【鑑定目的禁止】検出 ..
2:名無しさん@お腹いっぱい。
09/07/03 19:04:31
A議論や意見のまとめ
・圧縮ファイルと検出数
exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。
・DOSウイルス禁止
大昔のウイルスを集めてきても無意味なことがあります。
・パスなしZIPをパス有りLZH(またはRAR)で
安全性と利便性のため、上記の手法を推奨します。
・淡々とやれ淡々と!
淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。
・ブラクラや危険サイトのURL直リン厳禁
ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
怪しいサイトの安全性を鑑定するサイトではありません!
・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 という意見もあり。
・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、
提出していない旨記載。(ベンダーに多重送付を避けるため)
・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。
・スレ違いでもめる(2スレ目以降)
・あらしはスルー。ソフトの優劣の議論は別スレで!!(下記スレなど)
一番いいセキュリティソフトはなんだ!!Part66
スレリンク(sec板)
3:名無しさん@お腹いっぱい。
09/07/03 19:05:49
【重要】
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。
※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら
貢献することを目的としているスレです。
検体の悪用・不正利用は厳禁願います。
●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。
●検体確認は自己責任でお願いします。感染しても責任は一切持ちません!
(鑑定スレではないので、無害と判定されたファイルを実行して感染しても責任は一切持ちません!)
※◆W32/Vael.oは信頼できるコテさんです。
★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。
・VIRUSTOTAL (略称:VT)
URLリンク(www.virustotal.com)
・VirScan
URLリンク(www.virscan.org)
・Jotti
URLリンク(virusscan.jotti.org)
※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。(例:VT上のカスペ7.0.0.125、最新版2009など)
4:名無しさん@お腹いっぱい。
09/07/03 19:07:45
★各ベンダーへの提出先 (順不同)
・ベンダーにより、Webフォームでの提出と、eメールでの提出などがある。
・ eメールアドレスは、☆→@に読み替えてください。
圧縮パスワードは"infected"推奨.'(特にMcAfee, BitDefender, ESET).。このパスワードで圧縮して添付
>>1の検体提出先まとめWiki も参照してください。
URLリンク(rosafe.rowiki.jp)
●シマンテック (ノートン) [前スレ18]
・Symantec Security Response 〔Upload a suspected infected file:疑わしいファイルの提出〕:新しい提出先。こちらを推奨。
URLリンク(submit.symantec.com)
*ファイルやtxtメモや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕 が提出条件
*裏技:シマへは圧縮フォルダ×2回(圧縮形式不問)で実はツメホーダイだが、対応が確実に遅くなるので非推奨
●ウイルスバスター(トレンドマイクロ)
URLリンク(inet.trendmicro.co.jp)
バスターユーザー以外は
URLリンク(www.trendmicro.com)(該当ページ消滅/次スレでは削除?)
URLリンク(subwiz.trendmicro.com)
●マカフィー (英語の方が対応が早いかも)
URLリンク(www.nai.com) (日本語)
URLリンク(vil.nai.com) (英語)
URLリンク(www.webimmune.net) (要登録・英語)
メール:virus_research☆avertlabs.com
●ESET NOD32アンチウイルス
URLリンク(training.eset.com)
e-mail:samples☆eset.com
5:名無しさん@お腹いっぱい。
09/07/03 19:08:38
●Kaspersky(カスペルスキー)
URLリンク(www.kaspersky.co.jp)
一番下の「新しいウイルスをお知らせ下さい」
e-mail: newvirus☆kaspersky.com
●Avira AntiVir
URLリンク(www.avira.com)
e-mail:virus_malware☆avira.com
●Rising(ウイルスキラー)[前スレ655,656]
(1) URLリンク(up.rising.com.cn)
(2) URLリンク(sample.rising-global.com) (英語版)
(3) URLリンク(mailcenter.rising.com.cn)
※(3)は、可疑文件上?=怪しいファイルの報告.??文件上?=誤検知ファイルの報告,圧縮せずに提出、容量制限不明、ブラウザはクッキー保存設定
●Microsoft(マイクロソフト)
URLリンク(www.microsoft.com)
onecare☆submit.microsoft.com
submit_virus☆research.sybari.com
「1fileづつ」で「10megabytes」までの制限だが、パスワード圧縮してやることで「1fileづつ」の方は制限をクリアできます.[前スレ534]
●Dr.WEB
URLリンク(drweb.jp)
vms☆drweb.com または vms☆drweb.jp
パスワードはvirus固定
●F-Secure (エフセキュア)
URLリンク(www.f-secure.co.jp)
samples☆f-secure.co.jp
6:名無しさん@お腹いっぱい。
09/07/03 19:09:24
●AVG
URLリンク(www.grisoft.com)
virus☆avg.com
●Ewido (AVG;Anti ;Spyware)
URLリンク(www.ewido.net)(→AVGに変更。次スレでは削除)
●avast!
URLリンク(www.avast.com)
virus☆avast.com
●ソフォス(Sophos)
URLリンク(www.sophos.co.jp)
ps://secure.sophos.co.jp/support/samples
URLリンク(www.sophos.com)
ユーザープロダクトキーを持っていなくても、倦怠受付はするが、返答は帰ってこないようだ。[前スレ534,542,549]
●キングソフト・アンチウィルス (Kingsoft)
URLリンク(www.kingsoft.jp)
kentai2☆kingsoft.jp
●バイロボット(hauri、ViRobot)
URLリンク(www.hauri.net)
●ウイルスドクター (メールの場合、本国(e-mail 2)の方が速いかも)
URLリンク(www.virusdoctor.jp)
e-mail 1:labo☆virusdoctor.jp
e-mail 2:virus☆jiangmin.com
●eTrust
URLリンク(www.caj.co.jp)
virus☆caj.co.jp
7:名無しさん@お腹いっぱい。
09/07/03 19:10:18
●F-PROT; (フォームよりe-mail推奨)
URLリンク(www.f-prot.com)
e-mail:viruslab☆f-prot.com
F-port宛メールはエンコード後サイズで10,240,000Byte迄
●a2 (a-squared)
URLリンク(www.emsisoft.jp)
e-mail:submit☆emsisoft.com
●ソースネクスト ウイルスセキュリティZERO (K7Computing)
URLリンク(k7computing.com)
k7viruslab☆k7computing.com
●Panda
ベンダーに問い合わせた結果、下記のアドレスを指示されました
virussamples☆pandasecurity.com
●ArcaBit
URLリンク(www.arcabit.com)
virus☆arcabit.com
●Proland Software
URLリンク(www.pspl.com)
virsample☆pspl.com?subject=Virus Sample
(メールは、固定タイトルでないと弾かれる模様)
●ClamAV
URLリンク(cgi.clamav.net)
パスワードはvirus固定。3145728 bytes未満のファイルで。
8:名無しさん@お腹いっぱい。
09/07/03 19:11:30
●Sunbelt
URLリンク(research.sunbelt-software.com)
malware-cruncher☆sunbelt-software.com
●Malwarebytes
URLリンク(uploads.malwarebytes.org)
●Lavasoft
URLリンク(upload.lavasoft.com)
●NictaTech Software
URLリンク(www.nictasoft.com)
newvirus☆nictasoft.com
●VirusBuster (※トレンドマイクロ社のウイルスバスターではない。)
URLリンク(www.virusbuster.hu)
virus☆vbuster.hu
●ウイルスチェイサー (※ Dr.Webエンジンのため、>>5のDr.Webの窓口に直接送ったほうが良い。)
URLリンク(www.viruschaser.jp)
●Norman(未圧縮1ファイルづつしか投稿できない)
URLリンク(www.norman.com)
(↓誤検知報告:まとめて報告可能)
URLリンク(www.norman.com)
●BitDefender [前スレ227]
送付先2:
e-mail:virus_submission☆bitdefender.com(2MBまで?)
URLリンク(forum.bitdefender.com)
9:名無しさん@お腹いっぱい。
09/07/03 19:12:30
●eSafe
URLリンク(www.aladdin.com)(→該当ページ削除/誰か補足を)
virus☆aladdin.co.jp
●アンラボ(AhnLab V3)
・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答(詳細は>>1のWiki参照)
Ahnlab Customer(AhnLab-V3) メール:ahnlabcustomer☆ahnlab.co.jp
[前スレ762]
●BullGuard Internet Security <support☆bullguard.com>
●Central Command(Vexira Antivirus) <virus☆centralcommand.com>
●Intego(VirusBarrier) <sample☆virusbarrier.com>
●Mischel Internet Security(TrojanHunter) <support☆trojanhunter.com>
●Moosoft(The Cleaner) <trojans☆moosoft.com>
●NictaTech Software(Digital Patrol) <newvirus☆nictasoft.com>
●Simply Super Software(Trojan Remover) <submit☆simplysup.com>
●SRN Micro(Solo Antivirus) <support☆srnmicro.com>
●ATShield Ltd.(Anti-Trojan Shield) (Webフォーム、3MBまで)
URLリンク(www.atshield.com)
●Cybersoft(VFind) : virus☆cyber.com [前スレ730
10:名無しさん@お腹いっぱい。
09/07/03 19:14:00
検体提出先を一部変更、追記しました。
テンプレ(>>1->>9)、検体提出先(>>4->>9)の変更・追加あれば、>>1にレスする形で指摘よろ。
---------------[テンプレここまで]--------------------------
確認よろしく。
●注記 (テンプレに入れるべき?)
・本文中、検体入手元で■で書いているのは、"."(半角ドット)に読み替え。
・前スレでの検体は、前スレ埋まるまで、なるべく前スレでの報告よろしく。
・GENOウイルス多し。回避策は、以下。
GENOウイルススレ ★22
スレリンク(sec板)
・・初心者のベンダーの検体提出は推奨しません。(感染リスクあるため)
・また、VT注記通り、すべてのベンダーで検出しないからといって、安全性を100%保証するわけではありません。
・オートラン無効推奨。設定方法は、
「外部記憶メディアのセキュリティ対策を再確認しよう!」 ― USB メモリ、便利のウラに落とし穴 ―
URLリンク(www.ipa.go.jp)
「 USB メモリのセキュリティ対策を意識していますか? 」 ― USB メモリの安全な使い方を知ろう ―
URLリンク(www.ipa.go.jp)
11:名無しさん@お腹いっぱい。
09/07/03 19:17:36
AV-Test.org - Update Frequency of Anti-Virus Software (1週間の定義更新頻度)
URLリンク(www.av-test.org)
12:名無しさん@お腹いっぱい。
09/07/03 20:37:37
URLリンク(tane.sakuratan.com)
infected
前スレが埋まりそうなので、こっちに投下。
検体提出はAntiVirとAntinyLabsにftp経由で行なっただけです。(現在提出準備中)
■検体入手元
MarwareDatabase( URLリンク(malwaredatabase.net) )から拾ったもの。
アドレスは…↓の名称からお察し頂けるような気がするので省略。
■検出名称一覧(AntiVirでスルーしたものは他社名称で補完)
1fast-antimalware-scanner.com/1fast-antimalware-scanner.com.htm : Trojan:HTML/FakeXPA(Microsoft)
1fast-antimalware-scanner.com/Setup-6a75f4c_02009-1320.exe : - Not Detected - (Fake AV)
207.159.133.42/11630.exe : TR/Wimpixo.50688A.1 Trojan(AntiVir)
207.159.133.42/wow.exe : TR/Dropper.Gen Trojan(AntiVir)
74.52.164.210/bb090621.exe : Trojan.Win32.Koblu(Ikarus) , Trj/Refpron.N(Panda)
74.52.164.210/bb090621/sopidkc.exe : Backdoor:Win32/Refpron.gen!C(Microsoft)
74.52.164.210/bb090621/tpsaxyd.exe : Backdoor:Win32/Refpron.gen!C(Microsoft)
74.52.164.210/bb090621/wiawow32.sys : Trojan.ATRAPS(Ikarus)
74.52.164.210/sopidkc.exe : TR/Delf.fdg Trojan(AntiVir)
aveyco.cn/installer_70321.exe : TR/Dldr.FraudLoad.evw Trojan(AntiVir)
freett.com/hb.exe : TR/Dldr.Delphi.Gen Trojan(AntiVir)
guardsecurity.info/Setup_build6_102.exe : Trojan.Win32.FraudPack.pfc(Kaspersky)
ina6iq.com/file.exe : TR/Crypt.XPACK.Gen2 Trojan(AntiVir)
nextantivirusplus.com/AntivirusPlus.exe : SPR/FakeAV.1371136 program(AntiVir)
www2.porntube-vip.com/FlashPlayerH264Ext.exe : TR/Downloader.Gen Trojan(AntiVir)
13:名無しさん@お腹いっぱい。
09/07/03 20:39:39
>テンプレ
>>10
>・GENOウイルス多し。回避策は、以下。
これ、いらないでしょ。
>・オートラン無効推奨。設定方法は、
検体提出するような人にはこの辺もいらないと思う。
14:名無しさん@お腹いっぱい。
09/07/03 20:45:45
>>13
前スレ 765 あたりに文句言っとかないから。
15:名無しさん@お腹いっぱい。
09/07/03 20:45:45
>>12
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
16:名無しさん@お腹いっぱい。
09/07/03 21:07:52
>>12
一通り提出完了
未提出
Norman、Zoner、Lavasoft(なぜか繋がらない。tracertでタイムアウトしてるので上のどっかで切れてる模様)
提出済みなので渡しからは提出せず
Symantec、Panda
(AvastとBitDefenderには提出しました)
17:名無しさん@お腹いっぱい。
09/07/03 21:19:50
>>12
まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
11630.exe |new detection |generic.dx!te |Trojan |yes
1fast-antimalware-sc|inconclusive | | |no
antivirusplus.exe |current detection |fakealert-df |Trojan |no
bb090621.exe |heuristic detection |beav-shellcode |Application |no
file.exe |inconclusive | | |no
flashplayerh264ext.e|current detection |fakealert-bd |Trojan |no
hb.exe |current detection |generic downloader.x |Trojan |no
installer_70321.exe |current detection |fakealert-df |Trojan |no
setup-6a75f4c_02009-|inconclusive | | |no
setup_build6_102.exe|inconclusive | | |no
sopidkc.exe |current detection |refpron.gen.c |Trojan |no
sopidkc.exe |heuristic detection |beav-shellcode |Application |no
tpsaxyd.exe |heuristic detection |beav-shellcode |Application |no
wiawow32.sys |inconclusive | | |no
wow.exe |new detection |generic pws.y!dp |Trojan |yes
18:名無しさん@お腹いっぱい。
09/07/03 21:28:41
>>12
d
カスペ2010 20:07
11/15 (スルー4:1fastフォルダ 2 , 11630.exe, AntiVirusPlus.exe)
Trojan-GameThief.Win32.WOW.qlz 207.159.133.42/wow.exe
Trojan.Win32.Koblu.re 74.52.164.210/bb090621.exe/sopidkc.exe
virus HEUR:Trojan.Win32.Generic 74.52.164.210/bb090621.exe
Trojan.Win32.Koblu.re 74.52.164.210/bb090621/sopidkc.exe
virus HEUR:Trojan.Win32.Generic 74.52.164.210/bb090621/tpsaxyd.exe
Trojan.Win32.Delf.mqh 74.52.164.210/sopidkc.exe
Trojan-Downloader.Win32.FraudLoad.evw aveyco.cn/installer_70321.exe
Trojan-Downloader.Win32.Losabel.avp freett.com/hb.exe
Trojan.Win32.FraudPack.pfc guardsecurity.info/Setup_build6_102.exe
Trojan-Spy.Win32.Agent.awmv ina6iq.com/file.exe
Trojan-Downloader.Win32.Obfuscated.ijz www2.porntube-vip.com/FlashPlayerH264Ext.exe
検体提出します。
19:18
09/07/04 00:31:17
カスペからの返事
>>12(>>18) tane0428
11+3=14/15、残1(11630.exe)
sopidkc.exe - Trojan.Win32.Delf.mqh (検出) (←HEUR:Trojan.Win32.Generic)
tpsaxyd.exe - Trojan-Downloader.Win32.DlfBfkg.em (検出) (←HEUR:Trojan.Win32.Generic)
AntiVirusPro.exe - not-a-virus:FraudTool.Win32.AntivirusPlus.jm
1fast-antimalware-scanner.com.htm - Trojan-Downloader.JS.FraudLoad.a
Setup-6a75f4c_02009-1320.exe - Trojan.Win32.FraudPack.pfq
New malicious software was found in these files.
20:名無しさん@お腹いっぱい。
09/07/04 02:28:16
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 7個入っています。MDLの2009/07/02分で、スレ既出を除いた分。
ancom1.ru\install.exe
URLリンク(www.virustotal.com) (13/41)
free-full.com\Tupac.-.All.Eyez.On.Me.(1996).exe
URLリンク(www.virustotal.com) (7/41)
vikd3jj-1.com\index.htm
URLリンク(www.virustotal.com) (7/40)
vikd3jj-1.com\goodCiceroOf.pdf
URLリンク(www.virustotal.com) (12/41)
vikd3jj-1.com\lookedGoingWhich.swf
URLリンク(www.virustotal.com) (8/41)
vikd3jj-1.com\update.exe
URLリンク(www.virustotal.com) (17/41)
www.toncom.net\indexn.exe
URLリンク(www.virustotal.com) (22/41)
21:名無しさん@お腹いっぱい。
09/07/04 02:40:58
>>20
AVIRA9 7.01.04.179
●ancom1.ru\install.exe - TR/Dropper.Gen
●free-full.com\Tupac.-.All.Eyez.On.Me.(1996).exe - TR/Dropper.Gen
vikd3jj-1.com\index.htm - (UNDER ANALYSIS)
●vikd3jj-1.com\goodCiceroOf.pdf - HTML/Shellcode.Gen
vikd3jj-1.com\lookedGoingWhich.swf - (UNDER ANALYSIS)
●vikd3jj-1.com\update.exe - TR/Dldr.Agent.xqa
●www.toncom.net\indexn.exe - TR/Banker.cnvu
黒5,未検出2。未検出分 提出済み
-----
Kaspersky 2009/07/04 1:52:00
ancom1.ru\install.exe
●free-full.com\Tupac.-.All.Eyez.On.Me.(1996).exe
▲vikd3jj-1.com\index.htm - HEUR:Trojan-Downloader.Script.Generic
●vikd3jj-1.com\goodCiceroOf.pdf - Exploit.JS.Pdfka.mr
●vikd3jj-1.com\lookedGoingWhich.swf - Exploit.SWF.Agent.bl
●vikd3jj-1.com\update.exe - Trojan.Win32.Inject.afgz
●www.toncom.net\indexn.exe - Trojan.Win32.Agent.cnvu
黒5,HEUR 1,未検出1。HEURと未検出 提出済み
22:名無しさん@お腹いっぱい。
09/07/04 02:50:00
>>20さん乙
Symantecとa-squaredとMalwarebytesに提出しました
コンフィッカーオートランが活動中です。。。ご注意を
URLリンク(h.imagehost.org)
23:名無しさん@お腹いっぱい。
09/07/04 03:25:08
Rising 2009 21.45.44 (21.36.44.00)
>>12
207.159.133.42\11630.exe>>upx_c: Dropper.Win32.Undef.zt
207.159.133.42\wow.exe: Trojan.PSW.Win32.WoWar.bhv
74.52.164.210\sopidkc.exe: Trojan.DL.Win32.Undef.ese
freett.com\hb.exe: Worm.Win32.DownLoad.ki
ina6iq.com\file.exe: Trojan.Win32.Obfuscated.frq
5/15
>>20
vikd3jj-1.com\update.exe: Trojan.Win32.Nodef.kjl
free-full.com\2Pac[1].-.All.Eyez.On.Me.45026.exe: Suspicious:Packer.Win32.Agent.aq
1(+1)/7
提出完了(RS2009062300143)
こっちでも一応報告
>>5のRising提出先(1)(3)
RARまたはZIPで圧縮、パスワード付き圧縮・分割圧縮は不可、5MBまで
(2)も多分共通仕様(+Description必須)
24:名無しさん@お腹いっぱい。
09/07/04 03:26:43
>>20
McAfee (Active Protection 無効)4/7
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
goodciceroof.pdf |inconclusive | | |no
lookedgoingwhich.swf|inconclusive | | |no
update.exe |inconclusive | | |no
25:名無しさん@お腹いっぱい。
09/07/04 04:15:12
>>23訂正
RS2009062300143→RS2009070400001
>>20、Rising
2Pac[1].-.All.Eyez.On.Me.45026.exe: Trojan.Win32.Generic.51E9C31C
index.htm: 安全文件
他4ファイル: 分析中
26:20
09/07/04 08:43:27
>>21
Kaspersky返答
●vikd3jj-1.com\index.htm - HEUR:Trojan-Downloader.Script.Generic → Trojan-Downloader.JS.Agent.egy
27:名無しさん@お腹いっぱい。
09/07/04 09:49:34
COMODO Internet Security 1538
全スレより
tane423 6/12
tane424 200/200
tane425 33/54
tane426 30/48
tane427 4/7
>>12
12/15
>>20
2/7
未検出分を提出しました
28:名無しさん@お腹いっぱい。
09/07/04 10:20:10
>>20
繋がらなかった、AntinyLabsとLavasoftと、面倒なんでパスしたNormanとZoner以外は一通り提出。
Aviraは2ファイルスルー
昨晩から、Lavasoftに繋がらない。サーバー落ちてるのかな。
29:18
09/07/04 11:24:39
カスペ2010 10:02:00
>>12(>>18,19) tane0428
11+4=15/15でクローズ
Trojan program Trojan.Win32.Agent2.kuz tane0428\207.159.133.42\11630.exe
30:名無しさん@お腹いっぱい。
09/07/04 11:36:24
>>20d tane 0429 (>>21,26)
>>21 代理提出d
カスペ2010 10:02
6+1=7/7でクローズ
Trojan.Win32.FraudPack.pfx tane0429.zip/ancom1.ru/install.exe
31:名無しさん@お腹いっぱい。
09/07/04 13:39:39
検体入手に活用されてた、Marware List が This Account Has Been Suspended になってました。
他のマルウェアアンテナみたいなとこ探さないとなぁ。
32:名無しさん@お腹いっぱい。
09/07/04 14:00:19
>>31さん
それだと『マーウェア』です。。。汁
33:名無しさん@お腹いっぱい。
09/07/04 14:22:54
カスペからの返事
41/48、白5、残2 (totalsecurityフォルダの2ファイル-install.exe, scan.php)
前スレ772 (779,784,787) tane0426
datオーバーで書けなかったので…。
"id.php" , "static.std" and "tupac-all-eyez-on-me-1996.html "
No malicious software was found in the attached file.
>>31
乙です。
34:名無しさん@お腹いっぱい。
09/07/04 14:32:58
●前スレ、最近1週間にうpされた検体(dat落ちして見れない人用)念のため。レス用。
699 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 06:13:19
URLリンク(tane.sakuratan.com)
infected
700 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 06:55:57
URLリンク(tane.sakuratan.com)
infected
705 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 10:32:46
URLリンク(tane.sakuratan.com)
infected
706 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/27(土) 23:03:06
URLリンク(tane.sakuratan.com)
infected
713 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/28(日) 15:50:43
URLリンク(tane.sakuratan.com)
infected
723 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/29(月) 22:52:53
URLリンク(tane.sakuratan.com)
infected
732 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/06/30(火) 13:31:27
URLリンク(tane.sakuratan.com)
infected
35:名無しさん@お腹いっぱい。
09/07/04 14:35:36
742 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/01(水) 01:41:37
URLリンク(tane.sakuratan.com)
infected
757 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/02(木) 01:47:57
URLリンク(tane.sakuratan.com)
infected
※リネージュ資料室の更新リスト+α
760 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/02(木) 08:37:34
URLリンク(tane.sakuratan.com)
URLリンク(tane.sakuratan.com)
infected
下は、ZIPの中身は7zのパスなしアーカイブに圧縮してあります。
769 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/03(金) 10:52:23
URLリンク(tane.sakuratan.com)
infected
772 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/03(金) 16:39:15
URLリンク(tane.sakuratan.com)
infected
778 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/03(金) 20:05:01
URLリンク(tane.sakuratan.com)
virus
独立して一検体、一レスにした方がレスしやすいとも思ったけれど、参考用なので、まとめて。
36:名無しさん@お腹いっぱい。
09/07/04 17:38:57
>>35
前スレ742(746-747,753,756,764,768) tane0421
カスペからの返事
80+(7+1)=88/96, 白5 残3 (88.198.234.133フォルダ3files)
bidch.js_ - Trojan-Downloader.JS.FraudLoad.b
New malicious software was found in this file.
xindex.php, xplays.php - No malicious code were found in these files.
37:名無しさん@お腹いっぱい。
09/07/04 22:39:16
723 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/04(土) 18:39:38
Clamwinの常駐保護付きバージョンに、moon secure てのがあるじゃん。
これ自身がウイルス感染してる、って出たんだけど、どうよ。
問題のファイルは2つ。
moonsysh.dll
moontray.exe
結果
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
今まで使ってたんだけど、心配になった。
38:名無しさん@お腹いっぱい。
09/07/04 22:39:48
URLリンク(tane.sakuratan.com)
infected
日替わりscr
VirusTotalでスルーしてるベンダーには全て提出済み。
他のVTに載ってないベンダーも、Norman、Zoner、Lavasoftを除いて全て提出済み。
AntiVir 全検出
39:名無しさん@お腹いっぱい。
09/07/04 22:41:12
>>37
>>3
|【重要】
|●ここは鑑定スレではありません!!!!!
|
|※鑑定したい人は勝手に下のVirusTotalなどを使用してください。
スルーします。
40:名無しさん@お腹いっぱい。
09/07/04 22:42:07
>>38
マカフィー自動返答。全部ヒューリスティックで検知。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
online.zip |heuristic detection |generic backdoor!hv.k |Trojan |no
online.scr |heuristic detection |generic backdoor!hv.k |Trojan |no
xxxcxq.exe |heuristic detection |generic backdoor!hv.k |Trojan |no
41:名無しさん@お腹いっぱい。
09/07/04 23:50:52
>>38
PandaGlobalProtection2010
Virus detected: Trj/CI.A On-demand antivirus scan 2009/07/04 11:46... Deleted 張佑赫.exe
Virus detected: Trj/CI.A On-demand antivirus scan 2009/07/04 11:46... Notified online.zip[online.scr][Ae????.exe]
Suspicious file On-demand antivirus scan 2009/07/04 11:46... Notified online.scr[Ae????.exe]
42:名無しさん@お腹いっぱい。
09/07/04 23:56:28
>>38
GDATAInternetSecurity2010(BitDefender)
Object: (RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr=>(RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.zip
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: 張佑赫.exe
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
43:名無しさん@お腹いっぱい。
09/07/04 23:59:22
>>38
GDATAInternetSecurity2010(avast!)
Object: 張佑赫.exe
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj] (Engine B)
Object: online.scr
Status: Virus detected
Virus: Win32:Trojan-gen {Other} (Engine B)
Object: online.scr
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj], Win32:Trojan-gen {Other} (Engine B)
Object: online.scr\張佑赫.exe
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj] (Engine B)
Object: online.scr
Status: Virus detected
Virus: Win32:Trojan-gen {Other} (Engine B)
Object: online.zip
Status: Virus detected
Virus: Win32:Downloader-AZY [Trj], Win32:Trojan-gen {Other} (Engine B)
ちなみにNortonはオールスルーでした
44:名無しさん@お腹いっぱい。
09/07/05 00:12:13
34 名前:名無しさん@お腹いっぱい。[] 投稿日:2009/07/04(土) 23:47:28
Bavast!(無料のアンチウイルスソフト)で確認
URLリンク(www.btfree.info)
Code by: 790e3cc3feabad9
35 名前:名無しさん@お腹いっぱい。[sage] 投稿日:2009/07/04(土) 23:56:39
の3はコード入れてダウンロードすると
avastのプロフェッショナルバージョンのkeygenのRARファイルと
表示されるけど無料のavastでチェックしたらマルウェアと診断された・・
Virustotalで解析しても今日現在だと半分以上が黒と診断してる
45:名無しさん@お腹いっぱい。
09/07/05 00:27:32
>>44
URLリンク(www.virustotal.com)
Kaspersky・・・
46:名無しさん@お腹いっぱい。
09/07/05 01:21:40
>>44
6/23に各ベンダーに提出済み…だけど、キージェネ系はこのスレではアウトなんだな。
>>45
カスペ返答(出した当日に返答来てます)
keygen.exe
No malicious code was found in this file.
47:20
09/07/05 13:55:05
>>44-46
VTの結果が偽keygenなので、私の方でもKasperskyに提出してみました。
keygen.exe - Trojan.Win32.Agent.cooa
New malicious software was found in the attached file.
前スレでもありましたが、Kasperskyはアナリストの(技量の)差が明らかにあります。
この辺はちょっと注意ですね。
あと、鑑定っぽくなるんでアレですが、仮想PCでそのkeygen.exeを実行した結果、
・感染後に作製されるファイルが Trojan-PSW.Win32.Kates.c
・レジストリのAUXにウイルスの登録
・sqlsodbc.chmの改変発生
なんで、これgumblarの一種ですね。 前回の騒ぎの時に確保しそこねたファイルか、再活動をはじめたのかは不明ですが...
48:20
09/07/05 14:11:45
>>47
ちなみに現状。
URLリンク(www.virustotal.com) (30/41)
むー、Kasperskyは>46さんから受け取ったアナリストの責任が大きいな。 他社からかなり遅れてしまった。
49:20
09/07/05 14:24:37
>>44-48 一応、ロダに上げておきます。
URLリンク(www.tane.sakuratan.com)
DL virus/解凍 virus
【中身】 >44のファイル。2個入っています。
keygenexe
>48
ohqhdr.gcm
URLリンク(www.virustotal.com) (26/41)
AVIRAは両方検出するんで何もしてません。つか、これ新種じゃないし。 Kasperskyは >47の通りです。
50:名無しさん@お腹いっぱい。
09/07/05 14:40:11
>>47
GENO系スレにこそっと貼られてたのはそういう意味だったか。
Ilya Tols****inさん、次からは気をつけてねー (-ノ-)/Ωチーン
(プライバシー保護の為、アナリスト名にはマスクをかけてあります)
51:20
09/07/05 14:41:02
>>38
Kaspersky2009 2009/07/05 14:10:00
online.scr - Backdoor.Win32.PcClient.asik
online.zip - Backdoor.Win32.PcClient.asik
張佑赫.exe - Backdoor.Win32.PcClient.asik
黒3/3 なので、特に何もしません。
52:名無しさん@お腹いっぱい。
09/07/05 15:53:11
URLリンク(tane.sakuratan.com)
infected
リネージュ資料室の更新リストより。日替わりのscr。AntiVirは全検出。
LavasoftとVTで全検出しているベンダー以外は、NormanやZonerも含め、
Wikiのまとめにある各社全てに提出済みです。(カスペも出してますので再提出不要です)
53:名無しさん@お腹いっぱい。
09/07/05 16:02:54
URLリンク(tane.sakuratan.com)
infected
■検体入手元■
Malware Database 07/04のもの。FakeAVとFakeCodec。
LavasoftとVTで全検出しているベンダー以外は、NormanやZonerも含め、
Wikiのまとめにある各社全てに提出済みです。
(カスペはVTの結果で全検出だったので提出せず)
54:名無しさん@お腹いっぱい。
09/07/05 16:04:00
■>53の各社検出名■
AntiVirは1ファイルのみ検知
avyodu.cn/installer_70126.exe : TR/Dldr.FraudLoad.evw Trojan
Symantec返答
filename: avyodu.cn.htm
filename: avyciso.cn.htm
result: This file is detected as Trojan.Fakeavalert.
filename: installer_70126.exe
result: This file is detected as AntiVirus2008.
filename: streamviewer.40014.exe
filename: keygen.Stellar.Phoenix.File.Recovery..3.0.0.1.45088.exe
result: See the developer notes
まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
avyciso.cn.htm |current detection |generic fakealert!htm |Trojan |no
avyodu.cn.htm |current detection |generic fakealert!htm |Trojan |no
installer_70126.exe |current detection |fakealert-df |Trojan |no
keygen.stellar.phoen|inconclusive | | |no
streamviewer.40014.e|inconclusive | | |no
55:名無しさん@お腹いっぱい。
09/07/05 16:51:48
>>52
PandaGlobalProtection2010
Virus detected: Trj/CI.A
www.shaimokale.com\張佑赫.exe
www.shaimokale.com\online.zip[online.scr][Ae????.exe]
www.shaimokale.com\online.zip[online.scr]
www.shaimokale.com\online.sc
それ以外はSuspicious fileファイルとして全検出
※今までの検出報告形式だと見づらいと思ったので趣向変えました
56:名無しさん@お腹いっぱい。
09/07/05 16:54:35
>>53
PandaGlobalProtection2010
Suspicious file
greatexe.com\streamviewer.40014.exe
keygen.Stellar.Phoenix.File.Recovery..3.0.0.1.45088.exe
Virus detected: Trj/CI.A
avyodu.cn\installer_70126.exe
57:名無しさん@お腹いっぱい。
09/07/05 17:02:51
>>52
GDATAInternetSecurity2010(avast!+BitDefender)
Object: 1188.exe
Status: Virus detected
Virus: Win32:Adware-gen [Adw] (Engine B)
Object:www.muswou.com\play.scr
Status: Virus detected
Virus: Win32:Trojan-gen {Other} (Engine B)
Object: play.scr
Status: File moved to quarantine
Virus: Win32:Adware-gen [Adw], Win32:Trojan-gen {Other} (Engine B)
Object: (RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.scr=>(RAR Sfx o)=>張佑赫.exe
Status: Virus detected
Virus: Trojan.Generic.2050009 (Engine A)
Object: online.zip
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
Object: 張佑赫.exe
Status: File moved to quarantine
Virus: Trojan.Generic.2050009 (Engine A)
58:名無しさん@お腹いっぱい。
09/07/05 17:04:56
>>53
GDATAInternetSecurity2010(avast!+BitDefender)
Object: avyodu.cn.htm
Status: File moved to quarantine
Virus: JS:FakeAV-AH [Trj] (Engine B)
Object: avyciso.cn.htm
Status: File moved to quarantine
Virus: JS:FakeAV-AH [Trj] (Engine B)
Object: installer_70126.exe
Status: File moved to quarantine
Virus: Gen:Trojan.Heur.8202FDA8D9 (Engine A)
59:名無しさん@お腹いっぱい。
09/07/05 17:09:47
>>52
NortonInternetSecurity2009
Trojan Horse:www.muswou.com\play.scr
60:名無しさん@お腹いっぱい。
09/07/05 17:13:33
>>53
NortonInternetSecurity2009
Trojan.Fakeavalert:avyciso.cn.htm、avyodu.cn.htm
AntiVirus2008:installer_70126.exe
61:名無しさん@お腹いっぱい。
09/07/05 18:31:45
カスペ 2010 9.0.0.451CF1ベータ 16:34
CF1テスト中のため、参加遅れた。orz
>>38 d tane0430
>>51の通り,3/3で閉鎖
>>49 d tane0431
1/2 、ただし、アナリスト返事で1+1=2/2 (>>44-48)
Trojan program Trojan-PSW.Win32.Kates.cohqhdr.gcm
>>52 dtane0432
3/5 (www.muswou.com\1188.exe, play.scrスルー)
Backdoor.Win32.PcClient.asjr www.shaimokale.com\online.scr \online.zip \online.zip 張佑赫.exe
>>53 d tane 0433
5/5
Trojan-Downloader.HTML.FraudLoad.a avyodu.cn\avyciso.cn.htm、 avyodu.cn.htm
Trojan-Downloader.Win32.FraudLoad.evw avyodu.cn\installer_70126.exe
Trojan-Downloader.Win32.CodecPack.ila greatexe.com\keygen.Stellar.Phoenix.*45088.exe, streamviewer.40014.exe
代理提出の方d
62:名無しさん@お腹いっぱい。
09/07/05 21:08:13
>>34
前スレ705 tane0416 (711,753)
カスペ再提出
5+(1+1)=7/57、白1、残49(porn,scanallフォルダのPHPとjs)
free-tube-orgasm.biz\index.php - Trojan-Downloader.Win32.FraudLoad.ewf
New malicious software was found in this file.
websystemsec.info\websystemsec.info.htm - No malicious code was found in this file.
63:20
09/07/05 21:16:23
>>44-49
Kaspersky2009 2009/07/05 20:52:00で検出可能になっています。一応報告。
64:名無しさん@お腹いっぱい。
09/07/05 21:50:25
URLリンク(tane.sakuratan.com)
infected
■ 検体入手元 ■
Malware Database 7/5分より
p://spacefunk■cn/go■php?id=2012&key=b6a0fad62&p=1
p://fast-antimalware-scannerv2■com/1/?id=2012&query=09689f146&q=%3DzQx3zj3NkQNMI%3DN
p://fast-antimalware-scannerv2■com/download/Setup(ランダム)■exe
どうみても、落とすページは Fake AV なんですが、落ちてくるexeはVTでは検出なし。
何度やってもファイル名は違うものの同じバイナリが落ちてくるので配布元がミスっているのか、
新種なので検知しないのか、それともIP見て無害なのを流されたか(それはないか…)
Setup-a3b7f_02012.exe(0/41)
URLリンク(www.virustotal.com)
各社への提出はこれからやります。
65:名無しさん@お腹いっぱい。
09/07/05 22:03:01
>>53
Nortonは残りのファイルはDownloaderとして全検出完了
66:名無しさん@お腹いっぱい。
09/07/05 22:06:49
>>64
Norton2009、Panda2010、GDATA2010、Avira全部スルーでした
検体提出してくれるようなので私は何もしません
67:名無しさん@お腹いっぱい。
09/07/05 22:50:39
>>64
一応、各社に提出完了。配布準備中だったのか…exeは無害なんかねぇ?
F-Secure SAS の結果。
fast-antimalware-scannerv2.com.htmは投稿直後に疑惑ステータス。他はクリーン。
Norman
Setup-a3b7f_02012.exe : Not detected by Sandbox (Signature: NO_VIRUS)
Rising
2. Filename:Setup-a3b7f_02012.exe
No malware.
68:名無しさん@お腹いっぱい。
09/07/05 23:06:38
>>64
Nortonが早速一個検出してくれました
XPAntivirus:Setup-a3b7f_02012.exe
69:名無しさん@お腹いっぱい。
09/07/05 23:23:07
>>64 d
カスペ2010 22:02
1/6 (DownloadのSetup-*a3f*.exeと、imgの4つの jsファイルはスルー)
Trojan-Downloader.JS.FraudLoad.a \fast-antimalware-scannerv2.com\fast-antimalware-scannerv2.com.htm
カスペからの返事
>>35 tane0421
前スレ742(746-747,753,756,764,768、本スレ>>36) (88.198.234.133)
80+10=90/91/96、 白5で本件クローズ
index-go.htm_ - Trojan-Downloader.JS.Agent.ehc,
new.exe_ - Trojan-Dropper.Win32.Agent.avfn
search.php - No malicious code was found in this file.
>>34 tane 0419
前スレ723 (727,739,741,753,764)
43+(5+1)=49/56 ,白6, 回答待ち1 yes.txt)
w ww.free-celeb-videos.net.htm - - Trojan-Downloader.HTML.Agent.pl
70:20
09/07/05 23:40:51
>>64,67 乙です。
一通り提出して頂いているようなので、exeだけ単独で送ってみました。
Setup-a3b7f_02012.exe - Trojan-Downloader.Win32.FraudLoad.ews
New malicious software was found in this file.
exe単独は返事早いですね。 ということで、実行ファイルは黒でした。
71:名無しさん@お腹いっぱい。
09/07/06 00:00:08
>>38
Norton全検出確認(詳細な検出報告できなくてごめんなさい)
72:名無しさん@お腹いっぱい。
09/07/06 00:03:41
>>52
NortonInternetSecurity2009
Backdoor.Formador:online.zip、online.scr
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
4937日前に更新/500 KB
担当:undef