【鑑定目的禁止】検出可否報告スレ9

�@はじめに
各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うｐろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

前スレ
【鑑定目的禁止】検出可否報告スレ8
http://pc11.2ch.net/test/read.cgi/sec/1228314831/


●専用アプロダ推奨↓
http://tane.sakuratan.com/

●検体提出先まとめWiki
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先（Webフォーム、メールアドレス）、検体提出方法、推奨される文例、検体提出時の注意事項が掲載されています。

�A議論や意見のまとめ

・圧縮ファイルと検出数
　exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。

・DOSウイルス禁止
　大昔のウイルスを集めてきても無意味なことがあります。

・パスなしZIPをパス有りLZH(またはRAR)で
　安全性と利便性のため、上記の手法を推奨します。

・淡々とやれ淡々と！
　淡々と貼り、淡々といきましょう。

・ブラクラ禁止
　ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません。

・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
　んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。　という意見もあり。

・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、提出していない旨記載。（ベンダーに多重送付を避けるため）

・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。

・スレ違いでもめる(2スレ目以降)

・あらしはスルー。ソフトの優劣の議論は別スレで！（下記スレなど）

一番いいセキュリティソフトはなんだ!!Part60
http://pc11.2ch.net/test/read.cgi/sec/1227491237/

【重要】
●ここは鑑定スレではありません！！！！！malwareのみお願いします。（割れ、キージェネ、クラッカー厳禁）
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。

※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら貢献することを目的としているスレです。
検体の悪用・不正利用は厳禁願います。

●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。

●検体確認は自己責任でお願いします。感染しても責任は一切持ちません！


※◆W32/Vael.oは信頼できるコテさんです。



★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。

・VIRUSTOTAL (VT)
http://www.virustotal.com/jp/

・VirScan
http://www.virscan.org/


・Jotti
http://virusscan.jotti.org/

※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。

●新種・亜種ウイルスを発見した場合のサンプル提出先
(未検出の場合はとにかく提出しましょう)

シマンテック （ノートン）
Symantec Security Response USA 〔Upload a suspected infected file〕
ttps://submit.symantec.com/websubmit/retail.cgi

ウイルスバスター（トレンドマイクロ）　
http://inet.trendmicro.co.jp/esolution/supform.asp
バスターユーザー以外は
;http://www.trendmicro.com/jp/security/virushunter.htm
http://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7

マカフィー　
http://www.nai.com/japan/security/contactavert.asp


ESET　NOD32アンチウイルス　
http://www.eset.com/support/ans/9d.htm

V3ウイルスブロック（アンラボ）
http://info.ahnlab.com/customer/virus_call.html

ウイルスドクター　
http://www.virusdoctor.jp/virus/

Rising（ウイルスキラー）
http://up.rising.com.cn/webmail/uploadnew.htm
Rising（ウイルスキラー）英語版
ttp://sample.rising-global.com/webmail/upload_en.htm


Dr.WEB　
ttp://drweb.jp/support/virus_sample.html

ソフォス（Sophos)　
http://www.sophos.co.jp/support/queries/#sample

F-Secure (エフセキュア)　
http://www.f-secure.co.jp/support/samples/

kaspersky（カスペルスキー）
http://www.kaspersky.co.jp/
一番下の「新しいウイルスをお知らせ下さい」

バイロボット(hauri、ViRobot)
http://www.hauri.net/support/support/virus_reg.html?menu=QTAy

キングソフト・アンチウィルス
http://www.kingsoft.jp/is/kentai.html

BitDefender　
http://www.bitdefender.com/bd/site/contactus.php

Avira AntiVir
ttp://www.avira.com/en/support/submit_suspicious_files.html

ewido (AVG;Anti ;Spyware)　
http://www.ewido.net/en/malware/

AVG　
http://www.grisoft.cz/doc/faq/jp/crp/0
http://www.grisoft.com/jp.faq.num-771#faq_771

avast!　
http://www.avast.com/jpn/technical_support.html

eTrust　
http://www.caj.co.jp/support/csp/free_policy/virus.htm

F-PROT;
http://www.f-prot.com/virusinfo/submission_form.html

eSafe　
http://www.aladdin.com/home/csrt/vsubmit.asp

a2(a-squared)
http://www.emsisoft.jp/jp/support/submit/

Microsoft（マイクロソフト）
ttp://www.microsoft.com/security/portal/submit.aspx

ウイルスセキュリティZERO (K7Computing)
ttp://k7computing.com/Support/newvirus.html

ウイルスチェイサー
http://www.viruschaser.jp/support_aft.html#q28

以上 テンプレここまで
-----------------------------------------


テンプレ（>>1->>7)、検体提出先(>>4->>7)の変更・追加あれば、>>8にレスする形で指摘よろ。

変更点
・Jottiを加えた。 >>3
・ウィルスセキュリティ(K7Computing)については重複していたので、>>7に記載、検体提出先を正しいものに変更
・HAURIについては重複していたので、>>5に記載、検体提出先を正しいものに変更。
・「検体提出先まとめWiki」を加えた。>>1
・検体結果SSのお願いをテンプレから削除。
・怪しいURL鑑定スレではないことを追加。
・その他

足早にスレ立てしたので確認よろしく。

>1 otu

hosyu

>>8
>>4のESETの検体提出先は「404 Page Error」なんですが・・・・
あと>>6のBitDefenderの提出先もあれじゃどこにあるのかわからない

ここら辺も正しいものに変更希望

>>1-8 乙

>>9 確認します。

前スレ1000埋まりそうなので、前スレでアップロードされた最近の検体3体（返答専用）

934 名前： ◆W32/Vael.o [sage] 投稿日：2009/01/13(火) 18:37:05
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=186
Malware-Pack55

例によってMcAfeeには提出済み

967 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/01/15(木) 13:18:10
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=187
virus

BitDefender

送付先１：
support(あっと)bitdefender.com
　http://beta.bitdefender.com/site/KnowledgeBase/consumer/

　下記の選択肢を選ぶ
　　-->Fight against malware
　　　　　+-->Improving Detection
　下記の文書を選ぶ
　　-->What to do when BitDefender does not detect malware

送付先２：
　virus_submission(あっと)bitdefender.com（2MBまで？)
　http://forum.bitdefender.com/index.php?showtopic=3066

989 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/01/16(金) 14:28:41
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=189
virus

>>4
V3ウイルスブロック（アンラボ）
リンクが404

・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答
　（詳細は>>1の提出先まとめの末尾参照）
　Ahnlab Customer(AhnLab-V3) <ahnlabcustomer＠ahnlab.co.jp>
・アンラボ(韓国)にはフォームあり。最近はエラーで送れない。
　http://kr.ahnlab.com/info/customer/virus_call_write.jsp
・アンラボ(グローバル/鯖は韓国)からは、専用のAhnReportを使用するよう指示されている。
　http://global.ahnlab.com/global/support/support_report.html

ESET
http://training.eset.com/kb/index.php?option=com_kb&Itemid=29&page=articles&articleid=141

>>7のウイルスチェイサーに関する補足事項に下記を１行追記希望

※ Dr.Webエンジンのため、Dr.Webに直接送ったほうが良い。

>>11
>前スレ1000埋まりそうなので、前スレでアップロードされた最近の検体3体（返答専用）

割り込みごめんなさい。orz

VirustotalのSymantecはパルスアップデートを適用させてるのかな？
ついさっき検出できるようになった検体がVTでも検出できるようになってる
ttp://www.virustotal.com/analisis/7152fe076e2dea10c8239f5671be828d
でもVirustotalのSymantecはバージョン古いからパルスアップデートを適用させてるのはどう考えてもあり得ないし・・・（現に2009で検出できるヒューリスティック検出はVirustotalでは検出できない）

>>13
NortonInternetSecurity2009追加検出+1
Infostealer.Wowcraft：wow1dll.exe
9/12

>>15
Rising
21.21.32 (21.12.32.00)にて
sqlinject1.exe: Backdoor.Win32.PcClient.qck
upk1dldr.exe: Trojan.PSW.Win32.QQPass.qir
21.21.42 (21.12.42.00)にて
autorun1-4.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bge
mj1.exe>>65: Trojan.Win32.Nodef.zr
mj1dll.exe: Trojan.Win32.Nodef.zr
pol1.exe>>66: Trojan.Win32.Nodef.zp
pol1dll.exe: Trojan.Win32.Nodef.zp
wow1.exe>>66: Trojan.Win32.Nodef.zq
wow1dll.exe: Trojan.Win32.Nodef.zq
12/12

>>15
カスペ2009＠18:47:00

5+追加検出7=12/12

Detected Trojan program Trojan.Win32.Agent.bihy tane0189.zip/wow1dll.exe
Detected Trojan program Trojan-GameThief.Win32.WOW.eki tane0189.zip/wow1.exe
Detected Trojan program Trojan.Win32.Delux.fv tane0189.zip/sqlinject1.exe

上記3つは検知後、Thank you メール受信
autorun[1-4].exeについては、カスペから今メール受信 19:44

Hello.

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

カスペはアナリストによって、返事返すのが遅かったり、返さない場合があるからなぁ。（検知を以て回答とするみたいな）

ベンダーにメールで検体を提出するときに、
ヤフーメールやgooメールなどのフリーメールで検体を提出しても大丈夫でしょうか？
それともプロバイダのpopメールで提出したほうがいいのでしょうか？

別にいいんじゃない。
zipかrarで圧縮して送信できれば。（exeだとリジェクトされるかも）

>>22
フリーメールで構いません。添付さえできれば。
あと、圧縮ファイルはzip＆パスワードをつけて、本文内にパスワードを記載。
ベンダによっても違うみたいですよ。

>>1
オツカレ〜

>>23、>>24
ありがとうございます。

眠いくてファイルのアップする気力がないので情報だけ
ttp://namaekurekure.blog116.fc2.com/blog-entry-155.html
ルーマニア政府観光局のサイトが進入されたっぽい。
iframeだった。
ちなみにカスペ2009（新エミュ）では"HEUR:Trojan.Script.Iframer"で検出。
一応送ります。

>>27
突撃してみようかと思ったけど仮想環境じゃないしexploit系が仕込まれてるみたいなので今回は止めておく
捨てPCでも感染は怖い

>>27
踏んできたw

グーグル先生にしかられFirefoxたんに警告されて
行ってみたら、、、ドメイン登録ごと吹っ飛んでおりましたw

気力しぼって、うpした。
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=190
virus

>>30
ソースコードみたけれど、バイナリで直接し込まれているな
実行したくねぇけれど・・・・これから実行するわ

F-Secure Intenet Security2009で逝ってきます

とりあえず、Firefox(NoScriptだけ切った)に放り込んでみたけれどなにも起こらず
その際のTCPMonitorPlusのログを上げておきます
http://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=191

パス　virus

誰か一緒に検証してくれ

Firefoxは無害だもの

>>30
http://www.virustotal.com/jp/analisis/8f9e88903a5fb25fc01367f359ac9699

>>15
NortonInternetSecurity2009追加検出+1
Trojan Horse：wow1.exe
10/12

>>30
とりあえずAntiVir、Panda、Symantecに提出した
でも>>35を見ると微妙・・・

>>27 >>31
難読化スクリプトはdocument.writeなどをalertにして
Firefoxで踏んでみる(IEはダイアログの中身が長すぎると省略されるのと
ダイアログの内容を選択できずエディタなどにコピペできない)。

平文に戻したスクリプトにはMS08-078のシェルコード(unicode)が入っていて
アセンブラ読めない自分は涙目なんだけど、
他にOEとかSnapshotViewer(Access)とかFlashとかPDFとか
併用しまくっているのでそちらからいただきました
(OEやSnapshotViewerはexeのURIベタ書きなので検体の入手が容易です)。

67■215■231■242/uniq/load.php
→1.exe (ダウンローダ)
　→gpt0■ru/2k9/s9.exe

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=192
virus
2匹ともUPXだったので解凍済み。

>>38
> アセンブラ読めない自分は涙目なんだけど、
これは私も以下略

提出します

>>38
�d
カスペ2009 14:52
1/2

Detected Trojan program Trojan-Downloader.Win32.Small.jbz tane0192\1.exe

s9.exe 検体提出します。


VT （CET+8:00=日本時間）
http://www.virustotal.com/analisis/40b589f23d7183d5c9ca8b06a87c3831 1.exe 3/39
http://www.virustotal.com/analisis/1544d9232b999b6e5833f44549e4d915 s9.exe 7/39

>>15
PandaGlobalProtection2009
wow1.exeとwow1dii.exeを疑わしいファイルとして検出
10/12

>>38
PandaGlobalProtection2009
1.exeを疑わしいファイルとして検出

>>38
NOD32 v3.0 定義3772
0/2　Esetへ提出済み

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=194
virus

>>44 中身同じかな。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=195
virus
ttp://www.virustotal.com/analisis/8aa845e996594d6afad99e2863baeec7

>>44
AntiVirPremium
オールスルー

PandaGlobalProtection2009
全て疑わしいファイルとして検出

NortonInternetSecurity2009
Backdoor.Formador：全部の検体

>>44はAntiVirとavast!に提出してきます

>>45
AntiVirPremium
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper

PandaGlobalProtection2009
疑わしいファイルとして検出

NortonInternetSecurity2009
スルー

>>45はSymantecとavast!に提出してきます
>>38はAntiVirとSymantecとPandaとavast!に提出済み

>>44 は4つとも同一、解凍すると >>45 (RO666.exe)。

まだavast!に提出してないけど>>44も>>45もavast!に提出する必要ないみたいだね（>>45もVirustotalで確認済み）
ttp://www.virustotal.com/analisis/d98256cb145061e75a1941aab967e0a4

>>44、>>45
avastは全部検出

>>38
検出結果に変わりはないが、別のバイナリが落ちてきた。差し替えられたかな？
VirusTotalは少し前に誰かがかけたらしきものがあったので最新情報ではありません。

AntiVir
1.exe ： NotDetected
s9.exe ： TR/Dldr.Delphi.Gen Trojan

http://www.virustotal.com/analisis/93e0c2d992042afc7ab19faca4ed31e0　1.exe　7/39
http://www.virustotal.com/analisis/898c66488b743c5dd1f350b1fddbbe31　s9.exe 8/39

>>38の亜種として検出できるとは思うけど、一応バイナリ違うので提出
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=196

NOD32 V3.0　定義3772
>>45　1/1
pcclient1.exe Win32/PcClient.NCRの亜種 トロイの木馬

>>51
0/2
Esetへ提出

>>51
>>38 はUPX解凍してあるからバイナリ違う。たぶん。

>>30>>38
McAfeeに提出させて頂ました。

ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=197
Malware-Pack56

例によってMcAfeeには提出済み

>>51
McAfeeに提出させて頂ました。

>>55
AntiVirPremium
Malware\0\file.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\2\setup_243_3777_.exe
[DETECTION] Is the TR/WinSpywareProtect.A Trojan
Malware\3\SpywareReminder_v3_12.exe
[DETECTION] Is the TR/Agent2.CJ Trojan
Malware\4\SpywareGuard2009.exe
[DETECTION] Is the TR/Fakealert.SK Trojan
Malware\5\installer_99404.exe
[DETECTION] Is the TR/Dldr.FraudLo.kqx Trojan
Malware\6\FlashPlayer-9.0.124.0p.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
Malware\7\main.exe
[DETECTION] Contains recognition pattern of the SPR/Fraud.AntiSpy.1 program
Malware\8\load.exe
[DETECTION] Is the TR/Spy.ZBot.kek Trojan
Malware\9\x50.exe
[DETECTION] Contains HEUR/Malware suspicious code
Malware\a\load.exe
[DETECTION] Is the TR/Agent.biel Trojan
Malware\b\adv111.exe
[DETECTION] Is the TR/Dldr.Agent.bdgc Trojan

11/12

>>55
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A　　　load.exe、FlashPlayer-9.0.124.0p.exe
ウイルス発見 : Generic Trojan　　　INSTALLER_99404.EXE、FILE.EXE、SPYWAREREMINDER_V3_12.EXE
疑わしいファイル：SpywareGuard2009.exe、main.exe、x50.exe、load.exe

それ以外はスルー
10/12

>>55
NortonInternetSecurity2009
Packed.Generic.187：main.exe
Packed.Generic.200：file.exe、SpywareReminder_v3_12.exe
AntiVirus2008：installer_99404.exe

4/12（うちヒューリスティック検出3つ）
これからavast!含め提出してきます

カスペ2009 19:57:00

>>44 4/4
Detected Trojan program Backdoor.Win32.PcClient.aazt tane0194.zip/Freya.scr, livedoor.scr, MPEG, Online.scr

>>45 1/1
Detected Trojan program Backdoor.Win32.PcClient.aazt tane0195.zip/pcclient1.exe


>>51 1/2
Detected Trojan program Trojan-Downloader.Win32.Small.jbz tane0196.zip/1(1).exe//PE_Patch.UPX//UPX

>>55
9/12 (2,3,5,6,7,8,9,a,b)

Detected Trojan program Trojan-Downloader.Win32.Agent.bdgc tane0197.zip/Malware/b/adv111.exe
Detected Trojan program Trojan.Win32.Agent.biel tane0197.zip/Malware/a/load.exe
Detected Trojan program Trojan-Downloader.Win32.Banload.aags tane0197.zip/Malware/9/x50.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kek tane0197.zip/Malware/8/load.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bdai tane0197.zip/Malware/6/FlashPlayer-9.0.124.0p.exe
Detected Trojan program Backdoor.Win32.Hupigon.fplb tane0197.zip/Malware/5/installer_99404.exe
Detected Trojan program Trojan.Win32.Agent2.cj tane0197.zip/Malware/3/SpywareReminder_v3_12.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.cya tane0197.zip/Malware/2/setup_243_3777_.exe
Detected virus HEUR:Trojan.Win32.Generic tane0197.zip/Malware/7/main.exe

検体提出します。

>>38
カスペからの返事 （20:57)

Hello,

s9.exe_ - Trojan-Downloader.Win32.Agent.bdoz

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

1+追加検出1=2/2でFA.

>>51
AntiVirPremium
s9.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan

PandaGlobalProtection2009とNortonInternetSecurity2009はスルー
提出します

NOD32 v3.0 定義3773
>>55　　10/12
0\file.exe Win32/Kryptik.EQの亜種 トロイの木馬
2\setup_243_3777_.exe Win32/Adware.MSAntispyware2009 アプリケーション
3\SpywareReminder_v3_12.exe Win32/Kryptik.EQの亜種 トロイの木馬
4\SpywareGuard2009.exe Win32/Adware.SpywareGuard アプリケーション
5\installer_99404.exe Win32/Adware.AntivirusPlus アプリケーション
7\main.exe Win32/Adware.MSAntispyware2009 アプリケーション
8\load.exe Win32/Spy.Zbot.EN トロイの木馬
9\x50.exe 新種・未知のNewHeur_PEである可能性 ウイルス
a\load.exe Win32/TrojanDownloader.Small.OJX トロイの木馬
b\adv111.exe Win32/Agent.ORY トロイの木馬
検出漏れEsetへ提出済み

>>51
AntiVir

1(1).exe MALWARE

>>55
Symantecから（1）
filename: x50.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes

filename: FlashPlayer-9.0.124.0p.exe
machine: Machine
result: See the developer notes

filename: main.exe
machine: Machine
result: This file is detected as Packed.Generic.187.

filename: adv111.exe
machine: Machine
result: See the developer notes

http://pc11.2ch.net/test/read.cgi/sec/1228314831/888
↑これに関する回答がありました。
土日不可、要一件毎に連絡らしいのですが。。
月曜にでもやっつける予定。
以下転載
＞上記制限値を超えた場合に関しましては、状況に応じFTPサーバ等の代替方法を
＞別途ご用意させていただきます。
＞その場合には弊社テクニカルサポートセンターまでその旨ご相談くださいます様
＞お願い申し上げます。

>>55
Symantecから（2）
filename: SpywareReminder_v3_12.exe
machine: Machine
result: This file is detected as Packed.Generic.200.

filename: 1.exe
machine: Machine
result: See the developer notes

filename: installer_99404.exe
machine: Machine
result: This file is detected as AntiVirus2008.

filename: setup_243_3777_.exe
machine: Machine
result: See the developer notes

filename: file.exe
machine: Machine
result: This file is detected as Packed.Generic.200.

>>55
ttp://www.virustotal.com/analisis/f7024b351eb15257808c2ef7858cd707
ttp://www.virustotal.com/analisis/ae4813e43eaecf831230b49489a5ed6e
ttp://www.virustotal.com/analisis/62a5aea9d83764607202580071c7e4f4
ttp://www.virustotal.com/analisis/a8c1b051b277b7fe12d43b8e4da4e1bd
ttp://www.virustotal.com/analisis/8b9c4e8aa1d7cb4d6199f0ad3a35f8b9
ttp://www.virustotal.com/analisis/134c0006931c681b3f2481ff1abaf9c2
ttp://www.virustotal.com/analisis/a00d2fe0b02118cfd856bc775cc651d6
ttp://www.virustotal.com/analisis/e485dba0cca2448cd2209e14c4956a67
ttp://www.virustotal.com/analisis/ae25f3a7592430af002ab14efec7f043
ttp://www.virustotal.com/analisis/6e835a4555e3a31e1ac3638e8b1664bf
ttp://www.virustotal.com/analisis/e61a4b763b01f3c3f5e91b24f737e7b8
ttp://www.virustotal.com/analisis/7ff11c94a1cfb2ee5987565d398c62e6

>>51と>>55
AntiVirとPandaとSymantecとavast!への提出完了

>>55
PandaGlobalProtection2009
adv111.exeを疑わしいファイルとして検出

PandaGlobalProtection2009
>>13と>>15
残りの未検出の検体も全て疑わしいファイルとして検出、全検出確認

>>55
Rising 21.21.52 (21.12.52.00)
6\FlashPlayer-9.0.124.0p.exe: Trojan.DL.Win32.Undef.aqa
1/12

カスペからの返事
>>55
0: file.exe - New malicious software was found in the attached file.
1:1.exe No malicious code was found in this file.

今のところ、9+追加検出1=10/12 (0,2,3,5,6,7,8,9,a,b),白1(1)，回答待ち1(4)

ちなみに、
>>15
autorun[1-4].exe- virus Worm.Win32.AutoRun.etc

【つこうた】IPA主任岡田賢治がヤバイ資料大流出　疑惑の政財界★194【三井リハウス編】
http://tsushima.2ch.net/test/read.cgi/news/1232198728/529
p://infosueek.w53.okwit.com/play/mober_v0.5fis.pif
ttp://www.virustotal.com/jp/analisis/8e14b46a0e6e2df2341ec0700de4a743

>>73
McAfee
0/1(dat5496)

オバマウイルス
ttp://www.f-secure.com/weblog/archives/00001585.html

VT
http://www.virustotal.com/analisis/28312fac247687ce62b6bb2baf45091c

http://www.dotup.org/uploda/www.dotup.org15878.rar.html

>>75の検体
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=198
virus

（落ちてくるバイナリは全て同一なので１ファイルしか入ってません）
http://www■superobamaonline■com/speech■exe
http://store■greatobamaguide■com/pdf■exe
http://store■superobamadirect■com/baracknews■exe
http://www■greatobamaonline■com/news■exe
http://www■greatobamaguide■com/president■exe
http://www■superobamaonline■com/barack■exe

AntiVir
すりぬけ

各社に検体提出してきます。

>>77
でかいと思ったらOpenSSL丸ごと入ってるのか…。

>>45
NortonInternetSecurity2009

Backdoor.Formador：pcclient1.exe

>>30

Symantecから
filename: CD4C492Fd01
machine: Machine
result: See the developer notes

>>77
AntiVir、avast!、Panda、Nortonはオールスルーだったので提出します

>>76
＞【重要】
＞●ここは鑑定スレではありません！！！！！malwareのみお願いします。（割れ、キージェネ、クラッカー厳禁）
＞割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。

確認しましたがスルーすべき対象のようです。

>>44>>45>>77
McAfeeに提出させて頂ました。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=199
virus

>>77
KAVの返答
Email-Worm.Win32.Iksmas.cj

>>83
各社に提出してます。

AntiVir

romania1.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
wow1.exe
[DETECTION] Is the TR/PSW.OnLineGa.zad Trojan
wow1dll.exe
[DETECTION] Is the TR/PSW.OnLineGa.zad Trojan
autorun1.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun2.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun3.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun4.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
redstone1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan

webcc1.exe
すりぬけ
ff11.exe
すりぬけ

>>83
カスペ、次の更新で対応

autorun1.exe,
autorun2.exe,
autorun3.exe,
autorun4.exe - Worm.Win32.AutoRun.etm
ff11.exe - Trojan-Downloader.Win32.Tibs.ais
redstone1.exe - Trojan-Downloader.Win32.Agent.bdsb
romania1.exe - Trojan-Downloader.Win32.Agent.bdrx
webcc1.exe - Worm.Win32.Downloader.ze
wow1.exe - Trojan-GameThief.Win32.WOW.elg
wow1dll.exe - Trojan.Win32.Agent.birs

New malicious software was found in these files. Detection will be included in the next update.

>>83
avast!4.8
autorun1.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]
autorun2.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]
autorun3.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]
autorun4.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]

>>55
NortonInternetSecurity2009追加検出+3
Downloader：FlashPlayer-9.0.124.0p.exe、adv111.exe
Trojan Horse：Malware\a\load.exe
7/12

>>83
PandaGlobalProtection2009
スルー：ff11.exe、romania1.exe、webcc1.exe
それ以外は疑わしいファイルとして検出

Rising 21.21.52 (21.12.52.00)
>>77
スルー
>>83
wow1.exe>>66: Trojan.Win32.Nodef.zq
wow1dll.exe: Trojan.Win32.Nodef.zq
2/10

>>83
NortonInternetSecurity2009
Infostealer.Wowcraft：wow1dll.exe
Trojan Horse：wow1.exe
Trojan.Dropper：autorun1.exe、autorun2.exe、autorun3.exe、autorun4.exe

検体提出していきます

>>83
AntiVir、avast!、Panda、Symantecに提出完了

>>84
＞各社に提出してます。

そのことで要望なんですけど提出がかぶるのはなるべく避けたいのでどこのベンダーに提出したのか（またはどこのベンダーに提出する予定なのか）というのも明記して欲しいですね

>>91
列挙するとやたら行数取るんだけど…基本的に>1のWikiにあるもの全部に提出してます。
今回はNormanとnPro、メールが届かなかった２ベンダーを除く全てに出してます。
（メールが届かなかった所には、提出先アドレスを教えてくれってメール入れてます）

同報メール使ってるから、いちいち個別にどうとか書くのが大変だったり。
20行も30行も提出先書いた発言でスレ埋めるのもどうかと。

報告出しても殆どは返事来ないです。そのベンダーのソフトを使ってる人にも出して貰って
検出名の報告をここに上げた貰ったほうがいいので、敢えて提出先は記載しません。
（例えば、Pandaとかメールで送っても返事来ませんから検出状況わかりませんし
ソフォスからも登録ユーザーにしか対応状況の返答はしないって言われてます）

>>55
Fortinet:
adv111.exe - W32/Agent.BDGC!tr.dldr
file.exe - W32/Agent.ZHG!tr
installer_99404.exe - W32/Hupigon.FPLB!tr.bdr
load_1.exe - W32/Agent.BIEL!tr
main.exe - Adware/Antispyware2009
setup_243_3777_.exe - W32/FraudLoad.CYA!tr.dldr
SpywareReminder_v3_12.exe - W32/Agent.CJ!tr
x50.exe - W32/Banload.AAGS!tr.dldr
SpywareGuard2009.exe - W32/Fakealert.XCO!tr
FlashPlayer-9.0.124.0p.exe - W32/Agent.BDAI!tr.dldr
load.exe - W32/Zbot.KEK!tr

あと１つは別のメールに分割して送ったので返答待ち。

>>92
わかりました

とりあえず他の人が提出してるベンダーは避けるようにしてくれませんか？
私は現時点ではAntiVirとavast!とPandaとSymantecに提出してるし他はKasperskyとMcAfeeとRisingとESETに提出してる方もいられるのでやはりここら辺の提出は多重提出にならないためにもしないで欲しいです
多重提出でも問題ないならそれでも大丈夫でしょうけどKasperskyみたいに提出したのに返事が来ないというのもありますからね・・・

＞（例えば、Pandaとかメールで送っても返事来ませんから検出状況わかりませんし
確かにこれは実際に使わないとPandaの検出状況はわからないでしょう、特に2009はクラウド型検出のおかげでVirustotalのPandaの検出結果が殆どあてにならない状況になってる

Rising 2009 21.21.60 (21.12.60.00) Last Update Time=2008-01-18 10:43
>>83
autorun1-4.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bgj
2+4=6/10

あと返事が来ないベンダーといったらavast!とかもそうだけどこちらはVirustotalでも検出状況が確認できるから問題なし
Symantecは単体で送る方が黒判定か白判定かわかりやすい気がする、複数のファイルを送ると単に現在の検出状況を載せてくることが多かった

>>94
>Kasperskyみたいに提出したのに返事が来ないというのもありますからね・・・

カスペは基本的に全部返事来てますよ。
ただ、対応済みのものだったり、ファイル数が多い時は検出名をはしょられることもありますが。

>とりあえず他の人が提出してるベンダーは避けるようにしてくれませんか？

余裕がある時は、同報の送り先から省いています。

ただ、検体提出漏れするよりも、かぶった方がまだましなので時間のない時はそのまま送付することがあります。
提出するだけでも結構時間食いますし、重複チェックに時間を取られて、提出しきれないよりはということで。

>>83
まかふぃー。

File Name　　　　　　Findings　　　　　　　　　　　 Detection　　　　　　　　　　Type　　　　 Extra
--------------------|------------------------------|----------------------------|------------|-----
autorun1.exe　　　　|current detection　　　　　　 |downloader-azn　　　　　　　|Trojan　　　|no　
autorun2.exe　　　　|current detection　　　　　　 |downloader-azn　　　　　　　|Trojan　　　|no　
autorun3.exe　　　　|current detection　　　　　　 |downloader-azn　　　　　　　|Trojan　　　|no　
autorun4.exe　　　　|current detection　　　　　　 |downloader-azn　　　　　　　|Trojan　　　|no　
ff11.exe　　　　　　|inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
redstone1.exe　　　 |inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
romania1.exe　　　　|inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
webcc1.exe　　　　　|inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
wow1.exe　　　　　　|inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
wow1dll.exe　　　　 |inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no

inconclusive [ff11.exe redstone1.exe romania1.exe webcc1.exe wow1.exe wow1dll.exe]

>>55
>>72
カスペからの返事

7\main.exe - New malicious software was found in the attached file. not-a-virus:FraudTool.Win32.MSAntispyware2009.i （←HEUR:Trojan.Win32.Generic から変更）

シグネチャ名判明。ルートキットかな。 >>72
Detected virus Rootkit.Win32.TDSS.eib tane0197.zip/Malware/0/file.exe

今のところ、9+追加検出1=10/12 (0,2,3,5,6,7,8,9,a,b),白1(1)，回答待ち1(4)

検体名：>>55
>>99
カスペ2009 14:33:00
4は検知済みだった。訂正。
Detected virus not-a-virus:FraudTool.Win32.SpywareGuard2008.bl tane0197.zip/Malware/4/SpywareGuard2009.exe

9+2=11/12, 白1（1\1.exe)でFA

>>83
Fortinet:　次回更新で対応
romania1.exe - W32/Agent.AST!tr.dldr
wow1.exe - W32/OnLineGames.VFT!tr
wow1dll.exe - W32/OnLineGames.WFT!tr
autorun1.exe - W32/AutoRun.YNT!tr
autorun2.exe - W32/AutoRun.YNT!tr
autorun3.exe - W32/AutoRun.YNT!tr
autorun4.exe - W32/AutoRun.YNT!tr
redstone1.exe - W32/Agent.XDT!tr
webcc1.exe - W32/Agent.CFT!tr.dldr
ff11.exe - W32/Dropper.ZAT!tr

NOD32 v3.0 定義3774
>>83　　6/10
autorun1.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun3.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun2.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun4.exe Win32/AutoRun.Delf.AKの亜種 ワーム
webcc1.exe Win32/KernelBot.AAの亜種 トロイの木馬
redstone1.exe Win32/PSW.OnLineGames.ODDの亜種 トロイの木馬
未検出ぶんEsetへ提出済

>>92
返事がくること自体奇跡に近いので、Esetへ重複提出して頂いて構いません。
重複になっても構わないので提出して頂いたほうが助かります。
今後、多忙or他社ソフトへの乗り換え等でいつまで検出報告できるかわかりませんし。

>>77
Rising

1. Filename:barack.exe
Virusname:Trojan.Win32.Nodef.ady

>>55
Dr.Web

Your request has been analyzed. New virus record has been added.
Viruses: Trojan.DownLoad.25637, Trojan.DownLoad.26705, Trojan.DownLoad.27999,
Trojan.DownLoad.28000, Trojan.Fakealert.2266, Trojan.Fakealert.3858,
Trojan.Fakealert.3876, Trojan.Fakealert.3877.

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=200
virus

検体入手元
http://bit■ly/n9gR/ （ただの転送）
http://www■bluewoon■com/Blog/
http://www■bluewoon■com/Blog/Muma■htm
http://www■bluewoon■com/Blog/Ms06-014■htm
http://www■bluewoon■com/Blog/Ms-office■htm（404NotFound)
http://www■skywebsv■com/Blog/k1■exe

同梱のmuma_1.html と Ms06-014_1.htm は途中まで解読を試みた経過。k1.exeは1/10製造の模様。

=== AntiVir ===
index.htm : NotDetected
Muma.htm : HTML/Shellcode.Gen HTML script virus
muma_1.html : EXP/XMLSPAN.B exploit
Ms06-014.htm : HTML/Malicious.ActiveX.Gen HTML script virus
Ms06-014_1.htm : HTML/Malicious.ActiveX.Gen HTML script virus
k1.exe : TR/Inject.ncz Trojan

=== VirusTotal ===
index.htm(7/39) : ttp://www.virustotal.com/analisis/a9fcbdb0774223ed4262422c72e06bda
Muma.htm(7/37) : ttp://www.virustotal.com/analisis/44d4f78814e7982baceba7fc4c2fba1d
muma_1.html(15/37) : ttp://www.virustotal.com/analisis/803f38f1ee5eaf28935f8901e6214ab8
Ms06-014.htm(6/38) : ttp://www.virustotal.com/analisis/34e438cc6d99c903e24d4550722177e1
Ms06-014_1.htm(4/38) : ttp://www.virustotal.com/analisis/ae8a4d8cc183c03457b803eaffb1f106
k1.exe(24/39) : ttp://www.virustotal.com/analisis/a9fa32735a81f195b1bd02ae2cdc7ad3

>>97
わかりました
こうやって話し合って確認できたので私は何も言いません
それに私の提出先も特に多重提出とかで困ることはないですしね・・・・

avast!とPanda：返事が全く来ないため検出状況は実機やVirustotalで確認するしかない
AntiVirとSymantec：Webフォームだから？のせいか返事は必ず来る

「多重提出しても困ることはない」と書いたけど貴方が先に「各社に提出します」との書き込みがあったときは各ベンダーに提出したと認識したということでその場合は私は検体を提出しません

>>77
Symantecから（2009/1/18、18：32）

filename: barack.exe
machine: Machine
result: This file is detected as W32.Waledac.

filename: index.htm
machine: Machine
result: See the developer notes

>>83
NortonInternetSecurity2009追加検出+1
Trojan Horse：redstone1.exe
7/10

>>105
未対応分をMcAfeeに提出させて頂ました。

>>105
NortonInternetSecurity2009
Downloader：Ms06-014_1.htm、muma_1.html
2/6

>>105
PandaGlobalProtection2009
ウイルス発見 : Trj/Inject.K 　　　　K1.EXE


最近Pandaの検出状況悪いな
ま、もともと対応にムラがあるベンダーだしこういうこともあるか
眠いので各ベンダーへの提出は後ほどやります。。。

>>105
カスペ
index.htm_ - Trojan.HTML.IFrame.ad,
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dhv,
Ms06-014_1.htm_ - Trojan-Downloader.JS.Agent.dhw,
Muma.htm_ - Trojan.JS.Agent.kb,
muma_1.htm_ - Trojan.JS.Agent.kc

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

k1.exe_ - Trojan.Win32.Inject.ncz

>>106
>AntiVirとSymantec：Webフォームだから？のせいか返事は必ず来る
メールの受付もしてますよ。

AntiVir：メールでもフォームでも返事が来る
Symantec：昨年末まではどっちでも返事来たが、今年に入ってからメールでの報告には返事が来なくなった。

>>105
Fortinet:
index.htm - Js/Agent.DFP!tr
k1.exe - W32/Magania.CRZ!tr.dldr
Ms06-014.htm - Js/Agent.DUP!tr.dldr
Ms06-014_1.htm - JS/Magania.CRZ!tr.dldr
muma_1 - Js/Agent.CEP!exploit
Muma - Js/Agent.DUP!tr.dldr

マカフィー
File Name　　　　　　Findings　　　　　　　　　　　 Detection　　　　　　　　　　Type　　　　 Extra
--------------------|------------------------------|----------------------------|------------|-----
index.htm　　　　　 |inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
k1.exe　　　　　　　|current detection　　　　　　 |pws-mmorpg.gen　　　　　　　|Trojan　　　|no　
ms06-014.htm　　　　|current detection　　　　　　 |js/downloader-bdq　　　　　 |Trojan　　　|no　
ms06-014_1.htm　　　|current detection　　　　　　 |js/downloader-bdq　　　　　 |Trojan　　　|no　
muma.htm　　　　　　|inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
muma_1.html　　　　 |current detection　　　　　　 |exploit-xmlhttpd.d　　　　　|Trojan　　　|no　

inconclusive [index.htm muma.htm]

おっと、これもか。

NORMAN
k1.exe
INFECTED with W32/Malware (Signature: W32/Malware.FAGY)

他のHTMLは
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS

>>51
Symantecから（2009/1/19、8：09）

filename: 1.exe
machine: Machine
result: See the developer notes

filename: s9.exe
machine: Machine
result: See the developer notes

>>113
＞メールの受付もしてますよ。
SymantecはともかくAntiVirはなぜか私の環境ではメールで送れなくなったんですよ（Symantecは単に提出先のアドレスを知らなかっただけｗ）
途中まではAntiVirもメールで提出してたんですけど今はWebフォームからのみしか送ってません

とりあえず今後も提出頼みますよ、私も出来るだけ提出を頑張りますね

>>116
>AntiVirはなぜか私の環境ではメールで送れなくなったんですよ
AntiVirは昨年末にアドレスが変更になっています。現在はここ。
Avira GmbH(AntiVir) <[email protected]>

>Symantecは単に提出先のアドレスを知らなかっただけｗ
厳密に条件満たすと、結構面倒なんですよね。Symantecのメールでの提出。
提出先と条件は下記参照。２番目を展開すると出てきます。
自動処理に必要と思われるタイトル以外は、他への提出と同じ書式で送っちゃってます。

http://service1.symantec.com/SUPPORT/sunset-c2002kb.nsf/0/590f605c1b28dc8a85256edd00478d4a?OpenDocument&seg=hm&lg=en&ct=us

>>117
＞AntiVirは昨年末にアドレスが変更になっています。現在はここ。
＞Avira GmbH(AntiVir) <[email protected]>
いえ、そのアドレスから送れなくなったんですよ
恐らく私のPC環境というか設定が良くないのでしょう
それにWebフォームからでも問題なく提出できてるので無問題といえば無問題、あまり気にしてはいません

>>105
遅ればせながらavast!とPandaとSymantecに提出しました

>>83
avast!4.8
ff11.exe\[RLPack]\[Embedded_R#60b4]：Win32:Trojan-gen {Other}
redstone1.exe：Win32:Trojan-gen {Other}

6/10

F-PORTの検体提出先メールアドレス変更。次からはこちらへ。

F-PROT Viruslab <[email protected]>

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=201
virus

>>122
avast!4.8
msmsg1.exe：Win32:Trojan-gen {Other}
pcclient1.exe：Win32:Downloader-AZY [Trj]

>>122
AntiVirPremium
gpt0ru1.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
msmsg1.exe
[DETECTION] Is the TR/Vundo.Gen Trojan
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper

3/6

>>122
NortonInternetSecurity2009
Trojan.Vundo：msmsg1.exe

1/6

Rising 2009 21.21.60 (21.12.60.00)
>>105
muma_1.html: Hack.Exploit.Script.JS.Agent.if
>>122
スルー

試用期限切れてたので定義未更新

>>122
PandaGlobalProtection2009
gpt0ru1.exeとmsmsg1.exeを疑わしいファイルとして検出
2/6
検体を提出します

PandaGlobalProtection2009
>>77
barack.exeを疑わしいファイルとして検出

>>83
ff11.exeを疑わしいファイルとして検出
8/10

>>122
ttp://www.virustotal.com/jp/analisis/edb16fe1eae3e05c2485b2a8542ab971(gpt0ru1.exe)
ttp://www.virustotal.com/jp/analisis/96d7754ece1a73cfb61e4b8675a620e4(gpt0ru2.exe)
ttp://www.virustotal.com/jp/analisis/b169a7b61833ac52028829aa583d732a(gpt0ru_dldr.exe)
ttp://www.virustotal.com/jp/analisis/37ba0f130caef9235ff26b09d3a257ef(msmsg1.exe)
ttp://www.virustotal.com/jp/analisis/8827ba8535245a080e34ee7ed1766e7f(pcclient1.exe)
ttp://www.virustotal.com/jp/analisis/1d863a2cd43cc645af4a66f7f4b4b19d(webcc1.exe)

>>122
McAfeeに提出させて頂ました。

>>105
トレンドマイクロ

We are glad to inform you that the detection for the following malware below is now available for
downloading using CPR 5.776.05.

JS_DLOADER.UOV
JS_DLOADER.UOY
JS_AGENT.AJWX

>>122
Norman
pcclient1.exe : INFECTED with W32/Malware (Signature: NO_VIRUS)
他は現時点でスルー

マカフィー（現時点で全スルー）
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gpt0ru_dldr.exe |inconclusive | | |no
gpt0ru1.exe |inconclusive | | |no
gpt0ru2.exe |inconclusive | | |no
msmsg1.exe |inconclusive | | |no
pcclient1.exe |inconclusive | | |no
webcc1.exe |inconclusive | | |no

inconclusive [gpt0ru_dldr.exe gpt0ru1.exe gpt0ru2.exe msmsg1.exe pcclient1.exe webcc1.exe]

>>122
カスペ2009 19:59:00
5/6
検体提出します。

Detected Trojan program Trojan-Downloader.Win32.Agent.bdwi tane0201.zip/gpt0ru_dldr.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bdvi tane0201.zip/gpt0ru1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.afel tane0201.zip/msmsg1.exe
Detected Trojan program Backdoor.Win32.PcClient.abdg tane0201.zip/pcclient1.exe
Detected Trojan program Trojan.Win32.Agent.bjci tane0201.zip/webcc1.exe

>>122
Symantec(2/6)
フォームから送ると返事来るが、メールだと返事来ないねぇ。
「See the developer notes」となっている所はすべて、未検出なので人手で解析するとのコメント。

filename: webcc1.exe
machine: Machine
result: See the developer notes

filename: gpt0ru2.exe
machine: Machine
result: See the developer notes

filename: pcclient1.exe
machine: Machine
result: This file is detected as Backdoor.Formador. http://www.symantec.com/avcenter/venc/data/backdoor.formador.html

filename: gpt0ru_dldr.exe
machine: Machine
result: See the developer notes

filename: msmsg1.exe
machine: Machine
result: This file is detected as Trojan.Vundo. http://www.symantec.com/avcenter/venc/data/trojan.vundo.html

filename: gpt0ru1.exe
machine: Machine
result: See the developer notes

>>134
＞「See the developer notes」となっている所はすべて、未検出なので人手で解析するとのコメント。

ファイルを複数送るとそんな感じだね
ファイルが単体だと返事来るのに時間かかることが多かったからこちらは白判定だと思われる

>>122
AntiVir
検出に対する返答。

gpt0ru1.exe ： TR/Dldr.Delphi.Gen Trojan
msmsg1.exe ： TR/Vundo.Gen Trojan
pcclient1.exe ： DR/PcClient.Gen dropper
webcc1.exe ： TR/Agent.bjci Trojan

現時点では「gpt0ru2.exe」「gpt0ru_dldr.exe」が除去できないので、下記返答分と思われる。
次のパターン更新で(6/6)予定。

The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the viruses will be detected as:

TR/Dldr.Agent.qse
TR/Dldr.Agent.qsg

>136
×検出に対する返答。
○検体提出に対する返答。

orz

>>122
Dr.Web（どれがどれだか不明。4/6が新種。あとの２種は既に検出可能だったのか、未対応なのか不明）

Your request has been analyzed. New virus record has been added.
Viruses: Trojan.DownLoad.28007, Trojan.DownLoad.28008, Trojan.Siggen.2065,
Trojan.Virtumod.1465.

Thank you for the cooperation.

NOD32 v3.0 定義3777
>>105
1/6
k1.exe Win32/PSW.Gamania.NBE トロイの木馬
対応するかどうかわからないが、一応htmlファイルをesetに提出

>>122
1/6
pcclient1.exe Win32/PcClient.NCRの亜種 トロイの木馬
未検出ぶん提出

Rising 2009 21.22.02 (21.13.02.00)にて
>>44-45
Backdoor.Win32.PcClient.qwr
ttp://viruslist.rising.com.cn/viruslist.asp?id=1450594
>>77
barack.exe: Trojan.Win32.Nodef.ady
ttp://viruslist.rising.com.cn/viruslist.asp?id=1450600

>>122
検体は提出済み

bitdefender10 Free(1/6)

gpt0ru1.exe : OK
gpt0ru2.exe : OK
gpt0ru_dldr.exe : OK
msmsg1.exe : OK
pcclient1.exe : Infected: Trojan.Crypt.DG
webcc1.exe : OK

>>10,14,16,116-118,121

混乱してきた。
>>4-7を削除して、>>1のWikiを各ベンダーに付き、訂正した方が早いのかね。
あんまり、テンプレを長くするのもどうかなとも思う。
一方、Wikiは荒らしが心配。

http://www.geocities-jp.com/Wiki/0da45bn76sdasdiobnxzl0dscjhopz110.zip

>>122
PandaGlobalProtection2009
pcclient1.exeを疑わしいファイルとして検出
3/6

>>142
Wikiはこのスレで用意したものじゃなくて、他のところで使ってるものだからねぇ。便利だから紹介したけど。

RagnarokOnlineの板からです。そこのWikiの管理人さんと連絡取りたい場合はこちらへどうぞ。
アカウントハック対策・セキュリティ 総合スレ Lv.3
http://enif.mmobbs.com/test/read.cgi/livero/1227396646/
-----
取り敢えず検体を１つ（上記スレより）
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=202
virus

検体入手元
ttp://99■2■77■44:8080/blog/Start■scr

scrを解凍すると1199.exeと動画が出てくる。

http://www.virustotal.com/jp/analisis/24d2cce83381d9c707dfbecda54b3332　Start.scr(23/38)
http://www.virustotal.com/jp/analisis/16bb3f64075ced19d4477ef899bab415　1199.exe(27/39)

AntiVir
Start.scr ： スルー
1199.exe ： DR/PcClient.Gen

各社に提出してきます。

>>122
Fortinet:

The samples you submitted will be detected as follows:
gpt0ru_dldr.exe - W32/SillyFDC.A!tr.dldr
gpt0ru1.exe - W32/SillyFDC.A!tr
gpt0ru2.exe - W32/SillyFDC.A!tr
pcclient1.exe - W32/VirtuMonde.B!tr.spy
msmsg1.exe - W32/VirtuMonde.B!tr.spy

>>122
>>138は日本のDr.Webからの返事。英文で送った方にも返事があって、そっちは６つ載ってたので(6/6)の模様。
Dr.Web

Viruses: Trojan.DownLoad.28007, Trojan.DownLoad.28008, Trojan.MulDrop.23178, Trojan.DownLoad.28008, Trojan.Virtumod.1465, Trojan.Siggen.2065.

ttp://www13.atwiki.jp/pheasantworks
このスレ発で放置されてるここを再利用でいんじゃない

>>145
BitDefender10Free

Start.scr Infected: Dropped:Backdoor.PCClient.TCH
1199.exe Infected: Trojan.Crypt.DG

>>145
McAfee

File Name　　　　　　Findings　　　　　　　　　　　 Detection　　　　　　　　　　Type　　　　 Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe　　　　　　|current detection　　　　　　 |generic backdoor　　　　　　|Trojan　　　|no
start.scr　　　　　 |inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no


Norman
1199.exe
* Sandbox name: W32/Malware.
* Signature name: W32/PCClient.NDI.
Start.scr
* Sandbox name: .
* Signature name: NO_VIRUS.

>>145
Fortinet:
The samples you submitted will be detected as follows:
1199.exe - W32/PcClient.AAUV!tr.bdr
Start.scr - W32/PcClient.AAUV!tr.bdr

一括して送っちまったけど、対応済みベンダーの方が多いのに、全部に送ること無かったな。担当者さんごめんなさい。

>>145
Dr.Web
1199.exe - infected with Trojan.MulDrop.23178
Start.scr - infected with Trojan.MulDrop.23178

リンクのみ(内容確認してません)
http://changi.2ch.net/test/read.cgi/entrance/1226843784/296-297

>>145
カスペ2009 14:28
2/2

Detected Trojan program Backdoor.Win32.PcClient.aauv tane0202.zip/Start.scr//data0002
Detected Trojan program Backdoor.Win32.PcClient.aauv tane0202.zip/Start/1199.exe

>>145, 148
Wikiの件了解。
情報�d。
検討してみる。

>>83
PandaGlobalProtection2009
romania1.exeを疑わしいファイルとして検出

>>122
NortonInternetSecurity2009
Backdoor.Formador：pcclient1.exe
2/6

AV-Test.org - Update Frequency of Anti-Virus Software （1週間の定義更新頻度）
ttp://www.av-test.org/index.php?menue=7&lang=0

>>122
カスペからの返事

gpt0ru2.exe_ - Trojan.Win32.Agent2.ns

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

5+事後検出1=6/6

>>143
ttp://www.virustotal.com/jp/analisis/941c84b0382eb11d21555fa440f21292(0da45bn76sdasdiobnxzl0dscjhopz110)
>>145

ここまでMｃAfee提出済み。

>>148
放置される＝セキュリティ的にあぶな・・・

>>143
PandaGlobalProtection2009
Trj/CI.Aとして検出

NOD32 ｖ3.0 定義3779
>>145
scr,exeともWin32/PcClient.NCQ トロイの木馬として検出　2/2

過去未検出ぶんの追試結果は11/24　17〜19日ぶん未検出ぶんの多くが検出可能になっていました。
未検出ぶんもVirustotalチェックしてみると、他社でも白判定なものが多かったです。

>>122
始めてESETから返事が来た。（キャノン経由は何度か来たことあるけどESETからははじめて）

Thank you for your submission.
The detection for this threat will be included in our next signature update.

検出名は書いてないが、次回更新で対応とのこと。

>>145
AntiVir

We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the virus will be detected as DR/PcClient.agv.

ということで

Start.scr ： スルー → DR/PcClient.agv
1199.exe ： DR/PcClient.Gen

>>164
NOD32　ｖ3.0　定義3780が先ほどアップデートされ、3つの未検出→3つ検出可能に
よって、3+3＝6/6　全検出

今から提出しようと思ったら>>153のファイル消えてました。

>>160さん、可能でしたら、いつものあぷろだに再UPをお願いしたいです。
（VirusTotalに投げられてるから大丈夫といえばそれまでですが）

>>153 >>167 dlpass: EB07E5CDEF31
http://www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00001.rar.htm

その後、踏んでみて拾ったものも入れておきました *.[0001-0002].bin は、抽出物です

>>168
＞あなたが要求したファイルはサーバ上に存在しません。削除されたかアドレスが間違っています。

orz

…あー。htm -> html こぴぺみすっぽ

Rising 2009 21.22.12 (21.13.12.00)
>>122
pcclient1.exe: Backdoor.Win32.PcClient.qxg
1/6

>>105
Trend Micro

We are glad to inform you that the detection for HTML_IFRAME.ZF is now available for
downloading using CPR 5.778.05.

>>170
ありがとう。パスワードはinfectedか。いろいろ試しちまったぜ。

各社に提出かけてきます。

http://www3.uploda.org/uporg1950752.zip.html

>>168 現状。

1x.exe.ico (8/39)
http://www.virustotal.com/analisis/0ab8348dc9cde1d02644841b353a7524
18.exe.0001.bin (4/39)
http://www.virustotal.com/analisis/73f396eccd84beadf08c326e0e07b5f4
18.exe.0002.bin (9/39)
http://www.virustotal.com/analisis/568afeba5351f0033cff764788e1e97b
18.exe.ico (13/39)
http://www.virustotal.com/analisis/c48732d4ebe4c0260838ef73bb397780
datad.zip.ico
http://www.virustotal.com/analisis/6594ea72ee93a4f0411e3b671b7462f4
MVCImage0010.JPEG_www.imgshare.com.ico (12/38)
http://www.virustotal.com/analisis/ebbea418600b7a38b7766a6cad0a0c4d
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico (11/39)
http://www.virustotal.com/analisis/5a8b092bca805e3ce82577c4b023fbd9

AntiVir(5/7)
1x.exe.ico : -
18.exe.0001.bin : TR/Dropper.Gen
18.exe.0002.bin : TR/Crypt.XPACK.Gen
18.exe.ico : TR/Crypt.XPACK.Gen
datad.zip.ico : TR/Qhost.kzn
MVCImage0010.JPEG_www.imgshare.com.ico : SPR/Tool.DelfInject.51712AF.1
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico : -

BitDefender10Free(1/7)
datad.zip.ico : Win32.Worm.Slenfbot.CB

>>174
>>3
｜【重要】
｜●ここは鑑定スレではありません！！！！！malwareのみお願いします。（割れ、キージェネ、クラッカー厳禁）
｜割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
｜
｜※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

VirusTotal (0/39)

>>168
NORMAN(2/7)
1x.exe.ico : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.0001.bin : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.0002.bin : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.ico : INFECTED with W32/Malware (Signature: NO_VIRUS)
datad.zip.ico : Not detected by Sandbox (Signature: W32/Qhost)
MVCImage0010.JPEG_www.imgshare.com.ico : Not detected by Sandbox (Signature: NO_VIRUS)
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico : Not detected by Sandbox (Signature: NO_VIRUS)


McAfee(2/7)
File Name　　　　　　Findings　　　　　　 Detection　　　　　　Type　　　　 Extra
--------------------|---------------------|--------------------|------------|-----
18.exe.0001.bin　　 |inconclusive　　　　|　　　　　　　　　　|　　　　　　|no
18.exe.0002.bin　　 |inconclusive　　　　|　　　　　　　　　　|　　　　　　|no
18.exe.ico　　　　　|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no
1x.exe.ico　　　　　|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no
datad.zip.ico　　　 |inconclusive　　　　|　　　　　　　　　　|　　　　　　|no
mvcimage0010.jpeg_ww|heuristic detection |with fishy extension|Application |no
nuevoimagen0034.jpeg|heuristic detection |with fishy extension|Application |no

>>168
Fortinet:
1x.exe - W32/Poison.M!tr
18.exe - W32/Obfuscator.CL!tr
18.exe.0001 - W32/Tofsee.A!tr.bdr
18.exe.0002 - W32/Obfuscator.CL!tr
datad.zip - W32/Buzus.AIKH!tr
MVCImage0010.JPEG_www.imgshare.com - W32/Poison.M!tr
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com - W32/Poison.M!tr

>>168
Microsoft
+---MVCImage0010.JPEG_www.imgshare.com.ico [VirTool:Win32/DelfInject.gen!AF]
+---18.exe.0001.bin [Backdoor:WinNT/Tofsee.gen!A]
+---18.exe.0002.bin [VirTool:Win32/Obfuscator.CL]
+---18.exe.ico [VirTool:Win32/Obfuscator.CL]
+---1x.exe.ico [VirTool:Win32/DelfInject.gen!AF]
+---datad.zip.ico [VirTool:Win32/DelfInject.gen!AF]
+---NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico [VirTool:Win32/DelfInject.gen!AF]

Dr.Web
18.exe.0001.bin - infected with Trojan.NtRootKit.2561
18.exe.0002.bin - probably infected with Trojan.Packed.154
1x.exe.ico - infected with BackDoor.IRC.Sdbot.4634
datad.zip.ico - infected with Dialer.Siggen.121
MVCImage0010.JPEG_www.imgshare.com.ico - infected with BackDoor.IRC.Sdbot.4634
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico - infected with BackDoor.IRC.Sdbot.4634
18.exe.ico - probably infected with Trojan.Packed.154

※ 一部、ヒューリスティック解析によって検出しているものがありますので、
こちらについては正確を帰すためにパターン対応を検討いたします。

>>145
Rising

1. Filename:1199.exe
Virusname:Backdoor.Win32.PcClient.qup
2. Filename:Start.scr
Virusname:Backdoor.Win32.PcClient.qup

http://www2.cyberoz.net/city/novice/virus.html
ﾄﾞｿﾞｰ

>>181
　>2
　>・DOSウイルス禁止
　>　大昔のウイルスを集めてきても無意味なことがあります。

DOS時代程じゃないけど、古そうなのでパス

>>105
Rising
1. Filename:Muma.htm
Virusname:Trojan.DL.Script.JS.Agent.my
2. Filename:Ms06-014.htm
Virusname:Trojan.DL.Script.JS.Agent.mx
3. Filename:index.htm
Virusname:Trojan.DL.Script.JS.Agent.mw
4. Filename:k1.exe
Virusname:Trojan.Win32.Nodef.ahz
5. Filename:muma_1.html
Virusname:Hack.Exploit.Script.JS.Agent.if
6. Filename:Ms06-014_1.htm
No malware.

KingSoft
貴殿よりお送りいただいた検体が、
キングソフトにおいて新種のウイルスではないことが確認できましたことをご連絡いたします。
「ウイルス名：Win32.Troj.Inject.47616」

全種対応なのか、スルーがあるのかこの回答からは不明だが、対応済みとの返答。

>>83
kingSoft

貴殿よりお送りいただいた検体が、
キングソフトにおいて新種のウイルスではないことが確認できましたことをご連絡いたします。
「ウイルス名：Win32.Troj.Delf.uf.45056」

全種対応なのか、スルーがあるのかこの回答からは不明だが、対応済みとの返答。

>>168
Rising 提出後の回答(6/7)
1. Filename:18.exe.0001.bin
Virusname:Trojan.Win32.Nodef.ajz
2. Filename:18.exe.ico
Virusname:Trojan.Win32.Nodef.aju
3. Filename:1x.exe.ico
Virusname:Trojan.Win32.Nodef.ajg
4. Filename:datad.zip.ico
Virusname:Trojan.Win32.Nodef.ajf
5. Filename:MVCImage0010.JPEG_www.imgshare.com.ico
Virusname:Trojan.Win32.Nodef.aje
6. Filename:NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico
Virusname:Trojan.Win32.Nodef.ajd
7. Filename:18.exe.0002.bin
No malware.

>>83
Rising 提出後の返答(9/10)
1. Filename:webcc1.exe
Virusname:Trojan.Win32.Nodef.akm
2. Filename:romania1.exe
Virusname:Trojan.Win32.Nodef.akc
3. Filename:redstone1.exe
Virusname:Trojan.PSW.Win32.GameOL.udc
4. Filename:ff11.exe
Virusname:Trojan.Win32.Nodef.ajc
5. Filename:autorun1.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
6. Filename:autorun2.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
7. Filename:autorun4.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
8. Filename:autorun3.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
9. Filename:wow1dll.exe
Virusname:Trojan.Win32.Nodef.zq
10. Filename:wow1.exe
No malware.

>>55
Rising 提出後の回答 (7/12)
ベンダーによって白黒に差があると言っても流石にこれは…未検出分の再提出はRisingユーザーさんに任せた。

1. Filename:adv111.exe
Virusname:AdWare.Win32.Mnless.arq
2. Filename:file.exe
Virusname:Trojan.Win32.Nodef.akv
3. Filename:load.exe
Virusname:Trojan.Win32.Nodef.aku
4. Filename:load_1.exe
Virusname:Trojan.Win32.Nodef.akq
5. Filename:SpywareReminder_v3_12.exe
Virusname:Trojan.Win32.Nodef.ako
6. Filename:x50.exe
Virusname:Trojan.Win32.VBCode.bq
7. Filename:FlashPlayer-9.0.124.0p.exe
Virusname:Trojan.DL.Win32.Undef.aqa
8. Filename:installer_99404.exe
No malware.
9. Filename:main.exe
No malware.
10. Filename:setup_243_3777_.exe
No malware.
11. Filename:SpywareGuard2009.exe
No malware.
12. Filename:1.exe
No malware.

>>55
NortonInternetSecurity2009
Infostealer.Banker.C：load.exe

8/12

最近検出報告がさぼりぎみです・・・
特に忙しいわけでもないんですが・・・

>>187
Risingのセキュリティポリシーじゃ？
Symantecもこのスレの検体は白判定多いしESETやMcAfeeもそう
Pandaもこのスレの100前後あたりにうｐされた検体は白判定が多かった（Pandaはそれでも黒判定が多いベンダーだと思うけど）

対応速度もそうだけどなんでも黒判定するのはAntiVirとカスペルスキーの印象が強いね

NortonのパルスアップデートとMcAfeeとPandaのクラウド型検出はもっと成熟させてベンダー自体の対応速度も上げればかなりいい感じになれると思う

Risingはアドウェアやスパイウェア系のものはスルーが多い傾向だからね・・・
忘れた頃に検出することも多いし、いまだに11月頃の検体に対して返事が来るほど
解析が追いついてないようなので再提出はしないつもりです。

Risingの分析メールより最終結果のみ
>>55
1+5(6?)=6(7?)/12
>>83
6+4=10/10

トレンドマイクロはバスター2010辺りにSmartProtectionNetworkを搭載させないと今のバスターのアップデート形式と検出形式じゃ新種に全然ついていけなくなっていくような気がする
逆にカスペにクラウド型検出は必要ないと思う（とある記事でカスペも採用するというのを見た）もともと対応速度は速くアップデートは頻繁なんだし意味あるのかな・・・？

>>168
ESETより返答

Thank you for your submission.
The detection for this threat will be included in our next signature update.

検出名は不明なれど、次回更新で対応するそうな。白判定が含まれるかどうかは不明。

>>188
>Risingのセキュリティポリシーじゃ？
そうでした。テンプレにもありましたね。
　>>2
　>・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。

Rising 2009 21.22.22 (21.13.22.00)にて
>>38
1.exe: Trojan.DL.Win32.Mnless.cbk
1/2
>>51
1(1).exe>>upx_c: Trojan.DL.Win32.Mnless.cbk
1/2
>>122
gpt0ru1.exe: Trojan.Win32.Nodef.ajs
gpt0ru2.exe: Trojan.Win32.Nodef.ajr
gpt0ru_dldr.exe: Trojan.DL.Win32.Mnless.cbk
msmsg1.exe: Trojan.Win32.VUNDO.ckv
1+4=5/6

NOD32 v3.0　定義3785
>>168
3/7
18.exe.ico Win32/Agent.NSHの亜種 トロイの木馬
datad.zip.ico Win32/Injector.CRの亜種である可能性 トロイの木馬
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico Win32/AutoRun.Qhost.A ワーム

>>191
積極的に各社に提出なされてるようなのでSymantecとPandaの提出もよろしくお願いしますね（と、他人任せな私）
提出してくれたらPandaの検出報告はしておきます、NortonはほぼVirustotal通りだから問題ないかと

>>190
「必要・不必要」ではなく「あった方が良いか否か」
個人的にクラウドベースの検出方法が害になるような考えには今の所至れないな

>>195
「必要ないと思う」は言いすぎたかもしれないけどAntiVirみたいなシグネチャベース+ヒューリスティックで最強を極めるというのも面白いかと
各ベンダーが揃ってクラウドベース検出になったらつまらないかなと個人的な感想、それにカスペは2009でヒューリスティックを大幅に強化したしこのクラシック路線で頑張って欲しい

逆にトレンドマイクロというかバスターは今のままだと・・・

このスレに常駐しているとﾌﾗｯとPandaあたり購入しそうになるから困るﾜｨ

>>122
カスペ
This file is already detected. Please update your bases.

>>197
クラウド型検出を試したいならPandaよりMcAfeeの方がお勧め
Pandaのクラウド型検出は強力だけど常駐の反応は鈍いというか多分機能してない、それだったら常駐時でもクラウド型検出が機能するMcAfeeの方がいいと思う

２００

２０１

ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=203
Malware-Pack57

例によってMcAfeeには提出済み

>>168
Antivir
We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The virus will be detected as 'TR/Dldr.Delf.acj'.

>>175時点では(5/7)でしたが、現時点で(7/7)対応を確認。

>>202
AntiVir (9/12)
461.exe
　　[DETECTION] Is the TR/TDss.AJ Trojan
install.exe
　　[DETECTION] Is the TR/Peed.A.1016 Trojan
InstallAVg_77025309.exe
　　[DETECTION] Is the TR/Fake.Antivirus.2009.FE Trojan
pro.exe
　　[DETECTION] Is the TR/Spy.ZBot.kpk Trojan
rdr.exe
　　[DETECTION] Is the TR/Spy.ZBot.PE.11 Trojan
setup_419_6777_.exe
　　[DETECTION] Is the TR/Dldr.FakeAle.ftv Trojan
StageThree.exe
　　[DETECTION] Is the TR/Fake.Antivirus.2010.E Trojan
tubeviewersetup.1401.exe
　　[DETECTION] Is the TR/Dropper.Gen Trojan
vmnatt.exe
　　[DETECTION] Is the TR/Spy.Gen Trojan

BitDefender10Free(5/12)
Summary:
install.exe Infected: Trojan.Peed.Gen
InstallAVg_77025309.exe Infected: Trojan.FakeAntivirus.Gen
rdr.exe Infected: Trojan.Spy.ZBot.PE
setup_419_6777_.exe Infected: Trojan.FakeAntivirus.Gen
vmnatt.exe Infected: Trojan.Crypt.Delf.C

NOD32 v3.0 定義3788
>>202
9/12
1\vmnatt.exe Win32/Delf.GMWの亜種 トロイの木馬
2\install.exe Win32/Adware.WinWebSecurity アプリケーション
3\InstallAVg_77025309.exe Win32/Adware.Antivirus2008 アプリケーション
4\prosto.exe Win32/Spy.Zbot.FN トロイの木馬
5\rdr.exe Win32/Spy.Zbot.FE トロイの木馬
6\461.exe Win32/Kryptik.FJの亜種 トロイの木馬
7\pro.exe Win32/Spy.Zbot.ET トロイの木馬
9\tubeviewersetup.1401.exe Win32/TrojanDownloader.Zlob.CYV トロイの木馬
a\antivirus.v.1.0.exe Win32/TrojanDownloader.FakeAlert.WR トロイの木馬
未検出ぶんEsetへ提出。

>>193で未検出だったものも対応（4/7→7/7）

http://niyaniya.info/up8/src/8M1056.zip.html

>>202
Rising 2009 21.22.32 (21.13.32.00)にて
1\vmnatt.exe>>upx_c: Trojan.Win32.StartPage.men
4\prosto.exe>>upx_c: Trojan.Win32.Nodef.ame
6\461.exe: Trojan.Win32.Nodef.aia
8\setup_419_6777_.exe: Trojan.Win32.FakeAV.gc
4/12
Risingに送付済み

>>202
McAfee

File Name　　　　　　Findings　　　　　　 Detection　　　　　　Type　　　　 Extra
--------------------|--------------------|--------------------|------------|-----
24.exe　　　　　　　|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no　
461.exe　　　　　　 |inconclusive　　　　|　　　　　　　　　　|　　　　　　|no　
antivirus.v.1.0.exe |new detection　　　 |fakealert-ab.dldr　 |Trojan　　　|yes　
install.exe　　　　 |new detection　　　 |fakealert-t　　　　 |Trojan　　　|yes　
installavg_77025309.|new detection　　　 |generic pup.x　　　 |Application |yes　
pro.exe　　　　　　 |new detection　　　 |generic pws.y　　　 |Trojan　　　|yes　
prosto.exe　　　　　|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no　
rdr.exe　　　　　　 |new detection　　　 |puper　　　　　　　 |Trojan　　　|yes　
setup_419_6777_.exe |current detection　 |generic downloader.z|Trojan　　　|no　
stagethree.exe　　　|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no　
tubeviewersetup.1401|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no　
vmnatt.exe　　　　　|new detection　　　 |generic dropper　　 |Trojan　　　|yes　

>>202
�d
カスペ2009 19:42
11/12 (b以外)

Detected virus not-a-virus:FraudTool.Win32.Antivirus2010.e tane0203.zip/Malware/0/StageThree.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan.Win32.Delf.hva tane0203.zip/Malware/1/vmnatt.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vgqm tane0203.zip/Malware/2/install.exe
Detected virus not-a-virus:FraudTool.Win32.Antivirus2009.fe tane0203.zip/Malware/3/InstallAVg_77025309.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kup tane0203.zip/Malware/4/prosto.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.krd tane0203.zip/Malware/5/rdr.exe
Detected virus HEUR:Trojan.Win32.Generic tane0203.zip/Malware/6/461.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kpk tane0203.zip/Malware/7/pro.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.cyu tane0203.zip/Malware/8/setup_419_6777_.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bech tane0203.zip/Malware/9/tubeviewersetup.1401.exe
Detected Trojan program Trojan.Win32.Agent2.ta tane0203.zip/Malware/a/antivirus.v.1.0.exe

検体提出します。 (6,b)

>>206
鑑定ｱﾘﾄｩｰｯｽｗｗ

>>202
avast!4.8
Malware\0\StageThree.exe：Win32:Trojan-gen {Other}
Malware\1\vmnatt.exe：Win32:Spyware-gen [Trj]
Malware\2\install.exe：Win32:Adware-gen [Adw]
Malware\3\InstallAVg_77025309.exe：Win32:Trojan-gen {Other}
Malware\5\rdr.exe：Win32:Zbot-AYV [Trj]
Malware\7\pro.exe：Win32:Zbot-AYV [Trj]

6/12

>>202
PandaGlobalProtection2009
ウイルス発見 : Generic Trojan vmnatt.exe、install.exe
ウイルス発見 : Trj/Sinowal.DW 　　　rdr.exe
ウイルス発見 : Trj/CI.A 　　　pro.exe
アドウェアを検出 : Adware/Antivirus2009　　　setup_419_6777_.exe
アドウェアを検出 : Adware/Antivirus2010　　　StageThree.exe

疑わしいファイル：nstallAVg_77025309.exe、prosto.exe、461.exe、tubeviewersetup.1401.exe
検出数10/12

McAfeeVirusScan＋ActiveProtectionの検出数8/12

>>202
NortonInternetSecurity2009
2/12
Trojan Horse：vmnatt.exe
AntispywareProXP：setup_419_6777_.exe

検体提出は最近各ベンダーに提出されてる方に任せます
しかしNortonはこのスレでの検体はあんまり強くないな・・・
Nortonの性能は確かなんだろうけどこのスレではその実感がないですね・・・
恐らく検体の白判定の多さからだろうか？

>>202
Avira(追加)
We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.

The virus will be detected as 'ADSPY/NaviPromo.wam'.

>>213
あー、今回のは出してますが、忙しい時は検体見掛けても出せないこともあるので、あまり任せっきりにされても…。

>>214
＞ADSPY/NaviPromo.wam'.
まだアップデート来てないのかな？
さっきスキャンかけてみたけどまだその検出名がなかった

＞忙しい時は検体見掛けても出せないこともあるので、あまり任せっきりにされても…。

余裕があるときは私も自分の使ってるベンダーには出しておきますね（現在McAfee+ActiveProtectionもテスト中）

公式サイト新配布ファイル： GOMPLAYERSETUP2114.EXE 受理 2009.01.22 12:28:23 (CET)
ttp://www.virustotal.com/jp/analisis/fcfe30b2f528fe262bf15f4101510b36
Pandaユーザーの方、報告お願して宜しいですか？

>>216
ｺﾞﾒｿ、まだ話しがイマイチ理解できてない
kwsk

>>216
誤検出の可能性かな？
今落としてみても、それとファイル名とファイルサイズ違うんだけど。
検出はしてるようなので、誤検出の疑いとして一応提出してきます。>216はどっから落としたんだろう？

>216の奴（GOMPLAYERSETUP2114.EXE File size: 5903944 bytes）
　　　↓
今落とした奴（GOMPLAYERJPSETUP.EXE File size: 267528 bytes）
ttp://www.virustotal.com/analisis/82762290109730c07b46aa91d783122a

＞Panda 9.5.1.2 2009.01.21 Suspicious file
　　　↓
＞Panda 9.5.1.2 2009.01.21 Error scanning file
＞Sophos 4.37.0 2009.01.22 KILLgOM Process Killer

>>202
全てvirustotalに送ってありました。

>>217-218
説明不足ですみません。
TOPページ → ttp://www.gomplayer.jp/

お知らせ [2009-01-07] GOM PLAYERバージョンアップのお知らせ [Ver2.1.14.4525]
リンク先 → ttp://www.gomplayer.jp/notice/view.html?intSeq=45

ダウンロードリンク先 → ttp://www.gomplayer.jp/exe/GOMPLAYERSETUP2114.EXE

このHPからのDLはつい先日までリンク先が不安定でした。プレイヤー自身の自動
更新からのDLは可能だったみたいです。（他の掲示板の情報による）

先ほど、このHPからプレイヤーの更新をDLして、virustotalで確認したところ
誤検出ではないかと、書き込みした次第です。

>>216-218
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=204
infected

日本公式から落としたものなので、>216のファイルとは異なります。

誤検出の疑いとしてPandaとSophosに提出しました。両方とも回答の来ないベンダーなので、
修正されたかどうかのチェックは、該当セキュリティソフト利用者の方に余裕があったらお願いします。
Sophosは、内部のKillGom.exeが引っ掛かってたようですが、Panadaが引っ掻けてるファイルは不明。

GOMPLAYERJPSETUP.EXE
　　http://www.virustotal.com/analisis/82762290109730c07b46aa91d783122a
　　Error scanning file(Panda)
　　KILLgOM Process Killer(Sophos)

KillGom.exe
　　http://www.virustotal.com/analisis/b9177f2edc0c64afb0821a2bf63167d7
　　KILLgOM Process Killer(Sophos)

>>220
>221のファイルは日本公式のTOPから落としたものです。
多分、中に入ってる同じファイルが引っ掛かっているんでしょうから、>220の提出は見合わせます。

検体入手元（リンクにならないよう、念のため、一部文字を置き換えてあります）
ttp://www■gomplayer■jp/exe/GOMPLAYERJPSETUP■EXE

おｋ
Panda2009で確認してくる

>>220-222
検体入手してきました
PandaGlobalProtection2009では反応ありません（>>221でうｐしてくれた検体も無反応）

ちなみにPanda2009のバージョンは9.8です（Virustotalは9.5）
2009では無反応だったから正直報告しようかどうか微妙な結果・・・

>>221
名前からして誤検出ではないんじゃないか
名前の通りProcessを強制するソフトだってことなんじゃないかな
こういうソフトは悪用されることがあるから検出されることがある

Processを強制終了するソフトね
pskill.exeなんかもソフトによっては引っかかる

>>202
NortonInternetSecurity2009追加検出+5
Infostealer.Banker.C：prosto.exe、rdr.exe、pro.exe
Trojan Horse：StageThree.exe、tubeviewersetup.1401.exe

7/12

とりあえずNortonは12時間以内に5個検出できたし対応速度的にも速いほうだから合格点かな
最初2個しか検出できなかったときは不安になった

>>202
カスペ、全対応完了。

24.exe_ - Trojan.Win32.BHO.kqt

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

461.exe_ - Packed.Win32.Tdss.a,
antivirus.v.1.0.exe_ - Trojan.Win32.Agent2.ta,
install.exe_ - Trojan-Downloader.Win32.FraudLoad.vgqm,
pro.exe_ - Trojan-Spy.Win32.Zbot.kpk,
prosto.exe_ - Trojan-Spy.Win32.Zbot.kup,
rdr.exe_ - Trojan-Spy.Win32.Zbot.krd,
setup_419_6777.exe_ - Trojan-Downloader.Win32.FraudLoad.cyu,
tubeviewersetup.1401.exe_ - Trojan-Downloader.Win32.Agent.bech,
vmnatt.exe_ - Trojan.Win32.Delf.hva

These files are already detected. Please update your antivirus bases.

おっと、検出名２つ貼りわすれ。拡張設定で検出する分。

InstallAVg_77025309.exe_ - not-a-virus:FraudTool.Win32.Antivirus2009.fe,
StageThree.exe_ - not-a-virus:FraudTool.Win32.Antivirus2010.e

These files are already detected by our extended bases as potentially risk programs.

前スレのDishの件
カスペから今頃返事が来た

Hello,

dish.exe_ - Trojan-Proxy.Win32.Delf.kt

This file is already detected. Please update your antivirus bases.

>
Please quote all when answering.

結論：どのベンダーからもウイルス扱いされるこのソフトを作った奴が悪い

>>205の続き　NOD32 定義3791
全検出を確認　9/12→12/12

http://blog-imgs-24.fc2.com/j/k/j/jkjcjk/yara.jpg

>>233
>>3
-----
>>105
ClamAV(6/6)

[clamav-virusdb] Update (daily: 8895)
ttp://lurker.clamav.net/message/20090123.091431.03e1242f.en.html

Submission-ID: 6221397
Added: Trojan.Inject-1879
Added: JS.Agent-36
Added: JS.Agent-37
Added: JS.Agent-38
Added: JS.Agent-39
Added: JS.Agent-40

ClamAVはチェックつけとくと、検出名は教えてくれるけど、いつ送ったどのファイルだか判らないので困る。
ファイル数とか検出名称から当たりをつけて、VirusTotalに投げて、同じ名前で検出するかチェックして
ようやく返答と、どの検体かが結びつくのでちょっと面倒くさいです。

提出：2009/01/19 AM3:50頃
返答：2009/01/23 PM6:13頃　今回は、およそ４日半位ですね

>>105
ついでなんで、対応状況のチェック

=== VirusTotal(2009/01/19 検体提出前) ===
ttp://www.virustotal.com/analisis/a9fcbdb0774223ed4262422c72e06bda : index.htm(7/39)
ttp://www.virustotal.com/analisis/44d4f78814e7982baceba7fc4c2fba1d : Muma.htm(7/37)
ttp://www.virustotal.com/analisis/803f38f1ee5eaf28935f8901e6214ab8 : muma_1.html(15/37)
ttp://www.virustotal.com/analisis/34e438cc6d99c903e24d4550722177e1 : Ms06-014.htm(6/38)
ttp://www.virustotal.com/analisis/ae8a4d8cc183c03457b803eaffb1f106 : Ms06-014_1.htm(4/38)
ttp://www.virustotal.com/analisis/a9fa32735a81f195b1bd02ae2cdc7ad3 : k1.exe(24/39)

=== VirusTotal(2009/01/23) ===
ttp://www.virustotal.com/analisis/a0a022353e51b762e295f9dddc895398 : index.htm(19/39)
ttp://www.virustotal.com/analisis/2beccda409a15729300f1e486e38dd32 : Muma.htm(18/39)
ttp://www.virustotal.com/analisis/e5db8393c89824000810d2e27dc50c44 : muma_1.html(27/39)
ttp://www.virustotal.com/analisis/0a1e6f4fe20ea01895f5bcaec09c5c78 : Ms06-014.htm(20/39)
ttp://www.virustotal.com/analisis/aa42f42447a8e7174e4c1ed1cf348877 : Ms06-014_1.htm(18/39)
ttp://www.virustotal.com/analisis/1b96186968273ec0b7ba7ca29ebfad19 : k1.exe(31/39)

2009/01/19 -> 2009/01/23
index.htm　　　　　:　7 -> 19
Muma.htm　　　　 :　7 -> 18
muma_1.html　　　: 15 -> 27
Ms06-014.htm　　:　6 -> 20
Ms06-014_1.htm　:　4 -> 18
k1.exe　　　　　　　: 24 -> 31

http://193.138.205.121/spc.gif

>>232
それにしても最近のESETの対応の早さはなんなんだろうね
明らかにavast!やAVG、バスターより対応早い

ウイルス解析スタッフを変えたとかなんか？
VB100スポンサー外れたことも影響してるのかな？

少しは危機感があるんじゃないかな

だったらいいね
それぐらい今までのESETは信用できなかったし

>>236
tp://www.virustotal.com/jp/analisis/187a1a38cfc7fdc2990b0c8d94cc732e
McAfeeに提出させて頂ました。

>>236
file.exeが落ちてくる。毎回異なったバイナリが落ちてくる模様
直接の入手元の場合、誤クリックで感染してしまう危険を回避する為、ドットを■に置き換えるとかの
工夫をして貰えると有難い。

ttp://www.virustotal.com/analisis/d4d8afba507e9b45a79215f87e18941c (9/39)
ttp://www.virustotal.com/analisis/98b118d42b2bb99f04d34ced5f27f79d (9/37)

検出名
Trojan:Win32/AgentBypass.gen!I(Microsoft)

検体入手元
ttp://193■138■205■121/spc■gif

検体（複数パターン入手しています）
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=205
virus

>>241
AviraPremiumSecuritysuit
avast!4.8

ともにスルー

>>241
McAfeeに提出させて頂ました。

そこは前スレで既出だけど
定期的にバイナリが大きく変わるからどうしようもない

>>241
PandaGlobalProtection2009
48個全て疑わしいファイルとして検出

McAfeeVirusScan＋ActiveProtection
スルー

>>241
NortonInternetSecurity2009
Nortonも48個全てヒューリスティックで検出
ヒューリスティック検出名：Suspicious.MH690（恐らくVirustotalでは反応しません）

NortonとPandaの傾向見ると一度ヒューリスティックで引っ掛けてしまえばあとは強いな

ttp://www.virustotal.com/analisis/e722304ee41e95c392dfebcb3a9e387e

一部抜き出してVTスキャン
今回はPandaはVT上で反応するね、で、SymantecはVT上でスルー
Kasperskyは私はKasperskyを実機で動かしてない（2年ライセンスは持ってるんですけど）のでカスペ報告者が来ないとヒューリスティック検出がわかりませんね・・・

思うにVTには最新エンジンを提供しないというのも一つの手なのかもしれない
最新エンジンを提供してなんでも正直な判定だったらマルウェア製作者側に攻略されてしまうような気がする
現時点のKaspersky、Symantec、Pandaの「VT上の嘘スルー」も一つの戦略かもしれない

>>241
カスペ2009 22:17:00
スルー
0/48

一括して送るか。
１カ所のコードに反応してシグネチャ作るか、個別にシグネチャ作るか、ジェネリック・シグネチャ作るかいずれかだな。

>>236
NortonとPandaでそこのサイトに突撃してみた
Nortonは侵入防止機能が激怒してそこのサイトには行かしてくれず
PandaはヒューリスティックとWebスキャンが働いてダウンロードできるものはtxtファイルだけ

という結果でした、どっちもログに検出結果が出たので問題ありません

avast!はネットワークシールドがAntiVirはWebガードが働けばそういうサイトに踏むことはないと思うけど

>>248
各ベンダーのシグネチャの性質にやはり違いはありますね
カスペは個別にシグネチャ作るんでしょうね

あとはヒューリスティックにもそれぞれ特徴がありますよね
Pandaはクラウドベースとヒューリスティックが連携してるからとりあえず怪しければグレー判定する傾向が強い
Nortonの方はまだまだわからないのでもっと使ってみてどんな傾向があるのか調べてみたい
NOD32のアドバンスドヒューリスティックみたいなものだったらシグネチャが多いNortonに活きそうだけど現時点ではシグネチャ（パルスアップデート）とヒューリスティックが連携取れてるように見えないのが残念

>>241
Dr.Web（VirusTotalでは検出しないが、既知のファイルとして返答）
　Your submission has been processed.
　This virus is already known to us;
　an entry for this virus has been added to the Dr.Web virus database earlier.
Viruses: Trojan.Packed.449
−−−−−
Rising メールで送付すると、サポートセンターへ行けという自動返信がくるようになった。
Webフォームからの受付に絞られたかも。

>>236
カスペ2009もアクセスできない。

2009/01/23 23:40:23 http://193.138.205.121/spc.gif Detected: 193.138.205.121/* Reason: Databases

IPアドレス事態が危険なアドレスとしてデータベースに含まれているな。＞Web Anti-Virusのsuspicious sites

>>252
avast!とAntiVirは普通にアクセスできた
ネットワークシールドもAntiVirWebガードもスルーという状態

>>249
>Nortonは侵入防止機能が激怒してそこのサイトには行かしてくれず
実際の検体は(VirusTotalでは)スルーしてるけど、アクセス拒否するなら安心だね。
USBメモリとか経由して持ち込まれたら感染するんだろうから、提出は必要だけど。
（Symantecにも>241の検体退出済み）

>>241
NOD32 v3.0 定義3792
オールスルー。
Esetへ提出しました。

>>249
>avast!はネットワークシールドがAntiVirはWebガードが働けばそういうサイトに踏むことはないと思うけど
2つとも検出してないから無理

255です。追記。
NOD32 webアクセス保護機能では保護機能が働かずにアクセスが可能状態。
従ってURLも同時に報告しました。

>>241
AntiVir
(0/48)

BitDefender 10 Free
(0/48)

Spybot
(0/48)

SUPERAntiSpyware Free Edition
(0/48)

>>254
＞実際の検体は(VirusTotalでは)スルーしてるけど
Norton2009はヒューリスティックで検出しますよ>>246

ただPandaのクラウドベース検出にもいえるけどNortonの拡張ヒューリスティック検出は手動スキャンじゃないと反応しない
恐らく常駐時での誤検出を防ぐために手動スキャンのみヒューリスティックを強力にしてるんだろうけど

>>241を何個かだけ実行してみて、落ちてきたファイル（6個）
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=206
virus

ちなみにカスペ2009（送信済み）  
1/6  
HEUR:Trojan.Win32.Generic gEWoPfgd.dll

>>240
MD5が違うよ

>>261
毎回ちょっとだけ違うのが落ちてくるんだよ。だから既出の同アドレスからの検体とMD5が異なって当然。
自動生成して検出逃れを目論んでるぽい。

>>260
Risingに送信済み

>>241
ssdeepのfuzzy hashを見ると途中と末尾がちょっとずつ変わるようだ。
互いのmatch scoreは99〜100。

タイムスタンプかなんかだろね

>>241
Fortinet:
The samples you submitted will be detected as "W32/Agent.CEV!tr".

http://207.29.253.75/bbs/7/img/200901/260919.jpg

>>267
>>3

>>260
AviraPremiumSecuritySuit

fccaWpME\gEWoPfgd.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
1/6

avast!4.8
スルー

>>260
PandaGlobalProtection2009

全スルー

McAfeeVirusScan+ActiveProtection

Generic!Artemis：fccaWpME\gEWoPfgd.dll

ｽﾏｿ
McAfeeの検出検体はfccaWpME\vTligHBu.dll
だったorz
AntiVirと検出検体同じだと勘違いしてそこからコピペしてしまったorz

>>260
NortonInternetSecurity2009

とりあえず検出数とウイルス検出名のみ
2/6
Downloader
Packed.Generic.203

>>260
AntiVir、avast!、Panda、Symantecに提出完了

>>260
McAfeeに提出させて頂ました。

>>260
virustotal ok

>>241
カスペ返答
Trojan.Win32.Agent.bknw
New malicious software was found in these files. Detection will be included in the next update.

Microsoft返答
Submitted Files
=============================================
+---file(0).exe [Trojan:Win32/AgentBypass.gen!I]
　以下、全て同じ名称のため省略

警視庁PCがウイルス感染
http://tsushima.2ch.net/test/read.cgi/news/1232720960/
tp://headlines.yahoo.co.jp/hl?a=20090124-00000007-mai-soci
警視庁は２３日、一部のオンライン端末がコンピューターウイルス「Ｗ３２．Ｄｏｗｎａｄｕｐ．Ｂ」に感染し、車庫証明事務を管理する端末装置などに支障が生じていると発表した。外部には接続していないため情報流出の恐れはないという。

Net-Worm.Win32.Kido.ef
tp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-123015-3826-99

警視庁PCがウイルス感染
http://tsushima.2ch.net/test/read.cgi/news/1232720960/
tp://headlines.yahoo.co.jp/hl?a=20090124-00000007-mai-soci
警視庁は２３日、一部のオンライン端末がコンピューターウイルス「Ｗ３２．Ｄｏｗｎａｄｕｐ．Ｂ」に感染し、車庫証明事務を管理する端末装置などに支障が生じていると発表した。外部には接続していないため情報流出の恐れはないという。

Ｗ３２．Ｄｏｗｎａｄｕｐ．Ｂ
tp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-123015-3826-99

>>278
外部に接続してないのに感染したってどういうこと？
誰かが持ち込んだってことなら、誰かが持ち出すこともできる
持ち出した情報を個人のPCに保存して、そこから流出することを
警察は考えてないのか？

人が死ぬほどの大事にならないと対策しないのは何時まで経っても治らないのな

人間だもん。仕方ないよ（´・ω・`）

>>279
ｎｙとかじゃないから、探してもないよ。って言いたいんじゃｗ

209 名前:名無しさん＠九周年 メール: 投稿日:2009/01/24(土) 16:27:06 ID:5uSN00jo0
みんなー、気をつけろ！

Windowsの脆弱性悪用ウイルスに350万台以上が感染、国内でも被害多数：ITpro
http://itpro.nikkeibp.co.jp/article/Research/20090115/322913/?ST=securityhole

Windowsの脆弱性悪用ウイルスが900万台に感染、3割は中国のパソコン：ITpro
http://itpro.nikkeibp.co.jp/article/Research/20090121/323217/?ST=securityhole

>>260
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A 　　　　fccaWpME\gEWoPfgd.dll
それ以外は全て疑わしいファイルとして検出

それ以外のベンダー（AntiVir、avast!、McAfee、Norton）の検出状況は変化なし

カスペ2009

fccaWpME.dll,
ssQggfGX.dll,
tuvtRjGw.dll,
urqQjGWn.dll - Trojan.Win32.Agent.bknr,

gEWoPfgd.dll - Trojan.Win32.Agent.bkns,

vTligHBu.dll - Trojan.Win32.Agent.bknt

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

よって、1/6＞6/6

>>285
>>260か？

検体名記載よろしく。

ごめん、書き忘れ。
>>260です。

ちなみに、今スキャンしたらメールと検出名が違ってた。
Trojan-Downloader.Win32.Injecter.bzq 　fccaWpME\fccaWpME.dll
Trojan.Win32.Agent.bkns 　fccaWpME\gEWoPfgd.dll
Trojan-Downloader.Win32.Injecter.bzq 　fccaWpME\ssQggfGX.dll
Trojan-Downloader.Win32.Injecter.bzq 　fccaWpME\tuvtRjGw.dll
Trojan.Win32.Agent.bknt 　fccaWpME\vTligHBu.dll
Trojan-Downloader.Win32.Injecter.bzq 　fccaWpME\urqQjGWn.dll

>>260
SpySweeper with AV

6/6
すべてTroj/Virtum-Gen

>>83
Dr.Web 2009/01/18 -> 2009/01/25

Your request has been analyzed. New virus record has been added.

Trojan.PWS.Wsgame.10182
Trojan.DownLoad.28440
Trojan.DownLoad.28442
Trojan.DownLoad.28443

Thank you for the cooperation.

>>241、>>260
NOD32 v3.0 定義3798
全スルー→全検出　Win32/Adware.Virtumonde
>>260のgEWoPfgd.dllのみ、Win32/Adware.Virtumonde.FP
土日なのに、対応早くてびっくり。

>>260
ttp://www.virustotal.com/jp/analisis/e20bcde420270b39791bb10d56d4a685
McAfee 5505 2009.01.24 Vundo

ヒマなので…。

＞前スレ
＞100 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/08(月) 15:30:27
＞ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=132
＞virus
＞いつもの。
＞bkdoorはとりあえずこのファイル名にしたけど、動きはダウンローダ。

約50日前検体のVT結果

http://www.virustotal.com/analisis/65fcd47af459e064dff2965d17f7eed8 agent0.exe 35/39 (eSafe, eTrust,PCTools,VirusBusterスルー）
http://www.virustotal.com/analisis/d1566b3c985f964816c03ca40b07e5c7 agent1.exe 36/39 (Comodo,PCTools,ViRobotスルー）
http://www.virustotal.com/analisis/a7ce7617c2673ca2346ccf648b54e4af agent2.exe 34/37 (nProtect,PCTools,VirusBusterスルー）
http://www.virustotal.com/analisis/7c5d18a814a925e3492c2ff585aa3aaa agent3.exe 33/37 (Authen., PCTools, Sophos, VirusBusterスルー）
http://www.virustotal.com/analisis/f147cb3ac33a63c352477f6182f6c1f7 agent4.exe 26/37 (Authen., Clam, DrWeb, eSafe, eTrust, FProt,Norman, PCTools, Sophos, TrendMicro,Virobotスルー）
http://www.virustotal.com/analisis/b60f05ed490c4478d5c7fabb73537fe5 bkdoor0.exe 29/37 (AhnLab, CAT, Clam, eSafe, eTrust, PCTools, Sophos, TrendMicroスルー）
http://www.virustotal.com/analisis/f4c866d0cef0702778f92de7f8379248 bkdoor1.exe 32/39 (Clam,Comodo,eSafe,Panda,PCTools,Prevx,Sophosスルー)
http://www.virustotal.com/analisis/2b7f1daab74353b67e7668db559b89f4 bkdoor2.exe 28/39 (Authen,Clam,Comodo, eSafe,eTrust,FProt,nProtect,PCTools,Prev,TrendMicro,VirusBusterスルー)
http://www.virustotal.com/analisis/f77b334056843d2b6147914c374c0b43 upk1.exe 35/39 (AhnLab, Clam,eTrust, Prevスルー)

・注意事項；ポリシー？、拡散度低い？（検体がベンダーに認識されていない？） VTと新Ver.での検出結果の相違

>>236
>>241
>>260
avast!4.8
Win32:Adware-gen [Adw]


全て同じ検出名だったので一つにまとめました

>>292
＞VTと新Ver.での検出結果の相違
これがまだまだ気になるよね
SymantecとKasperskyとPandaの他にDr.webとRisingはVTと最新バージョンでは違うみたいだね
Dr.webは最新版はヒューリスティックが強力（？）でRisingは最新版はアップデート回数が増えてるみたいだね
RisingはNortonの2007以前と2008以降みたいな感じかな？

他のベンダーはどうだろう？
BitDefenderはVTのエンジンが古いからやっぱり最新版は違うのかな？違うんだったら興味がわくけど

Risingは数年前から1日3回だよ

>>202
NortonInternetSecurity2009追加検出
Packed.Generic.187：InstallAVg_77025309.exe

8/12

>>295
Risign2009のパターンファイルバージョンはそれまでのRisingのパターンファイルとは違うみたいだけど？
パターンファイルは違うけど2009でも一日3回とか？

>>241
McAfeeVirusScan+ActiveProtection

検出数だけ
28/48

>>296
20.xx.zzが2008向けの定義やプログラムのバージョン表記
21.yy.zzが2009向けの定義やプログラムのバージョン表記
パターンファイルの中身が違うかどうかはわからないけど更新頻度は同じだよ

ちなみに、中国が春節のため土曜日から更新なし
Rising 2009 21.22.50 (21.13.50.00) Last Update Time=2009-01-24 10:31
　　　　　　　　　↑　　　　　　↑
　　　　　　プログラム　　　定義

ClamAVの返答…えーと、どの検体だろう？
11ファイルあるので、Marware-Packxxのどれかだとは思いますが。

ttp://lurker.clamav.net/message/20090126.130632.5e5ad5e4.en.html

Submission-ID: 6298407
Added: Trojan.Fakealert-1414
Added: Trojan.Dropper-18514
Added: Trojan.Agent-70909
Added: Trojan.Downloader-67635
Added: Trojan.Fakeav-41
Added: Trojan.Zbot-2961
Added: Trojan.Zbot-2962
Added: Trojan.Spy-58983
Added: Trojan.Downloader-67636
Added: Trojan.Fakeav-42
Added: Trojan.Spy-58984

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=207
virus

ttp://www.virustotal.com/jp/analisis/8e3cf98db20163e6ca9dc8f0346d28c7

>>300
Risingに送付完了

>>300
PandaGlobalProtection2009とNortonInternetSecurity2009はガチスルーだったので提出しました

「ガチ」はなんか嫌だ

「VT上でスルー」じゃなく「実機でもスルー」だからガチスルーということで

嫌、「ガチ」が気に障るだけだw

そこんところはスルーしていいよ

あとMcAfeeの報告は止めました

どうも仮想環境が上手く構築できないから現時点ではこれ以上のベンダーの検出報告は無理だorz（avast!はAntiVirとの併用が奇跡的に不具合なく快適に動かせるんだが・・・）
McAfeeActiveProtectionは興味あるしBitDefender2009とかも動かしてみたいんだが・・・・

VMwareのゲストOSをVistaかXPにするにはどうしたらいいんだろう・・・？やっぱり新たにOSのライセンス購入しなきゃいけない？（ちなみに実機のOSはVista）
こんな恥ずかしい質問してすいません、どうも仮想環境には慣れてないから上手く使いこなせない

VirusBusterに送ってみたけど
優先度lowとか書いてあるしやる気なさそうだな
せっかく送ってやったのに糞の癖に生意気

>>306
XP・VistaのVPC用イメージファイルならここにあるよ
ttp://www.microsoft.com/downloads/details.aspx?FamilyId=21EABB90-958F-4B64-B5F1-73D0A413C8EF
いまならWindows7を勧めるけどw

>>306
VMware総合スレ Part19
http://pc11.2ch.net/test/read.cgi/software/1227857521/
↑ここで聞いてみれば

Microsoft VirtualPCなら使った事はありますが
VMwareは高くて無理w

http://www.hackpalace.com/virii/makers/nowhere%20utilities20.zip
http://www.hackpalace.com/virii/makers/mass%20produced%20code.zip
http://www.hackpalace.com/virii/makers/ansigen.exe

>>310
https://www.virustotal.com/jp/analisis/f1ecb6ff58cdeb6c7f82ef74c0d89ddd
https://www.virustotal.com/jp/analisis/f1ecb6ff58cdeb6c7f82ef74c0d89ddd
https://www.virustotal.com/jp/analisis/24f21898e021f15961f7dbd5b45137fa

表示環境によっては、手が当たって踏むリスクのある人があるので、
マルウェアソース晒す人は、"http://" 入れるのやめよう (h一個だけ抜きも不十分)

直リンするバカは放置でいいよ

３１０さん　サイト見たらマカフィーて以外に対応早くていいのね

>>308
>>309
ｔｈｘ

無事仮想環境構築できたならMcAfeeActivrProtectionの報告をするつもりです

本当はESETやKasperskyのライセンスを持ってるけど既にお客さんがいるためここら辺の検出報告は控えてるという状況です

>>310
avast!4.8
一番上
Other:Malware-gen

ちなみに一番上のファイルはAntiVirとPandaとNortonはスルーでした
これだけ見るとavast!の誤検出なのかな・・・・？

重複してもいい。送付漏れする位なら。

>>314
最近はMcAfeeとNortonとPandaとESETとavast!が頑張ってるという感じだね
前者3つのベンダーは新エンジンに伴って検出率が向上した感じ

>>312
> 表示環境によっては、手が当たって踏むリスク

それどころかプリフェッチとかあるからな。

>>310
AntiVir
ansigen.exe
　[DETECTION] KIT/DOS.Ansigen construction kit
mass produced code\PS-MPC.COM
mass produced code.zip
　　--> PS-MPC.COM
　　　[DETECTION] VKIT/PSMPC virus
nowhere utilities20.zip
　NotDetected

BitDefender10Free
nowhere utilities20.zip=>CIPHER.COM Infected: BAT.Calhob.A@mm
nowhere utilities20.zip=>FAKEFILE.COM Detected: Application.Fakefile.A
nowhere utilities20.zip=>RESIZE.COM Detected: Application.Fileresizer.A
ansigen.exe Infected: Trojan.Constructor.Dos.Ansigen.A
mass produced code.zip=>PS-MPC.COM Infected: Constructor.PS-MPC

>>308
無事VPCでxpを構築することができました
ありがとう、これで検出報告するベンダーを増やすことができる

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=208
virus

>>300（tane0207.zipの中の偽装jpeg）から呼ばれるもので404になっていないものを幾つか拾ってみました。
img20081223085209.jpgは同梱されていますが、>300のものです。

img20081223085209.jpg　　　　 : Trojan-Downloader.HTML.IFrame.if(Kaspersky)
CursorManiaFFSetup2.0.4.0.exe : not-a-virus:AdTool.Win32.MyWebSearch.bm(Kaspersky)
goldfish.xls.scr　　　　　　　　　　 : Worm:Win32/Yaha.F@mm(Microsoft)
golden-keylogger.zip　　　　　　　: not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
GoldenKeylogger-setup.exe　　 : not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
Document003.pif　　　　　　　　　 : Worm:Win32/Sobig.A@mm(Microsoft)
phone_number2.pif　　　　　　　　 : Worm:Win32/Netsky.T@mm(Microsoft)
movie0045.pif　　　　　　　　　　　 : Worm:Win32/Sobig.F@mm(Microsoft)
sensitive.pif　　　　　　　　　　　　 : Virus:Win32/Magistr.B@mm(Microsoft)
hello.zip　　　　　　　　　　　　　　 : Trojan-Proxy.Win32.Delf.ce(Kaspersky)

一応入手元
ttp://ak■imgfarm■com/images/nocache/funwebproducts/2■0■4■0/CursorManiaFFSetup2■0■4■0■exe
ttp://www■calistra■com/virus/goldfish■xls■scr
ttp://www■golden-keylogger■com/golden-keylogger■zip
ttp://seti■sentry■net/archive/bioastro/2003/Feb/att-0025/Document003■pif
ttp://www■abisource■com/mailinglists/abiword-dev/2005/Jun/att-0006/phone_number2■pif
ttp://lists■w3■org/Archives/Public/site-comments/2003Aug/att-0008/movie0045■pif
ttp://lists■w3■org/Archives/Public/www-dom/2001OctDec/att-0204/sensitive■pif
ttp://www■geocities■com/lelele111111/hello■zip

追記
殆どのものが古めのもののようで、対応されている率が高かったです。

カスペ返答
返答に検出名称はありませんでしたが、なにかすりぬけ分があったようで。
New malicious software was found in the attached file. Its detection will be included in the next update.

マカフィー
File Name Findings Detection Type
--------------------|---------------------------------|------------
cursormaniaffsetup2.|current detectionadware-websearch|Application
document003.pif |current detectionw32/sobig.a@mm |Virus
file_id.diz |inconclusive |
goldenkeylogger-setu|current detectionkeylog-goldenkey|Application
goldfish.xls.scr |current detectionw32/yaha.g@mm |Virus
hello_01.exe |variant detectiongeneric.eo |Trojan
hello_02.exe |variant detectiongeneric.eo |Trojan
hello_03.exe |variant detectiongeneric.eo |Trojan
hello_04.exe |variant detectiongeneric.eo |Trojan
hello_05.exe |variant detectiongeneric.eo |Trojan
hello_06.exe |variant detectiongeneric.eo |Trojan
img20081223085209.jp|current detectionvbs/generic@mm |Virus
movie0045.pif |current detectionw32/sobig.f@mm |Virus
phone_number2.pif |current detectionw32/netsky.t@mm |Virus
sensitive.pif |current detectionw32/magistr.b@mm|Virus

>>322
シマンテック
２分割で送ったうちの片方だけ返答
filename: CursorManiaFFSetup2.0.4.0.exe
　　result: See the developer notes
filename: goldfish.xls.scr
　　result: This file is detected as W32.Yaha.F@mm.
　　http://www.symantec.com/avcenter/venc/data/[email protected]
filename: Document003.pif
　　result: This file is detected as W32.Sobig.A@mm.
　　http://www.symantec.com/avcenter/venc/data/[email protected]
filename: golden-keylogger.zip
　　result: This file is clean
filename: file_id.diz
　　result: This file is clean
filename: GoldenKeylogger-setup.exe
　　result: This file is detected as Spyware.GoldenKeylog.
　　http://www.symantec.com/avcenter/venc/data/spyware.goldenkeylog.html

>>322
avast!4.8
CursorManiaFFSetup2.0.4.0.exe：Win32:Adware-gen [Adw]
Document003.pif：Win32:Sobig [Wrm]
goldfish.xls.scr：Win32:Yaha-E [Wrm]
img20081223085209.jpg：VBS:LoveLetter-C [Wrm]
img20081223085209.jpg：VBS:LoveLetter-C [Wrm]
movie0045.pif：Win32:Sobig-F [Wrm]
phone_number2.pif：Win32:Netsky-T [Wrm]
sensitive.pif：Win32:Magistr

>>322

Fortinet:
新規対応分
CIPHER.COM　　　　- 　　Misc/Cipher
CRYPTCOM.COM　　　　- 　　HackerTool/Cryptcom
FAKEWARE.COM　　　　- 　　Misc/Toolfkw
REPLACE.COM　　　　- 　　HackerTool/CoverFile

既知の分:
ansigen.exe　　　　-　　W32/ConstructionKit
FAKEFILE.COM　　　　- 　　Misc/Toolfkf
PS-MPC.COM　　　　- 　　PSMPC.A!tr
hello.zip/hello/hello_01.exe　　-　　W32/Delf.CE!tr
hello.zip/hello/hello_02.exe　　-　　W32/Delf.CE!tr
hello.zip/hello/hello_03.exe　　-　　W32/Delf.CE!tr
hello.zip/hello/hello_04.exe　　-　　W32/Delf.CE!tr
hello.zip/hello/hello_05.exe　　-　　W32/Delf.CE!tr
hello.zip/hello/hello_06.exe　　-　　W32/Delf.CE!tr
img20081223085209.jpg　　　　-　　HTML/IFrame.CUQ!tr
movie0045.pif　　　　　　-　　W32/Sobig.F@mm
phone_number2.pif　　　　-　　W32/Netsky.T@mm
sensitive.pif　　　　　　-　　W32/Magistr.B@mm

>332
AviraPremiumSecuritySuit
CursorManiaFFSetup2.0.4.0.exe [DETECTION] Contains recognition pattern of the ADSPY/AdSpy.Gen adware or spyware
Document003.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.A worm
golden-keylogger.zip
[0] Archive type: ZIP
--> GoldenKeylogger-setup.exe
[DETECTION] Contains recognition pattern of the DR/GoldenKeylogger.130 dropper
goldfish.xls.scr [DETECTION] Contains recognition pattern of the HTML/Dldr.Agen.QV.1 HTML script virus
hello.zip
[0] Archive type: ZIP
--> hello/hello_01.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_02.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_03.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_04.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_05.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_06.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
movie0045.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.F worm
phone_number2.pif [DETECTION] Contains recognition pattern of the WORM/Netsky.#1 worm
sensitive.pif [DETECTION] Contains recognition pattern of the W32/Magistr.B5 Windows virus

>>322
https://www.virustotal.com/jp/analisis/8f915067bf8011e947e482a416a78c0f
https://www.virustotal.com/jp/analisis/1f3cfb0ce8bc325ee24b5ba171649ea7
https://www.virustotal.com/jp/analisis/e2cd54477133cb0cef744cad38bfff3b
https://www.virustotal.com/jp/analisis/97484c850c0660b251dff5d2c2367fbe
https://www.virustotal.com/jp/analisis/5e9f97a266b85d11889d2b056d0c8c1a
https://www.virustotal.com/jp/analisis/8e3cf98db20163e6ca9dc8f0346d28c7
https://www.virustotal.com/jp/analisis/c929e16c621d00e0b746d0fe5d18c3d9
https://www.virustotal.com/jp/analisis/ed7c421f37fc4286b397ffd032e2494d

>>328
もうひとつあった
https://www.virustotal.com/jp/analisis/dfefe5d99ff8c37b75aa0aa07eb0dd69

>>322
NOD32 v3.0定義3805
9/9
CursorManiaFFSetup2.0.4.0.exe Win32/AdInstaller アプリケーション
Document003.pif Win32/Sobig.A ワーム
goldfish.xls.scr Win32/Yaha.E ワーム
img20081223085209.jpg HTML/TrojanDownloader.Agent.NAX トロイの木馬
movie0045.pif Win32/Sobig.F ワーム
phone_number2.pif Win32/Netsky.T ワーム

sensitive.pif Win32/Magistr.29188 ワーム
golden-keylogger.zip
　->GoldenKeylogger-setup.exe Win32/GoldenKeylogger.132 アプリケーション
hello.zip
　->hello_01.exe Win32/TrojanProxy.Delf.CE トロイの木馬
（以下02〜06まで同名で検出）

sensitive.pifはワームとして検知しましたが、全削除されずに残りました。
ファイルサイズが変化しているので、危険な部分だけ削除しているのかも。

>>324
> filename: CursorManiaFFSetup2.0.4.0.exe
> result: See the developer notes

よく見かける
See the developer notes
の意味が分からない。
黒、白、リスクウェア、どっち？
教えてエロい人

>>331
解析中という見方が正しいけど検体送って数日経ってこういうメールが来る場合がある
その場合は白と見ても良いと思う、その後も対応する気配が感じられないから

ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=209
Malware-Pack58

例によってMcAfeeには提出済み

>>333
今は仮想環境構築にまだ苦戦状態なので検出数の報告だけで
どうしようもなかったらまたスレチ失礼ながらも質問するかもしれません（そうならないように出来るだけがんばります）

PandaGlobalProtection2009
10/12

>>333
avast!4.8とAviraPremiumSecuritySuit
ともに10/12

>>333
NortonInternetSecurity2009
9/12（うち一つは2009ヒューリスティックエンジンで検出）

とりあえず仮想環境についていろいろと調べてみた結果、やはりOSは新たに買ってきた方がスムーズにいきそうですね・・・
>>308さんが挙げてくれたファイルは確かにxpを展開できたけど英語版なせいか日本語サイトは文字化け起こすわMcAfeeセットアップファイルも起動することが出来なかったので仮想環境でもう一つ検出報告追加はまだまだ後になりそうです（予算検討のため）

>>331
>See the developer notes の意味が分からない。
書かれている通り、「デベロッパーノートを見ろ」。

メールの後半に「Developer notes:」という項目があってそこに書かれている。ほぼこの定型文がくると思っていい。
　>xxxx.exe Our automation was unable to identify any malicious content in this submission.
　>The file will be stored for further human analysis
自動処理できなかったので、将来人手で解析するファイルとして蓄積しましたということ。
黒とも白ともリスクウェアとも判別されていない状態。

シマンテックからの回答は基本的にこれでクローズ。人手で解析した結果の報告までは来ません。

シグネチャを自動化してるベンダーってSymantecとあとどこら辺？
McAfeeやPandaとかも企業規模が大きいからシグネチャの自動化はしてそうな感じはするけど

Kasperskyは前に全て人手で行ってると聞いたけど今はどうなんだろう？

Rising 2009 21.23.20 (21.14.20.00) Last Update Time=2009-01-28 10:33
>>322
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>M3OUTLCN.DLL: Adware.MyWebSearch.e
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3WPHOOK.DLL: Trojan.Win32.Undef.aun
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3SCHMON.EXE: Adware.Msearch.a
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3HTTPCT.DLL: Adware.MyWebSearch.d
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE: <Unknown virus>
Document003.pif: Worm.SoBig
golden-keylogger.zip>>GoldenKeylogger-setup.exe>>rView.exe: Trojan.Spy.Agent.asm
goldfish.xls.scr: Worm.Mail.Lentin.w
hello.zip>>hello/hello_01-06.exe: Trojan.Proxy.Delf.jt
movie0045.pif: Worm.Sobig.f
phone_number2.pif: Worm.Mail.Win32.NetSky.daq
sensitive.pif: Win32.Magistr
8/9
>>333
4\ldr.exe: Trojan.Clicker.Win32.Undef.gj
1/12

>>339
マカフィーも自動だな。
Dr.Webもパスワードinfectedで送ってたら、自動処理できないので、virusにしてくれって言ってきた。
トレンドマイクロも自動かな？
あとはMicrosoftも自動っぽい気がする。

>>333
Symantecから
未検出分のみ提出ものから返答

filename: WinDefender2009.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: This file is detected as W32.Waledac.

filename: iMunizatorSetup.dmg
machine: Machine
result: See the developer notes

で、10/12

>>341
ウイルス解析規模が大きいところは大体自動化してるみたいだね
McAfeeとPandaはクラウドベースのシステム的に自動化のほうが理にかなってるし
AVGはどうだろう？

>>338
意味わかった。�d。

>>333
11/12（0以外）

Detected Trojan program Trojan-Spy.Win32.Zbot.kvv tane0209.zip/Malware/1/r.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.lff tane0209.zip/Malware/2/system.lib
Detected Trojan program Trojan-Downloader.Win32.CodecPack.dxi tane0209.zip/Malware/3/antivirus.v.1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kza tane0209.zip/Malware/4/ldr.exe
Detected virus not-a-virus:FraudTool.Win32.SecurityCenter.ac tane0209.zip/Malware/5/av_2009glof.exe
Detected Trojan program Backdoor.Win32.Small.hiy tane0209.zip/Malware/6/load.exe
Detected virus not-a-virus:FraudTool.Win32.WinDefender.n tane0209.zip/Malware/7/WinDefender2009.exe//data0006
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch1
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch0
Detected Trojan program Trojan-Downloader.Win32.CodecPack.ejd tane0209.zip/Malware/9/tubeviewersetup.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan-Dropper.Win32.Agent.afsc tane0209.zip/Malware/a/c-setup.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bfiu tane0209.zip/Malware/b/tubeviewersetup.exe

検体提出します。（0）

8はMac OS X用か？珍しいな。

カスペ2009

>>333
カスペからの返事
11+事後検出1=12/12

0\tubeviewersetup.exe

Hello.

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan-Downloader.Win32.CodecPack.enc

>>333
NOD32 v3.0　定義3806
11/12
0\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WU トロイの木馬
1\r.exe Win32/Kryptik.FHの亜種 トロイの木馬
2\system.lib Win32/Spy.Zbot.GA トロイの木馬
3\antivirus.v.1.exe Win32/TrojanDownloader.FakeAlert.WW トロイの木馬
4\ldr.exe Win32/Spy.Zbot.FU トロイの木馬
5\av_2009glof.exe Win32/Adware.XPAntivirus アプリケーション
6\load.exe Win32/TrojanDownloader.Small.OJX トロイの木馬
7\WinDefender2009.exe Win32/Adware.IeDefender.NHAの亜種である可能性 アプリケーション
9\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.XG トロイの木馬
a\c-setup.exe Win32/Adware.IeDefender.NICの亜種 アプリケーション
b\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WR トロイの木馬
あそこは対応しないかもしれないけど、8の検体をEsetに送付しました。

ttp://www.virustotal.com/analisis/693610b1534cb9ec4adab5214360c0c0
ttp://www.virustotal.com/analisis/cf6a5616f1665b7bb8d74737424b19ed
ttp://www.virustotal.com/analisis/c7357b78c6c5e1606836d27d6f4796d4
ttp://www.virustotal.com/analisis/f788286529921dde059eb3de0664de18
ttp://www.virustotal.com/analisis/ba91dfd5f5008080685a8726aad45f75
ttp://www.virustotal.com/analisis/732a9c774be874e366a57291d391efae
ttp://www.virustotal.com/analisis/458c0fc8a980ae297e510a7900598fe4
ttp://www.virustotal.com/analisis/8f7be950f70a7fd814429d14cb86a488
ttp://www.virustotal.com/analisis/1ac01c2c8ff362ef0924751de7694266
ttp://www.virustotal.com/analisis/60e4e5c8f42d49db19a2452c435f866d
ttp://www.virustotal.com/analisis/32a0112dc6731c9c4b1e60113a6e47cd
ttp://www.virustotal.com/analisis/050011b65bcbf60dcdbc081ea5611711


BitDefenderはいくらなんでもこれはない、酷すぎる
Pandaだったら「VTではしょぼいけど実機ではすごいもん！」と言い張れるのに

>>348
AhnLabだって同じ結果だろ
なんでBitDefenderだけそう言うんだ
まあ凋落の一途って感じだけど

>>348
>>1読め

>>349
確かにこのスレでは検体は偏ってるし何も参考にはならないだろうとは思うけど他の大手ベンダーが軒並みほとんど検出できてるのにBitDefenderはほとんど検出できてないのはどうかと・・・
ESETですらほとんど検出できてるのに、それにAhnlabと比較されるBitDefenderって・・・

BitもVTエンジンは古いから最新版だったら検出できるって話しならまた違ってくるけど

ESETですらってなんだよ
優秀な方だよ

>>352
ESETは最近はすごく頑張ってるけどそれまでは本当にダメダメだったんだけど（このスレでは）

以前までのESET：このスレにうｐされた検体はほとんどスルー、検体提出しても対応してくれる気配がない
今のESET：このスレでうｐされた検体はよく検出してくれる、スルーした検体を提出すると最速とまではいかないけど対応が速くなった

>>353
だからなんだよ
このスレ的には不適切じゃないか
まあ誹謗中傷ではないから良いのかな
まああまり適切とは思えないから終わりにしろよ

>>354
ｽﾏｿね
ま、ESETがどうしてこんなに良くなったのかそのきっかけはわからないけどとにかく本当に好印象なベンダーになったね
このまま頑張って欲しいですね

というわけでまた新たに未検出検体が対応されたら報告します

ESETの対応が好印象に変化したというのは、実感してる。ただ、>>1をよく見て欲しい。

＞特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

余計な書き込みでスレ埋め立てないように注意しながら検出可否確認してこうぜ。

お前が言うな

ESETもMcAfeeもちょっと前まで絶望感と悲壮感が漂ってたけど今は見事に復活したからBitDefenderもいつかは復活したらいいなとは思う

>>333
AntiVir全検出確認

ttp://www.supervirus.com/hdd_crash/MOL001.ASF.exe

>>359
該当するIPなし。名前解決できないので、検体入手不可能。鑑定目的ならお引き取りください。
検体提出なら、>1のアプロダに置いてください。

>>333
Fortinet:
We will add detection for these samples in the next regular update.
The samples you submitted will be detected as follows:

Malware\0\tubeviewersetup.exe - W32/Agent.FBZ!tr.bdr
Malware\1\r.exe - W32/Zbot.KVV!tr.spy
Malware\2\system.lib - W32/Zbot.LFF!tr.spy
Malware\3\antivirus.v.1.exe - W32/CodecPack.DXI!tr.dldr
Malware\4\ldr.exe - W32/Zbot.KZA!tr.spy
Malware\5\av_2009glof.exe - Misc/SecurityCenter
Malware\6\load.exe - W32/Small.HIY!tr.bdr
Malware\7\WinDefender2009.exe - Adware/WinDefender
Malware\8\iMunizatorSetup.dmg - Misc/IMunizator
Malware\9\tubeviewersetup.exe - W32/CodecPack.EJD!tr.dldr
Malware\a\c-setup.exe - W32/Agent.AFSC!tr
Malware\b\tubeviewersetup.exe - W32/Agent.BFIU!tr.dldr

検体入手元：
リネージュ資料室のセキュリティ対策 （ウィルス情報 - ウィルス更新状況）から最近更新されたページを
拾ってみたもの。htmlも多く含んでいるため、無害判定の出るファイルも含んでいると思われます。
幾つかのCSSは偽装された実行ファイルでした。
ttp://lineage.paix.jp/guide/security/virus-lastmodified.html

訂正。orz

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=211
virus

検体入手元：
リネージュ資料室のセキュリティ対策 （ウィルス情報 - ウィルス更新状況）から最近更新されたページを
拾ってみたもの。htmlも多く含んでいるため、無害判定の出るファイルも含んでいると思われます。
幾つかのCSSは偽装された実行ファイルでした。
ttp://lineage.paix.jp/guide/security/virus-lastmodified.html

play.scrを解凍して出てくる1199.exeはベンダーによって外と中身で検出状況が違うことも。
（うっかりして、解凍したexeを入れ忘れました。ベンダーに提出される方は、Play.scrを解凍してください）
ttp://www.virustotal.com/analisis/210b3aaaf72c73fdd03bde62bdcbc71b　1199.exe(19/38)
ttp://www.virustotal.com/analisis/c1021f50717e0c2fd7cb3154ec540948　play.scr(23/39)

AntiVirFree(他のファイルはスルー）
14.htm : HTML/Crypted.Gen HTML script virus
a1.css : R/Dropper.Gen Trojan
Bfyy.htm : HTML/Shellcode.Gen HTML script virus
cx.htm : HTML/Rce.Gen HTML script virus
fx.htm : JS/Dldr.IFrame.JD Java script virus
lzz.htm : HTML/Dldr.Agent.SB HTML script virus
new.html : HTML/Malicious.ActiveX.Gen HTML script virus
play.scr : DR/PcClient.agv dropper
real10.htm : EXP/RealPlr.CT exploit
real11.htm : HTML/Rce.Gen HTML script virus
sina.css : R/Crypt.XDR.Gen Trojan
b05.css : R/Crypt.XDR.Gen Trojan
playonline\1.css : R/Inject.ntg Trojan
playonline\ff.swf : SWF/Dldr.Tiny.D SWF virus
playonline\flsp.exe : R/Inject.ntg Trojan
playonline\fx.htm : JS/Dldr.Agent.PZ Java script virus
playonline\ie.swf : Contains the SWF/Dldr.Tiny.D.1 SWF virus
playonline\index.htm : JS/Dldr.Agent.HZ Java script virus
playonline\Ms06014.htm : HTML/Rce.Gen HTML script virus
playonline\real.htm : EXP/RealPlr.CT exploit
playonline\real.html : HTML/Shellcode.Gen HTML script virus
xin\ani.asp : EXP/Ani.Gen exploit
xin\ani.c : EXP/Ani.Gen exploit
xin\index.htm : HTML/Dldr.Nilag.bqz HTML script virus
xin\Ms06014.htm : JS/Dldr.Agent.ZY Java script virus
xin\Ms06046.htm : JS/Bofra.A.1 Java script virus
xin\Ms07004.js : EXP/JS.MS07-004 exploit
xin\xia.exe : R/Dropper.Gen Trojan
xin\Yahoo.htm : HTML/Shellcode.Gen HTML script virus

AntiVirでスルーするファイルのうち、２ファイルは他ベンダーでは検知。
残る８ファイルはVirusTotalでは検知なしのファイルでした。
playonline/ss.htm : Exploit.JS.Agent!IK(a-squared)
playonline/off.htm : Trojan-Downloader.JS.Small.mr(Kaspersky)

>>363
PandaGlobalProtection2009

とりあえず検出数だけ（詳細な報告は今はちょっとできません）
8個検出（ヒューリスティック検出はなし）

>>363
NortonInternetSecurity2009
16個検出（うちヒューリスティック検出一つ）

詳細な報告はできなったけどPandaとSymantecに提出してきます

>>363
ｆｔｐで一括提出予定（McAfee側の準備に2日程必要）

へー、McAfeeもでかいファイルは別途FTPなのか

NOD32 v3.0 定義3809
14個検出。未検出ファイルのみ、zip圧縮でEsetへメール送信しました。
a1.css Win32/TrojanDownloader.Agent.OQW トロイの木馬
b05.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性 トロイの木馬
play.scr Win32/PcClient.NCRの亜種 トロイの木馬
playonline\fx.htm JS/TrojanDownloader.SWFlash.J トロイの木馬
playonline\ie.swf SWF/TrojanDownloader.Small.DJ トロイの木馬
playonline\Ms06014.htm VBS/TrojanDownloader.Psyme.NFF トロイの木馬
playonline\off.htm JS/Exploit.CVE-2008-2463 トロイの木馬
sina.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性 トロイの木馬
xin\ani.asp Win32/TrojanDownloader.Ani.Genの亜種 トロイの木馬
xin\ani.c Win32/TrojanDownloader.Ani.Genの亜種 トロイの木馬
xin\Ms06014.htm JS/TrojanDownloader.Psymeの亜種である可能性 トロイの木馬
xin\Ms06046.htm JS/Exploit.CVE-2008-4844.gen トロイの木馬
xin\xia.exe Win32/PSW.QQShouの亜種である可能性 トロイの木馬
xin\Yahoo.htm HTML/Exploit.IframeBof トロイの木馬

>>363
カスペ2009 18:45:00
全部スルー ( ノ∀｀)アチャー

検体提出します。
さて、どうやって提出しようか検討中。（いつもは個別送付）

>>363
カスペ2009+新エミュレータ 22/39 ＠6:16:00

Detected Trojan-Dropper.Win32.Agent.afws a1.css//FSG
Detected Trojan-Dropper.Win32.Agent.abku b05.css//PE_Patch.UPX//UPX
Detected Backdoor.Win32.PcClient.abwo play.scr//data0002
Detected Trojan.Win32.Inject.ntg playonline/1.css
Detected Trojan-Downloader.SWF.Small.dj playonline/ff.swf//Swf2Swc
Detected Trojan.Win32.Inject.ntg playonline/flsp.exe
Detected Trojan-Downloader.JS.SWFlash.j playonline/fx.htm
Detected Trojan-Downloader.SWF.Small.dj playonline/ie.swf//Swf2Swc
Detected Trojan-Downloader.JS.Psyme.anc playonline/Ms06014.htm
Detected Trojan-Downloader.JS.Small.mr playonline/off.htm
Detected Exploit.JS.Agent.aay playonline/real.htm
Detected Exploit.JS.Agent.aax playonline/real.html
Detected Exploit.JS.XMLPars.v playonline/ss.htm
Detected Trojan-Dropper.Win32.Agent.abku sina.css//PE_Patch.UPX//UPX
Detected Exploit.Win32.IMG-ANI.ac xin/ani.asp
Detected Exploit.Win32.IMG-ANI.ac xin/ani.c
Detected Trojan-Downloader.HTML.IFrame.dv xin/index.htm
Detected Trojan-Downloader.JS.Psyme.kf xin/Ms06014.htm
Detected Exploit.JS.Agent.yq xin/Ms06046.htm
Detected Trojan-Downloader.JS.VML.a xin/Ms07004.js
Detected Trojan-Downloader.Win32.Delf.jfj xin/xia.exe
Detected Exploit.HTML.IESlice.z xin/Yahoo.htm

あれ？

>>363
カスペ2009 19:27:00
22/39
>>372と同一でした。

検体提出します。

スレ汚しすまぬ。orz

>>370です。
NOD32 定義ファイル3810になったため、見逃したぶんを再検査（14+2→16）
\playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
\playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬

>>368
ごめん、２分割でメールしちゃったんで提出済み。

>>363
Rising 2009 21.23.20 (21.14.20.00)
15個検出
b05.css>>upx_c: Trojan.Win32.Edog.bl
playonline\1.css: Trojan.Win32.Nodef.afb
playonline\flsp.exe: Trojan.Win32.Nodef.afb
playonline\index.htm: Trojan.DL.Script.VBS.Agent.ex
playonline\real.htm: Hack.Exploit.Script.JS.Agent.ik
real10.htm: Hack.Exploit.Script.JS.Agent.il
sina.css>>upx_c: Trojan.Win32.Edog.bl
xin\ani.asp: Hack.SuspiciousAni
xin\ani.c: Hack.SuspiciousAni
xin\index.htm: Trojan.DL.Script.JS.Agent.lyr
xin\Ms06014.htm: Trojan.DL.JS.Agent.lio
xin\Ms06046.htm: Hack.Exploit.Script.JS.Agent.ie
xin\Ms07004.js: Hack.Exploit.Script.JS.Vml.a
xin\xia.exe: Trojan.PSW.Win32.QQPass.qir
xin\Yahoo.htm: Hack.Exploit.YahooWebcam.a

マカフィー、>>363現時点の返答。この表、奇麗に投稿できないもんかなぁ。
File Name　　 Findings　　　　　 Detection　　　　　　　Type　 Extra
-------------|------------------|----------------------|------|-----
14.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
a1.css　　　 |new detection　　 |generic dropper　　　 |Trojan|yes
b05.css　　　|current detection |downloader-ble　　　　|Trojan|no
b05.htm　　　|inconclusive　　　|　　　　　　　　　　　|　　　|no
bfyy.htm　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
cx.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
fx.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
index(1).htm |inconclusive　　　|　　　　　　　　　　　|　　　|no
index(2).htm |inconclusive　　　|　　　　　　　　　　　|　　　|no
index(3).htm |inconclusive　　　|　　　　　　　　　　　|　　　|no
index.htm　　|inconclusive　　　|　　　　　　　　　　　|　　　|no
lzz.htm　　　|inconclusive　　　|　　　　　　　　　　　|　　　|no
ms07004.js　 |current detection |generic downloader.o　|Trojan|no
new.html　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
play.scr　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
real10.htm　 |current detection |exploit-realplay　　　|Trojan|no
real11.htm　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
sina.css　　 |current detection |downloader-ble　　　　|Trojan|no
style2224.jsp|inconclusive　　　|　　　　　　　　　　　|　　　|no
yahoo.htm　　|current detection |js/exploit-bo.gen　　 |Trojan|no

（続き）

File Name　　 Findings　　　　　 Detection　　　　　　　Type　 Extra
-------------|------------------|----------------------|------|-----
1.css　　　　|current detection |pws-mmorpg.gen　　　　|Trojan|no
1199.exe　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
2078759.js　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
ani.asp　　　|current detection |exploit-anifile.c　　 |Trojan|no
ani.c　　　　|current detection |exploit-anifile.c　　 |Trojan|no
ff.swf　　　 |current detection |generic downloader.bk |Trojan|no
flsp.exe　　 |current detection |pws-mmorpg.gen　　　　|Trojan|no
fx.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
ie.swf　　　 |current detection |exploit-cve2007-0071　|Trojan|no
index.htm　　|inconclusive　　　|　　　　　　　　　　　|　　　|no
index.htm　　|heuristic detectio|exploit-iframe.gen.h　|Trojan|no
l2.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
ms06014.htm　|current detection |vbs/psyme　　　　　　 |Trojan|no
ms06014.htm　|current detection |exploit-ms06-014　　　|Trojan|no
ms06046.htm　|current detection |exploit-xmlhttp.d.gen |Trojan|no
off.htm　　　|inconclusive　　　|　　　　　　　　　　　|　　　|no
real.htm　　 |current detection |exploit-realplay　　　|Trojan|no
real.html　　|current detection |exploit-realplay.d.gen|Trojan|no
ss.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
xia.exe　　　|current detection |generic downloader.x　|Trojan|no

ESETも返答返すようになってきたようだ。翌日には対応とは頑張ってる。いい感じだ。

>>322…って、>>330で全検出の報告出てるがESETから返答来たので一応報告。1/28提出で翌日には対応。

Thank you for your submission.
The detection for this threat will be included in our next signature update.

>>333　こっちも次回更新で対応との返答。
　>347で報告(11/12)されてるが、8の検体にも対応して全検出になってるか、確認よろしく。

Thank you for your submission.
The detection for this threat will be included in our next signature update.

>>363
テキストエディタで見ると、相互に呼び出しあっていて、複雑に分解させてるね。,
javaScriptを外部リンクに持ってきたり、iframe使ったり、リンク参照したり、…。
全部ひっくるめて機能する気がする。
単体では、Web作成上、よく使われるスクリプトも多い。

混ぜるな！危険、の硫化水素みたいだ。

既検出分も含め、総提出しないとダメか？

>>380
その辺の呼び出しスクリプトにも対応するか、本体だけ対応するかはセキュリティベンダーのポリシーで
対応状況変わるからねぇ。一通り提出はしてあるので、あとはベンダー次第かと。

>>363
Avira　AntiVir
The files you have sent us represent a bigger collection of malware.
Our virus lab will check the files and integrate new signatures in one of our next updates.

AntiVirFree(エンジン 8.02.00.60/定義 7.01.01.202）　現時点で、>364と比較してみる (30は、364の29+(1199.exe)=30
(30/40)→(31/40)

>>363
トレンドマイクロ 追加で３種類の定義追加らしい

We are glad to inform you that the detection for the following malware below is now available for
downloading using CPR 5.804.06.

JS_DLOADER.TJP
VBS_PSYME.CLB
HTML_IFRAMEBO.CG

>>363
カスペからの返事
14.htm_ - Trojan-Downloader.JS.Agent.dkv
fx.htm - No malicious code was found in this file.

その後、17ファイル再度送ったら、回答待ち。
優先順位低いと思われているのかな。

まあ、中途半端なファイルが多くて、agentに入れるかどうか迷ってんのかね。

>>363
Fortinet.
Some of the samples you sent should already be detected:
xin/ani.asp - W32/MalFormedani.C
xin/ani.c - W32/MalFormedani.C
xin/index.htm - JS/Agent.CG!tr.dldr
xin/Ms06014.htm - JS/Psyme.KF!exploit
xin/Ms06046.htm - JS/MS08078!exploit
xin/Ms07004.js - JS/Vml.A!exploit
xin/Yahoo.htm - JS/ShellCode.A!exploit
b05.css - W32/Dropper.CDB!tr

Fortinet. （続き）
We have recently added detection for other malwares.These signatures will be included in the next regular update.
The samples you submitted will be detected as:

playonline/ff.swf - SWF/Small.A!tr.dldr
playonline/fx.htm - JS/FlashDownloader.A!tr.dldr
playonline/ie.swf - SWF/Small.A!tr.dldr
playonline/index.htm - JS/Multibreach.B!tr.dldr
playonline/1.css - W32/Inject.NTG!tr
playonline/flsp.exe - W32/Inject.NTG!tr
playonline/Ms06014.htm - JS/Psyme.ANC!tr.dldr
playonline/real.htm - JS/RealPlayer.D!exploit
playonline/real.html - JS/Agent.AAX!exploit
xin/xia.exe - W32/OnLineGames.FHW!tr.pws
real10.htm - JS/RealPlayer.D!exploit
real11.htm - JS/Agent.AAX!exploit
1199.exe - W32/Pcclient.abwo!tr.bdr
a1.css - W32/Agent.JKG!tr
Bfyy.htm - JS/Obfuscated.E!tr
new.html - JS/Multibreach.B!tr.dldr
off.htm - JS/Small.MR!tr.dldr
ss.htm - JS/XMLParse.V!exploit

>>379
ESETは対応速度も速くなったけどヒューリスティックも良い感じに検出するようになったね
というかPandaもそうだけどESETはやはり他ベンダーと比べるとヒューリスティックでの検出が多いね

そりゃシグネチャスッカスカだからな

>>363
McAfee、ftpアップロード完了。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=212
virus
ttp://www.virustotal.com/jp/analisis/d7fb4024bd9a07f8579de6001e43287b

カスペ2009
未だ、22+2=24/39で返事来ず。
順番が後回しにされているっぽい。orz

だれか、代理提出お願いします。
提出しすぎてマークされているのかな。

すまぬ、
検体は>>363です。

NOD32　V3.0　定義3812
>>370,>>374の続き　16+10→26　未検出ファイル17
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\ff.swf SWF/TrojanDownloader.Small.DJ トロイの木馬
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\real.htm JS/Exploit.RealPlay.NBF トロイの木馬
playonline\real.html JS/TrojanDownloader.Agent.NEJ トロイの木馬
playonline\ss.htm JS/Exploit.XMLPars.V トロイの木馬
xin\index.htm JS/TrojanDownloader.Iframe.DV トロイの木馬
xin\Ms07004.js HTML/Exploit.VML.NAQ トロイの木馬
完全対応は厳しそう。

>>390　1/1
4b3e8d9c0o7a1p5n6i0g7m.exe Win32/PSW.Gamania.NBF トロイの木馬

前後しますが　>>379 8の検体（MacOSのマルウェア）は未検出のままです。

>>390
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A 　　　　4b3e8d9c0o7a1p5n6i0g7m.exe

>>388
それをいったらMcAfeeやPandaだってクラウドベースがなければスッカスカだぞｗ

>>106
avgもメールが帰って来るはずだが

393です。>>363の続きの検出結果でしたが、重複して報告してましたorz
検出数合計22/39に訂正。申し訳ないです。

>>391-392
提出済み

>>395
おかしいな。2007年4〜5月は受理の報告だけは来てたが、それ以降は返事来てないや。
と思ったら宛て先が古かった模様。次からは、宛て先直そう。<[email protected]>→<[email protected]>

>>397
�d

Rising 2009 21.23.40 (21.14.40.00)
ここまで追加検出なし
いまだ春節モードで検体放置中

>>390
VirusTotalで未検出の所へ提出

Ahnlab Customer , Authentium , Cat Computer , CA(eTrust Vet) , Fortinet , K7Computing , Panda ,
Rising Antivirus , VirusBuster , nProtect , Sunbelt , ViRobot

nProtectは検体のファイルを受け付けていないので、>390のあぷろだへのリンクとパスを書いて報告。

おおすごい
お疲れ様です

Panda＆Norton使いです

これらとAntiVir＆avast!を使い続けて気になったのはNortonやPandaはウイルス駆除するとき、再起動が必要な場合があるけどAntiVirとavast!は殆どない
ウイルスを解凍→駆除のときに再起動が必要というのは他のベンダーではどうです？

AntiVirではないなぁ。その前に使ってたカスペもNOD32も駆除の後再起動は経験が無い。
本体更新での再起動位か。

起動させてから駆除したことはないので、ファイル書込み段階での駆除の話ですが。
スレ違いな気もするけど、どこのスレが適当だかわからんわ。

>>390
Fortinet:未検出→W32/Inject.NNH!tr.

流石に速いな。いつもカスペに次ぐ位の速度で対応してくるベンダーだけあるわ。
一般向けのセキュリティソフトをここが出してくれればなぁ…

>>403
＞スレ違いな気もするけど、どこのスレが適当だかわからんわ。
そうなんですよね、確かにスレ違いだし「一番良い〜」のスレの方が妥当なのかもしれないけどあっちは完全な糞スレになっちゃってまともな会話ができない・・・
こちらのスレではいろんなソフトを使ってる方がいるということで少々テクニカルな話しもできるのではないかと

カスペはウイルス駆除で再起動とかはないんですか・・・・カスペは再起動がありそうなベンダーに見えたんですけどね

というかマルウェアの種類によっては
どのセキュリティソフトでも再起動が必要な場合はある

BitDefenderから今頃になって返事が来た件
もうBitDefenderへの提出打ち切りが数週間経つから今頃返事来るなんて遅すぎだよ〜
しかも何の検体かわからん

Dear Sir/Madam,

The analysis of your files has been completed with the following results:

It's detected as Trojan.PWS.YJQ.

Please do not hesitate to send us even more suspect/infected files in the future.


Best regards,

Aurelian Neagu
BitDefender Technical Support Engineer

>>363
からSymantecの返事が来て「とりあえず解析中だからしばらく待ってろ」だって

Bitから返事貰ったことないぞ

>>407
その検出名の返答が来てるのは1/9に提出したOnline.scrなので、前スレ834だな。
1/9に提出して、1/26に回答来てた。提出する時に、ファイル名に日付入れたり、中身のファイル名書いとくといいよ。

ラボに送ったっていうテンプレメールばっかりなんで、読み飛ばしてたけど、たまに検出名や
既知のファイルだって返答来てるな。＞BitDefender。

　>834 名無しさん＠お腹いっぱい。 sage 2009/01/09(金) 10:52:55
　>ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=177
　>virus
　>検体入手元：ttp://99■1■8■113:8080/sonli/Online■scr
　>(21/38)
　>ttp://www.virustotal.com/analisis/c9ec8d2b1a52c86a9d9347b307345e56

10/21〜1/9に送った奴の検出名が、まとめて1/26に来てる。
（この範囲の分をラボに送ったってメールが1/24。どっかで止めてたなｗ）
1/22送付分が、1/23にラボに送付ってメール来てたりするし、実際の処理と返信が連動してないのかも。
spamフィルタで振り分けられてたのを一気に処理した可能性もある。

>>407-409
＞前スレ834
ちょっと気になったので比較してみた。未対応がそこそこあるように見えるけど、殆どのベンダーは
外側か中身のどっちかには対応してるので、実際にはブロック可能と思われる。
両方まだ対応してないのは、Prevx1とSunbeltの２ベンダーだけ。

Online.scr
1/11(27/37)　ttp://www.virustotal.com/analisis/7ce937a956863b128ee27e25d4985b3b
1/31(31/39)　ttp://www.virustotal.com/analisis/ec60310811fa14ac7f1ec2c3f76402fb

123456789.exe（Online.scrの中身）
1/11(24/38)　ttp://www.virustotal.com/analisis/86b0c553b4acb202d3c09b35205367df
1/31(34/39)　ttp://www.virustotal.com/analisis/cd68dc6306e520a38fb250e75a18234c

1/9に送った別の検体もついでに比較。

flash.exe
1/11(13/37)　ttp://www.virustotal.com/analisis/f57bc9286f6cd3c7163c8207d65613fe
1/31(22/39)　ttp://www.virustotal.com/analisis/83eca2c3860703a53f1121243a9aa8ef

>>363
シマンテック
　ファイル9つづつに分けて、５分割で送信した回答。３つめの分がまだ未回答
　っていうか、４つめのファイル名が２回来てるので、送付ミスったかも…。
　提出 1/29(５件）　回答 1/29（３件） 1/31（２件/但し同じファイル）

検出名のあるもの
filename: flsp.exe
　result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: 1.css
　result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: real.html
　result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
filename: ani.c
　result: This file is detected as Trojan.Exploit.131.
filename: xia.exe
　result: This file is detected as Infostealer. http://www.symantec.com/avcenter/venc/data/infostealer.html
filename: ani.asp
　result: This file is detected as Trojan.Exploit.131.
filename: play.scr
　result: This file is detected as Backdoor.Formador. http://www.symantec.com/avcenter/venc/data/backdoor.formador.html
filename: real11.htm
　result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html

手動解析に回したという報告
index.htm , off.htm , Ms06014.htm , 1199.exe , l2.htm , real.htm , fx.htm , ie.swf ,
ss.htm , 2078759.js , ff.swf , index.htm , index(3).htm , real10.htm , index(1).htm ,
cx.htm , lzz.htm , Bfyy.htm , fx.htm , index(2).htm , index.htm , new.html , style2224.jsp

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=213
virus

>363と同じくリネージュ資料室の更新状況から。
アドレスは同じだが、ファイルが差し替えられたようなので、再入手。

検体入手元
ttp://down■erhaha2■cn/new/a1■css
ttp://www■wokutonoken-online■com/blog/play■scr
※ 1199.exeはplay.scrを解凍するとでてきます。

VirsTotal
ttp://www.virustotal.com/analisis/d959f85c9cabe9cace7ca4cf75db4019　a1.css(26/39)
ttp://www.virustotal.com/analisis/00d86dae7217edd9cf34de9b223df160　play.scr(23/39)
ttp://www.virustotal.com/analisis/6ceaa0ae27e4b55512d3696daf9bab1d　1199.exe(21/38)


AntiVir
a1.css : TR/Dropper.Gen Trojan
play.scr : DR/PcClient.agv dropper
play/1199.exe : DR/PcClient.Gen dropper

BitDefender
play\1199.exe : Trojan.Crypt.DG
a1.css : Rootkit.Agent.AIWN
play.scr : Dropped:Backdoor.PCClient.TCH

>>413
未検出の所は一通り提出

マカフィー（全スルー）

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe |inconclusive | | |no
a1.css |inconclusive | | |no
play.scr |inconclusive | | |no

>>413
PandaGlobalProtection2009
a1.cssのみ疑わしいファイルとして検出

>>413
乙です。
NOD32 ｖ3.0 定義3814
a1.css Win32/Genetikの亜種である可能性 トロイの木馬
play\1199.exe Win32/PcClient.NCRの亜種 トロイの木馬
play.scr Win32/PcClient.NCRの亜種 トロイの木馬

>>413
NortonInternetSecurity2009はVirustotal通りの結果です

>>413
avast!4.8
play\1199.exe：Win32:Downloader-AZY [Trj]

>>413
カスペ、対応済みとの返答。Virustotalの定義が古かった？

1199.exe_,
play.scr_ - Backdoor.Win32.PcClient.abyk,
a1.css - Trojan-Dropper.Win32.Agent.agbj

These files are already detected. Please update your antivirus bases.

We will add detection for these samples in the next regular update.

The samples you submitted will be detected as follows:
a1■css - W32/Agent.AGB!tr
play■scr - W32/PcClient.ABY!tr
1199■exe - W32/PcClient.ABY!tr

>>420
それはどこのベンダー？
検出名からNOD32っぽく見えるけど

…禁止ワードはこれか。orz（投稿に失敗したらしい）
１つ前のカスペの検出名投稿ではこけなかったのに。

ここに検出名投稿するのと前後して、他のBBSでDSBL規制にひっかかるのはなんでだー。
一昨日：BitDefenderの検出名10個位貼る→３回位失敗して諦める→他のBBSでDSBL規制にひっかかる
　　　　　→ISPに対応依頼を出してから、モデムの電源切ってIP変える
今日：カスペの検出名を貼る→他のBBSでDSBL規制にひっかかる→Fortinetの検出名貼るがこける

近いISPで誰かがspam垂れ流してるだけだと思うけど、規制に引っ掛かる直前にここの書込みを
してる点が共通してるのが嫌すぎる。

>420は>413の検出名。ベンダーはFortinet。

>>421
ごめん、ベンダー名とアンカーを投稿修正時に間違って消してた。

あ、Fortinetかもしれないですね

>>404
AV-Comparativesでものすごい誤検出起こした結果を見るととても個人向けには扱えそうにないと思うんですが・・・・
Sophosも毎回ものすごい数の誤検出起こしてるから個人向けには出さない理由がわかる気がする（SpySweeperはあるけど）

関係ねえよ

んなこたあねえ

BitDefenderのサイトが攻撃されてるみたいだけど
ttp://www.bitdefender.com/

仮想環境などで詳細がわかる方レポート頼みます

>>427
全然問題ないよ
騙されたんじゃね

>>428
う〜ん、それがFireFoxだとブロックされて全く見れない状態なんだよね
FireFox（Google）の誤検出なのかな〜？

前スレのDishの件なんだけどとうとうNOD32とNormanまで反応した
ttp://www.virustotal.com/analisis/d581c1e317a4fef4a76a35508a5aae72

これでトレンドマイクロ以外の大手ベンダーは全て黒扱い

>>429
>このサイトで不審なコンテンツが最後に検出されたのは2009-01-18です。
って書いてあるでしょ
検出されたのはこの一回だけ

googleで何 検索しても「このサイトはコンピュータに損害を与える可能性があります。」って
なるね。
さっきのFireFoxの件と関係ありそうだね。

なんかどっかで攻撃あんのかな？

本当だ
Googleで何検索しても「このサイトはコンピュータに損害を与える可能性があります。」って出る
Googleが何かの攻撃にやられたのかな？

ほんとだ
googleが壊れてんのか

googleがおかしい★2 (ν速）
http://tsushima.2ch.net/test/read.cgi/news/1233413188/

なんだよbid疑って悪いことをした

先生ご乱心ときいて

Google USもダメだな。

*内部的ミス
**検索エンジン更新時のインストールミス☆
:**単純な設定ミス ★

+外部的ミス
**第三者による攻撃
***Who?
****政府
****悪意のあるハッカー
****テロ組織
****内部組織

++種類
+++サイト改ざん

++目的
+++愉快犯
+++マルウェアのインストール目的

**方法
***ボットネット
***SQLインジェクション
***DNSキャッシュポイズニング
+++SEOポイズニング
****iFrame挿入攻撃

★に2ペリカ、☆に1ペリカ

Googleは逝っちゃってるけどBitDefnderのサイトの件はヤフーで検索しても危険サイト扱いされるな（火狐だけだろうけど）

http://www.sleipnirstart.com/
↑これつかえ

Googleに不具合　全検索結果に「コンピューターに損害を与える可能性」とメッセージ
http://www.itmedia.co.jp/news/articles/0902/01/news001.html

>>439
何度か出てるがFirefoxはGoogleのデータ使ってるから

bitdefenderは今も変わらないな

>>413
NortonInternetSecurity2009
Backdoor.Formador：play\1199.exe

これで全検出確認
SymantecとPandaは対応速度が安定してないのが欠点だな

>>461
そういや、こっちには書いてなかったな…。中身の1199.exeとscrでは検出状況がちょっと違う。
最近、ファイルが差し替えられてる。↓は検体提出時の検出結果。

ttp://www.virustotal.com/analisis/c1021f50717e0c2fd7cb3154ec540948　play.scr(23/39)
ttp://www.virustotal.com/analisis/210b3aaaf72c73fdd03bde62bdcbc71b　1199.exe(19/38)

ttp://www.virustotal.com/analisis/00d86dae7217edd9cf34de9b223df160　play.scr(23/39)
ttp://www.virustotal.com/analisis/6ceaa0ae27e4b55512d3696daf9bab1d　1199.exe(21/38)

>>445は誤爆です orz

511 名前：/名無しさん[1-30].jpg[] 投稿日：2009/01/29(木) 19:29:59 ID:zbtNWF/40
僕もおねがいしまつ
ttp://miracleup.huu.cc/blog/

517 名前：/名無しさん[1-30].jpg[sage] 投稿日：2009/01/29(木) 22:29:31 ID:wuKi3eid0
>>511
このページはウイルスに感染しています。カスペルさんは、Trojan.Script.Iframer　だと言っています。

ttp://www.virustotal.com/jp/analisis/b13fa8079aaf5167cee1f41547d28505

>>447
>>2

・ブラクラ禁止
　ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません。

>>447
検出するベンダーもあるようですし、ブロックしてもよさそうではありますが、今回は提出せず。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=215
virus

検体入手元
ttp://down■erhaha2■cn/new/a1■css

またファイルが差し替えられたようです。
ttp://www.virustotal.com/analisis/b1cc4f48de817dda99876f646416f5d9　(30/39)

一部ファイル名が、禁止ワードになっているようで、投稿するとBBX規制リストに載ってしまうようです。
規制に引っ掛からないように、報告時には一部箇所を置き換えたほうがいいかもしれません。

>>450
Risingに提出完了

>>241
McAfeeより返答。1/23提出分。
file.exe〜file(46).exe：generic.dx,vundo のどちらかの名称

NOD32 v3.0 定義3817
>>450
tane0215\a1.css Win32/Genetikの亜種である可能性
（アドバンスドヒューステリックによる検出）

Kingsoftからまとめて返答来ました。

>>122　1/19提出
既知：「ウイルス名：Win32.Troj.Crypt.DG.62506」他

>>145　1/20提出
キングソフトにおいてウイルスではないことが確認できましたことをご連絡いたします。
(え゛〜）

>>168　1/21提出
既知：「ウイルス名：Win32.Troj.Delf.78848」他

>>202　1/22提出
既知：「ウイルス名：Win32.Troj.Delf.gb.163840」

>>310　1/28提出
既知：「ウイルス名：> VTool.Ansigen.CD.42420 」他

一ヶ所、他って付け忘れてますので脳内補完お願いします。キングソフトは複数ファイルをアーカイブして送っても
１つしか検出名を書いてこないので、このような書き方になってます。ご了承ください。

>>363
カスペからの返事
22+3=25

カスペ的には、これでFAみたいね。


Hello,

2078759.js_, b05.htm_, Bfyy.htm_, cx.htm_, index(1).htm_, index(2).htm_, index(3).htm_, index(4).htm_, index.htm_, l2.htm_, real11.htm_, style2224.jsp

No malicious code were found in these files.

new.html_ - Trojan-Clicker.HTML.IFrame.aci,
real10.htm_ - Exploit.JS.RealPlr.ou

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

ttp://online■w84■okwit■com/file/Start■pif

http://www.virustotal.com/analisis/708b11c9e323eb2fe9fcb2d3722c10ba　(23/39)

>>457
PandaGlobalProtectio2009

疑いのあるファイル 未知の脅威からの保護 　　　　 http://online.w84.okwit.com/file/Start.pif

>>457
ttp://www■wokutonoken-online■com/blog/play■scr
アドレスも拡張子も違いますが、全く同じバイナリで、中に1199.exeが入っていました。

http://www.virustotal.com/analisis/f468ee080dc4d33b9375d2c17a7abb64　1199.exe（22/39)

>>459
PandaGlobalProtection2009は疑わしいファイルとして検出
NortonInternetSecurity2009も検出

ちなみにPandaもNortonもダウンロード時に検出なので>>459のVirustotalの検体とは違うものだと思いますね

>>461
>459のVirustotalの結果は、ダウンロードしたファイルを解凍すると出てくるものですよ。
459で落ちてくるファイルそのものは、>457と同一です。 fc /b で比較してみてください。

NSISの解凍がわからないのでは。7-Zipで解凍できるよ。

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=216
infected

>459,>461＋その他いろいろ(ちょっと古いけどすり抜けるベンダーのあるもの等)。

検体は各社に提出済み。ファイル数やサイズに制限のあるベンダーにも分割して提出しました。
マルウェア本体を呼び出す途中のhtmlも含むため、スルーされるファイルが比較的多いと思います。

ちょっと入れすぎたんで…検出結果報告どうすっかなぁ。

MaCafee
　検出+拡張/総数＝65+2/130
　殆ど似たようなswfのファイルで検出するものとしないものが混ざってたり。

ノートン
130個中、97個分がすぐに自動回答きました(15分割したうち4ファイル分は返答来ていません)
　47/90 既知のマルウェア
　50/97 自動検出できず、手動解析に回す

>>464
AntiVir Free（マルウェア本体のexeで残ったのは2種類だけ）
　ファイル：138
　検出：117
　疑惑：2

BitDefender10Free
　ファイル：173(アーカイブ内のファイルも含む)
　アーカイブ：4
　ランタイムパッカー：18

　感染しているオブジェクト：101
　疑わしいオブジェクト：1
　ウイルス識別：37（37種類？)

----- 参考までに、スパイウェア対策ソフトでもチェック -----
Ad-Aware
　検出数　19ファイル(9種類)

Spybot
　検出数　1（うち、ヒューリスティック１）

SuperAntiSpyware
　検出数　0

>>466
464解凍後にMalwarebytesの右クリックスキャンでは検出数4だった

>>464
PandaGlobalProtection2009
とりあえず33個検出
実際にはどれだけ検出駆除できたかまだ調べてません

>>464
NortonInternetSecurity2009

73個検出

>>464
カスペ2009

97/126
(アーカイブで検知、さらにアーカイブを自動解凍してマルウェアを検知した場合は、2として計算せず、1として計算）

Trojan.Win32.Pakes.kad 　　　tt1.exe
Trojan.Win32.Inject.ntg 　　　flsp.exe
Trojan.Win32.Inject.ndf 　　　teamerblog/cer.exe
Trojan.Win32.Inject.ncz 　　　k1.exe
Trojan.Win32.Inject.ncz 　　　gawezuki/k1.exe
Trojan.Win32.Inject.dzc 　　　001G000183/001G000183.exe
Trojan.Win32.Delux.eo 　　　play0nlink/ff11.exe
Trojan.Win32.Delux.bp 　　　play0nlink/t1.exe
Trojan.JS.Agent.kb 　　　teamerblog/Muma.htm、gawezuki/Muma.htm 「２」
Trojan.HTML.IFrame.ad 　　　gawezuki/Blog.htm
Trojan-PSW.Win32.Agent.ka 　　　tmsn.exe
Trojan-GameThief.Win32.OnLineGames.wkt 　　　mbspro6uic/ff22.exe
Trojan-GameThief.Win32.OnLineGames.skmj 　　　vip.dob3.cn/Baidu/mm.exe
Trojan-Dropper.Win32.Agent.zmr 　　　gameicity/ofed/mov.scr、 flsp.exe、 fls.exe 「３」18
Trojan-Downloader.Win32.Delf.jfj 　　　play0nlink/xia.exe、 　mbspro6uic/xia.exe 　jerikoblog88fc2/xia.exe 、 　dimorphothec/xia.exe 「４」
Trojan-Downloader.VBS.Psyme.pm 　　　teamerblog/Muma_1.htm、　gawezuki/Muma_2.htm 「２」
Trojan-Downloader.VBS.Agent.rm 　　　vip.dob3.cn/11.htm
Trojan-Downloader.JS.VML.a 　　　play0nlink/Ms07004.js
Trojan-Downloader.JS.Small.mr 　　　gameicity/off.htm
Trojan-Downloader.JS.SWFlash.j 　　　gameicity/fx.htm
Trojan-Downloader.JS.Psyme.kf 　　　play0nlink\Ms06014.htm、　jerikoblog88fc2\Ms06014.htm、　dimorphothec\Ms06014.htm 「３」
Trojan-Downloader.JS.Psyme.anc 　　　gameicity/Ms06014.htm
Trojan-Downloader.JS.Agent.dhv 　　　gawezuki/Ms06-014.htm
Trojan-Downloader.JS.Agent.dfv 　　　vip.dob3.cn/vip.htm

（つづく）

>>470の続き
>>464 カスペ2009@14:54:00

Trojan-Downloader.JS.Agent.cif 　　　vip.dob3.cn/live.htm
Trojan-Downloader.JS.Agent.bnc 　　　mbspro6uic/Ms06014.htm
Trojan-Downloader.HTML.IFrame.dv 　　　play0nlink/wugui.htm、 naizi.htm、 xinma.htm、 ma.htm 「４」
Trojan-Downloader.HTML.IFrame.dv 　　　mbspro6uic/naizi.htm、 　jerikoblog88fc2/xinma.htm、　dimorphothec/ma.htm 「３」
Trojan-Downloader.HTML.Agent.nh 　　　vip.dob3.cn/fx.htm
Trojan-Clicker.HTML.IFrame.so 　　　k.js
Exploit.Win32.IMG-ANI.ac 　　　play0nlink/ani.c、　mbspro6uic/ani.c、　jerikoblog88fc2/ani.cdimorphothec/ani.c 「４」
Exploit.SWF.Downloader.lb 　　　vip.dob3.cn/i64.swf、 i47.swf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「６」
Exploit.SWF.Downloader.lb 　　　vip.dob3.cn/f47.swf 、 f45.swf、 f28.swf、 f16.swf、 s115.swf 「５」
Exploit.SWF.Downloader.eh 　　　e7zx.cn/i64.swf、 i47.dwf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「６」
Exploit.SWF.Downloader.eh 　　　e7zx.cn/f47.swf、 f25.swf、 f28.swf. f16.swf、 f115.swf 「５」
Exploit.JS.XMLPars.v 　　　gameicity/ss.htm
Exploit.JS.RealPlr.ny 　　　vip.dob3.cn/Real11.htm
Exploit.JS.RealPlr.nt 　　　vip.dob3.cn/rp10.htm
Exploit.JS.Agent.zs 　　　gawezuki/Muma_4.htm
Exploit.JS.Agent.yq 　　　play0nlink/Xunlei.htm、　jerikoblog88fc2/Ms06046.htm、vip.dob3.cn/bfyy.htm 「３」
Exploit.JS.Agent.aay 　　　gameicity/real.htm
Exploit.JS.Agent.aax 　　　gameicity/real.html
Exploit.HTML.IESlice.z 　　　play0nlink/Yahoo.htm、mbspro6uic/Yahoo.htm、jerikoblog88fc2/Yahoo.htm、dimorphothec/Yahoo.htm 「４」84
Exploit.HTML.Ascii.ai 　　　play0nlink/Ms06046.htm

>>470,471の続き
>>464 カスペ2009@14:54:00

Backdoor.Win32.PcClient.acak 　　　Start.pif　、 play\1199.exe、 　play.scr、 　1.exe 「4」
Backdoor.Win32.Agent.obd 　　　ff11goodstory0808111/ff11goodstory0808111.exe
Worm.Win32.Otwycal.bq 　　　gameicity/1.css
Rootkit.Win32.Agent.gaf 　　　ko.exe

*ヒューリスティック検知
HEUR:Trojan-Downloader.Script.Generic 　　　gawezuki/Ms06-014_3.htm、 gameicity/no.htm、 gameicity/14.htm、　teamerblog/Ms06-014.htm 「４」
HEUR:Exploit.Script.Generic 　　　gameicity/real(1).html、 nct.htm 「２」

以上
>>470-472
検体提出します。

ファイル名とか書くなって
どこまで馬鹿なの？

>>473
>>377-378

NOD32 v3.0 定義3821
>>464
さすがに多いので検出数のみの報告です。
感染オブジェクトの合計数/検査したオブジェクトの合計数＝87/138

>>464カスペ返事 大量報告又すまぬ。（>>473）推定97+11=108/126（2白）

flink.html_ - Trojan-Downloader.JS.SWFlash.ai
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dlw *
Ms06-014_1.htm_ - Trojan-Downloader.JS.Agent.dlu
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dlt
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dls *
ilink.html_ - Trojan-Downloader.JS.SWFlash.aj
real(1).htm_ - Exploit.JS.RealPlr.ov *
play.htm_ - Trojan-Downloader.JS.Iframe.agm
no.htm_ - Trojan-Downloader.JS.Agent.dlv *
ifl.html_ - Trojan-Downloader.JS.SWFlash.aj
14.htm_ - Trojan-Downloader.JS.Agent.dlx *
index.htm_ - Trojan-Downloader.JS.Iframe.agl
Muma_1.htm_ - Exploit.JS.Agent.abo
zuo.htm_ - Trojan-Downloader.JS.Iframe.agk
no.htm_ - Trojan-Downloader.JS.Agent.dlv
Ms06-014_1.htm_(TeamerBlog) - Trojan-Downloader.JS.Agent.dma

vir.exe, ffl.htm 2つ白

>>464
AntiVir回答。
流石に検出名とか新種の数は書いてこなかった。その手間を他の検体の解析と対応に振り向けて下され＞ベンダー担当者

We found some new viruses in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.

Rising 2009 21.24.10 (21.15.10.00)
>>363
a1.css>>fsg2.0: Trojan.DL.Win32.Mnless.cbt
play.scr>>1199.exe: Backdoor.Win32.PcClient.qyy
15+2個
>>413
a1.css>>fsg2.0: Dropper.Win32.Undef.oc
play\1199.exe: Backdoor.Win32.PcClient.qyy
play.scr>>1199.exe: Backdoor.Win32.PcClient.qyy
3/3
>>450
a1.css>>fsg2.0: a1.css>>fsg2.0
1/1

まだ春節モード

>>464
Rising 2009
Files scanned: 157
Viruses found: 86
パッカー内検出もあるからファイル数はもう少し少ないと思われる

>>464 カスペからの返事
97+20=117/126（うち3白）

Ms06-014_4.htm_ - Trojan-Downloader.JS.Agent.dmb （Teamerblogフォルダ）
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dmc
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dmd
FFISearch.htm, fc2.htm_ blog.htm,, play.htm_ - Trojan-Downloader.JS.Iframe.agm
office.htm_ - Trojan-Downloader.JS.Agent.dmg
ffl.html_ - Trojan-Downloader.JS.SWFlash.aj (←白から訂正）

flash(1).htm_- No malicious code was found in this file.

iff.swf - This file is corrupted.（破損）

VirustotalにNorton2009の拡張ヒューリスティックが適用されたっぽい
これでVirustotalのSymantecはバージョンがかなり古いけどNorton2009のパルスアップデートと拡張ヒューリスティックが適用されて実機での結果とVirustotalの結果に違いはなくなるかも
あとはカスペ2009のヒューリスティックとPandaにCollective Intelligenceを適用させれば完璧なんだが・・・
PandaのことはMcAfeeのActiveProtectionがVirustotalにあるんだからできるはず
でもVirustotalは本当にわからんサイトだな・・・

785 名前：八頭 ◆YAGApwSaEw [sage] 投稿日：2009/02/03(火) 22:21:50
ttp://i40.tinypic.com/157f977.jpg
Suspicious.MH690 発動！

>>464
カスペからの返事
97+22=119くらい/126でFA

Muma_3.htm_ - Exploit.JS.XMLPars.aa
jbbs578601.htm - Trojan.HTML.Agent.bj

flash.htm, l2.htm, ani.asp, fanity.htm, nify-demo.htm - No malicious code was found in this file.

fff.swf - This file is corrupted.（破損）

>>464
　>465
　>ノートン
　>130個中、97個分がすぐに自動回答きました(15分割したうち4ファイル分は返答来ていません)
　>　47/90 既知のマルウェア
　　（47/97の間違い）
　>　50/97 自動検出できず、手動解析に回す

追加でもう１ファイル分返答あり

ノートン
130個中、97個分がすぐに自動回答きました(15分割したうち３ファイル分は返答来ていません)
　47/106 既知のマルウェア
　59/106 自動検出できず、手動解析に回す

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=217
virus

かぶってる気がするけどｷﾆｼﾅｲ!

＞かぶってる気がするけど
それじゃこちらもとりあえず報告しますね
>>484
PandaGlobalProtection2009
ハッキングツールを検出 :Rootkit/Agent.LLE　　　UPK1.EXE、FSG350.EXE、FSG1.EXE
疑いのあるファイル 　　　PETITE1.EXE

検出数4/5

>>484
avast!4.8
fsg1.exe、fsg350.exe：Win32:Rootkit-gen [Rtk]
pcclient1.exe：Win32:Downloader-AZY [Trj]
petite1.exe\[Petite]\[Embedded_I#3000]\[Embedded_Ix#0230]\[NsPack]：Win32:Small-IHH [Trj]
upk1.exe\[Upack]\[Embedded_I#0d550]：Win32:Trojan-gen {Other}

AviraPemiumSecuritySuite
fsg1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
fsg350.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
petite1.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
upk1.exe
[DETECTION] Is the TR/Drop.Agent.agck Trojan

>>484
NortonInternetSecurity2009

Suspicious.MH690：petite1.exe
Trojan.Dropper：fsg1.exe、fsg350.exe、upk1.exe

検出数4/5

VirustotalでSuspicious.MH690が出るかどうかも検証してみようと思います
それにしてもNortonのヒューリスティックは良くなってきた印象がありますね

VirustotalでもSuspicious.MH690が表示されてますね
これでSymantecに関してはNorton2009とVirustotalの検出結果の違いはないと思います
あとはVirustotalと実機の結果が違うという現象があるベンダーはKasperskyとPandaだけになりましたね

ttp://www.virustotal.com/analisis/d72d7633b032979e999ea6dd8e3f13ba

ついでに他の結果も貼ります

ttp://www.virustotal.com/analisis/822989cdd49327ad69dcad4e7d59e246
ttp://www.virustotal.com/analisis/5309bda4fcc6fddc8102c433bed95264
ttp://www.virustotal.com/analisis/edcb143c4f44f7134d3da89420e77b74
ttp://www.virustotal.com/analisis/5f88a78ee2a781674812d0bd85543965

>>484
�d

カスペ2009 0:27:00
Detected virus HEUR:Trojan.Win32.AntiAV tane0217.zip/petite1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.agck tane0217.zip/upk1.exe
Detected Trojan program Backdoor.Win32.PcClient.acbn tane0217.zip/pcclient1.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aab tane0217.zip/fsg350.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aab tane0217.zip/fsg1.exe

HEUR:Trojan.Win32.AntiAVは初めて見た。AVKillerか？これだけ検体提出します。

＞HEUR:Trojan.Win32.AntiAVは初めて見た

2009ヒューリスティックで検出のようですね

それにしても>>488を見るとNOD32は本当にヒューリスティックが強力というかヒューリスティックに依存しすぎというか・・・
McAfeeやPandaはクラウドベースがなければ検出率がかなり低くなるけどNOD32もヒューリスティックなければ検出率がかなり低くなりますね・・・

Rising 2009 21.24.20 (21.15.20.00)
>>260
fccaWpME.dll,
ssQggfGX.dll,
tuvtRjGw.dll,
urqQjGWn.dll: Trojan.Win32.Nodef.ash
4/6
>>464
86+14=100

>>484
Rising 2009
fsg1.exe>>fsg2.0,
fsg350.exe>>fsg2.0,
upk1.exe>>upack0.39: Trojan.DL.Win32.Mnless.cbv
3/5

ちょっと古い話

12/11提出分トレンドマイクロより
・12/12
　TROJ_SMALL.JCH
　HTML_WEBKIT.AC
　TROJ_REPL.BX
　JS_OBFUSCATED.AP
・02/05
　JS_IFRAME.AAQ

追加で検出した分も報告が来た…けど、幾等なんでも今頃追加の検出言ってこなくてもｗ

>>493
BitDefenderとTrendMicroはそういうところおかしいよね

>>484
カスペからの返事

petite1.exe - Worm.Win32.AutoRun.zii (← HEUR:Trojan.Win32.AntiAV）

New malicious software was found in this file.

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=218
virus

各所のニュースサイトにバレンタインウィルスの警告記事が出ていたので検体を探してみました。
みんな画像マスクしてるのでなかなかアドレスがわかりませんでしたがようやくゲット。
検出率悪いので、各所に提出してきます。

検体入手元 ： tp://expowale■com/love■exe

Virustotal結果
ttp://www.virustotal.com/analisis/a7bbc670bf325cbefd01228eb2c7c943　(8/39)

検体提出しようと、各ベンダーの検出名を拾ってたら…警告記事の元になってるMcAfeeがスルーしてるのはなんでだー(笑)

AntiVir　　　　　　 : Worm/Zhelatin.N
AVG　　　　　　　　: SHeur2.OOA
CAT-QuickHeal　: (Suspicious) - DNAScan
F-Secure　　　　　: Trojan:W32/Waledac.BL
Kaspersky　　　　 : Email-Worm.Win32.Iksmas.ed
NOD32　　　　　　 : Win32/Waledac.AM
SecureWeb-Gateway : Worm.Zhelatin.N
Sophos　　　　　　: Troj/Dloadr-CGD

>>496-497
自動返答によると、拡張検出でMcAfee 対応してたっぽい。
画像をクリックするとexe落としてくるだけなので、htmが未検出なのは正常だと思う。

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
expowale.com.htm |inconclusive | | |no
love.exe |new detection |generic downloader.z |Trojan |yes

>>496
McAfeeに提出させて頂ました。

>>496
SymatencとPandaに提出しました

・・・なんだけどどうも最近Pandaの調子が良くない
検体提出してるのに一向に対応する気配もCollective Intelligenceによるヒューリスティックで検出する気配も感じられない

Pandaの鯖がおかしいのかな

そういや、ESETも返事よこさないように戻った気がする。

>>496
カスペ返答
love.exe_ - Email-Worm.Win32.Iksmas.ed

あとPanda検疫からの検体提出ができなくなってるから確実にPanda側に問題あるだろうねこれは
Panda検疫から提出しようとすると必ず提出失敗しましたと表示されるのが最近のPanda

あとアップデートできなかった時もあったから仕方なくPandaのサイトから手動でアップデートしたこともあった

>>490
Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる。

NOD32はプロファイルに検査方法や検査対象を登録しておき、
そのプロファイルを指定してスケジュールを組むことが出来る。
プロファイルも自由に複数作成出来るから目的に応じた運用が可能だ。
例えば、書庫類等は検査済みフォルダと検査前フォルダを作成しておき、
検査前フォルダ内の書庫だけを定期的に高速検査するというような運用も行える。
他のAVだと書庫を対象とするか否かの2択しかないものが多く、ムダに時間が掛かる検査となり効率が悪い。
一度検査し安全が確かめられれば検査済みフォルダに移し、
検査済みフォルダの再検査は数か月に一度程度に減らすことで処理効率を上げるというような運用が他のAVでは難しい。
細かな設定をすることでNOD32は処理効率の良い運用が可能になっている。

NOD32は機関や企業や有名人等　狙われやすい人ほど役立つAV
一般人でもそのウイルス全体の70%を占める未知ウイルスから狙われることもある。
そこがESSのセールスポイント

未知ウイルスへの対応度　＝　ハッキングに対する対応度


ここにNOD32が研究機関や公的機関で主に採用されている理由がある。

雑音のコピペ
>Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
>これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
>このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
>亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
>そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる

>アンパッカー技術
Packers support test
ttp://www.anti-malware-test.com/?q=node/19
金賞 F-Secure
金賞 Kaspersky
銀賞 BitDefender
銀賞 Dr.WEB
銅賞 NOD32

>ヒューリスティックエンジン
ブロードバンド推進協議会（BBA）セキュリティ専門部会長
「中には、ヒューリステックに頼りすぎて、
　ウイルスの検体を集めず、
　ちゃんとシグネチャを作らないところもある」
ttp://internet.watch.impress.co.jp/cda/event/2007/02/26/14890.html
ttp://internet.watch.impress.co.jp/cda/static/image/2007/02/26/aogc7.jpg

違うとこでやってください

>>496
Symantecから

filename: love.exe
machine: Machine
result: This file is detected as W32.Waledac.

filename: expowale.com.htm
machine: Machine
result: See the developer notes

>>484
PandaGlobalProtection2009

pcclient1.exeを疑わしいファイルとして検出（Collective Intelligenceによる検出）

VirustotalでのSymantecがSuspicious.MH690検出結果表示出るようになったけどそれと同時にNorton2009で常駐スキャンでSuspicious.MH690が検出されるようになった（それまでは手動スキャンじゃなければ検出できなかった）

Pandaも常駐スキャン時でもCollective Intelligence検出が可能になればVirustotalでも反映されるんじゃないかと思う
それにPanda自身の検出率が大幅に上がるしね（その代り誤検出が増えそうな予感）

NOD32 定義3829

>>484
4/5
fsg1.exe Win32/Genetikの亜種である可能性
fsg350.exe Win32/Genetikの亜種である可能性
petite1.exe Win32/TrojanDownloader.Agent.OMQの亜種
upk1.exe Win32/Genetikの亜種である可能性
>>490の言う通り、アドバンスドヒューステリック検出ばかりだな・・・。
検出できなかった検体は返事が来るか確かめるため(笑）　メールでEsetに提出

1/1
love.exe Win32/Waledac.AM トロイの木馬

>>508 です。

>love.exe Win32/Waledac.AM トロイの木馬
書き忘れました・・・。>>486 の検査結果です。

>>508
ヒューステリックだけど
アドバンスドヒューステリックではない

なんだよヒューステリックじゃないよ

訂正
ヒューリスティックだけど
アドバンスヒューリスティックじゃないよ

ところで、検体は今日は3時以来ないね。
できれば、一括せず。こまめに出してほしいです。＞＜
20個くらいが限界。50〜100個を超えると辛い。

余談
VTのHispasec Sistemasってスペインの企業っぽいね。
Pandaとは一番話が通じそうなもんだけど。

>>510
え？「○○の亜種」はアドヴァンスドヒューリスティックでしょ
これが違うんだったらキヤノンのウイルス情報に書いてあることは間違いだってこと？

>>512
Virustotalもスペインの企業っぽいどころかスペインの企業

ただPandaのVirustotalの検出結果の不思議な現象はまずはPandaのクラウドベースが常駐スキャンでも検出できるようにならなきゃVirustotalに反映されないと思う
Norton2009の拡張ヒューリスティックがその例だからね

>>513
書いてないだろ

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=219
infected

検体入手元
ttp://99■178■233■195:8080/blog/Online■scr

http://www.virustotal.com/analisis/470bc7aa3f048134191f9cd576edc093 : Online.scr(20/39)
http://www.virustotal.com/analisis/d7ba2277b64b31430521344a9502eb24 : hbsj5j5j5.exe(19/39)

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=220
virus

>>517
全てvirustotalにおくったがそれぞれのURLを書いたエディタがフリーズしてしまったのでご容赦下さい。

>>516
McAfee

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
hbsj5j5j5.exe |inconclusive | | |no
online.scr |inconclusive | | |no

>>515
http://canon-its.jp/product/nd/virusinfo/vr_win32_conficker_a.html
アドバンスドヒューリスティック検査による結果だった場合：このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Conficker ワームの亜種」という名称で警告が出ます。

はい、反論どうぞ

>>516
PandaGlobalProtection2009
二つとも疑わしいファイルとして検出

>>517
PandaGlobalProtection2009

ウイルス発見 : Trj/CI.A 　　　　sx.exe、hgz.exe
ウイルス発見 : Generic Malware　　　ns.exe、nsis6.exe[cpush.tmp]
ウイルス発見 : Generic Trojan　　　nsis2.exe[2OC\139.exe][2eC]
アドウェアを検出 : Adware/BaiduBar　　　nsis2.exe[2OC\139.exe]
疑いのあるファイル UPK15.EXE、UPK1.EXE、PETITE1.EXE、PETITE2.EXE、upk0.exe、unknown9.exe、pcclient1.exe

>>516
Norton
filename: Online.scr
result: This file is detected as Backdoor.Formador. http://www.symantec.com/avcenter/venc/data/backdoor.formador.html

filename: hbsj5j5j5.exe
result: 手動解析に回す

>>517
avast!4.8
hgz.exe：Win32:Hupigon-LUP [Trj]
ns.exe\[ASPack]\[Embedded_I#0d384]：Win32:Rootkit-gen [Rtk]
ns.exe\[Embedded_R#MYDLL]\[PECompact]：Win32:Ceckno [Trj]
nsis2.exe\$TEMP\$TEMP\139.exe\$[35]\$R0：Win32:Adware-gen [Adw]
nsis6.exe\$COMMONFILES\PushWare\cpush.dll：Win32:BHO-GG [Adw]
pcclient1.exe：Win32:Downloader-AZY [Trj]
petite1.exe\[Petite]\[Embedded_Ix#7280]：petite1.exe\[Petite]\[Embedded_Ix#7280]
petite2.exe\[Petite]\[Embedded_Ix#7280]：Win32:Rootkit-gen [Rtk]
sx.exe：Win32:Hupigon-LUP [Trj]
upk0.exe\[Upack]\[Embedded_Ix#056ac]\[Upack]\[Embedded_Ix#3000]：Win32:Trojan-gen {Other}
upk1.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]
upk15.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]

>>517
AviraPremiumSecuritySuite

hgz.exe [DETECTION] Contains a recognition pattern of the (harmful) BDS/Hupigon.Gen back-door program
ns.exe
[0] Archive type: RSRC
--> Object
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Backdoor.Gen back-door program
nsis2.exe [DETECTION] Contains recognition pattern of the ADSPY/AdMedia.ED.227 adware or spyware
nsis6.exe
[0] Archive type: NSIS
--> SOFTWARE/MicroPlugins/Common/cpush.dll
[DETECTION] Contains recognition pattern of the ADSPY/Bho.fhg adware or spyware
--> SOFTWARE/MicroPlugins/Common/cpush.tmp
[DETECTION] Contains recognition pattern of the ADSPY/Bho.fhg adware or spyware
[DETECTION] Contains recognition pattern of the DR/BHO.fhg.2 dropper
pcclient1.exe [DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
petite1.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
petite2.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
sx.exe [DETECTION] Is the TR/Crypt.CFI.Gen Trojan
unknown9.exe [DETECTION] Is the TR/Crypt.GQ.54 Trojan
upk0.exe [DETECTION] Is the TR/Crypt.XDR.Gen Trojan
upk1.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
upk15.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan

>>517
AntiVirFree(11/12)

hgz.exe : (harmful) BDS/Hupigon.Gen back-door program
ns.exe : (harmful) BDS/Backdoor.Gen back-door program
nsis2.exe :
nsis6.exe : DR/BHO.fhg.2 dropper
pcclient1.exe : DR/PcClient.Gen dropper
petite1.exe : TR/Crypt.XPACK.Gen Trojan
petite2.exe : TR/Crypt.XPACK.Gen Trojan
sx.exe : TR/Crypt.CFI.Gen Trojan
unknown9.exe : HEUR/Crypted suspicious code
upk0.exe : TR/Crypt.XDR.Gen Trojan
upk1.exe : TR/ATRAPS.Gen Trojan
upk15.exe : TR/ATRAPS.Gen Trojan

検体提出してきます。

>>517
珍しく(?)全検出。

BitDefender Free Edition v10(12/12)

hgz.exe : Trojan.Delf.Inject.Z
ns.exe : Trojan.Agent.Delf.GY
nsis2.exe : DeepScan:Generic.Adw.Cinmus.2.E8144529
nsis6.exe : Dropped:Adware.Sogou.Gen
pcclient1.exe : Backdoor.PCClient.TCH
petite1.exe : Dropped:Generic.Malware.SP!VdldPk!g.C118E1D6
petite2.exe : Dropped:Generic.Malware.SP!VdldPk!g.C118E1D6
sx.exe : Trojan.Delf.Inject.Z
unknown9.exe : Trojan.Crypt.GQ
upk0.exe : Dropped:Generic.Malware.sp!.F5A1E2B5
upk1.exe : Generic.Malware.SP!dldspg.14F7E837
upk15.exe : Generic.Malware.SP!dldspg.BDA7BD37

>>517
NortonInternetSecurity2009

Adware.CPush：nsis6.exe
W32.SillyFDC：sx.exe
Trojan.Dropper：upk1.exe、upk15.exe
Trojan.Cinmeng：nsis2.exe
Suspicious.MH690：hgz.exe、ns.exe、petite1.exe
Packed.Generic.181：unknown9.exe
Downloader：upk0.exe

Nortonもヒューリスティックが強力になってきた印象があるな

>>526
検体提出してもAntiVirフリーならnsis2.exeは検出できないよ>>525を注目

>>517
Norton2009がスルーした分は提出しました
今確認したらAntiVirとavast!とPandaは全検出してるようなのでこちらは何もしません

Rising 2009 21.24.30 (21.15.30.00)
>>260
gEWoPfgd.dll: Trojan.Win32.VUNDO.clo
4+1=5/6
>>484
pcclient1.exe: Backdoor.Win32.PcClient.qzu
petite1.exe>>petite2x: Worm.Win32.Undef.df
3+2=5/5
>>496
スルー
>>516
Online\hbsj5j5j5.exe: Backdoor.Win32.PcClient.qzu
Online.scr>>hbsj5j5j5.exe: Backdoor.Win32.PcClient.qzu
2/2
>>517
ns.exe>>MYDLL: Backdoor.Win32.PcClient.qzq
nsis2.exe>>$TEMP\$TEMP\139.exe>>$[35]\$R0: AdWare.Win32.Undef.ejw
\nsis6.exe>>$COMMONFILES\PushWare\cpush.tmp: AdWare.Win32.Cpush.cl
pcclient1.exe: Backdoor.Win32.PcClient.qzu
petite1-2.exe>>petite2x: Worm.Win32.Undef.df
sx.exe: Backdoor.Win32.ShangXing.tw
unknown9.exe>>nspack: Packer.Win32.Agent.aa
upk0.exe>>upack0.34: Trojan.Win32.Agent.zri
9/12

>>524報告ミスで訂正orz

×　petite1.exe\[Petite]\[Embedded_Ix#7280]：petite1.exe\[Petite]\[Embedded_Ix#7280]

○　petite1.exe.VIR\[Petite]\[Embedded_Ix#7280]：Win32:Rootkit-gen [Rtk]

ですorz

カスペ2009 10:35:00
>>516,517 �d

>>516 2/2 VT通り(>>516)

>>517 12/12
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.upwc 　　unknown9.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.agnd 　　upk1.exe, upk15.exe
Detected Trojan program Backdoor.Win32.Hupigon.fwcs 　　hgz.exe
Detected Trojan program Backdoor.Win32.PcClient.acgn 　　pcclient1.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bgol 　　upk0.exe
Detected Trojan program Trojan.Win32.Agent2.csb 　　ns.exe
Detected virus Worm.Win32.AutoRun.zjp 　　petite2.exe
Detected virus Worm.Win32.AutoRun.zjm 　　petite1.exe
Detected adware not-a-virus:AdWare.Win32.AdMedia.ed 　　nsis2.exe
Detected adware not-a-virus:AdWare.Win32.BHO.fhg 　　nsis6.exe

>>529
ああ、スパイウェア扱いか。納得。

>>516 >>517
たまにはNormanにも送ってみた。
ノーマン検出結果 (1/2),(10/12)

*online.scr : Not detected by Sandbox (Signature: NO_VIRUS)
hbsj5j5j5.exe : W32/Malware (Signature: NO_VIRUS)

*hgz.exe : Not detected by Sandbox (Signature: NO_VIRUS)
ns.exe : W32/Malware (Signature: NO_VIRUS)
nsis2.exe : Not detected by Sandbox (Signature: AdMedia.ACH.)
nsis6.exe : W32/NetworkWorm (Signature: NO_VIRUS)
pcclient1.exe : W32/Malware (Signature: NO_VIRUS)
petite1.exe : W32/Malware (Signature: NO_VIRUS)
petite2.exe : W32/Malware (Signature: NO_VIRUS)
*sx.exe : Not detected by Sandbox (Signature: NO_VIRUS)
unknown9.exe : W32/FileInfector (Signature: W32/Packed_NsPack)
upk0.exe :W32/Malware (Signature: W32/Packed_Upack.H.)
upk1.exe : W32/Malware (Signature: W32/Packed_Upack.H.)
upk15.exe : W32/Malware (Signature: W32/Packed_Upack.H.)

そうそう、先日Fortinetから、助かってるが報告が随分多いようだ、あんたは何者だという質問が来た。
それに応じて適切な回答をするってことだったので、２番目を選んでみた。コレクターではないが趣味だし。
　>- current customer testing our product services
　>- hobbyist for malware collections
　>- malware researcher
もしかすると、検出名の回答が来なくなったかもしれないけど気にしない。

>>535
そんなメールがくるのかｗ
俺は無いけれど
1番目が無難なような…。

それか、
No, No, I'm just a developer of malwares. ha ha ha.

Fortinet使ってないのに1番目はまずいべ。
似たようなメールはMicrosoft(MMPC)から来たことならある。
その時の質問はこれ。
1. How do you collect samples?
2. What regions the samples were collected from?
3. What are the indications that these samples may be malicious or potentially unwanted software?
4. Are you planning to share samples on an ongoing basis?
5. What’s the expected volume?
6. Would you like to receive automated response emails from our systems when you submit samples?
面倒なのでシカトしたけど。

ここにいる奴らは海外ブロクから取ってきてるんだけど
海外の人たちは検体提出とかあんましてないきがする。

ほほー、ベンダーによっちゃそんなこと訊かれるんか

各ベンダーはどれだけ検体を入手してるんだろうね？

http://www.pandasoftware.jp/scan/index.html#AS3
によるとPandaは毎日15000個、Symantecは1500個らしい
同じクラウドベースを搭載してかつウイルス解析規模が大きいMcAfeeもかなりの検体を入手してると思うけどどうなんだろ？
トレンドマイクロやKaspersky、ESETはどれだけの検体を入手してるのかな？

http://74.55.154.155/

>>3

446 名前: すずめちゃん(栃木県) メール:sage 投稿日:2009/02/06(金) 18:29:10.73 ID:dEC1BVvL
ウイルス倉庫
http://www2.cyberoz.net/city/novice/virus.html

ウイルスがみかん狩りのように取れるぞ

>>517
NOD32 v3.0 定義3832で全検出（定義3831ではpcclient1.exeを検出漏れ）
hgz.exe Win32/GreyBird トロイの木馬
ns.exe Win32/Spy.Agent.NLR トロイの木馬
nsis2.exe Win32/Adware.Cinmusの亜種である可能性 アプリケーション
nsis6.exe Win32/Adware.Cinmusの亜種 アプリケーション
petite1.exe Win32/Genetikの亜種である可能性 トロイの木馬
petite2.exe Win32/Genetikの亜種である可能性 トロイの木馬
sx.exe Win32/Hupigon トロイの木馬
unknown9.exe Win32/HackTool.Xarpの亜種 トロイの木馬
upk0.exe Win32/Delf.NNMの亜種である可能性 トロイの木馬
upk1.exe Win32/AutoRun.Delf.AKの亜種 ワーム
upk15.exe Win32/AutoRun.Delf.AKの亜種 ワーム
pcclient1.exe Win32/PcClientの亜種 トロイの木馬


>>484で検出漏れしていた pcclient1.exeは検出可能に。（Win32/PcClient.NCT トロイの木馬）
メールで検体提出したのでその返事も来ていました。解析者とか、忙しさによって対応にムラがあるのかも。

>>517
NortonInternetSecurity2009追加検出+1

W32.Almanahe.B：petite2.exe

11/12

それにしてもNOD32のヒューリスティックは異常だな・・・

でも最近になってやたらとNOD32のヒューリスティック検出が光ってる印象があるから（それまではNOD32の検出率自体がダメダメだったからね）アドバンスドヒューリスティックエンジンに改良を加えたのかな？
アドバンスドヒューリスティックで検出できる範囲が広がったりとか

>>543
ν速の、「だが最強はavastだよな」スレか
http://tsushima.2ch.net/test/read.cgi/news/1233873752/

鑑定かもしれないし、直リンって
みかん狩りはν速民にお任せして様子見

>>543
そこ古いのばっかだよ。
ページの最終更新が去年の10月な時点でお察し。

>>536
ちょｗｗｗそれはないｗｗｗ

>>539
普通のペースで出してたら来ないと思うよ。

数日おきに投稿して、ダウンローダを呼びだすhtmlを含めて130ファイル入った奴(>>363)とか
投げた後だったから担当者がうんざりするのも当然かと。投げるほうもうんざりした位だし。

投げた後の検体（パス付きアーカイブ）を置いてるフォルダの容量見たら280MB越えてた。
自覚はないけど、コレクターだったのかもしれない(苦笑)

Rising 2009 21.24.40 (21.15.40.00)
>>122
webcc1.exe: Trojan.Win32.Nodef.awz
5+1=6/6
>>202
a\antivirus.v.1.0.exe: Trojan.Win32.Nodef.ayg
4+1=5/12
>>333
0\tubeviewersetup.exe: Trojan.Win32.Nodef.azq
3\antivirus.v.1.exe: Trojan.Win32.Nodef.aye
6\load.exe: Trojan.Win32.Nodef.ayh
1+3=4/12
>>390
4b3e8d9c0o7a1p5n6i0g7m.exe: Trojan.Win32.Nodef.azl
1/1
>>517
upk1.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bha
upk15.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bha
9+2=11/12

>>546
各コンポーネントは適宜アップデートはされている様子です。
ウイルス・スパイウェア対策検査機能：1179(20090204)
アドバンスド ヒューステリック機能:1088(20090205）
とか、バージョン情報がありました。

検出率調査での沈み具合や、Esetスレの荒れっぷりに泣いたりしたけど
使っている範囲では対応速度もまずまず及第点かなと思いつつあります。

しかし、「このスレ的には」好調だけどav-testの検出率はいまいちな点が気になる。

＞av-testの検出率はいまいちな点が気になる。

あれはデフォ設定でテストしてるのでは？
NOD32の場合はデフォ設定ならアドバンスドヒューリスティックはチェックされてないはず
同様にNorton2009とAntiVirもヒューリスティック感度設定が標準設定だしPandaに至ってはデフォ時ではヒューリスティックが外れてる
が、カスペのデフォ時のヒューリスティック感度は低いはずだけどAV-Testでは成績が良い、これはきっとシグネチャ重視のカスペだからでしょう
ESETの場合はヒューリスティックに大きく依存してるのにデフォ時ではアドバンスドヒューリスティックが外れてるからね・・・

ただESET、Symantec、McAee、Pandaはかなりよくなってるし今後も注目したいベンダーだけどまだまだ油断できず様子見な状態ですね
今後またダメダメになる可能性も無きにしも非ずだし

勢力のある攻撃側に徹底マークされると、一時的に成績は落ちるし、
開発チームがごたごたしてると、やっぱり一時的に成績は落ちる
長い目では、成績は浮沈するもので、そこらへんにもこのスレの意義がある

うん。あたりまえだな。あたりまえのことを再認識したな

>>553
＞開発チームがごたごたしてると、やっぱり一時的に成績は落ちる

となると今はBitDefenderがダメダメなんだろうね
検体提出しても対応が遅すぎたりとBitDefenderの解析チームがごたごたしてるのかも

http://www.megaupload.com/?d=YK4PJQ2N

>>555
グロ画像が大量に入ってる

http://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=221
key:virus

ドキュメントからマルチメディアから全部消された

zipのパスワードは "123" です。

http://www.megarotic.com/jp/?d=Q1CVZWMA

>>557
AntiVirもavast!もPandaもESETもスルー
Nortonはまだスキャンしてないけど恐らくスルーでしょう

※　仮想環境を利用してESET（英語版）を始めました

>>557
カスペ2009もスルー
送信済み。

.NETだね
単に削除するだけだろ
こういうのはマルウェア判定難しいよな
単純だけど強力

>>557
全ベンダースルー
ttp://www.virustotal.com/analisis/95599ecbf4813453c45f6b09fc296cee

実行すると検出するのはあるかもね
こういうのはHIPSで対応するしかないのか
まあ実行しちゃうのが悪いんだけど

del *.* みたいなのはダウソ板でやれよ

.NET Framework 1.1じゃね。
ファイルを復元できないようにする合法的な消去ファイルもあるくらいだから、判定難しいね。
タイムスタンプ見ると、生後2週間か？
見つからないものかね。

>>557
McAfeeに提出させて頂ました。

>>557

未だにVT反応なし。
これ、ファイル名は"keygen.xe"だが、ひょっとして、>>3の鑑定厨に悪用された？
「ドキュメントからマルチメディアから全部消された」は嘘？

疑念が…。

>>555
>>559
はそういう目的かもね

>>568
鑑定かどうかは仮想環境で確かめた方がいいのかも
でもそれじゃ鑑定厨の思う壺だな

今試したらkeygenはシステムファイルを削除するね

>>571
http://www.virustotal.com/jp/analisis/a76f0dd5484ee67bbe1c75421754bd20

結果: 0/39 (0%)

巣に帰れ！

こいつVirustotalで検出されなきゃ問題ないと思ってるのかな

echo y | del %systemroot%*.*
みたいなbatも検知すべきなのか?

検知すべきかどうかは知らないが
悪意があればマルウェアだろうね
凶悪な

>>572
同意。
全員だまされたような気がする。
検定提出して、どのベンダーも丸1日返事なし。

結局、P2Pで、キージェネ拾ったけれど、自分の手を汚すのはいやだから、念のために、有害なコードが含まれていないかどうか
セキュ板の提出厨に提出して確認してもらいたいだけ。

で、最後の言葉は「あざーすｗｗｗ」

定期的に見かける。

おいおい
ふざけるなよ
ちゃんと検証して書いたんだよ

ここはVirustotalでしか判断できないレベルなのは分かった

カスペ返答。keygen.は危険ファイルではないということらしい。
　既出アドレスで更新されたplay.scr（危険ファイルの1199.exe入ってんだけど）を送ったんだが、
　こっちがクリーンって判断のほうが気になる。

Hello,
1199.exe_
　This file is corrupted.
flsp.exe_ - Trojan-Dropper.Win32.Agent.zmr
　This file is already detected. Please update your antivirus bases.
keygen.exe_, keygen.exe_0, play.scr_
　No malicious code were found in these files.

一応、提出したファイル。2/8にファイルが更新されてるの再入手して各社に提出した。
カスペはこいつをスルーか…うーむ。

tp://www■wokutonoken-online■com/blog/play■scr

ttp://www.virustotal.com/analisis/045416cbf9b32f7af26de308e3eb0d87 play.scr(21/39)
ttp://www.virustotal.com/analisis/3102838ffd3427fb62ae206bcf172417 1199.exe(18/39)

だから、ただのkeygen.exeだよｗ

じゃあ実行してみろよw

>>574
カスぺ アナリスト
場合のよりけりじゃね。下記では、KillFilesでBAT検出しているみたい。

2007/12
Smallest malicious program.（一番小さなマルウェア）

Trojan.BAT.KillFiles.gm took the lead in this category in the first month of winter - weighing in at all of just 12 bytes, it can nevertheless wipe the C: drive clean
一番小さかった有害プログラム。Trojan BAT.KillFiles (BATファイル） -12バイトだが、Cドライブをクリーンにするトロイ。

http://www.viruslist.com/en/weblog?weblogid=208187476 （

2008/10
In spite of being a mere 20 bytes in size, Trojan.BAT.KillAll.an is able to delete all files from disk.

これもBATファイル。20バイトながら、ディスクからすべてのファイルを消去するトロイ。
http://www.viruslist.com/en/weblog?weblogid=208187608 （2008/10）

>>579
1199.exe_
　This file is corrupted.

破損している。
元々破損。or送ったとき破損発生。

まあ実行したところで
ここにいる人たちなら被害は受けないと思うけどね

>>578
検出したらVTに即時反映されるだけだろ。池沼乙。

>>585
ほんと低レベルなんだな
あきれた

>>586
割れ厨乙

だから実行してみろよ
おまえらなら問題ないって
検証もせずに阿呆な攻撃しないでくれ

ちなみに.NET2が必要

こいつら低レベルだから実行しない方が良いよ
マジで

>>586をスレ情報とアップローダ情報付けて、BSA（ビジネスソフトウェアアシュアランス）かACCS（コンピュータソフトウェア著作権協会）に通報すればいいじゃん。
海賊版ソフトウェアの取り締まりをしている機関ね。

BSA
http://www.bsa.or.jp/index.html

違法告発.com
http://www.145982.com/index.html

ACCS
http://www2.accsjp.or.jp/

罰金最高3億円

俺は検証しただけなのにひどいねえ
ちなみに俺はそのkeygenをマルウェアに認定するわ
カスペを信じる人は実行してひどい目を見ないように祈るよ

ACCSには下記フォームから通報した。>>557

https://www2.accsjp.or.jp/cgi-bin/piracy/piracy.cgi

あとしらね。

>>593
匿名でもできるんだ。便利だね。
マルウェアの該否はともかく、ファイル名からして"keygen.exe"などうｐする方が悪い。
>>557は恥を知れ。

そいつもマルウェア報告しただけだろ
このスレ変なやつが紛れ込んでるなあ

だいたいkeygen.exeなら他の報告でも上がってるだろ
なんでその報告だけ目の敵のように扱うのかねえ

そのkeygen.exeで消されるのは
System32内のファイル
ドキュメントフォルダ内のファイル
プログラムメニュー内の一部のファイル
かな

常識的なことだけど
ドキュメントフォルダはレジストリから読み取れないところの方が安全ってことだね

物凄く特徴的な文章で一人が多数を演じているな
一番スレでやれ

演じてるとか何言ってんだよ
頭おかしいのか

>>2
>・淡々とやれ淡々と！
>　淡々と貼り、淡々といきましょう。
>
>・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
>
>・あらしはスルー。ソフトの優劣の議論は別スレで！（下記スレなど）
>
>一番いいセキュリティソフトはなんだ!!Part60
>ttp://pc11.2ch.net/test/read.cgi/sec/1227491237/

システムファイルを削除する（悪意の？いたずらの？）プログラムを
どう扱うかおもしろい例なんだけどね
なぜか無害と思いたい人がいるようだけど

各ベンダーそれぞれのポリシーで白判定。その結果で十分。
検出可否報告スレであって、プログラムの性質や各社のポリシーを議論するスレではない。

そんな分かりきったことはどうでも良い
まるでマルウェアが無害なように話すのは問題

それに検出可否を調査してるんだから
各社のポリシーも調査してるスレ

keygen.exeが問題だ。
明らかに、Key Generatorだ。
ここは、キージェネ厳禁だ。今まで、そう努力してきた。
次は、nyで拾ってきたPhotoshopでも鑑定させるのかｗ
なんだか、万引きして、万引きした商品が腐っていて腹こわしたから検査してくれと言う
ようなもの。
Ｋ察に捕まったaの再来か。関わりたくない。

個人的な意見：以後、スルー

>>3


【重要】
●ここは鑑定スレではありません！！！！！malwareのみお願いします。（割れ、キージェネ、クラッカー厳禁）
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

なんだかよく分からないね
検証した人を誹謗中傷したのが問題なんだろ
まるで検証した人が悪いみたいな書き込みが多いのは馬鹿だからとしか思えないよ

ここに上がるほとんどのマルウェアもトロイで目的はキージェネと同じようなものだよ
だいたいトロイなんてそんなのばかりじゃん
なんで今回の件にそこまで食いつくの？

つか誹謗してた本人なんだろ
何で正当化しようとしてるんだ？
謝れば良いだけだろ

>>606
マルウェア報告した人を
勝手に鑑定依頼人にしてるのおまえ
この点についても謝罪しとけ

>>606
今回の件は
マルウェア報告した人と検証した人を誹謗中傷した人が悪い
明らかです
ということでこれで終わりにしましょう
下手な正当化はやめて

Rising 2009 21.24.60 (21.15.60.00)
>>202
7\pro.exe: Trojan.Win32.Nodef.bbt
tubeviewersetup.1401.exe: Trojan.DL.Win32.Mnless.ccx
5+2=7/12
>>>333
1\r.exe: Trojan.Win32.Nodef.bce
4+1=5/12

なんかスレ伸びてるなと思い新しい検体が次々とうｐされたのかなとｗｋｔｋしてみたら・・・

何これ・・・

どこにでもいる基地外

割れ厨が必死なのはいつもの事

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=222
virus