09/07/11 14:55:45
URLリンク(tane.sakuratan.com)
virus
いやー1ファイルだけだったんだけどねぇ。
物はmilw0rmに載っていて消えた物(SANS-ISCにあるとおりmilw0rmが今ちょっと不調)で、
載せたのは確かHP(ヒューレットパッカード)の中の人。
同梱の画像はアップローダの下限(1kB)回避用のダミーなので無視で。
175:20
09/07/11 15:12:25
>>174
URLリンク(www.virustotal.com) (1/41)
AVIRAに提出しました。
1ファイルで、普通ああいうメールは返ってこないと思うが...提出したExploitファイルの中に、McAfeeの悪口が書かれてたとか?(w
176:20
09/07/11 15:14:39
>>175
AVIRA返答
addfav_crash1.htm - CLEAN(白)
177:名無しさん@お腹いっぱい。
09/07/11 16:09:07
>>175
いや見てのとおり大したファイルじゃないのよ。
IEが落ちる以外は実害のないコンセプトコードなので実行してみそ。
送ったメールの文も「Exploit.IEAddFavorite」の一言だし。
とりあえずイシューNo.とアナリストの名前を書いて
ラボとカスタマーサービスに以下を送信(;^ω^)。
WHATS THIS FCKN ATTITUDE ?
McAfee employs plug-ugly ?
178:名無しさん@お腹いっぱい。
09/07/11 18:46:32
URLリンク(tane.sakuratan.com)
infected
VirusTotal(7/41)
URLリンク(www.virustotal.com)
179:名無しさん@お腹いっぱい。
09/07/11 19:22:13
>>178
Symantec、Panda、GDATA2010(今回はBitDefenderのみ)に提出完了
今回はESETにも提出
180:名無しさん@お腹いっぱい。
09/07/11 20:14:14
>>178
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
banner |inconclusive | | |no
181:名無しさん@お腹いっぱい。
09/07/11 20:59:24
>>178 tane0449
カスペ 19:56
スルー
検体提出します。
182:名無しさん@お腹いっぱい。
09/07/12 21:36:53
初スレからのタレコミです
マルウェア配布サイトlapcie.com/
11アーカイブ
Symantecとa-squaredとMalwarebytesとMicrosoftとAVGに提出済みです
みなさんもよろしく
183:名無しさん@お腹いっぱい。
09/07/12 22:30:14
>>182
それ、誤検出の疑いって奴だろ。VTでチェックして、検出してるとこにだけ出せばいいことかと。
どのアーカイブのなんていうファイルに反応しているのかの報告がないので、現時点では提出をスルー。
184:182
09/07/12 22:34:43
2chの誤検出の疑いなんて信用しないで
自分で調べりゃすぐ分かるだろ
185:名無しさん@お腹いっぱい。
09/07/13 12:35:07
URLリンク(tane.sakuratan.com)
infected
■ 検体入手元
Malware Domain List の更新情報 7/11分、リネージュ資料室の更新情報 7/12分 より
■ 既提出先
AntiVir AntiyLabs のみ。今日は時間が無いので、他への提出はやってません。
186:名無しさん@お腹いっぱい。
09/07/13 12:44:13
>>185
Panda、GDATA2010(=avast!&BitDefender)へ提出完了
Symantecへは提出するのにちょっと時間がかかりそうなのでまだ提出してない、代わりにやってくれる人がいるならお願いします
187:名無しさん@お腹いっぱい。
09/07/13 14:15:34
>>185-186
Symantecとa-squaredとMalwarebytesに提出しました
188:名無しさん@お腹いっぱい。
09/07/13 16:29:18
カスペ2010 14:47
>>185 tane0451
23/37
(1) skywebsv.comフォルダ 8/11 (Darkst.html, MS08011.htm, MS08053.htm スルー)
virus HEUR:Exploit.Script.Generic /Blog.htm /MsAccess.htm /web(1).htm /web.htm
virus HEUR:Trojan.Win32.Invader /cer.exe
Exploit.JS.DirektShow.a /darkst.png
Trojan-Downloader.VBS.Agent.io /Ms06014.htm
Exploit.JS.RealPlr.ob /Real.htm
(2)teamerblogフォルダ 9/12 (3files スルー、同上)
virus HEUR:Exploit.Script.Generic /blog.htm /fc2.htm /FFXI-search.htm /MsAccess.htm /play.htm
Trojan.Win32.Inject.afyg /cer.exe
Exploit.JS.DirektShow.a /darkst.png
Trojan-Downloader.VBS.Agent.io /Ms06014.htm
Exploit.JS.RealPlr.ob /Real.htm
(3) upload.octopusフォルダ 3/4 (gen.phpスルー)
Trojan-Dropper.Win32.BHO.bo /6244.exe
Trojan.Win32.Agent2.kwh /fb.49.exe
Trojan.Win32.Agent2.jyw /nfr.exe
(4)その他 3/10
Trojan-Downloader.JS.Agent.ehl /benpao2020.com/go.jpg (1/5, 360.htm, a1a.htm, go1.jpg, t.js スルー)
Trojan-Spy.Win32.Ayludle.a /esli.tw/load.exe (1/2 Russia_attacks.pdfスルー)
virus not-a-virus:FraudTool.Win32.Agent.tj /secure-safe-download.com/wsetup.exe (1/1)
antivirus*フォルダ 0/2 (anti*.htm, Setup-15815*.exe スルー)
189:名無しさん@お腹いっぱい。
09/07/13 18:30:54
>>185
McAfee (Active Protection 無効)14/37
未検出分をMcAfeeに提出させて頂きました。
※ヒューリスティックoff→17/37
ヒューリスティックを無効にすると検出数が増えたorz
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
360.htm |inconclusive | | |no
a1a.htm |inconclusive | | |no
antiviruspcscannerv7|inconclusive | | |no
blog.htm |inconclusive | | |no
darkst.htm |inconclusive | | |no
darkst.htm |inconclusive | | |no
fb.49.exe |new detection |w32/koobface.worm.gen.h |Virus |yes
gen.php |inconclusive | | |no
go.jpg |heuristic detection |beav-shellcode |Application |no
go1.jpg |inconclusive | | |no
190:名無しさん@お腹いっぱい。
09/07/13 18:32:43
load.exe |inconclusive | | |no
ms06014.htm |heuristic detection |vbs/psyme.gen.a |Trojan |no
ms08011.htm |inconclusive | | |no
ms08011.htm |inconclusive | | |no
ms08053.htm |inconclusive | | |no
ms08053.htm |inconclusive | | |no
real.htm |heuristic detection |beav-shellcode |Application |no
russia_attacks.pdf |inconclusive | | |no
setup-15815_02002-8.|inconclusive | | |no
t.js |inconclusive | | |no
web(1).htm |inconclusive | | |no
web.htm |inconclusive | | |no
wsetup.exe |inconclusive | | |no
191:名無しさん@お腹いっぱい。
09/07/13 21:24:20
>>154 tane0445
0+1=1/1で閉鎖
Setup-4e45_02022.exe_ - Trojan-Downloader.Win32.FraudLoad.eyu
>>178 tane0449
0+1=1/1で閉鎖
banner - Exploit.Win32.Pidief.bee
>>185 tane0451
23+2=25/37(うちHEUR9)、残12
esli.tw\Russia_attacks.pdf_ - Exploit.Win32.Pidief.bef
wwwskywebsv.com\cer.exe_ - Trojan-GameThief.Win32.OnLineGames.bmlr (←HEUR:Trojan.Win32.Invader)
antiviruspcscannerv7.com\Setup-15815_02002-8.exe - Trojan.Win32.FraudPack.plk
New malicious software was found in this file.
192:191
09/07/13 21:26:25
すまん。カスペからの返事です。
>>185(>>188,191)
193:20
09/07/14 12:45:50
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 9個入っています。MDLの2009/07/13分から。(7/13の全部ではない)
a222.dnf5.com
1.exe - URLリンク(www.virustotal.com) (15/41)
a444.dnf5.com
of.js - URLリンク(www.virustotal.com) (8/41)
krisnet.cn
mss8.exe - URLリンク(www.virustotal.com) (12/41)
puppsik.biz
mainokK.exe - URLリンク(www.virustotal.com) (10/41)
wesssrett.cn
theirTextLayout.pdf - URLリンク(www.virustotal.com) (23/41)
index.php - URLリンク(www.virustotal.com) (8/41)
typeSBc.swf - URLリンク(www.virustotal.com) (17/41)
update.exe - URLリンク(www.virustotal.com) (34/41)
www.fdsdffdfsf.cn
of.htm - URLリンク(www.virustotal.com) (4/41)
a444.dnf5.comとwww.fdsdffdfsf.cnが、OfficeWebへの0-day攻撃...らしい。
一部検出率の高いものが入っていますが、出張中で自分の使用環境が整ってないので、すみませんが全部パックしました。m(_ _)m
194:20
09/07/14 12:55:16
>>193
AVIRA9 7.01.04.228 黒6/9,未検出の3個は提出済み。
a222.dnf5.com
1.exe - TR/Rootkit.Gen
a444.dnf5.com
of.js - HTML/Shellcode.Gen
krisnet.cn
mss8.exe -
puppsik.biz
mainokK.exe - WORM/Emold.U.8
wesssrett.cn
theirTextLayout.pdf - HTML/Shellcode.Gen
index.php -
typeSBc.swf - SWF/Drop.Small.LP
update.exe - TR/BurnInHell.L
www.fdsdffdfsf.cn
of.htm -
AVIRA入りの仮想PCしか作業環境が無いので、他ベンダーのチェック・提出は他の人にお任せします。
195:名無しさん@お腹いっぱい。
09/07/14 13:35:37
>>193
fdsなんちゃらのOfficeWebComponentのゼロデイ、
スクリプトが分割されていてof.htm単品だと攻撃が成立しない
ので(a.jsがシェルコード)くっつけときました。
URLリンク(tane.sakuratan.com)
virus
196:名無しさん@お腹いっぱい。
09/07/14 14:21:26
>>193
>>195
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
197:20
09/07/14 15:02:16
>>195
ありがトン。分割されていたのに気がつかんかった...orz
URLリンク(www.virustotal.com) (7/41)
a.js単独,a.js込みの>195だと検出しますが、念のためof.htm + a.jsをzipで圧縮して、AVIRAに再提出しておきました。
※ 一応書いておくと、AVIRAの検体提出鯖は、パス無しzipであれば自動で解凍して、個別の検体として受け取ってくれます。
(zipファイル=検体ではなく、中身を個別に判定してくれます。) ただ、中身の数が多くなると拒否されます。
いくつまで平気なのかは、試してないので不明。
# 数が多すぎる場合の拒否メッセージが“ KO ”という所(鯖がKOされた、という意味だと思う)が、ユーモアがあって面白い...
198:名無しさん@お腹いっぱい。
09/07/14 16:52:57
URLリンク(tane.sakuratan.com)
virus
同じOfficeWebComponentsの奴です。
こちらはシェルコードが小さいため最初から1ファイルでした。
199:名無しさん@お腹いっぱい。
09/07/14 16:58:08
あっごめん、今見たら453にDLKey設定してなかった。
200:名無しさん@お腹いっぱい。
09/07/14 17:00:40
>>198
Pandaへ提出完了、他のいつも送ってるベンダー(Symantec、avast!、BitDefender)は検出してるので今回は提出なし
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
201:20
09/07/14 17:49:14
>>198
AVIRA9 7.01.04.229 黒2/2
owc2.htm - HTML/Silly.Gen
owc2.js - HTML/Silly.Gen
検出できるので提出無し。
202:20
09/07/14 17:57:26
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 10個入っています。MDLの2009/07/13分から。
ferarilatka.cn
index.php - URLリンク(www.virustotal.com) (5/41)
koxyebuth.pdf - URLリンク(www.virustotal.com) (11/41)
xyachuch.swf - URLリンク(www.virustotal.com) (7/41)
thetests.net
index.php - URLリンク(www.virustotal.com) (4/41)
index.htm - URLリンク(www.virustotal.com) (4/41)
file.exe - URLリンク(www.virustotal.com) (1/41)
e50i.pdf - URLリンク(www.virustotal.com) (5/41)
bezopbizn.ru
index.php - URLリンク(www.virustotal.com) (2/41)
pdf.pdf - URLリンク(www.virustotal.com) (8/41)
getexe.exe - URLリンク(www.virustotal.com) (22/41)
203:20
09/07/14 18:05:22
>>202
AVIRA9 7.01.04.229 黒 3,黒確定(VDF update待ち) 1,解析中 6
ferarilatka.cn
index.php - (UNDER ANALYSIS)
koxyebuth.pdf - HTML/Shellcode.Gen
xyachuch.swf - (UNDER ANALYSIS)
thetests.net
index.php - (UNDER ANALYSIS)
index.htm - (UNDER ANALYSIS)
file.exe - (TR/Dldr.Agent.duc) - VDF next update
e50i.pdf - EXP/Pidief.WH
bezopbizn.ru
index.php - (UNDER ANALYSIS)
pdf.pdf - (UNDER ANALYSIS)
getexe.exe - Worm/Bezopi.A
204:20
09/07/14 18:31:55
>>194
AVIRA返答
krisnet.cn
mss8.exe - TR/Malex.121856E
wesssrett.cn
index.php - JS/IFrame.dpr
www.fdsdffdfsf.cn
of.htm - CLEAN(白)
黒2,白1でclose. 分割されてて、攻撃コードを含まない方は白になりました。
(zipでまとめて送った方も同じ結果でした。)
205:名無しさん@お腹いっぱい。
09/07/14 18:40:16
>>193
McAfee (Active Protection 無効)4/9
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |new detection |generic downloader.x!ji |Trojan |yes
index.php |current detection |obfuscated script.h |Trojan |no
mainokk.exe |inconclusive | | |no
mss8.exe |inconclusive | | |no
of.htm |new detection |exploit-cve2009-1136 |Trojan |yes
of.js |heuristic detection |beav-shellcode |Application |no
theirtextlayout.pdf |current detection |exploit-pdf.b.gen |Trojan |no
typesbc.swf |current detection |exploit-cve2007-0071 |Trojan |no
update.exe |current detection |generic downloader.z |Trojan |no
206:名無しさん@お腹いっぱい。
09/07/14 18:42:13
>>195
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
owc1.htm |heuristic detection |beav-shellcode |Application |no
owc1.js |heuristic detection |beav-shellcode |Application |no
207:名無しさん@お腹いっぱい。
09/07/14 18:45:57
>>202
McAfee (Active Protection 無効)2/10
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
e50i.pdf |inconclusive | | |no
file.exe |inconclusive | | |no
getexe.exe |current detection |generic.dx!ys |Trojan |no
index.htm |inconclusive | | |no
index.php |inconclusive | | |no
index.php |inconclusive | | |no
index.php |current detection |obfuscated script.h |Trojan |no
koxyebuth.pdf |inconclusive | | |no
pdf.pdf |inconclusive | | |no
xyachuch.swf |inconclusive | | |no
208:20
09/07/14 19:52:28
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
MDLの2009/07/13で確保できた分の残り15個。exeとpdfばっかりです。
今、VirusTotalがパンクしているので、この15個についてはインフォメーションがありません。
また、もしかしたら古いものとかも入っているかもしれません。m(_ _)m
AVIRA 7.01.04.231 黒11/15。
analitics.in\load.exe - TR/Crypt.ZPACK.Gen
axevoq.cn\installer_1.exe - TR/ATRAPS.Gen
ircleaner.com\install.exe - TR/Dropper.Gen
onuka.cn\mal.exe - TR/Dropper.Gen Trojan
securitytrial.com\install.exe - TR/Dropper.Gen
updatedate.cn\255.pdf - DR/Pdfka.NL.1
updatedate.cn\464.pdf - DR/Pdfka.NL
webalfa.cn\load.exe - TR/Crypt.ULPM.Gen
webalfa.cn\spl.pdf - EXP/Pidief.WH
www.tech2tech.cn\load.exe - TR/FraudPack.pjs
www.tech2tech.cn\pdf.pdf - JS/Dldr.Small.CR.2
未検出
download.anti-virus-best.info\PreInstaller.exe
testtubefilms.com\onlinemovies.48022.exe
updatedate.cn\installb.exe
yourtubetop.com\onlinemovies.45095.exe
未検出分はAVIRAに提出済みです。
209:名無しさん@お腹いっぱい。
09/07/14 20:07:20
検体提出の方㌧
カスペ2010 19:11
>>193 tane0452
4/9
virus HEUR:Trojan.Win32.Generic /krisnet.cn/mss8.exe
virus Worm.Win32.Bezopi.b /puppsik.biz/mainokK.exe
Exploit.Win32.Pidief.bby /wesssrett.cn/theirTextLayout.pdf
Trojan-Downloader.Win32.Small.jwo /wesssrett.cn/update.exe
>>195 tane0453
2/2
virus HEUR:Exploit.Script.Generic owc1.htm、 owl1.js
>>197 tane0454
0/2 スルー
>>199 tane0455
2/10
virus Worm.Win32.Bezopi.a tane0455.zip/bezopbizn.ru/getexe.exe
virus HEUR:Trojan-Downloader.Script.Generic /ferarilatka.cn/index.php
検体提出します。
VTがoverloadになっている。orz
210:名無しさん@お腹いっぱい。
09/07/14 21:37:23
>>202
>>208
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
211:名無しさん@お腹いっぱい。
09/07/14 21:44:45
>>208
Symantecから自動返答
filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.
filename: onlinemovies.45095.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
filename: spl.pdf
machine: Machine
result: See the developer notes
書ききれないので続き
212:名無しさん@お腹いっぱい。
09/07/14 21:45:23
>>208
>>211からの続き
filename: installb.exe
machine: Machine
result: See the developer notes
filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.
filename: installer_1.exe
machine: Machine
result: See the developer notes
filename: PreInstaller.exe
machine: Machine
result: See the developer notes
filename: onlinemovies.48022.exe
machine: Machine
result: See the developer notes
213:名無しさん@お腹いっぱい。
09/07/14 21:47:43
スマソ>>211と>>212見てなんかおかしいなと思ったら提出した検体が被ってたようだorz(圧縮ファイルを二つにわけて送ったらから恐らく選別ミス)
filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.
結局検出確定はこれ一つだけか・・・
214:名無しさん@お腹いっぱい。
09/07/14 22:18:53
>>208
McAfee (Active Protection 無効)6/15
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
installer_1.exe |inconclusive | | |no
preinstaller.exe |inconclusive | | |no
255.pdf |inconclusive | | |no
464.pdf |inconclusive | | |no
installb.exe |inconclusive | | |no
load.exe |inconclusive | | |no
spl.pdf |inconclusive | | |no
load.exe |new detection |fakealert-es |Trojan |yes
215:名無しさん@お腹いっぱい。
09/07/14 23:34:45
>>208 ㌧
カスペ2010 23:09
10/15
Trojan-Dropper.Win32.Microjoin.gtm analitics.in/load.exe
virus HEUR:Trojan.Win32.Generic axevoq.cn/installer_1.exe
Trojan program Trojan.Win32.Agent.clls onuka.cn/mal.exe
Exploit.JS.Pdfka.nl updatedate.cn/464.pdf
Exploit.JS.Pdfka.nl updatedate.cn/255.pdf
Trojan-Downloader.Win32.FraudLoad.eza testtubefilms.com/onlinemovies.48022.exe
Trojan-Spy.Win32.Goldun.cbr webalfa.cn/load.exe
Trojan-Downloader.Win32.FraudLoad.eza yourtubetop.com/onlinemovies.45095.exe
Exploit.HTML.IframeBof www.tech2tech.cn/pdf.pdf
Trojan.Win32.FraudPack.pjs www.tech2tech.cn/load.exe
私が手一杯なので、できれば、代理提出お願いします。
216:名無しさん@お腹いっぱい。
09/07/15 01:02:49
カスペからの返事
>>195 (>>209) tane0453
2/2
owc1.htm_ - Trojan-Downloader.JS.ShellCode.g (←HEUR:Exploit.Script.Generic)
>>198(>>209) tane0454
0+2=2/2で閉鎖
owc2.htm、 owc2.js_ _ - Exploit.JS.ActiveX.ae (返事)
>>202(>>209) tane0455
2+1=3/10、残7
ferarilatka.cn\koxyebuth.pdf - Exploit.Win32.Pidief.bej (返事)
>>193(>>209) tane0452
a222.dnf5.com\1.exe は、KSN検知、KIS2010では危険なオブジェクトとして検知してアクセスをブロック。シグネチャ作成待ち。
.
前スレ705>>34(>>62,74) tane0416
5+2=7/57,.白50でクローズ
index22.php、index22[1-44].php (45files) - No malicious code were found in these files
昔大量に出したせいで、今頃渋滞しているのかな。orz
217:名無しさん@お腹いっぱい。
09/07/15 02:35:31
ここまでSymantecとa-squaredとMalwarebytesに提出しました
218:名無しさん@お腹いっぱい。
09/07/15 08:55:20
カスペからの返事&カスペ2010 8:09
>>208(>>215) tane0456
10/15
Detected Trojan-Downloader.Win32.FraudLoad.wfxs axevoq.cn\installer_1.exe (←HEUR:Trojan.Win32.Generic) (検知)
>>202(>>209,216) tane0455
2+1=3/10、残7のまま
ferarilatka.cn \ index.php - Trojan.HTML.IFrame.ao (←HEUR:Trojan-Downloader.Script.Generic) (返答)
219:名無しさん@お腹いっぱい。
09/07/15 09:31:55
URLリンク(tane.sakuratan.com)
virus
milw0rmよりFirefox3.5のPoC。
220:名無しさん@お腹いっぱい。
09/07/15 10:34:26
カスペ2010 9:20
>>219 ㌧ tane0457
1/1
virus HEUR:Exploit.Script.Generic tane0457.zip/fx35bof1.htm
検体提出します。
カスペからの返事と検知
>>208(>>215,218) tane0456
先ほど提出
10+4=14/15,残1 (sectrial \ install.exe. )
ircleaner.com \ install.exe_ - Trojan-Dropper.Win32.FrauDrop.fd (返事)
webalfa.cn \ spl.pdf - Exploit.Win32.Pidief.bem (返事)
updatedate.cn \ installb.exe - Trojan-Dropper.Win32.Mudrop.bsx (検知)
download.anti-virus-best.info \ PreInstaller.exe_ - not-a-virus:FraudTool.Win32.Agent.tl (返事)
>>193 tane0452
4+1=5/9、残4 (a222 \ 1.exe a444.\ of.js , wesss \ typeSBc,swf, index.php)
Trojan program Exploit.JS.Sheat.a - tane0452\www.fdsdffdfsf.cn\of.htm (返事)
221:220
09/07/15 13:38:52
カスペからの返事
>>219 (>>220) tane0457 1/1で閉鎖
tane0457\fx35bof1.htm - Trojan program Exploit.JS.FoxFir.a (←HEUR:Exploit.Script.Generic)
>>208(>>215,218,220) tane0456
10+(4+1)=15/15で閉鎖
securitytrial \ install.exe_ - Trojan-Dropper.Win32.FrauDrop.fd
>>185(>>188,191) tane0451
25/37、白1、残11
benpao2020.com\go1.jpg - 白
222:名無しさん@お腹いっぱい。
09/07/15 16:44:57
URLリンク(tane.sakuratan.com)
infected
検体入手元
Malware Domain List 7/14分+リネージュ資料室更新分
各社一通り提出済み(NormanとZonerはパス)
223:20
09/07/15 17:47:44
>>219
AVIRA 7.01.04.234 黒1/1
fx35bof1.htm - HTML/Silly.Gen
>>208
AVIRA返答
download.anti-virus-best.info\PreInstaller.exe - DR/FraudLoad.wfh
testtubefilms.com\onlinemovies.48022.exe - TR/Dldr.FraudLoad.EZA.13
updatedate.cn\installb.exe - TR/Crypt.ZPACK.Genで検出できるようにする
yourtubetop.com\onlinemovies.45095.exe - TR/Dldr.FraudLoad.EZA.14
黒11+事後4=黒15/15でclose
224:名無しさん@お腹いっぱい。
09/07/15 17:49:30
>>219
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
fx35bof1.htm |new detection |js/exploit-bo.gen |Trojan |yes
225:220
09/07/15 18:41:14
カスペにて提出して報告していたいたものですが、システム組み換えのため、しばらくtane0458以降の検体の提出
・報告は当面できません。
自作にて相性がトラブると復帰に時間がかかるかもしれません。
さすがに家族のPCで検体をDLするのは危ないので。w
カスペユーザーの方に、代理提出、報告していただけると助かります。
なお、tane0457までの検知メールが到着すれば、報告します。
代替機ほしいなぁ。
226:20
09/07/15 18:48:21
>>222
AVIRA 7.01.04.237 黒29/48(未検出19)
221.1.204.243
help.exe - TR/Dropper.Gen
Koobface
setup.exe - TR/Downloader.Gen
picnews.bij.pl
tubeplayer.exe - TR/Hijacker.Gen
sexfreetube.net
free_stream_video.exe - TR/Dropper.Gen
sucupdate.com
install(1).exe - TR/Dropper.Gen
install.exe - TR/Dropper.Gen
www.hotgome.net
1.exe - DR/PcClient.Gen
GV11.html - JS/Dldr.Agent.2139
GV122121.htm - JS/Dldr.Agent.ZM
GV22.html - JS/Agent.afp
GVbf.htm - HTML/Shellcode.Gen
GVcx.htm - HTML/Rce.Gen
GVfl.htm - TR/HTML.Agent.Q.1
GVgg.htm - HTML/Shellcode.Gen
GVxxz.htm - JS/Dldr.Small.CR.2
www.hotgome.net.htm - JS/Dldr.IFrame.1618
www.okireng.com.htm - JS/Dldr.IFrame.1618
227:20
09/07/15 18:49:27
>226 続き
www.hotgome.net\swf
GG115.swf - EXP/Flash.Gen
GG16.swf - EXP/Flash.Gen
GG28.swf - EXP/Flash.Gen
GG45.swf - EXP/Flash.Gen
GG47.swf - EXP/Flash.Gen
GG64.swf - EXP/Flash.Gen
VV115.swf - SWF/Dldr.Agent.F.1
VV16.swf - SWF/Dldr.Agent.F.1
VV28.swf - SWF/Dldr.Agent.F.1
VV45.swf - SWF/Dldr.Agent.F.1
VV47.swf - SWF/Dldr.Agent.F.1
VV64.swf - SWF/Dldr.Agent.F.1
228:20
09/07/15 18:52:10
>226 更に続き・AVIRA未検出分
Koobface
116.48.213.122.htm
65.68.100.172.htm
69.153.57.227.htm
69.155.133.21.htm
71.249.178.74.htm
77991db0140a4f7cbca6f9f3dba52f9c.htm
k-lgbg0kiiiq.js
picnews.bij.pl
video.htm
Win32Frethog!RAR
cc.rar
cc1.rar
ff.rar
ff1.rar
help(1).rar
help.rar
help1.rar
ll.rar
uu.rar
uu1.rar
www.hotgome.net
GV14.htm
提出して頂いているようなので、様子見(私の方からは未提出)
229:名無しさん@お腹いっぱい。
09/07/15 20:06:06
ここまでSymantecとa-squaredとMalwarebytesに提出しました
230:名無しさん@お腹いっぱい。
09/07/15 23:43:33
>>222
カスペ回答
<略>
These files are already detected.
116.48.213.122.htm_, GVcx.htm_, GVfl.htm_, video.htm_
No malicious code were found in these files.
install(1).exe_ - not-a-virus:FraudTool.Win32.SystemSecurity.pc,
install.exe_ - not-a-virus:FraudTool.Win32.SystemSecurity.pb
New potentially risk software was found
k-lgbg0kiiiq.js_ - Trojan-Downloader.JS.Agent.ehp
New malicious software was found
231:20
09/07/16 13:04:07
>>203
AVIRA返答 書き忘れ分。
ferarilatka.cn
index.php - HTML/Agent.mldl.6
xyachuch.swf - CLEAN(白)
thetests.net
index.php - JS/Dldr.Agent.aas
index.htm - JS/Dldr.Agent.aaq
bezopbizn.ru
index.php - JS/Dldr.Agent.pag
pdf.pdf - EXP/Pidief.KL
黒(3+1)+新種5=9/10,白1でclose.
232:名無しさん@お腹いっぱい。
09/07/16 15:00:56
中国産おなじみゲームパス系1ファイルです
URLリンク(tane.sakuratan.com)
infected
入手元
www●coconlovely●com/wmv.jar
結果: 24/41 (58.54%)
URLリンク(www.virustotal.com)
233:名無しさん@お腹いっぱい。
09/07/16 17:35:18
>>232
Symantec、Pandaへ提出完了
234:名無しさん@お腹いっぱい。
09/07/16 17:46:20
>>232
Symantecから自動返答
filename: wmv.jar
machine: Machine
result: See the developer notes
filename: wmv.scr
machine: Machine
result: See the developer notes
235:20
09/07/17 12:01:56
URLリンク(www.tane.sakuratan.com)
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
tane0460の方は、URLリンク(www)<) (19/41)
AVIRAには提出済みです。gnomeさんやFFXIさんの所の情報では、
URLリンク(www.virustotal.com)
→ VT最後 URLリンク(www.virustotal.com)
だったらしいので、他ベンダーの検出名が同じなのに、ハッシュが変わってAVIRAが未検出に戻ったということは、
どうも中身が入れ替わったっぽい。
-----
tane461の方は、元になっている URLリンク(www)<) (7/41)
236:名無しさん@お腹いっぱい。
09/07/17 16:38:36
>>235
tane0460
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
web.exe |new detection |generic downloader.x!jr |Trojan |yes
237:名無しさん@お腹いっぱい。
09/07/17 16:40:57
>>235
tane0461
McAfee (Active Protection 無効)0/16
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
14.js |inconclusive | | |no
15.js |inconclusive | | |no
16.js |inconclusive | | |no
index.htm |inconclusive | | |no
index.html |inconclusive | | |no
js.js |inconclusive | | |no
of.htm |inconclusive | | |no
of.js |heuristic detection |beav-shellcode |Application |no
real.js |inconclusive | | |no
real1.js |inconclusive | | |no
tongji.js |inconclusive | | |no
turl.js |inconclusive | | |no
vc14.htm |inconclusive | | |no
vcfl.htm |inconclusive | | |no
vcfll.htm |inconclusive | | |no
vcr.htm |inconclusive | | |no
238:名無しさん@お腹いっぱい。
09/07/18 22:44:04
URLリンク(tane.sakuratan.com)
infected
■検体入手元
Malware Domain List 7/14分+リネージュ資料室更新分
AntiVirにはftp経由で提出完了。他はこれから提出します。
239:名無しさん@お腹いっぱい。
09/07/18 22:45:30
まちがえた…
×:Malware Domain List 7/14分+リネージュ資料室更新分
○:Malware Domain List 7/17分+リネージュ資料室更新分
redirects to trojan
p://www■hotgome■net/
p://www■okireng■com/
p://www■okireng■com/GVmp■htm
p://www■okireng■com/GVof■htm
p://www■okireng■com/go■jpg
Trojan
p://174■133■73■90/p0519/2■0/ms■bin
pdf exploit
p://yawxowaj■cn/22/update■php?id=6
p://yawxowaj■cn/22/oldBelow■pdf
NDIS filter driver
p://antimalwareaupdateserver■com/Driver■exe
240:名無しさん@お腹いっぱい。
09/07/18 22:51:05
>>238
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
Symantecから自動返答
filename: GVmp.htm
machine: Machine
result: See the developer notes
filename: ms.bin
machine: Machine
result: See the developer notes
filename: Driver.exe
machine: Machine
result: This file is detected as Trojan.Dropper. URLリンク(www.symantec.com)
filename: load.exe
machine: Machine
result: See the developer notes
ちなみに現在はBitDefenderTotalSecurity2010βをテスト中
かなり軽いですね
241:名無しさん@お腹いっぱい。
09/07/18 23:54:53
>>238
McAfee (Active Protection 無効)2/8
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
driver.exe |inconclusive | | |no
gvmp.htm |inconclusive | | |no
gvof.htm |inconclusive | | |no
load.exe |new detection |generic.dx!bcn |Trojan |yes
oldbelow.pdf |inconclusive | | |no
www.okireng.com.htm |heuristic detection |with fishy extension |Application |no
242:名無しさん@お腹いっぱい。
09/07/19 01:21:32
>>238
各社一通り提出完了
提出パスしたところ > Norman,Zoner,Symantec(PandaとMcAfeeは報告出てたのに重複提出してしまった orz)
あとで提出する予定 > AntiyLabs(今日はftp鯖閉じてるみたいなので週明けにでも)
tane453,454,455,456,457,460,461 に関しても同梱して送付完了。マイナー所各社宛、ここまで残件ない…と思う。
243:名無しさん@お腹いっぱい。
09/07/19 15:51:17
URLリンク(tane.sakuratan.com)
virus
Firefox(3.5.1含む)のExploit
URLリンク(isc.sans.org)
同梱のWMPの画像はアップローダの下限(1kB)回避用のごみなので除外で。
244:名無しさん@お腹いっぱい。
09/07/19 17:21:01
>>243
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
今回はAvira、ESET、Kaspersky、Ahnlabにも提出
245:名無しさん@お腹いっぱい。
09/07/19 17:43:07
>>243
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
fx351.htm |inconclusive | | |no
fx351.js |inconclusive | | |no
246:名無しさん@お腹いっぱい。
09/07/19 23:02:41
URLリンク(tane.sakuratan.com)
infected
■■■ 検体入手元 ■■■
Malware Domain List 7/18分+リネージュ資料室更新分
p://www■miwcmac■com/JP/mpg■scr
p://www■wokutonoken-online■com/JP/mpg■scr
p://proantispywarescanv3■com/download■php?id=02029-5
p://proantispywarescanv3■com/download/Setup-8d5_002029-5■exe
p://theinstalls■com/files/uprograms/dailybucks/install■48349■exe
p://theinstalls■com/files/uprograms/dailybucks/dailybucks_install■exe
p://x■b76■net/winres■exe
p://dapda■cn/setup■exe
p://installmoney■com/svchost■exe
p://download■microsoft-update-center■com:88/files/db■exe
p://v-i-e-w■net/xrun■tmp
p://212■117■174■14/installnew2■exe
p://heyjoy■cn/612■exe
p://kerchex■biz/cash■exe
p://www■dimensi0n■altervista■org/team/wlachocia■txt
AntiVirには未検出分をftp経由で提出済み。他はこれから提出します。
247:名無しさん@お腹いっぱい。
09/07/19 23:12:15
>>246さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました
248:名無しさん@お腹いっぱい。
09/07/19 23:41:19
>>246
Panda、GDATA(=avast!&BitDefender)へ提出完了
今回もESET、Kaspersky、Ahnlabに提出
249:248
09/07/19 23:52:30
TrendMicroにも提出しようと思ったがエラー起こすので辞めた
誰か変わりに提出してください
250:名無しさん@お腹いっぱい。
09/07/20 00:00:41
>>246
各社一通り提出完了。今回も、NormanとZonerは面倒なのでパス。
AntiyLabsは今日もFTP鯖閉じてるので、数日内に送っときます。
>>249
うちも1回エラー起こしたが、(他と同時に送信してたので遅くてタイムアウト?)
もう1回やったら送信完了しました。
251:名無しさん@お腹いっぱい。
09/07/20 00:02:45
>246
マカフィー自動返答
File Name Findings Detection Type Extra
--------------------|-------------------|----------------------------|------|-----
612.exe |new detection |generic.dx!bde |Trojan|yes
dailybucks_install.e|current detection |fakealert-winwebsecurity.gen|Trojan|no
db.exe |inconclusive | | |no
installnew2.exe |current detection |fakealert-winwebsecurity.gen|Trojan|no
mshost1.exe |inconclusive | | |no
setup.exe |new detection |generic.dx!bde |Trojan|yes
wlachocia.txt |current detection |backdoor-cus!php |Trojan|no
xrun.tmp |inconclusive | | |no
1199.exe |heuristic detection|generic backdoor!hv.k |Trojan|no
install.48349.exe |inconclusive | | |no
mpg.scr |heuristic detection|generic backdoor!hv.k |Trojan|no
mshost.exe |inconclusive | | |no
setup-8d5_002029-5.e|inconclusive | | |no
svchost.exe |current detection |generic.dx!baw |Trojan|no
winres.exe |current detection |generic.dx!zg |Trojan|no
252:名無しさん@お腹いっぱい。
09/07/20 00:05:45
>>246
McAfee (Active Protection 無効)5/15
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
612.exe |new detection |generic.dx!bde |Trojan |yes
db.exe |inconclusive | | |no
install.48349.exe |inconclusive | | |no
mshost.exe |inconclusive | | |no
mshost1.exe |inconclusive | | |no
setup-8d5_002029-5.e|inconclusive | | |no
setup.exe |new detection |generic.dx!bde |Trojan |yes
xrun.tmp |inconclusive | | |no
1199.exe |heuristic detection |generic backdoor!hv.k |Trojan |no
mpg.scr |heuristic detection |generic backdoor!hv.k |Trojan |no
253:名無しさん@お腹いっぱい。
09/07/20 10:13:03
>>246
トレンドマイクロ返答。但し、どのファイルに該当するかは不明。
TROJ_DROPPER.PXR
TROJ_RSTDOOR.T
TROJ_FAKEAV.BMW
TROJ_DROPPER.PXQ
254:名無しさん@お腹いっぱい。
09/07/20 15:55:58
URLリンク(tane.sakuratan.com)
infected
■検体入手元
Malware Domain List 7/19分
■検出名(複数社で補ってます…)
2006.aninite.at/test(1).txt : Backdoor:PHP/Shell.C(Microsoft) , Backdoor.PHP.ALI(BitDefender)
dunpo.wisegiga.net/id.txt : PHP:PHPInfo-A(Avast)
piffopuff.se/test.txt : Trojan:PHP/Agent.A(Microsoft) , PHP.ShellExec(Ikarus)
sunset-travel.ro/devid.txt : SPR/PHP.ID program(AntiVir)
www.hotgome.net/go.jpg : HTML/Shellcode.Gen HTML script virus(AntiVir)
www.hotgome.net/GVmp.htm : JS:MalHead-U(Avast) , Troj/Iframe-CJ(Sophos)
www.hotgome.net/GVof.htm : JS:CVE-2009-1136-A(Avast) , Exploit.JS.Sheat.a(Kaspersky)
www.hotgome.net/www.hotgome.net.htm : JS/Dldr.IFrame.1618 Java script virus(AntiVir)
www.justiciasalta.gov.ar/c99.txt : PHP/C99Shell.B PHP virus(AntiVir)
各社一通り提出済み。
その他、週末で保留になってたAntiyLabs宛も提出完了。
255:名無しさん@お腹いっぱい。
09/07/20 18:56:21
>>246
カスペ返答
1199.exe_,mpg.scr_ - Backdoor.Win32.PcClient.atzu,
612.exe_,setup.exe_ - Trojan-Dropper.Win32.Agent.awov,
dailybucks_install.exe_ - Trojan-Downloader.Win32.FraudLoad.whut,
db.exe_ - Trojan-Downloader.Win32.VB.phg,
install.48349.exe_ - Trojan.Win32.FraudPack.pow,
installnew2.exe_ - Trojan-Downloader.Win32.FraudLoad.whue,
mshost1.exe_,svchost.exe_ - Trojan.Win32.Tdss.ajuu,
Setup-8d5_002029-5.exe_ - Trojan-Downloader.Win32.FraudLoad.fac,
winres.exe_ - Trojan-Dropper.Win32.Agent.aven,
xrun.tmp_ - Backdoor.Win32.Bifrose.bjnb
These files are already detected.
mshost.exe_ - Trojan.Win32.Agent.cqva,
wlachocia.txt - Backdoor.PHP.Rst.as
New malicious software was found
256:名無しさん@お腹いっぱい。
09/07/21 00:51:49
>>254
トレンドマイクロ返答。但し、どのファイルに該当するかは不明。
BKDR_SHELL.BW
TROJ_PHPINFO.J
BKDR_CARDST.BU
257:225
09/07/21 15:52:02
カスペからの返事
>>193(>>209,220) tane0452
4+2=6/9
of.js - Exploit.JS.Agent.aks
At the moment this file is detected.
>>195 (>>209,216) tane0453
2/2でシグネチャ・ベースでクローズ
owc1.js - Exploit.JS.Sheat.a (←HEUR:Exploit.Script.Generic)
This file is detected because it contains the instruction which attempts to download and install
malicious program on your computer by using security breach.
(このファイルは検知されています。なぜなら、セキュリティ・ホールを突いて、PCに悪意のあるプログラムを
ダウンロードし、インストールしようとする方法がコードに記載されているから)
返事がなくて、既に検知しているものはあるかも。
あとで、tane0457まで状況報告します。
まだ、新検体は代理提出お願いします。
258:名無しさん@お腹いっぱい。
09/07/21 17:25:57
カスペ2010 14:45
>>185(>>188,191,221) tane0451
25+1=26(うちHEUR7),白0,残11
Exploit.JS.DirektShow.k benpao2020.com\go1.jpg (白→黒訂正)
Trojan-Downloader.JS.Iframe.bkq www.skywebsv.com\MsAccess.htm (←HEUR:Exploit.Script.Generic)
スルー11内訳(カッコ内は最新VT検出数)
(1)antiviruspcscannerv7.com
antiviruspcscannerv7.com.htm (12/41)
(2) benpao 2020.com
360.htm (3/41)、a1a.htm (3/41)、t.js (4/41)
(3)upload.octopus-multimedia.be
gen.php (0/41)
(4)wwwskywebsv.com
Darkst.htm (0/39)、Ms08011.htm,Ms08053.htm (最後2つは互いに同一ハッシュ) (0/40)
依然として、virus HEUR:Exploit.Script.Genericのまま /Blog.htm /web(1).htm /web.htm
(5)wwwteamerblog.com
Darkst.htm, Ms08011.htm, Ms08053.htm…(4)と同一ハッシュ (0/41)
依然として、virus HEUR:Exploit.Script.Genericのまま /blog.htm /fc2.htm /FFXI-search.htm /MsAccess.htm /play.htm
>>193(>>209,220, 257) tane0452
4+3=7/9 (残2: wesssrett.cn\ index.php, typeSBc.swf)
Trojan-Dropper.Win32.Agent.avxs a222.dnf5.com\1.exe
場合によっては、未決分について、代理提出お願いします。
259:20
09/07/22 00:12:27
やっと全鯖巻き添え規制解除...ということで
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 6個入り
bnret.com
web.exe - URLリンク(www.virustotal.com) (23/40)
bvgg6.cn
02.js - URLリンク(www.virustotal.com) (11/41)
a.js - URLリンク(www.virustotal.com) (11/41)
go.jpg - URLリンク(www.virustotal.com) (9/38)
go1.jpg - URLリンク(www.virustotal.com) (23/41)
seriall.com
Virtob.exe - URLリンク(www.virustotal.com) (16/41)
web.exeは、>235が落ちてくるファイルが入れ替わったので、同じサイトから。やっぱり定期的に入れ替えてますね。
あと、KasperskyのDirektShowの通し番号、もう l(エル) まで来たのか...速ぇーなぁ。
260:20
09/07/22 00:23:09
>>259
AVIRA 7.01.05.11 黒6/6
bnret.com
web.exe - TR/Dldr.Small.jwy.2
bvgg6.cn
02.js - HTML/Shellcode.Gen HTML
a.js - HTML/Shellcode.Gen HTML
go.jpg - HTML/Shellcode.Gen HTML
go1.jpg - EXP/Jippy.697
seriall.com
Virtob.exe - TR/Crypt.ZPACK.Gen
-----
Kaspersky 2009/07/21 21:35:00 黒(4+1)/6
bnret.com
web.exe - Trojan-Downloader.Win32.Small.jwy
bvgg6.cn
02.js -
a.js - Exploit.JS.DirektShow.j
go.jpg - Exploit.JS.DirektShow.j
go1.jpg - Exploit.JS.DirektShow.l
seriall.com
Virtob.exe - (Virus.Win32.Virut.ce) ※ 既に返答あり/新種
AVIRAは全検出なので何も無し。Kasperskyは未検出分提出済み。(内、1個返答を受領済み)
261:名無しさん@お腹いっぱい。
09/07/22 00:59:09
>>259さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました
262:名無しさん@お腹いっぱい。
09/07/22 01:04:18
>>259
Panda、GDATA2010(=avast!、BitDefender)、ESETへ提出完了
263:名無しさん@お腹いっぱい。
09/07/22 18:38:06
>>259
McAfee (Active Protection 無効)1/6
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
02.js |heuristic detection |beav-shellcode |Application |no
a.js |heuristic detection |beav-shellcode |Application |no
go.jpg |heuristic detection |beav-shellcode |Application |no
virtob.exe |inconclusive | | |no
web.exe |inconclusive | | |no
264:pp
09/07/22 19:02:22
URLリンク(tane.sakuratan.com)
最近流行ってるアドウェア
某動画サイトからポップアップで開かれたサイトより収集
実行後juicytoolbarとほか以下のものがコンパネで確認
Internet Saving Optimizer
Media Access Startup
System Search Dispatcher
駆除は以上のものをアンインストールでOK
265:名無しさん@お腹いっぱい。
09/07/22 19:30:50
>>264
パスおながい
266:20
09/07/22 22:35:27
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】
ecard.exe
URLリンク(www.virustotal.com) (9/41)
1個だけなんだけど、今日メールで送りつけられてきた分で、ecard系の新種。
AVIRA 7.01.05.16 - TR/Crypt.ZPACK.Gen
Kaspersky 2009/07/22 20:45:00 -
Kaspersky 提出済み。
267:名無しさん@お腹いっぱい。
09/07/22 23:20:11
>>266
Panda、GDATA(=avast!&BitDefender)へ提出完了
AviraとESETは既に検出済みなので提出せず
268:267
09/07/22 23:37:32
>>266
TrendMicroにも提出完了
269:20
09/07/23 00:12:14
>>266 Kaspersky返答
ecard.exe - Backdoor.Win32.UltimateDefender (黒,新種)
何か、Kasperskyらしくない、珍しい検出名だ...(w
270:20
09/07/23 00:45:06
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 3個
beauty-hot-pornxxx.com
TubeViewer.ver.6.48103.exe - URLリンク(www.virustotal.com) (8/37)
youtube-adult.name
setup.exe - URLリンク(www.virustotal.com) (22/38)
seriall.com
Virtob_new.exe - URLリンク(www.virustotal.com) (15/41)
上2個は、MLDの2009/07/21で、RFIでなかったもの。 つか、1,769個リストアップされて、1,767個がRFIって何じゃそりゃ...orz
最後の1個は、>259の同サイトの物が入れ替わったので。
271:20
09/07/23 00:48:44
>>270
AVIRA 7.01.05.16 黒3/3
beauty-hot-pornxxx.com
TubeViewer.ver.6.48103.exe - TR/Crypt.XPACK.Gen
seriall.com
Virtob_new.exe - TR/Crypt.ZPACK.Gen
youtube-adult.name
setup.exe - TR/Dropper.Gen
-----
Kaspersky 2009/07/23 0:13:00 黒1/3
beauty-hot-pornxxx.com
TubeViewer.ver.6.48103.exe -
seriall.com
Virtob_new.exe -
youtube-adult.name
setup.exe - Trojan-Downloader.Win32.FraudLoad.wfqy
Kasperskyは未検出分提出済み。
272:名無しさん@お腹いっぱい。
09/07/23 01:03:49
>>270
Symatenc、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
TrendMicro、ESETにも提出
273:名無しさん@お腹いっぱい。
09/07/23 01:16:30
>>270
ちなみにVTで出てない結果
NortonInternetSecurity2009
Downloader.MisleadApp:TubeViewer.ver.6.48103.exe
後はVT通りの結果で検出数は2/3
PandaGllobalProtection2010
setup.exe以外はヒューリスティックで検出、検出数2/3
GDATA2010はVT通りの結果なので特に報告せず
TrendMicroとESETは提出してるものの手元に試せる環境がないので報告できません(ただしウイルスバスターが2010になったら試すかも、いつになるかはわかりませんが)
274:名無しさん@お腹いっぱい。
09/07/23 17:39:05
>>270
McAfee (Active Protection 無効)1/3
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
tubeviewer.ver.6.481|inconclusive | | |no
virtob_new.exe |inconclusive | | |no
Active Protection 有効にてのスキャン
dat5683
beauty-hot-pornxxx.com
TubeViewer.ver.6.48103.exe(スルー)
youtube-adult.name
setup.exe (FakeAlert-EZ 削除)
seriall.com
Virtob_new.exe (スルー)
dat5685
beauty-hot-pornxxx.com
TubeViewer.ver.6.48103.exe(スルー)
youtube-adult.name
setup.exe (FakeAlert-EZ 削除)
seriall.com
Virtob_new.exe (Artemis!056604460358)
>>189の件といいXPがダメダメなのかMcAfeeがダメダメなのかorz..orz
275:名無しさん@お腹いっぱい。
09/07/23 18:01:15
>>270
PandaとNortonは全検出完了
VT見るとMcAfeeも全検出可能になってる
276:264
09/07/23 18:12:11
すまんwパス忘れてた
パスはmalware
277:名無しさん@お腹いっぱい。
09/07/23 18:22:39
>>276
McAfee
検出名:Adware-DoubleD (怪しいプログラム)
278:名無しさん@お腹いっぱい。
09/07/23 23:23:56
>>264
各ベンダーに提出したものの白判定が多い
Avira
25386136 juicyaccess_installer.exe 652.27 KB CLEAN
Symantec
filename: juicyaccess_installer.exe
machine: Machine
result: This file is clean
Kasperskyにも提出したがどう反応するんだか・・・
279:名無しさん@お腹いっぱい。
09/07/24 03:53:49
URLリンク(tane.sakuratan.com)
virus
URLリンク(www.adobe.com)
milw0rmより、FlashPlayerの脆弱性を利用したswfを含むpdf。
# uudecodeなんて10年以上使ってなかったぜ…
280:名無しさん@お腹いっぱい。
09/07/24 05:45:02
>>279
URLリンク(www.virustotal.com)
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
apsa0903.pdf |inconclusive | | |no
281:名無しさん@お腹いっぱい。
09/07/24 15:31:49
>>279
Panda、TrencMicroに提出
282:名無しさん@お腹いっぱい。
09/07/24 17:57:02
カスペ2010 16:06 代理提出の方㌧
>>232㌧ tane0459
0+1=1で閉鎖
Backdoor.Win32.PcClient.atre /wmv.jar/wmv.scr/1199.exe
>>235㌧ tane0460 1/1で閉鎖(VT通り)
Trojan.Win32.Agent2.cglu www.bnret.com/web.exe
>>235㌧ tane0461
7/16 (残9)
Trojan.JS.Zapchast.q /msrmn.com/16.js
Exploit.JS.Sheat.c /msrmn.com/of.htm
Trojan-Downloader.JS.ShellCode.h /msrmn.com/of.js
Exploit.JS.Agent.ald /msrmn.com/real.js
Exploit.JS.RealPlr.qp /msrmn.com/real1.js
Trojan-Downloader.JS.Agent.eht /msrmn.com/vc14.htm /msrmn.com/vcfl.htm
>>238㌧ tane0462
6/8 (残2:スルー ms.bin, GVmp.htm)
virus Email-Worm.Win32.Joleee.crr \pdf exploit_yawxowaj.cn\load.exe
Exploit.Win32.Pidief.bes \pdf exploit_yawxowaj.cn\oldBelow.pdf
Exploit.JS.DirektShow.gen \www.okireng.com\go.jpg
Exploit.JS.Sheat.a \www.okireng.com\GVof.htm
Trojan-Downloader.JS.Agent.egp \www.okireng.com\www.okireng.com.htm
Trojan.Win32.FraudPack.poy \antimalwareaupdateserver.com\Driver.exe
>>243㌧ >>244代理提出㌧ tane0463
0+2=2/2で閉鎖
Exploit.Win32.FireFox.a fx351.htm fx351.js
283:名無しさん@お腹いっぱい。
09/07/24 18:01:23
カスペ2010 16:06 代理提出の方㌧
>>254㌧ tane0465
5/9 (残4:test(1).txt), id.txt, test.txt, GVmp.htm)
Trojan.PHP.PHPInfo.g /sunset-travel.ro/devid.txt
Exploit.JS.DirektShow.gen /www.hotgome.net/go.jpg
Exploit.JS.Sheat.a /www.hotgome.net/GVof.htm
Trojan-Downloader.JS.Agent.egp /www.hotgome.net/www.hotgome.net.htm
Backdoor.PHP.C99Shell.a /www.justiciasalta.gov.ar/c99.txt
>>259㌧ (>>260代理提出㌧) tane0466
5/6 (残1:02.js)
Trojan-Downloader.Win32.Small.jwy /bnret.com/web.exe
Exploit.JS.DirektShow.j /bvgg6.cn/a.js /bvgg6.cn/go.jpg
Exploit.JS.DirektShow.l /bvgg6.cn/go1.jpg
virus Virus.Win32.Virut.ce /seriall.com/Virtob.exe
>>264㌧ tane 0467
0/1 (残:juicyaccess_installer)
>>266 ㌧ tane0468
0+1=1/1で閉鎖
>>270㌧ (>>266,269代理提出&返答掲載㌧) tane0469 >>271代理提出㌧
1+2=3/3で閉鎖
Trojan-Downloader.Win32.Fraudload.faz /beauty-hot-pornxxx.com/TubeViewer.ver.6.48103.exe
Virus.Win32.Virut.ce /seriall.com/Virtob_new.exe
>>279㌧ tane0470
1/1で閉鎖(VT通り)
Exploit.Win32.Pidief.bes /apsa0903.pdf
284:名無しさん@お腹いっぱい。
09/07/24 18:07:14
カスペ2010 16:06 代理提出の方㌧
>>246㌧ tane0464
13+2=15/15で閉鎖 (>>255さんの報告の通り)
以上未検出検体は提出します。
285:20
09/07/24 22:15:35
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】
ecard.exe
URLリンク(www.virustotal.com) (22/41)
今日来た分。 何か、またecard系が良く来るようになった...>266よりはちょっと古いものっぽい。
286:20
09/07/24 22:18:37
>>285
AVIRA 7.01.05.27
ecard.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/07/24 20:34:00
ecard.exr - Trojan-Spy.Win32.Zbot.zur
どっちも検出可,検体提出無し。
287:284
09/07/24 22:18:41
カスペからの返事
>>259 (>>283) tane0466
5+1=6/6でクローズ
02.js - Exploit.JS.Agent.aln
>>193(>>209,220,257,258) tane0452
4+(3+2)=9/9でクローズ
wesssrett.cn \ index.php - Trojan.JS.Agent.akj,
wesssrett.cn \ typeSBc.swf - Exploit.SWF.Downloader.nw
>>185(>>188,191,221,258) tane0451
25+2=27/39、残10(うち7ファイルほぼ白)
antiviruspcscannerv7.com \ antiviruspcscannerv7.com.htm _ - Trojan-Downloader.JS.FraudLoad.c
wwwskywebsv.com \ Blog.htm - Trojan-Downloader.JS.Iframe.blq (←HEUR:Exploit.Script.Generic)
※ヒューリスティック検知のWeb(1).htm,Web,htmも同一ファイルか。
wwwteamerblog.com \ fc2.htm - IM-Worm.Win32.Sohanad.az (←HEUR:Exploit.Script.Generic)
※ヒューリスティック検知のblog.htm, play.htmも同一ファイルか
benpao2020.comの3つのファイル("360.htm", "t.js" and "a1a.htm")のうちのどれか
Trojan-Downloader.JS.Iframe.blr
どのファイルかは明記されていないので特定できず。(t.js or 360.htm)
>>254(>>283) tane0465
5+1=6/9、白2、,残1
test(1).txt - Trojan.PHP.Agent.t
id.txt, test.txt - No malicious software was found in the attached file.
288:名無しさん@お腹いっぱい。
09/07/24 22:23:38
>>285
GDATA2010(今回はBitDefenderのみ)へ提出完了
289:名無しさん@お腹いっぱい。
09/07/24 23:16:52
>>280
EXTRA.DAT到着
>>285
McAfee (Active Protection 無効)0/1
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
ecard.exe |new detection |pws-zbot |Trojan |yes
290:287
09/07/25 07:09:10
カスペ2010 6:15
>>185(>>188,191,221,258,287) tane0451
23+(2+2+1)=28/37、白2、残7(VT上0%なのでほぼ白か)で仮閉め、総ファイル数訂正orz
Trojan-Downloader.JS.Iframe.blr /benpao2020.com\t.js
360.htm, a1a.htm - 白
>>131 tane0441
3+4=7/7に訂正。閉鎖(>>137と混同して報告してしまった。)>>141との差分は以下。
Trojan-Dropper.Win32.Agent.avpm 1.exe
Trojan program Trojan.Win32.BHO.vnc 1_1.exe
Trojan program Trojan-GameThief.Win32.WOW.qyd 2.exe
Trojan program Trojan-PSW.Win32.Agent.nja 2_1.exe
291:20
09/07/25 09:23:21
ecard系、また別種が来た。
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】
ecard.exe
URLリンク(www.virustotal.com) (18/41)
AVIRA 7.01.05.27
ecard.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/07/24 20:34:00
ecard.exe -
Kaspersky提出済み。
292:名無しさん@お腹いっぱい。
09/07/25 09:34:57
>>291
Panda、GDATA(今回はavast!のみ)、TrendMicroに提出
293:名無しさん@お腹いっぱい。
09/07/25 12:27:52
カスペからの返事
>>185(>>188,191,221,258,287,290) tane0451 (検出)
wwwskywebsv.com \ Blog.htm Web(1).htm Web,htm- Trojan-Downloader.JS.Iframe.blq (←HEUR:Exploit.Script.Generic)
>>254(>>283,287) tane0465 (返事)
5+事後1=6/9、白3でFA
GVmp.htm - No malicious code was found in this file.
>>291
㌧ & 代理提出㌧ 様子見してみます。
294:20
09/07/25 13:40:29
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 11個,MDL 2009/07/23分
antispy2009.net
setup.exe - URLリンク(www.virustotal.com) (22/41)
bestdomus.com
Klitecodec.exe - URLリンク(www.virustotal.com) (28/41)
cbbugltjud.com
udvvmquz.exe - URLリンク(www.virustotal.com) (16/41)
delzzerro.cn
installb.exe - URLリンク(www.virustotal.com) (4/41)
136.pdf - URLリンク(www.virustotal.com) (13/41)
download-filez-now.us
setup.exe - URLリンク(www.virustotal.com) (3/40)
downloadsoftwareserver3.com
gdi32lib.dll - URLリンク(www.virustotal.com) (16/40)
xpdeluxe.exe - URLリンク(www.virustotal.com) (17/41)
drocuwil.cn
fromFactLooks.swf - URLリンク(www.virustotal.com) (5/41)
scanriteweb.com
install.exe - URLリンク(www.virustotal.com) (21/40)
securityscanavailable.com
install.exe - URLリンク(www.virustotal.com) (18/41)
295:20
09/07/25 13:46:48
>>294
AVIRA 7.01.05.28 黒(8+1)/11,未検出 2,提出済み
【検出】
antispy2009.net
setup.exe - TR/FraudLoad.wkoi
bestdomus.com
Klitecodec.exe - TR/Dropper.Gen
cbbugltjud.com
udvvmquz.exe - TR/Dldr.Delphi.Gen
delzzerro.cn
136.pdf - HTML/Malicious.PDF.Gen
downloadsoftwareserver3.com
xpdeluxe.exe - TR/Fake.DeluPro
drocuwil.cn
fromFactLooks.swf - SWF/Drop.Small.HC
scanriteweb.com
install.exe - TR/Dropper.Gen
securityscanavailable.com
install.exe - TR/Dropper.Gen
【VDF update待ち】
downloadsoftwareserver3.com
gdi32lib.dll - (TR/BHO.udx)
【未検出】
delzzerro.cn
installb.exe -
download-filez-now.us
setup.exe -
296:20
09/07/25 13:57:18
>>294
Kaspersky 2009/07/25 12:09:00 黒7,HEUR 1,未検出 3,提出済み
【検出】
antispy2009.net
setup.exe - Trojan-Downloader.Win32.FraudLoad.wkoi
bestdomus.com
Klitecodec.exe - Trojan-Downloader.Win32.FraudLoad.wimq
cbbugltjud.com
udvvmquz.exe - Trojan.Win32.Pasta.axo
downloadsoftwareserver3.com
xpdeluxe.exe - not-a-virus:FraudTool.Win32.WinPCDefender.bo
gdi32lib.dll - Trojan-Downloader.Win32.FraudLoad.wjvl
scanriteweb.com
install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn
securityscanavailable.com
install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn
【HEUR】
delzzerro.cn
136.pdf - HEUR:Exploit.Script.Generic
【未検出】
delzzerro.cn
installb.exe -
download-filez-now.us
setup.exe -
drocuwil.cn
fromFactLooks.swf -
297:名無しさん@お腹いっぱい。
09/07/25 14:17:12
>>294
URLリンク(tane.sakuratan.com)
McAfee (Active Protection 無効)14/19
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
136.pdf |inconclusive | | |no
fromfactlooks.swf |inconclusive | | |no
installb.exe |new detection |generic.dx!biz |Trojan |yes
setup.exe |inconclusive | | |no
xpdeluxe.exe |inconclusive | | |no
298:20
09/07/25 14:27:22
>>297
あ。 申し訳ない、コピペして使ったの番号直すの忘れてた。orz
>>294は、>297さんの書いた方のリンクが正解です。 一応再掲
>294 → URLリンク(tane.sakuratan.com)
299:名無しさん@お腹いっぱい。
09/07/25 14:46:23
>>294
Symantec、Panda、TrendMicro、GDATA(=avast!&BitDefender)、ESETへ提出完了
Symantecから自動返答
filename: fromFactLooks.swf
machine: Machine
result: See the developer notes
filename: gdi32lib.dll
machine: Machine
result: This file is detected as Trojan.Fakeavalert.
filename: udvvmquz.exe
machine: Machine
result: See the developer notes
filename: setup.exe
machine: Machine
result: See the developer notes
filename: installb.exe
machine: Machine
result: See the developer notes
300:名無しさん@お腹いっぱい。
09/07/25 17:19:58
ここまでSymantecとa-squaredとMalwarebytesに提出しました
301:20
09/07/25 22:19:45
>>296
Kaspersky 2009/07/25 21:09:00 1個検出可になりました。
download-filez-now.us
setup.exe - Trojan-Downloader.Win32.FraudLoad.fbl
う~ん、Kasperskyから返答全く来ないから、何がどうなっているのやら...
302:293
09/07/25 22:49:01
>>291(>>292)
カスペからの返事 tane0472
先ほど提出
0+事後1=1/1で閉鎖
ecard.exe - Backdoor.Win32.UltimateDefender.xp
303:名無しさん@お腹いっぱい。
09/07/25 23:55:53
URLリンク(tane.sakuratan.com)
infected
うちもSPAMメールについてきたので。例によって、ついてきたZIPファイルそのものと、解凍した中身を両方入れてあります。
ecard.exeは>>285と同じ物だと思いますので、重複提出にならないようにご注意ください。(7/23~7/25の間で全部同じものでした)
ほかの2種類は、今日始めて来たもの。
UPSNR_881762167.exe(12/40)
URLリンク(www.virustotal.com)
UPSFILE_NR10128777.exe(19/41)
URLリンク(www.virustotal.com)
304:名無しさん@お腹いっぱい。
09/07/26 00:00:29
>>303
AntiVir
ecard.exeのみ検知。ほかの2種類はスルー。
AntiVirとAntiyLabsにはFTP経由で提出済み。
305:名無しさん@お腹いっぱい。
09/07/26 00:06:38
URLリンク(tane.sakuratan.com)
infected
■検体入手元
MDL 2009/07/23~7/24辺り(多分、重複ファイルあり。重複チェックできてなくてごめん)
MalwareURL.com 7/21~7/24辺り
リネージュ資料室の更新リスト
■既提出済みの所
AntiVir(未検出分のみ)とAntiyLabsにはFTP経由で提出済み。
306:名無しさん@お腹いっぱい。
09/07/26 00:23:52
>>303
ファイル名からするとUPSからのアラートのフリして来る奴かな?
これはうちは最近あまり来てないなぁ。
307:20
09/07/26 00:32:47
>>303
Kaspersky 2009/07/25 23:26:00 黒3/3
ecard.exe - Trojan-Spy.Win32.Zbot.zur
UPSFILE_NR10128777.exe - Backdoor.Win32.Bredolab.az
UPSNR_881762167.exe - Backdoor.Win32.Bredolab.bm
全部検出するので、提出無し。
308:名無しさん@お腹いっぱい。
09/07/26 00:57:10
カスペ2010 23:26
>>303㌧ tane0474
3/3でクローズ
Trojan-Spy.Win32.Zbot.zur \spam mail\ecard.exe
Backdoor.Win32.Bredolab.az \spam mail\UPSFILE_NR10128777.exe
Backdoor.Win32.Bredolab.bm \spam mail\UPSNR_881762167.exe
>>305㌧ tane0475
>>307 代理報告㌧ 3/3でクローズ
カスペからの返事
>>297 (>>296,301) tane0473
黒8(うちHEUR1)+1=9/11, 白1、 残1(installb.exe)
fromFactLooks.swf - No malicious code was found in this file.
309:20
09/07/26 01:11:50
>>305
Kaspersky 2009/07/25 23:26:00 黒27/44,HEUR 1,未検出 15
【検出】
scanriteweb.com
install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn
bestdomus.com
Klitecodec.exe - Trojan-Downloader.Win32.FraudLoad.wimq
7cib5fzf462g8.cn
setup.exe - not-a-virus:FraudTool.Win32.Agent.uj
antispy2009.net
setup.exe - Trojan-Downloader.Win32.FraudLoad.wkoi
downloadsoftwareserver3.com
xpdeluxe.exe - not-a-virus:FraudTool.Win32.WinPCDefender.bp
securityscanavailable.com
install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn
sobadar.cn
loader.exe - Trojan-Spy.Win32.Zbot.zip
847474.cn
file.exe - Trojan-Spy.Win32.Zbot.zvt
trust-service.cn
bot.exe - Trojan-Spy.Win32.Zbot.yyv
888admins.cn
bot.exe - Trojan-Spy.Win32.Zbot.gen
driveupdate.cn
bot.exe - Trojan-Spy.Win32.Zbot.yst
threeways.cn
bot.exe - Trojan-Banker.Win32.Bancos.eof
abrikos.info
update.exe - Backdoor.Win32.Bifrose.avjw
bananasdogs.cn
svchost.exe - Trojan-Spy.Win32.Zbot.xhc
310:20
09/07/26 01:14:20
>309 続き
ronplesco.cn
bot.exe - Trojan-Spy.Win32.Zbot.gen
goodsovclass.cn
ldr.exe - Trojan-Spy.Win32.Zbot.xyl
klikvs.cn
EXP_01.exe - Trojan-Spy.Win32.Zbot.yyj
load.exe - Trojan-Spy.Win32.Zbot.gen
newadmins7.cn
bot.exe - Trojan.Win32.Buzus.boan
thaigan.cn
loader.exe - Trojan-Spy.Win32.Zbot.yam
volonterkom.cn
ldr.exe - Trojan-Spy.Win32.Zbot.gen
wthelp.cn
bot.exe - Trojan-Spy.Win32.Zbot.gen
yb-sport-555.cn
bot.exe - Trojan-Spy.Win32.Zbot.gen
yb-sport-555.cn
load.exe - Trojan-Spy.Win32.Zbot.zpl
www.shaimokale.com
張佑赫.exe - Backdoor.Win32.PcClient.avvd
xp-deluxeprotector.com
setup.exe - not-a-virus:FraudTool.Win32.Agent.nk
www.shaimokale.com
online.scr - VN=Backdoor.Win32.PcClient.avvd
online.zip - VN=Backdoor.Win32.PcClient.avvd
【HEUR】
delzzerro.cn
720.pdf - HEUR:Exploit.Script.Generic
311:20
09/07/26 01:35:16
>310 続き
【未検出】
antispy2009.net\index.php
cbbugltjud.com\udvvmquz.php
delzzerro.cn\installb.exe
download-filez-now.us\setup.exe
downloadsoftwareserver3.com\gdi32lib.dll
googleclear.com\index.php
googleclear.com\install.exe
scanriteweb.com\scanonline.php
securityscanavailable.com\index.php
Trojan FakeRean\Install.exe
aswqert.cn\file.exe
b18c.cn\bot.exe
domenpoxuj.cn\bot.exe
makefred.cn\b1t.exe
xp-deluxeprotector.com\xp-deluxeprotector.com.htm
>>305 乙でした。
フォルダ名見ると、いくつか同じサイトから同じファイルを落としていると思うのですが、中身が一致しないものが
ありますので、アクセスした人の環境を見てダウンロードさせるファイルを変えているサイトがありそうです。
なお、未検出分はチェック後にKasperskyに提出しますが、私の提出分は
どうもここ数日スルーされてる?っぽいので、他の人も出した方が良いかも...
※ 隔離フォルダから送ったQuarantine Objectですら処理されないところを見ると、
私の提出分はフィルタリングに引っかかってゴミ箱直行になっているかもしれません。
312:名無しさん@お腹いっぱい。
09/07/26 01:57:55
>>303
McAfee (Active Protection 無効)1/3
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
upsfile_nr10128777.e|new detection |bredolab.gen |Trojan |yes
upsnr_881762167.exe |new detection |bredolab.gen |Trojan |yes
313:名無しさん@お腹いっぱい。
09/07/26 02:00:57
>>305
McAfee (Active Protection 無効)35/50
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup.exe |inconclusive | | |no
720.pdf |inconclusive | | |no
b1t.exe |inconclusive | | |no
bot.exe |new detection |generic.dx!bip |Trojan |yes
bot.exe |new detection |generic.dx!bip |Trojan |yes
bot.exe |inconclusive | | |no
file.exe |new detection |generic pws.y!fp |Trojan |yes
file.exe |inconclusive | | |no
gdi32lib.dll |new detection |generic pup.x!x |Application |yes
index.php |inconclusive | | |no
installb.exe |inconclusive | | |no
load.exe |inconclusive | | |no
setup.exe |inconclusive | | |no
xp-deluxeprotector.c|inconclusive | | |no
xpdeluxe.exe |inconclusive | | |no
314:20
09/07/26 02:22:05
>>311
Kaspersky 2009/07/26 1:41:00 更新したら検出可になったもの
aswqert.cn\file.exe - Trojan-Spy.Win32.Zbot.zwx
AVIRAから既知のCLEANファイルであると自動返答があったもの
makefred.cn\b1t.exe
一応、寝る前に判明したので。
315:名無しさん@お腹いっぱい。
09/07/26 02:57:50
カスペからの返事
>>297 (>>296,301,308) tane0473
黒8+1=9/11, 白1、 残1(installb.exe)
136.pdf - Exploit.JS.Pdfka.OG (←HEUR:Exploit.Script.Generic)
305 (tane0475)は暫く見送り
316:名無しさん@お腹いっぱい。
09/07/26 03:33:16
ここまでSymantecとa-squaredとMalwarebytesに提出しました
317:名無しさん@お腹いっぱい。
09/07/26 09:14:59
>>303
>>305
Panda、GDATA(=avast!&BitDefender)、ESETへ提出完了
318:名無しさん@お腹いっぱい。
09/07/26 10:08:08
>>314
ごめん、bit.exeはただのhtmlで無害なものでした。またやっちまった。orz
>>303 >>305
マイナー所を含む各社に提出完了。ZonerとNormanはごめんなさいっ。
319:20
09/07/26 10:45:44
>>311
さて、相変わらずKasperskyから返答無いけど、検出可になるのは進んでいます。
Kaspersky 2009/07/26 9:42:00 残件2個
antispy2009.net\index.php
cbbugltjud.com\udvvmquz.php
●delzzerro.cn\installb.exe - Trojan-Dropper.Win32.Agent.axxg
●download-filez-now.us\setup.exe - Trojan-Downloader.Win32.FraudLoad.wlc
●downloadsoftwareserver3.com\gdi32lib.dll - Trojan-Downloader.Win32.FraudLoad.wlch
●googleclear.com\index.php - Trojan-Downloader.JS.FraudLoad.d
●googleclear.com\install.exe - Trojan-Downloader.Win32.FraudLoad.wlci
●scanriteweb.com\scanonline.php - Trojan-Downloader.JS.FraudLoad.e
●securityscanavailable.com\index.php - Trojan-Downloader.JS.FraudLoad.d
●Trojan FakeRean\Install.exe - Trojan-Downloader.Win32.FraudLoad.fbo
●aswqert.cn\file.exe - Trojan-Spy.Win32.Zbot.zwx
●b18c.cn\bot.exe - Trojan-Spy.Win32.Zbot.zxa
●domenpoxuj.cn\bot.exe - Trojan-Spy.Win32.Zbot.zwz
○makefred.cn\b1t.exe
●xp-deluxeprotector.com\xp-deluxeprotector.com.htm - Trojan.HTML.Fraud.a
>>291 こっちも判定終了
●ecard.exe - Backdoor.Win32.UltimateDefender.xp
320:名無しさん@お腹いっぱい。
09/07/26 11:12:38
カスペ 2010 9:42検出ベース
>>305 ㌧ (>>309-311,314) >>309代理提出㌧ tane0475
29(?)+13=42/44、とりあえず、残2(antispy2009.net\index.php、makefred.cn\b1t.exe)
unknown threat UDS:DangerousObject.Multi.Generic cbbugltjud.com\udvvmquz.php (KNS検知)
Trojan-Dropper.Win32.Agent.axxg \delzzerro.cn\installb.exe
Trojan-Downloader.Win32.FraudLoad.wlch \downloadsoftwareserver3.com\gdi32lib.dll
Trojan program Trojan-Downloader.Win32.FraudLoad.wlcf \download-filez-now.us\setup.exe
Trojan-Downloader.Win32.FraudLoad.wlci \googleclear.com\install.exe
Trojan-Downloader.JS.FraudLoad.d \googleclear.com\index.php
Trojan-Downloader.JS.FraudLoad.e \scanriteweb.com\scanonline.php
Trojan-Downloader.JS.FraudLoad.d \securityscanavailable.com\index.php
Trojan-Downloader.Win32.FraudLoad.fbo \Trojan FakeRean\Install.exe
Trojan-Spy.Win32.Zbot.zwx \Trojan Zbot\aswqert.cn\file.exe (>>314にて報告)
Trojan-Spy.Win32.Zbot.zxa \Trojan Zbot\b18c.cn\bot.exe
Trojan-Spy.Win32.Zbot.zwz \Trojan Zbot\domenpoxuj.cn\bot.exe
Trojan.HTML.Fraud.a xp-deluxeprotector.com\xp-deluxeprotector.com.htm
Trojan program Exploit.JS.Pdfka.og delzzerro.cn\720.pdf (←HEUR:Exploit.Script.Generic)
>>185(>>188,191,221,258,287,290,293) tane0451 (返事)
wwwteamerblogcom \MsAccess.htm_ - Trojan-Downloader.JS.Agent.eia (←HEUR:Exploit.Script.Generic)
321:320
09/07/26 11:19:41
>>319とかぶった。orz
ちなみに、unknown threat UDS:DangerousObject.Multi.Generic は、KIS2010のみ
シグネチャで配信されているのか、DBに速照しているのかはわからない。たぶん前者。
322:20
09/07/26 12:13:07
>>319
珍しくKasperskyから返答。私のメールがフィルタリングに引っかかってるわけじゃないのか...
●antispy2009.net\index.php - Trojan-Downloader.JS.FraudLoad.f
○cbbugltjud.com\udvvmquz.php - No malicious code was found in this file.
ちなみに白判定になった方のファイルのVT
URLリンク(www.virustotal.com) (33/41)
むぅ、釈然としねぇ...VTの結果もつけて送ったのに。 これは、また後でひっくり返しあるかも?(w
とりあえず、>305は黒42+白2でclose.
323:名無しさん@お腹いっぱい。
09/07/26 14:26:25
カスペからの返事
>>305 ㌧ (>>309-311,314,320,322)
44/44でクローズ
Trojan Zbot \ makefred.cn \ b1t.exe_ - Trojan.HTML.Dosser.c,
antispy2009.net \ index.php - Trojan-Downloader.JS.FraudLoad.f
New malicious software was found in these files.
>>322さんのベースと異なり、混乱するので、当方ベースのみで計算
>>322
スクリプトは、ダウンロードされる実行ファイルが検知されるといいと思われ。