【鑑定目的禁止】検出可否報告スレ8

�@はじめに
各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
IDが無いため検出結果を張る際はSSを必ず張ってください。
うｐろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

前スレ
【鑑定目的禁止】検出可否報告スレ7
http://pc11.2ch.net/test/read.cgi/sec/1216217642/


●専用アプロダ推奨↓
http://tane.sakuratan.com/

�A議論や意見のまとめ

・圧縮ファイルと検出数
　exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。

・DOSウイルス禁止
　大昔のウイルスを集めてきても無意味なことがあります。

・パスなしZIPをパス有りLZH(またはRAR)で
　安全性と利便性のため、上記の手法を推奨します。

・淡々とやれ淡々と！
　淡々と貼り、淡々といきましょう。

・ブラクラ禁止
　ブラクラ等、想定しないものを無言で貼らないこと

・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
　んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。
　という意見もあり。

・スレ違いでもめる(2スレ目以降)

・提出した際は必ず記載。提出していないときもできれば記載。（ベンダーに多重送付を避けるため）

・ベンダーにより、多少セキュリティ・ポリシーの違いある場合あり。

・あらしはスルー。ソフトの優劣の議論は別スレで！

【重要】
●ここは鑑定スレではありません！！！！！malwareのみお願いします。
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。

※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上
に微力ながら貢献することを目的としているスレです。
検体の悪用・不正利用は厳禁願います。

●検体は、セキュリティ上の観点からなるべく >>1のアップローダを使用してください。

●検体確認は自己責任でお願いします。感染しても責任はもてません！

●できれば、検体は、>>1のアップローダを使用してください。

※◆W32/Vael.oは信頼できるコテさんです。


●ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。

VIRUSTOTAL (VT)
http://www.virustotal.com/jp/

VirScan
http://www.virscan.org/

※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。

●新種・亜種ウイルスを発見した場合のサンプル提出先
(未検出の場合はとにかく提出しましょう)

シマンテック （ノートン）
Symantec Security Response USA 〔Upload a suspected infected file〕
ttps://submit.symantec.com/websubmit/retail.cgi

ウイルスバスター（トレンドマイクロ）　
http://inet.trendmicro.co.jp/esolution/supform.asp
バスターユーザー以外は
;http://www.trendmicro.com/jp/security/virushunter.htm
http://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7

マカフィー　
http://www.nai.com/japan/security/contactavert.asp

ウイルスセキュリティ(K7Computing)　
http://k7computing.com/faq.htm

ESET　NOD32アンチウイルス　
http://www.eset.com/support/ans/9d.htm

V3ウイルスブロック　
http://info.ahnlab.com/customer/virus_call.html

ウイルスドクター　
http://www.virusdoctor.jp/virus/

Rising（ウイルスキラー）
http://up.rising.com.cn/webmail/uploadnew.htm
Rising（ウイルスキラー）英語版
ttp://sample.rising-global.com/webmail/upload_en.htm


Dr.WEB　
ttp://drweb.jp/support/virus_sample.html

ソフォス（Sophos)　
http://www.sophos.co.jp/support/queries/#sample

F-Secure (エフセキュア)　
http://www.f-secure.co.jp/support/samples/

kaspersky（カスペルスキー）
http://www.kaspersky.co.jp/
一番下の「新しいウイルスをお知らせ下さい」

バイロボット(hauri)
http://www.haurijapan.com/support/vreport01.php

キングソフトアンチウィルス
http://www.kingsoft.jp/is/kentai.html

BitDefender　
http://www.bitdefender.com/bd/site/contactus.php

Avira AntiVir
ttp://www.avira.com/en/support/submit_suspicious_files.html

ewido (AVG;Anti ;Spyware)　
http://www.ewido.net/en/malware/

AVG　
http://www.grisoft.cz/doc/faq/jp/crp/0
http://www.grisoft.com/jp.faq.num-771#faq_771

avast!　
http://www.avast.com/jpn/technical_support.html

eTrust　
http://www.caj.co.jp/support/csp/free_policy/virus.htm

F-PROT;
http://www.f-prot.com/virusinfo/submission_form.html

eSafe　
http://www.aladdin.com/home/csrt/vsubmit.asp

a2(a-squared)
http://www.emsisoft.jp/jp/support/submit/

Microsoft（マイクロソフト）
ttp://www.microsoft.com/security/portal/submit.aspx

ウイルスセキュリティ(K7Computing)
http://k7computing.com/virus_issues.asp#3

ウイルスチェイサー
http://www.viruschaser.jp/support_aft.html#q28

HAURI
ttp://www.haurijapan.com/support/support/virus_reg.html

以上 テンプレここまで



テンプレ、>>4->>7の検体提出先の変更・追加あれば、>>8にレスする形で指摘よろ。

>>8
乙
スキャンサイトの紹介はまだJootiとかあるしそれらも貼ってはどうでしょう？
それと検体提出報告は提出したかしてないか問わず報告した方がいいというのも

1乙

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=126
pass:virus

>>1
乙
PandaGlobalProtection2009

アドウェアを検出 : Adware/MxLiveMedia オンデマンドスキャン 通知済み 0.exe[2UC\f2][■%%\2nC]
アドウェアを検出 : Adware/MxLiveMedia オンデマンドスキャン 通知済み 0.exe[2UC\f1][■%%\2?C.dll]


検体提出しようかどうか微妙なところ

>>11
AntiVirPremium
0.exe
[DETECTION] Is the TR/BHO.rpn Trojan

おいおい検出してるのにPandaとAntiVirが未検出扱いかよ・・・
http://www.virustotal.com/analisis/573ca2ead431b1045976bd98b2515362

>>1乙
ではあるが、↓はいらなかったかな
> IDが無いため検出結果を張る際はSSを必ず張ってください。

>>8
>>3のアップローダの項目が二つあるよ

>>11
Kaspersky 7
0.exe//data0002//stream//data0002 トロイの木馬 Trojan.Win32.Agent.asjk

>>11
McAfeeに提出させて頂ました。

McAfeeはともかくSymantecの対応早っ！！
即日対応じゃん

http://www.virustotal.com/analisis/c22de69083766c6cc91dc78bd2cee2c2

>>20
MacAfeeはともかく、Artemisはすごいな。

同じwebページに0.exe〜49.exeまでありました。
全部zip圧縮すると25M近くになるのですが、うｐしたほうがいいでしょうか？

参考：未提出の49.exeの検出状況
http://www.virustotal.com/analisis/65d7bcbc50febae7734160e04bfc4378

>>22
PandaはともかくなんでNOD32がそんなに検出できるんだ・・・？

うｐは小分けした方がいいんじゃないかと

1.exe〜5.exeまで
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=127
pass: virus

>PandaはともかくなんでNOD32がそんなに検出できるんだ・・・？
NOD32使っているけど、全検出だったので逆に気持ち悪い。
検出名は全部同じなので、微妙に変えた亜種ばかりのようです。

>>24
PandaGlobalProtection2009

全てAdware/MxLiveMediaだけど3だけ削除不可能でした

>>24
http://www.virustotal.com/analisis/e716dd36a3d70bdab386873d0b61dd04
http://www.virustotal.com/analisis/eca974e67316d8438bacc671d50b5c8e
http://www.virustotal.com/analisis/ab73c7ffe81d8a6d33d62f3ee19da746
http://www.virustotal.com/analisis/544fb82085a7592a2285fad904e311c5
http://www.virustotal.com/analisis/aba5304b0cad065b60084341fdf9c2af

AntiVirはADSPY検出なのでPremiumじゃないと検出できません

うｐされたもので全検出してるのはNOD32とPandaとバスターだけ
Pandaはともかくバスターって結構頑張ってると思うのになんで各テストになると成績が悪いんだろ？
このスレではSymantecより検出してることがあったような

いい忘れたけどAntiVirに提出しました

>>11>>24
Rising 2009 スルー

>>24
McAfeeに提出させて頂ました。

>>24
VirustotalでカスペとMcAfeeも全検出確認（McAfeeはArtemis検出）
一応AntiVirPremiumも全検出できるようになってるが・・・・（こちらはVirustotalでは未検出状態、こちらでも検出した時ウイルス名が出てなかった）

ｽﾏｿ、AntiVirの検出名出てた、↓参考にどうぞ

1.exe.VIR
[0] Archive type: NSIS
--> [PluginsDir]/f2
[1] Archive type: NSIS
--> ProgramFilesDir/[SystemDir]/[UnknownDir]
[DETECTION] Is the TR/BHO.rpn Trojan

2.exe.VIR
[0] Archive type: NSIS
--> [PluginsDir]/f2
[1] Archive type: NSIS
--> ProgramFilesDir/[SystemDir]/[UnknownDir]
[DETECTION] Is the TR/BHO.rpn Trojan

3.exe.VIR
[0] Archive type: NSIS
--> [PluginsDir]/f2
[1] Archive type: NSIS
--> ProgramFilesDir/[SystemDir]/[UnknownDir]
[DETECTION] Is the TR/BHO.rpn Trojan

4.VIR
[0] Archive type: NSIS
--> [PluginsDir]/f2
[DETECTION] Contains recognition pattern of the ADSPY/GooochiBiz.A adware or spyware
--> [PluginsDir]/f2
[1] Archive type: NSIS
--> ProgramFilesDir/[SystemDir]/[UnknownDir]
[DETECTION] Is the TR/BHO.rpn Trojan
[DETECTION] Contains recognition pattern of the ADSPY/AdRotator.11 adware or spyware

書ききれなかったので続き

5.exe.VIR
[0] Archive type: NSIS
--> [PluginsDir]/f2
[1] Archive type: NSIS
--> ProgramFilesDir/[SystemDir]/[UnknownDir]
[DETECTION] Is the TR/BHO.rpn Trojan

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=128
virus
a1〜a350は350体あるけど面倒なので最初と最後のだけ。

追加。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=129
virus
agent0〜4は前スレにも出したあれ。
newなんとかは下手な鉄砲数撃ちゃ当たるな感じ。

>>11の0.exeとその仲間達
NSISの多重圧縮になってるのが癌なんじゃねーの？
圧縮を解除すると出てくるdllなら、PandaとAntiVirは昨日から検出してたよ…
他に検出可能だったベンダーもチラホラ
http://www.virustotal.com/analisis/d7afda82a46c86adaac53205e537dd1b

>>24
検体送ってくれたおかげか、AntiVirでtrojanで検出可能です。

>>33
NOD32 3.0 定義データベース3665　5/9

a1t1.exe Win32/TrojanDownloader.Small.OGQの亜種である可能性 トロイの木馬
a350t1.exe Win32/TrojanDownloader.Small.OGQの亜種である可能性 トロイの木馬
a350.exe Win32/Genetikの亜種である可能性 トロイの木馬
a1.exe Win32/Genetikの亜種である可能性 トロイの木馬
unknown1.exe Win32/PSW.Legendmir.NFYの亜種 トロイの木馬

未検出ぶん提出しました

PandaGlobalProtection2009

>>33
ウイルス発見 : Trj/Downloader.UZB A1T1.EXE
ウイルス発見 : Trj/Downloader.UZB A350T1.EXE

>>34
ウイルス発見 : Trj/Lineage.BZE NEW13.EXE
ウイルス発見 : Trj/Lineage.BZE NEW1.EXE
ウイルス発見 : Trj/Lineage.BZE NEW10.EXE
ウイルス発見 : Trj/Lineage.BZE 　NEW18.EXE
ウイルス発見 : Trj/Lineage.BZE NEW16.EXE
ウイルス発見 : Trj/Lineage.BZE 　 NEW17.EXE
ウイルス発見 : Trj/Lineage.BZE NEW19.EXE
ウイルス発見 : Trj/Lineage.BZE NEW22.EXE
ウイルス発見 : Trj/Lineage.KGA 　 NEW36.EXE
ウイルス発見 : Trj/Lineage.BZE 　 NEW5.EXE
ウイルス発見 : Trj/Lineage.BZE NEW34.EXE
ウイルス発見 : Trj/Lineage.BZE 　 NEW4.EXE
ウイルス発見 : Trj/Downloader.MDW NEW32.EXE
ウイルス発見 : Trj/Lineage.BZE NEW26.EXE
ウイルス発見 : Trj/Lineage.BZE 　NEW31.EXE
ウイルス発見 : Trj/Lineage.BZE 　　 NEW33.EXE
ウイルス発見 : Trj/Lineage.BZE NEW30.EXE
ウイルス発見 : Trj/Lineage.BZE NEW24.EXE
ウイルス発見 : Trj/Lineage.BZE NEW29.EXE
ウイルス発見 : Trj/Lineage.BZE NEW27.EXE
ウイルス発見 : Trj/Lineage.BZE NEW25.EXE
ウイルス発見 : Trj/Lineage.BZE NEW21.EXE
ウイルス発見 : Trj/Lineage.BZE 　 NEW23.EXE
ウイルス発見 : Trj/Lineage.BZE NEW20.EXE
書ききれないので続く

続き
ウイルス発見 : Trj/Lineage.BZE NEW6.EXE
ウイルス発見 : Trj/Lineage.BZE 　　NEW3.EXE
ウイルス発見 : Trj/Lineage.BZE NEW8.EXE

スルー：a1、a350、x43、agent2〜3、new28
それ以外：疑わしいファイルとして検出

スルーしたものはPanda検疫に隔離後提出

>>35

>>31と>>32を見てるとそんな感じかもね
AntiVirの検出のタイミングもいつもと違った

Pandaの検出報告があまりにも大変すぎたのでAntiVirはスルー報告だけ
>>33はヒューリスティック含め全検出
>>34はagent2〜4がスルー

検体提出しました

>>33
http://www.virustotal.com/analisis/42d5ce6493fc3d3960da050c7ae2696c
http://www.virustotal.com/analisis/9f058fa9a4a59a68dde0c4be0038e8d6
http://www.virustotal.com/analisis/be9a2896a0b7974e75ae571fbf65770d
http://www.virustotal.com/analisis/4be21856dc0fea508f244d3a4dccd608
http://www.virustotal.com/analisis/ef2ce2cafe3dbf256b6e7ac485e97821
http://www.virustotal.com/analisis/b8df8b27ffda05aac9514e5454368776
http://www.virustotal.com/analisis/c168c7f1df174f606f537abaabeeac01
http://www.virustotal.com/analisis/3e5dce1ef21a1bf6dab11988c01e16ab
http://www.virustotal.com/analisis/ba9680999ba3ea39aa737a1d823722a8

>>41
カスペがVirustotal上でヒューリスティック検出したのは初めて見た気がする
F-Secureも一部ヒューリスティックで検出してるね

カスペ2009 12:46:00 今北産業。ヒューリスティック含めて検体提出します。
>>24 5/5
Detected Trojan program Trojan-Downloader.Win32.Zlob.aotb 1.exe, 2.exe, 3.exe. 4.exe, 5.exe

>>33 9/9
Detected Trojan program Trojan-Dropper.Win32.Agent.aauk a1.exe, a350.exe
Detected Trojan program Trojan.Win32.Agent.assg a1t.exe, a350t.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.asjp a1t1.exe,a350t1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.aauk a350.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.aatf x43.exe
Detected Trojan program Trojan.Win32.Agent.aslq x43t.exe
Detected virus HEUR:Trojan.Win32.Generic unknown1.exe


>>34 41/43 (agent0.exe, agent4.exe以外）
Detected Trojan program Trojan.Win32.KillAV.bag agent1.exe
Detected Trojan program Backdoor.Win32.Agent.vac agent2.exe, agent3.exe
Detected Trojan program Trojan.Win32.Agent.asps n1.exe
Detected virus Worm.Win32.AutoRun.tpz new0.exe
Detected Trojan program Trojan-GameThief.Win32.Magania.gen new1.exe〜new6.exe, new8.exe, new9.exe, new12.exe, new16.exe, new36.exe
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.tvqr new7.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.aark new10.exe, new11.exe,new14.exe, new15.exe, new17.exe, new18.exe
Detected Trojan program Trojan-GameThief.Win32.Magania.amjb new13.exe. new20.exe〜new27.exe, new33.exe, new34.exe
Detected Trojan program Trojan-GameThief.Win32.Magania.amlc new19.exe, new29.exe, new30.exe
Detected Trojan program Trojan.Win32.Agent.aseg new28.exe
Detected virus HEUR:Trojan.Win32.Generic new28.exe
Detected Trojan program Trojan-GameThief.Win32.Magania.amhc new31.exe
Detected Trojan program Trojan.Win32.Agent.anbe new32.exe
Detected Trojan program Trojan.Win32.Agent.ahzz new37.exe

Trojan-GameThief.Win32.Magania.genは、シグネチャまとめてジェネリック(generic)にしたのかな。

>>34
AntiVirPremium
全検出確認

>>33>>34
未対応分をMcAfeeに提出させて頂ました。

Rising Internet Security 2009 21.16.21 (21.06.32.00) >>33
a1t.exe: Trojan.Win32.Undef.tdr
a1t1.exe: Trojan.DL.Win32.Mnless.bri
a350t.exe: Trojan.Win32.Undef.tdr
a350t1.exe: Trojan.DL.Win32.Mnless.bri
unknown1.exe>>nspack: Trojan.PSW.Win32.LMir.caw
5/9
>>34
agent0-1,3,.exe: Worm.Win32.NSDownloader.k
agent2.exe: Worm.Win32.NSDownloader.j
n1.exe>>upack0.39: Worm.Win32.DownLoad.jw
new1,8.exe>>upack0.39>>66: Trojan.PSW.Win32.GameOL.sfp
new10-11,14-15,17-18.exe>>upack0.39: Trojan.PSW.Win32.GameOL.sic
new7,13,19-27,29-31,33-34.exe>>upack0.39>>65: RootKit.Win32.Mnless.alh
new3.exe>>upack0.39>>66: Trojan.PSW.Win32.GameOL.qxr
new3,5.exe>>upack0.39>>65: Trojan.Win32.Undef.sxv
new32.exe>>fsg2.0: Trojan.PSW.Win32.GameOL.rvg
new36.exe>>upack0.39>>66: Trojan.PSW.Win32.GameOL.sfq
new37.exe>>nspack: Trojan.Win32.Undef.rtk
new4.exe>>upack0.39>>66: Trojan.PSW.Win32.GameOL.sct
new4.exe>>upack0.39>>65: Trojan.Win32.Undef.teq
new5.exe>>upack0.39>>66: Trojan.PSW.Win32.GameOL.rvk
new6.exe>>upack0.39>>66: Trojan.PSW.Win32.XYOnline.ajs
new6.exe>>upack0.39>>65: Trojan.Win32.Undef.tka
36/43

>>34
NOD32 18:30　定義バージョン3665　42/43

Win32/Agent.OKR トロイの木馬…new32.exe
Win32/AutoRun.WCの亜種である可能性 ワーム…new0.exe
Win32/Delf.NNM トロイの木馬…n1.exe
Win32/PSW.Delf.NMXの亜種 トロイの木馬…new37.exe
Win32/PSW.OnLineGames.NRD トロイの木馬…new10.exe、new13.exe、new17.exe、new18.exe、
new19.exe、new21.exe、new23.exe、new24.exe、new25.exe、new26.exe、new27.exe、new29.exe、
new30.exe、new31.exe、new33.exe、new34.exe
Win32/PSW.OnLineGames.NRDの亜種 トロイの木馬…new11.exe、new14.exe、new15.exe、
new20.exe、new22.exe、new7.exe
Win32/PSW.OnLineGames.NRF トロイの木馬…new1.exe、new3.exe、new4.exe、new5.exe、new6.exe、new8.exe
Win32/PSW.OnLineGames.NRFの亜種 トロイの木馬…new12.exe、new16.exe、new2.exe、new9.exe
Win32/PSW.OnLineGames.NST トロイの木馬 …new36.exe
Win32/Rootkit.Agent.NHGの亜種 トロイの木馬…agent2.exe
Win32/TrojanDownloader.Agent.OMQの亜種 トロイの木馬…agent0.exe、agent1.exe、agent3.exe
agent4.exeを未検出。Esetに提出済。

最近のNOD32の検出率が異常な件について

んな数人の数個の検体でｗ

だから「最近」といってるわけだけどｗ
今までが酷すぎたからさすがにNOD32に限ってはまだまだ信用できないって

ただ他が一通り検出してるからNOD32も検出できて当たり前というわけではなくNOD32がいち早く検出して他はまだまだ未対応というのが最近のこのスレのパターンだからこれをどう見るべきか

>>33
Panda全検出

K7AntiVirus　9.5.0623
>>24
0/5

>>33
0/9

>>34
3/43
05-Dec-2008 22:00:08,a,OnDemand Scan,　0129,agent2.exe/File2.exe,Infected by Backdoor.Win32.Agent.vac,LeftAlone,
05-Dec-2008 22:00:08,a,OnDemand Scan,　0129,agent3.exe/File4.exe,Infected by Backdoor.Win32.Agent.vac,LeftAlone,
05-Dec-2008 22:00:09,a,OnDemand Scan,　0129,new32.exe,Infected by Trojan.Win32.Agent.anbe,Cleaned ,
22/43はこれ
05-Dec-2008 22:00:08,a,OnDemand Scan,　0129,new10.exe/File7.exe,Infected by Generic.Packed.Upack,LeftAlone,

カスペ2009@21:15:00

>>33 tane0128 ヒューリスティック→シグネチャ。9/9
Detected Trojan program Trojan.Win32.Inject.kyx unknown1.exe


>>34 tane0129 41+追加検出2=43/43
Detected Trojan program Trojan-Downloader.Win32.Agent.atbe agent0.exe
Detected Trojan program Trojan.Win32.Agent.asso agent4.exe

ttp://www.bestsecurity.jp/
良サイト。すごく参考になった。

ESET Smart Securityの宣伝ですね。分かります。

「たまたま」検出できる検体が多かっただけでしょう。
定義データベースの更新があったけど、未検出状態に変化なし。

NOD32アンチウィルス Part58
http://pc11.2ch.net/test/read.cgi/sec/1222214199/

474 名前：名無しさん＠お腹いっぱい。 投稿日：2008/12/05(金) 19:44:34
ウイルスソフト比較＆評価 2009年版 - セキュリティソフトの選び方
ttp://www.bestsecurity.jp/
わかり易く丁寧に作られたサイト。
すごく参考になった。

475 名前：名無しさん＠お腹いっぱい。 投稿日：2008/12/05(金) 20:12:38
お前のサイトだろｗ

>>56
NOD32に関しては普通に考えたらそうだろうね
これで検出方法が変わったかシグネチャ量が増えたか対応速度がかなり速くなったかになれば救いがあるんだけど・・・

それもそうだけどK7（笑）

>>33
未検出分をDrWebに提出しました。

NOD32の検出名を見ると、ほとんどヒューリスティックでしょ？
ここ最近の検体は同系統の亜種がやたら多いから、それが良い方に影響してるんだと思う
定義対応で見ると、残念ながら対応速度は変わっていません

あそこは検体を送っても気が向いた時しか対応しない雰囲気ある。
そんでもって更新回数を稼ぐためだけの空虚なアップデートは何度もやる。
観音なんか送っても完全シカトだし。

967 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2008/12/06(土) 02:39:14 ID:k03BUCrX0
CCD騙撮ゼツリンピック イナバウアー ひみか 19才
http://img145.imageshack.us/img145/9130/den08az0.jpg
http://w13.easy-share.com/1699740353.html

スクールガール 田咲優花
http://pics.dmm.co.jp/mono/movie/4ragi042/4ragi042pl.jpg
http://chocolatgirl.50webs.com/description/lame-enc.html

パケの割にはかなり抜けた

969 名前：[名無し]さん(bin+cue).rar[sage] 投稿日：2008/12/06(土) 02:47:15 ID:DFxvKXLO0
>>967
下ブラクラじゃねぇか。
トレはどこだよ！

AVG提出します

>>11
>>24
>>33
>>34
AVGに提出しました。

>>62

これは提出するか迷うな。

返答
「単なるスケベサイトです。」

>>60
あそこは今でも検体送っても対応は一週間後とかが普通なんですかね？
今だったら遅くても2〜3日が当たり前なのに

http://www.virustotal.com/jp/analisis/74a9dfe2ce4deff839278cd7b56f5385

Comodo（笑）とか
つ〜かComodoとGDATAはいろんなスキャンサイトにでしゃばりすぎ

一番スレでやれ

>>62
【ttp://chocolatgirl.50webs.com/description/lame-enc.html】
ttp://www.google.co.jp/search?hl=ja&q=http%3A%2F%2Fchocolatgirl.50webs.com%2Fdescription%2Flame-enc.html&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=&aq=f&oq=

ttp://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ja&site=http://chocolatgirl.50webs.com/description/lame-enc.html
セーフ ブラウジング
chocolatgirl.50webs.com/description の診断ページ
chocolatgirl.50webs.com/description の現在のステータス
疑わしいサイトとして認識されています。このウェブサイトにアクセスするとコンピュータに損害を与える可能性があります。

