【鑑定目的禁止】検出可否報告スレ10
|
|
|
>>898 乙です。
今度の監視対象
martuz.cn/vid/?id=2 (pdf)
martuz.cn/vid/?id=3 (swf)
martuz.cn/vid/?id=10 (exe)
私の所も、同じ物落ちてきました。これからKasperskyとAVIRAに提出するのと、GoogleのSafeBrowsingに通報します。
今度の監視対象
martuz.cn/vid/?id=2 (pdf)
martuz.cn/vid/?id=3 (swf)
martuz.cn/vid/?id=10 (exe)
私の所も、同じ物落ちてきました。これからKasperskyとAVIRAに提出するのと、GoogleのSafeBrowsingに通報します。
900 :名無しさん@お腹いっぱい。:2009/05/16(土) 14:53:05
>>898
martuz.cn(2009/05/16版) ファイル名が違いますが、>898と同じファイルです。
martuz_cn_id2_20090516.pdf
MD5 : 04dc4937476502df14a0337cb25ba0cc
http://www.virustotal.com/jp/analisis/68f2f5d58c281cd3acee4b83a65b9c98 (3/40)
martuz_cn_id3_20090516.swf
MD5 : af12ba388ad7d678c301ec47c806c042
http://www.virustotal.com/jp/analisis/1fa0d93b37d51d9e5f4a4ecdf173b982 (0/39)
martuz_cn_id10_20090516.swf
MD5 : b76359a9e8345845b70fbfef2ba6d7bd
http://www.virustotal.com/jp/analisis/acc653328550820558d0699417dd1467 (6/40)
Kaspersky 2009/05/16 12:38:00
id2 HEUR:Exploit.Script.Generic,id3とid10 スルー,FileScanner スルー,提出済
AVIRA 7.01.03.215
全てスルー,Web上で提出時の自動判断 全てUNDER ANALYSIS(提出済)
週末だというのに...というか、週末だからこういうドメイン名の変更とかするのでしょうが、
週末に対応速度の落ちるセキュリティシフトは、少し注意が必要ですね。
今回のも、相変わらずスルー率高いし、パスワード漏れてるところは、片っ端からmartuz.cnへのコード
書き込まれると思われますし。 ヤレヤレ...
martuz.cn(2009/05/16版) ファイル名が違いますが、>898と同じファイルです。
martuz_cn_id2_20090516.pdf
MD5 : 04dc4937476502df14a0337cb25ba0cc
http://www.virustotal.com/jp/analisis/68f2f5d58c281cd3acee4b83a65b9c98 (3/40)
martuz_cn_id3_20090516.swf
MD5 : af12ba388ad7d678c301ec47c806c042
http://www.virustotal.com/jp/analisis/1fa0d93b37d51d9e5f4a4ecdf173b982 (0/39)
martuz_cn_id10_20090516.swf
MD5 : b76359a9e8345845b70fbfef2ba6d7bd
http://www.virustotal.com/jp/analisis/acc653328550820558d0699417dd1467 (6/40)
Kaspersky 2009/05/16 12:38:00
id2 HEUR:Exploit.Script.Generic,id3とid10 スルー,FileScanner スルー,提出済
AVIRA 7.01.03.215
全てスルー,Web上で提出時の自動判断 全てUNDER ANALYSIS(提出済)
週末だというのに...というか、週末だからこういうドメイン名の変更とかするのでしょうが、
週末に対応速度の落ちるセキュリティシフトは、少し注意が必要ですね。
今回のも、相変わらずスルー率高いし、パスワード漏れてるところは、片っ端からmartuz.cnへのコード
書き込まれると思われますし。 ヤレヤレ...
901 :名無しさん@お腹いっぱい。:2009/05/16(土) 14:55:14
902 :名無しさん@お腹いっぱい。:2009/05/16(土) 14:59:14
>>900
シマのBloodhoundって久しぶりに見た機がするなぁ
シマのBloodhoundって久しぶりに見た機がするなぁ
903 :名無しさん@お腹いっぱい。:2009/05/16(土) 15:42:29
904 :名無しさん@お腹いっぱい。:2009/05/16(土) 16:07:54
905 :名無しさん@お腹いっぱい。:2009/05/16(土) 16:41:23
Rising 2009 21.38.51 (21.29.51.00)
>>881
4\astakiller.dll: Trojan.Spy.Win32.Agent.ero
1+1=2/12
>>895-896>>898
スルー
Risingに提出完了
>>881
4\astakiller.dll: Trojan.Spy.Win32.Agent.ero
1+1=2/12
>>895-896>>898
スルー
Risingに提出完了
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=325
DL virus/解凍 virus
【中身】10個入っています。多いです。スミマセン
bot.exe
http://www.virustotal.com/analisis/fec82363916bfaaa67c73cc8bd6cc021 (20/40)
bot2.exe
http://www.virustotal.com/analisis/fea24d9c7767727ed8af47e512684bfd (26/40)
bot3.exe
http://www.virustotal.com/analisis/bd51bcac66d251fdceecc3d5d15896f0 (6/40)
FlashPlayer.v9.exe
http://www.virustotal.com/analisis/88788e18afb0cf569ecc6667aeb35088 (24/39)
Install_2019.exe
http://www.virustotal.com/analisis/5cf11c703f73d557fe488d8d09c8e748 (6/40)
softwarefortubeview.40000.exe
http://www.virustotal.com/analisis/482495ad93e2d1114097225d2b848336 (6/40)
load.exe
http://www.virustotal.com/analisis/5ace926d217fc7e3ccd4cd37ff0c59fc (5/40)
main.exe
http://www.virustotal.com/jp/analisis/6a411a8cd6f564dd94ab156296f9f683 (23/40)
moneta.exe
http://www.virustotal.com/jp/analisis/6a2b297a9fc57176b7da58f70208bbbe (9/40)
zoom.exe
http://www.virustotal.com/jp/analisis/ef6c82a0a485aedaf0cb84fcf54a3f77 (20/40)
こちらでの検出状況はVirustotalと同じです。検出できなかったものはKasperskyとAVIRAには提出済み。
本当は検出率が50%超のものは入れるの止めようと思ったのですが、大御所がスルーしてるのが意外とあるので...
DL virus/解凍 virus
【中身】10個入っています。多いです。スミマセン
bot.exe
http://www.virustotal.com/analisis/fec82363916bfaaa67c73cc8bd6cc021 (20/40)
bot2.exe
http://www.virustotal.com/analisis/fea24d9c7767727ed8af47e512684bfd (26/40)
bot3.exe
http://www.virustotal.com/analisis/bd51bcac66d251fdceecc3d5d15896f0 (6/40)
FlashPlayer.v9.exe
http://www.virustotal.com/analisis/88788e18afb0cf569ecc6667aeb35088 (24/39)
Install_2019.exe
http://www.virustotal.com/analisis/5cf11c703f73d557fe488d8d09c8e748 (6/40)
softwarefortubeview.40000.exe
http://www.virustotal.com/analisis/482495ad93e2d1114097225d2b848336 (6/40)
load.exe
http://www.virustotal.com/analisis/5ace926d217fc7e3ccd4cd37ff0c59fc (5/40)
main.exe
http://www.virustotal.com/jp/analisis/6a411a8cd6f564dd94ab156296f9f683 (23/40)
moneta.exe
http://www.virustotal.com/jp/analisis/6a2b297a9fc57176b7da58f70208bbbe (9/40)
zoom.exe
http://www.virustotal.com/jp/analisis/ef6c82a0a485aedaf0cb84fcf54a3f77 (20/40)
こちらでの検出状況はVirustotalと同じです。検出できなかったものはKasperskyとAVIRAには提出済み。
本当は検出率が50%超のものは入れるの止めようと思ったのですが、大御所がスルーしてるのが意外とあるので...
908 :名無しさん@お腹いっぱい。:2009/05/16(土) 18:59:33
909 :名無しさん@お腹いっぱい。:2009/05/16(土) 19:04:03
>>907のSymantecがVirustotal結果ではスルーしてるが実際には検出してるもの一覧
FlashPlayer.v9.exe
load.exe
zoom.exe
>>907のVirustotalの結果は最新結果ですか?
FlashPlayer.v9.exe
load.exe
zoom.exe
>>907のVirustotalの結果は最新結果ですか?
910 :名無しさん@お腹いっぱい。:2009/05/16(土) 19:12:22
Rising 2009 21.38.52 (21.29.52.00)
>>881
3\59cpm.exe: Trojan.Win32.Delf.yod
2+1=3/12
>>907
FlashPlayer.v9.exe>>upx_c: Trojan.DL.Win32.Nodef.qa
main.exe: Trojan.Spy.Win32.Agent.epp
2/10
Risingに提出完了
>>881
3\59cpm.exe: Trojan.Win32.Delf.yod
2+1=3/12
>>907
FlashPlayer.v9.exe>>upx_c: Trojan.DL.Win32.Nodef.qa
main.exe: Trojan.Spy.Win32.Agent.epp
2/10
Risingに提出完了
>>909
全部最新です。
で、手元のソフトが検出するのにVirustotal(VT)が検出しない、というのは結構良くあります。
Kasperskyでも同様のことは多々ありますので、多分VTで使われるエンジンorシグネチャが
実ユーザー(実際に製品を購入して使っている人)が使っているものよりも、古いのだと思います。
それに、各ソフトのヒューリスティックエンジンが捕まえるものは、あまりVTには反映されないようです。
Kasperskyの例だと、HEURの検出物は、ほぼ必ずと言っていい程VTでは未検出扱いになります。
その辺、他のベンダーの実際の状況は私には判断できないので、結局このスレに投げているという...(汗
全部最新です。
で、手元のソフトが検出するのにVirustotal(VT)が検出しない、というのは結構良くあります。
Kasperskyでも同様のことは多々ありますので、多分VTで使われるエンジンorシグネチャが
実ユーザー(実際に製品を購入して使っている人)が使っているものよりも、古いのだと思います。
それに、各ソフトのヒューリスティックエンジンが捕まえるものは、あまりVTには反映されないようです。
Kasperskyの例だと、HEURの検出物は、ほぼ必ずと言っていい程VTでは未検出扱いになります。
その辺、他のベンダーの実際の状況は私には判断できないので、結局このスレに投げているという...(汗
912 :名無しさん@お腹いっぱい。:2009/05/16(土) 19:30:36
>>911
Kasperskyの場合はVTは7.0のままですからね
ヒューリスティック検出性能は2009>>>7.0だからVTと手元で違いが起きるのは仕方ない
ただSymantecの場合はよくわからない
あとはTrendMicroもクラウド化を始めたのかどうかも不明なのでPCの環境が整い次第ウイルスバスターの検出報告も始める予定、まだライセンスも残ってるからもったいないし
ま、ロードマップにも出てるしバスターのクラウド化は2010には確実に始めると思うけど
それにしても最近のAviraの傾向見てると悪い意味でKasperskyやNOD32化してる悪寒(対応速度は速いけどスルー検体が増えてきたという意味で)
シグネチャ+ヒューリスティックの古典的スタイルは今のご時勢は限界なのかな〜〜・・・・?
Kasperskyの場合はVTは7.0のままですからね
ヒューリスティック検出性能は2009>>>7.0だからVTと手元で違いが起きるのは仕方ない
ただSymantecの場合はよくわからない
あとはTrendMicroもクラウド化を始めたのかどうかも不明なのでPCの環境が整い次第ウイルスバスターの検出報告も始める予定、まだライセンスも残ってるからもったいないし
ま、ロードマップにも出てるしバスターのクラウド化は2010には確実に始めると思うけど
それにしても最近のAviraの傾向見てると悪い意味でKasperskyやNOD32化してる悪寒(対応速度は速いけどスルー検体が増えてきたという意味で)
シグネチャ+ヒューリスティックの古典的スタイルは今のご時勢は限界なのかな〜〜・・・・?
913 :名無しさん@お腹いっぱい。:2009/05/16(土) 19:32:01
失礼、NOD32は対応速度はそれほどでもなかった
914 :名無しさん@お腹いっぱい。:2009/05/16(土) 19:40:27
915 :名無しさん@お腹いっぱい。:2009/05/16(土) 19:51:23
>>907
McAfeeに提出させて頂きました。
2/10 (Active Protection 無効)
Install_2019.exe(FakeAlert-av360)
bot.exe(Generic.y!hv.i)
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bot.exe |new detection |generic pws.y!q |Trojan |yes
bot3.exe |heuristic detection |new malware.aj |Trojan |no
flashplayer.v9.exe |new detection |generic.dx!cp |Trojan |yes
load.exe |inconclusive | | |no
main.exe |new detection |generic pws.y!r |Trojan |yes
moneta.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no
zoom.exe |inconclusive | | |no
McAfeeに提出させて頂きました。
2/10 (Active Protection 無効)
Install_2019.exe(FakeAlert-av360)
bot.exe(Generic.y!hv.i)
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bot.exe |new detection |generic pws.y!q |Trojan |yes
bot3.exe |heuristic detection |new malware.aj |Trojan |no
flashplayer.v9.exe |new detection |generic.dx!cp |Trojan |yes
load.exe |inconclusive | | |no
main.exe |new detection |generic pws.y!r |Trojan |yes
moneta.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no
zoom.exe |inconclusive | | |no
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=326
DL virus/解凍 virus
【中身】
download.php
http://www.virustotal.com/jp/analisis/c17e3c6fe4b2dc9ea60ba0e94f860190 (6/40)
AVIRA - TR/Crypt.ZPACK.Gen ,Kapersky - Trojan.Win32.FraudPack.mqa
install.exe
http://www.virustotal.com/jp/analisis/777f77d785279ae99b42b2f06c084bd8 (7/40)
AVIRA - TR/Crypt.ZPACK.Gen ,Kapersky - Trojan.Win32.FraudPack.mpy
今日の分はこれで終わりです。
ん〜、私と同じマルウェアリストを誰かが見ていて、Kasperskyに先出しされている気がする。(w
DL virus/解凍 virus
【中身】
download.php
http://www.virustotal.com/jp/analisis/c17e3c6fe4b2dc9ea60ba0e94f860190 (6/40)
AVIRA - TR/Crypt.ZPACK.Gen ,Kapersky - Trojan.Win32.FraudPack.mqa
install.exe
http://www.virustotal.com/jp/analisis/777f77d785279ae99b42b2f06c084bd8 (7/40)
AVIRA - TR/Crypt.ZPACK.Gen ,Kapersky - Trojan.Win32.FraudPack.mpy
今日の分はこれで終わりです。
ん〜、私と同じマルウェアリストを誰かが見ていて、Kasperskyに先出しされている気がする。(w
917 :名無しさん@お腹いっぱい。:2009/05/16(土) 21:08:31
>>916
McAfeeに提出させて頂きました。
McAfeeに提出させて頂きました。
918 :名無しさん@お腹いっぱい。:2009/05/16(土) 21:11:31
>>916
Risingに提出完了
Risingに提出完了
919 :名無しさん@お腹いっぱい。:2009/05/16(土) 22:10:19
カスペ2009 21 05検出ベースまとめ
>>881 10/12 (0,8以外),白2(0,8)>>894
>>886 0+事後検出1=1/
Detected Trojan program Trojan.Win32.Agent.chas \tane0321.zip/Install_2004.exe
>>895 1/1 (>>895)
>>898,900 1+事後検出1=2/3
Detected virus HEUR:Exploit.Script.Generic \tane0324.zip/martuz1.pdf
Detected Trojan program Trojan.Win32.Agent.chbm \tane0324.zip/martuz1upx.exe
>>907 10/10
Detected Trojan program Trojan.Win32.Pakes.nkf \tane0325.zip/Install_2019.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen \tane0325.zip/bot.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen \tane0325.zip/bot2.exe
Detected Trojan program Trojan-Downloader.Win32.Delf.ttu \tane0325.zip/bot3.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.ttw \tane0325.zip/load.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen \tane0325.zip/main.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.ttv \tane0325.zip/moneta.exe
Detected Trojan program Trojan.Win32.Pakes.nkh \tane0325.zip/softwarefortubeview.40000.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.soo \tane0325.zip/zoom.exe
>>916 2/2 (>>916)
>>881 10/12 (0,8以外),白2(0,8)>>894
>>886 0+事後検出1=1/
Detected Trojan program Trojan.Win32.Agent.chas \tane0321.zip/Install_2004.exe
>>895 1/1 (>>895)
>>898,900 1+事後検出1=2/3
Detected virus HEUR:Exploit.Script.Generic \tane0324.zip/martuz1.pdf
Detected Trojan program Trojan.Win32.Agent.chbm \tane0324.zip/martuz1upx.exe
>>907 10/10
Detected Trojan program Trojan.Win32.Pakes.nkf \tane0325.zip/Install_2019.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen \tane0325.zip/bot.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen \tane0325.zip/bot2.exe
Detected Trojan program Trojan-Downloader.Win32.Delf.ttu \tane0325.zip/bot3.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.ttw \tane0325.zip/load.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen \tane0325.zip/main.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.ttv \tane0325.zip/moneta.exe
Detected Trojan program Trojan.Win32.Pakes.nkh \tane0325.zip/softwarefortubeview.40000.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.soo \tane0325.zip/zoom.exe
>>916 2/2 (>>916)
920 :名無しさん@お腹いっぱい。:2009/05/16(土) 22:19:13
699さん、おつかれー。
>>895 >>896 >>898 >>907
あぷろだから拾いました。これから、マイナー所各社への提出準備します。
−−−−−
今日の成果(?)
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=327
infected
いつものリネージュ資料室の更新リストから拾った日替わりのmpg■scrと
gumlar■cn を呼び出すスクリプトが入ったhtmlごっそり。このスクリプトは
スルーする所が殆どです。なんとか、このスクリプトをダウンローダ扱いで検知して
ブロックしてくれれば、PG2入れてない人でもWeb巡回が安心なんですが難しそうです。
各社に提出済みですが、htmlの検出状況があれだったもので、参考までに置いときます。
・Avastは殆ど撃墜しているが、ぽつぽつとすり抜けているものあり、Avastなら感染サイトを
踏んでも大丈夫とは言い切れないことがはっきりしたかな。
JS:Redirector-H2,JS:Redirector-H4,JS:Redirector-H7、JS:Redirector-H9 を確認。
・htmlが多いので、Symantec宛にだけ(一度に9ファイルの制限あるので)
自己解凍のアーカイブにして送ったので、後回しにされるの確実な状況です。
Syamatecユーザーで、手の開いている方は、htmlだけ送信して頂けると助かります。
・McAfeeの自動返答を見ると幾つかは引っ掛かるものがあったのですが、
拡張子がおかしいファイルとして検知してるので、実質スルー状態ですね。
www.livmail.com.htm | heuristic detection | with fishy extension | Application |no
拾ったhtmlのHP管理者には、危険なスクリプトが挿入されていることを
なんらかの形で連絡して見ていますがいつ気付いてくれるか不明…っつーか
感染サイト多すぎて、警告しきれないですね、これ。連絡先書いてないページも多いし。
(連絡したうちの2箇所は、対処を始めたのを確認済みですが、追跡調査までやってらんない)
>>895 >>896 >>898 >>907
あぷろだから拾いました。これから、マイナー所各社への提出準備します。
−−−−−
今日の成果(?)
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=327
infected
いつものリネージュ資料室の更新リストから拾った日替わりのmpg■scrと
gumlar■cn を呼び出すスクリプトが入ったhtmlごっそり。このスクリプトは
スルーする所が殆どです。なんとか、このスクリプトをダウンローダ扱いで検知して
ブロックしてくれれば、PG2入れてない人でもWeb巡回が安心なんですが難しそうです。
各社に提出済みですが、htmlの検出状況があれだったもので、参考までに置いときます。
・Avastは殆ど撃墜しているが、ぽつぽつとすり抜けているものあり、Avastなら感染サイトを
踏んでも大丈夫とは言い切れないことがはっきりしたかな。
JS:Redirector-H2,JS:Redirector-H4,JS:Redirector-H7、JS:Redirector-H9 を確認。
・htmlが多いので、Symantec宛にだけ(一度に9ファイルの制限あるので)
自己解凍のアーカイブにして送ったので、後回しにされるの確実な状況です。
Syamatecユーザーで、手の開いている方は、htmlだけ送信して頂けると助かります。
・McAfeeの自動返答を見ると幾つかは引っ掛かるものがあったのですが、
拡張子がおかしいファイルとして検知してるので、実質スルー状態ですね。
www.livmail.com.htm | heuristic detection | with fishy extension | Application |no
拾ったhtmlのHP管理者には、危険なスクリプトが挿入されていることを
なんらかの形で連絡して見ていますがいつ気付いてくれるか不明…っつーか
感染サイト多すぎて、警告しきれないですね、これ。連絡先書いてないページも多いし。
(連絡したうちの2箇所は、対処を始めたのを確認済みですが、追跡調査までやってらんない)
921 :名無しさん@お腹いっぱい。:2009/05/16(土) 22:21:59
>862以降のKasperskyまとめ。(未検出もしくはヒューリスティック検出のもの)
データベース 2009/05/16 21:05:00,大体のものは、データベースに反映されたの確認。
>862
id2_20090514.pdf - HEUR:Exploit.Script.Generic(名前未定のまま)
id10_20090514.exe - Trojan.Win32.Agent.cgus
>866
install.exe - Trojan-Dropper.Win32.Agent.apaw
install2.exe - Trojan-Dropper.Win32.Agent.apax
install3.exe - Trojan.Win32.Tdss.adav
IAInstall.exe - Trojan.Win32.Tdss.adan
>881
1)setup.exe - not-a-virus:AdWare.Win32.Agent.nnp
>886
Install_2004.exe - Trojan.Win32.Agent.chas
>896
install.exe - Trojan.Win32.FraudPack.mqj
softwarefortubeview.45013.exe - Trojan.Win32.Pakes.nkh
>898
martuz1upx.exe(martuz_cn_id10_20090516.exe) - Trojan.Win32.Agent.chbm
martuz1.pdf - HEUR:Exploit.Script.Generic(名前未定のまま)
現時点でもスルー
>896 - flash.swf
>898 - martuz1cwd.swf
データベース 2009/05/16 21:05:00,大体のものは、データベースに反映されたの確認。
>862
id2_20090514.pdf - HEUR:Exploit.Script.Generic(名前未定のまま)
id10_20090514.exe - Trojan.Win32.Agent.cgus
>866
install.exe - Trojan-Dropper.Win32.Agent.apaw
install2.exe - Trojan-Dropper.Win32.Agent.apax
install3.exe - Trojan.Win32.Tdss.adav
IAInstall.exe - Trojan.Win32.Tdss.adan
>881
1)setup.exe - not-a-virus:AdWare.Win32.Agent.nnp
>886
Install_2004.exe - Trojan.Win32.Agent.chas
>896
install.exe - Trojan.Win32.FraudPack.mqj
softwarefortubeview.45013.exe - Trojan.Win32.Pakes.nkh
>898
martuz1upx.exe(martuz_cn_id10_20090516.exe) - Trojan.Win32.Agent.chbm
martuz1.pdf - HEUR:Exploit.Script.Generic(名前未定のまま)
現時点でもスルー
>896 - flash.swf
>898 - martuz1cwd.swf
923 :名無しさん@お腹いっぱい。:2009/05/16(土) 22:41:42
>>920
wokutonoken-online\1199.exe: Backdoor.Win32.PcClient.ttk
wokutonoken-online\mpg.scr>>1199.exe: Backdoor.Win32.PcClient.ttk
Risingに提出完了
wokutonoken-online\1199.exe: Backdoor.Win32.PcClient.ttk
wokutonoken-online\mpg.scr>>1199.exe: Backdoor.Win32.PcClient.ttk
Risingに提出完了
925 :名無しさん@お腹いっぱい。:2009/05/16(土) 22:47:40
このスレでの各ベンダーの検出名見て思ったけど
ヒューリスティック検出=Generic検出のベンダーがあればヒューリスティック検出とGeneric検出は別物扱いというベンダーがあるね
前者はNorton、Kaspersky、NOD32、ウイルスバスターで後者はMcAfee、Pandaといったところか
NortonのGenericはヒューリスティックとして扱われてるけどPandaのGeneric検出はシグネチャ扱い(その証拠に隔離することができない、Pandaの隔離フォルダはヒューリスティック検出しか隔離できない特殊な隔離フォルダ)
avast!みたいにGeneric検出はあるけどヒューリスティックがないベンダーもあるね
Avira、AVG、BitDefenderはどういう区分けしてるんだろう?
ヒューリスティック検出=Generic検出のベンダーがあればヒューリスティック検出とGeneric検出は別物扱いというベンダーがあるね
前者はNorton、Kaspersky、NOD32、ウイルスバスターで後者はMcAfee、Pandaといったところか
NortonのGenericはヒューリスティックとして扱われてるけどPandaのGeneric検出はシグネチャ扱い(その証拠に隔離することができない、Pandaの隔離フォルダはヒューリスティック検出しか隔離できない特殊な隔離フォルダ)
avast!みたいにGeneric検出はあるけどヒューリスティックがないベンダーもあるね
Avira、AVG、BitDefenderはどういう区分けしてるんだろう?
926 :名無しさん@お腹いっぱい。:2009/05/16(土) 22:52:09
>>920
> ・Avastは殆ど撃墜しているが、ぽつぽつとすり抜けているものあり、Avastなら感染サイトを
> 踏んでも大丈夫とは言い切れないことがはっきりしたかな。
で、どのソフトが一番検出したの?
Virus Totalの結果は?
> ・Avastは殆ど撃墜しているが、ぽつぽつとすり抜けているものあり、Avastなら感染サイトを
> 踏んでも大丈夫とは言い切れないことがはっきりしたかな。
で、どのソフトが一番検出したの?
Virus Totalの結果は?
>>920 乙です。
AVIRA 7.01.03.215
1199.exe - DR/Pcclient.Gen
mpg.scr - TR/Dropper.Gen
Kaspersky 2009/05/16 21:05:00
1199.exe - Backdoor.Win32.PcClient.alzv
mpg.scr - Backdoor.Win32.PcClient.alzv
どちらも、呼び出しhtmlは全く検出しませんねぇ。(w まあ、これは前からですが。
AVIRAはPersonal版なのでどうかわかりませんが、Kasperskyの方は内蔵Firewallがgumblar.cnへのアクセスを
全部ブロックするので、htmlには対応する気が無いという気がします。
多分、Norton含め、他の統合系も同じでしょう。確か、バスターではgumblar.cnをブロックしたログがどうのこうの
という書き込みありましたし、gumblar.cnなどへのアクセスをしっかりブロックしていれば、呼び出しhtml怖くないですから。
# 検体提出時にgumblar.cn → martuz.cnのドメイン名変更のことも通知してあるので、KISでは
その内murtuz.cnもブロックされるようになるはず。
AVIRA 7.01.03.215
1199.exe - DR/Pcclient.Gen
mpg.scr - TR/Dropper.Gen
Kaspersky 2009/05/16 21:05:00
1199.exe - Backdoor.Win32.PcClient.alzv
mpg.scr - Backdoor.Win32.PcClient.alzv
どちらも、呼び出しhtmlは全く検出しませんねぇ。(w まあ、これは前からですが。
AVIRAはPersonal版なのでどうかわかりませんが、Kasperskyの方は内蔵Firewallがgumblar.cnへのアクセスを
全部ブロックするので、htmlには対応する気が無いという気がします。
多分、Norton含め、他の統合系も同じでしょう。確か、バスターではgumblar.cnをブロックしたログがどうのこうの
という書き込みありましたし、gumblar.cnなどへのアクセスをしっかりブロックしていれば、呼び出しhtml怖くないですから。
# 検体提出時にgumblar.cn → martuz.cnのドメイン名変更のことも通知してあるので、KISでは
その内murtuz.cnもブロックされるようになるはず。
929 :名無しさん@お腹いっぱい。:2009/05/16(土) 23:21:58
>>916乙
>>920乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
>>920
Symantecも後者かな
ヒューリスティック検出 (高度な予測検出) Suspicious.MH690.A、Suspicious.S.Infostealer、Bloodhound.Exploit.236、Bloodhound.PDF.12 他
ジェネリック検出 (既知部品検出) Packed.Generic.225、W32.IRCBot.Gen 他
>>920乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
>>920
Symantecも後者かな
ヒューリスティック検出 (高度な予測検出) Suspicious.MH690.A、Suspicious.S.Infostealer、Bloodhound.Exploit.236、Bloodhound.PDF.12 他
ジェネリック検出 (既知部品検出) Packed.Generic.225、W32.IRCBot.Gen 他
930 :名無しさん@お腹いっぱい。:2009/05/16(土) 23:31:02
>>920
McAfeeに提出させて頂きました。
McAfeeに提出させて頂きました。
931 :名無しさん@お腹いっぱい。:2009/05/16(土) 23:35:28
>>926
>で、どのソフトが一番検出したの?
gumlar■cnを呼び出すスクリプトに反応するのは、実質AvastとSophosのみ。
検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)
ダウンローダをブロックするか、FWでブロックするかは、セキュリティベンダーのポリシーによるので
どっちが優れているというものではない。>928さんの解説の通り、シグネチャ付きで検出しなくても
ブロックできれば実害は発生しない。
実際の検出率は、Avastユーザーに○/○って出して貰ってくれ。このPCにはAvast入れてないんだ。
VTへも(htmlは)幾つか無作為に抽出して送っただけだし、拾ってきてベンダーに提出するので精一杯。
(無作為抽出の中で、Avastもスルーしてたのが幾つかあったということ)
基本的にこのスレは、自分の使っているセキュリティソフトでは○/○検出したとかの報告をする場所だから
どっちがどうだかという質問をしたいなら余所でやってね。
>で、どのソフトが一番検出したの?
gumlar■cnを呼び出すスクリプトに反応するのは、実質AvastとSophosのみ。
検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)
ダウンローダをブロックするか、FWでブロックするかは、セキュリティベンダーのポリシーによるので
どっちが優れているというものではない。>928さんの解説の通り、シグネチャ付きで検出しなくても
ブロックできれば実害は発生しない。
実際の検出率は、Avastユーザーに○/○って出して貰ってくれ。このPCにはAvast入れてないんだ。
VTへも(htmlは)幾つか無作為に抽出して送っただけだし、拾ってきてベンダーに提出するので精一杯。
(無作為抽出の中で、Avastもスルーしてたのが幾つかあったということ)
基本的にこのスレは、自分の使っているセキュリティソフトでは○/○検出したとかの報告をする場所だから
どっちがどうだかという質問をしたいなら余所でやってね。
ああ>>920は920さんが提出済みだったからか
933 :名無しさん@お腹いっぱい。:2009/05/16(土) 23:41:49
>>929
>Symantecも後者かな
W32.IRCBot.Genの存在忘れてた(というかあまりこの検出名は見ない)
そう考えるとSymantecはヒューリスティック≠Genericかもね
ただPacked.Generic系は紛れもなくヒューリスティック検出扱いです、気になるならNortonの検疫フォルダかSymantecのウイルスデータベースを見てください
確実にPacked.Generic系はヒューリスティック検出と書いてるはずです
>Symantecも後者かな
W32.IRCBot.Genの存在忘れてた(というかあまりこの検出名は見ない)
そう考えるとSymantecはヒューリスティック≠Genericかもね
ただPacked.Generic系は紛れもなくヒューリスティック検出扱いです、気になるならNortonの検疫フォルダかSymantecのウイルスデータベースを見てください
確実にPacked.Generic系はヒューリスティック検出と書いてるはずです
934 :名無しさん@お腹いっぱい。:2009/05/16(土) 23:46:52
>>928
>>931
Nortonの場合はFWでブロックというよりは侵入防止機能が働いてブロックするという形かと思います
前にこのスレのURL踏んで侵入防止機能が働いて止めてくれたことがあったので
ただ仮想環境でもない限り危ないURLだとわかってるのに踏むなんて勇気はないですが
>>931
Nortonの場合はFWでブロックというよりは侵入防止機能が働いてブロックするという形かと思います
前にこのスレのURL踏んで侵入防止機能が働いて止めてくれたことがあったので
ただ仮想環境でもない限り危ないURLだとわかってるのに踏むなんて勇気はないですが
>>925
AVIRAの方ですが、HEURってどうなんでしょうね。
存在しているのは知っていますが、今までヒューリスティックで検出したこと無いもんで...(w
一応、AVIRAでヒューリスティック検出した場合、こういう風に HEUR/〜 という名前になるらしいです。
http://www.avira.com/jp/threats/section/fulldetails/id_vir/2704/heur_crypted.html
(前の方でGenをヒューリスティックと言っていましたが、これは私の勘違い)
が、汎用ルーチン(Gen検出)ばっかりで、今まで全然HEUR出たことがありません。
なんで、ヒューリスティックエンジンがどの程度の実力なのかよくわかりません。(苦笑
Kasperskyは、HEURが強いので隠れていすが、たまに汎用の検出が出ることがあります。
>907さんの所に書かれていますが、Trojan-Spy.Win32.Zbot.gen がそうです。(違うマルウェアなのに、3個に同じ名前)
なので、実はKasperskyもHEURとGenは別扱いなのです。 ちょっと雑談でした。(w
AVIRAの方ですが、HEURってどうなんでしょうね。
存在しているのは知っていますが、今までヒューリスティックで検出したこと無いもんで...(w
一応、AVIRAでヒューリスティック検出した場合、こういう風に HEUR/〜 という名前になるらしいです。
http://www.avira.com/jp/threats/section/fulldetails/id_vir/2704/heur_crypted.html
(前の方でGenをヒューリスティックと言っていましたが、これは私の勘違い)
が、汎用ルーチン(Gen検出)ばっかりで、今まで全然HEUR出たことがありません。
なんで、ヒューリスティックエンジンがどの程度の実力なのかよくわかりません。(苦笑
Kasperskyは、HEURが強いので隠れていすが、たまに汎用の検出が出ることがあります。
>907さんの所に書かれていますが、Trojan-Spy.Win32.Zbot.gen がそうです。(違うマルウェアなのに、3個に同じ名前)
なので、実はKasperskyもHEURとGenは別扱いなのです。 ちょっと雑談でした。(w
>>935
>907ではなく、>919さんでした。 Kasperskyの汎用検出。
>907ではなく、>919さんでした。 Kasperskyの汎用検出。
937 :名無しさん@お腹いっぱい。:2009/05/17(日) 00:09:49
>>935
aviraのHEUR〜系の検出は私はよく見ましたよ
ただkaspesrkyもヒューリスティックとgenericは別物というのには少し驚きました
nortonと同じくgeneric検出はほとんど見ないですからね
あと自分の記憶を辿るとウイルスバスターもヒューリスティックとgenericは別物だった気がしてきた
となるとヒューリスティック=genericはNOD32だけ?(キヤノンのNOD32のHP見ると「○○の亜種」はヒューリスティック扱い)
こうしてみるとgenericってヒューリスティックなのかシグネチャなのか非常にややこしい
nortonやウイルスバスターみたいにpacker系のgenericはヒューリスティック扱いもあるしkaspesrkyやbitdefenderみたいにヒューリスティックとgenericを一緒に名付けてるのもある
aviraのHEUR〜系の検出は私はよく見ましたよ
ただkaspesrkyもヒューリスティックとgenericは別物というのには少し驚きました
nortonと同じくgeneric検出はほとんど見ないですからね
あと自分の記憶を辿るとウイルスバスターもヒューリスティックとgenericは別物だった気がしてきた
となるとヒューリスティック=genericはNOD32だけ?(キヤノンのNOD32のHP見ると「○○の亜種」はヒューリスティック扱い)
こうしてみるとgenericってヒューリスティックなのかシグネチャなのか非常にややこしい
nortonやウイルスバスターみたいにpacker系のgenericはヒューリスティック扱いもあるしkaspesrkyやbitdefenderみたいにヒューリスティックとgenericを一緒に名付けてるのもある
938 :名無しさん@お腹いっぱい。:2009/05/17(日) 00:23:52
>>931
> gumlar■cnを呼び出すスクリプトに反応するのは、実質AvastとSophosのみ。
> 検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)
なら検出数分かってんだろ
もったいぶらないで出せば良いのに
それともavastやsophosの検出が突出していて
他社は悲惨な状況なのか?
例えばカスペやAVGは検出率ゼロとかw
> gumlar■cnを呼び出すスクリプトに反応するのは、実質AvastとSophosのみ。
> 検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)
なら検出数分かってんだろ
もったいぶらないで出せば良いのに
それともavastやsophosの検出が突出していて
他社は悲惨な状況なのか?
例えばカスペやAVGは検出率ゼロとかw
939 :名無しさん@お腹いっぱい。:2009/05/17(日) 00:29:29
【ネットでも】GENOウィルス亜種が爆発的に増殖か 小林製薬や同人サイト他中心に感染も★2【新型ウィルス拡散中】
http://tsushima.2ch.net/test/read.cgi/news/1242477344/
http://tsushima.2ch.net/test/read.cgi/news/1242477344/
940 :名無しさん@お腹いっぱい。:2009/05/17(日) 00:47:43
>>932
スレ違いだから、このコメントで満足して、そろそろどっか行ってくれないかな。
>それともavastやsophosの検出が突出していて
>他社は悲惨な状況なのか?
Yes。スクリプトのブロックに関してはね。他の方法(FWでブロックなど)のベンダーもあるので、
Avastサイコーとか言い切らないように。
>例えばカスペやAVGは検出率ゼロとかw
それに近い。
カスペは、初期に提出したのと同じパターンのものは検知するが、それ以外は白判定なので。
(FWでブロックする方針にしたからなのか、古くて無効なアドレスだったから白判定になったのかは不明)
NOD32なんかも、ダウンローダ系は殆ど白判定にして、落ちてきた本体をブロックで切ればOKという
方針に近い対応状況だったな(2年前に使用してた頃は)。現時点でもその方針継続かどうかは知らない。
スレ違いだから、このコメントで満足して、そろそろどっか行ってくれないかな。
>それともavastやsophosの検出が突出していて
>他社は悲惨な状況なのか?
Yes。スクリプトのブロックに関してはね。他の方法(FWでブロックなど)のベンダーもあるので、
Avastサイコーとか言い切らないように。
>例えばカスペやAVGは検出率ゼロとかw
それに近い。
カスペは、初期に提出したのと同じパターンのものは検知するが、それ以外は白判定なので。
(FWでブロックする方針にしたからなのか、古くて無効なアドレスだったから白判定になったのかは不明)
NOD32なんかも、ダウンローダ系は殆ど白判定にして、落ちてきた本体をブロックで切ればOKという
方針に近い対応状況だったな(2年前に使用してた頃は)。現時点でもその方針継続かどうかは知らない。
>>937
Kasperskyの場合、genで検出するものはほとんど無かったような気がします。また>919さんの所を使いますが
Trojan-Spy.Win32.Zbot.ttw
Trojan-Spy.Win32.Zbot.ttv
とか、>922のように
Trojan-Dropper.Win32.Agent.apaw
Trojan-Dropper.Win32.Agent.apax
や
Trojan.Win32.Agent.chas
Trojan.Win32.Agent.chbm
みたいな、最後の部分だけ違う検出名付けるのが多い。
個人的には、ロシア人なんで、汎用検出のシグネチャを作れないんじゃないかとか思ったり。
逆に、AVIRAはあれだけGenで捕まえられるところを見ると、汎用シグネチャの作成が上手いのではないかと思います。
偏見かもしれませんが、ドイツとロシアの国民性の差ような気も...(汗
Kasperskyの場合、genで検出するものはほとんど無かったような気がします。また>919さんの所を使いますが
Trojan-Spy.Win32.Zbot.ttw
Trojan-Spy.Win32.Zbot.ttv
とか、>922のように
Trojan-Dropper.Win32.Agent.apaw
Trojan-Dropper.Win32.Agent.apax
や
Trojan.Win32.Agent.chas
Trojan.Win32.Agent.chbm
みたいな、最後の部分だけ違う検出名付けるのが多い。
個人的には、ロシア人なんで、汎用検出のシグネチャを作れないんじゃないかとか思ったり。
逆に、AVIRAはあれだけGenで捕まえられるところを見ると、汎用シグネチャの作成が上手いのではないかと思います。
偏見かもしれませんが、ドイツとロシアの国民性の差ような気も...(汗
942 :名無しさん@お腹いっぱい。:2009/05/17(日) 01:05:20
>>940
> Avastサイコーとか言い切らないように。
つまり、avastは君が恐れるくらい優秀なソフトってことか
フリーとは言え、あなどれないな
> >例えばカスペやAVGは検出率ゼロとかw
> それに近い。
有料ソフトよりもフリーソフトの方が優秀ってことは分かった
それと、「最高」の判断はユーザーが試して決めるもんだからな
2chの書き込みごときで判断できるようなもんじゃない
大体、使う人によって判断基準は違うんだからな
だが、君の発言を見る限り、どうやらavastを入れておいて
他のソフトと組み合わせるのが一番ブロックできそうだな
> 他の方法(FWでブロックなど)
ということは、フリーならcomodoあたりをFWで入れて
avastと一緒に使うのが勝ちか
> Avastサイコーとか言い切らないように。
つまり、avastは君が恐れるくらい優秀なソフトってことか
フリーとは言え、あなどれないな
> >例えばカスペやAVGは検出率ゼロとかw
> それに近い。
有料ソフトよりもフリーソフトの方が優秀ってことは分かった
それと、「最高」の判断はユーザーが試して決めるもんだからな
2chの書き込みごときで判断できるようなもんじゃない
大体、使う人によって判断基準は違うんだからな
だが、君の発言を見る限り、どうやらavastを入れておいて
他のソフトと組み合わせるのが一番ブロックできそうだな
> 他の方法(FWでブロックなど)
ということは、フリーならcomodoあたりをFWで入れて
avastと一緒に使うのが勝ちか
943 :名無しさん@お腹いっぱい。:2009/05/17(日) 01:17:52
>>1
>特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
>>942
こちらへどうぞ。
一番いいセキュリティソフトはなんだ!!Part64
http://pc11.2ch.net/test/read.cgi/sec/1241351040/
>特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
>>942
こちらへどうぞ。
一番いいセキュリティソフトはなんだ!!Part64
http://pc11.2ch.net/test/read.cgi/sec/1241351040/
944 :名無しさん@お腹いっぱい。:2009/05/17(日) 01:24:50
>>940
> >>932
> スレ違いだから、このコメントで満足して、そろそろどっか行ってくれないかな。
何を偉そうにw
もともとはこの発言がきっかけだろ
>>931
> 検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)
余計なこと書かなきゃ良いのに
馬鹿がいたもんだw
スレチは>>931だろw
> >>932
> スレ違いだから、このコメントで満足して、そろそろどっか行ってくれないかな。
何を偉そうにw
もともとはこの発言がきっかけだろ
>>931
> 検出数はAvast>Sohosだが、当然ながら、両者共にすり抜けあり。(Avastだからブロックできて大丈夫ではない)
余計なこと書かなきゃ良いのに
馬鹿がいたもんだw
スレチは>>931だろw
945 :名無しさん@お腹いっぱい。:2009/05/17(日) 02:12:13
>>942 ここは勝ち負けではなく検体をシェアするところだ。
不慮の事故に合わない人を増やすために。
不慮の事故に合わない人を増やすために。
946 :名無しさん@お腹いっぱい。:2009/05/17(日) 02:20:27
947 :名無しさん@お腹いっぱい。:2009/05/17(日) 02:22:07
948 :名無しさん@お腹いっぱい。:2009/05/17(日) 02:46:14
>>941
なるほど
aviraの検出スタイルはシグネチャ+generic+ヒューリスティックに対しkasperskyはシグネチャ+ヒューリスティックにgenericがやや少しという認識でいいかもしれないですね。
ただシグネチャとヒューリスティック、genericだけじゃなくmcafeeやpandaのようにクラウドベースがあったりnortonはパルスアップデートがある
GDATAはダブルエンジン+アウトブレークシールドだったりと各ベンダーの検出スタイルは本当に千差万別、だから面白い
なるほど
aviraの検出スタイルはシグネチャ+generic+ヒューリスティックに対しkasperskyはシグネチャ+ヒューリスティックにgenericがやや少しという認識でいいかもしれないですね。
ただシグネチャとヒューリスティック、genericだけじゃなくmcafeeやpandaのようにクラウドベースがあったりnortonはパルスアップデートがある
GDATAはダブルエンジン+アウトブレークシールドだったりと各ベンダーの検出スタイルは本当に千差万別、だから面白い
949 :名無しさん@お腹いっぱい。:2009/05/17(日) 02:50:25
そしてヒューリスティックだけのYaranaika
950 :名無しさん@お腹いっぱい。:2009/05/17(日) 03:01:34
ヒューリスティックだけって危険すぎじゃね?
スルーした時点でもう終わりだし
スルーした時点でもう終わりだし
951 :名無しさん@お腹いっぱい。:2009/05/17(日) 03:05:24
>>949
いいのかい、ノーマルなセキュリティソフトでも平気で併用しちゃう奴なんだぜ…っつーか名前ちげーw
いいのかい、ノーマルなセキュリティソフトでも平気で併用しちゃう奴なんだぜ…っつーか名前ちげーw
952 :名無しさん@お腹いっぱい。:2009/05/17(日) 08:14:20
953 :名無しさん@お腹いっぱい。:2009/05/17(日) 10:36:42
>>898
martuz1upx.exe
ttp://www.virustotal.com/jp/analisis/886077480c51a676210ea6695588b522
McAfee+Artemis対応
martuz1upx.exe
ttp://www.virustotal.com/jp/analisis/886077480c51a676210ea6695588b522
McAfee+Artemis対応
martuz.cn新種(2009/05/17版) 相変わらずVTの判断ではほとんどスルー。
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=328
DL virus/解凍 virus
martuz_cn_id2_20090517.pdf
MD5 :3cdbaee0c533809e43c6b815884763ff
http://www.virustotal.com/jp/analisis/d0f152cbbb8243f084d05485a3d7c3a6 (2/40)
martuz_cn_id10_20090517.exe
MD5 :b0ca69853b371ec9eb58829e869f6f10
http://www.virustotal.com/jp/analisis/7e25c8d2c3766206c20482234449894d (3/40)
id3(swf)は、昨日(>898)と同じファイルでしたので省略。
Kaspersky 2009/05/17 13:28:00
id2 HEUR:Exploit.Script.Generic,id10 スルー,提出済
AVIRA 7.01.03.215 (注:土曜日からデータベース更新されてません。)
全てスルー,今AVIRAのサーバー調子悪いみたいなので、メールで提出。
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=328
DL virus/解凍 virus
martuz_cn_id2_20090517.pdf
MD5 :3cdbaee0c533809e43c6b815884763ff
http://www.virustotal.com/jp/analisis/d0f152cbbb8243f084d05485a3d7c3a6 (2/40)
martuz_cn_id10_20090517.exe
MD5 :b0ca69853b371ec9eb58829e869f6f10
http://www.virustotal.com/jp/analisis/7e25c8d2c3766206c20482234449894d (3/40)
id3(swf)は、昨日(>898)と同じファイルでしたので省略。
Kaspersky 2009/05/17 13:28:00
id2 HEUR:Exploit.Script.Generic,id10 スルー,提出済
AVIRA 7.01.03.215 (注:土曜日からデータベース更新されてません。)
全てスルー,今AVIRAのサーバー調子悪いみたいなので、メールで提出。
>>954
martuz.cnの追加情報です。
ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=cNotes の人が解析されているように、
一度ファイルをダウンロードするとIPアドレスが記録され、24時間以上経過するまで
同一IPアドレスからアクセスしても無視されるようです。
# 正確には、毎時0分にIPアドレスの記録を自動更新している模様。
私の場合、5/16 13時台にアクセスしてファイルを落としているのですが、先程まで無視されていました。
で、5/17 14:01にアクセスしたらファイルが落ちてきました。 まあ、わかりやすくて良いですけど。(w
martuz.cnの追加情報です。
ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=cNotes の人が解析されているように、
一度ファイルをダウンロードするとIPアドレスが記録され、24時間以上経過するまで
同一IPアドレスからアクセスしても無視されるようです。
# 正確には、毎時0分にIPアドレスの記録を自動更新している模様。
私の場合、5/16 13時台にアクセスしてファイルを落としているのですが、先程まで無視されていました。
で、5/17 14:01にアクセスしたらファイルが落ちてきました。 まあ、わかりやすくて良いですけど。(w
956 :名無しさん@お腹いっぱい。:2009/05/17(日) 14:50:53
ダウンロードっつーかHEAD投げるのもだめくさいな。
957 :名無しさん@お腹いっぱい。:2009/05/17(日) 14:56:29
串か…。
958 :名無しさん@お腹いっぱい。:2009/05/17(日) 15:22:54
959 :名無しさん@お腹いっぱい。:2009/05/17(日) 15:32:15
>>954
McAfeeに提出させて頂きました。
McAfeeに提出させて頂きました。
960 :名無しさん@お腹いっぱい。:2009/05/17(日) 18:48:09
>>916
Norton撃墜完了
Norton撃墜完了
ちなみにVirustotalではSymantecはスルーという結果・・・
http://www.virustotal.com/analisis/05f359380317e6ca18f747121315fbdc
http://www.virustotal.com/analisis/19e080de0788a1c77e554b895509ec8f
なぜこんな現象が・・・
http://www.virustotal.com/analisis/05f359380317e6ca18f747121315fbdc
http://www.virustotal.com/analisis/19e080de0788a1c77e554b895509ec8f
なぜこんな現象が・・・
962 :名無しさん@お腹いっぱい。:2009/05/17(日) 18:59:09
>>954乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
>>954
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=329
DL martuz/解凍 infected ※ 注意喚起のため、いつもと違います。
え〜、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
作成されるファイルを仮想PCで確保してみました。
ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。)
muvl.exe (元の名前 muvl.nug) - ランダム作成らしい。
MD5 : 3862b349b9b5c9283925e181ff9f5bf8
http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1a (2/40)
sqlsodbc.chm - ただのダミーファイルです。(中身は無意味なテキストと空白)
MD5 : 34cd61d83853e511f0a28027f639a1c9
http://www.virustotal.com/jp/analisis/395c9f2d6d6d38525fb24b3722664bfa (0/40)
muvl.exeは、中身に合わせて拡張子を変えてあります。(ベンダー提出時に捨てられないように)
gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。
sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。
あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。
このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。
タチ悪すぎ...
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=329
DL martuz/解凍 infected ※ 注意喚起のため、いつもと違います。
え〜、gnomeの人のおかげで挙動の予想がついてきたので、ちょっとexeの方を実行した時に
作成されるファイルを仮想PCで確保してみました。
ベンダーに提出するかどうかの判断は各自にお任せします。(一応、KasperskyとAVIRAには送ってあります。)
muvl.exe (元の名前 muvl.nug) - ランダム作成らしい。
MD5 : 3862b349b9b5c9283925e181ff9f5bf8
http://www.virustotal.com/jp/analisis/6ee378acae1dfede9be4c3949ee56b1a (2/40)
sqlsodbc.chm - ただのダミーファイルです。(中身は無意味なテキストと空白)
MD5 : 34cd61d83853e511f0a28027f639a1c9
http://www.virustotal.com/jp/analisis/395c9f2d6d6d38525fb24b3722664bfa (0/40)
muvl.exeは、中身に合わせて拡張子を変えてあります。(ベンダー提出時に捨てられないように)
gnomeの人の所の話では、一定時間毎に自己書き換えをして潜伏するそうなので、シグネチャで
対応できる可能性はかなり低そうですが、出さないよりはマシかもしれません。
sqlsodbc.chmの方はダミーファイルなので、マルウェアではありません。
感染すると、sqlsodbc.chmがこれに置き換えられるという意味で参考に添付してあります。
ファイルサイズは1,323バイトで、オリジナルファイルと置き換えられます。
あと、悪い話ですが、SymantecでもKasperskyでも、オンラインスキャンではコイツに感染していることがわかりません。
バッチリ感染した仮想PCをオンラインスキャンしてみたのですが、どちらも何も検出しませんでした。
このマルウェアは、感染時に元の実行ファイル(martuz.cnから落ちてくるxxxx.exe)の方を消去(証拠隠滅)
するようになっているので、一度感染すると、本体の自己書き換えもあるので、検出はほぼ不可能と思われます。
タチ悪すぎ...
>>940
スレ立てよろ。
スレ立てよろ。
965 :名無しさん@お腹いっぱい。:2009/05/17(日) 22:07:38
>>963乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
966 :名無しさん@お腹いっぱい。:2009/05/17(日) 22:07:52
967 :名無しさん@お腹いっぱい。:2009/05/17(日) 22:32:06
968 :名無しさん@お腹いっぱい。:2009/05/17(日) 23:49:41
>>963
タイムスタンプ2007年なのか…何か踏んだら日付で降順、とかも使えないな。
タイムスタンプ2007年なのか…何か踏んだら日付で降順、とかも使えないな。
>>963
この件、続きは下記に移動しました。一応連絡します。(ここで続けるのはスレ違いなので)
GENOウイルススレ@インターネット板
http://pc11.2ch.net/test/read.cgi/internet/1242450264/
あと、sqlsodbc.chmは通信盗聴のログとして使われている可能性有り、との情報があります。
(何もしてない状態だと、>963の様な 1,323バイトの無意味なテキストデータになる?)
martuz.cnのチェックは続けますので、新種が出たらまた上げます。
# ただ、24時間以内の再アクセス無視を串で通り抜けて確保できるかどうかが問題ですが...串でダメだと
1日に1回しか確保できんので提出が遅くなるかも。
この件、続きは下記に移動しました。一応連絡します。(ここで続けるのはスレ違いなので)
GENOウイルススレ@インターネット板
http://pc11.2ch.net/test/read.cgi/internet/1242450264/
あと、sqlsodbc.chmは通信盗聴のログとして使われている可能性有り、との情報があります。
(何もしてない状態だと、>963の様な 1,323バイトの無意味なテキストデータになる?)
martuz.cnのチェックは続けますので、新種が出たらまた上げます。
# ただ、24時間以内の再アクセス無視を串で通り抜けて確保できるかどうかが問題ですが...串でダメだと
1日に1回しか確保できんので提出が遅くなるかも。
970 :名無しさん@お腹いっぱい。:2009/05/17(日) 23:57:45
971 :名無しさん@お腹いっぱい。:2009/05/18(月) 00:00:46
972 :名無しさん@お腹いっぱい。:2009/05/18(月) 02:38:21
>>954
久しぶりにノートンが早めの対応。
filename: martuz_cn_id10_20090517.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: martuz_cn_id2_20090517.pdf
result: This file is detected as Trojan.Pidief.C.
久しぶりにノートンが早めの対応。
filename: martuz_cn_id10_20090517.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: martuz_cn_id2_20090517.pdf
result: This file is detected as Trojan.Pidief.C.
973 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:02:57
>>881かな。McAfee返答
File Name Findings Detection Type
========= ======== ========= ====
hgcheck.exe detected generic backdoor!r trojan
index1.gif detected generic dropper!s trojan
instalar.exe detected pws-banker!j trojan
install_2004.exe detected fakealert-cn trojan
install_2010-1.exe detected fakealert-cn trojan
install_flash_player.exe detected generic.dx!bw trojan
refaz2009.jpg detected generic downloader.s trojan
visualizar.exe detected generic.dx!br trojan
File Name Findings Detection Type
========= ======== ========= ====
hgcheck.exe detected generic backdoor!r trojan
index1.gif detected generic dropper!s trojan
instalar.exe detected pws-banker!j trojan
install_2004.exe detected fakealert-cn trojan
install_2010-1.exe detected fakealert-cn trojan
install_flash_player.exe detected generic.dx!bw trojan
refaz2009.jpg detected generic downloader.s trojan
visualizar.exe detected generic.dx!br trojan
974 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:08:55
>>972
対応は速かったみたいだけど実機での検出はまだしません、まだスルー状態です
早く対応したシグネチャ来て〜
あとSymantecはいつもこれぐらい対応速ければ言うことないんだけどね
Kaspersky並みに対応速くすればパルスアップデートも活きるし最強のベンダーになれると思うが・・・
対応は速かったみたいだけど実機での検出はまだしません、まだスルー状態です
早く対応したシグネチャ来て〜
あとSymantecはいつもこれぐらい対応速ければ言うことないんだけどね
Kaspersky並みに対応速くすればパルスアップデートも活きるし最強のベンダーになれると思うが・・・
975 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:11:31
http://www.virustotal.com/analisis/fd1f3a244eee7260bf19a596c9d243e6
http://www.virustotal.com/analisis/397df38ef9e40eaacf2bdc547d4ac50b
まだほとんどのベンダーが対応できてないね
http://www.virustotal.com/analisis/397df38ef9e40eaacf2bdc547d4ac50b
まだほとんどのベンダーが対応できてないね
976 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:36:31
977 :名無しさん@お腹いっぱい。:2009/05/18(月) 11:03:58
いわゆるGENO系ウイルスの定点観測されてる方って、本体もみてる?
エンベロープはともかく、本体はあんまり変異してない?
本体抽出鶴とか書いたら使う人いるかな
※本体はDLLなので、抽出に成功しても、通常悪用は難しいです
エンベロープはともかく、本体はあんまり変異してない?
本体抽出鶴とか書いたら使う人いるかな
※本体はDLLなので、抽出に成功しても、通常悪用は難しいです
978 :名無しさん@お腹いっぱい。:2009/05/18(月) 12:27:03
>>862+スクリプトの仕込まれたhtml , >>866
BitDefender回答
GENO系のスクリプトに対応する方向なのかな?
0008.id2_20090514_exe.orig as ksdl1
0009.id2_20090514_exe.orig.un-0.bd7.nda as ksdl1
0010.id2_20090514_pdf.orig asTrojan.JS.PZJ
0011.id2_20090514_pdf.orig.tm-0025 as Trojan.JS.PZJ
0000.access_html.orig as Trojan.JS.PZK
0001.asagaya_drum_com_htm.orig as Trojan.JS.PZK
0002.asagaya_drum_map_html.orig as Trojan.JS.PZK
0003.bar_html.orig asTrojan.JS.PZK
0004.cafemenu_html.orig as Trojan.JS.PZK
0005.cafe_melody_net_htm.orig as Trojan.JS.PZK
0006.day0803_html.orig as Trojan.JS.PZK
0012.info_html.orig asTrojan.JS.PZK
0025.link_1_html.orig as Trojan.JS.PZK
0026.link_html.orig as Trojan.JS.PZK
0027.melody0903_html.orig as Trojan.JS.PZK
0028.menu_html.orig asTrojan.JS.PZK
0029.mon0905_html.orig as Trojan.JS.PZK
0030.rental_html.orig as Trojan.JS.PZK
0031.staff_html.orig as Trojan.JS.PZK
0032.top_html.orig asTrojan.JS.PZK
0015.install2_exe.orig.em-2 as Trojan.Downloader.FraudLoad.P
0019.install4_exe.orig.em-1 as Trojan.Downloader.FraudLoad.O
0020.install4_exe.orig.em-2 as Trojan.Downloader.FraudLoad.P
0021.install4_exe.orig.tm-0047 as Trojan.Downloader.FraudLoad.P
BitDefender回答
GENO系のスクリプトに対応する方向なのかな?
0008.id2_20090514_exe.orig as ksdl1
0009.id2_20090514_exe.orig.un-0.bd7.nda as ksdl1
0010.id2_20090514_pdf.orig asTrojan.JS.PZJ
0011.id2_20090514_pdf.orig.tm-0025 as Trojan.JS.PZJ
0000.access_html.orig as Trojan.JS.PZK
0001.asagaya_drum_com_htm.orig as Trojan.JS.PZK
0002.asagaya_drum_map_html.orig as Trojan.JS.PZK
0003.bar_html.orig asTrojan.JS.PZK
0004.cafemenu_html.orig as Trojan.JS.PZK
0005.cafe_melody_net_htm.orig as Trojan.JS.PZK
0006.day0803_html.orig as Trojan.JS.PZK
0012.info_html.orig asTrojan.JS.PZK
0025.link_1_html.orig as Trojan.JS.PZK
0026.link_html.orig as Trojan.JS.PZK
0027.melody0903_html.orig as Trojan.JS.PZK
0028.menu_html.orig asTrojan.JS.PZK
0029.mon0905_html.orig as Trojan.JS.PZK
0030.rental_html.orig as Trojan.JS.PZK
0031.staff_html.orig as Trojan.JS.PZK
0032.top_html.orig asTrojan.JS.PZK
0015.install2_exe.orig.em-2 as Trojan.Downloader.FraudLoad.P
0019.install4_exe.orig.em-1 as Trojan.Downloader.FraudLoad.O
0020.install4_exe.orig.em-2 as Trojan.Downloader.FraudLoad.P
0021.install4_exe.orig.tm-0047 as Trojan.Downloader.FraudLoad.P
979 :名無しさん@お腹いっぱい。:2009/05/18(月) 14:02:24
980 :名無しさん@お腹いっぱい。:2009/05/18(月) 14:29:47
昨日落とした奴は、UPX3系で1段目解けたぽいけどな…。
埋め込み方法が再三変化するようだと、都度追随せにゃならんが
仕事一段落したら、過去のやつもいくらかみてみる
なんせ、いちばん簡単なのは、仮想環境かなんかでさくっと実行しちゃうことなんだがw
埋め込み方法が再三変化するようだと、都度追随せにゃならんが
仕事一段落したら、過去のやつもいくらかみてみる
なんせ、いちばん簡単なのは、仮想環境かなんかでさくっと実行しちゃうことなんだがw
981 :名無しさん@お腹いっぱい。:2009/05/18(月) 15:34:10
982 :名無しさん@お腹いっぱい。:2009/05/18(月) 15:47:31
>>963
Symantec返答
filename: muvl.exe
machine: Machine
result: This file is detected as Backdoor.Trojan. http://www.symantec.com/avcenter/venc/data/backdoor.trojan.html
Symantec返答
filename: muvl.exe
machine: Machine
result: This file is detected as Backdoor.Trojan. http://www.symantec.com/avcenter/venc/data/backdoor.trojan.html
983 :名無しさん@お腹いっぱい。:2009/05/18(月) 15:51:55
>>963
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
muvl.exe |heuristic detection |new dll-b |Virus |no
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
muvl.exe |heuristic detection |new dll-b |Virus |no
984 :名無しさん@お腹いっぱい。:2009/05/18(月) 15:55:05
GENOウイルスはあの最強の検出率といわれてるAviraですら大苦戦か・・・
>>954
本家F-Secureより回答。次回DB更新にて対応とのこと。
(こっちまだ残ってたの知らずに次スレに書いてしまいました。)
>Hello,
>
>Thank you for your e-mail.
>
>The file you sent was found to be malicious.
>An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!
本家F-Secureより回答。次回DB更新にて対応とのこと。
(こっちまだ残ってたの知らずに次スレに書いてしまいました。)
>Hello,
>
>Thank you for your e-mail.
>
>The file you sent was found to be malicious.
>An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!
986 :名無しさん@お腹いっぱい。:2009/05/18(月) 19:43:20
>>981
いつまでたっても俺のNIS2009では検出してくれない件について
いつまでたっても俺のNIS2009では検出してくれない件について
988 :名無しさん@お腹いっぱい。:2009/05/18(月) 20:35:50
>>985です。
F-SecureのDBが更新されました。
Anti-Virus AVP Extended Update 2009-05-18_01
martuz_cn_id2_20090517.pdf が検出可能です。
→ Exploit.Win32.Pidief.auw
martuz_cn_id10_20090517.exe は未対応......OTL
F-SecureのDBが更新されました。
Anti-Virus AVP Extended Update 2009-05-18_01
martuz_cn_id2_20090517.pdf が検出可能です。
→ Exploit.Win32.Pidief.auw
martuz_cn_id10_20090517.exe は未対応......OTL
989 :名無しさん@お腹いっぱい。:2009/05/18(月) 20:38:09
990 :名無しさん@お腹いっぱい。:2009/05/18(月) 21:03:20
Rising 2009 21.39.03 (21.30.03.00)
>>896
softwarefortubeview.45013.exe: Trojan.DL.Win32.Mnless.dml
1/4
>>898
martuz1upx.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
1/3
>>907
softwarefortubeview.40000.exe: Trojan.DL.Win32.Mnless.dml
2+1=3/10
>>954
martuz_cn_id10_20090517.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
1/2
>>963
muvl.exe: Trojan.Spy.Win32.Delf.dpt
>>896
softwarefortubeview.45013.exe: Trojan.DL.Win32.Mnless.dml
1/4
>>898
martuz1upx.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
1/3
>>907
softwarefortubeview.40000.exe: Trojan.DL.Win32.Mnless.dml
2+1=3/10
>>954
martuz_cn_id10_20090517.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
1/2
>>963
muvl.exe: Trojan.Spy.Win32.Delf.dpt
>>963
KasperskyとAVIRA両方返答来ました。muvl.exeの方です。
Kaspersky - 白
AVIRA - TR/NoUpdate.C,黒
うーん、明暗くっきり。
感染後に作成されるファイルに白判定が出るようだと、これはKasperskyのオンラインスキャンでmartuz.cnの感染検出無理か?
ここは、ちょっとAVIRAに期待しておこう。 んで、>990さんの所でRisingでも黒判定出てるので、そっちも少し期待。
あと、今日はmartuz.cnが私のこと無視する。前回から24時間以上経過してるのに...後でもう一度試します。
KasperskyとAVIRA両方返答来ました。muvl.exeの方です。
Kaspersky - 白
AVIRA - TR/NoUpdate.C,黒
うーん、明暗くっきり。
感染後に作成されるファイルに白判定が出るようだと、これはKasperskyのオンラインスキャンでmartuz.cnの感染検出無理か?
ここは、ちょっとAVIRAに期待しておこう。 んで、>990さんの所でRisingでも黒判定出てるので、そっちも少し期待。
あと、今日はmartuz.cnが私のこと無視する。前回から24時間以上経過してるのに...後でもう一度試します。
992 :名無しさん@お腹いっぱい。:2009/05/19(火) 00:14:12
>>954
Microsoftが頑張りはじめた。
Submitted Files
=============================================
20090517.zip [Container]
+---martuz_cn_id2_20090517.pdf [Exploit:Win32/Pdfjsc.AM]
+---(pdf0000_) [Exploit:Win32/Pdfjsc.AM]
+---martuz_cn_id10_20090517.exe [Trojan:Win32/Daonol.F]
Microsoftが頑張りはじめた。
Submitted Files
=============================================
20090517.zip [Container]
+---martuz_cn_id2_20090517.pdf [Exploit:Win32/Pdfjsc.AM]
+---(pdf0000_) [Exploit:Win32/Pdfjsc.AM]
+---martuz_cn_id10_20090517.exe [Trojan:Win32/Daonol.F]
>>988の続き
気づかなかったけど、F-Secure Hydra Update が 2009-05-18_02 まで更新済み
martuz_cn_id10_20090517.exe → Trojan:W32/Agent.KMH
また、sound●jp/yudai_marimba/ に埋め込まれていたスクリプトについて、
次回DB更新にて対応との回答がありました。(05/18 23:40)
おそらくこちらについても対応されているのではないかと推測しますが、
該当Webサイトは 403応答となっていますので確認できません(※)。
※難読化パターンは以下のような感じ。
_29+_22_2cj_3d_22_22_2cu_3d_6eavigator_2 以下略
気づかなかったけど、F-Secure Hydra Update が 2009-05-18_02 まで更新済み
martuz_cn_id10_20090517.exe → Trojan:W32/Agent.KMH
また、sound●jp/yudai_marimba/ に埋め込まれていたスクリプトについて、
次回DB更新にて対応との回答がありました。(05/18 23:40)
おそらくこちらについても対応されているのではないかと推測しますが、
該当Webサイトは 403応答となっていますので確認できません(※)。
※難読化パターンは以下のような感じ。
_29+_22_2cj_3d_22_22_2cu_3d_6eavigator_2 以下略
994 :名無しさん@お腹いっぱい。:2009/05/19(火) 03:03:32
995 :名無しさん@お腹いっぱい。:2009/05/19(火) 04:14:29
KIS2009
muvl.exe - Trojan program Trojan.Win32.Inject.aahl
muvl.exe - Trojan program Trojan.Win32.Inject.aahl
996 :名無しさん@お腹いっぱい。:2009/05/19(火) 14:25:08
>>394 4/7提出分。NortonようやくCLOSE。
-----
filename: 20090407_1_n1.zip(5/19返答)
filename: 20090407_1_n2.zip(4/7提出日に返答)
-----
filename: file.exe
result: This file is detected as Infostealer. http://www.symantec.com/avcenter/venc/data/infostealer.html
filename: codec.exe
filename: aff_8.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
filename: IEPLORER%20DLL.exe
result: This file is detected as Spyware.Keylogger. http://www.symantec.com/avcenter/venc/data/spyware.keylogger.html
filename: codec_1.exe
result: This file is detected as Trojan.Fakeavalert.
filename: ipk.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
-----
filename: Co.swf
filename: update.exe
filename: Tudo%20Aqui.exe
filename: WlZ.pdf
result: See the developer notes(手動解析)
filename: win_1.exe
result: This file is detected as Hacktool.Rootkit. http://www.symantec.com/avcenter/venc/data/hacktool.rootkit.html
filename: win.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
-----
filename: 20090407_1_n1.zip(5/19返答)
filename: 20090407_1_n2.zip(4/7提出日に返答)
-----
filename: file.exe
result: This file is detected as Infostealer. http://www.symantec.com/avcenter/venc/data/infostealer.html
filename: codec.exe
filename: aff_8.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
filename: IEPLORER%20DLL.exe
result: This file is detected as Spyware.Keylogger. http://www.symantec.com/avcenter/venc/data/spyware.keylogger.html
filename: codec_1.exe
result: This file is detected as Trojan.Fakeavalert.
filename: ipk.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
-----
filename: Co.swf
filename: update.exe
filename: Tudo%20Aqui.exe
filename: WlZ.pdf
result: See the developer notes(手動解析)
filename: win_1.exe
result: This file is detected as Hacktool.Rootkit. http://www.symantec.com/avcenter/venc/data/hacktool.rootkit.html
filename: win.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
997 :名無しさん@お腹いっぱい。:2009/05/19(火) 16:08:37
>>963
Rising返答
同時に提出したスクリプト入りhtmlは全部 No Malware.
1. Filename:muvl.exe
Virusname:Trojan.Spy.Win32.Delf.dpt
Rising返答
同時に提出したスクリプト入りhtmlは全部 No Malware.
1. Filename:muvl.exe
Virusname:Trojan.Spy.Win32.Delf.dpt
998 :名無しさん@お腹いっぱい。:2009/05/19(火) 17:26:28
>>954
avertからescalation mailが届きました。
Subject: Escalation
Thank you for submitting your suspicious files.
Synopsis -
Attached is a file for extra detection, which will be included in a future DAT set.
EXTRA.DATが添付されていました。
>>983
おかげさまでEXTRA.DATが準備されました。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
muvl.exe |new detection |generic.dx!ct |Trojan |yes
avertからescalation mailが届きました。
Subject: Escalation
Thank you for submitting your suspicious files.
Synopsis -
Attached is a file for extra detection, which will be included in a future DAT set.
EXTRA.DATが添付されていました。
>>983
おかげさまでEXTRA.DATが準備されました。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
muvl.exe |new detection |generic.dx!ct |Trojan |yes
1000 :名無しさん@お腹いっぱい。:2009/05/19(火) 18:43:30
1000
1001 :1001:
このスレッドは1000を超えました。
もう書けないので、新しいスレッドを立ててくださいです。。。
もう書けないので、新しいスレッドを立ててくださいです。。。