A議論や意見のまとめ
・圧縮ファイルと検出数
exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。
・DOSウイルス禁止
大昔のウイルスを集めてきても無意味なことがあります。
・パスなしZIPをパス有りLZH(またはRAR)で
安全性と利便性のため、上記の手法を推奨します。
・淡々とやれ淡々と!
淡々と貼り、淡々といきましょう。
・ブラクラ禁止
ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません。
・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 という意見もあり。
・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、提出していない旨記載。(ベンダーに多重送付を避けるため)
・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
・スレ違いでもめる(2スレ目以降)
・あらしはスルー。ソフトの優劣の議論は別スレで!(下記スレなど)
一番いいセキュリティソフトはなんだ!!Part60
http://pc11.2ch.net/test/read.cgi/sec/1227491237/
【重要】
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら貢献することを目的としているスレです。
検体の悪用・不正利用は厳禁願います。
●検体は、セキュリティ上の観点からなるべく
>>1 の専用アップローダを使用してください。
●検体確認は自己責任でお願いします。感染しても責任は一切持ちません!
※◆W32/Vael.oは信頼できるコテさんです。
★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。
・VIRUSTOTAL (VT)
http://www.virustotal.com/jp/ ・VirScan
http://www.virscan.org/ ・Jotti
http://virusscan.jotti.org/ ※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。
以上 テンプレここまで
-----------------------------------------
テンプレ(>>1-
>>7 )、検体提出先(>>4-
>>7 )の変更・追加あれば、
>>8 にレスする形で指摘よろ。
変更点
・Jottiを加えた。
>>3 ・ウィルスセキュリティ(K7Computing)については重複していたので、
>>7 に記載、検体提出先を正しいものに変更
・HAURIについては重複していたので、
>>5 に記載、検体提出先を正しいものに変更。
・「検体提出先まとめWiki」を加えた。
>>1 ・検体結果SSのお願いをテンプレから削除。
・怪しいURL鑑定スレではないことを追加。
・その他
足早にスレ立てしたので確認よろしく。
>1 otu hosyu
>>8 >>4 のESETの検体提出先は「404 Page Error」なんですが・・・・
あと
>>6 のBitDefenderの提出先もあれじゃどこにあるのかわからない
ここら辺も正しいものに変更希望
>>1-8 乙
>>9 確認します。
前スレ1000埋まりそうなので、前スレでアップロードされた最近の検体3体(返答専用)
>>11 >前スレ1000埋まりそうなので、前スレでアップロードされた最近の検体3体(返答専用)
割り込みごめんなさい。orz
>>13 NortonInternetSecurity2009追加検出+1
Infostealer.Wowcraft:wow1dll.exe
9/12
>>15 Rising
21.21.32 (21.12.32.00)にて
sqlinject1.exe: Backdoor.Win32.PcClient.qck
upk1dldr.exe: Trojan.PSW.Win32.QQPass.qir
21.21.42 (21.12.42.00)にて
autorun1-4.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bge
mj1.exe
>>65 : Trojan.Win32.Nodef.zr
mj1dll.exe: Trojan.Win32.Nodef.zr
pol1.exe
>>66 : Trojan.Win32.Nodef.zp
pol1dll.exe: Trojan.Win32.Nodef.zp
wow1.exe
>>66 : Trojan.Win32.Nodef.zq
wow1dll.exe: Trojan.Win32.Nodef.zq
12/12
>>15 カスペ2009@18:47:00
5+追加検出7=12/12
Detected Trojan program Trojan.Win32.Agent.bihy tane0189.zip/wow1dll.exe
Detected Trojan program Trojan-GameThief.Win32.WOW.eki tane0189.zip/wow1.exe
Detected Trojan program Trojan.Win32.Delux.fv tane0189.zip/sqlinject1.exe
上記3つは検知後、Thank you メール受信
autorun[1-4].exeについては、カスペから今メール受信 19:44
Hello.
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
カスペはアナリストによって、返事返すのが遅かったり、返さない場合があるからなぁ。(検知を以て回答とするみたいな)
ベンダーにメールで検体を提出するときに、 ヤフーメールやgooメールなどのフリーメールで検体を提出しても大丈夫でしょうか? それともプロバイダのpopメールで提出したほうがいいのでしょうか?
23 :
名無しさん@お腹いっぱい。 :2009/01/16(金) 22:11:11
別にいいんじゃない。 zipかrarで圧縮して送信できれば。(exeだとリジェクトされるかも)
>>22 フリーメールで構いません。添付さえできれば。
あと、圧縮ファイルはzip&パスワードをつけて、本文内にパスワードを記載。
ベンダによっても違うみたいですよ。
26 :
22 :2009/01/16(金) 23:17:52
>>27 突撃してみようかと思ったけど仮想環境じゃないしexploit系が仕込まれてるみたいなので今回は止めておく
捨てPCでも感染は怖い
>>27 踏んできたw
グーグル先生にしかられFirefoxたんに警告されて
行ってみたら、、、ドメイン登録ごと吹っ飛んでおりましたw
30 :
27 :2009/01/17(土) 00:49:29
>>30 ソースコードみたけれど、バイナリで直接し込まれているな
実行したくねぇけれど・・・・これから実行するわ
F-Secure Intenet Security2009で逝ってきます
32 :
31 :2009/01/17(土) 01:12:49
33 :
31 :2009/01/17(土) 01:13:35
パス virus 誰か一緒に検証してくれ
Firefoxは無害だもの
>>15 NortonInternetSecurity2009追加検出+1
Trojan Horse:wow1.exe
10/12
>>30 とりあえずAntiVir、Panda、Symantecに提出した
でも
>>35 を見ると微妙・・・
>>27 >>31 難読化スクリプトはdocument.writeなどをalertにして
Firefoxで踏んでみる(IEはダイアログの中身が長すぎると省略されるのと
ダイアログの内容を選択できずエディタなどにコピペできない)。
平文に戻したスクリプトにはMS08-078のシェルコード(unicode)が入っていて
アセンブラ読めない自分は涙目なんだけど、
他にOEとかSnapshotViewer(Access)とかFlashとかPDFとか
併用しまくっているのでそちらからいただきました
(OEやSnapshotViewerはexeのURIベタ書きなので検体の入手が容易です)。
67■215■231■242/uniq/load.php
→1.exe (ダウンローダ)
→gpt0■ru/2k9/s9.exe
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=192 virus
2匹ともUPXだったので解凍済み。
39 :
31 :2009/01/17(土) 15:09:56
>>38 > アセンブラ読めない自分は涙目なんだけど、
これは私も以下略
提出します
40 :
名無しさん@お腹いっぱい。 :2009/01/17(土) 15:28:58
>>15 PandaGlobalProtection2009
wow1.exeとwow1dii.exeを疑わしいファイルとして検出
10/12
>>38 PandaGlobalProtection2009
1.exeを疑わしいファイルとして検出
>>38 NOD32 v3.0 定義3772
0/2 Esetへ提出済み
>>44 AntiVirPremium
オールスルー
PandaGlobalProtection2009
全て疑わしいファイルとして検出
NortonInternetSecurity2009
Backdoor.Formador:全部の検体
>>44 はAntiVirとavast!に提出してきます
>>45 AntiVirPremium
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
PandaGlobalProtection2009
疑わしいファイルとして検出
NortonInternetSecurity2009
スルー
>>45 はSymantecとavast!に提出してきます
>>38 はAntiVirとSymantecとPandaとavast!に提出済み
NOD32 V3.0 定義3772
>>45 1/1
pcclient1.exe Win32/PcClient.NCRの亜種 トロイの木馬
>>51 0/2
Esetへ提出
>>55 AntiVirPremium
Malware\0\file.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\2\setup_243_3777_.exe
[DETECTION] Is the TR/WinSpywareProtect.A Trojan
Malware\3\SpywareReminder_v3_12.exe
[DETECTION] Is the TR/Agent2.CJ Trojan
Malware\4\SpywareGuard2009.exe
[DETECTION] Is the TR/Fakealert.SK Trojan
Malware\5\installer_99404.exe
[DETECTION] Is the TR/Dldr.FraudLo.kqx Trojan
Malware\6\FlashPlayer-9.0.124.0p.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
Malware\7\main.exe
[DETECTION] Contains recognition pattern of the SPR/Fraud.AntiSpy.1 program
Malware\8\load.exe
[DETECTION] Is the TR/Spy.ZBot.kek Trojan
Malware\9\x50.exe
[DETECTION] Contains HEUR/Malware suspicious code
Malware\a\load.exe
[DETECTION] Is the TR/Agent.biel Trojan
Malware\b\adv111.exe
[DETECTION] Is the TR/Dldr.Agent.bdgc Trojan
11/12
>>55 PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A load.exe、FlashPlayer-9.0.124.0p.exe
ウイルス発見 : Generic Trojan INSTALLER_99404.EXE、FILE.EXE、SPYWAREREMINDER_V3_12.EXE
疑わしいファイル:SpywareGuard2009.exe、main.exe、x50.exe、load.exe
それ以外はスルー
10/12
>>55 NortonInternetSecurity2009
Packed.Generic.187:main.exe
Packed.Generic.200:file.exe、SpywareReminder_v3_12.exe
AntiVirus2008:installer_99404.exe
4/12(うちヒューリスティック検出3つ)
これからavast!含め提出してきます
60 :
名無しさん@お腹いっぱい。 :2009/01/17(土) 21:03:33
カスペ2009 19:57:00
>>44 4/4
Detected Trojan program Backdoor.Win32.PcClient.aazt tane0194.zip/Freya.scr, livedoor.scr, MPEG, Online.scr
>>45 1/1
Detected Trojan program Backdoor.Win32.PcClient.aazt tane0195.zip/pcclient1.exe
>>51 1/2
Detected Trojan program Trojan-Downloader.Win32.Small.jbz tane0196.zip/1(1).exe//PE_Patch.UPX//UPX
>>55 9/12 (2,3,5,6,7,8,9,a,b)
Detected Trojan program Trojan-Downloader.Win32.Agent.bdgc tane0197.zip/Malware/b/adv111.exe
Detected Trojan program Trojan.Win32.Agent.biel tane0197.zip/Malware/a/load.exe
Detected Trojan program Trojan-Downloader.Win32.Banload.aags tane0197.zip/Malware/9/x50.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kek tane0197.zip/Malware/8/load.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bdai tane0197.zip/Malware/6/FlashPlayer-9.0.124.0p.exe
Detected Trojan program Backdoor.Win32.Hupigon.fplb tane0197.zip/Malware/5/installer_99404.exe
Detected Trojan program Trojan.Win32.Agent2.cj tane0197.zip/Malware/3/SpywareReminder_v3_12.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.cya tane0197.zip/Malware/2/setup_243_3777_.exe
Detected virus HEUR:Trojan.Win32.Generic tane0197.zip/Malware/7/main.exe
検体提出します。
61 :
40 :2009/01/17(土) 21:05:37
>>38 カスペからの返事 (20:57)
Hello,
s9.exe_ - Trojan-Downloader.Win32.Agent.bdoz
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
The answer is relevant to the latest bases from update sources.
1+追加検出1=2/2でFA.
>>51 AntiVirPremium
s9.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
PandaGlobalProtection2009とNortonInternetSecurity2009はスルー
提出します
NOD32 v3.0 定義3773
>>55 10/12
0\file.exe Win32/Kryptik.EQの亜種 トロイの木馬
2\setup_243_3777_.exe Win32/Adware.MSAntispyware2009 アプリケーション
3\SpywareReminder_v3_12.exe Win32/Kryptik.EQの亜種 トロイの木馬
4\SpywareGuard2009.exe Win32/Adware.SpywareGuard アプリケーション
5\installer_99404.exe Win32/Adware.AntivirusPlus アプリケーション
7\main.exe Win32/Adware.MSAntispyware2009 アプリケーション
8\load.exe Win32/Spy.Zbot.EN トロイの木馬
9\x50.exe 新種・未知のNewHeur_PEである可能性 ウイルス
a\load.exe Win32/TrojanDownloader.Small.OJX トロイの木馬
b\adv111.exe Win32/Agent.ORY トロイの木馬
検出漏れEsetへ提出済み
>>51 AntiVir
1(1).exe MALWARE
>>55 Symantecから(1)
filename: x50.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
filename: FlashPlayer-9.0.124.0p.exe
machine: Machine
result: See the developer notes
filename: main.exe
machine: Machine
result: This file is detected as Packed.Generic.187.
filename: adv111.exe
machine: Machine
result: See the developer notes
>>55 Symantecから(2)
filename: SpywareReminder_v3_12.exe
machine: Machine
result: This file is detected as Packed.Generic.200.
filename: 1.exe
machine: Machine
result: See the developer notes
filename: installer_99404.exe
machine: Machine
result: This file is detected as AntiVirus2008.
filename: setup_243_3777_.exe
machine: Machine
result: See the developer notes
filename: file.exe
machine: Machine
result: This file is detected as Packed.Generic.200.
>>55 PandaGlobalProtection2009
adv111.exeを疑わしいファイルとして検出
PandaGlobalProtection2009
>>13 と
>>15 残りの未検出の検体も全て疑わしいファイルとして検出、全検出確認
>>55 Rising 21.21.52 (21.12.52.00)
6\FlashPlayer-9.0.124.0p.exe: Trojan.DL.Win32.Undef.aqa
1/12
72 :
60 :2009/01/18(日) 00:23:49
カスペからの返事
>>55 0: file.exe - New malicious software was found in the attached file.
1:1.exe No malicious code was found in this file.
今のところ、9+追加検出1=10/12 (0,2,3,5,6,7,8,9,a,b),白1(1),回答待ち1(4)
ちなみに、
>>15 autorun[1-4].exe- virus Worm.Win32.AutoRun.etc
>>77 でかいと思ったらOpenSSL丸ごと入ってるのか…。
>>45 NortonInternetSecurity2009
Backdoor.Formador:pcclient1.exe
>>30 Symantecから
filename: CD4C492Fd01
machine: Machine
result: See the developer notes
>>77 AntiVir、avast!、Panda、Nortonはオールスルーだったので提出します
>>76 >【重要】
>●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
>割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
確認しましたがスルーすべき対象のようです。
>>83 各社に提出してます。
AntiVir
romania1.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
wow1.exe
[DETECTION] Is the TR/PSW.OnLineGa.zad Trojan
wow1dll.exe
[DETECTION] Is the TR/PSW.OnLineGa.zad Trojan
autorun1.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun2.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun3.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun4.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
redstone1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
webcc1.exe
すりぬけ
ff11.exe
すりぬけ
>>83 カスペ、次の更新で対応
autorun1.exe,
autorun2.exe,
autorun3.exe,
autorun4.exe - Worm.Win32.AutoRun.etm
ff11.exe - Trojan-Downloader.Win32.Tibs.ais
redstone1.exe - Trojan-Downloader.Win32.Agent.bdsb
romania1.exe - Trojan-Downloader.Win32.Agent.bdrx
webcc1.exe - Worm.Win32.Downloader.ze
wow1.exe - Trojan-GameThief.Win32.WOW.elg
wow1dll.exe - Trojan.Win32.Agent.birs
New malicious software was found in these files. Detection will be included in the next update.
>>83 avast!4.8
autorun1.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
autorun2.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
autorun3.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
autorun4.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
>>55 NortonInternetSecurity2009追加検出+3
Downloader:FlashPlayer-9.0.124.0p.exe、adv111.exe
Trojan Horse:Malware\a\load.exe
7/12
>>83 PandaGlobalProtection2009
スルー:ff11.exe、romania1.exe、webcc1.exe
それ以外は疑わしいファイルとして検出
Rising 21.21.52 (21.12.52.00)
>>77 スルー
>>83 wow1.exe
>>66 : Trojan.Win32.Nodef.zq
wow1dll.exe: Trojan.Win32.Nodef.zq
2/10
>>83 NortonInternetSecurity2009
Infostealer.Wowcraft:wow1dll.exe
Trojan Horse:wow1.exe
Trojan.Dropper:autorun1.exe、autorun2.exe、autorun3.exe、autorun4.exe
検体提出していきます
>>83 AntiVir、avast!、Panda、Symantecに提出完了
>>84 >各社に提出してます。
そのことで要望なんですけど提出がかぶるのはなるべく避けたいのでどこのベンダーに提出したのか(またはどこのベンダーに提出する予定なのか)というのも明記して欲しいですね
>>91 列挙するとやたら行数取るんだけど…基本的に>1のWikiにあるもの全部に提出してます。
今回はNormanとnPro、メールが届かなかった2ベンダーを除く全てに出してます。
(メールが届かなかった所には、提出先アドレスを教えてくれってメール入れてます)
同報メール使ってるから、いちいち個別にどうとか書くのが大変だったり。
20行も30行も提出先書いた発言でスレ埋めるのもどうかと。
報告出しても殆どは返事来ないです。そのベンダーのソフトを使ってる人にも出して貰って
検出名の報告をここに上げた貰ったほうがいいので、敢えて提出先は記載しません。
(例えば、Pandaとかメールで送っても返事来ませんから検出状況わかりませんし
ソフォスからも登録ユーザーにしか対応状況の返答はしないって言われてます)
>>55 Fortinet:
adv111.exe - W32/Agent.BDGC!tr.dldr
file.exe - W32/Agent.ZHG!tr
installer_99404.exe - W32/Hupigon.FPLB!tr.bdr
load_1.exe - W32/Agent.BIEL!tr
main.exe - Adware/Antispyware2009
setup_243_3777_.exe - W32/FraudLoad.CYA!tr.dldr
SpywareReminder_v3_12.exe - W32/Agent.CJ!tr
x50.exe - W32/Banload.AAGS!tr.dldr
SpywareGuard2009.exe - W32/Fakealert.XCO!tr
FlashPlayer-9.0.124.0p.exe - W32/Agent.BDAI!tr.dldr
load.exe - W32/Zbot.KEK!tr
あと1つは別のメールに分割して送ったので返答待ち。
>>92 わかりました
とりあえず他の人が提出してるベンダーは避けるようにしてくれませんか?
私は現時点ではAntiVirとavast!とPandaとSymantecに提出してるし他はKasperskyとMcAfeeとRisingとESETに提出してる方もいられるのでやはりここら辺の提出は多重提出にならないためにもしないで欲しいです
多重提出でも問題ないならそれでも大丈夫でしょうけどKasperskyみたいに提出したのに返事が来ないというのもありますからね・・・
>(例えば、Pandaとかメールで送っても返事来ませんから検出状況わかりませんし
確かにこれは実際に使わないとPandaの検出状況はわからないでしょう、特に2009はクラウド型検出のおかげでVirustotalのPandaの検出結果が殆どあてにならない状況になってる
Rising 2009 21.21.60 (21.12.60.00) Last Update Time=2008-01-18 10:43
>>83 autorun1-4.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bgj
2+4=6/10
あと返事が来ないベンダーといったらavast!とかもそうだけどこちらはVirustotalでも検出状況が確認できるから問題なし Symantecは単体で送る方が黒判定か白判定かわかりやすい気がする、複数のファイルを送ると単に現在の検出状況を載せてくることが多かった
>>94 >Kasperskyみたいに提出したのに返事が来ないというのもありますからね・・・
カスペは基本的に全部返事来てますよ。
ただ、対応済みのものだったり、ファイル数が多い時は検出名をはしょられることもありますが。
>とりあえず他の人が提出してるベンダーは避けるようにしてくれませんか?
余裕がある時は、同報の送り先から省いています。
ただ、検体提出漏れするよりも、かぶった方がまだましなので時間のない時はそのまま送付することがあります。
提出するだけでも結構時間食いますし、重複チェックに時間を取られて、提出しきれないよりはということで。
>>83 まかふぃー。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
autorun1.exe |current detection |downloader-azn |Trojan |no
autorun2.exe |current detection |downloader-azn |Trojan |no
autorun3.exe |current detection |downloader-azn |Trojan |no
autorun4.exe |current detection |downloader-azn |Trojan |no
ff11.exe |inconclusive | | |no
redstone1.exe |inconclusive | | |no
romania1.exe |inconclusive | | |no
webcc1.exe |inconclusive | | |no
wow1.exe |inconclusive | | |no
wow1dll.exe |inconclusive | | |no
inconclusive [ff11.exe redstone1.exe romania1.exe webcc1.exe wow1.exe wow1dll.exe]
99 :
60 :2009/01/18(日) 15:18:22
>>55 >>72 カスペからの返事
7\main.exe - New malicious software was found in the attached file. not-a-virus:FraudTool.Win32.MSAntispyware2009.i (←HEUR:Trojan.Win32.Generic から変更)
シグネチャ名判明。ルートキットかな。
>>72 Detected virus Rootkit.Win32.TDSS.eib tane0197.zip/Malware/0/file.exe
今のところ、9+追加検出1=10/12 (0,2,3,5,6,7,8,9,a,b),白1(1),回答待ち1(4)
100 :
60 :2009/01/18(日) 15:26:00
検体名:
>>55 >>99 カスペ2009 14:33:00
4は検知済みだった。訂正。
Detected virus not-a-virus:FraudTool.Win32.SpywareGuard2008.bl tane0197.zip/Malware/4/SpywareGuard2009.exe
9+2=11/12, 白1(1\1.exe)でFA
>>83 Fortinet: 次回更新で対応
romania1.exe - W32/Agent.AST!tr.dldr
wow1.exe - W32/OnLineGames.VFT!tr
wow1dll.exe - W32/OnLineGames.WFT!tr
autorun1.exe - W32/AutoRun.YNT!tr
autorun2.exe - W32/AutoRun.YNT!tr
autorun3.exe - W32/AutoRun.YNT!tr
autorun4.exe - W32/AutoRun.YNT!tr
redstone1.exe - W32/Agent.XDT!tr
webcc1.exe - W32/Agent.CFT!tr.dldr
ff11.exe - W32/Dropper.ZAT!tr
NOD32 v3.0 定義3774
>>83 6/10
autorun1.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun3.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun2.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun4.exe Win32/AutoRun.Delf.AKの亜種 ワーム
webcc1.exe Win32/KernelBot.AAの亜種 トロイの木馬
redstone1.exe Win32/PSW.OnLineGames.ODDの亜種 トロイの木馬
未検出ぶんEsetへ提出済
>>92 返事がくること自体奇跡に近いので、Esetへ重複提出して頂いて構いません。
重複になっても構わないので提出して頂いたほうが助かります。
今後、多忙or他社ソフトへの乗り換え等でいつまで検出報告できるかわかりませんし。
>>77 Rising
1. Filename:barack.exe
Virusname:Trojan.Win32.Nodef.ady
>>55 Dr.Web
Your request has been analyzed. New virus record has been added.
Viruses: Trojan.DownLoad.25637, Trojan.DownLoad.26705, Trojan.DownLoad.27999,
Trojan.DownLoad.28000, Trojan.Fakealert.2266, Trojan.Fakealert.3858,
Trojan.Fakealert.3876, Trojan.Fakealert.3877.
>>97 わかりました
こうやって話し合って確認できたので私は何も言いません
それに私の提出先も特に多重提出とかで困ることはないですしね・・・・
avast!とPanda:返事が全く来ないため検出状況は実機やVirustotalで確認するしかない
AntiVirとSymantec:Webフォームだから?のせいか返事は必ず来る
「多重提出しても困ることはない」と書いたけど貴方が先に「各社に提出します」との書き込みがあったときは各ベンダーに提出したと認識したということでその場合は私は検体を提出しません
>>77 Symantecから(2009/1/18、18:32)
filename: barack.exe
machine: Machine
result: This file is detected as W32.Waledac.
filename: index.htm
machine: Machine
result: See the developer notes
>>83 NortonInternetSecurity2009追加検出+1
Trojan Horse:redstone1.exe
7/10
>>105 未対応分をMcAfeeに提出させて頂ました。
>>105 NortonInternetSecurity2009
Downloader:Ms06-014_1.htm、muma_1.html
2/6
>>105 PandaGlobalProtection2009
ウイルス発見 : Trj/Inject.K K1.EXE
最近Pandaの検出状況悪いな
ま、もともと対応にムラがあるベンダーだしこういうこともあるか
眠いので各ベンダーへの提出は後ほどやります。。。
>>105 カスペ
index.htm_ - Trojan.HTML.IFrame.ad,
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dhv,
Ms06-014_1.htm_ - Trojan-Downloader.JS.Agent.dhw,
Muma.htm_ - Trojan.JS.Agent.kb,
muma_1.htm_ - Trojan.JS.Agent.kc
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
k1.exe_ - Trojan.Win32.Inject.ncz
>>106 >AntiVirとSymantec:Webフォームだから?のせいか返事は必ず来る
メールの受付もしてますよ。
AntiVir:メールでもフォームでも返事が来る
Symantec:昨年末まではどっちでも返事来たが、今年に入ってからメールでの報告には返事が来なくなった。
>>105 Fortinet:
index.htm - Js/Agent.DFP!tr
k1.exe - W32/Magania.CRZ!tr.dldr
Ms06-014.htm - Js/Agent.DUP!tr.dldr
Ms06-014_1.htm - JS/Magania.CRZ!tr.dldr
muma_1 - Js/Agent.CEP!exploit
Muma - Js/Agent.DUP!tr.dldr
マカフィー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
index.htm |inconclusive | | |no
k1.exe |current detection |pws-mmorpg.gen |Trojan |no
ms06-014.htm |current detection |js/downloader-bdq |Trojan |no
ms06-014_1.htm |current detection |js/downloader-bdq |Trojan |no
muma.htm |inconclusive | | |no
muma_1.html |current detection |exploit-xmlhttpd.d |Trojan |no
inconclusive [index.htm muma.htm]
おっと、これもか。 NORMAN k1.exe INFECTED with W32/Malware (Signature: W32/Malware.FAGY) 他のHTMLは * Sandbox name: NO_MALWARE * Signature name: NO_VIRUS
>>51 Symantecから(2009/1/19、8:09)
filename: 1.exe
machine: Machine
result: See the developer notes
filename: s9.exe
machine: Machine
result: See the developer notes
>>113 >メールの受付もしてますよ。
SymantecはともかくAntiVirはなぜか私の環境ではメールで送れなくなったんですよ(Symantecは単に提出先のアドレスを知らなかっただけw)
途中まではAntiVirもメールで提出してたんですけど今はWebフォームからのみしか送ってません
とりあえず今後も提出頼みますよ、私も出来るだけ提出を頑張りますね
>>117 >AntiVirは昨年末にアドレスが変更になっています。現在はここ。
>Avira GmbH(AntiVir) <
[email protected] >
いえ、そのアドレスから送れなくなったんですよ
恐らく私のPC環境というか設定が良くないのでしょう
それにWebフォームからでも問題なく提出できてるので無問題といえば無問題、あまり気にしてはいません
>>105 遅ればせながらavast!とPandaとSymantecに提出しました
>>83 avast!4.8
ff11.exe\[RLPack]\[Embedded_R#60b4]:Win32:Trojan-gen {Other}
redstone1.exe:Win32:Trojan-gen {Other}
6/10
>>122 avast!4.8
msmsg1.exe:Win32:Trojan-gen {Other}
pcclient1.exe:Win32:Downloader-AZY [Trj]
>>122 AntiVirPremium
gpt0ru1.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
msmsg1.exe
[DETECTION] Is the TR/Vundo.Gen Trojan
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
3/6
>>122 NortonInternetSecurity2009
Trojan.Vundo:msmsg1.exe
1/6
Rising 2009 21.21.60 (21.12.60.00)
>>105 muma_1.html: Hack.Exploit.Script.JS.Agent.if
>>122 スルー
試用期限切れてたので定義未更新
>>122 PandaGlobalProtection2009
gpt0ru1.exeとmsmsg1.exeを疑わしいファイルとして検出
2/6
検体を提出します
PandaGlobalProtection2009
>>77 barack.exeを疑わしいファイルとして検出
>>83 ff11.exeを疑わしいファイルとして検出
8/10
>>105 トレンドマイクロ
We are glad to inform you that the detection for the following malware below is now available for
downloading using CPR 5.776.05.
JS_DLOADER.UOV
JS_DLOADER.UOY
JS_AGENT.AJWX
>>122 Norman
pcclient1.exe : INFECTED with W32/Malware (Signature: NO_VIRUS)
他は現時点でスルー
マカフィー(現時点で全スルー)
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gpt0ru_dldr.exe |inconclusive | | |no
gpt0ru1.exe |inconclusive | | |no
gpt0ru2.exe |inconclusive | | |no
msmsg1.exe |inconclusive | | |no
pcclient1.exe |inconclusive | | |no
webcc1.exe |inconclusive | | |no
inconclusive [gpt0ru_dldr.exe gpt0ru1.exe gpt0ru2.exe msmsg1.exe pcclient1.exe webcc1.exe]
133 :
名無しさん@お腹いっぱい。 :2009/01/19(月) 20:42:22
>>122 カスペ2009 19:59:00
5/6
検体提出します。
Detected Trojan program Trojan-Downloader.Win32.Agent.bdwi tane0201.zip/gpt0ru_dldr.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bdvi tane0201.zip/gpt0ru1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.afel tane0201.zip/msmsg1.exe
Detected Trojan program Backdoor.Win32.PcClient.abdg tane0201.zip/pcclient1.exe
Detected Trojan program Trojan.Win32.Agent.bjci tane0201.zip/webcc1.exe
>>122 Symantec(2/6)
フォームから送ると返事来るが、メールだと返事来ないねぇ。
「See the developer notes」となっている所はすべて、未検出なので人手で解析するとのコメント。
filename: webcc1.exe
machine: Machine
result: See the developer notes
filename: gpt0ru2.exe
machine: Machine
result: See the developer notes
filename: pcclient1.exe
machine: Machine
result: This file is detected as Backdoor.Formador.
http://www.symantec.com/avcenter/venc/data/backdoor.formador.html filename: gpt0ru_dldr.exe
machine: Machine
result: See the developer notes
filename: msmsg1.exe
machine: Machine
result: This file is detected as Trojan.Vundo.
http://www.symantec.com/avcenter/venc/data/trojan.vundo.html filename: gpt0ru1.exe
machine: Machine
result: See the developer notes
>>134 >「See the developer notes」となっている所はすべて、未検出なので人手で解析するとのコメント。
ファイルを複数送るとそんな感じだね
ファイルが単体だと返事来るのに時間かかることが多かったからこちらは白判定だと思われる
>>122 AntiVir
検出に対する返答。
gpt0ru1.exe : TR/Dldr.Delphi.Gen Trojan
msmsg1.exe : TR/Vundo.Gen Trojan
pcclient1.exe : DR/PcClient.Gen dropper
webcc1.exe : TR/Agent.bjci Trojan
現時点では「gpt0ru2.exe」「gpt0ru_dldr.exe」が除去できないので、下記返答分と思われる。
次のパターン更新で(6/6)予定。
The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the viruses will be detected as:
TR/Dldr.Agent.qse
TR/Dldr.Agent.qsg
>136 ×検出に対する返答。 ○検体提出に対する返答。 orz
>>122 Dr.Web(どれがどれだか不明。4/6が新種。あとの2種は既に検出可能だったのか、未対応なのか不明)
Your request has been analyzed. New virus record has been added.
Viruses: Trojan.DownLoad.28007, Trojan.DownLoad.28008, Trojan.Siggen.2065,
Trojan.Virtumod.1465.
Thank you for the cooperation.
NOD32 v3.0 定義3777
>>105 1/6
k1.exe Win32/PSW.Gamania.NBE トロイの木馬
対応するかどうかわからないが、一応htmlファイルをesetに提出
>>122 1/6
pcclient1.exe Win32/PcClient.NCRの亜種 トロイの木馬
未検出ぶん提出
>>122 検体は提出済み
bitdefender10 Free(1/6)
gpt0ru1.exe : OK
gpt0ru2.exe : OK
gpt0ru_dldr.exe : OK
msmsg1.exe : OK
pcclient1.exe : Infected: Trojan.Crypt.DG
webcc1.exe : OK
142 :
1 :2009/01/20(火) 01:04:00
>>10 ,14,16,116-118,121
混乱してきた。
>>4-7 を削除して、
>>1 のWikiを各ベンダーに付き、訂正した方が早いのかね。
あんまり、テンプレを長くするのもどうかなとも思う。
一方、Wikiは荒らしが心配。
>>122 PandaGlobalProtection2009
pcclient1.exeを疑わしいファイルとして検出
3/6
>>122 Fortinet:
The samples you submitted will be detected as follows:
gpt0ru_dldr.exe - W32/SillyFDC.A!tr.dldr
gpt0ru1.exe - W32/SillyFDC.A!tr
gpt0ru2.exe - W32/SillyFDC.A!tr
pcclient1.exe - W32/VirtuMonde.B!tr.spy
msmsg1.exe - W32/VirtuMonde.B!tr.spy
>>122 >>138 は日本のDr.Webからの返事。英文で送った方にも返事があって、そっちは6つ載ってたので(6/6)の模様。
Dr.Web
Viruses: Trojan.DownLoad.28007, Trojan.DownLoad.28008, Trojan.MulDrop.23178, Trojan.DownLoad.28008, Trojan.Virtumod.1465, Trojan.Siggen.2065.
>>145 BitDefender10Free
Start.scr Infected: Dropped:Backdoor.PCClient.TCH
1199.exe Infected: Trojan.Crypt.DG
>>145 McAfee
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe |current detection |generic backdoor |Trojan |no
start.scr |inconclusive | | |no
Norman
1199.exe
* Sandbox name: W32/Malware.
* Signature name: W32/PCClient.NDI.
Start.scr
* Sandbox name: .
* Signature name: NO_VIRUS.
>>145 Fortinet:
The samples you submitted will be detected as follows:
1199.exe - W32/PcClient.AAUV!tr.bdr
Start.scr - W32/PcClient.AAUV!tr.bdr
一括して送っちまったけど、対応済みベンダーの方が多いのに、全部に送ること無かったな。担当者さんごめんなさい。
>>145 Dr.Web
1199.exe - infected with Trojan.MulDrop.23178
Start.scr - infected with Trojan.MulDrop.23178
154 :
名無しさん@お腹いっぱい。 :2009/01/20(火) 14:56:22
>>145 カスペ2009 14:28
2/2
Detected Trojan program Backdoor.Win32.PcClient.aauv tane0202.zip/Start.scr//data0002
Detected Trojan program Backdoor.Win32.PcClient.aauv tane0202.zip/Start/1199.exe
155 :
142 :2009/01/20(火) 14:57:09
>>145 , 148
Wikiの件了解。
情報d。
検討してみる。
>>83 PandaGlobalProtection2009
romania1.exeを疑わしいファイルとして検出
>>122 NortonInternetSecurity2009
Backdoor.Formador:pcclient1.exe
2/6
159 :
133 :2009/01/20(火) 17:25:43
>>122 カスペからの返事
gpt0ru2.exe_ - Trojan.Win32.Agent2.ns
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
5+事後検出1=6/6
>>148 放置される=セキュリティ的にあぶな・・・
>>143 PandaGlobalProtection2009
Trj/CI.Aとして検出
NOD32 v3.0 定義3779
>>145 scr,exeともWin32/PcClient.NCQ トロイの木馬として検出 2/2
過去未検出ぶんの追試結果は11/24 17〜19日ぶん未検出ぶんの多くが検出可能になっていました。
未検出ぶんもVirustotalチェックしてみると、他社でも白判定なものが多かったです。
>>122 始めてESETから返事が来た。(キャノン経由は何度か来たことあるけどESETからははじめて)
Thank you for your submission.
The detection for this threat will be included in our next signature update.
検出名は書いてないが、次回更新で対応とのこと。
>>145 AntiVir
We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the virus will be detected as DR/PcClient.agv.
ということで
Start.scr : スルー → DR/PcClient.agv
1199.exe : DR/PcClient.Gen
>>164 NOD32 v3.0 定義3780が先ほどアップデートされ、3つの未検出→3つ検出可能に
よって、3+3=6/6 全検出
今から提出しようと思ったら
>>153 のファイル消えてました。
>>160 さん、可能でしたら、いつものあぷろだに再UPをお願いしたいです。
(VirusTotalに投げられてるから大丈夫といえばそれまでですが)
>>168 >あなたが要求したファイルはサーバ上に存在しません。削除されたかアドレスが間違っています。
orz
…あー。htm -> html こぴぺみすっぽ
Rising 2009 21.22.12 (21.13.12.00)
>>122 pcclient1.exe: Backdoor.Win32.PcClient.qxg
1/6
>>105 Trend Micro
We are glad to inform you that the detection for HTML_IFRAME.ZF is now available for
downloading using CPR 5.778.05.
>>170 ありがとう。パスワードはinfectedか。いろいろ試しちまったぜ。
各社に提出かけてきます。
>>174 >>3 |【重要】
|●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
|割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
|
|※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
VirusTotal (0/39)
>>168 NORMAN(2/7)
1x.exe.ico : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.0001.bin : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.0002.bin : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.ico : INFECTED with W32/Malware (Signature: NO_VIRUS)
datad.zip.ico : Not detected by Sandbox (Signature: W32/Qhost)
MVCImage0010.JPEG_www.imgshare.com.ico : Not detected by Sandbox (Signature: NO_VIRUS)
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico : Not detected by Sandbox (Signature: NO_VIRUS)
McAfee(2/7)
File Name Findings Detection Type Extra
--------------------|---------------------|--------------------|------------|-----
18.exe.0001.bin |inconclusive | | |no
18.exe.0002.bin |inconclusive | | |no
18.exe.ico |inconclusive | | |no
1x.exe.ico |inconclusive | | |no
datad.zip.ico |inconclusive | | |no
mvcimage0010.jpeg_ww|heuristic detection |with fishy extension|Application |no
nuevoimagen0034.jpeg|heuristic detection |with fishy extension|Application |no
>>168 Fortinet:
1x.exe - W32/Poison.M!tr
18.exe - W32/Obfuscator.CL!tr
18.exe.0001 - W32/Tofsee.A!tr.bdr
18.exe.0002 - W32/Obfuscator.CL!tr
datad.zip - W32/Buzus.AIKH!tr
MVCImage0010.JPEG_www.imgshare.com - W32/Poison.M!tr
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com - W32/Poison.M!tr
>>168 Microsoft
+---MVCImage0010.JPEG_www.imgshare.com.ico [VirTool:Win32/DelfInject.gen!AF]
+---18.exe.0001.bin [Backdoor:WinNT/Tofsee.gen!A]
+---18.exe.0002.bin [VirTool:Win32/Obfuscator.CL]
+---18.exe.ico [VirTool:Win32/Obfuscator.CL]
+---1x.exe.ico [VirTool:Win32/DelfInject.gen!AF]
+---datad.zip.ico [VirTool:Win32/DelfInject.gen!AF]
+---NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico [VirTool:Win32/DelfInject.gen!AF]
Dr.Web
18.exe.0001.bin - infected with Trojan.NtRootKit.2561
18.exe.0002.bin - probably infected with Trojan.Packed.154
1x.exe.ico - infected with BackDoor.IRC.Sdbot.4634
datad.zip.ico - infected with Dialer.Siggen.121
MVCImage0010.JPEG_www.imgshare.com.ico - infected with BackDoor.IRC.Sdbot.4634
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico - infected with BackDoor.IRC.Sdbot.4634
18.exe.ico - probably infected with Trojan.Packed.154
※ 一部、ヒューリスティック解析によって検出しているものがありますので、
こちらについては正確を帰すためにパターン対応を検討いたします。
>>145 Rising
1. Filename:1199.exe
Virusname:Backdoor.Win32.PcClient.qup
2. Filename:Start.scr
Virusname:Backdoor.Win32.PcClient.qup
>>181 >2
>・DOSウイルス禁止
> 大昔のウイルスを集めてきても無意味なことがあります。
DOS時代程じゃないけど、古そうなのでパス
>>105 Rising
1. Filename:Muma.htm
Virusname:Trojan.DL.Script.JS.Agent.my
2. Filename:Ms06-014.htm
Virusname:Trojan.DL.Script.JS.Agent.mx
3. Filename:index.htm
Virusname:Trojan.DL.Script.JS.Agent.mw
4. Filename:k1.exe
Virusname:Trojan.Win32.Nodef.ahz
5. Filename:muma_1.html
Virusname:Hack.Exploit.Script.JS.Agent.if
6. Filename:Ms06-014_1.htm
No malware.
KingSoft
貴殿よりお送りいただいた検体が、
キングソフトにおいて新種のウイルスではないことが確認できましたことをご連絡いたします。
「ウイルス名:Win32.Troj.Inject.47616」
全種対応なのか、スルーがあるのかこの回答からは不明だが、対応済みとの返答。
>>83 kingSoft
貴殿よりお送りいただいた検体が、
キングソフトにおいて新種のウイルスではないことが確認できましたことをご連絡いたします。
「ウイルス名:Win32.Troj.Delf.uf.45056」
全種対応なのか、スルーがあるのかこの回答からは不明だが、対応済みとの返答。
>>168 Rising 提出後の回答(6/7)
1. Filename:18.exe.0001.bin
Virusname:Trojan.Win32.Nodef.ajz
2. Filename:18.exe.ico
Virusname:Trojan.Win32.Nodef.aju
3. Filename:1x.exe.ico
Virusname:Trojan.Win32.Nodef.ajg
4. Filename:datad.zip.ico
Virusname:Trojan.Win32.Nodef.ajf
5. Filename:MVCImage0010.JPEG_www.imgshare.com.ico
Virusname:Trojan.Win32.Nodef.aje
6. Filename:NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico
Virusname:Trojan.Win32.Nodef.ajd
7. Filename:18.exe.0002.bin
No malware.
>>83 Rising 提出後の返答(9/10)
1. Filename:webcc1.exe
Virusname:Trojan.Win32.Nodef.akm
2. Filename:romania1.exe
Virusname:Trojan.Win32.Nodef.akc
3. Filename:redstone1.exe
Virusname:Trojan.PSW.Win32.GameOL.udc
4. Filename:ff11.exe
Virusname:Trojan.Win32.Nodef.ajc
5. Filename:autorun1.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
6. Filename:autorun2.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
7. Filename:autorun4.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
8. Filename:autorun3.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
9. Filename:wow1dll.exe
Virusname:Trojan.Win32.Nodef.zq
10. Filename:wow1.exe
No malware.
>>55 Rising 提出後の回答 (7/12)
ベンダーによって白黒に差があると言っても流石にこれは…未検出分の再提出はRisingユーザーさんに任せた。
1. Filename:adv111.exe
Virusname:AdWare.Win32.Mnless.arq
2. Filename:file.exe
Virusname:Trojan.Win32.Nodef.akv
3. Filename:load.exe
Virusname:Trojan.Win32.Nodef.aku
4. Filename:load_1.exe
Virusname:Trojan.Win32.Nodef.akq
5. Filename:SpywareReminder_v3_12.exe
Virusname:Trojan.Win32.Nodef.ako
6. Filename:x50.exe
Virusname:Trojan.Win32.VBCode.bq
7. Filename:FlashPlayer-9.0.124.0p.exe
Virusname:Trojan.DL.Win32.Undef.aqa
8. Filename:installer_99404.exe
No malware.
9. Filename:main.exe
No malware.
10. Filename:setup_243_3777_.exe
No malware.
11. Filename:SpywareGuard2009.exe
No malware.
12. Filename:1.exe
No malware.
>>55 NortonInternetSecurity2009
Infostealer.Banker.C:load.exe
8/12
最近検出報告がさぼりぎみです・・・
特に忙しいわけでもないんですが・・・
>>187 Risingのセキュリティポリシーじゃ?
Symantecもこのスレの検体は白判定多いしESETやMcAfeeもそう
Pandaもこのスレの100前後あたりにうpされた検体は白判定が多かった(Pandaはそれでも黒判定が多いベンダーだと思うけど)
対応速度もそうだけどなんでも黒判定するのはAntiVirとカスペルスキーの印象が強いね
NortonのパルスアップデートとMcAfeeとPandaのクラウド型検出はもっと成熟させてベンダー自体の対応速度も上げればかなりいい感じになれると思う
Risingはアドウェアやスパイウェア系のものはスルーが多い傾向だからね・・・
忘れた頃に検出することも多いし、いまだに11月頃の検体に対して返事が来るほど
解析が追いついてないようなので再提出はしないつもりです。
Risingの分析メールより最終結果のみ
>>55 1+5(6?)=6(7?)/12
>>83 6+4=10/10
トレンドマイクロはバスター2010辺りにSmartProtectionNetworkを搭載させないと今のバスターのアップデート形式と検出形式じゃ新種に全然ついていけなくなっていくような気がする 逆にカスペにクラウド型検出は必要ないと思う(とある記事でカスペも採用するというのを見た)もともと対応速度は速くアップデートは頻繁なんだし意味あるのかな・・・?
>>168 ESETより返答
Thank you for your submission.
The detection for this threat will be included in our next signature update.
検出名は不明なれど、次回更新で対応するそうな。白判定が含まれるかどうかは不明。
>>188 >Risingのセキュリティポリシーじゃ?
そうでした。テンプレにもありましたね。
>>2 >・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
Rising 2009 21.22.22 (21.13.22.00)にて
>>38 1.exe: Trojan.DL.Win32.Mnless.cbk
1/2
>>51 1(1).exe>>upx_c: Trojan.DL.Win32.Mnless.cbk
1/2
>>122 gpt0ru1.exe: Trojan.Win32.Nodef.ajs
gpt0ru2.exe: Trojan.Win32.Nodef.ajr
gpt0ru_dldr.exe: Trojan.DL.Win32.Mnless.cbk
msmsg1.exe: Trojan.Win32.VUNDO.ckv
1+4=5/6
NOD32 v3.0 定義3785
>>168 3/7
18.exe.ico Win32/Agent.NSHの亜種 トロイの木馬
datad.zip.ico Win32/Injector.CRの亜種である可能性 トロイの木馬
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico Win32/AutoRun.Qhost.A ワーム
>>191 積極的に各社に提出なされてるようなのでSymantecとPandaの提出もよろしくお願いしますね(と、他人任せな私)
提出してくれたらPandaの検出報告はしておきます、NortonはほぼVirustotal通りだから問題ないかと
>>190 「必要・不必要」ではなく「あった方が良いか否か」
個人的にクラウドベースの検出方法が害になるような考えには今の所至れないな
>>195 「必要ないと思う」は言いすぎたかもしれないけどAntiVirみたいなシグネチャベース+ヒューリスティックで最強を極めるというのも面白いかと
各ベンダーが揃ってクラウドベース検出になったらつまらないかなと個人的な感想、それにカスペは2009でヒューリスティックを大幅に強化したしこのクラシック路線で頑張って欲しい
逆にトレンドマイクロというかバスターは今のままだと・・・
このスレに常駐しているとフラッとPandaあたり購入しそうになるから困るワィ
>>122 カスペ
This file is already detected. Please update your bases.
>>197 クラウド型検出を試したいならPandaよりMcAfeeの方がお勧め
Pandaのクラウド型検出は強力だけど常駐の反応は鈍いというか多分機能してない、それだったら常駐時でもクラウド型検出が機能するMcAfeeの方がいいと思う
200 :
名無しさん@お腹いっぱい。 :2009/01/22(木) 15:39:57
200
201 :
名無しさん@お腹いっぱい。 :2009/01/22(木) 15:41:38
201
>>168 Antivir
We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The virus will be detected as 'TR/Dldr.Delf.acj'.
>>175 時点では(5/7)でしたが、現時点で(7/7)対応を確認。
>>202 AntiVir (9/12)
461.exe
[DETECTION] Is the TR/TDss.AJ Trojan
install.exe
[DETECTION] Is the TR/Peed.A.1016 Trojan
InstallAVg_77025309.exe
[DETECTION] Is the TR/Fake.Antivirus.2009.FE Trojan
pro.exe
[DETECTION] Is the TR/Spy.ZBot.kpk Trojan
rdr.exe
[DETECTION] Is the TR/Spy.ZBot.PE.11 Trojan
setup_419_6777_.exe
[DETECTION] Is the TR/Dldr.FakeAle.ftv Trojan
StageThree.exe
[DETECTION] Is the TR/Fake.Antivirus.2010.E Trojan
tubeviewersetup.1401.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
vmnatt.exe
[DETECTION] Is the TR/Spy.Gen Trojan
BitDefender10Free(5/12)
Summary:
install.exe Infected: Trojan.Peed.Gen
InstallAVg_77025309.exe Infected: Trojan.FakeAntivirus.Gen
rdr.exe Infected: Trojan.Spy.ZBot.PE
setup_419_6777_.exe Infected: Trojan.FakeAntivirus.Gen
vmnatt.exe Infected: Trojan.Crypt.Delf.C
NOD32 v3.0 定義3788
>>202 9/12
1\vmnatt.exe Win32/Delf.GMWの亜種 トロイの木馬
2\install.exe Win32/Adware.WinWebSecurity アプリケーション
3\InstallAVg_77025309.exe Win32/Adware.Antivirus2008 アプリケーション
4\prosto.exe Win32/Spy.Zbot.FN トロイの木馬
5\rdr.exe Win32/Spy.Zbot.FE トロイの木馬
6\461.exe Win32/Kryptik.FJの亜種 トロイの木馬
7\pro.exe Win32/Spy.Zbot.ET トロイの木馬
9\tubeviewersetup.1401.exe Win32/TrojanDownloader.Zlob.CYV トロイの木馬
a\antivirus.v.1.0.exe Win32/TrojanDownloader.FakeAlert.WR トロイの木馬
未検出ぶんEsetへ提出。
>>193 で未検出だったものも対応(4/7→7/7)
>>202 Rising 2009 21.22.32 (21.13.32.00)にて
1\vmnatt.exe>>upx_c: Trojan.Win32.StartPage.men
4\prosto.exe>>upx_c: Trojan.Win32.Nodef.ame
6\461.exe: Trojan.Win32.Nodef.aia
8\setup_419_6777_.exe: Trojan.Win32.FakeAV.gc
4/12
Risingに送付済み
>>202 McAfee
File Name Findings Detection Type Extra
--------------------|--------------------|--------------------|------------|-----
24.exe |inconclusive | | |no
461.exe |inconclusive | | |no
antivirus.v.1.0.exe |new detection |fakealert-ab.dldr |Trojan |yes
install.exe |new detection |fakealert-t |Trojan |yes
installavg_77025309.|new detection |generic pup.x |Application |yes
pro.exe |new detection |generic pws.y |Trojan |yes
prosto.exe |inconclusive | | |no
rdr.exe |new detection |puper |Trojan |yes
setup_419_6777_.exe |current detection |generic downloader.z|Trojan |no
stagethree.exe |inconclusive | | |no
tubeviewersetup.1401|inconclusive | | |no
vmnatt.exe |new detection |generic dropper |Trojan |yes
209 :
名無しさん@お腹いっぱい。 :2009/01/22(木) 20:34:34
>>202 d
カスペ2009 19:42
11/12 (b以外)
Detected virus not-a-virus:FraudTool.Win32.Antivirus2010.e tane0203.zip/Malware/0/StageThree.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan.Win32.Delf.hva tane0203.zip/Malware/1/vmnatt.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vgqm tane0203.zip/Malware/2/install.exe
Detected virus not-a-virus:FraudTool.Win32.Antivirus2009.fe tane0203.zip/Malware/3/InstallAVg_77025309.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kup tane0203.zip/Malware/4/prosto.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.krd tane0203.zip/Malware/5/rdr.exe
Detected virus HEUR:Trojan.Win32.Generic tane0203.zip/Malware/6/461.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kpk tane0203.zip/Malware/7/pro.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.cyu tane0203.zip/Malware/8/setup_419_6777_.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bech tane0203.zip/Malware/9/tubeviewersetup.1401.exe
Detected Trojan program Trojan.Win32.Agent2.ta tane0203.zip/Malware/a/antivirus.v.1.0.exe
検体提出します。 (6,b)
>>202 avast!4.8
Malware\0\StageThree.exe:Win32:Trojan-gen {Other}
Malware\1\vmnatt.exe:Win32:Spyware-gen [Trj]
Malware\2\install.exe:Win32:Adware-gen [Adw]
Malware\3\InstallAVg_77025309.exe:Win32:Trojan-gen {Other}
Malware\5\rdr.exe:Win32:Zbot-AYV [Trj]
Malware\7\pro.exe:Win32:Zbot-AYV [Trj]
6/12
>>202 PandaGlobalProtection2009
ウイルス発見 : Generic Trojan vmnatt.exe、install.exe
ウイルス発見 : Trj/Sinowal.DW rdr.exe
ウイルス発見 : Trj/CI.A pro.exe
アドウェアを検出 : Adware/Antivirus2009 setup_419_6777_.exe
アドウェアを検出 : Adware/Antivirus2010 StageThree.exe
疑わしいファイル:nstallAVg_77025309.exe、prosto.exe、461.exe、tubeviewersetup.1401.exe
検出数10/12
McAfeeVirusScan+ActiveProtectionの検出数8/12
>>202 NortonInternetSecurity2009
2/12
Trojan Horse:vmnatt.exe
AntispywareProXP:setup_419_6777_.exe
検体提出は最近各ベンダーに提出されてる方に任せます
しかしNortonはこのスレでの検体はあんまり強くないな・・・
Nortonの性能は確かなんだろうけどこのスレではその実感がないですね・・・
恐らく検体の白判定の多さからだろうか?
>>202 Avira(追加)
We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The virus will be detected as 'ADSPY/NaviPromo.wam'.
>>213 あー、今回のは出してますが、忙しい時は検体見掛けても出せないこともあるので、あまり任せっきりにされても…。
>>214 >ADSPY/NaviPromo.wam'.
まだアップデート来てないのかな?
さっきスキャンかけてみたけどまだその検出名がなかった
>忙しい時は検体見掛けても出せないこともあるので、あまり任せっきりにされても…。
余裕があるときは私も自分の使ってるベンダーには出しておきますね(現在McAfee+ActiveProtectionもテスト中)
>>216 ゴメソ、まだ話しがイマイチ理解できてない
kwsk
>>216 誤検出の可能性かな?
今落としてみても、それとファイル名とファイルサイズ違うんだけど。
検出はしてるようなので、誤検出の疑いとして一応提出してきます。>216はどっから落としたんだろう?
>216の奴(GOMPLAYERSETUP2114.EXE File size: 5903944 bytes)
↓
今落とした奴(GOMPLAYERJPSETUP.EXE File size: 267528 bytes)
ttp://www.virustotal.com/analisis/82762290109730c07b46aa91d783122a >Panda 9.5.1.2 2009.01.21 Suspicious file
↓
>Panda 9.5.1.2 2009.01.21 Error scanning file
>Sophos 4.37.0 2009.01.22 KILLgOM Process Killer
219 :
名無しさん@お腹いっぱい。 :2009/01/22(木) 22:57:42
>>202 全てvirustotalに送ってありました。
>>220 >221のファイルは日本公式のTOPから落としたものです。
多分、中に入ってる同じファイルが引っ掛かっているんでしょうから、>220の提出は見合わせます。
検体入手元(リンクにならないよう、念のため、一部文字を置き換えてあります)
ttp://www ■gomplayer■jp/exe/GOMPLAYERJPSETUP■EXE
おk Panda2009で確認してくる
>>220-222 検体入手してきました
PandaGlobalProtection2009では反応ありません(
>>221 でうpしてくれた検体も無反応)
ちなみにPanda2009のバージョンは9.8です(Virustotalは9.5)
2009では無反応だったから正直報告しようかどうか微妙な結果・・・
>>221 名前からして誤検出ではないんじゃないか
名前の通りProcessを強制するソフトだってことなんじゃないかな
こういうソフトは悪用されることがあるから検出されることがある
Processを強制終了するソフトね pskill.exeなんかもソフトによっては引っかかる
>>202 NortonInternetSecurity2009追加検出+5
Infostealer.Banker.C:prosto.exe、rdr.exe、pro.exe
Trojan Horse:StageThree.exe、tubeviewersetup.1401.exe
7/12
とりあえずNortonは12時間以内に5個検出できたし対応速度的にも速いほうだから合格点かな 最初2個しか検出できなかったときは不安になった
>>202 カスペ、全対応完了。
24.exe_ - Trojan.Win32.BHO.kqt
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
461.exe_ - Packed.Win32.Tdss.a,
antivirus.v.1.0.exe_ - Trojan.Win32.Agent2.ta,
install.exe_ - Trojan-Downloader.Win32.FraudLoad.vgqm,
pro.exe_ - Trojan-Spy.Win32.Zbot.kpk,
prosto.exe_ - Trojan-Spy.Win32.Zbot.kup,
rdr.exe_ - Trojan-Spy.Win32.Zbot.krd,
setup_419_6777.exe_ - Trojan-Downloader.Win32.FraudLoad.cyu,
tubeviewersetup.1401.exe_ - Trojan-Downloader.Win32.Agent.bech,
vmnatt.exe_ - Trojan.Win32.Delf.hva
These files are already detected. Please update your antivirus bases.
おっと、検出名2つ貼りわすれ。拡張設定で検出する分。 InstallAVg_77025309.exe_ - not-a-virus:FraudTool.Win32.Antivirus2009.fe, StageThree.exe_ - not-a-virus:FraudTool.Win32.Antivirus2010.e These files are already detected by our extended bases as potentially risk programs.
前スレのDishの件 カスペから今頃返事が来た Hello, dish.exe_ - Trojan-Proxy.Win32.Delf.kt This file is already detected. Please update your antivirus bases. > Please quote all when answering. 結論:どのベンダーからもウイルス扱いされるこのソフトを作った奴が悪い
>>205 の続き NOD32 定義3791
全検出を確認 9/12→12/12
233 :
名無しさん@お腹いっぱい。 :2009/01/23(金) 18:49:34
>>233 >>3 -----
>>105 ClamAV(6/6)
[clamav-virusdb] Update (daily: 8895)
ttp://lurker.clamav.net/message/20090123.091431.03e1242f.en.html Submission-ID: 6221397
Added: Trojan.Inject-1879
Added: JS.Agent-36
Added: JS.Agent-37
Added: JS.Agent-38
Added: JS.Agent-39
Added: JS.Agent-40
ClamAVはチェックつけとくと、検出名は教えてくれるけど、いつ送ったどのファイルだか判らないので困る。
ファイル数とか検出名称から当たりをつけて、VirusTotalに投げて、同じ名前で検出するかチェックして
ようやく返答と、どの検体かが結びつくのでちょっと面倒くさいです。
提出:2009/01/19 AM3:50頃
返答:2009/01/23 PM6:13頃 今回は、およそ4日半位ですね
>>232 それにしても最近のESETの対応の早さはなんなんだろうね
明らかにavast!やAVG、バスターより対応早い
ウイルス解析スタッフを変えたとかなんか?
VB100スポンサー外れたことも影響してるのかな?
少しは危機感があるんじゃないかな
だったらいいね それぐらい今までのESETは信用できなかったし
>>236 tp://www.virustotal.com/jp/analisis/187a1a38cfc7fdc2990b0c8d94cc732e
McAfeeに提出させて頂ました。
>>241 AviraPremiumSecuritysuit
avast!4.8
ともにスルー
そこは前スレで既出だけど 定期的にバイナリが大きく変わるからどうしようもない
>>241 PandaGlobalProtection2009
48個全て疑わしいファイルとして検出
McAfeeVirusScan+ActiveProtection
スルー
>>241 NortonInternetSecurity2009
Nortonも48個全てヒューリスティックで検出
ヒューリスティック検出名:Suspicious.MH690(恐らくVirustotalでは反応しません)
NortonとPandaの傾向見ると一度ヒューリスティックで引っ掛けてしまえばあとは強いな
ttp://www.virustotal.com/analisis/e722304ee41e95c392dfebcb3a9e387e 一部抜き出してVTスキャン
今回はPandaはVT上で反応するね、で、SymantecはVT上でスルー
Kasperskyは私はKasperskyを実機で動かしてない(2年ライセンスは持ってるんですけど)のでカスペ報告者が来ないとヒューリスティック検出がわかりませんね・・・
思うにVTには最新エンジンを提供しないというのも一つの手なのかもしれない
最新エンジンを提供してなんでも正直な判定だったらマルウェア製作者側に攻略されてしまうような気がする
現時点のKaspersky、Symantec、Pandaの「VT上の嘘スルー」も一つの戦略かもしれない
248 :
名無しさん@お腹いっぱい。 :2009/01/23(金) 23:06:07
>>241 カスペ2009 22:17:00
スルー
0/48
一括して送るか。
1カ所のコードに反応してシグネチャ作るか、個別にシグネチャ作るか、ジェネリック・シグネチャ作るかいずれかだな。
>>236 NortonとPandaでそこのサイトに突撃してみた
Nortonは侵入防止機能が激怒してそこのサイトには行かしてくれず
PandaはヒューリスティックとWebスキャンが働いてダウンロードできるものはtxtファイルだけ
という結果でした、どっちもログに検出結果が出たので問題ありません
avast!はネットワークシールドがAntiVirはWebガードが働けばそういうサイトに踏むことはないと思うけど
>>248 各ベンダーのシグネチャの性質にやはり違いはありますね
カスペは個別にシグネチャ作るんでしょうね
あとはヒューリスティックにもそれぞれ特徴がありますよね
Pandaはクラウドベースとヒューリスティックが連携してるからとりあえず怪しければグレー判定する傾向が強い
Nortonの方はまだまだわからないのでもっと使ってみてどんな傾向があるのか調べてみたい
NOD32のアドバンスドヒューリスティックみたいなものだったらシグネチャが多いNortonに活きそうだけど現時点ではシグネチャ(パルスアップデート)とヒューリスティックが連携取れてるように見えないのが残念
>>241 Dr.Web(VirusTotalでは検出しないが、既知のファイルとして返答)
Your submission has been processed.
This virus is already known to us;
an entry for this virus has been added to the Dr.Web virus database earlier.
Viruses: Trojan.Packed.449
−−−−−
Rising メールで送付すると、サポートセンターへ行けという自動返信がくるようになった。
Webフォームからの受付に絞られたかも。
252 :
名無しさん@お腹いっぱい。 :2009/01/23(金) 23:46:15
>>236 カスペ2009もアクセスできない。
2009/01/23 23:40:23
http://193.138.205.121/spc.gif Detected: 193.138.205.121/* Reason: Databases
IPアドレス事態が危険なアドレスとしてデータベースに含まれているな。>Web Anti-Virusのsuspicious sites
>>252 avast!とAntiVirは普通にアクセスできた
ネットワークシールドもAntiVirWebガードもスルーという状態
>>249 >Nortonは侵入防止機能が激怒してそこのサイトには行かしてくれず
実際の検体は(VirusTotalでは)スルーしてるけど、アクセス拒否するなら安心だね。
USBメモリとか経由して持ち込まれたら感染するんだろうから、提出は必要だけど。
(Symantecにも>241の検体退出済み)
>>241 NOD32 v3.0 定義3792
オールスルー。
Esetへ提出しました。
>>249 >avast!はネットワークシールドがAntiVirはWebガードが働けばそういうサイトに踏むことはないと思うけど
2つとも検出してないから無理
255です。追記。 NOD32 webアクセス保護機能では保護機能が働かずにアクセスが可能状態。 従ってURLも同時に報告しました。
>>241 AntiVir
(0/48)
BitDefender 10 Free
(0/48)
Spybot
(0/48)
SUPERAntiSpyware Free Edition
(0/48)
>>254 >実際の検体は(VirusTotalでは)スルーしてるけど
Norton2009はヒューリスティックで検出しますよ
>>246 ただPandaのクラウドベース検出にもいえるけどNortonの拡張ヒューリスティック検出は手動スキャンじゃないと反応しない
恐らく常駐時での誤検出を防ぐために手動スキャンのみヒューリスティックを強力にしてるんだろうけど
>>261 毎回ちょっとだけ違うのが落ちてくるんだよ。だから既出の同アドレスからの検体とMD5が異なって当然。
自動生成して検出逃れを目論んでるぽい。
>>241 ssdeepのfuzzy hashを見ると途中と末尾がちょっとずつ変わるようだ。
互いのmatch scoreは99〜100。
タイムスタンプかなんかだろね
>>241 Fortinet:
The samples you submitted will be detected as "W32/Agent.CEV!tr".
>>260 AviraPremiumSecuritySuit
fccaWpME\gEWoPfgd.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
1/6
avast!4.8
スルー
>>260 PandaGlobalProtection2009
全スルー
McAfeeVirusScan+ActiveProtection
Generic!Artemis:fccaWpME\gEWoPfgd.dll
スマソ McAfeeの検出検体はfccaWpME\vTligHBu.dll だったorz AntiVirと検出検体同じだと勘違いしてそこからコピペしてしまったorz
>>260 NortonInternetSecurity2009
とりあえず検出数とウイルス検出名のみ
2/6
Downloader
Packed.Generic.203
>>260 AntiVir、avast!、Panda、Symantecに提出完了
275 :
名無しさん@お腹いっぱい。 :2009/01/24(土) 11:18:24
>>241 カスペ返答
Trojan.Win32.Agent.bknw
New malicious software was found in these files. Detection will be included in the next update.
Microsoft返答
Submitted Files
=============================================
+---file(0).exe [Trojan:Win32/AgentBypass.gen!I]
以下、全て同じ名称のため省略
警視庁PCがウイルス感染
http://tsushima.2ch.net/test/read.cgi/news/1232720960/ tp://headlines.yahoo.co.jp/hl?a=20090124-00000007-mai-soci
警視庁は23日、一部のオンライン端末がコンピューターウイルス「W32.Downadup.B」に感染し、車庫証明事務を管理する端末装置などに支障が生じていると発表した。外部には接続していないため情報流出の恐れはないという。
Net-Worm.Win32.Kido.ef
tp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-123015-3826-99
警視庁PCがウイルス感染
http://tsushima.2ch.net/test/read.cgi/news/1232720960/ tp://headlines.yahoo.co.jp/hl?a=20090124-00000007-mai-soci
警視庁は23日、一部のオンライン端末がコンピューターウイルス「W32.Downadup.B」に感染し、車庫証明事務を管理する端末装置などに支障が生じていると発表した。外部には接続していないため情報流出の恐れはないという。
W32.Downadup.B
tp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-123015-3826-99
>>278 外部に接続してないのに感染したってどういうこと?
誰かが持ち込んだってことなら、誰かが持ち出すこともできる
持ち出した情報を個人のPCに保存して、そこから流出することを
警察は考えてないのか?
人が死ぬほどの大事にならないと対策しないのは何時まで経っても治らないのな
人間だもん。仕方ないよ(´・ω・`)
>>279 nyとかじゃないから、探してもないよ。って言いたいんじゃw
283 :
名無しさん@お腹いっぱい。 :2009/01/24(土) 17:42:06
>>260 PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A fccaWpME\gEWoPfgd.dll
それ以外は全て疑わしいファイルとして検出
それ以外のベンダー(AntiVir、avast!、McAfee、Norton)の検出状況は変化なし
カスペ2009 fccaWpME.dll, ssQggfGX.dll, tuvtRjGw.dll, urqQjGWn.dll - Trojan.Win32.Agent.bknr, gEWoPfgd.dll - Trojan.Win32.Agent.bkns, vTligHBu.dll - Trojan.Win32.Agent.bknt New malicious software was found in these files. Detection will be included in the next update. Thank you for your help. よって、1/6>6/6
286 :
名無しさん@お腹いっぱい。 :2009/01/24(土) 22:35:22
287 :
285 :2009/01/24(土) 22:54:49
ごめん、書き忘れ。
>>260 です。
ちなみに、今スキャンしたらメールと検出名が違ってた。
Trojan-Downloader.Win32.Injecter.bzq fccaWpME\fccaWpME.dll
Trojan.Win32.Agent.bkns fccaWpME\gEWoPfgd.dll
Trojan-Downloader.Win32.Injecter.bzq fccaWpME\ssQggfGX.dll
Trojan-Downloader.Win32.Injecter.bzq fccaWpME\tuvtRjGw.dll
Trojan.Win32.Agent.bknt fccaWpME\vTligHBu.dll
Trojan-Downloader.Win32.Injecter.bzq fccaWpME\urqQjGWn.dll
>>260 SpySweeper with AV
6/6
すべてTroj/Virtum-Gen
>>83 Dr.Web 2009/01/18 -> 2009/01/25
Your request has been analyzed. New virus record has been added.
Trojan.PWS.Wsgame.10182
Trojan.DownLoad.28440
Trojan.DownLoad.28442
Trojan.DownLoad.28443
Thank you for the cooperation.
>>241 、
>>260 NOD32 v3.0 定義3798
全スルー→全検出 Win32/Adware.Virtumonde
>>260 のgEWoPfgd.dllのみ、Win32/Adware.Virtumonde.FP
土日なのに、対応早くてびっくり。
292 :
名無しさん@お腹いっぱい。 :2009/01/25(日) 22:10:59
ヒマなので…。
>前スレ
>100 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/08(月) 15:30:27
>
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=132 >virus
>いつもの。
>bkdoorはとりあえずこのファイル名にしたけど、動きはダウンローダ。
約50日前検体のVT結果
http://www.virustotal.com/analisis/65fcd47af459e064dff2965d17f7eed8 agent0.exe 35/39 (eSafe, eTrust,PCTools,VirusBusterスルー)
http://www.virustotal.com/analisis/d1566b3c985f964816c03ca40b07e5c7 agent1.exe 36/39 (Comodo,PCTools,ViRobotスルー)
http://www.virustotal.com/analisis/a7ce7617c2673ca2346ccf648b54e4af agent2.exe 34/37 (nProtect,PCTools,VirusBusterスルー)
http://www.virustotal.com/analisis/7c5d18a814a925e3492c2ff585aa3aaa agent3.exe 33/37 (Authen., PCTools, Sophos, VirusBusterスルー)
http://www.virustotal.com/analisis/f147cb3ac33a63c352477f6182f6c1f7 agent4.exe 26/37 (Authen., Clam, DrWeb, eSafe, eTrust, FProt,Norman, PCTools, Sophos, TrendMicro,Virobotスルー)
http://www.virustotal.com/analisis/b60f05ed490c4478d5c7fabb73537fe5 bkdoor0.exe 29/37 (AhnLab, CAT, Clam, eSafe, eTrust, PCTools, Sophos, TrendMicroスルー)
http://www.virustotal.com/analisis/f4c866d0cef0702778f92de7f8379248 bkdoor1.exe 32/39 (Clam,Comodo,eSafe,Panda,PCTools,Prevx,Sophosスルー)
http://www.virustotal.com/analisis/2b7f1daab74353b67e7668db559b89f4 bkdoor2.exe 28/39 (Authen,Clam,Comodo, eSafe,eTrust,FProt,nProtect,PCTools,Prev,TrendMicro,VirusBusterスルー)
http://www.virustotal.com/analisis/f77b334056843d2b6147914c374c0b43 upk1.exe 35/39 (AhnLab, Clam,eTrust, Prevスルー)
・注意事項;ポリシー?、拡散度低い?(検体がベンダーに認識されていない?) VTと新Ver.での検出結果の相違
>>292 >VTと新Ver.での検出結果の相違
これがまだまだ気になるよね
SymantecとKasperskyとPandaの他にDr.webとRisingはVTと最新バージョンでは違うみたいだね
Dr.webは最新版はヒューリスティックが強力(?)でRisingは最新版はアップデート回数が増えてるみたいだね
RisingはNortonの2007以前と2008以降みたいな感じかな?
他のベンダーはどうだろう?
BitDefenderはVTのエンジンが古いからやっぱり最新版は違うのかな?違うんだったら興味がわくけど
Risingは数年前から1日3回だよ
>>202 NortonInternetSecurity2009追加検出
Packed.Generic.187:InstallAVg_77025309.exe
8/12
>>295 Risign2009のパターンファイルバージョンはそれまでのRisingのパターンファイルとは違うみたいだけど?
パターンファイルは違うけど2009でも一日3回とか?
>>241 McAfeeVirusScan+ActiveProtection
検出数だけ
28/48
>>296 20.xx.zzが2008向けの定義やプログラムのバージョン表記
21.yy.zzが2009向けの定義やプログラムのバージョン表記
パターンファイルの中身が違うかどうかはわからないけど更新頻度は同じだよ
ちなみに、中国が春節のため土曜日から更新なし
Rising 2009 21.22.50 (21.13.50.00) Last Update Time=2009-01-24 10:31
↑ ↑
プログラム 定義
ClamAVの返答…えーと、どの検体だろう?
11ファイルあるので、Marware-Packxxのどれかだとは思いますが。
ttp://lurker.clamav.net/message/20090126.130632.5e5ad5e4.en.html Submission-ID: 6298407
Added: Trojan.Fakealert-1414
Added: Trojan.Dropper-18514
Added: Trojan.Agent-70909
Added: Trojan.Downloader-67635
Added: Trojan.Fakeav-41
Added: Trojan.Zbot-2961
Added: Trojan.Zbot-2962
Added: Trojan.Spy-58983
Added: Trojan.Downloader-67636
Added: Trojan.Fakeav-42
Added: Trojan.Spy-58984
>>300 PandaGlobalProtection2009とNortonInternetSecurity2009はガチスルーだったので提出しました
「ガチ」はなんか嫌だ
「VT上でスルー」じゃなく「実機でもスルー」だからガチスルーということで
嫌、「ガチ」が気に障るだけだw そこんところはスルーしていいよ
あとMcAfeeの報告は止めました どうも仮想環境が上手く構築できないから現時点ではこれ以上のベンダーの検出報告は無理だorz(avast!はAntiVirとの併用が奇跡的に不具合なく快適に動かせるんだが・・・) McAfeeActiveProtectionは興味あるしBitDefender2009とかも動かしてみたいんだが・・・・ VMwareのゲストOSをVistaかXPにするにはどうしたらいいんだろう・・・?やっぱり新たにOSのライセンス購入しなきゃいけない?(ちなみに実機のOSはVista) こんな恥ずかしい質問してすいません、どうも仮想環境には慣れてないから上手く使いこなせない
VirusBusterに送ってみたけど 優先度lowとか書いてあるしやる気なさそうだな せっかく送ってやったのに糞の癖に生意気
310 :
[―{}@{}@{}-] 名無しさん@お腹いっぱい。 :2009/01/28(水) 03:51:49
311 :
名無しさん@お腹いっぱい。 :2009/01/28(水) 06:15:05
表示環境によっては、手が当たって踏むリスクのある人があるので、
マルウェアソース晒す人は、"
http:// " 入れるのやめよう (h一個だけ抜きも不十分)
直リンするバカは放置でいいよ
314 :
名無しさん@お腹いっぱい。 :2009/01/28(水) 08:28:51
310さん サイト見たらマカフィーて以外に対応早くていいのね
>>308 >>309 thx
無事仮想環境構築できたならMcAfeeActivrProtectionの報告をするつもりです
本当はESETやKasperskyのライセンスを持ってるけど既にお客さんがいるためここら辺の検出報告は控えてるという状況です
>>310 avast!4.8
一番上
Other:Malware-gen
ちなみに一番上のファイルはAntiVirとPandaとNortonはスルーでした
これだけ見るとavast!の誤検出なのかな・・・・?
重複してもいい。送付漏れする位なら。
>>314 最近はMcAfeeとNortonとPandaとESETとavast!が頑張ってるという感じだね
前者3つのベンダーは新エンジンに伴って検出率が向上した感じ
>>312 > 表示環境によっては、手が当たって踏むリスク
それどころかプリフェッチとかあるからな。
>>310 AntiVir
ansigen.exe
[DETECTION] KIT/DOS.Ansigen construction kit
mass produced code\PS-MPC.COM
mass produced code.zip
--> PS-MPC.COM
[DETECTION] VKIT/PSMPC virus
nowhere utilities20.zip
NotDetected
BitDefender10Free
nowhere utilities20.zip=>CIPHER.COM Infected: BAT.Calhob.A@mm
nowhere utilities20.zip=>FAKEFILE.COM Detected: Application.Fakefile.A
nowhere utilities20.zip=>RESIZE.COM Detected: Application.Fileresizer.A
ansigen.exe Infected: Trojan.Constructor.Dos.Ansigen.A
mass produced code.zip=>PS-MPC.COM Infected: Constructor.PS-MPC
321 :
306 :2009/01/28(水) 16:30:21
>>308 無事VPCでxpを構築することができました
ありがとう、これで検出報告するベンダーを増やすことができる
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=208 virus
>>300 (tane0207.zipの中の偽装jpeg)から呼ばれるもので404になっていないものを幾つか拾ってみました。
img20081223085209.jpgは同梱されていますが、>300のものです。
img20081223085209.jpg : Trojan-Downloader.HTML.IFrame.if(Kaspersky)
CursorManiaFFSetup2.0.4.0.exe : not-a-virus:AdTool.Win32.MyWebSearch.bm(Kaspersky)
goldfish.xls.scr : Worm:Win32/Yaha.F@mm(Microsoft)
golden-keylogger.zip : not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
GoldenKeylogger-setup.exe : not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
Document003.pif : Worm:Win32/Sobig.A@mm(Microsoft)
phone_number2.pif : Worm:Win32/Netsky.T@mm(Microsoft)
movie0045.pif : Worm:Win32/Sobig.F@mm(Microsoft)
sensitive.pif : Virus:Win32/Magistr.B@mm(Microsoft)
hello.zip : Trojan-Proxy.Win32.Delf.ce(Kaspersky)
一応入手元
ttp://ak ■imgfarm■com/images/nocache/funwebproducts/2■0■4■0/CursorManiaFFSetup2■0■4■0■exe
ttp://www ■calistra■com/virus/goldfish■xls■scr
ttp://www ■golden-keylogger■com/golden-keylogger■zip
ttp://seti ■sentry■net/archive/bioastro/2003/Feb/att-0025/Document003■pif
ttp://www ■abisource■com/mailinglists/abiword-dev/2005/Jun/att-0006/phone_number2■pif
ttp://lists ■w3■org/Archives/Public/site-comments/2003Aug/att-0008/movie0045■pif
ttp://lists ■w3■org/Archives/Public/www-dom/2001OctDec/att-0204/sensitive■pif
ttp://www ■geocities■com/lelele111111/hello■zip
追記 殆どのものが古めのもののようで、対応されている率が高かったです。 カスペ返答 返答に検出名称はありませんでしたが、なにかすりぬけ分があったようで。 New malicious software was found in the attached file. Its detection will be included in the next update. マカフィー File Name Findings Detection Type --------------------|---------------------------------|------------ cursormaniaffsetup2.|current detectionadware-websearch|Application document003.pif |current detectionw32/sobig.a@mm |Virus file_id.diz |inconclusive | goldenkeylogger-setu|current detectionkeylog-goldenkey|Application goldfish.xls.scr |current detectionw32/yaha.g@mm |Virus hello_01.exe |variant detectiongeneric.eo |Trojan hello_02.exe |variant detectiongeneric.eo |Trojan hello_03.exe |variant detectiongeneric.eo |Trojan hello_04.exe |variant detectiongeneric.eo |Trojan hello_05.exe |variant detectiongeneric.eo |Trojan hello_06.exe |variant detectiongeneric.eo |Trojan img20081223085209.jp|current detectionvbs/generic@mm |Virus movie0045.pif |current detectionw32/sobig.f@mm |Virus phone_number2.pif |current detectionw32/netsky.t@mm |Virus sensitive.pif |current detectionw32/magistr.b@mm|Virus
325 :
306 :2009/01/28(水) 17:38:03
>>322 avast!4.8
CursorManiaFFSetup2.0.4.0.exe:Win32:Adware-gen [Adw]
Document003.pif:Win32:Sobig [Wrm]
goldfish.xls.scr:Win32:Yaha-E [Wrm]
img20081223085209.jpg:VBS:LoveLetter-C [Wrm]
img20081223085209.jpg:VBS:LoveLetter-C [Wrm]
movie0045.pif:Win32:Sobig-F [Wrm]
phone_number2.pif:Win32:Netsky-T [Wrm]
sensitive.pif:Win32:Magistr
>>322 Fortinet:
新規対応分
CIPHER.COM - Misc/Cipher
CRYPTCOM.COM - HackerTool/Cryptcom
FAKEWARE.COM - Misc/Toolfkw
REPLACE.COM - HackerTool/CoverFile
既知の分:
ansigen.exe - W32/ConstructionKit
FAKEFILE.COM - Misc/Toolfkf
PS-MPC.COM - PSMPC.A!tr
hello.zip/hello/hello_01.exe - W32/Delf.CE!tr
hello.zip/hello/hello_02.exe - W32/Delf.CE!tr
hello.zip/hello/hello_03.exe - W32/Delf.CE!tr
hello.zip/hello/hello_04.exe - W32/Delf.CE!tr
hello.zip/hello/hello_05.exe - W32/Delf.CE!tr
hello.zip/hello/hello_06.exe - W32/Delf.CE!tr
img20081223085209.jpg - HTML/IFrame.CUQ!tr
movie0045.pif - W32/Sobig.F@mm
phone_number2.pif - W32/Netsky.T@mm
sensitive.pif - W32/Magistr.B@mm
>332 AviraPremiumSecuritySuit CursorManiaFFSetup2.0.4.0.exe [DETECTION] Contains recognition pattern of the ADSPY/AdSpy.Gen adware or spyware Document003.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.A worm golden-keylogger.zip [0] Archive type: ZIP --> GoldenKeylogger-setup.exe [DETECTION] Contains recognition pattern of the DR/GoldenKeylogger.130 dropper goldfish.xls.scr [DETECTION] Contains recognition pattern of the HTML/Dldr.Agen.QV.1 HTML script virus hello.zip [0] Archive type: ZIP --> hello/hello_01.exe [DETECTION] Is the TR/Spy.Banker.cjo Trojan --> hello/hello_02.exe [DETECTION] Is the TR/Spy.Banker.cjo Trojan --> hello/hello_03.exe [DETECTION] Is the TR/Spy.Banker.cjo Trojan --> hello/hello_04.exe [DETECTION] Is the TR/Spy.Banker.cjo Trojan --> hello/hello_05.exe [DETECTION] Is the TR/Spy.Banker.cjo Trojan --> hello/hello_06.exe [DETECTION] Is the TR/Spy.Banker.cjo Trojan [DETECTION] Is the TR/Spy.Banker.cjo Trojan movie0045.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.F worm phone_number2.pif [DETECTION] Contains recognition pattern of the WORM/Netsky.#1 worm sensitive.pif [DETECTION] Contains recognition pattern of the W32/Magistr.B5 Windows virus
328 :
名無しさん@お腹いっぱい。 :2009/01/28(水) 17:42:48
329 :
名無しさん@お腹いっぱい。 :2009/01/28(水) 17:50:18
>>322 NOD32 v3.0定義3805
9/9
CursorManiaFFSetup2.0.4.0.exe Win32/AdInstaller アプリケーション
Document003.pif Win32/Sobig.A ワーム
goldfish.xls.scr Win32/Yaha.E ワーム
img20081223085209.jpg HTML/TrojanDownloader.Agent.NAX トロイの木馬
movie0045.pif Win32/Sobig.F ワーム
phone_number2.pif Win32/Netsky.T ワーム
sensitive.pif Win32/Magistr.29188 ワーム
golden-keylogger.zip
->GoldenKeylogger-setup.exe Win32/GoldenKeylogger.132 アプリケーション
hello.zip
->hello_01.exe Win32/TrojanProxy.Delf.CE トロイの木馬
(以下02〜06まで同名で検出)
sensitive.pifはワームとして検知しましたが、全削除されずに残りました。
ファイルサイズが変化しているので、危険な部分だけ削除しているのかも。
>>324 > filename: CursorManiaFFSetup2.0.4.0.exe
> result: See the developer notes
よく見かける
See the developer notes
の意味が分からない。
黒、白、リスクウェア、どっち?
教えてエロい人
>>331 解析中という見方が正しいけど検体送って数日経ってこういうメールが来る場合がある
その場合は白と見ても良いと思う、その後も対応する気配が感じられないから
>>333 今は仮想環境構築にまだ苦戦状態なので検出数の報告だけで
どうしようもなかったらまたスレチ失礼ながらも質問するかもしれません(そうならないように出来るだけがんばります)
PandaGlobalProtection2009
10/12
>>333 avast!4.8とAviraPremiumSecuritySuit
ともに10/12
>>333 NortonInternetSecurity2009
9/12(うち一つは2009ヒューリスティックエンジンで検出)
とりあえず仮想環境についていろいろと調べてみた結果、やはりOSは新たに買ってきた方がスムーズにいきそうですね・・・
>>308 さんが挙げてくれたファイルは確かにxpを展開できたけど英語版なせいか日本語サイトは文字化け起こすわMcAfeeセットアップファイルも起動することが出来なかったので仮想環境でもう一つ検出報告追加はまだまだ後になりそうです(予算検討のため)
>>331 >See the developer notes の意味が分からない。
書かれている通り、「デベロッパーノートを見ろ」。
メールの後半に「Developer notes:」という項目があってそこに書かれている。ほぼこの定型文がくると思っていい。
>xxxx.exe Our automation was unable to identify any malicious content in this submission.
>The file will be stored for further human analysis
自動処理できなかったので、将来人手で解析するファイルとして蓄積しましたということ。
黒とも白ともリスクウェアとも判別されていない状態。
シマンテックからの回答は基本的にこれでクローズ。人手で解析した結果の報告までは来ません。
シグネチャを自動化してるベンダーってSymantecとあとどこら辺? McAfeeやPandaとかも企業規模が大きいからシグネチャの自動化はしてそうな感じはするけど Kasperskyは前に全て人手で行ってると聞いたけど今はどうなんだろう?
Rising 2009 21.23.20 (21.14.20.00) Last Update Time=2009-01-28 10:33
>>322 CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>M3OUTLCN.DLL: Adware.MyWebSearch.e
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3WPHOOK.DLL: Trojan.Win32.Undef.aun
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3SCHMON.EXE: Adware.Msearch.a
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3HTTPCT.DLL: Adware.MyWebSearch.d
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE: <Unknown virus>
Document003.pif: Worm.SoBig
golden-keylogger.zip>>GoldenKeylogger-setup.exe>>rView.exe: Trojan.Spy.Agent.asm
goldfish.xls.scr: Worm.Mail.Lentin.w
hello.zip>>hello/hello_01-06.exe: Trojan.Proxy.Delf.jt
movie0045.pif: Worm.Sobig.f
phone_number2.pif: Worm.Mail.Win32.NetSky.daq
sensitive.pif: Win32.Magistr
8/9
>>333 4\ldr.exe: Trojan.Clicker.Win32.Undef.gj
1/12
>>339 マカフィーも自動だな。
Dr.Webもパスワードinfectedで送ってたら、自動処理できないので、virusにしてくれって言ってきた。
トレンドマイクロも自動かな?
あとはMicrosoftも自動っぽい気がする。
>>333 Symantecから
未検出分のみ提出ものから返答
filename: WinDefender2009.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: This file is detected as W32.Waledac.
filename: iMunizatorSetup.dmg
machine: Machine
result: See the developer notes
で、10/12
>>341 ウイルス解析規模が大きいところは大体自動化してるみたいだね
McAfeeとPandaはクラウドベースのシステム的に自動化のほうが理にかなってるし
AVGはどうだろう?
343 :
名無しさん@お腹いっぱい。 :2009/01/28(水) 21:19:56
344 :
名無しさん@お腹いっぱい。 :2009/01/28(水) 21:30:04
>>333 11/12(0以外)
Detected Trojan program Trojan-Spy.Win32.Zbot.kvv tane0209.zip/Malware/1/r.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.lff tane0209.zip/Malware/2/system.lib
Detected Trojan program Trojan-Downloader.Win32.CodecPack.dxi tane0209.zip/Malware/3/antivirus.v.1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kza tane0209.zip/Malware/4/ldr.exe
Detected virus not-a-virus:FraudTool.Win32.SecurityCenter.ac tane0209.zip/Malware/5/av_2009glof.exe
Detected Trojan program Backdoor.Win32.Small.hiy tane0209.zip/Malware/6/load.exe
Detected virus not-a-virus:FraudTool.Win32.WinDefender.n tane0209.zip/Malware/7/WinDefender2009.exe//data0006
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch1
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch0
Detected Trojan program Trojan-Downloader.Win32.CodecPack.ejd tane0209.zip/Malware/9/tubeviewersetup.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan-Dropper.Win32.Agent.afsc tane0209.zip/Malware/a/c-setup.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bfiu tane0209.zip/Malware/b/tubeviewersetup.exe
検体提出します。(0)
8はMac OS X用か?珍しいな。
345 :
344 :2009/01/28(水) 21:30:19
カスペ2009
346 :
344 :2009/01/28(水) 22:10:03
>>333 カスペからの返事
11+事後検出1=12/12
0\tubeviewersetup.exe
Hello.
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan-Downloader.Win32.CodecPack.enc
>>333 NOD32 v3.0 定義3806
11/12
0\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WU トロイの木馬
1\r.exe Win32/Kryptik.FHの亜種 トロイの木馬
2\system.lib Win32/Spy.Zbot.GA トロイの木馬
3\antivirus.v.1.exe Win32/TrojanDownloader.FakeAlert.WW トロイの木馬
4\ldr.exe Win32/Spy.Zbot.FU トロイの木馬
5\av_2009glof.exe Win32/Adware.XPAntivirus アプリケーション
6\load.exe Win32/TrojanDownloader.Small.OJX トロイの木馬
7\WinDefender2009.exe Win32/Adware.IeDefender.NHAの亜種である可能性 アプリケーション
9\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.XG トロイの木馬
a\c-setup.exe Win32/Adware.IeDefender.NICの亜種 アプリケーション
b\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WR トロイの木馬
あそこは対応しないかもしれないけど、8の検体をEsetに送付しました。
>>348 AhnLabだって同じ結果だろ
なんでBitDefenderだけそう言うんだ
まあ凋落の一途って感じだけど
>>349 確かにこのスレでは検体は偏ってるし何も参考にはならないだろうとは思うけど他の大手ベンダーが軒並みほとんど検出できてるのにBitDefenderはほとんど検出できてないのはどうかと・・・
ESETですらほとんど検出できてるのに、それにAhnlabと比較されるBitDefenderって・・・
BitもVTエンジンは古いから最新版だったら検出できるって話しならまた違ってくるけど
ESETですらってなんだよ 優秀な方だよ
>>352 ESETは最近はすごく頑張ってるけどそれまでは本当にダメダメだったんだけど(このスレでは)
以前までのESET:このスレにうpされた検体はほとんどスルー、検体提出しても対応してくれる気配がない
今のESET:このスレでうpされた検体はよく検出してくれる、スルーした検体を提出すると最速とまではいかないけど対応が速くなった
>>353 だからなんだよ
このスレ的には不適切じゃないか
まあ誹謗中傷ではないから良いのかな
まああまり適切とは思えないから終わりにしろよ
>>354 スマソね
ま、ESETがどうしてこんなに良くなったのかそのきっかけはわからないけどとにかく本当に好印象なベンダーになったね
このまま頑張って欲しいですね
というわけでまた新たに未検出検体が対応されたら報告します
ESETの対応が好印象に変化したというのは、実感してる。ただ、
>>1 をよく見て欲しい。
>特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
余計な書き込みでスレ埋め立てないように注意しながら検出可否確認してこうぜ。
お前が言うな
ESETもMcAfeeもちょっと前まで絶望感と悲壮感が漂ってたけど今は見事に復活したからBitDefenderもいつかは復活したらいいなとは思う
>>333 AntiVir全検出確認
>>359 該当するIPなし。名前解決できないので、検体入手不可能。鑑定目的ならお引き取りください。
検体提出なら、>1のアプロダに置いてください。
>>333 Fortinet:
We will add detection for these samples in the next regular update.
The samples you submitted will be detected as follows:
Malware\0\tubeviewersetup.exe - W32/Agent.FBZ!tr.bdr
Malware\1\r.exe - W32/Zbot.KVV!tr.spy
Malware\2\system.lib - W32/Zbot.LFF!tr.spy
Malware\3\antivirus.v.1.exe - W32/CodecPack.DXI!tr.dldr
Malware\4\ldr.exe - W32/Zbot.KZA!tr.spy
Malware\5\av_2009glof.exe - Misc/SecurityCenter
Malware\6\load.exe - W32/Small.HIY!tr.bdr
Malware\7\WinDefender2009.exe - Adware/WinDefender
Malware\8\iMunizatorSetup.dmg - Misc/IMunizator
Malware\9\tubeviewersetup.exe - W32/CodecPack.EJD!tr.dldr
Malware\a\c-setup.exe - W32/Agent.AFSC!tr
Malware\b\tubeviewersetup.exe - W32/Agent.BFIU!tr.dldr
AntiVirFree(他のファイルはスルー) 14.htm : HTML/Crypted.Gen HTML script virus a1.css : R/Dropper.Gen Trojan Bfyy.htm : HTML/Shellcode.Gen HTML script virus cx.htm : HTML/Rce.Gen HTML script virus fx.htm : JS/Dldr.IFrame.JD Java script virus lzz.htm : HTML/Dldr.Agent.SB HTML script virus new.html : HTML/Malicious.ActiveX.Gen HTML script virus play.scr : DR/PcClient.agv dropper real10.htm : EXP/RealPlr.CT exploit real11.htm : HTML/Rce.Gen HTML script virus sina.css : R/Crypt.XDR.Gen Trojan b05.css : R/Crypt.XDR.Gen Trojan playonline\1.css : R/Inject.ntg Trojan playonline\ff.swf : SWF/Dldr.Tiny.D SWF virus playonline\flsp.exe : R/Inject.ntg Trojan playonline\fx.htm : JS/Dldr.Agent.PZ Java script virus playonline\ie.swf : Contains the SWF/Dldr.Tiny.D.1 SWF virus playonline\index.htm : JS/Dldr.Agent.HZ Java script virus playonline\Ms06014.htm : HTML/Rce.Gen HTML script virus playonline\real.htm : EXP/RealPlr.CT exploit playonline\real.html : HTML/Shellcode.Gen HTML script virus xin\ani.asp : EXP/Ani.Gen exploit xin\ani.c : EXP/Ani.Gen exploit xin\index.htm : HTML/Dldr.Nilag.bqz HTML script virus xin\Ms06014.htm : JS/Dldr.Agent.ZY Java script virus xin\Ms06046.htm : JS/Bofra.A.1 Java script virus xin\Ms07004.js : EXP/JS.MS07-004 exploit xin\xia.exe : R/Dropper.Gen Trojan xin\Yahoo.htm : HTML/Shellcode.Gen HTML script virus
AntiVirでスルーするファイルのうち、2ファイルは他ベンダーでは検知。 残る8ファイルはVirusTotalでは検知なしのファイルでした。 playonline/ss.htm : Exploit.JS.Agent!IK(a-squared) playonline/off.htm : Trojan-Downloader.JS.Small.mr(Kaspersky)
>>363 PandaGlobalProtection2009
とりあえず検出数だけ(詳細な報告は今はちょっとできません)
8個検出(ヒューリスティック検出はなし)
>>363 NortonInternetSecurity2009
16個検出(うちヒューリスティック検出一つ)
詳細な報告はできなったけどPandaとSymantecに提出してきます
>>363 ftpで一括提出予定(McAfee側の準備に2日程必要)
へー、McAfeeもでかいファイルは別途FTPなのか
NOD32 v3.0 定義3809 14個検出。未検出ファイルのみ、zip圧縮でEsetへメール送信しました。 a1.css Win32/TrojanDownloader.Agent.OQW トロイの木馬 b05.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性 トロイの木馬 play.scr Win32/PcClient.NCRの亜種 トロイの木馬 playonline\fx.htm JS/TrojanDownloader.SWFlash.J トロイの木馬 playonline\ie.swf SWF/TrojanDownloader.Small.DJ トロイの木馬 playonline\Ms06014.htm VBS/TrojanDownloader.Psyme.NFF トロイの木馬 playonline\off.htm JS/Exploit.CVE-2008-2463 トロイの木馬 sina.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性 トロイの木馬 xin\ani.asp Win32/TrojanDownloader.Ani.Genの亜種 トロイの木馬 xin\ani.c Win32/TrojanDownloader.Ani.Genの亜種 トロイの木馬 xin\Ms06014.htm JS/TrojanDownloader.Psymeの亜種である可能性 トロイの木馬 xin\Ms06046.htm JS/Exploit.CVE-2008-4844.gen トロイの木馬 xin\xia.exe Win32/PSW.QQShouの亜種である可能性 トロイの木馬 xin\Yahoo.htm HTML/Exploit.IframeBof トロイの木馬
>>363 カスペ2009 18:45:00
全部スルー ( ノ∀`)アチャー
検体提出します。
さて、どうやって提出しようか検討中。(いつもは個別送付)
372 :
371 :2009/01/29(木) 19:39:18
>>363 カスペ2009+新エミュレータ 22/39 @6:16:00
Detected Trojan-Dropper.Win32.Agent.afws a1.css//FSG
Detected Trojan-Dropper.Win32.Agent.abku b05.css//PE_Patch.UPX//UPX
Detected Backdoor.Win32.PcClient.abwo play.scr//data0002
Detected Trojan.Win32.Inject.ntg playonline/1.css
Detected Trojan-Downloader.SWF.Small.dj playonline/ff.swf//Swf2Swc
Detected Trojan.Win32.Inject.ntg playonline/flsp.exe
Detected Trojan-Downloader.JS.SWFlash.j playonline/fx.htm
Detected Trojan-Downloader.SWF.Small.dj playonline/ie.swf//Swf2Swc
Detected Trojan-Downloader.JS.Psyme.anc playonline/Ms06014.htm
Detected Trojan-Downloader.JS.Small.mr playonline/off.htm
Detected Exploit.JS.Agent.aay playonline/real.htm
Detected Exploit.JS.Agent.aax playonline/real.html
Detected Exploit.JS.XMLPars.v playonline/ss.htm
Detected Trojan-Dropper.Win32.Agent.abku sina.css//PE_Patch.UPX//UPX
Detected Exploit.Win32.IMG-ANI.ac xin/ani.asp
Detected Exploit.Win32.IMG-ANI.ac xin/ani.c
Detected Trojan-Downloader.HTML.IFrame.dv xin/index.htm
Detected Trojan-Downloader.JS.Psyme.kf xin/Ms06014.htm
Detected Exploit.JS.Agent.yq xin/Ms06046.htm
Detected Trojan-Downloader.JS.VML.a xin/Ms07004.js
Detected Trojan-Downloader.Win32.Delf.jfj xin/xia.exe
Detected Exploit.HTML.IESlice.z xin/Yahoo.htm
あれ?
373 :
371 :2009/01/29(木) 19:48:58
>>363 カスペ2009 19:27:00
22/39
>>372 と同一でした。
検体提出します。
スレ汚しすまぬ。orz
>>370 です。
NOD32 定義ファイル3810になったため、見逃したぶんを再検査(14+2→16)
\playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
\playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
>>368 ごめん、2分割でメールしちゃったんで提出済み。
>>363 Rising 2009 21.23.20 (21.14.20.00)
15個検出
b05.css>>upx_c: Trojan.Win32.Edog.bl
playonline\1.css: Trojan.Win32.Nodef.afb
playonline\flsp.exe: Trojan.Win32.Nodef.afb
playonline\index.htm: Trojan.DL.Script.VBS.Agent.ex
playonline\real.htm: Hack.Exploit.Script.JS.Agent.ik
real10.htm: Hack.Exploit.Script.JS.Agent.il
sina.css>>upx_c: Trojan.Win32.Edog.bl
xin\ani.asp: Hack.SuspiciousAni
xin\ani.c: Hack.SuspiciousAni
xin\index.htm: Trojan.DL.Script.JS.Agent.lyr
xin\Ms06014.htm: Trojan.DL.JS.Agent.lio
xin\Ms06046.htm: Hack.Exploit.Script.JS.Agent.ie
xin\Ms07004.js: Hack.Exploit.Script.JS.Vml.a
xin\xia.exe: Trojan.PSW.Win32.QQPass.qir
xin\Yahoo.htm: Hack.Exploit.YahooWebcam.a
マカフィー、
>>363 現時点の返答。この表、奇麗に投稿できないもんかなぁ。
File Name Findings Detection Type Extra
-------------|------------------|----------------------|------|-----
14.htm |inconclusive | | |no
a1.css |new detection |generic dropper |Trojan|yes
b05.css |current detection |downloader-ble |Trojan|no
b05.htm |inconclusive | | |no
bfyy.htm |inconclusive | | |no
cx.htm |inconclusive | | |no
fx.htm |inconclusive | | |no
index(1).htm |inconclusive | | |no
index(2).htm |inconclusive | | |no
index(3).htm |inconclusive | | |no
index.htm |inconclusive | | |no
lzz.htm |inconclusive | | |no
ms07004.js |current detection |generic downloader.o |Trojan|no
new.html |inconclusive | | |no
play.scr |inconclusive | | |no
real10.htm |current detection |exploit-realplay |Trojan|no
real11.htm |inconclusive | | |no
sina.css |current detection |downloader-ble |Trojan|no
style2224.jsp|inconclusive | | |no
yahoo.htm |current detection |js/exploit-bo.gen |Trojan|no
(続き) File Name Findings Detection Type Extra -------------|------------------|----------------------|------|----- 1.css |current detection |pws-mmorpg.gen |Trojan|no 1199.exe |inconclusive | | |no 2078759.js |inconclusive | | |no ani.asp |current detection |exploit-anifile.c |Trojan|no ani.c |current detection |exploit-anifile.c |Trojan|no ff.swf |current detection |generic downloader.bk |Trojan|no flsp.exe |current detection |pws-mmorpg.gen |Trojan|no fx.htm |inconclusive | | |no ie.swf |current detection |exploit-cve2007-0071 |Trojan|no index.htm |inconclusive | | |no index.htm |heuristic detectio|exploit-iframe.gen.h |Trojan|no l2.htm |inconclusive | | |no ms06014.htm |current detection |vbs/psyme |Trojan|no ms06014.htm |current detection |exploit-ms06-014 |Trojan|no ms06046.htm |current detection |exploit-xmlhttp.d.gen |Trojan|no off.htm |inconclusive | | |no real.htm |current detection |exploit-realplay |Trojan|no real.html |current detection |exploit-realplay.d.gen|Trojan|no ss.htm |inconclusive | | |no xia.exe |current detection |generic downloader.x |Trojan|no
ESETも返答返すようになってきたようだ。翌日には対応とは頑張ってる。いい感じだ。
>>322 …って、
>>330 で全検出の報告出てるがESETから返答来たので一応報告。1/28提出で翌日には対応。
Thank you for your submission.
The detection for this threat will be included in our next signature update.
>>333 こっちも次回更新で対応との返答。
>347で報告(11/12)されてるが、8の検体にも対応して全検出になってるか、確認よろしく。
Thank you for your submission.
The detection for this threat will be included in our next signature update.
>>363 テキストエディタで見ると、相互に呼び出しあっていて、複雑に分解させてるね。,
javaScriptを外部リンクに持ってきたり、iframe使ったり、リンク参照したり、…。
全部ひっくるめて機能する気がする。
単体では、Web作成上、よく使われるスクリプトも多い。
混ぜるな!危険、の硫化水素みたいだ。
既検出分も含め、総提出しないとダメか?
>>380 その辺の呼び出しスクリプトにも対応するか、本体だけ対応するかはセキュリティベンダーのポリシーで
対応状況変わるからねぇ。一通り提出はしてあるので、あとはベンダー次第かと。
>>363 Avira AntiVir
The files you have sent us represent a bigger collection of malware.
Our virus lab will check the files and integrate new signatures in one of our next updates.
AntiVirFree(エンジン 8.02.00.60/定義 7.01.01.202) 現時点で、>364と比較してみる (30は、364の29+(1199.exe)=30
(30/40)→(31/40)
>>363 トレンドマイクロ 追加で3種類の定義追加らしい
We are glad to inform you that the detection for the following malware below is now available for
downloading using CPR 5.804.06.
JS_DLOADER.TJP
VBS_PSYME.CLB
HTML_IFRAMEBO.CG
>>363 カスペからの返事
14.htm_ - Trojan-Downloader.JS.Agent.dkv
fx.htm - No malicious code was found in this file.
その後、17ファイル再度送ったら、回答待ち。
優先順位低いと思われているのかな。
まあ、中途半端なファイルが多くて、agentに入れるかどうか迷ってんのかね。
>>363 Fortinet.
Some of the samples you sent should already be detected:
xin/ani.asp - W32/MalFormedani.C
xin/ani.c - W32/MalFormedani.C
xin/index.htm - JS/Agent.CG!tr.dldr
xin/Ms06014.htm - JS/Psyme.KF!exploit
xin/Ms06046.htm - JS/MS08078!exploit
xin/Ms07004.js - JS/Vml.A!exploit
xin/Yahoo.htm - JS/ShellCode.A!exploit
b05.css - W32/Dropper.CDB!tr
Fortinet. (続き) We have recently added detection for other malwares.These signatures will be included in the next regular update. The samples you submitted will be detected as: playonline/ff.swf - SWF/Small.A!tr.dldr playonline/fx.htm - JS/FlashDownloader.A!tr.dldr playonline/ie.swf - SWF/Small.A!tr.dldr playonline/index.htm - JS/Multibreach.B!tr.dldr playonline/1.css - W32/Inject.NTG!tr playonline/flsp.exe - W32/Inject.NTG!tr playonline/Ms06014.htm - JS/Psyme.ANC!tr.dldr playonline/real.htm - JS/RealPlayer.D!exploit playonline/real.html - JS/Agent.AAX!exploit xin/xia.exe - W32/OnLineGames.FHW!tr.pws real10.htm - JS/RealPlayer.D!exploit real11.htm - JS/Agent.AAX!exploit 1199.exe - W32/Pcclient.abwo!tr.bdr a1.css - W32/Agent.JKG!tr Bfyy.htm - JS/Obfuscated.E!tr new.html - JS/Multibreach.B!tr.dldr off.htm - JS/Small.MR!tr.dldr ss.htm - JS/XMLParse.V!exploit
>>379 ESETは対応速度も速くなったけどヒューリスティックも良い感じに検出するようになったね
というかPandaもそうだけどESETはやはり他ベンダーと比べるとヒューリスティックでの検出が多いね
そりゃシグネチャスッカスカだからな
>>363 McAfee、ftpアップロード完了。
391 :
384 :2009/01/30(金) 20:47:11
カスペ2009 未だ、22+2=24/39で返事来ず。 順番が後回しにされているっぽい。orz だれか、代理提出お願いします。 提出しすぎてマークされているのかな。
392 :
384 :2009/01/30(金) 20:47:53
NOD32 V3.0 定義3812
>>370 ,
>>374 の続き 16+10→26 未検出ファイル17
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\ff.swf SWF/TrojanDownloader.Small.DJ トロイの木馬
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\real.htm JS/Exploit.RealPlay.NBF トロイの木馬
playonline\real.html JS/TrojanDownloader.Agent.NEJ トロイの木馬
playonline\ss.htm JS/Exploit.XMLPars.V トロイの木馬
xin\index.htm JS/TrojanDownloader.Iframe.DV トロイの木馬
xin\Ms07004.js HTML/Exploit.VML.NAQ トロイの木馬
完全対応は厳しそう。
>>390 1/1
4b3e8d9c0o7a1p5n6i0g7m.exe Win32/PSW.Gamania.NBF トロイの木馬
前後しますが
>>379 8の検体(MacOSのマルウェア)は未検出のままです。
>>390 PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A 4b3e8d9c0o7a1p5n6i0g7m.exe
>>388 それをいったらMcAfeeやPandaだってクラウドベースがなければスッカスカだぞw
393です。
>>363 の続きの検出結果でしたが、重複して報告してましたorz
検出数合計22/39に訂正。申し訳ないです。
398 :
384 :2009/01/30(金) 23:50:29
Rising 2009 21.23.40 (21.14.40.00) ここまで追加検出なし いまだ春節モードで検体放置中
>>390 VirusTotalで未検出の所へ提出
Ahnlab Customer , Authentium , Cat Computer , CA(eTrust Vet) , Fortinet , K7Computing , Panda ,
Rising Antivirus , VirusBuster , nProtect , Sunbelt , ViRobot
nProtectは検体のファイルを受け付けていないので、>390のあぷろだへのリンクとパスを書いて報告。
おおすごい お疲れ様です
Panda&Norton使いです これらとAntiVir&avast!を使い続けて気になったのはNortonやPandaはウイルス駆除するとき、再起動が必要な場合があるけどAntiVirとavast!は殆どない ウイルスを解凍→駆除のときに再起動が必要というのは他のベンダーではどうです?
AntiVirではないなぁ。その前に使ってたカスペもNOD32も駆除の後再起動は経験が無い。 本体更新での再起動位か。 起動させてから駆除したことはないので、ファイル書込み段階での駆除の話ですが。 スレ違いな気もするけど、どこのスレが適当だかわからんわ。
>>390 Fortinet:未検出→W32/Inject.NNH!tr.
流石に速いな。いつもカスペに次ぐ位の速度で対応してくるベンダーだけあるわ。
一般向けのセキュリティソフトをここが出してくれればなぁ…
>>403 >スレ違いな気もするけど、どこのスレが適当だかわからんわ。
そうなんですよね、確かにスレ違いだし「一番良い〜」のスレの方が妥当なのかもしれないけどあっちは完全な糞スレになっちゃってまともな会話ができない・・・
こちらのスレではいろんなソフトを使ってる方がいるということで少々テクニカルな話しもできるのではないかと
カスペはウイルス駆除で再起動とかはないんですか・・・・カスペは再起動がありそうなベンダーに見えたんですけどね
というかマルウェアの種類によっては どのセキュリティソフトでも再起動が必要な場合はある
BitDefenderから今頃になって返事が来た件
もうBitDefenderへの提出打ち切りが数週間経つから今頃返事来るなんて遅すぎだよ〜
しかも何の検体かわからん
Dear Sir/Madam,
The analysis of your files has been completed with the following results:
It's detected as Trojan.PWS.YJQ.
Please do not hesitate to send us even more suspect/infected files in the future.
Best regards,
Aurelian Neagu
BitDefender Technical Support Engineer
>>363 からSymantecの返事が来て「とりあえず解析中だからしばらく待ってろ」だって
Bitから返事貰ったことないぞ
>>363 シマンテック
ファイル9つづつに分けて、5分割で送信した回答。3つめの分がまだ未回答
っていうか、4つめのファイル名が2回来てるので、送付ミスったかも…。
提出 1/29(5件) 回答 1/29(3件) 1/31(2件/但し同じファイル)
検出名のあるもの
filename: flsp.exe
result: This file is detected as Trojan Horse.
http://www.symantec.com/avcenter/venc/data/trojan.horse.html filename: 1.css
result: This file is detected as Trojan Horse.
http://www.symantec.com/avcenter/venc/data/trojan.horse.html filename: real.html
result: This file is detected as Downloader.
http://www.symantec.com/avcenter/venc/data/downloader.html filename: ani.c
result: This file is detected as Trojan.Exploit.131.
filename: xia.exe
result: This file is detected as Infostealer.
http://www.symantec.com/avcenter/venc/data/infostealer.html filename: ani.asp
result: This file is detected as Trojan.Exploit.131.
filename: play.scr
result: This file is detected as Backdoor.Formador.
http://www.symantec.com/avcenter/venc/data/backdoor.formador.html filename: real11.htm
result: This file is detected as Downloader.
http://www.symantec.com/avcenter/venc/data/downloader.html 手動解析に回したという報告
index.htm , off.htm , Ms06014.htm , 1199.exe , l2.htm , real.htm , fx.htm , ie.swf ,
ss.htm , 2078759.js , ff.swf , index.htm , index(3).htm , real10.htm , index(1).htm ,
cx.htm , lzz.htm , Bfyy.htm , fx.htm , index(2).htm , index.htm , new.html , style2224.jsp
>>413 未検出の所は一通り提出
マカフィー(全スルー)
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe |inconclusive | | |no
a1.css |inconclusive | | |no
play.scr |inconclusive | | |no
>>413 PandaGlobalProtection2009
a1.cssのみ疑わしいファイルとして検出
>>413 乙です。
NOD32 v3.0 定義3814
a1.css Win32/Genetikの亜種である可能性 トロイの木馬
play\1199.exe Win32/PcClient.NCRの亜種 トロイの木馬
play.scr Win32/PcClient.NCRの亜種 トロイの木馬
>>413 NortonInternetSecurity2009はVirustotal通りの結果です
>>413 avast!4.8
play\1199.exe:Win32:Downloader-AZY [Trj]
>>413 カスペ、対応済みとの返答。Virustotalの定義が古かった?
1199.exe_,
play.scr_ - Backdoor.Win32.PcClient.abyk,
a1.css - Trojan-Dropper.Win32.Agent.agbj
These files are already detected. Please update your antivirus bases.
We will add detection for these samples in the next regular update. The samples you submitted will be detected as follows: a1■css - W32/Agent.AGB!tr play■scr - W32/PcClient.ABY!tr 1199■exe - W32/PcClient.ABY!tr
>>420 それはどこのベンダー?
検出名からNOD32っぽく見えるけど
…禁止ワードはこれか。orz(投稿に失敗したらしい) 1つ前のカスペの検出名投稿ではこけなかったのに。 ここに検出名投稿するのと前後して、他のBBSでDSBL規制にひっかかるのはなんでだー。 一昨日:BitDefenderの検出名10個位貼る→3回位失敗して諦める→他のBBSでDSBL規制にひっかかる →ISPに対応依頼を出してから、モデムの電源切ってIP変える 今日:カスペの検出名を貼る→他のBBSでDSBL規制にひっかかる→Fortinetの検出名貼るがこける 近いISPで誰かがspam垂れ流してるだけだと思うけど、規制に引っ掛かる直前にここの書込みを してる点が共通してるのが嫌すぎる。 >420は>413の検出名。ベンダーはFortinet。
>>421 ごめん、ベンダー名とアンカーを投稿修正時に間違って消してた。
あ、Fortinetかもしれないですね
>>404 AV-Comparativesでものすごい誤検出起こした結果を見るととても個人向けには扱えそうにないと思うんですが・・・・
Sophosも毎回ものすごい数の誤検出起こしてるから個人向けには出さない理由がわかる気がする(SpySweeperはあるけど)
関係ねえよ
んなこたあねえ
>>428 う〜ん、それがFireFoxだとブロックされて全く見れない状態なんだよね
FireFox(Google)の誤検出なのかな〜?
>>429 >このサイトで不審なコンテンツが最後に検出されたのは2009-01-18です。
って書いてあるでしょ
検出されたのはこの一回だけ
googleで何 検索しても「このサイトはコンピュータに損害を与える可能性があります。」って なるね。 さっきのFireFoxの件と関係ありそうだね。 なんかどっかで攻撃あんのかな?
本当だ Googleで何検索しても「このサイトはコンピュータに損害を与える可能性があります。」って出る Googleが何かの攻撃にやられたのかな?
ほんとだ googleが壊れてんのか
なんだよbid疑って悪いことをした
先生ご乱心ときいて
Google USもダメだな。 *内部的ミス **検索エンジン更新時のインストールミス☆ :**単純な設定ミス ★ +外部的ミス **第三者による攻撃 ***Who? ****政府 ****悪意のあるハッカー ****テロ組織 ****内部組織 ++種類 +++サイト改ざん ++目的 +++愉快犯 +++マルウェアのインストール目的 **方法 ***ボットネット ***SQLインジェクション ***DNSキャッシュポイズニング +++SEOポイズニング ****iFrame挿入攻撃 ★に2ペリカ、☆に1ペリカ
Googleは逝っちゃってるけどBitDefnderのサイトの件はヤフーで検索しても危険サイト扱いされるな(火狐だけだろうけど)
>>439 何度か出てるがFirefoxはGoogleのデータ使ってるから
bitdefenderは今も変わらないな
>>413 NortonInternetSecurity2009
Backdoor.Formador:play\1199.exe
これで全検出確認
SymantecとPandaは対応速度が安定してないのが欠点だな
>>447 >>2 ・ブラクラ禁止
ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません。
>>447 検出するベンダーもあるようですし、ブロックしてもよさそうではありますが、今回は提出せず。
>>241 McAfeeより返答。1/23提出分。
file.exe〜file(46).exe:generic.dx,vundo のどちらかの名称
NOD32 v3.0 定義3817
>>450 tane0215\a1.css Win32/Genetikの亜種である可能性
(アドバンスドヒューステリックによる検出)
Kingsoftからまとめて返答来ました。
>>122 1/19提出
既知:「ウイルス名:Win32.Troj.Crypt.DG.62506」他
>>145 1/20提出
キングソフトにおいてウイルスではないことが確認できましたことをご連絡いたします。
(え゛〜)
>>168 1/21提出
既知:「ウイルス名:Win32.Troj.Delf.78848」他
>>202 1/22提出
既知:「ウイルス名:Win32.Troj.Delf.gb.163840」
>>310 1/28提出
既知:「ウイルス名:> VTool.Ansigen.CD.42420 」他
一ヶ所、他って付け忘れてますので脳内補完お願いします。キングソフトは複数ファイルをアーカイブして送っても 1つしか検出名を書いてこないので、このような書き方になってます。ご了承ください。
>>363 カスペからの返事
22+3=25
カスペ的には、これでFAみたいね。
Hello,
2078759.js_, b05.htm_, Bfyy.htm_, cx.htm_, index(1).htm_, index(2).htm_, index(3).htm_, index(4).htm_, index.htm_, l2.htm_, real11.htm_, style2224.jsp
No malicious code were found in these files.
new.html_ - Trojan-Clicker.HTML.IFrame.aci,
real10.htm_ - Exploit.JS.RealPlr.ou
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
>>459 PandaGlobalProtection2009は疑わしいファイルとして検出
NortonInternetSecurity2009も検出
ちなみにPandaもNortonもダウンロード時に検出なので
>>459 のVirustotalの検体とは違うものだと思いますね
>>461 >459のVirustotalの結果は、ダウンロードしたファイルを解凍すると出てくるものですよ。
459で落ちてくるファイルそのものは、>457と同一です。 fc /b で比較してみてください。
NSISの解凍がわからないのでは。7-Zipで解凍できるよ。
ちょっと入れすぎたんで…検出結果報告どうすっかなぁ。 MaCafee 検出+拡張/総数=65+2/130 殆ど似たようなswfのファイルで検出するものとしないものが混ざってたり。 ノートン 130個中、97個分がすぐに自動回答きました(15分割したうち4ファイル分は返答来ていません) 47/90 既知のマルウェア 50/97 自動検出できず、手動解析に回す
>>464 AntiVir Free(マルウェア本体のexeで残ったのは2種類だけ)
ファイル:138
検出:117
疑惑:2
BitDefender10Free
ファイル:173(アーカイブ内のファイルも含む)
アーカイブ:4
ランタイムパッカー:18
感染しているオブジェクト:101
疑わしいオブジェクト:1
ウイルス識別:37(37種類?)
----- 参考までに、スパイウェア対策ソフトでもチェック -----
Ad-Aware
検出数 19ファイル(9種類)
Spybot
検出数 1(うち、ヒューリスティック1)
SuperAntiSpyware
検出数 0
>>466 464解凍後にMalwarebytesの右クリックスキャンでは検出数4だった
>>464 PandaGlobalProtection2009
とりあえず33個検出
実際にはどれだけ検出駆除できたかまだ調べてません
>>464 NortonInternetSecurity2009
73個検出
>>464 カスペ2009
97/126
(アーカイブで検知、さらにアーカイブを自動解凍してマルウェアを検知した場合は、2として計算せず、1として計算)
Trojan.Win32.Pakes.kad tt1.exe
Trojan.Win32.Inject.ntg flsp.exe
Trojan.Win32.Inject.ndf teamerblog/cer.exe
Trojan.Win32.Inject.ncz k1.exe
Trojan.Win32.Inject.ncz gawezuki/k1.exe
Trojan.Win32.Inject.dzc 001G000183/001G000183.exe
Trojan.Win32.Delux.eo play0nlink/ff11.exe
Trojan.Win32.Delux.bp play0nlink/t1.exe
Trojan.JS.Agent.kb teamerblog/Muma.htm、gawezuki/Muma.htm 「2」
Trojan.HTML.IFrame.ad gawezuki/Blog.htm
Trojan-PSW.Win32.Agent.ka tmsn.exe
Trojan-GameThief.Win32.OnLineGames.wkt mbspro6uic/ff22.exe
Trojan-GameThief.Win32.OnLineGames.skmj vip.dob3.cn/Baidu/mm.exe
Trojan-Dropper.Win32.Agent.zmr gameicity/ofed/mov.scr、 flsp.exe、 fls.exe 「3」18
Trojan-Downloader.Win32.Delf.jfj play0nlink/xia.exe、 mbspro6uic/xia.exe jerikoblog88fc2/xia.exe 、 dimorphothec/xia.exe 「4」
Trojan-Downloader.VBS.Psyme.pm teamerblog/Muma_1.htm、 gawezuki/Muma_2.htm 「2」
Trojan-Downloader.VBS.Agent.rm vip.dob3.cn/11.htm
Trojan-Downloader.JS.VML.a play0nlink/Ms07004.js
Trojan-Downloader.JS.Small.mr gameicity/off.htm
Trojan-Downloader.JS.SWFlash.j gameicity/fx.htm
Trojan-Downloader.JS.Psyme.kf play0nlink\Ms06014.htm、 jerikoblog88fc2\Ms06014.htm、 dimorphothec\Ms06014.htm 「3」
Trojan-Downloader.JS.Psyme.anc gameicity/Ms06014.htm
Trojan-Downloader.JS.Agent.dhv gawezuki/Ms06-014.htm
Trojan-Downloader.JS.Agent.dfv vip.dob3.cn/vip.htm
(つづく)
471 :
470 :2009/02/03(火) 15:48:01
>>470 の続き
>>464 カスペ2009@14:54:00
Trojan-Downloader.JS.Agent.cif vip.dob3.cn/live.htm
Trojan-Downloader.JS.Agent.bnc mbspro6uic/Ms06014.htm
Trojan-Downloader.HTML.IFrame.dv play0nlink/wugui.htm、 naizi.htm、 xinma.htm、 ma.htm 「4」
Trojan-Downloader.HTML.IFrame.dv mbspro6uic/naizi.htm、 jerikoblog88fc2/xinma.htm、 dimorphothec/ma.htm 「3」
Trojan-Downloader.HTML.Agent.nh vip.dob3.cn/fx.htm
Trojan-Clicker.HTML.IFrame.so k.js
Exploit.Win32.IMG-ANI.ac play0nlink/ani.c、 mbspro6uic/ani.c、 jerikoblog88fc2/ani.cdimorphothec/ani.c 「4」
Exploit.SWF.Downloader.lb vip.dob3.cn/i64.swf、 i47.swf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「6」
Exploit.SWF.Downloader.lb vip.dob3.cn/f47.swf 、 f45.swf、 f28.swf、 f16.swf、 s115.swf 「5」
Exploit.SWF.Downloader.eh e7zx.cn/i64.swf、 i47.dwf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「6」
Exploit.SWF.Downloader.eh e7zx.cn/f47.swf、 f25.swf、 f28.swf. f16.swf、 f115.swf 「5」
Exploit.JS.XMLPars.v gameicity/ss.htm
Exploit.JS.RealPlr.ny vip.dob3.cn/Real11.htm
Exploit.JS.RealPlr.nt vip.dob3.cn/rp10.htm
Exploit.JS.Agent.zs gawezuki/Muma_4.htm
Exploit.JS.Agent.yq play0nlink/Xunlei.htm、 jerikoblog88fc2/Ms06046.htm、vip.dob3.cn/bfyy.htm 「3」
Exploit.JS.Agent.aay gameicity/real.htm
Exploit.JS.Agent.aax gameicity/real.html
Exploit.HTML.IESlice.z play0nlink/Yahoo.htm、mbspro6uic/Yahoo.htm、jerikoblog88fc2/Yahoo.htm、dimorphothec/Yahoo.htm 「4」84
Exploit.HTML.Ascii.ai play0nlink/Ms06046.htm
472 :
470 :2009/02/03(火) 15:49:26
>>470 ,471の続き
>>464 カスペ2009@14:54:00
Backdoor.Win32.PcClient.acak Start.pif 、 play\1199.exe、 play.scr、 1.exe 「4」
Backdoor.Win32.Agent.obd ff11goodstory0808111/ff11goodstory0808111.exe
Worm.Win32.Otwycal.bq gameicity/1.css
Rootkit.Win32.Agent.gaf ko.exe
*ヒューリスティック検知
HEUR:Trojan-Downloader.Script.Generic gawezuki/Ms06-014_3.htm、 gameicity/no.htm、 gameicity/14.htm、 teamerblog/Ms06-014.htm 「4」
HEUR:Exploit.Script.Generic gameicity/real(1).html、 nct.htm 「2」
以上
>>470-472 検体提出します。
ファイル名とか書くなって どこまで馬鹿なの?
NOD32 v3.0 定義3821
>>464 さすがに多いので検出数のみの報告です。
感染オブジェクトの合計数/検査したオブジェクトの合計数=87/138
>>464 カスペ返事 大量報告又すまぬ。(
>>473 )推定97+11=108/126(2白)
flink.html_ - Trojan-Downloader.JS.SWFlash.ai
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dlw *
Ms06-014_1.htm_ - Trojan-Downloader.JS.Agent.dlu
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dlt
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dls *
ilink.html_ - Trojan-Downloader.JS.SWFlash.aj
real(1).htm_ - Exploit.JS.RealPlr.ov *
play.htm_ - Trojan-Downloader.JS.Iframe.agm
no.htm_ - Trojan-Downloader.JS.Agent.dlv *
ifl.html_ - Trojan-Downloader.JS.SWFlash.aj
14.htm_ - Trojan-Downloader.JS.Agent.dlx *
index.htm_ - Trojan-Downloader.JS.Iframe.agl
Muma_1.htm_ - Exploit.JS.Agent.abo
zuo.htm_ - Trojan-Downloader.JS.Iframe.agk
no.htm_ - Trojan-Downloader.JS.Agent.dlv
Ms06-014_1.htm_(TeamerBlog) - Trojan-Downloader.JS.Agent.dma
vir.exe, ffl.htm 2つ白
>>464 AntiVir回答。
流石に検出名とか新種の数は書いてこなかった。その手間を他の検体の解析と対応に振り向けて下され>ベンダー担当者
We found some new viruses in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
Rising 2009 21.24.10 (21.15.10.00)
>>363 a1.css>>fsg2.0: Trojan.DL.Win32.Mnless.cbt
play.scr
>>1199 .exe: Backdoor.Win32.PcClient.qyy
15+2個
>>413 a1.css>>fsg2.0: Dropper.Win32.Undef.oc
play\1199.exe: Backdoor.Win32.PcClient.qyy
play.scr
>>1199 .exe: Backdoor.Win32.PcClient.qyy
3/3
>>450 a1.css>>fsg2.0: a1.css>>fsg2.0
1/1
まだ春節モード
>>464 Rising 2009
Files scanned: 157
Viruses found: 86
パッカー内検出もあるからファイル数はもう少し少ないと思われる
480 :
470 :2009/02/04(水) 01:42:35
>>464 カスペからの返事
97+20=117/126(うち3白)
Ms06-014_4.htm_ - Trojan-Downloader.JS.Agent.dmb (Teamerblogフォルダ)
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dmc
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dmd
FFISearch.htm, fc2.htm_ blog.htm,, play.htm_ - Trojan-Downloader.JS.Iframe.agm
office.htm_ - Trojan-Downloader.JS.Agent.dmg
ffl.html_ - Trojan-Downloader.JS.SWFlash.aj (←白から訂正)
flash(1).htm_- No malicious code was found in this file.
iff.swf - This file is corrupted.(破損)
VirustotalにNorton2009の拡張ヒューリスティックが適用されたっぽい
これでVirustotalのSymantecはバージョンがかなり古いけどNorton2009のパルスアップデートと拡張ヒューリスティックが適用されて実機での結果とVirustotalの結果に違いはなくなるかも
あとはカスペ2009のヒューリスティックとPandaにCollective Intelligenceを適用させれば完璧なんだが・・・
PandaのことはMcAfeeのActiveProtectionがVirustotalにあるんだからできるはず
でもVirustotalは本当にわからんサイトだな・・・
785 名前:八頭 ◆YAGApwSaEw [sage] 投稿日:2009/02/03(火) 22:21:50
ttp://i40.tinypic.com/157f977.jpg Suspicious.MH690 発動!
482 :
470 :2009/02/04(水) 14:39:32
>>464 カスペからの返事
97+22=119くらい/126でFA
Muma_3.htm_ - Exploit.JS.XMLPars.aa
jbbs578601.htm - Trojan.HTML.Agent.bj
flash.htm, l2.htm, ani.asp, fanity.htm, nify-demo.htm - No malicious code was found in this file.
fff.swf - This file is corrupted.(破損)
>>464 >465
>ノートン
>130個中、97個分がすぐに自動回答きました(15分割したうち4ファイル分は返答来ていません)
> 47/90 既知のマルウェア
(47/97の間違い)
> 50/97 自動検出できず、手動解析に回す
追加でもう1ファイル分返答あり
ノートン
130個中、97個分がすぐに自動回答きました(15分割したうち3ファイル分は返答来ていません)
47/106 既知のマルウェア
59/106 自動検出できず、手動解析に回す
>かぶってる気がするけど
それじゃこちらもとりあえず報告しますね
>>484 PandaGlobalProtection2009
ハッキングツールを検出 :Rootkit/Agent.LLE UPK1.EXE、FSG350.EXE、FSG1.EXE
疑いのあるファイル PETITE1.EXE
検出数4/5
>>484 avast!4.8
fsg1.exe、fsg350.exe:Win32:Rootkit-gen [Rtk]
pcclient1.exe:Win32:Downloader-AZY [Trj]
petite1.exe\[Petite]\[Embedded_I#3000]\[Embedded_Ix#0230]\[NsPack]:Win32:Small-IHH [Trj]
upk1.exe\[Upack]\[Embedded_I#0d550]:Win32:Trojan-gen {Other}
AviraPemiumSecuritySuite
fsg1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
fsg350.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
petite1.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
upk1.exe
[DETECTION] Is the TR/Drop.Agent.agck Trojan
>>484 NortonInternetSecurity2009
Suspicious.MH690:petite1.exe
Trojan.Dropper:fsg1.exe、fsg350.exe、upk1.exe
検出数4/5
VirustotalでSuspicious.MH690が出るかどうかも検証してみようと思います
それにしてもNortonのヒューリスティックは良くなってきた印象がありますね
>>484 d
カスペ2009 0:27:00
Detected virus HEUR:Trojan.Win32.AntiAV tane0217.zip/petite1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.agck tane0217.zip/upk1.exe
Detected Trojan program Backdoor.Win32.PcClient.acbn tane0217.zip/pcclient1.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aab tane0217.zip/fsg350.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aab tane0217.zip/fsg1.exe
HEUR:Trojan.Win32.AntiAVは初めて見た。AVKillerか?これだけ検体提出します。
>HEUR:Trojan.Win32.AntiAVは初めて見た
2009ヒューリスティックで検出のようですね
それにしても
>>488 を見るとNOD32は本当にヒューリスティックが強力というかヒューリスティックに依存しすぎというか・・・
McAfeeやPandaはクラウドベースがなければ検出率がかなり低くなるけどNOD32もヒューリスティックなければ検出率がかなり低くなりますね・・・
491 :
479 :2009/02/05(木) 01:08:14
Rising 2009 21.24.20 (21.15.20.00)
>>260 fccaWpME.dll,
ssQggfGX.dll,
tuvtRjGw.dll,
urqQjGWn.dll: Trojan.Win32.Nodef.ash
4/6
>>464 86+14=100
>>484 Rising 2009
fsg1.exe>>fsg2.0,
fsg350.exe>>fsg2.0,
upk1.exe>>upack0.39: Trojan.DL.Win32.Mnless.cbv
3/5
ちょっと古い話 12/11提出分トレンドマイクロより ・12/12 TROJ_SMALL.JCH HTML_WEBKIT.AC TROJ_REPL.BX JS_OBFUSCATED.AP ・02/05 JS_IFRAME.AAQ 追加で検出した分も報告が来た…けど、幾等なんでも今頃追加の検出言ってこなくてもw
>>493 BitDefenderとTrendMicroはそういうところおかしいよね
495 :
489 :2009/02/05(木) 01:51:09
>>484 カスペからの返事
petite1.exe - Worm.Win32.AutoRun.zii (← HEUR:Trojan.Win32.AntiAV)
New malicious software was found in this file.
検体提出しようと、各ベンダーの検出名を拾ってたら…警告記事の元になってるMcAfeeがスルーしてるのはなんでだー(笑) AntiVir : Worm/Zhelatin.N AVG : SHeur2.OOA CAT-QuickHeal : (Suspicious) - DNAScan F-Secure : Trojan:W32/Waledac.BL Kaspersky : Email-Worm.Win32.Iksmas.ed NOD32 : Win32/Waledac.AM SecureWeb-Gateway : Worm.Zhelatin.N Sophos : Troj/Dloadr-CGD
>>496-497 自動返答によると、拡張検出でMcAfee 対応してたっぽい。
画像をクリックするとexe落としてくるだけなので、htmが未検出なのは正常だと思う。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
expowale.com.htm |inconclusive | | |no
love.exe |new detection |generic downloader.z |Trojan |yes
>>496 SymatencとPandaに提出しました
・・・なんだけどどうも最近Pandaの調子が良くない
検体提出してるのに一向に対応する気配もCollective Intelligenceによるヒューリスティックで検出する気配も感じられない
Pandaの鯖がおかしいのかな
そういや、ESETも返事よこさないように戻った気がする。
>>496 カスペ返答
love.exe_ - Email-Worm.Win32.Iksmas.ed
あとPanda検疫からの検体提出ができなくなってるから確実にPanda側に問題あるだろうねこれは Panda検疫から提出しようとすると必ず提出失敗しましたと表示されるのが最近のPanda あとアップデートできなかった時もあったから仕方なくPandaのサイトから手動でアップデートしたこともあった
>>490 Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる。
NOD32はプロファイルに検査方法や検査対象を登録しておき、
そのプロファイルを指定してスケジュールを組むことが出来る。
プロファイルも自由に複数作成出来るから目的に応じた運用が可能だ。
例えば、書庫類等は検査済みフォルダと検査前フォルダを作成しておき、
検査前フォルダ内の書庫だけを定期的に高速検査するというような運用も行える。
他のAVだと書庫を対象とするか否かの2択しかないものが多く、ムダに時間が掛かる検査となり効率が悪い。
一度検査し安全が確かめられれば検査済みフォルダに移し、
検査済みフォルダの再検査は数か月に一度程度に減らすことで処理効率を上げるというような運用が他のAVでは難しい。
細かな設定をすることでNOD32は処理効率の良い運用が可能になっている。
NOD32は機関や企業や有名人等 狙われやすい人ほど役立つAV
一般人でもそのウイルス全体の70%を占める未知ウイルスから狙われることもある。
そこがESSのセールスポイント
未知ウイルスへの対応度 = ハッキングに対する対応度
ここにNOD32が研究機関や公的機関で主に採用されている理由がある。
違うとこでやってください
>>496 Symantecから
filename: love.exe
machine: Machine
result: This file is detected as W32.Waledac.
filename: expowale.com.htm
machine: Machine
result: See the developer notes
>>484 PandaGlobalProtection2009
pcclient1.exeを疑わしいファイルとして検出(Collective Intelligenceによる検出)
VirustotalでのSymantecがSuspicious.MH690検出結果表示出るようになったけどそれと同時にNorton2009で常駐スキャンでSuspicious.MH690が検出されるようになった(それまでは手動スキャンじゃなければ検出できなかった)
Pandaも常駐スキャン時でもCollective Intelligence検出が可能になればVirustotalでも反映されるんじゃないかと思う
それにPanda自身の検出率が大幅に上がるしね(その代り誤検出が増えそうな予感)
NOD32 定義3829
>>484 4/5
fsg1.exe Win32/Genetikの亜種である可能性
fsg350.exe Win32/Genetikの亜種である可能性
petite1.exe Win32/TrojanDownloader.Agent.OMQの亜種
upk1.exe Win32/Genetikの亜種である可能性
>>490 の言う通り、アドバンスドヒューステリック検出ばかりだな・・・。
検出できなかった検体は返事が来るか確かめるため(笑) メールでEsetに提出
1/1
love.exe Win32/Waledac.AM トロイの木馬
>>508 です。
>love.exe Win32/Waledac.AM トロイの木馬
書き忘れました・・・。
>>486 の検査結果です。
>>508 ヒューステリックだけど
アドバンスドヒューステリックではない
なんだよヒューステリックじゃないよ 訂正 ヒューリスティックだけど アドバンスヒューリスティックじゃないよ
ところで、検体は今日は3時以来ないね。 できれば、一括せず。こまめに出してほしいです。>< 20個くらいが限界。50〜100個を超えると辛い。 余談 VTのHispasec Sistemasってスペインの企業っぽいね。 Pandaとは一番話が通じそうなもんだけど。
>>510 え?「○○の亜種」はアドヴァンスドヒューリスティックでしょ
これが違うんだったらキヤノンのウイルス情報に書いてあることは間違いだってこと?
>>512 Virustotalもスペインの企業っぽいどころかスペインの企業
ただPandaのVirustotalの検出結果の不思議な現象はまずはPandaのクラウドベースが常駐スキャンでも検出できるようにならなきゃVirustotalに反映されないと思う
Norton2009の拡張ヒューリスティックがその例だからね
518 :
名無しさん@お腹いっぱい。 :2009/02/06(金) 08:46:12
>>517 全てvirustotalにおくったがそれぞれのURLを書いたエディタがフリーズしてしまったのでご容赦下さい。
>>516 McAfee
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
hbsj5j5j5.exe |inconclusive | | |no
online.scr |inconclusive | | |no
>>516 PandaGlobalProtection2009
二つとも疑わしいファイルとして検出
>>517 PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A sx.exe、hgz.exe
ウイルス発見 : Generic Malware ns.exe、nsis6.exe[cpush.tmp]
ウイルス発見 : Generic Trojan nsis2.exe[2OC\139.exe][2eC]
アドウェアを検出 : Adware/BaiduBar nsis2.exe[2OC\139.exe]
疑いのあるファイル UPK15.EXE、UPK1.EXE、PETITE1.EXE、PETITE2.EXE、upk0.exe、unknown9.exe、pcclient1.exe
>>517 avast!4.8
hgz.exe:Win32:Hupigon-LUP [Trj]
ns.exe\[ASPack]\[Embedded_I#0d384]:Win32:Rootkit-gen [Rtk]
ns.exe\[Embedded_R#MYDLL]\[PECompact]:Win32:Ceckno [Trj]
nsis2.exe\$TEMP\$TEMP\139.exe\$[35]\$R0:Win32:Adware-gen [Adw]
nsis6.exe\$COMMONFILES\PushWare\cpush.dll:Win32:BHO-GG [Adw]
pcclient1.exe:Win32:Downloader-AZY [Trj]
petite1.exe\[Petite]\[Embedded_Ix#7280]:petite1.exe\[Petite]\[Embedded_Ix#7280]
petite2.exe\[Petite]\[Embedded_Ix#7280]:Win32:Rootkit-gen [Rtk]
sx.exe:Win32:Hupigon-LUP [Trj]
upk0.exe\[Upack]\[Embedded_Ix#056ac]\[Upack]\[Embedded_Ix#3000]:Win32:Trojan-gen {Other}
upk1.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
upk15.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
>>517 AviraPremiumSecuritySuite
hgz.exe [DETECTION] Contains a recognition pattern of the (harmful) BDS/Hupigon.Gen back-door program
ns.exe
[0] Archive type: RSRC
--> Object
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Backdoor.Gen back-door program
nsis2.exe [DETECTION] Contains recognition pattern of the ADSPY/AdMedia.ED.227 adware or spyware
nsis6.exe
[0] Archive type: NSIS
--> SOFTWARE/MicroPlugins/Common/cpush.dll
[DETECTION] Contains recognition pattern of the ADSPY/Bho.fhg adware or spyware
--> SOFTWARE/MicroPlugins/Common/cpush.tmp
[DETECTION] Contains recognition pattern of the ADSPY/Bho.fhg adware or spyware
[DETECTION] Contains recognition pattern of the DR/BHO.fhg.2 dropper
pcclient1.exe [DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
petite1.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
petite2.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
sx.exe [DETECTION] Is the TR/Crypt.CFI.Gen Trojan
unknown9.exe [DETECTION] Is the TR/Crypt.GQ.54 Trojan
upk0.exe [DETECTION] Is the TR/Crypt.XDR.Gen Trojan
upk1.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
upk15.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
>>517 AntiVirFree(11/12)
hgz.exe : (harmful) BDS/Hupigon.Gen back-door program
ns.exe : (harmful) BDS/Backdoor.Gen back-door program
nsis2.exe :
nsis6.exe : DR/BHO.fhg.2 dropper
pcclient1.exe : DR/PcClient.Gen dropper
petite1.exe : TR/Crypt.XPACK.Gen Trojan
petite2.exe : TR/Crypt.XPACK.Gen Trojan
sx.exe : TR/Crypt.CFI.Gen Trojan
unknown9.exe : HEUR/Crypted suspicious code
upk0.exe : TR/Crypt.XDR.Gen Trojan
upk1.exe : TR/ATRAPS.Gen Trojan
upk15.exe : TR/ATRAPS.Gen Trojan
検体提出してきます。
>>517 珍しく(?)全検出。
BitDefender Free Edition v10(12/12)
hgz.exe : Trojan.Delf.Inject.Z
ns.exe : Trojan.Agent.Delf.GY
nsis2.exe : DeepScan:Generic.Adw.Cinmus.2.E8144529
nsis6.exe : Dropped:Adware.Sogou.Gen
pcclient1.exe : Backdoor.PCClient.TCH
petite1.exe : Dropped:Generic.Malware.SP!VdldPk!g.C118E1D6
petite2.exe : Dropped:Generic.Malware.SP!VdldPk!g.C118E1D6
sx.exe : Trojan.Delf.Inject.Z
unknown9.exe : Trojan.Crypt.GQ
upk0.exe : Dropped:Generic.Malware.sp!.F5A1E2B5
upk1.exe : Generic.Malware.SP!dldspg.14F7E837
upk15.exe : Generic.Malware.SP!dldspg.BDA7BD37
>>517 NortonInternetSecurity2009
Adware.CPush:nsis6.exe
W32.SillyFDC:sx.exe
Trojan.Dropper:upk1.exe、upk15.exe
Trojan.Cinmeng:nsis2.exe
Suspicious.MH690:hgz.exe、ns.exe、petite1.exe
Packed.Generic.181:unknown9.exe
Downloader:upk0.exe
Nortonもヒューリスティックが強力になってきた印象があるな
>>526 検体提出してもAntiVirフリーならnsis2.exeは検出できないよ
>>525 を注目
>>517 Norton2009がスルーした分は提出しました
今確認したらAntiVirとavast!とPandaは全検出してるようなのでこちらは何もしません
Rising 2009 21.24.30 (21.15.30.00)
>>260 gEWoPfgd.dll: Trojan.Win32.VUNDO.clo
4+1=5/6
>>484 pcclient1.exe: Backdoor.Win32.PcClient.qzu
petite1.exe>>petite2x: Worm.Win32.Undef.df
3+2=5/5
>>496 スルー
>>516 Online\hbsj5j5j5.exe: Backdoor.Win32.PcClient.qzu
Online.scr>>hbsj5j5j5.exe: Backdoor.Win32.PcClient.qzu
2/2
>>517 ns.exe>>MYDLL: Backdoor.Win32.PcClient.qzq
nsis2.exe>>$TEMP\$TEMP\139.exe>>$[35]\$R0: AdWare.Win32.Undef.ejw
\nsis6.exe>>$COMMONFILES\PushWare\cpush.tmp: AdWare.Win32.Cpush.cl
pcclient1.exe: Backdoor.Win32.PcClient.qzu
petite1-2.exe>>petite2x: Worm.Win32.Undef.df
sx.exe: Backdoor.Win32.ShangXing.tw
unknown9.exe>>nspack: Packer.Win32.Agent.aa
upk0.exe>>upack0.34: Trojan.Win32.Agent.zri
9/12
>>524 報告ミスで訂正orz
× petite1.exe\[Petite]\[Embedded_Ix#7280]:petite1.exe\[Petite]\[Embedded_Ix#7280]
○ petite1.exe.VIR\[Petite]\[Embedded_Ix#7280]:Win32:Rootkit-gen [Rtk]
ですorz
カスペ2009 10:35:00
>>516 ,517 d
>>516 2/2 VT通り(
>>516 )
>>517 12/12
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.upwc unknown9.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.agnd upk1.exe, upk15.exe
Detected Trojan program Backdoor.Win32.Hupigon.fwcs hgz.exe
Detected Trojan program Backdoor.Win32.PcClient.acgn pcclient1.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bgol upk0.exe
Detected Trojan program Trojan.Win32.Agent2.csb ns.exe
Detected virus Worm.Win32.AutoRun.zjp petite2.exe
Detected virus Worm.Win32.AutoRun.zjm petite1.exe
Detected adware not-a-virus:AdWare.Win32.AdMedia.ed nsis2.exe
Detected adware not-a-virus:AdWare.Win32.BHO.fhg nsis6.exe
>>529 ああ、スパイウェア扱いか。納得。
>>516 >>517 たまにはNormanにも送ってみた。
ノーマン検出結果 (1/2),(10/12)
*online.scr : Not detected by Sandbox (Signature: NO_VIRUS)
hbsj5j5j5.exe : W32/Malware (Signature: NO_VIRUS)
*hgz.exe : Not detected by Sandbox (Signature: NO_VIRUS)
ns.exe : W32/Malware (Signature: NO_VIRUS)
nsis2.exe : Not detected by Sandbox (Signature: AdMedia.ACH.)
nsis6.exe : W32/NetworkWorm (Signature: NO_VIRUS)
pcclient1.exe : W32/Malware (Signature: NO_VIRUS)
petite1.exe : W32/Malware (Signature: NO_VIRUS)
petite2.exe : W32/Malware (Signature: NO_VIRUS)
*sx.exe : Not detected by Sandbox (Signature: NO_VIRUS)
unknown9.exe : W32/FileInfector (Signature: W32/Packed_NsPack)
upk0.exe :W32/Malware (Signature: W32/Packed_Upack.H.)
upk1.exe : W32/Malware (Signature: W32/Packed_Upack.H.)
upk15.exe : W32/Malware (Signature: W32/Packed_Upack.H.)
そうそう、先日Fortinetから、助かってるが報告が随分多いようだ、あんたは何者だという質問が来た。 それに応じて適切な回答をするってことだったので、2番目を選んでみた。コレクターではないが趣味だし。 >- current customer testing our product services >- hobbyist for malware collections >- malware researcher もしかすると、検出名の回答が来なくなったかもしれないけど気にしない。
>>535 そんなメールがくるのかw
俺は無いけれど
1番目が無難なような…。
それか、
No, No, I'm just a developer of malwares. ha ha ha.
Fortinet使ってないのに1番目はまずいべ。 似たようなメールはMicrosoft(MMPC)から来たことならある。 その時の質問はこれ。 1. How do you collect samples? 2. What regions the samples were collected from? 3. What are the indications that these samples may be malicious or potentially unwanted software? 4. Are you planning to share samples on an ongoing basis? 5. What’s the expected volume? 6. Would you like to receive automated response emails from our systems when you submit samples? 面倒なのでシカトしたけど。
ここにいる奴らは海外ブロクから取ってきてるんだけど 海外の人たちは検体提出とかあんましてないきがする。
ほほー、ベンダーによっちゃそんなこと訊かれるんか
543 :
名無しさん@お腹いっぱい。 :2009/02/06(金) 18:31:05
>>517 NOD32 v3.0 定義3832で全検出(定義3831ではpcclient1.exeを検出漏れ)
hgz.exe Win32/GreyBird トロイの木馬
ns.exe Win32/Spy.Agent.NLR トロイの木馬
nsis2.exe Win32/Adware.Cinmusの亜種である可能性 アプリケーション
nsis6.exe Win32/Adware.Cinmusの亜種 アプリケーション
petite1.exe Win32/Genetikの亜種である可能性 トロイの木馬
petite2.exe Win32/Genetikの亜種である可能性 トロイの木馬
sx.exe Win32/Hupigon トロイの木馬
unknown9.exe Win32/HackTool.Xarpの亜種 トロイの木馬
upk0.exe Win32/Delf.NNMの亜種である可能性 トロイの木馬
upk1.exe Win32/AutoRun.Delf.AKの亜種 ワーム
upk15.exe Win32/AutoRun.Delf.AKの亜種 ワーム
pcclient1.exe Win32/PcClientの亜種 トロイの木馬
>>484 で検出漏れしていた pcclient1.exeは検出可能に。(Win32/PcClient.NCT トロイの木馬)
メールで検体提出したのでその返事も来ていました。解析者とか、忙しさによって対応にムラがあるのかも。
>>517 NortonInternetSecurity2009追加検出+1
W32.Almanahe.B:petite2.exe
11/12
それにしてもNOD32のヒューリスティックは異常だな・・・ でも最近になってやたらとNOD32のヒューリスティック検出が光ってる印象があるから(それまではNOD32の検出率自体がダメダメだったからね)アドバンスドヒューリスティックエンジンに改良を加えたのかな? アドバンスドヒューリスティックで検出できる範囲が広がったりとか
>>543 そこ古いのばっかだよ。
ページの最終更新が去年の10月な時点でお察し。
>>536 ちょwwwそれはないwww
>>539 普通のペースで出してたら来ないと思うよ。
数日おきに投稿して、ダウンローダを呼びだすhtmlを含めて130ファイル入った奴(
>>363 )とか
投げた後だったから担当者がうんざりするのも当然かと。投げるほうもうんざりした位だし。
投げた後の検体(パス付きアーカイブ)を置いてるフォルダの容量見たら280MB越えてた。
自覚はないけど、コレクターだったのかもしれない(苦笑)
Rising 2009 21.24.40 (21.15.40.00)
>>122 webcc1.exe: Trojan.Win32.Nodef.awz
5+1=6/6
>>202 a\antivirus.v.1.0.exe: Trojan.Win32.Nodef.ayg
4+1=5/12
>>333 0\tubeviewersetup.exe: Trojan.Win32.Nodef.azq
3\antivirus.v.1.exe: Trojan.Win32.Nodef.aye
6\load.exe: Trojan.Win32.Nodef.ayh
1+3=4/12
>>390 4b3e8d9c0o7a1p5n6i0g7m.exe: Trojan.Win32.Nodef.azl
1/1
>>517 upk1.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bha
upk15.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bha
9+2=11/12
>>546 各コンポーネントは適宜アップデートはされている様子です。
ウイルス・スパイウェア対策検査機能:1179(20090204)
アドバンスド ヒューステリック機能:1088(20090205)
とか、バージョン情報がありました。
検出率調査での沈み具合や、Esetスレの荒れっぷりに泣いたりしたけど
使っている範囲では対応速度もまずまず及第点かなと思いつつあります。
しかし、「このスレ的には」好調だけどav-testの検出率はいまいちな点が気になる。
>av-testの検出率はいまいちな点が気になる。 あれはデフォ設定でテストしてるのでは? NOD32の場合はデフォ設定ならアドバンスドヒューリスティックはチェックされてないはず 同様にNorton2009とAntiVirもヒューリスティック感度設定が標準設定だしPandaに至ってはデフォ時ではヒューリスティックが外れてる が、カスペのデフォ時のヒューリスティック感度は低いはずだけどAV-Testでは成績が良い、これはきっとシグネチャ重視のカスペだからでしょう ESETの場合はヒューリスティックに大きく依存してるのにデフォ時ではアドバンスドヒューリスティックが外れてるからね・・・ ただESET、Symantec、McAee、Pandaはかなりよくなってるし今後も注目したいベンダーだけどまだまだ油断できず様子見な状態ですね 今後またダメダメになる可能性も無きにしも非ずだし
勢力のある攻撃側に徹底マークされると、一時的に成績は落ちるし、 開発チームがごたごたしてると、やっぱり一時的に成績は落ちる 長い目では、成績は浮沈するもので、そこらへんにもこのスレの意義がある うん。あたりまえだな。あたりまえのことを再認識したな
>>553 >開発チームがごたごたしてると、やっぱり一時的に成績は落ちる
となると今はBitDefenderがダメダメなんだろうね
検体提出しても対応が遅すぎたりとBitDefenderの解析チームがごたごたしてるのかも
558 :
557 :2009/02/07(土) 18:12:43
zipのパスワードは "123" です。
>>557 AntiVirもavast!もPandaもESETもスルー
Nortonはまだスキャンしてないけど恐らくスルーでしょう
※ 仮想環境を利用してESET(英語版)を始めました
.NETだね 単に削除するだけだろ こういうのはマルウェア判定難しいよな 単純だけど強力
実行すると検出するのはあるかもね こういうのはHIPSで対応するしかないのか まあ実行しちゃうのが悪いんだけど
del *.* みたいなのはダウソ板でやれよ
.NET Framework 1.1じゃね。 ファイルを復元できないようにする合法的な消去ファイルもあるくらいだから、判定難しいね。 タイムスタンプ見ると、生後2週間か? 見つからないものかね。
>>557 未だにVT反応なし。
これ、ファイル名は"keygen.xe"だが、ひょっとして、
>>3 の鑑定厨に悪用された?
「ドキュメントからマルチメディアから全部消された」は嘘?
疑念が…。
>>568 鑑定かどうかは仮想環境で確かめた方がいいのかも
でもそれじゃ鑑定厨の思う壺だな
今試したらkeygenはシステムファイルを削除するね
こいつVirustotalで検出されなきゃ問題ないと思ってるのかな
echo y | del %systemroot%*.* みたいなbatも検知すべきなのか?
検知すべきかどうかは知らないが 悪意があればマルウェアだろうね 凶悪な
>>572 同意。
全員だまされたような気がする。
検定提出して、どのベンダーも丸1日返事なし。
結局、P2Pで、キージェネ拾ったけれど、自分の手を汚すのはいやだから、念のために、有害なコードが含まれていないかどうか
セキュ板の提出厨に提出して確認してもらいたいだけ。
で、最後の言葉は「あざーすwww」
定期的に見かける。
おいおい ふざけるなよ ちゃんと検証して書いたんだよ
ここはVirustotalでしか判断できないレベルなのは分かった
カスペ返答。keygen.は危険ファイルではないということらしい。 既出アドレスで更新されたplay.scr(危険ファイルの1199.exe入ってんだけど)を送ったんだが、 こっちがクリーンって判断のほうが気になる。 Hello, 1199.exe_ This file is corrupted. flsp.exe_ - Trojan-Dropper.Win32.Agent.zmr This file is already detected. Please update your antivirus bases. keygen.exe_, keygen.exe_0, play.scr_ No malicious code were found in these files.
だから、ただのkeygen.exeだよw
じゃあ実行してみろよw
>>574 カスぺ アナリスト
場合のよりけりじゃね。下記では、KillFilesでBAT検出しているみたい。
2007/12
Smallest malicious program.(一番小さなマルウェア)
Trojan.BAT.KillFiles.gm took the lead in this category in the first month of winter - weighing in at all of just 12 bytes, it can nevertheless wipe the C: drive clean
一番小さかった有害プログラム。Trojan BAT.KillFiles (BATファイル) -12バイトだが、Cドライブをクリーンにするトロイ。
http://www.viruslist.com/en/weblog?weblogid=208187476 (
2008/10
In spite of being a mere 20 bytes in size, Trojan.BAT.KillAll.an is able to delete all files from disk.
これもBATファイル。20バイトながら、ディスクからすべてのファイルを消去するトロイ。
http://www.viruslist.com/en/weblog?weblogid=208187608 (2008/10)
>>579 1199.exe_
This file is corrupted.
破損している。
元々破損。or送ったとき破損発生。
まあ実行したところで ここにいる人たちなら被害は受けないと思うけどね
>>578 検出したらVTに即時反映されるだけだろ。池沼乙。
だから実行してみろよ おまえらなら問題ないって 検証もせずに阿呆な攻撃しないでくれ
ちなみに.NET2が必要
こいつら低レベルだから実行しない方が良いよ マジで
俺は検証しただけなのにひどいねえ ちなみに俺はそのkeygenをマルウェアに認定するわ カスペを信じる人は実行してひどい目を見ないように祈るよ
>>593 匿名でもできるんだ。便利だね。
マルウェアの該否はともかく、ファイル名からして"keygen.exe"などうpする方が悪い。
>>557 は恥を知れ。
そいつもマルウェア報告しただけだろ このスレ変なやつが紛れ込んでるなあ
だいたいkeygen.exeなら他の報告でも上がってるだろ なんでその報告だけ目の敵のように扱うのかねえ
そのkeygen.exeで消されるのは System32内のファイル ドキュメントフォルダ内のファイル プログラムメニュー内の一部のファイル かな
常識的なことだけど ドキュメントフォルダはレジストリから読み取れないところの方が安全ってことだね
物凄く特徴的な文章で一人が多数を演じているな 一番スレでやれ
演じてるとか何言ってんだよ 頭おかしいのか
システムファイルを削除する(悪意の?いたずらの?)プログラムを どう扱うかおもしろい例なんだけどね なぜか無害と思いたい人がいるようだけど
各ベンダーそれぞれのポリシーで白判定。その結果で十分。 検出可否報告スレであって、プログラムの性質や各社のポリシーを議論するスレではない。
そんな分かりきったことはどうでも良い まるでマルウェアが無害なように話すのは問題
それに検出可否を調査してるんだから 各社のポリシーも調査してるスレ
keygen.exeが問題だ。
明らかに、Key Generatorだ。
ここは、キージェネ厳禁だ。今まで、そう努力してきた。
次は、nyで拾ってきたPhotoshopでも鑑定させるのかw
なんだか、万引きして、万引きした商品が腐っていて腹こわしたから検査してくれと言う
ようなもの。
K察に捕まったaの再来か。関わりたくない。
個人的な意見:以後、スルー
>>3 【重要】
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
なんだかよく分からないね 検証した人を誹謗中傷したのが問題なんだろ まるで検証した人が悪いみたいな書き込みが多いのは馬鹿だからとしか思えないよ
ここに上がるほとんどのマルウェアもトロイで目的はキージェネと同じようなものだよ だいたいトロイなんてそんなのばかりじゃん なんで今回の件にそこまで食いつくの?
つか誹謗してた本人なんだろ 何で正当化しようとしてるんだ? 謝れば良いだけだろ
>>606 マルウェア報告した人を
勝手に鑑定依頼人にしてるのおまえ
この点についても謝罪しとけ
>>606 今回の件は
マルウェア報告した人と検証した人を誹謗中傷した人が悪い
明らかです
ということでこれで終わりにしましょう
下手な正当化はやめて
Rising 2009 21.24.60 (21.15.60.00)
>>202 7\pro.exe: Trojan.Win32.Nodef.bbt
tubeviewersetup.1401.exe: Trojan.DL.Win32.Mnless.ccx
5+2=7/12
>
>>333 1\r.exe: Trojan.Win32.Nodef.bce
4+1=5/12
なんかスレ伸びてるなと思い新しい検体が次々とうpされたのかなとwktkしてみたら・・・ 何これ・・・
どこにでもいる基地外
割れ厨が必死なのはいつもの事
BitDefender10Free
>>616 16/21
>>617 19/27
AntiVir Free
>>616 18/21
>>617 20/21
各社に提出してきます…整理が結構大変だなこれは。
NOD32 v3.0 定義3837
>>616 26/27
02.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
03.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
05.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
06.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
07.exe Win32/PSW.OnLineGames.NTNの亜種 トロイの木馬
08.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
09.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
10.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
11.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
12.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
13.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
16.exe Win32/PSW.WOW.NHNの亜種 トロイの木馬
17.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
18.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
26.exe Win32/PSW.Delf.NLZの亜種である可能性 トロイの木馬
aspk04.exe Win32/PSW.OnLineGames.NSUの亜種である可能性 トロイの木馬
aspk14.exe Win32/PSW.WOW.DZIの亜種 トロイの木馬
aspk15.exe Win32/PSW.OnLineGames.NTPの亜種である可能性 トロイの木馬
aspk21.exe Win32/PSW.WOW.DZIの亜種 トロイの木馬
aspk25.exe Win32/PSW.WOW.DZIの亜種 トロイの木馬
upk01.exe Win32/TrojanDropper.Agent.NPOの亜種 トロイの木馬
upk19.exe Win32/TrojanDropper.Agent.NPOの亜種 トロイの木馬
upk22.exe Win32/Rootkit.Agent.NJA トロイの木馬
upk23.exe Win32/Rootkit.Agent.NJC トロイの木馬
upk24.exe Win32/Rootkit.Agent.NJC トロイの木馬
upk27.exe Win32/PSW.Legendmir.NGGの亜種 トロイの木馬
未検出だった検体はEsetにメール提出済
619の訂正
>>616 ではなく、
>>617 の結果でしたorz
>>616 は19/21 dldr1.exeとpetite1.exeをEsetへメール提出済
AntiVir Free -> VirusTotal
すり抜けた分をVirusTotalに投げたところ、HEUR/Malware、HEUR/Cryptedで3つは検出する模様。
tane0223内のpetite1.exe だけがスルー。
>>616 18+3=21/21
>>617 26+0=26/27 (>618は26/27の書き間違い)
>>621 訂正
スキャン設定のヒューリスティック設定がMidium detection levelでは検出しないが
High detecyion level に切り替えたところ、AntiVirFreeでもHEUR/Malware、HEUR/Cryptedを検出。
>>616-617 McAfee自動返答。以下を現時点ではスルー。
inconclusive [1.exe 16.exe 17.exe 18.exe aspk12.exe dldr1.exe petite1.exe aspk14.exe aspk25.exe petite1.exe]
>>617 PandaGlobalProtection2009
とりあえず検出数だけ25/27
>>617 NortonInternetSecurity2009
22/27
>>618 さんが各ベンダーに提出されたようなので特になにもしません
>>616 PandaGlobalProtection2009
19/21
NortonInternetSecurity2009
15/21
Rising 2009
>>616 1-2,4,10-11,15.exe: Trojan.PSW.Win32.GameOL.ugj
14.exe
>>66 : Trojan.PSW.Win32.GameOL.udn
5,17.exe: Trojan.PSW.Win32.GameOL.uln
6.exe
>>66 : Trojan.PSW.Win32.GameOL.udr
8.exe>>ZXDLL: Trojan.PSW.Win32.GameOL.ugp
aspk7.exe: Trojan.PSW.Win32.WoWar.bbs
dldr1.exe: Trojan.Win32.Nodef.bcm
upk9.exe>>upack0.39: Trojan.Win32.KillAV.avv
upk_qq.exe: Dropper.Win32.Agent.zrg
15/21
>>617 02-03.exe: Trojan.PSW.Win32.GameOL.uad
05-06,08,10,12-13.exe: Trojan.PSW.Win32.GameOL.ugj
07.exe>>ZXDLL: Trojan.PSW.Win32.GameOL.ugp
09,11,17-18.exe: Trojan.PSW.Win32.GameOL.uln
16.exe>>JXDLL: Trojan.PSW.Win32.GameOL.ukk
26.exe>>FILE: Trojan.PSW.Win32.OnlineGame.yoj
aspk21.exe: Trojan.PSW.Win32.WoWar.bbw
upk01.exe>>upack0.34: Trojan.PSW.Win32.GameOL.uew
upk19.exe>>upack0.34
>>65 : Trojan.PSW.Win32.GameOL.ttq
upk22.exe>>upack0.39: Trojan.PSW.Win32.GameOL.ufi
upk23-24.exe>>upack0.39: Trojan.Win32.KillAV.avv
upk27.exe>>upack0.39: Trojan.PSW.Win32.LMir.cfs
22/27
>>616 ESETSmartSecurity3.0
19/21
>>616 カスペ2009
21/21
Worm.Win32.Downloader.aao tane0222\1.exe
Worm.Win32.Downloader.aao tane0222\11.exe
Worm.Win32.Downloader.aao tane0222\10.exe
Worm.Win32.Downloader.zy tane0222\14.exe
Trojan.Win32.Agent.bnxc tane0222\16.exe
Trojan.Win32.Agent.anbw tane0222\18.exe
Worm.Win32.Downloader.aat tane0222\17.exe
Worm.Win32.Downloader.aao tane0222\2.exe
Worm.Win32.Downloader.aao tane0222\4.exe
Worm.Win32.Downloader.aat tane0222\5.exe
Worm.Win32.Downloader.aao tane0222\15.exe
Trojan-PSW.Win32.Delf.djj tane0222\8.exe
Trojan-GameThief.Win32.OnLineGames.bktj tane0222\aspk12.exe
Trojan-Dropper.Win32.Agent.agsk tane0222\aspk13.exe
Trojan-PSW.Win32.Agent.lzs tane0222\aspk3.exe
Backdoor.Win32.Agent.adpd tane0222\dldr1.exe
Trojan-GameThief.Win32.WOW.faf tane0222\aspk7.exe
Trojan.Win32.Agent.bpkn tane0222\petite1.exe
Trojan-Dropper.Win32.Agent.agqq tane0222\upk9.exe/PE_Patch/UPack
Worm.Win32.Downloader.zy tane0222\6.exe
Trojan-Downloader.Win32.Agent.aqnq tane0222\upk_qq.exe
>>617 は
>>627 と同じと思われるのでスキップ。
Rising 2009 21.25 (21.16.00.00)
>>202 5\rdr.exe: Trojan.Win32.Nodef.bbs
7+1=8/12
>>333 2\system.lib: Trojan.Win32.Nodef.bbn
9\tubeviewersetup.exe: Trojan.Win32.Nodef.bch
5+2=7/12
AntiVir回答
>>557 keygen
The pattern recognition will be integrated in one of our next updates.
The virus will be detected as TR/Del.B
>>616-617 1つだけすり抜けてた分だけでなく、ヒューリスティックの2種3ファイルにシグネチャついたのかな?
取り敢えず次のパターンで対応。
We found some new viruses in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
追記:keygenに対応したパターンはまだ配布されてない模様。
>>633-634 AntiVirのパターンが更新されたので再チェック
>>616-617 シグネチャ付いてた模様
tane0222/16.exe : HEUR/Malware -> TR/PSW.Agent.lyl.2 Trojan
tane0222/18.exe : HEUR/Malware -> TR/PSW.Agent.lsr.5 Trojan
tane0222/petite1.exe : HEUR/Crypted -> TR/Agent.bpkn Trojan
tane0223/petite1.exe : NotDetected -> WORM/Autorun.zrn worm
>>557 keygen.rar : TR/Del.B Trojan
keygen.rar/keygen.exe : TR/Del.B Trojan
AntiVirでしか安心は得られない
NortonInternetSecurity2009
>>616 18/21
>>617 26/27
954 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2009/02/10(火) 16:10:59 コピペにマジレス。 昨日、検体提出スレに出てた奴は、ヒューリスティック中だとすり抜け、高だと引っ掛かった。 (今現在は名前ついたので、ヒューリスティック関係無くひっかかるが)
馬鹿なんだから黙って検体提出してろ
Rising 2009
21.25.10 (21.16.10.00)にて
>>616 petite1.exe>>petite2x_2>>pe_patch(14): Packer.Win32.PePatch.d
15+1=16/21
21.25.11 (21.16.11.00)にて
>>616 16,18.exe
>>65 : Trojan.PSW.Win32.GameOL.unc
aspk13.exe: Trojan.PSW.Win32.GameOL.ung
16+3=19/21
>>617 aspk15.exe: Trojan.PSW.Win32.GameOL.ung
22+1=23/27
21.25.12 (21.16.12.00)にて
>>616 aspk12.exe: Trojan.PSW.Win32.GameOL.unt
aspk3.exe: Trojan.PSW.Win32.GameOL.unp
19+2=21/21
>>617 aspk04.exe: Trojan.PSW.Win32.GameOL.unp
aspk14.exe: Trojan.PSW.Win32.GameOL.unr
aspk25.exe: Trojan.PSW.Win32.GameOL.uni
petite1.exe: Trojan.Win32.Nodef.big
23+4=27/27
PandaGlobalProtection2009
>>617 残りの未検出検体は疑わしいファイルとして検出、全検出確認
ESETSmartSecurity3.0
>>616 petite1.exe Win32/Agent.BPKN trojan
dldr1.exe Win32/Agent.NUZ trojan
>>617 upk9.exe Win32/Rootkit.Agent.NJC trojan
>>643 Symantec
filename: 1199.exe
machine: Machine
result: See the developer notes
filename: play.scr
machine: Machine
result: This file is detected as Backdoor.Formador.
−−−−−
McAfee
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe |inconclusive | | |no
play.scr |inconclusive | | |no
inconclusive [1199.exe play.scr]
>>643 カスペ2009 21:50:00
スルー。0/2
検体提出します。
646 :
名無しさん@お腹いっぱい。 :2009/02/10(火) 23:10:29
NOD32 v3.0 定義3842
>>643 play.scr Win32/PcClientの亜種 トロイの木馬
play\1199.exe Win32/PcClientの亜種 トロイの木馬
>>642 での報告があるように、過去の検出漏れ検体も全検出を確認。
でも、Esetからの返信メールは来なかった(笑)
>>647 >でも、Esetからの返信メールは来なかった(笑)
( TT)/\(TT )ナカーマ!!
ESETの体制が変わったかと思ったが、僅かな間だったのぉ。でも、対応速度自体は上がってるようなのでいいか。
ネット名誉棄損で逆転有罪 東京高裁、基準緩和の1審否定
インターネット上に虚偽の内容を記載し、企業を誹謗中傷したとして名誉棄損罪に問われた会社員橋爪研吾被告
(37)の控訴審判決で、東京高裁は30日、1審の無罪判決を破棄、求刑通り罰金30万円とする逆転有罪を言い渡した。
ネット上での名誉棄損罪成立の条件を緩和した1審判決に対し、長岡哲次裁判長は「ネット利用者の情報に限り、
従来の基準を緩和することはできない」と批判。「内容は公益を図る目的だが、重要部分は真実ではなく、真実と信じる相当な理由もない」と述べた。
集中砲火的な中傷記事など“ネット被害”が問題になる中、十分な根拠のない表現行為を戒める判決となった。
被告は上告する方針。
名誉棄損事件の従来の判例では、公益目的の記事でも内容が真実でなければ、確実な資料や根拠に基づき真実と
信じる相当な理由があった場合に無罪とされていた。
しかし、1審判決は「個人がネット上で発信した情報の信頼性は一般的に低く、反論も容易にできる。公益目的があれば
、確実な資料や根拠がなくても真実と誤信した場合には無罪」と指摘。
これに対し長岡裁判長は「現実に反論するまではネット上に名誉棄損の表現が放置される上、匿名の表現には有効な
反論も難しい」と判断した。
判決によると、橋爪被告は2002年、自分のホームページに、全国展開するフランチャイズ式飲食店を取り上げ「代金の4−5%
がカルト集団の収入になる」などと虚偽の内容を記載した。
2009/01/30 20:34 【共同通信】
http://www.47news.jp/CN/200901/CN2009013001000600.html
だからほっとけよ こんなところで自分の思い通りになんてなるわけねえんだらか いやなら自分のサイトで語れ
>>653 了解
>>8 >>10 ,14,16,116-118,653を反映
>>145 言及のWikiは外部参照にとどめる。(当方では修正しない)
・
>>2-3 のローカルルールの変更
・BitDefendr,Avira, F-Port, ESET、アンラボ以外の検体提出先の変更あれば教えて
>>647 >>646 >ESETの体制が変わったかと思ったが、僅かな間だったのぉ。でも、対応速度自体は上がってるようなのでいいか。
ただこのスレ見てもわかるとおりシグネチャでの検出ではなくヒューリスティックによる検出が圧倒的に多いのが今のNOD32
対応速度が上がったというよりはヒューリスティック感度が大幅に上がったという見方のほうが妥当かと(他はどうか知らないけどNOD32のアドバンスドヒューリスティックははシグネチャと連動するヒューリスティックだからね)
でも対応速度は少なからず上がったと思う、というよりも今までのESETと比べたらかなり改善されてると思う、しかも対応速度も安定してる印象
SymantecとMcAfeeとPandaは対応速度がかなり速いときがあるし検出率も高いのは確かだけど対応速度が安定してなくムラがありやはりESETやavast!と比べると遅い印象がある
avast!の対応速度はESETより一日遅いという感じ、ただこちらも対応速度に安定感はある印象
去年はこれらのベンダーが進歩したから今年は更なる成長して完成度を上げてAntiVir並みの検出率になって欲しい
やっぱり検出率が高いベンダーが多いほうが良いに越したことはないしね
>>616 NortonInternetSecurity2009
19/21
>>616 Trend Micro
21/21
1.exe TSPY_ONLINEG.FSD
10.exe TSPY_ONLINEG.FSD
11.exe TSPY_ONLINEG.FSD
14.exe TSPY_ONLINEG.FSD
15.exe TSPY_ONLINEG.FSD
16.exe TROJ_ONLINEG.HHX
17.exe TSPY_ONLINEG.FSD
18.exe TROJ_ONLINEG.HHX
2.exe TSPY_ONLINEG.FSD
4.exe TSPY_ONLINEG.FSD
5.exe TSPY_ONLINEG.FSD
6.exe TSPY_ONLINEG.FSD
8.exe TSPY_ONLINEG.HHA
aspk12.exe TROJ_GAMETHI.DXZ
aspk13.exe TSPY_ONLINEG.HHA
aspk3.exe TSPY_ONLINEG.HHA
aspk7.exe TSPY_ONLINEG.HHA
dldr1.exe TROJ_DLLSERV.MCL
petite1.exe BKDR_FARFLI.UY
upk9.exe TSPY_ONLINEG.HHA
upk_qq.exe TROJ_VB.HLV
>>660 各社に検体提出済み。既出のアドレスだが、2/10 23:00頃にファイルが更新された模様。
AntiVir
a1.css : TR/Crypt.XDR.Gen Trojan
fx.htm : JS/Dldr.IFrame.IQ Java script virus
Ilink.htm : スルー
flink.html : JS/Dldr.Agent.UW Java script virus
i115.swf : EXP/Flash.Gen exploit
i64.swf : EXP/Flash.Gen exploit
i47.swf : EXP/Flash.Gen exploit
i45.swf : EXP/Flash.Gen exploit
i28.swf : EXP/Flash.Gen exploit
i16.swf : EXP/Flash.Gen exploit
f115.swf : SWF/Dldr.Agent.F.1 SWF virus
f47.swf : SWF/Dldr.Agent.F.1 SWF virus
f45.swf : SWF/Dldr.Agent.F.1 SWF virus
f28.swf : SWF/Dldr.Agent.F.1 SWF virus
f16.swf : SWF/Dldr.Agent.F.1 SWF virus
>>617 Trend Micro
27/27
02.exe TSPY_ONLINEG.FSD
03.exe TSPY_ONLINEG.FSD
05.exe TSPY_ONLINEG.FSD
06.exe TSPY_ONLINEG.FSD
07.exe TSPY_ONLINEG.HHA
08.exe TSPY_ONLINEG.FSD
09.exe TSPY_ONLINEG.FSD
10.exe TSPY_ONLINEG.FSD
11.exe TSPY_ONLINEG.FSD
12.exe TSPY_ONLINEG.FSD
13.exe TSPY_ONLINEG.FSD
16.exe TROJ_ONLINEG.HHX
17.exe TSPY_ONLINEG.FSD
18.exe TSPY_ONLINEG.FSD
26.exe TSPY_DELF.OBB
aspk04.exe TSPY_AGENT.ALNI
aspk14.exe TROJ_GAMETHI.DXZ
aspk15.exe TROJ_AGENT.AIFN
aspk21.exe TSPY_ONLINEG.KXZ
aspk25.exe TSPY_ONLINEG.ECB
petite1.exe WORM_CHIVIPER.E
upk01.exe Cryp_Upack
upk19.exe Cryp_Upack
upk22.exe TROJ_PACKED.BZN
upk23.exe TROJ_PACKED.BZN
upk24.exe TROJ_PACKED.BZN
upk27.exe TSPY_ONLINEG.MDX
>>660 Symantec(自動返答)
既知のマルウェア
filename: f45.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: f28.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: f16.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: f115.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: a1.css
result: This file is detected as Trojan.Dropper.
http://www.symantec.com/avcenter/venc/data/trojan.dropper.html filename: i115.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: i45.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: i28.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: i16.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: f47.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: i64.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: i47.swf
result: This file is detected as Bloodhound.Exploit.193.
手動解析に回す
filename: fx.htm
filename: flink.html
filename: Ilink.htm
>>643 Trend Micro
2/2
1199.exe BKDR_PCCLIEN.AFR
play.scr BKDR_PCCLIEN.AFR
>>660 McAfee自動返答
flink.html : exploit-cve2007-0071
他は全てスルー。解析に回す。
inconclusive [a1.css f115.swf f16.swf f28.swf f45.swf f47.swf fx.htm i115.swf i16.swf i28.swf i45.swf i47.swf i64.swf ilink.htm]
>>660 Trend Micro
11/14
f115.swf TROJ_HACK.MA
f16.swf TROJ_HACK.LZ
f28.swf TROJ_HACK.FS
f45.swf TROJ_HACK.LQ
f47.swf TROJ_HACK.LQ
i115.swf TROJ_HACK.LY
i16.swf TROJ_HACK.LU
i28.swf TROJ_HACK.LV
i45.swf TROJ_HACK.MB
i47.swf TROJ_HACK.MB
i64.swf TROJ_HACK.AD
flink.html
fx.htm
Ilink.htm
>>660 NOD32 v3.0 定義3844
a1.css Win32/Genetikの亜種である可能性 トロイの木馬
f115.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
f16.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
f28.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
f45.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
f47.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
flink.html JS/TrojanDownloader.SWFlash.NBD トロイの木馬
i115.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
i16.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
i28.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
i45.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
i47.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
i64.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
Ilink.htm JS/TrojanDownloader.SWFlash.NBE トロイの木馬
fx.htmをEsetへ提出
Rising 2009
21.25.12 (21.16.12.00)にて
>>660 f115,16,28,45,47,i115,16,28,45,47,64.swf: Hack.Exploit.Swf.a
flink.html: Trojan.DL.Script.JS.Agent.mn
12/15
21.25.20(21.16.20.00)にて
>>643 play\1199.exe: Backdoor.Win32.PcClient.rcb
play.scr
>>1199 .exe: Backdoor.Win32.PcClient.rcb
2/2
>>660 a1.css>>fsg2.0: Trojan.DL.Win32.Mnless.ceg
12+1=13/15
669 :
645 :2009/02/11(水) 16:42:46
>>643 カスペ2009@15:25:00 0+事後2=2/2
Quarantined Trojan program Backdoor.Win32.PcClient.acvx tane0224\play\1199.exe, play.scr
>>660 d
Detected Trojan program Exploit.SWF.Downloader.lb tane0225\*.swf (拡張子*swf.すべて11ファイル)
それ以外スルー、検体提出します。
>>660 PandaGlobalProtection2009
全スルー
Panda検疫から提出
NortonInternetSecurity2009
>>616 Trojan.Dropper:aspk3.exe
Downloader:petite1.exe
Infostealer.Gampass:aspk12.exe
>>617 Trojan.Dropper:aspk04.exe
PandaGlobalProtection2009
>>616 残りの未検出検体も疑わしいファイルとして検出
NortonもPandaも全検出確認
>>673 PandaGlobalProtection2009
petite1.exeのみ疑わしいファイルとして検出
ESETSmartSecurity3.0
全スルー
Pandaは検疫から提出予定
ESETはいつもの人に任せます
>>660 avast!4.8
a1.css\[FSG]\[Embedded_Ix#01124]:Win32:KillAV-KK [Trj]
f115.swf:SWF:CVE-2007-0071 [Expl]
f16.swf:SWF:CVE-2007-0071 [Expl]
f28.swf:SWF:CVE-2007-0071 [Expl]
f45.swf:SWF:CVE-2007-0071 [Expl]
f47.swf:SWF:CVE-2007-0071 [Expl]
flink.html:HTML:Agent-R [Expl]
fx.htm:HTML:IFrame-BY [Trj]
i115.swf:SWF:CVE-2007-0071 [Expl]
i16.swf:SWF:CVE-2007-0071 [Expl]
i28.swf:SWF:CVE-2007-0071 [Expl]
i45.swf:SWF:CVE-2007-0071 [Expl]
i47.swf:SWF:CVE-2007-0071 [Expl]
i64.swf:SWF:CVE-2007-0071 [Expl]
>>673 avast!、AntiVir、Norton
全てスルー
>>673 ESETへの提出はいつもの人に任せる・・・・とはいったものの結局AntiVir、avast!、ESET、Panda、Symantecと自分の使ってるところに全部提出しました・・・
>>673 AntiVir 全スルー 検体提出します。
>LiveROに投下するのやめれ
いや、実は、こっちスレで報告のがついでだったり。
同じアドレスでも時々変わってるからパターン更新しないとあかんよって意味もあるんでたまには許してくれ。
>>673 BitDefender10Free(8/8)
petite1.exe : DeepScan:Generic.Malware.SPWdld.659A0D24
petite2.exe : DeepScan:Generic.Malware.SPWdld.C95A9CCE
petite3.exe : DeepScan:Generic.Malware.SPWdld.22E4CFF9
petite4.exe : DeepScan:Generic.Malware.SPWdld.DD6241D0
petite5.exe : DeepScan:Generic.Malware.SPWdld.B2C49E10
petite6.exe : DeepScan:Generic.Malware.SPWdld.D07ABE59
petite7.exe : DeepScan:Generic.Malware.SPWdld.A9EBDA27
petite8.exe : DeepScan:Generic.Malware.SPWdld.5E6431F9
Rising 2009
21.25.21 (21.16.21.00)にて
>>660 Ilink.htm: Trojan.DL.Script.JS.Agent.nj
13+1=14/15
>>673 petite1,3,5-8.exe>>petite2x_2: Worm.Win32.CnVampire.aj
petite2.exe: Worm.Win32.CnVampire.ah
petite4.exe: Worm.Win32.CnVampire.ak
8/8
21.25.22 (21.16.22.00)にて
>>464 e7zx.cn\flink.html,ilink.html: Trojan.DL.Solaris.JS.Agent.b
100+2=102
>>660 AntiVir返答
We found a new virus in the attachment you have sent us. The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the virus will be detected as "HTML/Dldr.FlashExp".
現時点のパターンでは引っ掛からないですが、次の更新で>661のスルー分も対応。
>>673 McAfee自動返答
全スルーなので、解析に回す。
inconclusive [petite1.exe petite2.exe petite3.exe petite4.exe petite5.exe petite6.exe petite7.exe petite8.exe]
>>673 Dr.Web回答。全て既知のマルウェア。
Viruses: Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1.
>>673 petite7.exeとpetite8.exe以外はすべて疑わしいファイルとして検出
>>683 はPandaGlobalProtection2009の検出ですorz
>>663 >Bloodhound.Exploit.193
なんで既知のマルウェア??
ヒューリスティックじゃないの???
687 :
669 :2009/02/11(水) 19:31:18
>>673 d
カスペ2009 18:28:00 8/8
Detected virus Worm.Win32.AutoRun.zvi petite1.exe
Detected virus Worm.Win32.AutoRun.zvj petite2.exe
Detected virus Worm.Win32.AutoRun.zvk petite3.exe
Detected virus Worm.Win32.AutoRun.zvl petite4.exe
Detected virus Worm.Win32.AutoRun.zvm petite5.exe
Detected virus Worm.Win32.AutoRun.zvb petite6.exe
Detected virus Worm.Win32.AutoRun.zvn petite7.exe
Detected virus Worm.Win32.AutoRun.zvp petite8.exe
>>660 返事
11+追加3=14/15
a1.css - Trojan-Downloader.Win32.Agent.bhez
fx.htm_ - Trojan-Downloader.JS.Iframe.aho,
Ilink.htm_ - Trojan-Downloader.JS.Iframe.ahp
New malicious software was found in these files.
flink.htm_ -No malicious code was found in this file.
シグネチャ細かすぎるね。 機を見計らって、統合・廃止しているみたいだが。現在1,773,098
VirustotalでのPandaもバージョンが新しくなったみたいだね Panda 10.0.0.10 どうやらPandaのクラウドベースもダイレクトにVirustotalに反映されてるみたい これで実機とVTの結果が違うのはKasperskyの2009ヒューリスティックだけになったか
>>685 Symantecのサイトにもこの名前はヒューリスティック検出だって書いてあるね
ただまぁこの手のはどこもExploitコードの検出で終わることが多いし、実際は検出できればOKな気もする
swfとかpdfとかscriptとかいらなくね? 個人的にはexeだけでいいよ。きりがない。
Risingもまだエンジンが古いのか
>>686 の結果が悪すぎる
いじくったPackerみたいだから仕方ないよ Trendmicroはヘッダ見てpetiteと判断してるだけだな
>>691 スマソ
Risingを忘れてたorz
あとDr.webもそうだったよね
>>694 PandaGlobalProtection2009
ウイルス発見 : Generic Trojan Malware\0\InternetGameBox_setup.exe
ウイルス発見 : Trj/Downloader.MDW Malware\4\Mensagem_2985183902.scr
ウイルス発見 : Generic Malware Malware\7\gau.exe[DSC00110.exe]
アドウェアを検出 : Adware/XpyBurner Malware\9\XpyBurner_Setup.exe
ウイルス発見 : Trj/CI.A Malware\2\Install_1_1_.exe
疑わしいファイル:cj.exe
ESETSmartSecurity3.0
Malware\b\1.exe Win32/Spy.Zbot.IF trojan
Malware\a\sunrise.exe a variant of Win32/Spy.Zbot.IB trojan
Malware\0\InternetGameBox_setup.exe probably a variant of Win32/Agent trojan
>>694 NortonInternetSecurity2009
Downloader:gau.exe[DSC00110.exe]
Packed.Generic.187:Install_1_1_.exe
W32.Waledac:raeder.exe
InternetGameBox:InternetGameBox_setup.exe
>>695 NortonInternetSecurity2009
検出数だけ
15/23
Rising 2009
>>694 4\Mensagem_2985183902.scr: Packer.Win32.Agent.r
6\cj.exe>>chang.exe>>upx_c: Trojan.Win32.StartPage.mec
6\cj.exe>>ds.exe>>upx_c: Backdoor.Win32.DarkShell.aa
6\cj.exe>>langr.exe>>upack0.34>>BIN: Trojan.Win32.AvKiller.gh
6\cj.exe>>langr.exe>>upack0.34>>DLL: Trojan.Clicker.Win32.PopHot.eii
6\cj.exe>>shayu.exe>>upack0.34>>RDLL: Trojan.DL.Win32.MyDown.bgb
6\cj.exe>>xuanxuan.exe>>fsg2.0: Worm.Win32.Download.ggw
6\cj.exe>>yoyo1175.exe>>$[32]\87.exe: AdWare.Win32.Undef.eji
2/12、6ワロタ
>>695 9234.exe: Trojan.DL.Win32.AnTan.b
nsis2.exe>>$TEMP\$TEMP\21.exe>>$[34]\$R0: AdWare.Win32.Undef.ekm
rkit0.exe
>>66 ,rkit2.exe: Hack.DDoSer.Win32.Agent.bn
rkit2.exe: Hack.DDoSer.Win32.Agent.bn
unknown1.exe: Trojan.Win32.Nodef.boe
upk1.exe>>upack0.34: Trojan.DL.Win32.Mnless.cdj
upk2.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bhg
upk3.exe>>upack0.34>>CZDLL: Trojan.PSW.Win32.LMir.cge
upx351,370.exe>>upx_c: Trojan.DL.Win32.Undef.dgf
10/22
未検出は後で送ります
>>695 Symantecから
filename: rkit2.exe
machine: Machine
result: See the developer notes
filename: nsis1.exe
machine: Machine
result: This file is detected as Adware.SearchNet.
http://www.symantec.com/avcenter/venc/data/adware.searchnet.html filename: hellokav1.exe
machine: Machine
result: See the developer notes
filename: nsis2.exe
machine: Machine
result: See the developer notes
filename: rkit1.exe
machine: Machine
result: This file is detected as Hacktool.Rootkit.
http://www.symantec.com/avcenter/venc/data/hacktool.rootkit.html filename: setup1557.exe
machine: Machine
result: See the developer notes
filename: hellokav0.exe
machine: Machine
result: See the developer notes
検出数17/23
カスペ2009 19:57
>>694 d 6/12 (4,6,7,9,a,b)
Trojan-Downloader.Win32.Agent.bgpl 4/Mensagem_2985183902.scr
Trojan-Downloader.Win32.Agent.bhbj 6/cj.exe
Trojan.Win32.KillWin.re 7/gau.exe/DSC00110.exe
Trojan.Win32.FraudPack.aqr 9/XpyBurner_Setup.exe
Trojan-Spy.Win32.Zbot.mmu a/sunrise.exe
Trojan-Downloader.Win32.Hmir.tpm b/1.exe
>>695 d 14/22
Trojan.Win32.Delf.iqt 9234.exe
Backdoor.Win32.Agent.adne rkit0.exe
Trojan-DDoS.Win32.Agent.ds rkit1.exe, rkit2.exe
Trojan-Downloader.Win32.Agent.bgmb upx351.exe, upx370.exe
HEUR:Trojan-Downloader.Win32.Generic aspk1.exe
HEUR:Trojan.Win32.Invader hellokav0.exe
HEUR:Trojan.Win32.Generic unknown[0,1,2].exe, upk1.exe,
adware not-a-virus:AdWare.Win32.Zhongsou.bb nsis1.exe
adware not-a-virus:AdWare.Win32.AdMedia.ed nsis2.exe
提出
>>673 ちょっと珍しいところでw
MicroWorld
The files are already detected as DeepScan:Generic.Malware.SPWdld.5E6431F9
>>673 Avira返答(>674全スルー → TR/Dldr.Agent.wzf)
We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the virus will be detected as "TR/Dldr.Agent.wzf".
>>673 の改変petiteはスルー多めだから対応速度見るにはいいかもね
>>673 AntiVirのパターン更新来てたので、再チェック
>704の検出名が無いところを見ると、すぐに次のパターン更新あるかも?
petite1.exe : WORM/Autorun.zvi worm
petite6.exe : WORM/Autorun.zus worm
>>674 (0/8)→(2/8)
>>673 PnadaGlobalProtection2009
残りの未検出検体も疑わしいファイルとして検出、全検出確認
708 :
701 :2009/02/12(木) 00:26:06
カスペからの返事
>>695 14+事後5=19/22 (3回答待ち)
fsg1.exe_ - Trojan-Downloader.Win32.Agent.bhfo
fsg350.exe_ - Trojan-Downloader.Win32.Agent.bhfo
msmsg1.exe_ - Trojan.Win32.Monder.azfo
nsis3.exe_ - not-a-virus:AdWare.Win32.BHO.fnm
aspk1.exe_ - Trojan-Downloader.Win32.Small.jfv (←HEUR:Trojan-Downloader.Win32.Generic)
unknown0.exe - Rootkit.Win32.Agent.hdp (←HEUR:Trojan.Win32.Generic)
unknown1.exe_ - Trojan.Win32.BHO.lxo (←HEUR:Trojan.Win32.Generic)
unknown2.exe - Trojan-Downloader.Win32.RtkDL.fbc (←HEUR:Trojan.Win32.Generic)
hellokav0.exe_ - Trojan-Downloader.Win32.Agent.bhfq HEUR:Trojan.Win32.Invader
setup1557.exe_ - Trojan program Trojan.Win32.Agent.bpuq
>>694 6/12 (3白。3回答待ち)
3\internetantiviruspro.exe, 1\jumper.exe - No malicious code was found in this file.
5\reader.exe_ - This file is corrupted.(ファイル破損)
>>673 AntiVirパターン更新で全検出を確認。
返信されてきたのと検出銘が違うような気がするけど、気にしない。
>674(0/8)→>706(2/8)→(8/8)
petite1.exe : WORM/Autorun.zvi worm
petite2.exe : WORM/Autorun.zvj worm
petite3.exe : WORM/Autorun.zvk worm
petite4.exe : WORM/Autorun.zvl worm
petite5.exe : WORM/Autorun.zvm worm
petite6.exe : WORM/Autorun.zus worm
petite7.exe : WORM/Autorun.zvn worm
petite8.exe : WORM/Autorun.zvp worm
>>673 Microsoft
+---petite1.exe [Worm:Win32/Chiviper.C]
+---petite2.exe [Worm:Win32/Chiviper.C]
+---petite3.exe [Worm:Win32/Chiviper.C]
+---petite4.exe [Worm:Win32/Chiviper.C]
+---petite5.exe [Worm:Win32/Chiviper.C]
+---petite6.exe [Worm:Win32/Chiviper.C]
+---petite7.exe [Worm:Win32/Chiviper.C]
+---petite8.exe [Worm:Win32/Chiviper.C]
>>709 アンカー間違ってた。
AntiVir
>677(0/8)→>706(2/8)→>709(8/8)
>>616-617 McAfee返答(検出名も全部きたけど、長いので省略)
DAT version 5523 provides cover against all of the submissions shown above.
2/9提出 2/12回答(回答とパターン反映には多少のタイムラグがあります)
>>673 NortonInternetSecurity2009
全てDownloaderとして検出
>>695 NortonInternetSecurity2009
Hacktool:rkit2.exe
Trojan Horse:rkit0.exe
W32.Popwin:setup1557.exe
18/22
>>698 と
>>700 は検体数を数え間違えましたorz
PandaGlobalProtection2009
>>695 検出数だけ
18/22
>>694 NortonInternetSecurity2009
Downloader:sunrise.exe
5/12
Risingから先月13日に送った検体の返事が来た。 夕方までにドカドカ来る予感。 あそこまとめて寄越すからなぁ…。
718 :
701 :2009/02/12(木) 13:27:02
カスペ2009 20/22 12:27:00
>>695 14+事後6+=20/22 (upk2,3.exe回答待ち)
hellokav1.exe_ - Trojan-Downloader.Win32.Small.jfw
upk1.exe_ - Trojan-Downloader.Win32.Small.jfx (←HEUR:Trojan.Win32.Genericから変更)
※rkit1.exe - virus Rootkit.Win32.Small.uc , Trojan-DDoS.Win32.Agent.ds (検出シグネチャにルートキット追加)
>>717 「(アルバム)(オリコン) 2009.01.21付シングル WEEKLY BEST 30 (略).exe」
ダウソ厨
>>3
単にマルウェアの報告だろ
だいたいこんなところに鑑定頼むやつなんていないだろ どうせVIRUSTOTALでスキャンするだけなんだから
ダウソ厨がこういうの踏んで個人情報だの写真だのぶちまけると メシウマだから提出しないよw
p2p等で流通しているマルウェアは放置
P2Pはダウソ板にいくつもスレあるしな
>>725 検出数だけ報告
PandaGlobalProtection2009
25/28
ESETSmartSecurity3.0
28/28
全検出
>>725 NortonInternetSecurity2009
27/28
>>725 AviraPremiumSecuritySuite
10.exe [DETECTION] Is the TR/Onlinegames.ulja Trojan
12.exe [DETECTION] Is the TR/Spy.Gen Trojan
13.exe [DETECTION] Is the TR/PSW.Online.apyj Trojan
15.exe [DETECTION] Is the TR/Spy.Gen Trojan
16.exe [DETECTION] Is the TR/Onlinegames.ulur Trojan
18.exe [DETECTION] Is the TR/Spy.Gen Trojan
19.exe [DETECTION] Is the TR/Spy.Gen Trojan
2.exe [DETECTION] Is the TR/Spy.Gen Trojan
21.exe [DETECTION] Is the TR/Spy.Gen Trojan
24.exe [DETECTION] Is the TR/Spy.Gen Trojan
25.exe [DETECTION] Is the TR/Spy.Gen Trojan
26.exe [DETECTION] Is the TR/Spy.Gen Trojan
27.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
3.exe [DETECTION] Is the TR/Spy.Gen Trojan
6.exe [DETECTION] Is the TR/Spy.Gen Trojan
7.exe [DETECTION] Is the TR/Spy.Gen Trojan
8.exe [DETECTION] Is the TR/Onlinegames.ALL Trojan
9.exe [DETECTION] Is the TR/PSW.Online.apyb Trojan
aspk1.exe [DETECTION] Is the TR/Dropper.Gen Trojan
fsg23.exe [DETECTION] Is the TR/Drop.Agent.Zlo.1 Trojan
fsg4.exe [DETECTION] Is the TR/Dropper.Gen Trojan
nspk28.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
upk11.exe [DETECTION] Is the TR/Rootkit.Gen Trojan
upk14.exe [DETECTION] Is the TR/Rootkit.Gen Trojan
upk17.exe [DETECTION] Is the TR/Rootkit.Gen Trojan
upk20.exe [DETECTION] Is the TR/Dropper.Gen Trojan
upk22.exe [DETECTION] Is the TR/Rootkit.Gen Trojan
upk5.exe [DETECTION] Is the TR/Thief.Magania.B Trojan
全検出
>>725 avast!4.8
重複してるものもあったせいで一回のレスで書ききれず詳細な報告は断念、検出数のみ報告
24/28
PandaGlobalProtection2009
>>694 reader.exeを疑わしいファイルとして検出
7/12
>>695 こちらは検出数だけ
20/22
>>725 d
カスペ2009 18:05:00
27/28
Detected virus Worm.Win32.Downloader系 2,3,6,7,8,9,10,12,13,15,16,18,19,21,24,25,26.exe
Detected Trojan-PSW.Win32.QQPass.fxr 27.exe
Detected Trojan-GameThief.Win32.WOW.fcl aspk1.exe
Detected Trojan-Dropper.Win32.Agent.adxr fsg23.exe
Detected Trojan.Win32.Inject.olm fsg4.exe
Detected Trojan-Dropper.Win32.Agent.agqq upk11.exe, upl14.exe, upk17.exe
Detected Trojan.Win32.Pakes.mqh upk20.exe
Detected Trojan-Dropper.Win32.Agent.agyb upk22.exe
Detected Trojan-GameThief.Win32.Magania.gen upk5.exe
検体提出します。(nspk28.exe)
>>695 >>725 AntiVir Free 現時点で全検出
(22/22) (28/28)
報告被ってるかもしれないが気にしない。
>>695 NOD32 v3.0 定義3847
18/22 未検出検体をEsetへ提出しました。
>>676 提出乙です(助かります)
ほかのものについても、検査・提出済のものは省略。
>>734 仮想環境でESETを入れてるものですが提出したかもしれないけど提出先のアドレスが間違って(アドレスが古かった?)もしかしたら提出できてないかもしれない
そのときは提出をよろしくお願いします
確認のためにESETへの検体提出先アドレスはこれであってます?
[email protected]
Rising 2009
21.25.22 (21.16.22.00)にて
>>725 10.exe
>>66 : Trojan.PSW.Win32.GameOL.udk
3,6,12,15,24-26.exe: Trojan.PSW.Win32.GameOL.uln
13,16.exe: Trojan.PSW.Win32.GameOL.uad
2,7,18-19,21.exe: Trojan.PSW.Win32.GameOL.ugj
8.exe
>>66 : Trojan.PSW.Win32.GameOL.udm
9.exe: Trojan.Win32.Nodef.pn
aspk1.exe: Trojan.PSW.Win32.WoWar.bby
fsg23.exe>>fsg2.0>>RING0BIN>>upx_c: Hack.Exploit.Win32.MS08-067.c
fsg4.exe>>fsg2.0: Trojan.PSW.Win32.QQPass.dzj
upk11,14.exe>>upack0.39: Trojan.Win32.KillAV.avv
upk17,22.exe>>upack0.39: Trojan.Win32.KillAV.avy
upk20.exe>>upack0.39: Trojan.PSW.Win32.LMir.cfs
upk5.exe: Trojan.Win32.Undef.vdn
26/28
21.25.32 (21.16.32.00)にて
>>695 aspk1.exe>>Aspack212r: Trojan.DL.Win32.VB.zlh
fsg1,350.exe>>upx_c: Trojan.DL.Win32.Mnless.cem
hellokav0,1.exe
>>84 >>upx_c: Trojan.DL.Win32.Mnless.ces
hellokav0.exe: <Unknown virus>
nsis3.exe>>$[32]\48.exe: Backdoor.Win32.PcClient.rcw
setup1557.exe: Trojan.Win32.Nodef.brc
unknown2.exe: RootKit.Win32.Mnless.aqg
10+8=18/22
>>725 27.exe>>FILE: Trojan.PSW.Win32.QQPass.dzw
nspk28.exe>>nspack: Trojan.Win32.QQFish.az
26+2=28/28
>>735 提出先はそれで合ってると思う。
パスは「infected」固定な(McAfeeやBitと同じ)。
>>694 AntiVir(4ファイルスルー)
1.exe : TR/Spy.ZBot.nmh.6 Trojan
cj.exe : TR/Dldr.Agent.bhbj Trojan
gau.exe : TR/Crypt.CFI.Gen Trojan
Install_1_1_.exe : TR/Crypt.XPACK.Gen Trojan
internetantiviruspro.exe : SPR/Fake.IAVP.8 program
InternetGameBox_setup.exe : −
jumper.exe : −
Mensagem_2985183902.scr : TR/Dropper.Gen Trojan
reader.exe : −
sunrise.exe : TR/Spy.ZBot.mmu Trojan
winsystems.dll : −
XpyBurner_Setup.exe : TR/Fake.XpyBurn Trojan
cj/$PLUGINSDIR/Banner.dll : −
cj/be.bat : −
cj/chang.exe : TR/Spy.Gen Trojan
cj/ds.exe : TR/Spy.Gen Trojan
cj/langr.exe : (harmful) BDS/Hupigon.Gen back-door program
cj/shayu.exe : TR/ATRAPS.Gen Trojan
cj/xuanxuan.exe : TR/Dldr.Delphi.Gen Trojan
cj/yoyo1175.exe : DR/BHO.eqn dropper
gau/DSC00110.exe : TR/Crypt.CFI.Gen Trojan
>>737 ちょwwwwwwwwww
今までパスは全部「virus」で送っちゃったよorz
742 :
名無しさん@お腹いっぱい。 :2009/02/12(木) 23:11:48
743 :
名無しさん@お腹いっぱい。 :2009/02/12(木) 23:12:51
>>741 でもありがと
今度からパスは「infected」で送ることにするよ
メールから送るのが面倒なら直接検疫から送ることも出来るしね
ESETの場合は検疫に入れなくても提出することが出来るから便利だよね
>>744 便利なんだけどあそこの翻訳が間違ってて何のことやら分からなかったな
今は直ってるのかな
今思い返してみればなんでBitDefenderに提出しても検体は対応しないし返事来ないしでおかしいなぁ〜と思ってたらそういうことだったのかorz パスは「virus」じゃなく「infected」で送らなきゃ意味がないということかorz
>>694 Trend Micro
4/12
InternetGameBox_setup.exe
jumper.exe
Install_1_1_.exe TROJ_FAKEALER.NS
internetantiviruspro.exe
Mensagem_2985183902.scr
reader.exe
cj.exe TROJ_AGENT.AJQI
gau.exe TROJ_DLOADR.ZF
winsystems.dll
XpyBurner_Setup.exe
sunrise.exe TSPY_ZBOT.AMT
1.exe
>>695 Trend Micro
17/22
9234.exe TSPY_ONLINEG.AXZ
aspk1.exe WORM_VB.HKV
fsg1.exe TROJ_DROPPER.HOH
fsg350.exe TROJ_DROPPER.HOK
hellokav0.exe
hellokav1.exe
msmsg1.exe
nsis1.exe ADW_ZZTOOLBAR
nsis2.exe TROJ_CINMENG.HP
nsis3.exe Possible_DLDER
rkit0.exe Mal_PClient
rkit1.exe Mal_PClient
rkit2.exe Mal_PClient
setup1557.exe TROJ_POPWIN.GR
unknown0.exe
unknown1.exe
unknown2.exe TROJ_FARFLI.VQ
upk1.exe TROJ_AGENT.MCL
upk2.exe TSPY_LINEAGE.DPU
upk3.exe TROJ_PACKED.CSO
upx351.exe TROJ_DLOADER.TNF
upx370.exe TROJ_DLOADER.TNF
>>673 ESETSmartSecurity3.0
petite1.exe
petite2.exe
petite7.exe
petite8.exe
Win32/AutoRun.Agent.JA worm
パスはvirusで送っちゃったけどちゃんと対応してくれてるようで
>>694 ESETSmartSecurity3.0
Malware\9\XpyBurner_Setup.exe ≫ ZIP ≫ XpyBurner.exe - Win32/Adware.HDriveSweeper application
4/12
>>741 パスはvirusで送りましたがそれでもESETからは返事が来ました
Thank you for your submission.
The detection for this threat will be included in our next signature update.
Regards,
Du?an Lacika
Virus Researcher
ESET spol. s r.o.
でもさっきは「Bitは〜」と書いたけどそれでもBitからもパスはvirusで送ったのに返事が来たということは一応対応してくれたということなんだね
あれ?ESETから昨日(いやもう一昨日なのか)送った分の返事が来た。
返答送ってくる担当者と、送って来ない担当者がいるだけなのかな?
>>673 ESET返答
Thank you for your submission.
The detection for this threat will be included in our next signature update.
McAfee返答
>>695 と
>>725 まとめて提出した分の自動回答
inconclusive
[19.exe aspk1.exe fsg1.exe fsg350.exe hellokav0.exe hellokav1.exe msmsg1.exe
nsis3.exe rkit0.exe rkit1.exe rkit2.exe setup1557.exe unknown0.exe unknown1.exe
unknown2.exe 24.exe]
heuristic detection
[nspk28.exe upk17.exe upk22.exe]
new detection
[upk1.exe upk2.exe upk11.exe upk14.exe]
current detection
[nsis1.exe nsis2.exe 10.exe 12.exe 13.exe 15.exe 16.exe 18.exe 2.exe 9234.exe
upk3.exe upx351.exe upx370.exe21.exe 25.exe 26.exe 27.exe 3.exe 6.exe 7.exe
8.exe 9.exe aspk1.exe fsg23.exe fsg4.exe upk20.exe upk5.exe]
755 :
1 :2009/02/13(金) 00:31:30
>>656 遅ればせながらd
>>735 ,737,739,741
OK.
推奨パスワードは"infected"でいいのかな。
>>695 >>725 AVG返答(検知できますと。お手数かけました…ってここで言ってもしゃーないか)
Please let us inform you that the file attached to your previous
e-mail was really infected. The detection is already available with
the current AVG virus definitions.
>>755 圧縮形式はzip推奨でいいと思うけど、パスワードはベンダー次第。比較的Infectedの方が多い気がするけど。
ClamAV、DrWebはvirus固定
Microsoft、McAfee、Syamantec辺りはInfected固定。
特に指定のないベンダーもあるし、Risingみたいに、パスなしで圧縮して送りなおせって言ってくる所も。
Normanみたいに、パスどころか圧縮してない単品にしろっていう所…は、例外か?
758 :
1 :2009/02/13(金) 01:07:14
759 :
1 :2009/02/13(金) 01:08:26
760 :
1 :2009/02/13(金) 01:09:11
761 :
1 :2009/02/13(金) 01:09:59
…メールを併記する条件と、併記しない条件がわからなくなってきた。困って無いからどっちでもいいか。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=230 infected
検体入手元:
tp://down■erhaha2■cn/new/a[2-370]■css
注記:
あぷろだに上げる都合上、拡張子をzipにしていますが、7z形式のファイルです。
拡張子を変えて.7zにしてから解凍してください。(ZIPだと13MBになるので…)
検体は各社に2/11に提出済みですので追加提出しなくていいと思います。
Syamatecだけは、(ファイルはちゃんと9つづつで分割したけど)Captchaを面倒くさがってメールで投げたので、
受け付けられてるかちょっと不安かな。
手元のセキュリティソフトでの検出状況の報告だけお願いします。
−−−−−
AntiVir:提出時 10ファイルスルー→全検出(369/369)
BitDefender:全検出(369/369)
McAfee:提出時の自動返答では全スルー(0/369)→現時点不明
766 :
765 :2009/02/13(金) 02:52:41
>>764 Syamatecへ再提出中・・・
裏技:シマへは圧縮フォルダ×2回で実はツメホーダイ(ファイル数をカウント出来ないので)
767 :
765 :2009/02/13(金) 03:23:40
補足説明。。。 裏技:シマへは圧縮フォルダ×2回(*7zip-PPMd圧縮)で実はツメホーダイ(ファイル数をカウント出来ないので)
768 :
名無しさん@お腹いっぱい。 :2009/02/13(金) 05:22:00
Rising
>>764 Trojan.DL.Win32.Mnless.cem
369/369
>>764 Kaspersky
Trojan-Downloader.Win32.Agent.bhfo
369/369
>>764 PandaGlobalProtection2009
NortonInternetSecurity2009
avast!4.8
全検出確認
ESETは何故か解凍できず検出報告は出来なかった
多分ESETも難なく検出できると思うけどESETはいつもの人に報告を任せます
773 :
772 :2009/02/13(金) 14:30:06
スマソ 今気づいたら検体名はKeygenだったorz これじゃ鑑定厨と同じ穴の狢orz
カスペ2009 検出ベース@14:12::00
検体:
>>695 (
>>701 ,708,718) 14+事後8=22/22でクローズ
Trojan program Backdoor.Win32.Inject.lh upk2.exe
Trojan program Trojan-Banker.Win32.Banker.aegb upk3.exe
検体:
>>725 (
>>718 ) 27+事後1=28/28でクローズ
Trojan program Trojan-PSW.Win32.QQPass.fyl nspk28.exe
検体:
>>694 (
>>701 ,708) 6+事後2=8 (2,4,5,6,7,9,a,b),白3(1,3,8),回答待ち1(0)
Detected Trojan program Packed.Win32.Krap.i 5/reader.exe (←This File is corrupted,より訂正)
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.dmk 2/Install_1_1_.exe
8\winsystems.dll - No malicious code was found in this file.(これは今朝4:02の返事)
0\InternetAntivirusPro.exeだけ回答待ちで未だスルー。偽セキュリティソフト?だれか代理提出お願いします。
http://www.virustotal.com/analisis/5a9b50a06c3bf47a23a8accf6daf1775 提出時3/39→今4/39
775 :
名無しさん@お腹いっぱい。 :2009/02/13(金) 15:15:23
Rising 2009 21.25.40 (21.16.40.00)
>>363 playonline\fx.htm: Trojan.DL.Script.JS.Agent.nq
17+1=18
>>464 gameicity\fx.htm: Trojan.DL.Script.JS.Agent.nq
102+1=103
>>777 PandaGlobalProtection2009
load.exeのみ疑わしいファイルとして検出
ESETSmartSecurity3.0
load.exe Win32/AutoRun.Agent.IY worm
install.exe a variant of Win32/Kryptik.HG trojan
happy_valentine.exe a variant of Win32/Kryptik.HG trojan
>>777 AviraPremiumSecuritySuite
5.htm
[DETECTION] Contains recognition pattern of the JS/Dldr.IFrame.CS Java script virus
load.exe
[DETECTION] Is the TR/Drop.Agent.agyv Trojan
avast!4.8とNortonInternetSecurity2009は全スルー
>>777 Symatnecはとりあえず1個だけ対応済み
あとは解析の方へ回すとのこと
filename: load.exe
machine: Machine
result: This file is detected as Downloader.
http://www.symantec.com/avcenter/venc/data/downloader.html filename: install.exe
machine: Machine
result: See the developer notes
filename: happy_valentine.exe
machine: Machine
result: See the developer notes
filename: 5.htm
machine: Machine
result: See the developer notes
>>777 AntiVir、avast!、Panda、Syamntec、ESETの他にAVG、BitDefender、Ahnlab、Fortinetに提出してきました
>>777 d
カスペ2009 16:33:00 1/4 検体提出します。
Detected Trojan program Trojan-Dropper.Win32.Agent.agyv load.exe
>>781 install.exeとhappy_valentine.exeはファイルサイズとMD5、SHA-512ハッシュが同一だから重複っぽいね。
785 :
777 :2009/02/13(金) 17:11:53
>>784 あっ、そうみたいですね。
すみません。
>>777 +5.htmからリンクされてるhtmlやらphpを追加して、まとめて各社に提出しました。
BitDefender(追加した分だけ検知かw)
z.htm : Iframe.Malware.A83604B1
pages.html : Trojan.Downloader.JS.MJ
count.php : Exploit.HTML.Iframe.G
AntiVir(install.exeスルー)
5.htm : JS/Dldr.IFrame.CS Java script virus
load.exe : TR/Drop.Agent.agyv Trojan
z.htm : HTML/IFrame.74 HTML script virus
>>694 Rising 2009 21.25.42 (21.16.42.00)
a\sunrise.exe: Trojan.Spy.Win32.Zbot.fak
>>777 Risingに提出済み
NOD32 ver3.0 定義3850
>>764 全検出確認。
>>777 AntiVir
25259765 5.htm 1.37 KB MALWARE
25259718 install.exe 390.5 KB MALWARE
25257976 load.exe 28 KB MALWARE
Fortinet
The samples you submitted will be detected as follows:
5.htm - JS/Psyme.EF!tr
those files are already detected as follows:
happy_valentine.exe - W32/Waledac.D!worm install.exe - W32/Waledac.D!w load.exe - W32/PackWaledac.A
>>772 The sample you submitted will be detected as follows:
keygen.exe - W32/KillWin.LEC!tr
>>777 McAfeeに提出させて頂ました。
ここまでMcAfee残件なし。
>>777 Avira(AntiVir)回答
The pattern recognition will be integrated in one of our next updates.
The viruses will be detected as:
HTML/Dldr.Agent.YQ
HTML/Dldr.Agent.YY
HTML/Dldr.Agent.YZ
Worm/Waledac.Z
>>764 カスペ返答
Trojan-Downloader.Win32.Agent.bhfo
These files are already detected. Please update your antivirus bases.
>>725 Trend Micro
27/28
10.exe TSPY_ONLINEG.FSD
12.exe TSPY_ONLINEG.FSD
13.exe TSPY_ONLINEG.FSD
15.exe TSPY_ONLINEG.FSD
16.exe TSPY_ONLINEG.FSD
18.exe TSPY_ONLINEG.FSD
19.exe TSPY_ONLINEG.FSD
2.exe TSPY_ONLINEG.FSD
21.exe TSPY_ONLINEG.FSD
24.exe TSPY_ONLINEG.FSD
25.exe TSPY_ONLINEG.FSD
26.exe TSPY_ONLINEG.FSD
27.exe TSPY_DELF.OBB
3.exe TSPY_ONLINEG.FSD
6.exe TSPY_ONLINEG.FSD
7.exe TSPY_ONLINEG.FSD
8.exe TSPY_ONLINEG.FSD
9.exe TSPY_ONLINEG.FSD
aspk1.exe TSPY_ONLINEG.KXZ
fsg23.exe
fsg4.exe TSPY_ONLINEG.ZVX
nspk28.exe TSPY_DELF.POZ
upk11.exe TROJ_PACKED.BZN
upk14.exe TROJ_PACKED.BZN
upk17.exe
upk20.exe TSPY_ONLINEG.MDX
upk22.exe TROJ_PACKED.BZN
upk5.exe TROJ_DLOADER.PDC
794 :
名無しさん@お腹いっぱい。 :2009/02/14(土) 08:01:24
うえてる。なんかくれ
バレンタインデーだろう バレンタインチョコ。のかわりのムフフ動画。に偽装したマルウェアでも発掘汁 俺?仕事。orz のんびりウイルスつついてあそびたいよ。。。
>>774 >0\InternetAntivirusPro.exeだけ回答待ちで未だスルー。偽セキュリティソフト?だれか代理提出お願いします。
過去に何回か送ってみたが全部白判定だった。
HDriveSweeper_Setup.exe
SystemTuner_Setup.exe
も白判定。偽セキュリティ系も含めてこれ系は無害判定するようになったみたいね……
>>774 ,
>>796 さっき来たカスペからの返答見ると白判定じゃないね。ファイルが壊れてるので、改めて送れって言ってる。
internetantiviruspro.exe_
Haven't a password we can't extract this file. Please send us a password or repack files
with password 'infected' (without quotes) and send it to us.
AntiVirは反応してるんだけど…さて、どうしたもんかな。
同じ物をかけた結果。VirusTotalでは検知するベンダーも検知してない。
こっちは、拡張設定(リスクウェアとかアドウェアの検知)を切ってるのかも。
VirScan.org(2/37)
ttp://virscan.org/report/4429ca87f853fe5ceab74e25a89cd508.html VirusTotalで検知するベンダーと検出名(>798の引用)
AntiVir : SPR/Fake.IAVP.8
BitDefender : Adware.Rogue.IntAntiVPro.A
eSafe : Win32.SPRFake.iavp
GData : Adware.Rogue.IntAntiVPro.A
NOD32 : Win32/Adware.InternetAntivirus
SecureWeb-Gateway : Riskware.Fake.IAVP.8
800 :
名無しさん@お腹いっぱい。 :2009/02/14(土) 15:46:32
800
801 :
名無しさん@お腹いっぱい。 :2009/02/14(土) 15:47:03
801
>>799 そっちのサイトは平均的に各ベンダーのバージョンが古い気がする
AVGは7.5のままだしavast!なんか3.01とか・・・
Kasperskyは5.5とかMcAfeeにActiveProtectonがあるわけないPandaも同様
Symantecもこの分だと2009バージョンのアップデートとヒューリスティックは恐らく適用されてないでしょうね
そこのサイトは問題ありすぎ
>>803 ノートン自動返答
filename: 1199.exe
result: See the developer notes
filename: RmtKey.htm
result: See the developer notes
filename: mpg.scr
result: This file is detected as Backdoor.Formador.
http://www.symantec.com/avcenter/venc/data/backdoor.formador.html filename: redstonelove.htm
result: See the developer notes
AVG返答
We would like to inform you that attached files "mpg.scr" and "1199.exe" are already detected.
The detection is available with current AVG virus database 270.10.23/1952.
The other files should be detected by WebShiled by accessing mentioned websites with infected
source code.(他のファイルは、感染したファイルを呼び出す時に検知すべきもの)
Norman
1199■exe:検知
* Sandbox name: W32/Malware.
* Signature name: W32/PCClient.OEE.
mpg.scr:スルー
カスペ2009@7:36:00 2/4 Detected Trojan program Backdoor.Win32.PcClient.adah tane0232.zip/mpg.scr Detected Trojan program Backdoor.Win32.PcClient.adah tane0232.zip/mpg/1199.exe 検体提出します。 しかし、7:36:00って、シグネチャのリリース時期がいつもより若干古いな。
>804
htmlで、
>The other files should be detected by WebShiled by accessing mentioned websites with infected
>source code.(他のファイルは、感染したファイルを呼び出す時に検知すべきもの)
<frameset>
<frame src="aaa.com ">
<frame src="bbb.com" >
</frameset>
上下に二つ分けるフレームセットのテンプレみたいなものだけれど、これは、フレームのソース(src)のURL(例;aaa.com)のブラックリストで鑑定しているのかな?
じゃないと、これだけでは、マルウェアでも何でもない。HTMLの解説書に載っている構文だ。
尤も、最近は、デザイン上は、フレームセットじゃなくて、<table>タグとCSS使って、ホームページをデザインしたほうがいいと推奨しているみたいだが。
2ちゃんねるのトップはは未だに左右でフレームセット使っているけれど。便利だからね。
<frameset cols="103,*">
<frame src="
http://menu.2ch.net/bbsmenu.html " name="menu" MARGINWIDTH=0 MARGINHEIGHT=4 FRAMEBORDER=0>
<frame src="
http://www.dd.iij4u.or.jp/~cap/iyan.html " name="cont" MARGINWIDTH=0 MARGINHEIGHT=0 FRAMEBORDER=0>
</frameset>
<noframes><body><a href="
http://menu.2ch.net/bbsmenu.html ">here</a></body></noframes>
>>807 いやいや…そうでなくて。
<frame src="適当なBlogを読み込んで一般サイトに表示偽装">
<frame src="裏で呼び出す既知の危険サイト" >
iframeによる「既知の危険サイト」の呼び出しの場合に引っ掛けるかどうか。
これはテンプレにあるようにベンダーの考え方次第。
やったらキリがないけど、呼び出されるアドレスはかなり絞られるので対応するベンダーもある。
>803の結果を見る限りでは、a-squared、BitDefender(GData)、Ikarus辺りは対応する考えのよう。
それがいい悪いじゃなくて、ベンダーのセキュリティ・ポリシーの違い。
提出するかどうかも、個人個人のセキュリティ・ポリシーの問題。
例えば、>690さんのようにexe以外いらねって人もいるし、わたしのように定型的なhtmlやscriptも提出し
対応するかどうかはベンダーが判断する分野だと考える人もいる。それだけっしょ。
a-squared=Ikarusのようなもんだけどね Virustotalの結果もそんな感じだし
>>809 ところで、ベンダーの提携関係教えて。
GDATA=BitDefender+Avast!しかわからない。orz
GDATAはカスペも取り入れてなかったっけ。確か3種類だった筈。
>>803 ,
>>805 カスペ返答。
1199.exe_, mpg.scr_ - Backdoor.Win32.PcClient.adah
These files are already detected. Please update your antivirus bases.
redstonelove.htm_, RmtKey.htm_
No malicious code were found in these files.
F-SecureがF-Protとカスペエンジン使ってるんだっけ? でもF-SeucreでF-Protの検出名見たことないけど
Libra (F-Protの後継)となってるけどどうなんだろね
814 :
783 :2009/02/15(日) 00:29:34
>>777 カスペからの返事 1+追加2=3/4 (5.htm 回答待ち)
install.exe_, happy_valentine.exe_ - - Email-Worm.Win32.Iksmas.ih
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
815 :
814 :2009/02/15(日) 01:23:08
カスペからの返事
>>803 (
>>805 ) 2+1=3/4 (回答待ち1)
Hello,
RmtKey.htm_ - Trojan-Downloader.JS.Iframe.aid
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
>>811 と違うけれど、アナリストの偏差でもあるのかね?
>>777 (
>>783 ,814) 1+事後3=4/4で終了
5.htm - 検体名記載なし。
New malicious software was found in this file.
>>811 ちゃうちゃう。前はavast+Kasperskyで、今はavast+Bit。
それで軽くなりましたとアピール中なんすよ。
確かにGDATA2009は軽くなったみたいだけど肝心の検出性能はBitのせいで・・・ おまけにBit側で致命的な誤検出起こしたし
あぁそれでGDATAスレが伸びていたのか
>>797-798 のカスペ返答
Hello.
internetantiviruspro.exe
No malicious code was found in this file.
この偽セキュリティソフトは「システムを壊すとかじゃないので」危険なコードなしという判断なのかも。
危険無しとするか、リスクウェアとするかはベンダー次第だから仕方ないか。
偽セキュリティソフトの検出はセキュリティソフトの本分からちょっとずれてるからねぇ。
Rising 2009 21.25.52 (21.16.52.00)
>>803 スルー
>>820 b2.exe: Dropper.Win32.Undef.oy
jhon.exe: Trojan.Win32.Midgare.hhn
u9dyi.exe: Win32.KUKU.a, Trojan.Win32.Vaklik.sh
823 :
814 :2009/02/15(日) 12:15:19
カスペからの返事
>>777 (
>>783 ,814,815) 1+2=3/4で終了
Hello.
redstonelove.htm - No malicious code was found in this file.
※RmtKey.htm - Trojan program Trojan-Downloader.JS.Iframe.aid
>>820 d
Detected Trojan program Trojan.Win32.FraudPack.arf scanner[1].exe
Detected Trojan program Trojan.Win32.Midgare.ttw 5_cod_pro_camfrog.scr
Detected Trojan program Trojan.Win32.AntiAV.sa Patsh.exe
Detected virus Virus.Win32.Sality.aa u9dyi.exe
Detected virus HEUR:Trojan.Win32.Invader SweetHeart.exe,, jhon.exe
Detected virus HEUR:Trojan.Win32.Generic Symantec.scr, b2.exe , it s Me.scr , coffin.exe
検体送付します。
>>777 Trend Micro
4/4
5.htm JS_DLOADER.RRO
happy_valentine.exe TROJ_DLOADR.AAN
install.exe TROJ_DLOADR.AAN
load.exe TROJ_IMAGE.MCL
>>764 Trend Micro
279/279
>>803 Trend Micro
2/4
1199.exe BKDR_PCCLIEN.AFR
mpg.scr BKDR_PCCLIEN.AFR
redstonelove.htm
RmtKey.htm
>>827 スマソ
up するときに俺が一緒に張っとくべきだった。
830 :
823 :2009/02/15(日) 16:50:12
検体:
>>820 カスペからの返事 10+追加検出2=12/16(白1,回答待ち残3)
hakers.exe - Backdoor.Win32.Bifrose.ansf
setup_bifrost12.1.exe - Trojan.Win32.Midgare.tut
jhon.exe - Backdoor.Win32.Bifrose.ansg (←HEUR:Invader)
Coffin.exe - Backdoor.Win32.Bifrose.anse(←HEUR:Generic)
b2.exe - Trojan-Dropper.Win32.Agent.ahck(←HEUR:Generic)
it_s_Me.scr_ - Backdoor.Win32.Bifrose.ansg(←HEUR:Generic)
SweetHeart.exe - Trojan.Win32.Midgare.tus (←HEUR:Invader)
yah patch.exe - No malicious code was found in this file.
>>820 とりあえずavast!とBitDefenderとESETとSymantecとPandaに提出してきました
検出報告は今用事で出かけるのでできません・・・
>>820 AntiVir:全ファイル検出(ヒューリスティック含む)
5_cod_pro_camfrog.scr : TR/Crypt.ZPACK.Gen Trojan
server.exe : TR/Crypt.ZPACK.Gen Trojan
AceProCreator.exe : TR/Agent.851481.A Trojan
b2.exe : TR/Rootkit.Gen Trojan
Coffin.exe : (harmful) BDS/Bifrose.aleo back-door program
hakers.exe : (harmful) BDS/Bifrose.aleo back-door program
it s Me.scr : HEUR/Malware suspicious code
cool.exe :
jhon.exe : TR/Crypt.CFI.Gen Trojan
Patsh.exe : TR/Drop.Agent.UCY.2 Trojan
scanner[1].exe : TR/Crypt.XPACK.Gen Trojan
SETUP2.EXE : W32/Alman.BB Windows virus
setup_bifrost12.1.exe : (harmful) BDS/Bifrose.aleo back-door program
SweetHeart.exe : (harmful) BDS/Bifrose.aleo back-door program
Symantec.scr : (harmful) BDS/Bifrose.Gen back-door program
Symantec.exe : (harmful) BDS/Bifrose.Gen back-door program
u9dyi.exe : W32/Sality.Y Windows virus
Uninstall.exe : TR/Agent.78305 Trojan
yah patch.exe : TR/Spy.11776.G Trojan
BitDefender(5/16)
Coffin.exe : Backdoor.Generic.151092
Patsh.exe : Trojan.Dropper.Agent.UCY
Symantec.scr : GenPack:Trojan.PWS.LdPinch.TPC
Symantec.exe : GenPack:Trojan.PWS.LdPinch.TPC
u9dyi.exe : Trojan.PWS.OnlineGames.ZRM
Uninstall.exe : Adware.Generic.52520
>>820 久しぶりにFortinetから返事が来た。(14/16)になるのかな。
We will add detection for these samples in the next regular update.
The samples you submitted will be detected as follows:
5_cod_pro_camfrog\server.exe - W32/Midgare.TTW!tr
it s Me\cool.exe - W32/Bifrose.ANSG!tr.bdr
Symantec\Symantec.exe - W32/LdPinch.TPC!tr.pws
5_cod_pro_camfrog.scr - W32/Midgare.TTW!tr
b2.exe - W32/Agent.OCZ!tr
Coffin.exe - W32/Bifrose.ALEO!tr
hakers.exe - W32/Bifrose.ALEO!tr
jhon.exe - W32/AHZE.NY!tr.bdr
Patsh.exe - W32/AntiAV.SA!tr
scanner[1].exe - W32/FraudPack.ARF!tr
SETUP2.EXE - W32/Alman.BB!tr
setup_bifrost12.1.exe - W32/Agent.OMN!tr
SweetHeart.exe - W32/Bifrose.ALEO!tr
Symantec.scr - W32/LdPinch.TPC!tr.pws
u9dyi.exe - W32/Sality.AA
yah patch.exe - Spy/BackDoor
The following samples are not infected with any malicious code:
5_cod_pro_camfrog\pic.txt
Symantec\Symantec.bat
Symantec\FxSasser.exe
AceProCreator.exe
Uninstall.exe
NOD32 v3.0 定義3853
>>820 9/16
b2.exe Win32/Agent.OCXの亜種 トロイの木馬
scanner[1].exe Win32/Adware.MSAntispyware2009 アプリケーション
Uninstall.exe Win32/Adware.Agentの亜種である可能性 アプリケーション
Coffin.exe Win32/Bifrose.NFQ トロイの木馬
Patsh.exe Win32/Injector.EHの亜種 トロイの木馬
SweetHeart.exe Win32/Bifrose.NFVの亜種 トロイの木馬
Symantec.scr Win32/Packed.Themidaの亜種である可能性 アプリケーション
u9dyi.exe Win32/PSW.OnLineGames.NMY トロイの木馬
yah patch.exe Win32/Agentの亜種である可能性 トロイの木馬
提出済のようなので、検出報告のみ。
検体:
>>820 (
>>830 )
カスペからの返事 10+追加検出2=12/16(白3,回答待ち残1)
AceProCreator.exe
Uninstall.exe
No malicious software was found in the attached file.
"SETUP2.EXE"はフォローかけたところ。
メールの場合は、ファイルごとの個別送信と、一括送信(複数ファイル添付orファイルかためて再圧縮)
のどっち?
ちなみに、漏れは個別派。カスペは、メール単位で採番しているから。
(関連性がありそうなエージェント系は、場合により、まとめて)
>>835 >メールの場合は、ファイルごとの個別送信と、一括送信(複数ファイル添付orファイルかためて再圧縮)
のどっち?
大体は一括で送るようにしてる
けどSymantec(Webフォームで送信)はここでうpされた検体zipファイル(つまり検出できる検体と未検出の検体が混ざった圧縮ファイル)をそのまま送ると送った瞬間にSymantecから返事が来る
そこはまだ良いんだけど未検出検体の返事が全部See the developer notesになってそれ以降は返事が来なくなるのが難点、自動処理できたかどうかもわからない状態
だから未検出の検体だけを選んで固めて送るようにしてる
837 :
823 :2009/02/16(月) 16:09:50
検体:
>>820 (
>>830 ,836)
カスペからの返事 10+追加検出2=12/16(白4)で終わり
SETUP2.EXE
No malicious software was found in the attached file.
>>835 なるほどね。
>>835 ある程度まとめてる。メールを大量に送りすぎると
先方のSPAM判定鯖にSPAM扱いされて
しばらくシカトされることがある(文面コピペだしね…)。
月が変わるころに解除されるっぽい。
>>836 の続き
AntiVirは今でメールで送れなくなったからこちらもWebフォームで送ってる
SymantecのWebフォームより楽なのがいいしこちらも一括で送ってるしSymantecのような未検出の検体だけ送るとかそんな気使いしなくてもいいのがまた気楽
PandaはPanda内の検疫フォルダから送るようにしてる、確実だしね
ただPanda鯖の問題で検疫フォルダから提出できないときはメールで提出してる、こちらは返事は来ないけど対応してくれるからよしとしてる
avast!はメールで一括送信かな・・・
チェスト経由からでも提出できるみたいだけどこちらは面倒なのでやってない
>>839 AntiVirはアドレス変わってるよ。
Avira GmbH(AntiVir) <virus_malware☆avira.com>
Rising 2009
21.26.01 (21.17.01.00)
>>363 playonline\off.htm: Trojan.DL.Script.JS.Agent.nr
new.html: Trojan.DL.Script.JS.Agent.ns
18+2=20/39
>>464 gameicity\off.htm: Trojan.DL.Script.JS.Agent.nr
103+1=104
>>803 mpg\1199.exe: Backdoor.Win32.PcClient.rep
mpg.scr
>>1199 .exe: Backdoor.Win32.PcClient.rep
2/4
21.26.02 (21.17.02.00)
>>363 playonline\Ms06014.htm: Trojan.DL.Script.VBS.Agent.fm
playonline\real.html: Trojan.DL.Script.JS.Agent.nw (Risingからの回答分、現時点で未検出)
20+1+1=22/39
16ファイルは不是病毒との回答(fx.htmが2個あったので回答が不正確)
>>464 gameicity\Ms06014.htm: Trojan.DL.Script.VBS.Agent.fm
104+1=105
>>833 >>837 820 です。
Fortinet で Malware 判定された SETUP2.EXE などが
Kaspersky では Malware 判定されないってところは
各社のポリシーに依存するところなんでしょうか?
ここに上げる Malware の基準なんだが VirusTotal あたりで
そこそこヒットしてれば OK?
それとも、皆、動作確認してあげてるの?
Anubisで動作確認してからだな俺は
844 :
835 :2009/02/16(月) 20:28:04
>>839 なるほどね。
楽なのに越したことはないね。
ところで、Pandaはテンプレに抜けているが、大丈夫。
>>4-8 >>1 のWikiには、
Panda(Panda Platinum) <virussamples☆pandasecurity.com>
と書いている。
追加した方がよくない?
>>843 ありがとうございます。
ググッて調べてみましたが、便利なサービスがあるんですね。
いままで VM で動作させてた俺って・・・。orz
次回は使ってみます。
>それとも、皆、動作確認してあげてるの? それは仮想環境を利用してるかしてないかで変わると思うね 私のところはPCは3台あるけど1台しか導入してない
>>846 確かにそうですね。
できる人はちゃんと動作確認やってるってことで理解しました
次も確認してあげるようにします
>>848 Kaspersky返答。やっぱり誤検出かな。
AxCmd.exe_
No malicious code was found in this file.
カスペ辺りだったらとっくに検体は送られてるだろうしな
カスペは即返答きたし、
>>848 は、検出可否報告なしでいいかも。
送るなら検出してるところか
Rising 2009 21.26.10 (21.17.10.00)
>>777 tane0229\load.exe: Trojan.Win32.Nodef.ccs
1/4
Aviraで検索したらGOM PLAYERの中に「TR/Crypt.XPACK.Gen」が2つ出てきたんだけど、 これって上の方のレスにあるように誤検出って意味でおk? スレ違いだったら適切なスレに誘導おながいしまつ。 現在隔離中。
>>854 それはパッカーに反応してるだけだから中身は黒とも白ともいえんな
Aviraに提出して聞くのが一番はやい
>>854 >>216-226 前に話題になった時と同じファイルならばリスクウェアと考えるべきかもしれない。
でも、GOM Player使ってるけど、うちのAntiVirFreeだと反応しないな。GOMのバージョン幾つよ。
857 :
854 :2009/02/18(水) 11:10:47
御二方レス感謝です〜
>>855 なるほど提出ですか(・∀・)
>>856 自分もAntiVirのフリー版です。
今よく見てみたら、1つは上のと同じ「GOMPLAYERJPSETUP.EXE」。
もう1つが「Dodge.dll」です。
GOMのバージョンは「GOM Player 2.1.9.3754 (Unicode)」です。
>リスクウェアと考えるべきかもしれない。
そういえば「GOMって怪しい」ってレスを以前見たことが・・・。
>>857 取り敢えず、アンインストールして最新版入れときなさい。そっちは検出されないから。
該当ファイルは
>>1 のアプロだに上げといて貰えると誰かが提出してくれるかもしれない。
追記: Dodge.dllはイースターエッグ用のものらしく、dllをexeに変えると実行できるものだとか。 拡張子偽装みたいなもんか。うちで使ってるバージョンでは検知してないですけどね。
さらに追記: ついさっきAntiVirのパターンが更新され、「Dodge.dll」が検知されるようになった。
細かいことで煽るつもりじゃないけど 検知して検出したんだろ
Rising 2009 21.26.20 (21.17.20.00)
>>333 b\tubeviewersetup.exe: Trojan.Win32.Nodef.chj
7+1=8/12
>>854-864 GOM Playerの件、Aviraから返答。誤検知なので次の更新で対応。
Thank you for your recent inquiry.
We could not find a virus in the attachment you have sent us. This is a generic false positive.
We will take out the pattern recognition in one of our next updates.
Rising 2009 21.26.22 (21.17.22.00)
>>695 unknown0.exe: Trojan.Win32.Nodef.cku
18+1=19/22
>>820 20090215\it s Me.scr>>cool.exe: Trojan.Win32.VBCode.eg
3+1=4/16
867 :
854 :2009/02/18(水) 20:36:36
やはり古いですよね(;・∀・)最新版にしてみます〜
>>858-864 ナル(・∀・)ホド
Dodge.dllって拡張子偽装みたいなものですか・・・怖いですよね。
提出感謝です〜
>>865 早速回答がありましたか!誤検知だったんですね。
皆さんのおかげで助かりました( ´∀`)=3 ホッ
>>557 >>567 時点でMcAfeeからの返信は
Analysis ID: 5120725
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
keygen.exe |inconclusive | | |no
本日、McAfeeからEscalationメールが届きました。
Subject: Escalation: 5120725
EXTRA.DAT
The file should be copied into the directory where the other DAT files reside (with default installation, C:\Program Files\Common Files\McAfee\Engine).
製品のdatへのフィードバックは近々される筈。。
余談ですが、もしもAVERTの中の人が見てたらお願いがあります。
メールのフォーマットを統一して頂けませんでしょうか。。。
>>867 昼の時点では最新版でも引っ掛かるようになってた訳ですが。(^^ゞ
先程、アップデートかけたらパターン更新されたので再チェック。問題なし。
ANTIVIR3.VDF : 7.1.2.38 → 検知(TR/Crypt.XPACK.Gen)
ANTIVIR3.VDF : 7.1.2.43 → 検知しなくなっていました
取り敢えず、次からはここじゃなくAntiVirのスレでやろうな。
870 :
854 :2009/02/19(木) 05:38:40
>>869 そうだったんですか( ´∀`)
>取り敢えず、次からはここじゃなくAntiVirのスレでやろうな。
確かにそうですよねスマソ
ググったらこのスレが見つかったので、つい慌ててしまいました(ノ∀`)
>>871 AviaPremiumSecuritySuite
Malware\0\load.exe [DETECTION] Is the TR/Drop.Agent.agyv Trojan
Malware\1\load.exe [DETECTION] Is the TR/Dldr.Agent.bhoc Trojan
Malware\3\cancelamento.scr [DETECTION] Is the TR/Crypt.CFI.Gen Trojan
Malware\5\cr.txt [DETECTION] Is the TR/Agent.bqbw Trojan
Malware\6\ldr.exe [DETECTION] Is the TR/Agent2.dte Trojan
Malware\7\CAM070209.exe [DETECTION] Is the TR/Dropper.Gen Trojan
Malware\8\viewtubesoftware.40004.exe [DETECTION] Is the TR/Dropper.Gen Trojan
Malware\9\valkit.exe [DETECTION] Is the TR/Agent.ojr Trojan
Malware\a\PIC2009-02-15-JPG.exe [DETECTION] Is the TR/Dropper.Gen Trojan
9/12
avast!4.8
Malware\0\load.exe:Win32:Trojan-gen {Other}
Malware\1\load.exe:Win32:Trojan-gen {Other}
Malware\3\cancelamento.scr:Win32:Trojan-gen {Other}
Malware\5\cr.txt:Win32:Spyware-gen [Trj]
Malware\6\ldr.exe:Win32:Rootkit-gen [Rtk]
Malware\7\CAM070209.exe:Malware\7\CAM070209.exe
Malware\9\valkit.exe:Win32:Trojan-gen {Other}
7/12
>>871 PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A Malware\7\CAM070209.exe、Malware\5\cr.txt、Malware\1\load.exe
ウイルス発見 : W32/Waledac.I.worm MALWARE\9\VALKIT.EXE
ウイルス発見 : Trj/Downloader.MDW MALWARE\0\LOAD.EXE
疑いのあるファイル MALWARE\8\VIEWTUBESOFTWARE.40004.EXE、Malware\3\cancelamento.scr、Malware\6\ldr.exe
8/12
>>871 NortonInternetSecurity2009
Downloader:Malware\0\load.exe、Malware\7\CAM070209.exe
Downloader.Trojan:Malware\1\load.exe
Trojan.Dropper:Malware\5\cr.txt
Trojan.Fakeavalert:Malware\8\viewtubesoftware.40004.exe
5/12
ESETSmartSecurity3.0
詳細な検出報告はいつもの人に任せるということで検出数だけ報告
4/12
>>871 Avira、avast!、Panda、Symantec、ESETに提出しました
>>871 d
カスペ2009 18:37 9/12,(0,1,3,5,6,7,8,9,a,b) 検体提出します。(2,4,8)
Detected Trojan program Trojan-Dropper.Win32.Agent.agyv 0/load.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bhoc 1/load.exe
Detected Trojan program Backdoor.Win32.Agent.adwa 3/cancelamento.scr
Detected Trojan program Trojan.Win32.Agent.bqbw 5/cr.txt
Detected Trojan program Trojan.Win32.Agent2.dte 6/ldr.exe
Detected Trojan program Trojan-Downloader.Win32.Banload.ably 7/CAM070209.exe
Detected virus Email-Worm.Win32.Iksmas.kj 9/valkit.exe
Detected Trojan program Backdoor.Win32.SdBot.kmt a/PIC2009-02-15-JPG.exe
Detected virus not-a-virus:FraudTool.Win32.TotalVirusProtection.a b/totalvirusprotections.exe
>>871 検体提出後ESETSmartSecurity3.0で再スキャン
4/12から10/12へと増加
しかしESETは本当に見違えるように進歩したな
あとアドバンスドヒューリスティック機能も頻繁に改善してるみたいだね、今月は確認できるだけで2回のヒューリスティック機能のアップデートがあった
このスレでの検出率が酷かった頃のESETはアドバンスドヒューリスティック機能のアップデートは3ヶ月に一回とかが当たり前だった
そのときと比べたら本当にESETは良くなったと思う
Rising 2009 21.26.32 (21.17.32.00)
>>820 20090215\5_cod_pro_camfrog.scr>>server.exe: Trojan.Win32.Nodef.cmp
4+1=5/16
>>871 0\load.exe: Trojan.Win32.Nodef.ccs
1\load.exe: Trojan.PSW.Win32.GameOL.uwp
2/12
>>879 解凍できません
881 :
880 :2009/02/20(金) 07:55:15
>>879 これはどういう環境で発動するの?
MS04-028ではなさそうだし。
いや >この不正プログラムは、 "iFrame" タグが組み込まれた GIFファイル、JPGファイルおよび SWFファイルの検出名です。 くらいはファイル見りゃわかるんだけどさ。 IEに食わせても動かないし、何を狙っているのかがわからん。
>>884 ここは解析スレじゃないから、具体的な挙動については余所でやれ。
アドレス自体は失効してるものを含んでたりするが、アフィ踏ませる奴で、危険サイトではなさそうだが
手法としては検出すべきものだろう。
>>879 Symantec自動返信
filename: 41554.jpg
result: This file is clean
さすがNorton、よくわかってるな。
そうやって検出率テストに差が開いていくわけだ
は?
>>891 AviraPremiumSecuritySuite
a1.exe [DETECTION] Is the TR/Hijacker.Gen Trojan
a350.exe [DETECTION] Is the TR/Hijacker.Gen Trojan
a351.exe [DETECTION] Is the TR/Hijacker.Gen Trojan
a370.exe [DETECTION] Is the TR/Hijacker.Gen Trojan
ms09002.htm [DETECTION] Contains recognition pattern of the HTML/Rce.Gen HTML script virus
pcclient1.exe [DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
pcclient2.exe [DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
petite1.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
petite2.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
upk1.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
upk2.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
全検出
avast!4.
a1.exe\[Embedded_Ix#00530]:Win32:Trojan-gen {Other}
a350.exe\[Embedded_Ix#00530]:Win32:Trojan-gen {Other}
a351.exe\[Embedded_Ix#00530]:Win32:Trojan-gen {Other}
a370.exe\[Embedded_Ix#00530]:Win32:Trojan-gen {Other}
ms09002.htm:JS:CVE-2009-0075-A [Expl]
pcclient1.exe:Win32:Downloader-AZY [Trj]
pcclient2.exe:Win32:Downloader-AZY [Trj]
petite1.exe\[Petite]\[Embedded_I#7034]:Win32:Rootkit-gen [Rtk]
petite2.exe\[Petite]\[Embedded_I#07034]:Win32:Rootkit-gen [Rtk]
upk1.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
upk2.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
avast!も全検出、ちなみにavast!はファイルの中身を細かくスキャンする傾向があるようで同じ検体で何度も検出することがあった
なのでここで報告する時は一つだけ抽出して報告するようにします
>>891 PandaGlobalProtection2009
ms09002.htm、pcclient1.exe、pcclient2.exe、petite1.exeがスルー
あとは疑わしいファイルとして検出
>>891 NortonInternetSecurity2009
Suspicious.MH690.A:petite1.exe、upk1.exe、upk2.exe
Trojan.Dropper:a1.exe、a350.exe、a351.exe、a370.exe
ESETSmartSecurity3.0
upk2.exe Win32/AutoRun.Delf.AKの亜種 ワーム
upk1.exe Win32/AutoRun.Delf.AKの亜種 ワーム
petite2.exe Win32/AutoRun.Agent.IEの亜種である可能性 ワーム
petite1.exe Win32/AutoRun.Agent.IEの亜種である可能性 ワーム
pcclient2.exe Win32/PcClient.NCRの亜種 トロイの木馬
pcclient1.exe Win32/PcClient.NCRの亜種 トロイの木馬
a370.exe Win32/TrojanDownloader.Small.OME トロイの木馬
a351.exe Win32/TrojanDownloader.Small.OME トロイの木馬
a350.exe Win32/TrojanDownloader.Small.OME トロイの木馬
a1.exe Win32/TrojanDownloader.Small.OME トロイの木馬
>>891 カスペ2009 @ 1:09:00
d
8/11
Detected Trojan program Trojan-Dropper.Win32.Mudrop.mx tane0238\pcclient1.exe, pcclient2.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bhmm tane0238\a1.exe, a350.exe, a351.exe, a370.exe
Detected virus HEUR:Trojan.Win32.AntiAV tane0238\petite1.exe , Petite2.exe
検体提出します。
>>897 「?」と思ったけど、ブログねw
自分のブログで書いておきながら検出しないのはバスターではよくあるな。
McAfeeは「exploit-cve2009-0075」とextra.dat(臨時パターン)が飛んで来た。
>>891 Rising 2009 21.26.41 (21.17.41.00)
a1,350-351,370.exe: Trojan.DL.Win32.Mnless.cfj
upk1-2.exe>>upack0.34>>MYD: Trojan.Win32.Nodef.csf
Risingに送付済み
カスペ2009@17:54:00
>>896 6+事後5=11/11で終了
Detected Trojan program Trojan-Dropper.Win32.Mudrop.wz tane0238.zip/petite1.exe (←HEUR:Trojan.Win32.AntiAV)
Detected Trojan program Trojan-Dropper.Win32.Small.ctu tane0238.zip/petite2.exe//Petite (←HEUR:Trojan.Win32.AntiAV)
Detected virus Worm.Win32.AutoRun.aaor tane0238.zip/upk1.exe
Detected virus Worm.Win32.AutoRun.aaos tane0238.zip/upk2.exe
Detected Trojan program Exploit.JS.MS09-002.b tane0238.zip/ms09002.htm
>>879 Hello,
41554.jpg_ - No malicious code was found in this file.
ポリシーだな。
NOD32 V3.0 定義3873
>>871 すでに
>>875 ,
>>878 で検査済だが
4/12→10/12→11/12
未検出なのは2\setup.exe
0\load.exe Win32/AutoRun.Agent.IY ワーム
1\load.exe Win32/AutoRun.Agent.JK ワーム
3\cancelamento.scr Win32/Spy.Agent.NLP トロイの木馬
4\setup.exe 複数の脅威
5\cr.txt Win32/Spy.Zbot.IW トロイの木馬
6\ldr.exe Win32/Spy.Zbot.JD トロイの木馬
7\CAM070209.exe Win32/TrojanDownloader.Banload.ONC トロイの木馬
8\viewtubesoftware.40004.exe Win32/TrojanDownloader.Zlob.CZJ トロイの木馬
9\valkit.exe Win32/Waledac.EO トロイの木馬
a\PIC2009-02-15-JPG.exe Win32/IRCBot.ALW トロイの木馬
b\totalvirusprotections.exe Win32/Adware.TotalVirusProtection アプリケーション
とりあえず自分で確認したうえでの検体提出先へ送る時の推奨圧縮パス Pandaはinfectedのパスかけて送るよりvirusでパスかけて送った方が対応してくれる、というかinfectedでは対応してくれなかった気がする BitDefenderはこの逆でパスがvirusの奴で送ると対応してくれないがパスがinfectedだと対応してくれる ただ両ベンダーとも推奨圧縮パス以外で送ると対応してくれないというより対応が異常に遅くなるという方が妥当なのかもしれない avast!はvirusもinfectedもどっちもおk ESETはinfected推奨だけどvirusでも問題なし とりあえずこんなところ、参考にしてもらえればありがたい
>>904 確かにAvastはどっちで送っても同じだったなぁ。PandaはInfectedで送ってた。次からはvirusで送ろう。参考になった。
Dr.Webはvirus推奨だが、infectedでもほぼ同じ速度で対応してくれていたのだが、自動処理できないので
virusで送ってくれというお願いのメールが来た。他のベンダーの場合も、推奨のパスワードで送ったほうが
担当者が無駄な労力をかけないで済むかもしれないので、この手の情報は有難いな。
ちなみにAntiVirとSymantecはWebフォームで送ってるのでお答えできません ただ以前メールでAntiVirに提出してた時は解凍パスはvirusで送ってた
NOD32 V3.0 定義3873
>>879 0/1 提出しました
>>891 ms09002.htmのみ未検出
以前メールで Avira に検体を送ったら、返信の最後に Web で送ってくれと書いてあった
>>903 え?検出できますよ?
それとも一部ファイルの検出は対象外?
Malware\2\setup.exe > 7ZIP > RegClean.exe > INNO > file0002.bin - Win32/Adware.RegistrySmart アプリケーション
setup.exe > 7ZIP > RegClean.exe > INNO > file0003.bin - Win32/Adware.RegistrySmart アプリケーション
Malware\2\setup.exe > 7ZIP > RegClean.exe > INNO > file0005.bin - Win32/Adware.AntiSpyware2008 アプリケーション
>>909 ミスったorz。
圧縮ファイル解凍時にひっかかりませんでした。右クリック→検査 で検出を確認。
>>910 d
カスペ2009 10:49:00
20/28 検体提出します。
virus Virus.Win32.VB.ke 10.1.08.exe
virus HEUR:Trojan.Win32.Generic Assasin Virus.exe, Bh120.scr, Cheat games.exe, coocking,scrm estadium.scr, fullzadi.scr, Hm211.scr,, (2) sexi.scr
virus Rootkit.Win32.TDSS.pil EuQgwHth.exe
virus Worm.Win32.AutoRun.erd ieshwiz.exe
virus Rootkit.Win32.TDSS.pii LUfeKtuG.exe
Trojan program Trojan.Win32.VB.bsq A Virus.exe
Trojan program Trojan-Dropper.Win32.Agent.ati ASPack_Setup.exe
Trojan program Trojan.Win32.Pakes.mzc csrcss.exe
Trojan program Trojan.Win32.Regrun.agd Data owner.exe
Trojan program Packed.Win32.Black.a EF188373d01.exe
Trojan program Trojan-Spy.Win32.Ardamax.aljなど setup-ardamax 3.0.exe
Trojan program Trojan-Spy.Win32.Ardamax.alsなど setup_akl.exe
Trojan program Packed.Win32.PePatch.lc stereomix.exe.exe
>>910 PandaGlobalProtection2009
検出数だけ
21/28
NortonInternetSecurity2009
>>891 追加検出+3
Infostealer:petite2.exe
Backdoor.Formador:pcclient1.exe、pcclient2.exe
10/11
>>910 6/28
>>910 ESETSmartSecurity3.0
19/28
nProtectはBitDefenderのエンジンを採用してるってことでおk? 検出名見たらBitと同じのが多く見当たる
で、eSafeもSophosやFortinet同様に法人向けのみに販売していて個人には販売してない模様 確認できるだけでも法人向けのみのベンダーはSophos、Fortinet、eSafe、SecureWeb-Gatewayぐらいかな 法人主力ならそりゃレベルの高い製品作らないと意味ないか
Rising 2009 21.26.50 (21.17.50.00)
>>891 petite1.exe>>petite2x: Worm.Win32.Undef.dx
6+1=7/11
>>910 A Virus.exe: Trojan.Win32.VB.zyh
ASPack_Setup.exe: Dropper.VB.jt
csrcss.exe: Backdoor.Win32.VB.epm
Data owner.exe, PCMAV.exe: Win32.Virut.GEN
EuQgwHth.exe, LUfeKtuG.exe: Trojan.Win32.Nodef.cai
pic.exe>>server.exe: Trojan.Win32.Nodef.cmp
8/28
検体送付済み
924 :
914 :2009/02/21(土) 14:38:21
>>910 カスペからの返事
20+事後検出4=24/28 (白2,回答待ち2)
Angel2.exe_ - Virus.Win32.VB.ma
PCMAV.exe_ - Trojan.Win32.VB.kbz
AYU_2.exe_ - Trojan.Win32.VB.kcd
boot.com_ - Worm.Win32.AutoRun.fbb
Assasin_Virus.exe_ - Trojan.Win32.DiskFlood.l (←HEUR:Worm.Win32.Generic)
Cheat_games.exe_ - Trojan.Win32.DiskFlood.m (←HEUR:Trojan.Win32.Generic)
fullazadi.scr_ - Trojan.Win32.Agent.brrm (←HEUR:Trojan.Win32.Generic)
(2)_sexi.scr_ - Trojan.Win32.Agent.brrn (←HEUR:Trojan.Win32.Generic)
3dsmax (3ds max) 8 activator.exe_, patch.exe_
No malicious code was found in this file.
nvfond.exe - This file clean. Bad cured virus in this file. Now file corrupt
これは、よくわからないので、再送。.
>>910 NOD32 v3.0 定義3875
>>918 と報告数が違うけど。。。(アドバンスドヒューステリックOFFにしてるのかな?)
こちらでは23/28 未検出5つをEsetへ提出しました。
(2) sexi.scr Win32/Genetikの亜種である可能性 トロイの木馬
10.1.08.exe Win32/AutoRun.VB.BN ワーム
3dsmax (3ds max) 8 activator.exe Win32/SdBotの亜種である可能性 トロイの木馬
A Virus.exe Win32/VB.NMZの亜種 ワーム
Angel2.exe 新種・未知のNewHeur_PEである可能性 ウイルス
ASPack_Setup.exe Win32/TrojanDropper.VB.NBD トロイの木馬
Bh120.scr Win32/Genetikの亜種である可能性 トロイの木馬
boot.com Win32/Kryptik.BTの亜種 トロイの木馬
coocking.scr Win32/Genetikの亜種である可能性 トロイの木馬
csrcss.exe Win32/Kryptik.BFの亜種 トロイの木馬
Data owner.exe Win32/VB.DAの亜種 ワーム
EF188373d01.exe Win32/Packed.Themidaの亜種 アプリケーション
estadium.scr Win32/Genetikの亜種である可能性 トロイの木馬
EuQgwHth.exe Win32/Kryptik.HHの亜種 トロイの木馬
fullazadi.scr Win32/Genetikの亜種である可能性 トロイの木馬
Hm211.scr Win32/Genetikの亜種である可能性 トロイの木馬
ieshwiz.exe Win32/Agent.OJO ウイルス
LUfeKtuG.exe Win32/Kryptik.HHの亜種 トロイの木馬
patch.exe Win32/HackTool.Patcher.Aの亜種 アプリケーション
pic.exe Win32/Bifrose.NEN トロイの木馬
setup-ardamax 3.0.exe 複数の脅威
setup_akl.exe 複数の脅威
stereomix.exe.exe Win32/Injector.EQの亜種 トロイの木馬
>>919 Bitだよ。
>>920 BitDefenderはSoftwin社の製品。
ま、ネトゲにくっついてるGameGuardにBitが入ってるわけではないです。
>>928 NOD32 v3.0 定義3875
0/2
>>928 AviraPremiumSecuritySuite
ms09002_2003sp2.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
ms09002_xpsp2.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
avast!4.8
ms09002_2003sp2.htm:JS:CVE-2009-0075-A [Expl]
ms09002_xpsp2.htm:JS:CVE-2009-0075-A [Expl]
>>928 PandaGlobalProtection2009
両方ともスルー
>>910 PandaGlobalProtection2009
25/28
>>928 NortonInterntetSecurity2009
Hacktool.IE.Exploit:ms09002_xpsp2.htm
>>925 もしかしたら単に私の数え間違いかもしれませんorz
935 :
923 :2009/02/21(土) 21:58:08
Rising 2009 21.26.52(21.17.52.00)
>>891 petite2.exe>>petite2x: Worm.Win32.Autorun.fey
7+1=8/11
>>928 ms09002_2003sp2.htm: Hack.Exploit.Script.JS.Bucode.m
1/2
>>910 Risingより未検出の20体すべて不是病毒
8/28
937 :
914 :2009/02/21(土) 22:42:58
カスペ
検体:
>>910 (
>>914 ,924)
20+事後検出4=24/28 (白2、ファイル破損1, 回答待ち pic.exe 1)
Trojan program Trojan.Win32.Agent.brrn coocking.scr, Hm211.scr (←HEUR:Trojan.Win32.Generic)
Trojan program Trojan.Win32.Agent.brrm Bh120.scr, estadium.scr (←同上)
nvfoud.exe - This file is corrupted.
検体:
>>871 (
>>877 )
9+事後検出1=10/12 (2,4以外), 回答待ち2(2\setup.exeと4\setup.exe)
Trojan-Downloader.Win32.Agent.bihg 8\viewtubesoftware.40004.exe
>>928 >>934 2/2
>>936 >股間が写った釣り動画
提出ためらうな。
>>942 解凍できない
壊れてる?
WinRARなら出来るのかな
Zipでお願い
>>936 これも解凍出来た方、zipでお願いします。
>>938 それは、システムと隠しの属性ついたファイルだったような。表示する設定になってない人には見えないかもしれん。
わたしは、システムと隠し属性を解除してから検体送ったよ。
ん、Risingの解析報告に10.1.08.exeが入ってないな
(´・ω・) カワイソス
>>944 >>946 未検出送ってきます
>>944 ,946
AntiVir(全検出)
1199.exe.ico : DR/PcClient.Gen dropper
1199.exe.sys : TR/Rootkit.Gen Trojan
1199.exe.dll : (harmful) BDS/Backdoor.Gen back-door program
GTDR.exe : TR/Inject.ozz Trojan
GTDR/muchboy.exe : TR/Inject.ozz Trojan
muchboy.exe.ico : TR/Inject.ozz Trojan
RM.exe : DR/PcClient.agv dropper
RM/1199.exe : DR/PcClient.Gen dropper
>>951 ほんとだ
書いてないから当然dlpassと同じと思った
10.1.08.exeは+Lhacaで解凍出来ますね。
>>928 NortonInternetSecurity2009
約6時間で対応完了
2/22/02:29
filename: ms09002_2003sp2.htm
machine: Machine
result: This file is detected as Hacktool.IE.Exploit.
Symantecは
>>954 みたいに自動解析が常時6時間で解析完了してくれれば検出率も上がりそうな感じがするんだけどな・・・・
というよりも自動解析失敗→手動解析行きのパターンが対応速度が遅すぎてこれが痛い
自動解析の精度と速度を高めて手動解析も対応が速くなればSymantecは完璧なんだけどな・・・
今のSymantecの課題はこれかも(これはPandaにもいえると思う、対応速度の傾向的にSymantecとPandaは似てる)
ま、去年の今頃と比べたらSymantecはだいぶ進歩したからこれからの伸びしろに期待
956 :
935 :2009/02/22(日) 13:34:17
Rising 2009 21.26.60 (21.17.60.00)
>>871 3\cancelamento.scr: Trojan.PSW.Win32.Undef.bbx
6\ldr.exe: Trojan.Win32.Ntos.oi
8\viewtubesoftware.40004.exe: Trojan.DL.Win32.Undef.dkc
9\valkit.exe: Trojan.DL.Win32.Undef.dkb
a\PIC2009-02-15-JPG.exe>>CABINET>>rye.exe: Backdoor.Win32.Gpigeon2008.atr
a\PIC2009-02-15-JPG.exe: <Unknown virus>
2+5=7/12
>>891 pcclient1.exe: Backdoor.Win32.Nodef.u
pcclient2.exe: Backdoor.Win32.Nodef.t
8+2=10/11
>>910 Assasin Virus.exe: Trojan.Win32.Nodef.dmc
AYU 2.exe: Trojan.Win32.Nodef.dmd
Cheat games.exe>>upx_c: Trojan.Win32.Nodef.dme
8+3=11/28
>>944 muchboy.exe.ico: Trojan.Win32.Nodef.dmn
1/1
>>946 1199.exe.dll: Backdoor.Win32.PcClient.rgq
1199.exe.sys: RootKit.Win32.FileHidder.c
1199.exe.ico: Backdoor.Win32.Nodef.t
2+1=3/3、上二つは報告忘れ分
以下は瑞星2009的21.17.61版本(瑞星2008的20.84.61版本)で対応予定
>>928 1、文件名:ms09002_xpsp2.htm
病毒名:Hack.Exploit.Script.JS.MS09002.a
1+1=2/2
カスペ 17:25:00
検体:
>>910 (
>>914 ,924,937)
20+事後検出5=25/28 (白2、ファイル破損1)でクローズ
Trojan.Win32.Midgare.uhu pic.exe
958 :
949 :2009/02/23(月) 14:58:08
Risingより
>>910 文件名:10.1.08.exe
病毒名:Worm.Win32.VB.te
21.27 (21.18.80.00) で検出も確認
11+1=12/28
>>959 AviraPremiumSecuritySuite
Malware\0\readmer.txt [DETECTION] Is the TR/Spy.ZBot.lxc Trojan
Malware\1\cm.exe [DETECTION] Contains recognition pattern of the DR/Advis.356352 dropper
Malware\2\sur.exe [DETECTION] Is the TR/Spy.ZBot.nlj Trojan
Malware\3\install.exe [DETECTION] Is the TR/Dldr.Agent.bido Trojan
Malware\4\dev.exe [DETECTION] Is the TR/Waledac.409088.1.4 Trojan
Malware\5\server.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\7\softname.exe
[0] Archive type: NSIS
--> ProgramFilesDir/pc.exe
[DETECTION] Contains recognition pattern of the SPR/Fraud.PrivC.1 program
Malware\8\setup.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\a\ldr.exe [DETECTION] Contains recognition pattern of the DR/Delphi.Gen dropper
avast!4.8
Malware\0\readmer.txt:Win32:Rootkit-gen [Rtk]
Malware\1\cm.exe\adv112.exe\install.exe:Win32:Rootkit-gen [Rtk]
Malware\2\sur.exe:Win32:Rootkit-gen [Rtk]
Malware\6\xcvb2.pdf:JS:Pdfka-AN [Expl]
Malware\8\setup.exe:Win32:Trojan-gen {Other}
NOD32 v3.0 定義3880
>>959 6/12
0\readmer.txt______Win32/Spy.Zbot.JP トロイの木馬
1\cm.exe____________複数の脅威
2\sur.exe____________Win32/Spy.Zbot.JN トロイの木馬
3\install.exe________Win32/Adware.Antivirus2010 アプリケーション
4\dev.exe___________Win32/Kryptik.HUの亜種 トロイの木馬
6\xcvb2.pdf_________PDF/Exploit.Pidief.AFV トロイの木馬
未検出ぶんをEsetへ提出しました。
>>959 d
カスペ2009 18:18:00
8/12 (2, 3 ,5, 6, 7, 8, 9 ,a )
検体提出します。
Detected Trojan program Trojan-Spy.Win32.Zbot.nlj 2/sur.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bido 3/install.exe
Detected Trojan program Backdoor.Win32.Hupigon.gdes 5/server.exe
Detected Trojan program Exploit.Win32.Pidief.afv 6/xcvb2.pdf
Detected virus not-a-virus:FraudTool.Win32.Agent.jn 7/softname.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.nxo 8/setup.exe
Detected virus Worm.Win32.AutoRun.aauy 9/load.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.nxn a/ldr.exe
963 :
962 :2009/02/23(月) 19:22:14
>>959 カスペ9/12に訂正。 下記記載漏れ。うっかりミスすまぬ。
Detected Trojan program Trojan-Spy.Win32.Zbot.nlp 0/readmer.txt
>>959 Rising 2009 21.27.02 (21.18.02.00)
5\server.exe: Backdoor.Win32.Gpigeon2007.cqx
7\softname.exe>>tools\sp\sp.dll: AdWare.Win32.Agent.cda
a\ldr.exe: Trojan.PSW.Win32.LdPinch.dkl
3/12
>>959 PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A install.exe、readmer.txt
疑わしいファイル:dev.exe、server.exe、softname.exe、setup.exe、ldr.exe
>>966 NortonInternetSecurity2009
3、6、a
SONAR検出がどんなものか検証するためわざわざここの検体を実行してみた
結果は確かにSONAR検出はあったもののやはりスルーしたものもあり思いっきり感染
今度やる時は仮想環境にしよう・・・・
ってかSONARは手動検査にも適用してくれればいいのに、今の検出方法だと危険すぎてとてもSONAR検出を試すことができない
>>967 >ってかSONARは手動検査にも適用してくれればいいのに、
それがヒューリスティックスキャンだろ
>>968 検出するものはヒューリスティックとSONARでは違うよ
それに検出名もヒューリスティックとSONARでは当然違う
avast! に検体を送っているが、一向に対応してくれない。 すべて無視されているかも。 スパマー認定されたか?(笑)
>>970 Avastは、返事なんかこないよ〜
昨年末に送った検体への(初めてきた)返事(12/31着)
>Hello,
>
>and thank You for all the virus samples You've sent.
>Happy New Year 2009! :)
>
>Pavel Havajik
>Alwil Software, a.s.
返事は来ないけど、一応受理はしてるみたいw
対応速度や、対応するかどうかのポリシー的なものは各社で異なるから気にすんな。
>>971 ありがと
めげずにこれからも検体送るよ
>>962-963 カスペ返答
リスクウェアとして2ファイル追加。提出時に、7/sftname.exeをばらして送った分。
pc.exe - not-a-virus:FraudTool.Win32.Agent.jn
sp.dll - not-a-virus:FraudTool.Win32.Agent.jp
>>959 AntiVir 検出状況は>960さんが報告している通り。
回答
The files you have sent us represent a bigger collection of malware.
Our virus lab will check the files and integrate new signatures in one of our next updates.
土日を挟んで複数のファイル送ってたから、こんな返事が…頑張れ、担当者さん。
Eset NOD32 V3.0 定義3881
>>961 に3つ追加 6/12→9/12
5_server.exe_20090223___Win32/Hupigon.NMR トロイの木馬
8_setup.exe_20090223____Win32/Spy.Zbot.BA トロイの木馬
a_ldr.exe_20090223______Win32/Spy.Zbot.JF トロイの木馬
とりあえず仮想環境を利用してのSONARの検出状況は・・・・ SONARを過信してはいけない、これが結論 この実験で痛い目を見ました・・・もっと早くに仮想環境を利用すればよかった、ま、捨てPCでの実験でよかったと思ってる 大事なデータはそんなに入ってないからリカバリも気にせず出来た ただNortonに関しては実行時にシグネチャで検出することがあるのが厄介
977 :
962 :2009/02/24(火) 02:08:14
カスペからの返事
>>959 (
>>962 ,963,967)
9+事後検知1=10/12 (白1, 回答待ち1 1\cm.exe)
4\dev.exe_ - Email-Worm.Win32.Iksmas.qj
New malicious software was found in this file.
b\setup.exe - No malicious code was found in this file.
978 :
962 :2009/02/24(火) 11:11:00
カスペからの返事
>>959 (
>>962 ,963,967,977)
9+事後2=11/12(白1)で終了
1\cm.exe_ - Trojan-Downloader.Win32.Agent.bipp
New malicious software was found in this file
980 :
1 :2009/02/24(火) 15:50:10
ベンダーの名前んとこの妙なセミコロンも消してくれるとありがたい F-Protとかewidoとか
982 :
1 :2009/02/24(火) 16:32:15
>>982 乙
>>979 d
カスペ2009 15:30:00
Detected Trojan program Exploit.Win32.Pidief.agc tane0244.zip/apsa0901.pdf
>>979 apsa0901.pdf
avast! 4.8 JS:Agent-CW [Expl]
AntiVir Free HTML/Shellcode.Gen
Rising 2009 21.27.12 (21.18.12.00)
>>695 msmsg1.exe: Trojan.Win32.VUNDO.cqb
rkit1.exe: Trojan.Win32.RootKit.a
19+2=21/22
>>959 8\setup.exe: Trojan.DL.Win32.Undef.dkn
3+1=4/12
>>979 apsa0901.pdf: Hack.Exploit.Script.Agent.w
1/1
>>979 AntiVir
HTML/Shellcode.Gen (1/1)
>>991 PandaとSymantecへ提出しました
>>991 カスペ返答。流石に速いな。
1199.exe_, play.scr_ - Backdoor.Win32.PcClient.adup
New malicious software was found in these files. Detection will be included in the next update.
>>991 Risingより
1、文件名:1199.exe
病毒名:Backdoor.Win32.PcClient.rjv
2、文件名:play.scr
病毒名:Backdoor.Win32.PcClient.rjv
瑞星2009的21.18.22版本(瑞星2008的20.85.22版本)で対応予定
BitDefender10Free
>>979 apsa0901.pdf=>(JAVASCRIPT) 感染: Exploit.PDF-JS.Gen.C07
>>991 play.scr 感染: Dropped:Backdoor.PCClient.TCH
1199.exe 感染: Trojan.Crypt.DG
SUPERAntiSpyware
>>979 apsa0901.pdf : スルー
>>991 play.scr : スルー
1199.exe : スルー
Spybot
>>979 apsa0901.pdf : スルー
>>991 play.scr : スルー
1199.exe : スルー
これで埋め立て完了(笑)
1000
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。