【鑑定目的禁止】検出 ..
291:名無しさん@お腹いっぱい。
09/03/21 17:24:21
>>290 d
カスペ2009 16:23:00
8/12 (0,1,2,3,4,5,8,a)
検体提出します。
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.dxa /0/install.exe
Detected virus not-a-virus:FraudTool.Win32.SpywareFighter.d /1/Install.exe
Detected Trojan program Trojan.Win32.Agent.bvxe /2/lsp.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic /3/Sexo-BBB9-Maira-Chupando-e-cavalgando.com
Detected Trojan program Trojan-Downloader.Win32.Agent.blwn /4/GOLViagensAereas.exe
Detected Trojan program Backdoor.Win32.Agent.aevo /5/Enchentes-SC-2008.scr
Detected Trojan program Trojan-Banker.Win32.Banker.afor /8/V3.15.exe
Detected Trojan program Trojan.Win32.Agent2.gau /a/iconvert.pdf
292:名無しさん@お腹いっぱい。
09/03/21 17:34:24
>>290乙
Symantecとa-squaredに提出しました
293:名無しさん@お腹いっぱい。
09/03/21 17:35:20
>>290
0 URLリンク(www.virustotal.com) 4
1 URLリンク(www.virustotal.com) 7
2 URLリンク(www.virustotal.com) 20
3 URLリンク(www.virustotal.com) 10
4 URLリンク(www.virustotal.com) 19
5 URLリンク(www.virustotal.com) 17
6 URLリンク(www.virustotal.com) 14
7 URLリンク(www.virustotal.com) 7
8 URLリンク(www.virustotal.com) 8
9 URLリンク(www.virustotal.com) 11
a URLリンク(www.virustotal.com) 6
b URLリンク(www.virustotal.com) 5
294:291
09/03/21 18:14:48
カスペからの返事
>>290
8+事後検出3=11/12, 回答待ち1 (7)
6\run.exe_ - Email-Worm.Win32.Iksmas.ahd
9\cpntact.exe - Email-Worm.Win32.Iksmas.ahe
b\load.exe - Trojan-Downloader.Win32.Agent.bmyy
3\Sexo-BBB9-Maira-Chupando-e-cavalgando.com - Trojan-Downloader.Win32.Murlo.aie (←HEUR:Trojan-Downloader.Win32.Generic)
295:名無しさん@お腹いっぱい。
09/03/21 20:38:40
>>290
AntiVirにはftp経由で提出済み。
=== BitDefender10Free(1/12) ===
3/Sexo-BBB9-Maira-Chupando-e-cavalgando.com : Suspect: BehavesLike:Win32.Malware
=== AntiVir9Free(4/12) ===
2/lsp.exe : TR/Crypt.XPACK.Gen Trojan
4/GOLViagensAereas.exe : TR/Dldr.Agent.blwn.4 Trojan
5/Enchentes-SC-2008.scr : DR/Agent.aevo dropper
7/readme.pdf : EXP/Pidief.PT exploit
296:名無しさん@お腹いっぱい。
09/03/21 20:58:13
VTが派手に噴火してるんで
今日はこのへんで
297:名無しさん@お腹いっぱい。
09/03/21 21:04:17
>>290
Rising 2009 21.30.52 (21.21.52.00)
5\Enchentes-SC-2008.scr: Packer.Win32.Agent.r
1/12
提出完了
298:名無しさん@お腹いっぱい。
09/03/21 21:11:43
報告の出ているマカフィー、Symantec、a-squared、カスペ以外の一通りに提出完了。
出してないのはnProtect位かな。
299:名無しさん@お腹いっぱい。
09/03/22 12:33:35
>>254
McAfee返答
File Name Findings Detection Type
========= ======== ========= ====
1237021570l50.exe detected pws-mmorpg.gen trojan
1.exe detected pws-legmir.dr trojan
xxxxi.exe detected pws-mmorpg.gen trojan
300:291
09/03/22 15:07:22
>>290 (>>294)
カスペからの返事
8+事後検出4=12/12でFA
7\readme.pdf - Exploit.Win32.Pidief.ali
New malicious software was found in this file. It's detection will be included in the next update.
301:名無しさん@お腹いっぱい。
09/03/23 07:07:26
>>282(>283)
McAfee返答
File Name Findings Detection Type
========= ======== ========= ====
d2fec088047e4d499080f5aed detected pws-lineage trojan
302:名無しさん@お腹いっぱい。
09/03/23 20:10:10
URLリンク(tane.sakuratan.com)
infected
検体入手元(上下のグループはそれぞれ同じバイナリ)
p://www■shaimokale■com/blog/online■scr
p://www■shaimokale■com/chaos■pif
p://www■shaimokale■com/livedoor■scr
p://online■w84■okwit■com/play■exe
p://www■wokutonoken-online■com/JP/mpg■scr
p://www■wokutonoken-online■com/blog/play■scr
それぞれ、03/22版と0323版でファイル入れ代わってました。
VirusTotal
URLリンク(www.virustotal.com) online■exe(25/39)
URLリンク(www.virustotal.com) online/lore555■exe(21/39)
URLリンク(www.virustotal.com) play■scr(26/39)
URLリンク(www.virustotal.com) play/1188■exe(23/39)
=== AntiVir9Free ===
play■scr : TR/Dropper.Gen
play/1188■exe : DR/PcClient.Gen
online■exe : TR/Dropper.Gen
online/lore555■exe : DR/PcClient.Gen
303:名無しさん@お腹いっぱい。
09/03/23 20:33:44
Rising 2009 21.31.03 (21.22.02.00)
>>282
d2fec088047e4d499080f5aede1e9fff.exe: Trojan.Win32.Nodef.gmi
d2fec088047e4d499080f5aede1e9fff.zip>>d2fec088047e4d499080f5aede1e9fff.exe: Trojan.Win32.Nodef.gmi
2/2
>>290
3\Sexo-BBB9-Maira-Chupando-e-cavalgando.com: Trojan.DL.Win32.Mnless.coa
9\contact.exe: Trojan.Win32.Nodef.gob
1+2=3/12
>>302
スルー
lore555.exeと1188.exeだけRisingに提出完了
304:名無しさん@お腹いっぱい。
09/03/23 20:35:36
>>302
スルーしてる各社に提出完了。
305:名無しさん@お腹いっぱい。
09/03/23 20:50:41
>>302
McAfeeに提出させて頂ました。
306:名無しさん@お腹いっぱい。
09/03/23 21:26:57
>>302
McAfee自動返答(0/4)
全部 inconclusive
Symantec自動返答(2/4) 外側は2つとも検知。中身はスルーなので手動解析に回す
filename: play.scr
result: This file is detected as Backdoor.Formador. URLリンク(www.symantec.com)
filename: online.scr
result: This file is detected as Backdoor.Formador. URLリンク(www.symantec.com)
filename: lore555.exe
result: See the developer notes
filename: 1188.exe
result: See the developer notes
307:名無しさん@お腹いっぱい。
09/03/23 21:31:20
Norman(のーとんじゃないよ) 2/4 ノートンとは逆に、中身だけ検知。
* Filename: C:\analyzer\scan\lore555.exe.
* Sandbox name: W32/Malware.
* Signature name: W32/PCClient.PCA.
* Filename: C:\analyzer\scan\1188.exe.
* Sandbox name: W32/Malware.
* Signature name: W32/PCClient.PCA.
* Filename: C:\analyzer\scan\online.scr.
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS.
* Filename: C:\analyzer\scan\play.scr.
* Sandbox name: NO_MALWARE
* Signature name: NO_VIRUS.
308:名無しさん@お腹いっぱい。
09/03/23 21:32:32
アンカー忘れた。
>307は>302の検体です。
309:名無しさん@お腹いっぱい。
09/03/23 23:05:27
>>302
カスペ
VTの>>302通り、4/4
310:名無しさん@お腹いっぱい。
09/03/24 21:12:50
Virustotalに登録してるベンダー多すぎ
もう40になっちゃったよ
URLリンク(www.virustotal.com)
Antiy-AVL
ちなみにスキャンした検体はKeygenサイトから拾ったもの
NortonSafeWebのおかげでウイルスを探しやすくなった(もちろんこういうときはRVSでシステムを仮想化してるよ)
311:名無しさん@お腹いっぱい。
09/03/24 22:54:35
>>310
VirusTotal += Antiy
Today we've included the Antiy-AVL engine from Antiy, a Chinese antivirus company. Thanks to Song Bing for helping in the integration of this scanner.
中国のAVかな。
Antinnyに見える。w
312:名無しさん@お腹いっぱい。
09/03/24 23:48:34
>>310
SafeWebって、少し判断が甘い気がする。その辺、どうなんだろうね。
マルウェア配布サイトを判断させても『安全』って出るし。
>311
中国ですね。サイトの会社案内では、所在地がハルビン(Harbin)と北京(Beijing)になってます。
ちなみに、サイトに行こうとするとSiteAdvisorが真っ赤になって怒る。(w
URLリンク(www.siteadvisor.com)
一応、サイトにAntiy AVLは製品として載ってました。
SiteAdvisorが怒るのは、リンク先にトロイが置いてあるためみたいです。 見に行く人は自己責任で。
313:名無しさん@お腹いっぱい。
09/03/25 00:04:56
>>312
NortonSafeWebとMcAfeeサイトアドバイザを併用してるのもいいかも
314:名無しさん@お腹いっぱい。
09/03/25 00:25:20
>>312
NortonのSafeWebも反応したよ
レポート見れるかな?
URLリンク(safeweb.norton.com)
315:312
09/03/25 00:57:03
>>314
今見に行ったら、SafeWeb赤くなってる。
中の人、ここ見てんのか?(w
316:312
09/03/25 01:01:01
>>315
と思ったらantiy.comの方ですた。 ああ勘違い。
にしても、ウイルス対策ソフトの会社なのにサイトが赤くなる(警告表示が出る)って一体...中国だから赤でOKってことか?
317:名無しさん@お腹いっぱい。
09/03/25 01:18:50
URLリンク(www.antiy.net)
Submit Files
Please email suspicious files or unknown ghostware of other harmful program to submit@virusview.net
(Please packet file with zip format,and setup a passwd,)
318:312
09/03/25 01:24:48
>>316
失礼。焦って説明不足でした。
Antiy Labsのサイト(どっちも警告が出る)
URLリンク(www.siteadvisor.com)
URLリンク(safeweb.norton.com)
そのリンク先で、判断が違うところ
URLリンク(www.siteadvisor.com)
URLリンク(safeweb.norton.com)
とか
URLリンク(www.siteadvisor.com)
URLリンク(safeweb.norton.com)
まあ、そもそも会社のサイトで警告が出る時点でアレですが・・・
319:名無しさん@お腹いっぱい。
09/03/25 01:27:44
>>314にあったファイルは確かに複数のベンダーがトロイだと検知してるね。
URLリンク(www)<)
agb4p■exe : 288KB(検知する)
agb5p■exe : 18,750KB(検知せず)
なんぞこれwwwファイルサイズからしておかしい。サーバークラックされて置かれたのかな?
320:名無しさん@お腹いっぱい。
09/03/25 01:27:45
>>290
0\install.exe: Trojan.Win32.BHO.fnp
2\lsp.exe: Trojan.PSW.Win32.GameOL.woe
4\GOLViagensAereas.exe: Trojan.DL.Win32.Nodef.fh
6\run.exe: Trojan.Win32.Nodef.gtj
b\load.exe: Trojan.DL.Win32.Nodef.fg
ここまで検出、以下解析メールより
文件名:GOLViagensAereas.exe
病毒名:Trojan.DL.Win32.Nodef.fh
文件名:V3.15.exe, readme.pdf, iconvert.pdf
不是病毒
3+5+1=9/12
321:320
09/03/25 01:31:38
Rising 2009 21.31.15 (21.22.14.00)
>>267
1\iConv.exe: Trojan.Win32.Nodef.gqs
4\exses.exe: Trojan.Win32.Twex.b
5\dr.exe: Trojan.Spy.Win32.Nodef.ak
6\default.exe: Trojan.Win32.Nodef.gqd
7\iCPA.exe>>upx_c: Trojan.Clicker.Win32.Nodef.b
4+5=9/12
322:312
09/03/25 02:04:46
>>319
Kasperskyがスルーしてるんで、提出してみました。 返事が返ってきたら書き込みます。
※ 8.0.0.454でも反応しないので。
323:名無しさん@お腹いっぱい。
09/03/25 02:08:30
NortonSafeWebとMcAfeeサイトアドバイザでいろいろ検体拾ってみたけどSafeWebの方がウイルスを拾ってくれることが多い気がした
サイトアドバイザでは危険なファイルをダウンロードしてVTに投げても全スルーとかが多かった
324:名無しさん@お腹いっぱい。
09/03/25 07:40:23
>>302,>>306
McAfee返答
File Name Findings Detection Type
========= ======== ========= ====
play.scr detected generic backdoor trojan
1188.exe detected generic backdoor trojan
online.scr detected generic backdoor trojan
lore555.exe detected generic backdoor trojan
325: ◆W32/Vael.o
09/03/25 12:15:13
URLリンク(www.tane.sakuratan.com)
Malware-Pack68
例によってMcAfeeには提出済み
326:名無しさん@お腹いっぱい。
09/03/25 12:36:17
>>325
Rising 2009 21.31.20 (21.22.20.00)
3\Sexo-BBB9-Maira-Chupando-e-cavalgando.com: Trojan.DL.Win32.Mnless.coa
7\install.exe>>pecompact2x: Trojan.Win32.FakeAV.ik
2/12
提出完了
327:名無しさん@お腹いっぱい。
09/03/25 12:39:31
>>325
Avira AntiVir 9 Premium
TR/Dldr.Murlo.aie [trojan]3\Sexo-BBB9-Maira-Chupando-e-cavalgando.com
TR/Spy.ZBot.RE [trojan]4\ldr.exe
TR/Spy.ZBot.5939 [trojan]1\rdr.exe
TR/PSW.157696.1 [trojan]2\0081.exe
TR/Dldr.FakeAler.DZ [trojan]7\install.exe
TR/Spy.ZBot.6144 [trojan]8\rrdd.exe
TR/Dldr.Agent.boah [trojan]5\1.exe
PHISH/Fraud.Agent.LI [phishing]6\MalwareDefender2009.exe
残り提出
0\License.v.3.413.dmgは白判定出てました。
328:名無しさん@お腹いっぱい。
09/03/25 14:41:49
>>325乙
NIS2009で5/12 (0,2,5,6,b)
Symantecとa-squaredに提出しました
0 URLリンク(www.virustotal.com)
1 URLリンク(www.virustotal.com)
2 URLリンク(www.virustotal.com)
3 URLリンク(www.virustotal.com)
4 URLリンク(www.virustotal.com)
5 URLリンク(www.virustotal.com)
6 URLリンク(www.virustotal.com)
7 URLリンク(www.virustotal.com)
8 URLリンク(www.virustotal.com)
9 URLリンク(www.virustotal.com)
a URLリンク(www.virustotal.com)
b URLリンク(www.virustotal.com)
329:名無しさん@お腹いっぱい。
09/03/25 16:50:38
>>325 d
カスペ2009 @ 11:11:00
9/12 (1-8,b)
検体提出します。
Detected Trojan program Trojan-Spy.Win32.Zbot.gen /1/rdr.exe
Detected Trojan program Trojan.Win32.Obfuscated.adpc /2/0081.exe
Detected Trojan program Trojan-Downloader.Win32.Murlo.aie /3/Sexo-BBB9-Maira-Chupando-e-cavalgando.com
Detected Trojan program Trojan-Spy.Win32.Zbot.qjs /4/ldr.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.boah /5/1.exe
Detected virus not-a-virus:FraudTool.Win32.Agent.lk /6/MalwareDefender2009.exe
Detected virus not-a-virus:FraudTool.Win32.SystemSecurity.gf /7/install.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen /8/rrdd.exe
Detected Trojan program Packed.Win32.Tdss.f /b/l.exe
330:名無しさん@お腹いっぱい。
09/03/25 18:05:58
>>325
=== BitDefender10Free (4/12) ===
0081.exe : DeepScan:Generic.PWS.WoW.1869DC7E
l.exe : Gen:Trojan.Heur.TDSS.6000FFEFEF
MalwareDefender2009.exe : Gen:Trojan.Heur.TDSS.4021DECECE
Sexo-BBB9-Maira-Chupando-e-cavalgando.com : Suspect: BehavesLike:Win32.Malware
=== AntiVir9Free (8/12) === >>328さんのPremiumと検出結果一緒
0081.exe : TR/PSW.157696.1 Trojan
1.exe : TR/Dldr.Agent.boah Trojan
install.exe : TR/Dldr.FakeAler.DZ Trojan
ldr.exe : TR/Spy.ZBot.RE Trojan
MalwareDefender2009.exe : PHISH/Fraud.Agent.LI phishing file/email
rdr.exe : TR/Spy.ZBot.5939 Trojan
rrdd.exe : TR/Spy.ZBot.6144 Trojan
Sexo-BBB9-Maira-Chupando-e-cavalgando.com : TR/Dldr.Murlo.aie Trojan
331:312
09/03/25 21:47:49
>>322
仕事から帰ってきたら、Kaspersky Lab.から返事来てました。
> No malicious code was found in this file.
Kasperskyの判断では『悪意のあるコードは入ってないよ』ってことでした。
ただのダウンローダー? まあ、試す気無いですけど。(苦笑
>>329
乙です。今の所マルウェア用のデータベス更新されてないんで、0,9,aは未検出で変化なしです。
332:329
09/03/25 23:20:10
>>325
カスペからの返事
9/12、白1,回答待ち2(21:59でもスルー)
0\License.v.3.413.dmg
No malicious software was found in the attached file.
>>331
いえいえ
333:名無しさん@お腹いっぱい。
09/03/26 06:34:32
License.v.3.413.dmgはOSX用だろ
マルウェアかどうかは知らないけど
334:329
09/03/26 18:17:21
検体名:>>325 (tane0265)
カスペからの返事(続報)
9+事後検出2=11/12, 白1(0)でクローズ
9\MsgUpdate.dll - not-a-virus:AdWare.Win32.Agent.lzd
a\msgasst.dll - not-a-virus:AdWare.Win32.Agent.lzc
335:312
09/03/26 23:11:04
>>334
Kaspersky 定義データベース マルウェア 2009/3/26 21:29:00で 9 と a の検出が可能であることを確認しました。
相変わらず対応速いですね、ここは。
>>327,330
AVIRAでは、定義ファイルV.7.01.02.220 2009/3/26で、b を TR/PCK.Tdss.F.1815 として検出できるようになりました。
0,9,aは反応無いままです。
336:名無しさん@お腹いっぱい。
09/03/27 00:14:39
>>325
バスター2009 6/12
0 OSX_RSPLUG.B
2 TROJ_OBFUSCA.FNJ
3 TROJ_MURLO.BU
4 TROJ_ZBOT.ASE
6 TROJ_DLOADER.XBV
8 TROJ_ZBOT.ASG
avast! 4.8 3/12
3 Win32:Trojan-gen {Other}
4 Win32:Spyware-gen [Trj]
7 Win32:Trojan-gen {Other}
検体提出しました。
337:名無しさん@お腹いっぱい。
09/03/27 14:48:08
License.v.3.413.dmgは評価がわれとるな
338:名無しさん@お腹いっぱい。
09/03/27 23:23:40
License.v.3.413.dmg
URLリンク(www.virustotal.com)
OSX/Puper.a
URLリンク(www.mcafee.com)
339:名無しさん@お腹いっぱい。
09/03/28 02:08:08
>>337-338
>>2
・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
議論しても結論が出ないので終了!
340:名無しさん@お腹いっぱい。
09/03/28 02:20:15
>>2
・パスなしZIPをパス有りLZH(またはRAR)で
なんでLHAを推奨してんだ?
パスありzipの間違いか
まあ馬鹿なんだろうけど
341:名無しさん@お腹いっぱい。
09/03/31 17:10:01
GDATA2009をテストしてて興味深い結果があったのを報告します
オブジェクト: MalwareDefender2009.exe
パス: C:\Documents and Settings\Owner\デスクトップ\tane0265\Malware\6
ステータス: ウイルスが存在します。ファイルを削除しました
ウイルス: Gen:Trojan.Heur.TDSS.4021DECECE (Engine A=BitDefenderエンジン)
↑これはBitDefenderのヒューリスティック検出(検出名見てもそれが明らか)
でもGDATAにはこう記されている↓
スキャンが完全に実行されました: 2009/03/31 16:36
12 個のファイルがスキャンされました
11 個の感染ファイルが検出されました
0 個の感染の可能性のあるファイルが見つかりました ←ここに注目
ヒューリスティック検出したはずなのにこう表示されるのはBitDefenderのヒューリスティックとは別にGDATA専用のヒューリスティックがあるのではと予想
342:名無しさん@お腹いっぱい。
09/03/31 17:16:49
>>341
スレチ
本スレでやれ
343:名無しさん@お腹いっぱい。
09/03/31 17:24:23
>>342
なんで?
このスレでも参考になると思って報告したのに・・・
344:名無しさん@お腹いっぱい。
09/03/31 17:51:13
ドンマイ!
345:名無しさん@お腹いっぱい。
09/03/31 19:59:42
>>343
何言ってんのかよく分からねえけど
単に感染ファイルとして数えられてるだけじゃねえの
346:名無しさん@お腹いっぱい。
09/03/31 22:28:35
しかし、最近鑑定ファイルが来ないね。
全鯖アク禁の巻き添えでもくらった?
347:名無しさん@お腹いっぱい。
09/03/31 23:26:48
Rising 2009 21.32.14 (21.23.14.00) (対応したのは数日前)
>>233
9\install.exe: Trojan.DL.Win32.FakeAV.h
>>302
すべて: Backdoor.Win32.PcClient.sdx
4/4
p2から書込テスト
(bbtecの規制はいつ解除されるんだろうか・・・)
348:名無しさん@お腹いっぱい。
09/04/01 12:04:20
Confickerぷりーず
349: ◆W32/Vael.o
09/04/01 19:04:55
URLリンク(www.tane.sakuratan.com)
Malware-Pack69
例によってMcAfeeには提出済み
350:名無しさん@お腹いっぱい。
09/04/01 19:18:45
乙です
>>349
GDATAInternetSecurity2009
Malware\3
ステータス: ウイルスが検出されました
ウイルス: Win32:Trojan-gen {Other} (Engine B)
Malware\4
ステータス: ウイルスが検出されました
ウイルス: Win32:Trojan-gen {Other} (Engine B)
Malware\6
ステータス: ウイルスが検出されました
ウイルス: Win32:Rootkit-gen [Rtk] (Engine B)
全てavast!側で検出、BitDefenderは全スルー
351:名無しさん@お腹いっぱい。
09/04/01 19:19:36
>>349
Rising 2009 21.32.22 (21.23.22.00)
a\binor.exe: Trojan.Win32.Nodef.fga
1/12
352:名無しさん@お腹いっぱい。
09/04/01 19:23:15
>>349乙
NIS2009で5/12 (0、4、6、8、b)
Symantecとa-squaredに提出しました
353:名無しさん@お腹いっぱい。
09/04/01 19:24:59
>>349
PandaGlobalProtection2009
疑わしいファイル(4、9)
2/12
代理提出お願いします
354:名無しさん@お腹いっぱい。
09/04/01 19:30:51
>>349
AviraPremiumSecuritySuite9
Malware\0\InternetAntivirusPro.exe
[DETECTION] Contains recognition pattern of the SPR/Fraud.Inte.2161 program
Malware\3\scanner_200058_-1_.exe
[DETECTION] Contains recognition pattern of the PHISH/Fraud.Agent.LQ phishing file/email
Malware\4\AntiVirusInstaller.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
Malware\5\h.jpg
[DETECTION] Is the TR/AntiHosts.Gen Trojan
Malware\6\aff_9.exe
[DETECTION] Is the TR/Agent.pdt.80 Trojan
Malware\8\browser-video-object2.exe
[DETECTION] Is the TR/Drop.Zengie.A Trojan
Malware\a\binor.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\b\xpre.tmp
[DETECTION] Is the TR/Crypt.MWPM.Gen Trojan
PandaとAvira、あとはGDATA(avast!&BitDefender)の検体提出お願いします
355:名無しさん@お腹いっぱい。
09/04/01 19:37:46
>>349
0 URLリンク(www.virustotal.com)
1 URLリンク(www.virustotal.com)
2 URLリンク(www.virustotal.com)
3 URLリンク(www.virustotal.com)
4 URLリンク(www.virustotal.com)
5 URLリンク(www.virustotal.com)
6 URLリンク(www.virustotal.com)
7 URLリンク(www.virustotal.com)
8 URLリンク(www.virustotal.com)
9 URLリンク(www.virustotal.com)
a URLリンク(www.virustotal.com)
b URLリンク(www.virustotal.com)
356:名無しさん@お腹いっぱい。
09/04/01 21:07:49
>>349
4検体スルーしたので、Aviraにftp経由で提出。
357:名無しさん@お腹いっぱい。
09/04/01 21:13:10
>>349
BitDefender 全部スルー
358:名無しさん@お腹いっぱい。
09/04/01 21:48:22
>>349
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|-------------|----------------------------|------------|-----
aff_9.exe |new detection|generic.dx |Trojan |yes
antivirusinstaller.e|new detection|fakealert-winwebsecurity.gen|Trojan |yes
binor.exe |inconclusive | | |no
ic.exe |inconclusive | | |no
ip.exe |inconclusive | | |no
run.exe |new detection|generic.dx |Trojan |yes
scanner_200058_-1_.e|inconclusive | | |no
xpre.tmp |new detection|generic.dx |Trojan |yes
browser-video-object|inconclusive | | |no
delcache.exe |inconclusive | | |no
h.jpg |inconclusive | | |no
internetantiviruspro|inconclusive | | |no
359:名無しさん@お腹いっぱい。
09/04/01 21:52:28
書き忘れ。
>>349の検体を、Panda、Avast、BitDefender、AVG、Rising他、各社に提出完了。一部重複提出ですが気にしない…。
360:名無しさん@お腹いっぱい。
09/04/01 21:59:40
>>349 d
カスペ2009 21:33
6/12
Detected virus not-a-virus:FraudTool.Win32.Agent.lq /3/scanner_200058_-1_.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.dzm /4/AntiVirusInstaller.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.alfx /8/browser-video-object2.exe
Detected Trojan program Trojan.Win32.Pakes.nil /9/ip.exe
Detected Trojan program Trojan.Win32.Agent2.gxz /a/binor.exe
Detected virus HEUR:Trojan.Win32.AntiAV /b/xpre.tmp
検体提出します。
361:360
09/04/01 23:25:09
>>349
カスペからの返事
6+追加検出3=9/12(1,3,4,6-b), 白2(2,5), パスワード不明?1(0)で一応クローズ
1\ic.exe - Trojan.Win32.VB.mwy
6\aff_9.exe - Trojan.Win32.Agent.byro
7\run.exe - Email-Worm.Win32.Iksmas.alm
b\xpre.tmp - Trojan-Dropper.Win32.Agent.alhz (←HEUR:Trojan.Win32.AntiAV)
New malicious software was found in this file.
2\delcache.exe
5\h.jpg_
No malicious code was found in this file.
0\InternetAntivirusPro.exe
this is password-protected installer, please, send us password
(これはパスワードで保護されたいるインストーラなので、パスワードを送ってくれ)
362:名無しさん@お腹いっぱい。
09/04/02 00:44:36
うちにはこんなメッセージで…はて、どうしたもんかな。
InternetAntivirusPro.exe_
Haven't a password we can't extract this file. Please send us a password or repack files
with password 'infected' (without quotes) and send it to us.
363:名無しさん@お腹いっぱい。
09/04/04 23:22:04
>>349
GDATAInternetSecurity2009
オブジェクト: InternetAntivirusPro.exe:Malware\0
ウイルス: Trojan.FakeAV.IW (Engine A)
オブジェクト: ic.exe:Malware\1
ウイルス: Trojan.Downloader.VB.WAY (Engine A)
オブジェクト: scanner_200058_-1_.exe:Malware\3
ウイルス: Trojan.Fakealert.BAL (Engine A)
オブジェクト: AntiVirusInstaller.exe:Malware\4
ウイルス: Trojan.FakeAV.IX (Engine A)
オブジェクト: h.jpg:Malware\5
ウイルス: Trojan.QHost.AME (Engine A)
オブジェクト: aff_9.exe:Malware\6
ウイルス: Trojan.Agent.AMMD (Engine A)
オブジェクト: run.exe:Malware\7
ウイルス: Trojan.Waledac.BL (Engine A)
オブジェクト: browser-video-object2.exe:Malware\8
ウイルス: Trojan.Agent.AMMA (Engine A)
オブジェクト: ip.exe:Malware\9
ウイルス: Trojan.Spy.XZM (Engine A)
オブジェクト: binor.exe:Malware\a
ウイルス: Trojan.Spy.XZN (Engine A)
オブジェクト: xpre.tmp:Malware\b
ウイルス: Trojan.Downloader.JLTZ (Engine A)
全てBitDefender側で検出
364:名無しさん@お腹いっぱい。
09/04/04 23:54:43
【注文0.1】Genoのサイトでウイルス感染…か?
スレリンク(news板)
365:名無しさん@お腹いっぱい。
09/04/05 00:41:31
URLリンク(tane.sakuratan.com)
infected
容量を圧縮する関係で、パス付きZIPの中に、パスなし7z自己解凍形式で入れてあります。
(この方法だと14.6MBが8.9MBまで容量圧縮できたので…)
検体そのものは、20090404.exeを実行(解凍)すると出てきます。
検体提出から数日でどの程度対応してるかチェックしたい方向けの資料として。
VirusTotal(提出時のもの)
20090401
URLリンク(www.virustotal.com) play.scr(24/40)
URLリンク(www.virustotal.com) play/1199.exe(19/38)
URLリンク(www.virustotal.com) wmv.pif(33/40)
URLリンク(www.virustotal.com) wmv.scr(27/40)
URLリンク(www.virustotal.com) wmv.zip(26/40)
URLリンク(www.virustotal.com) wmv/1199.exe(31/40)
20090402
URLリンク(www.virustotal.com) mpg.scr(27/40)
URLリンク(www.virustotal.com) 1199.exe(25/40)
20090404
URLリンク(www.virustotal.com) play.scr(22/40)
URLリンク(www.virustotal.com) 1199.exe(27/40)
URLリンク(www.virustotal.com) wmv.pif (24/40)
URLリンク(www.virustotal.com) 1199.exe(28/40)
366:名無しさん@お腹いっぱい。
09/04/05 00:44:36
>>365(続き)
検体入手元
リネージュ資料室の更新情報で頻繁に更新されているものをピックアップ。
未検出のベンダーには全て提出済み。
20040404分に関してのみ、Risingはフォームで500エラーが出てるので、別の時間に再提出予定。
0401-0402分は、McAfeeから、対応の返答来てました。
他のベンダーは…幾つか返事来てると思うけど確認面倒なので報告はパス。
AntiVirは提出時に全部撃墜してました。
367:名無しさん@お腹いっぱい。
09/04/05 00:58:03
>>365
パス間違えてるよ
368:名無しさん@お腹いっぱい。
09/04/05 01:08:36
Rising 2009 21.32.50 (21.23.50.00)
>>267
a\news.exe: Trojan.Win32.Obfuscated.fqv
9+1=10/12
>>325
6\MalwareDefender2009.exe: Trojan.Win32.FakeAV.jn
2+1=3/12
>>349
3\scanner_200058_-1_.exe: Trojan.Win32.FakeAV.jm
1+1=2/12
369:名無しさん@お腹いっぱい。
09/04/05 02:36:28 BE:1590408768-2BP(0)
>>364
URLリンク(94.247.2)<)。195/news/?id=[2,3,11,101]
370:名無しさん@お腹いっぱい。
09/04/05 02:37:30
かきわすれた、↑UA依存 IEで踏んだ
371:名無しさん@お腹いっぱい。
09/04/05 02:59:07
PDFのほうは ?id=10& を取りに行くみたいだが、なにやっても無効ファイルしか落ちてこない
IPつなぎかえてもだめぽ 「適切な」Acrobat持ってるひとおながい
372:名無しさん@お腹いっぱい。
09/04/05 03:51:10
>>367
ごめん。パスをタイプミスしてた模様。
>>365-366の上げ直し
URLリンク(tane.sakuratan.com)
infected
20090404分のRisingも提出完了。
373:名無しさん@お腹いっぱい。
09/04/05 09:47:14
>>364 >>369
URLリンク(www.uploader.jp) dlpass gwe4tgsf
インスコ時にでてくる本体も同梱(ただし: 0xD82..0xDA1, 0x4919..0x4938 may vary.)
374:名無しさん@お腹いっぱい。
09/04/05 10:47:51
>>373
URLリンク(www.virustotal.com) dropper.bin(9/40)
他のファイルは全部スルー
ClamAV以外は一通り提出完了。ClamAVは何故か繋がらなかったので後で再チャレンジ。
375:名無しさん@お腹いっぱい。
09/04/05 10:49:42
>>373
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dropper.bin |new detection |generic dropper.ef |Trojan |yes
dropper.html |inconclusive | | |no
dropper.pdf |inconclusive | | |no
dropper.swf |inconclusive | | |no
malformed.jquery.js |inconclusive | | |no
monitor.bin |heuristic detection |new dll-b |Virus |no
376:名無しさん@お腹いっぱい。
09/04/05 11:08:56
カスペ2009 8:48:00
>>372 d 12/12
>>373 d
1/6
Detected Trojan program Backdoor.Win32.Agent.afid dropper.bin
検体提出します。
377:376
09/04/05 18:50:14
>>373
返事
1+3=4/6
dropper.html_ - Trojan-Downloader.JS.Agent.dwe, +
dropper.pdf - Exploit.Win32.Pidief.aog,
malformed.jquery.js_ - Trojan-Downloader.JS.Agent.dwf
New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.
dropper.swf, monitor.bin
No malicious code were found in these files.
378:名無しさん@お腹いっぱい。
09/04/05 21:38:50
>>373
解凍時にpassを求められ試しにgwe4tgsfと入れても
パスが違うか書庫が壊れれてるとなります
んで、zipでおながい
379:名無しさん@お腹いっぱい。
09/04/05 21:40:35 BE:1590408386-2BP(0)
monitor.bin スルーは酷いな…なんでだwww あっちが本体なのにw
なんかの(先方の)勘違いとしか思えんが…。
380:名無しさん@お腹いっぱい。
09/04/05 22:00:22
>>378
パスはいつもの方。
>>379
実行できなかった。DLLかも?
381:名無しさん@お腹いっぱい。
09/04/05 22:31:32 BE:596404229-2BP(0)
>>380 DLLです。DllMainでトロイ行為がすべて実行され、exportsはないです
382:名無しさん@お腹いっぱい。
09/04/05 22:50:35
>378 ほらよっ >373の中身。
URLリンク(tane.sakuratan.com)
infected
>374-375で書いたように、ClamAV以外には検体提出済み
383:名無しさん@お腹いっぱい。
09/04/05 22:55:24
>>382
さんきゅですー
384:名無しさん@お腹いっぱい。
09/04/06 01:38:15
>>373
ClamAVにも提出完了。
385:名無しさん@お腹いっぱい。
09/04/06 02:04:51
URLリンク(tane.sakuratan.com)
infected
61heliq.rar : Trojan.Win32.Inject!IK(a-squared)
61heliq.exe : Trojan.Win32.Inject!IK(a-squared)
386:名無しさん@お腹いっぱい。
09/04/06 02:24:34
>>385
McAfee自動返答
inconclusive [61heliq.exe 61heliq.exe]
各社に一通り提出完了。
387:名無しさん@お腹いっぱい。
09/04/06 02:31:38
>>385
URLリンク(www.virustotal.com) 61heliq.rar(11/39)
URLリンク(www.virustotal.com) 61heliq.exe(10/40)
カスペ
61heliq.exe をスキャンでは検知しないものの、アクセスしようとすると、ヒューリスティックで検出。
検出名 : HEUR:Trojan.Win32.Invader
388:名無しさん@お腹いっぱい。
09/04/06 06:38:59
>>385-387
カスペ返答。いつもながら対応が早くて素晴らしい。
61heliq(1).exe_ - Trojan.Win32.Inject.ryi
New malicious software was found in this file. It's detection will be included in the next update.
389:名無しさん@お腹いっぱい。
09/04/06 12:58:50
848 名前: 八頭 ◆YAGApwSaEw [sage] 投稿日: 2009/04/06(月) 02:42:12
URLリンク(i41.tinypic.com)
390:名無しさん@お腹いっぱい。
09/04/06 13:10:27
>>389
カエレ
391:名無しさん@お腹いっぱい。
09/04/06 13:16:33
URLリンク(tane.sakuratan.com)
infected
煽りくれてるだけじゃしょうがないので、検体。各社に一通り提出済み。NormanとZAVとnProtectは提出してません。
提出時点のVirusTotalではカスペスルーでしたが、手元のカスペでは検出してました。
URLリンク(www.virustotal.com) wmv.zip (18/40)
URLリンク(www.virustotal.com) wmv.scr (18/40)
URLリンク(www.virustotal.com) 1199.exe (22/40)
wmv.zip : Trojan.Crypt!IK(a-squared)
wmv/1199.exe : Trojan.Crypt!IK(a-squared)
wmv/wmv.scr : Trojan.Crypt!IK(a-squared)
wmv.zip : Trojan-Dropper.Win32.Mudrop.mx(Kaspersky)
wmv/1199.exe : Trojan-Dropper.Win32.Mudrop.mx(Kaspersky)
wmv/wmv.scr : Trojan-Dropper.Win32.Mudrop.mx(Kaspersky)
392:名無しさん@お腹いっぱい。
09/04/06 13:20:32
>>391
McAfee自動返答
1199.exe |inconclusive | | |no
wmv.zip |extraction failure | | |no
wmv.scr |inconclusive | | |no
なんか、1つ解凍できないとか出てますが、中身は認識しているようなので、いいことにしましょうとかなんとか。
カスペ返答。正式な検出名は>391と違うものが割り振られた模様。
1199.exe_, wmv.scr_ - Backdoor.Win32.PcClient.ahjf
New malicious software was found in these files. Detection will be included in the next update.
393:名無しさん@お腹いっぱい。
09/04/07 01:51:41
GENOなどのサイトでウイルス感染★6
スレリンク(news板)
394: ◆W32/Vael.o
09/04/07 17:45:41
URLリンク(www.tane.sakuratan.com)
Malware-Pack70
例によってMcAfeeには提出済み
395:名無しさん@お腹いっぱい。
09/04/07 17:52:13
>>394
BitDefenderTotalSecurity2009
オールスルー
Pandaの検出報告は後でします
396:名無しさん@お腹いっぱい。
09/04/07 18:09:05
>>394乙
NIS2009で5/12 (1、3、5、6、7)
Symantecとa-squaredに提出します
397:名無しさん@お腹いっぱい。
09/04/07 18:13:13
>>394 乙
0 13/40 URLリンク(www.virustotal.com)
1 10/40 URLリンク(www.virustotal.com)
2 1/40 URLリンク(www.virustotal.com)
3 17/39 URLリンク(www.virustotal.com)
4 1/40 URLリンク(www.virustotal.com)
5 5/39 URLリンク(www.virustotal.com)
6 11/40 URLリンク(www.virustotal.com)
7 13/40 URLリンク(www.virustotal.com)
8 10/39 URLリンク(www.virustotal.com)
9 9/40 URLリンク(www.virustotal.com)
a 2/40 URLリンク(www.virustotal.com)
b 0/40 URLリンク(www.virustotal.com)
398:名無しさん@お腹いっぱい。
09/04/07 18:18:18
>>394
バスター 2009 : 1/12
3/aff_8.exe TROJ_DROPPER.IRB
検体提出します
399:名無しさん@お腹いっぱい。
09/04/07 18:30:43
Rising 2009 21.33.11 (21.24.11.00)
>>372
20090404/wmv.pif>>1199.exe: Backdoor.Win32.PcClient.sfh
20090402/mpg.scr>>1199.exe: Backdoor.Win32.PcClient.sfh
20090401/play.scr>>1199.exe: Backdoor.Win32.PcClient.ska
20090401/play/1199.exe: Backdoor.Win32.PcClient.ska
20090402/mpg/1199.exe: Backdoor.Win32.PcClient.sfh
20090404/wmv/1199.exe: Backdoor.Win32.PcClient.sfh
残り6体は>>365で検出済み(Trojan.Win32.Nodef.hhz)
6+6=12/12
>>391
wmv\1199.exe: Backdoor.Win32.PcClient.sfh
wmv\wmv.scr>>1199.exe: Backdoor.Win32.PcClient.sfh
wmv.zip>>wmv.scr>>1199.exe: Backdoor.Win32.PcClient.sfh
3/3
>>394
スルー
Risingに提出完了
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
5392日前に更新/274 KB
担当:undef