【鑑定目的禁止】検出可否報告スレ10

このエントリーをはてなブックマークに追加
690名無しさん@お腹いっぱい。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=300
virus

zlkon.lv(GENOなどに仕込まれたあれ)ウイルスの新ドメイン「gumblar.cn」、ブロック推奨。
zlkon時代と同様に更新が激しいと思われるので検出結果は一時的なものと考えてください。
gumblar.cn/rss/?id=2 (←pdf)
gumblar.cn/rss/?id=3 (←swf)
gumblar.cn/rss/?id=10 (←exe)
いずれもアクセス制御あり(pdfやswfやexeが降ってこない場合は蹴られてます)。
691名無しさん@お腹いっぱい。:2009/05/02(土) 19:43:36
>>690
AntiVir 全部スルー ftp経由で提出完了。他も適当に送っておきます。
692名無しさん@お腹いっぱい。:2009/05/02(土) 19:51:09
>>690
ttp://www.virustotal.com/analisis/6f4cfdaafafed7ee82d31a3ab44c5c4d gumblar.exe(3/40)
ttp://www.virustotal.com/analisis/2f81cb4ffdf69998e9606e217b043647 gumblar.pdf(2/40)
ttp://www.virustotal.com/analisis/400c9248635147d3e6605c118a68877c gumblar.swf(4/40)
ttp://www.virustotal.com/analisis/8ca8201a2abc0a859531f92a66b2c462 gumblar_fws.swf(4/40)
ttp://www.virustotal.com/analisis/ca6671d65e6372d91c192fa53ebd2da1 gumblar_upx.exe(5/39)

gumblar.exe : Trojan-Dropper.Boot.Drv(Ikarus) , Backdoor.Trojan(Symantec)
gumblar.pdf : Exploit.PDF-JS.Gen(v) (Sunbelt) , Trojan Horse(Symantec)
gumblar.swf : Exploit.SWF.Gen(BitDefender) , TrojanDownloader:Win32/Swif.gen!A(Microsoft) , Troj/SWFLdr-A(Sophos)
gumblar_fws.swf : Exploit.SWF.Gen(BitDefender) , TrojanDownloader:Win32/Swif.gen!A(Microsoft) , Troj/SWFLdr-A(Sophos)
gumblar_upx.exe : Trojan-Dropper.Boot.Drv(Ikarus) , Backdoor.Trojan(Symantec) , PAK_Generic.001(TrendMicro) , Suspicious File(eSafe)
693名無しさん@お腹いっぱい。:2009/05/02(土) 20:04:03
>>690
McAfeeに提出させて頂きました。
694名無しさん@お腹いっぱい。:2009/05/02(土) 20:04:55
>>690
各社に提出完了。
 nProtect(ゲーム関係じゃ無さそうなので報告パス)
 Antiy Labs(ftpの調子が悪いのか接続できず。現時点で未提出)
695名無しさん@お腹いっぱい。:2009/05/02(土) 20:45:32
nProtectは、会社としては、銀行とかの垢抜き対策製品とか出してたよ
696名無しさん@お腹いっぱい。:2009/05/02(土) 21:02:04
>>695
nProtectはファイルとしての検体受け付け窓口がなくて、ゲームガードの不正ツール・サイト報告フォームなんだ。
697名無しさん@お腹いっぱい。:2009/05/02(土) 22:20:19
>>690
カスペ2009 21:13
1/5 (ヒューリスティック)
検体提出します。

2009/05/02 22:18:35 Detected virus HEUR:Exploit.Script.Generic /gumblar.pdf//data0000
698名無しさん@お腹いっぱい。:2009/05/02(土) 23:38:55
>>692
本当にバスターのPAK_Genericは「Packerだよ」ってだけだねw
699名無しさん@お腹いっぱい。:2009/05/02(土) 23:57:00
>>690
>>697
乙です。20分程の差で、私もKasperskyに送りました。(私の方が後。リロードすりゃ良かった。(苦笑 )

あと、先程、Firefox経由でGoogleに、gamblar.cn を攻撃サイトとして報告入れておきました。

正式に取り上げてもらえれば、gamblar.cnにアクセスしそうになると、ChromeやFirefoxなど、
GoogleのSafe Browsing APIを使っているブラウザで、おなじみの“攻撃サイトの表示”が
出るようになるはずです。
700699:2009/05/03(日) 00:00:08
>>699
うぉっと書き間違い。gamblar.cn → gumblar.cn です。(ちゃんと確認して報告してますんで、大丈夫。)
701697:2009/05/03(日) 02:43:11
カスペからの返事
>>690
1+事後検出2=3, 白1, 回答待ち1

gumblar_upx.exe - Trojan.Win32.Agent2.ixc
gumblar_fws.swf - Exploit.SWF.Agent.ai


New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

gumblar.exe - No malicious software was found in the attached file.


>>699
702名無しさん@お腹いっぱい。:2009/05/03(日) 02:54:28
>>690
ここまでSymantecとa-squaredとMalwarebytesに提出済み
703699:2009/05/03(日) 09:21:19
>>701
Kasperskyのデータベース 2009/05/03 8:09:00で、

gumblar.swf - Exploit.SWF.Agent.ai
gumblar_fws.swf - Exploit.SWF.Agent.ai
gumblar_upx.exe - Trojan.Win32.Agent2.ixc

として検出されるようになっています。

gumblar.pdfはヒューリスティックで検出される状態のままで、まだ名前が付いていません。
gumblar.exeは白判定だったので、上記データベースでも検知無し。

pdfに名前が付けば、Kasperskyはcloseになると思います。 一応報告しておきます。
704699:2009/05/03(日) 10:31:05
>>699
おまけです。gumblart.cnが、Googleの攻撃サイトに登録されました。
GoogleのSafe Browsing APIを使用しているブラウザでは、アクセスブロックが行われるようになっています。

※ 私より前にも、報告した人が他にも多数いた模様。

http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ja&site=http://gumblar.cn/

2009年5月3日 10:20時点で、既に308個のドメインを感染させているそうです。 以上、報告終わり。
705名無しさん@お腹いっぱい。:2009/05/03(日) 13:48:52
>>701
>gumblar.exe - No malicious software was found in the attached file.
これ、このままだと検出しないけど、UPX圧縮かけた瞬間 Trojan.Win32.Agent2.ixc になった。
ちなみに、さっき(12:00頃)落とした exe は検出不可能になってた。
706名無しさん@お腹いっぱい。:2009/05/03(日) 20:55:19
もう714個感染にふえてるな。KOEEE
707699:2009/05/03(日) 21:33:52
>>601,611,636,650
唐突に思い出したので、flashplayer.exeを落としてみたら、新種になっていました。

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=301
DL virus/解凍 virus
MD5 : cd2042bd399fbfa5e9640fbfb2ca1534

http://www.virustotal.com/jp/analisis/8ec2c535de5146089c44b7f9fc5e9b51
既に検出できるソフトも多い(17/40)のですが、念のため上げておきました。

なお、私が使っているKasperskyとAVIRA AntiVirは既に検出できる(virustotalではなく、実機で確認済み)ので、
ベンダーに検体は送っていません。
708名無しさん@お腹いっぱい。:2009/05/03(日) 21:50:06
1199.exe, mpg.scrとともにもはや定番だな

名前だけで判定してもいいんじゃないかという意見を思い出した。

svch0st.exe、http://rnicrosoft.com/みたいな。賛否モメるんだけれどね。

有害と判定すべき→常識的に、有害なプログラム、サイト。悪意が明らか。まともなプログラマは紛らわしい名前を常識ではつけない。(性悪説)
有害と判定すべきではない。→(上記の意見に対し、)一概にそうとは言い切れない。(性善説)
709名無しさん@お腹いっぱい。:2009/05/03(日) 21:51:00
>>707
おおぅ、4/30版まではチェックしてたけど、5/2版は見落としてたわ。未検出のベンダーに一通り提出してきます。
710名無しさん@お腹いっぱい。:2009/05/03(日) 22:08:00
>707 VirusTotalで未検出のベンダー各社+αに提出完了。

そういや、VirusTotalの総数が41になってて、どこが増えたのかと思ったら
Prevx1 が、V2と3.0の2種類になってるんだね。

>>707と同じバイナリですが(17/40)→(17/41)
ttp://www.virustotal.com/analisis/59c0932a3cec7ccdd5c052b386ebddeb (17/41)
711名無しさん@お腹いっぱい。:2009/05/03(日) 22:09:00
>>707
ここまでSymantecとa-squaredとMalwarebytesに提出済み
712名無しさん@お腹いっぱい。:2009/05/03(日) 22:21:53
>707
まかふぃー

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flashplayer.exe |heuristic detection |new malware.jj |Trojan |no

Norman(のーとんじゃないよ)
[ DetectionInfo ]
* Filename: C:\analyzer\scan\flashplayer.exe.
* Sandbox name: W32/Malware.
* Signature name: NO_VIRUS.
713699:2009/05/04(月) 03:41:45
gumblar.cnですが、先程アクセスしてみたら、id3とid10のファイルが新種になっていました。
 http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=302
 DL virus/解凍 virus

【中身】
id3_20090504.swf
 http://www.virustotal.com/jp/analisis/35359909a8abd0a36013c27b92e07ef2
 MD5 : 65cd1da3d4cc0616b4a0d4a862a865a6

id10_20090504.exe
 http://www.virustotal.com/jp/analisis/2fb0e4e8a1e68e35d17ed6de7cb01ab6
 MD5 : 7de29e5e10adc5d90296785c89aeabce

id2は、>690と同じでした。KasperskyとAVIRAには提出してあります。

それにしても、zlkonの時同様、ここもひっきりなしにファイルを改変してきそうな気がしますので要注意ですね。
ということで寝ます。ノシ
714名無しさん@お腹いっぱい。:2009/05/04(月) 06:01:12
>>713
McAfeeに提出させて頂きました。
715699:2009/05/04(月) 09:06:04
>>703
まだ>697さんが書かれていませんが、失礼して先に報告します。Kasperskyで、gumblar.pdfに正式名がつきました。
 gumblar.pdf - Exploit.JS.Pdfka.ix (データベース 2009/05/04 7:39で確認)

>>713
kasperskyから返答来ていました。こっちは寝てたけど...(汗
 id10_200905004.exe_ - Trojan.Win32.Agent2.ixs
 id3_20090504.swf - Exploit.SWF.Agent.aj
だそうで、次のデータベース更新で対応するそうです。

てか、私がメールしてから判定結果の返事が来るまでに1時間かかってないんですが、暇なのか?>Kaspersky

>>691
AntiVirで、データベース 7.01.03.143において、
 gumblar_upx.exe - TR/Agent2.ixc
 gumblar.exe - TR/Agent2.ixj

として検出されるようになりました。他はスルーのままです。以上報告終わり。
716名無しさん@お腹いっぱい。:2009/05/04(月) 14:22:47
>>715
>私がメールしてから判定結果の返事が来るまでに1時間かかってないんですが
海外でも広まってるので、誰かが既に送っていたんでしょう。
数年前は20分足らずで瞬殺されることもありましたが、
桁が2つ3つ増えている現在どこのベンダも暇なんてないはず。
717名無しさん@お腹いっぱい。:2009/05/04(月) 16:26:06
Rising 2009 21.37 (21.28.00.00)
>>707>>713
スルー
713のみ検体提出
>>666
wd.exe: Trojan.PSW.Win32.GameOL.ytg
wow.exe: Trojan.PSW.Win32.GameOL.ytg
以下Risingより
1、文件名:jx.exe
病毒名:Trojan.Win32.Nodef.isd
2、文件名:youxi.exe
病毒名:Dropper.Win32.Nodef.dt
3、文件名:002.exe
病毒名:Trojan.PSW.Win32.GameOL.ytl
瑞星2009的21.28.01版本(瑞星2008的20.95.01版本)で対応予定
9+5=14/14
718名無しさん@お腹いっぱい。:2009/05/04(月) 21:39:30
Rising 2009 21.37.03 (21.28.03.00)
>>672
2\888.exe: Trojan.Win32.Nodef.ish
1(+1)+1=2(+1)/12
>>682
1.exe>>upx_c: Trojan.Win32.StartPage.mkj
2.exe>>upx_c: Trojan.DL.Win32.Mnless.ddp
autorun1.exe>>upx_c: Worm.Win32.DownLoad.pj
u1.exe: Trojan.Win32.AvKiller.im
wow1.exe: Trojan.PSW.Win32.GameOL.yxl
xw.exe>>upx_c: Trojan.Win32.SysKiller.c
5+6=11/15
>>707
flashplayer.exe>>upx_c: Trojan.PSW.Win32.GameOL.yxl
1/1
719699:2009/05/05(火) 08:50:26
>>690-691,715
AntiVirで、データベース 7.01.03.150において、
 gumblar.pdf - EXP/Pidef.jv
 gumblar.swf - SWF/Drop.Agent.D.2
>713
AntiVirで、データベース 7.01.03.150において、
 id3_20090504.swf - SWF/Drop.Small.QA
 id10_200905004.exe - TR/Drop.Agent.qfg

で検出されるようになりました。
ちなみに、昨日は出かけたあと寝てしまったので、どの時点で対応したかは不明。ただ、AVIRAさんからは検体判定結果のメールは
来ていました。(送ってくれたファイルはマルウェアでした。協力感謝します。というメール) 今回初めてAVIRAにメールで送ってみましたが、
Kasperskyと同じで、AVIRAも判断結果のメールくれるんですね。

>713
Kasperskyのデータベース 2009/05/05 7:24で検出できること確認しました。 以上、報告終わり。
720699:2009/05/05(火) 09:19:16
>>719
すみません。ちょっと訂正。
 id10_200905004.exe - TR/Drop.Agent.qfg → TR/Agent2.ixs

判定結果のメールはTR/Drop.Agent.qfgでしたが、実際の検出名はTR/Agent2.ixsになっています。
721名無しさん@お腹いっぱい。:2009/05/05(火) 10:07:02
>>713
Microsoft返答。現時点で呼び出しコード入ってるサイトのhtmlも一緒に送ってみましたが、
そっちは[Not Malware]という判定結果でした。

Submitted Files
=============================================
20090504.zip [Container]
+---show-a.htm [Not Malware]
+---www.wellness.co.jp.htm [Not Malware]
+---id10_200905004.exe [Changes to detection currently undergoing testing]
+---www.nenrei-hayami.net.htm [Not Malware]
+---gaiyo.html [Not Malware]
+---index.html [Not Malware]
+---id3_20090504.swf [TrojanDownloader:Win32/Swif.gen!A]
722名無しさん@お腹いっぱい。:2009/05/05(火) 16:44:16
>>713
>721の名称変更[Changes to detection currently undergoing testing]が確定してクローズの模様。

Submitted Files
=============================================
20090504.zip [Container]
+---show-a.htm [Not Malware]
+---www.wellness.co.jp.htm [Not Malware]
+---id10_200905004.exe [TrojanDropper:Win32/Seekwel.A]
+---www.nenrei-hayami.net.htm [Not Malware]
+---gaiyo.html [Not Malware]
+---index.html [Not Malware]
+---id3_20090504.swf [TrojanDownloader:Win32/Swif.gen!A]
723699:2009/05/05(火) 22:10:40
gumblar.cnですが、日替わりですねぇ。今日はid3が落ちてこなくて、id2(pdf)とid10(exe)の新種が落ちてきました。

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=303
 DL virus/解凍 virus

【中身】
id2_20090505.pdf
 MD5 c1d43818425b7299379138127c11d44d
 http://www.virustotal.com/jp/analisis/b0ccfe072ce7f721e506f47ca0d9c619
 Kaspersky - Exploit.Win32.Pidief.atm (データベース 2009/05/05 20:39:00)

id10_20090505.exe
 MD5 : 14dee65632110ad1b3ce837824bd5b96
 http://www.virustotal.com/jp/analisis/d9b31c50a48bd37c08ae131509caf101
 KasperskyもAviraも検知できず。

KasperskyとAviraには提出済みでぇす。(Kasperskyはid10のみ)
724名無しさん@お腹いっぱい。:2009/05/05(火) 22:40:02
>>723
McAfeeに提出させて頂きました。
725名無しさん@お腹いっぱい。:2009/05/06(水) 02:45:04
>>724
カスペ返答(別件と混ぜて送ったので別のも回答来てますが気にせずまとめて)

3522938.exe - Trojan.Win32.Inject.xvb
id2_20090505.pdf - Exploit.Win32.Pidief.atm
These files are already detected. Please update your antivirus bases.

