09/07/07 12:32:58
>>98
5月のquartz.dllのQuickTime呼び出しの件
URLリンク(www.microsoft.com)
すら未パッチだしねぇ。
101:名無しさん@お腹いっぱい。
09/07/07 12:52:15
>>99
一応SymantecとPandaとGDATA2010(今回はBitDefenderのみ)に提出しといた
102:名無しさん@お腹いっぱい。
09/07/07 13:59:13
>>91
AntiVir9 全検出
msvideo1.htm : HTML/Shellcode.Gen HTML script virus
msvideo1.js : HTML/Shellcode.Gen HTML script virus
msvideo2.htm : HTML/Shellcode.Gen HTML script virus
msvideo2.js : HTML/Shellcode.Gen HTML script virus
nspk1.exe : TR/Crypt.NSPM.Gen Trojan
trj1.exe : TR/Spy.Gen Trojan
trj1_1.exe : TR/Spy.Gen Trojan
103:名無しさん@お腹いっぱい。
09/07/07 14:01:03
URLリンク(tane.sakuratan.com)
infected
MalwareDatabase 7/6分より
104:名無しさん@お腹いっぱい。
09/07/07 14:02:59
>>103
AntiVirとAntiyLabsにはftp経由で提出済み。
AntiVir検出結果
bot.anhheo.com/IEupdate.exe : -
cutaiamortgagegroup.cn/load.exe : DR/Delphi.Gen dropper
down.ddosor.cn/1.exe : -
down.ddosor.cn/2.exe : TR/Crypt.FKM.Gen Trojan
down.ddosor.cn/6.exe : TR/Crypt.XPACK.Gen Trojan
down.ddosor.cn/9.exe : TR/Crypt.ULPM.Gen Trojan
download.live-player.com/Live-Player_setup.exe : ADSPY/LivePlayer.A.44 adware or spyware
free-ipodtouch.com/technigo.exe : TR/Dropper.Gen Trojan
inb4sk.com/file.exe : TR/Crypt.XPACK.Gen2 Trojan
msnweb.dyns.net/express.exe : TR/Dropper.Gen Trojan
msnweb.dyns.net/IMG511975310_134453_9198-JPG.EXE : DR/Agent.vad dropper
s10248s0s.tzsx226.2666.com.cn/026.exe : TR/Crypt.FKM.Gen Trojan
tube-best-4free.com/TubeViewer.ver.6.40000.exe : -
tube-best-4free.com/xplay.php : -
www.alfafoxx.com/mbt.exe : TR/Crypt.ZPACK.Gen Trojan
www.hkzj520.com/ok.exe : TR/Dropper.Gen Trojan
xpdeluxeprotector.com/109.exe : TR/Crypt.ZPACK.Gen Trojan
xpdeluxeprotector.com/113.exe : TR/Spy.45059 Trojan
xpdeluxeprotector.com/116.exe : -
zuka.dsl.ge/wetin.exe : DR/Delphi.Gen dropper
105:名無しさん@お腹いっぱい。
09/07/07 14:06:29
>>103
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
106:97
09/07/07 14:36:21
カスペからの返事
>>91(>>97) tane0436
3+2=5, 残2(troj1.exe, troj1_1.exe)
msvideo1.htm_, msvideo2.htm_ - Exploit.JS.DirektShow.c
New malicious software was found in these files.
107:名無しさん@お腹いっぱい。
09/07/07 15:03:02
カスペ2010 13:59:00
>>103 ㌧
tane0438
11/20
Trojan-Dropper.Win32.Wlord.gen \cutai*\load.exe (1/1)
Trojan.Win32.Multis.hl \down.ddosor.cn\2.exe '(2/4, - 1.exe, 6.exe スルー)
Trojan.Win32.AntiAV.bwg \down.ddosor.cn\9.exe
Trojan-Spy.Win32.TDSS.bk \inb4sk.com\file.exe (1/1)
Trojan.Win32.Agent.cnrq \msnweb.*\express.exe (2/2)
Trojan.Win32.Agent.cnrq \msnweb.*\IMG511975310*JPG.EXE
Backdoor.Win32.Delf.puh \s10248s0s*\026.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.exe \tube-best*\TubeViewer.ver.6.40000.exe (1/2, - xplay.phpスルー)
Packed.Win32.Klone.bh \www.hkzj520.com\ok.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.ewe \xpdeluxeprotector.com\113.exe (1/3, - 109.exe, 116.exe スルー))
Detected virus Net-Worm.Win32.Kolab.cnx \zuka.dsl.ge\wetin.exe (1/1)
スルー
bot*\IEupdate.exe, download*\ive-Player-Setup.exe, free-ipod\technigo.exe, wwwalfa*\mbt.exe
108:名無しさん@お腹いっぱい。
09/07/07 15:38:52
>>91 >>99 >>103
NormanとZoner以外はマイナー所も含め、一通り提出完了。(一部重複提出になってます。ベンダーさんごめんなさい)
109:107
09/07/07 18:16:24
カスペからの返事
>>103 tane0438 (>>107)
11+事後2=13/20 、白1、破損1、残5
xpdeluxeprotector.com\116.exe - Trojan-Downloader.Win32.FraudLoad.exm (返答→KDN検知)
bot.anhheo.com\IEupdate.exe - Trojan.Win32.Autoit.zs (検知)
free-ipodtouch.com\technigo.exe - This file is corrupted. (破損)
download.live-player.com\Live-Player_setup.exe - No malicious software (白)
>>52 (>>61) tane0432
tane0432\www.muswou.com\1188.exe, play.scr が未回答&未検知なのが気になる。
110:20
09/07/07 18:48:12
>>90
出張先のため検出可否判断はできないので、関係したこの件についてのコメントだけ...
>44-48のものと>75-77のものは、VTの結果を見ての通り、全くの別物です。
>75にある“亜種”というコメントが間違いです。(各ベンダーの検出時の種類が、ほとんど一致していない)
ですので、>75については、そのまま放置で可だと思います。(Anubisにも投げてみましたが、あまり変な挙動は無い)
# 多分>85が正解。
あと、DirectShow関連のゼロデイ攻撃、一気に増えそうな感じ...皆様乙です。しばらく手伝えませんが、頑張って下さい。
111:名無しさん@お腹いっぱい。
09/07/07 18:49:56
COMODO Internet Security 1573
>>87
スルー
>>91
nspk1.exe:Heur.Pck.NsPack
trj1.exe:Heur.Suspicious@25876964
2/7
>>99
スルー
>>103
down.ddosor.cn\9.exe:TrojWare.Win32.Trojan.Agent.Gen@23093763
inb4sk.com\file.exe:TrojWare.Win32.TrojanSpy.TDSS.~B@25841645
msnweb.dyns.net\express.exe:UnclassifiedMalware@25394088
tube-best-4free.com\TubeViewer.ver.6.40000.exe:Heur.Packed.Unknown
xpdeluxeprotector.com\113.exe:TrojWare.Win32.TrojanDownloader.FraudLoad.~AQZ@25841644
zuka.dsl.ge\wetin.exe:TrojWare.Win32.Trojan.Agent.Gen@19880492
6/20
未検出分を提出しました
112:107
09/07/07 22:20:58
カスペからの返事
>>103 tane0438 (>>107,109)
11+事後3=14/20 、白1、破損1、残4
www.alfafoxx.com\mbt.exe - Trojan-Downloader.Win32.Agent.chua
New malicious software was found in the attached file.
113:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:01:44
今晩、アプロダメンテへとはいりますね
みなさんよろしく
114:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:02:51
ついでに「某」抜かしました
午前0時にかけてメンテはいります
115:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:25:03
アプロダメンテ完了
変更点
・ストレージを2GB
・再投稿秒数60秒
・ファイル保持数を5000
以上
116:名無しさん@お腹いっぱい。
09/07/08 03:33:36
あぷろだメンテお疲れ様です。早速利用してみました。
URLリンク(tane.sakuratan.com)
infected
■検体入手元
MalwareDatabase 7/6分より
p://m10b■com/in■cgi?2¶meter=
Redirect to
p://www■specialsuggestion■com/rl_keycmp■php?ct=46LU7&key=
Redirect to
p://m11b■org/in■cgi?2¶meter=
Redirect to
p://fast-filedownload■com/l/6c524f9d7bv7bp6en
Redirect to
p://ez-scanner-online■com/5/11/0/wsetup■exe
117:名無しさん@お腹いっぱい。
09/07/08 03:40:02
>>116
各社一通り提出済み。今回は珍しく、exeの検出率が悪いです。
片方のhtmlは比較的多目のベンダーが引っ掛けますが、exeと6c524f9d7bv7bp6en.htm以外は白判定かも。
AntiVir
6c524f9d7bv7bp6en.htm : HTML/FakeAlert.njh HTML script virus
他スルー
まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
6c524f9d7bv7bp6en.ht|current detection |generic fakealert!htm |Trojan |no
cse.htm |inconclusive | | |no
search.php |inconclusive | | |no
wsetup.exe |inconclusive | | |no
のーとん
filename: 6c524f9d7bv7bp6en.htm
result: This file is detected as Trojan.Fakeavalert.
(他は手動解析)
F-Secure SAS
6c524f9d7bv7bp6en.htm : Trojan-Downloader.HTML.FraudLoad.a
wsetup.exe : Trojan-Downloader.Win32.FraudLoad.exl
他2つは白判定/提出直後はexeが白判定だったけど、暫くしたら黒に変化。
118:名無しさん@お腹いっぱい。
09/07/08 13:05:25
IE Zero-Day attackがらみなんだが
URLリンク(ilion.blog47.fc2.com)
でレポされてるhellh.netにあるトロイ本体(f.gifと t.gif.gif)
の検出可否の報告がまだみたい(fk.pdfとgo.jpgは既出)なんだけど、
だれか可能な方いますか?
