【鑑定目的禁止】検出可否報告スレ12

【鑑定目的禁止】検出可否報告スレ12at SEC

【鑑定目的禁止】検出可否報告スレ12 - 暇つぶし2ch901:900
09/11/09 10:57:05
Kasperskyから

Hello,

install.48232.exe - Trojan.Win32.FraudPack.zsn

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

提出は本日の10:35、Kasperskyからの返事は10:54なので約20分で対応完了

902:名無しさん＠お腹いっぱい。
09/11/09 15:43:01
URLﾘﾝｸ(infosueek.w53.okwit.com)

903:名無しさん＠お腹いっぱい。
09/11/09 15:55:31
>>902
>>2
自分で削除依頼出して来いよ

904:900
09/11/09 17:01:27
TrendMicroから
どのファイルに該当するかはわからないけどとりあえず対応

This is a system generated email update.

We are glad to inform you that the detection for TSPY_ONLINEG.MCS is now available for
downloading using CPR 6.614.02.

To download the latest Control Pattern Release, please use the following link:
URLﾘﾝｸ(www.trendmicro.com)

Please expect further updates of this case.

905:名無しさん＠お腹いっぱい。
09/11/09 17:07:01
とりあえずPandaは>>895を全検出完了

906:名無しさん＠お腹いっぱい。
09/11/09 17:28:55
>>900
Risingに提出完了
RS20091109162245531992

907:名無しさん＠お腹いっぱい。
09/11/09 17:29:33
>>902
URLﾘﾝｸ(www.virustotal.com)
リアルタイムスキャンでは検出出来なかったので
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
ms-jp.exe |current detection |generic malware.cm |Trojan |no

908:名無しさん＠お腹いっぱい。
09/11/09 17:31:42
そろそろ新スレの時期ですね
誰か立ててくれる方はいないのでしょうか？

909:名無しさん＠お腹いっぱい。
09/11/15 21:48:12
>>6のリンク切れ修正
●AVG ≫ 疑わしい偽陽性の検出の対応方法
パスワード圧縮ファイルをメールに添付して virus@avg.com with a brief description にメールで送信
URLﾘﾝｸ(forums.avg.com)

910:名無しさん＠お腹いっぱい。
09/11/17 23:09:15
URLﾘﾝｸ(tane.sakuratan.com)
infected

Gumblar.xのスクリプト2つ
コロコロかわるやつなので提出はお好みで
Avira,Comodo提出済み

robots.php　6/41　11/16取得
URLﾘﾝｸ(www.virustotal.com)

addcart.php　1/41　11/17取得
URLﾘﾝｸ(www.virustotal.com)

911:名無しさん＠お腹いっぱい。
09/11/17 23:17:13
>>910さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました

しかし対応率低いね

912:名無しさん＠お腹いっぱい。
09/11/17 23:46:42
>>911
Symantecは脆弱性保護機能でブラウザが読み込んだときに検出する
80日前のシグニチャでも検出するたぶん最初から対応していたと思う

913:名無しさん＠お腹いっぱい。
09/11/18 04:33:36
>>910
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
addcart.php |inconclusive | | |no
robots.php |inconclusive | | |no

914:名無しさん＠お腹いっぱい。
09/11/18 22:09:59
>>910
Avira結果
16日提出　robots.php　838 Byte　MALWARE　TR/Dldr.Gumblar.X.1
17日提出　addcart.php　832 Byte　MALWARE　 JS/Gumblar.x

addcartのほうは安定したような名前だけどどうかな

915:名無しさん＠お腹いっぱい。
09/11/18 22:36:23
Rising Internet Security 2010 22.22.02.10 (22.00.01.86)
>>890
安全文件
>>895
get.exe: Trojan.Win32.Generic.11F0C024
pp.12.exe: Trojan.Win32.Generic.11F0BFBC
us4.exe: Trojan.Win32.Generic.11F17C99
1+3=4/5
>>900
install.48232.exe: Trojan.Win32.Generic.11F0D50A
nkr.exe: Trojan.Win32.Generic.11F0C026
setup (2).exe: Trojan.DL.Win32.FakeAV.gb
3/3
>>910
スルー
提出完了
RS20091118212852750411

916:名無しさん＠お腹いっぱい。
09/11/21 22:21:42
既出かもしれんが、人に勧められて(ｗ GENO系らしき最新のやつを踏んできたので

URLﾘﾝｸ(u1.getuploader.com)
dlpass: szdsa6511zvfs

ケアレスミスのせいで、何度かスクリプトは踏まされたが、本質的には同じ物が降ってくる
脆弱性3系統を突いて、それぞれにEXEが用意されてるぽいが、SWF/PDF向けは同じ物だった
手動で抽出したものがdll*.binだが、ほとんど同一なので、
ひとつ駆逐できたら、あとのやつも駆逐できると思う

some appended bytes of PE files may be truncated. ← コメ可の通報先にはこれ付けといて。

917:名無しさん＠お腹いっぱい。
09/11/21 23:58:43
>>916
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dll.01-1.bin |inconclusive | | |no
dll.01-2.bin |inconclusive | | |no
dll.02-1.bin |inconclusive | | |no
dll.02-2.bin |inconclusive | | |no
loader.js |inconclusive | | |no
setup.01.bin |inconclusive | | |no
setup.02.bin |inconclusive | | |no
vuln.pdf |inconclusive | | |no
vulna.swf |inconclusive | | |no
vulnb.swf |inconclusive | | |no

918:名無しさん＠お腹いっぱい。
09/11/22 00:00:02
>>916
URLﾘﾝｸ(tane.sakuratan.com)
infected
dll.01-1.bin
URLﾘﾝｸ(www.virustotal.com)
dll.01-2.bin
URLﾘﾝｸ(www.virustotal.com)
dll.02-1.bin
URLﾘﾝｸ(www.virustotal.com)
dll.02-2.bin
URLﾘﾝｸ(www.virustotal.com)
loader.js
URLﾘﾝｸ(www.virustotal.com)
setup.01.bin
URLﾘﾝｸ(www.virustotal.com)
setup.02 ( D490C07A00B1AEA7704600DA607FBB00A1C5B1EC.exe )
URLﾘﾝｸ(www.virustotal.com)
vuln.pdf
URLﾘﾝｸ(www.virustotal.com)
vulnA ( e1ee810b08970ac52cf100f91b760a00b37b239a )
URLﾘﾝｸ(www.virustotal.com)
vulnB ( vulnB.swf )
URLﾘﾝｸ(www.virustotal.com)

919:名無しさん＠お腹いっぱい。
09/11/22 00:15:22
>>918
申し訳ないが
書庫が壊れていて解答できないよ

920:名無しさん＠お腹いっぱい。
09/11/22 00:17:22
virustotal落ちてるしorz

921:名無しさん＠お腹いっぱい。
09/11/22 00:25:59
>>919
解凍パスはinfectedみたいよ