【鑑定目的禁止】検出 ..
[2ch|▼Menu]
331:312
09/03/25 21:47:49
>>322
仕事から帰ってきたら、Kaspersky Lab.から返事来てました。

> No malicious code was found in this file.

Kasperskyの判断では『悪意のあるコードは入ってないよ』ってことでした。
ただのダウンローダー? まあ、試す気無いですけど。(苦笑

>>329
乙です。今の所マルウェア用のデータベス更新されてないんで、0,9,aは未検出で変化なしです。


332:329
09/03/25 23:20:10
>>325
カスペからの返事
9/12、白1,回答待ち2(21:59でもスルー)

0\License.v.3.413.dmg
No malicious software was found in the attached file.

>>331
いえいえ

333:名無しさん@お腹いっぱい。
09/03/26 06:34:32
License.v.3.413.dmgはOSX用だろ
マルウェアかどうかは知らないけど

334:329
09/03/26 18:17:21
検体名:>>325 (tane0265)
カスペからの返事(続報)

9+事後検出2=11/12, 白1(0)でクローズ

9\MsgUpdate.dll - not-a-virus:AdWare.Win32.Agent.lzd
a\msgasst.dll - not-a-virus:AdWare.Win32.Agent.lzc

335:312
09/03/26 23:11:04
>>334
Kaspersky 定義データベース マルウェア 2009/3/26 21:29:00で 9 と a の検出が可能であることを確認しました。
相変わらず対応速いですね、ここは。

>>327,330
AVIRAでは、定義ファイルV.7.01.02.220 2009/3/26で、b を TR/PCK.Tdss.F.1815 として検出できるようになりました。
0,9,aは反応無いままです。

336:名無しさん@お腹いっぱい。
09/03/27 00:14:39
>>325
バスター2009 6/12
0 OSX_RSPLUG.B
2 TROJ_OBFUSCA.FNJ
3 TROJ_MURLO.BU
4 TROJ_ZBOT.ASE
6 TROJ_DLOADER.XBV
8 TROJ_ZBOT.ASG

avast! 4.8 3/12
3 Win32:Trojan-gen {Other}
4 Win32:Spyware-gen [Trj]
7 Win32:Trojan-gen {Other}

検体提出しました。

337:名無しさん@お腹いっぱい。
09/03/27 14:48:08
License.v.3.413.dmgは評価がわれとるな

338:名無しさん@お腹いっぱい。
09/03/27 23:23:40
License.v.3.413.dmg
URLリンク(www.virustotal.com)

OSX/Puper.a
URLリンク(www.mcafee.com)

339:名無しさん@お腹いっぱい。
09/03/28 02:08:08
>>337-338
>>2
・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。

議論しても結論が出ないので終了!

340:名無しさん@お腹いっぱい。
09/03/28 02:20:15
>>2
・パスなしZIPをパス有りLZH(またはRAR)で
なんでLHAを推奨してんだ?
パスありzipの間違いか
まあ馬鹿なんだろうけど

341:名無しさん@お腹いっぱい。
09/03/31 17:10:01
GDATA2009をテストしてて興味深い結果があったのを報告します

オブジェクト: MalwareDefender2009.exe
パス: C:\Documents and Settings\Owner\デスクトップ\tane0265\Malware\6
ステータス: ウイルスが存在します。ファイルを削除しました
ウイルス: Gen:Trojan.Heur.TDSS.4021DECECE (Engine A=BitDefenderエンジン)

↑これはBitDefenderのヒューリスティック検出(検出名見てもそれが明らか)
でもGDATAにはこう記されている↓

スキャンが完全に実行されました: 2009/03/31 16:36
12 個のファイルがスキャンされました
11 個の感染ファイルが検出されました
0 個の感染の可能性のあるファイルが見つかりました ←ここに注目

ヒューリスティック検出したはずなのにこう表示されるのはBitDefenderのヒューリスティックとは別にGDATA専用のヒューリスティックがあるのではと予想



342:名無しさん@お腹いっぱい。
09/03/31 17:16:49
>>341
スレチ
本スレでやれ

343:名無しさん@お腹いっぱい。
09/03/31 17:24:23
>>342
なんで?
このスレでも参考になると思って報告したのに・・・

344:名無しさん@お腹いっぱい。
09/03/31 17:51:13
ドンマイ!

345:名無しさん@お腹いっぱい。
09/03/31 19:59:42
>>343
何言ってんのかよく分からねえけど
単に感染ファイルとして数えられてるだけじゃねえの

346:名無しさん@お腹いっぱい。
09/03/31 22:28:35
しかし、最近鑑定ファイルが来ないね。
全鯖アク禁の巻き添えでもくらった?

347:名無しさん@お腹いっぱい。
09/03/31 23:26:48
Rising 2009 21.32.14 (21.23.14.00) (対応したのは数日前)
>>233
9\install.exe: Trojan.DL.Win32.FakeAV.h
>>302
すべて: Backdoor.Win32.PcClient.sdx
4/4

p2から書込テスト
(bbtecの規制はいつ解除されるんだろうか・・・)

348:名無しさん@お腹いっぱい。
09/04/01 12:04:20
Confickerぷりーず

349: ◆W32/Vael.o
09/04/01 19:04:55
URLリンク(www.tane.sakuratan.com)
Malware-Pack69

例によってMcAfeeには提出済み

350:名無しさん@お腹いっぱい。
09/04/01 19:18:45
乙です
>>349
GDATAInternetSecurity2009

Malware\3
ステータス: ウイルスが検出されました
ウイルス: Win32:Trojan-gen {Other} (Engine B)
Malware\4
ステータス: ウイルスが検出されました
ウイルス: Win32:Trojan-gen {Other} (Engine B)
Malware\6
ステータス: ウイルスが検出されました
ウイルス: Win32:Rootkit-gen [Rtk] (Engine B)

全てavast!側で検出、BitDefenderは全スルー


351:名無しさん@お腹いっぱい。
09/04/01 19:19:36
>>349
Rising 2009 21.32.22 (21.23.22.00)
a\binor.exe: Trojan.Win32.Nodef.fga
1/12

352:名無しさん@お腹いっぱい。
09/04/01 19:23:15
>>349
NIS2009で5/12 (0、4、6、8、b)
Symantecとa-squaredに提出しました

353:名無しさん@お腹いっぱい。
09/04/01 19:24:59
>>349
PandaGlobalProtection2009

疑わしいファイル(4、9)
2/12

代理提出お願いします

354:名無しさん@お腹いっぱい。
09/04/01 19:30:51
>>349
AviraPremiumSecuritySuite9

Malware\0\InternetAntivirusPro.exe
[DETECTION] Contains recognition pattern of the SPR/Fraud.Inte.2161 program
Malware\3\scanner_200058_-1_.exe
[DETECTION] Contains recognition pattern of the PHISH/Fraud.Agent.LQ phishing file/email
Malware\4\AntiVirusInstaller.exe
[DETECTION] Is the TR/Crypt.CFI.Gen Trojan
Malware\5\h.jpg
[DETECTION] Is the TR/AntiHosts.Gen Trojan
Malware\6\aff_9.exe
[DETECTION] Is the TR/Agent.pdt.80 Trojan
Malware\8\browser-video-object2.exe
[DETECTION] Is the TR/Drop.Zengie.A Trojan
Malware\a\binor.exe
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan
Malware\b\xpre.tmp
[DETECTION] Is the TR/Crypt.MWPM.Gen Trojan

PandaとAvira、あとはGDATA(avast!&BitDefender)の検体提出お願いします

355:名無しさん@お腹いっぱい。
09/04/01 19:37:46
>>349
0 URLリンク(www.virustotal.com)
1 URLリンク(www.virustotal.com)
2 URLリンク(www.virustotal.com)
3 URLリンク(www.virustotal.com)
4 URLリンク(www.virustotal.com)
5 URLリンク(www.virustotal.com)
6 URLリンク(www.virustotal.com)
7 URLリンク(www.virustotal.com)
8 URLリンク(www.virustotal.com)
9 URLリンク(www.virustotal.com)
a URLリンク(www.virustotal.com)
b URLリンク(www.virustotal.com)

356:名無しさん@お腹いっぱい。
09/04/01 21:07:49
>>349
4検体スルーしたので、Aviraにftp経由で提出。

357:名無しさん@お腹いっぱい。
09/04/01 21:13:10
>>349
BitDefender 全部スルー

358:名無しさん@お腹いっぱい。
09/04/01 21:48:22
>>349
McAfee自動返答

File Name      Findings   Detection          Type     Extra
--------------------|-------------|----------------------------|------------|-----
aff_9.exe      |new detection|generic.dx         |Trojan   |yes
antivirusinstaller.e|new detection|fakealert-winwebsecurity.gen|Trojan   |yes
binor.exe      |inconclusive |              |      |no
ic.exe       |inconclusive |              |      |no
ip.exe       |inconclusive |              |      |no
run.exe       |new detection|generic.dx         |Trojan   |yes
scanner_200058_-1_.e|inconclusive |              |      |no
xpre.tmp      |new detection|generic.dx         |Trojan   |yes
browser-video-object|inconclusive |              |      |no
delcache.exe    |inconclusive |              |      |no
h.jpg        |inconclusive |              |      |no
internetantiviruspro|inconclusive |              |      |no

359:名無しさん@お腹いっぱい。
09/04/01 21:52:28
書き忘れ。
>>349の検体を、Panda、Avast、BitDefender、AVG、Rising他、各社に提出完了。一部重複提出ですが気にしない…。

360:名無しさん@お腹いっぱい。
09/04/01 21:59:40
>>349 d
カスペ2009 21:33

6/12

Detected virus not-a-virus:FraudTool.Win32.Agent.lq   /3/scanner_200058_-1_.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.dzm   /4/AntiVirusInstaller.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.alfx   /8/browser-video-object2.exe
Detected Trojan program Trojan.Win32.Pakes.nil   /9/ip.exe
Detected Trojan program Trojan.Win32.Agent2.gxz   /a/binor.exe
Detected virus HEUR:Trojan.Win32.AntiAV   /b/xpre.tmp

検体提出します。

361:360
09/04/01 23:25:09
>>349

カスペからの返事
6+追加検出3=9/12(1,3,4,6-b), 白2(2,5), パスワード不明?1(0)で一応クローズ

1\ic.exe - Trojan.Win32.VB.mwy
6\aff_9.exe - Trojan.Win32.Agent.byro
7\run.exe - Email-Worm.Win32.Iksmas.alm
b\xpre.tmp - Trojan-Dropper.Win32.Agent.alhz (←HEUR:Trojan.Win32.AntiAV)

New malicious software was found in this file.

2\delcache.exe
5\h.jpg_
No malicious code was found in this file.


0\InternetAntivirusPro.exe
this is password-protected installer, please, send us password
(これはパスワードで保護されたいるインストーラなので、パスワードを送ってくれ)

362:名無しさん@お腹いっぱい。
09/04/02 00:44:36
うちにはこんなメッセージで…はて、どうしたもんかな。

InternetAntivirusPro.exe_

Haven't a password we can't extract this file. Please send us a password or repack files
with password 'infected' (without quotes) and send it to us.

363:名無しさん@お腹いっぱい。
09/04/04 23:22:04
>>349
GDATAInternetSecurity2009

オブジェクト: InternetAntivirusPro.exe:Malware\0
ウイルス: Trojan.FakeAV.IW (Engine A)
オブジェクト: ic.exe:Malware\1
ウイルス: Trojan.Downloader.VB.WAY (Engine A)
オブジェクト: scanner_200058_-1_.exe:Malware\3
ウイルス: Trojan.Fakealert.BAL (Engine A)
オブジェクト: AntiVirusInstaller.exe:Malware\4
ウイルス: Trojan.FakeAV.IX (Engine A)
オブジェクト: h.jpg:Malware\5
ウイルス: Trojan.QHost.AME (Engine A)
オブジェクト: aff_9.exe:Malware\6
ウイルス: Trojan.Agent.AMMD (Engine A)
オブジェクト: run.exe:Malware\7
ウイルス: Trojan.Waledac.BL (Engine A)
オブジェクト: browser-video-object2.exe:Malware\8
ウイルス: Trojan.Agent.AMMA (Engine A)
オブジェクト: ip.exe:Malware\9
ウイルス: Trojan.Spy.XZM (Engine A)
オブジェクト: binor.exe:Malware\a
ウイルス: Trojan.Spy.XZN (Engine A)
オブジェクト: xpre.tmp:Malware\b
ウイルス: Trojan.Downloader.JLTZ (Engine A)

全てBitDefender側で検出

364:名無しさん@お腹いっぱい。
09/04/04 23:54:43
【注文0.1】Genoのサイトでウイルス感染…か?
スレリンク(news板)

365:名無しさん@お腹いっぱい。
09/04/05 00:41:31
URLリンク(tane.sakuratan.com)
infected

容量を圧縮する関係で、パス付きZIPの中に、パスなし7z自己解凍形式で入れてあります。
(この方法だと14.6MBが8.9MBまで容量圧縮できたので…)
検体そのものは、20090404.exeを実行(解凍)すると出てきます。

検体提出から数日でどの程度対応してるかチェックしたい方向けの資料として。

VirusTotal(提出時のもの)

20090401
URLリンク(www.virustotal.com) play.scr(24/40)
URLリンク(www.virustotal.com) play/1199.exe(19/38)
URLリンク(www.virustotal.com) wmv.pif(33/40)
URLリンク(www.virustotal.com) wmv.scr(27/40)
URLリンク(www.virustotal.com) wmv.zip(26/40)
URLリンク(www.virustotal.com) wmv/1199.exe(31/40)
20090402
URLリンク(www.virustotal.com) mpg.scr(27/40)
URLリンク(www.virustotal.com) 1199.exe(25/40)
20090404
URLリンク(www.virustotal.com) play.scr(22/40)
URLリンク(www.virustotal.com) 1199.exe(27/40)
URLリンク(www.virustotal.com) wmv.pif (24/40)
URLリンク(www.virustotal.com) 1199.exe(28/40)

366:名無しさん@お腹いっぱい。
09/04/05 00:44:36
>>365(続き)

検体入手元
リネージュ資料室の更新情報で頻繁に更新されているものをピックアップ。

未検出のベンダーには全て提出済み。
20040404分に関してのみ、Risingはフォームで500エラーが出てるので、別の時間に再提出予定。

0401-0402分は、McAfeeから、対応の返答来てました。
他のベンダーは…幾つか返事来てると思うけど確認面倒なので報告はパス。

AntiVirは提出時に全部撃墜してました。

367:名無しさん@お腹いっぱい。
09/04/05 00:58:03
>>365
パス間違えてるよ

368:名無しさん@お腹いっぱい。
09/04/05 01:08:36
Rising 2009 21.32.50 (21.23.50.00)
>>267
a\news.exe: Trojan.Win32.Obfuscated.fqv
9+1=10/12
>>325
6\MalwareDefender2009.exe: Trojan.Win32.FakeAV.jn
2+1=3/12
>>349
3\scanner_200058_-1_.exe: Trojan.Win32.FakeAV.jm
1+1=2/12

369:名無しさん@お腹いっぱい。
09/04/05 02:36:28 BE:1590408768-2BP(0)
>>364
URLリンク(94.247.2)<)。195/news/?id=[2,3,11,101]

370:名無しさん@お腹いっぱい。
09/04/05 02:37:30
かきわすれた、↑UA依存 IEで踏んだ

371:名無しさん@お腹いっぱい。
09/04/05 02:59:07
PDFのほうは ?id=10& を取りに行くみたいだが、なにやっても無効ファイルしか落ちてこない
IPつなぎかえてもだめぽ 「適切な」Acrobat持ってるひとおながい

372:名無しさん@お腹いっぱい。
09/04/05 03:51:10
>>367
ごめん。パスをタイプミスしてた模様。

>>365-366の上げ直し
URLリンク(tane.sakuratan.com)
infected

20090404分のRisingも提出完了。

373:名無しさん@お腹いっぱい。
09/04/05 09:47:14
>>364 >>369
URLリンク(www.uploader.jp) dlpass gwe4tgsf

インスコ時にでてくる本体も同梱(ただし: 0xD82..0xDA1, 0x4919..0x4938 may vary.)

374:名無しさん@お腹いっぱい。
09/04/05 10:47:51
>>373
URLリンク(www.virustotal.com) dropper.bin(9/40)
他のファイルは全部スルー

ClamAV以外は一通り提出完了。ClamAVは何故か繋がらなかったので後で再チャレンジ。

375:名無しさん@お腹いっぱい。
09/04/05 10:49:42
>>373
McAfee自動返答

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dropper.bin |new detection |generic dropper.ef |Trojan |yes
dropper.html |inconclusive | | |no
dropper.pdf |inconclusive | | |no
dropper.swf |inconclusive | | |no
malformed.jquery.js |inconclusive | | |no
monitor.bin |heuristic detection |new dll-b |Virus |no



376:名無しさん@お腹いっぱい。
09/04/05 11:08:56
カスペ2009 8:48:00

>>372 d 12/12

>>373 d
1/6
Detected Trojan program Backdoor.Win32.Agent.afid dropper.bin
検体提出します。

377:376
09/04/05 18:50:14
>>373
返事
1+3=4/6

dropper.html_ - Trojan-Downloader.JS.Agent.dwe, +
dropper.pdf - Exploit.Win32.Pidief.aog,
malformed.jquery.js_ - Trojan-Downloader.JS.Agent.dwf

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

dropper.swf, monitor.bin

No malicious code were found in these files.

378:名無しさん@お腹いっぱい。
09/04/05 21:38:50
>>373
解凍時にpassを求められ試しにgwe4tgsfと入れても
パスが違うか書庫が壊れれてるとなります
んで、zipでおながい

379:名無しさん@お腹いっぱい。
09/04/05 21:40:35 BE:1590408386-2BP(0)
monitor.bin スルーは酷いな…なんでだwww あっちが本体なのにw
なんかの(先方の)勘違いとしか思えんが…。

380:名無しさん@お腹いっぱい。
09/04/05 22:00:22
>>378
パスはいつもの方。

>>379
実行できなかった。DLLかも?

381:名無しさん@お腹いっぱい。
09/04/05 22:31:32 BE:596404229-2BP(0)
>>380 DLLです。DllMainでトロイ行為がすべて実行され、exportsはないです

382:名無しさん@お腹いっぱい。
09/04/05 22:50:35
>378 ほらよっ >373の中身。
URLリンク(tane.sakuratan.com)
infected

>374-375で書いたように、ClamAV以外には検体提出済み

383:名無しさん@お腹いっぱい。
09/04/05 22:55:24
>>382
さんきゅですー

384:名無しさん@お腹いっぱい。
09/04/06 01:38:15
>>373
ClamAVにも提出完了。

385:名無しさん@お腹いっぱい。
09/04/06 02:04:51
URLリンク(tane.sakuratan.com)
infected

61heliq.rar : Trojan.Win32.Inject!IK(a-squared)
61heliq.exe : Trojan.Win32.Inject!IK(a-squared)

386:名無しさん@お腹いっぱい。
09/04/06 02:24:34
>>385
McAfee自動返答

inconclusive [61heliq.exe 61heliq.exe]

各社に一通り提出完了。

387:名無しさん@お腹いっぱい。
09/04/06 02:31:38
>>385
URLリンク(www.virustotal.com) 61heliq.rar(11/39)
URLリンク(www.virustotal.com) 61heliq.exe(10/40)

カスペ
61heliq.exe をスキャンでは検知しないものの、アクセスしようとすると、ヒューリスティックで検出。
検出名 : HEUR:Trojan.Win32.Invader

388:名無しさん@お腹いっぱい。
09/04/06 06:38:59
>>385-387
カスペ返答。いつもながら対応が早くて素晴らしい。

61heliq(1).exe_ - Trojan.Win32.Inject.ryi

New malicious software was found in this file. It's detection will be included in the next update.

389:名無しさん@お腹いっぱい。
09/04/06 12:58:50
848 名前: 八頭 ◆YAGApwSaEw [sage] 投稿日: 2009/04/06(月) 02:42:12
URLリンク(i41.tinypic.com)

390:名無しさん@お腹いっぱい。
09/04/06 13:10:27
>>389
カエレ

391:名無しさん@お腹いっぱい。
09/04/06 13:16:33
URLリンク(tane.sakuratan.com)
infected

煽りくれてるだけじゃしょうがないので、検体。各社に一通り提出済み。NormanとZAVとnProtectは提出してません。
提出時点のVirusTotalではカスペスルーでしたが、手元のカスペでは検出してました。

URLリンク(www.virustotal.com) wmv.zip (18/40)
URLリンク(www.virustotal.com) wmv.scr (18/40)
URLリンク(www.virustotal.com) 1199.exe (22/40)

wmv.zip : Trojan.Crypt!IK(a-squared)
wmv/1199.exe : Trojan.Crypt!IK(a-squared)
wmv/wmv.scr : Trojan.Crypt!IK(a-squared)

wmv.zip : Trojan-Dropper.Win32.Mudrop.mx(Kaspersky)
wmv/1199.exe : Trojan-Dropper.Win32.Mudrop.mx(Kaspersky)
wmv/wmv.scr : Trojan-Dropper.Win32.Mudrop.mx(Kaspersky)

392:名無しさん@お腹いっぱい。
09/04/06 13:20:32
>>391
McAfee自動返答
1199.exe |inconclusive | | |no
wmv.zip |extraction failure | | |no
wmv.scr |inconclusive | | |no

なんか、1つ解凍できないとか出てますが、中身は認識しているようなので、いいことにしましょうとかなんとか。

カスペ返答。正式な検出名は>391と違うものが割り振られた模様。

1199.exe_, wmv.scr_ - Backdoor.Win32.PcClient.ahjf
New malicious software was found in these files. Detection will be included in the next update.

393:名無しさん@お腹いっぱい。
09/04/07 01:51:41
GENOなどのサイトでウイルス感染★6
スレリンク(news板)

394: ◆W32/Vael.o
09/04/07 17:45:41
URLリンク(www.tane.sakuratan.com)
Malware-Pack70

例によってMcAfeeには提出済み

395:名無しさん@お腹いっぱい。
09/04/07 17:52:13
>>394
BitDefenderTotalSecurity2009

オールスルー

Pandaの検出報告は後でします

396:名無しさん@お腹いっぱい。
09/04/07 18:09:05
>>394
NIS2009で5/12 (1、3、5、6、7)
Symantecとa-squaredに提出します

397:名無しさん@お腹いっぱい。
09/04/07 18:13:13
>>394

0 13/40 URLリンク(www.virustotal.com)
1 10/40 URLリンク(www.virustotal.com)
2 1/40 URLリンク(www.virustotal.com)
3 17/39 URLリンク(www.virustotal.com)
4 1/40 URLリンク(www.virustotal.com)
5 5/39 URLリンク(www.virustotal.com)
6 11/40 URLリンク(www.virustotal.com)
7 13/40 URLリンク(www.virustotal.com)
8 10/39 URLリンク(www.virustotal.com)
9 9/40 URLリンク(www.virustotal.com)
a 2/40 URLリンク(www.virustotal.com)
b 0/40 URLリンク(www.virustotal.com)


398:名無しさん@お腹いっぱい。
09/04/07 18:18:18
>>394
バスター 2009 : 1/12

3/aff_8.exe TROJ_DROPPER.IRB

検体提出します

399:名無しさん@お腹いっぱい。
09/04/07 18:30:43
Rising 2009 21.33.11 (21.24.11.00)
>>372
20090404/wmv.pif>>1199.exe: Backdoor.Win32.PcClient.sfh
20090402/mpg.scr>>1199.exe: Backdoor.Win32.PcClient.sfh
20090401/play.scr>>1199.exe: Backdoor.Win32.PcClient.ska
20090401/play/1199.exe: Backdoor.Win32.PcClient.ska
20090402/mpg/1199.exe: Backdoor.Win32.PcClient.sfh
20090404/wmv/1199.exe: Backdoor.Win32.PcClient.sfh
残り6体は>>365で検出済み(Trojan.Win32.Nodef.hhz)
6+6=12/12
>>391
wmv\1199.exe: Backdoor.Win32.PcClient.sfh
wmv\wmv.scr>>1199.exe: Backdoor.Win32.PcClient.sfh
wmv.zip>>wmv.scr>>1199.exe: Backdoor.Win32.PcClient.sfh
3/3
>>394
スルー
Risingに提出完了

400:名無しさん@お腹いっぱい。
09/04/07 18:34:46
Rising 2009 21.33.12 (21.24.12.00)
>>394
8\ipk.exe>>upx_c: Trojan.DL.Win32.Mnless.cse
1/12

401:名無しさん@お腹いっぱい。
09/04/07 19:00:21
>>394
avast! 4.8 090406-0 1/12
0/update.exe Win32:Trojan-gen {Other}
検体提出しました

402:名無しさん@お腹いっぱい。
09/04/07 19:56:59
>>394
AviraPremiumSecuritySuite9

Malware\0\update.exe [DETECTION] Is the TR/Crypt.ZPACK.Gen Trojan
Malware\1\IEPLORER%20DLL.exe [DETECTION] Is the TR/Spy.Banker.Gen Trojan
Malware\3\aff_8.exe [DETECTION] Is the TR/Dldr.Agent.bqob Trojan
Malware\6\file.exe [DETECTION] Is the TR/Spy.ZBot.dae Trojan
Malware\7\codec_1.exe [DETECTION] Contains recognition pattern of the SPR/Tool.Obfuscator.DO.9 program
Malware\8\ipk.exe [DETECTION] Is the TR/Delf.nzn.1 Trojan
Malware\9\win.exe [DETECTION] Is the TR/Agent2.hit Trojan
Malware\a\Co.swf
[0] Archive type: SWC
[DETECTION] Contains recognition pattern of the EXP/SWF.ED exploit

403:名無しさん@お腹いっぱい。
09/04/07 20:01:23
>>394
PandaGlobalProtection2009

疑わしいファイル:aff_8.exe、codec.exe

404:名無しさん@お腹いっぱい。
09/04/07 21:27:58
>>394
未検出分をAviraにftp経由で提出済み

AntiVir9Free(8/12)
aff_8.exe : TR/Dldr.Agent.bqob Trojan
Co.swf : EXP/SWF.ED exploit
codec.exe : −
codec_1.exe : SPR/Tool.Obfuscator.DO.9 program
file.exe : TR/Spy.ZBot.dae Trojan
IEPLORER%20DLL.exe : TR/Spy.Banker.Gen Trojan
ipk.exe : TR/Delf.nzn.1 Trojan
Tudo%20Aqui.exe : −
update.exe : TR/Crypt.ZPACK.Gen Trojan
win.exe : −
win_1.exe : TR/Agent2.hit Trojan
WlZ.pdf : −

405:名無しさん@お腹いっぱい。
09/04/07 21:57:59
>>394
報告の出てない各社に一通り提出完了

406:名無しさん@お腹いっぱい。
09/04/07 21:59:22
>>405
bitとpandaもお願いします

407:名無しさん@お腹いっぱい。
09/04/07 22:00:32
>>385-387
Symantec自動返答。全部手動解析に回す。

filename: 61heliq.exe
result: See the developer notes

filename: 61heliq.rar
result: See the developer notes

filename: 61heliq.exe
result: See the developer notes

408:名無しさん@お腹いっぱい。
09/04/08 02:42:39
>>394 d
今北産業
カスペ2009 0:40:00
5/12
シグネチャ3(3,6,9 , >>397のVTと同じ)+ ヒューリスティック2(1,b)=5/12
検体提出します。

Detected Trojan program Trojan-Downloader.Win32.Agent.bqob   /Malware/3/aff_8.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.rnr   /Malware/6/file.exe
Detected Trojan program Trojan.Win32.Agent2.hit   /Malware/9/win.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic   /Malware/1/IEPLORER%20DLL.exe
Detected virus HEUR:Exploit.Script.Generic   /Malware/b/WlZ.pdf

409:名無しさん@お腹いっぱい。
09/04/08 06:22:30
>>349
Rising 2009 21.33.14 (21.24.14.00)
1\ic.exe: Trojan.Win32.VBCode.pc
2+1=3/12

410:408
09/04/08 10:17:24
>>394
カスペからの返事
5+追加検出3=8/12 (1,2,3,6,7,.8,9,b), 白2(4,a), 回答待ち2 (0,5)

2\Tudo%20Aqui.exe - Backdoor.Win32.VB.igs
7\codec_1.exe - Trojan-Downloader.Win32.Agent.bqtl
8\ipk.exe - Trojan.Win32.Delf.ldw

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

4\codec.exe
a\Co.swf

No malicious code was found in this file.

411:名無しさん@お腹いっぱい。
09/04/08 16:11:00
>>391
Symantec全検出確認


>>394

Symantec追加検出+3(0、8、9)

Virustotalで確認してみると残りの検体は恐らく白判定になるのかと

412:名無しさん@お腹いっぱい。
09/04/08 23:28:00
URLリンク(tane.sakuratan.com)
infected

検体入手元
www■amazeons■com/play/GVG/tttttt■zip

URLリンク(www.virustotal.com) tttttt.zip(22/40)
URLリンク(www.virustotal.com) tttttt.exe(23/40)

=== BitDefender10Free ===
tttttt.zip : TR/Crypt.ZPACK.Gen Trojan
tttttt.exe : TR/Crypt.ZPACK.Gen Trojan

=== a-squared4Free ===
tttttt.zip : Trojan.Win32.Inject!IK
tttttt.exe : Trojan.Win32.Inject!IK

=== BitDefender10Free ===
tttttt.zip : -
tttttt.exe : -

413:名無しさん@お腹いっぱい。
09/04/08 23:33:17
>>412
コピペミスってた。

=== AntiVir9Free ===
tttttt.zip : TR/Crypt.ZPACK.Gen Trojan
tttttt.exe : TR/Crypt.ZPACK.Gen Trojan

414:名無しさん@お腹いっぱい。
09/04/08 23:43:04
>>412
NIS2009無反応(これいっぱい出回ってる悪寒)
Symantecとa-squaredに提出します

415:名無しさん@お腹いっぱい。
09/04/08 23:47:45
Rising 2009 21.33.24 (21.24.24.00)
>>290
a\iconvert.pdf: Trojan.Win32.FakeMS.fd
9+1=10/12
>>325
2\0081.exe>>Aspack212r: Trojan.Win32.Nodef.hty
b\l.exe: Trojan.Win32.Nodef.htx
3+2=5/12
>>349
7\run.exe: Trojan.Win32.Ntos.ro
9\ip.exe: Trojan.Win32.Ntos.rp
3+2=5/12
>>394
6\file.exe: Trojan.DL.Win32.Nodef.je
>>412
スルー
提出完了

416:名無しさん@お腹いっぱい。
09/04/08 23:59:30
>>412
avast! スルー
バスター 2009 スルー
両社に検体提出しました

417:名無しさん@お腹いっぱい。
09/04/09 00:01:43
>>412
VTで無反応のベンダーに一通り提出完了。

418:名無しさん@お腹いっぱい。
09/04/09 00:15:27
URLリンク(tane.sakuratan.com)
zippass genovirus
dlpass geno

ComboFixのQooboxからそのままとったので、
パス付zipを解凍するとzipファイルが出てきます
そのzipファイルの中に入ってるbxatg.mnnファイルが処理されたファイルです。


419:名無しさん@お腹いっぱい。
09/04/09 00:21:11
>>412
McAfee自動返答

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
tttttt.exe |new detection |pws-mmorpg.gen |Trojan |yes
tttttt.exe |new detection |pws-mmorpg.gen |Trojan |yes

420:名無しさん@お腹いっぱい。
09/04/09 00:25:01
>>418

URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)


421:名無しさん@お腹いっぱい。
09/04/09 00:31:59
>>418
Symantecとa-squaredに提出しました

422:名無しさん@お腹いっぱい。
09/04/09 00:44:41
カスペ2009 11:05:00

>>412
2/2 (VT通り)

>>418
スルー
検体提出します。


423:名無しさん@お腹いっぱい。
09/04/09 01:46:21
>>418
avast! 4.8 スルー
バスター 2009 スルー
検体提出しました

424:418
09/04/09 01:57:14
因みにmmnファイルはEXEファイルみたい(極窓)


425:422
09/04/09 02:50:26
>>418
カスペからの返事

Hello,

bxatg.mnn

No malicious code was found in this file.

VT0%だし、ほかのベンダーの対応みてみたいな。

426:名無しさん@お腹いっぱい。
09/04/09 06:33:02
URLリンク(www.btfree.info)

427:418
09/04/09 11:27:48
bxatg.mnn →exeにリネームして実行したけど
出来なかった・・・ファイル壊れてるのかなorz

428:名無しさん@お腹いっぱい。
09/04/09 12:29:51
>>418
検体としてアヤシゲなので提出自体をスルー。

429:名無しさん@お腹いっぱい。
09/04/09 14:00:09
>>426
Avast!撃破

430:名無しさん@お腹いっぱい。
09/04/09 17:05:43
URLリンク(tane.sakuratan.com)
infected

各社に一通り提出済み

===検体入手場所===
URLリンク(www)<)■plazaraskuten■com/up743205/jbbs578601/
URLリンク(www)■mbspro6uic■com/1/

===以下、検出名===
mpg■scr : TR/Dropper.Gen Trojan(AntiVir)
mpg/1199■exe : DR/PcClient.Gen dropper(AntiVir)

431:名無しさん@お腹いっぱい。
09/04/09 17:06:39
===検出名(続き)===

jbbs578601■htm : Trojan.HTML.Agent.bj(Kaspersky)
1■htm : JS/Dldr.IFrame.1618 Java script virus(AntiVir)
GG115■ram : EXP/Flash.Gen exploit(AntiVir)
GG16■ram : EXP/Flash.Gen exploit(AntiVir)
GG28■ram : EXP/Flash.Gen exploit(AntiVir)
GG45■ram : EXP/Flash.Gen exploit(AntiVir)
GG47■ram : EXP/Flash.Gen exploit(AntiVir)
GG64■ram : EXP/Flash.Gen exploit(AntiVir)
GV11■html : Exploit.JS.ActiveX.y(Kaspersky)
GV122121■htm : Exploit-RealPlay.h(McAfee)
GV14■htm : JS/Downloader.Agent(AVG)
GV22■html : JS/Agent.GN(F-Prot)
GVbf■htm : HTML/Shellcode.Gen HTML script virus(AntiVir)
GVcx■htm : HTML/Rce.Gen HTML script virus(AntiVir)
GVfl■htm : HTML:IFrame-DQ(Avast)
swfobject■js : - Not Detected -
VV115■ram : SWF/Dldr.Agent.F.1 SWF virus(AntiVir)
VV16■ram : SWF/Dldr.Agent.F.1 SWF virus(AntiVir)
VV28■ram : SWF/Dldr.Agent.F.1 SWF virus(AntiVir)
VV45■ram : SWF/Dldr.Agent.F.1 SWF virus(AntiVir)
VV47■ram : SWF/Dldr.Agent.F.1 SWF virus(AntiVir)
VV64■ram : SWF/Dldr.Agent.F.1 SWF virus(AntiVir)

432:名無しさん@お腹いっぱい。
09/04/09 17:37:24
>>430
BitDefenderTotalSecurity2009

mpg.scr=](RAR Sfx o)=]1199.exe Trojan.Crypt.DG    Infected (no action was possible, file was in an archive)

plazaraskuten\mbspro6uic\GVbf.htm Exploit.Baofeng.A Deleted
plazaraskuten\mbspro6uic\GVcx.htm Exploit.SSReader.A Deleted
plazaraskuten\mbspro6uic\GG115.ram Exploit.SWF.Gen Deleted
plazaraskuten\mbspro6uic\GG16.ram Exploit.SWF.Gen Deleted
plazaraskuten\mbspro6uic\GG28.ram Exploit.SWF.Gen Deleted
plazaraskuten\mbspro6uic\GG45.ram Exploit.SWF.Gen Deleted
plazaraskuten\mbspro6uic\GG47.ram Exploit.SWF.Gen Deleted
plazaraskuten\mbspro6uic\GG64.ram Exploit.SWF.Gen Deleted
plazaraskuten\mbspro6uic\VV115.ram Exploit.SWF.Gen Deleted
plazaraskuten\mbspro6uic\VV16.ram Exploit.SWF.Gen Deleted
plazaraskuten\mbspro6uic\VV28.ram Exploit.SWF.Gen Deleted
plazaraskuten\mbspro6uic\VV45.ram Exploit.SWF.Gen Deleted
plazaraskuten\mbspro6uic\VV47.ram Exploit.SWF.Gen Deleted
plazaraskuten\mbspro6uic\VV64.ram Exploit.SWF.Gen Deleted
mpg\1199.exe Trojan.Crypt.DG Deleted
plazaraskuten\mbspro6uic\1.htm Trojan.Exploit.ANON Deleted

BitDefenderもPanda同様に処理できないマルウェアが結構ありそうですな・・・
ただPandaと違うのは2009でも検出エンジンがv7とそう変わらないみたいなのが残念
今後搭載されるであろうクラウドベースに期待するしかないか


433:名無しさん@お腹いっぱい。
09/04/09 17:48:14
>>430
PandaGlobalProtection2009

疑わしいファイル:1199.exe、mpg.scr

434:名無しさん@お腹いっぱい。
09/04/09 18:27:17
>>394
Rising返答(2分割で送った片方だけ返答/残りは回答待ち)

1. Filename:aff_9.exe
Virusname:Trojan.Win32.Nodef.hvf

2. Filename:ip.exe
Virusname:Trojan.Win32.Ntos.rp

3. Filename:run.exe
Virusname:Trojan.Win32.Ntos.ro

4. Filename:ic.exe
Virusname:Trojan.Win32.VBCode.pc

5. Filename:scanner_200058_-1_.exe
Virusname:Trojan.Win32.FakeAV.jm

6. Filename:AntiVirusInstaller.exe
Virusname:Trojan.DL.Win32.Nodef.hj

7. Filename:binor.exe
Virusname:Trojan.Win32.Nodef.fga

8. Filename:xpre.tmp
No malware.

435:名無しさん@お腹いっぱい。
09/04/09 18:53:02
Rising 2009 21.33.32 (21.24.32.00)
>>394
7\codec_1.exe: Trojan.Win32.FakeAV.ko
2+1=3/12
>>430
plazaraskuten\mbspro6uic
1.htm: Trojan.DL.Script.JS.Agent.os
GG115.ram, GG16.ram, GG28.ram, GG45.ram, GG47.ram, GG64.ram,
VV115.ram, VV16.ram, VV28.ram, VV45.ram, VV47.ram, VV64.ram: Hack.Exploit.Swf.a
13/24

436:名無しさん@お腹いっぱい。
09/04/09 19:08:55
>>418
Aviraから

The file 'bxatg.mnn' has been determined to be 'MALWARE'.
Our analysts named the threat TR/PSW.Delf.AB.
The term "TR/" denotes a trojan horse that is able to spy out data, to violate your privacy or carry out unwanted modifications to the system.
Detection will be added to our virus definition file (VDF) with one of the next updates.

437:名無しさん@お腹いっぱい。
09/04/09 19:43:49
>>430
提出済みとのことなので検出報告のみ。

avast! 4.8 Home 090408-0 7/24
 mpg.scr : Win32:Trojan-gen {Other}
 mpg\1199.exe : Win32:Downloader-AZY [Trj]
 GV122121.htm : JS:Agent-CY [Trj]
 GV14.htm : VBS:Obfuscated-gen [Trj]
 GVbf.htm : VBS:Obfuscated-gen [Trj]
 GVfl.htm : HTML:IFrame-DQ [Trj]
 1.htm : VBS:Obfuscated-gen [Trj]

バスター2009 5.955.50 10/24
 mpg\1199.exe : BKDR_PCCLIEN.AFR
 GG115.ram : TROJ_HACK.AFR
 GG16.ram : TROJ_HACK.AFS
 GG28.ram : TROJ_HACK.AFN
 GG45.ram : TROJ_HACK.AFO
 GG47.ram : TROJ_HACK.AFQ
 GG64.ram : TROJ_HACK.AFQ
 GV11.html : JS_AGENT.AQGE
 GVbf.htm : JS_AGENT.AQFX
 GVcx.htm : JS_DLDR.AV


438:名無しさん@お腹いっぱい。
09/04/09 21:16:12
>>430
McAfee自動返答

gv122121.htm |heuristic detection |exploit-realplay.h |Trojan |no

他は全部 inconclusive

439:名無しさん@お腹いっぱい。
09/04/09 21:25:49
>>385
McAfee最終返答
File Name Findings Detection Type
========= ======== ========= ====
61heliq.exe detected pws-mmorpg.gen trojan

4/6提出 inconclusive → 4/9 完了報告 普通かな。

そういや、Symantecから4/6に3/6分のCLOSING報告が来た。容量の関係で、7zの自己解凍形式に詰め込んだのを
ZIP圧縮した奴だったから遅延したんだとは思うが…普段は2〜3日なのに、ちょうど1ヶ月かかったのは長かったな。
(とっくに対応はしてて、返信だけ忘れてた可能性もあるが)

440:名無しさん@お腹いっぱい。
09/04/09 21:30:25
>>430
d

カスペ2009 18:29:00
8/24
検体提出します。

Detected Trojan program Trojan-Dropper.Win32.Agent.ambk   \mpg.scr
Detected Trojan program Trojan-Dropper.Win32.Agent.ambk   \mpg\1199.exe
Detected Trojan program Trojan.HTML.Agent.bj   plazaraskuten\jbbs578601.htm

以下 \plazaraskuten\mbspro6uicフォルダ下のファイル
Detected virus HEUR:Exploit.Script.Generic   1.htm
Detected virus HEUR:Trojan-Downloader.Script.Generic   GV14.htm
Detected Trojan program Exploit.JS.ActiveX.y   GV11.html
Detected Trojan program Exploit.JS.Agent.afp   GV22.html
Detected Trojan program Exploit.JS.Agent.afq   GVbf.htm

441:名無しさん@お腹いっぱい。
09/04/10 07:22:01
URLリンク(tane.sakuratan.com)
virus

442:名無しさん@お腹いっぱい。
09/04/10 07:43:03
>>441
検出数のみ

AntiVir(10/10) 全部撃墜
BitDefender(5+1/10) +1はヒューリスティック
a-squared(9/10)

443:名無しさん@お腹いっぱい。
09/04/10 07:46:08
Rising 2009 21.33.34 (21.24.34.00)
>>325
a\msgasst.dll: AdWare.Win32.Undef.eqd
5+1=6/12
>>349
b\xpre.tmp: Trojan.Win32.Nodef.hve
3+1=4/12
>>385
61heliq.exe: Trojan.PSW.Win32.Nodef.ful
61heliq.rar>>61heliq.exe: Trojan.PSW.Win32.Nodef.ful
2/2
>>412
tttttt.exe: Trojan.PSW.Win32.Nodef.ful
tttttt.zip>>tttttt.exe: Trojan.PSW.Win32.Nodef.ful
2/2
>>441
1.exe>>upx_c: Trojan.DL.Win32.Undef.dxe
autorun1.exe>>upx_c: Worm.Win32.Autorun.fle
nspk1.exe>>nspack>>81>>67: RootKit.Win32.Small.cld
nspk1.exe>>nspack>>81>>65: RootKit.Win32.Agent.eqe
nspk1.exe>>nspack>>7d: Trojan.PSW.Win32.GameOL.wfa
nspk1.exe>>nspack: <Unknown virus>
rkit1.exe: Trojan.Win32.Edog.bv
upk2.exe>>upack0.34: Worm.Win32.Baby2008.be
5/10
検体提出完了

444:名無しさん@お腹いっぱい。
09/04/10 07:47:28
>>442訂正
パターン更新したら、a-squared(10/10) で全部撃墜でした。


次ページ
最新レス表示
スレッドの検索
類似スレ一覧
話題のニュース
おまかせリスト
▼オプションを表示
暇つぶし2ch
5390日前に更新/274 KB
担当:undef