【鑑定目的禁止】検出可否報告スレ10

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 2chのread.cgiへ]
Update time : 05/09 18:46 / Filesize : 274 KB / Number-of Response : 588
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

【鑑定目的禁止】検出可否報告スレ10

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/02/24(火) 16:15:12 ]: ①はじめに
各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うｐろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

前スレ
【鑑定目的禁止】検出可否報告スレ9
pc11.2ch.net/test/read.cgi/sec/1232006196/

●セキュリティ板専用アプロダ推奨↓
tane.sakuratan.com/

●検体提出先まとめWiki （参考）
rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先（Webフォーム、メールアドレス）、検体提出方法、推奨される文例、検体提出時の注意事項が掲載されています。
321 名前：320 mailto:sage [2009/03/25(水) 01:31:38 ]: Rising 2009 21.31.15 (21.22.14.00)
>>267
1\iConv.exe: Trojan.Win32.Nodef.gqs
4\exses.exe: Trojan.Win32.Twex.b
5\dr.exe: Trojan.Spy.Win32.Nodef.ak
6\default.exe: Trojan.Win32.Nodef.gqd
7\iCPA.exe>>upx_c: Trojan.Clicker.Win32.Nodef.b
4+5=9/12
322 名前：312 mailto:sage [2009/03/25(水) 02:04:46 ]: >>319
Kasperskyがスルーしてるんで、提出してみました。　返事が返ってきたら書き込みます。
※ 8.0.0.454でも反応しないので。
323 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/25(水) 02:08:30 ]: NortonSafeWebとMcAfeeサイトアドバイザでいろいろ検体拾ってみたけどSafeWebの方がウイルスを拾ってくれることが多い気がした
サイトアドバイザでは危険なファイルをダウンロードしてVTに投げても全スルーとかが多かった
324 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/25(水) 07:40:23 ]: >>302,>>306
McAfee返答

File Name Findings Detection Type
========= ======== ========= ====
play.scr detected generic backdoor trojan
1188.exe detected generic backdoor trojan
online.scr detected generic backdoor trojan
lore555.exe detected generic backdoor trojan
325 名前： ◆W32/Vael.o mailto:sage [2009/03/25(水) 12:15:13 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=265
Malware-Pack68

例によってMcAfeeには提出済み
326 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/25(水) 12:36:17 ]: >>325
Rising 2009 21.31.20 (21.22.20.00)
3\Sexo-BBB9-Maira-Chupando-e-cavalgando.com: Trojan.DL.Win32.Mnless.coa
7\install.exe>>pecompact2x: Trojan.Win32.FakeAV.ik
2/12
提出完了
327 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/25(水) 12:39:31 ]: >>325
Avira AntiVir 9 Premium
TR/Dldr.Murlo.aie [trojan]3\Sexo-BBB9-Maira-Chupando-e-cavalgando.com
TR/Spy.ZBot.RE [trojan]4\ldr.exe
TR/Spy.ZBot.5939 [trojan]1\rdr.exe
TR/PSW.157696.1 [trojan]2\0081.exe
TR/Dldr.FakeAler.DZ [trojan]7\install.exe
TR/Spy.ZBot.6144 [trojan]8\rrdd.exe
TR/Dldr.Agent.boah [trojan]5\1.exe
PHISH/Fraud.Agent.LI [phishing]6\MalwareDefender2009.exe
残り提出
0\License.v.3.413.dmgは白判定出てました。
328 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/25(水) 14:41:49 ]: >>325乙
NIS2009で5/12 （0,2,5,6,b）
Symantecとa-squaredに提出しました

0　ttp://www.virustotal.com/jp/analisis/3d834af7c37f5efee63026f395f654d1
1　ttp://www.virustotal.com/jp/analisis/5c36f561a2cc3487099b3ba8e146d70b
2　ttp://www.virustotal.com/jp/analisis/4c5f75273fedca7c3d1f896a598086c3
3　ttp://www.virustotal.com/jp/analisis/8627201ca3d1a67b6f11359a69ac3613
4　ttp://www.virustotal.com/jp/analisis/0bda1fed995dcc61f78d705dc8bcecac
5　ttp://www.virustotal.com/jp/analisis/6e293d2652ce5f5fc63525fa2bf09179
6　ttp://www.virustotal.com/jp/analisis/d383145d8f17c31971226f9f70644855
7　ttp://www.virustotal.com/jp/analisis/0a8f6578e87605c2a5d27912002cd1aa
8　ttp://www.virustotal.com/jp/analisis/615e4c64f510bedc87b7abe023605d7a
9　ttp://www.virustotal.com/jp/analisis/e0c713d4717ed79f99ecbc646eb3ae1c
a　ttp://www.virustotal.com/jp/analisis/909cb6c7c9bd3a04e6ebadace4d3f406
b　ttp://www.virustotal.com/jp/analisis/8667ffdd71965d5b1cab1ca3a70cf7b1
329 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/25(水) 16:50:38 ]: >>325 ㌧
カスペ2009 @ 11:11:00
9/12 (1-8,b)
検体提出します。

