)
infected
■検体入手元
MalwareDatabase 7/6分より
p://m10b■com/in■cgi?2¶meter=
Redirect to
p://www■specialsuggestion■com/rl_keycmp■php?ct=46LU7&key=
Redirect to
p://m11b■org/in■cgi?2¶meter=
Redirect to
p://fast-filedownload■com/l/6c524f9d7bv7bp6en
Redirect to
p://ez-scanner-online■com/5/11/0/wsetup■exe
117:名無しさん@お腹いっぱい。
09/07/08 03:40:02
>>116
各社一通り提出済み。今回は珍しく、exeの検出率が悪いです。
片方のhtmlは比較的多目のベンダーが引っ掛けますが、exeと6c524f9d7bv7bp6en.htm以外は白判定かも。
AntiVir
6c524f9d7bv7bp6en.htm : HTML/FakeAlert.njh HTML script virus
他スルー
まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
6c524f9d7bv7bp6en.ht|current detection |generic fakealert!htm |Trojan |no
cse.htm |inconclusive | | |no
search.php |inconclusive | | |no
wsetup.exe |inconclusive | | |no
のーとん
filename: 6c524f9d7bv7bp6en.htm
result: This file is detected as Trojan.Fakeavalert.
(他は手動解析)
F-Secure SAS
6c524f9d7bv7bp6en.htm : Trojan-Downloader.HTML.FraudLoad.a
wsetup.exe : Trojan-Downloader.Win32.FraudLoad.exl
他2つは白判定/提出直後はexeが白判定だったけど、暫くしたら黒に変化。
118:名無しさん@お腹いっぱい。
09/07/08 13:05:25
IE Zero-Day attackがらみなんだが
URLリンク(ilion.blog47.fc2.com)
でレポされてるhellh.netにあるトロイ本体(f.gifと t.gif.gif)
の検出可否の報告がまだみたい(fk.pdfとgo.jpgは既出)なんだけど、
だれか可能な方いますか?
当方でURL踏んでも鯖が404返して検体が手に入らない・・・
119:91
09/07/08 13:16:23
>>118
>>91 のオマケのexeがt.gif.gif(を解凍したもの)です。
f.gifは入れ忘れたのでちょっとお待ちを。
120:名無しさん@お腹いっぱい。
09/07/08 13:26:21
URLリンク(tane.sakuratan.com)
virus
swfも入れときました(9.0.115用。それより古いFlashPlayerはシラネ)。
121:名無しさん@お腹いっぱい。
09/07/08 13:43:40
>>113-115 あっぷろーだ管理人さん 乙です。
カスペ2010 11:49:00
>>116 ㌧ tane0439
2/4 (m10b\cse.htm m11b.org\search.php スルー)
Trojan-Downloader.Win32.FraudLoad.exl ez-scanner-online.com\wsetup.exe
Trojan-Downloader.HTML.FraudLoad.a fast-filedownload.com\6c524f9d7bv7bp6en.htm
>>120 ㌧ tane0440
1/3 (i115,swf, n115.swf スルー)
virus Worm.Win32.AutoRun.gfq \tane0440\nspk2.exe
提出します。
122:121
09/07/08 13:53:28
カスペ2010 12:58:00
>>120 (>>121) tane0440
1+事後検知2=3/3でクローズ
Trojan program Exploit.SWF.Downloader.nt tane0440\i115.swf (検知)
Trojan program Exploit.SWF.Downloader.nu tane0440\n115.swf (検知)
123:名無しさん@お腹いっぱい。
09/07/08 14:01:06
はえーよw
124:名無しさん@お腹いっぱい。
09/07/08 14:49:22
>>120
Pandaへ提出完了(Symantecとavast!、BitDefenderは全検出なので何もせず)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
125:名無しさん@お腹いっぱい。
09/07/08 15:33:06
>>124の結果から、FlashPlayer関係を3件全部検出してるのは以下の19製品
a-squared, AhnLab-V3, AntiVir, Authentiumm, Avast, AVG, BitDefender, CAT-QuickHeal,
DrWeb, GData, Ikarus, Kaspersky, McAfee-GW-Edition, Microsoft, Norman, PCTools,
Rising, Sophos, Symantec
126:名無しさん@お腹いっぱい。
09/07/08 15:43:02
カスペからの返事
>>103(>>107,109,112) tane0438
11+事後4=15/20、白1、破損1,残3 (1.exe、6.exe、xplay.php)
xpdeluxeprotector.com\109.exe_ - not-a-virus:FraudTool.Win32.Agent.tc
New potentially risk software was found in this file.
>>123
誰か先に提出してくれていた分だと思う。㌧。
127:名無しさん@お腹いっぱい。
09/07/08 18:01:20
>>120
McAfee3/3
XP dat5669
i115.swf Exploit-CVE2007-0071
n115.swf Exploit-CVE2007-0071
nspk2.exe New Malware.u
virustotalと実機で結果が違うorz
128:名無しさん@お腹いっぱい。
09/07/08 18:31:43
>>127
extra.dat扱いなんじゃね?
129:名無しさん@お腹いっぱい。
09/07/08 18:45:56
カスペからの返事
>>52(>>61) tane0432
3+事後検出2=5/5でクローズ
1188.exe_, play.scr_ - Trojan-Dropper.Win32.Small.dog
New malicious software was found in these files.
>>116(>>121) tane0439
2/4、白2でクローズ
m10b.com\cse.htm_,
m11b.org\search.php
No malicious code were found in these files.
>>64(>>69,70) tane0434
1+1(>>70)=2/6、白1 残3 (*.jsファイル、ちなみにVT再解析しても0/41、白か?)
listfile.js_ - No malicious code was found in this file.
130:名無しさん@お腹いっぱい。
09/07/08 20:24:00
カスペ2010 19:27
>>103(>>107,109,112,126) tane0438
11+事後6=17/20、白1、破損1,残1 (xplay.php)
Trojan-Downloader.Win32.VB.ozn \down.ddosor.cn\1.exe (検知)
Trojan-Downloader.Win32.Agent.chxq \down.ddosor.cn\6.exe (返答)
(参考)
>>91,98,110
●MS、Windows XP/Server 2003のIEに対するゼロデイ攻撃への対策ツールを公開 (インプレス)
すでに広範囲で攻撃が確認されており、早急な対策が必要
URLリンク(www.forest.impress.co.jp)
URLリンク(internet.watch.impress.co.jp)
※中国を中心に最大1000程度のサイトが既にこのスクリプトに感染しており、さらに増加傾向。日本のサイトも被害に。
131:名無しさん@お腹いっぱい。
09/07/09 00:52:24
URLリンク(tane.sakuratan.com)
virus
132:名無しさん@お腹いっぱい。
09/07/09 01:00:15
>>131さん乙
Symantecとa-squaredとMalwarebytesに提出しました
NIS2009で1/7
133:名無しさん@お腹いっぱい。
09/07/09 06:30:38
>>132
McAfee (Active Protection 無効)0/7
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
1_1.exe |inconclusive | | |no
2.exe |inconclusive | | |no
2_1.exe |inconclusive | | |no
2_2.exe |inconclusive | | |no
dldr1.exe |inconclusive | | |no
trj1.exe |inconclusive | | |no
134:20
09/07/09 12:20:01
>>131
1.exe
URLリンク(www.virustotal.com) (16/41)
1_1.exe
URLリンク(www.virustotal.com) (4/41)
2.exe
URLリンク(www.virustotal.com) (15/41)
2_1.exe
URLリンク(www.virustotal.com) (9/40)
2_2.exe
URLリンク(www.virustotal.com) (7/41)
dldr1.exe
URLリンク(www.virustotal.com) (18/41)
trj1.exe
URLリンク(www.virustotal.com) (20/41)
VTでAVIRAが未検出の1_1.exeと2_2.exeは、AVIRAに提出しました。
Kasperskyは提出できる状況ではないので、他の人にお任せ。m(_ _)m
135:名無しさん@お腹いっぱい。
09/07/09 13:44:47
URLリンク(tane.sakuratan.com)
infected
MalwareDatabase 7/8分より
各社一通り提出済み(Norman,Zonerを除く)。今回もexeの検出率が悪いです。
[Detection possible other software]
1856317799/fk.pdf : HTML/Shellcode.Gen HTML script virus(AntiVir)
1856317799/jp.js : JS/Agent.HQ(F-Prot) , Trojan.Malscript!html(Symantec) , JS.EX-ActiveX.1096(ViRobot)
advanedspywarescan.com/Setup-d2f1c46_02022.exe : Trojan:Win32/FakeXPA(Microsoft)
exe-site.com/streamviewer.40069.exe : Trojan-Downloader.Win32.FraudLoad.exw(Kaspersky)
exe-site.com/xplays.php : - Not Detected - (Call streamviewer.40069.exe)
136:名無しさん@お腹いっぱい。
09/07/09 14:09:52
>>120
>>131
いずれも、各社一通り提出完了(Norman,Zonerを除く)。
137:名無しさん@お腹いっぱい。
09/07/09 14:59:17
URLリンク(tane.sakuratan.com)
virus
アメリカの複数のゲーマー向けサイトの広告に入っていたらしい
WoWの中国製パス抜きトロイ
138:名無しさん@お腹いっぱい。
09/07/09 16:51:37
>>135
Rising返答
1. Filename:streamviewer.40069.exe
Virusname:Trojan.Clicker.Win32.Agent.eos
2. Filename:xplays.php
3. Filename:fk.pdf
4. Filename:jp.js
5. Filename:Setup-d2f1c46_02022.exe
No malware.
まぁ、Risingだし・・・・・・・・・・・がんばれ。
139:名無しさん@お腹いっぱい。
09/07/09 16:53:36
ノートン自動返答
>>120
filename: n115.swf
filename: i115.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: nspk2.exe
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
>>131
filename: trj1.exe
result: This file is detected as Trojan.Dropper. URLリンク(www.symantec.com)
filename: 2_1.exe
filename: 2.exe
filename: 1_1.exe
filename: 1.exe
filename: dldr1.exe
filename: 2_2.exe
result: See the developer notes <手動解析へ>
140:名無しさん@お腹いっぱい。
09/07/09 16:55:55
まかふぃー自動返答
>>135
File Name Findings Detection Type Extra
--------------------|-----------------|------------------|------|-----
fk.pdf |inconclusive | | |no
jp.js |inconclusive | | |no
setup-d2f1c46_02022.|current detection|fakealert-di |Trojan|no
streamviewer.40069.e|inconclusive | | |no
xplays.php |inconclusive | | |no
>>120 >>131
File Name Findings Detection Type Extra
--------------------|-----------------|------------------|------|-----
1.exe |inconclusive | | |no
1_1.exe |inconclusive | | |no
2.exe |new detection |generic pws.y!dw |Trojan|yes
2_1.exe |inconclusive | | |no
2_2.exe |inconclusive | | |no
dldr1.exe |inconclusive | | |no
i115.swf |inconclusive | | |no
n115.swf |inconclusive | | |no
nspk2.exe |inconclusive | | |no
trj1.exe |new detection |generic dropper!do|Trojan|yes
141:名無しさん@お腹いっぱい。
09/07/09 17:44:22
カスペ2010 16:17
>>131㌧ tane0441 (>>134VT通り)
3/7
Trojan-Dropper.Win32.Small.dnd \2_2.exe
virus Worm.Win32.AutoRun.gfw \trj1.exe
Trojan program Trojan-GameThief.Win32.Lmir.cha (HEUR:Trojan.Win32.Beep_sys.silent) \dldr1.exe
>>135 ㌧ tane0442
2/5
Trojan-Downloader.Win32.FraudLoad.exw \exe-site.com\streamviewer.40069.exe
Exploit.Win32.Pidief.bcx \1856317799\fk.pdf
>>137 ㌧ tane0443
1/2, (wow1_1.exe スルー)
virus HEUR:Trojan.Win32.Generic tane0443\wow1.exe
検体提出します。
142:名無しさん@お腹いっぱい。
09/07/09 18:07:13
URLリンク(tane.sakuratan.com)
virus
143:20
09/07/09 18:19:02
AVIRA返答(VTで未検出だったものを提出した結果)
>>134
1_1.exe - TR/BHO.uds
2_2.exe - TR/Drop.Small.dnd.6
>>135
Setup-d2f1c46_02022.exe - MALWARE(genで検出できるようにすると記載)
streamviewer.40069.exe - TR/Dldr.Agent.xwb
>>137
wow1_1.exe - CLEAN (白)
あと、>135のxplays.phpjは、中身が</BODY></HTML>だけの14バイトのファイルなので、
黒判定するベンダーは出ないと思われます。
jp.jsも、中身を見ると黒判定するかどうか、かなり微妙。
144:名無しさん@お腹いっぱい。
09/07/09 18:52:56
>>137
AntiVir wow1_1.exe のみスルー
>>142
AntiVir 全検出
両検体、各社(NormanとZonerを除く)に提出完了。
>>143
>135のxplays.phpjは<略>
うわ、またやっちまった。orz
指摘サンクス&各ベンダー担当者さんごめんなさい…(ここで言っても仕方ないけど)
145:名無しさん@お腹いっぱい。
09/07/09 18:53:24
>>133
>>132を>>131に訂正orz
>>142
McAfee (Active Protection 無効)0/5
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dldr1.exe |inconclusive | | |no
trj1.exe |new detection |generic pws.y!dw |Trojan |yes
trj1_1.exe |inconclusive | | |no
trj2.exe |inconclusive |new malware-e |Virus |no
trj2_1.exe |inconclusive |new malware-e |Virus |no
146:名無しさん@お腹いっぱい。
09/07/09 18:54:50
>>137 >>142 まとめて提出したので
まかふぃー自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dldr1.exe |inconclusive | | |no
trj1.exe |new detection |generic pws.y!dw |Trojan |yes
trj1_1.exe |inconclusive | | |no
trj2.exe |inconclusive |new malware-e |Virus |no
trj2_1.exe |inconclusive |new malware-e |Virus |no
wow1.exe |current detection |generic.dx!us |Trojan |no
wow1_1.exe |inconclusive | | |no
147:名無しさん@お腹いっぱい。
09/07/09 18:56:00
被ったけど、検出漏れがあるよりいいよねってことで気にせず…
>>137 >>142
Rising返答。珍しく全検出。
1. Filename:dldr1.exe
Virusname:Backdoor.Win32.Undef.edl
2. Filename:trj1_1.exe
Virusname:Trojan.PSW.Win32.GameOLx.di
3. Filename:trj2.exe
4. Filename:trj2_1.exe
Virusname:Trojan.PSW.Win32.GameOnline.dxv
5. Filename:wow1_1.exe
6. Filename:wow1.exe
Virusname:Trojan.PSW.Win32.OnlineGame.zkc
7. Filename:trj1.exe
Virusname:Trojan.PSW.Win32.OnlineGame.zjz
148:名無しさん@お腹いっぱい。
09/07/09 19:14:33
検出可否確認せずにベンダーへ送るのやめようよ
Risingはただでさえ解析が遅いのに・・・
149:名無しさん@お腹いっぱい。
09/07/09 20:33:25
>>148
それが可能な時はやってます。
現在、私が提出してるのはこれだけ(↓)あります。
メールで43社、Webフォームから14社(うち2社は省略すること多し)、FTPから2社。
このそれぞれに対して、検出可否を確認した上で提出検体を振り分けて、未検出分のみにしろというのは
現実的ではありません。検出するものであれば、今回のように、機械的に返答して終わりなのですから
(同一検体が複数回届くのに比べたら)そんなに労力の増加には繋がらないはずです。
提出されないよりは、重複したり既知のものであっても送った方が良いという方針で処理しています。
(時間のない時はごめんなさいで、スレチェックせずにそのまま送ってますが)、可能な範囲で、提出報告の
あったものについては重複しないように提出先から省いています。
>>148のようにお考えでしたら、ご自身で検出可否をチェックされた上で、ベンダーに提出し、提出したことを
ここに報告してください。そうしたら、そのベンダーへの提出をこちらではスルーできます。
150:名無しさん@お腹いっぱい。
09/07/09 20:34:36
カスペからの返事
>>131(>>141) tane0441
3+1=4/7、残3
2.exe - Trojan-GameThief.Win32.WOW.ijz
>>135 (>>141) tane0442
2+1=3/5、残2
Setup-d2f1c46_02022.exe_ - Trojan-Downloader.Win32.FraudLoad.eyb
New malicious software was found in this file.
カスペ2010 18:29:00
>>142 ㌧ tane0444
1/5
Trojan-GameThief.Win32.OnLineGames.bmko tane0444\trj2.exe
検体提出します。
151:名無しさん@お腹いっぱい。
09/07/09 20:49:31
>>150
> >>142 ㌧ tane0444
> 検体提出します。
>144でカスペにも提出完了してます…けど、パターン更新してもうちへの返答は結構後回しにされること多いので
返答欲しいなら別途提出するのは正解かもしれない。
152:名無しさん@お腹いっぱい。
09/07/09 22:06:28
カスペからの返事
>>131 (>>141) tane0441
3/7、白1, 残3
1.exe - No malicious code was found in this file.
>>137 (>>141) tane0443
1/2、残1 (wow1_1.exe)
wow1.exe_ - Trojan-GameThief.Win32.WOW.ijy (←HEUR:Trojan.Win32.Generic)
>>142(>>150) tane0444
1+事後=3=4/5 (残 dldr1.exe)
trj1.exe - Trojan-GameThief.Win32.WOW.ijz
trj1_1.exe - Trojan-PSW.Win32.Agent.nja
trj2_1.exe - Trojan-PSW.Win32.QQPass.kej
>>151
んー、検査している順番がわからない。
返事を返さないアナリストもいるらしい。
救急搬送トリアージ的な発想で、常連は後回しにされてそう。(また、こいつか?みたいな)
153:名無しさん@お腹いっぱい。
09/07/09 23:00:38
>>137 >>143
カスペ返答(>152 残件も返答あり)
137 (2/2)
143 (5/5) でクローズ
dldr1.exe_ - Trojan-Downloader.Win32.Tiny.cew,
trj1.exe_ - Trojan-GameThief.Win32.WOW.ijz,
trj1_1.exe_ - Trojan-PSW.Win32.Agent.nja,
trj2_1.exe_ - Trojan-PSW.Win32.QQPass.kej,
wow1.exe_, wow1_1.exe_ - Trojan-GameThief.Win32.WOW.ijy
New malicious software was found.
trj2.exe_ - Trojan-GameThief.Win32.OnLineGames.bmko
This file is already detected.
154:名無しさん@お腹いっぱい。
09/07/09 23:40:55
URLリンク(tane.sakuratan.com)
infected
○ 検体入手元 ○
FakeAV MalwareDatabase 7/9分より
p://securedvirusscan■com/download/Setup-4e45_02022■exe
○ VirusTotal ○
Setup-4e45_02022■exe (0/41)
URLリンク(www.virustotal.com)
各社一通り提出完了。
155:名無しさん@お腹いっぱい。
09/07/09 23:48:27
カスペからの返事
>>135 tane0442
2+2=4/5、白1でクローズ
jp.js_ - Trojan-Downloader.JS.Iframe.bjt
xplays.php - 白
>>153 ㌧
>>142 5/5 クローズ tane0444に訂正
156:名無しさん@お腹いっぱい。
09/07/10 00:54:57
>>154
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup-4e45_02022.exe|inconclusive | | |no
157:名無しさん@お腹いっぱい。
09/07/10 09:54:32
URLリンク(tane.sakuratan.com)
virus
158:名無しさん@お腹いっぱい。
09/07/10 10:10:05
>>157
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
159:名無しさん@お腹いっぱい。
09/07/10 13:20:48
カスペ2010 12:27
>>157 ㌧ tane0446
>>3/6 (HEUR2) HEUR含め検体提出します。
virus HEUR:Exploit.Script.Generic msvideo2_1.js
virus HEUR:Exploit.Script.Generic msvideo2_2.js
not-a-virus:NetTool.Win32.ZXProxy.gn pcker1.exe
>>154 ㌧ tane0445
0/1のまま
こちらからも再提出
160:名無しさん@お腹いっぱい。
09/07/10 13:36:14
>>157
McAfee (Active Protection 無効)1/6
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
aspk1dldr.exe |current detection |generic.dx |Trojan |no
msvideo2_1.js |inconclusive | | |no
msvideo2_2.js |inconclusive | | |no
pcker1.exe |new detection |generic backdoor!ef |Trojan |yes
trj2.exe |inconclusive | | |no
trj2_1.exe |inconclusive | | |no
161:名無しさん@お腹いっぱい。
09/07/10 15:01:52
>>157 (>>159) tane0446
3+1=4/6 ,白1, 残1 (trj2_1.exe)
Trojan.JS.Agent.ajl - msvideo2_1.js、 msvideo2_2.js (←virus HEUR:Exploit.Script.Generic)
trj2.exe_ - Trojan.Win32.Agent2.kwa
aspk1dldr.exe - No malicious code was found in this file.
>>91(>>97,106) tane0436
3+事後検出4=7/7でクローズ
trj1.exe_ - Trojan-Dropper.Win32.Agent.avpr
trj1_1.exe_ - Trojan.Win32.BHO.vng
162:名無しさん@お腹いっぱい。
09/07/10 15:14:54
URLリンク(tane.sakuratan.com)
infected
検体入手元
MalwareDatabase 7/9分より
URLリンク(go-go-tube)<)■com/onlinemovies■[40000-40100]■exe
p://youtube-adult■name/
p://upload■octopus-multimedia■be/1/pdrv■exe
p://upload■octopus-multimedia■be/1/pp■10■exe
p://arplgm■cn/a■exe
p://youtube-adult■name/setup■exe
p://youtube-adult■name/VideoCodec■exe
p://youtube-adult■name/Mediacodec■exe
p://imagehut3■cn/images/evilItTheir■pdf
p://imagehut3■cn/images/update■php
p://missing-codecs■net/download/download■php
p://91■212■198■116/lib/update■php
p://www■hoje-noticias■pagebr■com/downloads/plug2■txt
p://www■hoje-noticias■pagebr■com/downloads/wiskyx■exe
p://www■hoje-noticias■pagebr■com/downloads/winsex2■txt
p://www■hoje-noticias■pagebr■com/downloads/winsex2■exe
p://vikd3jj-2■com/2/index■php
p://vikd3jj-2■com/2/update■exe
163:名無しさん@お腹いっぱい。
09/07/10 16:40:25
>>157 , >>162
各社一通り提出完了
未提出:Norman,Zoner
一部未提出:トレンドマイクロ
>>162の p://red-exe■com/onlinemovies■[40000-40100]■exe のみが入ったファイルが
500エラーで弾かれるのでそこだけ未提出。VTでは未検出の筈なんだけど、検出済みファイルのみの
時と同じエラーで提出不可?
これは時間を置いてから再提出を試み、ダメなら対応済みなのだと思って納得することにします。