id10_20090505.exe - Trojan.Win32.Agent.ceyr
New malicious software was found in this file. It's detection will be included in the next update.
726名無しさん@お腹いっぱい。:2009/05/06(水) 02:48:49
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=304
infected

検体入手元
p://www■atwikisjp■com/user/3522938■zip

VirusTotal
ttp://www.virustotal.com/analisis/70347e7be5feb5692739a7269126c089 3522938.zip(17/41)
ttp://www.virustotal.com/analisis/9f41c85ab1c5cc3ae392cf51e2c4a894 3522938.exe(12/40)

AntiVir9 撃墜(検出名:TR/Crypt.ZPACK.Gen)

>723と一緒にまとめて各社に提出済み。(>725のアンカーは>723宛のミスです)
727名無しさん@お腹いっぱい。:2009/05/06(水) 02:51:32
>>723,>>726
Symantec返答
id10_20090505.exe が Backdoor.Trojan.。他は全て手動解析回し。
728名無しさん@お腹いっぱい。:2009/05/06(水) 05:28:05
>>723
>>726
ここまでSymantecとa-squaredとMalwarebytesに提出済み
729名無しさん@お腹いっぱい。:2009/05/06(水) 09:36:13
>>723,>>726
Microsoft返答。下のほうにアナリストのコメントがあったので読んでみると、
pdfは解決にもうちょっと時間がかかりますとあったので、白判定では無く、対処中ということらしい。

Submitted Files
=============================================
20090505_1.zip [Container]
+---id2_20090505.pdf [Not Malware]
+---3522938.exe [PWS:Win32/Magania.gen]
+---3522938.zip [PWS:Win32/Magania.gen]
+---3522938.exe [PWS:Win32/Magania.gen]
+---id10_20090505.exe [TrojanDropper:Win32/Seekwel.A]

>All of your submissions have been confirmed to be malware.
>The pdf exploit will take more time to do a solution, the other three have already been set determination.
730699:2009/05/06(水) 09:48:14
>>723,725
Kaspersky データベース 2009/05/06 8:07:00で、
 id10_20090505.exe - Trojan.Win32.Agent.ceyr

>>726
Kaspersky データベース 2009/05/06 8:07:00で、
 3522938.zip - Trojan.Win32.Inject.xvb
 3522938.exe - Trojan.Win32.Inject.xvb

それぞれ検出できるようになっています。

AVIRAは、データベース 2009/05/05 7.01.03.157で、状況変化なし。(>723は未検出,>726は検出可)
731名無しさん@お腹いっぱい。:2009/05/06(水) 10:50:41
>>723,>>726
トレンドマイクロ返答

TSPY_MAGANIA.HZ:多分、3522938.zip と exe
BKDR_SEEKWEL.A:多分、pdf と exe だか、その片方だか。
732 ◆W32/Vael.o :2009/05/06(水) 13:15:51
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=305
Malware-Pack75

例によってMcAfeeには提出済み
733名無しさん@お腹いっぱい。:2009/05/06(水) 13:18:12
734名無しさん@お腹いっぱい。:2009/05/06(水) 13:19:41
>733は誤爆です。orz >732落として提出行ってきます。
735名無しさん@お腹いっぱい。:2009/05/06(水) 13:24:40
>>732
AntiVir 8+1/12
736名無しさん@お腹いっぱい。:2009/05/06(水) 14:45:14
Rising 2009 21.37.20 (21.28.20.00)
>>614
flashplayer.exe.bin>>upx_c: Suspicious:Dropper.Win32.Mnless.GEN → Trojan.PSW.Win32.WoWar.bgj
>>672
6\softwarefortubeview.40006.exe: Trojan.DL.Win32.Mnless.ddz
8\bb021908.exe>>dpcxool64.sys: Trojan.DL.Win32.VB.zte
a\softwarefortubeview.40012.exe: Trojan.DL.Win32.Mnless.der
2(+1)+3=5(+1)/12
>>682
pcclient1.exe: Backdoor.Win32.PcClient.tkk
x1.exe: Trojan.Win32.KillAV.bcf
x5.exe: Trojan.Win32.KillAV.bcf
x9.exe: Trojan.Win32.KillAV.bcf
11+4=15/15
>>723
スルー
>>726
Suspicious: Packer.Win32.UnkPacker.b
>>732
1\Install_2004.exe: Backdoor.Win32.Drwolf.bba
4\visualizar.exe: Packer.Win32.Agent.r
6\stream_player_plugin.exe>>agent.exe: Trojan.DL.Win32.Mnless.ddb
7\flash_player_plugin.exe>>agent.exe: Trojan.DL.Win32.Mnless.ddb
4/12
737名無しさん@お腹いっぱい。:2009/05/06(水) 14:55:53
>>732 d
カスペ2009 13:35:00
7/12 (2-8)

Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eig   /Malware/2/Install_2010-1.exe
Detected Trojan program Trojan-Banker.Win32.Banker.agzz   /Malware/3/Instalar.exe
Detected Trojan program Trojan-Downloader.Win32.Banload.zot   /Malware/4/visualizar.exe//FreeBasic Source Loader.exe
Detected Trojan program Backdoor.Win32.Hupigon.gthp   /Malware/5/hgcheck.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.k   /Malware/6/stream_player_plugin.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.k   /Malware/7/flash_player_plugin.exe
Detected virus HEUR:Trojan.Win32.Generic   /Malware/8/refaz2009.jpg

検体提出します。
※カスペ新エミュレーター(ベータ版)+5:57:00でも同上

>>730
代理報告、代理提出乙です。助かります。
738名無しさん@お腹いっぱい。:2009/05/06(水) 15:47:16
>>732
テンプレのWikiにある提出先一通り+Malwarebytes+NictaTech Software に提出完了。

そのうち、1個づつ送るのが面倒くさかったNormanとZoner Antivirusだけは提出をスルーしました。
ごめんなさい。暇な方は提出よろしく。
739699:2009/05/06(水) 15:51:17
>>723,730
AVIRA データベース 2009/05/06 7.01.03.158で、
 id10_20090505.exe - TR/Agent.imh

で検出できるようになっています。(id2_20090505.pdf - 未検出のまま)
740名無しさん@お腹いっぱい。:2009/05/06(水) 16:03:41
>>732,735
AVIRA データベース 2009/05/06 7.01.03.158で、
 0 - DR/Targad.A
 1 - TR/FakeXPA.A.246
 2 - TR/Dldr.FraudLoad.eig
 3 - 未検出
 4*- DR/Delphi.Gen
 5 - BDS/Hupigon.gthp
 6 - DR/Fraud.PrivacyCenter.K.1
 7 - DR/Fraud.PrivacyCenter.K
 8 - HIDDENEXT/Crypted (※)
 9*- TR/Crypt.CFI.Gen
 a - 未検出
 b - 未検出 - Malware判定済み

No.3,a,bの検体をWebで提出してみました。それで気がついたんですが、AVIRAはWebから提出すると、
先に提出した人がいると、結果が出ているものは判定結果が表示されるのですね。
今回はNo.bがMalware判定済みの表示が出ました。

No.4,9は、ヒューリスティック検出(Gen)だったので隔離室経由で提出してあります。
No.8は、検出名がおかしい(※)ので、ファイルに合わせて拡張子をjpg→exeに変更したところ、スルーしたので提出しました。

>737 乙です。
ここ、KasperskyとAVIRAは2人(以上)いるので、チェックが楽ですね。ヽ(^。^)丿
741名無しさん@お腹いっぱい。:2009/05/06(水) 16:35:28
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=306
infected

日替わりっぽい flashplayer.exe
提出前にVTに投げたら、わたしより前にチェックした人がいたようなので提出直前との比較。

ttp://www.virustotal.com/analisis/dd130789b1217644a4615bca047ffaf8 flashplayer.exe(7/40)
  ↓
ttp://www.virustotal.com/analisis/04d1badbb3d68d8e06cff856bf81817d flashplayer.exe(13/39)

AntiVirで検出しませんでしたが、パターン更新した後に再チェックした所、VT通り検出しました。
テンプレのWikiにある提出先一通り(−VTで検知してるベンダ)+Malwarebytes+NictaTech Software に提出完了。
(こっちは、NormanとZoner Antivirusにも提出。nProtectを提出スルー)
742名無しさん@お腹いっぱい。:2009/05/06(水) 16:37:36
>>741
まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flashplayer.exe |heuristic detection |new malware.jj |Trojan |no

heuristic detection [flashplayer.exe]
743名無しさん@お腹いっぱい。:2009/05/06(水) 16:44:24
>>741
カスペ返答。次の更新で対応。…えーと、検出名書いてないけど、まぁいいか。

New malicious software was found in the attached file. Its detection will be included in the next update.
744699:2009/05/06(水) 16:51:46
>>723,739
AVIRAからメール来ました。
 id2_20090505.pdf - EXP/Pidief.PB

になるそうです。多分、次のアップデートじゃないかと思います。>723はこれでcloseです。

>>741 乙ですー。

あと、>740も699です、一応。(名前入れ忘れた)
で、>740ですが、AVIRAにWebで提出するとアカウントが自動で作られて、提出したファイルの調査状況がリアルタイムで見れる!
※ メールで、『ここを見てね』ってアドレスが送られてくる。

これは凄い...ちょっと感動しました。
745736:2009/05/06(水) 16:59:32
Rising 2009 21.37.21 (21.28.21.00)
>>672
8\bb021908.exe>>sopidkc.exe: Backdoor.Win32.Undef.dfx
8\bb021908.exe>>tpsaxyd.exe: Backdoor.Win32.Undef.dge
5(+1)/12
>>741
スルー
746名無しさん@お腹いっぱい。:2009/05/06(水) 17:04:33
>>732
>>741
ここまでSymantecとa-squaredとMalwarebytesに提出済み

a-squaredのシェア版もビヘイビア検出を始めたらしく、
ジャンルによっては最強の件出力を叩きだしています
747名無しさん@お腹いっぱい。:2009/05/06(水) 17:05:51
>>743
Trojan-GameThief.Win32.WOW.iid
ドロッパによって投下されると
Trojan-GameThief.Win32.WOW.iie
748名無しさん@お腹いっぱい。:2009/05/06(水) 17:29:34
TrendMicroは最近PAK_Generic.001の検出がやたらと多いな
これもSmartProtectionNetWorkの影響なのかな?
749名無しさん@お腹いっぱい。:2009/05/06(水) 18:02:53
いやそれPacker(圧縮みたいなもん)ですよってだけだから。
たとえばUPX形式ならUPX拾ってきて解凍すると検知しなくなる。
実際の製品じゃ検知しないじゃん、とトレンドマイクロに問い合わせても
テンプレ返答でしたみたいなやり取りが数スレ前にあった気がする。
750名無しさん@お腹いっぱい。:2009/05/06(水) 18:12:02
ってことはまだVirustotalではTrendMicroのSmartProtectionNetWorkは反映されてないわけね
ただプログラムバージョンの8.950.0.1092が気になる(トレンドマイクロサイトではまだ8.911だし)

ま、ウイルスバスターに搭載されるのは2010からだろうけど
751737:2009/05/06(水) 19:25:26
>>732
カスペからの返事
7 + 追加検出1 = 8/12 (0, 2-8), 破損1 (1), 白1 (b), 回答待ち2 (9,a)


0\ProDMInstall.exe - Trojan.Win32.FraudPack.mim

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

b\modulo10.jpg - No malicious code was found in this file.

1\Install_2004.exe - This file is corrupted.
752699:2009/05/06(水) 21:46:16
>>740,744
AVIRAで、3と8の判定結果が出てました。3,8両方とも黒(Malware)とのこと。 aはまだ判定中になっています。

自動応答メールで結果が来るのと同時に、Webの自分のIDの所の判定結果が更新されるようです。
ただし、自動応答の結果だと白黒しかわからず、正式名称はパターンファイル待ちになる模様。

メールで送るよりWebで投稿した方が、白黒判定結果は明らかに早く入手できますね。
隔離室経由でメールした分はまだ結果返答来てませんし。 今後、メール止めて全部Webから行こう...
753名無しさん@お腹いっぱい。:2009/05/06(水) 22:10:16
>>732
カスペ返答

hgcheck.exe_ - Backdoor.Win32.Hupigon.gthp,
Instalar.exe_ - Trojan-Banker.Win32.Banker.agzz,
Install_2010-1.exe_ - Trojan-Downloader.Win32.FraudLoad.eig,
visualizar.exe_ - Trojan-Downloader.Win32.Banload.zot
These files are already detected. Please update your antivirus bases.

index1.gif_ - Trojan-Dropper.Win32.Agent.aomk,
install_flash_player.exe_ - Trojan.Win32.VB.okp,
ProDMInstall.exe_ - Trojan.Win32.FraudPack.mim,
refaz2009.jpg_ - Trojan.Win32.Agent.cfeb
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

Install_2004.exe_
This file is corrupted.

modulo10.jpg_
No malicious code was found in this file.
754名無しさん@お腹いっぱい。:2009/05/06(水) 22:13:02
…あ、ごめん。3分割して送ったうちの1つだけだ。全部の返答来てないや。
755名無しさん@お腹いっぱい。:2009/05/06(水) 23:19:41
重複報告うざい
756699:2009/05/06(水) 23:44:48
>>732,740
AVIRA全確定。 未検出と検出名?の、3,8,a,b、全部Malware(黒)判定でした。

ただ、現時点の 7.01.03.163では反映されていない(>740のまま)なので、検出名確定は明日以降と思われます。

以上で、>732に関してはAVIRAは全黒でcloseです。
757名無しさん@お腹いっぱい。:2009/05/07(木) 09:03:10
>>732
マカフィー返答。残りのファイルは返答待ち。ペンディングの返答は始めて見た気がする。

(提出時)
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash_player_plugin.|new detection |generic pup.z!c |Application |yes
stream_player_plugin|new detection |generic pup.z!c |Application |yes


(返答)
File Name Findings Detection Type
========= ======== ========= ====
flash_player_plugin.exe detected generic pup.z!c pup
stream_player_plugin.exe detected unknown pending
758名無しさん@お腹いっぱい。:2009/05/07(木) 13:41:45
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=307
infected

検体入手元
p://www■wokutonoken-online■com/wmv■pif
p://www■muswou■com/wmv■pif
p://www■cavle-online■com/play■exe
p://online■w84■okwit■com/play■exe
p://www■wokutonoken-online■com/JP/mpg■scr
p://www■wokutonoken-online■com/blog/play■scr
(↑ここまで同じファイル)
p://www■pps900■cn/e■exe
p://121■10■108■242/max0■exe
(↑この2つも同じファイル)
p://www■teamerblog■com/wiki/cer■exe
p://www■adobeus■com/go/getflashplayer/flashplayer■exe

VirusTotal
ttp://www.virustotal.com/analisis/21cf44e575e2c995d8e866b47e0e6bf7 1199■exe(23/42)
ttp://www.virustotal.com/analisis/5ce855c06a0b27b7fb410942a632b413 flashplayer■exe(8/39)
ttp://www.virustotal.com/analisis/975a90848c7dfe1ad07c4d85fe6c5e65 max0■exe(20/42)
ttp://www.virustotal.com/analisis/4207f1bceaa79b2c39d1728d4d3def3e play■scr(22/40)
cer■exe は、VTに投げると何故かエラー。メールでは返ってきた。

AntiVir 3+1/5(1つスルー、1つヒューリスティック)
759名無しさん@お腹いっぱい。:2009/05/07(木) 13:58:08
>>758
一通り提出完了。
760名無しさん@お腹いっぱい。:2009/05/07(木) 15:46:50
>>758
カスペ2009 15:10
5/5でクローズ

Detected Trojan program Trojan.Win32.Inject.xzb   \cer.exe
Detected Trojan program Trojan-GameThief.Win32.WOW.iif   \flashplayer.exe
Detected Trojan program Trojan-Downloader.Win32.VB.mfg   \max0.exe
Detected Trojan program Backdoor.Win32.PcClient.aldh   \play.scr/1199.exe
Detected Trojan program Backdoor.Win32.PcClient.aldh   \play\1199.exe

※新エミュレータ+5:55:00では、max0.exeは未検出.4/5
761名無しさん@お腹いっぱい。:2009/05/07(木) 16:29:29
もうVirustotalはベンダー増やさなくていいよ・・・
Jiangmin 11.0.706 2009.05.06
762名無しさん@お腹いっぱい。:2009/05/07(木) 18:09:06
>>758
PnadaGlobalProtection2009

検出報告する暇もない状態なので検出した検体だけ報告

max0.exe以外は検出、max0.exeだけスルー
763名無しさん@お腹いっぱい。:2009/05/07(木) 18:46:11
>>758
まかふぃー自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe |current detection |backdoor-ckb.dr |Trojan |no
cer.exe |new detection |pws-mmorpg!j |Trojan |yes
flashplayer.exe |new detection |generic.dx!bx |Trojan |yes
max0.exe |inconclusive | | |no
play.scr |current detection |generic backdoor!d |Trojan |no
764699:2009/05/08(金) 00:05:10
>>758
Kasperskyは>760の通り、私の所でも全撃墜(全て確定済みのマルウェア判定)したんで、AVIRAだけ追加。

AVIRA AntiVir Personal / 2009/05/07 7.01.03.169
 max0.exe - 未検出 / UNDER ANALYSIS
 1199.exe - DR/Pcclient.Gen / MALWARE
 flashplayer - TR/PSW.Wow.iif
 cer.exe - TR/Crypt.ZPACK.Gen / MALWARE
 play.scr - TR/Dropper.Gen / MALWARE

未検出のmax0.exe,ヒューリスティック検出(Gen表記)の1199.exe,cer.exe,play.scrの、計4つをAVIRAに提出。
765699:2009/05/08(金) 00:21:24
>>758,764
レス書いてる間にパターンファイルがアップデート。AVIRA 7.01.03.170で
 max0.exe - TR/Dldr.VB.mfg

これでAVIRAは全黒でclose。
766736:2009/05/08(金) 02:07:09
Rising 2009 21.37.34 (21.28.34.00)
>>552
1\codec.exe: Trojan.DL.Win32.Mnless.dfm
4+1=5/12
>>617
5\1780.exe: Trojan.Win32.FakeAV.mv
5+1=6/12
>>741
flashplayer.exe>>upx_c: Backdoor.Win32.Undef.dgw
1/1
>>758
flashplayer.exe>>upx_c: Backdoor.Win32.Undef.dgw
play\1199.exe: Backdoor.Win32.PcClient.tmd
play.scr>>1199.exe: Backdoor.Win32.PcClient.tmd
cer.exe: Suspicious: Packer.Win32.UnkPacker.b
3(+1)/5
767699:2009/05/08(金) 02:53:29
gumblar.cn新種(2009/05/08版)

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=308
 DL virus/解凍 virus

【中身】
id2_20090508.pdf
 MD5 ceb7aedecae1a14aa45dd9c9acac1200
 http://www.virustotal.com/jp/analisis/af15a33e473fe2640806fc7781af7606
id3_20090508.swf
 MD5 18ddddfa7f50122f9b61afe0e853f8c6
 http://www.virustotal.com/jp/analisis/155bb6405781000eb27b6d2c08bde5e0
id10_20090508.exe
 MD5 71bfadfcf24eeb157b22d3d7aac7f17d
 http://www.virustotal.com/jp/analisis/afd3e43fa4e9099196082aae3825f450

Kaspersky 2009/05/08 1:57:00
 id2 HEUR:Exploit.Script.Generic,id3とid10 スルー,全て提出済

AVIRA 7.01.03.171
 全てスルー,Web上で提出時の自動判断 id2とid10=UNDER ANALYSIS,id3=CLEAN
768名無しさん@お腹いっぱい。:2009/05/08(金) 07:13:02
>>767
乙です。

テンプレのWikiにある提出先+Malwarebytes+NictaTech Software に提出完了。
畑違いかもしれないけど、ついでだったので、Lavasoft(Ad-Aware)とSafer Networking(Spybot)にまで提出。
769699:2009/05/08(金) 22:49:26
>>767
Kasperskyは返答メール来てませんが、確認した結果下記の通り。

Kaspersky 2009/05/08 22:22:00
 id2_20090508.pdf - Exploit.Win32.Pidief.atr
 id10_20090508.exe - Worm.Win32.AutoRun.aiai

 id3_20090508.swfは今の所検出しません。AVIRAの結果からすると白?

AVIRA 7.01.03.176
 id10_20090508.exe - WORM/Autorun.aiai
 id2_20090508.pdf - EXP/Pidief.rsn (判定はMalware確定だが、7.01.03.176でまだ検出しない)
 id3_20090508.swf - 無害(白)で確定

exeがトロイではなくWormになってますね。今後、これまで以上に注意が必要かな?
770名無しさん@お腹いっぱい。:2009/05/09(土) 04:49:55
>>758
NortonInternetSecurity2009

全部撃墜
771699:2009/05/09(土) 10:58:30
>>769
AVIRA 7.01.03.178
 id2_20090508.pdf - EXP/Pidief.rsn 検出可。 >767についてはこれでclose。

あと、どうやらvirustotalパンク中らしい。id3_20090508.swf再チェックしようとしたら、アクセスできなくなってる。
みんなで使いすぎ? (´・ω・`)
772699:2009/05/09(土) 12:14:54
ttp://www3.atword.jp/gnome/2009/05/09/nicovedeo/ より

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=309
 DL virus/解凍 virus

配布元 ttp://nicovedeo●com/ma.exe

AVIRA 7.01.03.178 - TR/Crypt.ZPACK.Gen ,検出可
KasperskyK 2009/05/09 11:14:00 - Trojan.Win32.Inject.xvb ,検出可

nicovedeo.comを偽装サイトとしてFirefox/Google 報告済み

virustotal不調につき、他のベンダーの対応状況は不明。
773名無しさん@お腹いっぱい。:2009/05/09(土) 13:12:54
774名無しさん@お腹いっぱい。:2009/05/09(土) 13:18:05
>>758
>>767
>>772
ここまでSymantecとa-squaredとMalwarebytesに提出済み
サイクルが速いねー
775名無しさん@お腹いっぱい。:2009/05/09(土) 14:06:02
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=310
infected

検体入手元
p://www■wokutonoken-online■com/JP/mpg■scr
p://www■excitysjp■com/Web/89238632■zip
p://www■adobeus■com/go/getflashplayer/flashplayer■exe
p://www■freaksstore■com/

VirusTotal
ttp://www.virustotal.com/analisis/23e95eb05d6dd5a3f028aad3c5d918b1 flashplayer■exe(17/40)
ttp://www.virustotal.com/analisis/b03ab4446b3af5e0c1d324a922346104 89238632■zip(10/40)
ttp://www.virustotal.com/analisis/c643e2404ed22544d9b441cf2cb64e86 mm■exe(11/40)
ttp://www.virustotal.com/analisis/de63cea87270d32ad52c650a6a5722af mpg■scr(24/40)
ttp://www.virustotal.com/analisis/bd7a1540fe4ba7b7f0a10eaebce12fca 1199■exe(24/40)
ttp://www.virustotal.com/analisis/2febff2a5a33a9c9564e247f658cb97d www■freaksstore■com(2/40)

一通り提出済み。(zipとかをばらしたものも入れてあるので、実質は3ファイルです)

AntiVir(5/6)
BitDefender(2/6)
a-squared(4/6)

>>772
呼び出し元のhtmlも含めて昨晩提出済み。mixiに貼られてたらしいです。
776名無しさん@お腹いっぱい。:2009/05/09(土) 14:07:39
書くの忘れましたが、>>775も各社一通り提出済みです。

freaksstore は、>767を呼び出すスクリプトが残ったままのサイトだそうで。
777名無しさん@お腹いっぱい。:2009/05/09(土) 15:00:37
>>775
ここまでSymantecとa-squaredとMalwarebytesに提出済み
ちなみにNIS2009は無反応でした
778名無しさん@お腹いっぱい。:2009/05/09(土) 15:31:01
Rising 2009 21.37.50 (21.28.50.00)
>>552
4\ftp2.exe: Trojan.DL.Win32.Undef.ehm
5+1=6/12
>>732
a\index1.gif: Trojan.DL.Win32.VB.zty
4+1=5/12
>>767
スルー
>>772
ma.exe: Suspicious: Packer.Win32.UnkPacker.b
0(+1)/1
>>775
flashplayer.exe>>upx_c: Trojan.PSW.Win32.GameOL.zcx
89238632.zip>>mm.exe
mm.exe: Suspicious: Packer.Win32.UnkPacker.b
1(+2)/6
779名無しさん@お腹いっぱい。:2009/05/09(土) 16:01:28
>>775
まかふぃー自動返答。zipが解凍できず扱いされてます…ばらしてmm.exeを別に入れといて良かった。

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199■exe |current detection |backdoor-ckb.dr |Trojan |no
89238632■zip |extraction failure | | |no
flashplayer■exe |heuristic detection |new malware.jj |Trojan |no
mm■exe |inconclusive | | |no
mpg■scr |current detection |backdoor-ckb.dr |Trojan |no
www■freaksstore■com.|heuristic detection |with fishy extension |Application |no
780778:2009/05/09(土) 17:25:38
>>552
Risingより
文件名:InternetAntivirusPro.exe
文件名:minisvr4.exe
文件名:Install_1_1_.exe
文件名:curriculum.exe
文件名:file.exe
文件名:mdm365patch.exe
残り6体すべて不是病毒と返答
6/12
781名無しさん@お腹いっぱい。:2009/05/09(土) 17:59:36
>>779
この辺のネトゲ中華トロイは拡張子zipでも実際はrarだったりする。
しかしマカフィの鯖もファイルのヘッダ見て処理しろよな…。
782名無しさん@お腹いっぱい。:2009/05/09(土) 18:02:09
>>775
NortonInternetSecurity2009

1199.exeを検出
>>777さんの提出後、約3時間で対応
783782:2009/05/09(土) 18:06:27
もう一つ
mpg.scrも検出
784名無しさん@お腹いっぱい。:2009/05/09(土) 18:41:11
トレンドマイクロはバージョンが8.950になってからの検出率が大幅に上がった感じがする・・・

この8.950がすごく気になるがググっても詳細が出てこないしトレンドマイクロのサイト見ても出てないんだよな・・・
785名無しさん@お腹いっぱい。:2009/05/09(土) 18:41:27
>>775

カスペ2009 17:31:00
5/6
検体提出します。

Detected virus HEUR:Trojan.Win32.Generic  /flashplayer.exe
Detected Trojan program Backdoor.Win32.PcClient.alfm  /1199.exe
Detected Trojan program Trojan.Win32.Inject.yml  /89238632.zip/mm.exe
Detected Trojan program Trojan.Win32.Inject.yml  /mm.exe
Detected Trojan program Backdoor.Win32.PcClient.alfm  /mpg.scr/1199.exe
786名無しさん@お腹いっぱい。:2009/05/09(土) 19:24:17
>>758
Dr.Web返答。未検出分の検出名確定でClose.

Threat: Trojan.MulDrop.23178
787名無しさん@お腹いっぱい。:2009/05/09(土) 19:42:50
>>784
PAK_Genericじゃあるまいな
788785:2009/05/09(土) 19:49:03
カスペからの返事
>>775

flashplayer.exe - Trojan.Win32.Agent.cfps (←HEUR:Trojan.Win32.Genericからの変更)

This file is already detected.
789名無しさん@お腹いっぱい。:2009/05/09(土) 20:18:48
>>787
ちゃんとしたシグネチャ検出も増えてる印象があるけど>8.950
あくまでも印象だから今後のこのスレの検体のVitustotalの検出状況見ないとわからんな
790785:2009/05/09(土) 23:37:01
カスペからの返事2(>>788)
>>775

www.freaksstore.com.htm_ - Trojan.JS.Agent.aca

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

このあたり(Trojan.Js.Agent)は完全にポリシーだな。
落ちてくる本体で撃退できればいいと思うが。

一応
5+事後検出1=6/6でクローズ
791699:2009/05/10(日) 01:47:17
>>775
ん〜、出遅れた。

Kaspersky 2009/05/10 0:37:00
>785,787の対応まで完了(全部名称まで確定して検出)しているの確認。 htmlはまだ未対応です。

AVIRAは週末休み中なので、>775から変化なし。大体、パターンファイルが>771の7.01.03.178から更新されてないし。
一応検出名書いておくと、
 1199.exe - DR/Pcclient.Gen
 89238632.zip - TR/Crypt.ZPACK.Gen
 mm.exe - TR/Crypt.ZPACK.Gen
 flashplayer.exe - TR/PSW.Agent.25088
 mpg.scr - TR/Dropper.Gen
でした。(htmlはスルー) ヒューリスティック検出に正式名が付くとしても、それは月曜日以降ですね。

# AVIRAは、この週末のデータベース更新休みが無ければ、本当に良いソフトなのだが...時差の関係で
 ドイツより日本の方が月曜日が来るのが早いから、週末〜(特に)月曜日が怖いんだよね。

>>773 Thanks. 結構対応済みだったんですね。

>>790 でも、呼び出しのスクリプトも検出できるようになると、感染サイトを見つけるのが楽になるというメリットも...(汗
792名無しさん@お腹いっぱい。:2009/05/10(日) 01:57:37
んー、今はドメインやすいからな。
激安で30円くらい。

ドメイン取得→サーバーにドメイン関連づけ→FTPアップロード→詐欺・搾取行為→サイト閉鎖
極端に早ければ、1日で消えるドメインもある。

jpは高いけれど、それ以外は…。
793名無しさん@お腹いっぱい。:2009/05/10(日) 09:15:53
>>772
カスペ返答(呼び出しのhtmlも含む)

ma.exe - Trojan.Win32.Inject.xvb
Ms06014.htm - Trojan-Downloader.VBS.Agent.io
Ms07004.htm - Exploit.JS.Agent.aev
Real.htm - Exploit.JS.RealPlr.ob

These files are already detected. Please update your antivirus bases.

MsAccess.htm - Trojan-Downloader.JS.Agent.dzg
watch.htm - Trojan-Downloader.JS.Iframe.avu

New malicious software was found in these files. Detection will be included in the next update.
794699:2009/05/10(日) 15:26:43
gumblar.cnでまた新種が来ましたよ、と。(2009/05/10版)

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=311
 DL virus/解凍 virus

【中身】
id2_20090510.pdf
 MD5 d1ae4eb477958cebd027ab7db9f791d3
 http://www.virustotal.com/jp/analisis/6651d83d6ae3bae1d78ed99de965097a (4/40)
id3_20090510.swf
 MD5 ebea6bb122d89db0b642cbdffbeb9a4c
 http://www.virustotal.com/jp/analisis/46a5478d1f020061a24b225f26860f6f (0/40)
id10_20090508.exe
 MD5 a4205de6f74307b5383b70a599d3eafd
 http://www.virustotal.com/jp/analisis/ea971a2d5ead93c4e5562bfd87e5f274 (5/40)

Kaspersky 2009/05/10 14:07:00
 id2 HEUR:Exploit.Script.Generic,id3とid10 スルー,全て提出済

AVIRA 7.01.03.178
 全てスルー,Web上で提出時の自動判断 全てUNDER ANALYSIS
795699:2009/05/10(日) 15:28:20
>>794
あ、前の書き直して転用したから、1ヶ所直ってない。(汗

id10_20090508.exe → id10_20090510.exe です。
796699:2009/05/10(日) 15:58:17
おまけです。偽AVソフト

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=312
 DL virus/解凍 virus

MD5 :8bfeb17f61963a037fa2e76c8e67c66f
http://www.virustotal.com/jp/analisis/dcda0971dac492260766ce9ecfc00c58 (9/40)
配布元 winbestsoftdownload●com/winav.exe

AVIRA 7.01.03.178 - スルー,Web上で提出時の自動判断 UNDER ANALYSIS
Kaspersky 2009/05/10 14:07:00 - Trojan.Win32.FraudPack.mmx,検出可

Kasperskyは、VTでは未検出ですが、実際には検出します。
797名無しさん@お腹いっぱい。:2009/05/10(日) 16:11:22
Rising 2009 21.37.60 (21.28.60.00)
>>732
9\install_flash_player.exe: Trojan.DL.Win32.VB.zuf
5+1=6/12
>>794>>796
スルー
検体提出完了
798名無しさん@お腹いっぱい。:2009/05/10(日) 16:24:32
>>794,>>796
AntiVir9 全部スルー。Aviraにはftp経由で提出完了。他社はこれから適当に提出してきます。
799名無しさん@お腹いっぱい。:2009/05/10(日) 16:40:51
>>794>>796
McAfeeに提出させて頂きました。
800名無しさん@お腹いっぱい。:2009/05/10(日) 17:01:11
>ドイツより日本の方が月曜日が来るのが早いから、週末〜(特に)月曜日が怖いんだよね。

何故か日本時間で月曜日迎えるとAviraはシグネチャアップデートできるんだけど・・・
確かに向こうはまだ日曜日のはずなんだけど
801699:2009/05/10(日) 17:25:25
>>800
その辺は、アップデートしたりしなかったりという印象ですね。>AVIRA

例えば、今は、AVIRAは>771の頃から、既にかれこれ30時間以上、データベースのアップデートが行われていません。
平日は1日に数回以上のアップデートがあるので、明らかに平日と休日で対応が違います。
ちなみに、私がWeb上で提出した週末分のマルウェアも、全部ステータスが『分析中』から全く更新されません。

それが悪いかどうかは使用者の環境などにもよると思いますが、AVIRAの一つの特徴であるとは感じます。

# 私はPersonal版を使っていることもあって、そういうものだ、と割り切っていますが...
802名無しさん@お腹いっぱい。:2009/05/10(日) 17:36:10
>>801

今週は確かにアップデートしてないみたいですね、土曜からアップデートしてません
http://www.avira.com/en/threats/section/vdfhistory/index.html

ただ週によっては土日にも1〜2回程度アップデートしてることもあるようです
Aviraはこれさえなければ現時点で最強のアンチウイルスだと思います、規模が小さい会社だという話しを聞いてるからなお更凄いと思う
SymantecやPandaも良いベンダーだけど対応速度が安定してないのが弱点ですね・・・
各ベンダーどっかこっかに欠点があるのがね・・・

あとはTrendMicroにも期待してます
803699:2009/05/10(日) 18:15:59
>>802
>Aviraはこれさえなければ現時点で最強のアンチウイルスだと思います、規模が小さい会社だという話しを聞いてるからなお更凄いと思う

同意です。

体験版などで色々なベンダーを試してみて感じているのは、完璧なベンダー(常に100点をとる)は存在しないけど、
満足できるレベル(大体の場合90点以上)のベンダーは存在するということです。

AVIRAは、私のようなアブノーマルな人(wが使っても、明らかに満足できるレベルに到達していると思います。
まあ、スレ違いなので、この話はこの辺で。
804名無しさん@お腹いっぱい。:2009/05/10(日) 18:31:33
>>12の更新頻度調査では、曜日毎のアップデート回数も見れるので
土日に手を抜いてるベンダーは一目瞭然だっだりする
805名無しさん@お腹いっぱい。:2009/05/10(日) 18:39:12
Rising 2009 21.37.62 (21.28.62.00)
>>672
b\av.26.0.exe: Trojan.Win32.FakeAV.mz
5(+1)+1=6(+1)/12
>>796
winav.exe: Trojan.Win32.FakeAV.na
1/1

Risingは月〜木5回、金〜日2・3回
毎日更新はあるものの放置期間長いし、定義反映が遅いからあんま意味ない・・
806名無しさん@お腹いっぱい。:2009/05/10(日) 18:49:09
>>804
殆どのベンダーが土日は手抜きしてる件
土日も気合入れてるのはアップデート回数が多いKasperskyとBitDefenderぐらい、あとはSymantecもか
McAfeeとPandaはクラウドベースだからアップデート回数はちょっと参考に出来ない(TrendMicroも?)
807名無しさん@お腹いっぱい。:2009/05/10(日) 19:33:17
>>794
>>796
ここまでSymantecとa-squaredとMalwarebytesに提出済み
808699:2009/05/10(日) 20:22:18
>>794
Kaspersky 2009/5/10 19:32:00
 id10_20090510.exe - Trojan.Win32.Agent.cfuc 確定

 id2とid3は変化なし。
809名無しさん@お腹いっぱい。:2009/05/10(日) 23:21:56
>>794,>>796
カスペ返答。id2は定義確定。id3は白判定(えー

id10_20090510.exe - Trojan.Win32.Agent.cfuc
winav.exe - Trojan.Win32.FraudPack.mmx
These files are already detected. Please update your antivirus bases.

id2_20090510.pdf - Exploit.Win32.Pidief.atx
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

id3_20090510.swf
No malicious code was found in this file.
810699:2009/05/10(日) 23:43:41
>>809
どうもです。む〜、最近、カスペのおじさんは私に返答メールくれないなぁ。 検体送りすぎて、ウザがられてるのかも。(w

今回もid2(pdf)とid10(exe)が黒で、id3(swf)は白ということは、5/8版と同じですね。
ちなみに、現時点で5/8版はこんな感じです。

id2_20090508.pdf - http://www.virustotal.com/jp/analisis/1ef90779c179626ca352412f936d1802 (8/40)
id3_20090508.swf - http://www.virustotal.com/jp/analisis/0cf86ec9375039806d5f58c4ad658398 (5/40)
id10_20090508.exe - http://www.virustotal.com/jp/analisis/5aa3cfdf8902a350091882239168a291 (23/40)

イタチごっこだなぁ...しかし、よくもまあこんな簡単に、ほぼ全社の検知をくぐり抜ける(>794)ような改変ができるもんだ。
ちょっと感心したりして。>gumblar.cn
811名無しさん@お腹いっぱい。:2009/05/10(日) 23:46:03
>>809

KIS2010の新砂箱(仮想環境での実行)をみると、予想通り

id10実行→レジストリへの不明なドライバの登録、コードインジェクション、スタートアップの登録、プロセスの終了etc→疑わしい。
id3実行→特に何もなし。
812名無しさん@お腹いっぱい。:2009/05/10(日) 23:47:57
ここで質問するのはスレ違いな気もして悪いんだが、KIS2010って仮想実行機能もできたの?
今年のバージョンのウザいシステム監視だったかそんなのがなくなってればまた導入したいんだが…
813名無しさん@お腹いっぱい。:2009/05/11(月) 01:06:47
>>806
ドイツは基本的に土日は働いちゃいけないことになってるからな。
814699:2009/05/11(月) 01:54:23
寝ようと思っていた所に、休みのはずですが、AVIRA来ました。
どうやら、今回は日曜日の夜に週末分をまとめて処理している模様。 乙ですね。>AVIRA

AVIRA9 7.01.03.179

>794
 id10_20090510.exe - TR/Agent.cfuc
 id2とid3は、まだ未反応。
>796
 winav.exe - TR/FraudPack.mmx

2つ検出可になりました。 ではお休みなさい。ノシ
815名無しさん@お腹いっぱい。:2009/05/11(月) 02:12:11
>>813
特定職種以外は原則禁止されているのは、土日じゃなくて日曜と祝日じゃなかった?
816名無しさん@お腹いっぱい。:2009/05/11(月) 10:17:54
散布元がこれだけファイルをコロコロ変えてくるとシグネチャ定義では対応できません。

by kaspersky lab
817名無しさん@お腹いっぱい。:2009/05/11(月) 11:47:40
シグネチャで退治できないってことは、
オフラインスキャン(特に、外付けブートから)で退治できないってことにならないか > ベンダ問わず
818名無しさん@お腹いっぱい。:2009/05/11(月) 13:21:15
tp://www3.atword.jp/gnome/2009/05/08/gumblarcn-patissier-make-sure-new-daily-variety/
の文章に勝手に「by kaspersky lab」を付け加えるとか
いかにも雑音のやりそうなことだ
819名無しさん@お腹いっぱい。:2009/05/11(月) 14:52:33
>>818
スレ違い

>>817
ヒューリスティックの出番ですよ。なんとなくスレ違いっぽい気がしますが。
820名無しさん@お腹いっぱい。:2009/05/11(月) 14:54:57
セリフには元ネタがあったのかww
821名無しさん@お腹いっぱい。:2009/05/11(月) 17:35:32
>>775
Rising 2009 21.38.01 (21.29.01.00)
1199.exe: Backdoor.Win32.PcClient.tom
mpg.scr>>1199.exe: Backdoor.Win32.PcClient.tom
1(+2)+2=3(+2)/6

>>732
Risingより
文件名:hgcheck.exe
文件名:Install_2010-1.exe
文件名:ProDMInstall.exe
不是病毒
6/12(3体不是病毒、残り3体解析待ち)
822 ◆W32/Vael.o :2009/05/11(月) 17:46:13
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=313
Malware-Pack76

例によってMcAfeeには提出済み
823名無しさん@お腹いっぱい。:2009/05/11(月) 18:32:22
>>822
Rising 2009
3\win.exe>>68: Trojan.PSW.Win32.GameOL.yqw
6\softwarefortubeview.40013.exe: Trojan.DL.Win32.Undef.ehy
4\Install_1_1_.exe: Suspicious: Packer.Win32.UnkPacker.c
検体提出完了
824名無しさん@お腹いっぱい。:2009/05/11(月) 19:52:35
久々です。NOD32 V3.0 定義4064
>>822


8/12
b\sumo.exe Win32/Adware.Agent.NMA アプリケーション
a\shoptime.scr Win32/TrojanDownloader.Banload.PAAの亜種 トロイの木馬
8\antivirus.exe Win32/Adware.PrivacyComponentsの亜種 アプリケーション
7\bradesco.com Win32/TrojanDownloader.Banload.PAAの亜種 トロイの木馬
6\softwarefortubeview.40013.exe Win32/TrojanDownloader.Zlob.CZK トロイの木馬
5\index1.gif Win32/TrojanDropper.VB.NHKの亜種 トロイの木馬
3\win.exe Win32/PSW.WOW.NJX トロイの木馬
1\setup.exe Win32/Adware.Virtumonde.NEK アプリケーション
未検出検体は提出済。
825名無しさん@お腹いっぱい。:2009/05/11(月) 20:37:18
>>822
AntiVir (9/12) 提出してきます。
826名無しさん@お腹いっぱい。:2009/05/11(月) 20:38:00
>>822
NIS2009で、5/12 (3、4、6、7、8)
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
827名無しさん@お腹いっぱい。:2009/05/11(月) 20:49:32
>>822
BitDefender10Free (3/12)
a-squared Free 4.5 (9/12)
828699:2009/05/11(月) 22:38:34
>>822 乙です。
Kaspersky 2009/05/11 21:33:00 - 5/12

0 -
1 -
2 -
3 - Trojan-GameThief.Win32.WOW.iic
4 -
5 - Trojan-Downloader.Win32.FraudLoad.eiw
6 - Trojan-Downloader.Win32.Small.jro
7 -
8 - not-a-virus:FraudTool.Win32.PrivacyCenter.r
9 - not-a-virus:AdWare.Win32.Agent.nmd
a -
b -

検出しなかったもの7個を提出します。
829699:2009/05/11(月) 23:12:52
gumblar.cn新種です。(2009/05/11版)

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=314
 DL virus/解凍 virus

【中身】
id2_20090511.pdf
 MD5 : 66981dd1aaa190dc80728d74980410b3
 http://www.virustotal.com/jp/analisis/8658a3e09f215cb884f514feeab3614d (2/40)

id10_20090511.exe
 MD5 : 2c54c724f04950116b59da025ef57ed5
 http://www.virustotal.com/jp/analisis/5830538b48fb2cc53217114205d57bc8 (4/40)

今日はid3が落ちてきませんでした。

Kaspersky 2009/05/11 21:33:00
 id2 HEUR:Exploit.Script.Generic,id10 スルー,提出済

AVIRA 7.01.03.183
 全てスルー,Web上で提出時の自動判断 全てUNDER ANALYSIS


マジで、何でこんな簡単にすり抜ける改変ができるんだ...
830名無しさん@お腹いっぱい。:2009/05/11(月) 23:16:44
おいおい もうかよ (汗) なんてこったい
831699:2009/05/11(月) 23:51:29
>>810,814
AVIRA返答。gumblar.cn 5/10版は
id2_20090510.pdf - EXP/Pidief.gts
id3_20090510.pdf - SWF/Drop.Small.LD.
id10_20090510.exe - TR/Agent.cfuc    の全黒でclose。

>>829
Kaspersky返答。gumblar.cn 5/11版
id2_20090511.pdf - Trojan.JS.Agent.act,黒
832名無しさん@お腹いっぱい。:2009/05/12(火) 00:09:34
>>829
McAfeeに提出させて頂きました。
833名無しさん@お腹いっぱい。:2009/05/12(火) 00:26:56
>>829
Risingに提出完了
834名無しさん@お腹いっぱい。:2009/05/12(火) 00:31:28
>>829
たぶん、このUPX改造してあって
Unpackに失敗して処理が追えない。
Dr.WEBに投げると解凍でエラーになる。
835名無しさん@お腹いっぱい。:2009/05/12(火) 00:36:12
>>822,828
Kaspersky返答。未検出のファイルについて下記の通り。
# 何か、今日は返事が良く来る。もしかして、Kasperskyって最初の検体提供者に返事してるんだったりして...

0 - 白
1 - Trojan.Win32.Stuh.mkt ,黒
2 - 白
4 - not-a-virus:FraudTool.Win32.Agent.nf ,黒
7 - Trojan-Downloader.Win32.Banload.aduk ,黒
a - Trojan-Downloader.Win32.Banload.adul ,黒
b - 白

黒 5+4,白 3でclose。 今日はこんなところで。ノシ
836699:2009/05/12(火) 01:27:46
>>829,831
id10_20090511.exe - Trojan.Win32.Agent.cgch ,黒

検体送りすぎたせいか、FileScannerも併用しろとのお達しが...(w

http://www.kaspersky.com/scanforvirus で怪しいファイルをアップロードすると、ファイルを自動検査してくれます。
他の人が提出していて、既に結果が確定しているファイルについては、結果が表示されます。

id10_20090511.exeはメールの返答来ていませんが、FileScannerでは検査結果が表示されます。上記はその結果です。

ん〜、今度から小さい物はAVIRAのWEB提出同様、Kasperskyはメール止めてFileScannerだな...(苦笑
837名無しさん@お腹いっぱい。:2009/05/12(火) 04:14:14
>>829
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
838名無しさん@お腹いっぱい。:2009/05/12(火) 07:08:31
>>836
何を言ってるんだ。インストールが必要なオンランスキャンではないんだから。
ファイルスキャナで確認して検知しない物だけを送るんだよ。Dr.WEBもね。
839名無しさん@お腹いっぱい。:2009/05/12(火) 20:10:46
というか、カスペは検出が追いつかないから Web Traffic で gumblar.cn へのアクセスを遮断してるんだけどね
840699:2009/05/12(火) 23:11:26
>>838
いや、今まではKasperskyもAVIRAも、自機に入っているものを手動でパターンファイルを最新にして、
それでも検出しないものだけを送っていたんです。

ただ、昨日確認した所では、Web上で使われるパターンファイルの方が更新早いようで、Trojan.Win32.Agent.cgch
なんかは、手元のKasperskyで検出できなくても、FileScannerでは黒判定が出てました。

ということで、誰かが既に提出して黒判定が出ている分は、自分のPCに入っているKasperskyで検出しなくても
FileScannerで検出できたものは、重複作業をしないために送らないでくれということかと判断してます。

ま、次からですね...これをやるのは。

なお、5/12 23:00現在、gumblar.cnから落ちてくるファイルは、昨日の>829と同じものでした。
(いつもキャッシュを全消ししてから再度落としているんで、gumblarは今日は休みって事で良いかと。)
841名無しさん@お腹いっぱい。:2009/05/12(火) 23:24:07
>>838
多数のベンダに提出してると、そこまでチェックしてられないこともありますよ。
未検出の分のみを提出するのが理想ではありますが、ぶっちゃけそこまでやってられません。

>>829
AntiVir exeのみ検知。pdfはスルー。提出しました。他も、現時点のVTでスルーしてるとこに送っておきます。
842名無しさん@お腹いっぱい。:2009/05/12(火) 23:43:31
Rising 2009 21.38.14 (21.29.14.00)
>>767
id10_20090508.exe: Worm.Win32.Undef.gk
1/3
>>822
1\setup.exe: AdWare.Win32.Mnless.ave
7\bradesco.com: AdWare.Win32.Mnless.avf
a\shoptime.scr: AdWare.Win32.Mnless.avf
2(+1)+3=5(+1)/12
843699:2009/05/13(水) 00:07:50
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=315
 DL virus/解凍 virus

偽Antivirusです。VTで検知しないベンダーが多かったんで上げます。
配布元はリンクを悪用されるとちょっと不味いので、ナイショ。(アドレス踏むと、詳しくない人はインストールしちゃうようになっているので。)

md5 :4b873a8d3a97f52d20afe30ee0012854
http://www.virustotal.com/jp/analisis/213d0017d7446eee59a46ce093c8b135 (7/40)


AVIRA 7.01.03.191 - スルー,Web上で提出時の自動判断 UNDER ANALYSIS
Kaspersky 2009/05/12 21:53:00 - スルー (FileScanner - スルー)

AVIRAとKasperskyに提出済み。
844699:2009/05/13(水) 00:17:36
>>836,838,840-841
スミマセン。KasperskyからFileScannerに放り込めって書かれた理由がわかりました。

Kasperskyに送ったメールで、1個ファイルを添付し忘れたのがありました。orz
それに対する返信メールに書かれていたのでした。(>843のメールする時に、メール一覧見て気がついた。(汗 )

つまり、
 自分)Virusっぽいんだけど判断して
 カスペ)オイオイ、ファイルが添付されてねーよ、このメール。
      しょうがねぇ、FileScannerに放り込めって書いておくか。

ということで、Kasperskyの中の人が気を利かせてくれたのでした。 お騒がせして申し訳ない...m(_ _)m
# 大量に連投している最中だったんで、逆に向こうも気がついたんじゃないかと。
845699:2009/05/13(水) 00:23:05
>>843
レス書いてる内にKaspersky返答。
 codec.exe - Trojan-Downloader.Win32.FraudLoad.ejt ,黒
 New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
846名無しさん@お腹いっぱい。:2009/05/13(水) 00:27:09
>>843
699さんに要望なんですが・・・

できるなら各ベンダーに検体提出してくれますか?(VT上の全ベンダーに提出する余裕がないなら大手ベンダーだけでも)
847名無しさん@お腹いっぱい。:2009/05/13(水) 00:32:03
>>843
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
848名無しさん@お腹いっぱい。:2009/05/13(水) 00:32:42
>>843
AntiVir スルー。各社に提出します。(MicrosoftとSophos以外はヒューリスティックで検知なのかな?)
849名無しさん@お腹いっぱい。:2009/05/13(水) 00:35:37
>>846
分業でいいじゃない。拾ってきてくれるだけで十分有難い。一人で全部やっちゃったら、ここに持ち込む意味ないっしょ。

ぶっちゃけ、拾ってきて各社に提出してると、ここにUPして報告してる暇ないよ。
日替わりのなんたら■scrとか、flashplayer.exeなんか、提出はしてるけどここに持ち込む余裕ないし。
850名無しさん@お腹いっぱい。:2009/05/13(水) 00:44:07
>>846
まあそりゃそうだけど・・・
ここまで検体アップのサイクルが早いと他の提出する人も大変じゃないかと・・・

ただ「一人で全部やっちゃったら、ここに持ち込む意味ないっしょ。」には同意だしむしろそれこそこのスレの意味があるからこのスレにおいてこの問題は難しいかもね・・・
851名無しさん@お腹いっぱい。:2009/05/13(水) 00:44:50
レスアンカー間違えたorz

850のレス先は846ではなく>>849です
852名無しさん@お腹いっぱい。:2009/05/13(水) 00:55:14
>>844
>Kasperskyに送ったメールで、1個ファイルを添付し忘れたのがありました。orz
あるある。わたしも、さっき1通添付し忘れて送信しちまったw

>>843,847
Avira、カスペ、Symantec、a-squared、Malwarebytes が被っちゃったけど、
テンプレのWikiの宛て先全部(nProtect除く)と、Malwarebytes、NictaTech に提出完了。

>>850-851
提出報告の後、どの位で、一般配布パターンで検知できるようになったかの報告をするって意義は残るけどねー。
報告数が多いと、流れが速すぎて、検知報告する間もないという問題も。
853699:2009/05/13(水) 01:09:18
>>846
や、流石にそれは難しいなあ。

自分の空き時間でマルウェア新種見つける
 → KasperskyとAVIRAで検出有無確認
 → Virustotalに投げる
 → 情報整理して、未検出分はKasperskyとAVIRAに提出
 → ロダにアップしてここに書き込み

なんで、これ以上やると必要な睡眠時間が削られちゃう。(汗

1) >849さんの通り、分業を期待してここに投げているのが一つ。
2) もう一つは、Virustotalには必ず投げているので、基本的には時間がかかっても検体は各ベンダーに届くはず。
ということで勘弁してくれると嬉しいな。(w

# 個人的には、自分がヘビーに使っているKasperskyとAVIRAの2つをヘルプする意味で、重点フォローしてるので...
 他のベンダーは、自分と同じように、そのベンダーのヘビーユーザーが提出してくれていることを期待してます。(w
854846&851:2009/05/13(水) 01:19:29
>>853
>自分と同じように、そのベンダーのヘビーユーザーが提出してくれていることを期待してます。(w

それをしたくても出来ないという状態のNorton&Panda&AviraSuite使いのぼやきです・・・
NortonとAviraは毎度提出報告があるから心配してないけどPandaは他の人が提出してくれたかどうかがわからずやや不安なんですよね・・・
とりあえず6月になればまた検体提出の復帰できるかもしれないけど・・・
855名無しさん@お腹いっぱい。:2009/05/13(水) 01:42:05
>>854
一応、このスレに出てきたのは全部メールで提出してますが、返事来ないので対応状況は不明です。>Panda
返事来ないベンダーは、時々、不安になるよね。

メールBox溢れたり、いきなりアドレス消滅したりする所あるから。
856名無しさん@お腹いっぱい。:2009/05/13(水) 01:44:46
>>843
まかふぃー自動返答。

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
codec.exe |new detection |fakealert-cm |Trojan |yes

のーとん自動返答
手動解析に回します。Close。
857名無しさん@お腹いっぱい。:2009/05/13(水) 06:57:11
>>850
>ここまで検体アップのサイクルが早いと他の提出する人も大変じゃないかと・・・
それを1人に押し付けたらもっと大変だと思わないのか?
理想はそれぞれのプロダクトに担当が張り付くことだけど、
現状でこれに近いんじゃないの?
858名無しさん@お腹いっぱい。:2009/05/13(水) 15:31:02
>>829
Rising返答
1. Filename:id10_20090511.exe
  Virusname:Trojan.Win32.Nodef.jak
2. Filename:id2_20090511.pdf
  No malware.
859名無しさん@お腹いっぱい。:2009/05/13(水) 17:40:43
>>843
http://www.virustotal.com/analisis/3c61f40670b05fad4c27755cd16675ec

対応したベンダー:Avira、AVG、Kaspersky、McAfee、Symantec

avast、NOD32、Panda、TrendMicroはスルー
860名無しさん@お腹いっぱい。:2009/05/13(水) 17:48:40
>>829
id10_20090511.exe
http://www.virustotal.com/analisis/d294847409d245c59e55ac2b8fc54160

対応したベンダー:Avira、avast!、AVG、BitDefender、Kaspersky、McAfee、Panda
スルー:NOD32

>マジで、何でこんな簡単にすり抜ける改変ができるんだ.

最新の脅威に素早く対応できるようにMcAfeeやTrendMicroといった特定のベンダーはクラウド化したりSymantecはパルスアップデートで対抗するようにしてるんだけどね〜・・・
これらが検体提出後のウイルス対応時間が平均3時間で対応できるようになれば言うことないんだが・・・
861名無しさん@お腹いっぱい。:2009/05/13(水) 18:08:26
Rising 2009 21.38.21 (21.29.21.00)
>>490
b\installing_test.exe: Trojan.Spy.Win32.Undef.ec
4+1=5/12
>>617
6\ppc.exe: Trojan.Win32.StartPage.mlh
6+1=7/12
>>726
3522938.exe: Trojan.PSW.Win32.GameOL.zla
3522938.zip>>3522938.exe: Trojan.PSW.Win32.GameOL.zla
2/2
>>772
ma.exe: Suspicious: Packer.Win32.UnkPacker.b → Trojan.PSW.Win32.GameOL.zla
1/1
>>829
id10_20090511.exe: Trojan.Win32.Nodef.jak
1/2(Risingより>>858と同じ返答メール)
862699:2009/05/14(木) 21:27:25
gumblar.cn新種(2009/05/14版)

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=316
 DL virus/解凍 virus

【中身】
id2_20090514.pdf
 MD5 : ade37396124f6fa3bcad71f199972a2d
 http://www.virustotal.com/jp/analisis/7c307342479f590b317ebab2de64c2c0 (2/40)
id10_20090514.exe
 MD5 : 9353d0b93801e1c32f7e9cee697b08d4
 http://www.virustotal.com/jp/analisis/7765a30a818448d0f2bd2803061507fd (4/39)

今日も私の所にはid3が落ちてきませんでした。

Kaspersky 2009/05/14 19:34:00
 id2 HEUR:Exploit.Script.Generic,id10 スルー,FileScanner スルー,提出済
AVIRA 7.01.03.204
 全てスルー,Web上で提出時の自動判断 全てUNDER ANALYSIS(提出済)
863名無しさん@お腹いっぱい。:2009/05/14(木) 22:10:06
Rising 2009 21.38.34 (21.29.34.00)
>>490
9\codec.exe: Trojan.DL.Win32.Nodef.pw
5+1=6/12
>>588
index.html2.1: Hack.Exploit.Win32.PDF.jsg
1+1=2/6
>>732
0\ProDMInstall.exe>>$TEMP\twads.exe>>TargetWebADS.dll: Trojan.Win32.FakeAlert.bs
6+1=7/12
>>862
スルー
検体提出完了
864名無しさん@お腹いっぱい。:2009/05/14(木) 22:25:21
>>862
McAfeeに提出させて頂きました。
865名無しさん@お腹いっぱい。:2009/05/14(木) 22:32:13
>>862
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
866699:2009/05/14(木) 23:03:41
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=317
 DL virus/解凍 virus
 偽AntiVirus × 5個

install.exe 配布元 securitytrustscan●com/download.php?affid=08044
 http://www.virustotal.com/jp/analisis/a9d66be9f45db238fa0fa464ff9096a0 (9/40)
 AVIRA スルー / Kaspersky スルー
install2.exe 配布元 intellectsecurityshield●com/download.php
 http://www.virustotal.com/jp/analisis/4c47ff1d408055ee7fb892d48016fb9a (9/39)
 AVIRA スルー / Kaspersky スルー
install3.exe 配布元 rankscan4●info/download/install.php
 http://www.virustotal.com/jp/analisis/a8c51fe51d8640678ee8498c6597b91d (5/40)
 AVIRA スルー / Kaspersky - HEUR:Trojan.Win32.Generic
install4.exe 配布元 websecuritypolice●com/download.php
 http://www.virustotal.com/jp/analisis/d2f896950f7f01fc68f29c592b89866e (16/39)
 AVIRA - TR/Dldr.FraudLoad.eka.4 / Kaspersky - Trojan-Downloader.Win32.FraudLoad.eka
IAInstall.exe 配布元 key4scan●info/download/index.php
 http://www.virustotal.com/jp/analisis/11834f5325bcfa336a2f1bba37bcfa11 (10/40)
 AVIRA - スルー/ K - HEUR:Trojan.Win32.Generic

ちょっと多いのでMD5は省略。AVIRAとKasperskyに提出済。 今日は新種の遭遇率が高い...
867699:2009/05/14(木) 23:13:09
>>866
コメント書いてる内にAVIRAから3個返答。

install.exe - TR/Fakealert.YW
install2.exe - TR/Fakealert.YY
IAInstall.exe - 黒(名前未定)

AVIRA >862は解析中。 で、AVIRAを書いている内にKasperskyから返答。

install3.exe - Trojan.Win32.Tdss.adav
IAInstall.exe - Trojan.Win32.Tdss.adan

Kasperskyも >862は返答無し。(Kasperskyは、上2個のHEURの分だけ隔離フォルダから先行して送ったので、その分だけ先に返答が来た)
868名無しさん@お腹いっぱい。:2009/05/14(木) 23:27:15
>>866
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
869名無しさん@お腹いっぱい。:2009/05/14(木) 23:32:43
>>866
今年のマカフィーは良い気がするね
870699:2009/05/14(木) 23:52:08
>>862 AVIRA返答
 id2_20090514.pdf - EXP.Pidief.9585
 id10_20090514.exe - 黒(名前未定)

>>866-867 AVIRA返答追加
 install3.exe - 黒(名前未定)
>866-867をまとめると、AVIRA、既検出分も含めて全部黒。

>>866-867 Kaspersky返答追加
 install.exe - Trojan-Dropper.Win32.Agent.apaw
 install2.exe - Trojan-Dropper.Win32.Agent.apax
>866-867をまとめると、Kasperskyも、既検出分も含めて全部黒。

つか、今日はAVIRAもKasperskyもエライ元気だ。
871名無しさん@お腹いっぱい。:2009/05/14(木) 23:52:12
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=318
infected

がんばってるなぁ。んじゃ、Fake AdobeFlashPlayerでも。おまけに、gumblar.cnを呼び出すスクリプトの
仕込まれているhtmlも入れてあります。(おまけはAvastとソフォスとGDATAしか反応しません)

検体入手元
p://addobeflashplayer■com/flashplayer/thankyou/?installer=Flash_player_10_for_windows
p://addobeflashplayer■com/get/flashplayer/current/install_flash_player■exe

VT
ttp://www.virustotal.com/analisis/5d6e8f1c4e61ec70f9aeb8dac954ea87 install_flash_player■exe(16/40)
872名無しさん@お腹いっぱい。:2009/05/15(金) 00:13:59
>>866>>871
Risingに提出完了
873699:2009/05/15(金) 01:10:10
>>871 乙です。
なんか、同じアドレスで>871さんと違うのが落ちてきましたので、上げときました。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=318
 DL virus/解凍 virus

MD5 :5e06ea9b4aecffd96fc9e71cbc52302b
http://www.virustotal.com/jp/analisis/56af703e9e0ecedd0e64ff99a841fc94 (12/40)
AVIRA - TR/Spy.ZBot.toz , Kaspersky - Trojan-Spy.Win32.Zbot.toz

AVIRAもKasperskyも検出するので、特に検体提出はしてません。では。ノシ
874699:2009/05/15(金) 01:12:19
>>873
おっとっと、アドレス直し忘れました。 >872は
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=319 です。318は>871さんの方ですね。
875名無しさん@お腹いっぱい。:2009/05/15(金) 01:25:25
>>874
Risingに提出完了
876名無しさん@お腹いっぱい。:2009/05/15(金) 04:38:25
>>866
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
iainstall.exe |inconclusive | | |no
install.exe |inconclusive | | |no
install2.exe |inconclusive | | |no
install3.exe |inconclusive | | |no
install4.exe |new detection |generic downloader.x!bt |Trojan |yes
877名無しさん@お腹いっぱい。:2009/05/15(金) 04:40:46
>>871
McAfeeに提出させて頂きました。

AVERT自動返信

access.html |inconclusive | | |no
asagaya-drum.com.htm|inconclusive | | |no
asagaya-drum_map.htm|inconclusive | | |no
bar.html |inconclusive | | |no
cafe-melody.net.htm |heuristic detection |with fishy extension |Application |no
cafemenu.html |inconclusive | | |no
day0803.html |inconclusive | | |no
info.html |inconclusive | | |no
install_flash_player|inconclusive | | |no
link.html |inconclusive | | |no
link.html |inconclusive | | |no
melody0903.html |inconclusive | | |no
menu.html |inconclusive | | |no
mon0905.html |inconclusive | | |no
rental.html |inconclusive | | |no
staff.html |inconclusive | | |no
top.html |inconclusive | | |no
878名無しさん@お腹いっぱい。:2009/05/15(金) 04:42:06
>>874
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install_flash_player|inconclusive | | |no
879名無しさん@お腹いっぱい。:2009/05/15(金) 06:55:11
>>874
各社に一通り提出完了。うちでは>>871しか落ちてこないので、OSのバージョンとか見てるんだろうか?
>862,>866も重複気にせず各社に一通り提出。
880名無しさん@お腹いっぱい。:2009/05/15(金) 17:32:01
>>874
1、文件名:install_flash_player.exe
病毒名:Dropper.Win32.Undef.wv
瑞星2009的21.29.42版本(瑞星2008的20.96.42版本)で対応予定
881 ◆W32/Vael.o :2009/05/15(金) 18:13:05
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=320
Malware-Pack77

例によってMcAfeeには提出済み
882名無しさん@お腹いっぱい。:2009/05/15(金) 18:46:25
Rising 2009 21.38.42 (21.29.42.00)
>>881
6\install_flash_player.exe: Dropper.Win32.Undef.wv
1/12
Risingに検体提出完了
883699:2009/05/15(金) 20:36:12
>>881 乙です。
Kaspersky 2009/05/15 18:57:00 - (9/12)

0 - スルー(FileScannerもスルー)
1 - スルー(FileScannerもスルー)
2 - Trojan.Win32.Agent2.jju
3 - Trojan.Win32.Agent2.jjr
4 - Trojan-Spy.Win32.Agent.arbd
5 - Trojan-Downloader.Win32.Agent.bxpa
6 - Trojan-Spy.Win32.Zbot.toz
7 - Trojan-Dropper.Win32.Agent.aozr
8 - スルー(FileScannerもスルー)
9 - Trojan-Downloader.Win32.CodecPack.fyr
a - Trojan.Win32.Agent.cgwf
b - not-a-virus:FraudTool.Win32.PrivacyCenter.ad

0,1,8は提出します。
884699:2009/05/15(金) 20:56:24
>>881
続いて、AVIRA9 2009/05/15 7.01.03.211 - (5+4/12)

0 - スルー,Web上での自動判断 - UNDER ANALYSIS
1 - スルー,Web上での自動判断 - UNDER ANALYSIS
2 - TR/Dldr.Agent.lop
3 - TR/AddRun.nkj
4 - スルー,Web上での自動判断 - UNDER ANALYSIS
5 - スルー,Web上での自動判断 - 黒.TR/Flood.Agent.BA
6 - TR/Spy.ZBot.toz
7 - TR/Drop.Agent.aozr
8 - TR/Dldr.Small.jrs
9 - スルー,Web上での自動判断 - 黒(名称未定)
a - スルー,Web上での自動判断 - 黒(名称未定)
b - スルー,Web上での自動判断 - 黒(名称未定)

5,9,a,bの4個は、提出時の自動判断で黒判定が出ていますので、シグネチャの更新待ち状態です。

この感じだと、KasperskyもAVIRAも、既に誰かが提出済みだったかもしれませんね。
885699:2009/05/15(金) 21:05:30
>>884
AVIRA返答。 早い...出してから5分もたってねーぞ。(;´д`)

0 - AdvOcr.dll - ファイルが壊れている。
4 - astakiller.dll - 黒,SPR/Tool.Obfuscator.DO.56

これは、私の前に誰かが提出してますね、間違いなく。
886699:2009/05/15(金) 21:50:29
http://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=321
 DL virus/解凍 virus

偽Antivirusですが、VTが凄いことに。
 http://www.virustotal.com/jp/analisis/19684b1c299d247482633a5e80190acb (0/40)

 AVIRA - スルー,解析後の返答メール - TR/Fakealert.ZA
 Kaspersky - スルー(FileScannerもスルー),提出済

最初は無害かと思ったのですが、AVIRAに提出したら黒判定出たので上げます。


あと、gumblar.cnが私の所から接続できなくなっています。
閉鎖したのか、丁度中身を新種に入れ替え中なのか、私が蹴られているのかは、現時点では不明。
887名無しさん@お腹いっぱい。:2009/05/15(金) 22:04:06
888名無しさん@お腹いっぱい。:2009/05/15(金) 22:32:54
Rising 2009 21.38.44 (21.29.44.00)
>>886
スルー
提出完了
889名無しさん@お腹いっぱい。:2009/05/15(金) 22:44:10
>>886
cAfeeに提出させて頂きました。
890699:2009/05/15(金) 22:44:57
>>879
や、申し訳ない。私の見間違いでした。

>871 addobeflashplayer●com/get/flashplayer/current/install_flash_player.exe
>874 addobeflashplayer●net/get/flashplayer/current/install_flash_player.exe

アドレス長いんで、ぱっと見て気がつかなかった。orz (comとnet) では、今日はこの辺で。ノシ
891888訂正:2009/05/15(金) 22:47:30
>>886
McAfeeに提出させて頂きました。
892891:2009/05/15(金) 23:05:40
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install_2004.exe |new detection |fakealert-av360 |Trojan |yes
893名無しさん@お腹いっぱい。:2009/05/16(土) 00:17:03
>>890
気にすんな。怪我の功名で検体が1個増えて良かったじゃないか。
894名無しさん@お腹いっぱい。:2009/05/16(土) 08:16:24
>>881,>>886
カスペ返答
(一部のファイルを展開して中身の個別ファイルも送っているので個数がちょっと変化してます)

追加検出分(アドウェア)新規4、既知8、新規1、白判定3−−−詳細省略

AdvOcr.dll,
System.dll,
xpsp3core.dll
No malicious code were found in these files.
895699:2009/05/16(土) 12:46:30
http://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=322
 DL virus/解凍 virus

ちょっと大きいので、1個だけでパックしてあります。
 :http://www.virustotal.com/jp/analisis/e6d8eac5648926335ffabc14e2db1ee6 (13/39)

 AVIRA9 7.01.03.215 - スルー,Web上で提出時の自動判断 UNDER ANALYSIS(提出済)
 Kaspersky 2009/05/16 11:10:00 - not-a-virus:FraudTool.Win32.PrivacyCenter.af
896699:2009/05/16(土) 13:03:25
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=323
 DL virus/解凍 virus

【中身】4個入っています。
pcdef.exe
 http://www.virustotal.com/jp/analisis/45a90b59925a3b52f517e689e320ecf7 (10/40)
 AVIRA9 7.01.03.215 - スルー,Web上で提出時の自動判断 UNDER ANALYSIS(提出済)
 Kaspersky 2009/05/16 11:10:00 - not-a-virus:FraudTool.Win32.WinDefender.z
install.exe
 http://www.virustotal.com/jp/analisis/2a2f1049dcbcf956667b99dde9ffec72 (5/40)
 AVIRA9 7.01.03.215 - TR/Crypt.ZPACK.Gen
 Kaspersky 2009/05/16 11:10:00 - スルー(提出済)
softwarefortubeview.45013.exe
 http://www.virustotal.com/jp/analisis/76c6b776ebdaf46f8e2e58839ab1cde0 (5/40)
 AVIRA9 7.01.03.215 - スルー,Web上で提出時の自動判断 UNDER ANALYSIS(提出済)
 Kaspersky 2009/05/16 11:10:00 - スルー(提出済)
flash.swf
 http://www.virustotal.com/jp/analisis/c2a65b6c85d721fe07a4c1e3680f8bd9 (4/39)
 AVIRA9 7.01.03.215 - スルー,Web上で提出時の自動判断 UNDER ANALYSIS(提出済)
 Kaspersky 2009/05/16 11:10:00 - スルー(提出済)

あと、gumblar.cnはmartuz.cnに引っ越ししたようです。後でチェックしてみます。
897名無しさん@お腹いっぱい。:2009/05/16(土) 13:15:04
>>895-896
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

Virustotalに「yarai」も参入して欲しいなー
898名無しさん@お腹いっぱい。:2009/05/16(土) 13:38:32
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=324
virus
gumlar.cn の引っ越し先 martuz.cn
899699:2009/05/16(土) 14:05:26
>>898 乙です。

今度の監視対象
 martuz.cn/vid/?id=2 (pdf)
 martuz.cn/vid/?id=3 (swf)
 martuz.cn/vid/?id=10 (exe)

私の所も、同じ物落ちてきました。これからKasperskyとAVIRAに提出するのと、GoogleのSafeBrowsingに通報します。
900名無しさん@お腹いっぱい。:2009/05/16(土) 14:53:05
>>898
martuz.cn(2009/05/16版) ファイル名が違いますが、>898と同じファイルです。

martuz_cn_id2_20090516.pdf
 MD5 : 04dc4937476502df14a0337cb25ba0cc
 http://www.virustotal.com/jp/analisis/68f2f5d58c281cd3acee4b83a65b9c98 (3/40)
martuz_cn_id3_20090516.swf
 MD5 : af12ba388ad7d678c301ec47c806c042
 http://www.virustotal.com/jp/analisis/1fa0d93b37d51d9e5f4a4ecdf173b982 (0/39)
martuz_cn_id10_20090516.swf
 MD5 : b76359a9e8345845b70fbfef2ba6d7bd
 http://www.virustotal.com/jp/analisis/acc653328550820558d0699417dd1467 (6/40)

Kaspersky 2009/05/16 12:38:00
 id2 HEUR:Exploit.Script.Generic,id3とid10 スルー,FileScanner スルー,提出済
AVIRA 7.01.03.215
 全てスルー,Web上で提出時の自動判断 全てUNDER ANALYSIS(提出済)

週末だというのに...というか、週末だからこういうドメイン名の変更とかするのでしょうが、
週末に対応速度の落ちるセキュリティシフトは、少し注意が必要ですね。

今回のも、相変わらずスルー率高いし、パスワード漏れてるところは、片っ端からmartuz.cnへのコード
書き込まれると思われますし。 ヤレヤレ...
901名無しさん@お腹いっぱい。:2009/05/16(土) 14:55:14
>>898
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

>>1
ThreatExpertはHP上でマトモな報告活動してるんで、テンプレに提出先を追加希望
902名無しさん@お腹いっぱい。:2009/05/16(土) 14:59:14
>>900
シマのBloodhoundって久しぶりに見た機がするなぁ
903名無しさん@お腹いっぱい。:2009/05/16(土) 15:42:29
>>896>>896>>898
McAfeeに提出させて頂きました。
904名無しさん@お腹いっぱい。:2009/05/16(土) 16:07:54
>>902
今のノートンのヒューリスティックはSuspiciousとつけられてるのが多いよね。
あとはPacked.Genericとか
905名無しさん@お腹いっぱい。:2009/05/16(土) 16:41:23
Rising 2009 21.38.51 (21.29.51.00)
>>881
4\astakiller.dll: Trojan.Spy.Win32.Agent.ero
1+1=2/12
>>895-896>>898
スルー
Risingに提出完了
906903訂正:2009/05/16(土) 18:23:03
>>903
>>895-896>>898
McAfeeに提出させて頂きました。
907699:2009/05/16(土) 18:49:51
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=325
 DL virus/解凍 virus

【中身】10個入っています。多いです。スミマセン
bot.exe
 http://www.virustotal.com/analisis/fec82363916bfaaa67c73cc8bd6cc021 (20/40)
bot2.exe
 http://www.virustotal.com/analisis/fea24d9c7767727ed8af47e512684bfd (26/40)
bot3.exe
 http://www.virustotal.com/analisis/bd51bcac66d251fdceecc3d5d15896f0 (6/40)
FlashPlayer.v9.exe
 http://www.virustotal.com/analisis/88788e18afb0cf569ecc6667aeb35088 (24/39)
Install_2019.exe
 http://www.virustotal.com/analisis/5cf11c703f73d557fe488d8d09c8e748 (6/40)
softwarefortubeview.40000.exe
 http://www.virustotal.com/analisis/482495ad93e2d1114097225d2b848336 (6/40)
load.exe
 http://www.virustotal.com/analisis/5ace926d217fc7e3ccd4cd37ff0c59fc (5/40)
main.exe
 http://www.virustotal.com/jp/analisis/6a411a8cd6f564dd94ab156296f9f683 (23/40)
moneta.exe
 http://www.virustotal.com/jp/analisis/6a2b297a9fc57176b7da58f70208bbbe (9/40)
zoom.exe
 http://www.virustotal.com/jp/analisis/ef6c82a0a485aedaf0cb84fcf54a3f77 (20/40)

こちらでの検出状況はVirustotalと同じです。検出できなかったものはKasperskyとAVIRAには提出済み。

本当は検出率が50%超のものは入れるの止めようと思ったのですが、大御所がスルーしてるのが意外とあるので...
908名無しさん@お腹いっぱい。:2009/05/16(土) 18:59:33
>>907
PandaとNorton
ともに8個検出
909名無しさん@お腹いっぱい。:2009/05/16(土) 19:04:03
>>907のSymantecがVirustotal結果ではスルーしてるが実際には検出してるもの一覧

FlashPlayer.v9.exe
load.exe
zoom.exe

>>907のVirustotalの結果は最新結果ですか?
910名無しさん@お腹いっぱい。:2009/05/16(土) 19:12:22
Rising 2009 21.38.52 (21.29.52.00)
>>881
3\59cpm.exe: Trojan.Win32.Delf.yod
2+1=3/12
>>907
FlashPlayer.v9.exe>>upx_c: Trojan.DL.Win32.Nodef.qa
main.exe: Trojan.Spy.Win32.Agent.epp
2/10
Risingに提出完了
911699:2009/05/16(土) 19:16:03
>>909
全部最新です。

で、手元のソフトが検出するのにVirustotal(VT)が検出しない、というのは結構良くあります。
Kasperskyでも同様のことは多々ありますので、多分VTで使われるエンジンorシグネチャが
実ユーザー(実際に製品を購入して使っている人)が使っているものよりも、古いのだと思います。

それに、各ソフトのヒューリスティックエンジンが捕まえるものは、あまりVTには反映されないようです。
Kasperskyの例だと、HEURの検出物は、ほぼ必ずと言っていい程VTでは未検出扱いになります。

その辺、他のベンダーの実際の状況は私には判断できないので、結局このスレに投げているという...(汗
912名無しさん@お腹いっぱい。:2009/05/16(土) 19:30:36
>>911

Kasperskyの場合はVTは7.0のままですからね
ヒューリスティック検出性能は2009>>>7.0だからVTと手元で違いが起きるのは仕方ない

ただSymantecの場合はよくわからない
あとはTrendMicroもクラウド化を始めたのかどうかも不明なのでPCの環境が整い次第ウイルスバスターの検出報告も始める予定、まだライセンスも残ってるからもったいないし
ま、ロードマップにも出てるしバスターのクラウド化は2010には確実に始めると思うけど

それにしても最近のAviraの傾向見てると悪い意味でKasperskyやNOD32化してる悪寒(対応速度は速いけどスルー検体が増えてきたという意味で)
シグネチャ+ヒューリスティックの古典的スタイルは今のご時勢は限界なのかな〜〜・・・・?
913名無しさん@お腹いっぱい。:2009/05/16(土) 19:32:01
失礼、NOD32は対応速度はそれほどでもなかった
914名無しさん@お腹いっぱい。:2009/05/16(土) 19:40:27
>>907
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
915名無しさん@お腹いっぱい。:2009/05/16(土) 19:51:23
>>907
McAfeeに提出させて頂きました。
2/10 (Active Protection 無効)
Install_2019.exe(FakeAlert-av360)
bot.exe(Generic.y!hv.i)

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bot.exe |new detection |generic pws.y!q |Trojan |yes
bot3.exe |heuristic detection |new malware.aj |Trojan |no
flashplayer.v9.exe |new detection |generic.dx!cp |Trojan |yes
load.exe |inconclusive | | |no
main.exe |new detection |generic pws.y!r |Trojan |yes
moneta.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no
zoom.exe |inconclusive | | |no
916699:2009/05/16(土) 20:56:31
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=326
 DL virus/解凍 virus

【中身】
download.php
 http://www.virustotal.com/jp/analisis/c17e3c6fe4b2dc9ea60ba0e94f860190 (6/40)
 AVIRA - TR/Crypt.ZPACK.Gen ,Kapersky - Trojan.Win32.FraudPack.mqa
install.exe
 http://www.virustotal.com/jp/analisis/777f77d785279ae99b42b2f06c084bd8 (7/40)
 AVIRA - TR/Crypt.ZPACK.Gen ,Kapersky - Trojan.Win32.FraudPack.mpy

今日の分はこれで終わりです。

ん〜、私と同じマルウェアリストを誰かが見ていて、Kasperskyに先出しされている気がする。(w
917名無しさん@お腹いっぱい。:2009/05/16(土) 21:08:31
>>916
McAfeeに提出させて頂きました。
918名無しさん@お腹いっぱい。:2009/05/16(土) 21:11:31
>>916
Risingに提出完了
919名無しさん@お腹いっぱい。:2009/05/16(土) 22:10:19
カスペ2009 21 05検出ベースまとめ

>>881 10/12 (0,8以外),白2(0,8)>>894

>>886 0+事後検出1=1/
Detected    Trojan program Trojan.Win32.Agent.chas  \tane0321.zip/Install_2004.exe      

>>895 1/1 (>>895)

>>898,900 1+事後検出1=2/3
Detected    virus HEUR:Exploit.Script.Generic   \tane0324.zip/martuz1.pdf
Detected    Trojan program Trojan.Win32.Agent.chbm  \tane0324.zip/martuz1upx.exe        

>>907 10/10
Detected    Trojan program Trojan.Win32.Pakes.nkf     \tane0325.zip/Install_2019.exe      
Detected    Trojan program Trojan-Spy.Win32.Zbot.gen      \tane0325.zip/bot.exe      
Detected    Trojan program Trojan-Spy.Win32.Zbot.gen      \tane0325.zip/bot2.exe      
Detected    Trojan program Trojan-Downloader.Win32.Delf.ttu   \tane0325.zip/bot3.exe      
Detected    Trojan program Trojan-Spy.Win32.Zbot.ttw      \tane0325.zip/load.exe      
Detected    Trojan program Trojan-Spy.Win32.Zbot.gen      \tane0325.zip/main.exe      
Detected    Trojan program Trojan-Spy.Win32.Zbot.ttv      \tane0325.zip/moneta.exe        
Detected    Trojan program Trojan.Win32.Pakes.nkh     \tane0325.zip/softwarefortubeview.40000.exe    
Detected    Trojan program Trojan-Spy.Win32.Zbot.soo      \tane0325.zip/zoom.exe      

>>916 2/2 (>>916
920名無しさん@お腹いっぱい。:2009/05/16(土) 22:19:13
699さん、おつかれー。
>>895 >>896 >>898 >>907

あぷろだから拾いました。これから、マイナー所各社への提出準備します。
−−−−−
今日の成果(?)

ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=327
infected

いつものリネージュ資料室の更新リストから拾った日替わりのmpg■scrと
gumlar■cn を呼び出すスクリプトが入ったhtmlごっそり。このスクリプトは
スルーする所が殆どです。なんとか、このスクリプトをダウンローダ扱いで検知して
ブロックしてくれれば、PG2入れてない人でもWeb巡回が安心なんですが難しそうです。

各社に提出済みですが、htmlの検出状況があれだったもので、参考までに置いときます。

・Avastは殆ど撃墜しているが、ぽつぽつとすり抜けているものあり、Avastなら感染サイトを
 踏んでも大丈夫とは言い切れないことがはっきりしたかな。
 JS:Redirector-H2,JS:Redirector-H4,JS:Redirector-H7、JS:Redirector-H9 を確認。
・htmlが多いので、Symantec宛にだけ(一度に9ファイルの制限あるので)
 自己解凍のアーカイブにして送ったので、後回しにされるの確実な状況です。
 Syamatecユーザーで、手の開いている方は、htmlだけ送信して頂けると助かります。
・McAfeeの自動返答を見ると幾つかは引っ掛かるものがあったのですが、
 拡張子がおかしいファイルとして検知してるので、実質スルー状態ですね。
 www.livmail.com.htm | heuristic detection | with fishy extension | Application |no

拾ったhtmlのHP管理者には、危険なスクリプトが挿入されていることを
なんらかの形で連絡して見ていますがいつ気付いてくれるか不明…っつーか
感染サイト多すぎて、警告しきれないですね、これ。連絡先書いてないページも多いし。
(連絡したうちの2箇所は、対処を始めたのを確認済みですが、追跡調査までやってらんない)
921名無しさん@お腹いっぱい。:2009/05/16(土) 22:21:59
NortonInternetSecurity2009

>>886はヒューリスティックで検出確認
>>895も検出確認
922699:2009/05/16(土) 22:40:42
>862以降のKasperskyまとめ。(未検出もしくはヒューリスティック検出のもの)
データベース 2009/05/16 21:05:00,大体のものは、データベースに反映されたの確認。

>862
 id2_20090514.pdf - HEUR:Exploit.Script.Generic(名前未定のまま)
 id10_20090514.exe - Trojan.Win32.Agent.cgus
>866
 install.exe - Trojan-Dropper.Win32.Agent.apaw
 install2.exe - Trojan-Dropper.Win32.Agent.apax
 install3.exe - Trojan.Win32.Tdss.adav
 IAInstall.exe - Trojan.Win32.Tdss.adan
>881
 1)setup.exe - not-a-virus:AdWare.Win32.Agent.nnp
>886
 Install_2004.exe - Trojan.Win32.Agent.chas
>896
 install.exe - Trojan.Win32.FraudPack.mqj
 softwarefortubeview.45013.exe - Trojan.Win32.Pakes.nkh
>898
 martuz1upx.exe(martuz_cn_id10_20090516.exe) - Trojan.Win32.Agent.chbm
 martuz1.pdf - HEUR:Exploit.Script.Generic(名前未定のまま)

現時点でもスルー
>896 - flash.swf
>898 - martuz1cwd.swf
923名無しさん@お腹いっぱい。:2009/05/16(土) 22:41:42
>>920
wokutonoken-online\1199.exe: Backdoor.Win32.PcClient.ttk
wokutonoken-online\mpg.scr>>1199.exe: Backdoor.Win32.PcClient.ttk
Risingに提出完了
924699:2009/05/16(土) 22:43:59
>>922
うわ、リロードするべきだった。>919さんと思いっきりかぶった。orz

# GENOスレ読んでから書いたのが間違いだった (汗
925名無しさん@お腹いっぱい。:2009/05/16(土) 22:47:40
このスレでの各ベンダーの検出名見て思ったけど
ヒューリスティック検出=Generic検出のベンダーがあればヒューリスティック検出とGeneric検出は別物扱いというベンダーがあるね
前者はNorton、Kaspersky、NOD32、ウイルスバスターで後者はMcAfee、Pandaといったところか
NortonのGenericはヒューリスティックとして扱われてるけどPandaのGeneric検出はシグネチャ扱い(その証拠に隔離することができない、Pandaの隔離フォルダはヒューリスティック検出しか隔離できない特殊な隔離フォルダ)

avast!みたいにGeneric検出はあるけどヒューリスティックがないベンダーもあるね

Avira、AVG、BitDefenderはどういう区分けしてるんだろう?
926名無しさん@お腹いっぱい。:2009/05/16(土) 22:52:09
>>920
> ・Avastは殆ど撃墜しているが、ぽつぽつとすり抜けているものあり、Avastなら感染サイトを
> 踏んでも大丈夫とは言い切れないことがはっきりしたかな。

で、どのソフトが一番検出したの?
Virus Totalの結果は?
927923:2009/05/16(土) 22:55:30
>>923はRising 2009 21.38.52 (21.29.52.00)

>>920
既に分析済みで不是病毒だよとRisingからメールが届いた
928699:2009/05/16(土) 23:07:58
>>920 乙です。
AVIRA 7.01.03.215
 1199.exe - DR/Pcclient.Gen
 mpg.scr - TR/Dropper.Gen
Kaspersky 2009/05/16 21:05:00
 1199.exe - Backdoor.Win32.PcClient.alzv
 mpg.scr - Backdoor.Win32.PcClient.alzv

どちらも、呼び出しhtmlは全く検出しませんねぇ。(w まあ、これは前からですが。

AVIRAはPersonal版なのでどうかわかりませんが、Kasperskyの方は内蔵Firewallがgumblar.cnへのアクセスを
全部ブロックするので、htmlには対応する気が無いという気がします。

多分、Norton含め、他の統合系も同じでしょう。確か、バスターではgumblar.cnをブロックしたログがどうのこうの
という書き込みありましたし、gumblar.cnなどへのアクセスをしっかりブロックしていれば、呼び出しhtml怖くないですから。

# 検体提出時にgumblar.cn → martuz.cnのドメイン名変更のことも通知してあるので、KISでは
 その内murtuz.cnもブロックされるようになるはず。
929名無しさん@お腹いっぱい。:2009/05/16(土) 23:21:58
>>916
>>920
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

>>920
Symantecも後者かな

ヒューリスティック検出 (高度な予測検出) Suspicious.MH690.A、Suspicious.S.Infostealer、Bloodhound.Exploit.236、Bloodhound.PDF.12 他
ジェネリック検出 (既知部品検出) Packed.Generic.225、W32.IRCBot.Gen 他
930名無しさん@お腹いっぱい。:2009/05/16(土) 23:31:02
>>920
McAfeeに提出させて頂きました。
931名無しさん@お腹いっぱい。:2009/05/16(土) 23:35:28
>>926
>で、どのソフトが一番検出したの?
gumlar■cnを呼び出すスクリプトに反応するのは、実質AvastとSophosのみ。
検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)

ダウンローダをブロックするか、FWでブロックするかは、セキュリティベンダーのポリシーによるので
どっちが優れているというものではない。>928さんの解説の通り、シグネチャ付きで検出しなくても
ブロックできれば実害は発生しない。

実際の検出率は、Avastユーザーに○/○って出して貰ってくれ。このPCにはAvast入れてないんだ。
VTへも(htmlは)幾つか無作為に抽出して送っただけだし、拾ってきてベンダーに提出するので精一杯。
(無作為抽出の中で、Avastもスルーしてたのが幾つかあったということ)

基本的にこのスレは、自分の使っているセキュリティソフトでは○/○検出したとかの報告をする場所だから
どっちがどうだかという質問をしたいなら余所でやってね。
932923=927:2009/05/16(土) 23:40:05
ああ>>920は920さんが提出済みだったからか
933名無しさん@お腹いっぱい。:2009/05/16(土) 23:41:49
>>929

>Symantecも後者かな

W32.IRCBot.Genの存在忘れてた(というかあまりこの検出名は見ない)
そう考えるとSymantecはヒューリスティック≠Genericかもね
ただPacked.Generic系は紛れもなくヒューリスティック検出扱いです、気になるならNortonの検疫フォルダかSymantecのウイルスデータベースを見てください
確実にPacked.Generic系はヒューリスティック検出と書いてるはずです
934名無しさん@お腹いっぱい。:2009/05/16(土) 23:46:52
>>928
>>931

Nortonの場合はFWでブロックというよりは侵入防止機能が働いてブロックするという形かと思います
前にこのスレのURL踏んで侵入防止機能が働いて止めてくれたことがあったので
ただ仮想環境でもない限り危ないURLだとわかってるのに踏むなんて勇気はないですが
935699:2009/05/16(土) 23:58:22
>>925
AVIRAの方ですが、HEURってどうなんでしょうね。
存在しているのは知っていますが、今までヒューリスティックで検出したこと無いもんで...(w

一応、AVIRAでヒューリスティック検出した場合、こういう風に HEUR/〜 という名前になるらしいです。
http://www.avira.com/jp/threats/section/fulldetails/id_vir/2704/heur_crypted.html
(前の方でGenをヒューリスティックと言っていましたが、これは私の勘違い)

が、汎用ルーチン(Gen検出)ばっかりで、今まで全然HEUR出たことがありません。
なんで、ヒューリスティックエンジンがどの程度の実力なのかよくわかりません。(苦笑


Kasperskyは、HEURが強いので隠れていすが、たまに汎用の検出が出ることがあります。
>907さんの所に書かれていますが、Trojan-Spy.Win32.Zbot.gen がそうです。(違うマルウェアなのに、3個に同じ名前)

なので、実はKasperskyもHEURとGenは別扱いなのです。 ちょっと雑談でした。(w
936699:2009/05/17(日) 00:01:35
>>935
>907ではなく、>919さんでした。 Kasperskyの汎用検出。
937名無しさん@お腹いっぱい。:2009/05/17(日) 00:09:49
>>935
aviraのHEUR〜系の検出は私はよく見ましたよ

ただkaspesrkyもヒューリスティックとgenericは別物というのには少し驚きました
nortonと同じくgeneric検出はほとんど見ないですからね

あと自分の記憶を辿るとウイルスバスターもヒューリスティックとgenericは別物だった気がしてきた

となるとヒューリスティック=genericはNOD32だけ?(キヤノンのNOD32のHP見ると「○○の亜種」はヒューリスティック扱い)

こうしてみるとgenericってヒューリスティックなのかシグネチャなのか非常にややこしい
nortonやウイルスバスターみたいにpacker系のgenericはヒューリスティック扱いもあるしkaspesrkyやbitdefenderみたいにヒューリスティックとgenericを一緒に名付けてるのもある
938名無しさん@お腹いっぱい。:2009/05/17(日) 00:23:52
>>931
> gumlar■cnを呼び出すスクリプトに反応するのは、実質AvastとSophosのみ。
> 検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)

なら検出数分かってんだろ
もったいぶらないで出せば良いのに

それともavastやsophosの検出が突出していて
他社は悲惨な状況なのか?
例えばカスペやAVGは検出率ゼロとかw
939名無しさん@お腹いっぱい。:2009/05/17(日) 00:29:29
【ネットでも】GENOウィルス亜種が爆発的に増殖か 小林製薬や同人サイト他中心に感染も★2【新型ウィルス拡散中】
http://tsushima.2ch.net/test/read.cgi/news/1242477344/
940名無しさん@お腹いっぱい。:2009/05/17(日) 00:47:43
>>932
スレ違いだから、このコメントで満足して、そろそろどっか行ってくれないかな。

>それともavastやsophosの検出が突出していて
>他社は悲惨な状況なのか?
Yes。スクリプトのブロックに関してはね。他の方法(FWでブロックなど)のベンダーもあるので、
Avastサイコーとか言い切らないように。

>例えばカスペやAVGは検出率ゼロとかw
それに近い。

カスペは、初期に提出したのと同じパターンのものは検知するが、それ以外は白判定なので。
(FWでブロックする方針にしたからなのか、古くて無効なアドレスだったから白判定になったのかは不明)

NOD32なんかも、ダウンローダ系は殆ど白判定にして、落ちてきた本体をブロックで切ればOKという
方針に近い対応状況だったな(2年前に使用してた頃は)。現時点でもその方針継続かどうかは知らない。
941699:2009/05/17(日) 01:03:08
>>937
Kasperskyの場合、genで検出するものはほとんど無かったような気がします。また>919さんの所を使いますが
 Trojan-Spy.Win32.Zbot.ttw
 Trojan-Spy.Win32.Zbot.ttv
とか、>922のように
 Trojan-Dropper.Win32.Agent.apaw
 Trojan-Dropper.Win32.Agent.apax

 Trojan.Win32.Agent.chas
 Trojan.Win32.Agent.chbm
みたいな、最後の部分だけ違う検出名付けるのが多い。

個人的には、ロシア人なんで、汎用検出のシグネチャを作れないんじゃないかとか思ったり。
逆に、AVIRAはあれだけGenで捕まえられるところを見ると、汎用シグネチャの作成が上手いのではないかと思います。

偏見かもしれませんが、ドイツとロシアの国民性の差ような気も...(汗
942名無しさん@お腹いっぱい。:2009/05/17(日) 01:05:20
>>940
> Avastサイコーとか言い切らないように。

つまり、avastは君が恐れるくらい優秀なソフトってことか
フリーとは言え、あなどれないな

> >例えばカスペやAVGは検出率ゼロとかw
> それに近い。

有料ソフトよりもフリーソフトの方が優秀ってことは分かった

それと、「最高」の判断はユーザーが試して決めるもんだからな
2chの書き込みごときで判断できるようなもんじゃない
大体、使う人によって判断基準は違うんだからな

だが、君の発言を見る限り、どうやらavastを入れておいて
他のソフトと組み合わせるのが一番ブロックできそうだな

> 他の方法(FWでブロックなど)

ということは、フリーならcomodoあたりをFWで入れて
avastと一緒に使うのが勝ちか
943名無しさん@お腹いっぱい。:2009/05/17(日) 01:17:52
>>1
>特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

>>942
こちらへどうぞ。

一番いいセキュリティソフトはなんだ!!Part64
http://pc11.2ch.net/test/read.cgi/sec/1241351040/
944名無しさん@お腹いっぱい。:2009/05/17(日) 01:24:50
>>940
> >>932
> スレ違いだから、このコメントで満足して、そろそろどっか行ってくれないかな。

何を偉そうにw

もともとはこの発言がきっかけだろ

>>931
> 検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)

余計なこと書かなきゃ良いのに
馬鹿がいたもんだw
スレチは>>931だろw
945名無しさん@お腹いっぱい。:2009/05/17(日) 02:12:13
>>942 ここは勝ち負けではなく検体をシェアするところだ。
不慮の事故に合わない人を増やすために。
946名無しさん@お腹いっぱい。:2009/05/17(日) 02:20:27
>>920みたいに、余計なこと書く馬鹿がいるからスレが荒れるんだよ
検体提出はスレの趣旨に合ってるが発言が趣旨に合ってない
だから>>920は嫌われるんだろ
947名無しさん@お腹いっぱい。:2009/05/17(日) 02:22:07
>>945
事故レス
不慮の事故にあう人が増えないように。

だなw
948名無しさん@お腹いっぱい。:2009/05/17(日) 02:46:14
>>941

なるほど
aviraの検出スタイルはシグネチャ+generic+ヒューリスティックに対しkasperskyはシグネチャ+ヒューリスティックにgenericがやや少しという認識でいいかもしれないですね。

ただシグネチャとヒューリスティック、genericだけじゃなくmcafeeやpandaのようにクラウドベースがあったりnortonはパルスアップデートがある
GDATAはダブルエンジン+アウトブレークシールドだったりと各ベンダーの検出スタイルは本当に千差万別、だから面白い
949名無しさん@お腹いっぱい。:2009/05/17(日) 02:50:25
そしてヒューリスティックだけのYaranaika
950名無しさん@お腹いっぱい。:2009/05/17(日) 03:01:34
ヒューリスティックだけって危険すぎじゃね?
スルーした時点でもう終わりだし
951名無しさん@お腹いっぱい。:2009/05/17(日) 03:05:24
>>949
いいのかい、ノーマルなセキュリティソフトでも平気で併用しちゃう奴なんだぜ…っつーか名前ちげーw
952名無しさん@お腹いっぱい。:2009/05/17(日) 08:14:20
>>916
F-Secure提出完了
AVP 2009-05-16_01にて検出可能
Trojan.Win32.FraudPack.mqa
Trojan.Win32.FraudPack.mpy
953名無しさん@お腹いっぱい。:2009/05/17(日) 10:36:42
954699:2009/05/17(日) 14:21:54
martuz.cn新種(2009/05/17版) 相変わらずVTの判断ではほとんどスルー。

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=328
 DL virus/解凍 virus

martuz_cn_id2_20090517.pdf
 MD5 :3cdbaee0c533809e43c6b815884763ff
 http://www.virustotal.com/jp/analisis/d0f152cbbb8243f084d05485a3d7c3a6 (2/40)
martuz_cn_id10_20090517.exe
 MD5 :b0ca69853b371ec9eb58829e869f6f10
 http://www.virustotal.com/jp/analisis/7e25c8d2c3766206c20482234449894d (3/40)

id3(swf)は、昨日(>898)と同じファイルでしたので省略。

Kaspersky 2009/05/17 13:28:00
 id2 HEUR:Exploit.Script.Generic,id10 スルー,提出済
AVIRA 7.01.03.215 (注:土曜日からデータベース更新されてません。)
 全てスルー,今AVIRAのサーバー調子悪いみたいなので、メールで提出。
955699:2009/05/17(日) 14:43:02
>>954
martuz.cnの追加情報です。

ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=cNotes の人が解析されているように、
一度ファイルをダウンロードするとIPアドレスが記録され、24時間以上経過するまで
同一IPアドレスからアクセスしても無視されるようです。

# 正確には、毎時0分にIPアドレスの記録を自動更新している模様。

私の場合、5/16 13時台にアクセスしてファイルを落としているのですが、先程まで無視されていました。
で、5/17 14:01にアクセスしたらファイルが落ちてきました。 まあ、わかりやすくて良いですけど。(w
956名無しさん@お腹いっぱい。:2009/05/17(日) 14:50:53
ダウンロードっつーかHEAD投げるのもだめくさいな。
957名無しさん@お腹いっぱい。:2009/05/17(日) 14:56:29
串か…。
958名無しさん@お腹いっぱい。:2009/05/17(日) 15:22:54
>>954-955


各社一通り提出完了。
959名無しさん@お腹いっぱい。:2009/05/17(日) 15:32:15
>>954
McAfeeに提出させて頂きました。
960名無しさん@お腹いっぱい。:2009/05/17(日) 18:48:09
>>916
Norton撃墜完了
961960:2009/05/17(日) 18:52:06
ちなみにVirustotalではSymantecはスルーという結果・・・

http://www.virustotal.com/analisis/05f359380317e6ca18f747121315fbdc
http://www.virustotal.com/analisis/19e080de0788a1c77e554b895509ec8f

なぜこんな現象が・・・
962名無しさん@お腹いっぱい。:2009/05/17(日) 18:59:09
>>954
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
963699:2009/05/17(日) 21:47:56
>>954
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=329
 DL martuz/解凍 infected  ※ 注意喚起のため、いつもと違います。

え〜、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
作成されるファイルを仮想PCで確保してみました。
ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。)

muvl.exe (元の名前 muvl.nug) - ランダム作成らしい。
 MD5 : 3862b349b9b5c9283925e181ff9f5bf8
 http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1a (2/40)

sqlsodbc.chm - ただのダミーファイルです。(中身は無意味なテキストと空白)
 MD5 : 34cd61d83853e511f0a28027f639a1c9
 http://www.virustotal.com/jp/analisis/395c9f2d6d6d38525fb24b3722664bfa (0/40)

muvl.exeは、中身に合わせて拡張子を変えてあります。(ベンダー提出時に捨てられないように)

gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。

sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。

あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。

このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。

タチ悪すぎ...
9641:2009/05/17(日) 21:48:56
>>940
スレ立てよろ。
965名無しさん@お腹いっぱい。:2009/05/17(日) 22:07:38
>>963
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
966名無しさん@お腹いっぱい。:2009/05/17(日) 22:07:52
>>954
本家 F-Secure SASに登録しました。
相変わらずNO DETECTION。
967名無しさん@お腹いっぱい。:2009/05/17(日) 22:32:06
>>964
うぬ?940でスレ立て?970かと思ってたんだが。

テンプレの変更点はなんかあるかい?
968名無しさん@お腹いっぱい。:2009/05/17(日) 23:49:41
>>963
タイムスタンプ2007年なのか…何か踏んだら日付で降順、とかも使えないな。
969699:2009/05/17(日) 23:55:54
>>963
この件、続きは下記に移動しました。一応連絡します。(ここで続けるのはスレ違いなので)
 GENOウイルススレ@インターネット板
 http://pc11.2ch.net/test/read.cgi/internet/1242450264/

あと、sqlsodbc.chmは通信盗聴のログとして使われている可能性有り、との情報があります。
(何もしてない状態だと、>963の様な 1,323バイトの無意味なテキストデータになる?)

martuz.cnのチェックは続けますので、新種が出たらまた上げます。
# ただ、24時間以内の再アクセス無視を串で通り抜けて確保できるかどうかが問題ですが...串でダメだと
 1日に1回しか確保できんので提出が遅くなるかも。
970名無しさん@お腹いっぱい。:2009/05/17(日) 23:57:45
>>954
Avast!AVG送りました。
Avast!スルー
971名無しさん@お腹いっぱい。:2009/05/18(月) 00:00:46
>>963
これもAvast!AVGおくっときました。
Avast!スルー
972名無しさん@お腹いっぱい。:2009/05/18(月) 02:38:21
>>954
久しぶりにノートンが早めの対応。

filename: martuz_cn_id10_20090517.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html

filename: martuz_cn_id2_20090517.pdf
result: This file is detected as Trojan.Pidief.C.
973名無しさん@お腹いっぱい。:2009/05/18(月) 09:02:57
>>881かな。McAfee返答
File Name Findings Detection Type
========= ======== ========= ====
hgcheck.exe detected generic backdoor!r trojan
index1.gif detected generic dropper!s trojan
instalar.exe detected pws-banker!j trojan
install_2004.exe detected fakealert-cn trojan
install_2010-1.exe detected fakealert-cn trojan
install_flash_player.exe detected generic.dx!bw trojan
refaz2009.jpg detected generic downloader.s trojan
visualizar.exe detected generic.dx!br trojan
974名無しさん@お腹いっぱい。:2009/05/18(月) 09:08:55
>>972

対応は速かったみたいだけど実機での検出はまだしません、まだスルー状態です
早く対応したシグネチャ来て〜

あとSymantecはいつもこれぐらい対応速ければ言うことないんだけどね
Kaspersky並みに対応速くすればパルスアップデートも活きるし最強のベンダーになれると思うが・・・
975名無しさん@お腹いっぱい。:2009/05/18(月) 09:11:31
976名無しさん@お腹いっぱい。:2009/05/18(月) 09:36:31
次スレ〜

【鑑定目的禁止】検出可否報告スレ11
http://pc11.2ch.net/test/read.cgi/sec/1242606390/

検体提出先とか一部修正しました。
977名無しさん@お腹いっぱい。:2009/05/18(月) 11:03:58
いわゆるGENO系ウイルスの定点観測されてる方って、本体もみてる?
エンベロープはともかく、本体はあんまり変異してない?

本体抽出鶴とか書いたら使う人いるかな

※本体はDLLなので、抽出に成功しても、通常悪用は難しいです
978名無しさん@お腹いっぱい。:2009/05/18(月) 12:27:03
>>862+スクリプトの仕込まれたhtml , >>866

BitDefender回答
GENO系のスクリプトに対応する方向なのかな?

0008.id2_20090514_exe.orig as ksdl1
0009.id2_20090514_exe.orig.un-0.bd7.nda as ksdl1
0010.id2_20090514_pdf.orig asTrojan.JS.PZJ
0011.id2_20090514_pdf.orig.tm-0025 as Trojan.JS.PZJ

0000.access_html.orig as Trojan.JS.PZK
0001.asagaya_drum_com_htm.orig as Trojan.JS.PZK
0002.asagaya_drum_map_html.orig as Trojan.JS.PZK
0003.bar_html.orig asTrojan.JS.PZK
0004.cafemenu_html.orig as Trojan.JS.PZK
0005.cafe_melody_net_htm.orig as Trojan.JS.PZK
0006.day0803_html.orig as Trojan.JS.PZK
0012.info_html.orig asTrojan.JS.PZK
0025.link_1_html.orig as Trojan.JS.PZK
0026.link_html.orig as Trojan.JS.PZK
0027.melody0903_html.orig as Trojan.JS.PZK
0028.menu_html.orig asTrojan.JS.PZK
0029.mon0905_html.orig as Trojan.JS.PZK
0030.rental_html.orig as Trojan.JS.PZK
0031.staff_html.orig as Trojan.JS.PZK
0032.top_html.orig asTrojan.JS.PZK

0015.install2_exe.orig.em-2 as Trojan.Downloader.FraudLoad.P
0019.install4_exe.orig.em-1 as Trojan.Downloader.FraudLoad.O
0020.install4_exe.orig.em-2 as Trojan.Downloader.FraudLoad.P
0021.install4_exe.orig.tm-0047 as Trojan.Downloader.FraudLoad.P
979名無しさん@お腹いっぱい。:2009/05/18(月) 14:02:24
>>977
抽出ムズくね? とりあえずドロッパはUPXのフリしててUPXじゃない
(UPXはソース公開されているので改造したんだろう)んで
解凍すると別物になっちゃうよ。
980名無しさん@お腹いっぱい。:2009/05/18(月) 14:29:47
昨日落とした奴は、UPX3系で1段目解けたぽいけどな…。
埋め込み方法が再三変化するようだと、都度追随せにゃならんが
仕事一段落したら、過去のやつもいくらかみてみる

なんせ、いちばん簡単なのは、仮想環境かなんかでさくっと実行しちゃうことなんだがw
981名無しさん@お腹いっぱい。:2009/05/18(月) 15:34:10
982名無しさん@お腹いっぱい。:2009/05/18(月) 15:47:31
>>963
Symantec返答

filename: muvl.exe
machine: Machine
result: This file is detected as Backdoor.Trojan. http://www.symantec.com/avcenter/venc/data/backdoor.trojan.html
983名無しさん@お腹いっぱい。:2009/05/18(月) 15:51:55
>>963
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
muvl.exe |heuristic detection |new dll-b |Virus |no
984名無しさん@お腹いっぱい。:2009/05/18(月) 15:55:05
GENOウイルスはあの最強の検出率といわれてるAviraですら大苦戦か・・・
985>>966:2009/05/18(月) 18:45:05
>>954
本家F-Secureより回答。次回DB更新にて対応とのこと。
(こっちまだ残ってたの知らずに次スレに書いてしまいました。)

>Hello,
>
>Thank you for your e-mail.
>
>The file you sent was found to be malicious.
>An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!
986名無しさん@お腹いっぱい。:2009/05/18(月) 19:43:20
>>981
いつまでたっても俺のNIS2009では検出してくれない件について
987981:2009/05/18(月) 20:27:56
>>986
「Run」でスレ内検索すれば判ると思うけども・・・
ココAutoRun系も混ざって揚げられてるから
いづれかに感染してるのでは?
988名無しさん@お腹いっぱい。:2009/05/18(月) 20:35:50
>>985です。
F-SecureのDBが更新されました。
Anti-Virus AVP Extended Update 2009-05-18_01

martuz_cn_id2_20090517.pdf が検出可能です。
→ Exploit.Win32.Pidief.auw

martuz_cn_id10_20090517.exe は未対応......OTL
989名無しさん@お腹いっぱい。:2009/05/18(月) 20:38:09
>>987
おk
PCには特に異常はないし他の検体はNIS2009で検出するけど念のためオンラインスキャンとBitDefenderでスキャンしてくる
990名無しさん@お腹いっぱい。:2009/05/18(月) 21:03:20
Rising 2009 21.39.03 (21.30.03.00)
>>896
softwarefortubeview.45013.exe: Trojan.DL.Win32.Mnless.dml
1/4
>>898
martuz1upx.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
1/3
>>907
softwarefortubeview.40000.exe: Trojan.DL.Win32.Mnless.dml
2+1=3/10
>>954
martuz_cn_id10_20090517.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
1/2
>>963
muvl.exe: Trojan.Spy.Win32.Delf.dpt
991699:2009/05/18(月) 22:10:31
>>963
KasperskyとAVIRA両方返答来ました。muvl.exeの方です。

 Kaspersky - 白
 AVIRA - TR/NoUpdate.C,黒

うーん、明暗くっきり。
感染後に作成されるファイルに白判定が出るようだと、これはKasperskyのオンラインスキャンでmartuz.cnの感染検出無理か?

ここは、ちょっとAVIRAに期待しておこう。 んで、>990さんの所でRisingでも黒判定出てるので、そっちも少し期待。


あと、今日はmartuz.cnが私のこと無視する。前回から24時間以上経過してるのに...後でもう一度試します。
992名無しさん@お腹いっぱい。:2009/05/19(火) 00:14:12
>>954
Microsoftが頑張りはじめた。

Submitted Files
=============================================
20090517.zip [Container]
+---martuz_cn_id2_20090517.pdf [Exploit:Win32/Pdfjsc.AM]
+---(pdf0000_) [Exploit:Win32/Pdfjsc.AM]
+---martuz_cn_id10_20090517.exe [Trojan:Win32/Daonol.F]
993>>985:2009/05/19(火) 01:02:40
>>988の続き
気づかなかったけど、F-Secure Hydra Update が 2009-05-18_02 まで更新済み
martuz_cn_id10_20090517.exe → Trojan:W32/Agent.KMH

また、sound●jp/yudai_marimba/ に埋め込まれていたスクリプトについて、
次回DB更新にて対応との回答がありました。(05/18 23:40)
おそらくこちらについても対応されているのではないかと推測しますが、
該当Webサイトは 403応答となっていますので確認できません(※)。

※難読化パターンは以下のような感じ。
 _29+_22_2cj_3d_22_22_2cu_3d_6eavigator_2 以下略
994名無しさん@お腹いっぱい。:2009/05/19(火) 03:03:32
>>991
カスペ大丈夫なのか?
うーん
995名無しさん@お腹いっぱい。:2009/05/19(火) 04:14:29
KIS2009
muvl.exe - Trojan program Trojan.Win32.Inject.aahl
996名無しさん@お腹いっぱい。:2009/05/19(火) 14:25:08
>>394   4/7提出分。NortonようやくCLOSE。
-----
filename: 20090407_1_n1.zip(5/19返答)
filename: 20090407_1_n2.zip(4/7提出日に返答)
-----
filename: file.exe
result: This file is detected as Infostealer. http://www.symantec.com/avcenter/venc/data/infostealer.html

filename: codec.exe
filename: aff_8.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html

filename: IEPLORER%20DLL.exe
result: This file is detected as Spyware.Keylogger. http://www.symantec.com/avcenter/venc/data/spyware.keylogger.html

filename: codec_1.exe
result: This file is detected as Trojan.Fakeavalert.

filename: ipk.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
-----
filename: Co.swf
filename: update.exe
filename: Tudo%20Aqui.exe
filename: WlZ.pdf
result: See the developer notes(手動解析)

filename: win_1.exe
result: This file is detected as Hacktool.Rootkit. http://www.symantec.com/avcenter/venc/data/hacktool.rootkit.html

filename: win.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
997名無しさん@お腹いっぱい。:2009/05/19(火) 16:08:37
>>963
Rising返答

同時に提出したスクリプト入りhtmlは全部 No Malware.

1. Filename:muvl.exe
Virusname:Trojan.Spy.Win32.Delf.dpt
998名無しさん@お腹いっぱい。:2009/05/19(火) 17:26:28
>>954
avertからescalation mailが届きました。
Subject: Escalation
Thank you for submitting your suspicious files.
Synopsis -
Attached is a file for extra detection, which will be included in a future DAT set.

EXTRA.DATが添付されていました。

>>983
おかげさまでEXTRA.DATが準備されました。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
muvl.exe |new detection |generic.dx!ct |Trojan |yes
999986:2009/05/19(火) 18:43:01
>>987
今になってNIS2009で検出できるようになりました・・・
原因は不明ですがとりあえず一安心
1000名無しさん@お腹いっぱい。:2009/05/19(火) 18:43:30
1000
10011001
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。