あやしいファイルを実行するスレ 2層目
at SEC
1:名無しさん@お腹いっぱい。
08/11/25 01:17:54
あやしいファイルを実行したりして遊ぶ人が集うスレです
急ぎでなくてよろしければ、簡単な鑑定も行います
※ 依頼には制限があります: >>2-10 あたりをお読みください 【自動鑑定サイトも掲載しています】
前スレ: あやしいファイルを実行するスレ (2006/02/21)
スレリンク(sec板)
関連スレ:【鑑定目的禁止】検出可否報告スレ7
スレリンク(sec板)
【警告】ここの住人は、黙っているだけで、多彩な多層防御を据えてあやしいファイルを実行しています
無理に真似をして、環境が壊れたり、なにか晒されたりしても、屍を拾う者はいません
2:名無しさん@お腹いっぱい。
08/11/25 01:23:58
・鑑定を目的として貼られた場合、たいていは、自己解凍書庫判定(実行しなくても解凍鶴でおk)か、
明らかに有害か、よくわかりません位の結果になり、完全な安全判定は難しいことが多いです
完全な安全を目指すには、環境・情報を保護するソフトウェアの併用を検討してください
・感染後の回復指南に関しては、必要なスキルが異なるため、原則としてお引き受け致しかねます
あくまで、雑談として扱います アダ被さん( URLリンク(www.higaitaisaku.com) )あたりが定評があります
・割れの幇助には消極的な人が多いです 割れやkeygenやパッチを貼るのは自由ですが、
引き受け手は少ないかもしれません その場合は、見かけ上スルーになります
3:名無しさん@お腹いっぱい。
08/11/25 01:24:34
・P2Pのハッシュ等での依頼は、消極的な人が多いですので、うpろだに転載なさるか、専用スレに
ご依頼ください 転載時、ウイルスくさい場合は、'infected' 'virus' などのパスワードをかけてください
・お急ぎの方は、最近は便利になり、自動分析サイトがありますので、ぜひそちらをご利用ください
URLリンク(www.virustotal.com)
URLリンク(www.gred.jp) (最近できたばかりです)
4:名無しさん@お腹いっぱい。
08/11/25 02:02:04
URLリンク(www16.plala.or.jp)
5:名無しさん@お腹いっぱい。
08/11/25 02:32:05
有名所です reputation上無害と言いたいところなのですが、実際に踏んでみたところ、
当方環境では、CPUを100%近く占有したまま、パッカの展開がいつまでたっても終わりません
(業を煮やして途中で止めても、やっぱり制御がパッカのスタブにあります。。。)
推定無害、環境によっては: 動きません(?)
6:名無しさん@お腹いっぱい。
08/11/25 19:19:38
>>1
次スレ建ててくれる人がいたのかw
とりあえず追加で役に立ちそうなリンク張っておきます
↓仮想環境構築用
・VirtualPC
URLリンク(www.microsoft.com)
・VPC用無料のイメージファイル
URLリンク(www.microsoft.com)
・Returnil Virtual System
スレリンク(sec板)
URLリンク(www.majorgeeks.com)
以下Newbie用
VT以外のScanサイト
・URLリンク(www.virscan.org)
・URLリンク(www.virscan.org)
・URLリンク(virusscan.jotti.org)
・URLリンク(www.viruschief.com)
SandBox
・URLリンク(anubis.iseclab.org)
・URLリンク(www.threatexpert.com)
・URLリンク(www.norman.com)
・URLリンク(research.sunbelt-software.com)
7:6
08/11/25 19:49:45
URLリンク(www.virscan.org)が重複してた
正しくは↓
URLリンク(scanner.virus.org)
8:名無しさん@お腹いっぱい。
08/11/25 21:39:53
>>6-7
おちゅです
てか、まだあったんかw > iecompat(ry
…まだあったんかじゃない、増えてるwwww おみそれしますたw
9:名無しさん@お腹いっぱい。
08/11/28 12:44:47
踏んで遊ぶ方のネタもってきた
[インチキ/有害] URLリンク(ultraantivirus2009.com)
本当に、インチキ有害表示出すだけみたいな感じだたーよ
しかも、やたらと重い
[インチキ/有害] URLリンク(real-av.info)
壊れてるって言いやがる 遊べんでないかw
鯖側タイムスタンプは、今年5月
10:名無しさん@お腹いっぱい。
08/11/28 18:04:53
いつの間にか次スレが立ってる・・・
>>9
>URLリンク(ultraantivirus2009.com)
実行するとProgram FilesにUltlaAVってフォルダ作られるから、
タスクマネージャーからUltlaAV終了させて、UltlaAVフォルダを削除、
system32のUltlaAV.cplも削除
終了。
11:名無しさん@お腹いっぱい。
08/11/28 18:06:56
それとスペルミスには突っ込むなよ
12:名無しさん@お腹いっぱい。
08/12/03 10:22:30
マルチもなんだし、リンクで
スレリンク(sec板:973番)
ネタ。これ単体で実行できる?
[有害] URLリンク(download.bestvirusremover2008.com)
…っていうのは、俺んとこの砂箱でエラーになるから ただの砂箱避けかな
lwapi.dll がなんとか(先頭のshが抜けてる上に、kernel32のインポートとして表示する)
ちょっといまVPCのイメージとか準備してくる気力なくて。既存環境ある人よろ
13:名無しさん@お腹いっぱい。
08/12/03 15:00:08
実機でHIPS使ったけど動くよ。何してんだか分からんけど。
14:名無しさん@お腹いっぱい。
08/12/03 22:42:53
なぜかテンポラリーインターネットファイルのフォルダの数個のファイルが問い合わせされた
15:名無しさん@お腹いっぱい。
08/12/04 08:16:15
Rogueware単品は実行しても簡単に駆除できるから微妙
16:名無しさん@お腹いっぱい。
08/12/05 08:09:45
>>13
HIPSってなに使ってんだ?
SSM?
