【鑑定目的禁止】検出可否報告スレ12at SEC
【鑑定目的禁止】検出可否報告スレ12 - 暇つぶし2ch151:名無しさん@お腹いっぱい。
09/07/09 20:49:31
>>150
> >>142 ㌧ tane0444
> 検体提出します。

>144でカスペにも提出完了してます…けど、パターン更新してもうちへの返答は結構後回しにされること多いので
返答欲しいなら別途提出するのは正解かもしれない。


152:名無しさん@お腹いっぱい。
09/07/09 22:06:28
カスペからの返事

>>131 (>>141) tane0441
3/7、白1, 残3
1.exe - No malicious code was found in this file.


>>137 (>>141) tane0443
1/2、残1 (wow1_1.exe)
wow1.exe_ - Trojan-GameThief.Win32.WOW.ijy   (←HEUR:Trojan.Win32.Generic)


>>142(>>150) tane0444
1+事後=3=4/5 (残 dldr1.exe)
trj1.exe - Trojan-GameThief.Win32.WOW.ijz
trj1_1.exe  -  Trojan-PSW.Win32.Agent.nja 
trj2_1.exe  -  Trojan-PSW.Win32.QQPass.kej


>>151
んー、検査している順番がわからない。
返事を返さないアナリストもいるらしい。
救急搬送トリアージ的な発想で、常連は後回しにされてそう。(また、こいつか?みたいな)

153:名無しさん@お腹いっぱい。
09/07/09 23:00:38
>>137 >>143
カスペ返答(>152 残件も返答あり)

137 (2/2)
143 (5/5) でクローズ

dldr1.exe_ - Trojan-Downloader.Win32.Tiny.cew,
trj1.exe_ - Trojan-GameThief.Win32.WOW.ijz,
trj1_1.exe_ - Trojan-PSW.Win32.Agent.nja,
trj2_1.exe_ - Trojan-PSW.Win32.QQPass.kej,
wow1.exe_, wow1_1.exe_ - Trojan-GameThief.Win32.WOW.ijy

New malicious software was found.

trj2.exe_ - Trojan-GameThief.Win32.OnLineGames.bmko

This file is already detected.

154:名無しさん@お腹いっぱい。
09/07/09 23:40:55
URLリンク(tane.sakuratan.com)
infected

○ 検体入手元 ○
FakeAV MalwareDatabase 7/9分より
p://securedvirusscan■com/download/Setup-4e45_02022■exe

○ VirusTotal ○
Setup-4e45_02022■exe (0/41)
URLリンク(www.virustotal.com)


各社一通り提出完了。

155:名無しさん@お腹いっぱい。
09/07/09 23:48:27
カスペからの返事

>>135 tane0442
2+2=4/5、白1でクローズ

jp.js_ - Trojan-Downloader.JS.Iframe.bjt
xplays.php - 白

>>153
>>142 5/5 クローズ tane0444に訂正

156:名無しさん@お腹いっぱい。
09/07/10 00:54:57
>>154
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup-4e45_02022.exe|inconclusive | | |no

157:名無しさん@お腹いっぱい。
09/07/10 09:54:32
URLリンク(tane.sakuratan.com)
virus

158:名無しさん@お腹いっぱい。
09/07/10 10:10:05
>>157
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

159:名無しさん@お腹いっぱい。
09/07/10 13:20:48
カスペ2010 12:27

>>157 ㌧ tane0446
>>3/6 (HEUR2) HEUR含め検体提出します。
virus HEUR:Exploit.Script.Generic   msvideo2_1.js
virus HEUR:Exploit.Script.Generic   msvideo2_2.js
not-a-virus:NetTool.Win32.ZXProxy.gn   pcker1.exe


>>154 ㌧ tane0445
0/1のまま
こちらからも再提出

160:名無しさん@お腹いっぱい。
09/07/10 13:36:14
>>157
McAfee (Active Protection 無効)1/6
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
aspk1dldr.exe |current detection |generic.dx |Trojan |no
msvideo2_1.js |inconclusive | | |no
msvideo2_2.js |inconclusive | | |no
pcker1.exe |new detection |generic backdoor!ef |Trojan |yes
trj2.exe |inconclusive | | |no
trj2_1.exe |inconclusive | | |no

161:名無しさん@お腹いっぱい。
09/07/10 15:01:52
>>157 (>>159) tane0446
3+1=4/6 ,白1, 残1 (trj2_1.exe)
Trojan.JS.Agent.ajl -  msvideo2_1.js、  msvideo2_2.js (←virus HEUR:Exploit.Script.Generic)
trj2.exe_ -    Trojan.Win32.Agent2.kwa
aspk1dldr.exe -   No malicious code was found in this file.


>>91(>>97,106) tane0436
3+事後検出4=7/7でクローズ
trj1.exe_ -  Trojan-Dropper.Win32.Agent.avpr
trj1_1.exe_ -  Trojan.Win32.BHO.vng

162:名無しさん@お腹いっぱい。
09/07/10 15:14:54
URLリンク(tane.sakuratan.com)
infected

検体入手元
MalwareDatabase 7/9分より

URLリンク(go-go-tube)<)■com/onlinemovies■[40000-40100]■exe
p://youtube-adult■name/
p://upload■octopus-multimedia■be/1/pdrv■exe
p://upload■octopus-multimedia■be/1/pp■10■exe
p://arplgm■cn/a■exe
p://youtube-adult■name/setup■exe
p://youtube-adult■name/VideoCodec■exe
p://youtube-adult■name/Mediacodec■exe
p://imagehut3■cn/images/evilItTheir■pdf
p://imagehut3■cn/images/update■php
p://missing-codecs■net/download/download■php
p://91■212■198■116/lib/update■php
p://www■hoje-noticias■pagebr■com/downloads/plug2■txt
p://www■hoje-noticias■pagebr■com/downloads/wiskyx■exe
p://www■hoje-noticias■pagebr■com/downloads/winsex2■txt
p://www■hoje-noticias■pagebr■com/downloads/winsex2■exe
p://vikd3jj-2■com/2/index■php
p://vikd3jj-2■com/2/update■exe

163:名無しさん@お腹いっぱい。
09/07/10 16:40:25
>>157 , >>162
各社一通り提出完了

未提出:Norman,Zoner

一部未提出:トレンドマイクロ
 >>162の p://red-exe■com/onlinemovies■[40000-40100]■exe のみが入ったファイルが
 500エラーで弾かれるのでそこだけ未提出。VTでは未検出の筈なんだけど、検出済みファイルのみの
 時と同じエラーで提出不可?

 これは時間を置いてから再提出を試み、ダメなら対応済みなのだと思って納得することにします。

164:名無しさん@お腹いっぱい。
09/07/10 16:42:42
AntiVir9 検出結果

>>157 (4+2/6)
tane0446/aspk1dldr.exe : SPR/Dldr.J program
tane0446/msvideo2_1.js : HEUR/HTML.Malware suspicious code
tane0446/msvideo2_2.js : HEUR/HTML.Malware suspicious code
tane0446/pcker1.exe : TR/Crypt.ZPACK.Gen Trojan
tane0446/trj2.exe : TR/Spy.Gen Trojan
tane0446/trj2_1.exe : TR/Spy.Gen Trojan

>>162
91.212.198.116/load.exe : - Not Detected -
arplgm.cn/a.exe : TR/Downloader.Gen Trojan
imagehut3.cn/evilItTheir.pdf : HTML/Shellcode.Gen HTML script virus
imagehut3.cn/load.exe : - Not Detected -
missing-codecs.net/install_flash_player.exe : - Not Detected -
red-exe.com/onlinemovies.[40000-40018].exe : - Not Detected -
red-exe.com/onlinemovies.40019.exe : TR/Crypt.ZPACK.Gen Trojan
red-exe.com/onlinemovies.[40020-40100].exe : - Not Detected -
upload.octopus-multimedia.be/pdrv.exe : - Not Detected -
upload.octopus-multimedia.be/pp.10.exe : - Not Detected -
vikd3jj-2.com/index.php : - Not Detected -
vikd3jj-2.com/update.exe : - Not Detected -
youtube-adult.name/index.htm.exe : TR/Dropper.Gen Trojan
youtube-adult.name/Mediacodec.exe : TR/Dropper.Gen Trojan
youtube-adult.name/setup(1).exe : TR/Dropper.Gen Trojan
youtube-adult.name/setup.exe : TR/Dropper.Gen Trojan
youtube-adult.name/VideoCodec.exe : TR/Dropper.Gen Trojan

165:名無しさん@お腹いっぱい。
09/07/10 17:56:45
>>162 ㌧ tane0447
カスペ2010 16:15
113/116・提出します。

(1) red-exe.com 101/101
Trojan.Win32.FraudPack.pjl   red-exe.com/onlinemovies.[40000-40100].exe (ただし、40019.exe除く) (100files)
Trojan-Downloader.Win32.Small.jvl   red-exe.com/onlinemovies.40019.exe

(2) youtube-adult.nameフォルダ 5/5
Trojan-Downloader.Win32.CodecPack.ilv   /index.htm.exe
Trojan-Downloader.Win32.FraudLoad.exm   /Mediacodec.exe  /setup(1).exe  /setup.exe   /VideoCodec.exe

(3) 残 7/10
Trojan-Dropper.Win32.Agent.avow   91.212.198.116/load.exe  (1/1)
Trojan-Downloader.Win32.Tiny.cew   arplgm.cn/a.exe  (1/1)
virus HEUR:Exploit.Script.Generic   imagehut3.cn/evilItTheir.pdf  (2/2)
Trojan.Win32.VB.smd   imagehut3.cn/load.exe
Trojan.Win32.Small.can   upload*/pp.10.exe  (1/2, pdrv.exe スルー)
Trojan.Win32.Inject.afqp   vikd3jj-2.com/update.exe  (1/2, index.php スルー)
Trojan-Downloader.Win32.Injecter.dd  youtube-adult.name/index.htm.exe   (1/1)
※missing*\install_flash_net.exe スルー

返事
>>157(>>159,161) tane0446
3+2=5/6、白1で閉鎖
trj2_1.exe_ - Trojan.Win32.BHO.vnh


166:名無しさん@お腹いっぱい。
09/07/10 18:35:07
気になる人は提出する方向で

URLリンク(foobar2000.xrea.jp)  (PWロックは掛かってない)
URLリンク(www.virustotal.com)

167:20
09/07/10 18:53:45
>>166 乙です。
AVIRAに提出してみたら、判定済みで FALSE POSITIVE(誤検出)とのことです。
つまり、黒→白という扱いになっています。 一応、参考として。

# 出張先だと、AVIRAの提出用鯖にファイルをアップする以外、できる事がほとんど無い。

168:名無しさん@お腹いっぱい。
09/07/10 21:16:23
とあるexploitをMcAfeeに送った時のインドのラボからの返信。

Why do you suspect this of being the culprit of malicious behavior?
Has any AV product detected it?
What engine/dat number are you using?
Have you noted any suspicious behavior on a system where this file has been run?
If so, what?

