【鑑定目的禁止】検出可否報告スレ9
at SEC
1:名無しさん@お腹いっぱい。
09/01/15 16:56:36
@はじめに
各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うpろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう
前スレ
【鑑定目的禁止】検出可否報告スレ8
スレリンク(sec板)
●専用アプロダ推奨↓
URLリンク(tane.sakuratan.com)
●検体提出先まとめWiki
URLリンク(rosafe.rowiki.jp)
各ベンダーの検体提出先(Webフォーム、メールアドレス)、検体提出方法、推奨される文例、検体提出時の注意事項が掲載されています。
2:名無しさん@お腹いっぱい。
09/01/15 16:58:14
A議論や意見のまとめ
・圧縮ファイルと検出数
exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。
・DOSウイルス禁止
大昔のウイルスを集めてきても無意味なことがあります。
・パスなしZIPをパス有りLZH(またはRAR)で
安全性と利便性のため、上記の手法を推奨します。
・淡々とやれ淡々と!
淡々と貼り、淡々といきましょう。
・ブラクラ禁止
ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません。
・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 という意見もあり。
・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、提出していない旨記載。(ベンダーに多重送付を避けるため)
・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
・スレ違いでもめる(2スレ目以降)
・あらしはスルー。ソフトの優劣の議論は別スレで!(下記スレなど)
一番いいセキュリティソフトはなんだ!!Part60
スレリンク(sec板)
3:名無しさん@お腹いっぱい。
09/01/15 16:59:39
【重要】
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら貢献することを目的としているスレです。
検体の悪用・不正利用は厳禁願います。
●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。
●検体確認は自己責任でお願いします。感染しても責任は一切持ちません!
※◆W32/Vael.oは信頼できるコテさんです。
★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。
・VIRUSTOTAL (VT)
URLリンク(www.virustotal.com)
・VirScan
URLリンク(www.virscan.org)
・Jotti
URLリンク(virusscan.jotti.org)
※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。
4:名無しさん@お腹いっぱい。
09/01/15 17:03:51
●新種・亜種ウイルスを発見した場合のサンプル提出先
(未検出の場合はとにかく提出しましょう)
シマンテック (ノートン)
Symantec Security Response USA 〔Upload a suspected infected file〕
URLリンク(submit.symantec.com)
ウイルスバスター(トレンドマイクロ)
URLリンク(inet.trendmicro.co.jp)
バスターユーザー以外は
;URLリンク(www.trendmicro.com)
URLリンク(subwiz.trendmicro.com)
マカフィー
URLリンク(www.nai.com)
ESET NOD32アンチウイルス
URLリンク(www.eset.com)
V3ウイルスブロック(アンラボ)
URLリンク(info.ahnlab.com)
ウイルスドクター
URLリンク(www.virusdoctor.jp)
5:名無しさん@お腹いっぱい。
09/01/15 17:04:21
Rising(ウイルスキラー)
URLリンク(up.rising.com.cn)
Rising(ウイルスキラー)英語版
URLリンク(sample.rising-global.com)
Dr.WEB
URLリンク(drweb.jp)
ソフォス(Sophos)
URLリンク(www.sophos.co.jp)
F-Secure (エフセキュア)
URLリンク(www.f-secure.co.jp)
kaspersky(カスペルスキー)
URLリンク(www.kaspersky.co.jp)
一番下の「新しいウイルスをお知らせ下さい」
バイロボット(hauri、ViRobot)
URLリンク(www.hauri.net)
キングソフト・アンチウィルス
URLリンク(www.kingsoft.jp)
6:名無しさん@お腹いっぱい。
09/01/15 17:04:43
BitDefender
URLリンク(www.bitdefender.com)
Avira AntiVir
URLリンク(www.avira.com)
ewido (AVG;Anti ;Spyware)
URLリンク(www.ewido.net)
AVG
URLリンク(www.grisoft.cz)
URLリンク(www.grisoft.com)
avast!
URLリンク(www.avast.com)
eTrust
URLリンク(www.caj.co.jp)
F-PROT;
URLリンク(www.f-prot.com)
eSafe
URLリンク(www.aladdin.com)
a2(a-squared)
URLリンク(www.emsisoft.jp)
7:名無しさん@お腹いっぱい。
09/01/15 17:05:03
Microsoft(マイクロソフト)
URLリンク(www.microsoft.com)
ウイルスセキュリティZERO (K7Computing)
URLリンク(k7computing.com)
ウイルスチェイサー
URLリンク(www.viruschaser.jp)
8:名無しさん@お腹いっぱい。
09/01/15 17:08:13
以上 テンプレここまで
-----------------------------------------
テンプレ(>>1->>7)、検体提出先(>>4->>7)の変更・追加あれば、>>8にレスする形で指摘よろ。
変更点
・Jottiを加えた。 >>3
・ウィルスセキュリティ(K7Computing)については重複していたので、>>7に記載、検体提出先を正しいものに変更
・HAURIについては重複していたので、>>5に記載、検体提出先を正しいものに変更。
・「検体提出先まとめWiki」を加えた。>>1
・検体結果SSのお願いをテンプレから削除。
・怪しいURL鑑定スレではないことを追加。
・その他
足早にスレ立てしたので確認よろしく。
9:名無しさん@お腹いっぱい。
09/01/15 17:10:40
>1 otu
hosyu
10:名無しさん@お腹いっぱい。
09/01/16 15:15:17
>>8
>>4のESETの検体提出先は「404 Page Error」なんですが・・・・
あと>>6のBitDefenderの提出先もあれじゃどこにあるのかわからない
ここら辺も正しいものに変更希望
11:名無しさん@お腹いっぱい。
09/01/16 15:37:43
>>1-8 乙
>>9 確認します。
前スレ1000埋まりそうなので、前スレでアップロードされた最近の検体3体(返答専用)
12:名無しさん@お腹いっぱい。
09/01/16 15:38:07
934 名前: ◆W32/Vael.o [sage] 投稿日:2009/01/13(火) 18:37:05
URLリンク(www.tane.sakuratan.com)
Malware-Pack55
例によってMcAfeeには提出済み
13:名無しさん@お腹いっぱい。
09/01/16 15:38:28
967 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/01/15(木) 13:18:10
URLリンク(tane.sakuratan.com)
virus
14:名無しさん@お腹いっぱい。
09/01/16 15:38:56
BitDefender
送付先1:
support(あっと)bitdefender.com
URLリンク(beta.bitdefender.com)
下記の選択肢を選ぶ
-->Fight against malware
+-->Improving Detection
下記の文書を選ぶ
-->What to do when BitDefender does not detect malware
送付先2:
virus_submission(あっと)bitdefender.com(2MBまで?)
URLリンク(forum.bitdefender.com)
15:名無しさん@お腹いっぱい。
09/01/16 15:39:16
989 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/01/16(金) 14:28:41
URLリンク(tane.sakuratan.com)
virus
16:名無しさん@お腹いっぱい。
09/01/16 16:19:57
>>4
V3ウイルスブロック(アンラボ)
リンクが404
・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答
(詳細は>>1の提出先まとめの末尾参照)
Ahnlab Customer(AhnLab-V3) <ahnlabcustomer@ahnlab.co.jp>
・アンラボ(韓国)にはフォームあり。最近はエラーで送れない。
URLリンク(kr.ahnlab.com)
・アンラボ(グローバル/鯖は韓国)からは、専用のAhnReportを使用するよう指示されている。
URLリンク(global.ahnlab.com)
ESET
URLリンク(training.eset.com)
>>7のウイルスチェイサーに関する補足事項に下記を1行追記希望
※ Dr.Webエンジンのため、Dr.Webに直接送ったほうが良い。
17:名無しさん@お腹いっぱい。
09/01/16 16:41:49
>>11
>前スレ1000埋まりそうなので、前スレでアップロードされた最近の検体3体(返答専用)
割り込みごめんなさい。orz
18:名無しさん@お腹いっぱい。
09/01/16 16:59:21
VirustotalのSymantecはパルスアップデートを適用させてるのかな?
ついさっき検出できるようになった検体がVTでも検出できるようになってる
URLリンク(www.virustotal.com)
でもVirustotalのSymantecはバージョン古いからパルスアップデートを適用させてるのはどう考えてもあり得ないし・・・(現に2009で検出できるヒューリスティック検出はVirustotalでは検出できない)
19:名無しさん@お腹いっぱい。
09/01/16 17:42:39
>>13
NortonInternetSecurity2009追加検出+1
Infostealer.Wowcraft:wow1dll.exe
9/12
20:名無しさん@お腹いっぱい。
09/01/16 19:25:06
>>15
Rising
21.21.32 (21.12.32.00)にて
sqlinject1.exe: Backdoor.Win32.PcClient.qck
upk1dldr.exe: Trojan.PSW.Win32.QQPass.qir
21.21.42 (21.12.42.00)にて
autorun1-4.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bge
mj1.exe>>65: Trojan.Win32.Nodef.zr
mj1dll.exe: Trojan.Win32.Nodef.zr
pol1.exe>>66: Trojan.Win32.Nodef.zp
pol1dll.exe: Trojan.Win32.Nodef.zp
wow1.exe>>66: Trojan.Win32.Nodef.zq
wow1dll.exe: Trojan.Win32.Nodef.zq
12/12
21:前スレ996
09/01/16 19:49:39
>>15
カスペ2009@18:47:00
5+追加検出7=12/12
Detected Trojan program Trojan.Win32.Agent.bihy tane0189.zip/wow1dll.exe
Detected Trojan program Trojan-GameThief.Win32.WOW.eki tane0189.zip/wow1.exe
Detected Trojan program Trojan.Win32.Delux.fv tane0189.zip/sqlinject1.exe
上記3つは検知後、Thank you メール受信
autorun[1-4].exeについては、カスペから今メール受信 19:44
Hello.
New malicious software was found in the attached file. Its detection will be included in the next update.
Thank you for your help.
カスペはアナリストによって、返事返すのが遅かったり、返さない場合があるからなぁ。(検知を以て回答とするみたいな)
22:名無しさん@お腹いっぱい。
09/01/16 21:43:56
ベンダーにメールで検体を提出するときに、
ヤフーメールやgooメールなどのフリーメールで検体を提出しても大丈夫でしょうか?
それともプロバイダのpopメールで提出したほうがいいのでしょうか?
23:名無しさん@お腹いっぱい。
09/01/16 22:11:11
別にいいんじゃない。
zipかrarで圧縮して送信できれば。(exeだとリジェクトされるかも)
24:名無しさん@お腹いっぱい。
09/01/16 22:16:35
>>22
フリーメールで構いません。添付さえできれば。
あと、圧縮ファイルはzip&パスワードをつけて、本文内にパスワードを記載。
ベンダによっても違うみたいですよ。
25:アプロダ”管理”人 ◆HL2fUAyECQ
09/01/16 22:29:32
>>1
オツカレ〜
26:22
09/01/16 23:17:52
>>23、>>24
ありがとうございます。
27:名無しさん@お腹いっぱい。
09/01/17 00:39:32
眠いくてファイルのアップする気力がないので情報だけ
URLリンク(namaekurekure.blog116.fc2.com)
ルーマニア政府観光局のサイトが進入されたっぽい。
iframeだった。
ちなみにカスペ2009(新エミュ)では"HEUR:Trojan.Script.Iframer"で検出。
一応送ります。
28:名無しさん@お腹いっぱい。
09/01/17 00:43:48
>>27
突撃してみようかと思ったけど仮想環境じゃないしexploit系が仕込まれてるみたいなので今回は止めておく
捨てPCでも感染は怖い
29:名無しさん@お腹いっぱい。
09/01/17 00:48:56
>>27
踏んできたw
グーグル先生にしかられFirefoxたんに警告されて
行ってみたら、、、ドメイン登録ごと吹っ飛んでおりましたw
30:27
09/01/17 00:49:29
気力しぼって、うpした。
URLリンク(tane.sakuratan.com)
virus
31:名無しさん@お腹いっぱい。
09/01/17 00:59:41
>>30
ソースコードみたけれど、バイナリで直接し込まれているな
実行したくねぇけれど・・・・これから実行するわ
F-Secure Intenet Security2009で逝ってきます
32:31
09/01/17 01:12:49
とりあえず、Firefox(NoScriptだけ切った)に放り込んでみたけれどなにも起こらず
その際のTCPMonitorPlusのログを上げておきます
URLリンク(www.tane.sakuratan.com)
33:31
09/01/17 01:13:35
パス virus
誰か一緒に検証してくれ
34:名無しさん@お腹いっぱい。
09/01/17 01:17:38
Firefoxは無害だもの
35:名無しさん@お腹いっぱい。
09/01/17 05:29:46
>>30
URLリンク(www.virustotal.com)
36:名無しさん@お腹いっぱい。
09/01/17 07:33:12
>>15
NortonInternetSecurity2009追加検出+1
Trojan Horse:wow1.exe
10/12
37:名無しさん@お腹いっぱい。
09/01/17 07:43:32
>>30
とりあえずAntiVir、Panda、Symantecに提出した
でも>>35を見ると微妙・・・
38:名無しさん@お腹いっぱい。
09/01/17 13:46:22
>>27 >>31
難読化スクリプトはdocument.writeなどをalertにして
Firefoxで踏んでみる(IEはダイアログの中身が長すぎると省略されるのと
ダイアログの内容を選択できずエディタなどにコピペできない)。
平文に戻したスクリプトにはMS08-078のシェルコード(unicode)が入っていて
アセンブラ読めない自分は涙目なんだけど、
他にOEとかSnapshotViewer(Access)とかFlashとかPDFとか
併用しまくっているのでそちらからいただきました
(OEやSnapshotViewerはexeのURIベタ書きなので検体の入手が容易です)。
67■215■231■242/uniq/load.php
→1.exe (ダウンローダ)
→gpt0■ru/2k9/s9.exe
URLリンク(tane.sakuratan.com)
virus
2匹ともUPXだったので解凍済み。
39:31
09/01/17 15:09:56
>>38
> アセンブラ読めない自分は涙目なんだけど、
これは私も以下略
提出します
40:名無しさん@お腹いっぱい。
09/01/17 15:28:58
>>38
d
カスペ2009 14:52
1/2
Detected Trojan program Trojan-Downloader.Win32.Small.jbz tane0192\1.exe
s9.exe 検体提出します。
VT (CET+8:00=日本時間)
URLリンク(www.virustotal.com) 1.exe 3/39
URLリンク(www.virustotal.com) s9.exe 7/39
41:名無しさん@お腹いっぱい。
09/01/17 16:49:11
>>15
PandaGlobalProtection2009
wow1.exeとwow1dii.exeを疑わしいファイルとして検出
10/12
42:名無しさん@お腹いっぱい。
09/01/17 16:51:04
>>38
PandaGlobalProtection2009
1.exeを疑わしいファイルとして検出
43:名無しさん@お腹いっぱい。
09/01/17 16:53:53
>>38
NOD32 v3.0 定義3772
0/2 Esetへ提出済み
44:名無しさん@お腹いっぱい。
09/01/17 17:40:15
URLリンク(tane.sakuratan.com)
virus
45:名無しさん@お腹いっぱい。
09/01/17 17:47:51
>>44 中身同じかな。
URLリンク(tane.sakuratan.com)
virus
URLリンク(www.virustotal.com)
46:名無しさん@お腹いっぱい。
09/01/17 17:48:54
>>44
AntiVirPremium
オールスルー
PandaGlobalProtection2009
全て疑わしいファイルとして検出
NortonInternetSecurity2009
Backdoor.Formador:全部の検体
>>44はAntiVirとavast!に提出してきます
47:名無しさん@お腹いっぱい。
09/01/17 17:53:35
>>45
AntiVirPremium
pcclient1.exe
[DETECTION] Contains recognition pattern of the DR/PcClient.Gen dropper
PandaGlobalProtection2009
疑わしいファイルとして検出
NortonInternetSecurity2009
スルー
>>45はSymantecとavast!に提出してきます
>>38はAntiVirとSymantecとPandaとavast!に提出済み
48:名無しさん@お腹いっぱい。
09/01/17 18:00:54
>>44 は4つとも同一、解凍すると >>45 (RO666.exe)。
49:名無しさん@お腹いっぱい。
09/01/17 18:03:25
まだavast!に提出してないけど>>44も>>45もavast!に提出する必要ないみたいだね(>>45もVirustotalで確認済み)
URLリンク(www.virustotal.com)
50:名無しさん@お腹いっぱい。
09/01/17 18:05:09
>>44、>>45
avastは全部検出
51:名無しさん@お腹いっぱい。
09/01/17 18:11:42
>>38
検出結果に変わりはないが、別のバイナリが落ちてきた。差し替えられたかな?
VirusTotalは少し前に誰かがかけたらしきものがあったので最新情報ではありません。
AntiVir
1.exe : NotDetected
s9.exe : TR/Dldr.Delphi.Gen Trojan
URLリンク(www.virustotal.com) 1.exe 7/39
URLリンク(www.virustotal.com) s9.exe 8/39
>>38の亜種として検出できるとは思うけど、一応バイナリ違うので提出
URLリンク(tane.sakuratan.com)
52:名無しさん@お腹いっぱい。
09/01/17 19:07:03
NOD32 V3.0 定義3772
>>45 1/1
pcclient1.exe Win32/PcClient.NCRの亜種 トロイの木馬
>>51
0/2
Esetへ提出
53:名無しさん@お腹いっぱい。
09/01/17 19:56:33
>>51
>>38 はUPX解凍してあるからバイナリ違う。たぶん。
54:名無しさん@お腹いっぱい。
09/01/17 20:26:49
>>30>>38
McAfeeに提出させて頂ました。
55: ◆W32/Vael.o
09/01/17 20:28:12
URLリンク(www.tane.sakuratan.com)
Malware-Pack56
例によってMcAfeeには提出済み
56:名無しさん@お腹いっぱい。
09/01/17 20:37:00
>>51
McAfeeに提出させて頂ました。
57:名無しさん@お腹いっぱい。
09/01/17 20:46:27
>>55
AntiVirPremium
Malware\0\file.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\2\setup_243_3777_.exe
[DETECTION] Is the TR/WinSpywareProtect.A Trojan
Malware\3\SpywareReminder_v3_12.exe
[DETECTION] Is the TR/Agent2.CJ Trojan
Malware\4\SpywareGuard2009.exe
[DETECTION] Is the TR/Fakealert.SK Trojan
Malware\5\installer_99404.exe
[DETECTION] Is the TR/Dldr.FraudLo.kqx Trojan
Malware\6\FlashPlayer-9.0.124.0p.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
Malware\7\main.exe
[DETECTION] Contains recognition pattern of the SPR/Fraud.AntiSpy.1 program
Malware\8\load.exe
[DETECTION] Is the TR/Spy.ZBot.kek Trojan
Malware\9\x50.exe
[DETECTION] Contains HEUR/Malware suspicious code
Malware\a\load.exe
[DETECTION] Is the TR/Agent.biel Trojan
Malware\b\adv111.exe
[DETECTION] Is the TR/Dldr.Agent.bdgc Trojan
11/12
58:名無しさん@お腹いっぱい。
09/01/17 20:56:13
>>55
PandaGlobalProtection2009
ウイルス発見 : Trj/CI.A load.exe、FlashPlayer-9.0.124.0p.exe
ウイルス発見 : Generic Trojan INSTALLER_99404.EXE、FILE.EXE、SPYWAREREMINDER_V3_12.EXE
疑わしいファイル:SpywareGuard2009.exe、main.exe、x50.exe、load.exe
それ以外はスルー
10/12
59:名無しさん@お腹いっぱい。
09/01/17 21:02:34
>>55
NortonInternetSecurity2009
Packed.Generic.187:main.exe
Packed.Generic.200:file.exe、SpywareReminder_v3_12.exe
AntiVirus2008:installer_99404.exe
4/12(うちヒューリスティック検出3つ)
これからavast!含め提出してきます
60:名無しさん@お腹いっぱい。
09/01/17 21:03:33
カスペ2009 19:57:00
>>44 4/4
Detected Trojan program Backdoor.Win32.PcClient.aazt tane0194.zip/Freya.scr, livedoor.scr, MPEG, Online.scr
>>45 1/1
Detected Trojan program Backdoor.Win32.PcClient.aazt tane0195.zip/pcclient1.exe
>>51 1/2
Detected Trojan program Trojan-Downloader.Win32.Small.jbz tane0196.zip/1(1).exe//PE_Patch.UPX//UPX
>>55
9/12 (2,3,5,6,7,8,9,a,b)
Detected Trojan program Trojan-Downloader.Win32.Agent.bdgc tane0197.zip/Malware/b/adv111.exe
Detected Trojan program Trojan.Win32.Agent.biel tane0197.zip/Malware/a/load.exe
Detected Trojan program Trojan-Downloader.Win32.Banload.aags tane0197.zip/Malware/9/x50.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.kek tane0197.zip/Malware/8/load.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.bdai tane0197.zip/Malware/6/FlashPlayer-9.0.124.0p.exe
Detected Trojan program Backdoor.Win32.Hupigon.fplb tane0197.zip/Malware/5/installer_99404.exe
Detected Trojan program Trojan.Win32.Agent2.cj tane0197.zip/Malware/3/SpywareReminder_v3_12.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.cya tane0197.zip/Malware/2/setup_243_3777_.exe
Detected virus HEUR:Trojan.Win32.Generic tane0197.zip/Malware/7/main.exe
検体提出します。
61:40
09/01/17 21:05:37
>>38
カスペからの返事 (20:57)
Hello,
s9.exe_ - Trojan-Downloader.Win32.Agent.bdoz
New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
Please quote all when answering.
The answer is relevant to the latest bases from update sources.
1+追加検出1=2/2でFA.
62:名無しさん@お腹いっぱい。
09/01/17 21:07:01
>>51
AntiVirPremium
s9.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
PandaGlobalProtection2009とNortonInternetSecurity2009はスルー
提出します
63:名無しさん@お腹いっぱい。
09/01/17 21:12:30
NOD32 v3.0 定義3773
>>55 10/12
0\file.exe Win32/Kryptik.EQの亜種 トロイの木馬
2\setup_243_3777_.exe Win32/Adware.MSAntispyware2009 アプリケーション
3\SpywareReminder_v3_12.exe Win32/Kryptik.EQの亜種 トロイの木馬
4\SpywareGuard2009.exe Win32/Adware.SpywareGuard アプリケーション
5\installer_99404.exe Win32/Adware.AntivirusPlus アプリケーション
7\main.exe Win32/Adware.MSAntispyware2009 アプリケーション
8\load.exe Win32/Spy.Zbot.EN トロイの木馬
9\x50.exe 新種・未知のNewHeur_PEである可能性 ウイルス
a\load.exe Win32/TrojanDownloader.Small.OJX トロイの木馬
b\adv111.exe Win32/Agent.ORY トロイの木馬
検出漏れEsetへ提出済み
64:名無しさん@お腹いっぱい。
09/01/17 21:15:17
>>51
AntiVir
1(1).exe MALWARE
65:名無しさん@お腹いっぱい。
09/01/17 21:20:38
>>55
Symantecから(1)
filename: x50.exe
machine: Machine
result: See the developer notes
filename: load.exe
machine: Machine
result: See the developer notes
filename: FlashPlayer-9.0.124.0p.exe
machine: Machine
result: See the developer notes
filename: main.exe
machine: Machine
result: This file is detected as Packed.Generic.187.
filename: adv111.exe
machine: Machine
result: See the developer notes
66:名無しさん@お腹いっぱい。
09/01/17 21:28:21
スレリンク(sec板:888番)
↑これに関する回答がありました。
土日不可、要一件毎に連絡らしいのですが。。
月曜にでもやっつける予定。
以下転載
>上記制限値を超えた場合に関しましては、状況に応じFTPサーバ等の代替方法を
>別途ご用意させていただきます。
>その場合には弊社テクニカルサポートセンターまでその旨ご相談くださいます様
>お願い申し上げます。
67:名無しさん@お腹いっぱい。
09/01/17 21:35:32
>>55
Symantecから(2)
filename: SpywareReminder_v3_12.exe
machine: Machine
result: This file is detected as Packed.Generic.200.
filename: 1.exe
machine: Machine
result: See the developer notes
filename: installer_99404.exe
machine: Machine
result: This file is detected as AntiVirus2008.
filename: setup_243_3777_.exe
machine: Machine
result: See the developer notes
filename: file.exe
machine: Machine
result: This file is detected as Packed.Generic.200.
68:名無しさん@お腹いっぱい。
09/01/17 21:59:17
>>55
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
>>51と>>55
AntiVirとPandaとSymantecとavast!への提出完了
69:名無しさん@お腹いっぱい。
09/01/17 23:10:19
>>55
PandaGlobalProtection2009
adv111.exeを疑わしいファイルとして検出
70:名無しさん@お腹いっぱい。
09/01/17 23:25:11
PandaGlobalProtection2009
>>13と>>15
残りの未検出の検体も全て疑わしいファイルとして検出、全検出確認
71:名無しさん@お腹いっぱい。
09/01/17 23:36:02
>>55
Rising 21.21.52 (21.12.52.00)
6\FlashPlayer-9.0.124.0p.exe: Trojan.DL.Win32.Undef.aqa
1/12
72:60
09/01/18 00:23:49
カスペからの返事
>>55
0: file.exe - New malicious software was found in the attached file.
1:1.exe No malicious code was found in this file.
今のところ、9+追加検出1=10/12 (0,2,3,5,6,7,8,9,a,b),白1(1),回答待ち1(4)
ちなみに、
>>15
autorun[1-4].exe- virus Worm.Win32.AutoRun.etc
73:名無しさん@お腹いっぱい。
09/01/18 01:54:35
【つこうた】IPA主任岡田賢治がヤバイ資料大流出 疑惑の政財界★194【三井リハウス編】
スレリンク(news板:529番)
p://infosueek.w53.okwit.com/play/mober_v0.5fis.pif
URLリンク(www.virustotal.com)
74:名無しさん@お腹いっぱい。
09/01/18 02:08:31
>>73
McAfee
0/1(dat5496)
75:名無しさん@お腹いっぱい。
09/01/18 02:34:57
オバマウイルス
URLリンク(www.f-secure.com)
VT
URLリンク(www.virustotal.com)
76:名無しさん@お腹いっぱい。
09/01/18 08:15:17
URLリンク(www.dotup.org)
77:名無しさん@お腹いっぱい。
09/01/18 08:36:43
>>75の検体
URLリンク(tane.sakuratan.com)
virus
(落ちてくるバイナリは全て同一なので1ファイルしか入ってません)
URLリンク(www)<)■greatobamaguide■com/pdf■exe
URLリンク(store)<)■greatobamaonline■com/news■exe
URLリンク(www)<)■superobamaonline■com/barack■exe
AntiVir
すりぬけ
各社に検体提出してきます。
78:名無しさん@お腹いっぱい。
09/01/18 08:46:05
>>77
でかいと思ったらOpenSSL丸ごと入ってるのか…。
79:名無しさん@お腹いっぱい。
09/01/18 08:49:44
>>45
NortonInternetSecurity2009
Backdoor.Formador:pcclient1.exe
80:名無しさん@お腹いっぱい。
09/01/18 08:58:07
>>30
Symantecから
filename: CD4C492Fd01
machine: Machine
result: See the developer notes
>>77
AntiVir、avast!、Panda、Nortonはオールスルーだったので提出します
81:名無しさん@お腹いっぱい。
09/01/18 09:08:16
>>76
>【重要】
>●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
>割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
確認しましたがスルーすべき対象のようです。
82:名無しさん@お腹いっぱい。
09/01/18 09:42:59
>>44>>45>>77
McAfeeに提出させて頂ました。
83:名無しさん@お腹いっぱい。
09/01/18 09:57:07
URLリンク(tane.sakuratan.com)
virus
>>77
KAVの返答
Email-Worm.Win32.Iksmas.cj
84:名無しさん@お腹いっぱい。
09/01/18 11:37:16
>>83
各社に提出してます。
AntiVir
romania1.exe
[DETECTION] Is the TR/Dldr.Delphi.Gen Trojan
wow1.exe
[DETECTION] Is the TR/PSW.OnLineGa.zad Trojan
wow1dll.exe
[DETECTION] Is the TR/PSW.OnLineGa.zad Trojan
autorun1.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun2.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun3.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
autorun4.exe
[DETECTION] Is the TR/ATRAPS.Gen Trojan
redstone1.exe
[DETECTION] Is the TR/Dropper.Gen Trojan
webcc1.exe
すりぬけ
ff11.exe
すりぬけ
85:名無しさん@お腹いっぱい。
09/01/18 12:31:42
>>83
カスペ、次の更新で対応
autorun1.exe,
autorun2.exe,
autorun3.exe,
autorun4.exe - Worm.Win32.AutoRun.etm
ff11.exe - Trojan-Downloader.Win32.Tibs.ais
redstone1.exe - Trojan-Downloader.Win32.Agent.bdsb
romania1.exe - Trojan-Downloader.Win32.Agent.bdrx
webcc1.exe - Worm.Win32.Downloader.ze
wow1.exe - Trojan-GameThief.Win32.WOW.elg
wow1dll.exe - Trojan.Win32.Agent.birs
New malicious software was found in these files. Detection will be included in the next update.
86:名無しさん@お腹いっぱい。
09/01/18 12:38:48
>>83
avast!4.8
autorun1.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
autorun2.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
autorun3.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
autorun4.exe\[Upack]\[Embedded_R#MYD]:Win32:Agent-SIM [Trj]
87:名無しさん@お腹いっぱい。
09/01/18 12:45:31
>>55
NortonInternetSecurity2009追加検出+3
Downloader:FlashPlayer-9.0.124.0p.exe、adv111.exe
Trojan Horse:Malware\a\load.exe
7/12
88:名無しさん@お腹いっぱい。
09/01/18 12:50:22
>>83
PandaGlobalProtection2009
スルー:ff11.exe、romania1.exe、webcc1.exe
それ以外は疑わしいファイルとして検出
89:名無しさん@お腹いっぱい。
09/01/18 12:53:45
Rising 21.21.52 (21.12.52.00)
>>77
スルー
>>83
wow1.exe>>66: Trojan.Win32.Nodef.zq
wow1dll.exe: Trojan.Win32.Nodef.zq
2/10
90:名無しさん@お腹いっぱい。
09/01/18 12:54:45
>>83
NortonInternetSecurity2009
Infostealer.Wowcraft:wow1dll.exe
Trojan Horse:wow1.exe
Trojan.Dropper:autorun1.exe、autorun2.exe、autorun3.exe、autorun4.exe
検体提出していきます
91:名無しさん@お腹いっぱい。
09/01/18 13:05:06
>>83
AntiVir、avast!、Panda、Symantecに提出完了
>>84
>各社に提出してます。
そのことで要望なんですけど提出がかぶるのはなるべく避けたいのでどこのベンダーに提出したのか(またはどこのベンダーに提出する予定なのか)というのも明記して欲しいですね
92:名無しさん@お腹いっぱい。
09/01/18 13:22:25
>>91
列挙するとやたら行数取るんだけど…基本的に>1のWikiにあるもの全部に提出してます。
今回はNormanとnPro、メールが届かなかった2ベンダーを除く全てに出してます。
(メールが届かなかった所には、提出先アドレスを教えてくれってメール入れてます)
同報メール使ってるから、いちいち個別にどうとか書くのが大変だったり。
20行も30行も提出先書いた発言でスレ埋めるのもどうかと。
報告出しても殆どは返事来ないです。そのベンダーのソフトを使ってる人にも出して貰って
検出名の報告をここに上げた貰ったほうがいいので、敢えて提出先は記載しません。
(例えば、Pandaとかメールで送っても返事来ませんから検出状況わかりませんし
ソフォスからも登録ユーザーにしか対応状況の返答はしないって言われてます)
93:名無しさん@お腹いっぱい。
09/01/18 13:25:18
>>55
Fortinet:
adv111.exe - W32/Agent.BDGC!tr.dldr
file.exe - W32/Agent.ZHG!tr
installer_99404.exe - W32/Hupigon.FPLB!tr.bdr
load_1.exe - W32/Agent.BIEL!tr
main.exe - Adware/Antispyware2009
setup_243_3777_.exe - W32/FraudLoad.CYA!tr.dldr
SpywareReminder_v3_12.exe - W32/Agent.CJ!tr
x50.exe - W32/Banload.AAGS!tr.dldr
SpywareGuard2009.exe - W32/Fakealert.XCO!tr
FlashPlayer-9.0.124.0p.exe - W32/Agent.BDAI!tr.dldr
load.exe - W32/Zbot.KEK!tr
あと1つは別のメールに分割して送ったので返答待ち。
94:名無しさん@お腹いっぱい。
09/01/18 13:30:01
>>92
わかりました
とりあえず他の人が提出してるベンダーは避けるようにしてくれませんか?
私は現時点ではAntiVirとavast!とPandaとSymantecに提出してるし他はKasperskyとMcAfeeとRisingとESETに提出してる方もいられるのでやはりここら辺の提出は多重提出にならないためにもしないで欲しいです
多重提出でも問題ないならそれでも大丈夫でしょうけどKasperskyみたいに提出したのに返事が来ないというのもありますからね・・・
>(例えば、Pandaとかメールで送っても返事来ませんから検出状況わかりませんし
確かにこれは実際に使わないとPandaの検出状況はわからないでしょう、特に2009はクラウド型検出のおかげでVirustotalのPandaの検出結果が殆どあてにならない状況になってる
95:名無しさん@お腹いっぱい。
09/01/18 13:37:13
Rising 2009 21.21.60 (21.12.60.00) Last Update Time=2008-01-18 10:43
>>83
autorun1-4.exe>>upack0.34>>MYD: Trojan.DL.Win32.MyDown.bgj
2+4=6/10
96:名無しさん@お腹いっぱい。
09/01/18 13:38:25
あと返事が来ないベンダーといったらavast!とかもそうだけどこちらはVirustotalでも検出状況が確認できるから問題なし
Symantecは単体で送る方が黒判定か白判定かわかりやすい気がする、複数のファイルを送ると単に現在の検出状況を載せてくることが多かった
97:名無しさん@お腹いっぱい。
09/01/18 13:47:03
>>94
>Kasperskyみたいに提出したのに返事が来ないというのもありますからね・・・
カスペは基本的に全部返事来てますよ。
ただ、対応済みのものだったり、ファイル数が多い時は検出名をはしょられることもありますが。
>とりあえず他の人が提出してるベンダーは避けるようにしてくれませんか?
余裕がある時は、同報の送り先から省いています。
ただ、検体提出漏れするよりも、かぶった方がまだましなので時間のない時はそのまま送付することがあります。
提出するだけでも結構時間食いますし、重複チェックに時間を取られて、提出しきれないよりはということで。
98:名無しさん@お腹いっぱい。
09/01/18 13:49:38
>>83
まかふぃー。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
autorun1.exe |current detection |downloader-azn |Trojan |no
autorun2.exe |current detection |downloader-azn |Trojan |no
autorun3.exe |current detection |downloader-azn |Trojan |no
autorun4.exe |current detection |downloader-azn |Trojan |no
ff11.exe |inconclusive | | |no
redstone1.exe |inconclusive | | |no
romania1.exe |inconclusive | | |no
webcc1.exe |inconclusive | | |no
wow1.exe |inconclusive | | |no
wow1dll.exe |inconclusive | | |no
inconclusive [ff11.exe redstone1.exe romania1.exe webcc1.exe wow1.exe wow1dll.exe]
99:60
09/01/18 15:18:22
>>55
>>72
カスペからの返事
7\main.exe - New malicious software was found in the attached file. not-a-virus:FraudTool.Win32.MSAntispyware2009.i (←HEUR:Trojan.Win32.Generic から変更)
シグネチャ名判明。ルートキットかな。 >>72
Detected virus Rootkit.Win32.TDSS.eib tane0197.zip/Malware/0/file.exe
今のところ、9+追加検出1=10/12 (0,2,3,5,6,7,8,9,a,b),白1(1),回答待ち1(4)
100:60
09/01/18 15:26:00
検体名:>>55
>>99
カスペ2009 14:33:00
4は検知済みだった。訂正。
Detected virus not-a-virus:FraudTool.Win32.SpywareGuard2008.bl tane0197.zip/Malware/4/SpywareGuard2009.exe
9+2=11/12, 白1(1\1.exe)でFA
101:名無しさん@お腹いっぱい。
09/01/18 15:53:52
>>83
Fortinet: 次回更新で対応
romania1.exe - W32/Agent.AST!tr.dldr
wow1.exe - W32/OnLineGames.VFT!tr
wow1dll.exe - W32/OnLineGames.WFT!tr
autorun1.exe - W32/AutoRun.YNT!tr
autorun2.exe - W32/AutoRun.YNT!tr
autorun3.exe - W32/AutoRun.YNT!tr
autorun4.exe - W32/AutoRun.YNT!tr
redstone1.exe - W32/Agent.XDT!tr
webcc1.exe - W32/Agent.CFT!tr.dldr
ff11.exe - W32/Dropper.ZAT!tr
102:名無しさん@お腹いっぱい。
09/01/18 18:04:11
NOD32 v3.0 定義3774
>>83 6/10
autorun1.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun3.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun2.exe Win32/AutoRun.Delf.AKの亜種 ワーム
autorun4.exe Win32/AutoRun.Delf.AKの亜種 ワーム
webcc1.exe Win32/KernelBot.AAの亜種 トロイの木馬
redstone1.exe Win32/PSW.OnLineGames.ODDの亜種 トロイの木馬
未検出ぶんEsetへ提出済
>>92
返事がくること自体奇跡に近いので、Esetへ重複提出して頂いて構いません。
重複になっても構わないので提出して頂いたほうが助かります。
今後、多忙or他社ソフトへの乗り換え等でいつまで検出報告できるかわかりませんし。
103:名無しさん@お腹いっぱい。
09/01/18 18:46:46
>>77
Rising
1. Filename:barack.exe
Virusname:Trojan.Win32.Nodef.ady
104:名無しさん@お腹いっぱい。
09/01/18 20:41:27
>>55
Dr.Web
Your request has been analyzed. New virus record has been added.
Viruses: Trojan.DownLoad.25637, Trojan.DownLoad.26705, Trojan.DownLoad.27999,
Trojan.DownLoad.28000, Trojan.Fakealert.2266, Trojan.Fakealert.3858,
Trojan.Fakealert.3876, Trojan.Fakealert.3877.
105:名無しさん@お腹いっぱい。
09/01/19 03:37:09
URLリンク(tane.sakuratan.com)
virus
検体入手元
URLリンク(bit)<)■bluewoon■com/Blog/
URLリンク(www)<)■bluewoon■com/Blog/Ms06-014■htm
URLリンク(www)<)■skywebsv■com/Blog/k1■exe
同梱のmuma_1.html と Ms06-014_1.htm は途中まで解読を試みた経過。k1.exeは1/10製造の模様。
=== AntiVir ===
index.htm : NotDetected
Muma.htm : HTML/Shellcode.Gen HTML script virus
muma_1.html : EXP/XMLSPAN.B exploit
Ms06-014.htm : HTML/Malicious.ActiveX.Gen HTML script virus
Ms06-014_1.htm : HTML/Malicious.ActiveX.Gen HTML script virus
k1.exe : TR/Inject.ncz Trojan
=== VirusTotal ===
index.htm(7/39) : URLリンク(www.virustotal.com)
Muma.htm(7/37) : URLリンク(www.virustotal.com)
muma_1.html(15/37) : URLリンク(www.virustotal.com)
Ms06-014.htm(6/38) : URLリンク(www.virustotal.com)
Ms06-014_1.htm(4/38) : URLリンク(www.virustotal.com)
k1.exe(24/39) : URLリンク(www.virustotal.com)
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
4091日前に更新/271 KB
担当:undef