【鑑定目的禁止】検出可否報告スレ9

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 2chのread.cgiへ]
Update time : 11/22 06:26 / Filesize : 271 KB / Number-of Response : 633
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

【鑑定目的禁止】検出可否報告スレ9

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/15(木) 16:56:36 ]: ①はじめに
各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うｐろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

前スレ
【鑑定目的禁止】検出可否報告スレ8
pc11.2ch.net/test/read.cgi/sec/1228314831/

●専用アプロダ推奨↓
tane.sakuratan.com/

●検体提出先まとめWiki
rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先（Webフォーム、メールアドレス）、検体提出方法、推奨される文例、検体提出時の注意事項が掲載されています。
2 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/15(木) 16:58:14 ]: ②議論や意見のまとめ

・圧縮ファイルと検出数
　exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。

・DOSウイルス禁止
　大昔のウイルスを集めてきても無意味なことがあります。

・パスなしZIPをパス有りLZH(またはRAR)で
　安全性と利便性のため、上記の手法を推奨します。

・淡々とやれ淡々と！
　淡々と貼り、淡々といきましょう。

・ブラクラ禁止
　ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません。

・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
　んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。　という意見もあり。

・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、提出していない旨記載。（ベンダーに多重送付を避けるため）

・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。

・スレ違いでもめる(2スレ目以降)

・あらしはスルー。ソフトの優劣の議論は別スレで！（下記スレなど）

一番いいセキュリティソフトはなんだ!!Part60
pc11.2ch.net/test/read.cgi/sec/1227491237/
3 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/15(木) 16:59:39 ]: 【重要】
●ここは鑑定スレではありません！！！！！malwareのみお願いします。（割れ、キージェネ、クラッカー厳禁）
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。

※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら貢献することを目的としているスレです。
検体の悪用・不正利用は厳禁願います。

●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。

●検体確認は自己責任でお願いします。感染しても責任は一切持ちません！

※◆W32/Vael.oは信頼できるコテさんです。

★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。

・VIRUSTOTAL (VT)
www.virustotal.com/jp/

・VirScan
www.virscan.org/

・Jotti
virusscan.jotti.org/

※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。
4 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/15(木) 17:03:51 ]: ●新種・亜種ウイルスを発見した場合のサンプル提出先
(未検出の場合はとにかく提出しましょう)

シマンテック（ノートン）
Symantec Security Response USA 〔Upload a suspected infected file〕
ttps://submit.symantec.com/websubmit/retail.cgi

ウイルスバスター（トレンドマイクロ）　
inet.trendmicro.co.jp/esolution/supform.asp
バスターユーザー以外は
;www.trendmicro.com/jp/security/virushunter.htm
subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7

マカフィー　
www.nai.com/japan/security/contactavert.asp

ESET　NOD32アンチウイルス　
www.eset.com/support/ans/9d.htm

V3ウイルスブロック（アンラボ）
info.ahnlab.com/customer/virus_call.html

ウイルスドクター　
www.virusdoctor.jp/virus/
5 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/15(木) 17:04:21 ]: Rising（ウイルスキラー）
up.rising.com.cn/webmail/uploadnew.htm
Rising（ウイルスキラー）英語版
ttp://sample.rising-global.com/webmail/upload_en.htm

Dr.WEB　
ttp://drweb.jp/support/virus_sample.html

ソフォス（Sophos)　
www.sophos.co.jp/support/queries/#sample

F-Secure (エフセキュア)　
www.f-secure.co.jp/support/samples/

kaspersky（カスペルスキー）
www.kaspersky.co.jp/
一番下の「新しいウイルスをお知らせ下さい」

バイロボット(hauri、ViRobot)
www.hauri.net/support/support/virus_reg.html?menu=QTAy

キングソフト・アンチウィルス
www.kingsoft.jp/is/kentai.html
6 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/15(木) 17:04:43 ]: BitDefender　
www.bitdefender.com/bd/site/contactus.php

Avira AntiVir
ttp://www.avira.com/en/support/submit_suspicious_files.html

ewido (AVG;Anti ;Spyware)　
www.ewido.net/en/malware/

AVG　
www.grisoft.cz/doc/faq/jp/crp/0
www.grisoft.com/jp.faq.num-771#faq_771

avast!　
www.avast.com/jpn/technical_support.html

eTrust　
www.caj.co.jp/support/csp/free_policy/virus.htm

F-PROT;
www.f-prot.com/virusinfo/submission_form.html

eSafe　
www.aladdin.com/home/csrt/vsubmit.asp

a2(a-squared)
www.emsisoft.jp/jp/support/submit/
7 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/15(木) 17:05:03 ]: Microsoft（マイクロソフト）
ttp://www.microsoft.com/security/portal/submit.aspx

ウイルスセキュリティZERO (K7Computing)
ttp://k7computing.com/Support/newvirus.html

ウイルスチェイサー
www.viruschaser.jp/support_aft.html#q28
8 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/15(木) 17:08:13 ]: 以上テンプレここまで
-----------------------------------------

テンプレ（>>1->>7)、検体提出先(>>4->>7)の変更・追加あれば、>>8にレスする形で指摘よろ。

変更点
・Jottiを加えた。 >>3
・ウィルスセキュリティ(K7Computing)については重複していたので、>>7に記載、検体提出先を正しいものに変更
・HAURIについては重複していたので、>>5に記載、検体提出先を正しいものに変更。
・「検体提出先まとめWiki」を加えた。>>1
・検体結果SSのお願いをテンプレから削除。
・怪しいURL鑑定スレではないことを追加。
・その他

足早にスレ立てしたので確認よろしく。
9 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/15(木) 17:10:40 ]: >1 otu

hosyu
10 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 15:15:17 ]: >>8
>>4のESETの検体提出先は「404 Page Error」なんですが・・・・
あと>>6のBitDefenderの提出先もあれじゃどこにあるのかわからない

ここら辺も正しいものに変更希望
11 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 15:37:43 ]: >>1-8 乙

>>9 確認します。

前スレ1000埋まりそうなので、前スレでアップロードされた最近の検体3体（返答専用）
12 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 15:38:07 ]: 934 名前： ◆W32/Vael.o [sage] 投稿日：2009/01/13(火) 18:37:05
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=186
Malware-Pack55

例によってMcAfeeには提出済み
13 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 15:38:28 ]: 967 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/01/15(木) 13:18:10
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=187
virus
14 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 15:38:56 ]: BitDefender

送付先１：
support(あっと)bitdefender.com
　beta.bitdefender.com/site/KnowledgeBase/consumer/

　下記の選択肢を選ぶ
　　-->Fight against malware
　　　　　+-->Improving Detection
　下記の文書を選ぶ
　　-->What to do when BitDefender does not detect malware

送付先２：
　virus_submission(あっと)bitdefender.com（2MBまで？)
　forum.bitdefender.com/index.php?showtopic=3066
15 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 15:39:16 ]: 989 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2009/01/16(金) 14:28:41
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=189
virus
16 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 16:19:57 ]: >>4
V3ウイルスブロック（アンラボ）
リンクが404

・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答
　（詳細は>>1の提出先まとめの末尾参照）
　Ahnlab Customer(AhnLab-V3) <ahnlabcustomer＠ahnlab.co.jp>
・アンラボ(韓国)にはフォームあり。最近はエラーで送れない。
　kr.ahnlab.com/info/customer/virus_call_write.jsp
・アンラボ(グローバル/鯖は韓国)からは、専用のAhnReportを使用するよう指示されている。
　global.ahnlab.com/global/support/support_report.html

ESET
training.eset.com/kb/index.php?option=com_kb&Itemid=29&page=articles&articleid=141

>>7のウイルスチェイサーに関する補足事項に下記を１行追記希望

※ Dr.Webエンジンのため、Dr.Webに直接送ったほうが良い。
17 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 16:41:49 ]: >>11
>前スレ1000埋まりそうなので、前スレでアップロードされた最近の検体3体（返答専用）

割り込みごめんなさい。orz
18 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 16:59:21 ]: VirustotalのSymantecはパルスアップデートを適用させてるのかな？
ついさっき検出できるようになった検体がVTでも検出できるようになってる
ttp://www.virustotal.com/analisis/7152fe076e2dea10c8239f5671be828d
でもVirustotalのSymantecはバージョン古いからパルスアップデートを適用させてるのはどう考えてもあり得ないし・・・（現に2009で検出できるヒューリスティック検出はVirustotalでは検出できない）
19 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 17:42:39 ]: >>13
NortonInternetSecurity2009追加検出+1
Infostealer.Wowcraft：wow1dll.exe
9/12
20 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 19:25:06 ]: >>15
Rising
21.21.32 (21.12.32.00)にて
sqlinject1.exe: Backdoor.Win32.PcClient.qck
upk1dldr.exe: Trojan.PSW.Win32.QQPass.qir
21.21.42 (21.12.42.00)にて
autorun1-4.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bge
mj1.exe>>65: Trojan.Win32.Nodef.zr
mj1dll.exe: Trojan.Win32.Nodef.zr
pol1.exe>>66: Trojan.Win32.Nodef.zp
pol1dll.exe: Trojan.Win32.Nodef.zp
wow1.exe>>66: Trojan.Win32.Nodef.zq
wow1dll.exe: Trojan.Win32.Nodef.zq
12/12
21 名前：前スレ996 mailto:sage [2009/01/16(金) 19:49:39 ]: >>15
カスペ2009＠18:47:00

5+追加検出7=12/12

Detected Trojan program Trojan.Win32.Agent.bihy tane0189.zip/wow1dll.exe
Detected Trojan program Trojan-GameThief.Win32.WOW.eki tane0189.zip/wow1.exe
Detected Trojan program Trojan.Win32.Delux.fv tane0189.zip/sqlinject1.exe

上記3つは検知後、Thank you メール受信
autorun[1-4].exeについては、カスペから今メール受信 19:44

Hello.

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.

カスペはアナリストによって、返事返すのが遅かったり、返さない場合があるからなぁ。（検知を以て回答とするみたいな）
22 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 21:43:56 ]: ベンダーにメールで検体を提出するときに、
ヤフーメールやgooメールなどのフリーメールで検体を提出しても大丈夫でしょうか？
それともプロバイダのpopメールで提出したほうがいいのでしょうか？
23 名前：名無しさん＠お腹いっぱい。 [2009/01/16(金) 22:11:11 ]: 別にいいんじゃない。
zipかrarで圧縮して送信できれば。（exeだとリジェクトされるかも）
24 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/16(金) 22:16:35 ]: >>22
フリーメールで構いません。添付さえできれば。
あと、圧縮ファイルはzip＆パスワードをつけて、本文内にパスワードを記載。
ベンダによっても違うみたいですよ。
25 名前：アプロダ”管理”人 ◆HL2fUAyECQ mailto:sage [2009/01/16(金) 22:29:32 ]: >>1
オツカレ～
26 名前：22 mailto:sage [2009/01/16(金) 23:17:52 ]: >>23、>>24
ありがとうございます。
27 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 00:39:32 ]: 眠いくてファイルのアップする気力がないので情報だけ
ttp://namaekurekure.blog116.fc2.com/blog-entry-155.html
ルーマニア政府観光局のサイトが進入されたっぽい。
iframeだった。
ちなみにカスペ2009（新エミュ）では"HEUR:Trojan.Script.Iframer"で検出。
一応送ります。
28 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 00:43:48 ]: >>27
突撃してみようかと思ったけど仮想環境じゃないしexploit系が仕込まれてるみたいなので今回は止めておく
捨てPCでも感染は怖い
29 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 00:48:56 ]: >>27
踏んできたw

グーグル先生にしかられFirefoxたんに警告されて
行ってみたら、、、ドメイン登録ごと吹っ飛んでおりましたw
30 名前：27 mailto:sage [2009/01/17(土) 00:49:29 ]: 気力しぼって、うpした。
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=190
virus
31 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 00:59:41 ]: >>30
ソースコードみたけれど、バイナリで直接し込まれているな
実行したくねぇけれど・・・・これから実行するわ

F-Secure Intenet Security2009で逝ってきます
32 名前：31 mailto:sage [2009/01/17(土) 01:12:49 ]: とりあえず、Firefox(NoScriptだけ切った)に放り込んでみたけれどなにも起こらず
その際のTCPMonitorPlusのログを上げておきます
www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=191
33 名前：31 mailto:sage [2009/01/17(土) 01:13:35 ]: パス　virus

誰か一緒に検証してくれ
34 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 01:17:38 ]: Firefoxは無害だもの
35 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 05:29:46 ]: >>30
www.virustotal.com/jp/analisis/8f9e88903a5fb25fc01367f359ac9699
36 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 07:33:12 ]: >>15
NortonInternetSecurity2009追加検出+1
Trojan Horse：wow1.exe
10/12
37 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 07:43:32 ]: >>30
とりあえずAntiVir、Panda、Symantecに提出した
でも>>35を見ると微妙・・・
38 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 13:46:22 ]: >>27 >>31
難読化スクリプトはdocument.writeなどをalertにして
Firefoxで踏んでみる(IEはダイアログの中身が長すぎると省略されるのと
ダイアログの内容を選択できずエディタなどにコピペできない)。

平文に戻したスクリプトにはMS08-078のシェルコード(unicode)が入っていて
アセンブラ読めない自分は涙目なんだけど、
他にOEとかSnapshotViewer(Access)とかFlashとかPDFとか
併用しまくっているのでそちらからいただきました
(OEやSnapshotViewerはexeのURIベタ書きなので検体の入手が容易です)。

67■215■231■242/uniq/load.php
→1.exe (ダウンローダ)
　→gpt0■ru/2k9/s9.exe

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=192
virus
2匹ともUPXだったので解凍済み。
39 名前：31 mailto:sage [2009/01/17(土) 15:09:56 ]: >>38
> アセンブラ読めない自分は涙目なんだけど、
これは私も以下略

提出します
40 名前：名無しさん＠お腹いっぱい。 [2009/01/17(土) 15:28:58 ]: >>38
㌧
カスペ2009 14:52
1/2

Detected Trojan program Trojan-Downloader.Win32.Small.jbz tane0192\1.exe

s9.exe 検体提出します。

VT （CET+8:00=日本時間）
www.virustotal.com/analisis/40b589f23d7183d5c9ca8b06a87c3831 1.exe 3/39
www.virustotal.com/analisis/1544d9232b999b6e5833f44549e4d915 s9.exe 7/39
41 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 16:49:11 ]: >>15
PandaGlobalProtection2009
wow1.exeとwow1dii.exeを疑わしいファイルとして検出
10/12
42 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 16:51:04 ]: >>38
PandaGlobalProtection2009
1.exeを疑わしいファイルとして検出
43 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 16:53:53 ]: >>38
NOD32 v3.0 定義3772
0/2　Esetへ提出済み
44 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 17:40:15 ]: tane.sakuratan.com/upload/upload.cgi?mode=dl&file=194
virus
45 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 17:47:51 ]: >>44 中身同じかな。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=195
virus
ttp://www.virustotal.com/analisis/8aa845e996594d6afad99e2863baeec7
46 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 17:48:54 ]: >>44
AntiVirPremium
オールスルー

PandaGlobalProtection2009
全て疑わしいファイルとして検出

NortonInternetSecurity2009
Backdoor.Formador：全部の検体

>>44はAntiVirとavast!に提出してきます
47 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 17:53:35 ]: >>45
AntiVirPremium
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper

PandaGlobalProtection2009
疑わしいファイルとして検出

NortonInternetSecurity2009
スルー

>>45はSymantecとavast!に提出してきます
>>38はAntiVirとSymantecとPandaとavast!に提出済み
48 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 18:00:54 ]: >>44 は4つとも同一、解凍すると >>45 (RO666.exe)。
49 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 18:03:25 ]: まだavast!に提出してないけど>>44も>>45もavast!に提出する必要ないみたいだね（>>45もVirustotalで確認済み）
ttp://www.virustotal.com/analisis/d98256cb145061e75a1941aab967e0a4
50 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 18:05:09 ]: >>44、>>45
avastは全部検出
51 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 18:11:42 ]: >>38
検出結果に変わりはないが、別のバイナリが落ちてきた。差し替えられたかな？
VirusTotalは少し前に誰かがかけたらしきものがあったので最新情報ではありません。

AntiVir
1.exe ： NotDetected
s9.exe ： TR/Dldr.Delphi.Gen Trojan

www.virustotal.com/analisis/93e0c2d992042afc7ab19faca4ed31e0　1.exe　7/39
www.virustotal.com/analisis/898c66488b743c5dd1f350b1fddbbe31　s9.exe 8/39

>>38の亜種として検出できるとは思うけど、一応バイナリ違うので提出
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=196
52 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 19:07:03 ]: NOD32 V3.0　定義3772
>>45　1/1
pcclient1.exe Win32/PcClient.NCRの亜種トロイの木馬

>>51
0/2
Esetへ提出
53 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 19:56:33 ]: >>51
>>38 はUPX解凍してあるからバイナリ違う。たぶん。
54 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 20:26:49 ]: >>30 >>38
McAfeeに提出させて頂ました。
55 名前： ◆W32/Vael.o mailto:sage [2009/01/17(土) 20:28:12 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=197
Malware-Pack56

例によってMcAfeeには提出済み
56 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 20:37:00 ]: >>51
McAfeeに提出させて頂ました。
57 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 20:46:27 ]: >>55
AntiVirPremium
Malware\0\file.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\2\setup_243_3777_.exe
[DETECTION] Is the TR/WinSpywareProtect.A Trojan
Malware\3\SpywareReminder_v3_12.exe
[DETECTION] Is the TR/Agent2.CJ Trojan
Malware\4\SpywareGuard2009.exe
[DETECTION] Is the TR/Fakealert.SK Trojan
Malware\5\installer_99404.exe
[DETECTION] Is the TR/Dldr.FraudLo.kqx Trojan
Malware\6\FlashPlayer-9.0.124.0p.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
Malware\7\main.exe
[DETECTION] Contains recognition pattern of the SPR/Fraud.AntiSpy.1 program
Malware\8\load.exe
[DETECTION] Is the TR/Spy.ZBot.kek Trojan
Malware\9\x50.exe
[DETECTION] Contains HEUR/Malware suspicious code
Malware\a\load.exe
[DETECTION] Is the TR/Agent.biel Trojan
Malware\b\adv111.exe
[DETECTION] Is the TR/Dldr.Agent.bdgc Trojan

11/12
58 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 20:56:13 ]: >>55
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A　　　load.exe、FlashPlayer-9.0.124.0p.exe
ウイルス発見 : Generic Trojan　　　INSTALLER_99404.EXE、FILE.EXE、SPYWAREREMINDER_V3_12.EXE
疑わしいファイル：SpywareGuard2009.exe、main.exe、x50.exe、load.exe

それ以外はスルー
10/12
59 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 21:02:34 ]: >>55
NortonInternetSecurity2009
Packed.Generic.187：main.exe
Packed.Generic.200：file.exe、SpywareReminder_v3_12.exe
AntiVirus2008：installer_99404.exe

4/12（うちヒューリスティック検出3つ）
これからavast!含め提出してきます
60 名前：名無しさん＠お腹いっぱい。 [2009/01/17(土) 21:03:33 ]: カスペ2009 19:57:00

>>44 4/4
Detected Trojan program Backdoor.Win32.PcClient.aazt tane0194.zip/Freya.scr, livedoor.scr, MPEG, Online.scr

>>45 1/1
Detected Trojan program Backdoor.Win32.PcClient.aazt tane0195.zip/pcclient1.exe

>>51 1/2
Detected Trojan program Trojan-Downloader.Win32.Small.jbz tane0196.zip/1(1).exe//PE_Patch.UPX//UPX

>>55
9/12 (2,3,5,6,7,8,9,a,b)

Detected Trojan program Trojan-Downloader.Win32.Agent.bdgc tane0197.zip/Malware/b/adv111.exe
Detected Trojan program Trojan.Win32.Agent.biel tane0197.zip/Malware/a/load.exe
Detected Trojan program Trojan-Downloader.Win32.Banload.aags tane0197.zip/Malware/9/x50.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kek tane0197.zip/Malware/8/load.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bdai tane0197.zip/Malware/6/FlashPlayer-9.0.124.0p.exe
Detected Trojan program Backdoor.Win32.Hupigon.fplb tane0197.zip/Malware/5/installer_99404.exe
Detected Trojan program Trojan.Win32.Agent2.cj tane0197.zip/Malware/3/SpywareReminder_v3_12.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.cya tane0197.zip/Malware/2/setup_243_3777_.exe
Detected virus HEUR:Trojan.Win32.Generic tane0197.zip/Malware/7/main.exe

検体提出します。
61 名前：40 [2009/01/17(土) 21:05:37 ]: >>38
カスペからの返事（20:57)

Hello,

s9.exe_ - Trojan-Downloader.Win32.Agent.bdoz

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

1+追加検出1=2/2でFA.
62 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 21:07:01 ]: >>51
AntiVirPremium
s9.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan

PandaGlobalProtection2009とNortonInternetSecurity2009はスルー
提出します
63 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 21:12:30 ]: NOD32 v3.0 定義3773
>>55　　10/12
0\file.exe Win32/Kryptik.EQの亜種トロイの木馬
2\setup_243_3777_.exe Win32/Adware.MSAntispyware2009 アプリケーション
3\SpywareReminder_v3_12.exe Win32/Kryptik.EQの亜種トロイの木馬
4\SpywareGuard2009.exe Win32/Adware.SpywareGuard アプリケーション
5\installer_99404.exe Win32/Adware.AntivirusPlus アプリケーション
7\main.exe Win32/Adware.MSAntispyware2009 アプリケーション
8\load.exe Win32/Spy.Zbot.EN トロイの木馬
9\x50.exe 新種・未知のNewHeur_PEである可能性ウイルス
a\load.exe Win32/TrojanDownloader.Small.OJX トロイの木馬
b\adv111.exe Win32/Agent.ORY トロイの木馬
検出漏れEsetへ提出済み
64 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 21:15:17 ]: >>51
AntiVir

1(1).exe MALWARE
65 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 21:20:38 ]: >>55
Symantecから（1）
filename: x50.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes

filename: FlashPlayer-9.0.124.0p.exe
machine: Machine
result: See the developer notes

filename: main.exe
machine: Machine
result: This file is detected as Packed.Generic.187.

filename: adv111.exe
machine: Machine
result: See the developer notes
66 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 21:28:21 ]: pc11.2ch.net/test/read.cgi/sec/1228314831/888
↑これに関する回答がありました。
土日不可、要一件毎に連絡らしいのですが。。
月曜にでもやっつける予定。
以下転載
＞上記制限値を超えた場合に関しましては、状況に応じFTPサーバ等の代替方法を
＞別途ご用意させていただきます。
＞その場合には弊社テクニカルサポートセンターまでその旨ご相談くださいます様
＞お願い申し上げます。
67 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 21:35:32 ]: >>55
Symantecから（2）
filename: SpywareReminder_v3_12.exe
machine: Machine
result: This file is detected as Packed.Generic.200.

filename: 1.exe
machine: Machine
result: See the developer notes

filename: installer_99404.exe
machine: Machine
result: This file is detected as AntiVirus2008.

filename: setup_243_3777_.exe
machine: Machine
result: See the developer notes

filename: file.exe
machine: Machine
result: This file is detected as Packed.Generic.200.
68 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 21:59:17 ]: >>55
ttp://www.virustotal.com/analisis/f7024b351eb15257808c2ef7858cd707
ttp://www.virustotal.com/analisis/ae4813e43eaecf831230b49489a5ed6e
ttp://www.virustotal.com/analisis/62a5aea9d83764607202580071c7e4f4
ttp://www.virustotal.com/analisis/a8c1b051b277b7fe12d43b8e4da4e1bd
ttp://www.virustotal.com/analisis/8b9c4e8aa1d7cb4d6199f0ad3a35f8b9
ttp://www.virustotal.com/analisis/134c0006931c681b3f2481ff1abaf9c2
ttp://www.virustotal.com/analisis/a00d2fe0b02118cfd856bc775cc651d6
ttp://www.virustotal.com/analisis/e485dba0cca2448cd2209e14c4956a67
ttp://www.virustotal.com/analisis/ae25f3a7592430af002ab14efec7f043
ttp://www.virustotal.com/analisis/6e835a4555e3a31e1ac3638e8b1664bf
ttp://www.virustotal.com/analisis/e61a4b763b01f3c3f5e91b24f737e7b8
ttp://www.virustotal.com/analisis/7ff11c94a1cfb2ee5987565d398c62e6

>>51と>>55
AntiVirとPandaとSymantecとavast!への提出完了
69 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 23:10:19 ]: >>55
PandaGlobalProtection2009
adv111.exeを疑わしいファイルとして検出
70 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 23:25:11 ]: PandaGlobalProtection2009
>>13と>>15
残りの未検出の検体も全て疑わしいファイルとして検出、全検出確認
71 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/17(土) 23:36:02 ]: >>55
Rising 21.21.52 (21.12.52.00)
6\FlashPlayer-9.0.124.0p.exe: Trojan.DL.Win32.Undef.aqa
1/12
72 名前：60 [2009/01/18(日) 00:23:49 ]: カスペからの返事
>>55
0: file.exe - New malicious software was found in the attached file.
1:1.exe No malicious code was found in this file.

今のところ、9+追加検出1=10/12 (0,2,3,5,6,7,8,9,a,b),白1(1)，回答待ち1(4)

ちなみに、
>>15
autorun[1-4].exe- virus Worm.Win32.AutoRun.etc
73 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 01:54:35 ]: 【つこうた】IPA主任岡田賢治がヤバイ資料大流出　疑惑の政財界★194【三井リハウス編】
tsushima.2ch.net/test/read.cgi/news/1232198728/529
p://infosueek.w53.okwit.com/play/mober_v0.5fis.pif
ttp://www.virustotal.com/jp/analisis/8e14b46a0e6e2df2341ec0700de4a743
74 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 02:08:31 ]: >>73
McAfee
0/1(dat5496)
75 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 02:34:57 ]: オバマウイルス
ttp://www.f-secure.com/weblog/archives/00001585.html

VT
www.virustotal.com/analisis/28312fac247687ce62b6bb2baf45091c
76 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 08:15:17 ]: www.dotup.org/uploda/www.dotup.org15878.rar.html
77 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 08:36:43 ]: >>75の検体
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=198
virus

（落ちてくるバイナリは全て同一なので１ファイルしか入ってません）
www■superobamaonline■com/speech■exe
store■greatobamaguide■com/pdf■exe
store■superobamadirect■com/baracknews■exe
www■greatobamaonline■com/news■exe
www■greatobamaguide■com/president■exe
www■superobamaonline■com/barack■exe

AntiVir
すりぬけ

各社に検体提出してきます。
78 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 08:46:05 ]: >>77
でかいと思ったらOpenSSL丸ごと入ってるのか…。
79 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 08:49:44 ]: >>45
NortonInternetSecurity2009

Backdoor.Formador：pcclient1.exe
80 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 08:58:07 ]: >>30

Symantecから
filename: CD4C492Fd01
machine: Machine
result: See the developer notes

>>77
AntiVir、avast!、Panda、Nortonはオールスルーだったので提出します
81 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 09:08:16 ]: >>76
＞【重要】
＞●ここは鑑定スレではありません！！！！！malwareのみお願いします。（割れ、キージェネ、クラッカー厳禁）
＞割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。

確認しましたがスルーすべき対象のようです。
82 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 09:42:59 ]: >>44 >>45 >>77
McAfeeに提出させて頂ました。
83 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 09:57:07 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=199
virus

>>77
KAVの返答
Email-Worm.Win32.Iksmas.cj
84 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 11:37:16 ]: >>83
各社に提出してます。

AntiVir

romania1.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
wow1.exe
[DETECTION] Is the TR/PSW.OnLineGa.zad Trojan
wow1dll.exe
[DETECTION] Is the TR/PSW.OnLineGa.zad Trojan
autorun1.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun2.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun3.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun4.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
redstone1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan

webcc1.exe
すりぬけ
ff11.exe
すりぬけ
85 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 12:31:42 ]: >>83
カスペ、次の更新で対応

autorun1.exe,
autorun2.exe,
autorun3.exe,
autorun4.exe - Worm.Win32.AutoRun.etm
ff11.exe - Trojan-Downloader.Win32.Tibs.ais
redstone1.exe - Trojan-Downloader.Win32.Agent.bdsb
romania1.exe - Trojan-Downloader.Win32.Agent.bdrx
webcc1.exe - Worm.Win32.Downloader.ze
wow1.exe - Trojan-GameThief.Win32.WOW.elg
wow1dll.exe - Trojan.Win32.Agent.birs

New malicious software was found in these files. Detection will be included in the next update.
86 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 12:38:48 ]: >>83
avast!4.8
autorun1.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]
autorun2.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]
autorun3.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]
autorun4.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]
87 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 12:45:31 ]: >>55
NortonInternetSecurity2009追加検出+3
Downloader：FlashPlayer-9.0.124.0p.exe、adv111.exe
Trojan Horse：Malware\a\load.exe
7/12
88 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 12:50:22 ]: >>83
PandaGlobalProtection2009
スルー：ff11.exe、romania1.exe、webcc1.exe
それ以外は疑わしいファイルとして検出
89 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 12:53:45 ]: Rising 21.21.52 (21.12.52.00)
>>77
スルー
>>83
wow1.exe>>66: Trojan.Win32.Nodef.zq
wow1dll.exe: Trojan.Win32.Nodef.zq
2/10
90 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 12:54:45 ]: >>83
NortonInternetSecurity2009
Infostealer.Wowcraft：wow1dll.exe
Trojan Horse：wow1.exe
Trojan.Dropper：autorun1.exe、autorun2.exe、autorun3.exe、autorun4.exe

検体提出していきます
91 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 13:05:06 ]: >>83
AntiVir、avast!、Panda、Symantecに提出完了

>>84
＞各社に提出してます。

そのことで要望なんですけど提出がかぶるのはなるべく避けたいのでどこのベンダーに提出したのか（またはどこのベンダーに提出する予定なのか）というのも明記して欲しいですね
92 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 13:22:25 ]: >>91
列挙するとやたら行数取るんだけど…基本的に>1のWikiにあるもの全部に提出してます。
今回はNormanとnPro、メールが届かなかった２ベンダーを除く全てに出してます。
（メールが届かなかった所には、提出先アドレスを教えてくれってメール入れてます）

同報メール使ってるから、いちいち個別にどうとか書くのが大変だったり。
20行も30行も提出先書いた発言でスレ埋めるのもどうかと。

報告出しても殆どは返事来ないです。そのベンダーのソフトを使ってる人にも出して貰って
検出名の報告をここに上げた貰ったほうがいいので、敢えて提出先は記載しません。
（例えば、Pandaとかメールで送っても返事来ませんから検出状況わかりませんし
ソフォスからも登録ユーザーにしか対応状況の返答はしないって言われてます）
93 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 13:25:18 ]: >>55
Fortinet:
adv111.exe - W32/Agent.BDGC!tr.dldr
file.exe - W32/Agent.ZHG!tr
installer_99404.exe - W32/Hupigon.FPLB!tr.bdr
load_1.exe - W32/Agent.BIEL!tr
main.exe - Adware/Antispyware2009
setup_243_3777_.exe - W32/FraudLoad.CYA!tr.dldr
SpywareReminder_v3_12.exe - W32/Agent.CJ!tr
x50.exe - W32/Banload.AAGS!tr.dldr
SpywareGuard2009.exe - W32/Fakealert.XCO!tr
FlashPlayer-9.0.124.0p.exe - W32/Agent.BDAI!tr.dldr
load.exe - W32/Zbot.KEK!tr

あと１つは別のメールに分割して送ったので返答待ち。
94 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 13:30:01 ]: >>92
わかりました

とりあえず他の人が提出してるベンダーは避けるようにしてくれませんか？
私は現時点ではAntiVirとavast!とPandaとSymantecに提出してるし他はKasperskyとMcAfeeとRisingとESETに提出してる方もいられるのでやはりここら辺の提出は多重提出にならないためにもしないで欲しいです
多重提出でも問題ないならそれでも大丈夫でしょうけどKasperskyみたいに提出したのに返事が来ないというのもありますからね・・・

＞（例えば、Pandaとかメールで送っても返事来ませんから検出状況わかりませんし
確かにこれは実際に使わないとPandaの検出状況はわからないでしょう、特に2009はクラウド型検出のおかげでVirustotalのPandaの検出結果が殆どあてにならない状況になってる
95 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 13:37:13 ]: Rising 2009 21.21.60 (21.12.60.00) Last Update Time=2008-01-18 10:43
>>83
autorun1-4.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bgj
2+4=6/10
96 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 13:38:25 ]: あと返事が来ないベンダーといったらavast!とかもそうだけどこちらはVirustotalでも検出状況が確認できるから問題なし
Symantecは単体で送る方が黒判定か白判定かわかりやすい気がする、複数のファイルを送ると単に現在の検出状況を載せてくることが多かった
97 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 13:47:03 ]: >>94
>Kasperskyみたいに提出したのに返事が来ないというのもありますからね・・・

カスペは基本的に全部返事来てますよ。
ただ、対応済みのものだったり、ファイル数が多い時は検出名をはしょられることもありますが。

>とりあえず他の人が提出してるベンダーは避けるようにしてくれませんか？

余裕がある時は、同報の送り先から省いています。

ただ、検体提出漏れするよりも、かぶった方がまだましなので時間のない時はそのまま送付することがあります。
提出するだけでも結構時間食いますし、重複チェックに時間を取られて、提出しきれないよりはということで。
98 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 13:49:38 ]: >>83
まかふぃー。

File Name　　　　　　Findings　　　　　　　　　　　 Detection　　　　　　　　　　Type　　　　 Extra
--------------------|------------------------------|----------------------------|------------|-----
autorun1.exe　　　　|current detection　　　　　　 |downloader-azn　　　　　　　|Trojan　　　|no　
autorun2.exe　　　　|current detection　　　　　　 |downloader-azn　　　　　　　|Trojan　　　|no　
autorun3.exe　　　　|current detection　　　　　　 |downloader-azn　　　　　　　|Trojan　　　|no　
autorun4.exe　　　　|current detection　　　　　　 |downloader-azn　　　　　　　|Trojan　　　|no　
ff11.exe　　　　　　|inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
redstone1.exe　　　 |inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
romania1.exe　　　　|inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
webcc1.exe　　　　　|inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
wow1.exe　　　　　　|inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
wow1dll.exe　　　　 |inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no

inconclusive [ff11.exe redstone1.exe romania1.exe webcc1.exe wow1.exe wow1dll.exe]
99 名前：60 [2009/01/18(日) 15:18:22 ]: >>55
>>72
カスペからの返事

7\main.exe - New malicious software was found in the attached file. not-a-virus:FraudTool.Win32.MSAntispyware2009.i （←HEUR:Trojan.Win32.Generic から変更）

シグネチャ名判明。ルートキットかな。 >>72
Detected virus Rootkit.Win32.TDSS.eib tane0197.zip/Malware/0/file.exe

今のところ、9+追加検出1=10/12 (0,2,3,5,6,7,8,9,a,b),白1(1)，回答待ち1(4)
100 名前：60 [2009/01/18(日) 15:26:00 ]: 検体名：>>55
>>99
カスペ2009 14:33:00
4は検知済みだった。訂正。
Detected virus not-a-virus:FraudTool.Win32.SpywareGuard2008.bl tane0197.zip/Malware/4/SpywareGuard2009.exe

9+2=11/12, 白1（1\1.exe)でFA
101 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 15:53:52 ]: >>83
Fortinet:　次回更新で対応
romania1.exe - W32/Agent.AST!tr.dldr
wow1.exe - W32/OnLineGames.VFT!tr
wow1dll.exe - W32/OnLineGames.WFT!tr
autorun1.exe - W32/AutoRun.YNT!tr
autorun2.exe - W32/AutoRun.YNT!tr
autorun3.exe - W32/AutoRun.YNT!tr
autorun4.exe - W32/AutoRun.YNT!tr
redstone1.exe - W32/Agent.XDT!tr
webcc1.exe - W32/Agent.CFT!tr.dldr
ff11.exe - W32/Dropper.ZAT!tr
102 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 18:04:11 ]: NOD32 v3.0 定義3774
>>83　　6/10
autorun1.exe Win32/AutoRun.Delf.AKの亜種ワーム
autorun3.exe Win32/AutoRun.Delf.AKの亜種ワーム
autorun2.exe Win32/AutoRun.Delf.AKの亜種ワーム
autorun4.exe Win32/AutoRun.Delf.AKの亜種ワーム
webcc1.exe Win32/KernelBot.AAの亜種トロイの木馬
redstone1.exe Win32/PSW.OnLineGames.ODDの亜種トロイの木馬
未検出ぶんEsetへ提出済

>>92
返事がくること自体奇跡に近いので、Esetへ重複提出して頂いて構いません。
重複になっても構わないので提出して頂いたほうが助かります。
今後、多忙or他社ソフトへの乗り換え等でいつまで検出報告できるかわかりませんし。
103 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 18:46:46 ]: >>77
Rising

1. Filename:barack.exe
Virusname:Trojan.Win32.Nodef.ady
104 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/18(日) 20:41:27 ]: >>55
Dr.Web

Your request has been analyzed. New virus record has been added.
Viruses: Trojan.DownLoad.25637, Trojan.DownLoad.26705, Trojan.DownLoad.27999,
Trojan.DownLoad.28000, Trojan.Fakealert.2266, Trojan.Fakealert.3858,
Trojan.Fakealert.3876, Trojan.Fakealert.3877.
105 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 03:37:09 ]: tane.sakuratan.com/upload/upload.cgi?mode=dl&file=200
virus

検体入手元
bit■ly/n9gR/ （ただの転送）
www■bluewoon■com/Blog/
www■bluewoon■com/Blog/Muma■htm
www■bluewoon■com/Blog/Ms06-014■htm
www■bluewoon■com/Blog/Ms-office■htm（404NotFound)
www■skywebsv■com/Blog/k1■exe

同梱のmuma_1.html と Ms06-014_1.htm は途中まで解読を試みた経過。k1.exeは1/10製造の模様。

=== AntiVir ===
index.htm : NotDetected
Muma.htm : HTML/Shellcode.Gen HTML script virus
muma_1.html : EXP/XMLSPAN.B exploit
Ms06-014.htm : HTML/Malicious.ActiveX.Gen HTML script virus
Ms06-014_1.htm : HTML/Malicious.ActiveX.Gen HTML script virus
k1.exe : TR/Inject.ncz Trojan

=== VirusTotal ===
index.htm(7/39) : ttp://www.virustotal.com/analisis/a9fcbdb0774223ed4262422c72e06bda
Muma.htm(7/37) : ttp://www.virustotal.com/analisis/44d4f78814e7982baceba7fc4c2fba1d
muma_1.html(15/37) : ttp://www.virustotal.com/analisis/803f38f1ee5eaf28935f8901e6214ab8
Ms06-014.htm(6/38) : ttp://www.virustotal.com/analisis/34e438cc6d99c903e24d4550722177e1
Ms06-014_1.htm(4/38) : ttp://www.virustotal.com/analisis/ae8a4d8cc183c03457b803eaffb1f106
k1.exe(24/39) : ttp://www.virustotal.com/analisis/a9fa32735a81f195b1bd02ae2cdc7ad3
106 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 04:51:31 ]: >>97
わかりました
こうやって話し合って確認できたので私は何も言いません
それに私の提出先も特に多重提出とかで困ることはないですしね・・・・

avast!とPanda：返事が全く来ないため検出状況は実機やVirustotalで確認するしかない
AntiVirとSymantec：Webフォームだから？のせいか返事は必ず来る

「多重提出しても困ることはない」と書いたけど貴方が先に「各社に提出します」との書き込みがあったときは各ベンダーに提出したと認識したということでその場合は私は検体を提出しません
107 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 04:58:51 ]: >>77
Symantecから（2009/1/18、18：32）

filename: barack.exe
machine: Machine
result: This file is detected as W32.Waledac.

filename: index.htm
machine: Machine
result: See the developer notes
108 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 05:07:46 ]: >>83
NortonInternetSecurity2009追加検出+1
Trojan Horse：redstone1.exe
7/10
109 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 05:12:17 ]: >>105
未対応分をMcAfeeに提出させて頂ました。
110 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 05:13:41 ]: >>105
NortonInternetSecurity2009
Downloader：Ms06-014_1.htm、muma_1.html
2/6
111 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 05:24:11 ]: >>105
PandaGlobalProtection2009
ウイルス発見 : Trj/Inject.K 　　　　K1.EXE

最近Pandaの検出状況悪いな
ま、もともと対応にムラがあるベンダーだしこういうこともあるか
眠いので各ベンダーへの提出は後ほどやります。。。
112 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 08:15:14 ]: >>105
カスペ
index.htm_ - Trojan.HTML.IFrame.ad,
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dhv,
Ms06-014_1.htm_ - Trojan-Downloader.JS.Agent.dhw,
Muma.htm_ - Trojan.JS.Agent.kb,
muma_1.htm_ - Trojan.JS.Agent.kc

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

k1.exe_ - Trojan.Win32.Inject.ncz
113 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 08:16:45 ]: >>106
>AntiVirとSymantec：Webフォームだから？のせいか返事は必ず来る
メールの受付もしてますよ。

AntiVir：メールでもフォームでも返事が来る
Symantec：昨年末まではどっちでも返事来たが、今年に入ってからメールでの報告には返事が来なくなった。
114 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 08:18:54 ]: >>105
Fortinet:
index.htm - Js/Agent.DFP!tr
k1.exe - W32/Magania.CRZ!tr.dldr
Ms06-014.htm - Js/Agent.DUP!tr.dldr
Ms06-014_1.htm - JS/Magania.CRZ!tr.dldr
muma_1 - Js/Agent.CEP!exploit
Muma - Js/Agent.DUP!tr.dldr

マカフィー
File Name　　　　　　Findings　　　　　　　　　　　 Detection　　　　　　　　　　Type　　　　 Extra
--------------------|------------------------------|----------------------------|------------|-----
index.htm　　　　　 |inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
k1.exe　　　　　　　|current detection　　　　　　 |pws-mmorpg.gen　　　　　　　|Trojan　　　|no　
ms06-014.htm　　　　|current detection　　　　　　 |js/downloader-bdq　　　　　 |Trojan　　　|no　
ms06-014_1.htm　　　|current detection　　　　　　 |js/downloader-bdq　　　　　 |Trojan　　　|no　
muma.htm　　　　　　|inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no　
muma_1.html　　　　 |current detection　　　　　　 |exploit-xmlhttpd.d　　　　　|Trojan　　　|no　

inconclusive [index.htm muma.htm]
115 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 08:20:55 ]: おっと、これもか。

NORMAN
k1.exe
INFECTED with W32/Malware (Signature: W32/Malware.FAGY)

他のHTMLは
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS
116 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 10:20:18 ]: >>51
Symantecから（2009/1/19、8：09）

filename: 1.exe
machine: Machine
result: See the developer notes

filename: s9.exe
machine: Machine
result: See the developer notes

>>113
＞メールの受付もしてますよ。
SymantecはともかくAntiVirはなぜか私の環境ではメールで送れなくなったんですよ（Symantecは単に提出先のアドレスを知らなかっただけｗ）
途中まではAntiVirもメールで提出してたんですけど今はWebフォームからのみしか送ってません

とりあえず今後も提出頼みますよ、私も出来るだけ提出を頑張りますね
117 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 10:37:49 ]: >>116
>AntiVirはなぜか私の環境ではメールで送れなくなったんですよ
AntiVirは昨年末にアドレスが変更になっています。現在はここ。
Avira GmbH(AntiVir) <virus_malware@avira.com>

>Symantecは単に提出先のアドレスを知らなかっただけｗ
厳密に条件満たすと、結構面倒なんですよね。Symantecのメールでの提出。
提出先と条件は下記参照。２番目を展開すると出てきます。
自動処理に必要と思われるタイトル以外は、他への提出と同じ書式で送っちゃってます。

service1.symantec.com/SUPPORT/sunset-c2002kb.nsf/0/590f605c1b28dc8a85256edd00478d4a?OpenDocument&seg=hm&lg=en&ct=us
118 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 11:22:24 ]: >>117
＞AntiVirは昨年末にアドレスが変更になっています。現在はここ。
＞Avira GmbH(AntiVir) <virus_malware@avira.com>
いえ、そのアドレスから送れなくなったんですよ
恐らく私のPC環境というか設定が良くないのでしょう
それにWebフォームからでも問題なく提出できてるので無問題といえば無問題、あまり気にしてはいません
119 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 11:27:07 ]: >>105
遅ればせながらavast!とPandaとSymantecに提出しました
120 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 12:00:03 ]: >>83
avast!4.8
ff11.exe\[RLPack]\[Embedded_R#60b4]：Win32:Trojan-gen {Other}
redstone1.exe：Win32:Trojan-gen {Other}

6/10
121 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 18:30:50 ]: F-PORTの検体提出先メールアドレス変更。次からはこちらへ。

F-PROT Viruslab <viruslab@f-prot.com>
122 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 18:33:25 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=201
virus
123 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 18:37:51 ]: >>122
avast!4.8
msmsg1.exe：Win32:Trojan-gen {Other}
pcclient1.exe：Win32:Downloader-AZY [Trj]
124 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 18:39:14 ]: >>122
AntiVirPremium
gpt0ru1.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
msmsg1.exe
[DETECTION] Is the TR/Vundo.Gen Trojan
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper

3/6
125 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 18:45:24 ]: >>122
NortonInternetSecurity2009
Trojan.Vundo：msmsg1.exe

1/6
126 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 18:50:10 ]: Rising 2009 21.21.60 (21.12.60.00)
>>105
muma_1.html: Hack.Exploit.Script.JS.Agent.if
>>122
スルー

試用期限切れてたので定義未更新
127 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 18:53:01 ]: >>122
PandaGlobalProtection2009
gpt0ru1.exeとmsmsg1.exeを疑わしいファイルとして検出
2/6
検体を提出します
128 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 19:04:46 ]: PandaGlobalProtection2009
>>77
barack.exeを疑わしいファイルとして検出

>>83
ff11.exeを疑わしいファイルとして検出
8/10
129 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 19:11:49 ]: >>122
ttp://www.virustotal.com/jp/analisis/edb16fe1eae3e05c2485b2a8542ab971(gpt0ru1.exe)
ttp://www.virustotal.com/jp/analisis/96d7754ece1a73cfb61e4b8675a620e4(gpt0ru2.exe)
ttp://www.virustotal.com/jp/analisis/b169a7b61833ac52028829aa583d732a(gpt0ru_dldr.exe)
ttp://www.virustotal.com/jp/analisis/37ba0f130caef9235ff26b09d3a257ef(msmsg1.exe)
ttp://www.virustotal.com/jp/analisis/8827ba8535245a080e34ee7ed1766e7f(pcclient1.exe)
ttp://www.virustotal.com/jp/analisis/1d863a2cd43cc645af4a66f7f4b4b19d(webcc1.exe)
130 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 19:13:01 ]: >>122
McAfeeに提出させて頂ました。
131 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 20:18:44 ]: >>105
トレンドマイクロ

We are glad to inform you that the detection for the following malware below is now available for
downloading using CPR 5.776.05.

JS_DLOADER.UOV
JS_DLOADER.UOY
JS_AGENT.AJWX
132 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 20:34:32 ]: >>122
Norman
pcclient1.exe : INFECTED with W32/Malware (Signature: NO_VIRUS)
他は現時点でスルー

マカフィー（現時点で全スルー）
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gpt0ru_dldr.exe |inconclusive | | |no
gpt0ru1.exe |inconclusive | | |no
gpt0ru2.exe |inconclusive | | |no
msmsg1.exe |inconclusive | | |no
pcclient1.exe |inconclusive | | |no
webcc1.exe |inconclusive | | |no

inconclusive [gpt0ru_dldr.exe gpt0ru1.exe gpt0ru2.exe msmsg1.exe pcclient1.exe webcc1.exe]
133 名前：名無しさん＠お腹いっぱい。 [2009/01/19(月) 20:42:22 ]: >>122
カスペ2009 19:59:00
5/6
検体提出します。

Detected Trojan program Trojan-Downloader.Win32.Agent.bdwi tane0201.zip/gpt0ru_dldr.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bdvi tane0201.zip/gpt0ru1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.afel tane0201.zip/msmsg1.exe
Detected Trojan program Backdoor.Win32.PcClient.abdg tane0201.zip/pcclient1.exe
Detected Trojan program Trojan.Win32.Agent.bjci tane0201.zip/webcc1.exe
134 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 20:47:27 ]: >>122
Symantec(2/6)
フォームから送ると返事来るが、メールだと返事来ないねぇ。
「See the developer notes」となっている所はすべて、未検出なので人手で解析するとのコメント。

filename: webcc1.exe
machine: Machine
result: See the developer notes

filename: gpt0ru2.exe
machine: Machine
result: See the developer notes

filename: pcclient1.exe
machine: Machine
result: This file is detected as Backdoor.Formador. www.symantec.com/avcenter/venc/data/backdoor.formador.html

filename: gpt0ru_dldr.exe
machine: Machine
result: See the developer notes

filename: msmsg1.exe
machine: Machine
result: This file is detected as Trojan.Vundo. www.symantec.com/avcenter/venc/data/trojan.vundo.html

filename: gpt0ru1.exe
machine: Machine
result: See the developer notes
135 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 21:34:13 ]: >>134
＞「See the developer notes」となっている所はすべて、未検出なので人手で解析するとのコメント。

ファイルを複数送るとそんな感じだね
ファイルが単体だと返事来るのに時間かかることが多かったからこちらは白判定だと思われる
136 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 22:25:53 ]: >>122
AntiVir
検出に対する返答。

gpt0ru1.exe ： TR/Dldr.Delphi.Gen Trojan
msmsg1.exe ： TR/Vundo.Gen Trojan
pcclient1.exe ： DR/PcClient.Gen dropper
webcc1.exe ： TR/Agent.bjci Trojan

現時点では「gpt0ru2.exe」「gpt0ru_dldr.exe」が除去できないので、下記返答分と思われる。
次のパターン更新で(6/6)予定。

The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the viruses will be detected as:

TR/Dldr.Agent.qse
TR/Dldr.Agent.qsg
137 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 22:26:37 ]: >136
×検出に対する返答。
○検体提出に対する返答。

orz
138 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 22:48:38 ]: >>122
Dr.Web（どれがどれだか不明。4/6が新種。あとの２種は既に検出可能だったのか、未対応なのか不明）

Your request has been analyzed. New virus record has been added.
Viruses: Trojan.DownLoad.28007, Trojan.DownLoad.28008, Trojan.Siggen.2065,
Trojan.Virtumod.1465.

Thank you for the cooperation.
139 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 23:06:59 ]: NOD32 v3.0 定義3777
>>105
1/6
k1.exe Win32/PSW.Gamania.NBE トロイの木馬
対応するかどうかわからないが、一応htmlファイルをesetに提出

>>122
1/6
pcclient1.exe Win32/PcClient.NCRの亜種トロイの木馬
未検出ぶん提出
140 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/19(月) 23:36:43 ]: Rising 2009 21.22.02 (21.13.02.00)にて
>>44-45
Backdoor.Win32.PcClient.qwr
ttp://viruslist.rising.com.cn/viruslist.asp?id=1450594
>>77
barack.exe: Trojan.Win32.Nodef.ady
ttp://viruslist.rising.com.cn/viruslist.asp?id=1450600
141 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 00:31:46 ]: >>122
検体は提出済み

bitdefender10 Free(1/6)

gpt0ru1.exe : OK
gpt0ru2.exe : OK
gpt0ru_dldr.exe : OK
msmsg1.exe : OK
pcclient1.exe : Infected: Trojan.Crypt.DG
webcc1.exe : OK
142 名前：1 [2009/01/20(火) 01:04:00 ]: >>10,14,16,116-118,121

混乱してきた。
>>4-7を削除して、>>1のWikiを各ベンダーに付き、訂正した方が早いのかね。
あんまり、テンプレを長くするのもどうかなとも思う。
一方、Wikiは荒らしが心配。
143 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 05:14:26 ]: www.geocities-jp.com/Wiki/0da45bn76sdasdiobnxzl0dscjhopz110.zip
144 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 08:13:24 ]: >>122
PandaGlobalProtection2009
pcclient1.exeを疑わしいファイルとして検出
3/6
145 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 08:45:05 ]: >>142
Wikiはこのスレで用意したものじゃなくて、他のところで使ってるものだからねぇ。便利だから紹介したけど。

RagnarokOnlineの板からです。そこのWikiの管理人さんと連絡取りたい場合はこちらへどうぞ。
アカウントハック対策・セキュリティ総合スレ Lv.3
enif.mmobbs.com/test/read.cgi/livero/1227396646/
-----
取り敢えず検体を１つ（上記スレより）
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=202
virus

検体入手元
ttp://99■2■77■44:8080/blog/Start■scr

scrを解凍すると1199.exeと動画が出てくる。

www.virustotal.com/jp/analisis/24d2cce83381d9c707dfbecda54b3332　Start.scr(23/38)
www.virustotal.com/jp/analisis/16bb3f64075ced19d4477ef899bab415　1199.exe(27/39)

AntiVir
Start.scr ：スルー
1199.exe ： DR/PcClient.Gen

各社に提出してきます。
146 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 08:50:11 ]: >>122
Fortinet:

The samples you submitted will be detected as follows:
gpt0ru_dldr.exe - W32/SillyFDC.A!tr.dldr
gpt0ru1.exe - W32/SillyFDC.A!tr
gpt0ru2.exe - W32/SillyFDC.A!tr
pcclient1.exe - W32/VirtuMonde.B!tr.spy
msmsg1.exe - W32/VirtuMonde.B!tr.spy
147 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 08:53:08 ]: >>122
>>138は日本のDr.Webからの返事。英文で送った方にも返事があって、そっちは６つ載ってたので(6/6)の模様。
Dr.Web

Viruses: Trojan.DownLoad.28007, Trojan.DownLoad.28008, Trojan.MulDrop.23178, Trojan.DownLoad.28008, Trojan.Virtumod.1465, Trojan.Siggen.2065.
148 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 08:57:30 ]: ttp://www13.atwiki.jp/pheasantworks
このスレ発で放置されてるここを再利用でいんじゃない
149 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 09:08:18 ]: >>145
BitDefender10Free

Start.scr Infected: Dropped:Backdoor.PCClient.TCH
1199.exe Infected: Trojan.Crypt.DG
150 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 09:14:18 ]: >>145
McAfee

File Name　　　　　　Findings　　　　　　　　　　　 Detection　　　　　　　　　　Type　　　　 Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe　　　　　　|current detection　　　　　　 |generic backdoor　　　　　　|Trojan　　　|no
start.scr　　　　　 |inconclusive　　　　　　　　　|　　　　　　　　　　　　　　|　　　　　　|no

Norman
1199.exe
* Sandbox name: W32/Malware.
* Signature name: W32/PCClient.NDI.
Start.scr
* Sandbox name: .
* Signature name: NO_VIRUS.
151 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 09:25:39 ]: >>145
Fortinet:
The samples you submitted will be detected as follows:
1199.exe - W32/PcClient.AAUV!tr.bdr
Start.scr - W32/PcClient.AAUV!tr.bdr

一括して送っちまったけど、対応済みベンダーの方が多いのに、全部に送ること無かったな。担当者さんごめんなさい。
152 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 09:47:33 ]: >>145
Dr.Web
1199.exe - infected with Trojan.MulDrop.23178
Start.scr - infected with Trojan.MulDrop.23178
153 名前：名無しさん＠お腹いっぱい。 mailto:sage;v2y [2009/01/20(火) 14:02:18 ]: リンクのみ(内容確認してません)
changi.2ch.net/test/read.cgi/entrance/1226843784/296-297
154 名前：名無しさん＠お腹いっぱい。 [2009/01/20(火) 14:56:22 ]: >>145
カスペ2009 14:28
2/2

Detected Trojan program Backdoor.Win32.PcClient.aauv tane0202.zip/Start.scr//data0002
Detected Trojan program Backdoor.Win32.PcClient.aauv tane0202.zip/Start/1199.exe
155 名前：142 [2009/01/20(火) 14:57:09 ]: >>145, 148
Wikiの件了解。
情報㌧。
検討してみる。
156 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 15:23:06 ]: >>83
PandaGlobalProtection2009
romania1.exeを疑わしいファイルとして検出
157 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 15:27:22 ]: >>122
NortonInternetSecurity2009
Backdoor.Formador：pcclient1.exe
2/6
158 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 15:40:56 ]: AV-Test.org - Update Frequency of Anti-Virus Software （1週間の定義更新頻度）
ttp://www.av-test.org/index.php?menue=7&lang=0
159 名前：133 mailto:sage [2009/01/20(火) 17:25:43 ]: >>122
カスペからの返事

gpt0ru2.exe_ - Trojan.Win32.Agent2.ns

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

5+事後検出1=6/6
160 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 17:27:18 ]: >>143
ttp://www.virustotal.com/jp/analisis/941c84b0382eb11d21555fa440f21292(0da45bn76sdasdiobnxzl0dscjhopz110)
>>145

ここまでMｃAfee提出済み。
161 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 17:33:33 ]: >>148
放置される＝セキュリティ的にあぶな・・・
162 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 17:37:19 ]: >>143
PandaGlobalProtection2009
Trj/CI.Aとして検出
163 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 19:44:36 ]: NOD32 ｖ3.0 定義3779
>>145
scr,exeともWin32/PcClient.NCQ トロイの木馬として検出　2/2

過去未検出ぶんの追試結果は11/24　17～19日ぶん未検出ぶんの多くが検出可能になっていました。
未検出ぶんもVirustotalチェックしてみると、他社でも白判定なものが多かったです。
164 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 20:14:32 ]: >>122
始めてESETから返事が来た。（キャノン経由は何度か来たことあるけどESETからははじめて）

Thank you for your submission.
The detection for this threat will be included in our next signature update.

検出名は書いてないが、次回更新で対応とのこと。
165 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 20:16:35 ]: >>145
AntiVir

We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The pattern recognition of the virus will be detected as DR/PcClient.agv.

ということで

Start.scr ：スルー → DR/PcClient.agv
1199.exe ： DR/PcClient.Gen
166 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 21:02:36 ]: >>164
NOD32　ｖ3.0　定義3780が先ほどアップデートされ、3つの未検出→3つ検出可能に
よって、3+3＝6/6　全検出
167 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/20(火) 23:48:39 ]: 今から提出しようと思ったら>>153のファイル消えてました。

>>160さん、可能でしたら、いつものあぷろだに再UPをお願いしたいです。
（VirusTotalに投げられてるから大丈夫といえばそれまでですが）
168 名前：名無しさん＠お腹いっぱい。 mailto:sage;v2y [2009/01/21(水) 00:13:48 ]: >>153 >>167 dlpass: EB07E5CDEF31
www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00001.rar.htm

その後、踏んでみて拾ったものも入れておきました *.[0001-0002].bin は、抽出物です
169 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 00:17:56 ]: >>168
＞あなたが要求したファイルはサーバ上に存在しません。削除されたかアドレスが間違っています。

orz
170 名前：名無しさん＠お腹いっぱい。 mailto:sage;v2y [2009/01/21(水) 00:59:28 ]: …あー。htm -> html こぴぺみすっぽ
171 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 01:16:57 ]: Rising 2009 21.22.12 (21.13.12.00)
>>122
pcclient1.exe: Backdoor.Win32.PcClient.qxg
1/6
172 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 01:25:10 ]: >>105
Trend Micro

We are glad to inform you that the detection for HTML_IFRAME.ZF is now available for
downloading using CPR 5.778.05.
173 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 01:37:19 ]: >>170
ありがとう。パスワードはinfectedか。いろいろ試しちまったぜ。

各社に提出かけてきます。
174 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 01:38:40 ]: www3.uploda.org/uporg1950752.zip.html
175 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 01:51:31 ]: >>168 現状。

1x.exe.ico (8/39)
www.virustotal.com/analisis/0ab8348dc9cde1d02644841b353a7524
18.exe.0001.bin (4/39)
www.virustotal.com/analisis/73f396eccd84beadf08c326e0e07b5f4
18.exe.0002.bin (9/39)
www.virustotal.com/analisis/568afeba5351f0033cff764788e1e97b
18.exe.ico (13/39)
www.virustotal.com/analisis/c48732d4ebe4c0260838ef73bb397780
datad.zip.ico
www.virustotal.com/analisis/6594ea72ee93a4f0411e3b671b7462f4
MVCImage0010.JPEG_www.imgshare.com.ico (12/38)
www.virustotal.com/analisis/ebbea418600b7a38b7766a6cad0a0c4d
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico (11/39)
www.virustotal.com/analisis/5a8b092bca805e3ce82577c4b023fbd9

AntiVir(5/7)
1x.exe.ico : -
18.exe.0001.bin : TR/Dropper.Gen
18.exe.0002.bin : TR/Crypt.XPACK.Gen
18.exe.ico : TR/Crypt.XPACK.Gen
datad.zip.ico : TR/Qhost.kzn
MVCImage0010.JPEG_www.imgshare.com.ico : SPR/Tool.DelfInject.51712AF.1
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico : -

BitDefender10Free(1/7)
datad.zip.ico : Win32.Worm.Slenfbot.CB
176 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 01:55:32 ]: >>174
>>3
｜【重要】
｜●ここは鑑定スレではありません！！！！！malwareのみお願いします。（割れ、キージェネ、クラッカー厳禁）
｜割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
｜
｜※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

VirusTotal (0/39)
177 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 02:32:33 ]: >>168
NORMAN(2/7)
1x.exe.ico : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.0001.bin : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.0002.bin : Not detected by Sandbox (Signature: NO_VIRUS)
18.exe.ico : INFECTED with W32/Malware (Signature: NO_VIRUS)
datad.zip.ico : Not detected by Sandbox (Signature: W32/Qhost)
MVCImage0010.JPEG_www.imgshare.com.ico : Not detected by Sandbox (Signature: NO_VIRUS)
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico : Not detected by Sandbox (Signature: NO_VIRUS)

McAfee(2/7)
File Name　　　　　　Findings　　　　　　 Detection　　　　　　Type　　　　 Extra
--------------------|---------------------|--------------------|------------|-----
18.exe.0001.bin　　 |inconclusive　　　　|　　　　　　　　　　|　　　　　　|no
18.exe.0002.bin　　 |inconclusive　　　　|　　　　　　　　　　|　　　　　　|no
18.exe.ico　　　　　|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no
1x.exe.ico　　　　　|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no
datad.zip.ico　　　 |inconclusive　　　　|　　　　　　　　　　|　　　　　　|no
mvcimage0010.jpeg_ww|heuristic detection |with fishy extension|Application |no
nuevoimagen0034.jpeg|heuristic detection |with fishy extension|Application |no
178 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 04:21:21 ]: >>168
Fortinet:
1x.exe - W32/Poison.M!tr
18.exe - W32/Obfuscator.CL!tr
18.exe.0001 - W32/Tofsee.A!tr.bdr
18.exe.0002 - W32/Obfuscator.CL!tr
datad.zip - W32/Buzus.AIKH!tr
MVCImage0010.JPEG_www.imgshare.com - W32/Poison.M!tr
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com - W32/Poison.M!tr
179 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 12:22:52 ]: >>168
Microsoft
+---MVCImage0010.JPEG_www.imgshare.com.ico [VirTool:Win32/DelfInject.gen!AF]
+---18.exe.0001.bin [Backdoor:WinNT/Tofsee.gen!A]
+---18.exe.0002.bin [VirTool:Win32/Obfuscator.CL]
+---18.exe.ico [VirTool:Win32/Obfuscator.CL]
+---1x.exe.ico [VirTool:Win32/DelfInject.gen!AF]
+---datad.zip.ico [VirTool:Win32/DelfInject.gen!AF]
+---NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico [VirTool:Win32/DelfInject.gen!AF]

Dr.Web
18.exe.0001.bin - infected with Trojan.NtRootKit.2561
18.exe.0002.bin - probably infected with Trojan.Packed.154
1x.exe.ico - infected with BackDoor.IRC.Sdbot.4634
datad.zip.ico - infected with Dialer.Siggen.121
MVCImage0010.JPEG_www.imgshare.com.ico - infected with BackDoor.IRC.Sdbot.4634
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico - infected with BackDoor.IRC.Sdbot.4634
18.exe.ico - probably infected with Trojan.Packed.154

※ 一部、ヒューリスティック解析によって検出しているものがありますので、
こちらについては正確を帰すためにパターン対応を検討いたします。
180 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 12:23:43 ]: >>145
Rising

1. Filename:1199.exe
Virusname:Backdoor.Win32.PcClient.qup
2. Filename:Start.scr
Virusname:Backdoor.Win32.PcClient.qup
181 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 13:17:43 ]: www2.cyberoz.net/city/novice/virus.html
ﾄﾞｿﾞｰ
182 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 14:20:30 ]: >>181
　>2
　>・DOSウイルス禁止
　>　大昔のウイルスを集めてきても無意味なことがあります。

DOS時代程じゃないけど、古そうなのでパス
183 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 14:24:37 ]: >>105
Rising
1. Filename:Muma.htm
Virusname:Trojan.DL.Script.JS.Agent.my
2. Filename:Ms06-014.htm
Virusname:Trojan.DL.Script.JS.Agent.mx
3. Filename:index.htm
Virusname:Trojan.DL.Script.JS.Agent.mw
4. Filename:k1.exe
Virusname:Trojan.Win32.Nodef.ahz
5. Filename:muma_1.html
Virusname:Hack.Exploit.Script.JS.Agent.if
6. Filename:Ms06-014_1.htm
No malware.

KingSoft
貴殿よりお送りいただいた検体が、
キングソフトにおいて新種のウイルスではないことが確認できましたことをご連絡いたします。
「ウイルス名：Win32.Troj.Inject.47616」

全種対応なのか、スルーがあるのかこの回答からは不明だが、対応済みとの返答。
184 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 14:26:05 ]: >>83
kingSoft

貴殿よりお送りいただいた検体が、
キングソフトにおいて新種のウイルスではないことが確認できましたことをご連絡いたします。
「ウイルス名：Win32.Troj.Delf.uf.45056」

全種対応なのか、スルーがあるのかこの回答からは不明だが、対応済みとの返答。
185 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 16:47:14 ]: >>168
Rising 提出後の回答(6/7)
1. Filename:18.exe.0001.bin
Virusname:Trojan.Win32.Nodef.ajz
2. Filename:18.exe.ico
Virusname:Trojan.Win32.Nodef.aju
3. Filename:1x.exe.ico
Virusname:Trojan.Win32.Nodef.ajg
4. Filename:datad.zip.ico
Virusname:Trojan.Win32.Nodef.ajf
5. Filename:MVCImage0010.JPEG_www.imgshare.com.ico
Virusname:Trojan.Win32.Nodef.aje
6. Filename:NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico
Virusname:Trojan.Win32.Nodef.ajd
7. Filename:18.exe.0002.bin
No malware.
186 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 16:48:03 ]: >>83
Rising 提出後の返答(9/10)
1. Filename:webcc1.exe
Virusname:Trojan.Win32.Nodef.akm
2. Filename:romania1.exe
Virusname:Trojan.Win32.Nodef.akc
3. Filename:redstone1.exe
Virusname:Trojan.PSW.Win32.GameOL.udc
4. Filename:ff11.exe
Virusname:Trojan.Win32.Nodef.ajc
5. Filename:autorun1.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
6. Filename:autorun2.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
7. Filename:autorun4.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
8. Filename:autorun3.exe
Virusname:Trojan.DL.Win32.MyDown.bgj
9. Filename:wow1dll.exe
Virusname:Trojan.Win32.Nodef.zq
10. Filename:wow1.exe
No malware.
187 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 16:51:05 ]: >>55
Rising 提出後の回答 (7/12)
ベンダーによって白黒に差があると言っても流石にこれは…未検出分の再提出はRisingユーザーさんに任せた。

1. Filename:adv111.exe
Virusname:AdWare.Win32.Mnless.arq
2. Filename:file.exe
Virusname:Trojan.Win32.Nodef.akv
3. Filename:load.exe
Virusname:Trojan.Win32.Nodef.aku
4. Filename:load_1.exe
Virusname:Trojan.Win32.Nodef.akq
5. Filename:SpywareReminder_v3_12.exe
Virusname:Trojan.Win32.Nodef.ako
6. Filename:x50.exe
Virusname:Trojan.Win32.VBCode.bq
7. Filename:FlashPlayer-9.0.124.0p.exe
Virusname:Trojan.DL.Win32.Undef.aqa
8. Filename:installer_99404.exe
No malware.
9. Filename:main.exe
No malware.
10. Filename:setup_243_3777_.exe
No malware.
11. Filename:SpywareGuard2009.exe
No malware.
12. Filename:1.exe
No malware.
188 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 17:32:15 ]: >>55
NortonInternetSecurity2009
Infostealer.Banker.C：load.exe

8/12

最近検出報告がさぼりぎみです・・・
特に忙しいわけでもないんですが・・・

>>187
Risingのセキュリティポリシーじゃ？
Symantecもこのスレの検体は白判定多いしESETやMcAfeeもそう
Pandaもこのスレの100前後あたりにうｐされた検体は白判定が多かった（Pandaはそれでも黒判定が多いベンダーだと思うけど）

対応速度もそうだけどなんでも黒判定するのはAntiVirとカスペルスキーの印象が強いね

NortonのパルスアップデートとMcAfeeとPandaのクラウド型検出はもっと成熟させてベンダー自体の対応速度も上げればかなりいい感じになれると思う
189 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 18:14:18 ]: Risingはアドウェアやスパイウェア系のものはスルーが多い傾向だからね・・・
忘れた頃に検出することも多いし、いまだに11月頃の検体に対して返事が来るほど
解析が追いついてないようなので再提出はしないつもりです。

Risingの分析メールより最終結果のみ
>>55
1+5(6?)=6(7?)/12
>>83
6+4=10/10
190 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 18:22:36 ]: トレンドマイクロはバスター2010辺りにSmartProtectionNetworkを搭載させないと今のバスターのアップデート形式と検出形式じゃ新種に全然ついていけなくなっていくような気がする
逆にカスペにクラウド型検出は必要ないと思う（とある記事でカスペも採用するというのを見た）もともと対応速度は速くアップデートは頻繁なんだし意味あるのかな・・・？
191 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 19:52:27 ]: >>168
ESETより返答

Thank you for your submission.
The detection for this threat will be included in our next signature update.

検出名は不明なれど、次回更新で対応するそうな。白判定が含まれるかどうかは不明。

>>188
>Risingのセキュリティポリシーじゃ？
そうでした。テンプレにもありましたね。
　>>2
　>・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
192 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 20:27:40 ]: Rising 2009 21.22.22 (21.13.22.00)にて
>>38
1.exe: Trojan.DL.Win32.Mnless.cbk
1/2
>>51
1(1).exe>>upx_c: Trojan.DL.Win32.Mnless.cbk
1/2
>>122
gpt0ru1.exe: Trojan.Win32.Nodef.ajs
gpt0ru2.exe: Trojan.Win32.Nodef.ajr
gpt0ru_dldr.exe: Trojan.DL.Win32.Mnless.cbk
msmsg1.exe: Trojan.Win32.VUNDO.ckv
1+4=5/6
193 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 20:47:51 ]: NOD32 v3.0　定義3785
>>168
3/7
18.exe.ico Win32/Agent.NSHの亜種トロイの木馬
datad.zip.ico Win32/Injector.CRの亜種である可能性トロイの木馬
NuevoImagen0034.JPEG_www.imgshack.com.49759fd9.com.ico Win32/AutoRun.Qhost.A ワーム
194 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 21:52:18 ]: >>191
積極的に各社に提出なされてるようなのでSymantecとPandaの提出もよろしくお願いしますね（と、他人任せな私）
提出してくれたらPandaの検出報告はしておきます、NortonはほぼVirustotal通りだから問題ないかと
195 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 23:12:03 ]: >>190
「必要・不必要」ではなく「あった方が良いか否か」
個人的にクラウドベースの検出方法が害になるような考えには今の所至れないな
196 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/21(水) 23:59:10 ]: >>195
「必要ないと思う」は言いすぎたかもしれないけどAntiVirみたいなシグネチャベース+ヒューリスティックで最強を極めるというのも面白いかと
各ベンダーが揃ってクラウドベース検出になったらつまらないかなと個人的な感想、それにカスペは2009でヒューリスティックを大幅に強化したしこのクラシック路線で頑張って欲しい

逆にトレンドマイクロというかバスターは今のままだと・・・
197 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 09:50:45 ]: このスレに常駐しているとﾌﾗｯとPandaあたり購入しそうになるから困るﾜｨ
198 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 13:04:46 ]: >>122
カスペ
This file is already detected. Please update your bases.
199 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 14:28:19 ]: >>197
クラウド型検出を試したいならPandaよりMcAfeeの方がお勧め
Pandaのクラウド型検出は強力だけど常駐の反応は鈍いというか多分機能してない、それだったら常駐時でもクラウド型検出が機能するMcAfeeの方がいいと思う
200 名前：名無しさん＠お腹いっぱい。 [2009/01/22(木) 15:39:57 ]: ２００
201 名前：名無しさん＠お腹いっぱい。 [2009/01/22(木) 15:41:38 ]: ２０１
202 名前： ◆W32/Vael.o mailto:sage [2009/01/22(木) 18:30:30 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=203
Malware-Pack57

例によってMcAfeeには提出済み
203 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 18:41:13 ]: >>168
Antivir
We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
The virus will be detected as 'TR/Dldr.Delf.acj'.

>>175時点では(5/7)でしたが、現時点で(7/7)対応を確認。
204 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 18:53:19 ]: >>202
AntiVir (9/12)
461.exe
　　[DETECTION] Is the TR/TDss.AJ Trojan
install.exe
　　[DETECTION] Is the TR/Peed.A.1016 Trojan
InstallAVg_77025309.exe
　　[DETECTION] Is the TR/Fake.Antivirus.2009.FE Trojan
pro.exe
　　[DETECTION] Is the TR/Spy.ZBot.kpk Trojan
rdr.exe
　　[DETECTION] Is the TR/Spy.ZBot.PE.11 Trojan
setup_419_6777_.exe
　　[DETECTION] Is the TR/Dldr.FakeAle.ftv Trojan
StageThree.exe
　　[DETECTION] Is the TR/Fake.Antivirus.2010.E Trojan
tubeviewersetup.1401.exe
　　[DETECTION] Is the TR/Dropper.Gen Trojan
vmnatt.exe
　　[DETECTION] Is the TR/Spy.Gen Trojan

BitDefender10Free(5/12)
Summary:
install.exe Infected: Trojan.Peed.Gen
InstallAVg_77025309.exe Infected: Trojan.FakeAntivirus.Gen
rdr.exe Infected: Trojan.Spy.ZBot.PE
setup_419_6777_.exe Infected: Trojan.FakeAntivirus.Gen
vmnatt.exe Infected: Trojan.Crypt.Delf.C
205 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 19:31:49 ]: NOD32 v3.0 定義3788
>>202
9/12
1\vmnatt.exe Win32/Delf.GMWの亜種トロイの木馬
2\install.exe Win32/Adware.WinWebSecurity アプリケーション
3\InstallAVg_77025309.exe Win32/Adware.Antivirus2008 アプリケーション
4\prosto.exe Win32/Spy.Zbot.FN トロイの木馬
5\rdr.exe Win32/Spy.Zbot.FE トロイの木馬
6\461.exe Win32/Kryptik.FJの亜種トロイの木馬
7\pro.exe Win32/Spy.Zbot.ET トロイの木馬
9\tubeviewersetup.1401.exe Win32/TrojanDownloader.Zlob.CYV トロイの木馬
a\antivirus.v.1.0.exe Win32/TrojanDownloader.FakeAlert.WR トロイの木馬
未検出ぶんEsetへ提出。

>>193で未検出だったものも対応（4/7→7/7）
206 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 19:35:17 ]: niyaniya.info/up8/src/8M1056.zip.html
207 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 19:43:22 ]: >>202
Rising 2009 21.22.32 (21.13.32.00)にて
1\vmnatt.exe>>upx_c: Trojan.Win32.StartPage.men
4\prosto.exe>>upx_c: Trojan.Win32.Nodef.ame
6\461.exe: Trojan.Win32.Nodef.aia
8\setup_419_6777_.exe: Trojan.Win32.FakeAV.gc
4/12
Risingに送付済み
208 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 19:49:42 ]: >>202
McAfee

File Name　　　　　　Findings　　　　　　 Detection　　　　　　Type　　　　 Extra
--------------------|--------------------|--------------------|------------|-----
24.exe　　　　　　　|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no　
461.exe　　　　　　 |inconclusive　　　　|　　　　　　　　　　|　　　　　　|no　
antivirus.v.1.0.exe |new detection　　　 |fakealert-ab.dldr　 |Trojan　　　|yes　
install.exe　　　　 |new detection　　　 |fakealert-t　　　　 |Trojan　　　|yes　
installavg_77025309.|new detection　　　 |generic pup.x　　　 |Application |yes　
pro.exe　　　　　　 |new detection　　　 |generic pws.y　　　 |Trojan　　　|yes　
prosto.exe　　　　　|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no　
rdr.exe　　　　　　 |new detection　　　 |puper　　　　　　　 |Trojan　　　|yes　
setup_419_6777_.exe |current detection　 |generic downloader.z|Trojan　　　|no　
stagethree.exe　　　|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no　
tubeviewersetup.1401|inconclusive　　　　|　　　　　　　　　　|　　　　　　|no　
vmnatt.exe　　　　　|new detection　　　 |generic dropper　　 |Trojan　　　|yes　
209 名前：名無しさん＠お腹いっぱい。 [2009/01/22(木) 20:34:34 ]: >>202
㌧
カスペ2009 19:42
11/12 (b以外)

Detected virus not-a-virus:FraudTool.Win32.Antivirus2010.e tane0203.zip/Malware/0/StageThree.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan.Win32.Delf.hva tane0203.zip/Malware/1/vmnatt.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vgqm tane0203.zip/Malware/2/install.exe
Detected virus not-a-virus:FraudTool.Win32.Antivirus2009.fe tane0203.zip/Malware/3/InstallAVg_77025309.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kup tane0203.zip/Malware/4/prosto.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.krd tane0203.zip/Malware/5/rdr.exe
Detected virus HEUR:Trojan.Win32.Generic tane0203.zip/Malware/6/461.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kpk tane0203.zip/Malware/7/pro.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.cyu tane0203.zip/Malware/8/setup_419_6777_.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bech tane0203.zip/Malware/9/tubeviewersetup.1401.exe
Detected Trojan program Trojan.Win32.Agent2.ta tane0203.zip/Malware/a/antivirus.v.1.0.exe

検体提出します。 (6,b)
210 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 20:39:42 ]: >>206
鑑定ｱﾘﾄｩｰｯｽｗｗ
211 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 21:32:04 ]: >>202
avast!4.8
Malware\0\StageThree.exe：Win32:Trojan-gen {Other}
Malware\1\vmnatt.exe：Win32:Spyware-gen [Trj]
Malware\2\install.exe：Win32:Adware-gen [Adw]
Malware\3\InstallAVg_77025309.exe：Win32:Trojan-gen {Other}
Malware\5\rdr.exe：Win32:Zbot-AYV [Trj]
Malware\7\pro.exe：Win32:Zbot-AYV [Trj]

6/12
212 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 21:48:10 ]: >>202
PandaGlobalProtection2009
ウイルス発見 : Generic Trojan vmnatt.exe、install.exe
ウイルス発見 : Trj/Sinowal.DW 　　　rdr.exe
ウイルス発見 : Trj/CI.A 　　　pro.exe
アドウェアを検出 : Adware/Antivirus2009　　　setup_419_6777_.exe
アドウェアを検出 : Adware/Antivirus2010　　　StageThree.exe

疑わしいファイル：nstallAVg_77025309.exe、prosto.exe、461.exe、tubeviewersetup.1401.exe
検出数10/12

McAfeeVirusScan＋ActiveProtectionの検出数8/12
213 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 21:57:20 ]: >>202
NortonInternetSecurity2009
2/12
Trojan Horse：vmnatt.exe
AntispywareProXP：setup_419_6777_.exe

検体提出は最近各ベンダーに提出されてる方に任せます
しかしNortonはこのスレでの検体はあんまり強くないな・・・
Nortonの性能は確かなんだろうけどこのスレではその実感がないですね・・・
恐らく検体の白判定の多さからだろうか？
214 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 22:12:31 ]: >>202
Avira(追加)
We found a new virus in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.

The virus will be detected as 'ADSPY/NaviPromo.wam'.

>>213
あー、今回のは出してますが、忙しい時は検体見掛けても出せないこともあるので、あまり任せっきりにされても…。
215 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 22:26:00 ]: >>214
＞ADSPY/NaviPromo.wam'.
まだアップデート来てないのかな？
さっきスキャンかけてみたけどまだその検出名がなかった

＞忙しい時は検体見掛けても出せないこともあるので、あまり任せっきりにされても…。

余裕があるときは私も自分の使ってるベンダーには出しておきますね（現在McAfee+ActiveProtectionもテスト中）
216 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 22:32:57 ]: 公式サイト新配布ファイル： GOMPLAYERSETUP2114.EXE 受理 2009.01.22 12:28:23 (CET)
ttp://www.virustotal.com/jp/analisis/fcfe30b2f528fe262bf15f4101510b36
Pandaユーザーの方、報告お願して宜しいですか？
217 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 22:38:05 ]: >>216
ｺﾞﾒｿ、まだ話しがイマイチ理解できてない
kwsk
218 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 22:43:45 ]: >>216
誤検出の可能性かな？
今落としてみても、それとファイル名とファイルサイズ違うんだけど。
検出はしてるようなので、誤検出の疑いとして一応提出してきます。>216はどっから落としたんだろう？

>216の奴（GOMPLAYERSETUP2114.EXE File size: 5903944 bytes）
　　　↓
今落とした奴（GOMPLAYERJPSETUP.EXE File size: 267528 bytes）
ttp://www.virustotal.com/analisis/82762290109730c07b46aa91d783122a

＞Panda 9.5.1.2 2009.01.21 Suspicious file
　　　↓
＞Panda 9.5.1.2 2009.01.21 Error scanning file
＞Sophos 4.37.0 2009.01.22 KILLgOM Process Killer
219 名前：名無しさん＠お腹いっぱい。 [2009/01/22(木) 22:57:42 ]: >>202
全てvirustotalに送ってありました。
220 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 23:14:15 ]: >>217-218
説明不足ですみません。
TOPページ → ttp://www.gomplayer.jp/

お知らせ [2009-01-07] GOM PLAYERバージョンアップのお知らせ [Ver2.1.14.4525]
リンク先 → ttp://www.gomplayer.jp/notice/view.html?intSeq=45

ダウンロードリンク先 → ttp://www.gomplayer.jp/exe/GOMPLAYERSETUP2114.EXE

このHPからのDLはつい先日までリンク先が不安定でした。プレイヤー自身の自動
更新からのDLは可能だったみたいです。（他の掲示板の情報による）

先ほど、このHPからプレイヤーの更新をDLして、virustotalで確認したところ
誤検出ではないかと、書き込みした次第です。
221 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 23:17:51 ]: >>216-218
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=204
infected

日本公式から落としたものなので、>216のファイルとは異なります。

誤検出の疑いとしてPandaとSophosに提出しました。両方とも回答の来ないベンダーなので、
修正されたかどうかのチェックは、該当セキュリティソフト利用者の方に余裕があったらお願いします。
Sophosは、内部のKillGom.exeが引っ掛かってたようですが、Panadaが引っ掻けてるファイルは不明。

GOMPLAYERJPSETUP.EXE
　　www.virustotal.com/analisis/82762290109730c07b46aa91d783122a
　　Error scanning file(Panda)
　　KILLgOM Process Killer(Sophos)

KillGom.exe
　　www.virustotal.com/analisis/b9177f2edc0c64afb0821a2bf63167d7
　　KILLgOM Process Killer(Sophos)
222 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 23:21:20 ]: >>220
>221のファイルは日本公式のTOPから落としたものです。
多分、中に入ってる同じファイルが引っ掛かっているんでしょうから、>220の提出は見合わせます。

検体入手元（リンクにならないよう、念のため、一部文字を置き換えてあります）
ttp://www■gomplayer■jp/exe/GOMPLAYERJPSETUP■EXE
223 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 23:22:08 ]: おｋ
Panda2009で確認してくる
224 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/22(木) 23:30:57 ]: >>220-222
検体入手してきました
PandaGlobalProtection2009では反応ありません（>>221でうｐしてくれた検体も無反応）

ちなみにPanda2009のバージョンは9.8です（Virustotalは9.5）
2009では無反応だったから正直報告しようかどうか微妙な結果・・・
225 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 03:57:52 ]: >>221
名前からして誤検出ではないんじゃないか
名前の通りProcessを強制するソフトだってことなんじゃないかな
こういうソフトは悪用されることがあるから検出されることがある
226 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 04:00:12 ]: Processを強制終了するソフトね
pskill.exeなんかもソフトによっては引っかかる
227 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 04:06:56 ]: >>202
NortonInternetSecurity2009追加検出+5
Infostealer.Banker.C：prosto.exe、rdr.exe、pro.exe
Trojan Horse：StageThree.exe、tubeviewersetup.1401.exe

7/12
228 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 04:18:49 ]: とりあえずNortonは12時間以内に5個検出できたし対応速度的にも速いほうだから合格点かな
最初2個しか検出できなかったときは不安になった
229 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 08:49:19 ]: >>202
カスペ、全対応完了。

24.exe_ - Trojan.Win32.BHO.kqt

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

461.exe_ - Packed.Win32.Tdss.a,
antivirus.v.1.0.exe_ - Trojan.Win32.Agent2.ta,
install.exe_ - Trojan-Downloader.Win32.FraudLoad.vgqm,
pro.exe_ - Trojan-Spy.Win32.Zbot.kpk,
prosto.exe_ - Trojan-Spy.Win32.Zbot.kup,
rdr.exe_ - Trojan-Spy.Win32.Zbot.krd,
setup_419_6777.exe_ - Trojan-Downloader.Win32.FraudLoad.cyu,
tubeviewersetup.1401.exe_ - Trojan-Downloader.Win32.Agent.bech,
vmnatt.exe_ - Trojan.Win32.Delf.hva

These files are already detected. Please update your antivirus bases.
230 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 08:51:00 ]: おっと、検出名２つ貼りわすれ。拡張設定で検出する分。

InstallAVg_77025309.exe_ - not-a-virus:FraudTool.Win32.Antivirus2009.fe,
StageThree.exe_ - not-a-virus:FraudTool.Win32.Antivirus2010.e

These files are already detected by our extended bases as potentially risk programs.
231 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 13:30:09 ]: 前スレのDishの件
カスペから今頃返事が来た

Hello,

dish.exe_ - Trojan-Proxy.Win32.Delf.kt

This file is already detected. Please update your antivirus bases.

>
Please quote all when answering.

結論：どのベンダーからもウイルス扱いされるこのソフトを作った奴が悪い
232 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 18:45:54 ]: >>205の続き　NOD32 定義3791
全検出を確認　9/12→12/12
233 名前：名無しさん＠お腹いっぱい。 [2009/01/23(金) 18:49:34 ]: blog-imgs-24.fc2.com/j/k/j/jkjcjk/yara.jpg
234 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 20:15:57 ]: >>233
>>3
-----
>>105
ClamAV(6/6)

[clamav-virusdb] Update (daily: 8895)
ttp://lurker.clamav.net/message/20090123.091431.03e1242f.en.html

Submission-ID: 6221397
Added: Trojan.Inject-1879
Added: JS.Agent-36
Added: JS.Agent-37
Added: JS.Agent-38
Added: JS.Agent-39
Added: JS.Agent-40

ClamAVはチェックつけとくと、検出名は教えてくれるけど、いつ送ったどのファイルだか判らないので困る。
ファイル数とか検出名称から当たりをつけて、VirusTotalに投げて、同じ名前で検出するかチェックして
ようやく返答と、どの検体かが結びつくのでちょっと面倒くさいです。

提出：2009/01/19 AM3:50頃
返答：2009/01/23 PM6:13頃　今回は、およそ４日半位ですね
235 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 20:27:37 ]: >>105
ついでなんで、対応状況のチェック

=== VirusTotal(2009/01/19 検体提出前) ===
ttp://www.virustotal.com/analisis/a9fcbdb0774223ed4262422c72e06bda : index.htm(7/39)
ttp://www.virustotal.com/analisis/44d4f78814e7982baceba7fc4c2fba1d : Muma.htm(7/37)
ttp://www.virustotal.com/analisis/803f38f1ee5eaf28935f8901e6214ab8 : muma_1.html(15/37)
ttp://www.virustotal.com/analisis/34e438cc6d99c903e24d4550722177e1 : Ms06-014.htm(6/38)
ttp://www.virustotal.com/analisis/ae8a4d8cc183c03457b803eaffb1f106 : Ms06-014_1.htm(4/38)
ttp://www.virustotal.com/analisis/a9fa32735a81f195b1bd02ae2cdc7ad3 : k1.exe(24/39)

=== VirusTotal(2009/01/23) ===
ttp://www.virustotal.com/analisis/a0a022353e51b762e295f9dddc895398 : index.htm(19/39)
ttp://www.virustotal.com/analisis/2beccda409a15729300f1e486e38dd32 : Muma.htm(18/39)
ttp://www.virustotal.com/analisis/e5db8393c89824000810d2e27dc50c44 : muma_1.html(27/39)
ttp://www.virustotal.com/analisis/0a1e6f4fe20ea01895f5bcaec09c5c78 : Ms06-014.htm(20/39)
ttp://www.virustotal.com/analisis/aa42f42447a8e7174e4c1ed1cf348877 : Ms06-014_1.htm(18/39)
ttp://www.virustotal.com/analisis/1b96186968273ec0b7ba7ca29ebfad19 : k1.exe(31/39)

2009/01/19 -> 2009/01/23
index.htm　　　　　:　7 -> 19
Muma.htm　　　　 :　7 -> 18
muma_1.html　　　: 15 -> 27
Ms06-014.htm　　:　6 -> 20
Ms06-014_1.htm　:　4 -> 18
k1.exe　　　　　　　: 24 -> 31
236 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 21:55:56 ]: 193.138.205.121/spc.gif
237 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 21:58:33 ]: >>232
それにしても最近のESETの対応の早さはなんなんだろうね
明らかにavast!やAVG、バスターより対応早い

ウイルス解析スタッフを変えたとかなんか？
VB100スポンサー外れたことも影響してるのかな？
238 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 22:00:05 ]: 少しは危機感があるんじゃないかな
239 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 22:01:15 ]: だったらいいね
それぐらい今までのESETは信用できなかったし
240 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 22:13:32 ]: >>236
tp://www.virustotal.com/jp/analisis/187a1a38cfc7fdc2990b0c8d94cc732e
McAfeeに提出させて頂ました。
241 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 22:17:03 ]: >>236
file.exeが落ちてくる。毎回異なったバイナリが落ちてくる模様
直接の入手元の場合、誤クリックで感染してしまう危険を回避する為、ドットを■に置き換えるとかの
工夫をして貰えると有難い。

ttp://www.virustotal.com/analisis/d4d8afba507e9b45a79215f87e18941c (9/39)
ttp://www.virustotal.com/analisis/98b118d42b2bb99f04d34ced5f27f79d (9/37)

検出名
Trojan:Win32/AgentBypass.gen!I(Microsoft)

検体入手元
ttp://193■138■205■121/spc■gif

検体（複数パターン入手しています）
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=205
virus
242 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 22:32:11 ]: >>241
AviraPremiumSecuritysuit
avast!4.8

ともにスルー
243 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 22:34:48 ]: >>241
McAfeeに提出させて頂ました。
244 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 22:35:50 ]: そこは前スレで既出だけど
定期的にバイナリが大きく変わるからどうしようもない
245 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 22:37:37 ]: >>241
PandaGlobalProtection2009
48個全て疑わしいファイルとして検出

McAfeeVirusScan＋ActiveProtection
スルー
246 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 22:41:05 ]: >>241
NortonInternetSecurity2009
Nortonも48個全てヒューリスティックで検出
ヒューリスティック検出名：Suspicious.MH690（恐らくVirustotalでは反応しません）

NortonとPandaの傾向見ると一度ヒューリスティックで引っ掛けてしまえばあとは強いな
247 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 22:53:23 ]: ttp://www.virustotal.com/analisis/e722304ee41e95c392dfebcb3a9e387e

一部抜き出してVTスキャン
今回はPandaはVT上で反応するね、で、SymantecはVT上でスルー
Kasperskyは私はKasperskyを実機で動かしてない（2年ライセンスは持ってるんですけど）のでカスペ報告者が来ないとヒューリスティック検出がわかりませんね・・・

思うにVTには最新エンジンを提供しないというのも一つの手なのかもしれない
最新エンジンを提供してなんでも正直な判定だったらマルウェア製作者側に攻略されてしまうような気がする
現時点のKaspersky、Symantec、Pandaの「VT上の嘘スルー」も一つの戦略かもしれない
248 名前：名無しさん＠お腹いっぱい。 [2009/01/23(金) 23:06:07 ]: >>241
カスペ2009 22:17:00
スルー
0/48

一括して送るか。
１カ所のコードに反応してシグネチャ作るか、個別にシグネチャ作るか、ジェネリック・シグネチャ作るかいずれかだな。
249 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 23:07:25 ]: >>236
NortonとPandaでそこのサイトに突撃してみた
Nortonは侵入防止機能が激怒してそこのサイトには行かしてくれず
PandaはヒューリスティックとWebスキャンが働いてダウンロードできるものはtxtファイルだけ

という結果でした、どっちもログに検出結果が出たので問題ありません

avast!はネットワークシールドがAntiVirはWebガードが働けばそういうサイトに踏むことはないと思うけど
250 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 23:15:42 ]: >>248
各ベンダーのシグネチャの性質にやはり違いはありますね
カスペは個別にシグネチャ作るんでしょうね

あとはヒューリスティックにもそれぞれ特徴がありますよね
Pandaはクラウドベースとヒューリスティックが連携してるからとりあえず怪しければグレー判定する傾向が強い
Nortonの方はまだまだわからないのでもっと使ってみてどんな傾向があるのか調べてみたい
NOD32のアドバンスドヒューリスティックみたいなものだったらシグネチャが多いNortonに活きそうだけど現時点ではシグネチャ（パルスアップデート）とヒューリスティックが連携取れてるように見えないのが残念
251 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 23:24:13 ]: >>241
Dr.Web（VirusTotalでは検出しないが、既知のファイルとして返答）
　Your submission has been processed.
　This virus is already known to us;
　an entry for this virus has been added to the Dr.Web virus database earlier.
Viruses: Trojan.Packed.449
－－－－－
Rising メールで送付すると、サポートセンターへ行けという自動返信がくるようになった。
Webフォームからの受付に絞られたかも。
252 名前：名無しさん＠お腹いっぱい。 [2009/01/23(金) 23:46:15 ]: >>236
カスペ2009もアクセスできない。

2009/01/23 23:40:23 193.138.205.121/spc.gif Detected: 193.138.205.121/* Reason: Databases

IPアドレス事態が危険なアドレスとしてデータベースに含まれているな。＞Web Anti-Virusのsuspicious sites
253 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/23(金) 23:50:30 ]: >>252
avast!とAntiVirは普通にアクセスできた
ネットワークシールドもAntiVirWebガードもスルーという状態
254 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 00:08:23 ]: >>249
>Nortonは侵入防止機能が激怒してそこのサイトには行かしてくれず
実際の検体は(VirusTotalでは)スルーしてるけど、アクセス拒否するなら安心だね。
USBメモリとか経由して持ち込まれたら感染するんだろうから、提出は必要だけど。
（Symantecにも>241の検体退出済み）
255 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 00:09:09 ]: >>241
NOD32 v3.0 定義3792
オールスルー。
Esetへ提出しました。
256 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 00:11:35 ]: >>249
>avast!はネットワークシールドがAntiVirはWebガードが働けばそういうサイトに踏むことはないと思うけど
2つとも検出してないから無理
257 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 00:13:00 ]: 255です。追記。
NOD32 webアクセス保護機能では保護機能が働かずにアクセスが可能状態。
従ってURLも同時に報告しました。
258 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 00:14:09 ]: >>241
AntiVir
(0/48)

BitDefender 10 Free
(0/48)

Spybot
(0/48)

SUPERAntiSpyware Free Edition
(0/48)
259 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 00:18:45 ]: >>254
＞実際の検体は(VirusTotalでは)スルーしてるけど
Norton2009はヒューリスティックで検出しますよ>>246

ただPandaのクラウドベース検出にもいえるけどNortonの拡張ヒューリスティック検出は手動スキャンじゃないと反応しない
恐らく常駐時での誤検出を防ぐために手動スキャンのみヒューリスティックを強力にしてるんだろうけど
260 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 00:39:04 ]: >>241を何個かだけ実行してみて、落ちてきたファイル（6個）
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=206
virus

ちなみにカスペ2009（送信済み）
1/6
HEUR:Trojan.Win32.Generic gEWoPfgd.dll
261 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 00:46:53 ]: >>240
MD5が違うよ
262 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 01:01:44 ]: >>261
毎回ちょっとだけ違うのが落ちてくるんだよ。だから既出の同アドレスからの検体とMD5が異なって当然。
自動生成して検出逃れを目論んでるぽい。
263 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 01:06:01 ]: >>260
Risingに送信済み
264 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 01:16:27 ]: >>241
ssdeepのfuzzy hashを見ると途中と末尾がちょっとずつ変わるようだ。
互いのmatch scoreは99～100。
265 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 01:19:54 ]: タイムスタンプかなんかだろね
266 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 01:59:32 ]: >>241
Fortinet:
The samples you submitted will be detected as "W32/Agent.CEV!tr".
267 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 02:20:33 ]: 207.29.253.75/bbs/7/img/200901/260919.jpg
268 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 02:45:17 ]: >>267
>>3
269 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 08:32:22 ]: >>260
AviraPremiumSecuritySuit

fccaWpME\gEWoPfgd.dll
[DETECTION] Is the TR/Vundo.Gen Trojan
1/6

avast!4.8
スルー
270 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 08:37:09 ]: >>260
PandaGlobalProtection2009

全スルー

McAfeeVirusScan+ActiveProtection

Generic!Artemis：fccaWpME\gEWoPfgd.dll
271 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 08:40:51 ]: ｽﾏｿ
McAfeeの検出検体はfccaWpME\vTligHBu.dll
だったorz
AntiVirと検出検体同じだと勘違いしてそこからコピペしてしまったorz
272 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 08:42:27 ]: >>260
NortonInternetSecurity2009

とりあえず検出数とウイルス検出名のみ
2/6
Downloader
Packed.Generic.203
273 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 08:48:55 ]: >>260
AntiVir、avast!、Panda、Symantecに提出完了
274 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 09:11:54 ]: >>260
McAfeeに提出させて頂ました。
275 名前：名無しさん＠お腹いっぱい。 [2009/01/24(土) 11:18:24 ]: >>260
virustotal ok
276 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 12:43:57 ]: >>241
カスペ返答
Trojan.Win32.Agent.bknw
New malicious software was found in these files. Detection will be included in the next update.

Microsoft返答
Submitted Files
=============================================
+---file(0).exe [Trojan:Win32/AgentBypass.gen!I]
　以下、全て同じ名称のため省略
277 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 13:18:51 ]: 警視庁PCがウイルス感染
tsushima.2ch.net/test/read.cgi/news/1232720960/
tp://headlines.yahoo.co.jp/hl?a=20090124-00000007-mai-soci
警視庁は２３日、一部のオンライン端末がコンピューターウイルス「Ｗ３２．Ｄｏｗｎａｄｕｐ．Ｂ」に感染し、車庫証明事務を管理する端末装置などに支障が生じていると発表した。外部には接続していないため情報流出の恐れはないという。

Net-Worm.Win32.Kido.ef
tp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-123015-3826-99
278 名前：277訂正 mailto:sage [2009/01/24(土) 13:20:40 ]: 警視庁PCがウイルス感染
tsushima.2ch.net/test/read.cgi/news/1232720960/
tp://headlines.yahoo.co.jp/hl?a=20090124-00000007-mai-soci
警視庁は２３日、一部のオンライン端末がコンピューターウイルス「Ｗ３２．Ｄｏｗｎａｄｕｐ．Ｂ」に感染し、車庫証明事務を管理する端末装置などに支障が生じていると発表した。外部には接続していないため情報流出の恐れはないという。

Ｗ３２．Ｄｏｗｎａｄｕｐ．Ｂ
tp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-123015-3826-99
279 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 14:09:26 ]: >>278
外部に接続してないのに感染したってどういうこと？
誰かが持ち込んだってことなら、誰かが持ち出すこともできる
持ち出した情報を個人のPCに保存して、そこから流出することを
警察は考えてないのか？
280 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 14:15:29 ]: 人が死ぬほどの大事にならないと対策しないのは何時まで経っても治らないのな
281 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 14:51:09 ]: 人間だもん。仕方ないよ（´・ω・`）
282 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 15:03:43 ]: >>279
ｎｙとかじゃないから、探してもないよ。って言いたいんじゃｗ
283 名前：名無しさん＠お腹いっぱい。 [2009/01/24(土) 17:42:06 ]: 209 名前:名無しさん＠九周年メール: 投稿日:2009/01/24(土) 16:27:06 ID:5uSN00jo0
みんなー、気をつけろ！

Windowsの脆弱性悪用ウイルスに350万台以上が感染、国内でも被害多数：ITpro
itpro.nikkeibp.co.jp/article/Research/20090115/322913/?ST=securityhole

Windowsの脆弱性悪用ウイルスが900万台に感染、3割は中国のパソコン：ITpro
itpro.nikkeibp.co.jp/article/Research/20090121/323217/?ST=securityhole
284 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 21:11:45 ]: >>260
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A 　　　　fccaWpME\gEWoPfgd.dll
それ以外は全て疑わしいファイルとして検出

それ以外のベンダー（AntiVir、avast!、McAfee、Norton）の検出状況は変化なし
285 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/24(土) 22:30:11 ]: カスペ2009

fccaWpME.dll,
ssQggfGX.dll,
tuvtRjGw.dll,
urqQjGWn.dll - Trojan.Win32.Agent.bknr,

gEWoPfgd.dll - Trojan.Win32.Agent.bkns,

vTligHBu.dll - Trojan.Win32.Agent.bknt

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

よって、1/6＞6/6
286 名前：名無しさん＠お腹いっぱい。 [2009/01/24(土) 22:35:22 ]: >>285
>>260か？

検体名記載よろしく。
287 名前：285 mailto:sage [2009/01/24(土) 22:54:49 ]: ごめん、書き忘れ。
>>260です。

ちなみに、今スキャンしたらメールと検出名が違ってた。
Trojan-Downloader.Win32.Injecter.bzq 　fccaWpME\fccaWpME.dll
Trojan.Win32.Agent.bkns 　fccaWpME\gEWoPfgd.dll
Trojan-Downloader.Win32.Injecter.bzq 　fccaWpME\ssQggfGX.dll
Trojan-Downloader.Win32.Injecter.bzq 　fccaWpME\tuvtRjGw.dll
Trojan.Win32.Agent.bknt 　fccaWpME\vTligHBu.dll
Trojan-Downloader.Win32.Injecter.bzq 　fccaWpME\urqQjGWn.dll
288 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/25(日) 01:13:12 ]: >>260
SpySweeper with AV

6/6
すべてTroj/Virtum-Gen
289 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/25(日) 15:45:16 ]: >>83
Dr.Web 2009/01/18 -> 2009/01/25

Your request has been analyzed. New virus record has been added.

Trojan.PWS.Wsgame.10182
Trojan.DownLoad.28440
Trojan.DownLoad.28442
Trojan.DownLoad.28443

Thank you for the cooperation.
290 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/25(日) 20:50:18 ]: >>241、>>260
NOD32 v3.0 定義3798
全スルー→全検出　Win32/Adware.Virtumonde
>>260のgEWoPfgd.dllのみ、Win32/Adware.Virtumonde.FP
土日なのに、対応早くてびっくり。
291 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/25(日) 21:11:57 ]: >>260
ttp://www.virustotal.com/jp/analisis/e20bcde420270b39791bb10d56d4a685
McAfee 5505 2009.01.24 Vundo
292 名前：名無しさん＠お腹いっぱい。 [2009/01/25(日) 22:10:59 ]: ヒマなので…。

＞前スレ
＞100 名前：名無しさん＠お腹いっぱい。[sage] 投稿日：2008/12/08(月) 15:30:27
＞ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=132
＞virus
＞いつもの。
＞bkdoorはとりあえずこのファイル名にしたけど、動きはダウンローダ。

約50日前検体のVT結果

www.virustotal.com/analisis/65fcd47af459e064dff2965d17f7eed8 agent0.exe 35/39 (eSafe, eTrust,PCTools,VirusBusterスルー）
www.virustotal.com/analisis/d1566b3c985f964816c03ca40b07e5c7 agent1.exe 36/39 (Comodo,PCTools,ViRobotスルー）
www.virustotal.com/analisis/a7ce7617c2673ca2346ccf648b54e4af agent2.exe 34/37 (nProtect,PCTools,VirusBusterスルー）
www.virustotal.com/analisis/7c5d18a814a925e3492c2ff585aa3aaa agent3.exe 33/37 (Authen., PCTools, Sophos, VirusBusterスルー）
www.virustotal.com/analisis/f147cb3ac33a63c352477f6182f6c1f7 agent4.exe 26/37 (Authen., Clam, DrWeb, eSafe, eTrust, FProt,Norman, PCTools, Sophos, TrendMicro,Virobotスルー）
www.virustotal.com/analisis/b60f05ed490c4478d5c7fabb73537fe5 bkdoor0.exe 29/37 (AhnLab, CAT, Clam, eSafe, eTrust, PCTools, Sophos, TrendMicroスルー）
www.virustotal.com/analisis/f4c866d0cef0702778f92de7f8379248 bkdoor1.exe 32/39 (Clam,Comodo,eSafe,Panda,PCTools,Prevx,Sophosスルー)
www.virustotal.com/analisis/2b7f1daab74353b67e7668db559b89f4 bkdoor2.exe 28/39 (Authen,Clam,Comodo, eSafe,eTrust,FProt,nProtect,PCTools,Prev,TrendMicro,VirusBusterスルー)
www.virustotal.com/analisis/f77b334056843d2b6147914c374c0b43 upk1.exe 35/39 (AhnLab, Clam,eTrust, Prevスルー)

・注意事項；ポリシー？、拡散度低い？（検体がベンダーに認識されていない？） VTと新Ver.での検出結果の相違
293 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/26(月) 02:59:25 ]: >>236
>>241
>>260
avast!4.8
Win32:Adware-gen [Adw]

全て同じ検出名だったので一つにまとめました
294 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/26(月) 03:24:48 ]: >>292
＞VTと新Ver.での検出結果の相違
これがまだまだ気になるよね
SymantecとKasperskyとPandaの他にDr.webとRisingはVTと最新バージョンでは違うみたいだね
Dr.webは最新版はヒューリスティックが強力（？）でRisingは最新版はアップデート回数が増えてるみたいだね
RisingはNortonの2007以前と2008以降みたいな感じかな？

他のベンダーはどうだろう？
BitDefenderはVTのエンジンが古いからやっぱり最新版は違うのかな？違うんだったら興味がわくけど
295 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/26(月) 12:12:39 ]: Risingは数年前から1日3回だよ
296 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/26(月) 16:45:57 ]: >>202
NortonInternetSecurity2009追加検出
Packed.Generic.187：InstallAVg_77025309.exe

8/12

>>295
Risign2009のパターンファイルバージョンはそれまでのRisingのパターンファイルとは違うみたいだけど？
パターンファイルは違うけど2009でも一日3回とか？
297 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/26(月) 16:50:04 ]: >>241
McAfeeVirusScan+ActiveProtection

検出数だけ
28/48
298 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/26(月) 20:26:55 ]: >>296
20.xx.zzが2008向けの定義やプログラムのバージョン表記
21.yy.zzが2009向けの定義やプログラムのバージョン表記
パターンファイルの中身が違うかどうかはわからないけど更新頻度は同じだよ

ちなみに、中国が春節のため土曜日から更新なし
Rising 2009 21.22.50 (21.13.50.00) Last Update Time=2009-01-24 10:31
　　　　　　　　　↑　　　　　　↑
　　　　　　プログラム　　　定義
299 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/27(火) 01:44:05 ]: ClamAVの返答…えーと、どの検体だろう？
11ファイルあるので、Marware-Packxxのどれかだとは思いますが。

ttp://lurker.clamav.net/message/20090126.130632.5e5ad5e4.en.html

Submission-ID: 6298407
Added: Trojan.Fakealert-1414
Added: Trojan.Dropper-18514
Added: Trojan.Agent-70909
Added: Trojan.Downloader-67635
Added: Trojan.Fakeav-41
Added: Trojan.Zbot-2961
Added: Trojan.Zbot-2962
Added: Trojan.Spy-58983
Added: Trojan.Downloader-67636
Added: Trojan.Fakeav-42
Added: Trojan.Spy-58984
300 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/27(火) 23:27:00 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=207
virus

ttp://www.virustotal.com/jp/analisis/8e3cf98db20163e6ca9dc8f0346d28c7
301 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/27(火) 23:53:43 ]: >>300
Risingに送付完了
302 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 00:04:05 ]: >>300
PandaGlobalProtection2009とNortonInternetSecurity2009はガチスルーだったので提出しました
303 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 00:08:30 ]: 「ガチ」はなんか嫌だ
304 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 00:17:21 ]: 「VT上でスルー」じゃなく「実機でもスルー」だからガチスルーということで
305 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 00:19:24 ]: 嫌、「ガチ」が気に障るだけだw

そこんところはスルーしていいよ
306 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 00:26:39 ]: あとMcAfeeの報告は止めました

どうも仮想環境が上手く構築できないから現時点ではこれ以上のベンダーの検出報告は無理だorz（avast!はAntiVirとの併用が奇跡的に不具合なく快適に動かせるんだが・・・）
McAfeeActiveProtectionは興味あるしBitDefender2009とかも動かしてみたいんだが・・・・

VMwareのゲストOSをVistaかXPにするにはどうしたらいいんだろう・・・？やっぱり新たにOSのライセンス購入しなきゃいけない？（ちなみに実機のOSはVista）
こんな恥ずかしい質問してすいません、どうも仮想環境には慣れてないから上手く使いこなせない
307 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 00:35:54 ]: VirusBusterに送ってみたけど
優先度lowとか書いてあるしやる気なさそうだな
せっかく送ってやったのに糞の癖に生意気
308 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 01:07:54 ]: >>306
XP・VistaのVPC用イメージファイルならここにあるよ
ttp://www.microsoft.com/downloads/details.aspx?FamilyId=21EABB90-958F-4B64-B5F1-73D0A413C8EF
いまならWindows7を勧めるけどw
309 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 01:28:38 ]: >>306
VMware総合スレ Part19
pc11.2ch.net/test/read.cgi/software/1227857521/
↑ここで聞いてみれば

Microsoft VirtualPCなら使った事はありますが
VMwareは高くて無理w
310 名前： [―{}@{}@{}-] 名無しさん＠お腹いっぱい。 [2009/01/28(水) 03:51:49 ]: www.hackpalace.com/virii/makers/nowhere%20utilities20.zip
www.hackpalace.com/virii/makers/mass%20produced%20code.zip
www.hackpalace.com/virii/makers/ansigen.exe
311 名前：名無しさん＠お腹いっぱい。 [2009/01/28(水) 06:15:05 ]: >>310
https://www.virustotal.com/jp/analisis/f1ecb6ff58cdeb6c7f82ef74c0d89ddd
https://www.virustotal.com/jp/analisis/f1ecb6ff58cdeb6c7f82ef74c0d89ddd
https://www.virustotal.com/jp/analisis/24f21898e021f15961f7dbd5b45137fa
312 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 06:44:02 ]: 表示環境によっては、手が当たって踏むリスクのある人があるので、
マルウェアソース晒す人は、"http://" 入れるのやめよう (h一個だけ抜きも不十分)
313 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 07:37:56 ]: 直リンするバカは放置でいいよ
314 名前：名無しさん＠お腹いっぱい。 [2009/01/28(水) 08:28:51 ]: ３１０さん　サイト見たらマカフィーて以外に対応早くていいのね
315 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 09:09:19 ]: >>308
>>309
ｔｈｘ

無事仮想環境構築できたならMcAfeeActivrProtectionの報告をするつもりです

本当はESETやKasperskyのライセンスを持ってるけど既にお客さんがいるためここら辺の検出報告は控えてるという状況です
316 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 09:22:24 ]: >>310
avast!4.8
一番上
Other:Malware-gen

ちなみに一番上のファイルはAntiVirとPandaとNortonはスルーでした
これだけ見るとavast!の誤検出なのかな・・・・？
317 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 09:22:39 ]: 重複してもいい。送付漏れする位なら。
318 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 09:24:28 ]: >>314
最近はMcAfeeとNortonとPandaとESETとavast!が頑張ってるという感じだね
前者3つのベンダーは新エンジンに伴って検出率が向上した感じ
319 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 11:38:25 ]: >>312
> 表示環境によっては、手が当たって踏むリスク

それどころかプリフェッチとかあるからな。
320 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 13:19:40 ]: >>310
AntiVir
ansigen.exe
　[DETECTION] KIT/DOS.Ansigen construction kit
mass produced code\PS-MPC.COM
mass produced code.zip
　　--> PS-MPC.COM
　　　[DETECTION] VKIT/PSMPC virus
nowhere utilities20.zip
　NotDetected

BitDefender10Free
nowhere utilities20.zip=>CIPHER.COM Infected: BAT.Calhob.A@mm
nowhere utilities20.zip=>FAKEFILE.COM Detected: Application.Fakefile.A
nowhere utilities20.zip=>RESIZE.COM Detected: Application.Fileresizer.A
ansigen.exe Infected: Trojan.Constructor.Dos.Ansigen.A
mass produced code.zip=>PS-MPC.COM Infected: Constructor.PS-MPC
321 名前：306 mailto:sage [2009/01/28(水) 16:30:21 ]: >>308
無事VPCでxpを構築することができました
ありがとう、これで検出報告するベンダーを増やすことができる
322 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 17:25:51 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=208
virus

>>300（tane0207.zipの中の偽装jpeg）から呼ばれるもので404になっていないものを幾つか拾ってみました。
img20081223085209.jpgは同梱されていますが、>300のものです。

img20081223085209.jpg　　　　 : Trojan-Downloader.HTML.IFrame.if(Kaspersky)
CursorManiaFFSetup2.0.4.0.exe : not-a-virus:AdTool.Win32.MyWebSearch.bm(Kaspersky)
goldfish.xls.scr　　　　　　　　　　 : Worm:Win32/Yaha.F@mm(Microsoft)
golden-keylogger.zip　　　　　　　: not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
GoldenKeylogger-setup.exe　　 : not-a-virus:Monitor.Win32.GoldenKeylogger.130(Kaspersky)
Document003.pif　　　　　　　　　 : Worm:Win32/Sobig.A@mm(Microsoft)
phone_number2.pif　　　　　　　　 : Worm:Win32/Netsky.T@mm(Microsoft)
movie0045.pif　　　　　　　　　　　 : Worm:Win32/Sobig.F@mm(Microsoft)
sensitive.pif　　　　　　　　　　　　 : Virus:Win32/Magistr.B@mm(Microsoft)
hello.zip　　　　　　　　　　　　　　 : Trojan-Proxy.Win32.Delf.ce(Kaspersky)

一応入手元
ttp://ak■imgfarm■com/images/nocache/funwebproducts/2■0■4■0/CursorManiaFFSetup2■0■4■0■exe
ttp://www■calistra■com/virus/goldfish■xls■scr
ttp://www■golden-keylogger■com/golden-keylogger■zip
ttp://seti■sentry■net/archive/bioastro/2003/Feb/att-0025/Document003■pif
ttp://www■abisource■com/mailinglists/abiword-dev/2005/Jun/att-0006/phone_number2■pif
ttp://lists■w3■org/Archives/Public/site-comments/2003Aug/att-0008/movie0045■pif
ttp://lists■w3■org/Archives/Public/www-dom/2001OctDec/att-0204/sensitive■pif
ttp://www■geocities■com/lelele111111/hello■zip
323 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 17:32:59 ]: 追記
殆どのものが古めのもののようで、対応されている率が高かったです。

カスペ返答
返答に検出名称はありませんでしたが、なにかすりぬけ分があったようで。
New malicious software was found in the attached file. Its detection will be included in the next update.

マカフィー
File Name Findings Detection Type
--------------------|---------------------------------|------------
cursormaniaffsetup2.|current detectionadware-websearch|Application
document003.pif |current detectionw32/sobig.a@mm |Virus
file_id.diz |inconclusive |
goldenkeylogger-setu|current detectionkeylog-goldenkey|Application
goldfish.xls.scr |current detectionw32/yaha.g@mm |Virus
hello_01.exe |variant detectiongeneric.eo |Trojan
hello_02.exe |variant detectiongeneric.eo |Trojan
hello_03.exe |variant detectiongeneric.eo |Trojan
hello_04.exe |variant detectiongeneric.eo |Trojan
hello_05.exe |variant detectiongeneric.eo |Trojan
hello_06.exe |variant detectiongeneric.eo |Trojan
img20081223085209.jp|current detectionvbs/generic@mm |Virus
movie0045.pif |current detectionw32/sobig.f@mm |Virus
phone_number2.pif |current detectionw32/netsky.t@mm |Virus
sensitive.pif |current detectionw32/magistr.b@mm|Virus
324 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 17:37:35 ]: >>322
シマンテック
２分割で送ったうちの片方だけ返答
filename: CursorManiaFFSetup2.0.4.0.exe
　　result: See the developer notes
filename: goldfish.xls.scr
　　result: This file is detected as W32.Yaha.F@mm.
　　www.symantec.com/avcenter/venc/data/w32.yaha.f@mm.html
filename: Document003.pif
　　result: This file is detected as W32.Sobig.A@mm.
　　www.symantec.com/avcenter/venc/data/w32.sobig.a@mm.html
filename: golden-keylogger.zip
　　result: This file is clean
filename: file_id.diz
　　result: This file is clean
filename: GoldenKeylogger-setup.exe
　　result: This file is detected as Spyware.GoldenKeylog.
　　www.symantec.com/avcenter/venc/data/spyware.goldenkeylog.html
325 名前：306 mailto:sage [2009/01/28(水) 17:38:03 ]: >>322
avast!4.8
CursorManiaFFSetup2.0.4.0.exe：Win32:Adware-gen [Adw]
Document003.pif：Win32:Sobig [Wrm]
goldfish.xls.scr：Win32:Yaha-E [Wrm]
img20081223085209.jpg：VBS:LoveLetter-C [Wrm]
img20081223085209.jpg：VBS:LoveLetter-C [Wrm]
movie0045.pif：Win32:Sobig-F [Wrm]
phone_number2.pif：Win32:Netsky-T [Wrm]
sensitive.pif：Win32:Magistr
326 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 17:38:26 ]: >>322

Fortinet:
新規対応分
CIPHER.COM　　　　- 　　Misc/Cipher
CRYPTCOM.COM　　　　- 　　HackerTool/Cryptcom
FAKEWARE.COM　　　　- 　　Misc/Toolfkw
REPLACE.COM　　　　- 　　HackerTool/CoverFile

既知の分:
ansigen.exe　　　　-　　W32/ConstructionKit
FAKEFILE.COM　　　　- 　　Misc/Toolfkf
PS-MPC.COM　　　　- 　　PSMPC.A!tr
hello.zip/hello/hello_01.exe　　-　　W32/Delf.CE!tr
hello.zip/hello/hello_02.exe　　-　　W32/Delf.CE!tr
hello.zip/hello/hello_03.exe　　-　　W32/Delf.CE!tr
hello.zip/hello/hello_04.exe　　-　　W32/Delf.CE!tr
hello.zip/hello/hello_05.exe　　-　　W32/Delf.CE!tr
hello.zip/hello/hello_06.exe　　-　　W32/Delf.CE!tr
img20081223085209.jpg　　　　-　　HTML/IFrame.CUQ!tr
movie0045.pif　　　　　　-　　W32/Sobig.F@mm
phone_number2.pif　　　　-　　W32/Netsky.T@mm
sensitive.pif　　　　　　-　　W32/Magistr.B@mm
327 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 17:42:07 ]: >332
AviraPremiumSecuritySuit
CursorManiaFFSetup2.0.4.0.exe [DETECTION] Contains recognition pattern of the ADSPY/AdSpy.Gen adware or spyware
Document003.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.A worm
golden-keylogger.zip
[0] Archive type: ZIP
--> GoldenKeylogger-setup.exe
[DETECTION] Contains recognition pattern of the DR/GoldenKeylogger.130 dropper
goldfish.xls.scr [DETECTION] Contains recognition pattern of the HTML/Dldr.Agen.QV.1 HTML script virus
hello.zip
[0] Archive type: ZIP
--> hello/hello_01.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_02.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_03.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_04.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_05.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
--> hello/hello_06.exe
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
[DETECTION] Is the TR/Spy.Banker.cjo Trojan
movie0045.pif [DETECTION] Contains recognition pattern of the WORM/Sobig.F worm
phone_number2.pif [DETECTION] Contains recognition pattern of the WORM/Netsky.#1 worm
sensitive.pif [DETECTION] Contains recognition pattern of the W32/Magistr.B5 Windows virus
328 名前：名無しさん＠お腹いっぱい。 [2009/01/28(水) 17:42:48 ]: >>322
https://www.virustotal.com/jp/analisis/8f915067bf8011e947e482a416a78c0f
https://www.virustotal.com/jp/analisis/1f3cfb0ce8bc325ee24b5ba171649ea7
https://www.virustotal.com/jp/analisis/e2cd54477133cb0cef744cad38bfff3b
https://www.virustotal.com/jp/analisis/97484c850c0660b251dff5d2c2367fbe
https://www.virustotal.com/jp/analisis/5e9f97a266b85d11889d2b056d0c8c1a
https://www.virustotal.com/jp/analisis/8e3cf98db20163e6ca9dc8f0346d28c7
https://www.virustotal.com/jp/analisis/c929e16c621d00e0b746d0fe5d18c3d9
https://www.virustotal.com/jp/analisis/ed7c421f37fc4286b397ffd032e2494d
329 名前：名無しさん＠お腹いっぱい。 [2009/01/28(水) 17:50:18 ]: >>328
もうひとつあった
https://www.virustotal.com/jp/analisis/dfefe5d99ff8c37b75aa0aa07eb0dd69
330 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 17:58:14 ]: >>322
NOD32 v3.0定義3805
9/9
CursorManiaFFSetup2.0.4.0.exe Win32/AdInstaller アプリケーション
Document003.pif Win32/Sobig.A ワーム
goldfish.xls.scr Win32/Yaha.E ワーム
img20081223085209.jpg HTML/TrojanDownloader.Agent.NAX トロイの木馬
movie0045.pif Win32/Sobig.F ワーム
phone_number2.pif Win32/Netsky.T ワーム

sensitive.pif Win32/Magistr.29188 ワーム
golden-keylogger.zip
　->GoldenKeylogger-setup.exe Win32/GoldenKeylogger.132 アプリケーション
hello.zip
　->hello_01.exe Win32/TrojanProxy.Delf.CE トロイの木馬
（以下02～06まで同名で検出）

sensitive.pifはワームとして検知しましたが、全削除されずに残りました。
ファイルサイズが変化しているので、危険な部分だけ削除しているのかも。
331 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 18:25:35 ]: >>324
> filename: CursorManiaFFSetup2.0.4.0.exe
> result: See the developer notes

よく見かける
See the developer notes
の意味が分からない。
黒、白、リスクウェア、どっち？
教えてエロい人
332 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 18:28:00 ]: >>331
解析中という見方が正しいけど検体送って数日経ってこういうメールが来る場合がある
その場合は白と見ても良いと思う、その後も対応する気配が感じられないから
333 名前： ◆W32/Vael.o mailto:sage [2009/01/28(水) 18:41:25 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=209
Malware-Pack58

例によってMcAfeeには提出済み
334 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 18:47:17 ]: >>333
今は仮想環境構築にまだ苦戦状態なので検出数の報告だけで
どうしようもなかったらまたスレチ失礼ながらも質問するかもしれません（そうならないように出来るだけがんばります）

PandaGlobalProtection2009
10/12
335 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 18:53:38 ]: >>333
avast!4.8とAviraPremiumSecuritySuit
ともに10/12
336 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 18:58:46 ]: >>333
NortonInternetSecurity2009
9/12（うち一つは2009ヒューリスティックエンジンで検出）
337 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 19:17:34 ]: とりあえず仮想環境についていろいろと調べてみた結果、やはりOSは新たに買ってきた方がスムーズにいきそうですね・・・
>>308さんが挙げてくれたファイルは確かにxpを展開できたけど英語版なせいか日本語サイトは文字化け起こすわMcAfeeセットアップファイルも起動することが出来なかったので仮想環境でもう一つ検出報告追加はまだまだ後になりそうです（予算検討のため）
338 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 19:21:10 ]: >>331
>See the developer notes の意味が分からない。
書かれている通り、「デベロッパーノートを見ろ」。

メールの後半に「Developer notes:」という項目があってそこに書かれている。ほぼこの定型文がくると思っていい。
　>xxxx.exe Our automation was unable to identify any malicious content in this submission.
　>The file will be stored for further human analysis
自動処理できなかったので、将来人手で解析するファイルとして蓄積しましたということ。
黒とも白ともリスクウェアとも判別されていない状態。

シマンテックからの回答は基本的にこれでクローズ。人手で解析した結果の報告までは来ません。
339 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 19:24:26 ]: シグネチャを自動化してるベンダーってSymantecとあとどこら辺？
McAfeeやPandaとかも企業規模が大きいからシグネチャの自動化はしてそうな感じはするけど

Kasperskyは前に全て人手で行ってると聞いたけど今はどうなんだろう？
340 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 20:12:14 ]: Rising 2009 21.23.20 (21.14.20.00) Last Update Time=2009-01-28 10:33
>>322
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>M3OUTLCN.DLL: Adware.MyWebSearch.e
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3WPHOOK.DLL: Trojan.Win32.Undef.aun
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3SCHMON.EXE: Adware.Msearch.a
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE>>F3HTTPCT.DLL: Adware.MyWebSearch.d
CursorManiaFFSetup2.0.4.0.exe>>MWSSETUP.EXE: <Unknown virus>
Document003.pif: Worm.SoBig
golden-keylogger.zip>>GoldenKeylogger-setup.exe>>rView.exe: Trojan.Spy.Agent.asm
goldfish.xls.scr: Worm.Mail.Lentin.w
hello.zip>>hello/hello_01-06.exe: Trojan.Proxy.Delf.jt
movie0045.pif: Worm.Sobig.f
phone_number2.pif: Worm.Mail.Win32.NetSky.daq
sensitive.pif: Win32.Magistr
8/9
>>333
4\ldr.exe: Trojan.Clicker.Win32.Undef.gj
1/12
341 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 20:22:30 ]: >>339
マカフィーも自動だな。
Dr.Webもパスワードinfectedで送ってたら、自動処理できないので、virusにしてくれって言ってきた。
トレンドマイクロも自動かな？
あとはMicrosoftも自動っぽい気がする。
342 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 21:12:39 ]: >>333
Symantecから
未検出分のみ提出ものから返答

filename: WinDefender2009.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: This file is detected as W32.Waledac.

filename: iMunizatorSetup.dmg
machine: Machine
result: See the developer notes

で、10/12

>>341
ウイルス解析規模が大きいところは大体自動化してるみたいだね
McAfeeとPandaはクラウドベースのシステム的に自動化のほうが理にかなってるし
AVGはどうだろう？
343 名前：名無しさん＠お腹いっぱい。 [2009/01/28(水) 21:19:56 ]: >>338
意味わかった。㌧。
344 名前：名無しさん＠お腹いっぱい。 [2009/01/28(水) 21:30:04 ]: >>333
11/12（0以外）

Detected Trojan program Trojan-Spy.Win32.Zbot.kvv tane0209.zip/Malware/1/r.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.lff tane0209.zip/Malware/2/system.lib
Detected Trojan program Trojan-Downloader.Win32.CodecPack.dxi tane0209.zip/Malware/3/antivirus.v.1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kza tane0209.zip/Malware/4/ldr.exe
Detected virus not-a-virus:FraudTool.Win32.SecurityCenter.ac tane0209.zip/Malware/5/av_2009glof.exe
Detected Trojan program Backdoor.Win32.Small.hiy tane0209.zip/Malware/6/load.exe
Detected virus not-a-virus:FraudTool.Win32.WinDefender.n tane0209.zip/Malware/7/WinDefender2009.exe//data0006
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch1
Detected virus not-a-virus:FraudTool.OSX.iMunizator.a tane0209.zip/Malware/8/iMunizatorSetup.dmg//disk image (Apple_HFS : 2)//iMunizator//arch0
Detected Trojan program Trojan-Downloader.Win32.CodecPack.ejd tane0209.zip/Malware/9/tubeviewersetup.exe//PE_Patch.UPX//UPX
Detected Trojan program Trojan-Dropper.Win32.Agent.afsc tane0209.zip/Malware/a/c-setup.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bfiu tane0209.zip/Malware/b/tubeviewersetup.exe

検体提出します。（0）

8はMac OS X用か？珍しいな。
345 名前：344 [2009/01/28(水) 21:30:19 ]: カスペ2009
346 名前：344 mailto:sage [2009/01/28(水) 22:10:03 ]: >>333
カスペからの返事
11+事後検出1=12/12

0\tubeviewersetup.exe

Hello.

New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
Trojan-Downloader.Win32.CodecPack.enc
347 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 22:15:46 ]: >>333
NOD32 v3.0　定義3806
11/12
0\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WU トロイの木馬
1\r.exe Win32/Kryptik.FHの亜種トロイの木馬
2\system.lib Win32/Spy.Zbot.GA トロイの木馬
3\antivirus.v.1.exe Win32/TrojanDownloader.FakeAlert.WW トロイの木馬
4\ldr.exe Win32/Spy.Zbot.FU トロイの木馬
5\av_2009glof.exe Win32/Adware.XPAntivirus アプリケーション
6\load.exe Win32/TrojanDownloader.Small.OJX トロイの木馬
7\WinDefender2009.exe Win32/Adware.IeDefender.NHAの亜種である可能性アプリケーション
9\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.XG トロイの木馬
a\c-setup.exe Win32/Adware.IeDefender.NICの亜種アプリケーション
b\tubeviewersetup.exe Win32/TrojanDownloader.FakeAlert.WR トロイの木馬
あそこは対応しないかもしれないけど、8の検体をEsetに送付しました。
348 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 23:02:40 ]: ttp://www.virustotal.com/analisis/693610b1534cb9ec4adab5214360c0c0
ttp://www.virustotal.com/analisis/cf6a5616f1665b7bb8d74737424b19ed
ttp://www.virustotal.com/analisis/c7357b78c6c5e1606836d27d6f4796d4
ttp://www.virustotal.com/analisis/f788286529921dde059eb3de0664de18
ttp://www.virustotal.com/analisis/ba91dfd5f5008080685a8726aad45f75
ttp://www.virustotal.com/analisis/732a9c774be874e366a57291d391efae
ttp://www.virustotal.com/analisis/458c0fc8a980ae297e510a7900598fe4
ttp://www.virustotal.com/analisis/8f7be950f70a7fd814429d14cb86a488
ttp://www.virustotal.com/analisis/1ac01c2c8ff362ef0924751de7694266
ttp://www.virustotal.com/analisis/60e4e5c8f42d49db19a2452c435f866d
ttp://www.virustotal.com/analisis/32a0112dc6731c9c4b1e60113a6e47cd
ttp://www.virustotal.com/analisis/050011b65bcbf60dcdbc081ea5611711

BitDefenderはいくらなんでもこれはない、酷すぎる
Pandaだったら「VTではしょぼいけど実機ではすごいもん！」と言い張れるのに
349 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 23:12:46 ]: >>348
AhnLabだって同じ結果だろ
なんでBitDefenderだけそう言うんだ
まあ凋落の一途って感じだけど
350 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 23:13:56 ]: >>348
>>1読め
351 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 23:21:55 ]: >>349
確かにこのスレでは検体は偏ってるし何も参考にはならないだろうとは思うけど他の大手ベンダーが軒並みほとんど検出できてるのにBitDefenderはほとんど検出できてないのはどうかと・・・
ESETですらほとんど検出できてるのに、それにAhnlabと比較されるBitDefenderって・・・

BitもVTエンジンは古いから最新版だったら検出できるって話しならまた違ってくるけど
352 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 23:24:10 ]: ESETですらってなんだよ
優秀な方だよ
353 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 23:28:49 ]: >>352
ESETは最近はすごく頑張ってるけどそれまでは本当にダメダメだったんだけど（このスレでは）

以前までのESET：このスレにうｐされた検体はほとんどスルー、検体提出しても対応してくれる気配がない
今のESET：このスレでうｐされた検体はよく検出してくれる、スルーした検体を提出すると最速とまではいかないけど対応が速くなった
354 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 23:30:44 ]: >>353
だからなんだよ
このスレ的には不適切じゃないか
まあ誹謗中傷ではないから良いのかな
まああまり適切とは思えないから終わりにしろよ
355 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/28(水) 23:36:28 ]: >>354
ｽﾏｿね
ま、ESETがどうしてこんなに良くなったのかそのきっかけはわからないけどとにかく本当に好印象なベンダーになったね
このまま頑張って欲しいですね

というわけでまた新たに未検出検体が対応されたら報告します
356 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 05:37:09 ]: ESETの対応が好印象に変化したというのは、実感してる。ただ、>>1をよく見て欲しい。

＞特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

余計な書き込みでスレ埋め立てないように注意しながら検出可否確認してこうぜ。
357 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 07:19:51 ]: お前が言うな
358 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 07:59:04 ]: ESETもMcAfeeもちょっと前まで絶望感と悲壮感が漂ってたけど今は見事に復活したからBitDefenderもいつかは復活したらいいなとは思う

>>333
AntiVir全検出確認
359 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 12:53:12 ]: ttp://www.supervirus.com/hdd_crash/MOL001.ASF.exe
360 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 13:04:26 ]: >>359
該当するIPなし。名前解決できないので、検体入手不可能。鑑定目的ならお引き取りください。
検体提出なら、>1のアプロダに置いてください。
361 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 14:17:10 ]: >>333
Fortinet:
We will add detection for these samples in the next regular update.
The samples you submitted will be detected as follows:

Malware\0\tubeviewersetup.exe - W32/Agent.FBZ!tr.bdr
Malware\1\r.exe - W32/Zbot.KVV!tr.spy
Malware\2\system.lib - W32/Zbot.LFF!tr.spy
Malware\3\antivirus.v.1.exe - W32/CodecPack.DXI!tr.dldr
Malware\4\ldr.exe - W32/Zbot.KZA!tr.spy
Malware\5\av_2009glof.exe - Misc/SecurityCenter
Malware\6\load.exe - W32/Small.HIY!tr.bdr
Malware\7\WinDefender2009.exe - Adware/WinDefender
Malware\8\iMunizatorSetup.dmg - Misc/IMunizator
Malware\9\tubeviewersetup.exe - W32/CodecPack.EJD!tr.dldr
Malware\a\c-setup.exe - W32/Agent.AFSC!tr
Malware\b\tubeviewersetup.exe - W32/Agent.BFIU!tr.dldr
362 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 15:13:56 ]: 検体入手元：
リネージュ資料室のセキュリティ対策（ウィルス情報 - ウィルス更新状況）から最近更新されたページを
拾ってみたもの。htmlも多く含んでいるため、無害判定の出るファイルも含んでいると思われます。
幾つかのCSSは偽装された実行ファイルでした。
ttp://lineage.paix.jp/guide/security/virus-lastmodified.html
363 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 15:15:16 ]: 訂正。orz

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=211
virus

検体入手元：
リネージュ資料室のセキュリティ対策（ウィルス情報 - ウィルス更新状況）から最近更新されたページを
拾ってみたもの。htmlも多く含んでいるため、無害判定の出るファイルも含んでいると思われます。
幾つかのCSSは偽装された実行ファイルでした。
ttp://lineage.paix.jp/guide/security/virus-lastmodified.html

play.scrを解凍して出てくる1199.exeはベンダーによって外と中身で検出状況が違うことも。
（うっかりして、解凍したexeを入れ忘れました。ベンダーに提出される方は、Play.scrを解凍してください）
ttp://www.virustotal.com/analisis/210b3aaaf72c73fdd03bde62bdcbc71b　1199.exe(19/38)
ttp://www.virustotal.com/analisis/c1021f50717e0c2fd7cb3154ec540948　play.scr(23/39)
364 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 15:15:50 ]: AntiVirFree(他のファイルはスルー）
14.htm : HTML/Crypted.Gen HTML script virus
a1.css : R/Dropper.Gen Trojan
Bfyy.htm : HTML/Shellcode.Gen HTML script virus
cx.htm : HTML/Rce.Gen HTML script virus
fx.htm : JS/Dldr.IFrame.JD Java script virus
lzz.htm : HTML/Dldr.Agent.SB HTML script virus
new.html : HTML/Malicious.ActiveX.Gen HTML script virus
play.scr : DR/PcClient.agv dropper
real10.htm : EXP/RealPlr.CT exploit
real11.htm : HTML/Rce.Gen HTML script virus
sina.css : R/Crypt.XDR.Gen Trojan
b05.css : R/Crypt.XDR.Gen Trojan
playonline\1.css : R/Inject.ntg Trojan
playonline\ff.swf : SWF/Dldr.Tiny.D SWF virus
playonline\flsp.exe : R/Inject.ntg Trojan
playonline\fx.htm : JS/Dldr.Agent.PZ Java script virus
playonline\ie.swf : Contains the SWF/Dldr.Tiny.D.1 SWF virus
playonline\index.htm : JS/Dldr.Agent.HZ Java script virus
playonline\Ms06014.htm : HTML/Rce.Gen HTML script virus
playonline\real.htm : EXP/RealPlr.CT exploit
playonline\real.html : HTML/Shellcode.Gen HTML script virus
xin\ani.asp : EXP/Ani.Gen exploit
xin\ani.c : EXP/Ani.Gen exploit
xin\index.htm : HTML/Dldr.Nilag.bqz HTML script virus
xin\Ms06014.htm : JS/Dldr.Agent.ZY Java script virus
xin\Ms06046.htm : JS/Bofra.A.1 Java script virus
xin\Ms07004.js : EXP/JS.MS07-004 exploit
xin\xia.exe : R/Dropper.Gen Trojan
xin\Yahoo.htm : HTML/Shellcode.Gen HTML script virus
365 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 15:18:01 ]: AntiVirでスルーするファイルのうち、２ファイルは他ベンダーでは検知。
残る８ファイルはVirusTotalでは検知なしのファイルでした。
playonline/ss.htm : Exploit.JS.Agent!IK(a-squared)
playonline/off.htm : Trojan-Downloader.JS.Small.mr(Kaspersky)
366 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 15:39:57 ]: >>363
PandaGlobalProtection2009

とりあえず検出数だけ（詳細な報告は今はちょっとできません）
8個検出（ヒューリスティック検出はなし）
367 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 15:47:47 ]: >>363
NortonInternetSecurity2009
16個検出（うちヒューリスティック検出一つ）

詳細な報告はできなったけどPandaとSymantecに提出してきます
368 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 17:42:14 ]: >>363
ｆｔｐで一括提出予定（McAfee側の準備に2日程必要）
369 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 18:13:17 ]: へー、McAfeeもでかいファイルは別途FTPなのか
370 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 18:13:21 ]: NOD32 v3.0 定義3809
14個検出。未検出ファイルのみ、zip圧縮でEsetへメール送信しました。
a1.css Win32/TrojanDownloader.Agent.OQW トロイの木馬
b05.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性トロイの木馬
play.scr Win32/PcClient.NCRの亜種トロイの木馬
playonline\fx.htm JS/TrojanDownloader.SWFlash.J トロイの木馬
playonline\ie.swf SWF/TrojanDownloader.Small.DJ トロイの木馬
playonline\Ms06014.htm VBS/TrojanDownloader.Psyme.NFF トロイの木馬
playonline\off.htm JS/Exploit.CVE-2008-2463 トロイの木馬
sina.css Win32/TrojanDownloader.Agent.ONBの亜種である可能性トロイの木馬
xin\ani.asp Win32/TrojanDownloader.Ani.Genの亜種トロイの木馬
xin\ani.c Win32/TrojanDownloader.Ani.Genの亜種トロイの木馬
xin\Ms06014.htm JS/TrojanDownloader.Psymeの亜種である可能性トロイの木馬
xin\Ms06046.htm JS/Exploit.CVE-2008-4844.gen トロイの木馬
xin\xia.exe Win32/PSW.QQShouの亜種である可能性トロイの木馬
xin\Yahoo.htm HTML/Exploit.IframeBof トロイの木馬
371 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 19:19:06 ]: >>363
カスペ2009 18:45:00
全部スルー ( ノ∀｀)アチャー

検体提出します。
さて、どうやって提出しようか検討中。（いつもは個別送付）
372 名前：371 mailto:sage [2009/01/29(木) 19:39:18 ]: >>363
カスペ2009+新エミュレータ 22/39 ＠6:16:00

Detected Trojan-Dropper.Win32.Agent.afws a1.css//FSG
Detected Trojan-Dropper.Win32.Agent.abku b05.css//PE_Patch.UPX//UPX
Detected Backdoor.Win32.PcClient.abwo play.scr//data0002
Detected Trojan.Win32.Inject.ntg playonline/1.css
Detected Trojan-Downloader.SWF.Small.dj playonline/ff.swf//Swf2Swc
Detected Trojan.Win32.Inject.ntg playonline/flsp.exe
Detected Trojan-Downloader.JS.SWFlash.j playonline/fx.htm
Detected Trojan-Downloader.SWF.Small.dj playonline/ie.swf//Swf2Swc
Detected Trojan-Downloader.JS.Psyme.anc playonline/Ms06014.htm
Detected Trojan-Downloader.JS.Small.mr playonline/off.htm
Detected Exploit.JS.Agent.aay playonline/real.htm
Detected Exploit.JS.Agent.aax playonline/real.html
Detected Exploit.JS.XMLPars.v playonline/ss.htm
Detected Trojan-Dropper.Win32.Agent.abku sina.css//PE_Patch.UPX//UPX
Detected Exploit.Win32.IMG-ANI.ac xin/ani.asp
Detected Exploit.Win32.IMG-ANI.ac xin/ani.c
Detected Trojan-Downloader.HTML.IFrame.dv xin/index.htm
Detected Trojan-Downloader.JS.Psyme.kf xin/Ms06014.htm
Detected Exploit.JS.Agent.yq xin/Ms06046.htm
Detected Trojan-Downloader.JS.VML.a xin/Ms07004.js
Detected Trojan-Downloader.Win32.Delf.jfj xin/xia.exe
Detected Exploit.HTML.IESlice.z xin/Yahoo.htm

あれ？
373 名前：371 mailto:sage [2009/01/29(木) 19:48:58 ]: >>363
カスペ2009 19:27:00
22/39
>>372と同一でした。

検体提出します。

スレ汚しすまぬ。orz
374 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 20:01:48 ]: >>370です。
NOD32 定義ファイル3810になったため、見逃したぶんを再検査（14+2→16）
\playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
\playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
375 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 20:16:40 ]: >>368
ごめん、２分割でメールしちゃったんで提出済み。
376 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 20:18:16 ]: >>363
Rising 2009 21.23.20 (21.14.20.00)
15個検出
b05.css>>upx_c: Trojan.Win32.Edog.bl
playonline\1.css: Trojan.Win32.Nodef.afb
playonline\flsp.exe: Trojan.Win32.Nodef.afb
playonline\index.htm: Trojan.DL.Script.VBS.Agent.ex
playonline\real.htm: Hack.Exploit.Script.JS.Agent.ik
real10.htm: Hack.Exploit.Script.JS.Agent.il
sina.css>>upx_c: Trojan.Win32.Edog.bl
xin\ani.asp: Hack.SuspiciousAni
xin\ani.c: Hack.SuspiciousAni
xin\index.htm: Trojan.DL.Script.JS.Agent.lyr
xin\Ms06014.htm: Trojan.DL.JS.Agent.lio
xin\Ms06046.htm: Hack.Exploit.Script.JS.Agent.ie
xin\Ms07004.js: Hack.Exploit.Script.JS.Vml.a
xin\xia.exe: Trojan.PSW.Win32.QQPass.qir
xin\Yahoo.htm: Hack.Exploit.YahooWebcam.a
377 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 20:21:48 ]: マカフィー、>>363現時点の返答。この表、奇麗に投稿できないもんかなぁ。
File Name　　 Findings　　　　　 Detection　　　　　　　Type　 Extra
-------------|------------------|----------------------|------|-----
14.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
a1.css　　　 |new detection　　 |generic dropper　　　 |Trojan|yes
b05.css　　　|current detection |downloader-ble　　　　|Trojan|no
b05.htm　　　|inconclusive　　　|　　　　　　　　　　　|　　　|no
bfyy.htm　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
cx.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
fx.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
index(1).htm |inconclusive　　　|　　　　　　　　　　　|　　　|no
index(2).htm |inconclusive　　　|　　　　　　　　　　　|　　　|no
index(3).htm |inconclusive　　　|　　　　　　　　　　　|　　　|no
index.htm　　|inconclusive　　　|　　　　　　　　　　　|　　　|no
lzz.htm　　　|inconclusive　　　|　　　　　　　　　　　|　　　|no
ms07004.js　 |current detection |generic downloader.o　|Trojan|no
new.html　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
play.scr　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
real10.htm　 |current detection |exploit-realplay　　　|Trojan|no
real11.htm　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
sina.css　　 |current detection |downloader-ble　　　　|Trojan|no
style2224.jsp|inconclusive　　　|　　　　　　　　　　　|　　　|no
yahoo.htm　　|current detection |js/exploit-bo.gen　　 |Trojan|no
378 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 20:22:28 ]: （続き）

File Name　　 Findings　　　　　 Detection　　　　　　　Type　 Extra
-------------|------------------|----------------------|------|-----
1.css　　　　|current detection |pws-mmorpg.gen　　　　|Trojan|no
1199.exe　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
2078759.js　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
ani.asp　　　|current detection |exploit-anifile.c　　 |Trojan|no
ani.c　　　　|current detection |exploit-anifile.c　　 |Trojan|no
ff.swf　　　 |current detection |generic downloader.bk |Trojan|no
flsp.exe　　 |current detection |pws-mmorpg.gen　　　　|Trojan|no
fx.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
ie.swf　　　 |current detection |exploit-cve2007-0071　|Trojan|no
index.htm　　|inconclusive　　　|　　　　　　　　　　　|　　　|no
index.htm　　|heuristic detectio|exploit-iframe.gen.h　|Trojan|no
l2.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
ms06014.htm　|current detection |vbs/psyme　　　　　　 |Trojan|no
ms06014.htm　|current detection |exploit-ms06-014　　　|Trojan|no
ms06046.htm　|current detection |exploit-xmlhttp.d.gen |Trojan|no
off.htm　　　|inconclusive　　　|　　　　　　　　　　　|　　　|no
real.htm　　 |current detection |exploit-realplay　　　|Trojan|no
real.html　　|current detection |exploit-realplay.d.gen|Trojan|no
ss.htm　　　 |inconclusive　　　|　　　　　　　　　　　|　　　|no
xia.exe　　　|current detection |generic downloader.x　|Trojan|no
379 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 21:54:24 ]: ESETも返答返すようになってきたようだ。翌日には対応とは頑張ってる。いい感じだ。

>>322…って、>>330で全検出の報告出てるがESETから返答来たので一応報告。1/28提出で翌日には対応。

Thank you for your submission.
The detection for this threat will be included in our next signature update.

>>333　こっちも次回更新で対応との返答。
　>347で報告(11/12)されてるが、8の検体にも対応して全検出になってるか、確認よろしく。

Thank you for your submission.
The detection for this threat will be included in our next signature update.
380 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 21:56:50 ]: >>363
テキストエディタで見ると、相互に呼び出しあっていて、複雑に分解させてるね。,
javaScriptを外部リンクに持ってきたり、iframe使ったり、リンク参照したり、…。
全部ひっくるめて機能する気がする。
単体では、Web作成上、よく使われるスクリプトも多い。

混ぜるな！危険、の硫化水素みたいだ。

既検出分も含め、総提出しないとダメか？
381 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/29(木) 22:16:29 ]: >>380
その辺の呼び出しスクリプトにも対応するか、本体だけ対応するかはセキュリティベンダーのポリシーで
対応状況変わるからねぇ。一通り提出はしてあるので、あとはベンダー次第かと。
382 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 00:55:34 ]: >>363
Avira　AntiVir
The files you have sent us represent a bigger collection of malware.
Our virus lab will check the files and integrate new signatures in one of our next updates.

AntiVirFree(エンジン 8.02.00.60/定義 7.01.01.202）　現時点で、>364と比較してみる (30は、364の29+(1199.exe)=30
(30/40)→(31/40)
383 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 00:57:57 ]: >>363
トレンドマイクロ追加で３種類の定義追加らしい

We are glad to inform you that the detection for the following malware below is now available for
downloading using CPR 5.804.06.

JS_DLOADER.TJP
VBS_PSYME.CLB
HTML_IFRAMEBO.CG
384 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 01:51:29 ]: >>363
カスペからの返事
14.htm_ - Trojan-Downloader.JS.Agent.dkv
fx.htm - No malicious code was found in this file.

その後、17ファイル再度送ったら、回答待ち。
優先順位低いと思われているのかな。

まあ、中途半端なファイルが多くて、agentに入れるかどうか迷ってんのかね。
385 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 03:14:00 ]: >>363
Fortinet.
Some of the samples you sent should already be detected:
xin/ani.asp - W32/MalFormedani.C
xin/ani.c - W32/MalFormedani.C
xin/index.htm - JS/Agent.CG!tr.dldr
xin/Ms06014.htm - JS/Psyme.KF!exploit
xin/Ms06046.htm - JS/MS08078!exploit
xin/Ms07004.js - JS/Vml.A!exploit
xin/Yahoo.htm - JS/ShellCode.A!exploit
b05.css - W32/Dropper.CDB!tr
386 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 03:14:37 ]: Fortinet. （続き）
We have recently added detection for other malwares.These signatures will be included in the next regular update.
The samples you submitted will be detected as:

playonline/ff.swf - SWF/Small.A!tr.dldr
playonline/fx.htm - JS/FlashDownloader.A!tr.dldr
playonline/ie.swf - SWF/Small.A!tr.dldr
playonline/index.htm - JS/Multibreach.B!tr.dldr
playonline/1.css - W32/Inject.NTG!tr
playonline/flsp.exe - W32/Inject.NTG!tr
playonline/Ms06014.htm - JS/Psyme.ANC!tr.dldr
playonline/real.htm - JS/RealPlayer.D!exploit
playonline/real.html - JS/Agent.AAX!exploit
xin/xia.exe - W32/OnLineGames.FHW!tr.pws
real10.htm - JS/RealPlayer.D!exploit
real11.htm - JS/Agent.AAX!exploit
1199.exe - W32/Pcclient.abwo!tr.bdr
a1.css - W32/Agent.JKG!tr
Bfyy.htm - JS/Obfuscated.E!tr
new.html - JS/Multibreach.B!tr.dldr
off.htm - JS/Small.MR!tr.dldr
ss.htm - JS/XMLParse.V!exploit
387 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 16:32:37 ]: >>379
ESETは対応速度も速くなったけどヒューリスティックも良い感じに検出するようになったね
というかPandaもそうだけどESETはやはり他ベンダーと比べるとヒューリスティックでの検出が多いね
388 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 17:56:12 ]: そりゃシグネチャスッカスカだからな
389 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 18:12:15 ]: >>363
McAfee、ftpアップロード完了。
390 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 20:19:33 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=212
virus
ttp://www.virustotal.com/jp/analisis/d7fb4024bd9a07f8579de6001e43287b
391 名前：384 mailto:sage [2009/01/30(金) 20:47:11 ]: カスペ2009
未だ、22+2=24/39で返事来ず。
順番が後回しにされているっぽい。orz

だれか、代理提出お願いします。
提出しすぎてマークされているのかな。
392 名前：384 mailto:sage [2009/01/30(金) 20:47:53 ]: すまぬ、
検体は>>363です。
393 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 20:48:30 ]: NOD32　V3.0　定義3812
>>370,>>374の続き　16+10→26　未検出ファイル17
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\1.css Win32/PSW.Gamania.NBG トロイの木馬
playonline\ff.swf SWF/TrojanDownloader.Small.DJ トロイの木馬
playonline\flsp.exe Win32/PSW.Gamania.NBG トロイの木馬
playonline\real.htm JS/Exploit.RealPlay.NBF トロイの木馬
playonline\real.html JS/TrojanDownloader.Agent.NEJ トロイの木馬
playonline\ss.htm JS/Exploit.XMLPars.V トロイの木馬
xin\index.htm JS/TrojanDownloader.Iframe.DV トロイの木馬
xin\Ms07004.js HTML/Exploit.VML.NAQ トロイの木馬
完全対応は厳しそう。

>>390　1/1
4b3e8d9c0o7a1p5n6i0g7m.exe Win32/PSW.Gamania.NBF トロイの木馬

前後しますが　>>379 8の検体（MacOSのマルウェア）は未検出のままです。
394 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 20:51:19 ]: >>390
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A 　　　　4b3e8d9c0o7a1p5n6i0g7m.exe

>>388
それをいったらMcAfeeやPandaだってクラウドベースがなければスッカスカだぞｗ
395 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 21:10:58 ]: >>106
avgもメールが帰って来るはずだが
396 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 21:21:23 ]: 393です。>>363の続きの検出結果でしたが、重複して報告してましたorz
検出数合計22/39に訂正。申し訳ないです。
397 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 23:32:45 ]: >>391-392
提出済み

>>395
おかしいな。2007年4～5月は受理の報告だけは来てたが、それ以降は返事来てないや。
と思ったら宛て先が古かった模様。次からは、宛て先直そう。<submit@ewido.net>→<virus@avg.com>
398 名前：384 mailto:sage [2009/01/30(金) 23:50:29 ]: >>397
㌧
399 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/30(金) 23:55:36 ]: Rising 2009 21.23.40 (21.14.40.00)
ここまで追加検出なし
いまだ春節モードで検体放置中
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 00:15:55 ]: >>390
VirusTotalで未検出の所へ提出

Ahnlab Customer , Authentium , Cat Computer , CA(eTrust Vet) , Fortinet , K7Computing , Panda ,
Rising Antivirus , VirusBuster , nProtect , Sunbelt , ViRobot

nProtectは検体のファイルを受け付けていないので、>390のあぷろだへのリンクとパスを書いて報告。
401 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 00:21:59 ]: おおすごい
お疲れ様です
402 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 00:24:58 ]: Panda＆Norton使いです

これらとAntiVir＆avast!を使い続けて気になったのはNortonやPandaはウイルス駆除するとき、再起動が必要な場合があるけどAntiVirとavast!は殆どない
ウイルスを解凍→駆除のときに再起動が必要というのは他のベンダーではどうです？
403 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 01:13:36 ]: AntiVirではないなぁ。その前に使ってたカスペもNOD32も駆除の後再起動は経験が無い。
本体更新での再起動位か。

起動させてから駆除したことはないので、ファイル書込み段階での駆除の話ですが。
スレ違いな気もするけど、どこのスレが適当だかわからんわ。
404 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 01:54:09 ]: >>390
Fortinet:未検出→W32/Inject.NNH!tr.

流石に速いな。いつもカスペに次ぐ位の速度で対応してくるベンダーだけあるわ。
一般向けのセキュリティソフトをここが出してくれればなぁ…
405 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 11:45:51 ]: >>403
＞スレ違いな気もするけど、どこのスレが適当だかわからんわ。
そうなんですよね、確かにスレ違いだし「一番良い～」のスレの方が妥当なのかもしれないけどあっちは完全な糞スレになっちゃってまともな会話ができない・・・
こちらのスレではいろんなソフトを使ってる方がいるということで少々テクニカルな話しもできるのではないかと

カスペはウイルス駆除で再起動とかはないんですか・・・・カスペは再起動がありそうなベンダーに見えたんですけどね
406 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 11:51:57 ]: というかマルウェアの種類によっては
どのセキュリティソフトでも再起動が必要な場合はある
407 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 12:15:36 ]: BitDefenderから今頃になって返事が来た件
もうBitDefenderへの提出打ち切りが数週間経つから今頃返事来るなんて遅すぎだよ～
しかも何の検体かわからん

Dear Sir/Madam,

The analysis of your files has been completed with the following results:

It's detected as Trojan.PWS.YJQ.

Please do not hesitate to send us even more suspect/infected files in the future.

Best regards,

Aurelian Neagu
BitDefender Technical Support Engineer

>>363
からSymantecの返事が来て「とりあえず解析中だからしばらく待ってろ」だって
408 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 12:22:43 ]: Bitから返事貰ったことないぞ
409 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 13:11:06 ]: >>407
その検出名の返答が来てるのは1/9に提出したOnline.scrなので、前スレ834だな。
1/9に提出して、1/26に回答来てた。提出する時に、ファイル名に日付入れたり、中身のファイル名書いとくといいよ。

ラボに送ったっていうテンプレメールばっかりなんで、読み飛ばしてたけど、たまに検出名や
既知のファイルだって返答来てるな。＞BitDefender。

　>834 名無しさん＠お腹いっぱい。 sage 2009/01/09(金) 10:52:55
　>ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=177
　>virus
　>検体入手元：ttp://99■1■8■113:8080/sonli/Online■scr
　>(21/38)
　>ttp://www.virustotal.com/analisis/c9ec8d2b1a52c86a9d9347b307345e56

10/21～1/9に送った奴の検出名が、まとめて1/26に来てる。
（この範囲の分をラボに送ったってメールが1/24。どっかで止めてたなｗ）
1/22送付分が、1/23にラボに送付ってメール来てたりするし、実際の処理と返信が連動してないのかも。
spamフィルタで振り分けられてたのを一気に処理した可能性もある。
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 13:26:52 ]: >>407-409
＞前スレ834
ちょっと気になったので比較してみた。未対応がそこそこあるように見えるけど、殆どのベンダーは
外側か中身のどっちかには対応してるので、実際にはブロック可能と思われる。
両方まだ対応してないのは、Prevx1とSunbeltの２ベンダーだけ。

Online.scr
1/11(27/37)　ttp://www.virustotal.com/analisis/7ce937a956863b128ee27e25d4985b3b
1/31(31/39)　ttp://www.virustotal.com/analisis/ec60310811fa14ac7f1ec2c3f76402fb

123456789.exe（Online.scrの中身）
1/11(24/38)　ttp://www.virustotal.com/analisis/86b0c553b4acb202d3c09b35205367df
1/31(34/39)　ttp://www.virustotal.com/analisis/cd68dc6306e520a38fb250e75a18234c
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 13:38:59 ]: 1/9に送った別の検体もついでに比較。

flash.exe
1/11(13/37)　ttp://www.virustotal.com/analisis/f57bc9286f6cd3c7163c8207d65613fe
1/31(22/39)　ttp://www.virustotal.com/analisis/83eca2c3860703a53f1121243a9aa8ef
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 13:52:18 ]: >>363
シマンテック
　ファイル9つづつに分けて、５分割で送信した回答。３つめの分がまだ未回答
　っていうか、４つめのファイル名が２回来てるので、送付ミスったかも…。
　提出 1/29(５件）　回答 1/29（３件） 1/31（２件/但し同じファイル）

検出名のあるもの
filename: flsp.exe
　result: This file is detected as Trojan Horse. www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: 1.css
　result: This file is detected as Trojan Horse. www.symantec.com/avcenter/venc/data/trojan.horse.html
filename: real.html
　result: This file is detected as Downloader. www.symantec.com/avcenter/venc/data/downloader.html
filename: ani.c
　result: This file is detected as Trojan.Exploit.131.
filename: xia.exe
　result: This file is detected as Infostealer. www.symantec.com/avcenter/venc/data/infostealer.html
filename: ani.asp
　result: This file is detected as Trojan.Exploit.131.
filename: play.scr
　result: This file is detected as Backdoor.Formador. www.symantec.com/avcenter/venc/data/backdoor.formador.html
filename: real11.htm
　result: This file is detected as Downloader. www.symantec.com/avcenter/venc/data/downloader.html

手動解析に回したという報告
index.htm , off.htm , Ms06014.htm , 1199.exe , l2.htm , real.htm , fx.htm , ie.swf ,
ss.htm , 2078759.js , ff.swf , index.htm , index(3).htm , real10.htm , index(1).htm ,
cx.htm , lzz.htm , Bfyy.htm , fx.htm , index(2).htm , index.htm , new.html , style2224.jsp
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 14:14:36 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=213
virus

>363と同じくリネージュ資料室の更新状況から。
アドレスは同じだが、ファイルが差し替えられたようなので、再入手。

検体入手元
ttp://down■erhaha2■cn/new/a1■css
ttp://www■wokutonoken-online■com/blog/play■scr
※ 1199.exeはplay.scrを解凍するとでてきます。

VirsTotal
ttp://www.virustotal.com/analisis/d959f85c9cabe9cace7ca4cf75db4019　a1.css(26/39)
ttp://www.virustotal.com/analisis/00d86dae7217edd9cf34de9b223df160　play.scr(23/39)
ttp://www.virustotal.com/analisis/6ceaa0ae27e4b55512d3696daf9bab1d　1199.exe(21/38)

AntiVir
a1.css : TR/Dropper.Gen Trojan
play.scr : DR/PcClient.agv dropper
play/1199.exe : DR/PcClient.Gen dropper

BitDefender
play\1199.exe : Trojan.Crypt.DG
a1.css : Rootkit.Agent.AIWN
play.scr : Dropped:Backdoor.PCClient.TCH
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 14:39:24 ]: >>413
未検出の所は一通り提出

マカフィー（全スルー）

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1199.exe |inconclusive | | |no
a1.css |inconclusive | | |no
play.scr |inconclusive | | |no
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 14:48:32 ]: >>413
PandaGlobalProtection2009
a1.cssのみ疑わしいファイルとして検出
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 14:49:41 ]: >>413
乙です。
NOD32 ｖ3.0 定義3814
a1.css Win32/Genetikの亜種である可能性トロイの木馬
play\1199.exe Win32/PcClient.NCRの亜種トロイの木馬
play.scr Win32/PcClient.NCRの亜種トロイの木馬
417 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 14:53:28 ]: >>413
NortonInternetSecurity2009はVirustotal通りの結果です
418 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 14:58:46 ]: >>413
avast!4.8
play\1199.exe：Win32:Downloader-AZY [Trj]
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 15:23:53 ]: >>413
カスペ、対応済みとの返答。Virustotalの定義が古かった？

1199.exe_,
play.scr_ - Backdoor.Win32.PcClient.abyk,
a1.css - Trojan-Dropper.Win32.Agent.agbj

These files are already detected. Please update your antivirus bases.
420 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 15:40:09 ]: We will add detection for these samples in the next regular update.

The samples you submitted will be detected as follows:
a1■css - W32/Agent.AGB!tr
play■scr - W32/PcClient.ABY!tr
1199■exe - W32/PcClient.ABY!tr
421 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 15:45:15 ]: >>420
それはどこのベンダー？
検出名からNOD32っぽく見えるけど
422 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 15:49:14 ]: …禁止ワードはこれか。orz（投稿に失敗したらしい）
１つ前のカスペの検出名投稿ではこけなかったのに。

ここに検出名投稿するのと前後して、他のBBSでDSBL規制にひっかかるのはなんでだー。
一昨日：BitDefenderの検出名10個位貼る→３回位失敗して諦める→他のBBSでDSBL規制にひっかかる
　　　　　→ISPに対応依頼を出してから、モデムの電源切ってIP変える
今日：カスペの検出名を貼る→他のBBSでDSBL規制にひっかかる→Fortinetの検出名貼るがこける

近いISPで誰かがspam垂れ流してるだけだと思うけど、規制に引っ掛かる直前にここの書込みを
してる点が共通してるのが嫌すぎる。

>420は>413の検出名。ベンダーはFortinet。
423 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 15:50:14 ]: >>421
ごめん、ベンダー名とアンカーを投稿修正時に間違って消してた。
424 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 15:54:14 ]: あ、Fortinetかもしれないですね

>>404
AV-Comparativesでものすごい誤検出起こした結果を見るととても個人向けには扱えそうにないと思うんですが・・・・
Sophosも毎回ものすごい数の誤検出起こしてるから個人向けには出さない理由がわかる気がする（SpySweeperはあるけど）
425 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 16:47:35 ]: 関係ねえよ
426 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 16:56:46 ]: んなこたあねえ
427 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 21:47:03 ]: BitDefenderのサイトが攻撃されてるみたいだけど
ttp://www.bitdefender.com/

仮想環境などで詳細がわかる方レポート頼みます
428 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 22:02:32 ]: >>427
全然問題ないよ
騙されたんじゃね
429 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 22:22:46 ]: >>428
う～ん、それがFireFoxだとブロックされて全く見れない状態なんだよね
FireFox（Google）の誤検出なのかな～？
430 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 22:26:11 ]: 前スレのDishの件なんだけどとうとうNOD32とNormanまで反応した
ttp://www.virustotal.com/analisis/d581c1e317a4fef4a76a35508a5aae72

これでトレンドマイクロ以外の大手ベンダーは全て黒扱い
431 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 22:32:35 ]: >>429
>このサイトで不審なコンテンツが最後に検出されたのは2009-01-18です。
って書いてあるでしょ
検出されたのはこの一回だけ
432 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 23:40:31 ]: googleで何検索しても「このサイトはコンピュータに損害を与える可能性があります。」って
なるね。
さっきのFireFoxの件と関係ありそうだね。

なんかどっかで攻撃あんのかな？
433 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 23:56:27 ]: 本当だ
Googleで何検索しても「このサイトはコンピュータに損害を与える可能性があります。」って出る
Googleが何かの攻撃にやられたのかな？
434 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 23:57:10 ]: ほんとだ
googleが壊れてんのか
435 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 23:57:24 ]: googleがおかしい★2 (ν速）
tsushima.2ch.net/test/read.cgi/news/1233413188/
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 23:57:46 ]: なんだよbid疑って悪いことをした
437 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/01/31(土) 23:58:41 ]: 先生ご乱心ときいて
438 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 00:10:23 ]: Google USもダメだな。

*内部的ミス
**検索エンジン更新時のインストールミス☆
:**単純な設定ミス ★

+外部的ミス
**第三者による攻撃
***Who?
****政府
****悪意のあるハッカー
****テロ組織
****内部組織

++種類
+++サイト改ざん

++目的
+++愉快犯
+++マルウェアのインストール目的

**方法
***ボットネット
***SQLインジェクション
***DNSキャッシュポイズニング
+++SEOポイズニング
****iFrame挿入攻撃

★に2ペリカ、☆に1ペリカ
439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 00:11:13 ]: Googleは逝っちゃってるけどBitDefnderのサイトの件はヤフーで検索しても危険サイト扱いされるな（火狐だけだろうけど）
440 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 00:12:12 ]: www.sleipnirstart.com/
↑これつかえ
441 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 00:25:29 ]: Googleに不具合　全検索結果に「コンピューターに損害を与える可能性」とメッセージ
www.itmedia.co.jp/news/articles/0902/01/news001.html
442 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 00:45:39 ]: >>439
何度か出てるがFirefoxはGoogleのデータ使ってるから
443 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 00:47:23 ]: bitdefenderは今も変わらないな
444 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 08:12:14 ]: >>413
NortonInternetSecurity2009
Backdoor.Formador：play\1199.exe

これで全検出確認
SymantecとPandaは対応速度が安定してないのが欠点だな
445 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 11:20:26 ]: >>461
そういや、こっちには書いてなかったな…。中身の1199.exeとscrでは検出状況がちょっと違う。
最近、ファイルが差し替えられてる。↓は検体提出時の検出結果。

ttp://www.virustotal.com/analisis/c1021f50717e0c2fd7cb3154ec540948　play.scr(23/39)
ttp://www.virustotal.com/analisis/210b3aaaf72c73fdd03bde62bdcbc71b　1199.exe(19/38)

ttp://www.virustotal.com/analisis/00d86dae7217edd9cf34de9b223df160　play.scr(23/39)
ttp://www.virustotal.com/analisis/6ceaa0ae27e4b55512d3696daf9bab1d　1199.exe(21/38)
446 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 11:20:52 ]: >>445は誤爆です orz
447 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 15:12:18 ]: 511 名前：/名無しさん[1-30].jpg[] 投稿日：2009/01/29(木) 19:29:59 ID:zbtNWF/40
僕もおねがいしまつ
ttp://miracleup.huu.cc/blog/

517 名前：/名無しさん[1-30].jpg[sage] 投稿日：2009/01/29(木) 22:29:31 ID:wuKi3eid0
>>511
このページはウイルスに感染しています。カスペルさんは、Trojan.Script.Iframer　だと言っています。

ttp://www.virustotal.com/jp/analisis/b13fa8079aaf5167cee1f41547d28505
448 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 17:11:31 ]: >>447
>>2

・ブラクラ禁止
　ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません。
449 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/01(日) 17:35:08 ]: >>447
検出するベンダーもあるようですし、ブロックしてもよさそうではありますが、今回は提出せず。
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/02(月) 01:07:30 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=215
virus

検体入手元
ttp://down■erhaha2■cn/new/a1■css

またファイルが差し替えられたようです。
ttp://www.virustotal.com/analisis/b1cc4f48de817dda99876f646416f5d9　(30/39)

一部ファイル名が、禁止ワードになっているようで、投稿するとBBX規制リストに載ってしまうようです。
規制に引っ掛からないように、報告時には一部箇所を置き換えたほうがいいかもしれません。
451 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/02(月) 01:13:29 ]: >>450
Risingに提出完了
452 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/02(月) 10:52:04 ]: >>241
McAfeeより返答。1/23提出分。
file.exe～file(46).exe：generic.dx,vundo のどちらかの名称
453 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/02(月) 11:19:22 ]: NOD32 v3.0 定義3817
>>450
tane0215\a1.css Win32/Genetikの亜種である可能性
（アドバンスドヒューステリックによる検出）
454 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/02(月) 13:39:02 ]: Kingsoftからまとめて返答来ました。

>>122　1/19提出
既知：「ウイルス名：Win32.Troj.Crypt.DG.62506」他

>>145　1/20提出
キングソフトにおいてウイルスではないことが確認できましたことをご連絡いたします。
(え゛～）

>>168　1/21提出
既知：「ウイルス名：Win32.Troj.Delf.78848」他

>>202　1/22提出
既知：「ウイルス名：Win32.Troj.Delf.gb.163840」

>>310　1/28提出
既知：「ウイルス名：> VTool.Ansigen.CD.42420 」他
455 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/02(月) 13:41:29 ]: 一ヶ所、他って付け忘れてますので脳内補完お願いします。キングソフトは複数ファイルをアーカイブして送っても
１つしか検出名を書いてこないので、このような書き方になってます。ご了承ください。
456 名前：371,373,380 mailto:sage [2009/02/02(月) 13:49:53 ]: >>363
カスペからの返事
22+3=25

カスペ的には、これでFAみたいね。

Hello,

2078759.js_, b05.htm_, Bfyy.htm_, cx.htm_, index(1).htm_, index(2).htm_, index(3).htm_, index(4).htm_, index.htm_, l2.htm_, real11.htm_, style2224.jsp

No malicious code were found in these files.

new.html_ - Trojan-Clicker.HTML.IFrame.aci,
real10.htm_ - Exploit.JS.RealPlr.ou

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
457 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 00:07:13 ]: ttp://online■w84■okwit■com/file/Start■pif

www.virustotal.com/analisis/708b11c9e323eb2fe9fcb2d3722c10ba　(23/39)
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 00:23:47 ]: >>457
PandaGlobalProtectio2009

疑いのあるファイル未知の脅威からの保護　　　　 online.w84.okwit.com/file/Start.pif
459 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 00:28:54 ]: >>457
ttp://www■wokutonoken-online■com/blog/play■scr
アドレスも拡張子も違いますが、全く同じバイナリで、中に1199.exeが入っていました。

www.virustotal.com/analisis/f468ee080dc4d33b9375d2c17a7abb64　1199.exe（22/39)
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 00:37:40 ]: >>459
PandaGlobalProtection2009は疑わしいファイルとして検出
NortonInternetSecurity2009も検出
461 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 00:40:04 ]: ちなみにPandaもNortonもダウンロード時に検出なので>>459のVirustotalの検体とは違うものだと思いますね
462 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 01:07:54 ]: >>461
>459のVirustotalの結果は、ダウンロードしたファイルを解凍すると出てくるものですよ。
459で落ちてくるファイルそのものは、>457と同一です。 fc /b で比較してみてください。
463 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 02:46:45 ]: NSISの解凍がわからないのでは。7-Zipで解凍できるよ。
464 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 02:56:33 ]: tane.sakuratan.com/upload/upload.cgi?mode=dl&file=216
infected

>459,>461＋その他いろいろ(ちょっと古いけどすり抜けるベンダーのあるもの等)。

検体は各社に提出済み。ファイル数やサイズに制限のあるベンダーにも分割して提出しました。
マルウェア本体を呼び出す途中のhtmlも含むため、スルーされるファイルが比較的多いと思います。
465 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 03:23:24 ]: ちょっと入れすぎたんで…検出結果報告どうすっかなぁ。

MaCafee
　検出+拡張/総数＝65+2/130
　殆ど似たようなswfのファイルで検出するものとしないものが混ざってたり。

ノートン
130個中、97個分がすぐに自動回答きました(15分割したうち4ファイル分は返答来ていません)
　47/90 既知のマルウェア
　50/97 自動検出できず、手動解析に回す
466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 03:49:06 ]: >>464
AntiVir Free（マルウェア本体のexeで残ったのは2種類だけ）
　ファイル：138
　検出：117
　疑惑：2

BitDefender10Free
　ファイル：173(アーカイブ内のファイルも含む)
　アーカイブ：4
　ランタイムパッカー：18

　感染しているオブジェクト：101
　疑わしいオブジェクト：1
　ウイルス識別：37（37種類？)

----- 参考までに、スパイウェア対策ソフトでもチェック -----
Ad-Aware
　検出数　19ファイル(9種類)

Spybot
　検出数　1（うち、ヒューリスティック１）

SuperAntiSpyware
　検出数　0
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 12:09:10 ]: >>466
464解凍後にMalwarebytesの右クリックスキャンでは検出数4だった
468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 12:09:23 ]: >>464
PandaGlobalProtection2009
とりあえず33個検出
実際にはどれだけ検出駆除できたかまだ調べてません
469 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 12:23:54 ]: >>464
NortonInternetSecurity2009

73個検出
470 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 15:44:15 ]: >>464
カスペ2009

97/126
(アーカイブで検知、さらにアーカイブを自動解凍してマルウェアを検知した場合は、2として計算せず、1として計算）

Trojan.Win32.Pakes.kad 　　　tt1.exe
Trojan.Win32.Inject.ntg 　　　flsp.exe
Trojan.Win32.Inject.ndf 　　　teamerblog/cer.exe
Trojan.Win32.Inject.ncz 　　　k1.exe
Trojan.Win32.Inject.ncz 　　　gawezuki/k1.exe
Trojan.Win32.Inject.dzc 　　　001G000183/001G000183.exe
Trojan.Win32.Delux.eo 　　　play0nlink/ff11.exe
Trojan.Win32.Delux.bp 　　　play0nlink/t1.exe
Trojan.JS.Agent.kb 　　　teamerblog/Muma.htm、gawezuki/Muma.htm 「２」
Trojan.HTML.IFrame.ad 　　　gawezuki/Blog.htm
Trojan-PSW.Win32.Agent.ka 　　　tmsn.exe
Trojan-GameThief.Win32.OnLineGames.wkt 　　　mbspro6uic/ff22.exe
Trojan-GameThief.Win32.OnLineGames.skmj 　　　vip.dob3.cn/Baidu/mm.exe
Trojan-Dropper.Win32.Agent.zmr 　　　gameicity/ofed/mov.scr、 flsp.exe、 fls.exe 「３」18
Trojan-Downloader.Win32.Delf.jfj 　　　play0nlink/xia.exe、　mbspro6uic/xia.exe 　jerikoblog88fc2/xia.exe 、　dimorphothec/xia.exe 「４」
Trojan-Downloader.VBS.Psyme.pm 　　　teamerblog/Muma_1.htm、　gawezuki/Muma_2.htm 「２」
Trojan-Downloader.VBS.Agent.rm 　　　vip.dob3.cn/11.htm
Trojan-Downloader.JS.VML.a 　　　play0nlink/Ms07004.js
Trojan-Downloader.JS.Small.mr 　　　gameicity/off.htm
Trojan-Downloader.JS.SWFlash.j 　　　gameicity/fx.htm
Trojan-Downloader.JS.Psyme.kf 　　　play0nlink\Ms06014.htm、　jerikoblog88fc2\Ms06014.htm、　dimorphothec\Ms06014.htm 「３」
Trojan-Downloader.JS.Psyme.anc 　　　gameicity/Ms06014.htm
Trojan-Downloader.JS.Agent.dhv 　　　gawezuki/Ms06-014.htm
Trojan-Downloader.JS.Agent.dfv 　　　vip.dob3.cn/vip.htm

（つづく）
471 名前：470 mailto:sage [2009/02/03(火) 15:48:01 ]: >>470の続き
>>464 カスペ2009@14:54:00

Trojan-Downloader.JS.Agent.cif 　　　vip.dob3.cn/live.htm
Trojan-Downloader.JS.Agent.bnc 　　　mbspro6uic/Ms06014.htm
Trojan-Downloader.HTML.IFrame.dv 　　　play0nlink/wugui.htm、 naizi.htm、 xinma.htm、 ma.htm 「４」
Trojan-Downloader.HTML.IFrame.dv 　　　mbspro6uic/naizi.htm、　jerikoblog88fc2/xinma.htm、　dimorphothec/ma.htm 「３」
Trojan-Downloader.HTML.Agent.nh 　　　vip.dob3.cn/fx.htm
Trojan-Clicker.HTML.IFrame.so 　　　k.js
Exploit.Win32.IMG-ANI.ac 　　　play0nlink/ani.c、　mbspro6uic/ani.c、　jerikoblog88fc2/ani.cdimorphothec/ani.c 「４」
Exploit.SWF.Downloader.lb 　　　vip.dob3.cn/i64.swf、 i47.swf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「６」
Exploit.SWF.Downloader.lb 　　　vip.dob3.cn/f47.swf 、 f45.swf、 f28.swf、 f16.swf、 s115.swf 「５」
Exploit.SWF.Downloader.eh 　　　e7zx.cn/i64.swf、 i47.dwf、 i45.swf、 i28.swf、 i16.swf、 i115.swf 「６」
Exploit.SWF.Downloader.eh 　　　e7zx.cn/f47.swf、 f25.swf、 f28.swf. f16.swf、 f115.swf 「５」
Exploit.JS.XMLPars.v 　　　gameicity/ss.htm
Exploit.JS.RealPlr.ny 　　　vip.dob3.cn/Real11.htm
Exploit.JS.RealPlr.nt 　　　vip.dob3.cn/rp10.htm
Exploit.JS.Agent.zs 　　　gawezuki/Muma_4.htm
Exploit.JS.Agent.yq 　　　play0nlink/Xunlei.htm、　jerikoblog88fc2/Ms06046.htm、vip.dob3.cn/bfyy.htm 「３」
Exploit.JS.Agent.aay 　　　gameicity/real.htm
Exploit.JS.Agent.aax 　　　gameicity/real.html
Exploit.HTML.IESlice.z 　　　play0nlink/Yahoo.htm、mbspro6uic/Yahoo.htm、jerikoblog88fc2/Yahoo.htm、dimorphothec/Yahoo.htm 「４」84
Exploit.HTML.Ascii.ai 　　　play0nlink/Ms06046.htm
472 名前：470 mailto:sage [2009/02/03(火) 15:49:26 ]: >>470,471の続き
>>464 カスペ2009@14:54:00

Backdoor.Win32.PcClient.acak 　　　Start.pif　、 play\1199.exe、　play.scr、　1.exe 「4」
Backdoor.Win32.Agent.obd 　　　ff11goodstory0808111/ff11goodstory0808111.exe
Worm.Win32.Otwycal.bq 　　　gameicity/1.css
Rootkit.Win32.Agent.gaf 　　　ko.exe

*ヒューリスティック検知
HEUR:Trojan-Downloader.Script.Generic 　　　gawezuki/Ms06-014_3.htm、 gameicity/no.htm、 gameicity/14.htm、　teamerblog/Ms06-014.htm 「４」
HEUR:Exploit.Script.Generic 　　　gameicity/real(1).html、 nct.htm 「２」

以上
>>470-472
検体提出します。
473 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 16:03:46 ]: ファイル名とか書くなって
どこまで馬鹿なの？
474 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 16:38:25 ]: >>473
>>377-378
475 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 20:44:54 ]: NOD32 v3.0 定義3821
>>464
さすがに多いので検出数のみの報告です。
感染オブジェクトの合計数/検査したオブジェクトの合計数＝87/138
476 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 22:02:33 ]: >>464カスペ返事大量報告又すまぬ。（>>473）推定97+11=108/126（2白）

flink.html_ - Trojan-Downloader.JS.SWFlash.ai
Ms06-014.htm_ - Trojan-Downloader.JS.Agent.dlw *
Ms06-014_1.htm_ - Trojan-Downloader.JS.Agent.dlu
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dlt
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dls *
ilink.html_ - Trojan-Downloader.JS.SWFlash.aj
real(1).htm_ - Exploit.JS.RealPlr.ov *
play.htm_ - Trojan-Downloader.JS.Iframe.agm
no.htm_ - Trojan-Downloader.JS.Agent.dlv *
ifl.html_ - Trojan-Downloader.JS.SWFlash.aj
14.htm_ - Trojan-Downloader.JS.Agent.dlx *
index.htm_ - Trojan-Downloader.JS.Iframe.agl
Muma_1.htm_ - Exploit.JS.Agent.abo
zuo.htm_ - Trojan-Downloader.JS.Iframe.agk
no.htm_ - Trojan-Downloader.JS.Agent.dlv
Ms06-014_1.htm_(TeamerBlog) - Trojan-Downloader.JS.Agent.dma

vir.exe, ffl.htm 2つ白
477 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/03(火) 22:15:56 ]: >>464
AntiVir回答。
流石に検出名とか新種の数は書いてこなかった。その手間を他の検体の解析と対応に振り向けて下され＞ベンダー担当者

We found some new viruses in the attachment you have sent us.
The pattern recognition will be integrated in one of our next updates.
478 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/04(水) 00:13:18 ]: Rising 2009 21.24.10 (21.15.10.00)
>>363
a1.css>>fsg2.0: Trojan.DL.Win32.Mnless.cbt
play.scr>>1199.exe: Backdoor.Win32.PcClient.qyy
15+2個
>>413
a1.css>>fsg2.0: Dropper.Win32.Undef.oc
play\1199.exe: Backdoor.Win32.PcClient.qyy
play.scr>>1199.exe: Backdoor.Win32.PcClient.qyy
3/3
>>450
a1.css>>fsg2.0: a1.css>>fsg2.0
1/1

まだ春節モード
479 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/04(水) 00:22:03 ]: >>464
Rising 2009
Files scanned: 157
Viruses found: 86
パッカー内検出もあるからファイル数はもう少し少ないと思われる
480 名前：470 mailto:sage [2009/02/04(水) 01:42:35 ]: >>464 カスペからの返事
97+20=117/126（うち3白）

Ms06-014_4.htm_ - Trojan-Downloader.JS.Agent.dmb （Teamerblogフォルダ）
Ms06-014_2.htm_ - Trojan-Downloader.JS.Agent.dmc
Ms06-014_3.htm_ - Trojan-Downloader.JS.Agent.dmd
FFISearch.htm, fc2.htm_ blog.htm,, play.htm_ - Trojan-Downloader.JS.Iframe.agm
office.htm_ - Trojan-Downloader.JS.Agent.dmg
ffl.html_ - Trojan-Downloader.JS.SWFlash.aj (←白から訂正）

flash(1).htm_- No malicious code was found in this file.

iff.swf - This file is corrupted.（破損）
481 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/04(水) 11:39:19 ]: VirustotalにNorton2009の拡張ヒューリスティックが適用されたっぽい
これでVirustotalのSymantecはバージョンがかなり古いけどNorton2009のパルスアップデートと拡張ヒューリスティックが適用されて実機での結果とVirustotalの結果に違いはなくなるかも
あとはカスペ2009のヒューリスティックとPandaにCollective Intelligenceを適用させれば完璧なんだが・・・
PandaのことはMcAfeeのActiveProtectionがVirustotalにあるんだからできるはず
でもVirustotalは本当にわからんサイトだな・・・

785 名前：八頭 ◆YAGApwSaEw [sage] 投稿日：2009/02/03(火) 22:21:50
ttp://i40.tinypic.com/157f977.jpg
Suspicious.MH690 発動！
482 名前：470 mailto:sage [2009/02/04(水) 14:39:32 ]: >>464
カスペからの返事
97+22=119くらい/126でFA

Muma_3.htm_ - Exploit.JS.XMLPars.aa
jbbs578601.htm - Trojan.HTML.Agent.bj

flash.htm, l2.htm, ani.asp, fanity.htm, nify-demo.htm - No malicious code was found in this file.

fff.swf - This file is corrupted.（破損）
483 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/04(水) 22:57:33 ]: >>464
　>465
　>ノートン
　>130個中、97個分がすぐに自動回答きました(15分割したうち4ファイル分は返答来ていません)
　>　47/90 既知のマルウェア
　　（47/97の間違い）
　>　50/97 自動検出できず、手動解析に回す

追加でもう１ファイル分返答あり

ノートン
130個中、97個分がすぐに自動回答きました(15分割したうち３ファイル分は返答来ていません)
　47/106 既知のマルウェア
　59/106 自動検出できず、手動解析に回す
484 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 00:14:24 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=217
virus

かぶってる気がするけどｷﾆｼﾅｲ!
485 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 00:29:57 ]: ＞かぶってる気がするけど
それじゃこちらもとりあえず報告しますね
>>484
PandaGlobalProtection2009
ハッキングツールを検出 :Rootkit/Agent.LLE　　　UPK1.EXE、FSG350.EXE、FSG1.EXE
疑いのあるファイル　　　PETITE1.EXE

検出数4/5
486 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 00:36:57 ]: >>484
avast!4.8
fsg1.exe、fsg350.exe：Win32:Rootkit-gen [Rtk]
pcclient1.exe：Win32:Downloader-AZY [Trj]
petite1.exe\[Petite]\[Embedded_I#3000]\[Embedded_Ix#0230]\[NsPack]：Win32:Small-IHH [Trj]
upk1.exe\[Upack]\[Embedded_I#0d550]：Win32:Trojan-gen {Other}

AviraPemiumSecuritySuite
fsg1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
fsg350.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
petite1.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
upk1.exe
[DETECTION] Is the TR/Drop.Agent.agck Trojan
487 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 00:40:40 ]: >>484
NortonInternetSecurity2009

Suspicious.MH690：petite1.exe
Trojan.Dropper：fsg1.exe、fsg350.exe、upk1.exe

検出数4/5

VirustotalでSuspicious.MH690が出るかどうかも検証してみようと思います
それにしてもNortonのヒューリスティックは良くなってきた印象がありますね
488 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 00:46:35 ]: VirustotalでもSuspicious.MH690が表示されてますね
これでSymantecに関してはNorton2009とVirustotalの検出結果の違いはないと思います
あとはVirustotalと実機の結果が違うという現象があるベンダーはKasperskyとPandaだけになりましたね

ttp://www.virustotal.com/analisis/d72d7633b032979e999ea6dd8e3f13ba

ついでに他の結果も貼ります

ttp://www.virustotal.com/analisis/822989cdd49327ad69dcad4e7d59e246
ttp://www.virustotal.com/analisis/5309bda4fcc6fddc8102c433bed95264
ttp://www.virustotal.com/analisis/edcb143c4f44f7134d3da89420e77b74
ttp://www.virustotal.com/analisis/5f88a78ee2a781674812d0bd85543965
489 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 00:56:37 ]: >>484
㌧

カスペ2009 0:27:00
Detected virus HEUR:Trojan.Win32.AntiAV tane0217.zip/petite1.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.agck tane0217.zip/upk1.exe
Detected Trojan program Backdoor.Win32.PcClient.acbn tane0217.zip/pcclient1.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aab tane0217.zip/fsg350.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aab tane0217.zip/fsg1.exe

HEUR:Trojan.Win32.AntiAVは初めて見た。AVKillerか？これだけ検体提出します。
490 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 01:03:05 ]: ＞HEUR:Trojan.Win32.AntiAVは初めて見た

2009ヒューリスティックで検出のようですね

それにしても>>488を見るとNOD32は本当にヒューリスティックが強力というかヒューリスティックに依存しすぎというか・・・
McAfeeやPandaはクラウドベースがなければ検出率がかなり低くなるけどNOD32もヒューリスティックなければ検出率がかなり低くなりますね・・・
491 名前：479 mailto:sage [2009/02/05(木) 01:08:14 ]: Rising 2009 21.24.20 (21.15.20.00)
>>260
fccaWpME.dll,
ssQggfGX.dll,
tuvtRjGw.dll,
urqQjGWn.dll: Trojan.Win32.Nodef.ash
4/6
>>464
86+14=100
492 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 01:11:06 ]: >>484
Rising 2009
fsg1.exe>>fsg2.0,
fsg350.exe>>fsg2.0,
upk1.exe>>upack0.39: Trojan.DL.Win32.Mnless.cbv
3/5
493 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 01:11:07 ]: ちょっと古い話

12/11提出分トレンドマイクロより
・12/12
　TROJ_SMALL.JCH
　HTML_WEBKIT.AC
　TROJ_REPL.BX
　JS_OBFUSCATED.AP
・02/05
　JS_IFRAME.AAQ

追加で検出した分も報告が来た…けど、幾等なんでも今頃追加の検出言ってこなくてもｗ
494 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 01:27:54 ]: >>493
BitDefenderとTrendMicroはそういうところおかしいよね
495 名前：489 mailto:sage [2009/02/05(木) 01:51:09 ]: >>484
カスペからの返事

petite1.exe - Worm.Win32.AutoRun.zii (← HEUR:Trojan.Win32.AntiAV）

New malicious software was found in this file.
496 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 02:43:33 ]: tane.sakuratan.com/upload/upload.cgi?mode=dl&file=218
virus

各所のニュースサイトにバレンタインウィルスの警告記事が出ていたので検体を探してみました。
みんな画像マスクしてるのでなかなかアドレスがわかりませんでしたがようやくゲット。
検出率悪いので、各所に提出してきます。

検体入手元： tp://expowale■com/love■exe

Virustotal結果
ttp://www.virustotal.com/analisis/a7bbc670bf325cbefd01228eb2c7c943　(8/39)
497 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 02:53:05 ]: 検体提出しようと、各ベンダーの検出名を拾ってたら…警告記事の元になってるMcAfeeがスルーしてるのはなんでだー(笑)

AntiVir　　　　　　 : Worm/Zhelatin.N
AVG　　　　　　　　: SHeur2.OOA
CAT-QuickHeal　: (Suspicious) - DNAScan
F-Secure　　　　　: Trojan:W32/Waledac.BL
Kaspersky　　　　 : Email-Worm.Win32.Iksmas.ed
NOD32　　　　　　 : Win32/Waledac.AM
SecureWeb-Gateway : Worm.Zhelatin.N
Sophos　　　　　　: Troj/Dloadr-CGD
498 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 03:13:53 ]: >>496-497
自動返答によると、拡張検出でMcAfee 対応してたっぽい。
画像をクリックするとexe落としてくるだけなので、htmが未検出なのは正常だと思う。

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
expowale.com.htm |inconclusive | | |no
love.exe |new detection |generic downloader.z |Trojan |yes
499 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 03:20:52 ]: >>496
McAfeeに提出させて頂ました。
500 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 10:06:03 ]: >>496
SymatencとPandaに提出しました

・・・なんだけどどうも最近Pandaの調子が良くない
検体提出してるのに一向に対応する気配もCollective Intelligenceによるヒューリスティックで検出する気配も感じられない

Pandaの鯖がおかしいのかな
501 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 10:20:15 ]: そういや、ESETも返事よこさないように戻った気がする。

>>496
カスペ返答
love.exe_ - Email-Worm.Win32.Iksmas.ed
502 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 10:23:24 ]: あとPanda検疫からの検体提出ができなくなってるから確実にPanda側に問題あるだろうねこれは
Panda検疫から提出しようとすると必ず提出失敗しましたと表示されるのが最近のPanda

あとアップデートできなかった時もあったから仕方なくPandaのサイトから手動でアップデートしたこともあった
503 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 12:39:59 ]: >>490
Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる。

NOD32はプロファイルに検査方法や検査対象を登録しておき、
そのプロファイルを指定してスケジュールを組むことが出来る。
プロファイルも自由に複数作成出来るから目的に応じた運用が可能だ。
例えば、書庫類等は検査済みフォルダと検査前フォルダを作成しておき、
検査前フォルダ内の書庫だけを定期的に高速検査するというような運用も行える。
他のAVだと書庫を対象とするか否かの2択しかないものが多く、ムダに時間が掛かる検査となり効率が悪い。
一度検査し安全が確かめられれば検査済みフォルダに移し、
検査済みフォルダの再検査は数か月に一度程度に減らすことで処理効率を上げるというような運用が他のAVでは難しい。
細かな設定をすることでNOD32は処理効率の良い運用が可能になっている。

NOD32は機関や企業や有名人等　狙われやすい人ほど役立つAV
一般人でもそのウイルス全体の70%を占める未知ウイルスから狙われることもある。
そこがESSのセールスポイント

未知ウイルスへの対応度　＝　ハッキングに対する対応度

ここにNOD32が研究機関や公的機関で主に採用されている理由がある。
504 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 14:14:21 ]: 雑音のコピペ
>Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。
>これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。
>このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、
>亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、
>そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる

>アンパッカー技術
Packers support test
ttp://www.anti-malware-test.com/?q=node/19
金賞 F-Secure
金賞 Kaspersky
銀賞 BitDefender
銀賞 Dr.WEB
銅賞 NOD32

>ヒューリスティックエンジン
ブロードバンド推進協議会（BBA）セキュリティ専門部会長
「中には、ヒューリステックに頼りすぎて、
　ウイルスの検体を集めず、
　ちゃんとシグネチャを作らないところもある」
ttp://internet.watch.impress.co.jp/cda/event/2007/02/26/14890.html
ttp://internet.watch.impress.co.jp/cda/static/image/2007/02/26/aogc7.jpg
505 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 14:15:18 ]: 違うとこでやってください
506 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 19:36:52 ]: >>496
Symantecから

filename: love.exe
machine: Machine
result: This file is detected as W32.Waledac.

filename: expowale.com.htm
machine: Machine
result: See the developer notes
507 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 19:45:37 ]: >>484
PandaGlobalProtection2009

pcclient1.exeを疑わしいファイルとして検出（Collective Intelligenceによる検出）

VirustotalでのSymantecがSuspicious.MH690検出結果表示出るようになったけどそれと同時にNorton2009で常駐スキャンでSuspicious.MH690が検出されるようになった（それまでは手動スキャンじゃなければ検出できなかった）

Pandaも常駐スキャン時でもCollective Intelligence検出が可能になればVirustotalでも反映されるんじゃないかと思う
それにPanda自身の検出率が大幅に上がるしね（その代り誤検出が増えそうな予感）
508 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 23:41:44 ]: NOD32 定義3829

>>484
4/5
fsg1.exe Win32/Genetikの亜種である可能性
fsg350.exe Win32/Genetikの亜種である可能性
petite1.exe Win32/TrojanDownloader.Agent.OMQの亜種
upk1.exe Win32/Genetikの亜種である可能性
>>490の言う通り、アドバンスドヒューステリック検出ばかりだな・・・。
検出できなかった検体は返事が来るか確かめるため(笑）　メールでEsetに提出

1/1
love.exe Win32/Waledac.AM トロイの木馬
509 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 23:44:27 ]: >>508 です。

>love.exe Win32/Waledac.AM トロイの木馬
書き忘れました・・・。>>486 の検査結果です。
510 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 23:50:11 ]: >>508
ヒューステリックだけど
アドバンスドヒューステリックではない
511 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/05(木) 23:51:20 ]: なんだよヒューステリックじゃないよ

訂正
ヒューリスティックだけど
アドバンスヒューリスティックじゃないよ
512 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 00:17:52 ]: ところで、検体は今日は3時以来ないね。
できれば、一括せず。こまめに出してほしいです。＞＜
20個くらいが限界。50～100個を超えると辛い。

余談
VTのHispasec Sistemasってスペインの企業っぽいね。
Pandaとは一番話が通じそうなもんだけど。
513 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 00:26:10 ]: >>510
え？「○○の亜種」はアドヴァンスドヒューリスティックでしょ
これが違うんだったらキヤノンのウイルス情報に書いてあることは間違いだってこと？
514 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 00:31:12 ]: >>512
Virustotalもスペインの企業っぽいどころかスペインの企業

ただPandaのVirustotalの検出結果の不思議な現象はまずはPandaのクラウドベースが常駐スキャンでも検出できるようにならなきゃVirustotalに反映されないと思う
Norton2009の拡張ヒューリスティックがその例だからね
515 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 00:43:33 ]: >>513
書いてないだろ
516 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 03:13:20 ]: tane.sakuratan.com/upload/upload.cgi?mode=dl&file=219
infected

検体入手元
ttp://99■178■233■195:8080/blog/Online■scr

www.virustotal.com/analisis/470bc7aa3f048134191f9cd576edc093 : Online.scr(20/39)
www.virustotal.com/analisis/d7ba2277b64b31430521344a9502eb24 : hbsj5j5j5.exe(19/39)
517 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 07:38:37 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=220
virus
518 名前：名無しさん＠お腹いっぱい。 [2009/02/06(金) 08:46:12 ]: >>517
全てvirustotalにおくったがそれぞれのURLを書いたエディタがフリーズしてしまったのでご容赦下さい。
519 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 09:41:42 ]: >>516
McAfee

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
hbsj5j5j5.exe |inconclusive | | |no
online.scr |inconclusive | | |no
520 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 09:54:52 ]: >>515
canon-its.jp/product/nd/virusinfo/vr_win32_conficker_a.html
アドバンスドヒューリスティック検査による結果だった場合：このオリジナルのワームを利用した新種、亜種が検出された場合は、「NewHeur_PE」もしくは「Win32/Conficker ワームの亜種」という名称で警告が出ます。

はい、反論どうぞ
521 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 10:02:27 ]: >>516
PandaGlobalProtection2009
二つとも疑わしいファイルとして検出
522 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 10:14:33 ]: >>517
PandaGlobalProtection2009

ウイルス発見 : Trj/CI.A 　　　　sx.exe、hgz.exe
ウイルス発見 : Generic Malware　　　ns.exe、nsis6.exe[cpush.tmp]
ウイルス発見 : Generic Trojan　　　nsis2.exe[2OC\139.exe][2eC]
アドウェアを検出 : Adware/BaiduBar　　　nsis2.exe[2OC\139.exe]
疑いのあるファイル UPK15.EXE、UPK1.EXE、PETITE1.EXE、PETITE2.EXE、upk0.exe、unknown9.exe、pcclient1.exe
523 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 10:25:54 ]: >>516
Norton
filename: Online.scr
result: This file is detected as Backdoor.Formador. www.symantec.com/avcenter/venc/data/backdoor.formador.html

filename: hbsj5j5j5.exe
result: 手動解析に回す
524 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 10:28:31 ]: >>517
avast!4.8
hgz.exe：Win32:Hupigon-LUP [Trj]
ns.exe\[ASPack]\[Embedded_I#0d384]：Win32:Rootkit-gen [Rtk]
ns.exe\[Embedded_R#MYDLL]\[PECompact]：Win32:Ceckno [Trj]
nsis2.exe\$TEMP\$TEMP\139.exe\$[35]\$R0：Win32:Adware-gen [Adw]
nsis6.exe\$COMMONFILES\PushWare\cpush.dll：Win32:BHO-GG [Adw]
pcclient1.exe：Win32:Downloader-AZY [Trj]
petite1.exe\[Petite]\[Embedded_Ix#7280]：petite1.exe\[Petite]\[Embedded_Ix#7280]
petite2.exe\[Petite]\[Embedded_Ix#7280]：Win32:Rootkit-gen [Rtk]
sx.exe：Win32:Hupigon-LUP [Trj]
upk0.exe\[Upack]\[Embedded_Ix#056ac]\[Upack]\[Embedded_Ix#3000]：Win32:Trojan-gen {Other}
upk1.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]
upk15.exe\[Upack]\[Embedded_R#MYD]：Win32:Agent-SIM [Trj]
525 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 10:33:05 ]: >>517
AviraPremiumSecuritySuite

hgz.exe [DETECTION] Contains a recognition pattern of the (harmful) BDS/Hupigon.Gen back-door program
ns.exe
[0] Archive type: RSRC
--> Object
[DETECTION] Contains a recognition pattern of the (harmful) BDS/Backdoor.Gen back-door program
nsis2.exe [DETECTION] Contains recognition pattern of the ADSPY/AdMedia.ED.227 adware or spyware
nsis6.exe
[0] Archive type: NSIS
--> SOFTWARE/MicroPlugins/Common/cpush.dll
[DETECTION] Contains recognition pattern of the ADSPY/Bho.fhg adware or spyware
--> SOFTWARE/MicroPlugins/Common/cpush.tmp
[DETECTION] Contains recognition pattern of the ADSPY/Bho.fhg adware or spyware
[DETECTION] Contains recognition pattern of the DR/BHO.fhg.2 dropper
pcclient1.exe [DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
petite1.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
petite2.exe [DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
sx.exe [DETECTION] Is the TR/Crypt.CFI.Gen Trojan
unknown9.exe [DETECTION] Is the TR/Crypt.GQ.54 Trojan
upk0.exe [DETECTION] Is the TR/Crypt.XDR.Gen Trojan
upk1.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
upk15.exe [DETECTION] Is the TR/ATRAPS.Gen Trojan
526 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 10:33:38 ]: >>517
AntiVirFree(11/12)

hgz.exe : (harmful) BDS/Hupigon.Gen back-door program
ns.exe : (harmful) BDS/Backdoor.Gen back-door program
nsis2.exe :
nsis6.exe : DR/BHO.fhg.2 dropper
pcclient1.exe : DR/PcClient.Gen dropper
petite1.exe : TR/Crypt.XPACK.Gen Trojan
petite2.exe : TR/Crypt.XPACK.Gen Trojan
sx.exe : TR/Crypt.CFI.Gen Trojan
unknown9.exe : HEUR/Crypted suspicious code
upk0.exe : TR/Crypt.XDR.Gen Trojan
upk1.exe : TR/ATRAPS.Gen Trojan
upk15.exe : TR/ATRAPS.Gen Trojan

検体提出してきます。
527 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 10:37:43 ]: >>517
珍しく(?)全検出。

BitDefender Free Edition v10(12/12)

hgz.exe : Trojan.Delf.Inject.Z
ns.exe : Trojan.Agent.Delf.GY
nsis2.exe : DeepScan:Generic.Adw.Cinmus.2.E8144529
nsis6.exe : Dropped:Adware.Sogou.Gen
pcclient1.exe : Backdoor.PCClient.TCH
petite1.exe : Dropped:Generic.Malware.SP!VdldPk!g.C118E1D6
petite2.exe : Dropped:Generic.Malware.SP!VdldPk!g.C118E1D6
sx.exe : Trojan.Delf.Inject.Z
unknown9.exe : Trojan.Crypt.GQ
upk0.exe : Dropped:Generic.Malware.sp!.F5A1E2B5
upk1.exe : Generic.Malware.SP!dldspg.14F7E837
upk15.exe : Generic.Malware.SP!dldspg.BDA7BD37
528 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 10:39:45 ]: >>517
NortonInternetSecurity2009

Adware.CPush：nsis6.exe
W32.SillyFDC：sx.exe
Trojan.Dropper：upk1.exe、upk15.exe
Trojan.Cinmeng：nsis2.exe
Suspicious.MH690：hgz.exe、ns.exe、petite1.exe
Packed.Generic.181：unknown9.exe
Downloader：upk0.exe

Nortonもヒューリスティックが強力になってきた印象があるな
529 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 10:43:25 ]: >>526
検体提出してもAntiVirフリーならnsis2.exeは検出できないよ>>525を注目
530 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 10:48:38 ]: >>517
Norton2009がスルーした分は提出しました
今確認したらAntiVirとavast!とPandaは全検出してるようなのでこちらは何もしません
531 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 10:56:29 ]: Rising 2009 21.24.30 (21.15.30.00)
>>260
gEWoPfgd.dll: Trojan.Win32.VUNDO.clo
4+1=5/6
>>484
pcclient1.exe: Backdoor.Win32.PcClient.qzu
petite1.exe>>petite2x: Worm.Win32.Undef.df
3+2=5/5
>>496
スルー
>>516
Online\hbsj5j5j5.exe: Backdoor.Win32.PcClient.qzu
Online.scr>>hbsj5j5j5.exe: Backdoor.Win32.PcClient.qzu
2/2
>>517
ns.exe>>MYDLL: Backdoor.Win32.PcClient.qzq
nsis2.exe>>$TEMP\$TEMP\139.exe>>$[35]\$R0: AdWare.Win32.Undef.ejw
\nsis6.exe>>$COMMONFILES\PushWare\cpush.tmp: AdWare.Win32.Cpush.cl
pcclient1.exe: Backdoor.Win32.PcClient.qzu
petite1-2.exe>>petite2x: Worm.Win32.Undef.df
sx.exe: Backdoor.Win32.ShangXing.tw
unknown9.exe>>nspack: Packer.Win32.Agent.aa
upk0.exe>>upack0.34: Trojan.Win32.Agent.zri
9/12
532 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 11:09:26 ]: >>524報告ミスで訂正orz

×　petite1.exe\[Petite]\[Embedded_Ix#7280]：petite1.exe\[Petite]\[Embedded_Ix#7280]

○　petite1.exe.VIR\[Petite]\[Embedded_Ix#7280]：Win32:Rootkit-gen [Rtk]

ですorz
533 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 11:10:29 ]: カスペ2009 10:35:00
>>516,517 ㌧

>>516 2/2 VT通り(>>516)

>>517 12/12
Detected Trojan program Trojan-GameThief.Win32.OnLineGames.upwc 　　unknown9.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.agnd 　　upk1.exe, upk15.exe
Detected Trojan program Backdoor.Win32.Hupigon.fwcs 　　hgz.exe
Detected Trojan program Backdoor.Win32.PcClient.acgn 　　pcclient1.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bgol 　　upk0.exe
Detected Trojan program Trojan.Win32.Agent2.csb 　　ns.exe
Detected virus Worm.Win32.AutoRun.zjp 　　petite2.exe
Detected virus Worm.Win32.AutoRun.zjm 　　petite1.exe
Detected adware not-a-virus:AdWare.Win32.AdMedia.ed 　　nsis2.exe
Detected adware not-a-virus:AdWare.Win32.BHO.fhg 　　nsis6.exe
534 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 11:32:18 ]: >>529
ああ、スパイウェア扱いか。納得。

>>516 >>517
たまにはNormanにも送ってみた。
ノーマン検出結果 (1/2),(10/12)

*online.scr : Not detected by Sandbox (Signature: NO_VIRUS)
hbsj5j5j5.exe : W32/Malware (Signature: NO_VIRUS)

*hgz.exe : Not detected by Sandbox (Signature: NO_VIRUS)
ns.exe : W32/Malware (Signature: NO_VIRUS)
nsis2.exe : Not detected by Sandbox (Signature: AdMedia.ACH.)
nsis6.exe : W32/NetworkWorm (Signature: NO_VIRUS)
pcclient1.exe : W32/Malware (Signature: NO_VIRUS)
petite1.exe : W32/Malware (Signature: NO_VIRUS)
petite2.exe : W32/Malware (Signature: NO_VIRUS)
*sx.exe : Not detected by Sandbox (Signature: NO_VIRUS)
unknown9.exe : W32/FileInfector (Signature: W32/Packed_NsPack)
upk0.exe :W32/Malware (Signature: W32/Packed_Upack.H.)
upk1.exe : W32/Malware (Signature: W32/Packed_Upack.H.)
upk15.exe : W32/Malware (Signature: W32/Packed_Upack.H.)
535 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 11:39:37 ]: そうそう、先日Fortinetから、助かってるが報告が随分多いようだ、あんたは何者だという質問が来た。
それに応じて適切な回答をするってことだったので、２番目を選んでみた。コレクターではないが趣味だし。
　>- current customer testing our product services
　>- hobbyist for malware collections
　>- malware researcher
もしかすると、検出名の回答が来なくなったかもしれないけど気にしない。
536 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 16:03:48 ]: >>535
そんなメールがくるのかｗ
俺は無いけれど
1番目が無難なような…。

それか、
No, No, I'm just a developer of malwares. ha ha ha.
537 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 16:12:11 ]: Fortinet使ってないのに1番目はまずいべ。
似たようなメールはMicrosoft(MMPC)から来たことならある。
その時の質問はこれ。
1. How do you collect samples?
2. What regions the samples were collected from?
3. What are the indications that these samples may be malicious or potentially unwanted software?
4. Are you planning to share samples on an ongoing basis?
5. What’s the expected volume?
6. Would you like to receive automated response emails from our systems when you submit samples?
面倒なのでシカトしたけど。
538 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 16:30:54 ]: ここにいる奴らは海外ブロクから取ってきてるんだけど
海外の人たちは検体提出とかあんましてないきがする。
539 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 16:34:24 ]: ほほー、ベンダーによっちゃそんなこと訊かれるんか
540 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 16:38:49 ]: 各ベンダーはどれだけ検体を入手してるんだろうね？

www.pandasoftware.jp/scan/index.html#AS3
によるとPandaは毎日15000個、Symantecは1500個らしい
同じクラウドベースを搭載してかつウイルス解析規模が大きいMcAfeeもかなりの検体を入手してると思うけどどうなんだろ？
トレンドマイクロやKaspersky、ESETはどれだけの検体を入手してるのかな？
541 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 17:40:20 ]: 74.55.154.155/
542 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 17:51:15 ]: >>3
543 名前：名無しさん＠お腹いっぱい。 [2009/02/06(金) 18:31:05 ]: 446 名前: すずめちゃん(栃木県) メール:sage 投稿日:2009/02/06(金) 18:29:10.73 ID:dEC1BVvL
ウイルス倉庫
www2.cyberoz.net/city/novice/virus.html

ウイルスがみかん狩りのように取れるぞ
544 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 18:59:28 ]: >>517
NOD32 v3.0 定義3832で全検出（定義3831ではpcclient1.exeを検出漏れ）
hgz.exe Win32/GreyBird トロイの木馬
ns.exe Win32/Spy.Agent.NLR トロイの木馬
nsis2.exe Win32/Adware.Cinmusの亜種である可能性アプリケーション
nsis6.exe Win32/Adware.Cinmusの亜種アプリケーション
petite1.exe Win32/Genetikの亜種である可能性トロイの木馬
petite2.exe Win32/Genetikの亜種である可能性トロイの木馬
sx.exe Win32/Hupigon トロイの木馬
unknown9.exe Win32/HackTool.Xarpの亜種トロイの木馬
upk0.exe Win32/Delf.NNMの亜種である可能性トロイの木馬
upk1.exe Win32/AutoRun.Delf.AKの亜種ワーム
upk15.exe Win32/AutoRun.Delf.AKの亜種ワーム
pcclient1.exe Win32/PcClientの亜種トロイの木馬

>>484で検出漏れしていた pcclient1.exeは検出可能に。（Win32/PcClient.NCT トロイの木馬）
メールで検体提出したのでその返事も来ていました。解析者とか、忙しさによって対応にムラがあるのかも。
545 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 19:07:37 ]: >>517
NortonInternetSecurity2009追加検出+1

W32.Almanahe.B：petite2.exe

11/12
546 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 19:10:47 ]: それにしてもNOD32のヒューリスティックは異常だな・・・

でも最近になってやたらとNOD32のヒューリスティック検出が光ってる印象があるから（それまではNOD32の検出率自体がダメダメだったからね）アドバンスドヒューリスティックエンジンに改良を加えたのかな？
アドバンスドヒューリスティックで検出できる範囲が広がったりとか
547 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 19:43:21 ]: >>543
ν速の、「だが最強はavastだよな」スレか
tsushima.2ch.net/test/read.cgi/news/1233873752/

鑑定かもしれないし、直リンって
みかん狩りはν速民にお任せして様子見
548 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 19:55:59 ]: >>543
そこ古いのばっかだよ。
ページの最終更新が去年の10月な時点でお察し。
549 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 20:19:51 ]: >>536
ちょｗｗｗそれはないｗｗｗ

>>539
普通のペースで出してたら来ないと思うよ。

数日おきに投稿して、ダウンローダを呼びだすhtmlを含めて130ファイル入った奴(>>363)とか
投げた後だったから担当者がうんざりするのも当然かと。投げるほうもうんざりした位だし。

投げた後の検体（パス付きアーカイブ）を置いてるフォルダの容量見たら280MB越えてた。
自覚はないけど、コレクターだったのかもしれない(苦笑)
550 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/06(金) 22:59:25 ]: Rising 2009 21.24.40 (21.15.40.00)
>>122
webcc1.exe: Trojan.Win32.Nodef.awz
5+1=6/6
>>202
a\antivirus.v.1.0.exe: Trojan.Win32.Nodef.ayg
4+1=5/12
>>333
0\tubeviewersetup.exe: Trojan.Win32.Nodef.azq
3\antivirus.v.1.exe: Trojan.Win32.Nodef.aye
6\load.exe: Trojan.Win32.Nodef.ayh
1+3=4/12
>>390
4b3e8d9c0o7a1p5n6i0g7m.exe: Trojan.Win32.Nodef.azl
1/1
>>517
upk1.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bha
upk15.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bha
9+2=11/12
551 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 00:47:33 ]: >>546
各コンポーネントは適宜アップデートはされている様子です。
ウイルス・スパイウェア対策検査機能：1179(20090204)
アドバンスドヒューステリック機能:1088(20090205）
とか、バージョン情報がありました。

検出率調査での沈み具合や、Esetスレの荒れっぷりに泣いたりしたけど
使っている範囲では対応速度もまずまず及第点かなと思いつつあります。

しかし、「このスレ的には」好調だけどav-testの検出率はいまいちな点が気になる。
552 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 01:04:02 ]: ＞av-testの検出率はいまいちな点が気になる。

あれはデフォ設定でテストしてるのでは？
NOD32の場合はデフォ設定ならアドバンスドヒューリスティックはチェックされてないはず
同様にNorton2009とAntiVirもヒューリスティック感度設定が標準設定だしPandaに至ってはデフォ時ではヒューリスティックが外れてる
が、カスペのデフォ時のヒューリスティック感度は低いはずだけどAV-Testでは成績が良い、これはきっとシグネチャ重視のカスペだからでしょう
ESETの場合はヒューリスティックに大きく依存してるのにデフォ時ではアドバンスドヒューリスティックが外れてるからね・・・

ただESET、Symantec、McAee、Pandaはかなりよくなってるし今後も注目したいベンダーだけどまだまだ油断できず様子見な状態ですね
今後またダメダメになる可能性も無きにしも非ずだし
553 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 10:10:05 ]: 勢力のある攻撃側に徹底マークされると、一時的に成績は落ちるし、
開発チームがごたごたしてると、やっぱり一時的に成績は落ちる
長い目では、成績は浮沈するもので、そこらへんにもこのスレの意義がある

うん。あたりまえだな。あたりまえのことを再認識したな
554 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 10:41:10 ]: >>553
＞開発チームがごたごたしてると、やっぱり一時的に成績は落ちる

となると今はBitDefenderがダメダメなんだろうね
検体提出しても対応が遅すぎたりとBitDefenderの解析チームがごたごたしてるのかも
555 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 14:32:04 ]: www.megaupload.com/?d=YK4PJQ2N
556 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 16:51:52 ]: >>555
グロ画像が大量に入ってる
557 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 18:11:40 ]: www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=221
key:virus

ドキュメントからマルチメディアから全部消された
558 名前：557 mailto:sage [2009/02/07(土) 18:12:43 ]: zipのパスワードは "123" です。
559 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 18:23:00 ]: www.megarotic.com/jp/?d=Q1CVZWMA
560 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 18:49:37 ]: >>557
AntiVirもavast!もPandaもESETもスルー
Nortonはまだスキャンしてないけど恐らくスルーでしょう

※　仮想環境を利用してESET（英語版）を始めました
561 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 18:57:18 ]: >>557
カスペ2009もスルー
送信済み。
562 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 18:59:40 ]: .NETだね
単に削除するだけだろ
こういうのはマルウェア判定難しいよな
単純だけど強力
563 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 19:01:56 ]: >>557
全ベンダースルー
ttp://www.virustotal.com/analisis/95599ecbf4813453c45f6b09fc296cee
564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 19:06:20 ]: 実行すると検出するのはあるかもね
こういうのはHIPSで対応するしかないのか
まあ実行しちゃうのが悪いんだけど
565 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 19:06:22 ]: del *.* みたいなのはダウソ板でやれよ
566 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 19:13:53 ]: .NET Framework 1.1じゃね。
ファイルを復元できないようにする合法的な消去ファイルもあるくらいだから、判定難しいね。
タイムスタンプ見ると、生後2週間か？
見つからないものかね。
567 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 19:14:41 ]: >>557
McAfeeに提出させて頂ました。
568 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 23:01:54 ]: >>557

未だにVT反応なし。
これ、ファイル名は"keygen.xe"だが、ひょっとして、>>3の鑑定厨に悪用された？
「ドキュメントからマルチメディアから全部消された」は嘘？

疑念が…。
569 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 23:08:46 ]: >>555
>>559
はそういう目的かもね
570 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 23:09:03 ]: >>568
鑑定かどうかは仮想環境で確かめた方がいいのかも
でもそれじゃ鑑定厨の思う壺だな
571 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/07(土) 23:36:03 ]: 今試したらkeygenはシステムファイルを削除するね
572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 17:58:36 ]: >>571
www.virustotal.com/jp/analisis/a76f0dd5484ee67bbe1c75421754bd20

結果: 0/39 (0%)

巣に帰れ！
573 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 18:07:03 ]: こいつVirustotalで検出されなきゃ問題ないと思ってるのかな
574 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 18:19:43 ]: echo y | del %systemroot%*.*
みたいなbatも検知すべきなのか?
575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 18:20:38 ]: 検知すべきかどうかは知らないが
悪意があればマルウェアだろうね
凶悪な
576 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 18:52:45 ]: >>572
同意。
全員だまされたような気がする。
検定提出して、どのベンダーも丸1日返事なし。

結局、P2Pで、キージェネ拾ったけれど、自分の手を汚すのはいやだから、念のために、有害なコードが含まれていないかどうか
セキュ板の提出厨に提出して確認してもらいたいだけ。

で、最後の言葉は「あざーすｗｗｗ」

定期的に見かける。
577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 18:53:19 ]: おいおい
ふざけるなよ
ちゃんと検証して書いたんだよ
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 18:54:13 ]: ここはVirustotalでしか判断できないレベルなのは分かった
579 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:00:16 ]: カスペ返答。keygen.は危険ファイルではないということらしい。
　既出アドレスで更新されたplay.scr（危険ファイルの1199.exe入ってんだけど）を送ったんだが、
　こっちがクリーンって判断のほうが気になる。

Hello,
1199.exe_
　This file is corrupted.
flsp.exe_ - Trojan-Dropper.Win32.Agent.zmr
　This file is already detected. Please update your antivirus bases.
keygen.exe_, keygen.exe_0, play.scr_
　No malicious code were found in these files.
580 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:04:04 ]: 一応、提出したファイル。2/8にファイルが更新されてるの再入手して各社に提出した。
カスペはこいつをスルーか…うーむ。

tp://www■wokutonoken-online■com/blog/play■scr

ttp://www.virustotal.com/analisis/045416cbf9b32f7af26de308e3eb0d87 play.scr(21/39)
ttp://www.virustotal.com/analisis/3102838ffd3427fb62ae206bcf172417 1199.exe(18/39)
581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:04:37 ]: だから、ただのkeygen.exeだよｗ
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:08:27 ]: じゃあ実行してみろよw
583 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:09:03 ]: >>574
カスぺアナリスト
場合のよりけりじゃね。下記では、KillFilesでBAT検出しているみたい。

2007/12
Smallest malicious program.（一番小さなマルウェア）

Trojan.BAT.KillFiles.gm took the lead in this category in the first month of winter - weighing in at all of just 12 bytes, it can nevertheless wipe the C: drive clean
一番小さかった有害プログラム。Trojan BAT.KillFiles (BATファイル） -12バイトだが、Cドライブをクリーンにするトロイ。

www.viruslist.com/en/weblog?weblogid=208187476 （

2008/10
In spite of being a mere 20 bytes in size, Trojan.BAT.KillAll.an is able to delete all files from disk.

これもBATファイル。20バイトながら、ディスクからすべてのファイルを消去するトロイ。
www.viruslist.com/en/weblog?weblogid=208187608 （2008/10）

>>579
1199.exe_
　This file is corrupted.

破損している。
元々破損。or送ったとき破損発生。
584 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:10:07 ]: まあ実行したところで
ここにいる人たちなら被害は受けないと思うけどね
585 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:10:17 ]: >>578
検出したらVTに即時反映されるだけだろ。池沼乙。
586 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:11:40 ]: >>585
ほんと低レベルなんだな
あきれた
587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:12:00 ]: >>586
割れ厨乙
588 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:13:02 ]: だから実行してみろよ
おまえらなら問題ないって
検証もせずに阿呆な攻撃しないでくれ
589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:13:47 ]: ちなみに.NET2が必要
590 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:14:32 ]: こいつら低レベルだから実行しない方が良いよ
マジで
591 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:20:44 ]: >>586をスレ情報とアップローダ情報付けて、BSA（ビジネスソフトウェアアシュアランス）かACCS（コンピュータソフトウェア著作権協会）に通報すればいいじゃん。
海賊版ソフトウェアの取り締まりをしている機関ね。

BSA
www.bsa.or.jp/index.html

違法告発.com
www.145982.com/index.html

ACCS
www2.accsjp.or.jp/

罰金最高3億円
592 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:23:18 ]: 俺は検証しただけなのにひどいねえ
ちなみに俺はそのkeygenをマルウェアに認定するわ
カスペを信じる人は実行してひどい目を見ないように祈るよ
593 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:28:33 ]: ACCSには下記フォームから通報した。>>557

https://www2.accsjp.or.jp/cgi-bin/piracy/piracy.cgi

あとしらね。
594 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:37:38 ]: >>593
匿名でもできるんだ。便利だね。
マルウェアの該否はともかく、ファイル名からして"keygen.exe"などうｐする方が悪い。
>>557は恥を知れ。
595 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:37:55 ]: そいつもマルウェア報告しただけだろ
このスレ変なやつが紛れ込んでるなあ
596 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 19:40:38 ]: だいたいkeygen.exeなら他の報告でも上がってるだろ
なんでその報告だけ目の敵のように扱うのかねえ
597 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 20:37:27 ]: そのkeygen.exeで消されるのは
System32内のファイル
ドキュメントフォルダ内のファイル
プログラムメニュー内の一部のファイル
かな
598 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 20:42:47 ]: 常識的なことだけど
ドキュメントフォルダはレジストリから読み取れないところの方が安全ってことだね
599 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 21:02:54 ]: 物凄く特徴的な文章で一人が多数を演じているな
一番スレでやれ
600 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 21:06:31 ]: 演じてるとか何言ってんだよ
頭おかしいのか
601 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 21:53:03 ]: >>2
>・淡々とやれ淡々と！
>　淡々と貼り、淡々といきましょう。
>
>・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
>
>・あらしはスルー。ソフトの優劣の議論は別スレで！（下記スレなど）
>
>一番いいセキュリティソフトはなんだ!!Part60
>ttp://pc11.2ch.net/test/read.cgi/sec/1227491237/
602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 22:12:31 ]: システムファイルを削除する（悪意の？いたずらの？）プログラムを
どう扱うかおもしろい例なんだけどね
なぜか無害と思いたい人がいるようだけど
603 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/08(日) 23:56:05 ]: 各ベンダーそれぞれのポリシーで白判定。その結果で十分。
検出可否報告スレであって、プログラムの性質や各社のポリシーを議論するスレではない。
604 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 00:13:56 ]: そんな分かりきったことはどうでも良い
まるでマルウェアが無害なように話すのは問題
605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 00:17:12 ]: それに検出可否を調査してるんだから
各社のポリシーも調査してるスレ
606 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 01:22:13 ]: keygen.exeが問題だ。
明らかに、Key Generatorだ。
ここは、キージェネ厳禁だ。今まで、そう努力してきた。
次は、nyで拾ってきたPhotoshopでも鑑定させるのかｗ
なんだか、万引きして、万引きした商品が腐っていて腹こわしたから検査してくれと言う
ようなもの。
Ｋ察に捕まったaの再来か。関わりたくない。

個人的な意見：以後、スルー

>>3

【重要】
●ここは鑑定スレではありません！！！！！malwareのみお願いします。（割れ、キージェネ、クラッカー厳禁）
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 01:31:04 ]: なんだかよく分からないね
検証した人を誹謗中傷したのが問題なんだろ
まるで検証した人が悪いみたいな書き込みが多いのは馬鹿だからとしか思えないよ
608 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 01:34:22 ]: ここに上がるほとんどのマルウェアもトロイで目的はキージェネと同じようなものだよ
だいたいトロイなんてそんなのばかりじゃん
なんで今回の件にそこまで食いつくの？
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 01:35:52 ]: つか誹謗してた本人なんだろ
何で正当化しようとしてるんだ？
謝れば良いだけだろ
610 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 01:46:46 ]: >>606
マルウェア報告した人を
勝手に鑑定依頼人にしてるのおまえ
この点についても謝罪しとけ
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 01:52:25 ]: >>606
今回の件は
マルウェア報告した人と検証した人を誹謗中傷した人が悪い
明らかです
ということでこれで終わりにしましょう
下手な正当化はやめて
612 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 02:21:49 ]: Rising 2009 21.24.60 (21.15.60.00)
>>202
7\pro.exe: Trojan.Win32.Nodef.bbt
tubeviewersetup.1401.exe: Trojan.DL.Win32.Mnless.ccx
5+2=7/12
>>>333
1\r.exe: Trojan.Win32.Nodef.bce
4+1=5/12
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 04:51:35 ]: なんかスレ伸びてるなと思い新しい検体が次々とうｐされたのかなとｗｋｔｋしてみたら・・・

何これ・・・
614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 05:24:01 ]: どこにでもいる基地外
615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 08:33:27 ]: 割れ厨が必死なのはいつもの事
616 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 08:52:26 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=222
virus
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 09:06:08 ]: 10分制限だったね。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=223
virus

>>616 とは配布元は異なるが作者はたぶん同じ。
618 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 10:02:57 ]: BitDefender10Free
>>616
　16/21
>>617
　19/27

AntiVir Free
>>616
　18/21
>>617
　20/21

各社に提出してきます…整理が結構大変だなこれは。
619 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 10:03:12 ]: NOD32 v3.0 定義3837
>>616　26/27
02.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
03.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
05.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
06.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
07.exe Win32/PSW.OnLineGames.NTNの亜種トロイの木馬
08.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
09.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
10.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
11.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
12.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
13.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
16.exe Win32/PSW.WOW.NHNの亜種トロイの木馬
17.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
18.exe Win32/PSW.OnLineGames.NTMの亜種トロイの木馬
26.exe Win32/PSW.Delf.NLZの亜種である可能性トロイの木馬
aspk04.exe Win32/PSW.OnLineGames.NSUの亜種である可能性トロイの木馬
aspk14.exe Win32/PSW.WOW.DZIの亜種トロイの木馬
aspk15.exe Win32/PSW.OnLineGames.NTPの亜種である可能性トロイの木馬
aspk21.exe Win32/PSW.WOW.DZIの亜種トロイの木馬
aspk25.exe Win32/PSW.WOW.DZIの亜種トロイの木馬
upk01.exe Win32/TrojanDropper.Agent.NPOの亜種トロイの木馬
upk19.exe Win32/TrojanDropper.Agent.NPOの亜種トロイの木馬
upk22.exe Win32/Rootkit.Agent.NJA トロイの木馬
upk23.exe Win32/Rootkit.Agent.NJC トロイの木馬
upk24.exe Win32/Rootkit.Agent.NJC トロイの木馬
upk27.exe Win32/PSW.Legendmir.NGGの亜種トロイの木馬
未検出だった検体はEsetにメール提出済
620 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 10:09:36 ]: 619の訂正
>>616ではなく、>>617の結果でしたorz
>>616は19/21　dldr1.exeとpetite1.exeをEsetへメール提出済
621 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 10:22:16 ]: AntiVir Free -> VirusTotal
すり抜けた分をVirusTotalに投げたところ、HEUR/Malware、HEUR/Cryptedで３つは検出する模様。
tane0223内のpetite1.exe だけがスルー。

>>616
　18+3=21/21
>>617
　26+0=26/27 （>618は26/27の書き間違い）
622 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 10:34:12 ]: >>621訂正
スキャン設定のヒューリスティック設定がMidium detection levelでは検出しないが
High detecyion level に切り替えたところ、AntiVirFreeでもHEUR/Malware、HEUR/Cryptedを検出。
623 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 11:11:41 ]: >>616-617
McAfee自動返答。以下を現時点ではスルー。
inconclusive [1.exe 16.exe 17.exe 18.exe aspk12.exe dldr1.exe petite1.exe aspk14.exe aspk25.exe petite1.exe]
624 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 12:18:46 ]: >>617
PandaGlobalProtection2009
とりあえず検出数だけ25/27
625 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 12:29:55 ]: >>607-610
ACCSが判断することだ。
このスレとアップローダのURLは報告済み
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 12:31:26 ]: >>617
NortonInternetSecurity2009
22/27

>>618さんが各ベンダーに提出されたようなので特になにもしません
627 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 12:41:48 ]: Dr.Web
>>616 15/21
>>617 22/27

Kaspersky
>>616 19/21
>>617 27/27
628 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 12:57:19 ]: >>616
PandaGlobalProtection2009
19/21

NortonInternetSecurity2009
15/21
629 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 12:57:53 ]: Rising 2009
>>616
1-2,4,10-11,15.exe: Trojan.PSW.Win32.GameOL.ugj
14.exe>>66: Trojan.PSW.Win32.GameOL.udn
5,17.exe: Trojan.PSW.Win32.GameOL.uln
6.exe>>66: Trojan.PSW.Win32.GameOL.udr
8.exe>>ZXDLL: Trojan.PSW.Win32.GameOL.ugp
aspk7.exe: Trojan.PSW.Win32.WoWar.bbs
dldr1.exe: Trojan.Win32.Nodef.bcm
upk9.exe>>upack0.39: Trojan.Win32.KillAV.avv
upk_qq.exe: Dropper.Win32.Agent.zrg
15/21
>>617
02-03.exe: Trojan.PSW.Win32.GameOL.uad
05-06,08,10,12-13.exe: Trojan.PSW.Win32.GameOL.ugj
07.exe>>ZXDLL: Trojan.PSW.Win32.GameOL.ugp
09,11,17-18.exe: Trojan.PSW.Win32.GameOL.uln
16.exe>>JXDLL: Trojan.PSW.Win32.GameOL.ukk
26.exe>>FILE: Trojan.PSW.Win32.OnlineGame.yoj
aspk21.exe: Trojan.PSW.Win32.WoWar.bbw
upk01.exe>>upack0.34: Trojan.PSW.Win32.GameOL.uew
upk19.exe>>upack0.34>>65: Trojan.PSW.Win32.GameOL.ttq
upk22.exe>>upack0.39: Trojan.PSW.Win32.GameOL.ufi
upk23-24.exe>>upack0.39: Trojan.Win32.KillAV.avv
upk27.exe>>upack0.39: Trojan.PSW.Win32.LMir.cfs
22/27
630 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 13:08:27 ]: >>616
ESETSmartSecurity3.0

19/21
631 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 17:38:38 ]: >>616
カスペ2009
21/21
Worm.Win32.Downloader.aao tane0222\1.exe
Worm.Win32.Downloader.aao tane0222\11.exe
Worm.Win32.Downloader.aao tane0222\10.exe
Worm.Win32.Downloader.zy tane0222\14.exe
Trojan.Win32.Agent.bnxc tane0222\16.exe
Trojan.Win32.Agent.anbw tane0222\18.exe
Worm.Win32.Downloader.aat tane0222\17.exe
Worm.Win32.Downloader.aao tane0222\2.exe
Worm.Win32.Downloader.aao tane0222\4.exe
Worm.Win32.Downloader.aat tane0222\5.exe
Worm.Win32.Downloader.aao tane0222\15.exe
Trojan-PSW.Win32.Delf.djj tane0222\8.exe
Trojan-GameThief.Win32.OnLineGames.bktj tane0222\aspk12.exe
Trojan-Dropper.Win32.Agent.agsk tane0222\aspk13.exe
Trojan-PSW.Win32.Agent.lzs tane0222\aspk3.exe
Backdoor.Win32.Agent.adpd tane0222\dldr1.exe
Trojan-GameThief.Win32.WOW.faf tane0222\aspk7.exe
Trojan.Win32.Agent.bpkn tane0222\petite1.exe
Trojan-Dropper.Win32.Agent.agqq tane0222\upk9.exe/PE_Patch/UPack
Worm.Win32.Downloader.zy tane0222\6.exe
Trojan-Downloader.Win32.Agent.aqnq tane0222\upk_qq.exe

>>617は>>627と同じと思われるのでスキップ。
632 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/09(月) 18:03:45 ]: Rising 2009 21.25 (21.16.00.00)
>>202
5\rdr.exe: Trojan.Win32.Nodef.bbs
7+1=8/12
>>333
2\system.lib: Trojan.Win32.Nodef.bbn
9\tubeviewersetup.exe: Trojan.Win32.Nodef.bch
5+2=7/12

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef