【鑑定目的禁止】検出可否報告スレ12at SEC
【鑑定目的禁止】検出可否報告スレ12 - 暇つぶし2ch450:20
09/08/13 14:47:18
>>444
Kaspersky2009 2009/08/13 14:34:00 (黒 7+HEUR 0+未検出 6)/13,未検出分 提出済み。

【検出】
ajowah.cn
  installer_1.exe - Trojan-Downloader.Win32.FraudLoad.wnst
cutalot.cn
  bot.exe - Trojan-Spy.Win32.Zbot.aace
downloadxxtube
  setup.exe - Trojan-Downloader.Win32.FraudLoad.wnei
ji17.cn
  bigfoots.exe - Trojan-Dropper.Win32.Agent.auch
streamrida
  bot.exe - Trojan-Spy.Win32.Zbot.aabt
tertechet-vings.net
  it.exe - Trojan-Banker.Win32.Bancos.fdr
zzt7.cn
  readme.pdf - Exploit.Win32.Pidief.bdd

451:20
09/08/13 14:49:31
>>450 続き

【未検出】
203.116.63.105
  sta.exe -
ajowah.cn
  video.php -
errorrepairtool
  install.exe -
gobackscan
  install.exe -
regsweep
  setup.exe -
rondo-trips.cn
  Antivirus-29abfcf_2010-10.exe - Kaspersky FileScannerでファイル破損の表示

452:20
09/08/13 15:45:37
>>444
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 1個。Kaspersky FileScannerでファイルが壊れていると出たので、その分を再ダウンロード。
rondo-trips.cn
  Antivirus-3ab37c3_2010-10.exe - URLリンク(www.virustotal.com) (1/41)

今度はちゃんと落ちてきたらしい。 AVIRAもKasperskyもスルーしたので提出済み。

453:名無しさん@お腹いっぱい。
09/08/13 16:48:41
>>452
Symantec、Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出

454:名無しさん@お腹いっぱい。
09/08/13 18:26:16
>>440
McAfee (Active Protection 無効)1/6
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setupxv.exe |no password | | |no

455:名無しさん@お腹いっぱい。
09/08/13 18:27:59
>>444
McAfee (Active Protection 無効)3/13 未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
sta.exe |inconclusive | | |no
installer_1.exe |inconclusive | | |no
video.php |inconclusive | | |no
bot.exe |inconclusive | | |no
install.exe |inconclusive | | |no
install.exe |inconclusive | | |no
setup.exe |inconclusive | | |no
antivirus-29abfcf_20|inconclusive | | |no
bot.exe |inconclusive | | |no
it.exe |inconclusive | | |no

456:名無しさん@お腹いっぱい。
09/08/13 18:29:34
>>452
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
antivirus-3ab37c3_20|inconclusive | | |no

457:名無しさん@お腹いっぱい。
09/08/13 22:44:21
カスペ2010 21:37
>>440㌧ (>>442㌧)tane0493
5/6のまま、残1

>>444㌧ (>>450-451㌧) tane0494
7+1=8/13、残5
Trojan.Win32.Tdss.anpm    gobackscan\install.exe

未検知分、送付します。

>>452㌧ tane0495
0+1=1/1で閉鎖
Trojan-Downloader.Win32.FraudLoad.wnum    rondo-trips.cn/Antivirus-3ab37c3_2010-10.exe

カスペからの返事(0:23)
>>415 (>>419,420,433,436,439) tane0490
10+事後(4+1)=15/19、残4

thetruesecurityscan.com ¥install3.exe    - Trojan-Downloader.Win32.FraudLoad.ffk

New malicious software was found in this file.

458:20
09/08/13 23:50:47
AVIRA 7.01.05.107 & 判定返答

>>437,428
 ●ActivatedSetup.exe - TR/何か.Genで検出できるようにする。(何か、は書いてない)@事後検出
  → TR/Dldr.Fake.210432 になりました。

>>447
ajowah.cn
 ●installer_1.exe - TR/Dldr.FraudLoad.wnst
gobackscan
 ○install.exe - 白
rondo-trips.cn
 △Antivirus-29abfcf_2010-10.exe - ファイルが壊れていて判定できない

>>452
rondo-trips.cn
 ●Antivirus-3ab37c3_2010-10.exe - 黒...なんだけど判定名が書いてない。

459:名無しさん@お腹いっぱい。
09/08/14 01:07:10
カスペからの返事
>>444>>450,451,457) tane0494
7+1=8/13、白2、残3

203.116.63.105 \sta.exe
errorrepairtool \ install.exe

No malicious code was found in this file.

460:名無しさん@お腹いっぱい。
09/08/14 01:41:29
>>452
NortonはAntivirus-3ab37c3_2010-10.exeをDownloaderとして検出

ちなみにVTにはまだ反映されてない
URLリンク(www.virustotal.com)

VTのNortonは最新バージョンだとは思うんだがどこがおかしいんだろうな・・・

461:名無しさん@お腹いっぱい。
09/08/14 10:23:51
カスペ2010 9:28
>>440 (>>442,457) tane0493
5+1=6/6でクローズ
virus not-a-virus:FraudTool.Win32.RegistrySmart.m    \setup.regsweep\setupxv.exe (検知)


>>444>>450,451,457) tane0494
7+(1+1)=9/13、白2、残2

virus not-a-virus:FraudTool.Win32.RegistrySmart.m  regsweep\setup.exe (検知)

462:20
09/08/14 13:05:15
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 17個。MalwareDomainListの2009/08/05,06,10分で確保できたもの。
※ VTの検出率38/41等の高検出で、かつこれまでの状況から提出者が居ないと判断されるベンダーのみ(ViRobotとか)が
  未検出のファイルは、作業の無駄を無くすために、検体ファイルから省略してます。(今回、そういうファイルが少し多かった。)
  逆に言うと、VT高検出率でも、主要ベンダーが未検出のものはファイルに入ってます。

baidupn.cn
  up.exe - URLリンク(www.virustotal.com) (21/41)
clicksurfcash.net
  ftp.exe - URLリンク(www.virustotal.com) (28/41)
  static.exe - URLリンク(www.virustotal.com) (18/41)
nextantivirusplus
  AntivirusPlus.exe - URLリンク(www.virustotal.com) (31/41)
od32qjx6meqos.cn
  setup.exe - URLリンク(www.virustotal.com) (33/41)
photics.cn
  3.exe - URLリンク(www.virustotal.com) (35/41)
  9.exe - URLリンク(www.virustotal.com) (31/41)
  ap.exe - URLリンク(www.virustotal.com) (36/40)
  b.css - URLリンク(www.virustotal.com) (29/41)
  dn.exe - URLリンク(www.virustotal.com) (35/41)

463:20
09/08/14 13:06:17
>>462 続き
se.11aaa.info
  av.exe - URLリンク(www.virustotal.com) (34/41)
update.51edm.net
  01.dll - URLリンク(www.virustotal.com) (31/41)
  01.exe - URLリンク(www.virustotal.com) (28/41)
x2.w33o.cn
  down7.exe - URLリンク(www.virustotal.com) (22/40)
x6.w3cc.cn
  OffCal.dll - URLリンク(www.virustotal.com) (13/40)
xkcode.com
  qq27.exe - URLリンク(www.virustotal.com) (31/41)
xzwrn.cn
  image_jpg.exe - URLリンク(www.virustotal.com) (12/41)

464:20
09/08/14 13:14:24
>>462
AVIRA 7.01.05.110 (黒 17+HEUR 0+未検出 0)/17。 提出は無し。

検出名は省略。確保が遅かったものが多かったので、AVIRAは全検出でした。
# 検体ファイルの賞味期限、切れてるか? (汗

465:20
09/08/14 13:30:41
>>462
Kaspersky2009 2009/08/14 12:27:00 (黒 16+HEUR 0+未検出 1)/17。未検出分 提出済み。

【未検出】
xzwrn.cn
  image_jpg.exe -

466:名無しさん@お腹いっぱい。
09/08/14 13:43:52
>>462さん乙
Symantecとa-squaredとMalwarebytesに提出します

467:名無しさん@お腹いっぱい。
09/08/14 15:02:05
>>462
GDATA2010(=avast!&BitDefender)、ESETへ提出

※ 今回もPandaは全検出なので提出せず

468:20
09/08/14 15:10:17
>>465
Kaspersky返答

xzwrn.cn
 ●image_jpg.exe - Trojan.Win32.Zybr.io

黒(16+事後1)/17でclose.

469:名無しさん@お腹いっぱい。
09/08/14 15:21:08
>>452
PandaはAntivirus-3ab37c3_2010-10.exeを疑わしいファイルとして検出

しかし今回もまたVTに反映されず

URLリンク(www.virustotal.com)

470:名無しさん@お腹いっぱい。
09/08/14 16:04:24
カスペからの返事
>>415 (>>419,420,433,436,439,457) tane0490
10+事後(5+4)=19/19でクローズ
igooddeal.com
Chrome.pdf - Exploit.Win32.Pidief.bir,
Firefox.pdf - Exploit.Win32.Pidief.bis,
IE.pdf - Exploit.Win32.Pidief.bit,
OPERA.pdf - Exploit.Win32.Pidief.biu


>>428(>>433) tane0492
0+1=1/2、残1
ActivatedReleaseXP.exe_ - Trojan-Downloader.Win32.FraudLoad.ffx


>>462㌧(>>465,468 代理提出㌧ ) 閉鎖

471:428
09/08/14 16:12:48
>>462さん、乙です

検出できなかった2ファイルをMcAfee AVERTに提出済み
ウイルス総ファイル数は21個

マカフィーウイルススキャンは19個を検出

検出できなかった2ファイルをAVERTに提出済み

検出できなかったファイル


(1)検出できなかったプログラム:AntiVirusPlus.exe
(2)検出できなかったプログラム:ftp.exe


472:20
09/08/14 18:44:32
>>458
AVIRA 7.01.05.112

rondo-trips.cn
 ●Antivirus-3ab37c3_2010-10.exe - 黒...なんだけど判定名が書いてない。
  → TR/Agent.163840.1 になりました。

473:20
09/08/14 18:50:35
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 17個。MalwareDomainListの2009/08/12分。AVIRAが2個、白判定を出してますので注意。(後記)
83892jhasld4bkjbaskdj
  money.exe - URLリンク(www.virustotal.com) (13/41)
core2672.rubimbablo
  PC_protect.exe - URLリンク(www.virustotal.com) (31/41)
gdf4fsf46hgfesdfu5
  money.exe - URLリンク(www.virustotal.com) (13/38)
governmetfunding.org
  readme_txt.exe - URLリンク(www.virustotal.com) (13/41)
iolavorodacasaonline.it
  eg.exe - URLリンク(www.virustotal.com) (23/41)
ochak
  ocha.exe - URLリンク(www.virustotal.com) (21/41)
ska.energia.cz
  imer_up.exe - URLリンク(www.virustotal.com) (15/41)
socks5service.cn
  b1.exe - URLリンク(www.virustotal.com) (21/41)
  b2.exe - URLリンク(www.virustotal.com) (16/37)
softwareaddonsuploadv3
  Driver.exe - URLリンク(www.virustotal.com) (21/41)

474:20
09/08/14 18:52:24
>>473 続き
windowsprotectionsuite
  ActivatedReleaseXP.exe - URLリンク(www.virustotal.com) (6/40)
  ActivatedSetup.exe - URLリンク(www.virustotal.com) (9/41)
  ActivatedSetupRelease.exe - URLリンク(www.virustotal.com) (6/41)
  ActivatedSetupReleaseXP.exe - URLリンク(www.virustotal.com) (5/41)
  Release.exe - URLリンク(www.virustotal.com) (6/41)
  ReleaseXP.exe - URLリンク(www.virustotal.com) (7/41)
  SetupRelease.exe - URLリンク(www.virustotal.com) (4/41)

これは、>428さんとは別のものです。(ハッシュ等不一致)

475:20
09/08/14 18:59:13
>>473
AVIRA 7.01.05.112 (黒 12+HEUR 0+未検出 5)/17。未検出分5個の判定は、黒 3+白 2。
(既に誰かが提出済み・判定も終了)

【未検出】
83892jhasld4bkjbaskdj
 ○money.exe - CLEAN
governmetfunding.org
 ●readme_txt.exe - MALWARE
ska.energia.cz
 ●imer_up.exe - MALWARE(Dropper)
windowsprotectionsuite
 ○Release.exe - CLEAN
 ●ReleaseXP.exe - TR/Agent.2400256

※ 上記は7.01.05.112では検出しません。(VDFアップデート待ち)

476:名無しさん@お腹いっぱい。
09/08/14 19:02:16
まさかこうなるとは思わず、今さっき遊びに行って少しあちこちベンダに送ってしまった。スマン

477:476
09/08/14 19:04:02
MalwareDomainListの08/13 14日分も幾らか送ってしまったorz

478:名無しさん@お腹いっぱい。
09/08/14 19:21:07
リストの陳列だから、誰しもそういった事は最初から承知ですよん。

479:20
09/08/14 19:24:34
>>476-477
別に気にするようなことでもないかと...というのは、私がAVIRAとKaspersky使ってるためそう思うのかも。(w

AVIRAはWEB提出のシステムが非常に良くできてるんで、重複提出してもベンダーの負荷になりません。< 鯖の負荷にはなるけど(w
Kasperskyは対処が速いから、誰かが提出済みなら、半日待てば済む話。(半日後に未検出のままなら、誰かが再送すれば良し)

他のベンダーの方は様子見かな?

480:名無しさん@お腹いっぱい。
09/08/14 19:27:30
8月13日14日の分などは?このままだと茶番劇になってしまうが…

481:20
09/08/14 19:38:13
>>473
Kaspersky2009 2009/08/14 17:55:00 (黒 8+HEUR 0+未検出 9)/17。提出は半日様子見。

【未検出】
83892jhasld4bkjbaskdj
  money.exe -
socks5service.cn
  b2.exe -
windowsprotectionsuite
  ActivatedReleaseXP.exe -
  ActivatedSetup.exe -
  ActivatedSetupRelease.exe -
  ActivatedSetupReleaseXP.exe -
  Release.exe -
  ReleaseXP.exe -
  SetupRelease.exe -

482:名無しさん@お腹いっぱい。
09/08/14 19:42:23
ここでDomainListその物が紹介される前から熱狂的な人は集めていましたよ。
一般公開されている物ですし、半日遅れるだけで全てVTスキャン済みなんて
ちょくちょくでしたからね。
ここで詰め合わせを待つより、直接そこに行く人の方がはるかに多いと思いますよ。

483:20
09/08/14 19:42:47
>>480
とりあえず確保はしますので、提出は任意(待つも自由,重複承知で提出も自由)で良いかと。
# 検体が手元に無いと、追いかけようがありませんし。

>476さんの所に検体が残っていたら、ロダにアップしてもらうのが一番速いですけど...

とりあえず、取り残している8/4分から確保に行きます。

484:20
09/08/14 20:35:31
>>473
McAfee0/17
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
money.exe |inconclusive | | |no
pc_protect.exe |inconclusive | | |no
money.exe |inconclusive | | |no
readme_txt.exe |inconclusive | | |no
eg.exe |inconclusive | | |no
ocha.exe |inconclusive | | |no
imer_up.exe |inconclusive | | |no
b1.exe |new detection |pws-zbot |Trojan |yes
b2.exe |inconclusive | | |no
driver.exe |inconclusive | | |no
activatedreleasexp.e|inconclusive | | |no
activatedsetup.exe |inconclusive | | |no
activatedsetupreleas|inconclusive | | |no
activatedsetupreleas|inconclusive | | |no
release.exe |inconclusive | | |no
releasexp.exe |inconclusive | | |no
setuprelease.exe |inconclusive | | |no

485:名無しさん@お腹いっぱい。
09/08/14 20:36:47
>>484
すみません、アンカーはミスです..........orz

486:名無しさん@お腹いっぱい。
09/08/14 20:41:24
>>484-485
重ねてすみません。名前欄のミスでした..............................orz

487:20
09/08/14 20:41:55
>>458 AVIRA 7.01.05.112
gobackscan
 ○install.exe - 白 → ● TR/TDss.anpm

>>475
ska.energia.cz
 ●imer_up.exe - MALWARE(Dropper) → DR/VB.kcm

>>482
MDLはmalwareurl.comと並んで有名所ですし、見ている人は多そうです。

ただ、スレである程度情報を共有しておけば、重複提出がある程度避けられる(ベンダー側の負荷が減る)のが
利点かと思います。

# 提出者が個別に取りに行って、重複お構いなしに個別に検体提出したら、サーバーで自動重複チェックしてる
 ベンダー以外は、アナリストの負荷が洒落にならんかと。


あと、VTスキャン済みは多いのですが、AVIRAやKasperskyみたいに判定が滅法速いベンダーでも、
こちらで出すとかなりの頻度で新種判定になるため、ベンダーに検体提出してる人って、実際には結構
少ない気もします。

例) >468の検体がMDLに載ったのは2009/08/05なので、10日近く誰もKasperskyに出してない?

VTに投げて、『おぉ、新種Get!』って所で満足して終わりの人が多いのかも...ソコデオワッタラ、ナンニモナランノニネ

488:20
09/08/14 22:00:11
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 4個。MalwareDomainListの2009/08/04分。流石に時間がたちすぎて、検体が集まらん...
※ MDLにあったcabファイルは、パスワードがかかっていて解除できなかったので省略。

imagehut3.cn
  evilItTheir.pdf - URLリンク(www.virustotal.com) (23/41)
  humourOr.swf - URLリンク(www.virustotal.com) (14/41)
  load.exe - URLリンク(www.virustotal.com) (33/41)
uliondarvasoka
  Installer2.exe - URLリンク(www.virustotal.com) (27/41)

489:20
09/08/14 22:03:56
>>488
AVIRA 7.01.05.115 (黒 4+HEUR 0+未検出 0)/4。 提出は無し。

----------
Kaspersky (黒 2+HEUR 0+未検出 2)/4。 未検出分は提出。

【未検出】
imagehut3.cn
  humourOr.swf -
uliondarvasoka
  Installer2.exe -

490:名無しさん@お腹いっぱい。
09/08/14 22:23:07
カスペ2010 20:58
>>473 ㌧ (>>481) tane0497
>>481と同じ 8/17、提出します。

Trojan-Downloader.Win32.Agent.ckqx    /core2672.rubimbablo
Trojan-Spy.Win32.Zbot.aaec    /gdf4fsf46hgfesdfu5/money.exe
Trojan-Spy.Win32.Zbot.aaea    /governmetfunding.org/readme_txt.exe
Trojan-Banker.Win32.Bancos.fjp    /iolavorodacasaonline.it/eg.exe
Trojan-Spy.Win32.Zbot.aady    /ochak/ocha.exe
Backdoor.Win32.VB.kcm    /ska.energia.cz/imer_up.exe
Trojan-Spy.Win32.Zbot.aaed    /socks5service.cn/b1.exe
Trojan.Win32.FraudPack.qdp    /softwareaddonsuploadv3/Driver.exe

>>488(>>489代理提出㌧) tane0498
2/4 少し様子見
Exploit.JS.Pdfka.ni    /imagehut3.cn/evilItTheir.pdf
Trojan-Downloader.Win32.FraudLoad.ezi    /imagehut3.cn/load.exe

491:名無しさん@お腹いっぱい。
09/08/14 22:46:55
>>488
McAfee (Active Protection 無効) 検出:3/4
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no

492:名無しさん@お腹いっぱい。
09/08/14 23:59:29
>>473-474.488さん乙
Symantecとa-squaredとMalwarebytesに提出します

493:名無しさん@お腹いっぱい。
09/08/15 00:49:31
>>488
Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出

>>473はファイルサイズが大きすぎるのでそのまま送ろうとするとPandaとBitDefenderから「サイズでかすぎなんだよゴルァ!!」と怒るしいちいち提出用にファイルを作り直すのが面倒だったので提出してません
誰か代わりに提出してくれたら助かります

494:492
09/08/15 01:40:43
>>493
Mailにパスワード圧縮ファイル添付(数MBで小分け)で提出は出来ないの?
a-squaredへの5MB超えはそうやって提出していますが

495:20
09/08/15 01:41:54
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 26個。MalwareDomainListの2009/08/13分。1個、ちょっとややこしいのが入ってます。
268796.8866.org
  1.htm - URLリンク(www.virustotal.com) (0/41)
  tongji.js - URLリンク(www.virustotal.com) (0/41)
a0d0.3322.org
  32.js - URLリンク(www.virustotal.com) (0/41)
d.ksxwa
  x17.css - URLリンク(www.virustotal.com) (30/41)
mooshooh.info
  bot.exe - URLリンク(www.virustotal.com) (22/41)
newadmins.ws
  bot.exe - URLリンク(www.virustotal.com) (10/41)
pop0p.cn
  xx.html - URLリンク(www.virustotal.com) (7/41)
securebizccenter.cn
  file.exe - URLリンク(www.virustotal.com) (15/41)
silver-metscorp
  getexe_php.exe - URLリンク(www.virustotal.com) (38/41)
  pdf_php.pdf - URLリンク(www.virustotal.com) (8/41)

リストにあったのは上記の10個です。pop0p.cnの中にある、xx.html以外の16個が追加されています。

これらの細かいファイルは、xx.htmlを起点として呼び出される、分割された攻撃用コードです。

496:20
09/08/15 01:51:21
>>495 続き
ということで、pop0p.cnの中身は、多分全部まとめて提出しないとベンダー側が訳わからんと思われます。

AVIRAに提出した結果は下記の通り。

xx.html - MALWARE
14.js - UNDER ANALYSIS
15.js - UNDER ANALYSIS
16.js - UNDER ANALYSIS
a.jpg - UNDER ANALYSIS
b.jpg - UNDER ANALYSIS
c.jpg - UNDER ANALYSIS
d.jpg - MALWARE
e.jpg - UNDER ANALYSIS
f.jpg - MALWARE
swfobject.js - CLEAN
Td14.htm - MALWARE
url.jpg - UNDER ANALYSIS
y1.htm - CLEAN
yt.htm - UNDER ANALYSIS
ytfl1.htm - MALWARE
yut.htm - MALWARE

# 元の攻撃サイトは p://pop0p●cn/x17/xx●html なので、それを明記して提出するのも一つの方法かと。

497:20
09/08/15 01:59:00
>>495
AVIRA 7.01.05.117 (黒 4+HEUR 0+未検出 6)/10。未検出分 提出済み。(pop0p.cn一式含む)

【検出】
d.ksxwa
  x17.css - RKIT/Agent.AIWN.20
pop0p.cn
  xx.html - HTML/Infected.WebPage.Gen
securebizccenter.cn
  file.exe - TR/Crypt.ZPACK.Gen
silver-metscorp
  getexe_php.exe - TR/Crypt.ZPACK.Gen

【未検出】
268796.8866.org
  1.htm -
  tongji.js -
a0d0.3322.org
  32.js -
mooshooh.info
  bot.exe -
newadmins.ws
  bot.exe -
silver-metscorp
  pdf_php.pdf -

498:名無しさん@お腹いっぱい。
09/08/15 02:00:31
>>495さん乙
Symantecとa-squaredとMalwarebytesに提出しました

499:名無しさん@お腹いっぱい。
09/08/15 02:03:07
>>495

Panda、GDATA(=avast!&BitDefender)、ESETへ提出

>>494
時間があれば改めてそうします

500:20
09/08/15 02:06:17
>>495
Kaspersky 2009/08/15 0:27:00 (黒 3+HEUR 0+未検出 7)/10。未検出分 提出済み。(pop0p.cn一式含む)

【検出】
d.ksxwa
  x17.css - Trojan-Downloader.Win32.Agent.cmby
securebizccenter.cn
  file.exe - Trojan.Win32.FraudPack.qfs
silver-metscorp
  getexe_php.exe - Trojan-Spy.Win32.Zbot.xyl

【未検出】
268796.8866.org
  1.htm -
  tongji.js -
a0d0.3322.org
  32.js -
mooshooh.info
  bot.exe -
newadmins.ws
  bot.exe -
pop0p.cn
  xx.html -
silver-metscorp
  pdf_php.pdf -

501:20
09/08/15 02:42:27
>>475
governmetfunding.org
 ●readme_txt.exe - MALWARE → TR/Spy.ZBot.aaea

寝ます。ノシ

502:20
09/08/15 02:46:53
>>500 もう1個来た。
newadmins.ws
 ●bot.exe - TR/Drop.Spy.Zbo.aad

今度こそ寝る。

503:20
09/08/15 02:49:05
>>502
駄目だ、頭が寝てる。

>502は>500ではなく、>497 (AVIRA)の方

newadmins.ws
 ●bot.exe - TR/Drop.Spy.Zbo.aad @AVIRA

504:20
09/08/15 09:52:00
Kaspersky2009 2009/08/15 9:26:00 返答無いけど対処進行中。

>>481
windowsprotectionsuite
 ●ActivatedReleaseXP.exe - Trojan.Win32.FraudPack.qgl
 ●ActivatedSetup.exe - Trojan-Downloader.Win32.FraudLoad.fgc
  ActivatedSetupRelease.exe -
  ActivatedSetupReleaseXP.exe -
  Release.exe -
  ReleaseXP.exe -
  SetupRelease.exe -

>>489
uliondarvasoka
 ●Installer2.exe - Trojan.Win32.FraudPack.qgj



505:名無しさん@お腹いっぱい。
09/08/15 14:59:52
カスペ2010 13:59

>>(473,(481,504) tane0497
2/7のまま
提出済み。返事は当方で受領

>>488(>>489,504)
2+1=3/4
humourOr.swf、検体提出します。

>>495㌧ (>>500㌧)
3/10のまま
検体提出します。




506:20
09/08/15 15:16:40
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 32個。MalwareDomainListの2009/08/14分 その1。
122.70.145.135
  test.exe - URLリンク(www.virustotal.com) (21/41)
133.153.36.72.static.reverse.ltdomains
  install.exe - URLリンク(www.virustotal.com) (7/40)
195.2.253.253
  rekl5.exe - URLリンク(www.virustotal.com) (30/41)
77.221.153.181
  css1.exe - URLリンク(www.virustotal.com) (6/41)
  css2.exe - URLリンク(www.virustotal.com) (8/41)
  css3.exe - URLリンク(www.virustotal.com) (9/40)
7y3x.cn
  svchost.exe - URLリンク(www.virustotal.com) (17/41)
842812.cn
  load.exe - URLリンク(www.virustotal.com) (22/41)
abdomains.cn
  eva7.exe - URLリンク(www.virustotal.com) (6/41)
chartse.cn
  z.exe - URLリンク(www.virustotal.com) (6/41)
d.ksxwa
  x3.css - URLリンク(www.virustotal.com) (31/41)
deloput.cn
  bot.exe - URLリンク(www.virustotal.com) (8/41)

507:20
09/08/15 15:18:05
>>506 続き
directmfs.cn
  exe.exe - URLリンク(www.virustotal.com) (21/39)
exesmooth
  av-scanner.48040.exe - URLリンク(www.virustotal.com) (6/41)
get-files-now.info
  setup1.exe - URLリンク(www.virustotal.com) (2/41)
  setup2.exe - URLリンク(www.virustotal.com) (2/41)
  setup3.exe - URLリンク(www.virustotal.com) (2/41)
  setup4.exe - URLリンク(www.virustotal.com) (2/41)
  setup5.exe - URLリンク(www.virustotal.com) (2/40)
  setup6.exe - URLリンク(www.virustotal.com) (2/40)
  setup7.exe - URLリンク(www.virustotal.com) (2/40)
  setup8.exe - URLリンク(www.virustotal.com) (2/41)
itiluk
  itiluk.exe - URLリンク(www.virustotal.com) (38/41)
javastat.cn
  load.exe - URLリンク(www.virustotal.com) (14/41)
lead-trix.com
  explorer.exe - URLリンク(www.virustotal.com) (18/41)

508:20
09/08/15 15:19:13
>>507 更に続き
nigmo.cn
  ldr.exe - URLリンク(www.virustotal.com) (23/41)
omayn.cn
  loader.exe - URLリンク(www.virustotal.com) (21/41)
ronplesco.cn
  bot.exe - URLリンク(www.virustotal.com) (9/41)
shkens.net
  bot.exe - URLリンク(www.virustotal.com) (8/41)
ta1ch1.cn
  bot.exe - URLリンク(www.virustotal.com) (34/41)
updateservisetf.ru
  update.exe - URLリンク(www.virustotal.com) (14/41)
vpopku.org
  preview.exe - URLリンク(www.virustotal.com) (30/41)

509:20
09/08/15 15:25:03
>>506
AVIRA 7.01.05.117 (黒 17+HEUR 0+未検出 15)/32。未検出分 提出済み。
数が多いので、検出分は省略。

【未検出】 ●付きは判定済みでサーバー自動返答。(VDFアップデート待ち) 黒 10,解析中 5
77.221.153.181
  css1.exe -
  css2.exe -
abdomains.cn
 ●eva7.exe - TR/Inject.IC
chartse.cn
  z.exe -
deloput.cn
  bot.exe -
exesmooth
  av-scanner.48040.exe -
get-files-now.info
 ●setup1.exe - MALWARE
 ●setup2.exe - MALWARE
 ●setup3.exe - MALWARE
 ●setup4.exe - MALWARE
 ●setup5.exe - MALWARE
 ●setup6.exe - MALWARE
 ●setup7.exe - MALWARE
 ●setup8.exe - MALWARE
ronplesco.cn
 ●bot.exe - TR.Drop.Spy.Zbot.JF.1

510:名無しさん@お腹いっぱい。
09/08/15 15:34:44
>>506
Symantec、Panda、GDATA(=avast!&BitDefender)、ESETへ提出

511:名無しさん@お腹いっぱい。
09/08/15 15:40:29
カスペからの返事
>>473(>>481,504,505) tane0497
8+2=10/17、白1、残6 (計算ミス修正orz)

83892jhasld4bkjbaskdj
money.exe - No malicious code was found in this file.


512:名無しさん@お腹いっぱい。
09/08/15 15:40:53
>>506
Symantecから自動返答(一部)

filename: css1.exe
machine: Machine
result: See the developer notes

filename: css3.exe
machine: Machine
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)

filename: css2.exe
machine: Machine
result: See the developer notes

513:名無しさん@お腹いっぱい。
09/08/15 15:41:43
>>506
filename: setup6.exe
machine: Machine
result: See the developer notes

filename: setup3.exe
machine: Machine
result: See the developer notes

filename: setup7.exe
machine: Machine
result: See the developer notes

filename: setup4.exe
machine: Machine
result: See the developer notes

filename: setup1.exe
machine: Machine
result: See the developer notes

filename: setup8.exe
machine: Machine
result: See the developer notes

filename: setup5.exe
machine: Machine
result: See the developer notes

filename: setup2.exe
machine: Machine
result: See the developer notes

514:20
09/08/15 15:44:10
>>506
Kaspersky2009 2009/08/15 14:45:00 (黒 17+HEUR 1+未検出 14)/32。HEURと未検出分 提出済み。

【HEUR】
javastat.cn
  load.exe -HEUR:Trojan-Downloader.Win32.Generic

【未検出】
133.153.36.72.static.reverse.ltdomains
  install.exe -
77.221.153.181
  css1.exe -
  css2.exe -
  css3.exe -
abdomains.cn
  eva7.exe -
get-files-now.info
  setup1.exe -
  setup2.exe -
  setup3.exe -
  setup4.exe -
  setup5.exe -
  setup6.exe -
  setup7.exe -
  setup8.exe -
updateservisetf.ru
  update.exe -

515:471
09/08/15 16:21:24
MalwareURL.comから入手した、検出できないベンダーが多いトロイ
偽者セキュリティを装っています

VirusTotalでの検査結果はこちら
URLリンク(www.virustotal.com)

9/41検出可能でした

URLリンク(tane.sakuratan.com)
ダウンロード・解凍共通パス
infected

ほとんどのベンダーが対応しているものばかりなので
投稿しても意味がないと思いましたので
一個しかないのです

申し訳ないです



516:名無しさん@お腹いっぱい。
09/08/15 16:44:44
>>515
Symantec、Panda、GDATA2010(今回はavast!のみ)、Kaspersky、AVGへ提出

517:名無しさん@お腹いっぱい。
09/08/15 17:38:21
カスペ2010 15:57
>>506㌧(>>514代理提出㌧) tane0500
18/32
当面見合わせ

Trojan-Spy.Win32.Zbot.aacm    /122.70.145.135/test.exe
Trojan-Spy.Win32.Zbot.gen    /195.2.253.253/rekl5.exe、   /842812.cn/load.exe、   /itiluk/itiluk.exe、   /vpopku.org/preview.exe (4 files))
Trojan-GameThief.Win32.Magania.buxy    /7y3x.cn/svchost.exe
Trojan-Spy.Win32.Zbot.aaes    /chartse.cn/z.exe
Trojan-Downloader.Win32.Agent.cmci    /d.ksxwa/x3.css
Trojan.Win32.Buzus.btzu    /deloput.cn/bot.exe
Trojan-Banker.Win32.Bancos.fcn    /directmfs.cn/exe.exe
Trojan-Downloader.Win32.FraudLoad.fga    /exesmooth/av-scanner.48040.exe
virus HEUR:Trojan-Downloader.Win32.Generic    /javastat.cn/load.exe//PE-Crypt.Eta
Backdoor.Win32.Agent.ajyu    /lead-trix.com/explorer.exe
Trojan-Spy.Win32.Zbot.aafg    /nigmo.cn/ldr.exe
Trojan-Banker.Win32.Bancos.fed    /omayn.cn/loader.exe
Trojan-Spy.Win32.Zbot.aaet    /ronplesco.cn/bot.exe
Trojan.Win32.Buzus.btzt    /shkens.net/bot.exe
Trojan.Win32.VB.sbz    /ta1ch1.cn/bot.exe

518:20
09/08/15 17:52:53
>>515 乙です。
AVIRA 7.01.05.117 黒 1/1。

【検出】
cheapsecurityscan.com
 ●install.exe - TR/Dropper.Gen

>>514 事後 黒+1
133.153.36.72.static.reverse.ltdomains
 ●install.exe - Trojan-Downloader.Win32.FraudLoad.wobh

う~ん、Kasperskyは進展するけど、相変わらず返答が来ないな...

519:名無しさん@お腹いっぱい。
09/08/15 17:55:51
>>518

検出したら、返答いらなくね?

520:名無しさん@お腹いっぱい。
09/08/15 18:07:04
それより、ほかのベンダーの最終分析結果を知りたいな。

特に、ビッグ3と無償化されるMS


521:名無しさん@お腹いっぱい。
09/08/15 18:58:59
>>495
pop0p.cn

xx.html URLリンク(www.virustotal.com) (7/41)

14.js URLリンク(www.virustotal.com) (0%)
15.js URLリンク(www.virustotal.com) (Avast, GDATA)
16.js URLリンク(www.virustotal.com) (Avast, AVG, GDATA)
a.jpg URLリンク(www.virustotal.com) (MS)
b.jpg URLリンク(www.virustotal.com) (0%)
c.jpg URLリンク(www.virustotal.com) (0%)
d.jpg URLリンク(www.virustotal.com) (AntiVir, McAfee-GW)
e.jpg URLリンク(www.virustotal.com) (McAfee-GW)
f.jpg URLリンク(www.virustotal.com) (AntiVir, McAfee-GW)


522:名無しさん@お腹いっぱい。
09/08/15 19:00:15
>>521の続き

swfobject.js URLリンク(www.virustotal.com) (0%)
TD14.htm URLリンク(www.virustotal.com) (9/41)
url.jpg URLリンク(www.virustotal.com) (0%)
y1.htm URLリンク(www.virustotal.com) (Avast, Comodo, GDATA、Sophos, TM)
yt.htm URLリンク(www.virustotal.com) (Avast, GDATA)
ytf1.htm URLリンク(www.virustotal.com) (アンラボ、Avast,AVG,Comodo,GData, TM)
yut.htm URLリンク(www.virustotal.com)(a-squared, Avast,GDATA,Ikarus,MS,.VB)

いったい、CleanなのかUnder AnalysisかFPなのか?
VTだけでは全然把握できないorz
実機と違うというのもあるし

523:名無しさん@お腹いっぱい。
09/08/15 19:14:16
>>521-522

呼び出しファイルだけ検知すればいいんじゃね。

その下の単体ファイル(たとえば、"b.jpg")が汎用的なウイルスかどうかは知らねw

興味あるやつだけでどうぞという感じ.

ヤバそうなスクリプトはありそうだけれど。
ひょっとしたら、全部黒かもしれないし。w

524:20
09/08/15 19:34:00
>>519
黒なら検出できるようになれば良いんだけど、判定が白だった場合、返答がないと
 ・処理されてない
 ・無害(白)判定
の状況がわからないので...できれば返答は欲しい所。


愚痴っぽいんでアレだけど、他社もAVIRAみたいなシステムにしてくれると良いんだけどね。
AVIRAのシステムだと、全ての検体に対して、必ず判定結果のメール来るし。

鯖に検体アップ→自動分別→必要な分はアナリストが分析→結果を鯖に書き込む→自動で鯖が判定メール発信。
多分、重複して検体が提出されても、鯖が全部自動処理するので、アナリストの負荷が増えない。

# AVIRAのシステムの一番良い点は、過去に白判定されたファイルは、鯖が自動で『それは白』と返事をくれるところ。
 基本的にベンダーに提出されるファイルは『ソフトが検知しなかったファイル』だから、疑惑ファイルで白判定のものは
 延々と提出される可能性がある。

 で、延々と提出されても、それがアナリストの負荷にならないように & 提出者が白であることが確認できるように
 なっている(鯖が作業を代行している)のがAVIRA。 非常に合理的です。

525:20
09/08/15 19:42:02
>>521-523
拡張子がjpgのファイルも、中身は全部textです。 >495に書いた通り、全部が組み合わさって攻撃になります。

ファイルが分割されているのは、セキュリティソフトに検出されにくくするためですネ。
ですので、全部まとめて提出しないとベンダー側は判定できません。

# 人力でも、xx.htmlから順に追いかける(src=等を全部組み立てる)と、攻撃コードを完成させられます。

526:20
09/08/15 19:43:46
URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 9個。MalwareDomainListの2009/08/14分 残り。
blt.kz
  patch.exe - URLリンク(www.virustotal.com) (10/41)
  pdf_php.pdf - URLリンク(www.virustotal.com) (2/41)
  swf_php.swf - URLリンク(www.virustotal.com) (12/41)
flowersagents
  bc.pdf - URLリンク(www.virustotal.com) (5/41)
  op.exe - URLリンク(www.virustotal.com) (1/41)
promoluz.pt
  postcard.scr - URLリンク(www.virustotal.com) (22/41)
retorganionader
  Install.exe - URLリンク(www.virustotal.com) (26/41)
svhostbiz.cn
  i_php.swf - URLリンク(www.virustotal.com) (8/41)
  img_php.exe - URLリンク(www.virustotal.com) (12/41)

527:20
09/08/15 19:48:38
>>526
AVIRA 7.01.05.117 (黒 4+HEUR 0+未検出 5)/9。未検出分 提出済み。

【検出】
blt.kz
  swf_php.swf - HTML/Malicious.Flash.Gen
promoluz.pt
  postcard.scr - WORM/IrcBot.788895
retorganionader
  Install.exe - TR/Dldr.FraudLo.sxm
svhostbiz.cn
  i_php.swf - EXP/SWF.28992

【未検出】
blt.kz
  patch.exe -
  pdf_php.pdf -
flowersagents
  bc.pdf -
  op.exe -
svhostbiz.cn
  img_php.exe -

528:20
09/08/15 20:02:40
>>526
Kaspersky2009 2009/08/15 17:10:00 (黒 3+HEUR 0+未検出 6)/9。未検出分 提出済み。

【検出】
blt.kz
  swf_php.swf - Exploit.SWF.Agent.au
promoluz.pt
  postcard.scr - Backdoor.Win32.IRCBot.lut
retorganionader
  Install.exe - Trojan.Win32.FraudPack.qgn

【未検出】
blt.kz
  patch.exe -
  pdf_php.pdf -
flowersagents
  bc.pdf -
  op.exe -
svhostbiz.cn
  i_php.swf -
  img_php.exe -

529:名無しさん@お腹いっぱい。
09/08/15 20:32:59
>>526
Syamntec、Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出

530:名無しさん@お腹いっぱい。
09/08/15 21:07:23
>>495>>506>>515>>526
McAfeeに提出させて頂きました。

531:20
09/08/15 21:20:05
>>514
Kaspersky返答。全部新種の黒判定。

【未検出】
133.153.36.72.static.reverse.ltdomains
 ●install.exe - Trojan-Downloader.Win32.FraudLoad.wobh
77.221.153.181
 ●css1.exe - Trojan-Spy.Win32.Zbot.aafi
 ●css2.exe - Trojan-Spy.Win32.Zbot.aafj
 ●css3.exe - Trojan-Spy.Win32.Zbot.aafk
abdomains.cn
 ●eva7.exe - Trojan.Win32.Inject.ahte
get-files-now.info
 ▼setup1.exe -
 ▼setup2.exe -
 ▼setup3.exe -
 ▼setup4.exe -
 ▼setup5.exe -
 ▼setup6.exe -
 ▼setup7.exe -
 ●setup8.exe - Trojan-Downloader.Win32.FraudLoad.wocf
updateservisetf.ru
 ●update.exe - Trojan-Dropper.Win32.Agent.bahz

判定マークは無いけど、検出名はこう書いてありました。で、文脈からすると、setup1.exe~setup8.exeの8個とも
Trojan-Downloader.Win32.FraudLoad.wocf(全部同じ)になるよ、ということらしい。

あと、HEURの方だけ隔離フォルダから別送したので、判定メールに結果が含まれていませんでした。

532:516
09/08/15 21:25:56
>>515
Kasperskyから返事来ました

install.exe_ - Trojan-Dropper.Win32.FrauDrop.gh

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

533:名無しさん@お腹いっぱい。
09/08/15 21:29:22
>>532
新しい悪意のあるソフトウェアは、
このファイルで見つかりました。
意志が次の最新版に含まれることは、
発見です。あなたの援助をありがとう。

534:20
09/08/15 21:48:28
本日のおまけ

URLリンク(www.tane.sakuratan.com)
 DL virus/解凍 virus

【中身】 2個。 スレリンク(sec板:186番) から。
aimeblog
  blog_281.htm - URLリンク(www.virustotal.com) (15/38)
  darkst.png - URLリンク(www.virustotal.com) (29/40)
-----
AVIRA 7.01.05.117 黒 2/2,提出無し
 blog_281.htm - JS/Agent.GFE
 darkst.png - EXP/Pidief.ged.1
-----
Kaspersky2009 2009/08/15 17:10:00 黒 2/2,提出無し
 blog_281.htm - Trojan-Downloader.JS.Iframe.apk
 darkst.png - Exploit.JS.DirektShow.a

535:名無しさん@お腹いっぱい。
09/08/15 22:13:05
>>524-525

なんか感覚にすれ違いがあるようだ。

年に数十万種発生しているのに、重箱の隅の1日数十種で労力かけて意味があるのかな。厳しい言い方だが、MDLに盲目的で神経質すぎ。

さらに、ベンダーからの返事はライセンス保有者なら把握できるけれど、自分がライセンスを持っていないベンダーの結果が全然掲載されていないので、
インストールしていない検知結果は不可視になっていて、参考にもならず、報告スレとして機能していない。

目立つ報告が、AviraとKasaperskyだけ。それ以外はブラックボックス。2ベンダーを持ち上げ、他のベンダーをおとしめる>>20さんの自己満足スレか?

>>521-522も、主要ベンダーについて、 InconclusiveかCleanかわからない。

# 人力でも、xx.htmlから順に追いかける(src=等を全部組み立てる)と、攻撃コードを完成させられます。

労力が大変なのに、スレ住民にそれだけ労力を要求するなんて、提出者を離反させているんじゃね。

それに、現況の>>521-522の検出結果を見ると、すべてのセキュリティーベンダーは惨憺たる状態じゃん。w



前々スレあたりから参加している奴が明らかに減っているのは明らか。昔は賑やかだったのに。

全ベンダーに投げっぱなしで、後は放置プレイで終了している状態じゃん。

スレの存在位置があるのかな?

536:名無しさん@お腹いっぱい。
09/08/15 22:54:09



・淡々とやれ淡々と!
 淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。






537:20
09/08/15 23:02:22
>>535
では、貴方が検体を提供したり、自分の使っているベンダーの検出結果の報告をしたりすれば良いのでは?

私がAVIRAとKasperskyの報告をしているのは、単に『 その2つを私が使用しているから 』に過ぎない。
他のベンダーのソフトはインストールすらしていないのだから、報告など上げられるはず無いだろう?

# 一応、代替手段として、全てのファイルに対して極力VTの結果を付けているがね。

あと、そういうことを書くのであれば、私がいつ他のベンダーを貶めたのか、書いてもらいたい所。
というか、マジで、まずは最初に書いたとおり、検体集めるなり報告するなりしてみてはどうだろう。


あと、この際書いておくけど、私が提供している検体は、MDLの物をそのまま出しているわけではなく
一度自分で判別してから出しているので、労力がかかってないと思っているのなら完全に考え違い。

# MDLを盲信なんぞしてないぞ。大体、MDLのリスト、半分程度しかまともな検体無いんだから。
 それに、MDL以外の検体も入手できる度にスレに出しているし。

538:名無しさん@お腹いっぱい。
09/08/15 23:14:02
>>534
McAfee (Active Protection 無効)1/2
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
blog_281.htm |inconclusive | | |no

539:名無しさん@お腹いっぱい。
09/08/15 23:46:54
>>537

真性のアホか。

1. 最初の結果と最終の検出結果がおまえの使っているベンダー以外は掲載されていないことを
 引き起こしている間接的な道義的責任を問うているのに、何を勘違いしているの?

全ベンダーの最終検出結果はこのスレのどこに一体記載してあるの?
ほとんどおまえのレスで埋め尽くし。
挙げ句の果てには、つまらん感想文などを縷々延々と書く始末。
空気が読めず、スレのdatサイズも全く考えず。


2.「そういうことを書くのであれば、私がいつ他のベンダーを貶めたのか、書いてもらいたい所。
というか」への反証

「延々と提出されても、それがアナリストの負荷にならないように & 提出者が白であることが確認できるように
 なっている(鯖が作業を代行している)のがAVIRA。 非常に合理的です。」

他のベンダーは屑で見事におとしめていますね。w

>>536さんの言うとおり、淡々とやれ。カス。
感想文とかはTwitterでつぶやいておけ。


3. >マジで、まずは最初に書いたとおり、検体集めるなり報告するなりしてみてはどうだろう。


そんなにオナニー検出が好きならば、検体をアップせず、一人でオナニー検出しておけよ。
アク禁が頻繁にかかるほど悪いことしてないし。

540:名無しさん@お腹いっぱい。
09/08/15 23:47:55
>さらに、ベンダーからの返事はライセンス保有者なら把握できるけれど、自分がライセンスを持っていないベンダーの結果が全然掲載されていないので、
>インストールしていない検知結果は不可視になっていて、参考にもならず、報告スレとして機能していない。

NortonとPandaとGDATAを使ってるものだが(提出&報告はしてないがAviraPremiumSecuritySuiteも使ってる)検出報告はAviraとGDATAは報告しやすくPandaとNortonの検出報告は異常に大変

AviraとGDATAの検出結果のログのコピペは割りと楽だけどPandaはかなり大変、コピペした後の整理がしんどすぎる
Nortonにいたってはそもそも検出結果のログのコピペすらできない

しかも最近は一度の検体のうpに大量の検体が含まれてるのでそんな状態でのPandaとNortonの検出報告は無理、もうお手上げです
最初に検出報告をしてない以上、リアルタイムでの対応結果報告も出来るわけがない、もっと厄介なことになる

541:名無しさん@お腹いっぱい。
09/08/15 23:58:15
>>539
一応、1について補足しておくと、

検体アップロードする奴と、検出結果を掲載する奴が同じだと、時間差を利用することにより、
検出結果が改ざんできて印象操作できるよね

このスレの検出結果を他のスレにコピペして煽りに使われているのに。
なに、その劣化版八百長AV-Test.org?

なんで、アップロードするときに、VDFが更新されるのがわかるの?
おまえの使っているのAntiVirとカスペって、反映が早いのに定評ある製品ばかりじゃん。
検体を選別するときに、提出できるよね。

>>1-3の精神に反していない?

>>537みたいに激高型レス返されると困る。

>>521-522の結果は一体どうなったの?
# 人力でも、xx.htmlから順に追いかける(src=等を全部組み立てる)と、攻撃コードを完成させられます。
は嘘ついているの?





542:名無しさん@お腹いっぱい。
09/08/16 00:00:19
>>539
↓にいたっては
>「延々と提出されても、それがアナリストの負荷にならないように & 提出者が白であることが確認できるように
 なっている(鯖が作業を代行している)のがAVIRA。 非常に合理的です。」

Symantec、McAfee、TrendMicro、Pandaなんかは検体収集の自動処理を行ってるからこれも合理的な手法なんだが>>20はそれを理解できないようで
そもそもAviraにはヒューリスティック検出時にその検体をベンダーに送信される機能すらないわけで(avast!やESETにはある)

543:名無しさん@お腹いっぱい。
09/08/16 00:10:21
「そもそもAviraにはヒューリスティック検出時にその検体をベンダーに送信される機能すらないわけで」は訂正、今確認したらそれに該当する機能があったので失敬

544:名無しさん@お腹いっぱい。
09/08/16 00:18:32
たしかに、最近ちょっと検出数が多すぎる。
昨日は59個とか。
正直、重荷だ。

既知の古い脆弱性を突くエクスプロイトは、Windows Updateや、サードパーティーなど最新版に更新しておけば問題ないような。
最新のFlash PlayerでExploitはあるの?
旧バージョンの既知のエクスプロイトを突くのを提出するのは、意味がないような。

提出に忙殺されて他のことができない。(´・ω・`)ショボーン


545:名無しさん@お腹いっぱい。
09/08/16 00:29:05
しかも最近あげられる検体はファイルサイズも大きいから検出報告だけじゃなく検体提出時にも苦労させられるという
そのまま送ったら「ファイルサイズが大きすぎる」と怒られるからいちいちファイルを分割しなきゃいけないしメールとWebフォームの両方で提出する人は更に地獄

検出報告と検体提出するベンダーが一つだけならまだ楽だけど複数のベンダーの検出報告して複数のベンダーの検体提出する人は検出報告と検体提出だけで確実に数時間はとられる

546:名無しさん@お腹いっぱい。
09/08/16 01:24:27
カスペからの返事
>>473(>>481,504,505,511) tane0497
8+(2+1)=11/17、白1、残5
\windowsprotectionsuite\Release.exe_ -   - Trojan.Win32.Agent2.chog

>>488(>>489,504) tane0498
2+(1+1)=4/4で閉鎖
imagehut3.cn\humourOr.swf - Exploit.SWF.Agent.bz

>>495(>>500,505) tane0499
3+2=5/10、残5

mooshooh.info \ bot.exe - Trojan.Win32.Refroso.eww
silver-metscorp \ pdf_php.pdf - Exploit.Win32.Pidief.biz


>>544
69個。
もう寝るw



547:名無しさん@お腹いっぱい。
09/08/16 02:20:53
ここまでa-squaredとMalwarebytesに提出しました
>>545
あまり無理する必要ないよ
Symantecのフォームは2窓まで送信対応してるけど
今後慣れている僕が提出しましょうか?

548:名無しさん@お腹いっぱい。
09/08/16 03:16:51
まぁまぁ、みなさん、おちついて。

549:20
09/08/16 11:34:52
>>528
Kaspersky返答 黒+6。 黒(3+事後 6)/9でclose.

blt.kz
 ●patch.exe - Trojan-Dropper.Win32.Agent.baix
 ●pdf_php.pdf - Exploit.Win32.Pidief.bjb
flowersagents
 ●bc.pdf - Exploit.Win32.Pidief.bja
 ●op.exe - not-a-virus:FraudTool.Win32.WinSpywareProtect.ajn
svhostbiz.cn
 ●i_php.swf - Exploit.SWF.Downloader.oi
 ●img_php.exe - Trojan-Dropper.Win32.Agent.baiw

550:20
09/08/16 11:58:30
>>539
はあ、つまり私が信用できない、ということで。 つか、2chで道義的責任を追及されるとは、世の中も変わったねぇ。(w

なんで、私が全ベンダーの最終検出結果まで責任を負わなきゃいけないんだ?
このスレに検体を出すということ=全ベンダーに対する責任発生ですか?

> そんなにオナニー検出が好きならば、検体をアップせず、一人でオナニー検出しておけよ。

実際、こちらとしてはそれでも一向にかまわないけどね。単に検体提出先が自分の使っているベンダーに限られるだけで、
自分の環境の保全はできるわけだし。

というか、どうも話の流れからすると、そうした方が良さそうなんで、皆様サヨウナラ。m(_ _)m


追記) 一応AVIRA(とKaspersky)の名誉のために書いておく。
>541
>なんで、アップロードするときに、VDFが更新されるのがわかるの?

AVIRAのWEB提出使えば理由がわかるけど、VDF反映前の検体でも、画面に判定結果が表示される。

>検体アップロードする奴と、検出結果を掲載する奴が同じだと、時間差を利用することにより、
>検出結果が改ざんできて印象操作できるよね

AVIRAとKasperskyに有利な結果を書くのなら、全部処理が終わって検出できるようになってから
このスレに検体上げるけどねぇ。 提出してから1日待って、それから検体このスレに出せば済む話だし。

そうすれば、AVIRAとKasperskyの結果、検出率 常時90%以上なんて簡単に出せるぜ。そんなことしないけど。(w

>そもそもAviraにはヒューリスティック検出時にその検体をベンダーに送信される機能すらないわけで
わかりにくい所にあるけど、AVIRAにもHEUR隔離ファイルの提出機能あるよ。ポップアップしないから、確かに提出面倒だけど。

じゃあ、皆様サヨウナラ。このスレはこのスレで今後マッタリやって下さい。

551:20
09/08/16 12:04:04
>>541 追記2) 1レスに書ききれなかったんで。m(_ _)m

> >>521-522の結果は一体どうなったの?
> # 人力でも、xx.htmlから順に追いかける(src=等を全部組み立てる)と、攻撃コードを完成させられます。
> は嘘ついているの?

・実際に行われている攻撃は、分割ファイルを使用して行われているので、組み立てたファイルを提出しても意味が無い。
 (全部出して欲しいの意味は、攻撃者の攻撃方法をベンダーに通知する意味もある)
・個人的には、実際、xx.htmlを検知するだけでもある意味凄い。(xx.htmlをテキストエディタで開いてみればわかるけど...)

では、皆様ごきげんよう。

552:名無しさん@お腹いっぱい。
09/08/16 12:40:52
えー!
20さん戻って来てー
いつも勉強させてもらってたのに・・・


553:名無しさん@お腹いっぱい。
09/08/16 14:55:48
気に入らない奴は20をNGしときゃいいだろうに
やたらと噛み付くのはよっぽど何か気に入らないことがあるんだろうなw

554:名無しさん@お腹いっぱい。
09/08/16 15:03:47
ESETに提出しても対応してくれないムッキー!

555:名無しさん@お腹いっぱい。
09/08/16 15:27:02
>>20

二度と帰ってくるなよw



556:名無しさん@お腹いっぱい。
09/08/16 16:21:57
役に立つ人間が去って文句ばっか言う奴が残ったかw

557:名無しさん@お腹いっぱい。
09/08/16 16:22:18
ロードスの平和は、漏れ達が守る!!!! んじゃなかったのか!! >>20 よ!!!!!! 戻ってくるんだ!!!!

558:名無しさん@お腹いっぱい。
09/08/16 17:21:59
>>553
基地外の煽り体制のない煽りを20もあぼーんで対処すればよかったのに
2ちゃんねるなんて遊びなのに

最後はマンセーして火病で捨て台詞上等w

559:名無しさん@お腹いっぱい。
09/08/16 17:49:34
どちらにしろカスペ信者にはろくな奴がいないということだ

560:名無しさん@お腹いっぱい。
09/08/16 18:12:02
また雑音か

561:名無しさん@お腹いっぱい。
09/08/16 18:24:21
雑音っぽいな。
PC2台組み立てて、Aviraにも浮気したんだ。
自作オタだから。

自称、サラリーマンで、>>20は今出張先からなんだが、とかうざかった。
見え見えの嘘で、ニートなのに。w

で、いつも上から目線でうんちくや他製品に対する優位性を空気も読まずに
書く


基本、このスレはアルファベット英数字だけでいいんだよ。


562:名無しさん@お腹いっぱい。
09/08/16 19:01:42

提出感想、対応の善し悪しは一番いいAVスレでやってほしい

>>479,524,550-551は正直イメージ悪いよ
挑発的というか、亀田三兄弟を思い出す
2chだから、ビッグマウスがくると、絶対擁護厨とアンチで荒れるだろ,JK

563:アプロダ”管理”人 ◆HL2fUAyECQ
09/08/16 20:35:23

>>20氏去って、このスレッド崩壊の危機ならば
アプロダしめる鴨よ




564:1
09/08/16 21:52:38
>>563
沈静化するまで、当面閉めた方がいいかもね。マジで
>>20もアンチも両方悪い。

このスレッドはもはや機能しなくなっている。スレ立て、Wikiメンテとかやってきたけれど、もう限界
アップする人の中立性の欠如、キチガイの荒らし、自作自演、レッテル張り、誹謗中傷、すでに末期状態でしょ?違う?
どうせあとはコピペ、AAで埋まるだけ。

継続するなら、再度スレッドのローカルルールの見直しが必須。

※形骸化しているルール

・淡々とやれ淡々と! 淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。

・ソフトの優劣の議論は別スレで!!(下記スレなど)
一番いいセキュリティソフトはなんだ!!Part66



・ベンダーの対応が異常に遅い、他のベンダー対応は屑だ。返事・検知が異常に遅い。(ない)等の愚痴・中傷の禁止
・セキュリティ・ポリシーの相違を尊重。(A社の判定が狂っている。判定結果に信頼できない。B社の対応はネ申。)等の過剰な議論の禁止
・個別検体の長文の評価の禁止
・うpしてて頂いていている方への悪口、中傷、個人攻撃の禁止
・反対に、うpされた検体の不検知、非評価の自由の保証。(非検出ベンダーへの非難中傷の禁止)
・提出感想、レスポンス速度、検出システムの良否評価、感想は一番いいAVスレで


基本は、任意参加、自由提出、自由報告

私見な



565:名無しさん@お腹いっぱい。
09/08/17 00:18:26
>>20の最後って検体大量にアップしまくりで>>20が使ってるベンダーは検出報告が楽なベンダーだからいいけど他のベンダー使ってる人は本当に過酷
一日に30以上もの検体アップされて検出報告しっかりやれと言われてもこっちにも限度がある

>>20はこの点でもスレ住人にかなり負担をかけてるように思った
今の状態で「検出報告しっかりやれ」なんて言われたらノートン、ウイルスバスター、マカフィーの御三家を使ってる人は確実にぶち切れる、御三家はどれも検出報告が大変なベンダーだから

566:名無しさん@お腹いっぱい。
09/08/17 02:02:55
URLリンク(www3.atword.jp)
某大規模掲示板はあまり見ていないのですが
IRC経由で、その中でも一番有益と思われるスレッド(?)が何やらモメてる様子・・・
私はまったく参加していませんが、皆さんの「善意」の努力が一発で水泡に帰しそうな感じを受けました。
私から言えることは
「Take it easy」(気楽にいきましょ)
って感じでしょうか?
20番さん、嫌になったら少し距離を置くことも重要です
そして calm down できたら、また何もなかったように再開しましょう~

567:20
09/08/17 07:20:00
ええと、書き込み・活動自粛でしたが、話が急転直下しているのでお邪魔いたします。
今回は皆様にご迷惑をおかけして、大変申し訳ありませんでした。m(_ _)m

>>563
ロダですが、私が大量に使用してご迷惑をおかけしたのは事実ですが、私以外にも検体提供者は
おりましたし、ロダが目的外使用(荒らし)にあっていたわけでもないので、いきなり閉める必要は
無いのではないかと思います。

>>564
ご迷惑をおjかけして申し訳ない。ただ、一つだけ、今後のためにお願いしたい。

検体をアップする人間の中立性は、証明するのが大変、とても、難しい。

今回、特に特定のベンダーに有利な条件で検体を集めていたわけでもないのに恣意的であるとの苦情が出ました。
もし検体アップに中立性を求めると、おそらく今後また同じ話になると思います。

多分、出ている検体が気に入らないに人にとっては、検体のパックが自分に対して
意図的に悪意がある、と感じられるのだと思います。

何であれ検体が集まればそれで良し、と考える程度の方が良いのではないかと思います。

私自信は、今後このスレに書き込まない・ロダを利用しないと約束しますので、
いきなり閉鎖などではなく、もう少し様子見ではいかがでしょうか。

>>565
私のログ書き込みは、単にVT補完の意味で、他の人にまでそれを求めたことはありません。

このスレが検出可否のスレであって、鑑定スレではない。つまり白黒ハッキリしないファイルの提出場所ではないため
提出したファイルがマルウェアであることを証明するための補完作業でした。(たまに自分の判断ミスで
白いファイルが入ることがありましたが。)

以上、再度、皆様にお詫びをして、終りといたします。m(_ _)m

568:名無しさん@お腹いっぱい。
09/08/17 15:35:04
>>567
>私のログ書き込みは、単にVT補完の意味で、他の人にまでそれを求めたことはありません。

別に貴方に言ってるわけじゃないしそれに他の人に求めてないとかそういう問題じゃないの
「検出報告を行って検体提出する」というのがこのスレのルール
だから「このスレで検出報告が殆どなくスレが機能してない」と文句言われるのも当然のこと

しかしながら貴方の最近の検体アップ状況を見ると一日に何回もアップしてしかも大量の検体が含まれてるものだから他の検出報告する人や検体提出する人に大きな負担をかけてしまったわけ
>>565でも書いたけど一部のベンダーは検出報告が困難なのがある、そんな中で大量に検体をアップされるとまともに検出報告できる状況じゃない
「Aviraとカスペ以外の検出報告がまともにないぞゴルァ!!」「そんなこと言われたってこんなに大量に検体があるんじゃまともに検出報告できねーよ」とこんな中で貴方は知らん顔で大量の検体をアップし続けていく、これも問題になったことでしょう

幸い貴方は最初にVTの結果を貼ってくれて一通りのベンダーの検出状況がわかるけどこれも最初だけ、でも随時VT結果一覧なんて貼ったらすぐにスレの容量オーバーしちゃうからこれも問題出るしね

ま、貴方に要望をするとしたら今の検体アップロードのペースで行くならまず最初に一通りのベンダーに検体を提出して欲しい
それだけでもスレ住人の負担が減ると思うから、あとは検出報告するかどうかは検体の量次第かも

569:名無しさん@お腹いっぱい。
09/08/17 16:03:08
大量の検体をアップされたら大きな負担なの?
良く分からんけど強制じゃないんで負担ならしなきゃいいんじゃね?
俺はドンドンとアップされた方が嬉しいけどね

ここの常連じゃないけどさ
>>564さんみたいなルール作って何とか継続してもらいたいよ

570:名無しさん@お腹いっぱい。
09/08/17 16:28:48
>>569
>大量の検体をアップされたら大きな負担なの?

一つのベンダーのみなら楽なんだけど複数のベンダーに提出する人とかは大変
以前にVT一覧のベンダーに一通り提出する人も見なくなった、あの人が今もいたら今の状況だと過労死してるよ(大げさな言い方だけど本当にそれぐらい大変)

あとなぜ検体提出が大変なのかというとベンダーによって提出ファイル数が制限されてたり提出ファイルサイズが制限されてたりする、だからベンダーによって提出するファイルも作り直さなきゃいけない
検体数が多くてファイルサイズが大きいと提出先ベンダーが一つでも面倒になる

検出報告も同じくベンダーによって検出報告が困難、検体量が多いと検出報告が困難なベンダーはそれだけでかなりの負担

>良く分からんけど強制じゃないんで負担ならしなきゃいいんじゃね?

それを言っちゃ終わりですw
が、参加しなきゃ誰がベンダーに検体提出するの?ってことにもなるし・・・

>>564さんみたいなルール作って何とか継続してもらいたいよ

最初からこのスレの「ルール」というものがあります
が、>>20はそのルールを少し無視してたのが問題だった(大量の検体の件ではなく上で議論されてた特定ベンダー擁護とそれ以外のベンダーの貶しということで、それと「検出報告が出来てない」という文句があったのと合わせて今回こういう問題が起きた)

571:名無しさん@お腹いっぱい。
09/08/17 17:06:45
いいから黙ってK7とバスターとesetに送れよ

572:名無しさん@お腹いっぱい。
09/08/17 17:54:27
うん、逆に複数ベンダー、全ベンダーに一人が提出されると、正直後追い提出しづらい。
アナリストへの負荷を考えるとね。
白黒がこの板で報告されないので、確認のため再提出することある、
スパマー、コレクター扱いされると、実際に感染した時に対応が遅れるの
ではないかと心配

コテハンで、縁の下の力持ちの、アップローダー管理人さんの意見
をもう一度聞きたい。
できれば、暫定ルール整備の上、閉めないでほしい。





573:名無しさん@お腹いっぱい。
09/08/17 20:33:55
ベンダへの負担っつー意味では同一バイナリは考慮しなくていいだろう
(あちらでハッシュ等で重複ハネる。そうでなきゃパンデミックとか手に負えなくなる)。

分割されている攻撃コードを同一zipでってのは効果は薄いだろう
(1つのzipにexeが1ファイルなのもあれば100ファイルなのもあるだろうし、
アナリストの負荷分散を考えれば鯖で自動的にバラしててきとーに割り振るだろう)。

ベンダ指定以外のパスワードを使ったzipなんざ無視か後回しだろうから
パス無しか「virus」か「infected」かだけは提出側のマナーとして使い分けたい。

574:名無しさん@お腹いっぱい。
09/08/17 20:42:53
●前科2犯・中尾嘉宏(46)(=2chコテハン:FOX★)について
アダルトサイト PINKちゃんねるの責任者であり、2ちゃんねるの影の責任者。
2chコテハン FOX★=中尾嘉宏(46)

■2ちゃんねる幹部・中尾嘉宏(46)(FOX★)は詐欺(出資法違反)および児童買春斡旋で
逮捕されていた。
URLリンク(web.archive.org)

北海道警生活環境課と札幌・中央署は1997年5月6日、インターネットを利用し
不特定多数の人から金を集めていたとして、出資法違反(預かり金の禁止) の疑いで
札幌市厚別区もみじ台南七丁目、パソコンソフト開発販売会社社長 中尾嘉宏容疑者(当時37)
を逮捕した。

■解説
中尾嘉宏(46)は、詐欺(出資法違反)と児童買春斡旋の罪とあわせて前科2犯。
2ちゃんねるのサーバー管理者で、ピンクちゃんねる管理者でもある。

575:名無しさん@お腹いっぱい。
09/08/17 21:41:19
なんかスレの危機みたいになってるけど、特徴的な文体の人が独り
>>20氏に粘着してるだけでしょ…
以前から対応が悪いベンダーの愚痴とか普通に話してたし
>>20氏は長文控えてくれればどうでもいいよ

576:名無しさん@お腹いっぱい。
09/08/17 21:47:42
捨て台詞を吐いて出て行った人は二度とスレに戻ってこなくていいよ。

一般論で。

577:名無しさん@お腹いっぱい。
09/08/17 22:11:24
雑音さんちーーーーーっすwwwっうぇwww

578:名無しさん@お腹いっぱい。
09/08/17 22:20:27
>>575
そういうレスもいらん

>>572-573
提出は本当に難しいですよね・・・
提出する側にもベンダー側にも負担がかかるということを検体アップロード側の人にも考慮して欲しいとも思う
まあアップロード者だって楽してやってるわけじゃないのは確かなんだけど・・・

一度こうやって揉め事が起きた以上、もう一度しっかりと話し合う必要があるのかもしれない

・提出は一人でまとめてやるか?それとも今までの形でやるか?
・検出報告はしっかりやるべき、でも報告が困難なベンダーがあるから検体が多すぎると報告者に多大な負担を与えてしまう(特に検出できる検体が多すぎると更にきつい)
・提出側のマナーとして提出先へのパスを決める

今のところ意見や議論の内容が出てるのはこんなとこぐらいか

個人的な意見としては検体をアップロードするときのファイルサイズは制限して欲しい
さすがに20MBのファイルはどうしようかと思ったときもあったから



579:名無しさん@お腹いっぱい。
09/08/17 22:31:47
ロダの下限サイズは撤廃してほしいな。
exploitなスクリプトってshellcode込みでも5kB以下、
たいてい1~2kB。zip圧縮すると1kB以下なのよね。
ゴミ画像混ぜてアップしたことが数回ある。

580:名無しさん@お腹いっぱい。
09/08/17 22:36:39
とりあえず提出する時のパスが「virus」推奨ベンダーか「infected」推奨ベンダーかも確認する必要があるんじゃないかな?
やっぱり出来るなら各ベンダーのウイルス対応が速いほうが良いからね

581:名無しさん@お腹いっぱい。
09/08/17 22:50:08
自分が覚えてるのは
AntiVir(web) なし
Kasersky(メール) なし
AVG(メール) なし
Norton(web) なし
McAfee(web) なし
Microsoft(web 1ファイル) なし
Sophos(web) なし
Trendmicro、Rising、King、Jiangmin(web) なし
K7(メール) なし
Panda(メール) なし

avast(メール) virus
Dr.WEB(メール) virus

Bit(メール) infected
Norton(メール) infected
McAfee(メール) infected
Microsoft(web 2ファイル以上) infected

基本的にwebから送るのはパス無し、他は有りが多いかもね。

582:名無しさん@お腹いっぱい。
09/08/18 00:08:54
>>578
私見:「適当に」やるのがいいと思う。

検体アップロード:今まで通り。(>>20さんみたいに、MDLでもOK)
提出は1人1ベンダー
ベンダーに提出する検体も任意。(人によっては忙しいので、全数提出は義務づけない。)
提出した旨は記載。(一応、多重提出防ぐため)
事後報告:任意(できれば記載)


禁止事項

・他ベンダーへの非難、検出結果への優劣の過剰な比較
(なんで参加しないんだ?なんで検出しないんだ?対応が遅すぎるなど。担当ベンダー以外の口出し → 荒れる。一番いいAVでやれ。)

・下品な煽り、コピペ、AA →あぼーんで対処。


完璧主義でいくと、三大ウイルステストみたいに、公平性、中立性、正確性、信憑性などの話になり、荒れる。
気楽にやればいいと思う。>>20さんの復帰も歓迎。


583:名無しさん@お腹いっぱい。
09/08/18 01:40:21
>>573
確かに、同一ハッシュの場合は、ベンダーではねるかもしれないけれど、
他方、はねられた方としては、返事の受領が遅くなるわけ
特に無害なコードの場合。この当たりはベンダーによってバラバラ


あと、テリトリー意識もあるから、>>582さんの通り、一人一ベンダーで責任者決めればいいと思う。

カスペ2010ユーザーとしては、>>20さんに不検出ファイルを毎回張られると内心プレッシャー
に感じるのと、重複報告でスレ容量埋め尽くして申し訳ない。
できれば、>>20さんにはAviraだけ報告してほしい

584:名無しさん@お腹いっぱい。
09/08/18 02:03:44
傍観者が口を出すとややこしくなる気はするけど、

ベンダの対応が追いつかないから云々って時点で本末転倒な気がする。
ベンダの対応が追いつかないからといって、新種・亜種の数が減るわけじゃないし。
対応が追いつかないのは、追いつかない側の問題と思うしかないような

ベンダによって白黒判定基準が違うのも周知の事実だし、
白が多いからと言って文句言うのも違う気がする。

最近出てきたJavaScript分割型は、単体だと白にしかならないので、
提出時に一言コメント沿えてもいい気はする。

結局、ボランティアである以上、強要はできないし、
それぞれができる範囲でやるしかないんじゃないかと。


585:名無しさん@お腹いっぱい。
09/08/18 06:08:42
少しスレ混沌としているが、念のため記載

カスペからの返事&まとめ

>>397(>>398,401,410,411,412) tane0488
20+(4+1)=25/26,白1
Backdoor.Win32.Delf.qin    \collabraware.com\DSC_9525.exe


>>473(>>481,504,505,511,546) tane0497
8+(3+4)=15/17、白(1+1=2)で閉鎖

socks5service.cn \ b2.exe    -    Trojan-Spy.Win32.Zbot.aafs
SetupRelease.exe    -    Trojan.Win32.FraudPack.qgr
ActivatedSetupRelease.exe    -    Trojan.Win32.FraudPack.qgr
ActivatedSetupReleaseXP.exe    -    Trojan.Win32.FraudPack.qgr
ReleaseXP.exe    -    Trojan.Win32.FraudPack.qhw
setup.exe    -    No malicious code was found in this file.


>>506(>>514,517,531) tane0500
>>531通り、18+事後14=32/32で閉鎖
※Downloader.Win32.FraudLoad.wocf    \get-files-now.info\setup[1-8].exe

>>515(>>532) 0+1=1/1で閉鎖 tane0501

>>526(>>528,549) 3+6=9/9で閉鎖 tane0502

586:nohitokadou
09/08/18 15:00:17

アナリストとトラブル起こしたくないから>>168みたいに
以前にも素性を尋ねられた奴がいた。何者だ?って


同一ベンダーへの多投も好きじゃないね。独立採番しているところもある。
負荷を増やすだけ。

記憶では、>>20さんは、Aviraに特別にFTP鯖を用意してもらったんじゃなかった?
これでほかのベンダーに検出しないと煽られてもね
我々は「面倒くさい」方法で送付しているわけで。



587:名無しさん@お腹いっぱい。
09/08/18 18:04:19
>>583
>一人一ベンダーで責任者決めればいいと思う。

それもまた問題があると思う

というのも提出しないベンダーはどうするの?そのまま放置?
一人一ベンダーという方式は確実に提出しないベンダーの方が多くなると思いますよ?
ただでさえ現状でも送ってないベンダーの方が多いのに

となると誰かが複数のベンダーを提出しなきゃいけない、この問題は無限ループでしょうね

588:名無しさん@お腹いっぱい。
09/08/18 20:13:22
担当決めるのは負担になるよね
やれるところをスレで宣言してそれを各自チェックするしかないんじゃね
出したよだけじゃなく出す時点で出すよっていう
広告報告スレみたいにさ

589:名無しさん@お腹いっぱい。
09/08/18 20:14:10
出すよって言うか見るよって段階のほうがいいか
チェック有無だけでも多重になる無駄を防げる

590:名無しさん@お腹いっぱい。
09/08/18 20:40:38
検体がなければ話にならないんで
UPして頂ける方の都合で一気に(大量に)来てもいいと思うけど・・・

検出可否報告や提出方法の基本的ルールは確かに必要だね


591:名無しさん@お腹いっぱい。
09/08/18 21:11:48
>>587-589

それもそうだけれど、「全ベンダー提出しました!」「A,B,C,D,E,Fに、オレが提出しました!」もつらい。
性悪説でうがった考え方をすれば、結果的に提出妨害も簡単にできる。

592:名無しさん@お腹いっぱい。
09/08/18 21:41:49
>>591
ベンダーから返答が(自動返答でもいいから)来たらそのメールの内容をコピペすればいいだけなんだけど・・・・
それがこれも問題で殆どは自動返答すらないベンダーばかり・・・

全ベンダーが返事が来るようになればその提出妨害も防ぐことはできるんだけどね・・・

593:名無しさん@お腹いっぱい。
09/08/18 21:45:16
>>581はテンプレ推奨だね
これかなり重要だから

594:名無しさん@お腹いっぱい。
09/08/18 23:06:28
>>592
結局、返事が来ないベンダーが叩かれるわけで、ループにならない?
「一体、あそこはどうなっているのか?」とか文句を言う奴も多い。
人の縄張りまで食べ散らかして、後片付けは全然手伝わない人ほど、性質の悪い奴はないと思うが。

595:名無しさん@お腹いっぱい。
09/08/18 23:31:35
>>594
返事が来なくても使ってるベンダーならリアルタイムに対応した検体を随時報告すればいいんだけどね・・・
ただし>>20さんが最近持ってくる検体があまりにも多くなり検出報告量が膨大になったため私もこのスレでのルールを放棄せざるおえない(つまり検出報告できない)
つまり
特定のベンダーしか検出報告がない(あとは提出だけの報告)→報告者は検体量が多すぎて報告できない→第三者からは「各ベンダーの対応状況はどうなった!?」と文句が出る→>>20さんが検体を持ってきて特定のベンダーの報告のみ→以後ループ

結局何が悪いか誰が悪いかわからない

ただ今は報告者が確実に減ってる、ちょっと前まではRisingやESETの人もいたんだけど今は彼らすら見かけない
本当に細かく報告してるのはKasperskyの人ぐらい
それだけKasperskyは検出報告が楽なのでしょうか?
他のベンダーで検出報告が楽なのはF-SecureとBitDefenderぐらい、あとはESETもAVGも結構面倒だった記憶がある


596:名無しさん@お腹いっぱい。
09/08/19 00:15:14
返事がちゃんと来るとこはモチベーションが続くけど
返事は来ないわ対応もしないわのベンダーだと
モチベーションが続かないだけだと思うな

597:583
09/08/19 09:58:51
>>595
カスペというか、メール送信の方は楽じゃないよ。

印象として、メール送信は苦痛。Webが楽かと。>>581

>一人一ベンダーで責任者決めればいいと思う。
は多少誤解を招いたようですまない。

カスペに関しては、このスレのログが重複しすぎで出しゃばりすぎで弊害が出ている。そういう意味で。

>う~ん、○○○から返答全く来ないから、何がどうなっているのやら
>さて、相変わらず○○○から返答無いけど、
>○○○のアナリストは全く信頼できないね。

というのを毎々聞かされるのも、あまり好きじゃないね。



598:名無しさん@お腹いっぱい。
09/08/21 12:26:43
URLリンク(www14.atpages.jp)

599:名無しさん@お腹いっぱい。
09/08/21 17:03:56
>>598
URLリンク(www.virustotal.com)
URLリンク(tane.sakuratan.com)
infected

つくづく思うに、McAfee-GW-Editionって何者w
もしかして、G-DATAよりも検出力上かも?

600:名無しさん@お腹いっぱい。
09/08/21 17:42:36
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name    Findings Detection          Type        Extra
------------|------------|------------|------------|-----
fukkyuu0.exe  |inconclusive  |            |            |no

601:名無しさん@お腹いっぱい。
09/08/21 17:53:21
>>599

McAfee-GW-Edition=Webwasher-Gateway
のはず

確かMcAfeeかSecure ComputingのHPに「McAfeeはSecure Computingを買収」というプレスリリースがあった

602:名無しさん@お腹いっぱい。
09/08/21 20:19:56
>>599
元はドイツのWebwasher(McAfeeが買収した)。
旧Webwasherではいくつかの組み合わせがあったと思うが
(GDATAやFセキュみたいなマルチエンジン)、
VTのはAntiVir+McAfee。
UPXを引っ掛けていることから設定が異なると思われる。

603:名無しさん@お腹いっぱい。
09/08/21 20:40:12
>>595
Eset(NOD32)のひとです。ちょっと忙しかったのと、Symantecに浮気してしまったため、検出可否報告できません。
(NOD32ライセンスは生きているものの、家族PCに入れ直したので、そちらで検出試行するわけにもいかず・・・)

最近の傾向が云々ではなく、個人的事情で提出&報告できていないだけです。

攻撃手法も多角化して、複数のスクリプトを組み合わせて発動する・・・なんてマルウェアも
できてしまったので、提出数が膨大になるのもわかります。で、あまり多すぎると報告する余裕もないかも。
ログそのままだと冗長だから、手作業で修正していたし。


>>554
Esetはメールがほぼ100%来ないのでわかりにくいかも。
私の場合、検出漏れしたファイルは手動隔離しておき、後日復元したときに検出できるように
なっているかどうかテストしていました。

>>599
せっかくなのでSymantecに提出してみた。0/1
自動返答では攻撃コード見あたらず、手動解析待ちです とのこと。

604:名無しさん@お腹いっぱい。
09/08/21 23:05:47
>>599
カスペ2010 22:41
0/1
提出しました。

605:名無しさん@お腹いっぱい。
09/08/22 03:18:57
うちに、
けいおん! 第11話 「ピンチ!?」 (BS-TBS 1280x720 DivX685 120fps ロゴ除去).avi scr
っていう、280MBもあるウイルスがやってきた。
カスペのヒューリスティックエンジンで検出してるが、ちょっとVirulTotalにアップしてみてる。
でかい検体は誰も提出しないのか???

606:名無しさん@お腹いっぱい。
09/08/22 04:59:57
P2P関連のウイルスなんて、知ったこっちゃない

607:名無しさん@お腹いっぱい。
09/08/22 09:42:49
>>605
VTにそんな大きいファイルはおくれないよ。
容量制限がある。

608:名無しさん@お腹いっぱい。
09/08/22 10:46:34
>>605
ウィルスを分離できれば、ウィルスだけ送る手もあるんだが・・・・・
PASSをつけて圧縮して、どこかのロダに揚げてみて。

スレチ違いだったら、ご容赦ください

609:名無しさん@お腹いっぱい。
09/08/22 11:37:44
スレチだ。ダウソ板にその手のスレがあるんでそっちでやれ。

610:名無しさん@お腹いっぱい。
09/08/22 13:37:24
昔と違って300MBあっても送れはするっぽい。
でも、既に出してた人がいて、再解析してもらおうとするとファイルがないと言われてワロタ。
URLリンク(www.virustotal.com)

>>608
中身はほとんどが無意味な文字列で埋め尽くされてて、圧縮したらすごく小さくなった。
URLリンク(www1.axfc.net)
pass:vir
zipのパスワードなし


次ページ
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch