B議論や意見のまとめ ・圧縮ファイルと検出数 exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。 ・DOSウイルス禁止 大昔のウイルスを集めてきても無意味なことがあります。 ・パスなしZIPをパス有りLZH(またはRAR)で 安全性と利便性のため、上記の手法を推奨します。 ・淡々とやれ淡々と! 淡々と貼り、淡々といきましょう。 ・ブラクラ禁止 ブラクラ等、想定しないものを無言で貼らないこと ・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 という意見もあり。 ・スレ違いでもめる(2スレ目以降)
7 :
名無しさん@お腹いっぱい。 :2007/11/09(金) 23:04:40
8 :
名無しさん@お腹いっぱい。 :2007/11/09(金) 23:05:13
13 :
名無しさん@お腹いっぱい。 :2007/11/10(土) 09:09:31
>>13 キング 0x3 ( ゚д゚ )?スルーだぞ
誰か送れよ
>>15 まだ送ってないですか?
送ってないなら送ります
>>13 ファイル名 EvID4226Patch223d.exe 受理 2007.11.10 04:15:33 (CET)
結果: 14/32 (43.75%)
AVG 7.5.0.503 2007.11.09 Potentially harmful program HackTool.AB
BitDefender 7.2 2007.11.10 Application.Evid.M
CAT-QuickHeal 9.00 2007.11.09 AdWare.Agent.bq (Not a Virus)
eSafe 7.0.15.0 2007.11.08 suspicious Trojan/Worm
Ewido 4.0 2007.11.09 Not-A-Virus.Hacktool.EvID
FileAdvisor 1 2007.11.10 High threat detected
Fortinet 3.11.0.0 2007.10.19 HackerTool/Evid
McAfee 5160 2007.11.09 potentially unwanted program Tool-Evid
NOD32v2 2650 2007.11.09 Win32/Tool.EvID4226
Panda 9.0.0.4 2007.11.10 HackTool/EvID
Sophos 4.23.0 2007.11.09 EvID4226
Sunbelt 2.2.907.0 2007.11.09 Event ID 4226 Patcher
TheHacker 6.2.9.122 2007.11.09 Aplicacion/Tool.evid
Webwasher-Gateway 6.0.1 2007.11.10 Riskware.Tool.EvID4226.A
今回はAntiVirとカスペがスルー、NODとマカフィーが検出という珍しい結果となりました。
あとAVGも不審なプログラムとして検出したので無料版では検出できない(つまりスパイウェアとして検出)
20 :
19 :2007/11/10(土) 12:36:09
21 :
19 :2007/11/10(土) 13:11:49
>>13 ウイルスバスター2008
EvID4226Patch223d.exe: EXPL_Evid
種別としては"スパイウエア"らしい。
13はウイルスのたぐいじゃないだろ TCPIPの接続試行数を増やすツールだ Bittorrentではよく使う
AVGやバスターがスパイウェア扱いしてるからな。
26 :
名無しさん@お腹いっぱい。 :2007/11/10(土) 19:36:04
また誤検出が増えるのか
>>26 そんなこといったらせっかく検出したNODが泣くぞww
いつもいつもスルーばかりしてる劣等生なんだから
>>13 は、
>>18 を見ると、ハックツールとして認識しているのがほとんど。
VirusTotalの追加情報
Sunbelt info:
Event ID 4226 Patcher is a tool to patch Windows in order to lift the limit on the allowed number of concurrent TCP connect attempts
(TCPの同時接続数の上限をあげるためのWindowsへパッチをあてるためのツール)
スパイウェアではなくて、検出するならリスクウェアとしてが妥当じゃね。
ただ、あまり広範囲にすると、zipのパスワードを調べるツールや、ゴミ箱やフォーマットで消したファイルを復元するツール、復元不可能に完全に抹消してしまう
ファイルも広義のリスクウェアに入るんだけれどな…。
遅くなったけどもこれでテンプレ完了です FFAQ Q:「ウイルス鑑定スレ」と何処か違うの? A:鑑定スレではありません。ここで扱われるファイルは100%ウイルスです。 Q:擁護非難厨がうざい・・・ A:無視!最強の反撃手法です。
31 :
名無しさん@お腹いっぱい。 :2007/11/10(土) 19:53:36
お前らどうでもいいけど まずは前スレ埋めてからやれ
>>18 ewidoも検出しているから今回AVGはewidoのシグニチュアで検出したのかな?
それとも、検出名が微妙に違うから珍しくAVGの自力か?
>>32 多分AVGの自力
こちらでスキャンしたときもPotentially harmful program HackTool.ABで検出した。
ただ検出したカテゴリは「不審なプログラム」なので無料版では検出できないもの。
VTに投げればAVGかewidoかわかるんじゃね?
AntiVirは今日は更新がないから
>>13 を検出できないのかな?
それにしてもAntiVirは土日の更新は更新するときもあればしないときもあるしいい加減だな・・・
いや、すごく良いソフトだし満足してるけどね。
ただAVGは毎日更新するのに対しAntiVirはこうだからこれがAntiVirの欠点か。
AVGフリーで実際試した奴はおらんのか? 現在のオレはAntiVir+ewidoの組み合わせだからよくわからん
>>36 ちょうど別のPCにフリー版あったのでやってみた。
やはり検出できなかった。
AntiVirは有料版と無料版ではどういう検出の違いが出るんだろう?
AVGはここらへんわかりやすいけど。
>>40 ウイルスバスター2008
スルー 検体提供済み
>>40 なぜかパスが効かない。
パスが間違ってるといわれる・・・
>>43 DLも解凍も同じパスで行けたよ。(Win RARにて)
>>41 McAfee: PWS-Banker.gen.bw
>>46 乙
Norton Internet Security 2008
1/11 \b\install.exe をTrojan.Dropper として検出
反応が無かったのは贈っておきます
avast 10/12
>>40 Risingより
1.文件名:ldr.exe
病毒名:Trojan.Win32.Mnless.zee
>>46 ウイルスキラー19.48.42
3\999.exe>>upack0.36
Trojan.Clicker.Win32.PopHot.dm
6\gmsex.exe
Trojan.PSW.Win32.QMOnline.du
>>46 ウイルスバスター2008
xpl001_z.html: JS_DLOADER.WNZ
999.exe: TROJ_DELF.IVK
udl.exe: TROJ_DLOADER.SQW
gmsex.exe: TROJ_HUPIGON.LOH
Install.exe: TROJ_DROPPER.KAF
残りは検体提供済み
キング 0x3 ( ゚д゚ )? malware\3\999.exe中にウィルス発見 Win32.Troj.Pophot.vv.417792 malware\6\gmsex.exe中にウィルス発見 Packes.MaskPE.a を発見、後はスルー
>>46 カスペ7
今北産業
すでに対応済の結果かも・・・。
なのであくまで参考
10/12
deteted: Trojan program Trojan-Downloader.Win32.Delf.uv File: :tane_uljp00163.zip/malware/0/inwithmess.html//PE_Path.UPX//UPX
deteted: Trojan program Trojan-Downloader.JS.Agent.aq File: :tane_uljp00163.zip/malware/1/xpl001_z.html
deteted: Trojan program Trojan-Downloader.JS.Psyme.ti File: :tane_uljp00163.zip/malware/2/mp3
deteted: Trojan program Trojan-Spy.Win32.Pophot.vv File: :tane_uljp00163.zip/malware/3/999.exe//PE_Path//UPak
deteted: Trojan program Trojan-Downloader.Win32.Banload.eww File: :tane_uljp00163.zip/malware/4/moon3.dll
deteted: Trojan program Trojan-Downloader.Win32.Agent.eve File: :tane_uljp00163.zip/malware/5/udl.exe
deteted: Trojan program Trojan-PSW.Win32.OnLineGames.hhz File: :tane_uljp00163.zip/malware/6/gmsex.exe//PE_Path.PEompat//PeBundle//PEompat//PE_Path.MaskPE
deteted: Trojan program Trojan-Downloader.JS.Psyme.tj File: :tane_uljp00163.zip/malware/7/ehp1_rggdnt2051.htm
deteted: Trojan program Trojan-Downloader.Win32.Agent.ezh File: :tane_uljp00163.zip/malware/8/Foto%20Mensagem%20larissa.sr
deteted: Trojan program Trojan-PSW.Win32.WOW.aeo File: :tane_uljp00163.zip/malware/b/Install.exe
念のため、9とaは検体提出
53 :
名無しさん@お腹いっぱい。 :2007/11/12(月) 13:55:57
↑は住人にキージェネの真贋判定をさせる割れ厨なので放置で。
おkk
56 :
名無しさん@お腹いっぱい。 :2007/11/12(月) 15:27:12
ファイル名変えただけじゃねーか
58 :
名無しさん@お腹いっぱい。 :2007/11/12(月) 15:37:53
割れ厨って恥ずかしいよね 不正コピーが大好きな中国人と同じだよね
>>61 乙
とりあえず検出数だけ
ESS:17
AVGAM:10
AntiVir:20
ちなみにESSは全部亜種検出でした。
>>61 キング 0x3 ( ゚д゚ )?
jr.exeスルー
後全部駆除
>>61 カスペ7
16/20
detected: Trojan program Trojan-PSW.Win32.OnLineGames.hnj File: tane_uljp00164.zip/GAME/2.exe//UPack
detected: Trojan program Trojan-PSW.Win32.OnLineGames.hhy File: tane_uljp00164.zip/GAME/8.exe//PE_Patch//UPack
detected: Trojan program Trojan-PSW.Win32.OnLineGames.hnd File: tane_uljp00164.zip/GAME/dh3.exe//PE_Patch//UPack
detected: Trojan program Trojan-PSW.Win32.OnLineGames.hfs File: tane_uljp00164.zip/GAME/dj.exe//UPack
detected: Trojan program Trojan-PSW.Win32.OnLineGames.hlr File: tane_uljp00164.zip/GAME/jh.exe//UPack
detected: Trojan program Trojan-PSW.Win32.OnLineGames.hhw File: tane_uljp00164.zip/GAME/my.exe//PE_Patch//UPack
detected: Trojan program Trojan-PSW.Win32.OnLineGames.ftv File: tane_uljp00164.zip/GAME/qj.exe//UPack
detected: Trojan program Trojan-PSW.Win32.QQPass.akg File: tane_uljp00164.zip/GAME/qq.exe//UPX
not found: Trojan program Trojan-PSW.Win32.OnLineGames.hmb File: tane_uljp00164.zip/GAME/qq3g.exe//#
detected: Trojan program Trojan-PSW.Win32.OnLineGames.hfq File: tane_uljp00164.zip/GAME/qqhx.exe//UPack
detected: Trojan program Trojan-PSW.Win32.OnLineGames.gvs File: tane_uljp00164.zip/GAME/wd.exe//UPack
detected: Trojan program Trojan-PSW.Win32.OnLineGames.gpg File: tane_uljp00164.zip/GAME/wl.exe//PE_Patch//UPack
detected: Trojan program Trojan-PSW.Win32.OnLineGames.hlr File: tane_uljp00164.zip/GAME/wm.exe//UPack
detected: Trojan program Trojan-PSW.Win32.OnLineGames.hng File: tane_uljp00164.zip/GAME/zt.exe//PE_Patch//UPack//PE_Patch
detected: Trojan program Trojan-PSW.Win32.OnLineGames.hej File: tane_uljp00164.zip/GAME/zx.exe//UPack
detected: Trojan program Trojan-PSW.Win32.OnLineGames.hmb File: tane_uljp00164.zip/GAME/qq3g.exe//PE_Patch//UPack
4つ検体提出します。
68 :
52 :2007/11/12(月) 22:31:09
>>61 ウイルスバスター2008
10/20
2.exe: TSPY_ONLINEG.LKC
4.exe: TSPY_ONLINEG.LKC
8.exe: TSPY_ONLINEG.LKV
dj.exe: TSPY_ONLINEG.IRZ
qj.exe: TSPY_ONLINEG.ISZ
qq.exe: TSPY_QQGAME.HI
qqhx.exe: TSPY_ONLINEG.LKC
tl.exe: TSPY_ONLINEG.LKC
wd.exe: TSPY_ONLINEG.IRZ
wm.exe: TSPY_ONLINEG.LKC
19個しかないのになんで20なんだ?
>>61 乙
ノートン 13/19
2.exe : Infostealer.Gampass
4.exe : Infostealer.Gampass
8.exe : Infostealer.Gampass
dh.exe : Infostealer.Gampass
dj.exe : Infostealer.Gampass
jh.exe : Infostealer.Gampass
qj.exe : Infostealer.Gampass
qq.exe : W32.Gammima.AG
qqhx.exe : Infostealer.Gampass
tl.exe : Infostealer.Gampass
wd.exe : Infostealer.Gampass
wm.exe : Infostealer.Gampass
zx.exe : Infostealer.Gampass
未検出分、検体送付済み
>>61 AVGはアップデート後更に5個検出で合計15個検出
73 :
67 :2007/11/12(月) 23:45:38
>>70 カスペ7
よく見れば、qq3g.exeを二重カウントしてたな。orz
>>61 正しくは15/19.
4つは提出済。
C議論や意見のまとめ ・書庫そのものをウィルス数に数えるAVもあります 例)BitDefenderやAntiVir
D議論や意見のまとめ ・二重カウントするAVもあります。 例)カスペ
77 :
61 :2007/11/12(月) 23:55:37
皆さん乙です。
中国のサイトから拾ってきたウイルスですが
割と身近な脅威なので検体提出して頂けるとうれしいです。
個人的には
>>64 のKINGの高検出に驚いています。(失礼w)
中国産のウイルスという事情が大きいのでしょうか?
もうひとつ VTスキャン上ではsophosが全検出していました。
upackを検出したようですが今回は正解でしたね。
それではまた。
>>77 乙です
俺は期待してなかったESSが高検出だったのが驚いた、それも全部亜種で検出w
ESSになってからちょっとは期待してもいいのかな?
tane_uljp00164\GAME\2.exe - Win32/PSW.OnLineGames.FDYの亜種 トロイの木馬
tane_uljp00164\GAME\4.exe - Win32/PSW.OnLineGames.FDYの亜種 トロイの木馬
tane_uljp00164\GAME\8.exe - Win32/PSW.OnLineGames.NGUの亜種である可能性 トロイの木馬
tane_uljp00164\GAME\dh.exe - Win32/PSW.OnLineGames.FDYの亜種 トロイの木馬
tane_uljp00164\GAME\dh3.exe - Win32/PSW.OnLineGames.NFLの亜種 トロイの木馬
tane_uljp00164\GAME\dj.exe - Win32/PSW.OnLineGames.FDYの亜種 トロイの木馬
tane_uljp00164\GAME\jh.exe - Win32/PSW.OnLineGames.FDYの亜種 トロイの木馬
tane_uljp00164\GAME\jr.exe - Win32/Genetikの亜種である可能性 トロイの木馬
tane_uljp00164\GAME\my.exe - Win32/PSW.OnLineGames.NFLの亜種 トロイの木馬
tane_uljp00164\GAME\qj.exe - Win32/PSW.OnLineGames.FDY トロイの木馬
tane_uljp00164\GAME\qq.exe - Win32/AutoRun.Qの亜種である可能性 ワーム
tane_uljp00164\GAME\qq3g.exe - Win32/PSW.OnLineGames.NFLの亜種である可能性 トロイの木馬
tane_uljp00164\GAME\qqhx.exe - Win32/PSW.OnLineGames.FDY トロイの木馬
tane_uljp00164\GAME\tl.exe - Win32/PSW.OnLineGames.FDYの亜種 トロイの木馬
tane_uljp00164\GAME\wd.exe - Win32/PSW.OnLineGames.FDY トロイの木馬
tane_uljp00164\GAME\wm.exe - Win32/PSW.OnLineGames.FDYの亜種 トロイの木馬
tane_uljp00164\GAME\zt.exe - Win32/PSW.OnLineGames.NFLの亜種 トロイの木馬
tane_uljp00164\GAME\zx.exe - Win32/PSW.OnLineGames.FDYの亜種 トロイの木馬
失礼、今見たら全部亜種じゃなかったorz
80 :
61 :2007/11/13(火) 00:30:52
>>78 NOD系はヒューリスティックにひっかかると滅法強いですね。
ただ ウイルスライターはあの手この手でスキャナをかいくぐる研究をしているようなので
すり抜けられた時のシグネチャ対応体制が課題なのではないでしょうか。
このスレはあくまで任意の検体を提供していますので
あまり一喜一憂なさらないほうがよろしいいかと。
>>80 そうですね、ESETはやっとESSをリリースしたことだし今度は落ち着いてヒューリスティックの改良や検体解析もできるようになるんじゃないでしょうか?
ただESETの開発力がどうなのかはわからないのでそこが心配ですね、しかしNODv2.7と比べるとESSは亜種の検出が強くなった印象を受ける。
ま、ヒューリスティックや検出率に関してはAntiVirのバージョンは結構古いのにそれでもあれだけの検出力を誇ってるから今後ESSもどうなるか期待と不安がありますね。
82 :
67 :2007/11/13(火) 01:06:02
カスペ KLから返事。4つ追加検知で、19/19 Hello, 4.exe_ - Trojan-PSW.Win32.OnLineGames.hob, dh.exe_ - Trojan-PSW.Win32.OnLineGames.hoc, jr.exe_ - Trojan-PSW.Win32.Nilage.bts, tl.exe_ - Trojan-PSW.Win32.OnLineGames.hod New malicious software was found in these files. Detection will be included in the next update. Thank you for your help. Please quote all when answering. しかし、カスペはシグネチャの幅が狭いね。KAV8登場までこのパターンかな。orz
カスペのシグネチャの幅が狭いのは誤検出を防ぐためかな? その分対応の早さでカバーか。
適した駆除もそれなりに考えての事とか…
カスペはワクチンを緊急発進しているから、個別に作らざるを得ないんじゃね。昔はそれでよかった。 ただ、時代が変わってきて、亜種が急激に増えてきたから、シグネチャの数が激増。亜種にも少しずれると検知できないもろさがある。 そこで、カスペも一定数まとまったら、整理・廃止して、幅の広いジェネリック・シグネチャに置き換えていって、従来の1時間ごとのシグネチャと組み合わせていく。 これでパフォーマンス向上と亜種の検知率向上を図る方向と思われ。>KIS8
だから8でシグネチャとエンジンの世代うpするのね
>>61 AVAST 14/19
GAME\2.exe\[Upack] Win32:OnLineGames-BGD [Trj]
GAME\4.exe\[Upack] Win32:OnLineGames-BGD [Trj]
GAME\dh.exe\[Upack] Win32:OnLineGames-BGD [Trj]
GAME\dh3.exe\[Upack] Win32:Nilage-JY [Trj]
GAME\dj.exe\[Upack] Win32:OnLineGames-BGD [Trj]
GAME\jh.exe\[Upack] Win32:OnLineGames-BGD [Trj]
GAME\qj.exe\[Upack] Win32:OnLineGames-BGD [Trj]
GAME\qq.exe\[UPX] Win32:AutoRun-BS [Wrm]
GAME\qq3g.exe\[Upack] Win32:OnLineGames-BCD [Trj]
GAME\qqhx.exe\[Upack] Win32:OnLineGames-BGD [Trj]
GAME\tl.exe\[Upack] Win32:OnLineGames-BGD [Trj]
GAME\wd.exe\[Upack] Win32:OnLineGames-BGD [Trj]
GAME\wm.exe\[Upack] Win32:Delf-FVM [Trj]
GAME\zx.exe\[Upack] Win32:Delf-FVM [Trj]
>>61 AntiVirのヒューリスティックで引っ掛かった分は"Delete"が選択できず"Quarantine"を選ぶことになるね
誤検出かも知れないから"Quarantine Manager"を使ってファイルを送って欲しい、とか何とか言ってる
こういうのも送った方が良いのかなあ
89 :
名無しさん@お腹いっぱい。 :2007/11/13(火) 09:12:04
>>61 いまさらMcAfee
・New Malware.aj
8.exe, dh3.exe, jr.exe, my.exe, qq3g.exe, zt.exe
・New Malware.n
zx.exe, wm.exe, wd.exe, qqhx.exe, gj.exe, jh.exe
dj.exe, dh.exe, 4.exe, 2.exe
・PWS-QQGame
qq.exe
qq.exe以外を提出してきます
>>89 でもってMcAfeeこっちはスルーヽ(`Д´)ノ
>>89 ファイル名 Patch.exe.VIR 受理 2007.11.13 02:55:17 (CET)
結果: 14/32 (43.75%)
AntiVir 7.6.0.34 2007.11.13 BDS/Bifrost.AP
AVG 7.5.0.503 2007.11.12 Generic8.TFD
BitDefender 7.2 2007.11.13 Trojan.Agent.Delf.ED
DrWeb 4.44.0.09170 2007.11.12 Trojan.Inject.475
Ewido 4.0 2007.11.12 Backdoor.Bifrose.agu
F-Prot 4.4.2.54 2007.11.13 W32/Trojan2.FAZ
F-Secure 6.70.13030.0 2007.11.13 W32/Zapchast.ATC
Ikarus T3.1.1.12 2007.11.13 Virus.Win32.Zapchast.DA
Microsoft 1.3007 2007.11.12 VirTool:Win32/DelfInject.gen!U
Norman 5.80.02 2007.11.12 W32/Zapchast.ATC
Prevx1 V2 2007.11.13 Malware.Gen
Rising 20.18.02.00 2007.11.12 Backdoor.Win32.SdBot.cgd
VBA32 3.12.2.4 2007.11.11 Trojan.Win32.Pakes.akt
Webwasher-Gateway 6.0.1 2007.11.13 Trojan.Bifrost.AP
カスペ検出できず(が、すぐに対応すると思われる)、ESSも
>>61 の件でちょっとは期待してみたがやはり過度な期待はできないか・・・
>>82-86 カスペの今の弱点は意外にも亜種に弱いからね。
ノートンと違って対応が早いからノートンほど酷い状態にはなってないけど。
KIS8はAntiVirやAVGみたいなやり方になるのかな?
AVGは一日の更新頻度が多くないにも関わらず亜種の強さは異常だからね。
> カスペの今の弱点は意外にも亜種に弱いからね。 つまり運が悪いと感染する確率が非常に高いことになるな。 シグネチャが間に合えばいいけどさ
>>94 本当に運が悪いとそうなるね。
それでも対応が早いだけマシだよ。
ノートンなんて運が悪い以前の問題になる、これだけ対応が遅いと感染の確率はかなり高いでしょ。
BitDefenderは亜種の検出方法はどうやってるんだろう?
