[表示 : 全て 最新50 1-99 101- 201- 301- 401- 501- 601- 701- 801- 901- 2chのread.cgiへ]
Update time : 08/05 13:05 / Filesize : 500 KB / Number-of Response : 922
[このスレッドの書き込みを削除する]
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧] [類似スレッド一覧]

↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

【鑑定目的禁止】検出可否報告スレ12

1 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 19:03:46 ]
@はじめに

各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うpろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

前スレ
【鑑定目的禁止】検出可否報告スレ11
pc11.2ch.net/test/read.cgi/sec/1242606390/


●セキュリティ板専用アプロダ推奨↓
tane.sakuratan.com/
・ダウンロードパスワード、解凍パスワードは、できれば、"infected"か "virus"推奨

●検体提出先まとめWiki (参考)
rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先(Webフォーム、メールアドレス)、検体提出方法、
推奨される文例、検体提出時の注意事項が掲載されています。



2 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 19:04:31 ]
A議論や意見のまとめ

・圧縮ファイルと検出数
 exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。

・DOSウイルス禁止
 大昔のウイルスを集めてきても無意味なことがあります。

・パスなしZIPをパス有りLZH(またはRAR)で
 安全性と利便性のため、上記の手法を推奨します。

・淡々とやれ淡々と!
 淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。

・ブラクラや危険サイトのURL直リン厳禁
 ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
 怪しいサイトの安全性を鑑定するサイトではありません!

・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
 んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 という意見もあり。

・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、
 提出していない旨記載。(ベンダーに多重送付を避けるため)

・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。

・スレ違いでもめる(2スレ目以降)

・あらしはスルー。ソフトの優劣の議論は別スレで!!(下記スレなど)

一番いいセキュリティソフトはなんだ!!Part66
pc11.2ch.net/test/read.cgi/sec/1245073407/

3 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 19:05:49 ]
【重要】
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
 割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。

※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら
 貢献することを目的としているスレです。
 検体の悪用・不正利用は厳禁願います。

●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。

●検体確認は自己責任でお願いします。感染しても責任は一切持ちません!
(鑑定スレではないので、無害と判定されたファイルを実行して感染しても責任は一切持ちません!)

※◆W32/Vael.oは信頼できるコテさんです。

★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。

・VIRUSTOTAL (略称:VT)
www.virustotal.com/jp/

・VirScan
www.virscan.org/

・Jotti
virusscan.jotti.org/

※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。(例:VT上のカスペ7.0.0.125、最新版2009など)

4 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 19:07:45 ]
★各ベンダーへの提出先 (順不同)
・ベンダーにより、Webフォームでの提出と、eメールでの提出などがある。

・ eメールアドレスは、☆→@に読み替えてください。
圧縮パスワードは"infected"推奨.'(特にMcAfee, BitDefender, ESET).。このパスワードで圧縮して添付

>>1の検体提出先まとめWiki も参照してください。
rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8

●シマンテック (ノートン) [前スレ18]
・Symantec Security Response 〔Upload a suspected infected file:疑わしいファイルの提出〕:新しい提出先。こちらを推奨。
ttps://submit.symantec.com/websubmit/retail.cgi
*ファイルやtxtメモや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕 が提出条件
*裏技:シマへは圧縮フォルダ×2回(圧縮形式不問)で実はツメホーダイだが、対応が確実に遅くなるので非推奨

●ウイルスバスター(トレンドマイクロ)
ttp://inet.trendmicro.co.jp/esolution/supform.asp
バスターユーザー以外は
ttp://www.trendmicro.com/jp/security/virushunter.htm(該当ページ消滅/次スレでは削除?)
ttp://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7

●マカフィー (英語の方が対応が早いかも)
ttp://www.nai.com/japan/security/contactavert.asp (日本語)
ttp://vil.nai.com/vil/submit-sample.aspx (英語)
ttps://www.webimmune.net/ (要登録・英語)
メール:virus_research☆avertlabs.com

●ESET NOD32アンチウイルス
ttp://training.eset.com/kb/index.php?option=com_kb&Itemid=29&page=articles&articleid=141
e-mail:samples☆eset.com


5 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 19:08:38 ]
●Kaspersky(カスペルスキー)
ttp://www.kaspersky.co.jp/
一番下の「新しいウイルスをお知らせ下さい」
e-mail: newvirus☆kaspersky.com

●Avira AntiVir
ttp://www.avira.com/en/support/submit_suspicious_files.html
e-mail:virus_malware☆avira.com

●Rising(ウイルスキラー)[前スレ655,656]
(1) ttp://up.rising.com.cn/webmail/uploadnew.htm
(2) ttp://sample.rising-global.com/webmail/upload_en.htm (英語版)
(3) ttp://mailcenter.rising.com.cn/filecheck/Default.aspx
※(3)は、可疑文件上?=怪しいファイルの報告.??文件上?=誤検知ファイルの報告,圧縮せずに提出、容量制限不明、ブラウザはクッキー保存設定

●Microsoft(マイクロソフト)
ttp://www.microsoft.com/security/portal/submit.aspx
onecare☆submit.microsoft.com
submit_virus☆research.sybari.com
「1fileづつ」で「10megabytes」までの制限だが、パスワード圧縮してやることで「1fileづつ」の方は制限をクリアできます.[前スレ534]

●Dr.WEB
ttp://drweb.jp/support/virus_sample.html
vms☆drweb.com または vms☆drweb.jp
パスワードはvirus固定

●F-Secure (エフセキュア)
ttp://www.f-secure.co.jp/support/samples/
samples☆f-secure.co.jp


6 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 19:09:24 ]
●AVG
ttp://www.grisoft.com/jp.faq.num-771#faq_771
virus☆avg.com

●Ewido (AVG;Anti ;Spyware)
ttp://www.ewido.net/en/malware/(→AVGに変更。次スレでは削除)

●avast!
ttp://www.avast.com/jpn/technical_support.html
virus☆avast.com

●ソフォス(Sophos)
ttp://www.sophos.co.jp/support/queries/#sample
ps://secure.sophos.co.jp/support/samples
ttp://www.sophos.com/support/samples/
ユーザープロダクトキーを持っていなくても、倦怠受付はするが、返答は帰ってこないようだ。[前スレ534,542,549]

●キングソフト・アンチウィルス (Kingsoft)
ttp://www.kingsoft.jp/is/kentai.html
kentai2☆kingsoft.jp

●バイロボット(hauri、ViRobot)
ttp://www.hauri.net/support/support/virus_reg.html?menu=QTAy

●ウイルスドクター (メールの場合、本国(e-mail 2)の方が速いかも)
ttp://www.virusdoctor.jp/virus/
e-mail 1:labo☆virusdoctor.jp
e-mail 2:virus☆jiangmin.com

●eTrust
ttp://www.caj.co.jp/support/csp/free_policy/virus.htm
virus☆caj.co.jp

7 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 19:10:18 ]
●F-PROT; (フォームよりe-mail推奨)
ttp://www.f-prot.com/virusinfo/submission_form.html
e-mail:viruslab☆f-prot.com
F-port宛メールはエンコード後サイズで10,240,000Byte迄

●a2 (a-squared)
ttp://www.emsisoft.jp/EN/support/submit/
e-mail:submit☆emsisoft.com


●ソースネクスト ウイルスセキュリティZERO (K7Computing)
ttp://k7computing.com/Support/newvirus.html
k7viruslab☆k7computing.com

●Panda
ベンダーに問い合わせた結果、下記のアドレスを指示されました
virussamples☆pandasecurity.com

●ArcaBit
ttp://www.arcabit.com/send.html
virus☆arcabit.com

●Proland Software
ttp://www.pspl.com/support/samplesubmit.htm
virsample☆pspl.com?subject=Virus Sample
(メールは、固定タイトルでないと弾かれる模様)

●ClamAV
ttp://cgi.clamav.net/sendvirus.cgi
パスワードはvirus固定。3145728 bytes未満のファイルで。



8 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 19:11:30 ]
●Sunbelt
ttp://research.sunbelt-software.com/software_submission.aspx
malware-cruncher☆sunbelt-software.com

●Malwarebytes
ttp://uploads.malwarebytes.org/

●Lavasoft
ttp://upload.lavasoft.com/upload/submit_file.php

●NictaTech Software
ttp://www.nictasoft.com/new-virus/
newvirus☆nictasoft.com

●VirusBuster (※トレンドマイクロ社のウイルスバスターではない。)
ttp://www.virusbuster.hu/en/support/contact/redirect_virus
virus☆vbuster.hu

●ウイルスチェイサー (※ Dr.Webエンジンのため、>>5のDr.Webの窓口に直接送ったほうが良い。)
ttp://www.viruschaser.jp/support_aft.html#q2

●Norman(未圧縮1ファイルづつしか投稿できない)
 www.norman.com/security_center/security_tools/submit_file/en
 (↓誤検知報告:まとめて報告可能)
 www.norman.com/support/fp/en


●BitDefender [前スレ227]
送付先2:
e-mail:virus_submission☆bitdefender.com(2MBまで?)
ttp://forum.bitdefender.com/index.php?showtopic=3066


9 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 19:12:30 ]
●eSafe
ttp://www.aladdin.com/home/csrt/vsubmit.asp(→該当ページ削除/誰か補足を)
virus☆aladdin.co.jp

●アンラボ(AhnLab V3)
・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答(詳細は>>1のWiki参照)
 Ahnlab Customer(AhnLab-V3) メール:ahnlabcustomer☆ahnlab.co.jp

[前スレ762]
●BullGuard Internet Security <support☆bullguard.com>

●Central Command(Vexira Antivirus) <virus☆centralcommand.com>

●Intego(VirusBarrier) <sample☆virusbarrier.com>

●Mischel Internet Security(TrojanHunter) <support☆trojanhunter.com>

●Moosoft(The Cleaner) <trojans☆moosoft.com>

●NictaTech Software(Digital Patrol) <newvirus☆nictasoft.com>

●Simply Super Software(Trojan Remover) <submit☆simplysup.com>

●SRN Micro(Solo Antivirus) <support☆srnmicro.com>

●ATShield Ltd.(Anti-Trojan Shield)  (Webフォーム、3MBまで)
ttp://www.atshield.com/?r=support&pr=submit

●Cybersoft(VFind) : virus☆cyber.com [前スレ730

10 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 19:14:00 ]

検体提出先を一部変更、追記しました。
テンプレ(>>1->>9)、検体提出先(>>4->>9)の変更・追加あれば、>>1にレスする形で指摘よろ。
---------------[テンプレここまで]--------------------------


確認よろしく。


●注記 (テンプレに入れるべき?)
・本文中、検体入手元で■で書いているのは、"."(半角ドット)に読み替え。

・前スレでの検体は、前スレ埋まるまで、なるべく前スレでの報告よろしく。

・GENOウイルス多し。回避策は、以下。
GENOウイルススレ ★22
pc11.2ch.net/test/read.cgi/sec/1245640557/

・・初心者のベンダーの検体提出は推奨しません。(感染リスクあるため)
・また、VT注記通り、すべてのベンダーで検出しないからといって、安全性を100%保証するわけではありません。

・オートラン無効推奨。設定方法は、
「外部記憶メディアのセキュリティ対策を再確認しよう!」 ― USB メモリ、便利のウラに落とし穴 ―
ttp://www.ipa.go.jp/security/txt/2008/12outline.html
「 USB メモリのセキュリティ対策を意識していますか? 」 ― USB メモリの安全な使い方を知ろう ―
ttp://www.ipa.go.jp/security/txt/2009/05outline.html




11 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 19:17:36 ]
AV-Test.org - Update Frequency of Anti-Virus Software (1週間の定義更新頻度)
ttp://www.av-test.org/index.php?menue=7&lang=0

12 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 20:37:37 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=428
infected

前スレが埋まりそうなので、こっちに投下。
検体提出はAntiVirとAntinyLabsにftp経由で行なっただけです。(現在提出準備中)

■検体入手元
MarwareDatabase( ttp://malwaredatabase.net/blog/ )から拾ったもの。
アドレスは…↓の名称からお察し頂けるような気がするので省略。

■検出名称一覧(AntiVirでスルーしたものは他社名称で補完)

1fast-antimalware-scanner.com/1fast-antimalware-scanner.com.htm : Trojan:HTML/FakeXPA(Microsoft)
1fast-antimalware-scanner.com/Setup-6a75f4c_02009-1320.exe : - Not Detected - (Fake AV)
207.159.133.42/11630.exe : TR/Wimpixo.50688A.1 Trojan(AntiVir)
207.159.133.42/wow.exe : TR/Dropper.Gen Trojan(AntiVir)
74.52.164.210/bb090621.exe : Trojan.Win32.Koblu(Ikarus) , Trj/Refpron.N(Panda)
74.52.164.210/bb090621/sopidkc.exe : Backdoor:Win32/Refpron.gen!C(Microsoft)
74.52.164.210/bb090621/tpsaxyd.exe : Backdoor:Win32/Refpron.gen!C(Microsoft)
74.52.164.210/bb090621/wiawow32.sys : Trojan.ATRAPS(Ikarus)
74.52.164.210/sopidkc.exe : TR/Delf.fdg Trojan(AntiVir)
aveyco.cn/installer_70321.exe : TR/Dldr.FraudLoad.evw Trojan(AntiVir)
freett.com/hb.exe : TR/Dldr.Delphi.Gen Trojan(AntiVir)
guardsecurity.info/Setup_build6_102.exe : Trojan.Win32.FraudPack.pfc(Kaspersky)
ina6iq.com/file.exe : TR/Crypt.XPACK.Gen2 Trojan(AntiVir)
nextantivirusplus.com/AntivirusPlus.exe : SPR/FakeAV.1371136 program(AntiVir)
www2.porntube-vip.com/FlashPlayerH264Ext.exe : TR/Downloader.Gen Trojan(AntiVir)

13 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 20:39:39 ]
>テンプレ

>>10
>・GENOウイルス多し。回避策は、以下。
これ、いらないでしょ。

>・オートラン無効推奨。設定方法は、
検体提出するような人にはこの辺もいらないと思う。

14 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 20:45:45 ]
>>13
前スレ 765 あたりに文句言っとかないから。

15 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 20:45:45 ]
>>12
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

16 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 21:07:52 ]
>>12
一通り提出完了

未提出
Norman、Zoner、Lavasoft(なぜか繋がらない。tracertでタイムアウトしてるので上のどっかで切れてる模様)

提出済みなので渡しからは提出せず
Symantec、Panda
(AvastとBitDefenderには提出しました)

17 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 21:19:50 ]
>>12
まかふぃー

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
11630.exe |new detection |generic.dx!te |Trojan |yes
1fast-antimalware-sc|inconclusive | | |no
antivirusplus.exe |current detection |fakealert-df |Trojan |no
bb090621.exe |heuristic detection |beav-shellcode |Application |no
file.exe |inconclusive | | |no
flashplayerh264ext.e|current detection |fakealert-bd |Trojan |no
hb.exe |current detection |generic downloader.x |Trojan |no
installer_70321.exe |current detection |fakealert-df |Trojan |no
setup-6a75f4c_02009-|inconclusive | | |no
setup_build6_102.exe|inconclusive | | |no
sopidkc.exe |current detection |refpron.gen.c |Trojan |no
sopidkc.exe |heuristic detection |beav-shellcode |Application |no
tpsaxyd.exe |heuristic detection |beav-shellcode |Application |no
wiawow32.sys |inconclusive | | |no
wow.exe |new detection |generic pws.y!dp |Trojan |yes

18 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/03(金) 21:28:41 ]
>>12
d

カスペ2010 20:07
11/15 (スルー4:1fastフォルダ 2 , 11630.exe, AntiVirusPlus.exe)

Trojan-GameThief.Win32.WOW.qlz   207.159.133.42/wow.exe
Trojan.Win32.Koblu.re   74.52.164.210/bb090621.exe/sopidkc.exe
virus HEUR:Trojan.Win32.Generic   74.52.164.210/bb090621.exe
Trojan.Win32.Koblu.re   74.52.164.210/bb090621/sopidkc.exe
virus HEUR:Trojan.Win32.Generic   74.52.164.210/bb090621/tpsaxyd.exe
Trojan.Win32.Delf.mqh   74.52.164.210/sopidkc.exe
Trojan-Downloader.Win32.FraudLoad.evw   aveyco.cn/installer_70321.exe
Trojan-Downloader.Win32.Losabel.avp   freett.com/hb.exe
Trojan.Win32.FraudPack.pfc   guardsecurity.info/Setup_build6_102.exe
Trojan-Spy.Win32.Agent.awmv   ina6iq.com/file.exe
Trojan-Downloader.Win32.Obfuscated.ijz   www2.porntube-vip.com/FlashPlayerH264Ext.exe


検体提出します。

19 名前:18 mailto:sage [2009/07/04(土) 00:31:17 ]
カスペからの返事
>>12(>>18)  tane0428
11+3=14/15、残1(11630.exe)

sopidkc.exe - Trojan.Win32.Delf.mqh (検出) (←HEUR:Trojan.Win32.Generic)
tpsaxyd.exe - Trojan-Downloader.Win32.DlfBfkg.em (検出) (←HEUR:Trojan.Win32.Generic)

AntiVirusPro.exe - not-a-virus:FraudTool.Win32.AntivirusPlus.jm
1fast-antimalware-scanner.com.htm - Trojan-Downloader.JS.FraudLoad.a
Setup-6a75f4c_02009-1320.exe - Trojan.Win32.FraudPack.pfq

New malicious software was found in these files.

20 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 02:28:16 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=429
 DL virus/解凍 virus

【中身】 7個入っています。MDLの2009/07/02分で、スレ既出を除いた分。
ancom1.ru\install.exe
 ttp://www.virustotal.com/jp/analisis/06eb414ee213ce82eac0088b659fe81ab68820f4e1bf2d630733fd3b08ef8c8a-1246641047 (13/41)
free-full.com\Tupac.-.All.Eyez.On.Me.(1996).exe
 ttp://www.virustotal.com/jp/analisis/ec9e80bb65d1b37fd13249321cf7f102b6a0a2e43cb423661a575d6e19406694-1246639217 (7/41)
vikd3jj-1.com\index.htm
 ttp://www.virustotal.com/jp/analisis/b4d0e295545678502aa374b4bed32af8bc41ce1ab3fe4043a8fc2b53a25020a2-1246639773 (7/40)
vikd3jj-1.com\goodCiceroOf.pdf
 ttp://www.virustotal.com/jp/analisis/02d10db60cac02ac720548844cb358193d7b64fa4859b0736066c4731873c94a-1246640159 (12/41)
vikd3jj-1.com\lookedGoingWhich.swf
 ttp://www.virustotal.com/jp/analisis/5880ededee936ae618be92e47b6fe72d129069026f0d45b7d86478a8deaa413c-1246640304 (8/41)
vikd3jj-1.com\update.exe
 ttp://www.virustotal.com/jp/analisis/b7c2729947c7363799532931f44edc323b43913ce64926db09cf82a4170c1123-1246640493 (17/41)
www.toncom.net\indexn.exe
 ttp://www.virustotal.com/jp/analisis/c0f97e2a3dccff20fd276086821f67ebb7326715fb8040eb51f8f3457cd0620d-1246640775 (22/41)



21 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 02:40:58 ]
>>20
AVIRA9 7.01.04.179

●ancom1.ru\install.exe - TR/Dropper.Gen
●free-full.com\Tupac.-.All.Eyez.On.Me.(1996).exe - TR/Dropper.Gen
 vikd3jj-1.com\index.htm - (UNDER ANALYSIS)
●vikd3jj-1.com\goodCiceroOf.pdf - HTML/Shellcode.Gen
 vikd3jj-1.com\lookedGoingWhich.swf - (UNDER ANALYSIS)
●vikd3jj-1.com\update.exe - TR/Dldr.Agent.xqa
●www.toncom.net\indexn.exe - TR/Banker.cnvu

黒5,未検出2。未検出分 提出済み

-----
Kaspersky 2009/07/04 1:52:00

 ancom1.ru\install.exe
●free-full.com\Tupac.-.All.Eyez.On.Me.(1996).exe
▲vikd3jj-1.com\index.htm - HEUR:Trojan-Downloader.Script.Generic
●vikd3jj-1.com\goodCiceroOf.pdf - Exploit.JS.Pdfka.mr
●vikd3jj-1.com\lookedGoingWhich.swf - Exploit.SWF.Agent.bl
●vikd3jj-1.com\update.exe - Trojan.Win32.Inject.afgz
●www.toncom.net\indexn.exe - Trojan.Win32.Agent.cnvu

黒5,HEUR 1,未検出1。HEURと未検出 提出済み

22 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 02:50:00 ]
>>20さん乙
Symantecとa-squaredとMalwarebytesに提出しました

コンフィッカーオートランが活動中です。。。ご注意を
ttp://h.imagehost.org/0011/2009-7-4.jpg

23 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 03:25:08 ]
Rising 2009 21.45.44 (21.36.44.00)
>>12
207.159.133.42\11630.exe>>upx_c: Dropper.Win32.Undef.zt
207.159.133.42\wow.exe: Trojan.PSW.Win32.WoWar.bhv
74.52.164.210\sopidkc.exe: Trojan.DL.Win32.Undef.ese
freett.com\hb.exe: Worm.Win32.DownLoad.ki
ina6iq.com\file.exe: Trojan.Win32.Obfuscated.frq
5/15
>>20
vikd3jj-1.com\update.exe: Trojan.Win32.Nodef.kjl
free-full.com\2Pac[1].-.All.Eyez.On.Me.45026.exe: Suspicious:Packer.Win32.Agent.aq
1(+1)/7
提出完了(RS2009062300143)

こっちでも一応報告
>>5のRising提出先(1)(3)
RARまたはZIPで圧縮、パスワード付き圧縮・分割圧縮は不可、5MBまで

(2)も多分共通仕様(+Description必須)

24 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 03:26:43 ]
>>20
McAfee (Active Protection 無効)4/7
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
goodciceroof.pdf |inconclusive | | |no
lookedgoingwhich.swf|inconclusive | | |no
update.exe |inconclusive | | |no

25 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 04:15:12 ]
>>23訂正
RS2009062300143→RS2009070400001

>>20、Rising
2Pac[1].-.All.Eyez.On.Me.45026.exe: Trojan.Win32.Generic.51E9C31C
index.htm: 安全文件
他4ファイル: 分析中

26 名前:20 mailto:sage [2009/07/04(土) 08:43:27 ]
>>21
Kaspersky返答
●vikd3jj-1.com\index.htm - HEUR:Trojan-Downloader.Script.Generic → Trojan-Downloader.JS.Agent.egy

27 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 09:49:34 ]
COMODO Internet Security 1538

全スレより
tane423 6/12
tane424 200/200
tane425 33/54
tane426 30/48
tane427 4/7


>>12
12/15

>>20
2/7

未検出分を提出しました

28 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 10:20:10 ]
>>20
繋がらなかった、AntinyLabsとLavasoftと、面倒なんでパスしたNormanとZoner以外は一通り提出。

Aviraは2ファイルスルー

昨晩から、Lavasoftに繋がらない。サーバー落ちてるのかな。

29 名前:18 mailto:sage [2009/07/04(土) 11:24:39 ]
カスペ2010 10:02:00
>>12(>>18,19)  tane0428
11+4=15/15でクローズ

Trojan program Trojan.Win32.Agent2.kuz tane0428\207.159.133.42\11630.exe




30 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 11:36:24 ]
>>20d tane 0429 (>>21,26)
>>21 代理提出d

カスペ2010 10:02
6+1=7/7でクローズ

Trojan.Win32.FraudPack.pfx tane0429.zip/ancom1.ru/install.exe



31 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 13:39:39 ]
検体入手に活用されてた、Marware List が This Account Has Been Suspended になってました。
他のマルウェアアンテナみたいなとこ探さないとなぁ。

32 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 14:00:19 ]
>>31さん
それだと『マーウェア』です。。。汁

33 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 14:22:54 ]
カスペからの返事
41/48、白5、残2 (totalsecurityフォルダの2ファイル-install.exe, scan.php)

前スレ772 (779,784,787) tane0426
datオーバーで書けなかったので…。

"id.php" , "static.std" and "tupac-all-eyez-on-me-1996.html "
No malicious software was found in the attached file.

>>31
乙です。

34 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 14:32:58 ]
●前スレ、最近1週間にうpされた検体(dat落ちして見れない人用)念のため。レス用。

699 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 06:13:19
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=414
infected

700 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 06:55:57
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=415
infected

705 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 10:32:46
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=416
infected

706 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 23:03:06
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=417
infected

713 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/28(日) 15:50:43
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=418
infected

723 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/29(月) 22:52:53
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=419
infected

732 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/30(火) 13:31:27
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=420
infected

35 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 14:35:36 ]
742 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/01(水) 01:41:37
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=421
infected

757 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/02(木) 01:47:57
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=422
infected
※リネージュ資料室の更新リスト+α

760 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/02(木) 08:37:34
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=423
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=424
infected
下は、ZIPの中身は7zのパスなしアーカイブに圧縮してあります。

769 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/03(金) 10:52:23
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=425
infected

772 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/03(金) 16:39:15
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=426
infected


778 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/03(金) 20:05:01
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=427
virus


独立して一検体、一レスにした方がレスしやすいとも思ったけれど、参考用なので、まとめて。

36 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 17:38:57 ]
>>35

前スレ742(746-747,753,756,764,768) tane0421
カスペからの返事
80+(7+1)=88/96, 白5 残3 (88.198.234.133フォルダ3files)

bidch.js_   -   Trojan-Downloader.JS.FraudLoad.b

New malicious software was found in this file.

xindex.php,   xplays.php  -  No malicious code were found in these files.

37 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 22:39:16 ]
723 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/04(土) 18:39:38
Clamwinの常駐保護付きバージョンに、moon secure てのがあるじゃん。
これ自身がウイルス感染してる、って出たんだけど、どうよ。
問題のファイルは2つ。
moonsysh.dll
moontray.exe

結果
www.virustotal.com/jp/analisis/082117afbea358be3c4c497632552dc9a536ac26696ae8495904db923a0f7ba5-1245999429
www.virustotal.com/jp/analisis/85d128382413b86d0b3ce6cce0d9ad5c70b5d872c57250ef67595b1e50d442cb-1245372772

今まで使ってたんだけど、心配になった。

38 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 22:39:48 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=430
infected

日替わりscr

VirusTotalでスルーしてるベンダーには全て提出済み。
他のVTに載ってないベンダーも、Norman、Zoner、Lavasoftを除いて全て提出済み。

AntiVir 全検出

39 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 22:41:12 ]
>>37

>>3
|【重要】
|●ここは鑑定スレではありません!!!!!

|※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

スルーします。

40 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 22:42:07 ]
>>38
マカフィー自動返答。全部ヒューリスティックで検知。

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
online.zip |heuristic detection |generic backdoor!hv.k |Trojan |no
online.scr |heuristic detection |generic backdoor!hv.k |Trojan |no
xxxcxq.exe |heuristic detection |generic backdoor!hv.k |Trojan |no




41 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 23:50:52 ]
>>38
PandaGlobalProtection2010

Virus detected: Trj/CI.A On-demand antivirus scan 2009/07/04 11:46... Deleted 張佑赫.exe
Virus detected: Trj/CI.A On-demand antivirus scan 2009/07/04 11:46... Notified online.zip[online.scr][Ae????.exe]
Suspicious file On-demand antivirus scan 2009/07/04 11:46... Notified online.scr[Ae????.exe]


42 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 23:56:28 ]
>>38
GDATAInternetSecurity2010(BitDefender)

Object: (RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr=>(RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.zip
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: 張佑赫.exe
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)

43 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/04(土) 23:59:22 ]
>>38
GDATAInternetSecurity2010(avast!)

Object: 張佑赫.exe
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj] (Engine B)
Object: online.scr
Status: Virus detected
Virus: Win32:Trojan-gen {Other} (Engine B)
Object: online.scr
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj], Win32:Trojan-gen {Other} (Engine B)
Object: online.scr\張佑赫.exe
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj] (Engine B)
Object: online.scr
Status: Virus detected
Virus: Win32:Trojan-gen {Other} (Engine B)
Object: online.zip
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj], Win32:Trojan-gen {Other} (Engine B)

ちなみにNortonはオールスルーでした

44 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 00:12:13 ]
34 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/07/04(土) 23:47:28
Bavast!(無料のアンチウイルスソフト)で確認
  www.btfree.info/file.php?action-get.html
  Code by: 790e3cc3feabad9


35 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/04(土) 23:56:39
の3はコード入れてダウンロードすると
avastのプロフェッショナルバージョンのkeygenのRARファイルと
表示されるけど無料のavastでチェックしたらマルウェアと診断された・・

Virustotalで解析しても今日現在だと半分以上が黒と診断してる

45 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 00:27:32 ]
>>44
www.virustotal.com/analisis/982f2a242c478a28427b09cdfdabe6992263c59b86334b1825ba47ebd621dce3-1246721355
Kaspersky・・・

46 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 01:21:40 ]
>>44
6/23に各ベンダーに提出済み…だけど、キージェネ系はこのスレではアウトなんだな。

>>45
カスペ返答(出した当日に返答来てます)
keygen.exe
No malicious code was found in this file.

47 名前:20 mailto:sage [2009/07/05(日) 13:55:05 ]
>>44-46
VTの結果が偽keygenなので、私の方でもKasperskyに提出してみました。
 keygen.exe - Trojan.Win32.Agent.cooa
 New malicious software was found in the attached file.

前スレでもありましたが、Kasperskyはアナリストの(技量の)差が明らかにあります。
この辺はちょっと注意ですね。


あと、鑑定っぽくなるんでアレですが、仮想PCでそのkeygen.exeを実行した結果、
 ・感染後に作製されるファイルが Trojan-PSW.Win32.Kates.c
 ・レジストリのAUXにウイルスの登録
 ・sqlsodbc.chmの改変発生

なんで、これgumblarの一種ですね。 前回の騒ぎの時に確保しそこねたファイルか、再活動をはじめたのかは不明ですが...

48 名前:20 mailto:sage [2009/07/05(日) 14:11:45 ]
>>47
ちなみに現状。
 ttp://www.virustotal.com/jp/analisis/8ff10c2163de8d0c49935ab8683a4c28b33f9237f43117e71f5ec566b1e00e92-1246770656 (30/41)

むー、Kasperskyは>46さんから受け取ったアナリストの責任が大きいな。 他社からかなり遅れてしまった。

49 名前:20 mailto:sage [2009/07/05(日) 14:24:37 ]
>>44-48 一応、ロダに上げておきます。
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=431
 DL virus/解凍 virus

【中身】 >44のファイル。2個入っています。
keygenexe
 >48
ohqhdr.gcm
 ttp://www.virustotal.com/jp/analisis/2c6883f2b89060417175bd1b094c056956ab610c9233155ca15d8786a517c0a9-1246771559 (26/41)

AVIRAは両方検出するんで何もしてません。つか、これ新種じゃないし。 Kasperskyは >47の通りです。


50 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 14:40:11 ]
>>47
GENO系スレにこそっと貼られてたのはそういう意味だったか。

Ilya Tols****inさん、次からは気をつけてねー (-ノ-)/Ωチーン
(プライバシー保護の為、アナリスト名にはマスクをかけてあります)



51 名前:20 mailto:sage [2009/07/05(日) 14:41:02 ]
>>38
Kaspersky2009 2009/07/05 14:10:00
 online.scr - Backdoor.Win32.PcClient.asik
 online.zip - Backdoor.Win32.PcClient.asik
 張佑赫.exe - Backdoor.Win32.PcClient.asik
黒3/3 なので、特に何もしません。

52 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 15:53:11 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=432
infected

リネージュ資料室の更新リストより。日替わりのscr。AntiVirは全検出。

LavasoftとVTで全検出しているベンダー以外は、NormanやZonerも含め、
Wikiのまとめにある各社全てに提出済みです。(カスペも出してますので再提出不要です)

53 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 16:02:54 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=433
infected

■検体入手元■
Malware Database 07/04のもの。FakeAVとFakeCodec。

LavasoftとVTで全検出しているベンダー以外は、NormanやZonerも含め、
Wikiのまとめにある各社全てに提出済みです。
(カスペはVTの結果で全検出だったので提出せず)

54 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 16:04:00 ]
■>53の各社検出名■

AntiVirは1ファイルのみ検知
avyodu.cn/installer_70126.exe : TR/Dldr.FraudLoad.evw Trojan

Symantec返答

filename: avyodu.cn.htm
filename: avyciso.cn.htm
  result: This file is detected as Trojan.Fakeavalert.

filename: installer_70126.exe
  result: This file is detected as AntiVirus2008.

filename: streamviewer.40014.exe
filename: keygen.Stellar.Phoenix.File.Recovery..3.0.0.1.45088.exe
  result: See the developer notes

まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
avyciso.cn.htm |current detection |generic fakealert!htm |Trojan |no
avyodu.cn.htm |current detection |generic fakealert!htm |Trojan |no
installer_70126.exe |current detection |fakealert-df |Trojan |no
keygen.stellar.phoen|inconclusive | | |no
streamviewer.40014.e|inconclusive | | |no

55 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 16:51:48 ]
>>52
PandaGlobalProtection2010

Virus detected: Trj/CI.A
www.shaimokale.com\張佑赫.exe
www.shaimokale.com\online.zip[online.scr][Ae????.exe]
www.shaimokale.com\online.zip[online.scr]
www.shaimokale.com\online.sc

それ以外はSuspicious fileファイルとして全検出
※今までの検出報告形式だと見づらいと思ったので趣向変えました

56 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 16:54:35 ]
>>53
PandaGlobalProtection2010

Suspicious file
greatexe.com\streamviewer.40014.exe
keygen.Stellar.Phoenix.File.Recovery..3.0.0.1.45088.exe

Virus detected: Trj/CI.A
avyodu.cn\installer_70126.exe

57 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 17:02:51 ]
>>52
GDATAInternetSecurity2010(avast!+BitDefender)

Object: 1188.exe
Status: Virus detected
Virus: Win32:Adware-gen [Adw] (Engine B)
Object:www.muswou.com\play.scr
Status: Virus detected
Virus: Win32:Trojan-gen {Other} (Engine B)
Object: play.scr
Status: File moved to quarantine
Virus: Win32:Adware-gen [Adw], Win32:Trojan-gen {Other} (Engine B)
Object: (RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr=>(RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.zip
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
Object: 張佑赫.exe
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)

58 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 17:04:56 ]
>>53
GDATAInternetSecurity2010(avast!+BitDefender)

Object: avyodu.cn.htm
Status: File moved to quarantine
Virus: JS:FakeAV-AH [Trj] (Engine B)
Object: avyciso.cn.htm
Status: File moved to quarantine
Virus: JS:FakeAV-AH [Trj] (Engine B)
Object: installer_70126.exe
Status: File moved to quarantine
Virus: Gen:Trojan.Heur.8202FDA8D9 (Engine A)

59 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 17:09:47 ]
>>52
NortonInternetSecurity2009

Trojan Horse:www.muswou.com\play.scr

60 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 17:13:33 ]
>>53
NortonInternetSecurity2009

Trojan.Fakeavalert:avyciso.cn.htm、avyodu.cn.htm
AntiVirus2008:installer_70126.exe



61 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 18:31:45 ]
カスペ 2010 9.0.0.451CF1ベータ 16:34
CF1テスト中のため、参加遅れた。orz

>>38 d tane0430
>>51の通り,3/3で閉鎖


>>49 d tane0431
1/2 、ただし、アナリスト返事で1+1=2/2 (>>44-48)
Trojan program Trojan-PSW.Win32.Kates.cohqhdr.gcm

>>52 dtane0432
3/5 (www.muswou.com\1188.exe, play.scrスルー)
Backdoor.Win32.PcClient.asjr  www.shaimokale.com\online.scr   \online.zip  \online.zip 張佑赫.exe

>>53 d tane 0433
5/5
Trojan-Downloader.HTML.FraudLoad.a  avyodu.cn\avyciso.cn.htm、 avyodu.cn.htm
Trojan-Downloader.Win32.FraudLoad.evw   avyodu.cn\installer_70126.exe
Trojan-Downloader.Win32.CodecPack.ila   greatexe.com\keygen.Stellar.Phoenix.*45088.exe,   streamviewer.40014.exe

代理提出の方d

62 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 21:08:13 ]
>>34
前スレ705 tane0416 (711,753)

カスペ再提出

5+(1+1)=7/57、白1、残49(porn,scanallフォルダのPHPとjs)

free-tube-orgasm.biz\index.php - Trojan-Downloader.Win32.FraudLoad.ewf

New malicious software was found in this file.

websystemsec.info\websystemsec.info.htm - No malicious code was found in this file.

63 名前:20 mailto:sage [2009/07/05(日) 21:16:23 ]
>>44-49
Kaspersky2009 2009/07/05 20:52:00で検出可能になっています。一応報告。

64 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 21:50:25 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=434
infected

■ 検体入手元 ■

Malware Database 7/5分より

p://spacefunk■cn/go■php?id=2012&key=b6a0fad62&p=1
p://fast-antimalware-scannerv2■com/1/?id=2012&query=09689f146&q=%3DzQx3zj3NkQNMI%3DN
p://fast-antimalware-scannerv2■com/download/Setup(ランダム)■exe

どうみても、落とすページは Fake AV なんですが、落ちてくるexeはVTでは検出なし。

何度やってもファイル名は違うものの同じバイナリが落ちてくるので配布元がミスっているのか、
新種なので検知しないのか、それともIP見て無害なのを流されたか(それはないか…)

Setup-a3b7f_02012.exe(0/41)
ttp://www.virustotal.com/analisis/a289c049c90a0bcd862926c8f1255275601784cc735e71ed723535ae5ad158d9-1246797993

各社への提出はこれからやります。

65 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 22:03:01 ]
>>53
Nortonは残りのファイルはDownloaderとして全検出完了

66 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 22:06:49 ]
>>64
Norton2009、Panda2010、GDATA2010、Avira全部スルーでした

検体提出してくれるようなので私は何もしません

67 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 22:50:39 ]
>>64
一応、各社に提出完了。配布準備中だったのか…exeは無害なんかねぇ?

F-Secure SAS の結果。
fast-antimalware-scannerv2.com.htmは投稿直後に疑惑ステータス。他はクリーン。

Norman
Setup-a3b7f_02012.exe : Not detected by Sandbox (Signature: NO_VIRUS)

Rising
2. Filename:Setup-a3b7f_02012.exe
No malware.

68 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 23:06:38 ]
>>64
Nortonが早速一個検出してくれました

XPAntivirus:Setup-a3b7f_02012.exe

69 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/05(日) 23:23:07 ]
>>64 d
カスペ2010 22:02
1/6 (DownloadのSetup-*a3f*.exeと、imgの4つの jsファイルはスルー)
Trojan-Downloader.JS.FraudLoad.a   \fast-antimalware-scannerv2.com\fast-antimalware-scannerv2.com.htm

カスペからの返事

>>35 tane0421
前スレ742(746-747,753,756,764,768、本スレ>>36) (88.198.234.133)
80+10=90/91/96、  白5で本件クローズ

index-go.htm_ - Trojan-Downloader.JS.Agent.ehc,
new.exe_ - Trojan-Dropper.Win32.Agent.avfn

search.php - No malicious code was found in this file.

>>34 tane 0419
前スレ723 (727,739,741,753,764)
43+(5+1)=49/56  ,白6,  回答待ち1 yes.txt)

w ww.free-celeb-videos.net.htm - - Trojan-Downloader.HTML.Agent.pl

70 名前:20 mailto:sage [2009/07/05(日) 23:40:51 ]
>>64,67 乙です。
一通り提出して頂いているようなので、exeだけ単独で送ってみました。
 Setup-a3b7f_02012.exe - Trojan-Downloader.Win32.FraudLoad.ews
 New malicious software was found in this file.

exe単独は返事早いですね。 ということで、実行ファイルは黒でした。



71 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 00:00:08 ]
>>38
Norton全検出確認(詳細な検出報告できなくてごめんなさい)

72 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 00:03:41 ]
>>52
NortonInternetSecurity2009

Backdoor.Formador:online.zip、online.scr

73 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 00:08:29 ]
前スレ772
NortonInternetSecurity2009

Infostealer:w.exe
Trojan Horse:MusicTupac-*.exe

74 名前:62 mailto:sage [2009/07/06(月) 00:11:55 ]
>>34
前スレ705 tane0416 (711,753, >>62)
カスペからの返事

5+(1+1)=7/57、白1+4=5、残45(pornフォルダの 45 PHP files)

scanallviruses.comフォルダ
flist.js_, jquery-init.js_, jquery.js_, scanallviruses.com.htm_

No malicious code were found in these files.

75 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 02:45:19 ]
>>44
www.filefactory.com/file/agb602e/n/Avast_Professional_Antivirus_v4_8_1229_Keygen_rar
たぶん、これも亜種

76 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 03:04:42 ]
>>75
VirusTotal(22/40)
www.virustotal.com/analisis/49eb4cb3c408549aeaa3796a1ed07d869c2ee1bc008608aaff62e7b8e03d4229-1241153421

77 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 03:26:45 ]
Kaspersky・・・
avast!(笑)

78 名前:20 mailto:sage [2009/07/06(月) 07:01:36 ]
>>75-77
それは本当のKeygenかもしれんので、要注意。(単なるトロイではなく、Keygen+トロイという可能性)

※ Symantecの所が Hacktool になっているのが危ない。パスワード破りのツール等に分類されると、
  Symantecがこういう検出名を付けることが多い。

今から出張でしばらく不在のため確認できないので、一応注意喚起します。
提出する人はご注意下さい。(特にavastに出す人)

79 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 08:16:18 ]
COMODO Internet Security 1551

>>38
3/3

>>49
1/2

>>52
3/5

>>53
2/5

>>64
1/6
Setup-a3b7f_02012.exeのみ検出

>>75
VirusTotalでは反映されてませんが検出します
Heur.Packed.Unknown

未検出分を提出しました。


80 名前:1 mailto:sage [2009/07/06(月) 14:18:18 ]
>>3とスレタイ通り

keygenの類を際限なくチェックしていると、ダウン板住民の格好のおとりになる危険がある。

割れ厨がアップローダに無責任にファイルをあげて、自らの手を汚さず、セキュ板住人に安全性をチェックさせていく構図が生まれる。

nyや洒落で流れている写真屋のキージェネのexeなんて、いくらでもあるぞ。

割れ厨を救済する義理も全くないし、厄介事にもかかわりたくないんだが。


うpする人も信頼できる人に特定した方がいいのかな。




81 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 14:19:45 ]
>>76
そのスキャン結果は5月1日のものだけど
今日の結果ではどうなの?
2ヶ月前の結果出されても参考にならないよ

82 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 14:40:44 ]
76ではないが・・・
VirusTotal(25/41)
www.virustotal.com/jp/analisis/a87235792c0e2d7f92bd3084777f23535505f6bdf4a11ab0c02e044a571a6d6a-1246738641

83 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 14:48:16 ]
>>80
提出するしないは各個人の自由かつ自己責任でいいと思う。

>>76
カスペには一応提出
でも、今後は見合わせる予定。




84 名前:82 mailto:sage [2009/07/06(月) 14:48:43 ]
間違えた(汗
VirusTotal(19/41)
ttp://www.virustotal.com/jp/analisis/49eb4cb3c408549aeaa3796a1ed07d869c2ee1bc008608aaff62e7b8e03d4229-1246859338

85 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 14:54:38 ]
>>75
それは本当のavast!(笑)Keygenだな。

86 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 15:00:32 ]
検出数とMD5を比較すると
>>76 22/40 (55.00%)   3e492441557ae98f27f01df4042625a7
>>84 19/41 (46.35%)   3e492441557ae98f27f01df4042625a7

同じファイルの結果だけど2ヵ月後には
a-squared、BitDefender、F-Secure、GData、Normanが白判定に変わって
ClamAV、eSafeが黒判定に変わってるね
Ikarusは白判定で検出のまま変わらず

検出してるところは誤検出の可能性がありそうだね

87 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 17:54:55 ]
ttp://enif.mmobbs.com/test/read.cgi/livero/1242218790/242 から来ました。

Value DomainのWebサイト改竄で外部から仕込まれるJavaScript
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=435
infected

VirusTotal(6/41)
ttp://www.virustotal.com/jp/analisis/198b2afe754085b21a488c4fe1965f82e375d7d0ac7a6e66a9ea2a4fd29c20e8-1246868592

88 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:00:35 ]
>>87
Panda、GDATA2010(=avast!&BitDefender)へ提出完了

89 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:30:44 ]
>>87
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
go.jpg |inconclusive | | |no

90 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/06(月) 18:58:17 ]
>>75
カスペからの返事

a.exe (=keygen.exe) 改名して提出した結果

No malicious code was found in this file
.
>>47がTrojan.Win32."Agent" なので、白黒何も言えない。

>>87d

VT通り、スルー 0/1
提出します。





91 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 07:22:28 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=436
virus
jsとhtmはmsvidctl.dllの脆弱性のスクリプト。
ttp://www.microsoft.com/japan/technet/security/advisory/972890.mspx
exeはオマケみたいなもん。

92 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 08:57:33 ]
>>91
Syamantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

exeはおまけといってるものの一応Symantecから自動返答

filename: trj1_1.exe
machine: Machine
result: See the developer notes

filename: trj1.exe
machine: Machine
result: See the developer notes


93 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 09:33:17 ]
>>91
AviraPremiumSecuritySuite

msvideo1.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo1.js [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo2.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo2.js [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
nspk1.exe [DETECTION] Is the TR/Crypt.NSPM.Gen Trojan
trj1.exe
[0] Archive type: RSRC
[DETECTION] Is the TR/Spy.Gen Trojan
trj1_1.exe
[0] Archive type: RSRC
[DETECTION] Is the TR/Spy.Gen Trojan

94 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 09:37:30 ]
>>91
NortonInternetSecurity2009

Downloader.Fostrem:msvideo1.htm、msvideo1.js、msvideo2.htm、msvideo2.js
Hacktool:nspk1.exe

95 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 09:40:05 ]
>>91
PandaGlobalProtection2010

Virus detected: Trj/CI.A:nspk1.exe
Suspicious file:trj1.exe

96 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 09:42:36 ]
>>91
GDATAInternetSecurity2010

nspk1.exe
Virus: Trojan.Dropper.RHC (Engine A)
※avast!側でも検出可能

97 名前:90 mailto:sage [2009/07/07(火) 11:03:40 ]
カスペ2010 10:35

>>91d tane0436
3/7 検体提出します。
Trojan program Exploit.JS.DirektShow.b   tane0436\msvideo1.js
Trojan program Exploit.JS.DirektShow.b   tane0436\msvideo2.js
not-a-virus:NetTool.Win32.ZXProxy.h   tane0436\nspk1.exe


>>87 tane0435(>>90)
0+事後検知1/1で閉鎖
Trojan program Exploit.JS.DirektShow.b   tane0435\go.jp (検知)

98 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 11:56:43 ]
>>91

マイクロソフト、Video ActiveXコントロールの脆弱性について警告
japan.cnet.com/news/sec/story/0,2000056024,20396218,00.htm

『IE』に対する新たなゼロデイ攻撃
japan.internet.com/webtech/20090707/12.html

ゼロデイか。
パッチ未提供で、コードが出回っているって。orz
当面は、アドバイザリにしたがい、回避策を実行するしかないのかな。
MSの言い方では、7月の月例パッチには間に合わないように聞こえる。orz

99 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 12:06:34 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=437
pass:virus

今朝、スキャンしたら検出しますた。
使用:あばすとー!

100 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 12:32:58 ]
>>98
5月のquartz.dllのQuickTime呼び出しの件
ttp://www.microsoft.com/japan/technet/security/advisory/971778.mspx
すら未パッチだしねぇ。



101 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 12:52:15 ]
>>99
一応SymantecとPandaとGDATA2010(今回はBitDefenderのみ)に提出しといた

102 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 13:59:13 ]
>>91
AntiVir9 全検出

msvideo1.htm : HTML/Shellcode.Gen HTML script virus
msvideo1.js : HTML/Shellcode.Gen HTML script virus
msvideo2.htm : HTML/Shellcode.Gen HTML script virus
msvideo2.js : HTML/Shellcode.Gen HTML script virus
nspk1.exe : TR/Crypt.NSPM.Gen Trojan
trj1.exe : TR/Spy.Gen Trojan
trj1_1.exe : TR/Spy.Gen Trojan

103 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 14:01:03 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=438
infected

MalwareDatabase 7/6分より

104 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 14:02:59 ]
>>103
AntiVirとAntiyLabsにはftp経由で提出済み。

AntiVir検出結果
bot.anhheo.com/IEupdate.exe : -
cutaiamortgagegroup.cn/load.exe : DR/Delphi.Gen dropper
down.ddosor.cn/1.exe : -
down.ddosor.cn/2.exe : TR/Crypt.FKM.Gen Trojan
down.ddosor.cn/6.exe : TR/Crypt.XPACK.Gen Trojan
down.ddosor.cn/9.exe : TR/Crypt.ULPM.Gen Trojan
download.live-player.com/Live-Player_setup.exe : ADSPY/LivePlayer.A.44 adware or spyware
free-ipodtouch.com/technigo.exe : TR/Dropper.Gen Trojan
inb4sk.com/file.exe : TR/Crypt.XPACK.Gen2 Trojan
msnweb.dyns.net/express.exe : TR/Dropper.Gen Trojan
msnweb.dyns.net/IMG511975310_134453_9198-JPG.EXE : DR/Agent.vad dropper
s10248s0s.tzsx226.2666.com.cn/026.exe : TR/Crypt.FKM.Gen Trojan
tube-best-4free.com/TubeViewer.ver.6.40000.exe : -
tube-best-4free.com/xplay.php : -
www.alfafoxx.com/mbt.exe : TR/Crypt.ZPACK.Gen Trojan
www.hkzj520.com/ok.exe : TR/Dropper.Gen Trojan
xpdeluxeprotector.com/109.exe : TR/Crypt.ZPACK.Gen Trojan
xpdeluxeprotector.com/113.exe : TR/Spy.45059 Trojan
xpdeluxeprotector.com/116.exe : -
zuka.dsl.ge/wetin.exe : DR/Delphi.Gen dropper

105 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 14:06:29 ]
>>103
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

106 名前:97 mailto:sage [2009/07/07(火) 14:36:21 ]
カスペからの返事
>>91(>>97) tane0436

3+2=5, 残2(troj1.exe, troj1_1.exe)


msvideo1.htm_, msvideo2.htm_ - Exploit.JS.DirektShow.c

New malicious software was found in these files.

107 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 15:03:02 ]
カスペ2010 13:59:00
>>103 d
tane0438
11/20

Trojan-Dropper.Win32.Wlord.gen   \cutai*\load.exe (1/1)
Trojan.Win32.Multis.hl   \down.ddosor.cn\2.exe '(2/4, -   1.exe,   6.exe スルー)
Trojan.Win32.AntiAV.bwg   \down.ddosor.cn\9.exe
Trojan-Spy.Win32.TDSS.bk   \inb4sk.com\file.exe (1/1)
Trojan.Win32.Agent.cnrq   \msnweb.*\express.exe (2/2)
Trojan.Win32.Agent.cnrq   \msnweb.*\IMG511975310*JPG.EXE
Backdoor.Win32.Delf.puh   \s10248s0s*\026.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.exe   \tube-best*\TubeViewer.ver.6.40000.exe (1/2, - xplay.phpスルー)
Packed.Win32.Klone.bh   \www.hkzj520.com\ok.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.ewe   \xpdeluxeprotector.com\113.exe (1/3, -   109.exe,   116.exe スルー))
Detected virus Net-Worm.Win32.Kolab.cnx   \zuka.dsl.ge\wetin.exe (1/1)


スルー
bot*\IEupdate.exe,  download*\ive-Player-Setup.exe,   free-ipod\technigo.exe,   wwwalfa*\mbt.exe


108 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 15:38:52 ]
>>91 >>99 >>103

NormanとZoner以外はマイナー所も含め、一通り提出完了。(一部重複提出になってます。ベンダーさんごめんなさい)

109 名前:107 mailto:sage [2009/07/07(火) 18:16:24 ]
カスペからの返事
>>103 tane0438 (>>107)
11+事後2=13/20 、白1、破損1、残5


xpdeluxeprotector.com\116.exe - Trojan-Downloader.Win32.FraudLoad.exm (返答→KDN検知)
bot.anhheo.com\IEupdate.exe - Trojan.Win32.Autoit.zs (検知)

free-ipodtouch.com\technigo.exe - This file is corrupted. (破損)
download.live-player.com\Live-Player_setup.exe - No malicious software (白)

>>52 (>>61) tane0432
tane0432\www.muswou.com\1188.exe,   play.scr  が未回答&未検知なのが気になる。

110 名前:20 mailto:sage [2009/07/07(火) 18:48:12 ]
>>90
出張先のため検出可否判断はできないので、関係したこの件についてのコメントだけ...

>44-48のものと>75-77のものは、VTの結果を見ての通り、全くの別物です。
>75にある“亜種”というコメントが間違いです。(各ベンダーの検出時の種類が、ほとんど一致していない)

ですので、>75については、そのまま放置で可だと思います。(Anubisにも投げてみましたが、あまり変な挙動は無い)
# 多分>85が正解。


あと、DirectShow関連のゼロデイ攻撃、一気に増えそうな感じ...皆様乙です。しばらく手伝えませんが、頑張って下さい。



111 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/07(火) 18:49:56 ]
COMODO Internet Security 1573

>>87
スルー

>>91
nspk1.exe:Heur.Pck.NsPack
trj1.exe:Heur.Suspicious@25876964
2/7

>>99
スルー

>>103
down.ddosor.cn\9.exe:TrojWare.Win32.Trojan.Agent.Gen@23093763
inb4sk.com\file.exe:TrojWare.Win32.TrojanSpy.TDSS.~B@25841645
msnweb.dyns.net\express.exe:UnclassifiedMalware@25394088
tube-best-4free.com\TubeViewer.ver.6.40000.exe:Heur.Packed.Unknown
xpdeluxeprotector.com\113.exe:TrojWare.Win32.TrojanDownloader.FraudLoad.~AQZ@25841644
zuka.dsl.ge\wetin.exe:TrojWare.Win32.Trojan.Agent.Gen@19880492
6/20

未検出分を提出しました

112 名前:107 mailto:sage [2009/07/07(火) 22:20:58 ]
カスペからの返事
>>103 tane0438 (>>107,109)
11+事後3=14/20 、白1、破損1、残4

www.alfafoxx.com\mbt.exe - Trojan-Downloader.Win32.Agent.chua

New malicious software was found in the attached file.

113 名前:アプロダ”管理”人 ◆HL2fUAyECQ mailto:sage [2009/07/07(火) 23:01:44 ]
今晩、アプロダメンテへとはいりますね

みなさんよろしく

114 名前:アプロダ”管理”人 ◆HL2fUAyECQ mailto:sage [2009/07/07(火) 23:02:51 ]
ついでに「某」抜かしました

午前0時にかけてメンテはいります

115 名前:アプロダ”管理”人 ◆HL2fUAyECQ mailto:sage [2009/07/07(火) 23:25:03 ]
アプロダメンテ完了

変更点
・ストレージを2GB
・再投稿秒数60秒
・ファイル保持数を5000

以上


116 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 03:33:36 ]
あぷろだメンテお疲れ様です。早速利用してみました。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=439
infected

■検体入手元
MalwareDatabase 7/6分より

p://m10b■com/in■cgi?2¶meter=
Redirect to
p://www■specialsuggestion■com/rl_keycmp■php?ct=46LU7&key=
Redirect to
p://m11b■org/in■cgi?2¶meter=
Redirect to
p://fast-filedownload■com/l/6c524f9d7bv7bp6en
Redirect to
p://ez-scanner-online■com/5/11/0/wsetup■exe

117 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 03:40:02 ]
>>116
各社一通り提出済み。今回は珍しく、exeの検出率が悪いです。
片方のhtmlは比較的多目のベンダーが引っ掛けますが、exeと6c524f9d7bv7bp6en.htm以外は白判定かも。

AntiVir
6c524f9d7bv7bp6en.htm : HTML/FakeAlert.njh HTML script virus
他スルー

まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
6c524f9d7bv7bp6en.ht|current detection |generic fakealert!htm |Trojan |no
cse.htm |inconclusive | | |no
search.php |inconclusive | | |no
wsetup.exe |inconclusive | | |no

のーとん
filename: 6c524f9d7bv7bp6en.htm
result: This file is detected as Trojan.Fakeavalert.
(他は手動解析)

F-Secure SAS
6c524f9d7bv7bp6en.htm : Trojan-Downloader.HTML.FraudLoad.a
wsetup.exe : Trojan-Downloader.Win32.FraudLoad.exl
他2つは白判定/提出直後はexeが白判定だったけど、暫くしたら黒に変化。

118 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 13:05:25 ]
IE Zero-Day attackがらみなんだが

ttp://ilion.blog47.fc2.com/blog-entry-140.html

でレポされてるhellh.netにあるトロイ本体(f.gifと t.gif.gif)
の検出可否の報告がまだみたい(fk.pdfとgo.jpgは既出)なんだけど、
だれか可能な方いますか?

当方でURL踏んでも鯖が404返して検体が手に入らない・・・

119 名前:91 mailto:sage [2009/07/08(水) 13:16:23 ]
>>118
>>91 のオマケのexeがt.gif.gif(を解凍したもの)です。
f.gifは入れ忘れたのでちょっとお待ちを。

120 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 13:26:21 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=440
virus
swfも入れときました(9.0.115用。それより古いFlashPlayerはシラネ)。



121 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 13:43:40 ]
>>113-115 あっぷろーだ管理人さん 乙です。
カスペ2010 11:49:00

>>116 d tane0439
2/4 (m10b\cse.htm    m11b.org\search.php スルー)

Trojan-Downloader.Win32.FraudLoad.exl   ez-scanner-online.com\wsetup.exe
Trojan-Downloader.HTML.FraudLoad.a   fast-filedownload.com\6c524f9d7bv7bp6en.htm


>>120 d tane0440
1/3 (i115,swf,   n115.swf スルー)
virus Worm.Win32.AutoRun.gfq   \tane0440\nspk2.exe

提出します。


122 名前:121 mailto:sage [2009/07/08(水) 13:53:28 ]
カスペ2010 12:58:00
>>120 (>>121) tane0440
1+事後検知2=3/3でクローズ

Trojan program Exploit.SWF.Downloader.nt tane0440\i115.swf (検知)
Trojan program Exploit.SWF.Downloader.nu tane0440\n115.swf (検知)



123 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 14:01:06 ]
はえーよw

124 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 14:49:22 ]
>>120

Pandaへ提出完了(Symantecとavast!、BitDefenderは全検出なので何もせず)

ttp://www.virustotal.com/analisis/208b0ad746cd27e985c21fec5dec1932b013555671b293af2439050e18cbd197-1247032157
ttp://www.virustotal.com/analisis/59c9a0345aae2ee10a0d82fdbae5e87daf12568dfb6e41337283cf08eae63a51-1247032159
ttp://www.virustotal.com/analisis/bf683679fa41afcf3a0fd033b7c996b089bca3e96f93006354f196cd44b1d810-1247032160


125 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 15:33:06 ]
>>124の結果から、FlashPlayer関係を3件全部検出してるのは以下の19製品
a-squared, AhnLab-V3, AntiVir, Authentiumm, Avast, AVG, BitDefender, CAT-QuickHeal,
DrWeb, GData, Ikarus, Kaspersky, McAfee-GW-Edition, Microsoft, Norman, PCTools,
Rising, Sophos, Symantec

126 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 15:43:02 ]
カスペからの返事

>>103(>>107,109,112) tane0438
11+事後4=15/20、白1、破損1,残3 (1.exe、6.exe、xplay.php)

xpdeluxeprotector.com\109.exe_ - not-a-virus:FraudTool.Win32.Agent.tc

New potentially risk software was found in this file.

>>123
誰か先に提出してくれていた分だと思う。d。

127 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 18:01:20 ]
>>120
McAfee3/3
XP dat5669
i115.swf Exploit-CVE2007-0071
n115.swf Exploit-CVE2007-0071
nspk2.exe New Malware.u

virustotalと実機で結果が違うorz

128 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 18:31:43 ]
>>127
extra.dat扱いなんじゃね?

129 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 18:45:56 ]
カスペからの返事

>>52(>>61) tane0432
3+事後検出2=5/5でクローズ

1188.exe_, play.scr_ - Trojan-Dropper.Win32.Small.dog

New malicious software was found in these files.


>>116(>>121) tane0439
2/4、白2でクローズ
m10b.com\cse.htm_,
m11b.org\search.php

No malicious code were found in these files.



>>64(>>69,70) tane0434
1+1(>>70)=2/6、白1 残3 (*.jsファイル、ちなみにVT再解析しても0/41、白か?)
listfile.js_ - No malicious code was found in this file.



130 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/08(水) 20:24:00 ]
カスペ2010 19:27

>>103(>>107,109,112,126) tane0438
11+事後6=17/20、白1、破損1,残1 (xplay.php)
Trojan-Downloader.Win32.VB.ozn   \down.ddosor.cn\1.exe (検知)
Trojan-Downloader.Win32.Agent.chxq  \down.ddosor.cn\6.exe (返答)

(参考)
>>91,98,110
●MS、Windows XP/Server 2003のIEに対するゼロデイ攻撃への対策ツールを公開 (インプレス)
すでに広範囲で攻撃が確認されており、早急な対策が必要
ttp://www.forest.impress.co.jp/docs/news/20090708_300740.html
ttp://internet.watch.impress.co.jp/docs/special/20090708_300654.html

※中国を中心に最大1000程度のサイトが既にこのスクリプトに感染しており、さらに増加傾向。日本のサイトも被害に。



131 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 00:52:24 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=441
virus

132 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 01:00:15 ]
>>131さん乙
Symantecとa-squaredとMalwarebytesに提出しました
NIS2009で1/7

133 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 06:30:38 ]
>>132
McAfee (Active Protection 無効)0/7
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
1_1.exe |inconclusive | | |no
2.exe |inconclusive | | |no
2_1.exe |inconclusive | | |no
2_2.exe |inconclusive | | |no
dldr1.exe |inconclusive | | |no
trj1.exe |inconclusive | | |no

134 名前:20 mailto:sage [2009/07/09(木) 12:20:01 ]
>>131
1.exe
 ttp://www.virustotal.com/jp/analisis/1c11b2d3106f48e1b82c5577691a43d43a422f6d3e7aaf9140d80253778d1a24-1247104083 (16/41)
1_1.exe
 ttp://www.virustotal.com/jp/analisis/0e2466afef665c21f4cfddd5e20ca5a50df47438baf6917732afc209e7ac3f1b-1247104248 (4/41)
2.exe
 ttp://www.virustotal.com/jp/analisis/6fcd89bd14804acf88ab7b189d0b502d00b890f33a1d390840dda63e3678352e-1247105142 (15/41)
2_1.exe
 ttp://www.virustotal.com/jp/analisis/10732ba2789e34635e67d3b20a839591d42ad6c48a876604c1828f1b447bcc46-1247105323 (9/40)
2_2.exe
 ttp://www.virustotal.com/jp/analisis/fc1f5ef3ef6a98066048bd176f255fe469675aa332faf16b34fd072957f19bda-1247106022 (7/41)
dldr1.exe
 ttp://www.virustotal.com/jp/analisis/0026b3df63117860d162117827b0b02199e3b928bb42c84152dbc276f4ad4865-1247106225 (18/41)
trj1.exe
 ttp://www.virustotal.com/jp/analisis/ea66c03ecaa65a319f7b6e85decc7bcb729f3f731dbb03ba4316db840b9013b3-1247106367 (20/41)

VTでAVIRAが未検出の1_1.exeと2_2.exeは、AVIRAに提出しました。
Kasperskyは提出できる状況ではないので、他の人にお任せ。m(_ _)m

135 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 13:44:47 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=442
infected

MalwareDatabase 7/8分より


各社一通り提出済み(Norman,Zonerを除く)。今回もexeの検出率が悪いです。

[Detection possible other software]
1856317799/fk.pdf : HTML/Shellcode.Gen HTML script virus(AntiVir)
1856317799/jp.js : JS/Agent.HQ(F-Prot) , Trojan.Malscript!html(Symantec) , JS.EX-ActiveX.1096(ViRobot)
advanedspywarescan.com/Setup-d2f1c46_02022.exe : Trojan:Win32/FakeXPA(Microsoft)
exe-site.com/streamviewer.40069.exe : Trojan-Downloader.Win32.FraudLoad.exw(Kaspersky)
exe-site.com/xplays.php : - Not Detected - (Call streamviewer.40069.exe)

136 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 14:09:52 ]
>>120
>>131

いずれも、各社一通り提出完了(Norman,Zonerを除く)。

137 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 14:59:17 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=443
virus

アメリカの複数のゲーマー向けサイトの広告に入っていたらしい
WoWの中国製パス抜きトロイ

138 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 16:51:37 ]
>>135
Rising返答

1. Filename:streamviewer.40069.exe
Virusname:Trojan.Clicker.Win32.Agent.eos

2. Filename:xplays.php
3. Filename:fk.pdf
4. Filename:jp.js
5. Filename:Setup-d2f1c46_02022.exe
No malware.

まぁ、Risingだし・・・・・・・・・・・がんばれ。

139 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 16:53:36 ]
ノートン自動返答

>>120
filename: n115.swf
filename: i115.swf
result: This file is detected as Bloodhound.Exploit.193.

filename: nspk2.exe
result: This file is detected as Trojan Horse. www.symantec.com/avcenter/venc/data/trojan.horse.html

>>131
filename: trj1.exe
result: This file is detected as Trojan.Dropper. www.symantec.com/avcenter/venc/data/trojan.dropper.html

filename: 2_1.exe
filename: 2.exe
filename: 1_1.exe
filename: 1.exe
filename: dldr1.exe
filename: 2_2.exe
result: See the developer notes <手動解析へ>

140 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 16:55:55 ]
まかふぃー自動返答

>>135
File Name Findings Detection Type Extra
--------------------|-----------------|------------------|------|-----
fk.pdf |inconclusive | | |no
jp.js |inconclusive | | |no
setup-d2f1c46_02022.|current detection|fakealert-di |Trojan|no
streamviewer.40069.e|inconclusive | | |no
xplays.php |inconclusive | | |no

>>120 >>131
File Name Findings Detection Type Extra
--------------------|-----------------|------------------|------|-----
1.exe |inconclusive | | |no
1_1.exe |inconclusive | | |no
2.exe |new detection |generic pws.y!dw |Trojan|yes
2_1.exe |inconclusive | | |no
2_2.exe |inconclusive | | |no
dldr1.exe |inconclusive | | |no
i115.swf |inconclusive | | |no
n115.swf |inconclusive | | |no
nspk2.exe |inconclusive | | |no
trj1.exe |new detection |generic dropper!do|Trojan|yes



141 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 17:44:22 ]
カスペ2010 16:17

>>131d tane0441 (>>134VT通り)
3/7
Trojan-Dropper.Win32.Small.dnd  \2_2.exe
virus Worm.Win32.AutoRun.gfw   \trj1.exe
Trojan program Trojan-GameThief.Win32.Lmir.cha  (HEUR:Trojan.Win32.Beep_sys.silent)  \dldr1.exe

>>135 d tane0442
2/5
Trojan-Downloader.Win32.FraudLoad.exw   \exe-site.com\streamviewer.40069.exe
Exploit.Win32.Pidief.bcx   \1856317799\fk.pdf

>>137 d tane0443
1/2, (wow1_1.exe スルー)
virus HEUR:Trojan.Win32.Generic   tane0443\wow1.exe

検体提出します。


142 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 18:07:13 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=444
virus

143 名前:20 mailto:sage [2009/07/09(木) 18:19:02 ]
AVIRA返答(VTで未検出だったものを提出した結果)

>>134
 1_1.exe - TR/BHO.uds
 2_2.exe - TR/Drop.Small.dnd.6

>>135
 Setup-d2f1c46_02022.exe - MALWARE(genで検出できるようにすると記載)
 streamviewer.40069.exe - TR/Dldr.Agent.xwb

>>137
 wow1_1.exe - CLEAN (白)

あと、>135のxplays.phpjは、中身が</BODY></HTML>だけの14バイトのファイルなので、
黒判定するベンダーは出ないと思われます。

jp.jsも、中身を見ると黒判定するかどうか、かなり微妙。

144 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 18:52:56 ]
>>137
AntiVir wow1_1.exe のみスルー

>>142
AntiVir 全検出

両検体、各社(NormanとZonerを除く)に提出完了。

>>143
>135のxplays.phpjは<略>
うわ、またやっちまった。orz

指摘サンクス&各ベンダー担当者さんごめんなさい…(ここで言っても仕方ないけど)

145 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 18:53:24 ]
>>133
>>132>>131に訂正orz

>>142
McAfee (Active Protection 無効)0/5
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dldr1.exe |inconclusive | | |no
trj1.exe |new detection |generic pws.y!dw |Trojan |yes
trj1_1.exe |inconclusive | | |no
trj2.exe |inconclusive |new malware-e |Virus |no
trj2_1.exe |inconclusive |new malware-e |Virus |no

146 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 18:54:50 ]
>>137 >>142 まとめて提出したので

まかふぃー自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dldr1.exe |inconclusive | | |no
trj1.exe |new detection |generic pws.y!dw |Trojan |yes
trj1_1.exe |inconclusive | | |no
trj2.exe |inconclusive |new malware-e |Virus |no
trj2_1.exe |inconclusive |new malware-e |Virus |no
wow1.exe |current detection |generic.dx!us |Trojan |no
wow1_1.exe |inconclusive | | |no

147 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 18:56:00 ]
被ったけど、検出漏れがあるよりいいよねってことで気にせず…

>>137 >>142

Rising返答。珍しく全検出。

1. Filename:dldr1.exe
Virusname:Backdoor.Win32.Undef.edl

2. Filename:trj1_1.exe
Virusname:Trojan.PSW.Win32.GameOLx.di

3. Filename:trj2.exe
4. Filename:trj2_1.exe
Virusname:Trojan.PSW.Win32.GameOnline.dxv

5. Filename:wow1_1.exe
6. Filename:wow1.exe
Virusname:Trojan.PSW.Win32.OnlineGame.zkc

7. Filename:trj1.exe
Virusname:Trojan.PSW.Win32.OnlineGame.zjz

148 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 19:14:33 ]
検出可否確認せずにベンダーへ送るのやめようよ
Risingはただでさえ解析が遅いのに・・・

149 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 20:33:25 ]
>>148
それが可能な時はやってます。

現在、私が提出してるのはこれだけ(↓)あります。
メールで43社、Webフォームから14社(うち2社は省略すること多し)、FTPから2社。

このそれぞれに対して、検出可否を確認した上で提出検体を振り分けて、未検出分のみにしろというのは
現実的ではありません。検出するものであれば、今回のように、機械的に返答して終わりなのですから
(同一検体が複数回届くのに比べたら)そんなに労力の増加には繋がらないはずです。
提出されないよりは、重複したり既知のものであっても送った方が良いという方針で処理しています。

(時間のない時はごめんなさいで、スレチェックせずにそのまま送ってますが)、可能な範囲で、提出報告の
あったものについては重複しないように提出先から省いています。

>>148のようにお考えでしたら、ご自身で検出可否をチェックされた上で、ベンダーに提出し、提出したことを
ここに報告してください。そうしたら、そのベンダーへの提出をこちらではスルーできます。

150 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 20:34:36 ]
カスペからの返事

>>131(>>141) tane0441
3+1=4/7、残3
2.exe  - Trojan-GameThief.Win32.WOW.ijz

>>135 (>>141) tane0442
2+1=3/5、残2
Setup-d2f1c46_02022.exe_ -   Trojan-Downloader.Win32.FraudLoad.eyb

New malicious software was found in this file.

カスペ2010 18:29:00
>>142 d tane0444
1/5
Trojan-GameThief.Win32.OnLineGames.bmko   tane0444\trj2.exe
検体提出します。



151 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 20:49:31 ]
>>150
> >>142 d tane0444
> 検体提出します。

>144でカスペにも提出完了してます…けど、パターン更新してもうちへの返答は結構後回しにされること多いので
返答欲しいなら別途提出するのは正解かもしれない。


152 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 22:06:28 ]
カスペからの返事

>>131 (>>141) tane0441
3/7、白1, 残3
1.exe - No malicious code was found in this file.


>>137 (>>141) tane0443
1/2、残1 (wow1_1.exe)
wow1.exe_ - Trojan-GameThief.Win32.WOW.ijy   (←HEUR:Trojan.Win32.Generic)


>>142(>>150) tane0444
1+事後=3=4/5 (残 dldr1.exe)
trj1.exe - Trojan-GameThief.Win32.WOW.ijz
trj1_1.exe  -  Trojan-PSW.Win32.Agent.nja 
trj2_1.exe  -  Trojan-PSW.Win32.QQPass.kej


>>151
んー、検査している順番がわからない。
返事を返さないアナリストもいるらしい。
救急搬送トリアージ的な発想で、常連は後回しにされてそう。(また、こいつか?みたいな)

153 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 23:00:38 ]
>>137 >>143
カスペ返答(>152 残件も返答あり)

137 (2/2)
143 (5/5) でクローズ

dldr1.exe_ - Trojan-Downloader.Win32.Tiny.cew,
trj1.exe_ - Trojan-GameThief.Win32.WOW.ijz,
trj1_1.exe_ - Trojan-PSW.Win32.Agent.nja,
trj2_1.exe_ - Trojan-PSW.Win32.QQPass.kej,
wow1.exe_, wow1_1.exe_ - Trojan-GameThief.Win32.WOW.ijy

New malicious software was found.

trj2.exe_ - Trojan-GameThief.Win32.OnLineGames.bmko

This file is already detected.

154 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 23:40:55 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=445
infected

○ 検体入手元 ○
FakeAV MalwareDatabase 7/9分より
p://securedvirusscan■com/download/Setup-4e45_02022■exe

○ VirusTotal ○
Setup-4e45_02022■exe (0/41)
ttp://www.virustotal.com/analisis/d0bf2dfddf95b4ae667c59e0181b9a6154a42a371eecd2bef34a238d2c58de04-1247149232


各社一通り提出完了。

155 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/09(木) 23:48:27 ]
カスペからの返事

>>135 tane0442
2+2=4/5、白1でクローズ

jp.js_ - Trojan-Downloader.JS.Iframe.bjt
xplays.php - 白

>>153 d
>>142 5/5 クローズ tane0444に訂正

156 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 00:54:57 ]
>>154
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup-4e45_02022.exe|inconclusive | | |no

157 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 09:54:32 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=446
virus

158 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 10:10:05 ]
>>157
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

159 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 13:20:48 ]
カスペ2010 12:27

>>157 d tane0446
>>3/6 (HEUR2) HEUR含め検体提出します。
virus HEUR:Exploit.Script.Generic   msvideo2_1.js
virus HEUR:Exploit.Script.Generic   msvideo2_2.js
not-a-virus:NetTool.Win32.ZXProxy.gn   pcker1.exe


>>154 d tane0445
0/1のまま
こちらからも再提出

160 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 13:36:14 ]
>>157
McAfee (Active Protection 無効)1/6
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
aspk1dldr.exe |current detection |generic.dx |Trojan |no
msvideo2_1.js |inconclusive | | |no
msvideo2_2.js |inconclusive | | |no
pcker1.exe |new detection |generic backdoor!ef |Trojan |yes
trj2.exe |inconclusive | | |no
trj2_1.exe |inconclusive | | |no



161 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 15:01:52 ]
>>157 (>>159) tane0446
3+1=4/6 ,白1, 残1 (trj2_1.exe)
Trojan.JS.Agent.ajl -  msvideo2_1.js、  msvideo2_2.js (←virus HEUR:Exploit.Script.Generic)
trj2.exe_ -    Trojan.Win32.Agent2.kwa
aspk1dldr.exe -   No malicious code was found in this file.


>>91(>>97,106) tane0436
3+事後検出4=7/7でクローズ
trj1.exe_ -  Trojan-Dropper.Win32.Agent.avpr
trj1_1.exe_ -  Trojan.Win32.BHO.vng

162 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 15:14:54 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=447
infected

検体入手元
MalwareDatabase 7/9分より

tp://go-go-tube■com/xplays■php?id=40069
tp://red-exe■com/onlinemovies■[40000-40100]■exe
p://youtube-adult■name/
p://upload■octopus-multimedia■be/1/pdrv■exe
p://upload■octopus-multimedia■be/1/pp■10■exe
p://arplgm■cn/a■exe
p://youtube-adult■name/setup■exe
p://youtube-adult■name/VideoCodec■exe
p://youtube-adult■name/Mediacodec■exe
p://imagehut3■cn/images/evilItTheir■pdf
p://imagehut3■cn/images/update■php
p://missing-codecs■net/download/download■php
p://91■212■198■116/lib/update■php
p://www■hoje-noticias■pagebr■com/downloads/plug2■txt
p://www■hoje-noticias■pagebr■com/downloads/wiskyx■exe
p://www■hoje-noticias■pagebr■com/downloads/winsex2■txt
p://www■hoje-noticias■pagebr■com/downloads/winsex2■exe
p://vikd3jj-2■com/2/index■php
p://vikd3jj-2■com/2/update■exe

163 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 16:40:25 ]
>>157 , >>162
各社一通り提出完了

未提出:Norman,Zoner

一部未提出:トレンドマイクロ
 >>162の p://red-exe■com/onlinemovies■[40000-40100]■exe のみが入ったファイルが
 500エラーで弾かれるのでそこだけ未提出。VTでは未検出の筈なんだけど、検出済みファイルのみの
 時と同じエラーで提出不可?

 これは時間を置いてから再提出を試み、ダメなら対応済みなのだと思って納得することにします。

164 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 16:42:42 ]
AntiVir9 検出結果

>>157 (4+2/6)
tane0446/aspk1dldr.exe : SPR/Dldr.J program
tane0446/msvideo2_1.js : HEUR/HTML.Malware suspicious code
tane0446/msvideo2_2.js : HEUR/HTML.Malware suspicious code
tane0446/pcker1.exe : TR/Crypt.ZPACK.Gen Trojan
tane0446/trj2.exe : TR/Spy.Gen Trojan
tane0446/trj2_1.exe : TR/Spy.Gen Trojan

>>162
91.212.198.116/load.exe : - Not Detected -
arplgm.cn/a.exe : TR/Downloader.Gen Trojan
imagehut3.cn/evilItTheir.pdf : HTML/Shellcode.Gen HTML script virus
imagehut3.cn/load.exe : - Not Detected -
missing-codecs.net/install_flash_player.exe : - Not Detected -
red-exe.com/onlinemovies.[40000-40018].exe : - Not Detected -
red-exe.com/onlinemovies.40019.exe : TR/Crypt.ZPACK.Gen Trojan
red-exe.com/onlinemovies.[40020-40100].exe : - Not Detected -
upload.octopus-multimedia.be/pdrv.exe : - Not Detected -
upload.octopus-multimedia.be/pp.10.exe : - Not Detected -
vikd3jj-2.com/index.php : - Not Detected -
vikd3jj-2.com/update.exe : - Not Detected -
youtube-adult.name/index.htm.exe : TR/Dropper.Gen Trojan
youtube-adult.name/Mediacodec.exe : TR/Dropper.Gen Trojan
youtube-adult.name/setup(1).exe : TR/Dropper.Gen Trojan
youtube-adult.name/setup.exe : TR/Dropper.Gen Trojan
youtube-adult.name/VideoCodec.exe : TR/Dropper.Gen Trojan

165 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 17:56:45 ]
>>162 d tane0447
カスペ2010 16:15
113/116・提出します。

(1) red-exe.com 101/101
Trojan.Win32.FraudPack.pjl   red-exe.com/onlinemovies.[40000-40100].exe (ただし、40019.exe除く) (100files)
Trojan-Downloader.Win32.Small.jvl   red-exe.com/onlinemovies.40019.exe

(2) youtube-adult.nameフォルダ 5/5
Trojan-Downloader.Win32.CodecPack.ilv   /index.htm.exe
Trojan-Downloader.Win32.FraudLoad.exm   /Mediacodec.exe  /setup(1).exe  /setup.exe   /VideoCodec.exe

(3) 残 7/10
Trojan-Dropper.Win32.Agent.avow   91.212.198.116/load.exe  (1/1)
Trojan-Downloader.Win32.Tiny.cew   arplgm.cn/a.exe  (1/1)
virus HEUR:Exploit.Script.Generic   imagehut3.cn/evilItTheir.pdf  (2/2)
Trojan.Win32.VB.smd   imagehut3.cn/load.exe
Trojan.Win32.Small.can   upload*/pp.10.exe  (1/2, pdrv.exe スルー)
Trojan.Win32.Inject.afqp   vikd3jj-2.com/update.exe  (1/2, index.php スルー)
Trojan-Downloader.Win32.Injecter.dd  youtube-adult.name/index.htm.exe   (1/1)
※missing*\install_flash_net.exe スルー

返事
>>157(>>159,161) tane0446
3+2=5/6、白1で閉鎖
trj2_1.exe_ - Trojan.Win32.BHO.vnh


166 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 18:35:07 ]
気になる人は提出する方向で

ttp://foobar2000.xrea.jp/up/files/up365.zip  (PWロックは掛かってない)
www.virustotal.com/jp/analisis/7bfb8c778298384463d649177a882768c81f550d213099037e97267052edc37e-1247218479

167 名前:20 mailto:sage [2009/07/10(金) 18:53:45 ]
>>166 乙です。
AVIRAに提出してみたら、判定済みで FALSE POSITIVE(誤検出)とのことです。
つまり、黒→白という扱いになっています。 一応、参考として。

# 出張先だと、AVIRAの提出用鯖にファイルをアップする以外、できる事がほとんど無い。

168 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 21:16:23 ]
とあるexploitをMcAfeeに送った時のインドのラボからの返信。

Why do you suspect this of being the culprit of malicious behavior?
Has any AV product detected it?
What engine/dat number are you using?
Have you noted any suspicious behavior on a system where this file has been run?
If so, what?

ちょ…ちょっと怒ってる(;^ω^)?

169 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 21:21:23 ]
なんで送ってきた?
なんかで検知したのか?
てかなにつかってるんだ?
なんか変な挙動でもあったのか?
だとすればなに?

170 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 21:23:15 ]
これはひどい。忙しいのかな



171 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/10(金) 22:28:23 ]
>>162(>>165) tane0447
113+1=114/116、残2
Hello,

(missings-codec.net)\install_flash_player.exe_ - Trojan.Win32.VB.soj

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.




172 名前:20 mailto:sage [2009/07/11(土) 09:36:09 ]
>>168-170
これはアナリスト怒ってるねぇ。 検出できるもの・できないものを分別しないで大量に送りつけたとか?

どこのベンダーも忙しいみたいだから、検出できるものまで送りつけられたら、そりゃアナリストは不愉快だと
思うので、それ以外思いつかないが...

私の方だと、AVIRAとKasperskyにかなり送っているが、検出可能ファイルは排除してから送ってるせいか
それともベンダーの性格の違いか、そういう苦情っぽいメールは受けたこと無いけど。 といっても、AVIRAは
メール提出してない(提出用鯖にアップしているだけ)だから、自動応答メール以外来ないけどね。

>>152 雑談ついで。
Kasperskyは、とりあえずヒューリスティックが隔離して、KISの隔離フォルダからQuarantine Objectで
送付されるファイルが、最優先で処理される。 経験的には、こいつは処理が異常に早い。

次が、exe単独の提出で、出所orマルウェアであることがはっきりしているファイル。
(ウイルス本体とみなされるファイル)これは、ファイルのダウンロード元(サイト名とか)をメールに
明記して送るか、VTの検出結果のurlを記入して送った場合。

それ以外は、かなりランダム。分析が早い時もあるし遅い時もある、という感じです。
私の方の状況ですが、参考になれば。

# 全部まとめて送っても隔離ファイルなみに処理が早いことがあるので、前の2つ以外は、正直、
  どういう順番なのか全く読めないですね。ただ、自分の提出状況と処理結果を見ていると、
  提出者が誰かor過去に大量の提出をしているか、は全く関係なさそう。


173 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/11(土) 12:15:59 ]
カスペからの返事&カスペ 11:24

>>162(>>165,171) tane0447
113+(1+1)=115/116、残1 (index.php)

Exploit.JS.Pdfka.ni  -  imagehut3.cn/evilItTheir.pdf   (←virus HEUR:Exploit.Script.Generic)(返答)
Trojan.Win32.Agent2.kvz   -  /upload.octopus-multimedia.be/pdrv.exe (検知)

174 名前:168 mailto:sage [2009/07/11(土) 14:55:45 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=448
virus
いやー1ファイルだけだったんだけどねぇ。
物はmilw0rmに載っていて消えた物(SANS-ISCにあるとおりmilw0rmが今ちょっと不調)で、
載せたのは確かHP(ヒューレットパッカード)の中の人。
同梱の画像はアップローダの下限(1kB)回避用のダミーなので無視で。

175 名前:20 mailto:sage [2009/07/11(土) 15:12:25 ]
>>174
ttp://www.virustotal.com/jp/analisis/bbc704f396d92fd613d9e14598ac9fee8d044296a5fad439369a45f29b09b420-1247292829 (1/41)

AVIRAに提出しました。

1ファイルで、普通ああいうメールは返ってこないと思うが...提出したExploitファイルの中に、McAfeeの悪口が書かれてたとか?(w

176 名前:20 mailto:sage [2009/07/11(土) 15:14:39 ]
>>175
AVIRA返答
 addfav_crash1.htm - CLEAN(白)

177 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/11(土) 16:09:07 ]
>>175
いや見てのとおり大したファイルじゃないのよ。
IEが落ちる以外は実害のないコンセプトコードなので実行してみそ。
送ったメールの文も「Exploit.IEAddFavorite」の一言だし。
とりあえずイシューNo.とアナリストの名前を書いて
ラボとカスタマーサービスに以下を送信(;^ω^)。

WHATS THIS FCKN ATTITUDE ?
McAfee employs plug-ugly ?

178 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/11(土) 18:46:32 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=449
infected

VirusTotal(7/41)
ttp://www.virustotal.com/jp/analisis/3a1562e28f91e8a5601fcec4b11e20114d19b05c2717a208284018edf6dd7550-1247302501

179 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/11(土) 19:22:13 ]
>>178
Symantec、Panda、GDATA2010(今回はBitDefenderのみ)に提出完了

今回はESETにも提出

180 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/11(土) 20:14:14 ]
>>178
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
banner |inconclusive | | |no



181 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/11(土) 20:59:24 ]
>>178 tane0449
カスペ 19:56
スルー
検体提出します。

182 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/12(日) 21:36:53 ]
初スレからのタレコミです
マルウェア配布サイトlapcie.com/
11アーカイブ
Symantecとa-squaredとMalwarebytesとMicrosoftとAVGに提出済みです
みなさんもよろしく

183 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/12(日) 22:30:14 ]
>>182
それ、誤検出の疑いって奴だろ。VTでチェックして、検出してるとこにだけ出せばいいことかと。
どのアーカイブのなんていうファイルに反応しているのかの報告がないので、現時点では提出をスルー。

184 名前:182 mailto:sage [2009/07/12(日) 22:34:43 ]
2chの誤検出の疑いなんて信用しないで
自分で調べりゃすぐ分かるだろ

185 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/13(月) 12:35:07 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=451
infected

■ 検体入手元
Malware Domain List の更新情報 7/11分、リネージュ資料室の更新情報 7/12分 より

■ 既提出先
AntiVir AntiyLabs のみ。今日は時間が無いので、他への提出はやってません。

186 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/13(月) 12:44:13 ]
>>185
Panda、GDATA2010(=avast!&BitDefender)へ提出完了
Symantecへは提出するのにちょっと時間がかかりそうなのでまだ提出してない、代わりにやってくれる人がいるならお願いします

187 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/13(月) 14:15:34 ]
>>185-186
Symantecとa-squaredとMalwarebytesに提出しました

188 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/13(月) 16:29:18 ]
カスペ2010 14:47
>>185 tane0451
23/37

(1) skywebsv.comフォルダ 8/11 (Darkst.html, MS08011.htm, MS08053.htm スルー)
virus HEUR:Exploit.Script.Generic    /Blog.htm   /MsAccess.htm   /web(1).htm   /web.htm
virus HEUR:Trojan.Win32.Invader    /cer.exe
Exploit.JS.DirektShow.a    /darkst.png
Trojan-Downloader.VBS.Agent.io    /Ms06014.htm
Exploit.JS.RealPlr.ob    /Real.htm

(2)teamerblogフォルダ 9/12 (3files スルー、同上)
virus HEUR:Exploit.Script.Generic    /blog.htm   /fc2.htm    /FFXI-search.htm   /MsAccess.htm    /play.htm
Trojan.Win32.Inject.afyg    /cer.exe
Exploit.JS.DirektShow.a    /darkst.png
Trojan-Downloader.VBS.Agent.io    /Ms06014.htm
Exploit.JS.RealPlr.ob    /Real.htm

(3) upload.octopusフォルダ 3/4 (gen.phpスルー)
Trojan-Dropper.Win32.BHO.bo    /6244.exe
Trojan.Win32.Agent2.kwh    /fb.49.exe
Trojan.Win32.Agent2.jyw    /nfr.exe

(4)その他 3/10
Trojan-Downloader.JS.Agent.ehl    /benpao2020.com/go.jpg (1/5, 360.htm, a1a.htm, go1.jpg, t.js スルー)
Trojan-Spy.Win32.Ayludle.a    /esli.tw/load.exe (1/2    Russia_attacks.pdfスルー)
virus not-a-virus:FraudTool.Win32.Agent.tj    /secure-safe-download.com/wsetup.exe (1/1)
antivirus*フォルダ 0/2 (anti*.htm, Setup-15815*.exe スルー)

189 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/13(月) 18:30:54 ]
>>185
McAfee (Active Protection 無効)14/37
未検出分をMcAfeeに提出させて頂きました。
※ヒューリスティックoff→17/37
ヒューリスティックを無効にすると検出数が増えたorz

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
360.htm |inconclusive | | |no
a1a.htm |inconclusive | | |no
antiviruspcscannerv7|inconclusive | | |no
blog.htm |inconclusive | | |no
darkst.htm |inconclusive | | |no
darkst.htm |inconclusive | | |no
fb.49.exe |new detection |w32/koobface.worm.gen.h |Virus |yes
gen.php |inconclusive | | |no
go.jpg |heuristic detection |beav-shellcode |Application |no
go1.jpg |inconclusive | | |no

190 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/13(月) 18:32:43 ]
load.exe |inconclusive | | |no
ms06014.htm |heuristic detection |vbs/psyme.gen.a |Trojan |no
ms08011.htm |inconclusive | | |no
ms08011.htm |inconclusive | | |no
ms08053.htm |inconclusive | | |no
ms08053.htm |inconclusive | | |no
real.htm |heuristic detection |beav-shellcode |Application |no
russia_attacks.pdf |inconclusive | | |no
setup-15815_02002-8.|inconclusive | | |no
t.js |inconclusive | | |no
web(1).htm |inconclusive | | |no
web.htm |inconclusive | | |no
wsetup.exe |inconclusive | | |no



191 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/13(月) 21:24:20 ]
>>154 tane0445
0+1=1/1で閉鎖
Setup-4e45_02022.exe_   -   Trojan-Downloader.Win32.FraudLoad.eyu


>>178 tane0449
0+1=1/1で閉鎖
banner  -  Exploit.Win32.Pidief.bee


>>185 tane0451
23+2=25/37(うちHEUR9)、残12

esli.tw\Russia_attacks.pdf_ - Exploit.Win32.Pidief.bef
wwwskywebsv.com\cer.exe_  -   Trojan-GameThief.Win32.OnLineGames.bmlr (←HEUR:Trojan.Win32.Invader)
antiviruspcscannerv7.com\Setup-15815_02002-8.exe - Trojan.Win32.FraudPack.plk

New malicious software was found in this file.

192 名前:191 mailto:a [2009/07/13(月) 21:26:25 ]
すまん。カスペからの返事です。
>>185(>>188,191)

193 名前:20 mailto:sage [2009/07/14(火) 12:45:50 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=452
 DL virus/解凍 virus

【中身】 9個入っています。MDLの2009/07/13分から。(7/13の全部ではない)
a222.dnf5.com
 1.exe - ttp://www.virustotal.com/jp/analisis/def373fa293f18e0063ca3a04eee65a9136ca9832a9e256c17248a63b1e600af-1247540294 (15/41)
a444.dnf5.com
 of.js - ttp://www.virustotal.com/jp/analisis/f9f508ff0dfe598ab095dc67978d259127efde4014c377b0dd313e37948b292b-1247537078 (8/41)
krisnet.cn
 mss8.exe - ttp://www.virustotal.com/jp/analisis/514a5b90e717557b021dc3db33db42306dc98d40244fc5d6ae8bbe35bf85d3f9-1247539585 (12/41)
puppsik.biz
 mainokK.exe - ttp://www.virustotal.com/jp/analisis/1fe41137eacfc78a731628bfb77cb9e32453905fbf19e8bd89cbdbe713d37b4c-1247536858 (10/41)
wesssrett.cn
 theirTextLayout.pdf - ttp://www.virustotal.com/jp/analisis/c5380b012d966bfc90a51be69437ec6e53611063f959d2131e030de70fc1f75a-1247540745 (23/41)
 index.php - ttp://www.virustotal.com/jp/analisis/357689954fc1ff942934df1ea7dee36d173fb80c4b857d2145b65b8ce0d55724-1247541306 (8/41)
 typeSBc.swf - ttp://www.virustotal.com/jp/analisis/17301efa9654fedabb8d8110ec7af9b2b286818d2d9b24189d6c49d4f2ad4d0b-1247541456 (17/41)
 update.exe - ttp://www.virustotal.com/jp/analisis/dc118a1cf32b0d2a69d1629318f7072d0fb4d915c50372b534c892223d5fde45-1247541787 (34/41)
www.fdsdffdfsf.cn
 of.htm - ttp://www.virustotal.com/jp/analisis/81f68ee265dc06e64e9d95b100d549a0e922529d1b778b939c1e305b0711d0de-1247538643 (4/41)

a444.dnf5.comとwww.fdsdffdfsf.cnが、OfficeWebへの0-day攻撃...らしい。
一部検出率の高いものが入っていますが、出張中で自分の使用環境が整ってないので、すみませんが全部パックしました。m(_ _)m

194 名前:20 mailto:sage [2009/07/14(火) 12:55:16 ]
>>193
AVIRA9 7.01.04.228 黒6/9,未検出の3個は提出済み。

a222.dnf5.com
  1.exe - TR/Rootkit.Gen
a444.dnf5.com
  of.js - HTML/Shellcode.Gen
krisnet.cn 
  mss8.exe -
puppsik.biz
  mainokK.exe - WORM/Emold.U.8
wesssrett.cn
  theirTextLayout.pdf - HTML/Shellcode.Gen
  index.php -
  typeSBc.swf - SWF/Drop.Small.LP
  update.exe - TR/BurnInHell.L
www.fdsdffdfsf.cn
  of.htm -

AVIRA入りの仮想PCしか作業環境が無いので、他ベンダーのチェック・提出は他の人にお任せします。

195 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 13:35:37 ]
>>193
fdsなんちゃらのOfficeWebComponentのゼロデイ、
スクリプトが分割されていてof.htm単品だと攻撃が成立しない
ので(a.jsがシェルコード)くっつけときました。
ttp://tane.sakuratan.com/upload/src/tane0453.zip
virus

196 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 14:21:26 ]
>>193
>>195
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

197 名前:20 mailto:sage [2009/07/14(火) 15:02:16 ]
>>195
ありがトン。分割されていたのに気がつかんかった...orz
 ttp://www.virustotal.com/jp/analisis/8ac1984a7fa9e53becaa2de016aeef82bbe1f5fe51d839d6ef7ea0c990dd9440-1247548149 (7/41)

a.js単独,a.js込みの>195だと検出しますが、念のためof.htm + a.jsをzipで圧縮して、AVIRAに再提出しておきました。

※ 一応書いておくと、AVIRAの検体提出鯖は、パス無しzipであれば自動で解凍して、個別の検体として受け取ってくれます。
  (zipファイル=検体ではなく、中身を個別に判定してくれます。) ただ、中身の数が多くなると拒否されます。
  いくつまで平気なのかは、試してないので不明。

# 数が多すぎる場合の拒否メッセージが“ KO ”という所(鯖がKOされた、という意味だと思う)が、ユーモアがあって面白い...

198 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 16:52:57 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=454
virus
同じOfficeWebComponentsの奴です。
こちらはシェルコードが小さいため最初から1ファイルでした。

199 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 16:58:08 ]
あっごめん、今見たら453にDLKey設定してなかった。

200 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 17:00:40 ]
>>198
Pandaへ提出完了、他のいつも送ってるベンダー(Symantec、avast!、BitDefender)は検出してるので今回は提出なし

ttp://www.virustotal.com/analisis/72aa5318df14f62434dd546a78be82cc38fdd71b9f5199c2f63296c95603efbc-1247558498
ttp://www.virustotal.com/analisis/72aa5318df14f62434dd546a78be82cc38fdd71b9f5199c2f63296c95603efbc-1247558500



201 名前:20 mailto:sage [2009/07/14(火) 17:49:14 ]
>>198
AVIRA9 7.01.04.229 黒2/2
 owc2.htm - HTML/Silly.Gen
 owc2.js - HTML/Silly.Gen

検出できるので提出無し。

202 名前:20 mailto:sage [2009/07/14(火) 17:57:26 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=455
 DL virus/解凍 virus

【中身】 10個入っています。MDLの2009/07/13分から。
ferarilatka.cn
 index.php - ttp://www.virustotal.com/jp/analisis/435fd78dc15360b728ec9cad49bed7595fafb728dbbba677491051eb0d6144f0-1247555796 (5/41)
 koxyebuth.pdf - ttp://www.virustotal.com/jp/analisis/3fd8635e72ee0475cc46677c3e21ac48a14c8d141906c912e1fc020c6e647cb5-1247555916 (11/41)
 xyachuch.swf - ttp://www.virustotal.com/jp/analisis/43cc6f7cdac810658b8d0aa960b6ce721eeba2cc28eff2bec47a739ba0eb80b6-1247556094 (7/41)
thetests.net
 index.php - ttp://www.virustotal.com/jp/analisis/a0f027cdd19ba22a2c3bf5c6bdfb95b771d995cd8a6bef46bb3f84246d71e5cf-1247557252 (4/41)
 index.htm - ttp://www.virustotal.com/jp/analisis/2440ba7e982ce64088f0cf71d00944fb54e43dd86d20b755586469384d65cd47-1247558937 (4/41)
 file.exe - ttp://www.virustotal.com/jp/analisis/80f0b51b1153675c5a111db83d1a409c3730a67f73273368197a35440fdfc7f6-1247559149 (1/41)
 e50i.pdf - ttp://www.virustotal.com/jp/analisis/b8ab18f2f9aba3e14fa83daf46f93534c33562521f91d5a3602b42aa5d231057-1247559485 (5/41)
bezopbizn.ru
 index.php - ttp://www.virustotal.com/jp/analisis/a7b2a0c365a7c8c252f8524e5d98de42110cadda6d5377a30935c18b37b6a019-1247560485 (2/41)
 pdf.pdf - ttp://www.virustotal.com/jp/analisis/d99f743ca2ead0c030604adec49ed5b8c3b06b571468d426c199234334c869a5-1247560715 (8/41)
 getexe.exe - ttp://www.virustotal.com/jp/analisis/357a0ba3ef66843d5cb8ff4e6098aa57f380888d710827b6d99a5d30fe222cbc-1247560865 (22/41)


203 名前:20 mailto:sage [2009/07/14(火) 18:05:22 ]
>>202
AVIRA9 7.01.04.229 黒 3,黒確定(VDF update待ち) 1,解析中 6

ferarilatka.cn
  index.php - (UNDER ANALYSIS)
  koxyebuth.pdf - HTML/Shellcode.Gen
  xyachuch.swf - (UNDER ANALYSIS)
thetests.net
  index.php - (UNDER ANALYSIS)
  index.htm - (UNDER ANALYSIS)
  file.exe - (TR/Dldr.Agent.duc) - VDF next update
  e50i.pdf - EXP/Pidief.WH
bezopbizn.ru
  index.php - (UNDER ANALYSIS)
  pdf.pdf - (UNDER ANALYSIS)
  getexe.exe - Worm/Bezopi.A

204 名前:20 mailto:sage [2009/07/14(火) 18:31:55 ]
>>194
AVIRA返答

krisnet.cn 
  mss8.exe - TR/Malex.121856E
wesssrett.cn
  index.php - JS/IFrame.dpr
www.fdsdffdfsf.cn
  of.htm - CLEAN(白)

黒2,白1でclose. 分割されてて、攻撃コードを含まない方は白になりました。
(zipでまとめて送った方も同じ結果でした。)

205 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 18:40:16 ]
>>193
McAfee (Active Protection 無効)4/9
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |new detection |generic downloader.x!ji |Trojan |yes
index.php |current detection |obfuscated script.h |Trojan |no
mainokk.exe |inconclusive | | |no
mss8.exe |inconclusive | | |no
of.htm |new detection |exploit-cve2009-1136 |Trojan |yes
of.js |heuristic detection |beav-shellcode |Application |no
theirtextlayout.pdf |current detection |exploit-pdf.b.gen |Trojan |no
typesbc.swf |current detection |exploit-cve2007-0071 |Trojan |no
update.exe |current detection |generic downloader.z |Trojan |no

206 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 18:42:13 ]
>>195
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
owc1.htm |heuristic detection |beav-shellcode |Application |no
owc1.js |heuristic detection |beav-shellcode |Application |no

207 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 18:45:57 ]
>>202
McAfee (Active Protection 無効)2/10
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
e50i.pdf |inconclusive | | |no
file.exe |inconclusive | | |no
getexe.exe |current detection |generic.dx!ys |Trojan |no
index.htm |inconclusive | | |no
index.php |inconclusive | | |no
index.php |inconclusive | | |no
index.php |current detection |obfuscated script.h |Trojan |no
koxyebuth.pdf |inconclusive | | |no
pdf.pdf |inconclusive | | |no
xyachuch.swf |inconclusive | | |no

208 名前:20 mailto:sage [2009/07/14(火) 19:52:28 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=456
 DL virus/解凍 virus

MDLの2009/07/13で確保できた分の残り15個。exeとpdfばっかりです。

今、VirusTotalがパンクしているので、この15個についてはインフォメーションがありません。
また、もしかしたら古いものとかも入っているかもしれません。m(_ _)m

AVIRA 7.01.04.231 黒11/15。
 analitics.in\load.exe - TR/Crypt.ZPACK.Gen
 axevoq.cn\installer_1.exe - TR/ATRAPS.Gen
 ircleaner.com\install.exe - TR/Dropper.Gen
 onuka.cn\mal.exe - TR/Dropper.Gen Trojan
 securitytrial.com\install.exe - TR/Dropper.Gen
 updatedate.cn\255.pdf - DR/Pdfka.NL.1
 updatedate.cn\464.pdf - DR/Pdfka.NL
 webalfa.cn\load.exe - TR/Crypt.ULPM.Gen
 webalfa.cn\spl.pdf - EXP/Pidief.WH
 www.tech2tech.cn\load.exe - TR/FraudPack.pjs
 www.tech2tech.cn\pdf.pdf - JS/Dldr.Small.CR.2

未検出
 download.anti-virus-best.info\PreInstaller.exe
 testtubefilms.com\onlinemovies.48022.exe
 updatedate.cn\installb.exe
 yourtubetop.com\onlinemovies.45095.exe
 
未検出分はAVIRAに提出済みです。

209 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 20:07:20 ]
検体提出の方d

カスペ2010 19:11

>>193 tane0452
4/9
virus HEUR:Trojan.Win32.Generic    /krisnet.cn/mss8.exe
virus Worm.Win32.Bezopi.b    /puppsik.biz/mainokK.exe
Exploit.Win32.Pidief.bby    /wesssrett.cn/theirTextLayout.pdf
Trojan-Downloader.Win32.Small.jwo    /wesssrett.cn/update.exe

>>195 tane0453
2/2
virus HEUR:Exploit.Script.Generic   owc1.htm、   owl1.js


>>197 tane0454
0/2 スルー


>>199 tane0455
2/10
virus Worm.Win32.Bezopi.a   tane0455.zip/bezopbizn.ru/getexe.exe
virus HEUR:Trojan-Downloader.Script.Generic   /ferarilatka.cn/index.php

検体提出します。
VTがoverloadになっている。orz

210 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 21:37:23 ]
>>202
>>208
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了



211 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 21:44:45 ]
>>208
Symantecから自動返答

filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.

filename: onlinemovies.45095.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes

filename: spl.pdf
machine: Machine
result: See the developer notes


書ききれないので続き

212 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 21:45:23 ]
>>208

>>211からの続き

filename: installb.exe
machine: Machine
result: See the developer notes

filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.

filename: installer_1.exe
machine: Machine
result: See the developer notes

filename: PreInstaller.exe
machine: Machine
result: See the developer notes

filename: onlinemovies.48022.exe
machine: Machine
result: See the developer notes

213 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 21:47:43 ]
スマソ>>211>>212見てなんかおかしいなと思ったら提出した検体が被ってたようだorz(圧縮ファイルを二つにわけて送ったらから恐らく選別ミス)

filename: install.exe
machine: Machine
result: This file is detected as AntiVirus2008.

結局検出確定はこれ一つだけか・・・

214 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 22:18:53 ]
>>208
McAfee (Active Protection 無効)6/15
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
installer_1.exe |inconclusive | | |no
preinstaller.exe |inconclusive | | |no
255.pdf |inconclusive | | |no
464.pdf |inconclusive | | |no
installb.exe |inconclusive | | |no
load.exe |inconclusive | | |no
spl.pdf |inconclusive | | |no
load.exe |new detection |fakealert-es |Trojan |yes

215 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/14(火) 23:34:45 ]
>>208 d
カスペ2010 23:09
10/15

Trojan-Dropper.Win32.Microjoin.gtm    analitics.in/load.exe
virus HEUR:Trojan.Win32.Generic    axevoq.cn/installer_1.exe
Trojan program Trojan.Win32.Agent.clls    onuka.cn/mal.exe
Exploit.JS.Pdfka.nl    updatedate.cn/464.pdf
Exploit.JS.Pdfka.nl    updatedate.cn/255.pdf
Trojan-Downloader.Win32.FraudLoad.eza    testtubefilms.com/onlinemovies.48022.exe
Trojan-Spy.Win32.Goldun.cbr    webalfa.cn/load.exe
Trojan-Downloader.Win32.FraudLoad.eza    yourtubetop.com/onlinemovies.45095.exe
Exploit.HTML.IframeBof    www.tech2tech.cn/pdf.pdf
Trojan.Win32.FraudPack.pjs    www.tech2tech.cn/load.exe

私が手一杯なので、できれば、代理提出お願いします。

216 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/15(水) 01:02:49 ]
カスペからの返事

>>195 (>>209) tane0453
2/2
owc1.htm_ - Trojan-Downloader.JS.ShellCode.g (←HEUR:Exploit.Script.Generic)

>>198(>>209) tane0454
0+2=2/2で閉鎖
owc2.htm、  owc2.js_ _ - Exploit.JS.ActiveX.ae (返事)

>>202(>>209) tane0455
2+1=3/10、残7
ferarilatka.cn\koxyebuth.pdf - Exploit.Win32.Pidief.bej (返事)


>>193(>>209) tane0452
a222.dnf5.com\1.exe は、KSN検知、KIS2010では危険なオブジェクトとして検知してアクセスをブロック。シグネチャ作成待ち。

.
前スレ705>>34(>>62,74) tane0416
5+2=7/57,.白50でクローズ
index22.php、index22[1-44].php (45files) - No malicious code were found in these files

昔大量に出したせいで、今頃渋滞しているのかな。orz

217 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/15(水) 02:35:31 ]
ここまでSymantecとa-squaredとMalwarebytesに提出しました

218 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/15(水) 08:55:20 ]
カスペからの返事&カスペ2010 8:09

>>208>>215) tane0456
10/15
Detected Trojan-Downloader.Win32.FraudLoad.wfxs   axevoq.cn\installer_1.exe (←HEUR:Trojan.Win32.Generic) (検知)

>>202(>>209,216) tane0455
2+1=3/10、残7のまま
ferarilatka.cn \ index.php - Trojan.HTML.IFrame.ao (←HEUR:Trojan-Downloader.Script.Generic) (返答)




219 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/15(水) 09:31:55 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=457
virus
milw0rmよりFirefox3.5のPoC。

220 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/15(水) 10:34:26 ]
カスペ2010 9:20
>>219 d tane0457
1/1
virus HEUR:Exploit.Script.Generic   tane0457.zip/fx35bof1.htm
検体提出します。


カスペからの返事と検知

>>208>>215,218) tane0456
先ほど提出
10+4=14/15,残1 (sectrial \ install.exe. )

ircleaner.com \ install.exe_   -   Trojan-Dropper.Win32.FrauDrop.fd (返事)
webalfa.cn \ spl.pdf   -   Exploit.Win32.Pidief.bem (返事)
updatedate.cn \ installb.exe   -    Trojan-Dropper.Win32.Mudrop.bsx (検知)
download.anti-virus-best.info \ PreInstaller.exe_ - not-a-virus:FraudTool.Win32.Agent.tl (返事)

>>193 tane0452
4+1=5/9、残4 (a222 \ 1.exe a444.\ of.js , wesss \ typeSBc,swf, index.php)
Trojan program Exploit.JS.Sheat.a   -  tane0452\www.fdsdffdfsf.cn\of.htm (返事)



221 名前:220 mailto:sage [2009/07/15(水) 13:38:52 ]
カスペからの返事

>>219 (>>220) tane0457 1/1で閉鎖
tane0457\fx35bof1.htm  -  Trojan program Exploit.JS.FoxFir.a (←HEUR:Exploit.Script.Generic)

>>208>>215,218,220) tane0456
10+(4+1)=15/15で閉鎖
securitytrial \ install.exe_ - Trojan-Dropper.Win32.FrauDrop.fd

>>185(>>188,191) tane0451
25/37、白1、残11
benpao2020.com\go1.jpg - 白

222 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/15(水) 16:44:57 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=458
infected

検体入手元
Malware Domain List 7/14分+リネージュ資料室更新分

各社一通り提出済み(NormanとZonerはパス)

223 名前:20 mailto:sage [2009/07/15(水) 17:47:44 ]
>>219
AVIRA 7.01.04.234 黒1/1
 fx35bof1.htm - HTML/Silly.Gen

>>208
AVIRA返答
 download.anti-virus-best.info\PreInstaller.exe - DR/FraudLoad.wfh
 testtubefilms.com\onlinemovies.48022.exe - TR/Dldr.FraudLoad.EZA.13
 updatedate.cn\installb.exe - TR/Crypt.ZPACK.Genで検出できるようにする
 yourtubetop.com\onlinemovies.45095.exe - TR/Dldr.FraudLoad.EZA.14

黒11+事後4=黒15/15でclose

224 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/15(水) 17:49:30 ]
>>219
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
fx35bof1.htm |new detection |js/exploit-bo.gen |Trojan |yes

225 名前:220 mailto:sage [2009/07/15(水) 18:41:14 ]
カスペにて提出して報告していたいたものですが、システム組み換えのため、しばらくtane0458以降の検体の提出
・報告は当面できません。
自作にて相性がトラブると復帰に時間がかかるかもしれません。

さすがに家族のPCで検体をDLするのは危ないので。w
カスペユーザーの方に、代理提出、報告していただけると助かります。

なお、tane0457までの検知メールが到着すれば、報告します。

代替機ほしいなぁ。



226 名前:20 mailto:sage [2009/07/15(水) 18:48:21 ]
>>222
AVIRA 7.01.04.237 黒29/48(未検出19)

221.1.204.243
  help.exe - TR/Dropper.Gen
Koobface
  setup.exe - TR/Downloader.Gen
picnews.bij.pl
  tubeplayer.exe - TR/Hijacker.Gen
sexfreetube.net
  free_stream_video.exe - TR/Dropper.Gen
sucupdate.com
  install(1).exe - TR/Dropper.Gen
  install.exe - TR/Dropper.Gen
www.hotgome.net
  1.exe - DR/PcClient.Gen
  GV11.html - JS/Dldr.Agent.2139
  GV122121.htm - JS/Dldr.Agent.ZM
  GV22.html - JS/Agent.afp
  GVbf.htm - HTML/Shellcode.Gen
  GVcx.htm - HTML/Rce.Gen
  GVfl.htm - TR/HTML.Agent.Q.1
  GVgg.htm - HTML/Shellcode.Gen
  GVxxz.htm - JS/Dldr.Small.CR.2
  www.hotgome.net.htm - JS/Dldr.IFrame.1618
  www.okireng.com.htm - JS/Dldr.IFrame.1618

227 名前:20 mailto:sage [2009/07/15(水) 18:49:27 ]
>226 続き
www.hotgome.net\swf
  GG115.swf - EXP/Flash.Gen
  GG16.swf - EXP/Flash.Gen
  GG28.swf - EXP/Flash.Gen
  GG45.swf - EXP/Flash.Gen
  GG47.swf - EXP/Flash.Gen
  GG64.swf - EXP/Flash.Gen
  VV115.swf - SWF/Dldr.Agent.F.1
  VV16.swf - SWF/Dldr.Agent.F.1
  VV28.swf - SWF/Dldr.Agent.F.1
  VV45.swf - SWF/Dldr.Agent.F.1
  VV47.swf - SWF/Dldr.Agent.F.1
  VV64.swf - SWF/Dldr.Agent.F.1

228 名前:20 mailto:sage [2009/07/15(水) 18:52:10 ]
>226 更に続き・AVIRA未検出分

Koobface
  116.48.213.122.htm
  65.68.100.172.htm
  69.153.57.227.htm
  69.155.133.21.htm
  71.249.178.74.htm
  77991db0140a4f7cbca6f9f3dba52f9c.htm
  k-lgbg0kiiiq.js
picnews.bij.pl
  video.htm
Win32Frethog!RAR
  cc.rar
  cc1.rar
  ff.rar
  ff1.rar
  help(1).rar
  help.rar
  help1.rar
  ll.rar
  uu.rar
  uu1.rar
www.hotgome.net
  GV14.htm

提出して頂いているようなので、様子見(私の方からは未提出)

229 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/15(水) 20:06:06 ]
ここまでSymantecとa-squaredとMalwarebytesに提出しました

230 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/15(水) 23:43:33 ]
>>222
カスペ回答
<略>
These files are already detected.

116.48.213.122.htm_, GVcx.htm_, GVfl.htm_, video.htm_
No malicious code were found in these files.

install(1).exe_ - not-a-virus:FraudTool.Win32.SystemSecurity.pc,
install.exe_ - not-a-virus:FraudTool.Win32.SystemSecurity.pb
New potentially risk software was found

k-lgbg0kiiiq.js_ - Trojan-Downloader.JS.Agent.ehp
New malicious software was found



231 名前:20 mailto:sage [2009/07/16(木) 13:04:07 ]
>>203
AVIRA返答 書き忘れ分。

ferarilatka.cn
  index.php - HTML/Agent.mldl.6
  xyachuch.swf - CLEAN(白)
thetests.net
  index.php - JS/Dldr.Agent.aas
  index.htm - JS/Dldr.Agent.aaq
bezopbizn.ru
  index.php - JS/Dldr.Agent.pag
  pdf.pdf - EXP/Pidief.KL

黒(3+1)+新種5=9/10,白1でclose.

232 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/16(木) 15:00:56 ]
中国産おなじみゲームパス系1ファイルです
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=459
infected

入手元
www●coconlovely●com/wmv.jar

結果: 24/41 (58.54%)
www.virustotal.com/jp/analisis/e763dd9b23328d74a0ab6070723aa12a85526ba6b551e0dfc1379ede5fe022df-1247723770

233 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/16(木) 17:35:18 ]
>>232
Symantec、Pandaへ提出完了

234 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/16(木) 17:46:20 ]
>>232
Symantecから自動返答

filename: wmv.jar
machine: Machine
result: See the developer notes

filename: wmv.scr
machine: Machine
result: See the developer notes


235 名前:20 mailto:sage [2009/07/17(金) 12:01:56 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=460
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=461
 DL virus/解凍 virus

tane0460の方は、ttp://www■bnret■com/web.exe です。
 ttp://www.virustotal.com/jp/analisis/48bf0404fb5150210bffcb3cadedbf73b6ffdfcf9b495e22ad03219a3c35660c-1247797010 (19/41)

AVIRAには提出済みです。gnomeさんやFFXIさんの所の情報では、
 ttp://www.virustotal.com/analisis/055757dfc4ffd9a3bc1a53fe965881dfb56268bfc7833968a1b26675376dda0a-1247733262
 → VT最後 ttp://www.virustotal.com/analisis/055757dfc4ffd9a3bc1a53fe965881dfb56268bfc7833968a1b26675376dda0a-1247788149
だったらしいので、他ベンダーの検出名が同じなのに、ハッシュが変わってAVIRAが未検出に戻ったということは、
どうも中身が入れ替わったっぽい。

-----
tane461の方は、元になっている ttp://www■msrmn■com/のサイト一式。
スクリプトが細かく分割されているので、多分これを丸ごと提出しないと、受け取った方は意味不明だと思う...

こっちもAVIRAには提出済み。ちなみに、vcr.htmを結合してVTにかけるとこんな感じ。
 ttp://www.virustotal.com/jp/analisis/9c753afaed09cb8bd5f1ce15a52a7beb1422efbdb1fae5618ef3c045b2861cd2-1247797647 (7/41)

236 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/17(金) 16:38:36 ]
>>235
tane0460
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
web.exe |new detection |generic downloader.x!jr |Trojan |yes

237 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/17(金) 16:40:57 ]
>>235
tane0461
McAfee (Active Protection 無効)0/16
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
14.js |inconclusive | | |no
15.js |inconclusive | | |no
16.js |inconclusive | | |no
index.htm |inconclusive | | |no
index.html |inconclusive | | |no
js.js |inconclusive | | |no
of.htm |inconclusive | | |no
of.js |heuristic detection |beav-shellcode |Application |no
real.js |inconclusive | | |no
real1.js |inconclusive | | |no
tongji.js |inconclusive | | |no
turl.js |inconclusive | | |no
vc14.htm |inconclusive | | |no
vcfl.htm |inconclusive | | |no
vcfll.htm |inconclusive | | |no
vcr.htm |inconclusive | | |no

238 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/18(土) 22:44:04 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=462
infected

■検体入手元
Malware Domain List 7/14分+リネージュ資料室更新分

AntiVirにはftp経由で提出完了。他はこれから提出します。

239 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/18(土) 22:45:30 ]
まちがえた…

×:Malware Domain List 7/14分+リネージュ資料室更新分
○:Malware Domain List 7/17分+リネージュ資料室更新分

redirects to trojan
p://www■hotgome■net/
p://www■okireng■com/
p://www■okireng■com/GVmp■htm
p://www■okireng■com/GVof■htm
p://www■okireng■com/go■jpg

Trojan
p://174■133■73■90/p0519/2■0/ms■bin

pdf exploit
p://yawxowaj■cn/22/update■php?id=6
p://yawxowaj■cn/22/oldBelow■pdf

NDIS filter driver
p://antimalwareaupdateserver■com/Driver■exe

240 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/18(土) 22:51:05 ]
>>238
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

Symantecから自動返答

filename: GVmp.htm
machine: Machine
result: See the developer notes

filename: ms.bin
machine: Machine
result: See the developer notes

filename: Driver.exe
machine: Machine
result: This file is detected as Trojan.Dropper. www.symantec.com/avcenter/venc/data/trojan.dropper.html

filename: load.exe
machine: Machine
result: See the developer notes


ちなみに現在はBitDefenderTotalSecurity2010βをテスト中
かなり軽いですね



241 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/18(土) 23:54:53 ]
>>238
McAfee (Active Protection 無効)2/8
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
driver.exe |inconclusive | | |no
gvmp.htm |inconclusive | | |no
gvof.htm |inconclusive | | |no
load.exe |new detection |generic.dx!bcn |Trojan |yes
oldbelow.pdf |inconclusive | | |no
www.okireng.com.htm |heuristic detection |with fishy extension |Application |no

242 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/19(日) 01:21:32 ]
>>238
各社一通り提出完了

提出パスしたところ > Norman,Zoner,Symantec(PandaとMcAfeeは報告出てたのに重複提出してしまった orz)
あとで提出する予定 > AntiyLabs(今日はftp鯖閉じてるみたいなので週明けにでも)

tane453,454,455,456,457,460,461 に関しても同梱して送付完了。マイナー所各社宛、ここまで残件ない…と思う。

243 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/19(日) 15:51:17 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=463
virus

Firefox(3.5.1含む)のExploit
ttp://isc.sans.org/diary.html?storyid=6829
同梱のWMPの画像はアップローダの下限(1kB)回避用のごみなので除外で。

244 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/19(日) 17:21:01 ]
>>243
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
今回はAvira、ESET、Kaspersky、Ahnlabにも提出


245 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/19(日) 17:43:07 ]
>>243
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
fx351.htm |inconclusive | | |no
fx351.js |inconclusive | | |no

246 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/19(日) 23:02:41 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=464
infected

■■■ 検体入手元 ■■■
Malware Domain List 7/18分+リネージュ資料室更新分

p://www■miwcmac■com/JP/mpg■scr
p://www■wokutonoken-online■com/JP/mpg■scr
p://proantispywarescanv3■com/download■php?id=02029-5
 p://proantispywarescanv3■com/download/Setup-8d5_002029-5■exe
p://theinstalls■com/files/uprograms/dailybucks/install■48349■exe
p://theinstalls■com/files/uprograms/dailybucks/dailybucks_install■exe
p://x■b76■net/winres■exe
p://dapda■cn/setup■exe
p://installmoney■com/svchost■exe
p://download■microsoft-update-center■com:88/files/db■exe
p://v-i-e-w■net/xrun■tmp
p://212■117■174■14/installnew2■exe
p://heyjoy■cn/612■exe
p://kerchex■biz/cash■exe
p://www■dimensi0n■altervista■org/team/wlachocia■txt

AntiVirには未検出分をftp経由で提出済み。他はこれから提出します。

247 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/19(日) 23:12:15 ]
>>246さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました

248 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/19(日) 23:41:19 ]
>>246
Panda、GDATA(=avast!&BitDefender)へ提出完了
今回もESET、Kaspersky、Ahnlabに提出

249 名前:248 mailto:sage [2009/07/19(日) 23:52:30 ]
TrendMicroにも提出しようと思ったがエラー起こすので辞めた
誰か変わりに提出してください

250 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/20(月) 00:00:41 ]
>>246
各社一通り提出完了。今回も、NormanとZonerは面倒なのでパス。
AntiyLabsは今日もFTP鯖閉じてるので、数日内に送っときます。

>>249
うちも1回エラー起こしたが、(他と同時に送信してたので遅くてタイムアウト?)
もう1回やったら送信完了しました。



251 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/20(月) 00:02:45 ]
>246
マカフィー自動返答

File Name        Findings        Detection              Type  Extra
--------------------|-------------------|----------------------------|------|-----
612.exe        |new detection    |generic.dx!bde          |Trojan|yes
dailybucks_install.e|current detection  |fakealert-winwebsecurity.gen|Trojan|no
db.exe          |inconclusive    |                  |    |no
installnew2.exe    |current detection  |fakealert-winwebsecurity.gen|Trojan|no
mshost1.exe      |inconclusive    |                  |    |no
setup.exe        |new detection    |generic.dx!bde          |Trojan|yes
wlachocia.txt    |current detection  |backdoor-cus!php        |Trojan|no
xrun.tmp        |inconclusive    |                  |    |no
1199.exe        |heuristic detection|generic backdoor!hv.k    |Trojan|no
install.48349.exe  |inconclusive    |                  |    |no
mpg.scr        |heuristic detection|generic backdoor!hv.k    |Trojan|no
mshost.exe      |inconclusive    |                  |    |no
setup-8d5_002029-5.e|inconclusive    |                  |    |no
svchost.exe      |current detection  |generic.dx!baw          |Trojan|no
winres.exe      |current detection  |generic.dx!zg          |Trojan|no

252 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/20(月) 00:05:45 ]
>>246
McAfee (Active Protection 無効)5/15
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
612.exe |new detection |generic.dx!bde |Trojan |yes
db.exe |inconclusive | | |no
install.48349.exe |inconclusive | | |no
mshost.exe |inconclusive | | |no
mshost1.exe |inconclusive | | |no
setup-8d5_002029-5.e|inconclusive | | |no
setup.exe |new detection |generic.dx!bde |Trojan |yes
xrun.tmp |inconclusive | | |no
1199.exe |heuristic detection |generic backdoor!hv.k |Trojan |no
mpg.scr |heuristic detection |generic backdoor!hv.k |Trojan |no

253 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/20(月) 10:13:03 ]
>>246
トレンドマイクロ返答。但し、どのファイルに該当するかは不明。
TROJ_DROPPER.PXR
TROJ_RSTDOOR.T
TROJ_FAKEAV.BMW
TROJ_DROPPER.PXQ

254 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/20(月) 15:55:58 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=465
infected

■検体入手元
Malware Domain List 7/19分

■検出名(複数社で補ってます…)

2006.aninite.at/test(1).txt : Backdoor:PHP/Shell.C(Microsoft) , Backdoor.PHP.ALI(BitDefender)
dunpo.wisegiga.net/id.txt : PHP:PHPInfo-A(Avast)
piffopuff.se/test.txt : Trojan:PHP/Agent.A(Microsoft) , PHP.ShellExec(Ikarus)
sunset-travel.ro/devid.txt : SPR/PHP.ID program(AntiVir)
www.hotgome.net/go.jpg : HTML/Shellcode.Gen HTML script virus(AntiVir)
www.hotgome.net/GVmp.htm : JS:MalHead-U(Avast) , Troj/Iframe-CJ(Sophos)
www.hotgome.net/GVof.htm : JS:CVE-2009-1136-A(Avast) , Exploit.JS.Sheat.a(Kaspersky)
www.hotgome.net/www.hotgome.net.htm : JS/Dldr.IFrame.1618 Java script virus(AntiVir)
www.justiciasalta.gov.ar/c99.txt : PHP/C99Shell.B PHP virus(AntiVir)

各社一通り提出済み。
その他、週末で保留になってたAntiyLabs宛も提出完了。

255 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/20(月) 18:56:21 ]
>>246
カスペ返答

1199.exe_,mpg.scr_ - Backdoor.Win32.PcClient.atzu,
612.exe_,setup.exe_ - Trojan-Dropper.Win32.Agent.awov,
dailybucks_install.exe_ - Trojan-Downloader.Win32.FraudLoad.whut,
db.exe_ - Trojan-Downloader.Win32.VB.phg,
install.48349.exe_ - Trojan.Win32.FraudPack.pow,
installnew2.exe_ - Trojan-Downloader.Win32.FraudLoad.whue,
mshost1.exe_,svchost.exe_ - Trojan.Win32.Tdss.ajuu,
Setup-8d5_002029-5.exe_ - Trojan-Downloader.Win32.FraudLoad.fac,
winres.exe_ - Trojan-Dropper.Win32.Agent.aven,
xrun.tmp_ - Backdoor.Win32.Bifrose.bjnb
These files are already detected.

mshost.exe_ - Trojan.Win32.Agent.cqva,
wlachocia.txt - Backdoor.PHP.Rst.as
New malicious software was found

256 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/21(火) 00:51:49 ]
>>254
トレンドマイクロ返答。但し、どのファイルに該当するかは不明。

BKDR_SHELL.BW
TROJ_PHPINFO.J
BKDR_CARDST.BU

257 名前:225 mailto:sage [2009/07/21(火) 15:52:02 ]
カスペからの返事

>>193(>>209,220) tane0452
4+2=6/9
of.js - Exploit.JS.Agent.aks

At the moment this file is detected.

>>195>>209,216) tane0453
2/2でシグネチャ・ベースでクローズ

owc1.js - Exploit.JS.Sheat.a (←HEUR:Exploit.Script.Generic)

This file is detected because it contains the instruction which attempts to download and install
malicious program on your computer by using security breach.
(このファイルは検知されています。なぜなら、セキュリティ・ホールを突いて、PCに悪意のあるプログラムを
ダウンロードし、インストールしようとする方法がコードに記載されているから)



返事がなくて、既に検知しているものはあるかも。
あとで、tane0457まで状況報告します。

まだ、新検体は代理提出お願いします。

258 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/21(火) 17:25:57 ]
カスペ2010 14:45

>>185(>>188,191,221) tane0451
25+1=26(うちHEUR7),白0,残11

Exploit.JS.DirektShow.k   benpao2020.com\go1.jpg (白→黒訂正)
Trojan-Downloader.JS.Iframe.bkq   www.skywebsv.com\MsAccess.htm (←HEUR:Exploit.Script.Generic)

スルー11内訳(カッコ内は最新VT検出数)
(1)antiviruspcscannerv7.com
antiviruspcscannerv7.com.htm (12/41)

(2) benpao 2020.com
360.htm (3/41)、a1a.htm (3/41)、t.js (4/41)

(3)upload.octopus-multimedia.be
gen.php (0/41)

(4)wwwskywebsv.com
Darkst.htm (0/39)、Ms08011.htm,Ms08053.htm (最後2つは互いに同一ハッシュ) (0/40)
依然として、virus HEUR:Exploit.Script.Genericのまま    /Blog.htm   /web(1).htm   /web.htm

(5)wwwteamerblog.com
Darkst.htm, Ms08011.htm, Ms08053.htm…(4)と同一ハッシュ (0/41)
依然として、virus HEUR:Exploit.Script.Genericのまま    /blog.htm   /fc2.htm    /FFXI-search.htm   /MsAccess.htm    /play.htm


>>193(>>209,220, 257) tane0452
4+3=7/9 (残2: wesssrett.cn\ index.php, typeSBc.swf)
Trojan-Dropper.Win32.Agent.avxs   a222.dnf5.com\1.exe

場合によっては、未決分について、代理提出お願いします。

259 名前:20 mailto:sage [2009/07/22(水) 00:12:27 ]
やっと全鯖巻き添え規制解除...ということで

ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=466
 DL virus/解凍 virus

【中身】 6個入り
bnret.com
  web.exe - www.virustotal.com/analisis/404ba4cc8e9186cd43e6728f91d1a7269b4a449c3b0d7054527ef0ef4c606d61-1248185475 (23/40)
bvgg6.cn
  02.js - www.virustotal.com/analisis/6905af6e35a59cde112418c12717f0a333ba5acb9869714fdccdf5278283b6f7-1248185538 (11/41)
  a.js - www.virustotal.com/analisis/b8ae55dd10e918b29db4ab0594ca01cff19ef5737f912b7f645c8b3543e8569b-1248187146 (11/41)
  go.jpg - www.virustotal.com/analisis/5bc1318e9e8ac790f406e1197df5fa7255d0e6acb85a12d28a8f8bacecc9755f-1248187598 (9/38)
  go1.jpg - www.virustotal.com/analisis/f17f1075f9bcc741c7486efb0700825d448a3d4e0057fd99a8a832ae396b9ea8-1248163962 (23/41)
seriall.com
  Virtob.exe - www.virustotal.com/analisis/9aa12bd18ea0ceb05689f5efd887271258563c43f201c125db4c09282b49a365-1248186096 (16/41)

web.exeは、>235が落ちてくるファイルが入れ替わったので、同じサイトから。やっぱり定期的に入れ替えてますね。
あと、KasperskyのDirektShowの通し番号、もう l(エル) まで来たのか...速ぇーなぁ。

260 名前:20 mailto:sage [2009/07/22(水) 00:23:09 ]
>>259
AVIRA 7.01.05.11 黒6/6

bnret.com
  web.exe - TR/Dldr.Small.jwy.2
bvgg6.cn
  02.js - HTML/Shellcode.Gen HTML
  a.js - HTML/Shellcode.Gen HTML
  go.jpg - HTML/Shellcode.Gen HTML
  go1.jpg - EXP/Jippy.697
seriall.com
  Virtob.exe - TR/Crypt.ZPACK.Gen

-----
Kaspersky 2009/07/21 21:35:00 黒(4+1)/6

bnret.com
  web.exe - Trojan-Downloader.Win32.Small.jwy
bvgg6.cn
  02.js -
  a.js - Exploit.JS.DirektShow.j
  go.jpg - Exploit.JS.DirektShow.j
  go1.jpg - Exploit.JS.DirektShow.l
seriall.com
  Virtob.exe - (Virus.Win32.Virut.ce) ※ 既に返答あり/新種

AVIRAは全検出なので何も無し。Kasperskyは未検出分提出済み。(内、1個返答を受領済み)



261 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/22(水) 00:59:09 ]
>>259さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました

262 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/22(水) 01:04:18 ]
>>259
Panda、GDATA2010(=avast!、BitDefender)、ESETへ提出完了

263 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/22(水) 18:38:06 ]
>>259
McAfee (Active Protection 無効)1/6
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
02.js |heuristic detection |beav-shellcode |Application |no
a.js |heuristic detection |beav-shellcode |Application |no
go.jpg |heuristic detection |beav-shellcode |Application |no
virtob.exe |inconclusive | | |no
web.exe |inconclusive | | |no

264 名前:pp [2009/07/22(水) 19:02:22 ]
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=467
最近流行ってるアドウェア
某動画サイトからポップアップで開かれたサイトより収集
実行後juicytoolbarとほか以下のものがコンパネで確認
Internet Saving Optimizer
Media Access Startup
System Search Dispatcher

駆除は以上のものをアンインストールでOK


265 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/22(水) 19:30:50 ]
>>264
パスおながい

266 名前:20 mailto:sage [2009/07/22(水) 22:35:27 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=468
 DL virus/解凍 virus

【中身】
ecard.exe
 ttp://www.virustotal.com/jp/analisis/4068fff31c35747e90621078716047805301a34f1025be0d8c78da4134a10475-1248269772 (9/41)

1個だけなんだけど、今日メールで送りつけられてきた分で、ecard系の新種。

AVIRA 7.01.05.16 - TR/Crypt.ZPACK.Gen
Kaspersky 2009/07/22 20:45:00 -

Kaspersky 提出済み。

267 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/22(水) 23:20:11 ]
>>266
Panda、GDATA(=avast!&BitDefender)へ提出完了
AviraとESETは既に検出済みなので提出せず

268 名前:267 mailto:sage [2009/07/22(水) 23:37:32 ]
>>266
TrendMicroにも提出完了

269 名前:20 mailto:sage [2009/07/23(木) 00:12:14 ]
>>266 Kaspersky返答

ecard.exe - Backdoor.Win32.UltimateDefender (黒,新種)

何か、Kasperskyらしくない、珍しい検出名だ...(w

270 名前:20 mailto:sage [2009/07/23(木) 00:45:06 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=469
 DL virus/解凍 virus

【中身】 3個
beauty-hot-pornxxx.com
  TubeViewer.ver.6.48103.exe - ttp://www.virustotal.com/jp/analisis/a9b1d7ef815d810be52314a5364faf557e4e90ddd07c93ef701b524a0621c3ca-1248256126 (8/37)
youtube-adult.name
  setup.exe - ttp://www.virustotal.com/jp/analisis/3457dac65b42bb3cfd39c5f8a80e4807e11730755abaf3998de3f8cc46fa30d8-1248277309 (22/38)
seriall.com
  Virtob_new.exe - ttp://www.virustotal.com/jp/analisis/76ace53e03f73250c396facfa6b12e0f0d28063fd2ac28f1bd6f0b10ef864581-1248277242 (15/41)

上2個は、MLDの2009/07/21で、RFIでなかったもの。 つか、1,769個リストアップされて、1,767個がRFIって何じゃそりゃ...orz
最後の1個は、>259の同サイトの物が入れ替わったので。



271 名前:20 mailto:sage [2009/07/23(木) 00:48:44 ]
>>270
AVIRA 7.01.05.16 黒3/3

beauty-hot-pornxxx.com
  TubeViewer.ver.6.48103.exe - TR/Crypt.XPACK.Gen
seriall.com
  Virtob_new.exe - TR/Crypt.ZPACK.Gen
youtube-adult.name
  setup.exe - TR/Dropper.Gen

-----
Kaspersky 2009/07/23 0:13:00 黒1/3

beauty-hot-pornxxx.com
  TubeViewer.ver.6.48103.exe -
seriall.com
  Virtob_new.exe -
youtube-adult.name
  setup.exe - Trojan-Downloader.Win32.FraudLoad.wfqy

Kasperskyは未検出分提出済み。

272 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/23(木) 01:03:49 ]
>>270
Symatenc、Panda、GDATA2010(=avast!&BitDefender)へ提出完了

TrendMicro、ESETにも提出

273 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/23(木) 01:16:30 ]
>>270
ちなみにVTで出てない結果

NortonInternetSecurity2009

Downloader.MisleadApp:TubeViewer.ver.6.48103.exe
後はVT通りの結果で検出数は2/3


PandaGllobalProtection2010

setup.exe以外はヒューリスティックで検出、検出数2/3


GDATA2010はVT通りの結果なので特に報告せず

TrendMicroとESETは提出してるものの手元に試せる環境がないので報告できません(ただしウイルスバスターが2010になったら試すかも、いつになるかはわかりませんが)

274 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/23(木) 17:39:05 ]
>>270
McAfee (Active Protection 無効)1/3
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
tubeviewer.ver.6.481|inconclusive | | |no
virtob_new.exe |inconclusive | | |no


Active Protection 有効にてのスキャン
dat5683
beauty-hot-pornxxx.com
  TubeViewer.ver.6.48103.exe(スルー)
youtube-adult.name
  setup.exe (FakeAlert-EZ 削除)
seriall.com
  Virtob_new.exe (スルー)

dat5685
beauty-hot-pornxxx.com
  TubeViewer.ver.6.48103.exe(スルー)
youtube-adult.name
  setup.exe (FakeAlert-EZ 削除)
seriall.com
  Virtob_new.exe (Artemis!056604460358)

>>189の件といいXPがダメダメなのかMcAfeeがダメダメなのかorz..orz

275 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/23(木) 18:01:15 ]
>>270
PandaとNortonは全検出完了
VT見るとMcAfeeも全検出可能になってる

276 名前:264 mailto:sage [2009/07/23(木) 18:12:11 ]
すまんwパス忘れてた
パスはmalware

277 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/23(木) 18:22:39 ]
>>276
McAfee
検出名:Adware-DoubleD (怪しいプログラム)

278 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/23(木) 23:23:56 ]
>>264
各ベンダーに提出したものの白判定が多い

Avira

25386136 juicyaccess_installer.exe 652.27 KB CLEAN


Symantec

filename: juicyaccess_installer.exe
machine: Machine
result: This file is clean


Kasperskyにも提出したがどう反応するんだか・・・

279 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/24(金) 03:53:49 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=470
virus

ttp://www.adobe.com/support/security/advisories/apsa09-03.html
milw0rmより、FlashPlayerの脆弱性を利用したswfを含むpdf。
# uudecodeなんて10年以上使ってなかったぜ…

280 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/24(金) 05:45:02 ]
>>279
ttp://www.virustotal.com/jp/analisis/635a1814c2a51c650a29f438cf4cb51cab9a9e294f5aeb3aa63866388ff87a9b-1248381246
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
apsa0903.pdf |inconclusive | | |no



281 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/24(金) 15:31:49 ]
>>279
Panda、TrencMicroに提出

282 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/24(金) 17:57:02 ]
カスペ2010 16:06 代理提出の方d

>>232d tane0459
0+1=1で閉鎖
Backdoor.Win32.PcClient.atre    /wmv.jar/wmv.scr/1199.exe

>>235d tane0460 1/1で閉鎖(VT通り)
Trojan.Win32.Agent2.cglu    www.bnret.com/web.exe

>>235d tane0461
7/16 (残9)
Trojan.JS.Zapchast.q    /msrmn.com/16.js
Exploit.JS.Sheat.c    /msrmn.com/of.htm
Trojan-Downloader.JS.ShellCode.h    /msrmn.com/of.js
Exploit.JS.Agent.ald    /msrmn.com/real.js
Exploit.JS.RealPlr.qp    /msrmn.com/real1.js
Trojan-Downloader.JS.Agent.eht    /msrmn.com/vc14.htm    /msrmn.com/vcfl.htm

>>238d tane0462
6/8 (残2:スルー ms.bin,  GVmp.htm)
virus Email-Worm.Win32.Joleee.crr    \pdf exploit_yawxowaj.cn\load.exe
Exploit.Win32.Pidief.bes    \pdf exploit_yawxowaj.cn\oldBelow.pdf
Exploit.JS.DirektShow.gen    \www.okireng.com\go.jpg
Exploit.JS.Sheat.a    \www.okireng.com\GVof.htm
Trojan-Downloader.JS.Agent.egp    \www.okireng.com\www.okireng.com.htm
Trojan.Win32.FraudPack.poy    \antimalwareaupdateserver.com\Driver.exe

>>243d >>244代理提出d tane0463
0+2=2/2で閉鎖
Exploit.Win32.FireFox.a    fx351.htm   fx351.js

283 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/24(金) 18:01:23 ]
カスペ2010 16:06 代理提出の方d

>>254d tane0465
5/9  (残4:test(1).txt),  id.txt,  test.txt,  GVmp.htm)
Trojan.PHP.PHPInfo.g    /sunset-travel.ro/devid.txt
Exploit.JS.DirektShow.gen    /www.hotgome.net/go.jpg
Exploit.JS.Sheat.a    /www.hotgome.net/GVof.htm
Trojan-Downloader.JS.Agent.egp    /www.hotgome.net/www.hotgome.net.htm
Backdoor.PHP.C99Shell.a    /www.justiciasalta.gov.ar/c99.txt


>>259d (>>260代理提出d)  tane0466
5/6  (残1:02.js)
Trojan-Downloader.Win32.Small.jwy    /bnret.com/web.exe
Exploit.JS.DirektShow.j    /bvgg6.cn/a.js   /bvgg6.cn/go.jpg
Exploit.JS.DirektShow.l    /bvgg6.cn/go1.jpg
virus Virus.Win32.Virut.ce    /seriall.com/Virtob.exe

>>264d tane 0467
0/1 (残:juicyaccess_installer)

>>266 d tane0468
0+1=1/1で閉鎖

>>270d (>>266,269代理提出&返答掲載d)   tane0469 >>271代理提出d
1+2=3/3で閉鎖
Trojan-Downloader.Win32.Fraudload.faz    /beauty-hot-pornxxx.com/TubeViewer.ver.6.48103.exe
Virus.Win32.Virut.ce    /seriall.com/Virtob_new.exe

>>279d tane0470
1/1で閉鎖(VT通り)
Exploit.Win32.Pidief.bes    /apsa0903.pdf

284 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/24(金) 18:07:14 ]
カスペ2010 16:06 代理提出の方d

>>246d tane0464
13+2=15/15で閉鎖 (>>255さんの報告の通り)

以上未検出検体は提出します。

285 名前:20 mailto:sage [2009/07/24(金) 22:15:35 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=471
 DL virus/解凍 virus

【中身】
ecard.exe
 ttp://www.virustotal.com/jp/analisis/f3be3edf60cf8423a37d595d6104641123986f75e83a34fc6fe6309b99cae570-1248440146 (22/41)

今日来た分。 何か、またecard系が良く来るようになった...>266よりはちょっと古いものっぽい。

286 名前:20 mailto:sage [2009/07/24(金) 22:18:37 ]
>>285
AVIRA 7.01.05.27
ecard.exe - TR/Crypt.ZPACK.Gen

Kaspersky 2009/07/24 20:34:00
ecard.exr - Trojan-Spy.Win32.Zbot.zur

どっちも検出可,検体提出無し。

287 名前:284 mailto:sage [2009/07/24(金) 22:18:41 ]
カスペからの返事

>>259 (>>283) tane0466
5+1=6/6でクローズ
02.js  -   Exploit.JS.Agent.aln

>>193(>>209,220,257,258) tane0452
4+(3+2)=9/9でクローズ
wesssrett.cn \ index.php   -   Trojan.JS.Agent.akj,
wesssrett.cn \ typeSBc.swf   -   Exploit.SWF.Downloader.nw

>>185(>>188,191,221,258) tane0451
25+2=27/39、残10(うち7ファイルほぼ白)

antiviruspcscannerv7.com \ antiviruspcscannerv7.com.htm _ -  Trojan-Downloader.JS.FraudLoad.c

wwwskywebsv.com \ Blog.htm  -  Trojan-Downloader.JS.Iframe.blq   (←HEUR:Exploit.Script.Generic)
※ヒューリスティック検知のWeb(1).htm,Web,htmも同一ファイルか。

wwwteamerblog.com \ fc2.htm  -  IM-Worm.Win32.Sohanad.az  (←HEUR:Exploit.Script.Generic)
※ヒューリスティック検知のblog.htm, play.htmも同一ファイルか

benpao2020.comの3つのファイル("360.htm", "t.js" and "a1a.htm")のうちのどれか
Trojan-Downloader.JS.Iframe.blr
どのファイルかは明記されていないので特定できず。(t.js or 360.htm)

>>254(>>283) tane0465
5+1=6/9、白2、,残1
test(1).txt   -  Trojan.PHP.Agent.t
id.txt,  test.txt   -  No malicious software was found in the attached file.

288 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/24(金) 22:23:38 ]
>>285
GDATA2010(今回はBitDefenderのみ)へ提出完了

289 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/24(金) 23:16:52 ]
>>280
EXTRA.DAT到着

>>285
McAfee (Active Protection 無効)0/1
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
ecard.exe |new detection |pws-zbot |Trojan |yes

290 名前:287 mailto:sage [2009/07/25(土) 07:09:10 ]
カスペ2010 6:15

>>185(>>188,191,221,258,287) tane0451
23+(2+2+1)=28/37、白2、残7(VT上0%なのでほぼ白か)で仮閉め、総ファイル数訂正orz
Trojan-Downloader.JS.Iframe.blr      /benpao2020.com\t.js
360.htm,  a1a.htm  -  白


>>131 tane0441
3+4=7/7に訂正。閉鎖(>>137と混同して報告してしまった。)>>141との差分は以下。
Trojan-Dropper.Win32.Agent.avpm      1.exe
Trojan program Trojan.Win32.BHO.vnc      1_1.exe
Trojan program Trojan-GameThief.Win32.WOW.qyd      2.exe
Trojan program Trojan-PSW.Win32.Agent.nja      2_1.exe




291 名前:20 mailto:sage [2009/07/25(土) 09:23:21 ]
ecard系、また別種が来た。

ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=472
 DL virus/解凍 virus

【中身】
ecard.exe
 ttp://www.virustotal.com/jp/analisis/c7ac32318d05ac7f3de2724429af81c933f1427a68b9894832940c48fbebd200-1248481430 (18/41)

AVIRA 7.01.05.27
 ecard.exe - TR/Crypt.ZPACK.Gen

Kaspersky 2009/07/24 20:34:00
 ecard.exe -

Kaspersky提出済み。

292 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/25(土) 09:34:57 ]
>>291
Panda、GDATA(今回はavast!のみ)、TrendMicroに提出

293 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/25(土) 12:27:52 ]
カスペからの返事

>>185(>>188,191,221,258,287,290) tane0451 (検出)
wwwskywebsv.com \ Blog.htm  Web(1).htm  Web,htm-  Trojan-Downloader.JS.Iframe.blq   (←HEUR:Exploit.Script.Generic)

>>254(>>283,287) tane0465 (返事)
5+事後1=6/9、白3でFA

GVmp.htm - No malicious code was found in this file.

>>291
d & 代理提出d 様子見してみます。


294 名前:20 mailto:sage [2009/07/25(土) 13:40:29 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=472
 DL virus/解凍 virus

【中身】 11個,MDL 2009/07/23分
antispy2009.net
  setup.exe - ttp://www.virustotal.com/jp/analisis/f59e7772321ee44d22b771eacc0c49022beb405abf873d245c45455031d665c6-1248472421 (22/41)
bestdomus.com
  Klitecodec.exe - ttp://www.virustotal.com/jp/analisis/5fa7fd2271ba0c8b394a2089c519f95dfe896e1084f5bec949d7a6f086a5cb73-1248451393 (28/41)
cbbugltjud.com
  udvvmquz.exe - ttp://www.virustotal.com/jp/analisis/07b1419445596a531070c4730439521e432fc6a5b92295e6bf805660bb0c387d-1248484404 (16/41)
delzzerro.cn
  installb.exe - ttp://www.virustotal.com/jp/analisis/67953569d6bd22caa5deedbed8e417884c8c5dac4c077e647ad84b2ec2be1b51-1248489209 (4/41)
  136.pdf - ttp://www.virustotal.com/jp/analisis/531d3d40946e59ec1e02620d50165a6fed9b6ea52ce7cc58508f561537045a00-1248486727 (13/41)
download-filez-now.us
  setup.exe - ttp://www.virustotal.com/jp/analisis/05b65a607801397eab459e4a993f7c2174bfa2a241ecfe0fc78ad9acb63ee41d-1248484078 (3/40)
downloadsoftwareserver3.com
  gdi32lib.dll - ttp://www.virustotal.com/jp/analisis/7ae6904f1ab728f18151bb877e627be88fe1083a52cb950a964d068344a55213-1248485692 (16/40)
  xpdeluxe.exe - ttp://www.virustotal.com/jp/analisis/0b5655a46157d88e46bfab17dd4a514275a12584d823a6a0c8a949a50120871d-1248485427 (17/41)
drocuwil.cn
  fromFactLooks.swf - ttp://www.virustotal.com/jpanalisis/8230871d68ddfd51b35a5be85a73c863b0c3f5dd81d9b69ed7db0e8c9f834f8d-1248481346 (5/41)
scanriteweb.com
  install.exe - ttp://www.virustotal.com/jp/analisis/b82f95283f49a1ee09885df4bd29ab44378434ebc0ef6b040439139ab572a97d-1248487832 (21/40)
securityscanavailable.com
  install.exe - ttp://www.virustotal.com/jp/analisis/cf12291839d22f7764f325bc115ad358f935abe2ccc1bac53e3087293cbfce07-1248487066 (18/41)

295 名前:20 mailto:sage [2009/07/25(土) 13:46:48 ]
>>294
AVIRA 7.01.05.28 黒(8+1)/11,未検出 2,提出済み

【検出】
antispy2009.net
  setup.exe - TR/FraudLoad.wkoi
bestdomus.com
  Klitecodec.exe - TR/Dropper.Gen
cbbugltjud.com
  udvvmquz.exe - TR/Dldr.Delphi.Gen
delzzerro.cn
  136.pdf - HTML/Malicious.PDF.Gen
downloadsoftwareserver3.com
  xpdeluxe.exe - TR/Fake.DeluPro
drocuwil.cn
  fromFactLooks.swf - SWF/Drop.Small.HC
scanriteweb.com
  install.exe - TR/Dropper.Gen
securityscanavailable.com
  install.exe - TR/Dropper.Gen

【VDF update待ち】
downloadsoftwareserver3.com
  gdi32lib.dll - (TR/BHO.udx)

【未検出】
delzzerro.cn
  installb.exe -
download-filez-now.us
  setup.exe -

296 名前:20 mailto:sage [2009/07/25(土) 13:57:18 ]
>>294
Kaspersky 2009/07/25 12:09:00 黒7,HEUR 1,未検出 3,提出済み

【検出】
antispy2009.net
  setup.exe - Trojan-Downloader.Win32.FraudLoad.wkoi
bestdomus.com
  Klitecodec.exe - Trojan-Downloader.Win32.FraudLoad.wimq
cbbugltjud.com
  udvvmquz.exe - Trojan.Win32.Pasta.axo
downloadsoftwareserver3.com
  xpdeluxe.exe - not-a-virus:FraudTool.Win32.WinPCDefender.bo
  gdi32lib.dll - Trojan-Downloader.Win32.FraudLoad.wjvl
scanriteweb.com
  install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn
securityscanavailable.com
  install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn

【HEUR】
delzzerro.cn
  136.pdf - HEUR:Exploit.Script.Generic

【未検出】
delzzerro.cn
  installb.exe -
download-filez-now.us
  setup.exe -
drocuwil.cn
  fromFactLooks.swf -

297 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/25(土) 14:17:12 ]
>>294
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=473

McAfee (Active Protection 無効)14/19
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
136.pdf |inconclusive | | |no
fromfactlooks.swf |inconclusive | | |no
installb.exe |new detection |generic.dx!biz |Trojan |yes
setup.exe |inconclusive | | |no
xpdeluxe.exe |inconclusive | | |no

298 名前:20 mailto:sage [2009/07/25(土) 14:27:22 ]
>>297
あ。 申し訳ない、コピペして使ったの番号直すの忘れてた。orz

>>294は、>297さんの書いた方のリンクが正解です。 一応再掲

>294 → ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=473

299 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/25(土) 14:46:23 ]
>>294
Symantec、Panda、TrendMicro、GDATA(=avast!&BitDefender)、ESETへ提出完了

Symantecから自動返答

filename: fromFactLooks.swf
machine: Machine
result: See the developer notes

filename: gdi32lib.dll
machine: Machine
result: This file is detected as Trojan.Fakeavalert.

filename: udvvmquz.exe
machine: Machine
result: See the developer notes

filename: setup.exe
machine: Machine
result: See the developer notes

filename: installb.exe
machine: Machine
result: See the developer notes


300 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/25(土) 17:19:58 ]
ここまでSymantecとa-squaredとMalwarebytesに提出しました



301 名前:20 mailto:sage [2009/07/25(土) 22:19:45 ]
>>296
Kaspersky 2009/07/25 21:09:00 1個検出可になりました。

download-filez-now.us
  setup.exe - Trojan-Downloader.Win32.FraudLoad.fbl

う〜ん、Kasperskyから返答全く来ないから、何がどうなっているのやら...

302 名前:293 mailto:sage [2009/07/25(土) 22:49:01 ]
>>291(>>292)
カスペからの返事 tane0472
先ほど提出
0+事後1=1/1で閉鎖

ecard.exe - Backdoor.Win32.UltimateDefender.xp

303 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/25(土) 23:55:53 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=474
infected

うちもSPAMメールについてきたので。例によって、ついてきたZIPファイルそのものと、解凍した中身を両方入れてあります。

ecard.exeは>>285と同じ物だと思いますので、重複提出にならないようにご注意ください。(7/23〜7/25の間で全部同じものでした)
ほかの2種類は、今日始めて来たもの。

UPSNR_881762167.exe(12/40)
ttp://www.virustotal.com/analisis/891980cb69c0c7f417489a545744597c17cce45594008c544bad927cb2506b81-1248528957
UPSFILE_NR10128777.exe(19/41)
ttp://www.virustotal.com/analisis/4be8187caafc7f88a309614c64743caac1a85a7aff4169969ebd7bcd4cf67d8e-1248533592

304 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 00:00:29 ]
>>303
AntiVir
ecard.exeのみ検知。ほかの2種類はスルー。

AntiVirとAntiyLabsにはFTP経由で提出済み。

305 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 00:06:38 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=475
infected

■検体入手元
MDL 2009/07/23〜7/24辺り(多分、重複ファイルあり。重複チェックできてなくてごめん)
MalwareURL.com 7/21〜7/24辺り
リネージュ資料室の更新リスト

■既提出済みの所
AntiVir(未検出分のみ)とAntiyLabsにはFTP経由で提出済み。

306 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 00:23:52 ]
>>303
ファイル名からするとUPSからのアラートのフリして来る奴かな?
これはうちは最近あまり来てないなぁ。

307 名前:20 mailto:sage [2009/07/26(日) 00:32:47 ]
>>303
Kaspersky 2009/07/25 23:26:00 黒3/3

ecard.exe - Trojan-Spy.Win32.Zbot.zur
UPSFILE_NR10128777.exe - Backdoor.Win32.Bredolab.az
UPSNR_881762167.exe - Backdoor.Win32.Bredolab.bm

全部検出するので、提出無し。

308 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 00:57:10 ]
カスペ2010 23:26

>>303d tane0474
3/3でクローズ
Trojan-Spy.Win32.Zbot.zur    \spam mail\ecard.exe
Backdoor.Win32.Bredolab.az    \spam mail\UPSFILE_NR10128777.exe
Backdoor.Win32.Bredolab.bm    \spam mail\UPSNR_881762167.exe

>>305d tane0475
>>307 代理報告d 3/3でクローズ


カスペからの返事
>>297 (>>296,301) tane0473
黒8(うちHEUR1)+1=9/11,  白1、 残1(installb.exe)

fromFactLooks.swf  -  No malicious code was found in this file.


309 名前:20 mailto:sage [2009/07/26(日) 01:11:50 ]
>>305
Kaspersky 2009/07/25 23:26:00 黒27/44,HEUR 1,未検出 15

【検出】
scanriteweb.com
  install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn
bestdomus.com
  Klitecodec.exe - Trojan-Downloader.Win32.FraudLoad.wimq
7cib5fzf462g8.cn
  setup.exe - not-a-virus:FraudTool.Win32.Agent.uj
antispy2009.net
  setup.exe - Trojan-Downloader.Win32.FraudLoad.wkoi
downloadsoftwareserver3.com
  xpdeluxe.exe - not-a-virus:FraudTool.Win32.WinPCDefender.bp
securityscanavailable.com
  install.exe - Trojan-Downloader.Win32.FraudLoad.wkrn
sobadar.cn
  loader.exe - Trojan-Spy.Win32.Zbot.zip
847474.cn
  file.exe - Trojan-Spy.Win32.Zbot.zvt
trust-service.cn
  bot.exe - Trojan-Spy.Win32.Zbot.yyv
888admins.cn
  bot.exe - Trojan-Spy.Win32.Zbot.gen
driveupdate.cn
  bot.exe - Trojan-Spy.Win32.Zbot.yst
threeways.cn
  bot.exe - Trojan-Banker.Win32.Bancos.eof
abrikos.info
  update.exe - Backdoor.Win32.Bifrose.avjw
bananasdogs.cn
  svchost.exe - Trojan-Spy.Win32.Zbot.xhc

310 名前:20 mailto:sage [2009/07/26(日) 01:14:20 ]
>309 続き
ronplesco.cn
  bot.exe - Trojan-Spy.Win32.Zbot.gen
goodsovclass.cn
  ldr.exe - Trojan-Spy.Win32.Zbot.xyl
klikvs.cn
  EXP_01.exe - Trojan-Spy.Win32.Zbot.yyj
  load.exe - Trojan-Spy.Win32.Zbot.gen
newadmins7.cn
  bot.exe - Trojan.Win32.Buzus.boan
thaigan.cn
  loader.exe - Trojan-Spy.Win32.Zbot.yam
volonterkom.cn
  ldr.exe - Trojan-Spy.Win32.Zbot.gen
wthelp.cn
  bot.exe - Trojan-Spy.Win32.Zbot.gen
yb-sport-555.cn
  bot.exe - Trojan-Spy.Win32.Zbot.gen
yb-sport-555.cn
  load.exe - Trojan-Spy.Win32.Zbot.zpl
www.shaimokale.com
  張佑赫.exe - Backdoor.Win32.PcClient.avvd
xp-deluxeprotector.com
  setup.exe - not-a-virus:FraudTool.Win32.Agent.nk
www.shaimokale.com
  online.scr - VN=Backdoor.Win32.PcClient.avvd
  online.zip - VN=Backdoor.Win32.PcClient.avvd

【HEUR】
delzzerro.cn
  720.pdf - HEUR:Exploit.Script.Generic



311 名前:20 mailto:sage [2009/07/26(日) 01:35:16 ]
>310 続き

【未検出】
antispy2009.net\index.php
cbbugltjud.com\udvvmquz.php
delzzerro.cn\installb.exe
download-filez-now.us\setup.exe
downloadsoftwareserver3.com\gdi32lib.dll
googleclear.com\index.php
googleclear.com\install.exe
scanriteweb.com\scanonline.php
securityscanavailable.com\index.php
Trojan FakeRean\Install.exe
aswqert.cn\file.exe
b18c.cn\bot.exe
domenpoxuj.cn\bot.exe
makefred.cn\b1t.exe
xp-deluxeprotector.com\xp-deluxeprotector.com.htm

>>305 乙でした。
フォルダ名見ると、いくつか同じサイトから同じファイルを落としていると思うのですが、中身が一致しないものが
ありますので、アクセスした人の環境を見てダウンロードさせるファイルを変えているサイトがありそうです。

なお、未検出分はチェック後にKasperskyに提出しますが、私の提出分は
どうもここ数日スルーされてる?っぽいので、他の人も出した方が良いかも...

