09/07/25 17:19:58
ここまでSymantecとa-squaredとMalwarebytesに提出しました
301:20
09/07/25 22:19:45
>>296
Kaspersky 2009/07/25 21:09:00 1個検出可になりました。
download-filez-now.us
setup.exe - Trojan-Downloader.Win32.FraudLoad.fbl
う~ん、Kasperskyから返答全く来ないから、何がどうなっているのやら...
302:293
09/07/25 22:49:01
>>291(>>292)
カスペからの返事 tane0472
先ほど提出
0+事後1=1/1で閉鎖
ecard.exe - Backdoor.Win32.UltimateDefender.xp
303:名無しさん@お腹いっぱい。
09/07/25 23:55:53
URLリンク(tane.sakuratan.com)
infected
うちもSPAMメールについてきたので。例によって、ついてきたZIPファイルそのものと、解凍した中身を両方入れてあります。
ecard.exeは>>285と同じ物だと思いますので、重複提出にならないようにご注意ください。(7/23~7/25の間で全部同じものでした)
ほかの2種類は、今日始めて来たもの。
UPSNR_881762167.exe(12/40)
URLリンク(www.virustotal.com)
UPSFILE_NR10128777.exe(19/41)
URLリンク(www.virustotal.com)
304:名無しさん@お腹いっぱい。
09/07/26 00:00:29
>>303
AntiVir
ecard.exeのみ検知。ほかの2種類はスルー。
AntiVirとAntiyLabsにはFTP経由で提出済み。
305:名無しさん@お腹いっぱい。
09/07/26 00:06:38
URLリンク(tane.sakuratan.com)
infected
■検体入手元
MDL 2009/07/23~7/24辺り(多分、重複ファイルあり。重複チェックできてなくてごめん)
MalwareURL.com 7/21~7/24辺り
リネージュ資料室の更新リスト
■既提出済みの所
AntiVir(未検出分のみ)とAntiyLabsにはFTP経由で提出済み。
306:名無しさん@お腹いっぱい。
09/07/26 00:23:52
>>303
ファイル名からするとUPSからのアラートのフリして来る奴かな?
これはうちは最近あまり来てないなぁ。
307:20
09/07/26 00:32:47
>>303
Kaspersky 2009/07/25 23:26:00 黒3/3
ecard.exe - Trojan-Spy.Win32.Zbot.zur
UPSFILE_NR10128777.exe - Backdoor.Win32.Bredolab.az
UPSNR_881762167.exe - Backdoor.Win32.Bredolab.bm
全部検出するので、提出無し。
308:名無しさん@お腹いっぱい。
09/07/26 00:57:10
カスペ2010 23:26
>>303㌧ tane0474
3/3でクローズ
Trojan-Spy.Win32.Zbot.zur \spam mail\ecard.exe
Backdoor.Win32.Bredolab.az \spam mail\UPSFILE_NR10128777.exe
Backdoor.Win32.Bredolab.bm \spam mail\UPSNR_881762167.exe
>>305㌧ tane0475
>>307 代理報告㌧ 3/3でクローズ
カスペからの返事
>>297 (>>296,301) tane0473
黒8(うちHEUR1)+1=9/11, 白1、 残1(installb.exe)
fromFactLooks.swf - No malicious code was found in this file.
309:20
09/07/26 01:11:50
>>305
Kaspersky 2009/07/25 23:26:00 黒27/44,HEUR 1,未検出 15
【検出】
scanriteweb.com
install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn
bestdomus.com
Klitecodec.exe - Trojan-Downloader.Win32.FraudLoad.wimq
7cib5fzf462g8.cn
setup.exe - not-a-virus:FraudTool.Win32.Agent.uj
antispy2009.net
setup.exe - Trojan-Downloader.Win32.FraudLoad.wkoi
downloadsoftwareserver3.com
xpdeluxe.exe - not-a-virus:FraudTool.Win32.WinPCDefender.bp
securityscanavailable.com
install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn
sobadar.cn
loader.exe - Trojan-Spy.Win32.Zbot.zip
847474.cn
file.exe - Trojan-Spy.Win32.Zbot.zvt
trust-service.cn
bot.exe - Trojan-Spy.Win32.Zbot.yyv
888admins.cn
bot.exe - Trojan-Spy.Win32.Zbot.gen
driveupdate.cn
bot.exe - Trojan-Spy.Win32.Zbot.yst
threeways.cn
bot.exe - Trojan-Banker.Win32.Bancos.eof
abrikos.info
update.exe - Backdoor.Win32.Bifrose.avjw
bananasdogs.cn
svchost.exe - Trojan-Spy.Win32.Zbot.xhc
310:20
09/07/26 01:14:20
>309 続き
ronplesco.cn
bot.exe - Trojan-Spy.Win32.Zbot.gen
goodsovclass.cn
ldr.exe - Trojan-Spy.Win32.Zbot.xyl
klikvs.cn
EXP_01.exe - Trojan-Spy.Win32.Zbot.yyj
load.exe - Trojan-Spy.Win32.Zbot.gen
newadmins7.cn
bot.exe - Trojan.Win32.Buzus.boan
thaigan.cn
loader.exe - Trojan-Spy.Win32.Zbot.yam
volonterkom.cn
ldr.exe - Trojan-Spy.Win32.Zbot.gen
wthelp.cn
bot.exe - Trojan-Spy.Win32.Zbot.gen
yb-sport-555.cn
bot.exe - Trojan-Spy.Win32.Zbot.gen
yb-sport-555.cn
load.exe - Trojan-Spy.Win32.Zbot.zpl
www.shaimokale.com
張佑赫.exe - Backdoor.Win32.PcClient.avvd
xp-deluxeprotector.com
setup.exe - not-a-virus:FraudTool.Win32.Agent.nk
www.shaimokale.com
online.scr - VN=Backdoor.Win32.PcClient.avvd
online.zip - VN=Backdoor.Win32.PcClient.avvd
【HEUR】
delzzerro.cn
720.pdf - HEUR:Exploit.Script.Generic
311:20
09/07/26 01:35:16
>310 続き
【未検出】
antispy2009.net\index.php
cbbugltjud.com\udvvmquz.php
delzzerro.cn\installb.exe
download-filez-now.us\setup.exe
downloadsoftwareserver3.com\gdi32lib.dll
googleclear.com\index.php
googleclear.com\install.exe
scanriteweb.com\scanonline.php
securityscanavailable.com\index.php
Trojan FakeRean\Install.exe
aswqert.cn\file.exe
b18c.cn\bot.exe
domenpoxuj.cn\bot.exe
makefred.cn\b1t.exe
xp-deluxeprotector.com\xp-deluxeprotector.com.htm
>>305 乙でした。
フォルダ名見ると、いくつか同じサイトから同じファイルを落としていると思うのですが、中身が一致しないものが
ありますので、アクセスした人の環境を見てダウンロードさせるファイルを変えているサイトがありそうです。
なお、未検出分はチェック後にKasperskyに提出しますが、私の提出分は
どうもここ数日スルーされてる?っぽいので、他の人も出した方が良いかも...
※ 隔離フォルダから送ったQuarantine Objectですら処理されないところを見ると、
私の提出分はフィルタリングに引っかかってゴミ箱直行になっているかもしれません。
312:名無しさん@お腹いっぱい。
09/07/26 01:57:55
>>303
McAfee (Active Protection 無効)1/3
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
upsfile_nr10128777.e|new detection |bredolab.gen |Trojan |yes
upsnr_881762167.exe |new detection |bredolab.gen |Trojan |yes
313:名無しさん@お腹いっぱい。
09/07/26 02:00:57
>>305
McAfee (Active Protection 無効)35/50
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup.exe |inconclusive | | |no
720.pdf |inconclusive | | |no
b1t.exe |inconclusive | | |no
bot.exe |new detection |generic.dx!bip |Trojan |yes
bot.exe |new detection |generic.dx!bip |Trojan |yes
bot.exe |inconclusive | | |no
file.exe |new detection |generic pws.y!fp |Trojan |yes
file.exe |inconclusive | | |no
gdi32lib.dll |new detection |generic pup.x!x |Application |yes
index.php |inconclusive | | |no
installb.exe |inconclusive | | |no
load.exe |inconclusive | | |no
setup.exe |inconclusive | | |no
xp-deluxeprotector.c|inconclusive | | |no
xpdeluxe.exe |inconclusive | | |no
314:20
09/07/26 02:22:05
>>311
Kaspersky 2009/07/26 1:41:00 更新したら検出可になったもの
aswqert.cn\file.exe - Trojan-Spy.Win32.Zbot.zwx
AVIRAから既知のCLEANファイルであると自動返答があったもの
makefred.cn\b1t.exe
一応、寝る前に判明したので。
315:名無しさん@お腹いっぱい。
09/07/26 02:57:50
カスペからの返事
>>297 (>>296,301,308) tane0473
黒8+1=9/11, 白1、 残1(installb.exe)
136.pdf - Exploit.JS.Pdfka.OG (←HEUR:Exploit.Script.Generic)
305 (tane0475)は暫く見送り
316:名無しさん@お腹いっぱい。
09/07/26 03:33:16
ここまでSymantecとa-squaredとMalwarebytesに提出しました
317:名無しさん@お腹いっぱい。
09/07/26 09:14:59
>>303
>>305
Panda、GDATA(=avast!&BitDefender)、ESETへ提出完了
318:名無しさん@お腹いっぱい。
09/07/26 10:08:08
>>314
ごめん、bit.exeはただのhtmlで無害なものでした。またやっちまった。orz
>>303 >>305
マイナー所を含む各社に提出完了。ZonerとNormanはごめんなさいっ。
319:20
09/07/26 10:45:44
>>311
さて、相変わらずKasperskyから返答無いけど、検出可になるのは進んでいます。
Kaspersky 2009/07/26 9:42:00 残件2個
antispy2009.net\index.php
cbbugltjud.com\udvvmquz.php
●delzzerro.cn\installb.exe - Trojan-Dropper.Win32.Agent.axxg
●download-filez-now.us\setup.exe - Trojan-Downloader.Win32.FraudLoad.wlc
●downloadsoftwareserver3.com\gdi32lib.dll - Trojan-Downloader.Win32.FraudLoad.wlch
●googleclear.com\index.php - Trojan-Downloader.JS.FraudLoad.d
●googleclear.com\install.exe - Trojan-Downloader.Win32.FraudLoad.wlci
●scanriteweb.com\scanonline.php - Trojan-Downloader.JS.FraudLoad.e
●securityscanavailable.com\index.php - Trojan-Downloader.JS.FraudLoad.d
●Trojan FakeRean\Install.exe - Trojan-Downloader.Win32.FraudLoad.fbo
●aswqert.cn\file.exe - Trojan-Spy.Win32.Zbot.zwx
●b18c.cn\bot.exe - Trojan-Spy.Win32.Zbot.zxa
●domenpoxuj.cn\bot.exe - Trojan-Spy.Win32.Zbot.zwz
○makefred.cn\b1t.exe
●xp-deluxeprotector.com\xp-deluxeprotector.com.htm - Trojan.HTML.Fraud.a
>>291 こっちも判定終了
●ecard.exe - Backdoor.Win32.UltimateDefender.xp
320:名無しさん@お腹いっぱい。
09/07/26 11:12:38
カスペ 2010 9:42検出ベース
>>305 ㌧ (>>309-311,314) >>309代理提出㌧ tane0475
29(?)+13=42/44、とりあえず、残2(antispy2009.net\index.php、makefred.cn\b1t.exe)
unknown threat UDS:DangerousObject.Multi.Generic cbbugltjud.com\udvvmquz.php (KNS検知)
Trojan-Dropper.Win32.Agent.axxg \delzzerro.cn\installb.exe
Trojan-Downloader.Win32.FraudLoad.wlch \downloadsoftwareserver3.com\gdi32lib.dll
Trojan program Trojan-Downloader.Win32.FraudLoad.wlcf \download-filez-now.us\setup.exe
Trojan-Downloader.Win32.FraudLoad.wlci \googleclear.com\install.exe
Trojan-Downloader.JS.FraudLoad.d \googleclear.com\index.php
Trojan-Downloader.JS.FraudLoad.e \scanriteweb.com\scanonline.php
Trojan-Downloader.JS.FraudLoad.d \securityscanavailable.com\index.php
Trojan-Downloader.Win32.FraudLoad.fbo \Trojan FakeRean\Install.exe
Trojan-Spy.Win32.Zbot.zwx \Trojan Zbot\aswqert.cn\file.exe (>>314にて報告)
Trojan-Spy.Win32.Zbot.zxa \Trojan Zbot\b18c.cn\bot.exe
Trojan-Spy.Win32.Zbot.zwz \Trojan Zbot\domenpoxuj.cn\bot.exe
Trojan.HTML.Fraud.a xp-deluxeprotector.com\xp-deluxeprotector.com.htm
Trojan program Exploit.JS.Pdfka.og delzzerro.cn\720.pdf (←HEUR:Exploit.Script.Generic)
>>185(>>188,191,221,258,287,290,293) tane0451 (返事)
wwwteamerblogcom \MsAccess.htm_ - Trojan-Downloader.JS.Agent.eia (←HEUR:Exploit.Script.Generic)
321:320
09/07/26 11:19:41
>>319とかぶった。orz
ちなみに、unknown threat UDS:DangerousObject.Multi.Generic は、KIS2010のみ
シグネチャで配信されているのか、DBに速照しているのかはわからない。たぶん前者。
322:20
09/07/26 12:13:07
>>319
珍しくKasperskyから返答。私のメールがフィルタリングに引っかかってるわけじゃないのか...
●antispy2009.net\index.php - Trojan-Downloader.JS.FraudLoad.f
○cbbugltjud.com\udvvmquz.php - No malicious code was found in this file.
ちなみに白判定になった方のファイルのVT
URLリンク(www.virustotal.com) (33/41)
むぅ、釈然としねぇ...VTの結果もつけて送ったのに。 これは、また後でひっくり返しあるかも?(w
とりあえず、>305は黒42+白2でclose.
323:名無しさん@お腹いっぱい。
09/07/26 14:26:25
カスペからの返事
>>305 ㌧ (>>309-311,314,320,322)
44/44でクローズ
Trojan Zbot \ makefred.cn \ b1t.exe_ - Trojan.HTML.Dosser.c,
antispy2009.net \ index.php - Trojan-Downloader.JS.FraudLoad.f
New malicious software was found in these files.
>>322さんのベースと異なり、混乱するので、当方ベースのみで計算
>>322
スクリプトは、ダウンロードされる実行ファイルが検知されるといいと思われ。
324:323
09/07/26 14:56:49
カスペからの返事
>>305 ㌧ (>>309-311,314,320,322,323)
43/44,白1でクローズ。
udvvmquz.php - No malicious code was found in this file. (←KSN検知)
KSN検知はまだ黒確定ではないようだ。
(^ω^;)
325:名無しさん@お腹いっぱい。
09/07/26 18:48:56
このごろGoogleとかでバナー張ってあって怪しいなぁと思っているのだが、
Registry Winnerというレジストリクリーナーらしきもの
怪しいのでAvast!(AlwilSoftware社)に提出済み
URLリンク(tane.sakuratan.com)
DL・解凍 どちらもvirus
326:名無しさん@お腹いっぱい。
09/07/26 19:29:59
>>325
Avira、Syamntec、Panda、TrendMicro、GDATA(今回はBitDefenderのみ)、ESET、Kasperskyへ提出完了
327:20
09/07/26 21:53:45
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】
ecard.exe
URLリンク(www.virustotal.com) (23/41)
今日来た分。ecard、日替わりだねぇ...
AVIRA 7.01.05.28 - TR/Hijacker.Gen
Kaspersky 2009/07/26 18:30:00 - Trojan-Downloader.Win32.Agent.byc
どちらも検出可なので、提出無し。
328:名無しさん@お腹いっぱい。
09/07/26 23:52:48
カスペからの亀返事
>>202(>>209,216,218) tane0455
2+事後3=5/10、残5
xyachuch.swf - Exploit.SWF.Downloader.nx
New malicious software was found in this file.
追加検知 19:39
Trojan program Exploit.Win32.Pidief.bei thetests.net\e50i.pdf
virus Worm.Win32.Bezopi.a bezopbizn.ru\getexe.exe
残ファイルについては、フォロー
>>325 ㌧、>>326代理提出㌧。提出見合わせ。現在、0/1
>>327㌧、報告㌧ 1/1でクローズ。
329:名無しさん@お腹いっぱい。
09/07/27 00:23:34
>>325
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
registrywinner_setup|inconclusive | | |no
>>327
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
ecard.exe |inconclusive | | |no
330:328
09/07/27 00:54:22
カスペからの返事
>>202(>>209,216,218.328) tane0455
2+5=7/10, 残3 (index.htm,index.php2つ)
(bezopbizn.ru\)pdf.pdf - Exploit.Win32.Pidief.bfq
New malicious software was found in this file.
Trojan.Win32.VB.sru thetests.net\file.exe (検知)
まとめ直し
Trojan.HTML.IFrame.ao - \ferarilatka.cn\index.php
Trojan program Exploit.Win32.Pidief.bej - \ ferarilatka.cn\koxyebuth.pdf
Exploit.SWF.Downloader.nx - \ ferarilatka.cn\xyachuch.swf
Exploit.Win32.Pidief.bei - \thetests.net\e50i.pdf
Trojan.Win32.VB.sru - \thetests.net\file.exe
virus Worm.Win32.Bezopi.a - \bezopbizn.ru\getexe.exe
pdf.pdf - bezopbizn.ru\Exploit.Win32.Pidief.bfq
331:名無しさん@お腹いっぱい。
09/07/27 04:09:19
URLリンク(tane.sakuratan.com)
infected
■ 検体入手元
MalwareURL.com 7/25分から+α
■ 提出済みのところ
各社一通り(ZonerとNormanを除く)
332:名無しさん@お腹いっぱい。
09/07/27 10:26:25
カスペ2010 5:08
>>331㌧ 提出㌧ tane0479
14(うちHEUR2)/43 残29 (´・ω・`)ショボーン
virus not-a-virus:FraudTool.Win32.AntivirusPlus.kv /209.44.126.36/installer_1.exe /209.44.126.36/installer_70106.exe /bazyrpe.cn/installer_1.exe (3files)
virus HEUR:Trojan.Win32.Invader /BBS spam/ro.zip/ro.exe /mixi spam/20090716*.zip/20090716mnwmhxzb.exe (2files)
Trojan-Downloader.Win32.CodecPack.jlx /cool-exe*/crack.45000.exe
Trojan-Downloader.HTML.FraudLoad.b /lendshaft.info/lendshaft.info(1).htm
Trojan-Downloader.JS.FraudLoad.d /scanworldwid*/index.php
Trojan-Downloader.JS.FraudLoad.e /scanworldwide*/scanonline.php
Trojan-Downloader.Win32.FraudLoad.fbs /systemsecurity*/AVCare_Setup_Free_en.exe
Trojan-Downloader.Win32.CodecPack.jly /thegrouttube.com/onlinemovies.40000.exe
virus not-a-virus:FraudTool.Win32.WinSpywareProtect.adj /thehotporntub*/pornmovie492.exe
Trojan-Downloader.JS.FraudLoad.d /thesecureyourpc.com/index.php
Trojan.Win32.Agent.bhcf /zhang.nu/AdobeFlashPlayer.10.37.exe
カスペからの返事
>>202(>>209,216,218.328,330) tane0455
2+事後7=9/10、白1で閉
bezopbizn.ru \ index.php - Trojan.JS.Agent.akm
thetests.net \ index.php - Trojan.JS.Agent.akm
thetests.net \\ index.htm - No malicious code was found in this file.