17:名無しさん@お腹いっぱい。
08/12/05 10:23:23
>>15
ネタ持ってきてた俺が、短期集中的に現状調査してたからw > インチキ/ぼったウェア
たしかに、駆除攻防としては、あんまりおもしろくはないかもしれん
あれらの中には、一応、自前で検出エンジンもどきを持ってるのがある
最近のものには、ClamAVのデータベースらしきものを持ってるのもあった
それはちょっとアレだろう、イチからデータベースパーサ書いたんだろうな?w (ClamAVはGPL)
一応、アップデートボタンがついてるのが多いんだけど、
一向にアップデートってうまくいった試しがないのな
18:名無しさん@お腹いっぱい。
08/12/08 10:56:34
URLリンク(kissho2.xii.jp)
ここからDLできるこの実行ファイルが何だかわかる方いますか?
19:名無しさん@お腹いっぱい。
08/12/08 18:08:54
>>18
宅間守ふぉーえばーっていう不謹慎ゲームみたいだけど
そんな古いファイル存在しねぇよ、それくらい確認しておけ
20:名無しさん@お腹いっぱい。
08/12/08 19:42:00
>>19
DLして実行したら、DOS画面になったんですけど
これは気にしなくて大丈夫でしょうか?
21:名無しさん@お腹いっぱい。
08/12/08 19:45:12
>>20
実行できないから何ともいえんけど問題ないとおもう
あとはググれ
22:名無しさん@お腹いっぱい。
08/12/08 20:50:51
>>18落として実行したら
DOS画面になってkkcfuncが組み込まれましたとかでるな
問題ないはず・・・多分
23:名無しさん@お腹いっぱい。
08/12/08 22:18:49
なんだこれ?
ウイルスとかではないっぽいが。
24:名無しさん@お腹いっぱい。
08/12/08 22:45:30
宅間守ふぉーえばーじゃん
25:名無しさん@お腹いっぱい。
08/12/09 08:41:48
>>24
ぐぐるとそうでるけど、落とすとちがくね?
26:名無しさん@お腹いっぱい。
08/12/09 09:34:08
落ちてこない
27:名無しさん@お腹いっぱい。
08/12/09 09:39:59
落とせますね。
まあ、危ないものではないと思います。
28:名無しさん@お腹いっぱい。
08/12/09 15:42:05
htmlが落ちてくるだけだが?
29:名無しさん@お腹いっぱい。
08/12/09 16:18:37
>>28
苦笑
30:名無しさん@お腹いっぱい。
08/12/10 09:59:28
URLリンク(1920041566:65535)
31:名無しさん@お腹いっぱい。
08/12/10 11:47:37
スレリンク(sec板:126番)
URLリンク(1920041566:65535)
簡易実行してみた 当方環境では、DLLがひとつ増え、本体とhostsが消された
アラド戦記, リネ, RO(いずれも日本鯖)の垢抜きの模様
32:名無しさん@お腹いっぱい。
08/12/10 14:40:53
書き忘れてる、これ、いつもの、Flash経由のほうのセットじゃないほう
33:名無しさん@お腹いっぱい。
08/12/10 15:08:51
バイナリ比較したら一緒だったお
34:名無しさん@お腹いっぱい。
08/12/10 15:41:08
検証ありがとうだおw > compare
35:名無しさん@お腹いっぱい。
08/12/11 10:27:27
中国のサイトで感染の疑い:IE 7にゼロデイの脆弱性、月例パッチでは未解決
URLリンク(www.itmedia.co.jp)
>>30 のjsのやつ、test3の方はこれだったのかもしれんね 別かもしれんけど
36:名無しさん@お腹いっぱい。
08/12/11 14:10:50
>>35
いや正解。中華トロイサイトのスクリプトでは
もはや標準装備になりつつある(MS06-014やFlashやReal並に)。
ところでtest3手元では動かなかったんだけど(IE7やMSXMLがQFEだから?)、
どこに何てdll落とした?
37:名無しさん@お腹いっぱい。
08/12/11 14:37:27
その後、他のサイトでも見た やっぱ生成鶴も出てるのかねw
winsys, midaeghDrv.dll ざっと見固定かな?
38:名無しさん@お腹いっぱい。
08/12/11 14:56:57
砂箱でも midaeghDrv.dll だった。なーんで発動しなかったんだか。
あのスクリプト、VistaとXPでunicodeの羅列部分は同じだけど
ターゲット側(CDATAとかある方)のimgタグは微妙に違うようですな。
39:名無しさん@お腹いっぱい。
08/12/11 16:05:10
お土産。駆除訓練にどうぞ
スレリンク(sec板:164-165番)
ネタ元は、スレリンク(sec板:159番)
上がFFXIの垢抜きかなんか。たぶん。下が常駐型のダウンローダ。
ケアレスミスで、文字列のデコードに手間取った
>>38
そこまでは見てなかったw randomizeでしょうか?w
40:名無しさん@お腹いっぱい。
08/12/11 16:06:09
× ネタ元は、スレリンク(sec板:159番)
○ ネタ元は、スレリンク(entrance板:159番)
41:名無しさん@お腹いっぱい。
08/12/12 23:54:00
>>9の下
Setup.exe.zipってのがあるぽ。
42:名無しさん@お腹いっぱい。
08/12/15 22:39:04
spoolsv経由でautorun.inf、recycledが作られる。
どういう仕組みなんだろう。
spoolsvをタスクから数回終了したらマルウェアが動かなくなってしまった。
43:名無しさん@お腹いっぱい。
08/12/15 23:18:35
>>42
URLリンク(qa.jolt.jp)
ここでも悪用されてるみたいだね
ぐぐるとspoolsvを悪用するマルウェア結構あるな。
どういう仕組みで動いてるかわからんが
44:名無しさん@お腹いっぱい。
08/12/16 22:45:58
糞スレッドぶちこまれてるとかじゃなくて?
45: 【大吉】 【1125円】
09/01/01 00:48:09
こんなスレであけおめ
46:「 【豚】 」
09/01/01 00:55:06
て酢
47:名無しさん@お腹いっぱい。
09/01/01 20:06:05
私も化粧は好きじゃないw
48:47
09/01/01 20:07:05
誤爆;;
49:名無しさん@お腹いっぱい。
09/01/04 10:19:43
IE AppCompat VPC Image v4.2: This VPC image will expire in April, 2009 URLは>>6と同じ
50:名無しさん@お腹いっぱい。
09/01/16 19:23:26
お願いします
URLリンク(home.arcor.de)
51:名無しさん@お腹いっぱい。
09/01/16 21:39:13
>>50
ただの英語版WinNY
問題なし
52:名無しさん@お腹いっぱい。
09/01/16 21:55:55
URLリンク(ftp.kaspersky.com)
↑踏んじゃったんですけど、コレなんですか?
黒い画面が不安・・・。
53:名無しさん@お腹いっぱい。
09/01/16 22:20:06
>>52
カスペルスキーのウイルス駆除ツールダウンロード画面
54:名無しさん@お腹いっぱい。
09/01/16 22:29:17
>>52
どうもありがとうございます!
55:名無しさん@お腹いっぱい。
09/01/17 21:35:37
>>50を解凍したらavastでWin32:Adware-genが検出されるんですけど。。。
56:名無しさん@お腹いっぱい。
09/01/17 23:07:29
>>55
Adwareってことは広告表示だな
ひょっとするとスパイウェアみたいに
情報収集してることも考えられるから
使わないのが吉
ちなみにうちでは解凍する前に検出
Webシールドがブロックしたわw
57:名無しさん@お腹いっぱい。
09/01/17 23:17:49
>>50
URLリンク(www.virustotal.com)
ちなみにAntiVirは反応しました
58:名無しさん@お腹いっぱい。
09/01/18 22:39:20
そのWinnyを使えば日本のWinnyにないファイルとかいっぱいダウンロードできるん?
59:名無しさん@お腹いっぱい。
09/01/18 23:41:49
さすがにスレチw 試してもやれんぞww
60:名無しさん@お腹いっぱい。
09/01/19 00:27:41
URLリンク(ipatukouta.altervista.org)
これは、なに?
61:60
09/01/19 00:47:47
踏んじゃったんだけど、ヤバイの?眠れないわ
62:名無しさん@お腹いっぱい。
09/01/19 08:21:05
>>56
誤検だろ
>>60
2ちゃん初心者か?
ホストとクリップボード晒されるだけじゃん
63:名無しさん@お腹いっぱい。
09/01/19 08:56:02
>>62
実害はそんなに考えなくていいのかありがとう
64:名無しさん@お腹いっぱい。
09/01/21 16:18:41
このウイルスの削除方法おしえてください
URLリンク(www3.uploda.org)
65:名無しさん@お腹いっぱい。
09/01/21 17:06:42
>>64
404だから教えようがない
66:名無しさん@お腹いっぱい。
09/01/21 18:03:08
>>65 すいません
URLリンク(www3.uploda.org)
67:名無しさん@お腹いっぱい。
09/01/21 19:24:34
>>66
WINDOWSフォルダーにあるunvise32.exe
Lucy.exe、実行元のReadme.exeをセーフモードで削除
その他ZIPファイルも削除推奨(ZIPに感染する)
またUSBなんかをパソコンに繋ぐとこれも感染してしまうのでUSBメモリー類は
駆除完了するまで使用しないほうがいい
68:67
09/01/21 19:26:53
ちゃんと解析してないからあてにしないように。
update.exeってやつがあったような・・・
69:名無しさん@お腹いっぱい。
09/01/21 21:26:59
>>67 ありがとうございます
結構、やばいですかこのウイルス?
70:名無しさん@お腹いっぱい。
09/01/21 23:57:12
>>69
やばいかはわからないけど、いいことはない
正直リカバリー推奨しておく。
USBメモリぶっさして、Autorun.infとreadme.exeが作られなきゃ問題なしかも
(隠しファイルとシステムファイル表示する設定にして)
71:名無しさん@お腹いっぱい。
09/01/23 03:22:46
URLリンク(japan.sarashi.com)
踏んでしまい、すぐ閉じちゃったんですが
これは何でしょうか?
72:名無しさん@お腹いっぱい。
09/01/23 04:49:17
>>71
URLリンク(www.aguse.jp)
情報商材屋の怪しいページ
URLリンク(gw.aguse.jp) で確認すると全文見れるよ
73:名無しさん@お腹いっぱい。
09/01/23 08:47:46
>>72
ウイルスとかではないみたいですね。
ありがとうございました!
74:名無しさん@お腹いっぱい。
09/01/23 23:40:50
>>70 今からやってみます。
ありがとうございます
75:名無しさん@お腹いっぱい。
09/01/31 04:39:26
URLリンク(sig.azarea.jp)
風来のシレン女剣士アスカというゲームの非公式パッチなのですが
virustoralで調べると60%程の確率でウイルスと表示されます。
このパッチを使用している人は多いようなのですが
私としてはウイルスの可能性も捨てきれないため
本当に安全なものか調べて欲しいですorz
76:名無しさん@お腹いっぱい。
09/01/31 08:42:11
マイナーなpackerだからということか、各社一斉に警告が出ています
URLリンク(www.virustotal.com)
本体が、よくわからない保護がかかっているので、(アンチウイルスエンジンが)鑑定いたしかねます、
イマドキ、疑わしき物はクロ。という判定がなされているということです
で、保護を解除して、再度virustotalに投げます (409634/416000)
URLリンク(www.virustotal.com)
ゲーム本体を検索して、パッチする部分が、ウイルスとさして変わらん。と判定されているのかもですね
ぱっと見に、ネットにアクセスするコードというのは見つかりませんでしたが、
こんなものはいくらでも隠蔽ができますので、完全な安全判定というのはいたしかねます >>2
少なくとも、これだけ広範にクロ判定にならないパッカに、替えてもらったほうがいいかと
77:名無しさん@お腹いっぱい。
09/01/31 19:13:56
ですよねえ・・・。
非常に便利なツールらしいのですが
気になってプレイはしたくないので入れないことにします
調べてくださってどうもでした!
78:名無しさん@お腹いっぱい。
09/02/08 11:20:49
>>75
やべえ俺これ使ってるわ・・・。
クリーンインスコし直しとくか・・・。
79:名無しさん@お腹いっぱい。
09/02/08 12:31:01
無害とは言い切ってないのですが、有害とも言い切ってないのです
exe鑑定のひとつの姿勢は、「完全に安全なexeの保証などありえない。」というものです >>2
しかし、使いたい。
そんなときのために、VMとか、砂箱とか、そんなものを併用するわけです
80:名無しさん@お腹いっぱい。
09/02/08 14:09:05
ゲームのパッチにVMとかうまく使えなくない?
色々制限されるっつーか。
81:名無しさん@お腹いっぱい。
09/02/09 00:26:09
併用するソフトによる もちろん、パッチ対象のソフトによっては、どうにもしようがないこともあるかも
82:名無しさん@お腹いっぱい。
09/02/09 02:35:50
>>75のパッチってこのゲームやってる人ならほとんどの人が当ててるようだな。
(スレやプレイ動画より)
誤検出ってことで片付けてるけど・・・ちょっと怖いよね。
83:名無しさん@お腹いっぱい。
09/02/09 10:17:08
どうして誰も検体提出しないんだろうねえ
84:名無しさん@お腹いっぱい。
09/02/09 12:21:56
ネトゲチート厨なんかどうでもいいからさ
85:名無しさん@お腹いっぱい。
09/02/09 17:54:47
検体提出が相当ぽいときは、検出可否スレに(レスへのリンク形式で)送ってるからw
86:名無しさん@お腹いっぱい。
09/02/10 00:09:03
どこがネトゲやねんw
87:名無しさん@お腹いっぱい。
09/02/21 20:07:00
URLリンク(online.w84.okwit.com)
最近ネトゲのしたらばによく貼られているんですが、踏んだらヤバイですか?
88:名無しさん@お腹いっぱい。
09/02/21 20:16:17
連スレすいません。
URLリンク(www.skywebsv.com)
こいつも貼ってありました。スレ読んでるとキーロガみたいなんですが。
89:名無しさん@お腹いっぱい。
09/02/21 22:28:09
>>87 着手、有害確定 もうすこし詳しい情報を、後に追加します
90:名無しさん@お腹いっぱい。
09/02/21 22:47:14
>>88 着手、有害確定 もうすこし詳しい情報を、後に追加します 少なくともパス抜きですね
91:名無しさん@お腹いっぱい。
09/02/22 00:06:53 BE:1855476487-2BP(0)
>>87
なにか釣り動画がはいってます それに気を取られているうちに、ウイルスに感染します
踏んでみたところ、さらに、外部鯖に指示を取りに行っているようです 追加感染のおそれがあります
内容的には昔からあるものなのですが、新作の亜種であり、検出できないセキュリティソフトも結構あるようです
※汎用のルートキットが使用されているようです 一部の無料点検サイトでは、検知できない恐れがあります
※ServiceDllとして動作しているため、有害プロセスは、純正exeであるsvchostのどれかに紛れ込みます
>>88
RedStoneのバナーとともに、ウイルスが含まれています
主に韓国ネトゲ鯖の垢抜きのようですが、一部日本鯖も対象になっています
内容的には昔からあるものなのですが、新作の亜種であり、検出できないセキュリティソフトも結構あるようです
>>1 の検出可否スレには通報済みです
92:名無しさん@お腹いっぱい。
09/02/22 22:05:28
>>91
どうもありがとうございました。
知り合いで踏んでしまった者がいるので、再インストールすすめておきます。
93:工学部
09/02/26 06:41:40
卒論でウィルスについて研究したいのですが、テーマが決まらなくて困ってます
何か、こんなことやってみてほしい(試してほしい)ってことないでしょうか?
卒論ですので、多少時間のかかることでもいいんですが・・・
ヒントお願いします
94:名無しさん@お腹いっぱい。
09/02/26 10:56:37
>93
そんなことも自分で決められないようなら留年しとけ。
95:工学部
09/02/26 14:31:16
正論
96:名無しさん@お腹いっぱい。
09/02/27 09:29:23
>>93 最近のウイルス感染PCからの、効率的な除去方法
97:名無しさん@お腹いっぱい。
09/02/27 13:15:06
URLリンク(you0idiot.web.fc2.com)
98:名無しさん@お腹いっぱい。
09/02/27 13:26:57
ふつうにブラクラ いやというほどメモリ食って重くなりそうって意味では、破壊力ある
99:名無しさん@お腹いっぱい。
09/02/27 20:08:55
URLリンク(www1.axfc.net)
これなに?
100:名無しさん@お腹いっぱい。
09/02/28 08:15:05
今北 もうない
101:名無しさん@お腹いっぱい。
09/02/28 22:53:30
URLリンク(www1.axfc.net)
pass rfat
よければ鑑定も
102:名無しさん@お腹いっぱい。
09/03/01 00:20:58
これは、踏んだところで、アトランティカの垢持ってないわけですが。
よくよく考えたら、まして、鯖管に見抜かれる危険までわかるわけないし
安全判定不可
まあ一応踏んだことだけ知らせておきます エントリポイント 4a7b2c
パッカの砂箱検出うざい 本体も、DelphiかBCかなんかで書かれているようです
踏んだ途端に読みに行っているのは、
URLリンク(www.hl777.com)
URLリンク(www.hl777.com)
みたいです 内容は、あくまでテキスト。
103:名無しさん@お腹いっぱい。
09/03/01 00:21:34
しまった誤クリしてたみたいでageてしもた
104:名無しさん@お腹いっぱい。
09/03/01 01:15:38
>>101
BOTの類に罠仕込まれてない訳ないだろ。鑑定するまでもない。
>>1
>※ 依頼には制限があります: >>2-10 あたりをお読みください 【自動鑑定サイトも掲載しています】
>>2
>・割れの幇助には消極的な人が多いです 割れやkeygenやパッチを貼るのは自由ですが、
>引き受け手は少ないかもしれません その場合は、見かけ上スルーになります
ゲームの不正ツールだし、放置推奨。
105:名無しさん@お腹いっぱい。
09/03/01 09:34:59
URLリンク(www.ultimet-virus)
この見るからに怪しげなやつを踏んだのですが大丈夫でしょうか?
106:名無しさん@お腹いっぱい。
09/03/01 10:21:24
>>104
升ツールに見せかけたマルウェアだったら、それはそれでそう書くし
でも、普通に升ツールみたいっすね
server.exeが何してるんかなーとは思ったわけだが
BOTを発生させながら、トロイにもなる構成を想像してみた
まあわからんけどな いかんせん日本語じゃないし
>>105
unable to resolve host address `www.ultimet-virus'
よくあるびっくりURLか、誤転記 落とせませんてこと
107:名無しさん@お腹いっぱい。
09/03/01 10:43:49
>>106
無害と言うことですね?
お手数おかけしました、ありがとうございます
108:名無しさん@お腹いっぱい。
09/03/26 18:47:41
URLリンク(yaplogjp.com)
最近やたらと貼られてるんですが鑑定お願いできないでしょうか
109:名無しさん@お腹いっぱい。
09/03/26 19:31:11
>>108
スレリンク(pcqa板:68番),69
McAfeeの削除ログ
トロイの木馬 が自動的にブロックされ、削除されました。
この トロイの木馬 について
検出済み: ObfuscatedHtml (トロイの木馬)
110:名無しさん@お腹いっぱい。
09/03/26 23:20:38
www.girl-box.net/lib/contents_act.php/video8739932900
ワンクリウェアです。
インスコマーン!
参考情報
URLリンク(www.virustotal.com)
URLリンク(research.sunbelt-software.com)
111:名無しさん@お腹いっぱい。
09/03/27 00:34:49
>>109
ありがとうございました
112:名無しさん@お腹いっぱい。
09/03/27 23:24:38
砂箱で実行してもスルー(なにもしないで終わる)だな…。バレてるか、相性が悪いようだ
ひまんなったらつついてみよう
インスコマーン!
113:名無しさん@お腹いっぱい。
09/03/29 00:58:26
いまどき砂箱検知・デバッガ検知はあたりまえだしな
114:名無しさん@お腹いっぱい。
09/03/30 13:17:48 BE:265068342-2BP(0)
んで、みてみた
8739932900 の部分に対応したクッキを受け取っていないと、スルーになるもより
ちなみに、対応するIDは、X0H0000 (数字は潰し)
クッキは、wininetを通さずに、SHGetSpecialFolderLocation(CSIDL_COOKIES)で直接見に行っているらしい
IE以外だったら、これだと、実行がすすまなかったりするんかね
115:名無しさん@お腹いっぱい。
09/04/04 23:16:55
スレリンク(news板)
踏んでくれる有志がいたら頼む
116:名無しさん@お腹いっぱい。
09/04/04 23:37:23
よくわからないけど、こちらへどうぞ。
勇気がなくて踏めない人のための鑑定スレPart19
スレリンク(hack板)
117:名無しさん@お腹いっぱい。
09/04/05 02:39:12
通報しといた
スレリンク(sec板:369番)
子EXEを吐くのかな ちょっと調べてみる
118:名無しさん@お腹いっぱい。
09/04/05 03:49:45 BE:1192807049-2BP(0)
途中まで読んだ
とりあえず、感染を試みると、%windir%\system32\sqlsodbc.chm ができるようだ
119:名無しさん@お腹いっぱい。
09/04/05 09:51:06
あと、感染したら、regedit.exe が起動できなくなる。かもしれん。
ポリシいじられるんじゃなくて、名前で拒否されてるから、
regedit.exe をx.exe とかにコピーして実行すればいけるかと
120:名無しさん@お腹いっぱい。
09/04/05 22:02:19
>>118
元々ある。PC2台のファイル比較したら同じだった。
121:名無しさん@お腹いっぱい。
09/04/05 22:35:50 BE:397602634-2BP(0)
MDAC2.6とかに もとからあるファイル名みたいですね、紛らわしい名前つけやがってと思ったら、
正規ファイルをこっそり上書きしちゃう(かもしれない)のか…。了解です
122:名無しさん@お腹いっぱい。
09/04/08 00:38:55
(1)感染したWebページをひらく
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
(3)IP/UAで振り分け処理(Vistaは大丈夫そう?)
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
(5)bufferOverrunでウィルス本体の起動を試行
以下が問題のURL、
"id=2"はpdfの脆弱性を利用し、
buffer overflowを引き起こさせ感染を試みる。(Adobe Collab overflow)
"id=3"はswf(Flash)の脆弱性を利用しoverflowを引き起こさせ、感染を試みる。
いずれも最新のFlash Playerの導入とPDF Readerを入れていれば問題なし(?)
hxxp://94.247.2.195/jquery.js
hxxp://94.247.2.195/news/?id=100
hxxp://94.247.2.195/news/?id=2
hxxp://94.247.2.195/news/?id=3
リンクは切れており現在無害(当環境では)
以下のリンクは生きており感染実験希望の方はドゾ
★危険ですので注意
hxxp://94.247.2.195/news/index.php
少しわかってること:
WINDOWSの正規ファイルを上書き(?)する可能性大
Anubisレポート
URLリンク(anubis.iseclab.org)
123:名無しさん@お腹いっぱい。
09/04/08 00:40:14
↑これでGENOウイルススレ立てて
124:名無しさん@お腹いっぱい。
09/04/08 01:16:04
p://でも専用ブラウザだと勝手にリンク貼るから、スペース挟むなりしろよボケ
125:名無しさん@お腹いっぱい。
09/04/08 01:25:45
いまとなっては対処済みですが、
感染後は、あらゆるプロセスを乗っ取って、垢を抜こうとするのは確認済みです
まあ、叩いてなんぼの2ちゃんなので、
geno-webも素人じゃあるまいし、だめだろ。ってことで
>>124 これごく最近までしらんかったんよな
126:名無しさん@お腹いっぱい。
09/04/08 01:50:37
>>124
うちの専用ブラウザだとttp:はリンクになるけど、p:まではやらないな。一部のソフトのみのことを一般論にすんなよ。
マルウェア情報系のとこでもhxxp:への置き換えはよくみかけるし、>122はそのままでいいんじゃね。
127:名無しさん@お腹いっぱい。
09/04/08 01:53:44
jane doe styleだとリンクらない
128:名無しさん@お腹いっぱい。
09/04/08 04:14:24
ギコだとリンク扱いになる
えっちだめだめピーコロンすらすらアドレス
のピー以降がアンカーになる
129:名無しさん@お腹いっぱい。
09/04/08 04:15:33
あや
× アンカー
○ リンク
130:名無しさん@お腹いっぱい。
09/04/08 07:16:17
どっかのローカルルールを継承してるんだと思うんだが、このスレきて半年やそこらの新人にはわからん罠
これならどうだ?(まじで) ttp://www.google.com
131:名無しさん@お腹いっぱい。
09/04/08 07:43:02
>>130
ギコなら、すらすら以降もリンクになる。
大体、セキュ扱うなら、ピリオドは●とか。に替えて貼り付けたほうが良い。
132:名無しさん@お腹いっぱい。
09/04/08 08:01:56
>>130
doeリンクってない
133:名無しさん@お腹いっぱい。
09/04/08 08:05:37
でも他のスレのh抜きはリンク扱いになってるな
それ小文字pが全角だからか
134:名無しさん@お腹いっぱい。
09/04/08 08:36:42
積極的に踏む人とか、通報に書き添える奴は、s/●/./g を手動でせにゃいかんわけだ
それくらいやれよと言ってもいいんだが、なんかこう、受け側の手間のかからん方法でいきたいんだな
ああそれと、あとから来て検索するヤツに、ひっかけてもらいやすいかなあとか
んで、すらすらだけでダメなんかw すらすらに代わる、見た目もナイスな、なんかいい記号ないかなーw
135:名無しさん@お腹いっぱい。
09/04/08 09:16:40
http:〃www.2ch.net
http:∬www.2ch.net
こんなとこか
136:名無しさん@お腹いっぱい。
09/04/08 09:31:53
h抜きの表記は、リンク先に2ch鯖から該当リンクに問い合わせが行くから、
負荷・トラフィック・コストの面で推奨されいてない。
>>135
それも、ギコだとリンクになる。
137:名無しさん@お腹いっぱい。
09/04/08 09:51:33
リンク先をプリフェッチするブラウザもあるからなぁ。
138:名無しさん@お腹いっぱい。
09/04/08 11:46:03
ええい、ぎこは過敏じゃwww
…こんどソース覗きにいくかw ネタ的に意地になってきたw
139:名無しさん@お腹いっぱい。
09/04/08 14:38:43
ギコナビでは以下の文字列を含むとリンクと見なします
http:// , http:// , http:// , p:// , www.
1ユーザーの意見としては、この辺りの動作は覚悟してギコナビ使っているので
危険なアドレスを貼る時は各個人が用いているブラウザの仕様に従って
文字列を改変してくれればいいと思ってます。他を気にしてたらきりが無いのでは
個人的には//か www.の後にスペース挟むか
wwwをwwwに置き換える等の方法を採っています
140:名無しさん@お腹いっぱい。
09/04/08 14:43:02
www. も対象か、これは盲点 まじおつ 頭にいれておこうっと
141:名無しさん@お腹いっぱい。
09/04/08 15:31:07
これはどうだろう
http://www.google.com/
…逆に不便かもしれない
142:名無しさん@お腹いっぱい。
09/04/08 16:53:58
ぶっちゃけぎこを無視するのが無難な解決策かと。
143:名無しさん@お腹いっぱい。
09/04/08 21:54:01
(見た目で) ww-w.google.com っていうドメインなのかなとおもっちゃうなそれw
144:名無しさん@お腹いっぱい。
09/04/08 22:44:55
●は無視してね←みたいな但し書きを冒頭につけて
ww●w.xxxxx
みたいな書き方はどうだろう
145:名無しさん@お腹いっぱい。
09/04/09 11:45:20 BE:463870027-2BP(0)
www. とついてなければ、ttp:// を使って、www. とついてれば、TLDに。 を入れてみることにしよ
www. を検地するんだぜ!ってのは収穫だった
146:名無しさん@お腹いっぱい。
09/04/25 17:41:52 BE:1126541039-2BP(50)
晒しage
147:名無しさん@お腹いっぱい。
09/04/26 04:43:59
Googleで「サポート ロシア語」で検索して最初に出てくるこのサイト、おかしいんだが…
URLリンク(hanaseru-online.com)
148:名無しさん@お腹いっぱい。
09/04/26 07:16:37
>>147
おかしいと言われてもな。
攻撃スクリプトが有るくらいだ。ドメインが死んでるみたいで実行ファイルも落ちてこねーし。
149:名無しさん@お腹いっぱい。
09/04/26 07:31:37
肝心のブツがおいてある鯖がつながらん、というか、nslookupでひっかかるな、同感
150:名無しさん@お腹いっぱい。
09/04/28 08:08:40
URLリンク(kickback.cc)
何これ怖い、、、
よろしくお願いします
151:名無しさん@お腹いっぱい。
09/04/28 08:13:37
ただのブラクラ
152:名無しさん@お腹いっぱい。
09/04/28 08:15:39
>>151
ありがとう
153:名無しさん@お腹いっぱい。
09/05/05 23:06:28 BE:331335252-2BP(0)
直リンスレより 出先につき内容確認はしてない
Windows XP Mode Beta
URLリンク(www.microsoft.com)
URLリンク(download.microsoft.com)
URLリンク(download.microsoft.com)
※IEの互換テストvhdが、4/30過ぎても次出てないぽいことからして、これ関係してるかもしれんと思って貼る
154:名無しさん@お腹いっぱい。
09/05/06 19:52:20
更新でた
URLリンク(www.microsoft.com)
URLはおなじ。
155:名無しさん@お腹いっぱい。
09/05/20 23:01:07 BE:298202033-2BP(0)
とりあえずGENO系ウイルスの簡易検出ツールを関係スレひとつに投げてきたが…
…そいつが落としてくるバックドア(別モジュールだそうな)も検出しないといかんかな
踏みたいんだがどれなんだろう
156:名無しさん@お腹いっぱい。
09/05/21 00:45:06
>>155
既に配布サイトが閉鎖したので、現時点では落ちてこないですよ。次の攻撃をお待ちください?
157:名無しさん@お腹いっぱい。
09/05/21 00:56:08
すこし前のやつとか、taneにあがってないかな…。id=10 のEXE は手持ちがある
158:名無しさん@お腹いっぱい。
09/05/21 01:00:43
>>157
検出可否スレに上がってたのをまとめて整理した奴を昨晩辺りUPしといた気がする。infectedな。
0505だかどっかに別件のzipが混入してるのは無視してくれ。
そこに入ってないexeあったら、taneに上げといて。提出しとくから。
159:名無しさん@お腹いっぱい。
09/05/23 08:30:31
URLリンク(ynct-denken.hp.infoseek.co.jp)
で紹介されているuvdt5ps.exeというウイルス駆除ツールが
バスターコーポで怪しいファイルと警告が出るようになった。
誰か調べてくれ。
daunload↓
URLリンク(ynct-denken.hp.infoseek.co.jp)
160:名無しさん@お腹いっぱい。
09/05/23 09:20:16
>>159
そういう時は、まずVTを利用する
URLリンク(www.virustotal.com) (1/40)
で、トレンドマイクロの説明
URLリンク(www.trendmicro.co.jp)
正直、バスターのヒューリスティックで誤検出してる臭い。
バスター使ってないから対処する気無いけど、気になるなら 対応方法→問い合わせフォーム からトレンドマイクロに
ファイルを送っておくと、誤検出しないように対処してくれるかもしれない。
161:名無しさん@お腹いっぱい。
09/05/23 10:56:55 BE:894605639-2BP(0)
たまに、明らかに悪意があるとか、「こりゃーわからんけど、こういうこと(検出されちゃう)ってあるよ」とか
なんかわかるかもしれん みてみる
162:名無しさん@お腹いっぱい。
09/05/23 11:11:04 BE:2385612689-2BP(0)
ちょくりん ./list/UVDT5PS.zip
ざっと見、明らかな悪意はなさげだったけど(確度90%)、
同じ、autorun.inf を操作する者として、どっちもどっちということか、ヒューリスティック検出されちゃうのかもね
起動直後画面まで踏みました
…文字化けした^^; ← これは多分当方環境の削りすぎ
163:名無しさん@お腹いっぱい。
09/05/23 20:38:22
>>160,>>162
どうもありがとう。参考になりました。
結局対象のファイルを削除したけど、システム復元のせいで
\System Volume Infomation\_restore以下に入ってしまい
バスターは延々警告を出すけど削除が手動でできない状況に
陥ってしまったorz
何とか権限をつけて削除したけど、もっと簡単な方法があったのかな?
164:名無しさん@お腹いっぱい。
09/05/23 21:50:51
雑談。その件運用面的に詳しくないけど、思うに、
自分で権限つけて削除できるなら、実はそれが一番なのかも
他の復元項目(バイナリ、レジストリ、システムDB)は生かしておけるわけだし
普通、権限操作なんて頼めないものなので、リポジトリごとあぼんしてくださいとしか
言えないものです 特に、XPHomeとかだったりすると厄介です
機会があれば、作者さんに連絡できるといいですね
ヒューリスティックでグレー判定食らってますよと。
何か作者側の対策で回避できることもありますので
165:名無しさん@お腹いっぱい。
09/05/27 17:26:05
むぅ
166:名無しさん@お腹いっぱい。
09/06/27 08:14:15 BE:695804437-2BP(0)
普通にmpg.scrですた 同梱の釣り動画も相変わらずのアレ。
なんていうか、速度スクリューとか全然関係ナスww
167:名無しさん@お腹いっぱい。
09/06/27 08:15:30 BE:596402892-2BP(0)
誤爆
168:名無しさん@お腹いっぱい。
09/07/07 11:46:33 BE:530137128-2BP(0)
踏んでみる? 元ネタ: スレリンク(hosting板:31-32番)
空白消しで: URLリンク(18) 56 31 77 99:888/f.gif
169:名無しさん@お腹いっぱい。
09/07/07 15:04:23
>>168
ふつ〜にウイルスが検知されてブロックされますた。いじょ。
170:名無しさん@お腹いっぱい。
09/07/08 10:31:27 BE:1391607667-2BP(0)
それじゃあ検出可否じゃねーかw
zxshell とかいうものらしい 挙動のランダム化があるかもしれんから参考程度だが、当方環境では、
system32 にUPX がかかったDLL がひとつでき、6to4 とかいう名前のサービスとして登録されようとした
それがうまくいかないと、netsvc_******** という名前のサービスを作ろうとしていた
171:名無しさん@お腹いっぱい。
09/07/08 18:36:14 BE:397602926-2BP(0)
起動して、いくらか確認をしたあと、
jpyy.meibu.com:53, www.jpyy.meibu.com:53 に【TCPで】接続しようとする
hosts に書いておいて、IPをつなぎかえれば、被害を低減できるかも
172:名無しさん@お腹いっぱい。
09/07/09 07:11:16 BE:1159672875-2BP(0)
DLL名は、mnpse.dll これは、exe内で決め打ってるみたいだ(エンベロープのexeが変われば変わる)
ランダムだと思ったら、そうじゃないみたい
接続先は、DLLの末尾にほぼそのまんま書いてあることもわかった
173:名無しさん@お腹いっぱい。
09/07/11 08:17:33
exeの更新があったもより
174:名無しさん@お腹いっぱい。
09/07/11 13:57:30
どのexe?
175:名無しさん@お腹いっぱい。
09/07/11 22:19:12
>>168-172の
176:名無しさん@お腹いっぱい。
09/08/08 01:54:31
これ最近垢ハック横行してるMMOのスレに貼ってあるやつだけどあぶないですか?
よろしくお願いします。
URLリンク(www.youtube.com)
177:名無しさん@お腹いっぱい。
09/08/08 16:06:58
踏んで広告からなんか出てきたら、SSでも貼ってくれ それだけではわからん FLVは観てない
178:名無しさん@お腹いっぱい。
09/08/09 02:59:57
某MMOのスレ立てしたやつが貼っていたものです。
どうやら、こいつはそこら辺にウィルス貼りまくってるようですが、
これもそれに該当するんでしょうか?
URLリンク(www.muswou.com)
179:名無しさん@お腹いっぱい。
09/08/09 10:43:41
おなじみ1199.exe てか、耐えられないくらい重かったぞ、ダウソがw
180:名無しさん@お腹いっぱい。
09/08/09 11:37:15
重いどころか、まともに繋がらん(´・ω・`)諦め
181:179
09/08/09 23:58:45 BE:695804437-2BP(0)
ガチ収集してるなら、1199.exe だけうpするけど
182:名無しさん@お腹いっぱい。
09/08/10 12:58:34
このスレ開けたらアンチウイルスソフト反応したんだけど・・・。
Trojan
183:名無しさん@お腹いっぱい。
09/08/10 14:23:42
ウイルスの直リン貼ったりもするから、そんなもんだろ ここはそういうスレ。(煽りとかじゃなく
184:名無しさん@お腹いっぱい。
09/08/10 18:28:15
URLリンク(jp.registrywinner.com)
これって…
185:名無しさん@お腹いっぱい。
09/08/10 21:05:07 BE:596403263-2BP(0)
どうでもいいものか、消さない方が無難なものまで、レジストリのあれやこれやを
大量に検出するものらしい おおかた、修復には購入が必要、とでもいうんだろうが、
当方環境では、途中から1.5GBくらいメモリ確保しはじめて、
検出画面が終わらなかった 強制終了したよ
ま、そんなようなもんだ、きっと
踏んだ記念 URLリンク(www.registrywinner.com)
The laws of the Province of Beijing, China will govern this agreement and
the software license and the usage of the software. ... you agree to submit to
the personal and exclusive jurisdiction of the courts located within
the District of Haidian, Beijing.
186:名無しさん@お腹いっぱい。
09/08/13 22:48:19
ゲームのスレに貼ってありました
URLリンク(aimeblog.com)
やはりウィルス?
187:名無しさん@お腹いっぱい。
09/08/14 17:13:34
>>186
反応した
Expoloit と Trojyan
188:名無しさん@お腹いっぱい。
09/08/14 17:32:11
>>186
NortonSafeWeb
URLリンク(safeweb.norton.com)
McAfeeサイトアドバイザ
URLリンク(www.mywot.com)
PandaWOT
URLリンク(www.mywot.com)
189:名無しさん@お腹いっぱい。
09/08/19 23:43:45
ここで直接聞くことではないんだが質問。
あ、スレチでしたらスルーで。
最近AIONというMMOが正式に始まったのですが、垢ハックが横行しています。
あやしいリンク踏んでないとか、このゲームのためにPC新調してこのサイトしか行かないとか。
それなのに被害は一向に止まらないと。
カキコミを見ていると、公式にセキュリティーソフトが反応したものもあるそうです。
ここにいる方は、ウィルスにかなり長けている方とお見受けしています。
公式リンク貼り付けて起きますので、よろしかったら調べてください。
URLリンク(aion.plaync.jp)
190:名無しさん@お腹いっぱい。
09/08/20 08:49:59
雑談として。
とりあえずnProなのね
nProはThemidaで保護されてたから、ちょくちょくヒューリスティックにひっかかるのはみかけた
蔵のプロトコルに、総当たりに弱い仕様があるんじゃないかな
どういうログイン手順かわからんが、パスワードが推測可能なものはやめとけ。
ログインIDが、悪意を持った仲間に筒抜けってケースを考えてみたらいい
巨大な蔵を解析しようという気にはなれないが、まあDLだけしてみるか
191:名無しさん@お腹いっぱい。
09/08/20 08:51:02
あれっなぜsageになってない?? 手が当たったか すまそ
192:名無しさん@お腹いっぱい。
09/08/20 09:37:25
> セキュリティーソフトが反応した
なんと反応したのかkwsk
193:名無しさん@お腹いっぱい。
09/08/20 11:53:40
nProが引っかかっただけだろ
チョンゲやるような奴なんざ放っとけ
194:名無しさん@お腹いっぱい。
09/08/20 20:53:20
>>193
クライアントを立ち上げたところで反応でなくて、
公式にあるパワーwikiってところを閲覧しただけで反応したってカキコミだったかな。
195:名無しさん@お腹いっぱい。
09/08/20 23:41:03 BE:198801623-2BP(0)
パワーwikiとやらにウイルスがいたとして、そいつを捕獲してもってくれば、
exeをばらしてみるなりなんなりする奴もいるだろうね
しっかし、公式サイトのトップにつなぐだけでcab2個
こいつが、なぜか%windir%直下にunicowsを入れる
ダウンローダはさらに別個とな
住民は、蔵のちょくりんとか知ってるのかな 普通にhttpだったけど
NCの垢のスクリーンネームとIDがおんなじだったら、スクリーンネームは平文で奪取し放題だよねこれ
196:名無しさん@お腹いっぱい。
09/08/21 00:15:26
>>189
感染してるの?
このサイト
ソフト反応したけど
197:名無しさん@お腹いっぱい。
09/08/21 00:44:46
>>196
感染してない。公式は安全。
198:名無しさん@お腹いっぱい。
09/08/21 07:24:00
AION垢ハックについて質問した者です。
みなさん、スレチにもかかわらず色々な検証していただいてありがとうございました。
ここの住人の方の検証で公式が安全ということがわかりました。
今後、セキュリティーソフト(ノートン2009)が反応しましたら、
ここで伺いますのでよろしくお願いします。
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5399日前に更新/91 KB
担当:undef