【鑑定目的禁止】検出可否報告スレ11
1 :名無しさん@お腹いっぱい。:
@はじめに
各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うpろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
前スレ
【鑑定目的禁止】検出可否報告スレ10
http://pc11.2ch.net/test/read.cgi/sec/1235459712/
●セキュリティ板専用アプロダ推奨↓
http://tane.sakuratan.com/
●検体提出先まとめWiki (参考)
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先(Webフォーム、メールアドレス)、検体提出方法、
推奨される文例、検体提出時の注意事項が掲載されています。
各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うpろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
前スレ
【鑑定目的禁止】検出可否報告スレ10
http://pc11.2ch.net/test/read.cgi/sec/1235459712/
●セキュリティ板専用アプロダ推奨↓
http://tane.sakuratan.com/
●検体提出先まとめWiki (参考)
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先(Webフォーム、メールアドレス)、検体提出方法、
推奨される文例、検体提出時の注意事項が掲載されています。
|
|
|
2 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:27:46
A議論や意見のまとめ
・圧縮ファイルと検出数
exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。
・DOSウイルス禁止
大昔のウイルスを集めてきても無意味なことがあります。
・パスなしZIPをパス有りLZH(またはRAR)で
安全性と利便性のため、上記の手法を推奨します。
・淡々とやれ淡々と!
淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。
・ブラクラ禁止
ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません!
・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 という意見もあり。
・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、
提出していない旨記載。(ベンダーに多重送付を避けるため)
・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
・スレ違いでもめる(2スレ目以降)
・あらしはスルー。ソフトの優劣の議論は別スレで!!(下記スレなど)
一番いいセキュリティソフトはなんだ!!Part64
ttp://pc11.2ch.net/test/read.cgi/sec/1241351040/
・圧縮ファイルと検出数
exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。
・DOSウイルス禁止
大昔のウイルスを集めてきても無意味なことがあります。
・パスなしZIPをパス有りLZH(またはRAR)で
安全性と利便性のため、上記の手法を推奨します。
・淡々とやれ淡々と!
淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。
・ブラクラ禁止
ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません!
・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 という意見もあり。
・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、
提出していない旨記載。(ベンダーに多重送付を避けるため)
・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
・スレ違いでもめる(2スレ目以降)
・あらしはスルー。ソフトの優劣の議論は別スレで!!(下記スレなど)
一番いいセキュリティソフトはなんだ!!Part64
ttp://pc11.2ch.net/test/read.cgi/sec/1241351040/
3 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:29:15
【重要】
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら
貢献することを目的としているスレです。検体の悪用・不正利用は厳禁願います。
●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。
●検体確認は自己責任でお願いします。感染しても責任は一切持ちません!
(鑑定スレではないので、無害と判定されたファイルを実行して感染しても責任は一切持ちません!)
※◆W32/Vael.oは信頼できるコテさんです。
★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。
・VIRUSTOTAL (略称:VT)
http://www.virustotal.com/jp/
・VirScan
http://www.virscan.org/
・Jotti
http://virusscan.jotti.org/
※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。(例:VT上のカスペ7.0.0.125、最新版2009など)
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら
貢献することを目的としているスレです。検体の悪用・不正利用は厳禁願います。
●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。
●検体確認は自己責任でお願いします。感染しても責任は一切持ちません!
(鑑定スレではないので、無害と判定されたファイルを実行して感染しても責任は一切持ちません!)
※◆W32/Vael.oは信頼できるコテさんです。
★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。
・VIRUSTOTAL (略称:VT)
http://www.virustotal.com/jp/
・VirScan
http://www.virscan.org/
・Jotti
http://virusscan.jotti.org/
※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。(例:VT上のカスペ7.0.0.125、最新版2009など)
4 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:30:31
★各ベンダーへの提出先 (順不同)
・ベンダーにより、Webフォームでの提出と、eメールでの提出などがある。
・ eメールアドレスは、☆→@に読み替えてください。パスワードは"infected"(推奨、特にMcAfee, Bit, ESET)で圧縮して添付
●シマンテック (ノートン)
・Symantec Security Response 〔Upload a suspected infected file:疑わしいファイルの提出〕:新しい提出先。こちらを推奨。
ttps://submit.symantec.com/websubmit/retail.cgi
*ファイルやtxtメモや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕 が提出条件
*裏技:シマへは圧縮フォルダ×2回(*7zip-PPMd圧縮)で実はツメホーダイだが、対応が確実に遅くなるので非推奨
●ウイルスバスター(トレンドマイクロ)
ttp://inet.trendmicro.co.jp/esolution/supform.asp
バスターユーザー以外は
ttp://www.trendmicro.com/jp/security/virushunter.htm(該当ページ消滅/次スレでは削除?)
ttp://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7
●マカフィー (英語の方が対応が早いかも)
ttp://www.nai.com/japan/security/contactavert.asp (日本語)
ttp://vil.nai.com/vil/submit-sample.aspx (英語)
ttps://www.webimmune.net/ (要登録・英語)
メール:virus_research☆avertlabs.com
●ESET NOD32アンチウイルス
ttp://training.eset.com/kb/index.php?option=com_kb&Itemid=29&page=articles&articleid=141
e-mail:samples☆eset.com
●Kaspersky(カスペルスキー)
ttp://www.kaspersky.co.jp/
一番下の「新しいウイルスをお知らせ下さい」
e-mail: newvirus☆kaspersky.com
・ベンダーにより、Webフォームでの提出と、eメールでの提出などがある。
・ eメールアドレスは、☆→@に読み替えてください。パスワードは"infected"(推奨、特にMcAfee, Bit, ESET)で圧縮して添付
●シマンテック (ノートン)
・Symantec Security Response 〔Upload a suspected infected file:疑わしいファイルの提出〕:新しい提出先。こちらを推奨。
ttps://submit.symantec.com/websubmit/retail.cgi
*ファイルやtxtメモや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕 が提出条件
*裏技:シマへは圧縮フォルダ×2回(*7zip-PPMd圧縮)で実はツメホーダイだが、対応が確実に遅くなるので非推奨
●ウイルスバスター(トレンドマイクロ)
ttp://inet.trendmicro.co.jp/esolution/supform.asp
バスターユーザー以外は
ttp://www.trendmicro.com/jp/security/virushunter.htm(該当ページ消滅/次スレでは削除?)
ttp://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7
●マカフィー (英語の方が対応が早いかも)
ttp://www.nai.com/japan/security/contactavert.asp (日本語)
ttp://vil.nai.com/vil/submit-sample.aspx (英語)
ttps://www.webimmune.net/ (要登録・英語)
メール:virus_research☆avertlabs.com
●ESET NOD32アンチウイルス
ttp://training.eset.com/kb/index.php?option=com_kb&Itemid=29&page=articles&articleid=141
e-mail:samples☆eset.com
●Kaspersky(カスペルスキー)
ttp://www.kaspersky.co.jp/
一番下の「新しいウイルスをお知らせ下さい」
e-mail: newvirus☆kaspersky.com
5 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:31:14
●Avira AntiVir
ttp://www.avira.com/en/support/submit_suspicious_files.html
e-mail:virus_malware☆avira.com
●Rising(ウイルスキラー)
ttp://up.rising.com.cn/webmail/uploadnew.htm
ttp://sample.rising-global.com/webmail/upload_en.htm (英語版)
●Microsoft(マイクロソフト)
ttp://www.microsoft.com/security/portal/submit.aspx
onecare☆submit.microsoft.com
submit_virus☆research.sybari.com
●Dr.WEB
ttp://drweb.jp/support/virus_sample.html
vms☆drweb.com または vms☆drweb.jp
パスワードはvirus固定
●F-Secure (エフセキュア)
ttp://www.f-secure.co.jp/support/samples/
samples☆f-secure.co.jp
●AVG
ttp://www.grisoft.com/jp.faq.num-771#faq_771
virus☆avg.com
●Ewido (AVG;Anti ;Spyware)
ttp://www.ewido.net/en/malware/(→AVGに変更。次スレでは削除)
●avast!
ttp://www.avast.com/jpn/technical_support.html
virus☆avast.com
ttp://www.avira.com/en/support/submit_suspicious_files.html
e-mail:virus_malware☆avira.com
●Rising(ウイルスキラー)
ttp://up.rising.com.cn/webmail/uploadnew.htm
ttp://sample.rising-global.com/webmail/upload_en.htm (英語版)
●Microsoft(マイクロソフト)
ttp://www.microsoft.com/security/portal/submit.aspx
onecare☆submit.microsoft.com
submit_virus☆research.sybari.com
●Dr.WEB
ttp://drweb.jp/support/virus_sample.html
vms☆drweb.com または vms☆drweb.jp
パスワードはvirus固定
●F-Secure (エフセキュア)
ttp://www.f-secure.co.jp/support/samples/
samples☆f-secure.co.jp
●AVG
ttp://www.grisoft.com/jp.faq.num-771#faq_771
virus☆avg.com
●Ewido (AVG;Anti ;Spyware)
ttp://www.ewido.net/en/malware/(→AVGに変更。次スレでは削除)
●avast!
ttp://www.avast.com/jpn/technical_support.html
virus☆avast.com
6 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:31:55
●ソフォス(Sophos)
ttp://www.sophos.co.jp/support/queries/#sample
ttps://secure.sophos.co.jp/support/samples
ttp://www.sophos.com/support/samples/
●キングソフト・アンチウィルス
ttp://www.kingsoft.jp/is/kentai.html
kentai2☆kingsoft.jp
●バイロボット(hauri、ViRobot)
ttp://www.hauri.net/support/support/virus_reg.html?menu=QTAy
●ウイルスドクター (メールの場合、本国(e-mail 2)の方が速いかも)
ttp://www.virusdoctor.jp/virus/
e-mail 1:labo☆virusdoctor.jp
e-mail 2:virus☆jiangmin.com
●eTrust
ttp://www.caj.co.jp/support/csp/free_policy/virus.htm
virus☆caj.co.jp
●F-PROT; (フォームよりe-mail推奨)
ttp://www.f-prot.com/virusinfo/submission_form.html
e-mail:viruslab☆f-prot.com
F-port宛メールはエンコード後サイズで10,240,000Byte迄
●a2 (a-squared)
ttp://www.emsisoft.jp/EN/support/submit/
e-mail:submit☆emsisoft.com
ttp://www.sophos.co.jp/support/queries/#sample
ttps://secure.sophos.co.jp/support/samples
ttp://www.sophos.com/support/samples/
●キングソフト・アンチウィルス
ttp://www.kingsoft.jp/is/kentai.html
kentai2☆kingsoft.jp
●バイロボット(hauri、ViRobot)
ttp://www.hauri.net/support/support/virus_reg.html?menu=QTAy
●ウイルスドクター (メールの場合、本国(e-mail 2)の方が速いかも)
ttp://www.virusdoctor.jp/virus/
e-mail 1:labo☆virusdoctor.jp
e-mail 2:virus☆jiangmin.com
●eTrust
ttp://www.caj.co.jp/support/csp/free_policy/virus.htm
virus☆caj.co.jp
●F-PROT; (フォームよりe-mail推奨)
ttp://www.f-prot.com/virusinfo/submission_form.html
e-mail:viruslab☆f-prot.com
F-port宛メールはエンコード後サイズで10,240,000Byte迄
●a2 (a-squared)
ttp://www.emsisoft.jp/EN/support/submit/
e-mail:submit☆emsisoft.com
7 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:32:49
●ウイルスセキュリティZERO (K7Computing)
ttp://k7computing.com/Support/newvirus.html
k7viruslab☆k7computing.com
●Panda
ベンダーに問い合わせた結果、下記のアドレスを指示されました
virussamples☆pandasecurity.com
●ArcaBit
ttp://www.arcabit.com/send.html
virus☆arcabit.com
●Proland Software
ttp://www.pspl.com/support/samplesubmit.htm
virsample☆pspl.com?subject=Virus Sample
(メールは、固定タイトルでないと弾かれる模様)
●ClamAV
ttp://cgi.clamav.net/sendvirus.cgi
パスワードはvirus固定。3145728 bytes未満のファイルで。
●Sunbelt
ttp://research.sunbelt-software.com/software_submission.aspx
malware-cruncher☆sunbelt-software.com
●Malwarebytes
ttp://uploads.malwarebytes.org/
●Lavasoft
ttp://upload.lavasoft.com/upload/submit_file.php
ttp://k7computing.com/Support/newvirus.html
k7viruslab☆k7computing.com
●Panda
ベンダーに問い合わせた結果、下記のアドレスを指示されました
virussamples☆pandasecurity.com
●ArcaBit
ttp://www.arcabit.com/send.html
virus☆arcabit.com
●Proland Software
ttp://www.pspl.com/support/samplesubmit.htm
virsample☆pspl.com?subject=Virus Sample
(メールは、固定タイトルでないと弾かれる模様)
●ClamAV
ttp://cgi.clamav.net/sendvirus.cgi
パスワードはvirus固定。3145728 bytes未満のファイルで。
●Sunbelt
ttp://research.sunbelt-software.com/software_submission.aspx
malware-cruncher☆sunbelt-software.com
●Malwarebytes
ttp://uploads.malwarebytes.org/
●Lavasoft
ttp://upload.lavasoft.com/upload/submit_file.php
8 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:33:34
●NictaTech Software
ttp://www.nictasoft.com/new-virus/
newvirus☆nictasoft.com
●VirusBuster
ttp://www.virusbuster.hu/en/support/contact/redirect_virus
virus☆vbuster.hu
●ウイルスチェイサー (※ Dr.Webエンジンのため、>>5のDr.Webの窓口に直接送ったほうが良い。)
ttp://www.viruschaser.jp/support_aft.html#q2
●Norman
ttp://www.norman.com/microsites/nsic/Submit/
未圧縮のファイルを、1つづつサンドボックスへ
●eSafe
ttp://www.aladdin.com/home/csrt/vsubmit.asp(→該当ページ削除/誰か補足を)
virus☆aladdin.co.jp
●BitDefender
送付先1:
e-mail:support☆bitdefender.com
ttp://beta.bitdefender.com/site/KnowledgeBase/consumer/
Fight against malware → Improving Detection →What to do when BitDefender does not detect malware
送付先2:
e-mail:virus_submission☆bitdefender.com(2MBまで?)
ttp://forum.bitdefender.com/index.php?showtopic=3066
●アンラボ(AhnLab V3)
・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答(詳細は>>1のWiki参照)
Ahnlab Customer(AhnLab-V3) メール:ahnlabcustomer☆ahnlab.co.jp
ttp://www.nictasoft.com/new-virus/
newvirus☆nictasoft.com
●VirusBuster
ttp://www.virusbuster.hu/en/support/contact/redirect_virus
virus☆vbuster.hu
●ウイルスチェイサー (※ Dr.Webエンジンのため、>>5のDr.Webの窓口に直接送ったほうが良い。)
ttp://www.viruschaser.jp/support_aft.html#q2
●Norman
ttp://www.norman.com/microsites/nsic/Submit/
未圧縮のファイルを、1つづつサンドボックスへ
●eSafe
ttp://www.aladdin.com/home/csrt/vsubmit.asp(→該当ページ削除/誰か補足を)
virus☆aladdin.co.jp
●BitDefender
送付先1:
e-mail:support☆bitdefender.com
ttp://beta.bitdefender.com/site/KnowledgeBase/consumer/
Fight against malware → Improving Detection →What to do when BitDefender does not detect malware
送付先2:
e-mail:virus_submission☆bitdefender.com(2MBまで?)
ttp://forum.bitdefender.com/index.php?showtopic=3066
●アンラボ(AhnLab V3)
・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答(詳細は>>1のWiki参照)
Ahnlab Customer(AhnLab-V3) メール:ahnlabcustomer☆ahnlab.co.jp
9 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:34:43
以上 テンプレここまで
-----------------------------------------
検体提出先を一部変更、追記。
テンプレ(>>1->>7)、検体提出先(>>4->>7)の変更・追加あれば、>>8にレスする形で指摘よろ。
-----------------------------------------
検体提出先を一部変更、追記。
テンプレ(>>1->>7)、検体提出先(>>4->>7)の変更・追加あれば、>>8にレスする形で指摘よろ。
10 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:38:31
AV-Test.org - Update Frequency of Anti-Virus Software (1週間の定義更新頻度)
ttp://www.av-test.org/index.php?menue=7&lang=0
ttp://www.av-test.org/index.php?menue=7&lang=0
前スレ>>966です。
前スレ>>954
martuz_cn_id2_20090517.pdf
martuz_cn_id10_20090517.exe の件について回答が来ました。
>Hello,
>
>Thank you for your e-mail.
>
>The file you sent was found to be malicious.
>An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!
前スレ>>954
martuz_cn_id2_20090517.pdf
martuz_cn_id10_20090517.exe の件について回答が来ました。
>Hello,
>
>Thank you for your e-mail.
>
>The file you sent was found to be malicious.
>An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!
12 :名無しさん@お腹いっぱい。:2009/05/18(月) 18:52:58
13 :名無しさん@お腹いっぱい。:2009/05/19(火) 12:41:54
>>1-9
スレ立て乙
スレ立て乙
14 :名無しさん@お腹いっぱい。:2009/05/19(火) 18:47:44
699さんの代理で投稿します
前スレ>>991
>ここは、ちょっとAVIRAに期待しておこう。
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=330
DL avira/解凍 avira
ちょっと朗報です。avira データベース 7.01.03.222で、感染後のファイルを検出するようになりました。
上記はその画像です。(ロダをお借りしました。)
上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
再度感染させて検査しています。 この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。
http://www.virustotal.com/jp/analisis/087f8f027f3651120c879d867164626b -1
2個ファイルを検出しているのは、バックアップした方の mwgpedu.tya も検出したためです。
ちなみに、>963の muvl.nug も、同じく TR/Drop.Agent.qna.2 で検出するようになっています。(実機確認済み)
http://www.virustotal.com/jp/analisis/92a0cea2519ff2c901f9ac82f9453928 -2
VTの上記 1と2のMD5を見ればわかるように、ファイル自体は中身が微妙に変わっている(MD5が違う)のですが、
見事に同じ検出名で発見します。
完璧に発見できるかどうかは今後の検証が必要だと思いますが、流石aviraと言うところですか...
上手くmartuz.cn汎用検出のシグネチャを作ることができたのかもしれません。
追記)全鯖巻き添え規制を喰ったので、しばらく書き込みできません。
前スレ>>991
>ここは、ちょっとAVIRAに期待しておこう。
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=330
DL avira/解凍 avira
ちょっと朗報です。avira データベース 7.01.03.222で、感染後のファイルを検出するようになりました。
上記はその画像です。(ロダをお借りしました。)
上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
再度感染させて検査しています。 この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。
http://www.virustotal.com/jp/analisis/087f8f027f3651120c879d867164626b -1
2個ファイルを検出しているのは、バックアップした方の mwgpedu.tya も検出したためです。
ちなみに、>963の muvl.nug も、同じく TR/Drop.Agent.qna.2 で検出するようになっています。(実機確認済み)
http://www.virustotal.com/jp/analisis/92a0cea2519ff2c901f9ac82f9453928 -2
VTの上記 1と2のMD5を見ればわかるように、ファイル自体は中身が微妙に変わっている(MD5が違う)のですが、
見事に同じ検出名で発見します。
完璧に発見できるかどうかは今後の検証が必要だと思いますが、流石aviraと言うところですか...
上手くmartuz.cn汎用検出のシグネチャを作ることができたのかもしれません。
追記)全鯖巻き添え規制を喰ったので、しばらく書き込みできません。
15 :名無しさん@お腹いっぱい。:2009/05/19(火) 18:54:06
日替わりscrと、Troj/JSRedir-R なhtml
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=332
infected
ttp://www.virustotal.com/analisis/ec7655376e77a30ce5fbe19780f67835 1199.exe(24/40)
ttp://www.virustotal.com/analisis/723cdf7f941eeeb5a46cd15a7340857b play.scr(24/41)
おまけのhtmlの方は、ベンダーのポリシーで検出しない方が多いとは思いますが、(俗称)GENOウイルスの
ダウンロードもブロックするようになってくれるに越したことはないので入れておきました。
前スレの最後のほうで、htmlのシグネチャ出し始めていたBitDefenderにもちょっと期待。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=332
infected
ttp://www.virustotal.com/analisis/ec7655376e77a30ce5fbe19780f67835 1199.exe(24/40)
ttp://www.virustotal.com/analisis/723cdf7f941eeeb5a46cd15a7340857b play.scr(24/41)
おまけのhtmlの方は、ベンダーのポリシーで検出しない方が多いとは思いますが、(俗称)GENOウイルスの
ダウンロードもブロックするようになってくれるに越したことはないので入れておきました。
前スレの最後のほうで、htmlのシグネチャ出し始めていたBitDefenderにもちょっと期待。
16 :名無しさん@お腹いっぱい。:2009/05/19(火) 19:04:21
17 :名無しさん@お腹いっぱい。:2009/05/19(火) 19:07:06
>>15
html関連は、Microsoftも検出するようになったようです。
正式名称は2番目に使われた鯖のGamburのようですね。
Troj/JSRedir-R(Sophos) ,
Trojan:JS/Gamburl.gen!A(Microsoft) ,
JS:Redirector-H4(Avast) ,
JS:Redirector-H7(Avast)
html関連は、Microsoftも検出するようになったようです。
正式名称は2番目に使われた鯖のGamburのようですね。
Troj/JSRedir-R(Sophos) ,
Trojan:JS/Gamburl.gen!A(Microsoft) ,
JS:Redirector-H4(Avast) ,
JS:Redirector-H7(Avast)
18 :名無しさん@お腹いっぱい。:2009/05/19(火) 19:51:02
>>15乙
Symantecとa-squaredとMalwarebytesに提出済みです
>>1さん
>>4
*裏技:シマへは圧縮フォルダ×2回(*7zip-PPMd圧縮)で実はツメホーダイだが、対応が確実に遅くなるので非推奨
だいたい30分以内には更新が届くので、圧縮形式自体は実はたいした問題ではないのです。
僕はこの方法で数万回提出していますw
Symantecとa-squaredとMalwarebytesに提出済みです
>>1さん
>>4
*裏技:シマへは圧縮フォルダ×2回(*7zip-PPMd圧縮)で実はツメホーダイだが、対応が確実に遅くなるので非推奨
だいたい30分以内には更新が届くので、圧縮形式自体は実はたいした問題ではないのです。
僕はこの方法で数万回提出していますw
19 :名無しさん@お腹いっぱい。:2009/05/19(火) 19:56:39
>>15
McAfeeに提出させて頂きました。
McAfeeに提出させて頂きました。
20 :名無しさん@お腹いっぱい。:2009/05/19(火) 20:00:16
Rising 2009 21.39.12 (21.30.12.00)
>>15
play\1199.exe: Backdoor.Win32.PcClient.tvj
play\play.scr>>1199.exe: Backdoor.Win32.PcClient.tvj
RisingにHTML提出完了
>>15
play\1199.exe: Backdoor.Win32.PcClient.tvj
play\play.scr>>1199.exe: Backdoor.Win32.PcClient.tvj
RisingにHTML提出完了
21 :名無しさん@お腹いっぱい。:2009/05/19(火) 20:26:16
23 :名無しさん@お腹いっぱい。:2009/05/19(火) 21:46:46
GENOのサイト踏んだときにダウンロードしたexeってここに出せばいいの?
誘導されてきたんだが
誘導されてきたんだが
24 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:00:14
>>23
おかあちゃんに渡しといてくれ
おかあちゃんに渡しといてくれ
25 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:10:00
26 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:26:17
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=334
infected
ここに今まで提出されていたGENO関係のまとめ(ここには上げていないスクリプト付きHTMLも入っています)を
UPしてみました。全て、各種ベンダーに提出済みのものですので再提出の必要はありません。きっと。
感染スクリプトを含んだHTMLが多く、無駄に容量食っていたので(ZIP1発だと3MB/7zだと1.1MB)、
7zで圧縮し、それをもう1回ZIPで圧縮しています。ZIPも7zも同じパスワードとなっています。
現時点で、どの程度のセキュリティソフトが対応しているのか、各自ご愛用のセキュリティソフトでの
対応状況を確認してみてください。
infected
ここに今まで提出されていたGENO関係のまとめ(ここには上げていないスクリプト付きHTMLも入っています)を
UPしてみました。全て、各種ベンダーに提出済みのものですので再提出の必要はありません。きっと。
感染スクリプトを含んだHTMLが多く、無駄に容量食っていたので(ZIP1発だと3MB/7zだと1.1MB)、
7zで圧縮し、それをもう1回ZIPで圧縮しています。ZIPも7zも同じパスワードとなっています。
現時点で、どの程度のセキュリティソフトが対応しているのか、各自ご愛用のセキュリティソフトでの
対応状況を確認してみてください。
27 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:30:01
>>26
ごめん、20090505分の所に、その日に一緒に提出した、別件のZIPが混ざってました。そいつは無視してください。orz
BitDefenderの検出名
4/5版 本体exe:Trojan.Agent.AMNN 本体PDF:Exploit.PDF-JS.Gen 本体SWF:Exploit.SWF.Gen
(4/5版関連ファイル:Trojan.Downloader.JS.Agent.PM,Trojan.Downloader.JS.Agent.PM,Trojan.Delf.Agent.L,Trojan.Agent.AMNM)
4/11版 本体exe:Trojan.Generic.1618916 本体PDF:Trojan.Script.11972
5/2版 本体exe:Trojan.Agent.AMTB 本体PDF:Trojan.Downloader.JS.SetSlice.K 本体swf:Exploit.SWF.Gen
5/4版 本体exe:Trojan.Generic.1813945 本体swf:Exploit.SWF.Gen
5/5版 本体exe:Trojan.Dropper.TAX 本体PDF:Exploit.PDF-JS.Gen
5/8版 本体exe:Trojan.Seekwel.C 本体PDF:Exploit.PDF-JS.Gen 本体swf:Exploit.SWF.Gen
5/10版 本体exe:Trojan.Agent.AMVH 本体PDF:Exploit.PDF-JS.Gen 本体swf:スルー
5/11版 本体exe:Trojan.Agent.AMVF 本体PDF:Trojan.Script.47321
5/14版 本体exe:Trojan.Dropper.TBI 本体PDF:Trojan.JS.PZJ
5/17版 本体exe:スルー 本体PDF:Suspect: Exploit.PDF-JS.Gen(正式ではない疑惑ファイル)
ごめん、20090505分の所に、その日に一緒に提出した、別件のZIPが混ざってました。そいつは無視してください。orz
BitDefenderの検出名
4/5版 本体exe:Trojan.Agent.AMNN 本体PDF:Exploit.PDF-JS.Gen 本体SWF:Exploit.SWF.Gen
(4/5版関連ファイル:Trojan.Downloader.JS.Agent.PM,Trojan.Downloader.JS.Agent.PM,Trojan.Delf.Agent.L,Trojan.Agent.AMNM)
4/11版 本体exe:Trojan.Generic.1618916 本体PDF:Trojan.Script.11972
5/2版 本体exe:Trojan.Agent.AMTB 本体PDF:Trojan.Downloader.JS.SetSlice.K 本体swf:Exploit.SWF.Gen
5/4版 本体exe:Trojan.Generic.1813945 本体swf:Exploit.SWF.Gen
5/5版 本体exe:Trojan.Dropper.TAX 本体PDF:Exploit.PDF-JS.Gen
5/8版 本体exe:Trojan.Seekwel.C 本体PDF:Exploit.PDF-JS.Gen 本体swf:Exploit.SWF.Gen
5/10版 本体exe:Trojan.Agent.AMVH 本体PDF:Exploit.PDF-JS.Gen 本体swf:スルー
5/11版 本体exe:Trojan.Agent.AMVF 本体PDF:Trojan.Script.47321
5/14版 本体exe:Trojan.Dropper.TBI 本体PDF:Trojan.JS.PZJ
5/17版 本体exe:スルー 本体PDF:Suspect: Exploit.PDF-JS.Gen(正式ではない疑惑ファイル)
28 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:41:33
>>26乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ITmedia News
PDFなどの脆弱性を悪用:Webに感染するマルウェア「JSRedir-R」が猛威 2009/05/19
JSRedir-RはWebサイトに仕掛けられ、
PDFとFlash Playerの脆弱性修正パッチを当てていないユーザーがそのサイトを閲覧すると、マルウェアに感染
ttp://www.itmedia.co.jp/news/articles/0905/19/news022.html
Computerworld.jp
猛威を振るう「JSRedir-R」マルウェア、ソフォスが注意を呼びかけ 2009/05/19
ttp://www.computerworld.jp/topics/vs/146109.html
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ITmedia News
PDFなどの脆弱性を悪用:Webに感染するマルウェア「JSRedir-R」が猛威 2009/05/19
JSRedir-RはWebサイトに仕掛けられ、
PDFとFlash Playerの脆弱性修正パッチを当てていないユーザーがそのサイトを閲覧すると、マルウェアに感染
ttp://www.itmedia.co.jp/news/articles/0905/19/news022.html
Computerworld.jp
猛威を振るう「JSRedir-R」マルウェア、ソフォスが注意を呼びかけ 2009/05/19
ttp://www.computerworld.jp/topics/vs/146109.html
29 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:49:03
Rising 2009 21.39.14 (21.30.14.00)
前スレ>881 (tane0320)
5\bot.exe: Trojan.DL.Win32.Undef.elt
3+1=4/12
>>26
20090505\3522938.zip>>3522938.exe: Trojan.PSW.Win32.GameOL.zla
20090508\id10_20090508.exe: Worm.Win32.Undef.gk
20090511\id10_20090511.exe: Trojan.Win32.Nodef.jak
20090516\martuz1upx.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090517\martuz_cn_id10_20090517.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090518_Execution result\muvl.exe: Trojan.Spy.Win32.Delf.dpt
前スレ>881 (tane0320)
5\bot.exe: Trojan.DL.Win32.Undef.elt
3+1=4/12
>>26
20090505\3522938.zip>>3522938.exe: Trojan.PSW.Win32.GameOL.zla
20090508\id10_20090508.exe: Worm.Win32.Undef.gk
20090511\id10_20090511.exe: Trojan.Win32.Nodef.jak
20090516\martuz1upx.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090517\martuz_cn_id10_20090517.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090518_Execution result\muvl.exe: Trojan.Spy.Win32.Delf.dpt
30 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:49:21
>>26
AntiVir 1つを除いて全て検出
20090405/dropper.bin : (harmful) BDS/Agent.afid back-door program
20090405/monitor.bin : TR/Agent.caaj.B Trojan
20090405/dropper.pdf : EXP/Pidief.vtb exploit
20090405/dropper.swf : EXP/SWF.ED exploit
20090405/u.bat :
20090405_Execution result/bxatg.mnn : TR/Agent.AMPE Trojan
20090411/u2.exe : TR/Drop.Gadjo.1 Trojan
20090411/virus.pdf : EXP/PDF.10762 exploit
20090502/gumblar.swf : SWF/Agent.AI SWF virus
20090502/gumblar_fws.swf : SWF/Agent.AI SWF virus
20090502/gumblar.pdf : EXP/Pidief.JV exploit
20090502/gumblar.exe : TR/Agent2.ixj Trojan
20090502/gumblar_upx.exe : TR/Agent2.ixc Trojan
20090505/id2_20090505.pdf : EXP/Pidief.PB.1 exploit
20090505/id10_20090505.exe : TR/Agent.imh Trojan
20090508/id2_20090508.pdf : EXP/Pidief.rsn exploit
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : WORM/Autorun.aiai worm
20090510/id2_20090510.pdf : EXP/Pidief.gts exploit
20090510/id3_20090510.swf : SWF/Drop.Small.LC SWF virus
20090510/id10_20090510.exe : TR/Agent.cfuc Trojan
20090511/id2_20090511.pdf : EXP/Pidief.xah exploit
20090511/id10_20090511.exe : TR/Agent.cgch Trojan
20090516/martuz1.pdf : EXP/Pidief.aup exploit
20090516/martuz1cws.swf : SWF/Drop.Small.LJ SWF virus
20090516/martuz1upx.exe : TR/Agent.chbm Trojan
20090517/martuz_cn_id2_20090517.pdf : EXP/Pidief.aia exploit
20090517/martuz_cn_id10_20090517.exe : TR/Drop.Agent.qna.1 Trojan
20090518_Execution result/muvl.exe : TR/Drop.Agent.qna.2 Trojan
AntiVir 1つを除いて全て検出
20090405/dropper.bin : (harmful) BDS/Agent.afid back-door program
20090405/monitor.bin : TR/Agent.caaj.B Trojan
20090405/dropper.pdf : EXP/Pidief.vtb exploit
20090405/dropper.swf : EXP/SWF.ED exploit
20090405/u.bat :
20090405_Execution result/bxatg.mnn : TR/Agent.AMPE Trojan
20090411/u2.exe : TR/Drop.Gadjo.1 Trojan
20090411/virus.pdf : EXP/PDF.10762 exploit
20090502/gumblar.swf : SWF/Agent.AI SWF virus
20090502/gumblar_fws.swf : SWF/Agent.AI SWF virus
20090502/gumblar.pdf : EXP/Pidief.JV exploit
20090502/gumblar.exe : TR/Agent2.ixj Trojan
20090502/gumblar_upx.exe : TR/Agent2.ixc Trojan
20090505/id2_20090505.pdf : EXP/Pidief.PB.1 exploit
20090505/id10_20090505.exe : TR/Agent.imh Trojan
20090508/id2_20090508.pdf : EXP/Pidief.rsn exploit
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : WORM/Autorun.aiai worm
20090510/id2_20090510.pdf : EXP/Pidief.gts exploit
20090510/id3_20090510.swf : SWF/Drop.Small.LC SWF virus
20090510/id10_20090510.exe : TR/Agent.cfuc Trojan
20090511/id2_20090511.pdf : EXP/Pidief.xah exploit
20090511/id10_20090511.exe : TR/Agent.cgch Trojan
20090516/martuz1.pdf : EXP/Pidief.aup exploit
20090516/martuz1cws.swf : SWF/Drop.Small.LJ SWF virus
20090516/martuz1upx.exe : TR/Agent.chbm Trojan
20090517/martuz_cn_id2_20090517.pdf : EXP/Pidief.aia exploit
20090517/martuz_cn_id10_20090517.exe : TR/Drop.Agent.qna.1 Trojan
20090518_Execution result/muvl.exe : TR/Drop.Agent.qna.2 Trojan
31 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:56:26
>>26 乙 カスペ2009 18:20
25/30 + HTML 4/555
Backdoor.Win32.Agent.afid \0405\dropper.bin
Exploit.Win32.Pidief.aog \0405\dropper.pdf
Exploit.SWF.Agent.ae \0405\dropper.swf
Trojan-PSW.Win32.Kates.c \0405\monitor.bin
Trojan-PSW.Win32.Kates.c \0405_Execution result\bxatg.mnn
Exploit.Win32.Pidief.apg \0411\virus.pdf
Trojan-PSW.Win32.Kates.e \0502\gumblar.exe
Exploit.JS.Pdfka.ix \0502\gumblar.pdf
Exploit.SWF.Agent.ai \0502\gumblar.swf
Exploit.SWF.Agent.ai \0502\gumblar_fws.swf
Trojan-PSW.Win32.Kates.e \0502\gumblar_upx.exe
Trojan.Win32.Inject.xvb \0505\3522938.zip/3522938.exe
Trojan.Win32.Agent.ceyr \0505\id10_20090505.exe
Exploit.Win32.Pidief.atm \0505\id2_20090505.pdf
Exploit.Win32.Pidief.atr \0508\id2_20090508.pdf
virus Worm.Win32.AutoRun.aiai \0508\id10_20090508.exe
Trojan.Win32.Agent.cfuc \0510_1\id10_20090510.exe
Exploit.Win32.Pidief.atx \0510_1\id2_20090510.pdf
Trojan.Win32.Agent.cgch \0511\id10_20090511.exe
Trojan.JS.Agent.act \0511\id2_20090511.pdf
Exploit.Win32.Pidief.aup \0516\martuz1.pdf
Trojan.Win32.Agent.chbm \0516\martuz1upx.exe
Trojan-Dropper.Win32.Agent.apfn \0517\martuz_cn_id10_20090517.exe
Exploit.Win32.Pidief.auw \0517\martuz_cn_id2_20090517.pdf
Trojan-PSW.Win32.Kates.c \0518_Execution result\muvl.exe
Trojan-Downloader.JS.Agent.dwe \HTML\0405\dropper.html
virus HEUR:Exploit.Script.Generic \HTML\0411\index.php
Trojan.JS.Agent.adw \HTML\0514\index.html
Trojan.JS.Agent.adx \HTML\0514\kiso_syougou.html
25/30 + HTML 4/555
Backdoor.Win32.Agent.afid \0405\dropper.bin
Exploit.Win32.Pidief.aog \0405\dropper.pdf
Exploit.SWF.Agent.ae \0405\dropper.swf
Trojan-PSW.Win32.Kates.c \0405\monitor.bin
Trojan-PSW.Win32.Kates.c \0405_Execution result\bxatg.mnn
Exploit.Win32.Pidief.apg \0411\virus.pdf
Trojan-PSW.Win32.Kates.e \0502\gumblar.exe
Exploit.JS.Pdfka.ix \0502\gumblar.pdf
Exploit.SWF.Agent.ai \0502\gumblar.swf
Exploit.SWF.Agent.ai \0502\gumblar_fws.swf
Trojan-PSW.Win32.Kates.e \0502\gumblar_upx.exe
Trojan.Win32.Inject.xvb \0505\3522938.zip/3522938.exe
Trojan.Win32.Agent.ceyr \0505\id10_20090505.exe
Exploit.Win32.Pidief.atm \0505\id2_20090505.pdf
Exploit.Win32.Pidief.atr \0508\id2_20090508.pdf
virus Worm.Win32.AutoRun.aiai \0508\id10_20090508.exe
Trojan.Win32.Agent.cfuc \0510_1\id10_20090510.exe
Exploit.Win32.Pidief.atx \0510_1\id2_20090510.pdf
Trojan.Win32.Agent.cgch \0511\id10_20090511.exe
Trojan.JS.Agent.act \0511\id2_20090511.pdf
Exploit.Win32.Pidief.aup \0516\martuz1.pdf
Trojan.Win32.Agent.chbm \0516\martuz1upx.exe
Trojan-Dropper.Win32.Agent.apfn \0517\martuz_cn_id10_20090517.exe
Exploit.Win32.Pidief.auw \0517\martuz_cn_id2_20090517.pdf
Trojan-PSW.Win32.Kates.c \0518_Execution result\muvl.exe
Trojan-Downloader.JS.Agent.dwe \HTML\0405\dropper.html
virus HEUR:Exploit.Script.Generic \HTML\0411\index.php
Trojan.JS.Agent.adw \HTML\0514\index.html
Trojan.JS.Agent.adx \HTML\0514\kiso_syougou.html
32 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:57:28
=== a-squared4.5 ===
IKなので、全部イカロスエンジンの方ですね。5つスルー。HTMLのスクリプトも検出方向の模様。
20090405/dropper.bin : Gen:Trojan!IK
20090405/monitor.bin : Trojan-PWS.Delf!IK
20090405/dropper.pdf : Exploit.PDF-JS!IK
20090405/dropper.swf : Exploit.SWF.Agent!IK
20090405/u.bat : Trojan-Dropper.Agent!IK
20090405_Execution result/bxatg.mnn : Trojan-PWS.Delf!IK
20090411/u2.exe : Trojan-PWS.Delf!IK
20090411/virus.pdf : Exploit.PDF-JS!IK
20090502/gumblar.swf : Exploit.SWF.Agent!IK
20090502/gumblar_fws.swf : Exploit.SWF.Agent!IK
20090502/gumblar.pdf : Exploit.JS.Pdfka!IK
20090502/gumblar.exe : Trojan.Win32.Small!IK
20090502/gumblar_upx.exe : Trojan.Win32.Small!IK
20090505/id2_20090505.pdf : Exploit.Win32.Pidief!IK
20090505/id10_20090505.exe : Trojan.Win32.Small!IK
20090508/id2_20090508.pdf : Exploit.Win32.Pidief!IK
20090508/id3_20090508.swf : Exploit.SWF!IK
20090508/id10_20090508.exe : Trojan-PWS.Delf!IK
20090510/id2_20090510.pdf : JS.Obfuscated!IK
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Daonol!IK
20090511/id2_20090511.pdf : Trojan.JS.Agent!IK
20090511/id10_20090511.exe : Trojan.Daonol!IK
20090516/martuz1.pdf : Exploit.PDF-JS!IK
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : rojan-PWS.Win32.Kates!IK
20090517/martuz_cn_id2_20090517.pdf : -
20090517/martuz_cn_id10_20090517.exe : -
20090518_Execution result/muvl.exe : -
HTML : Virus.JS.Redirector!IK , Trojan.JS.Agent!IK
IKなので、全部イカロスエンジンの方ですね。5つスルー。HTMLのスクリプトも検出方向の模様。
20090405/dropper.bin : Gen:Trojan!IK
20090405/monitor.bin : Trojan-PWS.Delf!IK
20090405/dropper.pdf : Exploit.PDF-JS!IK
20090405/dropper.swf : Exploit.SWF.Agent!IK
20090405/u.bat : Trojan-Dropper.Agent!IK
20090405_Execution result/bxatg.mnn : Trojan-PWS.Delf!IK
20090411/u2.exe : Trojan-PWS.Delf!IK
20090411/virus.pdf : Exploit.PDF-JS!IK
20090502/gumblar.swf : Exploit.SWF.Agent!IK
20090502/gumblar_fws.swf : Exploit.SWF.Agent!IK
20090502/gumblar.pdf : Exploit.JS.Pdfka!IK
20090502/gumblar.exe : Trojan.Win32.Small!IK
20090502/gumblar_upx.exe : Trojan.Win32.Small!IK
20090505/id2_20090505.pdf : Exploit.Win32.Pidief!IK
20090505/id10_20090505.exe : Trojan.Win32.Small!IK
20090508/id2_20090508.pdf : Exploit.Win32.Pidief!IK
20090508/id3_20090508.swf : Exploit.SWF!IK
20090508/id10_20090508.exe : Trojan-PWS.Delf!IK
20090510/id2_20090510.pdf : JS.Obfuscated!IK
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Daonol!IK
20090511/id2_20090511.pdf : Trojan.JS.Agent!IK
20090511/id10_20090511.exe : Trojan.Daonol!IK
20090516/martuz1.pdf : Exploit.PDF-JS!IK
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : rojan-PWS.Win32.Kates!IK
20090517/martuz_cn_id2_20090517.pdf : -
20090517/martuz_cn_id10_20090517.exe : -
20090518_Execution result/muvl.exe : -
HTML : Virus.JS.Redirector!IK , Trojan.JS.Agent!IK
さっきのファイルを>>3で解析したらこういう結果になったんだが、うpの必要性ある?
ちなみに元ファイルは785.exeって名前なんだが。
ttp://www.virustotal.com/jp/analisis/66bd8d7273679a7804371176d0396968
ちなみに元ファイルは785.exeって名前なんだが。
ttp://www.virustotal.com/jp/analisis/66bd8d7273679a7804371176d0396968
34 :名無しさん@お腹いっぱい。:2009/05/19(火) 23:28:19
>>33
UP頼む。
UP頼む。
35 :名無しさん@お腹いっぱい。:2009/05/19(火) 23:33:04
今帰宅
F-Secure Internet Security 2009
・DeepGuard Update 2009-05-18_03
・Hydra Update 2009-05-19_06
・Universal System Scanner Update 2009-05-19_03
・Anti-Virus AVP Extended Update 2009-05-19_05
>>15 のチェック結果
play\1199.exe → Backdoor.Win32.PcClient.amgj
play\play.scr → Backdoor:W32/PcClient.AMC
htmlを本家F-Secure SASに登録したところ、
全てSUSPICIOUS(嫌疑)という結果となりました。
F-Secure Internet Security 2009
・DeepGuard Update 2009-05-18_03
・Hydra Update 2009-05-19_06
・Universal System Scanner Update 2009-05-19_03
・Anti-Virus AVP Extended Update 2009-05-19_05
>>15 のチェック結果
play\1199.exe → Backdoor.Win32.PcClient.amgj
play\play.scr → Backdoor:W32/PcClient.AMC
htmlを本家F-Secure SASに登録したところ、
全てSUSPICIOUS(嫌疑)という結果となりました。
37 :名無しさん@お腹いっぱい。:2009/05/19(火) 23:38:25
すまんh抜くのわすれた。。。
39 :名無しさん@お腹いっぱい。:2009/05/19(火) 23:43:50
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-19_05
* F-Secure Hydra: 3.08.9080, 2009-05-19_06
>>36
785.exe:未検出
F-Secure SAS に登録します。
* F-Secure AVP: 7.00.171, 2009-05-19_05
* F-Secure Hydra: 3.08.9080, 2009-05-19_06
>>36
785.exe:未検出
F-Secure SAS に登録します。
40 :名無しさん@お腹いっぱい。:2009/05/20(水) 00:00:46
>>35の回答
>Hello,
>Thank you for the samples. We will add them detection as soon as possible.
>Cheers,
>Hello,
>Thank you for the samples. We will add them detection as soon as possible.
>Cheers,
ちなみにAVGは検出したわ
43 :名無しさん@お腹いっぱい。:2009/05/20(水) 00:32:34
44 :名無しさん@お腹いっぱい。:2009/05/20(水) 00:58:59
>>36乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
45 :名無しさん@お腹いっぱい。:2009/05/20(水) 01:23:43
>>36
これ本当にgeno? まるっきり別物に見えるんだが…。
これ本当にgeno? まるっきり別物に見えるんだが…。
46 :名無しさん@お腹いっぱい。:2009/05/20(水) 01:27:41
( ´,_ゝ`)プッ
47 :名無しさん@お腹いっぱい。:2009/05/20(水) 01:43:45
>>328
ニコンだからこんなに高いの?
ニコンだからこんなに高いの?
48 :名無しさん@お腹いっぱい。:2009/05/20(水) 01:43:52
genoとは違うな。
Anubisの結果。
ttp://anubis.iseclab.org/?action=result&task_id=1e7817e544ad22014218ac38ccb6c9727&format=html
動作としてはダウンローダで、
basesrv3■net/info/bin/explorer.exe
を拾って実行。このドメインはそれほど新しくはなく、
既にあちこちのブラックリストに突っ込まれている。
VTにも既に誰かが投げている。
ttp://www.virustotal.com/analisis/0bd73ed39f8879c5caf8ac63fef473b9
直接拾うのが嫌な人はどうぞ(ファイル名はキモいので変更済み)。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=336
virus
Anubisの結果。
ttp://anubis.iseclab.org/?action=result&task_id=1e7817e544ad22014218ac38ccb6c9727&format=html
動作としてはダウンローダで、
basesrv3■net/info/bin/explorer.exe
を拾って実行。このドメインはそれほど新しくはなく、
既にあちこちのブラックリストに突っ込まれている。
VTにも既に誰かが投げている。
ttp://www.virustotal.com/analisis/0bd73ed39f8879c5caf8ac63fef473b9
直接拾うのが嫌な人はどうぞ(ファイル名はキモいので変更済み)。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=336
virus
49 :名無しさん@お腹いっぱい。:2009/05/20(水) 02:04:57
>>39
F-Secure Labsからの回答
>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. Detection as
>Trojan-Downloader:W32/Agent.KNX will be added in one of the next database updates.
別にGENOに限らなくてもいいと思うけど。
12/40ってあまりヒット率よくないし…。
本日提出分の回答来たので、今日はここまで。
お先に失礼します。m(_ _)m
F-Secure Labsからの回答
>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. Detection as
>Trojan-Downloader:W32/Agent.KNX will be added in one of the next database updates.
別にGENOに限らなくてもいいと思うけど。
12/40ってあまりヒット率よくないし…。
本日提出分の回答来たので、今日はここまで。
お先に失礼します。m(_ _)m
51 :名無しさん@お腹いっぱい。:2009/05/20(水) 02:16:47
限ってるわけじゃないよ。
52 :名無しさん@お腹いっぱい。:2009/05/20(水) 06:00:44
>>36,48
McAfeeに提出させて頂きました。
McAfeeに提出させて頂きました。
53 :名無しさん@お腹いっぱい。:2009/05/20(水) 08:52:17
54 :名無しさん@お腹いっぱい。:2009/05/20(水) 09:33:33
>>26 === Avast VPS: 090519-0, 2009/05/19 === スルー個数:本体+α(5/30) HTML(11/555)
20090405/dropper.bin : Win32:Trojan-gen {Other}
20090405/monitor.bin : Win32:Delf-MBA [Trj]
20090405/dropper.pdf : JS:Pdfka-FQ [Expl]
20090405/dropper.swf : Other:Malware-gen
20090405/u.bat : -(これは自己抹消のためのbatなので検出しなくても問題無い奴)
20090405_Execution result/bxatg.mnn : Win32:Delf-MBA [Trj]
20090411/u2.exe : Win32:Daonol-N [Drp]
20090411/virus.pdf : JS:Pdfka-FQ [Expl]
20090502/gumblar.swf : −
20090502/gumblar_fws.swf : −
20090502/gumblar.pdf : JS:Pdfka-GD [Expl]
20090502/gumblar.exe : Win32:Trojan-gen {Other}
20090502/gumblar_upx.exe : Win32:Trojan-gen {Other}
20090505/id2_20090505.pdf : JS:Pdfka-GB [Expl]
20090505/id10_20090505.exe : Win32:Trojan-gen {Other}
20090508/id2_20090508.pdf : −
20090508/id3_20090508.swf : Other:Malware-gen
20090508/id10_20090508.exe : Win32:Trojan-gen {Other}
20090510/id2_20090510.pdf : JS:Pdfka-GP [Expl]
20090510/id3_20090510.swf : Other:Malware-gen
20090510/id10_20090510.exe : Win32:Trojan-gen {Other}
20090511/id2_20090511.pdf : JS:Pdfka-GP [Expl]
20090511/id10_20090511.exe : Win32:Trojan-gen {Other}
20090516/martuz1.pdf : JS:Pdfka-HF [Expl]
20090516/martuz1cws.swf : −
20090516/martuz1upx.exe : Win32:Trojan-gen {Other}
20090517/martuz_cn_id2_20090517.pdf : JS:Pdfka-HF [Expl]
20090517/martuz_cn_id10_20090517.exe : Win32:Trojan-gen {Other}
20090518_Execution result/muvl.exe : Win32:Daonol-P [Trj]
20090519/785.exe : Win32:Trojan-gen {Other}
HTML : JS:Downloader-AC [Trj]/JS:Redirector-H2,H4,H5,H7,H9 [Trj]/JS:Redirector-J1,J3,J4 [Trj]
20090405/dropper.bin : Win32:Trojan-gen {Other}
20090405/monitor.bin : Win32:Delf-MBA [Trj]
20090405/dropper.pdf : JS:Pdfka-FQ [Expl]
20090405/dropper.swf : Other:Malware-gen
20090405/u.bat : -(これは自己抹消のためのbatなので検出しなくても問題無い奴)
20090405_Execution result/bxatg.mnn : Win32:Delf-MBA [Trj]
20090411/u2.exe : Win32:Daonol-N [Drp]
20090411/virus.pdf : JS:Pdfka-FQ [Expl]
20090502/gumblar.swf : −
20090502/gumblar_fws.swf : −
20090502/gumblar.pdf : JS:Pdfka-GD [Expl]
20090502/gumblar.exe : Win32:Trojan-gen {Other}
20090502/gumblar_upx.exe : Win32:Trojan-gen {Other}
20090505/id2_20090505.pdf : JS:Pdfka-GB [Expl]
20090505/id10_20090505.exe : Win32:Trojan-gen {Other}
20090508/id2_20090508.pdf : −
20090508/id3_20090508.swf : Other:Malware-gen
20090508/id10_20090508.exe : Win32:Trojan-gen {Other}
20090510/id2_20090510.pdf : JS:Pdfka-GP [Expl]
20090510/id3_20090510.swf : Other:Malware-gen
20090510/id10_20090510.exe : Win32:Trojan-gen {Other}
20090511/id2_20090511.pdf : JS:Pdfka-GP [Expl]
20090511/id10_20090511.exe : Win32:Trojan-gen {Other}
20090516/martuz1.pdf : JS:Pdfka-HF [Expl]
20090516/martuz1cws.swf : −
20090516/martuz1upx.exe : Win32:Trojan-gen {Other}
20090517/martuz_cn_id2_20090517.pdf : JS:Pdfka-HF [Expl]
20090517/martuz_cn_id10_20090517.exe : Win32:Trojan-gen {Other}
20090518_Execution result/muvl.exe : Win32:Daonol-P [Trj]
20090519/785.exe : Win32:Trojan-gen {Other}
HTML : JS:Downloader-AC [Trj]/JS:Redirector-H2,H4,H5,H7,H9 [Trj]/JS:Redirector-J1,J3,J4 [Trj]
55 :名無しさん@お腹いっぱい。:2009/05/20(水) 10:33:14
>>26 === PCプロテクションプラス(F-Secure系) === 本体 25/30 HTML 3/555 を検知
20090405/dropper.bin : Backdoor.Win32.Agent.afid
20090405/monitor.bin : Trojan-PSW.Win32.Kates.c(5/18の活動中ファイルと同じ名前)
20090405/dropper.pdf : Exploit.Win32.Pidief.aog
20090405/dropper.swf : Exploit.SWF.Agent.ae
20090405/u.bat : -
20090405_Execution result/bxatg.mnn : -
20090411/u2.exe : Trojan:W32/Agent.KAO
20090411/virus.pdf : Exploit.Win32.Pidief.apg
20090502/gumblar.swf : Exploit.SWF.Agent.ai
20090502/gumblar_fws.swf : Exploit.SWF.Agent.ai
20090502/gumblar.pdf : Exploit:W32/AdobeReader.RG
20090502/gumblar.exe : Trojan-PSW.Win32.Kates.e
20090502/gumblar_upx.exe : Trojan-PSW.Win32.Kates.e
20090505/id2_20090505.pdf : Exploit.Win32.Pidief.atm
20090505/id10_20090505.exe : Trojan.Win32.Agent.ceyr
20090508/id2_20090508.pdf : Exploit.Win32.Pidief.atr
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : Worm.Win32.AutoRun.aiai
20090510/id2_20090510.pdf : Exploit.Win32.Pidief.atx
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Win32.Agent.cfuc
20090511/id2_20090511.pdf : Trojan.JS.Agent.act
20090511/id10_20090511.exe : Trojan.Win32.Agent.cgch
20090516/martuz1.pdf : Exploit.Win32.Pidief.aup
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : Trojan.Win32.Agent.chbm
20090517/martuz_cn_id2_20090517.pdf : Exploit:W32/Pidief.DX
20090517/martuz_cn_id10_20090517.exe : Trojan:W32/Agent.KMH
20090518_Execution result/muvl.exe : Trojan-PSW.Win32.Kates.c
20090519/785.exe : Trojan-Downloader:W32/Agent.KNX
HTML : Trojan.JS.Agent.adw , Trojan.JS.Agent.adx , Trojan-Downloader.JS.Agent.dwe
20090405/dropper.bin : Backdoor.Win32.Agent.afid
20090405/monitor.bin : Trojan-PSW.Win32.Kates.c(5/18の活動中ファイルと同じ名前)
20090405/dropper.pdf : Exploit.Win32.Pidief.aog
20090405/dropper.swf : Exploit.SWF.Agent.ae
20090405/u.bat : -
20090405_Execution result/bxatg.mnn : -
20090411/u2.exe : Trojan:W32/Agent.KAO
20090411/virus.pdf : Exploit.Win32.Pidief.apg
20090502/gumblar.swf : Exploit.SWF.Agent.ai
20090502/gumblar_fws.swf : Exploit.SWF.Agent.ai
20090502/gumblar.pdf : Exploit:W32/AdobeReader.RG
20090502/gumblar.exe : Trojan-PSW.Win32.Kates.e
20090502/gumblar_upx.exe : Trojan-PSW.Win32.Kates.e
20090505/id2_20090505.pdf : Exploit.Win32.Pidief.atm
20090505/id10_20090505.exe : Trojan.Win32.Agent.ceyr
20090508/id2_20090508.pdf : Exploit.Win32.Pidief.atr
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : Worm.Win32.AutoRun.aiai
20090510/id2_20090510.pdf : Exploit.Win32.Pidief.atx
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Win32.Agent.cfuc
20090511/id2_20090511.pdf : Trojan.JS.Agent.act
20090511/id10_20090511.exe : Trojan.Win32.Agent.cgch
20090516/martuz1.pdf : Exploit.Win32.Pidief.aup
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : Trojan.Win32.Agent.chbm
20090517/martuz_cn_id2_20090517.pdf : Exploit:W32/Pidief.DX
20090517/martuz_cn_id10_20090517.exe : Trojan:W32/Agent.KMH
20090518_Execution result/muvl.exe : Trojan-PSW.Win32.Kates.c
20090519/785.exe : Trojan-Downloader:W32/Agent.KNX
HTML : Trojan.JS.Agent.adw , Trojan.JS.Agent.adx , Trojan-Downloader.JS.Agent.dwe
>>26 カスペからの返事
25+1=26/30
\0508\id3_20090508.swf - Exploit.SWF.Agent.ao
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
25+1=26/30
\0508\id3_20090508.swf - Exploit.SWF.Agent.ao
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
57 :名無しさん@お腹いっぱい。:2009/05/20(水) 18:14:04
>>48乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
58 :名無しさん@お腹いっぱい。:2009/05/20(水) 19:10:55
>>36
http://www.virustotal.com/analisis/6dd5cbc588380ee0199cca5252d41d8b
Norton、McAfee、Panda、avast!、Kaspersky、Sophos、Ikarusが対応
http://www.virustotal.com/analisis/6dd5cbc588380ee0199cca5252d41d8b
Norton、McAfee、Panda、avast!、Kaspersky、Sophos、Ikarusが対応
59 :名無しさん@お腹いっぱい。:2009/05/20(水) 22:16:05
今帰宅。残件をぼちぼちとやっていきます…
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20
>>48
unknown1.exe → Trojan-Spy.Win32.Agent.argz
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20
>>48
unknown1.exe → Trojan-Spy.Win32.Agent.argz
60 :名無しさん@お腹いっぱい。:2009/05/20(水) 22:28:25
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20
>>15 (サイト未検出分 → [検出数 22/22] 100%)
Trojan-Downloader.JS.Agent.dzw
* \call martuz.cn\yuuno.sakura\bouei-coment01.html
* \call martuz.cn\yuuno.sakura\bouei-opsong.html
* \call martuz.cn\yuuno.sakura\bouei-pvc.html
* \call martuz.cn\yuuno.sakura\bouei.html
* \call martuz.cn\yuuno.sakura\c75-2.html
* \call martuz.cn\yuuno.sakura\c75.html
* \call martuz.cn\yuuno.sakura\gallery.html
* \call martuz.cn\yuuno.sakura\girl.html
* \call martuz.cn\yuuno.sakura\news.html
* \call martuz.cn\yuuno.sakura\profile.html
* \call martuz.cn\yuuno.sakura\rireki.html
* \call martuz.cn\yuuno.sakura\wf.html
* \call martuz.cn\yuuno.sakura\works.html
* \call martuz.cn\yuuno.sakura\yuuno.sakura.ne.jp.htm
Trojan-Downloader.JS.Agent.dzv
* \call martuz.cn\mikesquarter\about-2.htm
* \call martuz.cn\mikesquarter\advertise.htm
* \call martuz.cn\mikesquarter\contact.htm
* \call martuz.cn\mikesquarter\disclaimer.htm
* \call martuz.cn\mikesquarter\newsletter.htm
* \call martuz.cn\mikesquarter\sitemap.htm
* \call martuz.cn\mikesquarter\www.mikesquarter.com.htm
Trojan-Downloader.JS.Agent.dzx
* \call martuz.cn\loca.zombie\loca.zombie.jp.htm
>>39 >>50
785.exe → Trojan-Downloader:W32/Agent.KNX
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20
>>15 (サイト未検出分 → [検出数 22/22] 100%)
Trojan-Downloader.JS.Agent.dzw
* \call martuz.cn\yuuno.sakura\bouei-coment01.html
* \call martuz.cn\yuuno.sakura\bouei-opsong.html
* \call martuz.cn\yuuno.sakura\bouei-pvc.html
* \call martuz.cn\yuuno.sakura\bouei.html
* \call martuz.cn\yuuno.sakura\c75-2.html
* \call martuz.cn\yuuno.sakura\c75.html
* \call martuz.cn\yuuno.sakura\gallery.html
* \call martuz.cn\yuuno.sakura\girl.html
* \call martuz.cn\yuuno.sakura\news.html
* \call martuz.cn\yuuno.sakura\profile.html
* \call martuz.cn\yuuno.sakura\rireki.html
* \call martuz.cn\yuuno.sakura\wf.html
* \call martuz.cn\yuuno.sakura\works.html
* \call martuz.cn\yuuno.sakura\yuuno.sakura.ne.jp.htm
Trojan-Downloader.JS.Agent.dzv
* \call martuz.cn\mikesquarter\about-2.htm
* \call martuz.cn\mikesquarter\advertise.htm
* \call martuz.cn\mikesquarter\contact.htm
* \call martuz.cn\mikesquarter\disclaimer.htm
* \call martuz.cn\mikesquarter\newsletter.htm
* \call martuz.cn\mikesquarter\sitemap.htm
* \call martuz.cn\mikesquarter\www.mikesquarter.com.htm
Trojan-Downloader.JS.Agent.dzx
* \call martuz.cn\loca.zombie\loca.zombie.jp.htm
>>39 >>50
785.exe → Trojan-Downloader:W32/Agent.KNX
>>14
転載ありがとうございます。 規制は解除されました。ヤレヤレ
これ、お礼です...ちょっと賞味期限切れかかりかも。(苦笑
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=337
DL virus/解凍 virus
【中身】
cry.exe
http://www.virustotal.com/jp/analisis/365ab9f15f2d7b700212e1f05b0cfdf6 (17/39)
AVIRA - TR/Dropper.Gen,Kapersky - Trojan-Proxy.Win32.Small.aal
dia.exe
http://www.virustotal.com/jp/analisis/225940329824b6209c25b68be568bf84 (17/40)
AVIRA - TR/Dropper.Gen,Kapersky - Worm.Win32.AutoRun.aist
file.exe
http://www.virustotal.com/jp/analisis/b920816614130f901a10d7eb719921c5 (8/40)
AVIRA - MALWARE (added next update),Kapersky - HEUR:Trojan.Win32.Generic
softwarefortubeview.40000.exe
http://www.virustotal.com/jp/analisis/faa61f4375e918cfc561f72d62808396 (9/40)
AVIRA - MALWARE (added next update),Kapersky - Trojan-Downloader.Win32.Agent.byla
AVIRAは全部対応済みとのことなので、未送付。KasperskyはHEURのfile.exeだけ送付。
martuz.cnは、色々書かれているように閉鎖されたようです。
また、一足違いですが、Google Sage Browsingでブロック設定入っています。(5/19に確認)
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ja&site=http://martuz.cn/
→ 12507 個のドメインを感染させています。
短期間に、良くこれだけ荒らしたものです。
あと、Kasperskyは私に白判定のメール送った割には本体を黒で検出するようになっていました。(苦笑
おまけ) http://gdata.co.jp/press/archives/2009/05/geno.htm ・・・ 結局genoウイルスが日本国内の通称になりそうですねぇ。
転載ありがとうございます。 規制は解除されました。ヤレヤレ
これ、お礼です...ちょっと賞味期限切れかかりかも。(苦笑
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=337
DL virus/解凍 virus
【中身】
cry.exe
http://www.virustotal.com/jp/analisis/365ab9f15f2d7b700212e1f05b0cfdf6 (17/39)
AVIRA - TR/Dropper.Gen,Kapersky - Trojan-Proxy.Win32.Small.aal
dia.exe
http://www.virustotal.com/jp/analisis/225940329824b6209c25b68be568bf84 (17/40)
AVIRA - TR/Dropper.Gen,Kapersky - Worm.Win32.AutoRun.aist
file.exe
http://www.virustotal.com/jp/analisis/b920816614130f901a10d7eb719921c5 (8/40)
AVIRA - MALWARE (added next update),Kapersky - HEUR:Trojan.Win32.Generic
softwarefortubeview.40000.exe
http://www.virustotal.com/jp/analisis/faa61f4375e918cfc561f72d62808396 (9/40)
AVIRA - MALWARE (added next update),Kapersky - Trojan-Downloader.Win32.Agent.byla
AVIRAは全部対応済みとのことなので、未送付。KasperskyはHEURのfile.exeだけ送付。
martuz.cnは、色々書かれているように閉鎖されたようです。
また、一足違いですが、Google Sage Browsingでブロック設定入っています。(5/19に確認)
http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ja&site=http://martuz.cn/
→ 12507 個のドメインを感染させています。
短期間に、良くこれだけ荒らしたものです。
あと、Kasperskyは私に白判定のメール送った割には本体を黒で検出するようになっていました。(苦笑
おまけ) http://gdata.co.jp/press/archives/2009/05/geno.htm ・・・ 結局genoウイルスが日本国内の通称になりそうですねぇ。
62 :名無しさん@お腹いっぱい。:2009/05/20(水) 23:05:43
>>61乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
G DATA
「GENOウイルス」対策について 2009/05/20
ttp://gdata.co.jp/press/archives/2009/05/geno.htm
ITmedia News
いたちごっこ状態に:ますます巧妙化するJSRedir-Rの攻撃手法 2009/05/20
「JSRedir-R」(別名Gumblar)が攻撃に使うドメインを切り替え、JavaScript難読化の手口もさらに巧妙に
攻撃に使われるドメインやJavaScriptは、今後も変わり続けるだろうとSymantecは予想
ttp://www.itmedia.co.jp/news/articles/0905/20/news021.html
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
G DATA
「GENOウイルス」対策について 2009/05/20
ttp://gdata.co.jp/press/archives/2009/05/geno.htm
ITmedia News
いたちごっこ状態に:ますます巧妙化するJSRedir-Rの攻撃手法 2009/05/20
「JSRedir-R」(別名Gumblar)が攻撃に使うドメインを切り替え、JavaScript難読化の手口もさらに巧妙に
攻撃に使われるドメインやJavaScriptは、今後も変わり続けるだろうとSymantecは予想
ttp://www.itmedia.co.jp/news/articles/0905/20/news021.html
63 :名無しさん@お腹いっぱい。:2009/05/20(水) 23:14:21
>>62
GENOもあんな対応しなければこんなメジャーになることもなかったろうにw
GENOもあんな対応しなければこんなメジャーになることもなかったろうにw
64 :名無しさん@お腹いっぱい。:2009/05/20(水) 23:14:34
>>26[検出:27/30]
定義パターン:>>60
*Backdoor.Win32.Agent.afid → \0405\dropper.bin
*Exploit.Win32.Pidief.aog → \0405\dropper.pdf
*Exploit.SWF.Agent.ae → \0405\dropper.swf
*Trojan-PSW.Win32.Kates.c → \0405\monitor.bin
*Trojan-PSW.Win32.Kates.c → \0405_Execution result\bxatg.mnn
*Trojan:W32/Agent.KAO → \0411\u2.exe
*Exploit.Win32.Pidief.apg → \0411\virus.pdf
*Exploit.SWF.Agent.ai → \0502\gumblar.swf
*Exploit.SWF.Agent.ai → \0502\gumblar_fws.swf
*Exploit:W32/AdobeReader.RG → \0502\gumblar.pdf
*Trojan-PSW.Win32.Kates.e → \0502\gumblar.exe
*Trojan-PSW.Win32.Kates.e → \0502\gumblar_upx.exe
*Exploit.Win32.Pidief.atm → \0505\id2_20090505.pdf
*Trojan.Win32.Agent.ceyr → \0505\id10_20090505.exe
*Trojan-PSW:W32/Magania.gen!B → \0505\3522938.zip\3522938.exe
*Exploit.Win32.Pidief.atr → \0508\id2_20090508.pdf
*Exploit.SWF.Agent.ao → \0508\id3_20090508.swf
*Worm.Win32.AutoRun.aiai → \0508\id10_20090508.exe
*Exploit.Win32.Pidief.atx → \0510_1\id2_20090510.pdf
*Trojan.Win32.Agent.cfuc → \0510_1\id10_20090510.exe
*Trojan.JS.Agent.act → \0511\id2_20090511.pdf
*Trojan.Win32.Agent.cgch → \0511\id10_20090511.exe
*Exploit.Win32.Pidief.aup → \0516\martuz1.pdf
*Trojan.Win32.Agent.chbm → \0516\martuz1upx.exe
*Exploit:W32/Pidief.DX → \0517\martuz_cn_id2_20090517.pdf
*Trojan:W32/Agent.KMH → \0517\martuz_cn_id10_20090517.exe
*Trojan-PSW.Win32.Kates.c → \0518_Execution result\muvl.exe
-未検出 → \0405\u.bat
-未検出 → \0510_1\id3_20090510.swf
-未検出 → \0516\martuz1cws.swf
定義パターン:>>60
*Backdoor.Win32.Agent.afid → \0405\dropper.bin
*Exploit.Win32.Pidief.aog → \0405\dropper.pdf
*Exploit.SWF.Agent.ae → \0405\dropper.swf
*Trojan-PSW.Win32.Kates.c → \0405\monitor.bin
*Trojan-PSW.Win32.Kates.c → \0405_Execution result\bxatg.mnn
*Trojan:W32/Agent.KAO → \0411\u2.exe
*Exploit.Win32.Pidief.apg → \0411\virus.pdf
*Exploit.SWF.Agent.ai → \0502\gumblar.swf
*Exploit.SWF.Agent.ai → \0502\gumblar_fws.swf
*Exploit:W32/AdobeReader.RG → \0502\gumblar.pdf
*Trojan-PSW.Win32.Kates.e → \0502\gumblar.exe
*Trojan-PSW.Win32.Kates.e → \0502\gumblar_upx.exe
*Exploit.Win32.Pidief.atm → \0505\id2_20090505.pdf
*Trojan.Win32.Agent.ceyr → \0505\id10_20090505.exe
*Trojan-PSW:W32/Magania.gen!B → \0505\3522938.zip\3522938.exe
*Exploit.Win32.Pidief.atr → \0508\id2_20090508.pdf
*Exploit.SWF.Agent.ao → \0508\id3_20090508.swf
*Worm.Win32.AutoRun.aiai → \0508\id10_20090508.exe
*Exploit.Win32.Pidief.atx → \0510_1\id2_20090510.pdf
*Trojan.Win32.Agent.cfuc → \0510_1\id10_20090510.exe
*Trojan.JS.Agent.act → \0511\id2_20090511.pdf
*Trojan.Win32.Agent.cgch → \0511\id10_20090511.exe
*Exploit.Win32.Pidief.aup → \0516\martuz1.pdf
*Trojan.Win32.Agent.chbm → \0516\martuz1upx.exe
*Exploit:W32/Pidief.DX → \0517\martuz_cn_id2_20090517.pdf
*Trojan:W32/Agent.KMH → \0517\martuz_cn_id10_20090517.exe
*Trojan-PSW.Win32.Kates.c → \0518_Execution result\muvl.exe
-未検出 → \0405\u.bat
-未検出 → \0510_1\id3_20090510.swf
-未検出 → \0516\martuz1cws.swf
65 :名無しさん@お腹いっぱい。:2009/05/20(水) 23:24:27
>>64の続き
HTML検出: 33/555
* Trojan.JS.Agent.adw → \HTML\20090514\index.html
* Trojan.JS.Agent.adx → \HTML\20090514\kiso_syougou.html
* Trojan-Downloader.JS.Agent.dwe → \HTML\20090405\dropper.html
* Trojan-Downloader.JS.Agent.dzw → \HTML\20090519\yuuno.sakura\ ※配下すべて
* Trojan-Downloader.JS.Agent.dzx → \HTML\20090519\loca.zombie\loca.zombie.jp.htm
* Trojan-Downloader.JS.Agent.dzv → \HTML\20090519\mikesquarter\ ※配下すべて
上記以外未検出:検体提供は何方かにお任せします。
残件:>>61
HTML検出: 33/555
* Trojan.JS.Agent.adw → \HTML\20090514\index.html
* Trojan.JS.Agent.adx → \HTML\20090514\kiso_syougou.html
* Trojan-Downloader.JS.Agent.dwe → \HTML\20090405\dropper.html
* Trojan-Downloader.JS.Agent.dzw → \HTML\20090519\yuuno.sakura\ ※配下すべて
* Trojan-Downloader.JS.Agent.dzx → \HTML\20090519\loca.zombie\loca.zombie.jp.htm
* Trojan-Downloader.JS.Agent.dzv → \HTML\20090519\mikesquarter\ ※配下すべて
上記以外未検出:検体提供は何方かにお任せします。
残件:>>61
>>14
> 上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
> 再度感染させて検査しています。 この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。
>
> http://www.virustotal.com/jp/analisis/087f8f027f3651120c879d867164626b -1
mwgpedu.tya 現状
http://www.virustotal.com/jp/analisis/6bb6809d4bf01f50712a6597d8d8e198 (20/40)
4/40 → 20/40と、一気に増えましたね。やっと終息期かな。 後はドメイン名変えて再活動開始するかどうか、ですか。
>62
G DATAですが、リンク先の通り、酷いことに?ドイツ本国のプレスリリースがgenoって言ってるんですよ。(苦笑
http://www.gdata.de/ueber-g-data/pressecenter/pressemeldungen/news-details/article/1212-g-data-security-warnung-neuer.html
>Exemplare des Schadlings tauchten unter dem Aliasnamen "Geno" unter anderem in Japan auf und infizierten dort reihenweise populare Domains.
国外でも、予想以上にgenoの名前が知れ渡っているのかもしれません。
> 上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
> 再度感染させて検査しています。 この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。
>
> http://www.virustotal.com/jp/analisis/087f8f027f3651120c879d867164626b -1
mwgpedu.tya 現状
http://www.virustotal.com/jp/analisis/6bb6809d4bf01f50712a6597d8d8e198 (20/40)
4/40 → 20/40と、一気に増えましたね。やっと終息期かな。 後はドメイン名変えて再活動開始するかどうか、ですか。
>62
G DATAですが、リンク先の通り、酷いことに?ドイツ本国のプレスリリースがgenoって言ってるんですよ。(苦笑
http://www.gdata.de/ueber-g-data/pressecenter/pressemeldungen/news-details/article/1212-g-data-security-warnung-neuer.html
>Exemplare des Schadlings tauchten unter dem Aliasnamen "Geno" unter anderem in Japan auf und infizierten dort reihenweise populare Domains.
国外でも、予想以上にgenoの名前が知れ渡っているのかもしれません。
68 :名無しさん@お腹いっぱい。:2009/05/20(水) 23:39:21
訂正
情報元から→情報元が
情報元から→情報元が
70 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:07:46
>>61
復帰おめでとう。
BitDefender
dia.exe : Trojan.CryptRedol.Gen.1
(他スルー)
a-squared : 全部スルーかと思ったら、パターン更新したら2つ検知。
cry.exe : Trojan-Proxy.Win32.Small!IK
dia.exe : Worm.Win32.AutoRun!IK
(他2つスルー)
Avira
cry.exe : TR/Dropper.Gen Trojan
dia.exe : TR/Dropper.Gen Trojan
(他2つスルー)
AviraとAntiy LabsにはFTP経由で提出しときました。他各社はこれから一通り送付しときます。
71 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:10:13
お疲れさまです。
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20_05
* F-Secure Hydra: 3.08.9080, 2009-05-20_05
>>61
* \tane0337\cry.exe → Trojan-Proxy.Win32.Small.aal
* \tane0337\softwarefortubeview.40000.exe → Trojan-Downloader.Win32.Agent.byla
* \tane0337\dia.exe → Worm.Win32.AutoRun.ais
* \tane0337\file.exe → NOT DETECTED
file.exe を 本家 F-Secure SAS に登録しました。
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20_05
* F-Secure Hydra: 3.08.9080, 2009-05-20_05
>>61
* \tane0337\cry.exe → Trojan-Proxy.Win32.Small.aal
* \tane0337\softwarefortubeview.40000.exe → Trojan-Downloader.Win32.Agent.byla
* \tane0337\dia.exe → Worm.Win32.AutoRun.ais
* \tane0337\file.exe → NOT DETECTED
file.exe を 本家 F-Secure SAS に登録しました。
72 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:12:00
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=338
infected
いつもの中華業者の、ネトゲアカウントハック用日替わりscrです。
いつものようにリリース(?)当日は、20〜26前後/40の検出率。
各社には先程提出済みですので、重複提出する必要はないと思います。
ttp://www.virustotal.com/analisis/cdb75a98fff2ba93f13ae9a8c96f2015 ftp25.exe(24/40)
ttp://www.virustotal.com/analisis/5ab5743cccfe24dea3fdbb2e9f632a29 online.scr(25/40)
ttp://www.virustotal.com/analisis/1b72cba30573fb81f11a748235cae7d5 online.zip(24/40)
ttp://www.virustotal.com/analisis/cbf1f994b6880ccedd4e1116b72f01d7 1199.exe(22/40)
ttp://www.virustotal.com/analisis/939a996323fbbeb858faf48af74901eb mpg.scr(23/40)
infected
いつもの中華業者の、ネトゲアカウントハック用日替わりscrです。
いつものようにリリース(?)当日は、20〜26前後/40の検出率。
各社には先程提出済みですので、重複提出する必要はないと思います。
ttp://www.virustotal.com/analisis/cdb75a98fff2ba93f13ae9a8c96f2015 ftp25.exe(24/40)
ttp://www.virustotal.com/analisis/5ab5743cccfe24dea3fdbb2e9f632a29 online.scr(25/40)
ttp://www.virustotal.com/analisis/1b72cba30573fb81f11a748235cae7d5 online.zip(24/40)
ttp://www.virustotal.com/analisis/cbf1f994b6880ccedd4e1116b72f01d7 1199.exe(22/40)
ttp://www.virustotal.com/analisis/939a996323fbbeb858faf48af74901eb mpg.scr(23/40)
>>70
どうもです。今、感染した仮想PC(Win2K)でいくつか試しました。
1. シマンテック オンラインスキャン
2009/5/21 0時頃の時点で、オンラインスキャンでは感染ファイルの本体を検出しません。
VTの結果から考えて、NISやNAVがインストールされているマシンはgumblarやmartuz感染を検出できると思いますが、
オンラインスキャンの対応はもう少し先になりそうな感じです。
2.AVIRAシステムスキャン (※ データベースが7.01.04.01と、3番目の世代番号が03→04にアップしています。)
martuz.cnの5/16版,5/17版
gumblar.cnの5/5版,5/8版
この4つを全部試してみたのですが、4つとも感染後にシステムスキャンをすると感染していることを検出できます。
gumblar時代のものまで検出できるようになっているのは、地味ですが大きいですね。
ただ、感染検出と、感染ファイル本体の削除はしてくれるのですが、感染状態のレジストリは放置されます。
これだけ大騒ぎになったので、gumblarやmartuzについては、どこかのベンダーが完全駆除ソフトを作ることに期待しましょう。
どうもです。今、感染した仮想PC(Win2K)でいくつか試しました。
1. シマンテック オンラインスキャン
2009/5/21 0時頃の時点で、オンラインスキャンでは感染ファイルの本体を検出しません。
VTの結果から考えて、NISやNAVがインストールされているマシンはgumblarやmartuz感染を検出できると思いますが、
オンラインスキャンの対応はもう少し先になりそうな感じです。
2.AVIRAシステムスキャン (※ データベースが7.01.04.01と、3番目の世代番号が03→04にアップしています。)
martuz.cnの5/16版,5/17版
gumblar.cnの5/5版,5/8版
この4つを全部試してみたのですが、4つとも感染後にシステムスキャンをすると感染していることを検出できます。
gumblar時代のものまで検出できるようになっているのは、地味ですが大きいですね。
ただ、感染検出と、感染ファイル本体の削除はしてくれるのですが、感染状態のレジストリは放置されます。
これだけ大騒ぎになったので、gumblarやmartuzについては、どこかのベンダーが完全駆除ソフトを作ることに期待しましょう。
74 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:28:37
Rising 2009 21.39.20 (21.30.20.00)
>>61
スルー
>>72
ftp25.exe: Backdoor.Win32.PcClient.tvj
online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
online.zip>>online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
3/5
>>61
スルー
>>72
ftp25.exe: Backdoor.Win32.PcClient.tvj
online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
online.zip>>online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
3/5
75 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:37:27
>>61
まとめWiki記載先一通りと、Malwarebytes、NictaTech Software に提出完了。
McAfee自動返答、全部[inconclusive]
カスペ返答(HEURのとこ名前確定した模様)
file.exe - Backdoor.Win32.Agent.agqv
New malicious software was found in this file.
Symantec
filename: dia.exe
filename: file.exe
result: <手動解析へ>
filename: cry.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: softwarefortubeview.40000.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
Rising(あれ?ファイル1つしか回答が…)
1. Filename:cry.exe
No malware.
まとめWiki記載先一通りと、Malwarebytes、NictaTech Software に提出完了。
McAfee自動返答、全部[inconclusive]
カスペ返答(HEURのとこ名前確定した模様)
file.exe - Backdoor.Win32.Agent.agqv
New malicious software was found in this file.
Symantec
filename: dia.exe
filename: file.exe
result: <手動解析へ>
filename: cry.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: softwarefortubeview.40000.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
Rising(あれ?ファイル1つしか回答が…)
1. Filename:cry.exe
No malware.
76 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:55:08
GENOを落とすスクリプトをTXTで置いといたら、今日になって、Avira AntiVirが反応したとの報告があったので、
>>26のHTMLを再チェックしてみた。
45/555 と反応したファイルが増えていた。>>30にはHTMLの反応数書いてないけど4ファイル位だった気が。
徐々に対応進めてる模様。
検出名
JS/Dldr.Agent.dwe Java script virus
JS/Dldr.Zonke.A Java script virus
JS/Redirector.R Java script virus
JS/Redirector.V Java script virus
>>26のHTMLを再チェックしてみた。
45/555 と反応したファイルが増えていた。>>30にはHTMLの反応数書いてないけど4ファイル位だった気が。
徐々に対応進めてる模様。
検出名
JS/Dldr.Agent.dwe Java script virus
JS/Dldr.Zonke.A Java script virus
JS/Redirector.R Java script virus
JS/Redirector.V Java script virus
>>73
追加です。Kasperskyは流石にメインマシンなので感染させるわけにはいかないのですが、
仮想PCから同じくmartuz.cnの5/16版,5/17版,gumblar.cnの5/5版,5/8版の4つの感染後の
本体ファイルを持ってきて検出可否を調べました。
Kasperskyもgumblar時代の分も含めて全部感染後ファイルを検出します。検出ファイル名 Trojan-PSW.Win32.Kates.c (全部一緒)
てことは、VTで検出する方のリストに載ったSymantec他も同じでしょうね。
あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
使い慣れてる人なら、この時点で異変に気がつきそう。
※ 『 xxxxは他のプロセスWindows NT Command Processor(パラメータ(...))を使おうとしています。 』
という、未登録ファイルの実行時に出てくるいつものダイアログ。(マルウェア検出ではない。)
xxxxに見覚えのないファイル名が入って表示される。多分、PC toolsと同等の能力があるメジャー所のFWなら、
同じようにメッセージ出してくるはず。
(ここでメッセージを読まずに許可を出すような人は、感染してもしょうがない気がしなくもない。)
gumblar,martuz関係は大体終息したっぽいので、これの新しいドメインが出てくるまでは、しばらくデフコン下げられそう。 では今日はこれで ノシ
追加です。Kasperskyは流石にメインマシンなので感染させるわけにはいかないのですが、
仮想PCから同じくmartuz.cnの5/16版,5/17版,gumblar.cnの5/5版,5/8版の4つの感染後の
本体ファイルを持ってきて検出可否を調べました。
Kasperskyもgumblar時代の分も含めて全部感染後ファイルを検出します。検出ファイル名 Trojan-PSW.Win32.Kates.c (全部一緒)
てことは、VTで検出する方のリストに載ったSymantec他も同じでしょうね。
あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
使い慣れてる人なら、この時点で異変に気がつきそう。
※ 『 xxxxは他のプロセスWindows NT Command Processor(パラメータ(...))を使おうとしています。 』
という、未登録ファイルの実行時に出てくるいつものダイアログ。(マルウェア検出ではない。)
xxxxに見覚えのないファイル名が入って表示される。多分、PC toolsと同等の能力があるメジャー所のFWなら、
同じようにメッセージ出してくるはず。
(ここでメッセージを読まずに許可を出すような人は、感染してもしょうがない気がしなくもない。)
gumblar,martuz関係は大体終息したっぽいので、これの新しいドメインが出てくるまでは、しばらくデフコン下げられそう。 では今日はこれで ノシ
78 :名無しさん@お腹いっぱい。:2009/05/21(木) 01:08:58
>>77 報告乙です。
>あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
>使い慣れてる人なら、この時点で異変に気がつきそう。
はっはっは…4/5版を入手した時にやっちまった記憶が。PC Tools のFWが反応して通信は遮断しましたよ。
でも、発動して出来上がった本体と、u.bat(正常に動作していれば削除されたもの)がC:のルートにしっかりと。
そして、通信はブロックしたものの動作はしっかりしていたようで、再起動後にCMDとかレジストリエディタとかが
動作不良を…PC Tools の通信許可で気付いても手遅れなんですねぇ。
雑談混ぜてすいません。これで引っ込みます。
>あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
>使い慣れてる人なら、この時点で異変に気がつきそう。
はっはっは…4/5版を入手した時にやっちまった記憶が。PC Tools のFWが反応して通信は遮断しましたよ。
でも、発動して出来上がった本体と、u.bat(正常に動作していれば削除されたもの)がC:のルートにしっかりと。
そして、通信はブロックしたものの動作はしっかりしていたようで、再起動後にCMDとかレジストリエディタとかが
動作不良を…PC Tools の通信許可で気付いても手遅れなんですねぇ。
雑談混ぜてすいません。これで引っ込みます。
79 :名無しさん@お腹いっぱい。:2009/05/21(木) 01:16:09
>>72乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
>>78
あ〜...確認しました。私も気がつきませんでした。
遮断すれば感染しないかと思ったのですが、PC toolsでメッセージ→遮断でも結局感染しますね。
確かに、その後AntiVirでシステムスキャンしたら、感染検出しました。
そこで一度実行を完全に止めてくれないと、全然意味無いですよ?>PC tools
結局、メッセージが出るだけでしたか...出るだけマシかもしれませんが、誤報書いてスミマセン。
あ〜...確認しました。私も気がつきませんでした。
遮断すれば感染しないかと思ったのですが、PC toolsでメッセージ→遮断でも結局感染しますね。
確かに、その後AntiVirでシステムスキャンしたら、感染検出しました。
そこで一度実行を完全に止めてくれないと、全然意味無いですよ?>PC tools
結局、メッセージが出るだけでしたか...出るだけマシかもしれませんが、誤報書いてスミマセン。
81 :名無しさん@お腹いっぱい。:2009/05/21(木) 01:32:31 BE:265068724-2BP(0)
cmd.exe が起動するのは、エンベロープの自己消去やらなんやら後始末のためで、
基本的に感染はすんだ後かもしれん。前読んだときは、そんな感じだった
基本的に感染はすんだ後かもしれん。前読んだときは、そんな感じだった
カスペからの返事
>>36 0+追加検出1=1/1
785.exe_ - Trojan-Downloader.Win32.Agent.byjj
This file is already detected. Please update your bases.
※>>50のF-Secureとは別名称
以下、乙
一応まとめ。
>>48 1/1
>>61
>>61,75さんの通り、5/5
※シグネチャ確定済み
>>72
VT通り、5/5
>>36 0+追加検出1=1/1
785.exe_ - Trojan-Downloader.Win32.Agent.byjj
This file is already detected. Please update your bases.
※>>50のF-Secureとは別名称
以下、乙
一応まとめ。
>>48 1/1
>>61
>>61,75さんの通り、5/5
※シグネチャ確定済み
>>72
VT通り、5/5
83 :名無しさん@お腹いっぱい。:2009/05/21(木) 03:13:02
お疲れさまです。
>>71の回答が来ましたので掲載します。
次回の更新にて対応されます。
>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. An appropriate detection will be added
>in one of the next database updates.
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!
さすがに眠いので今夜はこれにて退散します。
また夜にでも...
>>71の回答が来ましたので掲載します。
次回の更新にて対応されます。
>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. An appropriate detection will be added
>in one of the next database updates.
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!
さすがに眠いので今夜はこれにて退散します。
また夜にでも...
84 :名無しさん@お腹いっぱい。:2009/05/21(木) 05:39:51
>前スレの奴(GENO 5/17分)
McAfee最終返答。
Analysis Id: 5312461
--------------------
File Name Findings Detection Type
========= ======== ========= ====
martuz_cn_id10_20090517.e detected generic dropper.p trojan
martuz_cn_id2_20090517.pd detected exploit-pdf.d trojan
McAfee最終返答。
Analysis Id: 5312461
--------------------
File Name Findings Detection Type
========= ======== ========= ====
martuz_cn_id10_20090517.e detected generic dropper.p trojan
martuz_cn_id2_20090517.pd detected exploit-pdf.d trojan
85 :名無しさん@お腹いっぱい。:2009/05/21(木) 05:48:08
86 :名無しさん@お腹いっぱい。:2009/05/21(木) 10:41:05
>>64ではないが午前1時にF-secureで検出しないものを、まとめてF-Secure SASに提出した。
F-Secure Security Labs
2009/05/21 5:57
>Hello,
>
>Thank you for your e-mail.
>>
>The file you sent was found to be malicious. An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!
以下については検出確認
Exploit:W32/SWFdloader.B \20090510_1\id3_20090510.swf
Exploit:W32/SWFdloader.C \20090516\martuz1cws.swf
F-Secure Internet Security 2009
パターン ファイルのバージョン:
ウィルス: 2009-05-20_08
スパイウェア: 2009-05-20_05
スキャン エンジン:
F-Secure AVP: 7.00.171, 2009-05-20
F-Secure Hydra: 3.08.9080, 2009-05-20
F-Secure Security Labs
2009/05/21 5:57
>Hello,
>
>Thank you for your e-mail.
>>
>The file you sent was found to be malicious. An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!
以下については検出確認
Exploit:W32/SWFdloader.B \20090510_1\id3_20090510.swf
Exploit:W32/SWFdloader.C \20090516\martuz1cws.swf
F-Secure Internet Security 2009
パターン ファイルのバージョン:
ウィルス: 2009-05-20_08
スパイウェア: 2009-05-20_05
スキャン エンジン:
F-Secure AVP: 7.00.171, 2009-05-20
F-Secure Hydra: 3.08.9080, 2009-05-20
87 :名無しさん@お腹いっぱい。:2009/05/21(木) 12:24:40
いまさら感はありますが、依然として、GENOのスクリプトが入っているサイトがあるようで、スクリプトの検体として。
検体提出は、他のなにかのついでにでも…
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=339
infected
検体提出は、他のなにかのついでにでも…
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=339
infected
88 :名無しさん@お腹いっぱい。:2009/05/21(木) 15:54:21
>>87
カスペ2009 15:20
51/206
Trojan-Downloader.HTML.Agent.pe tane0339\JS_Gamburl.gen!A\kuruma-kounyuu\*.htm
(frogmode.jp.htm, tsuridon.com.htm以外のkuruma-kounyuuフォルダのhtmファイルすべて)
カスペ2009 15:20
51/206
Trojan-Downloader.HTML.Agent.pe tane0339\JS_Gamburl.gen!A\kuruma-kounyuu\*.htm
(frogmode.jp.htm, tsuridon.com.htm以外のkuruma-kounyuuフォルダのhtmファイルすべて)
89 :名無しさん@お腹いっぱい。:2009/05/21(木) 18:11:29
Rising 2009 21.39.30 (21.30.30.00)
前スレ>954 (tane0328)
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
1+1=2/2
>>26
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
>>72
mpg\1199.exe: Backdoor.Win32.PcClient.txa
mpg.scr>>1199.exe: Backdoor.Win32.PcClient.txa
3+2=5/5
>>87
スルー
提出は保留
前スレ>954 (tane0328)
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
1+1=2/2
>>26
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
>>72
mpg\1199.exe: Backdoor.Win32.PcClient.txa
mpg.scr>>1199.exe: Backdoor.Win32.PcClient.txa
3+2=5/5
>>87
スルー
提出は保留
90 :名無しさん@お腹いっぱい。:2009/05/21(木) 18:43:55
91 :名無しさん@お腹いっぱい。:2009/05/21(木) 20:12:04
>>87乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
92 :名無しさん@お腹いっぱい。:2009/05/21(木) 21:08:35
Rising 2009 21.39.33 (21.30.33.00)
前スレ>843 (tane0315)
codec.exe: AdWare.Win32.FakeAV.bm
1/1
前スレ>907 (tane0325)
load.exe: Trojan.Win32.Nodef.jij
3+1=4/10
前スレ>843 (tane0315)
codec.exe: AdWare.Win32.FakeAV.bm
1/1
前スレ>907 (tane0325)
load.exe: Trojan.Win32.Nodef.jij
3+1=4/10
93 :名無しさん@お腹いっぱい。:2009/05/21(木) 23:40:25
お疲れさまです。
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-21
Definition version
* Virus: 2009-05-21_01
* SpyWare: 2009-05-20_05
>>87
検出結果:0/206
SASへの登録は保留します。
#規制中なので今日は落ちます?
残件がありましたら何方かお願いします?
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-21
Definition version
* Virus: 2009-05-21_01
* SpyWare: 2009-05-20_05
>>87
検出結果:0/206
SASへの登録は保留します。
#規制中なので今日は落ちます?
残件がありましたら何方かお願いします?
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=341
DL virus/解凍 virus
ちょっと大きいので、1個だけでパックしてあります。
【中身】
antivirus.exe
MD5 : ea56809b50ccc90bb74e6bf65c023f0a
http://www.virustotal.com/jp/analisis/fff7ec80cb3b374e921e175da2bbd051 (12/40)
AVIRA9 7.01.04.03 -スルー,提出時の判断 -UNDER ANALYSIS
Kapersky - not-a-virus:AdWare.Win32.AdAgent.aq
AVIRA提出済みです。Kasperskyは既に検出できるので何も無し。
DL virus/解凍 virus
ちょっと大きいので、1個だけでパックしてあります。
【中身】
antivirus.exe
MD5 : ea56809b50ccc90bb74e6bf65c023f0a
http://www.virustotal.com/jp/analisis/fff7ec80cb3b374e921e175da2bbd051 (12/40)
AVIRA9 7.01.04.03 -スルー,提出時の判断 -UNDER ANALYSIS
Kapersky - not-a-virus:AdWare.Win32.AdAgent.aq
AVIRA提出済みです。Kasperskyは既に検出できるので何も無し。
95 :名無しさん@お腹いっぱい。:2009/05/22(金) 02:52:51
>>94
Risingに提出完了
Risingに提出完了
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=343
DL virus/解凍 virus
【中身】8個入っています。
ak1.exe
http://www.virustotal.com/jp/analisis/b7966af70734e298e53a556cd0969ac2 (15/40)
bot.exe
http://www.virustotal.com/jp/analisis/7e82209ca262761aa12adbfd8f63b729 (16/40)
install.exe
http://www.virustotal.com/jp/analisis/cbf2b741baece3f2159d89a722a0fba7 (5/40)
install2.exe
http://www.virustotal.com/jp/analisis/412f1686044fd2a6930fe9c87a79dd79 (5/40)
ldr.exe
http://www.virustotal.com/jp/analisis/bd5e308d5837cf4b43d889554b062f84 (13/39)
media_player_update.exe
http://www.virustotal.com/jp/analisis/1b7d62969078b9cb548cd6cdc4c231b5 (10/40)
softwarefortubeview.45013.exe
http://www.virustotal.com/jp/analisis/919fb960e877a532d3c5b0ae4f0d87c8 (2/40)
xp.exe
http://www.virustotal.com/jp/analisis/21745f319e84098232ee14d0100907d8 (19/40)
AVIRAとKasperskyは必要分送付済み。提出頑張れば、週末前に処理してくれるハズ...(;´д`)
DL virus/解凍 virus
【中身】8個入っています。
ak1.exe
http://www.virustotal.com/jp/analisis/b7966af70734e298e53a556cd0969ac2 (15/40)
bot.exe
http://www.virustotal.com/jp/analisis/7e82209ca262761aa12adbfd8f63b729 (16/40)
install.exe
http://www.virustotal.com/jp/analisis/cbf2b741baece3f2159d89a722a0fba7 (5/40)
install2.exe
http://www.virustotal.com/jp/analisis/412f1686044fd2a6930fe9c87a79dd79 (5/40)
ldr.exe
http://www.virustotal.com/jp/analisis/bd5e308d5837cf4b43d889554b062f84 (13/39)
media_player_update.exe
http://www.virustotal.com/jp/analisis/1b7d62969078b9cb548cd6cdc4c231b5 (10/40)
softwarefortubeview.45013.exe
http://www.virustotal.com/jp/analisis/919fb960e877a532d3c5b0ae4f0d87c8 (2/40)
xp.exe
http://www.virustotal.com/jp/analisis/21745f319e84098232ee14d0100907d8 (19/40)
AVIRAとKasperskyは必要分送付済み。提出頑張れば、週末前に処理してくれるハズ...(;´д`)
>>96
一応、AVIRA9 7.01.04.03,Kaspersky 2009/05/22 2:31:00の結果
ak1.exe
AVIRA - スルー(黒,次のアップデートで追加)
Kapersky - Trojan-Downloader.Win32.Boltolog.efx
bot.exe
AVIRA - スルー(黒,次のアップデートで追加)
Kapersky - Trojan-Spy.Win32.Zbot.uje
install.exe
AVIRA - TR/Dropper.Gen
Kapersky - スルー
install2.exe
AVIRA - TR/Dropper.Gen
Kapersky - スルー
ldr.exe
AVIRA - スルー(黒,次のアップデートで追加)
Kapersky - Trojan-Spy.Win32.Zbot.uji
media_player_update.exe
AVIRA - TR/Dropper.Gen
Kapersky - Trojan-Dropper.Win32.Agent.apig
softwarefortubeview.45013.exe
AVIRA - スルー(分析中)
Kapersky - スルー
xp.exe
AVIRA - TR/Drop.Geral.NA.1
Kapersky - Trojan-Downloader.Win32.Geral.rn
週末前なので、ちょっと頑張ってみた。(苦笑
一応、AVIRA9 7.01.04.03,Kaspersky 2009/05/22 2:31:00の結果
ak1.exe
AVIRA - スルー(黒,次のアップデートで追加)
Kapersky - Trojan-Downloader.Win32.Boltolog.efx
bot.exe
AVIRA - スルー(黒,次のアップデートで追加)
Kapersky - Trojan-Spy.Win32.Zbot.uje
install.exe
AVIRA - TR/Dropper.Gen
Kapersky - スルー
install2.exe
AVIRA - TR/Dropper.Gen
Kapersky - スルー
ldr.exe
AVIRA - スルー(黒,次のアップデートで追加)
Kapersky - Trojan-Spy.Win32.Zbot.uji
media_player_update.exe
AVIRA - TR/Dropper.Gen
Kapersky - Trojan-Dropper.Win32.Agent.apig
softwarefortubeview.45013.exe
AVIRA - スルー(分析中)
Kapersky - スルー
xp.exe
AVIRA - TR/Drop.Geral.NA.1
Kapersky - Trojan-Downloader.Win32.Geral.rn
週末前なので、ちょっと頑張ってみた。(苦笑
98 :名無しさん@お腹いっぱい。:2009/05/22(金) 03:30:07
99 :名無しさん@お腹いっぱい。:2009/05/22(金) 04:17:29
Rising 2009
>>96
ak1.exe: Trojan.DL.Win32.Undef.emo
media_player_update.exe: Trojan.Win32.Nodef.jcx
xp.exe>>upx_c: Trojan.Win32.TSK.e
3/8
提出完了
>>96
ak1.exe: Trojan.DL.Win32.Undef.emo
media_player_update.exe: Trojan.Win32.Nodef.jcx
xp.exe>>upx_c: Trojan.Win32.TSK.e
3/8
提出完了
100 :名無しさん@お腹いっぱい。:2009/05/22(金) 11:54:00
>5/9提出分のGENO呼び出しスクリプト
トレンドマイクロ返答…えーと、名前付けすぎじゃありませんか?
JS_AGENT.ASWE JS_AGENT.ASXB JS_AGENT.ASYC
JS_AGENT.ASWF JS_AGENT.ASXC JS_AGENT.ASYD
JS_AGENT.ASWG JS_AGENT.ASXD JS_AGENT.ASYE
JS_AGENT.ASWH JS_AGENT.ASXE JS_AGENT.ASYG
JS_AGENT.ASWI JS_AGENT.ASXF JS_AGENT.ASYH
JS_AGENT.ASWO JS_AGENT.ASXG JS_AGENT.ASYL
JS_AGENT.ASWP JS_AGENT.ASXI JS_AGENT.ASYM
JS_AGENT.ASWQ JS_AGENT.ASXK JS_AGENT.ASYN
JS_AGENT.ASWR JS_AGENT.ASXL JS_AGENT.ASYO
JS_AGENT.ASWS JS_AGENT.ASXN JS_AGENT.ASYP
JS_AGENT.ASWT JS_AGENT.ASXR JS_AGENT.ASYQ
JS_AGENT.ASWV JS_AGENT.ASXS JS_AGENT.ASYR
JS_AGENT.ASWX JS_AGENT.ASXT JS_AGENT.ASYS
JS_AGENT.ASWY JS_AGENT.ASXU
JS_AGENT.ASXA JS_AGENT.ASXX
トレンドマイクロ返答…えーと、名前付けすぎじゃありませんか?
JS_AGENT.ASWE JS_AGENT.ASXB JS_AGENT.ASYC
JS_AGENT.ASWF JS_AGENT.ASXC JS_AGENT.ASYD
JS_AGENT.ASWG JS_AGENT.ASXD JS_AGENT.ASYE
JS_AGENT.ASWH JS_AGENT.ASXE JS_AGENT.ASYG
JS_AGENT.ASWI JS_AGENT.ASXF JS_AGENT.ASYH
JS_AGENT.ASWO JS_AGENT.ASXG JS_AGENT.ASYL
JS_AGENT.ASWP JS_AGENT.ASXI JS_AGENT.ASYM
JS_AGENT.ASWQ JS_AGENT.ASXK JS_AGENT.ASYN
JS_AGENT.ASWR JS_AGENT.ASXL JS_AGENT.ASYO
JS_AGENT.ASWS JS_AGENT.ASXN JS_AGENT.ASYP
JS_AGENT.ASWT JS_AGENT.ASXR JS_AGENT.ASYQ
JS_AGENT.ASWV JS_AGENT.ASXS JS_AGENT.ASYR
JS_AGENT.ASWX JS_AGENT.ASXT JS_AGENT.ASYS
JS_AGENT.ASWY JS_AGENT.ASXU
JS_AGENT.ASXA JS_AGENT.ASXX
101 :名無しさん@お腹いっぱい。:2009/05/22(金) 18:59:15
>>94
Nortonで検出確認
Nortonで検出確認
102 :名無しさん@お腹いっぱい。:2009/05/22(金) 18:59:34
>>96
F-Secure Internet Security 2009
パターン ファイルのバージョン:
ウィルス: 2009-05-22_03
スパイウェア: 2009-05-22_03
スキャン エンジン:
F-Secure AVP: 7.00.171, 2009-05-22
Trojan-Downloader.Win32.Boltolog.efx ak1.exe
Trojan-Spy.Win32.Zbot.uje bot.exe
Trojan-Downloader.Win32.FraudLoad.eky install.exe
Trojan-Downloader.Win32.FraudLoad.vvqz install2.exe
Trojan-Spy.Win32.Zbot.uji ldr.exe
Trojan-Dropper.Win32.Agent.apig media_player_update.exe
Trojan-Downloader.Win32.Agent.byqu softwarefortubeview.45013.exe
Trojan-Downloader.Win32.Geral.rn xp.exe
F-Secure Internet Security 2009
パターン ファイルのバージョン:
ウィルス: 2009-05-22_03
スパイウェア: 2009-05-22_03
スキャン エンジン:
F-Secure AVP: 7.00.171, 2009-05-22
Trojan-Downloader.Win32.Boltolog.efx ak1.exe
Trojan-Spy.Win32.Zbot.uje bot.exe
Trojan-Downloader.Win32.FraudLoad.eky install.exe
Trojan-Downloader.Win32.FraudLoad.vvqz install2.exe
Trojan-Spy.Win32.Zbot.uji ldr.exe
Trojan-Dropper.Win32.Agent.apig media_player_update.exe
Trojan-Downloader.Win32.Agent.byqu softwarefortubeview.45013.exe
Trojan-Downloader.Win32.Geral.rn xp.exe
103 :名無しさん@お腹いっぱい。:2009/05/22(金) 19:00:23
Rising 2009 21.39.42 (21.30.42.00)
前スレ>866 (tane0317)
install2.exe: Trojan.Win32.FakeAV.nz
install4.exe: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
3/5
前スレ>896 (tane0323)
install.exe: Trojan.Win32.FakeAV.nz
1+1=2/4
前スレ>916 (tane0326)
download.php: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
2/2
>>96
install.exe: Trojan.Win32.FakeAV.nz
3+1=4/8
前スレ>866 (tane0317)
install2.exe: Trojan.Win32.FakeAV.nz
install4.exe: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
3/5
前スレ>896 (tane0323)
install.exe: Trojan.Win32.FakeAV.nz
1+1=2/4
前スレ>916 (tane0326)
download.php: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
2/2
>>96
install.exe: Trojan.Win32.FakeAV.nz
3+1=4/8
104 :名無しさん@お腹いっぱい。:2009/05/22(金) 19:02:26
F-Secureを使ってる方に質問ですがF-Secureが採用してるアンチウイルスエンジンってKasperskyだけですか?
F-SecureのHPみても詳細が出てないからいまいちわからないんですよね
F-SecureのHPみても詳細が出てないからいまいちわからないんですよね
105 :名無しさん@お腹いっぱい。:2009/05/22(金) 20:13:05
F-Secureのスレで聞けよ
106 :名無しさん@お腹いっぱい。:2009/05/22(金) 20:17:45
ちがう。
107 :名無しさん@お腹いっぱい。:2009/05/22(金) 20:44:23
>>96 乙
>>97 d
カスペ2009 18:26
>>96
5+事後検出3=8/8でクローズ
既検出
Detected Trojan program Trojan-Downloader.Win32.Boltolog.efx /ak1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uje /bot.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uji /ldr.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.apig /media_player_update.exe
Detected Trojan program Trojan-Downloader.Win32.Geral.rn /xp.exe
以下事後検出3
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eky /install.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vvqz /install2.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.byqu /softwarefortubeview.45013.exe
>>97 d
カスペ2009 18:26
>>96
5+事後検出3=8/8でクローズ
既検出
Detected Trojan program Trojan-Downloader.Win32.Boltolog.efx /ak1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uje /bot.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uji /ldr.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.apig /media_player_update.exe
Detected Trojan program Trojan-Downloader.Win32.Geral.rn /xp.exe
以下事後検出3
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eky /install.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vvqz /install2.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.byqu /softwarefortubeview.45013.exe
>>97
AVIRA9 7.01.04.05 未検出確定分
ak1.exe - TR/Drop.BOL.efx
bot.exe - TR/Spy.ZBot.dag
ldr.exe - TR/Spy.ZBot.uji
softwarefortubeview.45013.exe - TR/Dldr.Agent.byqu
以上で、8個全部が黒確定でcloseしました。
AVIRA9 7.01.04.05 未検出確定分
ak1.exe - TR/Drop.BOL.efx
bot.exe - TR/Spy.ZBot.dag
ldr.exe - TR/Spy.ZBot.uji
softwarefortubeview.45013.exe - TR/Dldr.Agent.byqu
以上で、8個全部が黒確定でcloseしました。
110 :名無しさん@お腹いっぱい。:2009/05/22(金) 22:47:29
VIRUSTOTAL繋がらん・・・
111 :名無しさん@お腹いっぱい。:2009/05/22(金) 23:12:37
お疲れ様です。規制中につき代理スレからの書き込みです。
>>102
FIS-2009では結果が出ているようなのでちょっと趣向を変えてみました。
F-Secure Internet Security Technology Preview 9.40
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
Pattern File Version
* Virus: 2009-05-22_06
* SpyWare: 2009-05-22_06
[結果] 検出 1/8
・\Malware_20090521\xp.exe ? Gen:Trojan.Heur.2015746F6F
・残りは NOT DETECTED
これはどうしたらいいのかな。SASへ登録は必要かな...?
>>102
FIS-2009では結果が出ているようなのでちょっと趣向を変えてみました。
F-Secure Internet Security Technology Preview 9.40
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
Pattern File Version
* Virus: 2009-05-22_06
* SpyWare: 2009-05-22_06
[結果] 検出 1/8
・\Malware_20090521\xp.exe ? Gen:Trojan.Heur.2015746F6F
・残りは NOT DETECTED
これはどうしたらいいのかな。SASへ登録は必要かな...?
112 :名無しさん@お腹いっぱい。:2009/05/22(金) 23:16:39
>>111
Technology Preview 9.40 ってこれかな?
http://blog.f-secure.jp/archives/50241218.html
>検出に関連したLabへのフィードバックには、Sample Analysis Systemを使用して欲しい。
だそうです。
Technology Preview 9.40 ってこれかな?
http://blog.f-secure.jp/archives/50241218.html
>検出に関連したLabへのフィードバックには、Sample Analysis Systemを使用して欲しい。
だそうです。
113 :名無しさん@お腹いっぱい。:2009/05/22(金) 23:20:49
>>112
一応確認したところ、FIS-2009はKasperskyでFIS-TPはBitDefenderですね。
となると、ここ1週間分くらいは最低限再チェックしてSASへ登録したほうがいいかな...?
それとも本件登録時に、以前登録分についても確認してもらうようなコメントを追記すればいいかな...?
>>113
>>111のパターンでのチェック結果
[検出:2/10]
\01\Work.exe → Gen:Trojan.Heur.90D02FAAAA (検疫可)
\01\SetupRelease.exe → Gen:Trojan.Heur.Hype.0A5AA5A5A5 (検疫不可)
残りは NOT DETECTED
やっぱりFIS-2009 に戻そうかしら...orz
一応確認したところ、FIS-2009はKasperskyでFIS-TPはBitDefenderですね。
となると、ここ1週間分くらいは最低限再チェックしてSASへ登録したほうがいいかな...?
それとも本件登録時に、以前登録分についても確認してもらうようなコメントを追記すればいいかな...?
>>113
>>111のパターンでのチェック結果
[検出:2/10]
\01\Work.exe → Gen:Trojan.Heur.90D02FAAAA (検疫可)
\01\SetupRelease.exe → Gen:Trojan.Heur.Hype.0A5AA5A5A5 (検疫不可)
残りは NOT DETECTED
やっぱりFIS-2009 に戻そうかしら...orz
115 :名無しさん@お腹いっぱい。:2009/05/22(金) 23:48:47
>>113乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
116 :名無しさん@お腹いっぱい。:2009/05/22(金) 23:48:49
117 :名無しさん@お腹いっぱい。:2009/05/23(土) 01:07:30
>>113
McAfeeに提出させて頂きました。
McAfeeに提出させて頂きました。
118 :名無しさん@お腹いっぱい。:2009/05/23(土) 06:07:54
このスレの皆さん、ホンと凄いですね。いつも参照させてもらってます。
どんなメディアの情報よりも参考になります。
(いつか勉強して参加したいと思います)
どんなメディアの情報よりも参考になります。
(いつか勉強して参加したいと思います)
119 :名無しさん@お腹いっぱい。:2009/05/23(土) 07:11:03
>>48 >>72 >>61
McAfee回答
File Name Findings Detection Type
========= ======== ========= ====
explorer.exe detected generic pws.y!s trojan
File Name Findings Detection Type
========= ======== ========= ====
mpg.scr detected generic backdoor trojan
1199.exe detected generic backdoor!y trojan
ftp25.exe detected generic backdoor!y trojan
File Name Findings Detection Type
========= ======== ========= ====
cry.exe detected generic.dx!cx trojan
dia.exe detected w32/autorun.worm!n virus
file.exe detected generic.d!a trojan
softwarefortubeview.40000 detected generic downloader.x trojan
McAfee回答
File Name Findings Detection Type
========= ======== ========= ====
explorer.exe detected generic pws.y!s trojan
File Name Findings Detection Type
========= ======== ========= ====
mpg.scr detected generic backdoor trojan
1199.exe detected generic backdoor!y trojan
ftp25.exe detected generic backdoor!y trojan
File Name Findings Detection Type
========= ======== ========= ====
cry.exe detected generic.dx!cx trojan
dia.exe detected w32/autorun.worm!n virus
file.exe detected generic.d!a trojan
softwarefortubeview.40000 detected generic downloader.x trojan
120 :名無しさん@お腹いっぱい。:2009/05/23(土) 07:53:26
>>113
AntiVirとAntiyLabsにFTP経由で提出。
ActivatedReleaseXP.exe : Suspicious File(eSafe)
ActivatedSetup.exe : Trojan.Fakeav!IK(a-squared)
ActivatedSetupReleaseXP.exe : - Not Detected -
PrestoTuneUp.exe : Suspicious File(eSafe)
ReleaseXP.exe : SHeur2.AHGZ(AVG) , Suspicious File(eSafe)
SetupRelease.exe : Gen:Trojan.Heur.Hype.0A5AA5A5A5(BitDefender) , VirTool:Win32/Obfuscator.ER(Microsoft)
SetupReleaseXP.exe : - Not Detected -
uninstall.exe : Trojan.Fakeav!IK(a-squared)
update.exe : Trojan.Fakeav!IK(a-squared)
Work.exe : TR/Crypt.CFI.Gen Trojan(AntiVir) , Gen:Trojan.Heur.90D02FAAAA(BitDefender)
AntiVirとAntiyLabsにFTP経由で提出。
ActivatedReleaseXP.exe : Suspicious File(eSafe)
ActivatedSetup.exe : Trojan.Fakeav!IK(a-squared)
ActivatedSetupReleaseXP.exe : - Not Detected -
PrestoTuneUp.exe : Suspicious File(eSafe)
ReleaseXP.exe : SHeur2.AHGZ(AVG) , Suspicious File(eSafe)
SetupRelease.exe : Gen:Trojan.Heur.Hype.0A5AA5A5A5(BitDefender) , VirTool:Win32/Obfuscator.ER(Microsoft)
SetupReleaseXP.exe : - Not Detected -
uninstall.exe : Trojan.Fakeav!IK(a-squared)
update.exe : Trojan.Fakeav!IK(a-squared)
Work.exe : TR/Crypt.CFI.Gen Trojan(AntiVir) , Gen:Trojan.Heur.90D02FAAAA(BitDefender)
121 :名無しさん@お腹いっぱい。:2009/05/23(土) 07:54:32
>>116
ほんとだ…提出前に気付けば良かった。他には、片方消してから提出しよう。
ほんとだ…提出前に気付けば良かった。他には、片方消してから提出しよう。
>>113 乙です。
Kaspersky 2009/05/23 7:12:00
ActivatedReleaseXP.exe -
ActivatedSetup.exe -
ActivatedSetupReleaseXP.exe -
ReleaseXP.exe -
SetupRelease.exe -
SetupReleaseXP.exe -
uninstall.exe -
update.exe -
Work.exe -
てなわけで全部スルーしたので、全部提出しました。(>116があったので、PrestoTuneUp.exeは省略)
Kaspersky 2009/05/23 7:12:00
ActivatedReleaseXP.exe -
ActivatedSetup.exe -
ActivatedSetupReleaseXP.exe -
ReleaseXP.exe -
SetupRelease.exe -
SetupReleaseXP.exe -
uninstall.exe -
update.exe -
Work.exe -
てなわけで全部スルーしたので、全部提出しました。(>116があったので、PrestoTuneUp.exeは省略)
>>113,120 乙です。
AVIRA9 7.01.04.06 現状です。
ActivatedReleaseXP.exe -
ActivatedSetup.exe -
ActivatedSetupReleaseXP.exe -
ReleaseXP.exe -
SetupRelease.exe -
SetupReleaseXP.exe -
uninstall.exe -
update.exe -
Work.exe - TR/Crypt.CFI.Gen
スルーしたものはこちらでも提出。全部UNDER ANALYSIS(分析中)表示でした。 う〜ん、回線が細いから時間がかかる...
AVIRA9 7.01.04.06 現状です。
ActivatedReleaseXP.exe -
ActivatedSetup.exe -
ActivatedSetupReleaseXP.exe -
ReleaseXP.exe -
SetupRelease.exe -
SetupReleaseXP.exe -
uninstall.exe -
update.exe -
Work.exe - TR/Crypt.CFI.Gen
スルーしたものはこちらでも提出。全部UNDER ANALYSIS(分析中)表示でした。 う〜ん、回線が細いから時間がかかる...
>>113
最後にVirustotal現状です。
ActivatedReleaseXP.exe - http://www.virustotal.com/jp/analisis/ffbae36bf5d8448f36a84dbd472aea5f160e079061e92302f3c2d8b3d3968716-1243032949 (1/40)
ActivatedSetup.exe - http://www.virustotal.com/jp/analisis/ccbc0dfc558c31ac80285512a917e95f5ebaf9dbabe2403fa2c53ee4de2cb16a-1243033143 (6/40)
ActivatedSetupReleaseXP.exe - http://www.virustotal.com/jp/analisis/ffbae36bf5d8448f36a84dbd472aea5f160e079061e92302f3c2d8b3d3968716-1243032949 (1/40)
ReleaseXP.exe - http://www.virustotal.com/jp/analisis/c325942eb0d9b6166779e4fd6e5769349080c3c03ee0e2ca30825b0eb58bd6ac-1243034801 (3/40)
SetupRelease.exe - http://www.virustotal.com/jp/analisis/8ebfdf65601e633abc4080b53375d93063c2244272f6360486d147529e55ae13-1243035232 (4/40)
SetupReleaseXP.exe - http://www.virustotal.com/jp/analisis/357252d379d827c8eae095998ff5010c4cb89f1d4a6b8dab394ca0fbb115d965-1243035644 (1/39)
uninstall.exe - http://www.virustotal.com/jp/analisis/e4feaebeee005cd3ec57975c1170cdeedf0a9ad081f7dcc8c49a6a6224b5299e-1243035767 (7/40)
update.exe - http://www.virustotal.com/jp/analisis/2245c496c0ab0a4619b017da0ce8fbc85c6d7554d1887b34cc3918f534b886ba-1243036042 (6/40)
Work.exe - http://www.virustotal.com/jp/analisis/e55604be26823c6941678a8c35d9df1749bd9b85d4c52429746004069a637804-1243036207 (7/40)
VT、解析結果のアドレスの付け方が変わりましたね。
最後にVirustotal現状です。
ActivatedReleaseXP.exe - http://www.virustotal.com/jp/analisis/ffbae36bf5d8448f36a84dbd472aea5f160e079061e92302f3c2d8b3d3968716-1243032949 (1/40)
ActivatedSetup.exe - http://www.virustotal.com/jp/analisis/ccbc0dfc558c31ac80285512a917e95f5ebaf9dbabe2403fa2c53ee4de2cb16a-1243033143 (6/40)
ActivatedSetupReleaseXP.exe - http://www.virustotal.com/jp/analisis/ffbae36bf5d8448f36a84dbd472aea5f160e079061e92302f3c2d8b3d3968716-1243032949 (1/40)
ReleaseXP.exe - http://www.virustotal.com/jp/analisis/c325942eb0d9b6166779e4fd6e5769349080c3c03ee0e2ca30825b0eb58bd6ac-1243034801 (3/40)
SetupRelease.exe - http://www.virustotal.com/jp/analisis/8ebfdf65601e633abc4080b53375d93063c2244272f6360486d147529e55ae13-1243035232 (4/40)
SetupReleaseXP.exe - http://www.virustotal.com/jp/analisis/357252d379d827c8eae095998ff5010c4cb89f1d4a6b8dab394ca0fbb115d965-1243035644 (1/39)
uninstall.exe - http://www.virustotal.com/jp/analisis/e4feaebeee005cd3ec57975c1170cdeedf0a9ad081f7dcc8c49a6a6224b5299e-1243035767 (7/40)
update.exe - http://www.virustotal.com/jp/analisis/2245c496c0ab0a4619b017da0ce8fbc85c6d7554d1887b34cc3918f534b886ba-1243036042 (6/40)
Work.exe - http://www.virustotal.com/jp/analisis/e55604be26823c6941678a8c35d9df1749bd9b85d4c52429746004069a637804-1243036207 (7/40)
VT、解析結果のアドレスの付け方が変わりましたね。
125 :名無しさん@お腹いっぱい。:2009/05/23(土) 12:20:03
偽セキュリティソフト提出してたらきりがねーぞ
126 :名無しさん@お腹いっぱい。:2009/05/23(土) 15:34:55
偽セキュリティソフトは提出していいんじゃないかな。
それ相応の悪さする訳だし。収集も提出も各自の自己責任だけど、キージェネの鑑定とかと違うし
ここに持ち込むことは構わないと思う。
それ相応の悪さする訳だし。収集も提出も各自の自己責任だけど、キージェネの鑑定とかと違うし
ここに持ち込むことは構わないと思う。
127 :名無しさん@お腹いっぱい。:2009/05/23(土) 19:58:31
>>124
ActivatedReleaseXP.ex
ActivatedSetup.exe
ActivatedSetupReleaseXP.exe
ReleaseXP.exe
SetupRelease.exe
SetupReleaseXP.exe
Windows XPの公開版をアクチ(Activate)したり、WGA(Windows Genuine Advantage)非経由でパッチ当てる(Update)ためのソフトに見える。
【新板】WGA回避大作戦 part2だよ (Windows板)
http://pc12.2ch.net/test/read.cgi/win/1219980040/
ActivatedReleaseXP.ex
ActivatedSetup.exe
ActivatedSetupReleaseXP.exe
ReleaseXP.exe
SetupRelease.exe
SetupReleaseXP.exe
Windows XPの公開版をアクチ(Activate)したり、WGA(Windows Genuine Advantage)非経由でパッチ当てる(Update)ためのソフトに見える。
【新板】WGA回避大作戦 part2だよ (Windows板)
http://pc12.2ch.net/test/read.cgi/win/1219980040/
128 :名無しさん@お腹いっぱい。:2009/05/23(土) 20:43:09
Rising 2009 21.39.52 (21.30.52.00)
前スレ>881 (tane0320)
7\load.exe: Trojan.DL.Win32.Undef.ent
b\Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
b\Mediacodec_v3.7.exe>>agent.exe: Trojan.Win32.FakeVir.it
4+2=6/12
前スレ>895 (tane0322)
Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1
>>26
dropper.bin>>upx_c: Trojan.DL.Win32.Delf.zrg
>>94
antivirus.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1
前スレ>881 (tane0320)
7\load.exe: Trojan.DL.Win32.Undef.ent
b\Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
b\Mediacodec_v3.7.exe>>agent.exe: Trojan.Win32.FakeVir.it
4+2=6/12
前スレ>895 (tane0322)
Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1
>>26
dropper.bin>>upx_c: Trojan.DL.Win32.Delf.zrg
>>94
antivirus.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1
129 :名無しさん@お腹いっぱい。:2009/05/23(土) 21:59:07
>>113
カスペ
update.exe→not-a-virus:FraudTool.Win32.VirusDoctor.f
uninstall.exe→not-a-virus:FraudTool.Win32.VirusDoctor.g
ActivatedSetup.exe→not-a-virus:FraudTool.Win32.VirusDoctor.h
カスペ
update.exe→not-a-virus:FraudTool.Win32.VirusDoctor.f
uninstall.exe→not-a-virus:FraudTool.Win32.VirusDoctor.g
ActivatedSetup.exe→not-a-virus:FraudTool.Win32.VirusDoctor.h
130 :名無しさん@お腹いっぱい。:2009/05/23(土) 23:26:29
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=345
DL virus/解凍 virus
【中身】8個入っています。
1.exe
http://www.virustotal.com/jp/analisis/749f6a11c09f3aed11acefedf2d77a0ba9d979e8ebb970f0184f72685726546b-1243084719 (11/38)
6244.exe
http://www.virustotal.com/jp/analisis/8cb21f42c04e0c1e1e8cc298080ceab4a5ae06cef56fb20235fc51111e3a98f3-1243081168 (21/40)
bb021908.exe
http://www.virustotal.com/jp/analisis/452063d1081cf913a146babd3d4a0a6aff502ba950e0327d26f4fcf23a4b9c53-1243081856 (8/38)
softwarefortubeview.45027.exe
http://www.virustotal.com/jp/analisis/4a06b457f3475c9b2a4e9865e43a13b77c347a19022717d2b2aa8d2bdef69e6c-1243083462 (1/40)
SudoPlanet_setup.exe
http://www.virustotal.com/jp/analisis/b17c6089c42999d9d04efe8632c120e33c83b25ce93aa9a34f0089e65b6c769e-1243088012 (7/39)
ya.exe
http://www.virustotal.com/jp/analisis/a8df1476db4c39d4ce371ce4bf894553a8d5ea158b0fdc1b5959791cdf1bfe1c-1243086640 (19/39)
readme.pdf
http://www.virustotal.com/jp/analisis/5040a7616314c4df6feba1697761b404b182703a022eedca471829f29ab4fe8d-1243087778 (12/40)
load.php
http://www.virustotal.com/jp/analisis/025347a897ef2aeb8b45d1bb667e1bd36861c6e89452b6c13985be9ff33f2ab4-1243087440 (7/40)
softwarefortubeview.XXXXX.exeは改変が早いので、ちょっと注意が必要ですね。
DL virus/解凍 virus
【中身】8個入っています。
1.exe
http://www.virustotal.com/jp/analisis/749f6a11c09f3aed11acefedf2d77a0ba9d979e8ebb970f0184f72685726546b-1243084719 (11/38)
6244.exe
http://www.virustotal.com/jp/analisis/8cb21f42c04e0c1e1e8cc298080ceab4a5ae06cef56fb20235fc51111e3a98f3-1243081168 (21/40)
bb021908.exe
http://www.virustotal.com/jp/analisis/452063d1081cf913a146babd3d4a0a6aff502ba950e0327d26f4fcf23a4b9c53-1243081856 (8/38)
softwarefortubeview.45027.exe
http://www.virustotal.com/jp/analisis/4a06b457f3475c9b2a4e9865e43a13b77c347a19022717d2b2aa8d2bdef69e6c-1243083462 (1/40)
SudoPlanet_setup.exe
http://www.virustotal.com/jp/analisis/b17c6089c42999d9d04efe8632c120e33c83b25ce93aa9a34f0089e65b6c769e-1243088012 (7/39)
ya.exe
http://www.virustotal.com/jp/analisis/a8df1476db4c39d4ce371ce4bf894553a8d5ea158b0fdc1b5959791cdf1bfe1c-1243086640 (19/39)
readme.pdf
http://www.virustotal.com/jp/analisis/5040a7616314c4df6feba1697761b404b182703a022eedca471829f29ab4fe8d-1243087778 (12/40)
load.php
http://www.virustotal.com/jp/analisis/025347a897ef2aeb8b45d1bb667e1bd36861c6e89452b6c13985be9ff33f2ab4-1243087440 (7/40)
softwarefortubeview.XXXXX.exeは改変が早いので、ちょっと注意が必要ですね。
>>131
AVIRA9 7.01.04.07 未検出分3個は提出済み。
1.exe - TR/Spy.Ambler.D.27
6244.exe - TR/BHO.Gen
bb021908.exe -
softwarefortubeview.45027.exe -
SudoPlanet_setup.exe - ADSPY/AdSpy.Gen
ya.exe - TR/Crypt.ZPACK.Gen
readme.pdf - HTML/Crypted.Gen
load.php -
>>130
SHA256のハッシュ - タイムスタンプ になっているみたい。
今度からMD5を貼らなくても、アドレスからSHA256を抜き出せるので、VTでハッシュ検索がしやすくなってます。
が、その分アドレスが異常に長い...orz
AVIRA9 7.01.04.07 未検出分3個は提出済み。
1.exe - TR/Spy.Ambler.D.27
6244.exe - TR/BHO.Gen
bb021908.exe -
softwarefortubeview.45027.exe -
SudoPlanet_setup.exe - ADSPY/AdSpy.Gen
ya.exe - TR/Crypt.ZPACK.Gen
readme.pdf - HTML/Crypted.Gen
load.php -
>>130
SHA256のハッシュ - タイムスタンプ になっているみたい。
今度からMD5を貼らなくても、アドレスからSHA256を抜き出せるので、VTでハッシュ検索がしやすくなってます。
が、その分アドレスが異常に長い...orz
>>131
Kaspersky 2009/05/23 23:02:00 未検出分4個は提出済み。
1.exe - Trojan.Win32.Agent.cimn
6244.exe - Trojan-Dropper.Win32.BHO.bt
bb021908.exe -
softwarefortubeview.45027.exe - Trojan-Downloader.Win32.FraudLoad.elf
SudoPlanet_setup.exe -
ya.exe - Trojan-Spy.Win32.Zbot.gen
readme.pdf -
load.php -
>>125-126
う〜ん、今時のマルウェアは、主流が偽Antivirusと偽codecなので、偽Antivirusが増えるのはしょうがないと思う。
偽Antivirus - 偽の検索画面を見せて、マルウェア発見→Antivirusインストールして!
偽codec - 偽動画サイトを見せて、codecが入ってないから再生できない→codecインストールよろ。
なんで、今のマルウェアは裏から来ないで、表から堂々と来ます。その手の案内がメールで来ることも予想すると
偽Antivirusも出しておいた方が良いと思ったり。
あと、偽codecはポルノサイトが多い。 男って悲しいネ...orz
Kaspersky 2009/05/23 23:02:00 未検出分4個は提出済み。
1.exe - Trojan.Win32.Agent.cimn
6244.exe - Trojan-Dropper.Win32.BHO.bt
bb021908.exe -
softwarefortubeview.45027.exe - Trojan-Downloader.Win32.FraudLoad.elf
SudoPlanet_setup.exe -
ya.exe - Trojan-Spy.Win32.Zbot.gen
readme.pdf -
load.php -
>>125-126
う〜ん、今時のマルウェアは、主流が偽Antivirusと偽codecなので、偽Antivirusが増えるのはしょうがないと思う。
偽Antivirus - 偽の検索画面を見せて、マルウェア発見→Antivirusインストールして!
偽codec - 偽動画サイトを見せて、codecが入ってないから再生できない→codecインストールよろ。
なんで、今のマルウェアは裏から来ないで、表から堂々と来ます。その手の案内がメールで来ることも予想すると
偽Antivirusも出しておいた方が良いと思ったり。
あと、偽codecはポルノサイトが多い。 男って悲しいネ...orz
134 :名無しさん@お腹いっぱい。:2009/05/24(日) 00:03:00
>>131
Risingに送りました
Risingに送りました
135 :名無しさん@お腹いっぱい。:2009/05/24(日) 00:04:01
>>131
McAfeeに提出させて頂きました。
McAfeeに提出させて頂きました。
136 :名無しさん@お腹いっぱい。:2009/05/24(日) 00:19:55
>>131乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
137 :こなた ◆KONATAzZoM :2009/05/24(日) 02:14:46
お疲れ様です。
規制解除されたので報告。
F-Secure Internet Security Technology Preview 9.40
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01
>>94
BitDefenderで検出済みにつき確認/報告していません。
>>111
検出結果変わらず。SASへは金曜日の夜中に報告済みですが、回答未だ無し。
>>114
状況変わらず。
>>131
[検出結果:2/12]
\tane0345\1.exe → Trojan.Crypt.DF: 処理 失敗
\tane0345\ya.exe → Gen:Trojan.Heur.Hype.40708F8F8F :検疫可
残りはNOT DETECT
FIS-TPでの未検出分報告(>>114 >>131)については、>>111の回答を待ってから考えます。
あと、何方か FIS-2009で確認してる方いらっしゃいませんか?
F-Secureとしてはそちらがメインだと思いますので、確認して頂けると助かります。
規制解除されたので報告。
F-Secure Internet Security Technology Preview 9.40
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01
>>94
BitDefenderで検出済みにつき確認/報告していません。
>>111
検出結果変わらず。SASへは金曜日の夜中に報告済みですが、回答未だ無し。
>>114
状況変わらず。
>>131
[検出結果:2/12]
\tane0345\1.exe → Trojan.Crypt.DF: 処理 失敗
\tane0345\ya.exe → Gen:Trojan.Heur.Hype.40708F8F8F :検疫可
残りはNOT DETECT
FIS-TPでの未検出分報告(>>114 >>131)については、>>111の回答を待ってから考えます。
あと、何方か FIS-2009で確認してる方いらっしゃいませんか?
F-Secureとしてはそちらがメインだと思いますので、確認して頂けると助かります。
138 :こなた ◆KONATAzZoM :2009/05/24(日) 03:37:40
お疲れ様です。
一応念のため>>26をFIS-TPにて再確認。
チェック環境は>>137のと一緒。
[検出:本体 30/30 HTML 117/555]
本体は全て検出。HTMLは以下のとおりで、行末の数字は検出数。
\20090405\ [3/3] *
\20090411\ [1/1] *
\20090509\ [47/47] *
\20090514\ [2/2] *
\20090516\joyjoynet\ [5/17]
\20090516\livmail\ [8/43]
\20090516\nifty-hair\ [3/36]
\20090516\revue1999\ [6/18]
20090516\skyhighpremium\ [2/11]
\20090518\laqoo\ [1/137]
\20090518\pmpk\ [7/14]
\20090518\replica08\ [18/52]
\20090518\seibidoshuppan\ [5/10]
\20090518\themusasi\ [4/27]
\20090519\loca.zombie\ [1/1] *
\20090519\yuuno.sakura\ [4/14]
(上記以外は未検出)
とりあえず FIS-TP でも検出精度はそこそこ問題なさそう?
日数経ってるから当たり前といえば当たり前なのだろうけど…
一応念のため>>26をFIS-TPにて再確認。
チェック環境は>>137のと一緒。
[検出:本体 30/30 HTML 117/555]
本体は全て検出。HTMLは以下のとおりで、行末の数字は検出数。
\20090405\ [3/3] *
\20090411\ [1/1] *
\20090509\ [47/47] *
\20090514\ [2/2] *
\20090516\joyjoynet\ [5/17]
\20090516\livmail\ [8/43]
\20090516\nifty-hair\ [3/36]
\20090516\revue1999\ [6/18]
20090516\skyhighpremium\ [2/11]
\20090518\laqoo\ [1/137]
\20090518\pmpk\ [7/14]
\20090518\replica08\ [18/52]
\20090518\seibidoshuppan\ [5/10]
\20090518\themusasi\ [4/27]
\20090519\loca.zombie\ [1/1] *
\20090519\yuuno.sakura\ [4/14]
(上記以外は未検出)
とりあえず FIS-TP でも検出精度はそこそこ問題なさそう?
日数経ってるから当たり前といえば当たり前なのだろうけど…
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=346
DL virus/解凍 virus
【中身】8個入っています。
install.exe
http://www.virustotal.com/jp/analisis/6ac8d318f66e736445d047d964054195209ff7531a0bad0b4570a31219605bc8-1243124267 (9/40)
Install_2019.exe
http://www.virustotal.com/jp/analisis/c03ac99c56ce7e0d7531cc486afbafb3162b887d6b471c03ebea537822880b83-1243124634 (3/40)
install2.exe
http://www.virustotal.com/jp/analisis/60f6d79183e94f1b2c1517239b2a40cd2cc18fc06ae3793258d896f85b55d34f-1243128751 (13/40)
softwarefortubeview.45027-2.exe
http://www.virustotal.com/jp/analisis/4020867e53a0239391254d3f385972fbcbaa33a05ca84688f95c5b581f4e54aa-1243098022 (1/40)
ws.exe
http://www.virustotal.com/jp/analisis/30ad1851de946508713a71fe6c91f7ac7ddd2b0ae40327f50320b2305080a7c9-1243128997 (3/40)
pdf.pdf
http://www.virustotal.com/jp/analisis/97251a720969976891679af2115a7cc4548d696d5697410d735c8904cfb259b3-1243128431 (15/40)
two.pdf
http://www.virustotal.com/jp/analisis/070acb8229cac529ffd500e4508f4947537c6cc76ec07c2bd26dfcbc91b2e223-1243128137 (10/40)
flash.swf
http://www.virustotal.com/jp/analisis/1feb0cc84665dfab4ebf8bf123ea106cbefc0967e7d0446a003c4411a5d4b42f-1243095732 (10/40)
※ softwarefortubeview.45027-2.exeは、>131と別のもの。(新種に改変された)
DL virus/解凍 virus
【中身】8個入っています。
install.exe
http://www.virustotal.com/jp/analisis/6ac8d318f66e736445d047d964054195209ff7531a0bad0b4570a31219605bc8-1243124267 (9/40)
Install_2019.exe
http://www.virustotal.com/jp/analisis/c03ac99c56ce7e0d7531cc486afbafb3162b887d6b471c03ebea537822880b83-1243124634 (3/40)
install2.exe
http://www.virustotal.com/jp/analisis/60f6d79183e94f1b2c1517239b2a40cd2cc18fc06ae3793258d896f85b55d34f-1243128751 (13/40)
softwarefortubeview.45027-2.exe
http://www.virustotal.com/jp/analisis/4020867e53a0239391254d3f385972fbcbaa33a05ca84688f95c5b581f4e54aa-1243098022 (1/40)
ws.exe
http://www.virustotal.com/jp/analisis/30ad1851de946508713a71fe6c91f7ac7ddd2b0ae40327f50320b2305080a7c9-1243128997 (3/40)
pdf.pdf
http://www.virustotal.com/jp/analisis/97251a720969976891679af2115a7cc4548d696d5697410d735c8904cfb259b3-1243128431 (15/40)
two.pdf
http://www.virustotal.com/jp/analisis/070acb8229cac529ffd500e4508f4947537c6cc76ec07c2bd26dfcbc91b2e223-1243128137 (10/40)
flash.swf
http://www.virustotal.com/jp/analisis/1feb0cc84665dfab4ebf8bf123ea106cbefc0967e7d0446a003c4411a5d4b42f-1243095732 (10/40)
※ softwarefortubeview.45027-2.exeは、>131と別のもの。(新種に改変された)
140 :名無しさん@お腹いっぱい。:2009/05/24(日) 11:01:21
>>131,133 乙
カスペ2009 9:37:00
対象検体>>131
4+事後検出2(下2行)=6/8
Detected Trojan program Trojan.Win32.Agent.cimn /1.exe
Detected Trojan program Trojan-Dropper.Win32.BHO.bt /6244.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.elf /softwarefortubeview.45027.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen /ya.exe
Detected Trojan program Trojan.Win32.VB.psi, Trojan.Win32.Delf.mso /bb021908.exe
Detected Trojan program Trojan.JS.Agent.age /readme.pdf
カスペ2009 9:37:00
対象検体>>131
4+事後検出2(下2行)=6/8
Detected Trojan program Trojan.Win32.Agent.cimn /1.exe
Detected Trojan program Trojan-Dropper.Win32.BHO.bt /6244.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.elf /softwarefortubeview.45027.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen /ya.exe
Detected Trojan program Trojan.Win32.VB.psi, Trojan.Win32.Delf.mso /bb021908.exe
Detected Trojan program Trojan.JS.Agent.age /readme.pdf
>>139
AVIRA9 7.01.04.07 未検出分3個+HEUR 1個=4個は提出済み。
install.exe - TR/Crypt.XPACK.Gen
Install_2019.exe -
install2.exe - TR/Crypt.ZPACK.Gen
softwarefortubeview.45027-2.exe -
ws.exe - TR/Dropper.Gen
pdf.pdf - HEUR/HTML.Malware
two.pdf - EXP/CVE-2009-0837
flash.swf -
Kaspersky 2009/05/24 9:37:00 未検出分5個は提出済み。
install.exe -
Install_2019.exe -
install2.exe - Trojan-Dropper.Win32.FrauDrop.bi
softwarefortubeview.45027-2.exe - Trojan-Downloader.Win32.FraudLoad.elf
ws.exe -
pdf.pdf -
two.pdf - Exploit.Win32.Pidief.alc
flash.swf -
む、AVIRAのHEUR、実物初めて出た。
AVIRA9 7.01.04.07 未検出分3個+HEUR 1個=4個は提出済み。
install.exe - TR/Crypt.XPACK.Gen
Install_2019.exe -
install2.exe - TR/Crypt.ZPACK.Gen
softwarefortubeview.45027-2.exe -
ws.exe - TR/Dropper.Gen
pdf.pdf - HEUR/HTML.Malware
two.pdf - EXP/CVE-2009-0837
flash.swf -
Kaspersky 2009/05/24 9:37:00 未検出分5個は提出済み。
install.exe -
Install_2019.exe -
install2.exe - Trojan-Dropper.Win32.FrauDrop.bi
softwarefortubeview.45027-2.exe - Trojan-Downloader.Win32.FraudLoad.elf
ws.exe -
pdf.pdf -
two.pdf - Exploit.Win32.Pidief.alc
flash.swf -
む、AVIRAのHEUR、実物初めて出た。
142 :名無しさん@お腹いっぱい。:2009/05/24(日) 11:38:15
>>139
McAfeeに提出させて頂きました。
McAfeeに提出させて頂きました。
143 :名無しさん@お腹いっぱい。:2009/05/24(日) 11:44:38
>>139
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
6244.exe |new detection |puper!f |Trojan |yes
ya.exe |new detection |generic pws.y!t |Trojan |yes
あとは全部 inconclusive
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
6244.exe |new detection |puper!f |Trojan |yes
ya.exe |new detection |generic pws.y!t |Trojan |yes
あとは全部 inconclusive
144 :名無しさん@お腹いっぱい。:2009/05/24(日) 11:46:34
>>139
Norton自動返答
filename: sopidkc.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
filename: 6244.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
あとは全部手動解析行き
Norton自動返答
filename: sopidkc.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
filename: 6244.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
あとは全部手動解析行き
145 :名無しさん@お腹いっぱい。:2009/05/24(日) 12:10:18
>>139
カスペ返答
1.exe_ - Trojan.Win32.Agent.cirp,
load.php - Trojan.Win32.Inject.aazv
New malicious software was found in these files.
45027.exe_ - Trojan-Downloader.Win32.FraudLoad.elf,
6244.exe_ - Trojan-Dropper.Win32.BHO.bt,
bb021908.exe_, dpcxool64.sys - Trojan.Win32.VB.psi,
readme.pdf_ - Trojan.JS.Agent.age,
sopidkc.exe_, tpsaxyd.exe_ - Trojan.Win32.Delf.mso,
ya.exe_ - Trojan-Spy.Win32.Zbot.gen
These files are already detected.
comsa32.sys, SudoPlanet_setup.exe_
No malicious code were found in these files.
※ bb021908.exe_は解凍したファイルも一緒に送っていますので、そのファイル名も報告に含まれています。
カスペ返答
1.exe_ - Trojan.Win32.Agent.cirp,
load.php - Trojan.Win32.Inject.aazv
New malicious software was found in these files.
45027.exe_ - Trojan-Downloader.Win32.FraudLoad.elf,
6244.exe_ - Trojan-Dropper.Win32.BHO.bt,
bb021908.exe_, dpcxool64.sys - Trojan.Win32.VB.psi,
readme.pdf_ - Trojan.JS.Agent.age,
sopidkc.exe_, tpsaxyd.exe_ - Trojan.Win32.Delf.mso,
ya.exe_ - Trojan-Spy.Win32.Zbot.gen
These files are already detected.
comsa32.sys, SudoPlanet_setup.exe_
No malicious code were found in these files.
※ bb021908.exe_は解凍したファイルも一緒に送っていますので、そのファイル名も報告に含まれています。
>>141
Kaspersky未検出分返答
install.exe - Trojan-Downloader.Win32.FraudLoad.eln
Install_2019.exe_ - Trojan-Downloader.Win32.FraudLoad.elo
ws.exe_ - Trojan-Downloader.Win32.FraudLoad.vxmg
pdf.pdf - Exploit.Win32.Pidief.avw
flash.swf - Exploit.SWF.Agent.aq
ということで、全黒でclose.
どうも、分析を担当したアナリストによって返答したりしなかったり、という感じ。
早い人だと、送ってからあっという間に解析結果のメールが来る。逆に、メール来ないのに対応終わってることもあるし、ちょっと面白い。
Kaspersky未検出分返答
install.exe - Trojan-Downloader.Win32.FraudLoad.eln
Install_2019.exe_ - Trojan-Downloader.Win32.FraudLoad.elo
ws.exe_ - Trojan-Downloader.Win32.FraudLoad.vxmg
pdf.pdf - Exploit.Win32.Pidief.avw
flash.swf - Exploit.SWF.Agent.aq
ということで、全黒でclose.
どうも、分析を担当したアナリストによって返答したりしなかったり、という感じ。
早い人だと、送ってからあっという間に解析結果のメールが来る。逆に、メール来ないのに対応終わってることもあるし、ちょっと面白い。
147 :名無しさん@お腹いっぱい。:2009/05/24(日) 14:43:12
Rising 2009 21.39.60 (21.30.60.00)
前スレ>636 (tane0293)
playenline\1.exe: Trojan.PSW.Win32.GameOL.zyj
17+1=18/33
>>139
Risingに送りました
前スレ>636 (tane0293)
playenline\1.exe: Trojan.PSW.Win32.GameOL.zyj
17+1=18/33
>>139
Risingに送りました
148 :名無しさん@お腹いっぱい。:2009/05/24(日) 16:05:59
>>139乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
149 :こなた ◆KONATAzZoM :2009/05/24(日) 16:34:11
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01
[検出結果:4/8]
flash.swf → Exploit.SWF.Gen [検疫]
install.exe → GenPack:Trojan.Generic.1552053 [検疫]
pdf.pdf → Exploit.PDF-JS.Gen [検疫]
two.pdf → Exploit.PDF-URI2.Gen [検疫]
[以下未検出]
Install_2019.exe
install2.exe
softwarefortubeview.45027-2.exe
ws.exe
>>111の回答がもらえていませんので、対応する気があるのか不明との判断に付き報告は保留しています。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01
[検出結果:4/8]
flash.swf → Exploit.SWF.Gen [検疫]
install.exe → GenPack:Trojan.Generic.1552053 [検疫]
pdf.pdf → Exploit.PDF-JS.Gen [検疫]
two.pdf → Exploit.PDF-URI2.Gen [検疫]
[以下未検出]
Install_2019.exe
install2.exe
softwarefortubeview.45027-2.exe
ws.exe
>>111の回答がもらえていませんので、対応する気があるのか不明との判断に付き報告は保留しています。
150 :こなた ◆KONATAzZoM :2009/05/24(日) 16:36:37
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=347
DL virus/解凍 virus
【中身】 27個入っています。多いです。スミマセン
インフォメーションは後程。AVIRAとKasperskyは提出済み。いつも通りVirustotalにも全部投げてあります。
DL virus/解凍 virus
【中身】 27個入っています。多いです。スミマセン
インフォメーションは後程。AVIRAとKasperskyは提出済み。いつも通りVirustotalにも全部投げてあります。
152 :名無しさん@お腹いっぱい。:2009/05/24(日) 23:30:46
>>151乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
NIS2009で、解凍後のAutoProtect検出で13/27 (でもファイル数は16ヶ残った)
手動スキャンを続けて試みたが追加検出は無しでした
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
NIS2009で、解凍後のAutoProtect検出で13/27 (でもファイル数は16ヶ残った)
手動スキャンを続けて試みたが追加検出は無しでした
153 :名無しさん@お腹いっぱい。:2009/05/24(日) 23:33:53
Rising 2009 21.39.62 (21.30.62.00)
>>151
1.exe>>mian007: Packer.Win32.Mian007.a
file.exe: Backdoor.Win32.Undef.did
install3.exe: Trojan.Win32.Nodef.jka
3/27
提出完了
>>151
1.exe>>mian007: Packer.Win32.Mian007.a
file.exe: Backdoor.Win32.Undef.did
install3.exe: Trojan.Win32.Nodef.jka
3/27
提出完了
>>151 いんふぉめ〜しょん(1/3)
1.exe
http://www.virustotal.com/jp/analisis/a42eb1120c86c7c6a9ce19ff9475ec359f8ad8454f8c24516cdbbc008e6a644d-1243162474 (16/40)
access.exe
http://www.virustotal.com/jp/analisis/22327a0a8b064be7fb1c472818531a558a52a4aac3d8ad9f362db863beca17bf-1243156317 (0/40)
e98m.pdf
http://www.virustotal.com/jp/analisis/280b3d5826f9cc6bef69185f754a093de32b4f7d73329ef46b1090ba2f513e9e-1243156084 (6/40)
EXP_pdf.pdf
http://www.virustotal.com/jp/analisis/633f5bf8ef0a03fe1e8e00a3350aa1acd3174d7f0dbc16fc9c9bac747a59f7a5-1243165950 (16/39)
file.exe
http://www.virustotal.com/jp/analisis/a96c9edb2896f678be99cf75607ec95a893536184885b6849e79f2a203924934-1243152957 (18/40)
file2.exe
http://www.virustotal.com/jp/analisis/508a1d294064188dae66217ca73c6b88d2b0a89b2f4539b380b95187ae42a70d-1243168552 (5/40)
install.exe
http://www.virustotal.com/jp/analisis/1d81ce4201964b9e5bc6c47e32a68cdb4c01b745830c2df612daeff9c954d601-1243141294 (4/40)
Install_11-1.exe
http://www.virustotal.com/jp/analisis/676e3866436af1c434d1cbcbe1e4662bf375cf3741ebbd3e2e109d1381bcc59a-1243167967 (0/40)
install2.exe
http://www.virustotal.com/jp/analisis/d0d88fe72840a3b28a460cb24d8e55ea681ea59e4ef90ee4b44fb57aae677d2d-1243149701 (5/40)
install3.exe
http://www.virustotal.com/jp/analisis/a2adbb593a3e2acc285a009563f33fd7bc4638ef91218f887541b15b0608951d-1243155386 (15/40)
1.exe
http://www.virustotal.com/jp/analisis/a42eb1120c86c7c6a9ce19ff9475ec359f8ad8454f8c24516cdbbc008e6a644d-1243162474 (16/40)
access.exe
http://www.virustotal.com/jp/analisis/22327a0a8b064be7fb1c472818531a558a52a4aac3d8ad9f362db863beca17bf-1243156317 (0/40)
e98m.pdf
http://www.virustotal.com/jp/analisis/280b3d5826f9cc6bef69185f754a093de32b4f7d73329ef46b1090ba2f513e9e-1243156084 (6/40)
EXP_pdf.pdf
http://www.virustotal.com/jp/analisis/633f5bf8ef0a03fe1e8e00a3350aa1acd3174d7f0dbc16fc9c9bac747a59f7a5-1243165950 (16/39)
file.exe
http://www.virustotal.com/jp/analisis/a96c9edb2896f678be99cf75607ec95a893536184885b6849e79f2a203924934-1243152957 (18/40)
file2.exe
http://www.virustotal.com/jp/analisis/508a1d294064188dae66217ca73c6b88d2b0a89b2f4539b380b95187ae42a70d-1243168552 (5/40)
install.exe
http://www.virustotal.com/jp/analisis/1d81ce4201964b9e5bc6c47e32a68cdb4c01b745830c2df612daeff9c954d601-1243141294 (4/40)
Install_11-1.exe
http://www.virustotal.com/jp/analisis/676e3866436af1c434d1cbcbe1e4662bf375cf3741ebbd3e2e109d1381bcc59a-1243167967 (0/40)
install2.exe
http://www.virustotal.com/jp/analisis/d0d88fe72840a3b28a460cb24d8e55ea681ea59e4ef90ee4b44fb57aae677d2d-1243149701 (5/40)
install3.exe
http://www.virustotal.com/jp/analisis/a2adbb593a3e2acc285a009563f33fd7bc4638ef91218f887541b15b0608951d-1243155386 (15/40)
155 :名無しさん@お腹いっぱい。:2009/05/25(月) 00:04:29
>>151
McAfeeに提出させて頂きました。
McAfeeに提出させて頂きました。
>>151 いんふぉめ〜しょん(2/3)
ldr.exe
http://www.virustotal.com/jp/analisis/786d4f87733bd0eee8ae5e48dcd341460695ae16517c566500be28f2e23b2237-1243149018 (9/39)
load.exe
http://www.virustotal.com/jp/analisis/94f3d2aa917f12675a0346d983eb5298b3d3fe8860dc990f6781ff7a253201cf-1243160273 (0/40)
load.php
http://www.virustotal.com/jp/analisis/1dbbfbcf8241a038041036fb2f8a2a1fa5b10955af07cb47f66fb05dc1e86a2d-1243141917 (14/40)
load2.exe
http://www.virustotal.com/jp/analisis/a57dde784c7f4d198f896e1dfa6a85ec0870ce8dc0281ba279287a5768aa3206-1243166783 (6/39)
load2.php
http://www.virustotal.com/jp/analisis/38b1d4bfe85ac8d75c9d4c71d7b71b9441be940383b713a26dd3a8201fef7284-1243152060 (6/39)
load3.php
http://www.virustotal.com/jp/analisis/108081ba86a1b3171b9d0b32a0c589c10f9f893ba36186fd722dee601a97e23a-1243155771 (1/40)
load4.php
http://www.virustotal.com/jp/analisis/689ab94db38ac18f30a99e51f6fa2d178f62ef39f449e0e3eab0c4e7d2557341-1243160866 (7/40)
loadhlp.exe
http://www.virustotal.com/jp/analisis/67913781f0a25285e739fdf3776f9ce13687efc93bc5f51f4ce104908fbf31d1-1243163703 (10/39)
m.dll
http://www.virustotal.com/jp/analisis/b28125bad6709a13e2836ced6d07ee5fd389dc0cb283123b34c5b7dfc821c6fa-1243170766 (11/38)
pdf.php
http://www.virustotal.com/jp/analisis/98137e7b8aed76d82961a2306a210b3286b19db6761602c02d2d222850fc7d74-1243141579 (6/40)
ldr.exe
http://www.virustotal.com/jp/analisis/786d4f87733bd0eee8ae5e48dcd341460695ae16517c566500be28f2e23b2237-1243149018 (9/39)
load.exe
http://www.virustotal.com/jp/analisis/94f3d2aa917f12675a0346d983eb5298b3d3fe8860dc990f6781ff7a253201cf-1243160273 (0/40)
load.php
http://www.virustotal.com/jp/analisis/1dbbfbcf8241a038041036fb2f8a2a1fa5b10955af07cb47f66fb05dc1e86a2d-1243141917 (14/40)
load2.exe
http://www.virustotal.com/jp/analisis/a57dde784c7f4d198f896e1dfa6a85ec0870ce8dc0281ba279287a5768aa3206-1243166783 (6/39)
load2.php
http://www.virustotal.com/jp/analisis/38b1d4bfe85ac8d75c9d4c71d7b71b9441be940383b713a26dd3a8201fef7284-1243152060 (6/39)
load3.php
http://www.virustotal.com/jp/analisis/108081ba86a1b3171b9d0b32a0c589c10f9f893ba36186fd722dee601a97e23a-1243155771 (1/40)
load4.php
http://www.virustotal.com/jp/analisis/689ab94db38ac18f30a99e51f6fa2d178f62ef39f449e0e3eab0c4e7d2557341-1243160866 (7/40)
loadhlp.exe
http://www.virustotal.com/jp/analisis/67913781f0a25285e739fdf3776f9ce13687efc93bc5f51f4ce104908fbf31d1-1243163703 (10/39)
m.dll
http://www.virustotal.com/jp/analisis/b28125bad6709a13e2836ced6d07ee5fd389dc0cb283123b34c5b7dfc821c6fa-1243170766 (11/38)
pdf.php
http://www.virustotal.com/jp/analisis/98137e7b8aed76d82961a2306a210b3286b19db6761602c02d2d222850fc7d74-1243141579 (6/40)
>>151 いんふぉめ〜しょん(3/3)
readme.pdf
http://www.virustotal.com/jp/analisis/bdd1fb75dc83411fe04e330de97d7cf678822f18605503503280e66904ebd289-1243152334 (13/40)
setup.exe
http://www.virustotal.com/jp/analisis/07a23759206b16439868bec3874183194ad14628ab8c82e1001ef19d2cebe908-1243151056 (5/40)
softwarefortubeview.45013.exe
http://www.virustotal.com/jp/analisis/f49bfc731fda767a3116d83788333fa8a5f33b78781d1982dbb88548f54e18ab-1243159424 (3/40)
spl.php
http://www.virustotal.com/jp/analisis/833d7bc90881273198e6c7165291c137e94f3aaa0d88ca60b05765212f986ba5-1243153872 (12/40)
spl2.php
http://www.virustotal.com/jp/analisis/d9d48f0fff9f6c70cff7158224476f6048b9aceb3db18ece9c8bf5b72d3e6242-1243161141 (12/40)
sta.exe
http://www.virustotal.com/jp/analisis/ac10cea27bd67b6087127f3eec69b0ab02484de65aa4d3fef750ef36fae7c6d7-1243171150 (17/39)
z.exe
http://www.virustotal.com/jp/analisis/5648941dc818661595e51ffccd8a60dfa2b812063f430fc1f277575ea7d7baab-1243165550 (9/40)
全部で27個でした。あと、>156訂正
load.exe
http://www.virustotal.com/jp/analisis/94f3d2aa917f12675a0346d983eb5298b3d3fe8860dc990f6781ff7a253201cf-1243160273 (0/40) → (10/40)
readme.pdf
http://www.virustotal.com/jp/analisis/bdd1fb75dc83411fe04e330de97d7cf678822f18605503503280e66904ebd289-1243152334 (13/40)
setup.exe
http://www.virustotal.com/jp/analisis/07a23759206b16439868bec3874183194ad14628ab8c82e1001ef19d2cebe908-1243151056 (5/40)
softwarefortubeview.45013.exe
http://www.virustotal.com/jp/analisis/f49bfc731fda767a3116d83788333fa8a5f33b78781d1982dbb88548f54e18ab-1243159424 (3/40)
spl.php
http://www.virustotal.com/jp/analisis/833d7bc90881273198e6c7165291c137e94f3aaa0d88ca60b05765212f986ba5-1243153872 (12/40)
spl2.php
http://www.virustotal.com/jp/analisis/d9d48f0fff9f6c70cff7158224476f6048b9aceb3db18ece9c8bf5b72d3e6242-1243161141 (12/40)
sta.exe
http://www.virustotal.com/jp/analisis/ac10cea27bd67b6087127f3eec69b0ab02484de65aa4d3fef750ef36fae7c6d7-1243171150 (17/39)
z.exe
http://www.virustotal.com/jp/analisis/5648941dc818661595e51ffccd8a60dfa2b812063f430fc1f277575ea7d7baab-1243165550 (9/40)
全部で27個でした。あと、>156訂正
load.exe
http://www.virustotal.com/jp/analisis/94f3d2aa917f12675a0346d983eb5298b3d3fe8860dc990f6781ff7a253201cf-1243160273 (0/40) → (10/40)
158 :名無しさん@お腹いっぱい。:2009/05/25(月) 00:30:17
>>151 乙&代理提出d
(参考)
カスペ 2009 23:11:00 13/27
カスペ 2010 ベータ 23:11:00 14/27 (setup.exeを追加検出)
Detected Trojan program Trojan.Win32.Pakes.nkq /1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uty /file2.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vxsv /install.exe
Detected Trojan program Trojan.Win32.Tdss.aeii /install3.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic /load.exe
Detected Trojan program Backdoor.Win32.Agent.agua /load.php
Detected virus Email-Worm.Win32.Joleee.bot /load2.exe
Detected Trojan program Trojan.Win32.Small.byt /load2.php
Detected Trojan program Trojan-Dropper.Win32.Agent.apvd /loadhelp.exe
Detected virus not-a-virus:FraudTool.Win32.SpywareGuard2008.ccl /m.dll
Detected Trojan program Trojan.JS.Pakes.bf /readme.pdf
Detected virus HEUR:Trojan.Win32.Generic /setup.exe
Detected Trojan program Trojan.Win32.Obfuscated.afvj /sta.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.urw /z.exe
(参考)
カスペ 2009 23:11:00 13/27
カスペ 2010 ベータ 23:11:00 14/27 (setup.exeを追加検出)
Detected Trojan program Trojan.Win32.Pakes.nkq /1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uty /file2.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vxsv /install.exe
Detected Trojan program Trojan.Win32.Tdss.aeii /install3.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic /load.exe
Detected Trojan program Backdoor.Win32.Agent.agua /load.php
Detected virus Email-Worm.Win32.Joleee.bot /load2.exe
Detected Trojan program Trojan.Win32.Small.byt /load2.php
Detected Trojan program Trojan-Dropper.Win32.Agent.apvd /loadhelp.exe
Detected virus not-a-virus:FraudTool.Win32.SpywareGuard2008.ccl /m.dll
Detected Trojan program Trojan.JS.Pakes.bf /readme.pdf
Detected virus HEUR:Trojan.Win32.Generic /setup.exe
Detected Trojan program Trojan.Win32.Obfuscated.afvj /sta.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.urw /z.exe
>>151
最後にAVIRA9とKasperskyの結果。今回は数が多いので検出数だけ。
AVIRA9 7.01.04.07 - 検出11,未検出16
Kaspersky 2009/05/24 23:11:00 - 検出13,未検出14
最後にAVIRA9とKasperskyの結果。今回は数が多いので検出数だけ。
AVIRA9 7.01.04.07 - 検出11,未検出16
Kaspersky 2009/05/24 23:11:00 - 検出13,未検出14
160 :名無しさん@お腹いっぱい。:2009/05/25(月) 00:56:11
お疲れ
>>122 メール来てないけど事後報告。
Kasperskyで検出するようになったの下記の3個のみ。
ActivatedSetup.exe - not-a-virus:FraudTool.Win32.VirusDoctor.h
uninstall.exe - not-a-virus:FraudTool.Win32.VirusDoctor.g
update.exe - not-a-virus:FraudTool.Win32.VirusDoctor.f
あとは白判定だったような感じです。では ノシ
Kasperskyで検出するようになったの下記の3個のみ。
ActivatedSetup.exe - not-a-virus:FraudTool.Win32.VirusDoctor.h
uninstall.exe - not-a-virus:FraudTool.Win32.VirusDoctor.g
update.exe - not-a-virus:FraudTool.Win32.VirusDoctor.f
あとは白判定だったような感じです。では ノシ
162 :こなた ◆KONATAzZoM :2009/05/25(月) 02:14:36
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01
>>151
[検出結果:11/27]
\e98m.pdf -> Exploit.PDF-JS.Gen [検疫可]
\EXP_pdf.pdf -> Exploit.PDF-JS.Gen [検疫可]
\pdf.php -> Exploit.PDF-JS.Gen [検疫可]
\spl.php -> Exploit.PDF-JS.Gen [検疫可]
\spl2.php -> Exploit.PDF-JS.Gen [検疫可]
\file.exe -> Gen:Trojan.Heur.GM.0000C14108 [検疫可]
\file2.exe ->Gen:Trojan.Heur.Hype.40708F8F8F [検疫可]
\loadhelp.exe -> Trojan-Spy:W32/Ambler.gen!B [検疫可]
\setup.exe -> Net-Worm:W32/Koobface.gen!A [検疫可]
\load2.exe -> Gen:Trojan.Heur.Hype.2014EBEBEB [検疫可]
\sta.exe -> Gen:Trojan.Heur.P3001FEEEEE [検疫可]
[残り未検出:16/27]
SASへの報告については>>111の回答待ち。
未報告案件:>>111 >>114 >>137 >>149 + 今回分
明日…というか今晩帰宅した際に回答があった場合は、未報告分をチェックの上、残件を報告します。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01
>>151
[検出結果:11/27]
\e98m.pdf -> Exploit.PDF-JS.Gen [検疫可]
\EXP_pdf.pdf -> Exploit.PDF-JS.Gen [検疫可]
\pdf.php -> Exploit.PDF-JS.Gen [検疫可]
\spl.php -> Exploit.PDF-JS.Gen [検疫可]
\spl2.php -> Exploit.PDF-JS.Gen [検疫可]
\file.exe -> Gen:Trojan.Heur.GM.0000C14108 [検疫可]
\file2.exe ->Gen:Trojan.Heur.Hype.40708F8F8F [検疫可]
\loadhelp.exe -> Trojan-Spy:W32/Ambler.gen!B [検疫可]
\setup.exe -> Net-Worm:W32/Koobface.gen!A [検疫可]
\load2.exe -> Gen:Trojan.Heur.Hype.2014EBEBEB [検疫可]
\sta.exe -> Gen:Trojan.Heur.P3001FEEEEE [検疫可]
[残り未検出:16/27]
SASへの報告については>>111の回答待ち。
未報告案件:>>111 >>114 >>137 >>149 + 今回分
明日…というか今晩帰宅した際に回答があった場合は、未報告分をチェックの上、残件を報告します。
163 :名無しさん@お腹いっぱい。:2009/05/25(月) 12:51:46
GENO5/8分 Symantec返答
filename: id3_20090508.swf
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: id10_20090508.exe
result: This file is detected as Infostealer.Daonol.
filename: id2_20090508.pdf
result: This file is detected as Bloodhound.PDF.7.
最新のRapidRelease定義を作成したので使ってくれ(以下、原文)
>Symantec Security Response has determined that the sample(s) that you provided
>are infected with a virus, worm, or Trojan. We have created RapidRelease defini
>tions that will detect this threat. Please follow the instruction at the end of
> this email message to download and install the latest RapidRelease definitions.
>Downloading and Installing RapidRelease Definition Instructions:
>1. Open your Web browser. If you are using a dial-up connection, connect to any
> Web site, such as: http://securityresponse.symantec.com/
>2. Click this link to the ftp site: ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe
> If it does not go to the site (this could take a minute or so if you have
> a slow connection), copy and paste the address into the address bar of your Web
> browser and then press Enter.
>3. When a download dialog box appears, save the file to the Windows desktop.
>4. Double-click the downloaded file and follow the prompts.
>
>Virus definition detail:
>
>Sequence Number Greater Than: 95887
>Defs Version: 110524u
>Extended Version: 05/24/2009 rev.21
filename: id3_20090508.swf
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: id10_20090508.exe
result: This file is detected as Infostealer.Daonol.
filename: id2_20090508.pdf
result: This file is detected as Bloodhound.PDF.7.
最新のRapidRelease定義を作成したので使ってくれ(以下、原文)
>Symantec Security Response has determined that the sample(s) that you provided
>are infected with a virus, worm, or Trojan. We have created RapidRelease defini
>tions that will detect this threat. Please follow the instruction at the end of
> this email message to download and install the latest RapidRelease definitions.
>Downloading and Installing RapidRelease Definition Instructions:
>1. Open your Web browser. If you are using a dial-up connection, connect to any
> Web site, such as: http://securityresponse.symantec.com/
>2. Click this link to the ftp site: ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe
> If it does not go to the site (this could take a minute or so if you have
> a slow connection), copy and paste the address into the address bar of your Web
> browser and then press Enter.
>3. When a download dialog box appears, save the file to the Windows desktop.
>4. Double-click the downloaded file and follow the prompts.
>
>Virus definition detail:
>
>Sequence Number Greater Than: 95887
>Defs Version: 110524u
>Extended Version: 05/24/2009 rev.21
164 :名無しさん@お腹いっぱい。:2009/05/25(月) 12:53:28
私はSymantec使ってないけど、最新定義使いたい人の目に止まるように上げておきました。
>>151
カスペ14:22:00 検出ベース&返答
13+事後検出12=25/27, 白1,破損1でクローズ
e98m.pdf - Exploit.Win32.Pidief.awp
EXP_pdf.pdf - Exploit.Win32.Pidief.awf
load2.exe - Email-Worm.Win32.Joleee.bot
file.exe - Worm.Win32.AutoRun.ajoi
Install_11-1.exe - Trojan program Trojan.Win32.FraudPack.oiu
ldr.exe - Trojan-Spy.Win32.Zbot.uwl
load.exe - Trojan-Downloader.Win32.Small.akvu (HEUR:Trojan-Downloader.Win32.Generic)
load3.php - Trojan.Win32.Inject.abau
load4.php - Trojan-Dropper.Win32.Agent.aqph
softwarefortubeview.45013.exe - Trojan-Downloader.Win32.Agent.bzxx
setup.exe - Net-Worm.Win32.Koobface.kk (←HEUR:Trojan.Win32.Generic)
spl.php - Exploit.Win32.Pidief.awo
spl2.php - Exploit.Win32.Pidief.awn
access.exe - No malicious code was found in this file.
install2.exe - This file is corrupted.
カスペ14:22:00 検出ベース&返答
13+事後検出12=25/27, 白1,破損1でクローズ
e98m.pdf - Exploit.Win32.Pidief.awp
EXP_pdf.pdf - Exploit.Win32.Pidief.awf
load2.exe - Email-Worm.Win32.Joleee.bot
file.exe - Worm.Win32.AutoRun.ajoi
Install_11-1.exe - Trojan program Trojan.Win32.FraudPack.oiu
ldr.exe - Trojan-Spy.Win32.Zbot.uwl
load.exe - Trojan-Downloader.Win32.Small.akvu (HEUR:Trojan-Downloader.Win32.Generic)
load3.php - Trojan.Win32.Inject.abau
load4.php - Trojan-Dropper.Win32.Agent.aqph
softwarefortubeview.45013.exe - Trojan-Downloader.Win32.Agent.bzxx
setup.exe - Net-Worm.Win32.Koobface.kk (←HEUR:Trojan.Win32.Generic)
spl.php - Exploit.Win32.Pidief.awo
spl2.php - Exploit.Win32.Pidief.awn
access.exe - No malicious code was found in this file.
install2.exe - This file is corrupted.
166 :名無しさん@お腹いっぱい。:2009/05/25(月) 18:07:00
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=348
Infected
無駄にでかいです。orz
どこぞの鑑定スレに古いマルウェアアドレスが出る→何の気なしに、ドメイン名の一部とexeをキーワードに検索
→文字化けしてたが、どこかの報告リストを目撃→うかつにも全部落としてみる→404とかもあったけどファイル多数
無害なものも幾つか入っちゃってるかもしれませんので、自分の使用中のベンダーで検知・削除されないものに
限定して(VTに投げて0/40なものは外すとかして)提出してください。
古いものも混じっているので、全部提出する必要はないと思います。
AntiVirとAntiyLabs宛にはFTP経由で提出済み(AntiVirはすり抜け分のみ8.7MB程度)
Infected
無駄にでかいです。orz
どこぞの鑑定スレに古いマルウェアアドレスが出る→何の気なしに、ドメイン名の一部とexeをキーワードに検索
→文字化けしてたが、どこかの報告リストを目撃→うかつにも全部落としてみる→404とかもあったけどファイル多数
無害なものも幾つか入っちゃってるかもしれませんので、自分の使用中のベンダーで検知・削除されないものに
限定して(VTに投げて0/40なものは外すとかして)提出してください。
古いものも混じっているので、全部提出する必要はないと思います。
AntiVirとAntiyLabs宛にはFTP経由で提出済み(AntiVirはすり抜け分のみ8.7MB程度)
167 :名無しさん@お腹いっぱい。:2009/05/25(月) 18:08:13
あ、パスは infected の間違い。頭大文字じゃないです。
168 :名無しさん@お腹いっぱい。:2009/05/25(月) 18:43:37
>>166-167乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
169 :名無しさん@お腹いっぱい。:2009/05/25(月) 19:51:47
>>166
未検出分をMcAfeeに提出させて頂きました。
未検出分をMcAfeeに提出させて頂きました。
170 :名無しさん@お腹いっぱい。:2009/05/25(月) 21:02:01
Rising 2009 21.40.02 (21.31.02.00)
>>96
bot.exe: Backdoor.Win32.Ntos.cc
4+1=5/8
>>131
6244.exe>>upx_c>>3e9>>upx_c: AdWare.Win32.Undef.evr
1/8
>>166
172(+1)/197
>>96
bot.exe: Backdoor.Win32.Ntos.cc
4+1=5/8
>>131
6244.exe>>upx_c>>3e9>>upx_c: AdWare.Win32.Undef.evr
1/8
>>166
172(+1)/197
171 :名無しさん@お腹いっぱい。:2009/05/25(月) 21:56:37
>>165 乙です。
Kaspersky データベース 2009/05/25 21:02:00で>165の通り検出できました。
>>161
同上のデータベースで、1個追加。
Work.exe - Trojan.Win32.Qhost.loa
後は未検出のままです。>161の分は返事が来ないから、白黒がはっきりしない...
Kaspersky データベース 2009/05/25 21:02:00で>165の通り検出できました。
>>161
同上のデータベースで、1個追加。
Work.exe - Trojan.Win32.Qhost.loa
後は未検出のままです。>161の分は返事が来ないから、白黒がはっきりしない...
>>123 AVIRA未検出分返答
ActivatedReleaseXP.exe - 黒(名称未定)
ActivatedSetup.exe - TR/FakeVimes.A.23
ActivatedSetupReleaseXP.exe - 白
ReleaseXP.exe - TR/Fakealert.ZB
SetupRelease.exe - 白
SetupReleaseXP.exe - DR/FakeAlert.RW
uninstall.exe - TR/FakeVimes.A.21
update.exe - TR/FakeVimes.A.22
以上、黒=事前1+事後6=7,白=2でclose.
ActivatedReleaseXP.exe - 黒(名称未定)
ActivatedSetup.exe - TR/FakeVimes.A.23
ActivatedSetupReleaseXP.exe - 白
ReleaseXP.exe - TR/Fakealert.ZB
SetupRelease.exe - 白
SetupReleaseXP.exe - DR/FakeAlert.RW
uninstall.exe - TR/FakeVimes.A.21
update.exe - TR/FakeVimes.A.22
以上、黒=事前1+事後6=7,白=2でclose.
>>159
AVIRA未検出分16個のうち返答があったもの
file2.exe - TR/Spy.ZBot.uty
Install_11-1.exe - TR/FraudPack.oiu
install2.exe - SPR/Tool.Obfuscator.EW.2
install3.exe - TR/TDss.aeii
load2.exe - Worm/Joleee.bot
load2.php - TR/Small.byt
load3.php - TR/Inject.abau
loadhlp.exe - TR/Drop.Agent.apvd
m.dll - 黒(名称未定)
setup.exe - 白
softwarefortubeview.45013.exe - TR/Dldr.Agent.bzxx
z.exe - TR/Spy.ZBot.urw
12個判断終わり。黒=11,白=1。 4個まだ解析中・・・めずらしくAVIRAが判断に迷ってる。(後から出した方が先に返答来ている)
しかも更にめずらしく、setup.exeがKaspersky黒でAVIRA白。逆は多いけど、これは初めての気がする。( ゚д゚)
AVIRA未検出分16個のうち返答があったもの
file2.exe - TR/Spy.ZBot.uty
Install_11-1.exe - TR/FraudPack.oiu
install2.exe - SPR/Tool.Obfuscator.EW.2
install3.exe - TR/TDss.aeii
load2.exe - Worm/Joleee.bot
load2.php - TR/Small.byt
load3.php - TR/Inject.abau
loadhlp.exe - TR/Drop.Agent.apvd
m.dll - 黒(名称未定)
setup.exe - 白
softwarefortubeview.45013.exe - TR/Dldr.Agent.bzxx
z.exe - TR/Spy.ZBot.urw
12個判断終わり。黒=11,白=1。 4個まだ解析中・・・めずらしくAVIRAが判断に迷ってる。(後から出した方が先に返答来ている)
しかも更にめずらしく、setup.exeがKaspersky黒でAVIRA白。逆は多いけど、これは初めての気がする。( ゚д゚)
>>141 また書き忘れた...
Install_2019.exe - TR/Dldr.FraudLoad.elo
softwarefortubeview.45027-2.exe - TR/Dldr.FraudLoad.Elf.7
flash.swf -EXP/SWF.16723
HEURは隔離フォルダから送ったけど、これだとWeb提出と違って結果がみれないから状況不明。
どっちにしても、HEUR込みにすれば>139,141はAVIRAも全黒。
ただいま>166にAVIRA トライ中。
Install_2019.exe - TR/Dldr.FraudLoad.elo
softwarefortubeview.45027-2.exe - TR/Dldr.FraudLoad.Elf.7
flash.swf -EXP/SWF.16723
HEURは隔離フォルダから送ったけど、これだとWeb提出と違って結果がみれないから状況不明。
どっちにしても、HEUR込みにすれば>139,141はAVIRAも全黒。
ただいま>166にAVIRA トライ中。
176 :こなた ◆KONATAzZoM :2009/05/25(月) 23:18:20
お疲れ様です。
>>111で登録したときに書いた文句についての回答がありました。
>Hello,
>
>The ISTP product is a beta product and therefore may not be on the same level as our
>released products, as a result there may still be gaps in the on-demand scanning
>detection coverage. As the beta process continues we will take steps to ensure our
>detection coverage is as complete or exceeds coverage in our released products.
>Feedback such as yours is vital to this effort.
>
>We will add detection for these samples to ISTP databases as soon as possible.
>
>Thanks for your help!
>
超意訳:
>ISTPはベータ段階だから製品のより劣ってるかもしれないし、検出結果にギャップがあるのも否定はしない。
>このベータ段階を経て、既存の製品よりいいものにしようと私たちは手を打ってます。
>この努力に君らからのフィードバックを必要としています。
>今回提供してくれた検体の定義については、近々ISTPのデータベースに追加します。
ということなので、今日からまたちまちまとSASへの報告作業をはじめます。
>>111で登録したときに書いた文句についての回答がありました。
>Hello,
>
>The ISTP product is a beta product and therefore may not be on the same level as our
>released products, as a result there may still be gaps in the on-demand scanning
>detection coverage. As the beta process continues we will take steps to ensure our
>detection coverage is as complete or exceeds coverage in our released products.
>Feedback such as yours is vital to this effort.
>
>We will add detection for these samples to ISTP databases as soon as possible.
>
>Thanks for your help!
>
超意訳:
>ISTPはベータ段階だから製品のより劣ってるかもしれないし、検出結果にギャップがあるのも否定はしない。
>このベータ段階を経て、既存の製品よりいいものにしようと私たちは手を打ってます。
>この努力に君らからのフィードバックを必要としています。
>今回提供してくれた検体の定義については、近々ISTPのデータベースに追加します。
ということなので、今日からまたちまちまとSASへの報告作業をはじめます。
>>166 乙です。Kasperskyは>171さんがやってくれていますので、AVIRAの方です。
AVIRA9 7.01.04.13 検出183,未検出14でした。(HEUR検出は無し)
ちなみに、未検出は
32.exe
a8.exe
c.js
go.exe
maya4.0.exe
qvodsetupplus.exe
read.php
setup(1).exe
show_ads.js
u89(1).exe
u89.exe
xx(1).htm
xx(2).htm
xxxdizhi.exe です。
順次AVIRAに提出しますがu89(1).exeとu89.exeは同じものなので、提出は13個になります。
AVIRA9 7.01.04.13 検出183,未検出14でした。(HEUR検出は無し)
ちなみに、未検出は
32.exe
a8.exe
c.js
go.exe
maya4.0.exe
qvodsetupplus.exe
read.php
setup(1).exe
show_ads.js
u89(1).exe
u89.exe
xx(1).htm
xx(2).htm
xxxdizhi.exe です。
順次AVIRAに提出しますがu89(1).exeとu89.exeは同じものなので、提出は13個になります。
>>177
Web提出時に既出で判定済み
黒 a8.exe - SPR/Hacktool.28501
白 maya4.0.exe,u89.exe,xxxdizhi.exe の3個
解析中
32.exe,c.js,go.exe,qvodsetupplus.exe,read.php,setup(1).exe,show_ads.js の7個
中身を見て、VTに投げた後、提出しなかったもの
xx(1).htm,xx(2).htm の2個 (VTでも 0/40)
AVIRA先生は終業時間過ぎてますので、報告は明日でしょう。では ノシ
Web提出時に既出で判定済み
黒 a8.exe - SPR/Hacktool.28501
白 maya4.0.exe,u89.exe,xxxdizhi.exe の3個
解析中
32.exe,c.js,go.exe,qvodsetupplus.exe,read.php,setup(1).exe,show_ads.js の7個
中身を見て、VTに投げた後、提出しなかったもの
xx(1).htm,xx(2).htm の2個 (VTでも 0/40)
AVIRA先生は終業時間過ぎてますので、報告は明日でしょう。では ノシ
>>174 訂正
× setup.exe - 白 → 黒判定。
同じ日に出した他のファイルと間違えた。orz >151,159,174のsetup.exeは、AVIRAも黒判定。
※ 白だったのは、VTに投げてはっきりしなかった分を、AVIRAに試しに出してみた分。
× setup.exe - 白 → 黒判定。
同じ日に出した他のファイルと間違えた。orz >151,159,174のsetup.exeは、AVIRAも黒判定。
※ 白だったのは、VTに投げてはっきりしなかった分を、AVIRAに試しに出してみた分。
180 :名無しさん@お腹いっぱい。:2009/05/26(火) 00:44:22
Rising 2009 21.40.04 (21.31.04.00)
前スレ>822
8\antivirus.exe>>pc.exe: AdWare.Win32.FakeAV.cp
5(+1)+1=6(+1)/12
>>131
bb021908.exe>>sopidkc.exe: Backdoor.Win32.Undef.dlw
bb021908.exe>>tpsaxyd.exe: Backdoor.Win32.Delf.ebq
1+1=2/8
>>166
追加検出1
172(+1)+1=173(+1)/197
前スレ>822
8\antivirus.exe>>pc.exe: AdWare.Win32.FakeAV.cp
5(+1)+1=6(+1)/12
>>131
bb021908.exe>>sopidkc.exe: Backdoor.Win32.Undef.dlw
bb021908.exe>>tpsaxyd.exe: Backdoor.Win32.Delf.ebq
1+1=2/8
>>166
追加検出1
172(+1)+1=173(+1)/197
181 :こなた ◆KONATAzZoM :2009/05/26(火) 00:46:58
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-25_11
* SpyWare: 2009-05-25_11
>>113 (0344)
[検出結果:10/10]
\ActivatedSetup.exe -> Trojan-Downloader:W32/FraudLoad.EJ [検疫可]
\uninstall.exe -> Trojan-Downloader:W32/FraudLoad.EK [検疫可]
\update.exe -> Trojan-Downloader:W32/FraudLoad.EL [検疫可]
\Work.exe -> Gen:Trojan.Heur.90D02FAAAA [検疫可]
\SetupRelease.exe -> Gen:Trojan.Heur.Hype.0A5AA5A5A5 [検疫不可]
[RiskWare]
\ActivatedReleaseXP.exe -> Riskware:W32/Prestune.A
\PrestoTuneUp.exe -> Riskware:W32/Prestune.A
\ReleaseXP.exe -> Rogue:W32/PrestoTuneUp.D
\ActivatedSetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.C
\SetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.B
>>131 (0345)
>>137から変化なし。未検出分をSASへ登録しました。
>>139 (0346)
>>149から変化なし。未検出分をSASへ登録しました。
>>151 (0347)
>>162から変化なし。未検出分をSASへ登録しました。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-25_11
* SpyWare: 2009-05-25_11
>>113 (0344)
[検出結果:10/10]
\ActivatedSetup.exe -> Trojan-Downloader:W32/FraudLoad.EJ [検疫可]
\uninstall.exe -> Trojan-Downloader:W32/FraudLoad.EK [検疫可]
\update.exe -> Trojan-Downloader:W32/FraudLoad.EL [検疫可]
\Work.exe -> Gen:Trojan.Heur.90D02FAAAA [検疫可]
\SetupRelease.exe -> Gen:Trojan.Heur.Hype.0A5AA5A5A5 [検疫不可]
[RiskWare]
\ActivatedReleaseXP.exe -> Riskware:W32/Prestune.A
\PrestoTuneUp.exe -> Riskware:W32/Prestune.A
\ReleaseXP.exe -> Rogue:W32/PrestoTuneUp.D
\ActivatedSetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.C
\SetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.B
>>131 (0345)
>>137から変化なし。未検出分をSASへ登録しました。
>>139 (0346)
>>149から変化なし。未検出分をSASへ登録しました。
>>151 (0347)
>>162から変化なし。未検出分をSASへ登録しました。
>>166
カスペからの返事
180+事後検出6=186/197 、白5, 回答待ち6
白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち:32.exe, qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm
寝る
カスペからの返事
180+事後検出6=186/197 、白5, 回答待ち6
白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち:32.exe, qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm
寝る
183 : ◆W32/Vael.o :2009/05/26(火) 18:25:53
184 :名無しさん@お腹いっぱい。:2009/05/26(火) 18:48:06
>>183
AntiVirとAntinyLabsにFTP経由で提出しました。他のマイナー所は後で〜
AntiVirとAntinyLabsにFTP経由で提出しました。他のマイナー所は後で〜
185 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:10:40
おっと、肝心の報告を忘れてました。
AntiVir 8/12検出
AntiVir 8/12検出
186 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:13:55
>>183乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
0 ttp://www.virustotal.com/jp/analisis/152ae7a6ad52c5ae89daa68639af8c317dee5f5e02e72663b260316f38456e50-1243332318
1 ttp://www.virustotal.com/jp/analisis/23107ee1e816782322116904a052bd3720e6edbb0a84bd61b4e69d93e51a0a9b-1243332325
2 ttp://www.virustotal.com/jp/analisis/84bc296b1cb58d74599cf871585cf986551632d6b11e0aa5aea46d301904b486-1243332350
3 ttp://www.virustotal.com/jp/analisis/108081ba86a1b3171b9d0b32a0c589c10f9f893ba36186fd722dee601a97e23a-1243332342
4 ttp://www.virustotal.com/jp/analisis/284877bb95e50d17d5e48d387fd8bda629ccebfe62cc7a40aa329e4d306ec01c-1243332353
5 ttp://www.virustotal.com/jp/analisis/906d701130b04d32036240692fc34446087503c15849915ec3fc281fd6ffb997-1243332365
6 ttp://www.virustotal.com/jp/analisis/7dece7c341d5164d8038cad5bb1677591a117ea70be8c329fe9e56a000574881-1243332398
7 ttp://www.virustotal.com/jp/analisis/508a1d294064188dae66217ca73c6b88d2b0a89b2f4539b380b95187ae42a70d-1243332408
8 ttp://www.virustotal.com/jp/analisis/52d981837dc8a415826eec8326cc2eb0ff18a9a8cac99bb8b2432963dc59d479-1243332418
9 ttp://www.virustotal.com/jp/analisis/2e6fe7941812a6574dbd1da1d8952389ede8b2ba89ac93603a58f32152d7d64d-1243332426
a ttp://www.virustotal.com/jp/analisis/883b074403f6ff2f695d0adb867c2c252cb8f1b65bc1c03238fc29e9df58ceba-1243332438
b ttp://www.virustotal.com/jp/analisis/f7c1a7033860feb93c0b9abd047c381236b1d724f9500fe9e3dfa175ee010cbf-1243332452
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
0 ttp://www.virustotal.com/jp/analisis/152ae7a6ad52c5ae89daa68639af8c317dee5f5e02e72663b260316f38456e50-1243332318
1 ttp://www.virustotal.com/jp/analisis/23107ee1e816782322116904a052bd3720e6edbb0a84bd61b4e69d93e51a0a9b-1243332325
2 ttp://www.virustotal.com/jp/analisis/84bc296b1cb58d74599cf871585cf986551632d6b11e0aa5aea46d301904b486-1243332350
3 ttp://www.virustotal.com/jp/analisis/108081ba86a1b3171b9d0b32a0c589c10f9f893ba36186fd722dee601a97e23a-1243332342
4 ttp://www.virustotal.com/jp/analisis/284877bb95e50d17d5e48d387fd8bda629ccebfe62cc7a40aa329e4d306ec01c-1243332353
5 ttp://www.virustotal.com/jp/analisis/906d701130b04d32036240692fc34446087503c15849915ec3fc281fd6ffb997-1243332365
6 ttp://www.virustotal.com/jp/analisis/7dece7c341d5164d8038cad5bb1677591a117ea70be8c329fe9e56a000574881-1243332398
7 ttp://www.virustotal.com/jp/analisis/508a1d294064188dae66217ca73c6b88d2b0a89b2f4539b380b95187ae42a70d-1243332408
8 ttp://www.virustotal.com/jp/analisis/52d981837dc8a415826eec8326cc2eb0ff18a9a8cac99bb8b2432963dc59d479-1243332418
9 ttp://www.virustotal.com/jp/analisis/2e6fe7941812a6574dbd1da1d8952389ede8b2ba89ac93603a58f32152d7d64d-1243332426
a ttp://www.virustotal.com/jp/analisis/883b074403f6ff2f695d0adb867c2c252cb8f1b65bc1c03238fc29e9df58ceba-1243332438
b ttp://www.virustotal.com/jp/analisis/f7c1a7033860feb93c0b9abd047c381236b1d724f9500fe9e3dfa175ee010cbf-1243332452
187 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:23:37
>>183
乙
カスペ2009 17:25:00
9/12
検体提出します。
Detected Trojan program Trojan.Win32.Agent2.jma /0/cool.jpg
Detected Trojan program Trojan.Win32.Agent2.jmq /2/plugin.exe
Detected Trojan program Trojan.Win32.Inject.abau /3/file.exe.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.cajp /4/dfff.prod.exe
Detected Trojan program Trojan.Win32.Agent.chrn /6/setup.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uty /7/file.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uyu /8/bot.exe
Detected virus Email-Worm.Win32.Joleee.bpc /9/load.exe
Detected Trojan program Trojan.Win32.BHO.tbl /b/malay.exe
>>166
180+事後検出7=187/197 、白5, 回答待ち5
白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち:qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm
乙
カスペ2009 17:25:00
9/12
検体提出します。
Detected Trojan program Trojan.Win32.Agent2.jma /0/cool.jpg
Detected Trojan program Trojan.Win32.Agent2.jmq /2/plugin.exe
Detected Trojan program Trojan.Win32.Inject.abau /3/file.exe.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.cajp /4/dfff.prod.exe
Detected Trojan program Trojan.Win32.Agent.chrn /6/setup.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uty /7/file.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uyu /8/bot.exe
Detected virus Email-Worm.Win32.Joleee.bpc /9/load.exe
Detected Trojan program Trojan.Win32.BHO.tbl /b/malay.exe
>>166
180+事後検出7=187/197 、白5, 回答待ち5
白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち:qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm
188 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:27:07
Norman サイト再編か、提出先がページなくなっている。
189 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:35:02
Rising 2009 21.40.12 (21.31.12.00)
>>61
cry.exe: Trojan.Spy.Win32.VB.alv
dia.exe: Worm.Win32.DownLoad.qh
2/4
>>139
install2.exe: Trojan.Win32.FakeAV.nz
1/8
>>151
setup.exe>>upx_c: Worm.Win32.Koobface.w
3+1=4/27
>>166
追加検出1
173(+1)+1=174(+1)/197
>>183
スルー
検体提出完了
>>61
cry.exe: Trojan.Spy.Win32.VB.alv
dia.exe: Worm.Win32.DownLoad.qh
2/4
>>139
install2.exe: Trojan.Win32.FakeAV.nz
1/8
>>151
setup.exe>>upx_c: Worm.Win32.Koobface.w
3+1=4/27
>>166
追加検出1
173(+1)+1=174(+1)/197
>>183
スルー
検体提出完了
190 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:40:31
191 :名無しさん@お腹いっぱい。:2009/05/26(火) 20:51:20
>>188
変更後のアドレス…Wiki直すか。
Norman(未圧縮1ファイルづつしか投稿できない)
http://www.norman.com/security_center/security_tools/submit_file/en
(↓誤検知報告:まとめて報告可能)
http://www.norman.com/support/fp/en
変更後のアドレス…Wiki直すか。
Norman(未圧縮1ファイルづつしか投稿できない)
http://www.norman.com/security_center/security_tools/submit_file/en
(↓誤検知報告:まとめて報告可能)
http://www.norman.com/support/fp/en
192 :こなた ◆KONATAzZoM :2009/05/26(火) 20:54:05
お疲れ様です。
>>181で登録した分の回答がありました。
>>131
回答:2009.05.26 07:54
補足:2009.05.26 11:34
・The file Sudoplayer.exe need not be detected.
>>139
回答:2009.05.26 16:26
>>151
回答:2009.05.26 19:28
補足回答を除く全ての未検出分について次回更新にて対応とのことでした。
>>181で登録した分の回答がありました。
>>131
回答:2009.05.26 07:54
補足:2009.05.26 11:34
・The file Sudoplayer.exe need not be detected.
>>139
回答:2009.05.26 16:26
>>151
回答:2009.05.26 19:28
補足回答を除く全ての未検出分について次回更新にて対応とのことでした。
193 :名無しさん@お腹いっぱい。:2009/05/26(火) 21:00:48
194 :こなた ◆KONATAzZoM :2009/05/26(火) 21:05:10
195 :名無しさん@お腹いっぱい。:2009/05/26(火) 21:06:40
>>194
わかりました、ありがとう
わかりました、ありがとう
196 :こなた ◆KONATAzZoM :2009/05/26(火) 21:35:09
>>192の検出結果報告
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-26_07
* SpyWare:2009-05-26_07
[検出結果:4/6 + 白判定:1 = 5/6]
0345\softwarefortubeview.45027.exe -> Trojan-Downloader:W32/FraudLoad.EM [検疫可]
0345\6244.exe -> Trojan-Dropper:W32/BHO.exe -> [検疫可]
0345\load.php Trojan:W32/Inject.EY [検疫可]
0345\bb021908.exe -> Trojan:W32/VB.LUX [検疫可]
0345\SudoPlanet_setup.exe -> 白判定
[検出結果:4/4]
0346\install2.exe -> Trojan:W32/Winwebsec.J [検疫可]
0346\softwarefortubeview.45027-2.exe -> Trojan-Downloader:W32/FraudLoad.EM [検疫可]
0346\Install_2019.exe -> Rogue:W32/XPAntivirus.GPZ [検疫可]
0346\ws.exe -> Trojan:W32/Winwebsec. [検疫可]
[検出結果:5/16]
0347\install.exe -> Trojan:W32/Winwebsec. [検疫可]
0347\load.exe -> Trojan-Downloader:W32/Agent.KOV [検疫可]
0347\load4.php -> Trojan-Dropper:W32/Delf.DRO [検疫可]
0347\readme.pdf -> Exploit:JS/Pidief.EN [検疫可]
0347\z.exe -> Trojan:W32/Zbot.OTU [検疫可]
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-26_07
* SpyWare:2009-05-26_07
[検出結果:4/6 + 白判定:1 = 5/6]
0345\softwarefortubeview.45027.exe -> Trojan-Downloader:W32/FraudLoad.EM [検疫可]
0345\6244.exe -> Trojan-Dropper:W32/BHO.exe -> [検疫可]
0345\load.php Trojan:W32/Inject.EY [検疫可]
0345\bb021908.exe -> Trojan:W32/VB.LUX [検疫可]
0345\SudoPlanet_setup.exe -> 白判定
[検出結果:4/4]
0346\install2.exe -> Trojan:W32/Winwebsec.J [検疫可]
0346\softwarefortubeview.45027-2.exe -> Trojan-Downloader:W32/FraudLoad.EM [検疫可]
0346\Install_2019.exe -> Rogue:W32/XPAntivirus.GPZ [検疫可]
0346\ws.exe -> Trojan:W32/Winwebsec. [検疫可]
[検出結果:5/16]
0347\install.exe -> Trojan:W32/Winwebsec. [検疫可]
0347\load.exe -> Trojan-Downloader:W32/Agent.KOV [検疫可]
0347\load4.php -> Trojan-Dropper:W32/Delf.DRO [検疫可]
0347\readme.pdf -> Exploit:JS/Pidief.EN [検疫可]
0347\z.exe -> Trojan:W32/Zbot.OTU [検疫可]
カスペからの返事
>>183
9/12, 白2 (1, 5), 回答待ち (a)
1\rensuz.exe
5\Setup.exe
No malicious code was found in this file.
リンク
>>1 テンプレ変更(Norman)
>>191
>>183
9/12, 白2 (1, 5), 回答待ち (a)
1\rensuz.exe
5\Setup.exe
No malicious code was found in this file.
リンク
>>1 テンプレ変更(Norman)
>>191
198 :名無しさん@お腹いっぱい。:2009/05/27(水) 02:11:02
F-Secure Internet Security 2009
パターン ファイルのバージョン:
・ウィルス: 2009-05-26_07
・スパイウェア: 2009-05-26_03
スキャン エンジン:
・F-Secure AVP: 7.00.171, 2009-05-22
・F-Secure Hydra: 3.08.9080, 2009-05-26
>>94
antivirus.exe : FraudTool.Win32.PrivacyCenter
>>113
2009-05-23の時点で全て検出せず。
10/10
ActivatedReleaseXP.exe : Riskware:W32/Prestune.A
ActivatedSetup.exe : Trojan-Downloader:W32/FraudLoad.EJ
ActivatedSetupReleaseXP.exe : Rogue:W32/PrestoTuneUp.C
PrestoTuneUp.exe : Riskware:W32/Prestune.A
ReleaseXP.exe : Rogue:W32/PrestoTuneUp.D
SetupRelease.exe : Rogue:W32/PrestoTuneUp.D
SetupReleaseXP.exe : Rogue:W32/PrestoTuneUp.B
uninstall.exe : Trojan-Downloader:W32/FraudLoad.EK
update.exe : Trojan-Downloader:W32/FraudLoad.EL
Work.exe : Trojan:W32/Qhost.VK
パターン ファイルのバージョン:
・ウィルス: 2009-05-26_07
・スパイウェア: 2009-05-26_03
スキャン エンジン:
・F-Secure AVP: 7.00.171, 2009-05-22
・F-Secure Hydra: 3.08.9080, 2009-05-26
>>94
antivirus.exe : FraudTool.Win32.PrivacyCenter
>>113
2009-05-23の時点で全て検出せず。
10/10
ActivatedReleaseXP.exe : Riskware:W32/Prestune.A
ActivatedSetup.exe : Trojan-Downloader:W32/FraudLoad.EJ
ActivatedSetupReleaseXP.exe : Rogue:W32/PrestoTuneUp.C
PrestoTuneUp.exe : Riskware:W32/Prestune.A
ReleaseXP.exe : Rogue:W32/PrestoTuneUp.D
SetupRelease.exe : Rogue:W32/PrestoTuneUp.D
SetupReleaseXP.exe : Rogue:W32/PrestoTuneUp.B
uninstall.exe : Trojan-Downloader:W32/FraudLoad.EK
update.exe : Trojan-Downloader:W32/FraudLoad.EL
Work.exe : Trojan:W32/Qhost.VK
199 :名無しさん@お腹いっぱい。:2009/05/27(水) 02:28:54
>>131
FIS-2009 定義>>198
6/8
Trojan-Spy:W32/Ambler.gen!B : 1.exe
Trojan-Dropper:W32/BHO.EXE : 6244.exe
Trojan:W32/VB.LUX : bb021908.exe
Trojan:W32/Inject.EY : load.php
Trojan-Downloader:W32/FraudLoad.EM : softwarefortubeview.45027.exe
Trojan-Spy.Win32.Zbot.gen : ya.exe
FIS-2009 定義>>198
6/8
Trojan-Spy:W32/Ambler.gen!B : 1.exe
Trojan-Dropper:W32/BHO.EXE : 6244.exe
Trojan:W32/VB.LUX : bb021908.exe
Trojan:W32/Inject.EY : load.php
Trojan-Downloader:W32/FraudLoad.EM : softwarefortubeview.45027.exe
Trojan-Spy.Win32.Zbot.gen : ya.exe
200 :名無しさん@お腹いっぱい。:2009/05/27(水) 02:37:42
>>139
FIS-2009 定義>>198
6/8
flash.swf : Trojan-Downloader:W32/Swif.D
install2.exe : Trojan:W32/Winwebsec.J
Install_2019.exe : Rogue:W32/XPAntivirus.GPZ
softwarefortubeview.45027-2.exe : Trojan-Downloader:W32/FraudLoad.EM
two.pdf : Exploit.Win32.Pidief.alc
ws.pdf : Trojan:W32/Winwebsec.I
未検出
install.exe
pdf.pdf
FIS-2009 定義>>198
6/8
flash.swf : Trojan-Downloader:W32/Swif.D
install2.exe : Trojan:W32/Winwebsec.J
Install_2019.exe : Rogue:W32/XPAntivirus.GPZ
softwarefortubeview.45027-2.exe : Trojan-Downloader:W32/FraudLoad.EM
two.pdf : Exploit.Win32.Pidief.alc
ws.pdf : Trojan:W32/Winwebsec.I
未検出
install.exe
pdf.pdf
201 :名無しさん@お腹いっぱい。:2009/05/27(水) 02:48:43
>>151
FIS-2009 定義>>198
7/27
install.exe : Trojan:W32/Winwebsec.I
load.exe : Trojan-Downloader:W32/Agent.KOV
load4.php : Trojan-Dropper:W32/Delf.DRO
loadhlp.exe : Trojan-Spy:W32/Ambler.gen!B
readme.pdf : Exploit:JS/Pidief.EN
setup.exe : Net-Worm:W32/Koobface.gen!A
z.exe : Trojan:W32/Zbot.OTU
その他未検出
FIS-2009 定義>>198
7/27
install.exe : Trojan:W32/Winwebsec.I
load.exe : Trojan-Downloader:W32/Agent.KOV
load4.php : Trojan-Dropper:W32/Delf.DRO
loadhlp.exe : Trojan-Spy:W32/Ambler.gen!B
readme.pdf : Exploit:JS/Pidief.EN
setup.exe : Net-Worm:W32/Koobface.gen!A
z.exe : Trojan:W32/Zbot.OTU
その他未検出
202 :名無しさん@お腹いっぱい。:2009/05/27(水) 03:06:01
203 :名無しさん@お腹いっぱい。:2009/05/27(水) 03:25:28
>>202追記。49のファイルが未検出
>>189
FIS-2009 定義>>198z
3/12
\0\coo.jpg : Trojan.Win32.Agent2.jma
\2\plugin.exe : Trojan.Win32.Agent2.jmq
\6\setup.exe : Trojan.Win32.Agent.chrn
未検出
\1\rensuz.exe
\3\file.exe.exe
\4\dfff.prod.exe
\7\file.exe
\8\bot.exe
\9\load.exe
\a\install1.exe
\b\malay.exe
>>198-203未検出分、F-Secure SAS に提出済み
>>189
FIS-2009 定義>>198z
3/12
\0\coo.jpg : Trojan.Win32.Agent2.jma
\2\plugin.exe : Trojan.Win32.Agent2.jmq
\6\setup.exe : Trojan.Win32.Agent.chrn
未検出
\1\rensuz.exe
\3\file.exe.exe
\4\dfff.prod.exe
\7\file.exe
\8\bot.exe
\9\load.exe
\a\install1.exe
\b\malay.exe
>>198-203未検出分、F-Secure SAS に提出済み
204 :名無しさん@お腹いっぱい。:2009/05/27(水) 12:04:58 BE:927738274-2BP(0)
http://anchorage.2ch.net/test/read.cgi/occult/1241974505/774 【鑑定済み】
MD5: 6D93B0DF6A4B8E1763D1E542BC91B81F 102400bytes
HDD をもりもり消していくやつの模様 踏んでみたが、だいたいそういう結果になった
これ既出?
MD5: 6D93B0DF6A4B8E1763D1E542BC91B81F 102400bytes
HDD をもりもり消していくやつの模様 踏んでみたが、だいたいそういう結果になった
これ既出?
205 :名無しさん@お腹いっぱい。:2009/05/27(水) 12:26:56
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=350
infected
検体入手元
mixiのネトゲコミュに貼られていたらしいです。
p://www■uploda■tv/v/uptv0023074■rar
uptv0023074.rar(16/40)
ttp://www.virustotal.com/analisis/b22c4196cdd5854c7fd5fd666dca5f244fd0a7c0c5ce382c37eaefb3a0a509f7-1243390198
faisnqiq.exe(16/40)
ttp://www.virustotal.com/analisis/b1412ed3acf29f8f2a3b33261691f83ddbc04b0497d01d05bd82f675cc141415-1243390245
uptv0023074.rar : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
faisnqiq.exe : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
AntiyLabsにはftp経由で提出済み。他はこれから提出します。
infected
検体入手元
mixiのネトゲコミュに貼られていたらしいです。
p://www■uploda■tv/v/uptv0023074■rar
uptv0023074.rar(16/40)
ttp://www.virustotal.com/analisis/b22c4196cdd5854c7fd5fd666dca5f244fd0a7c0c5ce382c37eaefb3a0a509f7-1243390198
faisnqiq.exe(16/40)
ttp://www.virustotal.com/analisis/b1412ed3acf29f8f2a3b33261691f83ddbc04b0497d01d05bd82f675cc141415-1243390245
uptv0023074.rar : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
faisnqiq.exe : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
AntiyLabsにはftp経由で提出済み。他はこれから提出します。
206 :名無しさん@お腹いっぱい。:2009/05/27(水) 12:39:03
>>205
VTでスルー、ヒューリスティックのベンダーと、VTには出てこないまとめWikiの宛て先に提出完了しました。
VTでスルー、ヒューリスティックのベンダーと、VTには出てこないまとめWikiの宛て先に提出完了しました。
207 :名無しさん@お腹いっぱい。:2009/05/27(水) 13:43:31
なんとなく負荷削減になるかと思ってメール経由でVTに投げてるんですが、負荷削減になりますかね?
リンク踏まなくて済むしいいことが多い気がします。
リンク踏まなくて済むしいいことが多い気がします。
208 :名無しさん@お腹いっぱい。:2009/05/27(水) 13:52:02
>>207
VT経由は、対応が明らかに遅いです。そんだけ。
>>205
カスペ
faisnqiq.exe - Trojan.Win32.Inject.abja
New malicious software was found
Norman
* Filename: C:\analyzer\scan\faisnqiq.exe.
* Sandbox name: W32/Malware.
* Signature name: NO_VIRUS.
Norton
手動解析行きでCLOSE
VT経由は、対応が明らかに遅いです。そんだけ。
>>205
カスペ
faisnqiq.exe - Trojan.Win32.Inject.abja
New malicious software was found
Norman
* Filename: C:\analyzer\scan\faisnqiq.exe.
* Sandbox name: W32/Malware.
* Signature name: NO_VIRUS.
Norton
手動解析行きでCLOSE
209 :名無しさん@お腹いっぱい。:2009/05/27(水) 13:55:39
>>208
提出の意味じゃなくて検査の段階での話で。
提出の意味じゃなくて検査の段階での話で。
210 :名無しさん@お腹いっぱい。:2009/05/27(水) 14:16:08
211 :名無しさん@お腹いっぱい。:2009/05/27(水) 14:42:35
>>210okです
あんまり気にしないどきます><
あんまり気にしないどきます><
212 :名無しさん@お腹いっぱい。:2009/05/27(水) 16:03:08
>>205
F-Secure Internet Security 2009
パターン ファイルのバージョン:
・ウィルス: 2009-05-27_02
・スパイウェア: 2009-05-27_01
スキャン エンジン:
・F-Secure AVP: 7.00.171, 2009-05-26
・F-Secure Hydra: 3.08.9080, 2009-05-27
faisnqiq.exe : Trojan-PSW:W32/Magania.gen!B
\uptv0023074.rar\faisnqiq.exe : Trojan-PSW:W32/Magania.gen!B
F-Secure Internet Security 2009
パターン ファイルのバージョン:
・ウィルス: 2009-05-27_02
・スパイウェア: 2009-05-27_01
スキャン エンジン:
・F-Secure AVP: 7.00.171, 2009-05-26
・F-Secure Hydra: 3.08.9080, 2009-05-27
faisnqiq.exe : Trojan-PSW:W32/Magania.gen!B
\uptv0023074.rar\faisnqiq.exe : Trojan-PSW:W32/Magania.gen!B
213 :名無しさん@お腹いっぱい。:2009/05/27(水) 16:43:26
>>205
NortonInternetSecurity2009
Trojan Horse:faisnqiq.exe
>>208
提出乙です
しかし、Symantecは手動解析でも対応が速くなってきたな
ただ今でも検体によっては極端に対応が遅いときがあるのでまだまだ不安定なウイルス対応ではある
どちらにしても今後も更なる対応速度の改善してくれるならいうことはない
NortonInternetSecurity2009
Trojan Horse:faisnqiq.exe
>>208
提出乙です
しかし、Symantecは手動解析でも対応が速くなってきたな
ただ今でも検体によっては極端に対応が遅いときがあるのでまだまだ不安定なウイルス対応ではある
どちらにしても今後も更なる対応速度の改善してくれるならいうことはない
214 :名無しさん@お腹いっぱい。:2009/05/27(水) 17:36:53
skywavsv(中国のアカウントクラック系サイト)の中身が変わってました
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=351
infected
検体入手元
www■skywebsv■com/play/
( www■everydaygame■net/flash05849/経由)
Ms08011,Ms08053に関しては中身が同一で未完成のようだったので
MsAccess.htmとJoewm.htmの2ファイルのみです
Joewm.htm (25/40)
https://www.virustotal.com/analisis/0de5f96e1dca67dea53e49cbd65ea8981e01a90eff177b0441bb24405743bb3d-1241555915
MsAccess.htm (18/40)
https://www.virustotal.com/jp/analisis/366314daf60df9762b80f5e7a819b3f5bd675d4e6236aa2997e74bae186fffaa-1243408584
HEURだったMsAccessのほうのみAvira送付済みです。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=351
infected
検体入手元
www■skywebsv■com/play/
( www■everydaygame■net/flash05849/経由)
Ms08011,Ms08053に関しては中身が同一で未完成のようだったので
MsAccess.htmとJoewm.htmの2ファイルのみです
Joewm.htm (25/40)
https://www.virustotal.com/analisis/0de5f96e1dca67dea53e49cbd65ea8981e01a90eff177b0441bb24405743bb3d-1241555915
MsAccess.htm (18/40)
https://www.virustotal.com/jp/analisis/366314daf60df9762b80f5e7a819b3f5bd675d4e6236aa2997e74bae186fffaa-1243408584
HEURだったMsAccessのほうのみAvira送付済みです。
215 :名無しさん@お腹いっぱい。:2009/05/27(水) 18:12:49
>>205
McAfeeに提出させて頂きました
McAfeeに提出させて頂きました
216 :名無しさん@お腹いっぱい。:2009/05/27(水) 20:44:21
Rising 2009 21.40.22 (21.31.22.00)
>>139
pdf.pdf: Hack.Exploit.Win32.PDF.jsz
two.pdf: Hack.Exploit.Win32.PDF.jta
1+2=3/8
>>151
EXP_pdf.pdf: Hack.Exploit.Win32.PDF.jsy
load3.php: Trojan.Win32.Nodef.jmp
load4.php: Trojan.Win32.Nodef.jnc
4+3=7/27
>>166
175/197
>>183
3\file.exe.exe: Trojan.Win32.Nodef.jmp
1/12
>>205
Suspicious:Packer.Win32.UnkPacker.b
0(+2)/2
>>214
joewn.htm: Hack.Exploit.Script.JS.Bucode.m
MsAccess.htm: Hack.Exploit.Script.JS.OESnap.a
2/2
>>139
pdf.pdf: Hack.Exploit.Win32.PDF.jsz
two.pdf: Hack.Exploit.Win32.PDF.jta
1+2=3/8
>>151
EXP_pdf.pdf: Hack.Exploit.Win32.PDF.jsy
load3.php: Trojan.Win32.Nodef.jmp
load4.php: Trojan.Win32.Nodef.jnc
4+3=7/27
>>166
175/197
>>183
3\file.exe.exe: Trojan.Win32.Nodef.jmp
1/12
>>205
Suspicious:Packer.Win32.UnkPacker.b
0(+2)/2
>>214
joewn.htm: Hack.Exploit.Script.JS.Bucode.m
MsAccess.htm: Hack.Exploit.Script.JS.OESnap.a
2/2
対象検体>>87
カスペ2009 18:48:00
今更感はあるけれど、代表的なファイルを提出した結果
5points.htm_, abh_category2_1.php, akitachuo-top.index.html_, bloomsbury.htm_, business.html_ - Trojan-Downloader.JS.Gumblar.a
These files are already detected. Please update your antivirus bases.
205/206
一応報告。
カスペ2009 18:48:00
今更感はあるけれど、代表的なファイルを提出した結果
5points.htm_, abh_category2_1.php, akitachuo-top.index.html_, bloomsbury.htm_, business.html_ - Trojan-Downloader.JS.Gumblar.a
These files are already detected. Please update your antivirus bases.
205/206
一応報告。
>>151,159,174,179
AVIRA最終報告。ちなみに、数が多すぎて、自分でもどれがどれだか不明になったんで、結果を全部載せます。orz
AVIRA9 7.01.04.26 - 27個、下記の通り全黒でclose
1.exe - TR/PSW.Prefsap.A
access.exe - ADSPY/MediaPass.21
e98m.pdf - EXP/Pidief.awp
EXP_pdf.pdf - HTML/Crypted.Gen
file.exe - WORM/Autorun.ajoi
file2.exe - TR/Spy.ZBot.uty
install.exe - TR/Dropper.Gen
Install_11-1.exe - TR/FraudPack.oiu
install2.exe - SPR/Tool.Obfuscator.EW.2
install3.exe TR/TDss.aeii
ldr.exe - TR/Crypt.ZPACK.Gen
load.exe - TR/ATRAPS.Gen
load.php - TR/Crypt.CFI.Gen
load2.exe - WORM/Joleee.bot
load2.php - TR/Small.byt
load3.php - TR/Inject.abau
load4.php - DR/Delphi.Gen
loadhlp.exe - TR/Drop.Agent.apvd
m.dll - TR/Fakealert.astfe
pdf.php - EXP/Pidief.awe
readme.pdf - EXP/Pidief.bf
setup.exe - TR/Downloader.Gen
softwarefortubeview.45013.exe - TR/Dldr.Agent.bzxx
spl.php - HTML/Crypted.Gen
spl2.php - HTML/Crypted.Gen
sta.exe - TR/Crypt.XPACK.Gen
z.exe - TR/Spy.ZBot.urw
また、最近のものについて、皆様提出ご苦労様です。 AVIRAとKaspersky複数居るので、他のベンダー試してみようかなぁ...
AVIRA最終報告。ちなみに、数が多すぎて、自分でもどれがどれだか不明になったんで、結果を全部載せます。orz
AVIRA9 7.01.04.26 - 27個、下記の通り全黒でclose
1.exe - TR/PSW.Prefsap.A
access.exe - ADSPY/MediaPass.21
e98m.pdf - EXP/Pidief.awp
EXP_pdf.pdf - HTML/Crypted.Gen
file.exe - WORM/Autorun.ajoi
file2.exe - TR/Spy.ZBot.uty
install.exe - TR/Dropper.Gen
Install_11-1.exe - TR/FraudPack.oiu
install2.exe - SPR/Tool.Obfuscator.EW.2
install3.exe TR/TDss.aeii
ldr.exe - TR/Crypt.ZPACK.Gen
load.exe - TR/ATRAPS.Gen
load.php - TR/Crypt.CFI.Gen
load2.exe - WORM/Joleee.bot
load2.php - TR/Small.byt
load3.php - TR/Inject.abau
load4.php - DR/Delphi.Gen
loadhlp.exe - TR/Drop.Agent.apvd
m.dll - TR/Fakealert.astfe
pdf.php - EXP/Pidief.awe
readme.pdf - EXP/Pidief.bf
setup.exe - TR/Downloader.Gen
softwarefortubeview.45013.exe - TR/Dldr.Agent.bzxx
spl.php - HTML/Crypted.Gen
spl2.php - HTML/Crypted.Gen
sta.exe - TR/Crypt.XPACK.Gen
z.exe - TR/Spy.ZBot.urw
また、最近のものについて、皆様提出ご苦労様です。 AVIRAとKaspersky複数居るので、他のベンダー試してみようかなぁ...
>>166,177-178
AVIRA9 7.01.04.26 - 未検出14個の結果。
32.exe - TR/VB.pzh
a8.exe - SPR/Hacktool.28501
c.js - TR/Dldr.IFrame.bab
go.exe - 白
maya4.0.exe - 白
qvodsetupplus.exe - TR/Spy.5232840
ead.php - 白
setup(1).exe - 解析中
show_ads.js - TR/Dldr.IFrame.baa
u89.exe - 白
xxxdizhi.exe - 白
重複=1( u89(1).exe ),黒=5,白=5,解析中=1,未提出=2( xx(1).htm,xx(2).htm )
AVIRA9 7.01.04.26 - 未検出14個の結果。
32.exe - TR/VB.pzh
a8.exe - SPR/Hacktool.28501
c.js - TR/Dldr.IFrame.bab
go.exe - 白
maya4.0.exe - 白
qvodsetupplus.exe - TR/Spy.5232840
ead.php - 白
setup(1).exe - 解析中
show_ads.js - TR/Dldr.IFrame.baa
u89.exe - 白
xxxdizhi.exe - 白
重複=1( u89(1).exe ),黒=5,白=5,解析中=1,未提出=2( xx(1).htm,xx(2).htm )
>>131-132
AVIRA9 7.01.04.26 - 未検出3個の結果。
bb021908.exe - DR/VB.psi
softwarefortubeview.45027.exe - TR/Dldr.FraudLoad.Elf.6
load.php - TR/Inject.aazv
ということで、>131も全黒でclose. 多分、これで未報告分終わりのはず。
AVIRA9 7.01.04.26 - 未検出3個の結果。
bb021908.exe - DR/VB.psi
softwarefortubeview.45027.exe - TR/Dldr.FraudLoad.Elf.6
load.php - TR/Inject.aazv
ということで、>131も全黒でclose. 多分、これで未報告分終わりのはず。
221 :名無しさん@お腹いっぱい。:2009/05/27(水) 22:03:46
>>214乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
222 :名無しさん@お腹いっぱい。:2009/05/27(水) 22:48:25
223 :こなた ◆KONATAzZoM :2009/05/27(水) 23:00:10
お疲れ様です。
生キャラメル作ってたら出遅れました…
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-26_10
* SpyWare:2009-05-26_10
>>196に追加
0347\Install_11-1.exe -> Trojan.FakeAV.NA [検疫可]
[残件] 0345:1件 / 0347:10件
>>205 [検出:2/2]
0350\uptv0023074.rar\faisnqiq.exe -> Gen:Trojan.Heur.Hype.2010EFEFEF
0350\faisnqiq.exe -> Gen:Trojan.Heur.Hype.2010EFEFEF
ヒューリスティックでもSAS登録必要でしょうか?
>>214 [検出:2/2]
0351\090527\joewn.htm -> Exploit.HTML.Agent.AO
0351\090527\MsAccess.htm -> Trojan.VBS.Downloader.B
以上です。
生キャラメル作ってたら出遅れました…
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-26_10
* SpyWare:2009-05-26_10
>>196に追加
0347\Install_11-1.exe -> Trojan.FakeAV.NA [検疫可]
[残件] 0345:1件 / 0347:10件
>>205 [検出:2/2]
0350\uptv0023074.rar\faisnqiq.exe -> Gen:Trojan.Heur.Hype.2010EFEFEF
0350\faisnqiq.exe -> Gen:Trojan.Heur.Hype.2010EFEFEF
ヒューリスティックでもSAS登録必要でしょうか?
>>214 [検出:2/2]
0351\090527\joewn.htm -> Exploit.HTML.Agent.AO
0351\090527\MsAccess.htm -> Trojan.VBS.Downloader.B
以上です。
>>131,133
Kaspersky最終,未検出分4個は下記判定。
bb021908.exe - Trojan.Win32.VB.psi
SudoPlanet_setup.exe - 白
readme.pdf - Trojan.JS.Agent.age
load.php - Trojan.Win32.Inject.aazv
>131は、黒=事前4+事後3=7,白=1でclose.
>>223
ヒューリスティック検出は、ソフトが『 怪しいの見つけた 』と言っている段階なので、確証(シグネチャ)持ってないから
どのベンダーであっても積極的に出した方が良いです。(大体の場合、シグネチャができると、検出名が正式名称に置き換わります。)
私もヒューリスティック検出は優先して提出してます。(AVIRAもKasperskyも両方とも)
Kaspersky最終,未検出分4個は下記判定。
bb021908.exe - Trojan.Win32.VB.psi
SudoPlanet_setup.exe - 白
readme.pdf - Trojan.JS.Agent.age
load.php - Trojan.Win32.Inject.aazv
>131は、黒=事前4+事後3=7,白=1でclose.
>>223
ヒューリスティック検出は、ソフトが『 怪しいの見つけた 』と言っている段階なので、確証(シグネチャ)持ってないから
どのベンダーであっても積極的に出した方が良いです。(大体の場合、シグネチャができると、検出名が正式名称に置き換わります。)
私もヒューリスティック検出は優先して提出してます。(AVIRAもKasperskyも両方とも)
225 :名無しさん@お腹いっぱい。:2009/05/27(水) 23:44:30
>>224
NortonもSudoPlanet_setup.exeだけは未だに検出せず
SymantecもSudoPlanet_setup.exeは白判定なのかな?
Nortonは事前1+事後6で現時点では7個検出できます
>私もヒューリスティック検出は優先して提出してます。(AVIRAもKasperskyも両方とも)
ベンダーによってはなかなかシグネチャに変わってくれないのもありますね・・・
SymantecとNOD32がそう
NortonもSudoPlanet_setup.exeだけは未だに検出せず
SymantecもSudoPlanet_setup.exeは白判定なのかな?
Nortonは事前1+事後6で現時点では7個検出できます
>私もヒューリスティック検出は優先して提出してます。(AVIRAもKasperskyも両方とも)
ベンダーによってはなかなかシグネチャに変わってくれないのもありますね・・・
SymantecとNOD32がそう
>>225
マルウエァの判定はベンダーのポリシーに左右されるので何とも言えませんが、私としては黒とは言い切れない灰色、という感じです。
今VT死んでるので、VirScanで現状で下記。
http://www.virscan.org/report/229798c034ab742bb4e5b0bf368769c5.html (8/38)
私の方でのダウンロード元の記録からすると、コイツは
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-042213-4659-99&tabid=2
の改変版だと思う(なんせ、そのページにあるそのサイトからダウンロードした)ので、評価項目の中にある
> このプログラムは Trojan.Skintrim のコピーをコンピュータに投下する可能性があります。
が気になります。 まあ、現状では“悪意のないAdware”という判断で黒にしていないのかもしれません。
マルウエァの判定はベンダーのポリシーに左右されるので何とも言えませんが、私としては黒とは言い切れない灰色、という感じです。
今VT死んでるので、VirScanで現状で下記。
http://www.virscan.org/report/229798c034ab742bb4e5b0bf368769c5.html (8/38)
私の方でのダウンロード元の記録からすると、コイツは
http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-042213-4659-99&tabid=2
の改変版だと思う(なんせ、そのページにあるそのサイトからダウンロードした)ので、評価項目の中にある
> このプログラムは Trojan.Skintrim のコピーをコンピュータに投下する可能性があります。
が気になります。 まあ、現状では“悪意のないAdware”という判断で黒にしていないのかもしれません。
227 :名無しさん@お腹いっぱい。:2009/05/28(木) 06:19:46
>>8
|●BitDefender
|送付先1:
|e-mail:support☆bitdefender.com
|ttp://beta.bitdefender.com/site/KnowledgeBase/consumer/
|Fight against malware → Improving Detection →What to do when BitDefender does not detect malware
|
|送付先2:
|e-mail:virus_submission☆bitdefender.com(2MBまで?)
|ttp://forum.bitdefender.com/index.php?showtopic=3066
5/27付のメールで、検体提出は、virus_submission☆bitdefender.com の方にしてくれというメールが届いたので
送付先1は抹消の方向でお願いします。 > 次スレ立てる人
|●BitDefender
|送付先1:
|e-mail:support☆bitdefender.com
|ttp://beta.bitdefender.com/site/KnowledgeBase/consumer/
|Fight against malware → Improving Detection →What to do when BitDefender does not detect malware
|
|送付先2:
|e-mail:virus_submission☆bitdefender.com(2MBまで?)
|ttp://forum.bitdefender.com/index.php?showtopic=3066
5/27付のメールで、検体提出は、virus_submission☆bitdefender.com の方にしてくれというメールが届いたので
送付先1は抹消の方向でお願いします。 > 次スレ立てる人
228 :名無しさん@お腹いっぱい。:2009/05/28(木) 10:18:27
>>214
入手元から拾ってみました。
=== AntiVir Detection Name ===
flash05849.htm : HTML/IFrame.800 HTML script virus
Joewm.htm : JS/Dldr.Small.CR.2 Java script virus
Ms06014.htm : HTML/Rce.Gen HTML script virus
Ms08011.htm : - Not Detected -
Ms08053.htm : - Not Detected -
MsAccess.htm : HEUR/HTML.Malware suspicious code
play.htm : HTML/IFrame.800 HTML script virus
Real.htm : HTML/Shellcode.Gen HTML script virus
server.exe : TR/Crypt.ZPACK.Gen Trojan
入手元から拾ってみました。
=== AntiVir Detection Name ===
flash05849.htm : HTML/IFrame.800 HTML script virus
Joewm.htm : JS/Dldr.Small.CR.2 Java script virus
Ms06014.htm : HTML/Rce.Gen HTML script virus
Ms08011.htm : - Not Detected -
Ms08053.htm : - Not Detected -
MsAccess.htm : HEUR/HTML.Malware suspicious code
play.htm : HTML/IFrame.800 HTML script virus
Real.htm : HTML/Shellcode.Gen HTML script virus
server.exe : TR/Crypt.ZPACK.Gen Trojan
229 :名無しさん@お腹いっぱい。:2009/05/28(木) 21:52:00
231 :名無しさん@お腹いっぱい。:2009/05/28(木) 23:10:09
カスペ2009 20:38
(1) 対象検体:>>183 (>>187.197)
9+事後検出1=10/12, 白2(1,5)でFA
Detected: Trojan.Win32.Obfuscated.afyc tane0349\Malware\a\install1.exe
(2) 対象検体:>>182(>>187)
追加検出1。やや遅れ気味。orz
32.exe - Trojan.Win32.VB.pzh
180+事後検出6+1=187/197 、白5, 回答待ち5
白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち:qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm
(3)> >205 2/2(>>208さんの報告の通り、Heur.Invader→シグネチャ)
(4) >>214 2/2 (VT通り)
(1) 対象検体:>>183 (>>187.197)
9+事後検出1=10/12, 白2(1,5)でFA
Detected: Trojan.Win32.Obfuscated.afyc tane0349\Malware\a\install1.exe
(2) 対象検体:>>182(>>187)
追加検出1。やや遅れ気味。orz
32.exe - Trojan.Win32.VB.pzh
180+事後検出6+1=187/197 、白5, 回答待ち5
白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち:qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm
(3)> >205 2/2(>>208さんの報告の通り、Heur.Invader→シグネチャ)
(4) >>214 2/2 (VT通り)
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=352
DL virus/解凍 virus
【中身】6個入っています。
1.exe
http://www.virustotal.com/jp/analisis/a6cefd33ce872138d9194abf093d36043db1ec9b7d60430919fbe827d07b900d-1243518649 (17/40)
antivirus-pro.exe
http://www.virustotal.com/jp/analisis/a5e6c22fa5c25a94ffd0a4a9ed09d6914f20f4f064c357a1ba96dd4748cfcc87-1243520543 (3/39)
file.exe
http://www.virustotal.com/jp/analisis/ba005dfabbb2079a4577a68e89c70cd9c1facf30836b226f2c64e959301b040c-1243519483 (9/39)
fxtoolbar.exe
http://www.virustotal.com/jp/analisis/9bfb5f16d0c50c38b618a9d85d52f4510111811e0883c088c38ecb366d72bc82-1243518387 (15/39)
softwarefortubeview.45044.exe
http://www.virustotal.com/jp/analisis/1ece2ab0b32431b88416804c48fd0ae717d56288a9019b18a6edc2987badd8cf-1243517690 (4/40)
softwarefortubeview.45044-2.exe
http://www.virustotal.com/jp/analisis/3794798f5eeb53dd71001e4454f006c871eb7c9085e1bf5336efa07b70d7b38d-1243519000 (4/36)
DL virus/解凍 virus
【中身】6個入っています。
1.exe
http://www.virustotal.com/jp/analisis/a6cefd33ce872138d9194abf093d36043db1ec9b7d60430919fbe827d07b900d-1243518649 (17/40)
antivirus-pro.exe
http://www.virustotal.com/jp/analisis/a5e6c22fa5c25a94ffd0a4a9ed09d6914f20f4f064c357a1ba96dd4748cfcc87-1243520543 (3/39)
file.exe
http://www.virustotal.com/jp/analisis/ba005dfabbb2079a4577a68e89c70cd9c1facf30836b226f2c64e959301b040c-1243519483 (9/39)
fxtoolbar.exe
http://www.virustotal.com/jp/analisis/9bfb5f16d0c50c38b618a9d85d52f4510111811e0883c088c38ecb366d72bc82-1243518387 (15/39)
softwarefortubeview.45044.exe
http://www.virustotal.com/jp/analisis/1ece2ab0b32431b88416804c48fd0ae717d56288a9019b18a6edc2987badd8cf-1243517690 (4/40)
softwarefortubeview.45044-2.exe
http://www.virustotal.com/jp/analisis/3794798f5eeb53dd71001e4454f006c871eb7c9085e1bf5336efa07b70d7b38d-1243519000 (4/36)
>>232
AVIRA9 7.01.04.32
1.exe - TR/Crypt.FKM.Gen
antivirus-pro.exe - (UNDER ANALYSIS)
file.exe - BDS/Small.UK
fxtoolbar.exe - (黒,次回アップデートで対応)
softwarefortubeview.45044.exe - TR/Crypt.ZPACK.Gen
softwarefortubeview.45044-2.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/05/28 22:33:00
1.exe -
antivirus-pro.exe -
file.exe - Backdoor.Win32.Small.uk
fxtoolbar.exe - not-a-virus:AdWare.Win32.Mostofate.j
softwarefortubeview.45044.exe -
softwarefortubeview.45044-2.exe -
AVIRAとKasperskyの未検出分は提出済み。
AVIRA9 7.01.04.32
1.exe - TR/Crypt.FKM.Gen
antivirus-pro.exe - (UNDER ANALYSIS)
file.exe - BDS/Small.UK
fxtoolbar.exe - (黒,次回アップデートで対応)
softwarefortubeview.45044.exe - TR/Crypt.ZPACK.Gen
softwarefortubeview.45044-2.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/05/28 22:33:00
1.exe -
antivirus-pro.exe -
file.exe - Backdoor.Win32.Small.uk
fxtoolbar.exe - not-a-virus:AdWare.Win32.Mostofate.j
softwarefortubeview.45044.exe -
softwarefortubeview.45044-2.exe -
AVIRAとKasperskyの未検出分は提出済み。
234 :名無しさん@お腹いっぱい。:2009/05/29(金) 00:07:46
>>232乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
235 :名無しさん@お腹いっぱい。:2009/05/29(金) 00:41:32
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=353
DL virus/解凍 virus
【中身】7個入っています。
0.pdf
http://www.virustotal.com/jp/analisis/400022caa022ab94ee215079411973157421444ccf05c117d3d2593e320265c0-1243523972 (14/39)
0.swf
http://www.virustotal.com/jp/analisis/67ec13a5cd1c66e369782ee160435953ddade9b65de972d254f387b32f72f7a3-1243524204 (9/40)
install.exe
http://www.virustotal.com/jp/analisis/419866ff2f2a9608a36db0fb8eaac61a8554548b33baaee327b35c1c74f51bd1-1243523186 (7/40)
install-2.exe
http://www.virustotal.com/jp/analisis/d5659b06b9d943985dc40fe1464e8d1e2ef62c074ea32354dc4444ed4f9970f7-1243523726 (7/40)
install-3.exe
http://www.virustotal.com/jp/analisis/ef13dc5af51776c1c74dce36a7fe71e86e308e984de84c5f82c4f000fa1bd746-1243525556 (6/40)
softwarefortubeview.40028.exe
http://www.virustotal.com/jp/analisis/c4834bb3bbd252c063a077b9e849d0752db91aefc517c1ecb3f676aa1161aa3a-1243526161 (4/40)
softwarefortubeview.40028-2.exe
http://www.virustotal.com/jp/analisis/64bc384bef2111aebcdcb81191a066f13368f2b716ed825960a14c1230713af5-1243526616(4/40)
DL virus/解凍 virus
【中身】7個入っています。
0.pdf
http://www.virustotal.com/jp/analisis/400022caa022ab94ee215079411973157421444ccf05c117d3d2593e320265c0-1243523972 (14/39)
0.swf
http://www.virustotal.com/jp/analisis/67ec13a5cd1c66e369782ee160435953ddade9b65de972d254f387b32f72f7a3-1243524204 (9/40)
install.exe
http://www.virustotal.com/jp/analisis/419866ff2f2a9608a36db0fb8eaac61a8554548b33baaee327b35c1c74f51bd1-1243523186 (7/40)
install-2.exe
http://www.virustotal.com/jp/analisis/d5659b06b9d943985dc40fe1464e8d1e2ef62c074ea32354dc4444ed4f9970f7-1243523726 (7/40)
install-3.exe
http://www.virustotal.com/jp/analisis/ef13dc5af51776c1c74dce36a7fe71e86e308e984de84c5f82c4f000fa1bd746-1243525556 (6/40)
softwarefortubeview.40028.exe
http://www.virustotal.com/jp/analisis/c4834bb3bbd252c063a077b9e849d0752db91aefc517c1ecb3f676aa1161aa3a-1243526161 (4/40)
softwarefortubeview.40028-2.exe
http://www.virustotal.com/jp/analisis/64bc384bef2111aebcdcb81191a066f13368f2b716ed825960a14c1230713af5-1243526616(4/40)
>>236
AVIRA9 7.01.04.32
0.pdf - HEUR/HTML.Malware (EXP/Pidief.KK)
0.swf - (SWF/Drop.Agent.E)
install.exe - TR/Dropper.Gen
install-2.exe - TR/Dropper.Gen
install-3.exe - TR/Dropper.Gen
softwarefortubeview.40028.exe - TR/Crypt.ZPACK.Gen
softwarefortubeview.40028-2.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/05/29 6:12:00
0.pdf - Exploit.JS.Pdfka.kj
0.swf - Exploit.SWF.Agent.ar
install.exe -
install-2.exe -
install-3.exe -
softwarefortubeview.40028.exe - Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.40028-2.exe - Trojan-Downloader.Win32.FraudLoad.emq
AVIRAとKasperskyの未検出分は提出済み。
AVIRA9 7.01.04.32
0.pdf - HEUR/HTML.Malware (EXP/Pidief.KK)
0.swf - (SWF/Drop.Agent.E)
install.exe - TR/Dropper.Gen
install-2.exe - TR/Dropper.Gen
install-3.exe - TR/Dropper.Gen
softwarefortubeview.40028.exe - TR/Crypt.ZPACK.Gen
softwarefortubeview.40028-2.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/05/29 6:12:00
0.pdf - Exploit.JS.Pdfka.kj
0.swf - Exploit.SWF.Agent.ar
install.exe -
install-2.exe -
install-3.exe -
softwarefortubeview.40028.exe - Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.40028-2.exe - Trojan-Downloader.Win32.FraudLoad.emq
AVIRAとKasperskyの未検出分は提出済み。
238 :名無しさん@お腹いっぱい。:2009/05/29(金) 07:36:39
239 :名無しさん@お腹いっぱい。:2009/05/29(金) 07:39:40
ちなみにNortonの検出数は7/8でした
240 :名無しさん@お腹いっぱい。:2009/05/29(金) 07:40:11
スマソ、6/7だったorz
241 :名無しさん@お腹いっぱい。:2009/05/29(金) 13:14:05
242 :名無しさん@お腹いっぱい。:2009/05/29(金) 13:35:55
カスペ2009 12:34:00 事後対応状況
>>232 (tane0352) d
2+3=5/6、回答待ち1 (antivirus-pro.exe)
Detected Trojan program Trojan.Win32.Agent.cjoh 1.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.emq softwarefortubeview.40028.exe , softwarefortubeview.40028-2.exe
>>237 (tane0353) d
4+3=7/7でFA
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bm install-2.exe, nstall-3.exe, install.exe
>>232 (tane0352) d
2+3=5/6、回答待ち1 (antivirus-pro.exe)
Detected Trojan program Trojan.Win32.Agent.cjoh 1.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.emq softwarefortubeview.40028.exe , softwarefortubeview.40028-2.exe
>>237 (tane0353) d
4+3=7/7でFA
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bm install-2.exe, nstall-3.exe, install.exe
243 :名無しさん@お腹いっぱい。:2009/05/29(金) 19:59:00
対象検体:>>166(>182,187,231)
180+事後検出8=188/197 、白6, 回答待ち3
qvodsetupplus.exe - Trojan-Dropper.Win32.Agent.arvb
白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm, go.exe,
回答待ち:read.php, xx(1).htm xx(2).htm
180+事後検出8=188/197 、白6, 回答待ち3
qvodsetupplus.exe - Trojan-Dropper.Win32.Agent.arvb
白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm, go.exe,
回答待ち:read.php, xx(1).htm xx(2).htm
>>243
カスペからの返事だった。
カスペからの返事だった。
245 :名無しさん@お腹いっぱい。:2009/05/29(金) 22:43:22
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=354
DL virus/解凍 virus
【中身】9個入っています。
file.exe
http://www.virustotal.com/jp/analisis/408be6d7b34f3abf3d66ea9cd00fc04110985a15a0eb9b92bdcbbaa2f2831a07-1243604054 (12/40)
file1.exe
http://www.virustotal.com/jp/analisis/a997c0f537a79555511a147bc8aed565456ae47bf27740a659fe892e06036d5a-1243602162 (16/40)
install.exe
http://www.virustotal.com/jp/analisis/2a72656142e364e2271abcd03ddafc8d3706d367775f65587504247557f0a939-1243600666 (14/40)
Install_2009-1.exe
http://www.virustotal.com/jp/analisis/9cf8f101ad4fe8be9d944151290771287a839420eb426333a8ef528db4dd745e-1243603528 (2/40)
install-1384.exe
http://www.virustotal.com/jp/analisis/942456c2dc090238c8ebf246ea360c506636d914d0eaa3820d1c64a39a8fe029-1243605299 (9/40)
install2.exe
http://www.virustotal.com/jp/analisis/4edfd8099b4d48848bc9aed5130ead886ae8cbf2d44dd5c7b8db4b43805ff601-1243605639 (6/39)
installer_70100.exe
http://www.virustotal.com/jp/analisis/274aa8c847a1d6878051176bc00d4bf9be077d7df17aef1fb18e6ab4e6c064b1-1243606162 (17/40)
kkb.exe
http://www.virustotal.com/jp/analisis/408b1f5bc398ed87b5646657312b651100300b6ddaa0515e2ecd71522c5759b4-1243603071 (10/39)
setup.exe
http://www.virustotal.com/jp/analisis/aec2c0dd81d36680c722b4b35488e6dd2e491b3cbcb99195df92f76731d65598-1243601099 (17/39)
DL virus/解凍 virus
【中身】9個入っています。
file.exe
http://www.virustotal.com/jp/analisis/408be6d7b34f3abf3d66ea9cd00fc04110985a15a0eb9b92bdcbbaa2f2831a07-1243604054 (12/40)
file1.exe
http://www.virustotal.com/jp/analisis/a997c0f537a79555511a147bc8aed565456ae47bf27740a659fe892e06036d5a-1243602162 (16/40)
install.exe
http://www.virustotal.com/jp/analisis/2a72656142e364e2271abcd03ddafc8d3706d367775f65587504247557f0a939-1243600666 (14/40)
Install_2009-1.exe
http://www.virustotal.com/jp/analisis/9cf8f101ad4fe8be9d944151290771287a839420eb426333a8ef528db4dd745e-1243603528 (2/40)
install-1384.exe
http://www.virustotal.com/jp/analisis/942456c2dc090238c8ebf246ea360c506636d914d0eaa3820d1c64a39a8fe029-1243605299 (9/40)
install2.exe
http://www.virustotal.com/jp/analisis/4edfd8099b4d48848bc9aed5130ead886ae8cbf2d44dd5c7b8db4b43805ff601-1243605639 (6/39)
installer_70100.exe
http://www.virustotal.com/jp/analisis/274aa8c847a1d6878051176bc00d4bf9be077d7df17aef1fb18e6ab4e6c064b1-1243606162 (17/40)
kkb.exe
http://www.virustotal.com/jp/analisis/408b1f5bc398ed87b5646657312b651100300b6ddaa0515e2ecd71522c5759b4-1243603071 (10/39)
setup.exe
http://www.virustotal.com/jp/analisis/aec2c0dd81d36680c722b4b35488e6dd2e491b3cbcb99195df92f76731d65598-1243601099 (17/39)
>>246
AVIRA9 7.01.04.37
file.exe - (TR/Agent.fxa)
file1.exe - TR/Crypt.ZPACK.Gen
install.exe - (UNDER ANALYSIS)
Install_2009-1.exe - (UNDER ANALYSIS)
install-1384.exe - SPR/Fraud.PrivC.2
install2.exe - TR/Dropper.Gen
installer_70100.exe - TR/Dldr.Renos.bao.1
kkb.exe - TR/Crypt.CFI.Gen
setup.exe - TR/Dldr.FraudLoad.emr
検出=6,データベース更新待ち=1,解析中=2
AVIRA 未検出分は提出済み。
AVIRA9 7.01.04.37
file.exe - (TR/Agent.fxa)
file1.exe - TR/Crypt.ZPACK.Gen
install.exe - (UNDER ANALYSIS)
Install_2009-1.exe - (UNDER ANALYSIS)
install-1384.exe - SPR/Fraud.PrivC.2
install2.exe - TR/Dropper.Gen
installer_70100.exe - TR/Dldr.Renos.bao.1
kkb.exe - TR/Crypt.CFI.Gen
setup.exe - TR/Dldr.FraudLoad.emr
検出=6,データベース更新待ち=1,解析中=2
AVIRA 未検出分は提出済み。
>>246
Kaspersky 2009/05/29 22:03:00
file.exe -
file1.exe - Trojan-Spy.Win32.Zbot.gen
install.exe -
Install_2009-1.exe - Packed.Win32.PolyCrypt.d
install-1384.exe -
install2.exe -
installer_70100.exe - not-a-virus:FraudTool.Win32.AntivirusPlus.hh
kkb.exe -
setup.exe - Trojan-Downloader.Win32.FraudLoad.emr
検出=4,未検出=5,未検出分は提出済み
Kaspersky 2009/05/29 22:03:00
file.exe -
file1.exe - Trojan-Spy.Win32.Zbot.gen
install.exe -
Install_2009-1.exe - Packed.Win32.PolyCrypt.d
install-1384.exe -
install2.exe -
installer_70100.exe - not-a-virus:FraudTool.Win32.AntivirusPlus.hh
kkb.exe -
setup.exe - Trojan-Downloader.Win32.FraudLoad.emr
検出=4,未検出=5,未検出分は提出済み
>>233
AVIRA未検出分解答
antivirus-pro.exe - 白
fxtoolbar.exe - DR/Eztracks.vjf
Kaspersky未検出分(解答無いけど検出状況),>242さんの通り。
1.exe - Trojan.Win32.Agent.cjoh
antivirus-pro.exe - 白?検出しない
softwarefortubeview.45044.exe - Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.45044-2.exe - Trojan-Downloader.Win32.FraudLoad.emq
む、antivirus-pro.exeは FakeAVと思ったのですが白でしたか...
>>236
AVIRAは検出できるようになってます。
Kasperskyは >242さんの通り。乙です。 では ノシ
AVIRA未検出分解答
antivirus-pro.exe - 白
fxtoolbar.exe - DR/Eztracks.vjf
Kaspersky未検出分(解答無いけど検出状況),>242さんの通り。
1.exe - Trojan.Win32.Agent.cjoh
antivirus-pro.exe - 白?検出しない
softwarefortubeview.45044.exe - Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.45044-2.exe - Trojan-Downloader.Win32.FraudLoad.emq
む、antivirus-pro.exeは FakeAVと思ったのですが白でしたか...
>>236
AVIRAは検出できるようになってます。
Kasperskyは >242さんの通り。乙です。 では ノシ
250 :名無しさん@お腹いっぱい。:2009/05/29(金) 23:57:37
251 :名無しさん@お腹いっぱい。:2009/05/30(土) 00:41:13
>>248
Kaspersky 2009/05/30 7:53:00 未検出5個分 確認 - 黒4追加
file.exe - Packed.Win32.Tdss.m
install.exe - Packed.Win32.Tdss.m
install-1384.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.cz
install2.exe - Trojan-Downloader.Win32.FraudLoad.emu
kkb.exe -
kkb.exe VT現状
http://www.virustotal.com/jp/analisis/408b1f5bc398ed87b5646657312b651100300b6ddaa0515e2ecd71522c5759b4-1243643864 (13/40) +3
数日前からVTが過負荷でおかしくなってきてます。ファイル連投によるDoS攻撃? 統計情報見ても未感染ファイル率が高いし...
http://www.virustotal.com/jp/estadisticas.html
>246に記載したVTの解析結果は全部ロストされたので、検体が全ベンダーに渡っていない可能性がありますからご注意下さい。
Kaspersky 2009/05/30 7:53:00 未検出5個分 確認 - 黒4追加
file.exe - Packed.Win32.Tdss.m
install.exe - Packed.Win32.Tdss.m
install-1384.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.cz
install2.exe - Trojan-Downloader.Win32.FraudLoad.emu
kkb.exe -
kkb.exe VT現状
http://www.virustotal.com/jp/analisis/408b1f5bc398ed87b5646657312b651100300b6ddaa0515e2ecd71522c5759b4-1243643864 (13/40) +3
数日前からVTが過負荷でおかしくなってきてます。ファイル連投によるDoS攻撃? 統計情報見ても未感染ファイル率が高いし...
http://www.virustotal.com/jp/estadisticas.html
>246に記載したVTの解析結果は全部ロストされたので、検体が全ベンダーに渡っていない可能性がありますからご注意下さい。
253 :名無しさん@お腹いっぱい。:2009/05/30(土) 13:54:23
254 :名無しさん@お腹いっぱい。:2009/05/30(土) 16:55:17
255 :こなた ◆KONATAzZoM :2009/05/30(土) 17:04:40
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-28
* F-Secure Hydra: 3.08.9080, 2009-05-28
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09
>>196の続報
[検出結果:9/10]
[追加]
0347\1.exe -> Trojan.Generic.CJ.K [検疫可]
0347\install2.exe -> Gen:Trojan.Heur.TDSS.20708FCFCF [検疫可]
0347\install3.exe -> Gen:Trojan.Heur.TDSS.20708FCFCF [検疫可]
0347\ldr.exe -> Trojan.Generic.CJ.BJ [検疫可]
0347\load.php Trojan.Generic.CJ.AA-> [検疫可]
0347\load3.php -> Trojan.Generic.CJ.X [検疫可]
0347\m.dll -> Trojan.Generic.CJ.DH [検疫可]
0347\load2.php -> Trojan.Generic.CJ.CA [検疫可]
0347\softwarefortubeview.45013.exe -> Trojan.Downloader.FakeAV.BZ [検疫可]
[白判定]
0347\load2.exe (Gen:Trojan.Heur.Hype.2014EBEBEB)
[残件]
0345:1件(readme.pdf)
0347:1件(access.exe)
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-28
* F-Secure Hydra: 3.08.9080, 2009-05-28
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09
>>196の続報
[検出結果:9/10]
[追加]
0347\1.exe -> Trojan.Generic.CJ.K [検疫可]
0347\install2.exe -> Gen:Trojan.Heur.TDSS.20708FCFCF [検疫可]
0347\install3.exe -> Gen:Trojan.Heur.TDSS.20708FCFCF [検疫可]
0347\ldr.exe -> Trojan.Generic.CJ.BJ [検疫可]
0347\load.php Trojan.Generic.CJ.AA-> [検疫可]
0347\load3.php -> Trojan.Generic.CJ.X [検疫可]
0347\m.dll -> Trojan.Generic.CJ.DH [検疫可]
0347\load2.php -> Trojan.Generic.CJ.CA [検疫可]
0347\softwarefortubeview.45013.exe -> Trojan.Downloader.FakeAV.BZ [検疫可]
[白判定]
0347\load2.exe (Gen:Trojan.Heur.Hype.2014EBEBEB)
[残件]
0345:1件(readme.pdf)
0347:1件(access.exe)
カスペからの返事
対象検体:>>232 (>>233,242,249)(tane0352)
2+3=5/6、白1 (antivirus-pro.exe) でFA
Hello,
antivirus-pro.exe_
No malicious software was found in the attached file.
白確定
対象検体:>>232 (>>233,242,249)(tane0352)
2+3=5/6、白1 (antivirus-pro.exe) でFA
Hello,
antivirus-pro.exe_
No malicious software was found in the attached file.
白確定
257 :こなた ◆KONATAzZoM :2009/05/30(土) 18:00:30
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-28
* F-Secure Hydra: 3.08.9080, 2009-05-28
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09
>>232
[検出結果:2/6]
0352\1.exe -> Gen:Trojan.Heur.3065153434 [検疫可]
0352\file.exe -> Trojan.Generic.CJ.HM [検疫可]
>>236
[検出結果:2/7]
0353\0.pdf -> Exploit.PDF-JS.Gen [検疫可]
0353\0.swf -> Exploit.SWF.Gen [検疫可]
>>246
[検出結果:6/9]
0354\file.exe -> Gen:Trojan.Heur.Hype.1040BFBFB [検疫可]
0354\install.exe -> Gen:Trojan.Heur.Hype.20708F8F8 [検疫可]
0354\file1.exe -> Trojan.Spy.Zbot.SO [検疫可]
0354\installer_70100.exe -> Gen:Trojan.Heur.8202FDA8D9 [検疫可]
0354\setup.exe -> Gen:Trojan.Heur.8202FDA8D9 [検疫可]
0354\kkb.exe -> Gen:Trojan.Heur.B000FFEA6B [検疫可]
それぞれ、未検出分をSASへ登録しました。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-28
* F-Secure Hydra: 3.08.9080, 2009-05-28
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09
>>232
[検出結果:2/6]
0352\1.exe -> Gen:Trojan.Heur.3065153434 [検疫可]
0352\file.exe -> Trojan.Generic.CJ.HM [検疫可]
>>236
[検出結果:2/7]
0353\0.pdf -> Exploit.PDF-JS.Gen [検疫可]
0353\0.swf -> Exploit.SWF.Gen [検疫可]
>>246
[検出結果:6/9]
0354\file.exe -> Gen:Trojan.Heur.Hype.1040BFBFB [検疫可]
0354\install.exe -> Gen:Trojan.Heur.Hype.20708F8F8 [検疫可]
0354\file1.exe -> Trojan.Spy.Zbot.SO [検疫可]
0354\installer_70100.exe -> Gen:Trojan.Heur.8202FDA8D9 [検疫可]
0354\setup.exe -> Gen:Trojan.Heur.8202FDA8D9 [検疫可]
0354\kkb.exe -> Gen:Trojan.Heur.B000FFEA6B [検疫可]
それぞれ、未検出分をSASへ登録しました。
258 :名無しさん@お腹いっぱい。:2009/05/30(土) 18:04:45
FISTPのクラウド機能で検体集めたものがそのままBitDefenderに流れてくれるのか?というのが興味深いけど試す環境がないので止めときます・・・
あとBitDefender自体にもクラウドベースをやるみたいだから上記のF-Secureのクラウド機能との相乗効果に期待したい
あとBitDefender自体にもクラウドベースをやるみたいだから上記のF-Secureのクラウド機能との相乗効果に期待したい
259 :名無しさん@お腹いっぱい。:2009/05/30(土) 18:29:14
>>246
Pandaへ検体提出完了
Pandaへ検体提出完了
260 :名無しさん@お腹いっぱい。:2009/05/30(土) 22:42:33
対象検体:>>246
>>248,252 d
kkb.exe_
No malicious code was found in this file.
4+事後検出4=8/9, 白1(kkb.exe)でFA
>>248,252 d
kkb.exe_
No malicious code was found in this file.
4+事後検出4=8/9, 白1(kkb.exe)でFA
261 :名無しさん@お腹いっぱい。:2009/05/31(日) 01:37:47
>>247
AVIRAさんへ
"Tr/Crypt.***.Gen" … パッカー検知(トレンドマイクロのPacker.Generic.***などに相当)なども余力があるなら、ベンダーへ提出希望。
確かに、「Crypt」は、亜種の可能性が高いが、パッカー形式だけで判定してコードを全く解析していないので、白黒の判断基準としてあまりにも弱い。
※encrypted…パッカーによって暗号化された、難読化された
AVIRAさんへ
"Tr/Crypt.***.Gen" … パッカー検知(トレンドマイクロのPacker.Generic.***などに相当)なども余力があるなら、ベンダーへ提出希望。
確かに、「Crypt」は、亜種の可能性が高いが、パッカー形式だけで判定してコードを全く解析していないので、白黒の判断基準としてあまりにも弱い。
※encrypted…パッカーによって暗号化された、難読化された
262 :名無しさん@お腹いっぱい。:2009/05/31(日) 04:16:01
F-Secure SASからの返信のうち6通くらいが↓だった。
(前略)
>Unfortunately we were unable to locate your email address from our list of registered customer addresses.
>
>If you are customer of ours, please reply back to this address and provide a detailed description of the problem.
>
>If you're not our customer, thank you again for your sample submission.
>In the future, you can also submit samples to us using the "[email protected]" e-mail address.
>Samples that are sent to this address will be added to our sample collection automatically.
>Please note that e-mails that are sent to this address will not get a reply.
体験版を使っている。購入者じゃないとSAS使えないの?[email protected]に出すと返事来ないのは何故?
といった感じの質問を送ったところ、以下の返事がきた。
>Hello,
>SAS is usable but we prefer it to be used when there is an active malware
>on the system and the client needs urgent help. For larger and frequent submissions
>we'd prefer the [email protected] since it won't raise the priority of the
>samples automatically, thus helping us serve the clients that have an acute need better.
>
>Please submit the files to [email protected]. We will receive them and we
>will generate detections for them in due time.
基本的に [email protected] に送り、情報が必要な時だけSASを使うようにしたほうがいいのかしら
(前略)
>Unfortunately we were unable to locate your email address from our list of registered customer addresses.
>
>If you are customer of ours, please reply back to this address and provide a detailed description of the problem.
>
>If you're not our customer, thank you again for your sample submission.
>In the future, you can also submit samples to us using the "[email protected]" e-mail address.
>Samples that are sent to this address will be added to our sample collection automatically.
>Please note that e-mails that are sent to this address will not get a reply.
体験版を使っている。購入者じゃないとSAS使えないの?[email protected]に出すと返事来ないのは何故?
といった感じの質問を送ったところ、以下の返事がきた。
>Hello,
>SAS is usable but we prefer it to be used when there is an active malware
>on the system and the client needs urgent help. For larger and frequent submissions
>we'd prefer the [email protected] since it won't raise the priority of the
>samples automatically, thus helping us serve the clients that have an acute need better.
>
>Please submit the files to [email protected]. We will receive them and we
>will generate detections for them in due time.
基本的に [email protected] に送り、情報が必要な時だけSASを使うようにしたほうがいいのかしら
263 :名無しさん@お腹いっぱい。:2009/05/31(日) 04:42:48
パターン ファイルのバージョン:
・ウィルス: 2009-05-30_01
・スパイウェア: 2009-05-29_11
スキャン エンジン:
・F-Secure AVP: 7.00.171, 2009-05-29
・F-Secure Hydra: 3.08.9080, 2009-05-30
>>131,>>199
[7/8:白(1)] 追加+4
\bb021908.exe\dpcxool64.sys : Trojan.Win32.VB.psi
\bb021908.exe\spopdkc.exe : Trojan.Win32.Delf.mso
\bb021908.exe\tpsaxyd.exe : Trojan.Win32.Delf.mso
readme.pdf : Trojan.JS.Agent.age
白判定 : SudoPlanet_setup.exe
>>139,>>200
[8/8] 追加+2
install.exe : Trojan-Downloader.Win32.FraudLoad.eln
pdf.pdf : Exploit.Win32.Pidief.avw
>>151,>>201
[26/27] 追加+19
1.exe : Trojan:W32/Agent.KPJ
e98m.pdf : Exploit.Win32.Pidief.awp
EXP_pdf.pdf : Exploit.Win32.Pidief.awf
file.exe : Worm.Win32.AutoRun.ajoi
file2.exe : Trojan-Spy.Win32.Zbot.uty
install2.exe : Trojan:W32/InternetAntivirus.AV
install3.exe : Trojan:W32/InternetAntivirus.AW
(続く)
・ウィルス: 2009-05-30_01
・スパイウェア: 2009-05-29_11
スキャン エンジン:
・F-Secure AVP: 7.00.171, 2009-05-29
・F-Secure Hydra: 3.08.9080, 2009-05-30
>>131,>>199
[7/8:白(1)] 追加+4
\bb021908.exe\dpcxool64.sys : Trojan.Win32.VB.psi
\bb021908.exe\spopdkc.exe : Trojan.Win32.Delf.mso
\bb021908.exe\tpsaxyd.exe : Trojan.Win32.Delf.mso
readme.pdf : Trojan.JS.Agent.age
白判定 : SudoPlanet_setup.exe
>>139,>>200
[8/8] 追加+2
install.exe : Trojan-Downloader.Win32.FraudLoad.eln
pdf.pdf : Exploit.Win32.Pidief.avw
>>151,>>201
[26/27] 追加+19
1.exe : Trojan:W32/Agent.KPJ
e98m.pdf : Exploit.Win32.Pidief.awp
EXP_pdf.pdf : Exploit.Win32.Pidief.awf
file.exe : Worm.Win32.AutoRun.ajoi
file2.exe : Trojan-Spy.Win32.Zbot.uty
install2.exe : Trojan:W32/InternetAntivirus.AV
install3.exe : Trojan:W32/InternetAntivirus.AW
(続く)
264 :名無しさん@お腹いっぱい。:2009/05/31(日) 04:44:25
F-Secure Internet Security 2009
>>263続き
Install_11-1.exe : Rogue:W32/XPAntivirus.GQA
ldr.exe : Trojan:W32/Zbot.OTV
load.php : Trojan:W32/Agent.KPI
load2.exe : Email-Worm.Win32.Joleee.bot
load2.php : Trojan-Downloader:W32/Bredolab.G
load3.php : Trojan-Downloader:W32/Bredolab.F
m.dll : Trojan:W32/FakeAlert.FJ
pdf.php : Exploit.Win32.Pidief.awe
softwarefortubeview.45013.exe : Trojan:W32/Agent.KPK
spl.php : Exploit.Win32.Pidief.awo
spl2.php : Exploit.Win32.Pidief.awn
sta.exe : Trojan.Win32.Obfuscated.afvj
未回答 : access.exe
>>166,>>202
[187/336] 追加+32
白判定 : go.exe, maya4.0.exe
未検出、未回答 : read.php, u89(1).exe, u89.exe, xx(1).htm, xx(2).htm, xx(3).htm
>>263続き
Install_11-1.exe : Rogue:W32/XPAntivirus.GQA
ldr.exe : Trojan:W32/Zbot.OTV
load.php : Trojan:W32/Agent.KPI
load2.exe : Email-Worm.Win32.Joleee.bot
load2.php : Trojan-Downloader:W32/Bredolab.G
load3.php : Trojan-Downloader:W32/Bredolab.F
m.dll : Trojan:W32/FakeAlert.FJ
pdf.php : Exploit.Win32.Pidief.awe
softwarefortubeview.45013.exe : Trojan:W32/Agent.KPK
spl.php : Exploit.Win32.Pidief.awo
spl2.php : Exploit.Win32.Pidief.awn
sta.exe : Trojan.Win32.Obfuscated.afvj
未回答 : access.exe
>>166,>>202
[187/336] 追加+32
白判定 : go.exe, maya4.0.exe
未検出、未回答 : read.php, u89(1).exe, u89.exe, xx(1).htm, xx(2).htm, xx(3).htm
265 :名無しさん@お腹いっぱい。:2009/05/31(日) 04:52:26
F-Secure Internet Security 2009 定義>>263
>>183,>>203
[11/12] 追加+7
\1\rensuz.exe : Trojan:W32/BHO.EXG
\3\file.exe.exe : Trojan-Downloader:W32/Bredolab.F
\4\dfff.prod.exe : Trojan-Downloader.Win32.Agent.cajp
\7\file.exe : Trojan-Spy.Win32.Zbot.uty
\8\bot.exe : Trojan-Spy.Win32.Zbot.uyu
\9\load.exe : ail-Worm.Win32.Joleee.bpc
\a\install1.exe : Trojan:W32/Agent.KQC
\b\malay.exe : Trojan.Win32.BHO.tbl
未検出、未回答 : \5\setup.exe
>>183,>>203
[11/12] 追加+7
\1\rensuz.exe : Trojan:W32/BHO.EXG
\3\file.exe.exe : Trojan-Downloader:W32/Bredolab.F
\4\dfff.prod.exe : Trojan-Downloader.Win32.Agent.cajp
\7\file.exe : Trojan-Spy.Win32.Zbot.uty
\8\bot.exe : Trojan-Spy.Win32.Zbot.uyu
\9\load.exe : ail-Worm.Win32.Joleee.bpc
\a\install1.exe : Trojan:W32/Agent.KQC
\b\malay.exe : Trojan.Win32.BHO.tbl
未検出、未回答 : \5\setup.exe
266 :名無しさん@お腹いっぱい。:2009/05/31(日) 05:21:25
F-Secure Internet Security 2009 定義>>263
>>214
[2/2]
\090527\joewn.htm : Exploit.JS.Agent.aev
\090527\MsAccess.htm : Trojan-Downloader.JS.Agent.dwa
>>232
[5/6]
1.exe : Trojan.Win32.Agent.cjoh
file.exe : Backdoor.Win32.Small.uk
fxtoolbar.exe : AdWare.Win32.Mostofate
softwarefortubeview.45044-2.exe : Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.45044.exe : Trojan-Downloader.Win32.FraudLoad.emq
未検出 : antivirus-pro.exe
>>236
[7/7]
0.pdf : Exploit:JS/Pidief.ET
0.swf : Trojan-Downloader:W32/Swif.F
install.exe : Trojan-Dropper.Win32.FrauDrop.bm
install-2.exe : Trojan-Dropper.Win32.FrauDrop.bm
install-3.exe : Trojan-Dropper.Win32.FrauDrop.bm
softwarefortubeview.40028.exe : Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.40028-2.exe : Trojan-Downloader.Win32.FraudLoad.emq
>>214
[2/2]
\090527\joewn.htm : Exploit.JS.Agent.aev
\090527\MsAccess.htm : Trojan-Downloader.JS.Agent.dwa
>>232
[5/6]
1.exe : Trojan.Win32.Agent.cjoh
file.exe : Backdoor.Win32.Small.uk
fxtoolbar.exe : AdWare.Win32.Mostofate
softwarefortubeview.45044-2.exe : Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.45044.exe : Trojan-Downloader.Win32.FraudLoad.emq
未検出 : antivirus-pro.exe
>>236
[7/7]
0.pdf : Exploit:JS/Pidief.ET
0.swf : Trojan-Downloader:W32/Swif.F
install.exe : Trojan-Dropper.Win32.FrauDrop.bm
install-2.exe : Trojan-Dropper.Win32.FrauDrop.bm
install-3.exe : Trojan-Dropper.Win32.FrauDrop.bm
softwarefortubeview.40028.exe : Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.40028-2.exe : Trojan-Downloader.Win32.FraudLoad.emq
267 :名無しさん@お腹いっぱい。:2009/05/31(日) 05:40:21
F-Secure Internet Security 2009 定義>>263
>>246
[4/9]
file1.exe : Trojan-Spy.Win32.Zbot.gen
Install_2009-1.exe : Packed.Win32.PolyCrypt.d
installer_70100.exe : Trojan-Downloader:W32/Renos.gen!J
setup.exe : Trojan-Downloader:W32/Renos.gen!J
未検出 : file.exe, install.exe, install-1384.exe, install2.exe, kkb.exe
>>252
VirusTotal検出するのに検出しないとは、と思ったら。
http://www.f-secure.co.jp/v-descs/v-descs3/Suspicious_W32_MalwareGemini.htm
http://www.f-secure.com/v-descs/suspicious_w32_malware!gemini.shtml
DeepGuardが有効なら、システムアクセスが拒否され、起動がブロックされる。
>>246
[4/9]
file1.exe : Trojan-Spy.Win32.Zbot.gen
Install_2009-1.exe : Packed.Win32.PolyCrypt.d
installer_70100.exe : Trojan-Downloader:W32/Renos.gen!J
setup.exe : Trojan-Downloader:W32/Renos.gen!J
未検出 : file.exe, install.exe, install-1384.exe, install2.exe, kkb.exe
>>252
VirusTotal検出するのに検出しないとは、と思ったら。
http://www.f-secure.co.jp/v-descs/v-descs3/Suspicious_W32_MalwareGemini.htm
http://www.f-secure.com/v-descs/suspicious_w32_malware!gemini.shtml
DeepGuardが有効なら、システムアクセスが拒否され、起動がブロックされる。
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=355
DL virus/解凍 virus
【中身】3個入っています。
FakeText_Filekiller.exe
http://www.virustotal.com/jp/analisis/74ac63f8be7d9eece4c6d46c4c14d5db99be1abb4a6d205a990f17c7f41572d5-1243669540 (8/40)
load.php
http://www.virustotal.com/jp/analisis/e51515a30bb1c6ad7b344c0096afca73a949d3f0e3ecbf9f03ab0479780bb0a5-1243670266 (10/40) - VT側ロスト
registr.exe
http://www.virustotal.com/jp/analisis/b0494be1eb6fab21a112794b2a457a28f7a4d7774e27d3620e5af12502e89035-1243670459 (18/40)
AVIRAとKasperskyに未検出分を提出済み
なお、ただ今またも全鯖規制巻き込まれ中に付き、しばらく書き込めません。
>261さんの件は後日返事いたします。
DL virus/解凍 virus
【中身】3個入っています。
FakeText_Filekiller.exe
http://www.virustotal.com/jp/analisis/74ac63f8be7d9eece4c6d46c4c14d5db99be1abb4a6d205a990f17c7f41572d5-1243669540 (8/40)
load.php
http://www.virustotal.com/jp/analisis/e51515a30bb1c6ad7b344c0096afca73a949d3f0e3ecbf9f03ab0479780bb0a5-1243670266 (10/40) - VT側ロスト
registr.exe
http://www.virustotal.com/jp/analisis/b0494be1eb6fab21a112794b2a457a28f7a4d7774e27d3620e5af12502e89035-1243670459 (18/40)
AVIRAとKasperskyに未検出分を提出済み
なお、ただ今またも全鯖規制巻き込まれ中に付き、しばらく書き込めません。
>261さんの件は後日返事いたします。
269 :名無しさん@お腹いっぱい。:2009/05/31(日) 14:19:48
>>268
各社一通り提出完了。
各社一通り提出完了。
270 :名無しさん@お腹いっぱい。:2009/05/31(日) 14:44:38
>>268
カスペ
FakeText_Filekiller.exe_ - Trojan.Win32.KillFiles.arp
New malicious software
load.php - Trojan-Downloader.Win32.Small.akzq,
registr.exe_ - Trojan.Win32.Rabbit.bz
These files are already detected.
カスペ
FakeText_Filekiller.exe_ - Trojan.Win32.KillFiles.arp
New malicious software
load.php - Trojan-Downloader.Win32.Small.akzq,
registr.exe_ - Trojan.Win32.Rabbit.bz
These files are already detected.
271 :名無しさん@お腹いっぱい。:2009/05/31(日) 14:49:09
>>268
McAfee
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
faketext_filekiller.|inconclusive | | |no
load.php |new detection |generic.dx!dt |Trojan |yes
registr.exe |new detection |generic downloader.x!ch |Trojan |yes
Symantec
filename: FakeText_Filekiller.exe
result: See the developer notes -> 手動解析へ
filename: registr.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: load.php
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
McAfee
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
faketext_filekiller.|inconclusive | | |no
load.php |new detection |generic.dx!dt |Trojan |yes
registr.exe |new detection |generic downloader.x!ch |Trojan |yes
Symantec
filename: FakeText_Filekiller.exe
result: See the developer notes -> 手動解析へ
filename: registr.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: load.php
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
272 :こなた ◆KONATAzZoM :2009/05/31(日) 17:35:58
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-29
* F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09
>>268
[検出結果:0/3]
SASへ登録しました。
SASでの検出は以下のとおりです。
------------------------------------------------------------
0355\FakeText_Filekiller.exe:W32/Malware
0355\load.php:[SUSPICIOUS] NO DETECTION
0355\registr.exe:Trojan.Win32.Rabbit.bz
------------------------------------------------------------
VTと同じですね…。load.phpだけアヤシイですが。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-29
* F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09
>>268
[検出結果:0/3]
SASへ登録しました。
SASでの検出は以下のとおりです。
------------------------------------------------------------
0355\FakeText_Filekiller.exe:W32/Malware
0355\load.php:[SUSPICIOUS] NO DETECTION
0355\registr.exe:Trojan.Win32.Rabbit.bz
------------------------------------------------------------
VTと同じですね…。load.phpだけアヤシイですが。
273 :名無しさん@お腹いっぱい。:2009/05/31(日) 19:26:41
>>246 Symantec返答。
install-1384.exeをばらした、agent.exeとpc.exeも入れたのでファイルの個数が2個増えてます。
中身は検知するけど、外側の方は手動解析なんですねぇ。
filename: install.exe
result: This file is detected as Packed.Generic.200.
filename: agent.exe
filename: pc.exe
result: This file is detected as PrivacyCenter.
filename: setup.exe
result: This file is detected as AntiVirus2008.
filename: installer_70100.exe
result: This file is detected as XPAntivirus.
filename: Install_2009-1.exe
result: This file is detected as Downloader.Misleadapp.
filename: file.exe
result: This file is detected as Packed.Generic.200.
filename: install2.exe
filename: kkb.exe
filename: file1.exe
filename: install-1384.exe
result: See the developer notes
filename: JS_Gamburl.gen!A.7z(おまけで送ったGENOの呼び出しhtmlセット)
result: See the developer notes
install-1384.exeをばらした、agent.exeとpc.exeも入れたのでファイルの個数が2個増えてます。
中身は検知するけど、外側の方は手動解析なんですねぇ。
filename: install.exe
result: This file is detected as Packed.Generic.200.
filename: agent.exe
filename: pc.exe
result: This file is detected as PrivacyCenter.
filename: setup.exe
result: This file is detected as AntiVirus2008.
filename: installer_70100.exe
result: This file is detected as XPAntivirus.
filename: Install_2009-1.exe
result: This file is detected as Downloader.Misleadapp.
filename: file.exe
result: This file is detected as Packed.Generic.200.
filename: install2.exe
filename: kkb.exe
filename: file1.exe
filename: install-1384.exe
result: See the developer notes
filename: JS_Gamburl.gen!A.7z(おまけで送ったGENOの呼び出しhtmlセット)
result: See the developer notes
274 :名無しさん@お腹いっぱい。:2009/05/31(日) 19:45:33
>>268
トレンドマイクロ返答
We are glad to inform you that the detection for TSPY_AGENT.ASH is now available for
downloading using CPR 6.158.33.
1つしか名前来てないので、他のが既知なのか、これから対応なのかは不明ですが…。
トレンドマイクロ返答
We are glad to inform you that the detection for TSPY_AGENT.ASH is now available for
downloading using CPR 6.158.33.
1つしか名前来てないので、他のが既知なのか、これから対応なのかは不明ですが…。
275 :名無しさん@お腹いっぱい。:2009/05/31(日) 19:59:22
276 :名無しさん@お腹いっぱい。:2009/05/31(日) 21:17:32
Rising 2009 21.40.63 (21.31.63.00)
>>61
softwarefortubeview.40000.exe: Trojan.DL.Win32.Undef.epl
2+1=3/4
>>96
install2.exe: Trojan.Win32.FakeAV.oh
5+1=6/8
>>151
install.exe: Trojan.Win32.FakeAV.oh
7+1=8/27
>>232
1.exe>>Aspack212r: Trojan.PSW.Win32.QQPass.ejf
softwarefortubeview.45044-2.exe: AdWare.Win32.Undef.ewm
softwarefortubeview.45044.exe: AdWare.Win32.Undef.ewm
3/6
>>236
install-2.exe: Trojan.Win32.FakeAV.oh
install-3.exe: Trojan.Win32.FakeAV.oh
install.exe: Trojan.Win32.FakeAV.oh
softwarefortubeview.40028-2.exe: AdWare.Win32.Undef.ewm
softwarefortubeview.40028.exe: AdWare.Win32.Undef.ewm
5/7
>>246
install2.exe: Trojan.Win32.FakeAV.oh
1+1=2/9
>>268
スルー
>>61
softwarefortubeview.40000.exe: Trojan.DL.Win32.Undef.epl
2+1=3/4
>>96
install2.exe: Trojan.Win32.FakeAV.oh
5+1=6/8
>>151
install.exe: Trojan.Win32.FakeAV.oh
7+1=8/27
>>232
1.exe>>Aspack212r: Trojan.PSW.Win32.QQPass.ejf
softwarefortubeview.45044-2.exe: AdWare.Win32.Undef.ewm
softwarefortubeview.45044.exe: AdWare.Win32.Undef.ewm
3/6
>>236
install-2.exe: Trojan.Win32.FakeAV.oh
install-3.exe: Trojan.Win32.FakeAV.oh
install.exe: Trojan.Win32.FakeAV.oh
softwarefortubeview.40028-2.exe: AdWare.Win32.Undef.ewm
softwarefortubeview.40028.exe: AdWare.Win32.Undef.ewm
5/7
>>246
install2.exe: Trojan.Win32.FakeAV.oh
1+1=2/9
>>268
スルー
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=356
DL virus/解凍 virus
【中身】 15個入っています。
AVIRAとKasperskyに未検出分を提出済み。偽codecの未検出ベンダーが多いので全部入れたため、ファイルが大きいです。
書き込み代行を依頼しているので、詳細省略します。スミマセン。
(行数制限に引っかかると、転載しれくれる人の迷惑になってしまうので)
DL virus/解凍 virus
【中身】 15個入っています。
AVIRAとKasperskyに未検出分を提出済み。偽codecの未検出ベンダーが多いので全部入れたため、ファイルが大きいです。
書き込み代行を依頼しているので、詳細省略します。スミマセン。
(行数制限に引っかかると、転載しれくれる人の迷惑になってしまうので)
278 :名無しさん@お腹いっぱい。:2009/06/01(月) 02:17:35
Rising 2009 21.40.64 (21.31.64.00)
>>277
install.exe: Trojan.Win32.FakeAV.oh
install2.exe: Trojan.Win32.FakeAV.oh
検体提出完了(大きいのはバイナリがほぼ同じだったので2つだけ提出)
>>277
install.exe: Trojan.Win32.FakeAV.oh
install2.exe: Trojan.Win32.FakeAV.oh
検体提出完了(大きいのはバイナリがほぼ同じだったので2つだけ提出)
279 :こなた ◆KONATAzZoM :2009/06/01(月) 04:36:02
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-29
* F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09
>>277
[検出結果:3/16]
tane0356\193.pdf -> Exploit.PDF-JS.Gen [検疫可]
tane0356\212.pdf -> Exploit.PDF-JS.Gen [検疫可]
tane0356\softwarefortubeview.45052.exe -> Gen:Trojan.Heur.Dropper.50629D9D9D [検疫可]
未検出分を2回に分けてSASへ登録しました。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-29
* F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09
>>277
[検出結果:3/16]
tane0356\193.pdf -> Exploit.PDF-JS.Gen [検疫可]
tane0356\212.pdf -> Exploit.PDF-JS.Gen [検疫可]
tane0356\softwarefortubeview.45052.exe -> Gen:Trojan.Heur.Dropper.50629D9D9D [検疫可]
未検出分を2回に分けてSASへ登録しました。
280 :こなた ◆KONATAzZoM :2009/06/01(月) 04:40:23
(>>279の続き)
以下、SASにてSUSPICIOUS判定となったものです。
下記以外は全部 NO DETECTION でした。
/dating.exe
/Fake_mpeg.mpg
/Fake_mpeg.mpg/agent.exe
/Fake_mpeg.mpg/pc.exe
/flash_player_v11.exe/agent.exe
/free_stream_video.exe
/install.exe
/install2.exe
/softwarefortubeview_45019.exe
/softwarefortubeview.45052-2.exe
/star.exe
/flash_player_plugin.exe
/flash_player.exe
/flash_player.exe/agent.exe
そして今からおやすみなさいです…
絶対に寝坊する…絶対に…
以下、SASにてSUSPICIOUS判定となったものです。
下記以外は全部 NO DETECTION でした。
/dating.exe
/Fake_mpeg.mpg
/Fake_mpeg.mpg/agent.exe
/Fake_mpeg.mpg/pc.exe
/flash_player_v11.exe/agent.exe
/free_stream_video.exe
/install.exe
/install2.exe
/softwarefortubeview_45019.exe
/softwarefortubeview.45052-2.exe
/star.exe
/flash_player_plugin.exe
/flash_player.exe
/flash_player.exe/agent.exe
そして今からおやすみなさいです…
絶対に寝坊する…絶対に…
281 :こなた ◆KONATAzZoM :2009/06/01(月) 04:47:52
>>277
どうせなら、検体と一緒に詳細情報を同梱してくれればよかったのでは?
チェックしてる人が気づいて書き込んでくれたりとか、ベンダーへの提出時の参考資料にもなるし…
…と今更ながら思ってみたり……
では、おやすみなさい…です。
どうせなら、検体と一緒に詳細情報を同梱してくれればよかったのでは?
チェックしてる人が気づいて書き込んでくれたりとか、ベンダーへの提出時の参考資料にもなるし…
…と今更ながら思ってみたり……
では、おやすみなさい…です。
ああ、exeを解凍した中身が同じだったんすね
283 :名無しさん@お腹いっぱい。:2009/06/01(月) 06:19:06
>>277
McAfee (Active Protection 無効)10/15
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
212.pdf |inconclusive | | |no
dating.exe |inconclusive | | |no
setup.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no
star.exe |new detection |backdoor-cep.svr |Trojan |yes
McAfee (Active Protection 無効)10/15
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
212.pdf |inconclusive | | |no
dating.exe |inconclusive | | |no
setup.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no
star.exe |new detection |backdoor-cep.svr |Trojan |yes
284 :名無しさん@お腹いっぱい。:2009/06/01(月) 08:30:48
king 2009.05.31.21
未検出分は提出しました
>>268
0355\registr.exe - Win32.Troj.Rabbit.bz.20991
>>277
0356\softwarefortubeview_45019.exe - Win32.TrojDownloader.CodecPack.115766
0356\softwarefortubeview.45052-2.exe -Win32.TrojDownloader.CodecPack.115766
未検出分は提出しました
>>268
0355\registr.exe - Win32.Troj.Rabbit.bz.20991
>>277
0356\softwarefortubeview_45019.exe - Win32.TrojDownloader.CodecPack.115766
0356\softwarefortubeview.45052-2.exe -Win32.TrojDownloader.CodecPack.115766
285 :名無しさん@お腹いっぱい。:2009/06/01(月) 11:34:00
FISTPのSASって何?
どういうシステム?
どういうシステム?
286 :名無しさん@お腹いっぱい。:2009/06/01(月) 11:38:14
>>277
(NormanとZonerは面倒くさいので後回しですが)、他は一通り各社に提出完了。
(NormanとZonerは面倒くさいので後回しですが)、他は一通り各社に提出完了。
287 :名無しさん@お腹いっぱい。:2009/06/01(月) 14:46:06
>>277 提出含めd
カスペ2009 13:54
(検体提出より時間がたっているため参考)
14/15、未検出1 (dating.exe)
Detected Trojan program Exploit.Win32.Pidief.axb /193.pdf
Detected Trojan program Exploit.Win32.Pidief.axp /212.pdf
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.cz /Fake_mpeg.mpg
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dc /flash_player.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dd /flash_player_plugin.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dd /flash_player_v11.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.da /free_stream_video.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bo /install.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bo /install2.exe
Detected Trojan program Trojan.RAR.Qhost.e /setup.exe
Detected Trojan program Trojan-GameThief.Win32.Magania.beur /softwarefortubeview.45052.exe
Detected Trojan program Trojan-Downloader.Win32.CodecPack.hyi /softwarefortubeview.45052-2.exe
Detected Trojan program Trojan-Downloader.Win32.CodecPack.hyi /softwarefortubeview_45019.exe
Detected Trojan program Backdoor.Win32.Bifrose.fpc /star.exe
カスペ2009 13:54
(検体提出より時間がたっているため参考)
14/15、未検出1 (dating.exe)
Detected Trojan program Exploit.Win32.Pidief.axb /193.pdf
Detected Trojan program Exploit.Win32.Pidief.axp /212.pdf
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.cz /Fake_mpeg.mpg
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dc /flash_player.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dd /flash_player_plugin.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dd /flash_player_v11.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.da /free_stream_video.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bo /install.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bo /install2.exe
Detected Trojan program Trojan.RAR.Qhost.e /setup.exe
Detected Trojan program Trojan-GameThief.Win32.Magania.beur /softwarefortubeview.45052.exe
Detected Trojan program Trojan-Downloader.Win32.CodecPack.hyi /softwarefortubeview.45052-2.exe
Detected Trojan program Trojan-Downloader.Win32.CodecPack.hyi /softwarefortubeview_45019.exe
Detected Trojan program Backdoor.Win32.Bifrose.fpc /star.exe
289 :名無しさん@お腹いっぱい。:2009/06/01(月) 21:07:56
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=357
infected
検体入手元
www■redro-stonean■com/mpg.rar
(www■redro-stonean■com/mpg.rar//mpg.scr//data0002//にも
アクセスしてましたがこちらは不明・・・)
mpg.rar (28/39)
http://www.virustotal.com/jp/analisis/89df9122c2f0803a78943ef3c9046d78fcb3dce04228af71beb2517010e647b6-1243856119
>>214と同一系統ですがスクリプトではなくrarファイルです。
検出数はヒューリスティックによるものが多そうでした。
avira提出済み。
infected
検体入手元
www■redro-stonean■com/mpg.rar
(www■redro-stonean■com/mpg.rar//mpg.scr//data0002//にも
アクセスしてましたがこちらは不明・・・)
mpg.rar (28/39)
http://www.virustotal.com/jp/analisis/89df9122c2f0803a78943ef3c9046d78fcb3dce04228af71beb2517010e647b6-1243856119
>>214と同一系統ですがスクリプトではなくrarファイルです。
検出数はヒューリスティックによるものが多そうでした。
avira提出済み。
290 :名無しさん@お腹いっぱい。:2009/06/01(月) 21:16:36 BE:463870027-2BP(0)
http://pc11.2ch.net/test/read.cgi/sec/1243346768/560,575
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=358 dlkey: zSAdcfsd
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=358 dlkey: zSAdcfsd
291 :名無しさん@お腹いっぱい。:2009/06/01(月) 22:03:07
>>289
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
mpg.scr |inconclusive | | |no
>>290
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
banner.gif.bin |inconclusive | | |no
loader.html |inconclusive | | |no
winqwl32.dll |inconclusive | | |no
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
mpg.scr |inconclusive | | |no
>>290
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
banner.gif.bin |inconclusive | | |no
loader.html |inconclusive | | |no
winqwl32.dll |inconclusive | | |no
292 :名無しさん@お腹いっぱい。:2009/06/01(月) 22:18:48
Rising Antivirus Free Edition 2009 21.41.03 (21.32.03.00)
前スレ>713 (tane0302)
id3_20090504.swf: Hack.Exploit.Win32.Swf.b
id10_200905004.exe: Trojan.Spy.Win32.Undef.ik
2/2
前スレ>775 (tane0310)
89238632.zip>>mm.exe: Suspicious: Packer.Win32.UnkPacker.b → Trojan.PSW.Win32.Undef.bex
mm.exe: Suspicious: Packer.Win32.UnkPacker.b → Trojan.PSW.Win32.Undef.bex
3(+2)→3+2=5/6
>>139
install.exe: Trojan.Spy.Win32.Undef.it
Install_2019.exe: AdWare.Win32.FakeAV.cu
3+2=5/8
>>151
e98m.pdf: Hack.Exploit.Win32.PDF.jtd
file2.exe: Trojan.Spy.Win32.Undef.im
Install_11-1.exe: AdWare.Win32.FakeAV.ct
load2.exe: Trojan.Spy.Win32.Undef.io
load2.php: Trojan.Spy.Win32.Undef.iq
load.php: Trojan.Spy.Win32.FakeMS.k
loadhelp.exe: Trojan.Spy.Win32.Undef.ir
readme.pdf: Hack.Exploit.Win32.PDF.jte
spl2.php: Hack.Exploit.Win32.PDF.jtc
spl.php: Hack.Exploit.Win32.PDF.jtb
sta.exe: Trojan.Spy.Win32.Undef.ip
z.exe: Trojan.Spy.Win32.Undef.is
8+12=20/27
前スレ>713 (tane0302)
id3_20090504.swf: Hack.Exploit.Win32.Swf.b
id10_200905004.exe: Trojan.Spy.Win32.Undef.ik
2/2
前スレ>775 (tane0310)
89238632.zip>>mm.exe: Suspicious: Packer.Win32.UnkPacker.b → Trojan.PSW.Win32.Undef.bex
mm.exe: Suspicious: Packer.Win32.UnkPacker.b → Trojan.PSW.Win32.Undef.bex
3(+2)→3+2=5/6
>>139
install.exe: Trojan.Spy.Win32.Undef.it
Install_2019.exe: AdWare.Win32.FakeAV.cu
3+2=5/8
>>151
e98m.pdf: Hack.Exploit.Win32.PDF.jtd
file2.exe: Trojan.Spy.Win32.Undef.im
Install_11-1.exe: AdWare.Win32.FakeAV.ct
load2.exe: Trojan.Spy.Win32.Undef.io
load2.php: Trojan.Spy.Win32.Undef.iq
load.php: Trojan.Spy.Win32.FakeMS.k
loadhelp.exe: Trojan.Spy.Win32.Undef.ir
readme.pdf: Hack.Exploit.Win32.PDF.jte
spl2.php: Hack.Exploit.Win32.PDF.jtc
spl.php: Hack.Exploit.Win32.PDF.jtb
sta.exe: Trojan.Spy.Win32.Undef.ip
z.exe: Trojan.Spy.Win32.Undef.is
8+12=20/27
Rising 2009
>>183
7\file.exe: Trojan.Spy.Win32.Undef.im
1+1=2/12
>>246
install.exe: Trojan.Win32.Nodef.jrb
2+1=3/9
>>268
load.php: Trojan.Spy.Win32.Agent.etg
1/3
>>277
dating.exe: Trojan.Win32.Nodef.jre
2+1=3/15
>>289
mpg.zip>>mpg.rar>>mpg.scr>>ftp18.exe: Backdoor.Win32.PcClient.ueb
1/1
(RIS試用版からRAVフリー版に乗り換えました)
>>183
7\file.exe: Trojan.Spy.Win32.Undef.im
1+1=2/12
>>246
install.exe: Trojan.Win32.Nodef.jrb
2+1=3/9
>>268
load.php: Trojan.Spy.Win32.Agent.etg
1/3
>>277
dating.exe: Trojan.Win32.Nodef.jre
2+1=3/15
>>289
mpg.zip>>mpg.rar>>mpg.scr>>ftp18.exe: Backdoor.Win32.PcClient.ueb
1/1
(RIS試用版からRAVフリー版に乗り換えました)
294 :名無しさん@お腹いっぱい。:2009/06/01(月) 22:20:55
カスペ2009 21:58:00
>>290
d
Detected Trojan program Backdoor.Win32.PcClient.aodb tane0357.zip/mpg.zip/mpg.rar/mpg.scr
>>291 (※解凍P/W "infected")
d
1/3
Detected virus HEUR:Exploit.Script.Generic tane0358.rar/loader.html
検体提出します。
>>290
d
Detected Trojan program Backdoor.Win32.PcClient.aodb tane0357.zip/mpg.zip/mpg.rar/mpg.scr
>>291 (※解凍P/W "infected")
d
1/3
Detected virus HEUR:Exploit.Script.Generic tane0358.rar/loader.html
検体提出します。
295 :名無しさん@お腹いっぱい。:2009/06/01(月) 22:31:50
296 :こなた ◆KONATAzZoM :2009/06/01(月) 22:57:24
お疲れ様です。
F-Secureより回答がありましたので報告します。
>>232 回答:06/01 07:10 (JST)
>>236 回答:06/01 05:58 (JST)
>>246 回答:06/01 06:17 (JST)
>>277 回答:06/01 05:35 (JST) & 05:59 (JST)
すべて同回答です。
> Hello,
> Thank you for your e-mail.
> The files you sent was found to be malicious. An appropriate detection will be added
> in one of the next database updates.
現在のところDBが更新されていないため、再確認は保留しています。
>>285
SAS:Sample Analysis System
ISTPでもIS2009でも一緒です。詳しいことはF-Secureスレでお願いします。
F-Secureより回答がありましたので報告します。
>>232 回答:06/01 07:10 (JST)
>>236 回答:06/01 05:58 (JST)
>>246 回答:06/01 06:17 (JST)
>>277 回答:06/01 05:35 (JST) & 05:59 (JST)
すべて同回答です。
> Hello,
> Thank you for your e-mail.
> The files you sent was found to be malicious. An appropriate detection will be added
> in one of the next database updates.
現在のところDBが更新されていないため、再確認は保留しています。
>>285
SAS:Sample Analysis System
ISTPでもIS2009でも一緒です。詳しいことはF-Secureスレでお願いします。
297 :名無しさん@お腹いっぱい。:2009/06/01(月) 23:18:07 BE:331335825-2BP(0)
>>290 の続き 司令ファイルが取れたので、目視で落としてみた
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=359
pr, prx は古い。らしい。たぶんgt が本命。発動条件とかは不明。
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=359
pr, prx は古い。らしい。たぶんgt が本命。発動条件とかは不明。
298 :こなた ◆KONATAzZoM :2009/06/02(火) 00:14:48
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-29
* F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09
>>290
[検出結果:0/3]
>>293
[検出結果:2/3]
0359\pr.bin -> Trojan.Generic.468831 [検疫可]
0359\prx.bin -> BehavesLike:Trojan.FirewallBypass [検疫可]
本命(?)のgtは検出されず…
怪しいので丸ごとすべてSASへ登録しました。
SASでの自動判定では、下記以外はNOT DETECTED
0358.rar/banner.gif.bin -> SUSPICIOUS
0358.rar/winqwl32.dll -> SUSPICIOUS
0359.rar/pr.bin -> Trojan-PSW.Win32.LdPinch.aawc : F-Secure Engine
0359.rar/prx.bin -> Trojan-PSW.Win32.LdPinch.abip : F-Secure Engine
以上です。
お休みなさいませ…
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-29
* F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09
>>290
[検出結果:0/3]
>>293
[検出結果:2/3]
0359\pr.bin -> Trojan.Generic.468831 [検疫可]
0359\prx.bin -> BehavesLike:Trojan.FirewallBypass [検疫可]
本命(?)のgtは検出されず…
怪しいので丸ごとすべてSASへ登録しました。
SASでの自動判定では、下記以外はNOT DETECTED
0358.rar/banner.gif.bin -> SUSPICIOUS
0358.rar/winqwl32.dll -> SUSPICIOUS
0359.rar/pr.bin -> Trojan-PSW.Win32.LdPinch.aawc : F-Secure Engine
0359.rar/prx.bin -> Trojan-PSW.Win32.LdPinch.abip : F-Secure Engine
以上です。
お休みなさいませ…
カスペからの返事
>>291
1+1=2/3、回答待ち1
loader.html_ - Trojan-Downloader.JS.Psyme.aoc (←HEUR:Exploit.Script.Generic)
banner.gif.bin - Trojan.Win32.Agent.ckio
New malicious software was found in this file.
>>297 d
カスペ2009 22:57
2/3
Detected Trojan program Trojan-PSW.Win32.LdPinch.aawc pr.bin
Detected Trojan program Trojan-PSW.Win32.LdPinch.abip prx.bin
検体提出します。
dlkey: zSAdcfsd
DLパスワードは"virus"とか"infected"とかわかりやすいのにしてほしい。お願い。
>>291
1+1=2/3、回答待ち1
loader.html_ - Trojan-Downloader.JS.Psyme.aoc (←HEUR:Exploit.Script.Generic)
banner.gif.bin - Trojan.Win32.Agent.ckio
New malicious software was found in this file.
>>297 d
カスペ2009 22:57
2/3
Detected Trojan program Trojan-PSW.Win32.LdPinch.aawc pr.bin
Detected Trojan program Trojan-PSW.Win32.LdPinch.abip prx.bin
検体提出します。
dlkey: zSAdcfsd
DLパスワードは"virus"とか"infected"とかわかりやすいのにしてほしい。お願い。
300 :名無しさん@お腹いっぱい。:2009/06/02(火) 05:20:31
>>297
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gt.bin |inconclusive | | |no
pr.bin |current detection |pws-ldpinch |Trojan |no
prx.bin |inconclusive | | |no
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gt.bin |inconclusive | | |no
pr.bin |current detection |pws-ldpinch |Trojan |no
prx.bin |inconclusive | | |no
>>261
さて、規制解除されたのでレス返し。
AVIRAですが、過去にはGenもチョコチョコ提出していたのですが、Genで検出できるものは、その後名前が変わることは
ほとんど無いようです。(つまり、GenはずっとGenのままらしい。というか、名前が変わった例が記憶にない。)
AVIRAは、Genで検出できるものはGen任せにしておいて、未検出の新種対応を優先している感じがしますね。
AVIRAにとってはGenで検出=Genシグネチャの優秀性の実証、というレベルではないかと。
多分、Genの場合、普通とは逆に誤検出をホワイトリストに入れていく方式を取っているのではないかと予想しています。
# そういう意味では、XPACKやZPACKのGenが一番非道い気もする。(w
なんで、AVIRAの場合、Genであることを気にするとキリが無いので流した方が良いです。経験上、提出しても名前変わりませんし。
あと、私が提出しているものは、AVIRAで検出=マルウェアという扱いではなく、マルウェア候補のリストから検体確保
→ VirustotalとAVIRAとKasperskyでチェック → スレ提出なので、AVIRAの判断で白黒決めているわけではないです。
(AVIRAもKasperskyもスルーでも、VTの結果をもとに提出していることも多いです。)
【おまけ】
ROMの人で、ここで検出されているのに手元のAVIRAが検出しないことがある場合、メニューのConfigrationを開いて、
Expert ModeのチェックボックスをOnにした後、
ScannerのScanで
FilesをALL filesに変更
Additional settingsでSearch for Rootkits before scanをチェック
Generalで出てくる検出カテゴリーのボックスで、検出して欲しいものにチェック
特にSPR(セキュリティ プライバシー リスク)は必ずチェックを入れる。
(SPRで検出する偽Antivirusや偽codec等がたまにあるので、チェックしておかないと見落とし出ます。)
さて、規制解除されたのでレス返し。
AVIRAですが、過去にはGenもチョコチョコ提出していたのですが、Genで検出できるものは、その後名前が変わることは
ほとんど無いようです。(つまり、GenはずっとGenのままらしい。というか、名前が変わった例が記憶にない。)
AVIRAは、Genで検出できるものはGen任せにしておいて、未検出の新種対応を優先している感じがしますね。
AVIRAにとってはGenで検出=Genシグネチャの優秀性の実証、というレベルではないかと。
多分、Genの場合、普通とは逆に誤検出をホワイトリストに入れていく方式を取っているのではないかと予想しています。
# そういう意味では、XPACKやZPACKのGenが一番非道い気もする。(w
なんで、AVIRAの場合、Genであることを気にするとキリが無いので流した方が良いです。経験上、提出しても名前変わりませんし。
あと、私が提出しているものは、AVIRAで検出=マルウェアという扱いではなく、マルウェア候補のリストから検体確保
→ VirustotalとAVIRAとKasperskyでチェック → スレ提出なので、AVIRAの判断で白黒決めているわけではないです。
(AVIRAもKasperskyもスルーでも、VTの結果をもとに提出していることも多いです。)
【おまけ】
ROMの人で、ここで検出されているのに手元のAVIRAが検出しないことがある場合、メニューのConfigrationを開いて、
Expert ModeのチェックボックスをOnにした後、
ScannerのScanで
FilesをALL filesに変更
Additional settingsでSearch for Rootkits before scanをチェック
Generalで出てくる検出カテゴリーのボックスで、検出して欲しいものにチェック
特にSPR(セキュリティ プライバシー リスク)は必ずチェックを入れる。
(SPRで検出する偽Antivirusや偽codec等がたまにあるので、チェックしておかないと見落とし出ます。)
>>278
>277に同じようなものが全部入っている理由は、それぞれ違う方法で改変されているらしく、Kasperskyでも検出したりしなかったり、
検出名が変わっていたりしたためです。 なんで、全部出しておいて、できれば各ベンダーに判断してもらった方が良いかな、と。
>>281
最初は詳細情報のテキストを同梱しようかと思ったのですが、それをやると>268のような偽テキストのマルウェアが入った場合に
開く人が出る可能性があったので、止めました。
ということで、私のプロパイダ、全鯖規制は数日で解除されることが多いので、今回はシベリア郵便局経由で書き込み代行してもらいました。
# 配達員の方ありがとう。
>>288
dating.exeですが、Kasperskyの判断、白→黒にひっくり返りました。現在はTrojan.Win32.Rabbit.czとして検出します。 一応報告。
>277に同じようなものが全部入っている理由は、それぞれ違う方法で改変されているらしく、Kasperskyでも検出したりしなかったり、
検出名が変わっていたりしたためです。 なんで、全部出しておいて、できれば各ベンダーに判断してもらった方が良いかな、と。
>>281
最初は詳細情報のテキストを同梱しようかと思ったのですが、それをやると>268のような偽テキストのマルウェアが入った場合に
開く人が出る可能性があったので、止めました。
ということで、私のプロパイダ、全鯖規制は数日で解除されることが多いので、今回はシベリア郵便局経由で書き込み代行してもらいました。
# 配達員の方ありがとう。
>>288
dating.exeですが、Kasperskyの判断、白→黒にひっくり返りました。現在はTrojan.Win32.Rabbit.czとして検出します。 一応報告。
>>303
インフォメーション(1/2)
find26.exe
http://www.virustotal.com/jp/analisis/5ef1a85565154678edccb138025dd01176b41703d372bd727629e354814d3cd1-1243954219 (21/39)
free_trial_version.exe
http://www.virustotal.com/jp/analisis/cb60bd34ff9685a06c5034883d747da4aa60a83b26f1bc49315b90a83c7d5be3-1243953979 (16/40)
ii.pdf
http://www.virustotal.com/jp/analisis/ff1278c37a2e8c84ee5e778514a5c7de77d23b07959442f16c14d857cac2031e-1243953476 (16/39)
index.php
http://www.virustotal.com/jp/analisis/9521d4e3385239b08afa6365958f6ebc99afbaea1eb2dd1afaa46b5a95f4dafd-1243953671 (6/39)
install.exe
http://www.virustotal.com/jp/analisis/326056e80892e429f1f40d7afcea60c87516c490530c7b62555c50377a9e8899-1243948471 (6/39)
install2.exe
http://www.virustotal.com/jp/analisis/8f1a3c56d40dbbc4e5071495b55dbf131ad0ea7cc466f81d03f1546b7a87bd86-1243948819 (6/40)
install3.exe
http://www.virustotal.com/jp/analisis/bcd892933598546faab8e1398e57efb0821830a16e63820b3dc10b9016bc5e58-1243949714 (6/40)
ldr.exe
http://www.virustotal.com/jp/analisis/8781bf4a84ad4c6a6a4680878f19d54e7b91c5bc654f01815c3051976ce739a3-1243952794 (19/35)
インフォメーション(1/2)
find26.exe
http://www.virustotal.com/jp/analisis/5ef1a85565154678edccb138025dd01176b41703d372bd727629e354814d3cd1-1243954219 (21/39)
free_trial_version.exe
http://www.virustotal.com/jp/analisis/cb60bd34ff9685a06c5034883d747da4aa60a83b26f1bc49315b90a83c7d5be3-1243953979 (16/40)
ii.pdf
http://www.virustotal.com/jp/analisis/ff1278c37a2e8c84ee5e778514a5c7de77d23b07959442f16c14d857cac2031e-1243953476 (16/39)
index.php
http://www.virustotal.com/jp/analisis/9521d4e3385239b08afa6365958f6ebc99afbaea1eb2dd1afaa46b5a95f4dafd-1243953671 (6/39)
install.exe
http://www.virustotal.com/jp/analisis/326056e80892e429f1f40d7afcea60c87516c490530c7b62555c50377a9e8899-1243948471 (6/39)
install2.exe
http://www.virustotal.com/jp/analisis/8f1a3c56d40dbbc4e5071495b55dbf131ad0ea7cc466f81d03f1546b7a87bd86-1243948819 (6/40)
install3.exe
http://www.virustotal.com/jp/analisis/bcd892933598546faab8e1398e57efb0821830a16e63820b3dc10b9016bc5e58-1243949714 (6/40)
ldr.exe
http://www.virustotal.com/jp/analisis/8781bf4a84ad4c6a6a4680878f19d54e7b91c5bc654f01815c3051976ce739a3-1243952794 (19/35)
>>303
インフォメーション(2/2)
news.php
http://www.virustotal.com/jp/analisis/2903b291949d233f661f55e8d242bd772a9760b1a76a7424030cfc1a3fd10c29-1243952616 (21/40)
Official-eMule_setup.exe
http://www.virustotal.com/jp/analisis/349711cef7150ee1380b51a97119dfeb0a33e9fb87fb187063354b9d4fe892ea-1243947376 (8/40)
ret26.exe
http://www.virustotal.com/jp/analisis/462fdc59e2b02635f709bf606e2cdf6bbb44b9206c24a3cd7b4738405fc2c4ab-1243954375 (21/40)
setup.exe
http://www.virustotal.com/jp/analisis/f86a5e0960c2bc58bf1edd170b09dfcb1414992e05b8863aef7a7001466b8a3e-1243951941 (17/40)
softwarefortubeview.40064.exe
http://www.virustotal.com/jp/analisis/492e450e2f272cb5365a3cdb4676564f09cc0f34916efb0c1e4f8e89233b70b1-1243951101 (2/40)
softwarefortubeview.40064-2.exe
http://www.virustotal.com/jp/analisis/655278e93dd3c4399def8e74177abe80d905850bef6a92b8ba6a72647bc144f0-1243952339 (2/40)
softwarefortubeview.45059.exe
http://www.virustotal.com/jp/analisis/26adc48376dd61dd71113feb18eae7ca49abf7187db0bc705882eccc48f2b986-1243950050 (2/40)
softwarefortubeview.45059-2.exe
http://www.virustotal.com/jp/analisis/1e0735441232e9bfab1c7074fb2aa19cbebbd2cf195ad52ba26656de2636bdc3-1243951483 (16/40)
インフォメーション(2/2)
news.php
http://www.virustotal.com/jp/analisis/2903b291949d233f661f55e8d242bd772a9760b1a76a7424030cfc1a3fd10c29-1243952616 (21/40)
Official-eMule_setup.exe
http://www.virustotal.com/jp/analisis/349711cef7150ee1380b51a97119dfeb0a33e9fb87fb187063354b9d4fe892ea-1243947376 (8/40)
ret26.exe
http://www.virustotal.com/jp/analisis/462fdc59e2b02635f709bf606e2cdf6bbb44b9206c24a3cd7b4738405fc2c4ab-1243954375 (21/40)
setup.exe
http://www.virustotal.com/jp/analisis/f86a5e0960c2bc58bf1edd170b09dfcb1414992e05b8863aef7a7001466b8a3e-1243951941 (17/40)
softwarefortubeview.40064.exe
http://www.virustotal.com/jp/analisis/492e450e2f272cb5365a3cdb4676564f09cc0f34916efb0c1e4f8e89233b70b1-1243951101 (2/40)
softwarefortubeview.40064-2.exe
http://www.virustotal.com/jp/analisis/655278e93dd3c4399def8e74177abe80d905850bef6a92b8ba6a72647bc144f0-1243952339 (2/40)
softwarefortubeview.45059.exe
http://www.virustotal.com/jp/analisis/26adc48376dd61dd71113feb18eae7ca49abf7187db0bc705882eccc48f2b986-1243950050 (2/40)
softwarefortubeview.45059-2.exe
http://www.virustotal.com/jp/analisis/1e0735441232e9bfab1c7074fb2aa19cbebbd2cf195ad52ba26656de2636bdc3-1243951483 (16/40)
>>303
AVIRA9 7.01.04.47
find26.exe - TR/Inject.acaz.1
free_trial_version.exe - SPR/Fraud.PrivC.2
ii.pdf - HEUR/HTML.Malware (MALWARE)
index.php - (UNDER ANALYSIS)
install.exe - TR/Dropper.Gen
install2.exe - TR/Dropper.Gen
install3.exe- TR/Dropper.Gen
ldr.exe - TR/Spy.ZBot.vyo
news.php - TR/Agent.cjze
Official-eMule_setup.exe - (UNDER ANALYSIS)
ret26.exe - TR/Inject.acaz
setup.exe - TR/Downloader.Gen
softwarefortubeview.40064.exe - (UNDER ANALYSIS)
softwarefortubeview.40064-2.exe - (UNDER ANALYSIS)
softwarefortubeview.45059.exe - (UNDER ANALYSIS)
softwarefortubeview.45059-2.exe - TR/PSW.Magania.beur.3
黒11,解析中5
AVIRA9 7.01.04.47
find26.exe - TR/Inject.acaz.1
free_trial_version.exe - SPR/Fraud.PrivC.2
ii.pdf - HEUR/HTML.Malware (MALWARE)
index.php - (UNDER ANALYSIS)
install.exe - TR/Dropper.Gen
install2.exe - TR/Dropper.Gen
install3.exe- TR/Dropper.Gen
ldr.exe - TR/Spy.ZBot.vyo
news.php - TR/Agent.cjze
Official-eMule_setup.exe - (UNDER ANALYSIS)
ret26.exe - TR/Inject.acaz
setup.exe - TR/Downloader.Gen
softwarefortubeview.40064.exe - (UNDER ANALYSIS)
softwarefortubeview.40064-2.exe - (UNDER ANALYSIS)
softwarefortubeview.45059.exe - (UNDER ANALYSIS)
softwarefortubeview.45059-2.exe - TR/PSW.Magania.beur.3
黒11,解析中5
>>303
Kaspersky 2009/06/02 23:30:00
find26.exe - Trojan.Win32.Inject.acaz
free_trial_version.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.di
ii.pdf - Exploit.Win32.Pidief.axr
index.php - Trojan-Downloader.JS.Psyme.aod
install.exe -
install2.exe -
install3.exe-
ldr.exe - Trojan-Spy.Win32.Zbot.vyo
news.php - Trojan.Win32.Agent.cjze
Official-eMule_setup.exe -
ret26.exe - Trojan.Win32.Inject.acaz
setup.exe -
softwarefortubeview.40064.exe -
softwarefortubeview.40064-2.exe -
softwarefortubeview.45059.exe -
softwarefortubeview.45059-2.exe - Trojan-GameThief.Win32.Magania.beur
黒8,未検出分8個提出。
Kaspersky 2009/06/02 23:30:00
find26.exe - Trojan.Win32.Inject.acaz
free_trial_version.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.di
ii.pdf - Exploit.Win32.Pidief.axr
index.php - Trojan-Downloader.JS.Psyme.aod
install.exe -
install2.exe -
install3.exe-
ldr.exe - Trojan-Spy.Win32.Zbot.vyo
news.php - Trojan.Win32.Agent.cjze
Official-eMule_setup.exe -
ret26.exe - Trojan.Win32.Inject.acaz
setup.exe -
softwarefortubeview.40064.exe -
softwarefortubeview.40064-2.exe -
softwarefortubeview.45059.exe -
softwarefortubeview.45059-2.exe - Trojan-GameThief.Win32.Magania.beur
黒8,未検出分8個提出。
308 :名無しさん@お腹いっぱい。:2009/06/03(水) 00:43:11
Rising 2009 21.41.14 (21.32.14.00)
>>139
softwarefortubeview.45027-2.exe: Trojan.Spy.Win32.Undef.iw
ws.exe: AdWare.Win32.FakeAV.cv
5+2=7/8
>>151
ldr.exe: Trojan.Spy.Win32.Undef.iu
pdf.php: Hack.Exploit.Win32.PDF.jtf
softwarefortubeview.45013.exe: Trojan.Spy.Win32.Undef.iv
20+3=23/27(残り4体は不是病毒との返答あり)
>>166
175+1=176/197
>>236
0.swf: Hack.Exploit.Swf.b
5+1=6/7
>>277
softwarefortubeview.45052-2.exe: Trojan.Spy.Win32.Undef.iy
softwarefortubeview_45019.exe: Trojan.DL.Win32.Nodef.ra
193.pdf: Hack.Exploit.Win32.PDF.jtg
3+3=6/15
>>290
winqwl32.dll: Trojan.DL.Win32.Undef.erw
1/3
>>303
install.exe, install2.exe, install3.exe: Trojan.Win32.FakeAV.oh
find26.exe, ldr.exe, ret26.exe: Suspicious:Packer.Win32.UnkPacker.a
6/16
検体提出完了
>>302
了解です
>>139
softwarefortubeview.45027-2.exe: Trojan.Spy.Win32.Undef.iw
ws.exe: AdWare.Win32.FakeAV.cv
5+2=7/8
>>151
ldr.exe: Trojan.Spy.Win32.Undef.iu
pdf.php: Hack.Exploit.Win32.PDF.jtf
softwarefortubeview.45013.exe: Trojan.Spy.Win32.Undef.iv
20+3=23/27(残り4体は不是病毒との返答あり)
>>166
175+1=176/197
>>236
0.swf: Hack.Exploit.Swf.b
5+1=6/7
>>277
softwarefortubeview.45052-2.exe: Trojan.Spy.Win32.Undef.iy
softwarefortubeview_45019.exe: Trojan.DL.Win32.Nodef.ra
193.pdf: Hack.Exploit.Win32.PDF.jtg
3+3=6/15
>>290
winqwl32.dll: Trojan.DL.Win32.Undef.erw
1/3
>>303
install.exe, install2.exe, install3.exe: Trojan.Win32.FakeAV.oh
find26.exe, ldr.exe, ret26.exe: Suspicious:Packer.Win32.UnkPacker.a
6/16
検体提出完了
>>302
了解です
309 :名無しさん@お腹いっぱい。:2009/06/03(水) 05:21:15
>>303
McAfee (Active Protection 無効)7/16
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
find26.exe |inconclusive | | |no
index.php |inconclusive | | |no
install.exe |new detection |fakealert-dk |Trojan |yes
install2.exe |inconclusive | | |no
install3.exe |new detection |fakealert-dk |Trojan |yes
ldr.exe |inconclusive | | |no
ret26.exe |inconclusive | | |no
setup.exe |new detection |w32/koobface.worm |Virus |yes
softwarefortubeview.|new detection |downloader-bqj |Trojan |yes
McAfee (Active Protection 無効)7/16
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
find26.exe |inconclusive | | |no
index.php |inconclusive | | |no
install.exe |new detection |fakealert-dk |Trojan |yes
install2.exe |inconclusive | | |no
install3.exe |new detection |fakealert-dk |Trojan |yes
ldr.exe |inconclusive | | |no
ret26.exe |inconclusive | | |no
setup.exe |new detection |w32/koobface.worm |Virus |yes
softwarefortubeview.|new detection |downloader-bqj |Trojan |yes
310 :名無しさん@お腹いっぱい。:2009/06/03(水) 07:30:10
311 :名無しさん@お腹いっぱい。:2009/06/03(水) 09:38:37
>>303
king 2009.6.2.21
tane0360\find26.exe -Win32.Troj.Inject.38400
tane0360\news.php -Win32.Troj.Agent.27648
tane0360\softwarefortubeview.45059-2.exe -Win32.PSWTroj.Magania.94375 成功(操作:削除)
3/16
未検出分を提出させて頂きました
king 2009.6.2.21
tane0360\find26.exe -Win32.Troj.Inject.38400
tane0360\news.php -Win32.Troj.Agent.27648
tane0360\softwarefortubeview.45059-2.exe -Win32.PSWTroj.Magania.94375 成功(操作:削除)
3/16
未検出分を提出させて頂きました
312 :名無しさん@お腹いっぱい。:2009/06/03(水) 15:56:48
カスペ2010 15:19:00 検知状況
>>303 d
>>307 代理提出d
8+4=12/16
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bu tane0360.zip/install.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bv tane0360.zip/install2.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bw tane0360.zip/install3.exe
Detected virus Net-Worm.Win32.Koobface.np tane0360.zip/setup.exe
ヒューリスティックでの検知ないことから、KIS2009でも同結果、および、提出による事後検知と思われ。
>>303 d
>>307 代理提出d
8+4=12/16
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bu tane0360.zip/install.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bv tane0360.zip/install2.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bw tane0360.zip/install3.exe
Detected virus Net-Worm.Win32.Koobface.np tane0360.zip/setup.exe
ヒューリスティックでの検知ないことから、KIS2009でも同結果、および、提出による事後検知と思われ。
313 :名無しさん@お腹いっぱい。:2009/06/03(水) 22:04:44
>>303
COMODO InternetSecurity 1245
TrojWare.Win32.Trojan.Agent.::tane0360\find26.exe
TrojWare.JS.TrojanDownloader.::tane0360\index.php
TrojWare.Win32.Trojan.Agent.Gen@21432597::tane0360\news.php
TrojWare.Win32.TrojanSpy.Zbot.Gen@21432658::tane0360\ldr.exe
Heur.Suspicious@21423216::tane0360\ret26.exe
5/16
未検出分を提出しました。
COMODO InternetSecurity 1245
TrojWare.Win32.Trojan.Agent.::tane0360\find26.exe
TrojWare.JS.TrojanDownloader.::tane0360\index.php
TrojWare.Win32.Trojan.Agent.Gen@21432597::tane0360\news.php
TrojWare.Win32.TrojanSpy.Zbot.Gen@21432658::tane0360\ldr.exe
Heur.Suspicious@21423216::tane0360\ret26.exe
5/16
未検出分を提出しました。
314 :名無しさん@お腹いっぱい。:2009/06/03(水) 22:31:11
Rising 2009 21.41.24 (21.32.24.00)
>>246
install-1384.exe>>pc.exe: AdWare.Win32.FakeAV.cw
3+1=4/9
>>277
flash_player_v11.exe>>pc.exe: AdWare.Win32.FakeAV.cw
flash_player_plugin.exe>>pc.exe: AdWare.Win32.FakeAV.cw
flash_player.exe>>pc.exe: AdWare.Win32.FakeAV.cw
free_stream_video.exe>>pc.exe: AdWare.Win32.FakeAV.cw
Fake_mpeg.mpg>>pc.exe: AdWare.Win32.FakeAV.cw
star.exe: Backdoor.Win32.Bifrost.l
softwarefortubeview.45052.exe: Trojan.DL.Win32.Mnless.dsu
212.pdf: Hack.Exploit.Win32.PDF.jth
6+8=14/15(setup.exeは不是病毒との返答あり)
>>303
free_trial_version.exe>>pc.exe: AdWare.Win32.FakeAV.cw
ldr.exe: Suspicious:Packer.Win32.UnkPacker.a → Trojan.Spy.Win32.Undef.jg
setup.exe>>upx_c: Worm.Win32.Koobface.aa
softwarefortubeview.40064-2.exe: Trojan.Spy.Win32.Undef.jd
softwarefortubeview.40064.exe: Trojan.Spy.Win32.Undef.je
softwarefortubeview.45059-2.exe: Trojan.DL.Win32.Mnless.dsu
softwarefortubeview.45059.exe: Trojan.Spy.Win32.Undef.jf
3(+3)+7(-1)=10(+2)/16
>>246
install-1384.exe>>pc.exe: AdWare.Win32.FakeAV.cw
3+1=4/9
>>277
flash_player_v11.exe>>pc.exe: AdWare.Win32.FakeAV.cw
flash_player_plugin.exe>>pc.exe: AdWare.Win32.FakeAV.cw
flash_player.exe>>pc.exe: AdWare.Win32.FakeAV.cw
free_stream_video.exe>>pc.exe: AdWare.Win32.FakeAV.cw
Fake_mpeg.mpg>>pc.exe: AdWare.Win32.FakeAV.cw
star.exe: Backdoor.Win32.Bifrost.l
softwarefortubeview.45052.exe: Trojan.DL.Win32.Mnless.dsu
212.pdf: Hack.Exploit.Win32.PDF.jth
6+8=14/15(setup.exeは不是病毒との返答あり)
>>303
free_trial_version.exe>>pc.exe: AdWare.Win32.FakeAV.cw
ldr.exe: Suspicious:Packer.Win32.UnkPacker.a → Trojan.Spy.Win32.Undef.jg
setup.exe>>upx_c: Worm.Win32.Koobface.aa
softwarefortubeview.40064-2.exe: Trojan.Spy.Win32.Undef.jd
softwarefortubeview.40064.exe: Trojan.Spy.Win32.Undef.je
softwarefortubeview.45059-2.exe: Trojan.DL.Win32.Mnless.dsu
softwarefortubeview.45059.exe: Trojan.Spy.Win32.Undef.jf
3(+3)+7(-1)=10(+2)/16
315 :名無しさん@お腹いっぱい。:2009/06/03(水) 23:18:35
後れ馳せながら、AntiVir9 Free の検出結果。やっとおいついた。
>>290 tane0358
(3/3)
>>297 tane0359
(3/3)
>>303 tane0360
(14/16)
残2ファイルっすね。
ここまで、Avira他、マイナー各社にも一通り提出済み。
>>290 tane0358
(3/3)
>>297 tane0359
(3/3)
>>303 tane0360
(14/16)
残2ファイルっすね。
ここまで、Avira他、マイナー各社にも一通り提出済み。
316 :名無しさん@お腹いっぱい。:2009/06/04(木) 01:02:08
カスペ2009 0:11:00 検出状況
>>303 (>>307,312)
8+7=15/16
Detected Trojan program Trojan.Win32.FraudPack.onj tane0360.zip/softwarefortubeview.40064-2.exe
Detected Trojan program Trojan.Win32.FraudPack.onj tane0360.zip/softwarefortubeview.40064.exe
Detected Trojan program Trojan.Win32.FraudPack.onj tane0360.zip/softwarefortubeview.45059.exe
未検出分、ひとまず追送してみるかな。
>>303 (>>307,312)
8+7=15/16
Detected Trojan program Trojan.Win32.FraudPack.onj tane0360.zip/softwarefortubeview.40064-2.exe
Detected Trojan program Trojan.Win32.FraudPack.onj tane0360.zip/softwarefortubeview.40064.exe
Detected Trojan program Trojan.Win32.FraudPack.onj tane0360.zip/softwarefortubeview.45059.exe
未検出分、ひとまず追送してみるかな。
>>318
インフォメーション(1/2)
0.pdf
http://www.virustotal.com/jp/analisis/ab14b7ea87ba271215cf00a78fc9f4d6c56f4e2fcbbed6e8a38449f5f51f8ce6-1244038469 (14/40)
0.swf
http://www.virustotal.com/jp/analisis/89283c1c3eea158376311e44353fff05d1c863f7d621c85b4584569e5199dfba-1244038472 (8/40)
3.exe
http://www.virustotal.com/jp/analisis/ddcd76fe688f168808c68e60688c0e43edefc01961987ce0339844781b04388a-1244040010 (19/40)
av.exe
http://www.virustotal.com/jp/analisis/969c0f517f279dd68898eea50bb9ce51092acc3eca79fe963500b82f5c0d222a-1244042513 (21/40)
codec2009.exe
http://www.virustotal.com/jp/analisis/e68fa4b285f586475208458d3665871ba902a37787ccdbfd7a4e1ac7dbf725fe-1244038769 (24/39)
installer_70100.exe
http://www.virustotal.com/jp/analisis/af1db3d369de954640ac6b094f13621453624e4a64cb895c51fb71ff91079d6d-1244040739 (19/40)
load.exe
http://www.virustotal.com/jp/analisis/0e1527e28ecc2f45c9790a081d5d840eb22354852841ca34e156a82fa979063c-1244044994 (2/40)
nonus.pdf
http://www.virustotal.com/jp/analisis/4f308ff6cabf6cabef4c5de5815c1e67b501dd26487e47f6a9c197210f1c28a4-1244048308 (22/40)
pdf.pdf
http://www.virustotal.com/jp/analisis/4edfdf85eeecaa5937eb7c9bc64d39cb79fcb6e1b44db7eda480382cd652d728-1244037583 (15/38)
codec2009.exeとnonus.pdfは、圧縮する前に消し忘れたものなので、ほとんどのベンダーで提出不要だと思います。
インフォメーション(1/2)
0.pdf
http://www.virustotal.com/jp/analisis/ab14b7ea87ba271215cf00a78fc9f4d6c56f4e2fcbbed6e8a38449f5f51f8ce6-1244038469 (14/40)
0.swf
http://www.virustotal.com/jp/analisis/89283c1c3eea158376311e44353fff05d1c863f7d621c85b4584569e5199dfba-1244038472 (8/40)
3.exe
http://www.virustotal.com/jp/analisis/ddcd76fe688f168808c68e60688c0e43edefc01961987ce0339844781b04388a-1244040010 (19/40)
av.exe
http://www.virustotal.com/jp/analisis/969c0f517f279dd68898eea50bb9ce51092acc3eca79fe963500b82f5c0d222a-1244042513 (21/40)
codec2009.exe
http://www.virustotal.com/jp/analisis/e68fa4b285f586475208458d3665871ba902a37787ccdbfd7a4e1ac7dbf725fe-1244038769 (24/39)
installer_70100.exe
http://www.virustotal.com/jp/analisis/af1db3d369de954640ac6b094f13621453624e4a64cb895c51fb71ff91079d6d-1244040739 (19/40)
load.exe
http://www.virustotal.com/jp/analisis/0e1527e28ecc2f45c9790a081d5d840eb22354852841ca34e156a82fa979063c-1244044994 (2/40)
nonus.pdf
http://www.virustotal.com/jp/analisis/4f308ff6cabf6cabef4c5de5815c1e67b501dd26487e47f6a9c197210f1c28a4-1244048308 (22/40)
pdf.pdf
http://www.virustotal.com/jp/analisis/4edfdf85eeecaa5937eb7c9bc64d39cb79fcb6e1b44db7eda480382cd652d728-1244037583 (15/38)
codec2009.exeとnonus.pdfは、圧縮する前に消し忘れたものなので、ほとんどのベンダーで提出不要だと思います。
>>318
インフォメーション(2/2)
setup.exe
http://www.virustotal.com/jp/analisis/7753fee35552a72037f5b8143bd2eb80af62bb1ee6d25acd580b49125d2b76a5-1244040060 (19/40)
setup2.exe
http://www.virustotal.com/jp/analisis/481dd0bba1ecd2a2ced2bf8684d591bbd622583de5d38e9041b155b402be2854-1244041301 (7/39)
setup3.exe
http://www.virustotal.com/jp/analisis/55790235fb5df587bfc69001107c9f73bc834669793d4f57d8983253865a2034-1244045359 (16/39)
setup4.exe
http://www.virustotal.com/jp/analisis/fa7bcca65a1c661f93a0a2d1031162e12a4c27d86f49686e65a02d40762f74f8-1244041652 (12/40)
Setup5.exe
http://www.virustotal.com/jp/analisis/26ff35f15e34987fc1fa0a013c698f89236d26d5408cb0546fced41ed12db917-1244046140 (8/40)
softwarefortubeview.42002.exe
http://www.virustotal.com/jp/analisis/9c74514174a0f4c15f774cc27ba28ede680051f8af78c80a6a18c5b9578c37af-1244046896 (10/40)
インフォメーション(2/2)
setup.exe
http://www.virustotal.com/jp/analisis/7753fee35552a72037f5b8143bd2eb80af62bb1ee6d25acd580b49125d2b76a5-1244040060 (19/40)
setup2.exe
http://www.virustotal.com/jp/analisis/481dd0bba1ecd2a2ced2bf8684d591bbd622583de5d38e9041b155b402be2854-1244041301 (7/39)
setup3.exe
http://www.virustotal.com/jp/analisis/55790235fb5df587bfc69001107c9f73bc834669793d4f57d8983253865a2034-1244045359 (16/39)
setup4.exe
http://www.virustotal.com/jp/analisis/fa7bcca65a1c661f93a0a2d1031162e12a4c27d86f49686e65a02d40762f74f8-1244041652 (12/40)
Setup5.exe
http://www.virustotal.com/jp/analisis/26ff35f15e34987fc1fa0a013c698f89236d26d5408cb0546fced41ed12db917-1244046140 (8/40)
softwarefortubeview.42002.exe
http://www.virustotal.com/jp/analisis/9c74514174a0f4c15f774cc27ba28ede680051f8af78c80a6a18c5b9578c37af-1244046896 (10/40)
>>318
AVIRA9 7.01.04.54
0.pdf - HEUR/HTML.Malware - (UNDER ANALYSIS)
0.swf - (UNDER ANALYSIS)
3.exe - TR/Agent.ckiz
av.exe - TR/PSW.Wow.ozu
codec2009.exe - TR/Dldr.FraudLoad.wbmh
installer_70100.exe - TR/Dldr.Renos.bao.2
load.exe - (UNDER ANALYSIS)
nonus.pdf - HTML/Shellcode.Gen
pdf.pdf - HTML/Crypted.Gen
setup.exe - TR/Dldr.Renos.bao.3
setup2.exe - TR/Crypt.ZPACK.Gen
setup3.exe - TR/Downloader.Gen
setup4.exe - DR/MonaGray.AA
Setup5.exe - (TR/Fakealert.SM)
softwarefortubeview.42002.exe - (UNDER ANALYSIS)
黒10+1(次のアップデート待ち),HEUR1,解析中3。HEURも提出済み。
AVIRA9 7.01.04.54
0.pdf - HEUR/HTML.Malware - (UNDER ANALYSIS)
0.swf - (UNDER ANALYSIS)
3.exe - TR/Agent.ckiz
av.exe - TR/PSW.Wow.ozu
codec2009.exe - TR/Dldr.FraudLoad.wbmh
installer_70100.exe - TR/Dldr.Renos.bao.2
load.exe - (UNDER ANALYSIS)
nonus.pdf - HTML/Shellcode.Gen
pdf.pdf - HTML/Crypted.Gen
setup.exe - TR/Dldr.Renos.bao.3
setup2.exe - TR/Crypt.ZPACK.Gen
setup3.exe - TR/Downloader.Gen
setup4.exe - DR/MonaGray.AA
Setup5.exe - (TR/Fakealert.SM)
softwarefortubeview.42002.exe - (UNDER ANALYSIS)
黒10+1(次のアップデート待ち),HEUR1,解析中3。HEURも提出済み。
>>318
Kaspersky 2009/06/04 1:07:00
0.pdf - Exploit.Win32.Pidief.axs
0.swf - Exploit.SWF.Agent.at
3.exe - Trojan.Win32.Agent.ckiz
av.exe - Trojan-GameThief.Win32.WOW.ozu
codec2009.exe - Trojan-Downloader.Win32.FraudLoad.wbmh
installer_70100.exe - Trojan-Downloader.Win32.Agent.cdts
load.exe -
nonus.pdf - Exploit.Win32.Pidief.gx
pdf.pdf - Exploit.Win32.Pidief.axz
setup.exe - Trojan-Downloader.Win32.FraudLoad.enu
setup2.exe -
setup3.exe -
setup4.exe - Trojan.Win32.MonaGray.aa
Setup5.exe -
softwarefortubeview.42002.exe - Trojan-Downloader.Win32.CodecPack.hyp
黒11,未検出4。未検出分は提出済み。 流石に眠い...寝ます。 ノシ
Kaspersky 2009/06/04 1:07:00
0.pdf - Exploit.Win32.Pidief.axs
0.swf - Exploit.SWF.Agent.at
3.exe - Trojan.Win32.Agent.ckiz
av.exe - Trojan-GameThief.Win32.WOW.ozu
codec2009.exe - Trojan-Downloader.Win32.FraudLoad.wbmh
installer_70100.exe - Trojan-Downloader.Win32.Agent.cdts
load.exe -
nonus.pdf - Exploit.Win32.Pidief.gx
pdf.pdf - Exploit.Win32.Pidief.axz
setup.exe - Trojan-Downloader.Win32.FraudLoad.enu
setup2.exe -
setup3.exe -
setup4.exe - Trojan.Win32.MonaGray.aa
Setup5.exe -
softwarefortubeview.42002.exe - Trojan-Downloader.Win32.CodecPack.hyp
黒11,未検出4。未検出分は提出済み。 流石に眠い...寝ます。 ノシ
323 :名無しさん@お腹いっぱい。:2009/06/04(木) 02:33:10
>>318
McAfee (Active Protection 無効)9/15
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0.swf |inconclusive | | |no
av.exe |heuristic detection |new malware.al!enc |Trojan |no
setup5.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0.pdf |inconclusive | | |no
3.exe |new detection |generic.dx!ef |Trojan |yes
load.exe |inconclusive | | |no
setup3.exe |inconclusive | | |no
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup4.exe |inconclusive | | |no
McAfee (Active Protection 無効)9/15
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0.swf |inconclusive | | |no
av.exe |heuristic detection |new malware.al!enc |Trojan |no
setup5.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0.pdf |inconclusive | | |no
3.exe |new detection |generic.dx!ef |Trojan |yes
load.exe |inconclusive | | |no
setup3.exe |inconclusive | | |no
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup4.exe |inconclusive | | |no
324 :名無しさん@お腹いっぱい。:2009/06/04(木) 10:04:37 BE:530135982-2BP(0)
325 :名無しさん@お腹いっぱい。:2009/06/04(木) 10:52:14
>>318
NortonInternetSecurity2009
Bloodhound.PDF.12:0.pdf
Bloodhound.Exploit.196:pdf.pdf、nonus.pdf
Trojan Horse:3.exe、codec2009.exe
Downloader:0.swf
AntiVirus2008:installer_70100.exe、setup.exe
Infostealer.Gampass:av.exe
Downloader.MisleadApp:softwarefortubeview.42002.exe
10/15
これからPandaとあわせて検体提出します
それにしてもSymantecはこの手の検体に強い?
NortonInternetSecurity2009
Bloodhound.PDF.12:0.pdf
Bloodhound.Exploit.196:pdf.pdf、nonus.pdf
Trojan Horse:3.exe、codec2009.exe
Downloader:0.swf
AntiVirus2008:installer_70100.exe、setup.exe
Infostealer.Gampass:av.exe
Downloader.MisleadApp:softwarefortubeview.42002.exe
10/15
これからPandaとあわせて検体提出します
それにしてもSymantecはこの手の検体に強い?
326 :名無しさん@お腹いっぱい。:2009/06/04(木) 11:04:54
>>313
Symantecから
filename: Setup5.exe
machine: Machine
result: See the developer notes
filename: setup2.exe
machine: Machine
result: See the developer notes
filename: Setup4.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
filename: Setup3.exe
machine: Machine
result: This file is detected as W32.Koobface.A.
恐らく既に対応済みのものと混ざってたためかSee the developer notes のファイルは自動処理で終わるのか手動解析にまわされるのか不明な状態
Symantecから
filename: Setup5.exe
machine: Machine
result: See the developer notes
filename: setup2.exe
machine: Machine
result: See the developer notes
filename: Setup4.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
filename: Setup3.exe
machine: Machine
result: This file is detected as W32.Koobface.A.
恐らく既に対応済みのものと混ざってたためかSee the developer notes のファイルは自動処理で終わるのか手動解析にまわされるのか不明な状態
327 :名無しさん@お腹いっぱい。:2009/06/04(木) 12:16:57
>>318
Rising 2009
av.exe>>68: Trojan.PSW.Win32.OnlineGame.yvc
setup2.exe: Trojan.Win32.FakeAV.nz
2/15
検体提出済み
Rising 2009
av.exe>>68: Trojan.PSW.Win32.OnlineGame.yvc
setup2.exe: Trojan.Win32.FakeAV.nz
2/15
検体提出済み
カスペからの返事(代理提出分)
対象検体:>>297 (tane0359) >>299
2+事後検出1=3/3でクローズ
gt.bin - Trojan-Spy.Win32.Iespy.chm
New malicious software was found in this file.
対象検体:>>303(tane0360) (>>307,312,317)
15/16、白1でクローズ
Official-eMule_setup.exe_ - No malicious code was found in this file.
VTで黒判定高いだけにどうなんだろうね。
対象検体:>>290 (tane0358)
2/3
winqwl32.dll - 回答待ち。渋滞か多重提出?誰か返事来た?
対象検体:>>297 (tane0359) >>299
2+事後検出1=3/3でクローズ
gt.bin - Trojan-Spy.Win32.Iespy.chm
New malicious software was found in this file.
対象検体:>>303(tane0360) (>>307,312,317)
15/16、白1でクローズ
Official-eMule_setup.exe_ - No malicious code was found in this file.
VTで黒判定高いだけにどうなんだろうね。
対象検体:>>290 (tane0358)
2/3
winqwl32.dll - 回答待ち。渋滞か多重提出?誰か返事来た?
329 :名無しさん@お腹いっぱい。:2009/06/04(木) 17:10:04
>>318 d (tane0361)
>>322 代理提出d
カスペ2010 16:09:00
Detected Trojan program Trojan-Dropper.Win32.Small.dke tane0361.zip/load.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.wbqr tane0361.zip/setup2.exe
Detected virus Net-Worm.Win32.Koobface.ou tane0361.zip/Setup3.exe
11+事後検出3=14/15、回答待ち1 (setup5.exe)
>>322 代理提出d
カスペ2010 16:09:00
Detected Trojan program Trojan-Dropper.Win32.Small.dke tane0361.zip/load.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.wbqr tane0361.zip/setup2.exe
Detected virus Net-Worm.Win32.Koobface.ou tane0361.zip/Setup3.exe
11+事後検出3=14/15、回答待ち1 (setup5.exe)
330 :名無しさん@お腹いっぱい。:2009/06/04(木) 17:11:32
331 :名無しさん@お腹いっぱい。:2009/06/04(木) 17:29:28
>>318
NortonInternetSecurity2009
事後対応+1(>>326で既に対応したものは除く)
Trojan.Dropper:load.exe
>>326で対応したものを含めて現在の検出数12/15
NortonInternetSecurity2009
事後対応+1(>>326で既に対応したものは除く)
Trojan.Dropper:load.exe
>>326で対応したものを含めて現在の検出数12/15
332 :名無しさん@お腹いっぱい。:2009/06/04(木) 17:38:09
>>330
評価が二分するプログラムは、ポリシーの違いで灰色でいいんじゃない?
Windowsシステムファイルや、火狐などの有名なフリーウェアなら話は違うが、
訳のわからないどうでもいいマイナーなファイルを黒判定したベンダーに、False Alarmだと言って判定を覆させるのものも面倒だし、
ベンダーはいやがる。(プライオリティーが低いから、だいたい、調べないで黒です。で即答で帰ってくるのがオチ)
評価が二分するプログラムは、ポリシーの違いで灰色でいいんじゃない?
Windowsシステムファイルや、火狐などの有名なフリーウェアなら話は違うが、
訳のわからないどうでもいいマイナーなファイルを黒判定したベンダーに、False Alarmだと言って判定を覆させるのものも面倒だし、
ベンダーはいやがる。(プライオリティーが低いから、だいたい、調べないで黒です。で即答で帰ってくるのがオチ)
333 :名無しさん@お腹いっぱい。:2009/06/04(木) 19:47:05
対象検体:>>318 (tane0361)
>>322
14/15、白1でクローズ
Setup5.exe,
No malicious software was found in the attached file.
・KIS2010のSandboxで実行→Registry Cleaner Pro 2009のインストーラ起動→一応"Trusted"に分類。レジストリークリーナー?
怪しいから使わない。w
>>322
14/15、白1でクローズ
Setup5.exe,
No malicious software was found in the attached file.
・KIS2010のSandboxで実行→Registry Cleaner Pro 2009のインストーラ起動→一応"Trusted"に分類。レジストリークリーナー?
怪しいから使わない。w
335 :名無しさん@お腹いっぱい。:2009/06/04(木) 23:30:00
マルウェアとは限らないが、ぼったくり商法だったりすることはある模様w
336 :名無しさん@お腹いっぱい。:2009/06/05(金) 02:42:43
Rising 2009 21.41.34 (21.32.34.00)
>>246
kkb.exe: Backdoor.Win32.PcClient.ujw
4+1=5/9
>>303
news.php: Trojan.Spy.Win32.Agent.ets
10(+2)+1=11(+2)/16
>>318
load.exe: Trojan.Spy.Win32.Agent.etu
Setup3.exe>>upx_c: Worm.Win32.Koobface.ac
2+2=4/15
>>246
kkb.exe: Backdoor.Win32.PcClient.ujw
4+1=5/9
>>303
news.php: Trojan.Spy.Win32.Agent.ets
10(+2)+1=11(+2)/16
>>318
load.exe: Trojan.Spy.Win32.Agent.etu
Setup3.exe>>upx_c: Worm.Win32.Koobface.ac
2+2=4/15
337 :名無しさん@お腹いっぱい。:2009/06/05(金) 14:35:43
>>318
king 2009.6.5.7
tane0361\setup.exe -Win32.Troj.FakeAvT.ex.1298432
tane0361\installer_70100.exe -Win32.Troj.FakeAvT.ex.1298432
tane0361\codec2009.exe -Win32.TrojDownloader.FraudLoad.109571
3/15
未検出分を提出させて頂きました。
king 2009.6.5.7
tane0361\setup.exe -Win32.Troj.FakeAvT.ex.1298432
tane0361\installer_70100.exe -Win32.Troj.FakeAvT.ex.1298432
tane0361\codec2009.exe -Win32.TrojDownloader.FraudLoad.109571
3/15
未検出分を提出させて頂きました。
338 :名無しさん@お腹いっぱい。:2009/06/05(金) 18:35:01
>>318
king 2009.6.5.14
tane0361\softwarefortubeview.42002.exe -Win32.TrojDownloader.CodecPack.107948
tane0361\Setup3.exe -Worm.Koobface.ou.49152
tane0361\load.exe -Win32.Troj.Small.19456
tane0361\3.exe -Win32.Troj.Agent.96256
3+4=7/15
何か今回は早い対応だな・・・でも問題はココからです(汗
king 2009.6.5.14
tane0361\softwarefortubeview.42002.exe -Win32.TrojDownloader.CodecPack.107948
tane0361\Setup3.exe -Worm.Koobface.ou.49152
tane0361\load.exe -Win32.Troj.Small.19456
tane0361\3.exe -Win32.Troj.Agent.96256
3+4=7/15
何か今回は早い対応だな・・・でも問題はココからです(汗
AVIRA未検出分 結果報告
>>247
file.exe - TR/PCK.Tdss.M.90
install.exe - TR/PCK.Tdss.M.89
Install_2009-1.exe - TR/PCK.PolyCrypt.D.224
で>246は黒=事前6+事後3の全黒でclose.
>>268
FakeText_Filekiller.exe - TR/PSW.Agent.wpd
load.php - TR/Dldr.Small.akzq
registr.exe - TR/Rabbit.BZ Trojan
全黒でclose.
>>277
193.pdf - EXP/Pidief.YG.2
212.pdf - EXP/Pidief.aim
dating.exe - TR/Rabbit.CZ
Fake_mpeg.mpg - DR/Fraud.PrivacyCenter.CZ
flash_player.exe - SPR/Fraud.PrivC.1
flash_player_plugin.exe - DR/Fraud.PrivacyCenter.DC.1
flash_player_v11.exe - SPR/Fraud.PrivC.1
free_stream_video.exe - SPR/Fraud.PrivC.1
install.exe - TR/Dropper.Gen
install2.exe - TR/Dropper.Gen
setup.exe - DR/Qhost.E
softwarefortubeview.45052.exe - TR/PSW.Magania.beur.3
softwarefortubeview.45052-2.exe - TR/Dldr.CodecPack.hyi.20
softwarefortubeview_45019.exe - TR/Dldr.CodecPack.hyi.2
star.exe - BDS/Bifrose.azr
全黒でclose.
>>247
file.exe - TR/PCK.Tdss.M.90
install.exe - TR/PCK.Tdss.M.89
Install_2009-1.exe - TR/PCK.PolyCrypt.D.224
で>246は黒=事前6+事後3の全黒でclose.
>>268
FakeText_Filekiller.exe - TR/PSW.Agent.wpd
load.php - TR/Dldr.Small.akzq
registr.exe - TR/Rabbit.BZ Trojan
全黒でclose.
>>277
193.pdf - EXP/Pidief.YG.2
212.pdf - EXP/Pidief.aim
dating.exe - TR/Rabbit.CZ
Fake_mpeg.mpg - DR/Fraud.PrivacyCenter.CZ
flash_player.exe - SPR/Fraud.PrivC.1
flash_player_plugin.exe - DR/Fraud.PrivacyCenter.DC.1
flash_player_v11.exe - SPR/Fraud.PrivC.1
free_stream_video.exe - SPR/Fraud.PrivC.1
install.exe - TR/Dropper.Gen
install2.exe - TR/Dropper.Gen
setup.exe - DR/Qhost.E
softwarefortubeview.45052.exe - TR/PSW.Magania.beur.3
softwarefortubeview.45052-2.exe - TR/Dldr.CodecPack.hyi.20
softwarefortubeview_45019.exe - TR/Dldr.CodecPack.hyi.2
star.exe - BDS/Bifrose.azr
全黒でclose.
>>289
AVIRA9 7.01.04.63で、TR/Dropper.Genです。(検出名変更なし)
>>289 >315さん補足
AVIRA9 7.01.04.63
banner.gif.bin - TR/Agent.ckio
loader.html - JS/Dldr.Agent.10271
winqwl32.dll - TR/Agent.40960
全黒です。
>>397 >315さん補足
gt.bin - TR/Agent.58368
pr.bin - TR/Spy.Gen
prx.bin - TR/Spy.Gen
全黒です。
>>306
AVIRA9 7.01.04.47
ii.pdf - EXP/Pidief.jap (HEUR/HTML.Malwareから検出名確定)
index.php - JS/Dldr.Psyme.tkn
Official-eMule_setup.exe - TR/Dldr.Wintrim.BX.13
softwarefortubeview.40064.exe - TR/FraudPack.onj.1
softwarefortubeview.40064-2.exe - TR/FraudPack.onj
softwarefortubeview.45059.exe - TR/FraudPack.onj
HEURと解析中の6個全黒。で、>303も全黒でclose.
AVIRA9 7.01.04.63で、TR/Dropper.Genです。(検出名変更なし)
>>289 >315さん補足
AVIRA9 7.01.04.63
banner.gif.bin - TR/Agent.ckio
loader.html - JS/Dldr.Agent.10271
winqwl32.dll - TR/Agent.40960
全黒です。
>>397 >315さん補足
gt.bin - TR/Agent.58368
pr.bin - TR/Spy.Gen
prx.bin - TR/Spy.Gen
全黒です。
>>306
AVIRA9 7.01.04.47
ii.pdf - EXP/Pidief.jap (HEUR/HTML.Malwareから検出名確定)
index.php - JS/Dldr.Psyme.tkn
Official-eMule_setup.exe - TR/Dldr.Wintrim.BX.13
softwarefortubeview.40064.exe - TR/FraudPack.onj.1
softwarefortubeview.40064-2.exe - TR/FraudPack.onj
softwarefortubeview.45059.exe - TR/FraudPack.onj
HEURと解析中の6個全黒。で、>303も全黒でclose.
>>321
0.pdf - EXP/Pidief.bba (HEUR/HTML.Malwareから検出名確定)
0.swf - EXP/Flash.16487
load.exe - TR/Drop.Small.dke
softwarefortubeview.42002.exe - TR/Dldr.CodecPack.hyp.2
で、後からの分も黒確定で、>318は全黒でclose.
>>328,330,332
思うに、どうもDownloader系で判定が分かれやすい気がします。
それ自体は単にファイルを落として実行するだけで、それ以外の感染や書き換え等の動作をしない場合ですね。
提出して結果を見ていると、AVIRAはDownloaderもバシバシ黒判定出します。この辺、本当、ベンダーのポリシーだと思う...
0.pdf - EXP/Pidief.bba (HEUR/HTML.Malwareから検出名確定)
0.swf - EXP/Flash.16487
load.exe - TR/Drop.Small.dke
softwarefortubeview.42002.exe - TR/Dldr.CodecPack.hyp.2
で、後からの分も黒確定で、>318は全黒でclose.
>>328,330,332
思うに、どうもDownloader系で判定が分かれやすい気がします。
それ自体は単にファイルを落として実行するだけで、それ以外の感染や書き換え等の動作をしない場合ですね。
提出して結果を見ていると、AVIRAはDownloaderもバシバシ黒判定出します。この辺、本当、ベンダーのポリシーだと思う...
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=363
DL virus/解凍 virus
【中身】 14個入っています。 ちょっとテスト用に、たまには普段と違うものとしてRFIのコードを多めに集めてみました。
987.pdf
http://www.virustotal.com/jp/analisis/cd750f0627a5f0597d74b41a0c75b744ec451c9d72733c56d51533e9a5dfe805-1244210249 (14/40)
Install_2018.exe
http://www.virustotal.com/jp/analisis/fdcdf6c78ec33f14a421551a62e773b5d5c62335ff21a36608820f39276d3bf7-1244203905 (6/39)
ldr.exe
http://www.virustotal.com/jp/analisis/153eaac452a040ab230e3a23d6c97c2bc5280e2bc6cc043e8f618eedfa195865-1244211038 (18/40)
load.php
http://www.virustotal.com/jp/analisis/05e9c38100c6d59e834be1b848ab824eefe741d358e969d5e11cf6853d6ab7f5-1244210494 (17/40)
DL virus/解凍 virus
【中身】 14個入っています。 ちょっとテスト用に、たまには普段と違うものとしてRFIのコードを多めに集めてみました。
987.pdf
http://www.virustotal.com/jp/analisis/cd750f0627a5f0597d74b41a0c75b744ec451c9d72733c56d51533e9a5dfe805-1244210249 (14/40)
Install_2018.exe
http://www.virustotal.com/jp/analisis/fdcdf6c78ec33f14a421551a62e773b5d5c62335ff21a36608820f39276d3bf7-1244203905 (6/39)
ldr.exe
http://www.virustotal.com/jp/analisis/153eaac452a040ab230e3a23d6c97c2bc5280e2bc6cc043e8f618eedfa195865-1244211038 (18/40)
load.php
http://www.virustotal.com/jp/analisis/05e9c38100c6d59e834be1b848ab824eefe741d358e969d5e11cf6853d6ab7f5-1244210494 (17/40)
>>342 続き
malicious_PHP_01.txt
http://www.virustotal.com/jp/analisis/d14777bdb0a49c557c2d933e9a38c80d978ecd631efb1710591332a73f2d99ba-1244205751 (10/39)
malicious_PHP_02.txt
http://www.virustotal.com/jp/analisis/52b84832b4e272084bc1776d97abd6c05afe70eff99ea8538901d4e635b4df9e-1244206386 (16/40)
malicious_PHP_03.txt
http://www.virustotal.com/jp/analisis/7d4c4d5da4c3bbdd02c200cc86d04dd19a7b9063233741b002ebc9d21806437c-1244206748 (11/39)
malicious_PHP_04.txt
http://www.virustotal.com/jp/analisis/7a2d8152c1ff09a50921e5ccfdfcb5722f639d47e0c31db2b14ca06b37ba47b4-1244206985 (9/40)
malicious_PHP_05.txt
http://www.virustotal.com/jp/analisis/691be07829e7cee32e0c84677030b7dd405ce1918f75d3dea3a59c1439d7c50c-1244207285 (3/40)
malicious_PHP_06.txt
http://www.virustotal.com/jp/analisis/83129197f97e40a7f8451e78efdea4bc9b1d9bac77b0fee2b471daa1f648d21f-1244208045 (1/39)
malicious_PHP_07.txt
http://www.virustotal.com/jp/analisis/372fde4d23c90bc04e12da07e17cbf98a922124a7e8946fe72371817033c89e1-1244208564 (16/39)
malicious_PHP_08.txt
http://www.virustotal.com/jp/analisis/66945b139bd86c3cd44fa3d41d6491e41d52b7fe28ad984fda6a1f40985831ae-1244208998 (15/40)
malicious_PHP_09.txt
http://www.virustotal.com/jp/analisis/4247020616a348f3d988435acb008c56c0f132b2516641e95b890128faad221d-1244209193 (16/40)
malicious_PHP_10.txt
http://www.virustotal.com/jp/analisis/a94c7d30fc14a6f99f04359bd282d5158daa78fdaf2411ead0341fb591f8c07c-1244209833 (11/40)
malicious_PHP_01.txt
http://www.virustotal.com/jp/analisis/d14777bdb0a49c557c2d933e9a38c80d978ecd631efb1710591332a73f2d99ba-1244205751 (10/39)
malicious_PHP_02.txt
http://www.virustotal.com/jp/analisis/52b84832b4e272084bc1776d97abd6c05afe70eff99ea8538901d4e635b4df9e-1244206386 (16/40)
malicious_PHP_03.txt
http://www.virustotal.com/jp/analisis/7d4c4d5da4c3bbdd02c200cc86d04dd19a7b9063233741b002ebc9d21806437c-1244206748 (11/39)
malicious_PHP_04.txt
http://www.virustotal.com/jp/analisis/7a2d8152c1ff09a50921e5ccfdfcb5722f639d47e0c31db2b14ca06b37ba47b4-1244206985 (9/40)
malicious_PHP_05.txt
http://www.virustotal.com/jp/analisis/691be07829e7cee32e0c84677030b7dd405ce1918f75d3dea3a59c1439d7c50c-1244207285 (3/40)
malicious_PHP_06.txt
http://www.virustotal.com/jp/analisis/83129197f97e40a7f8451e78efdea4bc9b1d9bac77b0fee2b471daa1f648d21f-1244208045 (1/39)
malicious_PHP_07.txt
http://www.virustotal.com/jp/analisis/372fde4d23c90bc04e12da07e17cbf98a922124a7e8946fe72371817033c89e1-1244208564 (16/39)
malicious_PHP_08.txt
http://www.virustotal.com/jp/analisis/66945b139bd86c3cd44fa3d41d6491e41d52b7fe28ad984fda6a1f40985831ae-1244208998 (15/40)
malicious_PHP_09.txt
http://www.virustotal.com/jp/analisis/4247020616a348f3d988435acb008c56c0f132b2516641e95b890128faad221d-1244209193 (16/40)
malicious_PHP_10.txt
http://www.virustotal.com/jp/analisis/a94c7d30fc14a6f99f04359bd282d5158daa78fdaf2411ead0341fb591f8c07c-1244209833 (11/40)
>>342
AVIRA9 7.01.04.63
987.pdf - EXP/PDF.16462
ldr.exe - TR/Dropper.Gen
load.php - TR/Crypt.ZPACK.Gen
Install_2018.exe - TR/FakeXPA.A.265
malicious_PHP_01.txt - (UNDER ANALYSIS)
malicious_PHP_02.txt - PHP/Small.C
malicious_PHP_03.txt - (UNDER ANALYSIS)
malicious_PHP_04.txt - (UNDER ANALYSIS)
malicious_PHP_05.txt - (UNDER ANALYSIS)
malicious_PHP_06.txt - (UNDER ANALYSIS)
malicious_PHP_07.txt - SPR/PHP.ID
malicious_PHP_08.txt - SPR/PHP.ID
malicious_PHP_09.txt - (UNDER ANALYSIS)
malicious_PHP_10.txt - (UNDER ANALYSIS)
黒7,解析中7。未検出分 提出済み
AVIRA9 7.01.04.63
987.pdf - EXP/PDF.16462
ldr.exe - TR/Dropper.Gen
load.php - TR/Crypt.ZPACK.Gen
Install_2018.exe - TR/FakeXPA.A.265
malicious_PHP_01.txt - (UNDER ANALYSIS)
malicious_PHP_02.txt - PHP/Small.C
malicious_PHP_03.txt - (UNDER ANALYSIS)
malicious_PHP_04.txt - (UNDER ANALYSIS)
malicious_PHP_05.txt - (UNDER ANALYSIS)
malicious_PHP_06.txt - (UNDER ANALYSIS)
malicious_PHP_07.txt - SPR/PHP.ID
malicious_PHP_08.txt - SPR/PHP.ID
malicious_PHP_09.txt - (UNDER ANALYSIS)
malicious_PHP_10.txt - (UNDER ANALYSIS)
黒7,解析中7。未検出分 提出済み
>>342
Kaspersky 2009/06/05 21:23:00
987.pdf - Exploit.Win32.Pidief.ayf
ldr.exe - Backdoor.Win32.Turkojan.dsl
load.php -
Install_2018.exe -
malicious_PHP_01.txt -
malicious_PHP_02.txt -
malicious_PHP_03.txt -
malicious_PHP_04.txt -
malicious_PHP_05.txt -
malicious_PHP_06.txt -
malicious_PHP_07.txt - Trojan.PHP.PHPInfo.g
malicious_PHP_08.txt -
malicious_PHP_09.txt - Backdoor.PHP.Small.t
malicious_PHP_10.txt -
黒4,未検出10。未検出分 提出済み
Kaspersky 2009/06/05 21:23:00
987.pdf - Exploit.Win32.Pidief.ayf
ldr.exe - Backdoor.Win32.Turkojan.dsl
load.php -
Install_2018.exe -
malicious_PHP_01.txt -
malicious_PHP_02.txt -
malicious_PHP_03.txt -
malicious_PHP_04.txt -
malicious_PHP_05.txt -
malicious_PHP_06.txt -
malicious_PHP_07.txt - Trojan.PHP.PHPInfo.g
malicious_PHP_08.txt -
malicious_PHP_09.txt - Backdoor.PHP.Small.t
malicious_PHP_10.txt -
黒4,未検出10。未検出分 提出済み
346 :名無しさん@お腹いっぱい。:2009/06/06(土) 00:52:43
>>342
McAfee (Active Protection 無効)1/14
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install_2018.exe |inconclusive | | |no
ldr.exe |new detection |generic backdoor!bl |Trojan |yes
load.php |inconclusive | | |no
malicious_php_01.txt|inconclusive | | |no
malicious_php_02.txt|inconclusive | | |no
malicious_php_03.txt|inconclusive | | |no
malicious_php_04.txt|inconclusive | | |no
malicious_php_05.txt|inconclusive | | |no
malicious_php_06.txt|inconclusive | | |no
malicious_php_07.txt|inconclusive | | |no
malicious_php_08.txt|inconclusive | | |no
malicious_php_09.txt|inconclusive | | |no
malicious_php_10.txt|inconclusive | | |no
McAfee (Active Protection 無効)1/14
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install_2018.exe |inconclusive | | |no
ldr.exe |new detection |generic backdoor!bl |Trojan |yes
load.php |inconclusive | | |no
malicious_php_01.txt|inconclusive | | |no
malicious_php_02.txt|inconclusive | | |no
malicious_php_03.txt|inconclusive | | |no
malicious_php_04.txt|inconclusive | | |no
malicious_php_05.txt|inconclusive | | |no
malicious_php_06.txt|inconclusive | | |no
malicious_php_07.txt|inconclusive | | |no
malicious_php_08.txt|inconclusive | | |no
malicious_php_09.txt|inconclusive | | |no
malicious_php_10.txt|inconclusive | | |no
347 :名無しさん@お腹いっぱい。:2009/06/06(土) 07:10:46
>>342
SymantecとPandaに提出
SymantecとPandaに提出
348 :名無しさん@お腹いっぱい。:2009/06/06(土) 11:09:48
>>342
king 2009.6.6.1
tane0363\malicious_PHP_09.txt -JS.Downloader.gw.1229
tane0363\malicious_PHP_08.txt -JS.Agent.tv.847
tane0363\malicious_PHP_07.txt -JS.Downloader.gq.1356
tane0363\malicious_PHP_05.txt -VBS.BackDoor.yj
tane0363\ldr.exe - Win32.Hack.Turkojan.24576
5/14
未検出分は提出させて頂きました
king 2009.6.6.1
tane0363\malicious_PHP_09.txt -JS.Downloader.gw.1229
tane0363\malicious_PHP_08.txt -JS.Agent.tv.847
tane0363\malicious_PHP_07.txt -JS.Downloader.gq.1356
tane0363\malicious_PHP_05.txt -VBS.BackDoor.yj
tane0363\ldr.exe - Win32.Hack.Turkojan.24576
5/14
未検出分は提出させて頂きました
349 :名無しさん@お腹いっぱい。:2009/06/06(土) 16:28:48
>>342 d
>>345 代理提出d
カスペ2010 14:51:00
4+事後提出1=5/14
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eoi \tane0363.zip/Install_2018.exe
一応、未検出分提出します。
>>345 代理提出d
カスペ2010 14:51:00
4+事後提出1=5/14
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eoi \tane0363.zip/Install_2018.exe
一応、未検出分提出します。
350 :名無しさん@お腹いっぱい。:2009/06/06(土) 20:30:01
Rising 2009 21.41.52 (21.32.52.00)
>>318
installer_70100.exe: Trojan.Win32.FakeVir.iv
setup.exe: Trojan.Win32.FakeVir.iv
4+2=6/15
>>342
load.php: Trojan.Win32.Nodef.jtm
1/12
提出完了
>>318
installer_70100.exe: Trojan.Win32.FakeVir.iv
setup.exe: Trojan.Win32.FakeVir.iv
4+2=6/15
>>342
load.php: Trojan.Win32.Nodef.jtm
1/12
提出完了
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=364
DL virus/解凍 virus
【中身】 10個入っています。
300.exe
ttp://www.virustotal.com/jp/analisis/10c9ae048b2faef39ee0eab0bbebd47254a070edeb8860d87453c424c2a449eb-1244302485 (25/40)
33t.js
ttp://www.virustotal.com/jp/analisis/14d8faf367b59db41543ca955c967750c2f2b9e4f49b3af56cc45bce6b3720b2-1244299687 (5/40)
bot.exe
ttp://www.virustotal.com/jp/analisis/4484b5834cb18c80e2be65375cfc51bdd2eba02f27e0a42561cf06332ac1f793-1244301685 (7/40)
codec.exe
ttp://www.virustotal.com/jp/analisis/9a3cf4dde3ca47e6740ba497461ee2f5952281ef4501d24eb4d1449ca5a0b099-1244300182 (14/39)
f0.pdf
ttp://www.virustotal.com/jp/analisis/5f913fdffa2e97b25217e25cfb72669fd55601730095fbb2994e20927b30c311-1244293344 (18/40)
fgrab.exe
ttp://www.virustotal.com/jp/analisis/77e32d4a888950033e0d7a8e890abcc81aba2bdea0aa787a55d90a4b1a1b16bd-1244302274 (21/40)
flash_player_plugin.exe
ttp://www.virustotal.com/jp/analisis/1fb50a9a18cf68e4b821c00d414bdf60d5f78f91c0162aee7eac7f21899af116-1244244497 (12/39)
index.htm
ttp://www.virustotal.com/jp/analisis/d606fd7e19682aded2aa6ecdbdc149883ae0d2306e1b91b01361b469a5a2eb8c-1244301923 (7/40)
nonus.pdf
ttp://www.virustotal.com/jp/analisis/4ef9e25e7af2d19b3e7f3294ce8f44c9a8c56e3fe98abb177d1605185f974138-1244293838 (20/40)
TubeViewer.ver.6.40000.exe
ttp://www.virustotal.com/jp/analisis/8acd7f7be4765fb5fa51356cb5057708d50c879f36e1c64842c8fbb6ea7903df-1244298454 (8/40)
今までVTは利便性を考えて直リンしていたのですが、このスレのログの容量がヤバくなってきたので、今後はh抜きにします。
楽したい人は専ブラなどをご使用下さい。
DL virus/解凍 virus
【中身】 10個入っています。
300.exe
ttp://www.virustotal.com/jp/analisis/10c9ae048b2faef39ee0eab0bbebd47254a070edeb8860d87453c424c2a449eb-1244302485 (25/40)
33t.js
ttp://www.virustotal.com/jp/analisis/14d8faf367b59db41543ca955c967750c2f2b9e4f49b3af56cc45bce6b3720b2-1244299687 (5/40)
bot.exe
ttp://www.virustotal.com/jp/analisis/4484b5834cb18c80e2be65375cfc51bdd2eba02f27e0a42561cf06332ac1f793-1244301685 (7/40)
codec.exe
ttp://www.virustotal.com/jp/analisis/9a3cf4dde3ca47e6740ba497461ee2f5952281ef4501d24eb4d1449ca5a0b099-1244300182 (14/39)
f0.pdf
ttp://www.virustotal.com/jp/analisis/5f913fdffa2e97b25217e25cfb72669fd55601730095fbb2994e20927b30c311-1244293344 (18/40)
fgrab.exe
ttp://www.virustotal.com/jp/analisis/77e32d4a888950033e0d7a8e890abcc81aba2bdea0aa787a55d90a4b1a1b16bd-1244302274 (21/40)
flash_player_plugin.exe
ttp://www.virustotal.com/jp/analisis/1fb50a9a18cf68e4b821c00d414bdf60d5f78f91c0162aee7eac7f21899af116-1244244497 (12/39)
index.htm
ttp://www.virustotal.com/jp/analisis/d606fd7e19682aded2aa6ecdbdc149883ae0d2306e1b91b01361b469a5a2eb8c-1244301923 (7/40)
nonus.pdf
ttp://www.virustotal.com/jp/analisis/4ef9e25e7af2d19b3e7f3294ce8f44c9a8c56e3fe98abb177d1605185f974138-1244293838 (20/40)
TubeViewer.ver.6.40000.exe
ttp://www.virustotal.com/jp/analisis/8acd7f7be4765fb5fa51356cb5057708d50c879f36e1c64842c8fbb6ea7903df-1244298454 (8/40)
今までVTは利便性を考えて直リンしていたのですが、このスレのログの容量がヤバくなってきたので、今後はh抜きにします。
楽したい人は専ブラなどをご使用下さい。
352 :名無しさん@お腹いっぱい。:2009/06/07(日) 01:01:55
>>351
AVIRA9 7.01.04.64
300.exe - TR/Crypt.XPACK.Gen
33t.js - (UNDER ANALYSIS)
bot.exe - (UNDER ANALYSIS)
codec.exe - (UNDER ANALYSIS)
f0.pdf - HTML/Shellcode.Gen
fgrab.exe - Worm/Autorun.anpb
flash_player_plugin.exe - (UNDER ANALYSIS)
index.htm - (UNDER ANALYSIS)
nonus.pdf - HTML/Shellcode.Gen
TubeViewer.ver.6.40000.exe - (MALWARE)
黒4,黒判断済み1(次回アップデート),解析中5。 未検出分 提出済み。
Kaspersky 2009/06/06 23:04:00
300.exe - Email-Worm.Win32.Joleee.bwt
33t.js - Trojan-Downloader.JS.Agent.ebn
bot.exe -
codec.exe - Trojan-Downloader.Win32.CodecPack.hyw
f0.pdf - Exploit.Win32.Pidief.avs
fgrab.exe - Worm.Win32.AutoRun.anpb
flash_player_plugin.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.dr
index.htm - Trojan-Downloader.JS.Agent.dty
nonus.pdf - Exploit.Win32.Pidief.gx
TubeViewer.ver.6.40000.exe - Trojan-Downloader.Win32.Agent.cesv
黒9,未検出1。 未検出分 提出済み。
AVIRA9 7.01.04.64
300.exe - TR/Crypt.XPACK.Gen
33t.js - (UNDER ANALYSIS)
bot.exe - (UNDER ANALYSIS)
codec.exe - (UNDER ANALYSIS)
f0.pdf - HTML/Shellcode.Gen
fgrab.exe - Worm/Autorun.anpb
flash_player_plugin.exe - (UNDER ANALYSIS)
index.htm - (UNDER ANALYSIS)
nonus.pdf - HTML/Shellcode.Gen
TubeViewer.ver.6.40000.exe - (MALWARE)
黒4,黒判断済み1(次回アップデート),解析中5。 未検出分 提出済み。
Kaspersky 2009/06/06 23:04:00
300.exe - Email-Worm.Win32.Joleee.bwt
33t.js - Trojan-Downloader.JS.Agent.ebn
bot.exe -
codec.exe - Trojan-Downloader.Win32.CodecPack.hyw
f0.pdf - Exploit.Win32.Pidief.avs
fgrab.exe - Worm.Win32.AutoRun.anpb
flash_player_plugin.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.dr
index.htm - Trojan-Downloader.JS.Agent.dty
nonus.pdf - Exploit.Win32.Pidief.gx
TubeViewer.ver.6.40000.exe - Trojan-Downloader.Win32.Agent.cesv
黒9,未検出1。 未検出分 提出済み。
354 :名無しさん@お腹いっぱい。:2009/06/07(日) 01:35:34
>>351
McAfee (Active Protection 無効)4/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
300.exe |inconclusive | | |no
33t.js |inconclusive | | |no
bot.exe |inconclusive | | |no
f0.pdf |inconclusive | | |no
fgrab.exe |new detection |generic pws.y!bb |Trojan |yes
index.htm |inconclusive | | |no
McAfee (Active Protection 無効)4/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
300.exe |inconclusive | | |no
33t.js |inconclusive | | |no
bot.exe |inconclusive | | |no
f0.pdf |inconclusive | | |no
fgrab.exe |new detection |generic pws.y!bb |Trojan |yes
index.htm |inconclusive | | |no
355 :名無しさん@お腹いっぱい。:2009/06/07(日) 06:16:50
356 :名無しさん@お腹いっぱい。:2009/06/07(日) 09:35:14
357 :名無しさん@お腹いっぱい。:2009/06/07(日) 10:36:26
COMODO Internet Security 1274
>>318
全て検出
>>342
TrojWare.Win32.Exploit.Pidief.ayf@22292169 \tane0363\987.pdf
TrojWare.PHP.PHPInfo.g@19701243 \tane0363\malicious_PHP_07.txt
Unclassified Malware@9709070 \tane0363\malicious_PHP_04.txt
Unclassified Malware@17003753 \tane0363\malicious_PHP_02.txt
UnclassifiedMalware@22054418 \tane0363\malicious_PHP_01.txt
Heur.Suspicious@22090367 \tane0363\load.php
6/14
>>351
TrojWare.Win32.Trojan.Agent.Gen@22090678 \tane0364\300.exe
TrojWare.Win32.TrojanSpy.Zbot.Gen@22345451 \tane0364\bot.exe
TrojWare.Win32.Exploit.Pidief.avs@20976103 \tane0364\f0.pdf
Worm.Win32.AutoRun.anpb@22101067 \tane0364\fgrab.exe
4/10
未検出分を提出しました。
>>318
全て検出
>>342
TrojWare.Win32.Exploit.Pidief.ayf@22292169 \tane0363\987.pdf
TrojWare.PHP.PHPInfo.g@19701243 \tane0363\malicious_PHP_07.txt
Unclassified Malware@9709070 \tane0363\malicious_PHP_04.txt
Unclassified Malware@17003753 \tane0363\malicious_PHP_02.txt
UnclassifiedMalware@22054418 \tane0363\malicious_PHP_01.txt
Heur.Suspicious@22090367 \tane0363\load.php
6/14
>>351
TrojWare.Win32.Trojan.Agent.Gen@22090678 \tane0364\300.exe
TrojWare.Win32.TrojanSpy.Zbot.Gen@22345451 \tane0364\bot.exe
TrojWare.Win32.Exploit.Pidief.avs@20976103 \tane0364\f0.pdf
Worm.Win32.AutoRun.anpb@22101067 \tane0364\fgrab.exe
4/10
未検出分を提出しました。
358 :名無しさん@お腹いっぱい。:2009/06/07(日) 13:42:46
Rising 2009 21.41.60 (21.32.60.00)
>>342
987.pdf: Hack.Exploit.Win32.PDF.jti
分析メールより
1、文件名:malicious_PHP_04.txt
病毒名:Backdoor.Win32.PHP.c
2、文件名:Install_2018.exe
病毒名:AdWare.Win32.FakeAV.cy
3、文件名:malicious_PHP_03.txt
病毒名:Backdoor.Win32.PHP.b
4、文件名:malicious_PHP_02.txt
病毒名:Backdoor.Win32.PHP.a
瑞星2009的21.32.61版本(瑞星2008的20.99.61版本)で対応予定
残り8体不是病毒との返答
総計: 1+5=6/14
>>342
987.pdf: Hack.Exploit.Win32.PDF.jti
分析メールより
1、文件名:malicious_PHP_04.txt
病毒名:Backdoor.Win32.PHP.c
2、文件名:Install_2018.exe
病毒名:AdWare.Win32.FakeAV.cy
3、文件名:malicious_PHP_03.txt
病毒名:Backdoor.Win32.PHP.b
4、文件名:malicious_PHP_02.txt
病毒名:Backdoor.Win32.PHP.a
瑞星2009的21.32.61版本(瑞星2008的20.99.61版本)で対応予定
残り8体不是病毒との返答
総計: 1+5=6/14
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=365
DL virus/解凍 virus
【中身】 4個入っています。 87.106.103.122 関連です。
flash.swf
ttp://www.virustotal.com/jp/analisis/8fa7088e7dae6ff5f9c4f5eaff14de22e2198b28946472486a5045e44d0d5b5d-1244345945 (8/39)
index.htm
ttp://www.virustotal.com/jp/analisis/08a7c5e61ee496dee698109ace71f3c8172b1881b9b1ffd475a801e548481f19-1244346149 (0/39)
load.exe
ttp://www.virustotal.com/jp/analisis/c32198ffeffcb8514d0f8d812a88ab72941ffd5e2139818027a1e58cdc613df5-1244341466 (2/39)
readme.pdf
ttp://www.virustotal.com/jp/analisis/fc4b0883f1f94b5e9d9038c92c647ef8210abbcb13566a3ff62e46b34c8063ab-1244347244 (13/39)
index.htmは多分呼び出し用のスクリプトだと思いますが、暗号解読すんの面倒だったので、そのまま入れました。(;´д`)
AVIRA 7.01.04.65
flash.swf - (UNDER ANALYSIS)
index.htm - (UNDER ANALYSIS)
load.exe - (UNDER ANALYSIS)
readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
HEUR 1,解析中3。 全部提出済み。
Kaspersky 2009/06/07 7.01.04.65
flash.swf - Exploit.SWF.Agent.az
index.htm -
load.exe -
readme.pdf - Exploit.JS.Pdfka.ld
黒2,未検出2。 未検出分提出済み。
DL virus/解凍 virus
【中身】 4個入っています。 87.106.103.122 関連です。
flash.swf
ttp://www.virustotal.com/jp/analisis/8fa7088e7dae6ff5f9c4f5eaff14de22e2198b28946472486a5045e44d0d5b5d-1244345945 (8/39)
index.htm
ttp://www.virustotal.com/jp/analisis/08a7c5e61ee496dee698109ace71f3c8172b1881b9b1ffd475a801e548481f19-1244346149 (0/39)
load.exe
ttp://www.virustotal.com/jp/analisis/c32198ffeffcb8514d0f8d812a88ab72941ffd5e2139818027a1e58cdc613df5-1244341466 (2/39)
readme.pdf
ttp://www.virustotal.com/jp/analisis/fc4b0883f1f94b5e9d9038c92c647ef8210abbcb13566a3ff62e46b34c8063ab-1244347244 (13/39)
index.htmは多分呼び出し用のスクリプトだと思いますが、暗号解読すんの面倒だったので、そのまま入れました。(;´д`)
AVIRA 7.01.04.65
flash.swf - (UNDER ANALYSIS)
index.htm - (UNDER ANALYSIS)
load.exe - (UNDER ANALYSIS)
readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
HEUR 1,解析中3。 全部提出済み。
Kaspersky 2009/06/07 7.01.04.65
flash.swf - Exploit.SWF.Agent.az
index.htm -
load.exe -
readme.pdf - Exploit.JS.Pdfka.ld
黒2,未検出2。 未検出分提出済み。
360 :名無しさん@お腹いっぱい。:2009/06/07(日) 14:06:27
>>359
Rising スルー、提出完了
Rising スルー、提出完了
>>359 Kaspersky訂正
Kaspersky 2009/06/07 12:49
flash.swf - Exploit.SWF.Agent.az
index.htm -
load.exe - Trojan.Win32.Pakes.nma
readme.pdf - Exploit.JS.Pdfka.ld
黒3,未検出1。 一歩違いで検出可が+1
Kaspersky 2009/06/07 12:49
flash.swf - Exploit.SWF.Agent.az
index.htm -
load.exe - Trojan.Win32.Pakes.nma
readme.pdf - Exploit.JS.Pdfka.ld
黒3,未検出1。 一歩違いで検出可が+1
362 :名無しさん@お腹いっぱい。:2009/06/07(日) 14:44:49
>>359
McAfee (Active Protection 無効)1/4
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
index.htm |inconclusive | | |no
load.exe |inconclusive | | |no
McAfee (Active Protection 無効)1/4
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
index.htm |inconclusive | | |no
load.exe |inconclusive | | |no
363 :名無しさん@お腹いっぱい。:2009/06/07(日) 15:10:08
>>359
SymantecとPandaへ提出完了
Symantecから自動返答
filename: readme.pdf
machine: Machine
result: See the developer notes
filename: index.htm
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
SymantecとPandaへ提出完了
Symantecから自動返答
filename: readme.pdf
machine: Machine
result: See the developer notes
filename: index.htm
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
364 :名無しさん@お腹いっぱい。:2009/06/07(日) 15:31:11
ネトゲ関係のトロイの筈。
2つめは、そのまま圧縮しちゃうと34MB位あったので、7zを使って二重に圧縮しています。
全部撃墜か、まるっとスルーか明暗がはっきり出そうです。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=366
(こちらは普通の1段階圧縮。解凍パスも同じ。34ファイル)
infected
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=367
(2段階圧縮。解凍後出てくる、114anhui.7z はパスワードなし7z形式のアーカイブ。中に、202個入ってます)
infected
AntiVirは全部撃墜です。
2つめは、そのまま圧縮しちゃうと34MB位あったので、7zを使って二重に圧縮しています。
全部撃墜か、まるっとスルーか明暗がはっきり出そうです。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=366
(こちらは普通の1段階圧縮。解凍パスも同じ。34ファイル)
infected
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=367
(2段階圧縮。解凍後出てくる、114anhui.7z はパスワードなし7z形式のアーカイブ。中に、202個入ってます)
infected
AntiVirは全部撃墜です。
365 :名無しさん@お腹いっぱい。:2009/06/07(日) 15:33:20
ごめん、367 の方は、連投規制でUP失敗してました。もうちょっと待ってから上げなおします。
366 :名無しさん@お腹いっぱい。:2009/06/07(日) 15:44:37
UPできましたので>364の通りで。
367 :名無しさん@お腹いっぱい。:2009/06/07(日) 16:12:45
368 :名無しさん@お腹いっぱい。:2009/06/07(日) 16:14:25
>>364
367はNortonとPandaは全検出確認
367はNortonとPandaは全検出確認
369 :名無しさん@お腹いっぱい。:2009/06/07(日) 16:34:04
370 :名無しさん@お腹いっぱい。:2009/06/07(日) 16:45:32
カスペ2010 15:00:00 検出状況
検体:>>342 (>>345)(tane0363)
4+事後提出2=6/14, 回答待ち8
Detected Trojan program Backdoor.PHP.Agent.de tane0363.zip/malicious_PHP_03.txt
検体:>>>351 d(tane0364)
>>353 代理提出 d
9/10のまま, 回答待ち1(bot.exe)
検体:>>>359 d (tane0365)
>>361 代理提出 d
3/4のまま, 回答待ち1(index.htm)
うーん、あまりヒューリスティックは差がないな。
>>364d
全検知(34/34, 202/202)
検体:>>342 (>>345)(tane0363)
4+事後提出2=6/14, 回答待ち8
Detected Trojan program Backdoor.PHP.Agent.de tane0363.zip/malicious_PHP_03.txt
検体:>>>351 d(tane0364)
>>353 代理提出 d
9/10のまま, 回答待ち1(bot.exe)
検体:>>>359 d (tane0365)
>>361 代理提出 d
3/4のまま, 回答待ち1(index.htm)
うーん、あまりヒューリスティックは差がないな。
>>364d
全検知(34/34, 202/202)
371 :名無しさん@お腹いっぱい。:2009/06/07(日) 16:51:54
Rising
>>364
>366
EtcフォルダはQvodSetup5.exeがSuspicious:Packer.Win32.UnkPacker.b、他対応済み
ff88567フォルダはすべて対応済み
tmhcarフォルダはスルー
jpgフォルダはすべてUnknown Win32 Virus
28+3(+1)/34
>367
すべて対応済み
>>364
>366
EtcフォルダはQvodSetup5.exeがSuspicious:Packer.Win32.UnkPacker.b、他対応済み
ff88567フォルダはすべて対応済み
tmhcarフォルダはスルー
jpgフォルダはすべてUnknown Win32 Virus
28+3(+1)/34
>367
すべて対応済み
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=368
DL virus/解凍 virus
【中身】 10個入っています。
install.exe
ttp://www.virustotal.com/jp/analisis/934cbc0201f15191c2c12ea60c23354fdf1493eb878eeea510eaf4a7416be13d-1244355700 (2/39)
install2.exe
ttp://www.virustotal.com/jp/analisis/9f180754d63b419228a77d4700edaddfe95d2337d4fcfe499a7758c0fc7188e4-1244358787 (18/38)
popingred.exe
ttp://www.virustotal.com/jp/analisis/64e5eaa31484d51e527625262faa0a02783196fdce7fa5eb5ef463ea2481ab0b-1244354952 (10/38)
popingred.pdf
ttp://www.virustotal.com/jp/analisis/e8bb27a858927e243c5dd673bdbef744b2fd0294285960ad12bc7751519ec6cf-1244354685 (16/38)
popingred.swf
ttp://www.virustotal.com/jp/analisis/139af5e5b0583ef1549841b4775f6bf833df7bfb171df1a927a41ea1e7697a67-1244354425 (9/39)
scriptvirus01.htm
ttp://www.virustotal.com/jp/analisis/16bdb623c5c274a978883297d07b84ce4b607e057f10b4b102a39829d195dd8d-1244356971 (15/38)
scriptvirus02.htm
ttp://www.virustotal.com/jp/analisis/9df9b804049a3bf1826bd326b65a322969ffbf365967b5b7c7cd8cd3c24877f4-1244357254 (17/38)
scriptvirus03.htm
ttp://www.virustotal.com/jp/analisis/4c8163bfd5abbea1b7691ff9dc63a94ba981879c2a4b87495ec5ed5d9fea228f-1244357495 (4/39)
scriptvirus04.htm
ttp://www.virustotal.com/jp/analisis/30866ec7f40cbf802cca211fa5173e5f2ed9c03b9195c781d9a0c63d2855628f-1244359889 (12/8)
TubeViewer.ver.6.40000.exe
ttp://www.virustotal.com/jp/analisis/de4d23d3fe1e98bada1bc07ec35cb38f3d524183673bd3b8d70da811c7da3ea1-1244358148 (5/38)
※ 現在VTパンク気味らしく、VT→各ベンダーに検体が出るのに、多分最低でも3日以上のタイムラグがあると思われます。
先日、>342のInstall_2018.exeを6/2にVTにだけ出して、そのまま放置して確認。 VT提出後、丸3日経過しても>342の通りでVTでの検出率にほとんど変化が無い。
最終的にはベンダーに渡ると思いますが、一応ご注意下さい。(急ぐ人は、個別にベンダーへ提出した方が良いと思われます。)
DL virus/解凍 virus
【中身】 10個入っています。
install.exe
ttp://www.virustotal.com/jp/analisis/934cbc0201f15191c2c12ea60c23354fdf1493eb878eeea510eaf4a7416be13d-1244355700 (2/39)
install2.exe
ttp://www.virustotal.com/jp/analisis/9f180754d63b419228a77d4700edaddfe95d2337d4fcfe499a7758c0fc7188e4-1244358787 (18/38)
popingred.exe
ttp://www.virustotal.com/jp/analisis/64e5eaa31484d51e527625262faa0a02783196fdce7fa5eb5ef463ea2481ab0b-1244354952 (10/38)
popingred.pdf
ttp://www.virustotal.com/jp/analisis/e8bb27a858927e243c5dd673bdbef744b2fd0294285960ad12bc7751519ec6cf-1244354685 (16/38)
popingred.swf
ttp://www.virustotal.com/jp/analisis/139af5e5b0583ef1549841b4775f6bf833df7bfb171df1a927a41ea1e7697a67-1244354425 (9/39)
scriptvirus01.htm
ttp://www.virustotal.com/jp/analisis/16bdb623c5c274a978883297d07b84ce4b607e057f10b4b102a39829d195dd8d-1244356971 (15/38)
scriptvirus02.htm
ttp://www.virustotal.com/jp/analisis/9df9b804049a3bf1826bd326b65a322969ffbf365967b5b7c7cd8cd3c24877f4-1244357254 (17/38)
scriptvirus03.htm
ttp://www.virustotal.com/jp/analisis/4c8163bfd5abbea1b7691ff9dc63a94ba981879c2a4b87495ec5ed5d9fea228f-1244357495 (4/39)
scriptvirus04.htm
ttp://www.virustotal.com/jp/analisis/30866ec7f40cbf802cca211fa5173e5f2ed9c03b9195c781d9a0c63d2855628f-1244359889 (12/8)
TubeViewer.ver.6.40000.exe
ttp://www.virustotal.com/jp/analisis/de4d23d3fe1e98bada1bc07ec35cb38f3d524183673bd3b8d70da811c7da3ea1-1244358148 (5/38)
※ 現在VTパンク気味らしく、VT→各ベンダーに検体が出るのに、多分最低でも3日以上のタイムラグがあると思われます。
先日、>342のInstall_2018.exeを6/2にVTにだけ出して、そのまま放置して確認。 VT提出後、丸3日経過しても>342の通りでVTでの検出率にほとんど変化が無い。
最終的にはベンダーに渡ると思いますが、一応ご注意下さい。(急ぐ人は、個別にベンダーへ提出した方が良いと思われます。)
373 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:07:31
Rising 2009 21.41.61 (21.32.61.00)
>>358
対応確認
>>359
flash.swf: Hack.Exploit.Win32.Swf.f
1/4
>>372
install2.exe: Trojan.Win32.FakeAV.oh
1/10
検体提出完了
>>358
対応確認
>>359
flash.swf: Hack.Exploit.Win32.Swf.f
1/4
>>372
install2.exe: Trojan.Win32.FakeAV.oh
1/10
検体提出完了
374 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:09:02
375 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:11:17
>>372 乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
VT→各ベンダーに検体提供は、あり得ないような気がします
せいぜい統計資料くらいでは?
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
VT→各ベンダーに検体提供は、あり得ないような気がします
せいぜい統計資料くらいでは?
376 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:15:41
>>372
AVIRA9 7.01.04.65
install.exe - (UNDER ANALYSIS)
install2.exe - TR/Winwebsec.A.18
popingred.exe - (UNDER ANALYSIS)
popingred.pdf - EXP/PDF.16462
popingred.swf - (UNDER ANALYSIS)
scriptvirus01.htm - JS/Dldr.IFrame.BM
scriptvirus02.htm - JS/Dldr.IFrame.BM
scriptvirus03.htm - (UNDER ANALYSIS)
scriptvirus04.htm - (UNDER ANALYSIS)
TubeViewer.ver.6.40000.exe - (UNDER ANALYSIS)
黒4,解析中6。 未検出分 提出済み
Kaspersky 2009/06/07 15:00:00
install.exe -
install2.exe -
popingred.exe - Trojan-Dropper.Win32.Microjoin.gqu
popingred.pdf - Exploit.JS.Pdfka.jr
popingred.swf - Exploit.SWF.Agent.au
scriptvirus01.htm - HEUR:Trojan.Script.Iframer
scriptvirus02.htm - Trojan-Clicker.HTML.IFrame.rt
scriptvirus03.htm - HEUR:Trojan.Script.Iframer
scriptvirus04.htm - Trojan-Clicker.HTML.IFrame.ey
TubeViewer.ver.6.40000.exe - Trojan-Downloader.Win32.CodecPack.hza
黒6,HEUR 2,未検出2。 HEURと未検出は提出済み。
AVIRA9 7.01.04.65
install.exe - (UNDER ANALYSIS)
install2.exe - TR/Winwebsec.A.18
popingred.exe - (UNDER ANALYSIS)
popingred.pdf - EXP/PDF.16462
popingred.swf - (UNDER ANALYSIS)
scriptvirus01.htm - JS/Dldr.IFrame.BM
scriptvirus02.htm - JS/Dldr.IFrame.BM
scriptvirus03.htm - (UNDER ANALYSIS)
scriptvirus04.htm - (UNDER ANALYSIS)
TubeViewer.ver.6.40000.exe - (UNDER ANALYSIS)
黒4,解析中6。 未検出分 提出済み
Kaspersky 2009/06/07 15:00:00
install.exe -
install2.exe -
popingred.exe - Trojan-Dropper.Win32.Microjoin.gqu
popingred.pdf - Exploit.JS.Pdfka.jr
popingred.swf - Exploit.SWF.Agent.au
scriptvirus01.htm - HEUR:Trojan.Script.Iframer
scriptvirus02.htm - Trojan-Clicker.HTML.IFrame.rt
scriptvirus03.htm - HEUR:Trojan.Script.Iframer
scriptvirus04.htm - Trojan-Clicker.HTML.IFrame.ey
TubeViewer.ver.6.40000.exe - Trojan-Downloader.Win32.CodecPack.hza
黒6,HEUR 2,未検出2。 HEURと未検出は提出済み。
378 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:38:27
>>375
>VT→各ベンダーに検体提供は、あり得ないような気がします
>せいぜい統計資料くらいでは?
Prevx に検体提出先を問い合わせた際に、2007/10/04にはメールアドレスを指定され、
届かなくなったので、改めて問い合わせたところ、2008/03/18の返答では、VirusTotalに
Uploadするように指示されています。
少なくとも、特定のベンダーには、VTにUPされたファイルが回っていると思われます。
>VT→各ベンダーに検体提供は、あり得ないような気がします
>せいぜい統計資料くらいでは?
Prevx に検体提出先を問い合わせた際に、2007/10/04にはメールアドレスを指定され、
届かなくなったので、改めて問い合わせたところ、2008/03/18の返答では、VirusTotalに
Uploadするように指示されています。
少なくとも、特定のベンダーには、VTにUPされたファイルが回っていると思われます。
>>364,370
おっと、KIS2009と差があります。 KIS2009は、tane0366の方で
tmhcer\360.htm
tmhcer\js.js
の2個だけ未検出です。(32/34) tane0367は、(202/202)で全部検出。
一応、他のとまとめて上記も送ります。
>353のbot.exeは、つい先程 bot.exe_ - Trojan-Downloader.Win32.Agent.cewa New malicious software was found in this file.
と新種判定のメール来ましたので、その内検出するようになるかと。
>>375
以前、VTから各ベンダーに検体が提供されているという話がありました。 ただし、VTのどこにも明記されていないのですが...
PrevxがVT経由で検体を受け取るという話があったらしい(まとめWikiに書いてある)ので、そこから話が出たのかもしれません。
また、マルウェア制作者のチェックに使われるのを防止するため、VT→ベンダーに検体が渡るという話もありました。
が、どっちにしても、今のVTは150,000検体/日の提出量なので、仕分けが自動であっても、全く当てにできないとは思います。
ただ、以前の話を覚えていて、“VTに出てるから放置”という人が出る可能性もあるので、念のため書いておきました。(汗
おっと、KIS2009と差があります。 KIS2009は、tane0366の方で
tmhcer\360.htm
tmhcer\js.js
の2個だけ未検出です。(32/34) tane0367は、(202/202)で全部検出。
一応、他のとまとめて上記も送ります。
>353のbot.exeは、つい先程 bot.exe_ - Trojan-Downloader.Win32.Agent.cewa New malicious software was found in this file.
と新種判定のメール来ましたので、その内検出するようになるかと。
>>375
以前、VTから各ベンダーに検体が提供されているという話がありました。 ただし、VTのどこにも明記されていないのですが...
PrevxがVT経由で検体を受け取るという話があったらしい(まとめWikiに書いてある)ので、そこから話が出たのかもしれません。
また、マルウェア制作者のチェックに使われるのを防止するため、VT→ベンダーに検体が渡るという話もありました。
が、どっちにしても、今のVTは150,000検体/日の提出量なので、仕分けが自動であっても、全く当てにできないとは思います。
ただ、以前の話を覚えていて、“VTに出てるから放置”という人が出る可能性もあるので、念のため書いておきました。(汗
380 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:42:49
>>364
tane0366
McAfee (Active Protection 無効)28/34
未検出分をMcAfeeに提出させて頂きました。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
360.htm |inconclusive | | |no
jpg.scr |inconclusive | | |no
js.js |inconclusive | | |no
jxsj9m.exe |inconclusive | | |no
sernn.exe |inconclusive | | |no
server.exe |inconclusive | | |no
>>364
tane0367
McAfee (Active Protection 無効)202/202
tane0366
McAfee (Active Protection 無効)28/34
未検出分をMcAfeeに提出させて頂きました。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
360.htm |inconclusive | | |no
jpg.scr |inconclusive | | |no
js.js |inconclusive | | |no
jxsj9m.exe |inconclusive | | |no
sernn.exe |inconclusive | | |no
server.exe |inconclusive | | |no
>>364
tane0367
McAfee (Active Protection 無効)202/202
>>378
VTで再確認するような指示だったのではないでしょうか?
各セキュリティベンダにはセキュリティポリシー(脅威判断)や技術水準で対応するかしないかの状況もあります
もしVTが各ベンダに検体提供しているのであれば・・・
対応が速い遅いを計算しても
今みたいな検出状況は、もっと平均化しているはずです
以前、VTが各セキュリティベンダに渡しているのではないか?という推測のニュースが流れたことがありましたが
実際には、別ルートからの技術的な努力対応だったようです
ですから淡い期待は抱かないことが賢明であります
VTで再確認するような指示だったのではないでしょうか?
各セキュリティベンダにはセキュリティポリシー(脅威判断)や技術水準で対応するかしないかの状況もあります
もしVTが各ベンダに検体提供しているのであれば・・・
対応が速い遅いを計算しても
今みたいな検出状況は、もっと平均化しているはずです
以前、VTが各セキュリティベンダに渡しているのではないか?という推測のニュースが流れたことがありましたが
実際には、別ルートからの技術的な努力対応だったようです
ですから淡い期待は抱かないことが賢明であります
382 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:59:00
>>372
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install.exe |inconclusive | | |no
popingred.exe |inconclusive | | |no
popingred.swf |inconclusive | | |no
scriptvirus03.htm |inconclusive | | |no
scriptvirus04.htm |inconclusive | | |no
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install.exe |inconclusive | | |no
popingred.exe |inconclusive | | |no
popingred.swf |inconclusive | | |no
scriptvirus03.htm |inconclusive | | |no
scriptvirus04.htm |inconclusive | | |no
383 :名無しさん@お腹いっぱい。:2009/06/07(日) 18:14:01
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=369
DL virus/解凍 virus
【中身】 10個入っています。
demos.exe
ttp://www.virustotal.com/jp/analisis/3ff990d75a39fb0fa896f2fb319b40c00ecad1f99d35da9b5d8455dfa06dc970-1244372639 (22/39)
frfr5.exe
ttp://www.virustotal.com/jp/analisis/e8165bde7ebbcd65464ee27f7121128885e91b373ce83a3adb53e1e1975ec5d8-1244370572 (21/39)
KB908117.exe
ttp://www.virustotal.com/jp/analisis/0b0404d01611b40fe5c6a3cd494cf8e6326f62f898070f1449d4031b7765f097-1244373615 (12/38)
Keygen&Crack.45000.exe
ttp://www.virustotal.com/jp/analisis/2703d1215f1e1b82cfdb1edc19081e21e7bac96bea0e8da4b60234025994ee29-1244368005 (3/38)
pore.htm
ttp://www.virustotal.com/jp/analisis/c96f9198dad4759f4740a3933c11fea0a846a2eb6a49c9f664a325cf8cee2773-1244374235 (5/39)
scan_now.exe
ttp://www.virustotal.com/jp/analisis/0fa79c5bd999fec233d34d02b79f5575c15cedf3346a731033920f8f9abc934d-1244370883 (7/39)
scriptvirus05.htm
ttp://www.virustotal.com/jp/analisis/7fedf3cecf1dcaed2983b833229bb4fc5c15d3a74390d833d575410169b92552-1244371462 (16/38)
scriptvirus06.htm
ttp://www.virustotal.com/jp/analisis/4a7cec9ba2a259d33194f730d3aeb483b6a881fb995af685eb52ed20bba5a10d-1244372210 (6/38)
svcshostes.exe
ttp://www.virustotal.com/jp/analisis/576b39465fa48da2736003e91842a0baa3094e708f233718b518abffb8471ec7-1244372480 (13/39)
vv.exe
ttp://www.virustotal.com/jp/analisis/1db0daee62d2103eab7c84383e05505b6d6612aaef14da7641f1ceabd6d2f65a-1244370371 (24/38)
次の10個。今週末、新種発生率高すぎ...orz
DL virus/解凍 virus
【中身】 10個入っています。
demos.exe
ttp://www.virustotal.com/jp/analisis/3ff990d75a39fb0fa896f2fb319b40c00ecad1f99d35da9b5d8455dfa06dc970-1244372639 (22/39)
frfr5.exe
ttp://www.virustotal.com/jp/analisis/e8165bde7ebbcd65464ee27f7121128885e91b373ce83a3adb53e1e1975ec5d8-1244370572 (21/39)
KB908117.exe
ttp://www.virustotal.com/jp/analisis/0b0404d01611b40fe5c6a3cd494cf8e6326f62f898070f1449d4031b7765f097-1244373615 (12/38)
Keygen&Crack.45000.exe
ttp://www.virustotal.com/jp/analisis/2703d1215f1e1b82cfdb1edc19081e21e7bac96bea0e8da4b60234025994ee29-1244368005 (3/38)
pore.htm
ttp://www.virustotal.com/jp/analisis/c96f9198dad4759f4740a3933c11fea0a846a2eb6a49c9f664a325cf8cee2773-1244374235 (5/39)
scan_now.exe
ttp://www.virustotal.com/jp/analisis/0fa79c5bd999fec233d34d02b79f5575c15cedf3346a731033920f8f9abc934d-1244370883 (7/39)
scriptvirus05.htm
ttp://www.virustotal.com/jp/analisis/7fedf3cecf1dcaed2983b833229bb4fc5c15d3a74390d833d575410169b92552-1244371462 (16/38)
scriptvirus06.htm
ttp://www.virustotal.com/jp/analisis/4a7cec9ba2a259d33194f730d3aeb483b6a881fb995af685eb52ed20bba5a10d-1244372210 (6/38)
svcshostes.exe
ttp://www.virustotal.com/jp/analisis/576b39465fa48da2736003e91842a0baa3094e708f233718b518abffb8471ec7-1244372480 (13/39)
vv.exe
ttp://www.virustotal.com/jp/analisis/1db0daee62d2103eab7c84383e05505b6d6612aaef14da7641f1ceabd6d2f65a-1244370371 (24/38)
次の10個。今週末、新種発生率高すぎ...orz
>>384
AVIRA9 7.01.04.65
demos.exe - TR/Spy.ZBot.6502.11
frfr5.exe - TR/Drop.BHO.176640
KB908117.exe - (UNDER ANALYSIS)
Keygen&Crack.45000.exe - (UNDER ANALYSIS)
pore.htm - (UNDER ANALYSIS)
scan_now.exe - (UNDER ANALYSIS)
scriptvirus05.htm - JS/Dldr.IFrame.BM
scriptvirus06.htm - HEUR/HTML.Malware
svcshostes.exe - (UNDER ANALYSIS)
vv.exe - TR/PSW.FtpSteal.C
黒4,HEUR 1,解析中5。 未検出分 提出済み。
Kaspersky 2009/06/07 17:47:00
demos.exe - Trojan-Spy.Win32.Zbot.gen
frfr5.exe - Trojan.Win32.BHO.ufd
KB908117.exe - Trojan.Win32.Rabbit.en
Keygen&Crack.45000.exe - Trojan-Downloader.Win32.CodecPack.hza
pore.htm - Trojan-Downloader.JS.LuckySploit.q
scan_now.exe - Trojan-Downloader.Win32.FraudLoad.eoj
scriptvirus05.htm - Trojan-Clicker.HTML.IFrame.rw
scriptvirus06.htm - Trojan-Downloader.JS.LuckySploit.m
svcshostes.exe
vv.exe - Trojan-Downloader.Win32.FraudLoad.enw
黒9,未検出1。 未検出分 提出済み。
う〜、マルウェアがKB908117とか、嫌がらせかよぅ...
AVIRA9 7.01.04.65
demos.exe - TR/Spy.ZBot.6502.11
frfr5.exe - TR/Drop.BHO.176640
KB908117.exe - (UNDER ANALYSIS)
Keygen&Crack.45000.exe - (UNDER ANALYSIS)
pore.htm - (UNDER ANALYSIS)
scan_now.exe - (UNDER ANALYSIS)
scriptvirus05.htm - JS/Dldr.IFrame.BM
scriptvirus06.htm - HEUR/HTML.Malware
svcshostes.exe - (UNDER ANALYSIS)
vv.exe - TR/PSW.FtpSteal.C
黒4,HEUR 1,解析中5。 未検出分 提出済み。
Kaspersky 2009/06/07 17:47:00
demos.exe - Trojan-Spy.Win32.Zbot.gen
frfr5.exe - Trojan.Win32.BHO.ufd
KB908117.exe - Trojan.Win32.Rabbit.en
Keygen&Crack.45000.exe - Trojan-Downloader.Win32.CodecPack.hza
pore.htm - Trojan-Downloader.JS.LuckySploit.q
scan_now.exe - Trojan-Downloader.Win32.FraudLoad.eoj
scriptvirus05.htm - Trojan-Clicker.HTML.IFrame.rw
scriptvirus06.htm - Trojan-Downloader.JS.LuckySploit.m
svcshostes.exe
vv.exe - Trojan-Downloader.Win32.FraudLoad.enw
黒9,未検出1。 未検出分 提出済み。
う〜、マルウェアがKB908117とか、嫌がらせかよぅ...
386 :名無しさん@お腹いっぱい。:2009/06/07(日) 20:58:15
>>381
その回答は1年前のものですので、本日改めて、検体投稿先について問い合わせを行ないました。
結果に変化があれば、まとめWikiの方を更新しておきます。該当ベンダーの返答があるまで静観願います。
その回答は1年前のものですので、本日改めて、検体投稿先について問い合わせを行ないました。
結果に変化があれば、まとめWikiの方を更新しておきます。該当ベンダーの返答があるまで静観願います。
387 :名無しさん@お腹いっぱい。:2009/06/07(日) 21:13:00
>>385
>う〜、マルウェアがKB908117とか、嫌がらせかよぅ.
定番の install.exe, setup.exe と同じく、確かに引っかかりやすそうだ。..
本来なら、WindowsXP-KBXXXXXX-x86-JPN.exeみたいな形だが、こういうファイル名を使われるのも時間の問題だなぁ。
>う〜、マルウェアがKB908117とか、嫌がらせかよぅ.
定番の install.exe, setup.exe と同じく、確かに引っかかりやすそうだ。..
本来なら、WindowsXP-KBXXXXXX-x86-JPN.exeみたいな形だが、こういうファイル名を使われるのも時間の問題だなぁ。
388 :名無しさん@お腹いっぱい。:2009/06/07(日) 21:18:55
>>384
McAfee (Active Protection 無効)6/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
demos.exe |new detection |generic pws.y!bb |Trojan |yes
pore.htm |inconclusive | | |no
scan_now.exe |inconclusive | | |no
scriptvirus06.htm |inconclusive | | |no
McAfee (Active Protection 無効)6/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
demos.exe |new detection |generic pws.y!bb |Trojan |yes
pore.htm |inconclusive | | |no
scan_now.exe |inconclusive | | |no
scriptvirus06.htm |inconclusive | | |no
389 :名無しさん@お腹いっぱい。:2009/06/07(日) 21:31:17
>>372
Pandaへ提出完了
>>384
SymantecとPandaへ提出完了
Symantecから自動返答(全部手動解析行き)
filename: scriptvirus06.htm
machine: Machine
result: See the developer notes
filename: KB908117.exe
machine: Machine
result: See the developer notes
filename: scriptvirus05.htm
machine: Machine
result: See the developer notes
filename: pore.htm
machine: Machine
result: See the developer notes
filename: Keygen-Crack.45000.exe
machine: Machine
result: See the developer notes
Pandaへ提出完了
>>384
SymantecとPandaへ提出完了
Symantecから自動返答(全部手動解析行き)
filename: scriptvirus06.htm
machine: Machine
result: See the developer notes
filename: KB908117.exe
machine: Machine
result: See the developer notes
filename: scriptvirus05.htm
machine: Machine
result: See the developer notes
filename: pore.htm
machine: Machine
result: See the developer notes
filename: Keygen-Crack.45000.exe
machine: Machine
result: See the developer notes
390 :名無しさん@お腹いっぱい。:2009/06/07(日) 21:34:20
>>384乙
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
391 :名無しさん@お腹いっぱい。:2009/06/07(日) 22:29:16
>>384
Risingに提出完了
Risingに提出完了
392 :名無しさん@お腹いっぱい。:2009/06/07(日) 22:55:56
カスペからの返事
検体:>>290 (>>294,299,328) (tane0358)
1+事後検出2=3/3でようやくFA
winqwl32.dll - Backdoor.Win32.WinUOJ.ap
This file is already detected. Please update your antivirus bases.
検体:>>>351 (>>370) d (tane0364)
>>379さんの言うとおり、17:47で
Detected Trojan program Trojan-Downloader.Win32.Agent.cewa tane0364.zip/bot.exe
9+事後検出1=10/10でFA
あとは変わりなし。
検体:>>290 (>>294,299,328) (tane0358)
1+事後検出2=3/3でようやくFA
winqwl32.dll - Backdoor.Win32.WinUOJ.ap
This file is already detected. Please update your antivirus bases.
検体:>>>351 (>>370) d (tane0364)
>>379さんの言うとおり、17:47で
Detected Trojan program Trojan-Downloader.Win32.Agent.cewa tane0364.zip/bot.exe
9+事後検出1=10/10でFA
あとは変わりなし。
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=370
DL virus/解凍 virus
【中身】 10個入っています。
188.pdf
ttp://www.virustotal.com/jp/analisis/717d9a4051a0129949f4916a8d29a6fb557f16c3636bbec5258ff1631e7a8eb6-1244381832 (12/38)
cn.pdf
ttp://www.virustotal.com/jp/analisis/decd5daa6c14426bd0a7a64d1ea3a569b5a425f3586827011480c74e0f4650d4-1244380608 (4/39)
flash_player_plugin.exe
ttp://www.virustotal.com/jp/analisis/c18f5119dbae7962b236dd6235620e0331adcf27a9c2161c90f8d1d0a9452adf-1244381068 (8/39)
infect.php
ttp://www.virustotal.com/jp/analisis/227f17fc312900ab70f7664f0ee835c141302388168a44022b57d79d775945e0-1244380288 (17/39)
load.exe
ttp://www.virustotal.com/jp/analisis/0cc079854eb9d57694108cd8e7df0bac88255508f869fa27123e85ca02489031-1244382606 (12/38)
scriptvirus07.htm
ttp://www.virustotal.com/jp/analisis/4b2fa5372c5c6f1eddaa8ea8aa45961d07ba528939fce89771b5151b6276c1e7-1244382208 (1/39)
scriptvirus08.htm
ttp://www.virustotal.com/jp/analisis/da4701c5da82fd0c893db6027b4d22157e245e614d37529c3081b135eb55cde9-1244383112 (4/38)
scriptvirus09.htm
ttp://www.virustotal.com/jp/analisis/1a59d24a2fca2da5018b1c1d4333b487f72dd1dedf305ad5e09892e0e247b128-1244384168 (4/39)
SetupPack.exe
ttp://www.virustotal.com/jp/analisis/40a69c207ad341a1a22bcfd3c95ae6bb541b9e308cbb1a52c68d41734e21f4f3-1244379933 (3/38)
troj.exe
ttp://www.virustotal.com/jp/analisis/7bae8ae128446cf7a0663359d3719355b3aaf14407f7bccf8ab08a41c5680f03-1244383354 (16/39)
scriptvirus08.htmとscriptvirus09.htmは、改変方法が違うだけで多分呼び出し先一緒。一応、ベンダーが両方合った方がわかりやすそうなので同梱。
DL virus/解凍 virus
【中身】 10個入っています。
188.pdf
ttp://www.virustotal.com/jp/analisis/717d9a4051a0129949f4916a8d29a6fb557f16c3636bbec5258ff1631e7a8eb6-1244381832 (12/38)
cn.pdf
ttp://www.virustotal.com/jp/analisis/decd5daa6c14426bd0a7a64d1ea3a569b5a425f3586827011480c74e0f4650d4-1244380608 (4/39)
flash_player_plugin.exe
ttp://www.virustotal.com/jp/analisis/c18f5119dbae7962b236dd6235620e0331adcf27a9c2161c90f8d1d0a9452adf-1244381068 (8/39)
infect.php
ttp://www.virustotal.com/jp/analisis/227f17fc312900ab70f7664f0ee835c141302388168a44022b57d79d775945e0-1244380288 (17/39)
load.exe
ttp://www.virustotal.com/jp/analisis/0cc079854eb9d57694108cd8e7df0bac88255508f869fa27123e85ca02489031-1244382606 (12/38)
scriptvirus07.htm
ttp://www.virustotal.com/jp/analisis/4b2fa5372c5c6f1eddaa8ea8aa45961d07ba528939fce89771b5151b6276c1e7-1244382208 (1/39)
scriptvirus08.htm
ttp://www.virustotal.com/jp/analisis/da4701c5da82fd0c893db6027b4d22157e245e614d37529c3081b135eb55cde9-1244383112 (4/38)
scriptvirus09.htm
ttp://www.virustotal.com/jp/analisis/1a59d24a2fca2da5018b1c1d4333b487f72dd1dedf305ad5e09892e0e247b128-1244384168 (4/39)
SetupPack.exe
ttp://www.virustotal.com/jp/analisis/40a69c207ad341a1a22bcfd3c95ae6bb541b9e308cbb1a52c68d41734e21f4f3-1244379933 (3/38)
troj.exe
ttp://www.virustotal.com/jp/analisis/7bae8ae128446cf7a0663359d3719355b3aaf14407f7bccf8ab08a41c5680f03-1244383354 (16/39)
scriptvirus08.htmとscriptvirus09.htmは、改変方法が違うだけで多分呼び出し先一緒。一応、ベンダーが両方合った方がわかりやすそうなので同梱。
394 :名無しさん@お腹いっぱい。:2009/06/07(日) 23:36:10
>>393
Risingスルー、提出中
Risingスルー、提出中
395 :名無しさん@お腹いっぱい。:2009/06/07(日) 23:38:08
>Prevx の件
本日の回答:今後は、パスワード "infected" で固めたZIPを次のアドレスに投げてくれ。mik☆prevx.com.
今後は、同報メールでの提出時に、Prevx にも投げるようにしたいと思います。
>>381
いや、真面目に、今までの検体受付アドレスに届かなくなったがどこに送付したらよいかという問い合わせへの
返答でしたので、VTで再確認しろという趣旨ではありませんでした。
本日の回答:今後は、パスワード "infected" で固めたZIPを次のアドレスに投げてくれ。mik☆prevx.com.
今後は、同報メールでの提出時に、Prevx にも投げるようにしたいと思います。
>>381
いや、真面目に、今までの検体受付アドレスに届かなくなったがどこに送付したらよいかという問い合わせへの
返答でしたので、VTで再確認しろという趣旨ではありませんでした。
>>393
AVIRA9 7.01.04.65
188.pdf - EXP/Pidief.aim
cn.pdf - (UNDER ANALYSIS)
flash_player_plugin.exe - (UNDER ANALYSIS)
infect.php - TR/Dldr.Murlo.bdg
load.exe - (UNDER ANALYSIS)
scriptvirus07.htm - (UNDER ANALYSIS)
scriptvirus08.htm - JS/Dldr.Agent.csr
scriptvirus09.htm - JS/Dldr.Agent.csr
SetupPack.exe - (UNDER ANALYSIS)
troj.exe - TR/Spy.ZBot.8345.1
黒5,解析中5。 未検出分 提出済み。
Kaspersky 2009/06/07 17:47:00
188.pdf - Exploit.Win32.Pidief.axy
cn.pdf -
flash_player_plugin.exe -
infect.php - Trojan-Downloader.Win32.Murlo.bdg
load.exe - Email-Worm.Win32.Joleee.bzx
scriptvirus07.htm - HEUR:Exploit.Script.Generic
scriptvirus08.htm - HEUR:Trojan.Script.Iframer
scriptvirus09.htm - HEUR:Trojan.Script.Iframer
SetupPack.exe - not-a-virus:FraudTool.Win32.FastAntivirus2009.f
troj.exe - Trojan-Spy.Win32.Zbot.gen
黒5,HEUR 3,未検出2。 HEURと未検出分 提出済み。
やっと終わりが見えてきた。
AVIRA9 7.01.04.65
188.pdf - EXP/Pidief.aim
cn.pdf - (UNDER ANALYSIS)
flash_player_plugin.exe - (UNDER ANALYSIS)
infect.php - TR/Dldr.Murlo.bdg
load.exe - (UNDER ANALYSIS)
scriptvirus07.htm - (UNDER ANALYSIS)
scriptvirus08.htm - JS/Dldr.Agent.csr
scriptvirus09.htm - JS/Dldr.Agent.csr
SetupPack.exe - (UNDER ANALYSIS)
troj.exe - TR/Spy.ZBot.8345.1
黒5,解析中5。 未検出分 提出済み。
Kaspersky 2009/06/07 17:47:00
188.pdf - Exploit.Win32.Pidief.axy
cn.pdf -
flash_player_plugin.exe -
infect.php - Trojan-Downloader.Win32.Murlo.bdg
load.exe - Email-Worm.Win32.Joleee.bzx
scriptvirus07.htm - HEUR:Exploit.Script.Generic
scriptvirus08.htm - HEUR:Trojan.Script.Iframer
scriptvirus09.htm - HEUR:Trojan.Script.Iframer
SetupPack.exe - not-a-virus:FraudTool.Win32.FastAntivirus2009.f
troj.exe - Trojan-Spy.Win32.Zbot.gen
黒5,HEUR 3,未検出2。 HEURと未検出分 提出済み。
やっと終わりが見えてきた。
397 :名無しさん@お腹いっぱい。:2009/06/07(日) 23:42:32
>>393
Symantec、Panda、GDATA(=avast!、BitDefender)へ提出完了
Symantecから自動返答(今回も解析中との報告)
filename: cn.pdf
machine: Machine
result: See the developer notes
filename: SetupPack.exe
machine: Machine
result: See the developer notes
filename: scriptvirus08.htm
machine: Machine
result: See the developer notes
filename: flash_player_plugin.exe
machine: Machine
result: See the developer notes
filename: scriptvirus09.htm
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
Symantec、Panda、GDATA(=avast!、BitDefender)へ提出完了
Symantecから自動返答(今回も解析中との報告)
filename: cn.pdf
machine: Machine
result: See the developer notes
filename: SetupPack.exe
machine: Machine
result: See the developer notes
filename: scriptvirus08.htm
machine: Machine
result: See the developer notes
filename: flash_player_plugin.exe
machine: Machine
result: See the developer notes
filename: scriptvirus09.htm
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
398 :名無しさん@お腹いっぱい。:2009/06/07(日) 23:58:41
>>393乙
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
>>395
EUのフォーラムで
「VTにマルウェアをアップロードすれば、後日参加ベンダに行き渡りますよね〜」って聞いてごらん
けっこうウケると思うよ
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
>>395
EUのフォーラムで
「VTにマルウェアをアップロードすれば、後日参加ベンダに行き渡りますよね〜」って聞いてごらん
けっこうウケると思うよ
399 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:04:25
カスペからの返事
検体:>>359d
>>361 代理提出d
2+事後検出1+1=4/4でFA
index.htm - Exploit.JS.Agent.aim
検体:>>372
>>377 代理提出d
8+追加検出2=10/10でFA
install.exe - Trojan-Downloader.Win32.FraudLoad.eoz
install2.exe - Trojan-Downloader.Win32.FraudLoad.eoy
最近のもの(>>384,393))は>>61さんの回答待ちにします。
検体:>>359d
>>361 代理提出d
2+事後検出1+1=4/4でFA
index.htm - Exploit.JS.Agent.aim
検体:>>372
>>377 代理提出d
8+追加検出2=10/10でFA
install.exe - Trojan-Downloader.Win32.FraudLoad.eoz
install2.exe - Trojan-Downloader.Win32.FraudLoad.eoy
最近のもの(>>384,393))は>>61さんの回答待ちにします。
400 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:08:16
KasperskyとAviraは相変わらず対応速度が速いし安定してるな
他のベンダーも頑張れ
他のベンダーも頑張れ
401 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:08:53
>>393
McAfee (Active Protection 無効)1/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
188.pdf |new detection |exploit-pdf.d |Trojan |yes
cn.pdf |inconclusive | | |no
infect.php |new detection |generic downloader.x!dy |Trojan |yes
load.exe |new detection |generic.dx!gn |Trojan |yes
scriptvirus07.htm |inconclusive | | |no
scriptvirus08.htm |inconclusive | | |no
scriptvirus09.htm |inconclusive | | |no
setuppack.exe |inconclusive | | |no
troj.exe |new detection |generic pws.y!bb |Trojan |yes
McAfee (Active Protection 無効)1/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
188.pdf |new detection |exploit-pdf.d |Trojan |yes
cn.pdf |inconclusive | | |no
infect.php |new detection |generic downloader.x!dy |Trojan |yes
load.exe |new detection |generic.dx!gn |Trojan |yes
scriptvirus07.htm |inconclusive | | |no
scriptvirus08.htm |inconclusive | | |no
scriptvirus09.htm |inconclusive | | |no
setuppack.exe |inconclusive | | |no
troj.exe |new detection |generic pws.y!bb |Trojan |yes
402 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:18:34
>>398
prevxの検体提出アドレスが使用できなくなった際の問い合わせで、今後はVTにUploadしてくれという回答を
貰った時期があった(2008/03/18)という以上の情報を私からは出していません。
>けっこうウケると思うよ
その情報に基づいて憶測を広げるかどうかは個人の自由ですので止めは致しませんが、ここは一応
真面目なスレだと解釈していますので、煽るような発言は程々にして頂けないでしょうか。
ちなみに、VTのようなサイトの1つである Jotti の説明文には、このような一文があります。
>Files uploaded here are shared with anti-virus companies so detection accuracy of their
>anti-virus products can be improved. Read more about this in our privacy policy.
>If you do not want your files to be distributed, please do not send them at all.
翻訳エンジン経由の訳によると
>ここにアップロードされたファイルは、それらのアンチウイルス製品の検出精度を改良できるように
>ウイルス対策会社と共有されます。 これに関して私たちのプライバシーに関する方針でもう少し読んでください。
> あなたのファイルを分配して欲しくないなら、それらを全く送らないでください。
VirusTotal:アップされた検体の共有が行われているかは不明。Prevxが過去に提出はVTへと指示した時期がある。
VirSCAN.org:アップされた検体の共有が行われているかは不明。
Jotti's malware scan:指定しなければ、各ベンダーと共有されます
Jotti's のセキュリティポリシーと、VTにUpせよとの指定が混在して、VirusTotalへのUPでそのファイルは各ベンダーにも
提出されているのではないかという想定に繋がった可能性があります。以上。
prevxの検体提出アドレスが使用できなくなった際の問い合わせで、今後はVTにUploadしてくれという回答を
貰った時期があった(2008/03/18)という以上の情報を私からは出していません。
>けっこうウケると思うよ
その情報に基づいて憶測を広げるかどうかは個人の自由ですので止めは致しませんが、ここは一応
真面目なスレだと解釈していますので、煽るような発言は程々にして頂けないでしょうか。
ちなみに、VTのようなサイトの1つである Jotti の説明文には、このような一文があります。
>Files uploaded here are shared with anti-virus companies so detection accuracy of their
>anti-virus products can be improved. Read more about this in our privacy policy.
>If you do not want your files to be distributed, please do not send them at all.
翻訳エンジン経由の訳によると
>ここにアップロードされたファイルは、それらのアンチウイルス製品の検出精度を改良できるように
>ウイルス対策会社と共有されます。 これに関して私たちのプライバシーに関する方針でもう少し読んでください。
> あなたのファイルを分配して欲しくないなら、それらを全く送らないでください。
VirusTotal:アップされた検体の共有が行われているかは不明。Prevxが過去に提出はVTへと指示した時期がある。
VirSCAN.org:アップされた検体の共有が行われているかは不明。
Jotti's malware scan:指定しなければ、各ベンダーと共有されます
Jotti's のセキュリティポリシーと、VTにUpせよとの指定が混在して、VirusTotalへのUPでそのファイルは各ベンダーにも
提出されているのではないかという想定に繋がった可能性があります。以上。
403 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:22:29
訂正
VirSCAN.org:アップされた検体の共有が行われている。
>疑わしいものとして、アップロードしたファイルが検知されれば、VirSCANはファイルを送り、
>分析されるVirSCANサービスに参加する抗ウイルスのベンダーに離れて報告するでしょう。
>実際のマルウェアが見つかれば、アンチウイルスの会社は署名ウィルス・データベースを更新するでしょう。
いかにも機械語翻訳な解説の中にこのような文面がありましたので、VirSCAN.org も疑惑ファイルを
各ベンダーで共有しているようです。はっきりした説明がないのがVirusTotalだけということになりますね。
VirSCAN.org:アップされた検体の共有が行われている。
>疑わしいものとして、アップロードしたファイルが検知されれば、VirSCANはファイルを送り、
>分析されるVirSCANサービスに参加する抗ウイルスのベンダーに離れて報告するでしょう。
>実際のマルウェアが見つかれば、アンチウイルスの会社は署名ウィルス・データベースを更新するでしょう。
いかにも機械語翻訳な解説の中にこのような文面がありましたので、VirSCAN.org も疑惑ファイルを
各ベンダーで共有しているようです。はっきりした説明がないのがVirusTotalだけということになりますね。
404 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:48:35
…度々すまん。VirusTotalも、各種ベンダーとファイルの共有をしているようです。
セキュリティポリシー(英文)のに段落目に下記のメッセージがありました。
ttp://www.virustotal.com/privacy.html
>When you submit a sample file to VirusTotal for scanning, we may store it and share these with
>anti-malware and security companies (normally the companies participants in VirusTotal receives
>the samples cataloged as malware that theirs engines do not detect). The samples can be analysed
>by automatic tools and security analysts to detect malicious code and to improve anti-virus engines.
機械翻訳後
>あなたがスキャンのためにサンプルファイルをVirusTotalに提出するとき、私たちは、反マルウェアと
>警備会社とそれを保存して、これらを共有するかもしれません(通常、VirusTotalの会社の関係者は
>彼等のものが蒸気機関を備えているマルウェアが、検出されないので、カタログに載せられたサンプルを
>受け取ります)。 自動ツールと証券アナリストは、悪質なコードを検出して、アンチウイルスエンジンを
>改良するためにサンプルを分析できます。
VirusTotal/VirSCAN.org/Jotti's malware scan のいずれも、提出されたファイルを、なんらかの方法で
セキュリティベンダーと共有するようです。ただし、ベンダーの窓口に直接送付した方が、対応は圧倒的に
早いようです。
セキュリティポリシー(英文)のに段落目に下記のメッセージがありました。
ttp://www.virustotal.com/privacy.html
>When you submit a sample file to VirusTotal for scanning, we may store it and share these with
>anti-malware and security companies (normally the companies participants in VirusTotal receives
>the samples cataloged as malware that theirs engines do not detect). The samples can be analysed
>by automatic tools and security analysts to detect malicious code and to improve anti-virus engines.
機械翻訳後
>あなたがスキャンのためにサンプルファイルをVirusTotalに提出するとき、私たちは、反マルウェアと
>警備会社とそれを保存して、これらを共有するかもしれません(通常、VirusTotalの会社の関係者は
>彼等のものが蒸気機関を備えているマルウェアが、検出されないので、カタログに載せられたサンプルを
>受け取ります)。 自動ツールと証券アナリストは、悪質なコードを検出して、アンチウイルスエンジンを
>改良するためにサンプルを分析できます。
VirusTotal/VirSCAN.org/Jotti's malware scan のいずれも、提出されたファイルを、なんらかの方法で
セキュリティベンダーと共有するようです。ただし、ベンダーの窓口に直接送付した方が、対応は圧倒的に
早いようです。
405 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:59:46 BE:596402892-2BP(0)
煽るというか、ネタ振りでしょw
vt は、privacy.html に一筆入ってました
> When you submit a sample file ...
ってリロしたら気づかれてたw
意図的に一部破壊したり、アンパックしたマルウェアを分析させたりすることもあるので、
ベンダに送付されるのは引き止められないが、せめてコメントを書き添えたりできないか。
って頼んだりしたことがあるのですけど、いまんとこ「あーそういうのもいいかもね、考えときます」
くらいで放置されてますw
vt は、privacy.html に一筆入ってました
> When you submit a sample file ...
ってリロしたら気づかれてたw
意図的に一部破壊したり、アンパックしたマルウェアを分析させたりすることもあるので、
ベンダに送付されるのは引き止められないが、せめてコメントを書き添えたりできないか。
って頼んだりしたことがあるのですけど、いまんとこ「あーそういうのもいいかもね、考えときます」
くらいで放置されてますw
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=372
DL virus/解凍 virus
【中身】 8個入っています。
5.htm
ttp://www.virustotal.com/jp/analisis/841212f2675b97bbf75d2ed4e4e58e4d9bee21e3b779f814f03962a899fcedfd-1244387297 (4/39)
Adobe-Flash-Player-Update-pack-2009-06-07.exe
ttp://www.virustotal.com/jp/analisis/0649075b2f7a91c5491e2ee0034bbb7b0d3266d834886bd816e3ff5e4ef5ee76-1244390184 (11/39)
deisvop.htm
ttp://www.virustotal.com/jp/analisis/476518440fa7e83bb5ba35ef32fc9a234659f577f270d0cd76d330fd2aa65b23-1244387955 (12/38)
install.exe
ttp://www.virustotal.com/jp/analisis/ceb2a550b87210d6c16cabff6f6f07f8209133cc0e614ad4352ba5fc0cc20606-1244389759 (20/38)
load.exe
ttp://www.virustotal.com/jp/analisis/104a0100ec20a129a4b4d64c5ba2f961d96125362c91acb1eed6eae3868c6e3f-1244388996 (16/38)
load2.exe
ttp://www.virustotal.com/jp/analisis/03642e3e2ceab9b3de6c92e03893ad477509e0106e0c6ace1466fde19707e39c-1244390444 (21/38)
perce.exe
ttp://www.virustotal.com/jp/analisis/cb23be0a06eda4898452f89df529b19485899d81c477284c9194f5e5c3457774-1244390913 (9/38)
Setup_build6_27.exe
ttp://www.virustotal.com/jp/analisis/96ef88149ff92023f6dc8393c547ed3ad5f2938a3018c08a7105c63677ea6391-1244391167 (7/39)
今日はこれで終わりです。
DL virus/解凍 virus
【中身】 8個入っています。
5.htm
ttp://www.virustotal.com/jp/analisis/841212f2675b97bbf75d2ed4e4e58e4d9bee21e3b779f814f03962a899fcedfd-1244387297 (4/39)
Adobe-Flash-Player-Update-pack-2009-06-07.exe
ttp://www.virustotal.com/jp/analisis/0649075b2f7a91c5491e2ee0034bbb7b0d3266d834886bd816e3ff5e4ef5ee76-1244390184 (11/39)
deisvop.htm
ttp://www.virustotal.com/jp/analisis/476518440fa7e83bb5ba35ef32fc9a234659f577f270d0cd76d330fd2aa65b23-1244387955 (12/38)
install.exe
ttp://www.virustotal.com/jp/analisis/ceb2a550b87210d6c16cabff6f6f07f8209133cc0e614ad4352ba5fc0cc20606-1244389759 (20/38)
load.exe
ttp://www.virustotal.com/jp/analisis/104a0100ec20a129a4b4d64c5ba2f961d96125362c91acb1eed6eae3868c6e3f-1244388996 (16/38)
load2.exe
ttp://www.virustotal.com/jp/analisis/03642e3e2ceab9b3de6c92e03893ad477509e0106e0c6ace1466fde19707e39c-1244390444 (21/38)
perce.exe
ttp://www.virustotal.com/jp/analisis/cb23be0a06eda4898452f89df529b19485899d81c477284c9194f5e5c3457774-1244390913 (9/38)
Setup_build6_27.exe
ttp://www.virustotal.com/jp/analisis/96ef88149ff92023f6dc8393c547ed3ad5f2938a3018c08a7105c63677ea6391-1244391167 (7/39)
今日はこれで終わりです。
407 :名無しさん@お腹いっぱい。:2009/06/08(月) 01:37:31
ちょっとVTでテストしてみました。
このマルウェアは、
VTが最初に受け付けたのは2008.12.31 でした
VTが最後に受け付けたのは2009.03.04 でした(6/38) ttp://g.imagehost.org/0209/a_3.jpg
↓ 3ヶ月経過 ↓ 4社対応が増えた
再びVTで新規解析してみた2009.06.08結果が(10/39)でした ttp://g.imagehost.org/0915/a3.jpg
この結果からは、
VTが参加ベンダとマルウェア検体の共有をしているというのはあり得ないのではないのでしょうか?
このマルウェアは、
VTが最初に受け付けたのは2008.12.31 でした
VTが最後に受け付けたのは2009.03.04 でした(6/38) ttp://g.imagehost.org/0209/a_3.jpg
↓ 3ヶ月経過 ↓ 4社対応が増えた
再びVTで新規解析してみた2009.06.08結果が(10/39)でした ttp://g.imagehost.org/0915/a3.jpg
この結果からは、
VTが参加ベンダとマルウェア検体の共有をしているというのはあり得ないのではないのでしょうか?
>>406乙
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
>VirusTotal/VirSCAN.org/Jotti's malware scan のいずれも、提出されたファイルを、なんらかの方法でセキュリティベンダーと共有
この件は、答えが見つかりそうも無いですね・・・
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
>VirusTotal/VirSCAN.org/Jotti's malware scan のいずれも、提出されたファイルを、なんらかの方法でセキュリティベンダーと共有
この件は、答えが見つかりそうも無いですね・・・
>>406
AVIRA9 7.01.04.65
5.htm - (UNDER ANALYSIS)
Adobe-Flash-Player-Update-pack-2009-06-07.exe - SPR/Fraud.PrivC.2
deisvop.htm - JS/Agent.AB
install.exe - HEUR/Malware (UNDER ANALYSIS)
load.exe - (UNDER ANALYSIS)
load2.exe - TR/Crypt.XPACK.Gen
perce.exe - (UNDER ANALYSIS)
Setup_build6_27.exe - TR/Crypt.ZPACK.Gen
黒4,HEUR 1(解析中),解析中3。 未検出分 提出済み。
Kaspersky 2009/06/08 1:14:00
5.htm - HEUR:Trojan.Script.Iframer
Adobe-Flash-Player-Update-pack-2009-06-07.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.dt
deisvop.htm - Packed.JS.Agent.ab
install.exe -
load.exe - Trojan-Spy.Win32.Zbot.wig
load2.exe - Trojan-Dropper.Win32.Agent.asui
perce.exe -
Setup_build6_27.exe -
黒4,HEUR 1,未検出3。 HEURと未検出提出済み。
>>399
最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w
AVIRA9 7.01.04.65
5.htm - (UNDER ANALYSIS)
Adobe-Flash-Player-Update-pack-2009-06-07.exe - SPR/Fraud.PrivC.2
deisvop.htm - JS/Agent.AB
install.exe - HEUR/Malware (UNDER ANALYSIS)
load.exe - (UNDER ANALYSIS)
load2.exe - TR/Crypt.XPACK.Gen
perce.exe - (UNDER ANALYSIS)
Setup_build6_27.exe - TR/Crypt.ZPACK.Gen
黒4,HEUR 1(解析中),解析中3。 未検出分 提出済み。
Kaspersky 2009/06/08 1:14:00
5.htm - HEUR:Trojan.Script.Iframer
Adobe-Flash-Player-Update-pack-2009-06-07.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.dt
deisvop.htm - Packed.JS.Agent.ab
install.exe -
load.exe - Trojan-Spy.Win32.Zbot.wig
load2.exe - Trojan-Dropper.Win32.Agent.asui
perce.exe -
Setup_build6_27.exe -
黒4,HEUR 1,未検出3。 HEURと未検出提出済み。
>>399
最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w
410 :名無しさん@お腹いっぱい。:2009/06/08(月) 01:55:50
>>406
Panda、GDATA(=avast!、BitDefender)へ提出完了
Panda、GDATA(=avast!、BitDefender)へ提出完了
411 :名無しさん@お腹いっぱい。:2009/06/08(月) 02:23:33
>>406
McAfee (Active Protection 無効)4/8
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
5.htm |inconclusive | | |no
load.exe |new detection |generic pws.y!be |Trojan |yes
load2.exe |new detection |generic dropper!bp |Trojan |yes
setup_build6_27.exe |inconclusive | | |no
McAfee (Active Protection 無効)4/8
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
5.htm |inconclusive | | |no
load.exe |new detection |generic pws.y!be |Trojan |yes
load2.exe |new detection |generic dropper!bp |Trojan |yes
setup_build6_27.exe |inconclusive | | |no
412 :名無しさん@お腹いっぱい。:2009/06/08(月) 08:33:40
king 2009.6.7.19
>>384
tane0369\vv.exe /Win32.TrojDownloader.FraudLoad.44544
tane0369\scan_now.exe /Win32.TrojDownloader.FraudLoad.262672
tane0369\KB908117.exe /Win32.Troj.Rabbit.en.20703
3/10
>>393
tane0370\scriptvirus09.htm /JS.Agent.za.11918
tane0370\scriptvirus08.htm /JS.Agent.za.11918
2/10
>>406
tane0372\perce.exe /Win32.Troj.Undef.125956
tane0372\load.exe /Win32.Troj.Zbot.64512
2/8
未検出分を提出しました。
>>384
tane0369\vv.exe /Win32.TrojDownloader.FraudLoad.44544
tane0369\scan_now.exe /Win32.TrojDownloader.FraudLoad.262672
tane0369\KB908117.exe /Win32.Troj.Rabbit.en.20703
3/10
>>393
tane0370\scriptvirus09.htm /JS.Agent.za.11918
tane0370\scriptvirus08.htm /JS.Agent.za.11918
2/10
>>406
tane0372\perce.exe /Win32.Troj.Undef.125956
tane0372\load.exe /Win32.Troj.Zbot.64512
2/8
未検出分を提出しました。
413 :名無しさん@お腹いっぱい。:2009/06/08(月) 10:11:12
カスペ2009 9:23
検体:>>384 d (代理提出 >>385 d)
9+事後検出1=10/10でFA
Trojan program Trojan.Win32.Rabbit.eq tane0369\svcshostes.exe
検体:>>393 d (代理提出 >>396 d)
8+事後検出1=9/10(HEUR2含み)、未検知1 (cn.pdf)
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dt tane0370.zip/flash_player_plugin.exe
Detected Trojan program Trojan-Downloader.HTML.IFrame.aad tane0370.zip/scriptvirus08.htm (←HEUR:Trojan.Script.Iframer)
検体:>>406 d (代理提出 >>409 d)
5+事後検出2=7/8, 未検知1( install.exe )
Detected Trojan program Trojan-Downloader.JS.Iframe.bdc tane0372.zip/5.htm (←HEUR:Trojan.Script.Iframer)
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epa tane0372.zip/Setup_build6_27.exe
Detected Trojan program Trojan.Win32.Agent.cljd tane0372.zip/perce.exe
>>409
>最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w
了解。
未検出分、頃合いみて再送。
未だ、クローズしていない案件:>>342
検体:>>384 d (代理提出 >>385 d)
9+事後検出1=10/10でFA
Trojan program Trojan.Win32.Rabbit.eq tane0369\svcshostes.exe
検体:>>393 d (代理提出 >>396 d)
8+事後検出1=9/10(HEUR2含み)、未検知1 (cn.pdf)
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dt tane0370.zip/flash_player_plugin.exe
Detected Trojan program Trojan-Downloader.HTML.IFrame.aad tane0370.zip/scriptvirus08.htm (←HEUR:Trojan.Script.Iframer)
検体:>>406 d (代理提出 >>409 d)
5+事後検出2=7/8, 未検知1( install.exe )
Detected Trojan program Trojan-Downloader.JS.Iframe.bdc tane0372.zip/5.htm (←HEUR:Trojan.Script.Iframer)
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epa tane0372.zip/Setup_build6_27.exe
Detected Trojan program Trojan.Win32.Agent.cljd tane0372.zip/perce.exe
>>409
>最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w
了解。
未検出分、頃合いみて再送。
未だ、クローズしていない案件:>>342
414 :名無しさん@お腹いっぱい。:2009/06/08(月) 10:30:14
>>406
Rising 2009
install.exe: Suspicious:Trojan.DL.Win32.Downloader.GEN
load.exe: Suspicious:Packer.Win32.UnkPacker.a
0(+2)/8
提出済み
Rising 2009
install.exe: Suspicious:Trojan.DL.Win32.Downloader.GEN
load.exe: Suspicious:Packer.Win32.UnkPacker.a
0(+2)/8
提出済み
415 :名無しさん@お腹いっぱい。:2009/06/08(月) 11:01:42
416 :名無しさん@お腹いっぱい。:2009/06/08(月) 14:24:51
>>407
> VTが参加ベンダとマルウェア検体の共有をしているというのはあり得ないのではないのでしょうか?
検体を共有してることと、共有してる検体を積極的に解析することは別の問題
VTみたいに味噌も糞も一緒に放り込まれるようなものは優先順位が低いと思うよ
> VTが参加ベンダとマルウェア検体の共有をしているというのはあり得ないのではないのでしょうか?
検体を共有してることと、共有してる検体を積極的に解析することは別の問題
VTみたいに味噌も糞も一緒に放り込まれるようなものは優先順位が低いと思うよ
417 :名無しさん@お腹いっぱい。:2009/06/08(月) 20:25:30
>>407
どのライン(一定の検出率を越えたら誤検出じゃない可能性が高いと見てベンダーに提出)で
チェックしてるかはわかんないですからねー。新種なんかの、検出率悪いのは誤検出の可能性と
判断して、ベンダーに回さないかもしれませんし。
>>395
Prevxの提出先ミス。届かないので問い合わせたら、1文字抜けてた模様。
Prevx(Prevx3) <mike☆prevx.com> これが正しい検体提出先だそうです。
どのライン(一定の検出率を越えたら誤検出じゃない可能性が高いと見てベンダーに提出)で
チェックしてるかはわかんないですからねー。新種なんかの、検出率悪いのは誤検出の可能性と
判断して、ベンダーに回さないかもしれませんし。
>>395
Prevxの提出先ミス。届かないので問い合わせたら、1文字抜けてた模様。
Prevx(Prevx3) <mike☆prevx.com> これが正しい検体提出先だそうです。
>>416-417
ちなみに407は正真正銘のRootKitです。
ちなみに407は正真正銘のRootKitです。
検体:>>393 (>>396,>>413)
cn.pdf - Exploit.Win32.Pidief.azl
8+事後検出(1+1) = 10/10でクローズ
検体:>>406 (>>409,413)
install.exe - No malicious code was found in this file.
5+2=7/8、白1でクローズ
VTみていると、Trojan-Downloader.Renos.*** かなと思っていたけれど、カスペ判定では白だった。検出時には、VTでの他社検出状況は教えているが…。
※Trojan-Downloader.Renos attempts to download certain rogue anti-spyware application. (attempt to; 〜しようと試みる。rogue=無法者(の)、ごろつき)、リスク:中
cn.pdf - Exploit.Win32.Pidief.azl
8+事後検出(1+1) = 10/10でクローズ
検体:>>406 (>>409,413)
install.exe - No malicious code was found in this file.
5+2=7/8、白1でクローズ
VTみていると、Trojan-Downloader.Renos.*** かなと思っていたけれど、カスペ判定では白だった。検出時には、VTでの他社検出状況は教えているが…。
※Trojan-Downloader.Renos attempts to download certain rogue anti-spyware application. (attempt to; 〜しようと試みる。rogue=無法者(の)、ごろつき)、リスク:中
>>419
カスペからの返事です。すまぬ。
カスペからの返事です。すまぬ。
421 :名無しさん@お腹いっぱい。:2009/06/08(月) 21:40:58
>>418
対応して欲しければ窓口に直接送るのが一番良い
各社のWEBページに送り先が書いてあるでしょ >>4-8みたいなのが
普通に考えれば自社で収集してる企業は
ほとんどがVTの検体はチェックしてないと思うよ
収集能力の低い企業ほどVTの検体に頼ると思う
対応して欲しければ窓口に直接送るのが一番良い
各社のWEBページに送り先が書いてあるでしょ >>4-8みたいなのが
普通に考えれば自社で収集してる企業は
ほとんどがVTの検体はチェックしてないと思うよ
収集能力の低い企業ほどVTの検体に頼ると思う
>>421
昨夜Symantecに送っています。
昨夜Symantecに送っています。
423 :名無しさん@お腹いっぱい。:2009/06/08(月) 21:45:20
>>421
最近Ikarus元気なくね
最近Ikarus元気なくね
424 :名無しさん@お腹いっぱい。:2009/06/09(火) 11:21:00
Rising 2009 21.42.04 (21.33.04.00)
>>351
codec.exe: Trojan.Win32.FakeAV.pc
1+1=2/10
>>384
KB908117.exe: Worm.Win32.Undef.hi
1/10
>>351
codec.exe: Trojan.Win32.FakeAV.pc
1+1=2/10
>>384
KB908117.exe: Worm.Win32.Undef.hi
1/10
425 :名無しさん@お腹いっぱい。:2009/06/09(火) 14:01:18
king 2009.6.9.7
>>372
tane0368\TubeViewer.ver.6.40000.exe /Win32.TrojDownloader.CodecPack.70180
tane0368\popingred.exe /Win32.Troj.Microjoin.1590272
1+2/10
>>384
tane0369\svcshostes.exe /Win32.Troj.Rabbit.eq.20705
tane0369\Keygen&Crack.45000.exe /Win32.TrojDownloader.CodecPack.70180
tane0369\frfr5.exe /Win32.Troj.BHO.176640
3+3/10
>>393
tane0370\troj.exe /Win32.Troj.Zbot.83456
2+1/10
>>406
tane0372\load2.exe /Win32.Troj.Agent.34496
2+1/8
>>372
tane0368\TubeViewer.ver.6.40000.exe /Win32.TrojDownloader.CodecPack.70180
tane0368\popingred.exe /Win32.Troj.Microjoin.1590272
1+2/10
>>384
tane0369\svcshostes.exe /Win32.Troj.Rabbit.eq.20705
tane0369\Keygen&Crack.45000.exe /Win32.TrojDownloader.CodecPack.70180
tane0369\frfr5.exe /Win32.Troj.BHO.176640
3+3/10
>>393
tane0370\troj.exe /Win32.Troj.Zbot.83456
2+1/10
>>406
tane0372\load2.exe /Win32.Troj.Agent.34496
2+1/8
426 :名無しさん@お腹いっぱい。:2009/06/09(火) 15:20:13
>>15,72,289あたりと同類ですが一部スルーでした
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=373
infected
検出元
www●muswou●com/AVI.scr
AVI.scr 28/39 (71.79%)
http://www.virustotal.com/jp/analisis/e67d3f23cc0435deedb1ae29f0d05339098652f78aa257a043198574a9229ead-1244525051
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=373
infected
検出元
www●muswou●com/AVI.scr
AVI.scr 28/39 (71.79%)
http://www.virustotal.com/jp/analisis/e67d3f23cc0435deedb1ae29f0d05339098652f78aa257a043198574a9229ead-1244525051
427 :名無しさん@お腹いっぱい。:2009/06/09(火) 18:48:31
>>426
ファイル名は違うものの、同じ検体(6/6提出済み)
ttp://www.virustotal.com/analisis/e67d3f23cc0435deedb1ae29f0d05339098652f78aa257a043198574a9229ead-1244283936
ちらっと比較してみたところ、変な箇所が。
Antiy-AVL、ViRobot なんかは、提出後に対応してるのがわかりますが、
a-squaredは、検知してたのに、>426の結果だと、スルーに変化してる。再提出必要かな。
ファイル名は違うものの、同じ検体(6/6提出済み)
ttp://www.virustotal.com/analisis/e67d3f23cc0435deedb1ae29f0d05339098652f78aa257a043198574a9229ead-1244283936
ちらっと比較してみたところ、変な箇所が。
Antiy-AVL、ViRobot なんかは、提出後に対応してるのがわかりますが、
a-squaredは、検知してたのに、>426の結果だと、スルーに変化してる。再提出必要かな。
428 :名無しさん@お腹いっぱい。:2009/06/09(火) 19:01:36
>>426-427
a-squared4.5Freeで検査してみました。中身の本体である1199.exeを検知して、削除は可能でした。
検出名も、6/6の通り、Trojan.Crypt!IKのままです。
VTのパターンが、4.0→4.5になってるせいかもしれませんが、手元で検査したのも4.5.0.1なんですよね。
VTでスルーになってるのが解せませんが、実際は対応しているということで安心しておきましょう。
他の未検出のベンダーには、提出済みですが、Comodoユーザーの人は、再提出しといてもいいかも。
CAT-QuickHeal、Comodo、eTrust-Vet、Ikarus、K7AntiVirus、nProtect、Rising、Sunbelt、TheHacker 済み。
a-squared4.5Freeで検査してみました。中身の本体である1199.exeを検知して、削除は可能でした。
検出名も、6/6の通り、Trojan.Crypt!IKのままです。
VTのパターンが、4.0→4.5になってるせいかもしれませんが、手元で検査したのも4.5.0.1なんですよね。
VTでスルーになってるのが解せませんが、実際は対応しているということで安心しておきましょう。
他の未検出のベンダーには、提出済みですが、Comodoユーザーの人は、再提出しといてもいいかも。
CAT-QuickHeal、Comodo、eTrust-Vet、Ikarus、K7AntiVirus、nProtect、Rising、Sunbelt、TheHacker 済み。
429 :名無しさん@お腹いっぱい。:2009/06/09(火) 19:11:02
Rising 2009 21.42.12 (21.33.12.00)
>>166
176+1=177/197
>>351
300.exe: Backdoor.Win32.Undef.drz
2+1=3/10
>>384
vv.exe: Trojan.PSW.Win32.Agent.etg
1+1=2/10
>>406
perce.exe: Trojan.Win32.Nodef.jwm
0(+2)+1=1(+2)/8
>>426
AVI.zip>>AVI.scr>>1199.exe: Trojan.Win32.Nodef.jwh
>>166
176+1=177/197
>>351
300.exe: Backdoor.Win32.Undef.drz
2+1=3/10
>>384
vv.exe: Trojan.PSW.Win32.Agent.etg
1+1=2/10
>>406
perce.exe: Trojan.Win32.Nodef.jwm
0(+2)+1=1(+2)/8
>>426
AVI.zip>>AVI.scr>>1199.exe: Trojan.Win32.Nodef.jwh
430 :名無しさん@お腹いっぱい。:2009/06/09(火) 20:43:17
>>427
tane0373/mpg.scr再提出完了(McAfee)
tane0373/mpg.scr再提出完了(McAfee)
>>342 (>>345,>>349)
カスペからの返事:
4+事後提出(1+3)=8/14、白6でクローズ。
load.php - Worm.Win32.AutoRun.aptw,
malicious_PHP_02.txt - Backdoor.PHP.Agent.df
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
malicious_PHP_01.txt, malicious_PHP_04.txt, malicious_PHP_05.txt, malicious_PHP_06.txt, malicious_PHP_08.txt, malicious_PHP_10.txt
No malicious code were found in these files.
malicious_PHP_03.txt - Backdoor.PHP.Agent.de
This file is already detected. Please update your antivirus bases.
Please quote all when answering.
The answer is relevant to the latest bases from update sources.
一応、これで未決分なし。
カスペからの返事:
4+事後提出(1+3)=8/14、白6でクローズ。
load.php - Worm.Win32.AutoRun.aptw,
malicious_PHP_02.txt - Backdoor.PHP.Agent.df
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
malicious_PHP_01.txt, malicious_PHP_04.txt, malicious_PHP_05.txt, malicious_PHP_06.txt, malicious_PHP_08.txt, malicious_PHP_10.txt
No malicious code were found in these files.
malicious_PHP_03.txt - Backdoor.PHP.Agent.de
This file is already detected. Please update your antivirus bases.
Please quote all when answering.
The answer is relevant to the latest bases from update sources.
一応、これで未決分なし。
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=374
DL virus/解凍 virus
【中身】 1個入っています。 話題の216.154.213.166 関連です。
load.exe
ttp://www.virustotal.com/jp/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244562650 (1/40)
AVIRA 7.01.04.77 - (UNDER ANALYSIS)
Kaspersky 2009/06/10 0:09:00 -
AVIRAもKasperskyもスルーしたので提出済み。 VT 1/40とか、なかなか壮観ですなぁ...
補足
・リストアップされていた35個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは6箇所。ただし、全部同じファイル。(IPアドレス同じなので、まあ予想通りだけど)
・flash.swfとindex.htmも落ちてきたが、これは>359と全く同じファイル。(MD5,SHA256 どっちも一緒)
・pdfは落ちてこなかった。(この感じだと、落ちてきたとしても多分>359と同じだったかも)
index.htmとflash.swfが同じなので、gnomeさん他の通り、87.106.103.122 → 216.154.213.166は同一犯確定でしょう。
exeファイルだけ入れ替えてるのかもしれません。
DL virus/解凍 virus
【中身】 1個入っています。 話題の216.154.213.166 関連です。
load.exe
ttp://www.virustotal.com/jp/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244562650 (1/40)
AVIRA 7.01.04.77 - (UNDER ANALYSIS)
Kaspersky 2009/06/10 0:09:00 -
AVIRAもKasperskyもスルーしたので提出済み。 VT 1/40とか、なかなか壮観ですなぁ...
補足
・リストアップされていた35個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは6箇所。ただし、全部同じファイル。(IPアドレス同じなので、まあ予想通りだけど)
・flash.swfとindex.htmも落ちてきたが、これは>359と全く同じファイル。(MD5,SHA256 どっちも一緒)
・pdfは落ちてこなかった。(この感じだと、落ちてきたとしても多分>359と同じだったかも)
index.htmとflash.swfが同じなので、gnomeさん他の通り、87.106.103.122 → 216.154.213.166は同一犯確定でしょう。
exeファイルだけ入れ替えてるのかもしれません。
433 :名無しさん@お腹いっぱい。:2009/06/10(水) 01:23:19
434 :名無しさん@お腹いっぱい。:2009/06/10(水) 01:25:51
435 :名無しさん@お腹いっぱい。:2009/06/10(水) 02:05:07
>>432
Symantec、Panda、GDATA2009(=avast!&BitDefender)に提出完了
Symantec、Panda、GDATA2009(=avast!&BitDefender)に提出完了
436 :名無しさん@お腹いっぱい。:2009/06/10(水) 02:20:56
>>432
Risingスルー、提出完了
Risingスルー、提出完了
>>432
続いて213.165.80.179...なんだけど、落ちてくるファイルが全部>359,432と同じ。ヽ(`Д´)ノウワーン
・リストアップされていた65個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは18箇所。ただし、全部>432と同じファイル。(ある程度予想はしてたが...)
・flash.swfとreadme.pdfは、>359と全く同じファイル。(ハッシュ値同じ)
む〜、35+65=100個サイト踏んで、新種1個だけか。
つか、どこにアクセスしても落ちてくるファイルが同じだと、逆に尻尾をつかまえやすい気がしなくもなし...誰かが1個捕まえて
検体提出したら全部のサイトが対策されてしまうんで、gumblarよりマヌケだな。 pdfとswfは入れ替えしないし。
gumblarみたいな、1サイトで24時間以内の再アクセス制限+1〜2日での新種入れ替えに比べると、緻密さが無い。 模倣犯かなぁ。
続いて213.165.80.179...なんだけど、落ちてくるファイルが全部>359,432と同じ。ヽ(`Д´)ノウワーン
・リストアップされていた65個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは18箇所。ただし、全部>432と同じファイル。(ある程度予想はしてたが...)
・flash.swfとreadme.pdfは、>359と全く同じファイル。(ハッシュ値同じ)
む〜、35+65=100個サイト踏んで、新種1個だけか。
つか、どこにアクセスしても落ちてくるファイルが同じだと、逆に尻尾をつかまえやすい気がしなくもなし...誰かが1個捕まえて
検体提出したら全部のサイトが対策されてしまうんで、gumblarよりマヌケだな。 pdfとswfは入れ替えしないし。
gumblarみたいな、1サイトで24時間以内の再アクセス制限+1〜2日での新種入れ替えに比べると、緻密さが無い。 模倣犯かなぁ。
438 :名無しさん@お腹いっぱい。:2009/06/10(水) 02:55:51
>>437
この辺の奴?
ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=cn%A5%C9%A5%E1%A5%A4%A5%F3%A4%F2%CD%F8%CD%D1%A4%B7%A4%BF+cocacola+%2C+income+%2Cpepsi+%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF%A5%B7%A5%E7%A5%F3
GENOみたいにアクセス制御で検体拾いにくくしてる奴が稼動してるらしいです。
このサイトの解説は判りやすくていいね…っつーか、どうやったら安全に拾えるかだな。
この辺の奴?
ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=cn%A5%C9%A5%E1%A5%A4%A5%F3%A4%F2%CD%F8%CD%D1%A4%B7%A4%BF+cocacola+%2C+income+%2Cpepsi+%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF%A5%B7%A5%E7%A5%F3
GENOみたいにアクセス制御で検体拾いにくくしてる奴が稼動してるらしいです。
このサイトの解説は判りやすくていいね…っつーか、どうやったら安全に拾えるかだな。
439 :名無しさん@お腹いっぱい。:2009/06/10(水) 05:39:18
>>432
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
440 :名無しさん@お腹いっぱい。:2009/06/10(水) 06:47:58
441 :名無しさん@お腹いっぱい。:2009/06/10(水) 07:16:17
442 :名無しさん@お腹いっぱい。:2009/06/10(水) 07:25:09
>>432
大手ベンダーではAVG、Kaspersky、McAfee、NOD32、Symantecが対応
http://www.virustotal.com/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244586248
大手ベンダーではAVG、Kaspersky、McAfee、NOD32、Symantecが対応
http://www.virustotal.com/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244586248
443 :名無しさん@お腹いっぱい。:2009/06/10(水) 10:05:02
444 :名無しさん@お腹いっぱい。:2009/06/10(水) 16:39:42
VTについて、議論が多い(VT→ベンダーへの検体の提出)ので、分離するため、試験的にスレを立てた。
総合オンラインスキャンサービス VirusTotal, Jotti, VirScan
http://pc11.2ch.net/test/read.cgi/sec/1244619173/
まあ、dat落ちするなら、それまでということで。
総合オンラインスキャンサービス VirusTotal, Jotti, VirScan
http://pc11.2ch.net/test/read.cgi/sec/1244619173/
まあ、dat落ちするなら、それまでということで。
445 :名無しさん@お腹いっぱい。:2009/06/10(水) 17:42:34
http://www.virustotal.com/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244623168
BitDefenderとAviraが対応
最近BitDefenderの対応速度が速くなった感じがするが中の人変わったのか?
あと最近Pandaに検体提出しても全く対応してくれない・・・
今までだったら1日でだいぶ対応してくれたのに・・・
Pandaに一体何があったんだが?
ってか検体提出アドレス合ってる?
もしかしてPandaの提出先変わった?
↓で合ってる?
[email protected]
BitDefenderとAviraが対応
最近BitDefenderの対応速度が速くなった感じがするが中の人変わったのか?
あと最近Pandaに検体提出しても全く対応してくれない・・・
今までだったら1日でだいぶ対応してくれたのに・・・
Pandaに一体何があったんだが?
ってか検体提出アドレス合ってる?
もしかしてPandaの提出先変わった?
↓で合ってる?
[email protected]
446 :名無しさん@お腹いっぱい。:2009/06/10(水) 17:51:21
自分はpandasoftware.comに送ってるけど、
まぁ同じメールボックスだろうね。
返信来たことないから対応してくれてるのかは知らない
(VT等での追試はしない、というか送ったら削除しちゃってる)。
まぁ同じメールボックスだろうね。
返信来たことないから対応してくれてるのかは知らない
(VT等での追試はしない、というか送ったら削除しちゃってる)。
447 :名無しさん@お腹いっぱい。:2009/06/11(木) 13:38:16
COMODO Internet Security 1310
>>432はVSには反映されてないが対応済みです。
tane0374\load.exe TrojWare.Win32.Trojan.Agent.Gen@22657916
>>432はVSには反映されてないが対応済みです。
tane0374\load.exe TrojWare.Win32.Trojan.Agent.Gen@22657916
448 :名無しさん@お腹いっぱい。:2009/06/11(木) 16:03:12
449 :名無しさん@お腹いっぱい。:2009/06/11(木) 16:23:29
>>432
VT最新の結果
http://www.virustotal.com/jp/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244705008
VT最新の結果
http://www.virustotal.com/jp/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244705008
450 :名無しさん@お腹いっぱい。:2009/06/11(木) 16:29:00
>>449
一日でだいぶ対応されたな
一日でだいぶ対応されたな
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=378
DL virus/解凍 virus
【中身】 11個入っています。
bot.exe
ttp://www.virustotal.com/jp/analisis/c7d948dc31d8c1edf5db7c17fb0171cab67a801e82be55d9dab4e04e2184b91b-1244739014 (20/40)
codec.exe
ttp://www.virustotal.com/jp/analisis/da4537ad12455845fc4c94f93d8eafec1aa339b665cb96765162b5888a8089b6-1244739667 (13/39)
download.exe
ttp://www.virustotal.com/jp/analisis/8cfac97637983f0b229c10ccbe2ffdc0bae6d094f098313febab538a5f3fe485-1244740386 (12/39)
ldr26.exe
ttp://www.virustotal.com/jp/analisis/fab6f010a513e88f7397c1fb60333e076a1b264ff91aca0f08e4d83700599fca-1244742913 (12/39)
load.exe
ttp://www.virustotal.com/jp/analisis/c7d948dc31d8c1edf5db7c17fb0171cab67a801e82be55d9dab4e04e2184b91b-1244731593 (20/40)
load2.exe
ttp://www.virustotal.com/jp/analisis/01f8a46219acc32a149b4707bca32dfcca1d88fd794a27266a8f071a2845aea2-1244734853 (8/40)
load3.exe
ttp://www.virustotal.com/jp/analisis/612022bd60334f8b1b79d5887d5515fda41cda55340bfd9f516ae041f89a519a-1244738316 (18/40)
pdf.pdf
ttp://www.virustotal.com/jp/analisis/bf3acdeab9b8a35fad98fedac9cffd12e0e7733747d51b6660bfaa5b3a44a53a-1244738085 (14/40)
pdf2.pdf
ttp://www.virustotal.com/jp/analisis/bc8d6b6d4254dd2472f90ba37550530449c59466523d6aa4494d68ea3f47759f-1244738519 (16/40)
readme.pdf
ttp://www.virustotal.com/jp/analisis/cdd850eefa7ecdcf02da94a50acf335535c6763e58f3132c4a0a095232fc6ce9-1244738694 (8/40)
softwarefortubeview.40009.exe
ttp://www.virustotal.com/jp/analisis/cd9c4d79db251775cd33d16028832a4f31c95896bd253864e8b0d0a541636d8f-1244741062 (5/39)
DL virus/解凍 virus
【中身】 11個入っています。
bot.exe
ttp://www.virustotal.com/jp/analisis/c7d948dc31d8c1edf5db7c17fb0171cab67a801e82be55d9dab4e04e2184b91b-1244739014 (20/40)
codec.exe
ttp://www.virustotal.com/jp/analisis/da4537ad12455845fc4c94f93d8eafec1aa339b665cb96765162b5888a8089b6-1244739667 (13/39)
download.exe
ttp://www.virustotal.com/jp/analisis/8cfac97637983f0b229c10ccbe2ffdc0bae6d094f098313febab538a5f3fe485-1244740386 (12/39)
ldr26.exe
ttp://www.virustotal.com/jp/analisis/fab6f010a513e88f7397c1fb60333e076a1b264ff91aca0f08e4d83700599fca-1244742913 (12/39)
load.exe
ttp://www.virustotal.com/jp/analisis/c7d948dc31d8c1edf5db7c17fb0171cab67a801e82be55d9dab4e04e2184b91b-1244731593 (20/40)
load2.exe
ttp://www.virustotal.com/jp/analisis/01f8a46219acc32a149b4707bca32dfcca1d88fd794a27266a8f071a2845aea2-1244734853 (8/40)
load3.exe
ttp://www.virustotal.com/jp/analisis/612022bd60334f8b1b79d5887d5515fda41cda55340bfd9f516ae041f89a519a-1244738316 (18/40)
pdf.pdf
ttp://www.virustotal.com/jp/analisis/bf3acdeab9b8a35fad98fedac9cffd12e0e7733747d51b6660bfaa5b3a44a53a-1244738085 (14/40)
pdf2.pdf
ttp://www.virustotal.com/jp/analisis/bc8d6b6d4254dd2472f90ba37550530449c59466523d6aa4494d68ea3f47759f-1244738519 (16/40)
readme.pdf
ttp://www.virustotal.com/jp/analisis/cdd850eefa7ecdcf02da94a50acf335535c6763e58f3132c4a0a095232fc6ce9-1244738694 (8/40)
softwarefortubeview.40009.exe
ttp://www.virustotal.com/jp/analisis/cd9c4d79db251775cd33d16028832a4f31c95896bd253864e8b0d0a541636d8f-1244741062 (5/39)
>>451
AVIRA9 7.01.04.84
bot.exe - TR/Spy.ZBot.8294.2
codec.exe - (UNDER ANALYSIS)
download.exe - TR/Dropper.Gen
ldr26.exe - TR/Crypt.XPACK.Gen
load.exe - TR/Spy.ZBot.8294.2
load2.exe - (UNDER ANALYSIS)
load3.exe - TR/Dldr.Small.jvn
pdf.pdf - HTML/Malicious.PDF.Gen
pdf2.pdf - HTML/Malicious.PDF.Gen
readme.pdf - HEUR/HTML.Malware
softwarefortubeview.40009.exe - (UNDER ANALYSIS)
黒7,HEUR 1,解析中3。HEURと未検出分 提出済み。
Kaspersky 2009/06/12 2:24:00
bot.exe - Trojan-Spy.Win32.Zbot.gen
codec.exe - Trojan-Downloader.Win32.CodecPack.hzh
download.exe -
ldr26.exe -
load.exe - Trojan-Spy.Win32.Zbot.gen
load2.exe - Trojan.Win32.Inject.adng
load3.exe - Trojan-Downloader.Win32.Small.jvn
pdf.pdf -
pdf2.pdf -
readme.pdf -
softwarefortubeview.40009.exe
黒5,未検出7。未検出分 提出済み。
AVIRA9 7.01.04.84
bot.exe - TR/Spy.ZBot.8294.2
codec.exe - (UNDER ANALYSIS)
download.exe - TR/Dropper.Gen
ldr26.exe - TR/Crypt.XPACK.Gen
load.exe - TR/Spy.ZBot.8294.2
load2.exe - (UNDER ANALYSIS)
load3.exe - TR/Dldr.Small.jvn
pdf.pdf - HTML/Malicious.PDF.Gen
pdf2.pdf - HTML/Malicious.PDF.Gen
readme.pdf - HEUR/HTML.Malware
softwarefortubeview.40009.exe - (UNDER ANALYSIS)
黒7,HEUR 1,解析中3。HEURと未検出分 提出済み。
Kaspersky 2009/06/12 2:24:00
bot.exe - Trojan-Spy.Win32.Zbot.gen
codec.exe - Trojan-Downloader.Win32.CodecPack.hzh
download.exe -
ldr26.exe -
load.exe - Trojan-Spy.Win32.Zbot.gen
load2.exe - Trojan.Win32.Inject.adng
load3.exe - Trojan-Downloader.Win32.Small.jvn
pdf.pdf -
pdf2.pdf -
readme.pdf -
softwarefortubeview.40009.exe
黒5,未検出7。未検出分 提出済み。
453 :名無しさん@お腹いっぱい。:2009/06/12(金) 03:23:20
454 :名無しさん@お腹いっぱい。:2009/06/12(金) 03:26:01
>>451
Symantecから自動返答(全部解析中)
filename: readme.pdf
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
filename: bot.exe
machine: Machine
result: See the developer notes
filename: ldr26.exe
machine: Machine
result: See the developer notes
それにしてもちょっと前までは全部未検出検体の場合は返事が来るのが遅くて一個でも検出できる検体が混ざってると今回みたいに1分足らずで返事が来るシステムだった記憶だったんだが・・・
返答システム変わったのか?
Symantecから自動返答(全部解析中)
filename: readme.pdf
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
filename: bot.exe
machine: Machine
result: See the developer notes
filename: ldr26.exe
machine: Machine
result: See the developer notes
それにしてもちょっと前までは全部未検出検体の場合は返事が来るのが遅くて一個でも検出できる検体が混ざってると今回みたいに1分足らずで返事が来るシステムだった記憶だったんだが・・・
返答システム変わったのか?
455 :名無しさん@お腹いっぱい。:2009/06/12(金) 03:41:59
Rising 2009 21.42.34 (21.33.34.00)
>>372
install.exe: Trojan.DL.Win32.Undef.eve
1+1=2/10
>>393
flash_player_plugin.exe>>pc.exe: Trojan.Win32.FakeAV.pv
flash_player_plugin.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/10
>>406
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>pc.exe: Trojan.Win32.FakeAV.pv
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/8
>>451
download.exe: Trojan.Win32.FakeAV.oh
softwarefortubeview.40009.exe: Trojan.DL.Win32.Xpav.a
ldr26.exe: Suspicious:Packer.Win32.UnkPacker.a
2(+1)/11
検体提出完了
>>372
install.exe: Trojan.DL.Win32.Undef.eve
1+1=2/10
>>393
flash_player_plugin.exe>>pc.exe: Trojan.Win32.FakeAV.pv
flash_player_plugin.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/10
>>406
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>pc.exe: Trojan.Win32.FakeAV.pv
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/8
>>451
download.exe: Trojan.Win32.FakeAV.oh
softwarefortubeview.40009.exe: Trojan.DL.Win32.Xpav.a
ldr26.exe: Suspicious:Packer.Win32.UnkPacker.a
2(+1)/11
検体提出完了
456 :名無しさん@お腹いっぱい。:2009/06/12(金) 04:27:18
あぷろだの375、376は報告ないが、誰だよ。DLパスワードもわからんので、検出対象かすらわからん。
virus infected は違いました。orz
virus infected は違いました。orz
457 :名無しさん@お腹いっぱい。:2009/06/12(金) 05:17:54
>>451乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
458 :名無しさん@お腹いっぱい。:2009/06/12(金) 06:18:23
>>451
McAfee (Active Protection 無効)3/11
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bot.exe |new detection |generic pws.y!bp |Trojan |yes
codec.exe |heuristic detection |new malware.jj |Trojan |no
ldr26.exe |inconclusive | | |no
load.exe |new detection |generic pws.y!bp |Trojan |yes
load2.exe |inconclusive | | |no
load3.exe |inconclusive | | |no
pdf.pdf |heuristic detection |exploit-pdf.q.gen!stream |Trojan |no
readme.pdf |inconclusive | | |no
McAfee (Active Protection 無効)3/11
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bot.exe |new detection |generic pws.y!bp |Trojan |yes
codec.exe |heuristic detection |new malware.jj |Trojan |no
ldr26.exe |inconclusive | | |no
load.exe |new detection |generic pws.y!bp |Trojan |yes
load2.exe |inconclusive | | |no
load3.exe |inconclusive | | |no
pdf.pdf |heuristic detection |exploit-pdf.q.gen!stream |Trojan |no
readme.pdf |inconclusive | | |no
459 :名無しさん@お腹いっぱい。:2009/06/12(金) 07:21:03
460 :名無しさん@お腹いっぱい。:2009/06/12(金) 08:33:36
COMODO Internet Security 1316
>>451
TrojWare.Win32.Trojan.Agent.Gen@22908802 \tane0378\load2.exe
Heur.Suspicious@22908471 \tane0378\ldr26.exe
Heur.Suspicious@22636214 \tane0378\load3.exe
3/11
未検出を提出しました。
>>451
TrojWare.Win32.Trojan.Agent.Gen@22908802 \tane0378\load2.exe
Heur.Suspicious@22908471 \tane0378\ldr26.exe
Heur.Suspicious@22636214 \tane0378\load3.exe
3/11
未検出を提出しました。
461 :名無しさん@お腹いっぱい。:2009/06/12(金) 09:04:46
462 :名無しさん@お腹いっぱい。:2009/06/12(金) 12:28:24
カスペ2009 12:00
>>451 d
>>452 代理提出d
5+事後検出1=6/12
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epl tane0378.zip/softwarefortubeview.40009.exe
検出状況を注視
>>451 d
>>452 代理提出d
5+事後検出1=6/12
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epl tane0378.zip/softwarefortubeview.40009.exe
検出状況を注視
>>451 (>>452,>>462)
数時間前検体提出、カスペからの返事
5+事後検出(1+3)=9/11, 回答待ち2 (pdf.pdf, pdf2.pdf)
readme.pdf - Exploit.Win32.Pidief.azr
download.exe_ - Trojan-Downloader.Win32.FraudLoad.wbxz
ldr26.exe_ - Trojan-Downloader.Win32.Agent.cfma
New malicious software was found in this file.
It's detection will be included in the next update. Thank you for your help.
数時間前検体提出、カスペからの返事
5+事後検出(1+3)=9/11, 回答待ち2 (pdf.pdf, pdf2.pdf)
readme.pdf - Exploit.Win32.Pidief.azr
download.exe_ - Trojan-Downloader.Win32.FraudLoad.wbxz
ldr26.exe_ - Trojan-Downloader.Win32.Agent.cfma
New malicious software was found in this file.
It's detection will be included in the next update. Thank you for your help.
>>451 (>>452,>>462,>>463)
カスペからの返事
5+事後検出6=11/11でクローズ
pdf.pdf - Exploit.Win32.Pidief.azt
pdf2.pdf - Exploit.Win32.Pidief.azs
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
カスペからの返事
5+事後検出6=11/11でクローズ
pdf.pdf - Exploit.Win32.Pidief.azt
pdf2.pdf - Exploit.Win32.Pidief.azs
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
465 :名無しさん@お腹いっぱい。:2009/06/13(土) 08:02:35
Rising 2009 21.42.44 (21.33.44.00)
>>364
>366
Etc\QvodSetup5.exe: Suspicious:Packer.Win32.UnkPacker.b → Dropper.Win32.Undef.abe
29+3/34
>>451
bot.exe: Trojan.Win32.Nodef.jyl
load.exe: Trojan.Win32.Nodef.jyl
2(+1)+2=4(+1)/11
>>364
>366
Etc\QvodSetup5.exe: Suspicious:Packer.Win32.UnkPacker.b → Dropper.Win32.Undef.abe
29+3/34
>>451
bot.exe: Trojan.Win32.Nodef.jyl
load.exe: Trojan.Win32.Nodef.jyl
2(+1)+2=4(+1)/11
466 :名無しさん@お腹いっぱい。:2009/06/13(土) 13:25:04
467 :名無しさん@お腹いっぱい。:2009/06/13(土) 14:17:48
king 2009.6.12.21
>>451
tane0378\softwarefortubeview.40009.exe /Win32.TrojDownloader.Xpav.a.78967
tane0378\download.exe /Win32.Troj.FakeAV.oh.491318
tane0378\codec.exe /Win32.TrojDownloader.CodecPack.42991
1+3=4/11
>>451
tane0378\softwarefortubeview.40009.exe /Win32.TrojDownloader.Xpav.a.78967
tane0378\download.exe /Win32.Troj.FakeAV.oh.491318
tane0378\codec.exe /Win32.TrojDownloader.CodecPack.42991
1+3=4/11
468 :名無しさん@お腹いっぱい。:2009/06/13(土) 17:00:02
NOD32 v3.0 定義4152
>>451 8/11
softwarefortubeview.40009.exe Win32/TrojanDownloader.FakeAlert.ACE トロイの木馬
tane0378\pdf2.pdf PDF/Exploit.Pidief.OJS.Gen トロイの木馬
tane0378\pdf.pdf PDF/Exploit.Pidief.OOW トロイの木馬
load3.exe Win32/TrojanDownloader.Agent.PEH トロイの木馬
load2.exe Win32/TrojanDownloader.Bredolab.AA トロイの木馬
load.exe Win32/Spy.Zbot.JF トロイの木馬
ldr26.exe Win32/TrojanDownloader.Agent.PEA トロイの木馬
bot.exe Win32/Spy.Zbot.JF トロイの木馬
未検出ぶんをEsetへ提出しました
>>451 8/11
softwarefortubeview.40009.exe Win32/TrojanDownloader.FakeAlert.ACE トロイの木馬
tane0378\pdf2.pdf PDF/Exploit.Pidief.OJS.Gen トロイの木馬
tane0378\pdf.pdf PDF/Exploit.Pidief.OOW トロイの木馬
load3.exe Win32/TrojanDownloader.Agent.PEH トロイの木馬
load2.exe Win32/TrojanDownloader.Bredolab.AA トロイの木馬
load.exe Win32/Spy.Zbot.JF トロイの木馬
ldr26.exe Win32/TrojanDownloader.Agent.PEA トロイの木馬
bot.exe Win32/Spy.Zbot.JF トロイの木馬
未検出ぶんをEsetへ提出しました
469 :名無しさん@お腹いっぱい。:2009/06/13(土) 17:41:16
>>451
McAfee
バージョン:13.3
ビルド:13.3.127
DATのバージョン:5644.0000
エンジンのバージョン:5301.4018
なんかタイミングによって検出できたりできなかったり...
(1)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
場所: bot.exe
(2)検出済み: FakeAlert-WinwebSecurity.a (トロイの木馬), FakeAlert-WinwebSecurity.a (トロイの木馬)
場所: download.exe
(3)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
場所: load.exe
(4)検出済み: Artemis!2303006FA299 (トロイの木馬)
場所: load3.exe
(5)検出済み: Exploit-PDF.q.gen!stream (トロイの木馬)
場所: pdf.pdf
(6)検出済み: Exploit-PDF.f (トロイの木馬)
場所: pdf2.pdf
(7)検出済み: Downloader-BQI (トロイの木馬), Downloader-BQI (トロイの木馬)
場所: softwarefortubeview.40009.exe
(8)検出済み: Artemis!19EEF1B8B7A9 (トロイの木馬)
場所: codec.exe
(9)検出済み: Artemis!1C14CAC07BD2 (トロイの木馬)
場所: ldr26.exe
(10)未検出
pdf2.pdf
(11)未検出:
readme.pdf
McAfee
バージョン:13.3
ビルド:13.3.127
DATのバージョン:5644.0000
エンジンのバージョン:5301.4018
なんかタイミングによって検出できたりできなかったり...
(1)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
場所: bot.exe
(2)検出済み: FakeAlert-WinwebSecurity.a (トロイの木馬), FakeAlert-WinwebSecurity.a (トロイの木馬)
場所: download.exe
(3)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
場所: load.exe
(4)検出済み: Artemis!2303006FA299 (トロイの木馬)
場所: load3.exe
(5)検出済み: Exploit-PDF.q.gen!stream (トロイの木馬)
場所: pdf.pdf
(6)検出済み: Exploit-PDF.f (トロイの木馬)
場所: pdf2.pdf
(7)検出済み: Downloader-BQI (トロイの木馬), Downloader-BQI (トロイの木馬)
場所: softwarefortubeview.40009.exe
(8)検出済み: Artemis!19EEF1B8B7A9 (トロイの木馬)
場所: codec.exe
(9)検出済み: Artemis!1C14CAC07BD2 (トロイの木馬)
場所: ldr26.exe
(10)未検出
pdf2.pdf
(11)未検出:
readme.pdf
検出タイミングは以下の3つ
a)Vistaの標準ツールで解凍すると全て検出
b)7zipで解凍すると>>469の(1)-(7)まで検出
c)b)のあとで解凍後のフォルダの名前を変更すると(8)-(9)を検出
d)(10)-(11)はa)以外では検出されない、手動スキャンでも...
a)Vistaの標準ツールで解凍すると全て検出
b)7zipで解凍すると>>469の(1)-(7)まで検出
c)b)のあとで解凍後のフォルダの名前を変更すると(8)-(9)を検出
d)(10)-(11)はa)以外では検出されない、手動スキャンでも...
念のため補足
× a)Vistaの標準ツールで解凍すると全て検出
○ a)Vistaの標準ツールで解凍すると(1)-(11)まで全て検出
× a)Vistaの標準ツールで解凍すると全て検出
○ a)Vistaの標準ツールで解凍すると(1)-(11)まで全て検出
472 :名無しさん@お腹いっぱい。:2009/06/13(土) 19:00:36
7zipの問題だろ
あるいは圧縮したソフトと言うこともあり得るけど
スレ違い気味
あるいは圧縮したソフトと言うこともあり得るけど
スレ違い気味
473 :名無しさん@お腹いっぱい。:2009/06/13(土) 19:02:34
ごめん違うか
マカフィーがバカフィーって可能性もあるな
マカフィーがバカフィーって可能性もあるな
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=379
DL virus/解凍 virus
【中身】 10個入っています。
codec2.exe
ttp://www.virustotal.com/jp/analisis/cb356ad30e0904a4c519326efe8ad8b5c999c535084018ee29f2629d7cc327af-1244944568 (12/39)
flash.swf
ttp://www.virustotal.com/jp/analisis/a49e6af1e8ce1314d5950ec4085271f230dcaf6e6250bef3cab48cb5fa760faa-1244946090 (8/39)
install.exe
ttp://www.virustotal.com/jp/analisis/ed9d7cde5205999b17e97a83e2466a5b74fe28277630c8fd5753470ce80487ea-1244947322 (12/39)
load.exe
ttp://www.virustotal.com/jp/analisis/2de855939085500e72da3771edf480f06b062cbd265721f4d19437d0c8cf4d0c-1244946405 (5/40)
load2.exe
ttp://www.virustotal.com/jp/analisis/023097a369eac7d4346895266011957be63ab5ce32463774d2830e72339b7463-1244948439 (13/40)
me.exe
ttp://www.virustotal.com/jp/analisis/f20a5ab7c51bb92c3e5281b5e91746393d6c1131d06a764b4b64c728855b738a-1244944150 (30/40)
pcdef.exe
ttp://www.virustotal.com/jp/analisis/1a1723a2185fa50b779cd73ed76f11c8f5ef570d9481e5fc15edda7c6c233e2c-1244944961 (17/39)
readme.pdf
ttp://www.virustotal.com/jp/analisis/8199f57b7fdb051aa5adb285177bf688c87409a70b0f63442938fb1710bcb546-1244946892 (15/39)
readme2.pdf
ttp://www.virustotal.com/jp/analisis/7c7293de0dc0e63e6d6b5bd85a9aa766563bdd3152ceeca08b36fba2c09960d9-1244948094 (10/40)
ws.exe
ttp://www.virustotal.com/jp/analisis/e7ea88dbed011f4907a854539491f55a09239861aa33bbf37117ebce64a9f268-1244949856 (11/39)
me.exeは、実質TrendMicro専用です。最近zbot系への対応悪い(VTに投げていると、TrendMicroだけ未検出ってのが増えてる)気がするので、
サンプルとして入れてあります。 バスター使いの人がいたら、提出してみて下さい。
※ TrendMicroが、zbot系の不検出が多いのが、故意なのか偶然なのかわからないので。
DL virus/解凍 virus
【中身】 10個入っています。
codec2.exe
ttp://www.virustotal.com/jp/analisis/cb356ad30e0904a4c519326efe8ad8b5c999c535084018ee29f2629d7cc327af-1244944568 (12/39)
flash.swf
ttp://www.virustotal.com/jp/analisis/a49e6af1e8ce1314d5950ec4085271f230dcaf6e6250bef3cab48cb5fa760faa-1244946090 (8/39)
install.exe
ttp://www.virustotal.com/jp/analisis/ed9d7cde5205999b17e97a83e2466a5b74fe28277630c8fd5753470ce80487ea-1244947322 (12/39)
load.exe
ttp://www.virustotal.com/jp/analisis/2de855939085500e72da3771edf480f06b062cbd265721f4d19437d0c8cf4d0c-1244946405 (5/40)
load2.exe
ttp://www.virustotal.com/jp/analisis/023097a369eac7d4346895266011957be63ab5ce32463774d2830e72339b7463-1244948439 (13/40)
me.exe
ttp://www.virustotal.com/jp/analisis/f20a5ab7c51bb92c3e5281b5e91746393d6c1131d06a764b4b64c728855b738a-1244944150 (30/40)
pcdef.exe
ttp://www.virustotal.com/jp/analisis/1a1723a2185fa50b779cd73ed76f11c8f5ef570d9481e5fc15edda7c6c233e2c-1244944961 (17/39)
readme.pdf
ttp://www.virustotal.com/jp/analisis/8199f57b7fdb051aa5adb285177bf688c87409a70b0f63442938fb1710bcb546-1244946892 (15/39)
readme2.pdf
ttp://www.virustotal.com/jp/analisis/7c7293de0dc0e63e6d6b5bd85a9aa766563bdd3152ceeca08b36fba2c09960d9-1244948094 (10/40)
ws.exe
ttp://www.virustotal.com/jp/analisis/e7ea88dbed011f4907a854539491f55a09239861aa33bbf37117ebce64a9f268-1244949856 (11/39)
me.exeは、実質TrendMicro専用です。最近zbot系への対応悪い(VTに投げていると、TrendMicroだけ未検出ってのが増えてる)気がするので、
サンプルとして入れてあります。 バスター使いの人がいたら、提出してみて下さい。
※ TrendMicroが、zbot系の不検出が多いのが、故意なのか偶然なのかわからないので。
475 :名無しさん@お腹いっぱい。:2009/06/14(日) 12:57:36
>>474 乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
>>474
AVIRA9 7.01.04.88
codec2.exe - (UNDER ANALYSIS)
flash.swf - (UNDER ANALYSIS)
install.exe - (UNDER ANALYSIS)
load.exe - (UNDER ANALYSIS)
load2.exe - TR/Crypt.ZPACK.Gen
me.exe - TR/Crypt.ZPACK.Gen
pcdef.exe - (UNDER ANALYSIS)
readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
readme2.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
ws.exe - TR/Dropper.Gen
黒3,HEUR 2,解析中5。未検出とHEUR 提出済み。
Kaspersky 2009/06/14 12:06:00
codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
flash.swf -
install.exe -
load.exe -
load2.exe - Trojan-Spy.Win32.Zbot.gen
me.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
pcdef.exe -
readme.pdf -
readme2.pdf - Exploit.JS.Pdfka.lf
ws.exe -
黒4,未検出6。未検出分 提出済み。
最近AVIRAもKasperskyもパンク気味で、以前に比べて対応に遅れが出始めてますね...遅れてるといっても、1〜2日で対応してますが。
MDL見てても思うけど、6月に入ってからMalwareの量が非常に増えているので、各ベンダーとも大変そうです。
AVIRA9 7.01.04.88
codec2.exe - (UNDER ANALYSIS)
flash.swf - (UNDER ANALYSIS)
install.exe - (UNDER ANALYSIS)
load.exe - (UNDER ANALYSIS)
load2.exe - TR/Crypt.ZPACK.Gen
me.exe - TR/Crypt.ZPACK.Gen
pcdef.exe - (UNDER ANALYSIS)
readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
readme2.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
ws.exe - TR/Dropper.Gen
黒3,HEUR 2,解析中5。未検出とHEUR 提出済み。
Kaspersky 2009/06/14 12:06:00
codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
flash.swf -
install.exe -
load.exe -
load2.exe - Trojan-Spy.Win32.Zbot.gen
me.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
pcdef.exe -
readme.pdf -
readme2.pdf - Exploit.JS.Pdfka.lf
ws.exe -
黒4,未検出6。未検出分 提出済み。
最近AVIRAもKasperskyもパンク気味で、以前に比べて対応に遅れが出始めてますね...遅れてるといっても、1〜2日で対応してますが。
MDL見てても思うけど、6月に入ってからMalwareの量が非常に増えているので、各ベンダーとも大変そうです。
477 :名無しさん@お腹いっぱい。:2009/06/14(日) 13:02:26
478 :名無しさん@お腹いっぱい。:2009/06/14(日) 13:03:40
>>474
Symantec、Panda、GDATA2009(=avast!&BitDefender)へ提出完了
Symantec、Panda、GDATA2009(=avast!&BitDefender)へ提出完了
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=380
DL virus/解凍 virus
【中身】 2個入っています。ここ数日、私の所に大量に送られてきているウイルスメールの付属物
ecard.exe
ttp://www.virustotal.com/jp/analisis/4bba4356e1e77d93d335551bbe9442718c79f85d3c43e891c227fbc811d1de15-1244953024 (32/39)
sms_reader_trial.exe
ttp://www.virustotal.com/jp/analisis/9c8bb72ac4843d472314f3ee9b657e9918e8007f76d140258ffebc80901e4708-1244953128 (32/40)
ちょっと改変されているだけで、多分同じもの。 なんだけど、これもTrendMicroがスルーするので、気になるから上げてみた。
メジャーなウイルスで、しかも大量にメールで飛び交っている(私の方は会社にも同じ物が来ている)のに、日本で使われている製品で
バスターとAhnLabがスルーするのは、とってもマズイ気がする。(特にバスターがスルーしちゃうのは、コーポレート版もあるし...)
DL virus/解凍 virus
【中身】 2個入っています。ここ数日、私の所に大量に送られてきているウイルスメールの付属物
ecard.exe
ttp://www.virustotal.com/jp/analisis/4bba4356e1e77d93d335551bbe9442718c79f85d3c43e891c227fbc811d1de15-1244953024 (32/39)
sms_reader_trial.exe
ttp://www.virustotal.com/jp/analisis/9c8bb72ac4843d472314f3ee9b657e9918e8007f76d140258ffebc80901e4708-1244953128 (32/40)
ちょっと改変されているだけで、多分同じもの。 なんだけど、これもTrendMicroがスルーするので、気になるから上げてみた。
メジャーなウイルスで、しかも大量にメールで飛び交っている(私の方は会社にも同じ物が来ている)のに、日本で使われている製品で
バスターとAhnLabがスルーするのは、とってもマズイ気がする。(特にバスターがスルーしちゃうのは、コーポレート版もあるし...)
480 :名無しさん@お腹いっぱい。:2009/06/14(日) 14:36:03
>>474
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
install.exe |new detection |generic fakealert.k |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
readme2.pdf |inconclusive | | |no
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
install.exe |new detection |generic fakealert.k |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
readme2.pdf |inconclusive | | |no
481 :名無しさん@お腹いっぱい。:2009/06/14(日) 16:22:07
king 2009.6.14.15
>>474(tane0379)
0/10 未検出分を提出しました。
>>479
tane0380\sms_reader_trial.exe /Win32.TrojDownloader.FraudLoad.38144
tane0380\ecard.exe /Win32.TrojDownloader.FraudLoad.38144
2/2
>>474(tane0379)
0/10 未検出分を提出しました。
>>479
tane0380\sms_reader_trial.exe /Win32.TrojDownloader.FraudLoad.38144
tane0380\ecard.exe /Win32.TrojDownloader.FraudLoad.38144
2/2
482 :名無しさん@お腹いっぱい。:2009/06/14(日) 17:30:19
>>474 d tane0379
>>476 代理提出d
カスペ2010(ベータ) 15:44:00
4+事後検出3=7/10
Detected Trojan program Exploit.Win32.Pidief.baf tane0379.zip/readme.pdf
Detected virus not-a-virus:FraudTool.Win32.InternetAntivirus.cg tane0379.zip/install.exe
Detected Trojan program Trojan.Win32.Inject.adnm tane0379.zip/load.exe
>>476 代理提出d
カスペ2010(ベータ) 15:44:00
4+事後検出3=7/10
Detected Trojan program Exploit.Win32.Pidief.baf tane0379.zip/readme.pdf
Detected virus not-a-virus:FraudTool.Win32.InternetAntivirus.cg tane0379.zip/install.exe
Detected Trojan program Trojan.Win32.Inject.adnm tane0379.zip/load.exe
483 :名無しさん@お腹いっぱい。:2009/06/14(日) 18:28:27
COMODO Internet Security 1327
>>474
全てスルー
>>479
tane0380\ecard.exe Heur.Packed.Unknown
tane0380\sms_reader_trial.exe Heur.Packed.Unknown
2/2
未検出分を提出しました
>>474
全てスルー
>>479
tane0380\ecard.exe Heur.Packed.Unknown
tane0380\sms_reader_trial.exe Heur.Packed.Unknown
2/2
未検出分を提出しました
>>476
超久しぶりにKasperskyから返答がキタ━(゚∀゚)━!
flash.swf - 白
ws.exe - 白
install.exe - not-a-virus:FraudTool.Win32.InternetAntivirus.cg
load.exe - Trojan.Win32.Inject.adnm,
readme.pdf - Exploit.Win32.Pidief.baf
pcdef.exe - not-a-virus:FraudTool.Win32.WinPCDefender.aw
黒8,白2でclose.
超久しぶりにKasperskyから返答がキタ━(゚∀゚)━!
flash.swf - 白
ws.exe - 白
install.exe - not-a-virus:FraudTool.Win32.InternetAntivirus.cg
load.exe - Trojan.Win32.Inject.adnm,
readme.pdf - Exploit.Win32.Pidief.baf
pcdef.exe - not-a-virus:FraudTool.Win32.WinPCDefender.aw
黒8,白2でclose.
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=381
DL virus/解凍 virus
【中身】 10個入っています。
1.exe
ttp://www.virustotal.com/jp/analisis/73d3f4e6a11952ded19b8b0a5968df6e3addc99fbc321c0c74c27762a17e7ee3-1244978349 (17/39)
bin.exe
ttp://www.virustotal.com/jp/analisis/263cbd749957ff07bbbb11fb5d7e2ed539ab976dcd1cc278eee4438fe8de362f-1244981632 (16/39)
bot.exe
ttp://www.virustotal.com/jp/analisis/5a58c5b7ddc3c41dd0e213f62052be6ad750649e5e62fcad2af0dad09952cd6e-1244979358 (23/37)
codec.exe
ttp://www.virustotal.com/jp/analisis/8ae199449c748ee8d01c63f76c08fe59046a102fa52fcb5d5aaaa24068908dbc-1244980067 (16/40)
codec2.exe
ttp://www.virustotal.com/jp/analisis/8cd6752a8c7439762a88a5da5cbe92b0ee625fabc9ab46d8a2201b93b89891df-1244980359 (13/39)
codec3.exe
ttp://www.virustotal.com/jp/analisis/a453149140b1e7dc6b02fe27cbea62c0803e83af161c6b19cd6371104957b975-1244980590 (13/40)
ldr.exe
ttp://www.virustotal.com/jp/analisis/32874c0aaf4c9ffecf43c43ab10c2a44fe9cda8161aa85816240c19b9155506a-1244982192 (26/39)
nero_key.exe
ttp://www.virustotal.com/jp/analisis/51cdbb78e600f07772796882030e3ff9c493e34d3b243e45fdfe6e29aafa5826-1244982565 (11/39)
xpsp2patch.exe
ttp://www.virustotal.com/jp/analisis/17a94ab631354f034a794c7d00ab5f233e691ab9114a5d616c173f4bed576385-1244981253 (12/39)
id.htm
ttp://www.virustotal.com/jp/analisis/09dad00e14caf2699fc1b8aa8e45ce137e33fb08539a8f039ebbac667ebe51d4-1244981822 (2/40)
codecとcodec2とcodec3は、多分ちょっと改変されているだけで同種のマルウェアだと思いますが、微妙にVTの結果などが違うので同梱。
にしても、今度はxpsp2patchとか...KBxxxxxxもそうだけど、セキュリティソフトが検出できないと簡単に引っかかりそうだ。
DL virus/解凍 virus
【中身】 10個入っています。
1.exe
ttp://www.virustotal.com/jp/analisis/73d3f4e6a11952ded19b8b0a5968df6e3addc99fbc321c0c74c27762a17e7ee3-1244978349 (17/39)
bin.exe
ttp://www.virustotal.com/jp/analisis/263cbd749957ff07bbbb11fb5d7e2ed539ab976dcd1cc278eee4438fe8de362f-1244981632 (16/39)
bot.exe
ttp://www.virustotal.com/jp/analisis/5a58c5b7ddc3c41dd0e213f62052be6ad750649e5e62fcad2af0dad09952cd6e-1244979358 (23/37)
codec.exe
ttp://www.virustotal.com/jp/analisis/8ae199449c748ee8d01c63f76c08fe59046a102fa52fcb5d5aaaa24068908dbc-1244980067 (16/40)
codec2.exe
ttp://www.virustotal.com/jp/analisis/8cd6752a8c7439762a88a5da5cbe92b0ee625fabc9ab46d8a2201b93b89891df-1244980359 (13/39)
codec3.exe
ttp://www.virustotal.com/jp/analisis/a453149140b1e7dc6b02fe27cbea62c0803e83af161c6b19cd6371104957b975-1244980590 (13/40)
ldr.exe
ttp://www.virustotal.com/jp/analisis/32874c0aaf4c9ffecf43c43ab10c2a44fe9cda8161aa85816240c19b9155506a-1244982192 (26/39)
nero_key.exe
ttp://www.virustotal.com/jp/analisis/51cdbb78e600f07772796882030e3ff9c493e34d3b243e45fdfe6e29aafa5826-1244982565 (11/39)
xpsp2patch.exe
ttp://www.virustotal.com/jp/analisis/17a94ab631354f034a794c7d00ab5f233e691ab9114a5d616c173f4bed576385-1244981253 (12/39)
id.htm
ttp://www.virustotal.com/jp/analisis/09dad00e14caf2699fc1b8aa8e45ce137e33fb08539a8f039ebbac667ebe51d4-1244981822 (2/40)
codecとcodec2とcodec3は、多分ちょっと改変されているだけで同種のマルウェアだと思いますが、微妙にVTの結果などが違うので同梱。
にしても、今度はxpsp2patchとか...KBxxxxxxもそうだけど、セキュリティソフトが検出できないと簡単に引っかかりそうだ。
486 :名無しさん@お腹いっぱい。:2009/06/14(日) 21:48:33
>>485
乙
SymantecとPandaとGDATA2009(avast!&BitDefender)へ提出完了
Symantecから自動返答
filename: id.htm
machine: Machine
result: See the developer notes
filename: nero_key.exe
machine: Machine
result: See the developer notes
filename: xpsp2patch.exe
machine: Machine
result: See the developer notes
filename: 1.exe
machine: Machine
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
乙
SymantecとPandaとGDATA2009(avast!&BitDefender)へ提出完了
Symantecから自動返答
filename: id.htm
machine: Machine
result: See the developer notes
filename: nero_key.exe
machine: Machine
result: See the developer notes
filename: xpsp2patch.exe
machine: Machine
result: See the developer notes
filename: 1.exe
machine: Machine
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
>>485
AVIRA9 7.01.04.88
1.exe - TR/Crypt.ZPACK.Gen
bin.exe - TR/Crypt.ZPACK.Gen
bot.exe - TR/Spy.ZBot.7680.1
codec.exe - (UNDER ANALYSIS)
codec2.exe - (UNDER ANALYSIS)
codec3.exe - (UNDER ANALYSIS)
ldr.exe - TR/Crypt.ZPACK.Gen
nero_key.exe - (UNDER ANALYSIS)
xpsp2patch.exe - TR/Dropper.Gen
id.htm - (UNDER ANALYSIS)
黒5,解析中5。 未検出分 提出済み。
Kaspersky 2009/06/14 20:38:00
1.exe - Trojan-Spy.Win32.Zbot.wpr
bin.exe - Trojan-Spy.Win32.Zbot.gen
bot.exe - Trojan-Spy.Win32.Zbot.gen
codec.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
codec3.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
ldr.exe - Trojan-Spy.Win32.Zbot.gen
nero_key.exe - Trojan.Win32.FraudPack.out
xpsp2patch.exe - Trojan-Dropper.Win32.Small.dlh
id.htm -
黒9,未検出1。 id.htmは、後程別の物とまとめて提出しますが、先に出したい方は、提出お願いします。
AVIRA9 7.01.04.88
1.exe - TR/Crypt.ZPACK.Gen
bin.exe - TR/Crypt.ZPACK.Gen
bot.exe - TR/Spy.ZBot.7680.1
codec.exe - (UNDER ANALYSIS)
codec2.exe - (UNDER ANALYSIS)
codec3.exe - (UNDER ANALYSIS)
ldr.exe - TR/Crypt.ZPACK.Gen
nero_key.exe - (UNDER ANALYSIS)
xpsp2patch.exe - TR/Dropper.Gen
id.htm - (UNDER ANALYSIS)
黒5,解析中5。 未検出分 提出済み。
Kaspersky 2009/06/14 20:38:00
1.exe - Trojan-Spy.Win32.Zbot.wpr
bin.exe - Trojan-Spy.Win32.Zbot.gen
bot.exe - Trojan-Spy.Win32.Zbot.gen
codec.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
codec3.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
ldr.exe - Trojan-Spy.Win32.Zbot.gen
nero_key.exe - Trojan.Win32.FraudPack.out
xpsp2patch.exe - Trojan-Dropper.Win32.Small.dlh
id.htm -
黒9,未検出1。 id.htmは、後程別の物とまとめて提出しますが、先に出したい方は、提出お願いします。
488 :名無しさん@お腹いっぱい。:2009/06/14(日) 21:56:19
489 :名無しさん@お腹いっぱい。:2009/06/14(日) 22:01:11
>>474 (>>476,482)
カスペ2010 20:38:00
7+追加検出3=10/10でクローズ
Quarantined Trojan program Exploit.SWF.Agent.bb tane0379\flash.swf
Quarantined virus not-a-virus:FraudTool.Win32.WinPCDefender.aw tane0379\pcdef.exe
Quarantined Trojan program Trojan-Downloader.Win32.FraudLoad.eqd tane0379\ws.exe
>>484と違うのは、アナリスト偏差かな。
まれに、同じ検体でも、カスペ内で判定分かれるね。
困った。orz
>>487の id.htm は先に提出しておきます。
カスペ2010 20:38:00
7+追加検出3=10/10でクローズ
Quarantined Trojan program Exploit.SWF.Agent.bb tane0379\flash.swf
Quarantined virus not-a-virus:FraudTool.Win32.WinPCDefender.aw tane0379\pcdef.exe
Quarantined Trojan program Trojan-Downloader.Win32.FraudLoad.eqd tane0379\ws.exe
>>484と違うのは、アナリスト偏差かな。
まれに、同じ検体でも、カスペ内で判定分かれるね。
困った。orz
>>487の id.htm は先に提出しておきます。
>>484
判定ひっくり返しキタ━(゚∀゚)━!
flash.swf - Exploit.SWF.Agent.bb
ws.exe - Trojan-Downloader.Win32.FraudLoad.eqd
何か最近このパターン増えてきた気が...
判定ひっくり返しキタ━(゚∀゚)━!
flash.swf - Exploit.SWF.Agent.bb
ws.exe - Trojan-Downloader.Win32.FraudLoad.eqd
何か最近このパターン増えてきた気が...
491 :名無しさん@お腹いっぱい。:2009/06/14(日) 22:14:06
>>485
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
bin.exe |inconclusive | | |no
id.htm |inconclusive | | |no
nero_key.exe |inconclusive | | |no
xpsp2patch.exe |inconclusive | | |no
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
bin.exe |inconclusive | | |no
id.htm |inconclusive | | |no
nero_key.exe |inconclusive | | |no
xpsp2patch.exe |inconclusive | | |no
492 :名無しさん@お腹いっぱい。:2009/06/14(日) 22:52:38
Rising 2009 21.42.62 (21.33.62.00)
>>479
ecard.exe: Trojan.DL.Win32.Small.zuv
sms_reader_trial.exe: Trojan.DL.Win32.Small.zuv
2/2
>>485
1.exe: Suspicious:Packer.Win32.UnkPacker.a
(+1)/10
提出完了
>>479
ecard.exe: Trojan.DL.Win32.Small.zuv
sms_reader_trial.exe: Trojan.DL.Win32.Small.zuv
2/2
>>485
1.exe: Suspicious:Packer.Win32.UnkPacker.a
(+1)/10
提出完了
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=382
DL virus/解凍 virus
【中身】 42個入っています。
・www.2a8k.cn/d/1.exe〜99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.104.15
・数が多すぎて全部VTに投げていません。適当に5個投げた結果はこんな感じです。
1.exe - ttp://www.virustotal.com/jp/analisis/dd81cdc31b4d82be6ebb4ac45b457bbe3e48b737219cfd72c7b573828bdb243c-1244988916 (14/40)
6.exe - ttp://www.virustotal.com/jp/analisis/e3bce0340defe9baec3e63159bdc6fbba38ce395bd7939949299f40e4d2b5312-1244989405 (12/39)
11.exe - ttp://www.virustotal.com/jp/analisis/d5bc363dfabb37a318ffcc66c31f5a583a5d65ae25ad91da51f451f38fe310d3-1244989208 (34/40)
16.exe - ttp://www.virustotal.com/jp/analisis/b6a69a025cc55d48b5a5e0725691240fd1ef5e7f3a9628d927724598d833f990-1244989579 (38/40)
50.exe - ttp://www.virustotal.com/jp/analisis/195a81ec0a36a285776297700bc5dd81b0899fc7dfab97d5cf91de92ce82ca47-1244987895 (20/39)
新旧ごちゃ混ぜって感じです。 マルウェアのコレクターか何かですかね...?
AVIRA 42/42 全検出
Kaspersky 41/42検出,未検出1(6.exe) 6.exeと>487と一緒に提出。
>>489
アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。
DL virus/解凍 virus
【中身】 42個入っています。
・www.2a8k.cn/d/1.exe〜99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.104.15
・数が多すぎて全部VTに投げていません。適当に5個投げた結果はこんな感じです。
1.exe - ttp://www.virustotal.com/jp/analisis/dd81cdc31b4d82be6ebb4ac45b457bbe3e48b737219cfd72c7b573828bdb243c-1244988916 (14/40)
6.exe - ttp://www.virustotal.com/jp/analisis/e3bce0340defe9baec3e63159bdc6fbba38ce395bd7939949299f40e4d2b5312-1244989405 (12/39)
11.exe - ttp://www.virustotal.com/jp/analisis/d5bc363dfabb37a318ffcc66c31f5a583a5d65ae25ad91da51f451f38fe310d3-1244989208 (34/40)
16.exe - ttp://www.virustotal.com/jp/analisis/b6a69a025cc55d48b5a5e0725691240fd1ef5e7f3a9628d927724598d833f990-1244989579 (38/40)
50.exe - ttp://www.virustotal.com/jp/analisis/195a81ec0a36a285776297700bc5dd81b0899fc7dfab97d5cf91de92ce82ca47-1244987895 (20/39)
新旧ごちゃ混ぜって感じです。 マルウェアのコレクターか何かですかね...?
AVIRA 42/42 全検出
Kaspersky 41/42検出,未検出1(6.exe) 6.exeと>487と一緒に提出。
>>489
アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。
494 :名無しさん@お腹いっぱい。:2009/06/14(日) 23:53:21
>>493
McAfee (Active Protection 無効)35/42
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
22.exe |inconclusive | | |no
28.exe |new detection |pws-mmorpg!t |Trojan |yes
34.exe |new detection |generic pws.y!bt |Trojan |yes
37.exe |inconclusive | | |no
6.exe |inconclusive | | |no
9.exe |inconclusive | | |no
McAfee (Active Protection 無効)35/42
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
22.exe |inconclusive | | |no
28.exe |new detection |pws-mmorpg!t |Trojan |yes
34.exe |new detection |generic pws.y!bt |Trojan |yes
37.exe |inconclusive | | |no
6.exe |inconclusive | | |no
9.exe |inconclusive | | |no
>>493 本日最終分
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=383
DL virus/解凍 virus
【中身】 34個入っています。
・5yttrre.cn/xx1.exe〜xx99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.105.11
・>493の42個と重複が無いことを確認済み。
・数が多すぎて全部VTに投げていません。適当に5個投げた結果はこんな感じです。
xx1.exe - ttp://www.virustotal.com/jp/analisis/f507f02e2a1b76cf497f662bb6f5ffafe89c350b3d35a3748dc91f28dede03da-1244991739 (19/40)
xx6.exe - ttp://www.virustotal.com/jp/analisis/c76abf0050c235f9daf1119225fc15038be4a48083b9f08e95bdf9f48131aa7b-1244992312 (35/40)
xx11.exe - ttp://www.virustotal.com/jp/analisis/3acf573e214e02ad31b3b603d0c630debbd0da37ce8004af23340de8a47aa684-1244992435 (36/40)
xx16.exe - ttp://www.virustotal.com/jp/analisis/ef2be479b4cca64720a3e3d7b36c7e4ed14937a8fe58f8608996fb8c9e37c07f-1244992532 (31/40)
xx39.exe - ttp://www.virustotal.com/jp/analisis/62aa1a471f792f64848febcc937900b3af2bc6236a9b23ecaf932b169c606f84-1244992692 (27/39)
マルウェア コレクターその2? こちらの方が古い物(検出可能)が多いかも。
AVIRA 34/34 全検出
Kaspersky 34/34 全検出 なんで、AVIRAもKasperskyも何もせず。
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=383
DL virus/解凍 virus
【中身】 34個入っています。
・5yttrre.cn/xx1.exe〜xx99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.105.11
・>493の42個と重複が無いことを確認済み。
・数が多すぎて全部VTに投げていません。適当に5個投げた結果はこんな感じです。
xx1.exe - ttp://www.virustotal.com/jp/analisis/f507f02e2a1b76cf497f662bb6f5ffafe89c350b3d35a3748dc91f28dede03da-1244991739 (19/40)
xx6.exe - ttp://www.virustotal.com/jp/analisis/c76abf0050c235f9daf1119225fc15038be4a48083b9f08e95bdf9f48131aa7b-1244992312 (35/40)
xx11.exe - ttp://www.virustotal.com/jp/analisis/3acf573e214e02ad31b3b603d0c630debbd0da37ce8004af23340de8a47aa684-1244992435 (36/40)
xx16.exe - ttp://www.virustotal.com/jp/analisis/ef2be479b4cca64720a3e3d7b36c7e4ed14937a8fe58f8608996fb8c9e37c07f-1244992532 (31/40)
xx39.exe - ttp://www.virustotal.com/jp/analisis/62aa1a471f792f64848febcc937900b3af2bc6236a9b23ecaf932b169c606f84-1244992692 (27/39)
マルウェア コレクターその2? こちらの方が古い物(検出可能)が多いかも。
AVIRA 34/34 全検出
Kaspersky 34/34 全検出 なんで、AVIRAもKasperskyも何もせず。
カスペからの返事
>>485 d
id.htm -No malicious software was found in the attached file.
9/10,で白1でクローズ
>>493
>アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
>白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。
だな。
ただ、返事の末尾に
The answer is relevant to the latest bases from update sources (この判定結果はアップデート・ソースの最新の結果に基づく(関連性がある))
の一文が付いていると、重複回避のため、白・黒判定済みとして一度判定した検査結果をそのまま報告されると思う。
.
>>485 d
id.htm -No malicious software was found in the attached file.
9/10,で白1でクローズ
>>493
>アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
>白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。
だな。
ただ、返事の末尾に
The answer is relevant to the latest bases from update sources (この判定結果はアップデート・ソースの最新の結果に基づく(関連性がある))
の一文が付いていると、重複回避のため、白・黒判定済みとして一度判定した検査結果をそのまま報告されると思う。
.
497 :名無しさん@お腹いっぱい。:2009/06/15(月) 00:55:35
>>495
McAfee (Active Protection 無効)33/34
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xx8.exe |inconclusive | | |no
McAfee (Active Protection 無効)33/34
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xx8.exe |inconclusive | | |no
498 :名無しさん@お腹いっぱい。:2009/06/15(月) 01:17:32
499 :名無しさん@お腹いっぱい。:2009/06/15(月) 01:33:29
Rising 2009
>>493
31.exe: Suspicious:Dropper.Win32.Mnless.GEN
6,37,50.exe: スルー
38(+1)/42
検体提出完了
>>495
すべて検出
34/34
>>493
31.exe: Suspicious:Dropper.Win32.Mnless.GEN
6,37,50.exe: スルー
38(+1)/42
検体提出完了
>>495
すべて検出
34/34
500 :名無しさん@お腹いっぱい。:2009/06/15(月) 06:44:44
king 2009.6.14.21
>>485
tane0381\xpsp2patch.exe /Win32.Troj.OnLineG.13824
1/10
>>493(tane0382)
6.exe、31.exe、37exeのみスルー
39/42
>>495(tane0383)
34/34
未検出分を提出しました。
>>485
tane0381\xpsp2patch.exe /Win32.Troj.OnLineG.13824
1/10
>>493(tane0382)
6.exe、31.exe、37exeのみスルー
39/42
>>495(tane0383)
34/34
未検出分を提出しました。
501 :名無しさん@お腹いっぱい。:2009/06/15(月) 10:53:04
502 :名無しさん@お腹いっぱい。:2009/06/15(月) 15:29:38
>>493 tane0382
>>495代理提出d
カスペ2010(ベータ) 13:11
41+事後検出1=42/42でFA
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.vdja 6.exe
>>495代理提出d
カスペ2010(ベータ) 13:11
41+事後検出1=42/42でFA
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.vdja 6.exe
503 :名無しさん@お腹いっぱい。:2009/06/15(月) 21:53:10
おまえらってkeygen単体だと大騒ぎして批判するくせに
まとまった中に同じような目的のばかり入っててもなんにも言わないんだな
不思議な奴らだよ
まとまった中に同じような目的のばかり入っててもなんにも言わないんだな
不思議な奴らだよ
504 :名無しさん@お腹いっぱい。:2009/06/15(月) 22:11:50
506 :名無しさん@お腹いっぱい。:2009/06/15(月) 22:30:02
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=384
DL virus/解凍 virus
【中身】 7個入っています。
load.exe
ttp://www.virustotal.com/jp/analisis/e85beb2ea40aac707863221ce5189863288583550453b5ad3c19aa31aa2c6f9a-1245075969 (1/39)
normalLeap.swf
ttp://www.virustotal.com/jp/analisis/bed431903c2b1d553fb376c0f05b5828bda51bcf71cb29b8d83ec39ab28110fc-1245075551 (5/41)
notTheoryCites.pdf
ttp://www.virustotal.com/jp/analisis/c64f7b8b2d9370a278edb8c02e43d34c341cd843833774c819f2f55b8701fe34-1245075313 (8/40)
readme.pdf
ttp://www.virustotal.com/jp/analisis/4a78880275e3b2227ba12ef20d871811a15275e79be460ddf6f7ec2297c15e1a-1245073095 (12/39)
readme2.pdf
ttp://www.virustotal.com/jp/analisis/d82d80c274f4ffde59e45062e34044d5bb1b197a9221299d92dfbff7927bf0b2-1245073312 (13/41)
rferfref5.exe
ttp://www.virustotal.com/jp/analisis/5859892e44a0ab804ea7ec37b6313f089e2f47d87ee83c3528e84ccdea35e4a8-1245077067 (3/40)
update.exe
ttp://www.virustotal.com/jp/analisis/3b21cb087180f5d3cc067d9fd8198b745635130038aa5587d7e3b1f4e9ee37c8-1245075809 (15/41)
DL virus/解凍 virus
【中身】 7個入っています。
load.exe
ttp://www.virustotal.com/jp/analisis/e85beb2ea40aac707863221ce5189863288583550453b5ad3c19aa31aa2c6f9a-1245075969 (1/39)
normalLeap.swf
ttp://www.virustotal.com/jp/analisis/bed431903c2b1d553fb376c0f05b5828bda51bcf71cb29b8d83ec39ab28110fc-1245075551 (5/41)
notTheoryCites.pdf
ttp://www.virustotal.com/jp/analisis/c64f7b8b2d9370a278edb8c02e43d34c341cd843833774c819f2f55b8701fe34-1245075313 (8/40)
readme.pdf
ttp://www.virustotal.com/jp/analisis/4a78880275e3b2227ba12ef20d871811a15275e79be460ddf6f7ec2297c15e1a-1245073095 (12/39)
readme2.pdf
ttp://www.virustotal.com/jp/analisis/d82d80c274f4ffde59e45062e34044d5bb1b197a9221299d92dfbff7927bf0b2-1245073312 (13/41)
rferfref5.exe
ttp://www.virustotal.com/jp/analisis/5859892e44a0ab804ea7ec37b6313f089e2f47d87ee83c3528e84ccdea35e4a8-1245077067 (3/40)
update.exe
ttp://www.virustotal.com/jp/analisis/3b21cb087180f5d3cc067d9fd8198b745635130038aa5587d7e3b1f4e9ee37c8-1245075809 (15/41)
>>506
その辺は個人の判断にお任せしますが、どっちも偽keygenですよ?(keygenではない)
※ keygenを探している人にトロイを仕込むための、偽keygen。要は釣り餌
つか、その辺の判断をしやすいようにVirustotalを添付してるので、怪しいと思ったら、ファイル名だけではなく
VTの結果も見て欲しいところなのですが...
その辺は個人の判断にお任せしますが、どっちも偽keygenですよ?(keygenではない)
※ keygenを探している人にトロイを仕込むための、偽keygen。要は釣り餌
つか、その辺の判断をしやすいようにVirustotalを添付してるので、怪しいと思ったら、ファイル名だけではなく
VTの結果も見て欲しいところなのですが...
>>507
AVIRA9 7.01.04.94
load.exe - (MALWARE) next update
normalLeap.swf - (UNDER ANALYSIS)
notTheoryCites.pdf - HTML/Shellcode.Gen
readme.pdf - (UNDER ANALYSIS)
readme2.pdf - (UNDER ANALYSIS)
rferfref5.exe - (TR/Drop.BHO.BT) next update
update.exe - TR/Agent.clzx
黒2,未検出5。 未検出の内、黒判定2(次回update対応),解析中3。
Kaspersky 2009/06/15 19:59:00
load.exe -
normalLeap.swf -
notTheoryCites.pdf -
readme.pdf -
readme2.pdf -
rferfref5.exe -
update.exe - Trojan.Win32.Agent.clzx
黒1,未検出6。 未検出分 提出済み。
AVIRA9 7.01.04.94
load.exe - (MALWARE) next update
normalLeap.swf - (UNDER ANALYSIS)
notTheoryCites.pdf - HTML/Shellcode.Gen
readme.pdf - (UNDER ANALYSIS)
readme2.pdf - (UNDER ANALYSIS)
rferfref5.exe - (TR/Drop.BHO.BT) next update
update.exe - TR/Agent.clzx
黒2,未検出5。 未検出の内、黒判定2(次回update対応),解析中3。
Kaspersky 2009/06/15 19:59:00
load.exe -
normalLeap.swf -
notTheoryCites.pdf -
readme.pdf -
readme2.pdf -
rferfref5.exe -
update.exe - Trojan.Win32.Agent.clzx
黒1,未検出6。 未検出分 提出済み。
510 :名無しさん@お腹いっぱい。:2009/06/16(火) 00:26:09
511 :名無しさん@お腹いっぱい。:2009/06/16(火) 00:39:17
最近送付には参加してないが、ざっと眺めて、真性のkeygenってわかればスルーするかな
512 :名無しさん@お腹いっぱい。:2009/06/16(火) 01:07:06
Rising 2009 21.43.04 (21.34.04.00)
>>113
ActivatedSetup.exe: Trojan.Win32.FakeAV.qk
1/10
>>384
frfr5.exe: Trojan.Win32.Nodef.kaa
2+1=3/10
>>406
Setup_build6_27.exe: Trojan.DL.Win32.Nodef.tq
1+1=2/8
>>451
load2.exe: Trojan.Win32.Nodef.kad
4(+1)+1=5(+1)/11
>>485
ldr.exe: Backdoor.Win32.Ntos.dk
nero_key.exe: Trojan.DL.Win32.Undef.ewa
xpsp2patch.exe: Trojan.DL.Win32.Undef.evx
(+1)+3=3(+1)/10
>>493
31.exe>>66: Suspicious:Dropper.Win32.Mnless.GEN → Trojan.PSW.Win32.OnlineGame.zbl
37.exe: Trojan.Spy.Win32.Undef.lx
50.exe>>Aspack212r: Trojan.PSW.Win32.QQPass.ekk
6.exe>>upx_c>>6d: Trojan.PSW.Win32.OnlineGame.zbq
38(+1)+4(-1)=42/42
>>507
スルー
提出完了
>>113
ActivatedSetup.exe: Trojan.Win32.FakeAV.qk
1/10
>>384
frfr5.exe: Trojan.Win32.Nodef.kaa
2+1=3/10
>>406
Setup_build6_27.exe: Trojan.DL.Win32.Nodef.tq
1+1=2/8
>>451
load2.exe: Trojan.Win32.Nodef.kad
4(+1)+1=5(+1)/11
>>485
ldr.exe: Backdoor.Win32.Ntos.dk
nero_key.exe: Trojan.DL.Win32.Undef.ewa
xpsp2patch.exe: Trojan.DL.Win32.Undef.evx
(+1)+3=3(+1)/10
>>493
31.exe>>66: Suspicious:Dropper.Win32.Mnless.GEN → Trojan.PSW.Win32.OnlineGame.zbl
37.exe: Trojan.Spy.Win32.Undef.lx
50.exe>>Aspack212r: Trojan.PSW.Win32.QQPass.ekk
6.exe>>upx_c>>6d: Trojan.PSW.Win32.OnlineGame.zbq
38(+1)+4(-1)=42/42
>>507
スルー
提出完了
>>509
今回は返事が早かった...寝る前にKasperskyから返事来ました。
load.exe_ - Trojan.Win32.Inject.adov,
normalLeap.swf - Exploit.SWF.Downloader.nm,
notTheoryCites.pdf_ - Exploit.Win32.Pidief.ban,
readme.pdf_ - Exploit.Win32.Pidief.bar,
readme2.pdf_ - Exploit.Win32.Pidief.bap,
rferfref5.exe_ - Trojan.Win32.FraudPack.ovc
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
ということで、Kasperskyは>507 全黒でclose.
>>511
ん〜、結構気をつけているけど、もしやっちゃったら指摘して欲しいのです。(汗 そこまで自分が完璧だと思わんし。
今回は返事が早かった...寝る前にKasperskyから返事来ました。
load.exe_ - Trojan.Win32.Inject.adov,
normalLeap.swf - Exploit.SWF.Downloader.nm,
notTheoryCites.pdf_ - Exploit.Win32.Pidief.ban,
readme.pdf_ - Exploit.Win32.Pidief.bar,
readme2.pdf_ - Exploit.Win32.Pidief.bap,
rferfref5.exe_ - Trojan.Win32.FraudPack.ovc
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
ということで、Kasperskyは>507 全黒でclose.
>>511
ん〜、結構気をつけているけど、もしやっちゃったら指摘して欲しいのです。(汗 そこまで自分が完璧だと思わんし。
514 :名無しさん@お腹いっぱい。:2009/06/16(火) 01:23:09
515 :名無しさん@お腹いっぱい。:2009/06/16(火) 06:27:31
>>507
McAfee (Active Protection 無効)1/7
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
normalleap.swf |inconclusive | | |no
nottheorycites.pdf |new detection |exploit-pdf.b |Trojan |yes
readme.pdf |heuristic detection |exploit-pdf.q.gen |Trojan |no
rferfref5.exe |new detection |generic dropper.p |Trojan |yes
update.exe |new detection |generic downloader.x!fi |Trojan |yes
McAfee (Active Protection 無効)1/7
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
normalleap.swf |inconclusive | | |no
nottheorycites.pdf |new detection |exploit-pdf.b |Trojan |yes
readme.pdf |heuristic detection |exploit-pdf.q.gen |Trojan |no
rferfref5.exe |new detection |generic dropper.p |Trojan |yes
update.exe |new detection |generic downloader.x!fi |Trojan |yes
516 :名無しさん@お腹いっぱい。:2009/06/16(火) 13:54:10
COMODO Internet Security 1339
>>507
tane0384\rferfref5.exe Heur.Packed.Unknown
tane0384\update.exe TrojWare.Win32.Trojan.Agent.Gen@23283614
2/7
未検出分を提出しました。
>>595はアップデートにて全て検出確認しました。
>>507
tane0384\rferfref5.exe Heur.Packed.Unknown
tane0384\update.exe TrojWare.Win32.Trojan.Agent.Gen@23283614
2/7
未検出分を提出しました。
>>595はアップデートにて全て検出確認しました。
518 :名無しさん@お腹いっぱい。:2009/06/16(火) 19:56:42
519 :名無しさん@お腹いっぱい。:2009/06/16(火) 22:31:28
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=385
infected
検体入手元
GENO(いまだに生き残ってるサイトあるんだねぇ)
p://www■mennoyamaichi■co■jp/soumen/
偽FlashPlayer(5/26版) 前に提出したのは5/14頃。ファイル入れ代わってたようで。netの方は繋がりませんでした。
p://addobeflashplayer■com/flashplayer/thankyou/?installer=Flash_player_10_for_windows
p://addobeflashplayer■com/get/flashplayer/current/install_flash_player■exe
VirusTotal
install_flash_player■exe(15/40)
ttp://www.virustotal.com/analisis/6c187e1351d559e8ed1deac4daa61b73e67fb865565a0b5bcc13ec1d5a943bba-1245158717
infected
検体入手元
GENO(いまだに生き残ってるサイトあるんだねぇ)
p://www■mennoyamaichi■co■jp/soumen/
偽FlashPlayer(5/26版) 前に提出したのは5/14頃。ファイル入れ代わってたようで。netの方は繋がりませんでした。
p://addobeflashplayer■com/flashplayer/thankyou/?installer=Flash_player_10_for_windows
p://addobeflashplayer■com/get/flashplayer/current/install_flash_player■exe
VirusTotal
install_flash_player■exe(15/40)
ttp://www.virustotal.com/analisis/6c187e1351d559e8ed1deac4daa61b73e67fb865565a0b5bcc13ec1d5a943bba-1245158717
520 :名無しさん@お腹いっぱい。:2009/06/16(火) 23:13:32
521 :名無しさん@お腹いっぱい。:2009/06/16(火) 23:16:14
>>507
>>509の後、対応が進んでますね。やっぱ早いなぁ。
AntiVir9
(5+1/7) 残1+HEUR1
load.exe : TR/Drop.Agent.20480 Trojan
normalLeap.swf : SWF/Drop.Small.MD SWF virus
notTheoryCites.pdf : HTML/Shellcode.Gen HTML script virus
readme.pdf : スルー
readme2.pdf : HEUR/HTML.Malware suspicious code
rferfref5.exe : TR/Drop.BHO.BT Trojan
update.exe : TR/Agent.clzx Trojan
>>509の後、対応が進んでますね。やっぱ早いなぁ。
AntiVir9
(5+1/7) 残1+HEUR1
load.exe : TR/Drop.Agent.20480 Trojan
normalLeap.swf : SWF/Drop.Small.MD SWF virus
notTheoryCites.pdf : HTML/Shellcode.Gen HTML script virus
readme.pdf : スルー
readme2.pdf : HEUR/HTML.Malware suspicious code
rferfref5.exe : TR/Drop.BHO.BT Trojan
update.exe : TR/Agent.clzx Trojan
522 :名無しさん@お腹いっぱい。:2009/06/16(火) 23:28:08
Rising 2009 21.43.14 (21.34.14.00)
>>474
install.exe: Packer.Win32.Agent.ar
readme.pdf: Hack.Exploit.Win32.PDF.jvp
1+2=3/10
>>507
load.exe: Trojan.Win32.Nodef.kaq
1/7
>>519
スルー
>>474
install.exe: Packer.Win32.Agent.ar
readme.pdf: Hack.Exploit.Win32.PDF.jvp
1+2=3/10
>>507
load.exe: Trojan.Win32.Nodef.kaq
1/7
>>519
スルー
523 :名無しさん@お腹いっぱい。:2009/06/16(火) 23:41:57
>>519 d
カスペ2010 21:55:00
addobeflashplayer.com フォルダ
スルー 0/2
Gamburl.Aフォルダ
32/32
Detected Trojan program Trojan-Downloader.JS.Gumblar.a tane0385\Gamburl.A\mennoyamaichi\*.html
検体提出
カスペ2010 21:55:00
addobeflashplayer.com フォルダ
スルー 0/2
Gamburl.Aフォルダ
32/32
Detected Trojan program Trojan-Downloader.JS.Gumblar.a tane0385\Gamburl.A\mennoyamaichi\*.html
検体提出
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=386
DL virus/解凍 virus
【中身】 8個入っています。
flash.swf
ttp://www.virustotal.com/jp/analisis/c2d4f2074b71d02546d73e235dbd965fab784b168d66b8273d38b9aca642ec42-1245169084 (8/39)
ins.exe
ttp://www.virustotal.com/jp/analisis/33c3518f7555aa7b407570e8174133563621629ff2ff8e3c468ffca8da703f3b-1245165082 (22/41)
installer_1.exe
ttp://www.virustotal.com/jp/analisis/a65c0988cd1ed59d8d9cc668b930630e28dd8e110677ed79a95b95dfc48b0421-1245170132 (13/40)
load.exe
ttp://www.virustotal.com/jp/analisis/e091b873ccdeed0e167f5cc85fc94d6759da00739e14f927cde8b59af9d32f69-1245167990 (3/40)
readme.pdf
ttp://www.virustotal.com/jp/analisis/623595b5bc58b2c405feda4a57d36d5754cf326d5194d75d8f4b59f85f7706c9-1245168611 (12/40)
sdfsdf.exe
ttp://www.virustotal.com/jp/analisis/3e9314888ad11497839781d9a4c9325e36caf86d59bc1ac7ece987e9c56a777b-1245169752 (6/41)
se.exe
ttp://www.virustotal.com/jp/analisis/cdd0c6792ee7d2b36a122fe304999059985614ebc942a9eaa3d50d2ea1fc96a0-1245171050 (12/41)
setup.exe
ttp://www.virustotal.com/jp/analisis/63668611fe62e28849ee30f605519b0d19c4686ad7eccc58e9483f5e70faa168-1245170869 (16/40)
DL virus/解凍 virus
【中身】 8個入っています。
flash.swf
ttp://www.virustotal.com/jp/analisis/c2d4f2074b71d02546d73e235dbd965fab784b168d66b8273d38b9aca642ec42-1245169084 (8/39)
ins.exe
ttp://www.virustotal.com/jp/analisis/33c3518f7555aa7b407570e8174133563621629ff2ff8e3c468ffca8da703f3b-1245165082 (22/41)
installer_1.exe
ttp://www.virustotal.com/jp/analisis/a65c0988cd1ed59d8d9cc668b930630e28dd8e110677ed79a95b95dfc48b0421-1245170132 (13/40)
load.exe
ttp://www.virustotal.com/jp/analisis/e091b873ccdeed0e167f5cc85fc94d6759da00739e14f927cde8b59af9d32f69-1245167990 (3/40)
readme.pdf
ttp://www.virustotal.com/jp/analisis/623595b5bc58b2c405feda4a57d36d5754cf326d5194d75d8f4b59f85f7706c9-1245168611 (12/40)
sdfsdf.exe
ttp://www.virustotal.com/jp/analisis/3e9314888ad11497839781d9a4c9325e36caf86d59bc1ac7ece987e9c56a777b-1245169752 (6/41)
se.exe
ttp://www.virustotal.com/jp/analisis/cdd0c6792ee7d2b36a122fe304999059985614ebc942a9eaa3d50d2ea1fc96a0-1245171050 (12/41)
setup.exe
ttp://www.virustotal.com/jp/analisis/63668611fe62e28849ee30f605519b0d19c4686ad7eccc58e9483f5e70faa168-1245170869 (16/40)
>>524
AVIRA9 7.01.04.100
flash.swf - (SWF/Dldr.Agent.16752) next update
ins.exe - TR/Spy.Agent.amif.4
installer_1.exe - HEUR/Crypted , (UNDER ANALYSIS)
load.exe - (25375700 MALWARE) next update
readme.pdf - (UNDER ANALYSIS)
sdfsdf.exe - TR/ATRAPS.Gen
se.exe - TR/Crypt.ZPACK.Gen
setup.exe - (UNDER ANALYSIS)
黒3,HEUR 1,未検出4。 未検出の内、黒判定2(次回update対応),解析中2。
Kaspersky 2009/06/17 0:20:00
flash.swf -
ins.exe - Trojan-Spy.Win32.Agent.amif
installer_1.exe -
load.exe -
readme.pdf - Exploit.JS.Pdfka.lr
sdfsdf.exe - Trojan.Win32.Buzus.bgwj
se.exe -
setup.exe -
黒3,未検出5。 未検出分 提出済み。
AVIRA9 7.01.04.100
flash.swf - (SWF/Dldr.Agent.16752) next update
ins.exe - TR/Spy.Agent.amif.4
installer_1.exe - HEUR/Crypted , (UNDER ANALYSIS)
load.exe - (25375700 MALWARE) next update
readme.pdf - (UNDER ANALYSIS)
sdfsdf.exe - TR/ATRAPS.Gen
se.exe - TR/Crypt.ZPACK.Gen
setup.exe - (UNDER ANALYSIS)
黒3,HEUR 1,未検出4。 未検出の内、黒判定2(次回update対応),解析中2。
Kaspersky 2009/06/17 0:20:00
flash.swf -
ins.exe - Trojan-Spy.Win32.Agent.amif
installer_1.exe -
load.exe -
readme.pdf - Exploit.JS.Pdfka.lr
sdfsdf.exe - Trojan.Win32.Buzus.bgwj
se.exe -
setup.exe -
黒3,未検出5。 未検出分 提出済み。
>>519 (>>523)
カスペからの返事
32+事後検出1=33/34、回答待ち1(addobeflashplayer.com.htm)
install_flash_player.exe_ - Trojan-Dropper.Win32.Joiner.iz
New malicious software was found in this file.
カスペからの返事
32+事後検出1=33/34、回答待ち1(addobeflashplayer.com.htm)
install_flash_player.exe_ - Trojan-Dropper.Win32.Joiner.iz
New malicious software was found in this file.
527 :名無しさん@お腹いっぱい。:2009/06/17(水) 03:32:13
>>524
McAfee (Active Protection 無効)5/8
未検出分+ins.exeをMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
ins.exe |current detection |generic dropper.gh |Trojan |no
load.exe |inconclusive | | |no
sdfsdf.exe |inconclusive | | |no
se.exe |inconclusive | | |no
McAfee (Active Protection 無効)5/8
未検出分+ins.exeをMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
ins.exe |current detection |generic dropper.gh |Trojan |no
load.exe |inconclusive | | |no
sdfsdf.exe |inconclusive | | |no
se.exe |inconclusive | | |no
528 :名無しさん@お腹いっぱい。:2009/06/17(水) 11:03:30
529 :名無しさん@お腹いっぱい。:2009/06/17(水) 11:14:49
>>523 d
>>525 代理提出d
カスペ2010 8:23
3+事後検出3=6/8
Trojan program Exploit.SWF.Agent.bc tane0386\flash.swf
Trojan program Trojan-Downloader.Win32.Delf.uji tane0386\se.exe
Trojan program Trojan-Downloader.Win32.FraudLoad.erd tane0386\setup.exe
未検出分、提出
>>525 代理提出d
カスペ2010 8:23
3+事後検出3=6/8
Trojan program Exploit.SWF.Agent.bc tane0386\flash.swf
Trojan program Trojan-Downloader.Win32.Delf.uji tane0386\se.exe
Trojan program Trojan-Downloader.Win32.FraudLoad.erd tane0386\setup.exe
未検出分、提出
>>523 (>>525,529)
カスペからの返事
3+事後検出5=8/8でクローズ
installer_1.exe_ - Trojan-Downloader.Win32.FraudLoad.ere
load.exe_ - Trojan-Downloader.Win32.FraudLoad.ere
This file is already detected. Please update your antivirus bases.
カスペからの返事
3+事後検出5=8/8でクローズ
installer_1.exe_ - Trojan-Downloader.Win32.FraudLoad.ere
load.exe_ - Trojan-Downloader.Win32.FraudLoad.ere
This file is already detected. Please update your antivirus bases.
532 :名無しさん@お腹いっぱい。:2009/06/17(水) 15:32:22
>>524
Norman Zoner nProtect を除くマイナー所を含む各社に提出完了。
Norman Zoner nProtect を除くマイナー所を含む各社に提出完了。
533 :名無しさん@お腹いっぱい。:2009/06/17(水) 19:05:46
>>1
確認して、次回からテンプレを修正しておいて下さい
>>5の●Microsoft(マイクロソフト)
「1fileづつ」で「10megabytes」までの制限だが、パスワード圧縮してやることで「1fileづつ」の方は制限をクリアできます
>>6の●ソフォス(Sophos)
ユーザープロダクトキーを持っていないと、一切「検体提供の受付」をしてもらえません
確認して、次回からテンプレを修正しておいて下さい
>>5の●Microsoft(マイクロソフト)
「1fileづつ」で「10megabytes」までの制限だが、パスワード圧縮してやることで「1fileづつ」の方は制限をクリアできます
>>6の●ソフォス(Sophos)
ユーザープロダクトキーを持っていないと、一切「検体提供の受付」をしてもらえません
535 :名無しさん@お腹いっぱい。:2009/06/17(水) 19:50:27
なんか偉そうだなおい。
MicrosoftもSophosも(少なくともフォームから送れば)届く。
MicrosoftもSophosも(少なくともフォームから送れば)届く。
試せばわかる
馬鹿はすっこんでてくれ
馬鹿はすっこんでてくれ
537 :名無しさん@お腹いっぱい。:2009/06/17(水) 20:10:10
いつも送ってるが。
馬鹿はすっこんでてくれ。
馬鹿はすっこんでてくれ。
538 :名無しさん@お腹いっぱい。:2009/06/17(水) 21:13:20
Only one file can be submitted
at one time and the size of that file is limited to 10 megabytes.
If possible, please compress the file
and password protect the file with the password "infected" (without quotes).
If you want to submit more than one file for analysis,
please compress the files into a single archive
and password protect the files with the password "infected" (without quotes).
at one time and the size of that file is limited to 10 megabytes.
If possible, please compress the file
and password protect the file with the password "infected" (without quotes).
If you want to submit more than one file for analysis,
please compress the files into a single archive
and password protect the files with the password "infected" (without quotes).
539 :名無しさん@お腹いっぱい。:2009/06/18(木) 01:57:21
Rising 2009 21.43.24 (21.34.24.00)
>>524
ins.exe>>DATA4: Trojan.PSW.Win32.GameOL.oyz
ins.exe>>DATA2: Trojan.Win32.Nodef.jwu
ins.exe: <Unknown virus>
installer_1.exe: Trojan.DL.Win32.Delf.zsu
load.exe: Trojan.Spy.Win32.Agent.eul
se.exe: Trojan.DL.Win32.Delf.zsw
setup.exe: Trojan.DL.Win32.Delf.zsv
1+4=5/8
>>524
ins.exe>>DATA4: Trojan.PSW.Win32.GameOL.oyz
ins.exe>>DATA2: Trojan.Win32.Nodef.jwu
ins.exe: <Unknown virus>
installer_1.exe: Trojan.DL.Win32.Delf.zsu
load.exe: Trojan.Spy.Win32.Agent.eul
se.exe: Trojan.DL.Win32.Delf.zsw
setup.exe: Trojan.DL.Win32.Delf.zsv
1+4=5/8
540 :名無しさん@お腹いっぱい。:2009/06/18(木) 07:55:58
541 :名無しさん@お腹いっぱい。:2009/06/18(木) 08:36:56
542 :名無しさん@お腹いっぱい。:2009/06/18(木) 09:18:31
>>534
|>>6の●ソフォス(Sophos)
|ユーザープロダクトキーを持っていないと、一切「検体提供の受付」をしてもらえません
受け付けはしてくれてますよ。昨日も送ったし。
プロダクトIDが必要なのは、検出結果や対応状況の返答を貰うこと。
|>>6の●ソフォス(Sophos)
|ユーザープロダクトキーを持っていないと、一切「検体提供の受付」をしてもらえません
受け付けはしてくれてますよ。昨日も送ったし。
プロダクトIDが必要なのは、検出結果や対応状況の返答を貰うこと。
543 :名無しさん@お腹いっぱい。:2009/06/18(木) 11:20:48
>>540 d
カスペ2010 10:04
42/43
virus HEUR:Trojan.Win32.Generic 03.exe 07.exe 08.exe 24.exe
virus HEUR:Trojan.Win32.Invader、unknown threat UDS:DangerousObject.Multi.Generic 39.exe
Trojan-GameThief.Win32.Magania.bfwc 0.exe
Trojan-Clicker.Win32.VB.cyu 02.exe
Trojan-Dropper.Win32.Agent.atmg 06.exe
Trojan-GameThief.Win32.Magania.bfdq 1.exe 12.exe, 20.exe 32.exe 34.exe
Trojan-GameThief.Win32.Magania.bgtx 2.exe
Trojan-GameThief.Win32.Magania.bful 3.exe 6.exe, 9.exe 11.exe 18.exe 27.exe
Trojan-PSW.Win32.LdPinch.agqc 4.exe
Trojan-GameThief.Win32.Magania.bfru 7.exe, 8.exe 10.exe 13.exe 15.exe 17.exe. 19.exe 33.exe
Trojan-GameThief.Win32.Magania.bfrp 14.exe
Trojan-Dropper.Win32.Agent.asul 16.exe
Trojan-GameThief.Win32.Magania.awce 21.exe
Trojan-PSW.Win32.LdPinch.afvp 25.exe
Trojan-Dropper.Win32.VB.kff 26.exe
Trojan-GameThief.Win32.Magania.bfsy 28.exe
Trojan-GameThief.Win32.Magania.beaa 29.exe
Trojan-GameThief.Win32.Magania.bfgu 30.exe
Trojan-PSW.Win32.Agent.ner 31.exe
Trojan-GameThief.Win32.Magania.bffe 35.exe
Trojan-GameThief.Win32.Magania.bfws 36.exe, 37.exe
Trojan-Downloader.Win32.Banload.aeyp nspk1.exe
ヒューリスティック含め検体提出します。
カスペ2010 10:04
42/43
virus HEUR:Trojan.Win32.Generic 03.exe 07.exe 08.exe 24.exe
virus HEUR:Trojan.Win32.Invader、unknown threat UDS:DangerousObject.Multi.Generic 39.exe
Trojan-GameThief.Win32.Magania.bfwc 0.exe
Trojan-Clicker.Win32.VB.cyu 02.exe
Trojan-Dropper.Win32.Agent.atmg 06.exe
Trojan-GameThief.Win32.Magania.bfdq 1.exe 12.exe, 20.exe 32.exe 34.exe
Trojan-GameThief.Win32.Magania.bgtx 2.exe
Trojan-GameThief.Win32.Magania.bful 3.exe 6.exe, 9.exe 11.exe 18.exe 27.exe
Trojan-PSW.Win32.LdPinch.agqc 4.exe
Trojan-GameThief.Win32.Magania.bfru 7.exe, 8.exe 10.exe 13.exe 15.exe 17.exe. 19.exe 33.exe
Trojan-GameThief.Win32.Magania.bfrp 14.exe
Trojan-Dropper.Win32.Agent.asul 16.exe
Trojan-GameThief.Win32.Magania.awce 21.exe
Trojan-PSW.Win32.LdPinch.afvp 25.exe
Trojan-Dropper.Win32.VB.kff 26.exe
Trojan-GameThief.Win32.Magania.bfsy 28.exe
Trojan-GameThief.Win32.Magania.beaa 29.exe
Trojan-GameThief.Win32.Magania.bfgu 30.exe
Trojan-PSW.Win32.Agent.ner 31.exe
Trojan-GameThief.Win32.Magania.bffe 35.exe
Trojan-GameThief.Win32.Magania.bfws 36.exe, 37.exe
Trojan-Downloader.Win32.Banload.aeyp nspk1.exe
ヒューリスティック含め検体提出します。
>>543
カスペ 42/46に訂正。
カスペ 42/46に訂正。
545 :名無しさん@お腹いっぱい。:2009/06/18(木) 12:56:39
Rising 2009 21.43.30 (21.34.30.00)
>>474
codec2.exe: Trojan.DL.Win32.Undef.exe
3+1=4/10
>>485
1.exe: Trojan.Spy.Win32.Undef.mp
codec2.exe: Trojan.DL.Win32.Undef.exe
codec3.exe: Trojan.DL.Win32.Undef.exe
codec.exe: Trojan.DL.Win32.Undef.exe
3(+1)+1=4(+1)/10
>>540
08.exe, 22.exe, 38.exe, nspk1.exe: スルー
42/46
提出完了
>>474
codec2.exe: Trojan.DL.Win32.Undef.exe
3+1=4/10
>>485
1.exe: Trojan.Spy.Win32.Undef.mp
codec2.exe: Trojan.DL.Win32.Undef.exe
codec3.exe: Trojan.DL.Win32.Undef.exe
codec.exe: Trojan.DL.Win32.Undef.exe
3(+1)+1=4(+1)/10
>>540
08.exe, 22.exe, 38.exe, nspk1.exe: スルー
42/46
提出完了
546 :名無しさん@お腹いっぱい。:2009/06/18(木) 15:28:28
>>540 (>>543,544)
カスペからの返事
42+追加検出2=44/46, 白2で一応クローズ
03.exe_ - Trojan.Win32.Agent.cmoh (←HEUR:Trojan.Win32.Generic)
08.exe_ - Trojan.Win32.Agent.cmon (←HEUR:Trojan.Win32.Generic)
22.exe_ - Trojan.Win32.Agent.cmoi
38.exe_ - Trojan-Clicker.Win32.VB.cyw
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
24.exe_ - Trojan-GameThief.Win32.Magania.bhlq (←HEUR:Trojan.Win32.Generic)
This file is already detected. Please update your antivirus bases.
5.exe, 23.exe
No malicious software was found in the attached file.
カスペからの返事
42+追加検出2=44/46, 白2で一応クローズ
03.exe_ - Trojan.Win32.Agent.cmoh (←HEUR:Trojan.Win32.Generic)
08.exe_ - Trojan.Win32.Agent.cmon (←HEUR:Trojan.Win32.Generic)
22.exe_ - Trojan.Win32.Agent.cmoi
38.exe_ - Trojan-Clicker.Win32.VB.cyw
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
24.exe_ - Trojan-GameThief.Win32.Magania.bhlq (←HEUR:Trojan.Win32.Generic)
This file is already detected. Please update your antivirus bases.
5.exe, 23.exe
No malicious software was found in the attached file.
>>540 (>>543,544,546)
カスペ2010 14:41 (39.exeのみHeur.Invaderのまま)
Detected Trojan program Trojan-GameThief.Win32.Magania.bfru tane0387\7.exe (←HEUR:Trojan.Win32.Generic)
カスペ2010 14:41 (39.exeのみHeur.Invaderのまま)
Detected Trojan program Trojan-GameThief.Win32.Magania.bfru tane0387\7.exe (←HEUR:Trojan.Win32.Generic)
548 :名無しさん@お腹いっぱい。:2009/06/18(木) 17:30:20
>>540
McAfee (Active Protection 無効)37/46
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
02.exe |new detection |generic.dx!mz |Trojan |yes
07.exe |inconclusive | | |no
08.exe |inconclusive | | |no
16.exe |new detection |generic pws.y!ch |Trojan |yes
22.exe |inconclusive | | |no
23.exe |new detection |generic.dx!mz |Trojan |yes
38.exe |inconclusive | | |no
5.exe |inconclusive | | |no
nspk1.exe |new detection |pws-banker!cw |Trojan |yes
McAfee (Active Protection 無効)37/46
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
02.exe |new detection |generic.dx!mz |Trojan |yes
07.exe |inconclusive | | |no
08.exe |inconclusive | | |no
16.exe |new detection |generic pws.y!ch |Trojan |yes
22.exe |inconclusive | | |no
23.exe |new detection |generic.dx!mz |Trojan |yes
38.exe |inconclusive | | |no
5.exe |inconclusive | | |no
nspk1.exe |new detection |pws-banker!cw |Trojan |yes
549 :名無しさん@お腹いっぱい。:2009/06/18(木) 18:01:27
>>540 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
>>542
>プロダクトIDが必要なのは、検出結果や対応状況の返答を貰うこと。
なるほど了解
せっかく提出してるのに受け付けてもらえないのかと思ってしまった。。。
Sophosが本国ですら支持されていない理由の一端を垣間見たような気がします
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
>>542
>プロダクトIDが必要なのは、検出結果や対応状況の返答を貰うこと。
なるほど了解
せっかく提出してるのに受け付けてもらえないのかと思ってしまった。。。
Sophosが本国ですら支持されていない理由の一端を垣間見たような気がします
550 :名無しさん@お腹いっぱい。:2009/06/18(木) 18:15:47
じゃあ謝っとけ
551 :名無しさん@お腹いっぱい。:2009/06/18(木) 18:17:05
Sophosは企業向けだけだろ
支持されないとかどこで分かったんだ?
支持されないとかどこで分かったんだ?
552 :名無しさん@お腹いっぱい。:2009/06/18(木) 18:36:14
また嘘だろ
知らなきゃ書かなきゃ良いのに
知らなきゃ書かなきゃ良いのに
553 :名無しさん@お腹いっぱい。:2009/06/18(木) 19:49:47
Sophos Anti-Virus 7.3.0
Protect your network,
desktop and even remote laptop computers from the latest viruses
Protect your network,
desktop and even remote laptop computers from the latest viruses
554 :名無しさん@お腹いっぱい。:2009/06/18(木) 22:20:15
>>549は平気で重複提出する馬鹿だから仕方ない
いや、重複提出自体は悪じゃないんだが先に提出した人に「乙」すら書かない礼儀知らず
いや、重複提出自体は悪じゃないんだが先に提出した人に「乙」すら書かない礼儀知らず
555 :名無しさん@お腹いっぱい。:2009/06/18(木) 22:26:15
それはガン無視されてんだろw
556 :名無しさん@お腹いっぱい。:2009/06/18(木) 22:41:25
いや、スレの流れを読めないんだろw
557 :名無しさん@お腹いっぱい。:2009/06/19(金) 01:21:12
Rising 2009 21.43.34 (21.34.34.00)
>>359
readme.pdf: Hack.Exploit.Win32.PDF.jvr
1+1=2/4
>>364
jpg\jpg.scr>>server.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.ms
jpg\jpg.scr>>sernn.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.mr
jpg\sernn.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.mr
jpg\server.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.ms
tmhcar\360.htm: Trojan.DL.Script.JS.Agent.pg
29+3+1=33/34
>>372
popingred.pdf: Hack.Exploit.Script.PDF.j
popingred.swf: Hack.Exploit.Win32.SWF.q
scriptvirus01.htm: Trojan.DL.Script.HTML.Agent.am
scriptvirus02.htm: Trojan.DL.Script.HTML.Agent.an
scriptvirus04.htm: Trojan.DL.Script.JS.Agent.pf
TubeViewer.ver.6.40000.exe: Trojan.DL.Win32.Undef.exz
2+6=8/10
>>384
demos.exe: Trojan.Spy.Win32.Undef.mw
Keygen&Crack.45000.exe: Trojan.DL.Win32.Undef.exi
scriptvirus05.htm: Trojan.DL.Script.HTML.Agent.ao
3+3=6/10
>>359
readme.pdf: Hack.Exploit.Win32.PDF.jvr
1+1=2/4
>>364
jpg\jpg.scr>>server.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.ms
jpg\jpg.scr>>sernn.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.mr
jpg\sernn.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.mr
jpg\server.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.ms
tmhcar\360.htm: Trojan.DL.Script.JS.Agent.pg
29+3+1=33/34
>>372
popingred.pdf: Hack.Exploit.Script.PDF.j
popingred.swf: Hack.Exploit.Win32.SWF.q
scriptvirus01.htm: Trojan.DL.Script.HTML.Agent.am
scriptvirus02.htm: Trojan.DL.Script.HTML.Agent.an
scriptvirus04.htm: Trojan.DL.Script.JS.Agent.pf
TubeViewer.ver.6.40000.exe: Trojan.DL.Win32.Undef.exz
2+6=8/10
>>384
demos.exe: Trojan.Spy.Win32.Undef.mw
Keygen&Crack.45000.exe: Trojan.DL.Win32.Undef.exi
scriptvirus05.htm: Trojan.DL.Script.HTML.Agent.ao
3+3=6/10
558 :名無しさん@お腹いっぱい。:2009/06/19(金) 01:22:32
Rising 2009 >>557の続き
>>393
188.pdf: Hack.Exploit.Win32.PDF.jvt
infect.php: Trojan.Spy.Win32.Undef.my
load.exe: Trojan.Spy.Win32.Undef.mz
scriptvirus08.htm, scriptvirus09.htm: Trojan.Script.HTML.Agent.p
1+5=6/10
>>406
deisvop.htm: Trojan.Script.JS.Agent.ci
2+1=3/8
>>485 ( >>545集計間違えてました: 3(+1)+4(-1)=7/10 )
bin.exe: Trojan.Spy.Win32.Undef.mt
bot.exe: Trojan.Spy.Win32.Undef.mv
7+2=9/10
id.htmは不是病毒との返答あり
>>540
08.exe: Trojan.DL.Win32.VB.zyy
22.exe: Trojan.PSW.Win32.OnlineGame.zcp
38.exe: Trojan.DL.Win32.Small.zuz
42+3=45/46
>>393
188.pdf: Hack.Exploit.Win32.PDF.jvt
infect.php: Trojan.Spy.Win32.Undef.my
load.exe: Trojan.Spy.Win32.Undef.mz
scriptvirus08.htm, scriptvirus09.htm: Trojan.Script.HTML.Agent.p
1+5=6/10
>>406
deisvop.htm: Trojan.Script.JS.Agent.ci
2+1=3/8
>>485 ( >>545集計間違えてました: 3(+1)+4(-1)=7/10 )
bin.exe: Trojan.Spy.Win32.Undef.mt
bot.exe: Trojan.Spy.Win32.Undef.mv
7+2=9/10
id.htmは不是病毒との返答あり
>>540
08.exe: Trojan.DL.Win32.VB.zyy
22.exe: Trojan.PSW.Win32.OnlineGame.zcp
38.exe: Trojan.DL.Win32.Small.zuz
42+3=45/46
559 :名無しさん@お腹いっぱい。:2009/06/19(金) 11:27:31
560 :名無しさん@お腹いっぱい。:2009/06/19(金) 11:54:06
561 :名無しさん@お腹いっぱい。:2009/06/19(金) 12:07:26
562 :名無しさん@お腹いっぱい。:2009/06/19(金) 22:52:51
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=389
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=390
infected
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=391
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=392
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=393
infected
tane389.zip:ZIP圧縮のみ
tane390.zip:ZIP圧縮のみ
tane391.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )
tane392.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )
tane393.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )
検体入手元
マルウェアドメインリストにあったものからここ1週間位に登録された
ものから適当に拾ってみました。まさかここまで容量があるとは。(199MBってなに!?)
ファイル名に見覚えのあるのがかなりあったので、61さんが上げておられる
検体と被っているものが多いかもしれません。
p://www■malwaredomainlist■com/mdl■php
でかい方(7zも使って二重圧縮)は、ファイル名からすると、提出すべきか悩むところ。
各自の判断でお願いします。自分の使ってるセキュリティソフト分位なら、
分割して送ればなんとかなるでしょう。
・AntiVirには、未検出分+ヒューリスティック1(ZIP圧縮で3MB程度)をftp経由で提出しています。
・FTPアカウントを貰っているAntiyLabsにも提出済み。
・BitDefenderは、一番容量でかいところをまるまるスルーしてたので、120MBとか提出無理で諦めました。
・a-Squearedは、Bitよりましでしたが、58MBとか…(でかいとこ抜けば2MB程度)
各自、未検出分だけでも提出がんばれ。わたしは集めただけで力尽きました。(o_ _)o ぱたり
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=390
infected
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=391
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=392
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=393
infected
tane389.zip:ZIP圧縮のみ
tane390.zip:ZIP圧縮のみ
tane391.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )
tane392.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )
tane393.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )
検体入手元
マルウェアドメインリストにあったものからここ1週間位に登録された
ものから適当に拾ってみました。まさかここまで容量があるとは。(199MBってなに!?)
ファイル名に見覚えのあるのがかなりあったので、61さんが上げておられる
検体と被っているものが多いかもしれません。
p://www■malwaredomainlist■com/mdl■php
でかい方(7zも使って二重圧縮)は、ファイル名からすると、提出すべきか悩むところ。
各自の判断でお願いします。自分の使ってるセキュリティソフト分位なら、
分割して送ればなんとかなるでしょう。
・AntiVirには、未検出分+ヒューリスティック1(ZIP圧縮で3MB程度)をftp経由で提出しています。
・FTPアカウントを貰っているAntiyLabsにも提出済み。
・BitDefenderは、一番容量でかいところをまるまるスルーしてたので、120MBとか提出無理で諦めました。
・a-Squearedは、Bitよりましでしたが、58MBとか…(でかいとこ抜けば2MB程度)
各自、未検出分だけでも提出がんばれ。わたしは集めただけで力尽きました。(o_ _)o ぱたり
563 :名無しさん@お腹いっぱい。:2009/06/19(金) 23:46:24
>>562 乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出します
Symantecとa-squaredとMalwarebytesとMicrosoftに提出します
564 :名無しさん@お腹いっぱい。:2009/06/19(金) 23:50:07
>>562 乙
カスペ2010 21:21
tane0389
151/190
tane0390
7/7でFA.
tane0391
8/14
tane0392
28/41
tane0393
6/9
忙しいので、タイミングを見て提出。
余裕がある方は、先に提出していただいて結構です。
しかし、多いね。w
カスペ2010 21:21
tane0389
151/190
tane0390
7/7でFA.
tane0391
8/14
tane0392
28/41
tane0393
6/9
忙しいので、タイミングを見て提出。
余裕がある方は、先に提出していただいて結構です。
しかし、多いね。w
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=394
DL virus/解凍 virus
【中身】 10個入っています。
getexe.exe
ttp://www.virustotal.com/jp/analisis/4cba121dcc44d48b0fc9ea72ebc4105fdbe60162cbcd6db2373992993887cb0e-1245421635 (16/41)
index.htm
ttp://www.virustotal.com/jp/analisis/1fad64ba6baeb4680bb9ae65fa4ba5e03becf8b2e102a6d0ae8f014c690daf8f-1245422649 (3/41)
load.exe
ttp://www.virustotal.com/jp/analisis/c9782267ebacb929b69f2d561f8f5a1606a01cd3e57608af8e2c95586dd719ce-1245419951 (18/41)
load2.exe
ttp://www.virustotal.com/jp/analisis/ae2757112862927067d1d4c05a2c114587342a1993171f286c66d54613ed3208-1245420999 (1/41)
load3.exe
ttp://www.virustotal.com/jp/analisis/7939cea52c61651831a0fbc786b2429e6f0dc0e73e219992f3186d1eeb9c7262-1245422076 (5/41)
loader.exe
ttp://www.virustotal.com/jp/analisis/d173830c46bf17aba70145731718a18d5de01991de5ed6bdcf1c90b475f5c1f7-1245423525 (22/41)
readme.pdf
ttp://www.virustotal.com/jp/analisis/d32991834101c31f16e00f5f2bcd77980e60c2b29aa2a1f38a63b0cfe5fa1a1b-1245419577 (14/41)
Setup.exe
ttp://www.virustotal.com/jp/analisis/768ace3dee14aa958af2c3e425c0791e1466ce5773a81e97b9cc6d587ef13b73-1245423987 (23/41)
sitesS.swf
ttp://www.virustotal.com/jp/analisis/1025991a260093eaf00e03e4b243bdb00ce10799331511d1b4cf53b948aeadb3-1245422313 (3/40)
winres.exe
ttp://www.virustotal.com/jp/analisis/4cd2a370666c3e3e51eb336065912f154c43ed4a541d7a4a654348bb44ffa6c3-1245422938 (7/41)
こちらもMDLから持ってきているので、今回は>562さんと重複しているかも。
MDLは黒確率非常に高いけど、逆に古いもの(検出ベンダー35以上とか)も結構入っているので、何も考えずに全部出すと
ベンダーの迷惑になるため、出す人は自分のソフトで検出しない物を出した方が吉です。
DL virus/解凍 virus
【中身】 10個入っています。
getexe.exe
ttp://www.virustotal.com/jp/analisis/4cba121dcc44d48b0fc9ea72ebc4105fdbe60162cbcd6db2373992993887cb0e-1245421635 (16/41)
index.htm
ttp://www.virustotal.com/jp/analisis/1fad64ba6baeb4680bb9ae65fa4ba5e03becf8b2e102a6d0ae8f014c690daf8f-1245422649 (3/41)
load.exe
ttp://www.virustotal.com/jp/analisis/c9782267ebacb929b69f2d561f8f5a1606a01cd3e57608af8e2c95586dd719ce-1245419951 (18/41)
load2.exe
ttp://www.virustotal.com/jp/analisis/ae2757112862927067d1d4c05a2c114587342a1993171f286c66d54613ed3208-1245420999 (1/41)
load3.exe
ttp://www.virustotal.com/jp/analisis/7939cea52c61651831a0fbc786b2429e6f0dc0e73e219992f3186d1eeb9c7262-1245422076 (5/41)
loader.exe
ttp://www.virustotal.com/jp/analisis/d173830c46bf17aba70145731718a18d5de01991de5ed6bdcf1c90b475f5c1f7-1245423525 (22/41)
readme.pdf
ttp://www.virustotal.com/jp/analisis/d32991834101c31f16e00f5f2bcd77980e60c2b29aa2a1f38a63b0cfe5fa1a1b-1245419577 (14/41)
Setup.exe
ttp://www.virustotal.com/jp/analisis/768ace3dee14aa958af2c3e425c0791e1466ce5773a81e97b9cc6d587ef13b73-1245423987 (23/41)
sitesS.swf
ttp://www.virustotal.com/jp/analisis/1025991a260093eaf00e03e4b243bdb00ce10799331511d1b4cf53b948aeadb3-1245422313 (3/40)
winres.exe
ttp://www.virustotal.com/jp/analisis/4cd2a370666c3e3e51eb336065912f154c43ed4a541d7a4a654348bb44ffa6c3-1245422938 (7/41)
こちらもMDLから持ってきているので、今回は>562さんと重複しているかも。
MDLは黒確率非常に高いけど、逆に古いもの(検出ベンダー35以上とか)も結構入っているので、何も考えずに全部出すと
ベンダーの迷惑になるため、出す人は自分のソフトで検出しない物を出した方が吉です。
>>565
AVIRA9 7.01.04.116
getexe.exe - (UNDER ANALYSIS)
index.htm - (UNDER ANALYSIS)
load.exe - TR/Crypt.ZPACK.Gen
load2.exe - (UNDER ANALYSIS)
load3.exe - (UNDER ANALYSIS)
loader.exe - TR/Crypt.ZPACK.Gen
readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
Setup.exe - TR/Downloader.Gen
sitesS.swf - (UNDER ANALYSIS)
winres.exe - TR/Drop.VB.mgh
黒4,HEUR 1,未検出5。HEURと未検出 提出済。
Kaspersky 2009/06/19 21:21:00
getexe.exe - Trojan-Spy.Win32.Agent.avxf
index.htm -
load.exe - Trojan-Spy.Win32.Zbot.gen
load2.exe -
load3.exe -
loader.exe - Trojan-Spy.Win32.Zbot.gen
readme.pdf - Exploit.JS.Pdfka.lf
Setup.exe - Net-Worm.Win32.Koobface.d
sitesS.swf -
winres.exe -
黒5,未検出5。 未検出分 提出済。
あと、ここの人なら言わなくても大丈夫な気もしますが、MDLは、ほとんどのベンダーをすり抜けるような新種も結構あります。
なので、MDLのリストから検体確保する人は、最低限VirtualPCか検出専用機などの環境は準備をした方が良いです。
(VirtualPC+Win2Kがお手軽です。OSが軽いのでVirtualPCでもストレス感じませんし、イメージファイルも小さくてすむので
ミスって感染した時に使う復旧用クリーンイメージの保管も場所を取りません。)
AVIRA9 7.01.04.116
getexe.exe - (UNDER ANALYSIS)
index.htm - (UNDER ANALYSIS)
load.exe - TR/Crypt.ZPACK.Gen
load2.exe - (UNDER ANALYSIS)
load3.exe - (UNDER ANALYSIS)
loader.exe - TR/Crypt.ZPACK.Gen
readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
Setup.exe - TR/Downloader.Gen
sitesS.swf - (UNDER ANALYSIS)
winres.exe - TR/Drop.VB.mgh
黒4,HEUR 1,未検出5。HEURと未検出 提出済。
Kaspersky 2009/06/19 21:21:00
getexe.exe - Trojan-Spy.Win32.Agent.avxf
index.htm -
load.exe - Trojan-Spy.Win32.Zbot.gen
load2.exe -
load3.exe -
loader.exe - Trojan-Spy.Win32.Zbot.gen
readme.pdf - Exploit.JS.Pdfka.lf
Setup.exe - Net-Worm.Win32.Koobface.d
sitesS.swf -
winres.exe -
黒5,未検出5。 未検出分 提出済。
あと、ここの人なら言わなくても大丈夫な気もしますが、MDLは、ほとんどのベンダーをすり抜けるような新種も結構あります。
なので、MDLのリストから検体確保する人は、最低限VirtualPCか検出専用機などの環境は準備をした方が良いです。
(VirtualPC+Win2Kがお手軽です。OSが軽いのでVirtualPCでもストレス感じませんし、イメージファイルも小さくてすむので
ミスって感染した時に使う復旧用クリーンイメージの保管も場所を取りません。)
567 :名無しさん@お腹いっぱい。:2009/06/20(土) 00:50:11
>>565 乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出します
Symantecとa-squaredとMalwarebytesとMicrosoftに提出します
568 :名無しさん@お腹いっぱい。:2009/06/20(土) 01:20:50
Rising 2009 21.43.34 (21.34.34.00)
>>113
Work.exe: Worm.Win32.Agent.auk
1+1=2/10
>>372
popingred.exe: Dropper.Win32.Undef.acm
8+1=9/10
>>451
load3.exe: Dropper.Win32.Nodef.gc
5(+1)+1=6(+1)/11
>>562
>tane0389
118(+4)/190 (二重検出が3つほどあったので正確には115(+4))
>tane0390
5/7
>tane0391
0/14
>tane0392
25/41
>tane0393
0/9
すべて提出保留
>>565
スルー、提出完了
>>113
Work.exe: Worm.Win32.Agent.auk
1+1=2/10
>>372
popingred.exe: Dropper.Win32.Undef.acm
8+1=9/10
>>451
load3.exe: Dropper.Win32.Nodef.gc
5(+1)+1=6(+1)/11
>>562
>tane0389
118(+4)/190 (二重検出が3つほどあったので正確には115(+4))
>tane0390
5/7
>tane0391
0/14
>tane0392
25/41
>tane0393
0/9
すべて提出保留
>>565
スルー、提出完了
569 :名無しさん@お腹いっぱい。:2009/06/20(土) 06:29:23
PFWなしでのんびりWUしてたら感染しちゃったw のを駆除にいってきた。っていうのをもらってきた
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=396 dl:hszscf rar:dhbvzs
0001 がたぶん本体。0001B はProgramFiles にできる。
C以外のexeに感染しようとする 感染したexeと0001B の実行部分が同じなので、0001B は感染メインか、感染スタブかと
0002 も同じPC から拾ったやつで、関連は不明だが、常駐形態が0001 とおんなじなので、同出所のサブファイルかなと
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=396 dl:hszscf rar:dhbvzs
0001 がたぶん本体。0001B はProgramFiles にできる。
C以外のexeに感染しようとする 感染したexeと0001B の実行部分が同じなので、0001B は感染メインか、感染スタブかと
0002 も同じPC から拾ったやつで、関連は不明だが、常駐形態が0001 とおんなじなので、同出所のサブファイルかなと
570 :名無しさん@お腹いっぱい。:2009/06/20(土) 06:34:09
あーすまん、解パスまでランダム化する必要なかったんだ 寝ぼけてるわ
571 :名無しさん@お腹いっぱい。:2009/06/20(土) 06:48:35
うpしなおし
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=398 dl:hszscf
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=398 dl:hszscf
572 :名無しさん@お腹いっぱい。:2009/06/20(土) 06:48:57
ここまで、McAfee
提出困難なもの(tane0390 サイズ制限)を除き提出完了。
詳細はうpしました。
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=397
infected
提出困難なもの(tane0390 サイズ制限)を除き提出完了。
詳細はうpしました。
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=397
infected
573 :名無しさん@お腹いっぱい。:2009/06/20(土) 07:04:33
>>571
解パスおながい
解パスおながい
574 :名無しさん@お腹いっぱい。:2009/06/20(土) 07:42:55
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
575 :名無しさん@お腹いっぱい。:2009/06/20(土) 08:27:04
>>571
ファイル名 (0001) 30049752008e569748c301a43c2de700cc619eb8.EXE
ttp://www.virustotal.com/jp/analisis/3b896a906d8cee49e3783da5e7278f492740b56bef914fde37527af9efa782a5-1245440682
ファイル名 (0001B) VC0G8AJTF5NN.exe.vir
ttp://www.virustotal.com/jp/analisis/2d163ba0c40ea36af279e7786289c096f500a4f8f08cfe8b06a092be1e9e6f50-1245034690
ファイル名 (0002) ae4c3ea9006679f9e0c900d08f2beb00c7a032b5.EXE
ttp://www.virustotal.com/jp/analisis/07e1870dee724b97220fd60c77310fc56e1fbdebc45c001c6a03423501a3e795-1245401829
ファイル名 (0001) 30049752008e569748c301a43c2de700cc619eb8.EXE
ttp://www.virustotal.com/jp/analisis/3b896a906d8cee49e3783da5e7278f492740b56bef914fde37527af9efa782a5-1245440682
ファイル名 (0001B) VC0G8AJTF5NN.exe.vir
ttp://www.virustotal.com/jp/analisis/2d163ba0c40ea36af279e7786289c096f500a4f8f08cfe8b06a092be1e9e6f50-1245034690
ファイル名 (0002) ae4c3ea9006679f9e0c900d08f2beb00c7a032b5.EXE
ttp://www.virustotal.com/jp/analisis/07e1870dee724b97220fd60c77310fc56e1fbdebc45c001c6a03423501a3e795-1245401829
576 :名無しさん@お腹いっぱい。:2009/06/20(土) 08:31:12
>>571
McAfee (Active Protection 無効)0/3
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0001.bin |inconclusive | | |no
0001b.bin |inconclusive | | |no
0002.bin |inconclusive | | |no
McAfee (Active Protection 無効)0/3
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0001.bin |inconclusive | | |no
0001b.bin |inconclusive | | |no
0002.bin |inconclusive | | |no
577 :名無しさん@お腹いっぱい。:2009/06/20(土) 08:52:09
>>569-571
AntiVir (3/3) 全部撃墜
AntiVir (3/3) 全部撃墜
578 :名無しさん@お腹いっぱい。:2009/06/20(土) 08:55:24
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=399
infected
日替わりのネトゲアカハックトロイと、SPAMメールに直接exeのアドレスが書いてあったのを拾ったもの。
検体入手元
p://www■cavle-online■com/play■exe
p://220■194■44■67/~nbfe47/bestvideo■avi■exe
infected
日替わりのネトゲアカハックトロイと、SPAMメールに直接exeのアドレスが書いてあったのを拾ったもの。
検体入手元
p://www■cavle-online■com/play■exe
p://220■194■44■67/~nbfe47/bestvideo■avi■exe
>>562 乙です。 今日は時間が無いのでtane389の分だけ先に
Kaspersky 2009/06/20 07:07:00
190個の内、HEUR検出5,未検出33個。なので、計算では確定検出152個
【提出済】 6個
HEUR 5個
moviesdesert.org\0nonus.jpg - HEUR:Trojan.Win32.Generic
f97q.cn\index.php - HEUR:Trojan-Downloader.Script.Generic
anti-payed-porn\index.php - HEUR:Exploit.Script.Generic
almasto.net\lnk.php - HEUR:Exploit.Script.Generic
5yttrre.cn\xx20.exe - HEUR:Trojan.Win32.Generic
>565と重複 1個
xz.ub9.net\winres.exe
Kaspersky 2009/06/20 07:07:00
190個の内、HEUR検出5,未検出33個。なので、計算では確定検出152個
【提出済】 6個
HEUR 5個
moviesdesert.org\0nonus.jpg - HEUR:Trojan.Win32.Generic
f97q.cn\index.php - HEUR:Trojan-Downloader.Script.Generic
anti-payed-porn\index.php - HEUR:Exploit.Script.Generic
almasto.net\lnk.php - HEUR:Exploit.Script.Generic
5yttrre.cn\xx20.exe - HEUR:Trojan.Win32.Generic
>565と重複 1個
xz.ub9.net\winres.exe
>>562 >579 続き
【提出しないもの】 17個
zbotのconfig fileで、マルウェアではないことが確定済み。(14個) - 環境ごとに中身が違うが、単なる設定ファイルでしかないのでベンダーに無視される。
7171.freehostia.com\cfg.bin
djellow.com\djwl.bin
ecounterstats.ws\cfg.bin
forserv.net\config.bin
klikvs.cn\EXP_01.bin
mywebsite\config.bin
noproblemz.net\cf.bin
noproblemz.net\cm.bin
omizerto.com\tttt.bin
porevovsem.ru\config.bin
shock-world.mobi\cfg.bin
tinrussia.cn\a.b
w00tl33t.h1x.com\cfg1tor.bin
x-systems.name\cfg.bin
中身がマルウェアではない。(3個)
mias.tw\index.php - 404エラーメッセージで無意味
viva-delpinata2.com\index.php - 0 byte
www.realinnovation.com\menu.js - マルウェアではないメッセージに変更後のもの。
後は提出。
【提出しないもの】 17個
zbotのconfig fileで、マルウェアではないことが確定済み。(14個) - 環境ごとに中身が違うが、単なる設定ファイルでしかないのでベンダーに無視される。
7171.freehostia.com\cfg.bin
djellow.com\djwl.bin
ecounterstats.ws\cfg.bin
forserv.net\config.bin
klikvs.cn\EXP_01.bin
mywebsite\config.bin
noproblemz.net\cf.bin
noproblemz.net\cm.bin
omizerto.com\tttt.bin
porevovsem.ru\config.bin
shock-world.mobi\cfg.bin
tinrussia.cn\a.b
w00tl33t.h1x.com\cfg1tor.bin
x-systems.name\cfg.bin
中身がマルウェアではない。(3個)
mias.tw\index.php - 404エラーメッセージで無意味
viva-delpinata2.com\index.php - 0 byte
www.realinnovation.com\menu.js - マルウェアではないメッセージに変更後のもの。
後は提出。
581 :名無しさん@お腹いっぱい。:2009/06/20(土) 09:45:02
>>578
McAfee (Active Protection 無効)1/3
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bestvideo.avi.exe |heuristic detection |new malware.jj |Trojan |no
play.exe |current detection |backdoor-ckb.dr |Trojan |no
McAfee (Active Protection 無効)1/3
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bestvideo.avi.exe |heuristic detection |new malware.jj |Trojan |no
play.exe |current detection |backdoor-ckb.dr |Trojan |no
582 :名無しさん@お腹いっぱい。:2009/06/20(土) 10:25:43
583 :名無しさん@お腹いっぱい。:2009/06/20(土) 10:37:24
king 2009.6.19.21
>>562
tane0389
110/190
tane0390
4/7
tane0391
4/14
tane0392
7/41
tane0393
5/9
時間掛かりましたが・・・未検出分提出させて頂きました。
>>562
tane0389
110/190
tane0390
4/7
tane0391
4/14
tane0392
7/41
tane0393
5/9
時間掛かりましたが・・・未検出分提出させて頂きました。
584 :名無しさん@お腹いっぱい。:2009/06/20(土) 11:17:28
king 2009.6.19.21
>>565
tane0394\Setup.exe /Worm.Koobface.d.53248
1/10
>>578(tane0399)
スルー
0/3
未検出分を提出させて頂きました。
>>565
tane0394\Setup.exe /Worm.Koobface.d.53248
1/10
>>578(tane0399)
スルー
0/3
未検出分を提出させて頂きました。
585 :名無しさん@お腹いっぱい。:2009/06/20(土) 13:29:25
Rising 2009 21.43.50 (21.34.50.00)
>>571
0001B.bin: Worm.Win32.Agent.auf
0002.bin: Harm.Win32.Agent.kn
2/3
>>578
スルー
検体提出完了
>>568 定義番号修正
Rising 2009 21.43.44 (21.34.44.00)
>>571
0001B.bin: Worm.Win32.Agent.auf
0002.bin: Harm.Win32.Agent.kn
2/3
>>578
スルー
検体提出完了
>>568 定義番号修正
Rising 2009 21.43.44 (21.34.44.00)
586 :名無しさん@お腹いっぱい。:2009/06/20(土) 19:04:09
>>578
VTこんでたのでvirscan
play.ext(23/38)
http://www.virscan.org/report/461d32621b5212b908e89cec7163e75f.html
他もやろうと思ったんだけどタイムオーバーだすまん
VTこんでたのでvirscan
play.ext(23/38)
http://www.virscan.org/report/461d32621b5212b908e89cec7163e75f.html
他もやろうと思ったんだけどタイムオーバーだすまん
587 :名無しさん@お腹いっぱい。:2009/06/20(土) 20:11:05
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=400
infected
検体入手元
p://www■hotgome■net/
p://www■okireng■com/
p://www■livedoorm■com/Test■exe
p://www■shaimokale■com/livedoor■scr
呼び出しのhtml類も入ってます。
infected
検体入手元
p://www■hotgome■net/
p://www■okireng■com/
p://www■livedoorm■com/Test■exe
p://www■shaimokale■com/livedoor■scr
呼び出しのhtml類も入ってます。
588 :名無しさん@お腹いっぱい。:2009/06/20(土) 20:53:14
>>587さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
589 :名無しさん@お腹いっぱい。:2009/06/20(土) 21:01:00
>>587
McAfee (Active Protection 無効)3/29
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
cx.js |inconclusive | | |no
dd115.swf |inconclusive | | |no
dd16.swf |inconclusive | | |no
dd28.swf |inconclusive | | |no
dd45.swf |inconclusive | | |no
dd47.swf |inconclusive | | |no
dd64.swf |inconclusive | | |no
dk11.html |inconclusive | | |no
dk122121.htm |heuristic detection |exploit-realplay.h |Trojan |no
dk14.htm |inconclusive | | |no
McAfee (Active Protection 無効)3/29
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
cx.js |inconclusive | | |no
dd115.swf |inconclusive | | |no
dd16.swf |inconclusive | | |no
dd28.swf |inconclusive | | |no
dd45.swf |inconclusive | | |no
dd47.swf |inconclusive | | |no
dd64.swf |inconclusive | | |no
dk11.html |inconclusive | | |no
dk122121.htm |heuristic detection |exploit-realplay.h |Trojan |no
dk14.htm |inconclusive | | |no
590 :名無しさん@お腹いっぱい。:2009/06/20(土) 21:01:33
dk22.html |inconclusive | | |no
dkbf.htm |inconclusive | | |no
dkcx.htm |inconclusive | | |no
dkff.htm |inconclusive | | |no
dkfl.htm |inconclusive | | |no
dkgg.htm |inconclusive | | |no
dkxxz.htm |inconclusive | | |no
kk115.swf |inconclusive | | |no
kk16.swf |inconclusive | | |no
kk28.swf |inconclusive | | |no
kk45.swf |inconclusive | | |no
kk47.swf |inconclusive | | |no
kk64.swf |inconclusive | | |no
livedoor.scr |current detection |backdoor-ckb.dr |Trojan |no
ruixing.js |heuristic detection |beav-shellcode |Application |no
swfobject.js |no malware | | |no
www.hotgome.net.htm |heuristic detection |with fishy extension |Application |no
dkbf.htm |inconclusive | | |no
dkcx.htm |inconclusive | | |no
dkff.htm |inconclusive | | |no
dkfl.htm |inconclusive | | |no
dkgg.htm |inconclusive | | |no
dkxxz.htm |inconclusive | | |no
kk115.swf |inconclusive | | |no
kk16.swf |inconclusive | | |no
kk28.swf |inconclusive | | |no
kk45.swf |inconclusive | | |no
kk47.swf |inconclusive | | |no
kk64.swf |inconclusive | | |no
livedoor.scr |current detection |backdoor-ckb.dr |Trojan |no
ruixing.js |heuristic detection |beav-shellcode |Application |no
swfobject.js |no malware | | |no
www.hotgome.net.htm |heuristic detection |with fishy extension |Application |no
591 :名無しさん@お腹いっぱい。:2009/06/20(土) 22:53:53
>>571
AVIRA 7.01.04.117
0001.bin - TR/Crypt.XPACK.Gen
0001B.bin - TR/Drop.Agen.102912
0002.bin - TR/Downloader.Gen
黒3(3/3)
Kaspersky 2009/06/20 20:34:00
0001.bin -
0001B.bin - Trojan-Downloader.Win32.Agent.cfsn
0002.bin -
黒1,未検出2。未検出分 提出済。
AVIRA 7.01.04.117
0001.bin - TR/Crypt.XPACK.Gen
0001B.bin - TR/Drop.Agen.102912
0002.bin - TR/Downloader.Gen
黒3(3/3)
Kaspersky 2009/06/20 20:34:00
0001.bin -
0001B.bin - Trojan-Downloader.Win32.Agent.cfsn
0002.bin -
黒1,未検出2。未検出分 提出済。
>>578 乙です。
AVIRA 7.01.04.117
1199.exe - DR/PcClient.Gen
bestvideo.avi.exe - TR/Crypt.ZPACK.Gen
play.exe - TR/Dropper.Gen
黒3(3/3)
Kaspersky 2009/06/20 22:26:00
1199.exe - Backdoor.Win32.PcClient.aqzb
bestvideo.avi.exe - Trojan-Downloader.Win32.Small.jwl
play.exe - Backdoor.Win32.PcClient.aqzb
黒3(3/3)
AVIRA 7.01.04.117
1199.exe - DR/PcClient.Gen
bestvideo.avi.exe - TR/Crypt.ZPACK.Gen
play.exe - TR/Dropper.Gen
黒3(3/3)
Kaspersky 2009/06/20 22:26:00
1199.exe - Backdoor.Win32.PcClient.aqzb
bestvideo.avi.exe - Trojan-Downloader.Win32.Small.jwl
play.exe - Backdoor.Win32.PcClient.aqzb
黒3(3/3)
>>592
Kaspersky返答
0001.bin - Trojan-Dropper.Win32.Agent.auhl
0002.bin - Trojan-Dropper.Win32.Agent.auhm
黒1+事後2=黒3 (3/3)でclose.
Kaspersky返答
0001.bin - Trojan-Dropper.Win32.Agent.auhl
0002.bin - Trojan-Dropper.Win32.Agent.auhm
黒1+事後2=黒3 (3/3)でclose.
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=401
DL virus/解凍 virus
【中身】 8個入っています。
65.js
ttp://www.virustotal.com/jp/analisis/1aca72ba9d9e771964f3160ebbba96fe9a107e4636fdd63ce8089a0143149709-1245515267 (8/41)
codec.exe
ttp://www.virustotal.com/jp/analisis/11be143604080462beba2a9b9f6abfdbacb5260d2968176f107fe8543b9676eb-1245513402 (17/41)
install.exe
ttp://www.virustotal.com/jp/analisis/2ac8e8dff70ba00b221ec1986ffc4f08df89c1fae4744192f3e1eacffd420e2d-1245518262 (12/41)
install2.exe
ttp://www.virustotal.com/jp/analisis/4cc98fdcd6cfe24cb3e86dac213e3eb3ea45bf2e9b1f026f29a40151a387c3cf-1245518793 (13/41)
install3.exe
ttp://www.virustotal.com/jp/analisis/5773804d0a77c89c30e655bae57bfa687dd321c3ab1010bc68f3ea404ab05dd9-1245504445 (12/41)
install4.exe
ttp://www.virustotal.com/jp/analisis/6d14a007ed289d9c66ae3059c60236fee75153f2d51da5094ec0b88d7e23305d-1245519526 (13/40)
o.js
ttp://www.virustotal.com/jp/analisis/71aeff6800993c39cdcbfeeee14705d41c2ddc868f60c4eaa6469ded2337b450-1245510762 (0/41)
thehouseoforange_com.htm
ttp://www.virustotal.com/jp/analisis/f6e884568eafbbc4fb0725496d6e688553bd8941fea73019a3fb532e3c6c3244-1245517053 (13/41)
o.jsがMDLに大量に載せられているTHEPLANET.COMの呼び出しスクリプトです。
VTでは0/41ですが、次に書く通り、既にKasperskyで黒判定が出ています。
あと、こちらで確認した結果では、o.jsが呼び出すマルウェアがinstall3.exeでした。
(install.exe〜install4.exeは、多分同種のマルウェア。元のファイル名は全てinstall.exe)
DL virus/解凍 virus
【中身】 8個入っています。
65.js
ttp://www.virustotal.com/jp/analisis/1aca72ba9d9e771964f3160ebbba96fe9a107e4636fdd63ce8089a0143149709-1245515267 (8/41)
codec.exe
ttp://www.virustotal.com/jp/analisis/11be143604080462beba2a9b9f6abfdbacb5260d2968176f107fe8543b9676eb-1245513402 (17/41)
install.exe
ttp://www.virustotal.com/jp/analisis/2ac8e8dff70ba00b221ec1986ffc4f08df89c1fae4744192f3e1eacffd420e2d-1245518262 (12/41)
install2.exe
ttp://www.virustotal.com/jp/analisis/4cc98fdcd6cfe24cb3e86dac213e3eb3ea45bf2e9b1f026f29a40151a387c3cf-1245518793 (13/41)
install3.exe
ttp://www.virustotal.com/jp/analisis/5773804d0a77c89c30e655bae57bfa687dd321c3ab1010bc68f3ea404ab05dd9-1245504445 (12/41)
install4.exe
ttp://www.virustotal.com/jp/analisis/6d14a007ed289d9c66ae3059c60236fee75153f2d51da5094ec0b88d7e23305d-1245519526 (13/40)
o.js
ttp://www.virustotal.com/jp/analisis/71aeff6800993c39cdcbfeeee14705d41c2ddc868f60c4eaa6469ded2337b450-1245510762 (0/41)
thehouseoforange_com.htm
ttp://www.virustotal.com/jp/analisis/f6e884568eafbbc4fb0725496d6e688553bd8941fea73019a3fb532e3c6c3244-1245517053 (13/41)
o.jsがMDLに大量に載せられているTHEPLANET.COMの呼び出しスクリプトです。
VTでは0/41ですが、次に書く通り、既にKasperskyで黒判定が出ています。
あと、こちらで確認した結果では、o.jsが呼び出すマルウェアがinstall3.exeでした。
(install.exe〜install4.exeは、多分同種のマルウェア。元のファイル名は全てinstall.exe)
>>595
AVIRA9 7.01.04.117
65.js - (UNDER ANALYSIS)
codec.exe - (UNDER ANALYSIS)
install.exe - TR/Dropper.Gen
install2.exe - TR/Dropper.Gen
install3.exe - TR/Dropper.Gen
install4.exe - TR/Dropper.Gen
o.js - (UNDER ANALYSIS)
thehouseoforange_com.htm - (UNDER ANALYSIS)
黒4,未検出4。未検出分 提出済。
Kaspersky 2009/06/21 2:42:00
65.js - Exploit.JS.Pdfka.gx
codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
install.exe -
install2.exe -
install3.exe -
install4.exe -
o.js - (Trojan-Downloader.JS.Small.oa) 次回アップデート
thehouseoforange_com.htm - Trojan-Downloader.JS.Iframe.zi
黒3,未検出5。未検出分 提出済。(内、黒判定1)
※ thehouseoforange_com.htmは、不正なコードが挿入されたサイトのhtml
AVIRA9 7.01.04.117
65.js - (UNDER ANALYSIS)
codec.exe - (UNDER ANALYSIS)
install.exe - TR/Dropper.Gen
install2.exe - TR/Dropper.Gen
install3.exe - TR/Dropper.Gen
install4.exe - TR/Dropper.Gen
o.js - (UNDER ANALYSIS)
thehouseoforange_com.htm - (UNDER ANALYSIS)
黒4,未検出4。未検出分 提出済。
Kaspersky 2009/06/21 2:42:00
65.js - Exploit.JS.Pdfka.gx
codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
install.exe -
install2.exe -
install3.exe -
install4.exe -
o.js - (Trojan-Downloader.JS.Small.oa) 次回アップデート
thehouseoforange_com.htm - Trojan-Downloader.JS.Iframe.zi
黒3,未検出5。未検出分 提出済。(内、黒判定1)
※ thehouseoforange_com.htmは、不正なコードが挿入されたサイトのhtml
597 :名無しさん@お腹いっぱい。:2009/06/21(日) 03:32:55
>>595
NormanとZoner以外の各社に提出完了。
NormanとZoner以外の各社に提出完了。
598 :名無しさん@お腹いっぱい。:2009/06/21(日) 03:54:30
Rising 2009 21.43.52 (21.34.52.00)
>>565
Setup.exe>>upx_c: Worm.Win32.Koobface.ay
1/10
>>587
www.hotgome.net\js\cx.js: Hack.Exploit.Script.JS.Agent.is
www.hotgome.net\swf\*.swf: Hack.Exploit.Swf.a
www.hotgome.net\www.hotgome.net.htm: Trojan.DL.Script.JS.Agent.os
14/29
>>595
install.exe: Trojan.Win32.FakeAV.oh
install2.exe: Trojan.Win32.FakeAV.oh
install3.exe: Trojan.Win32.FakeAV.oh
install4.exe: Trojan.Win32.FakeAV.oh
4/8
>>565
Setup.exe>>upx_c: Worm.Win32.Koobface.ay
1/10
>>587
www.hotgome.net\js\cx.js: Hack.Exploit.Script.JS.Agent.is
www.hotgome.net\swf\*.swf: Hack.Exploit.Swf.a
www.hotgome.net\www.hotgome.net.htm: Trojan.DL.Script.JS.Agent.os
14/29
>>595
install.exe: Trojan.Win32.FakeAV.oh
install2.exe: Trojan.Win32.FakeAV.oh
install3.exe: Trojan.Win32.FakeAV.oh
install4.exe: Trojan.Win32.FakeAV.oh
4/8
599 :名無しさん@お腹いっぱい。:2009/06/21(日) 09:20:32
>>595さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
>>596
Kaspersky 2009/06/21 9:42:00
install.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
install2.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
install3.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
install4.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
o.js - Trojan-Downloader.JS.Small.oa (検出可能になっている)
installの方、返答無いけど検出可。黒3+事後黒5=黒8 (8/8)でclose.
Kaspersky 2009/06/21 9:42:00
install.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
install2.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
install3.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
install4.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
o.js - Trojan-Downloader.JS.Small.oa (検出可能になっている)
installの方、返答無いけど検出可。黒3+事後黒5=黒8 (8/8)でclose.
>>562,579
Kasperskyから返答あったHEURの分。Kaspersky 2009/06/21 9:42:00で検出可 確認済み。
moviesdesert.org\0nonus.jpg - Trojan-Downloader.Win32.VB.ome
f97q.cn\index.php - Trojan.JS.Agent.aia
anti-payed-porn\index.php - Trojan-Downloader.JS.Iframe.bgx
almasto.net\lnk.php - Trojan-Downloader.JS.Agent.eev
5yttrre.cn\xx20.exe - Trojan-GameThief.Win32.Magania.bhw
提出分で返事があったもの
www.tudouwg.com\tdzy3.82.exe - 白
tdzy3.82.exe VT現状
ttp://www.virustotal.com/jp/analisis/af6b23f0d1323d44894f80fe525752e8d45c443f0208c235bc2b8aa0765496f4-1245551597 (20/41)
また、後でひっくり返し来るかな?
それ以外は返事が無くて、対処?もまだ。(ちなみに>565-566も放置されてる。) とうとうKasperskyもパンクした?
Kasperskyから返答あったHEURの分。Kaspersky 2009/06/21 9:42:00で検出可 確認済み。
moviesdesert.org\0nonus.jpg - Trojan-Downloader.Win32.VB.ome
f97q.cn\index.php - Trojan.JS.Agent.aia
anti-payed-porn\index.php - Trojan-Downloader.JS.Iframe.bgx
almasto.net\lnk.php - Trojan-Downloader.JS.Agent.eev
5yttrre.cn\xx20.exe - Trojan-GameThief.Win32.Magania.bhw
提出分で返事があったもの
www.tudouwg.com\tdzy3.82.exe - 白
tdzy3.82.exe VT現状
ttp://www.virustotal.com/jp/analisis/af6b23f0d1323d44894f80fe525752e8d45c443f0208c235bc2b8aa0765496f4-1245551597 (20/41)
また、後でひっくり返し来るかな?
それ以外は返事が無くて、対処?もまだ。(ちなみに>565-566も放置されてる。) とうとうKasperskyもパンクした?
602 :名無しさん@お腹いっぱい。:2009/06/21(日) 13:59:52
カスペ2010 12:12
>>565 (tane0394) (>>566)
5+事後検出1=6/10
Trojan program Trojan.Win32.Pakes.nmw tane0394.zip/load2.exe
>>571 (tane0398)
1+事後検出2=3/3でクローズ
Trojan program Trojan-Downloader.Win32.Agent.cfsn tane0398.rar/0001B.bin
Trojan program Trojan-Dropper.Win32.Agent.auhm tane0398.rar/0002.bin
>>578 (tane0399)
>>593通り、3/3でクローズ
>>587 (tane0400)
21/29
●tane0400.zip/www.hotgome.net/ (6)
Trojan program Trojan-Downloader.JS.SWFlash.aw DK11.html
Trojan program Trojan-Downloader.JS.Agent.dwx DK14.htm
virus HEUR:Exploit.Script.Generic DKbf.htm
Trojan program Trojan-Downloader.JS.Agent.dsk DKff.htm
Trojan program Trojan-Downloader.JS.Iframe.avv www.hotgome.net.htm
Trojan program Exploit.JS.Agent.aip DKgg.htm
●tane0400.zip/www.hotgome.net/www.livedoorm.com (1)
Trojan program Backdoor.Win32.PcClient.aqzj Test.exe
●tane0400.zip/www.hotgome.net/swf (12)
Trojan program Exploit.SWF.Downloader.mu /swf/*.swf (12 files)
●tane0400\www.shaimokale.com/ (2)
Trojan program Backdoor.Win32.PcClient.arbi livedoor.scr
Trojan program Backdoor.Win32.PcClient.arbi \張佑赫.exe
>>595(tane0401)
>>596,600通り、8/8でクローズ
>>565 (tane0394) (>>566)
5+事後検出1=6/10
Trojan program Trojan.Win32.Pakes.nmw tane0394.zip/load2.exe
>>571 (tane0398)
1+事後検出2=3/3でクローズ
Trojan program Trojan-Downloader.Win32.Agent.cfsn tane0398.rar/0001B.bin
Trojan program Trojan-Dropper.Win32.Agent.auhm tane0398.rar/0002.bin
>>578 (tane0399)
>>593通り、3/3でクローズ
>>587 (tane0400)
21/29
●tane0400.zip/www.hotgome.net/ (6)
Trojan program Trojan-Downloader.JS.SWFlash.aw DK11.html
Trojan program Trojan-Downloader.JS.Agent.dwx DK14.htm
virus HEUR:Exploit.Script.Generic DKbf.htm
Trojan program Trojan-Downloader.JS.Agent.dsk DKff.htm
Trojan program Trojan-Downloader.JS.Iframe.avv www.hotgome.net.htm
Trojan program Exploit.JS.Agent.aip DKgg.htm
●tane0400.zip/www.hotgome.net/www.livedoorm.com (1)
Trojan program Backdoor.Win32.PcClient.aqzj Test.exe
●tane0400.zip/www.hotgome.net/swf (12)
Trojan program Exploit.SWF.Downloader.mu /swf/*.swf (12 files)
●tane0400\www.shaimokale.com/ (2)
Trojan program Backdoor.Win32.PcClient.arbi livedoor.scr
Trojan program Backdoor.Win32.PcClient.arbi \張佑赫.exe
>>595(tane0401)
>>596,600通り、8/8でクローズ
604 :名無しさん@お腹いっぱい。:2009/06/21(日) 15:04:23
COMODO Internet Security 1382
>>562
tane389 73/190
tane390 7/7
tane391 4/14
tane392 25/41
tane393 5/9
>>565
tane394 4/10
>>571
解凍出来ない為に未検査
>>578
tane399 1/3
>>587
tane400 9/29
>>595
tane401 スルー
未検出分を提出しました。
>>562
tane389 73/190
tane390 7/7
tane391 4/14
tane392 25/41
tane393 5/9
>>565
tane394 4/10
>>571
解凍出来ない為に未検査
>>578
tane399 1/3
>>587
tane400 9/29
>>595
tane401 スルー
未検出分を提出しました。
605 :名無しさん@お腹いっぱい。:2009/06/21(日) 16:14:13
>>587関連htmlで無さそうだったもの1つ
見落としてたらごめんなさい
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=403
infected
検体入手元
livedoorm■com/Test■html
virscan (9/38)
http://www.virscan.org/report/d919bd13fba716e104da91588c5c8a8c.html
見落としてたらごめんなさい
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=403
infected
検体入手元
livedoorm■com/Test■html
virscan (9/38)
http://www.virscan.org/report/d919bd13fba716e104da91588c5c8a8c.html
606 :名無しさん@お腹いっぱい。:2009/06/21(日) 16:41:40
607 :名無しさん@お腹いっぱい。:2009/06/21(日) 16:46:47
>605
6/14時点 (15/41)
http://www.virustotal.com/analisis/3133c6024300df639aeac0279ce85bc5768d0135a1566a3640c732f9e416a1a5-1245163040
6/21時点 (17/41)
http://www.virustotal.com/analisis/3133c6024300df639aeac0279ce85bc5768d0135a1566a3640c732f9e416a1a5-1245570481
6/14時点 (15/41)
http://www.virustotal.com/analisis/3133c6024300df639aeac0279ce85bc5768d0135a1566a3640c732f9e416a1a5-1245163040
6/21時点 (17/41)
http://www.virustotal.com/analisis/3133c6024300df639aeac0279ce85bc5768d0135a1566a3640c732f9e416a1a5-1245570481
608 :名無しさん@お腹いっぱい。:2009/06/21(日) 17:09:15
Rising 2009 21.43.61 (21.34.61.00)
>>359
load.exe: Trojan.Spy.Win32.Undef.nh
2+1=3/4 (index.htmは不是病毒)
>>384
svcshostes.exe: Trojan.Spy.Win32.Undef.ni
6+1=7/10
>>393
cn.pdf: Hack.Exploit.Win32.PDF.jvu
troj.exe: Trojan.Spy.Win32.Undef.nn
6+2=8/10
>>605
Test.html: Trojan.DL.VBS.Small.ep
1/1
>>359
load.exe: Trojan.Spy.Win32.Undef.nh
2+1=3/4 (index.htmは不是病毒)
>>384
svcshostes.exe: Trojan.Spy.Win32.Undef.ni
6+1=7/10
>>393
cn.pdf: Hack.Exploit.Win32.PDF.jvu
troj.exe: Trojan.Spy.Win32.Undef.nn
6+2=8/10
>>605
Test.html: Trojan.DL.VBS.Small.ep
1/1
609 :名無しさん@お腹いっぱい。:2009/06/21(日) 18:16:35
カスペからの返事 tane0387
>>540 (>>543,544,546)
42+追加検出2-白変更1=43/46で再クローズ
39.exe - No malicious code was found in this file. (←HEUR:Trojan.Win32.Invaderから白への変更)
>>565(>>566,602) tane0394
5+事後検出(1+2)=8/10、回答待ち1
index.htm_ - Trojan-Downloader.JS.Iframe.bhe
load3.exe_ - Trojan.Win32.Pakes.nmx
New malicious software was found in this file.
>>562のtane0389提出完了,これからtane0390-0393提出予定
で、VT検出の14ファイル提出
たぶん161ファイルくらいが黒。(1ファイルで複数シグネチャ入り、1シグネチャで複数ファイルなどあり、現状、正確に計算できず。)
34.exe_ - Trojan-GameThief.Win32.OnLineGames.bmgn
setup.exe_ - Trojan.Win32.FraudPack.owu
pornotube912.htm_ - Trojan-Downloader.JS.Agent.eez
ManieZ.jpg_ - Trojan-Spy.PHP.Agent.a
New malicious software was found in this file.
svchost.jpg, load.exe, dd.jpg, angry.gif, SmartDownload.exe , tdzy3.82.exe - No malicious code was found in this file.
>>540 (>>543,544,546)
42+追加検出2-白変更1=43/46で再クローズ
39.exe - No malicious code was found in this file. (←HEUR:Trojan.Win32.Invaderから白への変更)
>>565(>>566,602) tane0394
5+事後検出(1+2)=8/10、回答待ち1
index.htm_ - Trojan-Downloader.JS.Iframe.bhe
load3.exe_ - Trojan.Win32.Pakes.nmx
New malicious software was found in this file.
>>562のtane0389提出完了,これからtane0390-0393提出予定
で、VT検出の14ファイル提出
たぶん161ファイルくらいが黒。(1ファイルで複数シグネチャ入り、1シグネチャで複数ファイルなどあり、現状、正確に計算できず。)
34.exe_ - Trojan-GameThief.Win32.OnLineGames.bmgn
setup.exe_ - Trojan.Win32.FraudPack.owu
pornotube912.htm_ - Trojan-Downloader.JS.Agent.eez
ManieZ.jpg_ - Trojan-Spy.PHP.Agent.a
New malicious software was found in this file.
svchost.jpg, load.exe, dd.jpg, angry.gif, SmartDownload.exe , tdzy3.82.exe - No malicious code was found in this file.
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=404
DL virus/解凍 virus
【中身】 8個入っています。
7a1ae8bc2868407b0b957ba37148b1ec5520317.js
ttp://www.virustotal.com/jp/analisis/338e1eb9903dd686189c3a84e89a8530ac7b467f282fdb2ba8d1d331a3c71148-1245589062 (1/41)
codec.exe
ttp://www.virustotal.com/jp/analisis/1be2df1db2285035092ab989b30782a2b0084d979962798ada49886d5c0e461e-1245591093 (15/41)
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe
ttp://www.virustotal.com/jp/analisis/2c022bad43237bdd14cb7d8c15c7f096f0b90a131b787271ccba67c7425c9419-1245589897 (5/41)
installer_1.exe
ttp://www.virustotal.com/jp/analisis/f51f9459d97b51506f1b78250ee04e6ef5e83ccdc8580729e990ff370906234b-1245590775 (12/41)
pp.10.exe
ttp://www.virustotal.com/jp/analisis/11ea03d0096249da907320e98bbad26fd666388767b9395c5d0f8474d381b719-1245587866 (7/41)
setup.exe
ttp://www.virustotal.com/jp/analisis/691da8f007115bdd75b203a0332455a3092072c8c930db78d2f08c693a0a3f85-1245590460 (13/41)
Setup_build7_102.exe
ttp://www.virustotal.com/jp/analisis/2b8082a7a5ad9bae9e7f4f4dafeba13aae8331d1964065e2a9b22d9f35c67c62-1245588691 (13/41)
streamviewer.40009.exe
ttp://www.virustotal.com/jp/analisis/559923223dbf27f218de5e5fc7c255c0eae745026001253785de189d6dffe186-1245590193 (5/41)
最初の長いjsは、マルウェアの呼び出しスクリプトです。 codec.exeは、>595の改変版。
あと、一応断っておきますが、crack.〜は偽keygenです。VTの結果を見るか、それも信じられないなら自分でVTに投げるなり、
ハッシュをとってVTのハッシュと比較するなりご自由にどうぞです。 また、提出の判断も個人でお願いします。
DL virus/解凍 virus
【中身】 8個入っています。
7a1ae8bc2868407b0b957ba37148b1ec5520317.js
ttp://www.virustotal.com/jp/analisis/338e1eb9903dd686189c3a84e89a8530ac7b467f282fdb2ba8d1d331a3c71148-1245589062 (1/41)
codec.exe
ttp://www.virustotal.com/jp/analisis/1be2df1db2285035092ab989b30782a2b0084d979962798ada49886d5c0e461e-1245591093 (15/41)
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe
ttp://www.virustotal.com/jp/analisis/2c022bad43237bdd14cb7d8c15c7f096f0b90a131b787271ccba67c7425c9419-1245589897 (5/41)
installer_1.exe
ttp://www.virustotal.com/jp/analisis/f51f9459d97b51506f1b78250ee04e6ef5e83ccdc8580729e990ff370906234b-1245590775 (12/41)
pp.10.exe
ttp://www.virustotal.com/jp/analisis/11ea03d0096249da907320e98bbad26fd666388767b9395c5d0f8474d381b719-1245587866 (7/41)
setup.exe
ttp://www.virustotal.com/jp/analisis/691da8f007115bdd75b203a0332455a3092072c8c930db78d2f08c693a0a3f85-1245590460 (13/41)
Setup_build7_102.exe
ttp://www.virustotal.com/jp/analisis/2b8082a7a5ad9bae9e7f4f4dafeba13aae8331d1964065e2a9b22d9f35c67c62-1245588691 (13/41)
streamviewer.40009.exe
ttp://www.virustotal.com/jp/analisis/559923223dbf27f218de5e5fc7c255c0eae745026001253785de189d6dffe186-1245590193 (5/41)
最初の長いjsは、マルウェアの呼び出しスクリプトです。 codec.exeは、>595の改変版。
あと、一応断っておきますが、crack.〜は偽keygenです。VTの結果を見るか、それも信じられないなら自分でVTに投げるなり、
ハッシュをとってVTのハッシュと比較するなりご自由にどうぞです。 また、提出の判断も個人でお願いします。
611 :名無しさん@お腹いっぱい。:2009/06/21(日) 23:00:41
>>610
AVIRA9 7.01.04.119
7a1ae8bc2868407b0b957ba37148b1ec5520317.js - (UNDER ANALYSIS)
codec.exe - (UNDER ANALYSIS)
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe - (UNDER ANALYSIS)
installer_1.exe - (UNDER ANALYSIS)
pp.10.exe - TR/Downloader.Gen
setup.exe - TR/Dropper.Gen
Setup_build7_102.exe - TR/Crypt.XPACK.Gen
streamviewer.40009.exe - (UNDER ANALYSIS)
黒3,未検出5(全部解析中)
Kaspersky 2009/06/21 21:19:00
7a1ae8bc2868407b0b957ba37148b1ec5520317.js -
codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe - Trojan.Win32.FraudPack.owo
installer_1.exe -
pp.10.exe - HEUR:Trojan.Win32.Generic (Trojan.Win32.Agent2.ksd)
setup.exe - Trojan-Dropper.Win32.Agent.auid
Setup_build7_102.exe -
streamviewer.40009.exe - Trojan.Win32.FraudPack.owo
黒4,HEUR 1,未検出3。未検出 提出済み。なお、HEURは検出名の解答来てます。(カッコ内)
AVIRA9 7.01.04.119
7a1ae8bc2868407b0b957ba37148b1ec5520317.js - (UNDER ANALYSIS)
codec.exe - (UNDER ANALYSIS)
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe - (UNDER ANALYSIS)
installer_1.exe - (UNDER ANALYSIS)
pp.10.exe - TR/Downloader.Gen
setup.exe - TR/Dropper.Gen
Setup_build7_102.exe - TR/Crypt.XPACK.Gen
streamviewer.40009.exe - (UNDER ANALYSIS)
黒3,未検出5(全部解析中)
Kaspersky 2009/06/21 21:19:00
7a1ae8bc2868407b0b957ba37148b1ec5520317.js -
codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe - Trojan.Win32.FraudPack.owo
installer_1.exe -
pp.10.exe - HEUR:Trojan.Win32.Generic (Trojan.Win32.Agent2.ksd)
setup.exe - Trojan-Dropper.Win32.Agent.auid
Setup_build7_102.exe -
streamviewer.40009.exe - Trojan.Win32.FraudPack.owo
黒4,HEUR 1,未検出3。未検出 提出済み。なお、HEURは検出名の解答来てます。(カッコ内)
613 :名無しさん@お腹いっぱい。:2009/06/21(日) 23:16:49
Rising 2009 21.43.62 (21.34.62.00)
>>565
load3.exe: Backdoor.Win32.Undef.dwq
load.exe: Backdoor.Win32.Ntos.dp
1+2-3/10
>>610
スルー、提出完了
>>565
load3.exe: Backdoor.Win32.Undef.dwq
load.exe: Backdoor.Win32.Ntos.dp
1+2-3/10
>>610
スルー、提出完了
614 :名無しさん@お腹いっぱい。:2009/06/21(日) 23:30:37
COMODO Internet Security 1385
>>610
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe Heur.Packed.Unknown
streamviewer.40009.exe Heur.Packed.Unknown
2/8
未検出分を提出しました。
>>610
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe Heur.Packed.Unknown
streamviewer.40009.exe Heur.Packed.Unknown
2/8
未検出分を提出しました。
615 :名無しさん@お腹いっぱい。:2009/06/22(月) 00:23:58
>>610さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
616 :名無しさん@お腹いっぱい。:2009/06/22(月) 00:28:50
>>562(>>564)
カスペ2010 23:39
tane 0391
8+事後検出6=14/14でクローズ
virus not-a-virus:FraudTool.Win32.VirusSweeper.a \ReleaseXP\ReleaseXP.exe
virus not-a-virus:FraudTool.Win32.VirusShield.j \ReleaseXP\ReleaseXP(1).exe
Trojan program Packed.Win32.Krap.i \ReleaseXP\ReleaseXP(2).exe, ReleaseXP(3).exe
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.b \ReleaseXP\ReleaseXP(4).exe
virus not-a-virus:FraudTool.Win32.PrestoTuneUp.b ReleaseXP\ReleaseXP(5).exe
irus not-a-virus:FraudTool.Win32.MalwareCatcher2009.q \ReleaseXP\ReleaseXP(6).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ag \ReleaseXP\ReleaseXP(7).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.i \ReleaseXP\ReleaseXP(8).exe
virus not-a-virus:FraudTool.Win32.VirusSweeper.a \SetupPack\SetupPack.exe, SetupPack(4).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ad \SetupPack\SetupPack(1).exe, \SetupPack(2).exe, \SetupPack(3).exe
tane0393\SetupReleaseXP
6+事後検出3=9/14でクローズ
virus not-a-virus:FraudTool.Win32.VirusSweeper.a SetupReleaseXP.exe , SetupReleaseXP(1).exe, SetupReleaseXP(3).exe, SetupReleaseXP(4).exe, SetupReleaseXP(8).exe
virus not-a-virus:FraudTool.Win32.VirusShield.j SetupReleaseXP(2).exe
virus not-a-virus:FraudTool.Win32.MalwareCatcher2009.q SetupReleaseXP(5).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ag SetupReleaseXP(6).exe
virus not-a-virus:FraudTool.Win32.PrestoTuneUp.b SetupReleaseXP(7).exe
カスペ2010 23:39
tane 0391
8+事後検出6=14/14でクローズ
virus not-a-virus:FraudTool.Win32.VirusSweeper.a \ReleaseXP\ReleaseXP.exe
virus not-a-virus:FraudTool.Win32.VirusShield.j \ReleaseXP\ReleaseXP(1).exe
Trojan program Packed.Win32.Krap.i \ReleaseXP\ReleaseXP(2).exe, ReleaseXP(3).exe
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.b \ReleaseXP\ReleaseXP(4).exe
virus not-a-virus:FraudTool.Win32.PrestoTuneUp.b ReleaseXP\ReleaseXP(5).exe
irus not-a-virus:FraudTool.Win32.MalwareCatcher2009.q \ReleaseXP\ReleaseXP(6).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ag \ReleaseXP\ReleaseXP(7).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.i \ReleaseXP\ReleaseXP(8).exe
virus not-a-virus:FraudTool.Win32.VirusSweeper.a \SetupPack\SetupPack.exe, SetupPack(4).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ad \SetupPack\SetupPack(1).exe, \SetupPack(2).exe, \SetupPack(3).exe
tane0393\SetupReleaseXP
6+事後検出3=9/14でクローズ
virus not-a-virus:FraudTool.Win32.VirusSweeper.a SetupReleaseXP.exe , SetupReleaseXP(1).exe, SetupReleaseXP(3).exe, SetupReleaseXP(4).exe, SetupReleaseXP(8).exe
virus not-a-virus:FraudTool.Win32.VirusShield.j SetupReleaseXP(2).exe
virus not-a-virus:FraudTool.Win32.MalwareCatcher2009.q SetupReleaseXP(5).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ag SetupReleaseXP(6).exe
virus not-a-virus:FraudTool.Win32.PrestoTuneUp.b SetupReleaseXP(7).exe
617 :名無しさん@お腹いっぱい。:2009/06/22(月) 00:46:28
カスペ2010 23:39
>>602, (>>604)
tane0393 >>616を9/9でクローズに誤記訂正
tane0382 28/41のまま 検体提出します。
●tane0382\Setup
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.c setup\setup(1).exe
virus not-a-virus:FraudTool.Win32.ExtraAntivir.h setup\setup(2).exe
Trojan program Packed.Win32.Krap.i setup\setup.exe, setup1.exe, uninstall(2).exe, \uninstall(3).exe, update(2).exe, \update(3).exe
Trojan program Packed.Win32.Krap.i setup\Work(2).exe, Work(3).exe, Rpdm.exe
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.d setup\uninstall(4).exe
virus not-a-virus:FraudTool.Win32.VirusDoctor.k setup\uninstall(5).exe, update(5).exe
virus not-a-virus:FraudTool.Win32.ExtraAntivir.i setup\uninstall(8).exe
Trojan program Trojan-Downloader.Win32.FraudLoad.eir setup\update(4).exe
Trojan program Trojan-Downloader.Win32.FraudLoad.epy setup\update(8).exe
virus not-a-virus:FraudTool.Win32.VirusSweeper.b setup\update.exe
virus not-a-virus:FraudTool.Win32.Agent.rb setup\Work(4).exe
virus not-a-virus:FraudTool.Win32.Agent.oh setup\Work(5).exe
Trojan program Trojan.Win32.Qhost.lpu setup\Work(8).exe
virus not-a-virus:FraudTool.Win32.Agent.oe setup\Work.exe
●tane0382\SetupRelease
virus not-a-virus:FraudTool.Win32.VirusSweeper.a SetupRelease\SetupRelease(1, 2, 3, 4, 8).exe (5files)
virus not-a-virus:FraudTool.Win32.PrestoTuneUp SetupRelease\SetupRelease(5).exe
>>610d
>>612代理提出d。>>612さんの通り 5/10
カスペからの返事
>>562(tane0389) 白1追加
zy.jpg - No malicious code was found in this file.
>>602, (>>604)
tane0393 >>616を9/9でクローズに誤記訂正
tane0382 28/41のまま 検体提出します。
●tane0382\Setup
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.c setup\setup(1).exe
virus not-a-virus:FraudTool.Win32.ExtraAntivir.h setup\setup(2).exe
Trojan program Packed.Win32.Krap.i setup\setup.exe, setup1.exe, uninstall(2).exe, \uninstall(3).exe, update(2).exe, \update(3).exe
Trojan program Packed.Win32.Krap.i setup\Work(2).exe, Work(3).exe, Rpdm.exe
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.d setup\uninstall(4).exe
virus not-a-virus:FraudTool.Win32.VirusDoctor.k setup\uninstall(5).exe, update(5).exe
virus not-a-virus:FraudTool.Win32.ExtraAntivir.i setup\uninstall(8).exe
Trojan program Trojan-Downloader.Win32.FraudLoad.eir setup\update(4).exe
Trojan program Trojan-Downloader.Win32.FraudLoad.epy setup\update(8).exe
virus not-a-virus:FraudTool.Win32.VirusSweeper.b setup\update.exe
virus not-a-virus:FraudTool.Win32.Agent.rb setup\Work(4).exe
virus not-a-virus:FraudTool.Win32.Agent.oh setup\Work(5).exe
Trojan program Trojan.Win32.Qhost.lpu setup\Work(8).exe
virus not-a-virus:FraudTool.Win32.Agent.oe setup\Work.exe
●tane0382\SetupRelease
virus not-a-virus:FraudTool.Win32.VirusSweeper.a SetupRelease\SetupRelease(1, 2, 3, 4, 8).exe (5files)
virus not-a-virus:FraudTool.Win32.PrestoTuneUp SetupRelease\SetupRelease(5).exe
>>610d
>>612代理提出d。>>612さんの通り 5/10
カスペからの返事
>>562(tane0389) 白1追加
zy.jpg - No malicious code was found in this file.
>>612
Kaspersky返答
7a1ae8bc2868407b0b957ba37148b1ec5520317.js - Trojan.JS.Agent.aik
installer_1.exe - not-a-virus:FraudTool.Win32.AntivirusPlus.iu
Setup_build7_102.exe - not-a-virus:FraudTool.Win32.FastAntivirus2009.ao
黒4,HEUR→黒 1,事後 黒3の全黒(8/8)でclose.
Kaspersky返答
7a1ae8bc2868407b0b957ba37148b1ec5520317.js - Trojan.JS.Agent.aik
installer_1.exe - not-a-virus:FraudTool.Win32.AntivirusPlus.iu
Setup_build7_102.exe - not-a-virus:FraudTool.Win32.FastAntivirus2009.ao
黒4,HEUR→黒 1,事後 黒3の全黒(8/8)でclose.
カスペ2010 0:50:00
>>562(>>564,617)
tane0392
28+事後検出7=35/41,回答待ち6
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ak setup\uninstall(7).exe
virus not-a-virus:FraudTool.Win32.MalwareCatcher2009.t setup\uninstall(6).exe
virus not-a-virus:FraudTool.Win32.VirusShield.n setup\uninstall(1).exe
virus not-a-virus:FraudTool.Win32.Agent.rm setup\update(7).exe
virus not-a-virus:FraudTool.Win32.Agent.rl setup\update(6).exe
virus not-a-virus:FraudTool.Win32.Agent.rn setup\update(1).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.al SetupRelease\SetupRelease(7).exe
>>562(>>564,617)
tane0392
28+事後検出7=35/41,回答待ち6
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ak setup\uninstall(7).exe
virus not-a-virus:FraudTool.Win32.MalwareCatcher2009.t setup\uninstall(6).exe
virus not-a-virus:FraudTool.Win32.VirusShield.n setup\uninstall(1).exe
virus not-a-virus:FraudTool.Win32.Agent.rm setup\update(7).exe
virus not-a-virus:FraudTool.Win32.Agent.rl setup\update(6).exe
virus not-a-virus:FraudTool.Win32.Agent.rn setup\update(1).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.al SetupRelease\SetupRelease(7).exe
620 :名無しさん@お腹いっぱい。:2009/06/22(月) 08:56:33
■ おすすめ2ちゃんねる 開発中。。。 by FOX ★
このスレを見ている人はこんなスレも見ています。(ver 0.20)
【報告専用】同人サイト向け・GENOウィルス注意11 [同人]
鹿児島のテレビを語ろう part7 [テレビサロン]
このスレを見ている人はこんなスレも見ています。(ver 0.20)
【報告専用】同人サイト向け・GENOウィルス注意11 [同人]
鹿児島のテレビを語ろう part7 [テレビサロン]
カスペからの返事&追加検出 15:12
>>562(>>564,617,619)
tane0392
28+事後検出(7+5)=40/41, 回答待ち1(work(7).exe)
Work(1).exe_ - not-a-virus:FraudTool.Win32.Agent.rs
Work(6).exe_ - not-a-virus:FraudTool.Win32.Agent.rr
SetupRelease(6).exe_ - not-a-virus:FraudTool.Win32.MalwareCatcher2009.x
New potentially risk software was found in this file.
追加検出
Deleted virus not-a-virus:FraudTool.Win32.VirusSweeper.c tane0392\setup\uninstall.exe
Deleted virus not-a-virus:FraudTool.Win32.VirusShield.o tane0392\SetupRelease\SetupRelease.exe
>>562(>>564,617,619)
tane0392
28+事後検出(7+5)=40/41, 回答待ち1(work(7).exe)
Work(1).exe_ - not-a-virus:FraudTool.Win32.Agent.rs
Work(6).exe_ - not-a-virus:FraudTool.Win32.Agent.rr
SetupRelease(6).exe_ - not-a-virus:FraudTool.Win32.MalwareCatcher2009.x
New potentially risk software was found in this file.
追加検出
Deleted virus not-a-virus:FraudTool.Win32.VirusSweeper.c tane0392\setup\uninstall.exe
Deleted virus not-a-virus:FraudTool.Win32.VirusShield.o tane0392\SetupRelease\SetupRelease.exe
622 :名無しさん@お腹いっぱい。:2009/06/22(月) 17:04:52
>>610
McAfee (Active Protection 無効)3/8
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
--------------------|------------------------------|----------------------------|------------|-----
7a1ae8bc2868407b0b95|inconclusive | | |no
crack.amond.dvd.to.i|inconclusive | | |no
setup.exe |inconclusive | | |no
setup_build7_102.exe|inconclusive | | |no
streamviewer.40009.e|inconclusive | | |no
McAfee (Active Protection 無効)3/8
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
--------------------|------------------------------|----------------------------|------------|-----
7a1ae8bc2868407b0b95|inconclusive | | |no
crack.amond.dvd.to.i|inconclusive | | |no
setup.exe |inconclusive | | |no
setup_build7_102.exe|inconclusive | | |no
streamviewer.40009.e|inconclusive | | |no
カスペからの返事
>>562(>>564,617,619,621)
tane0392
28+事後検出(7+5+1)=41/41で終了
Work(7).exe_ - Trojan.Win32.Qhost.lql
New malicious software was found in this file.
>>562(>>564,617,619,621)
tane0392
28+事後検出(7+5+1)=41/41で終了
Work(7).exe_ - Trojan.Win32.Qhost.lql
New malicious software was found in this file.
624 :名無しさん@お腹いっぱい。:2009/06/23(火) 03:45:28
Rising 2009 21.44.04 (21.35.04.00)
>>565
load2.exe: Backdoor.Win32.Undef.dxj
3+1=4/10
>>610
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe: Backdoor.Win32.Undef.dxm
streamviewer.40009.exe: Backdoor.Win32.Undef.dxm
2/8
>>565
load2.exe: Backdoor.Win32.Undef.dxj
3+1=4/10
>>610
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe: Backdoor.Win32.Undef.dxm
streamviewer.40009.exe: Backdoor.Win32.Undef.dxm
2/8
625 :名無しさん@お腹いっぱい。:2009/06/23(火) 09:47:39
>>571,>>578
McAfee最終返答。ペンディングで終了が1件か…
File Name Findings Detection Type
========= ======== ========= ====
1199.exe detected backdoor-ckb.dr trojan
bestvideo.avi.exe detected generic.dx trojan
play.exe detected unknown pending
0001.bin detected generic.dx trojan
0001b.bin detected generic downloader.x trojan
0002.bin detected generic.dx trojan
McAfee最終返答。ペンディングで終了が1件か…
File Name Findings Detection Type
========= ======== ========= ====
1199.exe detected backdoor-ckb.dr trojan
bestvideo.avi.exe detected generic.dx trojan
play.exe detected unknown pending
0001.bin detected generic.dx trojan
0001b.bin detected generic downloader.x trojan
0002.bin detected generic.dx trojan
626 :名無しさん@お腹いっぱい。:2009/06/23(火) 16:07:09
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=405
infected
日替わり品とMarwareListから拾ったもの。過去の検体と重複が混ざってたらごめん。
infected
日替わり品とMarwareListから拾ったもの。過去の検体と重複が混ざってたらごめん。
627 :名無しさん@お腹いっぱい。:2009/06/23(火) 16:25:34
>>626
SymantecとPandaとGDATA2009(=avast!&BitDefender)へ提出完了
SymantecとPandaとGDATA2009(=avast!&BitDefender)へ提出完了
628 :名無しさん@お腹いっぱい。:2009/06/23(火) 16:33:11
629 :名無しさん@お腹いっぱい。:2009/06/23(火) 16:35:26
630 :名無しさん@お腹いっぱい。:2009/06/23(火) 16:44:31
>>626
filename: vop.htm
machine: Machine
result: See the developer notes
filename: rp10.htm
machine: Machine
result: This file is detected as JS.Downloader.
filename: flink.html
machine: Machine
result: See the developer notes
filename: 1051.htm
machine: Machine
result: See the developer notes
filename: live.htm
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
filename: bfyy.htm
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
filename: vip.htm
machine: Machine
result: See the developer notes
filename: sina.htm
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
filename: vop.htm
machine: Machine
result: See the developer notes
filename: rp10.htm
machine: Machine
result: This file is detected as JS.Downloader.
filename: flink.html
machine: Machine
result: See the developer notes
filename: 1051.htm
machine: Machine
result: See the developer notes
filename: live.htm
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
filename: bfyy.htm
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
filename: vip.htm
machine: Machine
result: See the developer notes
filename: sina.htm
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html
631 :名無しさん@お腹いっぱい。:2009/06/23(火) 17:03:36
632 :名無しさん@お腹いっぱい。:2009/06/23(火) 18:26:35
633 :名無しさん@お腹いっぱい。:2009/06/23(火) 18:36:09
>>626さん乙
a-squaredとMalwarebytesに提出しました
Microsoftは何通りかの圧縮を試して検体送信を試みましたが
失敗画面(成功画面と2種類あって紛らわしいので気づきにくい)にリダイレクトされてしまい受け付けてもらえませんでした
パスワードzip×パスワードzip
7zip×パスワードzip でもダメでした・・・
Microsoftへの検体提出は今回から切りますので悪しからずご了承下さい
a-squaredとMalwarebytesに提出しました
Microsoftは何通りかの圧縮を試して検体送信を試みましたが
失敗画面(成功画面と2種類あって紛らわしいので気づきにくい)にリダイレクトされてしまい受け付けてもらえませんでした
パスワードzip×パスワードzip
7zip×パスワードzip でもダメでした・・・
Microsoftへの検体提出は今回から切りますので悪しからずご了承下さい
634 :名無しさん@お腹いっぱい。:2009/06/23(火) 18:48:19
>>634
ファイル容量が大きかった為、3分割して送信を試みた結果失敗でした・・・
以前、Confickerに関する情報提供を日本のMicrosoft Securityに申し出たところ
ほとんど1日待たされた挙句、日本では受付をしていないという返答だったのを思い出します
ファイル容量が大きかった為、3分割して送信を試みた結果失敗でした・・・
以前、Confickerに関する情報提供を日本のMicrosoft Securityに申し出たところ
ほとんど1日待たされた挙句、日本では受付をしていないという返答だったのを思い出します
636 :名無しさん@お腹いっぱい。:2009/06/23(火) 19:55:58
637 :名無しさん@お腹いっぱい。:2009/06/23(火) 19:57:54
639 :名無しさん@お腹いっぱい。:2009/06/23(火) 20:50:55
>>638
ちなみに、失敗画面になっても送信成功していることがあって、受付完了メールが返ってきたこともあります>MS
>>631
>626を4分割で送りましたが、エラーは返ってきていない様子。その宛て先死んでないぽいです。
>>626
各社一通り提出完了。(提出報告のあったベンダーには送付していません)
未提出のベンダー
Symantec >630さんが送信してくれてるようですし、9ファイルごとに分割するの面倒なのでパス
Safer Networking(Spybot) > 純粋にめんどうくさ…(セキュリティソフトベンダーともちょっと違うし)
Norman,Zoner > 1ファイルづつサンドボックス送りは時間かかるのでやってらんないです
一部だけ提出のベンダー
ClamAV > 圧縮しても単独で3MBを越えるファイルは提出できないので、一部除外して送付
Rising > 2MBファイル制限があるので、単独ファイルで圧縮しても送信できないものを除いて送付
51dlq69.exe,51dlqwt69.exe関係だが、ばらした中身のファイルは提出したので問題ないかと
ちなみに、失敗画面になっても送信成功していることがあって、受付完了メールが返ってきたこともあります>MS
>>631
>626を4分割で送りましたが、エラーは返ってきていない様子。その宛て先死んでないぽいです。
>>626
各社一通り提出完了。(提出報告のあったベンダーには送付していません)
未提出のベンダー
Symantec >630さんが送信してくれてるようですし、9ファイルごとに分割するの面倒なのでパス
Safer Networking(Spybot) > 純粋にめんどうくさ…(セキュリティソフトベンダーともちょっと違うし)
Norman,Zoner > 1ファイルづつサンドボックス送りは時間かかるのでやってらんないです
一部だけ提出のベンダー
ClamAV > 圧縮しても単独で3MBを越えるファイルは提出できないので、一部除外して送付
Rising > 2MBファイル制限があるので、単独ファイルで圧縮しても送信できないものを除いて送付
51dlq69.exe,51dlqwt69.exe関係だが、ばらした中身のファイルは提出したので問題ないかと
640 :名無しさん@お腹いっぱい。:2009/06/23(火) 20:53:38
>>626
カスペ返答
09wm.js_ - Exploit.JS.Agent.ajd,
1051.htm_ - Trojan-Downloader.JS.Iframe.bhk,
223.bat_ - Trojan.BAT.Qhost.em,
index.php - Trojan.JS.Agent.aio,
video-codec.exe_ - Trojan-Downloader.Win32.FraudLoad.eua
New malicious software
cl.exe_, dlq.exe_, uc.htm_
No malicious code were found
後は既知のものだそうです。
カスペ返答
09wm.js_ - Exploit.JS.Agent.ajd,
1051.htm_ - Trojan-Downloader.JS.Iframe.bhk,
223.bat_ - Trojan.BAT.Qhost.em,
index.php - Trojan.JS.Agent.aio,
video-codec.exe_ - Trojan-Downloader.Win32.FraudLoad.eua
New malicious software
cl.exe_, dlq.exe_, uc.htm_
No malicious code were found
後は既知のものだそうです。
641 :名無しさん@お腹いっぱい。:2009/06/23(火) 20:59:03
>>640
…しまった。それ4分割のうちの1つ分でした。orz
online.scr_ - Backdoor.Win32.PcClient.argy
This file is already detected.
返答待ち、51dlq69.exe,51dlqwt69.exe の2ファイル。
内部のHook.dllは検知してるので、黒判定じゃないかなー。黒じゃなかった時だけ報告するってことで、
報告待ち状態ですが、回答をコピペせずにここへの報告をCLOSE(笑)
…しまった。それ4分割のうちの1つ分でした。orz
online.scr_ - Backdoor.Win32.PcClient.argy
This file is already detected.
返答待ち、51dlq69.exe,51dlqwt69.exe の2ファイル。
内部のHook.dllは検知してるので、黒判定じゃないかなー。黒じゃなかった時だけ報告するってことで、
報告待ち状態ですが、回答をコピペせずにここへの報告をCLOSE(笑)
642 :名無しさん@お腹いっぱい。:2009/06/23(火) 21:21:54
>>626 d 今北産業 カスペ2010 20:28 39/48 未検出分提出
(1)12cssf.comフォルダ 0/1 (残dlq.exe)
(2)51.pcikcq.cn 6/9 (残223.bat2つ、51破天登・器.exe1 計3つ) - それ以外検体名すべて:Trojan.Win32.FlyStudio.uで検出
(3)51momo.zx3k.cnフォルダ 23/26
@51momo.zx3k.cn\swfフォルダ 11/11 - swfファイルの検体名すべて:Exploit.SWF.Downloader.eh
A51momo.zx3k.cnフォルダ直下 12/15 (残09wm.js, 1051.htm, uc.htm 3つ)
Trojan-Downloader.VBS.Agent系 11.htm
Exploit.JS.Agent系 bfyy.htm, live.htm
Trojan-Downloader.JS.Agent系 flink.html, sina.htm
Trojan-Downloader.JS.Iframe系 Ilink.html, vip.htm, vop.htm, fx.htm
Exploit.JS.RealPlr系 Real11.htm, rp10.htm
Trojan-Dropper.Win32.Agent.apsz top.css
(4)adultfec.comフォルダ 3/4 (残index.php)
Exploit.Win32.Pidief.bbh adultfex.com\humourAlwaysHumour.pdf
Trojan-Downloader.Win32.Agent.cgiy adultfex.com\load.exe
Exploit.SWF.Agent.bg adultfex.com\usesHumour.swf
(5)adwwareindependence.comフォルダ 2/2
Trojan-Dropper.Win32.Agent.asuo 494.exe
not-a-virus:FraudTool.Win32.MalwareDoctor.aw mlw.exe
(6)www.shaimokale.comフォルダ 3/3
Backdoor.Win32.PcClient.argy online.scr, 張佑赫.exe、 online.zip/online.scr
(7)その他 3/4 (残fastdor.rui\video-codec.exe)
Trojan.BAT.Agent.qe an66.com\an66.exe
Trojan-Dropper.Win32.Agent.atxi eurorem2009.ru\HQAVI.exe
Trojan-Downloader.Win32.FraudLoad.wbyk fassare.ru\setup.exe
(1)12cssf.comフォルダ 0/1 (残dlq.exe)
(2)51.pcikcq.cn 6/9 (残223.bat2つ、51破天登・器.exe1 計3つ) - それ以外検体名すべて:Trojan.Win32.FlyStudio.uで検出
(3)51momo.zx3k.cnフォルダ 23/26
@51momo.zx3k.cn\swfフォルダ 11/11 - swfファイルの検体名すべて:Exploit.SWF.Downloader.eh
A51momo.zx3k.cnフォルダ直下 12/15 (残09wm.js, 1051.htm, uc.htm 3つ)
Trojan-Downloader.VBS.Agent系 11.htm
Exploit.JS.Agent系 bfyy.htm, live.htm
Trojan-Downloader.JS.Agent系 flink.html, sina.htm
Trojan-Downloader.JS.Iframe系 Ilink.html, vip.htm, vop.htm, fx.htm
Exploit.JS.RealPlr系 Real11.htm, rp10.htm
Trojan-Dropper.Win32.Agent.apsz top.css
(4)adultfec.comフォルダ 3/4 (残index.php)
Exploit.Win32.Pidief.bbh adultfex.com\humourAlwaysHumour.pdf
Trojan-Downloader.Win32.Agent.cgiy adultfex.com\load.exe
Exploit.SWF.Agent.bg adultfex.com\usesHumour.swf
(5)adwwareindependence.comフォルダ 2/2
Trojan-Dropper.Win32.Agent.asuo 494.exe
not-a-virus:FraudTool.Win32.MalwareDoctor.aw mlw.exe
(6)www.shaimokale.comフォルダ 3/3
Backdoor.Win32.PcClient.argy online.scr, 張佑赫.exe、 online.zip/online.scr
(7)その他 3/4 (残fastdor.rui\video-codec.exe)
Trojan.BAT.Agent.qe an66.com\an66.exe
Trojan-Dropper.Win32.Agent.atxi eurorem2009.ru\HQAVI.exe
Trojan-Downloader.Win32.FraudLoad.wbyk fassare.ru\setup.exe
カスペ
>>640-641
d
かぶった。orzすまぬ。
>dlq69.exe,51dlqwt69.exe の2ファイル。
Trojan.Win32.FlyStudio.uでいいんじゃね?
検出して、ファイルは削除される。
総合すると、44/48、白3、回答待ち1で51.pcikcq.cn\51dlq69の51破天登?器.exeだけが、回答なしか。再度提出してみる。
>>640-641
d
かぶった。orzすまぬ。
>dlq69.exe,51dlqwt69.exe の2ファイル。
Trojan.Win32.FlyStudio.uでいいんじゃね?
検出して、ファイルは削除される。
総合すると、44/48、白3、回答待ち1で51.pcikcq.cn\51dlq69の51破天登?器.exeだけが、回答なしか。再度提出してみる。
644 :名無しさん@お腹いっぱい。:2009/06/23(火) 22:09:41
Rising 2009 21.44.14 (21.35.14.00)
>>626
51.pcikcq.cn\51dlq69\Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlq69.exe>>Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlqwt69\Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlqwt69.exe>>Hook.dll: Trojan.Small.hxl
51momo.zx3k.cn\09wm.js: Trojan.DL.Script.JS.Agent.nx
51momo.zx3k.cn\11.htm: Trojan.DL.Script.VBS.Agent.fo
51momo.zx3k.cn\bfyy.htm: Trojan.DL.Script.JS.Agent.ng
51momo.zx3k.cn\Ilink.html: Trojan.DL.Script.VBS.Agent.fx
51momo.zx3k.cn\live.htm: Trojan.DL.Script.JS.Agent.ob
51momo.zx3k.cn\Real11.htm: Trojan.DL.Script.JS.Agent.kv
51momo.zx3k.cn\rp10.htm: Trojan.DL.Script.JS.Agent.nd
51momo.zx3k.cn\swf\f(115|16|28|45|47),f(115|16|28|45|47|64).swf: Hack.Exploit.Swf.a
51momo.zx3k.cn\top.css: Dropper.Win32.Undef.wc
51momo.zx3k.cn\vip.htm: Trojan.DL.Script.JS.Agent.od
eurorem2009.ru\HQAVI.exe: Trojan.Win32.FakeAV.nz
fassare.ru\setup.exe: Trojan.DL.Win32.Undef.exe
fastdor.ru\video-codec.exe: Trojan.Win32.FakeAV.nz
www.shaimokale.com\online.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
\www.shaimokale.com\online.zip>>online.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\張佑赫.exe: Backdoor.Win32.PcClient.uwp
30/48
>>639さん
2MBの制限はないですよ。
>>5のリンクからなら5MB
↓なら10MBまで可能です。(電話番号が必要なので送れませんが・・・)
ttp://mailcenter.rising.com.cn/uploadnew.aspx
ただ、他社と同じくエラーが多いので4MB程度が限界です。不調な時は1MB超えても失敗します。
>>626
51.pcikcq.cn\51dlq69\Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlq69.exe>>Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlqwt69\Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlqwt69.exe>>Hook.dll: Trojan.Small.hxl
51momo.zx3k.cn\09wm.js: Trojan.DL.Script.JS.Agent.nx
51momo.zx3k.cn\11.htm: Trojan.DL.Script.VBS.Agent.fo
51momo.zx3k.cn\bfyy.htm: Trojan.DL.Script.JS.Agent.ng
51momo.zx3k.cn\Ilink.html: Trojan.DL.Script.VBS.Agent.fx
51momo.zx3k.cn\live.htm: Trojan.DL.Script.JS.Agent.ob
51momo.zx3k.cn\Real11.htm: Trojan.DL.Script.JS.Agent.kv
51momo.zx3k.cn\rp10.htm: Trojan.DL.Script.JS.Agent.nd
51momo.zx3k.cn\swf\f(115|16|28|45|47),f(115|16|28|45|47|64).swf: Hack.Exploit.Swf.a
51momo.zx3k.cn\top.css: Dropper.Win32.Undef.wc
51momo.zx3k.cn\vip.htm: Trojan.DL.Script.JS.Agent.od
eurorem2009.ru\HQAVI.exe: Trojan.Win32.FakeAV.nz
fassare.ru\setup.exe: Trojan.DL.Win32.Undef.exe
fastdor.ru\video-codec.exe: Trojan.Win32.FakeAV.nz
www.shaimokale.com\online.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
\www.shaimokale.com\online.zip>>online.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\張佑赫.exe: Backdoor.Win32.PcClient.uwp
30/48
>>639さん
2MBの制限はないですよ。
>>5のリンクからなら5MB
↓なら10MBまで可能です。(電話番号が必要なので送れませんが・・・)
ttp://mailcenter.rising.com.cn/uploadnew.aspx
ただ、他社と同じくエラーが多いので4MB程度が限界です。不調な時は1MB超えても失敗します。
645 :名無しさん@お腹いっぱい。:2009/06/23(火) 22:29:26
Rising 2009 >>644の続き
>>318
codec2009.exe: Trojan.DL.Win32.Undef.ezg
6+1=7/15
>>393
SetupPack.exe>>{app}\VShield.exe: AdWare.Win32.FakeAV.do
SetupPack.exe: <Unknown virus>
8+1=9/10(scriptvirus07.htmは不是病毒との回答)
>>565
getexe.exe: Trojan.PSW.Win32.Banker.dno
loader.exe: Dropper.Win32.Undef.adc
winres.exe: Dropper.Win32.VB.faa
4+3=7/10
>>578
1199.exe: Backdoor.Win32.PcClient.uwp
play.exe>>1199.exe: Backdoor.Win32.PcClient.uwp
2/3
>>587
www.hotgome.net\www.livedoorm.com\Test.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\livedoor.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\張佑赫.exe: www.shaimokale.com\張佑赫.exe
14+3=17/29
>>595
codec.exe: Trojan.Spy.Win32.Undef.nx
4+1=5/8
>>610
codec.exe: Trojan.Spy.Win32.Undef.nx
Trojan.Spy.Win32.Undef.nx: AdWare.Win32.FakeAV.dn
pp.10.exe>>upx_c: Trojan.Spy.Win32.Undef.ny
2+3=5/8
>>318
codec2009.exe: Trojan.DL.Win32.Undef.ezg
6+1=7/15
>>393
SetupPack.exe>>{app}\VShield.exe: AdWare.Win32.FakeAV.do
SetupPack.exe: <Unknown virus>
8+1=9/10(scriptvirus07.htmは不是病毒との回答)
>>565
getexe.exe: Trojan.PSW.Win32.Banker.dno
loader.exe: Dropper.Win32.Undef.adc
winres.exe: Dropper.Win32.VB.faa
4+3=7/10
>>578
1199.exe: Backdoor.Win32.PcClient.uwp
play.exe>>1199.exe: Backdoor.Win32.PcClient.uwp
2/3
>>587
www.hotgome.net\www.livedoorm.com\Test.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\livedoor.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\張佑赫.exe: www.shaimokale.com\張佑赫.exe
14+3=17/29
>>595
codec.exe: Trojan.Spy.Win32.Undef.nx
4+1=5/8
>>610
codec.exe: Trojan.Spy.Win32.Undef.nx
Trojan.Spy.Win32.Undef.nx: AdWare.Win32.FakeAV.dn
pp.10.exe>>upx_c: Trojan.Spy.Win32.Undef.ny
2+3=5/8
646 :名無しさん@お腹いっぱい。:2009/06/23(火) 22:55:18
>>644
Risingにそのフォームから送ってるけど、5MBと書いてあるけど、実質2MB。2.3MB程度が限界ぽい。
わたしが2MBと言ってる根拠は、Risingからの返答メールの文面。2MBがLimitと書いてある。
>You can simply send this file to our anti-malware team for investigation by uploading it here.
>We have a limit of 2MB per uploaded file.
Risingにそのフォームから送ってるけど、5MBと書いてあるけど、実質2MB。2.3MB程度が限界ぽい。
わたしが2MBと言ってる根拠は、Risingからの返答メールの文面。2MBがLimitと書いてある。
>You can simply send this file to our anti-malware team for investigation by uploading it here.
>We have a limit of 2MB per uploaded file.
647 :名無しさん@お腹いっぱい。:2009/06/23(火) 23:01:39
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=406
infected
MarwareListから拾ったもの。
Wikiにある各社+α(5社程度)に(NormanとZonerを除いて)一通り提出済みです。
再提出の必要はないですが、同じようにMarwareListから拾ってる人がいるようなので、重複防止のためにUP。
うち2ファイル(18.htmとjtcqqe.php)は、VTで検出ベンダー数0なので白判定で返ってくるかも。
他は、なんかしら引っ掛かってます。
infected
MarwareListから拾ったもの。
Wikiにある各社+α(5社程度)に(NormanとZonerを除いて)一通り提出済みです。
再提出の必要はないですが、同じようにMarwareListから拾ってる人がいるようなので、重複防止のためにUP。
うち2ファイル(18.htmとjtcqqe.php)は、VTで検出ベンダー数0なので白判定で返ってくるかも。
他は、なんかしら引っ掛かってます。
648 :名無しさん@お腹いっぱい。:2009/06/23(火) 23:05:52
649 :名無しさん@お腹いっぱい。:2009/06/23(火) 23:12:45
Rising 2009
>>647
abkzfdilko.com\nkklpcghhv.txt: Trojan.DL.Win32.Mnless.dpz
www.shhdyb.cn\1.exe: Backdoor.Win32.Delf.ecy
www.shhdyb.cn\22.htm: Trojan.DL.Script.JS.Agent.lg
3/43
>>647
abkzfdilko.com\nkklpcghhv.txt: Trojan.DL.Win32.Mnless.dpz
www.shhdyb.cn\1.exe: Backdoor.Win32.Delf.ecy
www.shhdyb.cn\22.htm: Trojan.DL.Script.JS.Agent.lg
3/43
カスペからの返事
>>626(>>640-643)
44/48(事後検出含む),白4(cl.exe_, dlq.exe_, uc.htm, 51破天登?器.exe_)で閉鎖
51破天登?器.exe - No malicious code were found
>>626(>>640-643)
44/48(事後検出含む),白4(cl.exe_, dlq.exe_, uc.htm, 51破天登?器.exe_)で閉鎖
51破天登?器.exe - No malicious code were found
651 :名無しさん@お腹いっぱい。:2009/06/24(水) 00:53:04
>>647 d (tane0406)
カスペ2010 22:59
33/43
(1) abkzfdilko.comフォルダ 4/7 (スルー3…jtcqqe.php, nkklpcghhv.txt, voclzzjkg.php )
unknown threat UDS:DangerousObject.Multi.Generic - jyiifgkxhy.php、syvvw.php、udeee.php、iobpgg.php
※Kaspersky Security Network(KSN)により有害なコードと検知(シグネチャ配信前なので検体名なし)
(2)bbatzkvfha.netフォルダ 2/4 (スルー2…cuper1.php, ccsuper2.php)
Backdoor.Win32.NewRest.ao ccsuper0.php
Trojan.Win32.Buzus.bhnb ccsuper3.php
(3)sexyslutschicks.comフォルダ 0/1 (scanmyfolders.com.htmスルー)
(4)www.shhdyb.cnフォルダ 27/31 (スルー4…18.html, 21.html, gvcx.html, gxfl.html)
virus HEUR:Exploit.Script.Generic [2-9, 10, 11, 13, 14, 15, 22].htm, index.html (16)
virus HEUR:Trojan-Downloader.Script.Generic 23.htm
Backdoor.Win32.Hupigon.gweo 1.exe
Trojan program Exploit.JS.RealPlr.qk 12.htm
Trojan-Downloader.JS.Agent.dnf 16.htm
Trojan-Downloader.JS.Agent.doa 17.htm
Trojan-Downloader.JS.Agent.dnz 19.htm
Trojan program Trojan-Downloader.JS.Agent.dnf 20.htm
Trojan program Trojan-Downloader.JS.Agent.dsk gvff.htm
Trojan program Exploit.JS.Agent.afq gvbf.htm
Trojan program Trojan-Downloader.JS.Agent.dwx gv14.htm
Trojan program Trojan-Downloader.JS.Agent.dxc gv122121.htm
Trojan program Exploit.JS.Agent.aip gvgg.htm
カスペ2010 22:59
33/43
(1) abkzfdilko.comフォルダ 4/7 (スルー3…jtcqqe.php, nkklpcghhv.txt, voclzzjkg.php )
unknown threat UDS:DangerousObject.Multi.Generic - jyiifgkxhy.php、syvvw.php、udeee.php、iobpgg.php
※Kaspersky Security Network(KSN)により有害なコードと検知(シグネチャ配信前なので検体名なし)
(2)bbatzkvfha.netフォルダ 2/4 (スルー2…cuper1.php, ccsuper2.php)
Backdoor.Win32.NewRest.ao ccsuper0.php
Trojan.Win32.Buzus.bhnb ccsuper3.php
(3)sexyslutschicks.comフォルダ 0/1 (scanmyfolders.com.htmスルー)
(4)www.shhdyb.cnフォルダ 27/31 (スルー4…18.html, 21.html, gvcx.html, gxfl.html)
virus HEUR:Exploit.Script.Generic [2-9, 10, 11, 13, 14, 15, 22].htm, index.html (16)
virus HEUR:Trojan-Downloader.Script.Generic 23.htm
Backdoor.Win32.Hupigon.gweo 1.exe
Trojan program Exploit.JS.RealPlr.qk 12.htm
Trojan-Downloader.JS.Agent.dnf 16.htm
Trojan-Downloader.JS.Agent.doa 17.htm
Trojan-Downloader.JS.Agent.dnz 19.htm
Trojan program Trojan-Downloader.JS.Agent.dnf 20.htm
Trojan program Trojan-Downloader.JS.Agent.dsk gvff.htm
Trojan program Exploit.JS.Agent.afq gvbf.htm
Trojan program Trojan-Downloader.JS.Agent.dwx gv14.htm
Trojan program Trojan-Downloader.JS.Agent.dxc gv122121.htm
Trojan program Exploit.JS.Agent.aip gvgg.htm
>>610
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=407
DL virus/解凍 virus
【中身】 2個入っています。
v80k.pdf
http://www.virustotal.com/jp/analisis/577cdb7b75c198e802e50bc1371fb47b4403c1e8d450319033ae84c6c2d1d2de-1245770802 (10/39)
Worldpay_NR9772.exe
ttp://www.virustotal.com/jp/analisis/7768dc857edad2150f903b670c5af9dfae99dbf969871382676df07c08d40878-1245771940 (20/41)
MDLは取ってきてくれた人がいるので、cNoteさんの所に書いてあったヤツと、私宛にメールできたマルウェアです。
v80k.pdfは、ttp://laed■ru/exp/include/spl■php?stat=Windows%20XP|Internet%20Explorer%207.0|US|Internet%20Explorer
から落ちてきたもので、アクセスする度に少しずつ中身が変わりますが、基本、同じものです。
Worldpay_NR9772.exeはメールで来たものですが、まだ半分くらいしか検出しないので、一応。
v80k.pdfはAVIRAとKasperskyは検出しないので、提出済みです。 Worldpay_NR9772.exeはVTの通りです。
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=407
DL virus/解凍 virus
【中身】 2個入っています。
v80k.pdf
http://www.virustotal.com/jp/analisis/577cdb7b75c198e802e50bc1371fb47b4403c1e8d450319033ae84c6c2d1d2de-1245770802 (10/39)
Worldpay_NR9772.exe
ttp://www.virustotal.com/jp/analisis/7768dc857edad2150f903b670c5af9dfae99dbf969871382676df07c08d40878-1245771940 (20/41)
MDLは取ってきてくれた人がいるので、cNoteさんの所に書いてあったヤツと、私宛にメールできたマルウェアです。
v80k.pdfは、ttp://laed■ru/exp/include/spl■php?stat=Windows%20XP|Internet%20Explorer%207.0|US|Internet%20Explorer
から落ちてきたもので、アクセスする度に少しずつ中身が変わりますが、基本、同じものです。
Worldpay_NR9772.exeはメールで来たものですが、まだ半分くらいしか検出しないので、一応。
v80k.pdfはAVIRAとKasperskyは検出しないので、提出済みです。 Worldpay_NR9772.exeはVTの通りです。
653 :名無しさん@お腹いっぱい。:2009/06/24(水) 00:57:14
654 :名無しさん@お腹いっぱい。:2009/06/24(水) 01:13:20
>>652さん乙
a-squaredとMalwarebytesに提出しました
a-squaredとMalwarebytesに提出しました
655 :名無しさん@お腹いっぱい。:2009/06/24(水) 01:16:08
>>5
Risingの提出先(単体ファイルのチェックページ)追加です
ttp://mailcenter.rising.com.cn/filecheck/Default.aspx
可疑文件上?=怪しいファイルの報告
??文件上?=誤検知ファイルの報告
圧縮せずに提出、容量制限不明
>>652
↑からRisingに提出完了(Worldpay_NR9772.exeは既に提出済みだった)
検出可否は後で確認
Risingの提出先(単体ファイルのチェックページ)追加です
ttp://mailcenter.rising.com.cn/filecheck/Default.aspx
可疑文件上?=怪しいファイルの報告
??文件上?=誤検知ファイルの報告
圧縮せずに提出、容量制限不明
>>652
↑からRisingに提出完了(Worldpay_NR9772.exeは既に提出済みだった)
検出可否は後で確認
656 :名無しさん@お腹いっぱい。:2009/06/24(水) 02:06:53
657 :名無しさん@お腹いっぱい。:2009/06/24(水) 11:36:42
>>647(>>651) (tane0406)
カスペ2010 10:44
33+3=36/44
Quarantined Trojan program Trojan-Downloader.Win32.VB.ooq tane0406\bbatzkvfha.net\ccsuper1.php
Quarantined Trojan program Trojan.Win32.Rabbit.iq tane0406\abkzfdilko.com\voclzzjkg.php
Quarantined Trojan program Trojan-Downloader.Win32.Small.jwz tane0406\abkzfdilko.com\nkklpcghhv.txt
ほか追加検出なし。
提出してみようかな。
カスペ2010 10:44
33+3=36/44
Quarantined Trojan program Trojan-Downloader.Win32.VB.ooq tane0406\bbatzkvfha.net\ccsuper1.php
Quarantined Trojan program Trojan.Win32.Rabbit.iq tane0406\abkzfdilko.com\voclzzjkg.php
Quarantined Trojan program Trojan-Downloader.Win32.Small.jwz tane0406\abkzfdilko.com\nkklpcghhv.txt
ほか追加検出なし。
提出してみようかな。
カスペからの返事 (途中報告)
>>647(>>651,657)(tane0406)
33+(3-4)/32/43、白6、回答待ち5
2.htm_ - Exploit.JS.Agent.aje
3.htm_ - Exploit.JS.Agent.ajf
5.htm_, 11.htm, 10.htm_, 9.htm__ - Exploit.JS.Agent.ajg
22.htm_ - Exploit.JS.Agent.ajh
6.htm_- Exploit.JS.RealPlr.ql
7.htm_ - Exploit.JS.RealPlr.qm
New malicious software was found in this file. (全てヒューリスティックからの変換)
gvcx.htm , gvfl.htm, jyiifgkxhy.php, syvvw.php, udeee.php, iobpgg.php
No malicious code was found in this file. (KSN検知も白判定)
>>652d(tane0407)
1+事後検出1=2/2でFA
v80k.pdf - Exploit.Win32.Pidief.bbuPidief.bbu
New malicious software was found in this file.
>>647(>>651,657)(tane0406)
33+(3-4)/32/43、白6、回答待ち5
2.htm_ - Exploit.JS.Agent.aje
3.htm_ - Exploit.JS.Agent.ajf
5.htm_, 11.htm, 10.htm_, 9.htm__ - Exploit.JS.Agent.ajg
22.htm_ - Exploit.JS.Agent.ajh
6.htm_- Exploit.JS.RealPlr.ql
7.htm_ - Exploit.JS.RealPlr.qm
New malicious software was found in this file. (全てヒューリスティックからの変換)
gvcx.htm , gvfl.htm, jyiifgkxhy.php, syvvw.php, udeee.php, iobpgg.php
No malicious code was found in this file. (KSN検知も白判定)
>>652d(tane0407)
1+事後検出1=2/2でFA
v80k.pdf - Exploit.Win32.Pidief.bbuPidief.bbu
New malicious software was found in this file.
カスペからの返事 (途中報告)
>>647(>>651,657,658)(tane0406)
33+(3-4)=32/43、白7、回答待ち4
tane0406\abkzfdilko.com\jtcqqe.php
No malicious code was found in this file.
>>647(>>651,657,658)(tane0406)
33+(3-4)=32/43、白7、回答待ち4
tane0406\abkzfdilko.com\jtcqqe.php
No malicious code was found in this file.
660 :名無しさん@お腹いっぱい。:2009/06/24(水) 21:31:30
Rising 2009 21.44.23 (21.35.23.00)
>>26
20090411\u2.exe>>upx_c: Trojan.DL.Win32.Delf.ztg
>>183
b\malay.exe: Trojan.Win32.BHO.fpu
2+1=3/12
>>246
file.exe: Packer.Win32.Agent.au
5+1=6/9
>>626
adwareindependence.com\f494.exe: Trojan.DL.Win32.Mnless.dyy
30+1=31/48
>>647
abkzfdilko.com\voclzzjkg.php: Trojan.DL.Win32.Undef.fao
3+1=4/43
>>652
v80k.pdf: Hack.Exploit.Win32.PDFCode.a
1/2
>>26
20090411\u2.exe>>upx_c: Trojan.DL.Win32.Delf.ztg
>>183
b\malay.exe: Trojan.Win32.BHO.fpu
2+1=3/12
>>246
file.exe: Packer.Win32.Agent.au
5+1=6/9
>>626
adwareindependence.com\f494.exe: Trojan.DL.Win32.Mnless.dyy
30+1=31/48
>>647
abkzfdilko.com\voclzzjkg.php: Trojan.DL.Win32.Undef.fao
3+1=4/43
>>652
v80k.pdf: Hack.Exploit.Win32.PDFCode.a
1/2
662 :名無しさん@お腹いっぱい。:2009/06/24(水) 22:25:21
提出者としては、検体がコンスタントに少量ずつ来るといいな。
多いとイヤになる。
多いとイヤになる。
663 :名無しさん@お腹いっぱい。:2009/06/24(水) 23:11:53
664 :名無しさん@お腹いっぱい。:2009/06/25(木) 00:55:03
カスペからの返事
>>647(>>651,657,658,659)(tane0406)
8.htm_ - Trojan-Downloader.JS.Agent.efd (←HEUR:Exploit.Script.Generic)
>>565(>>566,602,609) tane0394
5+事後検出4=9/10、回答待ち1(winres.exe)
sitesS.swf - Exploit.SWF.Agent.bh
New malicious software was found in this file
>>647(>>651,657,658,659)(tane0406)
8.htm_ - Trojan-Downloader.JS.Agent.efd (←HEUR:Exploit.Script.Generic)
>>565(>>566,602,609) tane0394
5+事後検出4=9/10、回答待ち1(winres.exe)
sitesS.swf - Exploit.SWF.Agent.bh
New malicious software was found in this file
665 :名無しさん@お腹いっぱい。:2009/06/25(木) 13:21:38
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=409
infected
408は今月初めに提出済みのものを混ぜちゃってたので、削除しました。これが再UP分。
= 検体入手元 =
ほぼ日替わりのscr(www■miwcmac■com/www■shaimokale■com)
tt■ff88567■cn/down/[exe多数]
tj■114anhui■com/down/qqma■exe
tj■114anhui■com/down/qqmo■exe
>652の基本同じ物なpdf一杯。(全検出するか一部すり抜けるかのチェックにどうぞ)
infected
408は今月初めに提出済みのものを混ぜちゃってたので、削除しました。これが再UP分。
= 検体入手元 =
ほぼ日替わりのscr(www■miwcmac■com/www■shaimokale■com)
tt■ff88567■cn/down/[exe多数]
tj■114anhui■com/down/qqma■exe
tj■114anhui■com/down/qqmo■exe
>652の基本同じ物なpdf一杯。(全検出するか一部すり抜けるかのチェックにどうぞ)
666 :名無しさん@お腹いっぱい。:2009/06/25(木) 13:26:43
qqma■exe が2箇所に入ってますが、同じバイナリでした。チェック甘くてすいません。orz
667 :名無しさん@お腹いっぱい。:2009/06/25(木) 13:40:12
>>665さん乙
Symantecとa-squaredとMalwarebytesに提出しました
Symantecとa-squaredとMalwarebytesに提出しました
668 :名無しさん@お腹いっぱい。:2009/06/25(木) 18:25:10
>>665
PandaとGDATA2009(=avast!&BitDefender)へ提出完了
PandaとGDATA2009(=avast!&BitDefender)へ提出完了
669 :名無しさん@お腹いっぱい。:2009/06/25(木) 19:33:25
>>665 d (tane0409)
カスペ2010 18:34:00
30/101 (pdfファイルは全スルーorz。それ以外は全検出。) 検体提出します。
(1) pdfフォルダ 0/71
(2) tj.114anhui.com フォルダ 2/2
Trojan-GameThief.Win32.OnLineGames.bkzf qqma.exe
Trojan.Win32.Pakes.nkm qqmo.exe
(3) tt.ff88567.cnフォルダ 23/23
Trojan.Win32.KillAV.dfg 130.exe
Trojan-GameThief.Win32.Magania.biht cp9m.exe cqwd9m.exe jxsj9m.exe dj9m.exe mu9m.exe
Trojan-GameThief.Win32.Magania.biht qq3g9m1.exe tl9m.exe wd9m.exe zzh9m.exe zt9m.exe zx9m.exe
Trojan-GameThief.Win32.Magania.bfdq cqsj9m.exe wl9m.exe
Trojan-GameThief.Win32.Magania.biop dnf9m.exe
Trojan-GameThief.Win32.Magania.biiu mhxu9m.exe
Trojan-GameThief.Win32.Magania.biis qq3g9m.exe
Trojan-PSW.Win32.LdPinch.agqe qqhx9m.exe
Trojan-GameThief.Win32.OnLineGames.bkzf qqma.exe
Trojan.Win32.Agent.cnac qqxx.exe
Trojan-Dropper.Win32.Agent.aqpn server.exe
Trojan-GameThief.Win32.OnLineGames.bmgl sg9m.exe
Trojan-GameThief.Win32.Magania.batm tx29m.exe
(4) www.miwcmac.comフォルダ 2/2
Backdoor.Win32.PcClient.arjg 1199.exe mpg.scr/1199.exe
(5) www.shaimokale.comフォルダ 3/3
Backdoor.Win32.PcClient.arit online.scr/処モモコユ.exe, 張佑赫.exe online.zip\online.scr
カスペ2010 18:34:00
30/101 (pdfファイルは全スルーorz。それ以外は全検出。) 検体提出します。
(1) pdfフォルダ 0/71
(2) tj.114anhui.com フォルダ 2/2
Trojan-GameThief.Win32.OnLineGames.bkzf qqma.exe
Trojan.Win32.Pakes.nkm qqmo.exe
(3) tt.ff88567.cnフォルダ 23/23
Trojan.Win32.KillAV.dfg 130.exe
Trojan-GameThief.Win32.Magania.biht cp9m.exe cqwd9m.exe jxsj9m.exe dj9m.exe mu9m.exe
Trojan-GameThief.Win32.Magania.biht qq3g9m1.exe tl9m.exe wd9m.exe zzh9m.exe zt9m.exe zx9m.exe
Trojan-GameThief.Win32.Magania.bfdq cqsj9m.exe wl9m.exe
Trojan-GameThief.Win32.Magania.biop dnf9m.exe
Trojan-GameThief.Win32.Magania.biiu mhxu9m.exe
Trojan-GameThief.Win32.Magania.biis qq3g9m.exe
Trojan-PSW.Win32.LdPinch.agqe qqhx9m.exe
Trojan-GameThief.Win32.OnLineGames.bkzf qqma.exe
Trojan.Win32.Agent.cnac qqxx.exe
Trojan-Dropper.Win32.Agent.aqpn server.exe
Trojan-GameThief.Win32.OnLineGames.bmgl sg9m.exe
Trojan-GameThief.Win32.Magania.batm tx29m.exe
(4) www.miwcmac.comフォルダ 2/2
Backdoor.Win32.PcClient.arjg 1199.exe mpg.scr/1199.exe
(5) www.shaimokale.comフォルダ 3/3
Backdoor.Win32.PcClient.arit online.scr/処モモコユ.exe, 張佑赫.exe online.zip\online.scr
670 :名無しさん@お腹いっぱい。:2009/06/25(木) 20:39:07
カスペ2010 検出ベース 18:34
>>647(>>651,657,658,659,664)(tane0406)
Exploit.JS.Agent.ajg 11.htm 13.htm 14.htm 15.htm (←HEUR:Exploit.Script.Generic)
回答待ち4 : 18.htm, 21.htm, ccsuper2.php, scanmyfolders.com.htm
>>647(>>651,657,658,659,664)(tane0406)
Exploit.JS.Agent.ajg 11.htm 13.htm 14.htm 15.htm (←HEUR:Exploit.Script.Generic)
回答待ち4 : 18.htm, 21.htm, ccsuper2.php, scanmyfolders.com.htm
671 :名無しさん@お腹いっぱい。:2009/06/25(木) 21:01:54
>>665
94/101
McAfee (Active Protection 無効)94/101
online.zip(online.rar)は提出見送り。
張佑赫はpassword-protectedの様?なので提出見送り。
未検出分をMcAfeeに提出させて頂きました(4file提出)
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
online.scr |new detection |generic backdoor!d |Trojan |yes
qqma.exe |inconclusive | | |no
1199.exe |new detection |backdoor-ckb.gen.v |Trojan |yes
mpg.scr |new detection |generic backdoor!d |Trojan |yes
94/101
McAfee (Active Protection 無効)94/101
online.zip(online.rar)は提出見送り。
張佑赫はpassword-protectedの様?なので提出見送り。
未検出分をMcAfeeに提出させて頂きました(4file提出)
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
online.scr |new detection |generic backdoor!d |Trojan |yes
qqma.exe |inconclusive | | |no
1199.exe |new detection |backdoor-ckb.gen.v |Trojan |yes
mpg.scr |new detection |generic backdoor!d |Trojan |yes
672 :名無しさん@お腹いっぱい。:2009/06/25(木) 22:10:33
張佑赫
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xxxcxq.exe |new detection |backdoor-ckb.gen.v |Trojan |yes
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xxxcxq.exe |new detection |backdoor-ckb.gen.v |Trojan |yes
673 :名無しさん@お腹いっぱい。:2009/06/25(木) 23:51:21
日本語でおk
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=410
DL virus/解凍 virus
【中身】 1個だけです。
mscorewr.dll
ttp://www.virustotal.com/jp/analisis/361c2f902fb85cd709328289d5dda530f529bff7213666e1c8d5e6088f3b148d-1245941124 (13/41)
>565に入っているgetexe.exeを実行した時に、system32フォルダ内に生成されるファイルです。
getexeexeは何かというと、mias.twから落ちてきたファイルです。
つまり、今話題?(本当に話題なのかどうかはわかりませんが...)のnine ballの感染ファイル本体です。
ただし、nine ballの感染ファイル本体がこれ1種類かどうかはわかりません。
あくまで、getexe.exeが実行された場合に生成されるのがこれ、というだけです。
また、mias.twが消滅している現在、これがどの程度重要かはわかりません。
ま、検出できる=感染しているかどうかの判断はできそうだ、程度に考えておけば良いという気がします。
AVIRAは検出します。 Kasperskyは検出しないので提出しました。
DL virus/解凍 virus
【中身】 1個だけです。
mscorewr.dll
ttp://www.virustotal.com/jp/analisis/361c2f902fb85cd709328289d5dda530f529bff7213666e1c8d5e6088f3b148d-1245941124 (13/41)
>565に入っているgetexe.exeを実行した時に、system32フォルダ内に生成されるファイルです。
getexeexeは何かというと、mias.twから落ちてきたファイルです。
つまり、今話題?(本当に話題なのかどうかはわかりませんが...)のnine ballの感染ファイル本体です。
ただし、nine ballの感染ファイル本体がこれ1種類かどうかはわかりません。
あくまで、getexe.exeが実行された場合に生成されるのがこれ、というだけです。
また、mias.twが消滅している現在、これがどの程度重要かはわかりません。
ま、検出できる=感染しているかどうかの判断はできそうだ、程度に考えておけば良いという気がします。
AVIRAは検出します。 Kasperskyは検出しないので提出しました。
675 :名無しさん@お腹いっぱい。:2009/06/26(金) 00:26:00
>>674
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
mscorewr.dll |inconclusive | | |no
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
mscorewr.dll |inconclusive | | |no
Rising 2009 21.44.34 (21.35.34.00)
>>26
20090516\martuz1.pdf: Hack.Exploit.Win32.Agent.bm
>>318
softwarefortubeview.42002.exe: Trojan.DL.Win32.Undef.fby
3.exe: Trojan.DL.Win32.Undef.fbx
7+2=9/15
>>647
bbatzkvfha.net\ccsuper3.php: Trojan.Spy.Win32.Delf.dpx
4+1=5/43
>>674
mscorewr.dll: Trojan.PSW.Win32.Banker.dnn
>>26
20090516\martuz1.pdf: Hack.Exploit.Win32.Agent.bm
>>318
softwarefortubeview.42002.exe: Trojan.DL.Win32.Undef.fby
3.exe: Trojan.DL.Win32.Undef.fbx
7+2=9/15
>>647
bbatzkvfha.net\ccsuper3.php: Trojan.Spy.Win32.Delf.dpx
4+1=5/43
>>674
mscorewr.dll: Trojan.PSW.Win32.Banker.dnn
677 :名無しさん@お腹いっぱい。:2009/06/26(金) 00:51:33
>>665さん乙
SymantecとMalwarebytesに提出しました
SymantecとMalwarebytesに提出しました
>>674
Kaspersky返答。
mscorewr.dll - Trojan-Banker.Win32.Banker.ajyv
New malicious software was found in the attached file.
Kaspersky返答。
mscorewr.dll - Trojan-Banker.Win32.Banker.ajyv
New malicious software was found in the attached file.
>>665
avira9 7.01.04.138
PDF - 0/71 (1個も検出しない)
tj.114anhui.com - 1/2 ,未検出 qqma.exe
tt.ff88567.cn - 22/23,未検出 qqma.exe
www.miwcmac.com - 2/2
www.shaimokale.com - 3/3
qqma.exeは、Webで提出すると MALWARE判定済み(TR/Drop.RQU.84)で、 VDF 7.01.02.104で対応済みと出るが、
実際には検出しない。VTでは
ttp://www.virustotal.com/jp/analisis/778ee79901fd61d50a49517b5eca7fe4b2691f015a4283dd4c04c257032aaa52-1245947476 (12/40)
と対応済みなので、とりあえず様子見。(こういう場合、時間をおかずにVDFのアップデートで検出できるようになることが多いため)
PDFは中身がほとんど同じなので、今日は1個だけ出して様子見。Genファイル作れれば良し、作れなければ明日全部送付。
avira9 7.01.04.138
PDF - 0/71 (1個も検出しない)
tj.114anhui.com - 1/2 ,未検出 qqma.exe
tt.ff88567.cn - 22/23,未検出 qqma.exe
www.miwcmac.com - 2/2
www.shaimokale.com - 3/3
qqma.exeは、Webで提出すると MALWARE判定済み(TR/Drop.RQU.84)で、 VDF 7.01.02.104で対応済みと出るが、
実際には検出しない。VTでは
ttp://www.virustotal.com/jp/analisis/778ee79901fd61d50a49517b5eca7fe4b2691f015a4283dd4c04c257032aaa52-1245947476 (12/40)
と対応済みなので、とりあえず様子見。(こういう場合、時間をおかずにVDFのアップデートで検出できるようになることが多いため)
PDFは中身がほとんど同じなので、今日は1個だけ出して様子見。Genファイル作れれば良し、作れなければ明日全部送付。
680 :名無しさん@お腹いっぱい。:2009/06/26(金) 14:04:31
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=411
infected
検体入手元(spamメールに含まれていたもの)
p://83■212■16■22/icons/doc-47473-4378914-34-JPG■exe
p://istitutomicoterapico■it/ecard■exe
ecard■exe(14/41)
http://www.virustotal.com/analisis/2b27e47c7f8d2195d5473d400a1e4ccec79049c6d84203e27003e5e2daaa95b7-1245985969
doc-47473-4378914-34-JPG■exe(19/41)
http://www.virustotal.com/analisis/43ed0f319ff0b8bd29f5592a7e218e97e2bf1b75c7e0c44ab7dd8bb4d977de2b-1245988758
AviraとAntinyLabsにはftp経由で提出済み。後はまだ送ってません。
infected
検体入手元(spamメールに含まれていたもの)
p://83■212■16■22/icons/doc-47473-4378914-34-JPG■exe
p://istitutomicoterapico■it/ecard■exe
ecard■exe(14/41)
http://www.virustotal.com/analisis/2b27e47c7f8d2195d5473d400a1e4ccec79049c6d84203e27003e5e2daaa95b7-1245985969
doc-47473-4378914-34-JPG■exe(19/41)
http://www.virustotal.com/analisis/43ed0f319ff0b8bd29f5592a7e218e97e2bf1b75c7e0c44ab7dd8bb4d977de2b-1245988758
AviraとAntinyLabsにはftp経由で提出済み。後はまだ送ってません。
681 :名無しさん@お腹いっぱい。:2009/06/26(金) 14:21:51
おっと、検知数書くの忘れてた。
AntiVir9Free(1/2)
ecard■exeをスルー
bitDefender10Free(1/2)
ecard■exeをスルー
A-Squared(2/2)
AntiVir9Free(1/2)
ecard■exeをスルー
bitDefender10Free(1/2)
ecard■exeをスルー
A-Squared(2/2)
682 :名無しさん@お腹いっぱい。:2009/06/26(金) 14:35:49
>>674 , >>680
いずれも、Wikiのまとめにある各社+αまで全部提出完了。
今回は少なかったので、1個づつ提出するNormanなどにも提出。
A-Squaredは手元のFreeで全検出確認できたので提出せず。
他も全検出するベンダーあるだろうけどチェックしてられないので、そのまま提出しました。
いずれも、Wikiのまとめにある各社+αまで全部提出完了。
今回は少なかったので、1個づつ提出するNormanなどにも提出。
A-Squaredは手元のFreeで全検出確認できたので提出せず。
他も全検出するベンダーあるだろうけどチェックしてられないので、そのまま提出しました。
683 :名無しさん@お腹いっぱい。:2009/06/26(金) 19:00:55
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=412
infected
先日の、qqmo■exeを落としてくるスクリプト類+1個
=== 検体入手元 ===
p://52cps■com/goto/(なんたら)
p://txt■114central■com/goto/qqmo■exe
p://avpro-labs■com/vir-remover-pro■exe
nProtectだけが検知するとか、珍しいものも入ってます…殆どのとこは白判定になりそうなファイルですが(苦笑)
AviraとAntinyLabsにはftp経由で提出済み。
infected
先日の、qqmo■exeを落としてくるスクリプト類+1個
=== 検体入手元 ===
p://52cps■com/goto/(なんたら)
p://txt■114central■com/goto/qqmo■exe
p://avpro-labs■com/vir-remover-pro■exe
nProtectだけが検知するとか、珍しいものも入ってます…殆どのとこは白判定になりそうなファイルですが(苦笑)
AviraとAntinyLabsにはftp経由で提出済み。
>>680
AVIRA9 7.01.04.141
ecard.exe - TR/Spy.ZBot.xgh
doc-47473-4378914-34-JPG.exe - TR/Dldr.Delphi.Gen
黒2,検出可。
Kaspersky 2009/06/26 19:38:00
ecard.exe - Trojan-Spy.Win32.Zbot.xgh
doc-47473-4378914-34-JPG.exe -
黒1,未検出1。 未検出分 提出済。
>679は、予想通り 7.01.04.141でqqma.exeを検出可になってました。
AVIRA9 7.01.04.141
ecard.exe - TR/Spy.ZBot.xgh
doc-47473-4378914-34-JPG.exe - TR/Dldr.Delphi.Gen
黒2,検出可。
Kaspersky 2009/06/26 19:38:00
ecard.exe - Trojan-Spy.Win32.Zbot.xgh
doc-47473-4378914-34-JPG.exe -
黒1,未検出1。 未検出分 提出済。
>679は、予想通り 7.01.04.141でqqma.exeを検出可になってました。
685 :名無しさん@お腹いっぱい。:2009/06/26(金) 20:18:43
カスペ2010 18:21
>>680 d tane0411 1/2
>>684 代理提出 d
Deleted Trojan program Trojan-Spy.Win32.Zbot.xgh tane0411\ecard.exe
>>683 d tane0412 3/23 検体提出します。(様子見ながら)
Deleted virus not-a-virus:FraudTool.Win32.VirusRemover.cg tane0412\avpro-labs.com\vir-remover-pro.exe
Deleted Trojan program Trojan-GameThief.Win32.OnLineGames.bkzf tane0412\txt.114central.com\qqmo.exe
Deleted Trojan program Trojan-Downloader.JS.Agent.ebt tane0412\52cps.com\yt14.htm
カスペからの返事
>>647(>>651,657,658,659,664,670) (tane0406)
tane0406\bbatzkvfha.net\ccsuper2.php - Trojan.Win32.Agent2.cgbi
提出数多いせいか、回答が滞り気味だ。優先順位が下げられているかな
>>665のPDFファイルが未だ0/71なのが気になる。
>>680 d tane0411 1/2
>>684 代理提出 d
Deleted Trojan program Trojan-Spy.Win32.Zbot.xgh tane0411\ecard.exe
>>683 d tane0412 3/23 検体提出します。(様子見ながら)
Deleted virus not-a-virus:FraudTool.Win32.VirusRemover.cg tane0412\avpro-labs.com\vir-remover-pro.exe
Deleted Trojan program Trojan-GameThief.Win32.OnLineGames.bkzf tane0412\txt.114central.com\qqmo.exe
Deleted Trojan program Trojan-Downloader.JS.Agent.ebt tane0412\52cps.com\yt14.htm
カスペからの返事
>>647(>>651,657,658,659,664,670) (tane0406)
tane0406\bbatzkvfha.net\ccsuper2.php - Trojan.Win32.Agent2.cgbi
提出数多いせいか、回答が滞り気味だ。優先順位が下げられているかな
>>665のPDFファイルが未だ0/71なのが気になる。
686 :名無しさん@お腹いっぱい。:2009/06/26(金) 20:23:06
>>684
Wikiにまとめられている提出先に一通り提出完了。(NormanとZonerを除く)
Wikiにまとめられている提出先に一通り提出完了。(NormanとZonerを除く)
687 :名無しさん@お腹いっぱい。:2009/06/26(金) 20:39:10
>>674,>>683
McAfee自動返答(mscorewr.dll は>675と変化無し)
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
doc-47473-4378914-34|new detection |pws-banker!do |Trojan |yes
ecard.exe |new detection |generic pws.y!cy |Trojan |yes
mscorewr.dll |inconclusive | | |no
McAfee自動返答(mscorewr.dll は>675と変化無し)
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
doc-47473-4378914-34|new detection |pws-banker!do |Trojan |yes
ecard.exe |new detection |generic pws.y!cy |Trojan |yes
mscorewr.dll |inconclusive | | |no
688 :名無しさん@お腹いっぱい。:2009/06/26(金) 20:47:23
>>683
Symantec自動返答
■ 既知分 ■
filename: js.js
result: This file is detected as IFrame.Exploit. http://www.symantec.com/avcenter/venc/data/iframe.exploit.html
filename: vir-remover-pro.exe
result: This file is detected as VirusRemover2008.
filename: qqmo.exe
result: This file is detected as Trojan.KillAV. http://www.symantec.com/avcenter/venc/data/trojan.killav.html
filename: ytvod.htm
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
■ 手動解析行き ■
filename: 092.js , 1111111111.swf , 15.js , 091.js , bff1.js , 2222222222.swf ,
16.js , yt122121.htm , Turl.js , real1.js , ytff.htm , real.js , mm.htm ,
ytbb.htm , yt14.htm , ytfl.htm, ytxxz.htm
result: See the developer notes
■ 白判定 ■
filename: 14.js
filename: bff.js
filename: msg-4040-3.txt
filename: msg-3828-1.txt
result: This file is clean
txtなんて入れた記憶無いけど、9ファイルのアーカイブがエラーで弾かれてきたので
jsだかhtmだかの内部から抽出したのかもしれない。
>>686
アンカー間違い。提出完了したのは>683です。
Symantec自動返答
■ 既知分 ■
filename: js.js
result: This file is detected as IFrame.Exploit. http://www.symantec.com/avcenter/venc/data/iframe.exploit.html
filename: vir-remover-pro.exe
result: This file is detected as VirusRemover2008.
filename: qqmo.exe
result: This file is detected as Trojan.KillAV. http://www.symantec.com/avcenter/venc/data/trojan.killav.html
filename: ytvod.htm
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html
■ 手動解析行き ■
filename: 092.js , 1111111111.swf , 15.js , 091.js , bff1.js , 2222222222.swf ,
16.js , yt122121.htm , Turl.js , real1.js , ytff.htm , real.js , mm.htm ,
ytbb.htm , yt14.htm , ytfl.htm, ytxxz.htm
result: See the developer notes
■ 白判定 ■
filename: 14.js
filename: bff.js
filename: msg-4040-3.txt
filename: msg-3828-1.txt
result: This file is clean
txtなんて入れた記憶無いけど、9ファイルのアーカイブがエラーで弾かれてきたので
jsだかhtmだかの内部から抽出したのかもしれない。
>>686
アンカー間違い。提出完了したのは>683です。
>>665 (>>685) tane0409
カスペからの返事
71個のPDFファイルについて一括送信したものについて返事
Hello,
its Exploit.Win32.Pidief
detection will be added soon
ths
Exploit.Win32.Pidief。シグネチャは後で追加する予定。thsはthanks.
カスペからの返事
71個のPDFファイルについて一括送信したものについて返事
Hello,
its Exploit.Win32.Pidief
detection will be added soon
ths
Exploit.Win32.Pidief。シグネチャは後で追加する予定。thsはthanks.
>>684
Kaspersky返答。
doc-47473-4378914-34-JPG.exe_ - Trojan-Downloader.Win32.Banload.afwt
New malicious software was found in this file.
黒1+事後 黒1=黒2/2
Kaspersky返答。
doc-47473-4378914-34-JPG.exe_ - Trojan-Downloader.Win32.Banload.afwt
New malicious software was found in this file.
黒1+事後 黒1=黒2/2
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=413
DL virus/解凍 virus
【中身】 10個入っています。
6.pdf
ttp://www.virustotal.com/jp/analisis/0ce86e1f37aa5fd6651a2d40bf9b3c3d9dce6859a4fabf0e72fdff2de42a1f1d-1246018178 (15/41)
adware_crypt.exe
ttp://www.virustotal.com/jp/analisis/0a08059aeaa955de3f5d08546f28c83db855d761082c4205811819195e185b04-1245636154 (8/41)
ecard.exe
ttp://www.virustotal.com/jp/analisis/7d168c70d66f83b9876c31227af4e595b5d40ea03df6a624f8669c2cddb9661f-1246022244 (18/41)
Exp_flash.swf
ttp://www.virustotal.com/jp/analisis/c6adc0ae79fcb58b71a49b3af07864b4f615cb47e815a3fea7cb2104f32df210-1246018423 (9/40)
FlashCodec.4.10.exe
ttp://www.virustotal.com/jp/analisis/d486d9fad45fd133a9469c1f0a6a85b9072678beb1541794788a1b7a6238bd7c-1246017515 (13/41)
load.exe
ttp://www.virustotal.com/jp/analisis/935ea345bad633f93502761f3a6075bbaad27c77d0dcb167d7932c271da0eaf1-1246017722 (17/41)
load2.exe
ttp://www.virustotal.com/jp/analisis/2cc7714f5b1d89fd90aa73df48f1770f1e7222553fe1955542ca82194f114d18-1246017951 (15/41)
load3.exe
ttp://www.virustotal.com/jp/analisis/49ff4a1c36f655b6fea8a5314a6c42dd30077ec2cda72b682bf03be7c1357b9e-1246019205 (26/41)
load4.exe
ttp://www.virustotal.com/jp/analisis/bc2edc343953bab795260afb34b971f3ad96c1603128067bac556e96d4332b91-1246019432 (9/41)
streamviewer.45030.exe
ttp://www.virustotal.com/jp/analisis/947ea618d3e598202b3638bb505383ede14be000e777ac9ece26cc40dc21b295-1246021768 (14/41)
ecard.exeは、>680さんと別のものです。 色々な種類がSPAMで出回っているみたいですね...
DL virus/解凍 virus
【中身】 10個入っています。
6.pdf
ttp://www.virustotal.com/jp/analisis/0ce86e1f37aa5fd6651a2d40bf9b3c3d9dce6859a4fabf0e72fdff2de42a1f1d-1246018178 (15/41)
adware_crypt.exe
ttp://www.virustotal.com/jp/analisis/0a08059aeaa955de3f5d08546f28c83db855d761082c4205811819195e185b04-1245636154 (8/41)
ecard.exe
ttp://www.virustotal.com/jp/analisis/7d168c70d66f83b9876c31227af4e595b5d40ea03df6a624f8669c2cddb9661f-1246022244 (18/41)
Exp_flash.swf
ttp://www.virustotal.com/jp/analisis/c6adc0ae79fcb58b71a49b3af07864b4f615cb47e815a3fea7cb2104f32df210-1246018423 (9/40)
FlashCodec.4.10.exe
ttp://www.virustotal.com/jp/analisis/d486d9fad45fd133a9469c1f0a6a85b9072678beb1541794788a1b7a6238bd7c-1246017515 (13/41)
load.exe
ttp://www.virustotal.com/jp/analisis/935ea345bad633f93502761f3a6075bbaad27c77d0dcb167d7932c271da0eaf1-1246017722 (17/41)
load2.exe
ttp://www.virustotal.com/jp/analisis/2cc7714f5b1d89fd90aa73df48f1770f1e7222553fe1955542ca82194f114d18-1246017951 (15/41)
load3.exe
ttp://www.virustotal.com/jp/analisis/49ff4a1c36f655b6fea8a5314a6c42dd30077ec2cda72b682bf03be7c1357b9e-1246019205 (26/41)
load4.exe
ttp://www.virustotal.com/jp/analisis/bc2edc343953bab795260afb34b971f3ad96c1603128067bac556e96d4332b91-1246019432 (9/41)
streamviewer.45030.exe
ttp://www.virustotal.com/jp/analisis/947ea618d3e598202b3638bb505383ede14be000e777ac9ece26cc40dc21b295-1246021768 (14/41)
ecard.exeは、>680さんと別のものです。 色々な種類がSPAMで出回っているみたいですね...
>>691
AVIRA9 7.01.04.141
6.pdf - (EXP.Pidief.xgh) next update
adware_crypt.exe - TR/Agent.cmyl
File name - TR/Spy.ZBot.xgj
Exp_flash.swf - (UNDER ANALYSIS)
FlashCodec.4.10.exe - TR/Dldr.LoadAdv.Ace.8
load.exe - WORM/Autorun.aqmk
load2.exe - TR/Crypt.XPACK.Gen
load3.exe - TR/Spy.ZBot.xak
load4.exe - TR/Crypt.XPACK.Gen
streamviewer.45030.exe - TR/FraudPack.oyx.4
黒8,未検出2。未検出は、黒確定1+解析中1
Kaspersky 2009/06/26 19:38:00
6.pdf - Exploit.Win32.Pidief.bca
adware_crypt.exe - Trojan.Win32.Agent.cmyl
ecard.exe - Trojan-Spy.Win32.Zbot.xgj
Exp_flash.swf - Exploit.SWF.Agent.au
FlashCodec.4.10.exe - HEUR:Trojan-Downloader.Win32.Generic
load.exe - Worm.Win32.AutoRun.aqmk
load2.exe - Trojan-Dropper.Win32.Agent.auqf
load3.exe - Trojan-Spy.Win32.Zbot.xak
load4.exe -
streamviewer.45030.exe - Trojan.Win32.FraudPack.oyx
黒8,HEUR 1,未検出1。HEURと未検出は提出済
AVIRA9 7.01.04.141
6.pdf - (EXP.Pidief.xgh) next update
adware_crypt.exe - TR/Agent.cmyl
File name - TR/Spy.ZBot.xgj
Exp_flash.swf - (UNDER ANALYSIS)
FlashCodec.4.10.exe - TR/Dldr.LoadAdv.Ace.8
load.exe - WORM/Autorun.aqmk
load2.exe - TR/Crypt.XPACK.Gen
load3.exe - TR/Spy.ZBot.xak
load4.exe - TR/Crypt.XPACK.Gen
streamviewer.45030.exe - TR/FraudPack.oyx.4
黒8,未検出2。未検出は、黒確定1+解析中1
Kaspersky 2009/06/26 19:38:00
6.pdf - Exploit.Win32.Pidief.bca
adware_crypt.exe - Trojan.Win32.Agent.cmyl
ecard.exe - Trojan-Spy.Win32.Zbot.xgj
Exp_flash.swf - Exploit.SWF.Agent.au
FlashCodec.4.10.exe - HEUR:Trojan-Downloader.Win32.Generic
load.exe - Worm.Win32.AutoRun.aqmk
load2.exe - Trojan-Dropper.Win32.Agent.auqf
load3.exe - Trojan-Spy.Win32.Zbot.xak
load4.exe -
streamviewer.45030.exe - Trojan.Win32.FraudPack.oyx
黒8,HEUR 1,未検出1。HEURと未検出は提出済
>>683 (>>685) tane0412
カスペからの返事(途中報告)
3/23, 白5, 回答待ち7
real.js, real1.js yt122121.htm ytff.htm ytfl.htm - No malicious code was found in this file.
※提出を見送っているもの 8 (2222222222.swf 14.js 15.js 091.js bff1.js mm.htm Turl.js ytxxz.html)
>>690-692 d
カスペからの返事(途中報告)
3/23, 白5, 回答待ち7
real.js, real1.js yt122121.htm ytff.htm ytfl.htm - No malicious code was found in this file.
※提出を見送っているもの 8 (2222222222.swf 14.js 15.js 091.js bff1.js mm.htm Turl.js ytxxz.html)
>>690-692 d
694 :名無しさん@お腹いっぱい。:2009/06/27(土) 02:28:58
>>691
SymantecとPandaとGDATA2009(=avast!&BitDefender)へ提出完了
Symantecから自動返答(解析中)
filename: load4.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
SymantecとPandaとGDATA2009(=avast!&BitDefender)へ提出完了
Symantecから自動返答(解析中)
filename: load4.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
695 :名無しさん@お腹いっぱい。:2009/06/27(土) 02:59:11
Rising 2009 21.44.44 (21.35.44.00)
>>680
スルー
>>683
52cps.com\real.js: Hack.Exploit.Script.JS.Agent.iy
52cps.com\real1.js: Hack.Exploit.Script.JS.Agent.iz
52cps.com\ytff.htm: Trojan.DL.Script.JS.Agnet.d
52cps.com\ytvod.htm: Trojan.DL.Script.JS.Agent.pe
txt.114central.com\qqmo.exe>>nspack: Trojan.DL.Win32.Undef.dyf
5/23
>>691
FlashCodec.4.10.exe>>Aspack212r: Trojan.DL.Win32.Mnless.dpz
load2.exe>>upx_c: Win32.Virut.cg
load3.exe: Backdoor.Win32.Ntos.dy
load.exe: Suspicious:Packer.Win32.UnkPacker.a
3(+1)/10
提出完了
>>680
スルー
>>683
52cps.com\real.js: Hack.Exploit.Script.JS.Agent.iy
52cps.com\real1.js: Hack.Exploit.Script.JS.Agent.iz
52cps.com\ytff.htm: Trojan.DL.Script.JS.Agnet.d
52cps.com\ytvod.htm: Trojan.DL.Script.JS.Agent.pe
txt.114central.com\qqmo.exe>>nspack: Trojan.DL.Win32.Undef.dyf
5/23
>>691
FlashCodec.4.10.exe>>Aspack212r: Trojan.DL.Win32.Mnless.dpz
load2.exe>>upx_c: Win32.Virut.cg
load3.exe: Backdoor.Win32.Ntos.dy
load.exe: Suspicious:Packer.Win32.UnkPacker.a
3(+1)/10
提出完了
>>683
McAfee (Active Protection 無効)1/23
未検出分をAVERTに提出させて頂きました。
Response
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
091.js |heuristic detection |beav-shellcode |Application |no
092.js |inconclusive | | |no
1111111111.swf |inconclusive | | |no
14.js |inconclusive | | |no
15.js |inconclusive | | |no
16.js |inconclusive | | |no
2222222222.swf |inconclusive | | |no
bff.js |inconclusive | | |no
bff1.js |inconclusive | | |no
js.js |inconclusive | | |no
mm.htm |inconclusive | | |no
real.js |inconclusive | | |no
real1.js |inconclusive | | |no
turl.js |inconclusive | | |no
vir-remover-pro.exe |inconclusive | | |no
yt122121.htm |inconclusive | | |no
McAfee (Active Protection 無効)1/23
未検出分をAVERTに提出させて頂きました。
Response
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
091.js |heuristic detection |beav-shellcode |Application |no
092.js |inconclusive | | |no
1111111111.swf |inconclusive | | |no
14.js |inconclusive | | |no
15.js |inconclusive | | |no
16.js |inconclusive | | |no
2222222222.swf |inconclusive | | |no
bff.js |inconclusive | | |no
bff1.js |inconclusive | | |no
js.js |inconclusive | | |no
mm.htm |inconclusive | | |no
real.js |inconclusive | | |no
real1.js |inconclusive | | |no
turl.js |inconclusive | | |no
vir-remover-pro.exe |inconclusive | | |no
yt122121.htm |inconclusive | | |no
>>683
yt14.htm |inconclusive | | |no
ytbb.htm |inconclusive | | |no
ytff.htm |inconclusive | | |no
ytfl.htm |inconclusive | | |no
ytvod.htm |inconclusive | | |no
ytxxz.htm |inconclusive | | |no
heuristic detection [091.js]
The file received may contain a potentially unwanted program or joke program. This
potential threat was identified with our most powerful set of heuristic DAT drivers.
Heuristic drivers can cause false-positive identifications, as such, this issue is
being escalated to Avert Labs for a thorough review. You will be contacted through
e-mail with the results of our analysis.
inconclusive [092.js 1111111111.swf 14.js 15.js 16.js 2222222222.swf bff.js bff1.js js.js mm.htm
real.js real1.js turl.js vir-remover-pro.exe yt122121.htm yt14.htm ytbb.htm ytff.htm
ytfl.htm ytvod.htm ytxxz.htm]
yt14.htm |inconclusive | | |no
ytbb.htm |inconclusive | | |no
ytff.htm |inconclusive | | |no
ytfl.htm |inconclusive | | |no
ytvod.htm |inconclusive | | |no
ytxxz.htm |inconclusive | | |no
heuristic detection [091.js]
The file received may contain a potentially unwanted program or joke program. This
potential threat was identified with our most powerful set of heuristic DAT drivers.
Heuristic drivers can cause false-positive identifications, as such, this issue is
being escalated to Avert Labs for a thorough review. You will be contacted through
e-mail with the results of our analysis.
inconclusive [092.js 1111111111.swf 14.js 15.js 16.js 2222222222.swf bff.js bff1.js js.js mm.htm
real.js real1.js turl.js vir-remover-pro.exe yt122121.htm yt14.htm ytbb.htm ytff.htm
ytfl.htm ytvod.htm ytxxz.htm]
698 :名無しさん@お腹いっぱい。:2009/06/27(土) 05:27:50
699 :名無しさん@お腹いっぱい。:2009/06/27(土) 06:13:19
http://pc11.2ch.net/test/read.cgi/sec/1245640557/60
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=414
infected
ttp://www.virustotal.com/jp/analisis/247f523d4adf0eea2170ef14daaa38e5e3d6dc93acbc4d4e622c609be579b598-1246049298
McAfee提出済
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=414
infected
ttp://www.virustotal.com/jp/analisis/247f523d4adf0eea2170ef14daaa38e5e3d6dc93acbc4d4e622c609be579b598-1246049298
McAfee提出済
700 :名無しさん@お腹いっぱい。:2009/06/27(土) 06:55:57
むぅ、なんか1ファイルで出すのがためらわれるが、検出率悪いので。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=415
infected
=== 検体入手元 ===
spamメールでアドレスが届いたもの。なんか、exeのアドレスが届くspamは久しぶりだ。
届いてから数日たって拾おうとすると、404になってたりするので、使い捨てのドメインで
やってるのかもしれませんね。
p://javiercubel■com/statement_45365352■exe
=== VirusTotal ===
15/41
ttp://www.virustotal.com/analisis/046d3796c3dc4620f2c54c6439f11a5f4dd3faf4d513ed0dcb9f640780009022-1246051108
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=415
infected
=== 検体入手元 ===
spamメールでアドレスが届いたもの。なんか、exeのアドレスが届くspamは久しぶりだ。
届いてから数日たって拾おうとすると、404になってたりするので、使い捨てのドメインで
やってるのかもしれませんね。
p://javiercubel■com/statement_45365352■exe
=== VirusTotal ===
15/41
ttp://www.virustotal.com/analisis/046d3796c3dc4620f2c54c6439f11a5f4dd3faf4d513ed0dcb9f640780009022-1246051108
701 :名無しさん@お腹いっぱい。:2009/06/27(土) 07:35:58
>>700
McAfeeに提出させて頂きました。
McAfeeに提出させて頂きました。
702 :名無しさん@お腹いっぱい。:2009/06/27(土) 07:41:13
COMODO Internet Security 1443
>>665
101/101
>>674
スルー
>>680
2/2
>>683
11/23
>>691
5/10
>>700
スルー
未検出分を提出しました
>>665
101/101
>>674
スルー
>>680
2/2
>>683
11/23
>>691
5/10
>>700
スルー
未検出分を提出しました
>>699
AVIRA9 7.01.04.144
fk.pdf - HTML/Shellcode.Gen
Kaspersky 2009/06/27 8:38:00
fk.pdf -
Kaspersky提出済み。
>700
AVIRA9 7.01.04.144
statement_45365352.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/06/27 8:38:00
statement_45365352.exe - Trojan-Dropper.Win32.Zbot.i
私の方も、一時期 exeファイル添付のSPAMとかほとんど無かったのに、最近また来るようになってきました。
新手がSPAM業界?に参入してきたのかもしれません。
AVIRA9 7.01.04.144
fk.pdf - HTML/Shellcode.Gen
Kaspersky 2009/06/27 8:38:00
fk.pdf -
Kaspersky提出済み。
>700
AVIRA9 7.01.04.144
statement_45365352.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/06/27 8:38:00
statement_45365352.exe - Trojan-Dropper.Win32.Zbot.i
私の方も、一時期 exeファイル添付のSPAMとかほとんど無かったのに、最近また来るようになってきました。
新手がSPAM業界?に参入してきたのかもしれません。
704 :名無しさん@お腹いっぱい。:2009/06/27(土) 10:29:32
705 :名無しさん@お腹いっぱい。:2009/06/27(土) 10:32:46
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=416
infected
MarwareListから拾って無かったものを幾つか。殆どがダウンロード用のスクリプトの為、白判定多いかも?
NormanとZoner以外は一通り提出完了。
infected
MarwareListから拾って無かったものを幾つか。殆どがダウンロード用のスクリプトの為、白判定多いかも?
NormanとZoner以外は一通り提出完了。
706 :名無しさん@お腹いっぱい。:2009/06/27(土) 23:03:06
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=417
infected
FakeAV
各社一通り提出済み
未提出のベンダー:トレンドマイクロ、Norman、Zoner、nProtect
何故かトレンドマイクロの提出ページに繋がらないので、提出可能な方、お願いします。
infected
FakeAV
各社一通り提出済み
未提出のベンダー:トレンドマイクロ、Norman、Zoner、nProtect
何故かトレンドマイクロの提出ページに繋がらないので、提出可能な方、お願いします。
707 :名無しさん@お腹いっぱい。:2009/06/27(土) 23:03:46
>>706
一応、検出名称(ベンダーごちゃまぜですが…)
[Detection possible other software]
drugstore.eu.com/test.htm : JS:Packed-BC(Avast) , Obfuscated Script.h(McAfee) , Trojan-Downloader.JS.Iframe.bhe(VBA32)
mypersonalhttp.com/weather.pl : Trojan-Clicker.JS.Agent.cj(Kaspersky)
mysecurepcshields.com/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
mysecurepcshields.com/install.exe : TR/Dropper.Gen Trojan(AntiVir)
onlyfind.net/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
scan4plan.info/install.exe : TR/Crypt.XPACK.Gen2 Trojan(AntiVir)
scan4plan.info/scan4plan.info(1).htm : JS:FakeAV-X(Avast) , JS/FakeAVOnline.A!tr.dld(Fortinet)
scan4plan.info/scan4plan.info.htm : Trojan.Script.99300(BitDefender)
sexbases.cn/bonus.php : HEUR/HTML.Malware suspicious code(AntiVir) , Trojan.JS.PYF(BitDefender)
sexbases.cn/in.cgi : HEUR/HTML.Malware suspicious code(AntiVir) , HTML:Framer-inf(Avast)
struckyorluck.cn/fastfolderscanner.com.htm : JS/FakeAV.G(F-Prot) , Mal/FakeAvJs-A(Sophos)
struckyorluck.cn/Setup-1ab1432_02021.exe : - Not Detected -
struckyorluck.cn/Setup-fc9e079_02021.exe : Win32.Malware.dam (suspicious) (McAfee-GW-Edition)
tangoing.info/counter.htm : - Not Detected -
一応、検出名称(ベンダーごちゃまぜですが…)
[Detection possible other software]
drugstore.eu.com/test.htm : JS:Packed-BC(Avast) , Obfuscated Script.h(McAfee) , Trojan-Downloader.JS.Iframe.bhe(VBA32)
mypersonalhttp.com/weather.pl : Trojan-Clicker.JS.Agent.cj(Kaspersky)
mysecurepcshields.com/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
mysecurepcshields.com/install.exe : TR/Dropper.Gen Trojan(AntiVir)
onlyfind.net/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
scan4plan.info/install.exe : TR/Crypt.XPACK.Gen2 Trojan(AntiVir)
scan4plan.info/scan4plan.info(1).htm : JS:FakeAV-X(Avast) , JS/FakeAVOnline.A!tr.dld(Fortinet)
scan4plan.info/scan4plan.info.htm : Trojan.Script.99300(BitDefender)
sexbases.cn/bonus.php : HEUR/HTML.Malware suspicious code(AntiVir) , Trojan.JS.PYF(BitDefender)
sexbases.cn/in.cgi : HEUR/HTML.Malware suspicious code(AntiVir) , HTML:Framer-inf(Avast)
struckyorluck.cn/fastfolderscanner.com.htm : JS/FakeAV.G(F-Prot) , Mal/FakeAvJs-A(Sophos)
struckyorluck.cn/Setup-1ab1432_02021.exe : - Not Detected -
struckyorluck.cn/Setup-fc9e079_02021.exe : Win32.Malware.dam (suspicious) (McAfee-GW-Edition)
tangoing.info/counter.htm : - Not Detected -
708 :名無しさん@お腹いっぱい。:2009/06/28(日) 00:28:31
>>698
AVERTからのResponseがなかったので再度提出
自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
adware_crypt.exe |inconclusive | | |no
ecard.exe |current detection |generic pws.y!cy |Trojan |no
exp_flash.swf |inconclusive | | |no
flashcodec.4.10.exe |new detection |generic downloader.x!gs |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
load3.exe |current detection |pws-zbot |Trojan |no
load4.exe |inconclusive | | |no
streamviewer.45030.e|current detection |fakealert-eo |Trojan |no
エンジン:5301、dat:5658環境でecard.exe ,load3.exe ,streamviewer.45030.exe検出
virustotalで確認
ecard.exe
ttp://www.virustotal.com/jp/analisis/7d168c70d66f83b9876c31227af4e595b5d40ea03df6a624f8669c2cddb9661f-1246078842
load3.exe
ttp://www.virustotal.com/jp/analisis/49ff4a1c36f655b6fea8a5314a6c42dd30077ec2cda72b682bf03be7c1357b9e-1246079007
streamviewer.45030.exe
ttp://www.virustotal.com/jp/analisis/947ea618d3e598202b3638bb505383ede14be000e777ac9ece26cc40dc21b295-1246079189
AVERTからのメールを確認
Current Scan Engine Version:5300.2777
Current DAT Version:5658.0000
AVERTからのResponseがなかったので再度提出
自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
adware_crypt.exe |inconclusive | | |no
ecard.exe |current detection |generic pws.y!cy |Trojan |no
exp_flash.swf |inconclusive | | |no
flashcodec.4.10.exe |new detection |generic downloader.x!gs |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
load3.exe |current detection |pws-zbot |Trojan |no
load4.exe |inconclusive | | |no
streamviewer.45030.e|current detection |fakealert-eo |Trojan |no
エンジン:5301、dat:5658環境でecard.exe ,load3.exe ,streamviewer.45030.exe検出
virustotalで確認
ecard.exe
ttp://www.virustotal.com/jp/analisis/7d168c70d66f83b9876c31227af4e595b5d40ea03df6a624f8669c2cddb9661f-1246078842
load3.exe
ttp://www.virustotal.com/jp/analisis/49ff4a1c36f655b6fea8a5314a6c42dd30077ec2cda72b682bf03be7c1357b9e-1246079007
streamviewer.45030.exe
ttp://www.virustotal.com/jp/analisis/947ea618d3e598202b3638bb505383ede14be000e777ac9ece26cc40dc21b295-1246079189
AVERTからのメールを確認
Current Scan Engine Version:5300.2777
Current DAT Version:5658.0000
709 :名無しさん@お腹いっぱい。:2009/06/28(日) 00:52:27
>>706
トレンドマイクロに提出完了
トレンドマイクロに提出完了
>>692
Kaspersky 2009/06/28 9:20:00
FlashCodec.4.10.exe - Trojan-Downloader.Win32.Agent.cgwd
load4.exe - Backdoor.Win32.Agent.aiau
返答無いけど検出可になってます。黒8+事後 黒2=黒10/10でclose.
Kaspersky 2009/06/28 9:20:00
FlashCodec.4.10.exe - Trojan-Downloader.Win32.Agent.cgwd
load4.exe - Backdoor.Win32.Agent.aiau
返答無いけど検出可になってます。黒8+事後 黒2=黒10/10でclose.
>>705 乙です。
Kaspersky 2009/06/28 9:20:00で、黒5/57,検出したのは下記の5個
cutaiamortgagegroup.cn\load.exe - Trojan.Win32.Inject.aekt
free-tube-orgasm.biz\setup.exe - Trojan-Downloader.Win32.FraudLoad.euz
porntvforu.com\pornotube915.com\codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
www.daftarwarisan.gov.my\ec.txt - Backdoor.PHP.Small.o&referer
www.fotosdepeinados.net\www.fotosdepeinados.net.htm - Exploit.PHP.Deftool.a
残りはPHPとjsのため、提出して頂いているようなので様子見します。
AVIRA9 7.01.04.144 49/57で、,黒5/57,HEUR 44/57。
cutaiamortgagegroup.cn\load.exe - DR/Delphi.Gen
porntvforu.com\pornotube915.com\codec.exe - TR/Dldr.FraudLoad.wcby
scanallviruses.com\scanallviruses.com.htm - HTML/BurnInHell.A
www.daftarwarisan.gov.my\ec.txt - BDS/PHP.Small.O.12
www.fotosdepeinados.net\www.fotosdepeinados.net.htm - EXP/PHP.Deftool.B
porntvforu.comの中の、index22(1).php 〜 index22(44).phpの44個 - 全部 HEUR/HTML.Malware
index22.phpは未検出。
free-tube-orgasm.biz\setup.exeをスルーしたので、一応こちらでも提出しました。後は様子見します。
Kaspersky 2009/06/28 9:20:00で、黒5/57,検出したのは下記の5個
cutaiamortgagegroup.cn\load.exe - Trojan.Win32.Inject.aekt
free-tube-orgasm.biz\setup.exe - Trojan-Downloader.Win32.FraudLoad.euz
porntvforu.com\pornotube915.com\codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
www.daftarwarisan.gov.my\ec.txt - Backdoor.PHP.Small.o&referer
www.fotosdepeinados.net\www.fotosdepeinados.net.htm - Exploit.PHP.Deftool.a
残りはPHPとjsのため、提出して頂いているようなので様子見します。
AVIRA9 7.01.04.144 49/57で、,黒5/57,HEUR 44/57。
cutaiamortgagegroup.cn\load.exe - DR/Delphi.Gen
porntvforu.com\pornotube915.com\codec.exe - TR/Dldr.FraudLoad.wcby
scanallviruses.com\scanallviruses.com.htm - HTML/BurnInHell.A
www.daftarwarisan.gov.my\ec.txt - BDS/PHP.Small.O.12
www.fotosdepeinados.net\www.fotosdepeinados.net.htm - EXP/PHP.Deftool.B
porntvforu.comの中の、index22(1).php 〜 index22(44).phpの44個 - 全部 HEUR/HTML.Malware
index22.phpは未検出。
free-tube-orgasm.biz\setup.exeをスルーしたので、一応こちらでも提出しました。後は様子見します。
>>706 乙です。
Kaspersky 2009/06/28 9:20:00で、黒6/14
mypersonalhttp.com\weather.pl - Trojan-Clicker.JS.Agent.cj
mysecurepcshields.com\index.php - Trojan-Downloader.HTML.FraudLoad.a
onlyfind.net\index.php - Trojan-Downloader.HTML.FraudLoad.a
scan4plan.info\install.exe - Trojan.Win32.Tdss.aidq
struckyorluck.cn\setup-1ab1432_02021.exe - Trojan.Win32.FraudPack.pap
struckyorluck.cn\setup-fc9e079_02021.exe - Trojan.Win32.FraudPack.pap
mysecurepcshields.com\install.exe はこちらでも提出。後は提出して頂いているので、スクリプトだけだから様子見。
AVIRA9 7.01.04.144 49/57で、黒4/14,HEUR 2/14
mysecurepcshields.com\index.php - HTML/Dldr.FraudLo.A
mysecurepcshields.com\install.exe - TR/Dropper.Gen Trojan
onlyfind.net\index.php - HTML/Dldr.FraudLo.A
scan4plan.info\install.exe - TR/Crypt.XPACK.Gen2
sexbases.cn\bonus.php - HEUR/HTML.Malware
sexbases.cn\in.cgi - HEUR/HTML.Malware
下記の3個はこちらでも提出。後は様子見。
mypersonalhttp.com\weather.pl
struckyorluck.cn\Setup-1ab1432_02021.exe
struckyorluck.cn\Setup-fc9e079_02021.exe
Kaspersky 2009/06/28 9:20:00で、黒6/14
mypersonalhttp.com\weather.pl - Trojan-Clicker.JS.Agent.cj
mysecurepcshields.com\index.php - Trojan-Downloader.HTML.FraudLoad.a
onlyfind.net\index.php - Trojan-Downloader.HTML.FraudLoad.a
scan4plan.info\install.exe - Trojan.Win32.Tdss.aidq
struckyorluck.cn\setup-1ab1432_02021.exe - Trojan.Win32.FraudPack.pap
struckyorluck.cn\setup-fc9e079_02021.exe - Trojan.Win32.FraudPack.pap
mysecurepcshields.com\install.exe はこちらでも提出。後は提出して頂いているので、スクリプトだけだから様子見。
AVIRA9 7.01.04.144 49/57で、黒4/14,HEUR 2/14
mysecurepcshields.com\index.php - HTML/Dldr.FraudLo.A
mysecurepcshields.com\install.exe - TR/Dropper.Gen Trojan
onlyfind.net\index.php - HTML/Dldr.FraudLo.A
scan4plan.info\install.exe - TR/Crypt.XPACK.Gen2
sexbases.cn\bonus.php - HEUR/HTML.Malware
sexbases.cn\in.cgi - HEUR/HTML.Malware
下記の3個はこちらでも提出。後は様子見。
mypersonalhttp.com\weather.pl
struckyorluck.cn\Setup-1ab1432_02021.exe
struckyorluck.cn\Setup-fc9e079_02021.exe
713 :名無しさん@お腹いっぱい。:2009/06/28(日) 15:50:43
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=418
infected
検体入手元
p://hearsedriver■com/chat/chat/localization/czech/img/646808■js
p://www■livedoorm■com/Test■exe
p://roons■cn/ded/Project2■exe
p://reddii■ru/traffic/sploit1/?57035YbttbaaYbb
p://satanic■easycoding■org/file■exe
p://update■microsoft■com■hillij■com/microsoftofficeupdate/isapdl/default■aspx/officexp-KB910721-FullFile-ENU■exe
p://woons■cn/pinch_no_cript■exe
p://ztb■cztv■tv/360/1■exe
p://ztb■cztv■tv/360/2■exe
p://ztb■cztv■tv/360/7■exe
p://ztb■cztv■tv/360/88■exe
p://ztb■cztv■tv/360/9■exe
p://www■hzcpwl■cn/djellow■exe
p://gold-smerch■cn/flash■exe
p://slil■ru/27769294/2fcdca20■4a3e7138/adware_crypt■exe
p://72■9■108■26/install_10■exe
infected
検体入手元
p://hearsedriver■com/chat/chat/localization/czech/img/646808■js
p://www■livedoorm■com/Test■exe
p://roons■cn/ded/Project2■exe
p://reddii■ru/traffic/sploit1/?57035YbttbaaYbb
p://satanic■easycoding■org/file■exe
p://update■microsoft■com■hillij■com/microsoftofficeupdate/isapdl/default■aspx/officexp-KB910721-FullFile-ENU■exe
p://woons■cn/pinch_no_cript■exe
p://ztb■cztv■tv/360/1■exe
p://ztb■cztv■tv/360/2■exe
p://ztb■cztv■tv/360/7■exe
p://ztb■cztv■tv/360/88■exe
p://ztb■cztv■tv/360/9■exe
p://www■hzcpwl■cn/djellow■exe
p://gold-smerch■cn/flash■exe
p://slil■ru/27769294/2fcdca20■4a3e7138/adware_crypt■exe
p://72■9■108■26/install_10■exe
714 :名無しさん@お腹いっぱい。:2009/06/28(日) 15:52:21
>>713
NormanとZoner以外は一通り提出完了
検出名称:Aviraスルーのものに関して、他のベンダーの検出名で補完したもの
72.9.108.26/install_10.exe : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
gold-smerch.cn/flash.exe : TR/Agent.15360.108 Trojan(AntiVir)
hearsedriver.com/646808.js : JS/Wonka(McAfee) , Trojan-Clicker.HTML.IFrame.gen (v)(Sunbelt)
reddii.ru/reddii.ru.htm : HEUR/HTML.Malware suspicious code(AntiVir) , JS:Packed-BE(Avast) , Packed.JS.Agent.ad(Kaspersky)
roons.cn/Project2.exe : Trojan-Downloader.Win32.Agent.cguk(Kaspersky) , TrojanDownloader:Win32/Delf.HF(microsoft)
satanic.easycoding.org/file.exe : TR/Dropper.Gen Trojan(AntiVir)
slil.ru/adware_crypt.exe : - Not Detected -
update.microsoft.com.hillij.com/officexp-KB910721-FullFile-ENU.exe : TR/Crypt.ZPACK.Gen Trojan
woons.cn/pinch_no_cript.exe : TR/PSW.LdPinch.ahdf Trojan(AntiVir)
www.hzcpwl.cn/djellow.exe : TR/Spy.ZBot.xgh Trojan(AntiVir)
www.livedoorm.com/Test.exe : DR/PcClient.Gen dropper(AntiVir)
ztb.cztv.tv/1.exe : Trojan:Win32/Malex.gen!E(Microsoft) , PSW.OnlineGames_r.DP(AVG)
ztb.cztv.tv/2.exe : ADSPY/Agent.160989(AntiVir)
ztb.cztv.tv/2/235.exe : DR/Cinmus.fow dropper(AntiVir)
ztb.cztv.tv/2/NSIS.Library.RegTool.v2.$[36].exe : Win32.Banker(eSafe)
ztb.cztv.tv/2/$R0 : ADSPY/Cinmus.auxo.3(AntiVir)
ztb.cztv.tv/7.exe : DR/BHO.hmc dropper(AntiVir)
ztb.cztv.tv/7/cpush.dll : ADSPY/Cinmus.ucc.6 adware or spyware(AntiVir)
ztb.cztv.tv/88.exe : TR/PSW.OnlineGames.vcqj.3 Trojan(AntiVir)
ztb.cztv.tv/9.exe : DR/Zhongsou.170576 dropper(AntiVir)
ztb.cztv.tv/9/IETimber.dll : ADSPY/Timber.BHO adware or spyware(AntiVir)
NormanとZoner以外は一通り提出完了
検出名称:Aviraスルーのものに関して、他のベンダーの検出名で補完したもの
72.9.108.26/install_10.exe : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
gold-smerch.cn/flash.exe : TR/Agent.15360.108 Trojan(AntiVir)
hearsedriver.com/646808.js : JS/Wonka(McAfee) , Trojan-Clicker.HTML.IFrame.gen (v)(Sunbelt)
reddii.ru/reddii.ru.htm : HEUR/HTML.Malware suspicious code(AntiVir) , JS:Packed-BE(Avast) , Packed.JS.Agent.ad(Kaspersky)
roons.cn/Project2.exe : Trojan-Downloader.Win32.Agent.cguk(Kaspersky) , TrojanDownloader:Win32/Delf.HF(microsoft)
satanic.easycoding.org/file.exe : TR/Dropper.Gen Trojan(AntiVir)
slil.ru/adware_crypt.exe : - Not Detected -
update.microsoft.com.hillij.com/officexp-KB910721-FullFile-ENU.exe : TR/Crypt.ZPACK.Gen Trojan
woons.cn/pinch_no_cript.exe : TR/PSW.LdPinch.ahdf Trojan(AntiVir)
www.hzcpwl.cn/djellow.exe : TR/Spy.ZBot.xgh Trojan(AntiVir)
www.livedoorm.com/Test.exe : DR/PcClient.Gen dropper(AntiVir)
ztb.cztv.tv/1.exe : Trojan:Win32/Malex.gen!E(Microsoft) , PSW.OnlineGames_r.DP(AVG)
ztb.cztv.tv/2.exe : ADSPY/Agent.160989(AntiVir)
ztb.cztv.tv/2/235.exe : DR/Cinmus.fow dropper(AntiVir)
ztb.cztv.tv/2/NSIS.Library.RegTool.v2.$[36].exe : Win32.Banker(eSafe)
ztb.cztv.tv/2/$R0 : ADSPY/Cinmus.auxo.3(AntiVir)
ztb.cztv.tv/7.exe : DR/BHO.hmc dropper(AntiVir)
ztb.cztv.tv/7/cpush.dll : ADSPY/Cinmus.ucc.6 adware or spyware(AntiVir)
ztb.cztv.tv/88.exe : TR/PSW.OnlineGames.vcqj.3 Trojan(AntiVir)
ztb.cztv.tv/9.exe : DR/Zhongsou.170576 dropper(AntiVir)
ztb.cztv.tv/9/IETimber.dll : ADSPY/Timber.BHO adware or spyware(AntiVir)
715 :名無しさん@お腹いっぱい。:2009/06/28(日) 16:25:29
716 :名無しさん@お腹いっぱい。:2009/06/28(日) 16:47:48
カスペからの返事
>>683 (>>685,693) tane0412
3+3=6
js.js_ - Exploit.JS.Agent.ajo
ytbb.htm_ - Exploit.JS.Agent.ajn
ytvod.htm_ - Exploit.JS.Agent.ajm
>>647(>>651,657,658,659,664,670) (tane0406)
index.html_ - Trojan-Downloader.JS.Agent.egp (← "HEUR:Exploit.Script.Generic")
個人的に忙しいので、カスペは代理の方にお願いしたい。すまん。
>>683 (>>685,693) tane0412
3+3=6
js.js_ - Exploit.JS.Agent.ajo
ytbb.htm_ - Exploit.JS.Agent.ajn
ytvod.htm_ - Exploit.JS.Agent.ajm
>>647(>>651,657,658,659,664,670) (tane0406)
index.html_ - Trojan-Downloader.JS.Agent.egp (← "HEUR:Exploit.Script.Generic")
個人的に忙しいので、カスペは代理の方にお願いしたい。すまん。
717 :名無しさん@お腹いっぱい。:2009/06/28(日) 16:48:39
718 :名無しさん@お腹いっぱい。:2009/06/28(日) 17:27:38
>>717
送受信はどうってことない。一番面倒なのは、提出前の整理。
ほんとは、ベンダーごとにスルーしてるものだけ抽出して送った方がいいんだけど、その辺省略してるから。
個別回答が丁寧なのは、Avira、カスペ、Fortinet辺りかな。でも、多量に送ると迷惑になるので注意。
AviraとFortinetは、返答なしって約束になったし、カスペも返答がこなかったり遅れたりしてる(対応自体は早い)。
マカフィー、トレンドマイクロ、シマンテック、Rising辺りは機械的だけど、返事がくるね。
受理メールが文字化けするところはご愛敬(ソフォスと、アンラボと、VirusDoctor辺り)
返事が不定期に来たり来なかったりはMicrosoftとか。Dr.Webも返事が来る方かな。
F-Secureはメールで送ると返事来ないかな。SASだっけ、フォームからだと返事が来ます。
AVGとか、最近は返事こないベンダーも多いですよ。
というか、返事が来る方が少数かも。受理メールすらこない所の方が多いです。
送受信はどうってことない。一番面倒なのは、提出前の整理。
ほんとは、ベンダーごとにスルーしてるものだけ抽出して送った方がいいんだけど、その辺省略してるから。
個別回答が丁寧なのは、Avira、カスペ、Fortinet辺りかな。でも、多量に送ると迷惑になるので注意。
AviraとFortinetは、返答なしって約束になったし、カスペも返答がこなかったり遅れたりしてる(対応自体は早い)。
マカフィー、トレンドマイクロ、シマンテック、Rising辺りは機械的だけど、返事がくるね。
受理メールが文字化けするところはご愛敬(ソフォスと、アンラボと、VirusDoctor辺り)
返事が不定期に来たり来なかったりはMicrosoftとか。Dr.Webも返事が来る方かな。
F-Secureはメールで送ると返事来ないかな。SASだっけ、フォームからだと返事が来ます。
AVGとか、最近は返事こないベンダーも多いですよ。
というか、返事が来る方が少数かも。受理メールすらこない所の方が多いです。
>>713 乙です。
AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/14
黒は数が多いので、HEURと未検出の方を書きます。
reddii.ru\reddii.ru.htm - (HEUR/HTML.Malware) - (UNDER ANALYSIS)
hearsedriver.com\646808.js - (UNDER ANALYSIS)
roons.cn\Project2.exe - (UNDER ANALYSIS)
ztb.cztv.tv\1.exe - (UNDER ANALYSIS)
ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe - (KNOWN CLEAN)
Web提出で、既に白確定が1個ありました。(既に誰かが出していて、判断が終わっているもの)
あと、slil.ru\adware_crypt.exe は中身がhtmlなので未提出。(様子見) アドレスからすると、>691のものが本来の実行ファイルだと思います。
AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/14
黒は数が多いので、HEURと未検出の方を書きます。
reddii.ru\reddii.ru.htm - (HEUR/HTML.Malware) - (UNDER ANALYSIS)
hearsedriver.com\646808.js - (UNDER ANALYSIS)
roons.cn\Project2.exe - (UNDER ANALYSIS)
ztb.cztv.tv\1.exe - (UNDER ANALYSIS)
ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe - (KNOWN CLEAN)
Web提出で、既に白確定が1個ありました。(既に誰かが出していて、判断が終わっているもの)
あと、slil.ru\adware_crypt.exe は中身がhtmlなので未提出。(様子見) アドレスからすると、>691のものが本来の実行ファイルだと思います。
>>718 乙です。
AVIRAですが、本来はWebからの提出を基本としているようなので、メールで大量に送ると冷たくされる
(返答無しになる)のは仕方ないかと。
今まで結構出してきましたが、AVIRAの作業パターンが読めてきました。AVIRAはWeb提出されたファイルを、
サーバーが下記の5種類に自動分別しているようです。
1) 現時点のパターンファイルで既に確定検出できるもの (HEURではない)
2) 確定検出できないもの (HEUR含む)
2-1) 既に誰かが提出していて、黒判定済み
2-2) 既に誰かが提出していて、白判定済み
2-3) 既に誰かが提出していて、解析中
2-4) 新しい提出
1),2-1),2-2)の3種については、サーバーが自動で解答を返してきます。 この3種は、アナリストに届かないようです。
例えば、>719の KNOWN CLEANのファイルなどです。
2-3)のファイルは、最初に提出されたファイルにタグ付けされて、一つにまとめられるようです。
この場合、最初の提出者のファイルに付けられた File ID と UNDER ANALYSISという解答が出ます。
多分、アナリストが最初の1個だけ解析すれば、サーバーが自動で全部解答する様になっています。
2-4)のファイルは、新しいFile IDが取得され、そのFile ID と UNDER ANALYSISという解答が出ます。
こうすることで、アナリストに無駄な負荷がかからないようになっているようです。
(この辺が、AVIRAが効率良く、早い判定をしている理由っぽい。)
※ 2-3)のファイルは、解析が最初に出された人が基準になるので、連投しても2-4)よりFile IDが若い番号になるのと
解答の順番が速い。 あと、どの場合でもサーバーが判定結果まで含めて自動返答でメールをくれます。
なので、AVIRAでは、メールで検体を受け取るのは、多分あまり想定されていないと思います。
それに、Webで出した方が、どうもメールより判定が早いっぽい(Gumblarの時にメールとWebと両方出したら、Webの方が解答が断然速かった)ので、
AVIRA使いの人は、Web提出を基本にした方が良いです。 サーバーにアップロードするだけだから、英文書かなくて良いし。(w
AVIRAですが、本来はWebからの提出を基本としているようなので、メールで大量に送ると冷たくされる
(返答無しになる)のは仕方ないかと。
今まで結構出してきましたが、AVIRAの作業パターンが読めてきました。AVIRAはWeb提出されたファイルを、
サーバーが下記の5種類に自動分別しているようです。
1) 現時点のパターンファイルで既に確定検出できるもの (HEURではない)
2) 確定検出できないもの (HEUR含む)
2-1) 既に誰かが提出していて、黒判定済み
2-2) 既に誰かが提出していて、白判定済み
2-3) 既に誰かが提出していて、解析中
2-4) 新しい提出
1),2-1),2-2)の3種については、サーバーが自動で解答を返してきます。 この3種は、アナリストに届かないようです。
例えば、>719の KNOWN CLEANのファイルなどです。
2-3)のファイルは、最初に提出されたファイルにタグ付けされて、一つにまとめられるようです。
この場合、最初の提出者のファイルに付けられた File ID と UNDER ANALYSISという解答が出ます。
多分、アナリストが最初の1個だけ解析すれば、サーバーが自動で全部解答する様になっています。
2-4)のファイルは、新しいFile IDが取得され、そのFile ID と UNDER ANALYSISという解答が出ます。
こうすることで、アナリストに無駄な負荷がかからないようになっているようです。
(この辺が、AVIRAが効率良く、早い判定をしている理由っぽい。)
※ 2-3)のファイルは、解析が最初に出された人が基準になるので、連投しても2-4)よりFile IDが若い番号になるのと
解答の順番が速い。 あと、どの場合でもサーバーが判定結果まで含めて自動返答でメールをくれます。
なので、AVIRAでは、メールで検体を受け取るのは、多分あまり想定されていないと思います。
それに、Webで出した方が、どうもメールより判定が早いっぽい(Gumblarの時にメールとWebと両方出したら、Webの方が解答が断然速かった)ので、
AVIRA使いの人は、Web提出を基本にした方が良いです。 サーバーにアップロードするだけだから、英文書かなくて良いし。(w
>>713 乙です。
Kaspersky 2009/06/28 23:50:00
72.9.108.26\install_10.exe - Trojan-Downloader.Win32.Boltolog.ewo
gold-smerch.cn\flash.exe - Trojan-Downloader.Win32.Small.jxb
reddii.ru\reddii.ru.htm - Packed.JS.Agent.ad
roons.cn\Project2.exe - Trojan-Downloader.Win32.Agent.cguk
satanic.easycoding.org\file.exe - Trojan.Win32.Inject.aesn
update.microsoft.com.hillij.com\officexp-KB910721-FullFile-ENU.exe - Trojan-Dropper.Win32.Zbot.h
woons.cn\pinch_no_cript.exe - Trojan-PSW.Win32.LdPinch.ahdf
www.livedoorm.com\Test.exe - Backdoor.Win32.PcClient.arsm
www.hzcpwl.cn\djellow.exe - Trojan-Spy.Win32.Zbot.xgh
ztb.cztv.tv\1.exe - Backdoor.Win32.Wuca.by
ztb.cztv.tv\2.exe - not-a-virus:AdWare.Win32.AdMedia.ed
ztb.cztv.tv\2\$r0 - not-a-virus:AdWare.Win32.Cinmus.auxo
ztb.cztv.tv\2\235.exe - not-a-virus:AdWare.Win32.Cinmus.auxo
ztb.cztv.tv\7.exe - not-a-virus:AdWare.Win32.BHO.hmc
ztb.cztv.tv\7\cpush.dll - not-a-virus:AdWare.Win32.BHO.hmc
ztb.cztv.tv\88.exe - Trojan-GameThief.Win32.OnLineGames.vcqj
ztb.cztv.tv\9.exe - not-a-virus:AdWare.Win32.Iebar.w
ztb.cztv.tv\9\ietimber.dll - not-a-virus:AdWare.Win32.Iebar.w
黒18,未検出3(下記)
hearsedriver.com\646808.js
slil.ru\adware_crypt.exe
ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe
下2つの実行ファイルは、>719の結果により様子見。 646808.jsもスクリプトなので、>713提出に付き様子見。
Kaspersky 2009/06/28 23:50:00
72.9.108.26\install_10.exe - Trojan-Downloader.Win32.Boltolog.ewo
gold-smerch.cn\flash.exe - Trojan-Downloader.Win32.Small.jxb
reddii.ru\reddii.ru.htm - Packed.JS.Agent.ad
roons.cn\Project2.exe - Trojan-Downloader.Win32.Agent.cguk
satanic.easycoding.org\file.exe - Trojan.Win32.Inject.aesn
update.microsoft.com.hillij.com\officexp-KB910721-FullFile-ENU.exe - Trojan-Dropper.Win32.Zbot.h
woons.cn\pinch_no_cript.exe - Trojan-PSW.Win32.LdPinch.ahdf
www.livedoorm.com\Test.exe - Backdoor.Win32.PcClient.arsm
www.hzcpwl.cn\djellow.exe - Trojan-Spy.Win32.Zbot.xgh
ztb.cztv.tv\1.exe - Backdoor.Win32.Wuca.by
ztb.cztv.tv\2.exe - not-a-virus:AdWare.Win32.AdMedia.ed
ztb.cztv.tv\2\$r0 - not-a-virus:AdWare.Win32.Cinmus.auxo
ztb.cztv.tv\2\235.exe - not-a-virus:AdWare.Win32.Cinmus.auxo
ztb.cztv.tv\7.exe - not-a-virus:AdWare.Win32.BHO.hmc
ztb.cztv.tv\7\cpush.dll - not-a-virus:AdWare.Win32.BHO.hmc
ztb.cztv.tv\88.exe - Trojan-GameThief.Win32.OnLineGames.vcqj
ztb.cztv.tv\9.exe - not-a-virus:AdWare.Win32.Iebar.w
ztb.cztv.tv\9\ietimber.dll - not-a-virus:AdWare.Win32.Iebar.w
黒18,未検出3(下記)
hearsedriver.com\646808.js
slil.ru\adware_crypt.exe
ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe
下2つの実行ファイルは、>719の結果により様子見。 646808.jsもスクリプトなので、>713提出に付き様子見。
>>719
今気がついたけど、
× AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/14
○ AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/21 未検出 5/21 です。
今気がついたけど、
× AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/14
○ AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/21 未検出 5/21 です。
723 :名無しさん@お腹いっぱい。:2009/06/29(月) 22:52:53
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=419
infected
MarwareListから拾ったもの。(今日のspamにあったアドレスecard.exeも含んでました)
infected
MarwareListから拾ったもの。(今日のspamにあったアドレスecard.exeも含んでました)
724 :名無しさん@お腹いっぱい。:2009/06/30(火) 00:06:35
>>723さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
一部訂正
Symantecとa-squaredとMalwarebytesに提出しました
Symantecとa-squaredとMalwarebytesに提出しました
>>723 乙です。
AVIRA9 7.01.04.152 検出47/56
残9個の内、下記7個提出。 全部UNDER ANALYSIS
84.244.138.55\84.244.138.55.htm → zip圧縮ファイルだったので、解凍したファイルをAVIRAに提出
hostvids.net\streamviewer.45129.exe
softportal-files.com\streamviewer.40000.exe
turkey-h.org\r57.txt
www.amd20094.xpg.com.br\xroot.txt
www.free-celeb-videos.net\softwarefortubeview.40056.exe
www.scoringsessions.com\test.gif
下記2個は、中身を見て、VTに投げた後、未提出としました。
www.amd20093.xpg.com.br\xroot(1).txt
www.free-celeb-videos.net\www.free-celeb-videos.net.htm
Kasperskyはこれからチェックします。
AVIRA9 7.01.04.152 検出47/56
残9個の内、下記7個提出。 全部UNDER ANALYSIS
84.244.138.55\84.244.138.55.htm → zip圧縮ファイルだったので、解凍したファイルをAVIRAに提出
hostvids.net\streamviewer.45129.exe
softportal-files.com\streamviewer.40000.exe
turkey-h.org\r57.txt
www.amd20094.xpg.com.br\xroot.txt
www.free-celeb-videos.net\softwarefortubeview.40056.exe
www.scoringsessions.com\test.gif
下記2個は、中身を見て、VTに投げた後、未提出としました。
www.amd20093.xpg.com.br\xroot(1).txt
www.free-celeb-videos.net\www.free-celeb-videos.net.htm
Kasperskyはこれからチェックします。
>>723 乙です。
Kaspersky 2009/06/29 23:05:00 検出42,HEUR 1,未検出13
HEUR
mm.cj-vv.cn\lm\new9.exe - HEUR:Trojan.Win32.Generic → Trojan-GameThief.Win32.Magania.bjfq (既に返答来た)
未検出13個の内、下記11個提出。>726と同じ2個は未提出。
bingb.5webs.net\login.js
eshymkent.cn\setup_tube.exe
hostvids.net\streamviewer.45129.exe
invomedia.net\yes.txt
online-casino-lpt.biz\SmartDownload.exe
softportal-files.com\streamviewer.40000.exe
www.amd20094.xpg.com.br\xroot.txt
www.brun-sylvain.fr\idv6.txt
www.free-celeb-videos.net\softwarefortubeview.40056.exe
www.scoringsessions.com\test.gif
ヒューリスティック→隔離フォルダから送った分は相変わらず速攻で返事来るけど、怪しいぞってメール送った分は全然返事来ない。
AVIRAも解析遅れが結構出てきてるし、AVIRAもKasperskyもパンク中なんだろうねぇ...さて、寝ますか。ノシ
Kaspersky 2009/06/29 23:05:00 検出42,HEUR 1,未検出13
HEUR
mm.cj-vv.cn\lm\new9.exe - HEUR:Trojan.Win32.Generic → Trojan-GameThief.Win32.Magania.bjfq (既に返答来た)
未検出13個の内、下記11個提出。>726と同じ2個は未提出。
bingb.5webs.net\login.js
eshymkent.cn\setup_tube.exe
hostvids.net\streamviewer.45129.exe
invomedia.net\yes.txt
online-casino-lpt.biz\SmartDownload.exe
softportal-files.com\streamviewer.40000.exe
www.amd20094.xpg.com.br\xroot.txt
www.brun-sylvain.fr\idv6.txt
www.free-celeb-videos.net\softwarefortubeview.40056.exe
www.scoringsessions.com\test.gif
ヒューリスティック→隔離フォルダから送った分は相変わらず速攻で返事来るけど、怪しいぞってメール送った分は全然返事来ない。
AVIRAも解析遅れが結構出てきてるし、AVIRAもKasperskyもパンク中なんだろうねぇ...さて、寝ますか。ノシ
728 :名無しさん@お腹いっぱい。:2009/06/30(火) 02:43:35
>>723
Wikiにまとめてある提出先一通り(提出報告のあったベンダーと、Norman、Zonerを除く)に提出完了。
www.free-celeb-videos.net\www.free-celeb-videos.net.htm は、VTでは、eSafeしか検知してないようですが
同じフォルダに入っている softwarefortubeview.40056.exe を落させようとするフィッシングサイト(の分類?)です。
FakeAVではなく、FakeCodecと言うべきですかね。
アクセスしただけで落ちては来ないですが、動画に見えるものをクリックすると、コーデックを落とすよう
指示を出してファイルを落とさせようとします。確かに、アクセスしただけでは感染しませんし、クリックするまで
ファイルも落ちて来ませんので、白判定になっちゃうのかも。
htmlの冒頭の辺りに、堂々とexe名乗っけてる位なので、わたしは、提出対象に含めました。
検体入手元
p://www■free-celeb-videos■net
p://exe-profile■com/softwarefortubeview■40056■exe
Wikiにまとめてある提出先一通り(提出報告のあったベンダーと、Norman、Zonerを除く)に提出完了。
www.free-celeb-videos.net\www.free-celeb-videos.net.htm は、VTでは、eSafeしか検知してないようですが
同じフォルダに入っている softwarefortubeview.40056.exe を落させようとするフィッシングサイト(の分類?)です。
FakeAVではなく、FakeCodecと言うべきですかね。
アクセスしただけで落ちては来ないですが、動画に見えるものをクリックすると、コーデックを落とすよう
指示を出してファイルを落とさせようとします。確かに、アクセスしただけでは感染しませんし、クリックするまで
ファイルも落ちて来ませんので、白判定になっちゃうのかも。
htmlの冒頭の辺りに、堂々とexe名乗っけてる位なので、わたしは、提出対象に含めました。
検体入手元
p://www■free-celeb-videos■net
p://exe-profile■com/softwarefortubeview■40056■exe
729 :名無しさん@お腹いっぱい。:2009/06/30(火) 02:48:22
>>726
マカフィーは、そのhtmlをフィッシングサイト扱いで(ヒューリスティックだけど)検知する模様。(自動返答より抜粋)
www.free-celeb-video|heuristic detection |with fishy extension |Application |no
マカフィーは、そのhtmlをフィッシングサイト扱いで(ヒューリスティックだけど)検知する模様。(自動返答より抜粋)
www.free-celeb-video|heuristic detection |with fishy extension |Application |no
730 :名無しさん@お腹いっぱい。:2009/06/30(火) 05:04:18
検体提出先変更
Cybersoft(VFind) info☆cyber.com → virus☆cyber.com
届かずに戻ってくるから、送信先変えてたんだけど、メールで言ってきたってことは
今度はちゃんと届くんだろうな、多分。次の送付から、こっちのアドレスに直すか。
Cybersoft(VFind) info☆cyber.com → virus☆cyber.com
届かずに戻ってくるから、送信先変えてたんだけど、メールで言ってきたってことは
今度はちゃんと届くんだろうな、多分。次の送付から、こっちのアドレスに直すか。
731 :名無しさん@お腹いっぱい。:2009/06/30(火) 10:34:35
カスペからの返事(比較的古いもの)
scanmyfolders.com.htm_ (>>647) - Trojan-Downloader.JS.Iframe.bhz
winres.exe_(>>565) - Trojan-Spy.Win32.VB.btm
This file is already detected. Please update your antivirus bases.(検知済み)
>>647
18.htm
No malicious software was found in the attached file.
>>565(>>566,602,609,664) tane0394は、5+5=10/10でようやくクローズ。
scanmyfolders.com.htm_ (>>647) - Trojan-Downloader.JS.Iframe.bhz
winres.exe_(>>565) - Trojan-Spy.Win32.VB.btm
This file is already detected. Please update your antivirus bases.(検知済み)
>>647
18.htm
No malicious software was found in the attached file.
>>565(>>566,602,609,664) tane0394は、5+5=10/10でようやくクローズ。
732 :名無しさん@お腹いっぱい。:2009/06/30(火) 13:31:27
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=420
infected
昨日、一昨日に拾ったドメインのもので、更新されてたファイルが結構あったので。
但し、殆どのベンダーが全部検知するんじゃないかなぁ。
検体入手元
p://up■cj-vv■cn:889/
p://tt■ff88567■cn/bbs/exe/
Aviraは全検出したので、提出せず。
マカフィーは、自動返答によると、既知とヒューリスティックで全検出。
Wikiにまとめられている他のベンダーは、検出状況確認せずにまとめて送付。(NormanとZoner以外は一通り提出完了)
トレンドマイクロは5分割したうちの3つが500エラーで送れないので、時間を置いてから残件処理予定。
=== AntiVir Detection Name ===
tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper
up.cj-vv.cn/mm/jm/new1.exe : TR/Dropper.Gen Trojan
up.cj-vv.cn/mm/jx/new[1-13].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/la/new1.exe : TR/Spy.Gen Trojan
up.cj-vv.cn/mm/lm/new[1-27].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/qt/new1.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new2.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new3.exe : TR/Small.aawp Trojan
up.cj-vv.cn/mm/qt/new4.exe : TR/Dldr.Small.aleg.4 Trojan
up.cj-vv.cn/mm/qt/new6.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/mm/qt/new7.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/up1/up.exe : TR/Hijacker.Gen Trojan / RKIT/Agent.AIWN.20 root kit
infected
昨日、一昨日に拾ったドメインのもので、更新されてたファイルが結構あったので。
但し、殆どのベンダーが全部検知するんじゃないかなぁ。
検体入手元
p://up■cj-vv■cn:889/
p://tt■ff88567■cn/bbs/exe/
Aviraは全検出したので、提出せず。
マカフィーは、自動返答によると、既知とヒューリスティックで全検出。
Wikiにまとめられている他のベンダーは、検出状況確認せずにまとめて送付。(NormanとZoner以外は一通り提出完了)
トレンドマイクロは5分割したうちの3つが500エラーで送れないので、時間を置いてから残件処理予定。
=== AntiVir Detection Name ===
tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper
up.cj-vv.cn/mm/jm/new1.exe : TR/Dropper.Gen Trojan
up.cj-vv.cn/mm/jx/new[1-13].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/la/new1.exe : TR/Spy.Gen Trojan
up.cj-vv.cn/mm/lm/new[1-27].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/qt/new1.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new2.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new3.exe : TR/Small.aawp Trojan
up.cj-vv.cn/mm/qt/new4.exe : TR/Dldr.Small.aleg.4 Trojan
up.cj-vv.cn/mm/qt/new6.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/mm/qt/new7.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/up1/up.exe : TR/Hijacker.Gen Trojan / RKIT/Agent.AIWN.20 root kit
733 :名無しさん@お腹いっぱい。:2009/06/30(火) 17:21:27
734 :名無しさん@お腹いっぱい。:2009/06/30(火) 17:42:31
735 :名無しさん@お腹いっぱい。:2009/06/30(火) 20:15:40
736 :名無しさん@お腹いっぱい。:2009/06/30(火) 21:32:59
>>735
ああ、そういや、そんな話もあったっけね。
容量がでかくてタイムアウトする時は500エラー出て、2分割したらすんなり通ったことあったので
鯖が重くてタイムアウトしてるだけかと思ってたわ。
引っ掛かったのは、tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper で、幾つかVTに投げてみたら
トレンドマイクロでは検出する奴だった。(検出名:WORM_AUTORUN.FHU)
検出可能なものしか入ってないのでエラーになってたということで、提出の必要なさそうだと判断しとくわ。
ああ、そういや、そんな話もあったっけね。
容量がでかくてタイムアウトする時は500エラー出て、2分割したらすんなり通ったことあったので
鯖が重くてタイムアウトしてるだけかと思ってたわ。
引っ掛かったのは、tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper で、幾つかVTに投げてみたら
トレンドマイクロでは検出する奴だった。(検出名:WORM_AUTORUN.FHU)
検出可能なものしか入ってないのでエラーになってたということで、提出の必要なさそうだと判断しとくわ。
>>726
AVIRA返答
84.244.138.55\84.244.138.55.htm - JS/LuckySploit.L.1
hostvids.net\streamviewer.45129.exe - MALWARE(名称未定)
softportal-files.com\streamviewer.40000.exe - MALWARE(名称未定)
turkey-h.org\r57.txt - DAMAGED FILE (UNKNOWN)
www.amd20094.xpg.com.br\xroot.txt - CLEAN
www.free-celeb-videos.net\softwarefortubeview.40056.exe - MALWARE(名称未定)
www.scoringsessions.com\test.gif - PHP/Small.NAC
7個について、黒5,白1,ファイル破損で判定不能1
>>728-729
踏んだら自動でファイルを落としてくるようなものは提出しますが、流石に単なるリンクまで出してると
キリが無いかと思いました故。
出さなかった分は今後も明記しますので、気になる人は出して下さい。m(_ _)m
>>732
AVIRAは問題無さそうなので、これからKasperskyのチェックはじめます。
AVIRA返答
84.244.138.55\84.244.138.55.htm - JS/LuckySploit.L.1
hostvids.net\streamviewer.45129.exe - MALWARE(名称未定)
softportal-files.com\streamviewer.40000.exe - MALWARE(名称未定)
turkey-h.org\r57.txt - DAMAGED FILE (UNKNOWN)
www.amd20094.xpg.com.br\xroot.txt - CLEAN
www.free-celeb-videos.net\softwarefortubeview.40056.exe - MALWARE(名称未定)
www.scoringsessions.com\test.gif - PHP/Small.NAC
7個について、黒5,白1,ファイル破損で判定不能1
>>728-729
踏んだら自動でファイルを落としてくるようなものは提出しますが、流石に単なるリンクまで出してると
キリが無いかと思いました故。
出さなかった分は今後も明記しますので、気になる人は出して下さい。m(_ _)m
>>732
AVIRAは問題無さそうなので、これからKasperskyのチェックはじめます。
>>732
Kaspersky 2009/06/30 22:12:00 黒147/149,HEUR無し。
下記2個を取りこぼしたので、提出しました。
up.cj-vv.cn\mm\la\new1.exe
up.cj-vv.cn\mm\qt\new2.exe
Kaspersky 2009/06/30 22:12:00 黒147/149,HEUR無し。
下記2個を取りこぼしたので、提出しました。
up.cj-vv.cn\mm\la\new1.exe
up.cj-vv.cn\mm\qt\new2.exe
>>727
提出分11個の現状,Kaspersky 2009/06/30 22:12:00
●bingb.5webs.net\login.js - Trojan-Downloader.JS.Iframe.bik
●eshymkent.cn\setup_tube.exe - not-a-virus:FraudTool.Win32.SystemSecurity.oa
●hostvids.net\streamviewer.45129.exe - Trojan.Win32.FraudPack.pby
invomedia.net\yes.txt
online-casino-lpt.biz\SmartDownload.exe
●softportal-files.com\streamviewer.40000.exe - Trojan.Win32.FraudPack.pby
turkey-h.org\r57.txt
www.amd20094.xpg.com.br\xroot.txt
www.brun-sylvain.fr\idv6.txt
●www.free-celeb-videos.net\softwarefortubeview.40056.exe - Trojan.Win32.FraudPack.pby
www.scoringsessions.com\test.gif
返答無いけど検出可 5個,判断待ち 6個。
ただ、経験上KasperskyはGAME系をスルーするので、online-casino-lpt.biz\SmartDownload.exeは白判定の可能性大。
ttp://www.virustotal.com/jp/analisis/0e111d47123b68a88e21705c74a72e4562b7b0fcb15f3296b8cac24f165eeedf-1246373598 (11/40)
(カジノゲームで、ウイルスではない)
提出分11個の現状,Kaspersky 2009/06/30 22:12:00
●bingb.5webs.net\login.js - Trojan-Downloader.JS.Iframe.bik
●eshymkent.cn\setup_tube.exe - not-a-virus:FraudTool.Win32.SystemSecurity.oa
●hostvids.net\streamviewer.45129.exe - Trojan.Win32.FraudPack.pby
invomedia.net\yes.txt
online-casino-lpt.biz\SmartDownload.exe
●softportal-files.com\streamviewer.40000.exe - Trojan.Win32.FraudPack.pby
turkey-h.org\r57.txt
www.amd20094.xpg.com.br\xroot.txt
www.brun-sylvain.fr\idv6.txt
●www.free-celeb-videos.net\softwarefortubeview.40056.exe - Trojan.Win32.FraudPack.pby
www.scoringsessions.com\test.gif
返答無いけど検出可 5個,判断待ち 6個。
ただ、経験上KasperskyはGAME系をスルーするので、online-casino-lpt.biz\SmartDownload.exeは白判定の可能性大。
ttp://www.virustotal.com/jp/analisis/0e111d47123b68a88e21705c74a72e4562b7b0fcb15f3296b8cac24f165eeedf-1246373598 (11/40)
(カジノゲームで、ウイルスではない)
740 :名無しさん@お腹いっぱい。:2009/07/01(水) 00:47:36
カスペ2010 0:08
直近検出状況まとめ
提出者の方、代理提出者の方d。
>>652 tane0407 (>>658) 2/2で閉鎖
>>674 tane0410 (>>678) 1/1で閉鎖
>>680 tane0411 (>>684,685) 1+下記1=2/2で閉鎖
Detected Trojan program Trojan-Downloader.Win32.Banload.afwt doc-47473-4378914-34-JPG.exe
>>683 tane0412 (>>683,693,716) 3+3=6/23(>>683,716)のままで一部未決
>>691 tane0413 (>>692,710) 9+1=10/10で閉鎖
>>699 tane0414 (>>703) 0/1 (fk.pdfスルー)で未決
>>700 tane0415 (VT通り,>>703) 1/1で閉鎖
>>705 tane0416 (>>711) >>711さん通り、5/59のまま。変化なしで未決
>>706 tane0417 (>>712) 6+追加検出1=7/14で未決
Deleted Trojan program Trojan.Win32.FraudPack.pbo tane0417\mysecurepcshields.com\install.exe
>>713 tane0418 (>>721) 18/21のままで未決
直近検出状況まとめ
提出者の方、代理提出者の方d。
>>652 tane0407 (>>658) 2/2で閉鎖
>>674 tane0410 (>>678) 1/1で閉鎖
>>680 tane0411 (>>684,685) 1+下記1=2/2で閉鎖
Detected Trojan program Trojan-Downloader.Win32.Banload.afwt doc-47473-4378914-34-JPG.exe
>>683 tane0412 (>>683,693,716) 3+3=6/23(>>683,716)のままで一部未決
>>691 tane0413 (>>692,710) 9+1=10/10で閉鎖
>>699 tane0414 (>>703) 0/1 (fk.pdfスルー)で未決
>>700 tane0415 (VT通り,>>703) 1/1で閉鎖
>>705 tane0416 (>>711) >>711さん通り、5/59のまま。変化なしで未決
>>706 tane0417 (>>712) 6+追加検出1=7/14で未決
Deleted Trojan program Trojan.Win32.FraudPack.pbo tane0417\mysecurepcshields.com\install.exe
>>713 tane0418 (>>721) 18/21のままで未決
741 :名無しさん@お腹いっぱい。:2009/07/01(水) 00:48:44
カスペ2010 0:08
直近検出状況まとめ
>>723 tane 0419(>>727)
43+事後検知5=48/56で未決
Detected Trojan program Trojan-Downloader.JS.Iframe.bik \bingb.5webs.net\login.js
Detected virus not-a-virus:FraudTool.Win32.SystemSecurity.oa \eshymkent.cn\setup_tube.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \hostvids.net\streamviewer.45129.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \streamviewer.40000.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \www.free-celeb-videos.net\softwarefortubeview.40056.exe
>>732 tane 0420 148/149で未決
スルー1 tane0420\up.cj-vv.cn\mm\la\new1.exe
検体名は略
>>738 0:08では、new2.exeは既検出− Trojan.win32.agent.kud
スクリプト系は、VT他社検出状況みながら明日以降順次提出。
寝る。w
直近検出状況まとめ
>>723 tane 0419(>>727)
43+事後検知5=48/56で未決
Detected Trojan program Trojan-Downloader.JS.Iframe.bik \bingb.5webs.net\login.js
Detected virus not-a-virus:FraudTool.Win32.SystemSecurity.oa \eshymkent.cn\setup_tube.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \hostvids.net\streamviewer.45129.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \streamviewer.40000.exe
Detected Trojan program Trojan.Win32.FraudPack.pby \www.free-celeb-videos.net\softwarefortubeview.40056.exe
>>732 tane 0420 148/149で未決
スルー1 tane0420\up.cj-vv.cn\mm\la\new1.exe
検体名は略
>>738 0:08では、new2.exeは既検出− Trojan.win32.agent.kud
スクリプト系は、VT他社検出状況みながら明日以降順次提出。
寝る。w
742 :名無しさん@お腹いっぱい。:2009/07/01(水) 01:41:37
743 :名無しさん@お腹いっぱい。:2009/07/01(水) 01:42:30
あ、>>742は、AviraとAntiyLabsにはftp経由で提出済みです。
744 :名無しさん@お腹いっぱい。:2009/07/01(水) 06:14:13
745 :名無しさん@お腹いっぱい。:2009/07/01(水) 07:32:45
746 :名無しさん@お腹いっぱい。:2009/07/01(水) 11:33:19
>>742 乙です。
カスペ2010 11:10
80/96
(1) havvha.com 51/52 (aa35.exeスルー)
Trojan.VBS.IEstart.e 1.exe、 3-5..exe 7-20.exe (18files)
Trojan-GameThief.Win32.Magania.* /havvha.com/aa[1, 3-28, 30-33].exe (31files)
virus HEUR:Trojan.Win32.Generic aa2.exe
Trojan.Win32.Agent.cnll aa34.exe
(2)liesbethmian.be 10/11 (fb48.exeスルー)
Trojan-Dropper.Win32.BHO.bo /6244.exe
virus Net-Worm.Win32.Koobface.ahx /be.15.exe
Trojan-Downloader.Win32.Tiny.byt /captcha6.exe
virus Net-Worm.Win32.Koobface.aie /hi.12.exe
Trojan.Win32.Agent.cntq /ms.19.exe
Trojan.Win32.Agent2.jyw /nfr.exe
Trojan-Dropper.Win32.Agent.auoy /pdrv.exe
Trojan.Win32.Agent2.ktz /pp.10.exe
virus Net-Worm.Win32.Koobface.aif /tg.12.exe
Trojan-Proxy.Win32.Agent.bpd /websrvx2.exe
(3)その他 19/22
Trojan-Downloader.JS.Iframe.bik /74.114.116.101/ads.js (1/1)
Trojan-Downloader.JS.Iframe.bgx /95.209.81.156/92.236.141.125.htm (2/2)
virus HEUR:Trojan.Win32.Generic /95.209.81.156/setup.exe
Trojan.Win32.Rabbit.fr /109438129432.cn/load.exe (1/1)
Exploit.Win32.Pidief.bcp /antivirusxp09.com/9426.pdf (2/2)
virus HEUR:Trojan.Win32.Generic /antivirusxp09.com/load.exe
Trojan-Downloader.Win32.FraudLoad.euw /atuyfe.cn/installer_70126.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.evq /bobo-tube.com/streamviewer.45031.exe (1/2)
Trojan-Spy.Win32.Zbot.xrt /chaseonline.chase.com/officexp-KB910721-FullFile-ENU.exe (1/1)
カスペ2010 11:10
80/96
(1) havvha.com 51/52 (aa35.exeスルー)
Trojan.VBS.IEstart.e 1.exe、 3-5..exe 7-20.exe (18files)
Trojan-GameThief.Win32.Magania.* /havvha.com/aa[1, 3-28, 30-33].exe (31files)
virus HEUR:Trojan.Win32.Generic aa2.exe
Trojan.Win32.Agent.cnll aa34.exe
(2)liesbethmian.be 10/11 (fb48.exeスルー)
Trojan-Dropper.Win32.BHO.bo /6244.exe
virus Net-Worm.Win32.Koobface.ahx /be.15.exe
Trojan-Downloader.Win32.Tiny.byt /captcha6.exe
virus Net-Worm.Win32.Koobface.aie /hi.12.exe
Trojan.Win32.Agent.cntq /ms.19.exe
Trojan.Win32.Agent2.jyw /nfr.exe
Trojan-Dropper.Win32.Agent.auoy /pdrv.exe
Trojan.Win32.Agent2.ktz /pp.10.exe
virus Net-Worm.Win32.Koobface.aif /tg.12.exe
Trojan-Proxy.Win32.Agent.bpd /websrvx2.exe
(3)その他 19/22
Trojan-Downloader.JS.Iframe.bik /74.114.116.101/ads.js (1/1)
Trojan-Downloader.JS.Iframe.bgx /95.209.81.156/92.236.141.125.htm (2/2)
virus HEUR:Trojan.Win32.Generic /95.209.81.156/setup.exe
Trojan.Win32.Rabbit.fr /109438129432.cn/load.exe (1/1)
Exploit.Win32.Pidief.bcp /antivirusxp09.com/9426.pdf (2/2)
virus HEUR:Trojan.Win32.Generic /antivirusxp09.com/load.exe
Trojan-Downloader.Win32.FraudLoad.euw /atuyfe.cn/installer_70126.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.evq /bobo-tube.com/streamviewer.45031.exe (1/2)
Trojan-Spy.Win32.Zbot.xrt /chaseonline.chase.com/officexp-KB910721-FullFile-ENU.exe (1/1)
>>742,>>746の続き
Trojan-Downloader.Win32.FraudLoad.evq /hot-tube-work.com/TubeViewer.ver.6.48268.exe (1/2)
Trojan-Downloader.HTML.FraudLoad.a /lianadumitrescu.ro/atiguko.cn.htm (3/4)
Trojan-Downloader.Win32.FraudLoad.euw /lianadumitrescu.ro/installer_70141.exe
Trojan.JS.Agent.ahr /lianadumitrescu.ro/lianadumitrescu.ro.htm
Trojan-Downloader.Win32.FraudLoad.evq /load-exe-soft.com/TubeViewer.ver.6.40000.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.wcva /pornotube915.com/codec.exe (1/1)
Trojan-GameThief.Win32.Magania.bipt /sesese.y145c.cn/1.exe (1/1)
adware not-a-virus:AdWare.Win32.Simbar.e /simpletoolbar.com/toolbar.exe (1/1)
Trojan.Win32.Tdss.aiij /toptubehunt.info/video_player.exe (1/1)
Trojan-Downloader.Win32.Agent.bqtn /zief.pl/wr.exe (1/1)
(4)スルー 11files
88.198.234.133 0/3,
FakeAV*.ru 0/4
kepko.net 0/3
update1.fastantivirus09.com. 0/1
検体提出します。
Trojan-Downloader.Win32.FraudLoad.evq /hot-tube-work.com/TubeViewer.ver.6.48268.exe (1/2)
Trojan-Downloader.HTML.FraudLoad.a /lianadumitrescu.ro/atiguko.cn.htm (3/4)
Trojan-Downloader.Win32.FraudLoad.euw /lianadumitrescu.ro/installer_70141.exe
Trojan.JS.Agent.ahr /lianadumitrescu.ro/lianadumitrescu.ro.htm
Trojan-Downloader.Win32.FraudLoad.evq /load-exe-soft.com/TubeViewer.ver.6.40000.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.wcva /pornotube915.com/codec.exe (1/1)
Trojan-GameThief.Win32.Magania.bipt /sesese.y145c.cn/1.exe (1/1)
adware not-a-virus:AdWare.Win32.Simbar.e /simpletoolbar.com/toolbar.exe (1/1)
Trojan.Win32.Tdss.aiij /toptubehunt.info/video_player.exe (1/1)
Trojan-Downloader.Win32.Agent.bqtn /zief.pl/wr.exe (1/1)
(4)スルー 11files
88.198.234.133 0/3,
FakeAV*.ru 0/4
kepko.net 0/3
update1.fastantivirus09.com. 0/1
検体提出します。
748 :名無しさん@お腹いっぱい。:2009/07/01(水) 12:28:26
追記
bo-bo-tube.comフォルダに入っているxplays.phpは
通常のHTMLタグしか書かれてないので提出しませんでした
bo-bo-tube.comフォルダに入っているxplays.phpは
通常のHTMLタグしか書かれてないので提出しませんでした
750 :名無しさん@お腹いっぱい。:2009/07/01(水) 13:34:51
751 :名無しさん@お腹いっぱい。:2009/07/01(水) 15:35:50
1000いく前にこのスレもうすぐ落ちるな。現在、476KB
512KBでdat落ち仕様
そろそろテンプレメンテして、次スレ必要かと。
512KBでdat落ち仕様
そろそろテンプレメンテして、次スレ必要かと。
752 :名無しさん@お腹いっぱい。:2009/07/01(水) 17:59:50
>>751 了解
提出先(テンプレ)変更
>>1
>>18,534,542,549,655,730,12,227,188,191
だけ?
確認よろしく。
現行種は、現行スレで報告、新種は新スレで報告がいいのかな。
まだ、30KB ほど余裕があるから、新種のうpは、1〜2日は大丈夫と思うが。
立てれれば、新スレたてます。
現行レス推移だと、>>800超で落ちるのかな。
提出先(テンプレ)変更
>>1
>>18,534,542,549,655,730,12,227,188,191
だけ?
確認よろしく。
現行種は、現行スレで報告、新種は新スレで報告がいいのかな。
まだ、30KB ほど余裕があるから、新種のうpは、1〜2日は大丈夫と思うが。
立てれれば、新スレたてます。
現行レス推移だと、>>800超で落ちるのかな。
カスペ2010 19:08&返答
>>705 tane0416 (>>711)
5+1=6
22ac7bebd...1d520317.js - - Trojan.JS.Agent.ajc
>>706 tane0417 (>>712,740)
6+(1+2)=9/14、白2、待ち2(scan4plan.html2つ)、見送り1(coutner.htm)
Trojan.HTML.Agent.by - struck...\fastfolderscanner.com.htm
Trojan-Downloader.HTML.FraudLoad.a - \onlyfind...\index.php
Trojan-Downloader.JS.Iframe.bio - drugstore...\test.html
sexbases.cn\bonus.php, in.cgi (2files) - 白
>>713 tane0418 (>>721,740)
18+1=19/21、白2でクローズ
Trojan-Clicker.JS.Agent.gq - hearsedriver.com\646808.js
adware_crypt.exe, NSIS.Library.RegTool.v2.$[36].exe. - 白
>>723 tane 0419(>>727,739,741)
43+5=48/56, 白2,回答待ち3 (yes.txt, idv6.txt, www.free-celem....),.,見合せ3(r57.txt, xroot.txt、xroot(1).txt)
SmartDownload.exe, test.gif - 白
>>742 tane0421 (>>746)
80+1=81/96、白1
Trojan-GameThief.Win32.Magania.bjsy - aa2.exe (←HEUR:Trojan.Win32.Generic)
Trojan.Win32.Inject.afgm - 95.209.81.156\setup.exe (←同上)
Trojan-Downloader.Win32.Agent.chgu - antivirus09.com\load.exe(←同上)
Trojan-GameThief.Win32.OnLineGames.bmiy - \havvha.com\aa35.exe
kepko.net\.exe - 白
>>705 tane0416 (>>711)
5+1=6
22ac7bebd...1d520317.js - - Trojan.JS.Agent.ajc
>>706 tane0417 (>>712,740)
6+(1+2)=9/14、白2、待ち2(scan4plan.html2つ)、見送り1(coutner.htm)
Trojan.HTML.Agent.by - struck...\fastfolderscanner.com.htm
Trojan-Downloader.HTML.FraudLoad.a - \onlyfind...\index.php
Trojan-Downloader.JS.Iframe.bio - drugstore...\test.html
sexbases.cn\bonus.php, in.cgi (2files) - 白
>>713 tane0418 (>>721,740)
18+1=19/21、白2でクローズ
Trojan-Clicker.JS.Agent.gq - hearsedriver.com\646808.js
adware_crypt.exe, NSIS.Library.RegTool.v2.$[36].exe. - 白
>>723 tane 0419(>>727,739,741)
43+5=48/56, 白2,回答待ち3 (yes.txt, idv6.txt, www.free-celem....),.,見合せ3(r57.txt, xroot.txt、xroot(1).txt)
SmartDownload.exe, test.gif - 白
>>742 tane0421 (>>746)
80+1=81/96、白1
Trojan-GameThief.Win32.Magania.bjsy - aa2.exe (←HEUR:Trojan.Win32.Generic)
Trojan.Win32.Inject.afgm - 95.209.81.156\setup.exe (←同上)
Trojan-Downloader.Win32.Agent.chgu - antivirus09.com\load.exe(←同上)
Trojan-GameThief.Win32.OnLineGames.bmiy - \havvha.com\aa35.exe
kepko.net\.exe - 白
754 :名無しさん@お腹いっぱい。:2009/07/01(水) 23:10:30
カスペ2010
>>699(>>703) tane0414 1/1で閉鎖
Trojan program Exploit.Win32.Pidief.bcx tane0414\fk.pdf
>>742(>>746,753) tane0421
80+1+1=82/96
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.be update1.fastantivirus09.com\ReleaseXP.exe
今日はここまで
>>699(>>703) tane0414 1/1で閉鎖
Trojan program Exploit.Win32.Pidief.bcx tane0414\fk.pdf
>>742(>>746,753) tane0421
80+1+1=82/96
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.be update1.fastantivirus09.com\ReleaseXP.exe
今日はここまで
>>703,740
fk.pdf - Exploit.Win32.Pidief.bcx
返答無いけど検出可になりました。
>>750
それを言うたら、検体提出でも報告でもない、お前さんのただの感想文もこのスレでは何の役にもたっとらんがな。(w
fk.pdf - Exploit.Win32.Pidief.bcx
返答無いけど検出可になりました。
>>750
それを言うたら、検体提出でも報告でもない、お前さんのただの感想文もこのスレでは何の役にもたっとらんがな。(w
>>742 乙です。
Kaspersky2009 2009/07/01 22:12:00 検出81/96(HEUR無し),未検出は下記15個。
88.198.234.133
index-go.html
new.exe
search.php
95.209.81.156
setup.exe
bobo-tube.com
xplays.php
FakeAV videoxporno.ru
ddanchev-suck-my-dick.php
Setup-27ab1cc_02022.exe
Setup-30a959_02022.exe
Setup-9139d_02022.exe
hot-tube-work.com
xindex.php
kepko.net
.exe
7klik.com.htm
n1.htm
lianadumitrescu.ro
bidch.js
liesbethmilan.be
fb.48.exe
>746さんの2010に比べて、HEURで捕まえられないものがありますねぇ。(95.209.81.156\setup.exeとか)
>746さんと提出が重複しないようにチェックしてから、こちらも検体を提出します。
Kaspersky2009 2009/07/01 22:12:00 検出81/96(HEUR無し),未検出は下記15個。
88.198.234.133
index-go.html
new.exe
search.php
95.209.81.156
setup.exe
bobo-tube.com
xplays.php
FakeAV videoxporno.ru
ddanchev-suck-my-dick.php
Setup-27ab1cc_02022.exe
Setup-30a959_02022.exe
Setup-9139d_02022.exe
hot-tube-work.com
xindex.php
kepko.net
.exe
7klik.com.htm
n1.htm
lianadumitrescu.ro
bidch.js
liesbethmilan.be
fb.48.exe
>746さんの2010に比べて、HEURで捕まえられないものがありますねぇ。(95.209.81.156\setup.exeとか)
>746さんと提出が重複しないようにチェックしてから、こちらも検体を提出します。
757 :名無しさん@お腹いっぱい。:2009/07/02(木) 01:47:57
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=422
infected
リネージュ資料室の更新リスト+α
見覚えのあるファイルもありますが、更新日が新しかったので再提出してみるテスト。
===検体入手元===
p://codecpack■nl/divx680vfw■exe
p://www■xlsf013■cn/zr/sct■exe
p://www■xlsf013■cn/Lz■htm
p://www■xlsf013■cn/server■exe
p://www■xlsf013■cn/Pps■htm
p://www■xlsf013■cn/Bfyy■htm
p://www■xlsf013■cn/Ms06014■htm
p://www■686ip■cn/shen/ma■exe
p://www■mvoe■cn/all/aa■js
p://tt■ff88567■cn/bbs/exe/[1-100]■exe
p://tt■ff88567■cn/bbs/exe1/[1-100]■exe
p://tt■ff88567■cn/down/dnf9m■exe
p://tt■ff88567■cn/down/jxsj9m■exe
p://tt■ff88567■cn/down/mhxu9m■exe
p://tt■ff88567■cn/down/mu9m■exe
p://tt■ff88567■cn/down/qq3g9m■exe
p://tt■ff88567■cn/down/qq3g9m1■exe
p://tt■ff88567■cn/down/qqhx9m■exe
p://tt■ff88567■cn/down/qqxx■exe
p://tt■ff88567■cn/down/wl9m■exe
p://tt■ff88567■cn/down/zt9m■exe
p://tt■ff88567■cn/down/zzh9m■exe
infected
リネージュ資料室の更新リスト+α
見覚えのあるファイルもありますが、更新日が新しかったので再提出してみるテスト。
===検体入手元===
p://codecpack■nl/divx680vfw■exe
p://www■xlsf013■cn/zr/sct■exe
p://www■xlsf013■cn/Lz■htm
p://www■xlsf013■cn/server■exe
p://www■xlsf013■cn/Pps■htm
p://www■xlsf013■cn/Bfyy■htm
p://www■xlsf013■cn/Ms06014■htm
p://www■686ip■cn/shen/ma■exe
p://www■mvoe■cn/all/aa■js
p://tt■ff88567■cn/bbs/exe/[1-100]■exe
p://tt■ff88567■cn/bbs/exe1/[1-100]■exe
p://tt■ff88567■cn/down/dnf9m■exe
p://tt■ff88567■cn/down/jxsj9m■exe
p://tt■ff88567■cn/down/mhxu9m■exe
p://tt■ff88567■cn/down/mu9m■exe
p://tt■ff88567■cn/down/qq3g9m■exe
p://tt■ff88567■cn/down/qq3g9m1■exe
p://tt■ff88567■cn/down/qqhx9m■exe
p://tt■ff88567■cn/down/qqxx■exe
p://tt■ff88567■cn/down/wl9m■exe
p://tt■ff88567■cn/down/zt9m■exe
p://tt■ff88567■cn/down/zzh9m■exe
758 :名無しさん@お腹いっぱい。:2009/07/02(木) 01:48:49
>>757(続き)
===備考===
1.tt.ff88567.cn は、容量が大き過ぎるので、パスワードなしの7zアーカイブで固めたものを、
zipの中に放り込んであります。提出時にはご注意ください。
2.divx680vfw■exe は誤検知かも?このファイルを提出するかどうかは各自の判断で。
divx680vfw■exe(2/41) AntiVir検出名:TR/StartPage.dpb
ttp://www.virustotal.com/analisis/60c023437712fffbfded71e52a5aab8c9f2db2e44154467675d23397b9cb77c2-1246466086
===備考===
1.tt.ff88567.cn は、容量が大き過ぎるので、パスワードなしの7zアーカイブで固めたものを、
zipの中に放り込んであります。提出時にはご注意ください。
2.divx680vfw■exe は誤検知かも?このファイルを提出するかどうかは各自の判断で。
divx680vfw■exe(2/41) AntiVir検出名:TR/StartPage.dpb
ttp://www.virustotal.com/analisis/60c023437712fffbfded71e52a5aab8c9f2db2e44154467675d23397b9cb77c2-1246466086
759 :名無しさん@お腹いっぱい。:2009/07/02(木) 02:08:16
ごめんなさい、>>757の「www.686ip.cn」「www.mvoe.cn」「www.xlsf013.cn」内は無害なファイルでした。
ドメイン消失でhtml落ちてきてただけのようで、一旦消して、上げ直します。
ドメイン消失でhtml落ちてきてただけのようで、一旦消して、上げ直します。
760 :名無しさん@お腹いっぱい。:2009/07/02(木) 08:37:34
連投規制の時間待ちしてたらそのまま寝てた…コタツトップ(そのまま後ろにバタンQ)の悪いとこだな。
>>758のUPしなおし。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=423
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=424
infected
下は、ZIPの中身は7zのパスなしアーカイブに圧縮してあります。
多分、殆どのベンダーがdivx680vfw■exe以外は、全部検知するんじゃないかと。
AntiVirは全検知してました。
>>758のUPしなおし。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=423
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=424
infected
下は、ZIPの中身は7zのパスなしアーカイブに圧縮してあります。
多分、殆どのベンダーがdivx680vfw■exe以外は、全部検知するんじゃないかと。
AntiVirは全検知してました。
761 :名無しさん@お腹いっぱい。:2009/07/02(木) 13:35:25
>>757-760d
カスペ2010 12:36
>>760 (tane0423)
11/12(うちHEUR2)、スルー1(divx680vfw.exe)。検体提出します。
Trojan-GameThief.Win32.Magania.bjoz dnf9m.exe
Trojan-GameThief.Win32.Magania.biht jxsj9m.exe、 mhxu9m.exe、 wl9m.exe、 zt9m.exe、 zzh9m.exe (5files)
Trojan-GameThief.Win32.Magania.bjnj mu9m.exe
Trojan-GameThief.Win32.Magania.bfrp qqhx9m.exe
Trojan.Win32.Agent.cnwy qqxx.exe
virus HEUR:Trojan.Win32.Generic qq3g9m.exe、 qq3g9m1.exe (2files)
>>760 (tane0424)
200/200でクローズ
(1)exeフォルダ 100/100
Detected virus Worm.Win32.AutoRun.afcb /exe/*.exe
(2)exe1フォルダ 100/100
Detected Trojan.Win32.Agent.bsmyなど /exe1/*.exe
カスペ2010 12:36
>>760 (tane0423)
11/12(うちHEUR2)、スルー1(divx680vfw.exe)。検体提出します。
Trojan-GameThief.Win32.Magania.bjoz dnf9m.exe
Trojan-GameThief.Win32.Magania.biht jxsj9m.exe、 mhxu9m.exe、 wl9m.exe、 zt9m.exe、 zzh9m.exe (5files)
Trojan-GameThief.Win32.Magania.bjnj mu9m.exe
Trojan-GameThief.Win32.Magania.bfrp qqhx9m.exe
Trojan.Win32.Agent.cnwy qqxx.exe
virus HEUR:Trojan.Win32.Generic qq3g9m.exe、 qq3g9m1.exe (2files)
>>760 (tane0424)
200/200でクローズ
(1)exeフォルダ 100/100
Detected virus Worm.Win32.AutoRun.afcb /exe/*.exe
(2)exe1フォルダ 100/100
Detected Trojan.Win32.Agent.bsmyなど /exe1/*.exe
762 :名無しさん@お腹いっぱい。:2009/07/02(木) 15:31:26
>>752
多分、テンプレに入れる必要はないけど、マイナー所の提出先を幾つか…まだWikiの方には反映させてない気がする。
メール
BullGuard Internet Security <support☆bullguard.com>
Central Command(Vexira Antivirus) <virus☆centralcommand.com>
Intego(VirusBarrier) <sample☆virusbarrier.com>
Mischel Internet Security(TrojanHunter) <support☆trojanhunter.com>
Moosoft(The Cleaner) <trojans☆moosoft.com>
NictaTech Software(Digital Patrol) <newvirus☆nictasoft.com>
Simply Super Software(Trojan Remover) <submit☆simplysup.com>
SRN Micro(Solo Antivirus) <support☆srnmicro.com>
Webフォーム
ATShield Ltd.(Anti-Trojan Shield)
ttp://www.atshield.com/?r=support&pr=submit
3MBまで
−−−
そういや、昨日出した分から、nProtect GameGuardから、受理のメールが届くようになってた。
始めてメール来たので、ちょっとびっくり。
ファイル添付可能にしてくれればなぁ…アドレス連絡しても、日替わりで、対応してない奴とかあるし。
多分、テンプレに入れる必要はないけど、マイナー所の提出先を幾つか…まだWikiの方には反映させてない気がする。
メール
BullGuard Internet Security <support☆bullguard.com>
Central Command(Vexira Antivirus) <virus☆centralcommand.com>
Intego(VirusBarrier) <sample☆virusbarrier.com>
Mischel Internet Security(TrojanHunter) <support☆trojanhunter.com>
Moosoft(The Cleaner) <trojans☆moosoft.com>
NictaTech Software(Digital Patrol) <newvirus☆nictasoft.com>
Simply Super Software(Trojan Remover) <submit☆simplysup.com>
SRN Micro(Solo Antivirus) <support☆srnmicro.com>
Webフォーム
ATShield Ltd.(Anti-Trojan Shield)
ttp://www.atshield.com/?r=support&pr=submit
3MBまで
−−−
そういや、昨日出した分から、nProtect GameGuardから、受理のメールが届くようになってた。
始めてメール来たので、ちょっとびっくり。
ファイル添付可能にしてくれればなぁ…アドレス連絡しても、日替わりで、対応してない奴とかあるし。
763 :名無しさん@お腹いっぱい。:2009/07/02(木) 15:45:49
764 :名無しさん@お腹いっぱい。:2009/07/02(木) 17:16:59
カスペ2010 返答&検出状況 15:46
>>723 tane 0419 (>>727,739,741,753)
43+5=48/56, 白6,回答待ち2 (yes.txt, , www.free-celem.....htm),
www.brun-sylvain.fr\idv6.txt - 白 (返事)
見合わせ3ファイルは、各ベンダーに提出後も現在VT再解析0%であるから、白に加算.
>>732 (>>741) tane0420
148+1=149/149で閉鎖
Trojan-Dropper.Win32.Agent.auzd up.cj-vv.cn\mm\la\new1.exe
>>742(>>746-747,753,756)
80+1+1=82/96,白1、残13
Net-Worm.Win32.Koobface.akh - liesbethmilan.be\fb.48.exe (返事)
>>760,(>>761) tane0423
11/12(うちHEUR1)、白1で仮閉鎖
Trojan-GameThief.Win32.Magania.bjyb qq3g9m1.exe (←HEUR:Trojan.Win32.Generic)
divx680vfw.exe - 白 (返事)
>>723 tane 0419 (>>727,739,741,753)
43+5=48/56, 白6,回答待ち2 (yes.txt, , www.free-celem.....htm),
www.brun-sylvain.fr\idv6.txt - 白 (返事)
見合わせ3ファイルは、各ベンダーに提出後も現在VT再解析0%であるから、白に加算.
>>732 (>>741) tane0420
148+1=149/149で閉鎖
Trojan-Dropper.Win32.Agent.auzd up.cj-vv.cn\mm\la\new1.exe
>>742(>>746-747,753,756)
80+1+1=82/96,白1、残13
Net-Worm.Win32.Koobface.akh - liesbethmilan.be\fb.48.exe (返事)
>>760,(>>761) tane0423
11/12(うちHEUR1)、白1で仮閉鎖
Trojan-GameThief.Win32.Magania.bjyb qq3g9m1.exe (←HEUR:Trojan.Win32.Generic)
divx680vfw.exe - 白 (返事)
765 :名無しさん@お腹いっぱい。:2009/07/02(木) 19:26:23
>>760さん乙
Symantecとa-squaredとMalwarebytesに提出しました
セキュ板はたしか連投4回までです。秒規制は40秒間隔かな(2ch専用ブラウザで確認回避可能)
760さんの7zipの圧縮形式(LZMA・PPMd・ZIP)と圧縮率はいくつですか?
>>1さん
このスレは、いわば危険物が集まる場所なワケで、
セキュリティに疎い人が来てワクチンすら間に合っていない危険に晒されてしまう可能性も考えられるので、
最低限、オートラン無効設定の案内を予めことわり書きしておく必要があると思います。
IPA 情報処理推進機構
「外部記憶メディアのセキュリティ対策を再確認しよう!」 ― USB メモリ、便利のウラに落とし穴 ―
ttp://www.ipa.go.jp/security/txt/2008/12outline.html
「 USB メモリのセキュリティ対策を意識していますか? 」 ― USB メモリの安全な使い方を知ろう ―
ttp://www.ipa.go.jp/security/txt/2009/05outline.html
Symantecとa-squaredとMalwarebytesに提出しました
セキュ板はたしか連投4回までです。秒規制は40秒間隔かな(2ch専用ブラウザで確認回避可能)
760さんの7zipの圧縮形式(LZMA・PPMd・ZIP)と圧縮率はいくつですか?
>>1さん
このスレは、いわば危険物が集まる場所なワケで、
セキュリティに疎い人が来てワクチンすら間に合っていない危険に晒されてしまう可能性も考えられるので、
最低限、オートラン無効設定の案内を予めことわり書きしておく必要があると思います。
IPA 情報処理推進機構
「外部記憶メディアのセキュリティ対策を再確認しよう!」 ― USB メモリ、便利のウラに落とし穴 ―
ttp://www.ipa.go.jp/security/txt/2008/12outline.html
「 USB メモリのセキュリティ対策を意識していますか? 」 ― USB メモリの安全な使い方を知ろう ―
ttp://www.ipa.go.jp/security/txt/2009/05outline.html
766 :名無しさん@お腹いっぱい。:2009/07/02(木) 20:09:57
>>760
>>760
McAfee (Active Protection 無効)
tane0423
11/12
tane0434
200/200
未検出分(divx680vfw)をMcAfeeに提出させて頂きました。
>>760
McAfee (Active Protection 無効)
tane0423
11/12
tane0434
200/200
未検出分(divx680vfw)をMcAfeeに提出させて頂きました。
>>758,760
divx680vfw■exe は ttp://codecpack■nl/divx680vfw.exe と同じものですが、流石にこれは誤検出だと
思われますので、AVIRAにSuspected False Positiveで提出しておきました。
返答来たら書き込みます。
divx680vfw■exe は ttp://codecpack■nl/divx680vfw.exe と同じものですが、流石にこれは誤検出だと
思われますので、AVIRAにSuspected False Positiveで提出しておきました。
返答来たら書き込みます。
カスペ 返答
>>742(>>746-747,753,756,764)
80+2+2=84/96,白1、残11
kepko.net\.exe_
No malicious code was found in this file.(>>753通り)
kepko.net\7klik.com.htm_ - Trojan-Downloader.HTML.Agent.pk,
kepko.net\n1.htm_ - Trojan-Clicker.HTML.Agent.an
New malicious software was found in these files.
ほかは進展なし。今日はここまで。
>>742(>>746-747,753,756,764)
80+2+2=84/96,白1、残11
kepko.net\.exe_
No malicious code was found in this file.(>>753通り)
kepko.net\7klik.com.htm_ - Trojan-Downloader.HTML.Agent.pk,
kepko.net\n1.htm_ - Trojan-Clicker.HTML.Agent.an
New malicious software was found in these files.
ほかは進展なし。今日はここまで。
769 :名無しさん@お腹いっぱい。:2009/07/03(金) 10:52:23
そろそろ次スレですかね。容量的に。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=425
infected
MarwareListから拾ったもの。Norman、Zoner以外は一通り提出完了しています。
AntiVir(48/53)
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=425
infected
MarwareListから拾ったもの。Norman、Zoner以外は一通り提出完了しています。
AntiVir(48/53)
770 :名無しさん@お腹いっぱい。:2009/07/03(金) 10:57:35
>>769
カスペ返答
*** already detected ***
<省略>
*** New ***
aa8.exe_ - Trojan-GameThief.Win32.OnLineGames.bmkd,
installer_70321.exe_ - Trojan-Downloader.Win32.FraudLoad.evw,
socks.exe_ - Trojan-Spy.Win32.Agent.awnv,
winres.exe_ - Trojan-Dropper.Win32.VB.mtc
*** CLEAN ***
EvID4226Patch.exe_, flist.js_
まかふぃー返答
aa10.exe , aa8.exe , flist.js , t.exe が inconclusive 。他は、current detection 、new detection 、heuristic detection のいずれか。
−−−
flist.jsは、Avast(+G DATA)のみが検知。内容的にも、普通は白判定になると思う。
カスペ返答
*** already detected ***
<省略>
*** New ***
aa8.exe_ - Trojan-GameThief.Win32.OnLineGames.bmkd,
installer_70321.exe_ - Trojan-Downloader.Win32.FraudLoad.evw,
socks.exe_ - Trojan-Spy.Win32.Agent.awnv,
winres.exe_ - Trojan-Dropper.Win32.VB.mtc
*** CLEAN ***
EvID4226Patch.exe_, flist.js_
まかふぃー返答
aa10.exe , aa8.exe , flist.js , t.exe が inconclusive 。他は、current detection 、new detection 、heuristic detection のいずれか。
−−−
flist.jsは、Avast(+G DATA)のみが検知。内容的にも、普通は白判定になると思う。
>>742(>>746-747,753,756,764,768)
カスペからの返事
80+(4+3)=87/96, 白2, 残7
FakeAV videoxporno.ruフォルダ
ddanchev-suck-my-dick.php
No malicious code was found in this file.
Setup-27ab1cc_02022.exe, Setup-30a959_02022.exe, Setup-9139d_02022.exe - Trojan.Win32.FraudPack.pev
New malicious software was found in these files.
カスペからの返事
80+(4+3)=87/96, 白2, 残7
FakeAV videoxporno.ruフォルダ
ddanchev-suck-my-dick.php
No malicious code was found in this file.
Setup-27ab1cc_02022.exe, Setup-30a959_02022.exe, Setup-9139d_02022.exe - Trojan.Win32.FraudPack.pev
New malicious software was found in these files.
772 :名無しさん@お腹いっぱい。:2009/07/03(金) 16:39:15
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=426
infected
いつも(?)のように、Norman、Zoner以外は一通り提出完了。
MarwareListの7/2分から拾ったものと、リネージュ資料室の更新リストにあった日替わり(?)scrです。
AntiVir(41/48)
※ 設定ファイルのstatic.stdも入ってますが、これは白判定が普通だと思います。
Avastはなんで検知するんだか…
そういや、PC.exeとAgent.exeの入った奴の中のリストを、A-Squaredが検知してたこともあったっけ。
infected
いつも(?)のように、Norman、Zoner以外は一通り提出完了。
MarwareListの7/2分から拾ったものと、リネージュ資料室の更新リストにあった日替わり(?)scrです。
AntiVir(41/48)
※ 設定ファイルのstatic.stdも入ってますが、これは白判定が普通だと思います。
Avastはなんで検知するんだか…
そういや、PC.exeとAgent.exeの入った奴の中のリストを、A-Squaredが検知してたこともあったっけ。
773 :名無しさん@お腹いっぱい。:2009/07/03(金) 16:54:33
>>772
NortonInternetSecurity2009
40/48
PandaGlobalProtection2010
38/48
GDATAInternetSecurity2010
39/48
NortonInternetSecurity2009
40/48
PandaGlobalProtection2010
38/48
GDATAInternetSecurity2010
39/48
774 :名無しさん@お腹いっぱい。:2009/07/03(金) 18:59:44
>>772
McAfee (Active Protection 無効)39/48
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gbtext.dll |inconclusive | | |no
ld.php |inconclusive | | |no
musictupac.-.all.eye|inconclusive | | |no
scan.php |inconclusive | | |no
static.exe |new detection |generic pws.y!dp |Trojan |yes
static.std |inconclusive | | |no
tupac-all-eyez-on-me|inconclusive | | |no
w.exe |inconclusive | | |no
wingb.dll |inconclusive | | |no
ここまで、McAfee残件なし。
McAfee (Active Protection 無効)39/48
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gbtext.dll |inconclusive | | |no
ld.php |inconclusive | | |no
musictupac.-.all.eye|inconclusive | | |no
scan.php |inconclusive | | |no
static.exe |new detection |generic pws.y!dp |Trojan |yes
static.std |inconclusive | | |no
tupac-all-eyez-on-me|inconclusive | | |no
w.exe |inconclusive | | |no
wingb.dll |inconclusive | | |no
ここまで、McAfee残件なし。
775 :名無しさん@お腹いっぱい。:2009/07/03(金) 19:20:39
取り急ぎ次スレたてました。
【鑑定目的禁止】検出可否報告スレ12
http://pc11.2ch.net/test/read.cgi/sec/1246615426/
取り急ぎ、提出先など確認お願いします。
(ベンダーが含まれているか?提出先が誤っていないか?死んでいるリンク、アドレスはないか?余分なものはないか?など)
【鑑定目的禁止】検出可否報告スレ12
http://pc11.2ch.net/test/read.cgi/sec/1246615426/
取り急ぎ、提出先など確認お願いします。
(ベンダーが含まれているか?提出先が誤っていないか?死んでいるリンク、アドレスはないか?余分なものはないか?など)
776 :名無しさん@お腹いっぱい。:2009/07/03(金) 19:36:14
777 :名無しさん@お腹いっぱい。:2009/07/03(金) 19:57:13
778 :名無しさん@お腹いっぱい。:2009/07/03(金) 20:05:01
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=427
virus
swfはcws(zlib圧縮)形式だけど、(FFmpegのcws2fwsで)fws形式に解凍すると
超巨大サイズになるのでそのままで。
ネタ元 SANS ISC
Cold Fusion web sites getting compromised
ttp://isc.sans.org/diary.html?storyid=6715
exeは2つ。
www■vii3■cn/svcst.exe (今日製造)
www■qiqijs■com/gm/gm.exe (先月28日製造、賞味期限切れ)
virus
swfはcws(zlib圧縮)形式だけど、(FFmpegのcws2fwsで)fws形式に解凍すると
超巨大サイズになるのでそのままで。
ネタ元 SANS ISC
Cold Fusion web sites getting compromised
ttp://isc.sans.org/diary.html?storyid=6715
exeは2つ。
www■vii3■cn/svcst.exe (今日製造)
www■qiqijs■com/gm/gm.exe (先月28日製造、賞味期限切れ)
779 :名無しさん@お腹いっぱい。:2009/07/03(金) 20:11:25
>>775乙
>>772d tane0426
カスペ2010 41/48
(1)iframe 1/3 (id.php, static.stdスルー)
Trojan-Spy.Win32.Zbot.gen static.exe
(2)lawd 34/34
Trojan-GameThief.Win32.Magania.biht CJSH9M.exe、 WZSJ9M.exe、 cp9m.exe、 cqwd9m.exe、 dh29m.exe、 dh39m.exe、 dhwd9m.exe、 dj9m.exe、 jxsj9m.exe、jr9m.exe
同上 kx9m.exe、 mhxu9m.exe、 rxjh9m.exe、 tl9m.exe、 wd9m.exe、 wl9m.exe、 wmgj9m.exe、 xc9m.exe、 zt9m.exe、 zu9m.exe、 zx9m.exe、 zzh9m.exe
Magania.*系 aion9m.exe、 cqsj9m.exe dnf9m.exe hx29m.exe mhxu9m1.exe mu9m.exe qq3g9m1.exe qqhx9m.exe tx29m.exe
Trojan-GameThief.Win32.OnLineGames.bkzf qqma1.exe
Trojan.Win32.Pakes.nkm qqmo.exe
unknown threat UDS:DangerousObject.Multi.Generic qq3g9m.exe
(3)music 1/2 (tupac-*..htm;スルー)
Trojan.Win32.FraudPack.pet MusicTupac-*.exe
(4)www.mlwc 2/2
Backdoor.Win32.PcClient.asff 1199.exe、 mpg.scr
(5)その他 3/3
Trojan-GameThief.Win32.OnLineGames.bmiy \w9.7777ee.com\a9.exe
Trojan-PSW.Win32.Delf.dud \www.area03601.com\w.exe
Trojan-Downloader.Win32.VB.ovh www.vduz.cn\r8.exe
6)スルー iarc 0/2, total sec 0/2
>>772d tane0426
カスペ2010 41/48
(1)iframe 1/3 (id.php, static.stdスルー)
Trojan-Spy.Win32.Zbot.gen static.exe
(2)lawd 34/34
Trojan-GameThief.Win32.Magania.biht CJSH9M.exe、 WZSJ9M.exe、 cp9m.exe、 cqwd9m.exe、 dh29m.exe、 dh39m.exe、 dhwd9m.exe、 dj9m.exe、 jxsj9m.exe、jr9m.exe
同上 kx9m.exe、 mhxu9m.exe、 rxjh9m.exe、 tl9m.exe、 wd9m.exe、 wl9m.exe、 wmgj9m.exe、 xc9m.exe、 zt9m.exe、 zu9m.exe、 zx9m.exe、 zzh9m.exe
Magania.*系 aion9m.exe、 cqsj9m.exe dnf9m.exe hx29m.exe mhxu9m1.exe mu9m.exe qq3g9m1.exe qqhx9m.exe tx29m.exe
Trojan-GameThief.Win32.OnLineGames.bkzf qqma1.exe
Trojan.Win32.Pakes.nkm qqmo.exe
unknown threat UDS:DangerousObject.Multi.Generic qq3g9m.exe
(3)music 1/2 (tupac-*..htm;スルー)
Trojan.Win32.FraudPack.pet MusicTupac-*.exe
(4)www.mlwc 2/2
Backdoor.Win32.PcClient.asff 1199.exe、 mpg.scr
(5)その他 3/3
Trojan-GameThief.Win32.OnLineGames.bmiy \w9.7777ee.com\a9.exe
Trojan-PSW.Win32.Delf.dud \www.area03601.com\w.exe
Trojan-Downloader.Win32.VB.ovh www.vduz.cn\r8.exe
6)スルー iarc 0/2, total sec 0/2
780 :名無しさん@お腹いっぱい。:2009/07/03(金) 20:35:41
>>778 d tane0427
カスペ2010
7/7でクローズ
Trojan-GameThief.Win32.Magania.bkfy bome1.exe
Exploit.SWF.Downloader.nn i115cws.swf、 i64cws.swf、 n115cws.swf、 n64cws.swf
Trojan program Exploit.Win32.Pidief.bcm shellcode1.pdf
Trojan.Win32.Agent2.kum trj1.exe
>>769 tane0425
>>770さんd
51/53、白2でクローズ(?)
カスペ2010
7/7でクローズ
Trojan-GameThief.Win32.Magania.bkfy bome1.exe
Exploit.SWF.Downloader.nn i115cws.swf、 i64cws.swf、 n115cws.swf、 n64cws.swf
Trojan program Exploit.Win32.Pidief.bcm shellcode1.pdf
Trojan.Win32.Agent2.kum trj1.exe
>>769 tane0425
>>770さんd
51/53、白2でクローズ(?)
781 :名無しさん@お腹いっぱい。:2009/07/03(金) 20:35:59
782 :名無しさん@お腹いっぱい。:2009/07/03(金) 20:36:11
>>778
Symantec、Panda、GDATA2010(=avast!&BitDefender)提出完了
Symantecから自動返答
filename: shellcode1.pdf
machine: Machine
result: See the developer notes
Aviraにも提出したけど全検出とのこと
25388375 bome1.exe 124.82 KB MALWARE
25388376 i115cws.swf 18.47 KB MALWARE
25388377 i64cws.swf 18.41 KB MALWARE
25388378 n115cws.swf 18.41 KB MALWARE
25388379 n64cws.swf 18.41 KB MALWARE
25387310 shellcode1.pdf 22.62 KB DAMAGED FILE (MALWARE)
25387183 trj1.exe 12 KB MALWARE
Symantec、Panda、GDATA2010(=avast!&BitDefender)提出完了
Symantecから自動返答
filename: shellcode1.pdf
machine: Machine
result: See the developer notes
Aviraにも提出したけど全検出とのこと
25388375 bome1.exe 124.82 KB MALWARE
25388376 i115cws.swf 18.47 KB MALWARE
25388377 i64cws.swf 18.41 KB MALWARE
25388378 n115cws.swf 18.41 KB MALWARE
25388379 n64cws.swf 18.41 KB MALWARE
25387310 shellcode1.pdf 22.62 KB DAMAGED FILE (MALWARE)
25387183 trj1.exe 12 KB MALWARE
>>758,767
AVIRA返答。
divx680vfw.exe - FALSE POSITIVE
Detection will be removed from our virus definition file (VDF) with one of the next updates.
と言うことで、誤検出でした。
AVIRA返答。
divx680vfw.exe - FALSE POSITIVE
Detection will be removed from our virus definition file (VDF) with one of the next updates.
と言うことで、誤検出でした。
カスペからの返事
>>760(>>761,764) tane0423
11/12、白1で閉鎖
qq3g9m.exe - Trojan-GameThief.Win32.Magania.bkii (←HEUR:Trojan.Win32.Generic)
>>772 (>>779) tane0426
カスペ2010 41/48、白2
iarc.er-robotics.orgフォルダ
gbtext.dll,wingb.dll - No malicious code were found in these files.
>>760(>>761,764) tane0423
11/12、白1で閉鎖
qq3g9m.exe - Trojan-GameThief.Win32.Magania.bkii (←HEUR:Trojan.Win32.Generic)
>>772 (>>779) tane0426
カスペ2010 41/48、白2
iarc.er-robotics.orgフォルダ
gbtext.dll,wingb.dll - No malicious code were found in these files.
785 :名無しさん@お腹いっぱい。:2009/07/04(土) 10:21:18
786 :名無しさん@お腹いっぱい。:2009/07/04(土) 10:24:31
【鑑定目的禁止】検出可否報告スレ12
ttp://pc11.2ch.net/test/read.cgi/sec/1246615426/
ttp://pc11.2ch.net/test/read.cgi/sec/1246615426/
カスペ2010 11:01
41/48、白2、残5
>>772 (>>779,784) tane0426
qq3g9m.exe Trojan-GameThief.Win32.Magania.bkii ← unknown threat UDS:DangerousObject.Multi.Generic
41/48、白2、残5
>>772 (>>779,784) tane0426
qq3g9m.exe Trojan-GameThief.Win32.Magania.bkii ← unknown threat UDS:DangerousObject.Multi.Generic