※ 隔離フォルダから送ったQuarantine Objectですら処理されないところを見ると、
  私の提出分はフィルタリングに引っかかってゴミ箱直行になっているかもしれません。

312 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 01:57:55 ]
>>303
McAfee (Active Protection 無効)1/3
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
upsfile_nr10128777.e|new detection |bredolab.gen |Trojan |yes
upsnr_881762167.exe |new detection |bredolab.gen |Trojan |yes

313 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 02:00:57 ]
>>305
McAfee (Active Protection 無効)35/50
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup.exe |inconclusive | | |no
720.pdf |inconclusive | | |no
b1t.exe |inconclusive | | |no
bot.exe |new detection |generic.dx!bip |Trojan |yes
bot.exe |new detection |generic.dx!bip |Trojan |yes
bot.exe |inconclusive | | |no
file.exe |new detection |generic pws.y!fp |Trojan |yes
file.exe |inconclusive | | |no
gdi32lib.dll |new detection |generic pup.x!x |Application |yes
index.php |inconclusive | | |no
installb.exe |inconclusive | | |no
load.exe |inconclusive | | |no
setup.exe |inconclusive | | |no
xp-deluxeprotector.c|inconclusive | | |no
xpdeluxe.exe |inconclusive | | |no

314 名前:20 mailto:sage [2009/07/26(日) 02:22:05 ]
>>311
Kaspersky 2009/07/26 1:41:00 更新したら検出可になったもの
 aswqert.cn\file.exe - Trojan-Spy.Win32.Zbot.zwx

AVIRAから既知のCLEANファイルであると自動返答があったもの
 makefred.cn\b1t.exe

一応、寝る前に判明したので。

315 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 02:57:50 ]
カスペからの返事
>>297 (>>296,301,308) tane0473
黒8+1=9/11,  白1、 残1(installb.exe)

136.pdf - Exploit.JS.Pdfka.OG (←HEUR:Exploit.Script.Generic)

305 (tane0475)は暫く見送り

316 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 03:33:16 ]
ここまでSymantecとa-squaredとMalwarebytesに提出しました

317 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 09:14:59 ]
>>303
>>305

Panda、GDATA(=avast!&BitDefender)、ESETへ提出完了

318 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 10:08:08 ]
>>314
ごめん、bit.exeはただのhtmlで無害なものでした。またやっちまった。orz

>>303 >>305
マイナー所を含む各社に提出完了。ZonerとNormanはごめんなさいっ。

319 名前:20 mailto:sage [2009/07/26(日) 10:45:44 ]
>>311
さて、相変わらずKasperskyから返答無いけど、検出可になるのは進んでいます。

Kaspersky 2009/07/26 9:42:00 残件2個
 antispy2009.net\index.php
 cbbugltjud.com\udvvmquz.php
●delzzerro.cn\installb.exe - Trojan-Dropper.Win32.Agent.axxg
●download-filez-now.us\setup.exe - Trojan-Downloader.Win32.FraudLoad.wlc
●downloadsoftwareserver3.com\gdi32lib.dll - Trojan-Downloader.Win32.FraudLoad.wlch
●googleclear.com\index.php - Trojan-Downloader.JS.FraudLoad.d
●googleclear.com\install.exe - Trojan-Downloader.Win32.FraudLoad.wlci
●scanriteweb.com\scanonline.php - Trojan-Downloader.JS.FraudLoad.e
●securityscanavailable.com\index.php - Trojan-Downloader.JS.FraudLoad.d
●Trojan FakeRean\Install.exe - Trojan-Downloader.Win32.FraudLoad.fbo
●aswqert.cn\file.exe - Trojan-Spy.Win32.Zbot.zwx
●b18c.cn\bot.exe - Trojan-Spy.Win32.Zbot.zxa
●domenpoxuj.cn\bot.exe - Trojan-Spy.Win32.Zbot.zwz
○makefred.cn\b1t.exe
●xp-deluxeprotector.com\xp-deluxeprotector.com.htm - Trojan.HTML.Fraud.a

>>291 こっちも判定終了
●ecard.exe - Backdoor.Win32.UltimateDefender.xp

320 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 11:12:38 ]
カスペ 2010 9:42検出ベース

>>305 d (>>309-311,314) >>309代理提出d tane0475
29(?)+13=42/44、とりあえず、残2(antispy2009.net\index.php、makefred.cn\b1t.exe)
unknown threat UDS:DangerousObject.Multi.Generic    cbbugltjud.com\udvvmquz.php (KNS検知)
Trojan-Dropper.Win32.Agent.axxg    \delzzerro.cn\installb.exe
Trojan-Downloader.Win32.FraudLoad.wlch    \downloadsoftwareserver3.com\gdi32lib.dll
Trojan program Trojan-Downloader.Win32.FraudLoad.wlcf    \download-filez-now.us\setup.exe
Trojan-Downloader.Win32.FraudLoad.wlci    \googleclear.com\install.exe
Trojan-Downloader.JS.FraudLoad.d    \googleclear.com\index.php
Trojan-Downloader.JS.FraudLoad.e    \scanriteweb.com\scanonline.php
Trojan-Downloader.JS.FraudLoad.d    \securityscanavailable.com\index.php
Trojan-Downloader.Win32.FraudLoad.fbo    \Trojan FakeRean\Install.exe
Trojan-Spy.Win32.Zbot.zwx    \Trojan Zbot\aswqert.cn\file.exe (>>314にて報告)
Trojan-Spy.Win32.Zbot.zxa    \Trojan Zbot\b18c.cn\bot.exe
Trojan-Spy.Win32.Zbot.zwz    \Trojan Zbot\domenpoxuj.cn\bot.exe
Trojan.HTML.Fraud.a   xp-deluxeprotector.com\xp-deluxeprotector.com.htm
Trojan program Exploit.JS.Pdfka.og    delzzerro.cn\720.pdf (←HEUR:Exploit.Script.Generic)



>>185(>>188,191,221,258,287,290,293) tane0451 (返事)
wwwteamerblogcom \MsAccess.htm_ - Trojan-Downloader.JS.Agent.eia (←HEUR:Exploit.Script.Generic)



321 名前:320 mailto:sage [2009/07/26(日) 11:19:41 ]
>>319とかぶった。orz

ちなみに、unknown threat UDS:DangerousObject.Multi.Generic は、KIS2010のみ
シグネチャで配信されているのか、DBに速照しているのかはわからない。たぶん前者。

322 名前:20 mailto:sage [2009/07/26(日) 12:13:07 ]
>>319
珍しくKasperskyから返答。私のメールがフィルタリングに引っかかってるわけじゃないのか...

●antispy2009.net\index.php - Trojan-Downloader.JS.FraudLoad.f
○cbbugltjud.com\udvvmquz.php - No malicious code was found in this file.

ちなみに白判定になった方のファイルのVT
ttp://www.virustotal.com/analisis/ee61c1d2d8e91afb70e2fe4fee323c767290d06dd76fa3b80bd691eb3d08b2e0-1248571660 (33/41)

むぅ、釈然としねぇ...VTの結果もつけて送ったのに。 これは、また後でひっくり返しあるかも?(w

とりあえず、>305は黒42+白2でclose.

323 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 14:26:25 ]
カスペからの返事
>>305 d (>>309-311,314,320,322)
44/44でクローズ

Trojan Zbot \ makefred.cn \ b1t.exe_ - Trojan.HTML.Dosser.c,
antispy2009.net \ index.php - Trojan-Downloader.JS.FraudLoad.f

New malicious software was found in these files.

>>322さんのベースと異なり、混乱するので、当方ベースのみで計算

>>322
スクリプトは、ダウンロードされる実行ファイルが検知されるといいと思われ。





324 名前:323 mailto:sage [2009/07/26(日) 14:56:49 ]
カスペからの返事

>>305 d (>>309-311,314,320,322,323)
43/44,白1でクローズ。
udvvmquz.php − No malicious code was found in this file. (←KSN検知)

KSN検知はまだ黒確定ではないようだ。

(^ω^;)




325 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 18:48:56 ]
このごろGoogleとかでバナー張ってあって怪しいなぁと思っているのだが、
Registry Winnerというレジストリクリーナーらしきもの

怪しいのでAvast!(AlwilSoftware社)に提出済み
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=477
DL・解凍 どちらもvirus

326 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 19:29:59 ]
>>325

Avira、Syamntec、Panda、TrendMicro、GDATA(今回はBitDefenderのみ)、ESET、Kasperskyへ提出完了

327 名前:20 mailto:sage [2009/07/26(日) 21:53:45 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=478
 DL virus/解凍 virus

【中身】
ecard.exe
 ttp://www.virustotal.com/jp/analisis/5e4b36d7919bd8261a9eece3c0426c9dfd164c5502f6c47577a99e14d0510583-1248612828 (23/41)

今日来た分。ecard、日替わりだねぇ...

AVIRA 7.01.05.28 - TR/Hijacker.Gen
Kaspersky 2009/07/26 18:30:00 - Trojan-Downloader.Win32.Agent.byc

どちらも検出可なので、提出無し。

328 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/26(日) 23:52:48 ]
カスペからの亀返事
>>202(>>209,216,218) tane0455
2+事後3=5/10、残5
xyachuch.swf   -   Exploit.SWF.Downloader.nx

New malicious software was found in this file.

追加検知 19:39
Trojan program Exploit.Win32.Pidief.bei   thetests.net\e50i.pdf
virus Worm.Win32.Bezopi.a   bezopbizn.ru\getexe.exe

残ファイルについては、フォロー

>>325 d、>>326代理提出d。提出見合わせ。現在、0/1
>>327d、報告d 1/1でクローズ。

329 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/27(月) 00:23:34 ]
>>325
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
registrywinner_setup|inconclusive | | |no

>>327
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
ecard.exe |inconclusive | | |no

330 名前:328 mailto:sage [2009/07/27(月) 00:54:22 ]
カスペからの返事
>>202(>>209,216,218.328) tane0455
2+5=7/10, 残3 (index.htm,index.php2つ)

(bezopbizn.ru\)pdf.pdf - Exploit.Win32.Pidief.bfq

New malicious software was found in this file.

Trojan.Win32.VB.sru   thetests.net\file.exe (検知)


まとめ直し
Trojan.HTML.IFrame.ao  -   \ferarilatka.cn\index.php
Trojan program Exploit.Win32.Pidief.bej  - \  ferarilatka.cn\koxyebuth.pdf
Exploit.SWF.Downloader.nx   - \  ferarilatka.cn\xyachuch.swf
Exploit.Win32.Pidief.bei  - \thetests.net\e50i.pdf
Trojan.Win32.VB.sru  -    \thetests.net\file.exe
virus Worm.Win32.Bezopi.a  -    \bezopbizn.ru\getexe.exe
pdf.pdf - bezopbizn.ru\Exploit.Win32.Pidief.bfq



331 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/27(月) 04:09:19 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=479
infected

■ 検体入手元
MalwareURL.com 7/25分から+α

■ 提出済みのところ
各社一通り(ZonerとNormanを除く)

332 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/27(月) 10:26:25 ]
カスペ2010 5:08
>>331d 提出d tane0479

14(うちHEUR2)/43 残29 (´・ω・`)ショボーン

virus not-a-virus:FraudTool.Win32.AntivirusPlus.kv    /209.44.126.36/installer_1.exe    /209.44.126.36/installer_70106.exe   /bazyrpe.cn/installer_1.exe (3files)
virus HEUR:Trojan.Win32.Invader    /BBS spam/ro.zip/ro.exe   /mixi spam/20090716*.zip/20090716mnwmhxzb.exe (2files)
Trojan-Downloader.Win32.CodecPack.jlx    /cool-exe*/crack.45000.exe
Trojan-Downloader.HTML.FraudLoad.b    /lendshaft.info/lendshaft.info(1).htm
Trojan-Downloader.JS.FraudLoad.d    /scanworldwid*/index.php
Trojan-Downloader.JS.FraudLoad.e    /scanworldwide*/scanonline.php
Trojan-Downloader.Win32.FraudLoad.fbs    /systemsecurity*/AVCare_Setup_Free_en.exe
Trojan-Downloader.Win32.CodecPack.jly    /thegrouttube.com/onlinemovies.40000.exe
virus not-a-virus:FraudTool.Win32.WinSpywareProtect.adj    /thehotporntub*/pornmovie492.exe
Trojan-Downloader.JS.FraudLoad.d    /thesecureyourpc.com/index.php
Trojan.Win32.Agent.bhcf    /zhang.nu/AdobeFlashPlayer.10.37.exe

カスペからの返事
>>202(>>209,216,218.328,330) tane0455
2+事後7=9/10、白1で閉

bezopbizn.ru \ index.php - Trojan.JS.Agent.akm
thetests.net \ index.php - Trojan.JS.Agent.akm
thetests.net \\ index.htm   -    No malicious code was found in this file.

333 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/27(月) 12:24:17 ]
カスペ 10:39
>>331>>332) tane0479
14+5=19/43

Trojan-GameThief.Win32.OnLineGames.vifu    /BBS spam/ro.exe (←HEUR:Trojan.Win32.Invader)
Trojan program Trojan-GameThief.Win32.OnLineGames.vifv    /mixi spam/20090716mnwmhxzb.exe  (←HEUR:Trojan.Win32.Invader)
Trojan-Downloader.Win32.FraudLoad.wlte    /gusoft.us/install.exe
Trojan-Downloader.JS.FraudLoad.d    /scanworldwideweb.com/index.php
Trojan-Downloader.Win32.FraudLoad.wlte    /thesecureyourpc.com/install.exe

カスペからの返事
strelyk.info \ install.exe_    -    Trojan.Win32.FraudPack.psp
dl.9sv.cn \ InternetAntivirusPro.exe    -   not-a-virus:FraudTool.Win32.InternetAntivirusPro.ae

New malicious software was found in this file.


334 名前:333 mailto:sage [2009/07/27(月) 15:51:45 ]
カスペ2010 14:34 と 返答状況

>>331>>332,333) tane0479
14+7=21/43、白1, 残21

in5id.com \ file.exe   -   Trojan-Spy.Win32.TDSS.cp (返事)
thesecureyourpc.com \ install.exe   -   Trojan-Downloader.Win32.FraudLoad.wlte (検知)

dl.9sv.cn \ MySpeed_Onlineinstaller_wz_1003.exe - No malicious code was found in this file.(返事)


335 名前:20 mailto:sage [2009/07/27(月) 22:06:31 ]
>>331 乙です。

提出して頂いているようなので、検出数だけ。

AVIRA 7.01.05.32で、黒 23/43,未検出 20です。

336 名前:333 mailto:sage [2009/07/27(月) 22:06:34 ]
カスペ2010 21:28 & 返答状況
>>331>>332-334) tane0479
14+(7+2)=23/43, 白5、残15

in5id.com\InternetAntivirusPro.exe     -   not-a-virus:FraudTool.Win32.InternetAntivirusPro.ae (検知)  
lendshaft.info\install.exe   -   Trojan.Win32.FraudPack.psp  (検知)


209.216.193.99\AdwarePro_Setup.exe   -   No malicious code was found in this file. (返答)
lendshaft.info\ destrub.js_,  lendshaft.htm_,  script_en.js_   -   No malicious code were found in these files. (返答)

337 名前:20 mailto:sage [2009/07/27(月) 22:40:24 ]
>>294,305
ttp://delzzerro■cn/pic/uzp.php 
ここ、ちょっとヤバイですね。配布するマルウェアが、ころころ新種に入れ替わってます。 どうりで>294と>305でファイルが違うわけだ...

しかも、gumblarの時と同じく、アクセス制限がある臭い。時間をおかずに再アクセスすると、無視されます。

ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=480
 DL virus/解凍 virus

【中身】 2009/7/27 22:15(JST)頃に確保したもの
 installb.exe - www.virustotal.com/jp/analisis/0af9d81a7bed5f9e9b5ba84efe53ef4093462bc45943bba549ca78f40a495460-1248700622 (8/36)

AVIRAもKasperskyもスルー,提出済みです。

338 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/27(月) 22:44:46 ]
>>337
Panda、GDATA(=avast!&BitDefender)、TrendMicro、ESETへ提出完了

339 名前:325 [2009/07/27(月) 23:09:38 ]
325ですが、他のベンダーへの提出、ご苦労様でした。

それとこれからの注意なのですが、Aviraに直接メールで提出すると返事は返ってくるものの、対応されない場合がありますので、その点気をつけてください。

私のとこだけかもしれないのですがー応、Webからの堤出のほうが確実かと思われます。



340 名前:20 mailto:sage [2009/07/27(月) 23:35:19 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=481
 DL virus/解凍 virus

【中身】
ecard.exe
 ttp://www.virustotal.com/jp/analisis/970e75e18151e6aa3fbd89e3599856f4d02542eb101592c2fa31fe149e0eb8f1-1248705376 (17/41)

日替わりecard。今日はzbotだった。



341 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/27(月) 23:47:45 ]
>>337
Panda検出確認

ttp://www.virustotal.com/analisis/0af9d81a7bed5f9e9b5ba84efe53ef4093462bc45943bba549ca78f40a495460-1248706385


342 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/27(月) 23:56:57 ]
>>340
GDATA2010(今回はBitDefender)へ提出完了

343 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/28(火) 00:34:38 ]
>>337
AVG、Comodoに提出しました

344 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/28(火) 10:37:55 ]
カスペ2010 9:19
>>340 d tane0481 1/1で閉鎖
Trojan-Spy.Win32.Zbot.gen    tane0481.zip/ecard.exe

あとは他検体含め状況変化なしです。


345 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/28(火) 14:57:09 ]
カスペ2010
>>297 (>>296,301,308,315) tane0473
黒8+事後2=10/11,白1でclose
Trojan-Downloader.Win32.Agent.ckkz   tane0473\delzzerro.cn\installb.exe (検知)
At the moment this file is detected. Please update your antivirus bases.

同名のinstallb.exe>305は、>>320で追加検知。>>337はスルー。

↓アンカーミス訂正。すまぬ。
>>202(>>209,216,218,328,330) tane0455
2+事後7=9/10、白1で閉

346 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/28(火) 17:11:40 ]
カスペからの返事

>>337dtane0480
0+事後検知1=1/1で閉鎖

installb.exe  -  Trojan-Downloader.Win32.FraudLoad.fce

New malicious software was found in the attached file.

347 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/28(火) 20:18:12 ]
再開

セキュリティに関するニュースを淡々と伝えるスレ5
pc11.2ch.net/test/read.cgi/sec/1232882573/

348 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 02:41:10 ]
カスペからの返事
>>331>>332-334,336) tane0479
14+(9+3)=26/44、白6、残11
64.86.16.7_64.213.140.71  \  Setup_build8_102.exe_  - not-a-virus:FraudTool.Win32.WinSecSuite.b
scanworldwideweb.com  \  scan.php  - Trojan-Downloader.JS.Agent.eie,
thegrouttube.com  \  xplay.php  - Trojan-Downloader.HTML.Agent.pq
New malicious software was found in these files.

64.86.16.7_64.213.140.71  \  sheltercloud.cn.htm_  - No malicious code was found in this file.

349 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 10:26:41 ]
カスペ2010 9:43
>>331>>332-334,336,348) tane0479
14+(12+1)=27/43、白6、残10

virus not-a-virus:FraudTool.Win32.WinSecSuite.b searchallinfo.net\Setup_build8_102.exe (検出)
>>348と同一検体名だった。

350 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 17:26:09 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=482
infected

■検体入手元
MalwareURL.comの7/27分とMDLの7/28分より

■提出済みのところ
AntiVirとAntiyLabsにはFTP経由で提出済み。他は送ってません。



351 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 19:08:18 ]
>>350
McAfee (Active Protection 無効)18/151
未検出分をMcAfeeに提出させて頂きました。

352 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 19:14:38 ]
>>350d tane0482

カスペ2010 18:04
122/151(HEURなし)、スルー29

Backdoor.Win32.HareBot.ho    2348*.cn\load.exe
Trojan-Downloader.Win32.FraudLoad.wmhc    3uxyc*cn\setup.exe
Trojan-Spy.Win32.Zbot.zse    4sx2.cn\fservice.exe
Trojan-Spy.Win32.Zbot.zsg    4sx2.cn\sservice.exe
Trojan-Downloader.JS.FraudLoad.d    allow*.com\index(1).php、   \index.php    (2 files)
Trojan-Downloader.Win32.FraudLoad.eos    behiswa.cn\befynru.cn.htm、   \behiswa.cn.htm   (2 files)
virus not-a-virus:FraudTool.Win32.AntivirusPlus.kv    behiswa.cn\installer_70106.exe
Trojan-Dropper.Win32.Agent.aygg    cxim*.cn\load.exe
Trojan-Spy.Win32.Zbot.yst    drive*.cn\bot.exe
Trojan-Downloader.Win32.FraudLoad.eyw    Fake Anti*\Install.exe
virus not-a-virus:FraudTool.Win32.AntivirusPlus.kv    FakePlus\installer_1.exe
Trojan-Downloader.Win32.FraudLoad.fck    hot-exe*.com\onlinemovies.[40000-40018, 40020-40100].exe   (100 files)
Trojan-Downloader.Win32.Small.jvl    hot-exe*.com\onlinemovies.40019.exe
Trojan.Win32.FraudPack.pth    myair*.cn\Setup_build6_102.exe
Trojan-Spy.Win32.Zbot.gen    nupo*com.cn\bot.exe
Trojan-Downloader.Win32.Injecter.dgo    redbool.cn\load.exe
Exploit.Win32.AdobeReader.p    redbool.cn\pdf.pdf
Trojan.Win32.FraudPack.pth    securitysun.cn\Setup_build6_158.exe、   Setup_build6_27.exe、   Setup_build8_102.exe (3 files)
Backdoor.Win32.Bredolab.ca    varrugilanto-2.com\load.exe

検体提出します。

353 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 19:33:26 ]
カスペ18:04
>>350(>>352) tane0482
記載漏れ 127/151,残24

Trojan-Downloader.Win32.Murlo.bnu   \4sx2.cn\msinms.exe
Backdoor.IRC.Zapchast.j等   \IRC backdoor\postcard.exe
virus HEUR:Trojan.Win32.Generic    \122.70.145.140\file.exe
virus HEUR:Exploit.Script.Generic    \cxim*.cn\readme.pdf
virus HEUR:Trojan-Downloader.Script.Generic    \redbool.cn\index.php


354 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 21:08:00 ]
>>350さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました

7月は、今世紀最大規模の攻撃が進行してるよね

355 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 21:38:17 ]
カスペ20:37
>>350(>>352,353) tane0482
記載漏れ 127+4=131/151,残20
Trojan-Downloader.JS.Iframe.bmk    \freshsummer.ru\frtuyelo.html (検知)
Trojan-Downloader.JS.Iframe.bmk    \freshsummer.ru\sunshine.html  (検知)
Trojan.Win32.FraudPack.ptp   -   \download.sttcounter.cn\install.exe (返答)
Trojan-Downloader.Win32.FraudLoad.fco   - \scanworldwideweb.com\install.exe (返答)


>>264 0/1、白1で閉鎖 tane0467
juicyaccess_installer.exe - No malicious code was found in this file.


356 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 21:39:28 ]
>7月は、今世紀最大規模の攻撃が進行してるよね

根拠のない的外れな発言は、セキュリティ板には不要です。

357 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 21:41:30 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=483
infected

初心者質問スレにあった FakeCodec

CodecWMV-3.5.exe(5/41)
ttp://www.virustotal.com/analisis/160104dd92341d275059f2893103a97bbf711c5cf7b27341924954f6b6011e70-1248870734

358 名前:八頭 ◆YAGApwSaEw mailto:sage [2009/07/29(水) 21:44:36 ]
>>356
鈍感だな

RBB TODAY
2009年は過去最高、上半期だけで66万の新種マルウェアが発生 〜G Data調べ 2009/7/28
ttp://www.rbbtoday.com/news/20090728/61513.html

ウィルス対策ニュース・ドットネット
AV-Testによるウィルス検出率ランキングが発表 2009/7/29
ttp://antivirus-news.net/2009/07/avtestmcafeeg-data21.html

Certified Definitions - Detections Added Symantec Corp.
Detections modified for this release (518):
ttp://www.symantec.com/business/security_response/definitions/certified/index.jsp

359 名前:八頭 ◆YAGApwSaEw mailto:sage [2009/07/29(水) 21:50:02 ]
>>356

VirusTotal - Free Online Virus and Malware Scan - Statistics
ttp://www.virustotal.com/estadisticas.html

360 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 22:34:28 ]
>>359
一応日本語ページな

VirusTotal - 無料オンライン ウイルス/マルウェア スキャン - 統計
ttp://www.virustotal.com/jp/estadisticas.html



361 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 23:45:46 ]
>>358
毎年増えてんのに何言ってんだっつーことだろ。
slammerやblasterやsasserほどの攻撃は無い。

362 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/29(水) 23:59:21 ]
カスペからの返事
>>350(>>352,353,355) tane0482
127+(4+2)=133/151,残18
hardwarefactories.cn \ Install-fdbd_02013-1.exe   -   Trojan.Win32.FraudPack.pts,
hardwarefactories.cn \ personalsafescanner.com.htm   -   Trojan-Downloader.JS.Agent.eig
redbool.cn \index.php  -   Trojan-Downloader.JS.Agent.eif


New malicious software was found in these files.

>>357
スルー 検体提出しました。
ただ、
2009/07/29 22:59:44 Detected virus Email-Worm.Win32.Bagle.gen    tane0483.zip

363 名前:八頭 ◆YAGApwSaEw mailto:sage [2009/07/29(水) 23:59:26 ]
ttp://a.imagehost.org/0247/1_21.jpg
アホかw

364 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/30(木) 00:17:04 ]
>>350
Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出完了

>>357
Symantec、GDATA2010(=avast!&BitDefender)、ESETへ提出完了



365 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/30(木) 00:34:37 ]
八頭はここ出入禁止にした方がいいんじゃないか?

366 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/30(木) 00:42:54 ]
1位のG Dataと7位のKasperskyを比べると、検出率は2%異なるわけだが、検出数で言うと、
約2万件のウイルスが検出できないということになるからだ。
なお、全体的には、最近の傾向としては検出率があがっている。こういった各社の取り組みは、ユーザーとしては歓迎だ。

AV-TESTによるウイルス検出率テスト
(2009年7月24日実施、検体数801,117)

順位 プログラム 検出数  検出率
#1 G Data 800,772 99.96%
#2 McAfee 799,405 99.79%
#3 Symantec 798,440 99.67%

#4 F-Secure 792,913 98.98%
#5 Trend Micro 789,436 98.54%
#6 Microsoft  785,059 98.00%

#7 Kaspersky 782,799 97.71%
#8 Eset Nod32 782,023 97.62%

#9 K7 Computing 711,529 88.82%
#10 Rising 581,847 72.63%


367 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/30(木) 01:38:13 ]
カスペからの返事

>>350(>>352,353,355,362) tane0482
127+(4+2)=133/151, 白3, 残15

config.bin - No malicious code were found in these files.
(3ファイルあったかと思ったが、二つは同一ファイル。両方白判定)

>>357 tane0483
0+事後検知1=1/1

CodecWMV-3.5.exe - Trojan.Win32.Buzus.bqvc

New malicious software was found in this file.


>>238(>>282) tane0462
6+1=7/8, 残1(GVmp.htm)

Trojan_174.133.73.90 \ ms.bin - Trojan.Win32.Agent.csfy

寝る

368 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/30(木) 10:44:04 ]
カスペ 検知状況 10:04

>>350(>>352,353,355,362,367) tane0482
127+(6+2)=135/151, 白3, 残13

Trojan-Downloader.JS.Iframe.bms    \sujetline.ru\sceneric.html
Trojan.Win32.FraudPack.pth    \trustshields.cn\Setup_build8_102.exe

369 名前:328 mailto:sage [2009/07/30(木) 16:18:38 ]
>>325(326,28) tane0477
0/1、白1で閉鎖

RegistryWinner_Setup.exe   -   No malicious code was found in this file.

見慌ていたけれど、投げてみた。
VTでも検出しているベンダーがないね。


370 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/31(金) 11:42:54 ]
カスペ10:34 検知状況
>>350(>>352,353,355,362,367,368) tane0482
127+(8+3)=138、白3、残10

Trojan-Banker.Win32.Banker.alif   \196.15.183.180\Atualizacao_Seguranca_BB.scr
Trojan-Downloader.JS.Iframe.bmu   \varrugilanto-2.com\index.php
Exploit.Win32.Pidief.bfy   \varrugilanto-2.com\pageDe.pdf

一応、未回答のものをフォローしてみようかな。

>>369
カスペの結果です。



371 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/31(金) 19:03:32 ]
>>357
29(水) にMcAfeeに送ったのですがAVERTからの自動受信確認メールが送られてきません
30(木)再度McAfeeに送ったのですがAVERTからの自動受信確認メールが送られてきません

2009.07.31 09:59:46 (UTC)時点の対応状況
ttp://www.virustotal.com/jp/analisis/160104dd92341d275059f2893103a97bbf711c5cf7b27341924954f6b6011e70-1249034386

372 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/31(金) 19:17:50 ]
カスペからの返事
>>350(>>352,353,355,362,367,368,370) tane0482
127+(11+1)=138/151、白3, 残12

cxim-way.cnフォルダ
flash.swf - Exploit.SWF.Agent.bv,
readme.pdf_ - Exploit.Win32.Pidief.bgd (←HEUR:Exploit.Script.Generic)

New malicious software was found in these files.

373 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/07/31(金) 23:32:58 ]
カスペからの返事
>>350(>>352,353,355,362,367,368,370,372) tane0482
127+12=139/151、白3+3=6, 残6

trustshields.cn  \  22a9b22.....js,
trustshields.cn  \  VodCjaWFgaJZsm...htm,
suppliestubes.com   \   xplay.php

No malicious code were found in these files.

他社検出状況から、実質的にほぼクローズかな

374 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/02(日) 13:51:36 ]
カスペからの返事
>>350(>>352,353,355,362,367,368,370,372,373) tane0482
127+(12+1)1=140/151、白6+4=10, 残1

systemsecuritycenter.comフォルダ

config.js_, flist.js_, jquery-init.js_, jquery.js_   -   No malicious code were found in these files.

systemsecuritycenter.com.htm_   -   Trojan.JS.Fraud.b

New malicious software was found in this file.

375 名前:20 mailto:sage [2009/08/02(日) 23:49:28 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=484
 DL virus/解凍 virus

【中身】 11個,MDL 2009/07/29-30日分で、RFIを除いて確保できた分(重複除く)
210.208.59.24
  Correcoes_bb.scr - ttp://www.virustotal.com/jp/analisis/98ea2f97c39965a064b813254ba330028e51594490783e87601d31a0e7937261-1249219567 (13/41)
cbbugltjud.com
  iejwn.exe - ttp://www.virustotal.com/jp/analisis/1803bca1ce2f4480746eeb6f6fca22623c226d14e92185f5caf529189656f2e4-1249221555 (12/41)
esli.tw
  pdf.pdf - ttp://www.virustotal.com/jp/analisis/73e66986db0b9da81aaa3e2d3ad615ec6d1e3ae6fe1b11d76ef63e4f67f91cbb-1249219280 (11/14)
homeav2010.com
  Installer2.exe - ttp://www.virustotal.com/jp/analisis/cb29d32d9a29bf02790744e68a3746bcb3163b5620bafc8a971b27159238ecde-1249223648 (18/40)
software-updatesv6.com
  Driver.exe - ttp://www.virustotal.com/jp/analisis/d13dea76aaf00538ac2034cec7a993b7e007e207527475d5799d1ff485fc4ea5-1249221665 (2/41)
wertabulionsedaf.com
  Installer.exe - ttp://www.virustotal.com/jp/analisis/ec21e39cbe13f5d0be96480b91d1cbf6aa0e28f5e7e750ea50870168a8da4ce5-1249223972 (18/40)
zenitchampion.cn
  302.pdf - ttp://www.virustotal.com/jp/analisis/b734b82c8d21bbea4c25f855a4dc87c303b9840649c78cb3b8d6327eeda972c9-1249222264 (12/41)
  vop.png - ttp://www.virustotal.com/jp/analisis/4d3da67b6ccb56a2c1d9d5db0ba576a6b19bb89625ee9f29137ad6e64c286e28-1249222423 (6/41)
  uzp.exe - ttp://www.virustotal.com/jp/analisis/5862cf9b08614d043555d56aa839336a00fd2f39674e71e942501975edba4480-1249222690 (7/41)
  5c30eea3-1c1a49d1 - ttp://www.virustotal.com/jp/analisis/21f413dba05b736a7471c2893ad988353d77362a1762c68cce6fd4066d47df84-1249222947 (1/41)
  222f7497-40dc7512 - ttp://www.virustotal.com/jp/analisis/bb49c3c36e871d00332c07f9742889c4e40adb0565aa773ac248ae8234d4177a-1249223213 (1/40)

最後の2個は、MDLのメモだと、JAVAの脆弱性攻撃らしい。(JAVA Scriptではなく)

376 名前:20 mailto:sage [2009/08/02(日) 23:55:55 ]
>>375
AVIRA 7.01.05.57 黒7/11,未検出分 提出済み

【検出】
210.208.59.24
  Correcoes_bb.scr - TR/Crypt.XPACK.Gen
cbbugltjud.com
  iejwn.exe - TR/Drago.11264
esli.tw
  pdf.pdf - HTML/Malicious.PDF.Gen
homeav2010.com
  Installer2.exe - TR/Dldr.FraudLo.sxm
wertabulionsedaf.com
  Installer.exe - TR/Dldr.FraudLo.sxm
zenitchampion.cn
  302.pdf - HTML/Malicious.PDF
  vop.png - HTML/Silly.Gen

【未検出】
software-updatesv6.com
  Driver.exe -
zenitchampion.cn
  uzp.exe -
  5c30eea3-1c1a49d1 -
  222f7497-40dc7512 -

377 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/02(日) 23:57:16 ]
>>375
Symantec、Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出完了

378 名前:20 mailto:sage [2009/08/03(月) 00:08:48 ]
>>375
Kaspersky2009 2009/08/02 22:34:00 黒 0,HEUR 2,全部提出。

【HEUR】
zenitchampion.cn
  302.pdf - HEUR:Exploit.Script.Generic
  vop.png - HEUR:Exploit.Script.Generic

【未検出】
210.208.59.24
  Correcoes_bb.scr -
cbbugltjud.com
  iejwn.exe -
esli.tw
  pdf.pdf -
homeav2010.com
  Installer2.exe -
software-updatesv6.com
  Driver.exe -
wertabulionsedaf.com
  Installer.exe -
zenitchampion.cn
  uzp.exe -
  5c30eea3-1c1a49d1 -
  222f7497-40dc7512 -

Kasperskyは、私の提出分は、最近はほとんどが無視されるので、できれば他の人も出して下さい。m(_ _)m
# たまに反応あるんだけど、ほとんどの提出に対して返答も無いし、提出後2〜3日してもデータベースに反映されない...orz

379 名前:377 mailto:sage [2009/08/03(月) 00:10:59 ]
>>378
Kasperskyへの代理提出しときましたよ

380 名前:20 mailto:sage [2009/08/03(月) 00:27:59 ]
>>379
ありがトン。 私も出したけど、私が送った分は、何故か対応が望み薄なんで。

# Kasperskyの方で何かフィルタリングされてるとしか思えねぇ...(苦笑



381 名前:20 mailto:sage [2009/08/03(月) 00:46:54 ]
>>375
>最後の2個は、MDLのメモだと、JAVAの脆弱性攻撃らしい。(JAVA Scriptではなく)

VT見て気がついたんだけど、>375の最後の2個、MACの方のヤツっぽい。(≠Windows?)

> TrID : File type identification
> Java Bytecode (60.0%)
> Mac OS X Universal Binary executable (40.0%)

だとすると、MACの製品出してないベンダーは、白判定するかもしれません。(というか、その可能性 大かと...)

382 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/03(月) 01:42:27 ]
ここまでSymantecとa-squaredとMalwarebytesに提出しました

383 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/03(月) 01:54:03 ]
ttp://welcomepasosure.hp.infoseek.co.jp/all.zip

384 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/03(月) 01:56:07 ]
>>2・提出した際は必ずその旨記載してね。
が守られていないと思う。


カスペは多重提出していう人がいそう。黙って送って、返事も書かないいない人がいそう。
現行システムでは、仮に10人が送ったら、1人にしか返事がいかないからね。


>>2・提出した際は必ずその旨記載してね。

の遵守はお願いしたい。




385 名前:384 mailto:sage [2009/08/03(月) 01:59:18 ]
>>383
アップローダによろ。

>>384
× カスペは多重提出していう人がいそう。黙って送って、返事も書かないいない人がいそう。
○ カスペは多重提出している人が多そう。このスレに書かずに黙ってKLに送って、検出結果も書かない人がいそう。

タイプミス。寝る。w

386 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/03(月) 06:02:10 ]
>>357
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
codecwmv-3.5.exe |inconclusive | | |no

>>375
McAfee (Active Protection 無効)1/11
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
222f7497-40dc7512 |inconclusive | | |no
302.pdf |inconclusive | | |no
5c30eea3-1c1a49d1 |inconclusive | | |no
correcoes_bb.scr |inconclusive | | |no
driver.exe |inconclusive | | |no
iejwn.exe |inconclusive | | |no
install.exe |inconclusive | | |no
installer2.exe |inconclusive | | |no
uzp.exe |inconclusive | | |no
vop.png |inconclusive | | |no

387 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/03(月) 09:43:38 ]
>>383
殆どのベンダーは検出してるけどジョークプログラムか・・・・

ttp://www.virustotal.com/analisis/3c13e6169994f9e5eab10642200b5e91457b93676c73e1695caee530623d4f0b-1249260597


388 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/03(月) 15:11:15 ]
>>387
Not found !

>>383
www.virustotal.com/jp/analisis/f0c69cf5b7f8e5378cc947f906c2b89022adeb1cf0b6c02312947648459cd55b-1249280280

389 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/03(月) 16:52:08 ]
>>385
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=486
infected
ttp://www.virustotal.com/jp/analisis/3c13e6169994f9e5eab10642200b5e91457b93676c73e1695caee530623d4f0b-1245695722

>>388
現在の状態: 発見せず

390 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/03(月) 21:23:36 ]
ジョークソフトなのか
どうでも良さそうだが



391 名前:20 mailto:sage [2009/08/03(月) 21:25:32 ]
>>376
AVIRA返答 黒+2,あと2個は、まだ解析中

zenitchampion.cn
 ●uzp.exe - TR/Drop.Preald.A.28
 ●222f7497-40dc7512 - EXP.Gornial.5229

MacのExploitっぽいの、やっぱり普段あんまり見ない検出名ですね。

392 名前:20 mailto:sage [2009/08/03(月) 21:35:43 ]
>>378
Kaspersky返答来た。黒 7,白 3,破損 1でclose.

210.208.59.24
 ●Correcoes_bb.scr - Trojan-Banker.Win32.Banbra.mrt
cbbugltjud.com
 ●iejwn.exe - Trojan.Win32.Agent.cssx
esli.tw
 ●pdf.pdf - Exploit.Win32.Pidief.bgr
homeav2010.com
 ●Installer2.exe - Trojan-Downloader.Win32.FraudLoad.fdl
software-updatesv6.com
 △Driver.exe - ファイルが壊れている。
wertabulionsedaf.com
 ●Installer.exe - Trojan-Downloader.Win32.FraudLoad.fdl
zenitchampion.cn
 ●302.pdf - Exploit.JS.Pdfka.pg (HEUR:Exploit.Script.Generic)
 ○vop.png - 白(HEUR:Exploit.Script.Generic)
 ●uzp.exe - Trojan-Dropper.Win32.Preald.a
 ○5c30eea3-1c1a49d1 - 白
 ○222f7497-40dc7512 - 白

Kasperskyは、最後の2個は白判定。

393 名前:20 mailto:sage [2009/08/06(木) 23:16:14 ]
>>391
書き込み遅れたけど、AVIRA返答。

software-updatesv6.com
 △Driver.exe - ファイルが壊れている。
zenitchampion.cn
 ●5c30eea3-1c1a49d1 - TR/Agent.5234

AVIRAは最後の2個、黒でした。

394 名前:20 mailto:sage [2009/08/06(木) 23:25:58 ]
>>375
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=487
 DL virus/解凍 virus

【中身】 Driver.exeを再度Download ・・・>375の、ダウンロード失敗だった模様。ゴメンナサイ
Driver.exe
 ttp://www.virustotal.com/jp/analisis/f09687ad5ff9a70cb691ef67427f8b3e1c3c6aefb8ea2626e100598274020dbd-1249567356 (10/41)
NetFilter.exe - Driver.exeの中に含まれるMalware
 ttp://www.virustotal.com/jp/analisis/ef2843f0911b4354d76fcb091f18cad4022d9af2b3a12da7845870d48c067171-1249567509 (8/41)

AVIRA 7.01.05.79 黒2/2
 ●Driver.exe - TR/Drop.Liften.AC
 ●NetFilter.exe - TR/Liften.A.2

Kasperskyは出したら白判定の返答...orz 誰か再提出した方が良いかも。

395 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/06(木) 23:35:14 ]
>>394

Symantec、GDATA2010(=avast!&BitDefender)、ESET、TrendMicroへ提出

>>394
Kasperskyにも提出しときましたよ

396 名前:395 mailto:sage [2009/08/07(金) 01:24:51 ]
>>394
Kasperskyから返事が来たけど私側でも白判定のようです・・・

Driver.exe,
NetFilter.exe

No malicious code were found in these files.

397 名前:20 mailto:sage [2009/08/10(月) 00:38:08 ]
>>375
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=488
 DL virus/解凍 virus

【中身】 26個。MalwareDomainListの2009/08/03分とその他少し。新旧ごちゃ混ぜで検出35/41以上のも入ってますから注意。
122.70.145.140
  files.exe - ttp://www.virustotal.com/analisis/26a9f7f666d3fc8f58c9fa7217caea85afaac8cd9c140494669fcdd2d3bf6293-1249825438 (33/41)
130.209.233.202
  Copycard.gif.exe - ttp://www.virustotal.com/analisis/7a9e03506317bb54688cc1e0051ea1c1d7162dbef671d7937a1e3f317b6e2d04-1249825596 (35/39)
202.62.224.16
  wmkl.exe - ttp://www.virustotal.com/analisis/63249913c71d210b304c84159900f95a7d2ef79cc38fd949e08fee9d6fa34ccd-1249824052 (19/41)
212.117.174.14
  installnew6.exe - ttp://www.virustotal.com/analisis/fe6997d1ebc72e5ebf60a88a92524d146d66eef2b76afeccd2948cfef93ac2bc-1249825985 (30/41)
  racing.exe - ttp://www.virustotal.com/analisis/415c1520662f4bc3291816d6af4469f89df6f0966ac9bdb6f8a1999b27db9953-1249826134 (35/41)
4sx2.cn
  install.exe - ttp://www.virustotal.com/analisis/fae592289da1c4e415fa31eaa9a48483eb29a6a9bd8eca90727b7cb8906bf7eb-1249826389 (36/41)
800810down.cn
  winshou.exe - ttp://www.virustotal.com/analisis/07ca28f14959ee9055e4488d89f54b56b9bfabac16afe3ed771923f2946716c8-1249826496 (35/41)
  winwps.exe - ttp://www.virustotal.com/analisis/c9ec67a55aecc8cc088d2d736acafe72d9cdf7f7cb5dba5b0bb527aebb4cefcf-1249826642 (34/41)
  winyy.exe - ttp://www.virustotal.com/analisis/17adf345eccd7790d50098a686d36c1f32c32a06430275e88b5759146a02f4c1-1249828746 (32/41)
b35.info
  logo.jpg - ttp://www.virustotal.com/analisis/d83b78b600317c98819dba9d6c954db847f2ec22aebff9c5aca4f29e6882bc57-1249829321 (9/37)
  logo.pdf - ttp://www.virustotal.com/analisis/108a11d5bcb80734fcba470f00496e9d814666d937e07d68e43f991b4e2abbbe-1249829642 (20/41)
  who.exe - ttp://www.virustotal.com/analisis/b966299d23951ef582fa9051e9bfe2f1c47a916bf899b5f8f055f2281d5a365c-1249829837 (32/35)

398 名前:20 mailto:sage [2009/08/10(月) 00:39:09 ]
>>397 続き
bt9.5qzone.net
  030.exe - ttp://www.virustotal.com/analisis/b0896af1c6aa93e16a9a885ed32e2c4b5469c24ae9f466d9635377084beaac3d-1249830205 (38/41)
  1313.exe - ttp://www.virustotal.com/analisis/c08f01aeaf582125d682449bd891a72f347d43a18d6c56fceb4b9e440020aac9-1249830329 (27/41)
  468534.exe - ttp://www.virustotal.com/analisis/e488e5aad5c3f10bc689038124ba529fd13aaae04a95d4e98ff96cf3fdcfb89a-1249830461 (34/41)
ccmguyldmn.com
  mvfstk.exe - ttp://www.virustotal.com/analisis/ee61c1d2d8e91afb70e2fe4fee323c767290d06dd76fa3b80bd691eb3d08b2e0-1249830600 (32/41)
collabraware.com
  DSC_9525.exe - ttp://www.virustotal.com/analisis/03eaad1a93850078320a5378d095bf4ad6b3c91e01efcba33c18a551a7bd07af-1249830787 (2/41)
core2623.racingmoney-0110.com
  PC_protect.exe - ttp://www.virustotal.com/analisis/828835fb4b8ecc5064a0f6496ba160d37a32022dee7f82a0c8b275d312620b15-1249830974 (24/40)
cyswlj.b121.53dns.com
  winlogon.exe - ttp://www.virustotal.com/analisis/082062293cd806986b4f9fe296a8e34e1ebb7b0239c1575f0eade9ab90bcada2-1249824931 (6/41)
down1.36936.net
  setup1008.ocx - ttp://www.virustotal.com/analisis/163fcf2b019fa84a20d7fe3b7863fbaa1ab389b16a74598ee6a890cae719a84e-1249823874 (15/41)
sa3sa.com
  a7beek.swf.exe - ttp://www.virustotal.com/analisis/fe4e13e604cc5f21a9ff57660fbfd74d2d7696e9a392112a5fef255876a1aa25-1249824202 (18/41)
securedbizcenter1.cn
  file.exe - ttp://www.virustotal.com/analisis/3f603275ea10a445e1a182d98e2ccd82aa4b4979a97427b2c46d0f133188173f-1249831353 (23/40)

399 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/10(月) 00:45:14 ]
>>397さん乙
Symantecとa-squaredとMalwarebytesに提出しました

400 名前:20 mailto:sage [2009/08/10(月) 00:46:11 ]
>>398 続き
seriall.com
  Virut_CE-1.exe - ttp://www.virustotal.com/analisis/083889764b89e320bb0df426581ca6b722d572ea0f096de73ac55e9aeb4a7dba-1249824795 (29/41)
  Virut_CE-2.exe - ttp://www.virustotal.com/analisis/c003e0551cf5ef0efb1fae82060315d20ab4739d6017936f0cab076463ef84ea-1249824955 (31/41)
  Virut_CE-3.exe - ttp://www.virustotal.com/analisis/ff4e29660ad3f6a75fdeeb441510863652be354b2083bb0a5201ab4fb0d247c8-1249825074 (17/41)
x.52av.biz
  1.exe - ttp://www.virustotal.com/analisis/2cf6dc4f143d993e3353d76a85ab57b759977cba035071b8f1ff7bb311fee5e2-1249831711 (37/41)

>397が>395へのレスになっているのは消し忘れです。キニシナイデクダサイ


AVIRA9 7.01.05.85 (黒 24+HEUR 2+未検出 0)/26,HEUR 提出済み。

【HEUR】
collabraware.com
  DSC_9525.exe - HEUR/Malware
cyswlj.b121.53dns.com
  winlogon.exe - HEUR/Malware

数が多いので、黒の分は書きません。m(_ _)m



401 名前:20 mailto:sage [2009/08/10(月) 00:47:32 ]
>>395-396
ありがトン。 しばらくして、VTでの検出数が多くなったら、再提出してみます。

402 名前:20 mailto:sage [2009/08/10(月) 01:09:09 ]
>>397
Kaspersky2009 - 2009/08/09 23:52:00 (黒 20+未検出 6)/26,未検出分 提出済。

【未検出】
b35.info
  logo.jpg -
ccmguyldmn.com
  mvfstk.exe -
collabraware.com
  DSC_9525.exe -
cyswlj.b121.53dns.com
  winlogon.exe -
down1.36936.net
  setup1008.ocx -
seriall.com
  Virut_CE-3.exe -

403 名前:325 mailto:age [2009/08/10(月) 08:03:16 ]
>>397
McAfeeに検出できない4ファイルを提出


Logo.jpg
DSC_9525.exe
Virut_CE-1.exe
Virus_CE-2.exe

AVERT自動送信
Current DAT Version:5704.0000
Thank you for your submission.

Analysis ID: 5452750

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dsc_9525.exe |inconclusive | | |no
logo.jpg |inconclusive | | |no
virut_ce-1.exe |inconclusive | | |no
virut_ce-2.exe |inconclusive | | |no

inconclusive [dsc_9525.exe logo.jpg virut_ce-1.exe virut_ce-2.exe]

Upon analysis the file submitted does not appear to contain one of the 200,000 known
threats in the AutoImmune database. The file may contain a new threat, or no code
capable of being infected. Your submission is being forwarded to an Avert Labs
Researcher for further analysis. You will be contacted by AVERT through e-mail with
the results of that analysis.

404 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/10(月) 22:53:31 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=489
virus
FF11のフィッシングサイトから取得。

405 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/10(月) 23:01:37 ]
>>404
Symantec、Panda、GDATA2010(=avast!&BitDefender)、ESET、Kasperskyへ提出完了

Aviraは検出するので提出しません

406 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/11(火) 00:18:25 ]
>>404
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dropper1.exe |inconclusive | | |no
flasha32.dll |inconclusive | | |no

407 名前:20 mailto:sage [2009/08/11(火) 07:28:15 ]
>>401
何か、突然 Driver.exeと NetFilter.exeを HEUR:Trojan.Win32.Generic として検出するようになったので、
Kasperskyに隔離ファイルとして再送してみました。 黒に再判定となるかな...?

>>402
seriall.com
 ●Virut_CE-3.exe - Trojan.Win32.Inject.ahny

返答無いけど検出可になりました。

408 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/11(火) 12:51:46 ]
HEUR:Trojan.Win32.GenericとHEUR:Trojan.Win32.Invader検出は最近普通に多い。

ttp://www.kaspersky-sea.com/sea/top100/singpore/july16-23.txt
ttp://www.kaspersky-sea.com/sea/top100/singpore/july30-august06.txt

409 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/11(火) 15:27:47 ]
カスペ2010 13:39
>>394d(>>395,396,401,407d) 2/2 tane0487
virus HEUR:Trojan.Win32.Generic    \tane0487\NetFilter.exe
virus HEUR:Trojan.Win32.Generic    \tane0487\Driver.exe//NetFilter.exe


>>404d (>>405d) tane0489 2/2でクローズ
Trojan-Spy.Win32.BHO.ca    tane0489\dropper1.exe
Trojan-Spy.Win32.BHO.ca    tane0489\flasha32.dll


410 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/11(火) 15:55:32 ]
カスペ
>>397d(>>398,401d) tane0488
20+1=21/26

Trojan-Spy.Win32.Zbot.zzg       /122.70.145.140/file.exe
Backdoor.IRC.Zapchast.zwrc       /130.209.233.202/Copycard.gif.exe
Trojan.Win32.Delf.nzp       /202.62.224.16/wmkl.exe
Packed.Win32.Krap.r       /212.117.174.14/installnew6.exe
Trojan-Downloader.Win32.Agent.ckun       /212.117.174.14/racing.exe
Trojan-Downloader.Win32.FraudLoad.wmlz       /4sx2.cn/install.exe
Trojan-Dropper.Win32.Agent.ayox       /800810down.cn/winshou.exe
Trojan-Downloader.Win32.Esplor.ce       /800810*/winwps.exe
adware not-a-virus:AdWare.Win32.Cinmus.awgx       /800810*/winyy.exe
Exploit.Win32.Pidief.azw       /b35.info/logo.pdf
Trojan-GameThief.Win32.Agent.ci       /b35.info/who.exe
Backdoor.Win32.Delf.qbe       /bt9.5qzone.net/030.exe
Trojan-Downloader.Win32.VB.psl       /bt9.*/1313.exe
Trojan.Win32.Pasta.aoq       /bt9.*/468534.exe
not-a-virus:FraudTool.Win32.AntiVirusPro.ng       /core2623.racing*/PC_protect.exe
Backdoor.Win32.Poison.alyb       /sa3sa.com/a7beek.swf.exe/logo.exe
Trojan.Win32.FraudPack.pwo       /securedbizcenter1.cn/file.exe
Detected virus Virus.Win32.Virut.ce       /seriall.com/Virut_CE-1.exe、   Virut_CE-2.exe
Trojan.Win32.Inject.ahny       /seriall.com/Virut_CE-3.exe
Backdoor.Win32.Delf.qes       /x.52av.biz/1.exe



411 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/11(火) 20:33:45 ]
カスペからの返事
>>397(>>398,401,410) tane0488
20+事後(1+1)=22/26、白1、回答待ち3

b35.info \ logo.jpg_    -    Trojan-Downloader.JS.Iframe.bod
ccmguyldmn.com \ mvfstk.exe       -No malicious code was found in this file.

412 名前:411 mailto:sage [2009/08/11(火) 23:05:22 ]
カスペからの返事
>>397(>>398,401,410,411) tane0488
20+事後(2+2)=24/26、白1、回答待ち1(DSC_9525.exe)

down1.36936.net \ setup1008.ocx   -   Trojan-Dropper.Win32.Agent.azql
cyswlj.b121.53dns.com \ winlogon.exe_   -   Trojan-Dropper.Win32.Agent.azqh

New malicious software was found in this file.


413 名前:20 mailto:sage [2009/08/12(水) 09:00:14 ]
>>400
AVIRA
collabraware.com
 ●DSC_9525.exe - TR/Spy.Agen.2073088
cyswlj.b121.53dns.com
 ●winlogon.exe - TR/Killav.DK.6

HEURの両方とも、黒確定。で、黒(24+事後2)/26でclose。

>>407
Kaspersky返答は、HEURの提出でも2個とも白判定でした。(でも、現時点でもHEURで検出するけど)

>>408
いや、>407は、>394の時点ではHEUR検出しなかったのに、>407の時点でHEUR検出するようになった、ということで。

Kasperskyも、HEUR用のエンジンかパターンかは不明ですが、同じ8.0.0.454(a,d,e,g)のままでも、少しずつ改良されて
HEUR検出率が上がっている感じです。

# この辺、AVIRAは提出した後、必要に応じて検出エンジン・パターンの改良を行う時は判定結果のメールに
 明記されるので、わかりやすいです。(検出の.Gen系は、割と多く改良されている。AVIRAの.Gen系
 検出が多いのは、多分そのためかと...AVIRA、汎用検出パターン作るの好きっぽいし)


ちなみに、HEURのファイルはAVIRAもKasperskyも提出すると、黒の場合は必ず検出名が割り当てられるので
HEURが多いということは、新種がそれだけ増えている証拠でもあります。orz

414 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/12(水) 09:18:12 ]
>>413
乙です

>ちなみに、HEURのファイルはAVIRAもKasperskyも提出すると、黒の場合は必ず検出名が割り当てられるので

私も特定ベンダーに提出してますがPandaもSuspiciousfileで検出したものを提出したらシグネチャ化してくれることが多いですね
Pandaの隔離フォルダは基本的にヒューリスティック検出しか隔離できないですがシグネチャ化したらしっかりと表記してくれるからわかりやすい
あとはクラウド検出のTrj/CI:AやGeneric系も後々別の検出名になることがある(ただしこれらはたまにという感じ)

Symantecの場合はヒューリスティック→シグネチャというのは極まれ、たまにあるけどまずないと思った方がいい
ただ提出した後にPacked.Generic系のヒューリスティック検出が結構あった

ESETやBitDefenderもSymantecと同じくヒューリスティック→シグネチャというのはほとんどない、というかBitDefenderの場合は検体提出時のウイルス対応速度が遅すぎるという問題が・・・・

415 名前:20 mailto:sage [2009/08/12(水) 12:28:28 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=490
 DL virus/解凍 virus

【中身】 19個。MalwareDomainListの2009/08/07〜08分と、おまけ1個。取りに行くの遅くなったので、検出率高めにつき注意。
122.70.145.135
  prad.exe - ttp://www.virustotal.com/analisis/0ff8adaf759b155501a3fff1ddd8d76ccc7a33d630df59f306e32f9484b10aee-1250042454 (6/41)
213.163.91.244
  x01.exe - ttp://www.virustotal.com/analisis/9b0d85e018e0137dde21a6b386d91b4ecbd7676c7269c5ef7b4388c846265ceb-1250042172 (24/41)
bezobizn.ru
  pdf.php - ttp://www.virustotal.com/analisis/758c0332f700399a098caaa13e9ed39fd5f2f99e7c1017a0b91d225f1a0c483f-1250046363 (21/41)
  ret.exe - ttp://www.virustotal.com/analisis/68e28651b537d45ccfe4386a9a357d9cf30b9a02c5cfa11296f5375a2e76cd81-1250046617 (20/41)
buteralksaweda.com
  Install.exe - ttp://www.virustotal.com/analisis/6cce0d2118233bbd4425e653a673c5e4e8721bd2c1e5e2037a020f453ef080dd-1250044240 (24/41)
ff11.sdo.ac
  complaint.exe - ttp://www.virustotal.com/analisis/c36ed85029d822113fa76b1fb5900c5ae73781e4ae222efb419332ec50b78b9d-1250047310 (21/41)
foxbelive.ru
  test.pdf - ttp://www.virustotal.com/analisis/b3766c33160354423aa8eb4176f135e9523bc068fc9083f2abde16566a9a43da-1250046914 (24/41)
foxxpriv.ru
  test.pdf - ttp://www.virustotal.com/analisis/0fe03ecfd03245dc0ac8f94d568073c93487743f5ca276d9041a6b925581f0f3-1250047046 (25/41)

416 名前:20 mailto:sage [2009/08/12(水) 12:30:32 ]
>415 続き

igooddeal.com/load.php?a=a&e=11
  file.exe - ttp://www.virustotal.com/analisis/36fa9c697ff8e9d135ea492faa4e9bc028c8a1c69ab230234fd382db709c07fc-1250042697 (5/40)
  Chrome.pdf - ttp://www.virustotal.com/analisis/3108c216aa6768f2f0b3afb9f4950970d5f8b6b6ba7f444a590aff8915a261d1-1250043320 (5/41)
  Firefox.pdf - ttp://www.virustotal.com/analisis/b916644fa87b8d07ddfa45b598fe931d9b44d83e5cce95514e0c8e2d6f0dcf1a-1250043533 (5/41)
  IE.pdf - ttp://www.virustotal.com/analisis/edc64919b692389aff2be65bb27efe864b8bf365607604d29cd2eedd3a467987-1250043608 (5/41)
  OPERA.pdf - ttp://www.virustotal.com/analisis/890fe888b2dec8cc1f60e8a216184e5c98059cf7c521cdb44130d3b0174c130c-1250043755 (5/41)
njsdjl4bdjsa7t78dsf.com
  money.exe - ttp://www.virustotal.com/analisis/edeeae97425125494e9cadb9242268ed72c735b46743c9a9a34b4b55da71d85f-1250041927 (23/40)
opaserduchiosa.com
  Install.exe - ttp://www.virustotal.com/analisis/5d7ae64a46c530a429bc1ec072ec85da54e53e2330e389b7cc51761f94b1792e-1250044712 (23/41)
p-c-anti-spyware-2010.com
  Installer2.exe - ttp://www.virustotal.com/analisis/f5fb689427e3f72e140e396384fc382dd64ff95e14d6ff0aa77b5c72459c6b00-1250045279 (24/41)
thetruesecurityscan.com
  index.php - ttp://www.virustotal.com/analisis/b00898a574a8831c9c6d40140ba9a6db59262416fc9c14dd9599239c992c9769-1250041510 (20/40)
  install.exe - ttp://www.virustotal.com/analisis/2d7a11ce50abbb386dc1f01b059f13483e944a0ee2b18229a2d1f6d4a7ba923e-1250041773 (16/41)
www.ihateyoujess.com
  ldr.exe - ttp://www.virustotal.com/analisis/2e9d639ad295e2ed78dc4fd8205b1fe585bfae2b08d168a4c3031626fbec691b-1250047185 (34/41)

417 名前:20 mailto:sage [2009/08/12(水) 12:43:26 ]
>>415
AVIRA 7.01.05.100 (黒 14+HEUR 0+未検出 5)/19,未検出分 提出済み。

【検出】
213.163.91.244
  x01.exe - TR/Crypt.ZPACK.Gen
bezobizn.ru
  pdf.php - HTML/Malicious.PDF.Gen
  ret.exe - SPR/Tool.Obfuscator.FL.92
buteralksaweda.com
  Install.exe - TR/Dldr.FraudLo.sxm
ff11.sdo.ac
  complaint.exe - TR/PSW.Jomloon.E.4
foxbelive.ru
  test.pdf - EXP/Pidief.JC.2
foxxpriv.ru
  test.pdf - EXP/Pidief.JC.2
njsdjl4bdjsa7t78dsf.com
  money.exe - TR/Banker.Bancos.fat
opaserduchiosa.com
  Install.exe - TR/Dldr.FraudLo.sxm
p-c-anti-spyware-2010.com
  Installer2.exe - TR/Dldr.FraudLo.sxm
thetruesecurityscan.com
  index.php - JS/FakeAlert.7141
  install.exe - TR/Dropper.Gen
www.ihateyoujess.com
  ldr.exe - TR/Crypt.ZPACK.Gen

418 名前:20 mailto:sage [2009/08/12(水) 12:47:59 ]
>417 続き,AVIRA未検出分

【未検出】
122.70.145.135
  prad.exe -
igooddeal.com
  file.exe -
  Chrome.pdf -
  Firefox.pdf -
  IE.pdf -
  OPERA.pdf -

あと、>>416の igood〜の所、間違ってアドレス消し忘れているので注意願います。m(_ _)m

※ 踏むと危険です。 Jane系はリンクにならないはずですが、他の専ブラがちょっと不明。

419 名前:20 mailto:sage [2009/08/12(水) 13:08:27 ]
>>415
Kaspersky2009 2009/08/12 12:21:00 (黒 9+HEUR 1+未検出 9)/19,HEURと未検出分 提出済み。

【検出】
213.163.91.244
  x01.exe - Trojan-Banker.Win32.Bancos.evy
bezobizn.ru
  pdf.php - Exploit.Win32.Pidief.bgr
ff11.sdo.ac
  complaint.exe - Trojan-Spy.Win32.BHO.ca
foxbelive.ru
  test.pdf - Exploit.Win32.Pidief.afw
foxxpriv.ru
  test.pdf - Exploit.Win32.Pidief.bbb
igooddeal.com
  file.exe - Trojan-Spy.Win32.Zbot.aacm
njsdjl4bdjsa7t78dsf.com
  money.exe - Trojan-Banker.Win32.Bancos.fat
thetruesecurityscan.com
  index.php - Trojan-Downloader.JS.FraudLoad.d
www.ihateyoujess.com
  ldr.exe - Trojan-Spy.Win32.Zbot.gen

【HEUR】
122.70.145.135
  prad.exe - HEUR:Trojan.Win32.Generic

420 名前:20 mailto:sage [2009/08/12(水) 13:09:44 ]
>419 続き,Kaspersky未検出分

【未検出】
bezobizn.ru
  ret.exe -
buteralksaweda.com
  Install.exe -
igooddeal.com
  Chrome.pdf -
  Firefox.pdf -
  IE.pdf -
  OPERA.pdf -
opaserduchiosa.com
  Install.exe -
p-c-anti-spyware-2010.com
  Installer2.exe -
thetruesecurityscan.com
  install.exe -



421 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/12(水) 13:29:06 ]
>>417
ff11.sdo.acは >>404 です。

422 名前:20 mailto:sage [2009/08/12(水) 13:51:41 ]
>>421
ありゃりゃ、重複したか...申し訳ない。

423 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/12(水) 15:18:43 ]
>>415さん乙
Symantecとa-squaredとMalwarebytesに提出しました

424 名前:20 mailto:sage [2009/08/12(水) 16:18:10 ]
>>418
AVIRA返答

122.70.145.135
 ●prad.exe - TR/Drop.Spy.Zbot.JF

>>419
Kaspersky返答

122.70.145.135
 ●prad.exe - Trojan-Spy.Win32.Zbot.aadi (HEUR:Trojan.Win32.Generic)

どちらも黒判定。

425 名前:20 mailto:sage [2009/08/12(水) 17:02:36 ]
>>418
AVIRA返答

igooddeal.com
 ●file.exe - TR/Spy.ZBot.aacm
 ●Chrome.pdf - EXP/Pidief.gya
 ●Firefox.pdf - EXP/Pidief.gyd
 ●IE.pdf - EXP/Pidief.gyc
 ●OPERA.pdf - EXP/Pidief.gyb

>424とあわせて、>415は (黒13+事後6)/19の全黒でclose.

※ >417は、カウント間違いでした。
  × AVIRA 7.01.05.100 (黒 14+HEUR 0+未検出 5)/19
  ○ AVIRA 7.01.05.100 (黒 13+HEUR 0+未検出 6)/19

426 名前:20 mailto:sage [2009/08/12(水) 19:05:42 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=491
 DL virus/解凍 virus

【中身】 8個。MalwareDomainListの2009/08/09分 その1。サイズが大きくなったので一部先行。

427 名前:20 mailto:sage [2009/08/12(水) 19:17:45 ]
>>426
ぬお、長文が書き込めなくなった...何かの規制を受けてる。orz

AVIRA 7.01.05.101 (黒 7+HEUR 0+未検出 1)/8,未検出分 提出済み。

【未検出】
best-antivirus-security.com
  install.exe -

428 名前:403 mailto:sage [2009/08/12(水) 20:24:25 ]
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=492
Pass infected 解凍の際も同じ

新種スパイウェアと思われる

429 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/12(水) 20:40:45 ]
>>415
McAfee (Active Protection 無効)10/19
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
chrome.pdf |inconclusive | | |no
complaint.exe |heuristic detection |new malware.j |Trojan |no
file.exe |inconclusive | | |no
firefox.pdf |inconclusive | | |no
ie.pdf |inconclusive | | |no
money.exe |inconclusive | | |no
opera.pdf |inconclusive | | |no
prad.exe |inconclusive | | |no
ret.exe |inconclusive | | |no

430 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/12(水) 20:48:22 ]
>>426
McAfee (Active Protection 無効)4/8
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install.exe |inconclusive | | |no
aap.exe |inconclusive | | |no
privatecontent.exe |inconclusive | | |no

尚、woptim\WOSetup に付いては返信待ち



431 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/12(水) 21:08:41 ]
>>428
McAfee (Active Protection 無効)0/2
McAfeeに提出させて頂きました。

AVERT自動返信
返信待ち

432 名前:20 mailto:sage [2009/08/12(水) 21:53:59 ]
ドジ踏んでRock54に引っかかりました。

運営殿の話だと、数字.comのURLを何度か書き込むとRockされるらしいです。(〜○○○.comの○が数字)
# こんなんで引っかかるとは予想外...orz

なんで、マヌケな話ですがRock解除まで書き込めません。

それは仕方ないとして、私がアップしたファイルのフォルダに該当するものがいくつもありますので
検出結果を書き込む時に該当するフォルダ名を書くと、【私と同じようにRockされます】

申し訳ないのですが、私のドジの巻き添えにならないよう、十分ご注意下さい。m(_ _)m

433 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/12(水) 22:22:49 ]
カスペ2010 21:28
>>426 d tane0491
8/8で閉
not-a-virus:FraudTool.Win32.AntiSpyware.lw    /antispyware.com/setup.exe
not-a-virus:FraudTool.Win32.PersonalAntivirus.bl    /best-antivirus-security.com/install.exe
not-a-virus:FraudTool.Win32.AntivirusAgent.f    /downloads-123.com/aap.exe
not-a-virus:FraudTool.Win32.Agent.tg    /getavplusnow.com/InternetExplorer.dll
not-a-virus:FraudTool.Win32.MalwareRomovalBot.e    /remove-ultra-antivirus-2009.com/setup.exe
not-a-virus:FraudTool.Win32.WindOptimizer.c    /woptim.com/WOSetup.exe
Trojan-Dropper.Win32.Agent.avhf    /www.dabao1.cn/setup.exe
adware not-a-virus:AdWare.Win32.Cinmus.awbr    /xxxruzone.com/PrivateContent.exe


>>428d tane0492
0/2
検体提出します。


>>415d (>>419,420d) tane0490
10/19。当方からも再提出
Trojan-Spy.Win32.Zbot.aadi (←HEUR:Trojan.Win32.Generic)    /122.70.145.135/prad.exe

434 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/12(水) 22:29:07 ]
>>426.428さん乙
Symantecとa-squaredとMalwarebytesに提出しました

435 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/12(水) 23:38:36 ]
>>430
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
wosetup.exe |inconclusive | | |no

>>431
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
activatedreleasexp.e|inconclusive | | |no
activatedsetup.exe |inconclusive | | |no

436 名前:433 mailto:sage [2009/08/12(水) 23:44:24 ]
カスペからの返事
>>415 (>>419,420,433) tane0490
10+事後2=12/19、回答待ち7

bezobizn.ru \ ret.exe_ - Trojan-PSW.Win32.FireThief.f
buteralksaweda.com \ Install.exe_ - Trojan.Win32.FraudPack.qdt


New malicious software was found in this file.

437 名前:20 mailto:sage [2009/08/13(木) 00:01:38 ]
>>424
AVIRA 7.01.05.104

122.70.145.135
 ●prad.exe - TR/Spy.ZBot.aadi ← TR/Drop.Spy.Zbot.JFから変更

>>427
AVIRA返答

best-antivirus-security.com
  install.exe - ファイルが壊れているので判定できない。(再提出も同じ)

>>428
AVIRA 7.01.05.104 (黒1+事後1)/2
 ●ActivatedReleaseXP.exe - TR/Crypt.XPACK.Gen
 ●ActivatedSetup.exe - TR/何か.Genで検出できるようにする。(何か、は書いてない)@事後検出

438 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/13(木) 00:05:57 ]
>>426
PandaとBitDefenderは容量オーバーのため提出できませんでしたorz
ただ幸いPandaは未検出が1個のみなのが助かったけど

439 名前:433 mailto:sage [2009/08/13(木) 01:37:32 ]
カスペからの返事
>>415 (>>419,420,433,436) tane0490
10+事後(2+2)=14/19、残5


p-c-anti-spyware-2010.com \ Installer2.exe - Trojan.Win32.FraudPack.qdt
thetruesecurityscan.com \ install.exe_ - Trojan-Downloader.Win32.FraudLoad.ffk

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

440 名前:20 mailto:sage [2009/08/13(木) 11:43:07 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=493
 DL virus/解凍 virus

【中身】 6個。MalwareDomainListの2009/08/09分 その2。大きい物が多すぎ...orz
adwarealert
  setup.exe - ttp://www.virustotal.com/analisis/4258ba7ebce181c2519b72f4867becda65c7c147892e00e5339aff4c97f11864-1250090814 (13/41)
antispyware2008
  setup.exe - ttp://www.virscan.org/report/49c88317934192694ee5ed46509779de.html (13/37)
mmlang.net
  setup.exe - ttp://www.virustotal.com/analisis/1d177fb9f9ff3e840f8ea13455c3f6fde82ed8c1163d67a41323cb9a226efb60-1250119836 (20/41)
mz22.cn
  alexa.exe - ttp://www.virustotal.com/analisis/07693beb9aaebdd8b3223a5becc25b44c70afd73cec9e4984ffc4e89624c5e17-1250090998 (30/41)
showpromooffer
  srm_free_setup.exe - ttp://www.virustotal.com/analisis/af072ce2b07e627e27035e85bfd0ab74ac9de16b8166ef40d4b11455ecbe1b7e-1250090414 (29/41)
setup.regsweep
  setupxv.exe - ttp://www.virscan.org/report/17202f16046466332be562867832164a.html (6/37)

今VTが死んでるため、virscanで一部代用。

あと、>432の件があるので、.comのものはフォルダ名から.comを消しています。
(フォルダ名がドメイン名なのは、MDLから持ってくる人が私を含め複数なので、重複確保防止用)



441 名前:20 mailto:sage [2009/08/13(木) 11:49:20 ]
>>440
AVIRA 7.01.05.105 (黒 5+HEUR 0+未検出 1)/6,未検出分 提出済み。

【検出】
antispyware2008
  setup.exe - DR/FakeAlert.QZ
mmlang.net
  setup.exe - DR/BaiduBar.DI.2
mz22.cn
  alexa.exe - DR/AlexaBar.N.207
   →AlxRes.dll - ADSPY/AlexaBar.N.9
   →AlxTB1.dll - ADSPY/AlexaB.Dll.1
setup.regsweep
  setupxv.exe - DR/Fraud.RegSweep.A
showpromooffer
  srm_free_setup.exe - DR/Dldr.Agent.brqo.1

【未検出】
adwarealert
  setup.exe -


442 名前:20 mailto:sage [2009/08/13(木) 11:51:49 ]
>>440
Kaspersky2009 2009/08/13 10:25:00 (黒 5+HEUR 0+未検出 1)/6,未検出分 提出済み。

【検出】
adwarealert
  setup.exe - not-a-virus:FraudTool.Win32.AdwareAlert.i
antispyware2008
  setup.exe - not-a-virus:FraudTool.Win32.AntiSpyware.lw
mmlang.net
  setup.exe - Trojan.Win32.Pasta.agb
mz22.cn
  alexa.exe - not-a-virus:AdWare.Win32.AlexaBar.n
showpromooffer
  srm_free_setup.exe - Virus.Win32.Goblin.gen

【未検出】
setup.regsweep
  setupxv.exe -

443 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/13(木) 12:26:04 ]
>>440
Symantec、GDATA2010(=avast!&BitDefender)、ESETへ提出
※ Pandaは全検出だったため提出せず

Symantecから自動返答

filename: setupxv.exe
machine: Machine
result: See the developer notes

444 名前:20 mailto:sage [2009/08/13(木) 14:27:18 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=494
 DL virus/解凍 virus

【中身】 13個。MalwareDomainListの2009/08/09分 その3。8/9分で確保できたのは、これで終了。
203.116.63.105
  sta.exe - ttp://www.virustotal.com/analisis/0a3fc61e40a3cd098a5a2101230c994c886f16da17593c439a91aa6e6bf976d6-1250137687 (13/37)
ajowah.cn
  installer_1.exe - ttp://www.virustotal.com/analisis/f7442c6da34f8cff3c77b35b073d484828204531605e6126c1d77ea24b29807b-1250138082 (12/41)
  video.php - ttp://www.virustotal.com/analisis/d81393c2b80377fcd8ce8235d1633ef92b60b23959339b409a69002d6a7dc377-1250138334 (9/41)
cutalot.cn
  bot.exe - ttp://www.virustotal.com/analisis/486c9604dc656beaef37d7fac4249b82040c14c47847c6c0c548620fe4e475ea-1250138751 (24/41)
downloadxxtube
  setup.exe - ttp://www.virustotal.com/analisis/bf70b2d4b8a053d8c06bf83368493ca0ab24478bc152874b4e68d725e12758f9-1250138945 (34/41)
errorrepairtool
  install.exe - ttp://www.virustotal.com/analisis/cfbdde792d8533b2a9ab3a516872ddaada9b5585dff3972fb85bb8bb9d95a457-1250139134 (18/39)
gobackscan
  install.exe - ttp://www.virustotal.com/analisis/bee2378acda55aaa1813adf6bbd78af4b8ae57e70dd874c44ece5f61bfa5b466-1250139312 (8/41)
ji17.cn
  bigfoots.exe - ttp://www.virustotal.com/analisis/ab8521cd7bf375383157f79e5b3883997b438bdc774c2d45273032e696593865-1250139753 (35/41)
regsweep
  setup.exe - ttp://www.virustotal.com/analisis/9473af8456e39659d66449d41c85135d20019fd937f5bc2a00293f7f2380453b-1250140171 (9/41)
rondo-trips.cn
  Antivirus-29abfcf_2010-10.exe - ttp://www.virustotal.com/analisis/4ecf4a3ddb0815bcf526ad54f34015100636bdaf8ce8b36a742727083d8a707a-1250140604 (4/41)
streamrida
  bot.exe - ttp://www.virustotal.com/analisis/26050b02a2421d6803879e10801256a24e5fd5dc21f41767e1fc0f1bd9c1761b-1250140933 (25/41)

445 名前:20 mailto:sage [2009/08/13(木) 14:28:11 ]
>>444 続き
tertechet-vings.net
  it.exe - ttp://www.virustotal.com/analisis/f05bcd94bce5dcac85421c21e06563adda1137b794a204223ca2c7e153b2123e-1250141107 (20/41)
zzt7.cn
  readme.pdf - ttp://www.virustotal.com/analisis/c57ae4a559fcce3e5cb569dd11b1f97330a37a777c3b0363174add14f279bf2e-1250141320 (19/41)

446 名前:20 mailto:sage [2009/08/13(木) 14:32:23 ]
>>444
AVIRA 7.01.05.105 (黒 9+HEUR 0+未検出 4)/13,未検出分 提出済み。

【検出】
ajowah.cn
  video.php - HTML/Rce.Gen
cutalot.cn
  bot.exe - TR/Drop.Kryptik.ABV
downloadxxtube
  setup.exe - TR/Dropper.Gen
errorrepairtool
  install.exe - TR/FakeAle.MW
ji17.cn
  bigfoots.exe - TR/ATRAPS.Gen
regsweep
  setup.exe - DR/Fraud.RegSweep.A
streamrida
  bot.exe - TR/Crypt.ZPACK.Gen
tertechet-vings.net
  it.exe - TR/Banker.Bancos.fdr
zzt7.cn
  readme.pdf - EXP/Pidief.ged.1

447 名前:20 mailto:sage [2009/08/13(木) 14:36:08 ]
>>446 続き

【未検出】
203.116.63.105
 ●sta.exe - TR/何とか、で検出できるようにする。(解析済み・自動返答)
ajowah.cn
  installer_1.exe -
gobackscan
  install.exe -
rondo-trips.cn
  Antivirus-29abfcf_2010-10.exe -

448 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/13(木) 14:44:07 ]
>>444
Symantec、Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出

Symantecから自動返答

filename: setup.exe
machine: Machine
result: See the developer notes

filename: video.php
machine: Machine
result: See the developer notes

filename: install.exe
machine: Machine
result: See the developer notes

filename: Antivirus-29abfcf_2010-10.exe
machine: Machine
result: See the developer notes

filename: installer_1.exe
machine: Machine
result: This file is detected as Suspicious.S.MrC.


449 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/13(木) 14:46:49 ]
Symantecの自動返答でSuspicious.S.MrCという検出名が気になったので調べてみた

ttp://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2009-062305-4021-99

最近になってこの名前がつけられた模様

450 名前:20 mailto:sage [2009/08/13(木) 14:47:18 ]
>>444
Kaspersky2009 2009/08/13 14:34:00 (黒 7+HEUR 0+未検出 6)/13,未検出分 提出済み。

【検出】
ajowah.cn
  installer_1.exe - Trojan-Downloader.Win32.FraudLoad.wnst
cutalot.cn
  bot.exe - Trojan-Spy.Win32.Zbot.aace
downloadxxtube
  setup.exe - Trojan-Downloader.Win32.FraudLoad.wnei
ji17.cn
  bigfoots.exe - Trojan-Dropper.Win32.Agent.auch
streamrida
  bot.exe - Trojan-Spy.Win32.Zbot.aabt
tertechet-vings.net
  it.exe - Trojan-Banker.Win32.Bancos.fdr
zzt7.cn
  readme.pdf - Exploit.Win32.Pidief.bdd



451 名前:20 mailto:sage [2009/08/13(木) 14:49:31 ]
>>450 続き

【未検出】
203.116.63.105
  sta.exe -
ajowah.cn
  video.php -
errorrepairtool
  install.exe -
gobackscan
  install.exe -
regsweep
  setup.exe -
rondo-trips.cn
  Antivirus-29abfcf_2010-10.exe - Kaspersky FileScannerでファイル破損の表示

452 名前:20 mailto:sage [2009/08/13(木) 15:45:37 ]
>>444
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=495
 DL virus/解凍 virus

【中身】 1個。Kaspersky FileScannerでファイルが壊れていると出たので、その分を再ダウンロード。
rondo-trips.cn
  Antivirus-3ab37c3_2010-10.exe - ttp://www.virustotal.com/analisis/2b79674aab8e8faae071e057b9f65f3faac1c75a6453bf9db872d6802ea09f1b-1250145869 (1/41)

今度はちゃんと落ちてきたらしい。 AVIRAもKasperskyもスルーしたので提出済み。

453 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/13(木) 16:48:41 ]
>>452
Symantec、Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出

454 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/13(木) 18:26:16 ]
>>440
McAfee (Active Protection 無効)1/6
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setupxv.exe |no password | | |no

455 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/13(木) 18:27:59 ]
>>444
McAfee (Active Protection 無効)3/13 未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
sta.exe |inconclusive | | |no
installer_1.exe |inconclusive | | |no
video.php |inconclusive | | |no
bot.exe |inconclusive | | |no
install.exe |inconclusive | | |no
install.exe |inconclusive | | |no
setup.exe |inconclusive | | |no
antivirus-29abfcf_20|inconclusive | | |no
bot.exe |inconclusive | | |no
it.exe |inconclusive | | |no

456 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/13(木) 18:29:34 ]
>>452
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
antivirus-3ab37c3_20|inconclusive | | |no

457 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/13(木) 22:44:21 ]
カスペ2010 21:37
>>440d (>>442d)tane0493
5/6のまま、残1

>>444d (>>450-451d) tane0494
7+1=8/13、残5
Trojan.Win32.Tdss.anpm    gobackscan\install.exe

未検知分、送付します。

>>452d tane0495
0+1=1/1で閉鎖
Trojan-Downloader.Win32.FraudLoad.wnum    rondo-trips.cn/Antivirus-3ab37c3_2010-10.exe

カスペからの返事(0:23)
>>415 (>>419,420,433,436,439) tane0490
10+事後(4+1)=15/19、残4

thetruesecurityscan.com ¥install3.exe    - Trojan-Downloader.Win32.FraudLoad.ffk

New malicious software was found in this file.

458 名前:20 mailto:sage [2009/08/13(木) 23:50:47 ]
AVIRA 7.01.05.107 & 判定返答

>>437,428
 ●ActivatedSetup.exe - TR/何か.Genで検出できるようにする。(何か、は書いてない)@事後検出
  → TR/Dldr.Fake.210432 になりました。

>>447
ajowah.cn
 ●installer_1.exe - TR/Dldr.FraudLoad.wnst
gobackscan
 ○install.exe - 白
rondo-trips.cn
 △Antivirus-29abfcf_2010-10.exe - ファイルが壊れていて判定できない

>>452
rondo-trips.cn
 ●Antivirus-3ab37c3_2010-10.exe - 黒...なんだけど判定名が書いてない。

459 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 01:07:10 ]
カスペからの返事
>>444>>450,451,457) tane0494
7+1=8/13、白2、残3

203.116.63.105 \sta.exe
errorrepairtool \ install.exe

No malicious code was found in this file.

460 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 01:41:29 ]
>>452
NortonはAntivirus-3ab37c3_2010-10.exeをDownloaderとして検出

ちなみにVTにはまだ反映されてない
ttp://www.virustotal.com/analisis/2b79674aab8e8faae071e057b9f65f3faac1c75a6453bf9db872d6802ea09f1b-1250181977

VTのNortonは最新バージョンだとは思うんだがどこがおかしいんだろうな・・・



461 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 10:23:51 ]
カスペ2010 9:28
>>440 (>>442,457) tane0493
5+1=6/6でクローズ
virus not-a-virus:FraudTool.Win32.RegistrySmart.m    \setup.regsweep\setupxv.exe (検知)


>>444>>450,451,457) tane0494
7+(1+1)=9/13、白2、残2

virus not-a-virus:FraudTool.Win32.RegistrySmart.m  regsweep\setup.exe (検知)

462 名前:20 mailto:sage [2009/08/14(金) 13:05:15 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=496
 DL virus/解凍 virus

【中身】 17個。MalwareDomainListの2009/08/05,06,10分で確保できたもの。
※ VTの検出率38/41等の高検出で、かつこれまでの状況から提出者が居ないと判断されるベンダーのみ(ViRobotとか)が
  未検出のファイルは、作業の無駄を無くすために、検体ファイルから省略してます。(今回、そういうファイルが少し多かった。)
  逆に言うと、VT高検出率でも、主要ベンダーが未検出のものはファイルに入ってます。

baidupn.cn
  up.exe - ttp://www.virustotal.com/analisis/15a62b0a67363f7b89512961ea7931e3400b1f95217f6d37f34ee087b64d2f9b-1250212718 (21/41)
clicksurfcash.net
  ftp.exe - ttp://www.virustotal.com/analisis/e26b3c3793d0d5a401860b7edbdc416ae66bfcfe15f57d4e86ddbfdde0547790-1250212838 (28/41)
  static.exe - ttp://www.virustotal.com/analisis/ff47fe040919ed2cd5a5e86b94a44d9ee19db0c5a0e432207903f34e77f3411e-1250212961 (18/41)
nextantivirusplus
  AntivirusPlus.exe - ttp://www.virustotal.com/analisis/a64c7bc65f24349f6a8f5dfbd916b777622eacbd71a568d4f831b2a2933b9db8-1250213347 (31/41)
od32qjx6meqos.cn
  setup.exe - ttp://www.virustotal.com/analisis/fad8ca927b4dc0e4e4723af2b5cf51b2df181fb64e0bb608ad7620ccec5713fa-1250213860 (33/41)
photics.cn
  3.exe - ttp://www.virustotal.com/analisis/533f71560d7929f31acd01132ccb0deae38282ae9b837a8faf287527a9e4813b-1250215119 (35/41)
  9.exe - ttp://www.virustotal.com/analisis/12f90bc8f60f7aace88291afe62cff36cbce120650c136a34f4c5d141a1351eb-1250216026 (31/41)
  ap.exe - ttp://www.virustotal.com/analisis/28a88b3df683e65e9650462c2cb39ed3fa3d4a85dfcca3ad4f87c806c8989e06-1250216413 (36/40)
  b.css - ttp://www.virustotal.com/analisis/f73be9f32534606b17057ebf80a3d676229e85515a4d0fb271b8717140b24c15-1250216853 (29/41)
  dn.exe - ttp://www.virustotal.com/analisis/ab523a36bdb9545de4cd37dc33d25c8c4d3c7840c4308d262b8ec3751436a047-1250217339 (35/41)

463 名前:20 mailto:sage [2009/08/14(金) 13:06:17 ]
>>462 続き
se.11aaa.info
  av.exe - ttp://www.virustotal.com/analisis/940f6b88c2e3f5da77618d15a82448877c31ee3c9c039d40213eeb67cd0357c2-1250219584 (34/41)
update.51edm.net
  01.dll - ttp://www.virustotal.com/analisis/74eefedb4423fe90f17223242268d05627e7c9e4e09cc5dc139aa2e7ac139a33-1250220137 (31/41)
  01.exe - ttp://www.virustotal.com/analisis/ea3cfbbd25b325c82d5a45367de3b140da67648c4c2d7f33abcf87c103a0d489-1250220380 (28/41)
x2.w33o.cn
  down7.exe - ttp://www.virustotal.com/analisis/2c71d0ea3e4fcad639f7e07ed903b492edc9058252a246c78576d27ba93dd7d4-1250220496 (22/40)
x6.w3cc.cn
  OffCal.dll - ttp://www.virustotal.com/analisis/901b765dddc7888a60ddd5d201752166e2794cc52c0385080cc10d2f189e7531-1250220737 (13/40)
xkcode.com
  qq27.exe - ttp://www.virustotal.com/analisis/e731b15eb1ce9dae08e60bedfffba7e4f5e736e04fe7283d7cb1226dea2c8199-1250221640 (31/41)
xzwrn.cn
  image_jpg.exe - ttp://www.virustotal.com/analisis/5636e5d5cc22a69366bd82db268f30c1356fd6c31ab43b0501d919976d6db275-1250221968 (12/41)

464 名前:20 mailto:sage [2009/08/14(金) 13:14:24 ]
>>462
AVIRA 7.01.05.110 (黒 17+HEUR 0+未検出 0)/17。 提出は無し。

検出名は省略。確保が遅かったものが多かったので、AVIRAは全検出でした。
# 検体ファイルの賞味期限、切れてるか? (汗

465 名前:20 mailto:sage [2009/08/14(金) 13:30:41 ]
>>462
Kaspersky2009 2009/08/14 12:27:00 (黒 16+HEUR 0+未検出 1)/17。未検出分 提出済み。

【未検出】
xzwrn.cn
  image_jpg.exe -

466 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 13:43:52 ]
>>462さん乙
Symantecとa-squaredとMalwarebytesに提出します

467 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 15:02:05 ]
>>462
GDATA2010(=avast!&BitDefender)、ESETへ提出

※ 今回もPandaは全検出なので提出せず

468 名前:20 mailto:sage [2009/08/14(金) 15:10:17 ]
>>465
Kaspersky返答

xzwrn.cn
 ●image_jpg.exe - Trojan.Win32.Zybr.io

黒(16+事後1)/17でclose.

469 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 15:21:08 ]
>>452
PandaはAntivirus-3ab37c3_2010-10.exeを疑わしいファイルとして検出

しかし今回もまたVTに反映されず

www.virustotal.com/analisis/2b79674aab8e8faae071e057b9f65f3faac1c75a6453bf9db872d6802ea09f1b-1250211056

470 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 16:04:24 ]
カスペからの返事
>>415 (>>419,420,433,436,439,457) tane0490
10+事後(5+4)=19/19でクローズ
igooddeal.com
Chrome.pdf - Exploit.Win32.Pidief.bir,
Firefox.pdf - Exploit.Win32.Pidief.bis,
IE.pdf - Exploit.Win32.Pidief.bit,
OPERA.pdf - Exploit.Win32.Pidief.biu


>>428(>>433) tane0492
0+1=1/2、残1
ActivatedReleaseXP.exe_ - Trojan-Downloader.Win32.FraudLoad.ffx


>>462d(>>465,468 代理提出d ) 閉鎖



471 名前:428 mailto:sage [2009/08/14(金) 16:12:48 ]
>>462さん、乙です

検出できなかった2ファイルをMcAfee AVERTに提出済み
ウイルス総ファイル数は21個

マカフィーウイルススキャンは19個を検出

検出できなかった2ファイルをAVERTに提出済み

検出できなかったファイル


(1)検出できなかったプログラム:AntiVirusPlus.exe
(2)検出できなかったプログラム:ftp.exe


472 名前:20 mailto:sage [2009/08/14(金) 18:44:32 ]
>>458
AVIRA 7.01.05.112

rondo-trips.cn
 ●Antivirus-3ab37c3_2010-10.exe - 黒...なんだけど判定名が書いてない。
  → TR/Agent.163840.1 になりました。

473 名前:20 mailto:sage [2009/08/14(金) 18:50:35 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=497
 DL virus/解凍 virus

【中身】 17個。MalwareDomainListの2009/08/12分。AVIRAが2個、白判定を出してますので注意。(後記)
83892jhasld4bkjbaskdj
  money.exe - ttp://www.virustotal.com/analisis/d9383b3a98d8d76c6292b428854ac886eb7469f532207ae82d8ad2f6e8803124-1250236046 (13/41)
core2672.rubimbablo
  PC_protect.exe - ttp://www.virustotal.com/analisis/d045c24c896c1e3ada17688d24a98ffeb10d21bf696347af64f6c686d4bd8238-1250236434 (31/41)
gdf4fsf46hgfesdfu5
  money.exe - ttp://www.virustotal.com/analisis/d4c9140202b857e347c2b2c9c9457ce4cfde42ff8b3047fe391caae727a2ae93-1250236867 (13/38)
governmetfunding.org
  readme_txt.exe - ttp://www.virustotal.com/analisis/c115a609ac128cdc1d547044979a6f6de209415ddd25e53146f4d3da79f8a306-1250237919 (13/41)
iolavorodacasaonline.it
  eg.exe - ttp://www.virustotal.com/analisis/52409db484e5bb384d41b0037853d2ad3f60290a07e8f11b353246a1d8560f73-1250238273 (23/41)
ochak
  ocha.exe - ttp://www.virustotal.com/analisis/9a926900a2f12286510ffa22e2529450f58551008a278e2f203808cdd0152c6f-1250238613 (21/41)
ska.energia.cz
  imer_up.exe - ttp://www.virustotal.com/analisis/2c799829dabd1c51a1def5c9737b665c8a63cdd3cee4569bb7cabe4d38d2c8d5-1250239171 (15/41)
socks5service.cn
  b1.exe - ttp://www.virustotal.com/analisis/61e1814f606c94be79d1e3360612eb65f4edeeaf3c2043310ee69cc7c865d92a-1250239400 (21/41)
  b2.exe - ttp://www.virustotal.com/analisis/cf04f64414f49e4a31b2adefbc7f038f40b135b5fe9ddfbf55aae80938507d10-1250239497 (16/37)
softwareaddonsuploadv3
  Driver.exe - ttp://www.virustotal.com/analisis/c0b2d7267487c21f2ef1c81df0fabbe3fa17f68ef571425f1a88c5254734c4dc-1250243050 (21/41)

474 名前:20 mailto:sage [2009/08/14(金) 18:52:24 ]
>>473 続き
windowsprotectionsuite
  ActivatedReleaseXP.exe - ttp://www.virustotal.com/analisis/ca12a4d98f6df440781287969dd370c13a13ed562ac36840238af533e9b63675-1250240531 (6/40)
  ActivatedSetup.exe - ttp://www.virustotal.com/analisis/f61ee40bd7677acfbe20cef122473071b7f813404a366bff23e0379fa8d139b0-1250240781 (9/41)
  ActivatedSetupRelease.exe - ttp://www.virustotal.com/analisis/1468500433b6fa40aa8f0836cb1d162c068fc4fd98f51489717f3bd948561fae-1250241044 (6/41)
  ActivatedSetupReleaseXP.exe - ttp://www.virustotal.com/analisis/f3254d929626e73b61c43559aa47dde17dc739ced7921d48ca1e6bb445f1a757-1250241451 (5/41)
  Release.exe - ttp://www.virustotal.com/analisis/f7ef4e8ae26503dc58e5a279c6bb868beab6a0852f927a4c810e250bfbfb9f95-1250241744 (6/41)
  ReleaseXP.exe - ttp://www.virustotal.com/analisis/7bf69a8f200199a7d966c5d24c10fe83676538e31c14ba796c54d8961744c4a8-1250241998 (7/41)
  SetupRelease.exe - ttp://www.virustotal.com/analisis/da56a17b09d0b1532963623d70ea9b561aeb5475cc1140f0728ce110b733f381-1250242223 (4/41)

これは、>428さんとは別のものです。(ハッシュ等不一致)

475 名前:20 mailto:sage [2009/08/14(金) 18:59:13 ]
>>473
AVIRA 7.01.05.112 (黒 12+HEUR 0+未検出 5)/17。未検出分5個の判定は、黒 3+白 2。
(既に誰かが提出済み・判定も終了)

【未検出】
83892jhasld4bkjbaskdj
 ○money.exe - CLEAN
governmetfunding.org
 ●readme_txt.exe - MALWARE
ska.energia.cz
 ●imer_up.exe - MALWARE(Dropper)
windowsprotectionsuite
 ○Release.exe - CLEAN
 ●ReleaseXP.exe - TR/Agent.2400256

※ 上記は7.01.05.112では検出しません。(VDFアップデート待ち)

476 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 19:02:16 ]
まさかこうなるとは思わず、今さっき遊びに行って少しあちこちベンダに送ってしまった。スマン

477 名前:476 mailto:sage [2009/08/14(金) 19:04:02 ]
MalwareDomainListの08/13 14日分も幾らか送ってしまったorz

478 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 19:21:07 ]
リストの陳列だから、誰しもそういった事は最初から承知ですよん。

479 名前:20 mailto:sage [2009/08/14(金) 19:24:34 ]
>>476-477
別に気にするようなことでもないかと...というのは、私がAVIRAとKaspersky使ってるためそう思うのかも。(w

AVIRAはWEB提出のシステムが非常に良くできてるんで、重複提出してもベンダーの負荷になりません。< 鯖の負荷にはなるけど(w
Kasperskyは対処が速いから、誰かが提出済みなら、半日待てば済む話。(半日後に未検出のままなら、誰かが再送すれば良し)

他のベンダーの方は様子見かな?

480 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 19:27:30 ]
8月13日14日の分などは?このままだと茶番劇になってしまうが…



481 名前:20 mailto:sage [2009/08/14(金) 19:38:13 ]
>>473
Kaspersky2009 2009/08/14 17:55:00 (黒 8+HEUR 0+未検出 9)/17。提出は半日様子見。

【未検出】
83892jhasld4bkjbaskdj
  money.exe -
socks5service.cn
  b2.exe -
windowsprotectionsuite
  ActivatedReleaseXP.exe -
  ActivatedSetup.exe -
  ActivatedSetupRelease.exe -
  ActivatedSetupReleaseXP.exe -
  Release.exe -
  ReleaseXP.exe -
  SetupRelease.exe -

482 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 19:42:23 ]
ここでDomainListその物が紹介される前から熱狂的な人は集めていましたよ。
一般公開されている物ですし、半日遅れるだけで全てVTスキャン済みなんて
ちょくちょくでしたからね。
ここで詰め合わせを待つより、直接そこに行く人の方がはるかに多いと思いますよ。

483 名前:20 mailto:sage [2009/08/14(金) 19:42:47 ]
>>480
とりあえず確保はしますので、提出は任意(待つも自由,重複承知で提出も自由)で良いかと。
# 検体が手元に無いと、追いかけようがありませんし。

>476さんの所に検体が残っていたら、ロダにアップしてもらうのが一番速いですけど...

とりあえず、取り残している8/4分から確保に行きます。

484 名前:20 mailto:sage [2009/08/14(金) 20:35:31 ]
>>473
McAfee0/17
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
money.exe |inconclusive | | |no
pc_protect.exe |inconclusive | | |no
money.exe |inconclusive | | |no
readme_txt.exe |inconclusive | | |no
eg.exe |inconclusive | | |no
ocha.exe |inconclusive | | |no
imer_up.exe |inconclusive | | |no
b1.exe |new detection |pws-zbot |Trojan |yes
b2.exe |inconclusive | | |no
driver.exe |inconclusive | | |no
activatedreleasexp.e|inconclusive | | |no
activatedsetup.exe |inconclusive | | |no
activatedsetupreleas|inconclusive | | |no
activatedsetupreleas|inconclusive | | |no
release.exe |inconclusive | | |no
releasexp.exe |inconclusive | | |no
setuprelease.exe |inconclusive | | |no

485 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 20:36:47 ]
>>484
すみません、アンカーはミスです..........orz

486 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 20:41:24 ]
>>484-485
重ねてすみません。名前欄のミスでした..............................orz

487 名前:20 mailto:sage [2009/08/14(金) 20:41:55 ]
>>458 AVIRA 7.01.05.112
gobackscan
 ○install.exe - 白 → ● TR/TDss.anpm

>>475
ska.energia.cz
 ●imer_up.exe - MALWARE(Dropper) → DR/VB.kcm

>>482
MDLはmalwareurl.comと並んで有名所ですし、見ている人は多そうです。

ただ、スレである程度情報を共有しておけば、重複提出がある程度避けられる(ベンダー側の負荷が減る)のが
利点かと思います。

# 提出者が個別に取りに行って、重複お構いなしに個別に検体提出したら、サーバーで自動重複チェックしてる
 ベンダー以外は、アナリストの負荷が洒落にならんかと。


あと、VTスキャン済みは多いのですが、AVIRAやKasperskyみたいに判定が滅法速いベンダーでも、
こちらで出すとかなりの頻度で新種判定になるため、ベンダーに検体提出してる人って、実際には結構
少ない気もします。

例) >468の検体がMDLに載ったのは2009/08/05なので、10日近く誰もKasperskyに出してない?

VTに投げて、『おぉ、新種Get!』って所で満足して終わりの人が多いのかも...ソコデオワッタラ、ナンニモナランノニネ

488 名前:20 mailto:sage [2009/08/14(金) 22:00:11 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=498
 DL virus/解凍 virus

【中身】 4個。MalwareDomainListの2009/08/04分。流石に時間がたちすぎて、検体が集まらん...
※ MDLにあったcabファイルは、パスワードがかかっていて解除できなかったので省略。

imagehut3.cn
  evilItTheir.pdf - ttp://www.virustotal.com/analisis/8fb85c2c7c4a9e11745ce25ff5d8de8707f89cf0ee112846bebdb6a084870e50-1250254242 (23/41)
  humourOr.swf - ttp://www.virustotal.com/analisis/d608420038c1eb64439b66795b9e223475366b5a6a1ac3fac8675ea93a4d1c72-1250254361 (14/41)
  load.exe - ttp://www.virustotal.com/analisis/f2361e73eae10ac09a3c8004046ba769d2d2af8699f1cdd640c7360da9d4fa2f-1250254529 (33/41)
uliondarvasoka
  Installer2.exe - ttp://www.virustotal.com/analisis/185d5fd6fda13837821bc34139ff5109d24ee882608b657f6eb91ed11cef08b6-1250254713 (27/41)

489 名前:20 mailto:sage [2009/08/14(金) 22:03:56 ]
>>488
AVIRA 7.01.05.115 (黒 4+HEUR 0+未検出 0)/4。 提出は無し。

----------
Kaspersky (黒 2+HEUR 0+未検出 2)/4。 未検出分は提出。

【未検出】
imagehut3.cn
  humourOr.swf -
uliondarvasoka
  Installer2.exe -

490 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 22:23:07 ]
カスペ2010 20:58
>>473 d (>>481) tane0497
>>481と同じ 8/17、提出します。

Trojan-Downloader.Win32.Agent.ckqx    /core2672.rubimbablo
Trojan-Spy.Win32.Zbot.aaec    /gdf4fsf46hgfesdfu5/money.exe
Trojan-Spy.Win32.Zbot.aaea    /governmetfunding.org/readme_txt.exe
Trojan-Banker.Win32.Bancos.fjp    /iolavorodacasaonline.it/eg.exe
Trojan-Spy.Win32.Zbot.aady    /ochak/ocha.exe
Backdoor.Win32.VB.kcm    /ska.energia.cz/imer_up.exe
Trojan-Spy.Win32.Zbot.aaed    /socks5service.cn/b1.exe
Trojan.Win32.FraudPack.qdp    /softwareaddonsuploadv3/Driver.exe

>>488(>>489代理提出d) tane0498
2/4 少し様子見
Exploit.JS.Pdfka.ni    /imagehut3.cn/evilItTheir.pdf
Trojan-Downloader.Win32.FraudLoad.ezi    /imagehut3.cn/load.exe



491 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 22:46:55 ]
>>488
McAfee (Active Protection 無効) 検出:3/4
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no

492 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/14(金) 23:59:29 ]
>>473-474.488さん乙
Symantecとa-squaredとMalwarebytesに提出します

493 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 00:49:31 ]
>>488
Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出

>>473はファイルサイズが大きすぎるのでそのまま送ろうとするとPandaとBitDefenderから「サイズでかすぎなんだよゴルァ!!」と怒るしいちいち提出用にファイルを作り直すのが面倒だったので提出してません
誰か代わりに提出してくれたら助かります

494 名前:492 mailto:sage [2009/08/15(土) 01:40:43 ]
>>493
Mailにパスワード圧縮ファイル添付(数MBで小分け)で提出は出来ないの?
a-squaredへの5MB超えはそうやって提出していますが

495 名前:20 mailto:sage [2009/08/15(土) 01:41:54 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=499
 DL virus/解凍 virus

【中身】 26個。MalwareDomainListの2009/08/13分。1個、ちょっとややこしいのが入ってます。
268796.8866.org
  1.htm - ttp://www.virustotal.com/analisis/e4688ba7d3faca85008c9bbf196f11fe3f6ed5971064cb0cf6d3e1cd5c05fdde-1250264594 (0/41)
  tongji.js - ttp://www.virustotal.com/analisis/40daf6f239f962cf7fb6b21d534c6f85de053cfe453e5bdf7de6b42f45cf9f3b-1250264744 (0/41)
a0d0.3322.org
  32.js - ttp://www.virustotal.com/analisis/b97c0434277a2357a63a19b04237b73a77abb34a54c0e8eb461088a31597de12-1250264932 (0/41)
d.ksxwa
  x17.css - ttp://www.virustotal.com/analisis/d0b9054687dc7eb78d3c207bd01c38b1977b736d8427d0e19048bbb6749a00d2-1250265091 (30/41)
mooshooh.info
  bot.exe - ttp://www.virustotal.com/analisis/4320365dbdfd6b9deed131b56f83be094a09e0d7ad3b2c7c04083fb1e6542847-1250265260 (22/41)
newadmins.ws
  bot.exe - ttp://www.virustotal.com/analisis/3f11a18af1f1fdbdf4376e6692ed1d56d7c65591fd0286063812f1520460266f-1250265427 (10/41)
pop0p.cn
  xx.html - ttp://www.virustotal.com/analisis/8014fe97af5335cdb86e5246451496650b392d47801eaedd899b411acf4bc358-1250266017 (7/41)
securebizccenter.cn
  file.exe - ttp://www.virustotal.com/analisis/c1da06dc1d3bf96dc9561a492467610143fdb9e4edf70c4ecf446c6dc395c4fa-1250266252 (15/41)
silver-metscorp
  getexe_php.exe - ttp://www.virustotal.com/analisis/2cfacea8ae6e16b8baa609d3b47c13af5514e84e4f071dd2884fb207161c3a1f-1250266372 (38/41)
  pdf_php.pdf - ttp://www.virustotal.com/analisis/088ee6875fff96c8e9e3f810cc39a984a03b9c6bbde39da8b6132287ed3b4f61-1250266649 (8/41)

リストにあったのは上記の10個です。pop0p.cnの中にある、xx.html以外の16個が追加されています。

これらの細かいファイルは、xx.htmlを起点として呼び出される、分割された攻撃用コードです。

496 名前:20 mailto:sage [2009/08/15(土) 01:51:21 ]
>>495 続き
ということで、pop0p.cnの中身は、多分全部まとめて提出しないとベンダー側が訳わからんと思われます。

AVIRAに提出した結果は下記の通り。

xx.html - MALWARE
14.js - UNDER ANALYSIS
15.js - UNDER ANALYSIS
16.js - UNDER ANALYSIS
a.jpg - UNDER ANALYSIS
b.jpg - UNDER ANALYSIS
c.jpg - UNDER ANALYSIS
d.jpg - MALWARE
e.jpg - UNDER ANALYSIS
f.jpg - MALWARE
swfobject.js - CLEAN
Td14.htm - MALWARE
url.jpg - UNDER ANALYSIS
y1.htm - CLEAN
yt.htm - UNDER ANALYSIS
ytfl1.htm - MALWARE
yut.htm - MALWARE

# 元の攻撃サイトは p://pop0p●cn/x17/xx●html なので、それを明記して提出するのも一つの方法かと。

497 名前:20 mailto:sage [2009/08/15(土) 01:59:00 ]
>>495
AVIRA 7.01.05.117 (黒 4+HEUR 0+未検出 6)/10。未検出分 提出済み。(pop0p.cn一式含む)

【検出】
d.ksxwa
  x17.css - RKIT/Agent.AIWN.20
pop0p.cn
  xx.html - HTML/Infected.WebPage.Gen
securebizccenter.cn
  file.exe - TR/Crypt.ZPACK.Gen
silver-metscorp
  getexe_php.exe - TR/Crypt.ZPACK.Gen

【未検出】
268796.8866.org
  1.htm -
  tongji.js -
a0d0.3322.org
  32.js -
mooshooh.info
  bot.exe -
newadmins.ws
  bot.exe -
silver-metscorp
  pdf_php.pdf -

498 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 02:00:31 ]
>>495さん乙
Symantecとa-squaredとMalwarebytesに提出しました

499 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 02:03:07 ]
>>495

Panda、GDATA(=avast!&BitDefender)、ESETへ提出

>>494
時間があれば改めてそうします

500 名前:20 mailto:sage [2009/08/15(土) 02:06:17 ]
>>495
Kaspersky 2009/08/15 0:27:00 (黒 3+HEUR 0+未検出 7)/10。未検出分 提出済み。(pop0p.cn一式含む)

【検出】
d.ksxwa
  x17.css - Trojan-Downloader.Win32.Agent.cmby
securebizccenter.cn
  file.exe - Trojan.Win32.FraudPack.qfs
silver-metscorp
  getexe_php.exe - Trojan-Spy.Win32.Zbot.xyl

【未検出】
268796.8866.org
  1.htm -
  tongji.js -
a0d0.3322.org
  32.js -
mooshooh.info
  bot.exe -
newadmins.ws
  bot.exe -
pop0p.cn
  xx.html -
silver-metscorp
  pdf_php.pdf -



501 名前:20 mailto:sage [2009/08/15(土) 02:42:27 ]
>>475
governmetfunding.org
 ●readme_txt.exe - MALWARE → TR/Spy.ZBot.aaea

