486 :
実行してください>< :
2007/02/15(木) 22:50:31 http://up3.viploader.net/mini/src/viploader110564.zip 【ノートン】インターネットセキュリティ Ver.107【2007】
356 名前:名無しさん@お腹いっぱい。 [sage] 投稿日:2007/02/15(木) 21:32:53
>>321 試しにマイクロソフトが無料配布している、Windowsエクスプローラのコンテクスト・メニューから
ZIPの圧縮、解凍ができるようになるプログラムで解凍してみたら、それだけでimg_01_0.jpg.exeが
実行されてしまいまつた。
Windowsアップデートはちゃんとやっているけど、ZIPの圧縮、解凍ができるようになるプログラムは
アップデートされていなくて、バッファ・オーバーフローの脆弱性があるバージョンということでつね。
ちなみにimg_01_0.jpg.exe実行後は姿が消えてしまい、正常なjpgファイルしか見えなくなりまつた。
そしてアンチウイルスが強制的に無効状態になりまつた。
357 名前:名無しさん@お腹いっぱい。 [sage] 投稿日:2007/02/15(木) 21:35:03
>ちなみにimg_01_0.jpg.exe実行後は姿が消えてしまい、正常なjpgファイルしか見えなくなりまつた。
感染していることを気付かせない細工もしているウイルスなんだな。
358 名前:名無しさん@お腹いっぱい。 [sage] 投稿日:2007/02/15(木) 21:42:58
WinRAR3.62 Noah3.195 Lhaplus1.54β1で解凍してみたが
img_01_0.jpg.exeはそのままフォルダ内に残っている。
しっかし、Windows純正品がだめってなんなんだよ。
360 名前:名無しさん@お腹いっぱい。 [sage] 投稿日:2007/02/15(木) 22:25:45
>>356 マイクロソフト純正のもので解凍すると、それだけで自動感染するということは、
あちこちのスレにそのサンプルのリンクが貼ってあるから、
まだ対応できているアンチウイルスも少ないので、大量に感染者を出しているんだろうなぁ。
361 名前:名無しさん@お腹いっぱい。 [sage] 投稿日:2007/02/15(木) 22:36:12 New!!
しかもそのサンプルは、ウイルスの中で最も悪質なキンタマ系亜種だという書き込みを見たぞ。>他のスレで。
これは自治スレにも書いて注意を促した方がいいかもな。
ええ〜ほんとかよこれ 信じられんな〜
AntiVir 7.3.1.37 02.15.2007 TR/Spy.Banker.cjo Authentium 4.93.8 02.15.2007 no virus found Avast 4.7.936.0 02.14.2007 no virus found AVG 386 02.14.2007 no virus found BitDefender 7.2 02.15.2007 no virus found CAT-QuickHeal 9.00 02.15.2007 (Suspicious) - DNAScan ClamAV devel-20060426 02.15.2007 no virus found DrWeb 4.33 02.15.2007 no virus found eSafe 7.0.14.0 02.15.2007 Win32.Delf.ce eTrust-Vet 30.4.3400 02.15.2007 no virus found Ewido 4.0 02.14.2007 no virus found Fortinet 2.85.0.0 02.15.2007 no virus found F-Prot 4.2.1.29 02.15.2007 no virus found F-Secure 6.70.13030.0 02.15.2007 Trojan-Proxy.Win32.Delf.ce Ikarus T3.1.0.31 02.15.2007 Email-Worm.Win32.Bagle.BR Kaspersky 4.0.2.24 02.15.2007 Trojan-Proxy.Win32.Delf.ce McAfee 4963 02.14.2007 no virus found Microsoft 1.2204 02.15.2007 no virus found NOD32v2 2062 02.15.2007 no virus found Norman 5.80.02 02.15.2007 no virus found Panda 9.0.0.4 02.15.2007 no virus found Prevx1 V2 02.15.2007 no virus found Sophos 4.14.0 02.13.2007 no virus found Sunbelt 2.2.907.0 02.15.2007 VIPRE.Suspicious Symantec 10 02.15.2007 no virus found TheHacker 6.1.6.057 02.14.2007 no virus found UNA 1.83 02.14.2007 no virus found VBA32 3.11.2 02.14.2007 no virus found VirusBuster 4.3.19:9 02.15.2007 no virus found
こういうのはカスペとAntiVirがホント強いな 強いというか速いというか
img_01_0.jpg.exeを実行しても本体消えんぞ system32内に別名同一ファイルがコピーされレジストリ追加でOS起動時に実行される 砂箱とレジストリモニタ使ってりゃアンチウイルスなくても普通に感染しない 案外つまらないトロイだった。ガセ臭い情報も散乱してるな。製作者本人が吹聴してんのかね
>>490 あとpfファイルが追加されてエラーメッセージがでたぐらいだね
><←この顔文字のやつがあやしい
Symantecもうちょっと頑張らなきゃ!有料でしょ!?もう。
・・・バスターもマカフィーもNOD32も有料です
Antivir優秀だねえ。フリーなのが怖いくらい。
バスター、マカフィー、NOD32、ノートン、有料ならもっと頑張れ!
アンチウイルスを殺されるのか。怖いな。
>>490 作者臭いのがニュー速に居たぞ。
もうdat落ちしてるけど
http://news23.2ch.net/test/read.cgi/news/1171526120/922- 922 Name: 番組の途中ですが名無しです [] Date: 2007/02/15(木) 20:04:37 ID: OjZb+N420 Be:
(省略)
954 Name: 番組の途中ですが名無しです [] Date: 2007/02/15(木) 20:18:11 ID: OjZb+N420 Be:
おまえらワロタ
>>922 は
「150秒ごとにニュー速に
>>1 と書き込むソフト」の失敗作
テストしないでばら撒いたからエラーが出ることにあとで気づいた
つまり無害
963 Name: 番組の途中ですが名無しです [] Date: 2007/02/15(木) 20:23:00 ID: OjZb+N420 Be:
>>960 あ?Delphi様は容量食うんだよハゲ
アスパックなら200K切るけどプロテクトにしないとウイルス判定食らうからね
966 Name: 番組の途中ですが名無しです [] Date: 2007/02/15(木) 20:25:35 ID: OjZb+N420 Be:
>>964 先生とバスターはスルーじゃないの?
俺は対策ソフト入れてないからわからん
>>497 逮捕クルコレwwwwwww
研究目的でばらまいたりしないなら問題ないだろうがばらまいたらタイーホ
昨日からいろんなスレに貼り付けていたのは作者だったのか
インターネットが発明されて以来抱えている病原菌の素みたいなもんだな。 こんな奴が世界に何万人もいるというのが現実。
>>490 興味をひかれたんでwindows既定で.zipを展開してみた
ファイルをコピーできませんとエラーメッセージがでて解凍後のファイルは0byteになった
.jpg.exeだけがなぜか消えた ((((;゜Д゜)))
ただそれだけ
アーカイバの脆弱性をねらったんだろうけど.exe実行するとこまではいかなかったみたいねw
kiddy 乙って感じ?w
502 :
名無しさん@お腹いっぱい。 :2007/02/16(金) 20:36:24
きょうはパス ↓が踏んでくれるであろう
やってやるか
こういう時こそインスコマンが出て来てくれよ
>>502 これ15メガ以上あるからvirustotalに送れなくね?
>>502 実行ファイル7z圧縮したら131KBになったぞwwwwwwwww
誰か踏む?
7z,rarで提出してみたがどこもヒットしなかった。
rarで提出したらVBA32だけヒットしてた。 suspected of RAR.MailBomb
511 :
名無しさん@お腹いっぱい。 :2007/02/16(金) 22:37:15
VMware入れてないからパス。
このスレ久々に浮上してきたな
もっと刺激的な物はないのか、貴様らw
俺もVMware Playerとかいれてねーから無理だ
いれてるけどパス
517 :
名無しさん@お腹いっぱい。 :2007/02/16(金) 23:25:06
>>502 os9だからふんでも良いがダウンできない。
2kで実行したが何も起こらなかった 何か起こったかもしれんがレジストリは参照も書き換えもなかった
実行したけどコマンドプロントが一瞬出て現在何もなし。 XP
なんか何にもなさそう・・・。
俺も仮想PCでやったけどなんもなかったよ
522 :
名無しさん@お腹いっぱい。 :2007/02/17(土) 00:09:16
よすれあげ
よ・・・良スレ・・・w
524 :
名無しさん@お腹いっぱい。 :2007/02/17(土) 00:30:19
>>525 どこかで見たな。ウイルスじゃないか?。
解凍ファイルに*****.jpg.exe
があるなら、それ。
>>525 TR/Spy.Banker.cjo または Trojan-Proxy.Win32.Delf.ce
詳細はしらん
一昨日の物じゃないか ネタが古いよ
529 :
526 :2007/02/17(土) 03:29:05
途中で送信してしまった。 それはウイルス。 AVGとAntiVirは対応してるらしい。
まだばら撒いてるのか。アホだなあ。
Avast!反応無し\(^O^)/オワタ
結局
>>525 はどうなったんだ?
いろいろ情報が右往左往してるがどうやら失敗作で実害はさほどなさそう(責任は持たんが)なのでまぁ安心しれ。
それよりantivirは偉大だな
>>533 アホ臭くてまじめに検証してないんだよなあ。
・・・ニュー速に大量爆撃されてる荒らしと発生時期が合致してるような気がしてきたぞ。
ちょっと踏んでくるノシ
>>534 人柱乙。
オレも踏んでみたら外部にアクセス試みようとしたが拒否ったらそれ以来目に見えた活動が見られないんだが。
こういうときにスキルがあるヤツはうらやましいぜ!
踏んできた。通信は無し。 ただ、別スレで報告のあった[ Not Implemented ]ってダイアログではなく、 [Connection refused (Error #10061)]と出た。 俺は4種類のエロ漫画zipアーカイブを持っててその中の.exeは全て同一だったんだが、 いろんなタイプのをそこら中でばら撒いてるのか、それとも環境の違いによるものか。 >スキルがあるヤツはうらやましいぜ! えへへ。間違えてAdmin権限で踏んじゃったorz
ノートンでも反応なし。 VM(Win98SE)で踏んだところ。
>>536 と同じようなダイアログが何かの拍子に出現する。
だれか、ノートンに送った?
マカフィ使いなオレは試すまでもなく未対応だぜ!!
あやしいファイルの動きを詳しく見たければ砂箱つかうべし!よーくわかる。
>>540 はぁ?砂箱で動きが詳しく見れる?何でこんな低知能がレスしてんの?
>>538 virustotalに送信するとそこから各ウイルス対策ソフトメーカーに行くようになってる。
トレンドマイクロは参加してないので個人的に送ってるけど。
virustotal経由での対応は期待しないほうがいい 数ヶ月かかってる希ガス 個別に送ったほうが速い
んでも、こんな極東の掲示板で撒かれたつまらんウザイウェアにもかなりのベンダーが対応したやん。 俺が投げた時はKasperskyとF-secure以外はスルーだったし。 つーかこの二つは早すぎ。新種の原田にも速攻で対応してたし。
>>544 それはセキュ版の住人が各ベンダーに速攻おくったからでしょw
俺が投げた時はantivirがヒューリスティックで反応してたぐらいだった
それからカスペとNODはp-desでつくられたやつをヒューリステイックと既知のシグネチャでほとんど見抜ける
ny厨は乗り換えたほうがいい
>>544 (´・ω・`) AntiVirも速いけど休日はやってないみたいだな。
新種送ったけど平日のときは速かったが休日はまったくねえw
ヒューリステイックは弱いが対応が早いカスペ ヒューリステイックは強いが対応が遅いNOD うーむ・・・
>>549 中身は漫画のスキャンでウィルスは無し。
Ctrl+Aだろ。 知らんけど。
天才!!! 正解!!!
うぜえな。何年も前に流行ったトリックだ。
そのわりにはあんま見たこと無いな
>>538 AntiVir 7.3.1.37 02.18.2007 TR/Spy.Banker.cjo
Authentium 4.93.8 02.16.2007 no virus found
Avast 4.7.936.0 02.18.2007 no virus found
AVG 386 02.17.2007 Proxy.KPA
BitDefender 7.2 02.18.2007 no virus found
CAT-QuickHeal 9.00 02.16.2007 (Suspicious) - DNAScan
ClamAV devel-20060426 02.18.2007 no virus found
DrWeb 4.33 02.18.2007 no virus found
eSafe 7.0.14.0 02.18.2007 Win32.Delf.ce
eTrust-Vet 30.4.3410 02.18.2007 no virus found
Ewido 4.0 02.18.2007 Proxy.Delf.ce
Fortinet 2.85.0.0 02.18.2007 W32/Delf.CE!tr
F-Prot 4.2.1.29 02.16.2007 no virus found
F-Secure 6.70.13030.0 02.17.2007 Trojan-Proxy.Win32.Delf.ce
Ikarus T3.1.0.31 02.18.2007 Email-Worm.Win32.Bagle.BR
Kaspersky 4.0.2.24 02.18.2007 Trojan-Proxy.Win32.Delf.ce
McAfee 4965 02.16.2007 no virus found
Microsoft 1.2204 02.18.2007 no virus found
NOD32v2 2068 02.18.2007 Win32/TrojanProxy.Delf.CE
Norman 5.80.02 02.16.2007 no virus found
Panda 9.0.0.4 02.18.2007 no virus found
Prevx1 V2 02.18.2007 no virus found
Sophos 4.14.0 02.18.2007 no virus found
Sunbelt 2.2.907.0 02.17.2007 VIPRE.Suspicious
Symantec 10 02.18.2007 Backdoor.Trojan
TheHacker 6.1.6.059 02.16.2007 Trojan/Proxy.Delf.ce
UNA 1.83 02.16.2007 no virus found
VBA32 3.11.2 02.17.2007 Trojan-Proxy.Win32.Delf.ce
VirusBuster 4.3.19:9 02.17.2007 no virus found
560 :
名無しさん@お腹いっぱい。 :2007/02/20(火) 03:34:20
>>536 [ Not Implemented ]の者です。
感染源はそのファイルか分かりませんが、同じVIP系アップローダーで感染したので、それかもしれません。
エロ漫画だったはずですが、題名も内容も忘れてしまいました。商業誌だったのは確かですが。
もうかなりのセキリュティソフト試してみましたが、解決せず、これは初期化かもわからんねってかんじっす。
そういえばシステムの復元なんて手もありましたっけ。
>>559 ノートン先生の最新版ダウンロードしてフルスキャンしてみましたが、反応せず。
もう、なにがなんだか( ´Д`)=з
>>560 エロマンガにつられてexeを実行してしまった人へ
※以下OSがXP前提の話
C:\WINDOWS\system32 に
IMJPMIG69.EXE というファイルがあったら削除
「スタート」→「ファイル名を指名して実行」→「regedit」
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
に IMJPMIG69.EXE という名前があったら削除
再起動して様子見
※上記の内容がよく分からない、該当ファイルが見当たらないという場合
1.システムの復元もしくはOSの再インストール
2.回線引っこ抜いて寝る
ノートンじゃねえので試せよ。ここは初心者相談スレじゃないぞ?
鑑定スレじゃねえ。VIPでやれ。
>>569 PCの挙動はどうだい、おかしい所ある?
>>568 中の実行ファイル、日時が2001年5月とかだが。
これって新物なのかい?
573 :
570 :2007/02/21(水) 17:53:30
最後まで進めると 「システムへの影響はありません、これはジョークソフトです」 と出るけどどうなんだろ、俺のパソは特に問題無く普通に動いてる
574 :
名無しさん@お腹いっぱい。 :2007/02/21(水) 17:58:33
おまえらさあ、あやしいファイルを実行するのはいいけどよ、 てめえの個人情報が万が一漏れてどうなろうと知ったことではないが 外に漏れたら他人に損害を与えるような情報ファイルは絶対に置いておくなよ。
そんな環境で踏んでるやつは馬鹿だろww
さらなる人柱求む
577 :
名無しさん@お腹いっぱい。 :2007/02/21(水) 18:04:36
>>575 わざわざ踏んでる時点で馬鹿確定なんだけどなw
578 :
名無しさん@お腹いっぱい。 :2007/02/21(水) 18:06:44
高卒でも、モン卒でもべつにいいじゃん。 バカ同士仲良くしようぜ!
FAKEか・・・・
こんなんだし。インチキくせえな。 ウィルスのインストールを開始します B "#????$ Form2 & ' ( 2 5- J ? 6 D F?. Command1 ウィルス情報 (Xッ・ ?・ bar2 ? MSComctlLib.ProgressBar h・・? -LB P !C4 E* ツ 喚・ ?? ?サE ・ォ ????????l・ ゙・ l・ ? Label3 (ッ? ?. Label2 code : h(マ? ?A Label1 ! virus name : J_happy birthday hH・? ? ?フ1 ヒワ9・aE聴P5]{オ蠎? 儂沫oハ・・Oュ3 冉マキ ェ `モ・ O Form1 ウィルス情報 B "#????$ Form1 & ' ( 5- J ・ D F?% Command1 O K hソw ?: Label7 あらゆるデータを削除します タg? ?P Label6 0 それにより以後動作させたプログラムをすべて破壊し タ?・? ?J Label5 * システムの内部に特殊なコードを進入させます
>>581 デコードできん。コーデック入れるのもめんどいからパス。
>>581 解凍したら拡張子rmの動画だった
RealPlayer入れてないから確認できんけど問題ないだろ。
ジョークソフトだな。
なんかnyだかshareだかでPS2用のトロイが流れたらしいな。
それをトロイの木馬というんじゃないのか。
589 :
588 :2007/02/22(木) 00:27:24
なんか寝ぼけてた。
( ゚д゚)エ?
ひぐらしか。 なんかPCで実行するとキャッシュとダウンフォルダが削除されるとか喚いていたが。 実行するってなんだ? 実行ファイルでも付いてんのか?
>>591 デーモンでマウントしたりするのとかかな?かな?
やっべ。復元ソフトなんか良いのないか? とりあえず1回使えればおk。フリーか体験版でも良いんだが。 怪しいファイル寺子屋ス
全然スレの趣旨と関係ねえじゃねえか。
AVGのスレから誘導されてきました。
ベクターのこの「キーボード」というアプリがウイルスと判定されます。
http://www.vector.co.jp/soft/win95/art/se204371.html >>3 のJotti's malware scanでスキャンしてみましたが、いくつかのエンジンでウイルスと判定されます。
こいつはウイルスなんでしょうか?
作者のHPもあって、日記ソフトのスレでもそれなりの人気はあるソフトの作者さんでも
あるのですが、
「キーボード」のReadmeには
ちなみに、このソフトは起動させておけばずっと音が出るので、
そのまま文章などを書くとジャラジャラ鳴って楽しいです♪
とか書いてあります。
無問題ですか?
HSPの誤検出
HSPでウィルス作られたんだ。 凄いじゃない、HSP。
>>600 波形確認してみたが、こりゃコンピューターで合成して作った音だね。
無理やり可聴域まで引っ張って聞いてみたけど、完全なプログラムによるノイズです。
聞こえなかったのか?
開けなかったけど高周波の音の予感 20代くらいから聞こえなくなるってやつ
>>602 聞こえなかったね。
音声信号が波じゃなくて細かいDOTで記録されてた。
あまり見た事の無いノイズパターンだな、完全に規則正しく並んでた。
あと基本録音レベルが低かったな。
波形の最適化をして、そのデータをCD-RWにでも焼いて、
ちゃんとしたAudio機器で聞けば、ホワイトノイズとして聞くことができるかもしれない。
PCによっては音が出てないなんてこともあるかもね
なんかちっちゃくピーて感じのが聞こえた
年取ってるから聞こえると嬉しい、物凄く不愉快な音なのにw
>>609 マジで不快だよなこの音。
海外では着メロにしてるそうだ。
なぜなら年取った先生には聞こえないから
フェイク
crack.wrar37b.exe - TROJ_AGENT.VAP aaw6jp_Setup.exe - TSPY_LDPINCH.TF
Trojan-Downloader.Win32.Agent.auv crack.wrar37b.exe Trojan-PSW.Win32.LdPinch.bnk aaw6jp_Setup.exe
Complete scanning result of "CRACK.WRAR37B.zip", processed in VirusTotal at 02/27/2007 03:03:15 (CET). [ file data ] * name: CRACK.WRAR37B.zip * size: 129259 * md5.: 81c2ade466bf4533952dd86f45685546 * sha1: 85841c0f585ff0cf34675083160f75177dc14d28 [ scan result ] AntiVir 7.3.1.38/20070226 found [TR/Dldr.Agent.auv.16] Authentium 4.93.8/20070226 found [W32/Downloader.BDAU] AVG 386/20070225 found [Downloader.Agent.IQJ] eSafe 7.0.14.0/20070227 found [Win32.Agent.auv] Ewido 4.0/20070226 found [Downloader.Agent.auv] F-Prot 4.3.1.45/20070226 found [W32/Downloader.BDAU] F-Secure 6.70.13030.0/20070227 found [Trojan-Downloader.Win32.Agent.auv] Fortinet 2.85.0.0/20070226 found [W32/Agent.AUV!tr.dldr] Ikarus T3.1.1.3/20070226 found [Trojan-Downloader.Win32.Agent.auv] Kaspersky 4.0.2.24/20070227 found [Trojan-Downloader.Win32.Agent.auv] NOD32v2 2082/20070226 found [Win32/TrojanDownloader.Agent.NJC] Norman 5.80.02/20070226 found [W32/DLoader.dam] Panda 9.0.0.4/20070226 found [Trj/Downloader.MZB] Prevx1 V2/20070227 found [Dropper.Payload] TheHacker 6.1.6.065/20070226 found [Trojan/Downloader.Agent.auv] VBA32 3.11.2/20070226 found [Trojan-Downloader.Win32.Agent.auv]
Complete scanning result of "AAW6JP_SETUP.zip", processed in VirusTotal at 02/27/2007 02:48:20 (CET). [ file data ] * name: AAW6JP_SETUP.zip * size: 255547 * md5.: 39e3083a87feee3d7b1e61fe351ffc49 * sha1: a7f775df4107421dfb8ee1c1e7a3be4c1cfae4e0 [ scan result ] AntiVir 7.3.1.38/20070226 found [TR/Crypt.XPACK.Gen] Authentium 4.93.8/20070226 found [could be a corrupted executable file] AVG 386/20070225 found [PSW.Ldpinch.EOZ] CAT-QuickHeal 9.00/20070226 found [(Suspicious) - DNAScan] eSafe 7.0.14.0/20070227 found [Win32.LdPinch.bnk] Ewido 4.0/20070226 found [Trojan.LdPinch.bnk] F-Secure 6.70.13030.0/20070227 found [Trojan-PSW.Win32.LdPinch.bnk] Fortinet 2.85.0.0/20070226 found [W32/LdPinch.BNK!tr.pws] Ikarus T3.1.1.3/20070226 found [Trojan-PWS.Win32.LdPinch.bnk] Kaspersky 4.0.2.24/20070227 found [Trojan-PSW.Win32.LdPinch.bnk] NOD32v2 2082/20070226 found [Win32/PSW.LdPinch.BNK] Norman 5.80.02/20070226 found [W32/LdPinch.HPL] Panda 9.0.0.4/20070226 found [Suspicious file] Sunbelt 2.2.907.0/20070224 found [VIPRE.Suspicious] TheHacker 6.1.6.065/20070226 found [Trojan/PSW.LdPinch.bnk] UNA 1.83/20070226 found [Win32.CRYPT.virus] VBA32 3.11.2/20070226 found [Trojan-PSW.Win32.LdPinch.bnk] VirusBuster 4.3.19:9/20070226 found nothing
↑スマソ、VirusBuster 4.3.19:9/20070226 found nothing 消し忘れた。
ぁゃιぃ
ロリヲタ
ネタが
ない
あげ
今日ネトラン買ったらこのスレからネタひろってんな モスキート悪用促進してんじゃねーよ
まじか
p88
630 :
名無しさん@お腹いっぱい。 :2007/03/13(火) 20:56:06
631 :
630 :2007/03/13(火) 20:56:50
ちなみに、拡張子は便宜的に適当につけたものです。
ネトランもホンと馬鹿者が多いな。
何で 上祐史浩のmixiが こんなとこに貼ってあんだよw
諸先輩方の検証を頂きたいのですが、下記URLは楽器の tab譜が充実しているサイトだと思います。S&Gの「The BOXER」 を検索すると、Windowsが何かをDLしようとします。 すぐキャンセルしますが、nortonもウィルスの反応し 問題を解決してくれました。便利なサイトなので利用 したいのですが、止めた方がいいでしょうか? それとも利用するに当たり注意する方法があれば 教えていただけないでしょうか?
635 :
634 :2007/03/13(火) 23:25:25
意味が分からん。俺もよくそこ利用するけど勝手にDLなんてされないよ。 ポップアップはひたすら閉じてればいいだけど。
637 :
634 :2007/03/13(火) 23:43:31
>>636 ありがとう。上記のメインページは問題なく検索先に問題が
あるか、何かを間違えてクリックしたのかも知れません。
up.uppple.com/src/up2551.jpg トロイらしいんですが詳しくわかりますか?
>>639 トロイというか、何でもありのブラクラ系だな。
iframe 多数でどっかから、ウイルスとかスパイウェアと呼び込んでるかも。
後、mailto、telnet、FDDアタック、concon、無限ウィンドウオープン等々。
拡張子jpgだが、中身html。
↓おねがい!
>>643 7jyou1418.avi - infected by Trojan.JS.WindowBomb.g
>>643 1.文件名:7jyou1418.avi
不是病毒
>>643 aviだと思って定義ファイル未更新のNorton2005で踏んだから死んだ。
>>647 filecrocってP2Pだろ。
実はトロイなの?
650 :
名無しさん@お腹いっぱい。 :2007/03/16(金) 22:51:55
トップページには100% CLEAN NO SPYWARE、 NO ADWARE 、NO POPUPS て書いてある。
http://company-crime.myeweb.net Aviraのアラートでまくるけど、それすり抜けてTelenetが外部にアクセス始めるは、
OEにアカウント作成してサーバに繋ごうとする。さらにPIFファイルまでDLしようとする。
((((;゜д゜)))ガクガクブルブル
ほんと?
ぁゃιぃhtmlを実行してみる勇者キボンヌ
トップページには何も無い 落としてメモ帳ででも中身見てみろ 有害なのはこっち 悪意のあるサイトを適当に呼び出す company-crime.myeweb.net/window_dressing/ >それすり抜けてTelenetが外部にアクセス始めるは、OEにアカウント〜 ↓を呼び出すため www.hellplant.org/cgi-bin/xoor/serpent.cgi >さらにPIFファイルまでDLしようとする www.abisource.com/mailinglists/abiword-dev/2005/Jun/att-0006/phone_number2.pif 「Email-Worm.Win32.NetSky.t」 seti.sentry.net/archive/bioastro/2003/Feb/att-0025/Document003.pif 「Email-Worm.Win32.Sobig.a」 lists.w3.org/Archives/Public/site-comments/2003Aug/att-0008/movie0045.pif 「Email-Worm.Win32.Sobig.f」 lists.suse.com/archive/suse-sparc/2004-Jan/att-0009/message.pif 「Email-Worm.Win32.Mydoom.a」 lists.w3.org/Archives/Public/www-dom/2001OctDec/att-0204/sensitive.pif 「Email-Worm.Win32.Magistr.b」 等など以下略
.pifってめずらしいな 拡張子表示されないんだっけ
>>651 今いってみたら何も残っていなかったわけだが
>>652 ウィルスのオンパレードだ((((;゚Д゚)))ガクガクブルブル
でも有名どころだから対応はしてると思うけど。
>>651 最近は、日本でも海外でも独自のドメインも簡単にとれて、サーバーも手軽に借りれるから、
ものの1時間もあれば、別のURLでまた出現するかも。
>>657 ウイルスいっぱい
鑑定スレでさんざん既出
_|_ /_\  ̄|U ̄ ∧_∧ /ミヽ、 ( ・ω・) ノミシ三 `~゚ (っ ≡つ=つ゚ ゚ ./ ) ババババ ( / ̄∪ _|_ /_\ ヒュン  ̄|U ̄ ∧_∧ _∧ /ミヽ、 ((( ・ω・)三ω・) ノ ヽ `~゚ )) (_っっ= _っっ゚ ゚ ヽ ノ ヒュン ( / ̄∪
過疎ってるな
なんも起きんかった 実行ファイルの挙動や動作のログを取ってくれるツールってなかったっけ? どこにファイル追加した、とかここのレジストリいじった、とか あまりにも使わないんでどっかいってしまった
>>666 ファイルの実行それ自体を阻止するとかじゃなくて、ただ挙動を調べるだけ
確かそのツールをかまして起動させるような感じだった
そんなSandBoxあった?
>>665 thx
Backdoor Trojan Downloader ってのは誤検出で
Aviraのanalystsが正しいってことでおk(?)かな
そもそも、うp主が何のファイルを上げていたのかも分からないが…(^^
>>668 そか、これでも一応できるか
前に利用してたのはインストール不要でもっちょっと軽かった
少し思い出して探してみるわ
671 :
名無しさん@お腹いっぱい。 :2007/03/29(木) 13:56:03
バカが自分勝手に遊んでるだけで調査になってない 検出力などAV-ComparativesやVB100%のような専門機関がスレ結果だけで十分
あーあ、スレ結果だって、する結果だ まぁそもそも実行するスレと何の関係もないんで、下らないスレ貼るなよ
>>674 セキュリティ板の各スレに手当たり次第に書き込んでいるだけの
かわいそうな人なので、やさしく放っておいてあげて下さい
あっちのスレの連中に聞け
>>676 実行したらexeファイルに感染しまくり
C:\WINDOWS\System32\BASSMOD.dllけしとけ
3つめはスキャンしないほうが良い
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run のRunがなくてExplorerなんだけどどうしたらいいんでしょうか
tempになにやら.batを追加
>>689 thanxです
どこも検知せずフォルダアイコン・空白.exeだったんで
新種か?と思ったんですが、PCには影響なさそうですか?
失敗ウイルスか何かでしょうかね?
Filename Result jacket.exe MALWARE The file 'jacket.exe' has been determined to be 'MALWARE'. Our analysts discovered that the file is a Trojan. In general this kind of programs contains harmful functionality called payload. Detection will be added to our virus definition file (VDF) with one of the next updates. by AVIRA
jacket.exeを実行して作られるファイルは下記
:C:\Documents and Settings\Owner\Recent\jacket.lnk
:C:\Documents and Settings\Owner\Recent\ジャケット_001.jpg.lnk
:C:\WINDOWS\Prefetch\JACKET.EXE-2C51C580.pf
あとはレジストリの HKEY_CURRENT_USE に Cache が作られるだけ。
女の子のジャケット画像が出てくるだけです。
システムやレジの重要な部分には一切触れません。
PC無害です。
>>691 直踏み検証結果ですか?
んや 実行めんどいんでAVIRAにおくっただけ
Winny.exeやらどっかの掲示板のURLやらが書かれているから 暴露か自動書き込み関係と思ったけど 作成者の意図通りに動作してないのかも
AVIRAでペイロードを検出したみたいですから
694サンの言うとおりで 作成者の意図通りに動作してないのでしょうね。
一応 通信もNEGiESで見たんですけど特に目立った通信は無いようです。
何度踏んでも
>>692 の結果です。
696 :
688 :2007/04/05(木) 23:38:09
>>691 thanx
今メール見たら、Aviraから返事が来てました
こんなに速く来るのは珍しいので驚いてます
>>半角の鑑定人さん
検証 thanxです
>>694 >作成者の意図通りに動作してないのかも
やはり、そんな感じもしますが
一応、皆さんお気をつけてください
お気を付けもなにもこんなもん踏みようがねえよ
>>664 ダウンロード後に出るDriveCleanerの詐欺広告のほうがウザス
>>688 送信日時 : 2007年4月6日 21:07:20
Hello.
New malicious software was found in the attached file
(Email-Flooder.Win32.Agent.e).
700 :
699 :2007/04/08(日) 06:13:21
by かすぺ
実行して検証しただけじゃ完全に挙動把握できるわけじゃない ポリモーフイック型なんかだとカスペラボでも解析に1週間はかかるんだとさ
702 :
名無しさん@お腹いっぱい。 :2007/04/13(金) 09:41:02
鑑定スレへどうぞ
704 :
名無しさん@お腹いっぱい。 :2007/04/13(金) 09:57:02
>>703 鑑定スレじゃ詳しくは判明しなかったので…
マルチぽいですが是非お願いしたいのです。
>>704 転載
ウイルス&男の笑い声でした
AVGで以下を検出
Exploit.wmfが3つ
Exploit.aniが2つ
トロイ色々が4つ
スクリプトウイルスが1つ
PC有害
Loveletterて・・・懐かしすぎ。
過疎りすぎw
∧_∧ ( ´・ω・) ( つ旦O と_)_)
709 :
名無しさん@お腹いっぱい。 :2007/04/21(土) 06:06:54
>>709 暇だったんで実行してみようかなとダウソしてみたら
2chCloser.exeを カスペがTrojan.Win32.Delf.abeとして検知。
多分 トロイと同じ様な動きをするんだろな
712 :
710 :2007/04/21(土) 18:34:07
>>711 カスペを遮断して実行してみた。
hostsファイルの改ざんがありますね。
あとは 2chCloserを起動監視した状態でタスクマネージャで強制終了させても
自分自身のコピーが復活します。
ここでカスペを実行させると Trojan.Win32.Qhost.leとBackdoor.Win32.Agent.anfを検知しました。
山田オルタナティブの亜種との事。どうもservise.exeが同じ様な働きをするみたいですね。
ダウンロードしてみました。 「host 10KB」ファイルはWindowsのHOSTSファイルを改変します。 その結果 2ch関係がが「localhost」への接続になり、接続できなくなります。 以下が、改変されるアドレス(全リストははるかに長くなります)の例があります。 127.0.0.1 2ch.net 127.0.0.1 www.2ch.net 127.0.0.1 www2.2ch.net 127.0.0.1 www2b.2ch.net 127.0.0.1 www2f1.2ch.net このhostsファイルはTrojan.Win32.Qhostの亜種( .le)としてカスペルスキーが検知しました。 ですが 接続を拒否するために使用するのであれば無害なファイルです。
715 :
名無しさん@お腹いっぱい。 :2007/04/23(月) 00:50:46
シュボッ キャノン版(笑)もうやだ・・・ ., ∧_∧ []() (・ω・` ) l二ヽ □と ) ̄⊃ ) ) ⊂ (_(_つ  ̄⊃ / ̄ ̄ ̄ヽ ⊂_ ._⊃ | (\/) | ⊂__⊃. | > < | | (/\). | ヽ___/
716 :
名無しさん@お腹いっぱい。 :2007/04/28(土) 17:39:24
winpt42n_7C6C6C0F.dll という1kのファイルがsystem32に作られてたんだけど、何これ?
717 :
名無しさん@お腹いっぱい。 :2007/04/29(日) 02:02:10
解凍すると「新しいフォルダ」「新しいフォルダ2」を作成 「新しいフォルダ」 ・「[CM] ロッテ ガーナミルクチョコレート(母の日宣言07篇) 60秒.avi」 CM動画。無害 ・Thumbs.db 無害 「新しいフォルダ2」 ・test.exe Trojan.Win32.Haradong.ap
原田さんキタ━━━━━(゚∀゚)━━━━━ !!!!!
これ、ここ二〜三日格スレに貼られたらき☆すたウイルスじゃない?
追記 「test.exe」 サイズ 147,456 MD5 bb9b7e71bf62fdd81d63fdc46dca6247
>>723 カスペ(及びカスペエンジンのアンチウイルス)
落とした時には既に対応していたから、誰か通報したんじゃないかな
シマンテックは最初からかな
725 :
あああ :2007/04/29(日) 17:06:09
ここか?
726 :
えええ :2007/04/29(日) 20:14:36
何が?
728 :
んんん :2007/04/30(月) 17:20:55
何が?
保守っ *'``・* 。 | `*。 ,。∩A_A _* + (o・ _ ・o)/∠ +゚ `*。 ヽ、 つ/*゚* みんな集まれ〜 `・+。*・' ゚⊃ +゚ ☆ ∪~ 。*゚ `・+。*・ ゚
もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ *'``・* 。 | `* もうどうにでもな〜れ ,。∩∧_∧ * . もうどうにでもな〜れ もうどうにでもな〜れ + (´・ω・`) *。+゚ もうどうにでもな〜れ もうどうにでもな〜れ `*。 ヽ、 つ *゚* もうどうにでもな〜れ `・+。*・' ゚⊃ +゚ ☆ ∪~ 。*゚ `・+。*・ ゚ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ もうどうにでもな〜れ
732 :
名無しさん@お腹いっぱい。 :2007/05/05(土) 21:05:51
∧_∧ (´・ω・) < ほしゅ ( O┬O きこきこ〜〜〜 ◎-∪'┴◎
自分で新種見つけて、実行してるからなぁ……
738 :
名無しさん@お腹いっぱい。 :2007/06/10(日) 17:41:58
ageますよ
739 :
名無しさん@お腹いっぱい。 :2007/06/11(月) 22:12:58
あげ保守
インスコマンは今何処…
741 :
名無しさん@お腹いっぱい。 :2007/06/19(火) 22:20:05
あげとこ〜
742 :
名無しさん@お腹いっぱい。 :2007/06/19(火) 22:24:26
自分はZERO使っています。 ここのスレに書かれているアドレスを踏むのは無謀ですか?
PHSかと思った。
744 :
名無しさん@お腹いっぱい。 :2007/06/20(水) 20:57:24
(^Д^)アゲ〜
745 :
名無しさん@お腹いっぱい。 :2007/06/27(水) 21:51:22
落とさないよ〜 (^Д^)アゲ〜
746 :
名無しさん@お腹いっぱい。 :2007/06/27(水) 22:25:12
最近インスコマン来てないの?
747 :
インスコマン ◆0BgPFrwao2 :2007/06/29(金) 23:30:40
最近セキュ版自体見てなかった。
748 :
名無しさん@お腹いっぱい。 :2007/07/02(月) 12:54:22
苺5 xs3133 おまけ.exe
404ですた
>>751 File Not Found (404)
苺5 xs3136 おまけ.exe
とりあえずエロマンガの方だけいただいて あからさまにあやしいおまけ.exeはそのままごみ箱に捨てた
>おまけ.exe ワロタw
抜き終わったのでいらないPCで実行した
素人なので細かい挙動とかわからないです
レジストリ追加
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"DoFOcyjN"="C:\\WINDOWS\\$NtUninstallKB918118$\\spuninst:DoFOcyjN.exe"
ファイル作成
C:\WINDOWS\$NtUninstallKB918118$\spuninst:DoFOcyjN.exe ?
C:\WINDOWS\$NtUninstallKB900485$\spuninst\xNrFtyhG.dll
作成されるファイル名ランダムかも
・DoFOcyjN.exe
プロセスに現れるもののエクスプローラから見えないのでいじれなかった。常駐有
・xNrFtyhG.dll
ttp://www.uploda.org/uporg894963.zip.html virus
Borland Delphi DLL おまけ.exe本体と大体同じ?
当環境では実行した瞬間からエクスプローラが重すぎて挙動不審なのでまともにPC操作できんとです
文字列見た印象では掲示板爆撃のように思えるけど、FWは特に何も言わなかった
ちゃんと動いているのか動いていないのか…
758 :
名無しさん@お腹いっぱい。 :2007/07/17(火) 23:24:04
ブラクラかよ
あ、インスト警告じゃなかった。 でもやっぱこえー;
その知り合いがメッセンジャーのスパムで自己増殖するワームかなんかに感染しちゃってるんだろ。 教えてやれ。
>>762 まじか…そんなスパムがあるとは知らなかった
しかし、ログインしてもメッセ到着しないんだよな、なぜか
それもスパムのせいなのかね
さてどうやって伝えるか…
WarezovとかStrationとか呼ばれている奴だな
765 :
名無しさん@お腹いっぱい。 :2007/07/23(月) 20:41:11
age
,ハ,,,ハ (,,・ω・) キーコキコ 〜 。(_ ゚T゚ . ゚ ゚̄
和んだ
苺70 bh3744 keyもpassも kamo 愚弟が愚友から提供(CDRで)を受けて何も考えずクリック。 ファイルは典型的な 「偽ファイル名.( 空 白 ).exe」型が4ヶ。 ただノートン、マカフィともに無反応でスルー。新種?それとも出来損ないファイル? 感染(?)機をネット遮断して起動させてみたもののさしあたり特別な挙動はないかんじだが。 説教で終わらすにしろ、再インスコさせるにしろ、挙動がわかれば嬉しいです。
うpが無いんではどうしようも
>>768 すべてのファイルを実行したんだとすると危険だったような
単一ファイルじゃなにもおきないタイプだったと思う
>>771 >>772 ありがとう。1つクリックしただけみたいなので、説教の上
残存価額支払いまではPCリビング固定の刑に処することにするよ。
あやしいファイル実行するのって一つの趣味?
と研究だろ
履歴書に書いてもおk
>>777 特に問題ない。
mp3infopとか、右クリックで表示されるメニューの中のどれかのソフトが問題なんじゃない?
>>777 ロダの仕様なのかブラウザ経由だと壊れた書庫の状態で落ちてきた
解凍前にファイルサイズが合ってるか確認すれ
中身は同じく問題無し
チーターは巣に帰れ。
782 :
名無しさん@お腹いっぱい。 :2007/08/30(木) 13:14:53
ポルノウェア not-a-virus:Porn-Dialer.Win32.CapreDeam.p
785 :
名無しさん@お腹いっぱい。 :2007/08/30(木) 17:09:22
鑑定スレじゃないんだから、実行しろよ。 インスコマーーーーン!!
>>783 なんかマカヒーが常駐してるみたいなんだけど
違うかな・・・
訂正 SiteAdvisorか
788 :
名無しさん@お腹いっぱい。 :2007/09/22(土) 16:27:43
このスレ埋めないか
789 :
名無しさん@お腹いっぱい。 :2007/09/23(日) 13:43:34
過疎スレ埋め
790 :
名無しさん@お腹いっぱい。 :2007/09/23(日) 13:44:54
過疎スレ埋め
今度なんかもってきていいですか?
だが断る
793 :
名無しさん@お腹いっぱい。 :2007/10/03(水) 03:19:39
無料常駐系のオススメって何かある? 前までPestPatrol2005入れてたんだけど、この度OS再インスコで消えてもーた もう本家では配布してないし どうしよう
794 :
名無しさん@お腹いっぱい。 :2007/10/03(水) 03:20:13
795 :
名無しさん@お腹いっぱい。 :2007/10/03(水) 03:25:39
>>794 無料常駐系のオススメって何かある?
前までPestPatrol2005入れてたんだけど、この度OS再インスコで消えてもーた
もう本家では配布してないし
どうしよう
>>795 無料常駐系のオススメって何かある?
前までPestPatrol2005入れてたんだけど、この度OS再インスコで消えてもーた
もう本家では配布してないし
どうしよう
797 :
名無しさん@お腹いっぱい。 :2007/10/03(水) 03:39:07
>>796 無料常駐系のオススメって何かある?
前までPestPatrol2005入れてたんだけど、この度OS再インスコで消えてもーた
もう本家では配布してないし
どうしよう
そういや、NOD厨はPestPatrol信者も兼ねていたね。
実行したならわかるだろ?
ワロタ
802 :
名無しさん@お腹いっぱい。 :2007/10/16(火) 14:51:44
埋め
803 :
名無しさん@お腹いっぱい。 :2007/10/17(水) 13:01:40
Trojan.Win32.KillWin \windows\system32\hal.dll を削除してシャットダウン実行。
805 :
名無しさん@お腹いっぱい。 :2007/10/17(水) 15:10:32
dr.webのリンクチェッカーでここに出てきたサイト チェックしたけど全部CLEANとかなるんですけど? これってDr.WEBが代わりにそのリンクにつないで ウイルスがあるかないかチェックしてるんじゃないの?
806 :
名無しさん@お腹いっぱい。 :2007/10/17(水) 15:14:14
808 :
名無しさん@お腹いっぱい。 :2007/10/20(土) 13:08:08
810 :
名無しさん@お腹いっぱい。 :2007/10/21(日) 00:29:51
>>808 セキュ版は高校生と中学生しかいないから実行出来るような強者はいないよ
AA貼るくらいしか出来ないから
811 :
名無しさん@お腹いっぱい。 :2007/10/21(日) 06:57:40
スクラップしておかないとな
812 :
808 :2007/10/21(日) 14:54:24
そうなのかw 確かにろくな書き込みがないww セキュリティ板使えねーwwww
ビビって実行も出来ない人間に使っていただく板でもありませんし
スペシャルフォースのチートばっかだしな。
815 :
名無しさん@お腹いっぱい。 :2007/10/21(日) 23:17:26
ログ読み終えた感想。 インスコマン素敵。抱かれたい。
ここは鑑定スレじゃないってのに
いいえ。鑑定スレです。
818 :
名無しさん@お腹いっぱい。 :2007/10/22(月) 17:56:01
情報少なすぎて踏む気がしない
820 :
名無しさん@お腹いっぱい。 :2007/10/22(月) 18:59:22
NTTのセキュリティー対策ソフトが2008になるのはいつごろ?
プロバイダ板で聞けよ
>>818 お前が導入して鑑定しろ。
VMware持ってるけど面倒くせえ。
とりわけ
>>808 に関しては実行する価値が皆無。
PC余ってるけど使う気しないんだよな。まさかの時の為に金くれるって言うなら実行してやってもいいけど。 それよりもまだアングラ(死語)気取りの厨房がいるって事自体に驚きだww
どうすればここ盛り上がるんだ?
別に盛り上げる必要とかないから
なんでだよ・・・ 思い出とかつくりてぇじゃねぇかよ!! お前らこれでいいのかよっ!
だってもう夏は終わったし
↑PASSWDくらい書けこのカスw
すみません、パスはfurutinです。
デカ過ぎて解析する気にならん。
残念。 今のとこPCに問題は出てないんですよね・・・。なんなんだろ
C:\Windows\winhttp.dllにアクセスして何かするみたいだけど 俺のパソコンにwinhttp.dllが存在しないので、そのまま何もしないで終了したっぽい
>>834 ありがとう。
PC内の個人情報送るとかそういう類のモノかもしれないですね
836 :
名無しさん@お腹いっぱい。 :2007/12/06(木) 10:46:52
837 :
名無しさん@お腹いっぱい。 :2007/12/08(土) 15:04:17
>>839 すいません。
ファイルを受理中となるだけでよく分かりません。
どういうことなんでしょうか?
842 :
名無しさん@お腹いっぱい。 :2007/12/20(木) 18:45:55
何このスレ ウィルス集めに最適じゃんお前らお疲れ様です
843 :
名無しさん@お腹いっぱい。 :2007/12/31(月) 18:15:30
ダウソできねえよ?
というかなんで、そんなファイルダウソしようとしたの? 「発見場所」って、winユーザーでそのファイルが無い人は 多分居ないよ。
正規のsvchost.exeはその1つ上のディレクトリにあるもののはずだが つまりsvchost.exeを偽装したウィルスの可能性は十分ある
>>847 変なサイトを経由してはいるが、最終的に手に入るバイナリは
マイクロソフトのサイトにおいてあるしデジタル署名もついている
849 :
名無しさん@お腹いっぱい。 :2008/02/24(日) 17:29:19
ホッシュ
852 :
v2y :2008/03/03(月) 16:38:33
これ、最後に出てくるMP3ってFlashか …exe全然関係ナスwww ところでポルノどこ?(バーボン風
854 :
v2y :2008/03/12(水) 03:03:17
たぶん、どっかから拾ってきたフラゲをexeにして、 アドウェア2個と抱き合わせにしたやつぽい フラだけ抽出して圧縮したら、330KBになった アドウェアは明日からのんびり覗いてみる
検出可否スレも見てる 休憩時間に、とりあえず0だけ踏んでみた 手抜きしてるんもあるんだが、うまく感染させられなかった 無理矢理実行してみたが、なんかアンケート画面(日本語英語じゃない)みたいのの URLを見に行こうとして、それ以上進めない
休み時間に、またちょっとつついてみた
>>862 現在は: ダウソ先がつながんない
てかこれ、itmediaで見たときには、すでにつながんなかったんだな
>>863 難読化が少なくとも3層かかってる
サービスぽい名前のコピーを作って、自分は終了する
コピーが*.cybernix.info:8888につなごうとしてた
これはテーブルに書いてあるようで、容易に変更できるようにしているのかと
ちょっとパケット覗けないPC状況だったので、そっからは覗けてない
メッセがCreateInstance()で操作できるってのは、やっぱり罪なことなのかなと
いずれも有害ははっきりしてるものだしってことで、
のんびり、踏んでみたのは うんちく程度にレポする
>>869 Flashのほう
IEで
ttp://br.youtube.com/watch?v=FGoGb1aYpbc を開いている間に、
偽IE, 偽ノートン(名前だけ。Delphiのアイコンのままだ), 偽メッセが落ちてくる
それぞれ、どっかの銀行の垢抜き、orkutの垢抜き、自分(偽flash9)の流布をしてるんだろう
だろう、っていうのは、中覗いててきとーに予想したことなので なにしろ英語でもないし
これらはtinyurlを経由して指定されていて、平文のexeだ
インスコマン……(;´д⊂ヽ
スレ維持しておけば、帰ってきはるかと
あげ
キター
noop
bochs
yourfilehostなんかの広告にでてくるvirtualgirlってやつだと思います いま最新版落としてきたら、完全一致しました インスコしたことがあります そのときは、微エロ系デスクトップマスコットでした 初期データセット(無料分)、本体、関係DLLなど、とにかく大量にダウソしてくるです 無料のマスコットセットがいくつか付いてきて、そろえるには購入が必要という手合いです メアド登録して垢をとらされます そこに、追加購入したセット、期間限定で取得したセットが紐づけられます ありがちな、別添アドウェア、別添トロイはなかったぽかったですが、 bbspinkに慣れた人なら、とびついて使うようなもんでもないかも
いまどきexeちょっと踏んだくらいでは、安全の保証ってできかねますけどね
明らかに有害か、ちょっと踏んでみた限りでは脅威がなさげか、所詮そのどっちかです
>>881 クラックツールです 「これってなんですか?」に準じて対応。
MGADiag.exe
MS純正のWGA診断ツールのようです 一応署名されています v1.5系。最新ではありません
実行するとネットにアクセスします 通常どおりWGAを試みているのでしょう
keyfinder.exe
www.magicaljellybean.comで配っているkeyfinderです 最新ではありません
公式に配布している旧バージョンと一致しました 自己解凍書庫だったりするのは仕様です
レジストリに記録されているキーを収集してくれるみたいです
キーの書き換え機能もあります 書庫の中の.vbsファイルを覗けばわかりますが、案外素直。
wga-fix.exe
hostsファイルを操作して、WGAへの通報を抑制しようとしているのでしょう
意図はわからんではないのですが、効果が今でもあるのかは存じかねます
安全鑑定はいたしかねます コピを是認する方に委ねます
Windows XP Keygen.exe
よくわからない計算をして、キーらしきものを吐きます
安全鑑定はいたしかねます コピを是認する方に委ねます
883 :
881 :2008/04/18(金) 12:05:42
ありがとうございます。 “コピを是認する方”はここにはいないということでしょうか
割れ厨はダウソ板にでも行ってください
あやしいファイルには違いないわな
886 :
881 :2008/04/18(金) 22:36:49
コピ の意味が判らずに書き込んでしまいました。 あと 割れ厨 の意味も判りません。 ご教示ください。
首つって氏ね
淡々とマジレス コピ: 違法コピー。 割れ厨: この場合、先方の主義に関わらず自らの違法コピーを推進しようとする人々。 2ちゃんねるにはいろんな人がおり、コピに対する姿勢は様々ですが コピを暗黙であれ、容認するスレ以外では、あんまりコピの話はしないほうがいいわけです そのファイルを積極的に踏んだのであればいうまでもなく、だまされて踏まされたとしても、 そのファイルをOKと鑑定しても、NGと鑑定しても、割れ厨さんに寄与してしまいますので、 コピに容認な人も否認な人もまじってるこの板では、なんともいうてさしあげられかねます あと888げと
889 :
881 :2008/04/19(土) 00:35:17
ありがとうございました
このスレの住人って当然、仮想マシン(VmWare VirtualPC)から ファイル実行してんだよね。じゃなきゃ怖くてそんなことできない。
むしろ普通にVPC/VMWare上で実行は× 仮想マシンよけが実装されてることが増えてる
>>891 仮想マシンよけ?
一体、どういう原理で仮想マシンか否か識別してるわけ?
VMWareにせよ、VPCにせよ、高速化する専用ドライバとかいれるでしょ ああいうのを検出すればいい これはカンタン あと、(仮想マシン上に)rootkitが入ったときに、CPUの使用方法が通常モードと違うから、 これを検出したら、悪意ある行動をやめるか、遅らせるとかするといい
????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ????????????????????????????????????????????????????? ?????????????????????????????????????????????????????
キーワードは 1 です
レジストリを書き換えて、毎度実行するようにはなるみたいです タスクマネージャの起動の抑制もかかります あと音がでます 無害でも無益です 踏まない方がいいでしょう
ま、カスペとAVGがウイルスといってる以上ウイルスなんじゃね?
902 :
インスコマン ◆qlwUrCXXtM :2008/07/31(木) 14:53:41
>>902 の画像のさいとのURLのっけときます
195.225.176.63/in.php?id=16&se=1&keyword=Polliciy22.info&host=gremmioti.cn&dkw=
インスコマーーーーン (´Д⊂
すみません、原田ウイルス00(ダブルオー)というマルウェアを お持ちの方提供していただけないでしょうか? 未だに遭遇できないので。
>>909 NOD32どころかカスペ以外の主要ベンダーは全滅じゃねーか!!
Symantec、Trend MicroどころかAntiVir、avast!、AVG、BitDefenderまでスルー。
まずはその検体を↑のベンダーに提出してみては?
>910 無論、8/5の時点で提出済み。そのときは、どのソフトもウイルス判定してませんでした。 今日の朝になるまでは、カスペすら全く反応無し。 あからさまにネットワークの使用量が跳ね上がったので、おかしいとは思ったんだけど、 ウイルス判定が全く出なかったので自分の勘違いかと思ったよ。 タスクマネージャみたら、妙な名前のプロセスだけが動いてるもんだから、これ以外、あり得なかったのだが。 アドバンストヒューリスティックエンジンを過信しすぎるのも禁物だな……いい経験になったよ。
912はAntiVirもavast!もBitDefenderも反応する。 Symantecまで反応するがカスペはスルーした。
>>914-915 他スレで晒されていた"NeorageX"というエミュレータのhack版らしいw
多分、誤検出。
>>916 AntiVir、avast!、AVG、BitDefender、McAfee、NOD32、Symantecまで検出してるのにこれが誤検出?
ここまで主要ベンダーが検出してるのにとても誤検出とは考えにくいんですけど・・・?
>>917 実行してみたけど、普通にエミュレータとして動作したよ?
そんなの検体送ればすぐ分かる事
clamではスルーされたorz
そもそも本当にウイルスなら実行した時点でキーの入力なんて求めるわけないし、 わざわざキーを入力しないとウイルスとして動けないなんてものあるわけないw
…まあ、実行してみたサンドボックスのせいで、 通常要求してこないキー要求があったのかもしれないとも思ってたり パッカって意外とそんなもん。 っていう雑談
一応
>>912 のファイルはzlib.dllとneogeoのbiosが無いと起動すらしないはず。
さらに以下のキーを入力しないとちゃんと動作しない。
Emu-Zone
6FB3-2BC0-A3B4-B5A5
明らかにマイクロソフトじゃない所からメールで IE最新版ダウンロードとかいってそれらしくexeファイルにリンクされてるんですが これは危険ですか? www.altotrabajosverticales.com/images/ie7.0.exe
>>928 そのscrロックされて解除できなくなるそうだ。
うん。NoDispScrSavPage によるところかな、他にもあるのかな なんにせ、本家のやつで楽しめばおk
>926 さっき俺が踏んでみたww
ニセセキュリティが起動して
お前は感染してるだの何だの言ってきた
IEのTOP(の一部?)とか壁紙とか変えられちまった
ttp://www-2ch.net:8080/up/ ここの
08/08/12(Tue) 15:32:29 のファイルが
その時のスクリーンショットだから
見たいやつは見て来い
932 :
名無しさん@お腹いっぱい。 :2008/09/04(木) 00:17:08
あー。強制終了機能ありました うそつきゴメス
その後、一部アンチウイルスソフトベンダがクロ判定をしたとのウワサを聞きました 詳細不明なのですけど、念のため、シロ寄りのグレーから、クロ寄りのグレーに変更いたします
単体を実行した際、Windowsディレクトリに何か吐き出すようですので、適宜清掃してください …そっからすすまん…パッカと砂箱との相性わるいよママン…。(バレちゃう以前に、失敗するらしい)
>>938 ありがとうございます。
次回から気をつけたいと思います。
940 :
名無しさん@お腹いっぱい。 :2008/09/13(土) 00:16:03
誰でも使えるwebサービスを貼り付けるスレなのここ? 実行してねえじゃんwww
内容によっては、引き受け手が少ない案件もあるのさ
なんでも実行する勇敢で知恵に富んだ者が集まるスレだと思ってた
ここは鑑定スレじゃねーんだよ
実行するまでもなく、フォーマットするかもしれないショートカット 無害でも無益 Shoさんてだれですか
うめ
あ
952 :
名無しさん@お腹いっぱい。 :2008/09/28(日) 12:53:56
本体t.gif.gif
955 :
名無しさん@お腹いっぱい。 :2008/09/28(日) 21:59:09
>>953 実行してもこの手のタイプのマルウェアは目立った症状がないから
困る。悪玉も見つかんないし。ネトゲインスコされてないから動作してナインかな
956 :
955 :2008/09/28(日) 22:19:42
さっきからexplorerの動作が安定しない やっぱマルウェア動いてんのかな・・・
hostsを書き換えにいったみたいなのと、何かDLLを一個吐いたところまではみたけど、 感染行動が途中で止まっちまったらしい
ニーズのバカが集まるスレ
テスト
960 :
名無しさん@お腹いっぱい。 :2008/10/18(土) 14:09:06
侵入テストかなんかでしたら、スレチです そこが、たとえば改竄を受けている等して、あやしげな何かが貼られているなら、転載してください
965 :
インスコマン ◆qlwUrCXXtM :2008/10/18(土) 22:03:03
俺が支配されそうですワロタw
967 :
名無しさん@お腹いっぱい。 :2008/10/22(水) 03:10:38
35/36にワラタ
971 :
名無しさん@お腹いっぱい。 :2008/10/22(水) 23:54:36
ウイルスが古すぎて・・・ ぜんぜんあやしくねーじゃんみたいな
みたいなって・・・
974 :
名無しさん@お腹いっぱい。 :2008/10/24(金) 01:16:32
ageます
もうありません、404 ご期待に沿えるかどうかわかりかねますが、なんでしたら再うpしてください
いまさらですが「entsver.exe」の最新亜種を踏んでみました 15ai.comとかいう、中華のサイトになにやら怪しげなパケット 飛ばしています なんか、自虐てきでカワイイ奴ですね
_,,..,,,,_ ./ ,' 3 `ヽーっ スヤスヤ l ⊃ ⌒_つ `'ー---‐'''''"
age
979 :
名無しさん@お腹いっぱい。 :2008/11/24(月) 16:27:39
sage
うんk
sn00p
うめんの?
umeume
_,,..,,,,_ ./ ,' 3 `ヽーっ スヤスヤ l ⊃ ⌒_つ `'ー---‐'''''" _,,..,,,,_ ./ ,。 3 `ヽーっ スヤスヤ l ⊃ ⌒_つ `'ー---‐'''''"
985ゲット
後14km
13
12
11
qq
いきますよ
877
993
ヾ( ´ー`)(^_^;)
umeee
996
99!!
98?
テスト
last一本
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。