Detected Trojan program Trojan-Spy.Win32.Zbot.gen 　　/1/rdr.exe
Detected Trojan program Trojan.Win32.Obfuscated.adpc 　　/2/0081.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aie 　　/3/Sexo-BBB9-Maira-Chupando-e-cavalgando.com
Detected Trojan program Trojan-Spy.Win32.Zbot.qjs 　　/4/ldr.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.boah 　　/5/1.exe
Detected virus not-a-virus:FraudTool.Win32.Agent.lk 　　/6/MalwareDefender2009.exe
Detected virus not-a-virus:FraudTool.Win32.SystemSecurity.gf 　　/7/install.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen 　　/8/rrdd.exe
Detected Trojan program Packed.Win32.Tdss.f 　　/b/l.exe
330 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/25(水) 18:05:58 ]: >>325
=== BitDefender10Free (4/12) ===
0081.exe : DeepScan:Generic.PWS.WoW.1869DC7E
l.exe : Gen:Trojan.Heur.TDSS.6000FFEFEF
MalwareDefender2009.exe : Gen:Trojan.Heur.TDSS.4021DECECE
Sexo-BBB9-Maira-Chupando-e-cavalgando.com : Suspect: BehavesLike:Win32.Malware

=== AntiVir9Free (8/12) ===　>>328さんのPremiumと検出結果一緒
0081.exe : TR/PSW.157696.1 Trojan
1.exe : TR/Dldr.Agent.boah Trojan
install.exe : TR/Dldr.FakeAler.DZ Trojan
ldr.exe : TR/Spy.ZBot.RE Trojan
MalwareDefender2009.exe : PHISH/Fraud.Agent.LI phishing file/email
rdr.exe : TR/Spy.ZBot.5939 Trojan
rrdd.exe : TR/Spy.ZBot.6144 Trojan
Sexo-BBB9-Maira-Chupando-e-cavalgando.com : TR/Dldr.Murlo.aie Trojan
331 名前：312 mailto:sage [2009/03/25(水) 21:47:49 ]: >>322
仕事から帰ってきたら、Kaspersky Lab.から返事来てました。

> No malicious code was found in this file.

Kasperskyの判断では『悪意のあるコードは入ってないよ』ってことでした。
ただのダウンローダー？　まあ、試す気無いですけど。（苦笑

>>329
乙です。今の所マルウェア用のデータベス更新されてないんで、0,9,aは未検出で変化なしです。
332 名前：329 mailto:sage [2009/03/25(水) 23:20:10 ]: >>325
カスペからの返事
9/12、白1,回答待ち2（21:59でもスルー）

0\License.v.3.413.dmg
No malicious software was found in the attached file.

>>331
いえいえ
333 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/26(木) 06:34:32 ]: License.v.3.413.dmgはOSX用だろ
マルウェアかどうかは知らないけど
334 名前：329 mailto:sage [2009/03/26(木) 18:17:21 ]: 検体名：>>325 (tane0265)
カスペからの返事（続報）

9+事後検出2=11/12, 白1（0）でクローズ

9\MsgUpdate.dll - not-a-virus:AdWare.Win32.Agent.lzd
a\msgasst.dll - not-a-virus:AdWare.Win32.Agent.lzc
335 名前：312 mailto:sage [2009/03/26(木) 23:11:04 ]: >>334
Kaspersky 定義データベース　マルウェア　2009/3/26 21:29:00で 9 と a の検出が可能であることを確認しました。
相変わらず対応速いですね、ここは。

>>327,330
AVIRAでは、定義ファイルV.7.01.02.220 2009/3/26で、b を TR/PCK.Tdss.F.1815 として検出できるようになりました。
0,9,aは反応無いままです。
336 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/27(金) 00:14:39 ]: >>325
バスター2009 6/12
0 OSX_RSPLUG.B
2 TROJ_OBFUSCA.FNJ
3 TROJ_MURLO.BU
4 TROJ_ZBOT.ASE
6 TROJ_DLOADER.XBV
8 TROJ_ZBOT.ASG

avast! 4.8 3/12
3 Win32:Trojan-gen {Other}
4 Win32:Spyware-gen [Trj]
7 Win32:Trojan-gen {Other}

検体提出しました。
337 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/27(金) 14:48:08 ]: License.v.3.413.dmgは評価がわれとるな
338 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/27(金) 23:23:40 ]: License.v.3.413.dmg
ttp://www.virustotal.com/jp/analisis/6c0094d4a3ee2c5a9dd73d3fe4cdd542

OSX/Puper.a
ttp://www.mcafee.com/japan/security/virPQ.asp?v=OSX/Puper.a
339 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/28(土) 02:08:08 ]: >>337-338
>>2
・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。

議論しても結論が出ないので終了!
340 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/28(土) 02:20:15 ]: >>2
・パスなしZIPをパス有りLZH(またはRAR)で
なんでLHAを推奨してんだ？
パスありzipの間違いか
まあ馬鹿なんだろうけど
341 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/31(火) 17:10:01 ]: GDATA2009をテストしてて興味深い結果があったのを報告します

オブジェクト： MalwareDefender2009.exe
パス： C:\Documents and Settings\Owner\デスクトップ\tane0265\Malware\6
ステータス：ウイルスが存在します。ファイルを削除しました
ウイルス： Gen:Trojan.Heur.TDSS.4021DECECE (Engine A＝BitDefenderエンジン)

↑これはBitDefenderのヒューリスティック検出（検出名見てもそれが明らか）
でもGDATAにはこう記されている↓

スキャンが完全に実行されました： 2009/03/31 16:36
12 個のファイルがスキャンされました
11 個の感染ファイルが検出されました
0 個の感染の可能性のあるファイルが見つかりました　←ここに注目

ヒューリスティック検出したはずなのにこう表示されるのはBitDefenderのヒューリスティックとは別にGDATA専用のヒューリスティックがあるのではと予想
342 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/31(火) 17:16:49 ]: >>341
スレチ
本スレでやれ
343 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/31(火) 17:24:23 ]: >>342
なんで？
このスレでも参考になると思って報告したのに・・・
344 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/31(火) 17:51:13 ]: ﾄﾞﾝﾏｲ!
345 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/31(火) 19:59:42 ]: >>343
何言ってんのかよく分からねえけど
単に感染ファイルとして数えられてるだけじゃねえの
346 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/31(火) 22:28:35 ]: しかし、最近鑑定ファイルが来ないね。
全鯖アク禁の巻き添えでもくらった？
347 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/03/31(火) 23:26:48 ]: Rising 2009 21.32.14 (21.23.14.00) (対応したのは数日前)
>>233
9\install.exe: Trojan.DL.Win32.FakeAV.h
>>302
すべて: Backdoor.Win32.PcClient.sdx
4/4

p2から書込テスト
(bbtecの規制はいつ解除されるんだろうか・・・)
348 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 12:04:20 ]: Confickerぷりーず
349 名前： ◆W32/Vael.o mailto:sage [2009/04/01(水) 19:04:55 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=266
Malware-Pack69

例によってMcAfeeには提出済み
350 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 19:18:45 ]: 乙です
>>349
GDATAInternetSecurity2009

Malware\3
ステータス：ウイルスが検出されました
ウイルス： Win32:Trojan-gen {Other} (Engine B)
Malware\4
ステータス：ウイルスが検出されました
ウイルス： Win32:Trojan-gen {Other} (Engine B)
Malware\6
ステータス：ウイルスが検出されました
ウイルス： Win32:Rootkit-gen [Rtk] (Engine B)

全てavast!側で検出、BitDefenderは全スルー
351 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 19:19:36 ]: >>349
Rising 2009 21.32.22 (21.23.22.00)
a\binor.exe: Trojan.Win32.Nodef.fga
1/12
352 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 19:23:15 ]: >>349乙
NIS2009で5/12 （0、4、6、8、b）
Symantecとa-squaredに提出しました
353 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 19:24:59 ]: >>349
PandaGlobalProtection2009

疑わしいファイル（4、9）
2/12

代理提出お願いします
354 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 19:30:51 ]: >>349
AviraPremiumSecuritySuite9

Malware\0\InternetAntivirusPro.exe
[DETECTION] Contains recognition pattern of the SPR/Fraud.Inte.2161 program
Malware\3\scanner_200058_-1_.exe
[DETECTION] Contains recognition pattern of the PHISH/Fraud.Agent.LQ phishing file/email
Malware\4\AntiVirusInstaller.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
Malware\5\h.jpg
[DETECTION] Is the TR/AntiHosts.Gen Trojan
Malware\6\aff_9.exe
[DETECTION] Is the TR/Agent.pdt.80 Trojan
Malware\8\browser-video-object2.exe
[DETECTION] Is the TR/Drop.Zengie.A Trojan
Malware\a\binor.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\b\xpre.tmp
[DETECTION] Is the TR/Crypt.MWPM.Gen Trojan

PandaとAvira、あとはGDATA（avast!＆BitDefender）の検体提出お願いします
355 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 19:37:46 ]: >>349
0　ttp://www.virustotal.com/jp/analisis/41765f991edce0581a640ca0f1e5dce0
1　ttp://www.virustotal.com/jp/analisis/dc92832f6ab224e39598ffd2e18b4a3c
2　ttp://www.virustotal.com/jp/analisis/9928ff1951a4216055384a12513d17f5
3　ttp://www.virustotal.com/jp/analisis/1e55e76573387d64415e1ece92b88eb3
4　ttp://www.virustotal.com/jp/analisis/9eedf40b7f1181321748f5a791f06c86
5　ttp://www.virustotal.com/jp/analisis/3a5cea7ae42b7452ba6c74c66c08992a
6　ttp://www.virustotal.com/jp/analisis/f9bfae2096e6f79c9669aef776b75d9a
7　ttp://www.virustotal.com/jp/analisis/86ba8429e247929ff5d81be2b97303ec
8　ttp://www.virustotal.com/jp/analisis/5c5c88287da4257468fa748beb1443f8
9　ttp://www.virustotal.com/jp/analisis/f6bf33c939d6726a9a3de938d615e546
a　ttp://www.virustotal.com/jp/analisis/a38779876b1f6de18204bc8289c76fc5
b　ttp://www.virustotal.com/jp/analisis/8f5e265a8c3b80e5d35008e7cbad6271
356 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 21:07:49 ]: >>349
4検体スルーしたので、Aviraにftp経由で提出。
357 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 21:13:10 ]: >>349
BitDefender 全部スルー
358 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 21:48:22 ]: >>349
McAfee自動返答

File Name　　　　　　Findings　　　Detection　　　　　　　　　　Type　　　　 Extra
--------------------|-------------|----------------------------|------------|-----
aff_9.exe　　　　　 |new detection|generic.dx　　　　　　　　　|Trojan　　　|yes
antivirusinstaller.e|new detection|fakealert-winwebsecurity.gen|Trojan　　　|yes
binor.exe　　　　　 |inconclusive |　　　　　　　　　　　　　　|　　　　　　|no
ic.exe　　　　　　　|inconclusive |　　　　　　　　　　　　　　|　　　　　　|no
ip.exe　　　　　　　|inconclusive |　　　　　　　　　　　　　　|　　　　　　|no
run.exe　　　　　　 |new detection|generic.dx　　　　　　　　　|Trojan　　　|yes
scanner_200058_-1_.e|inconclusive |　　　　　　　　　　　　　　|　　　　　　|no
xpre.tmp　　　　　　|new detection|generic.dx　　　　　　　　　|Trojan　　　|yes
browser-video-object|inconclusive |　　　　　　　　　　　　　　|　　　　　　|no
delcache.exe　　　　|inconclusive |　　　　　　　　　　　　　　|　　　　　　|no
h.jpg　　　　　　　 |inconclusive |　　　　　　　　　　　　　　|　　　　　　|no
internetantiviruspro|inconclusive |　　　　　　　　　　　　　　|　　　　　　|no
359 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 21:52:28 ]: 書き忘れ。
>>349の検体を、Panda、Avast、BitDefender、AVG、Rising他、各社に提出完了。一部重複提出ですが気にしない…。
360 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/01(水) 21:59:40 ]: >>349 ㌧
カスペ2009 21:33

6/12

Detected virus not-a-virus:FraudTool.Win32.Agent.lq 　　/3/scanner_200058_-1_.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.dzm 　　/4/AntiVirusInstaller.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.alfx 　　/8/browser-video-object2.exe
Detected Trojan program Trojan.Win32.Pakes.nil 　　/9/ip.exe
Detected Trojan program Trojan.Win32.Agent2.gxz 　　/a/binor.exe
Detected virus HEUR:Trojan.Win32.AntiAV 　　/b/xpre.tmp

検体提出します。
361 名前：360 mailto:sage [2009/04/01(水) 23:25:09 ]: >>349

カスペからの返事
6+追加検出3=9/12(1,3,4,6-b), 白2(2,5), パスワード不明？1(0)で一応クローズ

1\ic.exe - Trojan.Win32.VB.mwy
6\aff_9.exe - Trojan.Win32.Agent.byro
7\run.exe - Email-Worm.Win32.Iksmas.alm
b\xpre.tmp - Trojan-Dropper.Win32.Agent.alhz (←HEUR:Trojan.Win32.AntiAV)

New malicious software was found in this file.

2\delcache.exe
5\h.jpg_
No malicious code was found in this file.

0\InternetAntivirusPro.exe
this is password-protected installer, please, send us password
(これはパスワードで保護されたいるインストーラなので、パスワードを送ってくれ）
362 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/02(木) 00:44:36 ]: うちにはこんなメッセージで…はて、どうしたもんかな。

InternetAntivirusPro.exe_

Haven't a password we can't extract this file. Please send us a password or repack files
with password 'infected' (without quotes) and send it to us.
363 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/04(土) 23:22:04 ]: >>349
GDATAInternetSecurity2009

オブジェクト： InternetAntivirusPro.exe：Malware\0
ウイルス： Trojan.FakeAV.IW (Engine A)
オブジェクト： ic.exe：Malware\1
ウイルス： Trojan.Downloader.VB.WAY (Engine A)
オブジェクト： scanner_200058_-1_.exe：Malware\3
ウイルス： Trojan.Fakealert.BAL (Engine A)
オブジェクト： AntiVirusInstaller.exe：Malware\4
ウイルス： Trojan.FakeAV.IX (Engine A)
オブジェクト： h.jpg：Malware\5
ウイルス： Trojan.QHost.AME (Engine A)
オブジェクト： aff_9.exe：Malware\6
ウイルス： Trojan.Agent.AMMD (Engine A)
オブジェクト： run.exe：Malware\7
ウイルス： Trojan.Waledac.BL (Engine A)
オブジェクト： browser-video-object2.exe：Malware\8
ウイルス： Trojan.Agent.AMMA (Engine A)
オブジェクト： ip.exe：Malware\9
ウイルス： Trojan.Spy.XZM (Engine A)
オブジェクト： binor.exe：Malware\a
ウイルス： Trojan.Spy.XZN (Engine A)
オブジェクト： xpre.tmp：Malware\b
ウイルス： Trojan.Downloader.JLTZ (Engine A)

全てBitDefender側で検出
364 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/04(土) 23:54:43 ]: 【注文0.1】Genoのサイトでウイルス感染…か？
tsushima.2ch.net/test/read.cgi/news/1238844402/
365 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 00:41:31 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=268
infected

容量を圧縮する関係で、パス付きZIPの中に、パスなし7z自己解凍形式で入れてあります。
（この方法だと14.6MBが8.9MBまで容量圧縮できたので…）
検体そのものは、20090404.exeを実行(解凍)すると出てきます。

検体提出から数日でどの程度対応してるかチェックしたい方向けの資料として。

VirusTotal(提出時のもの)

20090401
ttp://www.virustotal.com/analisis/b28007b0b25b647e6942cbe8fe3f4e26 play.scr(24/40)
ttp://www.virustotal.com/analisis/df80b25b6317f72169cc4a0fbf77f399 play/1199.exe(19/38)
ttp://www.virustotal.com/analisis/8faaca7ba6aba62f33e71b7efe875618 wmv.pif(33/40)
ttp://www.virustotal.com/analisis/58c8c4893995d1fcc7a0558051ac8244 wmv.scr(27/40)
ttp://www.virustotal.com/analisis/3d3bc84c6324929893415c1f53139b51 wmv.zip(26/40)
ttp://www.virustotal.com/analisis/e0785d1cb15a5fa11153c936cf40565d wmv/1199.exe(31/40)
20090402
ttp://www.virustotal.com/analisis/4ccb1457c233849c388620406ccace59 mpg.scr(27/40)
ttp://www.virustotal.com/analisis/bf319567965f733b07602100f053b54d 1199.exe(25/40)
20090404
ttp://www.virustotal.com/analisis/bd0bb0f671d1bb90d62089490809aea8 play.scr(22/40)
ttp://www.virustotal.com/analisis/8e78fdff47de81942037fc3ac3c292d0 1199.exe(27/40)
ttp://www.virustotal.com/analisis/f5d7190d621c26eebf8f3e1a63bf256f wmv.pif (24/40)
ttp://www.virustotal.com/analisis/3b9c904a0b0dcd6001e202dc14e266c2 1199.exe(28/40)
366 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 00:44:36 ]: >>365(続き)

検体入手元
リネージュ資料室の更新情報で頻繁に更新されているものをピックアップ。

未検出のベンダーには全て提出済み。
20040404分に関してのみ、Risingはフォームで500エラーが出てるので、別の時間に再提出予定。

0401-0402分は、McAfeeから、対応の返答来てました。
他のベンダーは…幾つか返事来てると思うけど確認面倒なので報告はパス。

AntiVirは提出時に全部撃墜してました。
367 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 00:58:03 ]: >>365
パス間違えてるよ
368 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 01:08:36 ]: Rising 2009 21.32.50 (21.23.50.00)
>>267
a\news.exe: Trojan.Win32.Obfuscated.fqv
9+1=10/12
>>325
6\MalwareDefender2009.exe: Trojan.Win32.FakeAV.jn
2+1=3/12
>>349
3\scanner_200058_-1_.exe: Trojan.Win32.FakeAV.jm
1+1=2/12
369 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 02:36:28 BE:1590408768-2BP(0)]: >>364
ttp://94.247.2｡195/jquery.js
ttp://94.247.2｡195/news/?id=[2,3,11,101]
370 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 02:37:30 ]: かきわすれた、↑UA依存 IEで踏んだ
371 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 02:59:07 ]: PDFのほうは ?id=10& を取りに行くみたいだが、なにやっても無効ファイルしか落ちてこない
IPつなぎかえてもだめぽ｢適切な｣Acrobat持ってるひとおながい
372 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 03:51:10 ]: >>367
ごめん。パスをタイプミスしてた模様。

>>365-366の上げ直し
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=269
infected

20090404分のRisingも提出完了。
373 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 09:47:14 ]: >>364 >>369
www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00008.rar.html dlpass gwe4tgsf

インスコ時にでてくる本体も同梱(ただし: 0xD82..0xDA1, 0x4919..0x4938 may vary.)
374 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 10:47:51 ]: >>373
ttp://www.virustotal.com/analisis/1d62a21e2d52467b78152e52c0359199 dropper.bin(9/40)
他のファイルは全部スルー

ClamAV以外は一通り提出完了。ClamAVは何故か繋がらなかったので後で再チャレンジ。
375 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 10:49:42 ]: >>373
McAfee自動返答

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dropper.bin |new detection |generic dropper.ef |Trojan |yes
dropper.html |inconclusive | | |no
dropper.pdf |inconclusive | | |no
dropper.swf |inconclusive | | |no
malformed.jquery.js |inconclusive | | |no
monitor.bin |heuristic detection |new dll-b |Virus |no
376 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 11:08:56 ]: カスペ2009 8:48:00

>>372 ㌧ 12/12

>>373 ㌧
1/6
Detected Trojan program Backdoor.Win32.Agent.afid dropper.bin
検体提出します。
377 名前：376 mailto:sage [2009/04/05(日) 18:50:14 ]: >>373
返事
1+3=4/6

dropper.html_ - Trojan-Downloader.JS.Agent.dwe, +
dropper.pdf - Exploit.Win32.Pidief.aog,
malformed.jquery.js_ - Trojan-Downloader.JS.Agent.dwf

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

dropper.swf, monitor.bin

No malicious code were found in these files.
378 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 21:38:50 ]: >>373
解凍時にpassを求められ試しにgwe4tgsfと入れても
パスが違うか書庫が壊れれてるとなります
んで、zipでおながい
379 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 21:40:35 BE:1590408386-2BP(0)]: monitor.bin スルーは酷いな…なんでだｗｗｗあっちが本体なのにｗ
なんかの(先方の)勘違いとしか思えんが…。
380 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 22:00:22 ]: >>378
パスはいつもの方。

>>379
実行できなかった。DLLかも?
381 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 22:31:32 BE:596404229-2BP(0)]: >>380 DLLです。DllMainでトロイ行為がすべて実行され、exportsはないです
382 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 22:50:35 ]: >378　ほらよっ >373の中身。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=270
infected

>374-375で書いたように、ClamAV以外には検体提出済み
383 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/05(日) 22:55:24 ]: >>382
さんきゅですー
384 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/06(月) 01:38:15 ]: >>373
ClamAVにも提出完了。
385 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/06(月) 02:04:51 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=271
infected

61heliq.rar : Trojan.Win32.Inject!IK(a-squared)
61heliq.exe : Trojan.Win32.Inject!IK(a-squared)
386 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/06(月) 02:24:34 ]: >>385
McAfee自動返答

inconclusive [61heliq.exe 61heliq.exe]

各社に一通り提出完了。
387 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/06(月) 02:31:38 ]: >>385
ttp://www.virustotal.com/analisis/613f8cefb83c6cf4f586983d1c919a1a　61heliq.rar(11/39)
ttp://www.virustotal.com/analisis/9cb6ad8c60e240a80ca68000f901c6b0 61heliq.exe(10/40)

カスペ
61heliq.exe をスキャンでは検知しないものの、アクセスしようとすると、ヒューリスティックで検出。
検出名： HEUR:Trojan.Win32.Invader
388 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/06(月) 06:38:59 ]: >>385-387
カスペ返答。いつもながら対応が早くて素晴らしい。

61heliq(1).exe_ - Trojan.Win32.Inject.ryi

New malicious software was found in this file. It's detection will be included in the next update.
389 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/06(月) 12:58:50 ]: 848 名前：八頭 ◆YAGApwSaEw [sage] 投稿日： 2009/04/06(月) 02:42:12
ttp://i41.tinypic.com/zimy6d.jpg
390 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/06(月) 13:10:27 ]: >>389
ｶｴﾚ
391 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/06(月) 13:16:33 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=272
infected

煽りくれてるだけじゃしょうがないので、検体。各社に一通り提出済み。NormanとZAVとnProtectは提出してません。
提出時点のVirusTotalではカスペスルーでしたが、手元のカスペでは検出してました。

ttp://www.virustotal.com/analisis/b6803058a0cbc43cf4b3557611ac4e88 wmv.zip (18/40)
ttp://www.virustotal.com/analisis/6a52056f418555999cc107c421cf303b wmv.scr (18/40)
ttp://www.virustotal.com/analisis/e3dfc156d838c197cc5fb1648f4c2b12 1199.exe (22/40)

wmv.zip : Trojan.Crypt!IK(a-squared)
wmv/1199.exe : Trojan.Crypt!IK(a-squared)
wmv/wmv.scr : Trojan.Crypt!IK(a-squared)

wmv.zip : Trojan-Dropper.Win32.Mudrop.mx(Kaspersky)
wmv/1199.exe : Trojan-Dropper.Win32.Mudrop.mx(Kaspersky)
wmv/wmv.scr : Trojan-Dropper.Win32.Mudrop.mx(Kaspersky)
392 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/06(月) 13:20:32 ]: >>391
McAfee自動返答
1199.exe |inconclusive | | |no
wmv.zip |extraction failure | | |no
wmv.scr |inconclusive | | |no

なんか、１つ解凍できないとか出てますが、中身は認識しているようなので、いいことにしましょうとかなんとか。

カスペ返答。正式な検出名は>391と違うものが割り振られた模様。

1199.exe_, wmv.scr_ - Backdoor.Win32.PcClient.ahjf
New malicious software was found in these files. Detection will be included in the next update.
393 名前：名無しさん＠お腹いっぱい。 [2009/04/07(火) 01:51:41 ]: GENOなどのサイトでウイルス感染★6
tsushima.2ch.net/test/read.cgi/news/1239026729/
394 名前： ◆W32/Vael.o mailto:sage [2009/04/07(火) 17:45:41 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=273
Malware-Pack70

例によってMcAfeeには提出済み
395 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 17:52:13 ]: >>394
BitDefenderTotalSecurity2009

オールスルー

Pandaの検出報告は後でします
396 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 18:09:05 ]: >>394乙
NIS2009で5/12 （1、3、5、6、7）
Symantecとa-squaredに提出します
397 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 18:13:13 ]: >>394 乙

0 13/40 ttp://www.virustotal.com/jp/analisis/3a767ca5c9a0323bdef4ad8cdc04f996
1 10/40 ttp://www.virustotal.com/jp/analisis/744de65100ff9cd8f42f3ea6ea8c5fcf
2 1/40 ttp://www.virustotal.com/jp/analisis/cdb7ec02bf91c390f9ba8d82e395f8c7
3 17/39 ttp://www.virustotal.com/jp/analisis/b2d81a3aeb90d6cc5a636fad7b539abb
4 1/40 ttp://www.virustotal.com/jp/analisis/b76f784e7f293ede50749fcf0f510f35
5 5/39 ttp://www.virustotal.com/jp/analisis/492c7a1fbe3dd1b78a64d3470668327b
6 11/40 ttp://www.virustotal.com/jp/analisis/4625fccb9bf2f75439f7e9578efc1cf5
7 13/40 ttp://www.virustotal.com/jp/analisis/b11b98121cb3148ec74b70a3e5759bb4
8 10/39 ttp://www.virustotal.com/jp/analisis/2307722d69221357d7d2be5e73b10521
9 9/40 ttp://www.virustotal.com/jp/analisis/a02a58d7c773b6cb113bd435e38b26fa
a 2/40 ttp://www.virustotal.com/jp/analisis/e1372f1c69f1fb00354f0fe21fd0f3a1
b 0/40 ttp://www.virustotal.com/jp/analisis/5906741bb8d6c802a1714b19782bf4df
398 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 18:18:18 ]: >>394
バスター 2009 ： 1/12

3/aff_8.exe TROJ_DROPPER.IRB

検体提出します
399 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 18:30:43 ]: Rising 2009 21.33.11 (21.24.11.00)
>>372
20090404/wmv.pif>>1199.exe: Backdoor.Win32.PcClient.sfh
20090402/mpg.scr>>1199.exe: Backdoor.Win32.PcClient.sfh
20090401/play.scr>>1199.exe: Backdoor.Win32.PcClient.ska
20090401/play/1199.exe: Backdoor.Win32.PcClient.ska
20090402/mpg/1199.exe: Backdoor.Win32.PcClient.sfh
20090404/wmv/1199.exe: Backdoor.Win32.PcClient.sfh
残り6体は>>365で検出済み(Trojan.Win32.Nodef.hhz)
6+6=12/12
>>391
wmv\1199.exe: Backdoor.Win32.PcClient.sfh
wmv\wmv.scr>>1199.exe: Backdoor.Win32.PcClient.sfh
wmv.zip>>wmv.scr>>1199.exe: Backdoor.Win32.PcClient.sfh
3/3
>>394
スルー
Risingに提出完了
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 18:34:46 ]: Rising 2009 21.33.12 (21.24.12.00)
>>394
8\ipk.exe>>upx_c: Trojan.DL.Win32.Mnless.cse
1/12
401 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 19:00:21 ]: >>394
avast! 4.8 090406-0 1/12
0/update.exe Win32:Trojan-gen {Other}
検体提出しました
402 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 19:56:59 ]: >>394
AviraPremiumSecuritySuite9

Malware\0\update.exe [DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
Malware\1\IEPLORER%20DLL.exe [DETECTION] Is the TR/Spy.Banker.Gen Trojan
Malware\3\aff_8.exe [DETECTION] Is the TR/Dldr.Agent.bqob Trojan
Malware\6\file.exe [DETECTION] Is the TR/Spy.ZBot.dae Trojan
Malware\7\codec_1.exe [DETECTION] Contains recognition pattern of the SPR/Tool.Obfuscator.DO.9 program
Malware\8\ipk.exe [DETECTION] Is the TR/Delf.nzn.1 Trojan
Malware\9\win.exe [DETECTION] Is the TR/Agent2.hit Trojan
Malware\a\Co.swf
[0] Archive type: SWC
[DETECTION] Contains recognition pattern of the EXP/SWF.ED exploit
403 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 20:01:23 ]: >>394
PandaGlobalProtection2009

疑わしいファイル：aff_8.exe、codec.exe
404 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 21:27:58 ]: >>394
未検出分をAviraにftp経由で提出済み

AntiVir9Free(8/12)
aff_8.exe : TR/Dldr.Agent.bqob Trojan
Co.swf : EXP/SWF.ED exploit
codec.exe : －
codec_1.exe : SPR/Tool.Obfuscator.DO.9 program
file.exe : TR/Spy.ZBot.dae Trojan
IEPLORER%20DLL.exe : TR/Spy.Banker.Gen Trojan
ipk.exe : TR/Delf.nzn.1 Trojan
Tudo%20Aqui.exe : －
update.exe : TR/Crypt.ZPACK.Gen Trojan
win.exe : －
win_1.exe : TR/Agent2.hit Trojan
WlZ.pdf : －
405 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 21:57:59 ]: >>394
報告の出てない各社に一通り提出完了
406 名前：名無しさん＠お腹いっぱい。 [2009/04/07(火) 21:59:22 ]: >>405
bitとpandaもお願いします
407 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/07(火) 22:00:32 ]: >>385-387
Symantec自動返答。全部手動解析に回す。

filename: 61heliq.exe
result: See the developer notes

filename: 61heliq.rar
result: See the developer notes

filename: 61heliq.exe
result: See the developer notes
408 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/08(水) 02:42:39 ]: >>394 ㌧
今北産業
カスペ2009 0:40:00
5/12
シグネチャ3(3,6,9 , >>397のVTと同じ）+ ヒューリスティック2(1,b)=5/12
検体提出します。

Detected Trojan program Trojan-Downloader.Win32.Agent.bqob 　　/Malware/3/aff_8.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.rnr 　　/Malware/6/file.exe
Detected Trojan program Trojan.Win32.Agent2.hit 　　/Malware/9/win.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic 　　/Malware/1/IEPLORER%20DLL.exe
Detected virus HEUR:Exploit.Script.Generic 　　/Malware/b/WlZ.pdf
409 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/08(水) 06:22:30 ]: >>349
Rising 2009 21.33.14 (21.24.14.00)
1\ic.exe: Trojan.Win32.VBCode.pc
2+1=3/12
410 名前：408 mailto:sage [2009/04/08(水) 10:17:24 ]: >>394
カスペからの返事
5+追加検出3=8/12 (1,2,3,6,7,.8,9,b), 白2(4,a), 回答待ち2 (0,5)

2\Tudo%20Aqui.exe - Backdoor.Win32.VB.igs
7\codec_1.exe - Trojan-Downloader.Win32.Agent.bqtl
8\ipk.exe - Trojan.Win32.Delf.ldw

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

4\codec.exe
a\Co.swf

No malicious code was found in this file.
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/08(水) 16:11:00 ]: >>391
Symantec全検出確認

>>394

Symantec追加検出+3（0、8、9）

Virustotalで確認してみると残りの検体は恐らく白判定になるのかと
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/08(水) 23:28:00 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=274
infected

検体入手元
www■amazeons■com/play/GVG/tttttt■zip

ttp://www.virustotal.com/analisis/da797e4f73e8c6aec0dde66e11b4b304 tttttt.zip(22/40)
ttp://www.virustotal.com/analisis/aecd2530093cbc6976e9afad149b7270 tttttt.exe(23/40)

=== BitDefender10Free ===
tttttt.zip : TR/Crypt.ZPACK.Gen Trojan
tttttt.exe : TR/Crypt.ZPACK.Gen Trojan

=== a-squared4Free ===
tttttt.zip : Trojan.Win32.Inject!IK
tttttt.exe : Trojan.Win32.Inject!IK

=== BitDefender10Free ===
tttttt.zip : -
tttttt.exe : -
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/08(水) 23:33:17 ]: >>412
コピペミスってた。

=== AntiVir9Free ===
tttttt.zip : TR/Crypt.ZPACK.Gen Trojan
tttttt.exe : TR/Crypt.ZPACK.Gen Trojan
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/08(水) 23:43:04 ]: >>412乙
NIS2009無反応（これいっぱい出回ってる悪寒）
Symantecとa-squaredに提出します
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/08(水) 23:47:45 ]: Rising 2009 21.33.24 (21.24.24.00)
>>290
a\iconvert.pdf: Trojan.Win32.FakeMS.fd
9+1=10/12
>>325
2\0081.exe>>Aspack212r: Trojan.Win32.Nodef.hty
b\l.exe: Trojan.Win32.Nodef.htx
3+2=5/12
>>349
7\run.exe: Trojan.Win32.Ntos.ro
9\ip.exe: Trojan.Win32.Ntos.rp
3+2=5/12
>>394
6\file.exe: Trojan.DL.Win32.Nodef.je
>>412
スルー
提出完了
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/08(水) 23:59:30 ]: >>412
avast! スルー
バスター 2009 スルー
両社に検体提出しました
417 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/09(木) 00:01:43 ]: >>412
VTで無反応のベンダーに一通り提出完了。
418 名前：名無しさん＠お腹いっぱい。 [2009/04/09(木) 00:15:27 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=275
zippass genovirus
dlpass geno

ComboFixのQooboxからそのままとったので、
パス付zipを解凍するとzipファイルが出てきます
そのzipファイルの中に入ってるbxatg.mnnファイルが処理されたファイルです。
419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/09(木) 00:21:11 ]: >>412
McAfee自動返答

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
tttttt.exe |new detection |pws-mmorpg.gen |Trojan |yes
tttttt.exe |new detection |pws-mmorpg.gen |Trojan |yes
420 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/09(木) 00:25:01 ]: >>418

ttp://www.virustotal.com/analisis/c31122dc09ff30442cd38cefc0efba74
ttp://www.virustotal.com/analisis/daf218dde2fe00a774fb5f5ab5a8b121
421 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/04/09(木) 00:31:59 ]: >>418乙
Symantecとa-squaredに提出しました

[ 続きを読む ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef