09/08/15 23:58:15
>>539
一応、1について補足しておくと、
検体アップロードする奴と、検出結果を掲載する奴が同じだと、時間差を利用することにより、
検出結果が改ざんできて印象操作できるよね
このスレの検出結果を他のスレにコピペして煽りに使われているのに。
なに、その劣化版八百長AV-Test.org?
なんで、アップロードするときに、VDFが更新されるのがわかるの?
おまえの使っているのAntiVirとカスペって、反映が早いのに定評ある製品ばかりじゃん。
検体を選別するときに、提出できるよね。
>>1-3の精神に反していない?
>>537みたいに激高型レス返されると困る。
>>521-522の結果は一体どうなったの?
# 人力でも、xx.htmlから順に追いかける(src=等を全部組み立てる)と、攻撃コードを完成させられます。
は嘘ついているの?
542:名無しさん@お腹いっぱい。
09/08/16 00:00:19
>>539
↓にいたっては
>「延々と提出されても、それがアナリストの負荷にならないように & 提出者が白であることが確認できるように
なっている(鯖が作業を代行している)のがAVIRA。 非常に合理的です。」
Symantec、McAfee、TrendMicro、Pandaなんかは検体収集の自動処理を行ってるからこれも合理的な手法なんだが>>20はそれを理解できないようで
そもそもAviraにはヒューリスティック検出時にその検体をベンダーに送信される機能すらないわけで(avast!やESETにはある)
543:名無しさん@お腹いっぱい。
09/08/16 00:10:21
「そもそもAviraにはヒューリスティック検出時にその検体をベンダーに送信される機能すらないわけで」は訂正、今確認したらそれに該当する機能があったので失敬
544:名無しさん@お腹いっぱい。
09/08/16 00:18:32
たしかに、最近ちょっと検出数が多すぎる。
昨日は59個とか。
正直、重荷だ。
既知の古い脆弱性を突くエクスプロイトは、Windows Updateや、サードパーティーなど最新版に更新しておけば問題ないような。
最新のFlash PlayerでExploitはあるの?
旧バージョンの既知のエクスプロイトを突くのを提出するのは、意味がないような。
提出に忙殺されて他のことができない。(´・ω・`)ショボーン
545:名無しさん@お腹いっぱい。
09/08/16 00:29:05
しかも最近あげられる検体はファイルサイズも大きいから検出報告だけじゃなく検体提出時にも苦労させられるという
そのまま送ったら「ファイルサイズが大きすぎる」と怒られるからいちいちファイルを分割しなきゃいけないしメールとWebフォームの両方で提出する人は更に地獄
検出報告と検体提出するベンダーが一つだけならまだ楽だけど複数のベンダーの検出報告して複数のベンダーの検体提出する人は検出報告と検体提出だけで確実に数時間はとられる
546:名無しさん@お腹いっぱい。
09/08/16 01:24:27
カスペからの返事
>>473(>>481,504,505,511) tane0497
8+(2+1)=11/17、白1、残5
\windowsprotectionsuite\Release.exe_ - - Trojan.Win32.Agent2.chog
>>488(>>489,504) tane0498
2+(1+1)=4/4で閉鎖
imagehut3.cn\humourOr.swf - Exploit.SWF.Agent.bz
>>495(>>500,505) tane0499
3+2=5/10、残5
mooshooh.info \ bot.exe - Trojan.Win32.Refroso.eww
silver-metscorp \ pdf_php.pdf - Exploit.Win32.Pidief.biz
>>544
69個。
もう寝るw
547:名無しさん@お腹いっぱい。
09/08/16 02:20:53
ここまでa-squaredとMalwarebytesに提出しました
>>545
あまり無理する必要ないよ
Symantecのフォームは2窓まで送信対応してるけど
今後慣れている僕が提出しましょうか?
548:名無しさん@お腹いっぱい。
09/08/16 03:16:51
まぁまぁ、みなさん、おちついて。
549:20
09/08/16 11:34:52
>>528
Kaspersky返答 黒+6。 黒(3+事後 6)/9でclose.
blt.kz
●patch.exe - Trojan-Dropper.Win32.Agent.baix
●pdf_php.pdf - Exploit.Win32.Pidief.bjb
flowersagents
●bc.pdf - Exploit.Win32.Pidief.bja
●op.exe - not-a-virus:FraudTool.Win32.WinSpywareProtect.ajn
svhostbiz.cn
●i_php.swf - Exploit.SWF.Downloader.oi
●img_php.exe - Trojan-Dropper.Win32.Agent.baiw
550:20
09/08/16 11:58:30
>>539
はあ、つまり私が信用できない、ということで。 つか、2chで道義的責任を追及されるとは、世の中も変わったねぇ。(w
なんで、私が全ベンダーの最終検出結果まで責任を負わなきゃいけないんだ?
このスレに検体を出すということ=全ベンダーに対する責任発生ですか?
> そんなにオナニー検出が好きならば、検体をアップせず、一人でオナニー検出しておけよ。
実際、こちらとしてはそれでも一向にかまわないけどね。単に検体提出先が自分の使っているベンダーに限られるだけで、
自分の環境の保全はできるわけだし。
というか、どうも話の流れからすると、そうした方が良さそうなんで、皆様サヨウナラ。m(_ _)m
追記) 一応AVIRA(とKaspersky)の名誉のために書いておく。
>541
>なんで、アップロードするときに、VDFが更新されるのがわかるの?
AVIRAのWEB提出使えば理由がわかるけど、VDF反映前の検体でも、画面に判定結果が表示される。
>検体アップロードする奴と、検出結果を掲載する奴が同じだと、時間差を利用することにより、
>検出結果が改ざんできて印象操作できるよね
AVIRAとKasperskyに有利な結果を書くのなら、全部処理が終わって検出できるようになってから
このスレに検体上げるけどねぇ。 提出してから1日待って、それから検体このスレに出せば済む話だし。
そうすれば、AVIRAとKasperskyの結果、検出率 常時90%以上なんて簡単に出せるぜ。そんなことしないけど。(w
>そもそもAviraにはヒューリスティック検出時にその検体をベンダーに送信される機能すらないわけで
わかりにくい所にあるけど、AVIRAにもHEUR隔離ファイルの提出機能あるよ。ポップアップしないから、確かに提出面倒だけど。
じゃあ、皆様サヨウナラ。このスレはこのスレで今後マッタリやって下さい。
551:20
09/08/16 12:04:04
>>541 追記2) 1レスに書ききれなかったんで。m(_ _)m
> >>521-522の結果は一体どうなったの?
> # 人力でも、xx.htmlから順に追いかける(src=等を全部組み立てる)と、攻撃コードを完成させられます。
> は嘘ついているの?
・実際に行われている攻撃は、分割ファイルを使用して行われているので、組み立てたファイルを提出しても意味が無い。
(全部出して欲しいの意味は、攻撃者の攻撃方法をベンダーに通知する意味もある)
・個人的には、実際、xx.htmlを検知するだけでもある意味凄い。(xx.htmlをテキストエディタで開いてみればわかるけど...)
では、皆様ごきげんよう。
552:名無しさん@お腹いっぱい。
09/08/16 12:40:52
えー!
20さん戻って来てー
いつも勉強させてもらってたのに・・・
553:名無しさん@お腹いっぱい。
09/08/16 14:55:48
気に入らない奴は20をNGしときゃいいだろうに
やたらと噛み付くのはよっぽど何か気に入らないことがあるんだろうなw
554:名無しさん@お腹いっぱい。
09/08/16 15:03:47
ESETに提出しても対応してくれないムッキー!
555:名無しさん@お腹いっぱい。
09/08/16 15:27:02
>>20
二度と帰ってくるなよw
556:名無しさん@お腹いっぱい。
09/08/16 16:21:57
役に立つ人間が去って文句ばっか言う奴が残ったかw
557:名無しさん@お腹いっぱい。
09/08/16 16:22:18
ロードスの平和は、漏れ達が守る!!!! んじゃなかったのか!! >>20 よ!!!!!! 戻ってくるんだ!!!!
558:名無しさん@お腹いっぱい。
09/08/16 17:21:59
>>553
基地外の煽り体制のない煽りを20もあぼーんで対処すればよかったのに
2ちゃんねるなんて遊びなのに
最後はマンセーして火病で捨て台詞上等w
559:名無しさん@お腹いっぱい。
09/08/16 17:49:34
どちらにしろカスペ信者にはろくな奴がいないということだ
560:名無しさん@お腹いっぱい。
09/08/16 18:12:02
また雑音か
561:名無しさん@お腹いっぱい。
09/08/16 18:24:21
雑音っぽいな。
PC2台組み立てて、Aviraにも浮気したんだ。
自作オタだから。
自称、サラリーマンで、>>20は今出張先からなんだが、とかうざかった。
見え見えの嘘で、ニートなのに。w
で、いつも上から目線でうんちくや他製品に対する優位性を空気も読まずに
書く
基本、このスレはアルファベット英数字だけでいいんだよ。
562:名無しさん@お腹いっぱい。
09/08/16 19:01:42
提出感想、対応の善し悪しは一番いいAVスレでやってほしい
>>479,524,550-551は正直イメージ悪いよ
挑発的というか、亀田三兄弟を思い出す
2chだから、ビッグマウスがくると、絶対擁護厨とアンチで荒れるだろ,JK
563:アプロダ”管理”人 ◆HL2fUAyECQ
09/08/16 20:35:23
>>20氏去って、このスレッド崩壊の危機ならば
アプロダしめる鴨よ
564:1
09/08/16 21:52:38
>>563
沈静化するまで、当面閉めた方がいいかもね。マジで
>>20もアンチも両方悪い。
このスレッドはもはや機能しなくなっている。スレ立て、Wikiメンテとかやってきたけれど、もう限界
アップする人の中立性の欠如、キチガイの荒らし、自作自演、レッテル張り、誹謗中傷、すでに末期状態でしょ?違う?
どうせあとはコピペ、AAで埋まるだけ。
継続するなら、再度スレッドのローカルルールの見直しが必須。
※形骸化しているルール
・淡々とやれ淡々と! 淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。
・ソフトの優劣の議論は別スレで!!(下記スレなど)
一番いいセキュリティソフトはなんだ!!Part66
↑
・ベンダーの対応が異常に遅い、他のベンダー対応は屑だ。返事・検知が異常に遅い。(ない)等の愚痴・中傷の禁止
・セキュリティ・ポリシーの相違を尊重。(A社の判定が狂っている。判定結果に信頼できない。B社の対応はネ申。)等の過剰な議論の禁止
・個別検体の長文の評価の禁止
・うpしてて頂いていている方への悪口、中傷、個人攻撃の禁止
・反対に、うpされた検体の不検知、非評価の自由の保証。(非検出ベンダーへの非難中傷の禁止)
・提出感想、レスポンス速度、検出システムの良否評価、感想は一番いいAVスレで
基本は、任意参加、自由提出、自由報告
私見な
565:名無しさん@お腹いっぱい。
09/08/17 00:18:26
>>20の最後って検体大量にアップしまくりで>>20が使ってるベンダーは検出報告が楽なベンダーだからいいけど他のベンダー使ってる人は本当に過酷
一日に30以上もの検体アップされて検出報告しっかりやれと言われてもこっちにも限度がある
>>20はこの点でもスレ住人にかなり負担をかけてるように思った
今の状態で「検出報告しっかりやれ」なんて言われたらノートン、ウイルスバスター、マカフィーの御三家を使ってる人は確実にぶち切れる、御三家はどれも検出報告が大変なベンダーだから
566:名無しさん@お腹いっぱい。
09/08/17 02:02:55
URLリンク(www3.atword.jp)
某大規模掲示板はあまり見ていないのですが
IRC経由で、その中でも一番有益と思われるスレッド(?)が何やらモメてる様子・・・
私はまったく参加していませんが、皆さんの「善意」の努力が一発で水泡に帰しそうな感じを受けました。
私から言えることは
「Take it easy」(気楽にいきましょ)
って感じでしょうか?
20番さん、嫌になったら少し距離を置くことも重要です
そして calm down できたら、また何もなかったように再開しましょう~
567:20
09/08/17 07:20:00
ええと、書き込み・活動自粛でしたが、話が急転直下しているのでお邪魔いたします。
今回は皆様にご迷惑をおかけして、大変申し訳ありませんでした。m(_ _)m
>>563様
ロダですが、私が大量に使用してご迷惑をおかけしたのは事実ですが、私以外にも検体提供者は
おりましたし、ロダが目的外使用(荒らし)にあっていたわけでもないので、いきなり閉める必要は
無いのではないかと思います。
>>564様
ご迷惑をおjかけして申し訳ない。ただ、一つだけ、今後のためにお願いしたい。
検体をアップする人間の中立性は、証明するのが大変、とても、難しい。
今回、特に特定のベンダーに有利な条件で検体を集めていたわけでもないのに恣意的であるとの苦情が出ました。
もし検体アップに中立性を求めると、おそらく今後また同じ話になると思います。
多分、出ている検体が気に入らないに人にとっては、検体のパックが自分に対して
意図的に悪意がある、と感じられるのだと思います。
何であれ検体が集まればそれで良し、と考える程度の方が良いのではないかと思います。
私自信は、今後このスレに書き込まない・ロダを利用しないと約束しますので、
いきなり閉鎖などではなく、もう少し様子見ではいかがでしょうか。
>>565様
私のログ書き込みは、単にVT補完の意味で、他の人にまでそれを求めたことはありません。
このスレが検出可否のスレであって、鑑定スレではない。つまり白黒ハッキリしないファイルの提出場所ではないため
提出したファイルがマルウェアであることを証明するための補完作業でした。(たまに自分の判断ミスで
白いファイルが入ることがありましたが。)
以上、再度、皆様にお詫びをして、終りといたします。m(_ _)m
568:名無しさん@お腹いっぱい。
09/08/17 15:35:04
>>567
>私のログ書き込みは、単にVT補完の意味で、他の人にまでそれを求めたことはありません。
別に貴方に言ってるわけじゃないしそれに他の人に求めてないとかそういう問題じゃないの
「検出報告を行って検体提出する」というのがこのスレのルール
だから「このスレで検出報告が殆どなくスレが機能してない」と文句言われるのも当然のこと
しかしながら貴方の最近の検体アップ状況を見ると一日に何回もアップしてしかも大量の検体が含まれてるものだから他の検出報告する人や検体提出する人に大きな負担をかけてしまったわけ
>>565でも書いたけど一部のベンダーは検出報告が困難なのがある、そんな中で大量に検体をアップされるとまともに検出報告できる状況じゃない
「Aviraとカスペ以外の検出報告がまともにないぞゴルァ!!」「そんなこと言われたってこんなに大量に検体があるんじゃまともに検出報告できねーよ」とこんな中で貴方は知らん顔で大量の検体をアップし続けていく、これも問題になったことでしょう
幸い貴方は最初にVTの結果を貼ってくれて一通りのベンダーの検出状況がわかるけどこれも最初だけ、でも随時VT結果一覧なんて貼ったらすぐにスレの容量オーバーしちゃうからこれも問題出るしね
ま、貴方に要望をするとしたら今の検体アップロードのペースで行くならまず最初に一通りのベンダーに検体を提出して欲しい
それだけでもスレ住人の負担が減ると思うから、あとは検出報告するかどうかは検体の量次第かも
569:名無しさん@お腹いっぱい。
09/08/17 16:03:08
大量の検体をアップされたら大きな負担なの?
良く分からんけど強制じゃないんで負担ならしなきゃいいんじゃね?
俺はドンドンとアップされた方が嬉しいけどね
ここの常連じゃないけどさ
>>564さんみたいなルール作って何とか継続してもらいたいよ
570:名無しさん@お腹いっぱい。
09/08/17 16:28:48
>>569
>大量の検体をアップされたら大きな負担なの?
一つのベンダーのみなら楽なんだけど複数のベンダーに提出する人とかは大変
以前にVT一覧のベンダーに一通り提出する人も見なくなった、あの人が今もいたら今の状況だと過労死してるよ(大げさな言い方だけど本当にそれぐらい大変)
あとなぜ検体提出が大変なのかというとベンダーによって提出ファイル数が制限されてたり提出ファイルサイズが制限されてたりする、だからベンダーによって提出するファイルも作り直さなきゃいけない
検体数が多くてファイルサイズが大きいと提出先ベンダーが一つでも面倒になる
検出報告も同じくベンダーによって検出報告が困難、検体量が多いと検出報告が困難なベンダーはそれだけでかなりの負担
>良く分からんけど強制じゃないんで負担ならしなきゃいいんじゃね?
それを言っちゃ終わりですw
が、参加しなきゃ誰がベンダーに検体提出するの?ってことにもなるし・・・
>>>564さんみたいなルール作って何とか継続してもらいたいよ
最初からこのスレの「ルール」というものがあります
が、>>20はそのルールを少し無視してたのが問題だった(大量の検体の件ではなく上で議論されてた特定ベンダー擁護とそれ以外のベンダーの貶しということで、それと「検出報告が出来てない」という文句があったのと合わせて今回こういう問題が起きた)
571:名無しさん@お腹いっぱい。
09/08/17 17:06:45
いいから黙ってK7とバスターとesetに送れよ
572:名無しさん@お腹いっぱい。
09/08/17 17:54:27
うん、逆に複数ベンダー、全ベンダーに一人が提出されると、正直後追い提出しづらい。
アナリストへの負荷を考えるとね。
白黒がこの板で報告されないので、確認のため再提出することある、
スパマー、コレクター扱いされると、実際に感染した時に対応が遅れるの
ではないかと心配
コテハンで、縁の下の力持ちの、アップローダー管理人さんの意見
をもう一度聞きたい。
できれば、暫定ルール整備の上、閉めないでほしい。
573:名無しさん@お腹いっぱい。
09/08/17 20:33:55
ベンダへの負担っつー意味では同一バイナリは考慮しなくていいだろう
(あちらでハッシュ等で重複ハネる。そうでなきゃパンデミックとか手に負えなくなる)。
分割されている攻撃コードを同一zipでってのは効果は薄いだろう
(1つのzipにexeが1ファイルなのもあれば100ファイルなのもあるだろうし、
アナリストの負荷分散を考えれば鯖で自動的にバラしててきとーに割り振るだろう)。
ベンダ指定以外のパスワードを使ったzipなんざ無視か後回しだろうから
パス無しか「virus」か「infected」かだけは提出側のマナーとして使い分けたい。
574:名無しさん@お腹いっぱい。
09/08/17 20:42:53
●前科2犯・中尾嘉宏(46)(=2chコテハン:FOX★)について
アダルトサイト PINKちゃんねるの責任者であり、2ちゃんねるの影の責任者。
2chコテハン FOX★=中尾嘉宏(46)
■2ちゃんねる幹部・中尾嘉宏(46)(FOX★)は詐欺(出資法違反)および児童買春斡旋で
逮捕されていた。
URLリンク(web.archive.org)
北海道警生活環境課と札幌・中央署は1997年5月6日、インターネットを利用し
不特定多数の人から金を集めていたとして、出資法違反(預かり金の禁止) の疑いで
札幌市厚別区もみじ台南七丁目、パソコンソフト開発販売会社社長 中尾嘉宏容疑者(当時37)
を逮捕した。
■解説
中尾嘉宏(46)は、詐欺(出資法違反)と児童買春斡旋の罪とあわせて前科2犯。
2ちゃんねるのサーバー管理者で、ピンクちゃんねる管理者でもある。
575:名無しさん@お腹いっぱい。
09/08/17 21:41:19
なんかスレの危機みたいになってるけど、特徴的な文体の人が独り
>>20氏に粘着してるだけでしょ…
以前から対応が悪いベンダーの愚痴とか普通に話してたし
>>20氏は長文控えてくれればどうでもいいよ
576:名無しさん@お腹いっぱい。
09/08/17 21:47:42
捨て台詞を吐いて出て行った人は二度とスレに戻ってこなくていいよ。
一般論で。
577:名無しさん@お腹いっぱい。
09/08/17 22:11:24
雑音さんちーーーーーっすwwwっうぇwww
578:名無しさん@お腹いっぱい。
09/08/17 22:20:27
>>575
そういうレスもいらん
>>572-573
提出は本当に難しいですよね・・・
提出する側にもベンダー側にも負担がかかるということを検体アップロード側の人にも考慮して欲しいとも思う
まあアップロード者だって楽してやってるわけじゃないのは確かなんだけど・・・
一度こうやって揉め事が起きた以上、もう一度しっかりと話し合う必要があるのかもしれない
・提出は一人でまとめてやるか?それとも今までの形でやるか?
・検出報告はしっかりやるべき、でも報告が困難なベンダーがあるから検体が多すぎると報告者に多大な負担を与えてしまう(特に検出できる検体が多すぎると更にきつい)
・提出側のマナーとして提出先へのパスを決める
今のところ意見や議論の内容が出てるのはこんなとこぐらいか
個人的な意見としては検体をアップロードするときのファイルサイズは制限して欲しい
さすがに20MBのファイルはどうしようかと思ったときもあったから
579:名無しさん@お腹いっぱい。
09/08/17 22:31:47
ロダの下限サイズは撤廃してほしいな。
exploitなスクリプトってshellcode込みでも5kB以下、
たいてい1~2kB。zip圧縮すると1kB以下なのよね。
ゴミ画像混ぜてアップしたことが数回ある。
580:名無しさん@お腹いっぱい。
09/08/17 22:36:39
とりあえず提出する時のパスが「virus」推奨ベンダーか「infected」推奨ベンダーかも確認する必要があるんじゃないかな?
やっぱり出来るなら各ベンダーのウイルス対応が速いほうが良いからね
581:名無しさん@お腹いっぱい。
09/08/17 22:50:08
自分が覚えてるのは
AntiVir(web) なし
Kasersky(メール) なし
AVG(メール) なし
Norton(web) なし
McAfee(web) なし
Microsoft(web 1ファイル) なし
Sophos(web) なし
Trendmicro、Rising、King、Jiangmin(web) なし
K7(メール) なし
Panda(メール) なし
avast(メール) virus
Dr.WEB(メール) virus
Bit(メール) infected
Norton(メール) infected
McAfee(メール) infected
Microsoft(web 2ファイル以上) infected
基本的にwebから送るのはパス無し、他は有りが多いかもね。
582:名無しさん@お腹いっぱい。
09/08/18 00:08:54
>>578
私見:「適当に」やるのがいいと思う。
検体アップロード:今まで通り。(>>20さんみたいに、MDLでもOK)
提出は1人1ベンダー
ベンダーに提出する検体も任意。(人によっては忙しいので、全数提出は義務づけない。)
提出した旨は記載。(一応、多重提出防ぐため)
事後報告:任意(できれば記載)
禁止事項
・他ベンダーへの非難、検出結果への優劣の過剰な比較
(なんで参加しないんだ?なんで検出しないんだ?対応が遅すぎるなど。担当ベンダー以外の口出し → 荒れる。一番いいAVでやれ。)
・下品な煽り、コピペ、AA →あぼーんで対処。
完璧主義でいくと、三大ウイルステストみたいに、公平性、中立性、正確性、信憑性などの話になり、荒れる。
気楽にやればいいと思う。>>20さんの復帰も歓迎。
583:名無しさん@お腹いっぱい。
09/08/18 01:40:21
>>573
確かに、同一ハッシュの場合は、ベンダーではねるかもしれないけれど、
他方、はねられた方としては、返事の受領が遅くなるわけ
特に無害なコードの場合。この当たりはベンダーによってバラバラ
あと、テリトリー意識もあるから、>>582さんの通り、一人一ベンダーで責任者決めればいいと思う。
カスペ2010ユーザーとしては、>>20さんに不検出ファイルを毎回張られると内心プレッシャー
に感じるのと、重複報告でスレ容量埋め尽くして申し訳ない。
できれば、>>20さんにはAviraだけ報告してほしい
584:名無しさん@お腹いっぱい。
09/08/18 02:03:44
傍観者が口を出すとややこしくなる気はするけど、
ベンダの対応が追いつかないから云々って時点で本末転倒な気がする。
ベンダの対応が追いつかないからといって、新種・亜種の数が減るわけじゃないし。
対応が追いつかないのは、追いつかない側の問題と思うしかないような
ベンダによって白黒判定基準が違うのも周知の事実だし、
白が多いからと言って文句言うのも違う気がする。
最近出てきたJavaScript分割型は、単体だと白にしかならないので、
提出時に一言コメント沿えてもいい気はする。
結局、ボランティアである以上、強要はできないし、
それぞれができる範囲でやるしかないんじゃないかと。
585:名無しさん@お腹いっぱい。
09/08/18 06:08:42
少しスレ混沌としているが、念のため記載
カスペからの返事&まとめ
>>397(>>398,401,410,411,412) tane0488
20+(4+1)=25/26,白1
Backdoor.Win32.Delf.qin \collabraware.com\DSC_9525.exe
>>473(>>481,504,505,511,546) tane0497
8+(3+4)=15/17、白(1+1=2)で閉鎖
socks5service.cn \ b2.exe - Trojan-Spy.Win32.Zbot.aafs
SetupRelease.exe - Trojan.Win32.FraudPack.qgr
ActivatedSetupRelease.exe - Trojan.Win32.FraudPack.qgr
ActivatedSetupReleaseXP.exe - Trojan.Win32.FraudPack.qgr
ReleaseXP.exe - Trojan.Win32.FraudPack.qhw
setup.exe - No malicious code was found in this file.
>>506(>>514,517,531) tane0500
>>531通り、18+事後14=32/32で閉鎖
※Downloader.Win32.FraudLoad.wocf \get-files-now.info\setup[1-8].exe
>>515(>>532) 0+1=1/1で閉鎖 tane0501
>>526(>>528,549) 3+6=9/9で閉鎖 tane0502
586:nohitokadou
09/08/18 15:00:17
アナリストとトラブル起こしたくないから>>168みたいに
以前にも素性を尋ねられた奴がいた。何者だ?って
同一ベンダーへの多投も好きじゃないね。独立採番しているところもある。
負荷を増やすだけ。
記憶では、>>20さんは、Aviraに特別にFTP鯖を用意してもらったんじゃなかった?
これでほかのベンダーに検出しないと煽られてもね
我々は「面倒くさい」方法で送付しているわけで。
587:名無しさん@お腹いっぱい。
09/08/18 18:04:19
>>583
>一人一ベンダーで責任者決めればいいと思う。
それもまた問題があると思う
というのも提出しないベンダーはどうするの?そのまま放置?
一人一ベンダーという方式は確実に提出しないベンダーの方が多くなると思いますよ?
ただでさえ現状でも送ってないベンダーの方が多いのに
となると誰かが複数のベンダーを提出しなきゃいけない、この問題は無限ループでしょうね
588:名無しさん@お腹いっぱい。
09/08/18 20:13:22
担当決めるのは負担になるよね
やれるところをスレで宣言してそれを各自チェックするしかないんじゃね
出したよだけじゃなく出す時点で出すよっていう
広告報告スレみたいにさ
589:名無しさん@お腹いっぱい。
09/08/18 20:14:10
出すよって言うか見るよって段階のほうがいいか
チェック有無だけでも多重になる無駄を防げる
590:名無しさん@お腹いっぱい。
09/08/18 20:40:38
検体がなければ話にならないんで
UPして頂ける方の都合で一気に(大量に)来てもいいと思うけど・・・
検出可否報告や提出方法の基本的ルールは確かに必要だね
591:名無しさん@お腹いっぱい。
09/08/18 21:11:48
>>587-589
それもそうだけれど、「全ベンダー提出しました!」「A,B,C,D,E,Fに、オレが提出しました!」もつらい。
性悪説でうがった考え方をすれば、結果的に提出妨害も簡単にできる。
592:名無しさん@お腹いっぱい。
09/08/18 21:41:49
>>591
ベンダーから返答が(自動返答でもいいから)来たらそのメールの内容をコピペすればいいだけなんだけど・・・・
それがこれも問題で殆どは自動返答すらないベンダーばかり・・・
全ベンダーが返事が来るようになればその提出妨害も防ぐことはできるんだけどね・・・
593:名無しさん@お腹いっぱい。
09/08/18 21:45:16
>>581はテンプレ推奨だね
これかなり重要だから
594:名無しさん@お腹いっぱい。
09/08/18 23:06:28
>>592
結局、返事が来ないベンダーが叩かれるわけで、ループにならない?
「一体、あそこはどうなっているのか?」とか文句を言う奴も多い。
人の縄張りまで食べ散らかして、後片付けは全然手伝わない人ほど、性質の悪い奴はないと思うが。
595:名無しさん@お腹いっぱい。
09/08/18 23:31:35
>>594
返事が来なくても使ってるベンダーならリアルタイムに対応した検体を随時報告すればいいんだけどね・・・
ただし>>20さんが最近持ってくる検体があまりにも多くなり検出報告量が膨大になったため私もこのスレでのルールを放棄せざるおえない(つまり検出報告できない)
つまり
特定のベンダーしか検出報告がない(あとは提出だけの報告)→報告者は検体量が多すぎて報告できない→第三者からは「各ベンダーの対応状況はどうなった!?」と文句が出る→>>20さんが検体を持ってきて特定のベンダーの報告のみ→以後ループ
結局何が悪いか誰が悪いかわからない
ただ今は報告者が確実に減ってる、ちょっと前まではRisingやESETの人もいたんだけど今は彼らすら見かけない
本当に細かく報告してるのはKasperskyの人ぐらい
それだけKasperskyは検出報告が楽なのでしょうか?
他のベンダーで検出報告が楽なのはF-SecureとBitDefenderぐらい、あとはESETもAVGも結構面倒だった記憶がある
596:名無しさん@お腹いっぱい。
09/08/19 00:15:14
返事がちゃんと来るとこはモチベーションが続くけど
返事は来ないわ対応もしないわのベンダーだと
モチベーションが続かないだけだと思うな
597:583
09/08/19 09:58:51
>>595
カスペというか、メール送信の方は楽じゃないよ。
印象として、メール送信は苦痛。Webが楽かと。>>581
>一人一ベンダーで責任者決めればいいと思う。
は多少誤解を招いたようですまない。
カスペに関しては、このスレのログが重複しすぎで出しゃばりすぎで弊害が出ている。そういう意味で。
>う~ん、○○○から返答全く来ないから、何がどうなっているのやら
>さて、相変わらず○○○から返答無いけど、
>○○○のアナリストは全く信頼できないね。
というのを毎々聞かされるのも、あまり好きじゃないね。
598:名無しさん@お腹いっぱい。
09/08/21 12:26:43
URLリンク(www14.atpages.jp)
599:名無しさん@お腹いっぱい。
09/08/21 17:03:56
>>598
URLリンク(www.virustotal.com)
URLリンク(tane.sakuratan.com)
infected
つくづく思うに、McAfee-GW-Editionって何者w
もしかして、G-DATAよりも検出力上かも?
600:名無しさん@お腹いっぱい。
09/08/21 17:42:36
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
------------|------------|------------|------------|-----
fukkyuu0.exe |inconclusive | | |no
601:名無しさん@お腹いっぱい。
09/08/21 17:53:21
>>599
McAfee-GW-Edition=Webwasher-Gateway
のはず
確かMcAfeeかSecure ComputingのHPに「McAfeeはSecure Computingを買収」というプレスリリースがあった
602:名無しさん@お腹いっぱい。
09/08/21 20:19:56
>>599
元はドイツのWebwasher(McAfeeが買収した)。
旧Webwasherではいくつかの組み合わせがあったと思うが
(GDATAやFセキュみたいなマルチエンジン)、
VTのはAntiVir+McAfee。
UPXを引っ掛けていることから設定が異なると思われる。
603:名無しさん@お腹いっぱい。
09/08/21 20:40:12
>>595
Eset(NOD32)のひとです。ちょっと忙しかったのと、Symantecに浮気してしまったため、検出可否報告できません。
(NOD32ライセンスは生きているものの、家族PCに入れ直したので、そちらで検出試行するわけにもいかず・・・)
最近の傾向が云々ではなく、個人的事情で提出&報告できていないだけです。
攻撃手法も多角化して、複数のスクリプトを組み合わせて発動する・・・なんてマルウェアも
できてしまったので、提出数が膨大になるのもわかります。で、あまり多すぎると報告する余裕もないかも。
ログそのままだと冗長だから、手作業で修正していたし。
>>554
Esetはメールがほぼ100%来ないのでわかりにくいかも。
私の場合、検出漏れしたファイルは手動隔離しておき、後日復元したときに検出できるように
なっているかどうかテストしていました。
>>599
せっかくなのでSymantecに提出してみた。0/1
自動返答では攻撃コード見あたらず、手動解析待ちです とのこと。
604:名無しさん@お腹いっぱい。
09/08/21 23:05:47
>>599 ㌧
カスペ2010 22:41
0/1
提出しました。
605:名無しさん@お腹いっぱい。
09/08/22 03:18:57
うちに、
けいおん! 第11話 「ピンチ!?」 (BS-TBS 1280x720 DivX685 120fps ロゴ除去).avi scr
っていう、280MBもあるウイルスがやってきた。
カスペのヒューリスティックエンジンで検出してるが、ちょっとVirulTotalにアップしてみてる。
でかい検体は誰も提出しないのか???
606:名無しさん@お腹いっぱい。
09/08/22 04:59:57
P2P関連のウイルスなんて、知ったこっちゃない
607:名無しさん@お腹いっぱい。
09/08/22 09:42:49
>>605
VTにそんな大きいファイルはおくれないよ。
容量制限がある。
608:名無しさん@お腹いっぱい。
09/08/22 10:46:34
>>605
ウィルスを分離できれば、ウィルスだけ送る手もあるんだが・・・・・
PASSをつけて圧縮して、どこかのロダに揚げてみて。
スレチ違いだったら、ご容赦ください
609:名無しさん@お腹いっぱい。
09/08/22 11:37:44
スレチだ。ダウソ板にその手のスレがあるんでそっちでやれ。
610:名無しさん@お腹いっぱい。
09/08/22 13:37:24
昔と違って300MBあっても送れはするっぽい。
でも、既に出してた人がいて、再解析してもらおうとするとファイルがないと言われてワロタ。
URLリンク(www.virustotal.com)
>>608
中身はほとんどが無意味な文字列で埋め尽くされてて、圧縮したらすごく小さくなった。
URLリンク(www1.axfc.net)
pass:vir
zipのパスワードなし
611:名無しさん@お腹いっぱい。
09/08/22 14:15:59
キーワードが正しくありません
612:604
09/08/22 17:30:57
カスペ
>>599(>>604) tane0506 0+事後検知1=1/1でクローズ
Trojan.BAT.KillFiles.mb tane0506\fukkyuu0.exe (検知)
613:名無しさん@お腹いっぱい。
09/08/23 00:53:17
カスペ検知&返事
>>444 (>>450,451,457,461) tane0494
7+2=9/13、白2+1=3、残1、ファイル破損1で閉鎖
\ajowah.cn\video.php - No malicious code was found in this file.
>>495(>>500,505) tane0499
3+(2+2)=7/10、残3(1.html 32.js, tongji.js)
Trojan-Spy.Win32.Zbot.aafn \newadmins.ws\bot.exe
Trojan program Exploit.JS.Agent.amk \pop0p.cn\xx.html
pop0p.cnフォルダ
Exploit.JS.Agent.amk 、 a.jpg b.jpg 15.js 16.js Td14.htm y1.htmy tfl1.htm yut.htm
614:アプロダ”管理”人 ◆HL2fUAyECQ
09/08/23 02:17:17
うん、今までの流れ見てカスペ担当さんがジミーに良い仕事してくれてるし
個人的にはみんな荒れないで大事にアプロダ使って欲しいな
まだスレッドは崩壊してないし、まぁ職人さんもぼつぼつ戻ってきてください
そろそろいいでしょ?
615:名無しさん@お腹いっぱい。
09/08/23 02:19:54
ぽかぽか乙
616:名無しさん@お腹いっぱい。
09/08/23 15:20:11
なんで
改行
いれるん?
?
617:613
09/08/23 19:37:07
>>614
管理人さん、乙です。
またーりやりましょう。
618:名無しさん@お腹いっぱい。
09/08/26 03:03:47
Rising(ウイルスキラー)のアップロードフォームが変更。
URLリンク(mailcenter.rising.com.cn)
電話番号入れろみたいなアラートが出たけど、隣に出ている番号入れたら通った。
619:名無しさん@お腹いっぱい。
09/08/26 12:02:55
URLリンク(tane.sakuratan.com)
virus
中国の学生向けSNSで悪用されている、Flashがデフォルトで持っているXSS機能を使うスクリプト。
これ自体がexeを拾ったりはしないので微妙だけど、手法がおもしろかったので。
URLリンク(isc.sans.org)
620:名無しさん@お腹いっぱい。
09/08/26 18:25:45
>>619
URLリンク(www.virustotal.com)
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
renren.js |inconclusive | | |no
621:名無しさん@お腹いっぱい。
09/08/26 19:25:10
>>619
Panda、GDATA2010(今回はavast!のみ)、ESET、Aviraへ提出
renren.js 5.3 KB MALWARE
622:名無しさん@お腹いっぱい。
09/08/27 01:27:51
>>619
NIS2009 1/1 JS.Frienren として検出しました。
623:名無しさん@お腹いっぱい。
09/08/27 07:57:38
>>582
に同意してたぶん復帰
>>619
Rising Internet Security 2010 22.10.03.00 (22.00.78)
スルー
既に提出済み(RS20090826160713343053)で安全文件でした。
624:名無しさん@お腹いっぱい。
09/09/02 21:35:00
URLリンク(tane.sakuratan.com)
virus
ネタ元 URLリンク(blog.trendmicro.co.jp)
625:名無しさん@お腹いっぱい。
09/09/02 22:48:20
>>624
Rising Internet Security 2010 22.11.02.10 (22.00.00.84)
avkill1.exe>>65: Backdoor.Win32.Drwolf.fkx
avkill1_1.exe: Backdoor.Win32.Drwolf.fkx
axa0829.exe: Backdoor.Win32.Meb.b
dldr1.exe: Trojan.Win32.Generic.11ECB8E2
dldr2.exe: Trojan.PSW.Win32.GameOnline.eto
gamepol1.exe: Trojan.DL.Win32.Undef.fvb
gamewow1.exe: Trojan.PSW.Win32.GameOnline.eto
gamewow2.exe: Trojan.PSW.Win32.GameOnline.eto
jcin02.exe: Trojan.Win32.Generic.11EBEA23
pec2.exe: Trojan.Win32.Generic.11ECF274
10/10
>>623の22.00.78は22.00.00.78の間違い
626:名無しさん@お腹いっぱい。
09/09/02 23:06:21
>>624
Symantec、Panda、GDATA2010(=avast!&BitDefender)、ESET、Kaspersky、TrendMicroへ提出
627:名無しさん@お腹いっぱい。
09/09/02 23:34:09
>>624
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
628:名無しさん@お腹いっぱい。
09/09/03 06:22:14
>>624
McAfee (Active Protection 無効)6/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
avkill1.exe |new detection |generic downloader.x!bfj |Trojan |yes
avkill1_1.exe |inconclusive | | |no
axa0829.exe |new detection |refpron.gen |Trojan |yes
pec2.exe |new detection |generic.dx!ewu |Trojan |yes
629:名無しさん@お腹いっぱい。
09/09/03 16:46:39
>>624
avast!全部撃墜
630:名無しさん@お腹いっぱい。
09/09/03 17:14:25
なんとな~く、>>624さんと被ってるような気がしないでもないですが…久しぶりなので、重複チェックまで手がまわってません。
URLリンク(tane.sakuratan.com)
infected
■ 検体入手元 ■
MDL 2009/09/01~09/02 リネージュ資料室更新リスト 08/31~09/02
■ 提出済みのベンダー ■
Avira、AntiyLabs : FTP経由で提出済み
その他 : Norman、Zoner、nProtectを除いて一通り提出済み
631:名無しさん@お腹いっぱい。
09/09/03 17:28:28
もいっちょ
URLリンク(tane.sakuratan.com)
infected
■ 検体入手元 ■
MDL 2009/08/30~08/31
リネージュ資料室更新リスト 08/30
■ 提出済みのベンダー ■
Avira、AntiyLabs : FTP経由で提出済み
その他 : Norman、Zoner、nProtectを除いて一通り提出済み
632:Norton&Panda使用者
09/09/03 22:14:08
3台目のPCに現時点ではウイルスバスター2010をテスト中(というかライセンスがまだ1年もある・・・)
なのでウイルスバスター2010のクラウド機能がどのように機能するかというのもテストしてみる
しばらくはアップデートを止めて>>630と>>631の検体が後日アップデートなしで検出してくれるかどうか実験
PandaやMcAfeeのようなクラウド機能の働きをしてくれるかそれに期待、以上私事のレスでした
スレチゴメソ、出来る限りこういうレスは最小限にしようと思います
それと>>630さん検体提出乙です、あと現在でも検出報告まともにしてなくてごめんなさいね
633:名無しさん@お腹いっぱい。
09/09/03 23:31:33
>>632
>630-631の中には、本体ではない設定ファイルとかもあるので、白判定のままで正常なファイルにご注意を。
634:名無しさん@お腹いっぱい。
09/09/05 02:42:28
カスペ2010 1:43:00 (検体アップから時間が経過しているので、参考)
>>624㌧ (>>626代理提出㌧)9/10 残1(avkill1_1.exe) tane0508
Trojan-Downloader.Win32.Agent.cosy /avkill1.exe
Trojan-Downloader.Win32.DlfBfkg.acd /axa0829.exe
Trojan-Downloader.Win32.Klever.m /dldr1.exe
Trojan-GameThief.Win32.WOW.ski /dldr2.exe /gamewow1.exe /gamewow2.exe
Trojan.Win32.Agent.ctaj /gamepol1.exe
Trojan-Dropper.Win32.Agent.azbx /jcin02.exe
Trojan.Win32.Agent2.chwj /pec2.exe
>>630 ㌧&代理提出 ㌧ tane0409
64/152 (内訳略)
>>631㌧ &代理提出㌧ tane0410
46/61 (内訳略)
順次、提出します。
635:634
09/09/05 10:19:40
カスペからの返事
>>624(>>634) tane0508
avkill1_1.exe - Trojan-Downloader.Win32.Agent.coxq
9+1=10/10でクローズ
636:Norton&Panda使い
09/09/08 18:22:54
とりあえずウイルスバスター2010の結果報告
残念ながら>>630と>>631の検体での検出結果はアップデート無しによる検出はなし
後日アップデートでパターンファイル更新してようやく検出した検体が増えた
どうやらMcAfeeやPandaのような「パターンファイル更新なくてもインターネット接続してるだけで検体が対応して検出してくれる」ということはないようだ
(当然のことながらPandaはパターンファイル更新してなくても検体が対応してくれればガシガシと検出してくれる仕組み)
ただしそれと同時に嬉しい報告も
ウイルスバスター2010のアンチウイルスエンジンは新しくなってて↓のようなGeneric系の検出が増えてきた
URLリンク(www.trendmicro.co.jp)
2010でTROJ_GENERIC.DITで検出した検体をVTに投げてみた結果
URLリンク(www.virustotal.com)
2009と2010ではエンジンが違うみたいなので2010の検出率アップに期待できる
以上、私事の報告失礼しました
637:名無しさん@お腹いっぱい。
09/09/10 08:56:23
URLリンク(tane.sakuratan.com)
infected
●MDL 2009/09/02-09/04+mixiに貼られていたもの
URLリンク(tane.sakuratan.com)
infected
●MDL 2009/09/05-09/09+リネージュ資料室のリスト+spamメール添付ファイル
■提出済みのベンダー
AviraとAntiyLabsには、ftp経由で提出済み。他ベンダーは未提出。
備考
例によって、設定ファイルも含めているので、白判定のファイル多いかと。
一括してダウンローダで落とした後、ファイルを全部チェックした訳じゃないので
サーバーのエラーメッセージとか、失効ドメインのページとかも混ざってるかもしれません。
時間のある方は、提出する前にその辺もチェックした方がいいかも。
638:名無しさん@お腹いっぱい。
09/09/10 10:40:55
ここまでSymantecとa-squaredとMalwarebytesに提出しました
639:名無しさん@お腹いっぱい。
09/09/10 18:33:44
>>637
tane0511
McAfee (Active Protection 無効)25/53
tane0512
McAfee (Active Protection 無効)64/179
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
省略させて頂きます。
640:名無しさん@お腹いっぱい。
09/09/10 21:30:57
カスペ2010 19:23
>>637 (tane0511) ㌧
36/53 (シグネチャ名略)
(1)59→ 4/7 (検出:*.exe (4files) //未検出:, get.php, index.php, Who_next.pdf)
(288→ 5/6(検出:s.swf, show.php, , sashh.exe, sashok、manual.pdf//未検出 index.php)
(3)94→4/7(検出:install.exe, s.swf, manual.pdf, show.php // 未検出 admin.php, dr.web*.exe, zipoer.bin)
(4)195→6/9 (112.exe, manual (1).pdf, , manual.pdf, s (1).swf, s.swf, show.php , //非検出:*.php (3files))
(5)fake→.3/3 (検出:*.exe (3files)
(6)Onlines→3/4 (検出:1199.exe, play.exe, movieplayer//非検出:uptv*.rar)
(7)tour6→4/5 (検出:, manual.pdf, s.swf, system32.exe.show.php, //未検出:admin.php)
(8)weeeeld.→3/4 (検出:goodYouAll.swf. isMiddleForm.pdf, load.exe//非検出:index.php)
(9)sns→1/3 (検出:darkst.png//未検出:*.htm(2files)) →見送り
(10) zeus→3/5 (検出→readme.pdf, services.pdf, sex-movie.exe、//未検出 1.rar, down..bin)
必要なものは適宜検出します。
641:名無しさん@お腹いっぱい。
09/09/10 22:05:52
カスペ2010 20:47
>>637 (tane0512) ㌧
95/178
フォルダ別
Bra 1/1
exploit
28zxc 3/4(index.php以外)
61 3/4(girl.htm以外)
78 0/1
112 0/0
125 2/7
213 2/2 (*.php)
add 3/4 (admin.php以外)
exp 1/4 update9.exe(のみ)
kvu 3/5 (2chv.htm, wordA.swfのみ)
poa 2/5 (pdf.pdf, swf.swfのみ)
FakeAV
AntiVirusPro 0/15 (*.htm)
Rogue 0/3 (*.htm)
trojanFakeRean 8/8 (*.exe)
直下3/8 (InternetAvtivirisPro.exe, file.exe, Installer.70084.exeのみ)
642:名無しさん@お腹いっぱい。
09/09/10 22:06:50
>>641
trojan
64 1/1
1.207 2/2
91.213 3/3
195 1/1
195.95 2/2
202 3/4 (zong.exeスルー)
203. 0/2 スルー
210 3/4 (xplaymovie.phpはスルー)
dfghs 17/17 (*.exe)
socks 1/1
spam 1/1
tour 1/1
aime 9/10 (xin.htmスルー)
ele 1/1
mlwc 2/2
zeus 18/54 詳細略
実行可能ファイルを中心に提出
643:641-642
09/09/11 17:25:31
>>637
カスペからの返事 16:21 (あまり意味がないかもしれないが...)
>>637(>>640) tane0511
36+2+数え間違い1=39/53 (残14提出せず。回答なし。)
59.125.231.241\Who_next.pdf - Exploit.Win32.Pidief.bqx
94.75.253.92\dr.web_cureit!.exe - Trojan-Spy.Win32.Zbot.aars
>>637(>>641-642) tane0512
95+7+3=105/178
exploit\125.128.6.11/he1.swf - Trojan program Exploit.JS.Agent.anq
exploit\kvumurij.cn\2cv.htm_ - Trojan-Downloader.JS.agent.eme,
exploit\kvumurij.cn\wordA.swf - Trojan-Dropper.SWF.BlackScreen.bv
FakeAV\setup.exe - Trojan-Dropper.Win32.Agent.bcpd
trojan\203.251.93.133\love.jpg, hosts.txt_ - Trojan.Win32.Qhost.lzy
trojan\202.104.237.2\zong.exe - Trojan-Downloader.Win32.Geral.dcn
zeus\bot(4).exe_ - Trojan-Spy.Win32.Zbot.aart
新規HEUR検知:3→当方でフォローします。
virus HEUR:Trojan-Downloader.Script.Generic /exploit/28zxc.ws/index.php /exploit/61.235.117.72/giri.htm
virus HEUR:Trojan.Script.Generic /exploit/poavlonini.com/show.php
提出済み・回答待ち:6→当方でフォローします。
(FakeAV\setup(1).exe, zeus\bot(7).exe, js.exe, trojan/../xin,htm, ,exploit\125.128.6.11\he2.swf he3.swf)
html, php, binなどの類は多すぎて手が回らず提出できず。黒は実際もっと多いと思う。気になる人は残提出してちょうだい
644:643
09/09/11 17:36:04
カスペ
>>637(>>641-643) tane0512
96+事後10=106/178
Backdoor.Win32.Bredolab.si trojan/spam_mail/M311b636f.zip/M311b636f.exe
数え漏れすまぬ。m(_ _;)m
645:名無しさん@お腹いっぱい。
09/09/13 02:18:27
URLリンク(tane.sakuratan.com)
infected
■ 検体入手元
MDL 2009/09/10-09/12+spamメール添付ファイル+mixiへの中華業者投稿
■ 検体提出先
Avira:今日はFTPがエラーなのでWebフォームから提出
AntiyLabs:FTP経由で提出完了
その他:未提出
■ 注意事項
>>637の備考に同じ
646:名無しさん@お腹いっぱい。
09/09/13 02:38:23
>>637(>>641-644) カスペ 1:50 検知
96+事後(10+6)=112/178
Trojan program Trojan.Win32.Buzus.bygt zeus\is.exe
Trojan program Trojan.Win32.Buzus.bygt zeus\bot(7).exe
Trojan.JS.Zapchast.w exploit\125.128.6.11\he3.swf
Trojan.JS.Zapchast.v exploit\125.128.6.11\he2.swf
Trojan-Downloader.JS.Zapchast.k exploit\125.128.6.11\Main.asp
Trojan-Downloader.JS.Zapchast.l exploit\125.128.6.11\index.htm
647:名無しさん@お腹いっぱい。
09/09/13 03:25:56
カスペ2010 1:50
>>645㌧ tane0513
51/94
(1)exploits 24/45
Packed.Win32.Krap.x \195\update.exe
Exploit.Win32.Pidief.bnr \213\fiveBelief.pdf, \220\oldChunksEtc.pdf
Exploit.Win32.Pidief系 \gero\cegmoprwx.pdf、 \libe\hasWordsBy.pdf、 \name\lineBookIpsum.pdf \sock\cdhpqtuvw.pdf
Exploit.JS.Pdfka.wd \google\readme.pdf
Exploit.SWF.Agent.au \geroyvoin.cn\manual.swf \soc\manual.swf
Exploit.SWF.Agent系 \213\willAmetSites.swf、 \libe\yearsWeb.swf
Worm.Win32.Bezopi.ds \220\load.exe
Dropper.SWF.BlackScreen系 \220\oneRandom.swf \google\flash.sw
Downloader.Win32.FraudLoad.wqza \name\load.exe
Downloader.Win32.Agent.cnrx \220\rm.exe
Trojan.Win32.Vilsel.bob \brberfsdfsdafs.com\load.exe
Dropper.SWF.BlackScreen.bs f
Packed.Win32.TDSS.z \google\load.exe
virus Worm.Win32.Pinit.fy \sock\file1.exe
virus HEUR:Trojan.Script.Generic \195\show.php \buse\show.php、 \brbe\index.php、 \gero\show.php
(2)FakeAV 1/4
Downloader.NSIS.Agent.bw setup.exe
(3)mixi 4/4 …シグネチャ:すべてTrojan.Win32.Pincav.f
(4)spam 8/10 (d9bc33f0.exeそそのzipスルー)
シグネチャ:すべてBackdoor.Win32.Bredolab系
648:名無しさん@お腹いっぱい。
09/09/13 03:26:53
>>647の続き
(5)trojan 7/13
Downloader.Win32.Delf.uyx b1.exe
Spy.Win32.Zbot.aarp fdet3.exe
Trojan.Win32.Sasfis.ewb file.exe
Downloader.Win32.Small.kew file.php
Ransom.Win32.BlueScreen.fu install.exe
Downloader.Win32.Agent.cpmn main.exe
Packed.Win32.TDSS.z video_codec1.56.987_setup.exe
(6)zeus 7/18
Downloader.Win32.FraudLoad.wfws \exe(1).exe
Banker.Win32.Bancos.ggx \exe.exe
Spy.Win32.Zbot系 \fgd.exe、 \ls.exe \money.exe \soft.exe \up1.exe
実行ファイル中心に提出
寝る。w
649:名無しさん@お腹いっぱい。
09/09/13 04:15:15
>>648さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました
650:649 訂正
09/09/13 04:16:04
>>645さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました
651:名無しさん@お腹いっぱい。
09/09/13 08:14:16
>>645
McAfee (Active Protection 無効)26/94
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
URLリンク(tane.sakuratan.com)
652:名無しさん@お腹いっぱい。
09/09/13 12:39:55
URLリンク(tane.sakuratan.com)
virus
653:名無しさん@お腹いっぱい。
09/09/13 13:25:42
>>652
乙
Symantec、Panda、GDATA2010(avast!&BitDefender)、ESET、Kaspersky、TrendMicro、Avira、AVG、Ahnlabへ提出
filename: x1.exe
machine: Machine
result: See the developer notes
filename: x1_2.exe
machine: Machine
result: See the developer notes
filename: x150_2.exe
machine: Machine
result: See the developer notes
filename: x150.exe
machine: Machine
result: See the developer notes
filename: x150_1.exe
machine: Machine
result: See the developer notes
filename: x1_1.exe
machine: Machine
result: See the developer notes
654:名無しさん@お腹いっぱい。
09/09/13 14:04:00
Rising Internet Security 2010 22.12.06.02 (22.00.00.91)
>>652
x1.exe: Dropper.Win32.Undef.aze
x150.exe: Dropper.Win32.Undef.aze
x150_2.exe: Trojan.PSW.Win32.OnlineGame.ztj
x1_2.exe: Trojan.PSW.Win32.OnlineGame.ztj
4/6
検体提出完了
RS20090913125614984618
655:653
09/09/13 14:18:12
>>652
Kasperskyから
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
x1_1.exe, x150_1.exe - Trojan-Dropper.Win32.Agent.bcpu
At the moment these files are detected. Please update your antivirus bases.
656:647
09/09/13 15:30:05
>>645(>>647-648) tane0513
カスペからの返事
51+9=60/94
spam_mail\D9bcf33f0.exe - Backdoor.Win32.Bredolab.vd (zipも検出)
FakeAV\Scanner-5920e39_2020-1.exeTrojan.Win32.FraudPack.tgw
trojan\test_b.exe_ - Trojan-Downloader.Win32.FraudLoad.wrfc
trojan\install(1).exe - Trojan-Downloader.Win32.FraudLoad.wrgf
trojan\spyware.exe_ - Email-Worm.Win32.Iksmas.etj
zeus\CCleaner2.19.exe - Trojan-Spy.Win32.Zbot.aaua
検知 14:04
Trojan-Downloader.JS.ActiveX.cm exploits\213.163.89.54\index.php
Trojan program Exploit.Win32.Pidief.brj exploits\brberfsdfsdafs.com\pdf.pdf
>>637(>>641-644,646) tane0512
Trojan.JS.Agent.ano tane0512\exploit\61.235.117.72\giri.htm (←HEUR)
657:名無しさん@お腹いっぱい。
09/09/13 16:11:41
>>652
McAfee (Active Protection 無効)4/6
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
x1_1.exe |inconclusive | | |no
x150_1.exe |inconclusive | | |no
658:名無しさん@お腹いっぱい。
09/09/13 18:40:24
>>645さん乙
a-squaredとMalwarebytesに提出しました
659:名無しさん@お腹いっぱい。
09/09/13 22:33:04
カスペ 21:50
>>637(>>641-644) tane0512
96+11=107/178
Trojan-Dropper.Win32.Agent.bcug tane0512\FakeAV\setup(1).exe (返答)
>>645(>>647-648,656) tane0513
51+10=61/94
Trojan.Win32.VkHost.bm tane0513\trojan\price.php (検知)
>>652㌧(>>653代理提出乙、>>655) tane0515 6/6
Trojan-Downloader.Win32.Fiegi.as x1.exe、 x150.exe
Trojan-Downloader.Win32.small.angx x1_2.exe、 x150_2.exe
Trojan-Dropper.Win32.Agent.bcpu x1_1.exe、 x150_1.exe
660:名無しさん@お腹いっぱい。
09/09/17 01:05:15
URLリンク(image46.bannch.com)
URLリンク(image37.bannch.com)
URLリンク(h1.ripway.com)
661:名無しさん@お腹いっぱい。
09/09/17 14:51:27
>>660
>>2-3
>・ブラクラや危険サイトのURL直リン厳禁
> ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
> 怪しいサイトの安全性を鑑定するサイトではありません!
>
>※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
Aviraは1つスルー(他社では検出)。詳細についてはテンプレ違反のためスルー。
662:名無しさん@お腹いっぱい。
09/09/21 22:06:23
>>660
0112370262.rarを解凍後、crafter.exeが出できた。
crafter.exeはuniversal extractorでスキャン、自己解凍式7-zipファイルなので解凍。
avast.exeとcrafter.exeが出てきた。
avast.exeをVIRUSTOTALに送信。
結果
URLリンク(www.virustotal.com)
663:名無しさん@お腹いっぱい。
09/09/21 22:10:02
>>662
これじゃね
URLリンク(www.iso-g.com)
664:名無しさん@お腹いっぱい。
09/09/21 23:32:25
URLリンク(tane.sakuratan.com)
infected
本体はswfファイルですがスクリプトとHTMLも同梱
検体入手元
redstone-walker●com (修正済み,SCOにキャッシュ有)
loan-5●sakura●ne●jp/bank-loan/google_service.js
VirusTotal結果: 1/41
URLリンク(www.virustotal.com)
目新しい感じだったので以下補足
以下のような形で挿入されていました。
ノートンではサイト閲覧時にブロックされたとのこと
<ul>
<li>本文</li>
<li>本文</li>
・・・
<li>本文</li>
</ul><script src=http ://loan-5●sakura●ne●jp/bank-loan/google_service.js></script>
<p>本文</p>
国内ドメインではありますがファイル名が自称googleととても怪しい
中身はiframeによる隠しswfファイル
上記修正済みサイトによるとFTPによる改ざんらしい
状況としては黒っぽいのですがほとんどスルーでした
このファイルが置いてあるloanのほうも危ないような・・・
Aviraには提出してみます
665:名無しさん@お腹いっぱい。
09/09/21 23:40:52
>>664
Symantec、Panda、GDATA2010(avast!&BitDefender)、ESET、TrendMicro、Kaspersky、AVG、Ahnlabへ提出
・・・・自分が積極的に送ってる提出先ってAhnlab以外は全部大手ベンダーだな
McAfeeは面倒だから送ってない
666:名無しさん@お腹いっぱい。
09/09/22 03:22:54
>>664
Avira完了済み
F-Secureも送信しました
667:名無しさん@お腹いっぱい。
09/09/22 06:07:19
>>664
McAfee (Active Protection 無効)0/3
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
ad_top.swf |inconclusive | | |no
gad_160x600.htm |inconclusive | | |no
google_service.js |inconclusive | | |no
668:名無しさん@お腹いっぱい。
09/09/22 12:46:05
>>664
やっぱり黒だったみたいです
総スルーだったから自信なかったけど提出してよかった・・・
Aviraは解析待ち中
F-Secureメール返信
Malicious code found detection will be added on these files as follows:
google_service.js - Trojan:JS/Iframe.DR
ad_top.swf - Exploit:SWF/SWFdloader.M
WebのstatusはNO DETECTIONになってますが検出されるみたいだから
メールのほうが正しいのかな
google_service.js(1/41)
URLリンク(www.virustotal.com)
ad_top.swf (3/41)
URLリンク(www.virustotal.com)
669:名無しさん@お腹いっぱい。
09/09/22 13:20:39
>>664
Comodo提出済み
670:名無しさん@お腹いっぱい。
09/09/22 14:19:48
>>664
Risingスルー
提出完了
RS20090922131412296245
671:名無しさん@お腹いっぱい。
09/09/22 21:49:31
あのさ、スレちの質問ですまないんだけど
(ここの人、頻繁に検体送ってるので詳しいんじゃないかと思いあえて質問)
Pandaの無料のやつ、性能的にメインパソコンに入れても大丈夫?
ほかの優秀な検知率のソフトに比べてPandaのクラウドはどうなの?
672:名無しさん@お腹いっぱい。
09/09/22 23:00:23
>>671
スレリンク(sec板)
673:Norton&Panda使い
09/09/23 02:18:15
>>671
性能的にはPandaはまだ不安定じゃないかなと思う
一応AV-Testでは99%の検出結果を出してるけどまだ楽観視できるレベルじゃない
というのもPandaはウイルスバスターと同様に第三者テスト機関に参加しなさ過ぎる
NortonやGDATA、BitDefenderやKasperskyにESETやMcAfeeみたいにAV-ComparativesやVB100にコンスタントに参加してかつ安定した成績を修めてないとPandaの性能は認められるようなものじゃない
とはいえ個人的な感想としてはそういうテスト組織を抜きに良いソフトだとは思う
というのもクラウドを用いた検出性能はやはり強力だと思うしクラウド+ヒューリスティックの合わせ技はさらに強力
また検体提出した後のウイルス対応速度は割りと速いほうなので好感が持てる
誤検出の方はわからないけどPandaのクラウドはNorton同様のユーザーコミュニティの情報共有システムだしホワイトリストを導入してるから誤検出は少なくなるとは思う
以上矛盾した個人的な感想でした
674:名無しさん@お腹いっぱい。
09/09/23 02:30:57
28 名前:AV(NOD32)部分のテンプレその18 [sage] 投稿日:2009/09/13(日) 05:13:21
■NOD32を良いランク付けにしているテストの対する板常連の意見。
URLリンク(www.av-comparatives.org)
AV-Comparatives.orgのランク付けは、一般消費者には、あまり意味のないものがある。
ランク付けで最も重視された基準は、本物のウイルスの検出数ではなく、誤検出の数。
URLリンク(www.av-comparatives.org)
↑
この資料の6ページ目に、誤検出数の具体的な個数が書いていましたが、
Fortinetという製品(1000以上の誤検出)以外は、
全サンプル中で、たった0個から36個の誤検出に過ぎませんでした。
実際のユーザー環境では、誤検出してもベンダーに真偽を確認すれば済むが、
本物のウイルスを検出できないのは致命的です。
今回からのプロアクティブ性能のランク付けでは、
誤検出が18個で、本物のウイルスを14628個できている製品よりも、
誤検出は8個でも、本物のウイルスは5659個しか検出できていない製品の方がランクが上となっています。
■有名なアンチウイルスのテスト機関の情報
1998年からVirus BulletinがVB100アワードを開始。
VB100アワードは、2008年までESETがプラチナ・スポンサーでした。
2009年は、ESETとK7Computingがプラチナ・スポンサーです。
URLリンク(www.virusbtn.com)
675:名無しさん@お腹いっぱい。
09/09/23 02:35:23
VB100厨=基地外NOD厨
676:名無しさん@お腹いっぱい。
09/09/23 02:58:20
>>674
素人がうるせえよ
677:名無しさん@お腹いっぱい。
09/09/23 03:33:38
>>674
なるほどねえ。
統一した評価基準みたいなものがないから。
678:名無しさん@お腹いっぱい。
09/09/23 09:40:52
AV-Comparatives 2009年8月 オンデマンド検出力テスト
URLリンク(www.av-comparatives.org)
■Advanced+ ★★★
G DATA 20.0 99.8%
Symantec Norton 17.0 98.4%
avast! Pro 4.8 98.0%
F-Secure 10.00 97.9%
BitDefender 13.0 97.8%
eScan 10.0 97.7%
ESET NOD32 4.0 97.2%
----------------------------------------------------------------
■Advanced ★★
AVIRA Premium 9.0 99.4%
McAfee VirusScan Plus 13.11 98.7%
TrustPort 2.8 97.6%
AVG 8.5 94.0%
Kaspersky 9.0 94.7%
----------------------------------------------------------------
■STANDARD ★
Microsoft Live OneCare 2.5 90.0%
----------------------------------------------------------------
■TESTED
Sophos 7.6 91.3%
Kingsoft 2009.08 86.4%
Norman 7.10 84.8%
※誤検出が多いと減点される
※TrendMicroは検出率が最低ラインに達していないため評価外
679:名無しさん@お腹いっぱい。
09/09/23 09:46:03
決められたルール合意の上での一発勝負なわけだからね
地道をあげてる企業はおのずから上位に向かうし、
新種に対して100%とか99.8%とかありえないのは、すくなくともここの人は分かってることだろうから
あとは各自が判断目安にすればいいだけでしょうね
今後クラウド時代でテストどうするんだろうか
680:名無しさん@お腹いっぱい。
09/09/23 10:18:51
>>678-679
コピペ荒らし乙
VB100厨、AV-Comparatives厨=NOD32厨
681:名無しさん@お腹いっぱい。
09/09/23 10:21:36
スレリンク(sec板:976番)
682:名無しさん@お腹いっぱい。
09/09/23 14:46:54
>>680-681
お前がどっか行け
683:名無しさん@お腹いっぱい。
09/09/23 14:53:23
>>679
>>678 はクラウド有りでのテスト結果だよ
684:名無しさん@お腹いっぱい。
09/09/23 15:09:42
>>682-683
>>680-681
685:名無しさん@お腹いっぱい。
09/09/23 15:18:27
どんなに頑張ってもトレンドマイクロは水準以下だから
>>678のテストはバスター厨には関係ないよな
686:名無しさん@お腹いっぱい。
09/09/23 15:20:04
濃度32厨、一つのスレでもコピペしまくりだね。カワイソ(´・ω・) ス
スレリンク(sec板:446番)
スレリンク(sec板:410番)
スレリンク(sec板:395番)
スレリンク(sec板:394番)
スレリンク(sec板:307番)
スレリンク(sec板:293番)
スレリンク(sec板:291番)
スレリンク(sec板:260番)
スレリンク(sec板:228番)
スレリンク(sec板:224番)
スレリンク(sec板:184番)
687:名無しさん@お腹いっぱい。
09/09/23 15:25:00
>>684-686
>>1->>3
>特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
>・スレ違いでもめる(2スレ目以降)
>・あらしはスルー。ソフトの優劣の議論は別スレで!!(下記スレなど)
>一番いいセキュリティソフトはなんだ!!Part66
>スレリンク(sec板)
ということで場違いはお前だ、わかったならさっさと消えろ
688:665
09/09/23 15:33:44
>>664
Kasperskyから
Hello,
ad_top.swf - Exploit.JS.DirektShow.al,
google_service.js_ - Trojan-Downloader.JS.Iframe.btr
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
gAd_160x600.htm_
No malicious code was found in this file.
689:名無しさん@お腹いっぱい。
09/09/23 15:47:03
>>687=>>678
荒らしのクセにスルー耐性がないので、
NOD32厨だとすぐ分かりますね。^^;
690:名無しさん@お腹いっぱい。
09/09/23 15:48:48
>>689もスルー耐性なく粘着してるわけだが
691:名無しさん@お腹いっぱい。
09/09/23 15:50:52
>>689=>>690
自演荒らし乙
692:名無しさん@お腹いっぱい。
09/09/23 15:55:04
>>690=>>691=>>698>>678=Z音
693:名無しさん@お腹いっぱい。
09/09/23 15:55:08
>>689-692
自演荒らし乙
694:名無しさん@お腹いっぱい。
09/09/23 15:57:07
>>689-693
自演荒らしニート乙
695:名無しさん@お腹いっぱい。
09/09/23 15:57:47
>>689-695
自演荒らし乙
696:名無しさん@お腹いっぱい。
09/09/23 15:59:52
>>689-696
自演荒らしニート乙
697:名無しさん@お腹いっぱい。
09/09/23 15:59:55
>>689-696
自演荒らしニート乙
698:名無しさん@お腹いっぱい。
09/09/23 16:00:18
>>689-698
自演荒らしニート乙
699:fusianasan
09/09/23 16:00:57
(´?????)
700:名無しさん@お腹いっぱい。
09/09/23 16:01:24
>>689-700
自演荒らしニート乙
701:名無しさん@お腹いっぱい。
09/09/23 16:02:02
>>689
バカスいい加減にしろよ
自演荒らしニートの分をわきまえなさいな
702:名無しさん@お腹いっぱい。
09/09/23 16:04:15
日本語でおk。
703:名無しさん@お腹いっぱい。
09/09/23 16:04:27
>>687=>>701
荒らしの癖にスルー耐性のないNOD32厨乙
704:名無しさん@お腹いっぱい。
09/09/23 16:04:52
あ~あ、このスレも末期だな
705:名無しさん@お腹いっぱい。
09/09/23 17:30:30
AV-Comparativesの評価については海外の専門家からも批判が強い
検出率の高さに比べてほとんど評価価値がないといわれる誤検知数を過大に評価しすぎる
との意見が大勢を占めている
日常生活レベルでは絶対にありえない数のマルウェアサンプルを一度にテストにかけ
しかもその数に比べて無視できるほどわずかな誤検出数でもランキングを大幅に下げさせる手法は
一部の検知率があまり高くない反面、誤検出の少ないベンダーのランキングを恣意的に上げる目的
に使われているといわれている(具体的なベンダー名は避けるけど)
もう誤検出数は検査項目から外すべきだと多くの専門家から主張されているにもかかわらず
AV-Comparativesなどの一部格付け調査機関はいまだにそのやり方を変えていない
やはり裏でランキングをめぐりお金が動いているのだろうか?
706:名無しさん@お腹いっぱい。
09/09/23 17:39:51
>>705
ソースは?
WildersSecurityForumを監視する限りでは
専門家からそういう意見は出てないよ
中国企業のトレンドマイクロなら
そういうデマを流して他者を落としいれようと
するだろうけどね
トレンドマイクロは中国企業
ウィルスバスターの開発・張明正
URLリンク(japan.discovery.com)
「台湾人物誌Ⅱ」 新聞局がディスカバリーと共同制作
URLリンク(www.taiwanembassy.org)
「台湾10大国際ブランド」評価、トレンドマイクロが4年連続トップ
URLリンク(www.taiwanembassy.org)
707:名無しさん@お腹いっぱい。
09/09/23 17:44:43
ランキングをカネで買えるんなら
KingsoftがAdvanced+になるだろアホw
708:名無しさん@お腹いっぱい。
09/09/23 18:01:46
ここまでNOD厨の自演
709:名無しさん@お腹いっぱい。
09/09/23 18:07:49
>>664
Avira結果
ad_top.swf CLEAN
gAd_160x600.htm CLEAN
google_service.js CLEAN
カスペ、F-Secureは黒みたいだけどオールクリーン
>>688をみるとぱっと見swfファイルではあったけども
Exploit.JS.DirektShowなのか・・・
710:名無しさん@お腹いっぱい。
09/09/23 21:12:58
>>664
NIS2009を試したところ、スルー。
提出は>>665で行われているので、していません。
711:八頭 ◆YAGApwSaEw
09/09/24 03:55:26
>>710
替わりにSymantecへ提出しておきました
712:名無しさん@お腹いっぱい。
09/09/24 07:42:06
>>711
既に報告が出てるベンダーに敢えて重複提出するなよ。有害だからお前は出てくるな。
713:名無しさん@お腹いっぱい。
09/09/24 08:48:32
URLリンク(tane.sakuratan.com)
infected
■ 検体入手元
MDL 2009/09/15-18+リネージュ資料室の更新リスト9/20分まで+spamメール添付ファイル
■ 検体提出先
Avira:FTP経由で提出完了
AntiyLabs:FTP経由で提出完了
その他:未提出
■ 注意事項
例によって、設定ファイルも含めているので、白判定のファイル多いと思います。
提出される方はその辺をご承知おきください。
最近は検体拾う時間もなかなかとれませんな。連休だったというのに。orz
714:Norton&Panda使用者
09/09/24 08:57:34
>>713
・・・・今回は各ベンダーに提出はパス(提出用ファイルを作るのが大変すぎる、特にSymantecとTrendMicro)
他力本願で申し訳ないけど代わりに提出お願いします、SymantecとPandaとBitDefenderとavast!とTrendMicroに提出してくれたら助かります
715:八頭 ◆YAGApwSaEw
09/09/24 09:33:04
>>713さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました
>>714さん
上記3社は今後、慣れてる僕が受け持ちます
716:名無しさん@お腹いっぱい。
09/09/24 09:54:59
TrendMicroへ提出しましたが・・・mpg_1.scrだけ遅れませーん
後で再チャレンジ予定
717:名無しさん@お腹いっぱい。
09/09/24 10:36:01
>>713さん、乙です
やっぱりmpg_1.scrだけ送れません(汗
やり方がおかしいのかな~
スルーします。申し訳ありません。
718:名無しさん@お腹いっぱい。
09/09/24 11:54:36
>>715
代理提出乙です
>>713
検出数だけ
NortonInternetSecurit2009
66/93
ESETSmartSecurity4.0(この後ESETを削除してウイルスバスター2010をインストールしたためうろ覚えになるので申し訳ない)
57/93
PandaGlobalProtection2010
66/93
ウイルスバスター2010
66/93
719:714
09/09/24 12:16:21
>>713
ESETとKasperskyに提出しました
>>715
代理提出本当にありがとうございます、おかげで提出作業がかなり楽になりました
720:名無しさん@お腹いっぱい。
09/09/24 12:35:45
>>713
BitDefenderTotalSecurity2010
64/93
BitDefenderは2008と2010では検出率が違うのかこのスレの検体を使って検証してみようと思う
ちなみにウイルスバスターは違いました、当然のことながら2010の方が2008より検出率が良かった(ただし2008も最新検索エンジン当てれば恐らく2010と検出率は同じになると思う)
ウイルスバスターで一番驚いたのが2010と2007の検出率の差、2007では2010で検出した検体の3割も検出できてなかった
721:名無しさん@お腹いっぱい。
09/09/24 12:39:55
あ・・・すごい大きな表記ミス
64/93の左側の数字は検出数ではなく未検出数でしたorz
当然のことながら>>718で報告した数字の左側は未検出数ですorz
検出数はNortonとPandaとウイルスバスターは27、ESETは36、BitDefenderは29です
連投も兼ねて迷惑かけて申し訳ありませんでしたorz
722:名無しさん@お腹いっぱい。
09/09/24 13:35:44
URLリンク(tane.sakuratan.com)
virus
723:716
09/09/24 14:01:24
>>722さん乙です
tane0518
ウィルスバスター2010 1/7
未検出分を提出しました
724:名無しさん@お腹いっぱい。
09/09/24 14:53:38
>>722
Symantec、Panda、GDATA2010(avast!&BitDefender)、ESET、Kaspersky、AVG、Avira、Ahnlabへ提出
>>723
提出乙です
Aviraから
25458478 pcclient1.exe 61.96 KB MALWARE
25458479 redstone1.exe 49.5 KB MALWARE
25458480 upk1.exe 23.74 KB MALWARE
25458481 x1.exe 42.5 KB UNDER ANALYSIS
25458482 x1_1.exe 33.16 KB MALWARE
25458483 x150.exe 42.5 KB UNDER ANALYSIS
25458484 x150_1.exe 33.16 KB MALWARE
725:名無しさん@お腹いっぱい。
09/09/24 14:54:07
>>722
Symantecから
filename: redstone1.exe
machine: Machine
result: See the developer notes
filename: x1.exe
machine: Machine
result: See the developer notes
filename: x150_1.exe
machine: Machine
result: See the developer notes
filename: pcclient1.exe
machine: Machine
result: See the developer notes
filename: x150.exe
machine: Machine
result: See the developer notes
filename: x1_1.exe
machine: Machine
result: See the developer notes
726:名無しさん@お腹いっぱい。
09/09/24 14:54:59
>>713の検体をESETとKasperskyに送ったつもりですが・・・
どうやらそのまま送ったのがいけなかったのか、サイズオーバーでエラーが返ってきましたorz
727:名無しさん@お腹いっぱい。
09/09/24 19:14:21
Rising Internet Security 2010 22.14.03.06 (22.00.01.02)
>>722
pcclient1.exe: Trojan.Win32.Generic.11EDA5AE
redstone1.exe: Trojan.Win32.Generic.11EDA5AD
upk1.exe: Trojan.Win32.Generic.11EDA2D3
x1.exe: Trojan.Win32.Edog.cc
x150.exe: Trojan.Win32.Edog.cc
x150_1.exe: Trojan.Win32.Edog.cd
x1_1.exe: Trojan.Win32.Edog.cd
7/7
728:720@Norton&Panda使用者
09/09/24 19:30:47
とりあえず結果報告(スレチなのでなるべく簡潔にします)
BitDefender2010とそれ以前のバージョンの検出率の比較ですがやはり差はありました(当然のことながら2010が一番良い)
比較したバージョンは2010と2008とv10(v10はフリー版)、で、結果は2010>>v10>>>>>2008
2008の結果が酷すぎるように見えるんですが動作が上手くいってなかったかもしれないので参考にするのは2010>>v10でいいと思う
検出率が良くなってる要因は恐らくヒューリスティックの強化かも?(Generic系の検出がかなり多かったから)
PandaやNorton、Kasperskyと比べるとどのように検出率が上がったかその説明がないのがわかりにくいですね
以上、結果報告でした、あ、あまり簡潔にならなかったかも・・・
729:名無しさん@お腹いっぱい。
09/09/24 19:42:39
>>713
McAfee (Active Protection 無効)31/93
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
URLリンク(tane.sakuratan.com)
730:名無しさん@お腹いっぱい。
09/09/24 19:43:45
>>722
McAfee (Active Protection 無効)3/7
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
redstone1.exe |new detection |pws-mmorpg!gj |Trojan |yes
upk1.exe |heuristic detection |new malware.n |Trojan |no
x1.exe |inconclusive | | |no
x150.exe |inconclusive | | |no
731:名無しさん@お腹いっぱい。
09/09/24 21:44:54
>>722さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました
732:名無しさん@お腹いっぱい。
09/09/26 03:24:20
(参考)カスペ2010 0:20
>>713㌧ (>>719,726代理提出㌧) 48/93
(1) .Braviax 2/2
Trojan-Dropper.Win32.FrauDrop.uf \Install(2).exe
Trojan-Dropper.Win32.FrauDrop.ug \Install.exe
(2). Exploit 6/9
①reycross 1/1
Trojan-Downloader.JS.ActiveX.cm \lib.htm
②statscount 2/3
Exploit.Win32.Pidief.bgy \8.pdf
Backdoor.Win32.Bredolab.zq \load.php
③giando .1/1
Exploit.Win32.Pidief.atj \Lettera_Urgentissima.pdf
④92.60.176.33 2/3
virus HEUR:Exploit.Script.Generic \main.htm
⑤ ame.com 0/1
(3). Obfuscated 1/1
Trojan.BAT.Agent.tf \8732489273.php
(4) Rogue 8/14 (残6htm)
not-a-virus:FraudTool.Win32.AntivirusPlus.my \AntivirusPlus.exe
Trojan.Win32.FraudPack.uai \Install.exe
Trojan.Win32.FraudPack.uep \Soft_71.exe
:FraudTool.Win32.AntivirusPlus.no \avplus.exe
Trojan-Downloader.Win32.FraudLoad.fpx \setup(1).exe、 \setup.exe (2files)
Trojan.Win32.FraudPack.uen \Rogue\u4.exe
(5) Scam 0/15 (残htm, php)
(6) spam_mail 5/5
Packed.Win32.Krap.w \DHL_INVOICE*.exe (3files)
Trojan.Win32.Pincav.f \playatataq1a12.exe
733:名無しさん@お腹いっぱい。
09/09/26 03:26:09
>>732の続き
Trojan-Downloader.Win32.Murlo.cba l\nz.exe
(7) Renos 1/1
Trojan-Downloader.Win32.Small.adrl \baka444.ext
(8) TDSS 10/10 (zipも検出)
Packed.Win32.Krap.x \pc1.exe/zip
Packed.Win32.TDSS.z \dm3.exe/zip
Net-Worm.Win32.Koobface.bqn \cw2.exe/zip
Trojan.Win32.Sasfis.iji \t3.exe/zip
Trojan.Win32.FraudPack.tyj \sisa.exe/zip
(9) Tedroo 1/2
Trojan.Win32.Buzus.casu \update.exe
(10) Dropper 7/7
Trojan-Dropper.Win32.Agent.aytz 全ファイル(7つ)
(11) zeus 7/26
Trojan program Trojan-Spy.Win32.Zbot.gen \1(1).exe 、 \1.exe、 \file.exe (3files)
Trojan-Spy.Win32.Zbot.aaul \bot.exe
Trojan-Spy.Win32.Zbot.abfh \cssexe.exe
Trojan-Spy.Win32.Zbot.abaa \exe.exe
Trojan-Spy.Win32.Zbot.abel \kav.exe
(12) Win32Perkesh 0/1
>>722 tane0518 (>>724㌧)
7/7
Trojan-Dropper.Win32.Agent.aytz \pcclient1.exe
Trojan.Win32.Inject.ajfq \redstone1.exe
Trojan-Downloader.Win32.Geral.dhp \upk1.exe
Trojan-Dropper.Win32.Agent.bdtb \x1.exe、 \x150.exe
Trojan-Downloader.Win32.Murlo.cda \x150_1.exe、 \x1_1.exe
734:名無しさん@お腹いっぱい。
09/09/26 20:05:25
URLリンク(tane.sakuratan.com)
virus
735:名無しさん@お腹いっぱい。
09/09/26 20:23:27
Rising Internet Security 2010 22.14.05.07 (22.00.01.03)
>>734
1-2,4-5,7-8,16,21,32.exe: Trojan.PSW.Win32.GameOnline.egd
3,6,10,25.exe: Trojan.PSW.Win32.GameOnline.dvt
11,13-15,19,22,27,29,31,33.exe: Dropper.Win32.ExInject.f
9,17.exe: Trojan.PSW.Win32.OnlineGame.yww
18.exe>>DLLFILE: Trojan.PSW.Win32.GameOL.ojr
20.exe: Trojan.PSW.Win32.GameOnline.een
23-24.exe: Trojan.PSW.Win32.GameOnline.eey
26,30.exe: Trojan.PSW.Win32.OnlineGame.zao
34.exe: Trojan.DL.Win32.Nodef.zb
35.exe: Trojan.PSW.Win32.QQPass.esj
36.exe>>9f: Trojan.Win32.Generic.11ED9077
36.exe>>68: Trojan.Win32.Generic.11EDB1AD
36.exe>>68: Trojan.Win32.Nodef.xjl
36.exe>>65: Trojan.DL.Win32.Nodef.aiu
37.exe>>upack0.39: Backdoor.Win32.Mnless.ctc
fsg12.exe: Trojan.Win32.Generic.11EDA405
fsg28.exe>>fsg2.0: Trojan.PSW.Win32.GameOnline.fay
upack1.exe: Trojan.Win32.Generic.11EDAF72
x1,x150.exe: Trojan.Win32.Generic.11EDB37A
x150_1.exe: Trojan.Win32.Generic.11EDB37B
x1_1.exe: Trojan.Win32.Generic.11EDB37C
42/42
736:名無しさん@お腹いっぱい。
09/09/26 20:24:46
>>734さん乙
Symantecとa-squaredとMalwarebytesに提出しました
737:名無しさん@お腹いっぱい。
09/09/26 20:26:13
>>734さん乙です
ウィルスバスター2010
34/42
未検出分を提出させて頂きました
738:名無しさん@お腹いっぱい。
09/09/26 21:05:44
>>734
McAfee (Active Protection 無効)40/43←スキャンログでは43ですが目視では42
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
35.exe |inconclusive | | |no
x1.exe |inconclusive | | |no
x150.exe |inconclusive | | |no
739:名無しさん@お腹いっぱい。
09/09/26 21:13:05
カスペ2010 18:39
>>734 ㌧ tane0521
36/42
検体提出します。
Trojan-GameThief.Win32.OnLineGames.bmtc \1.exe
Trojan-GameThief.Win32.Magania.bxxp \10.exe
Trojan-GameThief.Win32.Magania.biht \11.exe、 [13-15].exe、 \19.exe、 \22.exe、 \31.exe (7)
Trojan-Dropper.Win32.Agent.ayqa \16.exe、 \2.exe、 \21.exe (3)
Trojan-GameThief.Win32.Magania.bwyr \17.exe
Trojan-GameThief.Win32.OnLineGames.thoc \18.exe
Trojan-GameThief.Win32.Magania.bwsr \20.exe、 \[23-25].exe、 \30.exe (5)
Trojan-GameThief.Win32.Magania.bkii \26.exe
Trojan-GameThief.Win32.Magania.bwxz \27.exe、 \29.exe (2)
Trojan-GameThief.Win32.Magania.bwsr \3.exe
Trojan-Dropper.Win32.Agent.ayqa \32.exe
Trojan-GameThief.Win32.Magania.biht \33.exe 、
Trojan-Downloader.Win32.Small.kdk \34.exe
Trojan-Dropper.Win32.Agent.bdlr \36.exe
Trojan-Dropper.Win32.Agent.bcvr \37.exe
Trojan-Dropper.Win32.Agent.ayqa \4.exe、 \5.exe、 \7.exe、 \8.exe (4)
Trojan-GameThief.Win32.Magania.bwsr \6.exe
Trojan-GameThief.Win32.Magania.bwyr \9.exe
Trojan.Win32.Slefdel.efm \fsg12.exe
Trojan.Win32.Slefdel.efo \fsg28.exe
740:732
09/09/26 21:19:45
カスペからの返事
>>713(>>732,733) tane0517
48+1=49/93
Rogue \ mycomputer-scannervv.com.htm - Trojan.JS.Fraud.g
Rogue \ Alpha-Scan-420d928_2004.exe - Trojan-Downloader.Win32.FraudLoad.fqg (←KSN検知から変更)
Exploit\...\AMEMain.pdf - 白
※白っぽいのは提出見送っているので、参考。
741:名無しさん@お腹いっぱい。
09/09/26 21:40:53
>>734
Panda、GDATA2010(avast!&BitDefender)、ESET、AVG、Avira、Ahnlabへ提出
>>736
>>737
代理提出乙です
あとBitDefenderとは別にF-Secureにも提出した方がいいかな?
今までKaspersky or BitDefenderで対応してくれると思ったから必要ないかなと思ったけど
742:名無しさん@お腹いっぱい。
09/09/26 23:21:20
>>734 (>>739) tane0521
カスペからの返事
36+6=42/42でクローズ
35.exe - Trojan.Win32.Agent.cxjj
upack1.exe - Worm.Win32.AutoRun.axbu
検知 22:11
Trojan-Downloader.Win32.Murlo.ceo \x150_1.exe
Trojan-Downloader.Win32.Murlo.ceo \x1_1.exe
Trojan-Dropper.Win32.Agent.bedo \x1.exe
Trojan-Dropper.Win32.Agent.bedo \x150.exe
743:名無しさん@お腹いっぱい。
09/09/26 23:56:42
URLリンク(www.gameicity.com)
744:名無しさん@お腹いっぱい。
09/09/27 01:20:03
>>743
URLリンク(tane.sakuratan.com)
infected
URLリンク(www.virustotal.com)
745:名無しさん@お腹いっぱい。
09/09/27 05:46:11
>>743さん乙
Symantecとa-squaredとMalwarebytesに提出しました
746:名無しさん@お腹いっぱい。
09/09/27 06:34:41
>>743>>744さん乙です
VirustotalのTrendMicroはPAK_Generic.001で検出してますが
自分のウィルスバスター2010はスルーしてるので一応提出させて頂きました
747:名無しさん@お腹いっぱい。
09/09/27 18:22:35
>>743,744㌧ tane0522
カスペ2010 16:01
1/1
Trojan.Win32.Inject.ajjx MS-JP.exe
VTからみると、事後提出、事後検知かな。
748:名無しさん@お腹いっぱい。
09/09/28 11:01:13
ms-jp.exeは自己解凍rarで、中身はmxd.exeとmxd1.exeの2ファイル。
で、この2ファイルは同一バイナリ(意図不明。操作ミスかと)。
URLリンク(tane.sakuratan.com)
VT等は結果がそれぞれ1行目しか出ないので
複数ファイルを圧縮した物を投げると結果が信用できなくなります。
URLリンク(www.virustotal.com)