【鑑定目的禁止】検出可否報告スレ9

このエントリーをはてなブックマークに追加
1名無しさん@お腹いっぱい。
@はじめに
各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うpろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

前スレ
【鑑定目的禁止】検出可否報告スレ8
http://pc11.2ch.net/test/read.cgi/sec/1228314831/


●専用アプロダ推奨↓
http://tane.sakuratan.com/

●検体提出先まとめWiki
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先(Webフォーム、メールアドレス)、検体提出方法、推奨される文例、検体提出時の注意事項が掲載されています。
2名無しさん@お腹いっぱい。:2009/01/15(木) 16:58:14
A議論や意見のまとめ

・圧縮ファイルと検出数
 exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。

・DOSウイルス禁止
 大昔のウイルスを集めてきても無意味なことがあります。

・パスなしZIPをパス有りLZH(またはRAR)で
 安全性と利便性のため、上記の手法を推奨します。

・淡々とやれ淡々と!
 淡々と貼り、淡々といきましょう。

・ブラクラ禁止
 ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません。

・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
 んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 という意見もあり。

・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、提出していない旨記載。(ベンダーに多重送付を避けるため)

・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。

・スレ違いでもめる(2スレ目以降)

・あらしはスルー。ソフトの優劣の議論は別スレで!(下記スレなど)

一番いいセキュリティソフトはなんだ!!Part60
http://pc11.2ch.net/test/read.cgi/sec/1227491237/
3名無しさん@お腹いっぱい。:2009/01/15(木) 16:59:39
【重要】
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。

※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら貢献することを目的としているスレです。
検体の悪用・不正利用は厳禁願います。

●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。

●検体確認は自己責任でお願いします。感染しても責任は一切持ちません!


※◆W32/Vael.oは信頼できるコテさんです。



★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。

・VIRUSTOTAL (VT)
http://www.virustotal.com/jp/

・VirScan
http://www.virscan.org/


・Jotti
http://virusscan.jotti.org/

※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。
4名無しさん@お腹いっぱい。:2009/01/15(木) 17:03:51
●新種・亜種ウイルスを発見した場合のサンプル提出先
(未検出の場合はとにかく提出しましょう)

シマンテック (ノートン)
Symantec Security Response USA 〔Upload a suspected infected file〕
ttps://submit.symantec.com/websubmit/retail.cgi

ウイルスバスター(トレンドマイクロ) 
http://inet.trendmicro.co.jp/esolution/supform.asp
バスターユーザー以外は
;http://www.trendmicro.com/jp/security/virushunter.htm
http://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7

マカフィー 
http://www.nai.com/japan/security/contactavert.asp


ESET NOD32アンチウイルス 
http://www.eset.com/support/ans/9d.htm

V3ウイルスブロック(アンラボ)
http://info.ahnlab.com/customer/virus_call.html

ウイルスドクター 
http://www.virusdoctor.jp/virus/
5名無しさん@お腹いっぱい。:2009/01/15(木) 17:04:21
Rising(ウイルスキラー)
http://up.rising.com.cn/webmail/uploadnew.htm
Rising(ウイルスキラー)英語版
ttp://sample.rising-global.com/webmail/upload_en.htm


Dr.WEB 
ttp://drweb.jp/support/virus_sample.html

ソフォス(Sophos) 
http://www.sophos.co.jp/support/queries/#sample

F-Secure (エフセキュア) 
http://www.f-secure.co.jp/support/samples/

kaspersky(カスペルスキー)
http://www.kaspersky.co.jp/
一番下の「新しいウイルスをお知らせ下さい」

バイロボット(hauri、ViRobot)
http://www.hauri.net/support/support/virus_reg.html?menu=QTAy

キングソフト・アンチウィルス
http://www.kingsoft.jp/is/kentai.html
6名無しさん@お腹いっぱい。:2009/01/15(木) 17:04:43
7名無しさん@お腹いっぱい。:2009/01/15(木) 17:05:03
Microsoft(マイクロソフト)
ttp://www.microsoft.com/security/portal/submit.aspx

ウイルスセキュリティZERO (K7Computing)
ttp://k7computing.com/Support/newvirus.html

ウイルスチェイサー
http://www.viruschaser.jp/support_aft.html#q28
8名無しさん@お腹いっぱい。:2009/01/15(木) 17:08:13
以上 テンプレここまで
-----------------------------------------


テンプレ(>>1->>7)、検体提出先(>>4->>7)の変更・追加あれば、>>8にレスする形で指摘よろ。

変更点
・Jottiを加えた。 >>3
・ウィルスセキュリティ(K7Computing)については重複していたので、>>7に記載、検体提出先を正しいものに変更
・HAURIについては重複していたので、>>5に記載、検体提出先を正しいものに変更。
・「検体提出先まとめWiki」を加えた。>>1
・検体結果SSのお願いをテンプレから削除。
・怪しいURL鑑定スレではないことを追加。
・その他

足早にスレ立てしたので確認よろしく。
9名無しさん@お腹いっぱい。:2009/01/15(木) 17:10:40
>1 otu

hosyu
10名無しさん@お腹いっぱい。:2009/01/16(金) 15:15:17
>>8
>>4のESETの検体提出先は「404 Page Error」なんですが・・・・
あと>>6のBitDefenderの提出先もあれじゃどこにあるのかわからない

ここら辺も正しいものに変更希望
11名無しさん@お腹いっぱい。:2009/01/16(金) 15:37:43
>>1-8

>>9 確認します。

前スレ1000埋まりそうなので、前スレでアップロードされた最近の検体3体(返答専用)
12名無しさん@お腹いっぱい。:2009/01/16(金) 15:38:07
934 名前: ◆W32/Vael.o [sage] 投稿日:2009/01/13(火) 18:37:05
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=186
Malware-Pack55

例によってMcAfeeには提出済み
13名無しさん@お腹いっぱい。:2009/01/16(金) 15:38:28
967 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/01/15(木) 13:18:10
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=187
virus
14名無しさん@お腹いっぱい。:2009/01/16(金) 15:38:56
BitDefender

送付先1:
support(あっと)bitdefender.com
 http://beta.bitdefender.com/site/KnowledgeBase/consumer/

 下記の選択肢を選ぶ
  -->Fight against malware
     +-->Improving Detection
 下記の文書を選ぶ
  -->What to do when BitDefender does not detect malware

送付先2:
 virus_submission(あっと)bitdefender.com(2MBまで?)
 http://forum.bitdefender.com/index.php?showtopic=3066
15名無しさん@お腹いっぱい。:2009/01/16(金) 15:39:16
989 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/01/16(金) 14:28:41
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=189
virus
16名無しさん@お腹いっぱい。:2009/01/16(金) 16:19:57
>>4
V3ウイルスブロック(アンラボ)
リンクが404

・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答
 (詳細は>>1の提出先まとめの末尾参照)
 Ahnlab Customer(AhnLab-V3) <ahnlabcustomer@ahnlab.co.jp>
・アンラボ(韓国)にはフォームあり。最近はエラーで送れない。
 http://kr.ahnlab.com/info/customer/virus_call_write.jsp
・アンラボ(グローバル/鯖は韓国)からは、専用のAhnReportを使用するよう指示されている。
 http://global.ahnlab.com/global/support/support_report.html

ESET
http://training.eset.com/kb/index.php?option=com_kb&Itemid=29&page=articles&articleid=141

>>7のウイルスチェイサーに関する補足事項に下記を1行追記希望

※ Dr.Webエンジンのため、Dr.Webに直接送ったほうが良い。
17名無しさん@お腹いっぱい。:2009/01/16(金) 16:41:49
>>11
>前スレ1000埋まりそうなので、前スレでアップロードされた最近の検体3体(返答専用)

割り込みごめんなさい。orz
18名無しさん@お腹いっぱい。:2009/01/16(金) 16:59:21
VirustotalのSymantecはパルスアップデートを適用させてるのかな?
ついさっき検出できるようになった検体がVTでも検出できるようになってる
ttp://www.virustotal.com/analisis/7152fe076e2dea10c8239f5671be828d
でもVirustotalのSymantecはバージョン古いからパルスアップデートを適用させてるのはどう考えてもあり得ないし・・・(現に2009で検出できるヒューリスティック検出はVirustotalでは検出できない)
19名無しさん@お腹いっぱい。:2009/01/16(金) 17:42:39
>>13
NortonInternetSecurity2009追加検出+1
Infostealer.Wowcraft:wow1dll.exe
9/12
20名無しさん@お腹いっぱい。:2009/01/16(金) 19:25:06
>>15
Rising
21.21.32 (21.12.32.00)にて
sqlinject1.exe: Backdoor.Win32.PcClient.qck
upk1dldr.exe: Trojan.PSW.Win32.QQPass.qir
21.21.42 (21.12.42.00)にて
autorun1-4.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bge
mj1.exe>>65: Trojan.Win32.Nodef.zr
mj1dll.exe: Trojan.Win32.Nodef.zr
pol1.exe>>66: Trojan.Win32.Nodef.zp
pol1dll.exe: Trojan.Win32.Nodef.zp
wow1.exe>>66: Trojan.Win32.Nodef.zq
wow1dll.exe: Trojan.Win32.Nodef.zq
12/12
21前スレ996:2009/01/16(金) 19:49:39
>>15
カスペ2009@18:47:00

5+追加検出7=12/12

Detected Trojan program Trojan.Win32.Agent.bihy tane0189.zip/wow1dll.exe
Detected Trojan program Trojan-GameThief.Win32.WOW.eki tane0189.zip/wow1.exe
Detected Trojan program Trojan.Win32.Delux.fv tane0189.zip/sqlinject1.exe

上記3つは検知後、Thank you メール受信
autorun[1-4].exeについては、カスペから今メール受信 19:44

Hello.

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

カスペはアナリストによって、返事返すのが遅かったり、返さない場合があるからなぁ。(検知を以て回答とするみたいな)
22名無しさん@お腹いっぱい。:2009/01/16(金) 21:43:56
ベンダーにメールで検体を提出するときに、
ヤフーメールやgooメールなどのフリーメールで検体を提出しても大丈夫でしょうか?
それともプロバイダのpopメールで提出したほうがいいのでしょうか?
23名無しさん@お腹いっぱい。:2009/01/16(金) 22:11:11
別にいいんじゃない。
zipかrarで圧縮して送信できれば。(exeだとリジェクトされるかも)
24名無しさん@お腹いっぱい。:2009/01/16(金) 22:16:35
>>22
フリーメールで構いません。添付さえできれば。
あと、圧縮ファイルはzip&パスワードをつけて、本文内にパスワードを記載。
ベンダによっても違うみたいですよ。
25アプロダ”管理”人 ◆HL2fUAyECQ :2009/01/16(金) 22:29:32
>>1
オツカレ〜
2622:2009/01/16(金) 23:17:52
>>23>>24
ありがとうございます。
27名無しさん@お腹いっぱい。:2009/01/17(土) 00:39:32
眠いくてファイルのアップする気力がないので情報だけ
ttp://namaekurekure.blog116.fc2.com/blog-entry-155.html
ルーマニア政府観光局のサイトが進入されたっぽい。
iframeだった。
ちなみにカスペ2009(新エミュ)では"HEUR:Trojan.Script.Iframer"で検出。
一応送ります。
28名無しさん@お腹いっぱい。:2009/01/17(土) 00:43:48
>>27
突撃してみようかと思ったけど仮想環境じゃないしexploit系が仕込まれてるみたいなので今回は止めておく
捨てPCでも感染は怖い
29名無しさん@お腹いっぱい。:2009/01/17(土) 00:48:56
>>27
踏んできたw

グーグル先生にしかられFirefoxたんに警告されて
行ってみたら、、、ドメイン登録ごと吹っ飛んでおりましたw

3027:2009/01/17(土) 00:49:29
気力しぼって、うpした。
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=190
virus
31名無しさん@お腹いっぱい。:2009/01/17(土) 00:59:41
>>30
ソースコードみたけれど、バイナリで直接し込まれているな
実行したくねぇけれど・・・・これから実行するわ

F-Secure Intenet Security2009で逝ってきます
3231:2009/01/17(土) 01:12:49
とりあえず、Firefox(NoScriptだけ切った)に放り込んでみたけれどなにも起こらず
その際のTCPMonitorPlusのログを上げておきます
http://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=191
3331:2009/01/17(土) 01:13:35
パス virus

誰か一緒に検証してくれ
34名無しさん@お腹いっぱい。:2009/01/17(土) 01:17:38
Firefoxは無害だもの
35名無しさん@お腹いっぱい。:2009/01/17(土) 05:29:46
36名無しさん@お腹いっぱい。:2009/01/17(土) 07:33:12
>>15
NortonInternetSecurity2009追加検出+1
Trojan Horse:wow1.exe
10/12
37名無しさん@お腹いっぱい。:2009/01/17(土) 07:43:32
>>30
とりあえずAntiVir、Panda、Symantecに提出した
でも>>35を見ると微妙・・・
38名無しさん@お腹いっぱい。:2009/01/17(土) 13:46:22
>>27 >>31
難読化スクリプトはdocument.writeなどをalertにして
Firefoxで踏んでみる(IEはダイアログの中身が長すぎると省略されるのと
ダイアログの内容を選択できずエディタなどにコピペできない)。

平文に戻したスクリプトにはMS08-078のシェルコード(unicode)が入っていて
アセンブラ読めない自分は涙目なんだけど、
他にOEとかSnapshotViewer(Access)とかFlashとかPDFとか
併用しまくっているのでそちらからいただきました
(OEやSnapshotViewerはexeのURIベタ書きなので検体の入手が容易です)。

67■215■231■242/uniq/load.php
→1.exe (ダウンローダ)
 →gpt0■ru/2k9/s9.exe

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=192
virus
2匹ともUPXだったので解凍済み。
3931:2009/01/17(土) 15:09:56
>>38
> アセンブラ読めない自分は涙目なんだけど、
これは私も以下略

提出します
40名無しさん@お腹いっぱい。:2009/01/17(土) 15:28:58
>>38
d
カスペ2009 14:52
1/2

Detected Trojan program Trojan-Downloader.Win32.Small.jbz tane0192\1.exe

s9.exe 検体提出します。


VT (CET+8:00=日本時間)
http://www.virustotal.com/analisis/40b589f23d7183d5c9ca8b06a87c3831 1.exe 3/39
http://www.virustotal.com/analisis/1544d9232b999b6e5833f44549e4d915 s9.exe 7/39
41名無しさん@お腹いっぱい。:2009/01/17(土) 16:49:11
>>15
PandaGlobalProtection2009
wow1.exeとwow1dii.exeを疑わしいファイルとして検出
10/12
42名無しさん@お腹いっぱい。:2009/01/17(土) 16:51:04
>>38
PandaGlobalProtection2009
1.exeを疑わしいファイルとして検出
43名無しさん@お腹いっぱい。:2009/01/17(土) 16:53:53
>>38
NOD32 v3.0 定義3772
0/2 Esetへ提出済み
44名無しさん@お腹いっぱい。:2009/01/17(土) 17:40:15
45名無しさん@お腹いっぱい。:2009/01/17(土) 17:47:51
46名無しさん@お腹いっぱい。:2009/01/17(土) 17:48:54
>>44
AntiVirPremium
オールスルー

PandaGlobalProtection2009
全て疑わしいファイルとして検出

NortonInternetSecurity2009
Backdoor.Formador:全部の検体

>>44はAntiVirとavast!に提出してきます
47名無しさん@お腹いっぱい。:2009/01/17(土) 17:53:35
>>45
AntiVirPremium
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper

PandaGlobalProtection2009
疑わしいファイルとして検出

NortonInternetSecurity2009
スルー

>>45はSymantecとavast!に提出してきます
>>38はAntiVirとSymantecとPandaとavast!に提出済み
48名無しさん@お腹いっぱい。:2009/01/17(土) 18:00:54
>>44 は4つとも同一、解凍すると >>45 (RO666.exe)。
49名無しさん@お腹いっぱい。:2009/01/17(土) 18:03:25
まだavast!に提出してないけど>>44>>45もavast!に提出する必要ないみたいだね(>>45もVirustotalで確認済み)
ttp://www.virustotal.com/analisis/d98256cb145061e75a1941aab967e0a4
50名無しさん@お腹いっぱい。:2009/01/17(土) 18:05:09
>>44>>45
avastは全部検出
51名無しさん@お腹いっぱい。:2009/01/17(土) 18:11:42
>>38
検出結果に変わりはないが、別のバイナリが落ちてきた。差し替えられたかな?
VirusTotalは少し前に誰かがかけたらしきものがあったので最新情報ではありません。

AntiVir
1.exe : NotDetected
s9.exe : TR/Dldr.Delphi.Gen Trojan

http://www.virustotal.com/analisis/93e0c2d992042afc7ab19faca4ed31e0 1.exe 7/39
http://www.virustotal.com/analisis/898c66488b743c5dd1f350b1fddbbe31 s9.exe 8/39

>>38の亜種として検出できるとは思うけど、一応バイナリ違うので提出
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=196
52名無しさん@お腹いっぱい。:2009/01/17(土) 19:07:03
NOD32 V3.0 定義3772
>>45 1/1
pcclient1.exe Win32/PcClient.NCRの亜種 トロイの木馬

>>51
0/2
Esetへ提出
53名無しさん@お腹いっぱい。:2009/01/17(土) 19:56:33
>>51
>>38 はUPX解凍してあるからバイナリ違う。たぶん。
54名無しさん@お腹いっぱい。:2009/01/17(土) 20:26:49
>>30>>38
McAfeeに提出させて頂ました。
55 ◆W32/Vael.o :2009/01/17(土) 20:28:12
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=197
Malware-Pack56

例によってMcAfeeには提出済み
56名無しさん@お腹いっぱい。:2009/01/17(土) 20:37:00
>>51
McAfeeに提出させて頂ました。
57名無しさん@お腹いっぱい。:2009/01/17(土) 20:46:27
>>55
AntiVirPremium
Malware\0\file.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\2\setup_243_3777_.exe
[DETECTION] Is the TR/WinSpywareProtect.A Trojan
Malware\3\SpywareReminder_v3_12.exe
[DETECTION] Is the TR/Agent2.CJ Trojan
Malware\4\SpywareGuard2009.exe
[DETECTION] Is the TR/Fakealert.SK Trojan
Malware\5\installer_99404.exe
[DETECTION] Is the TR/Dldr.FraudLo.kqx Trojan
Malware\6\FlashPlayer-9.0.124.0p.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
Malware\7\main.exe
[DETECTION] Contains recognition pattern of the SPR/Fraud.AntiSpy.1 program
Malware\8\load.exe
[DETECTION] Is the TR/Spy.ZBot.kek Trojan
Malware\9\x50.exe
[DETECTION] Contains HEUR/Malware suspicious code
Malware\a\load.exe
[DETECTION] Is the TR/Agent.biel Trojan
Malware\b\adv111.exe
[DETECTION] Is the TR/Dldr.Agent.bdgc Trojan

11/12
58名無しさん@お腹いっぱい。:2009/01/17(土) 20:56:13
>>55
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A   load.exe、FlashPlayer-9.0.124.0p.exe
ウイルス発見 : Generic Trojan   INSTALLER_99404.EXE、FILE.EXE、SPYWAREREMINDER_V3_12.EXE
疑わしいファイル:SpywareGuard2009.exe、main.exe、x50.exe、load.exe

それ以外はスルー
10/12
59名無しさん@お腹いっぱい。:2009/01/17(土) 21:02:34
>>55
NortonInternetSecurity2009
Packed.Generic.187:main.exe
Packed.Generic.200:file.exe、SpywareReminder_v3_12.exe
AntiVirus2008:installer_99404.exe

4/12(うちヒューリスティック検出3つ)
これからavast!含め提出してきます
60名無しさん@お腹いっぱい。:2009/01/17(土) 21:03:33
カスペ2009 19:57:00

>>44 4/4
Detected Trojan program Backdoor.Win32.PcClient.aazt tane0194.zip/Freya.scr, livedoor.scr, MPEG, Online.scr

>>45 1/1
Detected Trojan program Backdoor.Win32.PcClient.aazt tane0195.zip/pcclient1.exe


>>51 1/2
Detected Trojan program Trojan-Downloader.Win32.Small.jbz tane0196.zip/1(1).exe//PE_Patch.UPX//UPX

>>55
9/12 (2,3,5,6,7,8,9,a,b)

Detected Trojan program Trojan-Downloader.Win32.Agent.bdgc tane0197.zip/Malware/b/adv111.exe
Detected Trojan program Trojan.Win32.Agent.biel tane0197.zip/Malware/a/load.exe
Detected Trojan program Trojan-Downloader.Win32.Banload.aags tane0197.zip/Malware/9/x50.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kek tane0197.zip/Malware/8/load.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bdai tane0197.zip/Malware/6/FlashPlayer-9.0.124.0p.exe
Detected Trojan program Backdoor.Win32.Hupigon.fplb tane0197.zip/Malware/5/installer_99404.exe
Detected Trojan program Trojan.Win32.Agent2.cj tane0197.zip/Malware/3/SpywareReminder_v3_12.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.cya tane0197.zip/Malware/2/setup_243_3777_.exe
Detected virus HEUR:Trojan.Win32.Generic tane0197.zip/Malware/7/main.exe

検体提出します。
6140:2009/01/17(土) 21:05:37
>>38
カスペからの返事 (20:57)

Hello,

s9.exe_ - Trojan-Downloader.Win32.Agent.bdoz

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

1+追加検出1=2/2でFA.
62名無しさん@お腹いっぱい。:2009/01/17(土) 21:07:01
>>51
AntiVirPremium
s9.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan

PandaGlobalProtection2009とNortonInternetSecurity2009はスルー
提出します
63名無しさん@お腹いっぱい。:2009/01/17(土) 21:12:30
NOD32 v3.0 定義3773
>>55  10/12
0\file.exe Win32/Kryptik.EQの亜種 トロイの木馬
2\setup_243_3777_.exe Win32/Adware.MSAntispyware2009 アプリケーション
3\SpywareReminder_v3_12.exe Win32/Kryptik.EQの亜種 トロイの木馬
4\SpywareGuard2009.exe Win32/Adware.SpywareGuard アプリケーション
5\installer_99404.exe Win32/Adware.AntivirusPlus アプリケーション
7\main.exe Win32/Adware.MSAntispyware2009 アプリケーション
8\load.exe Win32/Spy.Zbot.EN トロイの木馬
9\x50.exe 新種・未知のNewHeur_PEである可能性 ウイルス
a\load.exe Win32/TrojanDownloader.Small.OJX トロイの木馬
b\adv111.exe Win32/Agent.ORY トロイの木馬
検出漏れEsetへ提出済み
64名無しさん@お腹いっぱい。:2009/01/17(土) 21:15:17
>>51
AntiVir

1(1).exe MALWARE
65名無しさん@お腹いっぱい。:2009/01/17(土) 21:20:38
>>55
Symantecから(1)
filename: x50.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes

filename: FlashPlayer-9.0.124.0p.exe
machine: Machine
result: See the developer notes

filename: main.exe
machine: Machine
result: This file is detected as Packed.Generic.187.

filename: adv111.exe
machine: Machine
result: See the developer notes
66名無しさん@お腹いっぱい。:2009/01/17(土) 21:28:21
http://pc11.2ch.net/test/read.cgi/sec/1228314831/888
↑これに関する回答がありました。
土日不可、要一件毎に連絡らしいのですが。。
月曜にでもやっつける予定。
以下転載
>上記制限値を超えた場合に関しましては、状況に応じFTPサーバ等の代替方法を
>別途ご用意させていただきます。
>その場合には弊社テクニカルサポートセンターまでその旨ご相談くださいます様
>お願い申し上げます。
67名無しさん@お腹いっぱい。:2009/01/17(土) 21:35:32
>>55
Symantecから(2)
filename: SpywareReminder_v3_12.exe
machine: Machine
result: This file is detected as Packed.Generic.200.

filename: 1.exe
machine: Machine
result: See the developer notes

filename: installer_99404.exe
machine: Machine
result: This file is detected as AntiVirus2008.

filename: setup_243_3777_.exe
machine: Machine
result: See the developer notes

filename: file.exe
machine: Machine
result: This file is detected as Packed.Generic.200.
68名無しさん@お腹いっぱい。:2009/01/17(土) 21:59:17
69名無しさん@お腹いっぱい。:2009/01/17(土) 23:10:19
>>55
PandaGlobalProtection2009
adv111.exeを疑わしいファイルとして検出
70名無しさん@お腹いっぱい。:2009/01/17(土) 23:25:11
PandaGlobalProtection2009
>>13>>15
残りの未検出の検体も全て疑わしいファイルとして検出、全検出確認
71名無しさん@お腹いっぱい。:2009/01/17(土) 23:36:02
>>55
Rising 21.21.52 (21.12.52.00)
6\FlashPlayer-9.0.124.0p.exe: Trojan.DL.Win32.Undef.aqa
1/12
7260:2009/01/18(日) 00:23:49
カスペからの返事
>>55
0: file.exe - New malicious software was found in the attached file.
1:1.exe No malicious code was found in this file.

今のところ、9+追加検出1=10/12 (0,2,3,5,6,7,8,9,a,b),白1(1),回答待ち1(4)

ちなみに、
>>15
autorun[1-4].exe- virus Worm.Win32.AutoRun.etc
73名無しさん@お腹いっぱい。:2009/01/18(日) 01:54:35
【つこうた】IPA主任岡田賢治がヤバイ資料大流出 疑惑の政財界★194【三井リハウス編】
http://tsushima.2ch.net/test/read.cgi/news/1232198728/529
p://infosueek.w53.okwit.com/play/mober_v0.5fis.pif
ttp://www.virustotal.com/jp/analisis/8e14b46a0e6e2df2341ec0700de4a743
74名無しさん@お腹いっぱい。:2009/01/18(日) 02:08:31
>>73
McAfee
0/1(dat5496)
75名無しさん@お腹いっぱい。:2009/01/18(日) 02:34:57
76名無しさん@お腹いっぱい。:2009/01/18(日) 08:15:17
77名無しさん@お腹いっぱい。:2009/01/18(日) 08:36:43
>>75の検体
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=198
virus

(落ちてくるバイナリは全て同一なので1ファイルしか入ってません)
http://www■superobamaonline■com/speech■exe
http://store■greatobamaguide■com/pdf■exe
http://store■superobamadirect■com/baracknews■exe
http://www■greatobamaonline■com/news■exe
http://www■greatobamaguide■com/president■exe
http://www■superobamaonline■com/barack■exe

AntiVir
すりぬけ

各社に検体提出してきます。
78名無しさん@お腹いっぱい。:2009/01/18(日) 08:46:05
>>77
でかいと思ったらOpenSSL丸ごと入ってるのか…。
79名無しさん@お腹いっぱい。:2009/01/18(日) 08:49:44
>>45
NortonInternetSecurity2009

Backdoor.Formador:pcclient1.exe
80名無しさん@お腹いっぱい。:2009/01/18(日) 08:58:07
>>30

Symantecから
filename: CD4C492Fd01
machine: Machine
result: See the developer notes

>>77
AntiVir、avast!、Panda、Nortonはオールスルーだったので提出します
81名無しさん@お腹いっぱい。:2009/01/18(日) 09:08:16
>>76
>【重要】
>●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
>割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。

確認しましたがスルーすべき対象のようです。
82名無しさん@お腹いっぱい。:2009/01/18(日) 09:42:59
>>44>>45>>77
McAfeeに提出させて頂ました。
83名無しさん@お腹いっぱい。:2009/01/18(日) 09:57:07
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=199
virus

>>77
KAVの返答
Email-Worm.Win32.Iksmas.cj
84名無しさん@お腹いっぱい。:2009/01/18(日) 11:37:16
>>83
各社に提出してます。

AntiVir

romania1.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
wow1.exe
[DETECTION] Is the TR/PSW.OnLineGa.zad Trojan
wow1dll.exe
[DETECTION] Is the TR/PSW.OnLineGa.zad Trojan
autorun1.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun2.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun3.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun4.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
redstone1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan

webcc1.exe
すりぬけ
ff11.exe
すりぬけ
85名無しさん@お腹いっぱい。:2009/01/18(日) 12:31:42
>>83
カスペ、次の更新で対応

autorun1.exe,
autorun2.exe,
autorun3.exe,
autorun4.exe - Worm.Win32.AutoRun.etm
ff11.exe - Trojan-Downloader.Win32.Tibs.ais
redstone1.exe - Trojan-Downloader.Win32.Agent.bdsb
romania1.exe - Trojan-Downloader.Win32.Agent.bdrx
webcc1.exe - Worm.Win32.Downloader.ze
wow1.exe - Trojan-GameThief.Win32.WOW.elg
wow1dll.exe - Trojan.Win32.Agent.birs

New malicious software was found in these files. Detection will be included in the next update.
86名無しさん@お腹いっぱい。:2009/01/18(日) 12:38:48
>>83
avast!4.8
autorun1.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
autorun2.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
autorun3.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
autorun4.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
87名無しさん@お腹いっぱい。:2009/01/18(日) 12:45:31
>>55
NortonInternetSecurity2009追加検出+3
Downloader:FlashPlayer-9.0.124.0p.exe、adv111.exe
Trojan Horse:Malware\a\load.exe
7/12
88名無しさん@お腹いっぱい。:2009/01/18(日) 12:50:22
>>83
PandaGlobalProtection2009
スルー:ff11.exe、romania1.exe、webcc1.exe
それ以外は疑わしいファイルとして検出
89名無しさん@お腹いっぱい。:2009/01/18(日) 12:53:45
Rising 21.21.52 (21.12.52.00)
>>77
スルー
>>83
wow1.exe>>66: Trojan.Win32.Nodef.zq
wow1dll.exe: Trojan.Win32.Nodef.zq
2/10
90名無しさん@お腹いっぱい。:2009/01/18(日) 12:54:45
>>83
NortonInternetSecurity2009
Infostealer.Wowcraft:wow1dll.exe
Trojan Horse:wow1.exe
Trojan.Dropper:autorun1.exe、autorun2.exe、autorun3.exe、autorun4.exe

検体提出していきます
91名無しさん@お腹いっぱい。:2009/01/18(日) 13:05:06
>>83
AntiVir、avast!、Panda、Symantecに提出完了

>>84
>各社に提出してます。

そのことで要望なんですけど提出がかぶるのはなるべく避けたいのでどこのベンダーに提出したのか(またはどこのベンダーに提出する予定なのか)というのも明記して欲しいですね
92名無しさん@お腹いっぱい。:2009/01/18(日) 13:22:25
>>91
列挙するとやたら行数取るんだけど…基本的に>1のWikiにあるもの全部に提出してます。
今回はNormanとnPro、メールが届かなかった2ベンダーを除く全てに出してます。
(メールが届かなかった所には、提出先アドレスを教えてくれってメール入れてます)

同報メール使ってるから、いちいち個別にどうとか書くのが大変だったり。
20行も30行も提出先書いた発言でスレ埋めるのもどうかと。

報告出しても殆どは返事来ないです。そのベンダーのソフトを使ってる人にも出して貰って
検出名の報告をここに上げた貰ったほうがいいので、敢えて提出先は記載しません。
(例えば、Pandaとかメールで送っても返事来ませんから検出状況わかりませんし
ソフォスからも登録ユーザーにしか対応状況の返答はしないって言われてます)
93名無しさん@お腹いっぱい。:2009/01/18(日) 13:25:18
>>55
Fortinet:
adv111.exe - W32/Agent.BDGC!tr.dldr
file.exe - W32/Agent.ZHG!tr
installer_99404.exe - W32/Hupigon.FPLB!tr.bdr
load_1.exe - W32/Agent.BIEL!tr
main.exe - Adware/Antispyware2009
setup_243_3777_.exe - W32/FraudLoad.CYA!tr.dldr
SpywareReminder_v3_12.exe - W32/Agent.CJ!tr
x50.exe - W32/Banload.AAGS!tr.dldr
SpywareGuard2009.exe - W32/Fakealert.XCO!tr
FlashPlayer-9.0.124.0p.exe - W32/Agent.BDAI!tr.dldr
load.exe - W32/Zbot.KEK!tr

あと1つは別のメールに分割して送ったので返答待ち。
94名無しさん@お腹いっぱい。:2009/01/18(日) 13:30:01
>>92
わかりました

とりあえず他の人が提出してるベンダーは避けるようにしてくれませんか?
私は現時点ではAntiVirとavast!とPandaとSymantecに提出してるし他はKasperskyとMcAfeeとRisingとESETに提出してる方もいられるのでやはりここら辺の提出は多重提出にならないためにもしないで欲しいです
多重提出でも問題ないならそれでも大丈夫でしょうけどKasperskyみたいに提出したのに返事が来ないというのもありますからね・・・

>(例えば、Pandaとかメールで送っても返事来ませんから検出状況わかりませんし
確かにこれは実際に使わないとPandaの検出状況はわからないでしょう、特に2009はクラウド型検出のおかげでVirustotalのPandaの検出結果が殆どあてにならない状況になってる
95名無しさん@お腹いっぱい。:2009/01/18(日) 13:37:13
Rising 2009 21.21.60 (21.12.60.00) Last Update Time=2008-01-18 10:43
>>83
autorun1-4.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bgj
2+4=6/10
96名無しさん@お腹いっぱい。:2009/01/18(日) 13:38:25
あと返事が来ないベンダーといったらavast!とかもそうだけどこちらはVirustotalでも検出状況が確認できるから問題なし
Symantecは単体で送る方が黒判定か白判定かわかりやすい気がする、複数のファイルを送ると単に現在の検出状況を載せてくることが多かった
97名無しさん@お腹いっぱい。:2009/01/18(日) 13:47:03
>>94
>Kasperskyみたいに提出したのに返事が来ないというのもありますからね・・・

カスペは基本的に全部返事来てますよ。
ただ、対応済みのものだったり、ファイル数が多い時は検出名をはしょられることもありますが。

>とりあえず他の人が提出してるベンダーは避けるようにしてくれませんか?

余裕がある時は、同報の送り先から省いています。

ただ、検体提出漏れするよりも、かぶった方がまだましなので時間のない時はそのまま送付することがあります。
提出するだけでも結構時間食いますし、重複チェックに時間を取られて、提出しきれないよりはということで。
98名無しさん@お腹いっぱい。:2009/01/18(日) 13:49:38
>>83
まかふぃー。

File Name      Findings            Detection          Type     Extra
--------------------|------------------------------|----------------------------|------------|-----
autorun1.exe    |current detection       |downloader-azn       |Trojan   |no 
autorun2.exe    |current detection       |downloader-azn       |Trojan   |no 
autorun3.exe    |current detection       |downloader-azn       |Trojan   |no 
autorun4.exe    |current detection       |downloader-azn       |Trojan   |no 
ff11.exe      |inconclusive         |              |      |no 
redstone1.exe    |inconclusive         |              |      |no 
romania1.exe    |inconclusive         |              |      |no 
webcc1.exe     |inconclusive         |              |      |no 
wow1.exe      |inconclusive         |              |      |no 
wow1dll.exe     |inconclusive         |              |      |no

inconclusive [ff11.exe redstone1.exe romania1.exe webcc1.exe wow1.exe wow1dll.exe]
9960:2009/01/18(日) 15:18:22
>>55
>>72
カスペからの返事

7\main.exe - New malicious software was found in the attached file. not-a-virus:FraudTool.Win32.MSAntispyware2009.i (←HEUR:Trojan.Win32.Generic から変更)

シグネチャ名判明。ルートキットかな。 >>72
Detected virus Rootkit.Win32.TDSS.eib tane0197.zip/Malware/0/file.exe

今のところ、9+追加検出1=10/12 (0,2,3,5,6,7,8,9,a,b),白1(1),回答待ち1(4)
10060:2009/01/18(日) 15:26:00
検体名:>>55
>>99
カスペ2009 14:33:00
4は検知済みだった。訂正。
Detected virus not-a-virus:FraudTool.Win32.SpywareGuard2008.bl tane0197.zip/Malware/4/SpywareGuard2009.exe

9+2=11/12, 白1(1\1.exe)でFA
101名無しさん@お腹いっぱい。:2009/01/18(日) 15:53:52
>>83
Fortinet: 次回更新で対応
romania1.exe - W32/Agent.AST!tr.dldr
wow1.exe - W32/OnLineGames.VFT!tr
wow1dll.exe - W32/OnLineGames.WFT!tr
autorun1.exe - W32/AutoRun.YNT!tr
autorun2.exe - W32/AutoRun.YNT!tr
autorun3.exe - W32/AutoRun.YNT!tr
autorun4.exe - W32/AutoRun.YNT!tr
redstone1.exe - W32/Agent.XDT!tr
webcc1.exe - W32/Agent.CFT!tr.dldr
ff11.exe - W32/Dropper.ZAT!tr
102名無しさん@お腹いっぱい。:2009/01/18(日) 18:04:11
NOD32 v3.0 定義3774
>>83  6/10
autorun1.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun3.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun2.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun4.exe Win32/AutoRun.Delf.AKの亜種 ワーム
webcc1.exe Win32/KernelBot.AAの亜種 トロイの木馬
redstone1.exe Win32/PSW.OnLineGames.ODDの亜種 トロイの木馬
未検出ぶんEsetへ提出済

>>92
返事がくること自体奇跡に近いので、Esetへ重複提出して頂いて構いません。
重複になっても構わないので提出して頂いたほうが助かります。
今後、多忙or他社ソフトへの乗り換え等でいつまで検出報告できるかわかりませんし。
103名無しさん@お腹いっぱい。:2009/01/18(日) 18:46:46
>>77
Rising

1. Filename:barack.exe
Virusname:Trojan.Win32.Nodef.ady
104名無しさん@お腹いっぱい。:2009/01/18(日) 20:41:27
>>55
Dr.Web

Your request has been analyzed. New virus record has been added.
Viruses: Trojan.DownLoad.25637, Trojan.DownLoad.26705, Trojan.DownLoad.27999,
Trojan.DownLoad.28000, Trojan.Fakealert.2266, Trojan.Fakealert.3858,
Trojan.Fakealert.3876, Trojan.Fakealert.3877.
105名無しさん@お腹いっぱい。:2009/01/19(月) 03:37:09
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=200
virus

検体入手元
http://bit■ly/n9gR/ (ただの転送)
http://www■bluewoon■com/Blog/
http://www■bluewoon■com/Blog/Muma■htm
http://www■bluewoon■com/Blog/Ms06-014■htm
http://www■bluewoon■com/Blog/Ms-office■htm(404NotFound)
http://www■skywebsv■com/Blog/k1■exe

同梱のmuma_1.html と Ms06-014_1.htm は途中まで解読を試みた経過。k1.exeは1/10製造の模様。

=== AntiVir ===
index.htm : NotDetected
Muma.htm : HTML/Shellcode.Gen HTML script virus
muma_1.html : EXP/XMLSPAN.B exploit
Ms06-014.htm : HTML/Malicious.ActiveX.Gen HTML script virus
Ms06-014_1.htm : HTML/Malicious.ActiveX.Gen HTML script virus
k1.exe : TR/Inject.ncz Trojan

=== VirusTotal ===
index.htm(7/39) : ttp://www.virustotal.com/analisis/a9fcbdb0774223ed4262422c72e06bda
Muma.htm(7/37) : ttp://www.virustotal.com/analisis/44d4f78814e7982baceba7fc4c2fba1d
muma_1.html(15/37) : ttp://www.virustotal.com/analisis/803f38f1ee5eaf28935f8901e6214ab8
Ms06-014.htm(6/38) : ttp://www.virustotal.com/analisis/34e438cc6d99c903e24d4550722177e1
Ms06-014_1.htm(4/38) : ttp://www.virustotal.com/analisis/ae8a4d8cc183c03457b803eaffb1f106
k1.exe(24/39) : ttp://www.virustotal.com/analisis/a9fa32735a81f195b1bd02ae2cdc7ad3
106名無しさん@お腹いっぱい。:2009/01/19(月) 04:51:31
>>97
わかりました
こうやって話し合って確認できたので私は何も言いません
それに私の提出先も特に多重提出とかで困ることはないですしね・・・・

avast!とPanda:返事が全く来ないため検出状況は実機やVirustotalで確認するしかない
AntiVirとSymantec:Webフォームだから?のせいか返事は必ず来る

「多重提出しても困ることはない」と書いたけど貴方が先に「各社に提出します」との書き込みがあったときは各ベンダーに提出したと認識したということでその場合は私は検体を提出しません
107名無しさん@お腹いっぱい。:2009/01/19(月) 04:58:51
>>77
Symantecから(2009/1/18、18:32)

filename: barack.exe
machine: Machine
result: This file is detected as W32.Waledac.

filename: index.htm
machine: Machine
result: See the developer notes
108名無しさん@お腹いっぱい。:2009/01/19(月) 05:07:46
>>83
NortonInternetSecurity2009追加検出+1
Trojan Horse:redstone1.exe
7/10
109名無しさん@お腹いっぱい。:2009/01/19(月) 05:12:17
>>105
未対応分をMcAfeeに提出させて頂ました。
110名無しさん@お腹いっぱい。:2009/01/19(月) 05:13:41
>>105
NortonInternetSecurity2009
Downloader:Ms06-014_1.htm、muma_1.html
2/6
111名無しさん@お腹いっぱい。:2009/01/19(月) 05:24:11
>>105
PandaGlobalProtection2009
ウイルス発見 : Trj/Inject.K     K1.EXE


最近Pandaの検出状況悪いな
ま、もともと対応にムラがあるベンダーだしこういうこともあるか
眠いので各ベンダーへの提出は後ほどやります。。。
112名無しさん@お腹いっぱい。:2009/01/19(月) 08:15:14
>>105
カスペ
index.htm_ - Trojan.HTML.IFrame.ad,
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dhv,
Ms06-014_1.htm_ - Trojan-Downloader.JS.Agent.dhw,
Muma.htm_ - Trojan.JS.Agent.kb,
muma_1.htm_ - Trojan.JS.Agent.kc

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

k1.exe_ - Trojan.Win32.Inject.ncz
113名無しさん@お腹いっぱい。:2009/01/19(月) 08:16:45
>>106
>AntiVirとSymantec:Webフォームだから?のせいか返事は必ず来る
メールの受付もしてますよ。

AntiVir:メールでもフォームでも返事が来る
Symantec:昨年末まではどっちでも返事来たが、今年に入ってからメールでの報告には返事が来なくなった。
114名無しさん@お腹いっぱい。:2009/01/19(月) 08:18:54
>>105
Fortinet:
index.htm - Js/Agent.DFP!tr
k1.exe - W32/Magania.CRZ!tr.dldr
Ms06-014.htm - Js/Agent.DUP!tr.dldr
Ms06-014_1.htm - JS/Magania.CRZ!tr.dldr
muma_1 - Js/Agent.CEP!exploit
Muma - Js/Agent.DUP!tr.dldr

マカフィー
File Name      Findings            Detection          Type     Extra
--------------------|------------------------------|----------------------------|------------|-----
index.htm      |inconclusive         |              |      |no 
k1.exe       |current detection       |pws-mmorpg.gen       |Trojan   |no 
ms06-014.htm    |current detection       |js/downloader-bdq      |Trojan   |no 
ms06-014_1.htm   |current detection       |js/downloader-bdq      |Trojan   |no 
muma.htm      |inconclusive         |              |      |no 
muma_1.html     |current detection       |exploit-xmlhttpd.d     |Trojan   |no 

inconclusive [index.htm muma.htm]
115名無しさん@お腹いっぱい。:2009/01/19(月) 08:20:55
おっと、これもか。

NORMAN
k1.exe
INFECTED with W32/Malware (Signature: W32/Malware.FAGY)

他のHTMLは
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
116名無しさん@お腹いっぱい。:2009/01/19(月) 10:20:18
>>51
Symantecから(2009/1/19、8:09)

filename: 1.exe
machine: Machine
result: See the developer notes

filename: s9.exe
machine: Machine
result: See the developer notes

>>113
>メールの受付もしてますよ。
SymantecはともかくAntiVirはなぜか私の環境ではメールで送れなくなったんですよ(Symantecは単に提出先のアドレスを知らなかっただけw)
途中まではAntiVirもメールで提出してたんですけど今はWebフォームからのみしか送ってません

とりあえず今後も提出頼みますよ、私も出来るだけ提出を頑張りますね
117名無しさん@お腹いっぱい。:2009/01/19(月) 10:37:49
>>116
>AntiVirはなぜか私の環境ではメールで送れなくなったんですよ
AntiVirは昨年末にアドレスが変更になっています。現在はここ。
Avira GmbH(AntiVir) <[email protected]>

>Symantecは単に提出先のアドレスを知らなかっただけw
厳密に条件満たすと、結構面倒なんですよね。Symantecのメールでの提出。
提出先と条件は下記参照。2番目を展開すると出てきます。
自動処理に必要と思われるタイトル以外は、他への提出と同じ書式で送っちゃってます。

http://service1.symantec.com/SUPPORT/sunset-c2002kb.nsf/0/590f605c1b28dc8a85256edd00478d4a?OpenDocument&seg=hm&lg=en&ct=us
118名無しさん@お腹いっぱい。:2009/01/19(月) 11:22:24
>>117
>AntiVirは昨年末にアドレスが変更になっています。現在はここ。
>Avira GmbH(AntiVir) <[email protected]>
いえ、そのアドレスから送れなくなったんですよ
恐らく私のPC環境というか設定が良くないのでしょう
それにWebフォームからでも問題なく提出できてるので無問題といえば無問題、あまり気にしてはいません
119名無しさん@お腹いっぱい。:2009/01/19(月) 11:27:07
>>105
遅ればせながらavast!とPandaとSymantecに提出しました
120名無しさん@お腹いっぱい。:2009/01/19(月) 12:00:03
>>83
avast!4.8
ff11.exe\[RLPack]\[Embedded_R#60b4]:Win32:Trojan-gen {Other}
redstone1.exe:Win32:Trojan-gen {Other}

6/10
121名無しさん@お腹いっぱい。:2009/01/19(月) 18:30:50
F-PORTの検体提出先メールアドレス変更。次からはこちらへ。

F-PROT Viruslab <[email protected]>
122名無しさん@お腹いっぱい。:2009/01/19(月) 18:33:25
123名無しさん@お腹いっぱい。:2009/01/19(月) 18:37:51
>>122
avast!4.8
msmsg1.exe:Win32:Trojan-gen {Other}
pcclient1.exe:Win32:Downloader-AZY [Trj]
124名無しさん@お腹いっぱい。:2009/01/19(月) 18:39:14
>>122
AntiVirPremium
gpt0ru1.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
msmsg1.exe
[DETECTION] Is the TR/Vundo.Gen Trojan
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper

3/6
125名無しさん@お腹いっぱい。:2009/01/19(月) 18:45:24
>>122
NortonInternetSecurity2009
Trojan.Vundo:msmsg1.exe

1/6
126名無しさん@お腹いっぱい。:2009/01/19(月) 18:50:10
Rising 2009 21.21.60 (21.12.60.00)
>>105
muma_1.html: Hack.Exploit.Script.JS.Agent.if
>>122
スルー

試用期限切れてたので定義未更新
127名無しさん@お腹いっぱい。:2009/01/19(月) 18:53:01
>>122
PandaGlobalProtection2009
gpt0ru1.exeとmsmsg1.exeを疑わしいファイルとして検出
2/6
検体を提出します
128名無しさん@お腹いっぱい。:2009/01/19(月) 19:04:46
PandaGlobalProtection2009
>>77
barack.exeを疑わしいファイルとして検出

>>83
ff11.exeを疑わしいファイルとして検出
8/10
129名無しさん@お腹いっぱい。:2009/01/19(月) 19:11:49
130名無しさん@お腹いっぱい。:2009/01/19(月) 19:13:01
>>122
McAfeeに提出させて頂ました。
131名無しさん@お腹いっぱい。:2009/01/19(月) 20:18:44
>>105
トレンドマイクロ

We are glad to inform you that the detection for the following malware below is now available for
downloading using CPR 5.776.05.

JS_DLOADER.UOV
JS_DLOADER.UOY
JS_AGENT.AJWX
132名無しさん@お腹いっぱい。:2009/01/19(月) 20:34:32
>>122
Norman
pcclient1.exe : INFECTED with W32/Malware (Signature: NO_VIRUS)
他は現時点でスルー

マカフィー(現時点で全スルー)
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gpt0ru_dldr.exe |inconclusive | | |no
gpt0ru1.exe |inconclusive | | |no
gpt0ru2.exe |inconclusive | | |no
msmsg1.exe |inconclusive | | |no
pcclient1.exe |inconclusive | | |no
webcc1.exe |inconclusive | | |no

inconclusive [gpt0ru_dldr.exe gpt0ru1.exe gpt0ru2.exe msmsg1.exe pcclient1.exe webcc1.exe]
133名無しさん@お腹いっぱい。:2009/01/19(月) 20:42:22
>>122
カスペ2009 19:59:00
5/6
検体提出します。

Detected Trojan program Trojan-Downloader.Win32.Agent.bdwi tane0201.zip/gpt0ru_dldr.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bdvi tane0201.zip/gpt0ru1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.afel tane0201.zip/msmsg1.exe
Detected Trojan program Backdoor.Win32.PcClient.abdg tane0201.zip/pcclient1.exe
Detected Trojan program Trojan.Win32.Agent.bjci tane0201.zip/webcc1.exe
134名無しさん@お腹いっぱい。:2009/01/19(月) 20:47:27
>>122
Symantec(2/6)
フォームから送ると返事来るが、メールだと返事来ないねぇ。
「See the developer notes」となっている所はすべて、未検出なので人手で解析するとのコメント。

filename: webcc1.exe
machine: Machine
result: See the developer notes

filename: gpt0ru2.exe
machine: Machine
result: See the developer notes

filename: pcclient1.exe
machine: Machine
result: This file is detected as Backdoor.Formador. http://www.symantec.com/avcenter/venc/data/backdoor.formador.html

filename: gpt0ru_dldr.exe
machine: Machine
result: See the developer notes

filename: msmsg1.exe
machine: Machine
result: This file is detected as Trojan.Vundo. http://www.symantec.com/avcenter/venc/data/trojan.vundo.html

filename: gpt0ru1.exe
machine: Machine
result: See the developer notes
135名無しさん@お腹いっぱい。:2009/01/19(月) 21:34:13
>>134
>「See the developer notes」となっている所はすべて、未検出なので人手で解析するとのコメント。

ファイルを複数送るとそんな感じだね
ファイルが単体だと返事来るのに時間かかることが多かったからこちらは白判定だと思われる
136名無しさん@お腹いっぱい。:2009/01/19(月) 22:25:53
>>122
AntiVir
検出に対する返答。

gpt0ru1.exe : TR/Dldr.Delphi.Gen Trojan
msmsg1.exe : TR/Vundo.Gen Trojan
pcclient1.exe : DR/PcClient.Gen dropper
webcc1.exe : TR/Agent.bjci Trojan

現時点では「gpt0ru2.exe」「gpt0ru_dldr.exe」が除去できないので、下記返答分と思われる。
次のパターン更新で(6/6)予定。

The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the viruses will be detected as:

TR/Dldr.Agent.qse
TR/Dldr.Agent.qsg
137名無しさん@お腹いっぱい。:2009/01/19(月) 22:26:37
>136
×検出に対する返答。
○検体提出に対する返答。

orz
138名無しさん@お腹いっぱい。:2009/01/19(月) 22:48:38
>>122
Dr.Web(どれがどれだか不明。4/6が新種。あとの2種は既に検出可能だったのか、未対応なのか不明)

Your request has been analyzed. New virus record has been added.
Viruses: Trojan.DownLoad.28007, Trojan.DownLoad.28008, Trojan.Siggen.2065,
Trojan.Virtumod.1465.