当方でURL踏んでも鯖が404返して検体が手に入らない・・・
119:91
09/07/08 13:16:23
>>118
>>91 のオマケのexeがt.gif.gif(を解凍したもの)です。
f.gifは入れ忘れたのでちょっとお待ちを。
120:名無しさん@お腹いっぱい。
09/07/08 13:26:21
URLリンク(tane.sakuratan.com)
virus
swfも入れときました(9.0.115用。それより古いFlashPlayerはシラネ)。
121:名無しさん@お腹いっぱい。
09/07/08 13:43:40
>>113-115 あっぷろーだ管理人さん 乙です。
カスペ2010 11:49:00
>>116 ㌧ tane0439
2/4 (m10b\cse.htm m11b.org\search.php スルー)
Trojan-Downloader.Win32.FraudLoad.exl ez-scanner-online.com\wsetup.exe
Trojan-Downloader.HTML.FraudLoad.a fast-filedownload.com\6c524f9d7bv7bp6en.htm
>>120 ㌧ tane0440
1/3 (i115,swf, n115.swf スルー)
virus Worm.Win32.AutoRun.gfq \tane0440\nspk2.exe
提出します。
122:121
09/07/08 13:53:28
カスペ2010 12:58:00
>>120 (>>121) tane0440
1+事後検知2=3/3でクローズ
Trojan program Exploit.SWF.Downloader.nt tane0440\i115.swf (検知)
Trojan program Exploit.SWF.Downloader.nu tane0440\n115.swf (検知)
123:名無しさん@お腹いっぱい。
09/07/08 14:01:06
はえーよw
124:名無しさん@お腹いっぱい。
09/07/08 14:49:22
>>120
Pandaへ提出完了(Symantecとavast!、BitDefenderは全検出なので何もせず)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
125:名無しさん@お腹いっぱい。
09/07/08 15:33:06
>>124の結果から、FlashPlayer関係を3件全部検出してるのは以下の19製品
a-squared, AhnLab-V3, AntiVir, Authentiumm, Avast, AVG, BitDefender, CAT-QuickHeal,
DrWeb, GData, Ikarus, Kaspersky, McAfee-GW-Edition, Microsoft, Norman, PCTools,
Rising, Sophos, Symantec
126:名無しさん@お腹いっぱい。
09/07/08 15:43:02
カスペからの返事
>>103(>>107,109,112) tane0438
11+事後4=15/20、白1、破損1,残3 (1.exe、6.exe、xplay.php)
xpdeluxeprotector.com\109.exe_ - not-a-virus:FraudTool.Win32.Agent.tc
New potentially risk software was found in this file.
>>123
誰か先に提出してくれていた分だと思う。㌧。
127:名無しさん@お腹いっぱい。
09/07/08 18:01:20
>>120
McAfee3/3
XP dat5669
i115.swf Exploit-CVE2007-0071
n115.swf Exploit-CVE2007-0071
nspk2.exe New Malware.u
virustotalと実機で結果が違うorz
128:名無しさん@お腹いっぱい。
09/07/08 18:31:43
>>127
extra.dat扱いなんじゃね?
129:名無しさん@お腹いっぱい。
09/07/08 18:45:56
カスペからの返事
>>52(>>61) tane0432
3+事後検出2=5/5でクローズ
1188.exe_, play.scr_ - Trojan-Dropper.Win32.Small.dog
New malicious software was found in these files.
>>116(>>121) tane0439
2/4、白2でクローズ
m10b.com\cse.htm_,
m11b.org\search.php
No malicious code were found in these files.
>>64(>>69,70) tane0434
1+1(>>70)=2/6、白1 残3 (*.jsファイル、ちなみにVT再解析しても0/41、白か?)
listfile.js_ - No malicious code was found in this file.
130:名無しさん@お腹いっぱい。
09/07/08 20:24:00
カスペ2010 19:27
>>103(>>107,109,112,126) tane0438
11+事後6=17/20、白1、破損1,残1 (xplay.php)
Trojan-Downloader.Win32.VB.ozn \down.ddosor.cn\1.exe (検知)
Trojan-Downloader.Win32.Agent.chxq \down.ddosor.cn\6.exe (返答)
(参考)
>>91,98,110
●MS、Windows XP/Server 2003のIEに対するゼロデイ攻撃への対策ツールを公開 (インプレス)
すでに広範囲で攻撃が確認されており、早急な対策が必要
URLリンク(www.forest.impress.co.jp)
URLリンク(internet.watch.impress.co.jp)
※中国を中心に最大1000程度のサイトが既にこのスクリプトに感染しており、さらに増加傾向。日本のサイトも被害に。
131:名無しさん@お腹いっぱい。
09/07/09 00:52:24
URLリンク(tane.sakuratan.com)
virus
132:名無しさん@お腹いっぱい。
09/07/09 01:00:15
>>131さん乙
Symantecとa-squaredとMalwarebytesに提出しました
NIS2009で1/7
133:名無しさん@お腹いっぱい。
09/07/09 06:30:38
>>132
McAfee (Active Protection 無効)0/7
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
1_1.exe |inconclusive | | |no
2.exe |inconclusive | | |no
2_1.exe |inconclusive | | |no
2_2.exe |inconclusive | | |no
dldr1.exe |inconclusive | | |no
trj1.exe |inconclusive | | |no
134:20
09/07/09 12:20:01
>>131
1.exe
URLリンク(www.virustotal.com) (16/41)
1_1.exe
URLリンク(www.virustotal.com) (4/41)
2.exe
URLリンク(www.virustotal.com) (15/41)
2_1.exe
URLリンク(www.virustotal.com) (9/40)
2_2.exe
URLリンク(www.virustotal.com) (7/41)
dldr1.exe
URLリンク(www.virustotal.com) (18/41)
trj1.exe
URLリンク(www.virustotal.com) (20/41)
VTでAVIRAが未検出の1_1.exeと2_2.exeは、AVIRAに提出しました。
Kasperskyは提出できる状況ではないので、他の人にお任せ。m(_ _)m
135:名無しさん@お腹いっぱい。
09/07/09 13:44:47
URLリンク(tane.sakuratan.com)
infected
MalwareDatabase 7/8分より
各社一通り提出済み(Norman,Zonerを除く)。今回もexeの検出率が悪いです。
[Detection possible other software]
1856317799/fk.pdf : HTML/Shellcode.Gen HTML script virus(AntiVir)
1856317799/jp.js : JS/Agent.HQ(F-Prot) , Trojan.Malscript!html(Symantec) , JS.EX-ActiveX.1096(ViRobot)
advanedspywarescan.com/Setup-d2f1c46_02022.exe : Trojan:Win32/FakeXPA(Microsoft)
exe-site.com/streamviewer.40069.exe : Trojan-Downloader.Win32.FraudLoad.exw(Kaspersky)
exe-site.com/xplays.php : - Not Detected - (Call streamviewer.40069.exe)
136:名無しさん@お腹いっぱい。
09/07/09 14:09:52
>>120
>>131
いずれも、各社一通り提出完了(Norman,Zonerを除く)。
137:名無しさん@お腹いっぱい。
09/07/09 14:59:17
URLリンク(tane.sakuratan.com)
virus
アメリカの複数のゲーマー向けサイトの広告に入っていたらしい
WoWの中国製パス抜きトロイ
138:名無しさん@お腹いっぱい。
09/07/09 16:51:37
>>135
Rising返答
1. Filename:streamviewer.40069.exe
Virusname:Trojan.Clicker.Win32.Agent.eos
2. Filename:xplays.php
3. Filename:fk.pdf
4. Filename:jp.js
5. Filename:Setup-d2f1c46_02022.exe
No malware.