カスペも
>>89 に対応した
Kaspersky 7.0.0.125 2007.11.13 Trojan.Win32.Pakes.boz
最初はスルーでもすぐに対応するところはさすが
>>89 ウイルスバスター2008
スルー
検体提供済み
99 :
65 :2007/11/13(火) 15:32:35
>>61 Risingより
1.文件名:2.exe
病毒名:Trojan.PSW.Win32.XYOnline.ru
2.文件名:dh.exe
病毒名:Trojan.PSW.Win32.GameOnline.acc
3.文件名:jr.exe
病毒名:Trojan.PSW.Win32.GameOnline.ach
4.文件名:wl.exe
病毒名:Trojan.PSW.Win32.GameOnline.aci
>>89 キラー
Backdoor.Win32.SdBot.cgd
102 :
名無しさん@お腹いっぱい。 :2007/11/13(火) 21:59:08
//www.subculture.com/backdoor.html ESS無反応 ブロックも検出もしないのでなんとも言えないが何か仕込まれてる悪寒。
>>104 貼るな。
怪しいVBスクリプトが貼ってある
ttp://www.itmedia.co.jp/enterprise/articles/0711/14/news027.html Macに感染するトロイの木馬、配布サイトがまた出現
メディアファイル再生のためのコーデックを装って、Macにも感染する
トロイの木馬をインストールさせようとするサイトがまた新たに見つかった。
セキュリティ企業のSunbelt Softwareが11月13日のブログで伝えた。
Sunbeltがブログに掲載した問題のサイト「zangcodec」のスクリーンショットは、
映画「SAYURI」の画像を使い、マルチメディアソフトと称する「DVDaccess」の
インストールを促している。
しかし実際にこのサイトで配信されているのは、WindowsとMacの両方に
感染するトロイの木馬「TrojanDNSChanger」だという。
MacのDNS設定を変更してしまうトロイの木馬は、アダルトサイトで配布されて
いるのが先に見つかり、Macに対する本格攻撃の到来が指摘されていた。
新しい検体うpマダー?
110 :
109 :2007/11/15(木) 11:53:16
だめだ アップロードサーバーだけ中国サーバーだったorz
>>108 AntiVir
tane_uljp00167\malware\0\du6.htm
[DETECTION] Contains detection pattern of the Java script virus JS/Dldr.Baidu
tane_uljp00167\malware\2\ee4.htm
[DETECTION] Contains suspicious code HEUR/Exploit.HTML
tane_uljp00167\malware\4\zs.exe
[DETECTION] Is the Trojan horse TR/Dldr.Losabel.Q
tane_uljp00167\malware\6\haha.htm
[DETECTION] Contains detection pattern of the Java script virus JS/Dldr.Agent.aac
tane_uljp00167\malware\9\tet.php
[DETECTION] Contains detection pattern of the HTML script virus HTML/Shellcode.Gen
tane_uljp00167\malware\a\vip.exe
[DETECTION] Contains suspicious code HEUR/Malware
ウイルス検体集めてるフォルダに同じ名称があったので今回のフォルダ名変更
BitDefender tane_uljp00167\malware\4\zs.exe Infected: Trojan.Downloader.JJEE tane_uljp00167\malware\9\tet.php Infected: Exploit.HTML.IframeBof.BN tane_uljp00167\malware\a\vip.exe Infected: Generic.Malware.SWYddldg.DB5A156C
AVGAM tane_uljp00167\malware\0\du6.htm:Virus identified JS/Downloader.Agent tane_uljp00167\malware\2\ee4.htm:Downloader.Psyme.dh tane_uljp00167\malware\4\zs.exe:Trojan horse Downloader.Generic6.SYG tane_uljp00167\malware\7\mp3:Downloader.Agent.m tane_uljp00167\malware\b\Install1216.exe:Trojan horse Downloader.Small.AXG
こうしてみるとBitDefenderはやはり今のAntiVirやAVGと比べると劣るか・・・
オンラインスキャンですがカスペ tane_uljp00167\malware\2\ee4.htm 感染: Trojan-Downloader.VBS.Agent.gp tane_uljp00167\malware\4\zs.exe 感染: Trojan-Downloader.Win32.Losabel.q
こちらもオンラインスキャンですがウイルスバスター malware\9\tet.php:POSSIBLE_JSHEL カスペもバスターも製品の方ではどう検出するのかわからんので参考にならんかも。
カスペ7
>>108 d
4/12(うち2ヒューリ)
detected: Trojan program Trojan-Downloader.VBS.Agent.gp File:tane_uljp00166.zip/malware/2/ee4.htm
detected: Trojan program Trojan-Downloader.Win32.Losabel.q File:tane_uljp00166.zip/malware/4/zs.exe
detected: virus Heur.Trojan.Generic File:tane_uljp00166.zip/malware/a/vip.exe//PE_Patch.PECompact//PecBundle//PECompact//PE_Patch.MaskPE
detected: virus Heur.Trojan.Generic (modification) File:tane_uljp00166.zip/malware/b/Install1216.exe
至急検体提出します。
>>117 d
detected: Trojan program Trojan-Dropper.Win32.Agent.cls File: tane_uljp00167.rar/d\d.exe
>>117 ニュー速の神です。今送っています。
また報告しますね。
122 :
121 :2007/11/15(木) 13:28:35
AVGは送りました。ありがとん。
>>117 AntiVir:TR/Drop.Agent.cls.51
AVGAM、BitDefenderはスルー
ウイルスバスター2008
>>108 0\tet.php: Possible_JShel
>>117 スルー
どちらも検体提供済み
>>117 をVTスキャン
AntiVir 7.6.0.34 2007.11.14 TR/Drop.Agent.cls.51
DrWeb 4.44.0.09170 2007.11.14 Trojan.Packed.194
F-Secure 6.70.13030.0 2007.11.15 Trojan-Dropper.Win32.Agent.cls
Ikarus T3.1.1.12 2007.11.15 Virus.Win32.Zapchast.DA
Kaspersky 7.0.0.125 2007.11.15 Trojan-Dropper.Win32.Agent.cls
Prevx1 V2 2007.11.15 Heuristic: Suspicious Hijacker
Webwasher-Gateway 6.0.1 2007.11.15 Trojan.Drop.Agent.cls.51
Dr.Webは確実に復活傾向になってるな。
あとBitDefenderの検体提供は誰もやってないみたいだからそろそろ検体提供やろうかね。
NOD32スルー 検体送りません
ダウソスレから出張なんだけど、このスレ開いている人にキャンタマ感染者いる Jane opera AVG foobar2000 国交省絡みのフォルダとエクセル 見てたら速攻でLAN抜け
俺もAVGAMとBitDefenderとAntiVirだしopera使ってないし外れだな。
ニュー速民ぽいチョイスですね
>>130 使い分け大変そうだな。
別マシン?>AVG、AntiVir、BitDefender
>>128 foobarが目に入ってドキっとしたが他は関係ないわ。
FW入れてないんかね。
135 :
134 :2007/11/15(木) 14:09:33
今回はキンタマじゃないか 山田かな。
ちょー個人的な希望だけど、検査結果張ってくれる人は 検体のレスへアンカはってほしいっす 専ブラのポップアップで各社見比べられるんで
>>132 上の検出報告見ればわかるけど全部一緒に入れてある(常駐メインはAntiVir)
BitDefenderは最近の検出率はあれなのでそろそろ検体提出しようと思ってるところ、英語はできないけどちょうどBitDefenderスレに検体提出方法あるからそれを使う。
あと2つPCがあるが一つはカスペ、一つはバスター入れてある、が、カスペの方は俺のPCじゃないので検出報告できず。
139 :
120 :2007/11/15(木) 15:04:19
>>117 Risingより
1.文件名:d.exe
不是病毒
「ス」はソフト側でファイル提出できる便利な機能があるがベンダー側が全くやる気なく対応する気配なかったのでESETの態度に腹が立って「ス」を削除した。
このスレでの基準 最強:AntiVir、AVG、カスペ 次点:BitDefender 復活傾向:Dr.Web よくわからん:avast! 躍進の可能性あり:Ikarus、VBA32(?) もうだめぽ:ノートン、マカフィー、NOD32
最初からだめぽ:キング キラー ドクター バスター アンラボ ハウリ
カスペ、AntiVir、AVG、BitDefender>avast!>>>>>>>>>>>>>>>>>>>>>>>>>>>>キングソフト>>>>>>>>>>>>>>ウイルスセキュリティ>>>>>>>>>>>>>>>>「ス」、膿豚、馬鹿フィー
>>108 キング 0x3 ( ゚д゚ )?
\malware\4\zs.exe中にウィルス発見
後全部スルー
404 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/11/15(木) 17:26:40 凋落著しい膿豚と農奴32を外してAVGとBitDefenderとavast!を入れるべき。 あとDr.Webも復活傾向だからここに入れてみる価値はある。
IkarusとVBA32とDr.Webの検出報告してみたいけどクレカないから無理。 誰か興味のある人やってみて。
カスペ、AntiVir、AVG、BitDefender>avast!>>>>>>>>>>>>>>>>>>>>>>>>>>>>キングソフト>>>>>>>>>>>>>>ウイルスセキュリティ>>>>>>>>>>>>>>>>「ス」、膿豚、馬鹿フィー
カスペ、AntiVir、AVG、BitDefender>avast!>>>>>>>>>>>>>>>>>>>>>>>>>>>>キングソフト>>>>>>>>>>>>>>ウイルスセキュリティ>>>>>>>>>>>>>>>>「ス」、膿豚、馬鹿フィー
カスペ、AntiVir、AVG、BitDefender>avast!>>Dr.Web、Ikarus、VBA32、VirusBuster(ハンガリー)、Panda>>>>>>>>>>>>>>>>>>>>>キングソフト>>>>>>>>>>>>>>ウイルスセキュリティ>>>>>>>>>>>「ス」、膿豚、馬鹿フィー
カスペ、AntiVir、AVG、BitDefender>avast!>>Dr.Web、Ikarus、VBA32、VirusBuster(ハンガリー)、Panda>>>>>>>>>>>>>>>>>>>>>キングソフト>>>>>>>>>>>>>>ウイルスセキュリティ>>>>>>>>>>>「ス」、膿豚、馬鹿フィー
AVGは論外
農奴32厨があちこちで自爆テロしてますwwwww
カスペ、AntiVir、AVG、BitDefender>avast!>>Dr.Web、Ikarus、VBA32、VirusBuster(ハンガリー)、Panda>>>>>>>>>>>>>>>>>>>>>キングソフト>>>>>>>>>>>>>>ウイルスセキュリティ>>>>>>>>>>>「ス」、膿豚、馬鹿フィー
このスレでの基準 最強:AntiVir、AVG、カスペ 次点:BitDefender 復活傾向:Dr.Web よくわからん:avast! 躍進の可能性あり:Ikarus、VBA32(?) もうだめぽ:ノートン、マカフィー、NOD32
農奴32厨の自爆テロwwww
農奴32は軽いだけのゴミ VBA32、Dr.Webの足元にも及ばないゴミソフト
岡山農奴32厨マジ死ねよ
AVG(笑)
ESET倒産してください
163 :
名無しさん@お腹いっぱい。 :2007/11/15(木) 18:18:44
AVG(笑)
駆除テスト
ttp://www.anti-malware-test.com/?q=node/28 Poor
Eset NOD32 Antivirus 2.7 (18%)
↑McAfeeやバスターにすら及ばず
Webサイト4万ページに不正スクリプト トルコのMSNBCも感染
ttp://www.itmedia.co.jp/news/articles/0711/09/news019.html ttp://isc.sans.org/diary.html?storyid=3621 スルー avast McAfee NOD32等
「YouTube」の偽サイト出現、ウイルスをFlash Playerに見せかける
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071113/287050/ ttp://www.castlecops.com/p1021499-MD5_29a8b08786a6a5bd253df5b2a42e7979_install_flash_player.html スルー AntiVir avast BitDefender McAfee NOD32等
r;ァ'N;:::::::::::::,ィ/ >::::::::::ヽ
. 〃 ヽル1'´ ∠:::::::::::::::::i
i′ ___, - ,. = -一  ̄l:::::::::::::::l
. ! , -==、´r' l::::::/,ニ.ヽ
l _,, -‐''二ゝ l::::l f゙ヽ |、 どんなウイルスよりも、
レー-- 、ヽヾニ-ァ,ニ;=、_ !:::l ) } ト
ヾ¨'7"ry、` ー゙='ニ,,,` }::ヽ(ノ さっぱり駆除できずPoorなNOD32を
:ーゝヽ、 !´ " ̄ 'l,;;;;,,,.、 ,i:::::::ミ
::::::::::::::::ヽ.-‐ ト、 r'_{ __)`ニゝ、 ,,iリ::::::::ミ 使っている方が恐ろしい。
::::::::::::::::::::Vi/l:::V'´;ッ`ニ´ー-ッ-,、:::::`"::::::::::::::;゙ ,
:::::::::::::::::::::::::N. ゙、::::ヾ,.`二ニ´∠,,.i::::::::::::::::::::///
:::::::::::::::::::::::::::::l ヽ;:::::::::::::::::::::::::::::::::::::::::::/ /
::::::::::::::::::::::::::::::! :|.\;::::::::::::::::::::::::::::::/ /
駆除テスト
ttp://www.anti-malware-test.com/?q=node/28 Poor
Eset NOD32 Antivirus 2.7 (18%)
↑McAfeeやバスターにすら及ばず
Webサイト4万ページに不正スクリプト トルコのMSNBCも感染
ttp://www.itmedia.co.jp/news/articles/0711/09/news019.html ttp://isc.sans.org/diary.html?storyid=3621 スルー avast McAfee NOD32等
「YouTube」の偽サイト出現、ウイルスをFlash Playerに見せかける
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071113/287050/ ttp://www.castlecops.com/p1021499-MD5_29a8b08786a6a5bd253df5b2a42e7979_install_flash_player.html スルー AntiVir avast BitDefender McAfee NOD32等
r;ァ'N;:::::::::::::,ィ/ >::::::::::ヽ
. 〃 ヽル1'´ ∠:::::::::::::::::i
i′ ___, - ,. = -一  ̄l:::::::::::::::l
. ! , -==、´r' l::::::/,ニ.ヽ
l _,, -‐''二ゝ l::::l f゙ヽ |、 どんなウイルスよりも、
レー-- 、ヽヾニ-ァ,ニ;=、_ !:::l ) } ト
ヾ¨'7"ry、` ー゙='ニ,,,` }::ヽ(ノ さっぱり駆除できずPoorなNOD32を
:ーゝヽ、 !´ " ̄ 'l,;;;;,,,.、 ,i:::::::ミ
::::::::::::::::ヽ.-‐ ト、 r'_{ __)`ニゝ、 ,,iリ::::::::ミ 使っている方が恐ろしい。
::::::::::::::::::::Vi/l:::V'´;ッ`ニ´ー-ッ-,、:::::`"::::::::::::::;゙ ,
:::::::::::::::::::::::::N. ゙、::::ヾ,.`二ニ´∠,,.i::::::::::::::::::::///
:::::::::::::::::::::::::::::l ヽ;:::::::::::::::::::::::::::::::::::::::::::/ /
::::::::::::::::::::::::::::::! :|.\;::::::::::::::::::::::::::::::/ /
168 :
109 :2007/11/15(木) 18:53:07
>>108 Risingより
2.文件名:GetHashes.exe
不是病毒
3.文件名:ee4.htm
病毒名:Trojan.DL.Script.VBS.Agent.xiv
4.文件名:e.js
病毒名:Trojan.DL.Script.JS.Agent.lrs
5.文件名:zs.exe
病毒名:Trojan.DL.Win32.Mnless.bb
6.文件名:1.htm
病毒名:Trojan.DL.Script.VBS.Agent.xiu
7.文件名:haha.htm
不是病毒
8.文件名:mp3
不是病毒
9.文件名:bpssr.exe
不是病毒
10.文件名:tet.php
病毒名:Hack.Exploit.Script.JS.Agent.bl
11.文件名:vip.exe
病毒名:Worm.Win32.Agent.zcf
12.文件名:Install1216.exe
病毒名:Trojan.Win32.Mnless.zif
> このスレでの基準 > 最強:AntiVir、AVG、カスペ > 次点:BitDefender 軽薄短小なオタクユーザーが多いAVが上位ですなw
10 名前:名無しさん@お腹いっぱい。 投稿日:2007/11/15(木) 18:30:27
Packerを軒並み有害判定するようじゃだめでしょ。
有害な物を検知する可能性は上がるけど、比例して誤検知も増える。
以下はWindowsXPSP2のnotepad.exe(メモ帳)をUpack0.399で固めたテスト。
ttp://www.virustotal.com/jp/resultado.html?43539692951704a847521509b4b7183d Authentium 4.93.8 2007.11.14 Possibly a new variant of W32/Threat-SysVenFakU-based!Maximus
CAT-QuickHeal 9.00 2007.11.14 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.11.15 PUA.Packed.UPack-2
eSafe 7.0.15.0 2007.11.14 Suspicious File
F-Prot 4.4.2.54 2007.11.14 W32/Threat-SysVenFakU-based!Maximus
Ikarus T3.1.1.12 2007.11.15 Trojan-Dropper.Win32.Microjoin.R
McAfee 5163 2007.11.14 New Malware.aj
Norman 5.80.02 2007.11.14 W32/Suspicious_U.gen
Sophos 4.23.0 2007.11.15 Mal/EncPk-C
Sunbelt 2.2.907.0 2007.11.15 VIPRE.Suspicious
TheHacker 6.2.9.129 2007.11.15 W32/Behav-Heuristic-060
VirusBuster 4.3.26:9 2007.11.14 Packed/Upack
Webwasher-Gateway 6.0.1 2007.11.15 Win32.Malware.gen (suspicious)
171 :
119 :2007/11/15(木) 19:59:35
>>108 カスペ7。検体提出後。(1/GetHashes.exe以外全部黒)
11/12
detected: Trojan program Trojan-Downloader.JS.Agent.adz File: tane_uljp00166.zip/malware/0/du6.htm
detected: Trojan program Trojan-Downloader.VBS.Agent.gp File: tane_uljp00166.zip/malware/2/ee4.htm
detected: Trojan program Trojan-Downloader.JS.Small.ib File: tane_uljp00166.zip/malware/3/e.js
detected: Trojan program Trojan-Downloader.Win32.Losabel.q File: tane_uljp00166.zip/malware/4/zs.exe
detected: Trojan program Trojan-Downloader.VBS.Agent.gr File: tane_uljp00166.zip/malware/5/1.htm
detected: Trojan program Trojan-Downloader.JS.Psyme.tw File: tane_uljp00166.zip/malware/6/haha.htm
detected: Trojan program Trojan-Downloader.JS.Psyme.tv File: tane_uljp00166.zip/malware/7/mp3
detected: riskware not-a-virus:Downloader.Win32.BPSSpywareRemover.a File: tane_uljp00166.zip/malware/8/bpssr.exe
detected: malware Exploit.JS.Agent.ce File: tane_uljp00166.zip/malware/9/tet.php
detected: virus Worm.Win32.AutoRun.bm File: tane_uljp00166.zip/malware/a/vip.exe
detected: malware not-virus:Hoax.Win32.Renos.rz File: tane_uljp00166.zip/malware/b/Install1216.exe
GetHashes.exe_
No malicious code was found in this file.
Please quote all when answering.
174 :
173 :2007/11/16(金) 04:12:22
ごめんidentifiedだけだった。対応はまだかもね。
キラー
>>173 0\baidu1.cab>>baidu.exe>>upack0.39
6\014.exe>>upack0.39
6\bd.cab>>bd.exe>>upack0.39
Trojan.Win32.Mnless.zgw
6\11.js
Trojan.DL.Script.JS.Agent.lrl
7\p28on.gif>>Aspack212r>>upx_c
Trojan.DL.Win32.Inject.l
>>174 5\x.exe
Trojan.DL.Win32.Mnless.bb
解析班乙
McAfee
>>173 ・New Malware.aj
0\baidu1.cab
6\014.exe
6\bd.cab (014.exeとバイナリ一緒)
>>174 スルー
未提出だったものはお使いに行ってきます
解析乙です
ウイルスバスター2008
>>173 baidu.cab\baidu.exe: WORM_JALOUS.AI
>>174 スルー
残りは送信済み
180 :
名無しさん@お腹いっぱい。 :2007/11/16(金) 13:53:29
avgにしたらメモリを50MBも食った・・・ avastの時は30MBだったのに・・・ 誰だよavgは軽い方だとか言ったの?それは動きが軽いってことか? ヘボPCの俺のとこはメモリ食って重いんだが。。即、戻した。レジストリぐちゃぐちゃ(笑
↑まともにウイルス検出できない農奴32厨
NOD厨の荒らしが以前にも増して酷くなってるな。
;';';';';';';'| `''丶V/〃ソ ヾ ;';';';';';';'l ゞ :; ';';';';';';'/ ____ |::| ;';';';'; / ─ニ三彡ノ 、__ |;l ヘヾ;';'; -=tiァx イ チ─三;_|;l ハ}l;';' / {| kャz、 `|l ///// '!ヽ///`'| | / _ } / トl| _,.ヘ〃ゝィ,ノ | | :l ,.ト レ / ヾ -ニー-=\ / NODユーザーや ヽ. . . . .  ̄=-'´ ` / あとはどう捕らえようとそちら側の自由やけど、 `' : : : : . . / 俺らは言うてません `'ヾ: : : : : : : : : : :/ ==== '´|
184 :
177 :2007/11/16(金) 19:03:58
>>173 Risingより
1.文件名:bb.js
不是病毒
2.文件名:ppp.js
不是病毒
3.文件名:p78.gif
病毒名:Trojan.PSW.Win32.QMOnline.ed
>>186 BitDefender
001\allnew.exe Infected: Dropped:Trojan.BHO.NYA
002\setup.exe=>(NSIS o)=>zlib_nsis0001 Detected: Adware.SpywareSoftStop.B
002\setup.exe=>(NSIS o)=>zlib_nsis0002 Detected: Adware.SpywareSoftStop.B
002\setup.exe=>(NSIS o)=>zlib_nsis0004 Detected: Adware.SpywareSoftStop.B
002\setup.exe.VIR=>(NSIS o)=>zlib_nsis0001 Detected: Adware.SpywareSoftStop.B
002\setup.exe.VIR=>(NSIS o)=>zlib_nsis0002 Detected: Adware.SpywareSoftStop.B
002\setup.exe.VIR=>(NSIS o)=>zlib_nsis0004 Detected: Adware.SpywareSoftStop.B
>>186 続いてAVGAM
001\allnew.exe:Trojan horse Dropper.Delf.NA
003\win32.exe:Trojan horse SHeur.AALS
AVGのヒューリスティックはしょぼいと思ってたけど案外そうでもないね。
>>186 最後にAntiVir
001\allnew.exe
[DETECTION] Is the Trojan horse TR/BHO.BT.3
002\setup.exe
[DETECTION] Contains detection pattern of the dropper DR/Agent.ZV.3
003\win32.exe
[DETECTION] Is the Trojan horse TR/Spy.Banker.Gen
AntiVirだけが全部検出
BitDefenderはたくさん検出したけどファイルの中も細かく分析するからああいう結果になったんだろうな、だけど3種類全部検出できてなかった。
AVGは検出報告が一番大変。
失礼よく見たらBitDefenderの検出報告内容はなんかおかしいなと思ったら重複してるものがあった↓ 002\setup.exe.VIR=>(NSIS o)=>zlib_nsis0001 Detected: Adware.SpywareSoftStop.B 002\setup.exe.VIR=>(NSIS o)=>zlib_nsis0002 Detected: Adware.SpywareSoftStop.B 002\setup.exe.VIR=>(NSIS o)=>zlib_nsis0004 Detected: Adware.SpywareSoftStop.B ここは無視してもいいですorz
それとスパイウェアといってたもののAVGはトロイの木馬として検出したのでこれは無料版でも検出できる。
>>186 キラー19.49.42
003\win32.exe
Trojan.Spy.Win32.Banbra.etq
001はそのまま、002はでかいのでsetup.exeを解凍してRisingに送りました
BitDefenderはsetup.exeの中の
SpywareSoftStop.exe
SpywareSoftStopUpdate.exe
SSS.sys
の3つをAdware.SpywareSoftStop.Bで検出してるね
さらに補足としてBitDefenderは002\setup.exeは検出できたものの隔離できず、隔離・駆除できるのは001\allnew.exeファイルだけ
>>186 ane_uljp00169\spy\003には何が入ってたの?
ane_uljp00169\spy\003にファイルが一つもないし
解凍した瞬間にSpywareTerminatorのHIPSが反応したんだけど?
>>186 ウイルスバスター2007
allnew.exe ->TROJ_BHO.LU
残りは提出しておきます
>>186 カスペ7
削除しました: トロイの木馬 Trojan-Dropper.Win32.Agent.cmy ファイル: spy\001\allnew.exe
削除しました: リスクウェア not-a-virus:FraudTool.Win32.SpywareSoftStop.e ファイル: spy\002\setup.exe//data0002
削除しました: アドウェア not-a-virus:AdWare.Win32.TrustCleaner.426 ファイル: spy\002\setup.exe//data0005
削除しました: トロイの木馬 Trojan-Spy.Win32.Banker.gbr ファイル: spy\003\win32.exe
おっと、一応。
カスペ7
>>173 ファイル 6\014.exe//PE_Patch//UPack: ウイルス 'Worm.Win32.Downloader.as' を検知しました。
ファイル 6\bd.cab//bd.exe//PE_Patch//UPack: ウイルス 'Worm.Win32.Downloader.as' を検知しました。
>>174 ファイル 7\p28on.gif: ウイルス 'Virus.Win32.AutoRun.adl' を検知しました。
ファイル 7\p78.gif//BeRo//PE_Patch.UPX//UPX//PE_Patch.MaskPE: トロイの木馬 'Backdoor.Win32.Delf.cfu' を検知しました。
198 :
197 :2007/11/17(土) 07:11:55
199 :
名無しさん@お腹いっぱい。 :2007/11/17(土) 13:06:28
>>186 McAfee
001\allnew.exe : Generic Downloader.ab
ファイル名 allnew.exe 受理 AntiVir 7.6.0.34 2007.11.16 TR/BHO.BT Avast 4.7.1074.0 2007.11.16 Win32:BHO-GN AVG 7.5.0.503 2007.11.17 Dropper.Delf.NA BitDefender 7.2 2007.11.17 Dropped:Trojan.BHO.NYA CAT-QuickHeal 9.00 2007.11.16 TrojanDropper.Agent.cmy ClamAV 0.91.2 2007.11.17 Trojan.BHO-1051 DrWeb 4.44.0.09170 2007.11.16 Trojan.DownLoader.origin eTrust-Vet 31.2.5302 2007.11.17 Win32/VMalum.BSIK Ewido 4.0 2007.11.16 Dropper.Agent.cmy F-Secure 6.70.13030.0 2007.11.16 Trojan-Dropper.Win32.Agent.cmy Ikarus T3.1.1.12 2007.11.17 Trojan-Dropper.Win32.Mudrop.bn Kaspersky 7.0.0.125 2007.11.17 Trojan-Dropper.Win32.Agent.cmy McAfee 5165 2007.11.16 Generic Downloader.ab NOD32v2 2665 2007.11.17 probably unknown NewHeur_PE virus Norman 5.80.02 2007.11.16 W32/Agent.DCVJ Panda 9.0.0.4 2007.11.17 Suspicious file Prevx1 V2 2007.11.17 Heuristic: Suspicious File With Bad Parent Associations Sophos 4.23.0 2007.11.17 Mal/Generic-A Sunbelt 2.2.907.0 2007.11.17 Trojan.BHO.NYA VBA32 3.12.2.5 2007.11.16 Trojan.Win32.BHO.bt Webwasher-Gateway 6.0.1 2007.11.16 Trojan.BHO.BT.3
ノートン m9(^Д^)プギャー
ファイル名 win32.exe AntiVir 7.6.0.34 2007.11.16 TR/Spy.Banker.Gen AVG 7.5.0.503 2007.11.17 SHeur.AALS ClamAV 0.91.2 2007.11.17 PUA.Packed.Themida F-Secure 6.70.13030.0 2007.11.16 Trojan-Spy.Win32.Banker.gbr Ikarus T3.1.1.12 2007.11.17 Backdoor.Win32.Hupigon.cal Kaspersky 7.0.0.125 2007.11.17 Trojan-Spy.Win32.Banker.gbr Norman 5.80.02 2007.11.16 W32/Hupigon.BMPK Sunbelt 2.2.907.0 2007.11.17 VIPRE.Suspicious TheHacker 6.2.9.132 2007.11.16 W32/Behav-Heuristic-064 Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Spy.Banker.Gen setup.exeは複数のファイルが含まれてた影響からかVTスキャンできなかった
AV・FWともにザル、ソフトは不具合だらけ。 それがESETご自慢の「ス」
カスペスルー 送った VTではほとんどあれだった Upackというのもあるけどね
Packerについては疑わしきは罰するみたいなソフト(
>>170 )もあるからなぁ。
>>186 Risingより
1.文件名:allnew.exe
病毒名:Dropper.Win32.Agent.yqj
setup.exeの中身は不是病毒
>>205 キラースルー
209 :
206 :2007/11/17(土) 20:35:57
>>205 Trojan-PSW.Win32.QQRob.pl
>>205 チェックしようと思ったがCRCエラーで解凍不能。
数回ダウンロードをリトライしてみたがNGなので再うp希望
>>205 乙
3時間ほど悩んでpassがやっと判ったと思ったら対応してた。
ノートン
Downloader
>>210 乙乙乙
「パスワードが違います」
0603
216 :
213 :2007/11/17(土) 22:20:06
>>216 把握した
ウイルスバスター2008
0603.exe: Possible_Infostl
ヒューリスティック検出なので検体提供済み
おけ。 Dr.WEB unknown.zip - archive ZIP >unknown.zip/unknown.exe packed by UPACK >>unknown.zip/unknown.exe packed by MASKPE >>>unknown.zip/unknown.exe packed by BINARYRES >>>>unknown.zip/unknown.exe packed by MASKPE In file >>>>>unknown.zip/unknown.exe found virus Trojan.DownLoader.origin すげー多重Packer。
219 :
217 :2007/11/17(土) 22:27:44
検体を送信する前にCPRで検索掛けたら 0603.exe: TSPY_ONLINEG.IVT で検出された。
マルウェアカワユス
>>220 > Hi,
>
> We have received the file you have sent and have verified that it contain malicious codes. We have created a detection that will flag this as W32/NotLaugh!tr, and will be included in the next Virus Signature update.
>
> Regards,
>
> AV Lab - Zandro
>
> To submit a suspicious file to Fortinet:
>
ttp://www.fortinet.com/FortiGuardCenter/virus_scanner.html
223 :
208 :2007/11/18(日) 12:16:04
>>205 Risingより
1.文件名:0603.exe
病毒名:Trojan.PSW.Win32.QQPass.yxv
AVG Generic9.VPQ CAT-QuickHeal (Suspicious) - DNAScan eSafe Suspicious File Kaspersky Heur.Trojan.Generic NOD32v2 probably a variant of Win32/Genetik Panda Suspicious file Sophos Mal/Basine-C Webwasher-Gateway Virus.Win32.FileInfector.gen!90 (suspicious) 8/32社 というファイル、微妙だよね。
CAT-QuickHeal (Suspicious) - DNAScan
これは意味がよくわからない。
>>170 も然り。
とにかくよく見かける。
どこのメーカー???
AntiVir TR/Dropper.Gen Panda Suspicious file Webwasher-Gateway Trojan.Dropper.Gen 3/32社 というのは白だよね
Ikarus Trojan-Spy.Finanz.J Prevx1 Heuristic: Suspicious Self Modifying File Sophos Mal/Behav-112 3/32社 これも多分・・・
VTでも、32社が無害と判定しても、実は黒であることはあるよ。 注意: VirusTotal は Hispasec Sistemas により提供される無料サービスです。このサービスの有用性と継続性については何の補償もありません。 複数のアンチウイルスエンジンにより与えられる検出率はたった 1つの製品によって得られるもの よりも遥かに高いものですが、これらの結果はファイルが無害であることを保証しません。 現在、ウイルスやマルウェアを100%検出するための解決策は何もありません
>>235 乙
AVGAM:スルー
BitDefender
tane_uljp00171\setup_001\setup.exe=>(Instyler o)=>(Instyler Module 0) Detected: Adware.SpywareSoftStop.B
tane_uljp00171\setup_001\setup.exe=>(Instyler o)=>(Instyler Module 1) Detected: Adware.SpywareSoftStop.B
tane_uljp00171\setup_001\setup.exe=>(Instyler o)=>(Instyler Module 2) Detected: Adware.SpywareSoftStop.B
AntiVir
tane_uljp00171\setup_001\setup.exe
[DETECTION] Is the Trojan horse TR/Drop.Agent.EFB
なお今回もBitDefenderは検出できても隔離・駆除できず、こういうのは無理なんだろうな。
237 :
235 :2007/11/18(日) 20:31:44
自分にはファイルをばらすテクと度胸ないので…
>>235 ttp://www.virustotal.com/jp/resultado.html?6ff564e195ae6dd388734aec143f017c ファイル名 setup.exe 受理 2007.11.18 12:59:20 (CET)
結果: 12/32 (37.5%)
AntiVir 7.6.0.34 2007.11.16 TR/Drop.Agent.EFB
Avast 4.7.1074.0 2007.11.18 Win32:Zapchast-CN
BitDefender 7.2 2007.11.18 Adware.SpywareSoftStop.B
DrWeb 4.44.0.09170 2007.11.17 Trojan.NtRootKit.393
Fortinet 3.11.0.0 2007.11.18 Misc/SpywareSoftStop
F-Secure 6.70.13030.0 2007.11.17 Smalltroj.BNTI
Ikarus T3.1.1.12 2007.11.18 Virus.Win32.Trojan
Kaspersky 7.0.0.125 2007.11.18 not-a-virus:FraudTool.Win32.SpywareSoftStop.e
Norman 5.80.02 2007.11.16 Smalltroj.BNTI
Prevx1 V2 2007.11.18 SpywareSoftStop:Spyware-a
Symantec 10 2007.11.18 Softstop
Webwasher-Gateway 6.0.1 2007.11.16 Trojan.Drop.Agent.EFB
AVGもEwidoも検出せず。。。 (ry
AVGもこういうときはあるさ。 それよりもDr.webの復活はいよいよ本物になってきたな。
>>239 > それよりもDr.webの復活はいよいよ本物になってきたな。
そうだね
12月のVB100が楽しみだね
>>235 カスペ7
二つか?
detected: riskware not-a-virus:FraudTool.Win32.SpywareSoftStop.e File: tane_uljp00171.zip/setup_001/setup.exe//file1
detected: adware not-a-virus:AdWare.Win32.TrustCleaner.426 File: tane_uljp00171.zip/setup_001/setup.exe//file3
>>236 を見ると、三つに見える。
けれど、分解する勇気がない。
>>241 BitDefenderでスキャンすると7つのファイルがありました↓
tane_uljp00171\setup_001\setup.exe=>(Instyler o)=>(Instyler Module 0) Detected: Adware.SpywareSoftStop.B
tane_uljp00171\setup_001\setup.exe=>(Instyler o)=>(Instyler Module 1) Detected: Adware.SpywareSoftStop.B
tane_uljp00171\setup_001\setup.exe=>(Instyler o)=>(Instyler Module 2) Detected: Adware.SpywareSoftStop.B
tane_uljp00171\setup_001\setup.exe=>(Instyler o)=>(Instyler Module 3) OK
tane_uljp00171\setup_001\setup.exe=>(Instyler o)=>(Instyler Module 4) OK
tane_uljp00171\setup_001\setup.exe=>(Instyler o)=>(Instyler Module 5) OK
tane_uljp00171\setup_001\setup.exe=>(Instyler o)=>(Instyler Module 6) OK
243 :
241 :2007/11/18(日) 21:51:14
>>242 d。
一応、ほかの4つも怪しいので提出しておきます。
244 :
241 :2007/11/18(日) 22:20:14
>>235 Hello,
setup.exe_ - not-a-virus:FraudTool.Win32.SpywareSoftStop.e
This file is already detected by our extended bases as a potentially risk program
.(すでにリスクウェアとして検知済み)
If you know purpose of this program then there's no need to bother, just add it to exclusion list, else there is unknown malicious software on your computer possibly. You can do this:
(プログラムの目的を知っているなら除外リストに入れろ、でなければ、悪意のある未知のプログラムに感染しているかもしれないから、ユーティリティを使って、システム情報をうpしる。解析してやる。)
Please download and run utility from
ftp://ftp.kaspersky.com/utils/getsysteminfo/GetSystemInfo.exe Create text report and upload it to
http://www.kaspersky.ru/helpdesk.html Our support team will analize your report.
Please quote all when answering.
ということで、感染させているヒマもないし、ロシア人と意思疎通も面倒くさいので、終了w
Risingはリスクウェア検出しないから送らなくていいか
>>186 も不是だったし無駄だ
で今回はInno Setupで圧縮されてるからキラーは中身の検査できないorz
>>240 むしろ期待がかかるのはAV-Comparativesのプロアクティブテストじゃないか?
ここでの検出テストはいわゆるAV-Comparativesのプロアクティブテストに近いでしょ。
どれだけ新種や亜種に強いか?どれだけ新種や亜種の対応が早いかのテストするスレなんだから。
でもAV-Comparativesのテスト方法はどうなるんだろ?
どれだけ新種や亜種の対応が早いか、はプロアクティブテストに近いのか というかオンデマンドスキャンして遊んでるだけかと思ってたんだが、テストのつもりだったのか 調査でも検査でもテストでも何でもないから可否スレになったんだけどな
>というかオンデマンドスキャンして遊んでるだけかと思ってたんだが 検体をスキャンテストして未検出なら検体提供するのが遊んでるだけって・・・
ここに上げられるブツが全てと勘違いしてないか たかが一部のブツ、しかも既に提出ずみばかりなのに ここのやつがブツをつくってるならまだしも だから遊びだろ
>>249-250 参考指標というのがわからない馬鹿
だから膿豚や農奴32はいつまでもたってもザルの糞ソフトなんだなww
遊びたいの?俺も遊びたいんだけど…
>>226 >>228 >>230 >>231 の、4つは自然にまかせてメーカーの対応状況を一週間ぐらい個人的に眺めたいんだけど・・・。
一社だけには済。
VTも一応ノン配布にチェック。
このスレで常時赤点の農奴32の信者が暴れております
遊びというか検出ごっこでしかないってw 未検出だと思ったら特殊なPackerにくるまってただけで実は対応済みだったとか ここにいるほとんどの連中が試してもねえし分かんねえだろ そもそも検体をあげる奴がまずVTに放り込むべきあって 盛り上げるためにわざわざみんなにやらせてやってんのに真剣に検出してるのかよ 真剣なのはキングソフトに送ってUSBメモリを貰おうと思ってる乞食だけだと思ってたわw
↑検出できないからって泣くなよ農奴32厨wwwwwwwwwwww
参考指標にもなってねぇよw オタクユーザーの多いAVメーカーがこの遊びだと強いだけだな。 ここ見てても判るけど、オタクが必死に検体提供しているし だけどお前らオタクが必死に集めてる検体は全体からすれば1%にも満たない。 しかも、その1%にも満たない検体はオタクが集めれる程度のものでしかない。
で、このスレでやってることはAV-Comparativesのプロアクティブテストに近いんですか?
やれやれまた例のキチガイかw
260 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:01:08
空気読まずにいろんなスレ荒らす農奴32厨死ね そんなにDr.webが嫌いなのかw
参考って。 少なくともこのスレを参考にしてアンチウイルスを決める奴は相当アレだと思うけど。 持ってくる検体もスパイウェアが多いし。
262 :
252 :2007/11/19(月) 00:03:17
マイメーカーだけは送るだけ送っとかないと自爆とかあるかも知れないしw
農奴32厨語録:オタク
NOD32の評判なんかどうだっていいし限りなく悪くなりゃいいが AV-Comparativesのテストに近いとか言う妄言はさすがにどうかと 自意識過剰すぎじゃないかね
ここの結果から検出性能を語るのが最近の風潮でうざい。 特にAVG厨
266 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:08:38
NOD厨はVB100(笑)でオナってろ
>>267 だから?
このスレがその役割を担ってる?
検出可否スレだろ
【信者】【禁止】
270 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:18:38
危険なウイルスも検出できないNODはすっこんでろ
Webサイト4万ページに不正スクリプト トルコのMSNBCも感染
ttp://www.itmedia.co.jp/news/articles/0711/09/news019.html ttp://isc.sans.org/diary.html?storyid=3621 スルー avast McAfee NOD32等
「YouTube」の偽サイト出現、ウイルスをFlash Playerに見せかける
ttp://itpro.nikkeibp.co.jp/article/NEWS/20071113/287050/ ttp://www.castlecops.com/p1021499-MD5_29a8b08786a6a5bd253df5b2a42e7979_install_flash_player.html スルー AntiVir avast BitDefender McAfee NOD32等
駆除テスト
ttp://www.anti-malware-test.com/?q=node/28 Poor
Eset NOD32 Antivirus 2.7 (18%)
↑McAfeeやバスターにすら及ばず
r;ァ'N;:::::::::::::,ィ/ >::::::::::ヽ
. 〃 ヽル1'´ ∠:::::::::::::::::i
i′ ___, - ,. = -一  ̄l:::::::::::::::l
. ! , -==、´r' l::::::/,ニ.ヽ
l _,, -‐''二ゝ l::::l f゙ヽ |、 どんなウイルスよりも、
レー-- 、ヽヾニ-ァ,ニ;=、_ !:::l ) } ト
ヾ¨'7"ry、` ー゙='ニ,,,` }::ヽ(ノ さっぱり駆除できずPoorなNOD32を
:ーゝヽ、 !´ " ̄ 'l,;;;;,,,.、 ,i:::::::ミ
::::::::::::::::ヽ.-‐ ト、 r'_{ __)`ニゝ、 ,,iリ::::::::ミ 使っている方が恐ろしい。
::::::::::::::::::::Vi/l:::V'´;ッ`ニ´ー-ッ-,、:::::`"::::::::::::::;゙ ,
:::::::::::::::::::::::::N. ゙、::::ヾ,.`二ニ´∠,,.i::::::::::::::::::::///
:::::::::::::::::::::::::::::l ヽ;:::::::::::::::::::::::::::::::::::::::::::/ /
::::::::::::::::::::::::::::::! :|.\;::::::::::::::::::::::::::::::/ /
272 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:36:13
発狂してこのスレと関係ないものを貼りまくるなよ 俺はロシア人と文通したくて検体を送ってんだよ、それ以外の連中はボランティアだろ 崇高な活動でもしてるつもりか
274 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:37:29
275 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:38:40
276 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:39:09
不正スクリプトも偽youtubeも検出できない糞NOD
278 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:41:07
NODを一人で必死に叩いているのは相模原だな
>>279 まともな人ならEset製品をそれなりに認めている。
284 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:47:12
285 :
281 :2007/11/19(月) 00:48:45
>>283 どう考えてもバスターより遥かに優秀ですね。
ノートン、バスター>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>NOD32
287 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:50:35
うんこ汁飲みたい…
288 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:51:26
このスレもNOD厨に乗っ取られてこのスレオワタ
289 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:51:45
うんこ汁飲みたい…
検出可否スレなのに、試験とか検出性能とか 勘違いしたやつのコメントからだな。 荒れたのは
相模原=NOD32厨
292 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 00:57:24
うんこ汁飲みたい…
相模原=NOD32厨
294 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 01:00:34
うんこ汁飲みたい…
NOD32は最優秀のAV
とキチガイが懲りもせずに自演荒らししてますw キチガイ=相模原市=夜中に強いです
うんこ死ね
うんこ汁飲みたい…
299 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 01:12:01
参考指標にもなってねぇよw オタクユーザーの多いAVメーカーがこの遊びだと強いだけだな。 ここ見てても判るけど、オタクが必死に検体提供しているし だけどお前らオタクが必死に集めてる検体は全体からすれば1%にも満たない。 しかも、その1%にも満たない検体はオタクが集めれる程度のものでしかない。
その通り
302 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 01:30:36
うんこ汁飲みたい…
AVG糞杉ワロタwwwwwwwww
まあ一部を除いて、遊びということを理解してるから大丈夫
>>300 くその役にも立ってないお前に比べればましだと思うがなw
まともな人ならEset製品をそれなりに認めている。
NOD糞杉ワロタwwwwwwwwww
308 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 01:42:50
うんこ汁飲みたい…
>>280 ウイルスバスター2007
wmware.exeのみPossible_DRPR-3で検出
上も含めて提出
ニートが集うスレ
@はじめに 各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。 IDが無いため検出結果を張る際はSSを必ず張ってください。 うpろだはなるべく流れにくいところにしましょう。 特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
313 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 02:02:40
★☆★☆★☆★☆★☆★☆★☆ ☆★☆★☆★☆★☆★☆★☆★ ★☆.Windows Live OneCare.★☆ ☆★☆★☆★☆★☆★☆★☆★ ★☆★☆★☆★☆★☆★☆★☆
ノートン、バスター>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>NOD32
315 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 02:03:40
ノートン、バスター>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>NOD32
316 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 02:09:28
農奴32厨の工作の一例
AntiVir厨に成りすましてさりげに農奴32を勧める基地外連中
【Grisoft】AVG Internet Security 2【有償版】
http://pc11.2ch.net/test/read.cgi/sec/1192019704/ 816 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2007/11/14(水) 14:38:03
検出力と安定性ならAviraだろ。
しかもエンジンは10日に一度はアップデートする。
AVGなど足下にも及ばない。
まあAviraが嫌いならNODでもいいだろ。
317 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 02:12:50
このスレでも隠蔽工作に必死な農奴32厨
318 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 02:13:00
□キング・オブ・粘着のNODスレ主 雑音が、NODスレに自演を書き込む理由□
NOD32、Eset以外のスレでは、”FUD”や自演埋めで暴れて、そこのスレ住民を苦しめ、
製品の評判を下げる活動をしているが、NOD32、Esetのスレでは、
自演でスレが正常に機能しているように見せかけて、情報操作と独り言を快適に楽しめる場所にしたいから。
分かっているだけでも、四年以上前から、NODスレ主が同じ活動を続けてきたことを示すログ。
http://tmp6.2ch.net/test/read.cgi/tubo/1188230746/153 テンプレの
>>48 を読むと、初期のNOD32スレ Part1〜2の頃から、
己の敵を「基地外」と呼ぶのが好きだった雑音センセイが、
セキュリティ板に棲みついていたことが分かるっす。少なくとも2003年頃から。
俺達が分かる範囲でも、
雑音センセイの無職ヒキコモリ生活は4〜5年目に突入しているっす。
>★NOD32アンチウィルス Part12
>9 名前:名無しさん@お腹いっぱい。 [sage] 投稿日:04/03/19 03:29
>しかし何でここまでNOD32スレを潰しに掛るのかねぇ。
>元々、Part2の頃から粘着してNOD32を貶し続けていた基地外君。
>
>★NOD32アンチウィルス Part32
>25 名前:名無しさん@お腹いっぱい。 [sage] 投稿日:2006/04/25(火) 17:46:10
>このスレを必死に荒らし続ける基地外君が哀れでならない件について
>
>393 名前:名無しさん@お腹いっぱい。 [sage] 投稿日:2006/05/06(土) 18:31:25
>2003/04/12から粘着している基地外・・怖い ブルブル
319 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 02:13:57
★☆★☆★☆★☆★☆★☆★☆ ☆★☆★☆★☆★☆★☆★☆★ ★☆.Windows Live OneCare.★☆ ☆★☆★☆★☆★☆★☆★☆★ ★☆★☆★☆★☆★☆★☆★☆
このスレだめぽ
321 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 02:25:38
すぐに正体現す農奴32厨 このスレも農奴32厨の自演まみれ。 256 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2007/11/18(日) 23:59:18 参考指標にもなってねぇよw オタクユーザーの多いAVメーカーがこの遊びだと強いだけだな。 ここ見てても判るけど、オタクが必死に検体提供しているし だけどお前らオタクが必死に集めてる検体は全体からすれば1%にも満たない。 しかも、その1%にも満たない検体はオタクが集めれる程度のものでしかない。
322 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 02:26:13
うんこ汁飲みたい…
うひひひひひひひいいいひひいいひひひひいひひひいひいひいいひい
>>280 乙
ノートン
f.exe
Infostealer.Banker.D
残りは
>>3 経由で提出。
NAVで提出しようとするとメールサーバーが接続できないって出た。。。
sarcretもだめだったぁ。。。
>>231 はまだログがあるのでビクーリ。
> ファイル名 f.exe 受理 2007.11.18 06:22:00 (CET)
> 結果: 0/32 (0%)
> File size: 94720 bytes
> MD5: cf3acd887eab196412abdd6e6c407007
> SHA1: 1d18d699c287a24420d529224dc75f0cfde3a7fa
同じものを投げてみた。
http://www.virustotal.com/jp/resultado.html?874a8a8a583cefefa09d17d81a836dab ファイル名 f.exe 受理 2007.11.18 18:46:19 (CET)
結果: 6/32 (18.75%)
Ikarus T3.1.1.12 2007.11.18 Trojan-Spy.Finanz.J
Kaspersky 7.0.0.125 2007.11.18 Trojan-Spy.Win32.Banker.gco
Prevx1 V2 2007.11.18 Heuristic: Suspicious Self Modifying File
Sophos 4.23.0 2007.11.18 Mal/Dropper-Q
Symantec 10 2007.11.18 Infostealer.Banker.D
Webwasher-Gateway 6.0.1 2007.11.18 Trojan.Spy.Banker.gco
File size: 94720 bytes
MD5: cf3acd887eab196412abdd6e6c407007
SHA1: 1d18d699c287a24420d529224dc75f0cfde3a7fa
ふ
326 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 03:01:17
うんこ汁飲みたい…
>>280 > Dear Customer,
>
> Thank you for submitting the samples to us. Our analysis shows that they are viruses. Some samples have been detected. We have developed patterns to catch the rest of samples and will include detection in the next regular update.
>
> The samples that have been detected are bellow:
>
> f.exe - W32/Banker.GCO!tr.spy
> down.exe - W32/Agent.TO!tr.pws
>
> The rest of samples will be detected as follows:
>
> d.exe - W32/IRCBot.AQD!tr.bdr
> wmware.exe - W32/Webmoner.FF!tr.spy
>
>
> Best Regards,
>
> AV Lab - hexu
>
> To submit a suspicious file to Fortinet:
>
ttp://www.fortinet.com/FortiGuardCenter/virus_scanner.html
tp://ratan.dyndns.info/avast4/ESETSmartSecurity-test2.html
>>280 McAfeeこっちもスルーヽ(`Д´)ノ
>>332 ttp://www.virustotal.com/jp/resultado.html?c1f14ef804cb00a17a051c5974941c23 ファイル名 mod9099.zip 受理 2007.11.19 05:45:23 (CET)
結果: 27/32 (84.38%)
AhnLab-V3 2007.11.17.0 2007.11.19 -
eTrust-Vet 31.2.5304 2007.11.17 -
FileAdvisor 1 2007.11.19 -
Microsoft 1.3007 2007.11.19 -
Prevx1 V2 2007.11.19 -
追加情報
File size: 5967000 bytes
MD5: b8f211b22392bfd1121971e12f08d4a1
SHA1: 9f1d9512e5bf30b682014cfce2f846970b1c6d17
>>332 チェイサー反応あり。
DL遮断されました(中身の詳細分からず・・
あちこちでマルチしてんなぁ。 中身はかおる姫だよ。
>>280 カスペ7
たぶん、対応後
4/4
detected: Trojan program Backdoor.Win32.IRCBot.aqd tane_uljp00172.rar/002\226\d.exe
detected: Trojan program Trojan-Spy.Win32.Webmoner.ff tane_uljp00172.rar/002\228\wmware.exe
detected: Trojan program Trojan-PSW.Win32.Agent.to tane_uljp00172.rar/002\230\down.exe
detected: Trojan program Trojan-Spy.Win32.Banker.gco tane_uljp00172.rar/002\231\f.exe
338 :
名無しさん@お腹いっぱい。 :2007/11/19(月) 16:21:30
カスペいれたらクラナドウイルスにかなりファイルもってかれた 使えねえ Aviraもしかり NODとESSでは問題なく処理してくれたのに というわけで俺にとっちゃランキングなんて関係ねぇ
クラナド(笑)
>>332 ウイルスバスター2008
001.exe: TROJ_DELFILES.T
196 名前:名無しさん@お腹いっぱい。[] 投稿日:2007/11/19(月) 13:57:49 カスペいれたらクラナドウイルスにかなりファイルもってかれた 使えねえ Aviraもしかり NODとESSでは問題なく処理してくれたのに というわけで俺にとっちゃランキングなんて関係ねぇ
756 名前:名無しさん@お腹いっぱい。[] 投稿日:2007/11/19(月) 13:54:26 カスペいれたらクラナドウイルスにかなりファイルもってかれた 使えねえ Aviraもしかり NODとESSでは問題なく処理してくれたのに というわけで俺にとっちゃランキングなんて関係ねぇ
相変わらずJUST SYSTEMSはうざいな
.rarであげるのはやめてけれ><
>>341 ウイルスバスター2008
スルー 検体提供済み
rarでOK 圧縮率考えたらrarだろ
351 :
350 :2007/11/19(月) 22:38:54
>>350 AVGから対応済みってメールが来てた
失礼
352 :
349 :2007/11/19(月) 22:52:21
>>353 d
カスペ7
1/3
detected: Trojan program Trojan.Win32.DNSChanger.ik File: tane_uljp00176.zip/russia/pageticket2000.exe
検体提出します(´・ω・`)ショボーン
9aw01fo8.exeは破損している?
>>353 AVGAM
russia\9aw01fo8.exe:Trojan horse Downloader.Zlob
russia\g611b0ht.exe:Trojan horse Downloader.Zlob
russia\install_cn.exe:Trojan horse Downloader.Zlob
russia\pageticket2000.exe:Trojan horse Downloader.Zlob.NMR
BitDefender
russia\pageticket2000.exe Infected: DeepScan:Generic.Zlob.7.1FED44BB
AntiVir
russia\pageticket2000.exe
[DETECTION] Is the Trojan horse TR/DNSChanger.iik
358 :
353 :2007/11/19(月) 23:22:06
ファイル名 pageticket2000.exe. 結果: 28/32 (87.5%) AntiVir 7.6.0.34 2007.11.19 TR/DNSChanger.CA.3 Authentium 4.93.8 2007.11.19 is a security risk or a \"backdoor\" program Avast 4.7.1074.0 2007.11.19 Win32:PolyCrypt-D AVG 7.5.0.503 2007.11.19 Downloader.Zlob.NMR BitDefender 7.2 2007.11.19 DeepScan:Generic.Zlob.7.1FED44BB CAT-QuickHeal 9.00 2007.11.17 Win32.Trojan.DNSChanger.jc ClamAV 0.91.2 2007.11.19 Trojan.Small-1947 DrWeb 4.44.0.09170 2007.11.19 Trojan.Packed.166 eSafe 7.0.15.0 2007.11.14 Win32.DNSChanger.ik Ewido 4.0 2007.11.19 Trojan.DNSChanger.ik FileAdvisor 1 2007.11.19 High threat detected Fortinet 3.11.0.0 2007.11.19 W32/DNSChanger.IK!tr F-Prot 4.4.2.54 2007.11.18 W32/Malware!d64c F-Secure 6.70.13030.0 2007.11.19 Trojan.Win32.DNSChanger.ik Ikarus T3.1.1.12 2007.11.19 Virus.Trojan.Win32.DNSChanger.ik Kaspersky 7.0.0.125 2007.11.19 Trojan.Win32.DNSChanger.ik McAfee 5165 2007.11.16 DNSChanger.ik Microsoft 1.3007 2007.11.19 VirTool:Win32/Obfuscator.P NOD32v2 2668 2007.11.19 a variant of Win32/TrojanDownloader.Zlob Norman 5.80.02 2007.11.16 DNSChanger.JHE Rising 20.19.00.00 2007.11.19 Packer.RyCrypt Sophos 4.23.0 2007.11.19 Mal/EncPk-AW Sunbelt 2.2.907.0 2007.11.17 Trojan.Peed.Gen Symantec 10 2007.11.19 Trojan.Zlob TheHacker 6.2.9.133 2007.11.17 Trojan/DNSChanger.ik VBA32 3.12.2.5 2007.11.19 Trojan.DnsChange VirusBuster 4.3.26:9 2007.11.18 Trojan.DR.RunAtBoot.K Webwasher-Gateway 6.0.1 2007.11.19 Trojan.DNSChanger.iik
ファイル名 9aw01fo8.exe 結果: 4/32 (12.5%) Avast 4.7.1074.0 2007.11.19 Win32:Zlob-AFG AVG 7.5.0.503 2007.11.19 Downloader.Zlob CAT-QuickHeal 9.00 2007.11.17 TrojanDownloader.Zlob.gen NOD32v2 2668 2007.11.19 error occurred while reading archive
ファイル名 g611b0ht.exe 結果: 3/32 (9.38%) Avast 4.7.1074.0 2007.11.19 Win32:Agent-LTS AVG 7.5.0.503 2007.11.19 Downloader.Zlob CAT-QuickHeal 9.00 2007.11.17 TrojanDownloader.Zlob.gen
ウイルスバスター2008
>>353 pageticket2000.exe: TROJ_ZLOB.DJU
>>358 playcodec.exe: TROJ_ZLOB.ECI
残りは提出済み
ファイル名 install_cn.exe 結果: 4/32 (12.5%) Avast 4.7.1074.0 2007.11.19 Win32:Zlob-AFG AVG 7.5.0.503 2007.11.19 Downloader.Zlob CAT-QuickHeal 9.00 2007.11.17 TrojanDownloader.Zlob.gen Microsoft 1.3007 2007.11.19 BrowserModifier:Win32/Bonsws
364 :
356 :2007/11/20(火) 00:02:05
>>353 カスペからの返事
Zlobではなさそうな感じ。
Hello,
g611b0ht.exe - not-a-virus:AdWare.Win32.Vapsup.nh,
install_cn.exe - not-a-virus:AdWare.Win32.Agent.vb
These files are Advertizing Tools, theirs detection will be included in the next update of extended databases set. See more info about extended databases here:
http://www.kaspersky.com/extraavupdates Please quote all when answering.
--
Best regards, Vladimir Krylov
Virus analyst, Kaspersky Lab.
e-mail:
[email protected] http://www.kaspersky.com/
>>358 カスペ7
d
deleted: Trojan program Trojan.Win32.DNSChanger.abj File: tane_uljp00177.rar/playcodec.exe
キラー19.50.02
>>341 >>358 スルー
>>353 russia\pageticket2000.exe>>$TEMP\00.exe
>>01 .exe>>ryre_1
Packer.RyCrypt
>>358 > Dear customer,
>
> We have analyzed the sample you provided and developed the
> pattern to catch it. We will add detection for this sample in the next
> regular update.
>
> The samples you submitted will be detected as follows:
> "playcodec.exe" - "W32/DNSChanger.ABF!tr"
> "Copy of setup1.exe" - "W32/PackDNSChanger.A"
> "Copy of setup2.exe" - "W32/PackDNSChanger.A"
> "Copy of setup3.exe" - "W32/PackDNSChanger.A"
>
> Regards,
> AV Lab - Alex
>
> To submit a suspicious file to Fortinet:
>
ttp://www.fortinet.com/FortiGuardCenter/virus_scanner.html
McAfee
>>341 New Poly Win32 (ヒューリスティック)
画像にまでパスかけんでも…
>>353 pageticket2000.exe : DNSChanger.ik
>>358 スルーヽ(`Д´)ノ
アレ?誰かに自分の堀場を先越されてるのかな 検出しまくるよ 乙! それとも外人かな
最近ウイルスバスター、NOD32組が静かだね
>>365 あれ?
カスペ7 スルー。検体送って、
削除しました: トロイの木馬 Trojan-Dropper.Win32.Agent.csb ファイル: tane_uljp00177.rar/playcodec.exe
>>353 Risingより
1.文件名:9aw01fo8.exe
不是病毒
2.文件名:g611b0ht.exe
病毒名:AdWare.Win32.Agent.zeo
1.文件名:install_cn.exe
病毒名:AdWare.Win32.Agent.zev
2.文件名:pageticket2000.exe
病毒名:Trojan.Win32.DNSChanger.csn
同じくRisingより
>>341 1.文件名:p.exe
病毒名:Trojan.PSW.Win32.Agent.vpm
>>358 2.文件名:playcodec.exe
不是病毒
>>375 d
カスペ7
1/3
detected: Trojan program Trojan-Downloader.Win32.QQHelper.ahj File:\tane_uljp00178.zip/ttt/003/c.dll
検体提出します。
>>375 キラー
002\b.exe
Trojan.DL.Win32.Mnless.bz
003\c.dll
AdWare.Win32.Agent.zdw
>>375 ウイルスバスター2008
スルー
検体提供済み
>>380 lt1.exeはカスペに検体提出します。
>>380 ウイルスバスター2008
f5.exe: TSPY_ONLIG.LMM
検体提出済み
>>379 乙
Symantecにも贈りました
lt1.exe は反応無し
f5.exe はInfostealer.Gampass として検出
只、このサイトの仕掛けはNorton Internet Security 2008には効きません
このスレの住人はC:\System Volume Informationにバックアップされたウイルスはどう処理してる?
>>385 C:\System Volume Informationにバックアップされないようにしてる。
>>375 Risingより
1.文件名:a.dll
病毒名:AdWare.Win32.Cpush.t
389 :
381 :2007/11/21(水) 12:34:20
>>380 カスペからの返事
lt1.exeはトロイ
From:
[email protected] [mailto:
[email protected] ]
Sent: Wednesday, November 21, 2007 1:56 AM
Subject: RE: Please Inspect This File. A New Malware? lt1.exe [KLAB-3379426]
Hello,
lt1.exe_ - Trojan.Win32.Inject.ku
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Namestnikov Yury
Virus analyst, Kaspersky Lab.
e-mail:
[email protected] http://www.kaspersky.com/
>>380 Risingより
1.文件名:lt1.exe
病毒名:Trojan.Win32.Mnless.zlh
>>380 > Dear customer,
>
> We have analyzed the sample you provided and developed the
> pattern to catch it. We will add detection for this sample in the next
> regular update.
>
> The samples you submitted will be detected as follows:
> "lt1.exe-phpCpY30L" - "W32/Agent.BTA!tr"
> "bad" - "W32/Agent.BTA!tr"
>
> Regards,
> AV Lab - Alex
>
> To submit a suspicious file to Fortinet:
>
ttp://www.fortinet.com/FortiGuardCenter/virus_scanner.html
>>392 AVGAM
bbb\001\001.exe:Virus identified Obfustat.ZZV
bbb\002\002.exe:Trojan horse Agent.JHP
bbb\003\003.exe:Trojan horse PSW.Banker_c.FM
BitDefender
bbb\002\002.exe Infected: Trojan.Proxy.Xorpix.BS
bbb\003\003.exe Infected: DeepScan:Generic.Banker.OT.E63C7368
bbb\004\004.exe Infected: DeepScan:Generic.Banker.OT.0ABE4F66
AntiVir
bbb\001\001.exe
[DETECTION] Is the Trojan horse TR/Dldr.Agent.ZZ.A
bbb\002\002.exe
[DETECTION] Is the Trojan horse TR/Hijacker.Gen
003\003.exe
[DETECTION] Is the Trojan horse TR/Spy.Banker.Gen
004\004.exe
[DETECTION] Is the Trojan horse TR/Spy.Banker.Gen
>>392 d
カスペ7
絵は入っているけれど、一応…。
detected: Trojan program Trojan-Proxy.Win32.Xorpix.cj File:tane_uljp00179.zip/bbb/002/002.exe
detected: Trojan program Trojan-Spy.Win32.Banker.gex File:tane_uljp00179.zip/bbb/003/003.exe
detected: Trojan program Trojan.BAT.KillFiles.gh File:tane_uljp00179.zip/bbb/004/004.exe
001.exeは検体提出します。
なぜかVTスキャンできなかった・・・・
>>392 乙
Norton Internet Security 2008
001\001.exe をInfostealer.Banker.C として検出
残りはSymantecへ贈りました
VTちょっと変わったな すでにうpされたファイルはPermalinkにまとめられるようになった
VTは許可を与えた他人の結果を見られるようになったらめちゃくちゃ役に立つんだけどな VT自身がまとめた評でもいいけど
>>397 自己レス
と いうことは 最初にうpされた以降の対応状況がわからなくなった ということだ
ファイル名変えてもMD5変わらないし ちょっと やばいんじゃないの
よくわかんねーけどエンジンが更新されてもそうなんか? 期間によって変化するだろ じゃなかったらサービスとして成り立ってねーよ
401 :
394 :2007/11/21(水) 22:35:04
>>392 カスペからの返事
001.exe:有害判定。
ただし、検体名の記載が返事に漏れてるorz。とりあえず、アップデート待て。
Hello.
New malicious software was found in the attached file.
It's detection will be included in the next update. Thank you for your help.
--
Regards, Ilya Goncharov
Virus Analyst, Kaspersky Lab.
Ph.: +7(095) 797-8700
E-mail:
[email protected] http://www.kaspersky.com http://www.viruslist.com > Attachment: 001.rar
>>397 確かにVTは固定リンクになっているね。
鯖の負荷軽減が目的かな?
>>401 >検体名の記載が返事に漏れてる
その人はいつもそうだな。
Vladimir Krylovさんとかはちゃんと書いてくる。
>>402 d
カスペ7
スルー ( ̄□ ̄;)!!
検体提出します。
405 :
404 :2007/11/21(水) 23:50:37
カスペ7
アップデートしてなかった。検知してた。
>>402 detected: Trojan program Trojan-Spy.Win32.Zbot.da File:tane_uljp00180\3\index.exe
>>392 =
>>394 =
>>401 detected: Trojan program Trojan-Spy.Win32.Zbot.da File: tane_uljp00179.zip/bbb/001/001.exe
同じ奴?
406 :
402 :2007/11/22(木) 00:04:13
407 :
392 :2007/11/22(木) 00:10:29
(・3・)アルェ〜?ハッシュが同じだNE 設定6のサイト見つかっちゃったカナ? なかよくしようNE >VTのスキャン なんだかんだ回線負荷の問題ってなんでもつきまとうね
408 :
402 :2007/11/22(木) 00:24:31
>>407 > 設定6のサイト
いえ わかりませんw
俺はある解析サイトからたどっていきました
お互い頑張り(?)ましょう
キラー
>>392 002\002.exe
Trojan.Proxy.Win32.Xorpix.cj
>>402 スルー
ウイルスバスター2008
>>402 001.exe: TSPY_BANKRYPT.A
>>392 スルー 検体提供済み
411 :
409 :2007/11/22(木) 12:18:53
Risingより
>>392 1.文件名:001.exe
病毒名:Trojan.Win32.Mnless.zmk
2.文件名:004.exe
病毒名:Trojan.Spy.Win32.Banker.lxy
003は送ってません
>>402 3.文件名:cfg.bin
不是病毒
4.文件名:index.exe
病毒名:Trojan.Win32.Mnless.zmk
5.文件名:show_ads.js
不是病毒
VirusTotal Permalink問題について Reanalyse file now クリックすればよかったのねw VT退化じゃなくて進化だったw
ソフトの出来よりも利用者の出来に問題が有りそうなスレですね(*^_^*)
クズレスする暇あったら検体もってこい
触りなさんな、コピペ貼り回ってるだけだって
>>417 d
カスペ7
3/12
deleted: Trojan program Trojan-PSW.Win32.Nilage.bur File: \tane_uljp00181\malware11\5\vip.exe
deleted: Trojan program Trojan-Dropper.Win32.Agent.csr File: \tane_uljp00181\malware11\7\lese.exe
deleted: Trojan program Trojan.Win32.Pakes.bqf File: \tane_uljp00181\malware11\b\svch.exe
検体提出します。
>>417 AVG 7.5 Anti-Malware
Trojan horse PSW.OnlineGames.SQY
C:\WINDOWS\デスクトップ\MALWARE11\5\VIP.EXE
Trojan horse PSW.OnlineGames.STJ
C:\WINDOWS\デスクトップ\MALWARE11\7\LESE.EXE
Trojan horse Generic9.XUL
C:\WINDOWS\デスクトップ\MALWARE11\A\GMSEX.EXE
他スルー提出します
>>417 キングソフト
gmsex.exe
vip.exe
検出、他スルー
提出済み
>>417 ウイルスバスター2008
s999.js: JS_AGENT.ADWU
line.exe: TROJ_Generic.A
vip.exe: TSPY_LINEAGE.GLP
gmsex.exe: TROJ_AGENT.AGAC
残りは提出しました
>>417 乙
Norton Internet Security 2008
\5\vip.exe Infostealer.Lineage として検出
\0\s999.js Downloader として検出
残りはSymantecへ贈りました
>>417 キラー
5\vip.exe>>pecompact2x
Trojan.PSW.Win32.GameOnline.ahl
a\gmsex.exe
Trojan.PSW.Win32.QMOnline.ee
>>417 ,418
カスペ7
待ち人来たらず・・・。
とりあえず、2体追加検出。5/12
detected: Trojan program Trojan-PSW.Win32.OnLineGames.ins File: tane_uljp00181.zip/malware11/2/line.exe
detected: Trojan program Trojan-PSW.Win32.OnLineGames.iny File: tane_uljp00181.zip/malware11/a/gmsex.exe
眠たいから寝る。
>>425 追加
Trojan-Downloader.JS.Agent.afs \0\s999.js
not-a-virus:FraudTool.Win32.DeusCleaner.a \1\CleanerInstall.exe
Trojan-Downloader.JS.Agent.afr \6\le.htm
Trojan-Downloader.JS.Agent.aft \8\vv.js
今の定義だけで調べたので残りフォルダ3,4,9はなんともわからず
>>392 未検出分だけマカフィーに送っておいた
1と4
えーっと まずご自分でVirusTotalに上げてください常考。
430 :
428 :2007/11/24(土) 22:35:44
zipファイルのパスワードは DNS CHANGER です。 ややこしくてすみません。
431 :
428 :2007/11/24(土) 22:40:37
>>429 VirusTotalとオンラインスキャンで反応がちがうベンダーがありますので
お願いした次第です。
>>428 AVGAM:101
BitDefender:185
AntiVir:94
>>428 乙
Norton Internet Security 2008
TrojanZlob として検出
反応の無かった16ファイルはSymantecへ贈りました
ちなみに今回全部隔離・駆除できたのはAVG AntiVirは少し残った、土日アップデートしない影響があるからかも。 BitDefenderは検出するのになぜか隔離しない。 設定が悪いような気もするのであとで確認してみる。
>>428 ウイルスバスター2008
84
残りは提出しました
>>428 McAfee死ねヽ(`Д´)ノ
;y=ー( ゚д゚)・∵. ターン
>
ミスったスマソ
>>428 うちのbitdefenderCUI、158しか検出しないんだが…
もちろんヒューリスティックOnで
あと、a-squared CUIでは検索結果は出ないけど、101個のファイル全部削除してくれてた
こいつはヒューリスティック切って
そしてClamWin、検出数1
440 :
428 :2007/11/25(日) 23:06:30
皆さんありがとうございます。
最近のマカフィー本当にどうしたんだろ? マジでバスターにガチ負けしてるんじゃないか?
1 WebWasher 1.055.594 99,45 % 2 G-Data AVK 2008 1.053.500 99,26 % 3 Bitdefender 1.041.180 98,10 % 4 AntiVir 1.040.413 98,02 % 5 F-Secure 1.039.877 97,97 % 6 Kaspersky 1.034.743 97,49 % 7 Symantec 1.020.876 96,18 % 8 Microsoft 1.018.993 96,01 % 9 Trend Micro 1.013.452 95,48 % 10 Ikarus 1.013.183 95,46 %
11 Avast! 1010829 95,24 % 12 AVG 1009407 95,10 % 13 Sophos 1008605 95,03 % 14 Nod32 994015 93,65 % 15 F-Prot 991957 93,46 % 16 Panda 990373 93,31 % 17 Fortinet 967885 91,19 % 18 Norman 963830 90,81 % 19 Rising 936346 88,22 % 20 McAfee 917036 86,40 %
>>441 9 Trend Micro 95,48 %
20 McAfee 86,40 %
マカフィーはVBA32やDr.webに抜かれるのも時間の問題になってきたな。 でもDr.webはAV-Test.orgのテストに弱いよな、なんでだろ? ここでの検体をVTスキャンしたら検出してくれる場合が多いから期待はできるんだけど。
tp://www.f-secure.co.jp/is/feature/ ↑去年8月のAV-Test.orgの結果だけどこのテスト基準だとトレンドマイクロはものすごい成長したんだな。 Pandaも何気にすごいけど。
912 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/11/26(月) 05:34:18 個人的にはDr.webの成績の悪さが気になる。 そんなに悪いとは思えないんだけどな。 でもDr.webはもともとこのテストとは相性良くないからこんなもんかな?
作る方は責任持ってます。 売る方も責任持ってます。 それを使う各企業も責任もってます。 何が一番か? ウイルスバスターしかありえません。 惑わされてるみなさん、ウイルスバスターを選択しましょう。
ウイルスバスターに責任って ( ´д)ヒソ(´д`)ヒソ(д` )ヒソ
nyで流出やらかしたのもついかしとけ
やはりNOD厨を装って板を荒らしていたのは台湾人だったようだ
FWすらPoorだからなぁ。
ttp://www.itmedia.co.jp/enterprise/articles/0711/27/news012.html 「excel」「vpn」などキーワード検索でマルウェアサイトに誘導
マルウェアサイトへのリンクは、いずれもごく普通の用語で検索した結果に
表示されたという。例えばルータ用の代替ファームウェアを検索していた研究者が、
「netgear ProSafe DD-WRT」という用語でGoogle検索したところ、検索結果に
悪質サイトが表示された。
このサイトはユーザーを別のサイトにリダイレクトし、コーデックに見せかけた
マルウェアに感染させてシステムの脆弱性を悪用しようとするという。
Sunbeltは、悪質サイトが表示された検索用語の一覧を公開。この中には「microsoft
excel free download」「microsoft office excel accounts」「customer opportunities」など
さまざまな用語が含まれている。
>>459 そこ行った
ブツはVideoAccessCodecInstall.exe このスレでおなじみのやつ zlob
ファイルサイズ同じなのにMD5がちがうのは何故?
いる?
>>460 virustotalとかに投げた結果は?
よくわからんが、ポリモーフィックかな? タイムスタンプが気になる。
>>463 ウイルスバスター2007
全てスルーにつき検体提出
>>463 AVGAM:Trojan horse Downloader.Zlob
AntiVir:DR/Zlob.Gen
BitDefender:スルー
AVGもAntiVirも検体ウイルス名が全部同じだったので一つにまとめといた(全部検出)
>>483 d
カスペ7
4/4
シグネチャ 21:26:57発行
detected: Trojan program Trojan-Downloader.Win32.Zlob.enm File: tane_uljp00183.zip/zlob4/?V?μ?¢?t?H???_/VideoAccessCodecInstall.exe//stream//data0003
detected: Trojan program Trojan-Downloader.Win32.Zlob.enm File: tane_uljp00183.zip/zlob4/?V?μ?¢?t?H???_ (2)/VideoAccessCodecInstall.exe//stream
detected: Trojan program Trojan-Downloader.Win32.Zlob.enm File: tane_uljp00183.zip/zlob4/?V?μ?¢?t?H???_ (3)/VideoAccessCodecInstall.exe//stream
detected: Trojan program Trojan-Downloader.Win32.Zlob.enm File: tane_uljp00183.zip/zlob4/?V?μ?¢?t?H???_ (4)/VideoAccessCodecInstall.exe//stream
全部同じシグネチャで対応済み
470 :
469 :2007/11/28(水) 00:03:07
>>472 キラー
4\jb.exe
Trojan.PSW.Nilage.bqq
8\haha.htm
Trojan.Script.JS.Agent.q
>>472 d
カスペ7(10:50:43)
3/12
detected: Trojan program Trojan-Downloader.JS.Psyme.uw File: tane_uljp00184.zip/malware12/8/haha.htm
detected: malware Exploit.Win32.Agent.bb File:tane_uljp00184.zip/malware12/9/re.htm
detected: Trojan program Trojan-Downloader.JS.Agent.afw File:tane_uljp00184.zip/malware12/a/bf.htm
検体提出します。
AVG糞杉ワロタwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
AVG 7.5 Anti-Malware Trojan.Agent.bgw C:\WINDOWS\デスクトップ\malware12\2\Ri.ocx Virus identified Exploit C:\WINDOWS\デスクトップ\MALWARE12\B\MMDD.EXE 他送った
脳豚厨氏ね
>>472 ウイルスバスター2008
jb.exe: TROJ_SHELLHOOK.F
adweek_dt.exe: TROJ_Generic
残りは提出しました
>>472 キングソフト
alidate.exe Win32.Adware.Adload.cp.45056
Ri.ocx Win32.RiskWare.RiskTools.vx.151454
ほか提出しました。
↑ウイルス名称が逆でした Ri.ocx Win32.Adware.Adload.cp.45056 Validate.exe Win32.RiskWare.RiskTools.vx.151454
>>472 さん乙
Symantecへ贈っておきました
483 :
474 :2007/11/29(木) 20:16:51
>>472 カスペ7
ロシアから返事来ないけれど…。
追加検出
現時点で、5/12(残り7回答待ち)
detected: adware not-a-virus:AdWare.Win32.BHO.mt File:tane_uljp00184.zip/malware12/1/icon7012.cab/icon7012.dll
detected: adware not-a-virus:AdWare.Win32.BHO.mt File:tane_uljp00184.zip/malware12/1/icon7012.cab/icon7012_del.exe
detected: malware Exploit.Win32.Real1.a File:tane_uljp00184.zip/malware12/7/883.htm
Aviraマダー?
485 :
483 :2007/11/30(金) 00:01:18
>>472 Hello,
adweek_dt.exe, inst_antispy.exe, jb.exe, mmdd.exe, Ri.ocx, SpeedUp.inf, SpeedUp.ocx, Validate.exe
No malicious code were found in these files.
Please quote all when answering.
--
Best regards, Vyacheslav Zakorzhevsky
Virus analyst, Kaspersky Lab.
e-mail:
[email protected] http://www.kaspersky.com/ http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.
( ̄□ ̄;)!!
最近はFP多いね。orz
FP!? ファイルのえり好みにも見えるような 中華ツールうんざりしてんじゃね あっちも使用者うなぎのぼりだし しかも和檸檬で 純粋に白判定のもあるかも知れないけど・・・
あ 何か勘違いした haha.htm これひとつ見て全部あっちのものかと思ってた
tp://vplprocedure.com/download.php?id=1058 ダイレクトだから注意してね
>>489 d
カスペ7
スルーにつき、検体提出しました。
492 :
491 :2007/11/30(金) 21:04:37
>>489 ウイルスバスター2008
パターンファイルはスルー
Webレピュテーションは作動確認
495 :
494 :2007/11/30(金) 22:23:45
書き忘れてた。 検体は提供済みです。
>>489 これ、一定時間でファイル変わるのね。
昨日の19:00ごろは、Trojan-Downloader.Win32.Zlob.epg
>>491 の後は、Trojan-Downloader.Win32.Zlob.epm
今は、Trojan-Downloader.Win32.Zlob.bov
前のcodecなんちゃらのzlobと同じか…。
>>497 こういうのは、ネットからパターンファイルみたいなものをダウンして自分で自分をアップデートするの???
>>500 キングソフト
lese.exe Win32.Troj.Agent.ge.86016
他スルー、提出済みです
avast \malware13\2\ActiveInstall.dll Win32:Adware-gen [Adw] のみ検出
>>500 乙
Norton Internet Security 2008
\2\activeinstall.dllを Adware.Dware として検出
残りはSymantecへ贈りました
>>500 ウイルスキラー19.51.42(=20.20.42)
6\videomp3_setup_3912958.exe>>Aspack212r
Trojan.DL.Win32.Delf.cuu
7\lese.exe>>fakeupx
Trojan.PSW.Win32.WorldOnline.km
9\pps.htm
Hack.Exploit.Script.JS.Agent.bz
b\pp.htm
Hack.Exploit.Script.JS.Agent.ao
Rising AV 20.20.60での追加検出なし
>>500 AVG 7.5 Anti-Malware
Adware Generic2.PXM
C:\MY DOCUMENTS\MALWARE13\2\ACTIVEINSTALL.DLL
Trojan horse SHeur.AEFM
C:\MY DOCUMENTS\MALWARE13\6\VIDEOMP3_SETUP_3912958.EXE
Trojan horse SHeur.ADWF
C:\MY DOCUMENTS\MALWARE13\7\LESE.EXE
Virus identified JS/Psyme.OE
C:\MY DOCUMENTS\MALWARE13\9\PPS.HTM
Downloader.Agent.m
C:\My Documents\malware13\a\toyota.htm
他スルーで送った
506 :
504 :2007/12/02(日) 14:23:51
Risingより 8以外すべて不是病毒 8はまだ送ってない
>>500 d
カスペ7 15:01:56
今北産業
detected: adware not-a-virus:AdWare.Win32.MediaCharger.a File: malware13/2/ActiveInstall.dll
detected: Trojan program Trojan-Downloader.Win32.Delf.deh File: malware13/6/videomp3_setup_3912958.exe//ASPack
detected: Trojan program Trojan.Win32.Agent.czx File: malware13/7/lese.exe
detected: malware Exploit.JS.Agent.cm File: malware13/9/pps.htm
検体提出します。
508 :
494 :2007/12/02(日) 16:31:42
>>500 キリ番おめ&乙
ウイルスバスター2008
ActiveInstall.dll: Dialer_MediaCharger
古めのCPR(4.856.28)なんで最新のCPRは違うかも…
一応検体提出しました。
509 :
507 :2007/12/02(日) 20:33:47
>>500 カスペ7
pp.htm, toyota,htmは黒だって。
合計6/12
検体提出したのに、ahoとかかれた俺涙目www
Hello,
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
pp.htm_ - Trojan-Downloader.JS.Agent.aho,
toyota.htm_ - Trojan.JS.Small.s
goldlock.exe_, ie7setup.exe_, ierepairer.exe_, scsr9206.exe_, si11km.exe_, Thanh.exe_
No malicious code were found in these files.
Please quote all when answering.
--
Best regards, Namestnikov Yury
Virus analyst, Kaspersky Lab.
e-mail:
[email protected] http://www.kaspersky.com/
aho.kawaisosu
>>511 乙
Norton Internet Security 2008
2番目のsystemerrorrepairfreesetup_jp[1].exeを ErrClean として検出されDL遮断されました
setup_jp.cabは反応が無いので はSymantecへ贈りました
513 :
名無しさん@お腹いっぱい。 :2007/12/03(月) 05:59:34
>>511 AVGantivirus反応なし。
送りました。
>>511 ウイルスバスター2007
全てスルーにつき検体提出
危うく実行しかけるところだったが、制限つきゾーンフォルダだったのでEXE実行禁止で助かった…。
>>511 カスペ7 スルー
setup_jp.exe
別件で検体送ってた。
判定 not-a-virus:Downloader.Win32.WinFixer.bb
検体送り
SystemErrorRepairFreeSetup_jp.exe
setup_jp.cab
516 :
515 :2007/12/03(月) 08:12:43
>>511 setup_jp.cab
判定 not-a-virus:Downloader.Win32.WinFixer.bc
517 :
515 :2007/12/03(月) 08:16:57
>>511 SystemErrorRepairFreeSetup_jp.exe
判定 No malicious software was found in the attached file.
>>511 McAfeeスルーヽ(`Д´)ノ
2番目以外送る
2番目デジタル署名ある件 Prevx1の誤検出じゃね?
>>519 ,
>>520 d
カスペ7
>>519 スルー
検体提出します。
>>520 deleted: Trojan program Trojan-PSW.Win32.OnLineGames.fcj
File: mov0025.zip/mov0025.wmv.scr//data.rar/013.exe//PE_Patch//UPack
524 :
522 :2007/12/03(月) 15:45:13
525 :
名無しさん@お腹いっぱい。 :2007/12/03(月) 15:54:50
やりたいな
日本だと年賀状かな。 馬鹿は添付ファイルを開きそう。
531 :
名無しさん@お腹いっぱい。 :2007/12/03(月) 22:31:53
>>527 AVGスレに引っかかったやつがいるよw
でも普通にカード綺麗だなw
罠ツールって何ですか?
話の流れからして
>>519 の事みたいだけど、ウイルスとは違うの?
ネトゲの規約違反のチートツールをクレクレする奴がいてな。 そいつを懲らしめるために作られた偽のツール。 ダウソ厨を懲らしめるキンタマとか山田とか原田とかと発想は同じ。 規約違反するならそれなりのリスクを負って実行すべき。
ここは鑑定スレではありません。
>>534 519のやつはネトゲのWikiのリンクを書き換えたり、Blogのコメント等で誘導して
仕込ませるパターンの奴ですね
>>537 玄関に知らない男がいてそいつを泥棒と勘違いするよりも
泥棒かどうか判らないけれどどうぞお入り下さいと言って
いるようなもんだな。
俺なら泥棒と判断して貰った方が安心だ。
誤検出なら後で元に戻せるがウイルスに侵入されたらそれで終わり。
はあ?exe形式のファイル拾い食いする馬鹿は自分の責任でやってろよ
exe形式だけがマルウェアだと思ってるひとは初心者スレでも行っててください
ふーん、じゃあ拾い食いする基地外は早く死ねに変更しておくね
546 :
名無しさん@お腹いっぱい。 :2007/12/05(水) 23:48:18
>>545 setup.exeをAVGに送付しました。
549 :
547 :2007/12/05(水) 23:55:18
>>547 AVGantivirusで反応できた。
なんででしょうね。
>>547 ノートン
fds1010.exe : Trojan.Packed.7
わりい
>>547 のURLこっちだったw
hopelessromantic.com/set/sdm_videos.exe
グダグダになってきたんで寝る
ウイルスバスター2008
>>545 haha.exeは404、setup.exeはスルー
>>547 fds1010.exe: TROJ_DNSCHAN.AB
>>552 スルー
スルーしたものは検体提供しました。
カスペ7
今北産業
>>545 deleted: Trojan program Trojan.Win32.DNSChanger.acs File: fds1010.exe (11/22の検体)
>>547 detected: Trojan program Trojan.Win32.Inject.mu File: setup.exe (12/5 21:10リリースのシグネチャ)
>>552 detected: Trojan program Trojan.Win32.StartPage.aum File: sdm_videos.exe//stream//data0006//stream//Script (12/4 9:30リリースのシグネチャ)
haha.exeは404
556 :
545 :2007/12/06(木) 01:19:30
haha.exeだけどDLする度にハッシュが違う…
>>545 File size: 15691 bytes
MD5: 8f56e44b97847ddb19c3d65b5fed9916
SHA1: 6dd4ba95b73fb8d28b6e4e77433efc597e7d704a
再度DL
ttp://www.virustotal.com/jp/resultado.html?005f57a13ace2cfd8e80e3a748b56fcd ファイル名 haha.exe 受理 2007.12.05 17:11:19 (CET)
結果: 1/32 (3.13%)
AVG 7.5.0.503 2007.12.05 Exploit
File size: 15691 bytes
MD5: c373e3bf0ddd278de161ed3f5ea0e4e6
SHA1: 264cfe2f6edc42496600e7632f78467bc5fb35c9
>>547 >>553 ブツが切り替わる間際にアクセスして404返されたのかも。。。
557 :
545 :2007/12/06(木) 01:23:15
あー、消された後だったか。。。orz......
>>556 拾ったファイルちゃんと確認したか?
ドメインの支払い止まったか解約したかは知らんが
広告のHTMLが降ってくるんだが。
>>567 ウイルスバスター2008
883.html: VBS_PSYME.BCA
a.jpg: TSPY_MAGANIA.ABA
残りは提出済み
>>567 FIS2008 4/11検出
ヤバイかも
570 :
569 :2007/12/07(金) 19:01:17
F-Secure2008 以下検出ログ 5/12(?)検出 \malware14\0\haha.htm に不正なコードを検知しました。 感染: Trojan-Downloader.JS.Psyme.vv 処理: ファイルを検疫しました。 \malware14\3\pps.htm に不正なコードを検知しました。 感染: Trojan-Downloader.JS.Psyme.vw \malware14\4\svchost.exe に不正なコードを検知しました。 感染: Trojan.Win32.Inject.nd \malware14\7\inwm.data に不正なコードを検知しました。 感染: Trojan-Downloader.Win32.IEDefender.b \malware14\b\videomp3_setup_3912958.exe に不正なコードを検知しました。 感染: Trojan-Downloader.Win32.Delf.dg
>>567 キング 2/11
\tane_uljp00186\malware14\9\rost.exe中にウィルス発見
Win32.Troj.Downloader.t.37888 処理成功(操作:削除)
\tane_uljp00186\malware14\a\a.jpg中にウィルス発見
Packes.MaskPE.a 処理成功(操作:削除)
他、スルー 提出済み
>>567 d
カスペ7
5/11 @19:21:30
F-Secureの
>>570 と同じ.
検体提出します。
Windows Live OneCare
>>560 対応
winload.exe | Malware: Trojan:Win32/Delf.BO
(ZipSfx) | Malware Container
20071206_030532375_0_FF_fishway.exe | Malware Container
FFACE.dll | Clean
FFXIFisher.NET.exe | Clean
fish.xml | Clean
MySql.Data.dll | Clean
settings.xml | Clean
Trash.dat | Clean
WindowerHelper.dll | Clean
しかしうちのOneCareはスルー なぜ???
>>567 0/12
提出済み
質問なんだけど、みんなどこからウイルス探してくるの?
Windows Live OneCare
>>567 videomp3_setup_3912958.exe
対応
-- Andrei Florin Saygo, 12/7/2007 11:53:08 AM --
The file will be detected as Trojan:Win32/Delf.CE
Thank you.
=================
Analysis summary:
=================
Total Files: 1
Clean: 0
Malware: 1
Malware Related: 0
Malware Container: 0
Potentially Unwanted Software: 0
Potentially Unwanted Software Container: 0
Postponed: 0
Not Yet Analyzed: 0
>>567 ノートン
\malware14\1\883.htm : Trojan.Reapall
\malware14\2\Dns.htm : Downloader
\malware14\6\8.htm : Downloader
\malware14\b\videomp3_setup_3912958.exe : Trojan.Zlob
残りは提出しますた。
>>567 キラー
0\haha.htm
Trojan.Script.JS.Agent.aa
1\883.htm
Hack.Exploit.Script.JS.RealExp.c
6\8.htm
Hack.Exploit.Script.JS.RealPlayer.b
b\videomp3_setup_3912958.exe>>Aspack212r
Trojan.DL.Win32.Delf.cuu
580 :
572 :2007/12/07(金) 22:53:48
>>567 カスペからの返事
12/12
From:
[email protected] [mailto:
[email protected] ]
Sent: Friday, December 07, 2007 10:10 PM
Hello,
8.htm_ - Exploit.Win32.RealPlr.f,
883.htm_ - Exploit.Win32.RealPlr.g,
a.jpg_ - Trojan-PSW.Win32.OnLineGames.juu,
bf.htm_ - Trojan-Downloader.JS.Agent.aiu,
Dns.htm_ - Trojan-Downloader.VBS.Agent.hm,
resvc.htm_ - Exploit.Win32.RealPlr.h,
rost.exe_ - Trojan.Win32.Pakes.bst
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
Please quote all when answering.
--
Best regards, Yury Nesmachny
Virus analyst, Kaspersky Lab.
e-mail:
[email protected] http://www.kaspersky.com/ http://www.kaspersky.com/virusscanner - free online virus scanner.
http://www.kaspersky.com/helpdesk.html - technical support.