Thank you for the cooperation.
139名無しさん@お腹いっぱい。:2009/01/19(月) 23:06:59
NOD32 v3.0 定義3777
>>105
1/6
k1.exe Win32/PSW.Gamania.NBE トロイの木馬
対応するかどうかわからないが、一応htmlファイルをesetに提出

>>122
1/6
pcclient1.exe Win32/PcClient.NCRの亜種 トロイの木馬
未検出ぶん提出
140名無しさん@お腹いっぱい。:2009/01/19(月) 23:36:43
Rising 2009 21.22.02 (21.13.02.00)にて
>>44-45
Backdoor.Win32.PcClient.qwr
ttp://viruslist.rising.com.cn/viruslist.asp?id=1450594
>>77
barack.exe: Trojan.Win32.Nodef.ady
ttp://viruslist.rising.com.cn/viruslist.asp?id=1450600
141名無しさん@お腹いっぱい。:2009/01/20(火) 00:31:46
>>122
検体は提出済み

bitdefender10 Free(1/6)

gpt0ru1.exe : OK
gpt0ru2.exe : OK
gpt0ru_dldr.exe : OK
msmsg1.exe : OK
pcclient1.exe : Infected: Trojan.Crypt.DG
webcc1.exe : OK
1421:2009/01/20(火) 01:04:00
>>10,14,16,116-118,121

混乱してきた。
>>4-7を削除して、>>1のWikiを各ベンダーに付き、訂正した方が早いのかね。
あんまり、テンプレを長くするのもどうかなとも思う。
一方、Wikiは荒らしが心配。
143名無しさん@お腹いっぱい。:2009/01/20(火) 05:14:26
144名無しさん@お腹いっぱい。:2009/01/20(火) 08:13:24
>>122
PandaGlobalProtection2009
pcclient1.exeを疑わしいファイルとして検出
3/6
145名無しさん@お腹いっぱい。:2009/01/20(火) 08:45:05
>>142
Wikiはこのスレで用意したものじゃなくて、他のところで使ってるものだからねぇ。便利だから紹介したけど。

RagnarokOnlineの板からです。そこのWikiの管理人さんと連絡取りたい場合はこちらへどうぞ。
アカウントハック対策・セキュリティ 総合スレ Lv.3
http://enif.mmobbs.com/test/read.cgi/livero/1227396646/
-----
取り敢えず検体を1つ(上記スレより)
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=202
virus

検体入手元
ttp://99■2■77■44:8080/blog/Start■scr

scrを解凍すると1199.exeと動画が出てくる。

http://www.virustotal.com/jp/analisis/24d2cce83381d9c707dfbecda54b3332 Start.scr(23/38)
http://www.virustotal.com/jp/analisis/16bb3f64075ced19d4477ef899bab415 1199.exe(27/39)

AntiVir
Start.scr : スルー
1199.exe : DR/PcClient.Gen

各社に提出してきます。
146名無しさん@お腹いっぱい。:2009/01/20(火) 08:50:11
>>122
Fortinet:

The samples you submitted will be detected as follows:
gpt0ru_dldr.exe - W32/SillyFDC.A!tr.dldr
gpt0ru1.exe - W32/SillyFDC.A!tr
gpt0ru2.exe - W32/SillyFDC.A!tr
pcclient1.exe - W32/VirtuMonde.B!tr.spy
msmsg1.exe - W32/VirtuMonde.B!tr.spy
147名無しさん@お腹いっぱい。:2009/01/20(火) 08:53:08
>>122
>>138は日本のDr.Webからの返事。英文で送った方にも返事があって、そっちは6つ載ってたので(6/6)の模様。
Dr.Web

Viruses: Trojan.DownLoad.28007, Trojan.DownLoad.28008, Trojan.MulDrop.23178, Trojan.DownLoad.28008, Trojan.Virtumod.1465, Trojan.Siggen.2065.
148名無しさん@お腹いっぱい。:2009/01/20(火) 08:57:30
ttp://www13.atwiki.jp/pheasantworks
このスレ発で放置されてるここを再利用でいんじゃない
149名無しさん@お腹いっぱい。:2009/01/20(火) 09:08:18
>>145
BitDefender10Free

Start.scr Infected: Dropped:Backdoor.PCClient.TCH
1199.exe Infected: Trojan.Crypt.DG
150名無しさん@お腹いっぱい。:2009/01/20(火) 09:14:18
>>145
McAfee

File Name      Findings            Detection          Type     Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe      |current detection       |generic backdoor      |Trojan   |no
start.scr      |inconclusive         |              |      |no


Norman
1199.exe
* Sandbox name: W32/Malware.
* Signature name: W32/PCClient.NDI.
Start.scr
* Sandbox name: .
* Signature name: NO_VIRUS.
151名無しさん@お腹いっぱい。:2009/01/20(火) 09:25:39
>>145
Fortinet:
The samples you submitted will be detected as follows:
1199.exe - W32/PcClient.AAUV!tr.bdr
Start.scr - W32/PcClient.AAUV!tr.bdr

一括して送っちまったけど、対応済みベンダーの方が多いのに、全部に送ること無かったな。担当者さんごめんなさい。
152名無しさん@お腹いっぱい。:2009/01/20(火) 09:47:33
>>145
Dr.Web
1199.exe - infected with Trojan.MulDrop.23178
Start.scr - infected with Trojan.MulDrop.23178
153名無しさん@お腹いっぱい。:2009/01/20(火) 14:02:18
リンクのみ(内容確認してません)
http://changi.2ch.net/test/read.cgi/entrance/1226843784/296-297
154名無しさん@お腹いっぱい。:2009/01/20(火) 14:56:22
>>145
カスペ2009 14:28
2/2

Detected Trojan program Backdoor.Win32.PcClient.aauv tane0202.zip/Start.scr//data0002
Detected Trojan program Backdoor.Win32.PcClient.aauv tane0202.zip/Start/1199.exe
155142:2009/01/20(火) 14:57:09
>>145, 148
Wikiの件了解。
情報d。
検討してみる。
156名無しさん@お腹いっぱい。:2009/01/20(火) 15:23:06
>>83
PandaGlobalProtection2009
romania1.exeを疑わしいファイルとして検出
157名無しさん@お腹いっぱい。:2009/01/20(火) 15:27:22
>>122
NortonInternetSecurity2009
Backdoor.Formador:pcclient1.exe
2/6
158名無しさん@お腹いっぱい。:2009/01/20(火) 15:40:56
AV-Test.org - Update Frequency of Anti-Virus Software (1週間の定義更新頻度)
ttp://www.av-test.org/index.php?menue=7&lang=0
159133:2009/01/20(火) 17:25:43
>>122
カスペからの返事

gpt0ru2.exe_ - Trojan.Win32.Agent2.ns

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

5+事後検出1=6/6
160名無しさん@お腹いっぱい。:2009/01/20(火) 17:27:18
>>143
ttp://www.virustotal.com/jp/analisis/941c84b0382eb11d21555fa440f21292(0da45bn76sdasdiobnxzl0dscjhopz110)
>>145

ここまでMcAfee提出済み。
161名無しさん@お腹いっぱい。:2009/01/20(火) 17:33:33
>>148
放置される=セキュリティ的にあぶな・・・
162名無しさん@お腹いっぱい。:2009/01/20(火) 17:37:19
>>143
PandaGlobalProtection2009
Trj/CI.Aとして検出
163名無しさん@お腹いっぱい。:2009/01/20(火) 19:44:36
NOD32 v3.0 定義3779
>>145
scr,exeともWin32/PcClient.NCQ トロイの木馬として検出 2/2

過去未検出ぶんの追試結果は11/24 17〜19日ぶん未検出ぶんの多くが検出可能になっていました。
未検出ぶんもVirustotalチェックしてみると、他社でも白判定なものが多かったです。

164名無しさん@お腹いっぱい。:2009/01/20(火) 20:14:32
>>122
始めてESETから返事が来た。(キャノン経由は何度か来たことあるけどESETからははじめて)

Thank you for your submission.
The detection for this threat will be included in our next signature update.

検出名は書いてないが、次回更新で対応とのこと。
165名無しさん@お腹いっぱい。:2009/01/20(火) 20:16:35
>>145
AntiVir

We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the virus will be detected as DR/PcClient.agv.

ということで

Start.scr : スルー → DR/PcClient.agv
1199.exe : DR/PcClient.Gen
166名無しさん@お腹いっぱい。:2009/01/20(火) 21:02:36
>>164
NOD32 v3.0 定義3780が先ほどアップデートされ、3つの未検出→3つ検出可能に
よって、3+3=6/6 全検出
167名無しさん@お腹いっぱい。:2009/01/20(火) 23:48:39
今から提出しようと思ったら>>153のファイル消えてました。

>>160さん、可能でしたら、いつものあぷろだに再UPをお願いしたいです。
(VirusTotalに投げられてるから大丈夫といえばそれまでですが)
168名無しさん@お腹いっぱい。:2009/01/21(水) 00:13:48
>>153 >>167 dlpass: EB07E5CDEF31
http://www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00001.rar.htm

その後、踏んでみて拾ったものも入れておきました *.[0001-0002].bin は、抽出物です
169名無しさん@お腹いっぱい。:2009/01/21(水) 00:17:56
>>168
>あなたが要求したファイルはサーバ上に存在しません。削除されたかアドレスが間違っています。

orz
170名無しさん@お腹いっぱい。:2009/01/21(水) 00:59:28
…あー。htm -> html こぴぺみすっぽ
171名無しさん@お腹いっぱい。:2009/01/21(水) 01:16:57
Rising 2009 21.22.12 (21.13.12.00)
>>122
pcclient1.exe: Backdoor.Win32.PcClient.qxg
1/6
172名無しさん@お腹いっぱい。:2009/01/21(水) 01:25:10
>>105
Trend Micro

We are glad to inform you that the detection for HTML_IFRAME.ZF is now available for
downloading using CPR 5.778.05.
173名無しさん@お腹いっぱい。:2009/01/21(水) 01:37:19
>>170
ありがとう。パスワードはinfectedか。いろいろ試しちまったぜ。

各社に提出かけてきます。
174名無しさん@お腹いっぱい。:2009/01/21(水) 01:38:40
175名無しさん@お腹いっぱい。:2009/01/21(水) 01:51:31
>>168 現状。

1x.exe.ico (8/39)
http://www.virustotal.com/analisis/0ab8348dc9cde1d02644841b353a7524
18.exe.0001.bin (4/39)
http://www.virustotal.com/analisis/73f396eccd84beadf08c326e0e07b5f4
18.exe.0002.bin (9/39)
http://www.virustotal.com/analisis/568afeba5351f0033cff764788e1e97b
18.exe.ico (13/39)
http://www.virustotal.com/analisis/c48732d4ebe4c0260838ef73bb397780
datad.zip.ico
http://www.virustotal.com/analisis/6594ea72ee93a4f0411e3b671b7462f4
MVCImage0010.JPEG_www.imgshare.com.ico (12/38)
http://www.virustotal.com/analisis/ebbea418600b7a38b7766a6cad0a0c4d
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico (11/39)
http://www.virustotal.com/analisis/5a8b092bca805e3ce82577c4b023fbd9

AntiVir(5/7)
1x.exe.ico : -
18.exe.0001.bin : TR/Dropper.Gen
18.exe.0002.bin : TR/Crypt.XPACK.Gen
18.exe.ico : TR/Crypt.XPACK.Gen
datad.zip.ico : TR/Qhost.kzn
MVCImage0010.JPEG_www.imgshare.com.ico : SPR/Tool.DelfInject.51712AF.1
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico : -

BitDefender10Free(1/7)
datad.zip.ico : Win32.Worm.Slenfbot.CB
176名無しさん@お腹いっぱい。:2009/01/21(水) 01:55:32
>>174
>>3
|【重要】
|●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
|割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。

|※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

VirusTotal (0/39)
177名無しさん@お腹いっぱい。:2009/01/21(水) 02:32:33
>>168
NORMAN(2/7)
1x.exe.ico : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.0001.bin : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.0002.bin : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.ico : INFECTED with W32/Malware (Signature: NO_VIRUS)
datad.zip.ico : Not detected by Sandbox (Signature: W32/Qhost)
MVCImage0010.JPEG_www.imgshare.com.ico : Not detected by Sandbox (Signature: NO_VIRUS)
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico : Not detected by Sandbox (Signature: NO_VIRUS)


McAfee(2/7)
File Name      Findings       Detection      Type     Extra
--------------------|---------------------|--------------------|------------|-----
18.exe.0001.bin   |inconclusive    |          |      |no
18.exe.0002.bin   |inconclusive    |          |      |no
18.exe.ico     |inconclusive    |          |      |no
1x.exe.ico     |inconclusive    |          |      |no
datad.zip.ico    |inconclusive    |          |      |no
mvcimage0010.jpeg_ww|heuristic detection |with fishy extension|Application |no
nuevoimagen0034.jpeg|heuristic detection |with fishy extension|Application |no
178名無しさん@お腹いっぱい。:2009/01/21(水) 04:21:21
>>168
Fortinet:
1x.exe - W32/Poison.M!tr
18.exe - W32/Obfuscator.CL!tr
18.exe.0001 - W32/Tofsee.A!tr.bdr
18.exe.0002 - W32/Obfuscator.CL!tr
datad.zip - W32/Buzus.AIKH!tr
MVCImage0010.JPEG_www.imgshare.com - W32/Poison.M!tr
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com - W32/Poison.M!tr
179名無しさん@お腹いっぱい。:2009/01/21(水) 12:22:52
>>168
Microsoft
+---MVCImage0010.JPEG_www.imgshare.com.ico [VirTool:Win32/DelfInject.gen!AF]
+---18.exe.0001.bin [Backdoor:WinNT/Tofsee.gen!A]
+---18.exe.0002.bin [VirTool:Win32/Obfuscator.CL]
+---18.exe.ico [VirTool:Win32/Obfuscator.CL]
+---1x.exe.ico [VirTool:Win32/DelfInject.gen!AF]
+---datad.zip.ico [VirTool:Win32/DelfInject.gen!AF]
+---NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico [VirTool:Win32/DelfInject.gen!AF]

Dr.Web
18.exe.0001.bin - infected with Trojan.NtRootKit.2561
18.exe.0002.bin - probably infected with Trojan.Packed.154
1x.exe.ico - infected with BackDoor.IRC.Sdbot.4634
datad.zip.ico - infected with Dialer.Siggen.121
MVCImage0010.JPEG_www.imgshare.com.ico - infected with BackDoor.IRC.Sdbot.4634
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico - infected with BackDoor.IRC.Sdbot.4634
18.exe.ico - probably infected with Trojan.Packed.154

※ 一部、ヒューリスティック解析によって検出しているものがありますので、
こちらについては正確を帰すためにパターン対応を検討いたします。
180名無しさん@お腹いっぱい。:2009/01/21(水) 12:23:43
>>145
Rising

1. Filename:1199.exe
Virusname:Backdoor.Win32.PcClient.qup
2. Filename:Start.scr
Virusname:Backdoor.Win32.PcClient.qup
181名無しさん@お腹いっぱい。:2009/01/21(水) 13:17:43
182名無しさん@お腹いっぱい。:2009/01/21(水) 14:20:30
>>181
 >2
 >・DOSウイルス禁止
 > 大昔のウイルスを集めてきても無意味なことがあります。

DOS時代程じゃないけど、古そうなのでパス
183名無しさん@お腹いっぱい。:2009/01/21(水) 14:24:37
>>105
Rising
1. Filename:Muma.htm
Virusname:Trojan.DL.Script.JS.Agent.my
2. Filename:Ms06-014.htm
Virusname:Trojan.DL.Script.JS.Agent.mx
3. Filename:index.htm
Virusname:Trojan.DL.Script.JS.Agent.mw
4. Filename:k1.exe
Virusname:Trojan.Win32.Nodef.ahz
5. Filename:muma_1.html
Virusname:Hack.Exploit.Script.JS.Agent.if
6. Filename:Ms06-014_1.htm
No malware.

KingSoft
貴殿よりお送りいただいた検体が、
キングソフトにおいて新種のウイルスではないことが確認できましたことをご連絡いたします。
「ウイルス名:Win32.Troj.Inject.47616」

全種対応なのか、スルーがあるのかこの回答からは不明だが、対応済みとの返答。
184名無しさん@お腹いっぱい。:2009/01/21(水) 14:26:05
>>83
kingSoft

貴殿よりお送りいただいた検体が、
キングソフトにおいて新種のウイルスではないことが確認できましたことをご連絡いたします。
「ウイルス名:Win32.Troj.Delf.uf.45056」

全種対応なのか、スルーがあるのかこの回答からは不明だが、対応済みとの返答。
185名無しさん@お腹いっぱい。:2009/01/21(水) 16:47:14
>>168
Rising 提出後の回答(6/7)
1. Filename:18.exe.0001.bin
Virusname:Trojan.Win32.Nodef.ajz
2. Filename:18.exe.ico
Virusname:Trojan.Win32.Nodef.aju
3. Filename:1x.exe.ico
Virusname:Trojan.Win32.Nodef.ajg
4. Filename:datad.zip.ico
Virusname:Trojan.Win32.Nodef.ajf
5. Filename:MVCImage0010.JPEG_www.imgshare.com.ico
Virusname:Trojan.Win32.Nodef.aje
6. Filename:NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico
Virusname:Trojan.Win32.Nodef.ajd
7. Filename:18.exe.0002.bin
No malware.

186名無しさん@お腹いっぱい。:2009/01/21(水) 16:48:03
>>83
Rising 提出後の返答(9/10)
1. Filename:webcc1.exe
Virusname:Trojan.Win32.Nodef.akm
2. Filename:romania1.exe
Virusname:Trojan.Win32.Nodef.akc
3. Filename:redstone1.exe
Virusname:Trojan.PSW.Win32.GameOL.udc
4. Filename:ff11.exe
Virusname:Trojan.Win32.Nodef.ajc
5. Filename:autorun1.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
6. Filename:autorun2.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
7. Filename:autorun4.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
8. Filename:autorun3.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
9. Filename:wow1dll.exe
Virusname:Trojan.Win32.Nodef.zq
10. Filename:wow1.exe
No malware.
187名無しさん@お腹いっぱい。:2009/01/21(水) 16:51:05
>>55
Rising 提出後の回答 (7/12)
ベンダーによって白黒に差があると言っても流石にこれは…未検出分の再提出はRisingユーザーさんに任せた。

1. Filename:adv111.exe
Virusname:AdWare.Win32.Mnless.arq
2. Filename:file.exe
Virusname:Trojan.Win32.Nodef.akv
3. Filename:load.exe
Virusname:Trojan.Win32.Nodef.aku
4. Filename:load_1.exe
Virusname:Trojan.Win32.Nodef.akq
5. Filename:SpywareReminder_v3_12.exe
Virusname:Trojan.Win32.Nodef.ako
6. Filename:x50.exe
Virusname:Trojan.Win32.VBCode.bq
7. Filename:FlashPlayer-9.0.124.0p.exe
Virusname:Trojan.DL.Win32.Undef.aqa
8. Filename:installer_99404.exe
No malware.
9. Filename:main.exe
No malware.
10. Filename:setup_243_3777_.exe
No malware.
11. Filename:SpywareGuard2009.exe
No malware.
12. Filename:1.exe
No malware.
188名無しさん@お腹いっぱい。:2009/01/21(水) 17:32:15
>>55
NortonInternetSecurity2009
Infostealer.Banker.C:load.exe

8/12

最近検出報告がさぼりぎみです・・・
特に忙しいわけでもないんですが・・・

>>187
Risingのセキュリティポリシーじゃ?
Symantecもこのスレの検体は白判定多いしESETやMcAfeeもそう
Pandaもこのスレの100前後あたりにうpされた検体は白判定が多かった(Pandaはそれでも黒判定が多いベンダーだと思うけど)

対応速度もそうだけどなんでも黒判定するのはAntiVirとカスペルスキーの印象が強いね

NortonのパルスアップデートとMcAfeeとPandaのクラウド型検出はもっと成熟させてベンダー自体の対応速度も上げればかなりいい感じになれると思う
189名無しさん@お腹いっぱい。:2009/01/21(水) 18:14:18
Risingはアドウェアやスパイウェア系のものはスルーが多い傾向だからね・・・
忘れた頃に検出することも多いし、いまだに11月頃の検体に対して返事が来るほど
解析が追いついてないようなので再提出はしないつもりです。

Risingの分析メールより最終結果のみ
>>55
1+5(6?)=6(7?)/12
>>83
6+4=10/10
190名無しさん@お腹いっぱい。:2009/01/21(水) 18:22:36
トレンドマイクロはバスター2010辺りにSmartProtectionNetworkを搭載させないと今のバスターのアップデート形式と検出形式じゃ新種に全然ついていけなくなっていくような気がする
逆にカスペにクラウド型検出は必要ないと思う(とある記事でカスペも採用するというのを見た)もともと対応速度は速くアップデートは頻繁なんだし意味あるのかな・・・?
191名無しさん@お腹いっぱい。:2009/01/21(水) 19:52:27
>>168
ESETより返答

Thank you for your submission.
The detection for this threat will be included in our next signature update.

検出名は不明なれど、次回更新で対応するそうな。白判定が含まれるかどうかは不明。

>>188
>Risingのセキュリティポリシーじゃ?
そうでした。テンプレにもありましたね。
 >>2
 >・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
192名無しさん@お腹いっぱい。:2009/01/21(水) 20:27:40
Rising 2009 21.22.22 (21.13.22.00)にて
>>38
1.exe: Trojan.DL.Win32.Mnless.cbk
1/2
>>51
1(1).exe>>upx_c: Trojan.DL.Win32.Mnless.cbk
1/2
>>122
gpt0ru1.exe: Trojan.Win32.Nodef.ajs
gpt0ru2.exe: Trojan.Win32.Nodef.ajr
gpt0ru_dldr.exe: Trojan.DL.Win32.Mnless.cbk
msmsg1.exe: Trojan.Win32.VUNDO.ckv
1+4=5/6
193名無しさん@お腹いっぱい。:2009/01/21(水) 20:47:51
NOD32 v3.0 定義3785
>>168
3/7
18.exe.ico Win32/Agent.NSHの亜種 トロイの木馬
datad.zip.ico Win32/Injector.CRの亜種である可能性 トロイの木馬
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico Win32/AutoRun.Qhost.A ワーム
194名無しさん@お腹いっぱい。:2009/01/21(水) 21:52:18
>>191
積極的に各社に提出なされてるようなのでSymantecとPandaの提出もよろしくお願いしますね(と、他人任せな私)
提出してくれたらPandaの検出報告はしておきます、NortonはほぼVirustotal通りだから問題ないかと
195名無しさん@お腹いっぱい。:2009/01/21(水) 23:12:03
>>190
「必要・不必要」ではなく「あった方が良いか否か」
個人的にクラウドベースの検出方法が害になるような考えには今の所至れないな
196名無しさん@お腹いっぱい。:2009/01/21(水) 23:59:10
>>195
「必要ないと思う」は言いすぎたかもしれないけどAntiVirみたいなシグネチャベース+ヒューリスティックで最強を極めるというのも面白いかと
各ベンダーが揃ってクラウドベース検出になったらつまらないかなと個人的な感想、それにカスペは2009でヒューリスティックを大幅に強化したしこのクラシック路線で頑張って欲しい

逆にトレンドマイクロというかバスターは今のままだと・・・
197名無しさん@お腹いっぱい。:2009/01/22(木) 09:50:45
このスレに常駐しているとフラッとPandaあたり購入しそうになるから困るワィ
198名無しさん@お腹いっぱい。:2009/01/22(木) 13:04:46
>>122
カスペ
This file is already detected. Please update your bases.
199名無しさん@お腹いっぱい。:2009/01/22(木) 14:28:19
>>197
クラウド型検出を試したいならPandaよりMcAfeeの方がお勧め
Pandaのクラウド型検出は強力だけど常駐の反応は鈍いというか多分機能してない、それだったら常駐時でもクラウド型検出が機能するMcAfeeの方がいいと思う
200名無しさん@お腹いっぱい。:2009/01/22(木) 15:39:57
200
201名無しさん@お腹いっぱい。:2009/01/22(木) 15:41:38
201
202 ◆W32/Vael.o :2009/01/22(木) 18:30:30
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=203
Malware-Pack57

例によってMcAfeeには提出済み
203名無しさん@お腹いっぱい。:2009/01/22(木) 18:41:13
>>168
Antivir
We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The virus will be detected as 'TR/Dldr.Delf.acj'.

>>175時点では(5/7)でしたが、現時点で(7/7)対応を確認。
204名無しさん@お腹いっぱい。:2009/01/22(木) 18:53:19
>>202
AntiVir (9/12)
461.exe
  [DETECTION] Is the TR/TDss.AJ Trojan
install.exe
  [DETECTION] Is the TR/Peed.A.1016 Trojan
InstallAVg_77025309.exe
  [DETECTION] Is the TR/Fake.Antivirus.2009.FE Trojan
pro.exe
  [DETECTION] Is the TR/Spy.ZBot.kpk Trojan
rdr.exe
  [DETECTION] Is the TR/Spy.ZBot.PE.11 Trojan
setup_419_6777_.exe
  [DETECTION] Is the TR/Dldr.FakeAle.ftv Trojan
StageThree.exe
  [DETECTION] Is the TR/Fake.Antivirus.2010.E Trojan
tubeviewersetup.1401.exe
  [DETECTION] Is the TR/Dropper.Gen Trojan
vmnatt.exe
  [DETECTION] Is the TR/Spy.Gen Trojan

BitDefender10Free(5/12)
Summary:
install.exe Infected: Trojan.Peed.Gen
InstallAVg_77025309.exe Infected: Trojan.FakeAntivirus.Gen
rdr.exe Infected: Trojan.Spy.ZBot.PE
setup_419_6777_.exe Infected: Trojan.FakeAntivirus.Gen
vmnatt.exe Infected: Trojan.Crypt.Delf.C
205名無しさん@お腹いっぱい。:2009/01/22(木) 19:31:49
NOD32 v3.0 定義3788
>>202
9/12
1\vmnatt.exe Win32/Delf.GMWの亜種 トロイの木馬
2\install.exe Win32/Adware.WinWebSecurity アプリケーション
3\InstallAVg_77025309.exe Win32/Adware.Antivirus2008 アプリケーション
4\prosto.exe Win32/Spy.Zbot.FN トロイの木馬
5\rdr.exe Win32/Spy.Zbot.FE トロイの木馬
6\461.exe Win32/Kryptik.FJの亜種 トロイの木馬
7\pro.exe Win32/Spy.Zbot.ET トロイの木馬
9\tubeviewersetup.1401.exe Win32/TrojanDownloader.Zlob.CYV トロイの木馬
a\antivirus.v.1.0.exe Win32/TrojanDownloader.FakeAlert.WR トロイの木馬
未検出ぶんEsetへ提出。

>>193で未検出だったものも対応(4/7→7/7)
206名無しさん@お腹いっぱい。:2009/01/22(木) 19:35:17
207名無しさん@お腹いっぱい。:2009/01/22(木) 19:43:22
>>202
Rising 2009 21.22.32 (21.13.32.00)にて
1\vmnatt.exe>>upx_c: Trojan.Win32.StartPage.men
4\prosto.exe>>upx_c: Trojan.Win32.Nodef.ame
6\461.exe: Trojan.Win32.Nodef.aia
8\setup_419_6777_.exe: Trojan.Win32.FakeAV.gc
4/12
Risingに送付済み
208名無しさん@お腹いっぱい。:2009/01/22(木) 19:49:42
>>202
McAfee

File Name      Findings       Detection      Type     Extra
--------------------|--------------------|--------------------|------------|-----
24.exe       |inconclusive    |          |      |no 
461.exe       |inconclusive    |          |      |no 
antivirus.v.1.0.exe |new detection    |fakealert-ab.dldr  |Trojan   |yes 
install.exe     |new detection    |fakealert-t     |Trojan   |yes 
installavg_77025309.|new detection    |generic pup.x    |Application |yes 
pro.exe       |new detection    |generic pws.y    |Trojan   |yes 
prosto.exe     |inconclusive    |          |      |no 
rdr.exe       |new detection    |puper        |Trojan   |yes 
setup_419_6777_.exe |current detection  |generic downloader.z|Trojan   |no 
stagethree.exe   |inconclusive    |          |      |no 
tubeviewersetup.1401|inconclusive    |          |      |no 
vmnatt.exe     |new detection    |generic dropper   |Trojan   |yes 
209名無しさん@お腹いっぱい。:2009/01/22(木) 20:34:34
>>202
d
カスペ2009 19:42
11/12 (b以外)

Detected virus not-a-virus:FraudTool.Win32.Antivirus2010.e tane0203.zip/Malware/0/StageThree.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan.Win32.Delf.hva tane0203.zip/Malware/1/vmnatt.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vgqm tane0203.zip/Malware/2/install.exe
Detected virus not-a-virus:FraudTool.Win32.Antivirus2009.fe tane0203.zip/Malware/3/InstallAVg_77025309.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kup tane0203.zip/Malware/4/prosto.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.krd tane0203.zip/Malware/5/rdr.exe
Detected virus HEUR:Trojan.Win32.Generic tane0203.zip/Malware/6/461.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kpk tane0203.zip/Malware/7/pro.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.cyu tane0203.zip/Malware/8/setup_419_6777_.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bech tane0203.zip/Malware/9/tubeviewersetup.1401.exe
Detected Trojan program Trojan.Win32.Agent2.ta tane0203.zip/Malware/a/antivirus.v.1.0.exe

検体提出します。 (6,b)
210名無しさん@お腹いっぱい。:2009/01/22(木) 20:39:42
>>206
鑑定アリトゥーッスww
211名無しさん@お腹いっぱい。:2009/01/22(木) 21:32:04
>>202
avast!4.8
Malware\0\StageThree.exe:Win32:Trojan-gen {Other}
Malware\1\vmnatt.exe:Win32:Spyware-gen [Trj]
Malware\2\install.exe:Win32:Adware-gen [Adw]
Malware\3\InstallAVg_77025309.exe:Win32:Trojan-gen {Other}
Malware\5\rdr.exe:Win32:Zbot-AYV [Trj]
Malware\7\pro.exe:Win32:Zbot-AYV [Trj]

6/12
212名無しさん@お腹いっぱい。:2009/01/22(木) 21:48:10
>>202
PandaGlobalProtection2009
ウイルス発見 : Generic Trojan vmnatt.exe、install.exe
ウイルス発見 : Trj/Sinowal.DW    rdr.exe
ウイルス発見 : Trj/CI.A    pro.exe
アドウェアを検出 : Adware/Antivirus2009   setup_419_6777_.exe
アドウェアを検出 : Adware/Antivirus2010   StageThree.exe

疑わしいファイル:nstallAVg_77025309.exe、prosto.exe、461.exe、tubeviewersetup.1401.exe
検出数10/12

McAfeeVirusScan+ActiveProtectionの検出数8/12
213名無しさん@お腹いっぱい。:2009/01/22(木) 21:57:20
>>202
NortonInternetSecurity2009
2/12
Trojan Horse:vmnatt.exe
AntispywareProXP:setup_419_6777_.exe

検体提出は最近各ベンダーに提出されてる方に任せます
しかしNortonはこのスレでの検体はあんまり強くないな・・・
Nortonの性能は確かなんだろうけどこのスレではその実感がないですね・・・
恐らく検体の白判定の多さからだろうか?
214名無しさん@お腹いっぱい。:2009/01/22(木) 22:12:31
>>202
Avira(追加)
We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.

The virus will be detected as 'ADSPY/NaviPromo.wam'.

>>213
あー、今回のは出してますが、忙しい時は検体見掛けても出せないこともあるので、あまり任せっきりにされても…。
215名無しさん@お腹いっぱい。:2009/01/22(木) 22:26:00
>>214
>ADSPY/NaviPromo.wam'.
まだアップデート来てないのかな?
さっきスキャンかけてみたけどまだその検出名がなかった

>忙しい時は検体見掛けても出せないこともあるので、あまり任せっきりにされても…。

余裕があるときは私も自分の使ってるベンダーには出しておきますね(現在McAfee+ActiveProtectionもテスト中)
216名無しさん@お腹いっぱい。:2009/01/22(木) 22:32:57
公式サイト新配布ファイル: GOMPLAYERSETUP2114.EXE 受理 2009.01.22 12:28:23 (CET)
ttp://www.virustotal.com/jp/analisis/fcfe30b2f528fe262bf15f4101510b36
Pandaユーザーの方、報告お願して宜しいですか?
217名無しさん@お腹いっぱい。:2009/01/22(木) 22:38:05
>>216
ゴメソ、まだ話しがイマイチ理解できてない
kwsk
218名無しさん@お腹いっぱい。:2009/01/22(木) 22:43:45
>>216
誤検出の可能性かな?
今落としてみても、それとファイル名とファイルサイズ違うんだけど。
検出はしてるようなので、誤検出の疑いとして一応提出してきます。>216はどっから落としたんだろう?

>216の奴(GOMPLAYERSETUP2114.EXE File size: 5903944 bytes)
   ↓
今落とした奴(GOMPLAYERJPSETUP.EXE File size: 267528 bytes)
ttp://www.virustotal.com/analisis/82762290109730c07b46aa91d783122a

>Panda 9.5.1.2 2009.01.21 Suspicious file
   ↓
>Panda 9.5.1.2 2009.01.21 Error scanning file
>Sophos 4.37.0 2009.01.22 KILLgOM Process Killer
219名無しさん@お腹いっぱい。:2009/01/22(木) 22:57:42
>>202
全てvirustotalに送ってありました。
220名無しさん@お腹いっぱい。:2009/01/22(木) 23:14:15
>>217-218
説明不足ですみません。
TOPページ → ttp://www.gomplayer.jp/

お知らせ [2009-01-07] GOM PLAYERバージョンアップのお知らせ [Ver2.1.14.4525]
リンク先 → ttp://www.gomplayer.jp/notice/view.html?intSeq=45

ダウンロードリンク先 → ttp://www.gomplayer.jp/exe/GOMPLAYERSETUP2114.EXE

このHPからのDLはつい先日までリンク先が不安定でした。プレイヤー自身の自動
更新からのDLは可能だったみたいです。(他の掲示板の情報による)

先ほど、このHPからプレイヤーの更新をDLして、virustotalで確認したところ
誤検出ではないかと、書き込みした次第です。
221名無しさん@お腹いっぱい。:2009/01/22(木) 23:17:51
>>216-218
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=204
infected

日本公式から落としたものなので、>216のファイルとは異なります。

誤検出の疑いとしてPandaとSophosに提出しました。両方とも回答の来ないベンダーなので、
修正されたかどうかのチェックは、該当セキュリティソフト利用者の方に余裕があったらお願いします。
Sophosは、内部のKillGom.exeが引っ掛かってたようですが、Panadaが引っ掻けてるファイルは不明。

GOMPLAYERJPSETUP.EXE
  http://www.virustotal.com/analisis/82762290109730c07b46aa91d783122a
  Error scanning file(Panda)
  KILLgOM Process Killer(Sophos)

KillGom.exe
  http://www.virustotal.com/analisis/b9177f2edc0c64afb0821a2bf63167d7
  KILLgOM Process Killer(Sophos)
222名無しさん@お腹いっぱい。:2009/01/22(木) 23:21:20
>>220
>221のファイルは日本公式のTOPから落としたものです。
多分、中に入ってる同じファイルが引っ掛かっているんでしょうから、>220の提出は見合わせます。

検体入手元(リンクにならないよう、念のため、一部文字を置き換えてあります)
ttp://www■gomplayer■jp/exe/GOMPLAYERJPSETUP■EXE
223名無しさん@お腹いっぱい。:2009/01/22(木) 23:22:08
おk
Panda2009で確認してくる
224名無しさん@お腹いっぱい。:2009/01/22(木) 23:30:57
>>220-222
検体入手してきました
PandaGlobalProtection2009では反応ありません(>>221でうpしてくれた検体も無反応)

ちなみにPanda2009のバージョンは9.8です(Virustotalは9.5)
2009では無反応だったから正直報告しようかどうか微妙な結果・・・
225名無しさん@お腹いっぱい。:2009/01/23(金) 03:57:52
>>221
名前からして誤検出ではないんじゃないか
名前の通りProcessを強制するソフトだってことなんじゃないかな
こういうソフトは悪用されることがあるから検出されることがある
226名無しさん@お腹いっぱい。:2009/01/23(金) 04:00:12
Processを強制終了するソフトね
pskill.exeなんかもソフトによっては引っかかる
227名無しさん@お腹いっぱい。:2009/01/23(金) 04:06:56
>>202
NortonInternetSecurity2009追加検出+5
Infostealer.Banker.C:prosto.exe、rdr.exe、pro.exe
Trojan Horse:StageThree.exe、tubeviewersetup.1401.exe

7/12
228名無しさん@お腹いっぱい。:2009/01/23(金) 04:18:49
とりあえずNortonは12時間以内に5個検出できたし対応速度的にも速いほうだから合格点かな
最初2個しか検出できなかったときは不安になった
229名無しさん@お腹いっぱい。:2009/01/23(金) 08:49:19
>>202
カスペ、全対応完了。

24.exe_ - Trojan.Win32.BHO.kqt

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

461.exe_ - Packed.Win32.Tdss.a,
antivirus.v.1.0.exe_ - Trojan.Win32.Agent2.ta,
install.exe_ - Trojan-Downloader.Win32.FraudLoad.vgqm,
pro.exe_ - Trojan-Spy.Win32.Zbot.kpk,
prosto.exe_ - Trojan-Spy.Win32.Zbot.kup,
rdr.exe_ - Trojan-Spy.Win32.Zbot.krd,
setup_419_6777.exe_ - Trojan-Downloader.Win32.FraudLoad.cyu,
tubeviewersetup.1401.exe_ - Trojan-Downloader.Win32.Agent.bech,
vmnatt.exe_ - Trojan.Win32.Delf.hva

These files are already detected. Please update your antivirus bases.
230名無しさん@お腹いっぱい。:2009/01/23(金) 08:51:00
おっと、検出名2つ貼りわすれ。拡張設定で検出する分。

InstallAVg_77025309.exe_ - not-a-virus:FraudTool.Win32.Antivirus2009.fe,
StageThree.exe_ - not-a-virus:FraudTool.Win32.Antivirus2010.e

These files are already detected by our extended bases as potentially risk programs.
231名無しさん@お腹いっぱい。:2009/01/23(金) 13:30:09
前スレのDishの件
カスペから今頃返事が来た

Hello,

dish.exe_ - Trojan-Proxy.Win32.Delf.kt

This file is already detected. Please update your antivirus bases.

>
Please quote all when answering.

結論:どのベンダーからもウイルス扱いされるこのソフトを作った奴が悪い
232名無しさん@お腹いっぱい。:2009/01/23(金) 18:45:54
>>205の続き NOD32 定義3791
全検出を確認 9/12→12/12
233名無しさん@お腹いっぱい。:2009/01/23(金) 18:49:34
234名無しさん@お腹いっぱい。:2009/01/23(金) 20:15:57
>>233
>>3
-----
>>105
ClamAV(6/6)

[clamav-virusdb] Update (daily: 8895)
ttp://lurker.clamav.net/message/20090123.091431.03e1242f.en.html

Submission-ID: 6221397
Added: Trojan.Inject-1879
Added: JS.Agent-36
Added: JS.Agent-37
Added: JS.Agent-38
Added: JS.Agent-39
Added: JS.Agent-40

ClamAVはチェックつけとくと、検出名は教えてくれるけど、いつ送ったどのファイルだか判らないので困る。
ファイル数とか検出名称から当たりをつけて、VirusTotalに投げて、同じ名前で検出するかチェックして
ようやく返答と、どの検体かが結びつくのでちょっと面倒くさいです。

提出:2009/01/19 AM3:50頃
返答:2009/01/23 PM6:13頃 今回は、およそ4日半位ですね
235名無しさん@お腹いっぱい。:2009/01/23(金) 20:27:37
>>105
ついでなんで、対応状況のチェック

=== VirusTotal(2009/01/19 検体提出前) ===
ttp://www.virustotal.com/analisis/a9fcbdb0774223ed4262422c72e06bda : index.htm(7/39)
ttp://www.virustotal.com/analisis/44d4f78814e7982baceba7fc4c2fba1d : Muma.htm(7/37)
ttp://www.virustotal.com/analisis/803f38f1ee5eaf28935f8901e6214ab8 : muma_1.html(15/37)
ttp://www.virustotal.com/analisis/34e438cc6d99c903e24d4550722177e1 : Ms06-014.htm(6/38)
ttp://www.virustotal.com/analisis/ae8a4d8cc183c03457b803eaffb1f106 : Ms06-014_1.htm(4/38)
ttp://www.virustotal.com/analisis/a9fa32735a81f195b1bd02ae2cdc7ad3 : k1.exe(24/39)

=== VirusTotal(2009/01/23) ===
ttp://www.virustotal.com/analisis/a0a022353e51b762e295f9dddc895398 : index.htm(19/39)
ttp://www.virustotal.com/analisis/2beccda409a15729300f1e486e38dd32 : Muma.htm(18/39)
ttp://www.virustotal.com/analisis/e5db8393c89824000810d2e27dc50c44 : muma_1.html(27/39)
ttp://www.virustotal.com/analisis/0a1e6f4fe20ea01895f5bcaec09c5c78 : Ms06-014.htm(20/39)
ttp://www.virustotal.com/analisis/aa42f42447a8e7174e4c1ed1cf348877 : Ms06-014_1.htm(18/39)
ttp://www.virustotal.com/analisis/1b96186968273ec0b7ba7ca29ebfad19 : k1.exe(31/39)

2009/01/19 -> 2009/01/23
index.htm     : 7 -> 19
Muma.htm     : 7 -> 18
muma_1.html   : 15 -> 27
Ms06-014.htm  : 6 -> 20
Ms06-014_1.htm : 4 -> 18
k1.exe       : 24 -> 31
236名無しさん@お腹いっぱい。:2009/01/23(金) 21:55:56
237名無しさん@お腹いっぱい。:2009/01/23(金) 21:58:33
>>232
それにしても最近のESETの対応の早さはなんなんだろうね
明らかにavast!やAVG、バスターより対応早い

ウイルス解析スタッフを変えたとかなんか?
VB100スポンサー外れたことも影響してるのかな?
238名無しさん@お腹いっぱい。:2009/01/23(金) 22:00:05
少しは危機感があるんじゃないかな
239名無しさん@お腹いっぱい。:2009/01/23(金) 22:01:15
だったらいいね
それぐらい今までのESETは信用できなかったし
240名無しさん@お腹いっぱい。:2009/01/23(金) 22:13:32
>>236
tp://www.virustotal.com/jp/analisis/187a1a38cfc7fdc2990b0c8d94cc732e
McAfeeに提出させて頂ました。
241名無しさん@お腹いっぱい。:2009/01/23(金) 22:17:03
>>236
file.exeが落ちてくる。毎回異なったバイナリが落ちてくる模様
直接の入手元の場合、誤クリックで感染してしまう危険を回避する為、ドットを■に置き換えるとかの
工夫をして貰えると有難い。

ttp://www.virustotal.com/analisis/d4d8afba507e9b45a79215f87e18941c (9/39)
ttp://www.virustotal.com/analisis/98b118d42b2bb99f04d34ced5f27f79d (9/37)

検出名
Trojan:Win32/AgentBypass.gen!I(Microsoft)

検体入手元
ttp://193■138■205■121/spc■gif

検体(複数パターン入手しています)
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=205
virus
242名無しさん@お腹いっぱい。:2009/01/23(金) 22:32:11
>>241
AviraPremiumSecuritysuit
avast!4.8

ともにスルー
243名無しさん@お腹いっぱい。:2009/01/23(金) 22:34:48
>>241
McAfeeに提出させて頂ました。
244名無しさん@お腹いっぱい。:2009/01/23(金) 22:35:50
そこは前スレで既出だけど
定期的にバイナリが大きく変わるからどうしようもない
245名無しさん@お腹いっぱい。:2009/01/23(金) 22:37:37
>>241
PandaGlobalProtection2009
48個全て疑わしいファイルとして検出

McAfeeVirusScan+ActiveProtection
スルー
246名無しさん@お腹いっぱい。:2009/01/23(金) 22:41:05
>>241
NortonInternetSecurity2009
Nortonも48個全てヒューリスティックで検出
ヒューリスティック検出名:Suspicious.MH690(恐らくVirustotalでは反応しません)

NortonとPandaの傾向見ると一度ヒューリスティックで引っ掛けてしまえばあとは強いな
247名無しさん@お腹いっぱい。:2009/01/23(金) 22:53:23
ttp://www.virustotal.com/analisis/e722304ee41e95c392dfebcb3a9e387e

一部抜き出してVTスキャン
今回はPandaはVT上で反応するね、で、SymantecはVT上でスルー
Kasperskyは私はKasperskyを実機で動かしてない(2年ライセンスは持ってるんですけど)のでカスペ報告者が来ないとヒューリスティック検出がわかりませんね・・・

思うにVTには最新エンジンを提供しないというのも一つの手なのかもしれない
最新エンジンを提供してなんでも正直な判定だったらマルウェア製作者側に攻略されてしまうような気がする
現時点のKaspersky、Symantec、Pandaの「VT上の嘘スルー」も一つの戦略かもしれない
248名無しさん@お腹いっぱい。:2009/01/23(金) 23:06:07
>>241
カスペ2009 22:17:00
スルー
0/48

一括して送るか。
1カ所のコードに反応してシグネチャ作るか、個別にシグネチャ作るか、ジェネリック・シグネチャ作るかいずれかだな。
249名無しさん@お腹いっぱい。:2009/01/23(金) 23:07:25
>>236
NortonとPandaでそこのサイトに突撃してみた
Nortonは侵入防止機能が激怒してそこのサイトには行かしてくれず
PandaはヒューリスティックとWebスキャンが働いてダウンロードできるものはtxtファイルだけ

という結果でした、どっちもログに検出結果が出たので問題ありません

avast!はネットワークシールドがAntiVirはWebガードが働けばそういうサイトに踏むことはないと思うけど
250名無しさん@お腹いっぱい。:2009/01/23(金) 23:15:42
>>248
各ベンダーのシグネチャの性質にやはり違いはありますね
カスペは個別にシグネチャ作るんでしょうね

あとはヒューリスティックにもそれぞれ特徴がありますよね
Pandaはクラウドベースとヒューリスティックが連携してるからとりあえず怪しければグレー判定する傾向が強い
Nortonの方はまだまだわからないのでもっと使ってみてどんな傾向があるのか調べてみたい
NOD32のアドバンスドヒューリスティックみたいなものだったらシグネチャが多いNortonに活きそうだけど現時点ではシグネチャ(パルスアップデート)とヒューリスティックが連携取れてるように見えないのが残念
251名無しさん@お腹いっぱい。:2009/01/23(金) 23:24:13
>>241
Dr.Web(VirusTotalでは検出しないが、既知のファイルとして返答)
 Your submission has been processed.
 This virus is already known to us;
 an entry for this virus has been added to the Dr.Web virus database earlier.
Viruses: Trojan.Packed.449
−−−−−
Rising メールで送付すると、サポートセンターへ行けという自動返信がくるようになった。
Webフォームからの受付に絞られたかも。
252名無しさん@お腹いっぱい。:2009/01/23(金) 23:46:15
>>236
カスペ2009もアクセスできない。

2009/01/23 23:40:23 http://193.138.205.121/spc.gif Detected: 193.138.205.121/* Reason: Databases

IPアドレス事態が危険なアドレスとしてデータベースに含まれているな。>Web Anti-Virusのsuspicious sites
253名無しさん@お腹いっぱい。:2009/01/23(金) 23:50:30
>>252
avast!とAntiVirは普通にアクセスできた
ネットワークシールドもAntiVirWebガードもスルーという状態
254名無しさん@お腹いっぱい。:2009/01/24(土) 00:08:23
>>249
>Nortonは侵入防止機能が激怒してそこのサイトには行かしてくれず
実際の検体は(VirusTotalでは)スルーしてるけど、アクセス拒否するなら安心だね。
USBメモリとか経由して持ち込まれたら感染するんだろうから、提出は必要だけど。
(Symantecにも>241の検体退出済み)
255名無しさん@お腹いっぱい。:2009/01/24(土) 00:09:09
>>241
NOD32 v3.0 定義3792
オールスルー。
Esetへ提出しました。

256名無しさん@お腹いっぱい。:2009/01/24(土) 00:11:35
>>249
>avast!はネットワークシールドがAntiVirはWebガードが働けばそういうサイトに踏むことはないと思うけど
2つとも検出してないから無理
257名無しさん@お腹いっぱい。:2009/01/24(土) 00:13:00
255です。追記。
NOD32 webアクセス保護機能では保護機能が働かずにアクセスが可能状態。
従ってURLも同時に報告しました。
258名無しさん@お腹いっぱい。:2009/01/24(土) 00:14:09
>>241
AntiVir
(0/48)

BitDefender 10 Free
(0/48)

Spybot
(0/48)

SUPERAntiSpyware Free Edition
(0/48)
259名無しさん@お腹いっぱい。:2009/01/24(土) 00:18:45
>>254
>実際の検体は(VirusTotalでは)スルーしてるけど
Norton2009はヒューリスティックで検出しますよ>>246

ただPandaのクラウドベース検出にもいえるけどNortonの拡張ヒューリスティック検出は手動スキャンじゃないと反応しない
恐らく常駐時での誤検出を防ぐために手動スキャンのみヒューリスティックを強力にしてるんだろうけど
260名無しさん@お腹いっぱい。:2009/01/24(土) 00:39:04
>>241を何個かだけ実行してみて、落ちてきたファイル(6個)
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=206
virus

ちなみにカスペ2009(送信済み)  
1/6  
HEUR:Trojan.Win32.Generic gEWoPfgd.dll
261名無しさん@お腹いっぱい。:2009/01/24(土) 00:46:53
>>240
MD5が違うよ
262名無しさん@お腹いっぱい。:2009/01/24(土) 01:01:44
>>261
毎回ちょっとだけ違うのが落ちてくるんだよ。だから既出の同アドレスからの検体とMD5が異なって当然。
自動生成して検出逃れを目論んでるぽい。
263名無しさん@お腹いっぱい。:2009/01/24(土) 01:06:01
>>260
Risingに送信済み
264名無しさん@お腹いっぱい。:2009/01/24(土) 01:16:27
>>241
ssdeepのfuzzy hashを見ると途中と末尾がちょっとずつ変わるようだ。
互いのmatch scoreは99〜100。
265名無しさん@お腹いっぱい。:2009/01/24(土) 01:19:54
タイムスタンプかなんかだろね
266名無しさん@お腹いっぱい。:2009/01/24(土) 01:59:32
>>241
Fortinet:
The samples you submitted will be detected as "W32/Agent.CEV!tr".
267名無しさん@お腹いっぱい。:2009/01/24(土) 02:20:33
268名無しさん@お腹いっぱい。:2009/01/24(土) 02:45:17
269名無しさん@お腹いっぱい。:2009/01/24(土) 08:32:22
>>260
AviraPremiumSecuritySuit

fccaWpME\gEWoPfgd.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
1/6

avast!4.8
スルー
270名無しさん@お腹いっぱい。:2009/01/24(土) 08:37:09
>>260
PandaGlobalProtection2009

全スルー

McAfeeVirusScan+ActiveProtection

Generic!Artemis:fccaWpME\gEWoPfgd.dll
271名無しさん@お腹いっぱい。:2009/01/24(土) 08:40:51
スマソ
McAfeeの検出検体はfccaWpME\vTligHBu.dll
だったorz
AntiVirと検出検体同じだと勘違いしてそこからコピペしてしまったorz
272名無しさん@お腹いっぱい。:2009/01/24(土) 08:42:27
>>260
NortonInternetSecurity2009

とりあえず検出数とウイルス検出名のみ
2/6
Downloader
Packed.Generic.203
273名無しさん@お腹いっぱい。:2009/01/24(土) 08:48:55
>>260
AntiVir、avast!、Panda、Symantecに提出完了
274名無しさん@お腹いっぱい。:2009/01/24(土) 09:11:54
>>260
McAfeeに提出させて頂ました。
275名無しさん@お腹いっぱい。:2009/01/24(土) 11:18:24
>>260
virustotal ok
276名無しさん@お腹いっぱい。:2009/01/24(土) 12:43:57
>>241
カスペ返答
Trojan.Win32.Agent.bknw
New malicious software was found in these files. Detection will be included in the next update.

Microsoft返答
Submitted Files
=============================================
+---file(0).exe [Trojan:Win32/AgentBypass.gen!I]
 以下、全て同じ名称のため省略
277名無しさん@お腹いっぱい。:2009/01/24(土) 13:18:51
警視庁PCがウイルス感染
http://tsushima.2ch.net/test/read.cgi/news/1232720960/
tp://headlines.yahoo.co.jp/hl?a=20090124-00000007-mai-soci
警視庁は23日、一部のオンライン端末がコンピューターウイルス「W32.Downadup.B」に感染し、車庫証明事務を管理する端末装置などに支障が生じていると発表した。外部には接続していないため情報流出の恐れはないという。

Net-Worm.Win32.Kido.ef
tp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-123015-3826-99
278277訂正:2009/01/24(土) 13:20:40
警視庁PCがウイルス感染
http://tsushima.2ch.net/test/read.cgi/news/1232720960/
tp://headlines.yahoo.co.jp/hl?a=20090124-00000007-mai-soci
警視庁は23日、一部のオンライン端末がコンピューターウイルス「W32.Downadup.B」に感染し、車庫証明事務を管理する端末装置などに支障が生じていると発表した。外部には接続していないため情報流出の恐れはないという。

W32.Downadup.B
tp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-123015-3826-99
279名無しさん@お腹いっぱい。:2009/01/24(土) 14:09:26
>>278
外部に接続してないのに感染したってどういうこと?
誰かが持ち込んだってことなら、誰かが持ち出すこともできる
持ち出した情報を個人のPCに保存して、そこから流出することを
警察は考えてないのか?
280名無しさん@お腹いっぱい。:2009/01/24(土) 14:15:29
人が死ぬほどの大事にならないと対策しないのは何時まで経っても治らないのな
281名無しさん@お腹いっぱい。:2009/01/24(土) 14:51:09
人間だもん。仕方ないよ(´・ω・`)
282名無しさん@お腹いっぱい。:2009/01/24(土) 15:03:43
>>279
nyとかじゃないから、探してもないよ。って言いたいんじゃw
283名無しさん@お腹いっぱい。:2009/01/24(土) 17:42:06
209 名前:名無しさん@九周年 メール: 投稿日:2009/01/24(土) 16:27:06 ID:5uSN00jo0
みんなー、気をつけろ!

Windowsの脆弱性悪用ウイルスに350万台以上が感染、国内でも被害多数:ITpro
http://itpro.nikkeibp.co.jp/article/Research/20090115/322913/?ST=securityhole

Windowsの脆弱性悪用ウイルスが900万台に感染、3割は中国のパソコン:ITpro
http://itpro.nikkeibp.co.jp/article/Research/20090121/323217/?ST=securityhole
284名無しさん@お腹いっぱい。:2009/01/24(土) 21:11:45
>>260
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A     fccaWpME\gEWoPfgd.dll
それ以外は全て疑わしいファイルとして検出

それ以外のベンダー(AntiVir、avast!、McAfee、Norton)の検出状況は変化なし
285名無しさん@お腹いっぱい。:2009/01/24(土) 22:30:11
カスペ2009

fccaWpME.dll,
ssQggfGX.dll,
tuvtRjGw.dll,
urqQjGWn.dll - Trojan.Win32.Agent.bknr,

gEWoPfgd.dll - Trojan.Win32.Agent.bkns,

vTligHBu.dll - Trojan.Win32.Agent.bknt

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

よって、1/6>6/6
286名無しさん@お腹いっぱい。:2009/01/24(土) 22:35:22
>>285
>>260か?

検体名記載よろしく。
287285:2009/01/24(土) 22:54:49
ごめん、書き忘れ。
>>260です。

ちなみに、今スキャンしたらメールと検出名が違ってた。
Trojan-Downloader.Win32.Injecter.bzq  fccaWpME\fccaWpME.dll
Trojan.Win32.Agent.bkns  fccaWpME\gEWoPfgd.dll
Trojan-Downloader.Win32.Injecter.bzq  fccaWpME\ssQggfGX.dll
Trojan-Downloader.Win32.Injecter.bzq  fccaWpME\tuvtRjGw.dll
Trojan.Win32.Agent.bknt  fccaWpME\vTligHBu.dll
Trojan-Downloader.Win32.Injecter.bzq  fccaWpME\urqQjGWn.dll
288名無しさん@お腹いっぱい。:2009/01/25(日) 01:13:12
>>260
SpySweeper with AV

6/6
すべてTroj/Virtum-Gen
289名無しさん@お腹いっぱい。:2009/01/25(日) 15:45:16
>>83
Dr.Web 2009/01/18 -> 2009/01/25

Your request has been analyzed. New virus record has been added.

Trojan.PWS.Wsgame.10182
Trojan.DownLoad.28440
Trojan.DownLoad.28442
Trojan.DownLoad.28443

Thank you for the cooperation.
290名無しさん@お腹いっぱい。:2009/01/25(日) 20:50:18
>>241>>260
NOD32 v3.0 定義3798
全スルー→全検出 Win32/Adware.Virtumonde
>>260のgEWoPfgd.dllのみ、Win32/Adware.Virtumonde.FP
土日なのに、対応早くてびっくり。
291名無しさん@お腹いっぱい。:2009/01/25(日) 21:11:57
292名無しさん@お腹いっぱい。:2009/01/25(日) 22:10:59
ヒマなので…。

>前スレ
>100 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2008/12/08(月) 15:30:27
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=132
>virus
>いつもの。
>bkdoorはとりあえずこのファイル名にしたけど、動きはダウンローダ。

約50日前検体のVT結果

http://www.virustotal.com/analisis/65fcd47af459e064dff2965d17f7eed8 agent0.exe 35/39 (eSafe, eTrust,PCTools,VirusBusterスルー)
http://www.virustotal.com/analisis/d1566b3c985f964816c03ca40b07e5c7 agent1.exe 36/39 (Comodo,PCTools,ViRobotスルー)
http://www.virustotal.com/analisis/a7ce7617c2673ca2346ccf648b54e4af agent2.exe 34/37 (nProtect,PCTools,VirusBusterスルー)
http://www.virustotal.com/analisis/7c5d18a814a925e3492c2ff585aa3aaa agent3.exe 33/37 (Authen., PCTools, Sophos, VirusBusterスルー)
http://www.virustotal.com/analisis/f147cb3ac33a63c352477f6182f6c1f7 agent4.exe 26/37 (Authen., Clam, DrWeb, eSafe, eTrust, FProt,Norman, PCTools, Sophos, TrendMicro,Virobotスルー)
http://www.virustotal.com/analisis/b60f05ed490c4478d5c7fabb73537fe5 bkdoor0.exe 29/37 (AhnLab, CAT, Clam, eSafe, eTrust, PCTools, Sophos, TrendMicroスルー)
http://www.virustotal.com/analisis/f4c866d0cef0702778f92de7f8379248 bkdoor1.exe 32/39 (Clam,Comodo,eSafe,Panda,PCTools,Prevx,Sophosスルー)
http://www.virustotal.com/analisis/2b7f1daab74353b67e7668db559b89f4 bkdoor2.exe 28/39 (Authen,Clam,Comodo, eSafe,eTrust,FProt,nProtect,PCTools,Prev,TrendMicro,VirusBusterスルー)
http://www.virustotal.com/analisis/f77b334056843d2b6147914c374c0b43 upk1.exe 35/39 (AhnLab, Clam,eTrust, Prevスルー)

・注意事項;ポリシー?、拡散度低い?(検体がベンダーに認識されていない?) VTと新Ver.での検出結果の相違
293名無しさん@お腹いっぱい。:2009/01/26(月) 02:59:25
>>236
>>241
>>260
avast!4.8
Win32:Adware-gen [Adw]


全て同じ検出名だったので一つにまとめました
294名無しさん@お腹いっぱい。:2009/01/26(月) 03:24:48
>>292
>VTと新Ver.での検出結果の相違
これがまだまだ気になるよね
SymantecとKasperskyとPandaの他にDr.webとRisingはVTと最新バージョンでは違うみたいだね
Dr.webは最新版はヒューリスティックが強力(?)でRisingは最新版はアップデート回数が増えてるみたいだね
RisingはNortonの2007以前と2008以降みたいな感じかな?

他のベンダーはどうだろう?
BitDefenderはVTのエンジンが古いからやっぱり最新版は違うのかな?違うんだったら興味がわくけど
295名無しさん@お腹いっぱい。:2009/01/26(月) 12:12:39
Risingは数年前から1日3回だよ
296名無しさん@お腹いっぱい。:2009/01/26(月) 16:45:57
>>202
NortonInternetSecurity2009追加検出
Packed.Generic.187:InstallAVg_77025309.exe

8/12

>>295
Risign2009のパターンファイルバージョンはそれまでのRisingのパターンファイルとは違うみたいだけど?
パターンファイルは違うけど2009でも一日3回とか?
297名無しさん@お腹いっぱい。:2009/01/26(月) 16:50:04
>>241
McAfeeVirusScan+ActiveProtection

検出数だけ
28/48
298名無しさん@お腹いっぱい。:2009/01/26(月) 20:26:55
>>296
20.xx.zzが2008向けの定義やプログラムのバージョン表記
21.yy.zzが2009向けの定義やプログラムのバージョン表記
パターンファイルの中身が違うかどうかはわからないけど更新頻度は同じだよ

ちなみに、中国が春節のため土曜日から更新なし
Rising 2009 21.22.50 (21.13.50.00) Last Update Time=2009-01-24 10:31
         ↑      ↑
      プログラム   定義
299名無しさん@お腹いっぱい。:2009/01/27(火) 01:44:05
ClamAVの返答…えーと、どの検体だろう?
11ファイルあるので、Marware-Packxxのどれかだとは思いますが。

ttp://lurker.clamav.net/message/20090126.130632.5e5ad5e4.en.html

Submission-ID: 6298407
Added: Trojan.Fakealert-1414
Added: Trojan.Dropper-18514
Added: Trojan.Agent-70909
Added: Trojan.Downloader-67635
Added: Trojan.Fakeav-41
Added: Trojan.Zbot-2961
Added: Trojan.Zbot-2962
Added: Trojan.Spy-58983
Added: Trojan.Downloader-67636
Added: Trojan.Fakeav-42
Added: Trojan.Spy-58984
300名無しさん@お腹いっぱい。:2009/01/27(火) 23:27:00
301名無しさん@お腹いっぱい。:2009/01/27(火) 23:53:43
>>300
Risingに送付完了
302名無しさん@お腹いっぱい。:2009/01/28(水) 00:04:05
>>300
PandaGlobalProtection2009とNortonInternetSecurity2009はガチスルーだったので提出しました
303名無しさん@お腹いっぱい。:2009/01/28(水) 00:08:30
「ガチ」はなんか嫌だ
304名無しさん@お腹いっぱい。:2009/01/28(水) 00:17:21
「VT上でスルー」じゃなく「実機でもスルー」だからガチスルーということで
305名無しさん@お腹いっぱい。:2009/01/28(水) 00:19:24
嫌、「ガチ」が気に障るだけだw

そこんところはスルーしていいよ
306名無しさん@お腹いっぱい。:2009/01/28(水) 00:26:39
あとMcAfeeの報告は止めました

どうも仮想環境が上手く構築できないから現時点ではこれ以上のベンダーの検出報告は無理だorz(avast!はAntiVirとの併用が奇跡的に不具合なく快適に動かせるんだが・・・)
McAfeeActiveProtectionは興味あるしBitDefender2009とかも動かしてみたいんだが・・・・

VMwareのゲストOSをVistaかXPにするにはどうしたらいいんだろう・・・?やっぱり新たにOSのライセンス購入しなきゃいけない?(ちなみに実機のOSはVista)
こんな恥ずかしい質問してすいません、どうも仮想環境には慣れてないから上手く使いこなせない
307名無しさん@お腹いっぱい。:2009/01/28(水) 00:35:54
VirusBusterに送ってみたけど
優先度lowとか書いてあるしやる気なさそうだな
せっかく送ってやったのに糞の癖に生意気
308名無しさん@お腹いっぱい。:2009/01/28(水) 01:07:54
>>306
XP・VistaのVPC用イメージファイルならここにあるよ
ttp://www.microsoft.com/downloads/details.aspx?FamilyId=21EABB90-958F-4B64-B5F1-73D0A413C8EF
いまならWindows7を勧めるけどw
309名無しさん@お腹いっぱい。:2009/01/28(水) 01:28:38
>>306
VMware総合スレ Part19
http://pc11.2ch.net/test/read.cgi/software/1227857521/
↑ここで聞いてみれば

Microsoft VirtualPCなら使った事はありますが
VMwareは高くて無理w
310 [―{}@{}@{}-] 名無しさん@お腹いっぱい。:2009/01/28(水) 03:51:49
311名無しさん@お腹いっぱい。:2009/01/28(水) 06:15:05
312名無しさん@お腹いっぱい。:2009/01/28(水) 06:44:02
表示環境によっては、手が当たって踏むリスクのある人があるので、
マルウェアソース晒す人は、"http://" 入れるのやめよう (h一個だけ抜きも不十分)
313名無しさん@お腹いっぱい。:2009/01/28(水) 07:37:56
直リンするバカは放置でいいよ
314名無しさん@お腹いっぱい。:2009/01/28(水) 08:28:51
310さん サイト見たらマカフィーて以外に対応早くていいのね
315名無しさん@お腹いっぱい。:2009/01/28(水) 09:09:19
>>308
>>309
thx

無事仮想環境構築できたならMcAfeeActivrProtectionの報告をするつもりです

本当はESETやKasperskyのライセンスを持ってるけど既にお客さんがいるためここら辺の検出報告は控えてるという状況です
316名無しさん@お腹いっぱい。:2009/01/28(水) 09:22:24
>>310
avast!4.8
一番上
Other:Malware-gen

ちなみに一番上のファイルはAntiVirとPandaとNortonはスルーでした
これだけ見るとavast!の誤検出なのかな・・・・?
317名無しさん@お腹いっぱい。:2009/01/28(水) 09:22:39
重複してもいい。送付漏れする位なら。
318名無しさん@お腹いっぱい。:2009/01/28(水) 09:24:28
>>314
最近はMcAfeeとNortonとPandaとESETとavast!が頑張ってるという感じだね
前者3つのベンダーは新エンジンに伴って検出率が向上した感じ
319名無しさん@お腹いっぱい。:2009/01/28(水) 11:38:25
>>312
> 表示環境によっては、手が当たって踏むリスク

それどころかプリフェッチとかあるからな。
320名無しさん@お腹いっぱい。:2009/01/28(水) 13:19:40
>>310
AntiVir
ansigen.exe
 [DETECTION] KIT/DOS.Ansigen construction kit
mass produced code\PS-MPC.COM
mass produced code.zip
  --> PS-MPC.COM
   [DETECTION] VKIT/PSMPC virus
nowhere utilities20.zip
 NotDetected

BitDefender10Free
nowhere utilities20.zip=>CIPHER.COM Infected: BAT.Calhob.A@mm
nowhere utilities20.zip=>FAKEFILE.COM Detected: Application.Fakefile.A
nowhere utilities20.zip=>RESIZE.COM Detected: Application.Fileresizer.A
ansigen.exe Infected: Trojan.Constructor.Dos.Ansigen.A
mass produced code.zip=>PS-MPC.COM Infected: Constructor.PS-MPC
321306:2009/01/28(水) 16:30:21
>>308
無事VPCでxpを構築することができました
ありがとう、これで検出報告するベンダーを増やすことができる
322名無しさん@お腹いっぱい。:2009/01/28(水) 17:25:51
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=208
virus

>>300(tane0207.zipの中の偽装jpeg)から呼ばれるもので404になっていないものを幾つか拾ってみました。
img20081223085209.jpgは同梱されていますが、>300のものです。

img20081223085209.jpg     : Trojan-Downloader.HTML.IFrame.if(Kaspersky)
CursorManiaFFSetup2.0.4.0.exe : not-a-virus:AdTool.Win32.MyWebSearch.bm(Kaspersky)
goldfish.xls.scr           : Worm:Win32/Yaha.F@mm(Microsoft)
golden-keylogger.zip       : not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
GoldenKeylogger-setup.exe   : not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
Document003.pif          : Worm:Win32/Sobig.A@mm(Microsoft)
phone_number2.pif         : Worm:Win32/Netsky.T@mm(Microsoft)
movie0045.pif            : Worm:Win32/Sobig.F@mm(Microsoft)
sensitive.pif             : Virus:Win32/Magistr.B@mm(Microsoft)
hello.zip               : Trojan-Proxy.Win32.Delf.ce(Kaspersky)

一応入手元
ttp://ak■imgfarm■com/images/nocache/funwebproducts/2■0■4■0/CursorManiaFFSetup2■0■4■0■exe
ttp://www■calistra■com/virus/goldfish■xls■scr
ttp://www■golden-keylogger■com/golden-keylogger■zip
ttp://seti■sentry■net/archive/bioastro/2003/Feb/att-0025/Document003■pif
ttp://www■abisource■com/mailinglists/abiword-dev/2005/Jun/att-0006/phone_number2■pif
ttp://lists■w3■org/Archives/Public/site-comments/2003Aug/att-0008/movie0045■pif
ttp://lists■w3■org/Archives/Public/www-dom/2001OctDec/att-0204/sensitive■pif
ttp://www■geocities■com/lelele111111/hello■zip
323名無しさん@お腹いっぱい。:2009/01/28(水) 17:32:59
追記
殆どのものが古めのもののようで、対応されている率が高かったです。

カスペ返答
返答に検出名称はありませんでしたが、なにかすりぬけ分があったようで。
New malicious software was found in the attached file. Its detection will be included in the next update.

マカフィー
File Name Findings Detection Type
--------------------|---------------------------------|------------
cursormaniaffsetup2.|current detectionadware-websearch|Application
document003.pif |current detectionw32/sobig.a@mm |Virus
file_id.diz |inconclusive |
goldenkeylogger-setu|current detectionkeylog-goldenkey|Application
goldfish.xls.scr |current detectionw32/yaha.g@mm |Virus
hello_01.exe |variant detectiongeneric.eo |Trojan
hello_02.exe |variant detectiongeneric.eo |Trojan
hello_03.exe |variant detectiongeneric.eo |Trojan
hello_04.exe |variant detectiongeneric.eo |Trojan
hello_05.exe |variant detectiongeneric.eo |Trojan
hello_06.exe |variant detectiongeneric.eo |Trojan
img20081223085209.jp|current detectionvbs/generic@mm |Virus
movie0045.pif |current detectionw32/sobig.f@mm |Virus
phone_number2.pif |current detectionw32/netsky.t@mm |Virus
sensitive.pif |current detectionw32/magistr.b@mm|Virus
324名無しさん@お腹いっぱい。:2009/01/28(水) 17:37:35
>>322
シマンテック
2分割で送ったうちの片方だけ返答
filename: CursorManiaFFSetup2.0.4.0.exe
  result: See the developer notes
filename: goldfish.xls.scr
  result: This file is detected as W32.Yaha.F@mm.
  http://www.symantec.com/avcenter/venc/data/[email protected]
filename: Document003.pif
  result: This file is detected as W32.Sobig.A@mm.
  http://www.symantec.com/avcenter/venc/data/[email protected]
filename: golden-keylogger.zip
  result: This file is clean
filename: file_id.diz
  result: This file is clean
filename: GoldenKeylogger-setup.exe
  result: This file is detected as Spyware.GoldenKeylog.
  http://www.symantec.com/avcenter/venc/data/spyware.goldenkeylog.html
325306:2009/01/28(水) 17:38:03
>>322
avast!4.8
CursorManiaFFSetup2.0.4.0.exe:Win32:Adware-gen [Adw]
Document003.pif:Win32:Sobig [Wrm]
goldfish.xls.scr:Win32:Yaha-E [Wrm]
img20081223085209.jpg:VBS:LoveLetter-C [Wrm]
img20081223085209.jpg:VBS:LoveLetter-C [Wrm]
movie0045.pif:Win32:Sobig-F [Wrm]
phone_number2.pif:Win32:Netsky-T [Wrm]
sensitive.pif:Win32:Magistr

326名無しさん@お腹いっぱい。:2009/01/28(水) 17:38:26
>>322

Fortinet:
新規対応分
CIPHER.COM    -   Misc/Cipher
CRYPTCOM.COM    -   HackerTool/Cryptcom
FAKEWARE.COM    -   Misc/Toolfkw
REPLACE.COM    -   HackerTool/CoverFile

既知の分:
ansigen.exe    -  W32/ConstructionKit
FAKEFILE.COM    -   Misc/Toolfkf
PS-MPC.COM    -   PSMPC.A!tr
hello.zip/hello/hello_01.exe  -  W32/Delf.CE!tr
hello.zip/hello/hello_02.exe  -  W32/Delf.CE!tr
hello.zip/hello/hello_03.exe  -  W32/Delf.CE!tr
hello.zip/hello/hello_04.exe  -  W32/Delf.CE!tr
hello.zip/hello/hello_05.exe  -  W32/Delf.CE!tr
hello.zip/hello/hello_06.exe  -  W32/Delf.CE!tr
img20081223085209.jpg    -  HTML/IFrame.CUQ!tr
movie0045.pif      -  W32/Sobig.F@mm
phone_number2.pif    -  W32/Netsky.T@mm
sensitive.pif      -  W32/Magistr.B@mm
327名無しさん@お腹いっぱい。:2009/01/28(水) 17:42:07
>332
AviraPremiumSecuritySuit
CursorManiaFFSetup2.0.4.0.exe [DETECTION] Contains recognition pattern of the ADSPY/AdSpy.Gen adware or spyware
Document003.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.A worm
golden-keylogger.zip
[0] Archive type: ZIP
--> GoldenKeylogger-setup.exe
[DETECTION] Contains recognition pattern of the DR/GoldenKeylogger.130 dropper
goldfish.xls.scr [DETECTION] Contains recognition pattern of the HTML/Dldr.Agen.QV.1 HTML script virus
hello.zip
[0] Archive type: ZIP
--> hello/hello_01.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_02.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_03.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_04.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_05.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_06.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
movie0045.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.F worm
phone_number2.pif [DETECTION] Contains recognition pattern of the WORM/Netsky.#1 worm
sensitive.pif [DETECTION] Contains recognition pattern of the W32/Magistr.B5 Windows virus
328名無しさん@お腹いっぱい。:2009/01/28(水) 17:42:48
329名無しさん@お腹いっぱい。:2009/01/28(水) 17:50:18
330名無しさん@お腹いっぱい。:2009/01/28(水) 17:58:14
>>322
NOD32 v3.0定義3805
9/9
CursorManiaFFSetup2.0.4.0.exe Win32/AdInstaller アプリケーション
Document003.pif Win32/Sobig.A ワーム
goldfish.xls.scr Win32/Yaha.E ワーム
img20081223085209.jpg HTML/TrojanDownloader.Agent.NAX トロイの木馬
movie0045.pif Win32/Sobig.F ワーム
phone_number2.pif Win32/Netsky.T ワーム

sensitive.pif Win32/Magistr.29188 ワーム
golden-keylogger.zip
 ->GoldenKeylogger-setup.exe Win32/GoldenKeylogger.132 アプリケーション
hello.zip
 ->hello_01.exe Win32/TrojanProxy.Delf.CE トロイの木馬
(以下02〜06まで同名で検出)

sensitive.pifはワームとして検知しましたが、全削除されずに残りました。
ファイルサイズが変化しているので、危険な部分だけ削除しているのかも。
331名無しさん@お腹いっぱい。:2009/01/28(水) 18:25:35
>>324
> filename: CursorManiaFFSetup2.0.4.0.exe
> result: See the developer notes

よく見かける
See the developer notes
の意味が分からない。
黒、白、リスクウェア、どっち?
教えてエロい人
332名無しさん@お腹いっぱい。:2009/01/28(水) 18:28:00
>>331
解析中という見方が正しいけど検体送って数日経ってこういうメールが来る場合がある
その場合は白と見ても良いと思う、その後も対応する気配が感じられないから
333 ◆W32/Vael.o :2009/01/28(水) 18:41:25
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=209
Malware-Pack58

例によってMcAfeeには提出済み
334名無しさん@お腹いっぱい。:2009/01/28(水) 18:47:17
>>333
今は仮想環境構築にまだ苦戦状態なので検出数の報告だけで
どうしようもなかったらまたスレチ失礼ながらも質問するかもしれません(そうならないように出来るだけがんばります)

PandaGlobalProtection2009
10/12
335名無しさん@お腹いっぱい。:2009/01/28(水) 18:53:38
>>333
avast!4.8とAviraPremiumSecuritySuit
ともに10/12
336名無しさん@お腹いっぱい。:2009/01/28(水) 18:58:46
>>333
NortonInternetSecurity2009
9/12(うち一つは2009ヒューリスティックエンジンで検出)
337名無しさん@お腹いっぱい。:2009/01/28(水) 19:17:34
とりあえず仮想環境についていろいろと調べてみた結果、やはりOSは新たに買ってきた方がスムーズにいきそうですね・・・
>>308さんが挙げてくれたファイルは確かにxpを展開できたけど英語版なせいか日本語サイトは文字化け起こすわMcAfeeセットアップファイルも起動することが出来なかったので仮想環境でもう一つ検出報告追加はまだまだ後になりそうです(予算検討のため)
338名無しさん@お腹いっぱい。:2009/01/28(水) 19:21:10
>>331
>See the developer notes の意味が分からない。
書かれている通り、「デベロッパーノートを見ろ」。

メールの後半に「Developer notes:」という項目があってそこに書かれている。ほぼこの定型文がくると思っていい。
 >xxxx.exe Our automation was unable to identify any malicious content in this submission.
 >The file will be stored for further human analysis
自動処理できなかったので、将来人手で解析するファイルとして蓄積しましたということ。
黒とも白ともリスクウェアとも判別されていない状態。

シマンテックからの回答は基本的にこれでクローズ。人手で解析した結果の報告までは来ません。
339名無しさん@お腹いっぱい。:2009/01/28(水) 19:24:26
シグネチャを自動化してるベンダーってSymantecとあとどこら辺?
McAfeeやPandaとかも企業規模が大きいからシグネチャの自動化はしてそうな感じはするけど

Kasperskyは前に全て人手で行ってると聞いたけど今はどうなんだろう?
340名無しさん@お腹いっぱい。:2009/01/28(水) 20:12:14
Rising 2009 21.23.20 (21.14.20.00) Last Update Time=2009-01-28 10:33
>>322
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>M3OUTLCN.DLL: Adware.MyWebSearch.e
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3WPHOOK.DLL: Trojan.Win32.Undef.aun
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3SCHMON.EXE: Adware.Msearch.a
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3HTTPCT.DLL: Adware.MyWebSearch.d
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE: <Unknown virus>
Document003.pif: Worm.SoBig
golden-keylogger.zip>>GoldenKeylogger-setup.exe>>rView.exe: Trojan.Spy.Agent.asm
goldfish.xls.scr: Worm.Mail.Lentin.w
hello.zip>>hello/hello_01-06.exe: Trojan.Proxy.Delf.jt
movie0045.pif: Worm.Sobig.f
phone_number2.pif: Worm.Mail.Win32.NetSky.daq
sensitive.pif: Win32.Magistr
8/9
>>333
4\ldr.exe: Trojan.Clicker.Win32.Undef.gj
1/12
341名無しさん@お腹いっぱい。:2009/01/28(水) 20:22:30
>>339
マカフィーも自動だな。
Dr.Webもパスワードinfectedで送ってたら、自動処理できないので、virusにしてくれって言ってきた。
トレンドマイクロも自動かな?
あとはMicrosoftも自動っぽい気がする。
342名無しさん@お腹いっぱい。:2009/01/28(水) 21:12:39
>>333
Symantecから
未検出分のみ提出ものから返答

filename: WinDefender2009.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: This file is detected as W32.Waledac.

filename: iMunizatorSetup.dmg
machine: Machine
result: See the developer notes

で、10/12

>>341
ウイルス解析規模が大きいところは大体自動化してるみたいだね
McAfeeとPandaはクラウドベースのシステム的に自動化のほうが理にかなってるし
AVGはどうだろう?
343名無しさん@お腹いっぱい。:2009/01/28(水) 21:19:56
>>338
意味わかった。d。
344名無しさん@お腹いっぱい。:2009/01/28(水) 21:30:04
>>333
11/12(0以外)

Detected Trojan program Trojan-Spy.Win32.Zbot.kvv tane0209.zip/Malware/1/r.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.lff tane0209.zip/Malware/2/system.lib
Detected Trojan program Trojan-Downloader.Win32.CodecPack.dxi tane0209.zip/Malware/3/antivirus.v.1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kza tane0209.zip/Malware/4/ldr.exe
Detected virus not-a-virus:FraudTool.Win32.SecurityCenter.ac tane0209.zip/Malware/5/av_2009glof.exe
Detected Trojan program Backdoor.Win32.Small.hiy tane0209.zip/Malware/6/load.exe
Detected virus not-a-virus:FraudTool.Win32.WinDefender.n tane0209.zip/Malware/7/WinDefender2009.exe//data0006
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch1
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch0
Detected Trojan program Trojan-Downloader.Win32.CodecPack.ejd tane0209.zip/Malware/9/tubeviewersetup.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan-Dropper.Win32.Agent.afsc tane0209.zip/Malware/a/c-setup.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bfiu tane0209.zip/Malware/b/tubeviewersetup.exe

検体提出します。(0)

8はMac OS X用か?珍しいな。
345344:2009/01/28(水) 21:30:19
カスペ2009
346344:2009/01/28(水) 22:10:03
>>333
カスペからの返事
11+事後検出1=12/12

0\tubeviewersetup.exe

Hello.

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan-Downloader.Win32.CodecPack.enc
347名無しさん@お腹いっぱい。:2009/01/28(水) 22:15:46
>>333
NOD32 v3.0 定義3806
11/12
0\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WU トロイの木馬
1\r.exe Win32/Kryptik.FHの亜種 トロイの木馬
2\system.lib Win32/Spy.Zbot.GA トロイの木馬
3\antivirus.v.1.exe Win32/TrojanDownloader.FakeAlert.WW トロイの木馬
4\ldr.exe Win32/Spy.Zbot.FU トロイの木馬
5\av_2009glof.exe Win32/Adware.XPAntivirus アプリケーション
6\load.exe Win32/TrojanDownloader.Small.OJX トロイの木馬
7\WinDefender2009.exe Win32/Adware.IeDefender.NHAの亜種である可能性 アプリケーション
9\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.XG トロイの木馬
a\c-setup.exe Win32/Adware.IeDefender.NICの亜種 アプリケーション
b\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WR トロイの木馬
あそこは対応しないかもしれないけど、8の検体をEsetに送付しました。
348名無しさん@お腹いっぱい。:2009/01/28(水) 23:02:40
349名無しさん@お腹いっぱい。:2009/01/28(水) 23:12:46
>>348
AhnLabだって同じ結果だろ
なんでBitDefenderだけそう言うんだ
まあ凋落の一途って感じだけど
350名無しさん@お腹いっぱい。:2009/01/28(水) 23:13:56
>>348
>>1読め
351名無しさん@お腹いっぱい。:2009/01/28(水) 23:21:55
>>349
確かにこのスレでは検体は偏ってるし何も参考にはならないだろうとは思うけど他の大手ベンダーが軒並みほとんど検出できてるのにBitDefenderはほとんど検出できてないのはどうかと・・・
ESETですらほとんど検出できてるのに、それにAhnlabと比較されるBitDefenderって・・・

BitもVTエンジンは古いから最新版だったら検出できるって話しならまた違ってくるけど
352名無しさん@お腹いっぱい。:2009/01/28(水) 23:24:10
ESETですらってなんだよ
優秀な方だよ
353名無しさん@お腹いっぱい。:2009/01/28(水) 23:28:49
>>352
ESETは最近はすごく頑張ってるけどそれまでは本当にダメダメだったんだけど(このスレでは)

以前までのESET:このスレにうpされた検体はほとんどスルー、検体提出しても対応してくれる気配がない
今のESET:このスレでうpされた検体はよく検出してくれる、スルーした検体を提出すると最速とまではいかないけど対応が速くなった
354名無しさん@お腹いっぱい。:2009/01/28(水) 23:30:44
>>353
だからなんだよ
このスレ的には不適切じゃないか
まあ誹謗中傷ではないから良いのかな
まああまり適切とは思えないから終わりにしろよ
355名無しさん@お腹いっぱい。:2009/01/28(水) 23:36:28
>>354
スマソね
ま、ESETがどうしてこんなに良くなったのかそのきっかけはわからないけどとにかく本当に好印象なベンダーになったね
このまま頑張って欲しいですね

というわけでまた新たに未検出検体が対応されたら報告します
356名無しさん@お腹いっぱい。:2009/01/29(木) 05:37:09
ESETの対応が好印象に変化したというのは、実感してる。ただ、>>1をよく見て欲しい。

>特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

余計な書き込みでスレ埋め立てないように注意しながら検出可否確認してこうぜ。
357名無しさん@お腹いっぱい。:2009/01/29(木) 07:19:51
お前が言うな
358名無しさん@お腹いっぱい。:2009/01/29(木) 07:59:04
ESETもMcAfeeもちょっと前まで絶望感と悲壮感が漂ってたけど今は見事に復活したからBitDefenderもいつかは復活したらいいなとは思う

>>333
AntiVir全検出確認
359名無しさん@お腹いっぱい。:2009/01/29(木) 12:53:12
360名無しさん@お腹いっぱい。:2009/01/29(木) 13:04:26
>>359
該当するIPなし。名前解決できないので、検体入手不可能。鑑定目的ならお引き取りください。
検体提出なら、>1のアプロダに置いてください。
361名無しさん@お腹いっぱい。:2009/01/29(木) 14:17:10
>>333
Fortinet:
We will add detection for these samples in the next regular update.
The samples you submitted will be detected as follows:

Malware\0\tubeviewersetup.exe - W32/Agent.FBZ!tr.bdr
Malware\1\r.exe - W32/Zbot.KVV!tr.spy
Malware\2\system.lib - W32/Zbot.LFF!tr.spy
Malware\3\antivirus.v.1.exe - W32/CodecPack.DXI!tr.dldr
Malware\4\ldr.exe - W32/Zbot.KZA!tr.spy
Malware\5\av_2009glof.exe - Misc/SecurityCenter
Malware\6\load.exe - W32/Small.HIY!tr.bdr
Malware\7\WinDefender2009.exe - Adware/WinDefender
Malware\8\iMunizatorSetup.dmg - Misc/IMunizator
Malware\9\tubeviewersetup.exe - W32/CodecPack.EJD!tr.dldr
Malware\a\c-setup.exe - W32/Agent.AFSC!tr
Malware\b\tubeviewersetup.exe - W32/Agent.BFIU!tr.dldr
362名無しさん@お腹いっぱい。:2009/01/29(木) 15:13:56
検体入手元:
リネージュ資料室のセキュリティ対策 (ウィルス情報 - ウィルス更新状況)から最近更新されたページを
拾ってみたもの。htmlも多く含んでいるため、無害判定の出るファイルも含んでいると思われます。
幾つかのCSSは偽装された実行ファイルでした。
ttp://lineage.paix.jp/guide/security/virus-lastmodified.html
363名無しさん@お腹いっぱい。:2009/01/29(木) 15:15:16
訂正。orz

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=211
virus

検体入手元:
リネージュ資料室のセキュリティ対策 (ウィルス情報 - ウィルス更新状況)から最近更新されたページを
拾ってみたもの。htmlも多く含んでいるため、無害判定の出るファイルも含んでいると思われます。
幾つかのCSSは偽装された実行ファイルでした。
ttp://lineage.paix.jp/guide/security/virus-lastmodified.html

play.scrを解凍して出てくる1199.exeはベンダーによって外と中身で検出状況が違うことも。
(うっかりして、解凍したexeを入れ忘れました。ベンダーに提出される方は、Play.scrを解凍してください)
ttp://www.virustotal.com/analisis/210b3aaaf72c73fdd03bde62bdcbc71b 1199.exe(19/38)
ttp://www.virustotal.com/analisis/c1021f50717e0c2fd7cb3154ec540948 play.scr(23/39)
364名無しさん@お腹いっぱい。:2009/01/29(木) 15:15:50
AntiVirFree(他のファイルはスルー)
14.htm : HTML/Crypted.Gen HTML script virus
a1.css : R/Dropper.Gen Trojan
Bfyy.htm : HTML/Shellcode.Gen HTML script virus
cx.htm : HTML/Rce.Gen HTML script virus
fx.htm : JS/Dldr.IFrame.JD Java script virus
lzz.htm : HTML/Dldr.Agent.SB HTML script virus
new.html : HTML/Malicious.ActiveX.Gen HTML script virus
play.scr : DR/PcClient.agv dropper
real10.htm : EXP/RealPlr.CT exploit
real11.htm : HTML/Rce.Gen HTML script virus
sina.css : R/Crypt.XDR.Gen Trojan
b05.css : R/Crypt.XDR.Gen Trojan
playonline\1.css : R/Inject.ntg Trojan
playonline\ff.swf : SWF/Dldr.Tiny.D SWF virus
playonline\flsp.exe : R/Inject.ntg Trojan
playonline\fx.htm : JS/Dldr.Agent.PZ Java script virus
playonline\ie.swf : Contains the SWF/Dldr.Tiny.D.1 SWF virus
playonline\index.htm : JS/Dldr.Agent.HZ Java script virus
playonline\Ms06014.htm : HTML/Rce.Gen HTML script virus
playonline\real.htm : EXP/RealPlr.CT exploit
playonline\real.html : HTML/Shellcode.Gen HTML script virus
xin\ani.asp : EXP/Ani.Gen exploit
xin\ani.c : EXP/Ani.Gen exploit
xin\index.htm : HTML/Dldr.Nilag.bqz HTML script virus
xin\Ms06014.htm : JS/Dldr.Agent.ZY Java script virus
xin\Ms06046.htm : JS/Bofra.A.1 Java script virus
xin\Ms07004.js : EXP/JS.MS07-004 exploit
xin\xia.exe : R/Dropper.Gen Trojan
xin\Yahoo.htm : HTML/Shellcode.Gen HTML script virus
365名無しさん@お腹いっぱい。:2009/01/29(木) 15:18:01
AntiVirでスルーするファイルのうち、2ファイルは他ベンダーでは検知。
残る8ファイルはVirusTotalでは検知なしのファイルでした。
playonline/ss.htm : Exploit.JS.Agent!IK(a-squared)
playonline/off.htm : Trojan-Downloader.JS.Small.mr(Kaspersky)
366名無しさん@お腹いっぱい。:2009/01/29(木) 15:39:57
>>363
PandaGlobalProtection2009

とりあえず検出数だけ(詳細な報告は今はちょっとできません)
8個検出(ヒューリスティック検出はなし)
367名無しさん@お腹いっぱい。:2009/01/29(木) 15:47:47
>>363
NortonInternetSecurity2009
16個検出(うちヒューリスティック検出一つ)

詳細な報告はできなったけどPandaとSymantecに提出してきます
368名無しさん@お腹いっぱい。:2009/01/29(木) 17:42:14
>>363
ftpで一括提出予定(McAfee側の準備に2日程必要)
369名無しさん@お腹いっぱい。:2009/01/29(木) 18:13:17
へー、McAfeeもでかいファイルは別途FTPなのか
370名無しさん@お腹いっぱい。:2009/01/29(木) 18:13:21
NOD32 v3.0 定義3809
14個検出。未検出ファイルのみ、zip圧縮でEsetへメール送信しました。
a1.css Win32/TrojanDownloader.Agent.OQW トロイの木馬
b05.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性 トロイの木馬
play.scr Win32/PcClient.NCRの亜種 トロイの木馬
playonline\fx.htm JS/TrojanDownloader.SWFlash.J トロイの木馬
playonline\ie.swf SWF/TrojanDownloader.Small.DJ トロイの木馬
playonline\Ms06014.htm VBS/TrojanDownloader.Psyme.NFF トロイの木馬
playonline\off.htm JS/Exploit.CVE-2008-2463 トロイの木馬
sina.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性 トロイの木馬
xin\ani.asp Win32/TrojanDownloader.Ani.Genの亜種 トロイの木馬
xin\ani.c Win32/TrojanDownloader.Ani.Genの亜種 トロイの木馬
xin\Ms06014.htm JS/TrojanDownloader.Psymeの亜種である可能性 トロイの木馬
xin\Ms06046.htm JS/Exploit.CVE-2008-4844.gen トロイの木馬
xin\xia.exe Win32/PSW.QQShouの亜種である可能性 トロイの木馬
xin\Yahoo.htm HTML/Exploit.IframeBof トロイの木馬

371名無しさん@お腹いっぱい。:2009/01/29(木) 19:19:06
>>363
カスペ2009 18:45:00
全部スルー ( ノ∀`)アチャー

検体提出します。
さて、どうやって提出しようか検討中。(いつもは個別送付)
372371:2009/01/29(木) 19:39:18
>>363
カスペ2009+新エミュレータ 22/39 @6:16:00

Detected Trojan-Dropper.Win32.Agent.afws a1.css//FSG
Detected Trojan-Dropper.Win32.Agent.abku b05.css//PE_Patch.UPX//UPX
Detected Backdoor.Win32.PcClient.abwo play.scr//data0002
Detected Trojan.Win32.Inject.ntg playonline/1.css
Detected Trojan-Downloader.SWF.Small.dj playonline/ff.swf//Swf2Swc
Detected Trojan.Win32.Inject.ntg playonline/flsp.exe
Detected Trojan-Downloader.JS.SWFlash.j playonline/fx.htm
Detected Trojan-Downloader.SWF.Small.dj playonline/ie.swf//Swf2Swc
Detected Trojan-Downloader.JS.Psyme.anc playonline/Ms06014.htm
Detected Trojan-Downloader.JS.Small.mr playonline/off.htm
Detected Exploit.JS.Agent.aay playonline/real.htm
Detected Exploit.JS.Agent.aax playonline/real.html
Detected Exploit.JS.XMLPars.v playonline/ss.htm
Detected Trojan-Dropper.Win32.Agent.abku sina.css//PE_Patch.UPX//UPX
Detected Exploit.Win32.IMG-ANI.ac xin/ani.asp
Detected Exploit.Win32.IMG-ANI.ac xin/ani.c
Detected Trojan-Downloader.HTML.IFrame.dv xin/index.htm
Detected Trojan-Downloader.JS.Psyme.kf xin/Ms06014.htm
Detected Exploit.JS.Agent.yq xin/Ms06046.htm
Detected Trojan-Downloader.JS.VML.a xin/Ms07004.js
Detected Trojan-Downloader.Win32.Delf.jfj xin/xia.exe
Detected Exploit.HTML.IESlice.z xin/Yahoo.htm

あれ?
373371:2009/01/29(木) 19:48:58
>>363
カスペ2009 19:27:00
22/39
>>372と同一でした。

検体提出します。

スレ汚しすまぬ。orz
374名無しさん@お腹いっぱい。:2009/01/29(木) 20:01:48
>>370です。
NOD32 定義ファイル3810になったため、見逃したぶんを再検査(14+2→16)
\playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
\playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
375名無しさん@お腹いっぱい。:2009/01/29(木) 20:16:40
>>368
ごめん、2分割でメールしちゃったんで提出済み。
376名無しさん@お腹いっぱい。:2009/01/29(木) 20:18:16
>>363
Rising 2009 21.23.20 (21.14.20.00)
15個検出
b05.css>>upx_c: Trojan.Win32.Edog.bl
playonline\1.css: Trojan.Win32.Nodef.afb
playonline\flsp.exe: Trojan.Win32.Nodef.afb
playonline\index.htm: Trojan.DL.Script.VBS.Agent.ex
playonline\real.htm: Hack.Exploit.Script.JS.Agent.ik
real10.htm: Hack.Exploit.Script.JS.Agent.il
sina.css>>upx_c: Trojan.Win32.Edog.bl
xin\ani.asp: Hack.SuspiciousAni
xin\ani.c: Hack.SuspiciousAni
xin\index.htm: Trojan.DL.Script.JS.Agent.lyr
xin\Ms06014.htm: Trojan.DL.JS.Agent.lio
xin\Ms06046.htm: Hack.Exploit.Script.JS.Agent.ie
xin\Ms07004.js: Hack.Exploit.Script.JS.Vml.a
xin\xia.exe: Trojan.PSW.Win32.QQPass.qir
xin\Yahoo.htm: Hack.Exploit.YahooWebcam.a
377名無しさん@お腹いっぱい。:2009/01/29(木) 20:21:48
マカフィー、>>363現時点の返答。この表、奇麗に投稿できないもんかなぁ。
File Name   Findings      Detection       Type  Extra
-------------|------------------|----------------------|------|-----
14.htm    |inconclusive   |           |   |no
a1.css    |new detection   |generic dropper    |Trojan|yes
b05.css   |current detection |downloader-ble    |Trojan|no
b05.htm   |inconclusive   |           |   |no
bfyy.htm   |inconclusive   |           |   |no
cx.htm    |inconclusive   |           |   |no
fx.htm    |inconclusive   |           |   |no
index(1).htm |inconclusive   |           |   |no
index(2).htm |inconclusive   |           |   |no
index(3).htm |inconclusive   |           |   |no
index.htm  |inconclusive   |           |   |no
lzz.htm   |inconclusive   |           |   |no
ms07004.js  |current detection |generic downloader.o |Trojan|no
new.html   |inconclusive   |           |   |no
play.scr   |inconclusive   |           |   |no
real10.htm  |current detection |exploit-realplay   |Trojan|no
real11.htm  |inconclusive   |           |   |no
sina.css   |current detection |downloader-ble    |Trojan|no
style2224.jsp|inconclusive   |           |   |no
yahoo.htm  |current detection |js/exploit-bo.gen   |Trojan|no
378名無しさん@お腹いっぱい。:2009/01/29(木) 20:22:28
(続き)

File Name   Findings      Detection       Type  Extra
-------------|------------------|----------------------|------|-----
1.css    |current detection |pws-mmorpg.gen    |Trojan|no
1199.exe   |inconclusive   |           |   |no
2078759.js  |inconclusive   |           |   |no
ani.asp   |current detection |exploit-anifile.c   |Trojan|no
ani.c    |current detection |exploit-anifile.c   |Trojan|no
ff.swf    |current detection |generic downloader.bk |Trojan|no
flsp.exe   |current detection |pws-mmorpg.gen    |Trojan|no
fx.htm    |inconclusive   |           |   |no
ie.swf    |current detection |exploit-cve2007-0071 |Trojan|no
index.htm  |inconclusive   |           |   |no
index.htm  |heuristic detectio|exploit-iframe.gen.h |Trojan|no
l2.htm    |inconclusive   |           |   |no
ms06014.htm |current detection |vbs/psyme       |Trojan|no
ms06014.htm |current detection |exploit-ms06-014   |Trojan|no
ms06046.htm |current detection |exploit-xmlhttp.d.gen |Trojan|no
off.htm   |inconclusive   |           |   |no
real.htm   |current detection |exploit-realplay   |Trojan|no
real.html  |current detection |exploit-realplay.d.gen|Trojan|no
ss.htm    |inconclusive   |           |   |no
xia.exe   |current detection |generic downloader.x |Trojan|no
379名無しさん@お腹いっぱい。:2009/01/29(木) 21:54:24
ESETも返答返すようになってきたようだ。翌日には対応とは頑張ってる。いい感じだ。

>>322…って、>>330で全検出の報告出てるがESETから返答来たので一応報告。1/28提出で翌日には対応。

Thank you for your submission.
The detection for this threat will be included in our next signature update.

>>333 こっちも次回更新で対応との返答。
 >347で報告(11/12)されてるが、8の検体にも対応して全検出になってるか、確認よろしく。

Thank you for your submission.
The detection for this threat will be included in our next signature update.
380名無しさん@お腹いっぱい。:2009/01/29(木) 21:56:50
>>363
テキストエディタで見ると、相互に呼び出しあっていて、複雑に分解させてるね。,
javaScriptを外部リンクに持ってきたり、iframe使ったり、リンク参照したり、…。
全部ひっくるめて機能する気がする。
単体では、Web作成上、よく使われるスクリプトも多い。

混ぜるな!危険、の硫化水素みたいだ。

既検出分も含め、総提出しないとダメか?
381名無しさん@お腹いっぱい。:2009/01/29(木) 22:16:29
>>380
その辺の呼び出しスクリプトにも対応するか、本体だけ対応するかはセキュリティベンダーのポリシーで
対応状況変わるからねぇ。一通り提出はしてあるので、あとはベンダー次第かと。
382名無しさん@お腹いっぱい。:2009/01/30(金) 00:55:34
>>363
Avira AntiVir
The files you have sent us represent a bigger collection of malware.
Our virus lab will check the files and integrate new signatures in one of our next updates.

AntiVirFree(エンジン 8.02.00.60/定義 7.01.01.202) 現時点で、>364と比較してみる (30は、364の29+(1199.exe)=30
(30/40)→(31/40)
383名無しさん@お腹いっぱい。:2009/01/30(金) 00:57:57
>>363
トレンドマイクロ 追加で3種類の定義追加らしい

We are glad to inform you that the detection for the following malware below is now available for
downloading using CPR 5.804.06.

JS_DLOADER.TJP
VBS_PSYME.CLB
HTML_IFRAMEBO.CG
384名無しさん@お腹いっぱい。:2009/01/30(金) 01:51:29
>>363
カスペからの返事
14.htm_ - Trojan-Downloader.JS.Agent.dkv
fx.htm - No malicious code was found in this file.

その後、17ファイル再度送ったら、回答待ち。
優先順位低いと思われているのかな。

まあ、中途半端なファイルが多くて、agentに入れるかどうか迷ってんのかね。
385名無しさん@お腹いっぱい。:2009/01/30(金) 03:14:00
>>363
Fortinet.
Some of the samples you sent should already be detected:
xin/ani.asp - W32/MalFormedani.C
xin/ani.c - W32/MalFormedani.C
xin/index.htm - JS/Agent.CG!tr.dldr
xin/Ms06014.htm - JS/Psyme.KF!exploit
xin/Ms06046.htm - JS/MS08078!exploit
xin/Ms07004.js - JS/Vml.A!exploit
xin/Yahoo.htm - JS/ShellCode.A!exploit
b05.css - W32/Dropper.CDB!tr
386名無しさん@お腹いっぱい。:2009/01/30(金) 03:14:37
Fortinet. (続き)
We have recently added detection for other malwares.These signatures will be included in the next regular update.
The samples you submitted will be detected as:

playonline/ff.swf - SWF/Small.A!tr.dldr
playonline/fx.htm - JS/FlashDownloader.A!tr.dldr
playonline/ie.swf - SWF/Small.A!tr.dldr
playonline/index.htm - JS/Multibreach.B!tr.dldr
playonline/1.css - W32/Inject.NTG!tr
playonline/flsp.exe - W32/Inject.NTG!tr
playonline/Ms06014.htm - JS/Psyme.ANC!tr.dldr
playonline/real.htm - JS/RealPlayer.D!exploit
playonline/real.html - JS/Agent.AAX!exploit
xin/xia.exe - W32/OnLineGames.FHW!tr.pws
real10.htm - JS/RealPlayer.D!exploit
real11.htm - JS/Agent.AAX!exploit
1199.exe - W32/Pcclient.abwo!tr.bdr
a1.css - W32/Agent.JKG!tr
Bfyy.htm - JS/Obfuscated.E!tr
new.html - JS/Multibreach.B!tr.dldr
off.htm - JS/Small.MR!tr.dldr
ss.htm - JS/XMLParse.V!exploit
387名無しさん@お腹いっぱい。:2009/01/30(金) 16:32:37
>>379
ESETは対応速度も速くなったけどヒューリスティックも良い感じに検出するようになったね
というかPandaもそうだけどESETはやはり他ベンダーと比べるとヒューリスティックでの検出が多いね
388名無しさん@お腹いっぱい。:2009/01/30(金) 17:56:12
そりゃシグネチャスッカスカだからな
389名無しさん@お腹いっぱい。:2009/01/30(金) 18:12:15
>>363
McAfee、ftpアップロード完了。
390名無しさん@お腹いっぱい。:2009/01/30(金) 20:19:33
391384:2009/01/30(金) 20:47:11
カスペ2009
未だ、22+2=24/39で返事来ず。
順番が後回しにされているっぽい。orz

だれか、代理提出お願いします。
提出しすぎてマークされているのかな。
392384:2009/01/30(金) 20:47:53
すまぬ、
検体は>>363です。
393名無しさん@お腹いっぱい。:2009/01/30(金) 20:48:30
NOD32 V3.0 定義3812
>>370,>>374の続き 16+10→26 未検出ファイル17
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\ff.swf SWF/TrojanDownloader.Small.DJ トロイの木馬
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\real.htm JS/Exploit.RealPlay.NBF トロイの木馬
playonline\real.html JS/TrojanDownloader.Agent.NEJ トロイの木馬
playonline\ss.htm JS/Exploit.XMLPars.V トロイの木馬
xin\index.htm JS/TrojanDownloader.Iframe.DV トロイの木馬
xin\Ms07004.js HTML/Exploit.VML.NAQ トロイの木馬
完全対応は厳しそう。

>>390 1/1
4b3e8d9c0o7a1p5n6i0g7m.exe Win32/PSW.Gamania.NBF トロイの木馬

前後しますが >>379 8の検体(MacOSのマルウェア)は未検出のままです。
394名無しさん@お腹いっぱい。:2009/01/30(金) 20:51:19
>>390
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A     4b3e8d9c0o7a1p5n6i0g7m.exe

>>388
それをいったらMcAfeeやPandaだってクラウドベースがなければスッカスカだぞw
395名無しさん@お腹いっぱい。:2009/01/30(金) 21:10:58
>>106
avgもメールが帰って来るはずだが
396名無しさん@お腹いっぱい。:2009/01/30(金) 21:21:23
393です。>>363の続きの検出結果でしたが、重複して報告してましたorz
検出数合計22/39に訂正。申し訳ないです。
397名無しさん@お腹いっぱい。:2009/01/30(金) 23:32:45
>>391-392
提出済み

>>395
おかしいな。2007年4〜5月は受理の報告だけは来てたが、それ以降は返事来てないや。
と思ったら宛て先が古かった模様。次からは、宛て先直そう。<[email protected]>→<[email protected]>
398384:2009/01/30(金) 23:50:29
>>397
d
399名無しさん@お腹いっぱい。:2009/01/30(金) 23:55:36
Rising 2009 21.23.40 (21.14.40.00)
ここまで追加検出なし
いまだ春節モードで検体放置中
400名無しさん@お腹いっぱい。:2009/01/31(土) 00:15:55
>>390
VirusTotalで未検出の所へ提出

Ahnlab Customer , Authentium , Cat Computer , CA(eTrust Vet) , Fortinet , K7Computing , Panda ,
Rising Antivirus , VirusBuster , nProtect , Sunbelt , ViRobot

nProtectは検体のファイルを受け付けていないので、>390のあぷろだへのリンクとパスを書いて報告。
401名無しさん@お腹いっぱい。:2009/01/31(土) 00:21:59
おおすごい
お疲れ様です
402名無しさん@お腹いっぱい。:2009/01/31(土) 00:24:58
Panda&Norton使いです

これらとAntiVir&avast!を使い続けて気になったのはNortonやPandaはウイルス駆除するとき、再起動が必要な場合があるけどAntiVirとavast!は殆どない
ウイルスを解凍→駆除のときに再起動が必要というのは他のベンダーではどうです?
403名無しさん@お腹いっぱい。:2009/01/31(土) 01:13:36
AntiVirではないなぁ。その前に使ってたカスペもNOD32も駆除の後再起動は経験が無い。
本体更新での再起動位か。

起動させてから駆除したことはないので、ファイル書込み段階での駆除の話ですが。
スレ違いな気もするけど、どこのスレが適当だかわからんわ。
404名無しさん@お腹いっぱい。:2009/01/31(土) 01:54:09
>>390
Fortinet:未検出→W32/Inject.NNH!tr.

流石に速いな。いつもカスペに次ぐ位の速度で対応してくるベンダーだけあるわ。
一般向けのセキュリティソフトをここが出してくれればなぁ…
405名無しさん@お腹いっぱい。:2009/01/31(土) 11:45:51
>>403
>スレ違いな気もするけど、どこのスレが適当だかわからんわ。
そうなんですよね、確かにスレ違いだし「一番良い〜」のスレの方が妥当なのかもしれないけどあっちは完全な糞スレになっちゃってまともな会話ができない・・・
こちらのスレではいろんなソフトを使ってる方がいるということで少々テクニカルな話しもできるのではないかと

カスペはウイルス駆除で再起動とかはないんですか・・・・カスペは再起動がありそうなベンダーに見えたんですけどね
406名無しさん@お腹いっぱい。:2009/01/31(土) 11:51:57
というかマルウェアの種類によっては
どのセキュリティソフトでも再起動が必要な場合はある
407名無しさん@お腹いっぱい。:2009/01/31(土) 12:15:36
BitDefenderから今頃になって返事が来た件
もうBitDefenderへの提出打ち切りが数週間経つから今頃返事来るなんて遅すぎだよ〜
しかも何の検体かわからん

Dear Sir/Madam,

The analysis of your files has been completed with the following results:

It's detected as Trojan.PWS.YJQ.

Please do not hesitate to send us even more suspect/infected files in the future.


Best regards,

Aurelian Neagu
BitDefender Technical Support Engineer

>>363
からSymantecの返事が来て「とりあえず解析中だからしばらく待ってろ」だって
408名無しさん@お腹いっぱい。:2009/01/31(土) 12:22:43
Bitから返事貰ったことないぞ
409名無しさん@お腹いっぱい。:2009/01/31(土) 13:11:06
>>407
その検出名の返答が来てるのは1/9に提出したOnline.scrなので、前スレ834だな。
1/9に提出して、1/26に回答来てた。提出する時に、ファイル名に日付入れたり、中身のファイル名書いとくといいよ。

ラボに送ったっていうテンプレメールばっかりなんで、読み飛ばしてたけど、たまに検出名や
既知のファイルだって返答来てるな。>BitDefender。

 >834 名無しさん@お腹いっぱい。 sage 2009/01/09(金) 10:52:55
 >ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=177
 >virus
 >検体入手元:ttp://99■1■8■113:8080/sonli/Online■scr
 >(21/38)
 >ttp://www.virustotal.com/analisis/c9ec8d2b1a52c86a9d9347b307345e56

10/21〜1/9に送った奴の検出名が、まとめて1/26に来てる。
(この範囲の分をラボに送ったってメールが1/24。どっかで止めてたなw)
1/22送付分が、1/23にラボに送付ってメール来てたりするし、実際の処理と返信が連動してないのかも。
spamフィルタで振り分けられてたのを一気に処理した可能性もある。
410名無しさん@お腹いっぱい。:2009/01/31(土) 13:26:52
>>407-409
>前スレ834
ちょっと気になったので比較してみた。未対応がそこそこあるように見えるけど、殆どのベンダーは
外側か中身のどっちかには対応してるので、実際にはブロック可能と思われる。
両方まだ対応してないのは、Prevx1とSunbeltの2ベンダーだけ。

Online.scr
1/11(27/37) ttp://www.virustotal.com/analisis/7ce937a956863b128ee27e25d4985b3b
1/31(31/39) ttp://www.virustotal.com/analisis/ec60310811fa14ac7f1ec2c3f76402fb

123456789.exe(Online.scrの中身)
1/11(24/38) ttp://www.virustotal.com/analisis/86b0c553b4acb202d3c09b35205367df
1/31(34/39) ttp://www.virustotal.com/analisis/cd68dc6306e520a38fb250e75a18234c
411名無しさん@お腹いっぱい。:2009/01/31(土) 13:38:59
1/9に送った別の検体もついでに比較。

flash.exe
1/11(13/37) ttp://www.virustotal.com/analisis/f57bc9286f6cd3c7163c8207d65613fe
1/31(22/39) ttp://www.virustotal.com/analisis/83eca2c3860703a53f1121243a9aa8ef
412名無しさん@お腹いっぱい。:2009/01/31(土) 13:52:18
>>363
シマンテック
 ファイル9つづつに分けて、5分割で送信した回答。3つめの分がまだ未回答
 っていうか、4つめのファイル名が2回来てるので、送付ミスったかも…。
 提出 1/29(5件) 回答 1/29(3件) 1/31(2件/但し同じファイル)

検出名のあるもの
filename: flsp.exe
 result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: 1.css
 result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: real.html
 result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
filename: ani.c
 result: This file is detected as Trojan.Exploit.131.
filename: xia.exe
 result: This file is detected as Infostealer. http://www.symantec.com/avcenter/venc/data/infostealer.html
filename: ani.asp
 result: This file is detected as Trojan.Exploit.131.
filename: play.scr
 result: This file is detected as Backdoor.Formador. http://www.symantec.com/avcenter/venc/data/backdoor.formador.html
filename: real11.htm
 result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html

手動解析に回したという報告
index.htm , off.htm , Ms06014.htm , 1199.exe , l2.htm , real.htm , fx.htm , ie.swf ,
ss.htm , 2078759.js , ff.swf , index.htm , index(3).htm , real10.htm , index(1).htm ,
cx.htm , lzz.htm , Bfyy.htm , fx.htm , index(2).htm , index.htm , new.html , style2224.jsp
413名無しさん@お腹いっぱい。:2009/01/31(土) 14:14:36
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=213
virus

>363と同じくリネージュ資料室の更新状況から。
アドレスは同じだが、ファイルが差し替えられたようなので、再入手。

検体入手元
ttp://down■erhaha2■cn/new/a1■css
ttp://www■wokutonoken-online■com/blog/play■scr
※ 1199.exeはplay.scrを解凍するとでてきます。

VirsTotal
ttp://www.virustotal.com/analisis/d959f85c9cabe9cace7ca4cf75db4019 a1.css(26/39)
ttp://www.virustotal.com/analisis/00d86dae7217edd9cf34de9b223df160 play.scr(23/39)
ttp://www.virustotal.com/analisis/6ceaa0ae27e4b55512d3696daf9bab1d 1199.exe(21/38)


AntiVir
a1.css : TR/Dropper.Gen Trojan
play.scr : DR/PcClient.agv dropper
play/1199.exe : DR/PcClient.Gen dropper

BitDefender
play\1199.exe : Trojan.Crypt.DG
a1.css : Rootkit.Agent.AIWN
play.scr : Dropped:Backdoor.PCClient.TCH
414名無しさん@お腹いっぱい。:2009/01/31(土) 14:39:24
>>413
未検出の所は一通り提出

マカフィー(全スルー)

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe |inconclusive | | |no
a1.css |inconclusive | | |no
play.scr |inconclusive | | |no
415名無しさん@お腹いっぱい。:2009/01/31(土) 14:48:32
>>413
PandaGlobalProtection2009
a1.cssのみ疑わしいファイルとして検出
416名無しさん@お腹いっぱい。:2009/01/31(土) 14:49:41
>>413
乙です。
NOD32 v3.0 定義3814
a1.css Win32/Genetikの亜種である可能性 トロイの木馬
play\1199.exe Win32/PcClient.NCRの亜種 トロイの木馬
play.scr Win32/PcClient.NCRの亜種 トロイの木馬
417名無しさん@お腹いっぱい。:2009/01/31(土) 14:53:28
>>413
NortonInternetSecurity2009はVirustotal通りの結果です
418名無しさん@お腹いっぱい。:2009/01/31(土) 14:58:46
>>413
avast!4.8
play\1199.exe:Win32:Downloader-AZY [Trj]
419名無しさん@お腹いっぱい。:2009/01/31(土) 15:23:53
>>413
カスペ、対応済みとの返答。Virustotalの定義が古かった?

1199.exe_,
play.scr_ - Backdoor.Win32.PcClient.abyk,
a1.css - Trojan-Dropper.Win32.Agent.agbj

These files are already detected. Please update your antivirus bases.
420名無しさん@お腹いっぱい。:2009/01/31(土) 15:40:09
We will add detection for these samples in the next regular update.

The samples you submitted will be detected as follows:
a1■css - W32/Agent.AGB!tr
play■scr - W32/PcClient.ABY!tr
1199■exe - W32/PcClient.ABY!tr
421名無しさん@お腹いっぱい。:2009/01/31(土) 15:45:15
>>420
それはどこのベンダー?
検出名からNOD32っぽく見えるけど
422名無しさん@お腹いっぱい。:2009/01/31(土) 15:49:14
…禁止ワードはこれか。orz(投稿に失敗したらしい)
1つ前のカスペの検出名投稿ではこけなかったのに。

ここに検出名投稿するのと前後して、他のBBSでDSBL規制にひっかかるのはなんでだー。
一昨日:BitDefenderの検出名10個位貼る→3回位失敗して諦める→他のBBSでDSBL規制にひっかかる
     →ISPに対応依頼を出してから、モデムの電源切ってIP変える
今日:カスペの検出名を貼る→他のBBSでDSBL規制にひっかかる→Fortinetの検出名貼るがこける

近いISPで誰かがspam垂れ流してるだけだと思うけど、規制に引っ掛かる直前にここの書込みを
してる点が共通してるのが嫌すぎる。

>420は>413の検出名。ベンダーはFortinet。
423名無しさん@お腹いっぱい。:2009/01/31(土) 15:50:14
>>421
ごめん、ベンダー名とアンカーを投稿修正時に間違って消してた。
424名無しさん@お腹いっぱい。:2009/01/31(土) 15:54:14
あ、Fortinetかもしれないですね

>>404
AV-Comparativesでものすごい誤検出起こした結果を見るととても個人向けには扱えそうにないと思うんですが・・・・
Sophosも毎回ものすごい数の誤検出起こしてるから個人向けには出さない理由がわかる気がする(SpySweeperはあるけど)
425名無しさん@お腹いっぱい。:2009/01/31(土) 16:47:35
関係ねえよ
426名無しさん@お腹いっぱい。:2009/01/31(土) 16:56:46
んなこたあねえ
427名無しさん@お腹いっぱい。:2009/01/31(土) 21:47:03
BitDefenderのサイトが攻撃されてるみたいだけど
ttp://www.bitdefender.com/

仮想環境などで詳細がわかる方レポート頼みます
428名無しさん@お腹いっぱい。:2009/01/31(土) 22:02:32
>>427
全然問題ないよ
騙されたんじゃね
429名無しさん@お腹いっぱい。:2009/01/31(土) 22:22:46
>>428
う〜ん、それがFireFoxだとブロックされて全く見れない状態なんだよね
FireFox(Google)の誤検出なのかな〜?
430名無しさん@お腹いっぱい。:2009/01/31(土) 22:26:11
前スレのDishの件なんだけどとうとうNOD32とNormanまで反応した
ttp://www.virustotal.com/analisis/d581c1e317a4fef4a76a35508a5aae72

これでトレンドマイクロ以外の大手ベンダーは全て黒扱い
431名無しさん@お腹いっぱい。:2009/01/31(土) 22:32:35
>>429
>このサイトで不審なコンテンツが最後に検出されたのは2009-01-18です。
って書いてあるでしょ
検出されたのはこの一回だけ
432名無しさん@お腹いっぱい。:2009/01/31(土) 23:40:31
googleで何 検索しても「このサイトはコンピュータに損害を与える可能性があります。」って
なるね。
さっきのFireFoxの件と関係ありそうだね。

なんかどっかで攻撃あんのかな?
433名無しさん@お腹いっぱい。:2009/01/31(土) 23:56:27
本当だ
Googleで何検索しても「このサイトはコンピュータに損害を与える可能性があります。」って出る
Googleが何かの攻撃にやられたのかな?
434名無しさん@お腹いっぱい。:2009/01/31(土) 23:57:10
ほんとだ
googleが壊れてんのか
435名無しさん@お腹いっぱい。:2009/01/31(土) 23:57:24
googleがおかしい★2 (ν速)
http://tsushima.2ch.net/test/read.cgi/news/1233413188/
436名無しさん@お腹いっぱい。:2009/01/31(土) 23:57:46
なんだよbid疑って悪いことをした
437名無しさん@お腹いっぱい。:2009/01/31(土) 23:58:41
先生ご乱心ときいて
438名無しさん@お腹いっぱい。:2009/02/01(日) 00:10:23
Google USもダメだな。

*内部的ミス
**検索エンジン更新時のインストールミス☆
:**単純な設定ミス ★

+外部的ミス
**第三者による攻撃
***Who?
****政府
****悪意のあるハッカー
****テロ組織
****内部組織

++種類
+++サイト改ざん

++目的
+++愉快犯
+++マルウェアのインストール目的

**方法
***ボットネット
***SQLインジェクション
***DNSキャッシュポイズニング
+++SEOポイズニング
****iFrame挿入攻撃

★に2ペリカ、☆に1ペリカ
439名無しさん@お腹いっぱい。:2009/02/01(日) 00:11:13
Googleは逝っちゃってるけどBitDefnderのサイトの件はヤフーで検索しても危険サイト扱いされるな(火狐だけだろうけど)
440名無しさん@お腹いっぱい。:2009/02/01(日) 00:12:12
http://www.sleipnirstart.com/
↑これつかえ
441名無しさん@お腹いっぱい。:2009/02/01(日) 00:25:29
Googleに不具合 全検索結果に「コンピューターに損害を与える可能性」とメッセージ
http://www.itmedia.co.jp/news/articles/0902/01/news001.html
442名無しさん@お腹いっぱい。:2009/02/01(日) 00:45:39
>>439
何度か出てるがFirefoxはGoogleのデータ使ってるから
443名無しさん@お腹いっぱい。:2009/02/01(日) 00:47:23
bitdefenderは今も変わらないな
444名無しさん@お腹いっぱい。:2009/02/01(日) 08:12:14
>>413
NortonInternetSecurity2009
Backdoor.Formador:play\1199.exe

これで全検出確認
SymantecとPandaは対応速度が安定してないのが欠点だな
445名無しさん@お腹いっぱい。:2009/02/01(日) 11:20:26
>>461
そういや、こっちには書いてなかったな…。中身の1199.exeとscrでは検出状況がちょっと違う。
最近、ファイルが差し替えられてる。↓は検体提出時の検出結果。

ttp://www.virustotal.com/analisis/c1021f50717e0c2fd7cb3154ec540948 play.scr(23/39)
ttp://www.virustotal.com/analisis/210b3aaaf72c73fdd03bde62bdcbc71b 1199.exe(19/38)

ttp://www.virustotal.com/analisis/00d86dae7217edd9cf34de9b223df160 play.scr(23/39)
ttp://www.virustotal.com/analisis/6ceaa0ae27e4b55512d3696daf9bab1d 1199.exe(21/38)

446名無しさん@お腹いっぱい。:2009/02/01(日) 11:20:52
>>445は誤爆です orz
447名無しさん@お腹いっぱい。:2009/02/01(日) 15:12:18
511 名前:/名無しさん[1-30].jpg[] 投稿日:2009/01/29(木) 19:29:59 ID:zbtNWF/40
僕もおねがいしまつ
ttp://miracleup.huu.cc/blog/

517 名前:/名無しさん[1-30].jpg[sage] 投稿日:2009/01/29(木) 22:29:31 ID:wuKi3eid0
>>511
このページはウイルスに感染しています。カスペルさんは、Trojan.Script.Iframer だと言っています。

ttp://www.virustotal.com/jp/analisis/b13fa8079aaf5167cee1f41547d28505
448名無しさん@お腹いっぱい。:2009/02/01(日) 17:11:31
>>447
>>2

・ブラクラ禁止
 ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません。
449名無しさん@お腹いっぱい。:2009/02/01(日) 17:35:08
>>447
検出するベンダーもあるようですし、ブロックしてもよさそうではありますが、今回は提出せず。
450名無しさん@お腹いっぱい。:2009/02/02(月) 01:07:30
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=215
virus

検体入手元
ttp://down■erhaha2■cn/new/a1■css

またファイルが差し替えられたようです。
ttp://www.virustotal.com/analisis/b1cc4f48de817dda99876f646416f5d9 (30/39)

一部ファイル名が、禁止ワードになっているようで、投稿するとBBX規制リストに載ってしまうようです。
規制に引っ掛からないように、報告時には一部箇所を置き換えたほうがいいかもしれません。
451名無しさん@お腹いっぱい。:2009/02/02(月) 01:13:29
>>450
Risingに提出完了
452名無しさん@お腹いっぱい。:2009/02/02(月) 10:52:04
>>241
McAfeeより返答。1/23提出分。
file.exe〜file(46).exe:generic.dx,vundo のどちらかの名称
453名無しさん@お腹いっぱい。:2009/02/02(月) 11:19:22
NOD32 v3.0 定義3817
>>450
tane0215\a1.css Win32/Genetikの亜種である可能性
(アドバンスドヒューステリックによる検出)
454名無しさん@お腹いっぱい。:2009/02/02(月) 13:39:02
Kingsoftからまとめて返答来ました。

>>122 1/19提出
既知:「ウイルス名:Win32.Troj.Crypt.DG.62506」他

>>145 1/20提出
キングソフトにおいてウイルスではないことが確認できましたことをご連絡いたします。
(え゛〜)

>>168 1/21提出
既知:「ウイルス名:Win32.Troj.Delf.78848」他

>>202 1/22提出
既知:「ウイルス名:Win32.Troj.Delf.gb.163840」

>>310 1/28提出
既知:「ウイルス名:> VTool.Ansigen.CD.42420 」他
455名無しさん@お腹いっぱい。:2009/02/02(月) 13:41:29
一ヶ所、他って付け忘れてますので脳内補完お願いします。キングソフトは複数ファイルをアーカイブして送っても
1つしか検出名を書いてこないので、このような書き方になってます。ご了承ください。
456371,373,380:2009/02/02(月) 13:49:53
>>363
カスペからの返事
22+3=25

カスペ的には、これでFAみたいね。


Hello,

2078759.js_, b05.htm_, Bfyy.htm_, cx.htm_, index(1).htm_, index(2).htm_, index(3).htm_, index(4).htm_, index.htm_, l2.htm_, real11.htm_, style2224.jsp

No malicious code were found in these files.

new.html_ - Trojan-Clicker.HTML.IFrame.aci,
real10.htm_ - Exploit.JS.RealPlr.ou

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
457名無しさん@お腹いっぱい。:2009/02/03(火) 00:07:13
458名無しさん@お腹いっぱい。:2009/02/03(火) 00:23:47
>>457
PandaGlobalProtectio2009

疑いのあるファイル 未知の脅威からの保護      http://online.w84.okwit.com/file/Start.pif
459名無しさん@お腹いっぱい。:2009/02/03(火) 00:28:54
>>457
ttp://www■wokutonoken-online■com/blog/play■scr
アドレスも拡張子も違いますが、全く同じバイナリで、中に1199.exeが入っていました。

http://www.virustotal.com/analisis/f468ee080dc4d33b9375d2c17a7abb64 1199.exe(22/39)
460名無しさん@お腹いっぱい。:2009/02/03(火) 00:37:40
>>459
PandaGlobalProtection2009は疑わしいファイルとして検出
NortonInternetSecurity2009も検出
461名無しさん@お腹いっぱい。:2009/02/03(火) 00:40:04
ちなみにPandaもNortonもダウンロード時に検出なので>>459のVirustotalの検体とは違うものだと思いますね
462名無しさん@お腹いっぱい。:2009/02/03(火) 01:07:54
>>461
>459のVirustotalの結果は、ダウンロードしたファイルを解凍すると出てくるものですよ。
459で落ちてくるファイルそのものは、>457と同一です。 fc /b で比較してみてください。
463名無しさん@お腹いっぱい。:2009/02/03(火) 02:46:45
NSISの解凍がわからないのでは。7-Zipで解凍できるよ。
464名無しさん@お腹いっぱい。:2009/02/03(火) 02:56:33
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=216
infected

>459,>461+その他いろいろ(ちょっと古いけどすり抜けるベンダーのあるもの等)。

検体は各社に提出済み。ファイル数やサイズに制限のあるベンダーにも分割して提出しました。
マルウェア本体を呼び出す途中のhtmlも含むため、スルーされるファイルが比較的多いと思います。
465名無しさん@お腹いっぱい。:2009/02/03(火) 03:23:24
ちょっと入れすぎたんで…検出結果報告どうすっかなぁ。

MaCafee
 検出+拡張/総数=65+2/130
 殆ど似たようなswfのファイルで検出するものとしないものが混ざってたり。

ノートン
130個中、97個分がすぐに自動回答きました(15分割したうち4ファイル分は返答来ていません)
 47/90 既知のマルウェア
 50/97 自動検出できず、手動解析に回す
466名無しさん@お腹いっぱい。:2009/02/03(火) 03:49:06
>>464
AntiVir Free(マルウェア本体のexeで残ったのは2種類だけ)
 ファイル:138
 検出:117
 疑惑:2

BitDefender10Free
 ファイル:173(アーカイブ内のファイルも含む)
 アーカイブ:4
 ランタイムパッカー:18

 感染しているオブジェクト:101
 疑わしいオブジェクト:1
 ウイルス識別:37(37種類?)

----- 参考までに、スパイウェア対策ソフトでもチェック -----
Ad-Aware
 検出数 19ファイル(9種類)

Spybot
 検出数 1(うち、ヒューリスティック1)

SuperAntiSpyware
 検出数 0

467名無しさん@お腹いっぱい。:2009/02/03(火) 12:09:10
>>466
464解凍後にMalwarebytesの右クリックスキャンでは検出数4だった
468名無しさん@お腹いっぱい。:2009/02/03(火) 12:09:23
>>464
PandaGlobalProtection2009
とりあえず33個検出
実際にはどれだけ検出駆除できたかまだ調べてません
469名無しさん@お腹いっぱい。:2009/02/03(火) 12:23:54
>>464
NortonInternetSecurity2009

73個検出
470名無しさん@お腹いっぱい。:2009/02/03(火) 15:44:15
>>464
カスペ2009

97/126
(アーカイブで検知、さらにアーカイブを自動解凍してマルウェアを検知した場合は、2として計算せず、1として計算)

Trojan.Win32.Pakes.kad    tt1.exe
Trojan.Win32.Inject.ntg    flsp.exe
Trojan.Win32.Inject.ndf    teamerblog/cer.exe
Trojan.Win32.Inject.ncz    k1.exe
Trojan.Win32.Inject.ncz    gawezuki/k1.exe
Trojan.Win32.Inject.dzc    001G000183/001G000183.exe
Trojan.Win32.Delux.eo    play0nlink/ff11.exe
Trojan.Win32.Delux.bp    play0nlink/t1.exe
Trojan.JS.Agent.kb    teamerblog/Muma.htm、gawezuki/Muma.htm 「2」
Trojan.HTML.IFrame.ad    gawezuki/Blog.htm
Trojan-PSW.Win32.Agent.ka    tmsn.exe
Trojan-GameThief.Win32.OnLineGames.wkt    mbspro6uic/ff22.exe
Trojan-GameThief.Win32.OnLineGames.skmj    vip.dob3.cn/Baidu/mm.exe
Trojan-Dropper.Win32.Agent.zmr    gameicity/ofed/mov.scr、 flsp.exe、 fls.exe 「3」18
Trojan-Downloader.Win32.Delf.jfj    play0nlink/xia.exe、  mbspro6uic/xia.exe  jerikoblog88fc2/xia.exe 、  dimorphothec/xia.exe 「4」
Trojan-Downloader.VBS.Psyme.pm    teamerblog/Muma_1.htm、 gawezuki/Muma_2.htm 「2」
Trojan-Downloader.VBS.Agent.rm    vip.dob3.cn/11.htm
Trojan-Downloader.JS.VML.a    play0nlink/Ms07004.js
Trojan-Downloader.JS.Small.mr    gameicity/off.htm
Trojan-Downloader.JS.SWFlash.j    gameicity/fx.htm
Trojan-Downloader.JS.Psyme.kf    play0nlink\Ms06014.htm、 jerikoblog88fc2\Ms06014.htm、 dimorphothec\Ms06014.htm 「3」
Trojan-Downloader.JS.Psyme.anc    gameicity/Ms06014.htm
Trojan-Downloader.JS.Agent.dhv    gawezuki/Ms06-014.htm
Trojan-Downloader.JS.Agent.dfv    vip.dob3.cn/vip.htm

(つづく)
471470:2009/02/03(火) 15:48:01
>>470の続き
>>464 カスペ2009@14:54:00

Trojan-Downloader.JS.Agent.cif    vip.dob3.cn/live.htm
Trojan-Downloader.JS.Agent.bnc    mbspro6uic/Ms06014.htm
Trojan-Downloader.HTML.IFrame.dv    play0nlink/wugui.htm、 naizi.htm、 xinma.htm、 ma.htm 「4」
Trojan-Downloader.HTML.IFrame.dv    mbspro6uic/naizi.htm、  jerikoblog88fc2/xinma.htm、 dimorphothec/ma.htm 「3」
Trojan-Downloader.HTML.Agent.nh    vip.dob3.cn/fx.htm
Trojan-Clicker.HTML.IFrame.so    k.js
Exploit.Win32.IMG-ANI.ac    play0nlink/ani.c、 mbspro6uic/ani.c、 jerikoblog88fc2/ani.cdimorphothec/ani.c 「4」
Exploit.SWF.Downloader.lb    vip.dob3.cn/i64.swf、 i47.swf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「6」
Exploit.SWF.Downloader.lb    vip.dob3.cn/f47.swf 、 f45.swf、 f28.swf、 f16.swf、 s115.swf 「5」
Exploit.SWF.Downloader.eh    e7zx.cn/i64.swf、 i47.dwf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「6」
Exploit.SWF.Downloader.eh    e7zx.cn/f47.swf、 f25.swf、 f28.swf. f16.swf、 f115.swf 「5」
Exploit.JS.XMLPars.v    gameicity/ss.htm
Exploit.JS.RealPlr.ny    vip.dob3.cn/Real11.htm
Exploit.JS.RealPlr.nt    vip.dob3.cn/rp10.htm
Exploit.JS.Agent.zs    gawezuki/Muma_4.htm
Exploit.JS.Agent.yq    play0nlink/Xunlei.htm、 jerikoblog88fc2/Ms06046.htm、vip.dob3.cn/bfyy.htm 「3」
Exploit.JS.Agent.aay    gameicity/real.htm
Exploit.JS.Agent.aax    gameicity/real.html
Exploit.HTML.IESlice.z    play0nlink/Yahoo.htm、mbspro6uic/Yahoo.htm、jerikoblog88fc2/Yahoo.htm、dimorphothec/Yahoo.htm 「4」84
Exploit.HTML.Ascii.ai    play0nlink/Ms06046.htm
472470:2009/02/03(火) 15:49:26
>>470,471の続き
>>464 カスペ2009@14:54:00

Backdoor.Win32.PcClient.acak    Start.pif 、 play\1199.exe、  play.scr、  1.exe 「4」
Backdoor.Win32.Agent.obd    ff11goodstory0808111/ff11goodstory0808111.exe
Worm.Win32.Otwycal.bq    gameicity/1.css
Rootkit.Win32.Agent.gaf    ko.exe

*ヒューリスティック検知
HEUR:Trojan-Downloader.Script.Generic    gawezuki/Ms06-014_3.htm、 gameicity/no.htm、 gameicity/14.htm、 teamerblog/Ms06-014.htm 「4」
HEUR:Exploit.Script.Generic    gameicity/real(1).html、 nct.htm 「2」

以上
>>470-472
検体提出します。
473名無しさん@お腹いっぱい。:2009/02/03(火) 16:03:46
ファイル名とか書くなって
どこまで馬鹿なの?
474名無しさん@お腹いっぱい。:2009/02/03(火) 16:38:25
475名無しさん@お腹いっぱい。:2009/02/03(火) 20:44:54
NOD32 v3.0 定義3821
>>464
さすがに多いので検出数のみの報告です。
感染オブジェクトの合計数/検査したオブジェクトの合計数=87/138
476名無しさん@お腹いっぱい。:2009/02/03(火) 22:02:33
>>464カスペ返事 大量報告又すまぬ。(>>473)推定97+11=108/126(2白)

flink.html_ - Trojan-Downloader.JS.SWFlash.ai
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dlw *
Ms06-014_1.htm_ - Trojan-Downloader.JS.Agent.dlu
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dlt
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dls *
ilink.html_ - Trojan-Downloader.JS.SWFlash.aj
real(1).htm_ - Exploit.JS.RealPlr.ov *
play.htm_ - Trojan-Downloader.JS.Iframe.agm
no.htm_ - Trojan-Downloader.JS.Agent.dlv *
ifl.html_ - Trojan-Downloader.JS.SWFlash.aj
14.htm_ - Trojan-Downloader.JS.Agent.dlx *
index.htm_ - Trojan-Downloader.JS.Iframe.agl
Muma_1.htm_ - Exploit.JS.Agent.abo
zuo.htm_ - Trojan-Downloader.JS.Iframe.agk
no.htm_ - Trojan-Downloader.JS.Agent.dlv
Ms06-014_1.htm_(TeamerBlog) - Trojan-Downloader.JS.Agent.dma

vir.exe, ffl.htm 2つ白
477名無しさん@お腹いっぱい。:2009/02/03(火) 22:15:56
>>464
AntiVir回答。
流石に検出名とか新種の数は書いてこなかった。その手間を他の検体の解析と対応に振り向けて下され>ベンダー担当者

We found some new viruses in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
478名無しさん@お腹いっぱい。:2009/02/04(水) 00:13:18
Rising 2009 21.24.10 (21.15.10.00)
>>363
a1.css>>fsg2.0: Trojan.DL.Win32.Mnless.cbt
play.scr>>1199.exe: Backdoor.Win32.PcClient.qyy
15+2個
>>413
a1.css>>fsg2.0: Dropper.Win32.Undef.oc
play\1199.exe: Backdoor.Win32.PcClient.qyy
play.scr>>1199.exe: Backdoor.Win32.PcClient.qyy
3/3
>>450
a1.css>>fsg2.0: a1.css>>fsg2.0
1/1

まだ春節モード
479名無しさん@お腹いっぱい。:2009/02/04(水) 00:22:03
>>464
Rising 2009
Files scanned: 157
Viruses found: 86
パッカー内検出もあるからファイル数はもう少し少ないと思われる
480470:2009/02/04(水) 01:42:35
>>464 カスペからの返事
97+20=117/126(うち3白)

Ms06-014_4.htm_ - Trojan-Downloader.JS.Agent.dmb (Teamerblogフォルダ)
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dmc
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dmd
FFISearch.htm, fc2.htm_ blog.htm,, play.htm_ - Trojan-Downloader.JS.Iframe.agm
office.htm_ - Trojan-Downloader.JS.Agent.dmg
ffl.html_ - Trojan-Downloader.JS.SWFlash.aj (←白から訂正)

flash(1).htm_- No malicious code was found in this file.

iff.swf - This file is corrupted.(破損)
481名無しさん@お腹いっぱい。:2009/02/04(水) 11:39:19
VirustotalにNorton2009の拡張ヒューリスティックが適用されたっぽい
これでVirustotalのSymantecはバージョンがかなり古いけどNorton2009のパルスアップデートと拡張ヒューリスティックが適用されて実機での結果とVirustotalの結果に違いはなくなるかも
あとはカスペ2009のヒューリスティックとPandaにCollective Intelligenceを適用させれば完璧なんだが・・・
PandaのことはMcAfeeのActiveProtectionがVirustotalにあるんだからできるはず
でもVirustotalは本当にわからんサイトだな・・・

785 名前:八頭 ◆YAGApwSaEw [sage] 投稿日:2009/02/03(火) 22:21:50
ttp://i40.tinypic.com/157f977.jpg
Suspicious.MH690 発動!
482470:2009/02/04(水) 14:39:32
>>464
カスペからの返事
97+22=119くらい/126でFA

Muma_3.htm_ - Exploit.JS.XMLPars.aa
jbbs578601.htm - Trojan.HTML.Agent.bj

flash.htm, l2.htm, ani.asp, fanity.htm, nify-demo.htm - No malicious code was found in this file.

fff.swf - This file is corrupted.(破損)
483名無しさん@お腹いっぱい。:2009/02/04(水) 22:57:33
>>464
 >465
 >ノートン
 >130個中、97個分がすぐに自動回答きました(15分割したうち4ファイル分は返答来ていません)
 > 47/90 既知のマルウェア
  (47/97の間違い)
 > 50/97 自動検出できず、手動解析に回す

追加でもう1ファイル分返答あり

ノートン
130個中、97個分がすぐに自動回答きました(15分割したうち3ファイル分は返答来ていません)
 47/106 既知のマルウェア
 59/106 自動検出できず、手動解析に回す
484名無しさん@お腹いっぱい。:2009/02/05(木) 00:14:24
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=217
virus

かぶってる気がするけどキニシナイ!
485名無しさん@お腹いっぱい。:2009/02/05(木) 00:29:57
>かぶってる気がするけど
それじゃこちらもとりあえず報告しますね
>>484
PandaGlobalProtection2009
ハッキングツールを検出 :Rootkit/Agent.LLE   UPK1.EXE、FSG350.EXE、FSG1.EXE
疑いのあるファイル    PETITE1.EXE

検出数4/5
486名無しさん@お腹いっぱい。:2009/02/05(木) 00:36:57
>>484
avast!4.8
fsg1.exe、fsg350.exe:Win32:Rootkit-gen [Rtk]
pcclient1.exe:Win32:Downloader-AZY [Trj]
petite1.exe\[Petite]\[Embedded_I#3000]\[Embedded_Ix#0230]\[NsPack]:Win32:Small-IHH [Trj]
upk1.exe\[Upack]\[Embedded_I#0d550]:Win32:Trojan-gen {Other}

AviraPemiumSecuritySuite
fsg1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
fsg350.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
petite1.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
upk1.exe
[DETECTION] Is the TR/Drop.Agent.agck Trojan
487名無しさん@お腹いっぱい。:2009/02/05(木) 00:40:40
>>484
NortonInternetSecurity2009

Suspicious.MH690:petite1.exe
Trojan.Dropper:fsg1.exe、fsg350.exe、upk1.exe

検出数4/5

VirustotalでSuspicious.MH690が出るかどうかも検証してみようと思います
それにしてもNortonのヒューリスティックは良くなってきた印象がありますね
488名無しさん@お腹いっぱい。:2009/02/05(木) 00:46:35
VirustotalでもSuspicious.MH690が表示されてますね
これでSymantecに関してはNorton2009とVirustotalの検出結果の違いはないと思います
あとはVirustotalと実機の結果が違うという現象があるベンダーはKasperskyとPandaだけになりましたね

ttp://www.virustotal.com/analisis/d72d7633b032979e999ea6dd8e3f13ba

ついでに他の結果も貼ります

ttp://www.virustotal.com/analisis/822989cdd49327ad69dcad4e7d59e246
ttp://www.virustotal.com/analisis/5309bda4fcc6fddc8102c433bed95264
ttp://www.virustotal.com/analisis/edcb143c4f44f7134d3da89420e77b74
ttp://www.virustotal.com/analisis/5f88a78ee2a781674812d0bd85543965
489名無しさん@お腹いっぱい。:2009/02/05(木) 00:56:37
>>484
d

カスペ2009 0:27:00
Detected virus HEUR:Trojan.Win32.AntiAV tane0217.zip/petite1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.agck tane0217.zip/upk1.exe
Detected Trojan program Backdoor.Win32.PcClient.acbn tane0217.zip/pcclient1.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aab tane0217.zip/fsg350.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aab tane0217.zip/fsg1.exe

HEUR:Trojan.Win32.AntiAVは初めて見た。AVKillerか?これだけ検体提出します。
490名無しさん@お腹いっぱい。:2009/02/05(木) 01:03:05
>HEUR:Trojan.Win32.AntiAVは初めて見た

2009ヒューリスティックで検出のようですね

それにしても>>488を見るとNOD32は本当にヒューリスティックが強力というかヒューリスティックに依存しすぎというか・・・
McAfeeやPandaはクラウドベースがなければ検出率がかなり低くなるけどNOD32もヒューリスティックなければ検出率がかなり低くなりますね・・・
491479:2009/02/05(木) 01:08:14
Rising 2009 21.24.20 (21.15.20.00)
>>260
fccaWpME.dll,
ssQggfGX.dll,
tuvtRjGw.dll,
urqQjGWn.dll: Trojan.Win32.Nodef.ash
4/6
>>464
86+14=100
492名無しさん@お腹いっぱい。:2009/02/05(木) 01:11:06
>>484
Rising 2009
fsg1.exe>>fsg2.0,
fsg350.exe>>fsg2.0,
upk1.exe>>upack0.39: Trojan.DL.Win32.Mnless.cbv
3/5
493名無しさん@お腹いっぱい。:2009/02/05(木) 01:11:07
ちょっと古い話

12/11提出分トレンドマイクロより
・12/12
 TROJ_SMALL.JCH
 HTML_WEBKIT.AC
 TROJ_REPL.BX
 JS_OBFUSCATED.AP
・02/05
 JS_IFRAME.AAQ

追加で検出した分も報告が来た…けど、幾等なんでも今頃追加の検出言ってこなくてもw
494名無しさん@お腹いっぱい。:2009/02/05(木) 01:27:54
>>493
BitDefenderとTrendMicroはそういうところおかしいよね
495489:2009/02/05(木) 01:51:09
>>484
カスペからの返事

petite1.exe - Worm.Win32.AutoRun.zii (← HEUR:Trojan.Win32.AntiAV)

New malicious software was found in this file.
496名無しさん@お腹いっぱい。:2009/02/05(木) 02:43:33
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=218
virus

各所のニュースサイトにバレンタインウィルスの警告記事が出ていたので検体を探してみました。
みんな画像マスクしてるのでなかなかアドレスがわかりませんでしたがようやくゲット。
検出率悪いので、各所に提出してきます。

検体入手元 : tp://expowale■com/love■exe

Virustotal結果
ttp://www.virustotal.com/analisis/a7bbc670bf325cbefd01228eb2c7c943 (8/39)
497名無しさん@お腹いっぱい。:2009/02/05(木) 02:53:05
検体提出しようと、各ベンダーの検出名を拾ってたら…警告記事の元になってるMcAfeeがスルーしてるのはなんでだー(笑)

AntiVir       : Worm/Zhelatin.N
AVG        : SHeur2.OOA
CAT-QuickHeal : (Suspicious) - DNAScan
F-Secure     : Trojan:W32/Waledac.BL
Kaspersky     : Email-Worm.Win32.Iksmas.ed
NOD32       : Win32/Waledac.AM
SecureWeb-Gateway : Worm.Zhelatin.N
Sophos      : Troj/Dloadr-CGD
498名無しさん@お腹いっぱい。:2009/02/05(木) 03:13:53
>>496-497
自動返答によると、拡張検出でMcAfee 対応してたっぽい。
画像をクリックするとexe落としてくるだけなので、htmが未検出なのは正常だと思う。

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
expowale.com.htm |inconclusive | | |no
love.exe |new detection |generic downloader.z |Trojan |yes
499名無しさん@お腹いっぱい。:2009/02/05(木) 03:20:52
>>496
McAfeeに提出させて頂ました。
500名無しさん@お腹いっぱい。:2009/02/05(木) 10:06:03
>>496
SymatencとPandaに提出しました

・・・なんだけどどうも最近Pandaの調子が良くない
検体提出してるのに一向に対応する気配もCollective Intelligenceによるヒューリスティックで検出する気配も感じられない

Pandaの鯖がおかしいのかな
501名無しさん@お腹いっぱい。:2009/02/05(木) 10:20:15
そういや、ESETも返事よこさないように戻った気がする。

>>496
カスペ返答
love.exe_ - Email-Worm.Win32.Iksmas.ed
502名無しさん@お腹いっぱい。:2009/02/05(木) 10:23:24
あとPanda検疫からの検体提出ができなくなってるから確実にPanda側に問題あるだろうねこれは
Panda検疫から提出しようとすると必ず提出失敗しましたと表示されるのが最近のPanda

あとアップデートできなかった時もあったから仕方なくPandaのサイトから手動でアップデートしたこともあった
503名無しさん@お腹いっぱい。:2009/02/05(木) 12:39:59
>>490
Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる。

NOD32はプロファイルに検査方法や検査対象を登録しておき、
そのプロファイルを指定してスケジュールを組むことが出来る。
プロファイルも自由に複数作成出来るから目的に応じた運用が可能だ。
例えば、書庫類等は検査済みフォルダと検査前フォルダを作成しておき、
検査前フォルダ内の書庫だけを定期的に高速検査するというような運用も行える。
他のAVだと書庫を対象とするか否かの2択しかないものが多く、ムダに時間が掛かる検査となり効率が悪い。
一度検査し安全が確かめられれば検査済みフォルダに移し、
検査済みフォルダの再検査は数か月に一度程度に減らすことで処理効率を上げるというような運用が他のAVでは難しい。
細かな設定をすることでNOD32は処理効率の良い運用が可能になっている。

NOD32は機関や企業や有名人等 狙われやすい人ほど役立つAV
一般人でもそのウイルス全体の70%を占める未知ウイルスから狙われることもある。
そこがESSのセールスポイント

未知ウイルスへの対応度 = ハッキングに対する対応度


ここにNOD32が研究機関や公的機関で主に採用されている理由がある。
504名無しさん@お腹いっぱい。:2009/02/05(木) 14:14:21
雑音のコピペ
>Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
>これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
>このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
>亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
>そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる

>アンパッカー技術
Packers support test
ttp://www.anti-malware-test.com/?q=node/19
金賞 F-Secure
金賞 Kaspersky
銀賞 BitDefender
銀賞 Dr.WEB
銅賞 NOD32

>ヒューリスティックエンジン
ブロードバンド推進協議会(BBA)セキュリティ専門部会長
「中には、ヒューリステックに頼りすぎて、
 ウイルスの検体を集めず、
 ちゃんとシグネチャを作らないところもある」
ttp://internet.watch.impress.co.jp/cda/event/2007/02/26/14890.html
ttp://internet.watch.impress.co.jp/cda/static/image/2007/02/26/aogc7.jpg
505名無しさん@お腹いっぱい。:2009/02/05(木) 14:15:18
違うとこでやってください
506名無しさん@お腹いっぱい。:2009/02/05(木) 19:36:52
>>496
Symantecから

filename: love.exe
machine: Machine
result: This file is detected as W32.Waledac.

filename: expowale.com.htm
machine: Machine
result: See the developer notes
507名無しさん@お腹いっぱい。:2009/02/05(木) 19:45:37
>>484
PandaGlobalProtection2009

pcclient1.exeを疑わしいファイルとして検出(Collective Intelligenceによる検出)

VirustotalでのSymantecがSuspicious.MH690検出結果表示出るようになったけどそれと同時にNorton2009で常駐スキャンでSuspicious.MH690が検出されるようになった(それまでは手動スキャンじゃなければ検出できなかった)

Pandaも常駐スキャン時でもCollective Intelligence検出が可能になればVirustotalでも反映されるんじゃないかと思う
それにPanda自身の検出率が大幅に上がるしね(その代り誤検出が増えそうな予感)
508名無しさん@お腹いっぱい。:2009/02/05(木) 23:41:44
NOD32 定義3829

>>484
4/5
fsg1.exe Win32/Genetikの亜種である可能性
fsg350.exe Win32/Genetikの亜種である可能性
petite1.exe Win32/TrojanDownloader.Agent.OMQの亜種
upk1.exe Win32/Genetikの亜種である可能性
>>490の言う通り、アドバンスドヒューステリック検出ばかりだな・・・。
検出できなかった検体は返事が来るか確かめるため(笑) メールでEsetに提出

1/1
love.exe Win32/Waledac.AM トロイの木馬
509名無しさん@お腹いっぱい。:2009/02/05(木) 23:44:27
>>508 です。

>love.exe Win32/Waledac.AM トロイの木馬
書き忘れました・・・。>>486 の検査結果です。

510名無しさん@お腹いっぱい。:2009/02/05(木) 23:50:11
>>508
ヒューステリックだけど
アドバンスドヒューステリックではない
511名無しさん@お腹いっぱい。:2009/02/05(木) 23:51:20
なんだよヒューステリックじゃないよ

訂正
ヒューリスティックだけど
アドバンスヒューリスティックじゃないよ
512名無しさん@お腹いっぱい。:2009/02/06(金) 00:17:52
ところで、検体は今日は3時以来ないね。
できれば、一括せず。こまめに出してほしいです。><
20個くらいが限界。50〜100個を超えると辛い。

余談
VTのHispasec Sistemasってスペインの企業っぽいね。
Pandaとは一番話が通じそうなもんだけど。
513名無しさん@お腹いっぱい。:2009/02/06(金) 00:26:10
>>510
え?「○○の亜種」はアドヴァンスドヒューリスティックでしょ
これが違うんだったらキヤノンのウイルス情報に書いてあることは間違いだってこと?
514名無しさん@お腹いっぱい。:2009/02/06(金) 00:31:12
>>512
Virustotalもスペインの企業っぽいどころかスペインの企業

ただPandaのVirustotalの検出結果の不思議な現象はまずはPandaのクラウドベースが常駐スキャンでも検出できるようにならなきゃVirustotalに反映されないと思う
Norton2009の拡張ヒューリスティックがその例だからね
515名無しさん@お腹いっぱい。:2009/02/06(金) 00:43:33
>>513
書いてないだろ
516名無しさん@お腹いっぱい。:2009/02/06(金) 03:13:20
517名無しさん@お腹いっぱい。:2009/02/06(金) 07:38:37
518名無しさん@お腹いっぱい。:2009/02/06(金) 08:46:12
>>517
全てvirustotalにおくったがそれぞれのURLを書いたエディタがフリーズしてしまったのでご容赦下さい。
519名無しさん@お腹いっぱい。:2009/02/06(金) 09:41:42
>>516
McAfee

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
hbsj5j5j5.exe |inconclusive | | |no
online.scr |inconclusive | | |no
520名無しさん@お腹いっぱい。:2009/02/06(金) 09:54:52
>>515
http://canon-its.jp/product/nd/virusinfo/vr_win32_conficker_a.html
アドバンスドヒューリスティック検査による結果だった場合:このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Conficker ワームの亜種」という名称で警告が出ます。

はい、反論どうぞ
521名無しさん@お腹いっぱい。:2009/02/06(金) 10:02:27
>>516
PandaGlobalProtection2009
二つとも疑わしいファイルとして検出
522名無しさん@お腹いっぱい。:2009/02/06(金) 10:14:33
>>517
PandaGlobalProtection2009

ウイルス発見 : Trj/CI.A     sx.exe、hgz.exe
ウイルス発見 : Generic Malware   ns.exe、nsis6.exe[cpush.tmp]
ウイルス発見 : Generic Trojan   nsis2.exe[2OC\139.exe][2eC]
アドウェアを検出 : Adware/BaiduBar   nsis2.exe[2OC\139.exe]
疑いのあるファイル UPK15.EXE、UPK1.EXE、PETITE1.EXE、PETITE2.EXE、upk0.exe、unknown9.exe、pcclient1.exe
523名無しさん@お腹いっぱい。:2009/02/06(金) 10:25:54
>>516
Norton
filename: Online.scr
result: This file is detected as Backdoor.Formador. http://www.symantec.com/avcenter/venc/data/backdoor.formador.html

filename: hbsj5j5j5.exe
result: 手動解析に回す
524名無しさん@お腹いっぱい。:2009/02/06(金) 10:28:31
>>517
avast!4.8
hgz.exe:Win32:Hupigon-LUP [Trj]
ns.exe\[ASPack]\[Embedded_I#0d384]:Win32:Rootkit-gen [Rtk]
ns.exe\[Embedded_R#MYDLL]\[PECompact]:Win32:Ceckno [Trj]
nsis2.exe\$TEMP\$TEMP\139.exe\$[35]\$R0:Win32:Adware-gen [Adw]
nsis6.exe\$COMMONFILES\PushWare\cpush.dll:Win32:BHO-GG [Adw]
pcclient1.exe:Win32:Downloader-AZY [Trj]
petite1.exe\[Petite]\[Embedded_Ix#7280]:petite1.exe\[Petite]\[Embedded_Ix#7280]
petite2.exe\[Petite]\[Embedded_Ix#7280]:Win32:Rootkit-gen [Rtk]
sx.exe:Win32:Hupigon-LUP [Trj]
upk0.exe\[Upack]\[Embedded_Ix#056ac]\[Upack]\[Embedded_Ix#3000]:Win32:Trojan-gen {Other}
upk1.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
upk15.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
525名無しさん@お腹いっぱい。:2009/02/06(金) 10:33:05
>>517
AviraPremiumSecuritySuite

hgz.exe [DETECTION] Contains a recognition pattern of the (harmful) BDS/Hupigon.Gen back-door program
ns.exe
[0] Archive type: RSRC
--> Object
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Backdoor.Gen back-door program
nsis2.exe [DETECTION] Contains recognition pattern of the ADSPY/AdMedia.ED.227 adware or spyware
nsis6.exe
[0] Archive type: NSIS
--> SOFTWARE/MicroPlugins/Common/cpush.dll
[DETECTION] Contains recognition pattern of the ADSPY/Bho.fhg adware or spyware
--> SOFTWARE/MicroPlugins/Common/cpush.tmp
[DETECTION] Contains recognition pattern of the ADSPY/Bho.fhg adware or spyware
[DETECTION] Contains recognition pattern of the DR/BHO.fhg.2 dropper
pcclient1.exe [DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
petite1.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
petite2.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
sx.exe [DETECTION] Is the TR/Crypt.CFI.Gen Trojan
unknown9.exe [DETECTION] Is the TR/Crypt.GQ.54 Trojan
upk0.exe [DETECTION] Is the TR/Crypt.XDR.Gen Trojan
upk1.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
upk15.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
526名無しさん@お腹いっぱい。:2009/02/06(金) 10:33:38
>>517
AntiVirFree(11/12)

hgz.exe : (harmful) BDS/Hupigon.Gen back-door program
ns.exe : (harmful) BDS/Backdoor.Gen back-door program
nsis2.exe :
nsis6.exe : DR/BHO.fhg.2 dropper
pcclient1.exe : DR/PcClient.Gen dropper
petite1.exe : TR/Crypt.XPACK.Gen Trojan
petite2.exe : TR/Crypt.XPACK.Gen Trojan
sx.exe : TR/Crypt.CFI.Gen Trojan
unknown9.exe : HEUR/Crypted suspicious code
upk0.exe : TR/Crypt.XDR.Gen Trojan
upk1.exe : TR/ATRAPS.Gen Trojan
upk15.exe : TR/ATRAPS.Gen Trojan

検体提出してきます。
527名無しさん@お腹いっぱい。:2009/02/06(金) 10:37:43
>>517
珍しく(?)全検出。

BitDefender Free Edition v10(12/12)

hgz.exe : Trojan.Delf.Inject.Z
ns.exe : Trojan.Agent.Delf.GY
nsis2.exe : DeepScan:Generic.Adw.Cinmus.2.E8144529
nsis6.exe : Dropped:Adware.Sogou.Gen
pcclient1.exe : Backdoor.PCClient.TCH
petite1.exe : Dropped:Generic.Malware.SP!VdldPk!g.C118E1D6
petite2.exe : Dropped:Generic.Malware.SP!VdldPk!g.C118E1D6
sx.exe : Trojan.Delf.Inject.Z
unknown9.exe : Trojan.Crypt.GQ
upk0.exe : Dropped:Generic.Malware.sp!.F5A1E2B5
upk1.exe : Generic.Malware.SP!dldspg.14F7E837
upk15.exe : Generic.Malware.SP!dldspg.BDA7BD37
528名無しさん@お腹いっぱい。:2009/02/06(金) 10:39:45
>>517
NortonInternetSecurity2009

Adware.CPush:nsis6.exe
W32.SillyFDC:sx.exe
Trojan.Dropper:upk1.exe、upk15.exe
Trojan.Cinmeng:nsis2.exe
Suspicious.MH690:hgz.exe、ns.exe、petite1.exe
Packed.Generic.181:unknown9.exe
Downloader:upk0.exe

Nortonもヒューリスティックが強力になってきた印象があるな
529名無しさん@お腹いっぱい。:2009/02/06(金) 10:43:25
>>526
検体提出してもAntiVirフリーならnsis2.exeは検出できないよ>>525を注目
530名無しさん@お腹いっぱい。:2009/02/06(金) 10:48:38
>>517
Norton2009がスルーした分は提出しました
今確認したらAntiVirとavast!とPandaは全検出してるようなのでこちらは何もしません
531名無しさん@お腹いっぱい。:2009/02/06(金) 10:56:29
Rising 2009 21.24.30 (21.15.30.00)
>>260
gEWoPfgd.dll: Trojan.Win32.VUNDO.clo
4+1=5/6
>>484
pcclient1.exe: Backdoor.Win32.PcClient.qzu
petite1.exe>>petite2x: Worm.Win32.Undef.df
3+2=5/5
>>496
スルー
>>516
Online\hbsj5j5j5.exe: Backdoor.Win32.PcClient.qzu
Online.scr>>hbsj5j5j5.exe: Backdoor.Win32.PcClient.qzu
2/2
>>517
ns.exe>>MYDLL: Backdoor.Win32.PcClient.qzq
nsis2.exe>>$TEMP\$TEMP\139.exe>>$[35]\$R0: AdWare.Win32.Undef.ejw
\nsis6.exe>>$COMMONFILES\PushWare\cpush.tmp: AdWare.Win32.Cpush.cl
pcclient1.exe: Backdoor.Win32.PcClient.qzu
petite1-2.exe>>petite2x: Worm.Win32.Undef.df
sx.exe: Backdoor.Win32.ShangXing.tw
unknown9.exe>>nspack: Packer.Win32.Agent.aa
upk0.exe>>upack0.34: Trojan.Win32.Agent.zri
9/12
532名無しさん@お腹いっぱい。:2009/02/06(金) 11:09:26
>>524報告ミスで訂正orz

× petite1.exe\[Petite]\[Embedded_Ix#7280]:petite1.exe\[Petite]\[Embedded_Ix#7280]

○ petite1.exe.VIR\[Petite]\[Embedded_Ix#7280]:Win32:Rootkit-gen [Rtk]

ですorz
533名無しさん@お腹いっぱい。:2009/02/06(金) 11:10:29
カスペ2009 10:35:00
>>516,517 d

>>516 2/2 VT通り(>>516)

>>517 12/12
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.upwc   unknown9.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.agnd   upk1.exe, upk15.exe
Detected Trojan program Backdoor.Win32.Hupigon.fwcs   hgz.exe
Detected Trojan program Backdoor.Win32.PcClient.acgn   pcclient1.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bgol   upk0.exe
Detected Trojan program Trojan.Win32.Agent2.csb   ns.exe
Detected virus Worm.Win32.AutoRun.zjp   petite2.exe
Detected virus Worm.Win32.AutoRun.zjm   petite1.exe
Detected adware not-a-virus:AdWare.Win32.AdMedia.ed   nsis2.exe
Detected adware not-a-virus:AdWare.Win32.BHO.fhg   nsis6.exe
534名無しさん@お腹いっぱい。:2009/02/06(金) 11:32:18
>>529
ああ、スパイウェア扱いか。納得。

>>516 >>517
たまにはNormanにも送ってみた。
ノーマン検出結果 (1/2),(10/12)

*online.scr : Not detected by Sandbox (Signature: NO_VIRUS)
hbsj5j5j5.exe : W32/Malware (Signature: NO_VIRUS)

*hgz.exe : Not detected by Sandbox (Signature: NO_VIRUS)
ns.exe : W32/Malware (Signature: NO_VIRUS)
nsis2.exe : Not detected by Sandbox (Signature: AdMedia.ACH.)
nsis6.exe : W32/NetworkWorm (Signature: NO_VIRUS)
pcclient1.exe : W32/Malware (Signature: NO_VIRUS)
petite1.exe : W32/Malware (Signature: NO_VIRUS)
petite2.exe : W32/Malware (Signature: NO_VIRUS)
*sx.exe : Not detected by Sandbox (Signature: NO_VIRUS)
unknown9.exe : W32/FileInfector (Signature: W32/Packed_NsPack)
upk0.exe :W32/Malware (Signature: W32/Packed_Upack.H.)
upk1.exe : W32/Malware (Signature: W32/Packed_Upack.H.)
upk15.exe : W32/Malware (Signature: W32/Packed_Upack.H.)
535名無しさん@お腹いっぱい。:2009/02/06(金) 11:39:37
そうそう、先日Fortinetから、助かってるが報告が随分多いようだ、あんたは何者だという質問が来た。
それに応じて適切な回答をするってことだったので、2番目を選んでみた。コレクターではないが趣味だし。
 >- current customer testing our product services
 >- hobbyist for malware collections
 >- malware researcher
もしかすると、検出名の回答が来なくなったかもしれないけど気にしない。
536名無しさん@お腹いっぱい。:2009/02/06(金) 16:03:48
>>535
そんなメールがくるのかw
俺は無いけれど
1番目が無難なような…。

それか、
No, No, I'm just a developer of malwares. ha ha ha.
537名無しさん@お腹いっぱい。:2009/02/06(金) 16:12:11
Fortinet使ってないのに1番目はまずいべ。
似たようなメールはMicrosoft(MMPC)から来たことならある。
その時の質問はこれ。
1. How do you collect samples?
2. What regions the samples were collected from?
3. What are the indications that these samples may be malicious or potentially unwanted software?
4. Are you planning to share samples on an ongoing basis?
5. What’s the expected volume?
6. Would you like to receive automated response emails from our systems when you submit samples?
面倒なのでシカトしたけど。
538名無しさん@お腹いっぱい。:2009/02/06(金) 16:30:54
ここにいる奴らは海外ブロクから取ってきてるんだけど
海外の人たちは検体提出とかあんましてないきがする。
539名無しさん@お腹いっぱい。:2009/02/06(金) 16:34:24
ほほー、ベンダーによっちゃそんなこと訊かれるんか
540名無しさん@お腹いっぱい。:2009/02/06(金) 16:38:49
各ベンダーはどれだけ検体を入手してるんだろうね?

http://www.pandasoftware.jp/scan/index.html#AS3
によるとPandaは毎日15000個、Symantecは1500個らしい
同じクラウドベースを搭載してかつウイルス解析規模が大きいMcAfeeもかなりの検体を入手してると思うけどどうなんだろ?
トレンドマイクロやKaspersky、ESETはどれだけの検体を入手してるのかな?
541名無しさん@お腹いっぱい。:2009/02/06(金) 17:40:20
542名無しさん@お腹いっぱい。:2009/02/06(金) 17:51:15
>>3
543名無しさん@お腹いっぱい。:2009/02/06(金) 18:31:05
446 名前: すずめちゃん(栃木県) メール:sage 投稿日:2009/02/06(金) 18:29:10.73 ID:dEC1BVvL
ウイルス倉庫
http://www2.cyberoz.net/city/novice/virus.html

ウイルスがみかん狩りのように取れるぞ
544名無しさん@お腹いっぱい。:2009/02/06(金) 18:59:28
>>517
NOD32 v3.0 定義3832で全検出(定義3831ではpcclient1.exeを検出漏れ)
hgz.exe Win32/GreyBird トロイの木馬
ns.exe Win32/Spy.Agent.NLR トロイの木馬
nsis2.exe Win32/Adware.Cinmusの亜種である可能性 アプリケーション
nsis6.exe Win32/Adware.Cinmusの亜種 アプリケーション
petite1.exe Win32/Genetikの亜種である可能性 トロイの木馬
petite2.exe Win32/Genetikの亜種である可能性 トロイの木馬
sx.exe Win32/Hupigon トロイの木馬
unknown9.exe Win32/HackTool.Xarpの亜種 トロイの木馬
upk0.exe Win32/Delf.NNMの亜種である可能性 トロイの木馬
upk1.exe Win32/AutoRun.Delf.AKの亜種 ワーム
upk15.exe Win32/AutoRun.Delf.AKの亜種 ワーム
pcclient1.exe Win32/PcClientの亜種 トロイの木馬


>>484で検出漏れしていた pcclient1.exeは検出可能に。(Win32/PcClient.NCT トロイの木馬)
メールで検体提出したのでその返事も来ていました。解析者とか、忙しさによって対応にムラがあるのかも。
545名無しさん@お腹いっぱい。:2009/02/06(金) 19:07:37
>>517
NortonInternetSecurity2009追加検出+1

W32.Almanahe.B:petite2.exe

11/12
546名無しさん@お腹いっぱい。:2009/02/06(金) 19:10:47
それにしてもNOD32のヒューリスティックは異常だな・・・

でも最近になってやたらとNOD32のヒューリスティック検出が光ってる印象があるから(それまではNOD32の検出率自体がダメダメだったからね)アドバンスドヒューリスティックエンジンに改良を加えたのかな?
アドバンスドヒューリスティックで検出できる範囲が広がったりとか
547名無しさん@お腹いっぱい。:2009/02/06(金) 19:43:21
>>543
ν速の、「だが最強はavastだよな」スレか
http://tsushima.2ch.net/test/read.cgi/news/1233873752/

鑑定かもしれないし、直リンって
みかん狩りはν速民にお任せして様子見
548名無しさん@お腹いっぱい。:2009/02/06(金) 19:55:59
>>543
そこ古いのばっかだよ。
ページの最終更新が去年の10月な時点でお察し。
549名無しさん@お腹いっぱい。:2009/02/06(金) 20:19:51
>>536
ちょwwwそれはないwww

>>539
普通のペースで出してたら来ないと思うよ。

数日おきに投稿して、ダウンローダを呼びだすhtmlを含めて130ファイル入った奴(>>363)とか
投げた後だったから担当者がうんざりするのも当然かと。投げるほうもうんざりした位だし。

投げた後の検体(パス付きアーカイブ)を置いてるフォルダの容量見たら280MB越えてた。
自覚はないけど、コレクターだったのかもしれない(苦笑)
550名無しさん@お腹いっぱい。:2009/02/06(金) 22:59:25
Rising 2009 21.24.40 (21.15.40.00)
>>122
webcc1.exe: Trojan.Win32.Nodef.awz
5+1=6/6
>>202
a\antivirus.v.1.0.exe: Trojan.Win32.Nodef.ayg
4+1=5/12
>>333
0\tubeviewersetup.exe: Trojan.Win32.Nodef.azq
3\antivirus.v.1.exe: Trojan.Win32.Nodef.aye
6\load.exe: Trojan.Win32.Nodef.ayh
1+3=4/12
>>390
4b3e8d9c0o7a1p5n6i0g7m.exe: Trojan.Win32.Nodef.azl
1/1
>>517
upk1.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bha
upk15.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bha
9+2=11/12
551名無しさん@お腹いっぱい。:2009/02/07(土) 00:47:33
>>546
各コンポーネントは適宜アップデートはされている様子です。
ウイルス・スパイウェア対策検査機能:1179(20090204)
アドバンスド ヒューステリック機能:1088(20090205)
とか、バージョン情報がありました。

検出率調査での沈み具合や、Esetスレの荒れっぷりに泣いたりしたけど
使っている範囲では対応速度もまずまず及第点かなと思いつつあります。

しかし、「このスレ的には」好調だけどav-testの検出率はいまいちな点が気になる。
552名無しさん@お腹いっぱい。:2009/02/07(土) 01:04:02
>av-testの検出率はいまいちな点が気になる。

あれはデフォ設定でテストしてるのでは?
NOD32の場合はデフォ設定ならアドバンスドヒューリスティックはチェックされてないはず
同様にNorton2009とAntiVirもヒューリスティック感度設定が標準設定だしPandaに至ってはデフォ時ではヒューリスティックが外れてる
が、カスペのデフォ時のヒューリスティック感度は低いはずだけどAV-Testでは成績が良い、これはきっとシグネチャ重視のカスペだからでしょう
ESETの場合はヒューリスティックに大きく依存してるのにデフォ時ではアドバンスドヒューリスティックが外れてるからね・・・

ただESET、Symantec、McAee、Pandaはかなりよくなってるし今後も注目したいベンダーだけどまだまだ油断できず様子見な状態ですね
今後またダメダメになる可能性も無きにしも非ずだし
553名無しさん@お腹いっぱい。:2009/02/07(土) 10:10:05
勢力のある攻撃側に徹底マークされると、一時的に成績は落ちるし、
開発チームがごたごたしてると、やっぱり一時的に成績は落ちる
長い目では、成績は浮沈するもので、そこらへんにもこのスレの意義がある

うん。あたりまえだな。あたりまえのことを再認識したな
554名無しさん@お腹いっぱい。:2009/02/07(土) 10:41:10
>>553
>開発チームがごたごたしてると、やっぱり一時的に成績は落ちる

となると今はBitDefenderがダメダメなんだろうね
検体提出しても対応が遅すぎたりとBitDefenderの解析チームがごたごたしてるのかも
555名無しさん@お腹いっぱい。:2009/02/07(土) 14:32:04
556名無しさん@お腹いっぱい。:2009/02/07(土) 16:51:52
>>555
グロ画像が大量に入ってる
557名無しさん@お腹いっぱい。:2009/02/07(土) 18:11:40
http://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=221
key:virus

ドキュメントからマルチメディアから全部消された
558557:2009/02/07(土) 18:12:43
zipのパスワードは "123" です。
559名無しさん@お腹いっぱい。:2009/02/07(土) 18:23:00
560名無しさん@お腹いっぱい。:2009/02/07(土) 18:49:37
>>557
AntiVirもavast!もPandaもESETもスルー
Nortonはまだスキャンしてないけど恐らくスルーでしょう

※ 仮想環境を利用してESET(英語版)を始めました
561名無しさん@お腹いっぱい。:2009/02/07(土) 18:57:18
>>557
カスペ2009もスルー
送信済み。
562名無しさん@お腹いっぱい。:2009/02/07(土) 18:59:40
.NETだね
単に削除するだけだろ
こういうのはマルウェア判定難しいよな
単純だけど強力
563名無しさん@お腹いっぱい。:2009/02/07(土) 19:01:56
564名無しさん@お腹いっぱい。:2009/02/07(土) 19:06:20
実行すると検出するのはあるかもね
こういうのはHIPSで対応するしかないのか
まあ実行しちゃうのが悪いんだけど
565名無しさん@お腹いっぱい。:2009/02/07(土) 19:06:22
del *.* みたいなのはダウソ板でやれよ
566名無しさん@お腹いっぱい。:2009/02/07(土) 19:13:53
.NET Framework 1.1じゃね。
ファイルを復元できないようにする合法的な消去ファイルもあるくらいだから、判定難しいね。
タイムスタンプ見ると、生後2週間か?
見つからないものかね。
567名無しさん@お腹いっぱい。:2009/02/07(土) 19:14:41
>>557
McAfeeに提出させて頂ました。
568名無しさん@お腹いっぱい。:2009/02/07(土) 23:01:54
>>557

未だにVT反応なし。
これ、ファイル名は"keygen.xe"だが、ひょっとして、>>3の鑑定厨に悪用された?
「ドキュメントからマルチメディアから全部消された」は嘘?

疑念が…。
569名無しさん@お腹いっぱい。:2009/02/07(土) 23:08:46
>>555
>>559
はそういう目的かもね
570名無しさん@お腹いっぱい。:2009/02/07(土) 23:09:03
>>568
鑑定かどうかは仮想環境で確かめた方がいいのかも
でもそれじゃ鑑定厨の思う壺だな
571名無しさん@お腹いっぱい。:2009/02/07(土) 23:36:03
今試したらkeygenはシステムファイルを削除するね
572名無しさん@お腹いっぱい。:2009/02/08(日) 17:58:36
573名無しさん@お腹いっぱい。:2009/02/08(日) 18:07:03
こいつVirustotalで検出されなきゃ問題ないと思ってるのかな
574名無しさん@お腹いっぱい。:2009/02/08(日) 18:19:43
echo y | del %systemroot%*.*
みたいなbatも検知すべきなのか?
575名無しさん@お腹いっぱい。:2009/02/08(日) 18:20:38
検知すべきかどうかは知らないが
悪意があればマルウェアだろうね
凶悪な
576名無しさん@お腹いっぱい。:2009/02/08(日) 18:52:45
>>572
同意。
全員だまされたような気がする。
検定提出して、どのベンダーも丸1日返事なし。

結局、P2Pで、キージェネ拾ったけれど、自分の手を汚すのはいやだから、念のために、有害なコードが含まれていないかどうか
セキュ板の提出厨に提出して確認してもらいたいだけ。

で、最後の言葉は「あざーすwww」

定期的に見かける。
577名無しさん@お腹いっぱい。:2009/02/08(日) 18:53:19
おいおい
ふざけるなよ
ちゃんと検証して書いたんだよ
578名無しさん@お腹いっぱい。:2009/02/08(日) 18:54:13
ここはVirustotalでしか判断できないレベルなのは分かった
579名無しさん@お腹いっぱい。:2009/02/08(日) 19:00:16
カスペ返答。keygen.は危険ファイルではないということらしい。
 既出アドレスで更新されたplay.scr(危険ファイルの1199.exe入ってんだけど)を送ったんだが、
 こっちがクリーンって判断のほうが気になる。

Hello,
1199.exe_
 This file is corrupted.
flsp.exe_ - Trojan-Dropper.Win32.Agent.zmr
 This file is already detected. Please update your antivirus bases.
keygen.exe_, keygen.exe_0, play.scr_
 No malicious code were found in these files.
580名無しさん@お腹いっぱい。:2009/02/08(日) 19:04:04
一応、提出したファイル。2/8にファイルが更新されてるの再入手して各社に提出した。
カスペはこいつをスルーか…うーむ。

tp://www■wokutonoken-online■com/blog/play■scr

ttp://www.virustotal.com/analisis/045416cbf9b32f7af26de308e3eb0d87 play.scr(21/39)
ttp://www.virustotal.com/analisis/3102838ffd3427fb62ae206bcf172417 1199.exe(18/39)
581名無しさん@お腹いっぱい。:2009/02/08(日) 19:04:37
だから、ただのkeygen.exeだよw
582名無しさん@お腹いっぱい。:2009/02/08(日) 19:08:27
じゃあ実行してみろよw
583名無しさん@お腹いっぱい。:2009/02/08(日) 19:09:03
>>574
カスぺ アナリスト
場合のよりけりじゃね。下記では、KillFilesでBAT検出しているみたい。

2007/12
Smallest malicious program.(一番小さなマルウェア)

Trojan.BAT.KillFiles.gm took the lead in this category in the first month of winter - weighing in at all of just 12 bytes, it can nevertheless wipe the C: drive clean
一番小さかった有害プログラム。Trojan BAT.KillFiles (BATファイル) -12バイトだが、Cドライブをクリーンにするトロイ。

http://www.viruslist.com/en/weblog?weblogid=208187476

2008/10
In spite of being a mere 20 bytes in size, Trojan.BAT.KillAll.an is able to delete all files from disk.

これもBATファイル。20バイトながら、ディスクからすべてのファイルを消去するトロイ。
http://www.viruslist.com/en/weblog?weblogid=208187608 (2008/10)

>>579
1199.exe_
 This file is corrupted.

破損している。
元々破損。or送ったとき破損発生。
584名無しさん@お腹いっぱい。:2009/02/08(日) 19:10:07
まあ実行したところで
ここにいる人たちなら被害は受けないと思うけどね
585名無しさん@お腹いっぱい。:2009/02/08(日) 19:10:17
>>578
検出したらVTに即時反映されるだけだろ。池沼乙。
586名無しさん@お腹いっぱい。:2009/02/08(日) 19:11:40
>>585
ほんと低レベルなんだな
あきれた
587名無しさん@お腹いっぱい。:2009/02/08(日) 19:12:00
>>586
割れ厨乙
588名無しさん@お腹いっぱい。:2009/02/08(日) 19:13:02
だから実行してみろよ
おまえらなら問題ないって
検証もせずに阿呆な攻撃しないでくれ
589名無しさん@お腹いっぱい。:2009/02/08(日) 19:13:47
ちなみに.NET2が必要
590名無しさん@お腹いっぱい。:2009/02/08(日) 19:14:32
こいつら低レベルだから実行しない方が良いよ
マジで
591名無しさん@お腹いっぱい。:2009/02/08(日) 19:20:44
>>586をスレ情報とアップローダ情報付けて、BSA(ビジネスソフトウェアアシュアランス)かACCS(コンピュータソフトウェア著作権協会)に通報すればいいじゃん。
海賊版ソフトウェアの取り締まりをしている機関ね。

BSA
http://www.bsa.or.jp/index.html

違法告発.com
http://www.145982.com/index.html

ACCS
http://www2.accsjp.or.jp/

罰金最高3億円
592名無しさん@お腹いっぱい。:2009/02/08(日) 19:23:18
俺は検証しただけなのにひどいねえ
ちなみに俺はそのkeygenをマルウェアに認定するわ
カスペを信じる人は実行してひどい目を見ないように祈るよ
593名無しさん@お腹いっぱい。:2009/02/08(日) 19:28:33
ACCSには下記フォームから通報した。>>557

https://www2.accsjp.or.jp/cgi-bin/piracy/piracy.cgi

あとしらね。
594名無しさん@お腹いっぱい。:2009/02/08(日) 19:37:38
>>593
匿名でもできるんだ。便利だね。
マルウェアの該否はともかく、ファイル名からして"keygen.exe"などうpする方が悪い。
>>557は恥を知れ。
595名無しさん@お腹いっぱい。:2009/02/08(日) 19:37:55
そいつもマルウェア報告しただけだろ
このスレ変なやつが紛れ込んでるなあ
596名無しさん@お腹いっぱい。:2009/02/08(日) 19:40:38
だいたいkeygen.exeなら他の報告でも上がってるだろ
なんでその報告だけ目の敵のように扱うのかねえ
597名無しさん@お腹いっぱい。:2009/02/08(日) 20:37:27
そのkeygen.exeで消されるのは
System32内のファイル
ドキュメントフォルダ内のファイル
プログラムメニュー内の一部のファイル
かな
598名無しさん@お腹いっぱい。:2009/02/08(日) 20:42:47
常識的なことだけど
ドキュメントフォルダはレジストリから読み取れないところの方が安全ってことだね
599名無しさん@お腹いっぱい。:2009/02/08(日) 21:02:54
物凄く特徴的な文章で一人が多数を演じているな
一番スレでやれ
600名無しさん@お腹いっぱい。:2009/02/08(日) 21:06:31
演じてるとか何言ってんだよ
頭おかしいのか
601名無しさん@お腹いっぱい。:2009/02/08(日) 21:53:03
>>2
>・淡々とやれ淡々と!
> 淡々と貼り、淡々といきましょう。
>
>・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
>
>・あらしはスルー。ソフトの優劣の議論は別スレで!(下記スレなど)
>
>一番いいセキュリティソフトはなんだ!!Part60
>ttp://pc11.2ch.net/test/read.cgi/sec/1227491237/
602名無しさん@お腹いっぱい。:2009/02/08(日) 22:12:31
システムファイルを削除する(悪意の?いたずらの?)プログラムを
どう扱うかおもしろい例なんだけどね
なぜか無害と思いたい人がいるようだけど
603名無しさん@お腹いっぱい。:2009/02/08(日) 23:56:05
各ベンダーそれぞれのポリシーで白判定。その結果で十分。
検出可否報告スレであって、プログラムの性質や各社のポリシーを議論するスレではない。
604名無しさん@お腹いっぱい。:2009/02/09(月) 00:13:56
そんな分かりきったことはどうでも良い
まるでマルウェアが無害なように話すのは問題
605名無しさん@お腹いっぱい。:2009/02/09(月) 00:17:12
それに検出可否を調査してるんだから
各社のポリシーも調査してるスレ
606名無しさん@お腹いっぱい。:2009/02/09(月) 01:22:13
keygen.exeが問題だ。
明らかに、Key Generatorだ。
ここは、キージェネ厳禁だ。今まで、そう努力してきた。
次は、nyで拾ってきたPhotoshopでも鑑定させるのかw
なんだか、万引きして、万引きした商品が腐っていて腹こわしたから検査してくれと言う
ようなもの。
K察に捕まったaの再来か。関わりたくない。

個人的な意見:以後、スルー

>>3


【重要】
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
607名無しさん@お腹いっぱい。:2009/02/09(月) 01:31:04
なんだかよく分からないね
検証した人を誹謗中傷したのが問題なんだろ
まるで検証した人が悪いみたいな書き込みが多いのは馬鹿だからとしか思えないよ
608名無しさん@お腹いっぱい。:2009/02/09(月) 01:34:22
ここに上がるほとんどのマルウェアもトロイで目的はキージェネと同じようなものだよ
だいたいトロイなんてそんなのばかりじゃん
なんで今回の件にそこまで食いつくの?
609名無しさん@お腹いっぱい。:2009/02/09(月) 01:35:52
つか誹謗してた本人なんだろ
何で正当化しようとしてるんだ?
謝れば良いだけだろ
610名無しさん@お腹いっぱい。:2009/02/09(月) 01:46:46
>>606
マルウェア報告した人を
勝手に鑑定依頼人にしてるのおまえ
この点についても謝罪しとけ
611名無しさん@お腹いっぱい。:2009/02/09(月) 01:52:25
>>606
今回の件は
マルウェア報告した人と検証した人を誹謗中傷した人が悪い
明らかです
ということでこれで終わりにしましょう
下手な正当化はやめて
612名無しさん@お腹いっぱい。:2009/02/09(月) 02:21:49
Rising 2009 21.24.60 (21.15.60.00)
>>202
7\pro.exe: Trojan.Win32.Nodef.bbt
tubeviewersetup.1401.exe: Trojan.DL.Win32.Mnless.ccx
5+2=7/12
>>>333
1\r.exe: Trojan.Win32.Nodef.bce
4+1=5/12
613名無しさん@お腹いっぱい。:2009/02/09(月) 04:51:35
なんかスレ伸びてるなと思い新しい検体が次々とうpされたのかなとwktkしてみたら・・・

何これ・・・
614名無しさん@お腹いっぱい。:2009/02/09(月) 05:24:01
どこにでもいる基地外
615名無しさん@お腹いっぱい。:2009/02/09(月) 08:33:27
割れ厨が必死なのはいつもの事
616名無しさん@お腹いっぱい。:2009/02/09(月) 08:52:26
617名無しさん@お腹いっぱい。:2009/02/09(月) 09:06:08
10分制限だったね。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=223
virus

>>616 とは配布元は異なるが作者はたぶん同じ。
618名無しさん@お腹いっぱい。:2009/02/09(月) 10:02:57
BitDefender10Free
>>616
 16/21
>>617
 19/27

AntiVir Free
>>616
 18/21
>>617
 20/21

各社に提出してきます…整理が結構大変だなこれは。
619名無しさん@お腹いっぱい。:2009/02/09(月) 10:03:12
NOD32 v3.0 定義3837
>>616 26/27
02.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
03.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
05.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
06.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
07.exe Win32/PSW.OnLineGames.NTNの亜種 トロイの木馬
08.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
09.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
10.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
11.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
12.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
13.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
16.exe Win32/PSW.WOW.NHNの亜種 トロイの木馬
17.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
18.exe Win32/PSW.OnLineGames.NTMの亜種 トロイの木馬
26.exe Win32/PSW.Delf.NLZの亜種である可能性 トロイの木馬
aspk04.exe Win32/PSW.OnLineGames.NSUの亜種である可能性 トロイの木馬
aspk14.exe Win32/PSW.WOW.DZIの亜種 トロイの木馬
aspk15.exe Win32/PSW.OnLineGames.NTPの亜種である可能性 トロイの木馬
aspk21.exe Win32/PSW.WOW.DZIの亜種 トロイの木馬
aspk25.exe Win32/PSW.WOW.DZIの亜種 トロイの木馬
upk01.exe Win32/TrojanDropper.Agent.NPOの亜種 トロイの木馬
upk19.exe Win32/TrojanDropper.Agent.NPOの亜種 トロイの木馬
upk22.exe Win32/Rootkit.Agent.NJA トロイの木馬
upk23.exe Win32/Rootkit.Agent.NJC トロイの木馬
upk24.exe Win32/Rootkit.Agent.NJC トロイの木馬
upk27.exe Win32/PSW.Legendmir.NGGの亜種 トロイの木馬
未検出だった検体はEsetにメール提出済
620名無しさん@お腹いっぱい。:2009/02/09(月) 10:09:36
619の訂正
>>616ではなく、>>617の結果でしたorz
>>616は19/21 dldr1.exeとpetite1.exeをEsetへメール提出済
621名無しさん@お腹いっぱい。:2009/02/09(月) 10:22:16
AntiVir Free -> VirusTotal
すり抜けた分をVirusTotalに投げたところ、HEUR/Malware、HEUR/Cryptedで3つは検出する模様。
tane0223内のpetite1.exe だけがスルー。

>>616
 18+3=21/21
>>617
 26+0=26/27 (>618は26/27の書き間違い)
622名無しさん@お腹いっぱい。:2009/02/09(月) 10:34:12
>>621訂正
スキャン設定のヒューリスティック設定がMidium detection levelでは検出しないが
High detecyion level に切り替えたところ、AntiVirFreeでもHEUR/Malware、HEUR/Cryptedを検出。
623名無しさん@お腹いっぱい。:2009/02/09(月) 11:11:41
>>616-617
McAfee自動返答。以下を現時点ではスルー。
inconclusive [1.exe 16.exe 17.exe 18.exe aspk12.exe dldr1.exe petite1.exe aspk14.exe aspk25.exe petite1.exe]
624名無しさん@お腹いっぱい。:2009/02/09(月) 12:18:46
>>617
PandaGlobalProtection2009
とりあえず検出数だけ25/27
625名無しさん@お腹いっぱい。:2009/02/09(月) 12:29:55
>>607-610
ACCSが判断することだ。
このスレとアップローダのURLは報告済み
626名無しさん@お腹いっぱい。:2009/02/09(月) 12:31:26
>>617
NortonInternetSecurity2009
22/27

>>618さんが各ベンダーに提出されたようなので特になにもしません
627名無しさん@お腹いっぱい。:2009/02/09(月) 12:41:48
Dr.Web
>>616 15/21
>>617 22/27

Kaspersky
>>616 19/21
>>617 27/27
628名無しさん@お腹いっぱい。:2009/02/09(月) 12:57:19
>>616
PandaGlobalProtection2009
19/21

NortonInternetSecurity2009
15/21
629名無しさん@お腹いっぱい。:2009/02/09(月) 12:57:53
Rising 2009
>>616
1-2,4,10-11,15.exe: Trojan.PSW.Win32.GameOL.ugj
14.exe>>66: Trojan.PSW.Win32.GameOL.udn
5,17.exe: Trojan.PSW.Win32.GameOL.uln
6.exe>>66: Trojan.PSW.Win32.GameOL.udr
8.exe>>ZXDLL: Trojan.PSW.Win32.GameOL.ugp
aspk7.exe: Trojan.PSW.Win32.WoWar.bbs
dldr1.exe: Trojan.Win32.Nodef.bcm
upk9.exe>>upack0.39: Trojan.Win32.KillAV.avv
upk_qq.exe: Dropper.Win32.Agent.zrg
15/21
>>617
02-03.exe: Trojan.PSW.Win32.GameOL.uad
05-06,08,10,12-13.exe: Trojan.PSW.Win32.GameOL.ugj
07.exe>>ZXDLL: Trojan.PSW.Win32.GameOL.ugp
09,11,17-18.exe: Trojan.PSW.Win32.GameOL.uln
16.exe>>JXDLL: Trojan.PSW.Win32.GameOL.ukk
26.exe>>FILE: Trojan.PSW.Win32.OnlineGame.yoj
aspk21.exe: Trojan.PSW.Win32.WoWar.bbw
upk01.exe>>upack0.34: Trojan.PSW.Win32.GameOL.uew
upk19.exe>>upack0.34>>65: Trojan.PSW.Win32.GameOL.ttq
upk22.exe>>upack0.39: Trojan.PSW.Win32.GameOL.ufi
upk23-24.exe>>upack0.39: Trojan.Win32.KillAV.avv
upk27.exe>>upack0.39: Trojan.PSW.Win32.LMir.cfs
22/27
630名無しさん@お腹いっぱい。:2009/02/09(月) 13:08:27
>>616
ESETSmartSecurity3.0

19/21
631名無しさん@お腹いっぱい。:2009/02/09(月) 17:38:38
>>616
カスペ2009
21/21
Worm.Win32.Downloader.aao tane0222\1.exe
Worm.Win32.Downloader.aao tane0222\11.exe
Worm.Win32.Downloader.aao tane0222\10.exe
Worm.Win32.Downloader.zy tane0222\14.exe
Trojan.Win32.Agent.bnxc tane0222\16.exe
Trojan.Win32.Agent.anbw tane0222\18.exe
Worm.Win32.Downloader.aat tane0222\17.exe
Worm.Win32.Downloader.aao tane0222\2.exe
Worm.Win32.Downloader.aao tane0222\4.exe
Worm.Win32.Downloader.aat tane0222\5.exe
Worm.Win32.Downloader.aao tane0222\15.exe
Trojan-PSW.Win32.Delf.djj tane0222\8.exe
Trojan-GameThief.Win32.OnLineGames.bktj tane0222\aspk12.exe
Trojan-Dropper.Win32.Agent.agsk tane0222\aspk13.exe
Trojan-PSW.Win32.Agent.lzs tane0222\aspk3.exe
Backdoor.Win32.Agent.adpd tane0222\dldr1.exe
Trojan-GameThief.Win32.WOW.faf tane0222\aspk7.exe
Trojan.Win32.Agent.bpkn tane0222\petite1.exe
Trojan-Dropper.Win32.Agent.agqq tane0222\upk9.exe/PE_Patch/UPack
Worm.Win32.Downloader.zy tane0222\6.exe
Trojan-Downloader.Win32.Agent.aqnq tane0222\upk_qq.exe


>>617>>627と同じと思われるのでスキップ。
632名無しさん@お腹いっぱい。:2009/02/09(月) 18:03:45
Rising 2009 21.25 (21.16.00.00)
>>202
5\rdr.exe: Trojan.Win32.Nodef.bbs
7+1=8/12
>>333
2\system.lib: Trojan.Win32.Nodef.bbn
9\tubeviewersetup.exe: Trojan.Win32.Nodef.bch
5+2=7/12
633名無しさん@お腹いっぱい。:2009/02/09(月) 18:37:47
AntiVir回答
>>557
keygen

The pattern recognition will be integrated in one of our next updates.
The virus will be detected as TR/Del.B

>>616-617
1つだけすり抜けてた分だけでなく、ヒューリスティックの2種3ファイルにシグネチャついたのかな?
取り敢えず次のパターンで対応。

We found some new viruses in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
634名無しさん@お腹いっぱい。:2009/02/09(月) 18:39:54
追記:keygenに対応したパターンはまだ配布されてない模様。
635名無しさん@お腹いっぱい。:2009/02/10(火) 03:09:53
>>633-634
AntiVirのパターンが更新されたので再チェック

>>616-617
シグネチャ付いてた模様
tane0222/16.exe : HEUR/Malware -> TR/PSW.Agent.lyl.2 Trojan
tane0222/18.exe : HEUR/Malware -> TR/PSW.Agent.lsr.5 Trojan
tane0222/petite1.exe : HEUR/Crypted -> TR/Agent.bpkn Trojan
tane0223/petite1.exe : NotDetected -> WORM/Autorun.zrn worm

>>557
keygen.rar : TR/Del.B Trojan
keygen.rar/keygen.exe : TR/Del.B Trojan
636名無しさん@お腹いっぱい。:2009/02/10(火) 03:18:02
AntiVirでしか安心は得られない
637名無しさん@お腹いっぱい。:2009/02/10(火) 10:57:21
NortonInternetSecurity2009
>>616
18/21

>>617
26/27
638名無しさん@お腹いっぱい。:2009/02/10(火) 16:45:34
954 名前: 名無しさん@お腹いっぱい。 [sage] 投稿日: 2009/02/10(火) 16:10:59
コピペにマジレス。

昨日、検体提出スレに出てた奴は、ヒューリスティック中だとすり抜け、高だと引っ掛かった。
(今現在は名前ついたので、ヒューリスティック関係無くひっかかるが)
639名無しさん@お腹いっぱい。:2009/02/10(火) 17:16:34
>>638
>622
640名無しさん@お腹いっぱい。:2009/02/10(火) 17:33:17
馬鹿なんだから黙って検体提出してろ
641名無しさん@お腹いっぱい。:2009/02/10(火) 19:31:37
Rising 2009
21.25.10 (21.16.10.00)にて
>>616
petite1.exe>>petite2x_2>>pe_patch(14): Packer.Win32.PePatch.d
15+1=16/21

21.25.11 (21.16.11.00)にて
>>616
16,18.exe>>65: Trojan.PSW.Win32.GameOL.unc
aspk13.exe: Trojan.PSW.Win32.GameOL.ung
16+3=19/21
>>617
aspk15.exe: Trojan.PSW.Win32.GameOL.ung
22+1=23/27

21.25.12 (21.16.12.00)にて
>>616
aspk12.exe: Trojan.PSW.Win32.GameOL.unt
aspk3.exe: Trojan.PSW.Win32.GameOL.unp
19+2=21/21
>>617
aspk04.exe: Trojan.PSW.Win32.GameOL.unp
aspk14.exe: Trojan.PSW.Win32.GameOL.unr
aspk25.exe: Trojan.PSW.Win32.GameOL.uni
petite1.exe: Trojan.Win32.Nodef.big
23+4=27/27
642名無しさん@お腹いっぱい。:2009/02/10(火) 20:22:42
PandaGlobalProtection2009
>>617
残りの未検出検体は疑わしいファイルとして検出、全検出確認

ESETSmartSecurity3.0

>>616
petite1.exe Win32/Agent.BPKN trojan
dldr1.exe Win32/Agent.NUZ trojan

>>617
upk9.exe Win32/Rootkit.Agent.NJC trojan

643名無しさん@お腹いっぱい。:2009/02/10(火) 22:11:25
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=224
virus

検体入手元(2009/02/09 21:15:08 ファイル差し替え)
ttp://www■wokutonoken-online■com/blog/play■scr

ttp://www.virustotal.com/analisis/3629d30b58d2d9ca838a02d582d4a0b6 1199.exe(19/39)
ttp://www.virustotal.com/analisis/cd869d94139f243dc75604a7d2a841f8 play.scr(23/39)

=== AntiVir ===
play.scr : DR/PcClient.agv
1199.exe : DR/PcClient.Gen

カスペ、マカフィー、Microsoft等がスルー
Symantecは外側のscrには対応、中身の1199.exeはスルー

各社に検体提出済み
644名無しさん@お腹いっぱい。:2009/02/10(火) 22:20:19
>>643
Symantec

filename: 1199.exe
machine: Machine
result: See the developer notes

filename: play.scr
machine: Machine
result: This file is detected as Backdoor.Formador.
−−−−−
McAfee

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe |inconclusive | | |no
play.scr |inconclusive | | |no

inconclusive [1199.exe play.scr]
645名無しさん@お腹いっぱい。:2009/02/10(火) 22:29:49
>>643
カスペ2009 21:50:00

スルー。0/2

検体提出します。
646名無しさん@お腹いっぱい。:2009/02/10(火) 23:10:29

http://internet.watch.impress.co.jp/cda/news/2009/02/10/22392.html
Kasperskyの米国サイトにSQLインジェクション攻撃

http://www.itmedia.co.jp/enterprise/articles/0902/10/news016.html
Kasperskyのサイトに不正アクセス攻撃


ロシアのセキュリティソフトメーカーKaspersky Labは2月9日、米国版の同社
公式サイト「usa.kaspersky.com」がハッキング攻撃を受けたと発表した。

Kasperskyの説明によると、ハッキングは成功せず、攻撃者がWebサイト上の
制限をかけられた情報にアクセスできなかったという。しかし、この攻撃によって
同サイトに脆弱性が見つかり、直ちに解消する措置を取ったとしている。

一方攻撃側は、KasperskyのデータベースにアクセスしたとHackersBlogの
サイトで公言。個人情報を含んだスクリーンショットの掲載は控えるとしながらも、
データベースのテーブル名一覧を公表した。
647名無しさん@お腹いっぱい。:2009/02/10(火) 23:18:14
NOD32 v3.0 定義3842
>>643
play.scr Win32/PcClientの亜種 トロイの木馬
play\1199.exe Win32/PcClientの亜種 トロイの木馬

>>642での報告があるように、過去の検出漏れ検体も全検出を確認。
でも、Esetからの返信メールは来なかった(笑)
648名無しさん@お腹いっぱい。:2009/02/11(水) 00:01:13
>>647
>でも、Esetからの返信メールは来なかった(笑)

( TT)/\(TT )ナカーマ!!

ESETの体制が変わったかと思ったが、僅かな間だったのぉ。でも、対応速度自体は上がってるようなのでいいか。
649名無しさん@お腹いっぱい。:2009/02/11(水) 00:10:07
ネット名誉棄損で逆転有罪 東京高裁、基準緩和の1審否定


 インターネット上に虚偽の内容を記載し、企業を誹謗中傷したとして名誉棄損罪に問われた会社員橋爪研吾被告
(37)の控訴審判決で、東京高裁は30日、1審の無罪判決を破棄、求刑通り罰金30万円とする逆転有罪を言い渡した。

 ネット上での名誉棄損罪成立の条件を緩和した1審判決に対し、長岡哲次裁判長は「ネット利用者の情報に限り、
従来の基準を緩和することはできない」と批判。「内容は公益を図る目的だが、重要部分は真実ではなく、真実と信じる相当な理由もない」と述べた。

 集中砲火的な中傷記事など“ネット被害”が問題になる中、十分な根拠のない表現行為を戒める判決となった。

 被告は上告する方針。

 名誉棄損事件の従来の判例では、公益目的の記事でも内容が真実でなければ、確実な資料や根拠に基づき真実と
信じる相当な理由があった場合に無罪とされていた。

 しかし、1審判決は「個人がネット上で発信した情報の信頼性は一般的に低く、反論も容易にできる。公益目的があれば
、確実な資料や根拠がなくても真実と誤信した場合には無罪」と指摘。

 これに対し長岡裁判長は「現実に反論するまではネット上に名誉棄損の表現が放置される上、匿名の表現には有効な
反論も難しい」と判断した。

 判決によると、橋爪被告は2002年、自分のホームページに、全国展開するフランチャイズ式飲食店を取り上げ「代金の4−5%
がカルト集団の収入になる」などと虚偽の内容を記載した。


2009/01/30 20:34 【共同通信】
http://www.47news.jp/CN/200901/CN2009013001000600.html
650名無しさん@お腹いっぱい。:2009/02/11(水) 00:13:45
G DATA インターネットセキュリティ 2009 評価
http://www.antivirushell.com/g-data.html
651名無しさん@お腹いっぱい。:2009/02/11(水) 00:20:12
・淡々とやれ淡々と!
 淡々と貼り、淡々といきましょう。


・あらしはスルー。ソフトの優劣の議論は別スレで!(下記スレなど)

一番いいセキュリティソフトはなんだ!!Part60
http://pc11.2ch.net/test/read.cgi/sec/1227491237/
652名無しさん@お腹いっぱい。:2009/02/11(水) 00:21:36
>>651
荒らすなよ
653名無しさん@お腹いっぱい。:2009/02/11(水) 01:00:18
>>646,>>649
スレ違い

セキュリティに関するニュースを淡々と伝えるスレ5
http://pc11.2ch.net/test/read.cgi/sec/1232882573/

>>650>>651の誘導先のがいいかと。
654名無しさん@お腹いっぱい。:2009/02/11(水) 01:03:57
だからほっとけよ
こんなところで自分の思い通りになんてなるわけねえんだらか
いやなら自分のサイトで語れ
6551=651:2009/02/11(水) 01:54:48
>>653
了解

>>8
>>10,14,16,116-118,653を反映

>>145言及のWikiは外部参照にとどめる。(当方では修正しない)


>>2-3のローカルルールの変更
・BitDefendr,Avira, F-Port, ESET、アンラボ以外の検体提出先の変更あれば教えて
656名無しさん@お腹いっぱい。:2009/02/11(水) 02:57:42
>>655
>・BitDefendr,Avira, F-Port, ESET、アンラボ以外の検体提出先の変更あれば教えて

一応、気付いた分は全部指摘したと思う。

検体提出先じゃないけど、参考リンクをペタリ。
ここにあってテンプレにない分の提出先も調べた範囲で>>145言及のWikiに反映済み。

ウイルス対策ソフトウェア ベンダの一覧
http://support.microsoft.com/kb/49500/ja
657名無しさん@お腹いっぱい。:2009/02/11(水) 06:12:58
>>647
>>646
>ESETの体制が変わったかと思ったが、僅かな間だったのぉ。でも、対応速度自体は上がってるようなのでいいか。

ただこのスレ見てもわかるとおりシグネチャでの検出ではなくヒューリスティックによる検出が圧倒的に多いのが今のNOD32
対応速度が上がったというよりはヒューリスティック感度が大幅に上がったという見方のほうが妥当かと(他はどうか知らないけどNOD32のアドバンスドヒューリスティックははシグネチャと連動するヒューリスティックだからね)
でも対応速度は少なからず上がったと思う、というよりも今までのESETと比べたらかなり改善されてると思う、しかも対応速度も安定してる印象

SymantecとMcAfeeとPandaは対応速度がかなり速いときがあるし検出率も高いのは確かだけど対応速度が安定してなくムラがありやはりESETやavast!と比べると遅い印象がある
avast!の対応速度はESETより一日遅いという感じ、ただこちらも対応速度に安定感はある印象

去年はこれらのベンダーが進歩したから今年は更なる成長して完成度を上げてAntiVir並みの検出率になって欲しい
やっぱり検出率が高いベンダーが多いほうが良いに越したことはないしね
658名無しさん@お腹いっぱい。:2009/02/11(水) 06:13:45
>>616
NortonInternetSecurity2009
19/21
659名無しさん@お腹いっぱい。:2009/02/11(水) 13:42:45
>>616
Trend Micro
21/21

1.exe TSPY_ONLINEG.FSD
10.exe TSPY_ONLINEG.FSD
11.exe TSPY_ONLINEG.FSD
14.exe TSPY_ONLINEG.FSD
15.exe TSPY_ONLINEG.FSD
16.exe TROJ_ONLINEG.HHX
17.exe TSPY_ONLINEG.FSD
18.exe TROJ_ONLINEG.HHX
2.exe TSPY_ONLINEG.FSD
4.exe TSPY_ONLINEG.FSD
5.exe TSPY_ONLINEG.FSD
6.exe TSPY_ONLINEG.FSD
8.exe TSPY_ONLINEG.HHA
aspk12.exe TROJ_GAMETHI.DXZ
aspk13.exe TSPY_ONLINEG.HHA
aspk3.exe TSPY_ONLINEG.HHA
aspk7.exe TSPY_ONLINEG.HHA
dldr1.exe TROJ_DLLSERV.MCL
petite1.exe BKDR_FARFLI.UY
upk9.exe TSPY_ONLINEG.HHA
upk_qq.exe TROJ_VB.HLV
660名無しさん@お腹いっぱい。:2009/02/11(水) 13:43:03
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=225
infected

検体入手元
tp://down■erhaha2■cn/new/a1■css
tp://web■vcx2■cn/bbs/fx■htm
tp://web■vcx2■cn/bbs/../wm/fl/Ilink■htm
tp://web■vcx2■cn/bbs/../wm/fl/flink■html
tp://web■vcx2■cn/bbs/../wm/fl/./i115■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i64■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i47■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i45■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i28■swf
tp://web■vcx2■cn/bbs/../wm/fl/./i16■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f115■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f64■swf 404NotFound
tp://web■vcx2■cn/bbs/../wm/fl/./f47■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f45■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f28■swf
tp://web■vcx2■cn/bbs/../wm/fl/./f16■swf

Ilink■htmがちょっとだけ難読化されてるので、すり抜け多い様子。
本体じゃなく、ダウンローダの呼び出しなので、これはすり抜けても実害はなさそう。

ttp://www.virustotal.com/analisis/2b7c383a8e7e6bc858dcfaddb892cbee a1■css(25/39)
ttp://www.virustotal.com/analisis/f803a0b03c1fb633c37361cbb17855c1 Ilink■htm(8/39)
661名無しさん@お腹いっぱい。:2009/02/11(水) 13:44:38
>>660 各社に検体提出済み。既出のアドレスだが、2/10 23:00頃にファイルが更新された模様。

AntiVir
a1.css : TR/Crypt.XDR.Gen Trojan
fx.htm : JS/Dldr.IFrame.IQ Java script virus
Ilink.htm : スルー
flink.html : JS/Dldr.Agent.UW Java script virus
i115.swf : EXP/Flash.Gen exploit
i64.swf : EXP/Flash.Gen exploit
i47.swf : EXP/Flash.Gen exploit
i45.swf : EXP/Flash.Gen exploit
i28.swf : EXP/Flash.Gen exploit
i16.swf : EXP/Flash.Gen exploit
f115.swf : SWF/Dldr.Agent.F.1 SWF virus
f47.swf : SWF/Dldr.Agent.F.1 SWF virus
f45.swf : SWF/Dldr.Agent.F.1 SWF virus
f28.swf : SWF/Dldr.Agent.F.1 SWF virus
f16.swf : SWF/Dldr.Agent.F.1 SWF virus
662名無しさん@お腹いっぱい。:2009/02/11(水) 13:45:51
>>617
Trend Micro
27/27

02.exe TSPY_ONLINEG.FSD
03.exe TSPY_ONLINEG.FSD
05.exe TSPY_ONLINEG.FSD
06.exe TSPY_ONLINEG.FSD
07.exe TSPY_ONLINEG.HHA
08.exe TSPY_ONLINEG.FSD
09.exe TSPY_ONLINEG.FSD
10.exe TSPY_ONLINEG.FSD
11.exe TSPY_ONLINEG.FSD
12.exe TSPY_ONLINEG.FSD
13.exe TSPY_ONLINEG.FSD
16.exe TROJ_ONLINEG.HHX
17.exe TSPY_ONLINEG.FSD
18.exe TSPY_ONLINEG.FSD
26.exe TSPY_DELF.OBB
aspk04.exe TSPY_AGENT.ALNI
aspk14.exe TROJ_GAMETHI.DXZ
aspk15.exe TROJ_AGENT.AIFN
aspk21.exe TSPY_ONLINEG.KXZ
aspk25.exe TSPY_ONLINEG.ECB
petite1.exe WORM_CHIVIPER.E
upk01.exe Cryp_Upack
upk19.exe Cryp_Upack
upk22.exe TROJ_PACKED.BZN
upk23.exe TROJ_PACKED.BZN
upk24.exe TROJ_PACKED.BZN
upk27.exe TSPY_ONLINEG.MDX
663名無しさん@お腹いっぱい。:2009/02/11(水) 13:48:21
>>660
Symantec(自動返答)

既知のマルウェア
filename: f45.swf
 result: This file is detected as Bloodhound.Exploit.193.
filename: f28.swf
 result: This file is detected as Bloodhound.Exploit.193.
filename: f16.swf
 result: This file is detected as Bloodhound.Exploit.193.
filename: f115.swf
 result: This file is detected as Bloodhound.Exploit.193.
filename: a1.css
 result: This file is detected as Trojan.Dropper. http://www.symantec.com/avcenter/venc/data/trojan.dropper.html
filename: i115.swf
 result: This file is detected as Bloodhound.Exploit.193.
filename: i45.swf
 result: This file is detected as Bloodhound.Exploit.193.
filename: i28.swf
 result: This file is detected as Bloodhound.Exploit.193.
filename: i16.swf
 result: This file is detected as Bloodhound.Exploit.193.
filename: f47.swf
 result: This file is detected as Bloodhound.Exploit.193.
filename: i64.swf
 result: This file is detected as Bloodhound.Exploit.193.
filename: i47.swf
 result: This file is detected as Bloodhound.Exploit.193.
手動解析に回す
filename: fx.htm
filename: flink.html
filename: Ilink.htm
664名無しさん@お腹いっぱい。:2009/02/11(水) 13:48:58
>>643
Trend Micro
2/2

1199.exe BKDR_PCCLIEN.AFR
play.scr BKDR_PCCLIEN.AFR
665名無しさん@お腹いっぱい。:2009/02/11(水) 13:50:49
>>660
McAfee自動返答
flink.html : exploit-cve2007-0071

他は全てスルー。解析に回す。
inconclusive [a1.css f115.swf f16.swf f28.swf f45.swf f47.swf fx.htm i115.swf i16.swf i28.swf i45.swf i47.swf i64.swf ilink.htm]
666名無しさん@お腹いっぱい。:2009/02/11(水) 13:58:22
>>660
Trend Micro
11/14

f115.swf TROJ_HACK.MA
f16.swf TROJ_HACK.LZ
f28.swf TROJ_HACK.FS
f45.swf TROJ_HACK.LQ
f47.swf TROJ_HACK.LQ
i115.swf TROJ_HACK.LY
i16.swf TROJ_HACK.LU
i28.swf TROJ_HACK.LV
i45.swf TROJ_HACK.MB
i47.swf TROJ_HACK.MB
i64.swf TROJ_HACK.AD
flink.html
fx.htm
Ilink.htm
667名無しさん@お腹いっぱい。:2009/02/11(水) 14:19:32
>>660
NOD32 v3.0 定義3844
a1.css Win32/Genetikの亜種である可能性 トロイの木馬
f115.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
f16.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
f28.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
f45.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
f47.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
flink.html JS/TrojanDownloader.SWFlash.NBD トロイの木馬
i115.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
i16.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
i28.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
i45.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
i47.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
i64.swf SWF/Exploit.CVE-2007-0071 トロイの木馬
Ilink.htm JS/TrojanDownloader.SWFlash.NBE トロイの木馬
fx.htmをEsetへ提出
668名無しさん@お腹いっぱい。:2009/02/11(水) 14:31:31
Rising 2009
21.25.12 (21.16.12.00)にて
>>660
f115,16,28,45,47,i115,16,28,45,47,64.swf: Hack.Exploit.Swf.a
flink.html: Trojan.DL.Script.JS.Agent.mn
12/15

21.25.20(21.16.20.00)にて
>>643
play\1199.exe: Backdoor.Win32.PcClient.rcb
play.scr>>1199.exe: Backdoor.Win32.PcClient.rcb
2/2
>>660
a1.css>>fsg2.0: Trojan.DL.Win32.Mnless.ceg
12+1=13/15
669645:2009/02/11(水) 16:42:46
>>643
カスペ2009@15:25:00 0+事後2=2/2

Quarantined Trojan program Backdoor.Win32.PcClient.acvx tane0224\play\1199.exe, play.scr

>>660
d
Detected Trojan program Exploit.SWF.Downloader.lb tane0225\*.swf (拡張子*swf.すべて11ファイル)

それ以外スルー、検体提出します。
670名無しさん@お腹いっぱい。:2009/02/11(水) 17:27:02
>>660
PandaGlobalProtection2009
全スルー
Panda検疫から提出
671名無しさん@お腹いっぱい。:2009/02/11(水) 17:47:23
AV-Test.org - Update Frequency of Anti-Virus Software (1週間の定義更新頻度)
ttp://www.av-test.org/index.php?menue=7&lang=0
672名無しさん@お腹いっぱい。:2009/02/11(水) 18:03:36
NortonInternetSecurity2009

>>616
Trojan.Dropper:aspk3.exe
Downloader:petite1.exe
Infostealer.Gampass:aspk12.exe

>>617
Trojan.Dropper:aspk04.exe

PandaGlobalProtection2009

>>616
残りの未検出検体も疑わしいファイルとして検出

NortonもPandaも全検出確認
673名無しさん@お腹いっぱい。:2009/02/11(水) 18:06:42
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=226
virus
petiteに見えるけどunpackに失敗するもの。petiteをいじったのか?

>>660
LiveROに投下するのやめれ
674名無しさん@お腹いっぱい。:2009/02/11(水) 18:10:57
>>673
PandaGlobalProtection2009
petite1.exeのみ疑わしいファイルとして検出

ESETSmartSecurity3.0
全スルー

Pandaは検疫から提出予定
ESETはいつもの人に任せます
675名無しさん@お腹いっぱい。:2009/02/11(水) 18:27:39
>>660
avast!4.8
a1.css\[FSG]\[Embedded_Ix#01124]:Win32:KillAV-KK [Trj]
f115.swf:SWF:CVE-2007-0071 [Expl]
f16.swf:SWF:CVE-2007-0071 [Expl]
f28.swf:SWF:CVE-2007-0071 [Expl]
f45.swf:SWF:CVE-2007-0071 [Expl]
f47.swf:SWF:CVE-2007-0071 [Expl]
flink.html:HTML:Agent-R [Expl]
fx.htm:HTML:IFrame-BY [Trj]
i115.swf:SWF:CVE-2007-0071 [Expl]
i16.swf:SWF:CVE-2007-0071 [Expl]
i28.swf:SWF:CVE-2007-0071 [Expl]
i45.swf:SWF:CVE-2007-0071 [Expl]
i47.swf:SWF:CVE-2007-0071 [Expl]
i64.swf:SWF:CVE-2007-0071 [Expl]

>>673
avast!、AntiVir、Norton
全てスルー
676名無しさん@お腹いっぱい。:2009/02/11(水) 18:34:44
>>673
ESETへの提出はいつもの人に任せる・・・・とはいったものの結局AntiVir、avast!、ESET、Panda、Symantecと自分の使ってるところに全部提出しました・・・
677名無しさん@お腹いっぱい。:2009/02/11(水) 18:44:02
>>673
AntiVir 全スルー 検体提出します。

>LiveROに投下するのやめれ
いや、実は、こっちスレで報告のがついでだったり。
同じアドレスでも時々変わってるからパターン更新しないとあかんよって意味もあるんでたまには許してくれ。
678名無しさん@お腹いっぱい。:2009/02/11(水) 18:45:49
>>673
BitDefender10Free(8/8)

petite1.exe : DeepScan:Generic.Malware.SPWdld.659A0D24
petite2.exe : DeepScan:Generic.Malware.SPWdld.C95A9CCE
petite3.exe : DeepScan:Generic.Malware.SPWdld.22E4CFF9
petite4.exe : DeepScan:Generic.Malware.SPWdld.DD6241D0
petite5.exe : DeepScan:Generic.Malware.SPWdld.B2C49E10
petite6.exe : DeepScan:Generic.Malware.SPWdld.D07ABE59
petite7.exe : DeepScan:Generic.Malware.SPWdld.A9EBDA27
petite8.exe : DeepScan:Generic.Malware.SPWdld.5E6431F9
679名無しさん@お腹いっぱい。:2009/02/11(水) 18:53:52
Rising 2009
21.25.21 (21.16.21.00)にて
>>660
Ilink.htm: Trojan.DL.Script.JS.Agent.nj
13+1=14/15
>>673
petite1,3,5-8.exe>>petite2x_2: Worm.Win32.CnVampire.aj
petite2.exe: Worm.Win32.CnVampire.ah
petite4.exe: Worm.Win32.CnVampire.ak
8/8

21.25.22 (21.16.22.00)にて
>>464
e7zx.cn\flink.html,ilink.html: Trojan.DL.Solaris.JS.Agent.b
100+2=102
680名無しさん@お腹いっぱい。:2009/02/11(水) 19:00:23
>>660
AntiVir返答
We found a new virus in the attachment you have sent us. The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the virus will be detected as "HTML/Dldr.FlashExp".

現時点のパターンでは引っ掛からないですが、次の更新で>661のスルー分も対応。
681名無しさん@お腹いっぱい。:2009/02/11(水) 19:01:30
>>673
McAfee自動返答

全スルーなので、解析に回す。
inconclusive [petite1.exe petite2.exe petite3.exe petite4.exe petite5.exe petite6.exe petite7.exe petite8.exe]
682名無しさん@お腹いっぱい。:2009/02/11(水) 19:03:07
>>673
Dr.Web回答。全て既知のマルウェア。

Viruses: Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1, Win32.HLLW.Sock.1.
683名無しさん@お腹いっぱい。:2009/02/11(水) 19:07:49
>>673
petite7.exeとpetite8.exe以外はすべて疑わしいファイルとして検出
684名無しさん@お腹いっぱい。:2009/02/11(水) 19:08:24
>>683はPandaGlobalProtection2009の検出ですorz
685名無しさん@お腹いっぱい。:2009/02/11(水) 19:15:25
>>663
>Bloodhound.Exploit.193

なんで既知のマルウェア??
ヒューリスティックじゃないの???
686名無しさん@お腹いっぱい。:2009/02/11(水) 19:18:59
687669:2009/02/11(水) 19:31:18
>>673 d
カスペ2009 18:28:00 8/8

Detected virus Worm.Win32.AutoRun.zvi petite1.exe
Detected virus Worm.Win32.AutoRun.zvj petite2.exe
Detected virus Worm.Win32.AutoRun.zvk petite3.exe
Detected virus Worm.Win32.AutoRun.zvl petite4.exe
Detected virus Worm.Win32.AutoRun.zvm petite5.exe
Detected virus Worm.Win32.AutoRun.zvb petite6.exe
Detected virus Worm.Win32.AutoRun.zvn petite7.exe
Detected virus Worm.Win32.AutoRun.zvp petite8.exe

>>660 返事
11+追加3=14/15

a1.css - Trojan-Downloader.Win32.Agent.bhez
fx.htm_ - Trojan-Downloader.JS.Iframe.aho,
Ilink.htm_ - Trojan-Downloader.JS.Iframe.ahp
New malicious software was found in these files.

flink.htm_ -No malicious code was found in this file.

シグネチャ細かすぎるね。 機を見計らって、統合・廃止しているみたいだが。現在1,773,098
688名無しさん@お腹いっぱい。:2009/02/11(水) 19:31:30
VirustotalでのPandaもバージョンが新しくなったみたいだね
Panda 10.0.0.10

どうやらPandaのクラウドベースもダイレクトにVirustotalに反映されてるみたい
これで実機とVTの結果が違うのはKasperskyの2009ヒューリスティックだけになったか
689名無しさん@お腹いっぱい。:2009/02/11(水) 19:31:31
>>685
Symantecのサイトにもこの名前はヒューリスティック検出だって書いてあるね
ただまぁこの手のはどこもExploitコードの検出で終わることが多いし、実際は検出できればOKな気もする
690名無しさん@お腹いっぱい。:2009/02/11(水) 19:34:04
swfとかpdfとかscriptとかいらなくね?
個人的にはexeだけでいいよ。きりがない。
691名無しさん@お腹いっぱい。:2009/02/11(水) 19:40:14
Risingもまだエンジンが古いのか>>686の結果が悪すぎる
692名無しさん@お腹いっぱい。:2009/02/11(水) 19:42:48
いじくったPackerみたいだから仕方ないよ
Trendmicroはヘッダ見てpetiteと判断してるだけだな
693名無しさん@お腹いっぱい。:2009/02/11(水) 19:44:59
>>691
スマソ
Risingを忘れてたorz
あとDr.webもそうだったよね
694 ◆W32/Vael.o :2009/02/11(水) 19:47:11
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=227
Malware-Pack59

例によってMcAfeeには提出済み
695名無しさん@お腹いっぱい。:2009/02/11(水) 19:50:08
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=228
virus
ごった煮。fsg1はたぶん >>660 のa1.css。
696名無しさん@お腹いっぱい。:2009/02/11(水) 19:57:58
>>694
PandaGlobalProtection2009
ウイルス発見 : Generic Trojan   Malware\0\InternetGameBox_setup.exe
ウイルス発見 : Trj/Downloader.MDW  Malware\4\Mensagem_2985183902.scr
ウイルス発見 : Generic Malware  Malware\7\gau.exe[DSC00110.exe]
アドウェアを検出 : Adware/XpyBurner  Malware\9\XpyBurner_Setup.exe
ウイルス発見 : Trj/CI.A   Malware\2\Install_1_1_.exe
疑わしいファイル:cj.exe

ESETSmartSecurity3.0
Malware\b\1.exe Win32/Spy.Zbot.IF trojan
Malware\a\sunrise.exe a variant of Win32/Spy.Zbot.IB trojan
Malware\0\InternetGameBox_setup.exe probably a variant of Win32/Agent trojan
697名無しさん@お腹いっぱい。:2009/02/11(水) 20:15:05
>>694
NortonInternetSecurity2009
Downloader:gau.exe[DSC00110.exe]
Packed.Generic.187:Install_1_1_.exe
W32.Waledac:raeder.exe
InternetGameBox:InternetGameBox_setup.exe
698名無しさん@お腹いっぱい。:2009/02/11(水) 20:24:14
>>695
NortonInternetSecurity2009
検出数だけ
15/23
699名無しさん@お腹いっぱい。:2009/02/11(水) 20:27:51
Rising 2009
>>694
4\Mensagem_2985183902.scr: Packer.Win32.Agent.r
6\cj.exe>>chang.exe>>upx_c: Trojan.Win32.StartPage.mec
6\cj.exe>>ds.exe>>upx_c: Backdoor.Win32.DarkShell.aa
6\cj.exe>>langr.exe>>upack0.34>>BIN: Trojan.Win32.AvKiller.gh
6\cj.exe>>langr.exe>>upack0.34>>DLL: Trojan.Clicker.Win32.PopHot.eii
6\cj.exe>>shayu.exe>>upack0.34>>RDLL: Trojan.DL.Win32.MyDown.bgb
6\cj.exe>>xuanxuan.exe>>fsg2.0: Worm.Win32.Download.ggw
6\cj.exe>>yoyo1175.exe>>$[32]\87.exe: AdWare.Win32.Undef.eji
2/12、6ワロタ
>>695
9234.exe: Trojan.DL.Win32.AnTan.b
nsis2.exe>>$TEMP\$TEMP\21.exe>>$[34]\$R0: AdWare.Win32.Undef.ekm
rkit0.exe>>66,rkit2.exe: Hack.DDoSer.Win32.Agent.bn
rkit2.exe: Hack.DDoSer.Win32.Agent.bn
unknown1.exe: Trojan.Win32.Nodef.boe
upk1.exe>>upack0.34: Trojan.DL.Win32.Mnless.cdj
upk2.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bhg
upk3.exe>>upack0.34>>CZDLL: Trojan.PSW.Win32.LMir.cge
upx351,370.exe>>upx_c: Trojan.DL.Win32.Undef.dgf
10/22
未検出は後で送ります
700名無しさん@お腹いっぱい。:2009/02/11(水) 20:33:45
>>695
Symantecから

filename: rkit2.exe
machine: Machine
result: See the developer notes

filename: nsis1.exe
machine: Machine
result: This file is detected as Adware.SearchNet. http://www.symantec.com/avcenter/venc/data/adware.searchnet.html

filename: hellokav1.exe
machine: Machine
result: See the developer notes

filename: nsis2.exe
machine: Machine
result: See the developer notes

filename: rkit1.exe
machine: Machine
result: This file is detected as Hacktool.Rootkit. http://www.symantec.com/avcenter/venc/data/hacktool.rootkit.html

filename: setup1557.exe
machine: Machine
result: See the developer notes

filename: hellokav0.exe
machine: Machine
result: See the developer notes
検出数17/23
701名無しさん@お腹いっぱい。:2009/02/11(水) 21:00:58
カスペ2009 19:57

>>694 d 6/12 (4,6,7,9,a,b)
Trojan-Downloader.Win32.Agent.bgpl    4/Mensagem_2985183902.scr
Trojan-Downloader.Win32.Agent.bhbj   6/cj.exe
Trojan.Win32.KillWin.re   7/gau.exe/DSC00110.exe
Trojan.Win32.FraudPack.aqr   9/XpyBurner_Setup.exe
Trojan-Spy.Win32.Zbot.mmu   a/sunrise.exe
Trojan-Downloader.Win32.Hmir.tpm   b/1.exe

>>695 d 14/22
Trojan.Win32.Delf.iqt  9234.exe
Backdoor.Win32.Agent.adne    rkit0.exe
Trojan-DDoS.Win32.Agent.ds   rkit1.exe, rkit2.exe
Trojan-Downloader.Win32.Agent.bgmb    upx351.exe, upx370.exe
HEUR:Trojan-Downloader.Win32.Generic    aspk1.exe
HEUR:Trojan.Win32.Invader   hellokav0.exe
HEUR:Trojan.Win32.Generic   unknown[0,1,2].exe, upk1.exe,
adware not-a-virus:AdWare.Win32.Zhongsou.bb   nsis1.exe
adware not-a-virus:AdWare.Win32.AdMedia.ed   nsis2.exe

提出
702名無しさん@お腹いっぱい。:2009/02/11(水) 21:11:06
VirustotalでPandaが新バージョンに変わったのに伴ってクラウドベースで検出できるシグネチャも反映されるようになった模様

ttp://www.virustotal.com/analisis/329976d7a3da6c0e750b4cd867d65cbe
Panda 10.0.0.10 2009.02.11 Trj/CI.A
CI:Collective Intelligence
703名無しさん@お腹いっぱい。:2009/02/11(水) 21:28:40
>>673
ちょっと珍しいところでw

MicroWorld
The files are already detected as DeepScan:Generic.Malware.SPWdld.5E6431F9
704名無しさん@お腹いっぱい。:2009/02/11(水) 22:31:51
>>673
Avira返答(>674全スルー → TR/Dldr.Agent.wzf)

We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the virus will be detected as "TR/Dldr.Agent.wzf".
705名無しさん@お腹いっぱい。:2009/02/11(水) 22:58:58
>>673の改変petiteはスルー多めだから対応速度見るにはいいかもね
706名無しさん@お腹いっぱい。:2009/02/11(水) 23:35:31
>>673
AntiVirのパターン更新来てたので、再チェック
>704の検出名が無いところを見ると、すぐに次のパターン更新あるかも?

petite1.exe : WORM/Autorun.zvi worm
petite6.exe : WORM/Autorun.zus worm

 >>674(0/8)→(2/8)
707名無しさん@お腹いっぱい。:2009/02/12(木) 00:07:27
>>673
PnadaGlobalProtection2009
残りの未検出検体も疑わしいファイルとして検出、全検出確認
708701:2009/02/12(木) 00:26:06
カスペからの返事

>>695 14+事後5=19/22 (3回答待ち)

fsg1.exe_ - Trojan-Downloader.Win32.Agent.bhfo
fsg350.exe_ - Trojan-Downloader.Win32.Agent.bhfo
msmsg1.exe_ - Trojan.Win32.Monder.azfo
nsis3.exe_ - not-a-virus:AdWare.Win32.BHO.fnm
aspk1.exe_ - Trojan-Downloader.Win32.Small.jfv (←HEUR:Trojan-Downloader.Win32.Generic)
unknown0.exe - Rootkit.Win32.Agent.hdp (←HEUR:Trojan.Win32.Generic)
unknown1.exe_ - Trojan.Win32.BHO.lxo (←HEUR:Trojan.Win32.Generic)
unknown2.exe - Trojan-Downloader.Win32.RtkDL.fbc (←HEUR:Trojan.Win32.Generic)
hellokav0.exe_ - Trojan-Downloader.Win32.Agent.bhfq HEUR:Trojan.Win32.Invader
setup1557.exe_ - Trojan program Trojan.Win32.Agent.bpuq


>>694 6/12 (3白。3回答待ち)

3\internetantiviruspro.exe, 1\jumper.exe - No malicious code was found in this file.
5\reader.exe_ - This file is corrupted.(ファイル破損)
709名無しさん@お腹いっぱい。:2009/02/12(木) 00:28:21
>>673
AntiVirパターン更新で全検出を確認。
返信されてきたのと検出銘が違うような気がするけど、気にしない。

>674(0/8)→>706(2/8)→(8/8)

petite1.exe : WORM/Autorun.zvi worm
petite2.exe : WORM/Autorun.zvj worm
petite3.exe : WORM/Autorun.zvk worm
petite4.exe : WORM/Autorun.zvl worm
petite5.exe : WORM/Autorun.zvm worm
petite6.exe : WORM/Autorun.zus worm
petite7.exe : WORM/Autorun.zvn worm
petite8.exe : WORM/Autorun.zvp worm
710名無しさん@お腹いっぱい。:2009/02/12(木) 00:39:37
>>673
Microsoft
+---petite1.exe [Worm:Win32/Chiviper.C]
+---petite2.exe [Worm:Win32/Chiviper.C]
+---petite3.exe [Worm:Win32/Chiviper.C]
+---petite4.exe [Worm:Win32/Chiviper.C]
+---petite5.exe [Worm:Win32/Chiviper.C]
+---petite6.exe [Worm:Win32/Chiviper.C]
+---petite7.exe [Worm:Win32/Chiviper.C]
+---petite8.exe [Worm:Win32/Chiviper.C]

>>709
アンカー間違ってた。

AntiVir
>677(0/8)→>706(2/8)→>709(8/8)
711名無しさん@お腹いっぱい。:2009/02/12(木) 09:40:32
>>616-617
McAfee返答(検出名も全部きたけど、長いので省略)

DAT version 5523 provides cover against all of the submissions shown above.

2/9提出 2/12回答(回答とパターン反映には多少のタイムラグがあります)
712名無しさん@お腹いっぱい。:2009/02/12(木) 09:52:07
>>673
NortonInternetSecurity2009
全てDownloaderとして検出
713名無しさん@お腹いっぱい。:2009/02/12(木) 09:59:53
>>695
NortonInternetSecurity2009
Hacktool:rkit2.exe
Trojan Horse:rkit0.exe
W32.Popwin:setup1557.exe

18/22

>>698>>700は検体数を数え間違えましたorz

PandaGlobalProtection2009
>>695
検出数だけ
18/22
714名無しさん@お腹いっぱい。:2009/02/12(木) 11:44:33
>>694
NortonInternetSecurity2009

Downloader:sunrise.exe
5/12
715名無しさん@お腹いっぱい。:2009/02/12(木) 11:57:12
AhnLabもVirustotalでバージョンの変更があったみたいだね
http://www.virustotal.com/analisis/cf6e0ffdfc4e7501704688951a1bce28

前)
ttp://www.virustotal.com/analisis/28312fac247687ce62b6bb2baf45091c
AhnLab-V3 2009.1.15.0

現在)
ttp://www.virustotal.com/analisis/cf6e0ffdfc4e7501704688951a1bce28
AhnLab-V3 5.0.0.2

見てると以前のときより少し検出率がよくなってるっぽい
2009に搭載された「TSエンジン」というのが少しは効いてるのかな?
でもNortonのパルスアップデートや拡張ヒューリスティック、McAfeeやPandaのクラウドベースと比べて軽くなった以外で何の変更があったかわかりづらい>AhnLabのTSエンジン

でも今のところ検出率が大幅に良くなった感じがしないからよかった、性能が大幅に良くなってたら興味を持つとこだった
716名無しさん@お腹いっぱい。:2009/02/12(木) 12:31:43
Risingから先月13日に送った検体の返事が来た。
夕方までにドカドカ来る予感。
あそこまとめて寄越すからなぁ…。
717名無しさん@お腹いっぱい。:2009/02/12(木) 12:48:18
718701:2009/02/12(木) 13:27:02
カスペ2009 20/22 12:27:00
>>695
14+事後6+=20/22 (upk2,3.exe回答待ち)

hellokav1.exe_ - Trojan-Downloader.Win32.Small.jfw
upk1.exe_ - Trojan-Downloader.Win32.Small.jfx  (←HEUR:Trojan.Win32.Genericから変更)

※rkit1.exe - virus Rootkit.Win32.Small.uc , Trojan-DDoS.Win32.Agent.ds (検出シグネチャにルートキット追加)
719名無しさん@お腹いっぱい。:2009/02/12(木) 13:57:39
>>717
「(アルバム)(オリコン) 2009.01.21付シングル WEEKLY BEST 30 (略).exe」
ダウソ厨 >>3
720名無しさん@お腹いっぱい。:2009/02/12(木) 14:07:52
単にマルウェアの報告だろ
721名無しさん@お腹いっぱい。:2009/02/12(木) 14:12:24
だいたいこんなところに鑑定頼むやつなんていないだろ
どうせVIRUSTOTALでスキャンするだけなんだから
722名無しさん@お腹いっぱい。:2009/02/12(木) 14:21:45
ダウソ厨がこういうの踏んで個人情報だの写真だのぶちまけると
メシウマだから提出しないよw
723名無しさん@お腹いっぱい。:2009/02/12(木) 14:25:46
p2p等で流通しているマルウェアは放置
724名無しさん@お腹いっぱい。:2009/02/12(木) 14:28:32
P2Pはダウソ板にいくつもスレあるしな
725名無しさん@お腹いっぱい。:2009/02/12(木) 14:57:36
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=229
virus
中華トロイ。たぶん全部ネトゲ用。
726名無しさん@お腹いっぱい。:2009/02/12(木) 15:47:44
>>725
検出数だけ報告

PandaGlobalProtection2009
25/28

ESETSmartSecurity3.0
28/28
全検出
727名無しさん@お腹いっぱい。:2009/02/12(木) 16:01:02
>>725
NortonInternetSecurity2009
27/28
728名無しさん@お腹いっぱい。:2009/02/12(木) 16:08:55
>>725
AviraPremiumSecuritySuite
10.exe [DETECTION] Is the TR/Onlinegames.ulja Trojan
12.exe [DETECTION] Is the TR/Spy.Gen Trojan
13.exe [DETECTION] Is the TR/PSW.Online.apyj Trojan
15.exe [DETECTION] Is the TR/Spy.Gen Trojan
16.exe [DETECTION] Is the TR/Onlinegames.ulur Trojan
18.exe [DETECTION] Is the TR/Spy.Gen Trojan
19.exe [DETECTION] Is the TR/Spy.Gen Trojan
2.exe [DETECTION] Is the TR/Spy.Gen Trojan
21.exe [DETECTION] Is the TR/Spy.Gen Trojan
24.exe [DETECTION] Is the TR/Spy.Gen Trojan
25.exe [DETECTION] Is the TR/Spy.Gen Trojan
26.exe [DETECTION] Is the TR/Spy.Gen Trojan
27.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
3.exe [DETECTION] Is the TR/Spy.Gen Trojan
6.exe [DETECTION] Is the TR/Spy.Gen Trojan
7.exe [DETECTION] Is the TR/Spy.Gen Trojan
8.exe [DETECTION] Is the TR/Onlinegames.ALL Trojan
9.exe [DETECTION] Is the TR/PSW.Online.apyb Trojan
aspk1.exe [DETECTION] Is the TR/Dropper.Gen Trojan
fsg23.exe [DETECTION] Is the TR/Drop.Agent.Zlo.1 Trojan
fsg4.exe [DETECTION] Is the TR/Dropper.Gen Trojan
nspk28.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
upk11.exe [DETECTION] Is the TR/Rootkit.Gen Trojan
upk14.exe [DETECTION] Is the TR/Rootkit.Gen Trojan
upk17.exe [DETECTION] Is the TR/Rootkit.Gen Trojan
upk20.exe [DETECTION] Is the TR/Dropper.Gen Trojan
upk22.exe [DETECTION] Is the TR/Rootkit.Gen Trojan
upk5.exe [DETECTION] Is the TR/Thief.Magania.B Trojan
全検出
729名無しさん@お腹いっぱい。:2009/02/12(木) 16:19:08
>>725
avast!4.8
重複してるものもあったせいで一回のレスで書ききれず詳細な報告は断念、検出数のみ報告
24/28
730名無しさん@お腹いっぱい。:2009/02/12(木) 16:24:36
>>725
Symantecは残りの未検出検体も既に対応済み、あとはパルスアップデートに流れるのを待つだけ(Norton2009では詳細な報告を書かないで申し訳ない、本当にNortonの検出報告は異常に難しいんです・・・orz)

filename: nspk28.exe
machine: Machine
result: This file is detected as Backdoor.Graybird. http://www.symantec.com/avcenter/venc/data/backdoor.graybird.html
731名無しさん@お腹いっぱい。:2009/02/12(木) 18:38:25
PandaGlobalProtection2009
>>694
reader.exeを疑わしいファイルとして検出
7/12

>>695
こちらは検出数だけ
20/22
732名無しさん@お腹いっぱい。:2009/02/12(木) 18:48:33
>>725 d
カスペ2009 18:05:00
27/28

Detected virus Worm.Win32.Downloader系 2,3,6,7,8,9,10,12,13,15,16,18,19,21,24,25,26.exe
Detected Trojan-PSW.Win32.QQPass.fxr   27.exe
Detected Trojan-GameThief.Win32.WOW.fcl   aspk1.exe
Detected Trojan-Dropper.Win32.Agent.adxr   fsg23.exe
Detected Trojan.Win32.Inject.olm   fsg4.exe
Detected Trojan-Dropper.Win32.Agent.agqq    upk11.exe, upl14.exe, upk17.exe
Detected Trojan.Win32.Pakes.mqh   upk20.exe
Detected Trojan-Dropper.Win32.Agent.agyb   upk22.exe
Detected Trojan-GameThief.Win32.Magania.gen   upk5.exe

検体提出します。(nspk28.exe)
733名無しさん@お腹いっぱい。:2009/02/12(木) 19:15:50
>>695 >>725
AntiVir Free 現時点で全検出
(22/22) (28/28)

報告被ってるかもしれないが気にしない。
734名無しさん@お腹いっぱい。:2009/02/12(木) 19:59:39
>>695
NOD32 v3.0 定義3847
18/22 未検出検体をEsetへ提出しました。

>>676
提出乙です(助かります)
ほかのものについても、検査・提出済のものは省略。
735名無しさん@お腹いっぱい。:2009/02/12(木) 20:07:37
>>734
仮想環境でESETを入れてるものですが提出したかもしれないけど提出先のアドレスが間違って(アドレスが古かった?)もしかしたら提出できてないかもしれない
そのときは提出をよろしくお願いします

確認のためにESETへの検体提出先アドレスはこれであってます?
[email protected]
736名無しさん@お腹いっぱい。:2009/02/12(木) 20:43:25
Rising 2009
21.25.22 (21.16.22.00)にて
>>725
10.exe>>66: Trojan.PSW.Win32.GameOL.udk
3,6,12,15,24-26.exe: Trojan.PSW.Win32.GameOL.uln
13,16.exe: Trojan.PSW.Win32.GameOL.uad
2,7,18-19,21.exe: Trojan.PSW.Win32.GameOL.ugj
8.exe>>66: Trojan.PSW.Win32.GameOL.udm
9.exe: Trojan.Win32.Nodef.pn
aspk1.exe: Trojan.PSW.Win32.WoWar.bby
fsg23.exe>>fsg2.0>>RING0BIN>>upx_c: Hack.Exploit.Win32.MS08-067.c
fsg4.exe>>fsg2.0: Trojan.PSW.Win32.QQPass.dzj
upk11,14.exe>>upack0.39: Trojan.Win32.KillAV.avv
upk17,22.exe>>upack0.39: Trojan.Win32.KillAV.avy
upk20.exe>>upack0.39: Trojan.PSW.Win32.LMir.cfs
upk5.exe: Trojan.Win32.Undef.vdn
26/28

21.25.32 (21.16.32.00)にて
>>695
aspk1.exe>>Aspack212r: Trojan.DL.Win32.VB.zlh
fsg1,350.exe>>upx_c: Trojan.DL.Win32.Mnless.cem
hellokav0,1.exe>>84>>upx_c: Trojan.DL.Win32.Mnless.ces
hellokav0.exe: <Unknown virus>
nsis3.exe>>$[32]\48.exe: Backdoor.Win32.PcClient.rcw
setup1557.exe: Trojan.Win32.Nodef.brc
unknown2.exe: RootKit.Win32.Mnless.aqg
10+8=18/22
>>725
27.exe>>FILE: Trojan.PSW.Win32.QQPass.dzw
nspk28.exe>>nspack: Trojan.Win32.QQFish.az
26+2=28/28
737名無しさん@お腹いっぱい。:2009/02/12(木) 20:52:29
>>735
提出先はそれで合ってると思う。
パスは「infected」固定な(McAfeeやBitと同じ)。
738名無しさん@お腹いっぱい。:2009/02/12(木) 21:57:22
>>694
AntiVir(4ファイルスルー)

1.exe : TR/Spy.ZBot.nmh.6 Trojan
cj.exe : TR/Dldr.Agent.bhbj Trojan
gau.exe : TR/Crypt.CFI.Gen Trojan
Install_1_1_.exe : TR/Crypt.XPACK.Gen Trojan
internetantiviruspro.exe : SPR/Fake.IAVP.8 program
InternetGameBox_setup.exe : −
jumper.exe : −
Mensagem_2985183902.scr : TR/Dropper.Gen Trojan
reader.exe : −
sunrise.exe : TR/Spy.ZBot.mmu Trojan
winsystems.dll : −
XpyBurner_Setup.exe : TR/Fake.XpyBurn Trojan

cj/$PLUGINSDIR/Banner.dll : −
cj/be.bat : −
cj/chang.exe : TR/Spy.Gen Trojan
cj/ds.exe : TR/Spy.Gen Trojan
cj/langr.exe : (harmful) BDS/Hupigon.Gen back-door program
cj/shayu.exe : TR/ATRAPS.Gen Trojan
cj/xuanxuan.exe : TR/Dldr.Delphi.Gen Trojan
cj/yoyo1175.exe : DR/BHO.eqn dropper

gau/DSC00110.exe : TR/Crypt.CFI.Gen Trojan
739名無しさん@お腹いっぱい。:2009/02/12(木) 22:55:52
>>735
アドレスOKです(合ってます)
740名無しさん@お腹いっぱい。:2009/02/12(木) 22:56:57
>>737
ちょwwwwwwwwww
今までパスは全部「virus」で送っちゃったよorz
741名無しさん@お腹いっぱい。:2009/02/12(木) 23:11:43
>>740
オレも"virus"で送ってたorz
それでも回答来てたような気がする(汗

確かに、「infected」で送れと書いてあるね。
ttp://kb.eset.com/esetkb/index?page=content&id=SOLN141
742名無しさん@お腹いっぱい。:2009/02/12(木) 23:11:48
>>735
アドレスは合ってる。
詳細はここに書いてある。
ttp://72.3.228.197:8226/esetkb/index?page=content&id=SOLN141&actp=search&searchid=1234447697809
743名無しさん@お腹いっぱい。:2009/02/12(木) 23:12:51
>>741
かぶったな。
スマソ。
744名無しさん@お腹いっぱい。:2009/02/12(木) 23:19:37
>>741
でもありがと
今度からパスは「infected」で送ることにするよ
メールから送るのが面倒なら直接検疫から送ることも出来るしね
ESETの場合は検疫に入れなくても提出することが出来るから便利だよね
745名無しさん@お腹いっぱい。:2009/02/12(木) 23:21:43
>>744
便利なんだけどあそこの翻訳が間違ってて何のことやら分からなかったな
今は直ってるのかな
746名無しさん@お腹いっぱい。:2009/02/12(木) 23:25:44
今思い返してみればなんでBitDefenderに提出しても検体は対応しないし返事来ないしでおかしいなぁ〜と思ってたらそういうことだったのかorz

パスは「virus」じゃなく「infected」で送らなきゃ意味がないということかorz
747名無しさん@お腹いっぱい。:2009/02/12(木) 23:27:36
>>694
Trend Micro
4/12

InternetGameBox_setup.exe
jumper.exe
Install_1_1_.exe TROJ_FAKEALER.NS
internetantiviruspro.exe
Mensagem_2985183902.scr
reader.exe
cj.exe TROJ_AGENT.AJQI
gau.exe TROJ_DLOADR.ZF
winsystems.dll
XpyBurner_Setup.exe
sunrise.exe TSPY_ZBOT.AMT
1.exe
748名無しさん@お腹いっぱい。:2009/02/12(木) 23:28:03
>>695
Trend Micro
17/22

9234.exe TSPY_ONLINEG.AXZ
aspk1.exe WORM_VB.HKV
fsg1.exe TROJ_DROPPER.HOH
fsg350.exe TROJ_DROPPER.HOK
hellokav0.exe
hellokav1.exe
msmsg1.exe
nsis1.exe ADW_ZZTOOLBAR
nsis2.exe TROJ_CINMENG.HP
nsis3.exe Possible_DLDER
rkit0.exe Mal_PClient
rkit1.exe Mal_PClient
rkit2.exe Mal_PClient
setup1557.exe TROJ_POPWIN.GR
unknown0.exe
unknown1.exe
unknown2.exe TROJ_FARFLI.VQ
upk1.exe TROJ_AGENT.MCL
upk2.exe TSPY_LINEAGE.DPU
upk3.exe TROJ_PACKED.CSO
upx351.exe TROJ_DLOADER.TNF
upx370.exe TROJ_DLOADER.TNF
749名無しさん@お腹いっぱい。:2009/02/12(木) 23:38:20
>>673
ESETSmartSecurity3.0

petite1.exe
petite2.exe
petite7.exe
petite8.exe

Win32/AutoRun.Agent.JA worm

パスはvirusで送っちゃったけどちゃんと対応してくれてるようで
750名無しさん@お腹いっぱい。:2009/02/12(木) 23:41:14
>>694
ESETSmartSecurity3.0

Malware\9\XpyBurner_Setup.exe ≫ ZIP ≫ XpyBurner.exe - Win32/Adware.HDriveSweeper application

4/12
751名無しさん@お腹いっぱい。:2009/02/12(木) 23:53:10
>>725
avast!4.8
全検出
752名無しさん@お腹いっぱい。:2009/02/12(木) 23:58:48
>>741
パスはvirusで送りましたがそれでもESETからは返事が来ました

Thank you for your submission.
The detection for this threat will be included in our next signature update.

Regards,

Du?an Lacika
Virus Researcher
ESET spol. s r.o.


でもさっきは「Bitは〜」と書いたけどそれでもBitからもパスはvirusで送ったのに返事が来たということは一応対応してくれたということなんだね
753名無しさん@お腹いっぱい。:2009/02/13(金) 00:08:24
あれ?ESETから昨日(いやもう一昨日なのか)送った分の返事が来た。
返答送ってくる担当者と、送って来ない担当者がいるだけなのかな?

>>673
ESET返答

Thank you for your submission.
The detection for this threat will be included in our next signature update.
754名無しさん@お腹いっぱい。:2009/02/13(金) 00:29:33
McAfee返答
>>695>>725まとめて提出した分の自動回答

inconclusive
[19.exe aspk1.exe fsg1.exe fsg350.exe hellokav0.exe hellokav1.exe msmsg1.exe
nsis3.exe rkit0.exe rkit1.exe rkit2.exe setup1557.exe unknown0.exe unknown1.exe
unknown2.exe 24.exe]

heuristic detection
[nspk28.exe upk17.exe upk22.exe]

new detection
[upk1.exe upk2.exe upk11.exe upk14.exe]

current detection
[nsis1.exe nsis2.exe 10.exe 12.exe 13.exe 15.exe 16.exe 18.exe 2.exe 9234.exe
upk3.exe upx351.exe upx370.exe21.exe 25.exe 26.exe 27.exe 3.exe 6.exe 7.exe
8.exe 9.exe aspk1.exe fsg23.exe fsg4.exe upk20.exe upk5.exe]
7551:2009/02/13(金) 00:31:30
>>656
遅ればせながらd

>>735,737,739,741
OK.
推奨パスワードは"infected"でいいのかな。
756名無しさん@お腹いっぱい。:2009/02/13(金) 00:32:26
>>695 >>725
AVG返答(検知できますと。お手数かけました…ってここで言ってもしゃーないか)

Please let us inform you that the file attached to your previous
e-mail was really infected. The detection is already available with
the current AVG virus definitions.
757名無しさん@お腹いっぱい。:2009/02/13(金) 00:37:25
>>755
圧縮形式はzip推奨でいいと思うけど、パスワードはベンダー次第。比較的Infectedの方が多い気がするけど。

ClamAV、DrWebはvirus固定
Microsoft、McAfee、Syamantec辺りはInfected固定。
特に指定のないベンダーもあるし、Risingみたいに、パスなしで圧縮して送りなおせって言ってくる所も。
Normanみたいに、パスどころか圧縮してない単品にしろっていう所…は、例外か?
7581:2009/02/13(金) 01:07:14
>>8次スレテンプレ提出先試案(改訂後) いつもおかしいと言われるので、確認よろしく。4レスほど消費して申し訳ない。

●新種・亜種ウイルスを発見した場合のサンプル提出先 (未検出の場合はとにかく提出しましょう)
メールの宛先の☆印は半角の@マークに変換。パスワードは"infected"推奨らしい。(BitDefender, Mcffee, ESETなど)【変更】,…必要か?不要か?

・シマンテック (ノートン) 【変更>>117
Symantec Security Response USA 〔Upload a suspected infected file〕
ttps://submit.symantec.com/websubmit/retail.cgi
提出要項:ttp://service1.symantec.com/SUPPORT/sunset-c2002kb.nsf/0/590f605c1b28dc8a85256edd00478d4a?OpenDocument&seg=hm&lg=en&ct=us

・ウイルスバスター(トレンドマイクロ) 
ttp://inet.trendmicro.co.jp/esolution/supform.asp
バスターユーザー以外は
ttp://www.trendmicro.com/jp/security/virushunter.htm
ttp://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7

・マカフィー 
ttp://www.nai.com/japan/security/contactavert.asp

・ESET NOD32アンチウイルス 【変更>>16,735,737,739】
ttp://training.eset.com/kb/index.php?option=com_kb&Itemid=29&page=articles&articleid=141
メール:samples☆eset.com

・Kaspersky(カスペルスキー)
ttp://www.kaspersky.co.jp/
一番下の「新しいウイルスをお知らせ下さい」
7591:2009/02/13(金) 01:08:26
・Avira AntiVir 【変更>>117-118
ttp://www.avira.com/en/support/submit_suspicious_files.html
メール:virus_malware☆avira.com

・Rising(ウイルスキラー)
ttp://up.rising.com.cn/webmail/uploadnew.htm
Rising(ウイルスキラー)英語版
ttp://sample.rising-global.com/webmail/upload_en.htm

・Microsoft(マイクロソフト)
ttp://www.microsoft.com/security/portal/submit.aspx

・Dr.WEB 
ttp://drweb.jp/support/virus_sample.html

・F-Secure (エフセキュア) 
ttp://www.f-secure.co.jp/support/samples/

・AVG 
ttp://www.grisoft.cz/doc/faq/jp/crp/0
ttp://www.grisoft.com/jp.faq.num-771#faq_771

・avast! 
ttp://www.avast.com/jpn/technical_support.html

・ソフォス(Sophos) 
ttp://www.sophos.co.jp/support/queries/#sample

・キングソフト・アンチウィルス
ttp://www.kingsoft.jp/is/kentai.html
7601:2009/02/13(金) 01:09:11
・バイロボット(hauri、ViRobot)
ttp://www.hauri.net/support/support/virus_reg.html?menu=QTAy

・ewido (AVG;Anti ;Spyware) 
ttp://www.ewido.net/en/malware/

・ウイルスドクター 
ttp://www.virusdoctor.jp/virus/

・eTrust 
ttp://www.caj.co.jp/support/csp/free_policy/virus.htm

・F-PROT;
ttp://www.f-prot.com/virusinfo/submission_form.html

・eSafe 
ttp://www.aladdin.com/home/csrt/vsubmit.asp

・a2(a-squared)
ttp://www.emsisoft.jp/jp/support/submit/


・ウイルスセキュリティZERO (K7Computing)
tp://k7computing.com/Support/newvirus.html

・ウイルスチェイサー (※ Dr.Webエンジンのため、上記のDr.Webの窓口に直接送ったほうが良い。)【注記追加>>16
ttp://www.viruschaser.jp/support_aft.html#q2
7611:2009/02/13(金) 01:09:59
・BitDefender 【変更>>14
送付先1:
メール:support☆bitdefender.com
ttp://beta.bitdefender.com/site/KnowledgeBase/consumer/
Fight against malware → Improving Detection →What to do when BitDefender does not detect malware

送付先2: 
メール:virus_submission☆bitdefender.com(2MBまで?)
ttp://forum.bitdefender.com/index.php?showtopic=3066

・アンラボ(AhnLab V3) 【変更>>14】…長すぎるか?否か?
・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答(詳細は>>1のWiki参照)
 Ahnlab Customer(AhnLab-V3) メール:ahnlabcustomer☆ahnlab.co.jp
・アンラボ(韓国)にはフォームあり。最近はエラーで送れない。
ttp://kr.ahnlab.com/info/customer/virus_call_write.jsp
・アンラボ(グローバル/鯖は韓国)からは、専用のAhnReportを使用するよう指示されている。
ttp://global.ahnlab.com/global/support/support_report.html

----------------------------------
>>8

>>758-761>>4-7を代替。
762名無しさん@お腹いっぱい。:2009/02/13(金) 02:06:14
>・Kaspersky(カスペルスキー)
>ttp://www.kaspersky.co.jp/
メール:newvirus☆kaspersky.com

>・マカフィー
>ttp://www.nai.com/japan/security/contactavert.asp
ttp://vil.nai.com/vil/submit-sample.aspx
ttps://www.webimmune.net/ (要登録・英語)
メール:virus_research☆avertlabs.com

>・AVG 
>ttp://www.grisoft.cz/doc/faq/jp/crp/0        ※※※ この行いらないんじゃ? ※
>ttp://www.grisoft.com/jp.faq.num-771#faq_771

マカフィーは、一応、英文の方が対応速いって書いてあるから併記しといた方がいいかなと

>・ウイルスドクター 
>ttp://www.virusdoctor.jp/virus/
メール:labo☆virusdoctor.jp
メール:virus☆jiangmin.com

一応、本国の方も併記

>・F-PROT;
>ttp://www.f-prot.com/virusinfo/submission_form.html
メール:viruslab☆f-prot.com

フォームはほぼ死んでるのでメールのがいい
763名無しさん@お腹いっぱい。:2009/02/13(金) 02:07:40
…メールを併記する条件と、併記しない条件がわからなくなってきた。困って無いからどっちでもいいか。
764名無しさん@お腹いっぱい。:2009/02/13(金) 02:29:56
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=230
infected

検体入手元:
tp://down■erhaha2■cn/new/a[2-370]■css

注記:
あぷろだに上げる都合上、拡張子をzipにしていますが、7z形式のファイルです。
拡張子を変えて.7zにしてから解凍してください。(ZIPだと13MBになるので…)

検体は各社に2/11に提出済みですので追加提出しなくていいと思います。
Syamatecだけは、(ファイルはちゃんと9つづつで分割したけど)Captchaを面倒くさがってメールで投げたので、
受け付けられてるかちょっと不安かな。

手元のセキュリティソフトでの検出状況の報告だけお願いします。
−−−−−
AntiVir:提出時 10ファイルスルー→全検出(369/369)
BitDefender:全検出(369/369)
McAfee:提出時の自動返答では全スルー(0/369)→現時点不明
765名無しさん@お腹いっぱい。:2009/02/13(金) 02:41:08
>>758
(情報源が古すぎるのと、Mail添付での検体提出は本スレでは薦めていませんのでご了承下さい)
提出要項:ttp://service1.symantec.com/SUPPORT/sunset-c2002kb.nsf/0/590f605c1b28dc8a85256edd00478d4a?OpenDocument&seg=hm&lg=en&ct=us
Last Modified: 04/05/2004
Date Created: 05/21/1999

■Symantec Security Response 〔Upload a suspected infected file:疑わしいファイルの提出〕
https://submit.symantec.com/websubmit/retail.cgi
*ファイルやtxtメモや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕 が提出条件
766765:2009/02/13(金) 02:52:41
>>764
Syamatecへ再提出中・・・
裏技:シマへは圧縮フォルダ×2回で実はツメホーダイ(ファイル数をカウント出来ないので)
767765:2009/02/13(金) 03:23:40
補足説明。。。
裏技:シマへは圧縮フォルダ×2回(*7zip-PPMd圧縮)で実はツメホーダイ(ファイル数をカウント出来ないので)
768名無しさん@お腹いっぱい。:2009/02/13(金) 05:22:00
>>764 zipにして再掲示希望
769名無しさん@お腹いっぱい。:2009/02/13(金) 08:29:21
Rising
>>764
Trojan.DL.Win32.Mnless.cem
369/369
770名無しさん@お腹いっぱい。:2009/02/13(金) 08:38:43
>>764
Kaspersky
Trojan-Downloader.Win32.Agent.bhfo
369/369
771名無しさん@お腹いっぱい。:2009/02/13(金) 09:25:47
>>764
PandaGlobalProtection2009
NortonInternetSecurity2009
avast!4.8

全検出確認

ESETは何故か解凍できず検出報告は出来なかった
多分ESETも難なく検出できると思うけどESETはいつもの人に報告を任せます
772名無しさん@お腹いっぱい。:2009/02/13(金) 14:23:55
AntiVirとBitDefender以外の方、提出お願いします

499 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/02/13(金) 09:31:19
>>498
いんや カスペなら下記の奴も、検知できるべ
CK60hLwB8p. が、ヤバメな
あ〜 ダイアログ出たら、遮断を押すように

ttp://file.carzoor.com/get.php?ref=CK60hLwB8p

501 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/02/13(金) 09:45:05
>>500
あ〜
key:123
だな。 だけど、カスペの2009ならダウンロード前に検知するけどな
【最適化】Perfect Disk Part10【デフラグ】
http://pc11.2ch.net/test/read.cgi/software/1223112918/
に張られた、やつだけど、Macky-keygenて奴らしい。 
システムをゴッソリやられるみたいな。

502 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/02/13(金) 09:49:11
>>501
カスペはアンチウイルス上では反応しないみたいだけど?
あ、そうか2009のヒューリスティックで引っかかったのかな?
とりあえずこちらはAviraが引っ掛けてくれたので無問題
んで、これ検出可否スレに貼ってく?


ttp://www.virustotal.com/analisis/6d45b851c31b38740af90daf0c7c4130
773772:2009/02/13(金) 14:30:06
スマソ
今気づいたら検体名はKeygenだったorz
これじゃ鑑定厨と同じ穴の狢orz
774名無しさん@お腹いっぱい。:2009/02/13(金) 15:03:24
カスペ2009 検出ベース@14:12::00

検体:>>695>>701,708,718) 14+事後8=22/22でクローズ
Trojan program Backdoor.Win32.Inject.lh upk2.exe
Trojan program Trojan-Banker.Win32.Banker.aegb upk3.exe


検体:>>725 (>>718) 27+事後1=28/28でクローズ
Trojan program Trojan-PSW.Win32.QQPass.fyl nspk28.exe


検体:>>694>>701,708) 6+事後2=8 (2,4,5,6,7,9,a,b),白3(1,3,8),回答待ち1(0)
Detected Trojan program Packed.Win32.Krap.i 5/reader.exe (←This File is corrupted,より訂正)
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.dmk 2/Install_1_1_.exe

8\winsystems.dll - No malicious code was found in this file.(これは今朝4:02の返事)

0\InternetAntivirusPro.exeだけ回答待ちで未だスルー。偽セキュリティソフト?だれか代理提出お願いします。

http://www.virustotal.com/analisis/5a9b50a06c3bf47a23a8accf6daf1775 提出時3/39→今4/39
775名無しさん@お腹いっぱい。:2009/02/13(金) 15:15:23
>>772
乞食にもほどがある
776名無しさん@お腹いっぱい。:2009/02/13(金) 15:37:24
Rising 2009 21.25.40 (21.16.40.00)
>>363
playonline\fx.htm: Trojan.DL.Script.JS.Agent.nq
17+1=18
>>464
gameicity\fx.htm: Trojan.DL.Script.JS.Agent.nq
102+1=103
777名無しさん@お腹いっぱい。:2009/02/13(金) 15:49:31
778名無しさん@お腹いっぱい。:2009/02/13(金) 16:24:16
>>777
PandaGlobalProtection2009
load.exeのみ疑わしいファイルとして検出

ESETSmartSecurity3.0

load.exe Win32/AutoRun.Agent.IY worm
install.exe a variant of Win32/Kryptik.HG trojan
happy_valentine.exe a variant of Win32/Kryptik.HG trojan
779名無しさん@お腹いっぱい。:2009/02/13(金) 16:33:38
>>777
AviraPremiumSecuritySuite
5.htm
[DETECTION] Contains recognition pattern of the JS/Dldr.IFrame.CS Java script virus
load.exe
[DETECTION] Is the TR/Drop.Agent.agyv Trojan

avast!4.8とNortonInternetSecurity2009は全スルー
780名無しさん@お腹いっぱい。:2009/02/13(金) 16:40:45
>>777
Symatnecはとりあえず1個だけ対応済み
あとは解析の方へ回すとのこと

filename: load.exe
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html

filename: install.exe
machine: Machine
result: See the developer notes

filename: happy_valentine.exe
machine: Machine
result: See the developer notes

filename: 5.htm
machine: Machine
result: See the developer notes
781名無しさん@お腹いっぱい。:2009/02/13(金) 16:48:20
782名無しさん@お腹いっぱい。:2009/02/13(金) 16:51:53
>>777
AntiVir、avast!、Panda、Syamntec、ESETの他にAVG、BitDefender、Ahnlab、Fortinetに提出してきました
783名無しさん@お腹いっぱい。:2009/02/13(金) 16:55:07
>>777 d
カスペ2009 16:33:00 1/4 検体提出します。

Detected Trojan program Trojan-Dropper.Win32.Agent.agyv   load.exe
784名無しさん@お腹いっぱい。:2009/02/13(金) 17:04:41
>>781
install.exeとhappy_valentine.exeはファイルサイズとMD5、SHA-512ハッシュが同一だから重複っぽいね。
785777:2009/02/13(金) 17:11:53
>>784
あっ、そうみたいですね。
すみません。
786名無しさん@お腹いっぱい。:2009/02/13(金) 17:40:15
>>777+5.htmからリンクされてるhtmlやらphpを追加して、まとめて各社に提出しました。

BitDefender(追加した分だけ検知かw)
z.htm : Iframe.Malware.A83604B1
pages.html : Trojan.Downloader.JS.MJ
count.php : Exploit.HTML.Iframe.G

AntiVir(install.exeスルー)
5.htm : JS/Dldr.IFrame.CS Java script virus
load.exe : TR/Drop.Agent.agyv Trojan
z.htm : HTML/IFrame.74 HTML script virus
787名無しさん@お腹いっぱい。:2009/02/13(金) 18:55:33
>>694
Rising 2009 21.25.42 (21.16.42.00)
a\sunrise.exe: Trojan.Spy.Win32.Zbot.fak
>>777
Risingに提出済み
788名無しさん@お腹いっぱい。:2009/02/13(金) 18:57:55
NOD32 ver3.0 定義3850
>>764
全検出確認。

789名無しさん@お腹いっぱい。:2009/02/13(金) 19:15:10
>>777
AntiVir

25259765 5.htm 1.37 KB MALWARE
25259718 install.exe 390.5 KB MALWARE
25257976 load.exe 28 KB MALWARE

Fortinet

The samples you submitted will be detected as follows:

5.htm - JS/Psyme.EF!tr

those files are already detected as follows:

happy_valentine.exe - W32/Waledac.D!worm install.exe - W32/Waledac.D!w load.exe - W32/PackWaledac.A

>>772

The sample you submitted will be detected as follows:
keygen.exe - W32/KillWin.LEC!tr
790名無しさん@お腹いっぱい。:2009/02/13(金) 22:55:07
>>777
McAfeeに提出させて頂ました。

ここまでMcAfee残件なし。
791名無しさん@お腹いっぱい。:2009/02/13(金) 23:31:02
>>777
Avira(AntiVir)回答

The pattern recognition will be integrated in one of our next updates.
The viruses will be detected as:

HTML/Dldr.Agent.YQ
HTML/Dldr.Agent.YY
HTML/Dldr.Agent.YZ
Worm/Waledac.Z
792名無しさん@お腹いっぱい。:2009/02/13(金) 23:32:10
>>764
カスペ返答

Trojan-Downloader.Win32.Agent.bhfo
These files are already detected. Please update your antivirus bases.
793名無しさん@お腹いっぱい。:2009/02/14(土) 01:27:14
>>725
Trend Micro
27/28

10.exe TSPY_ONLINEG.FSD
12.exe TSPY_ONLINEG.FSD
13.exe TSPY_ONLINEG.FSD
15.exe TSPY_ONLINEG.FSD
16.exe TSPY_ONLINEG.FSD
18.exe TSPY_ONLINEG.FSD
19.exe TSPY_ONLINEG.FSD
2.exe TSPY_ONLINEG.FSD
21.exe TSPY_ONLINEG.FSD
24.exe TSPY_ONLINEG.FSD
25.exe TSPY_ONLINEG.FSD
26.exe TSPY_ONLINEG.FSD
27.exe TSPY_DELF.OBB
3.exe TSPY_ONLINEG.FSD
6.exe TSPY_ONLINEG.FSD
7.exe TSPY_ONLINEG.FSD
8.exe TSPY_ONLINEG.FSD
9.exe TSPY_ONLINEG.FSD
aspk1.exe TSPY_ONLINEG.KXZ
fsg23.exe
fsg4.exe TSPY_ONLINEG.ZVX
nspk28.exe TSPY_DELF.POZ
upk11.exe TROJ_PACKED.BZN
upk14.exe TROJ_PACKED.BZN
upk17.exe
upk20.exe TSPY_ONLINEG.MDX
upk22.exe TROJ_PACKED.BZN
upk5.exe TROJ_DLOADER.PDC
794名無しさん@お腹いっぱい。:2009/02/14(土) 08:01:24
うえてる。なんかくれ
795名無しさん@お腹いっぱい。:2009/02/14(土) 10:25:17
バレンタインデーだろう
バレンタインチョコ。のかわりのムフフ動画。に偽装したマルウェアでも発掘汁

俺?仕事。orz のんびりウイルスつついてあそびたいよ。。。
796名無しさん@お腹いっぱい。:2009/02/14(土) 11:00:31
>>774
>0\InternetAntivirusPro.exeだけ回答待ちで未だスルー。偽セキュリティソフト?だれか代理提出お願いします。

過去に何回か送ってみたが全部白判定だった。

HDriveSweeper_Setup.exe
SystemTuner_Setup.exe
も白判定。偽セキュリティ系も含めてこれ系は無害判定するようになったみたいね……
797名無しさん@お腹いっぱい。:2009/02/14(土) 15:15:24
>>774,>>796
さっき来たカスペからの返答見ると白判定じゃないね。ファイルが壊れてるので、改めて送れって言ってる。

internetantiviruspro.exe_
Haven't a password we can't extract this file. Please send us a password or repack files
with password 'infected' (without quotes) and send it to us.

AntiVirは反応してるんだけど…さて、どうしたもんかな。
798名無しさん@お腹いっぱい。:2009/02/14(土) 15:34:01
internetantiviruspro.exe_ (6/39)
ttp://www.virustotal.com/analisis/da560437f3a86d7ee5befeb53c43a199

再送しろって指示なんで、改めて単品で圧縮して送っとくよ > カスペ
799名無しさん@お腹いっぱい。:2009/02/14(土) 15:45:56
同じ物をかけた結果。VirusTotalでは検知するベンダーも検知してない。
こっちは、拡張設定(リスクウェアとかアドウェアの検知)を切ってるのかも。

VirScan.org(2/37)
ttp://virscan.org/report/4429ca87f853fe5ceab74e25a89cd508.html

VirusTotalで検知するベンダーと検出名(>798の引用)
AntiVir : SPR/Fake.IAVP.8
BitDefender : Adware.Rogue.IntAntiVPro.A
eSafe : Win32.SPRFake.iavp
GData : Adware.Rogue.IntAntiVPro.A
NOD32 : Win32/Adware.InternetAntivirus
SecureWeb-Gateway : Riskware.Fake.IAVP.8
800名無しさん@お腹いっぱい。:2009/02/14(土) 15:46:32
800
801名無しさん@お腹いっぱい。:2009/02/14(土) 15:47:03
801
802名無しさん@お腹いっぱい。:2009/02/14(土) 15:50:06
>>799
そっちのサイトは平均的に各ベンダーのバージョンが古い気がする
AVGは7.5のままだしavast!なんか3.01とか・・・
Kasperskyは5.5とかMcAfeeにActiveProtectonがあるわけないPandaも同様
Symantecもこの分だと2009バージョンのアップデートとヒューリスティックは恐らく適用されてないでしょうね

そこのサイトは問題ありすぎ
803名無しさん@お腹いっぱい。:2009/02/14(土) 19:29:03
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=232
infected

各所に検体提出済み。
mpg■scrは、マカフィースルー。Symantecはscrはブロック、中身の1199■exeはスルー。
htmlは既知のマルウェアサイトを裏で呼び出す。こっちはスルーするベンダーの方が多いかも。

検体入手元
tp://www■wokutonoken-online■com/JP/mpg■scr
tp://bloog-aranking■com/RmtKey/
tp://bloog-aranking■com/redstonelove/

VirusTotal
ttp://www.virustotal.com/analisis/fcaa75ec10cf7fad9b86ba5ae2c6227c mpg.scr(21/38)
ttp://www.virustotal.com/analisis/f46bdada398b7e5e4d38cf4f81000b4a 1199.exe(19/39)
ttp://www.virustotal.com/analisis/2ccbb283245ef9e1f213ff42dd70f338 redstonelove.htm(4/39)
ttp://www.virustotal.com/analisis/7d0d40fd693350c9988fcceccdd76399 RmtKey.htm (2/39)
804名無しさん@お腹いっぱい。:2009/02/14(土) 19:40:14
>>803
ノートン自動返答
filename: 1199.exe
 result: See the developer notes
filename: RmtKey.htm
 result: See the developer notes
filename: mpg.scr
 result: This file is detected as Backdoor.Formador. http://www.symantec.com/avcenter/venc/data/backdoor.formador.html
filename: redstonelove.htm
 result: See the developer notes

AVG返答
We would like to inform you that attached files "mpg.scr" and "1199.exe" are already detected.
The detection is available with current AVG virus database 270.10.23/1952.

The other files should be detected by WebShiled by accessing mentioned websites with infected
source code.(他のファイルは、感染したファイルを呼び出す時に検知すべきもの)

Norman
1199■exe:検知
* Sandbox name: W32/Malware.
* Signature name: W32/PCClient.OEE.
mpg.scr:スルー
805名無しさん@お腹いっぱい。:2009/02/14(土) 20:59:49
カスペ2009@7:36:00
2/4
Detected Trojan program Backdoor.Win32.PcClient.adah tane0232.zip/mpg.scr
Detected Trojan program Backdoor.Win32.PcClient.adah tane0232.zip/mpg/1199.exe

検体提出します。
しかし、7:36:00って、シグネチャのリリース時期がいつもより若干古いな。
806名無しさん@お腹いっぱい。:2009/02/14(土) 21:00:40
>>805
>>803

ごめん
807名無しさん@お腹いっぱい。:2009/02/14(土) 21:19:46
>804
htmlで、
>The other files should be detected by WebShiled by accessing mentioned websites with infected
>source code.(他のファイルは、感染したファイルを呼び出す時に検知すべきもの)

<frameset>
<frame src="aaa.com ">
<frame src="bbb.com" >
</frameset>

上下に二つ分けるフレームセットのテンプレみたいなものだけれど、これは、フレームのソース(src)のURL(例;aaa.com)のブラックリストで鑑定しているのかな?
じゃないと、これだけでは、マルウェアでも何でもない。HTMLの解説書に載っている構文だ。

尤も、最近は、デザイン上は、フレームセットじゃなくて、<table>タグとCSS使って、ホームページをデザインしたほうがいいと推奨しているみたいだが。

2ちゃんねるのトップはは未だに左右でフレームセット使っているけれど。便利だからね。

<frameset cols="103,*">
<frame src="http://menu.2ch.net/bbsmenu.html" name="menu" MARGINWIDTH=0 MARGINHEIGHT=4 FRAMEBORDER=0>
<frame src="http://www.dd.iij4u.or.jp/~cap/iyan.html" name="cont" MARGINWIDTH=0 MARGINHEIGHT=0 FRAMEBORDER=0>
</frameset>

<noframes><body><a href="http://menu.2ch.net/bbsmenu.html">here</a></body></noframes>
808名無しさん@お腹いっぱい。:2009/02/14(土) 22:01:39
>>807
いやいや…そうでなくて。

<frame src="適当なBlogを読み込んで一般サイトに表示偽装">
<frame src="裏で呼び出す既知の危険サイト" >

iframeによる「既知の危険サイト」の呼び出しの場合に引っ掛けるかどうか。

これはテンプレにあるようにベンダーの考え方次第。
やったらキリがないけど、呼び出されるアドレスはかなり絞られるので対応するベンダーもある。
>803の結果を見る限りでは、a-squared、BitDefender(GData)、Ikarus辺りは対応する考えのよう。

それがいい悪いじゃなくて、ベンダーのセキュリティ・ポリシーの違い。

提出するかどうかも、個人個人のセキュリティ・ポリシーの問題。
例えば、>690さんのようにexe以外いらねって人もいるし、わたしのように定型的なhtmlやscriptも提出し
対応するかどうかはベンダーが判断する分野だと考える人もいる。それだけっしょ。
809名無しさん@お腹いっぱい。:2009/02/14(土) 22:17:36
a-squared=Ikarusのようなもんだけどね
Virustotalの結果もそんな感じだし
810名無しさん@お腹いっぱい。:2009/02/14(土) 23:00:54
>>809
ところで、ベンダーの提携関係教えて。
GDATA=BitDefender+Avast!しかわからない。orz
811名無しさん@お腹いっぱい。:2009/02/14(土) 23:07:21
GDATAはカスペも取り入れてなかったっけ。確か3種類だった筈。

>>803,>>805
カスペ返答。
1199.exe_, mpg.scr_ - Backdoor.Win32.PcClient.adah
These files are already detected. Please update your antivirus bases.

redstonelove.htm_, RmtKey.htm_
No malicious code were found in these files.
812名無しさん@お腹いっぱい。:2009/02/14(土) 23:08:55
F-SecureがF-Protとカスペエンジン使ってるんだっけ?
でもF-SeucreでF-Protの検出名見たことないけど
813名無しさん@お腹いっぱい。:2009/02/15(日) 00:20:19
Libra (F-Protの後継)となってるけどどうなんだろね
814783:2009/02/15(日) 00:29:34
>>777
カスペからの返事 1+追加2=3/4 (5.htm 回答待ち)

install.exe_, happy_valentine.exe_ - - Email-Worm.Win32.Iksmas.ih

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
815814:2009/02/15(日) 01:23:08
カスペからの返事
>>803 (>>805) 2+1=3/4 (回答待ち1)

Hello,

RmtKey.htm_ - Trojan-Downloader.JS.Iframe.aid

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

>>811と違うけれど、アナリストの偏差でもあるのかね?

>>777 (>>783,814) 1+事後3=4/4で終了

5.htm - 検体名記載なし。

New malicious software was found in this file.
816名無しさん@お腹いっぱい。:2009/02/15(日) 01:39:23
>>815
>>811と違うけれど、アナリストの偏差でもあるのかね?

あー、それはありそうだねぇ。
817名無しさん@お腹いっぱい。:2009/02/15(日) 01:52:21
>>811
ちゃうちゃう。前はavast+Kasperskyで、今はavast+Bit。
それで軽くなりましたとアピール中なんすよ。
818名無しさん@お腹いっぱい。:2009/02/15(日) 02:04:38
確かにGDATA2009は軽くなったみたいだけど肝心の検出性能はBitのせいで・・・
おまけにBit側で致命的な誤検出起こしたし
819名無しさん@お腹いっぱい。:2009/02/15(日) 02:11:14
あぁそれでGDATAスレが伸びていたのか
820名無しさん@お腹いっぱい。:2009/02/15(日) 11:41:22
821名無しさん@お腹いっぱい。:2009/02/15(日) 11:44:29
>>797-798のカスペ返答

Hello.
internetantiviruspro.exe
No malicious code was found in this file.

この偽セキュリティソフトは「システムを壊すとかじゃないので」危険なコードなしという判断なのかも。
危険無しとするか、リスクウェアとするかはベンダー次第だから仕方ないか。

偽セキュリティソフトの検出はセキュリティソフトの本分からちょっとずれてるからねぇ。
822名無しさん@お腹いっぱい。:2009/02/15(日) 12:03:00
Rising 2009 21.25.52 (21.16.52.00)
>>803
スルー
>>820
b2.exe: Dropper.Win32.Undef.oy
jhon.exe: Trojan.Win32.Midgare.hhn
u9dyi.exe: Win32.KUKU.a, Trojan.Win32.Vaklik.sh
823814:2009/02/15(日) 12:15:19
カスペからの返事
>>777 (>>783,814,815) 1+2=3/4で終了

Hello.

redstonelove.htm - No malicious code was found in this file.

※RmtKey.htm - Trojan program Trojan-Downloader.JS.Iframe.aid

>>820
d
Detected Trojan program Trojan.Win32.FraudPack.arf  scanner[1].exe
Detected Trojan program Trojan.Win32.Midgare.ttw   5_cod_pro_camfrog.scr
Detected Trojan program Trojan.Win32.AntiAV.sa   Patsh.exe
Detected virus Virus.Win32.Sality.aa    u9dyi.exe
Detected virus HEUR:Trojan.Win32.Invader   SweetHeart.exe,,  jhon.exe
Detected virus HEUR:Trojan.Win32.Generic   Symantec.scr,  b2.exe , it s Me.scr  , coffin.exe

検体送付します。
824名無しさん@お腹いっぱい。:2009/02/15(日) 12:18:46
>>777
Trend Micro
4/4

5.htm JS_DLOADER.RRO
happy_valentine.exe TROJ_DLOADR.AAN
install.exe TROJ_DLOADR.AAN
load.exe TROJ_IMAGE.MCL
825名無しさん@お腹いっぱい。:2009/02/15(日) 12:26:31
>>764
Trend Micro
279/279
826名無しさん@お腹いっぱい。:2009/02/15(日) 12:30:14
>>803
Trend Micro
2/4

1199.exe BKDR_PCCLIEN.AFR
mpg.scr BKDR_PCCLIEN.AFR
redstonelove.htm
RmtKey.htm
827名無しさん@お腹いっぱい。:2009/02/15(日) 13:32:55
828名無しさん@お腹いっぱい。:2009/02/15(日) 13:33:51
>>820
McAfeeに提出させて頂ました。
829名無しさん@お腹いっぱい。:2009/02/15(日) 14:05:08
>>827
スマソ
up するときに俺が一緒に張っとくべきだった。
830823:2009/02/15(日) 16:50:12
検体:>>820

カスペからの返事 10+追加検出2=12/16(白1,回答待ち残3)

hakers.exe - Backdoor.Win32.Bifrose.ansf
setup_bifrost12.1.exe - Trojan.Win32.Midgare.tut
jhon.exe - Backdoor.Win32.Bifrose.ansg (←HEUR:Invader)
Coffin.exe - Backdoor.Win32.Bifrose.anse(←HEUR:Generic)
b2.exe - Trojan-Dropper.Win32.Agent.ahck(←HEUR:Generic)
it_s_Me.scr_ - Backdoor.Win32.Bifrose.ansg(←HEUR:Generic)
SweetHeart.exe - Trojan.Win32.Midgare.tus (←HEUR:Invader)

yah patch.exe - No malicious code was found in this file.
831名無しさん@お腹いっぱい。:2009/02/15(日) 17:05:10
>>820
とりあえずavast!とBitDefenderとESETとSymantecとPandaに提出してきました

検出報告は今用事で出かけるのでできません・・・
832名無しさん@お腹いっぱい。:2009/02/15(日) 17:40:33
>>820
AntiVir:全ファイル検出(ヒューリスティック含む)

5_cod_pro_camfrog.scr : TR/Crypt.ZPACK.Gen Trojan
  server.exe : TR/Crypt.ZPACK.Gen Trojan
AceProCreator.exe : TR/Agent.851481.A Trojan
b2.exe : TR/Rootkit.Gen Trojan
Coffin.exe : (harmful) BDS/Bifrose.aleo back-door program
hakers.exe : (harmful) BDS/Bifrose.aleo back-door program
it s Me.scr : HEUR/Malware suspicious code
  cool.exe :
jhon.exe : TR/Crypt.CFI.Gen Trojan
Patsh.exe : TR/Drop.Agent.UCY.2 Trojan
scanner[1].exe : TR/Crypt.XPACK.Gen Trojan
SETUP2.EXE : W32/Alman.BB Windows virus
setup_bifrost12.1.exe : (harmful) BDS/Bifrose.aleo back-door program
SweetHeart.exe : (harmful) BDS/Bifrose.aleo back-door program
Symantec.scr : (harmful) BDS/Bifrose.Gen back-door program
  Symantec.exe : (harmful) BDS/Bifrose.Gen back-door program
u9dyi.exe : W32/Sality.Y Windows virus
Uninstall.exe : TR/Agent.78305 Trojan
yah patch.exe : TR/Spy.11776.G Trojan

BitDefender(5/16)
Coffin.exe : Backdoor.Generic.151092
Patsh.exe : Trojan.Dropper.Agent.UCY
Symantec.scr : GenPack:Trojan.PWS.LdPinch.TPC
  Symantec.exe : GenPack:Trojan.PWS.LdPinch.TPC
u9dyi.exe : Trojan.PWS.OnlineGames.ZRM
Uninstall.exe : Adware.Generic.52520
833名無しさん@お腹いっぱい。:2009/02/15(日) 20:13:55
>>820
久しぶりにFortinetから返事が来た。(14/16)になるのかな。

We will add detection for these samples in the next regular update.
The samples you submitted will be detected as follows:
5_cod_pro_camfrog\server.exe - W32/Midgare.TTW!tr
it s Me\cool.exe - W32/Bifrose.ANSG!tr.bdr
Symantec\Symantec.exe - W32/LdPinch.TPC!tr.pws
5_cod_pro_camfrog.scr - W32/Midgare.TTW!tr
b2.exe - W32/Agent.OCZ!tr
Coffin.exe - W32/Bifrose.ALEO!tr
hakers.exe - W32/Bifrose.ALEO!tr
jhon.exe - W32/AHZE.NY!tr.bdr
Patsh.exe - W32/AntiAV.SA!tr
scanner[1].exe - W32/FraudPack.ARF!tr
SETUP2.EXE - W32/Alman.BB!tr
setup_bifrost12.1.exe - W32/Agent.OMN!tr
SweetHeart.exe - W32/Bifrose.ALEO!tr
Symantec.scr - W32/LdPinch.TPC!tr.pws
u9dyi.exe - W32/Sality.AA
yah patch.exe - Spy/BackDoor

The following samples are not infected with any malicious code:
5_cod_pro_camfrog\pic.txt
Symantec\Symantec.bat
Symantec\FxSasser.exe
AceProCreator.exe
Uninstall.exe
834名無しさん@お腹いっぱい。:2009/02/15(日) 22:46:49
NOD32 v3.0 定義3853
>>820
9/16
b2.exe Win32/Agent.OCXの亜種 トロイの木馬
scanner[1].exe Win32/Adware.MSAntispyware2009 アプリケーション
Uninstall.exe Win32/Adware.Agentの亜種である可能性 アプリケーション
Coffin.exe Win32/Bifrose.NFQ トロイの木馬
Patsh.exe Win32/Injector.EHの亜種 トロイの木馬
SweetHeart.exe Win32/Bifrose.NFVの亜種 トロイの木馬
Symantec.scr Win32/Packed.Themidaの亜種である可能性 アプリケーション
u9dyi.exe Win32/PSW.OnLineGames.NMY トロイの木馬
yah patch.exe Win32/Agentの亜種である可能性 トロイの木馬
提出済のようなので、検出報告のみ。
835名無しさん@お腹いっぱい。:2009/02/16(月) 15:13:44
検体:>>820 (>>830)
カスペからの返事 10+追加検出2=12/16(白3,回答待ち残1)

AceProCreator.exe
Uninstall.exe

No malicious software was found in the attached file.

"SETUP2.EXE"はフォローかけたところ。

メールの場合は、ファイルごとの個別送信と、一括送信(複数ファイル添付orファイルかためて再圧縮)
のどっち?
ちなみに、漏れは個別派。カスペは、メール単位で採番しているから。
(関連性がありそうなエージェント系は、場合により、まとめて)
836名無しさん@お腹いっぱい。:2009/02/16(月) 15:20:55
>>835

>メールの場合は、ファイルごとの個別送信と、一括送信(複数ファイル添付orファイルかためて再圧縮)
のどっち?

大体は一括で送るようにしてる
けどSymantec(Webフォームで送信)はここでうpされた検体zipファイル(つまり検出できる検体と未検出の検体が混ざった圧縮ファイル)をそのまま送ると送った瞬間にSymantecから返事が来る
そこはまだ良いんだけど未検出検体の返事が全部See the developer notesになってそれ以降は返事が来なくなるのが難点、自動処理できたかどうかもわからない状態

だから未検出の検体だけを選んで固めて送るようにしてる
837823:2009/02/16(月) 16:09:50
検体:>>820 (>>830,836)
カスペからの返事 10+追加検出2=12/16(白4)で終わり

SETUP2.EXE

No malicious software was found in the attached file.


>>835
なるほどね。
838名無しさん@お腹いっぱい。:2009/02/16(月) 16:12:47
>>835
ある程度まとめてる。メールを大量に送りすぎると
先方のSPAM判定鯖にSPAM扱いされて
しばらくシカトされることがある(文面コピペだしね…)。
月が変わるころに解除されるっぽい。
839名無しさん@お腹いっぱい。:2009/02/16(月) 16:17:27
>>836の続き

AntiVirは今でメールで送れなくなったからこちらもWebフォームで送ってる
SymantecのWebフォームより楽なのがいいしこちらも一括で送ってるしSymantecのような未検出の検体だけ送るとかそんな気使いしなくてもいいのがまた気楽

PandaはPanda内の検疫フォルダから送るようにしてる、確実だしね
ただPanda鯖の問題で検疫フォルダから提出できないときはメールで提出してる、こちらは返事は来ないけど対応してくれるからよしとしてる

avast!はメールで一括送信かな・・・
チェスト経由からでも提出できるみたいだけどこちらは面倒なのでやってない
840名無しさん@お腹いっぱい。:2009/02/16(月) 16:36:23
>>839
AntiVirはアドレス変わってるよ。

Avira GmbH(AntiVir) <virus_malware☆avira.com>
841名無しさん@お腹いっぱい。:2009/02/16(月) 19:02:50
Rising 2009
21.26.01 (21.17.01.00)
>>363
playonline\off.htm: Trojan.DL.Script.JS.Agent.nr
new.html: Trojan.DL.Script.JS.Agent.ns
18+2=20/39
>>464
gameicity\off.htm: Trojan.DL.Script.JS.Agent.nr
103+1=104
>>803
mpg\1199.exe: Backdoor.Win32.PcClient.rep
mpg.scr>>1199.exe: Backdoor.Win32.PcClient.rep
2/4

21.26.02 (21.17.02.00)
>>363
playonline\Ms06014.htm: Trojan.DL.Script.VBS.Agent.fm
playonline\real.html: Trojan.DL.Script.JS.Agent.nw (Risingからの回答分、現時点で未検出)
20+1+1=22/39
16ファイルは不是病毒との回答(fx.htmが2個あったので回答が不正確)
>>464
gameicity\Ms06014.htm: Trojan.DL.Script.VBS.Agent.fm
104+1=105
842名無しさん@お腹いっぱい。:2009/02/16(月) 19:24:19
>>833 >>837
820 です。

Fortinet で Malware 判定された SETUP2.EXE などが
Kaspersky では Malware 判定されないってところは
各社のポリシーに依存するところなんでしょうか?

ここに上げる Malware の基準なんだが VirusTotal あたりで
そこそこヒットしてれば OK?
それとも、皆、動作確認してあげてるの?
843名無しさん@お腹いっぱい。:2009/02/16(月) 19:56:41
Anubisで動作確認してからだな俺は
844835:2009/02/16(月) 20:28:04
>>839
なるほどね。
楽なのに越したことはないね。

ところで、Pandaはテンプレに抜けているが、大丈夫。>>4-8

>>1のWikiには、
Panda(Panda Platinum) <virussamples☆pandasecurity.com>
と書いている。
追加した方がよくない?
845名無しさん@お腹いっぱい。:2009/02/16(月) 20:29:16
>>843
ありがとうございます。

ググッて調べてみましたが、便利なサービスがあるんですね。
いままで VM で動作させてた俺って・・・。orz
次回は使ってみます。
846名無しさん@お腹いっぱい。:2009/02/16(月) 20:39:15
>それとも、皆、動作確認してあげてるの?

それは仮想環境を利用してるかしてないかで変わると思うね
私のところはPCは3台あるけど1台しか導入してない
847名無しさん@お腹いっぱい。:2009/02/16(月) 21:02:16
>>846
確かにそうですね。

できる人はちゃんと動作確認やってるってことで理解しました
次も確認してあげるようにします
848名無しさん@お腹いっぱい。:2009/02/16(月) 22:17:19
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=234
virus

BitDefenderスレで話題になっていたもの。
検体入手元はアルコールソフトの公式だというが、同一バージョンでもファイルが異なっている報告あり。

誤検知の可能性あり。
ttp://www.virustotal.com/analisis/a5657986b0236efad43a64d8ca6814a8 AxCmd.exe(4/39)
849名無しさん@お腹いっぱい。:2009/02/16(月) 22:42:27
>>848
Kaspersky返答。やっぱり誤検出かな。

AxCmd.exe_
No malicious code was found in this file.
850名無しさん@お腹いっぱい。:2009/02/16(月) 22:47:12
カスペ辺りだったらとっくに検体は送られてるだろうしな
851名無しさん@お腹いっぱい。:2009/02/16(月) 22:51:22
カスペは即返答きたし、>>848は、検出可否報告なしでいいかも。
852名無しさん@お腹いっぱい。:2009/02/16(月) 22:52:57
送るなら検出してるところか
853名無しさん@お腹いっぱい。:2009/02/17(火) 19:18:17
Rising 2009 21.26.10 (21.17.10.00)
>>777
tane0229\load.exe: Trojan.Win32.Nodef.ccs
1/4
854名無しさん@お腹いっぱい。:2009/02/18(水) 08:38:52
Aviraで検索したらGOM PLAYERの中に「TR/Crypt.XPACK.Gen」が2つ出てきたんだけど、
これって上の方のレスにあるように誤検出って意味でおk?
スレ違いだったら適切なスレに誘導おながいしまつ。

現在隔離中。
855名無しさん@お腹いっぱい。:2009/02/18(水) 09:00:06
>>854
それはパッカーに反応してるだけだから中身は黒とも白ともいえんな
Aviraに提出して聞くのが一番はやい
856名無しさん@お腹いっぱい。:2009/02/18(水) 09:43:40
>>854
>>216-226
前に話題になった時と同じファイルならばリスクウェアと考えるべきかもしれない。
でも、GOM Player使ってるけど、うちのAntiVirFreeだと反応しないな。GOMのバージョン幾つよ。
857854:2009/02/18(水) 11:10:47
御二方レス感謝です〜

>>855
なるほど提出ですか(・∀・)

>>856
自分もAntiVirのフリー版です。
今よく見てみたら、1つは上のと同じ「GOMPLAYERJPSETUP.EXE」。
もう1つが「Dodge.dll」です。
GOMのバージョンは「GOM Player 2.1.9.3754 (Unicode)」です。

>リスクウェアと考えるべきかもしれない。
そういえば「GOMって怪しい」ってレスを以前見たことが・・・。
858名無しさん@お腹いっぱい。:2009/02/18(水) 12:58:24
>>857
取り敢えず、アンインストールして最新版入れときなさい。そっちは検出されないから。

該当ファイルは>>1のアプロだに上げといて貰えると誰かが提出してくれるかもしれない。
859名無しさん@お腹いっぱい。:2009/02/18(水) 13:24:23
追記:
Dodge.dllはイースターエッグ用のものらしく、dllをexeに変えると実行できるものだとか。
拡張子偽装みたいなもんか。うちで使ってるバージョンでは検知してないですけどね。
860名無しさん@お腹いっぱい。:2009/02/18(水) 16:14:15
さらに追記:
ついさっきAntiVirのパターンが更新され、「Dodge.dll」が検知されるようになった。
861名無しさん@お腹いっぱい。:2009/02/18(水) 16:17:41
細かいことで煽るつもりじゃないけど
検知して検出したんだろ
862名無しさん@お腹いっぱい。:2009/02/18(水) 17:04:10
これとは違うのかな?(英語版)

GOM Player 2.19.3754 English
http://www.filehippo.com/download_gom_player/3951/

GOMPLAYERENSETUP.EXE
Result: 0/39 (0%)

File size: 5839792 bytes
MD5...: b52224e1729efd223b040ad4c039ae2a

http://www.virustotal.com/analisis/5bce9e86bf9bcd1c6b3c4bc80c1f2656

一応、うp
http://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=235
DL: Key"gom"
863名無しさん@お腹いっぱい。:2009/02/18(水) 17:59:58
Rising 2009 21.26.20 (21.17.20.00)
>>333
b\tubeviewersetup.exe: Trojan.Win32.Nodef.chj
7+1=8/12
864名無しさん@お腹いっぱい。:2009/02/18(水) 18:00:08
いや、今朝までは検出なしだったんだけど、さっきから日本公式から落としたのにも反応するようになったのよ。
ttp://www■gomplayer■jp/exe/GOMPLAYERJPSETUP■EXE

Ver2.1.15.4610(日本語版)
AntiVirとeSafe宛に、誤検出の疑いとして16:30頃に提出済み。

ttp://www.virustotal.com/analisis/387f6c3b107cc22cf2521bf66259601a Dodge.dll(2/39) 18:05

再チェックしたら増えてるし…AntiVirの検出名だから SecureWeb-Gateway にも
検出するパターン定義が反映されただけなんだろうけど。
ttp://www.virustotal.com/analisis/ea811cc6efb9670159327f2dae875c70 Dodge.dll(3/39) 18:49

手元のAntiVirでは検知してるので、VirusTotalでは中身まではチェックしきれてない感じ。
ttp://www.virustotal.com/analisis/5426f2df29afdf932d79e28b04aa4e91 GOMPLAYERJPSETUP.EXE(0/39)

なんか、鑑定っぽくなっちゃってごめん。<m(_ _)m>
865名無しさん@お腹いっぱい。:2009/02/18(水) 18:26:13
>>854-864
GOM Playerの件、Aviraから返答。誤検知なので次の更新で対応。

Thank you for your recent inquiry.

We could not find a virus in the attachment you have sent us. This is a generic false positive.
We will take out the pattern recognition in one of our next updates.
866名無しさん@お腹いっぱい。:2009/02/18(水) 19:36:26
Rising 2009 21.26.22 (21.17.22.00)
>>695
unknown0.exe: Trojan.Win32.Nodef.cku
18+1=19/22
>>820
20090215\it s Me.scr>>cool.exe: Trojan.Win32.VBCode.eg
3+1=4/16
867854:2009/02/18(水) 20:36:36
やはり古いですよね(;・∀・)最新版にしてみます〜

>>858-864
ナル(・∀・)ホド

Dodge.dllって拡張子偽装みたいなものですか・・・怖いですよね。
提出感謝です〜

>>865
早速回答がありましたか!誤検知だったんですね。


皆さんのおかげで助かりました( ´∀`)=3 ホッ
868名無しさん@お腹いっぱい。:2009/02/18(水) 22:07:32
>>557
>>567時点でMcAfeeからの返信は
Analysis ID: 5120725
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
keygen.exe |inconclusive | | |no

本日、McAfeeからEscalationメールが届きました。
Subject: Escalation: 5120725
EXTRA.DAT
The file should be copied into the directory where the other DAT files reside (with default installation, C:\Program Files\Common Files\McAfee\Engine).

製品のdatへのフィードバックは近々される筈。。


余談ですが、もしもAVERTの中の人が見てたらお願いがあります。
メールのフォーマットを統一して頂けませんでしょうか。。。
869名無しさん@お腹いっぱい。:2009/02/18(水) 22:39:49
>>867
昼の時点では最新版でも引っ掛かるようになってた訳ですが。(^^ゞ
先程、アップデートかけたらパターン更新されたので再チェック。問題なし。

 ANTIVIR3.VDF : 7.1.2.38 → 検知(TR/Crypt.XPACK.Gen)
 ANTIVIR3.VDF : 7.1.2.43 → 検知しなくなっていました

取り敢えず、次からはここじゃなくAntiVirのスレでやろうな。
870854:2009/02/19(木) 05:38:40
>>869
そうだったんですか( ´∀`)

>取り敢えず、次からはここじゃなくAntiVirのスレでやろうな。
確かにそうですよねスマソ
ググったらこのスレが見つかったので、つい慌ててしまいました(ノ∀`)
871 ◆W32/Vael.o :2009/02/19(木) 18:35:10
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=236
Malware-Pack60

例によってMcAfeeには提出済み
872名無しさん@お腹いっぱい。:2009/02/19(木) 18:54:30
>>871
AviaPremiumSecuritySuite

Malware\0\load.exe [DETECTION] Is the TR/Drop.Agent.agyv Trojan
Malware\1\load.exe [DETECTION] Is the TR/Dldr.Agent.bhoc Trojan
Malware\3\cancelamento.scr [DETECTION] Is the TR/Crypt.CFI.Gen Trojan
Malware\5\cr.txt [DETECTION] Is the TR/Agent.bqbw Trojan
Malware\6\ldr.exe [DETECTION] Is the TR/Agent2.dte Trojan
Malware\7\CAM070209.exe [DETECTION] Is the TR/Dropper.Gen Trojan
Malware\8\viewtubesoftware.40004.exe [DETECTION] Is the TR/Dropper.Gen Trojan
Malware\9\valkit.exe [DETECTION] Is the TR/Agent.ojr Trojan
Malware\a\PIC2009-02-15-JPG.exe [DETECTION] Is the TR/Dropper.Gen Trojan
9/12

avast!4.8
Malware\0\load.exe:Win32:Trojan-gen {Other}
Malware\1\load.exe:Win32:Trojan-gen {Other}
Malware\3\cancelamento.scr:Win32:Trojan-gen {Other}
Malware\5\cr.txt:Win32:Spyware-gen [Trj]
Malware\6\ldr.exe:Win32:Rootkit-gen [Rtk]
Malware\7\CAM070209.exe:Malware\7\CAM070209.exe
Malware\9\valkit.exe:Win32:Trojan-gen {Other}
7/12
873名無しさん@お腹いっぱい。:2009/02/19(木) 18:59:11
874名無しさん@お腹いっぱい。:2009/02/19(木) 19:00:28
>>871
PandaGlobalProtection2009

ウイルス発見 : Trj/CI.A Malware\7\CAM070209.exe、Malware\5\cr.txt、Malware\1\load.exe
ウイルス発見 : W32/Waledac.I.worm         MALWARE\9\VALKIT.EXE
ウイルス発見 : Trj/Downloader.MDW          MALWARE\0\LOAD.EXE
疑いのあるファイル            MALWARE\8\VIEWTUBESOFTWARE.40004.EXE、Malware\3\cancelamento.scr、Malware\6\ldr.exe

8/12
875名無しさん@お腹いっぱい。:2009/02/19(木) 19:16:13
>>871
NortonInternetSecurity2009

Downloader:Malware\0\load.exe、Malware\7\CAM070209.exe
Downloader.Trojan:Malware\1\load.exe
Trojan.Dropper:Malware\5\cr.txt
Trojan.Fakeavalert:Malware\8\viewtubesoftware.40004.exe

5/12

ESETSmartSecurity3.0
詳細な検出報告はいつもの人に任せるということで検出数だけ報告
4/12
876名無しさん@お腹いっぱい。:2009/02/19(木) 19:27:20
>>871
Avira、avast!、Panda、Symantec、ESETに提出しました
877名無しさん@お腹いっぱい。:2009/02/19(木) 19:35:15
>>871
d
カスペ2009 18:37 9/12,(0,1,3,5,6,7,8,9,a,b) 検体提出します。(2,4,8)

Detected Trojan program Trojan-Dropper.Win32.Agent.agyv 0/load.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bhoc  1/load.exe
Detected Trojan program Backdoor.Win32.Agent.adwa  3/cancelamento.scr
Detected Trojan program Trojan.Win32.Agent.bqbw  5/cr.txt
Detected Trojan program Trojan.Win32.Agent2.dte   6/ldr.exe
Detected Trojan program Trojan-Downloader.Win32.Banload.ably   7/CAM070209.exe
Detected virus Email-Worm.Win32.Iksmas.kj   9/valkit.exe
Detected Trojan program Backdoor.Win32.SdBot.kmt   a/PIC2009-02-15-JPG.exe
Detected virus not-a-virus:FraudTool.Win32.TotalVirusProtection.a   b/totalvirusprotections.exe
878名無しさん@お腹いっぱい。:2009/02/20(金) 03:02:24
>>871
検体提出後ESETSmartSecurity3.0で再スキャン

4/12から10/12へと増加
しかしESETは本当に見違えるように進歩したな
あとアドバンスドヒューリスティック機能も頻繁に改善してるみたいだね、今月は確認できるだけで2回のヒューリスティック機能のアップデートがあった

このスレでの検出率が酷かった頃のESETはアドバンスドヒューリスティック機能のアップデートは3ヶ月に一回とかが当たり前だった
そのときと比べたら本当にESETは良くなったと思う
879名無しさん@お腹いっぱい。:2009/02/20(金) 07:40:36
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=237
virus

jpegの末尾にhtmlが挿入されているもの。

検体入手元
ttp://www■death-note■biz/up/img/41554■jpg

ttp://www.virustotal.com/analisis/69929ed87c45bee190b9e02b07ef4ea9 41554.jpg(3/39)
AntiVir 7.9.0.85 2009.02.19 HTML/PicFrame.Gen
SecureWeb-Gateway 6.7.6 2009.02.19 Script.PicFrame.Gen
TrendMicro 8.700.0.1004 2009.02.19 TROJ_IFRAME.CP
880名無しさん@お腹いっぱい。:2009/02/20(金) 07:49:51
Rising 2009 21.26.32 (21.17.32.00)
>>820
20090215\5_cod_pro_camfrog.scr>>server.exe: Trojan.Win32.Nodef.cmp
4+1=5/16
>>871
0\load.exe: Trojan.Win32.Nodef.ccs
1\load.exe: Trojan.PSW.Win32.GameOL.uwp
2/12
>>879
解凍できません
881880:2009/02/20(金) 07:55:15
>>879-880
ごめんできました
Risingスルー
提出します
882名無しさん@お腹いっぱい。:2009/02/20(金) 08:05:06
>>879
これはどういう環境で発動するの?
MS04-028ではなさそうだし。
883名無しさん@お腹いっぱい。:2009/02/20(金) 08:38:44
884名無しさん@お腹いっぱい。:2009/02/20(金) 08:58:56
いや
>この不正プログラムは、 "iFrame" タグが組み込まれた GIFファイル、JPGファイルおよび SWFファイルの検出名です。
くらいはファイル見りゃわかるんだけどさ。
IEに食わせても動かないし、何を狙っているのかがわからん。
885名無しさん@お腹いっぱい。:2009/02/20(金) 09:19:44
>>884
ここは解析スレじゃないから、具体的な挙動については余所でやれ。

アドレス自体は失効してるものを含んでたりするが、アフィ踏ませる奴で、危険サイトではなさそうだが
手法としては検出すべきものだろう。
886名無しさん@お腹いっぱい。:2009/02/20(金) 09:57:40
>>879
Symantec自動返信

filename: 41554.jpg
result: This file is clean
887名無しさん@お腹いっぱい。:2009/02/20(金) 10:47:44
さすがNorton、よくわかってるな。
888名無しさん@お腹いっぱい。:2009/02/20(金) 13:14:18
そうやって検出率テストに差が開いていくわけだ
889名無しさん@お腹いっぱい。:2009/02/20(金) 13:37:17
は?
890名無しさん@お腹いっぱい。:2009/02/20(金) 14:02:19
>>889
お前は典型的な情報弱者だなw
891名無しさん@お腹いっぱい。:2009/02/20(金) 14:12:45
続きは一番スレでどうぞ。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=238
virus
ms09002.htmはMS09-002(IE7)のスクリプト。
詳細はMcAfeeやSophosやPandaやTrendmicroのblog参照。
オリジナルは既に消されているのでmilw0rmより転載。

他は緩衝材みたいなもん(ms09002.htmが
アップローダの最小サイズ以下だったので)。
892名無しさん@お腹いっぱい。:2009/02/20(金) 14:44:34
>>890
意味不明ですが
893名無しさん@お腹いっぱい。:2009/02/20(金) 14:56:00
>>891
AviraPremiumSecuritySuite

a1.exe [DETECTION] Is the TR/Hijacker.Gen Trojan
a350.exe [DETECTION] Is the TR/Hijacker.Gen Trojan
a351.exe [DETECTION] Is the TR/Hijacker.Gen Trojan
a370.exe [DETECTION] Is the TR/Hijacker.Gen Trojan
ms09002.htm [DETECTION] Contains recognition pattern of the HTML/Rce.Gen HTML script virus
pcclient1.exe [DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
pcclient2.exe [DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
petite1.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
petite2.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
upk1.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
upk2.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
全検出

avast!4.

a1.exe\[Embedded_Ix#00530]:Win32:Trojan-gen {Other}
a350.exe\[Embedded_Ix#00530]:Win32:Trojan-gen {Other}
a351.exe\[Embedded_Ix#00530]:Win32:Trojan-gen {Other}
a370.exe\[Embedded_Ix#00530]:Win32:Trojan-gen {Other}
ms09002.htm:JS:CVE-2009-0075-A [Expl]
pcclient1.exe:Win32:Downloader-AZY [Trj]
pcclient2.exe:Win32:Downloader-AZY [Trj]
petite1.exe\[Petite]\[Embedded_I#7034]:Win32:Rootkit-gen [Rtk]
petite2.exe\[Petite]\[Embedded_I#07034]:Win32:Rootkit-gen [Rtk]
upk1.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
upk2.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
avast!も全検出、ちなみにavast!はファイルの中身を細かくスキャンする傾向があるようで同じ検体で何度も検出することがあった
なのでここで報告する時は一つだけ抽出して報告するようにします
894名無しさん@お腹いっぱい。:2009/02/20(金) 14:59:44
>>891
PandaGlobalProtection2009

ms09002.htm、pcclient1.exe、pcclient2.exe、petite1.exeがスルー
あとは疑わしいファイルとして検出
895名無しさん@お腹いっぱい。:2009/02/20(金) 15:13:24
>>891
NortonInternetSecurity2009

Suspicious.MH690.A:petite1.exe、upk1.exe、upk2.exe
Trojan.Dropper:a1.exe、a350.exe、a351.exe、a370.exe

ESETSmartSecurity3.0

upk2.exe Win32/AutoRun.Delf.AKの亜種 ワーム
upk1.exe Win32/AutoRun.Delf.AKの亜種 ワーム
petite2.exe Win32/AutoRun.Agent.IEの亜種である可能性 ワーム
petite1.exe Win32/AutoRun.Agent.IEの亜種である可能性 ワーム
pcclient2.exe Win32/PcClient.NCRの亜種 トロイの木馬
pcclient1.exe Win32/PcClient.NCRの亜種 トロイの木馬
a370.exe Win32/TrojanDownloader.Small.OME トロイの木馬
a351.exe Win32/TrojanDownloader.Small.OME トロイの木馬
a350.exe Win32/TrojanDownloader.Small.OME トロイの木馬
a1.exe Win32/TrojanDownloader.Small.OME トロイの木馬
896名無しさん@お腹いっぱい。:2009/02/20(金) 15:35:41
>>891

カスペ2009 @ 1:09:00
d
8/11

Detected Trojan program Trojan-Dropper.Win32.Mudrop.mx tane0238\pcclient1.exe, pcclient2.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bhmm tane0238\a1.exe, a350.exe, a351.exe, a370.exe
Detected virus HEUR:Trojan.Win32.AntiAV tane0238\petite1.exe , Petite2.exe

検体提出します。
897名無しさん@お腹いっぱい。:2009/02/20(金) 17:25:03
898名無しさん@お腹いっぱい。:2009/02/20(金) 17:44:11
899名無しさん@お腹いっぱい。:2009/02/20(金) 17:44:44
>>879>>891
McAfeeに提出させて頂ました。
900名無しさん@お腹いっぱい。:2009/02/20(金) 17:50:27
>>897
「?」と思ったけど、ブログねw
自分のブログで書いておきながら検出しないのはバスターではよくあるな。
McAfeeは「exploit-cve2009-0075」とextra.dat(臨時パターン)が飛んで来た。
901名無しさん@お腹いっぱい。:2009/02/20(金) 18:01:09
>>891
Rising 2009 21.26.41 (21.17.41.00)
a1,350-351,370.exe: Trojan.DL.Win32.Mnless.cfj
upk1-2.exe>>upack0.34>>MYD: Trojan.Win32.Nodef.csf
Risingに送付済み
902名無しさん@お腹いっぱい。:2009/02/20(金) 18:31:20
カスペ2009@17:54:00
>>896
6+事後5=11/11で終了
Detected Trojan program Trojan-Dropper.Win32.Mudrop.wz tane0238.zip/petite1.exe (←HEUR:Trojan.Win32.AntiAV)
Detected Trojan program Trojan-Dropper.Win32.Small.ctu tane0238.zip/petite2.exe//Petite (←HEUR:Trojan.Win32.AntiAV)
Detected virus Worm.Win32.AutoRun.aaor tane0238.zip/upk1.exe
Detected virus Worm.Win32.AutoRun.aaos tane0238.zip/upk2.exe
Detected Trojan program Exploit.JS.MS09-002.b tane0238.zip/ms09002.htm

>>879
Hello,

41554.jpg_ - No malicious code was found in this file.

ポリシーだな。
903名無しさん@お腹いっぱい。:2009/02/20(金) 23:36:52
NOD32 V3.0 定義3873
>>871 すでに>>875,>>878 で検査済だが
4/12→10/12→11/12
未検出なのは2\setup.exe

0\load.exe Win32/AutoRun.Agent.IY ワーム
1\load.exe Win32/AutoRun.Agent.JK ワーム
3\cancelamento.scr Win32/Spy.Agent.NLP トロイの木馬
4\setup.exe 複数の脅威
5\cr.txt Win32/Spy.Zbot.IW トロイの木馬
6\ldr.exe Win32/Spy.Zbot.JD トロイの木馬
7\CAM070209.exe Win32/TrojanDownloader.Banload.ONC トロイの木馬
8\viewtubesoftware.40004.exe Win32/TrojanDownloader.Zlob.CZJ トロイの木馬
9\valkit.exe Win32/Waledac.EO トロイの木馬
a\PIC2009-02-15-JPG.exe Win32/IRCBot.ALW トロイの木馬
b\totalvirusprotections.exe Win32/Adware.TotalVirusProtection アプリケーション
904名無しさん@お腹いっぱい。:2009/02/21(土) 00:02:51
とりあえず自分で確認したうえでの検体提出先へ送る時の推奨圧縮パス

Pandaはinfectedのパスかけて送るよりvirusでパスかけて送った方が対応してくれる、というかinfectedでは対応してくれなかった気がする
BitDefenderはこの逆でパスがvirusの奴で送ると対応してくれないがパスがinfectedだと対応してくれる

ただ両ベンダーとも推奨圧縮パス以外で送ると対応してくれないというより対応が異常に遅くなるという方が妥当なのかもしれない

avast!はvirusもinfectedもどっちもおk
ESETはinfected推奨だけどvirusでも問題なし

とりあえずこんなところ、参考にしてもらえればありがたい
905名無しさん@お腹いっぱい。:2009/02/21(土) 00:10:07
>>904
確かにAvastはどっちで送っても同じだったなぁ。PandaはInfectedで送ってた。次からはvirusで送ろう。参考になった。

Dr.Webはvirus推奨だが、infectedでもほぼ同じ速度で対応してくれていたのだが、自動処理できないので
virusで送ってくれというお願いのメールが来た。他のベンダーの場合も、推奨のパスワードで送ったほうが
担当者が無駄な労力をかけないで済むかもしれないので、この手の情報は有難いな。
906名無しさん@お腹いっぱい。:2009/02/21(土) 00:13:52
ちなみにAntiVirとSymantecはWebフォームで送ってるのでお答えできません
ただ以前メールでAntiVirに提出してた時は解凍パスはvirusで送ってた
907名無しさん@お腹いっぱい。:2009/02/21(土) 00:17:52
NOD32 V3.0 定義3873
>>879
0/1 提出しました

>>891
ms09002.htmのみ未検出
908名無しさん@お腹いっぱい。:2009/02/21(土) 00:18:11
以前メールで Avira に検体を送ったら、返信の最後に Web で送ってくれと書いてあった
909名無しさん@お腹いっぱい。:2009/02/21(土) 01:09:10
>>903
え?検出できますよ?
それとも一部ファイルの検出は対象外?

Malware\2\setup.exe > 7ZIP > RegClean.exe > INNO > file0002.bin - Win32/Adware.RegistrySmart アプリケーション
setup.exe > 7ZIP > RegClean.exe > INNO > file0003.bin - Win32/Adware.RegistrySmart アプリケーション
Malware\2\setup.exe > 7ZIP > RegClean.exe > INNO > file0005.bin - Win32/Adware.AntiSpyware2008 アプリケーション
910名無しさん@お腹いっぱい。:2009/02/21(土) 09:42:34
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=239
virus

いろいろ

Avira, avast! 提出済み
Avira Free 27/28 (ヒューリスティック含む)
avast! 4.8 23/28
911名無しさん@お腹いっぱい。:2009/02/21(土) 09:45:01
912名無しさん@お腹いっぱい。:2009/02/21(土) 09:45:29
913名無しさん@お腹いっぱい。:2009/02/21(土) 11:28:53
>>909
ミスったorz。
圧縮ファイル解凍時にひっかかりませんでした。右クリック→検査 で検出を確認。
914名無しさん@お腹いっぱい。:2009/02/21(土) 11:43:57
>>910 d
カスペ2009 10:49:00
20/28 検体提出します。

virus Virus.Win32.VB.ke 10.1.08.exe
virus HEUR:Trojan.Win32.Generic Assasin Virus.exe, Bh120.scr, Cheat games.exe, coocking,scrm estadium.scr, fullzadi.scr, Hm211.scr,, (2) sexi.scr
virus Rootkit.Win32.TDSS.pil EuQgwHth.exe
virus Worm.Win32.AutoRun.erd ieshwiz.exe
virus Rootkit.Win32.TDSS.pii LUfeKtuG.exe
Trojan program Trojan.Win32.VB.bsq A Virus.exe
Trojan program Trojan-Dropper.Win32.Agent.ati ASPack_Setup.exe
Trojan program Trojan.Win32.Pakes.mzc csrcss.exe
Trojan program Trojan.Win32.Regrun.agd Data owner.exe
Trojan program Packed.Win32.Black.a EF188373d01.exe
Trojan program Trojan-Spy.Win32.Ardamax.aljなど setup-ardamax 3.0.exe
Trojan program Trojan-Spy.Win32.Ardamax.alsなど setup_akl.exe
Trojan program Packed.Win32.PePatch.lc stereomix.exe.exe
915名無しさん@お腹いっぱい。:2009/02/21(土) 12:31:10
>>910
Symantecへ提出しました
916名無しさん@お腹いっぱい。:2009/02/21(土) 12:34:43
>>910
PandaGlobalProtection2009

検出数だけ
21/28
917名無しさん@お腹いっぱい。:2009/02/21(土) 12:51:24
NortonInternetSecurity2009
>>891
追加検出+3
Infostealer:petite2.exe
Backdoor.Formador:pcclient1.exe、pcclient2.exe
10/11

>>910
6/28
918名無しさん@お腹いっぱい。:2009/02/21(土) 13:02:43
>>910
ESETSmartSecurity3.0
19/28
919名無しさん@お腹いっぱい。:2009/02/21(土) 13:12:24
nProtectはBitDefenderのエンジンを採用してるってことでおk?
検出名見たらBitと同じのが多く見当たる
920名無しさん@お腹いっぱい。:2009/02/21(土) 13:20:33
>>919
nProtect ってこれ?
ttp://nprotect.jp/personal/index.html

下の方に Softwin だと書いてある。
nProtectのエンジン開発元Softwin社は、ウィルス技術対策専門誌「Virus Bulletin」 が承認する「VB100%」を取得しております。
921名無しさん@お腹いっぱい。:2009/02/21(土) 13:27:13
>>920
ごめん>>911-912見たらnProtectとBitDefenderの検出名はそんなに被ってるというわけではなかった
だけどBitのヒューリスティック検出名は使ってるみたい

あと最近のこのスレでeSafeがやたらと検出率高いからどんなベンダーか調べてみたら本社がイスラエルにあるんだね
http://www.aladdin.jp/esafe/world_wideesafe.html
922名無しさん@お腹いっぱい。:2009/02/21(土) 13:30:25
で、eSafeもSophosやFortinet同様に法人向けのみに販売していて個人には販売してない模様
確認できるだけでも法人向けのみのベンダーはSophos、Fortinet、eSafe、SecureWeb-Gatewayぐらいかな

法人主力ならそりゃレベルの高い製品作らないと意味ないか
923名無しさん@お腹いっぱい。:2009/02/21(土) 13:57:52
Rising 2009 21.26.50 (21.17.50.00)
>>891
petite1.exe>>petite2x: Worm.Win32.Undef.dx
6+1=7/11
>>910
A Virus.exe: Trojan.Win32.VB.zyh
ASPack_Setup.exe: Dropper.VB.jt
csrcss.exe: Backdoor.Win32.VB.epm
Data owner.exe, PCMAV.exe: Win32.Virut.GEN
EuQgwHth.exe, LUfeKtuG.exe: Trojan.Win32.Nodef.cai
pic.exe>>server.exe: Trojan.Win32.Nodef.cmp
8/28
検体送付済み
924914:2009/02/21(土) 14:38:21
>>910
カスペからの返事
20+事後検出4=24/28 (白2,回答待ち2)

Angel2.exe_ - Virus.Win32.VB.ma
PCMAV.exe_ - Trojan.Win32.VB.kbz
AYU_2.exe_ - Trojan.Win32.VB.kcd
boot.com_ - Worm.Win32.AutoRun.fbb
Assasin_Virus.exe_ - Trojan.Win32.DiskFlood.l (←HEUR:Worm.Win32.Generic)
Cheat_games.exe_ - Trojan.Win32.DiskFlood.m  (←HEUR:Trojan.Win32.Generic)
fullazadi.scr_ - Trojan.Win32.Agent.brrm  (←HEUR:Trojan.Win32.Generic)
(2)_sexi.scr_ - Trojan.Win32.Agent.brrn  (←HEUR:Trojan.Win32.Generic)

3dsmax (3ds max) 8 activator.exe_, patch.exe_

No malicious code was found in this file.

nvfond.exe - This file clean. Bad cured virus in this file. Now file corrupt
これは、よくわからないので、再送。.
925名無しさん@お腹いっぱい。:2009/02/21(土) 15:11:34
>>910
NOD32 v3.0 定義3875
>>918と報告数が違うけど。。。(アドバンスドヒューステリックOFFにしてるのかな?)
こちらでは23/28 未検出5つをEsetへ提出しました。
(2) sexi.scr Win32/Genetikの亜種である可能性 トロイの木馬
10.1.08.exe Win32/AutoRun.VB.BN ワーム
3dsmax (3ds max) 8 activator.exe Win32/SdBotの亜種である可能性 トロイの木馬
A Virus.exe Win32/VB.NMZの亜種 ワーム
Angel2.exe 新種・未知のNewHeur_PEである可能性 ウイルス
ASPack_Setup.exe Win32/TrojanDropper.VB.NBD トロイの木馬
Bh120.scr Win32/Genetikの亜種である可能性 トロイの木馬
boot.com Win32/Kryptik.BTの亜種 トロイの木馬
coocking.scr Win32/Genetikの亜種である可能性 トロイの木馬
csrcss.exe Win32/Kryptik.BFの亜種 トロイの木馬
Data owner.exe Win32/VB.DAの亜種 ワーム
EF188373d01.exe Win32/Packed.Themidaの亜種 アプリケーション
estadium.scr Win32/Genetikの亜種である可能性 トロイの木馬
EuQgwHth.exe Win32/Kryptik.HHの亜種 トロイの木馬
fullazadi.scr Win32/Genetikの亜種である可能性 トロイの木馬
Hm211.scr Win32/Genetikの亜種である可能性 トロイの木馬
ieshwiz.exe Win32/Agent.OJO ウイルス
LUfeKtuG.exe Win32/Kryptik.HHの亜種 トロイの木馬
patch.exe Win32/HackTool.Patcher.Aの亜種 アプリケーション
pic.exe Win32/Bifrose.NEN トロイの木馬
setup-ardamax 3.0.exe 複数の脅威
setup_akl.exe 複数の脅威
stereomix.exe.exe Win32/Injector.EQの亜種 トロイの木馬
926名無しさん@お腹いっぱい。:2009/02/21(土) 17:04:05
>>919
Bitだよ。
>>920
BitDefenderはSoftwin社の製品。

ま、ネトゲにくっついてるGameGuardにBitが入ってるわけではないです。
927名無しさん@お腹いっぱい。:2009/02/21(土) 19:38:48
>>910
McAfeeに提出させて頂ました。
928名無しさん@お腹いっぱい。:2009/02/21(土) 20:28:07
929名無しさん@お腹いっぱい。:2009/02/21(土) 20:56:56
>>928
NOD32 v3.0 定義3875
0/2
930名無しさん@お腹いっぱい。:2009/02/21(土) 20:58:42
>>928
AviraPremiumSecuritySuite

ms09002_2003sp2.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
ms09002_xpsp2.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus

avast!4.8
ms09002_2003sp2.htm:JS:CVE-2009-0075-A [Expl]
ms09002_xpsp2.htm:JS:CVE-2009-0075-A [Expl]
931名無しさん@お腹いっぱい。:2009/02/21(土) 21:02:27
>>928
PandaGlobalProtection2009
両方ともスルー
932名無しさん@お腹いっぱい。:2009/02/21(土) 21:03:15
>>910
PandaGlobalProtection2009
25/28
933名無しさん@お腹いっぱい。:2009/02/21(土) 21:09:46
>>928
NortonInterntetSecurity2009

Hacktool.IE.Exploit:ms09002_xpsp2.htm

>>925
もしかしたら単に私の数え間違いかもしれませんorz
934名無しさん@お腹いっぱい。:2009/02/21(土) 21:36:29
935923:2009/02/21(土) 21:58:08
Rising 2009 21.26.52(21.17.52.00)
>>891
petite2.exe>>petite2x: Worm.Win32.Autorun.fey
7+1=8/11
>>928
ms09002_2003sp2.htm: Hack.Exploit.Script.JS.Bucode.m
1/2

>>910
Risingより未検出の20体すべて不是病毒
8/28
936名無しさん@お腹いっぱい。:2009/02/21(土) 22:36:18 BE:1159673257-2BP(0)
元ねた: http://pc11.2ch.net/test/read.cgi/sec/1227543474/87 <直リン貼られてます>
有害本体に、股間が写った釣り動画がセットになっています(ラッパはNSIS,rar)
有害本体と、簡易実行結果(抽出物)を貼っておきます
http://www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00004.rar.html dlpass: gweAsd

vt職人さんには申し訳ないのですが、簡易鑑定依頼ですので、vtに投げさせていただきました
大手製品の一部に、指名で回避されているものがあるようです
EXE http://www.virustotal.com/analisis/f9f820d73abe6cb96d231a2a84784456 [結果キャッシュ 2009/02/20]
DLL http://www.virustotal.com/analisis/8bcd610414d41cbe1d0e3959e6e2afe0
SYS http://www.virustotal.com/analisis/6a61554494eff6f0e15574903b48f0c1 [結果キャッシュ 2008/09/03]
937914:2009/02/21(土) 22:42:58
カスペ
検体:>>910 (>>914,924)
20+事後検出4=24/28 (白2、ファイル破損1, 回答待ち pic.exe 1)

Trojan program Trojan.Win32.Agent.brrn coocking.scr, Hm211.scr (←HEUR:Trojan.Win32.Generic)
Trojan program Trojan.Win32.Agent.brrm Bh120.scr,  estadium.scr (←同上)

nvfoud.exe - This file is corrupted.


検体:>>871>>877
9+事後検出1=10/12 (2,4以外), 回答待ち2(2\setup.exeと4\setup.exe)

Trojan-Downloader.Win32.Agent.bihg 8\viewtubesoftware.40004.exe


>>928
>>934
2/2
938名無しさん@お腹いっぱい。:2009/02/21(土) 22:43:00
>>910
http://www.virustotal.com/jp/analisis/80ad21e3ede8d653e3a644a9fb070dc4 26/39 (10.1.08.exe)
↑は入ってないのですが

n/28?何故に?
939名無しさん@お腹いっぱい。:2009/02/21(土) 22:46:00
>>936
>股間が写った釣り動画

提出ためらうな。
940名無しさん@お腹いっぱい。:2009/02/21(土) 22:49:01
>>938
数え忘れ スマン
941名無しさん@お腹いっぱい。:2009/02/21(土) 22:49:50
>>936
PandaとSymantecに提出
942名無しさん@お腹いっぱい。:2009/02/21(土) 23:21:16 BE:596403263-2BP(0)
元ねた: http://pc11.2ch.net/test/read.cgi/sec/1227543474/88 <直リン貼られてます>
有害本体に、ねとげ標準のバナー画像らしきものがセットになっています(ラッパはrar)
有害本体を貼っておきます 簡易実行では、ほぼ自分のコピーが作成されました
http://www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00005.rar.html dlpass: dfxEsa

vt職人さんには申し訳ないのですが、簡易鑑定依頼ですので、vtに投げさせていただきました
http://www.virustotal.com/analisis/b9d9b1272077fbb51c7f587528fd8346 [結果キャッシュ 2009/02/20]
943名無しさん@お腹いっぱい。:2009/02/21(土) 23:28:20
>>942
解凍できない
壊れてる?
WinRARなら出来るのかな
Zipでお願い
944名無しさん@お腹いっぱい。:2009/02/21(土) 23:49:23
945名無しさん@お腹いっぱい。:2009/02/22(日) 00:13:25
>>936
これも解凍出来た方、zipでお願いします。
946名無しさん@お腹いっぱい。:2009/02/22(日) 00:24:54
947名無しさん@お腹いっぱい。:2009/02/22(日) 00:39:32
>>938
それは、システムと隠しの属性ついたファイルだったような。表示する設定になってない人には見えないかもしれん。

わたしは、システムと隠し属性を解除してから検体送ったよ。
948名無しさん@お腹いっぱい。:2009/02/22(日) 01:03:18
>>944
>>946
McAfeeに提出させて頂ました。
949名無しさん@お腹いっぱい。:2009/02/22(日) 01:11:28
ん、Risingの解析報告に10.1.08.exeが入ってないな
(´・ω・) カワイソス
>>944>>946
未検出送ってきます
950名無しさん@お腹いっぱい。:2009/02/22(日) 01:32:05
>>944,946
AntiVir(全検出)
1199.exe.ico : DR/PcClient.Gen dropper
1199.exe.sys : TR/Rootkit.Gen Trojan
1199.exe.dll : (harmful) BDS/Backdoor.Gen back-door program
GTDR.exe : TR/Inject.ozz Trojan
GTDR/muchboy.exe : TR/Inject.ozz Trojan
muchboy.exe.ico : TR/Inject.ozz Trojan
RM.exe : DR/PcClient.agv dropper
RM/1199.exe : DR/PcClient.Gen dropper
951名無しさん@お腹いっぱい。:2009/02/22(日) 01:44:36
>>945
>>936の解凍パスは「infected」で解凍できたよ
952名無しさん@お腹いっぱい。:2009/02/22(日) 01:55:21
>>951
ほんとだ
書いてないから当然dlpassと同じと思った
953名無しさん@お腹いっぱい。:2009/02/22(日) 01:56:30
10.1.08.exeは+Lhacaで解凍出来ますね。
954名無しさん@お腹いっぱい。:2009/02/22(日) 03:33:35
>>928
NortonInternetSecurity2009
約6時間で対応完了

2/22/02:29

filename: ms09002_2003sp2.htm
machine: Machine
result: This file is detected as Hacktool.IE.Exploit.

955名無しさん@お腹いっぱい。:2009/02/22(日) 03:38:14
Symantecは>>954みたいに自動解析が常時6時間で解析完了してくれれば検出率も上がりそうな感じがするんだけどな・・・・

というよりも自動解析失敗→手動解析行きのパターンが対応速度が遅すぎてこれが痛い
自動解析の精度と速度を高めて手動解析も対応が速くなればSymantecは完璧なんだけどな・・・
今のSymantecの課題はこれかも(これはPandaにもいえると思う、対応速度の傾向的にSymantecとPandaは似てる)
ま、去年の今頃と比べたらSymantecはだいぶ進歩したからこれからの伸びしろに期待
956935:2009/02/22(日) 13:34:17
Rising 2009 21.26.60 (21.17.60.00)
>>871
3\cancelamento.scr: Trojan.PSW.Win32.Undef.bbx
6\ldr.exe: Trojan.Win32.Ntos.oi
8\viewtubesoftware.40004.exe: Trojan.DL.Win32.Undef.dkc
9\valkit.exe: Trojan.DL.Win32.Undef.dkb
a\PIC2009-02-15-JPG.exe>>CABINET>>rye.exe: Backdoor.Win32.Gpigeon2008.atr
a\PIC2009-02-15-JPG.exe: <Unknown virus>
2+5=7/12
>>891
pcclient1.exe: Backdoor.Win32.Nodef.u
pcclient2.exe: Backdoor.Win32.Nodef.t
8+2=10/11
>>910
Assasin Virus.exe: Trojan.Win32.Nodef.dmc
AYU 2.exe: Trojan.Win32.Nodef.dmd
Cheat games.exe>>upx_c: Trojan.Win32.Nodef.dme
8+3=11/28
>>944
muchboy.exe.ico: Trojan.Win32.Nodef.dmn
1/1
>>946
1199.exe.dll: Backdoor.Win32.PcClient.rgq
1199.exe.sys: RootKit.Win32.FileHidder.c
1199.exe.ico: Backdoor.Win32.Nodef.t
2+1=3/3、上二つは報告忘れ分

以下は瑞星2009的21.17.61版本(瑞星2008的20.84.61版本)で対応予定
>>928
1、文件名:ms09002_xpsp2.htm
病毒名:Hack.Exploit.Script.JS.MS09002.a
1+1=2/2
957名無しさん@お腹いっぱい。:2009/02/22(日) 18:19:28
カスペ 17:25:00
検体:>>910 (>>914,924,937)
20+事後検出5=25/28 (白2、ファイル破損1)でクローズ

Trojan.Win32.Midgare.uhu pic.exe
958949:2009/02/23(月) 14:58:08
Risingより
>>910
文件名:10.1.08.exe
病毒名:Worm.Win32.VB.te
21.27 (21.18.80.00) で検出も確認
11+1=12/28
959 ◆W32/Vael.o :2009/02/23(月) 18:09:03
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=243
Malware-Pack61

例によってMcAfeeには提出済み
960名無しさん@お腹いっぱい。:2009/02/23(月) 18:22:17
>>959
AviraPremiumSecuritySuite

Malware\0\readmer.txt [DETECTION] Is the TR/Spy.ZBot.lxc Trojan
Malware\1\cm.exe [DETECTION] Contains recognition pattern of the DR/Advis.356352 dropper
Malware\2\sur.exe [DETECTION] Is the TR/Spy.ZBot.nlj Trojan
Malware\3\install.exe [DETECTION] Is the TR/Dldr.Agent.bido Trojan
Malware\4\dev.exe [DETECTION] Is the TR/Waledac.409088.1.4 Trojan
Malware\5\server.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\7\softname.exe
[0] Archive type: NSIS
--> ProgramFilesDir/pc.exe
[DETECTION] Contains recognition pattern of the SPR/Fraud.PrivC.1 program
Malware\8\setup.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\a\ldr.exe [DETECTION] Contains recognition pattern of the DR/Delphi.Gen dropper

avast!4.8
Malware\0\readmer.txt:Win32:Rootkit-gen [Rtk]
Malware\1\cm.exe\adv112.exe\install.exe:Win32:Rootkit-gen [Rtk]
Malware\2\sur.exe:Win32:Rootkit-gen [Rtk]
Malware\6\xcvb2.pdf:JS:Pdfka-AN [Expl]
Malware\8\setup.exe:Win32:Trojan-gen {Other}
961名無しさん@お腹いっぱい。:2009/02/23(月) 19:04:10
NOD32 v3.0 定義3880
>>959
6/12
0\readmer.txt______Win32/Spy.Zbot.JP トロイの木馬
1\cm.exe____________複数の脅威
2\sur.exe____________Win32/Spy.Zbot.JN トロイの木馬
3\install.exe________Win32/Adware.Antivirus2010 アプリケーション
4\dev.exe___________Win32/Kryptik.HUの亜種 トロイの木馬
6\xcvb2.pdf_________PDF/Exploit.Pidief.AFV トロイの木馬
未検出ぶんをEsetへ提出しました。

962名無しさん@お腹いっぱい。:2009/02/23(月) 19:14:52
>>959 d
カスペ2009 18:18:00
8/12 (2, 3 ,5, 6, 7, 8, 9 ,a )
検体提出します。

Detected Trojan program Trojan-Spy.Win32.Zbot.nlj 2/sur.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bido 3/install.exe
Detected Trojan program Backdoor.Win32.Hupigon.gdes 5/server.exe
Detected Trojan program Exploit.Win32.Pidief.afv 6/xcvb2.pdf
Detected virus not-a-virus:FraudTool.Win32.Agent.jn 7/softname.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.nxo 8/setup.exe
Detected virus Worm.Win32.AutoRun.aauy 9/load.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.nxn a/ldr.exe
963962:2009/02/23(月) 19:22:14
>>959
カスペ9/12に訂正。 下記記載漏れ。うっかりミスすまぬ。
Detected Trojan program Trojan-Spy.Win32.Zbot.nlp 0/readmer.txt
964名無しさん@お腹いっぱい。:2009/02/23(月) 19:42:25
>>959
Rising 2009 21.27.02 (21.18.02.00)
5\server.exe: Backdoor.Win32.Gpigeon2007.cqx
7\softname.exe>>tools\sp\sp.dll: AdWare.Win32.Agent.cda
a\ldr.exe: Trojan.PSW.Win32.LdPinch.dkl
3/12
965名無しさん@お腹いっぱい。:2009/02/23(月) 20:04:18
>>959
PandaGlobalProtection2009

ウイルス発見 : Trj/CI.A     install.exe、readmer.txt
疑わしいファイル:dev.exe、server.exe、softname.exe、setup.exe、ldr.exe
966名無しさん@お腹いっぱい。:2009/02/23(月) 20:58:04
>>959
Symantecへ提出済み
967名無しさん@お腹いっぱい。:2009/02/23(月) 21:08:38
>>966
NortonInternetSecurity2009

3、6、a

SONAR検出がどんなものか検証するためわざわざここの検体を実行してみた
結果は確かにSONAR検出はあったもののやはりスルーしたものもあり思いっきり感染
今度やる時は仮想環境にしよう・・・・

ってかSONARは手動検査にも適用してくれればいいのに、今の検出方法だと危険すぎてとてもSONAR検出を試すことができない
968名無しさん@お腹いっぱい。:2009/02/23(月) 21:16:28
>>967
>ってかSONARは手動検査にも適用してくれればいいのに、
それがヒューリスティックスキャンだろ
969名無しさん@お腹いっぱい。:2009/02/23(月) 21:19:57
>>968
検出するものはヒューリスティックとSONARでは違うよ
それに検出名もヒューリスティックとSONARでは当然違う
970名無しさん@お腹いっぱい。:2009/02/23(月) 21:42:08
avast! に検体を送っているが、一向に対応してくれない。
すべて無視されているかも。
スパマー認定されたか?(笑)
971名無しさん@お腹いっぱい。:2009/02/23(月) 22:16:25
>>970
Avastは、返事なんかこないよ〜

昨年末に送った検体への(初めてきた)返事(12/31着)
 >Hello,
 >
 >and thank You for all the virus samples You've sent.
 >Happy New Year 2009! :)
 >
 >Pavel Havajik
 >Alwil Software, a.s.

返事は来ないけど、一応受理はしてるみたいw
対応速度や、対応するかどうかのポリシー的なものは各社で異なるから気にすんな。
972名無しさん@お腹いっぱい。:2009/02/23(月) 22:24:54
>>971
ありがと
めげずにこれからも検体送るよ
973名無しさん@お腹いっぱい。:2009/02/23(月) 22:37:20
>>962-963
カスペ返答
リスクウェアとして2ファイル追加。提出時に、7/sftname.exeをばらして送った分。

pc.exe - not-a-virus:FraudTool.Win32.Agent.jn
sp.dll - not-a-virus:FraudTool.Win32.Agent.jp
974名無しさん@お腹いっぱい。:2009/02/23(月) 22:39:53
>>959
AntiVir 検出状況は>960さんが報告している通り。

回答
The files you have sent us represent a bigger collection of malware.
Our virus lab will check the files and integrate new signatures in one of our next updates.

土日を挟んで複数のファイル送ってたから、こんな返事が…頑張れ、担当者さん。
975名無しさん@お腹いっぱい。:2009/02/23(月) 23:07:26
Eset NOD32 V3.0 定義3881
>>961に3つ追加 6/12→9/12
5_server.exe_20090223___Win32/Hupigon.NMR トロイの木馬
8_setup.exe_20090223____Win32/Spy.Zbot.BA トロイの木馬
a_ldr.exe_20090223______Win32/Spy.Zbot.JF トロイの木馬


976名無しさん@お腹いっぱい。:2009/02/24(火) 00:49:15
とりあえず仮想環境を利用してのSONARの検出状況は・・・・
SONARを過信してはいけない、これが結論
この実験で痛い目を見ました・・・もっと早くに仮想環境を利用すればよかった、ま、捨てPCでの実験でよかったと思ってる
大事なデータはそんなに入ってないからリカバリも気にせず出来た
ただNortonに関しては実行時にシグネチャで検出することがあるのが厄介
977962:2009/02/24(火) 02:08:14
カスペからの返事
>>959 (>>962,963,967)
9+事後検知1=10/12 (白1, 回答待ち1 1\cm.exe)

4\dev.exe_ - Email-Worm.Win32.Iksmas.qj
New malicious software was found in this file.

b\setup.exe - No malicious code was found in this file.
978962:2009/02/24(火) 11:11:00
カスペからの返事
>>959 (>>962,963,967,977)
9+事後2=11/12(白1)で終了

1\cm.exe_ - Trojan-Downloader.Win32.Agent.bipp

New malicious software was found in this file
979名無しさん@お腹いっぱい。:2009/02/24(火) 15:46:24
9801:2009/02/24(火) 15:50:10
>>8
>>758-761.762,765
981名無しさん@お腹いっぱい。:2009/02/24(火) 16:28:20
ベンダーの名前んとこの妙なセミコロンも消してくれるとありがたい
F-Protとかewidoとか
9821:2009/02/24(火) 16:32:15
次スレ
【鑑定目的禁止】検出可否報告スレ10
http://pc11.2ch.net/test/read.cgi/sec/1235459712/

テンプレ確認よろしく。

>>981
すまぬ。間に合わなかった。orz
次スレ(★11)で訂正。
983名無しさん@お腹いっぱい。:2009/02/24(火) 16:41:56
>>982


>>979d
カスペ2009 15:30:00

Detected Trojan program Exploit.Win32.Pidief.agc tane0244.zip/apsa0901.pdf
984名無しさん@お腹いっぱい。:2009/02/24(火) 19:00:30
>>979
apsa0901.pdf
avast! 4.8 JS:Agent-CW [Expl]
AntiVir Free HTML/Shellcode.Gen
985名無しさん@お腹いっぱい。:2009/02/24(火) 19:44:53
986名無しさん@お腹いっぱい。:2009/02/24(火) 19:46:14
>>979
McAfeeに提出させて頂ました。
987名無しさん@お腹いっぱい。:2009/02/24(火) 20:18:57
Rising 2009 21.27.12 (21.18.12.00)
>>695
msmsg1.exe: Trojan.Win32.VUNDO.cqb
rkit1.exe: Trojan.Win32.RootKit.a
19+2=21/22
>>959
8\setup.exe: Trojan.DL.Win32.Undef.dkn
3+1=4/12
>>979
apsa0901.pdf: Hack.Exploit.Script.Agent.w
1/1
988名無しさん@お腹いっぱい。:2009/02/25(水) 00:12:02
>>979
Pandaへ提出しました
989名無しさん@お腹いっぱい。:2009/02/25(水) 00:27:02
>>979
NOD32未検出 提出済。
990名無しさん@お腹いっぱい。:2009/02/25(水) 01:25:01
>>979
AntiVir
HTML/Shellcode.Gen (1/1)
991名無しさん@お腹いっぱい。:2009/02/25(水) 12:36:23
埋めついでに。2009/02/25に更新されたファイル

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=245
virus

検体入手元
ttp://www■wokutonoken-online■com/blog/play■scr

ttp://www.virustotal.com/analisis/8285852bdc7102f239112b2a69c9ecbe play.scr(22/39)
ttp://www.virustotal.com/analisis/8c0fcfcb43f936751f0b67c73ad68331 1199.exe(17/39)

AntiVir
play.scr : DR/PcClient.agv
1199.exe : DR/PcClient.Gen
992名無しさん@お腹いっぱい。:2009/02/25(水) 12:47:15
>>991
PandaとSymantecへ提出しました
993名無しさん@お腹いっぱい。:2009/02/25(水) 12:54:50
>>991
Risingに送りました
994名無しさん@お腹いっぱい。:2009/02/25(水) 13:06:24
>>991
カスペ返答。流石に速いな。

1199.exe_, play.scr_ - Backdoor.Win32.PcClient.adup

New malicious software was found in these files. Detection will be included in the next update.
995名無しさん@お腹いっぱい。:2009/02/25(水) 13:08:08
>>991
Symantec自動返答。VirusTotalの通り。

filename: 1199.exe
result: See the developer notes(いつものように手動解析へ)

filename: play.scr
result: This file is detected as Backdoor.Formador. http://www.symantec.com/avcenter/venc/data/backdoor.formador.html
996名無しさん@お腹いっぱい。:2009/02/25(水) 16:17:44
>>991
Risingより
1、文件名:1199.exe
病毒名:Backdoor.Win32.PcClient.rjv
2、文件名:play.scr
病毒名:Backdoor.Win32.PcClient.rjv
瑞星2009的21.18.22版本(瑞星2008的20.85.22版本)で対応予定
997名無しさん@お腹いっぱい。:2009/02/25(水) 19:56:38
BitDefender10Free

>>979
apsa0901.pdf=>(JAVASCRIPT) 感染: Exploit.PDF-JS.Gen.C07

>>991
play.scr 感染: Dropped:Backdoor.PCClient.TCH
1199.exe 感染: Trojan.Crypt.DG
998名無しさん@お腹いっぱい。:2009/02/25(水) 19:58:57
SUPERAntiSpyware

>>979
apsa0901.pdf : スルー

>>991
play.scr : スルー
1199.exe : スルー
999名無しさん@お腹いっぱい。:2009/02/25(水) 20:00:25
Spybot

>>979
apsa0901.pdf : スルー

>>991
play.scr : スルー
1199.exe : スルー

これで埋め立て完了(笑)
1000名無しさん@お腹いっぱい。:2009/02/25(水) 20:00:40
1000
10011001
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。