まぁ、Risingだし・・・・・・・・・・・がんばれ。
139:名無しさん@お腹いっぱい。
09/07/09 16:53:36
ノートン自動返答
>>120
filename: n115.swf
filename: i115.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: nspk2.exe
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
>>131
filename: trj1.exe
result: This file is detected as Trojan.Dropper. URLリンク(www.symantec.com)
filename: 2_1.exe
filename: 2.exe
filename: 1_1.exe
filename: 1.exe
filename: dldr1.exe
filename: 2_2.exe
result: See the developer notes <手動解析へ>
140:名無しさん@お腹いっぱい。
09/07/09 16:55:55
まかふぃー自動返答
>>135
File Name Findings Detection Type Extra
--------------------|-----------------|------------------|------|-----
fk.pdf |inconclusive | | |no
jp.js |inconclusive | | |no
setup-d2f1c46_02022.|current detection|fakealert-di |Trojan|no
streamviewer.40069.e|inconclusive | | |no
xplays.php |inconclusive | | |no
>>120 >>131
File Name Findings Detection Type Extra
--------------------|-----------------|------------------|------|-----
1.exe |inconclusive | | |no
1_1.exe |inconclusive | | |no
2.exe |new detection |generic pws.y!dw |Trojan|yes
2_1.exe |inconclusive | | |no
2_2.exe |inconclusive | | |no
dldr1.exe |inconclusive | | |no
i115.swf |inconclusive | | |no
n115.swf |inconclusive | | |no
nspk2.exe |inconclusive | | |no
trj1.exe |new detection |generic dropper!do|Trojan|yes
141:名無しさん@お腹いっぱい。
09/07/09 17:44:22
カスペ2010 16:17
>>131㌧ tane0441 (>>134VT通り)
3/7
Trojan-Dropper.Win32.Small.dnd \2_2.exe
virus Worm.Win32.AutoRun.gfw \trj1.exe
Trojan program Trojan-GameThief.Win32.Lmir.cha (HEUR:Trojan.Win32.Beep_sys.silent) \dldr1.exe
>>135 ㌧ tane0442
2/5
Trojan-Downloader.Win32.FraudLoad.exw \exe-site.com\streamviewer.40069.exe
Exploit.Win32.Pidief.bcx \1856317799\fk.pdf
>>137 ㌧ tane0443
1/2, (wow1_1.exe スルー)
virus HEUR:Trojan.Win32.Generic tane0443\wow1.exe
検体提出します。
142:名無しさん@お腹いっぱい。
09/07/09 18:07:13
URLリンク(tane.sakuratan.com)
virus
143:20
09/07/09 18:19:02
AVIRA返答(VTで未検出だったものを提出した結果)
>>134
1_1.exe - TR/BHO.uds
2_2.exe - TR/Drop.Small.dnd.6
>>135
Setup-d2f1c46_02022.exe - MALWARE(genで検出できるようにすると記載)
streamviewer.40069.exe - TR/Dldr.Agent.xwb
>>137
wow1_1.exe - CLEAN (白)
あと、>135のxplays.phpjは、中身が</BODY></HTML>だけの14バイトのファイルなので、
黒判定するベンダーは出ないと思われます。
jp.jsも、中身を見ると黒判定するかどうか、かなり微妙。
144:名無しさん@お腹いっぱい。
09/07/09 18:52:56
>>137
AntiVir wow1_1.exe のみスルー
>>142
AntiVir 全検出
両検体、各社(NormanとZonerを除く)に提出完了。
>>143
>135のxplays.phpjは<略>
うわ、またやっちまった。orz
指摘サンクス&各ベンダー担当者さんごめんなさい…(ここで言っても仕方ないけど)
145:名無しさん@お腹いっぱい。
09/07/09 18:53:24
>>133
>>132を>>131に訂正orz
>>142
McAfee (Active Protection 無効)0/5
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dldr1.exe |inconclusive | | |no
trj1.exe |new detection |generic pws.y!dw |Trojan |yes
trj1_1.exe |inconclusive | | |no
trj2.exe |inconclusive |new malware-e |Virus |no
trj2_1.exe |inconclusive |new malware-e |Virus |no
146:名無しさん@お腹いっぱい。
09/07/09 18:54:50
>>137 >>142 まとめて提出したので
まかふぃー自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dldr1.exe |inconclusive | | |no
trj1.exe |new detection |generic pws.y!dw |Trojan |yes
trj1_1.exe |inconclusive | | |no
trj2.exe |inconclusive |new malware-e |Virus |no
trj2_1.exe |inconclusive |new malware-e |Virus |no
wow1.exe |current detection |generic.dx!us |Trojan |no
wow1_1.exe |inconclusive | | |no
147:名無しさん@お腹いっぱい。
09/07/09 18:56:00
被ったけど、検出漏れがあるよりいいよねってことで気にせず…
>>137 >>142
Rising返答。珍しく全検出。
1. Filename:dldr1.exe
Virusname:Backdoor.Win32.Undef.edl
2. Filename:trj1_1.exe
Virusname:Trojan.PSW.Win32.GameOLx.di
3. Filename:trj2.exe
4. Filename:trj2_1.exe
Virusname:Trojan.PSW.Win32.GameOnline.dxv
5. Filename:wow1_1.exe
6. Filename:wow1.exe
Virusname:Trojan.PSW.Win32.OnlineGame.zkc
7. Filename:trj1.exe
Virusname:Trojan.PSW.Win32.OnlineGame.zjz
148:名無しさん@お腹いっぱい。
09/07/09 19:14:33
検出可否確認せずにベンダーへ送るのやめようよ
Risingはただでさえ解析が遅いのに・・・
149:名無しさん@お腹いっぱい。
09/07/09 20:33:25
>>148
それが可能な時はやってます。
現在、私が提出してるのはこれだけ(↓)あります。
メールで43社、Webフォームから14社(うち2社は省略すること多し)、FTPから2社。
このそれぞれに対して、検出可否を確認した上で提出検体を振り分けて、未検出分のみにしろというのは
現実的ではありません。検出するものであれば、今回のように、機械的に返答して終わりなのですから
(同一検体が複数回届くのに比べたら)そんなに労力の増加には繋がらないはずです。
提出されないよりは、重複したり既知のものであっても送った方が良いという方針で処理しています。
(時間のない時はごめんなさいで、スレチェックせずにそのまま送ってますが)、可能な範囲で、提出報告の
あったものについては重複しないように提出先から省いています。
>>148のようにお考えでしたら、ご自身で検出可否をチェックされた上で、ベンダーに提出し、提出したことを
ここに報告してください。そうしたら、そのベンダーへの提出をこちらではスルーできます。
150:名無しさん@お腹いっぱい。
09/07/09 20:34:36
カスペからの返事
>>131(>>141) tane0441
3+1=4/7、残3
2.exe - Trojan-GameThief.Win32.WOW.ijz
>>135 (>>141) tane0442
2+1=3/5、残2
Setup-d2f1c46_02022.exe_ - Trojan-Downloader.Win32.FraudLoad.eyb
New malicious software was found in this file.
カスペ2010 18:29:00
>>142 ㌧ tane0444
1/5
Trojan-GameThief.Win32.OnLineGames.bmko tane0444\trj2.exe
検体提出します。
151:名無しさん@お腹いっぱい。
09/07/09 20:49:31
>>150
> >>142 ㌧ tane0444
> 検体提出します。
>144でカスペにも提出完了してます…けど、パターン更新してもうちへの返答は結構後回しにされること多いので
返答欲しいなら別途提出するのは正解かもしれない。
152:名無しさん@お腹いっぱい。
09/07/09 22:06:28
カスペからの返事
>>131 (>>141) tane0441
3/7、白1, 残3
1.exe - No malicious code was found in this file.
>>137 (>>141) tane0443
1/2、残1 (wow1_1.exe)
wow1.exe_ - Trojan-GameThief.Win32.WOW.ijy (←HEUR:Trojan.Win32.Generic)
>>142(>>150) tane0444
1+事後=3=4/5 (残 dldr1.exe)
trj1.exe - Trojan-GameThief.Win32.WOW.ijz
trj1_1.exe - Trojan-PSW.Win32.Agent.nja
trj2_1.exe - Trojan-PSW.Win32.QQPass.kej
>>151
んー、検査している順番がわからない。
返事を返さないアナリストもいるらしい。
救急搬送トリアージ的な発想で、常連は後回しにされてそう。(また、こいつか?みたいな)
153:名無しさん@お腹いっぱい。
09/07/09 23:00:38
>>137 >>143
カスペ返答(>152 残件も返答あり)
137 (2/2)
143 (5/5) でクローズ
dldr1.exe_ - Trojan-Downloader.Win32.Tiny.cew,
trj1.exe_ - Trojan-GameThief.Win32.WOW.ijz,
trj1_1.exe_ - Trojan-PSW.Win32.Agent.nja,
trj2_1.exe_ - Trojan-PSW.Win32.QQPass.kej,
wow1.exe_, wow1_1.exe_ - Trojan-GameThief.Win32.WOW.ijy
New malicious software was found.
trj2.exe_ - Trojan-GameThief.Win32.OnLineGames.bmko
This file is already detected.
154:名無しさん@お腹いっぱい。
09/07/09 23:40:55
URLリンク(tane.sakuratan.com)
infected
○ 検体入手元 ○
FakeAV MalwareDatabase 7/9分より
p://securedvirusscan■com/download/Setup-4e45_02022■exe
○ VirusTotal ○
Setup-4e45_02022■exe (0/41)
URLリンク(www.virustotal.com)
各社一通り提出完了。
155:名無しさん@お腹いっぱい。
09/07/09 23:48:27
カスペからの返事
>>135 tane0442
2+2=4/5、白1でクローズ
jp.js_ - Trojan-Downloader.JS.Iframe.bjt
xplays.php - 白
>>153 ㌧
>>142 5/5 クローズ tane0444に訂正
156:名無しさん@お腹いっぱい。
09/07/10 00:54:57
>>154
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup-4e45_02022.exe|inconclusive | | |no
157:名無しさん@お腹いっぱい。
09/07/10 09:54:32
URLリンク(tane.sakuratan.com)
virus
158:名無しさん@お腹いっぱい。
09/07/10 10:10:05
>>157
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
159:名無しさん@お腹いっぱい。
09/07/10 13:20:48
カスペ2010 12:27
>>157 ㌧ tane0446
>>3/6 (HEUR2) HEUR含め検体提出します。
virus HEUR:Exploit.Script.Generic msvideo2_1.js
virus HEUR:Exploit.Script.Generic msvideo2_2.js
not-a-virus:NetTool.Win32.ZXProxy.gn pcker1.exe
>>154 ㌧ tane0445
0/1のまま
こちらからも再提出
160:名無しさん@お腹いっぱい。
09/07/10 13:36:14
>>157
McAfee (Active Protection 無効)1/6
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
aspk1dldr.exe |current detection |generic.dx |Trojan |no
msvideo2_1.js |inconclusive | | |no
msvideo2_2.js |inconclusive | | |no
pcker1.exe |new detection |generic backdoor!ef |Trojan |yes
trj2.exe |inconclusive | | |no
trj2_1.exe |inconclusive | | |no
161:名無しさん@お腹いっぱい。
09/07/10 15:01:52
>>157 (>>159) tane0446
3+1=4/6 ,白1, 残1 (trj2_1.exe)
Trojan.JS.Agent.ajl - msvideo2_1.js、 msvideo2_2.js (←virus HEUR:Exploit.Script.Generic)
trj2.exe_ - Trojan.Win32.Agent2.kwa
aspk1dldr.exe - No malicious code was found in this file.
>>91(>>97,106) tane0436
3+事後検出4=7/7でクローズ
trj1.exe_ - Trojan-Dropper.Win32.Agent.avpr
trj1_1.exe_ - Trojan.Win32.BHO.vng
162:名無しさん@お腹いっぱい。
09/07/10 15:14:54
URLリンク(tane.sakuratan.com)
infected
検体入手元
MalwareDatabase 7/9分より
URLリンク(go-go-tube)<)■com/onlinemovies■[40000-40100]■exe
p://youtube-adult■name/
p://upload■octopus-multimedia■be/1/pdrv■exe
p://upload■octopus-multimedia■be/1/pp■10■exe
p://arplgm■cn/a■exe
p://youtube-adult■name/setup■exe
p://youtube-adult■name/VideoCodec■exe
p://youtube-adult■name/Mediacodec■exe
p://imagehut3■cn/images/evilItTheir■pdf
p://imagehut3■cn/images/update■php
p://missing-codecs■net/download/download■php
p://91■212■198■116/lib/update■php
p://www■hoje-noticias■pagebr■com/downloads/plug2■txt
p://www■hoje-noticias■pagebr■com/downloads/wiskyx■exe
p://www■hoje-noticias■pagebr■com/downloads/winsex2■txt
p://www■hoje-noticias■pagebr■com/downloads/winsex2■exe
p://vikd3jj-2■com/2/index■php
p://vikd3jj-2■com/2/update■exe
163:名無しさん@お腹いっぱい。
09/07/10 16:40:25
>>157 , >>162
各社一通り提出完了
未提出:Norman,Zoner
一部未提出:トレンドマイクロ
>>162の p://red-exe■com/onlinemovies■[40000-40100]■exe のみが入ったファイルが
500エラーで弾かれるのでそこだけ未提出。VTでは未検出の筈なんだけど、検出済みファイルのみの
時と同じエラーで提出不可?
これは時間を置いてから再提出を試み、ダメなら対応済みなのだと思って納得することにします。
164:名無しさん@お腹いっぱい。
09/07/10 16:42:42
AntiVir9 検出結果
>>157 (4+2/6)
tane0446/aspk1dldr.exe : SPR/Dldr.J program
tane0446/msvideo2_1.js : HEUR/HTML.Malware suspicious code
tane0446/msvideo2_2.js : HEUR/HTML.Malware suspicious code
tane0446/pcker1.exe : TR/Crypt.ZPACK.Gen Trojan
tane0446/trj2.exe : TR/Spy.Gen Trojan
tane0446/trj2_1.exe : TR/Spy.Gen Trojan
>>162
91.212.198.116/load.exe : - Not Detected -
arplgm.cn/a.exe : TR/Downloader.Gen Trojan
imagehut3.cn/evilItTheir.pdf : HTML/Shellcode.Gen HTML script virus
imagehut3.cn/load.exe : - Not Detected -
missing-codecs.net/install_flash_player.exe : - Not Detected -
red-exe.com/onlinemovies.[40000-40018].exe : - Not Detected -
red-exe.com/onlinemovies.40019.exe : TR/Crypt.ZPACK.Gen Trojan
red-exe.com/onlinemovies.[40020-40100].exe : - Not Detected -
upload.octopus-multimedia.be/pdrv.exe : - Not Detected -
upload.octopus-multimedia.be/pp.10.exe : - Not Detected -
vikd3jj-2.com/index.php : - Not Detected -
vikd3jj-2.com/update.exe : - Not Detected -
youtube-adult.name/index.htm.exe : TR/Dropper.Gen Trojan
youtube-adult.name/Mediacodec.exe : TR/Dropper.Gen Trojan
youtube-adult.name/setup(1).exe : TR/Dropper.Gen Trojan
youtube-adult.name/setup.exe : TR/Dropper.Gen Trojan
youtube-adult.name/VideoCodec.exe : TR/Dropper.Gen Trojan
165:名無しさん@お腹いっぱい。
09/07/10 17:56:45
>>162 ㌧ tane0447
カスペ2010 16:15
113/116・提出します。
(1) red-exe.com 101/101
Trojan.Win32.FraudPack.pjl red-exe.com/onlinemovies.[40000-40100].exe (ただし、40019.exe除く) (100files)
Trojan-Downloader.Win32.Small.jvl red-exe.com/onlinemovies.40019.exe
(2) youtube-adult.nameフォルダ 5/5
Trojan-Downloader.Win32.CodecPack.ilv /index.htm.exe
Trojan-Downloader.Win32.FraudLoad.exm /Mediacodec.exe /setup(1).exe /setup.exe /VideoCodec.exe
(3) 残 7/10
Trojan-Dropper.Win32.Agent.avow 91.212.198.116/load.exe (1/1)
Trojan-Downloader.Win32.Tiny.cew arplgm.cn/a.exe (1/1)
virus HEUR:Exploit.Script.Generic imagehut3.cn/evilItTheir.pdf (2/2)
Trojan.Win32.VB.smd imagehut3.cn/load.exe
Trojan.Win32.Small.can upload*/pp.10.exe (1/2, pdrv.exe スルー)
Trojan.Win32.Inject.afqp vikd3jj-2.com/update.exe (1/2, index.php スルー)
Trojan-Downloader.Win32.Injecter.dd youtube-adult.name/index.htm.exe (1/1)
※missing*\install_flash_net.exe スルー
返事
>>157(>>159,161) tane0446
3+2=5/6、白1で閉鎖
trj2_1.exe_ - Trojan.Win32.BHO.vnh
166:名無しさん@お腹いっぱい。
09/07/10 18:35:07
気になる人は提出する方向で
URLリンク(foobar2000.xrea.jp) (PWロックは掛かってない)
URLリンク(www.virustotal.com)
167:20
09/07/10 18:53:45
>>166 乙です。
AVIRAに提出してみたら、判定済みで FALSE POSITIVE(誤検出)とのことです。
つまり、黒→白という扱いになっています。 一応、参考として。
# 出張先だと、AVIRAの提出用鯖にファイルをアップする以外、できる事がほとんど無い。
168:名無しさん@お腹いっぱい。
09/07/10 21:16:23
とあるexploitをMcAfeeに送った時のインドのラボからの返信。
Why do you suspect this of being the culprit of malicious behavior?
Has any AV product detected it?
What engine/dat number are you using?
Have you noted any suspicious behavior on a system where this file has been run?
If so, what?
ちょ…ちょっと怒ってる(;^ω^)?
169:名無しさん@お腹いっぱい。
09/07/10 21:21:23
なんで送ってきた?
なんかで検知したのか?
てかなにつかってるんだ?
なんか変な挙動でもあったのか?
だとすればなに?
170:名無しさん@お腹いっぱい。
09/07/10 21:23:15
これはひどい。忙しいのかな
171:名無しさん@お腹いっぱい。
09/07/10 22:28:23
>>162(>>165) tane0447
113+1=114/116、残2
Hello,
(missings-codec.net)\install_flash_player.exe_ - Trojan.Win32.VB.soj
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
172:20
09/07/11 09:36:09
>>168-170
これはアナリスト怒ってるねぇ。 検出できるもの・できないものを分別しないで大量に送りつけたとか?
どこのベンダーも忙しいみたいだから、検出できるものまで送りつけられたら、そりゃアナリストは不愉快だと
思うので、それ以外思いつかないが...
私の方だと、AVIRAとKasperskyにかなり送っているが、検出可能ファイルは排除してから送ってるせいか
それともベンダーの性格の違いか、そういう苦情っぽいメールは受けたこと無いけど。 といっても、AVIRAは
メール提出してない(提出用鯖にアップしているだけ)だから、自動応答メール以外来ないけどね。
>>152 雑談ついで。
Kasperskyは、とりあえずヒューリスティックが隔離して、KISの隔離フォルダからQuarantine Objectで
送付されるファイルが、最優先で処理される。 経験的には、こいつは処理が異常に早い。
次が、exe単独の提出で、出所orマルウェアであることがはっきりしているファイル。
(ウイルス本体とみなされるファイル)これは、ファイルのダウンロード元(サイト名とか)をメールに
明記して送るか、VTの検出結果のurlを記入して送った場合。
それ以外は、かなりランダム。分析が早い時もあるし遅い時もある、という感じです。
私の方の状況ですが、参考になれば。
# 全部まとめて送っても隔離ファイルなみに処理が早いことがあるので、前の2つ以外は、正直、
どういう順番なのか全く読めないですね。ただ、自分の提出状況と処理結果を見ていると、
提出者が誰かor過去に大量の提出をしているか、は全く関係なさそう。
173:名無しさん@お腹いっぱい。
09/07/11 12:15:59
カスペからの返事&カスペ 11:24
>>162(>>165,171) tane0447
113+(1+1)=115/116、残1 (index.php)
Exploit.JS.Pdfka.ni - imagehut3.cn/evilItTheir.pdf (←virus HEUR:Exploit.Script.Generic)(返答)
Trojan.Win32.Agent2.kvz - /upload.octopus-multimedia.be/pdrv.exe (検知)
174:168
09/07/11 14:55:45
URLリンク(tane.sakuratan.com)
virus
いやー1ファイルだけだったんだけどねぇ。
物はmilw0rmに載っていて消えた物(SANS-ISCにあるとおりmilw0rmが今ちょっと不調)で、
載せたのは確かHP(ヒューレットパッカード)の中の人。
同梱の画像はアップローダの下限(1kB)回避用のダミーなので無視で。
175:20
09/07/11 15:12:25
>>174
URLリンク(www.virustotal.com) (1/41)
AVIRAに提出しました。
1ファイルで、普通ああいうメールは返ってこないと思うが...提出したExploitファイルの中に、McAfeeの悪口が書かれてたとか?(w
176:20
09/07/11 15:14:39
>>175
AVIRA返答
addfav_crash1.htm - CLEAN(白)
177:名無しさん@お腹いっぱい。
09/07/11 16:09:07
>>175
いや見てのとおり大したファイルじゃないのよ。
IEが落ちる以外は実害のないコンセプトコードなので実行してみそ。
送ったメールの文も「Exploit.IEAddFavorite」の一言だし。
とりあえずイシューNo.とアナリストの名前を書いて
ラボとカスタマーサービスに以下を送信(;^ω^)。
WHATS THIS FCKN ATTITUDE ?
McAfee employs plug-ugly ?
178:名無しさん@お腹いっぱい。
09/07/11 18:46:32
URLリンク(tane.sakuratan.com)
infected
VirusTotal(7/41)
URLリンク(www.virustotal.com)
179:名無しさん@お腹いっぱい。
09/07/11 19:22:13
>>178
Symantec、Panda、GDATA2010(今回はBitDefenderのみ)に提出完了
今回はESETにも提出
180:名無しさん@お腹いっぱい。
09/07/11 20:14:14
>>178
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
banner |inconclusive | | |no
181:名無しさん@お腹いっぱい。
09/07/11 20:59:24
>>178 tane0449
カスペ 19:56
スルー
検体提出します。
182:名無しさん@お腹いっぱい。
09/07/12 21:36:53
初スレからのタレコミです
マルウェア配布サイトlapcie.com/
11アーカイブ
Symantecとa-squaredとMalwarebytesとMicrosoftとAVGに提出済みです
みなさんもよろしく
183:名無しさん@お腹いっぱい。
09/07/12 22:30:14
>>182
それ、誤検出の疑いって奴だろ。VTでチェックして、検出してるとこにだけ出せばいいことかと。
どのアーカイブのなんていうファイルに反応しているのかの報告がないので、現時点では提出をスルー。
184:182
09/07/12 22:34:43
2chの誤検出の疑いなんて信用しないで
自分で調べりゃすぐ分かるだろ
185:名無しさん@お腹いっぱい。
09/07/13 12:35:07
URLリンク(tane.sakuratan.com)
infected
■ 検体入手元
Malware Domain List の更新情報 7/11分、リネージュ資料室の更新情報 7/12分 より
■ 既提出先
AntiVir AntiyLabs のみ。今日は時間が無いので、他への提出はやってません。
186:名無しさん@お腹いっぱい。
09/07/13 12:44:13
>>185
Panda、GDATA2010(=avast!&BitDefender)へ提出完了
Symantecへは提出するのにちょっと時間がかかりそうなのでまだ提出してない、代わりにやってくれる人がいるならお願いします
187:名無しさん@お腹いっぱい。
09/07/13 14:15:34
>>185-186
Symantecとa-squaredとMalwarebytesに提出しました
188:名無しさん@お腹いっぱい。
09/07/13 16:29:18
カスペ2010 14:47
>>185 tane0451
23/37
(1) skywebsv.comフォルダ 8/11 (Darkst.html, MS08011.htm, MS08053.htm スルー)
virus HEUR:Exploit.Script.Generic /Blog.htm /MsAccess.htm /web(1).htm /web.htm
virus HEUR:Trojan.Win32.Invader /cer.exe
Exploit.JS.DirektShow.a /darkst.png
Trojan-Downloader.VBS.Agent.io /Ms06014.htm
Exploit.JS.RealPlr.ob /Real.htm
(2)teamerblogフォルダ 9/12 (3files スルー、同上)
virus HEUR:Exploit.Script.Generic /blog.htm /fc2.htm /FFXI-search.htm /MsAccess.htm /play.htm
Trojan.Win32.Inject.afyg /cer.exe
Exploit.JS.DirektShow.a /darkst.png
Trojan-Downloader.VBS.Agent.io /Ms06014.htm
Exploit.JS.RealPlr.ob /Real.htm
(3) upload.octopusフォルダ 3/4 (gen.phpスルー)
Trojan-Dropper.Win32.BHO.bo /6244.exe
Trojan.Win32.Agent2.kwh /fb.49.exe
Trojan.Win32.Agent2.jyw /nfr.exe
(4)その他 3/10
Trojan-Downloader.JS.Agent.ehl /benpao2020.com/go.jpg (1/5, 360.htm, a1a.htm, go1.jpg, t.js スルー)
Trojan-Spy.Win32.Ayludle.a /esli.tw/load.exe (1/2 Russia_attacks.pdfスルー)
virus not-a-virus:FraudTool.Win32.Agent.tj /secure-safe-download.com/wsetup.exe (1/1)
antivirus*フォルダ 0/2 (anti*.htm, Setup-15815*.exe スルー)
189:名無しさん@お腹いっぱい。
09/07/13 18:30:54
>>185
McAfee (Active Protection 無効)14/37
未検出分をMcAfeeに提出させて頂きました。
※ヒューリスティックoff→17/37
ヒューリスティックを無効にすると検出数が増えたorz
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
360.htm |inconclusive | | |no
a1a.htm |inconclusive | | |no
antiviruspcscannerv7|inconclusive | | |no
blog.htm |inconclusive | | |no
darkst.htm |inconclusive | | |no
darkst.htm |inconclusive | | |no
fb.49.exe |new detection |w32/koobface.worm.gen.h |Virus |yes
gen.php |inconclusive | | |no
go.jpg |heuristic detection |beav-shellcode |Application |no
go1.jpg |inconclusive | | |no
190:名無しさん@お腹いっぱい。
09/07/13 18:32:43
load.exe |inconclusive | | |no
ms06014.htm |heuristic detection |vbs/psyme.gen.a |Trojan |no
ms08011.htm |inconclusive | | |no
ms08011.htm |inconclusive | | |no
ms08053.htm |inconclusive | | |no
ms08053.htm |inconclusive | | |no
real.htm |heuristic detection |beav-shellcode |Application |no
russia_attacks.pdf |inconclusive | | |no
setup-15815_02002-8.|inconclusive | | |no
t.js |inconclusive | | |no
web(1).htm |inconclusive | | |no
web.htm |inconclusive | | |no
wsetup.exe |inconclusive | | |no
191:名無しさん@お腹いっぱい。
09/07/13 21:24:20
>>154 tane0445
0+1=1/1で閉鎖
Setup-4e45_02022.exe_ - Trojan-Downloader.Win32.FraudLoad.eyu
>>178 tane0449
0+1=1/1で閉鎖
banner - Exploit.Win32.Pidief.bee
>>185 tane0451
23+2=25/37(うちHEUR9)、残12
esli.tw\Russia_attacks.pdf_ - Exploit.Win32.Pidief.bef
wwwskywebsv.com\cer.exe_ - Trojan-GameThief.Win32.OnLineGames.bmlr (←HEUR:Trojan.Win32.Invader)
antiviruspcscannerv7.com\Setup-15815_02002-8.exe - Trojan.Win32.FraudPack.plk
New malicious software was found in this file.
192:191
09/07/13 21:26:25
すまん。カスペからの返事です。
>>185(>>188,191)
193:20
09/07/14 12:45:50
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 9個入っています。MDLの2009/07/13分から。(7/13の全部ではない)
a222.dnf5.com
1.exe - URLリンク(www.virustotal.com) (15/41)
a444.dnf5.com
of.js - URLリンク(www.virustotal.com) (8/41)
krisnet.cn
mss8.exe - URLリンク(www.virustotal.com) (12/41)
puppsik.biz
mainokK.exe - URLリンク(www.virustotal.com) (10/41)
wesssrett.cn
theirTextLayout.pdf - URLリンク(www.virustotal.com) (23/41)
index.php - URLリンク(www.virustotal.com) (8/41)
typeSBc.swf - URLリンク(www.virustotal.com) (17/41)
update.exe - URLリンク(www.virustotal.com) (34/41)
www.fdsdffdfsf.cn
of.htm - URLリンク(www.virustotal.com) (4/41)
a444.dnf5.comとwww.fdsdffdfsf.cnが、OfficeWebへの0-day攻撃...らしい。
一部検出率の高いものが入っていますが、出張中で自分の使用環境が整ってないので、すみませんが全部パックしました。m(_ _)m
194:20
09/07/14 12:55:16
>>193
AVIRA9 7.01.04.228 黒6/9,未検出の3個は提出済み。
a222.dnf5.com
1.exe - TR/Rootkit.Gen
a444.dnf5.com
of.js - HTML/Shellcode.Gen
krisnet.cn
mss8.exe -
puppsik.biz
mainokK.exe - WORM/Emold.U.8
wesssrett.cn
theirTextLayout.pdf - HTML/Shellcode.Gen
index.php -
typeSBc.swf - SWF/Drop.Small.LP
update.exe - TR/BurnInHell.L
www.fdsdffdfsf.cn
of.htm -
AVIRA入りの仮想PCしか作業環境が無いので、他ベンダーのチェック・提出は他の人にお任せします。
195:名無しさん@お腹いっぱい。
09/07/14 13:35:37
>>193
fdsなんちゃらのOfficeWebComponentのゼロデイ、
スクリプトが分割されていてof.htm単品だと攻撃が成立しない
ので(a.jsがシェルコード)くっつけときました。
URLリンク(tane.sakuratan.com)
virus
196:名無しさん@お腹いっぱい。
09/07/14 14:21:26
>>193
>>195
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
197:20
09/07/14 15:02:16
>>195
ありがトン。分割されていたのに気がつかんかった...orz
URLリンク(www.virustotal.com) (7/41)
a.js単独,a.js込みの>195だと検出しますが、念のためof.htm + a.jsをzipで圧縮して、AVIRAに再提出しておきました。
※ 一応書いておくと、AVIRAの検体提出鯖は、パス無しzipであれば自動で解凍して、個別の検体として受け取ってくれます。
(zipファイル=検体ではなく、中身を個別に判定してくれます。) ただ、中身の数が多くなると拒否されます。
いくつまで平気なのかは、試してないので不明。
# 数が多すぎる場合の拒否メッセージが“ KO ”という所(鯖がKOされた、という意味だと思う)が、ユーモアがあって面白い...
198:名無しさん@お腹いっぱい。
09/07/14 16:52:57
URLリンク(tane.sakuratan.com)
virus
同じOfficeWebComponentsの奴です。
こちらはシェルコードが小さいため最初から1ファイルでした。
199:名無しさん@お腹いっぱい。
09/07/14 16:58:08
あっごめん、今見たら453にDLKey設定してなかった。
200:名無しさん@お腹いっぱい。
09/07/14 17:00:40
>>198
Pandaへ提出完了、他のいつも送ってるベンダー(Symantec、avast!、BitDefender)は検出してるので今回は提出なし
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
201:20
09/07/14 17:49:14
>>198
AVIRA9 7.01.04.229 黒2/2
owc2.htm - HTML/Silly.Gen
owc2.js - HTML/Silly.Gen
検出できるので提出無し。
202:20
09/07/14 17:57:26
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。MDLの2009/07/13分から。
ferarilatka.cn
index.php - URLリンク(www.virustotal.com) (5/41)
koxyebuth.pdf - URLリンク(www.virustotal.com) (11/41)
xyachuch.swf - URLリンク(www.virustotal.com) (7/41)
thetests.net
index.php - URLリンク(www.virustotal.com) (4/41)
index.htm - URLリンク(www.virustotal.com) (4/41)
file.exe - URLリンク(www.virustotal.com) (1/41)
e50i.pdf - URLリンク(www.virustotal.com) (5/41)
bezopbizn.ru
index.php - URLリンク(www.virustotal.com) (2/41)
pdf.pdf - URLリンク(www.virustotal.com) (8/41)
getexe.exe - URLリンク(www.virustotal.com) (22/41)
203:20
09/07/14 18:05:22
>>202
AVIRA9 7.01.04.229 黒 3,黒確定(VDF update待ち) 1,解析中 6
ferarilatka.cn
index.php - (UNDER ANALYSIS)
koxyebuth.pdf - HTML/Shellcode.Gen
xyachuch.swf - (UNDER ANALYSIS)
thetests.net
index.php - (UNDER ANALYSIS)
index.htm - (UNDER ANALYSIS)
file.exe - (TR/Dldr.Agent.duc) - VDF next update
e50i.pdf - EXP/Pidief.WH
bezopbizn.ru
index.php - (UNDER ANALYSIS)
pdf.pdf - (UNDER ANALYSIS)
getexe.exe - Worm/Bezopi.A
204:20
09/07/14 18:31:55
>>194
AVIRA返答
krisnet.cn
mss8.exe - TR/Malex.121856E
wesssrett.cn
index.php - JS/IFrame.dpr
www.fdsdffdfsf.cn
of.htm - CLEAN(白)
黒2,白1でclose. 分割されてて、攻撃コードを含まない方は白になりました。
(zipでまとめて送った方も同じ結果でした。)
205:名無しさん@お腹いっぱい。
09/07/14 18:40:16
>>193
McAfee (Active Protection 無効)4/9
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |new detection |generic downloader.x!ji |Trojan |yes
index.php |current detection |obfuscated script.h |Trojan |no
mainokk.exe |inconclusive | | |no
mss8.exe |inconclusive | | |no
of.htm |new detection |exploit-cve2009-1136 |Trojan |yes
of.js |heuristic detection |beav-shellcode |Application |no
theirtextlayout.pdf |current detection |exploit-pdf.b.gen |Trojan |no
typesbc.swf |current detection |exploit-cve2007-0071 |Trojan |no
update.exe |current detection |generic downloader.z |Trojan |no
206:名無しさん@お腹いっぱい。
09/07/14 18:42:13
>>195
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
owc1.htm |heuristic detection |beav-shellcode |Application |no
owc1.js |heuristic detection |beav-shellcode |Application |no
207:名無しさん@お腹いっぱい。
09/07/14 18:45:57
>>202
McAfee (Active Protection 無効)2/10
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
e50i.pdf |inconclusive | | |no
file.exe |inconclusive | | |no
getexe.exe |current detection |generic.dx!ys |Trojan |no
index.htm |inconclusive | | |no
index.php |inconclusive | | |no
index.php |inconclusive | | |no
index.php |current detection |obfuscated script.h |Trojan |no
koxyebuth.pdf |inconclusive | | |no
pdf.pdf |inconclusive | | |no
xyachuch.swf |inconclusive | | |no
208:20
09/07/14 19:52:28
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
MDLの2009/07/13で確保できた分の残り15個。exeとpdfばっかりです。
今、VirusTotalがパンクしているので、この15個についてはインフォメーションがありません。
また、もしかしたら古いものとかも入っているかもしれません。m(_ _)m
AVIRA 7.01.04.231 黒11/15。
analitics.in\load.exe - TR/Crypt.ZPACK.Gen
axevoq.cn\installer_1.exe - TR/ATRAPS.Gen
ircleaner.com\install.exe - TR/Dropper.Gen
onuka.cn\mal.exe - TR/Dropper.Gen Trojan
securitytrial.com\install.exe - TR/Dropper.Gen
updatedate.cn\255.pdf - DR/Pdfka.NL.1
updatedate.cn\464.pdf - DR/Pdfka.NL
webalfa.cn\load.exe - TR/Crypt.ULPM.Gen
webalfa.cn\spl.pdf - EXP/Pidief.WH
www.tech2tech.cn\load.exe - TR/FraudPack.pjs
www.tech2tech.cn\pdf.pdf - JS/Dldr.Small.CR.2
未検出
download.anti-virus-best.info\PreInstaller.exe
testtubefilms.com\onlinemovies.48022.exe
updatedate.cn\installb.exe
yourtubetop.com\onlinemovies.45095.exe
未検出分はAVIRAに提出済みです。
209:名無しさん@お腹いっぱい。
09/07/14 20:07:20
検体提出の方㌧
カスペ2010 19:11
>>193 tane0452
4/9
virus HEUR:Trojan.Win32.Generic /krisnet.cn/mss8.exe
virus Worm.Win32.Bezopi.b /puppsik.biz/mainokK.exe
Exploit.Win32.Pidief.bby /wesssrett.cn/theirTextLayout.pdf
Trojan-Downloader.Win32.Small.jwo /wesssrett.cn/update.exe
>>195 tane0453
2/2
virus HEUR:Exploit.Script.Generic owc1.htm、 owl1.js
>>197 tane0454
0/2 スルー
>>199 tane0455
2/10
virus Worm.Win32.Bezopi.a tane0455.zip/bezopbizn.ru/getexe.exe
virus HEUR:Trojan-Downloader.Script.Generic /ferarilatka.cn/index.php
検体提出します。
VTがoverloadになっている。orz
210:名無しさん@お腹いっぱい。
09/07/14 21:37:23
>>202
>>208
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
211:名無しさん@お腹いっぱい。
09/07/14 21:44:45
>>208
Symantecから自動返答
filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.
filename: onlinemovies.45095.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
filename: spl.pdf
machine: Machine
result: See the developer notes
書ききれないので続き
212:名無しさん@お腹いっぱい。
09/07/14 21:45:23
>>208
>>211からの続き
filename: installb.exe
machine: Machine
result: See the developer notes
filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.
filename: installer_1.exe
machine: Machine
result: See the developer notes
filename: PreInstaller.exe
machine: Machine
result: See the developer notes
filename: onlinemovies.48022.exe
machine: Machine
result: See the developer notes
213:名無しさん@お腹いっぱい。
09/07/14 21:47:43
スマソ>>211と>>212見てなんかおかしいなと思ったら提出した検体が被ってたようだorz(圧縮ファイルを二つにわけて送ったらから恐らく選別ミス)
filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.
結局検出確定はこれ一つだけか・・・
214:名無しさん@お腹いっぱい。
09/07/14 22:18:53
>>208
McAfee (Active Protection 無効)6/15
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
installer_1.exe |inconclusive | | |no
preinstaller.exe |inconclusive | | |no
255.pdf |inconclusive | | |no
464.pdf |inconclusive | | |no
installb.exe |inconclusive | | |no
load.exe |inconclusive | | |no
spl.pdf |inconclusive | | |no
load.exe |new detection |fakealert-es |Trojan |yes
215:名無しさん@お腹いっぱい。
09/07/14 23:34:45
>>208 ㌧
カスペ2010 23:09
10/15
Trojan-Dropper.Win32.Microjoin.gtm analitics.in/load.exe
virus HEUR:Trojan.Win32.Generic axevoq.cn/installer_1.exe
Trojan program Trojan.Win32.Agent.clls onuka.cn/mal.exe
Exploit.JS.Pdfka.nl updatedate.cn/464.pdf
Exploit.JS.Pdfka.nl updatedate.cn/255.pdf
Trojan-Downloader.Win32.FraudLoad.eza testtubefilms.com/onlinemovies.48022.exe
Trojan-Spy.Win32.Goldun.cbr webalfa.cn/load.exe
Trojan-Downloader.Win32.FraudLoad.eza yourtubetop.com/onlinemovies.45095.exe
Exploit.HTML.IframeBof www.tech2tech.cn/pdf.pdf
Trojan.Win32.FraudPack.pjs www.tech2tech.cn/load.exe
私が手一杯なので、できれば、代理提出お願いします。
216:名無しさん@お腹いっぱい。
09/07/15 01:02:49
カスペからの返事
>>195 (>>209) tane0453
2/2
owc1.htm_ - Trojan-Downloader.JS.ShellCode.g (←HEUR:Exploit.Script.Generic)
>>198(>>209) tane0454
0+2=2/2で閉鎖
owc2.htm、 owc2.js_ _ - Exploit.JS.ActiveX.ae (返事)
>>202(>>209) tane0455
2+1=3/10、残7
ferarilatka.cn\koxyebuth.pdf - Exploit.Win32.Pidief.bej (返事)
>>193(>>209) tane0452
a222.dnf5.com\1.exe は、KSN検知、KIS2010では危険なオブジェクトとして検知してアクセスをブロック。シグネチャ作成待ち。
.
前スレ705>>34(>>62,74) tane0416
5+2=7/57,.白50でクローズ
index22.php、index22[1-44].php (45files) - No malicious code were found in these files
昔大量に出したせいで、今頃渋滞しているのかな。orz
217:名無しさん@お腹いっぱい。
09/07/15 02:35:31
ここまでSymantecとa-squaredとMalwarebytesに提出しました
218:名無しさん@お腹いっぱい。
09/07/15 08:55:20
カスペからの返事&カスペ2010 8:09
>>208(>>215) tane0456
10/15
Detected Trojan-Downloader.Win32.FraudLoad.wfxs axevoq.cn\installer_1.exe (←HEUR:Trojan.Win32.Generic) (検知)
>>202(>>209,216) tane0455
2+1=3/10、残7のまま
ferarilatka.cn \ index.php - Trojan.HTML.IFrame.ao (←HEUR:Trojan-Downloader.Script.Generic) (返答)
219:名無しさん@お腹いっぱい。
09/07/15 09:31:55
URLリンク(tane.sakuratan.com)
virus
milw0rmよりFirefox3.5のPoC。
220:名無しさん@お腹いっぱい。
09/07/15 10:34:26
カスペ2010 9:20
>>219 ㌧ tane0457
1/1
virus HEUR:Exploit.Script.Generic tane0457.zip/fx35bof1.htm
検体提出します。
カスペからの返事と検知
>>208(>>215,218) tane0456
先ほど提出
10+4=14/15,残1 (sectrial \ install.exe. )
ircleaner.com \ install.exe_ - Trojan-Dropper.Win32.FrauDrop.fd (返事)
webalfa.cn \ spl.pdf - Exploit.Win32.Pidief.bem (返事)
updatedate.cn \ installb.exe - Trojan-Dropper.Win32.Mudrop.bsx (検知)
download.anti-virus-best.info \ PreInstaller.exe_ - not-a-virus:FraudTool.Win32.Agent.tl (返事)
>>193 tane0452
4+1=5/9、残4 (a222 \ 1.exe a444.\ of.js , wesss \ typeSBc,swf, index.php)
Trojan program Exploit.JS.Sheat.a - tane0452\www.fdsdffdfsf.cn\of.htm (返事)
221:220
09/07/15 13:38:52
カスペからの返事
>>219 (>>220) tane0457 1/1で閉鎖
tane0457\fx35bof1.htm - Trojan program Exploit.JS.FoxFir.a (←HEUR:Exploit.Script.Generic)
>>208(>>215,218,220) tane0456
10+(4+1)=15/15で閉鎖
securitytrial \ install.exe_ - Trojan-Dropper.Win32.FrauDrop.fd
>>185(>>188,191) tane0451
25/37、白1、残11
benpao2020.com\go1.jpg - 白
222:名無しさん@お腹いっぱい。
09/07/15 16:44:57
URLリンク(tane.sakuratan.com)
infected
検体入手元
Malware Domain List 7/14分+リネージュ資料室更新分
各社一通り提出済み(NormanとZonerはパス)
223:20
09/07/15 17:47:44
>>219
AVIRA 7.01.04.234 黒1/1
fx35bof1.htm - HTML/Silly.Gen
>>208
AVIRA返答
download.anti-virus-best.info\PreInstaller.exe - DR/FraudLoad.wfh
testtubefilms.com\onlinemovies.48022.exe - TR/Dldr.FraudLoad.EZA.13
updatedate.cn\installb.exe - TR/Crypt.ZPACK.Genで検出できるようにする
yourtubetop.com\onlinemovies.45095.exe - TR/Dldr.FraudLoad.EZA.14
黒11+事後4=黒15/15でclose
224:名無しさん@お腹いっぱい。
09/07/15 17:49:30
>>219
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
fx35bof1.htm |new detection |js/exploit-bo.gen |Trojan |yes
225:220
09/07/15 18:41:14
カスペにて提出して報告していたいたものですが、システム組み換えのため、しばらくtane0458以降の検体の提出
・報告は当面できません。
自作にて相性がトラブると復帰に時間がかかるかもしれません。
さすがに家族のPCで検体をDLするのは危ないので。w
カスペユーザーの方に、代理提出、報告していただけると助かります。
なお、tane0457までの検知メールが到着すれば、報告します。
代替機ほしいなぁ。
226:20
09/07/15 18:48:21
>>222
AVIRA 7.01.04.237 黒29/48(未検出19)
221.1.204.243
help.exe - TR/Dropper.Gen
Koobface
setup.exe - TR/Downloader.Gen
picnews.bij.pl
tubeplayer.exe - TR/Hijacker.Gen
sexfreetube.net
free_stream_video.exe - TR/Dropper.Gen
sucupdate.com
install(1).exe - TR/Dropper.Gen
install.exe - TR/Dropper.Gen
www.hotgome.net
1.exe - DR/PcClient.Gen
GV11.html - JS/Dldr.Agent.2139
GV122121.htm - JS/Dldr.Agent.ZM
GV22.html - JS/Agent.afp
GVbf.htm - HTML/Shellcode.Gen
GVcx.htm - HTML/Rce.Gen
GVfl.htm - TR/HTML.Agent.Q.1
GVgg.htm - HTML/Shellcode.Gen
GVxxz.htm - JS/Dldr.Small.CR.2
www.hotgome.net.htm - JS/Dldr.IFrame.1618
www.okireng.com.htm - JS/Dldr.IFrame.1618
227:20
09/07/15 18:49:27
>226 続き
www.hotgome.net\swf
GG115.swf - EXP/Flash.Gen
GG16.swf - EXP/Flash.Gen
GG28.swf - EXP/Flash.Gen
GG45.swf - EXP/Flash.Gen
GG47.swf - EXP/Flash.Gen
GG64.swf - EXP/Flash.Gen
VV115.swf - SWF/Dldr.Agent.F.1
VV16.swf - SWF/Dldr.Agent.F.1
VV28.swf - SWF/Dldr.Agent.F.1
VV45.swf - SWF/Dldr.Agent.F.1
VV47.swf - SWF/Dldr.Agent.F.1
VV64.swf - SWF/Dldr.Agent.F.1
228:20
09/07/15 18:52:10
>226 更に続き・AVIRA未検出分
Koobface
116.48.213.122.htm
65.68.100.172.htm
69.153.57.227.htm
69.155.133.21.htm
71.249.178.74.htm
77991db0140a4f7cbca6f9f3dba52f9c.htm
k-lgbg0kiiiq.js
picnews.bij.pl
video.htm
Win32Frethog!RAR
cc.rar
cc1.rar
ff.rar
ff1.rar
help(1).rar
help.rar
help1.rar
ll.rar
uu.rar
uu1.rar
www.hotgome.net
GV14.htm
提出して頂いているようなので、様子見(私の方からは未提出)
229:名無しさん@お腹いっぱい。
09/07/15 20:06:06
ここまでSymantecとa-squaredとMalwarebytesに提出しました
230:名無しさん@お腹いっぱい。
09/07/15 23:43:33
>>222
カスペ回答
<略>
These files are already detected.
116.48.213.122.htm_, GVcx.htm_, GVfl.htm_, video.htm_
No malicious code were found in these files.
install(1).exe_ - not-a-virus:FraudTool.Win32.SystemSecurity.pc,
install.exe_ - not-a-virus:FraudTool.Win32.SystemSecurity.pb
New potentially risk software was found
k-lgbg0kiiiq.js_ - Trojan-Downloader.JS.Agent.ehp
New malicious software was found
231:20
09/07/16 13:04:07
>>203
AVIRA返答 書き忘れ分。
ferarilatka.cn
index.php - HTML/Agent.mldl.6
xyachuch.swf - CLEAN(白)
thetests.net
index.php - JS/Dldr.Agent.aas
index.htm - JS/Dldr.Agent.aaq
bezopbizn.ru
index.php - JS/Dldr.Agent.pag
pdf.pdf - EXP/Pidief.KL
黒(3+1)+新種5=9/10,白1でclose.
232:名無しさん@お腹いっぱい。
09/07/16 15:00:56
中国産おなじみゲームパス系1ファイルです
URLリンク(tane.sakuratan.com)
infected
入手元
www●coconlovely●com/wmv.jar
結果: 24/41 (58.54%)
URLリンク(www.virustotal.com)
233:名無しさん@お腹いっぱい。
09/07/16 17:35:18
>>232
Symantec、Pandaへ提出完了
234:名無しさん@お腹いっぱい。
09/07/16 17:46:20
>>232
Symantecから自動返答
filename: wmv.jar
machine: Machine
result: See the developer notes
filename: wmv.scr
machine: Machine
result: See the developer notes
235:20
09/07/17 12:01:56
URLリンク(www.tane.sakuratan.com)
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
tane0460の方は、URLリンク(www)<) (19/41)
AVIRAには提出済みです。gnomeさんやFFXIさんの所の情報では、
URLリンク(www.virustotal.com)
→ VT最後 URLリンク(www.virustotal.com)
だったらしいので、他ベンダーの検出名が同じなのに、ハッシュが変わってAVIRAが未検出に戻ったということは、
どうも中身が入れ替わったっぽい。
-----
tane461の方は、元になっている URLリンク(www)<) (7/41)
236:名無しさん@お腹いっぱい。
09/07/17 16:38:36
>>235
tane0460
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
web.exe |new detection |generic downloader.x!jr |Trojan |yes
237:名無しさん@お腹いっぱい。
09/07/17 16:40:57
>>235
tane0461
McAfee (Active Protection 無効)0/16
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
14.js |inconclusive | | |no
15.js |inconclusive | | |no
16.js |inconclusive | | |no
index.htm |inconclusive | | |no
index.html |inconclusive | | |no
js.js |inconclusive | | |no
of.htm |inconclusive | | |no
of.js |heuristic detection |beav-shellcode |Application |no
real.js |inconclusive | | |no
real1.js |inconclusive | | |no
tongji.js |inconclusive | | |no
turl.js |inconclusive | | |no
vc14.htm |inconclusive | | |no
vcfl.htm |inconclusive | | |no
vcfll.htm |inconclusive | | |no
vcr.htm |inconclusive | | |no
238:名無しさん@お腹いっぱい。
09/07/18 22:44:04
URLリンク(tane.sakuratan.com)
infected
■検体入手元
Malware Domain List 7/14分+リネージュ資料室更新分
AntiVirにはftp経由で提出完了。他はこれから提出します。
239:名無しさん@お腹いっぱい。
09/07/18 22:45:30
まちがえた…
×:Malware Domain List 7/14分+リネージュ資料室更新分
○:Malware Domain List 7/17分+リネージュ資料室更新分
redirects to trojan
p://www■hotgome■net/
p://www■okireng■com/
p://www■okireng■com/GVmp■htm
p://www■okireng■com/GVof■htm
p://www■okireng■com/go■jpg
Trojan
p://174■133■73■90/p0519/2■0/ms■bin
pdf exploit
p://yawxowaj■cn/22/update■php?id=6
p://yawxowaj■cn/22/oldBelow■pdf
NDIS filter driver
p://antimalwareaupdateserver■com/Driver■exe
240:名無しさん@お腹いっぱい。
09/07/18 22:51:05
>>238
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
Symantecから自動返答
filename: GVmp.htm
machine: Machine
result: See the developer notes
filename: ms.bin
machine: Machine
result: See the developer notes
filename: Driver.exe
machine: Machine
result: This file is detected as Trojan.Dropper. URLリンク(www.symantec.com)
filename: load.exe
machine: Machine
result: See the developer notes
ちなみに現在はBitDefenderTotalSecurity2010βをテスト中
かなり軽いですね
241:名無しさん@お腹いっぱい。
09/07/18 23:54:53
>>238
McAfee (Active Protection 無効)2/8
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
driver.exe |inconclusive | | |no
gvmp.htm |inconclusive | | |no
gvof.htm |inconclusive | | |no
load.exe |new detection |generic.dx!bcn |Trojan |yes
oldbelow.pdf |inconclusive | | |no
www.okireng.com.htm |heuristic detection |with fishy extension |Application |no
242:名無しさん@お腹いっぱい。
09/07/19 01:21:32
>>238
各社一通り提出完了
提出パスしたところ > Norman,Zoner,Symantec(PandaとMcAfeeは報告出てたのに重複提出してしまった orz)
あとで提出する予定 > AntiyLabs(今日はftp鯖閉じてるみたいなので週明けにでも)
tane453,454,455,456,457,460,461 に関しても同梱して送付完了。マイナー所各社宛、ここまで残件ない…と思う。
243:名無しさん@お腹いっぱい。
09/07/19 15:51:17
URLリンク(tane.sakuratan.com)
virus
Firefox(3.5.1含む)のExploit
URLリンク(isc.sans.org)
同梱のWMPの画像はアップローダの下限(1kB)回避用のごみなので除外で。
244:名無しさん@お腹いっぱい。
09/07/19 17:21:01
>>243
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
今回はAvira、ESET、Kaspersky、Ahnlabにも提出
245:名無しさん@お腹いっぱい。
09/07/19 17:43:07
>>243
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
fx351.htm |inconclusive | | |no
fx351.js |inconclusive | | |no
246:名無しさん@お腹いっぱい。
09/07/19 23:02:41
URLリンク(tane.sakuratan.com)
infected
■■■ 検体入手元 ■■■
Malware Domain List 7/18分+リネージュ資料室更新分
p://www■miwcmac■com/JP/mpg■scr
p://www■wokutonoken-online■com/JP/mpg■scr
p://proantispywarescanv3■com/download■php?id=02029-5
p://proantispywarescanv3■com/download/Setup-8d5_002029-5■exe
p://theinstalls■com/files/uprograms/dailybucks/install■48349■exe
p://theinstalls■com/files/uprograms/dailybucks/dailybucks_install■exe
p://x■b76■net/winres■exe
p://dapda■cn/setup■exe
p://installmoney■com/svchost■exe
p://download■microsoft-update-center■com:88/files/db■exe
p://v-i-e-w■net/xrun■tmp
p://212■117■174■14/installnew2■exe
p://heyjoy■cn/612■exe
p://kerchex■biz/cash■exe
p://www■dimensi0n■altervista■org/team/wlachocia■txt
AntiVirには未検出分をftp経由で提出済み。他はこれから提出します。
247:名無しさん@お腹いっぱい。
09/07/19 23:12:15
>>246さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました
248:名無しさん@お腹いっぱい。
09/07/19 23:41:19
>>246
Panda、GDATA(=avast!&BitDefender)へ提出完了
今回もESET、Kaspersky、Ahnlabに提出
249:248
09/07/19 23:52:30
TrendMicroにも提出しようと思ったがエラー起こすので辞めた
誰か変わりに提出してください
250:名無しさん@お腹いっぱい。
09/07/20 00:00:41
>>246
各社一通り提出完了。今回も、NormanとZonerは面倒なのでパス。
AntiyLabsは今日もFTP鯖閉じてるので、数日内に送っときます。
>>249
うちも1回エラー起こしたが、(他と同時に送信してたので遅くてタイムアウト?)
もう1回やったら送信完了しました。
251:名無しさん@お腹いっぱい。
09/07/20 00:02:45
>246
マカフィー自動返答
File Name Findings Detection Type Extra
--------------------|-------------------|----------------------------|------|-----
612.exe |new detection |generic.dx!bde |Trojan|yes
dailybucks_install.e|current detection |fakealert-winwebsecurity.gen|Trojan|no
db.exe |inconclusive | | |no
installnew2.exe |current detection |fakealert-winwebsecurity.gen|Trojan|no
mshost1.exe |inconclusive | | |no
setup.exe |new detection |generic.dx!bde |Trojan|yes
wlachocia.txt |current detection |backdoor-cus!php |Trojan|no
xrun.tmp |inconclusive | | |no
1199.exe |heuristic detection|generic backdoor!hv.k |Trojan|no
install.48349.exe |inconclusive | | |no
mpg.scr |heuristic detection|generic backdoor!hv.k |Trojan|no
mshost.exe |inconclusive | | |no
setup-8d5_002029-5.e|inconclusive | | |no
svchost.exe |current detection |generic.dx!baw |Trojan|no
winres.exe |current detection |generic.dx!zg |Trojan|no
252:名無しさん@お腹いっぱい。
09/07/20 00:05:45
>>246
McAfee (Active Protection 無効)5/15
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
612.exe |new detection |generic.dx!bde |Trojan |yes
db.exe |inconclusive | | |no
install.48349.exe |inconclusive | | |no
mshost.exe |inconclusive | | |no
mshost1.exe |inconclusive | | |no
setup-8d5_002029-5.e|inconclusive | | |no
setup.exe |new detection |generic.dx!bde |Trojan |yes
xrun.tmp |inconclusive | | |no
1199.exe |heuristic detection |generic backdoor!hv.k |Trojan |no
mpg.scr |heuristic detection |generic backdoor!hv.k |Trojan |no
253:名無しさん@お腹いっぱい。
09/07/20 10:13:03
>>246
トレンドマイクロ返答。但し、どのファイルに該当するかは不明。
TROJ_DROPPER.PXR
TROJ_RSTDOOR.T
TROJ_FAKEAV.BMW
TROJ_DROPPER.PXQ
254:名無しさん@お腹いっぱい。
09/07/20 15:55:58
URLリンク(tane.sakuratan.com)
infected
■検体入手元
Malware Domain List 7/19分
■検出名(複数社で補ってます…)
2006.aninite.at/test(1).txt : Backdoor:PHP/Shell.C(Microsoft) , Backdoor.PHP.ALI(BitDefender)
dunpo.wisegiga.net/id.txt : PHP:PHPInfo-A(Avast)
piffopuff.se/test.txt : Trojan:PHP/Agent.A(Microsoft) , PHP.ShellExec(Ikarus)
sunset-travel.ro/devid.txt : SPR/PHP.ID program(AntiVir)
www.hotgome.net/go.jpg : HTML/Shellcode.Gen HTML script virus(AntiVir)
www.hotgome.net/GVmp.htm : JS:MalHead-U(Avast) , Troj/Iframe-CJ(Sophos)
www.hotgome.net/GVof.htm : JS:CVE-2009-1136-A(Avast) , Exploit.JS.Sheat.a(Kaspersky)
www.hotgome.net/www.hotgome.net.htm : JS/Dldr.IFrame.1618 Java script virus(AntiVir)
www.justiciasalta.gov.ar/c99.txt : PHP/C99Shell.B PHP virus(AntiVir)
各社一通り提出済み。
その他、週末で保留になってたAntiyLabs宛も提出完了。
255:名無しさん@お腹いっぱい。
09/07/20 18:56:21
>>246
カスペ返答
1199.exe_,mpg.scr_ - Backdoor.Win32.PcClient.atzu,
612.exe_,setup.exe_ - Trojan-Dropper.Win32.Agent.awov,
dailybucks_install.exe_ - Trojan-Downloader.Win32.FraudLoad.whut,
db.exe_ - Trojan-Downloader.Win32.VB.phg,
install.48349.exe_ - Trojan.Win32.FraudPack.pow,
installnew2.exe_ - Trojan-Downloader.Win32.FraudLoad.whue,
mshost1.exe_,svchost.exe_ - Trojan.Win32.Tdss.ajuu,
Setup-8d5_002029-5.exe_ - Trojan-Downloader.Win32.FraudLoad.fac,
winres.exe_ - Trojan-Dropper.Win32.Agent.aven,
xrun.tmp_ - Backdoor.Win32.Bifrose.bjnb
These files are already detected.
mshost.exe_ - Trojan.Win32.Agent.cqva,
wlachocia.txt - Backdoor.PHP.Rst.as
New malicious software was found