ちょ…ちょっと怒ってる(;^ω^)?

169:名無しさん@お腹いっぱい。
09/07/10 21:21:23
なんで送ってきた?
なんかで検知したのか?
てかなにつかってるんだ?
なんか変な挙動でもあったのか?
だとすればなに?

170:名無しさん@お腹いっぱい。
09/07/10 21:23:15
これはひどい。忙しいのかな

171:名無しさん@お腹いっぱい。
09/07/10 22:28:23
>>162(>>165) tane0447
113+1=114/116、残2
Hello,

(missings-codec.net)\install_flash_player.exe_ - Trojan.Win32.VB.soj

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.




172:20
09/07/11 09:36:09
>>168-170
これはアナリスト怒ってるねぇ。 検出できるもの・できないものを分別しないで大量に送りつけたとか?

どこのベンダーも忙しいみたいだから、検出できるものまで送りつけられたら、そりゃアナリストは不愉快だと
思うので、それ以外思いつかないが...

私の方だと、AVIRAとKasperskyにかなり送っているが、検出可能ファイルは排除してから送ってるせいか
それともベンダーの性格の違いか、そういう苦情っぽいメールは受けたこと無いけど。 といっても、AVIRAは
メール提出してない(提出用鯖にアップしているだけ)だから、自動応答メール以外来ないけどね。

>>152 雑談ついで。
Kasperskyは、とりあえずヒューリスティックが隔離して、KISの隔離フォルダからQuarantine Objectで
送付されるファイルが、最優先で処理される。 経験的には、こいつは処理が異常に早い。

次が、exe単独の提出で、出所orマルウェアであることがはっきりしているファイル。
(ウイルス本体とみなされるファイル)これは、ファイルのダウンロード元(サイト名とか)をメールに
明記して送るか、VTの検出結果のurlを記入して送った場合。

それ以外は、かなりランダム。分析が早い時もあるし遅い時もある、という感じです。
私の方の状況ですが、参考になれば。

# 全部まとめて送っても隔離ファイルなみに処理が早いことがあるので、前の2つ以外は、正直、
  どういう順番なのか全く読めないですね。ただ、自分の提出状況と処理結果を見ていると、
  提出者が誰かor過去に大量の提出をしているか、は全く関係なさそう。


173:名無しさん@お腹いっぱい。
09/07/11 12:15:59
カスペからの返事&カスペ 11:24

>>162(>>165,171) tane0447
113+(1+1)=115/116、残1 (index.php)

Exploit.JS.Pdfka.ni  -  imagehut3.cn/evilItTheir.pdf   (←virus HEUR:Exploit.Script.Generic)(返答)
Trojan.Win32.Agent2.kvz   -  /upload.octopus-multimedia.be/pdrv.exe (検知)

174:168
09/07/11 14:55:45
URLリンク(tane.sakuratan.com)
virus
いやー1ファイルだけだったんだけどねぇ。
物はmilw0rmに載っていて消えた物(SANS-ISCにあるとおりmilw0rmが今ちょっと不調)で、
載せたのは確かHP(ヒューレットパッカード)の中の人。
同梱の画像はアップローダの下限(1kB)回避用のダミーなので無視で。

175:20
09/07/11 15:12:25
>>174
URLリンク(www.virustotal.com) (1/41)

AVIRAに提出しました。

1ファイルで、普通ああいうメールは返ってこないと思うが...提出したExploitファイルの中に、McAfeeの悪口が書かれてたとか?(w

176:20
09/07/11 15:14:39
>>175
AVIRA返答
 addfav_crash1.htm - CLEAN(白)

177:名無しさん@お腹いっぱい。
09/07/11 16:09:07
>>175
いや見てのとおり大したファイルじゃないのよ。
IEが落ちる以外は実害のないコンセプトコードなので実行してみそ。
送ったメールの文も「Exploit.IEAddFavorite」の一言だし。
とりあえずイシューNo.とアナリストの名前を書いて
ラボとカスタマーサービスに以下を送信(;^ω^)。

WHATS THIS FCKN ATTITUDE ?
McAfee employs plug-ugly ?

178:名無しさん@お腹いっぱい。
09/07/11 18:46:32
URLリンク(tane.sakuratan.com)
infected

VirusTotal(7/41)
URLリンク(www.virustotal.com)

179:名無しさん@お腹いっぱい。
09/07/11 19:22:13
>>178
Symantec、Panda、GDATA2010(今回はBitDefenderのみ)に提出完了

今回はESETにも提出

180:名無しさん@お腹いっぱい。
09/07/11 20:14:14
>>178
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
banner |inconclusive | | |no

181:名無しさん@お腹いっぱい。
09/07/11 20:59:24
>>178 tane0449
カスペ 19:56
スルー
検体提出します。

182:名無しさん@お腹いっぱい。
09/07/12 21:36:53
初スレからのタレコミです
マルウェア配布サイトlapcie.com/
11アーカイブ
Symantecとa-squaredとMalwarebytesとMicrosoftとAVGに提出済みです
みなさんもよろしく

183:名無しさん@お腹いっぱい。
09/07/12 22:30:14
>>182
それ、誤検出の疑いって奴だろ。VTでチェックして、検出してるとこにだけ出せばいいことかと。
どのアーカイブのなんていうファイルに反応しているのかの報告がないので、現時点では提出をスルー。

184:182
09/07/12 22:34:43
2chの誤検出の疑いなんて信用しないで
自分で調べりゃすぐ分かるだろ

185:名無しさん@お腹いっぱい。
09/07/13 12:35:07
URLリンク(tane.sakuratan.com)
infected

■ 検体入手元
Malware Domain List の更新情報 7/11分、リネージュ資料室の更新情報 7/12分 より

■ 既提出先
AntiVir AntiyLabs のみ。今日は時間が無いので、他への提出はやってません。

186:名無しさん@お腹いっぱい。
09/07/13 12:44:13
>>185
Panda、GDATA2010(=avast!&BitDefender)へ提出完了
Symantecへは提出するのにちょっと時間がかかりそうなのでまだ提出してない、代わりにやってくれる人がいるならお願いします

187:名無しさん@お腹いっぱい。
09/07/13 14:15:34
>>185-186
Symantecとa-squaredとMalwarebytesに提出しました

188:名無しさん@お腹いっぱい。
09/07/13 16:29:18
カスペ2010 14:47
>>185 tane0451
23/37

(1) skywebsv.comフォルダ 8/11 (Darkst.html, MS08011.htm, MS08053.htm スルー)
virus HEUR:Exploit.Script.Generic    /Blog.htm   /MsAccess.htm   /web(1).htm   /web.htm
virus HEUR:Trojan.Win32.Invader    /cer.exe
Exploit.JS.DirektShow.a    /darkst.png
Trojan-Downloader.VBS.Agent.io    /Ms06014.htm
Exploit.JS.RealPlr.ob    /Real.htm

(2)teamerblogフォルダ 9/12 (3files スルー、同上)
virus HEUR:Exploit.Script.Generic    /blog.htm   /fc2.htm    /FFXI-search.htm   /MsAccess.htm    /play.htm
Trojan.Win32.Inject.afyg    /cer.exe
Exploit.JS.DirektShow.a    /darkst.png
Trojan-Downloader.VBS.Agent.io    /Ms06014.htm
Exploit.JS.RealPlr.ob    /Real.htm

(3) upload.octopusフォルダ 3/4 (gen.phpスルー)
Trojan-Dropper.Win32.BHO.bo    /6244.exe
Trojan.Win32.Agent2.kwh    /fb.49.exe
Trojan.Win32.Agent2.jyw    /nfr.exe

(4)その他 3/10
Trojan-Downloader.JS.Agent.ehl    /benpao2020.com/go.jpg (1/5, 360.htm, a1a.htm, go1.jpg, t.js スルー)
Trojan-Spy.Win32.Ayludle.a    /esli.tw/load.exe (1/2    Russia_attacks.pdfスルー)
virus not-a-virus:FraudTool.Win32.Agent.tj    /secure-safe-download.com/wsetup.exe (1/1)
antivirus*フォルダ 0/2 (anti*.htm, Setup-15815*.exe スルー)

189:名無しさん@お腹いっぱい。
09/07/13 18:30:54
>>185
McAfee (Active Protection 無効)14/37
未検出分をMcAfeeに提出させて頂きました。
※ヒューリスティックoff→17/37
ヒューリスティックを無効にすると検出数が増えたorz

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
360.htm |inconclusive | | |no
a1a.htm |inconclusive | | |no
antiviruspcscannerv7|inconclusive | | |no
blog.htm |inconclusive | | |no
darkst.htm |inconclusive | | |no
darkst.htm |inconclusive | | |no
fb.49.exe |new detection |w32/koobface.worm.gen.h |Virus |yes
gen.php |inconclusive | | |no
go.jpg |heuristic detection |beav-shellcode |Application |no
go1.jpg |inconclusive | | |no

190:名無しさん@お腹いっぱい。
09/07/13 18:32:43
load.exe |inconclusive | | |no
ms06014.htm |heuristic detection |vbs/psyme.gen.a |Trojan |no
ms08011.htm |inconclusive | | |no
ms08011.htm |inconclusive | | |no
ms08053.htm |inconclusive | | |no
ms08053.htm |inconclusive | | |no
real.htm |heuristic detection |beav-shellcode |Application |no
russia_attacks.pdf |inconclusive | | |no
setup-15815_02002-8.|inconclusive | | |no
t.js |inconclusive | | |no
web(1).htm |inconclusive | | |no
web.htm |inconclusive | | |no
wsetup.exe |inconclusive | | |no

191:名無しさん@お腹いっぱい。
09/07/13 21:24:20
>>154 tane0445
0+1=1/1で閉鎖
Setup-4e45_02022.exe_   -   Trojan-Downloader.Win32.FraudLoad.eyu


>>178 tane0449
0+1=1/1で閉鎖
banner  -  Exploit.Win32.Pidief.bee


>>185 tane0451
23+2=25/37(うちHEUR9)、残12

esli.tw\Russia_attacks.pdf_ - Exploit.Win32.Pidief.bef
wwwskywebsv.com\cer.exe_  -   Trojan-GameThief.Win32.OnLineGames.bmlr (←HEUR:Trojan.Win32.Invader)
antiviruspcscannerv7.com\Setup-15815_02002-8.exe - Trojan.Win32.FraudPack.plk

New malicious software was found in this file.

192:191
09/07/13 21:26:25
すまん。カスペからの返事です。
>>185(>>188,191)

193:20
09/07/14 12:45:50
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 9個入っています。MDLの2009/07/13分から。(7/13の全部ではない)
a222.dnf5.com
 1.exe - URLリンク(www.virustotal.com) (15/41)
a444.dnf5.com
 of.js - URLリンク(www.virustotal.com) (8/41)
krisnet.cn
 mss8.exe - URLリンク(www.virustotal.com) (12/41)
puppsik.biz
 mainokK.exe - URLリンク(www.virustotal.com) (10/41)
wesssrett.cn
 theirTextLayout.pdf - URLリンク(www.virustotal.com) (23/41)
 index.php - URLリンク(www.virustotal.com) (8/41)
 typeSBc.swf - URLリンク(www.virustotal.com) (17/41)
 update.exe - URLリンク(www.virustotal.com) (34/41)
www.fdsdffdfsf.cn
 of.htm - URLリンク(www.virustotal.com) (4/41)

a444.dnf5.comとwww.fdsdffdfsf.cnが、OfficeWebへの0-day攻撃...らしい。
一部検出率の高いものが入っていますが、出張中で自分の使用環境が整ってないので、すみませんが全部パックしました。m(_ _)m

194:20
09/07/14 12:55:16
>>193
AVIRA9 7.01.04.228 黒6/9,未検出の3個は提出済み。

a222.dnf5.com
  1.exe - TR/Rootkit.Gen
a444.dnf5.com
  of.js - HTML/Shellcode.Gen
krisnet.cn 
  mss8.exe -
puppsik.biz
  mainokK.exe - WORM/Emold.U.8
wesssrett.cn
  theirTextLayout.pdf - HTML/Shellcode.Gen
  index.php -
  typeSBc.swf - SWF/Drop.Small.LP
  update.exe - TR/BurnInHell.L
www.fdsdffdfsf.cn
  of.htm -

AVIRA入りの仮想PCしか作業環境が無いので、他ベンダーのチェック・提出は他の人にお任せします。

195:名無しさん@お腹いっぱい。
09/07/14 13:35:37
>>193
fdsなんちゃらのOfficeWebComponentのゼロデイ、
スクリプトが分割されていてof.htm単品だと攻撃が成立しない
ので(a.jsがシェルコード)くっつけときました。
URLリンク(tane.sakuratan.com)
virus

196:名無しさん@お腹いっぱい。
09/07/14 14:21:26
>>193
>>195
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

197:20
09/07/14 15:02:16
>>195
ありがトン。分割されていたのに気がつかんかった...orz
 URLリンク(www.virustotal.com) (7/41)

a.js単独,a.js込みの>195だと検出しますが、念のためof.htm + a.jsをzipで圧縮して、AVIRAに再提出しておきました。

※ 一応書いておくと、AVIRAの検体提出鯖は、パス無しzipであれば自動で解凍して、個別の検体として受け取ってくれます。
  (zipファイル=検体ではなく、中身を個別に判定してくれます。) ただ、中身の数が多くなると拒否されます。
  いくつまで平気なのかは、試してないので不明。

# 数が多すぎる場合の拒否メッセージが“ KO ”という所(鯖がKOされた、という意味だと思う)が、ユーモアがあって面白い...

198:名無しさん@お腹いっぱい。
09/07/14 16:52:57
URLリンク(tane.sakuratan.com)
virus
同じOfficeWebComponentsの奴です。
こちらはシェルコードが小さいため最初から1ファイルでした。

199:名無しさん@お腹いっぱい。
09/07/14 16:58:08
あっごめん、今見たら453にDLKey設定してなかった。

200:名無しさん@お腹いっぱい。
09/07/14 17:00:40
>>198
Pandaへ提出完了、他のいつも送ってるベンダー(Symantec、avast!、BitDefender)は検出してるので今回は提出なし

URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)

201:20
09/07/14 17:49:14
>>198
AVIRA9 7.01.04.229 黒2/2
 owc2.htm - HTML/Silly.Gen
 owc2.js - HTML/Silly.Gen

検出できるので提出無し。

202:20
09/07/14 17:57:26
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 10個入っています。MDLの2009/07/13分から。
ferarilatka.cn
 index.php - URLリンク(www.virustotal.com) (5/41)
 koxyebuth.pdf - URLリンク(www.virustotal.com) (11/41)
 xyachuch.swf - URLリンク(www.virustotal.com) (7/41)
thetests.net
 index.php - URLリンク(www.virustotal.com) (4/41)
 index.htm - URLリンク(www.virustotal.com) (4/41)
 file.exe - URLリンク(www.virustotal.com) (1/41)
 e50i.pdf - URLリンク(www.virustotal.com) (5/41)
bezopbizn.ru
 index.php - URLリンク(www.virustotal.com) (2/41)
 pdf.pdf - URLリンク(www.virustotal.com) (8/41)
 getexe.exe - URLリンク(www.virustotal.com) (22/41)


203:20
09/07/14 18:05:22
>>202
AVIRA9 7.01.04.229 黒 3,黒確定(VDF update待ち) 1,解析中 6

ferarilatka.cn
  index.php - (UNDER ANALYSIS)
  koxyebuth.pdf - HTML/Shellcode.Gen
  xyachuch.swf - (UNDER ANALYSIS)
thetests.net
  index.php - (UNDER ANALYSIS)
  index.htm - (UNDER ANALYSIS)
  file.exe - (TR/Dldr.Agent.duc) - VDF next update
  e50i.pdf - EXP/Pidief.WH
bezopbizn.ru
  index.php - (UNDER ANALYSIS)
  pdf.pdf - (UNDER ANALYSIS)
  getexe.exe - Worm/Bezopi.A

204:20
09/07/14 18:31:55
>>194
AVIRA返答

krisnet.cn 
  mss8.exe - TR/Malex.121856E
wesssrett.cn
  index.php - JS/IFrame.dpr
www.fdsdffdfsf.cn
  of.htm - CLEAN(白)

黒2,白1でclose. 分割されてて、攻撃コードを含まない方は白になりました。
(zipでまとめて送った方も同じ結果でした。)

205:名無しさん@お腹いっぱい。
09/07/14 18:40:16
>>193
McAfee (Active Protection 無効)4/9
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |new detection |generic downloader.x!ji |Trojan |yes
index.php |current detection |obfuscated script.h |Trojan |no
mainokk.exe |inconclusive | | |no
mss8.exe |inconclusive | | |no
of.htm |new detection |exploit-cve2009-1136 |Trojan |yes
of.js |heuristic detection |beav-shellcode |Application |no
theirtextlayout.pdf |current detection |exploit-pdf.b.gen |Trojan |no
typesbc.swf |current detection |exploit-cve2007-0071 |Trojan |no
update.exe |current detection |generic downloader.z |Trojan |no

206:名無しさん@お腹いっぱい。
09/07/14 18:42:13
>>195
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
owc1.htm |heuristic detection |beav-shellcode |Application |no
owc1.js |heuristic detection |beav-shellcode |Application |no

207:名無しさん@お腹いっぱい。
09/07/14 18:45:57
>>202
McAfee (Active Protection 無効)2/10
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
e50i.pdf |inconclusive | | |no
file.exe |inconclusive | | |no
getexe.exe |current detection |generic.dx!ys |Trojan |no
index.htm |inconclusive | | |no
index.php |inconclusive | | |no
index.php |inconclusive | | |no
index.php |current detection |obfuscated script.h |Trojan |no
koxyebuth.pdf |inconclusive | | |no
pdf.pdf |inconclusive | | |no
xyachuch.swf |inconclusive | | |no

208:20
09/07/14 19:52:28
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

MDLの2009/07/13で確保できた分の残り15個。exeとpdfばっかりです。

今、VirusTotalがパンクしているので、この15個についてはインフォメーションがありません。
また、もしかしたら古いものとかも入っているかもしれません。m(_ _)m

AVIRA 7.01.04.231 黒11/15。
 analitics.in\load.exe - TR/Crypt.ZPACK.Gen
 axevoq.cn\installer_1.exe - TR/ATRAPS.Gen
 ircleaner.com\install.exe - TR/Dropper.Gen
 onuka.cn\mal.exe - TR/Dropper.Gen Trojan
 securitytrial.com\install.exe - TR/Dropper.Gen
 updatedate.cn\255.pdf - DR/Pdfka.NL.1
 updatedate.cn\464.pdf - DR/Pdfka.NL
 webalfa.cn\load.exe - TR/Crypt.ULPM.Gen
 webalfa.cn\spl.pdf - EXP/Pidief.WH
 www.tech2tech.cn\load.exe - TR/FraudPack.pjs
 www.tech2tech.cn\pdf.pdf - JS/Dldr.Small.CR.2

未検出
 download.anti-virus-best.info\PreInstaller.exe
 testtubefilms.com\onlinemovies.48022.exe
 updatedate.cn\installb.exe
 yourtubetop.com\onlinemovies.45095.exe
 
未検出分はAVIRAに提出済みです。

209:名無しさん@お腹いっぱい。
09/07/14 20:07:20
検体提出の方㌧

カスペ2010 19:11

>>193 tane0452
4/9
virus HEUR:Trojan.Win32.Generic    /krisnet.cn/mss8.exe
virus Worm.Win32.Bezopi.b    /puppsik.biz/mainokK.exe
Exploit.Win32.Pidief.bby    /wesssrett.cn/theirTextLayout.pdf
Trojan-Downloader.Win32.Small.jwo    /wesssrett.cn/update.exe

>>195 tane0453
2/2
virus HEUR:Exploit.Script.Generic   owc1.htm、   owl1.js


>>197 tane0454
0/2 スルー


>>199 tane0455
2/10
virus Worm.Win32.Bezopi.a   tane0455.zip/bezopbizn.ru/getexe.exe
virus HEUR:Trojan-Downloader.Script.Generic   /ferarilatka.cn/index.php

検体提出します。
VTがoverloadになっている。orz

210:名無しさん@お腹いっぱい。
09/07/14 21:37:23
>>202
>>208
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

211:名無しさん@お腹いっぱい。
09/07/14 21:44:45
>>208
Symantecから自動返答

filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.

filename: onlinemovies.45095.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes

filename: spl.pdf
machine: Machine
result: See the developer notes


書ききれないので続き

212:名無しさん@お腹いっぱい。
09/07/14 21:45:23
>>208

>>211からの続き

filename: installb.exe
machine: Machine
result: See the developer notes

filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.

filename: installer_1.exe
machine: Machine
result: See the developer notes

filename: PreInstaller.exe
machine: Machine
result: See the developer notes

filename: onlinemovies.48022.exe
machine: Machine
result: See the developer notes

213:名無しさん@お腹いっぱい。
09/07/14 21:47:43
スマソ>>211>>212見てなんかおかしいなと思ったら提出した検体が被ってたようだorz(圧縮ファイルを二つにわけて送ったらから恐らく選別ミス)

filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.

結局検出確定はこれ一つだけか・・・

214:名無しさん@お腹いっぱい。
09/07/14 22:18:53
>>208
McAfee (Active Protection 無効)6/15
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
installer_1.exe |inconclusive | | |no
preinstaller.exe |inconclusive | | |no
255.pdf |inconclusive | | |no
464.pdf |inconclusive | | |no
installb.exe |inconclusive | | |no
load.exe |inconclusive | | |no
spl.pdf |inconclusive | | |no
load.exe |new detection |fakealert-es |Trojan |yes

215:名無しさん@お腹いっぱい。
09/07/14 23:34:45
>>208
カスペ2010 23:09
10/15

Trojan-Dropper.Win32.Microjoin.gtm    analitics.in/load.exe
virus HEUR:Trojan.Win32.Generic    axevoq.cn/installer_1.exe
Trojan program Trojan.Win32.Agent.clls    onuka.cn/mal.exe
Exploit.JS.Pdfka.nl    updatedate.cn/464.pdf
Exploit.JS.Pdfka.nl    updatedate.cn/255.pdf
Trojan-Downloader.Win32.FraudLoad.eza    testtubefilms.com/onlinemovies.48022.exe
Trojan-Spy.Win32.Goldun.cbr    webalfa.cn/load.exe
Trojan-Downloader.Win32.FraudLoad.eza    yourtubetop.com/onlinemovies.45095.exe
Exploit.HTML.IframeBof    www.tech2tech.cn/pdf.pdf
Trojan.Win32.FraudPack.pjs    www.tech2tech.cn/load.exe

私が手一杯なので、できれば、代理提出お願いします。

216:名無しさん@お腹いっぱい。
09/07/15 01:02:49
カスペからの返事

>>195 (>>209) tane0453
2/2
owc1.htm_ - Trojan-Downloader.JS.ShellCode.g (←HEUR:Exploit.Script.Generic)

>>198(>>209) tane0454
0+2=2/2で閉鎖
owc2.htm、  owc2.js_ _ - Exploit.JS.ActiveX.ae (返事)

>>202(>>209) tane0455
2+1=3/10、残7
ferarilatka.cn\koxyebuth.pdf - Exploit.Win32.Pidief.bej (返事)


>>193(>>209) tane0452
a222.dnf5.com\1.exe は、KSN検知、KIS2010では危険なオブジェクトとして検知してアクセスをブロック。シグネチャ作成待ち。

.
前スレ705>>34(>>62,74) tane0416
5+2=7/57,.白50でクローズ
index22.php、index22[1-44].php (45files) - No malicious code were found in these files

昔大量に出したせいで、今頃渋滞しているのかな。orz

217:名無しさん@お腹いっぱい。
09/07/15 02:35:31
ここまでSymantecとa-squaredとMalwarebytesに提出しました

218:名無しさん@お腹いっぱい。
09/07/15 08:55:20
カスペからの返事&カスペ2010 8:09

>>208>>215) tane0456
10/15
Detected Trojan-Downloader.Win32.FraudLoad.wfxs   axevoq.cn\installer_1.exe (←HEUR:Trojan.Win32.Generic) (検知)

>>202(>>209,216) tane0455
2+1=3/10、残7のまま
ferarilatka.cn \ index.php - Trojan.HTML.IFrame.ao (←HEUR:Trojan-Downloader.Script.Generic) (返答)




219:名無しさん@お腹いっぱい。
09/07/15 09:31:55
URLリンク(tane.sakuratan.com)
virus
milw0rmよりFirefox3.5のPoC。

220:名無しさん@お腹いっぱい。
09/07/15 10:34:26
カスペ2010 9:20
>>219 ㌧ tane0457
1/1
virus HEUR:Exploit.Script.Generic   tane0457.zip/fx35bof1.htm
検体提出します。


カスペからの返事と検知

>>208>>215,218) tane0456
先ほど提出
10+4=14/15,残1 (sectrial \ install.exe. )

ircleaner.com \ install.exe_   -   Trojan-Dropper.Win32.FrauDrop.fd (返事)
webalfa.cn \ spl.pdf   -   Exploit.Win32.Pidief.bem (返事)
updatedate.cn \ installb.exe   -    Trojan-Dropper.Win32.Mudrop.bsx (検知)
download.anti-virus-best.info \ PreInstaller.exe_ - not-a-virus:FraudTool.Win32.Agent.tl (返事)

>>193 tane0452
4+1=5/9、残4 (a222 \ 1.exe a444.\ of.js , wesss \ typeSBc,swf, index.php)
Trojan program Exploit.JS.Sheat.a   -  tane0452\www.fdsdffdfsf.cn\of.htm (返事)

221:220
09/07/15 13:38:52
カスペからの返事

>>219 (>>220) tane0457 1/1で閉鎖
tane0457\fx35bof1.htm  -  Trojan program Exploit.JS.FoxFir.a (←HEUR:Exploit.Script.Generic)

>>208>>215,218,220) tane0456
10+(4+1)=15/15で閉鎖
securitytrial \ install.exe_ - Trojan-Dropper.Win32.FrauDrop.fd

>>185(>>188,191) tane0451
25/37、白1、残11
benpao2020.com\go1.jpg - 白

222:名無しさん@お腹いっぱい。
09/07/15 16:44:57
URLリンク(tane.sakuratan.com)
infected

検体入手元
Malware Domain List 7/14分+リネージュ資料室更新分

各社一通り提出済み(NormanとZonerはパス)

223:20
09/07/15 17:47:44
>>219
AVIRA 7.01.04.234 黒1/1
 fx35bof1.htm - HTML/Silly.Gen

>>208
AVIRA返答
 download.anti-virus-best.info\PreInstaller.exe - DR/FraudLoad.wfh
 testtubefilms.com\onlinemovies.48022.exe - TR/Dldr.FraudLoad.EZA.13
 updatedate.cn\installb.exe - TR/Crypt.ZPACK.Genで検出できるようにする
 yourtubetop.com\onlinemovies.45095.exe - TR/Dldr.FraudLoad.EZA.14

黒11+事後4=黒15/15でclose

224:名無しさん@お腹いっぱい。
09/07/15 17:49:30
>>219
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
fx35bof1.htm |new detection |js/exploit-bo.gen |Trojan |yes

225:220
09/07/15 18:41:14
カスペにて提出して報告していたいたものですが、システム組み換えのため、しばらくtane0458以降の検体の提出
・報告は当面できません。
自作にて相性がトラブると復帰に時間がかかるかもしれません。

さすがに家族のPCで検体をDLするのは危ないので。w
カスペユーザーの方に、代理提出、報告していただけると助かります。

なお、tane0457までの検知メールが到着すれば、報告します。

代替機ほしいなぁ。



226:20
09/07/15 18:48:21
>>222
AVIRA 7.01.04.237 黒29/48(未検出19)

221.1.204.243
  help.exe - TR/Dropper.Gen
Koobface
  setup.exe - TR/Downloader.Gen
picnews.bij.pl
  tubeplayer.exe - TR/Hijacker.Gen
sexfreetube.net
  free_stream_video.exe - TR/Dropper.Gen
sucupdate.com
  install(1).exe - TR/Dropper.Gen
  install.exe - TR/Dropper.Gen
www.hotgome.net
  1.exe - DR/PcClient.Gen
  GV11.html - JS/Dldr.Agent.2139
  GV122121.htm - JS/Dldr.Agent.ZM
  GV22.html - JS/Agent.afp
  GVbf.htm - HTML/Shellcode.Gen
  GVcx.htm - HTML/Rce.Gen
  GVfl.htm - TR/HTML.Agent.Q.1
  GVgg.htm - HTML/Shellcode.Gen
  GVxxz.htm - JS/Dldr.Small.CR.2
  www.hotgome.net.htm - JS/Dldr.IFrame.1618
  www.okireng.com.htm - JS/Dldr.IFrame.1618

227:20
09/07/15 18:49:27
>226 続き
www.hotgome.net\swf
  GG115.swf - EXP/Flash.Gen
  GG16.swf - EXP/Flash.Gen
  GG28.swf - EXP/Flash.Gen
  GG45.swf - EXP/Flash.Gen
  GG47.swf - EXP/Flash.Gen
  GG64.swf - EXP/Flash.Gen
  VV115.swf - SWF/Dldr.Agent.F.1
  VV16.swf - SWF/Dldr.Agent.F.1
  VV28.swf - SWF/Dldr.Agent.F.1
  VV45.swf - SWF/Dldr.Agent.F.1
  VV47.swf - SWF/Dldr.Agent.F.1
  VV64.swf - SWF/Dldr.Agent.F.1

228:20
09/07/15 18:52:10
>226 更に続き・AVIRA未検出分

Koobface
  116.48.213.122.htm
  65.68.100.172.htm
  69.153.57.227.htm
  69.155.133.21.htm
  71.249.178.74.htm
  77991db0140a4f7cbca6f9f3dba52f9c.htm
  k-lgbg0kiiiq.js
picnews.bij.pl
  video.htm
Win32Frethog!RAR
  cc.rar
  cc1.rar
  ff.rar
  ff1.rar
  help(1).rar
  help.rar
  help1.rar
  ll.rar
  uu.rar
  uu1.rar
www.hotgome.net
  GV14.htm

提出して頂いているようなので、様子見(私の方からは未提出)

229:名無しさん@お腹いっぱい。
09/07/15 20:06:06
ここまでSymantecとa-squaredとMalwarebytesに提出しました

230:名無しさん@お腹いっぱい。
09/07/15 23:43:33
>>222
カスペ回答
<略>
These files are already detected.

116.48.213.122.htm_, GVcx.htm_, GVfl.htm_, video.htm_
No malicious code were found in these files.

install(1).exe_ - not-a-virus:FraudTool.Win32.SystemSecurity.pc,
install.exe_ - not-a-virus:FraudTool.Win32.SystemSecurity.pb
New potentially risk software was found

k-lgbg0kiiiq.js_ - Trojan-Downloader.JS.Agent.ehp
New malicious software was found

231:20
09/07/16 13:04:07
>>203
AVIRA返答 書き忘れ分。

ferarilatka.cn
  index.php - HTML/Agent.mldl.6
  xyachuch.swf - CLEAN(白)
thetests.net
  index.php - JS/Dldr.Agent.aas
  index.htm - JS/Dldr.Agent.aaq
bezopbizn.ru
  index.php - JS/Dldr.Agent.pag
  pdf.pdf - EXP/Pidief.KL

黒(3+1)+新種5=9/10,白1でclose.

232:名無しさん@お腹いっぱい。
09/07/16 15:00:56
中国産おなじみゲームパス系1ファイルです
URLリンク(tane.sakuratan.com)
infected

入手元
www●coconlovely●com/wmv.jar

結果: 24/41 (58.54%)
URLリンク(www.virustotal.com)

233:名無しさん@お腹いっぱい。
09/07/16 17:35:18
>>232
Symantec、Pandaへ提出完了

234:名無しさん@お腹いっぱい。
09/07/16 17:46:20
>>232
Symantecから自動返答

filename: wmv.jar
machine: Machine
result: See the developer notes

filename: wmv.scr
machine: Machine
result: See the developer notes


235:20
09/07/17 12:01:56
URLリンク(www.tane.sakuratan.com)
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

tane0460の方は、URLリンク(www)<) (19/41)

AVIRAには提出済みです。gnomeさんやFFXIさんの所の情報では、
 URLリンク(www.virustotal.com)
 → VT最後 URLリンク(www.virustotal.com)
だったらしいので、他ベンダーの検出名が同じなのに、ハッシュが変わってAVIRAが未検出に戻ったということは、
どうも中身が入れ替わったっぽい。

-----
tane461の方は、元になっている URLリンク(www)<) (7/41)

236:名無しさん@お腹いっぱい。
09/07/17 16:38:36
>>235
tane0460
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
web.exe |new detection |generic downloader.x!jr |Trojan |yes

237:名無しさん@お腹いっぱい。
09/07/17 16:40:57
>>235
tane0461
McAfee (Active Protection 無効)0/16
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
14.js |inconclusive | | |no
15.js |inconclusive | | |no
16.js |inconclusive | | |no
index.htm |inconclusive | | |no
index.html |inconclusive | | |no
js.js |inconclusive | | |no
of.htm |inconclusive | | |no
of.js |heuristic detection |beav-shellcode |Application |no
real.js |inconclusive | | |no
real1.js |inconclusive | | |no
tongji.js |inconclusive | | |no
turl.js |inconclusive | | |no
vc14.htm |inconclusive | | |no
vcfl.htm |inconclusive | | |no
vcfll.htm |inconclusive | | |no
vcr.htm |inconclusive | | |no

238:名無しさん@お腹いっぱい。
09/07/18 22:44:04
URLリンク(tane.sakuratan.com)
infected

■検体入手元
Malware Domain List 7/14分+リネージュ資料室更新分

AntiVirにはftp経由で提出完了。他はこれから提出します。

239:名無しさん@お腹いっぱい。
09/07/18 22:45:30
まちがえた…

×:Malware Domain List 7/14分+リネージュ資料室更新分
○:Malware Domain List 7/17分+リネージュ資料室更新分

redirects to trojan
p://www■hotgome■net/
p://www■okireng■com/
p://www■okireng■com/GVmp■htm
p://www■okireng■com/GVof■htm
p://www■okireng■com/go■jpg

Trojan
p://174■133■73■90/p0519/2■0/ms■bin

pdf exploit
p://yawxowaj■cn/22/update■php?id=6
p://yawxowaj■cn/22/oldBelow■pdf

NDIS filter driver
p://antimalwareaupdateserver■com/Driver■exe

240:名無しさん@お腹いっぱい。
09/07/18 22:51:05
>>238
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

Symantecから自動返答

filename: GVmp.htm
machine: Machine
result: See the developer notes

filename: ms.bin
machine: Machine
result: See the developer notes

filename: Driver.exe
machine: Machine
result: This file is detected as Trojan.Dropper. URLリンク(www.symantec.com)

filename: load.exe
machine: Machine
result: See the developer notes


ちなみに現在はBitDefenderTotalSecurity2010βをテスト中
かなり軽いですね

241:名無しさん@お腹いっぱい。
09/07/18 23:54:53
>>238
McAfee (Active Protection 無効)2/8
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
driver.exe |inconclusive | | |no
gvmp.htm |inconclusive | | |no
gvof.htm |inconclusive | | |no
load.exe |new detection |generic.dx!bcn |Trojan |yes
oldbelow.pdf |inconclusive | | |no
www.okireng.com.htm |heuristic detection |with fishy extension |Application |no

242:名無しさん@お腹いっぱい。
09/07/19 01:21:32
>>238
各社一通り提出完了

提出パスしたところ > Norman,Zoner,Symantec(PandaとMcAfeeは報告出てたのに重複提出してしまった orz)
あとで提出する予定 > AntiyLabs(今日はftp鯖閉じてるみたいなので週明けにでも)

tane453,454,455,456,457,460,461 に関しても同梱して送付完了。マイナー所各社宛、ここまで残件ない…と思う。

243:名無しさん@お腹いっぱい。
09/07/19 15:51:17
URLリンク(tane.sakuratan.com)
virus

Firefox(3.5.1含む)のExploit
URLリンク(isc.sans.org)
同梱のWMPの画像はアップローダの下限(1kB)回避用のごみなので除外で。

244:名無しさん@お腹いっぱい。
09/07/19 17:21:01
>>243
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
今回はAvira、ESET、Kaspersky、Ahnlabにも提出


245:名無しさん@お腹いっぱい。
09/07/19 17:43:07
>>243
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
fx351.htm |inconclusive | | |no
fx351.js |inconclusive | | |no

246:名無しさん@お腹いっぱい。
09/07/19 23:02:41
URLリンク(tane.sakuratan.com)
infected

■■■ 検体入手元 ■■■
Malware Domain List 7/18分+リネージュ資料室更新分

p://www■miwcmac■com/JP/mpg■scr
p://www■wokutonoken-online■com/JP/mpg■scr
p://proantispywarescanv3■com/download■php?id=02029-5
 p://proantispywarescanv3■com/download/Setup-8d5_002029-5■exe
p://theinstalls■com/files/uprograms/dailybucks/install■48349■exe
p://theinstalls■com/files/uprograms/dailybucks/dailybucks_install■exe
p://x■b76■net/winres■exe
p://dapda■cn/setup■exe
p://installmoney■com/svchost■exe
p://download■microsoft-update-center■com:88/files/db■exe
p://v-i-e-w■net/xrun■tmp
p://212■117■174■14/installnew2■exe
p://heyjoy■cn/612■exe
p://kerchex■biz/cash■exe
p://www■dimensi0n■altervista■org/team/wlachocia■txt

AntiVirには未検出分をftp経由で提出済み。他はこれから提出します。

247:名無しさん@お腹いっぱい。
09/07/19 23:12:15
>>246さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました

248:名無しさん@お腹いっぱい。
09/07/19 23:41:19
>>246
Panda、GDATA(=avast!&BitDefender)へ提出完了
今回もESET、Kaspersky、Ahnlabに提出

249:248
09/07/19 23:52:30
TrendMicroにも提出しようと思ったがエラー起こすので辞めた
誰か変わりに提出してください

250:名無しさん@お腹いっぱい。
09/07/20 00:00:41
>>246
各社一通り提出完了。今回も、NormanとZonerは面倒なのでパス。
AntiyLabsは今日もFTP鯖閉じてるので、数日内に送っときます。

>>249
うちも1回エラー起こしたが、(他と同時に送信してたので遅くてタイムアウト?)
もう1回やったら送信完了しました。

251:名無しさん@お腹いっぱい。
09/07/20 00:02:45
>246
マカフィー自動返答

File Name        Findings        Detection              Type  Extra
--------------------|-------------------|----------------------------|------|-----
612.exe        |new detection    |generic.dx!bde          |Trojan|yes
dailybucks_install.e|current detection  |fakealert-winwebsecurity.gen|Trojan|no
db.exe          |inconclusive    |                  |    |no
installnew2.exe    |current detection  |fakealert-winwebsecurity.gen|Trojan|no
mshost1.exe      |inconclusive    |                  |    |no
setup.exe        |new detection    |generic.dx!bde          |Trojan|yes
wlachocia.txt    |current detection  |backdoor-cus!php        |Trojan|no
xrun.tmp        |inconclusive    |                  |    |no
1199.exe        |heuristic detection|generic backdoor!hv.k    |Trojan|no
install.48349.exe  |inconclusive    |                  |    |no
mpg.scr        |heuristic detection|generic backdoor!hv.k    |Trojan|no
mshost.exe      |inconclusive    |                  |    |no
setup-8d5_002029-5.e|inconclusive    |                  |    |no
svchost.exe      |current detection  |generic.dx!baw          |Trojan|no
winres.exe      |current detection  |generic.dx!zg          |Trojan|no

252:名無しさん@お腹いっぱい。
09/07/20 00:05:45
>>246
McAfee (Active Protection 無効)5/15
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
612.exe |new detection |generic.dx!bde |Trojan |yes
db.exe |inconclusive | | |no
install.48349.exe |inconclusive | | |no
mshost.exe |inconclusive | | |no
mshost1.exe |inconclusive | | |no
setup-8d5_002029-5.e|inconclusive | | |no
setup.exe |new detection |generic.dx!bde |Trojan |yes
xrun.tmp |inconclusive | | |no
1199.exe |heuristic detection |generic backdoor!hv.k |Trojan |no
mpg.scr |heuristic detection |generic backdoor!hv.k |Trojan |no

253:名無しさん@お腹いっぱい。
09/07/20 10:13:03
>>246
トレンドマイクロ返答。但し、どのファイルに該当するかは不明。
TROJ_DROPPER.PXR
TROJ_RSTDOOR.T
TROJ_FAKEAV.BMW
TROJ_DROPPER.PXQ

254:名無しさん@お腹いっぱい。
09/07/20 15:55:58
URLリンク(tane.sakuratan.com)
infected

■検体入手元
Malware Domain List 7/19分

■検出名(複数社で補ってます…)

2006.aninite.at/test(1).txt : Backdoor:PHP/Shell.C(Microsoft) , Backdoor.PHP.ALI(BitDefender)
dunpo.wisegiga.net/id.txt : PHP:PHPInfo-A(Avast)
piffopuff.se/test.txt : Trojan:PHP/Agent.A(Microsoft) , PHP.ShellExec(Ikarus)
sunset-travel.ro/devid.txt : SPR/PHP.ID program(AntiVir)
www.hotgome.net/go.jpg : HTML/Shellcode.Gen HTML script virus(AntiVir)
www.hotgome.net/GVmp.htm : JS:MalHead-U(Avast) , Troj/Iframe-CJ(Sophos)
www.hotgome.net/GVof.htm : JS:CVE-2009-1136-A(Avast) , Exploit.JS.Sheat.a(Kaspersky)
www.hotgome.net/www.hotgome.net.htm : JS/Dldr.IFrame.1618 Java script virus(AntiVir)
www.justiciasalta.gov.ar/c99.txt : PHP/C99Shell.B PHP virus(AntiVir)

各社一通り提出済み。
その他、週末で保留になってたAntiyLabs宛も提出完了。

255:名無しさん@お腹いっぱい。
09/07/20 18:56:21
>>246
カスペ返答

1199.exe_,mpg.scr_ - Backdoor.Win32.PcClient.atzu,
612.exe_,setup.exe_ - Trojan-Dropper.Win32.Agent.awov,
dailybucks_install.exe_ - Trojan-Downloader.Win32.FraudLoad.whut,
db.exe_ - Trojan-Downloader.Win32.VB.phg,
install.48349.exe_ - Trojan.Win32.FraudPack.pow,
installnew2.exe_ - Trojan-Downloader.Win32.FraudLoad.whue,
mshost1.exe_,svchost.exe_ - Trojan.Win32.Tdss.ajuu,
Setup-8d5_002029-5.exe_ - Trojan-Downloader.Win32.FraudLoad.fac,
winres.exe_ - Trojan-Dropper.Win32.Agent.aven,
xrun.tmp_ - Backdoor.Win32.Bifrose.bjnb
These files are already detected.

mshost.exe_ - Trojan.Win32.Agent.cqva,
wlachocia.txt - Backdoor.PHP.Rst.as
New malicious software was found

256:名無しさん@お腹いっぱい。
09/07/21 00:51:49
>>254
トレンドマイクロ返答。但し、どのファイルに該当するかは不明。

BKDR_SHELL.BW
TROJ_PHPINFO.J
BKDR_CARDST.BU

257:225
09/07/21 15:52:02
カスペからの返事

>>193(>>209,220) tane0452
4+2=6/9
of.js - Exploit.JS.Agent.aks

At the moment this file is detected.

>>195>>209,216) tane0453
2/2でシグネチャ・ベースでクローズ

owc1.js - Exploit.JS.Sheat.a (←HEUR:Exploit.Script.Generic)

This file is detected because it contains the instruction which attempts to download and install
malicious program on your computer by using security breach.
(このファイルは検知されています。なぜなら、セキュリティ・ホールを突いて、PCに悪意のあるプログラムを
ダウンロードし、インストールしようとする方法がコードに記載されているから)



返事がなくて、既に検知しているものはあるかも。
あとで、tane0457まで状況報告します。

まだ、新検体は代理提出お願いします。

258:名無しさん@お腹いっぱい。
09/07/21 17:25:57
カスペ2010 14:45

>>185(>>188,191,221) tane0451
25+1=26(うちHEUR7),白0,残11

Exploit.JS.DirektShow.k   benpao2020.com\go1.jpg (白→黒訂正)
Trojan-Downloader.JS.Iframe.bkq   www.skywebsv.com\MsAccess.htm (←HEUR:Exploit.Script.Generic)

スルー11内訳(カッコ内は最新VT検出数)
(1)antiviruspcscannerv7.com
antiviruspcscannerv7.com.htm (12/41)

(2) benpao 2020.com
360.htm (3/41)、a1a.htm (3/41)、t.js (4/41)

(3)upload.octopus-multimedia.be
gen.php (0/41)

(4)wwwskywebsv.com
Darkst.htm (0/39)、Ms08011.htm,Ms08053.htm (最後2つは互いに同一ハッシュ) (0/40)
依然として、virus HEUR:Exploit.Script.Genericのまま    /Blog.htm   /web(1).htm   /web.htm

(5)wwwteamerblog.com
Darkst.htm, Ms08011.htm, Ms08053.htm…(4)と同一ハッシュ (0/41)
依然として、virus HEUR:Exploit.Script.Genericのまま    /blog.htm   /fc2.htm    /FFXI-search.htm   /MsAccess.htm    /play.htm


>>193(>>209,220, 257) tane0452
4+3=7/9 (残2: wesssrett.cn\ index.php, typeSBc.swf)
Trojan-Dropper.Win32.Agent.avxs   a222.dnf5.com\1.exe

場合によっては、未決分について、代理提出お願いします。

259:20
09/07/22 00:12:27
やっと全鯖巻き添え規制解除...ということで

URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 6個入り
bnret.com
  web.exe - URLリンク(www.virustotal.com) (23/40)
bvgg6.cn
  02.js - URLリンク(www.virustotal.com) (11/41)
  a.js - URLリンク(www.virustotal.com) (11/41)
  go.jpg - URLリンク(www.virustotal.com) (9/38)
  go1.jpg - URLリンク(www.virustotal.com) (23/41)
seriall.com
  Virtob.exe - URLリンク(www.virustotal.com) (16/41)

web.exeは、>235が落ちてくるファイルが入れ替わったので、同じサイトから。やっぱり定期的に入れ替えてますね。
あと、KasperskyのDirektShowの通し番号、もう l(エル) まで来たのか...速ぇーなぁ。

260:20
09/07/22 00:23:09
>>259
AVIRA 7.01.05.11 黒6/6

bnret.com
  web.exe - TR/Dldr.Small.jwy.2
bvgg6.cn
  02.js - HTML/Shellcode.Gen HTML
  a.js - HTML/Shellcode.Gen HTML
  go.jpg - HTML/Shellcode.Gen HTML
  go1.jpg - EXP/Jippy.697
seriall.com
  Virtob.exe - TR/Crypt.ZPACK.Gen

-----
Kaspersky 2009/07/21 21:35:00 黒(4+1)/6

bnret.com
  web.exe - Trojan-Downloader.Win32.Small.jwy
bvgg6.cn
  02.js -
  a.js - Exploit.JS.DirektShow.j
  go.jpg - Exploit.JS.DirektShow.j
  go1.jpg - Exploit.JS.DirektShow.l
seriall.com
  Virtob.exe - (Virus.Win32.Virut.ce) ※ 既に返答あり/新種

AVIRAは全検出なので何も無し。Kasperskyは未検出分提出済み。(内、1個返答を受領済み)

261:名無しさん@お腹いっぱい。
09/07/22 00:59:09
>>259さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました

262:名無しさん@お腹いっぱい。
09/07/22 01:04:18
>>259
Panda、GDATA2010(=avast!、BitDefender)、ESETへ提出完了

263:名無しさん@お腹いっぱい。
09/07/22 18:38:06
>>259
McAfee (Active Protection 無効)1/6
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
02.js |heuristic detection |beav-shellcode |Application |no
a.js |heuristic detection |beav-shellcode |Application |no
go.jpg |heuristic detection |beav-shellcode |Application |no
virtob.exe |inconclusive | | |no
web.exe |inconclusive | | |no

264:pp
09/07/22 19:02:22
URLリンク(tane.sakuratan.com)
最近流行ってるアドウェア
某動画サイトからポップアップで開かれたサイトより収集
実行後juicytoolbarとほか以下のものがコンパネで確認
Internet Saving Optimizer
Media Access Startup
System Search Dispatcher

駆除は以上のものをアンインストールでOK


265:名無しさん@お腹いっぱい。
09/07/22 19:30:50
>>264
パスおながい

266:20
09/07/22 22:35:27
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】
ecard.exe
 URLリンク(www.virustotal.com) (9/41)

1個だけなんだけど、今日メールで送りつけられてきた分で、ecard系の新種。

AVIRA 7.01.05.16 - TR/Crypt.ZPACK.Gen
Kaspersky 2009/07/22 20:45:00 -

Kaspersky 提出済み。

267:名無しさん@お腹いっぱい。
09/07/22 23:20:11
>>266
Panda、GDATA(=avast!&BitDefender)へ提出完了
AviraとESETは既に検出済みなので提出せず

268:267
09/07/22 23:37:32
>>266
TrendMicroにも提出完了

269:20
09/07/23 00:12:14
>>266 Kaspersky返答

ecard.exe - Backdoor.Win32.UltimateDefender (黒,新種)

何か、Kasperskyらしくない、珍しい検出名だ...(w

270:20
09/07/23 00:45:06
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 3個
beauty-hot-pornxxx.com
  TubeViewer.ver.6.48103.exe - URLリンク(www.virustotal.com) (8/37)
youtube-adult.name
  setup.exe - URLリンク(www.virustotal.com) (22/38)
seriall.com
  Virtob_new.exe - URLリンク(www.virustotal.com) (15/41)

上2個は、MLDの2009/07/21で、RFIでなかったもの。 つか、1,769個リストアップされて、1,767個がRFIって何じゃそりゃ...orz
最後の1個は、>259の同サイトの物が入れ替わったので。

271:20
09/07/23 00:48:44
>>270
AVIRA 7.01.05.16 黒3/3

beauty-hot-pornxxx.com
  TubeViewer.ver.6.48103.exe - TR/Crypt.XPACK.Gen
seriall.com
  Virtob_new.exe - TR/Crypt.ZPACK.Gen
youtube-adult.name
  setup.exe - TR/Dropper.Gen

-----
Kaspersky 2009/07/23 0:13:00 黒1/3

beauty-hot-pornxxx.com
  TubeViewer.ver.6.48103.exe -
seriall.com
  Virtob_new.exe -
youtube-adult.name
  setup.exe - Trojan-Downloader.Win32.FraudLoad.wfqy

Kasperskyは未検出分提出済み。

272:名無しさん@お腹いっぱい。
09/07/23 01:03:49
>>270
Symatenc、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

TrendMicro、ESETにも提出

273:名無しさん@お腹いっぱい。
09/07/23 01:16:30
>>270
ちなみにVTで出てない結果

NortonInternetSecurity2009

Downloader.MisleadApp:TubeViewer.ver.6.48103.exe
後はVT通りの結果で検出数は2/3


PandaGllobalProtection2010

setup.exe以外はヒューリスティックで検出、検出数2/3


GDATA2010はVT通りの結果なので特に報告せず

TrendMicroとESETは提出してるものの手元に試せる環境がないので報告できません(ただしウイルスバスターが2010になったら試すかも、いつになるかはわかりませんが)

274:名無しさん@お腹いっぱい。
09/07/23 17:39:05
>>270
McAfee (Active Protection 無効)1/3
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
tubeviewer.ver.6.481|inconclusive | | |no
virtob_new.exe |inconclusive | | |no


Active Protection 有効にてのスキャン
dat5683
beauty-hot-pornxxx.com
  TubeViewer.ver.6.48103.exe(スルー)
youtube-adult.name
  setup.exe (FakeAlert-EZ 削除)
seriall.com
  Virtob_new.exe (スルー)

dat5685
beauty-hot-pornxxx.com
  TubeViewer.ver.6.48103.exe(スルー)
youtube-adult.name
  setup.exe (FakeAlert-EZ 削除)
seriall.com
  Virtob_new.exe (Artemis!056604460358)

>>189の件といいXPがダメダメなのかMcAfeeがダメダメなのかorz..orz

275:名無しさん@お腹いっぱい。
09/07/23 18:01:15
>>270
PandaとNortonは全検出完了
VT見るとMcAfeeも全検出可能になってる

276:264
09/07/23 18:12:11
すまんwパス忘れてた
パスはmalware

277:名無しさん@お腹いっぱい。
09/07/23 18:22:39
>>276
McAfee
検出名:Adware-DoubleD (怪しいプログラム)

278:名無しさん@お腹いっぱい。
09/07/23 23:23:56
>>264
各ベンダーに提出したものの白判定が多い

Avira

25386136 juicyaccess_installer.exe 652.27 KB CLEAN


Symantec

filename: juicyaccess_installer.exe
machine: Machine
result: This file is clean


Kasperskyにも提出したがどう反応するんだか・・・

279:名無しさん@お腹いっぱい。
09/07/24 03:53:49
URLリンク(tane.sakuratan.com)
virus

URLリンク(www.adobe.com)
milw0rmより、FlashPlayerの脆弱性を利用したswfを含むpdf。
# uudecodeなんて10年以上使ってなかったぜ…

280:名無しさん@お腹いっぱい。
09/07/24 05:45:02
>>279
URLリンク(www.virustotal.com)
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
apsa0903.pdf |inconclusive | | |no

281:名無しさん@お腹いっぱい。
09/07/24 15:31:49
>>279
Panda、TrencMicroに提出

282:名無しさん@お腹いっぱい。
09/07/24 17:57:02
カスペ2010 16:06 代理提出の方㌧

>>232㌧ tane0459
0+1=1で閉鎖
Backdoor.Win32.PcClient.atre    /wmv.jar/wmv.scr/1199.exe

>>235㌧ tane0460 1/1で閉鎖(VT通り)
Trojan.Win32.Agent2.cglu    www.bnret.com/web.exe

>>235㌧ tane0461
7/16 (残9)
Trojan.JS.Zapchast.q    /msrmn.com/16.js
Exploit.JS.Sheat.c    /msrmn.com/of.htm
Trojan-Downloader.JS.ShellCode.h    /msrmn.com/of.js
Exploit.JS.Agent.ald    /msrmn.com/real.js
Exploit.JS.RealPlr.qp    /msrmn.com/real1.js
Trojan-Downloader.JS.Agent.eht    /msrmn.com/vc14.htm    /msrmn.com/vcfl.htm

>>238㌧ tane0462
6/8 (残2:スルー ms.bin,  GVmp.htm)
virus Email-Worm.Win32.Joleee.crr    \pdf exploit_yawxowaj.cn\load.exe
Exploit.Win32.Pidief.bes    \pdf exploit_yawxowaj.cn\oldBelow.pdf
Exploit.JS.DirektShow.gen    \www.okireng.com\go.jpg
Exploit.JS.Sheat.a    \www.okireng.com\GVof.htm
Trojan-Downloader.JS.Agent.egp    \www.okireng.com\www.okireng.com.htm
Trojan.Win32.FraudPack.poy    \antimalwareaupdateserver.com\Driver.exe

>>243>>244代理提出㌧ tane0463
0+2=2/2で閉鎖
Exploit.Win32.FireFox.a    fx351.htm   fx351.js

283:名無しさん@お腹いっぱい。
09/07/24 18:01:23
カスペ2010 16:06 代理提出の方㌧

>>254㌧ tane0465
5/9  (残4:test(1).txt),  id.txt,  test.txt,  GVmp.htm)
Trojan.PHP.PHPInfo.g    /sunset-travel.ro/devid.txt
Exploit.JS.DirektShow.gen    /www.hotgome.net/go.jpg
Exploit.JS.Sheat.a    /www.hotgome.net/GVof.htm
Trojan-Downloader.JS.Agent.egp    /www.hotgome.net/www.hotgome.net.htm
Backdoor.PHP.C99Shell.a    /www.justiciasalta.gov.ar/c99.txt


>>259㌧ (>>260代理提出㌧)  tane0466
5/6  (残1:02.js)
Trojan-Downloader.Win32.Small.jwy    /bnret.com/web.exe
Exploit.JS.DirektShow.j    /bvgg6.cn/a.js   /bvgg6.cn/go.jpg
Exploit.JS.DirektShow.l    /bvgg6.cn/go1.jpg
virus Virus.Win32.Virut.ce    /seriall.com/Virtob.exe

>>264㌧ tane 0467
0/1 (残:juicyaccess_installer)

>>266 ㌧ tane0468
0+1=1/1で閉鎖

>>270㌧ (>>266,269代理提出&返答掲載㌧)   tane0469 >>271代理提出㌧
1+2=3/3で閉鎖
Trojan-Downloader.Win32.Fraudload.faz    /beauty-hot-pornxxx.com/TubeViewer.ver.6.48103.exe
Virus.Win32.Virut.ce    /seriall.com/Virtob_new.exe

>>279㌧ tane0470
1/1で閉鎖(VT通り)
Exploit.Win32.Pidief.bes    /apsa0903.pdf

284:名無しさん@お腹いっぱい。
09/07/24 18:07:14
カスペ2010 16:06 代理提出の方㌧

>>246㌧ tane0464
13+2=15/15で閉鎖 (>>255さんの報告の通り)

以上未検出検体は提出します。

285:20
09/07/24 22:15:35
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】
ecard.exe
 URLリンク(www.virustotal.com) (22/41)

今日来た分。 何か、またecard系が良く来るようになった...>266よりはちょっと古いものっぽい。

286:20
09/07/24 22:18:37
>>285
AVIRA 7.01.05.27
ecard.exe - TR/Crypt.ZPACK.Gen

Kaspersky 2009/07/24 20:34:00
ecard.exr - Trojan-Spy.Win32.Zbot.zur

どっちも検出可,検体提出無し。

287:284
09/07/24 22:18:41
カスペからの返事

>>259 (>>283) tane0466
5+1=6/6でクローズ
02.js  -   Exploit.JS.Agent.aln

>>193(>>209,220,257,258) tane0452
4+(3+2)=9/9でクローズ
wesssrett.cn \ index.php   -   Trojan.JS.Agent.akj,
wesssrett.cn \ typeSBc.swf   -   Exploit.SWF.Downloader.nw

>>185(>>188,191,221,258) tane0451
25+2=27/39、残10(うち7ファイルほぼ白)

antiviruspcscannerv7.com \ antiviruspcscannerv7.com.htm _ -  Trojan-Downloader.JS.FraudLoad.c

wwwskywebsv.com \ Blog.htm  -  Trojan-Downloader.JS.Iframe.blq   (←HEUR:Exploit.Script.Generic)
※ヒューリスティック検知のWeb(1).htm,Web,htmも同一ファイルか。

wwwteamerblog.com \ fc2.htm  -  IM-Worm.Win32.Sohanad.az  (←HEUR:Exploit.Script.Generic)
※ヒューリスティック検知のblog.htm, play.htmも同一ファイルか

benpao2020.comの3つのファイル("360.htm", "t.js" and "a1a.htm")のうちのどれか
Trojan-Downloader.JS.Iframe.blr
どのファイルかは明記されていないので特定できず。(t.js or 360.htm)

>>254(>>283) tane0465
5+1=6/9、白2、,残1
test(1).txt   -  Trojan.PHP.Agent.t
id.txt,  test.txt   -  No malicious software was found in the attached file.

288:名無しさん@お腹いっぱい。
09/07/24 22:23:38
>>285
GDATA2010(今回はBitDefenderのみ)へ提出完了

289:名無しさん@お腹いっぱい。
09/07/24 23:16:52
>>280
EXTRA.DAT到着

>>285
McAfee (Active Protection 無効)0/1
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
ecard.exe |new detection |pws-zbot |Trojan |yes

290:287
09/07/25 07:09:10
カスペ2010 6:15

>>185(>>188,191,221,258,287) tane0451
23+(2+2+1)=28/37、白2、残7(VT上0%なのでほぼ白か)で仮閉め、総ファイル数訂正orz
Trojan-Downloader.JS.Iframe.blr      /benpao2020.com\t.js
360.htm,  a1a.htm  -  白


>>131 tane0441
3+4=7/7に訂正。閉鎖(>>137と混同して報告してしまった。)>>141との差分は以下。
Trojan-Dropper.Win32.Agent.avpm      1.exe
Trojan program Trojan.Win32.BHO.vnc      1_1.exe
Trojan program Trojan-GameThief.Win32.WOW.qyd      2.exe
Trojan program Trojan-PSW.Win32.Agent.nja      2_1.exe


291:20
09/07/25 09:23:21
ecard系、また別種が来た。

URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】
ecard.exe
 URLリンク(www.virustotal.com) (18/41)

AVIRA 7.01.05.27
 ecard.exe - TR/Crypt.ZPACK.Gen

Kaspersky 2009/07/24 20:34:00
 ecard.exe -

Kaspersky提出済み。

292:名無しさん@お腹いっぱい。
09/07/25 09:34:57
>>291
Panda、GDATA(今回はavast!のみ)、TrendMicroに提出

293:名無しさん@お腹いっぱい。
09/07/25 12:27:52
カスペからの返事

>>185(>>188,191,221,258,287,290) tane0451 (検出)
wwwskywebsv.com \ Blog.htm  Web(1).htm  Web,htm-  Trojan-Downloader.JS.Iframe.blq   (←HEUR:Exploit.Script.Generic)

>>254(>>283,287) tane0465 (返事)
5+事後1=6/9、白3でFA

GVmp.htm - No malicious code was found in this file.

>>291
㌧ & 代理提出㌧ 様子見してみます。


294:20
09/07/25 13:40:29
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 11個,MDL 2009/07/23分
antispy2009.net
  setup.exe - URLリンク(www.virustotal.com) (22/41)
bestdomus.com
  Klitecodec.exe - URLリンク(www.virustotal.com) (28/41)
cbbugltjud.com
  udvvmquz.exe - URLリンク(www.virustotal.com) (16/41)
delzzerro.cn
  installb.exe - URLリンク(www.virustotal.com) (4/41)
  136.pdf - URLリンク(www.virustotal.com) (13/41)
download-filez-now.us
  setup.exe - URLリンク(www.virustotal.com) (3/40)
downloadsoftwareserver3.com
  gdi32lib.dll - URLリンク(www.virustotal.com) (16/40)
  xpdeluxe.exe - URLリンク(www.virustotal.com) (17/41)
drocuwil.cn
  fromFactLooks.swf - URLリンク(www.virustotal.com) (5/41)
scanriteweb.com
  install.exe - URLリンク(www.virustotal.com) (21/40)
securityscanavailable.com
  install.exe - URLリンク(www.virustotal.com) (18/41)

295:20
09/07/25 13:46:48
>>294
AVIRA 7.01.05.28 黒(8+1)/11,未検出 2,提出済み

【検出】
antispy2009.net
  setup.exe - TR/FraudLoad.wkoi
bestdomus.com
  Klitecodec.exe - TR/Dropper.Gen
cbbugltjud.com
  udvvmquz.exe - TR/Dldr.Delphi.Gen
delzzerro.cn
  136.pdf - HTML/Malicious.PDF.Gen
downloadsoftwareserver3.com
  xpdeluxe.exe - TR/Fake.DeluPro
drocuwil.cn
  fromFactLooks.swf - SWF/Drop.Small.HC
scanriteweb.com
  install.exe - TR/Dropper.Gen
securityscanavailable.com
  install.exe - TR/Dropper.Gen

【VDF update待ち】
downloadsoftwareserver3.com
  gdi32lib.dll - (TR/BHO.udx)

【未検出】
delzzerro.cn
  installb.exe -
download-filez-now.us
  setup.exe -

296:20
09/07/25 13:57:18
>>294
Kaspersky 2009/07/25 12:09:00 黒7,HEUR 1,未検出 3,提出済み

【検出】
antispy2009.net
  setup.exe - Trojan-Downloader.Win32.FraudLoad.wkoi
bestdomus.com
  Klitecodec.exe - Trojan-Downloader.Win32.FraudLoad.wimq
cbbugltjud.com
  udvvmquz.exe - Trojan.Win32.Pasta.axo
downloadsoftwareserver3.com
  xpdeluxe.exe - not-a-virus:FraudTool.Win32.WinPCDefender.bo
  gdi32lib.dll - Trojan-Downloader.Win32.FraudLoad.wjvl
scanriteweb.com
  install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn
securityscanavailable.com
  install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn

【HEUR】
delzzerro.cn
  136.pdf - HEUR:Exploit.Script.Generic

【未検出】
delzzerro.cn
  installb.exe -
download-filez-now.us
  setup.exe -
drocuwil.cn
  fromFactLooks.swf -

297:名無しさん@お腹いっぱい。
09/07/25 14:17:12
>>294
URLリンク(tane.sakuratan.com)

McAfee (Active Protection 無効)14/19
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
136.pdf |inconclusive | | |no
fromfactlooks.swf |inconclusive | | |no
installb.exe |new detection |generic.dx!biz |Trojan |yes
setup.exe |inconclusive | | |no
xpdeluxe.exe |inconclusive | | |no

298:20
09/07/25 14:27:22
>>297
あ。 申し訳ない、コピペして使ったの番号直すの忘れてた。orz

>>294は、>297さんの書いた方のリンクが正解です。 一応再掲

>294 → URLリンク(tane.sakuratan.com)

299:名無しさん@お腹いっぱい。
09/07/25 14:46:23
>>294
Symantec、Panda、TrendMicro、GDATA(=avast!&BitDefender)、ESETへ提出完了

Symantecから自動返答

filename: fromFactLooks.swf
machine: Machine
result: See the developer notes

filename: gdi32lib.dll
machine: Machine
result: This file is detected as Trojan.Fakeavalert.

filename: udvvmquz.exe
machine: Machine
result: See the developer notes

filename: setup.exe
machine: Machine
result: See the developer notes

filename: installb.exe
machine: Machine
result: See the developer notes


300:名無しさん@お腹いっぱい。
09/07/25 17:19:58
ここまでSymantecとa-squaredとMalwarebytesに提出しました

301:20
09/07/25 22:19:45
>>296
Kaspersky 2009/07/25 21:09:00 1個検出可になりました。

download-filez-now.us
  setup.exe - Trojan-Downloader.Win32.FraudLoad.fbl

う~ん、Kasperskyから返答全く来ないから、何がどうなっているのやら...

302:293
09/07/25 22:49:01
>>291(>>292)
カスペからの返事 tane0472
先ほど提出
0+事後1=1/1で閉鎖

ecard.exe - Backdoor.Win32.UltimateDefender.xp


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch