>>690 AntiVir 全部スルー ftp経由で提出完了。他も適当に送っておきます。
>>690 各社に提出完了。
nProtect(ゲーム関係じゃ無さそうなので報告パス)
Antiy Labs(ftpの調子が悪いのか接続できず。現時点で未提出)
nProtectは、会社としては、銀行とかの垢抜き対策製品とか出してたよ
>>695 nProtectはファイルとしての検体受け付け窓口がなくて、ゲームガードの不正ツール・サイト報告フォームなんだ。
>>690 乙
カスペ2009 21:13
1/5 (ヒューリスティック)
検体提出します。
2009/05/02 22:18:35 Detected virus HEUR:Exploit.Script.Generic /gumblar.pdf//data0000
>>692 本当にバスターのPAK_Genericは「Packerだよ」ってだけだねw
>>690 >>697 乙です。20分程の差で、私もKasperskyに送りました。(私の方が後。リロードすりゃ良かった。(苦笑 )
あと、先程、Firefox経由でGoogleに、gamblar.cn を攻撃サイトとして報告入れておきました。
正式に取り上げてもらえれば、gamblar.cnにアクセスしそうになると、ChromeやFirefoxなど、
GoogleのSafe Browsing APIを使っているブラウザで、おなじみの“攻撃サイトの表示”が
出るようになるはずです。
700 :
699 :2009/05/03(日) 00:00:08
>>699 うぉっと書き間違い。gamblar.cn → gumblar.cn です。(ちゃんと確認して報告してますんで、大丈夫。)
701 :
697 :2009/05/03(日) 02:43:11
カスペからの返事
>>690 1+事後検出2=3, 白1, 回答待ち1
gumblar_upx.exe - Trojan.Win32.Agent2.ixc
gumblar_fws.swf - Exploit.SWF.Agent.ai
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
gumblar.exe - No malicious software was found in the attached file.
>>699 乙
>>690 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済み
703 :
699 :2009/05/03(日) 09:21:19
>>701 Kasperskyのデータベース 2009/05/03 8:09:00で、
gumblar.swf - Exploit.SWF.Agent.ai
gumblar_fws.swf - Exploit.SWF.Agent.ai
gumblar_upx.exe - Trojan.Win32.Agent2.ixc
として検出されるようになっています。
gumblar.pdfはヒューリスティックで検出される状態のままで、まだ名前が付いていません。
gumblar.exeは白判定だったので、上記データベースでも検知無し。
pdfに名前が付けば、Kasperskyはcloseになると思います。 一応報告しておきます。
704 :
699 :2009/05/03(日) 10:31:05
>>701 >gumblar.exe - No malicious software was found in the attached file.
これ、このままだと検出しないけど、UPX圧縮かけた瞬間 Trojan.Win32.Agent2.ixc になった。
ちなみに、さっき(12:00頃)落とした exe は検出不可能になってた。
もう714個感染にふえてるな。KOEEE
707 :
699 :2009/05/03(日) 21:33:52
1199.exe, mpg.scrとともにもはや定番だな
名前だけで判定してもいいんじゃないかという意見を思い出した。
svch0st.exe、
http://rnicrosoft.com/みたいな 。賛否モメるんだけれどね。
有害と判定すべき→常識的に、有害なプログラム、サイト。悪意が明らか。まともなプログラマは紛らわしい名前を常識ではつけない。(性悪説)
有害と判定すべきではない。→(上記の意見に対し、)一概にそうとは言い切れない。(性善説)
>>707 おおぅ、4/30版まではチェックしてたけど、5/2版は見落としてたわ。未検出のベンダーに一通り提出してきます。
>>707 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済み
>707 まかふぃー File Name Findings Detection Type Extra --------------------|------------------------------|----------------------------|------------|----- flashplayer.exe |heuristic detection |new malware.jj |Trojan |no Norman(のーとんじゃないよ) [ DetectionInfo ] * Filename: C:\analyzer\scan\flashplayer.exe. * Sandbox name: W32/Malware. * Signature name: NO_VIRUS.
713 :
699 :2009/05/04(月) 03:41:45
715 :
699 :2009/05/04(月) 09:06:04
>>703 まだ>697さんが書かれていませんが、失礼して先に報告します。Kasperskyで、gumblar.pdfに正式名がつきました。
gumblar.pdf - Exploit.JS.Pdfka.ix (データベース 2009/05/04 7:39で確認)
>>713 kasperskyから返答来ていました。こっちは寝てたけど...(汗
id10_200905004.exe_ - Trojan.Win32.Agent2.ixs
id3_20090504.swf - Exploit.SWF.Agent.aj
だそうで、次のデータベース更新で対応するそうです。
てか、私がメールしてから判定結果の返事が来るまでに1時間かかってないんですが、暇なのか?>Kaspersky
>>691 AntiVirで、データベース 7.01.03.143において、
gumblar_upx.exe - TR/Agent2.ixc
gumblar.exe - TR/Agent2.ixj
として検出されるようになりました。他はスルーのままです。以上報告終わり。
>>715 >私がメールしてから判定結果の返事が来るまでに1時間かかってないんですが
海外でも広まってるので、誰かが既に送っていたんでしょう。
数年前は20分足らずで瞬殺されることもありましたが、
桁が2つ3つ増えている現在どこのベンダも暇なんてないはず。
Rising 2009 21.37 (21.28.00.00)
>>707 >>713 スルー
713のみ検体提出
>>666 wd.exe: Trojan.PSW.Win32.GameOL.ytg
wow.exe: Trojan.PSW.Win32.GameOL.ytg
以下Risingより
1、文件名:jx.exe
病毒名:Trojan.Win32.Nodef.isd
2、文件名:youxi.exe
病毒名:Dropper.Win32.Nodef.dt
3、文件名:002.exe
病毒名:Trojan.PSW.Win32.GameOL.ytl
瑞星2009的21.28.01版本(瑞星2008的20.95.01版本)で対応予定
9+5=14/14
Rising 2009 21.37.03 (21.28.03.00)
>>672 2\888.exe: Trojan.Win32.Nodef.ish
1(+1)+1=2(+1)/12
>>682 1.exe>>upx_c: Trojan.Win32.StartPage.mkj
2.exe>>upx_c: Trojan.DL.Win32.Mnless.ddp
autorun1.exe>>upx_c: Worm.Win32.DownLoad.pj
u1.exe: Trojan.Win32.AvKiller.im
wow1.exe: Trojan.PSW.Win32.GameOL.yxl
xw.exe>>upx_c: Trojan.Win32.SysKiller.c
5+6=11/15
>>707 flashplayer.exe>>upx_c: Trojan.PSW.Win32.GameOL.yxl
1/1
719 :
699 :2009/05/05(火) 08:50:26
>>690-691 ,715
AntiVirで、データベース 7.01.03.150において、
gumblar.pdf - EXP/Pidef.jv
gumblar.swf - SWF/Drop.Agent.D.2
>713
AntiVirで、データベース 7.01.03.150において、
id3_20090504.swf - SWF/Drop.Small.QA
id10_200905004.exe - TR/Drop.Agent.qfg
で検出されるようになりました。
ちなみに、昨日は出かけたあと寝てしまったので、どの時点で対応したかは不明。ただ、AVIRAさんからは検体判定結果のメールは
来ていました。(送ってくれたファイルはマルウェアでした。協力感謝します。というメール) 今回初めてAVIRAにメールで送ってみましたが、
Kasperskyと同じで、AVIRAも判断結果のメールくれるんですね。
>713
Kasperskyのデータベース 2009/05/05 7:24で検出できること確認しました。 以上、報告終わり。
720 :
699 :2009/05/05(火) 09:19:16
>>719 すみません。ちょっと訂正。
id10_200905004.exe - TR/Drop.Agent.qfg → TR/Agent2.ixs
判定結果のメールはTR/Drop.Agent.qfgでしたが、実際の検出名はTR/Agent2.ixsになっています。
>>713 Microsoft返答。現時点で呼び出しコード入ってるサイトのhtmlも一緒に送ってみましたが、
そっちは[Not Malware]という判定結果でした。
Submitted Files
=============================================
20090504.zip [Container]
+---show-a.htm [Not Malware]
+---www.wellness.co.jp.htm [Not Malware]
+---id10_200905004.exe [Changes to detection currently undergoing testing]
+---www.nenrei-hayami.net.htm [Not Malware]
+---gaiyo.html [Not Malware]
+---index.html [Not Malware]
+---id3_20090504.swf [TrojanDownloader:Win32/Swif.gen!A]
>>713 >721の名称変更[Changes to detection currently undergoing testing]が確定してクローズの模様。
Submitted Files
=============================================
20090504.zip [Container]
+---show-a.htm [Not Malware]
+---www.wellness.co.jp.htm [Not Malware]
+---id10_200905004.exe [TrojanDropper:Win32/Seekwel.A]
+---www.nenrei-hayami.net.htm [Not Malware]
+---gaiyo.html [Not Malware]
+---index.html [Not Malware]
+---id3_20090504.swf [TrojanDownloader:Win32/Swif.gen!A]
723 :
699 :2009/05/05(火) 22:10:40
>>724 カスペ返答(別件と混ぜて送ったので別のも回答来てますが気にせずまとめて)
3522938.exe - Trojan.Win32.Inject.xvb
id2_20090505.pdf - Exploit.Win32.Pidief.atm
These files are already detected. Please update your antivirus bases.
id10_20090505.exe - Trojan.Win32.Agent.ceyr
New malicious software was found in this file. It's detection will be included in the next update.
>>723 ,
>>726 Symantec返答
id10_20090505.exe が Backdoor.Trojan.。他は全て手動解析回し。
>>723 乙
>>726 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済み
>>723 ,
>>726 Microsoft返答。下のほうにアナリストのコメントがあったので読んでみると、
pdfは解決にもうちょっと時間がかかりますとあったので、白判定では無く、対処中ということらしい。
Submitted Files
=============================================
20090505_1.zip [Container]
+---id2_20090505.pdf [Not Malware]
+---3522938.exe [PWS:Win32/Magania.gen]
+---3522938.zip [PWS:Win32/Magania.gen]
+---3522938.exe [PWS:Win32/Magania.gen]
+---id10_20090505.exe [TrojanDropper:Win32/Seekwel.A]
>All of your submissions have been confirmed to be malware.
>The pdf exploit will take more time to do a solution, the other three have already been set determination.
730 :
699 :2009/05/06(水) 09:48:14
>>723 ,725
Kaspersky データベース 2009/05/06 8:07:00で、
id10_20090505.exe - Trojan.Win32.Agent.ceyr
>>726 Kaspersky データベース 2009/05/06 8:07:00で、
3522938.zip - Trojan.Win32.Inject.xvb
3522938.exe - Trojan.Win32.Inject.xvb
それぞれ検出できるようになっています。
AVIRAは、データベース 2009/05/05 7.01.03.157で、状況変化なし。(>723は未検出,>726は検出可)
>>723 ,
>>726 トレンドマイクロ返答
TSPY_MAGANIA.HZ:多分、3522938.zip と exe
BKDR_SEEKWEL.A:多分、pdf と exe だか、その片方だか。
>733は誤爆です。orz >732落として提出行ってきます。
Rising 2009 21.37.20 (21.28.20.00)
>>614 flashplayer.exe.bin>>upx_c: Suspicious:Dropper.Win32.Mnless.GEN → Trojan.PSW.Win32.WoWar.bgj
>>672 6\softwarefortubeview.40006.exe: Trojan.DL.Win32.Mnless.ddz
8\bb021908.exe>>dpcxool64.sys: Trojan.DL.Win32.VB.zte
a\softwarefortubeview.40012.exe: Trojan.DL.Win32.Mnless.der
2(+1)+3=5(+1)/12
>>682 pcclient1.exe: Backdoor.Win32.PcClient.tkk
x1.exe: Trojan.Win32.KillAV.bcf
x5.exe: Trojan.Win32.KillAV.bcf
x9.exe: Trojan.Win32.KillAV.bcf
11+4=15/15
>>723 スルー
>>726 Suspicious: Packer.Win32.UnkPacker.b
>>732 1\Install_2004.exe: Backdoor.Win32.Drwolf.bba
4\visualizar.exe: Packer.Win32.Agent.r
6\stream_player_plugin.exe>>agent.exe: Trojan.DL.Win32.Mnless.ddb
7\flash_player_plugin.exe>>agent.exe: Trojan.DL.Win32.Mnless.ddb
4/12
>>732 d
カスペ2009 13:35:00
7/12 (2-8)
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eig /Malware/2/Install_2010-1.exe
Detected Trojan program Trojan-Banker.Win32.Banker.agzz /Malware/3/Instalar.exe
Detected Trojan program Trojan-Downloader.Win32.Banload.zot /Malware/4/visualizar.exe//FreeBasic Source Loader.exe
Detected Trojan program Backdoor.Win32.Hupigon.gthp /Malware/5/hgcheck.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.k /Malware/6/stream_player_plugin.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.k /Malware/7/flash_player_plugin.exe
Detected virus HEUR:Trojan.Win32.Generic /Malware/8/refaz2009.jpg
検体提出します。
※カスペ新エミュレーター(ベータ版)+5:57:00でも同上
>>730 代理報告、代理提出乙です。助かります。
>>732 テンプレのWikiにある提出先一通り+Malwarebytes+NictaTech Software に提出完了。
そのうち、1個づつ送るのが面倒くさかったNormanとZoner Antivirusだけは提出をスルーしました。
ごめんなさい。暇な方は提出よろしく。
739 :
699 :2009/05/06(水) 15:51:17
>>723 ,730
AVIRA データベース 2009/05/06 7.01.03.158で、
id10_20090505.exe - TR/Agent.imh
で検出できるようになっています。(id2_20090505.pdf - 未検出のまま)
>>732 ,735
AVIRA データベース 2009/05/06 7.01.03.158で、
0 - DR/Targad.A
1 - TR/FakeXPA.A.246
2 - TR/Dldr.FraudLoad.eig
3 - 未検出
4*- DR/Delphi.Gen
5 - BDS/Hupigon.gthp
6 - DR/Fraud.PrivacyCenter.K.1
7 - DR/Fraud.PrivacyCenter.K
8 - HIDDENEXT/Crypted (※)
9*- TR/Crypt.CFI.Gen
a - 未検出
b - 未検出 - Malware判定済み
No.3,a,bの検体をWebで提出してみました。それで気がついたんですが、AVIRAはWebから提出すると、
先に提出した人がいると、結果が出ているものは判定結果が表示されるのですね。
今回はNo.bがMalware判定済みの表示が出ました。
No.4,9は、ヒューリスティック検出(Gen)だったので隔離室経由で提出してあります。
No.8は、検出名がおかしい(※)ので、ファイルに合わせて拡張子をjpg→exeに変更したところ、スルーしたので提出しました。
>737 乙です。
ここ、KasperskyとAVIRAは2人(以上)いるので、チェックが楽ですね。ヽ(^。^)丿
>>741 まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flashplayer.exe |heuristic detection |new malware.jj |Trojan |no
heuristic detection [flashplayer.exe]
>>741 カスペ返答。次の更新で対応。…えーと、検出名書いてないけど、まぁいいか。
New malicious software was found in the attached file. Its detection will be included in the next update.
744 :
699 :2009/05/06(水) 16:51:46
>>723 ,739
AVIRAからメール来ました。
id2_20090505.pdf - EXP/Pidief.PB
になるそうです。多分、次のアップデートじゃないかと思います。>723はこれでcloseです。
>>741 乙ですー。
あと、>740も699です、一応。(名前入れ忘れた)
で、>740ですが、AVIRAにWebで提出するとアカウントが自動で作られて、提出したファイルの調査状況がリアルタイムで見れる!
※ メールで、『ここを見てね』ってアドレスが送られてくる。
これは凄い...ちょっと感動しました。
745 :
736 :2009/05/06(水) 16:59:32
Rising 2009 21.37.21 (21.28.21.00)
>>672 8\bb021908.exe>>sopidkc.exe: Backdoor.Win32.Undef.dfx
8\bb021908.exe>>tpsaxyd.exe: Backdoor.Win32.Undef.dge
5(+1)/12
>>741 スルー
>>732 乙
>>741 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済み
a-squaredのシェア版もビヘイビア検出を始めたらしく、
ジャンルによっては最強の件出力を叩きだしています
>>743 Trojan-GameThief.Win32.WOW.iid
ドロッパによって投下されると
Trojan-GameThief.Win32.WOW.iie
TrendMicroは最近PAK_Generic.001の検出がやたらと多いな これもSmartProtectionNetWorkの影響なのかな?
いやそれPacker(圧縮みたいなもん)ですよってだけだから。 たとえばUPX形式ならUPX拾ってきて解凍すると検知しなくなる。 実際の製品じゃ検知しないじゃん、とトレンドマイクロに問い合わせても テンプレ返答でしたみたいなやり取りが数スレ前にあった気がする。
ってことはまだVirustotalではTrendMicroのSmartProtectionNetWorkは反映されてないわけね ただプログラムバージョンの8.950.0.1092が気になる(トレンドマイクロサイトではまだ8.911だし) ま、ウイルスバスターに搭載されるのは2010からだろうけど
751 :
737 :2009/05/06(水) 19:25:26
>>732 カスペからの返事
7 + 追加検出1 = 8/12 (0, 2-8), 破損1 (1), 白1 (b), 回答待ち2 (9,a)
0\ProDMInstall.exe - Trojan.Win32.FraudPack.mim
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
b\modulo10.jpg - No malicious code was found in this file.
1\Install_2004.exe - This file is corrupted.
752 :
699 :2009/05/06(水) 21:46:16
>>740 ,744
AVIRAで、3と8の判定結果が出てました。3,8両方とも黒(Malware)とのこと。 aはまだ判定中になっています。
自動応答メールで結果が来るのと同時に、Webの自分のIDの所の判定結果が更新されるようです。
ただし、自動応答の結果だと白黒しかわからず、正式名称はパターンファイル待ちになる模様。
メールで送るよりWebで投稿した方が、白黒判定結果は明らかに早く入手できますね。
隔離室経由でメールした分はまだ結果返答来てませんし。 今後、メール止めて全部Webから行こう...
>>732 カスペ返答
hgcheck.exe_ - Backdoor.Win32.Hupigon.gthp,
Instalar.exe_ - Trojan-Banker.Win32.Banker.agzz,
Install_2010-1.exe_ - Trojan-Downloader.Win32.FraudLoad.eig,
visualizar.exe_ - Trojan-Downloader.Win32.Banload.zot
These files are already detected. Please update your antivirus bases.
index1.gif_ - Trojan-Dropper.Win32.Agent.aomk,
install_flash_player.exe_ - Trojan.Win32.VB.okp,
ProDMInstall.exe_ - Trojan.Win32.FraudPack.mim,
refaz2009.jpg_ - Trojan.Win32.Agent.cfeb
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
Install_2004.exe_
This file is corrupted.
modulo10.jpg_
No malicious code was found in this file.
…あ、ごめん。3分割して送ったうちの1つだけだ。全部の返答来てないや。
重複報告うざい
756 :
699 :2009/05/06(水) 23:44:48
>>732 ,740
AVIRA全確定。 未検出と検出名?の、3,8,a,b、全部Malware(黒)判定でした。
ただ、現時点の 7.01.03.163では反映されていない(>740のまま)なので、検出名確定は明日以降と思われます。
以上で、>732に関してはAVIRAは全黒でcloseです。
>>732 マカフィー返答。残りのファイルは返答待ち。ペンディングの返答は始めて見た気がする。
(提出時)
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash_player_plugin.|new detection |generic pup.z!c |Application |yes
stream_player_plugin|new detection |generic pup.z!c |Application |yes
(返答)
File Name Findings Detection Type
========= ======== ========= ====
flash_player_plugin.exe detected generic pup.z!c pup
stream_player_plugin.exe detected unknown pending
>>758 乙
カスペ2009 15:10
5/5でクローズ
Detected Trojan program Trojan.Win32.Inject.xzb \cer.exe
Detected Trojan program Trojan-GameThief.Win32.WOW.iif \flashplayer.exe
Detected Trojan program Trojan-Downloader.Win32.VB.mfg \max0.exe
Detected Trojan program Backdoor.Win32.PcClient.aldh \play.scr/1199.exe
Detected Trojan program Backdoor.Win32.PcClient.aldh \play\1199.exe
※新エミュレータ+5:55:00では、max0.exeは未検出.4/5
もうVirustotalはベンダー増やさなくていいよ・・・ Jiangmin 11.0.706 2009.05.06
>>758 PnadaGlobalProtection2009
検出報告する暇もない状態なので検出した検体だけ報告
max0.exe以外は検出、max0.exeだけスルー
>>758 まかふぃー自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe |current detection |backdoor-ckb.dr |Trojan |no
cer.exe |new detection |pws-mmorpg!j |Trojan |yes
flashplayer.exe |new detection |generic.dx!bx |Trojan |yes
max0.exe |inconclusive | | |no
play.scr |current detection |generic backdoor!d |Trojan |no
764 :
699 :2009/05/08(金) 00:05:10
>>758 Kasperskyは>760の通り、私の所でも全撃墜(全て確定済みのマルウェア判定)したんで、AVIRAだけ追加。
AVIRA AntiVir Personal / 2009/05/07 7.01.03.169
max0.exe - 未検出 / UNDER ANALYSIS
1199.exe - DR/Pcclient.Gen / MALWARE
flashplayer - TR/PSW.Wow.iif
cer.exe - TR/Crypt.ZPACK.Gen / MALWARE
play.scr - TR/Dropper.Gen / MALWARE
未検出のmax0.exe,ヒューリスティック検出(Gen表記)の1199.exe,cer.exe,play.scrの、計4つをAVIRAに提出。
765 :
699 :2009/05/08(金) 00:21:24
>>758 ,764
レス書いてる間にパターンファイルがアップデート。AVIRA 7.01.03.170で
max0.exe - TR/Dldr.VB.mfg
これでAVIRAは全黒でclose。
766 :
736 :2009/05/08(金) 02:07:09
Rising 2009 21.37.34 (21.28.34.00)
>>552 1\codec.exe: Trojan.DL.Win32.Mnless.dfm
4+1=5/12
>>617 5\1780.exe: Trojan.Win32.FakeAV.mv
5+1=6/12
>>741 flashplayer.exe>>upx_c: Backdoor.Win32.Undef.dgw
1/1
>>758 flashplayer.exe>>upx_c: Backdoor.Win32.Undef.dgw
play\1199.exe: Backdoor.Win32.PcClient.tmd
play.scr
>>1199 .exe: Backdoor.Win32.PcClient.tmd
cer.exe: Suspicious: Packer.Win32.UnkPacker.b
3(+1)/5
767 :
699 :2009/05/08(金) 02:53:29
>>767 乙です。
テンプレのWikiにある提出先+Malwarebytes+NictaTech Software に提出完了。
畑違いかもしれないけど、ついでだったので、Lavasoft(Ad-Aware)とSafer Networking(Spybot)にまで提出。
769 :
699 :2009/05/08(金) 22:49:26
>>767 Kasperskyは返答メール来てませんが、確認した結果下記の通り。
Kaspersky 2009/05/08 22:22:00
id2_20090508.pdf - Exploit.Win32.Pidief.atr
id10_20090508.exe - Worm.Win32.AutoRun.aiai
id3_20090508.swfは今の所検出しません。AVIRAの結果からすると白?
AVIRA 7.01.03.176
id10_20090508.exe - WORM/Autorun.aiai
id2_20090508.pdf - EXP/Pidief.rsn (判定はMalware確定だが、7.01.03.176でまだ検出しない)
id3_20090508.swf - 無害(白)で確定
exeがトロイではなくWormになってますね。今後、これまで以上に注意が必要かな?
>>758 NortonInternetSecurity2009
全部撃墜
771 :
699 :2009/05/09(土) 10:58:30
>>769 AVIRA 7.01.03.178
id2_20090508.pdf - EXP/Pidief.rsn 検出可。 >767についてはこれでclose。
あと、どうやらvirustotalパンク中らしい。id3_20090508.swf再チェックしようとしたら、アクセスできなくなってる。
みんなで使いすぎ? (´・ω・`)
772 :
699 :2009/05/09(土) 12:14:54
書くの忘れましたが、
>>775 も各社一通り提出済みです。
freaksstore は、>767を呼び出すスクリプトが残ったままのサイトだそうで。
>>775 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済み
ちなみにNIS2009は無反応でした
Rising 2009 21.37.50 (21.28.50.00)
>>552 4\ftp2.exe: Trojan.DL.Win32.Undef.ehm
5+1=6/12
>>732 a\index1.gif: Trojan.DL.Win32.VB.zty
4+1=5/12
>>767 スルー
>>772 ma.exe: Suspicious: Packer.Win32.UnkPacker.b
0(+1)/1
>>775 flashplayer.exe>>upx_c: Trojan.PSW.Win32.GameOL.zcx
89238632.zip>>mm.exe
mm.exe: Suspicious: Packer.Win32.UnkPacker.b
1(+2)/6
>>775 まかふぃー自動返答。zipが解凍できず扱いされてます…ばらしてmm.exeを別に入れといて良かった。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199■exe |current detection |backdoor-ckb.dr |Trojan |no
89238632■zip |extraction failure | | |no
flashplayer■exe |heuristic detection |new malware.jj |Trojan |no
mm■exe |inconclusive | | |no
mpg■scr |current detection |backdoor-ckb.dr |Trojan |no
www■freaksstore■com.|heuristic detection |with fishy extension |Application |no
780 :
778 :2009/05/09(土) 17:25:38
>>552 Risingより
文件名:InternetAntivirusPro.exe
文件名:minisvr4.exe
文件名:Install_1_1_.exe
文件名:curriculum.exe
文件名:file.exe
文件名:mdm365patch.exe
残り6体すべて不是病毒と返答
6/12
>>779 この辺のネトゲ中華トロイは拡張子zipでも実際はrarだったりする。
しかしマカフィの鯖もファイルのヘッダ見て処理しろよな…。
>>775 NortonInternetSecurity2009
1199.exeを検出
>>777 さんの提出後、約3時間で対応
783 :
782 :2009/05/09(土) 18:06:27
もう一つ mpg.scrも検出
トレンドマイクロはバージョンが8.950になってからの検出率が大幅に上がった感じがする・・・ この8.950がすごく気になるがググっても詳細が出てこないしトレンドマイクロのサイト見ても出てないんだよな・・・
>>775 乙
カスペ2009 17:31:00
5/6
検体提出します。
Detected virus HEUR:Trojan.Win32.Generic /flashplayer.exe
Detected Trojan program Backdoor.Win32.PcClient.alfm /1199.exe
Detected Trojan program Trojan.Win32.Inject.yml /89238632.zip/mm.exe
Detected Trojan program Trojan.Win32.Inject.yml /mm.exe
Detected Trojan program Backdoor.Win32.PcClient.alfm /mpg.scr/1199.exe
>>758 Dr.Web返答。未検出分の検出名確定でClose.
Threat: Trojan.MulDrop.23178
788 :
785 :2009/05/09(土) 19:49:03
カスペからの返事
>>775 flashplayer.exe - Trojan.Win32.Agent.cfps (←HEUR:Trojan.Win32.Genericからの変更)
This file is already detected.
>>787 ちゃんとしたシグネチャ検出も増えてる印象があるけど>8.950
あくまでも印象だから今後のこのスレの検体のVitustotalの検出状況見ないとわからんな
790 :
785 :2009/05/09(土) 23:37:01
カスペからの返事2(
>>788 )
>>775 www.freaksstore.com.htm_ - Trojan.JS.Agent.aca
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
このあたり(Trojan.Js.Agent)は完全にポリシーだな。
落ちてくる本体で撃退できればいいと思うが。
一応
5+事後検出1=6/6でクローズ
791 :
699 :2009/05/10(日) 01:47:17
>>775 ん〜、出遅れた。
Kaspersky 2009/05/10 0:37:00
>785,787の対応まで完了(全部名称まで確定して検出)しているの確認。 htmlはまだ未対応です。
AVIRAは週末休み中なので、>775から変化なし。大体、パターンファイルが>771の7.01.03.178から更新されてないし。
一応検出名書いておくと、
1199.exe - DR/Pcclient.Gen
89238632.zip - TR/Crypt.ZPACK.Gen
mm.exe - TR/Crypt.ZPACK.Gen
flashplayer.exe - TR/PSW.Agent.25088
mpg.scr - TR/Dropper.Gen
でした。(htmlはスルー) ヒューリスティック検出に正式名が付くとしても、それは月曜日以降ですね。
# AVIRAは、この週末のデータベース更新休みが無ければ、本当に良いソフトなのだが...時差の関係で
ドイツより日本の方が月曜日が来るのが早いから、週末〜(特に)月曜日が怖いんだよね。
>>773 Thanks. 結構対応済みだったんですね。
>>790 でも、呼び出しのスクリプトも検出できるようになると、感染サイトを見つけるのが楽になるというメリットも...(汗
んー、今はドメインやすいからな。 激安で30円くらい。 ドメイン取得→サーバーにドメイン関連づけ→FTPアップロード→詐欺・搾取行為→サイト閉鎖 極端に早ければ、1日で消えるドメインもある。 jpは高いけれど、それ以外は…。
>>772 カスペ返答(呼び出しのhtmlも含む)
ma.exe - Trojan.Win32.Inject.xvb
Ms06014.htm - Trojan-Downloader.VBS.Agent.io
Ms07004.htm - Exploit.JS.Agent.aev
Real.htm - Exploit.JS.RealPlr.ob
These files are already detected. Please update your antivirus bases.
MsAccess.htm - Trojan-Downloader.JS.Agent.dzg
watch.htm - Trojan-Downloader.JS.Iframe.avu
New malicious software was found in these files. Detection will be included in the next update.
794 :
699 :2009/05/10(日) 15:26:43
795 :
699 :2009/05/10(日) 15:28:20
>>794 あ、前の書き直して転用したから、1ヶ所直ってない。(汗
id10_20090508.exe → id10_20090510.exe です。
796 :
699 :2009/05/10(日) 15:58:17
Rising 2009 21.37.60 (21.28.60.00)
>>732 9\install_flash_player.exe: Trojan.DL.Win32.VB.zuf
5+1=6/12
>>794 >>796 スルー
検体提出完了
>>794 ,
>>796 AntiVir9 全部スルー。Aviraにはftp経由で提出完了。他社はこれから適当に提出してきます。
>ドイツより日本の方が月曜日が来るのが早いから、週末〜(特に)月曜日が怖いんだよね。 何故か日本時間で月曜日迎えるとAviraはシグネチャアップデートできるんだけど・・・ 確かに向こうはまだ日曜日のはずなんだけど
801 :
699 :2009/05/10(日) 17:25:25
>>800 その辺は、アップデートしたりしなかったりという印象ですね。>AVIRA
例えば、今は、AVIRAは>771の頃から、既にかれこれ30時間以上、データベースのアップデートが行われていません。
平日は1日に数回以上のアップデートがあるので、明らかに平日と休日で対応が違います。
ちなみに、私がWeb上で提出した週末分のマルウェアも、全部ステータスが『分析中』から全く更新されません。
それが悪いかどうかは使用者の環境などにもよると思いますが、AVIRAの一つの特徴であるとは感じます。
# 私はPersonal版を使っていることもあって、そういうものだ、と割り切っていますが...
803 :
699 :2009/05/10(日) 18:15:59
>>802 >Aviraはこれさえなければ現時点で最強のアンチウイルスだと思います、規模が小さい会社だという話しを聞いてるからなお更凄いと思う
同意です。
体験版などで色々なベンダーを試してみて感じているのは、完璧なベンダー(常に100点をとる)は存在しないけど、
満足できるレベル(大体の場合90点以上)のベンダーは存在するということです。
AVIRAは、私のようなアブノーマルな人(wが使っても、明らかに満足できるレベルに到達していると思います。
まあ、スレ違いなので、この話はこの辺で。
>>12 の更新頻度調査では、曜日毎のアップデート回数も見れるので
土日に手を抜いてるベンダーは一目瞭然だっだりする
Rising 2009 21.37.62 (21.28.62.00)
>>672 b\av.26.0.exe: Trojan.Win32.FakeAV.mz
5(+1)+1=6(+1)/12
>>796 winav.exe: Trojan.Win32.FakeAV.na
1/1
Risingは月〜木5回、金〜日2・3回
毎日更新はあるものの放置期間長いし、定義反映が遅いからあんま意味ない・・
>>804 殆どのベンダーが土日は手抜きしてる件
土日も気合入れてるのはアップデート回数が多いKasperskyとBitDefenderぐらい、あとはSymantecもか
McAfeeとPandaはクラウドベースだからアップデート回数はちょっと参考に出来ない(TrendMicroも?)
>>794 乙
>>796 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済み
808 :
699 :2009/05/10(日) 20:22:18
>>794 Kaspersky 2009/5/10 19:32:00
id10_20090510.exe - Trojan.Win32.Agent.cfuc 確定
id2とid3は変化なし。
>>794 ,
>>796 カスペ返答。id2は定義確定。id3は白判定(えー
id10_20090510.exe - Trojan.Win32.Agent.cfuc
winav.exe - Trojan.Win32.FraudPack.mmx
These files are already detected. Please update your antivirus bases.
id2_20090510.pdf - Exploit.Win32.Pidief.atx
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
id3_20090510.swf
No malicious code was found in this file.
810 :
699 :2009/05/10(日) 23:43:41
>>809 乙
KIS2010の新砂箱(仮想環境での実行)をみると、予想通り
id10実行→レジストリへの不明なドライバの登録、コードインジェクション、スタートアップの登録、プロセスの終了etc→疑わしい。
id3実行→特に何もなし。
ここで質問するのはスレ違いな気もして悪いんだが、KIS2010って仮想実行機能もできたの? 今年のバージョンのウザいシステム監視だったかそんなのがなくなってればまた導入したいんだが…
>>806 ドイツは基本的に土日は働いちゃいけないことになってるからな。
814 :
699 :2009/05/11(月) 01:54:23
寝ようと思っていた所に、休みのはずですが、AVIRA来ました。 どうやら、今回は日曜日の夜に週末分をまとめて処理している模様。 乙ですね。>AVIRA AVIRA9 7.01.03.179 >794 id10_20090510.exe - TR/Agent.cfuc id2とid3は、まだ未反応。 >796 winav.exe - TR/FraudPack.mmx 2つ検出可になりました。 ではお休みなさい。ノシ
>>813 特定職種以外は原則禁止されているのは、土日じゃなくて日曜と祝日じゃなかった?
散布元がこれだけファイルをコロコロ変えてくるとシグネチャ定義では対応できません。 by kaspersky lab
シグネチャで退治できないってことは、 オフラインスキャン(特に、外付けブートから)で退治できないってことにならないか > ベンダ問わず
tp://www3.atword.jp/gnome/2009/05/08/gumblarcn-patissier-make-sure-new-daily-variety/ の文章に勝手に「by kaspersky lab」を付け加えるとか いかにも雑音のやりそうなことだ
>>818 スレ違い
>>817 ヒューリスティックの出番ですよ。なんとなくスレ違いっぽい気がしますが。
セリフには元ネタがあったのかww
>>775 Rising 2009 21.38.01 (21.29.01.00)
1199.exe: Backdoor.Win32.PcClient.tom
mpg.scr
>>1199 .exe: Backdoor.Win32.PcClient.tom
1(+2)+2=3(+2)/6
>>732 Risingより
文件名:hgcheck.exe
文件名:Install_2010-1.exe
文件名:ProDMInstall.exe
不是病毒
6/12(3体不是病毒、残り3体解析待ち)
>>822 Rising 2009
3\win.exe
>>68 : Trojan.PSW.Win32.GameOL.yqw
6\softwarefortubeview.40013.exe: Trojan.DL.Win32.Undef.ehy
4\Install_1_1_.exe: Suspicious: Packer.Win32.UnkPacker.c
検体提出完了
久々です。NOD32 V3.0 定義4064
>>822 乙
8/12
b\sumo.exe Win32/Adware.Agent.NMA アプリケーション
a\shoptime.scr Win32/TrojanDownloader.Banload.PAAの亜種 トロイの木馬
8\antivirus.exe Win32/Adware.PrivacyComponentsの亜種 アプリケーション
7\bradesco.com Win32/TrojanDownloader.Banload.PAAの亜種 トロイの木馬
6\softwarefortubeview.40013.exe Win32/TrojanDownloader.Zlob.CZK トロイの木馬
5\index1.gif Win32/TrojanDropper.VB.NHKの亜種 トロイの木馬
3\win.exe Win32/PSW.WOW.NJX トロイの木馬
1\setup.exe Win32/Adware.Virtumonde.NEK アプリケーション
未検出検体は提出済。
>>822 AntiVir (9/12) 提出してきます。
>>822 乙
NIS2009で、5/12 (3、4、6、7、8)
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
>>822 BitDefender10Free (3/12)
a-squared Free 4.5 (9/12)
828 :
699 :2009/05/11(月) 22:38:34
>>822 乙です。
Kaspersky 2009/05/11 21:33:00 - 5/12
0 -
1 -
2 -
3 - Trojan-GameThief.Win32.WOW.iic
4 -
5 - Trojan-Downloader.Win32.FraudLoad.eiw
6 - Trojan-Downloader.Win32.Small.jro
7 -
8 - not-a-virus:FraudTool.Win32.PrivacyCenter.r
9 - not-a-virus:AdWare.Win32.Agent.nmd
a -
b -
検出しなかったもの7個を提出します。
829 :
699 :2009/05/11(月) 23:12:52
おいおい もうかよ (汗) なんてこったい
831 :
699 :2009/05/11(月) 23:51:29
>>810 ,814
AVIRA返答。gumblar.cn 5/10版は
id2_20090510.pdf - EXP/Pidief.gts
id3_20090510.pdf - SWF/Drop.Small.LD.
id10_20090510.exe - TR/Agent.cfuc の全黒でclose。
>>829 Kaspersky返答。gumblar.cn 5/11版
id2_20090511.pdf - Trojan.JS.Agent.act,黒
>>829 たぶん、このUPX改造してあって
Unpackに失敗して処理が追えない。
Dr.WEBに投げると解凍でエラーになる。
>>822 ,828
Kaspersky返答。未検出のファイルについて下記の通り。
# 何か、今日は返事が良く来る。もしかして、Kasperskyって最初の検体提供者に返事してるんだったりして...
0 - 白
1 - Trojan.Win32.Stuh.mkt ,黒
2 - 白
4 - not-a-virus:FraudTool.Win32.Agent.nf ,黒
7 - Trojan-Downloader.Win32.Banload.aduk ,黒
a - Trojan-Downloader.Win32.Banload.adul ,黒
b - 白
黒 5+4,白 3でclose。 今日はこんなところで。ノシ
836 :
699 :2009/05/12(火) 01:27:46
>>829 ,831
id10_20090511.exe - Trojan.Win32.Agent.cgch ,黒
検体送りすぎたせいか、FileScannerも併用しろとのお達しが...(w
http://www.kaspersky.com/scanforvirus で怪しいファイルをアップロードすると、ファイルを自動検査してくれます。
他の人が提出していて、既に結果が確定しているファイルについては、結果が表示されます。
id10_20090511.exeはメールの返答来ていませんが、FileScannerでは検査結果が表示されます。上記はその結果です。
ん〜、今度から小さい物はAVIRAのWEB提出同様、Kasperskyはメール止めてFileScannerだな...(苦笑
>>829 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
>>836 何を言ってるんだ。インストールが必要なオンランスキャンではないんだから。
ファイルスキャナで確認して検知しない物だけを送るんだよ。Dr.WEBもね。
というか、カスペは検出が追いつかないから Web Traffic で gumblar.cn へのアクセスを遮断してるんだけどね
840 :
699 :2009/05/12(火) 23:11:26
>>838 いや、今まではKasperskyもAVIRAも、自機に入っているものを手動でパターンファイルを最新にして、
それでも検出しないものだけを送っていたんです。
ただ、昨日確認した所では、Web上で使われるパターンファイルの方が更新早いようで、Trojan.Win32.Agent.cgch
なんかは、手元のKasperskyで検出できなくても、FileScannerでは黒判定が出てました。
ということで、誰かが既に提出して黒判定が出ている分は、自分のPCに入っているKasperskyで検出しなくても
FileScannerで検出できたものは、重複作業をしないために送らないでくれということかと判断してます。
ま、次からですね...これをやるのは。
なお、5/12 23:00現在、gumblar.cnから落ちてくるファイルは、昨日の>829と同じものでした。
(いつもキャッシュを全消ししてから再度落としているんで、gumblarは今日は休みって事で良いかと。)
>>838 多数のベンダに提出してると、そこまでチェックしてられないこともありますよ。
未検出の分のみを提出するのが理想ではありますが、ぶっちゃけそこまでやってられません。
>>829 AntiVir exeのみ検知。pdfはスルー。提出しました。他も、現時点のVTでスルーしてるとこに送っておきます。
Rising 2009 21.38.14 (21.29.14.00)
>>767 id10_20090508.exe: Worm.Win32.Undef.gk
1/3
>>822 1\setup.exe: AdWare.Win32.Mnless.ave
7\bradesco.com: AdWare.Win32.Mnless.avf
a\shoptime.scr: AdWare.Win32.Mnless.avf
2(+1)+3=5(+1)/12
843 :
699 :2009/05/13(水) 00:07:50
844 :
699 :2009/05/13(水) 00:17:36
>>836 ,838,840-841
スミマセン。KasperskyからFileScannerに放り込めって書かれた理由がわかりました。
Kasperskyに送ったメールで、1個ファイルを添付し忘れたのがありました。orz
それに対する返信メールに書かれていたのでした。(>843のメールする時に、メール一覧見て気がついた。(汗 )
つまり、
自分)Virusっぽいんだけど判断して
カスペ)オイオイ、ファイルが添付されてねーよ、このメール。
しょうがねぇ、FileScannerに放り込めって書いておくか。
ということで、Kasperskyの中の人が気を利かせてくれたのでした。 お騒がせして申し訳ない...m(_ _)m
# 大量に連投している最中だったんで、逆に向こうも気がついたんじゃないかと。
845 :
699 :2009/05/13(水) 00:23:05
>>843 レス書いてる内にKaspersky返答。
codec.exe - Trojan-Downloader.Win32.FraudLoad.ejt ,黒
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
>>843 699さんに要望なんですが・・・
できるなら各ベンダーに検体提出してくれますか?(VT上の全ベンダーに提出する余裕がないなら大手ベンダーだけでも)
>>843 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
>>843 AntiVir スルー。各社に提出します。(MicrosoftとSophos以外はヒューリスティックで検知なのかな?)
>>846 分業でいいじゃない。拾ってきてくれるだけで十分有難い。一人で全部やっちゃったら、ここに持ち込む意味ないっしょ。
ぶっちゃけ、拾ってきて各社に提出してると、ここにUPして報告してる暇ないよ。
日替わりのなんたら■scrとか、flashplayer.exeなんか、提出はしてるけどここに持ち込む余裕ないし。
>>846 まあそりゃそうだけど・・・
ここまで検体アップのサイクルが早いと他の提出する人も大変じゃないかと・・・
ただ「一人で全部やっちゃったら、ここに持ち込む意味ないっしょ。」には同意だしむしろそれこそこのスレの意味があるからこのスレにおいてこの問題は難しいかもね・・・
レスアンカー間違えたorz
850のレス先は846ではなく
>>849 です
>>844 >Kasperskyに送ったメールで、1個ファイルを添付し忘れたのがありました。orz
あるある。わたしも、さっき1通添付し忘れて送信しちまったw
>>843 ,847
Avira、カスペ、Symantec、a-squared、Malwarebytes が被っちゃったけど、
テンプレのWikiの宛て先全部(nProtect除く)と、Malwarebytes、NictaTech に提出完了。
>>850-851 提出報告の後、どの位で、一般配布パターンで検知できるようになったかの報告をするって意義は残るけどねー。
報告数が多いと、流れが速すぎて、検知報告する間もないという問題も。
853 :
699 :2009/05/13(水) 01:09:18
>>846 や、流石にそれは難しいなあ。
自分の空き時間でマルウェア新種見つける
→ KasperskyとAVIRAで検出有無確認
→ Virustotalに投げる
→ 情報整理して、未検出分はKasperskyとAVIRAに提出
→ ロダにアップしてここに書き込み
なんで、これ以上やると必要な睡眠時間が削られちゃう。(汗
1) >849さんの通り、分業を期待してここに投げているのが一つ。
2) もう一つは、Virustotalには必ず投げているので、基本的には時間がかかっても検体は各ベンダーに届くはず。
ということで勘弁してくれると嬉しいな。(w
# 個人的には、自分がヘビーに使っているKasperskyとAVIRAの2つをヘルプする意味で、重点フォローしてるので...
他のベンダーは、自分と同じように、そのベンダーのヘビーユーザーが提出してくれていることを期待してます。(w
>>853 >自分と同じように、そのベンダーのヘビーユーザーが提出してくれていることを期待してます。(w
それをしたくても出来ないという状態のNorton&Panda&AviraSuite使いのぼやきです・・・
NortonとAviraは毎度提出報告があるから心配してないけどPandaは他の人が提出してくれたかどうかがわからずやや不安なんですよね・・・
とりあえず6月になればまた検体提出の復帰できるかもしれないけど・・・
>>854 一応、このスレに出てきたのは全部メールで提出してますが、返事来ないので対応状況は不明です。>Panda
返事来ないベンダーは、時々、不安になるよね。
メールBox溢れたり、いきなりアドレス消滅したりする所あるから。
>>843 まかふぃー自動返答。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
codec.exe |new detection |fakealert-cm |Trojan |yes
のーとん自動返答
手動解析に回します。Close。
>>850 >ここまで検体アップのサイクルが早いと他の提出する人も大変じゃないかと・・・
それを1人に押し付けたらもっと大変だと思わないのか?
理想はそれぞれのプロダクトに担当が張り付くことだけど、
現状でこれに近いんじゃないの?
>>829 Rising返答
1. Filename:id10_20090511.exe
Virusname:Trojan.Win32.Nodef.jak
2. Filename:id2_20090511.pdf
No malware.
Rising 2009 21.38.21 (21.29.21.00)
>>490 b\installing_test.exe: Trojan.Spy.Win32.Undef.ec
4+1=5/12
>>617 6\ppc.exe: Trojan.Win32.StartPage.mlh
6+1=7/12
>>726 3522938.exe: Trojan.PSW.Win32.GameOL.zla
3522938.zip
>>3522938 .exe: Trojan.PSW.Win32.GameOL.zla
2/2
>>772 ma.exe: Suspicious: Packer.Win32.UnkPacker.b → Trojan.PSW.Win32.GameOL.zla
1/1
>>829 id10_20090511.exe: Trojan.Win32.Nodef.jak
1/2(Risingより
>>858 と同じ返答メール)
862 :
699 :2009/05/14(木) 21:27:25
Rising 2009 21.38.34 (21.29.34.00)
>>490 9\codec.exe: Trojan.DL.Win32.Nodef.pw
5+1=6/12
>>588 index.html2.1: Hack.Exploit.Win32.PDF.jsg
1+1=2/6
>>732 0\ProDMInstall.exe>>$TEMP\twads.exe>>TargetWebADS.dll: Trojan.Win32.FakeAlert.bs
6+1=7/12
>>862 スルー
検体提出完了
>>862 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
866 :
699 :2009/05/14(木) 23:03:41
867 :
699 :2009/05/14(木) 23:13:09
>>866 コメント書いてる内にAVIRAから3個返答。
install.exe - TR/Fakealert.YW
install2.exe - TR/Fakealert.YY
IAInstall.exe - 黒(名前未定)
AVIRA >862は解析中。 で、AVIRAを書いている内にKasperskyから返答。
install3.exe - Trojan.Win32.Tdss.adav
IAInstall.exe - Trojan.Win32.Tdss.adan
Kasperskyも >862は返答無し。(Kasperskyは、上2個のHEURの分だけ隔離フォルダから先行して送ったので、その分だけ先に返答が来た)
>>866 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
870 :
699 :2009/05/14(木) 23:52:08
>>862 AVIRA返答
id2_20090514.pdf - EXP.Pidief.9585
id10_20090514.exe - 黒(名前未定)
>>866-867 AVIRA返答追加
install3.exe - 黒(名前未定)
>866-867をまとめると、AVIRA、既検出分も含めて全部黒。
>>866-867 Kaspersky返答追加
install.exe - Trojan-Dropper.Win32.Agent.apaw
install2.exe - Trojan-Dropper.Win32.Agent.apax
>866-867をまとめると、Kasperskyも、既検出分も含めて全部黒。
つか、今日はAVIRAもKasperskyもエライ元気だ。
873 :
699 :2009/05/15(金) 01:10:10
874 :
699 :2009/05/15(金) 01:12:19
>>866 McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
iainstall.exe |inconclusive | | |no
install.exe |inconclusive | | |no
install2.exe |inconclusive | | |no
install3.exe |inconclusive | | |no
install4.exe |new detection |generic downloader.x!bt |Trojan |yes
>>871 McAfeeに提出させて頂きました。
AVERT自動返信
access.html |inconclusive | | |no
asagaya-drum.com.htm|inconclusive | | |no
asagaya-drum_map.htm|inconclusive | | |no
bar.html |inconclusive | | |no
cafe-melody.net.htm |heuristic detection |with fishy extension |Application |no
cafemenu.html |inconclusive | | |no
day0803.html |inconclusive | | |no
info.html |inconclusive | | |no
install_flash_player|inconclusive | | |no
link.html |inconclusive | | |no
link.html |inconclusive | | |no
melody0903.html |inconclusive | | |no
menu.html |inconclusive | | |no
mon0905.html |inconclusive | | |no
rental.html |inconclusive | | |no
staff.html |inconclusive | | |no
top.html |inconclusive | | |no
>>874 McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install_flash_player|inconclusive | | |no
>>874 各社に一通り提出完了。うちでは
>>871 しか落ちてこないので、OSのバージョンとか見てるんだろうか?
>862,>866も重複気にせず各社に一通り提出。
>>874 1、文件名:install_flash_player.exe
病毒名:Dropper.Win32.Undef.wv
瑞星2009的21.29.42版本(瑞星2008的20.96.42版本)で対応予定
Rising 2009 21.38.42 (21.29.42.00)
>>881 6\install_flash_player.exe: Dropper.Win32.Undef.wv
1/12
Risingに検体提出完了
883 :
699 :2009/05/15(金) 20:36:12
>>881 乙です。
Kaspersky 2009/05/15 18:57:00 - (9/12)
0 - スルー(FileScannerもスルー)
1 - スルー(FileScannerもスルー)
2 - Trojan.Win32.Agent2.jju
3 - Trojan.Win32.Agent2.jjr
4 - Trojan-Spy.Win32.Agent.arbd
5 - Trojan-Downloader.Win32.Agent.bxpa
6 - Trojan-Spy.Win32.Zbot.toz
7 - Trojan-Dropper.Win32.Agent.aozr
8 - スルー(FileScannerもスルー)
9 - Trojan-Downloader.Win32.CodecPack.fyr
a - Trojan.Win32.Agent.cgwf
b - not-a-virus:FraudTool.Win32.PrivacyCenter.ad
0,1,8は提出します。
884 :
699 :2009/05/15(金) 20:56:24
>>881 続いて、AVIRA9 2009/05/15 7.01.03.211 - (5+4/12)
0 - スルー,Web上での自動判断 - UNDER ANALYSIS
1 - スルー,Web上での自動判断 - UNDER ANALYSIS
2 - TR/Dldr.Agent.lop
3 - TR/AddRun.nkj
4 - スルー,Web上での自動判断 - UNDER ANALYSIS
5 - スルー,Web上での自動判断 - 黒.TR/Flood.Agent.BA
6 - TR/Spy.ZBot.toz
7 - TR/Drop.Agent.aozr
8 - TR/Dldr.Small.jrs
9 - スルー,Web上での自動判断 - 黒(名称未定)
a - スルー,Web上での自動判断 - 黒(名称未定)
b - スルー,Web上での自動判断 - 黒(名称未定)
5,9,a,bの4個は、提出時の自動判断で黒判定が出ていますので、シグネチャの更新待ち状態です。
この感じだと、KasperskyもAVIRAも、既に誰かが提出済みだったかもしれませんね。
885 :
699 :2009/05/15(金) 21:05:30
>>884 AVIRA返答。 早い...出してから5分もたってねーぞ。(;´д`)
0 - AdvOcr.dll - ファイルが壊れている。
4 - astakiller.dll - 黒,SPR/Tool.Obfuscator.DO.56
これは、私の前に誰かが提出してますね、間違いなく。
886 :
699 :2009/05/15(金) 21:50:29
Rising 2009 21.38.44 (21.29.44.00)
>>886 スルー
提出完了
890 :
699 :2009/05/15(金) 22:44:57
>>879 や、申し訳ない。私の見間違いでした。
>871 addobeflashplayer●com/get/flashplayer/current/install_flash_player.exe
>874 addobeflashplayer●net/get/flashplayer/current/install_flash_player.exe
アドレス長いんで、ぱっと見て気がつかなかった。orz (comとnet) では、今日はこの辺で。ノシ
892 :
891 :2009/05/15(金) 23:05:40
AVERT自動返信 File Name Findings Detection Type Extra --------------------|------------------------------|----------------------------|------------|----- install_2004.exe |new detection |fakealert-av360 |Trojan |yes
>>890 気にすんな。怪我の功名で検体が1個増えて良かったじゃないか。
>>881 ,
>>886 カスペ返答
(一部のファイルを展開して中身の個別ファイルも送っているので個数がちょっと変化してます)
追加検出分(アドウェア)新規4、既知8、新規1、白判定3−−−詳細省略
AdvOcr.dll,
System.dll,
xpsp3core.dll
No malicious code were found in these files.
895 :
699 :2009/05/16(土) 12:46:30
896 :
699 :2009/05/16(土) 13:03:25
>>895-896 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
Virustotalに「yarai」も参入して欲しいなー
899 :
699 :2009/05/16(土) 14:05:26
>>898 乙です。
今度の監視対象
martuz.cn/vid/?id=2 (pdf)
martuz.cn/vid/?id=3 (swf)
martuz.cn/vid/?id=10 (exe)
私の所も、同じ物落ちてきました。これからKasperskyとAVIRAに提出するのと、GoogleのSafeBrowsingに通報します。
>>898 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
>>1 ThreatExpertはHP上でマトモな報告活動してるんで、テンプレに提出先を追加希望
>>900 シマのBloodhoundって久しぶりに見た機がするなぁ
>>902 今のノートンのヒューリスティックはSuspiciousとつけられてるのが多いよね。
あとはPacked.Genericとか
Rising 2009 21.38.51 (21.29.51.00)
>>881 4\astakiller.dll: Trojan.Spy.Win32.Agent.ero
1+1=2/12
>>895-896 >>898 スルー
Risingに提出完了
907 :
699 :2009/05/16(土) 18:49:51
>>907 PandaとNorton
ともに8個検出
>>907 のSymantecがVirustotal結果ではスルーしてるが実際には検出してるもの一覧
FlashPlayer.v9.exe
load.exe
zoom.exe
>>907 のVirustotalの結果は最新結果ですか?
Rising 2009 21.38.52 (21.29.52.00)
>>881 3\59cpm.exe: Trojan.Win32.Delf.yod
2+1=3/12
>>907 FlashPlayer.v9.exe>>upx_c: Trojan.DL.Win32.Nodef.qa
main.exe: Trojan.Spy.Win32.Agent.epp
2/10
Risingに提出完了
911 :
699 :2009/05/16(土) 19:16:03
>>909 全部最新です。
で、手元のソフトが検出するのにVirustotal(VT)が検出しない、というのは結構良くあります。
Kasperskyでも同様のことは多々ありますので、多分VTで使われるエンジンorシグネチャが
実ユーザー(実際に製品を購入して使っている人)が使っているものよりも、古いのだと思います。
それに、各ソフトのヒューリスティックエンジンが捕まえるものは、あまりVTには反映されないようです。
Kasperskyの例だと、HEURの検出物は、ほぼ必ずと言っていい程VTでは未検出扱いになります。
その辺、他のベンダーの実際の状況は私には判断できないので、結局このスレに投げているという...(汗
>>911 Kasperskyの場合はVTは7.0のままですからね
ヒューリスティック検出性能は2009>
>>7 .0だからVTと手元で違いが起きるのは仕方ない
ただSymantecの場合はよくわからない
あとはTrendMicroもクラウド化を始めたのかどうかも不明なのでPCの環境が整い次第ウイルスバスターの検出報告も始める予定、まだライセンスも残ってるからもったいないし
ま、ロードマップにも出てるしバスターのクラウド化は2010には確実に始めると思うけど
それにしても最近のAviraの傾向見てると悪い意味でKasperskyやNOD32化してる悪寒(対応速度は速いけどスルー検体が増えてきたという意味で)
シグネチャ+ヒューリスティックの古典的スタイルは今のご時勢は限界なのかな〜〜・・・・?
失礼、NOD32は対応速度はそれほどでもなかった
>>907 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
>>907 McAfeeに提出させて頂きました。
2/10 (Active Protection 無効)
Install_2019.exe(FakeAlert-av360)
bot.exe(Generic.y!hv.i)
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bot.exe |new detection |generic pws.y!q |Trojan |yes
bot3.exe |heuristic detection |new malware.aj |Trojan |no
flashplayer.v9.exe |new detection |generic.dx!cp |Trojan |yes
load.exe |inconclusive | | |no
main.exe |new detection |generic pws.y!r |Trojan |yes
moneta.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no
zoom.exe |inconclusive | | |no
916 :
699 :2009/05/16(土) 20:56:31
カスペ2009 21 05検出ベースまとめ
>>881 10/12 (0,8以外),白2(0,8)
>>894 >>886 0+事後検出1=1/
Detected Trojan program Trojan.Win32.Agent.chas \tane0321.zip/Install_2004.exe
>>895 1/1 (
>>895 )
>>898 ,900 1+事後検出1=2/3
Detected virus HEUR:Exploit.Script.Generic \tane0324.zip/martuz1.pdf
Detected Trojan program Trojan.Win32.Agent.chbm \tane0324.zip/martuz1upx.exe
>>907 10/10
Detected Trojan program Trojan.Win32.Pakes.nkf \tane0325.zip/Install_2019.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen \tane0325.zip/bot.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen \tane0325.zip/bot2.exe
Detected Trojan program Trojan-Downloader.Win32.Delf.ttu \tane0325.zip/bot3.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.ttw \tane0325.zip/load.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen \tane0325.zip/main.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.ttv \tane0325.zip/moneta.exe
Detected Trojan program Trojan.Win32.Pakes.nkh \tane0325.zip/softwarefortubeview.40000.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.soo \tane0325.zip/zoom.exe
>>916 2/2 (
>>916 )
699さん、おつかれー。
>>895 >>896 >>898 >>907 あぷろだから拾いました。これから、マイナー所各社への提出準備します。
−−−−−
今日の成果(?)
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=327 infected
いつものリネージュ資料室の更新リストから拾った日替わりのmpg■scrと
gumlar■cn を呼び出すスクリプトが入ったhtmlごっそり。このスクリプトは
スルーする所が殆どです。なんとか、このスクリプトをダウンローダ扱いで検知して
ブロックしてくれれば、PG2入れてない人でもWeb巡回が安心なんですが難しそうです。
各社に提出済みですが、htmlの検出状況があれだったもので、参考までに置いときます。
・Avastは殆ど撃墜しているが、ぽつぽつとすり抜けているものあり、Avastなら感染サイトを
踏んでも大丈夫とは言い切れないことがはっきりしたかな。
JS:Redirector-H2,JS:Redirector-H4,JS:Redirector-H7、JS:Redirector-H9 を確認。
・htmlが多いので、Symantec宛にだけ(一度に9ファイルの制限あるので)
自己解凍のアーカイブにして送ったので、後回しにされるの確実な状況です。
Syamatecユーザーで、手の開いている方は、htmlだけ送信して頂けると助かります。
・McAfeeの自動返答を見ると幾つかは引っ掛かるものがあったのですが、
拡張子がおかしいファイルとして検知してるので、実質スルー状態ですね。
www.livmail.com.htm | heuristic detection | with fishy extension | Application |no
拾ったhtmlのHP管理者には、危険なスクリプトが挿入されていることを
なんらかの形で連絡して見ていますがいつ気付いてくれるか不明…っつーか
感染サイト多すぎて、警告しきれないですね、これ。連絡先書いてないページも多いし。
(連絡したうちの2箇所は、対処を始めたのを確認済みですが、追跡調査までやってらんない)
NortonInternetSecurity2009
>>886 はヒューリスティックで検出確認
>>895 も検出確認
922 :
699 :2009/05/16(土) 22:40:42
>862以降のKasperskyまとめ。(未検出もしくはヒューリスティック検出のもの) データベース 2009/05/16 21:05:00,大体のものは、データベースに反映されたの確認。 >862 id2_20090514.pdf - HEUR:Exploit.Script.Generic(名前未定のまま) id10_20090514.exe - Trojan.Win32.Agent.cgus >866 install.exe - Trojan-Dropper.Win32.Agent.apaw install2.exe - Trojan-Dropper.Win32.Agent.apax install3.exe - Trojan.Win32.Tdss.adav IAInstall.exe - Trojan.Win32.Tdss.adan >881 1)setup.exe - not-a-virus:AdWare.Win32.Agent.nnp >886 Install_2004.exe - Trojan.Win32.Agent.chas >896 install.exe - Trojan.Win32.FraudPack.mqj softwarefortubeview.45013.exe - Trojan.Win32.Pakes.nkh >898 martuz1upx.exe(martuz_cn_id10_20090516.exe) - Trojan.Win32.Agent.chbm martuz1.pdf - HEUR:Exploit.Script.Generic(名前未定のまま) 現時点でもスルー >896 - flash.swf >898 - martuz1cwd.swf
>>920 wokutonoken-online\1199.exe: Backdoor.Win32.PcClient.ttk
wokutonoken-online\mpg.scr
>>1199 .exe: Backdoor.Win32.PcClient.ttk
Risingに提出完了
924 :
699 :2009/05/16(土) 22:43:59
>>922 うわ、リロードするべきだった。>919さんと思いっきりかぶった。orz
# GENOスレ読んでから書いたのが間違いだった (汗
このスレでの各ベンダーの検出名見て思ったけど ヒューリスティック検出=Generic検出のベンダーがあればヒューリスティック検出とGeneric検出は別物扱いというベンダーがあるね 前者はNorton、Kaspersky、NOD32、ウイルスバスターで後者はMcAfee、Pandaといったところか NortonのGenericはヒューリスティックとして扱われてるけどPandaのGeneric検出はシグネチャ扱い(その証拠に隔離することができない、Pandaの隔離フォルダはヒューリスティック検出しか隔離できない特殊な隔離フォルダ) avast!みたいにGeneric検出はあるけどヒューリスティックがないベンダーもあるね Avira、AVG、BitDefenderはどういう区分けしてるんだろう?
>>920 > ・Avastは殆ど撃墜しているが、ぽつぽつとすり抜けているものあり、Avastなら感染サイトを
> 踏んでも大丈夫とは言い切れないことがはっきりしたかな。
で、どのソフトが一番検出したの?
Virus Totalの結果は?
927 :
923 :2009/05/16(土) 22:55:30
>>923 はRising 2009 21.38.52 (21.29.52.00)
>>920 既に分析済みで不是病毒だよとRisingからメールが届いた
928 :
699 :2009/05/16(土) 23:07:58
>>920 乙です。
AVIRA 7.01.03.215
1199.exe - DR/Pcclient.Gen
mpg.scr - TR/Dropper.Gen
Kaspersky 2009/05/16 21:05:00
1199.exe - Backdoor.Win32.PcClient.alzv
mpg.scr - Backdoor.Win32.PcClient.alzv
どちらも、呼び出しhtmlは全く検出しませんねぇ。(w まあ、これは前からですが。
AVIRAはPersonal版なのでどうかわかりませんが、Kasperskyの方は内蔵Firewallがgumblar.cnへのアクセスを
全部ブロックするので、htmlには対応する気が無いという気がします。
多分、Norton含め、他の統合系も同じでしょう。確か、バスターではgumblar.cnをブロックしたログがどうのこうの
という書き込みありましたし、gumblar.cnなどへのアクセスをしっかりブロックしていれば、呼び出しhtml怖くないですから。
# 検体提出時にgumblar.cn → martuz.cnのドメイン名変更のことも通知してあるので、KISでは
その内murtuz.cnもブロックされるようになるはず。
>>916 乙
>>920 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
>>920 Symantecも後者かな
ヒューリスティック検出 (高度な予測検出) Suspicious.MH690.A、Suspicious.S.Infostealer、Bloodhound.Exploit.236、Bloodhound.PDF.12 他
ジェネリック検出 (既知部品検出) Packed.Generic.225、W32.IRCBot.Gen 他
>>926 >で、どのソフトが一番検出したの?
gumlar■cnを呼び出すスクリプトに反応するのは、実質AvastとSophosのみ。
検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)
ダウンローダをブロックするか、FWでブロックするかは、セキュリティベンダーのポリシーによるので
どっちが優れているというものではない。>928さんの解説の通り、シグネチャ付きで検出しなくても
ブロックできれば実害は発生しない。
実際の検出率は、Avastユーザーに○/○って出して貰ってくれ。このPCにはAvast入れてないんだ。
VTへも(htmlは)幾つか無作為に抽出して送っただけだし、拾ってきてベンダーに提出するので精一杯。
(無作為抽出の中で、Avastもスルーしてたのが幾つかあったということ)
基本的にこのスレは、自分の使っているセキュリティソフトでは○/○検出したとかの報告をする場所だから
どっちがどうだかという質問をしたいなら余所でやってね。
>>929 >Symantecも後者かな
W32.IRCBot.Genの存在忘れてた(というかあまりこの検出名は見ない)
そう考えるとSymantecはヒューリスティック≠Genericかもね
ただPacked.Generic系は紛れもなくヒューリスティック検出扱いです、気になるならNortonの検疫フォルダかSymantecのウイルスデータベースを見てください
確実にPacked.Generic系はヒューリスティック検出と書いてるはずです
>>928 >>931 Nortonの場合はFWでブロックというよりは侵入防止機能が働いてブロックするという形かと思います
前にこのスレのURL踏んで侵入防止機能が働いて止めてくれたことがあったので
ただ仮想環境でもない限り危ないURLだとわかってるのに踏むなんて勇気はないですが
935 :
699 :2009/05/16(土) 23:58:22
>>925 AVIRAの方ですが、HEURってどうなんでしょうね。
存在しているのは知っていますが、今までヒューリスティックで検出したこと無いもんで...(w
一応、AVIRAでヒューリスティック検出した場合、こういう風に HEUR/〜 という名前になるらしいです。
http://www.avira.com/jp/threats/section/fulldetails/id_vir/2704/heur_crypted.html (前の方でGenをヒューリスティックと言っていましたが、これは私の勘違い)
が、汎用ルーチン(Gen検出)ばっかりで、今まで全然HEUR出たことがありません。
なんで、ヒューリスティックエンジンがどの程度の実力なのかよくわかりません。(苦笑
Kasperskyは、HEURが強いので隠れていすが、たまに汎用の検出が出ることがあります。
>907さんの所に書かれていますが、Trojan-Spy.Win32.Zbot.gen がそうです。(違うマルウェアなのに、3個に同じ名前)
なので、実はKasperskyもHEURとGenは別扱いなのです。 ちょっと雑談でした。(w
936 :
699 :2009/05/17(日) 00:01:35
>>935 >907ではなく、>919さんでした。 Kasperskyの汎用検出。
>>935 aviraのHEUR〜系の検出は私はよく見ましたよ
ただkaspesrkyもヒューリスティックとgenericは別物というのには少し驚きました
nortonと同じくgeneric検出はほとんど見ないですからね
あと自分の記憶を辿るとウイルスバスターもヒューリスティックとgenericは別物だった気がしてきた
となるとヒューリスティック=genericはNOD32だけ?(キヤノンのNOD32のHP見ると「○○の亜種」はヒューリスティック扱い)
こうしてみるとgenericってヒューリスティックなのかシグネチャなのか非常にややこしい
nortonやウイルスバスターみたいにpacker系のgenericはヒューリスティック扱いもあるしkaspesrkyやbitdefenderみたいにヒューリスティックとgenericを一緒に名付けてるのもある
>>931 > gumlar■cnを呼び出すスクリプトに反応するのは、実質AvastとSophosのみ。
> 検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)
なら検出数分かってんだろ
もったいぶらないで出せば良いのに
それともavastやsophosの検出が突出していて
他社は悲惨な状況なのか?
例えばカスペやAVGは検出率ゼロとかw
>>932 スレ違いだから、このコメントで満足して、そろそろどっか行ってくれないかな。
>それともavastやsophosの検出が突出していて
>他社は悲惨な状況なのか?
Yes。スクリプトのブロックに関してはね。他の方法(FWでブロックなど)のベンダーもあるので、
Avastサイコーとか言い切らないように。
>例えばカスペやAVGは検出率ゼロとかw
それに近い。
カスペは、初期に提出したのと同じパターンのものは検知するが、それ以外は白判定なので。
(FWでブロックする方針にしたからなのか、古くて無効なアドレスだったから白判定になったのかは不明)
NOD32なんかも、ダウンローダ系は殆ど白判定にして、落ちてきた本体をブロックで切ればOKという
方針に近い対応状況だったな(2年前に使用してた頃は)。現時点でもその方針継続かどうかは知らない。
941 :
699 :2009/05/17(日) 01:03:08
>>937 Kasperskyの場合、genで検出するものはほとんど無かったような気がします。また>919さんの所を使いますが
Trojan-Spy.Win32.Zbot.ttw
Trojan-Spy.Win32.Zbot.ttv
とか、>922のように
Trojan-Dropper.Win32.Agent.apaw
Trojan-Dropper.Win32.Agent.apax
や
Trojan.Win32.Agent.chas
Trojan.Win32.Agent.chbm
みたいな、最後の部分だけ違う検出名付けるのが多い。
個人的には、ロシア人なんで、汎用検出のシグネチャを作れないんじゃないかとか思ったり。
逆に、AVIRAはあれだけGenで捕まえられるところを見ると、汎用シグネチャの作成が上手いのではないかと思います。
偏見かもしれませんが、ドイツとロシアの国民性の差ような気も...(汗
>>940 > Avastサイコーとか言い切らないように。
つまり、avastは君が恐れるくらい優秀なソフトってことか
フリーとは言え、あなどれないな
> >例えばカスペやAVGは検出率ゼロとかw
> それに近い。
有料ソフトよりもフリーソフトの方が優秀ってことは分かった
それと、「最高」の判断はユーザーが試して決めるもんだからな
2chの書き込みごときで判断できるようなもんじゃない
大体、使う人によって判断基準は違うんだからな
だが、君の発言を見る限り、どうやらavastを入れておいて
他のソフトと組み合わせるのが一番ブロックできそうだな
> 他の方法(FWでブロックなど)
ということは、フリーならcomodoあたりをFWで入れて
avastと一緒に使うのが勝ちか
>>940 >
>>932 > スレ違いだから、このコメントで満足して、そろそろどっか行ってくれないかな。
何を偉そうにw
もともとはこの発言がきっかけだろ
>>931 > 検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)
余計なこと書かなきゃ良いのに
馬鹿がいたもんだw
スレチは
>>931 だろw
>>942 ここは勝ち負けではなく検体をシェアするところだ。
不慮の事故に合わない人を増やすために。
>>920 みたいに、余計なこと書く馬鹿がいるからスレが荒れるんだよ
検体提出はスレの趣旨に合ってるが発言が趣旨に合ってない
だから
>>920 は嫌われるんだろ
>>945 事故レス
不慮の事故にあう人が増えないように。
だなw
>>941 なるほど
aviraの検出スタイルはシグネチャ+generic+ヒューリスティックに対しkasperskyはシグネチャ+ヒューリスティックにgenericがやや少しという認識でいいかもしれないですね。
ただシグネチャとヒューリスティック、genericだけじゃなくmcafeeやpandaのようにクラウドベースがあったりnortonはパルスアップデートがある
GDATAはダブルエンジン+アウトブレークシールドだったりと各ベンダーの検出スタイルは本当に千差万別、だから面白い
そしてヒューリスティックだけのYaranaika
ヒューリスティックだけって危険すぎじゃね? スルーした時点でもう終わりだし
>>949 いいのかい、ノーマルなセキュリティソフトでも平気で併用しちゃう奴なんだぜ…っつーか名前ちげーw
>>916 F-Secure提出完了
AVP 2009-05-16_01にて検出可能
Trojan.Win32.FraudPack.mqa
Trojan.Win32.FraudPack.mpy
954 :
699 :2009/05/17(日) 14:21:54
955 :
699 :2009/05/17(日) 14:43:02
>>954 martuz.cnの追加情報です。
ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=cNotes の人が解析されているように、
一度ファイルをダウンロードするとIPアドレスが記録され、24時間以上経過するまで
同一IPアドレスからアクセスしても無視されるようです。
# 正確には、毎時0分にIPアドレスの記録を自動更新している模様。
私の場合、5/16 13時台にアクセスしてファイルを落としているのですが、先程まで無視されていました。
で、5/17 14:01にアクセスしたらファイルが落ちてきました。 まあ、わかりやすくて良いですけど。(w
ダウンロードっつーかHEAD投げるのもだめくさいな。
串か…。
961 :
960 :2009/05/17(日) 18:52:06
>>954 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
963 :
699 :2009/05/17(日) 21:47:56
>>954 ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=329 DL martuz/解凍 infected ※ 注意喚起のため、いつもと違います。
え〜、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
作成されるファイルを仮想PCで確保してみました。
ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。)
muvl.exe (元の名前 muvl.nug) - ランダム作成らしい。
MD5 : 3862b349b9b5c9283925e181ff9f5bf8
http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1a (2/40)
sqlsodbc.chm - ただのダミーファイルです。(中身は無意味なテキストと空白)
MD5 : 34cd61d83853e511f0a28027f639a1c9
http://www.virustotal.com/jp/analisis/395c9f2d6d6d38525fb24b3722664bfa (0/40)
muvl.exeは、中身に合わせて拡張子を変えてあります。(ベンダー提出時に捨てられないように)
gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。
sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。
あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。
このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。
タチ悪すぎ...
964 :
1 :2009/05/17(日) 21:48:56
>>963 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
>>954 本家 F-Secure SASに登録しました。
相変わらずNO DETECTION。
>>964 うぬ?940でスレ立て?970かと思ってたんだが。
テンプレの変更点はなんかあるかい?
>>963 タイムスタンプ2007年なのか…何か踏んだら日付で降順、とかも使えないな。
969 :
699 :2009/05/17(日) 23:55:54
>>963 この件、続きは下記に移動しました。一応連絡します。(ここで続けるのはスレ違いなので)
GENOウイルススレ@インターネット板
http://pc11.2ch.net/test/read.cgi/internet/1242450264/ あと、sqlsodbc.chmは通信盗聴のログとして使われている可能性有り、との情報があります。
(何もしてない状態だと、>963の様な 1,323バイトの無意味なテキストデータになる?)
martuz.cnのチェックは続けますので、新種が出たらまた上げます。
# ただ、24時間以内の再アクセス無視を串で通り抜けて確保できるかどうかが問題ですが...串でダメだと
1日に1回しか確保できんので提出が遅くなるかも。
>>954 Avast!AVG送りました。
Avast!スルー
>>963 これもAvast!AVGおくっときました。
Avast!スルー
>>881 かな。McAfee返答
File Name Findings Detection Type
========= ======== ========= ====
hgcheck.exe detected generic backdoor!r trojan
index1.gif detected generic dropper!s trojan
instalar.exe detected pws-banker!j trojan
install_2004.exe detected fakealert-cn trojan
install_2010-1.exe detected fakealert-cn trojan
install_flash_player.exe detected generic.dx!bw trojan
refaz2009.jpg detected generic downloader.s trojan
visualizar.exe detected generic.dx!br trojan
>>972 対応は速かったみたいだけど実機での検出はまだしません、まだスルー状態です
早く対応したシグネチャ来て〜
あとSymantecはいつもこれぐらい対応速ければ言うことないんだけどね
Kaspersky並みに対応速くすればパルスアップデートも活きるし最強のベンダーになれると思うが・・・
いわゆるGENO系ウイルスの定点観測されてる方って、本体もみてる? エンベロープはともかく、本体はあんまり変異してない? 本体抽出鶴とか書いたら使う人いるかな ※本体はDLLなので、抽出に成功しても、通常悪用は難しいです
>>862 +スクリプトの仕込まれたhtml ,
>>866 BitDefender回答
GENO系のスクリプトに対応する方向なのかな?
0008.id2_20090514_exe.orig as ksdl1
0009.id2_20090514_exe.orig.un-0.bd7.nda as ksdl1
0010.id2_20090514_pdf.orig asTrojan.JS.PZJ
0011.id2_20090514_pdf.orig.tm-0025 as Trojan.JS.PZJ
0000.access_html.orig as Trojan.JS.PZK
0001.asagaya_drum_com_htm.orig as Trojan.JS.PZK
0002.asagaya_drum_map_html.orig as Trojan.JS.PZK
0003.bar_html.orig asTrojan.JS.PZK
0004.cafemenu_html.orig as Trojan.JS.PZK
0005.cafe_melody_net_htm.orig as Trojan.JS.PZK
0006.day0803_html.orig as Trojan.JS.PZK
0012.info_html.orig asTrojan.JS.PZK
0025.link_1_html.orig as Trojan.JS.PZK
0026.link_html.orig as Trojan.JS.PZK
0027.melody0903_html.orig as Trojan.JS.PZK
0028.menu_html.orig asTrojan.JS.PZK
0029.mon0905_html.orig as Trojan.JS.PZK
0030.rental_html.orig as Trojan.JS.PZK
0031.staff_html.orig as Trojan.JS.PZK
0032.top_html.orig asTrojan.JS.PZK
0015.install2_exe.orig.em-2 as Trojan.Downloader.FraudLoad.P
0019.install4_exe.orig.em-1 as Trojan.Downloader.FraudLoad.O
0020.install4_exe.orig.em-2 as Trojan.Downloader.FraudLoad.P
0021.install4_exe.orig.tm-0047 as Trojan.Downloader.FraudLoad.P
>>977 抽出ムズくね? とりあえずドロッパはUPXのフリしててUPXじゃない
(UPXはソース公開されているので改造したんだろう)んで
解凍すると別物になっちゃうよ。
昨日落とした奴は、UPX3系で1段目解けたぽいけどな…。 埋め込み方法が再三変化するようだと、都度追随せにゃならんが 仕事一段落したら、過去のやつもいくらかみてみる なんせ、いちばん簡単なのは、仮想環境かなんかでさくっと実行しちゃうことなんだがw
>>963 McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
muvl.exe |heuristic detection |new dll-b |Virus |no
GENOウイルスはあの最強の検出率といわれてるAviraですら大苦戦か・・・
>>954 本家F-Secureより回答。次回DB更新にて対応とのこと。
(こっちまだ残ってたの知らずに次スレに書いてしまいました。)
>Hello,
>
>Thank you for your e-mail.
>
>The file you sent was found to be malicious.
>An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>
http://www.f-secure.com/download-purchase/updates.shtml >
>Have a nice day!
>>981 いつまでたっても俺のNIS2009では検出してくれない件について
987 :
981 :2009/05/18(月) 20:27:56
>>986 「Run」でスレ内検索すれば判ると思うけども・・・
ココAutoRun系も混ざって揚げられてるから
いづれかに感染してるのでは?
>>985 です。
F-SecureのDBが更新されました。
Anti-Virus AVP Extended Update 2009-05-18_01
martuz_cn_id2_20090517.pdf が検出可能です。
→ Exploit.Win32.Pidief.auw
martuz_cn_id10_20090517.exe は未対応......OTL
>>987 おk
PCには特に異常はないし他の検体はNIS2009で検出するけど念のためオンラインスキャンとBitDefenderでスキャンしてくる
Rising 2009 21.39.03 (21.30.03.00)
>>896 softwarefortubeview.45013.exe: Trojan.DL.Win32.Mnless.dml
1/4
>>898 martuz1upx.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
1/3
>>907 softwarefortubeview.40000.exe: Trojan.DL.Win32.Mnless.dml
2+1=3/10
>>954 martuz_cn_id10_20090517.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
1/2
>>963 muvl.exe: Trojan.Spy.Win32.Delf.dpt
991 :
699 :2009/05/18(月) 22:10:31
>>963 KasperskyとAVIRA両方返答来ました。muvl.exeの方です。
Kaspersky - 白
AVIRA - TR/NoUpdate.C,黒
うーん、明暗くっきり。
感染後に作成されるファイルに白判定が出るようだと、これはKasperskyのオンラインスキャンでmartuz.cnの感染検出無理か?
ここは、ちょっとAVIRAに期待しておこう。 んで、>990さんの所でRisingでも黒判定出てるので、そっちも少し期待。
あと、今日はmartuz.cnが私のこと無視する。前回から24時間以上経過してるのに...後でもう一度試します。
>>954 Microsoftが頑張りはじめた。
Submitted Files
=============================================
20090517.zip [Container]
+---martuz_cn_id2_20090517.pdf [Exploit:Win32/Pdfjsc.AM]
+---(pdf0000_) [Exploit:Win32/Pdfjsc.AM]
+---martuz_cn_id10_20090517.exe [Trojan:Win32/Daonol.F]
>>988 の続き
気づかなかったけど、F-Secure Hydra Update が 2009-05-18_02 まで更新済み
martuz_cn_id10_20090517.exe → Trojan:W32/Agent.KMH
また、sound●jp/yudai_marimba/ に埋め込まれていたスクリプトについて、
次回DB更新にて対応との回答がありました。(05/18 23:40)
おそらくこちらについても対応されているのではないかと推測しますが、
該当Webサイトは 403応答となっていますので確認できません(※)。
※難読化パターンは以下のような感じ。
_29+_22_2cj_3d_22_22_2cu_3d_6eavigator_2 以下略
KIS2009 muvl.exe - Trojan program Trojan.Win32.Inject.aahl
>>963 Rising返答
同時に提出したスクリプト入りhtmlは全部 No Malware.
1. Filename:muvl.exe
Virusname:Trojan.Spy.Win32.Delf.dpt
>>954 avertからescalation mailが届きました。
Subject: Escalation
Thank you for submitting your suspicious files.
Synopsis -
Attached is a file for extra detection, which will be included in a future DAT set.
EXTRA.DATが添付されていました。
>>983 おかげさまでEXTRA.DATが準備されました。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
muvl.exe |new detection |generic.dx!ct |Trojan |yes
999 :
986 :2009/05/19(火) 18:43:01
>>987 今になってNIS2009で検出できるようになりました・・・
原因は不明ですがとりあえず一安心
1000
1001 :
1001 :
Over 1000 Thread このスレッドは1000を超えました。 もう書けないので、新しいスレッドを立ててくださいです。。。