このページに関してのお問い合わせはこちら

【Anti Virus】Kaspersky Lab Part5【Firewall】

528 ：名無しさん＠お腹いっぱい。：2006/02/07(火) 23:59:04

スミマセン、
www.uploda.org/uporg306729.zip
↑これウィルスなんだけど、検出できる？
うちの体験版はこういった未知のウィルス系検出したこと無い…

529 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 00:04:06

>>528
それ鑑定スレに出てた奴でしょ。
Kasperskyは現時点では検出できないよ。

今のところ検出できるのはこれらだけみたい。
AVG PSW.Generic.AGB
Dr.Web Trojan.PWS.Ruby
UNA Trojan.Spy.Win32.Kakkeys

530 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 00:06:35

>>529
まさしくそうです。
詳しい情報ありがとうございました。

531 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 00:11:26

あちこち貼りつけるなアホ
だいたいほんとにウイルスなのか

532 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 00:13:26

ttp://www.symantec.com/region/jp/avcenter/venc/data/jp-trojan.kakkeys.html
多分これの亜種じゃないかな。

533 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 00:15:46

>>531
ﾘｿﾊで見たら偽のエラーダイアログが出るようになってたからウィルスなのは間違いないはず…
個人的に気になるソフト3つのスレに貼らせて頂きました。すみませんでした。

534 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 00:18:45

> 解析時、このトロイの木馬はコード内の不具合により正確に動作しませんでした。
これ、解析してみたところ塵だったってことだろ？
なんでシグネチャ配布するのか不明だな。

535 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 00:33:57

>>528
とりあえずさっき提出しておいた

536 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 00:35:03

>>534
正常に動作しなくてもファイル作成やレジストリ書き込みがされるだろが。それくらいマジでわかんねーの？

537 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 00:47:46

それぐらい自分で気づけよ

538 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 00:53:42

>>534
お前の脳内構造の方が不明だよ

539 ：535：2006/02/08(水) 01:19:57

もうメール返って来た。既に製品で対応済なのでデータベースをアップデートしてくれ、だそうだ

540 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 01:26:31

http://www.kaspersky.co.jp/scanforvirus/
ここでそれ試したら問題なしってでたんだが・・・

541 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 01:35:57

アメリカのオンラインスキャナと日本語版でスキャンしたけど今の所検出されない。
前々から気になっていたんだけどこれの定義ファイルって
リリース時間と実際アップデートできる時間に差があるよね。
もしかしたら次にアップデートできた時に検出できるようになるのかな。

542 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 01:49:28

>>539
早いな…

543 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 01:50:41

検出できるようになったよ。

544 ：543：2006/02/08(水) 01:52:22

Trojan-Spy.Ruby.Kakkeys.gで検出される。

545 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 01:59:03

ローゼンか・・・
対応の早さはさすがだね。

546 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 02:01:42

他スレで思いっきり踏んだ
どうなるのか・・・

547 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 02:04:18

>>546
>>532にはスクリーンショットをアップロードをしたり、
日本語のメッセージを書き込もうとする可能性があります。

って書いてあるね。
亜種みたいだから挙動は違うかも知れないけど・・・

548 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 02:57:51

VMware入ってるから実行してみる。
あとデバッガでちょっと軽く見てみる。

549 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 03:22:02

まず実行すると、%Temp%配下にexe1.tmp～exe6.tmpを作るようだ。
多重で実行すると、このナンバリングが9の次はa,b,c～と16進表記する模様。
で、fの次はなぜか10で始まります。

その後もオリジナルの実行ファイル名でプロセスは残り
レジストリを書き換えてる模様。
タスクマネージャでプロセスは確認できます。

550 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 03:26:28

> fの次はなぜか10で始まります。

551 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 03:45:33

16進だからナンバリングは合ってるのか。まぁいいや。
あと%system%にzlib.dllをおきます。
おそらく上記の解凍用。

次にレジストリの
HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
に何か作ってるようだけどよくわからん。

それと
C:\Documents and Settings\%user%\Application Data\Microsoft\Address Book\
を覗こうとしてるけど存在せずに失敗してる(at W2K)。

総じて何がやりたいのか漏れの知識ではよくわからない。

552 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 04:02:30

Parametersには変更も追加もされていないようだ。
というかParametersというkeyを作ろうとしてるのかな。
tcpip入れてれば普通標準で作られてると思うんだけど。
ひたすらローゼン.exe起動中は、このkeyを作ろうとしてます。

553 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 08:03:26

なんか未完成っぽいな。
亜種で今後厄介なのが出来そうな予感。

554 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 10:24:17

メモ帳で見てるだけなんだが、これRubyで組んであるのか
ばら撒かれるのはランタイムの類だと思う
したらばに書き込みまくろうとしているのはわかった

555 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 10:28:27

あ、ここだな Ragnarok議論板
http://jbbs.livedoor.jp/computer/6135/
踏みまくってる奴いるなｗ

アドレス帳からメールアドレス引っこ抜いて
「zeny bot kore roaddr ラーメン rxv ini パケ config controll
M2E xxxx moemoe まゆタイマー nProtect nPro RoFX FX」
のいずれかを付与して書き込み。

556 ：名無しさん＠お腹いっぱい。：2006/02/08(水) 10:30:44

Ragnarokでbotにむかついた奴が罠ツールばらまいたんじゃないかな?