333:名無しさん@お腹いっぱい。
09/07/27 12:24:17
カスペ 10:39
>>331 (>>332) tane0479
14+5=19/43
Trojan-GameThief.Win32.OnLineGames.vifu /BBS spam/ro.exe (←HEUR:Trojan.Win32.Invader)
Trojan program Trojan-GameThief.Win32.OnLineGames.vifv /mixi spam/20090716mnwmhxzb.exe (←HEUR:Trojan.Win32.Invader)
Trojan-Downloader.Win32.FraudLoad.wlte /gusoft.us/install.exe
Trojan-Downloader.JS.FraudLoad.d /scanworldwideweb.com/index.php
Trojan-Downloader.Win32.FraudLoad.wlte /thesecureyourpc.com/install.exe
カスペからの返事
strelyk.info \ install.exe_ - Trojan.Win32.FraudPack.psp
dl.9sv.cn \ InternetAntivirusPro.exe - not-a-virus:FraudTool.Win32.InternetAntivirusPro.ae
New malicious software was found in this file.
334:333
09/07/27 15:51:45
カスペ2010 14:34 と 返答状況
>>331 (>>332,333) tane0479
14+7=21/43、白1, 残21
in5id.com \ file.exe - Trojan-Spy.Win32.TDSS.cp (返事)
thesecureyourpc.com \ install.exe - Trojan-Downloader.Win32.FraudLoad.wlte (検知)
dl.9sv.cn \ MySpeed_Onlineinstaller_wz_1003.exe - No malicious code was found in this file.(返事)
335:20
09/07/27 22:06:31
>>331 乙です。
提出して頂いているようなので、検出数だけ。
AVIRA 7.01.05.32で、黒 23/43,未検出 20です。
336:333
09/07/27 22:06:34
カスペ2010 21:28 & 返答状況
>>331 (>>332-334) tane0479
14+(7+2)=23/43, 白5、残15
in5id.com\InternetAntivirusPro.exe - not-a-virus:FraudTool.Win32.InternetAntivirusPro.ae (検知)
lendshaft.info\install.exe - Trojan.Win32.FraudPack.psp (検知)
209.216.193.99\AdwarePro_Setup.exe - No malicious code was found in this file. (返答)
lendshaft.info\ destrub.js_, lendshaft.htm_, script_en.js_ - No malicious code were found in these files. (返答)
337:20
09/07/27 22:40:24
>>294,305
ttp://delzzerro■cn/pic/uzp.php
ここ、ちょっとヤバイですね。配布するマルウェアが、ころころ新種に入れ替わってます。 どうりで>294と>305でファイルが違うわけだ...
しかも、gumblarの時と同じく、アクセス制限がある臭い。時間をおかずに再アクセスすると、無視されます。
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 2009/7/27 22:15(JST)頃に確保したもの
installb.exe - URLリンク(www.virustotal.com) (8/36)
AVIRAもKasperskyもスルー,提出済みです。
338:名無しさん@お腹いっぱい。
09/07/27 22:44:46
>>337
Panda、GDATA(=avast!&BitDefender)、TrendMicro、ESETへ提出完了
339:325
09/07/27 23:09:38
325ですが、他のベンダーへの提出、ご苦労様でした。
それとこれからの注意なのですが、Aviraに直接メールで提出すると返事は返ってくるものの、対応されない場合がありますので、その点気をつけてください。
私のとこだけかもしれないのですがー応、Webからの堤出のほうが確実かと思われます。
340:20
09/07/27 23:35:19
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】
ecard.exe
URLリンク(www.virustotal.com) (17/41)
日替わりecard。今日はzbotだった。
341:名無しさん@お腹いっぱい。
09/07/27 23:47:45
>>337
Panda検出確認
URLリンク(www.virustotal.com)
342:名無しさん@お腹いっぱい。
09/07/27 23:56:57
>>340
GDATA2010(今回はBitDefender)へ提出完了
343:名無しさん@お腹いっぱい。
09/07/28 00:34:38
>>337
AVG、Comodoに提出しました
344:名無しさん@お腹いっぱい。
09/07/28 10:37:55
カスペ2010 9:19
>>340 ㌧ tane0481 1/1で閉鎖
Trojan-Spy.Win32.Zbot.gen tane0481.zip/ecard.exe
あとは他検体含め状況変化なしです。
345:名無しさん@お腹いっぱい。
09/07/28 14:57:09
カスペ2010
>>297 (>>296,301,308,315) tane0473
黒8+事後2=10/11,白1でclose
Trojan-Downloader.Win32.Agent.ckkz tane0473\delzzerro.cn\installb.exe (検知)
At the moment this file is detected. Please update your antivirus bases.
同名のinstallb.exe>305は、>>320で追加検知。>>337はスルー。
↓アンカーミス訂正。すまぬ。
>>202(>>209,216,218,328,330) tane0455
2+事後7=9/10、白1で閉
346:名無しさん@お腹いっぱい。
09/07/28 17:11:40
カスペからの返事
>>337㌧tane0480
0+事後検知1=1/1で閉鎖
installb.exe - Trojan-Downloader.Win32.FraudLoad.fce
New malicious software was found in the attached file.
347:名無しさん@お腹いっぱい。
09/07/28 20:18:12
再開
セキュリティに関するニュースを淡々と伝えるスレ5
スレリンク(sec板)
348:名無しさん@お腹いっぱい。
09/07/29 02:41:10
カスペからの返事
>>331 (>>332-334,336) tane0479
14+(9+3)=26/44、白6、残11
64.86.16.7_64.213.140.71 \ Setup_build8_102.exe_ - not-a-virus:FraudTool.Win32.WinSecSuite.b
scanworldwideweb.com \ scan.php - Trojan-Downloader.JS.Agent.eie,
thegrouttube.com \ xplay.php - Trojan-Downloader.HTML.Agent.pq
New malicious software was found in these files.
64.86.16.7_64.213.140.71 \ sheltercloud.cn.htm_ - No malicious code was found in this file.
349:名無しさん@お腹いっぱい。
09/07/29 10:26:41
カスペ2010 9:43
>>331 (>>332-334,336,348) tane0479
14+(12+1)=27/43、白6、残10
virus not-a-virus:FraudTool.Win32.WinSecSuite.b searchallinfo.net\Setup_build8_102.exe (検出)
>>348と同一検体名だった。
350:名無しさん@お腹いっぱい。
09/07/29 17:26:09
URLリンク(tane.sakuratan.com)
infected
■検体入手元
MalwareURL.comの7/27分とMDLの7/28分より
■提出済みのところ
AntiVirとAntiyLabsにはFTP経由で提出済み。他は送ってません。
351:名無しさん@お腹いっぱい。
09/07/29 19:08:18
>>350
McAfee (Active Protection 無効)18/151
未検出分をMcAfeeに提出させて頂きました。
352:名無しさん@お腹いっぱい。
09/07/29 19:14:38
>>350㌧ tane0482
カスペ2010 18:04
122/151(HEURなし)、スルー29
Backdoor.Win32.HareBot.ho 2348*.cn\load.exe
Trojan-Downloader.Win32.FraudLoad.wmhc 3uxyc*cn\setup.exe
Trojan-Spy.Win32.Zbot.zse 4sx2.cn\fservice.exe
Trojan-Spy.Win32.Zbot.zsg 4sx2.cn\sservice.exe
Trojan-Downloader.JS.FraudLoad.d allow*.com\index(1).php、 \index.php (2 files)
Trojan-Downloader.Win32.FraudLoad.eos behiswa.cn\befynru.cn.htm、 \behiswa.cn.htm (2 files)
virus not-a-virus:FraudTool.Win32.AntivirusPlus.kv behiswa.cn\installer_70106.exe
Trojan-Dropper.Win32.Agent.aygg cxim*.cn\load.exe
Trojan-Spy.Win32.Zbot.yst drive*.cn\bot.exe
Trojan-Downloader.Win32.FraudLoad.eyw Fake Anti*\Install.exe
virus not-a-virus:FraudTool.Win32.AntivirusPlus.kv FakePlus\installer_1.exe
Trojan-Downloader.Win32.FraudLoad.fck hot-exe*.com\onlinemovies.[40000-40018, 40020-40100].exe (100 files)
Trojan-Downloader.Win32.Small.jvl hot-exe*.com\onlinemovies.40019.exe
Trojan.Win32.FraudPack.pth myair*.cn\Setup_build6_102.exe
Trojan-Spy.Win32.Zbot.gen nupo*com.cn\bot.exe
Trojan-Downloader.Win32.Injecter.dgo redbool.cn\load.exe
Exploit.Win32.AdobeReader.p redbool.cn\pdf.pdf
Trojan.Win32.FraudPack.pth securitysun.cn\Setup_build6_158.exe、 Setup_build6_27.exe、 Setup_build8_102.exe (3 files)
Backdoor.Win32.Bredolab.ca varrugilanto-2.com\load.exe
検体提出します。
353:名無しさん@お腹いっぱい。
09/07/29 19:33:26
カスペ18:04
>>350(>>352) tane0482
記載漏れ 127/151,残24
Trojan-Downloader.Win32.Murlo.bnu \4sx2.cn\msinms.exe
Backdoor.IRC.Zapchast.j等 \IRC backdoor\postcard.exe
virus HEUR:Trojan.Win32.Generic \122.70.145.140\file.exe
virus HEUR:Exploit.Script.Generic \cxim*.cn\readme.pdf
virus HEUR:Trojan-Downloader.Script.Generic \redbool.cn\index.php
354:名無しさん@お腹いっぱい。
09/07/29 21:08:00
>>350さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました
7月は、今世紀最大規模の攻撃が進行してるよね
355:名無しさん@お腹いっぱい。
09/07/29 21:38:17
カスペ20:37
>>350(>>352,353) tane0482
記載漏れ 127+4=131/151,残20
Trojan-Downloader.JS.Iframe.bmk \freshsummer.ru\frtuyelo.html (検知)
Trojan-Downloader.JS.Iframe.bmk \freshsummer.ru\sunshine.html (検知)
Trojan.Win32.FraudPack.ptp - \download.sttcounter.cn\install.exe (返答)
Trojan-Downloader.Win32.FraudLoad.fco - \scanworldwideweb.com\install.exe (返答)
>>264 0/1、白1で閉鎖 tane0467
juicyaccess_installer.exe - No malicious code was found in this file.
356:名無しさん@お腹いっぱい。
09/07/29 21:39:28
>7月は、今世紀最大規模の攻撃が進行してるよね
根拠のない的外れな発言は、セキュリティ板には不要です。
357:名無しさん@お腹いっぱい。
09/07/29 21:41:30
URLリンク(tane.sakuratan.com)
infected
初心者質問スレにあった FakeCodec
CodecWMV-3.5.exe(5/41)
URLリンク(www.virustotal.com)
358:八頭 ◆YAGApwSaEw
09/07/29 21:44:36
>>356
鈍感だな
RBB TODAY
2009年は過去最高、上半期だけで66万の新種マルウェアが発生 ~G Data調べ 2009/7/28
URLリンク(www.rbbtoday.com)
ウィルス対策ニュース・ドットネット
AV-Testによるウィルス検出率ランキングが発表 2009/7/29
URLリンク(antivirus-news.net)
Certified Definitions - Detections Added Symantec Corp.
Detections modified for this release (518):
URLリンク(www.symantec.com)
359:八頭 ◆YAGApwSaEw
09/07/29 21:50:02
>>356
VirusTotal - Free Online Virus and Malware Scan - Statistics
URLリンク(www.virustotal.com)
360:名無しさん@お腹いっぱい。
09/07/29 22:34:28
>>359
一応日本語ページな
VirusTotal - 無料オンライン ウイルス/マルウェア スキャン - 統計
URLリンク(www.virustotal.com)
361:名無しさん@お腹いっぱい。
09/07/29 23:45:46
>>358
毎年増えてんのに何言ってんだっつーことだろ。
slammerやblasterやsasserほどの攻撃は無い。
362:名無しさん@お腹いっぱい。
09/07/29 23:59:21
カスペからの返事
>>350(>>352,353,355) tane0482
127+(4+2)=133/151,残18
hardwarefactories.cn \ Install-fdbd_02013-1.exe - Trojan.Win32.FraudPack.pts,
hardwarefactories.cn \ personalsafescanner.com.htm - Trojan-Downloader.JS.Agent.eig
redbool.cn \index.php - Trojan-Downloader.JS.Agent.eif
New malicious software was found in these files.
>>357
スルー 検体提出しました。
ただ、
2009/07/29 22:59:44 Detected virus Email-Worm.Win32.Bagle.gen tane0483.zip
363:八頭 ◆YAGApwSaEw
09/07/29 23:59:26
URLリンク(a.imagehost.org)
アホかw
364:名無しさん@お腹いっぱい。
09/07/30 00:17:04
>>350
Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出完了
>>357
Symantec、GDATA2010(=avast!&BitDefender)、ESETへ提出完了
365:名無しさん@お腹いっぱい。
09/07/30 00:34:37
八頭はここ出入禁止にした方がいいんじゃないか?
366:名無しさん@お腹いっぱい。
09/07/30 00:42:54
1位のG Dataと7位のKasperskyを比べると、検出率は2%異なるわけだが、検出数で言うと、
約2万件のウイルスが検出できないということになるからだ。
なお、全体的には、最近の傾向としては検出率があがっている。こういった各社の取り組みは、ユーザーとしては歓迎だ。
AV-TESTによるウイルス検出率テスト
(2009年7月24日実施、検体数801,117)
順位 プログラム 検出数 検出率
#1 G Data 800,772 99.96%
#2 McAfee 799,405 99.79%
#3 Symantec 798,440 99.67%
#4 F-Secure 792,913 98.98%
#5 Trend Micro 789,436 98.54%
#6 Microsoft 785,059 98.00%
#7 Kaspersky 782,799 97.71%
#8 Eset Nod32 782,023 97.62%
#9 K7 Computing 711,529 88.82%
#10 Rising 581,847 72.63%
367:名無しさん@お腹いっぱい。
09/07/30 01:38:13
カスペからの返事
>>350(>>352,353,355,362) tane0482
127+(4+2)=133/151, 白3, 残15
config.bin - No malicious code were found in these files.
(3ファイルあったかと思ったが、二つは同一ファイル。両方白判定)
>>357 tane0483
0+事後検知1=1/1
CodecWMV-3.5.exe - Trojan.Win32.Buzus.bqvc
New malicious software was found in this file.
>>238(>>282) tane0462
6+1=7/8, 残1(GVmp.htm)
Trojan_174.133.73.90 \ ms.bin - Trojan.Win32.Agent.csfy
寝る
368:名無しさん@お腹いっぱい。
09/07/30 10:44:04
カスペ 検知状況 10:04
>>350(>>352,353,355,362,367) tane0482
127+(6+2)=135/151, 白3, 残13
Trojan-Downloader.JS.Iframe.bms \sujetline.ru\sceneric.html
Trojan.Win32.FraudPack.pth \trustshields.cn\Setup_build8_102.exe
369:328
09/07/30 16:18:38
>>325(326,28) tane0477
0/1、白1で閉鎖
RegistryWinner_Setup.exe - No malicious code was found in this file.
見慌ていたけれど、投げてみた。
VTでも検出しているベンダーがないね。
370:名無しさん@お腹いっぱい。
09/07/31 11:42:54
カスペ10:34 検知状況
>>350(>>352,353,355,362,367,368) tane0482
127+(8+3)=138、白3、残10
Trojan-Banker.Win32.Banker.alif \196.15.183.180\Atualizacao_Seguranca_BB.scr
Trojan-Downloader.JS.Iframe.bmu \varrugilanto-2.com\index.php
Exploit.Win32.Pidief.bfy \varrugilanto-2.com\pageDe.pdf
一応、未回答のものをフォローしてみようかな。
>>369
カスペの結果です。
371:名無しさん@お腹いっぱい。
09/07/31 19:03:32
>>357
29(水) にMcAfeeに送ったのですがAVERTからの自動受信確認メールが送られてきません
30(木)再度McAfeeに送ったのですがAVERTからの自動受信確認メールが送られてきません
2009.07.31 09:59:46 (UTC)時点の対応状況
URLリンク(www.virustotal.com)
372:名無しさん@お腹いっぱい。
09/07/31 19:17:50
カスペからの返事
>>350(>>352,353,355,362,367,368,370) tane0482
127+(11+1)=138/151、白3, 残12
cxim-way.cnフォルダ
flash.swf - Exploit.SWF.Agent.bv,
readme.pdf_ - Exploit.Win32.Pidief.bgd (←HEUR:Exploit.Script.Generic)
New malicious software was found in these files.
373:名無しさん@お腹いっぱい。
09/07/31 23:32:58
カスペからの返事
>>350(>>352,353,355,362,367,368,370,372) tane0482
127+12=139/151、白3+3=6, 残6
trustshields.cn \ 22a9b22.....js,
trustshields.cn \ VodCjaWFgaJZsm...htm,
suppliestubes.com \ xplay.php
No malicious code were found in these files.
他社検出状況から、実質的にほぼクローズかな
374:名無しさん@お腹いっぱい。
09/08/02 13:51:36
カスペからの返事
>>350(>>352,353,355,362,367,368,370,372,373) tane0482
127+(12+1)1=140/151、白6+4=10, 残1
systemsecuritycenter.comフォルダ
config.js_, flist.js_, jquery-init.js_, jquery.js_ - No malicious code were found in these files.
systemsecuritycenter.com.htm_ - Trojan.JS.Fraud.b
New malicious software was found in this file.
375:20
09/08/02 23:49:28
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 11個,MDL 2009/07/29-30日分で、RFIを除いて確保できた分(重複除く)
210.208.59.24
Correcoes_bb.scr - URLリンク(www.virustotal.com) (13/41)
cbbugltjud.com
iejwn.exe - URLリンク(www.virustotal.com) (12/41)
esli.tw
pdf.pdf - URLリンク(www.virustotal.com) (11/14)
homeav2010.com
Installer2.exe - URLリンク(www.virustotal.com) (18/40)
software-updatesv6.com
Driver.exe - URLリンク(www.virustotal.com) (2/41)
wertabulionsedaf.com
Installer.exe - URLリンク(www.virustotal.com) (18/40)
zenitchampion.cn
302.pdf - URLリンク(www.virustotal.com) (12/41)
vop.png - URLリンク(www.virustotal.com) (6/41)
uzp.exe - URLリンク(www.virustotal.com) (7/41)
5c30eea3-1c1a49d1 - URLリンク(www.virustotal.com) (1/41)
222f7497-40dc7512 - URLリンク(www.virustotal.com) (1/40)
最後の2個は、MDLのメモだと、JAVAの脆弱性攻撃らしい。(JAVA Scriptではなく)
376:20
09/08/02 23:55:55
>>375
AVIRA 7.01.05.57 黒7/11,未検出分 提出済み
【検出】
210.208.59.24
Correcoes_bb.scr - TR/Crypt.XPACK.Gen
cbbugltjud.com
iejwn.exe - TR/Drago.11264
esli.tw
pdf.pdf - HTML/Malicious.PDF.Gen
homeav2010.com
Installer2.exe - TR/Dldr.FraudLo.sxm
wertabulionsedaf.com
Installer.exe - TR/Dldr.FraudLo.sxm
zenitchampion.cn
302.pdf - HTML/Malicious.PDF
vop.png - HTML/Silly.Gen
【未検出】
software-updatesv6.com
Driver.exe -
zenitchampion.cn
uzp.exe -
5c30eea3-1c1a49d1 -
222f7497-40dc7512 -
377:名無しさん@お腹いっぱい。
09/08/02 23:57:16
>>375
Symantec、Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出完了
378:20
09/08/03 00:08:48
>>375
Kaspersky2009 2009/08/02 22:34:00 黒 0,HEUR 2,全部提出。
【HEUR】
zenitchampion.cn
302.pdf - HEUR:Exploit.Script.Generic
vop.png - HEUR:Exploit.Script.Generic
【未検出】
210.208.59.24
Correcoes_bb.scr -
cbbugltjud.com
iejwn.exe -
esli.tw
pdf.pdf -
homeav2010.com
Installer2.exe -
software-updatesv6.com
Driver.exe -
wertabulionsedaf.com
Installer.exe -
zenitchampion.cn
uzp.exe -
5c30eea3-1c1a49d1 -
222f7497-40dc7512 -
Kasperskyは、私の提出分は、最近はほとんどが無視されるので、できれば他の人も出して下さい。m(_ _)m
# たまに反応あるんだけど、ほとんどの提出に対して返答も無いし、提出後2~3日してもデータベースに反映されない...orz
379:377
09/08/03 00:10:59
>>378
Kasperskyへの代理提出しときましたよ
380:20
09/08/03 00:27:59
>>379
ありがトン。 私も出したけど、私が送った分は、何故か対応が望み薄なんで。
# Kasperskyの方で何かフィルタリングされてるとしか思えねぇ...(苦笑
381:20
09/08/03 00:46:54
>>375
>最後の2個は、MDLのメモだと、JAVAの脆弱性攻撃らしい。(JAVA Scriptではなく)
VT見て気がついたんだけど、>375の最後の2個、MACの方のヤツっぽい。(≠Windows?)
> TrID : File type identification
> Java Bytecode (60.0%)
> Mac OS X Universal Binary executable (40.0%)
だとすると、MACの製品出してないベンダーは、白判定するかもしれません。(というか、その可能性 大かと...)
382:名無しさん@お腹いっぱい。
09/08/03 01:42:27
ここまでSymantecとa-squaredとMalwarebytesに提出しました
383:名無しさん@お腹いっぱい。
09/08/03 01:54:03
URLリンク(welcomepasosure.hp.infoseek.co.jp)
384:名無しさん@お腹いっぱい。
09/08/03 01:56:07
>>2・提出した際は必ずその旨記載してね。
が守られていないと思う。
カスペは多重提出していう人がいそう。黙って送って、返事も書かないいない人がいそう。
現行システムでは、仮に10人が送ったら、1人にしか返事がいかないからね。
>>2・提出した際は必ずその旨記載してね。
の遵守はお願いしたい。
385:384
09/08/03 01:59:18
>>383
アップローダによろ。
>>384
× カスペは多重提出していう人がいそう。黙って送って、返事も書かないいない人がいそう。
○ カスペは多重提出している人が多そう。このスレに書かずに黙ってKLに送って、検出結果も書かない人がいそう。
タイプミス。寝る。w
386:名無しさん@お腹いっぱい。
09/08/03 06:02:10
>>357
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
codecwmv-3.5.exe |inconclusive | | |no
>>375
McAfee (Active Protection 無効)1/11
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
222f7497-40dc7512 |inconclusive | | |no
302.pdf |inconclusive | | |no
5c30eea3-1c1a49d1 |inconclusive | | |no
correcoes_bb.scr |inconclusive | | |no
driver.exe |inconclusive | | |no
iejwn.exe |inconclusive | | |no
install.exe |inconclusive | | |no
installer2.exe |inconclusive | | |no
uzp.exe |inconclusive | | |no
vop.png |inconclusive | | |no
387:名無しさん@お腹いっぱい。
09/08/03 09:43:38
>>383
殆どのベンダーは検出してるけどジョークプログラムか・・・・
URLリンク(www.virustotal.com)
388:名無しさん@お腹いっぱい。
09/08/03 15:11:15
>>387
Not found !
>>383
URLリンク(www.virustotal.com)
389:名無しさん@お腹いっぱい。
09/08/03 16:52:08
>>385
URLリンク(tane.sakuratan.com)
infected
URLリンク(www.virustotal.com)
>>388
現在の状態: 発見せず
390:名無しさん@お腹いっぱい。
09/08/03 21:23:36
ジョークソフトなのか
どうでも良さそうだが
391:20
09/08/03 21:25:32
>>376
AVIRA返答 黒+2,あと2個は、まだ解析中
zenitchampion.cn
●uzp.exe - TR/Drop.Preald.A.28
●222f7497-40dc7512 - EXP.Gornial.5229
MacのExploitっぽいの、やっぱり普段あんまり見ない検出名ですね。
392:20
09/08/03 21:35:43
>>378
Kaspersky返答来た。黒 7,白 3,破損 1でclose.
210.208.59.24
●Correcoes_bb.scr - Trojan-Banker.Win32.Banbra.mrt
cbbugltjud.com
●iejwn.exe - Trojan.Win32.Agent.cssx
esli.tw
●pdf.pdf - Exploit.Win32.Pidief.bgr
homeav2010.com
●Installer2.exe - Trojan-Downloader.Win32.FraudLoad.fdl
software-updatesv6.com
△Driver.exe - ファイルが壊れている。
wertabulionsedaf.com
●Installer.exe - Trojan-Downloader.Win32.FraudLoad.fdl
zenitchampion.cn
●302.pdf - Exploit.JS.Pdfka.pg (HEUR:Exploit.Script.Generic)
○vop.png - 白(HEUR:Exploit.Script.Generic)
●uzp.exe - Trojan-Dropper.Win32.Preald.a
○5c30eea3-1c1a49d1 - 白
○222f7497-40dc7512 - 白
Kasperskyは、最後の2個は白判定。
393:20
09/08/06 23:16:14
>>391
書き込み遅れたけど、AVIRA返答。
software-updatesv6.com
△Driver.exe - ファイルが壊れている。
zenitchampion.cn
●5c30eea3-1c1a49d1 - TR/Agent.5234
AVIRAは最後の2個、黒でした。
394:20
09/08/06 23:25:58
>>375
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 Driver.exeを再度Download ・・・>375の、ダウンロード失敗だった模様。ゴメンナサイ
Driver.exe
URLリンク(www.virustotal.com) (10/41)
NetFilter.exe - Driver.exeの中に含まれるMalware
URLリンク(www.virustotal.com) (8/41)
AVIRA 7.01.05.79 黒2/2
●Driver.exe - TR/Drop.Liften.AC
●NetFilter.exe - TR/Liften.A.2
Kasperskyは出したら白判定の返答...orz 誰か再提出した方が良いかも。
395:名無しさん@お腹いっぱい。
09/08/06 23:35:14
>>394
Symantec、GDATA2010(=avast!&BitDefender)、ESET、TrendMicroへ提出
>>394
Kasperskyにも提出しときましたよ
396:395
09/08/07 01:24:51
>>394
Kasperskyから返事が来たけど私側でも白判定のようです・・・
Driver.exe,
NetFilter.exe
No malicious code were found in these files.
397:20
09/08/10 00:38:08
>>375
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 26個。MalwareDomainListの2009/08/03分とその他少し。新旧ごちゃ混ぜで検出35/41以上のも入ってますから注意。
122.70.145.140
files.exe - URLリンク(www.virustotal.com) (33/41)
130.209.233.202
Copycard.gif.exe - URLリンク(www.virustotal.com) (35/39)
202.62.224.16
wmkl.exe - URLリンク(www.virustotal.com) (19/41)
212.117.174.14
installnew6.exe - URLリンク(www.virustotal.com) (30/41)
racing.exe - URLリンク(www.virustotal.com) (35/41)
4sx2.cn
install.exe - URLリンク(www.virustotal.com) (36/41)
800810down.cn
winshou.exe - URLリンク(www.virustotal.com) (35/41)
winwps.exe - URLリンク(www.virustotal.com) (34/41)
winyy.exe - URLリンク(www.virustotal.com) (32/41)
b35.info
logo.jpg - URLリンク(www.virustotal.com) (9/37)
logo.pdf - URLリンク(www.virustotal.com) (20/41)
who.exe - URLリンク(www.virustotal.com) (32/35)
398:20
09/08/10 00:39:09
>>397 続き
bt9.5qzone.net
030.exe - URLリンク(www.virustotal.com) (38/41)
1313.exe - URLリンク(www.virustotal.com) (27/41)
468534.exe - URLリンク(www.virustotal.com) (34/41)
ccmguyldmn.com
mvfstk.exe - URLリンク(www.virustotal.com) (32/41)
collabraware.com
DSC_9525.exe - URLリンク(www.virustotal.com) (2/41)
core2623.racingmoney-0110.com
PC_protect.exe - URLリンク(www.virustotal.com) (24/40)
cyswlj.b121.53dns.com
winlogon.exe - URLリンク(www.virustotal.com) (6/41)
down1.36936.net
setup1008.ocx - URLリンク(www.virustotal.com) (15/41)
sa3sa.com
a7beek.swf.exe - URLリンク(www.virustotal.com) (18/41)
securedbizcenter1.cn
file.exe - URLリンク(www.virustotal.com) (23/40)
399:名無しさん@お腹いっぱい。
09/08/10 00:45:14
>>397さん乙
Symantecとa-squaredとMalwarebytesに提出しました
400:20
09/08/10 00:46:11
>>398 続き
seriall.com
Virut_CE-1.exe - URLリンク(www.virustotal.com) (29/41)
Virut_CE-2.exe - URLリンク(www.virustotal.com) (31/41)
Virut_CE-3.exe - URLリンク(www.virustotal.com) (17/41)
x.52av.biz
1.exe - URLリンク(www.virustotal.com) (37/41)
>397が>395へのレスになっているのは消し忘れです。キニシナイデクダサイ
AVIRA9 7.01.05.85 (黒 24+HEUR 2+未検出 0)/26,HEUR 提出済み。
【HEUR】
collabraware.com
DSC_9525.exe - HEUR/Malware
cyswlj.b121.53dns.com
winlogon.exe - HEUR/Malware
数が多いので、黒の分は書きません。m(_ _)m
401:20
09/08/10 00:47:32
>>395-396
ありがトン。 しばらくして、VTでの検出数が多くなったら、再提出してみます。
402:20
09/08/10 01:09:09
>>397
Kaspersky2009 - 2009/08/09 23:52:00 (黒 20+未検出 6)/26,未検出分 提出済。
【未検出】
b35.info
logo.jpg -
ccmguyldmn.com
mvfstk.exe -
collabraware.com
DSC_9525.exe -
cyswlj.b121.53dns.com
winlogon.exe -
down1.36936.net
setup1008.ocx -
seriall.com
Virut_CE-3.exe -
403:325
09/08/10 08:03:16
>>397
McAfeeに検出できない4ファイルを提出
Logo.jpg
DSC_9525.exe
Virut_CE-1.exe
Virus_CE-2.exe
AVERT自動送信
Current DAT Version:5704.0000
Thank you for your submission.
Analysis ID: 5452750
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dsc_9525.exe |inconclusive | | |no
logo.jpg |inconclusive | | |no
virut_ce-1.exe |inconclusive | | |no
virut_ce-2.exe |inconclusive | | |no
inconclusive [dsc_9525.exe logo.jpg virut_ce-1.exe virut_ce-2.exe]
Upon analysis the file submitted does not appear to contain one of the 200,000 known
threats in the AutoImmune database. The file may contain a new threat, or no code
capable of being infected. Your submission is being forwarded to an Avert Labs
Researcher for further analysis. You will be contacted by AVERT through e-mail with
the results of that analysis.
404:名無しさん@お腹いっぱい。
09/08/10 22:53:31
URLリンク(tane.sakuratan.com)
virus
FF11のフィッシングサイトから取得。
405:名無しさん@お腹いっぱい。
09/08/10 23:01:37
>>404
Symantec、Panda、GDATA2010(=avast!&BitDefender)、ESET、Kasperskyへ提出完了
Aviraは検出するので提出しません
406:名無しさん@お腹いっぱい。
09/08/11 00:18:25
>>404
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dropper1.exe |inconclusive | | |no
flasha32.dll |inconclusive | | |no
407:20
09/08/11 07:28:15
>>401
何か、突然 Driver.exeと NetFilter.exeを HEUR:Trojan.Win32.Generic として検出するようになったので、
Kasperskyに隔離ファイルとして再送してみました。 黒に再判定となるかな...?
>>402
seriall.com
●Virut_CE-3.exe - Trojan.Win32.Inject.ahny
返答無いけど検出可になりました。
408:名無しさん@お腹いっぱい。
09/08/11 12:51:46
HEUR:Trojan.Win32.GenericとHEUR:Trojan.Win32.Invader検出は最近普通に多い。
URLリンク(www.kaspersky-sea.com)
URLリンク(www.kaspersky-sea.com)
409:名無しさん@お腹いっぱい。
09/08/11 15:27:47
カスペ2010 13:39
>>394㌧(>>395,396,401,407㌧) 2/2 tane0487
virus HEUR:Trojan.Win32.Generic \tane0487\NetFilter.exe
virus HEUR:Trojan.Win32.Generic \tane0487\Driver.exe//NetFilter.exe
>>404㌧ (>>405㌧) tane0489 2/2でクローズ
Trojan-Spy.Win32.BHO.ca tane0489\dropper1.exe
Trojan-Spy.Win32.BHO.ca tane0489\flasha32.dll
410:名無しさん@お腹いっぱい。
09/08/11 15:55:32
カスペ
>>397㌧(>>398,401㌧) tane0488
20+1=21/26
Trojan-Spy.Win32.Zbot.zzg /122.70.145.140/file.exe
Backdoor.IRC.Zapchast.zwrc /130.209.233.202/Copycard.gif.exe
Trojan.Win32.Delf.nzp /202.62.224.16/wmkl.exe
Packed.Win32.Krap.r /212.117.174.14/installnew6.exe
Trojan-Downloader.Win32.Agent.ckun /212.117.174.14/racing.exe
Trojan-Downloader.Win32.FraudLoad.wmlz /4sx2.cn/install.exe
Trojan-Dropper.Win32.Agent.ayox /800810down.cn/winshou.exe
Trojan-Downloader.Win32.Esplor.ce /800810*/winwps.exe
adware not-a-virus:AdWare.Win32.Cinmus.awgx /800810*/winyy.exe
Exploit.Win32.Pidief.azw /b35.info/logo.pdf
Trojan-GameThief.Win32.Agent.ci /b35.info/who.exe
Backdoor.Win32.Delf.qbe /bt9.5qzone.net/030.exe
Trojan-Downloader.Win32.VB.psl /bt9.*/1313.exe
Trojan.Win32.Pasta.aoq /bt9.*/468534.exe
not-a-virus:FraudTool.Win32.AntiVirusPro.ng /core2623.racing*/PC_protect.exe
Backdoor.Win32.Poison.alyb /sa3sa.com/a7beek.swf.exe/logo.exe
Trojan.Win32.FraudPack.pwo /securedbizcenter1.cn/file.exe
Detected virus Virus.Win32.Virut.ce /seriall.com/Virut_CE-1.exe、 Virut_CE-2.exe
Trojan.Win32.Inject.ahny /seriall.com/Virut_CE-3.exe
Backdoor.Win32.Delf.qes /x.52av.biz/1.exe
411:名無しさん@お腹いっぱい。
09/08/11 20:33:45
カスペからの返事
>>397(>>398,401,410) tane0488
20+事後(1+1)=22/26、白1、回答待ち3
b35.info \ logo.jpg_ - Trojan-Downloader.JS.Iframe.bod
ccmguyldmn.com \ mvfstk.exe -No malicious code was found in this file.
412:411
09/08/11 23:05:22
カスペからの返事
>>397(>>398,401,410,411) tane0488
20+事後(2+2)=24/26、白1、回答待ち1(DSC_9525.exe)
down1.36936.net \ setup1008.ocx - Trojan-Dropper.Win32.Agent.azql
cyswlj.b121.53dns.com \ winlogon.exe_ - Trojan-Dropper.Win32.Agent.azqh
New malicious software was found in this file.
413:20
09/08/12 09:00:14
>>400
AVIRA
collabraware.com
●DSC_9525.exe - TR/Spy.Agen.2073088
cyswlj.b121.53dns.com
●winlogon.exe - TR/Killav.DK.6
HEURの両方とも、黒確定。で、黒(24+事後2)/26でclose。
>>407
Kaspersky返答は、HEURの提出でも2個とも白判定でした。(でも、現時点でもHEURで検出するけど)
>>408
いや、>407は、>394の時点ではHEUR検出しなかったのに、>407の時点でHEUR検出するようになった、ということで。
Kasperskyも、HEUR用のエンジンかパターンかは不明ですが、同じ8.0.0.454(a,d,e,g)のままでも、少しずつ改良されて
HEUR検出率が上がっている感じです。
# この辺、AVIRAは提出した後、必要に応じて検出エンジン・パターンの改良を行う時は判定結果のメールに
明記されるので、わかりやすいです。(検出の.Gen系は、割と多く改良されている。AVIRAの.Gen系
検出が多いのは、多分そのためかと...AVIRA、汎用検出パターン作るの好きっぽいし)
ちなみに、HEURのファイルはAVIRAもKasperskyも提出すると、黒の場合は必ず検出名が割り当てられるので
HEURが多いということは、新種がそれだけ増えている証拠でもあります。orz
414:名無しさん@お腹いっぱい。
09/08/12 09:18:12
>>413
乙です
>ちなみに、HEURのファイルはAVIRAもKasperskyも提出すると、黒の場合は必ず検出名が割り当てられるので
私も特定ベンダーに提出してますがPandaもSuspiciousfileで検出したものを提出したらシグネチャ化してくれることが多いですね
Pandaの隔離フォルダは基本的にヒューリスティック検出しか隔離できないですがシグネチャ化したらしっかりと表記してくれるからわかりやすい
あとはクラウド検出のTrj/CI:AやGeneric系も後々別の検出名になることがある(ただしこれらはたまにという感じ)
Symantecの場合はヒューリスティック→シグネチャというのは極まれ、たまにあるけどまずないと思った方がいい
ただ提出した後にPacked.Generic系のヒューリスティック検出が結構あった
ESETやBitDefenderもSymantecと同じくヒューリスティック→シグネチャというのはほとんどない、というかBitDefenderの場合は検体提出時のウイルス対応速度が遅すぎるという問題が・・・・
415:20
09/08/12 12:28:28
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 19個。MalwareDomainListの2009/08/07~08分と、おまけ1個。取りに行くの遅くなったので、検出率高めにつき注意。
122.70.145.135
prad.exe - URLリンク(www.virustotal.com) (6/41)
213.163.91.244
x01.exe - URLリンク(www.virustotal.com) (24/41)
bezobizn.ru
pdf.php - URLリンク(www.virustotal.com) (21/41)
ret.exe - URLリンク(www.virustotal.com) (20/41)
buteralksaweda.com
Install.exe - URLリンク(www.virustotal.com) (24/41)
ff11.sdo.ac
complaint.exe - URLリンク(www.virustotal.com) (21/41)
foxbelive.ru
test.pdf - URLリンク(www.virustotal.com) (24/41)
foxxpriv.ru
test.pdf - URLリンク(www.virustotal.com) (25/41)
416:20
09/08/12 12:30:32
>415 続き
igooddeal.com/load.php?a=a&e=11
file.exe - URLリンク(www.virustotal.com) (5/40)
Chrome.pdf - URLリンク(www.virustotal.com) (5/41)
Firefox.pdf - URLリンク(www.virustotal.com) (5/41)
IE.pdf - URLリンク(www.virustotal.com) (5/41)
OPERA.pdf - URLリンク(www.virustotal.com) (5/41)
njsdjl4bdjsa7t78dsf.com
money.exe - URLリンク(www.virustotal.com) (23/40)
opaserduchiosa.com
Install.exe - URLリンク(www.virustotal.com) (23/41)
p-c-anti-spyware-2010.com
Installer2.exe - URLリンク(www.virustotal.com) (24/41)
thetruesecurityscan.com
index.php - URLリンク(www.virustotal.com) (20/40)
install.exe - URLリンク(www.virustotal.com) (16/41)
www.ihateyoujess.com
ldr.exe - URLリンク(www.virustotal.com) (34/41)
417:20
09/08/12 12:43:26
>>415
AVIRA 7.01.05.100 (黒 14+HEUR 0+未検出 5)/19,未検出分 提出済み。
【検出】
213.163.91.244
x01.exe - TR/Crypt.ZPACK.Gen
bezobizn.ru
pdf.php - HTML/Malicious.PDF.Gen
ret.exe - SPR/Tool.Obfuscator.FL.92
buteralksaweda.com
Install.exe - TR/Dldr.FraudLo.sxm
ff11.sdo.ac
complaint.exe - TR/PSW.Jomloon.E.4
foxbelive.ru
test.pdf - EXP/Pidief.JC.2
foxxpriv.ru
test.pdf - EXP/Pidief.JC.2
njsdjl4bdjsa7t78dsf.com
money.exe - TR/Banker.Bancos.fat
opaserduchiosa.com
Install.exe - TR/Dldr.FraudLo.sxm
p-c-anti-spyware-2010.com
Installer2.exe - TR/Dldr.FraudLo.sxm
thetruesecurityscan.com
index.php - JS/FakeAlert.7141
install.exe - TR/Dropper.Gen
www.ihateyoujess.com
ldr.exe - TR/Crypt.ZPACK.Gen
418:20
09/08/12 12:47:59
>417 続き,AVIRA未検出分
【未検出】
122.70.145.135
prad.exe -
igooddeal.com
file.exe -
Chrome.pdf -
Firefox.pdf -
IE.pdf -
OPERA.pdf -
あと、>>416の igood~の所、間違ってアドレス消し忘れているので注意願います。m(_ _)m
※ 踏むと危険です。 Jane系はリンクにならないはずですが、他の専ブラがちょっと不明。
419:20
09/08/12 13:08:27
>>415
Kaspersky2009 2009/08/12 12:21:00 (黒 9+HEUR 1+未検出 9)/19,HEURと未検出分 提出済み。
【検出】
213.163.91.244
x01.exe - Trojan-Banker.Win32.Bancos.evy
bezobizn.ru
pdf.php - Exploit.Win32.Pidief.bgr
ff11.sdo.ac
complaint.exe - Trojan-Spy.Win32.BHO.ca
foxbelive.ru
test.pdf - Exploit.Win32.Pidief.afw
foxxpriv.ru
test.pdf - Exploit.Win32.Pidief.bbb
igooddeal.com
file.exe - Trojan-Spy.Win32.Zbot.aacm
njsdjl4bdjsa7t78dsf.com
money.exe - Trojan-Banker.Win32.Bancos.fat
thetruesecurityscan.com
index.php - Trojan-Downloader.JS.FraudLoad.d
www.ihateyoujess.com
ldr.exe - Trojan-Spy.Win32.Zbot.gen
【HEUR】
122.70.145.135
prad.exe - HEUR:Trojan.Win32.Generic
420:20
09/08/12 13:09:44
>419 続き,Kaspersky未検出分
【未検出】
bezobizn.ru
ret.exe -
buteralksaweda.com
Install.exe -
igooddeal.com
Chrome.pdf -
Firefox.pdf -
IE.pdf -
OPERA.pdf -
opaserduchiosa.com
Install.exe -
p-c-anti-spyware-2010.com
Installer2.exe -
thetruesecurityscan.com
install.exe -
421:名無しさん@お腹いっぱい。
09/08/12 13:29:06
>>417
ff11.sdo.acは >>404 です。
422:20
09/08/12 13:51:41
>>421
ありゃりゃ、重複したか...申し訳ない。
423:名無しさん@お腹いっぱい。
09/08/12 15:18:43
>>415さん乙
Symantecとa-squaredとMalwarebytesに提出しました
424:20
09/08/12 16:18:10
>>418
AVIRA返答
122.70.145.135
●prad.exe - TR/Drop.Spy.Zbot.JF
>>419
Kaspersky返答
122.70.145.135
●prad.exe - Trojan-Spy.Win32.Zbot.aadi (HEUR:Trojan.Win32.Generic)
どちらも黒判定。
425:20
09/08/12 17:02:36
>>418
AVIRA返答
igooddeal.com
●file.exe - TR/Spy.ZBot.aacm
●Chrome.pdf - EXP/Pidief.gya
●Firefox.pdf - EXP/Pidief.gyd
●IE.pdf - EXP/Pidief.gyc
●OPERA.pdf - EXP/Pidief.gyb
>424とあわせて、>415は (黒13+事後6)/19の全黒でclose.
※ >417は、カウント間違いでした。
× AVIRA 7.01.05.100 (黒 14+HEUR 0+未検出 5)/19
○ AVIRA 7.01.05.100 (黒 13+HEUR 0+未検出 6)/19
426:20
09/08/12 19:05:42
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 8個。MalwareDomainListの2009/08/09分 その1。サイズが大きくなったので一部先行。
427:20
09/08/12 19:17:45
>>426
ぬお、長文が書き込めなくなった...何かの規制を受けてる。orz
AVIRA 7.01.05.101 (黒 7+HEUR 0+未検出 1)/8,未検出分 提出済み。
【未検出】
best-antivirus-security.com
install.exe -
428:403
09/08/12 20:24:25
URLリンク(tane.sakuratan.com)
Pass infected 解凍の際も同じ
新種スパイウェアと思われる
429:名無しさん@お腹いっぱい。
09/08/12 20:40:45
>>415
McAfee (Active Protection 無効)10/19
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
chrome.pdf |inconclusive | | |no
complaint.exe |heuristic detection |new malware.j |Trojan |no
file.exe |inconclusive | | |no
firefox.pdf |inconclusive | | |no
ie.pdf |inconclusive | | |no
money.exe |inconclusive | | |no
opera.pdf |inconclusive | | |no
prad.exe |inconclusive | | |no
ret.exe |inconclusive | | |no
430:名無しさん@お腹いっぱい。
09/08/12 20:48:22
>>426
McAfee (Active Protection 無効)4/8
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install.exe |inconclusive | | |no
aap.exe |inconclusive | | |no
privatecontent.exe |inconclusive | | |no
尚、woptim\WOSetup に付いては返信待ち
431:名無しさん@お腹いっぱい。
09/08/12 21:08:41
>>428
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。
AVERT自動返信
返信待ち
432:20
09/08/12 21:53:59
ドジ踏んでRock54に引っかかりました。
運営殿の話だと、数字.comのURLを何度か書き込むとRockされるらしいです。(~○○○.comの○が数字)
# こんなんで引っかかるとは予想外...orz
なんで、マヌケな話ですがRock解除まで書き込めません。
それは仕方ないとして、私がアップしたファイルのフォルダに該当するものがいくつもありますので
検出結果を書き込む時に該当するフォルダ名を書くと、【私と同じようにRockされます】
申し訳ないのですが、私のドジの巻き添えにならないよう、十分ご注意下さい。m(_ _)m
433:名無しさん@お腹いっぱい。
09/08/12 22:22:49
カスペ2010 21:28
>>426 ㌧ tane0491
8/8で閉
not-a-virus:FraudTool.Win32.AntiSpyware.lw /antispyware.com/setup.exe
not-a-virus:FraudTool.Win32.PersonalAntivirus.bl /best-antivirus-security.com/install.exe
not-a-virus:FraudTool.Win32.AntivirusAgent.f /downloads-123.com/aap.exe
not-a-virus:FraudTool.Win32.Agent.tg /getavplusnow.com/InternetExplorer.dll
not-a-virus:FraudTool.Win32.MalwareRomovalBot.e /remove-ultra-antivirus-2009.com/setup.exe
not-a-virus:FraudTool.Win32.WindOptimizer.c /woptim.com/WOSetup.exe
Trojan-Dropper.Win32.Agent.avhf /www.dabao1.cn/setup.exe
adware not-a-virus:AdWare.Win32.Cinmus.awbr /xxxruzone.com/PrivateContent.exe
>>428㌧ tane0492
0/2
検体提出します。
>>415㌧ (>>419,420㌧) tane0490
10/19。当方からも再提出
Trojan-Spy.Win32.Zbot.aadi (←HEUR:Trojan.Win32.Generic) /122.70.145.135/prad.exe
434:名無しさん@お腹いっぱい。
09/08/12 22:29:07
>>426.428さん乙
Symantecとa-squaredとMalwarebytesに提出しました
435:名無しさん@お腹いっぱい。
09/08/12 23:38:36
>>430
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
wosetup.exe |inconclusive | | |no
>>431
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
activatedreleasexp.e|inconclusive | | |no
activatedsetup.exe |inconclusive | | |no
436:433
09/08/12 23:44:24
カスペからの返事
>>415 (>>419,420,433) tane0490
10+事後2=12/19、回答待ち7
bezobizn.ru \ ret.exe_ - Trojan-PSW.Win32.FireThief.f
buteralksaweda.com \ Install.exe_ - Trojan.Win32.FraudPack.qdt
New malicious software was found in this file.
437:20
09/08/13 00:01:38
>>424
AVIRA 7.01.05.104
122.70.145.135
●prad.exe - TR/Spy.ZBot.aadi ← TR/Drop.Spy.Zbot.JFから変更
>>427
AVIRA返答
best-antivirus-security.com
install.exe - ファイルが壊れているので判定できない。(再提出も同じ)
>>428
AVIRA 7.01.05.104 (黒1+事後1)/2
●ActivatedReleaseXP.exe - TR/Crypt.XPACK.Gen
●ActivatedSetup.exe - TR/何か.Genで検出できるようにする。(何か、は書いてない)@事後検出
438:名無しさん@お腹いっぱい。
09/08/13 00:05:57
>>426
PandaとBitDefenderは容量オーバーのため提出できませんでしたorz
ただ幸いPandaは未検出が1個のみなのが助かったけど
439:433
09/08/13 01:37:32
カスペからの返事
>>415 (>>419,420,433,436) tane0490
10+事後(2+2)=14/19、残5
p-c-anti-spyware-2010.com \ Installer2.exe - Trojan.Win32.FraudPack.qdt
thetruesecurityscan.com \ install.exe_ - Trojan-Downloader.Win32.FraudLoad.ffk
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
440:20
09/08/13 11:43:07
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 6個。MalwareDomainListの2009/08/09分 その2。大きい物が多すぎ...orz
adwarealert
setup.exe - URLリンク(www.virustotal.com) (13/41)
antispyware2008
setup.exe - URLリンク(www.virscan.org) (13/37)
mmlang.net
setup.exe - URLリンク(www.virustotal.com) (20/41)
mz22.cn
alexa.exe - URLリンク(www.virustotal.com) (30/41)
showpromooffer
srm_free_setup.exe - URLリンク(www.virustotal.com) (29/41)
setup.regsweep
setupxv.exe - URLリンク(www.virscan.org) (6/37)
今VTが死んでるため、virscanで一部代用。
あと、>432の件があるので、.comのものはフォルダ名から.comを消しています。
(フォルダ名がドメイン名なのは、MDLから持ってくる人が私を含め複数なので、重複確保防止用)
441:20
09/08/13 11:49:20
>>440
AVIRA 7.01.05.105 (黒 5+HEUR 0+未検出 1)/6,未検出分 提出済み。
【検出】
antispyware2008
setup.exe - DR/FakeAlert.QZ
mmlang.net
setup.exe - DR/BaiduBar.DI.2
mz22.cn
alexa.exe - DR/AlexaBar.N.207
→AlxRes.dll - ADSPY/AlexaBar.N.9
→AlxTB1.dll - ADSPY/AlexaB.Dll.1
setup.regsweep
setupxv.exe - DR/Fraud.RegSweep.A
showpromooffer
srm_free_setup.exe - DR/Dldr.Agent.brqo.1
【未検出】
adwarealert
setup.exe -
442:20
09/08/13 11:51:49
>>440
Kaspersky2009 2009/08/13 10:25:00 (黒 5+HEUR 0+未検出 1)/6,未検出分 提出済み。
【検出】
adwarealert
setup.exe - not-a-virus:FraudTool.Win32.AdwareAlert.i
antispyware2008
setup.exe - not-a-virus:FraudTool.Win32.AntiSpyware.lw
mmlang.net
setup.exe - Trojan.Win32.Pasta.agb
mz22.cn
alexa.exe - not-a-virus:AdWare.Win32.AlexaBar.n
showpromooffer
srm_free_setup.exe - Virus.Win32.Goblin.gen
【未検出】
setup.regsweep
setupxv.exe -
443:名無しさん@お腹いっぱい。
09/08/13 12:26:04
>>440
Symantec、GDATA2010(=avast!&BitDefender)、ESETへ提出
※ Pandaは全検出だったため提出せず
Symantecから自動返答
filename: setupxv.exe
machine: Machine
result: See the developer notes
444:20
09/08/13 14:27:18
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 13個。MalwareDomainListの2009/08/09分 その3。8/9分で確保できたのは、これで終了。
203.116.63.105
sta.exe - URLリンク(www.virustotal.com) (13/37)
ajowah.cn
installer_1.exe - URLリンク(www.virustotal.com) (12/41)
video.php - URLリンク(www.virustotal.com) (9/41)
cutalot.cn
bot.exe - URLリンク(www.virustotal.com) (24/41)
downloadxxtube
setup.exe - URLリンク(www.virustotal.com) (34/41)
errorrepairtool
install.exe - URLリンク(www.virustotal.com) (18/39)
gobackscan
install.exe - URLリンク(www.virustotal.com) (8/41)
ji17.cn
bigfoots.exe - URLリンク(www.virustotal.com) (35/41)
regsweep
setup.exe - URLリンク(www.virustotal.com) (9/41)
rondo-trips.cn
Antivirus-29abfcf_2010-10.exe - URLリンク(www.virustotal.com) (4/41)
streamrida
bot.exe - URLリンク(www.virustotal.com) (25/41)
445:20
09/08/13 14:28:11
>>444 続き
tertechet-vings.net
it.exe - URLリンク(www.virustotal.com) (20/41)
zzt7.cn
readme.pdf - URLリンク(www.virustotal.com) (19/41)
446:20
09/08/13 14:32:23
>>444
AVIRA 7.01.05.105 (黒 9+HEUR 0+未検出 4)/13,未検出分 提出済み。
【検出】
ajowah.cn
video.php - HTML/Rce.Gen
cutalot.cn
bot.exe - TR/Drop.Kryptik.ABV
downloadxxtube
setup.exe - TR/Dropper.Gen
errorrepairtool
install.exe - TR/FakeAle.MW
ji17.cn
bigfoots.exe - TR/ATRAPS.Gen
regsweep
setup.exe - DR/Fraud.RegSweep.A
streamrida
bot.exe - TR/Crypt.ZPACK.Gen
tertechet-vings.net
it.exe - TR/Banker.Bancos.fdr
zzt7.cn
readme.pdf - EXP/Pidief.ged.1
447:20
09/08/13 14:36:08
>>446 続き
【未検出】
203.116.63.105
●sta.exe - TR/何とか、で検出できるようにする。(解析済み・自動返答)
ajowah.cn
installer_1.exe -
gobackscan
install.exe -
rondo-trips.cn
Antivirus-29abfcf_2010-10.exe -
448:名無しさん@お腹いっぱい。
09/08/13 14:44:07
>>444
Symantec、Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出
Symantecから自動返答
filename: setup.exe
machine: Machine
result: See the developer notes
filename: video.php
machine: Machine
result: See the developer notes
filename: install.exe
machine: Machine
result: See the developer notes
filename: Antivirus-29abfcf_2010-10.exe
machine: Machine
result: See the developer notes
filename: installer_1.exe
machine: Machine
result: This file is detected as Suspicious.S.MrC.
449:名無しさん@お腹いっぱい。
09/08/13 14:46:49
Symantecの自動返答でSuspicious.S.MrCという検出名が気になったので調べてみた
URLリンク(www.symantec.com)
最近になってこの名前がつけられた模様
450:20
09/08/13 14:47:18
>>444
Kaspersky2009 2009/08/13 14:34:00 (黒 7+HEUR 0+未検出 6)/13,未検出分 提出済み。
【検出】
ajowah.cn
installer_1.exe - Trojan-Downloader.Win32.FraudLoad.wnst
cutalot.cn
bot.exe - Trojan-Spy.Win32.Zbot.aace
downloadxxtube
setup.exe - Trojan-Downloader.Win32.FraudLoad.wnei
ji17.cn
bigfoots.exe - Trojan-Dropper.Win32.Agent.auch
streamrida
bot.exe - Trojan-Spy.Win32.Zbot.aabt
tertechet-vings.net
it.exe - Trojan-Banker.Win32.Bancos.fdr
zzt7.cn
readme.pdf - Exploit.Win32.Pidief.bdd
451:20
09/08/13 14:49:31
>>450 続き
【未検出】
203.116.63.105
sta.exe -
ajowah.cn
video.php -
errorrepairtool
install.exe -
gobackscan
install.exe -
regsweep
setup.exe -
rondo-trips.cn
Antivirus-29abfcf_2010-10.exe - Kaspersky FileScannerでファイル破損の表示
452:20
09/08/13 15:45:37
>>444
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 1個。Kaspersky FileScannerでファイルが壊れていると出たので、その分を再ダウンロード。
rondo-trips.cn
Antivirus-3ab37c3_2010-10.exe - URLリンク(www.virustotal.com) (1/41)
今度はちゃんと落ちてきたらしい。 AVIRAもKasperskyもスルーしたので提出済み。
453:名無しさん@お腹いっぱい。
09/08/13 16:48:41
>>452
Symantec、Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出
454:名無しさん@お腹いっぱい。
09/08/13 18:26:16
>>440
McAfee (Active Protection 無効)1/6
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setupxv.exe |no password | | |no
455:名無しさん@お腹いっぱい。
09/08/13 18:27:59
>>444
McAfee (Active Protection 無効)3/13 未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
sta.exe |inconclusive | | |no
installer_1.exe |inconclusive | | |no
video.php |inconclusive | | |no
bot.exe |inconclusive | | |no
install.exe |inconclusive | | |no
install.exe |inconclusive | | |no
setup.exe |inconclusive | | |no
antivirus-29abfcf_20|inconclusive | | |no
bot.exe |inconclusive | | |no
it.exe |inconclusive | | |no
456:名無しさん@お腹いっぱい。
09/08/13 18:29:34
>>452
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
antivirus-3ab37c3_20|inconclusive | | |no
457:名無しさん@お腹いっぱい。
09/08/13 22:44:21
カスペ2010 21:37
>>440㌧ (>>442㌧)tane0493
5/6のまま、残1
>>444㌧ (>>450-451㌧) tane0494
7+1=8/13、残5
Trojan.Win32.Tdss.anpm gobackscan\install.exe
未検知分、送付します。
>>452㌧ tane0495
0+1=1/1で閉鎖
Trojan-Downloader.Win32.FraudLoad.wnum rondo-trips.cn/Antivirus-3ab37c3_2010-10.exe
カスペからの返事(0:23)
>>415 (>>419,420,433,436,439) tane0490
10+事後(4+1)=15/19、残4
thetruesecurityscan.com ¥install3.exe - Trojan-Downloader.Win32.FraudLoad.ffk
New malicious software was found in this file.
458:20
09/08/13 23:50:47
AVIRA 7.01.05.107 & 判定返答
>>437,428
●ActivatedSetup.exe - TR/何か.Genで検出できるようにする。(何か、は書いてない)@事後検出
→ TR/Dldr.Fake.210432 になりました。
>>447
ajowah.cn
●installer_1.exe - TR/Dldr.FraudLoad.wnst
gobackscan
○install.exe - 白
rondo-trips.cn
△Antivirus-29abfcf_2010-10.exe - ファイルが壊れていて判定できない
>>452
rondo-trips.cn
●Antivirus-3ab37c3_2010-10.exe - 黒...なんだけど判定名が書いてない。