>>64
>>62 ごめんｗ　一番下のサイトでプログラムがダウンロードされる。

検体入手したけどよくある偽セキュリティソフトか

http://www.virustotal.com/jp/analisis/be51aeb93482b94e428bd94b27410943

Pandaに提出したけどPandaはこのファイルは対応する気ないのかね？
前のやつもあるけど一向にマルウェア扱いされず

>>70
それ、さっきカスペに送った。返事来て対応するとの事

自動的にダウンロードされる検体はこれだけだったけど他にも検体ある〜？

ちなみにAntiVirPremiumはWebガードをオンにしてると検体どころか怪しいサイトにも行けません（当たり前のことですが）

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=130
virus
いつもの。

>>73
乙
PandaGlobalPotection2009

ウイルス発見 : Generic Malware オンデマンドスキャン 除去 agent0.exe
ウイルス発見 : Trj/Inject.K オンデマンドスキャン 除去 upk1cab1.exe

スルー：agent2〜3、pcclient1、x44drop
それ以外：疑わしいファイルとして検出

スルーしたものはいつもどおりの提出

>>73
AntiVirに提出しておいた
ウイルス報告は後ほど

AntiVirPremium

agent0
[DETECTION] Is the TR/Dropper.Gen Trojan
agentb0
[DETECTION] Is the TR/Dropper.Gen Trojan
fsg1
[DETECTION] Is the TR/Spy.Gen Trojan
fsg350
[DETECTION] Is the TR/Spy.Gen Trojan
pcclient1
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
upk1cab1
[DETECTION] Is the TR/Dropper.Gen Trojan
upk1cab2
[DETECTION] Is the TR/Dropper.Gen Trojan

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=131
virus
土日は更新激しいね!

agent0〜agentb3まで
http://www.virustotal.com/analisis/237408a0462127eeecb2cadd0b48971b
http://www.virustotal.com/analisis/785dd75450ae526915a391053e2c8416
http://www.virustotal.com/analisis/42341a7d711e41ff67885016b10f0f6f
http://www.virustotal.com/analisis/330c3b842969c627ca2131a163eb090e
http://www.virustotal.com/analisis/30a3b1235764a6df01201f0939cf6760
http://www.virustotal.com/analisis/5620a67228e15f65ef3dc2356584062d
http://www.virustotal.com/analisis/b69d40d803c0f1b7c67378bbb3b2298e
http://www.virustotal.com/analisis/ba9c55f1a5d0fc72e82207b55b1900f7
http://www.virustotal.com/analisis/9de67bc93161b08ffc90b4d912c59bfc

fsg1〜x44troj

http://www.virustotal.com/analisis/b29f8551fb4b6b6d891cd288b1113d73
http://www.virustotal.com/analisis/b1fc86b70204400d1f00277779dd109d
http://www.virustotal.com/analisis/e02811dea3234455b45c94a74506eaa5
http://www.virustotal.com/analisis/be6136ee2a3262d3c929a4cbd58b3811
http://www.virustotal.com/analisis/7119e478f933747652eb77b2e6647157
http://www.virustotal.com/analisis/8fefa558c726f8b7af11354b120116c3
http://www.virustotal.com/analisis/88d40622a4b25da26ceefdfb22674aa6

AVGとNODはこの手のものに強いのかもね

後はDr.WEBとMicrosoft、あとは誤検知大魔王のQuickHealとIkarusかな。
検体が偏ってるのは認める。というか自分一人で集める検体なんて
たかが知れてるので、これをもってどれが最強とかそゆのは無しで。

>>77
PandaGlobalProtection2009

ウイルス発見 : Generic Malware オンデマンドスキャン 除去 trj0.exe
ウイルス発見 : Generic Trojan オンデマンドスキャン 除去 trj1.exe
ウイルス発見 : Trj/Downloader.UZB オンデマンドスキャン 除去 trj2.exe

スルーしたものは提出しました

NOD32 3.0　定義ファイル3668

>>62
0/1
IAINSTALL.exe 未検出　Esetに提出済

73>>
12/16
upk1cab2.exe…複数の脅威
upk1cab1.exe…複数の脅威
fsg350.exe、fsg1.exe…Win32/Agent.OGFの亜種 トロイの木馬
agentb3.exe、agentb1.exe、agentb0.exe、agent1.exe、agent0.exe…Win32/TrojanDownloader.Agent.OMQの亜種 トロイの木馬
agentb2.exe…Win32/Rootkit.Agent.NHGの亜種 トロイの木馬
agent2.exe Win32/Rootkit.Agent.NHGの亜種…トロイの木馬
agent4.exe,、pcclient1.exe、x44drop.exe、x44troj.exe…変わらず未検出　提出済

>>77
AntiVirPremium
trj0
[DETECTION] Is the TR/Spy.Gen Trojan

trj1
[DETECTION] Is the TR/Crypt.XDR.Gen Trojan

trj2
[DETECTION] Is the TR/Spy.Gen Trojan

残りは提出

>>80
Ikarusはね・・・
なんでも関係なく検出しそうなイメージがあるよ（Sophosもだけど）
検出率は確かに高いだろうけど

>>77
http://www.virustotal.com/analisis/f5c0fb82fe9fe491a31f88c5c39a6164
http://www.virustotal.com/analisis/600e4c208e703859bee41c568d0166e0
http://www.virustotal.com/analisis/45f02abdb810308ecc25729b254fe353
http://www.virustotal.com/analisis/d69b5aefb54ca982b674f36e1941e656
http://www.virustotal.com/analisis/b4af024caff4e94879a98a69802cf32a

>>73
McAfeeに提出させて頂ました。
>>77
未対応分をMcAfeeに提出させて頂ました。

トレンドマイクロからPAK_Genericの件で返事が来た
やはり答えられる内容ではないとのこと、これ以上は話しにならないと思ったので問い合わせはこれで打ち切り
ま、トレンドマイクロのサポートは低下してると言われてるけど回答はそこまで悪くないと思ったな

______________＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿＿

トレンドマイクロ・ウイルスバスタークラブセンターです。
弊社製品をご愛用いただき、誠にありがとうございます。

このたびの件ではご不便をおかけいたしまして、誠に申し訳ございません。

弊社からのご返信が遅れましたことをお詫び申し上げます。

お問い合わせいただいております、PAK_GENERICの検出の件ですが、恐れ入りますが、PAK_GENERICは特定のウイルス検出を意味するものではないため、一概にお答えすることができかねる状況でございます。
なにとぞご理解くださいますようお願い申し上げます。

「PAK_GENERIC」での検出は、トレンドマイクロ製品の新種ウイルス検知機能が、不正である可能性がある、自動実行型の圧縮ファイル(パッカー)を検知したことを示します。

観音と比べたら、サポートはずっとマシっぽいね。
観音を飛び越してESETに連絡するには英語力が要るし。

Rising Internet Security 2009 21.16.22 (21.06.42.00) Last Update Time=2008-12-05 14:46
>>73
agent0.exe>>66>>66: Worm.Win32.NSDownloader.j
agent1.exe>>66: Worm.Win32.NSDownloader.j
agent2.exe: Worm.Win32.NSDownloader.j
agentb0.exe>>66>>66: Worm.Win32.NSDownloader.j
agentb1.exe>>66: Worm.Win32.NSDownloader.j
agentb2.exe: Worm.Win32.NSDownloader.j
fsg1.exe>>fsg2.0: Trojan.DL.Win32.ACVE.h
fsg350.exe>>fsg2.0: Trojan.DL.Win32.ACVE.h
pcclient1.exe: Backdoor.Win32.PcClient.qew
upk1cab1.exe>>upack0.32>>CABINET>>1.exe: Trojan.DL.Agent.cap
upk1cab2.exe>>upack0.32>>CABINET>>qqq.exe: Trojan.DL.Agent.cap
11/16
>>77
trj1.exe: Trojan.Win32.Undef.tdr
trj2.exe: Trojan.DL.Win32.Mnless.bri
2/5

カスペ2009 19:41:00
�d

>>73
10/16
Detected Trojan program Trojan-Downloader.Win32.Agent.atdw tane0130.zip/agent0.exe
Detected Trojan program Trojan.Win32.KillAV.bal tane0130.zip/agent1.exe
Detected Trojan program Backdoor.Win32.Agent.vcv tane0130.zip/agent2.exe
Detected virus Rootkit.Win32.Small.gk tane0130.zip/agent2.exe
Detected Trojan program Backdoor.Win32.Agent.vcv tane0130.zip/agent3.exe
Detected virus Rootkit.Win32.Small.gm tane0130.zip/agentb2.exe
Detected Trojan program Trojan-Downloader.Win32.ACVE.av tane0130.zip/fsg1.exe
Detected Trojan program Trojan-Downloader.Win32.ACVE.av tane0130.zip/fsg350.exe
Detected Trojan program Backdoor.Win32.PcClient.uax tane0130.zip/pcclient1.exe
Detected Trojan program Trojan.Win32.Inject.jvy tane0130.zip/upk1cab1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.aavq tane0130.zip/upk1cab1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.aavq tane0130.zip/upk1cab2.exe


>>77
3/5
Detected Trojan program Trojan.Win32.Agent.assg tane0131\trj1.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.asjp tane0131\trj2.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.aauk tane0131\trj0.exe

検体提出します。

>>86
乙です。
やはり日本のサポートに聞いても無駄ですねぇ・・・

>>73,77

カスペからの返事

Hello,

agentb1.exe_ - Trojan.Win32.KillAV.bap

This file is already detected. Please update your antivirus bases.(検知済み。アップデートしてください。）

agentb3.exe_ - Trojan.Win32.Hooker.ae
agentb0.exe_ - Trojan-Dropper.Win32.Agent.aaxm
agent4.exe_ - Trojan.Win32.KillAV.bar
x44drop.exe_ - シグネチャ記載なし。単に新種発見とのみ記載。
x45d.exe_ - Trojan-GameThief.Win32.OnLineGames.twlw
x45t.exe - Trojan-GameThief.Win32.OnLineGames.twlw

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

>>73
Panda2009はx44dropのみスルー
あとはヒューリスティック検出含め全て検出

>>77
全検出

Pandaには検体提出するけど対応速度はやや速目というか・・・
スルーしたものは後々ヒューリスティックやTruPreventで検出することが多いからそれは対応したといえるのかとｗ
カスペやAntiVirみたいに正確だったらわかるけど

こちらに置いておきます、未検出のベンダーの検体提出はご自由に

746 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/07(日) 01:28:34
ちょｗｗｗｗｗｗｗ
Webウイルス初めて検出した

http://xonrick.deviantart.com/art/Win7-Ultimate-M3-Alpha-Preveiw-105543338

ここでVS落とそうとすると出る
誤検知なんかな…
それにしてもWebウイルス検知時はブラウザにダイアログウインドウが表示されるのな
びびったわ

750 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/07(日) 03:40:28
>>746
McAfreeとAntiVirも検出してる
http://www.virustotal.com/analisis/4b962e2df9c68294581c6be1f9fbf716

751 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/07(日) 03:45:23
746はPandaも検出してた

>>73 カスペからの返事　0:50
x44troj.exeについて

Hello.

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

一応、カスペ的には,>>73,77黒確定、対応

>>93
VSってどれですか？

>>95
VSについてはわかりませんが、virustotalにかけられているのは
URL左側の「download」のrar内にあるLSPatch.exeですね。

NOD32ではrarそのものは未検出。LSPatch.exeでは不完全なアーカイブ。
virustotal結果を見るとウイルスではなくリスクウェアとかクラックツールとして検出している模様。

提出した（けど、esetは対応しないだろなあ・・・）

×URL左側の「download」→ページの左側「download」
わかりにくい文スマソorz

>>93
LSPatchっていうのは
Ｖｉｓｔａ調のＶＳのスタートメニューはＸＰの標準と違って終了オプションの文字がないんだが、
それを再現するためにＥｘｐｌｏｒｅｒの内容を書き換えるパッチ。だから反応してるんだと思う
ちなみに日本語のＯＳでやるとエラー起こすから絶対実行するなよー

どうしてもやりたければ
ＲｅｓＥｄｉｔつかえば自分でＥｘｐｌｏｒｅｒを書き換えることができる

>>73
Panda2009
やっと全検出

>>34は未だagent2〜3が未検出

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=132
virus
いつもの。
bkdoorはとりあえずこのファイル名にしたけど、動きはダウンローダ。

http://ftp.vector.co.jp/pack/win95/net/htmledit/support/easyrss.zip

>>101
>>3

>>100
乙
PandaGlobalProtection2009

ハッキングツールを検出 :Generic Rootkit オンデマンドスキャン 隔離に移動済み bkdoor2.exe
それ以外は全て疑わしいファイルとして検出

>>100
AntiVirPremium

agent0.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Agent.vfc back-door program
agent1.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Agent.vfc back-door program
agent2.exe
[DETECTION] Contains recognition pattern of the DR/Small.HN.1 dropper
agent3.exe
[DETECTION] Contains recognition pattern of the DR/Hooker.AG dropper
agent4.exe
[DETECTION] Is the TR/Hooker.AG Trojan
bkdoor0.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Agent.vfi back-door program
bkdoor1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
bkdoor2.exe
[DETECTION] Is the TR/Rootkit.Gen Trojan
upk1.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan

以上、AntiVirも全検出、後ほどVTスキャン予定

Rising Internet Security 2009 21.16.23 (21.07.02.00) Last Update Time=2008-12-08 13:39
>>73
agent0.exe>>66>>69: Trojan.Win32.KillAV.aui
agent0.exe>>66>>68>>upx_c: Hack.Exploit.Win32.MS08-067.o
agent0.exe>>66>>67: RootKit.Win32.Undef.abs
agent0.exe>>66>>66: Worm.Win32.NSDownloader.j
agent1.exe: agent0.exeと同じなので省略
agent3.exe: RootKit.Win32.Undef.abs
agent4.exe: Hack.Exploit.Win32.MS08-067.o
agentb0.exe>>66>>68: Trojan.Win32.KillAV.aui
agentb0.exe>>66>>67: RootKit.Win32.NsPass.a
agentb0.exe>>66>>66: Worm.Win32.NSDownloader.j
agentb1.exe: agentb0.exeと同じなので省略
agentb3.exe: RootKit.Win32.NsPass.a
x44drop.exe>>e5: Trojan.Win32.Undef.tup
x44troj.exe: Trojan.Win32.Undef.tup
11+5=16/16、ただしupk1cab1.exeとupk1cab2.exeは<Unknown virus>が残っているので不完全対応
>>77
trj0.exe: Trojan.Win32.Edog.bc
x45d.exe>>e5: Trojan.Win32.Undef.tup
x45t.exe: Trojan.Win32.Undef.tup
2+3=5/5

>>100
http://www.virustotal.com/analisis/d6decb47c82f802e6569bbd023cf612b
http://www.virustotal.com/analisis/38c0e10de3062448abd1ddc918e9de73
http://www.virustotal.com/analisis/902d6237232a3dac7690b3c7a75fa049
http://www.virustotal.com/analisis/bf81159cf17e5ebfbd2367fc574a6c53
http://www.virustotal.com/analisis/c647f77e004c6689082c287d3b46b72f
http://www.virustotal.com/analisis/e9fb52c7a7f0167170077dba29129cbb
http://www.virustotal.com/analisis/628e4162e3a7cad2ce3a002d0e9aff05
http://www.virustotal.com/analisis/6376ab01be95f055457dd32b5034649b
http://www.virustotal.com/analisis/b13c7609eb9187c0571f704c20addd1d

PandaはともかくまたAntiVirは実際には検出するのにVirustotalでは未検出のパターンか・・・
今回はアーカイブが原因というわけでもなさそうだし一体なんなんだよ・・・

カスペ2009 17:20:00
>>100
�d

8/9

Detected Trojan program Backdoor.Win32.Agent.vfc agent1.exe
Detected Trojan program Trojan.Win32.Hooker.ag agent2.exe
Detected virus Rootkit.Win32.Small.hn agent2.exe
Detected Trojan program Trojan.Win32.Hooker.ag agent3.exe
Detected Trojan program Trojan.Win32.Hooker.ag agent4.exe
Detected Trojan program Backdoor.Win32.Agent.vfi bkdoor0.exe
Detected Trojan program Backdoor.Win32.Agent.vfi bkdoor1.exe
Detected virus Rootkit.Win32.Agent.fhw bkdoor2.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.atfo upk1.exe


agent0.exeスルーに付き、検体提出します。

>>100
未対応分をMcAfeeに提出させて頂ました。

>>101
easyrss.zip
http://www.virustotal.com/jp/analisis/a2a128b5b3e6f3303419fec6ca43df54
EasyRSS.exe
http://www.virustotal.com/jp/analisis/b3330b6790494f9539570f0e9945a3b6

原因はEasyRSS.exeがUPX圧縮されている事にある模様

>>101
面白そうなのでMcAfeeに提出させて頂ました。

Rising Internet Security 2009 21.16.23 (21.07.02.00)
>>100
agent0.exe>>66>>66: Worm.Win32.NSDownloader.j
agent0.exe>>66: <Unknown virus>
agent1.exe: agent0.exeと同じなので省略
agent2.exe: Worm.Win32.NSDownloader.j
bkdoor0.exe: Trojan.Win32.Undef.dyb
bkdoor1.exe: Backdoor.Win32.Undef.bkj
bkdoor2.exe: RootKit.Win32.Agent.aaw
6/9、未検出及びagent0.exeとagent1.exeは提出予定
>>33
a1.exe: Trojan.Win32.Edog.bc
a350.exe: Trojan.Win32.Edog.bc
x43.exe>>e5: Trojan.Win32.Undef.tup
x43t.exe: Trojan.Win32.Undef.tup
5+4=9/9
>>34
new28.exe>>nspack: Trojan.PSW.Win32.LmirTW.a
new7,13,19-27,29-31,33-34.exe>>upack0.39: Trojan.PSW.Win32.GameOL.sop
new16.exe>>upack0.39>>66: Trojan.PSW.Win32.GameOL.sjr
new12.exe>>upack0.39>>66: Trojan.PSW.Win32.GameOL.skh
new9.exe>>upack0.39>>66: Trojan.PSW.Win32.GameOLHB.a
new8.exe>>upack0.39>>66: Trojan.PSW.Win32.GameOL.sfp
new5.exe>>upack0.39>>66: Trojan.PSW.Win32.GameOL.rvk
new5.exe>>upack0.39>>65: Trojan.Win32.Undef.sxv
new2.exe>>upack0.39>>66: Trojan.PSW.Win32.WoWar.axt
agent4.exe: Hack.Exploit.Win32.MS08-067.o
36+6=42/43、ただしnew1-6,8-9,12,16.exeは不完全対応

>>100
乙
NOD32　3.0　定義3670
upk1.exe 　Win32/TrojanDownloader.Delf.OJDの亜種 トロイの木馬
bkdoor2.exe Win32/Agent.ONG トロイの木馬
bkdoor0.exe Win32/Genetikの亜種である可能性 トロイの木馬
agent4.exe Win32/KillAV.NCUの亜種 トロイの木馬
agent2.exe Win32/Rootkit.Agent.NHGの亜種 トロイの木馬
agent0.exe 、agent1.exe、agent3.exe Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
bkdoor1.exeを未検出（Eset提出済み）

>>106
タイミングが悪かったんじゃね？
家でも最初は>>106のVTと同じ4つしか検出しなかったが
更新かけると全部検出するようになった
VTでも検出されるようになってるのを確認

agent2.exe
http://www.virustotal.com/analisis/19ac9dac4d1e6e56387dfe6d2fae6f87
agent3.exe
http://www.virustotal.com/analisis/46ecd900c8008033de2219050f5cfed3

面倒なので他は省略

>>111
NODは本当にこの手のものには強いんだな
その調子でそれ以外のものにも頑張ればいいのに
しかも「○○の亜種である可能性」とかヒューリスティック検出も多いのな

>>100
カスペからの返事　5:25
agent0.exe

Hello.

This file is already detected. Trojan-Dropper.Win32.Agent.abaw
Please update your bases.

とりあえず、8+追加1=9/9

こんなスキャンサイト見つけた
知ってる人いる？
http://www.novirusthanks.org/index.php

似たようなのはいくつもあるだろ。

>>113
Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる。

NOD32はプロファイルに検査方法や検査対象を登録しておき、
そのプロファイルを指定してスケジュールを組むことが出来る。
プロファイルも自由に複数作成出来るから目的に応じた運用が可能だ。
例えば、書庫類等は検査済みフォルダと検査前フォルダを作成しておき、
検査前フォルダ内の書庫だけを定期的に高速検査するというような運用も行える。
他のAVだと書庫を対象とするか否かの2択しかないものが多く、ムダに時間が掛かる検査となり効率が悪い。
一度検査し安全が確かめられれば検査済みフォルダに移し、
検査済みフォルダの再検査は数か月に一度程度に減らすことで処理効率を上げるというような運用が他のAVでは難しい。
細かな設定をすることでNOD32は処理効率の良い運用が可能になっている。

NOD32は機関や企業や有名人等　狙われやすい人ほど役立つAV
一般人でもそのウイルス全体の70%を占める未知ウイルスから狙われることもある。
そこがNOD32のセールスポイント

未知ウイルスへの対応度　＝　ハッキングに対する対応度


ここにNOD32が研究機関や公的機関で主に採用されている理由がある。

NOD32　3.0　定義データベース3675
>>62 >>73 >>100 で撃ち漏らしたものを再検査　　7/10
x44troj.exe　Win32/PSW.OnLineGames.OFFの亜種 トロイの木馬
a350t.exe　　Win32/TrojanDownloader.Agent.OHA トロイの木馬
x43.exe　　　Win32/PSW.OnLineGames.OFF トロイの木馬
agent4.exe　 Win32/Exploit.MS08-067.B トロイの木馬
a1t.exe　　　Win32/TrojanDownloader.Agent.OHA トロイの木馬
x44drop.exe　Win32/PSW.OnLineGames.OFFの亜種である可能性 トロイの木馬
43t.exe　　　Win32/PSW.OnLineGames.OFF トロイの木馬

IAINSTALL.exe、pcclient1.exe、bkdoor1.exe　未だ対応せず。
これぞNOD32クオリティ(´・ω・｀)

＞IAINSTALL.exe、pcclient1.exe、bkdoor1.exe　未だ対応せず。
＞これぞNOD32クオリティ(´・ω・｀)

いやNOD32の割には対応速度は頑張ってると思う

Rising Internet Security 2009 21.16.25 (21.07.12.00) Last Update Time=2008-12-09 14:54
>>34
new1-2,8-9,12,16.exe>>upack0.39>>65: Trojan.Win32.Small.ent
new0.exe: Trojan.DL.Win32.ReplaceSpoolsv.b
42+1=43/43、ただしnew1-6,8-9,12,16.exeは不完全対応
>>73
upk1cab1.exe>>upack0.32>>CABINET>>t1.exe: Trojan.Win32.Undef.tqp
ただしupk1cab1.exeとupk1cab2.exeは<Unknown virus>が残っているので不完全対応
>>100
agent0.exe: Worm.Win32.NSDownloader.p
agent1.exe: Worm.Win32.NSDownloader.p
agent3.exe: RootKit.Win32.Mnless.amr
agent4.exe: Trojan.Win32.Undef.tqw
upk1.exe>>upack0.34: Trojan.DL.Win32.Mnless.bsv
6+3=9/9

>>117 =雑音

>アンパッカー技術
Packers support test
ttp://www.anti-malware-test.com/?q=node/19
金賞 Kaspersky F-Secure
銀賞 BitDefender Dr.WEB
銅賞 NOD32

>ヒューリスティックエンジン
ブロードバンド推進協議会（BBA）セキュリティ専門部会長
「中には、ヒューリステックに頼りすぎて、
　ウイルスの検体を集めず、
　ちゃんとシグネチャを作らないところもある」
ttp://internet.watch.impress.co.jp/cda/event/2007/02/26/14890.html
ttp://internet.watch.impress.co.jp/cda/static/image/2007/02/26/aogc7.jpg

新しい検体ﾏﾀﾞｰ？

>>122
懐かしーセリフだw

このスレでも活動して、
都合の良い投稿を繰り返しているんだね、Z音。



41 名前：AV部分(NOD32)のテンプレ　[sage]　投稿日：2008/10/16(木) 21:17:02
NOD信者雑音のコピペ
↓
>Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
>これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
>このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
>亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
>そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる
↑
NOD32スレ( http://pc11.2ch.net/test/read.cgi/sec/1210020776/ )などで
「ヒューリスティック」で抽出。

アンパッカーどうたらこうたら↓
PackerテストでKaspersky・BitDefender・Dr.WEBに及ばない。

ヒューリスティックどうたらこうたら↓
ブロードバンド推進協議会（BBA）セキュリティ専門部会長
「中には、ヒューリステックに頼りすぎて、
　ウイルスの検体を集めず、
　ちゃんとシグネチャを作らないところもある」
ttp://internet.watch.impress.co.jp/cda/event/2007/02/26/14890.html
ttp://internet.watch.impress.co.jp/cda/static/image/2007/02/26/aogc7.jpg

一番スレでやれ

こんなのを仕込まれましたが・・

http://1920041566:65535/fc2.js

>>126
それIEじゃないと見れない？

とりあえず落ちてきたものをVTに投げてみたけど・・・・
http://www.virustotal.com/jp/analisis/bc0b716f34b7e9db1417e7be24bb4a14

>>127
FireFoxでも落ちてきましたのでAntiVirが警告してきました。
Deny Accessにしちゃったので中身は分からないです。

http://pc11.2ch.net/test/read.cgi/sec/1227543474/30-31

あっちに書いたのは、ぶっちゃけ、スレが遊んでるからｗ　それだけ

>>130
Virustotalが上手くいかなかったので
http://www.virscan.org/report/1e57373411af6d4818d20a56bf7a7eb7.html

>>126 のスクリプトはFlashPlayerのバージョンを調べて
それぞれに対応するswfを読み込むだけなので提出してもしょーがないです。
古いFlashPlayerでswfが実行された結果降ってくるトロイはこちら。
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=133
virus
こちらにはxなんとかとしてアップしていたシリーズです。
追跡してたんだけど、IP変わってたのね…。

>>130 で出てた orz

んで追加です。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=134
virus

>>134
AntiVirPremium
agent0.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
inject0.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Agent.vfi back-door program
inject1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
inject2.exe
[DETECTION] Is the TR/Rootkit.Gen Trojan
unknown0.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
upk1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan

ちなみにPandaの方はいったんアンインスコして現在はF-Secure2009をテスト中、ただしPandaのライセンス購入したのですぐにPandaに戻すつもり
AntiVirの提出は後ほどします

>>134
http://www.virustotal.com/analisis/fcdc54ff2576c2872296c418d181b81b
http://www.virustotal.com/analisis/2870296d29ec21bd5bfb2a5afb9d5308
http://www.virscan.org/report/da7ee09736de7409e7686be76a51e57b.html
http://www.virscan.org/report/d65cd245b19838d02f67b6ec6a01f379.html
http://www.virscan.org/report/0d545098f6af85be8bbc0e2c20a607fc.html
http://www.virscan.org/report/d095d2daae11b0f6a2d41ec517114ab1.html
http://www.virscan.org/report/3c57dd91e9278bd1343d795dba563182.html
http://www.virscan.org/report/adc06b5f1558c5b4fa2d045d4d7dd63f.html

Virustotalが上手くいかなかったので途中からスキャンサイト変えた

>>134
AntiVir提出しました

Rising Internet Security 2009 21.16.25
>>132
x46.exe: Trojan.Win32.Undef.tuo
>>134
agent1.exe>>67: Worm.Win32.NSDownloader.p
agent1.exe>>66: RootKit.Win32.RESSDT.ho
agent1.exe: <Unknown virus>
inject0.exe: Trojan.Win32.Undef.dyb
inject1.exe: Backdoor.Win32.Undef.bkj
inject2.exe: RootKit.Win32.Agent.aaw
unknown0.exe: Trojan.Win32.Dialer.vex
unknown1.exe: Backdoor.Win32.PcClient.eay
upk1.exe>>upack0.39: Trojan.DL.Win32.Mnless.bss
7/8、agent1.exeとagent1.exeをRisingに提出します

訂正
agent0.exeとagent1.exeをRisingに提出します

カスペ2009 16:57:00
�d

>>132
2/2
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.twyy x46.exe
Detected Trojan program Trojan.Win32.Agent.atkl x46t.exe


>>134
6/8

Detected Trojan program Backdoor.Win32.Agent.vfi inject0.exe
Detected Trojan program Backdoor.Win32.Agent.vfi inject1.exe
Detected virus Rootkit.Win32.Agent.fia inject2.exe
Detected Trojan program Trojan-GameThief.Win32.Magania.amtu 　unknown0.exe
Detected virus HEUR:Trojan.Win32.Generic unknown1.exe
Detected Trojan program Trojan-Downloader.Win32.Zlob.aows upk1.exe


検体提出します。

>>132
McAfeeに提出させて頂ました。
>>134
未対応分をMcAfeeに提出させて頂ました。

>>134

カスペからの返事
6+追加2=8/8

Hello,

agent0.exe_ - Trojan.Win32.Agent.atxv
agent1.exe_ - Trojan.Win32.Agent.atxv

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

>>126と元スレのやつと
>>134をAVGに提出しました。

NOD32 3.0 定義ファイル3681
>>130　1/1
t.exe→Win32/PSW.OnLineGames.OFF トロイの木馬

>>134　5/8
upk1.exe　　Win32/Genetikの亜種である可能性 トロイの木馬
inject2.exe　Win32/Agent.ONG トロイの木馬
inject0.exe　Win32/Genetikの亜種である可能性 トロイの木馬
agent0.exe,agent1.exe Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
inject1.exe、unknown0.exe、unknown1.exe　未検出　Esetへ提出済

>>118　での撃ち漏らし分1/3
（対応）IAInstall.exe　（未対応）bkdoor1.exe、pcdient1.exe

>>134
カスペ

ヒューリスティック→シグネチャ

unknown1.exe

virus HEUR:Trojan.Win32.Generic → Trojan.Win32.Dialer.tth に変更

Rising Internet Security 2009 21.16.27 (21.07.22.00) Last Update Time=2008-12-10 16:54
>>34
new1-6,8-9,12,16.exe>>upack0.39: <Unknown virus>
変化なし
>>73
変化なし
>>132
x46t.exe: Trojan.Win32.Undef.ubw
1+1=2/2
>>134
agent1.exe>>68: Trojan.Win32.KillAV.aup
7/8、agent0.exeスルー、agent1.exeは完全対応待ち

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=135
Pass:virus

http://www.virustotal.com/analisis/8a4960493b25fff002b0e48dbad10a6f
http://www.virustotal.com/analisis/f3f686be91476e6b38a100bd761a20a7
http://www.virustotal.com/analisis/59a2884948d6aa19b40de9efcb6ff75a
http://www.virustotal.com/analisis/b13bf3c6a8126582f13c1c99a5e41c14

>>147
Rising Internet Security 2009
tmpb.exe: Trojan.Win32.Undef.tza
tmpd.exe>>upx_c: Trojan.Win32.Undef.uaq
2/4、残りは提出済み

>>147
�d
カスペ2009

Detected Trojan program Trojan.Win32.Agent.atlv tmpc.exe
Detected Trojan program Trojan.Win32.Agent.atkn tmpa.exe

検体提出します。

>>147
AVG検出残り提出しました。

>>147
F-secure2009
tmpa.exe
Trojan.Win32.Agent.atkn (ウィルス)

tmpc.exe
Trojan.Win32.Agent.atlv (ウィルス)

F-Secureの砂箱検出＆雲検出（DeepGuard2.0）に期待してたんだが・・・・
これアンチウイルス検出じゃなくHIPSなんだね、ちょっとがっかり
純粋にアンチウイルスにクラウド技術を採用してるのはMcAfeeとPandaだけか・・・

検体提出はカスペ報告してる人に任せます

>>147
未対応分をMcAfeeに提出させて頂ました。

PandaGlobalProtection2009
>>134
ウイルス発見 : Generic Trojan アンチウイルス保護 駆除 AGENT0.EXE
ウイルス発見 : Generic Trojan アンチウイルス保護 駆除 UPK1.EXE
ウイルス発見 : Generic Trojan アンチウイルス保護 駆除 UNKNOWN0.EXE
ハッキングツールを検出 :Generic Rootkit アンチウイルス保護 駆除 INJECT2.EXE
ウイルス発見 : Trj/CI.A オンデマンドスキャン 除去 inject1.exe

残りは疑わしいファイルとして検出

>>147
tmpcのみスルー、あとは疑わしいファイルとして検出
スルーしたものはPanda検疫に隔離後提出

>>132
ウイルス発見 : Generic Trojan アンチウイルス保護 駆除 X46.EXE
x46tは疑わしいファイルとして検出

>>130
t.exeは疑わしいファイルとして検出（検出したけど処理できず）

>>134をVTに再スキャン
http://www.virustotal.com/analisis/29908b5983f009c96c5e4e281230a672
http://www.virustotal.com/analisis/944205a0796f933b6de4bef3b9d87e66
http://www.virustotal.com/analisis/90cec183f418c7b533bc80884a150a36
http://www.virustotal.com/analisis/490af30f884afd5c094f53774b4941f6
http://www.virustotal.com/analisis/192046fbeec227c85851e6829d30bccc
http://www.virustotal.com/analisis/b743f8511940c27a41fd8b348a5fff36
http://www.virustotal.com/analisis/8672bec10f6e44d5c8842f0b3af24838
http://www.virustotal.com/analisis/0359356b2c759bf1da9730f70dadbc9e

ノートンとバスターは糞ZEROなんかに負けるなよ・・・・
McAfeeはやはりMcAfee+Artemisの実力がすごいということか

AntiVir
4/4
TR/Dldr.Zlob.iml [trojan] tmpd.exe
TR/Agent.atms [trojan] tmpa.exe
TR/Dldr.FakeAV.Q.5 [trojan] tmpb.exe
TR/Agent.atlv [trojan] tmpc.exe

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=136
virus
ゆっくりしていってね！

>>156
PandaGlobalProtection2009
Generic Trojan ：agent1_0.exe 、defl0.exe
疑わしいファイル：agent1_1、defl1、x47drp
残りはスルー
スルーしたものは提出します

>>156
Rising Internet Security 2009 21.16.27 (21.07.22.00) Last Update Time=2008-12-10 16:54
agent1_1.exe>>68: Trojan.Win32.KillAV.aup
agent1_1.exe>>67: Worm.Win32.NSDownloader.p
agent1_1.exe>>66: RootKit.Win32.RESSDT.ho
agent1_1.exe: <Unknown virus>
agent2_1.exe>>67: Worm.Win32.NSDownloader.p
agent2_1.exe>>66: Worm.Win32.NSDownloader.j
agent2_1.exe: <Unknown virus>
defl0.exe: Trojan.Win32.Dialer.vex
defl1.exe: Backdoor.Win32.PcClient.eay
dldr0.exe: Trojan.Win32.Edog.bh
x47drp.exe: Trojan.Win32.Undef.tuo
6/10、agent1_1.exeとagent2_1.exeおよび未検出は送ってきます。

>>156
AntiVirPremium
agent1_0.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
agent1_1.exe
[DETECTION] Is the TR/Agent.50688.11 Trojan
agent2_0.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
defl0.exe
[DETECTION] Is the TR/Dialer.tth Trojan
defl1.exe
[DETECTION] Is the TR/Dialer.tth Trojan
dldr0.exe
[DETECTION] Is the TR/Spy.Gen Trojan
dldr1.exe
[DETECTION] Is the TR/Crypt.XDR.Gen Trojan

残りは提出しました

>>156
http://www.virustotal.com/analisis/ac564de130ebfed89692615ed031f051
http://www.virustotal.com/analisis/a248a308cba042a791d9252825ea6346
http://www.virustotal.com/analisis/00bb07d7615fb95a28353fb1a41c42e9
http://www.virustotal.com/analisis/4f6e85af52b850323d80ee1edf4b3a78
http://www.virustotal.com/analisis/1e5d17d7672749a9eaea32ad3bcc88ab
http://www.virustotal.com/analisis/c34f3615652383e2bfe8c53df9b4f2b4
http://www.virustotal.com/analisis/05f258d3026e92706301c67aed512510
http://www.virustotal.com/analisis/b41c3e3568f09f481918e852588bc294
http://www.virustotal.com/analisis/00165282ce35f949c95e1be3247497c7
http://www.virustotal.com/analisis/0ef8bfce06afe029815f5210fbf3c8e9

Virustotalで検出して実際には未検出でその逆パターンがあるとか・・・・
Pandaマジで面白すぎｗｗｗ
でも報告したものが間違いかもしれないからあとでもっかいスキャンしてみよ

Pandaの報告訂正
今スキャンしたらdldr0.exeとdldr1.exeとagent2_1.exeが疑わしいファイルとして検出してた
検出数は8/10

>>156
�d
カスペ2009 @ 9:20:00

8/10

Detected Trojan program Trojan.Win32.Agent.atxv agent1_0.exe
Detected Trojan program Trojan.Win32.Agent.atxv agent1_1.exe
Detected Trojan program Trojan-GameThief.Win32.Magania.amtu defl0.exe
Detected Trojan program Trojan.Win32.Dialer.tth defl1.exe
Detected Trojan program Trojan.Win32.Agent.attc dldr0.exe
Detected Trojan program Trojan.Win32.AntiAV.xu dldr1.exe
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.txen x47drp.exe
Detected Trojan program Trojan.Win32.Agent.aubr x47trj.exe

検体提出します。

カスペからの返事
>>134

Hello,

tmpd.exe_ - Trojan-Downloader.Win32.Agent.atrc
tmpb.exe_ - Trojan.Win32.Agent.auae

This file is already detected. Please update your antivirus bases.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

6+事後追加2=8/8

NOD32 v3.0 定義バージョン3682
>>156　5/10
dldr0.exe Win32/Genetikの亜種である可能性 トロイの木馬
agent1_0.exe,agent1_1.exe,agent2_0.exe,A2 Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
未検出ぶんEsetに提出済み
>>147　（3/4）
tmpc.exeのみ未検出

今までの未対応検体も未検出のまま。

ttp://www.hanme.cn/inc/FLoader.exe
確認時MD5: db825738f5a96dfd0214b2f02c30e1c4

VTに送ったら、ｶﾞｲｼｭﾂと言われた
前回 http://www.virustotal.com/analisis/16e4485707dcbac8e8a826d2bbea9482
今回 http://www.virustotal.com/analisis/f16131fa173e2ade9f63ce80917f50d6

ttp://www.baidu8.org/us/fuckjp.exe 18ddd9f89f09a03e552c4bf4f42ac613
前回 http://www.virustotal.com/analisis/ef1a2da87b8402ba68cc1569ca747403
今回 http://www.virustotal.com/analisis/7d002d2d6d733aef3302cef154954c65

直リンすんなよ

直リンもそうだしVirustotal結果貼られると報告する気失せる
うちのPandaとAntiVirが活躍しないよ〜

「Virustotal結果貼られると報告する気失せる」

この部分訂正しときます、もしかしたら私がここでVirustotalの結果貼り続けたのも他の人にとっては余計なお世話になるかもしれない

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=137
virus
そろそろ更新に追いつけなくなってきたお

>>156
AntiVirPremium全検出確認
x47trj.exe
[DETECTION] Is the TR/Agent.aubr Trojan
x47drp.exe
[DETECTION] Is the TR/Thief.OnLineGames.txen Trojan
agent2_1.exe
[DETECTION] Is the TR/Agent.auel Trojan

PandaGlobalProtection2009もagent2_0.exeをGeneric Trojanとして検出
未検出残りはx47trj.exeだけ、9/10

>>169
http://www.virustotal.com/analisis/f16131fa173e2ade9f63ce80917f50d6
http://www.virustotal.com/analisis/40dc1027c0fdb8acbe6993ceb7d0df38
http://www.virustotal.com/analisis/35f5a2a28517800c077d4299cb67279b
http://www.virustotal.com/analisis/d0052e4725e527870af536bebfa63d82
http://www.virustotal.com/analisis/3cb2dd114fbebc56ac01f788edcab171
http://www.virustotal.com/analisis/36839c7eca6a23562c2bf76193521233
http://www.virustotal.com/analisis/dbd758e330ab38cecd847268e57e835b
http://www.virustotal.com/analisis/78e1a09929c0b059826317b047d8025a
http://www.virustotal.com/analisis/ba344ee38c36b883cdd54a9c7bec69be

Pandaは提出しておきます

ちなみにこちらのPandaではdlp0.exeしか検出しなかった
他はヒューリスティックが全く引っかからず・・・・
これまたPandaの不思議現象
VirustotalのPandaとはエンジンが違うからなのかな？

と思ったらdldr1.exeとdldr0.exeが疑わしいファイルとして検出
ま、Pandaってこういうベンダーなんでしょ
この勢いだと一日置いたらかなり検出しそうだな

>>156
未対応分をMcAfeeに提出させて頂ました。
>>164
McAfeeに提出させて頂ました。

>>169
未対応分をMcAfeeに提出させて頂ました。

検体に偏りがあるとはいえ気持ち悪いぐらい最近のNOD32はノリノリな件について
>>169も7/9だし（数え間違えたらｺﾞﾒｿ）

カスペ2009 19:05:00

>>169
�d
7/9
Detected Trojan program Trojan.Win32.Agent.attc a1.exe
Detected Trojan program Trojan.Win32.AntiAV.xu a1_1.exe
Detected Trojan program Exploit.Win32.IMG-WMF.is a1_2.exe
Detected Trojan program Trojan.Win32.Agent.attc a350.exe
Detected Trojan program Trojan.Win32.AntiAV.xu a350_1.exe
Detected Trojan program Exploit.Win32.IMG-WMF.is a350_2.exe
Detected Trojan program Trojan-Downloader.Win32.Small.aacq dlp0.exe

検体提出します。

>>156
8+事後検出2=10/10
Quarantined Trojan program Trojan.Win32.Agent.auet agent2_0.exe
Quarantined Trojan program Trojan.Win32.Agent.auen agent2_1.exe

>>156
>>164
>>169
検出されないものをAVGに提出！

>>169
AntiVir 全検出
TR/Spy.Gen [trojan]a350.exe
TR/AntiAV.XU [trojan]a350_1.exe
TR/Spy.Gen [trojan]a1_2.exe
TR/AntiAV.XU [trojan]a1_1.exe
TR/Spy.Gen [trojan]a350_2.exe
TR/Crypt.XDR.Gen [trojan]dlp0.exe
TR/Spy.Gen [trojan]dldr1.exe
TR/Spy.Gen [trojan]dldr0.exe
TR/Spy.Gen [trojan]a1.exe

>>169,171
他のアンチウイルスソフトが結構検出してるのにウイルスバスターは全部スルーか・・・
この手は苦手なのかな？
NODは検出してるのに・・・

カスペからの返事

>>169

dldr0.exe.

This file is already detected. Trojan-Dropper.Win32.Agent.abib
Please update your bases.

dldr1.exe

This file is already detected. Exploit.Win32.IMG-WMF.iu
Please update your bases.

7+追加検出2=9/9

Rising Internet Security 2009 21.16.29 (21.07.32.00) Last Update Time=2008-12-11 15:46
>>134
agent0.exe: Worm.Win32.NSDownloader.t
agent1.exe>>69: Worm.Win32.NSDownloader.t
8/8
>>156
agent1_0.exe: Worm.Win32.NSDownloader.t
agent1_1.exe>>69: Worm.Win32.NSDownloader.t
agent2_0.exe: Worm.Win32.NSDownloader.w
agent2_1.exe>>69: Worm.Win32.NSDownloader.w
6+2=8/10、dldr1.exeとx47trj.exeはスルー、agent2_1.exeは完全対応待ち
>>169
a1.exe: Trojan.Win32.Edog.bh
a1_2.exe: Trojan.DL.Win32.Mnless.bts
a350.exe: Trojan.Win32.Edog.bh
a350_2.exe: Trojan.DL.Win32.Mnless.bts
dlp0.exe: Trojan.Win32.Undef.kdn
5/9

>>169
DrWeb全て撃退

遊戯王みたいなかんじでお願い。

NOD32　v3.0　定義バージョン3683
>>169
乙です
9/9　全検出

>>156　で検出漏れのもの　3つ対応（これで8/10に）

Esetからの検体サンクスメールが来てて、びっくり。対応に3日かかってるけど(笑）

>>185
ESETも少しは進歩したってことで評価してもいいんじゃない？
今後もこんな感じだったらESETを見直そうかと思う、それぐらい今までのESETは酷かった

>>169
PandaGlobalProtection2009で全検出確認

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=138
virus
おはよー…

>>188
AntiVir 9/15
TR/Dropper.Gen [trojan] upk1cab.exe
TR/Dropper.Gen [trojan] upk2cab.exe
TR/Drop.cas.A [trojan] trj0.exe
TR/Drop.cas.A [trojan] trj1.exe
DR/PcClient.Gen [dropper] pcclient1.exe
TR/Dropper.Gen [trojan] agent2_0.exe
TR/Dropper.Gen [trojan] agent1_0.exe
TR/Crypt.XDR.Gen [trojan] dldr2.exe
TR/Crypt.XDR.Gen [trojan] dldr1.exe
残り提出済み

なんだ？セキュ板にもニートがいるのか？

>>188
PandaGlobalProtection2009
ウイルス発見 : Trj/Downloader.MDW オンデマンドスキャン 除去 trj0.exe
ウイルス発見 : Trj/Dropper.ADL アンチウイルス保護 駆除 DLDR1.EXE
ウイルス発見 : Trj/Dropper.ADL アンチウイルス保護 駆除 DLDR2.EXE
ウイルス発見 : Generic Malware アンチウイルス保護 駆除 TRJ1.EXE

スルー：agent1_0〜2_0、pcclient1、upk2cab、x48trj
それ以外：疑わしいファイルとして検出

スルーしたものはPanda検疫に隔離後、提出
つかPandaアップデートできねぇ・・・orz

>>189
AntiVirの検体提出ありがとう

>>188
ttp://www.virustotal.com/analisis/abf5850869c5f5cab09299f9c453234f
ttp://www.virustotal.com/analisis/e209b83ae0738c1e4a0f1fd2e3cad277
ttp://www.virustotal.com/analisis/1441feb1c4970dd0cfff4abb560946a2
ttp://www.virustotal.com/analisis/0f83289f30f43a9cc13667abafb81193
ttp://www.virustotal.com/analisis/efffbf60ac1099a698f7023dbf6970ee
ttp://www.virustotal.com/analisis/7a766784c36a7ba27fede58cbb59eac2
ttp://www.virustotal.com/analisis/f9e52a129f989b8a786619091c0fd314
ttp://www.virustotal.com/analisis/501fa0b33ac5d4bb150b3ead5e942fe2
ttp://www.virustotal.com/analisis/5491af933d7442dfbe3e63ca83967609
ttp://www.virustotal.com/analisis/f5c7be2ece3b000f4b199ed82b7f2132
ttp://www.virustotal.com/analisis/48c2cbcaed2726039a4ec57dce0cbdfa
ttp://www.virustotal.com/analisis/c6e68f51bf69bfc7c9c8ee25399f3aa3
ttp://www.virustotal.com/analisis/179c4431855128a19bfb63ffff2b7f27
ttp://www.virustotal.com/analisis/262ef376ff47e5eba0bf51369be399a0
ttp://www.virustotal.com/analisis/be8186e88e0ea977a9e1f9345c8c46d4


ここまでNOD32がノリノリなのは・・・・・すごく・・・・気持ち悪いです・・・・
ただ今のところ検体に偏りがあるから今度は全く別のところからの検体が欲しいかも
それでもNOD32が検出できるならNOD32の進歩は本物かも

>>188
カスペ2009 7：15：00
乙

Detected Trojan program Trojan-Downloader.Win32.Small.aacq dldr1.exe
Detected Trojan program Trojan-Downloader.Win32.Small.aacq dldr2.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.zmr trj0.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.aavq upk1cab.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.aavq upk2cab.exe
Detected virus HEUR:Backdoor.Win32.Generic pcclient1.exe
Detected virus HEUR:Trojan.Win32.Invader unknown1.exe
Detected virus HEUR:Trojan.Win32.Invader upk1cab.exe

検体提出します。

しかし、ウイルスの更新速度が半端じゃないね。orz

>>188
カスペ2009検出結果 13:35:00

Detected virus Rootkit.Win32.Agent.fjx agent_2.exe
Detected Trojan program Trojan.Win32.Agent.aulb agent1_0.exe
Detected Trojan program Trojan.Win32.Agent.aulb agent2_0.exe
Detected Trojan program Trojan.Win32.Agent.aulb agent1_1.exe
Detected Trojan program Trojan.Win32.Agent.aulb agent2_1.exe
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.txiq x48drp.exe
Detected Trojan program Trojan.Win32.Agent.aukb x48trj.exe

カスペからの返事

trj1.exe_

No malicious code was found in this file.（有害なコード含まれず。）

7+追加検出7＝14/15（1：白）

カスペ2009
>>188
ついでに、ヒューリスティック→シグネチャに変更について

Detected Trojan program Trojan.Win32.Inject.lfp unknown1.exe (←HEUR:Trojan.Win32.Invader）
Detected Trojan program Backdoor.Win32.PcClient.ukq pcclient1.exe （←HEUR:Backdoor.Win32.Generic）
Detected Trojan program Trojan-Dropper.Win32.Agent.aavq upk1cab.exe （>>194で検知済み。念のため。）

>>188
Rising Internet Security 2009 21.16.29
dldr1.exe: Trojan.Win32.Undef.kdn
dldr2.exe: Trojan.Win32.Undef.kdn
pcclient1.exe: Backdoor.Win32.PcClient.fms
trj0.exe: Trojan.Win32.Undef.svc
trj1.exe: Trojan.Win32.Undef.svc
upk1cab.exe>>upack0.32>>CABINET>>1.exe: Trojan.DL.Agent.cap
upk1cab.exe>>upack0.32: <Unknown virus>
upk2cab.exe>>upack0.32>>CABINET>>1.exe: Trojan.DL.Agent.cap
upk2cab.exe>>upack0.32: <Unknown virus>
7/15、未検出および<Unknown virus>は提出してきます。

>>188
未対応分をMcAfeeに提出させて頂ました。

NOD32　V3.0　定義バージョン3685
>>188
乙です。　　13/15
agent_2.exe　　 Win32/Rootkit.Agent.NHGの亜種 トロイの木馬
agent1_0.exe　　Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
agent1_1.exe　　Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
agent2_0.exe　　Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
agent2_1.exe　　Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
dldr1.exe　　　 Win32/Agent.OAG トロイの木馬
dldr2.exe　　　 Win32/Agent.OAG トロイの木馬
pcclient1.exe　 Win32/PcClientの亜種 トロイの木馬
trj0.exe　　　　Win32/PSW.OnLineGames.OEN トロイの木馬
trj1.exe　　　　Win32/PSW.OnLineGames.OENの亜種 トロイの木馬
upk1cab.exe　　 Win32/PSW.OnLineGames.ODDの亜種である可能性 トロイの木馬
upk2cab.exe　　 Win32/PSW.OnLineGames.ODDの亜種である可能性 トロイの木馬
x48trj.exe　　　Win32/PSW.OnLineGames.NSY トロイの木馬
未検出　unknown1.exe、x48drp.exe　提出済
似た検体が多い＝ヒューステリックで芋づる式検出＝検出率が高く見える、そんな感じです。
検出していること自体ありがたいですけど。

NODはヒューリスティックを売りとしてるんだからそれでいいんじゃないの？
ただ対応速度を上げてシグネチャ量を増やせばNODのアドバンスドヒューリスティックはもっと活きるだろうね

>>188
Rising Internet Security 2009 21.16.31 (21.07.42.00) Last Update Time=2008-12-12 14:45
agent1_0.exe: Worm.Win32.NSDownloader.y
agent1_1.exe>>68: Trojan.Win32.KillAV.aus
agent1_1.exe>>67: RootKit.Win32.Undef.adf
agent1_1.exe>>66: RootKit.Win32.Undef.adz
agent2_0.exe: Worm.Win32.NSDownloader.y
agent2_1.exe>>68: Trojan.Win32.KillAV.aus
agent2_1.exe>>67: RootKit.Win32.Undef.adf
agent2_1.exe>>66: RootKit.Win32.Undef.adz
agent_2.exe: RootKit.Win32.Undef.adz
x48drp.exe>>e5: Trojan.Win32.Undef.uhe
x48trj.exe: Trojan.Win32.Undef.uhe
7+7=14/15、unknown1.exeスルー、upk1cab.exeとupk2cab.exeは完全対応待ち

>>188
PandaGlobalProtection2009はx48trjのみスルーであとは検出

つ〜かいい加減Pandaのアップデート鯖なんとかしてくれorz

Rising Internet Security 2009
>>156
agent2_1.exe: Worm.Win32.NSDownloader.v
dldr1.exe: Trojan.Win32.Undef.ugw
x47trj.exe: Trojan.Win32.Undef.uhe
8+2=10/10
>>169
a1_1.exe: Trojan.Win32.Undef.ugw
a350_1.exe: Trojan.Win32.Undef.ugw
dldr0.exe: Trojan.Win32.Edog.bj
dldr1.exe: Trojan.DL.Win32.Mnless.bud
5+4=9/9
Risingもヒューリスティックが効いてきたかな

Rising2009も今流行の雲検出でも採用してるのかね？

人力だろ。人民パワーの人海戦術。

>>199
>似た検体が多い＝ヒューステリックで芋づる式検出＝検出率が高く見える
Dr.WEBが物凄い勢いで検出してるしね。

やっぱりヒューリスティックでも各ベンダーで内容は違うよね？
NOD32のアドバンスドヒューリスティックはどっちかというと全くの新種や未知ウイルスの検出よりシグネチャの亜種のさらに亜種を検出することに特化してるという感じがする
「○○の亜種の可能性」とかがそうだよね

他はどうだろう？
VBA32も強力だというけど

Rising Internet Security 2009
>>147
tmpa.exe: Trojan.Win32.Undef.ufr
tmpc.exe: Trojan.Win32.Undef.uhh
2+2=4/4
>>204
云安全（Cloud Security）ってのがあるにはあるけどオプションを有効にしても動いてるのかわからんかった
アンチスパイウェアにもその機能があるんだけど中国語にしか対応してない
ttp://www.rising.com.cn/2008/cloud/

よくわからないが、クラウド型って。ユーザーが怪しいと思うファイルをサーバーに問い合わせて結果を知るの？

�@全ファイルを送るのか、特定のファイルだけか？…前者だとかえってプライバシーの観点から、盗聴されたり漏洩したりで、心配。
�Aユーザーが怪しいと思わなければ、（クラウドに問い合わせなければ）、検出しないのか？

VTと変わらないような。Artemisの結果みれるし。

>>188
検出残りAVGに投げました！

>>188
AntiVir全検出確認

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=139
virus
土日はもっと更新激しいんだろうなー…

Rising Internet Security 2009
>>212
trj0.exe: Trojan.Win32.Dialer.vex
trj1.exe: Backdoor.Win32.PcClient.eay
webcc.exe: Trojan.DL.Win32.Mnless.btr
3/7

>>212 �d

カスペ2009 0:43:00
6/7
Detected Trojan program Trojan.Win32.Dialer.tth trj1.exe
Detected Trojan program Trojan.Win32.Pakes.mbw unknown1.exe
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.txkn x49drp.exe
Detected Trojan program Trojan.Win32.Agent.auoc x49trj.exe
Detected virus HEUR:Trojan.Win32.Generic unknown2.exe/
Detected virus Worm.Win32.Downloader.xd webcc.exe

検体提出します。

（参考）
カスペ2009 + 新エミュレーター(ベータテスト中)入れてみた。 22:18:00
4/7
Detected Trojan program Trojan.Win32.Dialer.tth trj1.exe
Detected Trojan program Trojan.Win32.Pakes.mbw unknown1.exe
Detected virus HEUR:Trojan.Win32.Generic unknown2.exe
Detected virus Worm.Win32.Downloader.xd webcc.exe

※新エミュレーター：ヒューリスティックエンジンの強化版。開発中でベータテスト中。ただし、ベータサーバーのため、シグネチャの発行時刻が遅い。

>>212
AVG検出残り提出しました。

>>212
カスペからの返事

Hello.

trj0.exe_

New malicious software was found in the attached file. Trojan-GameThief.Win32.Magania.andu
Its detection will be included in the next update.
Thank you for your help.

6+追加検出1=7/7

>>212
未対応分をMcAfeeに提出させて頂ました。

>>212
AntiVir 3/7
TR/Crypt.FKM.Gen [trojan]
unknown2.exe

TR/Crypt.XPACK.Gen [trojan]
unknown1.exe

TR/Dropper.Gen [trojan]
trj0.exe

>>212
PandaGlobalProtection2009

スルー：trj1、webcc、x49trj
それ以外：疑わしいファイルとして検出

これから検体提出する予定です

Pandaの検出傾向なんだけどまず最初はヒューリスティックやTruPreventでがっつり検出してその後シグネチャで検出するという感じ
ヒューリスティックからシグネチャに変更するまでそんなに時間はかからないからやはりPandaの対応速度は速い方かも

ttp://www.virustotal.com/analisis/9fb8edd1f8baec48d04d52b7eb3d5f43
ttp://www.virustotal.com/analisis/8b27c40a8c34a3b3a83026093e84c427
ttp://www.virustotal.com/analisis/7b8abc18ff357060ba8d7abf3a816d4c
ttp://www.virustotal.com/analisis/ffd700e7ee7b7ec5473961db5f37d4a6
ttp://www.virustotal.com/analisis/9938aa7cc1bbd7c8eea12857189be943
ttp://www.virustotal.com/analisis/11a20bf0d40340ceda51fc68cf58cdf3
ttp://www.virustotal.com/analisis/e3259ebcceec04d9f9c8469b301d9d8d

910 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/12(金) 12:05:52
ttp://www.diaryinbangkok.com/
を開こうとすると警告が出るのですが、本物でしょうか？

>>221
ネットワーク
http://pc11.2ch.net/hack/
の鑑定スレでどうぞ。

>>221
直リンはNG

>>1のテンプレにくわえた方がいいのでは。＞ファイルだけ鑑定って。（URL鑑定は除外）

・間違って踏むリスクある。
・脆弱性を突かれるリスクある
・完全に鑑定しようと思うと、ActiveXJavaScript,IFrameなど全許可。めんどくさいしとても危ない。

怪しいリンクを鑑定するスレって無かった？
あとは、次善策として、100%安全性を保証できないが、URLを入力すれば、判定してくれるソフトやサービス？

http://www.excite-blog.com/keyword/d0808033566_5linmovesmm2.rar

>>221
http://pc11.2ch.net/test/read.cgi/sec/1226484077/911-912

ttp://www.aguse.jp/?m=w&url=http://www.diaryinbangkok.com/
ttp://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ja&site=http://www.diaryinbangkok.com/

>>224
ttp://so.7walker.net/index.php?site=http%3A%2F%2Fwww.excite-blog.com%2Fkeyword%2Fd0808033566_5linmovesmm2.rar&hua=
※ リクエストされた URL は見つかりませんでした。

ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=140
Malware-Pack51

例によってMcAfeeには提出済み

>>226乙
NIS2009で、3/12検出（4、7、ｂ）
提出しておきます

>>226
AntiVir　9/12
Malware-Pack51\Malware\0\ProTools.exe　HEUR/Crypted [heuristic]
Malware-Pack51\Malware\1\IMG455.jpg-www.photo.com　DR/Dldr.QQHelper.gfg [dropper]
Malware-Pack51\Malware\2\install.exe　 DR/Fraud.XLGuarder.AV [dropper]
Malware-Pack51\Malware\4\av_360.exe 　TR/Fake.Antivirus360.A [trojan ]
Malware-Pack51\Malware\5\xloader.exe 　TR/Dldr.Small.ahcs [trojan]
Malware-Pack51\Malware\6\bya.exe 　TR/Dldr.Delphi.Gen [trojan]
Malware-Pack51\Malware\7\SMS-Torpedo-claro.com　 TR/Crypt.NSPM.Gen [trojan]
Malware-Pack51\Malware\8\certificado.exe　TR/Spy.Banker.Gen [trojan]
Malware-Pack51\Malware\a\baby.exe　TR/Crypt.XPACK.Gen [trojan]　

>>226
Rising Internet Security 2009
2\install.exe>>imon.dll: AdWare.Win32.Agent.cda
7\SMS-Torpedo-claro.com>>mian007: Packer.Win32.Mian007.a
2/12

>>226
乙
PandaGlobalProtection2009

ウイルス発見 : Application/XLGuarder オンデマンドスキャン 通知済み install.exe　[gscanner.exe]
ウイルス発見 : Generic Malware オンデマンドスキャン 通知済み gagent.exe
ウイルス発見 : W32/Oscarbot.VD.worm オンデマンドスキャン 通知済み Malware\1\IMG455.jpg-www.photo.com][burimis.exe][burimis.exe][burimi.exe]
ウイルス発見 : Generic Trojan オンデマンドスキャン 通知済み install.exe[esearch.dll]
セキュリティリスクを検出 :Malicious Packer オンデマンドスキャン 除去 SMS-Torpedo-claro.com
セキュリティリスクを検出 :Malicious Packer オンデマンドスキャン 除去 baby.exe
ウイルス発見 : Trj/CI.A オンデマンドスキャン 　　　　 　 除去 xloader.exe
ウイルス発見 : Generic Trojan オンデマンドスキャン 　　　　 除去 bya.exe[natal-convite.com]

疑わしいファイル：ProTools.exe、av_360.exe、certificado.exe

今回は通知済みのものが多いので検体をよく見てからPandaに提出予定

PandaGlobalProtection2009

Malware\1\IMG455.jpg-www.photo.com　DR/Dldr.QQHelper.gfg [dropper]とinstall.exe　 DR/Fraud.XLGuarder.AV [dropper]は駆除できないけど検出します
なのでSpywareExpertInstall.exeとsetup.exeとgsetup.exeをPandaに提出しました、検出数9/12

>>226
ttp://www.virustotal.com/analisis/186d8d8d4e4da311d19eae4e985c511b
ttp://www.virustotal.com/analisis/96546087915eb63494924be9da211eba
ttp://www.virustotal.com/analisis/75a3d2e479d1d41d0f94b4fcc7a74188
ttp://www.virustotal.com/analisis/0a84725d50717b57059f015c7d24b2b1
ttp://www.virustotal.com/analisis/a45e02d0975e40614a01cefffca1230d
ttp://www.virustotal.com/analisis/c45a83439bf44b445f621c79f3eacb14
ttp://www.virustotal.com/analisis/d63e8dd2d1d095de5691f74055b4fa09
ttp://www.virustotal.com/analisis/5ed7aecc33d8229a0dd0d6bd400d7104
ttp://www.virustotal.com/analisis/41207927a2c6be5b5385b4f8095064e3
ttp://www.virustotal.com/analisis/ee67fd2c9f60214b071b2906ae64ad56
ttp://www.virustotal.com/analisis/49f0132009146ec5de3903dddd226058
ttp://www.virustotal.com/analisis/8cc0d3e70b061fea62fb14005205e8cc

ちょっと違うところから検体持ってきただけでNOD32はボロボロ・・・
ま、予想はできたことだけど
あとはESETのウイルス対応速度に賭けるしかないね・・・
それよりもうちのパンダちゃんはなかなかの健闘してるから嬉しいですな

あとカスペはともかくとしてBitDefenderがヒューリスティック検出したのはVirustotalでは始めてかも
BitDefenderはヒューリスティック検出性能は強いというけど本当なのかな・・・？

>>226
カスペ2009 20:08:00
6/12

Detected Trojan program Trojan-Downloader.Win32.QQHelper.gfg 1/IMG455.jpg-www.photo.com
Detected virus not-a-virus:FraudTool.Win32.XLGuarder.av 2/install.exe
Detected virus not-a-virus:FraudTool.Win32.XLGuarder.bh 2/install.exe
virus not-a-virus:FraudTool.Win32.AntiVirus360.a 4/av_360.exe
Trojan program Trojan-Downloader.Win32.Small.ahcs 5/xloader.exe
Trojan program Trojan-Downloader.Win32.Banload.yze 6/bya.exe/natal-convite.com
virus HEUR:Trojan-Downloader.Win32.Generic 7/SMS-Torpedo-claro.com

検体提出します。

New Emulatorでも結果同じ。(8:27:00)

>>228
Malware\2\install.exeはスパイウェアとしても検出できるね
ってかまた多重圧縮かい

[0] Archive type: NSIS
--> ProgramFilesDir/gscanner.exe
[DETECTION] Contains recognition pattern of the ADSPY/AdSpy.Gen adware or spyware
--> ProgramFilesDir/gagent.exe
[DETECTION] Contains recognition pattern of the ADSPY/AdSpy.Gen adware or spyware
--> ProgramFilesDir/esearch.dll
[DETECTION] Contains recognition pattern of the PHISH/Fraud.XLGuarder.BH phishing file/email
[DETECTION] Contains recognition pattern of the DR/Fraud.XLGuarder.AV dropper

NOD32　定義バージョン3688
>>212
4/7
x49drp.exe Win32/PSW.OnLineGames.OFKの亜種 トロイの木馬
webcc.exe Win32/KernelBot.AAの亜種 トロイの木馬
unknown2.exe Win32/AutoRun.WCの亜種 ワーム
trj1.exe Win32/Dialer.NEW トロイの木馬
trj0.exe,unknown1.exe,x49trj.exe　未検出　検体提出

>>226
1/12
1\IMG455.jpg-www.photo.com Win32/IRCBot.AKR トロイの木馬
1以外全て未検出　検体提出
一部ファイルでフリーズ（CPU使用率100%）したあげく、検出されなかったorz
過去未検出→検出可能　になったのは3つ。

対応できないものはとことん対応できないな(苦笑）

>>225
カスペからの返事（中間報告）

Hello.

3 > SpywareExpertInstall.exe,
a > baby.exe
b > gsetup.exe

No malicious software was found in the attached file. (有害なコード含まれず）


7 > SMS-Torpedo-claro.com- Trojan-Downloader.Win32.Delf.qft

New malicious software was found in the attached file. Its detection will be included in the next update. （新種発見）


Thank you for your help.

6/12 (1,2,4,5,6,7) 白 3/12（3,a,b) 回答待ち３

眠たいから寝る。ｗ

>>226
検出残りAVGに弾丸送付！

さくら　スタンダードプランが1GB→3GB自動増量してたんですね

というわけでこのレン鯖でして欲しいことある？

良いモノ思いつかなくて･･･

うｐろだにURL書き込んだら自動転載ｗ
マルウェア用らしく、512KB以下とかでｗ

>>188
>>212
PandaGlobalProtection2009は残ってた未検出の検体も疑わしいファイルとして検出

カスペからの返事 >>236追加
>> 225

Hello,

9>.setup.exe_

No malicious code was found in this file.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.


6/12 白4 返事待ち2

返事が遅いときは、検知済みか無害のパターンが多いが…。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=141
virus

>>242
乙
PandaGlobalProtection2009
ウイルス発見 : Generic Malware 　FLSP1.EXE
ウイルス発見 : Trj/Downloader.MDW 　flsp0.exe
疑わしいファイル：x50drop.exe
残りは提出します

>>242
DrWeb全検出

>>242
AntiVirPremium
a0.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
ce0.exe
[DETECTION] Is the TR/Spy.Gen Trojan
ce1.exe
[DETECTION] Is the TR/Spy.Gen Trojan
flsp0.exe
[DETECTION] Is the TR/Drop.cas.A Trojan
flsp1.exe
[DETECTION] Is the TR/Drop.cas.A Trojan
k0.exe
[DETECTION] Is the TR/Spy.Gen Trojan
k1.exe
[DETECTION] Is the TR/Spy.Gen Trojan
ms0.exe
[DETECTION] Is the TR/Spy.Gen Trojan
ms1.exe
[DETECTION] Is the TR/Spy.Gen Trojan

AntiVirにも未検出検体プレゼント予定

>>242
ttp://www.virustotal.com/analisis/eb4e1dffee4956bf531ad112c98ba6ac
ttp://www.virustotal.com/analisis/c8796de1bda36cc8c31745be46c8f818
ttp://www.virustotal.com/analisis/8d0db156510a95975c3cced8181a21e6
ttp://www.virustotal.com/analisis/21c88bdd18848ad3c315219113ba0783
ttp://www.virustotal.com/analisis/f89b731c346d6d01b10a491c8d9d8aa8
ttp://www.virustotal.com/analisis/bde0b910e7660fc2eb908b10980cf3b7
ttp://www.virustotal.com/analisis/e866ad97524d9cac49901299e05f1072
ttp://www.virustotal.com/analisis/10c5d344bde4aa87431299de76685c76
ttp://www.virustotal.com/analisis/3c8de12631419937cf754912daee1753
ttp://www.virustotal.com/analisis/356dfa572bf52543d77adc3d8e4c1580
ttp://www.virustotal.com/analisis/09397dc8a050d1812d59966da33c48c5
ttp://www.virustotal.com/analisis/88fa600302059a8395f84d80aa628d02
ttp://www.virustotal.com/analisis/393744690d9a1e1569844b69ea490e6d
ttp://www.virustotal.com/analisis/160d384adbbf08209cf7460a6c33ae71


またPandaはVirustotal上で検出して実機では未検出というPandaクオリティ発動中
ま、すぐ検出してくれるから心配してないけど

>>242
PandaGlobalProtection2009
シグネチャ検出とx50trj.exe以外全て疑わしいファイルとして検出
時間おかずにこんなに検出状況変わるんだからPanda面白すぎてマジで止められんｗｗｗ

>>242
未対応分をMcAfeeに提出させて頂ました。

>>242
カスペ2009 14:50:00
�d
13/14
Detected Trojan program Trojan.Win32.Agent.auuy a2.exe
Detected Trojan program Trojan.Win32.Agent.auum a2.exe
Detected Trojan program Trojan.Win32.Agent.auuw a3.exe
Detected Trojan program Trojan.Win32.Agent.auuk a1.exe
Detected Trojan program Trojan.Win32.Agent.auuk a0.exe
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.txqq x50troj.exe
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.txqq x50drop.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.zmr flsp0.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.abku ms0.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.abku k0.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.abku ce0.exe
Detected Trojan program Exploit.Win32.IMG-WMF.ix ms1.exe
Detected Trojan program Exploit.Win32.IMG-WMF.ix k1.exe
Detected Trojan program Exploit.Win32.IMG-WMF.ix ce1.exe


flsp1.exe, 検体提出します。

カスペ2009+新エミュレーター @ 8:50:00 も同一結果

>>242
カスペからの返事
13+事後検出1=14/14

Hello,

flsp1.exe_ - Trojan-GameThief.Win32.OnLineGames.txub

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

>>242
NOD32 v3.0 定義3688　　12/14
ms1.exe　 Win32/TrojanDownloader.Small.OGQの亜種である可能性 トロイの木馬
ms0.exe　 Win32/Genetikの亜種である可能性 トロイの木馬
k1.exe　　Win32/TrojanDownloader.Small.OGQの亜種である可能性 トロイの木馬
k0.exe　　Win32/Genetikの亜種である可能性 トロイの木馬
flsp1.exe Win32/PSW.OnLineGames.OENの亜種 トロイの木馬
flsp0.exe Win32/PSW.OnLineGames.OEN トロイの木馬
ce1.exe　 Win32/TrojanDownloader.Small.OGQの亜種である可能性 トロイの木馬
ce0.exe　 Win32/Genetikの亜種である可能性 トロイの木馬
a3.exe　　Win32/TrojanDownloader.Agent.OMQの亜種 トロイの木馬
a2.exe　　Win32/Rootkit.Agent.NHGの亜種 トロイの木馬
a1.exe　　Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
a0.exe　　Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
x50drop.exe、x50troj.exe　未検出　ESET提出済
定義データベースの更新が2日間、一回もきていません（；＾ω＾）

>>242
AVG
提出済み！

>>242
Rising Internet Security 2009
flsp0.exe: Trojan.Win32.Undef.svc
flsp1.exe: Trojan.Win32.Undef.svc
2/14

このスレにはClamAV使いはいないのかな？

全人生を掛けている必死な農奴32使いなら居る。
（=´ω`=）y─┛~~

確かにもっと違うところからの検体が欲しい罠

>>225の3 > SpywareExpertInstall.exe,と9>.setup.exe_とb > gsetup.exeは結局白なの？
>>241のカスペはそういう反応だしPandaの方もアップデートしても相変わらずこの3つはスルーだし・・・
あとはAntiVirの反応次第か・・・

>>225じゃなかった
>>226だったorz

とりあえず、アナリストが見て白といってるから白っぽいんじゃね。100％とはいえないが。

・まず、デバッグが不十分。性質上、こまめに動作確認できない。できの悪いウイルス崩れはたくさんある。質より速度。とにかく、量を出す。
・あとは、AVを警告させて、パニック巻き起こさせて楽しむ愉快犯目的。PCに破壊活動を起こしてないから全く何の罪にもならない。

お金払えと表示するだけのインチキセキュリティソフトとかは
コード的には有害とは言えんしね。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=142
virus

ie7.zipについて補足(スクリプトなんかどうでもいいや、という人はスルーで)。
sampleはMetasploitなどで公開されているサンプルコード(コメントやタブなどは除去)。
ターゲットiframeのHTML(XMLタグ入り)を別途用意する必要があり、
この欠点と検知避けのため、中華ツールキットでは既に改良(改悪?)が進行中。
liteはシンプルな物、heavyは見つけた中では最も変態的な物。

>>261
PandaGlobalProtection2009

疑わしいファイルとして検出：AVKILL0.EXE、czvocs0.exe、czvocs1.exe、svchost0.exe
未検出は提出します

>>261
AntiVirPremium
czvocs0.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
czvocs1.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
ie7.zip
[0] Archive type: ZIP
--> ie7heavy.htm
[DETECTION] Contains recognition pattern of the HTML/Crypted.Gen HTML script virus
--> ie7lite.htm
[DETECTION] Contains recognition pattern of the EXP/XMLSPAN.B exploit
--> ie7sample.htm
[DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
ko0.exe
[DETECTION] Is the TR/Spy.Gen Trojan
ko1.exe
[DETECTION] Is the TR/Spy.Gen Trojan
svchost0.exe
[DETECTION] Is the TR/Dropper.Gen Trojan

提出してきます

>>261
ttp://www.virustotal.com/analisis/32d667978f3414d26ebeb01bfd871424
ttp://www.virustotal.com/analisis/e05e10c13baa865cfcbe99e35a9392c7
ttp://www.virustotal.com/analisis/98ad6cdfc5d0fa32ee57f9d22570dcf8
ttp://www.virustotal.com/analisis/802a326c5297368dcf83a2cbe356d0ae
ttp://www.virustotal.com/analisis/888c1d7ed6702cf73c1adbc37bf23369
ttp://www.virustotal.com/analisis/2ad2bff15ce4c852fcbfd17226c35599
ttp://www.virustotal.com/analisis/6f0f6b366207ff4278a2de3f3a05cd30
ttp://www.virustotal.com/analisis/f64db0ab3fe407397384312549be0269

GDATAはBitDefenderヒューリスティックエンジンで検出してるときとしてないときがあるな
カスペのときと同様にGDATAにまわすパターンファイルが少し遅いとか？

ちょっと遅れるね。カスペ→Fセキュほど遅いわけではないんだけど、
Bitもパターンの数がハンパないからなぁ。

>>261
PandaGlobalProtection2009はie7.zip以外全て疑わしいファイルとして検出

>>265
BitDefenderのヒューリスティックは年々改良されてるけどGDATAにまわされるBitDefenderヒューリスティックエンジンは古いってわけでもないんだよね？
BitDefenderは情報が少ないからわからん

Bitはどっちかってーとシグネチャ寄りですしおすし

とりあえず情報thx
あまり検出エンジンを変えてないのはAntiVirとavast!とBitとNOD32ぐらいか
AVGは7.5→8.0のときにEwido統合もそうだったけどヒューリスティックも強化されてた

カスペ2009 12:20:00
7/10
Detected Trojan program Trojan.Win32.Dialer.tvo svchost1.exe
Detected Trojan program Trojan-GameThief.Win32.Magania.anjc svchost0.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.auim czvocs0.exe
Detected Trojan program Exploit.Win32.IMG-WMF.jc ko1.exe
Detected Trojan program Exploit.JS.XMLPars.a ie7.zip/ie7sample.htm
Detected virus HEUR:Trojan.Win32.Generic avkill0.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic czvocs1.exe

検体提出します。

(参考）カスペ 2009＋新エミュレーター@ 8:29:00　　 8/10

Detected virus HEUR:Trojan.Win32.Generic avkill0.exe
Detected virus HEUR:Trojan.Win32.Generic czvocs0.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic czvocs1.exe
Detected virus HEUR:Exploit.Script.Generic ie7.zip/ie7heavy.htm
Detected virus HEUR:Exploit.Script.Generic ie7.zip/ie7lite.htm
Detected Trojan program Exploit.JS.XMLPars.a ie7.zip/ie7sample.htm
Detected Trojan program Trojan-GameThief.Win32.Magania.anjc svchost0.exe
Detected Trojan program Trojan.Win32.Dialer.tvo svchost1.exe

エミュレーター改良で、スクリプトも実行できるようになったから、"HEUR:Exploit.Script.Generic"でスクリプトもヒューリスティック検知できるみたいだ。

カスペからの返事

ko0.exe - Backdoor.Win32.Agent.vsa
ie7heavy.htm_ - Exploit.JS.Agent.yw
ie7lite.htm_ - Exploit.JS.XMLPars.j

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

avkill0.exe_ - Trojan.Win32.Slefdel.caw
czvocs1.exe_ - Trojan-Downloader.Win32.Small.ahff

This file is already detected. Please update your antivirus bases.

7+事後検出3＝10/10（全部シグネチャ検出に変換済み）

>>270-271
対象検体は>>261です。

すまん。

>>261
未対応分をMcAfeeに提出させて頂ました。

ftp://222.78.76.157/candy200812box.zip

http://99.180.226.188:8080/blog/play.scr

>>274-275
>>3
【重要】
●ここは鑑定スレではありません！！！！！

鑑定は
ネットワーク
http://pc11.2ch.net/hack/
の鑑定スレでどうぞ。

>>261
Rising Internet Security 2009
定義更新前21.16.31 (21.07.42.00)
ie7.zip>>ie7sample.htm: Hack.Exploit.Script.JS.Bucode.m
svchost0.exe: Trojan.Win32.Dialer.vex
svchost1.exe: Backdoor.Win32.PcClient.eay
3/10
定義更新後21.17.02 (21.08.02.00)
czvocs0.exe: Trojan.Win32.Delf.fmg
ko0.exe: Trojan.Win32.Edog.bm
ko1.exe: Trojan.DL.Win32.Mnless.bup
3+3=6/10

>>274
ttp://www.virustotal.com/jp/analisis/2320561bdc1f8799e085c4f73592db6a
尚、フォルダは無効であるか、壊れています。
>>275
http://gimpo.2ch.net/test/read.cgi/qa/1227049939/419
ttp://www.virustotal.com/jp/analisis/57165ab29a7f95320beec8468b5cae0d
ttp://so.7walker.net/index.php?site=http%3A%2F%2F99.180.226.188%3A8080%2Fblog%2Fplay.scr&hua=

>>275
McAfeeに提出させて頂ました。

Rising Internet Security 2009 21.17.02 (21.08.02.00) Last Update Time=2008-12-15 14:33
>>242
a0.exe: Worm.Win32.NSDownloader.aa
a1.exe: Worm.Win32.NSDownloader.z
a2.exe: Worm.Win32.NSDownloader.z
a3.exe: Worm.Win32.NSDownloader.z
ce0.exe: Trojan.Win32.Edog.bl
ce1.exe: Trojan.DL.Win32.Undef.ckp
k0.exe: Trojan.Win32.Edog.bl
k1.exe: Trojan.DL.Win32.Undef.ckp
ms0.exe: Trojan.Win32.Edog.bl
ms1.exe: Trojan.DL.Win32.Undef.ckp
2+10=12/14、、、ってVirustotalでは検出してたんだね・・・
>>212
unknown1.exe: Backdoor.Win32.Undef.bwm
unknown2.exe: Trojan.DL.Win32.ReplaceSpoolsv.m
3+2=5/7
>>188
unknown1.exe: Trojan.Win32.Undef.umb
15/15、ただしupk1cab.exeとupk2cab.exeは完全対応待ち

>>274
拡張子が偽装されてますね
Zip→rar
ttp://www.virustotal.com/jp/analisis/7b40291ed0ab92f3e67a7243fd17b0a4

>>275
AntiVir提出しました。

avast!って意外とやるね

このスレから検体提出されているベンダーってカスペ、AVG、Avira、Panda、McAfee、Risingくらいかな？
ときたまSymantecと最近はESETもあるのかな？
ウイルスセキュリティとバスターは見かけないね・・・

>>283
いろんな意味でねｗ

>>284
バスターは以前、よくこのスレで検出報告して検体提出してくれた人いたんだけどね
最近見なくなった
カスペとMcAfeeの報告＆提出する人はず〜っといるね
Risingは一時的に報告する人がいなくなったけど最近復活したみたい

私は以前までavast!のチェスト経由で検体提出してたけどavast!自体を削除してAntiVir一本に絞ったからavast!の提出しなくなった
avast!に検体提出する気ある人、いたら提出お願いします

ミニノートPC買うか仮想PC構築してもう一本アンチウイルス報告できるような環境しないといけないかな・・・

>>261
Rising Internet Security 2009 21.17.03 (21.08.03.00) Last Update Time=2008-12-15 17:05
avkill0.exe: Trojan.Win32.Delf.fmn
6+1=7/10

サブでClamAV使ってるけどavast!が優秀すぎて意味ないなｗ

というかClamAVがだめすぎる

>>233
今更ながら、カスペからの返事　

Hello.

8 > certificado.exe_Trojan-Banker.Win32.Banker.abrg

New malicious software was found in the attached file.

0 > ProTools.exe_

This file is corrupted.(ファイル破損)

カスペ的には、6+追加1=7/12で確定(1,2,4,5,6,7,8)

PandaGlobalProtection2009
>>242
全検出確認（ヒューリスティック検出含む）
>>275
一部疑わしいファイルとして検出（ログに反映されずまた隔離処理もできないため詳細が書けず）

Pandaはどうも複数のファイルを一つに纏められた物の処理に弱いですなorz
確かBitDefenderやウイルスバスターもこんな感じだったと思うけどBitDefender2009はどうなったのかな？

NOD32 v3.0 定義3694
>>242
5/8
ko1.exe Win32/TrojanDownloader.Small.OGQの亜種である可能性 トロイの木馬
ko0.exe Win32/Genetikの亜種である可能性 トロイの木馬
czvocs0.exe 新種・未知のNewHeur_PEである可能性 ウイルス
他5つ　未検出　ESET提出済み

×5/8→○3/8

BitDefenderの有料版のライセンスを持っている奴がいるかどうかがわからない。


ちなみに、VTでは、内部バージョンが古いのが多いからなぁ。
VTでは、BitDefenderとSymantecのエンジンが古すぎる悪寒
○○○2009という年号式の商品は、年次リリースの都度、メインビルドナンバー（整数部）を１上げるのが通例だから。

AV-Comparatives_2008/11----------VirusTotalのバージョン番号

Avast 4.8.1229-------------------4.8.1281
AVG 8.0.156----------------------8.0.0.199
Avira AntiVir 8.1.0.362----------7.9.0.45
BitDefender 11.0.17--------------7.2
ESET NOD32 3.0.669---------------3694…定義ファイルの番号？
F-Secure 9.0.0.148---------------8.0.14332.0
G-DATA 19.0.0.49-----------------19
McAfee 12.1.110------------------5465…定義ファイルの番号？
Kaspersky 8.0.0.454--------------7.0.0.125
MS Live OneCare 2.5.2900---------1.4205
Symantec Norton AV 16.0.0.125----10

※AV-Comparativesはあくまで比較用として抽出。現行ビルドはさらに進んでいる可能性あり。

VTのNOD32は古すぎて参考にならない! と言いたいのですね。

ヒューリスティック強化や複数エンジン統合とかしてなきゃVTのエンジン古くても問題ないだろ
AVGはすぐに8.0に切り替えたじゃないか
まあ確かにカスペは未だに7.0はどうなのかと、2009でヒューリスティックが大幅に強化したわけだし

もし新しくアンチウイルスを試せる環境ができたなら今度はBitDefender有料版を試してみる

>>294
symantecは企業用じゃないのかな？
今は11みたいだし・・・
http://www.symantec.com/ja/jp/business/endpoint-protection

Rising Internet Security 2009 21.17.11 (21.08.11.00) Last Update Time=2008-12-16 15:03
>>212
x49drp.exe>>e5: Trojan.Win32.Undef.uon
x49trj.exe: Trojan.Win32.Undef.uon
5+2=7/7
>>242
x50drop.exe>>e5: Trojan.Win32.Undef.uon
x50troj.exe: Trojan.Win32.Undef.uon
12+2=14/14
>>261
czvocs1.exe: Trojan.DL.Win32.Mnless.but
ie7.zip>>ie7lite.htm: Trojan.DL.Script.JS.Agent.ky
7+2=9/10

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=143
virus

pol_ff11は北米版FinalFantasyXIのアカウントハック。
ie7.zipはMetasploitより、IE7用スクリプト。

AntiVir 4/4
EXP/XMLSPAN.A [exploit] tane0143\ie7\ie7xml.htm
HEUR/Malware [heuristic] tane0143\pol_ff11.exe
TR/Crypt.FKM.Gen [trojan] tane0143\execrypt1.exe
TR/Dldr.Delphi.Gen [trojan] tane0143\akill0.exe

Rising Internet Security 2009 21.17.12 (21.08.12.00) Last Update Time=2008-12-16 15:34
>>299
ie7xml.htm: Hack.Exploit.Script.JS.Agent.ig
1/4
>>226
5\xloader.exe: Trojan.DL.Win32.Mnless.buv
6\bya.exe>>natal-convite.com>>upx_c: Trojan.Win32.Undef.uok
2+2=4/12

>>299
未対応分をMcAfeeに提出させて頂ました。

McAfeeのひと、ここは検出可否報告スレなんだから
検出数とかも書いてほしいな

McAfeeは前に居た
ヽ(｀д´)ノスルー!
(顔文字違うかも)とは別の人かな

akill0
http://www.virustotal.com/jp/analisis/a2dd3b042fc30d415c85e1b145ddca83
execrypt1
http://www.virustotal.com/jp/analisis/3afa8132218c86e322a9edc303d02343
pol_ff11.exe
http://www.virustotal.com/jp/analisis/2b20bd98bfb0735cbbeef2a6f464d589
ie7xml.zip
http://www.virustotal.com/jp/analisis/54a39847ff9fa4b65d552fdd1bc4cf4d
↓
ie7xml.htm.vir
http://www.virustotal.com/jp/analisis/74b1fe146081d8f2a121f7d893497a9e

McAfeeの検出可否はvirustotalの結果と同じです。

1/4とか書いたほうが楽じゃね?

NOD32 v3.0 定義バージョン3695
>>299　2/4
pol_ff11.exe Win32/PSW.OnLineGames.OBFの亜種 トロイの木馬
execrypt1.exe Win32/PSW.WOW.NDJの亜種 トロイの木馬
akill0.exe、ie7.zip未検出　ie7.zipは解凍しても未検出　Eset提出済

過去にスルーした検体を再チェック4つ対応、未検出が9つ。

>>299
�d

カスペ2009 22:41:00

2/4

Trojan program Exploit.JS.XMLPars.m ie7\ie7xml.htm
virus HEUR:Trojan.Win32.Generic /akill0.exe

検体提出します。

(参考)カスペ2009+新エミュレーター @ 8:28:00
2/4

Detected virus HEUR:Trojan.Win32.Generic akill0.exe
Detected virus HEUR:Exploit.Script.Generic ie7.zip/ie7xml.htm

>>299
カスペからの返事

Hello,

pol_ff11.exe_ - not-a-virus:AdWare.Win32.Virtumonde.anbb （アドウェア）

This file is an Advertizing Tool, It's detection will be included in the next update of extended databases set.

execrypt1.exe_ - Trojan-GameThief.Win32.WOW.dll （ゲーム窃盗系トロイ）

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.


2+追加検出2=4/4

カスペからの返事
>>299

akill0.exe_ - Trojan.Win32.Slefdel.cbe (HEUR:Trojan.Win32.Genericから変更）

This file is already detected. Please update your antivirus bases.

>>299
PandaGlobalProtection2009
疑わしいファイルとして検出：akill0.exe、pol.ff11.exe
それ以外は提出します

>>299
Rising Internet Security 2009 21.17.21 (21.08.21.00) Last Update Time=2008-12-17 13:39
akill0.exe: Trojan.Win32.Undef.usc
execrypt1.exe: Trojan.PSW.Win32.GameOL.sye
pol_ff11.exe: Trojan.Win32.Undef.usa
1+3=4/4

http://99.180.226.188:8080/bbs/sonline.scr

>>314
PandaGlobalProtection2009
ウイルス発見 : Generic Malware アンチウイルス保護 SONLINE.SCR.PART[1199.exe] 、DG1PEHE2.DEFAULT\CACHE\45DE446BD01[1199.exe]

>>315
ちなみにVTでは・・・・

ttp://www.virustotal.com/analisis/71b0fc6a63f7bbc09fb51d70a40c1614

McAfeeとNOD32の方、提出ﾖﾛ

>>314
McAfeeに提出させて頂ました。

>>314
【緊急!】ウイルス即行駆除方法【助けて!】Part3
http://pc11.2ch.net/test/read.cgi/sec/1214830385/898-900

ttp://www.virustotal.com/analisis/dabca812b0e05d2df41b2e651bf5bd29

McAfeeは検出できてた

>>314
NOD32　定義バージョン3698　0/1
未検出　Esetに提出しました。

あやしいファイルを実行するスレ 2層目
http://pc11.2ch.net/test/read.cgi/sec/1227543474/31

31 名前：名無しさん＠お腹いっぱい。[sage;v2y] 投稿日：2008/12/10(水) 11:47:37
http://pc11.2ch.net/test/read.cgi/sec/1228314831/126
ttp://1920041566:65535/t.exe

簡易実行してみた 当方環境では、DLLがひとつ増え、本体とhostsが消された
アラド戦記, リネ, RO(いずれも日本鯖)の垢抜きの模様

それはxなんとかexeでアップ・対処済み

Rising Internet Security 2009 21.17.23 (21.08.23.00) Last Update Time=2008-12-17 20:13 >>73>>188
Trojan.DL.Agent.cap → Trojan.PSW.Win32.QQPass.dwb
検出名が変化、<Unknown virus>は残ったまま

>>299
PnadaGlobalProtection2009

execrypt1.exeを疑わしいファイルとして検出
検出数3/4

>>322
sumann

ここのスレで質問する事じゃないが、VTに検体投げるとその検体はベンダーの方へ行くの？
VTはただエンジンを借りてるだけと言う人もいれば、そのお礼にマルウェア判定の出た物は送るという噂もあるし。

>>326
ベンダーに提出されてるはず。すべての検体を送っているかは不明。

受け取ったとしてもそれをどうするかはベンダー次第じゃないかな。
あれだけあると誤検出がガンガン送られるだろうから
「ウチは5つ以上有害判定なら解析する」「ウチは全部無視」とか。
ウイルス作成者も妨害目的でゴミ投げるだろうし。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=144
virus

>>327,328
判断はベンダー次第か・・・

>>328
AntiVir 3/5
TR/Dldr.Delphi.Gen [trojan] inject1.exe
TR/Dldr.Delphi.Gen [trojan] dldr1.exe
TR/Dldr.Delphi.Gen [trojan] dldr0.exe
残り提出

>>328
PandaGlobalProtection2009
x51trj.exe以外は全て疑わしいファイルとして検出
残りは提出します

ttp://www.virustotal.com/analisis/d7225ed1e1b6d3be69ddff3cf6224e14
ttp://www.virustotal.com/analisis/120ace8b8d981fa79a003d6796ef4503
ttp://www.virustotal.com/analisis/85fff877c131ccefc5d832e491751575
ttp://www.virustotal.com/analisis/28954a3ff98330a7c0737b03cad517d8
ttp://www.virustotal.com/analisis/088502114b8b4d7ab89dbdbe5c122ca2

Ikarusは何Bitのヒューリスティック検出名パクってんだよｗｗ

>>328
Rising Internet Security 2009 21.17.24 (21.08.23.00) Last Update Time=2008-12-18 09:57
スルー

>>328
�d
カスペ2009@11:46:00
3/5

Detected virus HEUR:Worm.Win32.Generic dldr0.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic dldr1.exe
Detected Trojan program Trojan.Win32.Slefdel.cbc inject1.exe

検体提出します。

カスペ2009+新エミュレーター @ 8:03:00も同上(3/5)

>>326-328

あまりVT検体はベンダーにより検査していないような悪寒

例>>24 (12/5, 2週間前の検体）

http://www.virustotal.com/analisis/15b8eddda09b005481326e5cb27435f4 22/37 1.exe
http://www.virustotal.com/analisis/5aa700c96439a02ee07997524dc19fca 21/37 2.exe
http://www.virustotal.com/analisis/81ade8ce932e35756145c6f04ff28179 20/37 3.exe
http://www.virustotal.com/analisis/6ca28807360d880328c2e8241b7f17f9 20/37 4.exe
http://www.virustotal.com/analisis/de6df040725def5deaca940bc40baf36 21/37 5.exe

確かに、>>26よりマシだが。
AVGは提出後、事後検知しているし、誤検知はないと思われ。
単にセキュリティ・ポリシーの違いでは説明できないような。

>>334
大手ベンダーで全スルーはSymantecとSophosとNormanか

>>328
Rising Internet Security 2009 21.17.31 (21.08.31.00) Last Update Time=2008-12-18 13:53
inject1.exe: Trojan.DL.Win32.Mnless.bvg
1/5

>>328

カスペからの返事 3+事後検出2=5/5

x51drop.exe_ - Trojan-GameThief.Win32.OnLineGames.tytu
x51troj.exe_ - Trojan-GameThief.Win32.OnLineGames.tytv
dldr1.exe_ - Trojan-Downloader.Win32.Small.ahjp （←HEUR:Trojan-Downloader.Win32.Generic）
dldr0.exe_ - Trojan-Downloader.Win32.Agent.avbv （←HEUR:Worm.Win32.Generic）

This file is already detected. Please update your antivirus bases.
Please quote all when answering.
The answer is relevant to the latest bases from update sources.

>>328
AntiVirも全検出確認

x51drop.exe
[0] Archive type: RSRC
--> Object
[DETECTION] Is the TR/Thief.OnLineGames.tytv Trojan
x51troj.exe
[DETECTION] Is the TR/Thief.OnLineGames.tytv Trojan

>>328
NOD32 3.0 定義3701
0/5　全スルー　提出済

>>328
Rising Internet Security 2009 21.17.32 (21.08.32.00) Last Update Time=2008-12-18 15:57
dldr0.exe: Trojan.DL.Win32.Undef.cou
dldr1.exe: Trojan.DL.Win32.Undef.cou
1+2=3/5

>>328
McAfeeに提出させて頂ました。

dat5466
検出数0/5
virustotalの結果とは異なるので。。

virustotalのdatはusの最新のものですかね
ttp://us.mcafee.com/virusInfo/default.asp?id=description&virus_k=153628
DAT Required: 5467

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=145
virus

>>343
AVG
提出済み

>>343
AntiVirPremium
nsp1
[DETECTION] Is the TR/Crypt.NSPM.Gen Trojan
upk1
[DETECTION] Is the TR/Crypt.XDR.Gen Trojan

未検出は提出します

>>343
PandaGlobalProtection2009
Rootkit/Lineage.KFW UPK1.EXE
それ以外は疑わしいファイルとして検出

>>343
Rising Internet Security 2009 21.17.33 (21.08.32.00) Last Update Time=2008-12-18 20:31
nsp1.exe>>nspack: Backdoor.Win32.Drwolf.nd
upk1.exe>>upack0.39: Trojan.DL.Win32.Undef.bha
2/4

>>345
2つともPacker引っ掛けてるだけだね(UpackとNSPack)。

>>343
ttp://www.virustotal.com/analisis/a7b4d707648bd42bc6067f62f0d62fae
ttp://www.virustotal.com/analisis/342d9613a80c53e4c393568a58accbbd
ttp://www.virustotal.com/analisis/4adc542b14c22e62d22c4c744654876e
ttp://www.virustotal.com/analisis/3e4f5522eda42b10bc6570cd36cae795

>>343

>>343
�d
カスペ2009 @ 9:52:00
4/4

Detected virus HEUR:Worm.Win32.Generic asprox0.exe
Detected Trojan program Backdoor.Win32.Agent.vum asprox0.exe
Detected virus HEUR:Worm.Win32.Generic asprox1.exe
Detected Trojan program Trojan.Win32.Agent.ated nsp1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.abcs upk1.exe

念のため、検体提出します。(asprox1.exe：ヒューリスティック検知)

カスペ＋新エミュレーター@8:29:00でも同じ。

>>343
カスペからの返事

asprox1.exe - Backdoor.Win32.Agent.wac （←HEUR:Worm.Win32.Generic）

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

>>343
NOD23 v3.0 定義バージョン3704
4/4
upk1.exe　　　Win32/TrojanDownloader.Agent.ONBの亜種である可能性　トロイの木馬
nsp1.exe　　　Win32/Agent.OOJ　トロイの木馬
asprox1.exe　 Win32/Agent.NEQの亜種である可能性　トロイの木馬
asprox0.exe　 Win32/Agent.NEQの亜種である可能性　トロイの木馬

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=146
virus

>>353
乙
PandaGlobalProtection2009
ウイルス発見 : Trj/Downloader.UZB　　　upk1.exe
スルー：qq0.exe
それ以外：疑わしいファイルとして検出

未検出は提出します

>>353
AntiVirPremium
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
qq0.exe
[0] Archive type: RSRC
--> Object
[DETECTION] Is the TR/ATRAPS.Gen Trojan
qq1.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
upk1.exe
[DETECTION] Is the TR/Spy.Gen Trojan

>>353
ttp://www.virustotal.com/analisis/e5980b96016db17b437d9439d0def0de
ttp://www.virustotal.com/analisis/f999b647434b005eecaf7375b9cdc0f5
ttp://www.virustotal.com/analisis/469f1d28750e8840a51ca4097ea70c09
ttp://www.virustotal.com/analisis/00cef64bb5e2d5d0d1338c1be8141150

>>353
�d
カスペ2009@15:37:00
4/4

Detected virus HEUR:Backdoor.Win32.Generic pcclient1.exe
Detected Trojan program Trojan-Dropper.Win32.Mudrop.kv pcclient1.exe
Detected Trojan program Trojan-PSW.Win32.QQPass.eng qq0.exe
Detected Trojan program Trojan-PSW.Win32.QQPass.eng qq1.exe
Detected Trojan program Trojan.Win32.Runner.br upk1.exe

カスペ＋新エミュレーター@8:29:00でも同じ。

>>343>>353
未対応分をMcAfeeに提出させて頂ました。

>>357と>>356を比較すると本当にカスペは2009でヒューリスティックが良くなったみたいね

というか毎回ここで検体うｐされるたびにカスペのヒューリスティック検出を見る気がする
今日のマルウェアの増え方を見てるとカスペの方針は間違ってないかも

>>353
PandaGlobalProtection2009は残り未検出のものも疑わしいファイルとして検出、全検出確認

Rising Internet Security 2009
>>353
qq0.exe: Trojan.PSW.Win32.QQPass.dxk
qq1.exe: Trojan.PSW.Win32.QQPass.dxk
upk1.exe: Trojan.Win32.Undef.skm
3/4
21.17.41 (21.08.41.00) Last Update Time=2008-12-19 14:19に更新後
>>328
x51drop.exe: Trojan.Win32.Undef.uwy
x51troj.exe: Trojan.Win32.Undef.uwy
3+2=5/5

>>353
NOD32 v3.0 定義バージョン3704
3/4
upk1.exe　　　　　Win32/TrojanDownloader.Agent.ONBの亜種である可能性 トロイの木馬
tane0146\qq1.exe　Win32/PSW.QQPass.NCZの亜種 トロイの木馬
tane0146\qq0.exe　Win32/PSW.Delf.NLZの亜種である可能性 トロイの木馬
pcclient1.exeをEsetに提出
なお、スルーした>>328 および　>>314　再検査　全スルー（0/6）

>>356
他のソフトは33/37〜18/37で検出してるのに
バスターやZEROは検出してないな

>>353
pcclient1.exe;Trojan.MulDrop.23178;削除。
qq0.exe;Trojan.PWS.Lineage.origin;修復不可。移動。
qq1.exe;Trojan.PWS.Lineage.origin;修復不可。移動。
upk1.exe;恐らく DLOADER.Trojan 移動

DrWeb全検出

>>328
今更ながらPandaGlobalProtection2009で全検出確認（ヒューリスティック検出含む）

>>359
カスペ2009エミュレーター＝単なる砂箱（Sandbox)
検出ルールは、シグネチャ配信と一緒に週に２，３回のペースで更新
仮実行して、ルールに触れたら、HEURで検出。
新エミュレーターは、HTMLとIFRAMEタグを追加検出できるようになった
でも、Agent系は難しそうな感じ。私感。

ところで、最近、ノートンの人こないな。
たしかに検体アップ頻度が上がってるので、報告('A`)ﾏﾝﾄﾞｸｾになってるかもしれないけど、
まとめてでもいいいから、たまには来てほしいね。(´･ω･｀)ｼｮﾎﾞｰﾝ

それもそうだし検体提出してもらってSymantecのウイルス対応速度がどれだけなのか知りたいよ

シマンテックはこのまま静観しているだけじゃないの
未だ遅そうだし

>>366
砂箱とHIPSの区別をはっきりして欲しいと思ったりもする
F-SecureのDeepGuardはHIPSだし（2009のDeepGuard2.0はNHIPSと表記してた）

と、それは置いといてカスペの新エミュはヒューリスティックの検出率が上がったのではなくヒューリスティックでの検出できる範囲が広がったという感じね
ヒューリスティック性能自体は2009でカスペのヒューリスティックは大幅に強化したし問題ないか
シグネチャで拾えなかった部分をヒューリスティックで補う・・・理想的な形になってるね

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=149
virus

autorunの最後に各社のhosts潰しがあるんだけど
Kaspersky鯖多すぎだ

>>371
AVG
送付完了

>>371
AntiVir　12/19
DR/Agent.feb.1 [dropper]'rkitb4.exe
DR/Agent.feb [dropper]'rkitb3.exe
TR/Crypt.FKM.Gen [trojan]'upk0.exe
TR/Downloader.Gen [trojan]'upk2.exe
TR/Crypt.FKM.Gen [trojan]'upk1.exe
DR/Agent.fea [dropper]'rkitb2.exe
TR/Hooker.AG [trojan]'rkita2.exe
TR/Dropper.Gen [trojan]'rkita0.exe
TR/Dropper.Gen [trojan]'defl0.exe
TR/Killav.azk [trojan]'rkitb1.exe
TR/Killav.azk [trojan]'rkitb0.exe
TR/Hooker.AG [trojan]'rkita3.exe

>>371
そしてKasperskyしっかり検出
046.zip/rkita0.exe - に感染しています Worm.Win32.AutoRun.ubh
046.zip/rkita1.exe - に感染しています Backdoor.Win32.Agent.vfc
046.zip/rkita2.exe/data0000 - に感染しています Rootkit.Win32.Small.hn
046.zip/rkita2.exe/data0001 - に感染しています Trojan.Win32.Hooker.aq
046.zip/rkita3.exe/data0000 - に感染しています Trojan.Win32.Hooker.aq
046.zip/rkitb0.exe - に感染しています Worm.Win32.Agent.md
046.zip/rkitb1.exe - に感染しています Trojan.Win32.KillAV.azk
046.zip/rkitb2.exe - に感染しています Rootkit.Win32.Agent.fev
046.zip/rkitb3.exe - に感染しています Rootkit.Win32.Agent.few
046.zip/rkitb4.exe - に感染しています Rootkit.Win32.Agent.fec
046.zip/upk0.exe - に感染しています Trojan-Dropper.Win32.Agent.rym
046.zip/upk1.exe - に感染しています Trojan-GameThief.Win32.Magania.gen
046.zip/upk2.exe - に感染しています Trojan-GameThief.Win32.OnLineGames.raj
046.zip/autorun0.exe - に感染しています Trojan.Win32.AntiAV.aaa
046.zip/autorun1.exe/data0000 - に感染しています Rootkit.Win32.KernelBot.dp
046.zip/autorun2.exe - に感染しています Rootkit.Win32.KernelBot.dp
046.zip/defl0.exe - に感染しています Trojan-GameThief.Win32.Magania.aogv
046.zip/defl1.exe - に感染しています Trojan.Win32.Dialer.tzy
046.zip/dldr1.exe - に感染しています Exploit.Win32.MS08-067.bb

>>371
PandaGlobalProtection2009
ウイルス発見 : Trj/Downloader.MDW　　　　rkitb2〜4
ウイルス発見 : Trj/Downloader.VDW 　　　　upk0.exe
疑わしいファイル：rkita0.exe 、rkita1.exe、rkitb0.exe、rkitb1.exe、upk1.exe、defl0.exe

それ以外は未検出につき提出します

autorun1〜rkitb0まで

ttp://www.virustotal.com/analisis/678c567fe215c26ed262b6eadc305ad3
ttp://www.virustotal.com/analisis/f90e4b55dc427ddd05d1522743f5085a
ttp://www.virustotal.com/analisis/cb1400cd2fad586a0f8de5d091181785
ttp://www.virustotal.com/analisis/31ccb9ab0d999277d04d97b2d179c146
ttp://www.virustotal.com/analisis/73a721dafbcf4bac95c09b88c1009e96
ttp://www.virustotal.com/analisis/339b112cfb98f73677a1961fec9bf51a
ttp://www.virustotal.com/analisis/b02239a87ed3c0e4e3917dab95b946b5
ttp://www.virustotal.com/analisis/abe9272c60f1237f77b19a61b3a3e1fa
ttp://www.virustotal.com/analisis/dee04dd9e44ec5e238bcc73de9603b01
ttp://www.virustotal.com/analisis/b11a9a8a3ba4f8e7dc945184447e9106
ttp://www.virustotal.com/analisis/3f915750c5267ba32234e5f0ee3d2476
ttp://www.virustotal.com/analisis/541da9a6ec8ed69e9b2358a3df17ee44

>>371
未対応分をMcAfeeに提出させて頂ました。

rkitb1〜upk2

ttp://www.virustotal.com/analisis/52b9091023b4707c4fad9f73bbea8987
ttp://www.virustotal.com/analisis/ccf0b88ffbcd16e9f1392e0d12c080a8
ttp://www.virustotal.com/analisis/6274b921776f7c5ac1c5c8b211596c18
ttp://www.virustotal.com/analisis/d302eeeb664ad9873f3ea63e3b19772d
ttp://www.virustotal.com/analisis/a7b5a1a891db4ea208bff21c4b0f3f63
ttp://www.virustotal.com/analisis/f14964e53beec77a99c57e8614fa9b14
ttp://www.virustotal.com/analisis/a500a7e4990180af7ef566d8151531af

ここまでシマに提出済み

>>371
ttp://www.virustotal.com/analisis/cb1400cd2fad586a0f8de5d091181785
Genericパターン検出の↑はMcAfeeに追加提出させて頂きました。

>>371
PandaGlobalProtection2009
autorun1とautorun2以外の未検出検体は全て疑わしいファイルとして検出
検出数17/19

>>371
Rising Internet Security 2009
autorun0.exe>>SHELL_BYPASS: RootKit.Win32.Undef.vt
autorun2.exe: RootKit.Win32.Undef.vt
defl0.exe>>65: Backdoor.Win32.PcClient.eay
defl1.exe: Backdoor.Win32.PcClient.eay
rkita0.exe: Worm.Win32.NSDownloader.p
rkita1.exe: Worm.Win32.NSDownloader.p
rkita2.exe: Worm.Win32.NSDownloader.k
rkita3.exe: RootKit.Win32.Mnless.amr
rkitb0.exe: Worm.Win32.NSDownloader.f
rkitb1.exe: Worm.Win32.NSDownloader.g
rkitb2.exe: Worm.Win32.NSDownloader.g
rkitb3.exe: Worm.Win32.NSDownloader.g
rkitb4.exe: Hack.Exploit.Win32.MS08-067.l
upk0.exe: Dropper.Win32.Delf.cfm
upk1.exe>>upack0.39: Worm.Win32.AntiAV.b
upk2.exe>>upack0.34: Trojan.Win32.TrjMaker.a
16/19、autorun0.exeとdefl0.exeは<Unknown virus>のため未検出ファイルといっしょに提出予定
やっと、週末にも定義が来るようになったけど、追加検出はなし

>>261と>>299のie7.zip
Panda2009は未だスルー、で、前回スルーのときにそれぞれ提出したけど未だにスルーなので再度今日提出

いつもは検疫フォルダ経由で提出してるけどメール添付で提出した方がいいのかな・・・・
それともPandaにしてみればie7.zipの検体は白判定なのかね・・・・

そういうポリシーなのかもね。
Sophosも昔「うちはshellcodeは扱わねーよ」みたいな返信が来てから送ってない。

ま、カスペも白判定するものがこのスレでもあったしね（実際にはマルウェアだけど）

>>371
NOD32 v3.0 定義3708
16/19
autorun2.exe　Win32/KernelBot.AAの亜種 トロイの木馬
autorun0.exe　Win32/KernelBot.AAの亜種 トロイの木馬
rkita2.exe　　　Win32/TrojanDownloader.Agent.OOQ トロイの木馬
rkita1.exe　　　Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
rkita0.exe　　　Win32/TrojanDownloader.Agent.OOQ トロイの木馬
dldr2.exe　　　 Win32/Exploit.MS08-067.Bの亜種 トロイの木馬
dldr1.exe　　　 Win32/Exploit.MS08-067.Bの亜種 トロイの木馬
rkitb2.exe　　　Win32/Rootkit.Agent.NHGの亜種 トロイの木馬
rkitb1.exe　　　Win32/TrojanDownloader.Agent.OMQの亜種 トロイの木馬
rkitb0.exe　　　Win32/TrojanDownloader.Agent.OMQの亜種 トロイの木馬
rkita3.exe　　　Win32/TrojanDownloader.Agent.OOQ トロイの木馬
upk1.exe　　　 Win32/TrojanDownloader.Fluxの亜種 トロイの木馬
upk0.exe　　　 Win32/TrojanDropper.Delf.NJC トロイの木馬
rkitb4.exe　　　Win32/Exploit.MS08-067.B トロイの木馬
rkitb3.exe　　　Win32/TrojanDownloader.Agent.OMQの亜種 トロイの木馬
upk2.exe　　　 Win32/TrojanDropper.Delf.NGV トロイの木馬
未検出ぶんはautorun1.exe,def0.exe,def1.exeの3つ。Esetへ提出

今週未検出だったものも、ようやく全検出。

>>385
白判定だったら、白判定だと返信すべきだろ。

>>387
そうなんだけどPandaの場合は黒だろうが白だろうが返事が全く来なかったのよ（もちろんメールで）
それでも検体送ればすぐに対応してくれるから満足してるし積極的に検体送ってるけど

完璧に見えてこういうところはいい加減なのはスペインクオリティか・・・・
AntiVirならメール送信でもWeb送信でも白判定でも黒判定でも関係なく必ず返事来るんだけどね（Webで検体送った場合「検体送ってくれてありがとう」とのメールが検体送った瞬間に来る）
こちらはドイツクオリティか

>>388
国民性でしょうね。

偽陽性ネタ リンクのみで
http://venus.bbspink.com/test/read.cgi/ascii/1215428553/651-659

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=150
virus

krunchyってPacker、あまり見たことないなぁ。

>>391
AntiVir 7/8
TR/Dldr.Delphi.Gen [trojan]…inject_jp1.exe
TR/Dldr.Delphi.Gen [trojan]…inject_kr1.exe
TR/Crypt.XPACK.Gen [trojan]…krunchy1.exe
TR/Dldr.Delphi.Gen [trojan]…dldr_kr1.exe
TR/Dldr.Delphi.Gen [trojan]…dldr_jp0.exe
TR/Dldr.Delphi.Gen [trojan]…dldr_jp1.exe
TR/Dldr.Delphi.Gen [trojan]…dldr_kr0.exe
残り提出

>>391
未対応分をMcAfeeに提出させて頂ました。

>>390
↓ベクターに問い合わせるのが一番
ttp://www.vector.co.jp/ir/corp/outline.html
問い合わせた後に対応予定

>>391
＞krunchyってPacker、あまり見たことないなぁ。
どれがですか？

>>394
>どれがですか？
それとわかるファイル名付けといたんだけど。

>>395
どもどもですー

>>391
PandaGlobalProtection2009

ウイルス発見 : Trj/Downloader.MDW dldr_jp1.exe

それ以外は全て疑わしいファイルとして検出

>>391
カスペ2009@15:54:00
今北産業
8/8

Detected Trojan program Trojan-Downloader.Win32.Agent.awjk /dldr_jp0.exe
Detected Trojan program Trojan-Downloader.Win32.Small.ahjp /dldr_jp1.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.awjk /dldr_kr0.exe
Detected Trojan program Trojan-Downloader.Win32.Small.ahjp /dldr_kr1.exe
Detected Trojan program Exploit.Win32.MS08-067.bf /dldr1.exe
Detected Trojan program Trojan.Win32.Slefdel.ccn /inject_jp1.exe
Detected Trojan program Trojan.Win32.Slefdel.ccn /inject_kr1.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.awgg /krunchy1.exe

>>391
NOD32 ｖ3.0 定義3709　3/8
dldr_jp1.exe　Win32/TrojanDownloader.Delf.OMG トロイの木馬
dldr_kr1.exe　Win32/TrojanDownloader.Delf.OMG トロイの木馬
dldr1.exe　Win32/Exploit.MS08-067.Bの亜種 トロイの木馬
未検出ぶんEsetへ提出

>>391
ttp://www.virustotal.com/analisis/1a2ae7fe491bd8eaa88bd44562198502
ttp://www.virustotal.com/analisis/ff84a0d2546e810525d2f6ab18829fad
ttp://www.virustotal.com/analisis/98773e98c6ce85e2a82f60a2a0f9a9a7
ttp://www.virustotal.com/analisis/fe4097a4a8fcbcffd17ac3bd317568bf
ttp://www.virustotal.com/analisis/863d15690d5654a0dc95fb45db8f294c
ttp://www.virustotal.com/analisis/051c2430b5aa56fc414bd9ca3133d805
ttp://www.virustotal.com/analisis/b74702d1b8ecf28e7be0f77387db1add
ttp://www.virustotal.com/analisis/4b67f8d7fa7c891f2207c2e59e44c17e

ここ最近Bitのヒューリスティック検出をよく見るな

>>393
おかげで全検出

う・・・・よく見たら全検出じゃなかったorz

>>391
Rising Internet Security 2009
21.17.52 (21.08.52.00) Last Update Time=2008-12-20 16:49 にて
dldr_jp0.exe: Trojan.DL.Win32.Undef.cou
dldr_jp1.exe: Trojan.DL.Win32.Undef.cou
dldr_kr0.exe: Trojan.DL.Win32.Undef.cou
dldr_kr1.exe: Trojan.DL.Win32.Undef.cou
21.17.62 (21.08.62.00) Last Update Time=2008-12-21 16:07 にて
dldr1.exe: Hack.Exploit.Win32.MS08-067.r
inject_jp1.exe: Trojan.Win32.Undef.vce
inject_kr1.exe: Trojan.Win32.Undef.vce
krunchy1.exe: Backdoor.Win32.Undef.byo
4+4=8/8

Rising Internet Security 2009
>>343
asprox0.exe: Trojan.Win32.Undef.vdh
asprox1.exe: Trojan.Win32.Undef.vdf
2+2=4/4
>>353
pcclient1.exe: Backdoor.Win32.PcClient.qcg
3+1=4/4
>>371
dldr1.exe: Hack.Exploit.Win32.MS08-067.q
dldr2.exe: Hack.Exploit.Win32.MS08-067.r
16+2=18/19

>>390
マカスレの445-463で話題になってますね

>>391
ＡＶＧに提出しました！

Rising Internet Security 2009 21.18.01 (21.09.01.00) Last Update Time=2008-12-22 13:37
>>371
autorun0.exe>>SHELL_DLL: Trojan.Win32.Undef.vee
autorun1.exe: Trojan.Win32.Undef.vee
18+1=19/19、defl0.exeは<Unknown virus>のまま

http://nullpoarchives.orz.hm/uploader/upload/File2747.zip

鑑定ｱﾘﾄｩｰｯｽｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

>>407
でか過ぎ、無理w

鑑定厨は放置で

>>371
PandaGlobalProtection2009はautorun1が疑わしいファイルとして検出、検出数18/19

>>261と>>299のie7.zipは未だ完全スルー
やはり白判定なのでしょう

Rising Internet Security 2009 21.18.11 (21.09.11.00) Last Update Time=2008-12-23 13:55
>>226
3\SpywareExpertInstall.exe: AdWare.Win32.Agent.coe
9\setup.exe>>ErrorSweeper.exe: AdWare.Win32.Agent.coe
4+2=6/12、キラースレによると同じ検出名でspybotが引っかかるらしい

Rising Internet Security 2009 21.18.13 (21.09.13.00) Last Update Time=2008-12-23 17:59
>>226
3\SpywareExpertInstall.exe: AdWare.Win32.Agent.coe → スルー
9\setup.exe>>ErrorSweeper.exe: AdWare.Win32.Agent.coe  → スルー
6-2=4/12、spybotの誤検出も直った模様

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=152
virus

トロイです。

>>414
http://www.virustotal.com/jp/analisis/c2df8bbcb04e065ccd2ece839072a3a3

>>414
カスペ2009 10:04:00
�d
1/1

Detected virus HEUR:Trojan.Win32.Generic hidamari.avi.exe

エミュレーター @ 8:26:00でも同上。

12.7MBもあって、提出面倒くさいから、提出見合わせ。

>>414 WinnyかShareで拾ったんだろ?
ダウソ板に帰れ

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=153
virus

>>418
PandaGlobalProtection2009

ウイルス発見 : Trj/Agent.KIQ 　　　　dldr1_0.exe
ウイルス発見 : Trj/Lineage.BZE 　　　upk4.exe
ウイルス発見 : Trj/CI.A　　　　　　　　upk3.exe
疑わしいファイル　　　bho0.exe、rlpk0.exe、upk1.exe、upk2.exe
それ以外はスルーにつき提出します

>>418
AntiVirPremium
autorun0.exe [DETECTION] Is the TR/Dropper.Gen Trojan
bho0.exe [DETECTION] Is the TR/Agent.20480.288 Trojan
bho1.exe [DETECTION] Is the TR/Agent.20480.322 Trojan
bho2.exe [DETECTION] Is the TR/Agent.20480.322 Trojan
bho3.exe [DETECTION] Is the TR/BHO.Gen Trojan
bho4.exe
[0] Archive type: OVL
--> Object
[DETECTION] Is the TR/BHO.Gen Trojan
bho5.exe [DETECTION] Is the TR/BHO.Gen Trojan
dldr1_0.exe [DETECTION] Is the TR/Spy.Gen Trojan
dldr1_1.exe [DETECTION] Is the TR/Spy.Gen Trojan
dldr2_0.exe [DETECTION] Is the TR/Spy.Gen Trojan
dldr2_1.exe [DETECTION] Is the TR/AntiAV.XU Trojan
dldr2_2.exe [DETECTION] Is the TR/Spy.Gen Trojan
nspk1.exe [DETECTION] Is the TR/Dropper.Gen Trojan
rlpk0.exe [DETECTION] Is the TR/Dropper.Gen Trojan
upk1.exe [DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
upk2.exe [DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
upk3.exe [DETECTION] Is the TR/Meredrop.A.437 Trojan
upk4.exe [DETECTION] Is the TR/Crypt.FKM.Gen Trojan
upk5.exe [DETECTION] Is the TR/Spy.Gen Trojan

残りは提出します

>>418
平均ウイルス対応速度を知りたいのでSymantecとBitDefenderにも送っておきました

他のベンダーはよろしくお願いします

>>418
AVGおｋ

>>414
10Ｍ以下にならないかな。

>>423
動画入ってるから無理。

>>418
�d
カスペ2009 10:54:00
19/21

Detected Trojan.Win32.Agent.aziw autorun0.exe
Detected Trojan.Win32.Agent.aziw autorun1.exe
Detected Trojan-Clicker.Win32.Small.xw bho0.exe
Detected Trojan-Clicker.Win32.Small.xx, Trojan-PSW.Win32.OnLineGames.admt, Rootkit.Win32.Ressdt.hd, Trojan-Clicker.Win32.Small.xx 　　bho1.exe
Detected Trojan-PSW.Win32.OnLineGames.admt, Trojan-Clicker.Win32.Small.xx, Rootkit.Win32.Ressdt.hd 　　bho2.exe
Detected Rootkit.Win32.Ressdt.hd bho3.exe
Detected Trojan-PSW.Win32.OnLineGames.admt bho4.exe
Detected Trojan-Clicker.Win32.Small.xx bho5.exe
Detected Trojan-Dropper.Win32.Agent.abku dldr1_0.exe
Detected Exploit.Win32.IMG-WMF.iy dldr1_1.exe
Detected Trojan.Win32.Agent.attc dldr2_0.exe
Detected Trojan.Win32.AntiAV.xu dldr2_1.exe
Detected Trojan.Win32.Patched.ed dldr2_2.exe
Detected Trojan-Downloader.Win32.Small.ahsg rlpk0.exe
Detected Trojan-Downloader.Win32.Small.ahsg rlpk1.exe
Detected Worm.Win32.AutoRun.vlh upk2.exe
Detected riskware not-a-virus:WebToolbar.Win32.VB.ac upk3.exe
Detected Trojan-GameThief.Win32.Magania.gen upk4.exe
Detected Trojan.Win32.Inject.ljg upk5.exe

エミュレーター@8:29:00と比べてupk2.exeを追加検出

検体提出します。

>>418

カスペからの返事

Hello,

upk1.exe_ - Worm.Win32.AutoRun.vmh

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.


nspk1.exe_ - Exploit.Win32.MS08-067.bc

This file is already detected. Please update your antivirus bases.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

19+事後検知2=21/21

>>418
PandaGlobalProtection2009
未検出分

Rootkit/Hideprocess.K：bho3.exe

他は疑わしいファイルとして検出、全検出確認

autorun0.exe〜dldr2_1.exe

ttp://www.virustotal.com/analisis/0a8bbc001e70ff30dc4c2b27a290f9bf
ttp://www.virustotal.com/analisis/553defbda37992f1045925c8a2110028
ttp://www.virustotal.com/analisis/b183e5ad383aa6301532e0df77d45573
ttp://www.virustotal.com/analisis/6d5c9e38b2e35d319963a0161122e672
ttp://www.virustotal.com/analisis/667ac2b0fffbf8add04d16fe7416db64
ttp://www.virustotal.com/analisis/385c2057e1590574ce8dad63c032bf2e
ttp://www.virustotal.com/analisis/07bbbcbc5b7903d02ab3c3ed281e362c
ttp://www.virustotal.com/analisis/2cb6fffe94adc02b46385aa7f0e76aa6
ttp://www.virustotal.com/analisis/201a12858208f92ed6b8de520dcf8d24
ttp://www.virustotal.com/analisis/8952d87d8e508f9a79552ad625aeaeeb
ttp://www.virustotal.com/analisis/593ca39ce7317c6d545e2e3b3e5047d2

dldr2_2.exe〜upk5.exe

ttp://www.virustotal.com/analisis/8b347a66b152474a5e2f457e91573415
ttp://www.virustotal.com/analisis/b493f9c06e4302764feb184a5e378372
ttp://www.virustotal.com/analisis/90acac5e461dc20864b5d93dce073e3d
ttp://www.virustotal.com/analisis/5c73b767e8d2a373724aee96cc18d724
ttp://www.virustotal.com/analisis/88162ea1f17bfce0879e7ae98b3da807
ttp://www.virustotal.com/analisis/6c1f611333fe75939fb6e942bcf82082
ttp://www.virustotal.com/analisis/1f73c71dfcd61c99eeb4deadd3d0b4ec
ttp://www.virustotal.com/analisis/32c341112a6ad29a5490d4aa84ae124f
ttp://www.virustotal.com/analisis/e9a08ca22009606e1f90943a3172e0a3


Symantecは検体提出した影響か良い感じに検出できてる（検出数18/21）
ちなみにPandaは実際には検出するのにVT上ではスルーというのもカウントしてみた、なんと21検体中9個もあった

>>418
Rising Internet Security 2009
21.18.14 (21.09.14.00) Last Update Time=2008-12-23 21:47にて
autorun1.exe>>66〜68: Worm.Win32.NSDownloader.z
bho0.exe>>7a: RootKit.Win32.RESSDT.y
bho0.exe>>72: RootKit.Win32.Mnless.tq
bho0.exe>>71: Trojan.Win32.Undef.pzf
bho0.exe>>70: Trojan.Win32.Undef.hcd
bho0.exe>>7f: AdWare.Win32.Undef.dma
bho1.exe: Trojan.Win32.Undef.hcd
bho2.exe: Trojan.Win32.Undef.pzf
bho3.exe: RootKit.Win32.RESSDT.y
bho4.exe: RootKit.Win32.Mnless.og
bho5.exe: AdWare.Win32.Undef.dma
dldr1_0.exe: Trojan.Win32.Edog.bl
dldr1_1.exe: Trojan.DL.Win32.Undef.ckp
dldr2_0.exe: Trojan.Win32.Edog.bh
dldr2_1.exe: Trojan.Win32.Undef.ugw
dldr2_2.exe: Trojan.DL.Win32.Mnless.bts
upk1.exe>>upack0.34: Trojan.DL.Win32.MyDown.bed
upk3.exe>>upack0.39: Trojan.Win32.VB.gef
upk4.exe>>upack0.39: Worm.Win32.AntiAV.b
upk5.exe>>upack0.34>>65: Trojan.PSW.Win32.GameOL.svl
21.18.20 (21.09.20.00) Last Update Time=2008-12-24 11:08にて
autorun0.exe: Worm.Win32.NSDownloader.ak
nspk1.exe>>nspack: Trojan.Win32.Undef.vjd
upk2.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bef
16+3=19/21、未検出は送付済み

>>371
PandaGlobalProtection2009
残るautorun2.exeも疑わしいファイルとして検出、やっと全検出

>>418
AntiVirPremium
全検出確認

autorun1.exe
[DETECTION] Is the TR/Agent.49152.150 Trojan
rlpk1.exe
[DETECTION] Is the TR/Dldr.Small.ahsg Trojan

>>418
Rising Internet Security 2009 21.18.21 (21.09.21.00) Last Update Time=2008-12-24 13:49
rlpk0.exe>>rlpack119baplib>>66: RootKit.Win32.Edog.al
rlpk0.exe>>rlpack119baplib: <Unknown virus>
rlpk1.exe: Trojan.DL.Win32.Mnless.bwf
19+2=21/21、rlpk0.exeは完全対応待ち

388 名前： ネチズン(catv?) 投稿日：2008/12/24(水) 17:02:38.77 ID:ZdalnCxn
342 名前：公共放送名無しさん：2008/12/24(水) 16:33:59.24 ID:0pRIAB9R
１２月初旬から連絡とれなくなってたらしいよ。
だから死亡日時は１２月初旬

異臭を感じた近隣の人が警察に連絡して
事務所の人がマンション内に入って遺体発見

だからクリスマスは関係ない
http://sakuratan.ddo.jp/imgboard/img-box/img20081223085209.jpg


関係者ｷﾀ━━━━━━＼(ﾟ∀ﾟ)／━━━━━━!!!!

AVG撃退しました

ブラクラ直リンすんな

>>24
Rising Internet Security 2009
2.exe>>$PLUGINSDIR\f1>>$SYSDIR\$SYSDIR\$[40].dll: Trojan.Win32.Undef.vjg
1/5

ttp://www.virustotal.com/analisis/82c1bf49ec60d644a907e44f171b9d62

a-squared 4.0.0.73
が追加されました

おお、これでJottiに投げる必要性がまた減ったな

>>418
未対応分をMcAfeeに提出させて頂ました。

ここまでシマに提出済み

>>440
NOD32 v3.0　定義3716　20/21
bho1.exe　　　　Win32/TrojanClicker.Agent.NCZの亜種 トロイの木馬
bho0.exe　　　　Win32/TrojanClicker.Agent.NCZの亜種 トロイの木馬
autorun1.exe　　Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
autorun0.exe　　Win32/TrojanDownloader.Agent.OMQの亜種である可能性 トロイの木馬
dldr1_0.exe　　 Win32/Genetikの亜種である可能性 トロイの木馬
bho5.exe　　　　Win32/TrojanClicker.Agent.NCZの亜種 トロイの木馬
bho4.exe　　　　Win32/Rootkit.Agent.NGXの亜種 トロイの木馬
bho3.exe　　　　Win32/TrojanClicker.Agent.NCZの亜種 トロイの木馬
bho2.exe　　　　Win32/TrojanClicker.Agent.NCZの亜種である可能性 トロイの木馬
dldr2_2.exe　　 Win32/TrojanDownloader.Small.OGQの亜種である可能性 トロイの木馬
dldr2_1.exe　　 Win32/TrojanDownloader.Agent.OHA トロイの木馬
dldr2_0.exe　　 Win32/Genetikの亜種である可能性 トロイの木馬
dldr1_1.exe　　 Win32/TrojanDownloader.Small.OGQの亜種である可能性 トロイの木馬
rlpk1.exe　　　 Win32/TrojanDownloader.Agent.NYPの亜種 トロイの木馬
rlpk0.exe　　　 Win32/TrojanDownloader.Agent.NYPの亜種 トロイの木馬
upk4.exe　　　　Win32/TrojanDownloader.Fluxの亜種 トロイの木馬
upk3.exe　　　　Win32/TrojanDropper.VB.NFW トロイの木馬
upk2.exe　　　　Win32/AutoRun.Delf.Iの亜種 ワーム
upk1.exe　　　　Win32/AutoRun.Delf.Iの亜種 ワーム
upk5.exe　　　　Win32/TrojanDropper.Agent.NPOの亜種 トロイの木馬
nspk1.exe未検出　Esetへ提出。
tane149、tane150で検出漏れの検体を再チェックして全対応確認。

>>440
さすがシマンテック、何も書かずにスレッドに貢献せず
フリーライダーですか

いっそシマンテックは製品もフリーにした方が良いんでないのかい？

>>442
それは「〜〜提出しました」とだけ書くAVGとMcAfeeの人にも言ってあげなさいって
カスペとRising、あとはNOD32の人なんかはその後の対応状況まで報告してくれるから丁寧でわかりやすいけどそこまで詳細は書かなくてもいいから「全検出確認」と報告してくれたら参考になるのにね

>>443
提出したと書くだけでその後のVTで対応状況確認できるから
フリーライダーではないと思うよ

シマンテックは初期居たけれどverupしてからあまりにも書かないね

>>444
でもVTでいちいち確認しにいくのってこれ地味に面倒なのよ・・・
提出して返事が来るベンダーならVTに確認しなくてもいいんだけどね

シマンテックの報告の人もそうだけどバスターも2009になってから報告する人がいなくなったね、どこかに乗り換えたのかな？

ところでRising2009ってよく見るとパターンファイル更新回数かなり多いみたいだね、通りで検出率が高く対応速度が速いと思ったら・・・
McAfeeもActiveProtection搭載してから対応速度がものすごく速くなったよね

445の補足として
VT上で確認するのはいいんだけど実際には検出するのにVTではスルーというのがあるんだよね
Pandaがこの典型でPandaの検出報告を始めたのはその影響
他にもRisingがそうだしカスペも最新バージョンではヒューリスティックが強化されてるしね、SymantecはVT上のエンジンが古すぎ、SONARすら適用されてるのかどうか怪しい

>>442-446
忙しくてなかなか丁寧な書き込みは出来そうもありません
すみませんね（苦笑）

>>447
>>307

>>445
バスターの者ですが、2009をインストールしたらパソコンが起動しなくなったためAntiVirに変更しました。

一番スレでやれ

>>449
（ ´Д⊂ヽ

>>451
今実家にいて実家のPCには2009がインストールされているので報告しましょうか？

>>449
バスターが2010になってまたPCが正常に起動するようになったらバスターに戻りますか？

>>453
きっと戻りません。
バスターは初心者用に扱いやすかったですが、最新のウイルスには弱く、今年は２回痛い目に遭いました。
対応速度に関してですが、検体を提出すれば比較的ベンダーの中では速く対応してくれたと思います。
そもそもバージョンを重ねるごとに無駄な機能を増やしすぎでパソコンへの負荷が高いのもいやな理由ですね。

>>454
そうですか
最新のウイルスに弱いというところがノートンやカスペ、McAfeeとの違いなのかもね
きっとRisingもここでは対応速度が速く好感触だけど世界的なシェアが偏ってる分検出率に偏りがありそう

ただ最新バージョンではバスターはMcAfeeやBitDefender、Pandaの最新バージョンと比べたら軽いと思うけど？
McAfeeはネットでの情報を集めただけで実際に使ったことないから詳しくはわからないけどBitDefender2009とPanda2009はガチでバスター2009より重い、ただそれでも何故かBitには興味がある

話しがだいぶ脱線してきたのでここらでスレの趣旨に戻さなきゃね
>>418はBitDefenderは対応したようです

ttp://www.virustotal.com/analisis/39ffee65b8c00bba695f3362452a2877
ttp://www.virustotal.com/analisis/2a14f2740904605c457b1769b3159d61

間違えたBitの未検出検体はbho0.exeではなくupk3.exeだったorz
またSymantecの方は未だ対応せず

ttp://www.virustotal.com/analisis/e9776b963c6a246177f79438e31267a3

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=154
virus

http://www.virustotal.com/jp/analisis/1152b54069668f8b35028e16f5d484c5

>>458
SymantecとBitDefenderに送りました

>>458
カスペ2009　定義 16:11
（私はいつものカスペの方ではありませんが、暇だったので）
HEUR:Trojan.Win32.Generic tane0154\MediaPlayer.exe

一応送りました。

つまり現時点で検出できるのはAntiVirとPandaとカスペとSecureWeb-Gatewayの4つだけか
カスペ2009のヒューリスティックの威力は相当なものだね

>>458
0/1 AVG提出しました

http://www.myspacy.biz/viewimage.php
virus 132082box.zip

>>458
McAfeeに提出させて頂ました。

>>463
cab自己解凍、解凍するとimgs.exe。
ttp://www.virustotal.com/analisis/a04ab302885e22875a5dc1b933cb6220

>>463
http://www.google.co.jp/search?hl=ja&q=http%3A%2F%2Fwww.myspacy.biz%2Fviewimage.php&btnG=Google+%E6%A4%9C%E7%B4%A2&lr=&aq=f&oq=
↑これのようですが

http://www.myspacy.biz/viewimage.php
↑をクリックすると
IMG455.jpg-www.photoがダウソできます
ttp://www.virustotal.com/jp/analisis/4361672b7c067f8df840f88ad253a91e
同時に132082box.zipが出来るようですが
拡張子が不明です

>>465
私には、何だか手に負えそうにありません

IMG455.jpg-www.photo
http://tane.sakuratan.com/upload/src/tane0155.zip
McAfeeには提出済み

パスワード：infected

>>458
カスペから返事来た。
ヒューリスティック＞Trojan-Dropper.Win32.Agent.achl

NOD32 v3.0 定義3716
>>458
0/1　ファイルサイズ大きすぎて提出できず。

>>467
乙です　1/1　Win32/IRCBot.AGP
>>463を直接ダウンする時もwebアクセス保護で阻止できました。

>>469

乙

>>458>>467
Rising Internet Security 2009 21.18.33 (21.09.32.00) Last Update Time=2008-12-25 17:29
スルー
 
3時間で28通も解析メールが届いてた

うちもRisingからものすごい勢いで来たわ。
タイトルに検体の年月日が入ってるんだけど
9月とかあるからまとめて送ってるな…。

数えたら87通ヽ(｀Д´)ノ

今、カスペに検体送ったら、3分ちょいで返信来た。（笑
過去最速。Andrey Ladikovさん、ありがとう。
それにしても不思議だ。

>>475
3分・・・神対応すぎる（笑）

(・∀・)

>>467
ウイルスバスター
スルーにつき検体提出

>>445
最近色々と忙しくてこのスレに久しぶりに来ますた
友人が開いたらしく(自分はメッセンジャー未使用)、これから救援に行ってきますorz

>>476
「クリスマスイブなのに夜勤対応(´･ω･`)」と言いながら解析したんだよ

>>463は
※ウィルス※ Windows Live Messenger で感染!?
http://pc11.2ch.net/test/read.cgi/sec/1185780001/
で、大問題になってる。
>>463のおかげで早めに対応できてたかも。

>>467
AntiVirPremium
IMG455.jpg-www.photo.com
[DETECTION] Contains recognition pattern of the WORM/Rbot.100352.2 worm

>>463
ウイルス発見 : Generic Backdoor アンチウイルス保護 http://www.myspacy.biz/viewimage.php

>>467
ウイルス発見 : Generic Backdoor オンデマンドスキャン 通知済み IMG455.jpg-www.photo.com][imgs.exe]

ｽﾏｿ
Pandaの検出ログ貼ったらリンクをそのまま貼る形になってしまったorz

一応ですが>>482のリンクは踏まないようにしてください

しかも検出製品名書くの忘れたorz
>>482はPandaGlobalProtection2009です・・・・

今日は飲みすぎたのかどうもやってることがあやふやorz

>>458
Symantec対応しました
ttp://www.virustotal.com/analisis/bc27358889f334e7c6400c6ea23fb8a8

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=157
>>463 IMG455.jpg-www.photo.com を解凍し→ >>465 imgs.exe に感染するとできるファイル群
多数のdllファイル等が生成されましたが、MD5が共通するものだけ抜き出しました。

放っておくと、BHOが組み込まれ、偽セキュリティ対策ソフト（WinAntiVirus2009）ダウンロードページへ誘導されます。

>>486
AntiVirPremium
InstallAVg_770522156649.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan

>>486 の続きです。
NOD32　定義3717では0/6
メッセンジャーウイルス感染後にNOD32を入れた人は、exeの駆除はできていても
dll群の駆除ができていないので注意が必要です。

>>486
PandaGlobalProtection2009

疑わしいファイル：awtTjgHy.dll、ewulmrrn.dll、InstallAVg_770522156649.exe
それ以外は提出します（AntiVirも）

>>486
0/6 AVG提出してます。

>>486
AntiVir、Panda、Symantec、BitDefenderの提出完了

>>486
2008/12/20：41の時点

ttp://www.virustotal.com/analisis/ba50fc8806b3ef560d664edf9e9befa0
ttp://www.virustotal.com/analisis/fa9cb143b73ccdebd4bae8c5ec97b1a4
ttp://www.virustotal.com/analisis/1285772937e14935b63f440c0eb17d45
ttp://www.virustotal.com/analisis/227bfa1e38d96dd6709251e23da75ffa
ttp://www.virustotal.com/analisis/d094fc6b2ffaf7a030f895382f9a8d4e
ttp://www.virustotal.com/analisis/a2c3b7ca577e1ed5fb77128b969d1bd6

>>486
Genericでの検出分も含め全てMcAfeeに提出させて頂ました。

※　Avira、AVG、Panda、Symantec、BitDefender、Kaspersky、ESETに提出済み

829 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/26(金) 21:17:44
>>826
一応上げたけど、あんまり意味ないと思うよ。
DLする度にバイナリ変わるから。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=158
virus

821 名前：名無しさん＠お腹いっぱい。 投稿日：2008/12/26(金) 20:58:48
>>817
bmusxpul.dll をレジストリ エディタで検索してキーを削除すればいい。
面倒だから、Sysinternals の Autoruns で >>731 のレジストリ削除すれ。
後、dir /ah %windir%\system32\*.ini* でゴミが残ってる場合があるからそれも削除すれ。

ぶっちゃけ、imgs.exe, fxstaller.exe とか大して問題じゃない。こいつが spc.exe をDLして実行するから
面倒な事になってる。

ttp://www.virustotal.com/analisis/437b764fa9bbb0bd5544dc18d5aa9695
これね
829 名前：名無しさん＠お腹いっぱい。 投稿日：2008/12/26(金) 21:17:44
>>826
一応上げたけど、あんまり意味ないと思うよ。
DLする度にバイナリ変わるから。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=158

826 名前：名無しさん＠お腹いっぱい。 投稿日：2008/12/26(金) 21:07:02
>>821
spc.exeを>>820のアップローダにあげてくれないかのう。
速攻でベンダーに通報しますので。

>>494
かぶったごめん

>>486
�d
カスペ2009 21:24
5/6

Detected virus HEUR:Trojan.Win32.Generic awtTjgHy.dll
Detected virus HEUR:Trojan.Win32.Generic c bXQgfcb.dll
Detected virus HEUR:Trojan.Win32.Generic 　ewulmrrn.dll
Detected virus HEUR:Trojan.Win32.Generic　 xxywWpoo.dll
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.veti InstallAVg_770522156649.exe

ヒューリスティック検知も含め、検体提出します。

新エミュレータ＠20:28でも同上

>>486
Kasperskyに提出しました

Rising Internet Security 2009 21.18.40 (21.09.40.00)にて
>>467
IMG455.jpg-www.photo.com>>CABINET>>imgs.exe: Trojan.Win32.Undef.vov
IMG455.jpg-www.photo.com: <Unknown virus>
1/1
>>486
awtTjgHy.dll: Trojan.Win32.VUNDO.cel
cbXQgfcb.dll: Trojan.Win32.VUNDO.cel
xxywWpoo.dll: Trojan.DL.Win32.Undef.cud
3/6
 
Rising Internet Security 2009 21.18.43 (21.09.42.00)にて
>>413>>433
rlpk0.exe>>rlpack119baplib>>66: RootKit.Win32.Edog.al → RootKit.Win32.Edog.anに変更
>>494
スルー

>>494
McAfeeに提出させて頂ました。

>>458
NOD32が対応したようです
ttp://www.virustotal.com/analisis/ea41c26b829052fa97ce6b317be51ce8

>>494
カスペから返事が来ました

Hello,

spc.exe_ - Trojan-Downloader.Win32.Agent.axss

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

>>486
Symantec、一部の検体に対応（2009だとパルスアップデートとSONARのおかげで他の検体も検出できるようになってるかも？
ttp://www.virustotal.com/analisis/4ab798753fadbe3c82b7f956b32d164e
ttp://www.virustotal.com/analisis/b6f2a6b0ee27b5739c5fbd544b595d9d
ttp://www.virustotal.com/analisis/b3d4d0c833cc08e8ab4d534c0bee4d37

どうも対応速度自体はBitDefenderよりSymantecの方が速いみたい・・・

>>486
PandaGlobalProtection2009
ssqOHYSJ.dllだけがスルー、あとは疑わしいファイルとして検出
検出数5/6

しっかしVTのカスペとPandaの検出結果は役に立たないな・・・

http://pc11.2ch.net/test/read.cgi/sec/1229273929/678-680

Symantec
ssqOHYSJ.dllを検出
検出数4/6
ttp://www.virustotal.com/analisis/b4bc74240320e2652085c7478b87e853

>>494
DrWeb
spc.exe;Trojan.Packed.432;修復不可。削除

>>467
avast!、AVG、Symantecが検出できるようになってますね
ttp://www.virustotal.com/analisis/d0357f76f45fcb626fd9872f5eac241d

>>494
spc.exe
Norton Internet Security 無反応。
シマンテックに提出
Windows Defender が反応して「このソフトウェアについてさらに情報が必要です。」っていうので提出しました。

>>486
ssqOHYSJ.dllはKasperskyとMcAfeeとPandaは白判定のようです

AV-Test.org - Update Frequency of Anti-Virus Software （1週間の定義更新頻度）
ttp://www.av-test.org/index.php?menue=7&lang=0

>>486
カスペ2009 11:12:00 検出結果 ヒューリスティック検知→シグネチャ検知に変更
5/6

Detected Trojan program Trojan-Downloader.Win32.FraudLoad.veti InstallAVg_770522156649.exe
Detected Trojan program Trojan.Win32.Agent.baer ewulmrrn.dll
Detected Trojan program Trojan.Win32.Monder.afwm xxywWpoo.dll
Detected Trojan program Trojan-Downloader.Win32.Agent.axsv awtTjgHy.dll
Detected Trojan program Trojan-Downloader.Win32.Agent.axsx cbXQgfcb.dll

>>511
ssqOHYSJ.dllについては返事がないけれど、かぶったかな。
かぶると返事が遅くなるから。

メッセンジャのあれ。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=159
virus

自己解凍cabの中身がimgs.exeからmyspace.exeに変更(バイナリも異なる)。

>>514
http://www.virustotal.com/jp/analisis/c23355a77b30e86467723f2689cea033

>>514
McAfeeに提出させて頂ました。

追加。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=160
virus
myspace.exeを実行すると 193.138.205.121/spc.gif
をダウンロードしspc.exeとして実行(IPはオランダ)。
IRCの接続(たぶんbotとして指令待ち)もあるけどパス。

カスペ2009 11:57:00
�d

>>514 0/1
スルー （myspace.exe）

>>517 1/1
Detected virus HEUR:Trojan.Win32.Invader spc.exe

ともに検体提出します。

>>517
http://www.virustotal.com/jp/analisis/549b823ef2740da490688a77b781b93a

>>517
McAfeeに提出させて頂ました。

>>514
疑わしいファイルとして検出

>>517
疑わしいファイルとして検出

AviraとSymantecとBitDefenderがスルーのようなのでこれらに提出していきます

また検出製品名書くの忘れたorz
>>521はPandaGlobalProtection2009です・・・

>>514
>>517
Avira、BitDefender、Symantecに提出しました（ついでにESETにも出しておきました）

よく見たら>>514はBitDefenderに提出する必要なかったorz（既に対応してた）

>>515 からの変動。
ttp://www.virustotal.com/jp/analisis/05eac3eec85b1521d6cd5aa36474966d
a-squaredとIkarus(いずれもオーストリア)が追加。
やっぱりヨーロッパで流行ってるんかね。

a-squaredってアンチウイルスにIkarusエンジン採用してるから検出名の後ろに「IK」がつくんだね

ただGDATAもそうだけど他社エンジン採用してるベンダーはVirustotalいらないと思う・・・・
あとComodoみたいなカスもｲﾗﾈ

カスとか言ったらK7が…まーあってもいいんじゃね?

>>486
BitDefender、やっと一つ目検出（ssqOHYSJ.dll）
ttp://www.virustotal.com/analisis/66c946de9a446947a1e1ad173802fdef

カスペからの返事

Hello,

>>486
ssqOHYSJ.dll

No malicious code was found in this file.

>>517
ewulmrrn.dll - Trojan.Win32.Agent.baer (←HEUR:Trojan.Win32.Invader）

This file is already detected. Please update your antivirus bases.


Please quote all when answering.
The answer is relevant to the latest bases from update sources.

myspace.exeは回答待ち。16:16時点では未検出


ssqOHYSJ.dllの判定は白黒微妙だね。(´･ω･｀)ｼｮﾎﾞｰﾝ

×
>>517
ewulmrrn.dll - Trojan.Win32.Agent.baer (←HEUR:Trojan.Win32.Invader）

↓
○

>>486
ewulmrrn.dll - Trojan.Win32.Agent.baer （>>513で報告済み）

>>514，517は回答待ちだった。

ミスすまぬ。orz

>>529
返答
myspace.exe - Trojan.Win32.Agent.bahx

カスペ

myspace.exe( >>514 >>531 )
ttp://www.virustotal.com/analisis/c020267decf9bf9f89441c185e1b6503
Trojan.Win32.Agent.bahx

spc.exe( >>517 )
シグネチャに変更
ttp://www.virustotal.com/analisis/1056be7e99642d1402cb580689027fa6
Trojan-Downloader.Win32.Agent.axvh

>>514
>>517
0/2 AVG提出しました。

返事が来ないからわからないのだが、世界中から誰も検体送ってないのかな。
いつも早い対応なので気になる。

欧州で流行してるから誰か送ってるでしょ。私も送ったし。
カブる心配は無用、いまどきサーバでzip解凍してハッシュ出して
重複は重複として扱う(独自にパスワード付けた場合はだめだろうけど)。

あとK7はどうせ日本からしか検体送られないんだからとっとと対応しろ…。

NOD32 v3.0 定義3718
>>514
>>516
0/2　　　Esetに提出

ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=161
Malware-Pack52

例によってMcAfeeには提出済み

>>514
Symantec対応しました
ttp://www.virustotal.com/analisis/646ab5f28913d63123014fe42099527b

提出→検出までの時間は大体7時間か・・・

>>537
4/11 AVG 提出しました

>>537
乙
PandaGlobalProtection2009

ウイルス発見 : Trj/Banker.FWD アンチウイルス保護 ：MALWARE\3\D6I.EXE
アドウェアを検出 : Adware/WebSearch アンチウイルス保護 ：MALWARE\2\49.EXE[2OC\2
ウイルス発見 : Trj/CI.A オンデマンドスキャン：install.exe、setup_1_1_.exe、uu.exe

疑わしいファイル：soft.exe、setup_1_1_.exe、SpywareGuard2008.exe
それ以外はスルーにつき検体提出します、検出数9/12

Rising Internet Security 2009 21.18.52 (21.09.52.00) Last Update Time=2008-12-27 16:56
>>514
>>517
スルー
>>537
b\uu.exe: Packer.Win32.Agent.f
1/12

>>537
AntiVirPremium

Malware\0\SpywareGuard2008.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Hupigon.Gen back-door program
Malware\1\setup_1_1_.exe
[DETECTION] Is the TR/Dldr.Frau.106496 Trojan
Malware\2\49.exe
[DETECTION] Contains recognition pattern of the DR/BHO.inv dropper
Malware\3\d6i.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
Malware\4\setup_225_6778_.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\5\SpywareGuard2008.exe
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Hupigon.Gen back-door program
Malware\6\install.exe
[DETECTION] Contains recognition pattern of the RKIT/TDss.ciu root kit
Malware\a\soft.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\b\uu.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan

これからAntiVirとPandaとSymantecとBitDefenderの提出に行ってきます

>>537
AntiVir、Panda、Symantec、BitDefenderに提出完了
カスペとMcAfeeの検体提出はいつもの人に任せます

Rising Internet Security 2009
>>11>>24
0-1,3-5.exe>>$PLUGINSDIR\f1>>$SYSDIR\$SYSDIR\$[40].dll: Trojan.Clicker.Win32.Undef.fa
0-1,3-5.exe: Trojan.Clicker.Win32.Undef.fa
すべて検出

>>537
�d
カスペ2009 20:41:00
8/12

Detected Trojan program Trojan-Downloader.Win32.FraudLoad.verd Malware/0/SpywareGuard2008.exe
Detected Trojan program Trojan.Win32.BHO.inv Malware/2/49.exe
Detected Trojan program Trojan-Banker.Win32.Banker.acby Malware/3/d6i.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.veuv Malware/4/setup_225_6778_.exe
Detected virus Rootkit.Win32.TDSS.ciu Malware/6/install.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.veuu Malware/9/setup_1_1_.exe
Detected Trojan program Trojan-Downloader.Win32.CodecPack.bcf Malware/a/soft.exe
Detected Trojan program Trojan.Win32.Crypt.aih Malware/b/uu.exe/


エミュレータ(8:27)でも同じ(8/12)

検体提出します。


>>531-532
thx

>>537
PandaGlobalProtection2009
setup_225_6778_.exeを疑わしいファイルとして検出、検出数10/12

恒例のVTスキャン、2008/12/27　22:25時点
ttp://www.virustotal.com/analisis/bafcdfe8c13001b6c35a0669c9198620
ttp://www.virustotal.com/analisis/dd849afbbf62bed7180674318af4f52e
ttp://www.virustotal.com/analisis/658e286bde4edc1b4383ce4ff34c3424
ttp://www.virustotal.com/analisis/8fcc43bcb0576cdac1c6630ef0b16cb2
ttp://www.virustotal.com/analisis/a878c0cded83f8ff21df2b53273ff390
ttp://www.virustotal.com/analisis/37b54e3b9acb7cf08f0596aebafcb4f9
ttp://www.virustotal.com/analisis/ef8a4e0e02c5449a46c3ec7667aa018f
ttp://www.virustotal.com/analisis/b7cc10498ace6df3b9b64f177e862678
ttp://www.virustotal.com/analisis/c57b618e824805a7070f4c6a2eb6eceb
ttp://www.virustotal.com/analisis/41af8d2663f839b608346e2515383ab9
ttp://www.virustotal.com/analisis/f4d6ce6705546d29297667b0ea92b508
ttp://www.virustotal.com/analisis/06adefc4cfa545b67e55ca2a3c0749f0

>>537
カスペからの返事

8+事後検出2=10/12 (1白、1回答待ち)

5\SpywareGuard2008.exe

This file is already detected. Please update your bases.
Trojan-Downloader.Win32.FraudLoad.veyc

1\setup_1_1_.exe

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
not-a-virus:FraudTool.Win32.AntiSpyWare2009.f

7\fixtool.exe
No malicious software was found in the attached file.

AntiVirがこんな日にアップデートされたようで検出できるようになりました

>>514

myspace.exe
[DETECTION] Is the TR/Agent.bahx Trojan

>>517

spc.exe
[DETECTION] Is the TR/Dldr.Agent.axss Trojan

>>494もAntiVirは検出可能になりました

spc.exe
[DETECTION] Is the TR/Dldr.Agent.axss Trojan

>>537
AntiVirPremium
追加検出
Malware\9\setup_1_1_.exe
[DETECTION] Is the TR/Dldr.FraudLoad.veuu Trojan

検出数10/12

NOD32 V3.0 定義3718
>>537
4/12
6\install.exe Win32/Kryptik.DPの亜種 トロイの木馬
5\SpywareGuard2008.exe Win32/Kryptik.DNの亜種 トロイの木馬
1\setup_1_1_.exe Win32/Kryptik.DGの亜種 トロイの木馬
0\SpywareGuard2008.exe Win32/Kryptik.DPの亜種 トロイの木馬
未検知ぶんはEsetへ提出

検出報告の忘れ物
>>486
AntiVirPremium

awtTjgHy.dll
[DETECTION] Is the TR/Dldr.Agent.axsv Trojan
awtTjgHy.dll
[DETECTION] Is the TR/Dldr.Agent.axsv Trojan
ewulmrrn.dll
[DETECTION] Is the TR/Agent.baer Trojan
ssqOHYSJ.dll
[DETECTION] Is the TR/Agent.ALPG Trojan
xxywWpoo.dll
[DETECTION] Is the TR/Monder.afwx Trojan

全検出確認

一部ミスで報告漏れorz
>>486
cbXQgfcb.dll
[DETECTION] Is the TR/Dldr.Agent.axsx Trojan

>>486に関しては
ZERO（K7）＞＞＞＞＞＞AVG、BitDefender、avast!、バスター
か・・・・
特にAVGとBitは提出したのに何やってんだ・・・・
ttp://www.virustotal.com/analisis/95ccc41a79462110af9b3e4e2b42eefd
ttp://www.virustotal.com/analisis/f5c8c84a389d758e42f5ba812f9cec3c
ttp://www.virustotal.com/analisis/71fad02bfa206b0e7bb763c5e296539d
ttp://www.virustotal.com/analisis/43e770b35d497cae69e1d1b92eba6b6a
ttp://www.virustotal.com/analisis/d059548fec8ded7b3310013a385d970c
ttp://www.virustotal.com/analisis/7ca433823e8849d3226f59b8c792612a

>>537
K7AntiVirus

2/12
OnDemand Scan,\Malware\9,setup_1_1_.exe,Infected by Trojan-Downloader.Win32.FraudLoad.veuu,Cleaned ,
OnDemand Scan,\Malware\b,uu.exe,Infected by Trojan.Win32.Crypt.aih,Cleaned ,

>>517
アドレス出すな。タコ!!

>>517のファイルが「file.exe」に置き換わってる。
カスペ2009は"HEUR:Trojan.Win32.Invader"で検出するみたい。

各ベンダーへの送信よろしくお願いします。
カスペにも送ってないので、いつものカスペの方、よろしくお願いします。（今忙しいので）

>>558
PandaGlobalProtection2009も無事ヒューリスティックで検出→隔離ができました
これから他のベンダーに検体提供してきます

file.exe
ttp://www.virustotal.com/analisis/694a0c2e6d349279c99dc76f0caf3bc7

file.exe
この検体をAntiVirとBitDefenderとSymantecに提出しました（Pandaは検出するけどヒューリスティック検出ということで検疫経由から提出しました）

分かっててやってるんだろうな?

2008/12/28 01:49 48,640 spc_{73DC275D}.exe
2008/12/28 01:50 48,640 spc_{BC1AA470}.exe
2008/12/28 01:53 48,640 spc_{FBB1C86C}.exe
2008/12/28 01:53 48,640 spc_{59491057}.exe

http://www.virustotal.com/analisis/9e33475c61b6a856a17fbe92b963b70a
http://www.virustotal.com/analisis/54c47c49e154306b5a0b5ea46e26ae2e
http://www.virustotal.com/analisis/aa673664a54f5b878aa3af22df72d4c0
http://www.virustotal.com/analisis/b05de7de43c76cb11b38142717d05908

ttp://www.myspacy.biz/viewimage.php
↑が置き換わってます
McAfeeには提出済み

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=162
infected

ttp://www.virustotal.com/jp/analisis/5e1e64a70b8054495091f2838c1dcc06

>>562
これ提出していいんだろうか？（いろんな意味で）orz

>>563
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A オンデマンドスキャン　　　IMG455.jpg-www.photo.com][myspace.exe]

今は疲れたので各ベンダーへの検体提出はまた後ほどやります

ttp://www.aguse.jp/?m=w&url=http://www.myspacy.biz/viewimage.php
IPアドレス:75.126.252.200

>>563とfile.exeをRisingに提出しました

file.exe
McAfee提出完了

>>537
Symantec追加検出
ttp://www.virustotal.com/analisis/67fbd52579ee008d0b78128e80b1697a
Symantecの検出数4/12
ついでに>>537の検体を全てVTスキャンしたらAVGが大体検出できるようになってました（VTの結果は貼りません）
AVGの検出数9/12

ちなみにBitDefenderは追加検出なし

>>563
AntiVirPreimum
IMG455.jpg-www.photo.com
[DETECTION] Contains recognition pattern of the DR/Agent.bahx dropper

ttp://www.virustotal.com/analisis/0a4903f8d5d9081f03f3c03cc4d231dd

Symantecに提出していきます

>>563
Symantec提出完了

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=163
virus
msgs1.exeは一連のメッセの奴の更新。
自己解凍cabではなくなったのでファイル名はてきとー。
ちなみに >>563 は解凍すると >>514 。

>>572
乙
PandaGlobalProtection2009
ウイルス発見 : Generic Trojan オンデマンドスキャン　　　obsidium1.exe
スルー：x53drp
それ以外：疑わしいファイルとして検出

スルーしたものは提出します

>>572
AnbtiVirPremium
obsidium1.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

これからAntiVir、Panda、BitDefender、Symantecに提出します

>>572

ttp://www.virustotal.com/analisis/53e3550fc351bb84607480d62c05aa1f
ttp://www.virustotal.com/analisis/a6ea43fd359ff766efe0865e8b7f09ca
ttp://www.virustotal.com/analisis/eff235956d73bb8c4987e884c67dd9a9
ttp://www.virustotal.com/analisis/3a3e8a666723fb7a89eb4e288557f6b7

AntiVir、Panda、BitDefender、Symantecへの提出完了

>>572
McAfeeに提出させて頂ました。

>>572
カスペ2009 14:48:00
�d

3/4 (>>575のVTと同じ)

Detected Trojan program Trojan-Spy.Win32.Agent.gxd obsidium1.exe
Detected Trojan program Trojan.Win32.Inject.mge x53drp.exe
Detected Trojan program Trojan.Win32.Agent.bamd x53trj.exe

新エミュレータ@8:27:00では、0/4

検体提出します。


>>558
file.exe提出お願い。すまぬ。

ttp://99.180.226.188:8080/bbs/sonline.scr

>>578
>>3

>>577
file.exe各所に提出。複数パターン（落とす度に変わるので）送ってみました。検査担当の人、大変だけど頑張って！！

fortinet
file.exe - New Detection: W32/Agent.WQE!tr

kaspersky(Detection will be included in the next update.)
not-a-virus:AdWare.Win32.Virtumonde.ap??
Trojan-Downloader.Win32.Agent.aybt
Trojan-Downloader.Win32.Agent.aybu
Trojan-Downloader.Win32.Agent.aybv

>>578
http://www.virustotal.com/jp/analisis/0d149f2dcfcaf2144379c4143e351efc

カスペからの返事　17:25
>>572
Hello,

msgs1.exe_

No malicious code was found in this file.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

Rising Internet Security 2009 21.18.62 (21.09.62.00) Last Update Time=2008-12-28 15:51
>>458
MediaPlayer.exe: Dropper.Win32.Agent.ztb
1/1
>>486
ewulmrrn.dll: Trojan.Win32.VUNDO.cfb
3+1=4/6
>>514
myspace.exe: Worm.Win32.Agent.abl
1/1
>>537
a\soft.exe: Trojan.Win32.Undef.zys
1+1=2/12
>>563
IMG455.jpg-www.photo.com>>CABINET>>myspace.exe: Worm.Win32.Agent.abl
IMG455.jpg-www.photo.com: <Unknown virus>
1/1
file.exe: Trojan.Win32.VUNDO.cfg （落としなおしたのには反応なし）

>>572
Symantec
msgs1.exeのみ検出
他はスルー
ttp://www.virustotal.com/analisis/5ad5837e6a9469074b1511bd25ccf2f1

Symantecは対応速度と白と黒の判断基準がわからん、そこそこ速いと思うけどまだまだかな・・・・
一度スルーしたら検体提出しても一向に対応する気配が感じられないBitDefenderやESETよりは遥かにマシだとは思うけど

NOD32　v3.0　定義3719
>>563
0/1　未検出

>>572　
1/4　msg1.exe　x53drp.exe　x53trj.exe　未検出

今までの未検出ぶんは相変わらずスルー。年末年始休暇に入っているのか・・・！？

>>578
McAfeeに提出させて頂ました。

http://www.s-woman.net/lee/kongetsu/screen/download/0804_win.exe
http://www2.biglobe.ne.jp/~m-kino/robo/download/robo1.scr

鑑定厨は氏ね消えろ

カスペ2009で新型「IMG455.jpg-www.photo.com」を実行してみた。
なぜか砂箱の中で動かなかったので、普通に実行（汗

1.「IMG455.jpg-www.photo.com」実行（検出不可）＞ブラウザ経由でネットに接続
2.「IMG455.jpg-www.photo.com」がWindowsフォルダに「fxstaller.exe」を作成&スタートアップに登録
3.「fxstaller.exe」を実行（検出不可）
4.カスペが「疑わしいアプリ」と警告
5.スクリーンショットらしきモノを撮られる（なぜか失敗）
6.カスペが「Trojan.generic」で警告。（なぜか"許可"しかクリックできない。）
7.「spc.exe」がCドライブ直下に落ちて、実行される。
8.ここでやっとカスペが検出。（ヒューリスティック）

これ以上はVundoに感染するのでご勘弁。

>>494
>>514
>>517
Symantecから返事が来ました

filename: spc.exe
machine: Machine
result: See the developer notes

filename: myspace.exe
machine: Machine
result: This file is detected as W32.Spybot.Worm. http://www.symantec.com/avcenter/venc/data/w32.spybot.worm.html

filename: spc.exe
machine: Machine
result: See the developer notes

とのこと
恐らくSymantecはfile.exeも白判定というか対応する気がないでしょうね
ま、いちいちこんなの相手にしてられないし相手にしてたら大変だからね・・・・

>>578
1/1 Avast!撃退

>>587
>>3
>【重要】
>●ここは鑑定スレではありません！！！！！malwareのみお願いします。

>>589
乙

>>589
設定甘いし、動作が変

1. IMG455.jpg-www.photo.com 実行 - Code intrusion警告(Hips) 許可
2. C:\WINDOWS\fxstaller.exe 作成警告(Hips) 許可
3. レジストリスタートアップ登録警告(Hips) 許可
4. C:\WINDOWS\fxstaller.exe 実行 - Code intrusion警告(Hips) 許可
5. spc.exe ダウンロード試み - マルウェアサイト警告(Web Traffic) 遮断

spc.exe はアドレスをブラックリストに登録して貰ったから、警告出ないのは変

>>572
AntiVirPremium全検出確認

msgs1.exe
[DETECTION] Contains recognition pattern of the WORM/Rbot.52786.3 worm
x53drp.exe
[DETECTION] Is the TR/Inject.mge Trojan
x53trj.exe
[DETECTION] Is the TR/Agent.bamd Trojan

AntiVirPremium
file.exeも検出
[DETECTION] Contains recognition pattern of the ADSPY/Virtumonde.apby adware or spyware

596の補足
ADSPYで検出ということなのでAntiVirフリー版では検出できない代物ですね
トロイとして検出できれば別ですが

>>596-597
file.exe 128パターン落としてかけてみたｗｗｗが、AntiVir Free Editon では検出せず。

>>598
ｽﾏｿ
ファイルを落とすときに変わるから596の通りにはいかないかもねorz
私が落としたfile.exeは数日前のものですからね・・・・

しかし128パターンとは凄いな・・・・
一体何パターンあるんだろ・・・？

>>599
その場で生成してる筈だから、毎回変わる。

例えばカスペは最初(40パターン程送付)個別に名称割り振ってたが、その128検体(笑)送ったら１つの名称にまとめたぽい返答。

最初：not-a-virus:AdWare.Win32.Virtumonde.apc?,Trojan-Downloader.Win32.Agent.ayb?
複数パターン送付後：Trojan-Downloader.Win32.Agent.aycr

Fortinetは全部同じ名称で撃墜「W32/Agent.WQE!tr」

まぁ自動生成するのはどこかに共通するコードがあるわけで、
そういうのはなるべくまとめて送るとアナリストも共通するシグネチャ作りやすいだろうな。

>>600
ある程度検体送って検出できるようになったらその後の別パターンもヒューリスティックやGenericでまとめて検出できるようになればいいよね
シグネチャの幅が狭いノートンとかは辛いかな〜？というかSymantecはこの検体に対応する気ないしね・・・・

それにしてもBitDefenderの対応の遅さにはガッカリだ・・・・今まで送った検体は未だスルーとか・・・
これじゃESETの対応と殆ど変わらん
逆にPandaは好感触、今のところ満足度は高い、いい加減なスペインの割には真面目な企業だな（笑）

>>594
設定が甘いのではなく、私が細かい点を書くのを省いただけです。
申し訳ない。

Rising Internet Security 2009 21.19 (21.10.00.00) Last Update Time=2008-12-29 13:45
>>file.exe
昨日送った検体10匹＋未送付検体1匹すべて: Trojan.Win32.VUNDO.cfv
ヒューリスティックで対応してくれたみたいだけど、今日のはバイナリが大きく変わってしまっているためスルー
>>494>>517
spc.exe: Trojan.Win32.VUNDO.cfs
1/1

>185名無しさん＠お腹いっぱい。 sage 2008/12/29(月) 04:15:10 ID:
>    バスター君→スルー
>    avast→感染後に怪しいファイル発見したよ消すよ？メモリに変なのあるからスキャンしようぜ
>    ノートン→URLが送られた時点で警告連発してそれによってフリーズさせてメッセ窓を落とす
>
>    新型ウイルスだと各社の違いが如実に現れるね

>>600
Symantecに検体送ったとき件のURLも報告したし
メッセンジャ監視も効いてると思います

エイリアスがたくさんあるみたいで、URLも変わるかもしれないですが
ttp://www.robtex.com/ip/75.126.252.200.html
6月のイタリアで同じようなことがあったみたいです
ttp://forum.debianizzati.org/generale/strani-messaggi-e-disconnessioni-improvvise-in-amsn-t33400.0.html;msg51140#msg51140

Rising Internet Security 2009 21.19.01 (21.10.01.00) Last Update Time=2008-12-29 14:41
>>572
obsidium1.exe: Trojan.Win32.Mnless.eaa
1/4

>>605
ありがとうございます
そして助かります

>6月のイタリアで同じようなことがあったみたいです

イタリアは欧州の中でも感染率やハッカー被害率が高いのはやっぱり本当なのかな？
トレンドマイクロでも「イタリアの旅行サイトが改竄〜」という報告もあるし
これもイタリアには大手セキュリティベンダーがない影響？

>>608
「日本はマルウエアの脅威が少ない」---マイクロソフトがセキュリティの現状を説明
http://itpro.nikkeibp.co.jp/article/NEWS/20081128/320379/

写真1●国/地域ごとのマルウエア検出率の分布（出典：マイクロソフト　マルウエアプロテクションセンター）
http://itpro.nikkeibp.co.jp/article/NEWS/20081128/320379/?SS=imgview&FD=1703385862&ST=win

どうだろう。日本が中国・韓国・ロシアはもちろん、欧米に比べても異常に感染が少ないことはわかるが。

>>608
フランスも無いね。
まぁ周囲に強いのがうじゃうじゃあるからどれでもいいんだろうけど。

英国も法人向けにしか販売してないSophosだしね、個人向けには他のを選ばざるえない

＞バスター君→スルー
＞avast→感染後に怪しいファイル発見したよ消すよ？メモリに変なのあるからスキャンしようぜ

avast!は感染後に検出しても意味ないような気がするんだが・・・・
どの段階で感染したかにもよるけど

VTちんだ?

うちでもVirustotal繋がらなくなりました

Hispasecごと落ちてるねぇ。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=164
virus
nProtect-GameGuardを偽装したPOL(FFXI)トロイ。
FFXIはnProは使わないが、他のネトゲをいくつも掛け持ちでやっていて
「はいはい nPro nPro」と通信を許可しちゃう人を狙っているのかも。

ttp://image32.bannch.com/bs/M302/bbs/242374/img/0112370262.rar

>>617
>>592

Rising Internet Security 2009 21.19.02 (21.10.02.00) Last Update Time=2008-12-29 15:49
>>616
poljp1.exe, poljp2.exe: Trojan.Win32.Mnless.eaf
2/2

>>616
McAfeeに提出させて頂ました。

>>616
カスペ2009 21:25:00

スルー
0/2

検体提出します。

>>616
0/2 Avast!に提出

Virustotal復旧してないね・・・

>>616
AntiVirFree

片方だけ HEUR/Crypted として検知。

jROのnPro自体も１ファイルをAntiVirは検知してくれる訳ですが(苦笑)
取り敢えず、各社に提出してきます。

>>616
VirusTotal動いてないみたいなんで、こっちで。

Poljp1.exe
(4/39) http://virscan.org/report/cec11ae97cbaa35446f82d8165397dd5.html

Poljp2.exe
(2/39) http://virscan.org/report/d00511b3d545e5faa729ae68adaa234d.html

>>617
Avira AntiVir
DR/Drop.Agent.dos dropper

>>617
一応、他社の検出結果も。

0112370262.rar
(21/39) http://virscan.org/report/d83fab29ca30da239060378a3639cba1.html

こう、でかいのは提出に困るな。10MBまでのとこが多いから半分くらいのベンダーは送れるけど、
Fortinet なんか1MBまでだから送れないし。どうしたもんだか。

検体提出の際に、入手元もわかると記入しとくんだがなぁ。

>>616
カスペからの返事　22:30

Hello,

poljp1.exe_ - Trojan-Dropper.Win32.Small.cgm

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

んー？シグネチャ共通かな？
とりあえず、事後検知1/2
poljp2.exeは、朝起きてメールなくて。検知してなかったらフォローしてみる