Windows Live OneCare
>>567 8.htm Malware: Exploit:HTML/Repl.A
bf.htm Exploit:HTML/Repl.A
haha.htm Malware: TrojanDownloader:JS/Small.AM
pps.htm Malware: TrojanDropper:JS/Small.G
883.htm Malware: TrojanDropper:JS/Small.G
Dns.htm Malware: TrojanDownloader:VBS/Small.Z
resvc.html Malware: Exploit:HTML/Repl.Gen
svchost.exe Malware: TrojanDownloader:Win32/Koryub.A
計11/12
inwm.dataだけ返事が来ないのでもう寝ますw
Windows Live OneCareのシグネチャ作成は非常に速いようです。
しかしうちのOneCareはオールスルーですw
シグネチャ配布がいつになるかはわかりません。
582 :
名無しさん@お腹いっぱい。 :2007/12/08(土) 00:40:22
NOD32は機関や企業や有名人等 狙われやすい人ほど役立つAV 一般人でもそのウイルス全体の70%を占める未知ウイルスから狙われることもある そこがNOD32のセールスポイント あとは それなりに既知ウイルス検出率が高いのと 軽いのと
これは酷い・・・・と思ったがコピペなのねw
未知ウイルスへの対応度 = ハッキングの対する対応度 ここにNOD32が研究機関や公的機関で主に採用されている理由がある
未知のウイルス対応度はAntiVirやカスペの方が上だよなー NOD32がいつまでたっても対応しないから、NOD32ユーザーにとってはいつまでたっても未知のウイルスのままなだけじゃないの? NOD32にとっては未知のウイルスでも他のソフトにとっては既知のウイルスと・・・w
あ
>>585 Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる。
NOD32はプロファイルに検査方法や検査対象を登録しておき、
そのプロファイルを指定してスケジュールを組むことが出来る。
プロファイルも自由に複数作成出来るから目的に応じた運用が可能だ。
例えば、書庫類等は検査済みフォルダと検査前フォルダを作成しておき、
検査前フォルダ内の書庫だけを定期的に高速検査するというような運用も行える。
他のAVだと書庫を対象とするか否かの2択しかないものが多く、ムダに時間が掛かる検査となり効率が悪い。
一度検査し安全が確かめられれば検査済みフォルダに移し、
検査済みフォルダの再検査は数か月に一度程度に減らすことで処理効率を上げるというような運用が他のAVでは難しい。
細かな設定をすることでNOD32は処理効率の良い運用が可能になっている。
農奴32厨死ね、スレ違いだ消えろ
589 :
名無しさん@お腹いっぱい。 :2007/12/08(土) 01:04:37
590 :
名無しさん@お腹いっぱい。 :2007/12/08(土) 01:07:29
この際だから白状しよう ちなみにおれは 「NOD32スレでは 熱心にカスペ厨がNOD32叩きをしている」 「試しにNOD32スレでカスペを叩くと面白い」 と誘導があったから来てみた そろそろ飽きたので というか眠いので さようなら
レス番飛ぶなぁ 今日は 外が寒いせいだね
いいなぁ、Live OneCareもちゃんとした返事くれるんだ…
>>567 8.htm
883.htm
bf.htm
Dns.htm
haha.htm
inwm.data
pps.htm
以上をAVGに提出
その他はAVGantivirus,spywareで検出済み
カスペとNODどちらも優秀なAVだしわざわざ沸かなくていい
NODが優秀(笑) 学校のテストは優秀でも実戦では全く役に立たないのがNOD(笑)
>>595 よく考えるとテストも実践も両方強いAntiVirとカスペは凄いね
>>596 誤検出王のAntiVirと一緒にいないでくれる。
いないでくれるwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
wwwwwwwwwwwwwwwwwwwwwwwwwwいないでくれる
597 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/12/08(土) 23:36:57
>>596 誤検出王のAntiVirと一緒にいないでくれる。
598 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/12/08(土) 23:38:08
いないでくれるwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
新着レス 2007/12/08(土) 23:39
599 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/12/08(土) 23:39:07
wwwwwwwwwwwwwwwwwwwwwwwwwwいないでくれる
597 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/12/08(土) 23:36:57
>>596 誤検出王のAntiVirと一緒にいないでくれる。
598 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/12/08(土) 23:38:08
いないでくれるwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
599 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/12/08(土) 23:39:07
wwwwwwwwwwwwwwwwwwwwwwwwwwいないでくれる
新着レス 2007/12/08(土) 23:39
600 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/12/08(土) 23:39:43
597 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/12/08(土) 23:36:57
>>596 誤検出王のAntiVirと一緒にいないでくれる。
598 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/12/08(土) 23:38:08
いないでくれるwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwwww
新着レス 2007/12/08(土) 23:39
599 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2007/12/08(土) 23:39:07
wwwwwwwwwwwwwwwwwwwwwwwwwwいないでくれる
いないでくれる。 いないでくれる。 いないでくれる。
603 :
名無しさん@お腹いっぱい。 :2007/12/08(土) 23:43:56
いないでくれる。 いないでくれる。 いないでくれるいないでくれる。 いないでくれる。 いないでくれるいないでくれる。 いないでくれる。 いないでくれるいないでくれる。 いないでくれる。 いないでくれるいないでくれる。 いないでくれる。 いないでくれるいないでくれる。 いないでくれる。 いないでくれるいないでくれる。 いないでくれる。 いないでくれるいないでくれる。 いないでくれる。 いないでくれるいないでくれる。 いないでくれる。 いないでくれる
NOD(笑
信者禁止なのになぜか入り込んでるしw
一生懸命検体送ってる時点でみな信者w
ほんじゃ 次スレは 【検体】検出可否報告スレ5【提出】 でいくか? 【Sample】検出可否報告スレ5【Submit】 ってのもカコイイ?
格好良さとかでもいいし600で話すようなことでもない
土日は休みか
ウイルスマダー?(・∀・ )っ/凵 ⌒☆チンチン
コンパイル中
http://qb5.2ch.net/test/read.cgi/saku2ch/1033569826/183 http://www.virustotal.com/jp/resultado.html?937e679b2ce3c1fe6ef0dda9a99c10c6 ファイル名 bot.rar 受理 2007.12.09 13:10:06 (CET)
結果: 8/32 (25%)
Avast 4.7.1098.0 2007.12.08 Win32:Agent-AWB
AVG 7.5.0.503 2007.12.09 Potentially harmful program Ardamax.NI
ClamAV 0.91.2 2007.12.09 Adware.WhenU-3
Ikarus T3.1.1.12 2007.12.09 Backdoor.Win32.Delf.avc
NOD32v2 2711 2007.12.07 probably unknown NewHeur_PE virus
Sophos 4.24.0 2007.12.09 Mal/Delf-G
VBA32 3.12.2.5 2007.12.07 Backdoor.Win32.Delf.cir
Webwasher-Gateway 6.6.2 2007.12.08 Win32.Malware.gen (suspicious)
File size: 2672241 bytes
MD5: eb066f0144fc322759fef6dec4d1e6fe
SHA1: 8360c53509d9f126135147b1e79ad4dd366def8b
解凍bot.exe
http://www.virustotal.com/jp/resultado.html?fb380bb78ee688fd52d2df4b11a097f1 ファイル名 bot.exe 受理 2007.12.09 13:31:14 (CET)
結果: 10/32 (31.25%)
Avast 4.7.1098.0 2007.12.08 Win32:Agent-AWB
AVG 7.5.0.503 2007.12.09 Potentially harmful program Ardamax.NI
ClamAV 0.91.2 2007.12.09 Adware.WhenU-3
Ikarus T3.1.1.12 2007.12.09 Backdoor.Win32.Delf.avc
NOD32v2 2711 2007.12.07 probably unknown NewHeur_PE virus
Norman 5.80.02 2007.12.07 W32/Ardamax.CRT
Sophos 4.24.0 2007.12.09 Mal/Delf-G
Sunbelt 2.2.907.0 2007.12.07 VIPRE.Suspicious
VBA32 3.12.2.5 2007.12.07 Backdoor.Win32.Delf.cir
Webwasher-Gateway 6.6.2 2007.12.08 Win32.Malware.gen (suspicious)
File size: 3487889 bytes
MD5: b8b85cfbd6a35bad096f3261297b2c57
SHA1: cd3f6e739a9fe8223133d68e2b3925f61245a246
>>612 NOD32で「未知のウイルスの可能性あり」と警告が出たので提出しますた
616 :
616 :2007/12/09(日) 23:08:09
>>612 > Dear Customer,
>
> Thank you for submitting the sample to Fortinet. Our analysts have analyzed the sample you provided and developed the pattern to detect it. We add detection for this sample in the next update.
>
> The sample you submitted will be detected as follows:
> bot.exe - W32/Delf.CKN!tr.bdr
>
> Best Regards,
>
> AV Lab - zchuo
>
> To submit a suspicious file to Fortinet:
>
http://www.fortinet.com/FortiGuardCenter/virus_scanner.html
>>612 ウイルスバスター2008
スルー
検体提出済み
このスレ見てるとウイルスバスターってほとんど検出しないな
半々くらいじゃねえの?
バスターとキングはVTに載ってないから書き込み量が多い そして2つともどちらかといえば質の低いソフトなので検出しない場合が多く、その書き込みが目立つ という寸法
そのバスターにもキングにも劣る脳豚www
ウイルスマダー?(・∀・ )っ/凵 ⌒☆チンチン
最近ウイルスの提供が少なくなったから盛り上がらんね・・・
>>567 AVGより対応したとの返事がきてた。
>>626 Crack.exe
diskhog.exe
hiddenbat.exe
shockwave.exe
stars.exe
をAVGに送付。
残りは検出済み。
訂正 reader.gif xplz.gif これも提出。
>>626 カスペ7
3/12
Trojan-PSW.Win32.Magania.brq malware15\4\lin.exe
Trojan.BAT.Qhost.m malware15\6\shockwave.exe//#
Trojan-Downloader.Win32.Dadobra.rz malware15\b\Album.exe//UPX
残りは提出済み。
>>626 ウイルスバスター2008
lin.exe: TROJ_SHEUR.EQ
shockwave.exe: TSPY_BANCOS.ECR
Album.exe: Possible_Virus
>>627 スルー
残りとAlbum.exeは提出済み
>>626 乙!
キング全てスルーorz
提出しますた
>>626 キラー19.53.21
0\r.htm
Hack.Exploit.Script.JS.RealPlayer.b
>>631 >>634 malware15\0\r.htm: Exploit.Win32.RealPlr.k
malware15\7\real.gif: Exploit.Win32.RealPlr.j
2つ追加で検知するようになってたので5/12
>>626 乙です。
Windows Live OneCare2.0
3/12
r.htm Exploit:HTML/Repl.B
xplz.gif Exploit:Win32/Senglot.A
shockwave.exe Trojan:Win32/VNCKill.A
他 提出しました。
>>626 Kaspersky7
Hello,
Crack.exe_, diskhog.exe_, hiddenbat.exe_, stars.exe_
No malicious code were found in these files.
>>626 Windows Live OneCare2.0
一部返事来ました。
Album.exe Malware: TrojanDownloader:Win32/Banload.DUO
lese.js Malware: TrojanDownloader:JS/Small.BN
reader.gif Malware: TrojanDownloader:JS/Senglot.D
real.gif Malware: Exploit:HTML/Repl.C
stars.exe Clean
計7/12
640 :
639 :2007/12/13(木) 00:25:12
おっと もう2つ来てた。 lin.exe Malware: PWS:Win32/OnLineGames.CQB Crack.exe Threat Related Malware Related Files that are not malicious by themselves and should not pose a threat by themselves. excite翻訳 自分たちで悪意がなくて、自分たちで脅威を引き起こすべきでないファイル。 計8/12 おやすみなさい。
http://qb5.2ch.net/test/read.cgi/sec2chd/1196499972/814 http://www.virustotal.com/jp/resultado.html?b116b8a076dfa96d4c9e65601cff0f89 ファイル名 fishhunter.rar 受理 2007.12.12 19:34:40 (CET)
結果: 11/32 (34.38%)
AntiVir 7.6.0.40 2007.12.12 DR/Hupigon.acma.2
AVG 7.5.0.503 2007.12.12 Potentially harmful program Ardamax.NI
Fortinet 3.14.0.0 2007.12.12 W32/Delf.CKN!tr.bdr
F-Secure 6.70.13030.0 2007.12.12 Backdoor.Win32.Hupigon.acma
Ikarus T3.1.1.12 2007.12.12 Backdoor.Win32.Delf.avc
Kaspersky 7.0.0.125 2007.12.12 Backdoor.Win32.Hupigon.acma
NOD32v2 2719 2007.12.12 probably unknown NewHeur_PE virus
Prevx1 V2 2007.12.12 Heuristic: Suspicious Self Modifying File
Sophos 4.24.0 2007.12.12 Mal/Delf-G
VBA32 3.12.2.5 2007.12.10 Backdoor.Win32.Delf.cir
Webwasher-Gateway 6.0.1 2007.12.12 Trojan.Dropper.Hupigon.acma.2
>>641 ウイルスバスター2008
スルー、検体提供済み
Onecareって一日のアップデート回数ってどれくらいなの? もしかしてカスペやBitDefender並みに多い?
>>641 404でした。
>>645 OneCareはBITSを使ってUPDATEをしているようですがいつUPDATEされてるかわかりません。
チェックする項目はあるのですがいつも最新になっています。
ちなみに昨日送った新種はまだスルーしていますw
しかしVT上では検出されているのがよくわからないところです。
>>646 サンクス
とりあえずこちらでもAntiVirと併用して試しに使ってみるかな?
649 :
648 :2007/12/15(土) 00:10:56
返事きました。 file.exe Malware: TrojanDownloader:Win32/Tiny.GQ さて シグネチャの配布はいつになるやら…
>>648 AVGAM、AntiVir、BitDefender
オールスルー
最近Pandaが気になってきた。
検出技術も独特っぽいし面白そう。
2008版まだかな〜?
,,wwww,, ;ミ~ \ :ミ | rミ (゚) (゚) | {6〈 | 〉 ヾ| `┬ ^┘イ| <AVGを、どげんかせんといかん! . \ | -==-|/ /|\_/ / |\/|\ | 「,只| |
>>648 > Dear customer,
>
> Thank you for submitting the sample to us. We have analysed it and developed a detection pattern for it. Starting with our next regular update the file will be detected as W32/Agent.FZZ!tr.dldr.
>
> Best regards,
> AV lab - Sorin
>
> To submit a suspicious file to Fortinet:
>
ttp://www.fortinet.com/FortiGuardCenter/virus_scanner.html
Pandaの「Suspicious file」として検出したものってこれってヒューリスティック検出? それともPanda独自のTruPrevent テクノロジーってやつ?ヒューリスティックとは全く違うものらしいけど。
>>648 ウイルスバスター2007(明日にでも2008にします)
スルーしたので検体提出
改変の有無にかかわらず、ウイルスであることを見破り続けた。この7製品には、国内で入手可能な製品としては、 米 マ カ フ ィ ー やロシアのカスペルスキー、スロバキアのイーセットなどの製品が含まれる。 馬鹿フィー(笑)が入った時点で説得力がなくなるんですけど。
この理由について星澤氏は、「(今回の調査対象となった)ウイルスサイトが使用しているパッカーに対応していたため」と分析。 7製品では、姿を変える前の状態に戻してからウイルス検査をしていたので“成績”が良かったのではないかと推測する。
こういう「改変」するウイルスが増えてくると脳豚ピンチだな。 でもカスペも改変に弱いというしいくら対応早くても追いつかなさそう。 AntiVirやAVGは改変するウイルスに対して異常に強いような気がするけど・・・
Packers support test
http://www.anti-malware-test.com/files/packers_support_08.2006_en.pdf Gold Packers Support
F-Secure Anti-Virus 2006 (81%)*
Kaspersky Anti-Virus 6.0 (81%)
Silver Packers Support
BitDefender 9 Professional Plus (76%)
Dr. Web Anti-Virus 4.33 (76%)
Bronze Packers Support
Eset NOD32 Antivirus 2.5 (57%)
Failed the test:
AVG Anti-Virus 7.1 (10%)
Avira AntiVir PE 7.0 (10%)
CA eTrust EZ Antivirus r8 (10%)
Clam AntiVirus 0.88 (10%)
McAfee VirusScan 2006 (10%)
avast! Professional Edition 4.7 (5%)
Panda Platinum Internet Security 2006 (5%)
Sophos Anti-Virus 6.0 (5%)
Norton AntiVirus 2006 (5%)
VBA32 Antivirus 3.11 (5%)
Trend Micro PC-Cillin 2006 (0%)
UNA 1.8 (0%)
古いな。 カスペも8は多重パッカーと怪しいパッカーは一応警告は出す旨、方針は変えるみたいね。
警告だけならほとんどのベンダでできるw ここで言われてるのはアンパッキング能力でしょw 8試したけどFSGぐらいしか反応しなかったなw
結局カスペ8も今までと変わらないってこと? それ意味ないよね、エンジン変えると言ってるのに。
まあこのスレでも検証していきましょう。 検体の提供よろしくお願いします。
あとはいろいろなソフトの検出報告もして欲しいね。 俺はPandaの2008年版が出たらPandaの検出報告するつもり。 Dr.webやVBA32も面白そうだけど。 ところでTrustPortはBitDefender切ったそうな。 検出率落としてどうすんだか、まだAVGがあるからまだいいけどこれでAVGまで切ったら終わりだな。
シグネチャで誤検出多いて・・・w でも面白そうw AntiVirやBitDefenderもかなり誤検出多いけどね。
Panda使いは日本にいるのか? Pandaユーザーより、日本の動物園にいるパンダの数が多いと思うよ。
そういうつまらないギャグはいいよww
AVGは
>>648 に対応
BitDefenderとAntiVirは相変わらずスルー。
AntiVirは土日だからアップデートがないという影響があるんだけど・・・
ついでにAVGでのウイルス検出名 Trojan horse Downloader.Agent.WLM
>>674 Avira F-Secure Avast NODともにアウト
>>674 d
カスペ7 @10:11:04
10
検体提出します。
detected: Trojan program Trojan-Downloader.Win32.Small.hdp File:tane_uljp00189.rar/Treasure\'msntsrv.exe'..exe'
detected: Trojan program Backdoor.Win32.Small.cnm File:tane_uljp00189.rar/Treasure\'msntsrv.exe.exe' //#
detected: Trojan program Trojan.Win32.DNSChanger.acs File:tane_uljp00189.rar/Treasure\4ojj337j.exe
detected: Trojan program Trojan.Win32.Obfuscated.ls File:tane_uljp00189.rar/Treasure\dd.exe//PE_Patch.UPX //UPX
detected: Trojan program Trojan-Downloader.Win32.Dirat.an File:tane_uljp00189.rar/Treasure\load.scr
detected: Trojan program Backdoor.IRC.Zapchast File:tane_uljp00189.rar/Treasure\mirc.ini
detected: Trojan program Trojan-Spy.Win32.Banker.gok File:tane_uljp00189.rar/Treasure\MSN9.0-BetaC.exe
detected: Trojan program Trojan.Win32.Pakes.bsi File:tane_uljp00189.rar/Treasure\new.exe
detected: riskware not-a-virus:FraudTool.Win32.RegSort.a File:tane_uljp00189.rar/Treasure\setup.exe //file1//Armadillo
detected: Trojan program Trojan-PSW.Win32.OnLineGames.kwh File:tane_uljp00189.rar/Treasure\sj.exe //UPack
>>674 ウイルスバスター2007
BKDR_AGENT.AEKI msntsrv.exe.exe
TROJ_DNSCHAN.AB 4ojj337j.exe
残りは提出します。
679 :
676 :2007/12/16(日) 12:07:52
kingsoft 200.exeはWin32.Troj.Small.1142784として検出 sj.exeはWin32.Troj.OnLineGamesT.or.258048として検出 残りアウト。
>>674 ウイルスキラー19.53.42
load.scr
Trojan.DL.Win32.Agent.bxw
MSN9.0-BetaC.exe
Trojan.Spy.Banker.GEN
>>674 McAfee
'msntserv.exe.exe' : Generic BackDoor.c
sj.exe : New Malware.n
sup.bat : Generic component
sup.reg : IRC/Flood.ev
682 :
677 :2007/12/16(日) 13:55:52
>>675 MSN9.0-BetaC.exe Win32:Banker-CYL [Trj]
Treasure\sup.bat IRC:Zapchast [Trj]
684 :
683 :2007/12/16(日) 21:04:12
>>683 レス間違えた
書き直し
>>674 avast
MSN9.0-BetaC.exe Win32:Banker-CYL [Trj]
Treasure\sup.bat IRC:Zapchast [Trj]
685 :
674 :2007/12/16(日) 23:31:20
>>674 Windows Live OneCare2.0
dd.exe Backdoor:Win32/Agent.FB
load.scr Trojan:Win32/Dirat.A
new.exe Trojan:Win32/Reporel.A
msntsrv.exe_..exe TrojanDownloader:Win32/Chepvil.gen!A
sj.exe VirTool:WinNT/Beesul.A
sup.bat Trojan:IRC/WinBot
200.exe Virus:Win32/Grum.G
以上UP時VT上で検出。
以下提出結果。
msntsrv.exe.exe_ | Malware: Backdoor:Win32/Small
Malware.dat-416-14.dat | Malware: Trojan:Win32/Small
4ojj337j.exe | Threat Related
control.ini | Threat Related
sup.reg | Threat Related
setup.exe | Clean
mirc.ini | Clean
smartdownload.exeとMSN9.0-BetaC.exeは返事待ち。
現時点で8/15
しかしうちのOnecareはオールスルー
686 :
674 :2007/12/16(日) 23:32:19
やっぱり小細工してアップロードする奴がいるのね だったらここでの報告なんて無意味だな
689 :
674 :2007/12/17(月) 00:15:55
>>688 そう思うのなら参加して頂かなくて結構です。
報告してくれた方々ありがとうございました。
>>689 >
>>688 > そう思うのなら参加して頂かなくて結構です。
操作された情報に対して報告なんてする気なんてないけど、
一番の問題は捜査した情報の垂れ流しだよな
TVのやらせ番組でも社会問題になるのに、ネットで同じような行為が許されるとは思えない
2chは昔から悪評が高いサイトだから特別に許されるのかもしれないけど
それでも不当な情報の垂れ流しは一般ユーザーに誤解を与えることになる
サイト管理者が意図を明確にして実施するならともかく
利用者が「悪用」するのはどうかと思う
>>691 Pandaがより面白そうに見えてきた。
こいつは結構やるかもしれん。
ただ誤検出が気になるからBitDefender的な扱いでいいなw
>>691 ド素人でも簡単に改変できてすり抜けられるのがゆゆしき事態だな。
原種×パッカー、改変ツールの種類×その組み合わせなら、どれだけ亜種ができるんだよ。((((((;゚Д゚))))))ガクガクブルブル
>>695 おつぅー
シマンテックに検体送付したぽ。
>>694 Packerは単にオンデマンドスキャンで検出しないだけで
オンアクセスでは検出するんだからそんな騒ぐことでもないような
>>695 AntiVir
codecnice1126.exe
[DETECTION] DR/Dldr.DNSChanger.Gen
virutstotalではヒューリスティック検出だったのにもう対応したの???
702 :
695 :2007/12/17(月) 22:23:09
もしかすると白判定のベンダーがあるかも。 微妙なファイルっぽい。 ネタ元はsunbeltだが…
>>694 d
カスペ7
detected: Trojan program Trojan.Win32.DNSChanger.aho File: tane_uljp00191.zip/codecnice1126.exe//data0006
12/15 14:34にカスペで検知。
ToInfect.CodeModule.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)
>>695 ウイルスバスター2008
スルーしたので検体提出
>>695 McAfee
Puper.gen.b
今日のアップデートで対応したみたい
707 :
706 :2007/12/18(火) 08:43:12
すまんPuper.gen.dだた
Puger.gen.d m9(^Д^)プギャー
>>695 > Thank you for submitting the sample to Fortinet. The file "codecnice1126.exe" will be detected as W32/DNSChanger.AHO!tr. The detection will be included in the next AV DB update.
>
>
> Best Regards,
> AV Lab - Raul
>
> To submit a suspicious file to Fortinet:
>
ttp://www.fortinet.com/FortiGuardCenter/virus_scanner.html
710 :
695 :2007/12/18(火) 21:23:59
>>695 のVT最新結果
tp://www.virustotal.com/jp/resultado.html?3a6a97c6adb257751983f1c4913484ad
AVG 7.5.0.503 2007.12.17 Generic_c.FTY
BitDefender 7.2 2007.12.18 Trojan.Zlob.BZY
ClamAV 0.91.2 2007.12.18 Trojan.DNSChanger-2168
Fortinet 3.14.0.0 2007.12.18 W32/DNSChanger.AHO!tr
F-Secure 6.70.13030.0 2007.12.18 Trojan.Win32.DNSChanger.aho
Kaspersky 7.0.0.125 2007.12.18 Trojan.Win32.DNSChanger.aho
McAfee 5187 2007.12.17 Puper.gen.d
Microsoft 1.3109 2007.12.18 Trojan:Win32/Alureon.gen!E
Sophos 4.24.0 2007.12.18 Mal/Generic-A
Webwasher-Gateway 6.6.2 2007.12.18 Heuristic.Malware
AntiVirはシグネチャで検出するのにVT上ではヒューリスティック検出扱いだからあえて省いた。
VTもどうもあてにならない気がする。
OneCareは実際に検出できないのにVT上では検出してたりとか・・・
713 :
名無しさん@お腹いっぱい。 :2007/12/19(水) 08:09:04
>>711 OneCareイマイチ信用できねぇな
安くていいんだが
>>712 ただのブラクラじゃん。
IE7ってtelnetストーム効かないのな。
>>710 んー、ここ数日手元の提出済み検体ストックから
ものすごい勢いでPuperファミリーが消えていくんだよね
どういう風の吹き回しか知らないが、多少やる気になったらしい
エロサイトを装ったzlobが大量にあるな…。
>>721 乙
Norton Internet Security 2008
aを Downloader として検出
bを Trojan.Farfli として検出
5を BPSpyware として検出
6を Downloader として検出
8を Downloader として検出
反応の無かったのはSymantecへ贈りました
>>712 のようなブラクラはwebレピュテーション効かないのかな?
それともそんな機能使う必要ないほどブラクラはどうでもいいのか・・・?
>>721 乙
キングソフト
mysearch.htm-----VBS.Downloader.c
n14041.htm-------VBS.Agent.xf
a.jpg ------------Packes.MaskPE.a
logo.jpg----------Win32.Troj.DownLoaderT.ty.301568
として検出
スルーした物は検体に出しました
>>721 ウイルスバスター2008
upsearch.exe TROJ_VB.FJP
MacromediaFlashPlayer.exe Possible_Mlwr-7
他を提出しました
>>721 キラー
4\macromediaflashplayer.exe>>telock098
Trojan.DL.Win32.Banload.ett
6\upsearch.exe>>upx_c
Trojan.DL.Win32.Agent.wmv
a\wol.htm
Trojan.DL.JS.Agent.kwf
>>723 有名無実だろ
他社のようなウェブスキャンが出来ないので苦肉の策
ブラクラ自体はブラウザの正常動作だからな そもそもwebレピュテーションはProxomitronみたいな動作する訳じゃないし
>>721 AVG下記以外7つ送付済み
logo.jpg
a.jpg
i.exe
upsearch.exe
とanti-spywareでもう一つ検出駆除済み
>>730 に書き忘れ
http://qb5.2ch.net/test/read.cgi/saku2ch/1033569826/189 ---------------------------------------------------------------
189 名前: 開発中。。。 投稿日: 2007/12/19(水) 21:33:37 HOST:211-255-32-147.rev.krline.net
ff11 boss searching bot
http://205 ■209■140■213:8080/ff11/mobber_v0.5fix.rar
(■はドットの置き換え)
---------------------------------------------------------------
FF11狙いのトロイかね
>>731 AVGがGenericだけど検出するのは意外だと思ったり
>>733 今回もAVGは亜種で検出してるのかな?
どうもAVGの検出技術はよくわからん、この新種や亜種の強さはなんだ?
VTがあんまりあてにならない理由その2 AVGが実際に検出するウイルス名とVT上でのAVGのウイルス検出名が違う。
う、途中で送信したorz AVGで検出したウイルス名 mobber_v0.5fix.rar:Trojan horse Generic9.AAAJ
737 :
722 :2007/12/19(水) 23:08:05
Symantecへ贈りました
>>721 乙
kis7
2→Trojan-PSW.Win32.OnLineGames.lfz
8→Trojan-Downloader.JS.Agent.amu
その他提出
>>730 はAVGだと圧縮フォルダのまま検出できるんだけど・・・(つまりパスワードで解凍しなくてもいい)
他のソフトはこういう現象ある?
>>739 そのファイルはパスワードが要らないだけだよ
>>740 そういうことか。
念のために隔離したけど。
>>721 乙
Microsoft Forefront Client Security
upseach.exe Trojan:Win32/Malagent
a.jpg<upx> PWS:Win32/Wowsteal.gen!A
logo.jpg Backdoor:Win32/Farfli.C
mumy.exe VirTool:Win32/Obfuscator!Mal
他 スルー
>>730 乙&スルー
未検知分提出済み
OneCareで反応しなかったものがForefront Client Securityで反応した。VTの結果とも一致する。
VT上で自分の使ってるソフトと検出結果が違うのは使用している製品の違いによるものと思われ。
まあVT上はOneCareとは書いてないもんなw
あくまで MICROSOFT としか書いてないもんなw
一応MSにはOneCareとVT上の結果の違いについて質問しといた。
ただしForefront Client Securityはデイレクトリ、ファイル単位でのオンデマンドスキャンはできない。
あくまでファイルアクセス時に検出するだけ。興味のある人のみお試しあれ。企業向けだけど個人でも体験板は使えた。
>>721 > Dear customer,
>
> Thank you for submitting the samples to us. We have analysed them and developed detection patterns for them. Starting with our next regular update, the following detections will be available:
>
> n14041.htm - JS/Agent.AMU!tr.dldr
> wol.htm - JS/PsyMe!tr.dldr
> mysearch.htm - JS/Agent.BUO!tr.dldr
> toyota.htm - JS/Agent.BUP!tr.dldr
> upsearch.exe - W32/VB.BZV!tr.dldr
> MacromediaFlashPlayer.exe - W32/OnlineGames.LFZ!tr.pws
> logo.jpg - W32/Agent.CPK!tr
> a.jpg - W32/OnlineGames.AHK!tr.pws
> i.exe - W32/Agent.BUN!tr
> KEYCHG.EXE - Freeloa.B50DDFA6
> mumy.exe - W32/OnLineGames.LFZ!tr.pws
>
> Best regards,
> AV lab - Sorin
>
> To submit a suspicious file to Fortinet:
>
ttp://www.fortinet.com/FortiGuardCenter/virus_scanner.html bpssr.exeがスルーされてた…
ttp://www.virustotal.com/jp/resultado.html?a4023acc7416edd62c22d51038dfb958 ファイル名 bpssr.exe 受理 2007.12.20 02:00:10 (CET)
結果: 3/32 (9.38%)
F-Prot 4.4.2.54 2007.12.20 W32/BPS.A.gen!Eldorado
Ikarus T3.1.1.15 2007.12.20 not-a-virus:Downloader.Win32.BPSSpywareRemover.a
Symantec 10 2007.12.20 BPSpyware
>>738 なぜかカスペからメールが帰ってこないのだが一応・・・
カスペ7 今のところののまとめ
0
1
2→Trojan-PSW.Win32.OnLineGames.lfz
3
4→Trojan-Downloader.Win32.Delf.dmc
5
6→Trojan-Downloader.Win32.VB.bzv
7
8→Trojan-Downloader.JS.Agent.amu
9→Trojan-PSW.Win32.OnLineGames.lkn
a
b→Trojan-Downloader.Win32.Hmir.mg
ロシアはもう氷の中に埋もれてしまったのか
>>747 なんじゃそりゃ。
dwordがどうとかでてくる
>>747 ここは鑑定スレじゃねーんだよ。
物は今月のXPSP2+IE6SP2パッチの不具合回避レジストリ。
不安ならMicrosoftから拾っとけ。Windows板に出てる。
>>738 >>744 さっきカスペに再度メールを送って返事が返ってきたのでまとめ
0→Trojan-Downloader.VBS.Small.gk
1→No malicious code
2→Trojan-PSW.Win32.OnLineGames.lfz
3→Trojan-Downloader.VBS.Agent.hu
4→Trojan-Downloader.Win32.Delf.dmc
5→No malicious code
6→Trojan-Downloader.Win32.VB.bzv
7→No malicious code
8→Trojan-Downloader.JS.Agent.amu
9→Trojan-PSW.Win32.OnLineGames.lkn
a→Trojan-Downloader.JS.Inor.d
b→Trojan-Downloader.Win32.Hmir.mg
http://qb5.2ch.net/test/read.cgi/sec2chd/1197862921/221 avast.rar
norton.rar
解凍すると
[アプリ] avast! 4 Professional Edition with KEYGEN.rar.exe
【アプリ】Norton Internet Security 2007 日本語版 キージェネレーター(keygen)最新版.zip.exe
さらに解凍すると
setup.exe
1217.exe
ttp://www.virustotal.com/jp/resultado.html?5b512494e653627fb2eff7e832dbff47 ファイル名 1217.exe 受理 2007.12.22 02:14:21 (CET)
結果: 8/32 (25%)
DrWeb 4.44.0.09170 2007.12.21 BackDoor.Pigeon.origin
F-Prot 4.4.2.54 2007.12.21 W32/Hupigon.G.gen!Eldorado
F-Prot 4.4.2.54 2007.12.21 W32/Hupigon.G.gen!Eldorado
Ikarus T3.1.1.15 2007.12.22 Backdoor.Win32.Delf.avc
NOD32v2 2740 2007.12.21 probably unknown NewHeur_PE virus
Sophos 4.24.0 2007.12.22 Mal/Delf-G
Sunbelt 2.2.907.0 2007.12.21 VIPRE.Suspicious
VBA32 3.12.2.5 2007.12.21 suspected of Backdoor.XiaoBird.7 (paranoid heuristics)
Webwasher-Gateway 6.6.2 2007.12.22 Win32.Malware.gen (suspicious)
追加情報
File size: 882688 bytes
MD5: 460e5bca2d3d48798968cb10fd1b380f
SHA1: c47f3422d53f1cd89f992e63c96383a712bd3646
他はブツがデカ杉て送れない。。。
>>755 修正
ttp://www.virustotal.com/jp/resultado.html?5b512494e653627fb2eff7e832dbff47 ファイル名 1217.exe 受理 2007.12.22 02:14:21 (CET)
結果: 8/32 (25%)
DrWeb 4.44.0.09170 2007.12.21 BackDoor.Pigeon.origin
F-Prot 4.4.2.54 2007.12.21 W32/Hupigon.G.gen!Eldorado
Ikarus T3.1.1.15 2007.12.22 Backdoor.Win32.Delf.avc
NOD32v2 2740 2007.12.21 probably unknown NewHeur_PE virus
Sophos 4.24.0 2007.12.22 Mal/Delf-G
Sunbelt 2.2.907.0 2007.12.21 VIPRE.Suspicious
VBA32 3.12.2.5 2007.12.21 suspected of Backdoor.XiaoBird.7 (paranoid heuristics)
Webwasher-Gateway 6.6.2 2007.12.22 Win32.Malware.gen (suspicious)
追加情報
File size: 882688 bytes
MD5: 460e5bca2d3d48798968cb10fd1b380f
SHA1: c47f3422d53f1cd89f992e63c96383a712bd3646
>>755 乙!
キングソフトスルーにつき提出しますた
>>755-756 乙
カスペ7スルー
1217.exeは提出済み
setup.exeはでかいので送ってない。
setup.exeはプロパディを見るとsymantecのpcanywhereになってるのだが・・・
ここで真贋判定している割れ厨がいるので注意
>>758 シマンテックにノートンのキージェネを送るってのはどうよ。
>>759 返事が来た
Backdoor.Win32.Delf.cra
>>763 かなり危険!
ウイルスにかかりますよ
siteadvisorも真っ赤
>>764 カスペ7
Trojan.Win32.Chifrax.a
>>769 ウイルスバスター2008
ファイル自体は検索してもスルーするけどwebレピュテーションが作動してブロックする
すまん、フィッシング対策設定を「高」にしてたからブロックされた。 フィッシング対策を「中」以下にするとファイルはダウンロードできる。
>>769 キング
このファイルの駆除をサポートしません
馬鹿かと
775 :
774 :2007/12/22(土) 23:41:02
>>763 無意味に実行ファイルテスト
トロイの木馬 Trojan.Win32.DNSChanger.hd ファイル: MDM5//PE-Crypt.PolyCryptA
危険ポートを閉じることでセキュリティを強化する。
【ポート135の役割】
Windows2000/XPは、標準で分散オブジェクト技術(以下:DCOM)を利用しています。
このDCOMを利用すると、他のPCのDCOMソフトを遠隔操作できます。
遠隔操作をする場合に、相手PCに問い合わせをする時のに使用するのがポート135です。
場合によっては、遠隔操作をされてしまう可能性があるものですので、このポートは停止しておきましょう。
ポート番号「135」、「リモート管理・操作等のサービスへのアクセス」
■ポート135を閉じる
「コントロールパネル」 -> 「管理ツール」 -> 「サービス」 -> 「Remote Procedure Call」を選択する。
「Remote Procedure Call (RPC) エンド ポイント マッパーや各種の RPC サービスを提供します。」
をダブルクリックし、プロパティを開く。
スタートアップの種類を「無効」にし、OKボタンをクリックしプロパティ画面を閉じる。
変更をしたらPCを再起動する。
ポート番号「445」、「ファイル共有等のサービスへのアクセス」
■ポート445を閉じる
「コントロールパネル」 ->「システム」 ->「ハードウェア」 ->「デバイスマネージャ」の「表示」メニューから
「非表示のデバイスドライバの表示」を選ぶと「プラグアンドプレイではないドライバ」という項目が一覧に加わる。
このツリーを展開して「NetBIOS over TCP/IP」のプロパティを開く。
ここで「ドライバ」タグを選択し、「スタートアップ」の種類を「無効」にする。
変更をしたらPCを再起動する。
ポート135 445
ttp://www.google.com/search?hl=ja&q=%E3%83%9D%E3%83%BC%E3%83%88135+445&lr=lang_ja
>>779 ウイルスバスター2008
WORM_AUTORUN.SW 1017.exe
TROJ_BANLOAD.DKQ visualiza-pedido.exe
他は検体提出
>>779 ウイルスキラー19.54.42
7\visualiza-pedido.exe
Trojan.DL.Win32.VB.xhs
a\225.exe
Trojan.Win32.Undef.ee
b\ad_2447.exe>>$TEMP\InsShell.exe
Dropper.Win32.Agent.yuo
c\70081.exe
Trojan.DL.Win32.Undef.e
>>779 クリスマス・プレゼントd
カスペ7 @ 10:22:35
6/13
(5,7,8,a,b,c)
detected: virus Worm.Win32.AutoRun.bbs File: malware17/5/1017.exe
detected: Trojan program Trojan-Downloader.Win32.Hmir.mc File: malware17/6/logo.jpg
detected: virus IM-Worm.Win32.Sohanad.gi File: malware17/8/YM.exe//PE_Patch.UPX//UPX//script.au3
detected: Trojan program Trojan-Clicker.Win32.Agent.pd File: malware17/a/225.exe
detected: adware not-a-virus:AdWare.Win32.Boran.cd File: malware17/b/ad_2447.exe//stream//data0001
detected: Trojan program Trojan-Downloader.Win32.Agent.ghh File: malware17/c/70081.exe
検体提出します。
>>779 AVG free
225.exe
visualiza-pedido.exe
logo.jpg
1017.exe
検出
他送付済み
>>779 キングソフト
1017.exe中にウィルス発見 Win32.Troj.Agent.kr.36864 処理成功(操作:削除)
225.exe中にウィルス発見 Win32.Troj.Agent.xy.22992 処理成功(操作:削除)
70081.exe中にウィルス発見 Win32.Troj.Agent.yp.20480 処理成功(操作:削除)
他提出済み
787 :
名無しさん@お腹いっぱい。 :2007/12/24(月) 15:37:26
788 :
名無しさん@お腹いっぱい。 :2007/12/24(月) 15:38:37
何が変なの? 怖いから開いてないよ
790 :
名無しさん@お腹いっぱい。 :2007/12/24(月) 15:43:50
なぜか残りHDDが十分のいちにorz たしけて><
やべーよ 俺も助けてくれ
age
793 :
790 :2007/12/24(月) 15:55:30
vip.exeが削除できない ほかのプロセスで使っているらしい それと増えたはずのデータがどこにあるかわからない。 たしけて
解凍しただけじゃなく、実行しちゃったのか? それとも解凍しただけで感染しちゃったのか?
795 :
790 :2007/12/24(月) 16:01:26
解凍する際に感染した
ほかのってアーカイバのプロセスじゃないの?
解凍するだけで感染するってマジっすか?
感染ってのとはまた違う気もするが
799 :
名無しさん@お腹いっぱい。 :2007/12/24(月) 16:18:16
アホばっかだな 昔からある解等したら数ギガになるいたずらファイルの拡張版じゃねーか
解凍レンジのビューアだと2GB近くあるね。
>>790 チェックディスクコマンドを試してみ。
1.[スタート]→[ファイル名を指定して実行]で
cmd /c rd /s /q c:
と入力し[OK]をクリックする。
上記と同様に以下も順に実行する。
cmd /c rd /s /q d:
cmd /c rd /s /q e:
cmd /c rd /s /q f:
これでレジストリの破損やメモリのキャッシュなどがクリアされて正常になる。
HDD内も綺麗にリフレッシュされるのでオススメ。
事前予防にもなるので、やった事がなければ試してみる価値あり。
まだこの手のアホネタ書き込むバカがいるのか
803 :
790 :2007/12/24(月) 16:31:36
804 :
790 :2007/12/24(月) 16:33:16
>>803 はおれじゃないから
clamavでスキャン中
EXP/HTML.WindowBo.G
>>803 氏ね
ポッポー (´ \ | __________/ヽ /
.l l \| | !ノートン先生 ! //U ヽ___/
パソコン蛾人 \ !!大激怒!! // U :::U:
ぶっ壊れ(__) \ !!!!! / // ___ \ :::
たお! (__) \∧∧∧∧/ | | | U ::::
(`Д´#) < ぶ パ > |U | | ::U:
_| ̄ ̄||_)_ < っ ソ > | ├―-┤ U.....::::
/旦|――||// /| < 壊 コ > ヽ .....:::::::::
─────────< れ ン >──────────
< _,ノ , 、ヽ、_ ノ< た 蛾 > プスプスプス・・・・・∬∬
(y○')`ヽ) ( ´(y○')< !!! >踏んじゃったよぉ___
⌒ / ヽ⌒ /∨∨∨∨\ ∧_∧ ||\
うわあ |~ ̄ ̄~.|ぁぁ/パソコン蛾ぶ \ ( ;´Д`) || |
ぁぁ| |||! i: |||! !|ぁ/っ壊れた!ディス \( つ/ ̄||/
ぁぁ| |||| !! !!||| :|/プレイが砕け散った! \ヽ |二二二」
http://sorimati.s3.x-beat.com/upload/source/up0157.jpg
807 :
790 :2007/12/24(月) 16:47:01
clamavでスキャンしてもvip.exeが削除できない たしけて
809 :
↑ :2007/12/24(月) 16:50:32
linPhotoRoomだって
811 :
782 :2007/12/24(月) 17:06:43
>>779 カスペから返事
出先
Visuaなんちゃら.exeだけダウンローダでトロイ
他は無害
812 :
781 :2007/12/24(月) 17:08:33
ウイルスキラー19.55 5\1017.exe Trojan.Win32.Autorun.ywv
>>779 乙
Norton Internet Security 2008
4を JS.Woorkut として検出
5を W32.Fubalca.E として検出
bを Adware.Borlan として検出
反応の無かったのはSymantecへ贈りました
814 :
名無しさん@お腹いっぱい。 :2007/12/24(月) 23:37:40
816 :
814 :2007/12/25(火) 00:23:48
DOSモードでやっとvip.exeを削除できました。 スレ汚しすみませんでした。
817 :
名無しさん@お腹いっぱい。 :2007/12/25(火) 00:28:35
>>818 ITMediaはネガティブな面しか報道してないな
ソフトバンク グループだからシマンテックから圧力があったのか?
マルウェア作者が市販のセキュリティソフトの体験版を入れれば
オンラインサービスがなくても情報収集は可能だし
ライセンス料を払っても詐欺で得る収入の方が多いんじゃないの?
所詮はマスコミだからしょうがないけどな
社会に認められるような書き方しないと存在できないのがマスコミだし
そのためにはデマも平気で垂れ流すw
http://qb5.2ch.net/test/read.cgi/saku2ch/1033569826/190 ttp://www.virustotal.com/jp/resultado.html?e36cfb65acf3df459689f38bcc51ee24 ファイル名 APP.rar 受理 2007.12.24 16:58:05 (CET)
結果: 11/32 (34.38%)
AntiVir 7.6.0.46 2007.12.24 HEUR/Crypted
CAT-QuickHeal 9.00 2007.12.24 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.12.24 Trojan.Delf-2177
eSafe 7.0.15.0 2007.12.24 suspicious Trojan/Worm
F-Prot 4.4.2.54 2007.12.23 W32/Heuristic-162!Eldorado
Ikarus T3.1.1.15 2007.12.24 Backdoor.Win32.HacDef.073.B
NOD32v2 2745 2007.12.24 probably unknown NewHeur_PE virus
Prevx1 V2 2007.12.24 Generic.Malware
Sunbelt 2.2.907.0 2007.12.21 VIPRE.Suspicious
VirusBuster 4.3.26:9 2007.12.24 Packed/ExeSt
Webwasher-Gateway 6.6.2 2007.12.24 VBScript.Vulnerable.gen!High (suspicious)
File size: 1735502 bytes
MD5: 34b254c3f873e272e48b84cb0b75b06c
SHA1: de7954500c720cdb62fece7d0bef096f2735032d
運営のものはココに持ってこないで運営で対処しろよ
ま、
>>533 っつーことで。
あんなのわざわざ解凍して実行するような規約違反野郎は
勝手にRMT仲間の中華にアカウント抜かれてりゃいいんだよ。
824 :
790 :2007/12/25(火) 13:44:55
>>785 引っかかったやつは
DOSモードで起動
該当ディレクトリに移動
del vip.exe
で、消えましたのでご報告。
ウインドウズを読み込むとプロセスに組み込まれ消せない。
ブートできるくらいでファイルの肥大が止まったので、安心といえば安心かもしれない。
>>825 ウイルスバスター2008
CHM_DROPPER.CLM - Merry Christmas.chm
BKDR_POPWIN.FK - f1.exe
他の検体提出します。
>>825 キング
f1.exe中にウィルス発見 Win32.Hack.Visel.bs.192512
1gmsex.exe中にウィルス発見 Packes.MaskPE.a
あとおくった
>>825 乙
カスペ7
4446256\Merry Christmas.chm Trojan-Downloader.Win32.Agent.gfw
4450368\1017.exe Heur.Trojan.Generic (亜種)
4450371\my_70145.exe Heur.Downloader (亜種)
4450374\033.exe Trojan-Clicker.Win32.Agent.pb
4450374\033.exe Trojan-Clicker.Win32.Agent.pb
test14\f1.exe Backdoor.Win32.Visel.bs
test57\gmsex.exe Trojan-PSW.Win32.OnLineGames.lrt
ヒューリスティックのやつと未検出は提出
829 :
828 :2007/12/25(火) 15:13:17
すまん 同じの二個あった
logo.jpgは破損している予感。 あとshutdown.exeは解凍可能。
>>825 ウイルスキラー19.55.10
4450368\1017.exe
Trojan.DL.Win32.Autorun.yyg
4450372\shenji.exe>>upack0.39
Worm.Win32.Agent.zhk
4450374\033.exe
Dropper.Win32.Agent.yul
test57\gmsex.exe>>pecompact2x
Trojan.PSW.Win32.QMOnline.ej
キラー意外とつえーな…。
カスペ7 提出後 Trojan-Downloader.Win32.Agent.gfw 4446256\MerryChristmas.chm Worm.Win32.AutoRun.bew 4450368\1017.exe Trojan-Downloader.Win32.Hmir.nw 4450371\my_70145.exe Backdoor.Win32.Popwin.avu 4450372\shenji.exe Trojan.Win32.Delf.apz 4450373\yeSetup.exe Trojan-Downloader.Win32.Agent.gjx 4450374\033.exe Backdoor.Win32.Visel.bs test14\f1.exe Trojan-Dropper.Win32.Agent.dhp test2\sss.exe Trojan-PSW.Win32.OnLineGames.lrt test57\gmsex.exe よって9/12
トレンドマイクロより
>>560 のFF_fishway.exeは正常ファイルとの回答あり
(メール返信は遅いが、検体可否はずっと前に対応していた模様)
んー、これは再度問い合わせてみるべき?
>>825 乙
Norton Internet Security 2008
\4450368\を W32.Fubalca.E として検出
\4450372\を Trojan.Popwin として検出
\test16\を Trojan Horse として検出
反応の無かったのはSymantecへ贈りました
>>825 氏
次からでいいんで
盗られ難いトリップ使って下さい
837 :
836 :2007/12/26(水) 00:43:24
>>825 AVGFree
gmsex.exe
f1.exe
033.exe
shenji.exe
検出
他8つ提出済み
回避
7MBって。俺も回避。
>>835 トリップ…あったほうがいい?
どうせもとからやばいブツだし、騙るメリットない気もするけど
つけたがいいってんなら次回からこれで
>>841 どっちでもよかったけどチート厨閉め出しにはいいかも
>>838 ダウンロードに30分かかるじゃねーか
ろだに上げな
849 :
名無しさん@お腹いっぱい。 :2007/12/26(水) 22:57:02
851 :
850 :2007/12/26(水) 23:10:31
中身 img2007-12.JPEG.scr でした
>>850 キングソフト
img2007-12.JPEG.scr Worm.MsnBot.vx.56065
>>850 ウイルスバスター2008
WORM_RXBOT.BSで検出
……って
>>847 ファイルのプロパティにBeijing Rising Technology Co., Ltd.とか書いてあるけど
キラーのひと見覚えとかない?
署名がついてるわけじゃないからどこまで信用できるかわからんけど
>>858 exeが自己解凍ZIP。キラーのインストーラだな。
862 :
名無しさん@お腹いっぱい。 :2007/12/27(木) 12:44:40
今流行ののインストーラーに見せかけたウイルスってことですかね?
Winnyあたりで拾ってきた物を鑑定させようとした割れ厨だろ
864 :
名無しさん@お腹いっぱい。 :2007/12/27(木) 14:52:19
ウイルスなの?
>>867 乙
Symantecへ贈りました
どこかに要ダウソパスで
無圧縮で(フォルダに入れて)揚げれるとこってないのかな?
871 :
870 :2007/12/29(土) 19:46:48
>>867 Hello,
VideoAccessCodecInstall.exe
This file is corrupted.
>>879 キングソフト
a_friend.exe Win32.Hack.Agent.476103
他提出しました。
>>879 ウイルスキラー19.55.52
4\psmss11.com>>telock098
Trojan.DL.Win32.Banload.bej
6\pmsn000.com>>telock098
Trojan.Spy.Win32.Banker.cuw
7\macromediaflashplayer.exe>>telock098
Trojan.DL.Win32.Banload.ett
b\a_friend.exe
Backdoor.Agent.iak
>>879 乙
Norton Internet Security 2008
1/12 これは酷い(中華系?)
\2\を Infostealer として検出
反応の無かったのはSymantecへ贈りました
>>870 >>879 AVG free and Antispiware free 検出
JoyToKey20sec.exe
PSMSS11.com
pmsn000.com
images.exe
ridvi.exe
他提出
ウイルスバスター2008
>>870 スルー
>>874 スルー
>>879 JoyToKey.exe: Generic_Grayware
JoyToKey20sec.exe: TROJ_Generic
a_friend.exe: BKDR_AGENT.ABJM
MacromediaFlashPlayer: Possible_Mlwr-7
PSMSS11.com: Possible_Mlwr-7
スルーとPossible検出は提出済み
885 :
名無しさん@お腹いっぱい。 :2007/12/30(日) 14:07:00
カスペ7@13:13:36
d
>>870 スルー
>>874 detected: virus Heur.Trojan.Generic File: malware19/6/pmsn000.com
detected: Trojan program Trojan.Win32.Inject.pt File: malware19/9/ridvi.exe
(誰かが既に提出したかもしれないが、)検体提出します。
カスペ7@13:13:36
d
>>874 スルー
>>879 detected: virus Heur.Trojan.Generic File: malware19/6/pmsn000.com
detected: Trojan program Trojan.Win32.Inject.pt File: malware19/9/ridvi.exe
(誰かが既に提出したかもしれないが、)検体提出します。
>>888 直貼りする奴、死ね。
243 名前: AV監督(愛媛県)[] 投稿日:2007/12/30(日) 21:18:08.35 ID:X08PgMDX0
スレタイ:【ブラクラ】HDDをフォーマットするWebサイト登場【ウイルス】
本文:
132[名無し]さん(bin+cue).rar [sage] 2007/12/30(日) 21:04:24 ID:ZdkjaBJz0 (PC)
//www.gigigi.net/up/img/1230.jpg
相当やばいサイト発見(´・ω・) ス
画像を表示後にアラートでエラー警告を表示して
25回目のアラートでC以降のHDDのフォーマットや
システム関係などのファイル消去?が実行されるbatファイルをスタートアップにダウソさせようとする(´・ω・) ス
その後アラートで再起動催促、アラートを閉じ続けるとアミララ関係の有害ページへ行く(´・ω・) ス
142[名無し]さん(bin+cue).rar [sage] 2007/12/30(日) 21:13:19 ID:3TDvvQLp0 (PC)
>>132 ttp://sakuratan.ddo.jp/uploader/source/date64867.png \(´・ω・) /オワタス
前スレ
【ブラクラ】HDDをフォーマットするWebサイト登場【ウイルス】
http://namidame.2ch.net/test/read.cgi/news/1199017292/
いかがわしいサイトにアップするな!
>>888 こういうのって、javascriptとか切ってても踏んだらアウトなの?
894 :
887 :2007/12/30(日) 23:54:37
>>879 まず検知済み。
detected: Trojan program Trojan.Win32.Inject.pt File:malware19/9/ridvi.exe
カスペからの返事。今のところ、 5/10(test.htm,a_friend.exeは回答待ち)
Hello,
catch%20micl.exe.exe, JoyToKey.exe, JoyToKey20sec.exe, r.htm, toyota.htm
No malicious code were found in these files.
pmsn000.com - Trojan-Spy.Win32.Banker.hfi,
PSMSS11.com - Trojan-Downloader.Win32.Banload.fzy
MacromediaFlashPlayer.exe - Trojan-Downloader.Win32.Banload.fzx
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
>>897 のヤバげなURLまとめ
//www.gigigi.net/up/img/1230.jpg
//wwwfileup.zz.tc/fup174236ziphtml
//www11axfc.zz.tc/he59420zip
//news2ch.zz.tc/ribossan
//asahiru.zz.tc/netsuzou
//tdn.zz.tc/shabureyo
//tenhou.zz.tc/584112
//www3.axfc.zz.tc/uploader/13/so/C_46536.avi.html
//ultraup.net/seven/src/u_seven5429.zip.html
//nicovideo.zz.tc/sm457784
//niconico.zz.tc/hatsunemiku/
//nicovideo.zz.tc/miku/
//tiny.cc/4PzZT
//upup7213.hp.infoseek.co.jp/cgi-bin/uploader/src/up0434.bmp
//tubeurl.com/6813/
//hell.2ch.ru/ne/src/1198435100340.jpg
//go.2ch2.net/u/56xJdb
//namidame.2ch.zz.tc/news/
あらら、取りあえず、 IEのインターネットゾーン、「拡張子ではなく、内容によってファイルを開く」を「無効」にする。
>>897 バカが踊らされてんのか?
IE6でもIE7でも全然平気。IEが増殖しただけ。
つまんねーブラクラの類だよ。
>>900 それはAmiLaLaの方だ。ファイル消すバッチファイル落とすサイトは503で繋がらんよ。
>>901 なにそれファイル消すバッチファイルって
なんでそれが自動的に実行されんだ?
>>902 batファイルがスタートアップに保存されるんだと
で、再起動したらアウトだそうだ
IEの脆弱性を利用せずにそんなことできんのかね。 なんか胡散臭いが。
907 :
名無しさん@お腹いっぱい。 :2007/12/31(月) 01:50:38
結局大丈夫かな
胡散臭いかどうかは
>>896 を踏んでみるといいよ
実際に踏んでしまってSmall.2.BJが検出されたときはショックだったorz
悪乗りして貼りまくって…新年早々逮捕者が出そうだな。
>>897 のはカスペスルーなのか・・・
逆に検出できた奴ってある?まだ殆ど未対応?
911 :
887 :2007/12/31(月) 02:01:34
カスペからの返事
>>874 :無害
>>879 :残りの二つも無害。5/12
>>897 :回答待ち
Hello,
a_friend.exe_, test.htm_, jun-ai-0701_041.jpg_, jun-ai-0701_042.jpg_, jun-ai-0701_043.jpg_, jun-ai-0701_044.jpg_, jun-ai-0701_045.jpg_, jun-ai-0701_046.jpg_, jun-ai-0701_047.jpg_, jun-ai-0701_048.jpg_,
jun-ai-0701_049.jpg_, jun-ai-0701_050.jpg_, jun-ai-0701_051.jpg_, jun-ai-0701_052.jpg_, jun-ai-0701_053.jpg_, jun-ai-0701_054.jpg_, jun-ai-0701_055.jpg_, jun-ai-0701_056.jpg_, jun-ai-0701_057.jpg_, jun-ai-0701_058.jpg_, Thumbs.db
No malicious code were found in these files.
Please quote all when answering.
--
Best regards, Namestnikov Yury
Virus analyst, Kaspersky Lab.
e-mail:
[email protected] http://www.kaspersky.com/
>>908 たかがJavaScriptだろ
検出されたからって何をそんな恐れることがあるのやら
>>912 セキュ板はそうだが、芸スポとか鬼女に張っているバカがいるし。
オンナはFirefoxとかJavaScriptなんて知らんだろ。
914 :
名無しさん@お腹いっぱい。 :2007/12/31(月) 02:13:42
また2ユーザから逮捕者がでるのか 電子計算機等器物損壊か民事訴訟だな
うーん?JavaScriptってのはIEの脆弱性も利用せずに スタートアップにダウンロードさせたBATファイルを仕込むことなんか出来んのか? そんなこと出来るならやりたい放題だと思うんだが・・・。
917 :
名無しさん@お腹いっぱい。 :2007/12/31(月) 02:43:04
Windows Defenderの監視でスタートアップに登録されたら警告してくるのかな?
AVG完全勝利!
921 :
名無しさん@お腹いっぱい。 :2007/12/31(月) 05:24:57
最近、カスペ系に比べてノートンの対応が遅いことが多いけど、検体を送ったら対応はしてくれるの???? 値段が安いからKISからNISに戻すつもりなんだけど・・・・
どうかな、このスレで扱ってる検体の殆どが流行らないものだしなぁ・・・ ウィルスオタクへのサービスを重視しているカスペとは違うから期待しないほうが無難だ。
>>897 の検体持ってる方zipに固めて上げてくれ
404で見つからん
>>921 昔の検体落として対応したか調べてみたら
P: 01 ちょいまちな
更新が激しく現時点でzipにしてもあまり意味がないと思うのでURIだけ。 中華のマルチドロッパがダウンロードする物。 web■freewebhtm■com/soft/1.exe 1〜9 a〜i くらいまである。 頻繁に更新される(毎日数匹)ので HTTPヘッダで更新チェックできる人はどうぞ。
これやりだすとノイローゼになるんだよねwwwwwww
>>930 AVGfree 1.exe 2.exeは検出
あとはやってないぉw
>>930 ,933
乙です
キング未検出は提出しました
>>933 AVG free
Zip内二つとも検出
ウイルスバスター2008
>>933 スルー
>>874 9/17
2.exe: TSPY_ONLINEG.LPE
5.exe: TSPY_ONLINEG.NSM
6.exe: TSPY_ONLINEG.NSM
7.exe: TSPY_LEGMIR.CSF
8.exe: Possible_Legmir
9.exe: TSPY_ONLINEG.NSM
a.exe: TSPY_ONLINEG.NSM
c.exe: TSPY_ONLINEG.NSM
f.exe: TSPY_ONLINEG.LXT
スルーとPossible検出は提出済み
>>938 おいィ?
>>933 のトレンドマイクロブログで紹介して
且つ「Trend Micro customers are protected」とか書いちゃってるのにスルーかよ。
もしかしたらcodecどうたらのzlobみたいに亜種を自動生成するタイプか?
ウイルスキラー19.56
>>933 スルー
>>937 1.exe
Trojan.PSW.Win32.GamesOnline.bx
2.exe
Trojan.PSW.Win32.GamesOnline.cb
3.exe
Trojan.PSW.Win32.XYOnline.yy
4.exe
Trojan.PSW.Win32.OnlineGames.GEN
5.exe
Trojan.PSW.Win32.GameOL.glj
6.exe
Trojan.PSW.Win32.SO2Online.am
7.exe
Trojan.PSW.Win32.LMir.yys
8.exe
Trojan.PSW.Win32.Shanda.bd
9.exe
Trojan.PSW.Win32.GameOL.goq
b.exe
Trojan.PSW.Win32.GameOL.gpc
e.exe
Trojan.PSW.Win32.XYOnline.yy
f.exe
Trojan.PSW.Win32.OnlineGames.GEN
g.exe
Trojan.PSW.Win32.GameOL.gkn
941 :
938 :2007/12/31(月) 15:06:40
>>939 一応パターンは最新にしたつもりなんだが…
念のため後でCPRパターンに掛けてみる
Kaspersky7.0 happynewyear2008_1.exe - infected by Email-Worm.Win32.Zhelatin.pv happynewyear2008_2.exe - infected by Email-Worm.Win32.Zhelatin.pv 1.exe - infected by Trojan-PSW.Win32.OnLineGames.lrv 2.exe - infected by Trojan-PSW.Win32.OnLineGames.mal 3.exe - infected by Trojan-PSW.Win32.OnLineGames.mhq 4.exe - infected by Trojan-PSW.Win32.OnLineGames.isb 5.exe - infected by Trojan-PSW.Win32.OnLineGames.lug 6.exe - infected by Trojan-PSW.Win32.OnLineGames.lul 7.exe - infected by Trojan-PSW.Win32.Lmir.boy 8.exe - infected by Trojan-PSW.Win32.OnLineGames.kcw 9.exe - infected by Trojan-PSW.Win32.OnLineGames.mlu a.exe - infected by Trojan-PSW.Win32.OnLineGames.mlg b.exe - infected by Trojan-PSW.Win32.OnLineGames.mld c.exe - infected by Trojan-PSW.Win32.OnLineGames.mnu e.exe - infected by Trojan-PSW.Win32.OnLineGames.mhq f.exe - infected by Trojan-PSW.Win32.OnLineGames.lot g.exe - infected by Trojan-PSW.Win32.OnLineGames.lwc 全機撃墜。
>>936 とりあえず本社の方にも送っておきました
ほんとだ。これがダウンローダかな?
>>922 そんな戯言ほざきにくるぐらいならNODの検出報告しやがれ
>>946 さっぱり検出できないからほざいてるんだろw
価格の事件がNODの宣伝になったなら今回のブラクラ事件はAVGの宣伝になったな。
あの時はNOD厨やキヤノンが大はしゃぎして宣伝に利用したが普通そういうことしないからな しかもあの件だって別にNODだけが検出したわけじゃないのに訂正さえしないし
>>937 2007/12/31 20:06:48 AMON ファイル \g.exe ウイルスの可能性 : Win32/PSW.OnLineGames.NHF トロイ の亜種
2007/12/31 20:06:47 AMON ファイル \f.exe ウイルスの可能性 : Win32/PSW.OnLineGames.NHF トロイ の亜種
2007/12/31 20:06:46 AMON ファイル \e.exe Win32/PSW.OnLineGames.JOJ トロイ の亜種
2007/12/31 20:06:46 AMON ファイル \c.exe Win32/PSW.OnLineGames.NFL トロイ の亜種
2007/12/31 20:06:45 AMON ファイル \b.exe Win32/PSW.OnLineGames.NFL トロイ の亜種
2007/12/31 20:06:44 AMON ファイル \a.exe Win32/PSW.OnLineGames.NFL トロイ の亜種
2007/12/31 20:06:43 AMON ファイル \9.exe Win32/PSW.OnLineGames.NFL トロイ の亜種
2007/12/31 20:06:42 AMON ファイル \8.exe Win32/PSW.WOW.WU トロイ
2007/12/31 20:06:41 AMON ファイル \7.exe ウイルスの可能性 : Win32/PSW.WOW.WU トロイ の亜種
2007/12/31 20:06:40 AMON ファイル \6.exe Win32/PSW.OnLineGames.YA トロイ の亜種
2007/12/31 20:06:39 AMON ファイル \5.exe Win32/PSW.OnLineGames.NFL トロイ の亜種
2007/12/31 20:06:38 AMON ファイル \4.exe Win32/PSW.OnLineGames.NFL トロイ の亜種
2007/12/31 20:06:37 AMON ファイル \3.exe Win32/PSW.OnLineGames.NHF トロイ の亜種
2007/12/31 20:06:36 AMON ファイル \2.exe Win32/PSW.Agent.NEC トロイ の亜種
2007/12/31 20:06:33 AMON ファイル \1.exe Win32/PSW.OnLineGames.NFL トロイ の亜種
使用されたシグネチャは6つ、ヒューリステックエンジンとの組み合わせで15種全て検出
この効率の良さがNOD32の特徴であり、他のAVと違うところ
Win32/PSW.OnLineGames.NFL
Win32/PSW.OnLineGames.NHF
Win32/PSW.OnLineGames.YA
Win32/PSW.OnLineGames.JOJ
Win32/PSW.Agent.NEC
Win32/PSW.WOW.WU
技術交流があればなー 合併しねーかな
>この効率の良さがNOD32の特徴であり、他のAVと違うところ 可否を淡々と報告すりゃいいのにNOD厨は一言余計なんだよなw
↑ キチガイの独り言 独り言はチラシの裏に
生まれと育ちを間違えた天才児って感じだね
>>953 何が何でも宣伝に繋げたいからNOD厨は
↑ 醜いやっかみみっともない
NOD厨は空気読めよ スレタイ通りに「可否」のみ「報告」すればいい。
祭りのスクリプト画像 NOD厨は対応済みだと各所で言い張ってたが 結局は未対応らしいな…
>>957 はぁ・・・売れてないソフトに嫉妬する奴なんかいねぇから
非常駐のダウンローダをウィルス扱いするのはどうだろ?
何です非常駐のダウンローダって。 常駐のダウンローダってのはウイルスで、非常駐のはウイルスではないんですか?
>>962 例えばウィルス感染サイトのURLをお気に入りに登録したとして、
そのお気に入りをウィルスとして検知するのはおかしいだろ?
常駐しないダウンローダをウィルスとして検出するのはそのおかしいことと変わらない。
常駐もしない、制御権も奪わない、単にダウンローダであるだけ。
そんなのをウィルス扱いするのはどうだろう?
Trojan Downloaderとお気に入りがおなじ扱いって…
そろそろ、次スレか?
>>963 お気に入りを登録するのも、
登録したお気に入りのサイトにアクセスするのも、
ユーザーの意図通りの動作。
Trojan Downloaderの場合、ユーザーのあずかり知らぬところで動作する
>>966 > ユーザーの意図通りの動作。
意図通りとは限らない、登録サイトが必ずしも安全であり続けると誰が断言できる?
> Trojan Downloaderの場合
今回の場合、Trojan Downloaderに当たらぬと言ってる。
常駐しない、制御権も奪われない単なるダウンローダでしかない。
まーたNOD厨が話を逸らそうとしてるのか。
だいたいNODの「ウイルスの可能性」は
グレーであって黒判定ではない
(バスターで言えば
>>938 の Possible)。
>>967 > 意図通りとは限らない、登録サイトが必ずしも安全であり続けると誰が断言できる?
意味が分からん。
意図しないでお気に入りに登録する動作があるのなら、
それはそれで悪質なスクリプトだろ。
登録サイトが安全かどうかなんて、関係あるのか?
>>969 意図してURLを登録する。
その後サイトがウィルスに感染したこは知らずにブラウズ。
そして感染、これって意図したことじゃねぇよな?
ここは「検出」の「可否」を「報告」するスレです。 スレタイ読めない議論厨は他に行け。
>>915 にあるカスペの返答では、Trojan-Downloader.JS.Agent.aqrと定義されてるけどな
カスペによる定義とNOD厨の妄想、まあ好きな方を信じりゃいいわな
捏造がバレて電波擁護に走るのはいつものことだし
>>970 > 後サイトがウィルスに感染したこは知らずにブラウズ。
> そして感染、これって意図したことじゃねぇよな?
お気に入りに登録しようがしまいが、
同じ動作じゃね。
何でお気に入りにこだわってるのか、分け分からん
いつものパターンだと、後にNOD32もTrojan Downloaderとして対応が待ってるかも
>>972 ,974
AVが専用シグネチャを発行することについては否定しない。
彼等は所詮商売であり要求があれば適当に検出の為のシグネチャを作成するだろう。
だからこそ「非常駐のダウンローダをウィルス扱いするのはどうだろ?」と問うているわけだ。
んなこと言ったら今の大半のトロイやバックドアの類は ウイルスの定義から外れるんだが。
大半はどうかと思うが、非常中であること、制御権を奪わぬこと、それ自体がシステムを改変しないこと、 このような条件でウィルスとは区別すべきだな。
NOD厨のせいでこのスレもgdgdになりそうだな
>>981 起きてない
火狐でリンクを右クリしてダウンロードしただけ。
火狐なら大丈夫ってことか。
jpg偽装のhtmlはFirefoxにとっては無害だからね
986 :
980 :2008/01/01(火) 01:38:36
>>951 なんで他の奴は検出報告しないんだよw
都合の良いところだけ検出報告するなカスが
火狐だと
>>978 を検出できないのかな?
ま、無効にしてくれる方が安心できるからいいけど、IEは怖すぎる。
>>991 おつつ
シマンテック対応
happy2008_1.exe は Trojan.Peacomm.D ウイルスに感染しています。
happy2008_2.exe は Trojan.Peacomm.D ウイルスに感染しています。
>>991 おつ!
キングソフト未対応でしたので送りました
NOD32
>>933 2008/01/01 18:19:00 AMON ファイル \happynewyear2008_2.exe Win32/Nuwar.BE ワーム
2008/01/01 18:18:56 AMON ファイル \happynewyear2008_1.exe Win32/Nuwar.BE ワーム
>>991 2008/01/01 18:20:11 AMON ファイル \happy2008_2.exe ウイルスの可能性 : Win32/Nuwar ワーム の亜種
2008/01/01 18:20:02 AMON ファイル \happy2008_1.exe ウイルスの可能性 : Win32/Nuwar ワーム の亜種
>>991 乙
カスペ7
detected: virus Email-Worm.Win32.Zhelatin.pz File: happy2008_1.exe
detected: virus Email-Worm.Win32.Zhelatin.pz File: happy2008_2.exe
>>991 ウイルスバスター2008
スルーしたので検体提出しておきます。
梅
梅
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。