寝ます。ノシ

502 名前:20 mailto:sage [2009/08/15(土) 02:46:53 ]
>>500 もう1個来た。
newadmins.ws
 ●bot.exe - TR/Drop.Spy.Zbo.aad

今度こそ寝る。

503 名前:20 mailto:sage [2009/08/15(土) 02:49:05 ]
>>502
駄目だ、頭が寝てる。

>502は>500ではなく、>497 (AVIRA)の方

newadmins.ws
 ●bot.exe - TR/Drop.Spy.Zbo.aad @AVIRA

504 名前:20 mailto:sage [2009/08/15(土) 09:52:00 ]
Kaspersky2009 2009/08/15 9:26:00 返答無いけど対処進行中。

>>481
windowsprotectionsuite
 ●ActivatedReleaseXP.exe - Trojan.Win32.FraudPack.qgl
 ●ActivatedSetup.exe - Trojan-Downloader.Win32.FraudLoad.fgc
  ActivatedSetupRelease.exe -
  ActivatedSetupReleaseXP.exe -
  Release.exe -
  ReleaseXP.exe -
  SetupRelease.exe -

>>489
uliondarvasoka
 ●Installer2.exe - Trojan.Win32.FraudPack.qgj



505 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 14:59:52 ]
カスペ2010 13:59

>>(473,(481,504) tane0497
2/7のまま
提出済み。返事は当方で受領

>>488(>>489,504)
2+1=3/4
humourOr.swf、検体提出します。

>>495d (>>500d)
3/10のまま
検体提出します。




506 名前:20 mailto:sage [2009/08/15(土) 15:16:40 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=500
 DL virus/解凍 virus

【中身】 32個。MalwareDomainListの2009/08/14分 その1。
122.70.145.135
  test.exe - ttp://www.virustotal.com/analisis/36fa9c697ff8e9d135ea492faa4e9bc028c8a1c69ab230234fd382db709c07fc-1250307348 (21/41)
133.153.36.72.static.reverse.ltdomains
  install.exe - ttp://www.virustotal.com/analisis/1af345d2e1542f4569fb82cf5452794aa798f45a138f7648407520b741000e39-1250307509 (7/40)
195.2.253.253
  rekl5.exe - ttp://www.virustotal.com/analisis/6d462ad13a317fe43435eb5799106543d4dde870d572866392bb68f9a870e9ec-1250307735 (30/41)
77.221.153.181
  css1.exe - ttp://www.virustotal.com/analisis/9752a3392958f95f85a1d4d1c4dd6127f9975c02c0b9baebc9a102e46cb344f5-1250307814 (6/41)
  css2.exe - ttp://www.virustotal.com/analisis/d6448aa20e0ed301b49ac0f23f31a1719b17be205684cef62aace08c3c4076ce-1250307875 (8/41)
  css3.exe - ttp://www.virustotal.com/analisis/0d7118e902b112e6c39637e2ba7a3600fc85b167c102e43a607322ac69f69fec-1250308417 (9/40)
7y3x.cn
  svchost.exe - ttp://www.virustotal.com/analisis/8ecad389c0cdcd1d09514f0ea95e3027518a125755be1cb3e8ea2bcae41ee9d1-1250308629 (17/41)
842812.cn
  load.exe - ttp://www.virustotal.com/analisis/23b374a9c51f24db2749c37e236c2cfe433633cedd999423eeabc45d5e67b3fe-1250308775 (22/41)
abdomains.cn
  eva7.exe - ttp://www.virustotal.com/analisis/d2753c71b826c0a22ebabda766715177dc357194b20952c92daa88cc82e2be27-1250308850 (6/41)
chartse.cn
  z.exe - ttp://www.virustotal.com/analisis/67c05dc5300e51e20e9aeec588d8ec595886cf66da32782ca555253c6e213740-1250309527 (6/41)
d.ksxwa
  x3.css - ttp://www.virustotal.com/analisis/4b07b321b881681b85ce999e12e7c4a4957a5564a579da92f6eff5bed84b85a9-1250309718 (31/41)
deloput.cn
  bot.exe - ttp://www.virustotal.com/analisis/6aa3025ad2fad6152cc6522952ec27942896340e922d528455d05ed44d13075f-1250309850 (8/41)

507 名前:20 mailto:sage [2009/08/15(土) 15:18:05 ]
>>506 続き
directmfs.cn
  exe.exe - ttp://www.virustotal.com/analisis/460bd1458e1d2e393ab1638cf2567e689cd3e55f5510c814bc05316430cacc06-1250309991 (21/39)
exesmooth
  av-scanner.48040.exe - ttp://www.virustotal.com/analisis/5624ce7eaddc79ce7b28cfcd3f21648d6db94ff28f7309285d3c09c0b63f3fed-1250310253 (6/41)
get-files-now.info
  setup1.exe - ttp://www.virustotal.com/analisis/30cdfb67d0621c8043ac99397dd58a71112ab5e732097d9a04d2c697fde8ecd7-1250310506 (2/41)
  setup2.exe - ttp://www.virustotal.com/analisis/29e49a7cbe54369a38781d9ee7d9746008573bdbc1c988ef1eaf7f92794ebc29-1250310590 (2/41)
  setup3.exe - ttp://www.virustotal.com/analisis/361dce4c883fda0ff226e084ae5d36282db6943047ddbbfdb3304a3493281284-1250310779 (2/41)
  setup4.exe - ttp://www.virustotal.com/analisis/91739ef0a3f5c594e1642cdd00643daeced8b8504626d280368ea0e383ece1c8-1250310836 (2/41)
  setup5.exe - ttp://www.virustotal.com/analisis/02fd17efb0ac403524b7414b693b0027e2c9e24928616759b2884b3e8fe13a66-1250311155 (2/40)
  setup6.exe - ttp://www.virustotal.com/analisis/2ca30dbda09c7af57231e6c89b02d629efdda08d6c534e516117b4dae41d4026-1250312636 (2/40)
  setup7.exe - ttp://www.virustotal.com/analisis/6885c8e73fff80d3c157eddca50ba50323ae42e5c4d9c8bd52710190c5cffaf4-1250312965 (2/40)
  setup8.exe - ttp://www.virustotal.com/analisis/2aaef713b08a08a59ecdd937716b32c367929c6f34e520951d36e91804b148da-1250313594 (2/41)
itiluk
  itiluk.exe - ttp://www.virustotal.com/analisis/96234f75a4f94d43f1385e87de86c726e417fdec45b88d67fced61ab6ed5b85c-1250313685 (38/41)
javastat.cn
  load.exe - ttp://www.virustotal.com/analisis/4850e762537f9a9a84fea22357764814876215a02cbd40682d6bdc5b3ff560b2-1250313870 (14/41)
lead-trix.com
  explorer.exe - ttp://www.virustotal.com/analisis/bc6d231b319d2300170aeb6f3984127e49d8785dc0d1c70ccc89efbdb5f5cb2e-1250314162 (18/41)

508 名前:20 mailto:sage [2009/08/15(土) 15:19:13 ]
>>507 更に続き
nigmo.cn
  ldr.exe - ttp://www.virustotal.com/analisis/a497ebba666bdae19d052ce68935ab87f5657ac5023eb9631a45bbb0f746dec6-1250314389 (23/41)
omayn.cn
  loader.exe - ttp://www.virustotal.com/analisis/91643c3eb827708e4e39b070b3239d35f394da46f7d50760bfd19a68bd69656b-1250314606 (21/41)
ronplesco.cn
  bot.exe - ttp://www.virustotal.com/analisis/e0bf61bd47849f20cf0345b0cb342b71a8a3ff06677caf22997d5202f21def9f-1250314685 (9/41)
shkens.net
  bot.exe - ttp://www.virustotal.com/analisis/924db3d55d7293e51f49cdf6b5392f51df014c8769a8d1efa1b634b86938d746-1250314816 (8/41)
ta1ch1.cn
  bot.exe - ttp://www.virustotal.com/analisis/a681f424ed9120954d74c7d6fb5046bd7dcf87059348de221c89bd272d83e8de-1250314919 (34/41)
updateservisetf.ru
  update.exe - ttp://www.virustotal.com/analisis/cde38a3f15c7c6d8751395228069f29c9e05f176f325b550566dae2c8e28f400-1250315159 (14/41)
vpopku.org
  preview.exe - ttp://www.virustotal.com/analisis/70edc76419c32cb1b93c3eff7657395dbc38509855c4b3fcb672d68c176ba0f9-1250315277 (30/41)

509 名前:20 mailto:sage [2009/08/15(土) 15:25:03 ]
>>506
AVIRA 7.01.05.117 (黒 17+HEUR 0+未検出 15)/32。未検出分 提出済み。
数が多いので、検出分は省略。

【未検出】 ●付きは判定済みでサーバー自動返答。(VDFアップデート待ち) 黒 10,解析中 5
77.221.153.181
  css1.exe -
  css2.exe -
abdomains.cn
 ●eva7.exe - TR/Inject.IC
chartse.cn
  z.exe -
deloput.cn
  bot.exe -
exesmooth
  av-scanner.48040.exe -
get-files-now.info
 ●setup1.exe - MALWARE
 ●setup2.exe - MALWARE
 ●setup3.exe - MALWARE
 ●setup4.exe - MALWARE
 ●setup5.exe - MALWARE
 ●setup6.exe - MALWARE
 ●setup7.exe - MALWARE
 ●setup8.exe - MALWARE
ronplesco.cn
 ●bot.exe - TR.Drop.Spy.Zbot.JF.1

510 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 15:34:44 ]
>>506
Symantec、Panda、GDATA(=avast!&BitDefender)、ESETへ提出



511 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 15:40:29 ]
カスペからの返事
>>473(>>481,504,505) tane0497
8+2=10/17、白1、残6 (計算ミス修正orz)

83892jhasld4bkjbaskdj
money.exe - No malicious code was found in this file.


512 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 15:40:53 ]
>>506
Symantecから自動返答(一部)

filename: css1.exe
machine: Machine
result: See the developer notes

filename: css3.exe
machine: Machine
result: This file is detected as Trojan Horse. www.symantec.com/avcenter/venc/data/trojan.horse.html

filename: css2.exe
machine: Machine
result: See the developer notes

513 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 15:41:43 ]
>>506
filename: setup6.exe
machine: Machine
result: See the developer notes

filename: setup3.exe
machine: Machine
result: See the developer notes

filename: setup7.exe
machine: Machine
result: See the developer notes

filename: setup4.exe
machine: Machine
result: See the developer notes

filename: setup1.exe
machine: Machine
result: See the developer notes

filename: setup8.exe
machine: Machine
result: See the developer notes

filename: setup5.exe
machine: Machine
result: See the developer notes

filename: setup2.exe
machine: Machine
result: See the developer notes

514 名前:20 mailto:sage [2009/08/15(土) 15:44:10 ]
>>506
Kaspersky2009 2009/08/15 14:45:00 (黒 17+HEUR 1+未検出 14)/32。HEURと未検出分 提出済み。

【HEUR】
javastat.cn
  load.exe -HEUR:Trojan-Downloader.Win32.Generic

【未検出】
133.153.36.72.static.reverse.ltdomains
  install.exe -
77.221.153.181
  css1.exe -
  css2.exe -
  css3.exe -
abdomains.cn
  eva7.exe -
get-files-now.info
  setup1.exe -
  setup2.exe -
  setup3.exe -
  setup4.exe -
  setup5.exe -
  setup6.exe -
  setup7.exe -
  setup8.exe -
updateservisetf.ru
  update.exe -

515 名前:471 [2009/08/15(土) 16:21:24 ]
MalwareURL.comから入手した、検出できないベンダーが多いトロイ
偽者セキュリティを装っています

VirusTotalでの検査結果はこちら
www.virustotal.com/jp/analisis/0d6d39ef6e30d0591c3ce2b14582624910218c6d3f66a540c4cf9686ce1e44f0-1250320813

9/41検出可能でした

tane.sakuratan.com/upload/upload.cgi?mode=dl&file=501
ダウンロード・解凍共通パス
infected

ほとんどのベンダーが対応しているものばかりなので
投稿しても意味がないと思いましたので
一個しかないのです

申し訳ないです



516 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 16:44:44 ]
>>515
Symantec、Panda、GDATA2010(今回はavast!のみ)、Kaspersky、AVGへ提出

517 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 17:38:21 ]
カスペ2010 15:57
>>506d(>>514代理提出d) tane0500
18/32
当面見合わせ

Trojan-Spy.Win32.Zbot.aacm    /122.70.145.135/test.exe
Trojan-Spy.Win32.Zbot.gen    /195.2.253.253/rekl5.exe、   /842812.cn/load.exe、   /itiluk/itiluk.exe、   /vpopku.org/preview.exe (4 files))
Trojan-GameThief.Win32.Magania.buxy    /7y3x.cn/svchost.exe
Trojan-Spy.Win32.Zbot.aaes    /chartse.cn/z.exe
Trojan-Downloader.Win32.Agent.cmci    /d.ksxwa/x3.css
Trojan.Win32.Buzus.btzu    /deloput.cn/bot.exe
Trojan-Banker.Win32.Bancos.fcn    /directmfs.cn/exe.exe
Trojan-Downloader.Win32.FraudLoad.fga    /exesmooth/av-scanner.48040.exe
virus HEUR:Trojan-Downloader.Win32.Generic    /javastat.cn/load.exe//PE-Crypt.Eta
Backdoor.Win32.Agent.ajyu    /lead-trix.com/explorer.exe
Trojan-Spy.Win32.Zbot.aafg    /nigmo.cn/ldr.exe
Trojan-Banker.Win32.Bancos.fed    /omayn.cn/loader.exe
Trojan-Spy.Win32.Zbot.aaet    /ronplesco.cn/bot.exe
Trojan.Win32.Buzus.btzt    /shkens.net/bot.exe
Trojan.Win32.VB.sbz    /ta1ch1.cn/bot.exe

518 名前:20 mailto:sage [2009/08/15(土) 17:52:53 ]
>>515 乙です。
AVIRA 7.01.05.117 黒 1/1。

【検出】
cheapsecurityscan.com
 ●install.exe - TR/Dropper.Gen

>>514 事後 黒+1
133.153.36.72.static.reverse.ltdomains
 ●install.exe - Trojan-Downloader.Win32.FraudLoad.wobh

う〜ん、Kasperskyは進展するけど、相変わらず返答が来ないな...

519 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 17:55:51 ]
>>518

検出したら、返答いらなくね?

520 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 18:07:04 ]
それより、ほかのベンダーの最終分析結果を知りたいな。

特に、ビッグ3と無償化されるMS




521 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 18:58:59 ]
>>495
pop0p.cn

xx.html www.virustotal.com/analisis/8014fe97af5335cdb86e5246451496650b392d47801eaedd899b411acf4bc358-1250329160 (7/41)

14.js www.virustotal.com/analisis/d5555cdb714a809da94f7ec8aa39c0b81b74f18ba14168207e63b58e1a04887a-1250328453 (0%)
15.js www.virustotal.com/analisis/bcbf771d4a263d6cd219c10de78d2af64f8acf2650b7b53c641b5b5f2df02256-1250328342 (Avast, GDATA)
16.js www.virustotal.com/analisis/cd0eb671fbaa0bfb087f6ca0d77d9a7e863560717ccf5aa317febb069a9f14ad-1250328396 (Avast, AVG, GDATA)
a.jpg www.virustotal.com/analisis/49f63a6f44f48f5a47a1348056aacfe6065646d2853d85207ac6d45aa6396b1b-1250328540 (MS)
b.jpg www.virustotal.com/analisis/3fe7ce92851c6911ac528464244bdf01a98ab3ec16b680f3c175e767c4fd2a0f-1250328141 (0%)
c.jpg www.virustotal.com/analisis/77e553ce3f0ba87be6130da78502a21bf844ac17dc225a6ad872ccebcfeeab0c-1250328429 (0%)
d.jpg www.virustotal.com/analisis/25b71754ad7cee26cf31c3b05bbef3b65317650f7c553cf9d9ccfb911bb086bd-1250328846 (AntiVir, McAfee-GW)
e.jpg www.virustotal.com/analisis/5db219d29589e464fcda49a51b2334760d105bddd9c2a1984fbfd8420ddd8fb8-1250328583 (McAfee-GW)
f.jpg www.virustotal.com/analisis/cd57cb1296f69919c056dc3b9f588c56c32fc8c093ea02540b01a1e6550497ca-1250328685 (AntiVir, McAfee-GW)


522 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 19:00:15 ]
>>521の続き

swfobject.js www.virustotal.com/analisis/29ee593945dd3785157a2808e007505fb36113e3f025b4a581b0e8d333393caf-1250329000 (0%)
TD14.htm www.virustotal.com/analisis/95e1ae1c9b957431a459d00f9d395c2545ad641aa298b9d14884e5a7213005c0-1250329298 (9/41)
url.jpg www.virustotal.com/analisis/28c205d1c2e521a27ed25619ffd18c32d652c6b8be8009df2e9720dba4180025-1250328327 (0%)
y1.htm www.virustotal.com/analisis/88fe5b3a25b87d463e5a6176708942ef46b1d2b786cd97d1f117d47700bfe008-1250330063 (Avast, Comodo, GDATA、Sophos, TM)
yt.htm www.virustotal.com/analisis/ccc61409bf2305ca03b075940b73ffd0d8b3598b511089c6a72e81cf1b811e90-1250330454 (Avast, GDATA)
ytf1.htm www.virustotal.com/analisis/80ffe3be27a621821e6c788a0b376e990d21031896c5f7a348964c02bfcdab4d-1250329207 (アンラボ、Avast,AVG,Comodo,GData, TM)
yut.htm www.virustotal.com/analisis/2c334d53b8913c9dbe6366a91ad2a126496c3d5768a166a32d4a522234240a45-1250330314(a-squared, Avast,GDATA,Ikarus,MS,.VB)

いったい、CleanなのかUnder AnalysisかFPなのか?
VTだけでは全然把握できないorz
実機と違うというのもあるし

523 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 19:14:16 ]
>>521-522

呼び出しファイルだけ検知すればいいんじゃね。

その下の単体ファイル(たとえば、"b.jpg")が汎用的なウイルスかどうかは知らねw

興味あるやつだけでどうぞという感じ.

ヤバそうなスクリプトはありそうだけれど。
ひょっとしたら、全部黒かもしれないし。w

524 名前:20 mailto:sage [2009/08/15(土) 19:34:00 ]
>>519
黒なら検出できるようになれば良いんだけど、判定が白だった場合、返答がないと
 ・処理されてない
 ・無害(白)判定
の状況がわからないので...できれば返答は欲しい所。


愚痴っぽいんでアレだけど、他社もAVIRAみたいなシステムにしてくれると良いんだけどね。
AVIRAのシステムだと、全ての検体に対して、必ず判定結果のメール来るし。

鯖に検体アップ→自動分別→必要な分はアナリストが分析→結果を鯖に書き込む→自動で鯖が判定メール発信。
多分、重複して検体が提出されても、鯖が全部自動処理するので、アナリストの負荷が増えない。

# AVIRAのシステムの一番良い点は、過去に白判定されたファイルは、鯖が自動で『それは白』と返事をくれるところ。
 基本的にベンダーに提出されるファイルは『ソフトが検知しなかったファイル』だから、疑惑ファイルで白判定のものは
 延々と提出される可能性がある。

 で、延々と提出されても、それがアナリストの負荷にならないように & 提出者が白であることが確認できるように
 なっている(鯖が作業を代行している)のがAVIRA。 非常に合理的です。

525 名前:20 mailto:sage [2009/08/15(土) 19:42:02 ]
>>521-523
拡張子がjpgのファイルも、中身は全部textです。 >495に書いた通り、全部が組み合わさって攻撃になります。

ファイルが分割されているのは、セキュリティソフトに検出されにくくするためですネ。
ですので、全部まとめて提出しないとベンダー側は判定できません。

# 人力でも、xx.htmlから順に追いかける(src=等を全部組み立てる)と、攻撃コードを完成させられます。

526 名前:20 mailto:sage [2009/08/15(土) 19:43:46 ]
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=502
 DL virus/解凍 virus

【中身】 9個。MalwareDomainListの2009/08/14分 残り。
blt.kz
  patch.exe - ttp://www.virustotal.com/analisis/0b119b14f5acc63cd18a42b64b4c88da27c70af1e8c4af3dd8322228854fe872-1250328941 (10/41)
  pdf_php.pdf - ttp://www.virustotal.com/analisis/c29f98240ba4b5c3ec1c4b02971f8f5720db84dd16ed2e362acbf1851f6cb094-1250329762 (2/41)
  swf_php.swf - ttp://www.virustotal.com/analisis/70f8e4c05195f2b3b5c05764055a4ae6722bd9820a19d003eca6365abddf7f3a-1250329852 (12/41)
flowersagents
  bc.pdf - ttp://www.virustotal.com/analisis/a3337a96165a44ab7f334f980a6f1c341d34e56e2246adde76d291e07fb4d2e9-1250330004 (5/41)
  op.exe - ttp://www.virustotal.com/analisis/2ef14df51f2b09d7838003c218f8be9c11a4a285793fe55bd0531e35fba6960e-1250330130 (1/41)
promoluz.pt
  postcard.scr - ttp://www.virustotal.com/analisis/f0f5c9d368c0040cea636840f622d3204780a774eba477899fba72c3e9adf87e-1250330299 (22/41)
retorganionader
  Install.exe - ttp://www.virustotal.com/analisis/30f083f8c176f50f216d8623543533b221c3555df7bf57ce3dfc0d857ccfd012-1250331241 (26/41)
svhostbiz.cn
  i_php.swf - ttp://www.virustotal.com/analisis/b9c0c6f6029f519e8165a0d9af1fc649635fda0d2be82d62ab16a91647b178d5-1250331321 (8/41)
  img_php.exe - ttp://www.virustotal.com/analisis/76940119aac9d541f00020816282c8ddb0a78b02768d3c3152da3a4ccb1194df-1250331448 (12/41)

527 名前:20 mailto:sage [2009/08/15(土) 19:48:38 ]
>>526
AVIRA 7.01.05.117 (黒 4+HEUR 0+未検出 5)/9。未検出分 提出済み。

【検出】
blt.kz
  swf_php.swf - HTML/Malicious.Flash.Gen
promoluz.pt
  postcard.scr - WORM/IrcBot.788895
retorganionader
  Install.exe - TR/Dldr.FraudLo.sxm
svhostbiz.cn
  i_php.swf - EXP/SWF.28992

【未検出】
blt.kz
  patch.exe -
  pdf_php.pdf -
flowersagents
  bc.pdf -
  op.exe -
svhostbiz.cn
  img_php.exe -

528 名前:20 mailto:sage [2009/08/15(土) 20:02:40 ]
>>526
Kaspersky2009 2009/08/15 17:10:00 (黒 3+HEUR 0+未検出 6)/9。未検出分 提出済み。

【検出】
blt.kz
  swf_php.swf - Exploit.SWF.Agent.au
promoluz.pt
  postcard.scr - Backdoor.Win32.IRCBot.lut
retorganionader
  Install.exe - Trojan.Win32.FraudPack.qgn

【未検出】
blt.kz
  patch.exe -
  pdf_php.pdf -
flowersagents
  bc.pdf -
  op.exe -
svhostbiz.cn
  i_php.swf -
  img_php.exe -

529 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 20:32:59 ]
>>526
Syamntec、Panda、GDATA2010(=avast!&BitDefender)、ESETへ提出

530 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 21:07:23 ]
>>495>>506>>515>>526
McAfeeに提出させて頂きました。



531 名前:20 mailto:sage [2009/08/15(土) 21:20:05 ]
>>514
Kaspersky返答。全部新種の黒判定。

【未検出】
133.153.36.72.static.reverse.ltdomains
 ●install.exe - Trojan-Downloader.Win32.FraudLoad.wobh
77.221.153.181
 ●css1.exe - Trojan-Spy.Win32.Zbot.aafi
 ●css2.exe - Trojan-Spy.Win32.Zbot.aafj
 ●css3.exe - Trojan-Spy.Win32.Zbot.aafk
abdomains.cn
 ●eva7.exe - Trojan.Win32.Inject.ahte
get-files-now.info
 ▼setup1.exe -
 ▼setup2.exe -
 ▼setup3.exe -
 ▼setup4.exe -
 ▼setup5.exe -
 ▼setup6.exe -
 ▼setup7.exe -
 ●setup8.exe - Trojan-Downloader.Win32.FraudLoad.wocf
updateservisetf.ru
 ●update.exe - Trojan-Dropper.Win32.Agent.bahz

判定マークは無いけど、検出名はこう書いてありました。で、文脈からすると、setup1.exe〜setup8.exeの8個とも
Trojan-Downloader.Win32.FraudLoad.wocf(全部同じ)になるよ、ということらしい。

あと、HEURの方だけ隔離フォルダから別送したので、判定メールに結果が含まれていませんでした。

532 名前:516 mailto:sage [2009/08/15(土) 21:25:56 ]
>>515
Kasperskyから返事来ました

install.exe_ - Trojan-Dropper.Win32.FrauDrop.gh

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

533 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 21:29:22 ]
>>532
新しい悪意のあるソフトウェアは、
このファイルで見つかりました。
意志が次の最新版に含まれることは、
発見です。あなたの援助をありがとう。

534 名前:20 mailto:sage [2009/08/15(土) 21:48:28 ]
本日のおまけ

ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=503
 DL virus/解凍 virus

【中身】 2個。 ttp://pc11.2ch.net/test/read.cgi/sec/1227543474/186 から。
aimeblog
  blog_281.htm - ttp://www.virustotal.com/jp/analisis/39c8d0424687bf20c07f8544df825ca70524022d18b3a72d78ecd09d2c19169c-1250338709 (15/38)
  darkst.png - ttp://www.virustotal.com/jp/analisis/6b856e6162cecd6e94973f279d29d8f414e9e53cc65c467f0c6264968c6e4367-1250339778 (29/40)
-----
AVIRA 7.01.05.117 黒 2/2,提出無し
 blog_281.htm - JS/Agent.GFE
 darkst.png - EXP/Pidief.ged.1
-----
Kaspersky2009 2009/08/15 17:10:00 黒 2/2,提出無し
 blog_281.htm - Trojan-Downloader.JS.Iframe.apk
 darkst.png - Exploit.JS.DirektShow.a

535 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 22:13:05 ]
>>524-525

なんか感覚にすれ違いがあるようだ。

年に数十万種発生しているのに、重箱の隅の1日数十種で労力かけて意味があるのかな。厳しい言い方だが、MDLに盲目的で神経質すぎ。

さらに、ベンダーからの返事はライセンス保有者なら把握できるけれど、自分がライセンスを持っていないベンダーの結果が全然掲載されていないので、
インストールしていない検知結果は不可視になっていて、参考にもならず、報告スレとして機能していない。

目立つ報告が、AviraとKasaperskyだけ。それ以外はブラックボックス。2ベンダーを持ち上げ、他のベンダーをおとしめる>>20さんの自己満足スレか?

>>521-522も、主要ベンダーについて、 InconclusiveかCleanかわからない。

# 人力でも、xx.htmlから順に追いかける(src=等を全部組み立てる)と、攻撃コードを完成させられます。

労力が大変なのに、スレ住民にそれだけ労力を要求するなんて、提出者を離反させているんじゃね。

それに、現況の>>521-522の検出結果を見ると、すべてのセキュリティーベンダーは惨憺たる状態じゃん。w



前々スレあたりから参加している奴が明らかに減っているのは明らか。昔は賑やかだったのに。

全ベンダーに投げっぱなしで、後は放置プレイで終了している状態じゃん。

スレの存在位置があるのかな?

536 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 22:54:09 ]



・淡々とやれ淡々と!
 淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。






537 名前:20 mailto:sage [2009/08/15(土) 23:02:22 ]
>>535
では、貴方が検体を提供したり、自分の使っているベンダーの検出結果の報告をしたりすれば良いのでは?

私がAVIRAとKasperskyの報告をしているのは、単に『 その2つを私が使用しているから 』に過ぎない。
他のベンダーのソフトはインストールすらしていないのだから、報告など上げられるはず無いだろう?

# 一応、代替手段として、全てのファイルに対して極力VTの結果を付けているがね。

あと、そういうことを書くのであれば、私がいつ他のベンダーを貶めたのか、書いてもらいたい所。
というか、マジで、まずは最初に書いたとおり、検体集めるなり報告するなりしてみてはどうだろう。


あと、この際書いておくけど、私が提供している検体は、MDLの物をそのまま出しているわけではなく
一度自分で判別してから出しているので、労力がかかってないと思っているのなら完全に考え違い。

# MDLを盲信なんぞしてないぞ。大体、MDLのリスト、半分程度しかまともな検体無いんだから。
 それに、MDL以外の検体も入手できる度にスレに出しているし。

538 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 23:14:02 ]
>>534
McAfee (Active Protection 無効)1/2
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
blog_281.htm |inconclusive | | |no

539 名前:名無しさん@お腹いっぱい。 [2009/08/15(土) 23:46:54 ]
>>537

真性のアホか。

1. 最初の結果と最終の検出結果がおまえの使っているベンダー以外は掲載されていないことを
 引き起こしている間接的な道義的責任を問うているのに、何を勘違いしているの?

全ベンダーの最終検出結果はこのスレのどこに一体記載してあるの?
ほとんどおまえのレスで埋め尽くし。
挙げ句の果てには、つまらん感想文などを縷々延々と書く始末。
空気が読めず、スレのdatサイズも全く考えず。


2.「そういうことを書くのであれば、私がいつ他のベンダーを貶めたのか、書いてもらいたい所。
というか」への反証

「延々と提出されても、それがアナリストの負荷にならないように & 提出者が白であることが確認できるように
 なっている(鯖が作業を代行している)のがAVIRA。 非常に合理的です。」

他のベンダーは屑で見事におとしめていますね。w

>>536さんの言うとおり、淡々とやれ。カス。
感想文とかはTwitterでつぶやいておけ。


3. >マジで、まずは最初に書いたとおり、検体集めるなり報告するなりしてみてはどうだろう。


そんなにオナニー検出が好きならば、検体をアップせず、一人でオナニー検出しておけよ。
アク禁が頻繁にかかるほど悪いことしてないし。

540 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 23:47:55 ]
>さらに、ベンダーからの返事はライセンス保有者なら把握できるけれど、自分がライセンスを持っていないベンダーの結果が全然掲載されていないので、
>インストールしていない検知結果は不可視になっていて、参考にもならず、報告スレとして機能していない。

NortonとPandaとGDATAを使ってるものだが(提出&報告はしてないがAviraPremiumSecuritySuiteも使ってる)検出報告はAviraとGDATAは報告しやすくPandaとNortonの検出報告は異常に大変

AviraとGDATAの検出結果のログのコピペは割りと楽だけどPandaはかなり大変、コピペした後の整理がしんどすぎる
Nortonにいたってはそもそも検出結果のログのコピペすらできない

しかも最近は一度の検体のうpに大量の検体が含まれてるのでそんな状態でのPandaとNortonの検出報告は無理、もうお手上げです
最初に検出報告をしてない以上、リアルタイムでの対応結果報告も出来るわけがない、もっと厄介なことになる



541 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/15(土) 23:58:15 ]
>>539
一応、1について補足しておくと、

検体アップロードする奴と、検出結果を掲載する奴が同じだと、時間差を利用することにより、
検出結果が改ざんできて印象操作できるよね

このスレの検出結果を他のスレにコピペして煽りに使われているのに。
なに、その劣化版八百長AV-Test.org?

なんで、アップロードするときに、VDFが更新されるのがわかるの?
おまえの使っているのAntiVirとカスペって、反映が早いのに定評ある製品ばかりじゃん。
検体を選別するときに、提出できるよね。

>>1-3の精神に反していない?

>>537みたいに激高型レス返されると困る。

>>521-522の結果は一体どうなったの?
# 人力でも、xx.htmlから順に追いかける(src=等を全部組み立てる)と、攻撃コードを完成させられます。
は嘘ついているの?





542 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 00:00:19 ]
>>539
↓にいたっては
>「延々と提出されても、それがアナリストの負荷にならないように & 提出者が白であることが確認できるように
 なっている(鯖が作業を代行している)のがAVIRA。 非常に合理的です。」

Symantec、McAfee、TrendMicro、Pandaなんかは検体収集の自動処理を行ってるからこれも合理的な手法なんだが>>20はそれを理解できないようで
そもそもAviraにはヒューリスティック検出時にその検体をベンダーに送信される機能すらないわけで(avast!やESETにはある)

543 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 00:10:21 ]
「そもそもAviraにはヒューリスティック検出時にその検体をベンダーに送信される機能すらないわけで」は訂正、今確認したらそれに該当する機能があったので失敬

544 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 00:18:32 ]
たしかに、最近ちょっと検出数が多すぎる。
昨日は59個とか。
正直、重荷だ。

既知の古い脆弱性を突くエクスプロイトは、Windows Updateや、サードパーティーなど最新版に更新しておけば問題ないような。
最新のFlash PlayerでExploitはあるの?
旧バージョンの既知のエクスプロイトを突くのを提出するのは、意味がないような。

提出に忙殺されて他のことができない。(´・ω・`)ショボーン


545 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 00:29:05 ]
しかも最近あげられる検体はファイルサイズも大きいから検出報告だけじゃなく検体提出時にも苦労させられるという
そのまま送ったら「ファイルサイズが大きすぎる」と怒られるからいちいちファイルを分割しなきゃいけないしメールとWebフォームの両方で提出する人は更に地獄

検出報告と検体提出するベンダーが一つだけならまだ楽だけど複数のベンダーの検出報告して複数のベンダーの検体提出する人は検出報告と検体提出だけで確実に数時間はとられる

546 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 01:24:27 ]
カスペからの返事
>>473(>>481,504,505,511) tane0497
8+(2+1)=11/17、白1、残5
\windowsprotectionsuite\Release.exe_ -   - Trojan.Win32.Agent2.chog

>>488(>>489,504) tane0498
2+(1+1)=4/4で閉鎖
imagehut3.cn\humourOr.swf - Exploit.SWF.Agent.bz

>>495(>>500,505) tane0499
3+2=5/10、残5

mooshooh.info \ bot.exe - Trojan.Win32.Refroso.eww
silver-metscorp \ pdf_php.pdf - Exploit.Win32.Pidief.biz


>>544
69個。
もう寝るw



547 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 02:20:53 ]
ここまでa-squaredとMalwarebytesに提出しました
>>545
あまり無理する必要ないよ
Symantecのフォームは2窓まで送信対応してるけど
今後慣れている僕が提出しましょうか?

548 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 03:16:51 ]
まぁまぁ、みなさん、おちついて。

549 名前:20 mailto:sage [2009/08/16(日) 11:34:52 ]
>>528
Kaspersky返答 黒+6。 黒(3+事後 6)/9でclose.

blt.kz
 ●patch.exe - Trojan-Dropper.Win32.Agent.baix
 ●pdf_php.pdf - Exploit.Win32.Pidief.bjb
flowersagents
 ●bc.pdf - Exploit.Win32.Pidief.bja
 ●op.exe - not-a-virus:FraudTool.Win32.WinSpywareProtect.ajn
svhostbiz.cn
 ●i_php.swf - Exploit.SWF.Downloader.oi
 ●img_php.exe - Trojan-Dropper.Win32.Agent.baiw

550 名前:20 mailto:sage [2009/08/16(日) 11:58:30 ]
>>539
はあ、つまり私が信用できない、ということで。 つか、2chで道義的責任を追及されるとは、世の中も変わったねぇ。(w

なんで、私が全ベンダーの最終検出結果まで責任を負わなきゃいけないんだ?
このスレに検体を出すということ=全ベンダーに対する責任発生ですか?

> そんなにオナニー検出が好きならば、検体をアップせず、一人でオナニー検出しておけよ。

実際、こちらとしてはそれでも一向にかまわないけどね。単に検体提出先が自分の使っているベンダーに限られるだけで、
自分の環境の保全はできるわけだし。

というか、どうも話の流れからすると、そうした方が良さそうなんで、皆様サヨウナラ。m(_ _)m


追記) 一応AVIRA(とKaspersky)の名誉のために書いておく。
>541
>なんで、アップロードするときに、VDFが更新されるのがわかるの?

AVIRAのWEB提出使えば理由がわかるけど、VDF反映前の検体でも、画面に判定結果が表示される。

>検体アップロードする奴と、検出結果を掲載する奴が同じだと、時間差を利用することにより、
>検出結果が改ざんできて印象操作できるよね

AVIRAとKasperskyに有利な結果を書くのなら、全部処理が終わって検出できるようになってから
このスレに検体上げるけどねぇ。 提出してから1日待って、それから検体このスレに出せば済む話だし。

そうすれば、AVIRAとKasperskyの結果、検出率 常時90%以上なんて簡単に出せるぜ。そんなことしないけど。(w

>そもそもAviraにはヒューリスティック検出時にその検体をベンダーに送信される機能すらないわけで
わかりにくい所にあるけど、AVIRAにもHEUR隔離ファイルの提出機能あるよ。ポップアップしないから、確かに提出面倒だけど。

じゃあ、皆様サヨウナラ。このスレはこのスレで今後マッタリやって下さい。



551 名前:20 mailto:sage [2009/08/16(日) 12:04:04 ]
>>541 追記2) 1レスに書ききれなかったんで。m(_ _)m

> >>521-522の結果は一体どうなったの?
> # 人力でも、xx.htmlから順に追いかける(src=等を全部組み立てる)と、攻撃コードを完成させられます。
> は嘘ついているの?

・実際に行われている攻撃は、分割ファイルを使用して行われているので、組み立てたファイルを提出しても意味が無い。
 (全部出して欲しいの意味は、攻撃者の攻撃方法をベンダーに通知する意味もある)
・個人的には、実際、xx.htmlを検知するだけでもある意味凄い。(xx.htmlをテキストエディタで開いてみればわかるけど...)

では、皆様ごきげんよう。

552 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 12:40:52 ]
えー!
20さん戻って来てー
いつも勉強させてもらってたのに・・・


553 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 14:55:48 ]
気に入らない奴は20をNGしときゃいいだろうに
やたらと噛み付くのはよっぽど何か気に入らないことがあるんだろうなw

554 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 15:03:47 ]
ESETに提出しても対応してくれないムッキー!

555 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 15:27:02 ]
>>20

二度と帰ってくるなよw



556 名前:名無しさん@お腹いっぱい。 [2009/08/16(日) 16:21:57 ]
役に立つ人間が去って文句ばっか言う奴が残ったかw

557 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 16:22:18 ]
ロードスの平和は、漏れ達が守る!!!! んじゃなかったのか!! >>20 よ!!!!!! 戻ってくるんだ!!!!

558 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 17:21:59 ]
>>553
基地外の煽り体制のない煽りを20もあぼーんで対処すればよかったのに
2ちゃんねるなんて遊びなのに

最後はマンセーして火病で捨て台詞上等w

559 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 17:49:34 ]
どちらにしろカスペ信者にはろくな奴がいないということだ

560 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 18:12:02 ]
また雑音か



561 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 18:24:21 ]
雑音っぽいな。
PC2台組み立てて、Aviraにも浮気したんだ。
自作オタだから。

自称、サラリーマンで、>>20は今出張先からなんだが、とかうざかった。
見え見えの嘘で、ニートなのに。w

で、いつも上から目線でうんちくや他製品に対する優位性を空気も読まずに
書く


基本、このスレはアルファベット英数字だけでいいんだよ。


562 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/16(日) 19:01:42 ]

提出感想、対応の善し悪しは一番いいAVスレでやってほしい

>>479,524,550-551は正直イメージ悪いよ
挑発的というか、亀田三兄弟を思い出す
2chだから、ビッグマウスがくると、絶対擁護厨とアンチで荒れるだろ,JK

563 名前:アプロダ”管理”人 ◆HL2fUAyECQ mailto:sage [2009/08/16(日) 20:35:23 ]

>>20氏去って、このスレッド崩壊の危機ならば
アプロダしめる鴨よ




564 名前:1 mailto:sage [2009/08/16(日) 21:52:38 ]
>>563
沈静化するまで、当面閉めた方がいいかもね。マジで
>>20もアンチも両方悪い。

このスレッドはもはや機能しなくなっている。スレ立て、Wikiメンテとかやってきたけれど、もう限界
アップする人の中立性の欠如、キチガイの荒らし、自作自演、レッテル張り、誹謗中傷、すでに末期状態でしょ?違う?
どうせあとはコピペ、AAで埋まるだけ。

継続するなら、再度スレッドのローカルルールの見直しが必須。

※形骸化しているルール

・淡々とやれ淡々と! 淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。

・ソフトの優劣の議論は別スレで!!(下記スレなど)
一番いいセキュリティソフトはなんだ!!Part66



・ベンダーの対応が異常に遅い、他のベンダー対応は屑だ。返事・検知が異常に遅い。(ない)等の愚痴・中傷の禁止
・セキュリティ・ポリシーの相違を尊重。(A社の判定が狂っている。判定結果に信頼できない。B社の対応はネ申。)等の過剰な議論の禁止
・個別検体の長文の評価の禁止
・うpしてて頂いていている方への悪口、中傷、個人攻撃の禁止
・反対に、うpされた検体の不検知、非評価の自由の保証。(非検出ベンダーへの非難中傷の禁止)
・提出感想、レスポンス速度、検出システムの良否評価、感想は一番いいAVスレで


基本は、任意参加、自由提出、自由報告

私見な



565 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 00:18:26 ]
>>20の最後って検体大量にアップしまくりで>>20が使ってるベンダーは検出報告が楽なベンダーだからいいけど他のベンダー使ってる人は本当に過酷
一日に30以上もの検体アップされて検出報告しっかりやれと言われてもこっちにも限度がある

>>20はこの点でもスレ住人にかなり負担をかけてるように思った
今の状態で「検出報告しっかりやれ」なんて言われたらノートン、ウイルスバスター、マカフィーの御三家を使ってる人は確実にぶち切れる、御三家はどれも検出報告が大変なベンダーだから

566 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 02:02:55 ]
ttp://www3.atword.jp/gnome/2009/08/17/cough-its-myselfish/
某大規模掲示板はあまり見ていないのですが
IRC経由で、その中でも一番有益と思われるスレッド(?)が何やらモメてる様子・・・
私はまったく参加していませんが、皆さんの「善意」の努力が一発で水泡に帰しそうな感じを受けました。
私から言えることは
「Take it easy」(気楽にいきましょ)
って感じでしょうか?
20番さん、嫌になったら少し距離を置くことも重要です
そして calm down できたら、また何もなかったように再開しましょう〜

567 名前:20 mailto:sage [2009/08/17(月) 07:20:00 ]
ええと、書き込み・活動自粛でしたが、話が急転直下しているのでお邪魔いたします。
今回は皆様にご迷惑をおかけして、大変申し訳ありませんでした。m(_ _)m

>>563
ロダですが、私が大量に使用してご迷惑をおかけしたのは事実ですが、私以外にも検体提供者は
おりましたし、ロダが目的外使用(荒らし)にあっていたわけでもないので、いきなり閉める必要は
無いのではないかと思います。

>>564
ご迷惑をおjかけして申し訳ない。ただ、一つだけ、今後のためにお願いしたい。

検体をアップする人間の中立性は、証明するのが大変、とても、難しい。

今回、特に特定のベンダーに有利な条件で検体を集めていたわけでもないのに恣意的であるとの苦情が出ました。
もし検体アップに中立性を求めると、おそらく今後また同じ話になると思います。

多分、出ている検体が気に入らないに人にとっては、検体のパックが自分に対して
意図的に悪意がある、と感じられるのだと思います。

何であれ検体が集まればそれで良し、と考える程度の方が良いのではないかと思います。

私自信は、今後このスレに書き込まない・ロダを利用しないと約束しますので、
いきなり閉鎖などではなく、もう少し様子見ではいかがでしょうか。

>>565
私のログ書き込みは、単にVT補完の意味で、他の人にまでそれを求めたことはありません。

このスレが検出可否のスレであって、鑑定スレではない。つまり白黒ハッキリしないファイルの提出場所ではないため
提出したファイルがマルウェアであることを証明するための補完作業でした。(たまに自分の判断ミスで
白いファイルが入ることがありましたが。)

以上、再度、皆様にお詫びをして、終りといたします。m(_ _)m

568 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 15:35:04 ]
>>567
>私のログ書き込みは、単にVT補完の意味で、他の人にまでそれを求めたことはありません。

別に貴方に言ってるわけじゃないしそれに他の人に求めてないとかそういう問題じゃないの
「検出報告を行って検体提出する」というのがこのスレのルール
だから「このスレで検出報告が殆どなくスレが機能してない」と文句言われるのも当然のこと

しかしながら貴方の最近の検体アップ状況を見ると一日に何回もアップしてしかも大量の検体が含まれてるものだから他の検出報告する人や検体提出する人に大きな負担をかけてしまったわけ
>>565でも書いたけど一部のベンダーは検出報告が困難なのがある、そんな中で大量に検体をアップされるとまともに検出報告できる状況じゃない
「Aviraとカスペ以外の検出報告がまともにないぞゴルァ!!」「そんなこと言われたってこんなに大量に検体があるんじゃまともに検出報告できねーよ」とこんな中で貴方は知らん顔で大量の検体をアップし続けていく、これも問題になったことでしょう

幸い貴方は最初にVTの結果を貼ってくれて一通りのベンダーの検出状況がわかるけどこれも最初だけ、でも随時VT結果一覧なんて貼ったらすぐにスレの容量オーバーしちゃうからこれも問題出るしね

ま、貴方に要望をするとしたら今の検体アップロードのペースで行くならまず最初に一通りのベンダーに検体を提出して欲しい
それだけでもスレ住人の負担が減ると思うから、あとは検出報告するかどうかは検体の量次第かも

569 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 16:03:08 ]
大量の検体をアップされたら大きな負担なの?
良く分からんけど強制じゃないんで負担ならしなきゃいいんじゃね?
俺はドンドンとアップされた方が嬉しいけどね

ここの常連じゃないけどさ
>>564さんみたいなルール作って何とか継続してもらいたいよ

570 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 16:28:48 ]
>>569
>大量の検体をアップされたら大きな負担なの?

一つのベンダーのみなら楽なんだけど複数のベンダーに提出する人とかは大変
以前にVT一覧のベンダーに一通り提出する人も見なくなった、あの人が今もいたら今の状況だと過労死してるよ(大げさな言い方だけど本当にそれぐらい大変)

あとなぜ検体提出が大変なのかというとベンダーによって提出ファイル数が制限されてたり提出ファイルサイズが制限されてたりする、だからベンダーによって提出するファイルも作り直さなきゃいけない
検体数が多くてファイルサイズが大きいと提出先ベンダーが一つでも面倒になる

検出報告も同じくベンダーによって検出報告が困難、検体量が多いと検出報告が困難なベンダーはそれだけでかなりの負担

>良く分からんけど強制じゃないんで負担ならしなきゃいいんじゃね?

それを言っちゃ終わりですw
が、参加しなきゃ誰がベンダーに検体提出するの?ってことにもなるし・・・

>>564さんみたいなルール作って何とか継続してもらいたいよ

最初からこのスレの「ルール」というものがあります
が、>>20はそのルールを少し無視してたのが問題だった(大量の検体の件ではなく上で議論されてた特定ベンダー擁護とそれ以外のベンダーの貶しということで、それと「検出報告が出来てない」という文句があったのと合わせて今回こういう問題が起きた)



571 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 17:06:45 ]
いいから黙ってK7とバスターとesetに送れよ

572 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 17:54:27 ]
うん、逆に複数ベンダー、全ベンダーに一人が提出されると、正直後追い提出しづらい。
アナリストへの負荷を考えるとね。
白黒がこの板で報告されないので、確認のため再提出することある、
スパマー、コレクター扱いされると、実際に感染した時に対応が遅れるの
ではないかと心配

コテハンで、縁の下の力持ちの、アップローダー管理人さんの意見
をもう一度聞きたい。
できれば、暫定ルール整備の上、閉めないでほしい。





573 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 20:33:55 ]
ベンダへの負担っつー意味では同一バイナリは考慮しなくていいだろう
(あちらでハッシュ等で重複ハネる。そうでなきゃパンデミックとか手に負えなくなる)。

分割されている攻撃コードを同一zipでってのは効果は薄いだろう
(1つのzipにexeが1ファイルなのもあれば100ファイルなのもあるだろうし、
アナリストの負荷分散を考えれば鯖で自動的にバラしててきとーに割り振るだろう)。

ベンダ指定以外のパスワードを使ったzipなんざ無視か後回しだろうから
パス無しか「virus」か「infected」かだけは提出側のマナーとして使い分けたい。

574 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 20:42:53 ]
●前科2犯・中尾嘉宏(46)(=2chコテハン:FOX★)について
アダルトサイト PINKちゃんねるの責任者であり、2ちゃんねるの影の責任者。
2chコテハン FOX★=中尾嘉宏(46)

■2ちゃんねる幹部・中尾嘉宏(46)(FOX★)は詐欺(出資法違反)および児童買春斡旋で
逮捕されていた。
web.archive.org/web/20050305185414/http://jsimin.at.infoseek.co.jp/opinion/newrich.html

北海道警生活環境課と札幌・中央署は1997年5月6日、インターネットを利用し
不特定多数の人から金を集めていたとして、出資法違反(預かり金の禁止) の疑いで
札幌市厚別区もみじ台南七丁目、パソコンソフト開発販売会社社長 中尾嘉宏容疑者(当時37)
を逮捕した。

■解説
中尾嘉宏(46)は、詐欺(出資法違反)と児童買春斡旋の罪とあわせて前科2犯。
2ちゃんねるのサーバー管理者で、ピンクちゃんねる管理者でもある。

575 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 21:41:19 ]
なんかスレの危機みたいになってるけど、特徴的な文体の人が独り
>>20氏に粘着してるだけでしょ…
以前から対応が悪いベンダーの愚痴とか普通に話してたし
>>20氏は長文控えてくれればどうでもいいよ

576 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 21:47:42 ]
捨て台詞を吐いて出て行った人は二度とスレに戻ってこなくていいよ。

一般論で。

577 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 22:11:24 ]
雑音さんちーーーーーっすwwwっうぇwww

578 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 22:20:27 ]
>>575
そういうレスもいらん

>>572-573
提出は本当に難しいですよね・・・
提出する側にもベンダー側にも負担がかかるということを検体アップロード側の人にも考慮して欲しいとも思う
まあアップロード者だって楽してやってるわけじゃないのは確かなんだけど・・・

一度こうやって揉め事が起きた以上、もう一度しっかりと話し合う必要があるのかもしれない

・提出は一人でまとめてやるか?それとも今までの形でやるか?
・検出報告はしっかりやるべき、でも報告が困難なベンダーがあるから検体が多すぎると報告者に多大な負担を与えてしまう(特に検出できる検体が多すぎると更にきつい)
・提出側のマナーとして提出先へのパスを決める

今のところ意見や議論の内容が出てるのはこんなとこぐらいか

個人的な意見としては検体をアップロードするときのファイルサイズは制限して欲しい
さすがに20MBのファイルはどうしようかと思ったときもあったから



579 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 22:31:47 ]
ロダの下限サイズは撤廃してほしいな。
exploitなスクリプトってshellcode込みでも5kB以下、
たいてい1〜2kB。zip圧縮すると1kB以下なのよね。
ゴミ画像混ぜてアップしたことが数回ある。

580 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 22:36:39 ]
とりあえず提出する時のパスが「virus」推奨ベンダーか「infected」推奨ベンダーかも確認する必要があるんじゃないかな?
やっぱり出来るなら各ベンダーのウイルス対応が速いほうが良いからね



581 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/17(月) 22:50:08 ]
自分が覚えてるのは
AntiVir(web) なし
Kasersky(メール) なし
AVG(メール) なし
Norton(web) なし
McAfee(web) なし
Microsoft(web 1ファイル) なし
Sophos(web) なし
Trendmicro、Rising、King、Jiangmin(web) なし
K7(メール) なし
Panda(メール) なし

avast(メール) virus
Dr.WEB(メール) virus

Bit(メール) infected
Norton(メール) infected
McAfee(メール) infected
Microsoft(web 2ファイル以上) infected

基本的にwebから送るのはパス無し、他は有りが多いかもね。

582 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 00:08:54 ]
>>578
私見:「適当に」やるのがいいと思う。

検体アップロード:今まで通り。(>>20さんみたいに、MDLでもOK)
提出は1人1ベンダー
ベンダーに提出する検体も任意。(人によっては忙しいので、全数提出は義務づけない。)
提出した旨は記載。(一応、多重提出防ぐため)
事後報告:任意(できれば記載)


禁止事項

・他ベンダーへの非難、検出結果への優劣の過剰な比較
(なんで参加しないんだ?なんで検出しないんだ?対応が遅すぎるなど。担当ベンダー以外の口出し → 荒れる。一番いいAVでやれ。)

・下品な煽り、コピペ、AA →あぼーんで対処。


完璧主義でいくと、三大ウイルステストみたいに、公平性、中立性、正確性、信憑性などの話になり、荒れる。
気楽にやればいいと思う。>>20さんの復帰も歓迎。


583 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 01:40:21 ]
>>573
確かに、同一ハッシュの場合は、ベンダーではねるかもしれないけれど、
他方、はねられた方としては、返事の受領が遅くなるわけ
特に無害なコードの場合。この当たりはベンダーによってバラバラ


あと、テリトリー意識もあるから、>>582さんの通り、一人一ベンダーで責任者決めればいいと思う。

カスペ2010ユーザーとしては、>>20さんに不検出ファイルを毎回張られると内心プレッシャー
に感じるのと、重複報告でスレ容量埋め尽くして申し訳ない。
できれば、>>20さんにはAviraだけ報告してほしい

584 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 02:03:44 ]
傍観者が口を出すとややこしくなる気はするけど、

ベンダの対応が追いつかないから云々って時点で本末転倒な気がする。
ベンダの対応が追いつかないからといって、新種・亜種の数が減るわけじゃないし。
対応が追いつかないのは、追いつかない側の問題と思うしかないような

ベンダによって白黒判定基準が違うのも周知の事実だし、
白が多いからと言って文句言うのも違う気がする。

最近出てきたJavaScript分割型は、単体だと白にしかならないので、
提出時に一言コメント沿えてもいい気はする。

結局、ボランティアである以上、強要はできないし、
それぞれができる範囲でやるしかないんじゃないかと。


585 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 06:08:42 ]
少しスレ混沌としているが、念のため記載

カスペからの返事&まとめ

>>397(>>398,401,410,411,412) tane0488
20+(4+1)=25/26,白1
Backdoor.Win32.Delf.qin    \collabraware.com\DSC_9525.exe


>>473(>>481,504,505,511,546) tane0497
8+(3+4)=15/17、白(1+1=2)で閉鎖

socks5service.cn \ b2.exe    -    Trojan-Spy.Win32.Zbot.aafs
SetupRelease.exe    -    Trojan.Win32.FraudPack.qgr
ActivatedSetupRelease.exe    -    Trojan.Win32.FraudPack.qgr
ActivatedSetupReleaseXP.exe    -    Trojan.Win32.FraudPack.qgr
ReleaseXP.exe    -    Trojan.Win32.FraudPack.qhw
setup.exe    -    No malicious code was found in this file.


>>506(>>514,517,531) tane0500
>>531通り、18+事後14=32/32で閉鎖
※Downloader.Win32.FraudLoad.wocf    \get-files-now.info\setup[1-8].exe

>>515(>>532) 0+1=1/1で閉鎖 tane0501

>>526(>>528,549) 3+6=9/9で閉鎖 tane0502

586 名前:nohitokadou mailto:sage [2009/08/18(火) 15:00:17 ]

アナリストとトラブル起こしたくないから>>168みたいに
以前にも素性を尋ねられた奴がいた。何者だ?って


同一ベンダーへの多投も好きじゃないね。独立採番しているところもある。
負荷を増やすだけ。

記憶では、>>20さんは、Aviraに特別にFTP鯖を用意してもらったんじゃなかった?
これでほかのベンダーに検出しないと煽られてもね
我々は「面倒くさい」方法で送付しているわけで。



587 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 18:04:19 ]
>>583
>一人一ベンダーで責任者決めればいいと思う。

それもまた問題があると思う

というのも提出しないベンダーはどうするの?そのまま放置?
一人一ベンダーという方式は確実に提出しないベンダーの方が多くなると思いますよ?
ただでさえ現状でも送ってないベンダーの方が多いのに

となると誰かが複数のベンダーを提出しなきゃいけない、この問題は無限ループでしょうね

588 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 20:13:22 ]
担当決めるのは負担になるよね
やれるところをスレで宣言してそれを各自チェックするしかないんじゃね
出したよだけじゃなく出す時点で出すよっていう
広告報告スレみたいにさ

589 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 20:14:10 ]
出すよって言うか見るよって段階のほうがいいか
チェック有無だけでも多重になる無駄を防げる

590 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 20:40:38 ]
検体がなければ話にならないんで
UPして頂ける方の都合で一気に(大量に)来てもいいと思うけど・・・

検出可否報告や提出方法の基本的ルールは確かに必要だね




591 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 21:11:48 ]
>>587-589

それもそうだけれど、「全ベンダー提出しました!」「A,B,C,D,E,Fに、オレが提出しました!」もつらい。
性悪説でうがった考え方をすれば、結果的に提出妨害も簡単にできる。

592 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 21:41:49 ]
>>591
ベンダーから返答が(自動返答でもいいから)来たらそのメールの内容をコピペすればいいだけなんだけど・・・・
それがこれも問題で殆どは自動返答すらないベンダーばかり・・・

全ベンダーが返事が来るようになればその提出妨害も防ぐことはできるんだけどね・・・

593 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 21:45:16 ]
>>581はテンプレ推奨だね
これかなり重要だから

594 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 23:06:28 ]
>>592
結局、返事が来ないベンダーが叩かれるわけで、ループにならない?
「一体、あそこはどうなっているのか?」とか文句を言う奴も多い。
人の縄張りまで食べ散らかして、後片付けは全然手伝わない人ほど、性質の悪い奴はないと思うが。

595 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/18(火) 23:31:35 ]
>>594
返事が来なくても使ってるベンダーならリアルタイムに対応した検体を随時報告すればいいんだけどね・・・
ただし>>20さんが最近持ってくる検体があまりにも多くなり検出報告量が膨大になったため私もこのスレでのルールを放棄せざるおえない(つまり検出報告できない)
つまり
特定のベンダーしか検出報告がない(あとは提出だけの報告)→報告者は検体量が多すぎて報告できない→第三者からは「各ベンダーの対応状況はどうなった!?」と文句が出る→>>20さんが検体を持ってきて特定のベンダーの報告のみ→以後ループ

結局何が悪いか誰が悪いかわからない

ただ今は報告者が確実に減ってる、ちょっと前まではRisingやESETの人もいたんだけど今は彼らすら見かけない
本当に細かく報告してるのはKasperskyの人ぐらい
それだけKasperskyは検出報告が楽なのでしょうか?
他のベンダーで検出報告が楽なのはF-SecureとBitDefenderぐらい、あとはESETもAVGも結構面倒だった記憶がある


596 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/19(水) 00:15:14 ]
返事がちゃんと来るとこはモチベーションが続くけど
返事は来ないわ対応もしないわのベンダーだと
モチベーションが続かないだけだと思うな

597 名前:583 mailto:sage [2009/08/19(水) 09:58:51 ]
>>595
カスペというか、メール送信の方は楽じゃないよ。

印象として、メール送信は苦痛。Webが楽かと。>>581

>一人一ベンダーで責任者決めればいいと思う。
は多少誤解を招いたようですまない。

カスペに関しては、このスレのログが重複しすぎで出しゃばりすぎで弊害が出ている。そういう意味で。

>う〜ん、○○○から返答全く来ないから、何がどうなっているのやら
>さて、相変わらず○○○から返答無いけど、
>○○○のアナリストは全く信頼できないね。

というのを毎々聞かされるのも、あまり好きじゃないね。



598 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/21(金) 12:26:43 ]
www14.atpages.jp/saba02site/files/fukkyuu0.zip

599 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/21(金) 17:03:56 ]
>>598
ttp://www.virustotal.com/jp/analisis/095bb9a183c297e375230972cb1a426223ddb2a01e7f50b92dbd4a05ec1a3a97-1250836198
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=506
infected

つくづく思うに、McAfee-GW-Editionって何者w
もしかして、G-DATAよりも検出力上かも?

600 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/21(金) 17:42:36 ]
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name    Findings Detection          Type        Extra
------------|------------|------------|------------|-----
fukkyuu0.exe  |inconclusive  |            |            |no



601 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/21(金) 17:53:21 ]
>>599

McAfee-GW-Edition=Webwasher-Gateway
のはず

確かMcAfeeかSecure ComputingのHPに「McAfeeはSecure Computingを買収」というプレスリリースがあった

602 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/21(金) 20:19:56 ]
>>599
元はドイツのWebwasher(McAfeeが買収した)。
旧Webwasherではいくつかの組み合わせがあったと思うが
(GDATAやFセキュみたいなマルチエンジン)、
VTのはAntiVir+McAfee。
UPXを引っ掛けていることから設定が異なると思われる。

603 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/21(金) 20:40:12 ]
>>595
Eset(NOD32)のひとです。ちょっと忙しかったのと、Symantecに浮気してしまったため、検出可否報告できません。
(NOD32ライセンスは生きているものの、家族PCに入れ直したので、そちらで検出試行するわけにもいかず・・・)

最近の傾向が云々ではなく、個人的事情で提出&報告できていないだけです。

攻撃手法も多角化して、複数のスクリプトを組み合わせて発動する・・・なんてマルウェアも
できてしまったので、提出数が膨大になるのもわかります。で、あまり多すぎると報告する余裕もないかも。
ログそのままだと冗長だから、手作業で修正していたし。


>>554
Esetはメールがほぼ100%来ないのでわかりにくいかも。
私の場合、検出漏れしたファイルは手動隔離しておき、後日復元したときに検出できるように
なっているかどうかテストしていました。

>>599
せっかくなのでSymantecに提出してみた。0/1
自動返答では攻撃コード見あたらず、手動解析待ちです とのこと。

604 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/21(金) 23:05:47 ]
>>599 d
カスペ2010 22:41
0/1
提出しました。

605 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/22(土) 03:18:57 ]
うちに、
けいおん! 第11話 「ピンチ!?」 (BS-TBS 1280x720 DivX685 120fps ロゴ除去).avi scr
っていう、280MBもあるウイルスがやってきた。
カスペのヒューリスティックエンジンで検出してるが、ちょっとVirulTotalにアップしてみてる。
でかい検体は誰も提出しないのか???

606 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/22(土) 04:59:57 ]
P2P関連のウイルスなんて、知ったこっちゃない

607 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/22(土) 09:42:49 ]
>>605
VTにそんな大きいファイルはおくれないよ。
容量制限がある。

608 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/22(土) 10:46:34 ]
>>605
ウィルスを分離できれば、ウィルスだけ送る手もあるんだが・・・・・
PASSをつけて圧縮して、どこかのロダに揚げてみて。

スレチ違いだったら、ご容赦ください

609 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/22(土) 11:37:44 ]
スレチだ。ダウソ板にその手のスレがあるんでそっちでやれ。

610 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/22(土) 13:37:24 ]
昔と違って300MBあっても送れはするっぽい。
でも、既に出してた人がいて、再解析してもらおうとするとファイルがないと言われてワロタ。
www.virustotal.com/jp/analisis/aaf5fc7fae568e3b17416e61c2d63a3fbb9fc99d392aaa49609bda4f13bda505-1247586412

>>608
中身はほとんどが無意味な文字列で埋め尽くされてて、圧縮したらすごく小さくなった。
www1.axfc.net/uploader/N/so/81334
pass:vir
zipのパスワードなし



611 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/22(土) 14:15:59 ]
キーワードが正しくありません

612 名前:604 mailto:sage [2009/08/22(土) 17:30:57 ]
カスペ

>>599(>>604) tane0506 0+事後検知1=1/1でクローズ
Trojan.BAT.KillFiles.mb    tane0506\fukkyuu0.exe (検知)


613 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/23(日) 00:53:17 ]
カスペ検知&返事

>>444>>450,451,457,461) tane0494
7+2=9/13、白2+1=3、残1、ファイル破損1で閉鎖
\ajowah.cn\video.php   -   No malicious code was found in this file.


>>495(>>500,505) tane0499
3+(2+2)=7/10、残3(1.html 32.js, tongji.js)

Trojan-Spy.Win32.Zbot.aafn   \newadmins.ws\bot.exe
Trojan program Exploit.JS.Agent.amk   \pop0p.cn\xx.html

pop0p.cnフォルダ
Exploit.JS.Agent.amk 、    a.jpg   b.jpg   15.js   16.js   Td14.htm   y1.htmy   tfl1.htm   yut.htm

614 名前:アプロダ”管理”人 ◆HL2fUAyECQ mailto:sage英国戀物語エマみてポカポカ [2009/08/23(日) 02:17:17 ]
うん、今までの流れ見てカスペ担当さんがジミーに良い仕事してくれてるし

個人的にはみんな荒れないで大事にアプロダ使って欲しいな

まだスレッドは崩壊してないし、まぁ職人さんもぼつぼつ戻ってきてください

そろそろいいでしょ?

615 名前:名無しさん@お腹いっぱい。 [2009/08/23(日) 02:19:54 ]
ぽかぽか乙

616 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/23(日) 15:20:11 ]
なんで

改行

いれるん?



617 名前:613 mailto:sage [2009/08/23(日) 19:37:07 ]
>>614
管理人さん、乙です。
またーりやりましょう。


618 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/26(水) 03:03:47 ]
Rising(ウイルスキラー)のアップロードフォームが変更。
ttp://mailcenter.rising.com.cn/uploadnew.aspx
電話番号入れろみたいなアラートが出たけど、隣に出ている番号入れたら通った。

619 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/26(水) 12:02:55 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=507
virus

中国の学生向けSNSで悪用されている、Flashがデフォルトで持っているXSS機能を使うスクリプト。
これ自体がexeを拾ったりはしないので微妙だけど、手法がおもしろかったので。
isc.sans.org/diary.html?storyid=7015

620 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/26(水) 18:25:45 ]
>>619
ttp://www.virustotal.com/jp/analisis/ffc3bdb8a51d654ca4cf0fca8bf714f3bc07e68b3a697b8821a491d994f49196-1251263323
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
renren.js |inconclusive | | |no



621 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/26(水) 19:25:10 ]
>>619
Panda、GDATA2010(今回はavast!のみ)、ESET、Aviraへ提出

renren.js 5.3 KB MALWARE

622 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/27(木) 01:27:51 ]
>>619
NIS2009 1/1 JS.Frienren として検出しました。

623 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/08/27(木) 07:57:38 ]
>>582
に同意してたぶん復帰
>>619
Rising Internet Security 2010 22.10.03.00 (22.00.78)
スルー
既に提出済み(RS20090826160713343053)で安全文件でした。

624 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/02(水) 21:35:00 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=508
virus

ネタ元 ttp://blog.trendmicro.co.jp/archives/3028


625 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/02(水) 22:48:20 ]
>>624
Rising Internet Security 2010 22.11.02.10 (22.00.00.84)
avkill1.exe>>65: Backdoor.Win32.Drwolf.fkx
avkill1_1.exe: Backdoor.Win32.Drwolf.fkx
axa0829.exe: Backdoor.Win32.Meb.b
dldr1.exe: Trojan.Win32.Generic.11ECB8E2
dldr2.exe: Trojan.PSW.Win32.GameOnline.eto
gamepol1.exe: Trojan.DL.Win32.Undef.fvb
gamewow1.exe: Trojan.PSW.Win32.GameOnline.eto
gamewow2.exe: Trojan.PSW.Win32.GameOnline.eto
jcin02.exe: Trojan.Win32.Generic.11EBEA23
pec2.exe: Trojan.Win32.Generic.11ECF274
10/10

>>623の22.00.78は22.00.00.78の間違い

626 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/02(水) 23:06:21 ]
>>624
Symantec、Panda、GDATA2010(=avast!&BitDefender)、ESET、Kaspersky、TrendMicroへ提出

627 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/02(水) 23:34:09 ]
>>624
ttp://www.virustotal.com/analisis/4df57cbaac4759810c7c8ded109d85348719e375572dfd2cbd83e90c59a453bc-1251901524
ttp://www.virustotal.com/analisis/595fa59da4b54a885f36cc2e8b04f3ef90c1218640977ff0cc7b99b7ae0af517-1251901525
ttp://www.virustotal.com/analisis/549945d1f81d0c6f8b594490eda5b06809afc6e308cf7d08a72eb6f3892b9a6f-1251901517
ttp://www.virustotal.com/analisis/6c780c9011e3120cf7630ad103fe117a7e56accd33e5fe95b069052965f7c930-1251901516
ttp://www.virustotal.com/analisis/9a017f5830193b681387d75f108aeea4ae86f5f7043ab4965f2088cefc683e9f-1251901521
ttp://www.virustotal.com/analisis/56aa76d951a7b639681942c4f401ae3aa8efd6892dcd2eb13e1fa42d819dd7b8-1251901527
ttp://www.virustotal.com/analisis/4df57cbaac4759810c7c8ded109d85348719e375572dfd2cbd83e90c59a453bc-1251901546
ttp://www.virustotal.com/analisis/b4dc9f0a2a8b140bbea6db9443af5a2fc162734d91571e94c1e8051cd7be21a9-1251901549
ttp://www.virustotal.com/analisis/b2453ff0640e1d8de78fd2b748cf16d8400480c23cda4a9f39722254f2ec3833-1251901554
ttp://www.virustotal.com/analisis/a86af1c31a95a62ec41ca8c029e8b4af215584b268058a45b5d86fa2c30cfff7-1251901557


628 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/03(木) 06:22:14 ]
>>624
McAfee (Active Protection 無効)6/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
avkill1.exe |new detection |generic downloader.x!bfj |Trojan |yes
avkill1_1.exe |inconclusive | | |no
axa0829.exe |new detection |refpron.gen |Trojan |yes
pec2.exe |new detection |generic.dx!ewu |Trojan |yes

629 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/03(木) 16:46:39 ]
>>624
avast!全部撃墜

630 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/03(木) 17:14:25 ]
なんとな〜く、>>624さんと被ってるような気がしないでもないですが…久しぶりなので、重複チェックまで手がまわってません。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=509
infected

■ 検体入手元 ■
MDL 2009/09/01〜09/02 リネージュ資料室更新リスト 08/31〜09/02

■ 提出済みのベンダー ■
Avira、AntiyLabs : FTP経由で提出済み
その他 : Norman、Zoner、nProtectを除いて一通り提出済み



631 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/03(木) 17:28:28 ]
もいっちょ

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=510
infected

■ 検体入手元 ■
MDL 2009/08/30〜08/31
リネージュ資料室更新リスト 08/30

■ 提出済みのベンダー ■
Avira、AntiyLabs : FTP経由で提出済み
その他 : Norman、Zoner、nProtectを除いて一通り提出済み

632 名前:Norton&Panda使用者 mailto:sage [2009/09/03(木) 22:14:08 ]
3台目のPCに現時点ではウイルスバスター2010をテスト中(というかライセンスがまだ1年もある・・・)
なのでウイルスバスター2010のクラウド機能がどのように機能するかというのもテストしてみる
しばらくはアップデートを止めて>>630>>631の検体が後日アップデートなしで検出してくれるかどうか実験

PandaやMcAfeeのようなクラウド機能の働きをしてくれるかそれに期待、以上私事のレスでした
スレチゴメソ、出来る限りこういうレスは最小限にしようと思います

それと>>630さん検体提出乙です、あと現在でも検出報告まともにしてなくてごめんなさいね

633 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/03(木) 23:31:33 ]
>>632
>630-631の中には、本体ではない設定ファイルとかもあるので、白判定のままで正常なファイルにご注意を。

634 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/05(土) 02:42:28 ]
カスペ2010 1:43:00 (検体アップから時間が経過しているので、参考)

>>624d (>>626代理提出d)9/10 残1(avkill1_1.exe) tane0508


Trojan-Downloader.Win32.Agent.cosy    /avkill1.exe
Trojan-Downloader.Win32.DlfBfkg.acd    /axa0829.exe
Trojan-Downloader.Win32.Klever.m    /dldr1.exe
Trojan-GameThief.Win32.WOW.ski    /dldr2.exe   /gamewow1.exe   /gamewow2.exe
Trojan.Win32.Agent.ctaj    /gamepol1.exe
Trojan-Dropper.Win32.Agent.azbx    /jcin02.exe
Trojan.Win32.Agent2.chwj    /pec2.exe


>>630 d&代理提出 d tane0409
64/152 (内訳略)

>>631d &代理提出d tane0410
46/61 (内訳略)

順次、提出します。

635 名前:634 mailto:sage [2009/09/05(土) 10:19:40 ]
カスペからの返事
>>624>>634) tane0508
avkill1_1.exe - Trojan-Downloader.Win32.Agent.coxq

9+1=10/10でクローズ

636 名前:Norton&Panda使い mailto:sage [2009/09/08(火) 18:22:54 ]
とりあえずウイルスバスター2010の結果報告

残念ながら>>630>>631の検体での検出結果はアップデート無しによる検出はなし
後日アップデートでパターンファイル更新してようやく検出した検体が増えた
どうやらMcAfeeやPandaのような「パターンファイル更新なくてもインターネット接続してるだけで検体が対応して検出してくれる」ということはないようだ
(当然のことながらPandaはパターンファイル更新してなくても検体が対応してくれればガシガシと検出してくれる仕組み)

ただしそれと同時に嬉しい報告も
ウイルスバスター2010のアンチウイルスエンジンは新しくなってて↓のようなGeneric系の検出が増えてきた

www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=TROJ_Generic.DIT

2010でTROJ_GENERIC.DITで検出した検体をVTに投げてみた結果

www.virustotal.com/analisis/6ea6f33a7bfc520d3fa852ca4cbcfd4094268bc95870f35788f9043f55955975-1252401122

2009と2010ではエンジンが違うみたいなので2010の検出率アップに期待できる

以上、私事の報告失礼しました

637 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/10(木) 08:56:23 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=511
infected
●MDL 2009/09/02-09/04+mixiに貼られていたもの


ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=512
infected
●MDL 2009/09/05-09/09+リネージュ資料室のリスト+spamメール添付ファイル


■提出済みのベンダー
AviraとAntiyLabsには、ftp経由で提出済み。他ベンダーは未提出。

備考
例によって、設定ファイルも含めているので、白判定のファイル多いかと。
一括してダウンローダで落とした後、ファイルを全部チェックした訳じゃないので
サーバーのエラーメッセージとか、失効ドメインのページとかも混ざってるかもしれません。
時間のある方は、提出する前にその辺もチェックした方がいいかも。

638 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/10(木) 10:40:55 ]
ここまでSymantecとa-squaredとMalwarebytesに提出しました

639 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/10(木) 18:33:44 ]
>>637
tane0511
McAfee (Active Protection 無効)25/53
tane0512
McAfee (Active Protection 無効)64/179
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
省略させて頂きます。

640 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/10(木) 21:30:57 ]
カスペ2010 19:23
>>637 (tane0511) d
36/53 (シグネチャ名略)

(1)59→ 4/7 (検出:*.exe (4files) //未検出:, get.php, index.php, Who_next.pdf)
(288→ 5/6(検出:s.swf, show.php, , sashh.exe, sashok、manual.pdf//未検出 index.php)
(3)94→4/7(検出:install.exe, s.swf, manual.pdf, show.php // 未検出 admin.php, dr.web*.exe, zipoer.bin)
(4)195→6/9 (112.exe, manual (1).pdf, , manual.pdf, s (1).swf, s.swf, show.php , //非検出:*.php (3files))
(5)fake→.3/3 (検出:*.exe (3files)
(6)Onlines→3/4 (検出:1199.exe, play.exe, movieplayer//非検出:uptv*.rar)
(7)tour6→4/5 (検出:, manual.pdf, s.swf, system32.exe.show.php, //未検出:admin.php)
(8)weeeeld.→3/4 (検出:goodYouAll.swf. isMiddleForm.pdf, load.exe//非検出:index.php)
(9)sns→1/3 (検出:darkst.png//未検出:*.htm(2files)) →見送り
(10) zeus→3/5 (検出→readme.pdf, services.pdf, sex-movie.exe、//未検出 1.rar, down..bin)

必要なものは適宜検出します。



641 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/10(木) 22:05:52 ]
カスペ2010 20:47
>>637 (tane0512) d
95/178

フォルダ別

Bra   1/1

exploit
28zxc    3/4(index.php以外)
61  3/4(girl.htm以外)
78  0/1
112  0/0
125  2/7
213    2/2  (*.php)
add      3/4    (admin.php以外)
exp  1/4  update9.exe(のみ)
kvu  3/5  (2chv.htm,  wordA.swfのみ)
poa  2/5  (pdf.pdf,  swf.swfのみ)

FakeAV
AntiVirusPro  0/15  (*.htm)
Rogue  0/3  (*.htm)
trojanFakeRean  8/8  (*.exe)
直下3/8  (InternetAvtivirisPro.exe,  file.exe,  Installer.70084.exeのみ)

642 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/10(木) 22:06:50 ]
>>641

trojan  
64  1/1
1.207    2/2
91.213  3/3
195  1/1
195.95  2/2
202  3/4  (zong.exeスルー)
203.  0/2  スルー
210  3/4  (xplaymovie.phpはスルー)
dfghs  17/17  (*.exe)
socks  1/1
spam  1/1
tour  1/1
aime  9/10  (xin.htmスルー)
ele  1/1
mlwc  2/2

zeus  18/54  詳細略


実行可能ファイルを中心に提出

643 名前:641-642 mailto:sage [2009/09/11(金) 17:25:31 ]
>>637
カスペからの返事 16:21 (あまり意味がないかもしれないが...)

>>637>>640) tane0511
36+2+数え間違い1=39/53 (残14提出せず。回答なし。)

59.125.231.241\Who_next.pdf   -   Exploit.Win32.Pidief.bqx
94.75.253.92\dr.web_cureit!.exe   -   Trojan-Spy.Win32.Zbot.aars


>>637(>>641-642) tane0512
95+7+3=105/178
exploit\125.128.6.11/he1.swf - Trojan program Exploit.JS.Agent.anq
exploit\kvumurij.cn\2cv.htm_ - Trojan-Downloader.JS.agent.eme,
exploit\kvumurij.cn\wordA.swf - Trojan-Dropper.SWF.BlackScreen.bv
FakeAV\setup.exe - Trojan-Dropper.Win32.Agent.bcpd
trojan\203.251.93.133\love.jpg,  hosts.txt_ - Trojan.Win32.Qhost.lzy
trojan\202.104.237.2\zong.exe - Trojan-Downloader.Win32.Geral.dcn
zeus\bot(4).exe_ - Trojan-Spy.Win32.Zbot.aart


新規HEUR検知:3→当方でフォローします。
virus HEUR:Trojan-Downloader.Script.Generic /exploit/28zxc.ws/index.php    /exploit/61.235.117.72/giri.htm
virus HEUR:Trojan.Script.Generic    /exploit/poavlonini.com/show.php

提出済み・回答待ち:6→当方でフォローします。
(FakeAV\setup(1).exe, zeus\bot(7).exe, js.exe,  trojan/../xin,htm,   ,exploit\125.128.6.11\he2.swf he3.swf)

html, php, binなどの類は多すぎて手が回らず提出できず。黒は実際もっと多いと思う。気になる人は残提出してちょうだい

644 名前:643 mailto:sage [2009/09/11(金) 17:36:04 ]
カスペ
>>637(>>641-643) tane0512
96+事後10=106/178
Backdoor.Win32.Bredolab.si trojan/spam_mail/M311b636f.zip/M311b636f.exe


数え漏れすまぬ。m(_ _;)m

645 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 02:18:27 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=513
infected

■ 検体入手元
MDL 2009/09/10-09/12+spamメール添付ファイル+mixiへの中華業者投稿

■ 検体提出先
Avira:今日はFTPがエラーなのでWebフォームから提出
AntiyLabs:FTP経由で提出完了
その他:未提出

■ 注意事項
>>637の備考に同じ

646 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 02:38:23 ]
>>637(>>641-644) カスペ 1:50 検知
96+事後(10+6)=112/178

Trojan program Trojan.Win32.Buzus.bygt   zeus\is.exe
Trojan program Trojan.Win32.Buzus.bygt   zeus\bot(7).exe
Trojan.JS.Zapchast.w   exploit\125.128.6.11\he3.swf
Trojan.JS.Zapchast.v   exploit\125.128.6.11\he2.swf
Trojan-Downloader.JS.Zapchast.k   exploit\125.128.6.11\Main.asp
Trojan-Downloader.JS.Zapchast.l   exploit\125.128.6.11\index.htm

647 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 03:25:56 ]
カスペ2010 1:50
>>645d tane0513

51/94
(1)exploits 24/45

Packed.Win32.Krap.x   \195\update.exe
Exploit.Win32.Pidief.bnr    \213\fiveBelief.pdf,   \220\oldChunksEtc.pdf
Exploit.Win32.Pidief系    \gero\cegmoprwx.pdf、 \libe\hasWordsBy.pdf、   \name\lineBookIpsum.pdf   \sock\cdhpqtuvw.pdf
Exploit.JS.Pdfka.wd    \google\readme.pdf
Exploit.SWF.Agent.au    \geroyvoin.cn\manual.swf   \soc\manual.swf
Exploit.SWF.Agent系    \213\willAmetSites.swf、   \libe\yearsWeb.swf
Worm.Win32.Bezopi.ds    \220\load.exe
Dropper.SWF.BlackScreen系    \220\oneRandom.swf   \google\flash.sw
Downloader.Win32.FraudLoad.wqza    \name\load.exe
Downloader.Win32.Agent.cnrx    \220\rm.exe
Trojan.Win32.Vilsel.bob    \brberfsdfsdafs.com\load.exe
Dropper.SWF.BlackScreen.bs    f
Packed.Win32.TDSS.z    \google\load.exe
virus Worm.Win32.Pinit.fy    \sock\file1.exe
virus HEUR:Trojan.Script.Generic    \195\show.php   \buse\show.php、   \brbe\index.php、   \gero\show.php

(2)FakeAV 1/4
Downloader.NSIS.Agent.bw    setup.exe

(3)mixi 4/4 …シグネチャ:すべてTrojan.Win32.Pincav.f

(4)spam 8/10 (d9bc33f0.exeそそのzipスルー)
シグネチャ:すべてBackdoor.Win32.Bredolab系   

648 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 03:26:53 ]
>>647の続き

(5)trojan 7/13
Downloader.Win32.Delf.uyx   b1.exe
Spy.Win32.Zbot.aarp   fdet3.exe
Trojan.Win32.Sasfis.ewb   file.exe
Downloader.Win32.Small.kew   file.php
Ransom.Win32.BlueScreen.fu   install.exe
Downloader.Win32.Agent.cpmn   main.exe
Packed.Win32.TDSS.z   video_codec1.56.987_setup.exe

(6)zeus 7/18
Downloader.Win32.FraudLoad.wfws   \exe(1).exe
Banker.Win32.Bancos.ggx   \exe.exe
Spy.Win32.Zbot系   \fgd.exe、  \ls.exe \money.exe  \soft.exe  \up1.exe

実行ファイル中心に提出
寝る。w

649 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 04:15:15 ]
>>648さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました

650 名前:649 訂正 mailto:sage [2009/09/13(日) 04:16:04 ]
>>645さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました



651 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 08:14:16 ]
>>645
McAfee (Active Protection 無効)26/94
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
ttp://tane.sakuratan.com/upload/src/tane0514.txt

652 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 12:39:55 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=515
virus

653 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 13:25:42 ]
>>652


Symantec、Panda、GDATA2010(avast!&BitDefender)、ESET、Kaspersky、TrendMicro、Avira、AVG、Ahnlabへ提出

filename: x1.exe
machine: Machine
result: See the developer notes

filename: x1_2.exe
machine: Machine
result: See the developer notes

filename: x150_2.exe
machine: Machine
result: See the developer notes

filename: x150.exe
machine: Machine
result: See the developer notes

filename: x150_1.exe
machine: Machine
result: See the developer notes

filename: x1_1.exe
machine: Machine
result: See the developer notes

654 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 14:04:00 ]
Rising Internet Security 2010 22.12.06.02 (22.00.00.91)
>>652
x1.exe: Dropper.Win32.Undef.aze
x150.exe: Dropper.Win32.Undef.aze
x150_2.exe: Trojan.PSW.Win32.OnlineGame.ztj
x1_2.exe: Trojan.PSW.Win32.OnlineGame.ztj
4/6
検体提出完了
RS20090913125614984618

655 名前:653 mailto:sage [2009/09/13(日) 14:18:12 ]
>>652
Kasperskyから

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

x1_1.exe, x150_1.exe - Trojan-Dropper.Win32.Agent.bcpu

At the moment these files are detected. Please update your antivirus bases.

656 名前:647 mailto:sage [2009/09/13(日) 15:30:05 ]
>>645(>>647-648) tane0513
カスペからの返事
51+9=60/94

spam_mail\D9bcf33f0.exe - Backdoor.Win32.Bredolab.vd (zipも検出)
FakeAV\Scanner-5920e39_2020-1.exeTrojan.Win32.FraudPack.tgw
trojan\test_b.exe_ - Trojan-Downloader.Win32.FraudLoad.wrfc
trojan\install(1).exe - Trojan-Downloader.Win32.FraudLoad.wrgf
trojan\spyware.exe_ - Email-Worm.Win32.Iksmas.etj
zeus\CCleaner2.19.exe - Trojan-Spy.Win32.Zbot.aaua

検知 14:04
Trojan-Downloader.JS.ActiveX.cm    exploits\213.163.89.54\index.php
Trojan program Exploit.Win32.Pidief.brj    exploits\brberfsdfsdafs.com\pdf.pdf

>>637(>>641-644,646) tane0512
Trojan.JS.Agent.ano tane0512\exploit\61.235.117.72\giri.htm (←HEUR)


657 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 16:11:41 ]
>>652
McAfee (Active Protection 無効)4/6
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
x1_1.exe |inconclusive | | |no
x150_1.exe |inconclusive | | |no

658 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 18:40:24 ]
>>645さん乙
a-squaredとMalwarebytesに提出しました

659 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/13(日) 22:33:04 ]
カスペ 21:50
>>637(>>641-644) tane0512
96+11=107/178
Trojan-Dropper.Win32.Agent.bcug    tane0512\FakeAV\setup(1).exe (返答)

>>645(>>647-648,656) tane0513
51+10=61/94
Trojan.Win32.VkHost.bm    tane0513\trojan\price.php (検知)

>>652d(>>653代理提出乙、>>655) tane0515   6/6
Trojan-Downloader.Win32.Fiegi.as    x1.exe、   x150.exe
Trojan-Downloader.Win32.small.angx    x1_2.exe、   x150_2.exe
Trojan-Dropper.Win32.Agent.bcpu    x1_1.exe、   x150_1.exe

660 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/17(木) 01:05:15 ]
image46.bannch.com/bbs/242374/img/0112314838.zip
image37.bannch.com/bbs/242374/img/0112370262.rar
h1.ripway.com/jbluez2003/Photos.exe



661 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/17(木) 14:51:27 ]
>>660

>>2-3
>・ブラクラや危険サイトのURL直リン厳禁
> ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
> 怪しいサイトの安全性を鑑定するサイトではありません!

>※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

Aviraは1つスルー(他社では検出)。詳細についてはテンプレ違反のためスルー。

662 名前:名無しさん@お腹いっぱい。 [2009/09/21(月) 22:06:23 ]
>>660

0112370262.rarを解凍後、crafter.exeが出できた。
crafter.exeはuniversal extractorでスキャン、自己解凍式7-zipファイルなので解凍。
avast.exeとcrafter.exeが出てきた。
avast.exeをVIRUSTOTALに送信。
結果
www.virustotal.com/jp/analisis/1f25800941c706a8d79d2d4d80203c3b36f9d1d07013ff5a7defc3078836104f-1253538225



663 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/21(月) 22:10:02 ]
>>662
これじゃね
ttp://www.iso-g.com/modules/newbb/viewtopic.php?topic_id=401&forum=1

664 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/21(月) 23:32:25 ]
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=516
infected
本体はswfファイルですがスクリプトとHTMLも同梱

検体入手元
redstone-walker●com (修正済み,SCOにキャッシュ有)
loan-5●sakura●ne●jp/bank-loan/google_service.js

VirusTotal結果: 1/41
www.virustotal.com/jp/analisis/dd1561557258f32ae7a6d85cf3ccd3c3096f6534212c708189a15842c83e7bd4-1253539610

目新しい感じだったので以下補足
以下のような形で挿入されていました。
ノートンではサイト閲覧時にブロックされたとのこと
<ul>
<li>本文</li>
<li>本文</li>
  ・・・
<li>本文</li>
</ul><script src=http ://loan-5●sakura●ne●jp/bank-loan/google_service.js></script>
<p>本文</p>

国内ドメインではありますがファイル名が自称googleととても怪しい
中身はiframeによる隠しswfファイル
上記修正済みサイトによるとFTPによる改ざんらしい
状況としては黒っぽいのですがほとんどスルーでした
このファイルが置いてあるloanのほうも危ないような・・・
Aviraには提出してみます

665 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/21(月) 23:40:52 ]
>>664
Symantec、Panda、GDATA2010(avast!&BitDefender)、ESET、TrendMicro、Kaspersky、AVG、Ahnlabへ提出

・・・・自分が積極的に送ってる提出先ってAhnlab以外は全部大手ベンダーだな
McAfeeは面倒だから送ってない

666 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/22(火) 03:22:54 ]
>>664
Avira完了済み
F-Secureも送信しました

667 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/22(火) 06:07:19 ]
>>664
McAfee (Active Protection 無効)0/3
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
ad_top.swf |inconclusive | | |no
gad_160x600.htm |inconclusive | | |no
google_service.js |inconclusive | | |no

668 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/22(火) 12:46:05 ]
>>664
やっぱり黒だったみたいです
総スルーだったから自信なかったけど提出してよかった・・・
Aviraは解析待ち中

F-Secureメール返信
Malicious code found detection will be added on these files as follows:
google_service.js - Trojan:JS/Iframe.DR
ad_top.swf - Exploit:SWF/SWFdloader.M

WebのstatusはNO DETECTIONになってますが検出されるみたいだから
メールのほうが正しいのかな
google_service.js(1/41)
www.virustotal.com/jp/analisis/4d03bd8928887cc45bfa882de5a6a682739c733af20536738979d67c2200fc20-1253583078

ad_top.swf (3/41)
www.virustotal.com/jp/analisis/dd1561557258f32ae7a6d85cf3ccd3c3096f6534212c708189a15842c83e7bd4-1253590918

669 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/22(火) 13:20:39 ]
>>664
Comodo提出済み

670 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/22(火) 14:19:48 ]
>>664
Risingスルー
提出完了
RS20090922131412296245



671 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/22(火) 21:49:31 ]
あのさ、スレちの質問ですまないんだけど
(ここの人、頻繁に検体送ってるので詳しいんじゃないかと思いあえて質問)

Pandaの無料のやつ、性能的にメインパソコンに入れても大丈夫?
ほかの優秀な検知率のソフトに比べてPandaのクラウドはどうなの?

672 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/22(火) 23:00:23 ]
>>671
pc11.2ch.net/test/read.cgi/sec/1243161704/

673 名前:Norton&Panda使い mailto:sage [2009/09/23(水) 02:18:15 ]
>>671
性能的にはPandaはまだ不安定じゃないかなと思う
一応AV-Testでは99%の検出結果を出してるけどまだ楽観視できるレベルじゃない
というのもPandaはウイルスバスターと同様に第三者テスト機関に参加しなさ過ぎる
NortonやGDATA、BitDefenderやKasperskyにESETやMcAfeeみたいにAV-ComparativesやVB100にコンスタントに参加してかつ安定した成績を修めてないとPandaの性能は認められるようなものじゃない


とはいえ個人的な感想としてはそういうテスト組織を抜きに良いソフトだとは思う
というのもクラウドを用いた検出性能はやはり強力だと思うしクラウド+ヒューリスティックの合わせ技はさらに強力
また検体提出した後のウイルス対応速度は割りと速いほうなので好感が持てる
誤検出の方はわからないけどPandaのクラウドはNorton同様のユーザーコミュニティの情報共有システムだしホワイトリストを導入してるから誤検出は少なくなるとは思う


以上矛盾した個人的な感想でした

674 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 02:30:57 ]
28 名前:AV(NOD32)部分のテンプレその18 [sage] 投稿日:2009/09/13(日) 05:13:21
■NOD32を良いランク付けにしているテストの対する板常連の意見。

www.av-comparatives.org/seiten/ergebnisse_2007_05.php
AV-Comparatives.orgのランク付けは、一般消費者には、あまり意味のないものがある。
ランク付けで最も重視された基準は、本物のウイルスの検出数ではなく、誤検出の数。

ttp://www.av-comparatives.org/seiten/ergebnisse/report14.pdf

この資料の6ページ目に、誤検出数の具体的な個数が書いていましたが、
Fortinetという製品(1000以上の誤検出)以外は、
全サンプル中で、たった0個から36個の誤検出に過ぎませんでした。

実際のユーザー環境では、誤検出してもベンダーに真偽を確認すれば済むが、
本物のウイルスを検出できないのは致命的です。

今回からのプロアクティブ性能のランク付けでは、
誤検出が18個で、本物のウイルスを14628個できている製品よりも、
誤検出は8個でも、本物のウイルスは5659個しか検出できていない製品の方がランクが上となっています。





■有名なアンチウイルスのテスト機関の情報

1998年からVirus BulletinがVB100アワードを開始。
VB100アワードは、2008年までESETがプラチナ・スポンサーでした。

2009年は、ESETとK7Computingがプラチナ・スポンサーです。
ttp://www.virusbtn.com/conference/vb2009

675 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 02:35:23 ]
VB100厨=基地外NOD厨

676 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 02:58:20 ]
>>674
素人がうるせえよ

677 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 03:33:38 ]
>>674
なるほどねえ。
統一した評価基準みたいなものがないから。

678 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 09:40:52 ]
AV-Comparatives 2009年8月 オンデマンド検出力テスト
www.av-comparatives.org/images/stories/test/ondret/avc_report23.pdf
■Advanced+ ★★★
G DATA 20.0            99.8%
Symantec Norton 17.0      98.4%
avast! Pro 4.8           98.0%
F-Secure 10.00          97.9%
BitDefender 13.0          97.8%
eScan 10.0             97.7%
ESET NOD32 4.0          97.2%
----------------------------------------------------------------
■Advanced ★★
AVIRA Premium 9.0        99.4%
McAfee VirusScan Plus 13.11  98.7%
TrustPort 2.8            97.6%
AVG 8.5               94.0%
Kaspersky 9.0            94.7%
----------------------------------------------------------------
■STANDARD ★
Microsoft Live OneCare 2.5    90.0%
----------------------------------------------------------------
■TESTED
Sophos 7.6             91.3%
Kingsoft 2009.08          86.4%
Norman 7.10            84.8%

※誤検出が多いと減点される
※TrendMicroは検出率が最低ラインに達していないため評価外

679 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 09:46:03 ]
決められたルール合意の上での一発勝負なわけだからね
地道をあげてる企業はおのずから上位に向かうし、
新種に対して100%とか99.8%とかありえないのは、すくなくともここの人は分かってることだろうから
あとは各自が判断目安にすればいいだけでしょうね
今後クラウド時代でテストどうするんだろうか

680 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 10:18:51 ]
>>678-679
コピペ荒らし乙

VB100厨、AV-Comparatives厨=NOD32厨



681 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 10:21:36 ]
pc11.2ch.net/test/read.cgi/sec/1240953932/976

682 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 14:46:54 ]
>>680-681
お前がどっか行け

683 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 14:53:23 ]
>>679
>>678 はクラウド有りでのテスト結果だよ

684 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:09:42 ]
>>682-683

>>680-681

685 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:18:27 ]
どんなに頑張ってもトレンドマイクロは水準以下だから
>>678のテストはバスター厨には関係ないよな

686 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:20:04 ]
濃度32厨、一つのスレでもコピペしまくりだね。カワイソ(´・ω・) ス

pc11.2ch.net/test/read.cgi/sec/1253073946/446
pc11.2ch.net/test/read.cgi/sec/1253073946/410
pc11.2ch.net/test/read.cgi/sec/1253073946/395
pc11.2ch.net/test/read.cgi/sec/1253073946/394
pc11.2ch.net/test/read.cgi/sec/1253073946/307
pc11.2ch.net/test/read.cgi/sec/1253073946/293
pc11.2ch.net/test/read.cgi/sec/1253073946/291
pc11.2ch.net/test/read.cgi/sec/1253073946/260
pc11.2ch.net/test/read.cgi/sec/1253073946/228
pc11.2ch.net/test/read.cgi/sec/1253073946/224
pc11.2ch.net/test/read.cgi/sec/1253073946/184

687 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:25:00 ]
>>684-686

>>1->>3

>特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

>・スレ違いでもめる(2スレ目以降)

>・あらしはスルー。ソフトの優劣の議論は別スレで!!(下記スレなど)

>一番いいセキュリティソフトはなんだ!!Part66
pc11.2ch.net/test/read.cgi/sec/1245073407/


ということで場違いはお前だ、わかったならさっさと消えろ


688 名前:665 mailto:sage [2009/09/23(水) 15:33:44 ]
>>664
Kasperskyから

Hello,

ad_top.swf - Exploit.JS.DirektShow.al,

google_service.js_ - Trojan-Downloader.JS.Iframe.btr

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

gAd_160x600.htm_

No malicious code was found in this file.

689 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:47:03 ]
>>687=>>678

荒らしのクセにスルー耐性がないので、
NOD32厨だとすぐ分かりますね。^^;

690 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:48:48 ]
>>689もスルー耐性なく粘着してるわけだが



691 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:50:52 ]
>>689=>>690
自演荒らし乙

692 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:55:04 ]
>>690>>691>>698>>678=Z音

693 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:55:08 ]
>>689-692
自演荒らし乙

694 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:57:07 ]
>>689-693
自演荒らしニート乙

695 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:57:47 ]
>>689-695
自演荒らし乙

696 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:59:52 ]
>>689-696
自演荒らしニート乙

697 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 15:59:55 ]
>>689-696
自演荒らしニート乙

698 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 16:00:18 ]
>>689-698
自演荒らしニート乙


699 名前:fusianasan mailto:sage [2009/09/23(水) 16:00:57 ]
(´?????)

700 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 16:01:24 ]
>>689-700
自演荒らしニート乙




701 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 16:02:02 ]
>>689
バカスいい加減にしろよ
自演荒らしニートの分をわきまえなさいな

702 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 16:04:15 ]
日本語でおk。

703 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 16:04:27 ]
>>687=>>701
荒らしの癖にスルー耐性のないNOD32厨乙

704 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 16:04:52 ]
あ〜あ、このスレも末期だな

705 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 17:30:30 ]
AV-Comparativesの評価については海外の専門家からも批判が強い
検出率の高さに比べてほとんど評価価値がないといわれる誤検知数を過大に評価しすぎる
との意見が大勢を占めている
日常生活レベルでは絶対にありえない数のマルウェアサンプルを一度にテストにかけ
しかもその数に比べて無視できるほどわずかな誤検出数でもランキングを大幅に下げさせる手法は
一部の検知率があまり高くない反面、誤検出の少ないベンダーのランキングを恣意的に上げる目的
に使われているといわれている(具体的なベンダー名は避けるけど)

もう誤検出数は検査項目から外すべきだと多くの専門家から主張されているにもかかわらず
AV-Comparativesなどの一部格付け調査機関はいまだにそのやり方を変えていない

やはり裏でランキングをめぐりお金が動いているのだろうか?


706 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 17:39:51 ]
>>705
ソースは?
WildersSecurityForumを監視する限りでは
専門家からそういう意見は出てないよ
中国企業のトレンドマイクロなら
そういうデマを流して他者を落としいれようと
するだろうけどね

トレンドマイクロは中国企業
ウィルスバスターの開発・張明正
ttp://japan.discovery.com/episode/index.php?eid1=866864&eid2=000000
「台湾人物誌U」 新聞局がディスカバリーと共同制作
ttp://www.taiwanembassy.org/ct.asp?xItem=43853&ctNode=3591&mp=202&nowPage=62&pagesize=30
「台湾10大国際ブランド」評価、トレンドマイクロが4年連続トップ
ttp://www.taiwanembassy.org/ct.asp?xItem=43637&ctNode=3591&mp=202&nowPage=53&pagesize=50

707 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 17:44:43 ]
ランキングをカネで買えるんなら
KingsoftがAdvanced+になるだろアホw

708 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 18:01:46 ]
ここまでNOD厨の自演

709 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 18:07:49 ]
>>664
Avira結果
ad_top.swf CLEAN
gAd_160x600.htm CLEAN
google_service.js CLEAN

カスペ、F-Secureは黒みたいだけどオールクリーン
>>688をみるとぱっと見swfファイルではあったけども
Exploit.JS.DirektShowなのか・・・

710 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/23(水) 21:12:58 ]
>>664
NIS2009を試したところ、スルー。
提出は>>665で行われているので、していません。



711 名前:八頭 ◆YAGApwSaEw mailto:sage [2009/09/24(木) 03:55:26 ]
>>710
替わりにSymantecへ提出しておきました


712 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 07:42:06 ]
>>711
既に報告が出てるベンダーに敢えて重複提出するなよ。有害だからお前は出てくるな。

713 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 08:48:32 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=517
infected

■ 検体入手元
MDL 2009/09/15-18+リネージュ資料室の更新リスト9/20分まで+spamメール添付ファイル

■ 検体提出先
Avira:FTP経由で提出完了
AntiyLabs:FTP経由で提出完了
その他:未提出

■ 注意事項
例によって、設定ファイルも含めているので、白判定のファイル多いと思います。
提出される方はその辺をご承知おきください。

最近は検体拾う時間もなかなかとれませんな。連休だったというのに。orz

714 名前:Norton&Panda使用者 mailto:sage [2009/09/24(木) 08:57:34 ]
>>713
・・・・今回は各ベンダーに提出はパス(提出用ファイルを作るのが大変すぎる、特にSymantecとTrendMicro)
他力本願で申し訳ないけど代わりに提出お願いします、SymantecとPandaとBitDefenderとavast!とTrendMicroに提出してくれたら助かります

715 名前:八頭 ◆YAGApwSaEw mailto:sage [2009/09/24(木) 09:33:04 ]
>>713さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました

>>714さん
上記3社は今後、慣れてる僕が受け持ちます

716 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 09:54:59 ]
TrendMicroへ提出しましたが・・・mpg_1.scrだけ遅れませーん
後で再チャレンジ予定

717 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 10:36:01 ]
>>713さん、乙です

やっぱりmpg_1.scrだけ送れません(汗
やり方がおかしいのかな〜
スルーします。申し訳ありません。

718 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 11:54:36 ]
>>715
代理提出乙です

>>713
検出数だけ

NortonInternetSecurit2009
66/93

ESETSmartSecurity4.0(この後ESETを削除してウイルスバスター2010をインストールしたためうろ覚えになるので申し訳ない)
57/93

PandaGlobalProtection2010
66/93

ウイルスバスター2010
66/93

719 名前:714 mailto:sage [2009/09/24(木) 12:16:21 ]
>>713
ESETとKasperskyに提出しました

>>715
代理提出本当にありがとうございます、おかげで提出作業がかなり楽になりました

720 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 12:35:45 ]
>>713
BitDefenderTotalSecurity2010
64/93

BitDefenderは2008と2010では検出率が違うのかこのスレの検体を使って検証してみようと思う
ちなみにウイルスバスターは違いました、当然のことながら2010の方が2008より検出率が良かった(ただし2008も最新検索エンジン当てれば恐らく2010と検出率は同じになると思う)
ウイルスバスターで一番驚いたのが2010と2007の検出率の差、2007では2010で検出した検体の3割も検出できてなかった



721 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 12:39:55 ]
あ・・・すごい大きな表記ミス

64/93の左側の数字は検出数ではなく未検出数でしたorz
当然のことながら>>718で報告した数字の左側は未検出数ですorz

検出数はNortonとPandaとウイルスバスターは27、ESETは36、BitDefenderは29です

連投も兼ねて迷惑かけて申し訳ありませんでしたorz

722 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 13:35:44 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=518
virus

723 名前:716 mailto:sage [2009/09/24(木) 14:01:24 ]
>>722さん乙です

tane0518
ウィルスバスター2010 1/7
未検出分を提出しました

724 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 14:53:38 ]
>>722
Symantec、Panda、GDATA2010(avast!&BitDefender)、ESET、Kaspersky、AVG、Avira、Ahnlabへ提出
>>723
提出乙です

Aviraから

25458478 pcclient1.exe 61.96 KB MALWARE
25458479 redstone1.exe 49.5 KB MALWARE
25458480 upk1.exe 23.74 KB MALWARE
25458481 x1.exe 42.5 KB UNDER ANALYSIS
25458482 x1_1.exe 33.16 KB MALWARE
25458483 x150.exe 42.5 KB UNDER ANALYSIS
25458484 x150_1.exe 33.16 KB MALWARE



725 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 14:54:07 ]
>>722

Symantecから

filename: redstone1.exe
machine: Machine
result: See the developer notes

filename: x1.exe
machine: Machine
result: See the developer notes

filename: x150_1.exe
machine: Machine
result: See the developer notes

filename: pcclient1.exe
machine: Machine
result: See the developer notes

filename: x150.exe
machine: Machine
result: See the developer notes

filename: x1_1.exe
machine: Machine
result: See the developer notes

726 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 14:54:59 ]
>>713の検体をESETとKasperskyに送ったつもりですが・・・
どうやらそのまま送ったのがいけなかったのか、サイズオーバーでエラーが返ってきましたorz

727 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 19:14:21 ]
Rising Internet Security 2010 22.14.03.06 (22.00.01.02)
>>722
pcclient1.exe: Trojan.Win32.Generic.11EDA5AE
redstone1.exe: Trojan.Win32.Generic.11EDA5AD
upk1.exe: Trojan.Win32.Generic.11EDA2D3
x1.exe: Trojan.Win32.Edog.cc
x150.exe: Trojan.Win32.Edog.cc
x150_1.exe: Trojan.Win32.Edog.cd
x1_1.exe: Trojan.Win32.Edog.cd
7/7

728 名前:720@Norton&Panda使用者 mailto:sage [2009/09/24(木) 19:30:47 ]
とりあえず結果報告(スレチなのでなるべく簡潔にします)
BitDefender2010とそれ以前のバージョンの検出率の比較ですがやはり差はありました(当然のことながら2010が一番良い)
比較したバージョンは2010と2008とv10(v10はフリー版)、で、結果は2010>>v10>>>>>2008
2008の結果が酷すぎるように見えるんですが動作が上手くいってなかったかもしれないので参考にするのは2010>>v10でいいと思う
検出率が良くなってる要因は恐らくヒューリスティックの強化かも?(Generic系の検出がかなり多かったから)
PandaやNorton、Kasperskyと比べるとどのように検出率が上がったかその説明がないのがわかりにくいですね
以上、結果報告でした、あ、あまり簡潔にならなかったかも・・・

729 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 19:42:39 ]
>>713
McAfee (Active Protection 無効)31/93
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
ttp://tane.sakuratan.com/upload/src/tane0519.txt

730 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 19:43:45 ]
>>722
McAfee (Active Protection 無効)3/7
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
redstone1.exe |new detection |pws-mmorpg!gj |Trojan |yes
upk1.exe |heuristic detection |new malware.n |Trojan |no
x1.exe |inconclusive | | |no
x150.exe |inconclusive | | |no



731 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/24(木) 21:44:54 ]
>>722さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました

732 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/26(土) 03:24:20 ]
(参考)カスペ2010 0:20
>>713d (>>719,726代理提出d)  48/93

(1) .Braviax 2/2
  Trojan-Dropper.Win32.FrauDrop.uf    \Install(2).exe
  Trojan-Dropper.Win32.FrauDrop.ug    \Install.exe
(2). Exploit   6/9
@reycross    1/1
  Trojan-Downloader.JS.ActiveX.cm    \lib.htm
Astatscount    2/3
  Exploit.Win32.Pidief.bgy    \8.pdf
  Backdoor.Win32.Bredolab.zq    \load.php
Bgiando .1/1
  Exploit.Win32.Pidief.atj    \Lettera_Urgentissima.pdf
C92.60.176.33 2/3
  virus HEUR:Exploit.Script.Generic     \main.htm
D ame.com   0/1
(3). Obfuscated   1/1
  Trojan.BAT.Agent.tf    \8732489273.php
(4)  Rogue   8/14  (残6htm)
  not-a-virus:FraudTool.Win32.AntivirusPlus.my    \AntivirusPlus.exe
  Trojan.Win32.FraudPack.uai    \Install.exe
  Trojan.Win32.FraudPack.uep    \Soft_71.exe
  :FraudTool.Win32.AntivirusPlus.no    \avplus.exe
  Trojan-Downloader.Win32.FraudLoad.fpx    \setup(1).exe、   \setup.exe (2files)
  Trojan.Win32.FraudPack.uen   \Rogue\u4.exe
(5) Scam   0/15 (残htm, php)
(6)  spam_mail   5/5
  Packed.Win32.Krap.w    \DHL_INVOICE*.exe (3files)
  Trojan.Win32.Pincav.f    \playatataq1a12.exe


733 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/26(土) 03:26:09 ]
>>732の続き

  Trojan-Downloader.Win32.Murlo.cba   l\nz.exe
(7)  Renos   1/1
  Trojan-Downloader.Win32.Small.adrl    \baka444.ext
(8) TDSS  10/10 (zipも検出)
  Packed.Win32.Krap.x    \pc1.exe/zip
  Packed.Win32.TDSS.z    \dm3.exe/zip
  Net-Worm.Win32.Koobface.bqn    \cw2.exe/zip
  Trojan.Win32.Sasfis.iji    \t3.exe/zip
  Trojan.Win32.FraudPack.tyj    \sisa.exe/zip
(9) Tedroo 1/2
Trojan.Win32.Buzus.casu    \update.exe
(10) Dropper   7/7
Trojan-Dropper.Win32.Agent.aytz 全ファイル(7つ)
(11) zeus   7/26
  Trojan program Trojan-Spy.Win32.Zbot.gen    \1(1).exe 、   \1.exe、   \file.exe (3files)
  Trojan-Spy.Win32.Zbot.aaul    \bot.exe
  Trojan-Spy.Win32.Zbot.abfh    \cssexe.exe
  Trojan-Spy.Win32.Zbot.abaa    \exe.exe
  Trojan-Spy.Win32.Zbot.abel    \kav.exe
(12) Win32Perkesh    0/1

>>722 tane0518 (>>724d)
7/7
Trojan-Dropper.Win32.Agent.aytz    \pcclient1.exe
Trojan.Win32.Inject.ajfq    \redstone1.exe
Trojan-Downloader.Win32.Geral.dhp    \upk1.exe
Trojan-Dropper.Win32.Agent.bdtb    \x1.exe、      \x150.exe
Trojan-Downloader.Win32.Murlo.cda    \x150_1.exe、      \x1_1.exe


734 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/26(土) 20:05:25 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=521
virus

735 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/26(土) 20:23:27 ]
Rising Internet Security 2010 22.14.05.07 (22.00.01.03)
>>734
1-2,4-5,7-8,16,21,32.exe: Trojan.PSW.Win32.GameOnline.egd
3,6,10,25.exe: Trojan.PSW.Win32.GameOnline.dvt
11,13-15,19,22,27,29,31,33.exe: Dropper.Win32.ExInject.f
9,17.exe: Trojan.PSW.Win32.OnlineGame.yww
18.exe>>DLLFILE: Trojan.PSW.Win32.GameOL.ojr
20.exe: Trojan.PSW.Win32.GameOnline.een
23-24.exe: Trojan.PSW.Win32.GameOnline.eey
26,30.exe: Trojan.PSW.Win32.OnlineGame.zao
34.exe: Trojan.DL.Win32.Nodef.zb
35.exe: Trojan.PSW.Win32.QQPass.esj
36.exe>>9f: Trojan.Win32.Generic.11ED9077
36.exe>>68: Trojan.Win32.Generic.11EDB1AD
36.exe>>68: Trojan.Win32.Nodef.xjl
36.exe>>65: Trojan.DL.Win32.Nodef.aiu
37.exe>>upack0.39: Backdoor.Win32.Mnless.ctc
fsg12.exe: Trojan.Win32.Generic.11EDA405
fsg28.exe>>fsg2.0: Trojan.PSW.Win32.GameOnline.fay
upack1.exe: Trojan.Win32.Generic.11EDAF72
x1,x150.exe: Trojan.Win32.Generic.11EDB37A
x150_1.exe: Trojan.Win32.Generic.11EDB37B
x1_1.exe: Trojan.Win32.Generic.11EDB37C
42/42

736 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/26(土) 20:24:46 ]
>>734さん乙
Symantecとa-squaredとMalwarebytesに提出しました

737 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/26(土) 20:26:13 ]
>>734さん乙です

ウィルスバスター2010
34/42
未検出分を提出させて頂きました

738 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/26(土) 21:05:44 ]
>>734
McAfee (Active Protection 無効)40/43←スキャンログでは43ですが目視では42
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
35.exe |inconclusive | | |no
x1.exe |inconclusive | | |no
x150.exe |inconclusive | | |no

739 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/26(土) 21:13:05 ]
カスペ2010 18:39
>>734 d tane0521
36/42
検体提出します。

Trojan-GameThief.Win32.OnLineGames.bmtc    \1.exe
Trojan-GameThief.Win32.Magania.bxxp    \10.exe
Trojan-GameThief.Win32.Magania.biht    \11.exe、   [13-15].exe、   \19.exe、   \22.exe、   \31.exe    (7)
Trojan-Dropper.Win32.Agent.ayqa    \16.exe、   \2.exe、   \21.exe    (3)
Trojan-GameThief.Win32.Magania.bwyr    \17.exe
Trojan-GameThief.Win32.OnLineGames.thoc    \18.exe
Trojan-GameThief.Win32.Magania.bwsr    \20.exe、   \[23-25].exe、   \30.exe   (5)
Trojan-GameThief.Win32.Magania.bkii    \26.exe
Trojan-GameThief.Win32.Magania.bwxz    \27.exe、   \29.exe   (2)
Trojan-GameThief.Win32.Magania.bwsr    \3.exe
Trojan-Dropper.Win32.Agent.ayqa    \32.exe
Trojan-GameThief.Win32.Magania.biht    \33.exe 、
Trojan-Downloader.Win32.Small.kdk    \34.exe
Trojan-Dropper.Win32.Agent.bdlr    \36.exe
Trojan-Dropper.Win32.Agent.bcvr    \37.exe
Trojan-Dropper.Win32.Agent.ayqa    \4.exe、   \5.exe、   \7.exe、   \8.exe   (4)
Trojan-GameThief.Win32.Magania.bwsr    \6.exe
Trojan-GameThief.Win32.Magania.bwyr    \9.exe
Trojan.Win32.Slefdel.efm    \fsg12.exe
Trojan.Win32.Slefdel.efo    \fsg28.exe

740 名前:732 mailto:sage [2009/09/26(土) 21:19:45 ]
カスペからの返事
>>713(>>732,733) tane0517
48+1=49/93

Rogue \ mycomputer-scannervv.com.htm - Trojan.JS.Fraud.g
Rogue \ Alpha-Scan-420d928_2004.exe - Trojan-Downloader.Win32.FraudLoad.fqg (←KSN検知から変更)

Exploit\...\AMEMain.pdf - 白

※白っぽいのは提出見送っているので、参考。



741 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/26(土) 21:40:53 ]
>>734
Panda、GDATA2010(avast!&BitDefender)、ESET、AVG、Avira、Ahnlabへ提出

>>736
>>737
代理提出乙です

あとBitDefenderとは別にF-Secureにも提出した方がいいかな?
今までKaspersky or BitDefenderで対応してくれると思ったから必要ないかなと思ったけど

742 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/26(土) 23:21:20 ]
>>734>>739) tane0521
カスペからの返事
36+6=42/42でクローズ

35.exe - Trojan.Win32.Agent.cxjj
upack1.exe - Worm.Win32.AutoRun.axbu

検知 22:11
Trojan-Downloader.Win32.Murlo.ceo    \x150_1.exe
Trojan-Downloader.Win32.Murlo.ceo    \x1_1.exe
Trojan-Dropper.Win32.Agent.bedo    \x1.exe
Trojan-Dropper.Win32.Agent.bedo    \x150.exe

743 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/26(土) 23:56:42 ]
www.gameicity.com/MS-JP.ZIP

744 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/27(日) 01:20:03 ]
>>743
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=522
infected
ttp://www.virustotal.com/jp/analisis/4ca05ee95c54ba6dc90f202b772a70b41f6be6607391bc97cedcfd8682d9fe85-1253897588

745 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/27(日) 05:46:11 ]
>>743さん乙
Symantecとa-squaredとMalwarebytesに提出しました

746 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/27(日) 06:34:41 ]
>>743>>744さん乙です

VirustotalのTrendMicroはPAK_Generic.001で検出してますが
自分のウィルスバスター2010はスルーしてるので一応提出させて頂きました

747 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/27(日) 18:22:35 ]
>>743,744d tane0522
カスペ2010 16:01
1/1

Trojan.Win32.Inject.ajjx MS-JP.exe

VTからみると、事後提出、事後検知かな。

748 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/28(月) 11:01:13 ]
ms-jp.exeは自己解凍rarで、中身はmxd.exeとmxd1.exeの2ファイル。
で、この2ファイルは同一バイナリ(意図不明。操作ミスかと)。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=523

VT等は結果がそれぞれ1行目しか出ないので
複数ファイルを圧縮した物を投げると結果が信用できなくなります。
ttp://www.virustotal.com/jp/analisis/3c866ad9a951df19ed413a574a97480524de4959b5a246f9462a804634e492dc-1254055095

749 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/28(月) 11:02:04 ]
パス忘れてた。
virus

750 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/28(月) 11:32:52 ]
>>748さん乙
TrendMicroへ提出させて頂きました



751 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/28(月) 13:26:09 ]
>>748
Symantec、GDATA2010(avast!&BitDefender)、Ahnlabへ提出

Symantecから

filename: mxd.exe
machine: Machine
result: See the developer notes

752 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/28(月) 16:56:46 ]
>>748さん乙
Symantecとa-squaredとMalwarebytesに提出しました

753 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/28(月) 17:31:50 ]
>>748
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
mxd.exe |inconclusive | | |no

754 名前:名無しさん@お腹いっぱい。 [2009/09/29(火) 18:39:51 ]
【軽い】MS、無料ウイルス対策ソフト「Security Essentials」29日公開
tsushima.2ch.net/test/read.cgi/news/1254203826/


755 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/29(火) 18:49:22 ]
>>754
スレチだしウザイ
それに>>678の結果からMSSEは
既存のAVIRA、Avast、AVGには未だ及ばないよ
もう一息だと思うけどね

756 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/29(火) 21:13:58 ]
凋落中のAVGは即死だろw

757 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/29(火) 23:13:51 ]
>>1
>特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

スレチに触るな

758 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/09/30(水) 14:08:32 ]
>>748
McAfeeよりDAT5766で対応との返答。
mxd.exe detected pws-mmorpg.gen trojan

759 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/01(木) 12:27:50 ]
カスぺ、ついにZEROに検出率ぬかれたぁあああああああああああああああああ

ttp://antivirus-news.net/000/

760 名前:名無しさん@お腹いっぱい。 [2009/10/07(水) 01:54:59 ]
2009/10/07 1:51:11 禁止しました: HEUR:Trojan-Downloader.Script.Generic Opera Internet Browser mixi.jp///mixi




761 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/07(水) 04:05:47 ]
検体を持ってきてね

762 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/07(水) 11:44:49 ]
www.virustotal.com/jp/analisis/b4eed82c965248de97f105e53c24ac7c6e951389a740b2e65672361d3c6b42c0-1254466015

763 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/07(水) 13:13:42 ]
>>762
検体はどこ?

764 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/07(水) 16:47:52 ]
フリーソフトを入れるとPC壊れるって書いてるやつがwww
こんなこと本気で思ってんのかこいつwww

ttp://oshiete.filesend.to/qa5301829.html

765 名前:762 mailto:sage [2009/10/07(水) 20:48:03 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=526
D/解 virus

766 名前:名無しさん@お腹いっぱい。 [2009/10/07(水) 21:05:01 ]
>>754-759,764

スレ違い
基地外がわいてきたな。



767 名前:fusianasan mailto:sage [2009/10/07(水) 21:41:18 ]
>>766
スレ違い
基地外がわいてきたな。

768 名前:名無しさん@お腹いっぱい。 [2009/10/07(水) 21:44:04 ]
ZERO最強だからこんな糞スレイラネ
ついでにノートンとバスターは糞の中の糞

769 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/07(水) 23:30:08 ]
>>765

Symantec NortonInternetSecurity2009
AutoProtectによってTrojanHorseを検出
(定義バージョン2009.10.06.038)

770 名前:769 mailto:sage [2009/10/07(水) 23:42:15 ]
連投スマソ
23:30現在のVirusTotal (25/41)
www.virustotal.com/analisis/b4eed82c965248de97f105e53c24ac7c6e951389a740b2e65672361d3c6b42c0-1254925923
約5日で、対応したベンダが10社。
G DATA、avast!が取りこぼしているのが珍しい・・・かな?




771 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/07(水) 23:50:48 ]
>>765
Risingスルー
提出完了
RS20091007224454765023

772 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/09(金) 08:11:56 ]
>>765さん乙です
ウィルスバスター2010スルー
TrendMicroへ提出させて頂きました

773 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/09(金) 18:41:41 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=527
virus
nicovedeoというアレなドメインで投下されたネトゲトロイ。

774 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/09(金) 19:07:51 ]
>>773さん乙
https://www.virustotal.com/jp/analisis/6de61ac7381516044603c24512e12e25f62abb5ebefba2b3dc63db03bdb0766b-1255082748
SymantecとMalwarebytesに提出しました

775 名前:771 mailto:sage [2009/10/09(金) 19:56:40 ]
Rising Internet Security 2010 22.16.04.07 (22.00.01.07)
>>773
trojan1.exe: Trojan.Win32.Generic.11EDEE6D

>>765
病毒名称:Trojan.Win32.Generic.11EDFE8C
解決版本:22.16.03.00

776 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/09(金) 20:03:46 ]
ライジングのこれには何度も腰を抜かされた

777 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/10(土) 15:46:33 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=528
virus

778 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/10(土) 15:56:27 ]
Rising Internet Security 2010 22.16.05.03 (22.00.01.08)
>>777
x1.exe: Trojan.DL.Win32.Mnless.fhs
x1_2.exe: Trojan.DL.Win32.Mnless.fho
x200.exe: Trojan.DL.Win32.Mnless.fhs
x200_2.exe: Trojan.DL.Win32.Mnless.fho
4/6
検体提出完了
RS20091010145020812618

779 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/10(土) 16:10:58 ]
>>777さん乙です

ウィルスバスター2010
Mal_DRPR-3 tane0528\x200.exe
Mal_DRPR-3 tane0528\x1.exe
2/6
未検出分を提出させて頂きました

780 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/10(土) 16:29:11 ]
>>779
ウイルスバスター2010使いに質問ですが、検体収集機能はどんな感じに動作してます?



781 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/10(土) 16:35:26 ]
>>777
Symantec、Panda、GDATA2010(avast!&BitDefender)、ESET、Avira、AVG、Kaspersky、Ahnlabへ提出

782 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/10(土) 16:38:59 ]
>>777
F-Secureにも提出しておきました
Symantecから

filename: x1.exe
machine: Machine
result: See the developer notes

filename: x200_2.exe
machine: Machine
result: See the developer notes

filename: x1_1.exe
machine: Machine
result: See the developer notes

filename: x200_1.exe
machine: Machine
result: See the developer notes

filename: x1_2.exe
machine: Machine
result: See the developer notes

filename: x200.exe
machine: Machine
result: See the developer notes


783 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/10(土) 16:59:52 ]
>>777
McAfee (Active Protection 無効)4/6
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
x1.exe |inconclusive | | |no
x200.exe |inconclusive | | |no

784 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/10(土) 17:03:16 ]
>>780
スマートプロテクションネットワークってやつです?
自分は仮想環境でzipファイルを解凍してるだけなんで分かりません^^;

TrendプロテクトでWEBサイトの評価をしてくれてるみたいなんで
危険なサイトへ行けば動き(バスターやルーターにログ)があるかも?ですね

こんなんでスイマセン

785 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/10(土) 17:10:06 ]
>>784
ありがとうございます
私もウイルスバスター2010は持ってるんですがこの機能はどのように動作してるのかイマイチわからないんですよね
NortonやESET、avast!とかはNortonインサイトやESETのイベントログ、検出時のチェック項目とかでどのように検体を送信してるかというのがわかりやすいんですけどね

ただ振る舞い検知機能と検体収集機能は今後すごく重要な機能になると思いますね

786 名前:778 mailto:sage [2009/10/10(土) 17:12:18 ]
Rising Internet Security 2010 22.16.05.05 (22.00.01.08)
>>777
x1_1.exe: Trojan.Win32.Generic.11EE2158
x200_1.exe: Trojan.Win32.Generic.11EE215A
4+2=6/6

787 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/10(土) 18:32:13 ]
>>777さん乙
ここまでSymantecとa-squaredとMalwarebytesに提出しました

788 名前:781 782 mailto:sage [2009/10/10(土) 23:31:18 ]
>>777
Kasperskyから

Hello,


x1.exe, x200.exe - Trojan-Downloader.Win32.Servill.ol

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

x1_1.exe, x200_1.exe - Trojan-Downloader.Win32.Servill.ok
x1_2.exe, x200_2.exe - Trojan-Downloader.Win32.Murlo.chz

789 名前:781 781 mailto:sage [2009/10/11(日) 16:46:24 ]
>>777
現在の状況

ttp://www.virustotal.com/analisis/9fec252282ff1421b04d4dbf6afb1073d8f27b7f91fa968f31e617dc3900eb1f-1255246960
ttp://www.virustotal.com/analisis/8f386b236f084ce1a2a4e6f3a32456d3cabc8b778b987b395c5cdfb181352f6b-1255246962
ttp://www.virustotal.com/analisis/b39caa93dc85c0ec5fe0ce1d641aadae0752335a1e7c44e0d2a25d074deb44c4-1255246971
ttp://www.virustotal.com/analisis/09b7e8d9b8217ae85017a03d1737530c0297191d09e3f32fc5c3bad295fd7fb7-1255246973
ttp://www.virustotal.com/analisis/5cdc27cb2ecf51da891fa5f6cf8117b42292f3a5c41fd764b27ee417c9f74883-1255246975
ttp://www.virustotal.com/analisis/faef6e0479f91cc8b0b806fd4444c51d95203153dfdfacb03c79871571c2d216-1255246978


790 名前:781 782 mailto:sage [2009/10/11(日) 16:54:27 ]
検出報告やVirustotal貼り付けたりしてないので根拠がないのですがこの一日で大方対応してくれたベンダーは

Symantev、TrendMicro、Panda、Kaspersky、Avira、BitDefenderでした(ESETは最初から全検出してたので除外、McAfeeも動きなし)
この中で全検出したのはTrendMicro、Kaspresky、Avira、BitDefender
avast!は明後日辺りに対応するかも(いつも対応してくれるのはこれぐらいだから)
TrendMicroはフィードバック機能、BitDefenderは誤検出大幅減ということで対応速度が良くなりつつある?今後に期待

それにしてもAVG・・・2年前は一日で対応してくれることが多かったのに・・・



791 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/11(日) 16:56:03 ]
失礼、よく見たらavast!も全検出してたorz

792 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/11(日) 17:07:22 ]
してないじゃん

793 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/11(日) 17:57:31 ]
avast!は10日の段階で>>777全部検出してるよ

794 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/11(日) 20:53:03 ]
456KB (467405Byte) 0.125秒

795 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/11(日) 21:40:16 ]
>>765
ウイルスバスター2010

TROJ_AGENT.ARCV  crash_service.exe

796 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/12(月) 11:48:05 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=529
virus

797 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/12(月) 12:21:07 ]
>>796

File size: 52584 bytes
MD5 : 6aa9505e58e716418da053474f394fd5
SHA1 : 47cf55021d4e938fe9babc24c588060bd91cbcdc
SHA256: 9f5377e1b36ababcd11548363ce50c322c4ace65f76f1858c9ce2a76b584e8f5


今しがたウイルストータルに掛けたところ10月11日に1度スキャン済みで結果が出ていました。
表示されている時間に時差9時間を足すとおよそ日本の時間になります。
以下の結果2つは同一ファイルですが11日と12日の物になります。

ファイル名 6aa9505e58e716418da053474f394fd5 受理 2009.10.11 17:59:57 (UTC)
結果: 11/41 (26.83%)
www.virustotal.com/jp/analisis/9f5377e1b36ababcd11548363ce50c322c4ace65f76f1858c9ce2a76b584e8f5-1255283997

ファイル名 redstone1.exe 受理 2009.10.12 03:07:49 (UTC)
結果: 16/41 (39.03%)
www.virustotal.com/jp/analisis/9f5377e1b36ababcd11548363ce50c322c4ace65f76f1858c9ce2a76b584e8f5-1255316869

798 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/12(月) 12:33:23 ]
Rising Internet Security 2010 22.17.00.02 (22.00.01.08)
>>796
スルー
提出完了
RS20091012112709265139

799 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/12(月) 13:18:35 ]
>>796さん乙
SymantecとMalwarebytesに提出しました

800 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/12(月) 15:46:33 ]
>>796
F-secureに提出済み



801 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/12(月) 19:45:23 ]
>>796
Panda、GDATA2010(BitDefender)、ESET、TrendMicro、Kaspersky、Avira、Ahnlabへ提出

802 名前:801 mailto:sage [2009/10/12(月) 21:48:25 ]
TrendMicroの件ですがもしかしたら提出失敗で提出できてない可能性があるので誰か代わりにTrendMicroに提出できる人がいたらお願いします

803 名前:798 mailto:sage [2009/10/13(火) 02:27:45 ]
>>796
Rising解析結果
文件名称:redstone1.exe
病毒名称:Trojan.PSW.Win32.OnlineGame.zxa
解決版本:22.17.00.04

解析は16時頃に終わってたけど、定義更新が22.17.00.03(15時頃)で止まってるので未検出

804 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/13(火) 07:48:53 ]
>>796さん乙です
ウィルスバスター2010スルー
TrendMicroへ提出しました

805 名前:801 mailto:sage [2009/10/13(火) 09:32:23 ]
>>796
BitDefenderとESETが対応しました

ttp://www.virustotal.com/analisis/9f5377e1b36ababcd11548363ce50c322c4ace65f76f1858c9ce2a76b584e8f5-1255393328
BitDefender 7.2 2009.10.13 Trojan.Generic.2518937
NOD32 4501 2009.10.12 Win32/PSW.Gamania.NBU

BitDefenderは対応速度が確実に速くなってる・・・というよりもGenericの検出が今までよりもアグレッシブになってるという印象がある
これもGDATAのホワイトリストの影響かな?誤検出を気にしなくていいから強気に出れるとか
そこら辺の関連性も調べてみたい、けど情報がなかなか出なさそう

なんにせよ対応速度が速くなるベンダーが増えるというのはいいことだ

806 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/13(火) 09:39:44 ]
pc11.2ch.net/test/read.cgi/sec/1250027233/887

ttp : //dfavp.eu/flist.js
a-squared: Virus.JS.FakeAV!IK
avast!:    JS:FakeAV-V [Trj]
GDATA:   JS:FakeAV-V [Trj]

807 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/13(火) 13:19:01 ]
>>806
>>1

808 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/16(金) 23:39:17 ]
あの「Panda Cloud」 いつまでたっても
InterVideoや7zip関連のファイルを危険なものとして誤検出するんだけど
ここの住人のだれか、もういい加減に誤検出しないようにPanda社に言ってくんない?
おいらはこういう報告したことないので、Pandaに提言することできないし

809 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/16(金) 23:45:13 ]
日本法人があるんだからそれくらいできるだろ
ttp://www.ps-japan.co.jp/support/content0001.html

810 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/17(土) 13:10:06 ]
ttp://www.uploda.biz/ti2009j.rar
このアプリが反応するんだけど



811 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/17(土) 15:21:22 ]
>>810
おまんちんもどき とかいうIPを晒すやつ
ダウンロードすると晒されるので一応注意

812 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/18(日) 01:50:53 ]
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=530
RO攻略関連サイトに埋め込まれた難読化スクリプト

VirusTotal (3/41)
www.virustotal.com/jp/analisis/a9be06660025066051cdfb588acae4f56535b35f14ed905fee9d0c4527613083-1255797032
infected

813 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/18(日) 01:52:16 ]
>>812
忘れてた
Aviraは出します

814 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/18(日) 01:57:36 ]
Avira提出完了

815 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/18(日) 01:57:55 ]
>>812さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました

816 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/18(日) 02:19:24 ]
>>812
Rising提出完了
RS20091018011337250113

817 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/18(日) 06:46:08 ]
>>812
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
paranormal.php |inconclusive | | |no

818 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/18(日) 07:46:02 ]
>>812さん乙です
ウィルスバスター2010 0/1
TrendMicroへ提出させて頂きました。

819 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/18(日) 15:07:43 ]
>>812
Panda、GDATA2010(BitDefender)、ESET、AVG、F-Secure、Ahnlabへ提出

820 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/18(日) 18:25:22 ]
Rising Internet Security 2010 22.17.06.06 (22.00.01.17)
>>812
paranormal.php: Hack.Exploit.Script.JS.ShellCode.bd
1/1



821 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/19(月) 01:30:14 ]
>>812と同類
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=531
infected
うp容量の関係でダミーのテキストファイルを入れてありますが本体はPHPファイルのみです。
すいません。

styles.php (1/41)
www.virustotal.com/jp/analisis/daf706d6bbd9c47b0eff7dcfc486d5810b2b3ffc2a1081319df1806804af4b0c-1255882236
Avira提出済み

822 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/19(月) 01:33:18 ]
>>821
Risingに提出完了
RS20091019002809062308

823 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/19(月) 01:40:35 ]
>>821さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました

824 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/19(月) 03:45:16 ]
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★
☆                                                   ☆
★ ☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★ ★
☆ ★ftp://ftp.symantec.com/public/japanese/trialware/nis2010/nis10tbjp.exe  .☆ ☆
★ ☆ftp://ftp.symantec.com/public/japanese/trialware/nis2009/nis091600jp.exe .★ ★
☆ ★ftp://ftp.symantec.com/public/japanese/trialware/nis2008/nis081500jp.exe .☆ ☆
★ ☆ftp://ftp.symantec.com/public/japanese/trialware/nis2007/nis07100jp.exe  ★ ★
☆ ★ftp://ftp.symantec.com/public/japanese/trialware/nis2006/nis06900.exe   ☆ ☆
★ ☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★ ★
☆                                                   ☆
★ ☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★ ★
☆ ★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆ ☆
★ ☆★ftp://ftp.symantec.com/public/japanese/hotfix/sonar/jp_hotfix_2.0.exe .☆★ ★
☆ ★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆ ☆
★ ☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★ ★
☆                                                   ☆
★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★☆★

825 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/19(月) 05:52:39 ]
>>1
>>6のAVGがデッドリンクになってるよ

826 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/19(月) 06:19:34 ]
>>821さん乙です
TrendMicroへ提出させて頂きました

827 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/19(月) 08:56:43 ]
>>821
avast! に提出しました。


828 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/19(月) 16:55:10 ]
>>821
McAfee (Active Protection 無効)0/1
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
styles.php |inconclusive | | |no

829 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/19(月) 23:06:22 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=532
infected

830 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/19(月) 23:14:47 ]
Rising Internet Security 2010 22.18.00.10 (22.00.01.20)
>>829
1-5.exe: Trojan.Win32.Generic.11EE8336
prosto.exe: Trojan.DL.Win32.Nodef.alg
xx.exe: Trojan.Spy.Win32.Ntos.ff
3/4
検体提出完了
RS20091019220821187222



831 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/19(月) 23:38:34 ]
>>829さん乙
Symantecとa-squaredとMalwarebytesに提出しました

832 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 00:36:12 ]
>>829
GDATA2010(BitDefender)、TrendMicroへ提出

833 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 06:24:13 ]
>>829
McAfee (Active Protection 無効)2/4
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1-5.exe |inconclusive | | |no
xx.exe |new detection |generic.dx!fyy |Trojan |yes

834 名前:832 mailto:sage [2009/10/20(火) 09:31:37 ]
>>829
BitDefenderは二つ対応

Install2.exe:Trojan.Generic.2553553
prosto.exe:Trojan.Generic.2554926

835 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 14:27:06 ]
>>812,821と同類
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=533
infected

markokaldur■com/valgetahekiir/post_config.php (1/40) カスペのみ
www.virustotal.com/jp/analisis/031ef47a31c05bd6fe3c1b36669eadc3d79b8dd905d3ec1bcfd2e611939a4c9d-1256015435

kanto■ac■jp/ → myrussia■kz/includes/regions.php (1/41) カスペのみ
www.virustotal.com/jp/analisis/faf89844fbaee4744236dbe11eb0a788dd7651d78503f7b6f6d8cac2cf42b416-1256015652

Avira提出済み

836 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 14:35:56 ]
>>835
それって申し訳ないね。別スレで緊急告知されていたので昨日やっつけで少しカスペに送っておいた。
返事がまだないけどその分かな?

837 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 14:40:51 ]
>>835さん乙です
ウィルスバスター2010 スルー

TrendMicroへ提出させて頂きました。
未だにtane0530,0531は未対応です。

838 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 15:32:33 ]
>>836
VirusTotalは20日分の定義みたいだけどどうかなあ

>>837
Aviraも返事待ちです
同じようなのまとめて定義方法を検討してるのかも

839 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 15:36:34 ]
>>835
Symantec、Panda、GDATA2010(avast!&BitDefender)、ESET、AVG、F-Secure、Ahnlabへ提出

Symantecから

filename: post_config.php
machine: Machine
result: See the developer notes

filename: regions.php
machine: Machine
result: See the developer notes

840 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 15:39:09 ]
>>837
>>838

Symantec、Panda、ESET、BitDefenderも対応する気配がない
この手の検体は相手にしないのかな?



841 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 15:43:28 ]
まぁ自動生成くさいjsだし、包括的にひっかけられないと無駄な努力だと思う。
問題はバイナリもものすごい勢いで変わることだけど、
これも自動生成だとしたら厄介だなぁ(Packerが組み込み簡単なUPXなのも気になる)。
一時期のeCardみたいな…。

842 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 15:59:52 ]
Rising Internet Security 2010 22.18.01.03 (22.00.01.22)
>>829
Install2.exe: Trojan.Win32.Generic.11EE980A
解決版本:22.18.01.00
3+1=4/4
>>835
スルー
提出完了
RS20091020145159531983

843 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 17:23:10 ]
>>835
McAfee (Active Protection 無効)0/2
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
post_config.php |inconclusive | | |no
regions.php |inconclusive | | |no

844 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 19:04:11 ]
>>835さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました

845 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/20(火) 22:57:43 ]
Avira
>>812,821回答
paranormal.php 29.04 KB MALWARE JS/Dldr.Gumblar.w
styles.php 882 Byte CLEAN

846 名前:832 mailto:sage [2009/10/20(火) 23:24:41 ]
>>829
BitDefender

xx.exe:Backdoor.Bot.107950


3/4

847 名前:832 mailto:sage [2009/10/20(火) 23:43:32 ]
>>829
TrendMicroから

該当するファイルはわからないけど次のアップデートで対応する模様

TROJ_FAKEAV.BND
TROJ_WALEDAC.AIO

848 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/21(水) 00:07:47 ]
>>812,821,835 comodo提出済み

849 名前:822,842 mailto:sage [2009/10/21(水) 02:10:25 ]
Rising解析結果
>>821>>835
すべて安全文件

850 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/22(木) 00:13:02 ]
>>835 Avira 回答
post_config.php 837 Byte MALWARE JS/Gumblar.X.3
regions.php 798 Byte MALWARE JS/Gumblar.X.4



851 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/22(木) 00:17:46 ]
>>835
F-Secureから返事来たけどシグネチャ名が記されてないから具体的にここに貼り付けることが出来ない・・・

ただF-Secureに提出したらBitDefenderにも対応されるのかな?
どちらにしてもF-SecureとBitDefender両方に送った方が効率良いね
GDATAにも検体提出先ある?GDATAに検体提出できたらavast!とBitDefenderに直接提出しなくてもavast!とBitDefenderに対応されるかな?

852 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/22(木) 07:27:46 ]
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=534
virus

853 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/22(木) 07:32:55 ]
>>852
Risingスルー
提出完了
RS20091022062721687633

854 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/22(木) 08:05:14 ]
>>852さん乙です
ウィルスバスター2010 0/4
提出させて頂きました

855 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/22(木) 10:08:04 ]
>>852さん乙
Symantecとa-squaredとMalwarebytesに提出しました

856 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/22(木) 13:37:07 ]
>>852
avast全部検出
検出名は4つともWin32:Small-MTB[Trj]

857 名前:853 mailto:sage [2009/10/22(木) 14:59:50 ]
Rising Internet Security 2010 22.18.03.03 (22.00.01.26)
>>852
x1.exe: Trojan.Win32.Generic.11EEBA72 (Trojan.DL.Win32.Tiny.buf)
x1_1.exe: Trojan.Win32.Generic.11EEBA73 (Trojan.DL.Win32.Tiny.bue)
x200.exe: Trojan.Win32.Generic.11EEBA72 (Trojan.DL.Win32.Tiny.buf)
x200_1.exe: Trojan.Win32.Generic.11EEBA74 (Trojan.DL.Win32.Tiny.bue)

858 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/22(木) 15:44:22 ]
>>852
Panda、GDATA2010(BitDefender)、ESET、Kaspersky、F-Secure、AVG、Ahnlabへ提出

859 名前:858 mailto:sage [2009/10/22(木) 15:48:13 ]
>>1の提出先WikiではESETに送るときの圧縮パスはinfected固定と書いてありますがvirusでも対応してくれますよ
virusでも対応速度は問題なく今だったら大体半日〜1日で対応してくれることが多いです

860 名前:858 mailto:sage [2009/10/22(木) 16:02:41 ]
>>852
現在の状況

ttp://www.virustotal.com/analisis/32ce8cea3978f11d08942fb0aebf7c3897f277a049951713ef7a349b4a3abd14-1256194589
ttp://www.virustotal.com/analisis/d678bd1b4822a048c12557d5fb61d0fb4461e849ddeb74b0bd54a69e137ef732-1256194592
ttp://www.virustotal.com/analisis/fb835a038a52bbf4baf24ed3c3da8bfba6a59182cf5f20fccdce4ed38faa5e3e-1256194597
ttp://www.virustotal.com/analisis/a95120a218ce127365455d08b71bf74a5fb7b1a421aa9a6980a65aabff30248c-1256194602

PandaとKasperskyに提出する必要性がなかったorz



861 名前:832 858 mailto:sage [2009/10/22(木) 16:09:46 ]
>>829
ウイルスバスター2010は残りの未検出ファイルは全て不正変更監視機能で検出可能

862 名前:858 mailto:sage [2009/10/23(金) 01:02:03 ]
>>852
AVGから

Dear Sir/Madam,

thank you for your email.

Please let us inform you that the file attached to your previous e-mail was infected.
Detection of the infection will be available within one of the next AVG virus definitions updates.
AVG updates are released in reaction to amount and severity of new threats.
It is recommended to check for new updates at least once a day.
Checking every 4 hours will guarantee that your AVG Virus base is kept up-to-date.

Let us also inform you that these files will be detected as following:

".\x1.exe" Trojan horse SHeur2.BNGK
".\x1_1.exe" Trojan horse Downloader.Generic9.BCL ".\x200.exe" not decided yet ".\x200_1.exe" Trojan horse Downloader.Generic9.BCL

こんな感じに検出名まで載せてきたのはAVGでは初めて、今まではこんなことはなかった
それにしても対応したのはシグネチャじゃなくヒューリスティックやGenericで検出したというのはどうしたものか・・・

863 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/23(金) 02:33:40 ]
>>812,821,835と同類
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=535
infected

verhor1.php [3/41]
www.virustotal.com/jp/analisis/3c3ede6521ec6ff6410fc73e0c7b74760633123566005cc2cf84b4ba3907b8ef-1256229047

index2.php [1/41]
www.virustotal.com/jp/analisis/4b9b9bbd2015aa4eebd88d5a079a6a27372d734e62fb8f8c8dd5574e3f2fc74b-1256231845

regions.php [1/41]
www.virustotal.com/jp/analisis/f809c220fc6cc4741fb5326d2e4f50c10118839e203e754d5a0df7929c999be0-1256232092

Avira提出済み

864 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/23(金) 02:41:05 ]
>>863
Symantec、Panda、GDATA2010(avast!&BitDefender)、ESET、TrendMicro、F-Secure、AVG、Ahnlabへ提出

この手の検体の対応はあまり期待してませんが提出しておきます

865 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/23(金) 02:48:36 ]
>>863
Risingに提出完了
RS20091023014308031662

866 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/23(金) 03:20:49 ]
>>863
すいません。Comodoも提出済みでした。
カスペがパターン化できたようなのでもう少し粘ってみようかと。
GData(Avast)も一部対応できたのかもしれません。

867 名前:858 mailto:sage [2009/10/23(金) 11:42:12 ]
>>852

BitDefenderTotalSecurity2010

x1.exe Trojan.Dropper.TFQ (ヒューリスティックからシグネチャへ変更)
x200.exe Trojan.Dropper.TFQ (ヒューリスティックからシグネチャへ変更)
x1_1.exe Trojan.Downloader.Small.ABJH
x200_1.exe Trojan.Downloader.Small.ABJH

4/4で全検出完了

868 名前:858 864 mailto:sage [2009/10/23(金) 11:50:58 ]
>>863
Symantecから

filename: verhor1.php
machine: Machine
result: See the developer notes

filename: regions.php
machine: Machine
result: See the developer notes

filename: index2.php
machine: Machine
result: See the developer notes


869 名前:865 mailto:sage [2009/10/23(金) 17:57:39 ]
Rising解析結果
>>863
すべて安全文件

870 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/23(金) 18:33:45 ]
>>852
McAfee (Active Protection 無効)0/4
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
x1.exe |inconclusive | | |no
x1_1.exe |inconclusive | | |no
x200.exe |inconclusive | | |no
x200_1.exe |inconclusive | | |no

>>863
McAfee (Active Protection 無効)0/3
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
index2.php |inconclusive | | |no
regions.php |inconclusive | | |no
verhor1.php |inconclusive | | |no



871 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/25(日) 22:57:10 ]
GENOウイルススレ ★22
pc11.2ch.net/test/read.cgi/sec/1245640557/425
ここから落ちてきたファイルかと思われます。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=536
infected
ttp://www.virustotal.com/jp/analisis/6cba29fd63fee9cc2fb5f71e8a06c932085601dae9081897d8d2947d164240d2-1256461910


もう一つは、間違えて削除してしまいました。持ってる方、うpして頂けると嬉しいです。
ttp://www.virustotal.com/jp/analisis/24c26cdb24292e59fae4414f8a96528141a5ab03a7ffa19bea1889740312d5cf-1256450915

872 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/25(日) 23:04:41 ]
>>871
かすぺ 無反応

仮装実行したらクリップオーガナイザ?が起動してエラー吐いて終了

873 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/25(日) 23:29:23 ]
>>871

Symantec、Panda、GDATA2010(avast!&BitDefender)、ESET、TrendMicro、Kaspersky、AVG、Avira、F-Secure、Ahnlabへ提出

Symantecから

filename: Config.MPF
machine: Machine
result: See the developer notes


874 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/25(日) 23:31:32 ]
>>871さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました

875 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/26(月) 06:33:37 ]
>>871
Risingに提出完了
RS20091026052819109792

876 名前:873 mailto:sage [2009/10/26(月) 15:12:08 ]
>>871
Kasperskyから

Hello,

No malicious software was found in the attached file.

他のベンダーの反応も含めてもうちょい様子見てみます

877 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/26(月) 18:02:18 ]
>>871 はハズレだよ。実行ファイルでもないし、
先頭の「MPFP」が何のファイルだかは知らんけど
Jane2chだのGoogleToolbarだの書いてあるから
アプリの起動や通信のログじゃないかと。

878 名前:875 mailto:sage [2009/10/26(月) 20:45:15 ]
Rising解析結果
>>871
安全文件

879 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/29(木) 04:37:08 ]
GDATAスレより、古い検体とのことですが検出報告してもらえたらありがたいです(多すぎなので検出数だけでけっこうです)
こちらで調べた検出数

PandaGlobalProtection2010:1598
BitDefenderTotalSecurity2010:1619
AviraPremiumSecuritySuite:1624

514 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/10/28(水) 21:30:48
検証用ウィルス詰め合わせ/Test Your Antivirus
ttp://rapidshare.com/files/233749449/Test_For_Antivirus.rar

880 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 18:22:12 ]
3.file.snoin.com/datawy/07s2xvrbfct/16fj8/bbo%EC%97%94%EC%A7%84.7z
誤検出?



881 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 20:15:46 ]
>>880
15社検出してるから誤検出じゃないだろ
検出組み:
Avast、BitDefender、Comodo、DrWeb、F-Secure、GData、Kaspersky、Microsoft、NOD32、Rising、Sophos
検出できない組:
AntiVir、AVG、ClamAV、K7AntiVirus、McAfee、Panda、PCTools、Symantec、TrendMicro

882 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 20:54:50 ]
>>881
McAfeeも検出できます(キリッ

883 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 21:23:52 ]
>>882
VirusTotalでは検出できなかったよ

884 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/30(金) 21:51:20 ]
>>883
解凍したフォルダの中の6個のファイルを修正(ウイルスのみ削除)

885 名前:名無しさん@お腹いっぱい。 [2009/10/30(金) 22:18:38 ]
>>883
検体が7zだからですね。
zip形式に圧縮し直すとvirustotal結果は34/40(85%)にあがりました。
未対応のK7に検体提出します。


886 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/10/31(土) 01:28:38 ]
>>880-885

Norton、Panda、Aviraも検出確認

887 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/05(木) 06:46:04 ]
tes

888 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/07(土) 23:38:16 ]
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=538
infected

VirusTotal 27/40
www.virustotal.com/jp/analisis/e8a326b18bfd0cadf9c3382847e4efc0a7aec43441b93ed6cea4fb726932c662-1257591793

現在各種ゲームwikiやうpろだにアップされている模様
Trojan-GameThief.Win32.OnLineGames系統のファイル1つです
検出率は悪くないのですが一部スルーでした

889 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/07(土) 23:45:25 ]
>>888のVirusTotalは元のzipごとだったのでexeのみで診断
29/40
www.virustotal.com/jp/analisis/6de61ac7381516044603c24512e12e25f62abb5ebefba2b3dc63db03bdb0766b-1257604846

890 名前:名無しさん@お腹いっぱい。 [2009/11/08(日) 02:14:53 ]
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=539
virus
VirusTotal 6/41
www.virustotal.com/jp/analisis/036449df781cee85142d4a112a9f0f9a460f65b94eaf404667b9f6f9a0441629-1257609046




891 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/08(日) 03:50:29 ]
>>879
MSE:1599
ただ・・・MSDOSで動くものばかりなので普通の環境ではあんまり意味ないような気がする。

>>888
MSE:検出


892 名前:891 mailto:sage [2009/11/08(日) 03:57:42 ]
>>879
追加でさらに26個検出された。
合計:1625

893 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/08(日) 06:38:08 ]
>>890
Symantec、Panda、GDATA2010(avast!)、ESET、TrencMicro、Kaspersky、AVG、F-Secure、Ahnlabへ提出

Symantecから

filename: 8091a.msi
machine: Machine
result: See the developer notes

894 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/08(日) 13:35:06 ]
>>890
Risingに提出完了
RS20091108122817484972

895 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/08(日) 21:27:31 ]
新種とは言うにはちょっと遅いかもしれないですがネタ投下
BitDefenderとKasperskyとPandaに提出済み、BitDefenderは提出した一時間後に対応、Kasperskyは返事待ち

tane.sakuratan.com/upload/upload.cgi?mode=dl&file=540
infected


896 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/08(日) 22:38:39 ]
>>895

現在の状況
BitDefenderとKasperskyは完了してる。

fb.73.exe
ttp://www.virustotal.com/jp/analisis/620619b75422fd36e28f8f503ca4d589ceeaba1a42b6b9c2a0def947db2ce0ac-1257685293
get.exe
ttp://www.virustotal.com/jp/analisis/1bbe1bacd3cb03bd99e859278e719dc9daaf8aae24fef99c2288ad1a441a3938-1257685377
pp.12.exe
ttp://www.virustotal.com/jp/analisis/92d68f65792c426ebd3b28bd53392f0d708e8e9af9ea642f6525755aa2f24233-1257685391
us4.exe
ttp://www.virustotal.com/jp/analisis/fe4cf687a3569d51bdefdfa78070254b9f74a950124df866342f9e0e67da0cbf-1257685414
v2prx.exe
ttp://www.virustotal.com/jp/analisis/eb735396b7288794aa1f3be5771186b052e39c7f57118de7af0a498e70567140-1257685453

897 名前:895 mailto:sage [2009/11/08(日) 22:42:39 ]
Kasperskyは既に対応完了してましたorz

Hello,


fb.73.exe - Net-Worm.Win32.Koobface.cjd
get.exe - Trojan-PSW.Win32.Delf.ekv
pp.12.exe - Net-Worm.Win32.Koobface.cje
us4.exe - Trojan-Dropper.Win32.Zbot.ag
v2prx.exe - Trojan-Dropper.Win32.Agent.bgpi

At the moment these files are detected. Please update your antivirus bases.

898 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/08(日) 23:55:26 ]
Rising Internet Security 2010 22.20.06.11 (22.00.01.65)
>>895
v2prx.exe: Trojan.Win32.Generic.11EFC860
1/5
検体提出完了
RS20091108224916453559

899 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 01:26:07 ]
>>888
Symantec提出済み

900 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 10:40:27 ]
ネタ投下
Symantec、Panda、BitDefender、Kaspersky、TrendMicroに送信済み
Symantec以外は返事&対応待ち

tane.sakuratan.com/upload/upload.cgi?mode=dl&file=541
infected


Symantecから

filename: nkr.exe
machine: Machine
result: See the developer notes

filename: install.48232.exe
machine: Machine
result: See the developer notes

filename: setup(2).exe
machine: Machine
result: This file is detected as WindowsAntivirusPro.



901 名前:900 mailto:sage [2009/11/09(月) 10:57:05 ]
Kasperskyから



Hello,


install.48232.exe - Trojan.Win32.FraudPack.zsn

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

提出は本日の10:35、Kasperskyからの返事は10:54なので約20分で対応完了

902 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 15:43:01 ]
infosueek.w53.okwit.com/MS-JP.ZIP

903 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 15:55:31 ]
>>902
>>2
自分で削除依頼出して来いよ

904 名前:900 mailto:sage [2009/11/09(月) 17:01:27 ]
TrendMicroから
どのファイルに該当するかはわからないけどとりあえず対応

This is a system generated email update.

We are glad to inform you that the detection for TSPY_ONLINEG.MCS is now available for
downloading using CPR 6.614.02.

To download the latest Control Pattern Release, please use the following link:
www.trendmicro.com/download/pattern-cpr-disclaimer.asp

Please expect further updates of this case.

905 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 17:07:01 ]
とりあえずPandaは>>895を全検出完了

906 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 17:28:55 ]
>>900
Risingに提出完了
RS20091109162245531992

907 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 17:29:33 ]
>>902
ttp://www.virustotal.com/jp/analisis/9da72ee0067e6c25c50082193d0b5892379e1be0b5b97921371299cc5828f386-1257574985
リアルタイムスキャンでは検出出来なかったので
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
ms-jp.exe |current detection |generic malware.cm |Trojan |no

908 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/09(月) 17:31:42 ]
そろそろ新スレの時期ですね
誰か立ててくれる方はいないのでしょうか?

909 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/15(日) 21:48:12 ]
>>6のリンク切れ修正
●AVG ≫ 疑わしい偽陽性の検出の対応方法
パスワード圧縮ファイルをメールに添付して virus@avg.com with a brief description にメールで送信
ttp://forums.avg.com/jp-ja/avg-free-forum.tpl-lite?sec=thread&act=show&id=359

910 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/17(火) 23:09:15 ]
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=543
infected

Gumblar.xのスクリプト2つ
コロコロかわるやつなので提出はお好みで
Avira,Comodo提出済み

robots.php 6/41 11/16取得
www.virustotal.com/jp/analisis/74085518ae85015bc41024aad59503d3a86e7452365610cd44529cac33fc8650-1258445599

addcart.php 1/41 11/17取得
www.virustotal.com/jp/analisis/9dba2b4f27fb7b39693ba31e2ccfa5b4a3989787a9390d97522fcfb49da450be-1258446346



911 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/17(火) 23:17:13 ]
>>910さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました

しかし対応率低いね

912 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/17(火) 23:46:42 ]
>>911
Symantecは脆弱性保護機能でブラウザが読み込んだときに検出する
80日前のシグニチャでも検出するたぶん最初から対応していたと思う

913 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/18(水) 04:33:36 ]
>>910
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
addcart.php |inconclusive | | |no
robots.php |inconclusive | | |no

914 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/18(水) 22:09:59 ]
>>910
Avira結果
16日提出 robots.php 838 Byte MALWARE TR/Dldr.Gumblar.X.1
17日提出 addcart.php 832 Byte MALWARE  JS/Gumblar.x

addcartのほうは安定したような名前だけどどうかな

915 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/18(水) 22:36:23 ]
Rising Internet Security 2010 22.22.02.10 (22.00.01.86)
>>890
安全文件
>>895
get.exe: Trojan.Win32.Generic.11F0C024
pp.12.exe: Trojan.Win32.Generic.11F0BFBC
us4.exe: Trojan.Win32.Generic.11F17C99
1+3=4/5
>>900
install.48232.exe: Trojan.Win32.Generic.11F0D50A
nkr.exe: Trojan.Win32.Generic.11F0C026
setup (2).exe: Trojan.DL.Win32.FakeAV.gb
3/3
>>910
スルー
提出完了
RS20091118212852750411

916 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/21(土) 22:21:42 ]
既出かもしれんが、人に勧められて(w GENO系らしき最新のやつを踏んできたので

u1.getuploader.com/oklsslv2ym/download/1/
dlpass: szdsa6511zvfs

ケアレスミスのせいで、何度かスクリプトは踏まされたが、本質的には同じ物が降ってくる
脆弱性3系統を突いて、それぞれにEXEが用意されてるぽいが、SWF/PDF向けは同じ物だった
手動で抽出したものがdll*.binだが、ほとんど同一なので、
ひとつ駆逐できたら、あとのやつも駆逐できると思う

some appended bytes of PE files may be truncated. ← コメ可の通報先にはこれ付けといて。

917 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/21(土) 23:58:43 ]
>>916
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dll.01-1.bin |inconclusive | | |no
dll.01-2.bin |inconclusive | | |no
dll.02-1.bin |inconclusive | | |no
dll.02-2.bin |inconclusive | | |no
loader.js |inconclusive | | |no
setup.01.bin |inconclusive | | |no
setup.02.bin |inconclusive | | |no
vuln.pdf |inconclusive | | |no
vulna.swf |inconclusive | | |no
vulnb.swf |inconclusive | | |no

918 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/22(日) 00:00:02 ]
>>916
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=544
infected
dll.01-1.bin
www.virustotal.com/jp/analisis/4677063dadae787b33ece98828104b8bf678aca4f9255cc99135496b56e1c621-1258812050
dll.01-2.bin
www.virustotal.com/jp/analisis/1a6b609dadcd3a201d67c2aede4a6dcd44784c7d327a5f2a1836b45c5cb92d64-1258812238
dll.02-1.bin
www.virustotal.com/jp/analisis/f39716be8b4689c854fbf2440e66d2d6410c7c6209fb2557bdbf2360f6f3a541-1258812446
dll.02-2.bin
www.virustotal.com/jp/analisis/55346c2472f7382e2304756292df34bc380e2f9c0002a1b044c7df5ec342b68d-1258812661
loader.js
www.virustotal.com/jp/analisis/619870c30813078366264da9d548ad581bef562a3cd644f227e535ecf7ddb1cb-1258812866
setup.01.bin
www.virustotal.com/jp/analisis/1458bacb68e8ee774555832b516ba60cc3b5b7d54ebe9c88f016049e6a0988aa-1258813053
setup.02 ( D490C07A00B1AEA7704600DA607FBB00A1C5B1EC.exe )
www.virustotal.com/jp/analisis/7fffb5a435b632aa0ef32a19e52baa3e27999793d2740a1c3535622f4dccd1f5-1258699671
vuln.pdf
www.virustotal.com/jp/analisis/7039d14d18b395d8a8d3c23a29bc08158aa7924ff964e859e95d566d6fc6b67d-1258810027
vulnA ( e1ee810b08970ac52cf100f91b760a00b37b239a )
www.virustotal.com/jp/analisis/dbb59dd5686bf3e9528ff5037ac251ff099ae4881f31177a31c7cf51d69a96f0-1258811384
vulnB ( vulnB.swf )
www.virustotal.com/jp/analisis/99e159834887ba4159cd8ec2d142d4b885ba24345fa085b7bd59d93bab6092cd-1258813628

919 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/22(日) 00:15:22 ]
>>918
申し訳ないが
書庫が壊れていて解答できないよ

920 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/22(日) 00:17:22 ]
virustotal落ちてるしorz



921 名前:名無しさん@お腹いっぱい。 mailto:sage [2009/11/22(日) 00:25:59 ]
>>919
解凍パスはinfectedみたいよ




[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]
前100 次100 最新50 [ このスレをブックマーク! 携帯に送る ] 2chのread.cgiへ
[+板 最近立ったスレ&熱いスレ一覧 : +板 最近立ったスレ/記者別一覧](;´∀`)<500KB

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef