【鑑定目的禁止】検出 ..
72:名無しさん@お腹いっぱい。
09/07/06 00:03:41
>>52
NortonInternetSecurity2009
Backdoor.Formador:online.zip、online.scr
73:名無しさん@お腹いっぱい。
09/07/06 00:08:29
前スレ772
NortonInternetSecurity2009
Infostealer:w.exe
Trojan Horse:MusicTupac-*.exe
74:62
09/07/06 00:11:55
>>34
前スレ705 tane0416 (711,753, >>62)
カスペからの返事
5+(1+1)=7/57、白1+4=5、残45(pornフォルダの 45 PHP files)
scanallviruses.comフォルダ
flist.js_, jquery-init.js_, jquery.js_, scanallviruses.com.htm_
No malicious code were found in these files.
75:名無しさん@お腹いっぱい。
09/07/06 02:45:19
>>44
URLリンク(www.filefactory.com)
たぶん、これも亜種
76:名無しさん@お腹いっぱい。
09/07/06 03:04:42
>>75
VirusTotal(22/40)
URLリンク(www.virustotal.com)
77:名無しさん@お腹いっぱい。
09/07/06 03:26:45
Kaspersky・・・
avast!(笑)
78:20
09/07/06 07:01:36
>>75-77
それは本当のKeygenかもしれんので、要注意。(単なるトロイではなく、Keygen+トロイという可能性)
※ Symantecの所が Hacktool になっているのが危ない。パスワード破りのツール等に分類されると、
Symantecがこういう検出名を付けることが多い。
今から出張でしばらく不在のため確認できないので、一応注意喚起します。
提出する人はご注意下さい。(特にavastに出す人)
79:名無しさん@お腹いっぱい。
09/07/06 08:16:18
COMODO Internet Security 1551
>>38
3/3
>>49
1/2
>>52
3/5
>>53
2/5
>>64
1/6
Setup-a3b7f_02012.exeのみ検出
>>75
VirusTotalでは反映されてませんが検出します
Heur.Packed.Unknown
未検出分を提出しました。
80:1
09/07/06 14:18:18
>>3とスレタイ通り
keygenの類を際限なくチェックしていると、ダウン板住民の格好のおとりになる危険がある。
割れ厨がアップローダに無責任にファイルをあげて、自らの手を汚さず、セキュ板住人に安全性をチェックさせていく構図が生まれる。
nyや洒落で流れている写真屋のキージェネのexeなんて、いくらでもあるぞ。
割れ厨を救済する義理も全くないし、厄介事にもかかわりたくないんだが。
うpする人も信頼できる人に特定した方がいいのかな。
81:名無しさん@お腹いっぱい。
09/07/06 14:19:45
>>76
そのスキャン結果は5月1日のものだけど
今日の結果ではどうなの?
2ヶ月前の結果出されても参考にならないよ
82:名無しさん@お腹いっぱい。
09/07/06 14:40:44
76ではないが・・・
VirusTotal(25/41)
URLリンク(www.virustotal.com)
83:名無しさん@お腹いっぱい。
09/07/06 14:48:16
>>80
提出するしないは各個人の自由かつ自己責任でいいと思う。
>>76
カスペには一応提出
でも、今後は見合わせる予定。
84:82
09/07/06 14:48:43
間違えた(汗
VirusTotal(19/41)
URLリンク(www.virustotal.com)
85:名無しさん@お腹いっぱい。
09/07/06 14:54:38
>>75
それは本当のavast!(笑)Keygenだな。
86:名無しさん@お腹いっぱい。
09/07/06 15:00:32
検出数とMD5を比較すると
>>76 22/40 (55.00%) 3e492441557ae98f27f01df4042625a7
>>84 19/41 (46.35%) 3e492441557ae98f27f01df4042625a7
同じファイルの結果だけど2ヵ月後には
a-squared、BitDefender、F-Secure、GData、Normanが白判定に変わって
ClamAV、eSafeが黒判定に変わってるね
Ikarusは白判定で検出のまま変わらず
検出してるところは誤検出の可能性がありそうだね
87:名無しさん@お腹いっぱい。
09/07/06 17:54:55
URLリンク(enif.mmobbs.com) から来ました。
Value DomainのWebサイト改竄で外部から仕込まれるJavaScript
URLリンク(tane.sakuratan.com)
infected
VirusTotal(6/41)
URLリンク(www.virustotal.com)
88:名無しさん@お腹いっぱい。
09/07/06 18:00:35
>>87
Panda、GDATA2010(=avast!&BitDefender)へ提出完了
89:名無しさん@お腹いっぱい。
09/07/06 18:30:44
>>87
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
go.jpg |inconclusive | | |no
90:名無しさん@お腹いっぱい。
09/07/06 18:58:17
>>75
カスペからの返事
a.exe (=keygen.exe) 改名して提出した結果
No malicious code was found in this file
.
>>47がTrojan.Win32."Agent" なので、白黒何も言えない。
>>87d
VT通り、スルー 0/1
提出します。
91:名無しさん@お腹いっぱい。
09/07/07 07:22:28
URLリンク(tane.sakuratan.com)
virus
jsとhtmはmsvidctl.dllの脆弱性のスクリプト。
URLリンク(www.microsoft.com)
exeはオマケみたいなもん。
92:名無しさん@お腹いっぱい。
09/07/07 08:57:33
>>91
Syamantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
exeはおまけといってるものの一応Symantecから自動返答
filename: trj1_1.exe
machine: Machine
result: See the developer notes
filename: trj1.exe
machine: Machine
result: See the developer notes
93:名無しさん@お腹いっぱい。
09/07/07 09:33:17
>>91
AviraPremiumSecuritySuite
msvideo1.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo1.js [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo2.htm [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
msvideo2.js [DETECTION] Contains recognition pattern of the HTML/Shellcode.Gen HTML script virus
nspk1.exe [DETECTION] Is the TR/Crypt.NSPM.Gen Trojan
trj1.exe
[0] Archive type: RSRC
[DETECTION] Is the TR/Spy.Gen Trojan
trj1_1.exe
[0] Archive type: RSRC
[DETECTION] Is the TR/Spy.Gen Trojan
94:名無しさん@お腹いっぱい。
09/07/07 09:37:30
>>91
NortonInternetSecurity2009
Downloader.Fostrem:msvideo1.htm、msvideo1.js、msvideo2.htm、msvideo2.js
Hacktool:nspk1.exe
95:名無しさん@お腹いっぱい。
09/07/07 09:40:05
>>91
PandaGlobalProtection2010
Virus detected: Trj/CI.A:nspk1.exe
Suspicious file:trj1.exe
96:名無しさん@お腹いっぱい。
09/07/07 09:42:36
>>91
GDATAInternetSecurity2010
nspk1.exe
Virus: Trojan.Dropper.RHC (Engine A)
※avast!側でも検出可能
97:90
09/07/07 11:03:40
カスペ2010 10:35
>>91d tane0436
3/7 検体提出します。
Trojan program Exploit.JS.DirektShow.b tane0436\msvideo1.js
Trojan program Exploit.JS.DirektShow.b tane0436\msvideo2.js
not-a-virus:NetTool.Win32.ZXProxy.h tane0436\nspk1.exe
>>87 tane0435(>>90)
0+事後検知1/1で閉鎖
Trojan program Exploit.JS.DirektShow.b tane0435\go.jp (検知)
98:名無しさん@お腹いっぱい。
09/07/07 11:56:43
>>91
マイクロソフト、Video ActiveXコントロールの脆弱性について警告
URLリンク(japan.cnet.com)
『IE』に対する新たなゼロデイ攻撃
URLリンク(japan.internet.com)
ゼロデイか。
パッチ未提供で、コードが出回っているって。orz
当面は、アドバイザリにしたがい、回避策を実行するしかないのかな。
MSの言い方では、7月の月例パッチには間に合わないように聞こえる。orz
99:名無しさん@お腹いっぱい。
09/07/07 12:06:34
URLリンク(tane.sakuratan.com)
pass:virus
今朝、スキャンしたら検出しますた。
使用:あばすとー!
100:名無しさん@お腹いっぱい。
09/07/07 12:32:58
>>98
5月のquartz.dllのQuickTime呼び出しの件
URLリンク(www.microsoft.com)
すら未パッチだしねぇ。
101:名無しさん@お腹いっぱい。
09/07/07 12:52:15
>>99
一応SymantecとPandaとGDATA2010(今回はBitDefenderのみ)に提出しといた
102:名無しさん@お腹いっぱい。
09/07/07 13:59:13
>>91
AntiVir9 全検出
msvideo1.htm : HTML/Shellcode.Gen HTML script virus
msvideo1.js : HTML/Shellcode.Gen HTML script virus
msvideo2.htm : HTML/Shellcode.Gen HTML script virus
msvideo2.js : HTML/Shellcode.Gen HTML script virus
nspk1.exe : TR/Crypt.NSPM.Gen Trojan
trj1.exe : TR/Spy.Gen Trojan
trj1_1.exe : TR/Spy.Gen Trojan
103:名無しさん@お腹いっぱい。
09/07/07 14:01:03
URLリンク(tane.sakuratan.com)
infected
MalwareDatabase 7/6分より
104:名無しさん@お腹いっぱい。
09/07/07 14:02:59
>>103
AntiVirとAntiyLabsにはftp経由で提出済み。
AntiVir検出結果
bot.anhheo.com/IEupdate.exe : -
cutaiamortgagegroup.cn/load.exe : DR/Delphi.Gen dropper
down.ddosor.cn/1.exe : -
down.ddosor.cn/2.exe : TR/Crypt.FKM.Gen Trojan
down.ddosor.cn/6.exe : TR/Crypt.XPACK.Gen Trojan
down.ddosor.cn/9.exe : TR/Crypt.ULPM.Gen Trojan
download.live-player.com/Live-Player_setup.exe : ADSPY/LivePlayer.A.44 adware or spyware
free-ipodtouch.com/technigo.exe : TR/Dropper.Gen Trojan
inb4sk.com/file.exe : TR/Crypt.XPACK.Gen2 Trojan
msnweb.dyns.net/express.exe : TR/Dropper.Gen Trojan
msnweb.dyns.net/IMG511975310_134453_9198-JPG.EXE : DR/Agent.vad dropper
s10248s0s.tzsx226.2666.com.cn/026.exe : TR/Crypt.FKM.Gen Trojan
tube-best-4free.com/TubeViewer.ver.6.40000.exe : -
tube-best-4free.com/xplay.php : -
www.alfafoxx.com/mbt.exe : TR/Crypt.ZPACK.Gen Trojan
www.hkzj520.com/ok.exe : TR/Dropper.Gen Trojan
xpdeluxeprotector.com/109.exe : TR/Crypt.ZPACK.Gen Trojan
xpdeluxeprotector.com/113.exe : TR/Spy.45059 Trojan
xpdeluxeprotector.com/116.exe : -
zuka.dsl.ge/wetin.exe : DR/Delphi.Gen dropper
105:名無しさん@お腹いっぱい。
09/07/07 14:06:29
>>103
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
106:97
09/07/07 14:36:21
カスペからの返事
>>91(>>97) tane0436
3+2=5, 残2(troj1.exe, troj1_1.exe)
msvideo1.htm_, msvideo2.htm_ - Exploit.JS.DirektShow.c
New malicious software was found in these files.
107:名無しさん@お腹いっぱい。
09/07/07 15:03:02
カスペ2010 13:59:00
>>103 d
tane0438
11/20
Trojan-Dropper.Win32.Wlord.gen \cutai*\load.exe (1/1)
Trojan.Win32.Multis.hl \down.ddosor.cn\2.exe '(2/4, - 1.exe, 6.exe スルー)
Trojan.Win32.AntiAV.bwg \down.ddosor.cn\9.exe
Trojan-Spy.Win32.TDSS.bk \inb4sk.com\file.exe (1/1)
Trojan.Win32.Agent.cnrq \msnweb.*\express.exe (2/2)
Trojan.Win32.Agent.cnrq \msnweb.*\IMG511975310*JPG.EXE
Backdoor.Win32.Delf.puh \s10248s0s*\026.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.exe \tube-best*\TubeViewer.ver.6.40000.exe (1/2, - xplay.phpスルー)
Packed.Win32.Klone.bh \www.hkzj520.com\ok.exe (1/1)
Trojan-Downloader.Win32.FraudLoad.ewe \xpdeluxeprotector.com\113.exe (1/3, - 109.exe, 116.exe スルー))
Detected virus Net-Worm.Win32.Kolab.cnx \zuka.dsl.ge\wetin.exe (1/1)
スルー
bot*\IEupdate.exe, download*\ive-Player-Setup.exe, free-ipod\technigo.exe, wwwalfa*\mbt.exe
108:名無しさん@お腹いっぱい。
09/07/07 15:38:52
>>91 >>99 >>103
NormanとZoner以外はマイナー所も含め、一通り提出完了。(一部重複提出になってます。ベンダーさんごめんなさい)
109:107
09/07/07 18:16:24
カスペからの返事
>>103 tane0438 (>>107)
11+事後2=13/20 、白1、破損1、残5
xpdeluxeprotector.com\116.exe - Trojan-Downloader.Win32.FraudLoad.exm (返答→KDN検知)
bot.anhheo.com\IEupdate.exe - Trojan.Win32.Autoit.zs (検知)
free-ipodtouch.com\technigo.exe - This file is corrupted. (破損)
download.live-player.com\Live-Player_setup.exe - No malicious software (白)
>>52 (>>61) tane0432
tane0432\www.muswou.com\1188.exe, play.scr が未回答&未検知なのが気になる。
110:20
09/07/07 18:48:12
>>90
出張先のため検出可否判断はできないので、関係したこの件についてのコメントだけ...
>44-48のものと>75-77のものは、VTの結果を見ての通り、全くの別物です。
>75にある“亜種”というコメントが間違いです。(各ベンダーの検出時の種類が、ほとんど一致していない)
ですので、>75については、そのまま放置で可だと思います。(Anubisにも投げてみましたが、あまり変な挙動は無い)
# 多分>85が正解。
あと、DirectShow関連のゼロデイ攻撃、一気に増えそうな感じ...皆様乙です。しばらく手伝えませんが、頑張って下さい。
111:名無しさん@お腹いっぱい。
09/07/07 18:49:56
COMODO Internet Security 1573
>>87
スルー
>>91
nspk1.exe:Heur.Pck.NsPack
trj1.exe:Heur.Suspicious@25876964
2/7
>>99
スルー
>>103
down.ddosor.cn\9.exe:TrojWare.Win32.Trojan.Agent.Gen@23093763
inb4sk.com\file.exe:TrojWare.Win32.TrojanSpy.TDSS.~B@25841645
msnweb.dyns.net\express.exe:UnclassifiedMalware@25394088
tube-best-4free.com\TubeViewer.ver.6.40000.exe:Heur.Packed.Unknown
xpdeluxeprotector.com\113.exe:TrojWare.Win32.TrojanDownloader.FraudLoad.~AQZ@25841644
zuka.dsl.ge\wetin.exe:TrojWare.Win32.Trojan.Agent.Gen@19880492
6/20
未検出分を提出しました
112:107
09/07/07 22:20:58
カスペからの返事
>>103 tane0438 (>>107,109)
11+事後3=14/20 、白1、破損1、残4
www.alfafoxx.com\mbt.exe - Trojan-Downloader.Win32.Agent.chua
New malicious software was found in the attached file.
113:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:01:44
今晩、アプロダメンテへとはいりますね
みなさんよろしく
114:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:02:51
ついでに「某」抜かしました
午前0時にかけてメンテはいります
115:アプロダ”管理”人 ◆HL2fUAyECQ
09/07/07 23:25:03
アプロダメンテ完了
変更点
・ストレージを2GB
・再投稿秒数60秒
・ファイル保持数を5000
以上
116:名無しさん@お腹いっぱい。
09/07/08 03:33:36
あぷろだメンテお疲れ様です。早速利用してみました。
URLリンク(tane.sakuratan.com)
infected
■検体入手元
MalwareDatabase 7/6分より
p://m10b■com/in■cgi?2¶meter=
Redirect to
p://www■specialsuggestion■com/rl_keycmp■php?ct=46LU7&key=
Redirect to
p://m11b■org/in■cgi?2¶meter=
Redirect to
p://fast-filedownload■com/l/6c524f9d7bv7bp6en
Redirect to
p://ez-scanner-online■com/5/11/0/wsetup■exe
117:名無しさん@お腹いっぱい。
09/07/08 03:40:02
>>116
各社一通り提出済み。今回は珍しく、exeの検出率が悪いです。
片方のhtmlは比較的多目のベンダーが引っ掛けますが、exeと6c524f9d7bv7bp6en.htm以外は白判定かも。
AntiVir
6c524f9d7bv7bp6en.htm : HTML/FakeAlert.njh HTML script virus
他スルー
まかふぃー
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
6c524f9d7bv7bp6en.ht|current detection |generic fakealert!htm |Trojan |no
cse.htm |inconclusive | | |no
search.php |inconclusive | | |no
wsetup.exe |inconclusive | | |no
のーとん
filename: 6c524f9d7bv7bp6en.htm
result: This file is detected as Trojan.Fakeavalert.
(他は手動解析)
F-Secure SAS
6c524f9d7bv7bp6en.htm : Trojan-Downloader.HTML.FraudLoad.a
wsetup.exe : Trojan-Downloader.Win32.FraudLoad.exl
他2つは白判定/提出直後はexeが白判定だったけど、暫くしたら黒に変化。
118:名無しさん@お腹いっぱい。
09/07/08 13:05:25
IE Zero-Day attackがらみなんだが
URLリンク(ilion.blog47.fc2.com)
でレポされてるhellh.netにあるトロイ本体(f.gifと t.gif.gif)
の検出可否の報告がまだみたい(fk.pdfとgo.jpgは既出)なんだけど、
だれか可能な方いますか?
当方でURL踏んでも鯖が404返して検体が手に入らない・・・
119:91
09/07/08 13:16:23
>>118
>>91 のオマケのexeがt.gif.gif(を解凍したもの)です。
f.gifは入れ忘れたのでちょっとお待ちを。
120:名無しさん@お腹いっぱい。
09/07/08 13:26:21
URLリンク(tane.sakuratan.com)
virus
swfも入れときました(9.0.115用。それより古いFlashPlayerはシラネ)。
121:名無しさん@お腹いっぱい。
09/07/08 13:43:40
>>113-115 あっぷろーだ管理人さん 乙です。
カスペ2010 11:49:00
>>116 d tane0439
2/4 (m10b\cse.htm m11b.org\search.php スルー)
Trojan-Downloader.Win32.FraudLoad.exl ez-scanner-online.com\wsetup.exe
Trojan-Downloader.HTML.FraudLoad.a fast-filedownload.com\6c524f9d7bv7bp6en.htm
>>120 d tane0440
1/3 (i115,swf, n115.swf スルー)
virus Worm.Win32.AutoRun.gfq \tane0440\nspk2.exe
提出します。
122:121
09/07/08 13:53:28
カスペ2010 12:58:00
>>120 (>>121) tane0440
1+事後検知2=3/3でクローズ
Trojan program Exploit.SWF.Downloader.nt tane0440\i115.swf (検知)
Trojan program Exploit.SWF.Downloader.nu tane0440\n115.swf (検知)
123:名無しさん@お腹いっぱい。
09/07/08 14:01:06
はえーよw
124:名無しさん@お腹いっぱい。
09/07/08 14:49:22
>>120
Pandaへ提出完了(Symantecとavast!、BitDefenderは全検出なので何もせず)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
URLリンク(www.virustotal.com)
125:名無しさん@お腹いっぱい。
09/07/08 15:33:06
>>124の結果から、FlashPlayer関係を3件全部検出してるのは以下の19製品
a-squared, AhnLab-V3, AntiVir, Authentiumm, Avast, AVG, BitDefender, CAT-QuickHeal,
DrWeb, GData, Ikarus, Kaspersky, McAfee-GW-Edition, Microsoft, Norman, PCTools,
Rising, Sophos, Symantec
126:名無しさん@お腹いっぱい。
09/07/08 15:43:02
カスペからの返事
>>103(>>107,109,112) tane0438
11+事後4=15/20、白1、破損1,残3 (1.exe、6.exe、xplay.php)
xpdeluxeprotector.com\109.exe_ - not-a-virus:FraudTool.Win32.Agent.tc
New potentially risk software was found in this file.
>>123
誰か先に提出してくれていた分だと思う。d。
127:名無しさん@お腹いっぱい。
09/07/08 18:01:20
>>120
McAfee3/3
XP dat5669
i115.swf Exploit-CVE2007-0071
n115.swf Exploit-CVE2007-0071
nspk2.exe New Malware.u
virustotalと実機で結果が違うorz
128:名無しさん@お腹いっぱい。
09/07/08 18:31:43
>>127
extra.dat扱いなんじゃね?
129:名無しさん@お腹いっぱい。
09/07/08 18:45:56
カスペからの返事
>>52(>>61) tane0432
3+事後検出2=5/5でクローズ
1188.exe_, play.scr_ - Trojan-Dropper.Win32.Small.dog
New malicious software was found in these files.
>>116(>>121) tane0439
2/4、白2でクローズ
m10b.com\cse.htm_,
m11b.org\search.php
No malicious code were found in these files.
>>64(>>69,70) tane0434
1+1(>>70)=2/6、白1 残3 (*.jsファイル、ちなみにVT再解析しても0/41、白か?)
listfile.js_ - No malicious code was found in this file.
130:名無しさん@お腹いっぱい。
09/07/08 20:24:00
カスペ2010 19:27
>>103(>>107,109,112,126) tane0438
11+事後6=17/20、白1、破損1,残1 (xplay.php)
Trojan-Downloader.Win32.VB.ozn \down.ddosor.cn\1.exe (検知)
Trojan-Downloader.Win32.Agent.chxq \down.ddosor.cn\6.exe (返答)
(参考)
>>91,98,110
●MS、Windows XP/Server 2003のIEに対するゼロデイ攻撃への対策ツールを公開 (インプレス)
すでに広範囲で攻撃が確認されており、早急な対策が必要
URLリンク(www.forest.impress.co.jp)
URLリンク(internet.watch.impress.co.jp)
※中国を中心に最大1000程度のサイトが既にこのスクリプトに感染しており、さらに増加傾向。日本のサイトも被害に。
131:名無しさん@お腹いっぱい。
09/07/09 00:52:24
URLリンク(tane.sakuratan.com)
virus
132:名無しさん@お腹いっぱい。
09/07/09 01:00:15
>>131さん乙
Symantecとa-squaredとMalwarebytesに提出しました
NIS2009で1/7
133:名無しさん@お腹いっぱい。
09/07/09 06:30:38
>>132
McAfee (Active Protection 無効)0/7
未検出分をMcAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
1_1.exe |inconclusive | | |no
2.exe |inconclusive | | |no
2_1.exe |inconclusive | | |no
2_2.exe |inconclusive | | |no
dldr1.exe |inconclusive | | |no
trj1.exe |inconclusive | | |no
134:20
09/07/09 12:20:01
>>131
1.exe
URLリンク(www.virustotal.com) (16/41)
1_1.exe
URLリンク(www.virustotal.com) (4/41)
2.exe
URLリンク(www.virustotal.com) (15/41)
2_1.exe
URLリンク(www.virustotal.com) (9/40)
2_2.exe
URLリンク(www.virustotal.com) (7/41)
dldr1.exe
URLリンク(www.virustotal.com) (18/41)
trj1.exe
URLリンク(www.virustotal.com) (20/41)
VTでAVIRAが未検出の1_1.exeと2_2.exeは、AVIRAに提出しました。
Kasperskyは提出できる状況ではないので、他の人にお任せ。m(_ _)m
135:名無しさん@お腹いっぱい。
09/07/09 13:44:47
URLリンク(tane.sakuratan.com)
infected
MalwareDatabase 7/8分より
各社一通り提出済み(Norman,Zonerを除く)。今回もexeの検出率が悪いです。
[Detection possible other software]
1856317799/fk.pdf : HTML/Shellcode.Gen HTML script virus(AntiVir)
1856317799/jp.js : JS/Agent.HQ(F-Prot) , Trojan.Malscript!html(Symantec) , JS.EX-ActiveX.1096(ViRobot)
advanedspywarescan.com/Setup-d2f1c46_02022.exe : Trojan:Win32/FakeXPA(Microsoft)
exe-site.com/streamviewer.40069.exe : Trojan-Downloader.Win32.FraudLoad.exw(Kaspersky)
exe-site.com/xplays.php : - Not Detected - (Call streamviewer.40069.exe)
136:名無しさん@お腹いっぱい。
09/07/09 14:09:52
>>120
>>131
いずれも、各社一通り提出完了(Norman,Zonerを除く)。
137:名無しさん@お腹いっぱい。
09/07/09 14:59:17
URLリンク(tane.sakuratan.com)
virus
アメリカの複数のゲーマー向けサイトの広告に入っていたらしい
WoWの中国製パス抜きトロイ
138:名無しさん@お腹いっぱい。
09/07/09 16:51:37
>>135
Rising返答
1. Filename:streamviewer.40069.exe
Virusname:Trojan.Clicker.Win32.Agent.eos
2. Filename:xplays.php
3. Filename:fk.pdf
4. Filename:jp.js
5. Filename:Setup-d2f1c46_02022.exe
No malware.
まぁ、Risingだし・・・・・・・・・・・がんばれ。
139:名無しさん@お腹いっぱい。
09/07/09 16:53:36
ノートン自動返答
>>120
filename: n115.swf
filename: i115.swf
result: This file is detected as Bloodhound.Exploit.193.
filename: nspk2.exe
result: This file is detected as Trojan Horse. URLリンク(www.symantec.com)
>>131
filename: trj1.exe
result: This file is detected as Trojan.Dropper. URLリンク(www.symantec.com)
filename: 2_1.exe
filename: 2.exe
filename: 1_1.exe
filename: 1.exe
filename: dldr1.exe
filename: 2_2.exe
result: See the developer notes <手動解析へ>
140:名無しさん@お腹いっぱい。
09/07/09 16:55:55
まかふぃー自動返答
>>135
File Name Findings Detection Type Extra
--------------------|-----------------|------------------|------|-----
fk.pdf |inconclusive | | |no
jp.js |inconclusive | | |no
setup-d2f1c46_02022.|current detection|fakealert-di |Trojan|no
streamviewer.40069.e|inconclusive | | |no
xplays.php |inconclusive | | |no
>>120 >>131
File Name Findings Detection Type Extra
--------------------|-----------------|------------------|------|-----
1.exe |inconclusive | | |no
1_1.exe |inconclusive | | |no
2.exe |new detection |generic pws.y!dw |Trojan|yes
2_1.exe |inconclusive | | |no
2_2.exe |inconclusive | | |no
dldr1.exe |inconclusive | | |no
i115.swf |inconclusive | | |no
n115.swf |inconclusive | | |no
nspk2.exe |inconclusive | | |no
trj1.exe |new detection |generic dropper!do|Trojan|yes
141:名無しさん@お腹いっぱい。
09/07/09 17:44:22
カスペ2010 16:17
>>131d tane0441 (>>134VT通り)
3/7
Trojan-Dropper.Win32.Small.dnd \2_2.exe
virus Worm.Win32.AutoRun.gfw \trj1.exe
Trojan program Trojan-GameThief.Win32.Lmir.cha (HEUR:Trojan.Win32.Beep_sys.silent) \dldr1.exe
>>135 d tane0442
2/5
Trojan-Downloader.Win32.FraudLoad.exw \exe-site.com\streamviewer.40069.exe
Exploit.Win32.Pidief.bcx \1856317799\fk.pdf
>>137 d tane0443
1/2, (wow1_1.exe スルー)
virus HEUR:Trojan.Win32.Generic tane0443\wow1.exe
検体提出します。
142:名無しさん@お腹いっぱい。
09/07/09 18:07:13
URLリンク(tane.sakuratan.com)
virus
143:20
09/07/09 18:19:02
AVIRA返答(VTで未検出だったものを提出した結果)
>>134
1_1.exe - TR/BHO.uds
2_2.exe - TR/Drop.Small.dnd.6
>>135
Setup-d2f1c46_02022.exe - MALWARE(genで検出できるようにすると記載)
streamviewer.40069.exe - TR/Dldr.Agent.xwb
>>137
wow1_1.exe - CLEAN (白)
あと、>135のxplays.phpjは、中身が</BODY></HTML>だけの14バイトのファイルなので、
黒判定するベンダーは出ないと思われます。
jp.jsも、中身を見ると黒判定するかどうか、かなり微妙。
144:名無しさん@お腹いっぱい。
09/07/09 18:52:56
>>137
AntiVir wow1_1.exe のみスルー
>>142
AntiVir 全検出
両検体、各社(NormanとZonerを除く)に提出完了。
>>143
>135のxplays.phpjは<略>
うわ、またやっちまった。orz
指摘サンクス&各ベンダー担当者さんごめんなさい…(ここで言っても仕方ないけど)
145:名無しさん@お腹いっぱい。
09/07/09 18:53:24
>>133
>>132を>>131に訂正orz
>>142
McAfee (Active Protection 無効)0/5
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dldr1.exe |inconclusive | | |no
trj1.exe |new detection |generic pws.y!dw |Trojan |yes
trj1_1.exe |inconclusive | | |no
trj2.exe |inconclusive |new malware-e |Virus |no
trj2_1.exe |inconclusive |new malware-e |Virus |no
146:名無しさん@お腹いっぱい。
09/07/09 18:54:50
>>137 >>142 まとめて提出したので
まかふぃー自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
dldr1.exe |inconclusive | | |no
trj1.exe |new detection |generic pws.y!dw |Trojan |yes
trj1_1.exe |inconclusive | | |no
trj2.exe |inconclusive |new malware-e |Virus |no
trj2_1.exe |inconclusive |new malware-e |Virus |no
wow1.exe |current detection |generic.dx!us |Trojan |no
wow1_1.exe |inconclusive | | |no
147:名無しさん@お腹いっぱい。
09/07/09 18:56:00
被ったけど、検出漏れがあるよりいいよねってことで気にせず…
>>137 >>142
Rising返答。珍しく全検出。
1. Filename:dldr1.exe
Virusname:Backdoor.Win32.Undef.edl
2. Filename:trj1_1.exe
Virusname:Trojan.PSW.Win32.GameOLx.di
3. Filename:trj2.exe
4. Filename:trj2_1.exe
Virusname:Trojan.PSW.Win32.GameOnline.dxv
5. Filename:wow1_1.exe
6. Filename:wow1.exe
Virusname:Trojan.PSW.Win32.OnlineGame.zkc
7. Filename:trj1.exe
Virusname:Trojan.PSW.Win32.OnlineGame.zjz
148:名無しさん@お腹いっぱい。
09/07/09 19:14:33
検出可否確認せずにベンダーへ送るのやめようよ
Risingはただでさえ解析が遅いのに・・・
149:名無しさん@お腹いっぱい。
09/07/09 20:33:25
>>148
それが可能な時はやってます。
現在、私が提出してるのはこれだけ(↓)あります。
メールで43社、Webフォームから14社(うち2社は省略すること多し)、FTPから2社。
このそれぞれに対して、検出可否を確認した上で提出検体を振り分けて、未検出分のみにしろというのは
現実的ではありません。検出するものであれば、今回のように、機械的に返答して終わりなのですから
(同一検体が複数回届くのに比べたら)そんなに労力の増加には繋がらないはずです。
提出されないよりは、重複したり既知のものであっても送った方が良いという方針で処理しています。
(時間のない時はごめんなさいで、スレチェックせずにそのまま送ってますが)、可能な範囲で、提出報告の
あったものについては重複しないように提出先から省いています。
>>148のようにお考えでしたら、ご自身で検出可否をチェックされた上で、ベンダーに提出し、提出したことを
ここに報告してください。そうしたら、そのベンダーへの提出をこちらではスルーできます。
150:名無しさん@お腹いっぱい。
09/07/09 20:34:36
カスペからの返事
>>131(>>141) tane0441
3+1=4/7、残3
2.exe - Trojan-GameThief.Win32.WOW.ijz
>>135 (>>141) tane0442
2+1=3/5、残2
Setup-d2f1c46_02022.exe_ - Trojan-Downloader.Win32.FraudLoad.eyb
New malicious software was found in this file.
カスペ2010 18:29:00
>>142 d tane0444
1/5
Trojan-GameThief.Win32.OnLineGames.bmko tane0444\trj2.exe
検体提出します。
151:名無しさん@お腹いっぱい。
09/07/09 20:49:31
>>150
> >>142 d tane0444
> 検体提出します。
>144でカスペにも提出完了してます…けど、パターン更新してもうちへの返答は結構後回しにされること多いので
返答欲しいなら別途提出するのは正解かもしれない。
152:名無しさん@お腹いっぱい。
09/07/09 22:06:28
カスペからの返事
>>131 (>>141) tane0441
3/7、白1, 残3
1.exe - No malicious code was found in this file.
>>137 (>>141) tane0443
1/2、残1 (wow1_1.exe)
wow1.exe_ - Trojan-GameThief.Win32.WOW.ijy (←HEUR:Trojan.Win32.Generic)
>>142(>>150) tane0444
1+事後=3=4/5 (残 dldr1.exe)
trj1.exe - Trojan-GameThief.Win32.WOW.ijz
trj1_1.exe - Trojan-PSW.Win32.Agent.nja
trj2_1.exe - Trojan-PSW.Win32.QQPass.kej
>>151
んー、検査している順番がわからない。
返事を返さないアナリストもいるらしい。
救急搬送トリアージ的な発想で、常連は後回しにされてそう。(また、こいつか?みたいな)
153:名無しさん@お腹いっぱい。
09/07/09 23:00:38
>>137 >>143
カスペ返答(>152 残件も返答あり)
137 (2/2)
143 (5/5) でクローズ
dldr1.exe_ - Trojan-Downloader.Win32.Tiny.cew,
trj1.exe_ - Trojan-GameThief.Win32.WOW.ijz,
trj1_1.exe_ - Trojan-PSW.Win32.Agent.nja,
trj2_1.exe_ - Trojan-PSW.Win32.QQPass.kej,
wow1.exe_, wow1_1.exe_ - Trojan-GameThief.Win32.WOW.ijy
New malicious software was found.
trj2.exe_ - Trojan-GameThief.Win32.OnLineGames.bmko
This file is already detected.
154:名無しさん@お腹いっぱい。
09/07/09 23:40:55
URLリンク(tane.sakuratan.com)
infected
○ 検体入手元 ○
FakeAV MalwareDatabase 7/9分より
p://securedvirusscan■com/download/Setup-4e45_02022■exe
○ VirusTotal ○
Setup-4e45_02022■exe (0/41)
URLリンク(www.virustotal.com)
各社一通り提出完了。
155:名無しさん@お腹いっぱい。
09/07/09 23:48:27
カスペからの返事
>>135 tane0442
2+2=4/5、白1でクローズ
jp.js_ - Trojan-Downloader.JS.Iframe.bjt
xplays.php - 白
>>153 d
>>142 5/5 クローズ tane0444に訂正
156:名無しさん@お腹いっぱい。
09/07/10 00:54:57
>>154
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup-4e45_02022.exe|inconclusive | | |no
157:名無しさん@お腹いっぱい。
09/07/10 09:54:32
URLリンク(tane.sakuratan.com)
virus
158:名無しさん@お腹いっぱい。
09/07/10 10:10:05
>>157
Symantec、Panda、GDATA2010(=avast!&BitDefender)へ提出完了
159:名無しさん@お腹いっぱい。
09/07/10 13:20:48
カスペ2010 12:27
>>157 d tane0446
>>3/6 (HEUR2) HEUR含め検体提出します。
virus HEUR:Exploit.Script.Generic msvideo2_1.js
virus HEUR:Exploit.Script.Generic msvideo2_2.js
not-a-virus:NetTool.Win32.ZXProxy.gn pcker1.exe
>>154 d tane0445
0/1のまま
こちらからも再提出
160:名無しさん@お腹いっぱい。
09/07/10 13:36:14
>>157
McAfee (Active Protection 無効)1/6
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
aspk1dldr.exe |current detection |generic.dx |Trojan |no
msvideo2_1.js |inconclusive | | |no
msvideo2_2.js |inconclusive | | |no
pcker1.exe |new detection |generic backdoor!ef |Trojan |yes
trj2.exe |inconclusive | | |no
trj2_1.exe |inconclusive | | |no
161:名無しさん@お腹いっぱい。
09/07/10 15:01:52
>>157 (>>159) tane0446
3+1=4/6 ,白1, 残1 (trj2_1.exe)
Trojan.JS.Agent.ajl - msvideo2_1.js、 msvideo2_2.js (←virus HEUR:Exploit.Script.Generic)
trj2.exe_ - Trojan.Win32.Agent2.kwa
aspk1dldr.exe - No malicious code was found in this file.
>>91(>>97,106) tane0436
3+事後検出4=7/7でクローズ
trj1.exe_ - Trojan-Dropper.Win32.Agent.avpr
trj1_1.exe_ - Trojan.Win32.BHO.vng
162:名無しさん@お腹いっぱい。
09/07/10 15:14:54
URLリンク(tane.sakuratan.com)
infected
検体入手元
MalwareDatabase 7/9分より
URLリンク(go-go-tube)<)■com/onlinemovies■[40000-40100]■exe
p://youtube-adult■name/
p://upload■octopus-multimedia■be/1/pdrv■exe
p://upload■octopus-multimedia■be/1/pp■10■exe
p://arplgm■cn/a■exe
p://youtube-adult■name/setup■exe
p://youtube-adult■name/VideoCodec■exe
p://youtube-adult■name/Mediacodec■exe
p://imagehut3■cn/images/evilItTheir■pdf
p://imagehut3■cn/images/update■php
p://missing-codecs■net/download/download■php
p://91■212■198■116/lib/update■php
p://www■hoje-noticias■pagebr■com/downloads/plug2■txt
p://www■hoje-noticias■pagebr■com/downloads/wiskyx■exe
p://www■hoje-noticias■pagebr■com/downloads/winsex2■txt
p://www■hoje-noticias■pagebr■com/downloads/winsex2■exe
p://vikd3jj-2■com/2/index■php
p://vikd3jj-2■com/2/update■exe
163:名無しさん@お腹いっぱい。
09/07/10 16:40:25
>>157 , >>162
各社一通り提出完了
未提出:Norman,Zoner
一部未提出:トレンドマイクロ
>>162の p://red-exe■com/onlinemovies■[40000-40100]■exe のみが入ったファイルが
500エラーで弾かれるのでそこだけ未提出。VTでは未検出の筈なんだけど、検出済みファイルのみの
時と同じエラーで提出不可?
これは時間を置いてから再提出を試み、ダメなら対応済みなのだと思って納得することにします。
164:名無しさん@お腹いっぱい。
09/07/10 16:42:42
AntiVir9 検出結果
>>157 (4+2/6)
tane0446/aspk1dldr.exe : SPR/Dldr.J program
tane0446/msvideo2_1.js : HEUR/HTML.Malware suspicious code
tane0446/msvideo2_2.js : HEUR/HTML.Malware suspicious code
tane0446/pcker1.exe : TR/Crypt.ZPACK.Gen Trojan
tane0446/trj2.exe : TR/Spy.Gen Trojan
tane0446/trj2_1.exe : TR/Spy.Gen Trojan
>>162
91.212.198.116/load.exe : - Not Detected -
arplgm.cn/a.exe : TR/Downloader.Gen Trojan
imagehut3.cn/evilItTheir.pdf : HTML/Shellcode.Gen HTML script virus
imagehut3.cn/load.exe : - Not Detected -
missing-codecs.net/install_flash_player.exe : - Not Detected -
red-exe.com/onlinemovies.[40000-40018].exe : - Not Detected -
red-exe.com/onlinemovies.40019.exe : TR/Crypt.ZPACK.Gen Trojan
red-exe.com/onlinemovies.[40020-40100].exe : - Not Detected -
upload.octopus-multimedia.be/pdrv.exe : - Not Detected -
upload.octopus-multimedia.be/pp.10.exe : - Not Detected -
vikd3jj-2.com/index.php : - Not Detected -
vikd3jj-2.com/update.exe : - Not Detected -
youtube-adult.name/index.htm.exe : TR/Dropper.Gen Trojan
youtube-adult.name/Mediacodec.exe : TR/Dropper.Gen Trojan
youtube-adult.name/setup(1).exe : TR/Dropper.Gen Trojan
youtube-adult.name/setup.exe : TR/Dropper.Gen Trojan
youtube-adult.name/VideoCodec.exe : TR/Dropper.Gen Trojan
次ページ最新レス表示スレッドの検索類似スレ一覧話題のニュースおまかせリスト▼オプションを表示暇つぶし2ch
4937日前に更新/500 KB
担当:undef