【信者】検出可否報告スレ5【禁止】

1 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 01:27:49 ] �@はじめに 各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。 IDが無いため検出結果を張る際はSSを必ず張ってください。 うｐろだはなるべく流れにくいところにしましょう。 特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう 前スレ 【信者】検出可否報告スレ4【禁止】 pc11.2ch.net/test/read.cgi/sec/1194611680/ �A報告用テンプレ 【検体サンプル】>>(検体URLのレス番号) 【ソフト名】 【結果】 【SS】http:// スクリーンショットの貼り付けは任意です。 専用アプロダ推奨↓ 2ch@セキュリティ板画像アップローダー ttp://www5.uploader.jp/home/tane/ 2 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 01:28:20 ] �B議論や意見のまとめ ・圧縮ファイルと検出数 　exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。 ・DOSウイルス禁止 　大昔のウイルスを集めてきても無意味なことがあります。 ・パスなしZIPをパス有りLZH(またはRAR)で 　安全性と利便性のため、上記の手法を推奨します。 ・淡々とやれ淡々と！ 　淡々と貼り、淡々といきましょう。 ・ブラクラ禁止 　ブラクラ等、想定しないものを無言で貼らないこと ・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない 　んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 　という意見もあり。 ・スレ違いでもめる(2スレ目以降) 3 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 01:29:01 ] 新種・亜種ウイルスを発見した場合のサンプル提出先 (未検出の場合はとにかく提出しましょう) シマンテック Symantec Security Response USA 〔Upload a suspected infected file〕 ttps://submit.symantec.com/websubmit/retail.cgi ウイルスバスター　 inet.trendmicro.co.jp/esolution/supform.asp バスターユーザー以外は ;www.trendmicro.com/jp/security/virushunter.htm subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7 マカフィー　 www.nai.com/japan/security/contactavert.asp ウイルスセキュリティ(K7Computing)　 k7computing.com/faq.htm NOD32アンチウイルス　 www.eset.com/support/ans/9d.htm V3ウイルスブロック　 info.ahnlab.com/customer/virus_call.html ウイルスドクター　 www.virusdoctor.jp/virus/ Rising（ウイルスキラー） up.rising.com.cn/webmail/uploadnew.htm 4 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 01:30:04 ] Dr.WEB　 drweb.jp/support/?virus_sample ソフォス　 www.sophos.co.jp/support/queries/#sample F-Secure　 www.f-secure.co.jp/support/samples/ kaspersky www.kaspersky.co.jp/ 一番下の「新しいウイルスをお知らせ下さい」 バイロボット(hauri) www.haurijapan.com/support/vreport01.php キングソフトアンチウィルス www.kingsoft.jp/support/is/kentai.htm BitDefender　 www.bitdefender.com/bd/site/contactus.php AntiVir ttp://www.avira.com/en/support/submit_suspicious_files.html 5 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 01:31:51 ] ewido(AVG;Anti ;Spyware)　 www.ewido.net/en/malware/ AVG　 www.grisoft.cz/doc/faq/jp/crp/0 avast!　 www.avast.com/jpn/technical_support.html eTrust　 www.caj.co.jp/support/csp/free_policy/virus.htm F-PROT; www.f-prot.com/virusinfo/submission_form.html esafe　 www.aladdin.com/home/csrt/vsubmit.asp a2(a-squared) www.emsisoft.jp/jp/support/submit/ Microsoft ttp://www.microsoft.com/security/portal/submit.aspx 6 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/01(火) 01:32:22 ] ウイルスセキュリティ(K7Computing)　k7computing.com/virus_issues.asp#3 ウイルスチェイサー　www.viruschaser.jp/support_aft.html#q28 AVG　 www.grisoft.cz/doc/51/jp/crp/0/num/486#faq_486 7 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/02(水) 14:37:07 ] ttp://www5.uploader.jp/dl/tane/tane_uljp00210.zip.html newyear2008 8 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/02(水) 14:41:58 ] >>7 �d カスペ7 2/2 detected: virus Email-Worm.Win32.Zhelatin.qa File: happy2008_1.exe detected: virus Email-Worm.Win32.Zhelatin.qa File: happy2008_2.exe 9 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/02(水) 14:59:39 ] >>7 AntiVir：TR/Crypt.XDR.Gen AVGAM：Trojan horse Dropper.Generic.TOL 二つとも同じウイルス検出名だったのでまとめた。 10 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/02(水) 15:09:41 ] >>7 www.virustotal.com/jp/analisis/38cc7d84a29801783a8ea08f0207408f 11 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/02(水) 15:59:13 ] あ、すまん、fc /b したら同一バイナリだった。 12 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 05:41:37 ] >>991 >>7 AVGFree双方検出 13 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 07:55:31 ] dangerous.org/virus-archives/troy.zip 14 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 08:15:44 ] www.exbloog.com/7112886/000027.zip 15 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 08:27:23 ] softbank221094085047.bbtec.net/C:/Documents%20and%20Settings/%82%91%82%97/%83f%83X%83N%83g%83b%83v/Winny2b71/Winny2/Up/ 16 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 08:39:32 ] 休み中はゲームバカの一部が来るな 17 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 08:41:56 ] 15はカマってちゃんぽいな 18 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 10:22:43 ] ここは鑑定スレではありません。malwareのみお願いします。 割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。 19 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 12:07:53 ] >>14 www.virustotal.com/jp/analisis/6e9f770b55ab6590d97880dcd4e7da28 AntiVir - - HIDDENEXT/Worm.Gen Authentium - - W32/Downloader.gen10 Avast - - Win32:Agent-IOV AVG - - PSW.Generic5.RYR BitDefender - - Dropped:Trojan.PWS.OnlineGames.NKN ClamAV - - PUA.Packed.UPack-2 DrWeb - - Trojan.PWS.Gameff Fortinet - - W32/OnLineGames.FCJ!tr.pws F-Prot - - W32/Downloader.gen10 F-Secure - - Trojan-PSW.Win32.OnLineGames.fcj Ikarus - - Trojan-Downloader.Win32.Zlob.and Kaspersky - - Trojan-PSW.Win32.OnLineGames.fcj McAfee - - PWS-FFantasy Microsoft - - PWS:Win32/OnLineGames.CPD NOD32v2 - - Win32/PSW.OnLineGames.FCJ Norman - - W32/Zlob.ARJO.dropper Panda - - Trj/Maran.DS Rising - - Trojan.PSW.Win32.OnlineGames.fcj Sophos - - Mal/Packer Symantec - - Infostealer.Gampass VBA32 - - Trojan-PSW.Win32.OnLineGames.fcj VirusBuster - - Trojan.DR.OnLineGames.BVX Webwasher-Gateway - - Virus.HIDDENEXT/Worm.Gen 20 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 13:37:12 ] Symantecはヒューリ検出を適用しているね 21 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 13:40:24 ] ttp://upp.sakura.ne.jp/src/upp13422.zip.html 0103 22 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 14:21:49 ] だから外部うｐろだなんか使うなよボケ 23 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 14:45:01 ] www5.uploader.jp/dl/tane/tane_uljp00211.zip.html 1199118469 24 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/03(木) 15:01:49 ] >>23 www.virustotal.com/jp/analisis/797e7494e49b2ec9e5517ff78f644929 25 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 10:07:36 ] うぷろだは、>>1 を使おうな。 26 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 16:14:37 ] いつからそんなことになったんだ？ >>1はSS用の画像アップローダーだろ 何でか勝手にウイルスを貼り付ける奴が多いが 27 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 16:47:36 ] んじゃお前が適当なアップローダ用意しろ 28 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 17:39:21 ] そりゃ逆切れだろ 画像ロダにウイルスをあげることの正当化にはならん 29 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 18:08:44 ] 画像「だけ」アップローダならimage/*以外蹴れよ 30 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 18:20:40 ] ロダの管理人に言え。 31 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 21:46:30 ] んじゃお前が適当なウイルスアップローダ用意しろ 32 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 21:56:26 ] ずっと>>1のを使ってたんだから、これで良いじゃん。 33 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 22:19:57 ] 別にどこを使ってもいい >>1を使おうな、とか下らないこと言わずに 要はアップロードできればいいだけの話 34 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/04(金) 22:49:19 ] >何でか勝手にウイルスを貼り付ける奴が多いが だの >画像ロダにウイルスをあげることの正当化にはならん だの下らないこと言わなきゃいいのに 35 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 04:53:14 ] 事実ではあるけどな。 テンプレにあるロダを使わねばならない理由もないし。 テンプレに書いてあるのはスクリーンショットの話だし 一番下らないのは恐らく>>23のロダ上げに対し>>1のロダを使えと言った>>25だろう。 意味が分からない。 36 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 05:38:38 ] まー、ロダにこだわる必要はないな 上げたいところに上げればいい、確認さえ出来ればどこでもいい そこを縛る必要はないだろ 37 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 05:58:39 ] webtron.org/up/img/251.zip 38 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 06:00:33 ] chowup.dip.jp/up2g/src/up2269.jpg 39 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 06:07:09 ] >>37 古すぎ。 そんなウイルスを検出できないベンダーがあるなら倒産すべき。 40 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 07:49:15 ] おおっ　パーフェクトだ www.virustotal.com/analisis/a7c8a5f1955de8cc792625a166a05857 41 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 08:02:22 ] parentscards.com/ 120690.zip pass:xyz 42 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 08:21:56 ] 22/32 www.virustotal.com/analisis/9c98d7b202475925fff47c9fe77dc15c 43 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/05(土) 11:14:28 ] >>39 ウイルスセキュ（ｒｙ 44 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 10:25:43 ] www5.uploader.jp/dl/tane/tane_uljp00218.zip.html seven 45 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 11:43:41 ] >>44 McAfee happy_2008.exe : W32/Nuwar@MM あとはスルー 0.jsは無害だな 呼び出し先にはなんかあったのかもしれんが、もうサイトがないようだ 46 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 11:55:38 ] なんか怪しいので俺がスルー 47 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 12:10:36 ] >>44 キングソフト download.php Win32.RiskWare.SpySheriff.r.52224 download.php=3factually=3d1&advid=3d Win32.RiskWare.SpySheriff.r.52224 他提出 48 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 12:13:38 ] >>44 AVG free happy 2008.exe 検出 他提出済み 49 名前： ◆W32/Vael.o mailto:sage [2008/01/06(日) 12:14:21 ] ttp://www5.uploader.jp/dl/tane/tane_uljp00219.zip.html Malware-Pack20 50 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 12:16:42 ] >>49 キングソフト 全スルー 提出済みです 51 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 12:22:40 ] >>49 AVG Free p+.exe WM.gif Album_Fotos.exe 提出 他検出 52 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 13:46:27 ] >>49 ウイルスバスター2008 Possible_Mlwr-7　crss.exe TROJ_DLOADER.XFZ　Accounts.exe 他送ります。 53 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 14:45:00 ] ttp://www9.axfc.net/uploader/9/so/P_31787.zip.html vipqiv 54 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 17:34:08 ] >>49乙 Norton Internet Security 2008 1/12 \a\accounts.exe をDownloader として検出 反応の無かったのは贈りました 55 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 18:00:21 ] >>49 ESS 2008/01/06 17:52:19 8\crss.exe Win32/TrojanDropper.Delf.NFKの亜種 2008/01/06 17:52:17 7\TorpedoWebVIVO.com.exe 新種・未知のNewHeur_PEである可能性 ウイルス 2008/01/06 17:52:17 6\b+.exe Win32/Nuwarの亜種である可能性 2008/01/06 17:52:16 5\p+.exe Win32/Nuwarの亜種である可能性 他はスルー 56 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 18:44:13 ] >>49 ウイルスキラー2007 19.56.42 3\vips.com>>aspr.ske.2.x Trojan.DL.Win32.Banload.fai 7\torpedowebvivo.com.exe>>upx_c Trojan.DL.Win32.Banload.elr b\systemin.scr Trojan.PSW.Win32.Lineage.n 57 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 19:01:51 ] >>44 カスペ7 not-a-virus:FraudTool.Win32.SpySheriff.r download.php not-a-virus:FraudTool.Win32.SpySheriff.r download.php=3factually=3d1&advid=3d Email-Worm.Win32.Zhelatin.qb                happy_2008.exe not-a-virus:FraudTool.Win32.MalwareWipe.q mb_install.exe//data0007 not-a-virus:FraudTool.Win32.MalwareWipe.q vh_setup.exe//data0006 他提出 58 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 19:02:19 ] 71.139.23.65/ecard.exe 59 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 19:14:53 ] >>49　乙 カスペ7 Heur.Downloader (亜種) 　　TorpedoWebVIVO.com.exe　　　　　 Trojan-Downloader.Win32.Delf.drs 　　systemin.scr//data.rar/maikmr.exe 他提出 60 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 20:20:53 ] www5.uploader.jp/dl/tane/tane_uljp00220.zip.html 3 61 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 20:43:04 ] ↑インチキセキュリティソフト 62 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 20:43:48 ] >>60 AVGアンチマルウェア、AntiVir 両方スルー 63 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 21:21:01 ] >>49 カスペ7 ヒューリスティック検知のみ提出でカスペからの返事。（59とは別人） Hello, TorpedoWebVIVO.com.exe_ - Trojan-Downloader.Win32.Banload.gck New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help. Please quote all when answering. -- Best regards, Andrei Molyakov Virus analyst, Kaspersky Lab. e-mail: newvirus@kaspersky.com www.kaspersky.com/ www.kaspersky.com/virusscanner - free online virus scanner. www.kaspersky.com/helpdesk.html - technical support. 64 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 21:29:44 ] >>60 キングソフト 両方スルー 提出済み 65 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 21:35:00 ] 私は59のほうです。ややこしくして申し訳ない。 >>63　乙 さっき一個書き忘れたが>>49のやつもう2つ検知してた。 Backdoor.Win32.Kbot.be 　　　　6\b+.exe Trojan.Win32.Inject.qk   　    　9\ragna.exe すまん。 >>60 カスペ7　スルー 送る 66 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 22:16:25 ] もうご存じかもしれないが virustotalはIEとFirefoxしか対応してないそうだ 直接問い合わせて聞いたので皆様にもご報告 67 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 22:48:34 ] え? プラグインやActiveXコントロールならともかく ファイルをpostするだけならブラウザあまり関係なくね? よっぽど実装がヘボなブラウザはだめかもしれんが とりあえずSafari3Beta(Windows)ですら結果まで見られたよ。 68 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/06(日) 23:51:17 ] ちなみに、もうご存じかもしれないが、VirusTotalの「Do not distribute the samples」（AVベンダーに検体を配るな！）のオプションは1/3で廃止。 理由はつらつらと英文で書いてある。 blog.hispasec.com/virustotal/28 69 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/07(月) 00:15:06 ] >>66 マジで意味の分からん報告だな、対応じゃなくてサポートじゃねえのかよ ずっとOrepaで使えてたし今も使えてる 70 名前：66 mailto:sage [2008/01/07(月) 10:57:41 ] >>67>>69　Safariマック版でuploadの後動かなくなるんだよね。 だから対応してほしいとメールしたら一応返事が来たと。 71 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/07(月) 11:56:46 ] そりゃ特別なことはしていない(=動かないブラウザがクソ)のに 「○○で動かないんだけど対応してよ」なんて言われたら 「んなもん知るかIEとFxしか確認してねーよ」ってなるんじゃね? 72 名前：うぷろだ”管理”人 mailto:sage [2008/01/07(月) 15:40:43 ] 別に本体あげてもいいよ。 ちゃんとパス付きで二重圧縮してアップロードしてくれるならば無問題です。 パスはお任せしますがすべて同じだとまずいので適当にお願いします。 73 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/07(月) 19:42:41 ] Rootkit検出テスト結果 　　　　　　　　　　　　　　　（MAX 8） Rootkit Unhooker 3.7.300　　　　7.5 GMER 1.0.13　　　　　　　　　　　 7 Kaspersky Anti-Virus 7.0　　　　6.5 Avira Rootkit Detection 1.0　　 .6.5 AVG Anti-Rootkit 1.1　　　　　　.5.5 Panda AntiRootkit 1.08　　　　　.5.5 Sophos Anti-Rootkit 1.3.1　　　 5.5 Dr.Web 4.44　　　　　　　　　　　　5 TrendMicro RootkitBuster 1.6　.5 Symantec Anti-Virus 2008　　 .4.5 F-Secure Anti-Virus 2008　　　4 McAfee Rootkit Detective 1.1　3.5 BitDefender Antivirus 2008　　 3 McAfee VirusScan Plus 2008　.1.5 Eset Nod32 Anti-Virus 3.0　　　1 Trend Micro Antivirus plus　　　1 　Antispyware 2008 ttp://www.anti-malware.ru/index.phtml?part=tests&test=antirootkits1 74 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/07(月) 21:52:33 ] これはrootkitをシステムに感染させたあとに検出できるかどうかのテストだな たとえばカスペはシグネチャで対応しているRootkit.Win32.Podnuha.aを検出できていない。 テストに使われたrootkitはITWから選ばれたものだから感染前なら殆どのベンダーで検出できるはずだが 実際に感染してしまうとこの結果 この手のテストはほとんど見かけないからおおいに参考になる RootkitUnhookerの作者EP_X0FFはMSのセキュリティーチームに参加したから RKUは事実上開発終了　3.7.300.509が最終バージョンだったと思う 去年の終わりにMBRrootkitが実際に流通し始めたそうだ GMERは検出に成功したらしいけど駆除は回復コンソールからfixmbrしかないらしい しかしfixmbrでも駆除できないという報告もある BLUE PILLが現実の脅威になりつつある forum.sysinternals.com/forum_posts.asp?TID=13179 www2.gmer.net/mbr/ www.prevx.com/blog/75/Master-Boot-Record-Rootkit-is-here-and-ITW.html 検体さがしてるがいまだみつからない 75 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/07(月) 22:11:34 ] > これはrootkitをシステムに感染させたあとに検出できるかどうかのテストだな 有名なAV程狙われるから成績が悪くなるテスト? 感染後のリカバリーは専用ツール出してるケースも多いな。 76 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/07(月) 22:15:26 ] >>74 自分もrootkitのは初めて見た どっちにしろ 感染までしちゃうとキツイわな 77 名前：名無しさん＠お腹いっぱい。 [2008/01/07(月) 22:19:07 ] rootkitはどんな悪さするの？ 決まってないかな 78 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/07(月) 22:42:28 ] rootkit自身は無害 79 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/07(月) 22:49:22 ] >>78thx 80 名前：名無しさん＠お腹いっぱい。 [2008/01/07(月) 23:34:08 ] なんだ、それじゃNODやマカフィーでも問題ないんだな 81 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/07(月) 23:37:06 ] >>80 有名ソフトだから狙われて成績が悪かっだけだW 82 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/07(月) 23:51:31 ] ああ、これからも狙われ続けるからずっと成績が悪いだろうな でも気にすんな、成績が悪くて当然なんだから 83 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 00:14:15 ] そう思えば寝つきもいいしな 84 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 01:15:18 ] ノートンやカスペをターゲットとするウイルスの方が圧倒的に多いけどなw 85 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 14:28:12 ] RealPlayerの脆弱性以下略で見つけたもの ttp://www5.uploader.jp/dl/tane/tane_uljp00221.zip.html fuckreal 3つとも同じもの(オリジナルはUPX。1と2は解凍したもの)。 ↓犠牲者 www.google.co.jp/search?q=%22uc8010.com%22 86 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 14:33:02 ] >>85 キングソフト スルー 提出しました 87 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 14:55:12 ] ttp://rapidshare.com/files/81558680/mayukieVol_1.zip ttp://rapidshare.com/files/81559186/mayukieVol_2.zip ttp://rapidshare.com/fies/81560403/mayukieVol_3.zip pass:chinese@2ch 88 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 15:07:30 ] なんか鑑定目的っぽいのでスルー 89 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 15:16:28 ] >>88 find2chで本文検索してみたらたくさん出てきました 鑑定目的ですね sakura01.bbspink.com/test/read.cgi/ascii/1199029069/916 90 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 17:02:02 ] >>85 McAfeeスルーヽ(`Д´)ﾉ 91 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 17:10:33 ] >>85 ウイルスバスター2008 スルー、検体提供済み。 92 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 17:56:01 ] >>85 カスペ7 Trojan-Downloader.Win32.Agent.hcl www.virustotal.com/analisis/fd2563a402265fccf2e8b6e9f580f424 93 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 18:47:34 ] >>85 AVGケンタイテイシュツズミ 94 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/08(火) 19:42:22 ] ちょw Microsoft 95 名前：93 [2008/01/08(火) 20:56:37 ] AVG次のアップで対応予定 96 名前：名無しさん＠お腹いっぱい。 [2008/01/09(水) 20:10:31 ] つぎのをくれー 97 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 14:02:42 ] MBR　rootkit www.virustotal.com/analisis/10644e7c35107aedc3bafb0f46f5cfea Mcafeeには提出済み 近いうちに対応するとのこと 98 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 14:39:31 ] Rising（´・ω・） ｶﾜｲｿｽ 99 名前： ◆W32/Vael.o mailto:sage [2008/01/10(木) 18:54:28 ] ttp://www5.uploader.jp/dl/tane/tane_uljp00223.zip.html Malware-Pack21 100 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 19:02:52 ] >>99 キラー19.57.31 5\down.exe Worm.Win32.Autorun.itw 101 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 19:06:53 ] >>99 キング提出しました 102 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 19:07:40 ] >>99AVGfree 今Macからなので 確かめずに全部送りました 103 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 19:12:11 ] >>99 ESS 2008/01/10 19:09:54 tane_uljp00223\malware21\9\visualizacao.exe 新種・未知のNewHeur_PEである可能性 ウイルス 2008/01/10 19:04:57 tane_uljp00223\malware21\8\fotomensagem.exe Win32/TrojanDownloader.Banload.BDAの亜種である可能性 トロイの木馬 2008/01/10 19:04:56 tane_uljp00223\malware21\6\bird.exe Win32/Delf.NDFの亜種である可能性 ワーム 2008/01/10 19:04:55 tane_uljp00223\malware21\5\down.exe Win32/Delf.NDF ワーム 2008/01/10 19:04:54 tane_uljp00223\malware21\4\gmsex.exe Win32/Genetikの亜種である可能性 トロイの木馬 104 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 19:22:13 ] おまいらどこからわいてきたw 105 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 21:22:53 ] >>99　乙 カスペ7 Trojan.Win32.Inject.qt　　　1\ro.exe Trojan-PSW.Win32.OnLineGames.nkv　　　 4\gmsex.exe//PE_Patch.PECompact//PecBundle//PECompact//PE_Patch.MaskPE Heur.Worm.Generic 5\down.exe Heur.Worm.Generic 6\bird.exe//PE_Patch.MaskPE Heur.Downloader (亜種) 8\fotomensagem.exe//PE_Patch//TeLock Heur.Downloader (亜種) 9\visualizacao.zip/visualizacao.exe//UPack Heur.Downloader (亜種) a\gerador.zip/gerador.exe//UPack ほとんどヒューリスティック 106 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 22:16:14 ] >>99乙 Norton Internet Security 2008 2/12 /7/ をDownloaderとして検出 /8/ をDownloaderとして検出 反応の無かったのは贈りました 107 名前：102 mailto:sage [2008/01/10(木) 22:24:19 ] >>99 AVGで対応完了 108 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/10(木) 22:40:52 ] >>99-104 ﾜﾛﾀ 109 名前：105 mailto:sage [2008/01/10(木) 23:23:02 ] bird.exed - Worm.Win32.AutoRun.bqp, down.exed - Worm.Win32.AutoRun.bqo, fotomensagem.exed - Trojan-Downloader.Win32.Banload.gfd, fr.htmd - Trojan-Downloader.JS.Agent.avn, gerador.exed - Trojan-Downloader.Win32.Banload.gfc, IENoRun.htmd - Trojan-Downloader.JS.Psyme.xu, visualizacao.exed - Trojan-Downloader.Win32.Banload.gfb, Visualizar.exed - Trojan-Downloader.Win32.Delf.dub New malicious software was found in these files. Detection will be included in the next update. Thank you for your help. GetSt.exed No malicious code was found in this file. java.exed This file is corrupted. 110 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/11(金) 00:50:29 ] >>106 ノートンのヒューリスティックって効かないのかな？orz 111 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/11(金) 06:26:46 ] >>99 ウイルスバスター2008 以下の検出したものは全てPossible_Mlwr-7 Visualizar.exe visualizacao.exe 上記のものも合わせて検体提出します 112 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/11(金) 10:50:13 ] >>85 McAfee今日のアップデートで対応 Downloader-BGX 113 名前：名無しさん＠お腹いっぱい。 [2008/01/11(金) 19:38:02 ] >>101 お前検出結果ぐらい張れよ ro.exe Win32.Troj.Inject.qk.39936 処理成功（操作：削除） gmsex.exe Packes.MaskPE.a 処理成功（操作：削除） down.exe Worm.Autorun.76473 処理成功（操作：削除） bird.exe Packes.MaskPE.a 処理成功（操作：削除） 114 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/11(金) 20:33:38 ] >>112 >>97も対応したようだな StealthMBR 115 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/11(金) 22:37:17 ] とろいの木馬4台目スレッドからきました。書き方がよくわかりませんが、 「ファイル名」　C\WINDOWS\system32\hgggh.dll 「マルウェアの名前」　Win32:TratBHO［Trj］ 「マルウェアのタイトル」　トロイの木馬 「使用しているアンチウィルスソフト」　avast! Antivirus Win32:TratBHO［Trj］にアバストが反応し警告音がなったので、チェストへ移動させたが、 その後もファイル名を変えて何回も復元されアバスト反応→チェストへ移動を何回も繰り返した。 Win32:TratBHO［Trj］のBHOは、browser helper objectのことだとわかったので、 IEのツール→アドオンの管理で確認したところ、hgggh.dllというファイル名のトロイの木馬を見つけた。 これが有効になっていたので、無効にした。 IEにインストールされているBHOを表示・削除するソフトウェアとして、Spybot S&Dというソフトが紹介されていたので、 これを用いて、ぁゃιぃものを削除した、 これで多分解決したと思われます、アバスト反応しなくなりますた。 ［スクリーンショット］ ttp://www5.uploader.jp/user/tane/images/tane_uljp00224.jpg ttp://www5.uploader.jp/user/tane/images/tane_uljp00225.jpg ttp://www5.uploader.jp/user/tane/images/tane_uljp00226.jpg ttp://www5.uploader.jp/user/tane/images/tane_uljp00227.jpg 116 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/11(金) 22:52:32 ] でけーよ なにがなんだかわけわかーめ 117 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/11(金) 23:01:35 ] >>116 うん、でかすぎるよね、あげた自分も、よくわからないや すんませ 118 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/12(土) 00:03:42 ] vundoに感染してるよ。 avastとspybotだと駆除無理だからこれやってみ↓ www.higaitaisaku.com/vundofix.html 119 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/12(土) 10:30:05 ] 205.209.140.213:8080/ff11/xfish.rar 120 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/12(土) 10:40:23 ] >>119 www.virustotal.com/analisis/959c8624cb55501e1d6485ea4205670e Result: 13/32 (40.62%) 121 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/12(土) 14:30:44 ] 最近NODが良くなってるみたいだな。 ヒューリスティックでもよく検出してるし。 NOD復活傾向？ 122 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/12(土) 20:06:08 ] zlob系は駄目だな 123 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/12(土) 22:16:02 ] 凋落街道まっしぐらかなと思ったら急によく検出するようになったりかつては優秀だったソフトが今は駄目になったり昔はしょぼかったのに今は急成長したりとこの業界目まぐるしく変わるな。 NODに関してはこれまでのだめぽぶりが凄まじかったら評価するのはまだまだ先だな、それに検体提出しても対応はかなり遅いし。 124 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/12(土) 22:21:01 ] ハードもソフトもサイクルの速い業界だから 定評なんてのは一時的なものだな 125 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/12(土) 22:31:08 ] そう考えるとカスペはすごいな。 あの検出率と新種の対応の早さが昔から健在だし。 AntiVirも大躍進してから3年目になるからAviraの定評も確立しつつあるか？ AVGはどうなるかな？ BitDefenderはほんとどうしたんだろ？MSスレによるとBitDefenderのスタッフはMSにだいぶ引き抜かれたらしい。 それが本当ならMS氏ね。 126 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/12(土) 23:58:53 ] >>118 spybotから削除できたみたいです。 Spybot S&Dの「モード」→「高度なモード」に変更してから、ツール→BHOブラウザヘルパーオブジェクトをクリック、 問題となっていた、hgggh.dllがあったので、これを削除しました。 IEのツール→アドオンの管理、で確認したところ完全に消えてました。 kasperskyというオンラインスキャンを試してみたところ、ウィルス検知・感染なしとのことでした。 とりあえずこれで多分安心、どうもありがとぅございますた( ・ω・)∩。 127 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 07:12:55 ] www5.uploader.jp/dl/tane/tane_uljp00228.zip.html fakebuster www.virustotal.com/analisis/62d8d778a8397f8e2d8539de7469ef7d Fake RootkitBuster Busted! blog.trendmicro.com/fake-rootkitbuster-busted/ 128 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 11:55:55 ] >>127 キングソフトスルー 本家に提出済み 129 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 13:32:51 ] >>127 ウイルスバスター2008 スルーしたので検体提出 130 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 13:46:37 ] ん？ バスターは検出するはずだが？ scanner.virus.org/scan/z7NQSzahN/9daaf02f8e9b3c33ceaf670779e45d807a4603f9 131 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 14:01:09 ] >>130 パターンファイル492なら検出するみたいだが、現時点で491なので検出してないみたい。 アップデート待ちってとこか。 132 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 15:43:55 ] >>127 Risingに送った 133 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 15:54:22 ] >>127 McAfee提出しますた 134 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 16:11:42 ] カスペやAntiVirがスルーして（AntiVirは土日更新ないという影響があるけど）ノートンやバスターが検出ってかなり珍しいパターンだな。 135 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 17:32:50 ] >>127 > Dear Customer, > > Thank you for submitting the sample to us. Our analysis shows that it is malicious. We have developed a pattern to catch it and will include detection in the next regular update. > > The samples you submitted will be detected as Adware/Brandurl > > Best Regards, > AV Lab - yjyang > > To submit a suspicious file to Fortinet: > ttp://www.fortinet.com/FortiGuardCenter/virus_scanner.html 136 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 17:51:10 ] 今VirustotalとVirus.orgの両方で>>127をスキャンしてみたけど相変わらずカスペ系はスルー。 検体提出してないのかはわからないけどカスペにしたら珍しいな・・・ 137 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 18:17:48 ] >>127 avast送った 138 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 22:03:35 ] >>127 カスペ 今北産業。 （もう提出した奴もいるかもしれないが、）今検体提出しました。 また、今後検体提出した奴はその都度報告よろしこ。（重複すると迷惑なので） 139 名前：138 mailto:sage [2008/01/13(日) 22:40:31 ] >>127 カスペからの返事 Hello. No malicious software was found in the attached file. ----------------- Regards, Vladimir Lebedev Virus Analyst, Kaspersky Lab. Ph.: +7(095) 797-8700 E-mail: newvirus@kaspersky.com www.kaspersky.com www.viruslist.com Fortinetとの間に見解の相違があるな。 140 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/13(日) 22:42:47 ] となると>>127は無害？ AVGもヒューリスティック検出だし。 141 名前：139 mailto:sage [2008/01/14(月) 00:00:15 ] 一応、もう一度念のため、>>135をはって、カスペに聞いてみるよ。 Fortinetは有害だといっていますが・・・って。 142 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 00:06:34 ] アドウェアっぽいから、セキュリティ・ポリシーの違いかと。 143 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 00:08:25 ] 本物のRKBだと思った人は 偽の登録画面から本当のメアド入力してしまうかもしれない それが1038番UDP開いて送られてスパム業者の手に渡るってところか www.trendmicro.com/vinfo/images/blog/Screen2.gif セキュリティポリシーの違いだろう symantecは　 Info（情報)stealer（泥棒)で検出してるし 144 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 13:20:38 ] FILE ------------------------------------------------------------------------ Spy-Buster.exe ------------------------------------------------------------------------ The Windows PE (I386,EXE) file "Spy-Buster.exe" has been determined to be malicious. Our researchers have analyzed the file and confirmed the result. Aliases reported by other AV products are listed here: (Infostealer) CA products address this malware as follows: -------------------------------------------- CA Anti-Virus We will inform you by email ASAP when we have a signature update available providing detection. 145 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 13:48:19 ] CAも黒判定か CAの返事ははじめてみたな 146 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 14:42:39 ] >>127書き添えたらいいんじゃないかなあ unlicensed engine usageに、suspicious email collection で十分アウトかと エンジンには確かにTMの署名がされてるけど、本体は署名なし。そんなことってない 捨てアド作って登録してやった。予想通りの結果になるかな 147 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 17:26:17 ] >>127 AntiVir検出 AntiVir 7.6.0.46 2008.01.14 TR/Fakebuster.A FortinetもAdwareとして検出 Fortinet 3.14.0.0 2008.01.14 Adware/Brandurl 148 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 18:44:20 ] www5.uploader.jp/dl/tane/tane_uljp00229.zip.html P:123 149 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 18:46:33 ] >>148 乙！ KING提出しました 150 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 18:54:22 ] 検出報告スレなのに、格ベンダー提出スレと勘違いしてる馬鹿がいる 151 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 18:59:01 ] >>150 お前馬鹿か？ 検出しないから報告するんだろｗ 152 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 18:59:44 ] ちょい訂正。 ×報告 ○提出 153 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 19:00:59 ] >>148 乙 NODスルーしたので提出しました 154 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 19:04:54 ] >>148 ESETに提出しといた 155 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 19:08:06 ] >>148 AVG提出済み 156 名前：155 mailto:sage [2008/01/14(月) 19:08:57 ] >>148 www.virustotal.com/analisis/acc53ebd1aa2b0df49a61f4568031bd6 Result: 8/32 (25.00%) 157 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 19:43:25 ] ひっかけくさいな 158 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 19:48:48 ] >>148 McAfeeおくった 159 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 19:59:36 ] パッカー臭 160 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 20:12:36 ] Ikarusだからひっかけのひっかけ臭 161 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 20:37:07 ] >>148 ファイルぶっ壊れてるってよ。 Kaspersky「This file is corrupted.」 Dr.WEB「Your request has been analyzed. It was corrupted file.」 162 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 20:41:44 ] >>161 ヒント：拡張子 163 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 20:42:13 ] Fortinetは黒判定 Thank for for submitting the sample to us. We have analysed it and developed a detection pattern for it. Starting with our next regular update, the file AV137.exe will be detected as W32/Delf.AMJ!tr. Best regards, AV lab - Sorin To submit a suspicious file to Fortinet: www.fortinet.com/FortiGuardCenter/virus_scanner.html 164 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 20:51:01 ] >>162 もちろんexeにしたさ。 PackerはPECompact2だが破損してるんだろう。 165 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 21:35:40 ] フォーティすごいお　ＳＵＧＥＥＥＥ！！！ 166 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 21:58:24 ] Fortinetもレスポンス早いのね 167 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 22:08:52 ] MD5: 0x25437CFDCDE0E34513AD127D5301E340 Analysis of the file resources indicate the following possible country of origin: Japan 作った人は手を上げてください。 168 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 22:09:48 ] >>161>>164 heuristicだったので送ったAviraも壊れてるときた。。。 ＞　AV137.exe DAMAGED FILE (UNKNOWN) んで同じもの送ったAVGから返事。 ＞　Dear Sir/Madam, ＞　 ＞　Thank you for your email. ＞　 ＞　Please let us inform you that we analyzed the file you have sent us. ＞　The file is really including a harmful code. ＞　It is detected by AVG now. In case your AVG doesn't detect the file, ＞　please update it. ＞　 ＞　Thank you for your cooperation. We highly appreciate it. ＞　 ＞　Answers to the most common questions can be found here as well: ＞　www.avg.com/faq/ ＞　 ＞　 Best regards, ＞　 ＞　 Valerie Dubnova ＞　 AVG Technical Support ひょっとしてメールサービスのウイルスチェックに引っ掛かったのか？ 169 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 22:12:32 ] >>168 AVGとAntiVir併用してるの？ 170 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 22:15:12 ] >>169 んにゃ、AntiVirはもののついでに送ってみた。 171 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 22:17:01 ] 英語はあまり読めないけどAVGからの返事読むとAVGは白判定？ ESETの返事はいつくるのやら・・・ 172 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 22:17:25 ] >>170つづき HEUR/Cryptedがどんなものかと調べたらこうだったので。 www.avira.com/jp/threats/section/fulldetails/id_vir/2704/heur_crypted.html 173 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 22:19:30 ] IMP Self Extract Archiver 174 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 22:29:17 ] ImpSfx.exeをPECompact 2.80 beta 1 Student versionでパッキングしたもの であってる？>>148 175 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 22:32:44 ] カスペはまだスルー、AntiVirもグレー判定（ヒューリスティック） 明日になってカスペとAVGとAntiVirがどう反応するかで変わるかも。 176 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 22:40:56 ] いまでもAVG検出できないな 177 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 23:31:07 ] アンパッカの最中に引っかかって止まってる感じなんだよな…ちゃんとみてないけど スタブに任せずに、鶴で本体取り出したら、なんか書いてあるのかな 178 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/14(月) 23:52:28 ] scanner.virus.org/scan/7aQJCumVn/62d6eafc6913db44385e7cbd6dd0b46c3816ca46 こっちではavast!だけが検出してる。 ヒューリスティック検出はクリーン扱いのようだ。 179 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 00:07:06 ] しかしpackerはすごいな 圧縮したらまともな検出できるところがなくなったｗ 例 圧縮前 www.virustotal.com/analisis/3d596e7ef4c2a8945de1cbb4a1d0e357 圧縮後 www.virustotal.com/analisis/e31d9d31c97efe64e1e7d61c628029bf 180 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 00:23:35 ] 圧縮前はスルーで圧縮後に検出のPandaてｗ 181 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 00:36:14 ] >>148 ウイルスバスタースルー 一応ダメ元で検体は出してみた。 182 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 00:41:06 ] PandaはPacekerに過剰反応してるってどっかにあったな 183 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 00:43:52 ] >>179 全部検知する検体で比較しないとわからんな。 184 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 00:48:58 ] カスペ、AVG、AntiVir、あとはフォーティネットは返事や対応早くていいね。 ノートンやバスターの対応は遅いのは当然としてESETの対応速度はどれくらいなんだろう？orz ESSのファイル提出は楽で良いけどいつ対応してくれるか・・・ 185 名前：179 mailto:sage [2008/01/15(火) 01:08:50 ] ほんじゃ>>37を 圧縮前 www.virustotal.com/analisis/a7c8a5f1955de8cc792625a166a05857 圧縮後 www.virustotal.com/analisis/bc4b0355f6a252867aecca4f2f7ebacc 圧縮前と後で同じ脅威名で検出できたのは DrWeb F-Secure Kaspersky NOD32v2 Panda VBA32 これらはアンパッキングできてると考えられる 使用したpackerはPECompact 2.80 beta 1 Student version 186 名前：183 mailto:sage [2008/01/15(火) 02:00:39 ] >>185 乙 無難な結果になったようだ 187 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 06:20:55 ] で、>>148はナニ？ 188 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 12:00:10 ] >>126 hgggh.dllおれも感染しているもようorz Avastで1時間置きにファイル名を変えたdllがsystem32に出現してtratBHOを検知。 たぶん元はPSP用の動画変換ツールだったと思う。 SpyBotでBHOの削除を試みたがGUI上では一見削除されたようでも再表示で復活。 IEのアドオンからは消えず・・・ >>126さんと対処方法が違うんでしょうか・・・？ 189 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 22:44:22 ] ttp://www.itmedia.co.jp/enterprise/articles/0801/15/news104.html 初のMac向け偽セキュリティソフトが登場 190 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 22:57:12 ] >>189 ttp://macsweeper.com/index.php ここだね。 とりあえずVirustotalでスキャンしてみたけど、どこも検出しないね。 まあMac向けだからこのまま廃れそうだけどw 191 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 23:10:42 ] Macで見てる人もいるからリンクにしないほうがいいよ h抜きにはなってるけど 192 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/15(火) 23:14:56 ] あれ　俺は違うところで見つけたぞ いろんなサイトに仕掛けられてんのかな 193 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/16(水) 20:52:12 ] love storm どこもつながらないな nodとbitは対応したらすいが 194 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/16(水) 22:57:41 ] >>191 俺はマカーだがこんなの踏まねえよw つーか、こんなの引っかかるような奴は素人ドザ野郎だけw 195 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/16(水) 23:12:50 ] >>127 Risingより    1.文件名：Spy-Buster.exe    不是病毒 196 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/16(水) 23:23:57 ] fakebusterは白判定するところが結構あるな 白ではないんだがね MS 20080113_004205716_0_Spy_Buster.exe | Clean 197 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/17(木) 00:37:52 ] Windowsに関係ないウイルスは全然興味ない。 Mac用を取り扱っていないベンダーも多いし、検出しても無意味だから、あくまでWindowsに感染するかどうかの判断基準だと思われ。 他のマイナーなプラットフォームも入れたらきりがない。 198 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/17(木) 00:40:58 ] ただこれからマカを狙うウイルスが増えたら林檎涙目だろうな。 セキュリティソフトが充実してないし。 199 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/17(木) 00:42:55 ] ノートン先生(笑)がいるじゃないですか。 200 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/17(木) 00:45:23 ] MSがマカ用にウイルス作らせるようにウイルス作成者と組んでたりしてｗ 201 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/17(木) 00:57:46 ] それをやってもwindowsは安全って訳じゃないしなあ VISTAは安全ですって言うならともかく 202 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/17(木) 22:12:21 ] ttp://internet.watch.impress.co.jp/cda/news/2008/01/17/18143.html Mac版の偽セキュリティソフト、警告したF-Secureに対し“開発者”が釈明 フィンランドのF-Secureは16日、Mac版の偽セキュリティソフトとして警告した 「MacSweeper」について、開発元を名乗る人物からのコメントがあったことを 公式ブログで伝えた。 このブログの記事に対して、MacSweeperの開発者を名乗る人物からのコメントが 寄せられた。コメントでは、開発者は良いソフトウェアを作成しようとしており、 MacSweeperにはいかなるウイルスやスパイウェアなども存在していないと説明。 ただし、指摘されたようなマーケティング手法を強制する販売パートナーを利用して いることが問題であり、こうしたパートナーの下を去りたいと考えているとしている。 F-Secureでは、ブログの読者に対してMacSweeperに実際に接した際の感想を 求めたいとしているほか、MacSweeperの問題点を指摘する動画もYouTubeに アップロードし、紹介している。 203 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/17(木) 22:41:58 ] ttp://www.virustotal.com/analisis/ecd38013f633a5d31ed65ee438c76235 Ikarus T3.1.1.20 2008.01.17 MAC.Rogue.MacSweeper.mbo McAfee 5210 2008.01.17 potentially unwanted program OSX/MacSweeper Sophos 4.24.0 2008.01.17 MacSweeper Symantec 10 2008.01.17 OSX.Macsweeper ぐぐった。 ソフォス ttp://www.sophos.com/security/analyses/macsweeper.html マカフィー ttp://www.mcafee.com/japan/security/virM.asp?v=OSX/MacSweeper シマンテック ttp://www.symantec.com/business/security_response/writeup.jsp?docid=2008-011613-5206-99 204 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 00:00:33 ] >>37をUPX圧縮 圧縮前 www.virustotal.com/analisis/a7c8a5f1955de8cc792625a166a05857 圧縮後 www.virustotal.com/analisis/08e5cb54ea92268ce7ba0032bb0e1024 圧縮前と後で同じ脅威名で検出できたのは AhnLab-V3 Authentium Avast AVG DrWeb Ewido Fortinet F-Prot F-Secure Kaspersky McAfee Microsoft NOD32v2 Panda Symantec VBA32 VirusBuster 205 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 00:16:29 ] AntiVirってUPX圧縮に弱いんだな。 それでもAntiVirは検出率が高いからいいけどBitDefenderは本当にどうしようもない。 206 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 00:21:41 ] 弱いっつっても展開しなくちゃ実行できないからな その時に検出できれば十分 207 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 02:54:56 ] UPXは元々そんなにプロテクタとしての設計思想はない その上展開部分に関しては、完全にオープンソース にもかかわらず、UPXでパックして撒いてるマルウェア多いから、 UPXベースに、ちょっとコンプレッサひねってるようなのはやや仕方ないとして、 標準のを展開できないってのはどうかと んで、AntiVirはサポートしてるような気もするが、なんでだ？ｗ 本当に様子がおかしければ、(Aviraに)通報モノじゃまいか 208 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 03:27:27 ] > 弱いっつっても展開しなくちゃ実行できないからな > その時に検出できれば十分 その段階だと制御権はウィルス側なので検知は不可能。 制御権が移る前に検出しないと防御できないから展開前に検知する必要がある。 209 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 04:01:56 ] また臭い捏造厨の登場か 210 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 07:37:07 ] 不都合だとねつ造? 211 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 12:03:18 ] tratBHOやっと削除できた〜 winlogon.exe と explorer.exe に\WINDOWS\system32\*******.dll が感染しているからセーフモードでWindows(XP)を立ち上げ、 ProcessExplorerで両プロセス内の該当するスレッドを停止。 HijackThisで*******.dllの呼び出しキーを削除する。 SpyBotでBHOを削除する。 *******.dllをコマンドプロンプトで削除。 この状態だとシャットダウンできないので強制OFF。 212 名前： ◆W32/Vael.o mailto:sage [2008/01/18(金) 12:38:09 ] ttp://www5.uploader.jp/dl/tane/tane_uljp00230.zip.html Malware-Pack22 213 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 12:50:17 ] >>211 ここまでくると、外付けブートで復旧したほうがはるかに楽そうだの スレチ気味だがとりあえず乙 214 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 13:45:24 ] >外付けブートで 例えば感染したHDDを外付けUSBケースに入れて 他のPCからsystem32内のdllを削除できるんですか？ 215 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 15:52:28 ] >>212 ウイルスバスター2008 3\install_1522_MHw1fGZmfHx8fHx8_.exe: TROJ_RENOS.NDA b\1.exe: TSPY_ONLINEG.DET 5\webinst.cab: TROJ_RENOS.NDA(webinst.dll) 残りは送信済み 216 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 15:57:12 ] >>208 アホか だったら既存のウイルスをUPXで圧縮したら全部感染するだろが 低脳は喋るな 217 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 16:05:09 ] 圧縮はあくまで圧縮だからなぁ 制御権まで移るなんてことはねえ 218 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 16:08:01 ] っつ〜かコピペ捏造ゆとりNOD厨はここでオナニーこいてないで検出報告だけしろ。 スレ汚すなｳﾞｫｹ 219 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 17:20:20 ] >>212 Macからなので全部送りました AVG 220 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 17:36:14 ] >>212 キングとK7、NODには送ってやった なんかやたらとNODの検査が遅かった 221 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 18:14:14 ] >既存のウイルスをUPXで圧縮したら全部感染 これ過去にNOD32が現実にやっちゃったんだよな･･･ 222 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 18:18:18 ] > だったら既存のウイルスをUPXで圧縮したら全部感染するだろが 実際に感染する 223 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 18:24:19 ] >>212 ウイルスキラー19.58.41 3\install_1522_MHw1fGZmfHx8fHx8_.exe Trojan.DL.Win32.Mnless.rh 4\yahoocards.com>>pklite32v1.1 Trojan.DL.Win32.Banload.ett 6\www.activex_plugin.com.br.cmd>>pklite32v1.1 Trojan.DL.Agent.bsw 224 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 18:43:12 ] AntivirがUPX対応してないはずがない… …と思って再検したら、ホント反応しないな ここの過去スレに、UPXかけても反応するっぽいカキコがあったから、 何かが氏んでるってことか ありえんな、俺のinstallationが腐ってるのか？ Aviraスレで聞いてくるわ…。 225 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 18:48:50 ] > >既存のウイルスをUPXで圧縮したら全部感染 > これ過去にNOD32が現実にやっちゃったんだよな･･･ AMON(常駐監視)が未対応でオンデマンドスキャナは対応済みという変な状況だったよな。 見事に感染し騒ぎとなった、今でこそ昔話で済ませられるが大きな穴だったのは確かだ。 226 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 20:12:16 ] UPXなんかソース公開されてる上に可逆Packerなんだから エンジン側で解凍ルーチンを実装し、パターンは解凍後のプログラムに対して作るべき。 ただUPX3.0で追加された形式(--lzma)は未対応なのがある。 あとPackerについては疑わしきは罰するか、誤検知を回避するかで 各社ポリシーが分かれるところでもある。 たとえばSophosやPandaはほとんど蹴る。AntiVirもある程度は蹴る。 メモ帳を固めただけで検知する話は前スレあたりで出ていたと思う。 227 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 21:13:09 ] ひょっとしてそれ(LZMA)だと思って、v1.25でパックしたのも置いてみてるんだが、 まだだめだなあ > AntiVir ちなみに、元ネタは、>>37 もちろん、UPX前のは、ちゃんと検知してる AntiVirの検出エンジｊン(avewin,avpack)には、 UPXって文字列がそこここにあって、やっぱ実装はされてるはずなのよ 検出しないのは、何かのエンバグか、機能制限か、俺の環境が腐ってるってこと …それだとvirustotalの環境も腐ってるってことになってしまうが あっちも検出しないからね もうちょいAntiVirスレで付き合ってもらってる 228 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 21:17:16 ] たとえUPXでもバージョンや派生によってアンパック方法が違ってて対応できてないだけでは？ 229 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 21:27:01 ] ファイル名 MD5-サイズ。 kaoruhime.master EB7DCAC8BD3AF4DD7A63779AB34E23B1-69632 kaoruhime.UPX094.bin AD702EAF7D33EB72B63B2C3500B30CFE-38400 kaoruhime.UPX100.bin 84178A288B417364977672D55537CA29-38400 kaoruhime.UPX125.bin 22A48C1DF08588CB32B0210D4CD532D8-37888 kaoruhime.UPX203.bin CDF7C9ABA4FE5E3B5F0B618B8EB3E0A0-37888 kaoruhime.UPX302.bin 89247DD07B0A677817BE18E43667D502-38400 たしかに、ちょっとずつ違うけど、UPXのやつ全滅ってのは不自然かのう kaoruhime.masterはもちろん検出 230 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 21:59:37 ] >>37をUPX2.90 で圧縮 Virus.Orgでスキャン 圧縮前 scanner.virus.org/scan/qVBvjwiDA/979c01877e79c811926fe94f475fd95581a5d151 圧縮後 scanner.virus.org/scan/3lpTp1Ep7/22773ab0ade48158f1340bc5a59fcbd4d4f56bf2 virustotalに参加してないベンダーで圧縮前と圧縮後に同じ脅威命で検出できたのは CPSecure 231 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 22:08:05 ] 進捗。localpcでは、.exeに直してはじめて、HEUR/Crypted.Eになった さっきから設定見直してるんだけどなあ。 否それにしても、UPXサポートあるはずなのに、検出名違うのは納得いかない 232 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 22:15:11 ] > UPXサポートあるはずなのに 状況を見る限り対応してないのでは? 233 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 22:22:14 ] 対応してる「はず」ってだけならバスターもそうなんだよな。 >>230 の結果ではダメな上にコケまくってるけど。 ttp://esupport.trendmicro.co.jp/supportjp/viewxml.do?ContentID=JP-2061483 もっともバスターに関してはフィリピンでUPXを解凍せずに パターン作ってる奴がいる模様(個人差あり)。 234 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 22:31:02 ] > 圧縮はあくまで圧縮だからなぁ > 制御権まで移るなんてことはねえ そんなに自信があるなら>37をUPX圧縮して実際に動かしてみろよ 感染すること請け合いだ。 235 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 23:13:00 ] しないしないw 236 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/18(金) 23:17:40 ] SFXとPackerの区別くらいできるようになれ 237 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 00:41:07 ] せっかくなので、PEC2もやってみた "TR/Agent.GH.5" んんんん。5ってのはなんなのよ5ってのは 1違うんか さて、これをちょこっと破壊して… (確認してないが、破壊活動を開始する前にハングするようになると思う) 3C5E E843 -> EBFE …これをうｐ scanner.virus.org/scan/ZKL35iuaI/366fb31d862d568ff1fe85b459a8d05457ef4265 …これをPEC2かけてうｐ scanner.virus.org/scan/4aCIcvgrc/de30d74b0fab648c81565d52783643d81a4f1710 どう解釈したらええんだこれ もう寝よ 238 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 00:46:57 ] 破損ファイルなんてｼﾗﾈ 危険なコードの部分を破壊したなら検出しないのが正常じゃないのか？ 239 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 00:49:22 ] 破壊した部分はcrt領域 破壊した結果、検出しなくなるのはアリ 破壊しても検出するのもアリ では、破壊したやつは検出して、圧縮したやつも検出するのに、 破壊したやつを圧縮したやつは検出しないのは…？ ﾜｶﾗﾝ 240 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 00:50:53 ] …否、ワカランていうより、もしかして…。 241 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 00:57:23 ] 壊れてるexeをパッカーで正常に圧縮できる わけないだろw 242 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 01:19:28 ] > 破壊した結果、検出しなくなるのはアリ > 破壊しても検出するのもアリ ウィルスが動作しないのなら検出しないのが正しい 逆にウィルスが動作するなら検出するのが正しい 243 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 01:33:02 ] PackerといえばDr.WebはPackerによる改変に構わず 検出できることを売りにしてた気がしたけどどうなんだろう 244 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 04:44:03 ] >>212の1.exeを解凍してみるといいｗ 自己解凍書庫に圧縮した上でupx圧縮してある これが www.virustotal.com/analisis/d9d8189cabd12501048858d7ec4791c0 こうなって www.virustotal.com/analisis/52da784a46a126c5bf303e7b195f17f4 こうなった www.virustotal.com/analisis/c52881a959b21720566d5bb535c9ac61 DrWebはバイナリ自体は検出できていないが自己解凍.exeに圧縮したとたん検出ｗ なんとカスペも同じｗ 解凍前とあとで検出名が同じなのは McAfee　Microsoft　NOD32v2　Prevx1 Antivirはバイナリ自体は検出できてるが圧縮すると脅威名が変わってる やはりAntivirのupxのアンパックには問題がありそうだ まあ　Antivirだけじゃなさそうだがｗ 245 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 12:14:21 ] カスペとかシマンテックとかﾏﾀﾞｰ? 246 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 13:43:29 ] >>212　乙 遅れますた・・・ カスペ7　　全部検出 0-Trojan-Downloader.Win32.Banload.glf 1-Trojan-Downloader.Win32.Banload.gle 2-Trojan-Spy.Win32.Banker.hiq 3-not-virus:Hoax.Win32.Renos.apv 4-Trojan-Downloader.Win32.Banload.gld 5-Trojan-Downloader.Win32.Adload.ps 6-Trojan-Downloader.Win32.Delf.dzu 7-Trojan-Downloader.Win32.Banload.glg 8-Backdoor.Win32.Agent.dvu 9-Backdoor.Win32.Himic.a a-Backdoor.Win32.Himic.a b-Trojan-PSW.Win32.OnLineGames.onz 誰かが送ったのかも・・・ 247 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 13:48:26 ] >>212 カスペ7＠10:36:14 今北産業 12/12 対応後かもしれないね。 detected: Trojan program Trojan-Downloader.Win32.Banload.glf File:　malware/0/cartao0102973.exe//ASPack detected: Trojan program Trojan-Downloader.Win32.Banload.gle File:　malware/1/controle_activex.exe//Petite detected: Trojan program Trojan-Spy.Win32.Banker.hiq File:　malware/2/robinho.exe detected: malware not-virus:Hoax.Win32.Renos.apv File:　malware/3/install_1522_MHw1fGZmfHx8fHx8_.exe detected: Trojan program Trojan-Downloader.Win32.Banload.gld File:　malware/4/yahooCards.com//PKLite32 detected: Trojan program Trojan-Downloader.Win32.Adload.ps File:　malware/5/webinst.cab/webinst.dll//PE_Patch.UPX//UPX detected: Trojan program Trojan-Downloader.Win32.Delf.dzu File:　malware/6/www.activex_plugin.com.br.cmd//PKLite32 detected: Trojan program Trojan-Downloader.Win32.Banload.glg File:　malware/7/torpedonatal.scr//UPX detected: Trojan program Backdoor.Win32.Agent.dvu File:　malware/8/MUCFLR0000000G.cmd//PE_Patch.UPX//UPX detected: Trojan program Backdoor.Win32.Himic.a File:　malware/9/regulamento.pdf.exe detected: Trojan program Backdoor.Win32.Himic.a File:　malware/a/regulamento.pdf.exe detected: Trojan program Trojan-PSW.Win32.OnLineGames.onz File:　malware/b/1.exe/22.exe 248 名前：247 mailto:sage [2008/01/19(土) 14:05:15 ] >>246 かぶった。ｗ （参考） カスペによる新種発見時間（日本時間）>>212 detected: Trojan program Backdoor.Win32.Himic.a File:　malware/9/regulamento.pdf.exe 1/2 23：31 detected: Trojan program Backdoor.Win32.Himic.a File:　malware/a/regulamento.pdf.exe 1/2 23：31 detected: Trojan program Trojan-Spy.Win32.Banker.hiq File:　malware/2/robinho.exe 1/11 5:25 detected: Trojan program Trojan-Downloader.Win32.Adload.ps File:　malware/5/webinst.cab/webinst.dll 1/14 10:01 detected: malware not-virus:Hoax.Win32.Renos.apv File:　malware/3/install_1522_MHw1fGZmfHx8fHx8_.exe 1/16 11:30 detected: Trojan program Trojan-PSW.Win32.OnLineGames.onz File:　malware/b/1.exe/22.exe 1/17 15:56 ----- アップローダにうｐ 1/18 12:38（>>212） ----- detected: Trojan program Trojan-Downloader.Win32.Banload.glf File:　malware/0/cartao0102973.exe 1/19 8:53 detected: Trojan program Trojan-Downloader.Win32.Banload.gle File:　malware/1/controle_activex.exe 1/19 8:19 detected: Trojan program Trojan-Downloader.Win32.Banload.gld File:　malware/4/yahooCards.com 1/19 8:16 detected: Trojan program Trojan-Downloader.Win32.Delf.dzu File:　malware/6/www.activex_plugin.com.br.cmd 1/19 9：22 detected: Trojan program Trojan-Downloader.Win32.Banload.glg File:　malware/7/torpedonatal.scr 1/19 9：11 detected: Trojan program Backdoor.Win32.Agent.dvu File:　malware/8/MUCFLR0000000G.cmd 1/19 8：54 249 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 21:17:40 ] torpedonatal.scrを解凍したら検出できるベンダーが減ったな 解凍前 www.virustotal.com/analisis/621f222282ef09d072003d139e1a6a40 解凍後 www.virustotal.com/analisis/1fc574feeb03afddfebacd5f7f0932e1 しっかりシグネチャ検出できてるのは カスペとIkarusのみか F-Secureは亜種検出ではなくgeneric検出になってるのが面白い norman　sandboxでの挙動結果もでてるし 250 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 22:11:41 ] F-Secuは自前エンジンで引っ掛けたのか。 放っときゃカスペのシグネチャ回りそうなもんだが。 ところでIkarusってカスペと関係ないよな? なんかいつも検出名が似てるんだよなぁ。 251 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 22:16:12 ] >>250 前スレかその前スレ辺りでその回答があったよ。 もちろん違うエンジンだったけど。 そもそもカスペOEM提供にIkarusがあるのは聞いたことない。 252 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 22:40:38 ] >>250 VBA32も似てるよな エンジンは違えど研究者が通じているという可能性もないわけではないが 253 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 23:12:58 ] どうもIkarusってvtから送られたファイルを積極的に解析している気がする シグネチャ対応は大抵カスペが一番速いから　ウイルス名はそれに習ってるんじゃないか？ ちょっと前まではウイルス名は最初に対応したベンダーに習ってたじゃん いまやバラバラだけどなｗ 254 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 23:17:32 ] >>249 > しっかりシグネチャ検出できてるのは > カスペとIkarusのみか そういうことは解凍前に全部検知されている検体で言ってくれ 255 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 23:20:38 ] やだよｗ 256 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/19(土) 23:33:21 ] >>253 おまえの脳みそはおれの脳みそか 257 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/20(日) 21:40:48 ] www.dotup.org/uploda/www.dotup.org6311.rar.html 44 セキュ板ロダにうｐできなかった しばらくしたら消す 258 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/20(日) 21:43:52 ] もうねえじゃねえか！ 259 名前：257 mailto:sage [2008/01/20(日) 21:53:49 ] わりい あげなおした www.dotup.org/uploda/www.dotup.org6320.rar.html 44 260 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/20(日) 21:55:27 ] >>259 それはいいんだけど検出数がかなり多いからどう報告しようか困る 261 名前：257 mailto:sage [2008/01/20(日) 21:58:08 ] 俺は別に 各ベンダに送ってくれれば 262 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/20(日) 22:38:33 ] >>259 カスペ7 量が多いのでログをうpした。 スルーしたのはこれから送る。 www5.uploader.jp/dl/tane/tane_uljp00231.txt.html 263 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/20(日) 22:59:35 ] とりあえずキングとNODには送った なんかどっちもとスキャンにやたら時間がかかったな 264 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/20(日) 23:58:25 ] ttp://www8.axfc.net/uploader/17/so/H_40082.zip.html Pass:otona 265 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 00:04:36 ] >>264 AntiVir、AVGAM両方スルー 現在VirusTotalに投げ込んでるところ 266 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 00:14:29 ] www.virustotal.com/analisis/591d3d1e1bc0ab59c1048e45e94068fe esafeだけて・・・ 267 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 00:37:24 ] >>264 �d カスペ7 スルーにつき、検体提出しました。 268 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 00:38:47 ] ウイルスバスター2008 >>259 16/44 >>264 スルー 両方ともスルーしたのは送信した。 269 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 00:50:34 ] >>266 unpackしてみたぁ。 ttp://www.virustotal.com/jp/analisis/ef78d4b000ed687d2b78cf776388d48a 結果: 0/32 (0%) 270 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 00:57:17 ] 珍種 271 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 01:03:41 ] >>264 ねんのためAVGおくっといた 272 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 01:25:16 ] >>259 キラー19.58.42 13体検出 ttp://www5.uploader.jp/user/tane/images/tane_uljp00232.png 273 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 01:31:30 ] >>264 McAfeeスルー www5.uploader.jp/user/tane/images/tane_uljp00206.jpg 274 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 07:09:14 ] なんか鑑定くさいな 275 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 10:53:17 ] >>273はTrojan-Downloader.JS.Agent.aqr　(jpg偽装で踏んだあと再起動するとHDD全削除のあれ) 誰だよ検体そのままうpしてる奴は 276 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 17:26:44 ] youareanidiot.org/ tawa50052.zip DLP=123 277 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 17:54:50 ] >>276 なんと言うブラクラw 見事に引っかかったw 278 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/21(月) 19:27:07 ] >>276 ＰＣぶっこわれました 279 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/22(火) 14:04:17 ] pc11.2ch.net/test/read.cgi/sec/1199892161/627 280 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/22(火) 14:53:08 ] 今頃だけど >>272のウイルスキラーの画面、ちょっとかっこいいな。 281 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/22(火) 21:44:20 ] rapidshare.com/files/85678212/50.zip.html 05 282 名前：281 mailto:sage [2008/01/22(火) 21:47:25 ] まちがい すまん 283 名前：281 mailto:sage [2008/01/22(火) 22:21:30 ] あげなおし rapidshare.com/files/85682084/50.zip.html 05 284 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/22(火) 23:16:50 ] >>283 乙 kis7 ログうpしますた www5.uploader.jp/dl/tane/tane_uljp00233.txt.html スルーしたのはこれから送る >>259 言い忘れてたが、kis7送ったやつ対応したと今日メール来てました。 でもなぜか文字化けしてたので載せません。 285 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/22(火) 23:37:24 ] >>283 NOD16体 キングは適当に放り込んでおいた 286 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/23(水) 03:22:16 ] AVGおくっといたよ 287 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/23(水) 09:49:34 ] ttp://205.209.161.43:8080/ffxi/windower.rar ttp://205.209.161.43:8080/ffxi/APP.rar 288 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/23(水) 10:13:32 ] >>283 ウイルスバスター2008 検体提出 289 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/23(水) 10:23:57 ] >>287 AVG virustotal送付済み 290 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/23(水) 21:35:44 ] >>287 カスペ7 �d detected: Trojan program Backdoor.Win32.Delf.czl File:windower.rar/launcher.exe detected: Trojan program Backdoor.Win32.Delf.czl File: APP.rar/APPv4.exe 291 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/23(水) 22:53:35 ] rapidshare.com/files/85961720/2c.zip.html 33 VideoAccessCodecInstall(zlob)がアイコンを変えた 相変わらず数時間おきにバイナリサイズを変化させてる generic検出できるところとできないところにはっきり分かれてる 興味がある人はここを観察してみるといい　 websoft-b.com/download/502/100/0/ 292 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/23(水) 23:08:56 ] >>291 やたらと関係の無い物が入ってるのはなに？ 293 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/23(水) 23:15:02 ] >>291 乙 カスペ７ www5.uploader.jp/dl/tane/tane_uljp00235.txt.html カスペはジェネリック検知無理ですた・・・ 294 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/23(水) 23:19:05 ] >>291 �d カスペ7 20 検体提出します。 　Trojan program Trojan-Downloader.JS.Agent.hl File: 　/1.gif 　Trojan program Trojan-Downloader.Win32.Zlob.gfz File: 　/1setup.exe 　Trojan program Trojan.Win32.Small.aah File: 　/2setup.exe 　Trojan program Trojan-Downloader.Win32.Zlob.ggy File: 　/2VideoAccessCodecInstall.exe 　Trojan program Trojan-Downloader.JS.Agent.acg File: 　/3.gif 　Trojan program Trojan-Downloader.JS.Agent.aee File: 　/4.gif 　malware Exploit.Win32.RealPlr.t File: 　/6.gif 　malware Exploit.Win32.IMG-ANI.ac File: 　/ads.c 　Trojan program Trojan-Downloader.Win32.Small.gkm File: 　/ads.cab/ads.exe 　Trojan program Trojan-Downloader.Win32.Small.gkm File: 　/ads.exe 　Trojan program Trojan-Downloader.JS.Small.js File: 　/ads.js 　adware not-a-virus:AdWare.Win32.BHO.sb File: 　/bho.exe 　Trojan program Trojan-Clicker.JS.Agent.h File: 　/eucardel.com.htm 　Trojan program Trojan-Spy.Win32.Bancos.arg File: 　/exe.exe 　Trojan program Trojan.Win32.DNSChanger.aqd File: 　/hqcodecvip.exe 　Trojan program Trojan.Win32.DNSChanger.aqd File: 　/hqcodecvip4111.exe 　Trojan program Trojan.Win32.DNSChanger.aqd File: 　/hqcodecvip4588.exe 　Trojan program Trojan.Win32.Small.aah File: 　/setup.exe 　virus Email-Worm.Win32.Zhelatin.tb File: 　/severa.exe 　adware not-a-virus:AdWare.Win32.BHO.ua File: 　/superdirectsearch_com.exe 295 名前：293 mailto:sage [2008/01/23(水) 23:24:46 ] すみません。また重なりました 296 名前：294 mailto:sage [2008/01/24(木) 00:15:07 ] いえいえ 未検知送りました。 しかし、VideoCodecInstaller.exeはどのベンダーも完璧には検知していないね。 297 名前：294 mailto:sage [2008/01/24(木) 10:46:29 ] >>291 カスペからの返事 2.gif_ - Exploit.HTML.IESlice.ca, cInstall.exe_ - Trojan-Downloader.Win32.Zlob.gin, cInstall.exe_1 - Trojan-Downloader.Win32.Zlob.gij, cInstall.exe_2 - Trojan-Downloader.Win32.Zlob.gil, cInstall.exe_3 - Trojan-Downloader.Win32.Zlob.gim 5VideoAccessCodecInstall.exe_ - Trojan-Downloader.Win32.Zlob.gim, VideoAccessCodec.ocx - Trojan.Win32.Agent.efr, VideoAccessCodecInstall.exe_ - Trojan-Downloader.Win32.Zlob.gio install_cn.exe_ - not-a-virus:AdWare.Win32.Vapsup.ada New malicious software was found in these files. Detection will be included in the next update. Thank you for your help. in.cgi, Test.mxml, traff.php, www.yahoo.com.htm_, zlob.bmp No malicious code were found in these files. 298 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/24(木) 20:39:51 ] 最新のvideoCodecInstaller.exe www.virustotal.com/analisis/f947773ec71cec92584370484db0b272 299 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/24(木) 20:48:09 ] >>298 どんだけー 最新バージョンではAVGやMSまでスルーしてる VBA32のMalwareScopeってのは一種のヒューリステイックらしいが… 挙動は特に変わってないみたいだが　ポリモーフィックか？ 300 名前：298 mailto:sage [2008/01/24(木) 23:30:46 ] カスペ7　後で対応 Hello, 141dfe3e6ea5b711 - Trojan-Downloader.Win32.Zlob.gkd New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help. Please quote all when answering. 301 名前：名無しさん＠お腹いっぱい。 [2008/01/24(木) 23:35:32 ] sakuratan.ddo.jp/imgboard/img-box/img20080124231538.jpg ウイルス直リンク どうでしょう 302 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/24(木) 23:55:57 ] >>301 カスペ7 Trojan.JS.WindowBomb.g 303 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/25(金) 01:55:38 ] www.uploader.jp/dl/sample/sample_uljp00045.exe 304 名前：名無しさん＠お腹いっぱい。 [2008/01/25(金) 02:08:50 ] >>303 ないぞ 305 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/25(金) 02:10:50 ] わざとちょっと変えてるぽい それヒントにうｐろだに池ってことらしい 34816bytes. 306 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/25(金) 02:58:21 ] >>303 CAT-QuickHeal 9.00 2008.01.23 (Suspicious) - DNAScan eSafe 7.0.15.0 2008.01.16 suspicious Trojan/Worm Sunbelt 2.2.907.0 2008.01.23 VIPRE.Suspicious 307 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/25(金) 06:59:50 ] >>301 Janeなせいか見れん。 308 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/25(金) 07:46:43 ] >>304 www.uploader.jp/dl/sample/sample_uljp00045.exe.html 309 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/25(金) 10:18:03 ] >>308 フォトショのキージェネじゃねーか 310 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/25(金) 10:38:20 ] >>18 311 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/25(金) 20:31:55 ] 最新のvideoCodecInstaller.exe www.virustotal.com/analisis/9027a983f71ab35d8a6a513591e52dde 312 名前：名無しさん＠お腹いっぱい。 [2008/01/26(土) 00:13:47 ] virustotal.com あなたのファイルの順番： 861 番目 こんでますｗ 313 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 00:19:25 ] DoS食らったか、どれかのエンジンがバグって99%になってると予想ｗ 314 名前：312 [2008/01/26(土) 00:23:40 ] なるほどｗ virusscan.jotti.org/ こっちに送っときました 315 名前：312 [2008/01/26(土) 00:27:17 ] www.virustotal.com/jp/estadisticas.html 数時間前から半端ない数が送られている模様 316 名前：名無しさん＠お腹いっぱい。 [2008/01/26(土) 00:45:00 ] 164 ：名無しさん＠お腹いっぱい。：2008/01/26(土) 00:01:04 「百度」を開き「カッパーフィールド」を検索してください。 8をクリックしてください。 ウイルスのダウンロードが始まります。 317 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 01:10:00 ] >>316 SCOで確認したけど、不正サイトに飛ばすコードはなかったぞ？ そもそもその書き込みはどこから持ってきたんだ？ 318 名前：名無しさん＠お腹いっぱい。 [2008/01/26(土) 01:28:10 ] >>316 ADCFreeInstaller_jp.exeが落ちてくる 319 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 02:01:15 ] インチキアンチスパイウェアだね 320 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 02:12:09 ] インチキに最後まで付き合ってみた これ入れろってさｗ ttp://www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00003.rar.html pass: dh9p 321 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 02:16:44 ] ごめ、ゴミがついてる 00003 -> 00004 でおね 322 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 02:22:56 ] コメントがちょっとでも長いとうｐがおかしくなる…俺涙目 00004->00005 んで、覗いてくる 323 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 03:55:35 ] おｋ、落ちてきたファイル。勇気スレではないので、解説は抜きで ttp://www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00006.rar.html 検出可否のお題にﾄﾞｿﾞｰ スレ汚しｺﾞﾒｽ 324 名前：名無しさん＠お腹いっぱい。 [2008/01/26(土) 04:14:33 ] passくれ 325 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 04:18:16 ] あ。>>320とおんなじ 326 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 04:20:57 ] >>320 >>323 びっとでぃふぇんだ〜 MalwareAlarm1.dll infected: Generic.Zlob.2DDDA041 AVG malware-scan.50_swp.bin　Trojan horse Downlorder.Agent.14.AO MalwareAlarm0.dll　Trojan horse Generic4.HDH MalwareAlarm1.dll　Trojan horse Generic3.QJE MalwareAlarm3.dll　Trojan horse Generic9.YFR あんちど〜と MalwareAlarm.exe = ｳｲﾙｽ感染 : not-a-virus:FraudTool.Win32.DrAntispy.ag すまてっく全滅 これから送る。。。orz..... 327 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 04:46:48 ] >>320 >>323 ウイルスバスター2008 Adware_BraveSentryで以下を検出 MalwareAlarm0.dll MalwareAlarm1.dll MalwareAlarm3.dll 残りは検体提出 328 名前：326 mailto:sage [2008/01/26(土) 05:45:48 BE:6288285-2BP(1123)] っと、再スキャンしたらでた シマンテック MalwareAlarm.exe は セキュリティリスク 脅威です。 MalwareAlarm0.dll は セキュリティリスク 脅威です。 MalwareAlarm1.dll は セキュリティリスク 脅威です。 MalwareAlarm3.dll は セキュリティリスク 脅威です。 routines.dll は セキュリティリスク 脅威です。 Uninstall.exe は セキュリティリスク 脅威です。 329 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 05:46:27 ] いや〜ん 330 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 08:27:46 ] >>323 CAアンチスパイのヒューリスティックで検出 331 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 10:19:14 ] カスペ7 >>320 削除しました: トロイの木馬 Trojan.Win32.Agent.eki ファイル: C:\Temp\malware-scan.50_swp.bin >>323 削除しました: リスクウェア not-a-virus:FraudTool.Win32.DrAntispy.ag ファイル: C:\Temp\MalwareAlarm.exe 削除しました: リスクウェア not-a-virus:FraudTool.Win32.BraveSentry.b ファイル: C:\Temp\MalwareAlarm0.dll 削除しました: リスクウェア not-a-virus:FraudTool.Win32.BraveSentry.b ファイル: C:\Temp\MalwareAlarm3.dll 332 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 12:48:22 ] >>323 McAfee MalwareAlarm0.dll MalwareAlarm1.dll MalwareAlarm3.dll Uninstall.exe すべてBraveSentryとして検出 333 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 14:09:39 ] 最新のvideoCodecInstaller.exe www.virustotal.com/analisis/d081e32c1093ba719d9f15692aaf8e11 upxでパックし始めた 334 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 14:35:31 ] それって502/100/0 ? 335 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 15:06:06 ] んだ 336 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 15:59:00 ] 302でリダイレクトされる先は？？ 当方temp-2/502_f899139_0 101KB/152KBのセットばっかり降ってくるんだが…。 337 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 16:26:49 ] これ？ www.virustotal.com/analisis/cc20e25072c3eadfe81b37e47d5b5921 こっちはupxパックもされてないし　カスペ　MSあたりがgeneric検出できてるみたいだな 338 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 18:14:36 ] www.borujoa.org/upload/source/upload16348.zip 339 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 18:25:46 ] >>338 Scan taken on 26 Jan 2008 09:23:46 (GMT) A-Squared Found nothing AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing CPsecure Found nothing Dr.Web Found Trojan.Qhost.origin F-Prot Antivirus Found nothing F-Secure Anti-Virus Found nothing Fortinet Found nothing Ikarus Found Suspect code-parts (probable variant) Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing Panda Antivirus Found nothing Rising Antivirus Found nothing Sophos Antivirus Found nothing VirusBuster Found nothing VBA32 Found nothing 340 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 18:51:29 ] >>323 ESS 2008/01/26 8:26:54 oklsslv2ym_uljp00006\MalwareAlarm.exe Win32/Adware.SpySheriffの亜種 2008/01/26 8:26:51 oklsslv2ym_uljp00006\MalwareAlarm3.dll Win32/Adware.BraveSentry 2008/01/26 8:26:50 oklsslv2ym_uljp00006\MalwareAlarm1.dll Win32/Adware.BraveSentry 2008/01/26 8:26:49 oklsslv2ym_uljp00006\MalwareAlarm0.dll Win32/Adware.BraveSentry 341 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 19:00:32 ] >>323でスルーしたやつをカスペに送りました。 342 名前：名無しさん＠お腹いっぱい mailto:sage [2008/01/26(土) 19:18:33 ] >>338 カスペに送っちゃってから気づいたが、ウイルスじゃないし https://www.mron.jp/ 343 名前：341 mailto:sage [2008/01/26(土) 20:19:14 ] >>323のスルーしたやつ>>338 カスペからの返事によるとマルウェアじゃないって 344 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 20:23:07 ] 別なところから落としたVideoAccessCodecInstall.exe www.virustotal.com/analisis/e58bbe9fb6bc7b1ec9426467d0143357 カスペには送った 345 名前：344 mailto:sage [2008/01/26(土) 23:03:42 ] カスペからの返事によると「Packed.Win32.PolyCrypt.l」だって Zlobで検知じゃないみたい 346 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 23:15:41 ] カスペにしては珍しい名前だなあと思っていたら・・・ ttp://www.kaspersky.com/viruswatchlite?search_virus=Packed.Win32.PolyCrypt&hour_offset=6&x=6&y=2 347 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 23:47:47 ] おいらもそう思いました > PolyCrypt カスタムパッカそのものを検出してるぽい名前ですね、カスペらしからぬ (推測) じき、正々堂々、アンパックして対抗していただきたいものですｗ 348 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 23:53:52 ] キリがないからじゃね。 使い捨てウイルスに、逐一シグネチャ作成するなんてばかばかしい。 誤検知さえしなければいいや。 ファイル名だけで検知してもいいくらいｗｗｗ 349 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/26(土) 23:54:02 ] たしか8.0では変なパッカーは警告でしたよね？ 楽しみです。 でも、私もアンパックしての検知を希望しますね。 追記 関係ありませんがvistaでの機能制限はMP1で消えたのかな？ 8.0待ち？ 350 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 00:26:35 ] 検出スレなのにカスペ厨ばっかりでウザス 351 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 00:29:08 ] ま、カスペがパッカそのものに反応させたかもってこと自体、 全体的トピックス感がと思って。 こないだはAvira vs UPX(の話題)だったのう そういや、avewin32が更新になったけど、対応回復してくれてないかな 352 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:34:23 ] 最新のVideoAccessCodecInstall.exe www.virustotal.com/analisis/aed8f67bd5f1f0c3ff856354a136adb3 カスペには送った。 AVG最強だし 353 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:35:13 ] AVGってなんでZlobに強いの？？ 354 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:38:06 ] なぜかはわからんが俺がVTにアップしたzlobをすべて検知したのはAVGだけ しかもちゃんと定義ファイルによる検知（genericじゃない） 355 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:39:44 ] AVGってつくづく不思議。 アップデートもカスペと比べて多いわけじゃないのに。 356 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:43:00 ] だれがzlobをAVGにがんばって送ってるんだろ・・・ grisoftが自分で集めてるのか？ 357 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:44:35 ] grisoftが集めてるんじゃないの？ 誰かが送ってるのならavast!も検知しそうだけど・・・・ avast!のウイルス対応速度はどうなんだろ？ 358 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:46:33 ] avastはzlobをWin32:Spyware-gen [Trj]で検知するよ 359 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:51:24 ] カスペはexplorerの事件があってからかなり対応が遅くなっちゃったんだよね〜 360 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:51:37 ] >>358 thx 361 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:54:08 ] それでもカスペは対応は速いほうでしょ。 362 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:55:34 ] うん ただ前から気になっていたのだがかなり前に提出したウイルスでも対応していないのがたまにあるんだよな・・・ www.kaspersky.com/viruswatchlite?search_virus=Packed.Win32.PolyCrypt&hour_offset=6&x=6&y=2 363 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 01:56:55 ] VideoAccessCodecInstall.exeに使われてるpackerって何だ？ 364 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:01:57 ] 考えられるのはUPX 365 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:03:14 ] >>333はUPXだな 366 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:08:14 ] >>362 最近カスペの検出率にかげりが見え始めたのはそのせいか・・・ 367 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:10:18 ] 前からぼちぼちこういうことあったよ 検出力が落ちているのはトロイの亜種が無数に増え続けているけどカスペはジェリック検知できないせいでスルーするのが多い ヒューリスティックで検知できるものならいいが・・・ 368 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:10:53 ] たぶんだけど 369 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:11:32 ] 今亜種に強いソフトはどこだろ？ 370 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:13:16 ] upxならvtに表示されるはず >>333以降upｘはつかってないようだし未知のpackeだろ 未知のpackerを組み合わせてスキャナかいくぐってるのか？ もしかしてポリモーフィックpacker？ 最新の502/100/0ではavira AVG 　avast カスペ　MS スルー www.virustotal.com/analisis/c9768945f51ac6806b7b380a10891686 371 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:13:20 ] 2chのうわさによるとAVGらしい Antivirは亜種に強いというよりもヒューリスティックで検知する 372 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:15:07 ] 未知のパッカー・・・ 2000種以上対応しているカスペもパッカーが何か検出できない・・・ やばぽだな 373 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:15:28 ] Bitも更新頻度は多いけどスルーするのが多いということはカスペと大体同じ？ 374 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:15:59 ] 作る側も必死だな 375 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:16:15 ] VideoAccessCodecInstall.exeに関してはVBA32だなｗ 376 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:17:41 ] 特定の物に関してはAVGの亜種の効きがやたらと強いんだよな 377 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:19:24 ] たしかにVBA32強そう Bitは最初のうちはそこそこzlobに強かったけど今は・・・ 378 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:19:31 ] >>371 AntiVirは大量のシグネチャと強力なヒューリスティックでまかなってる感じがする。 379 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:20:22 ] でもAntivirはパッカーひとくくりの傾向もなきにしもあらず 380 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:26:50 ] 最新のzlobをカスペに送りマスタ 381 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:30:35 ] やっぱ名前で検出しちゃえ 自分でカスタムでシグネイチャ作れないかな 382 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:32:01 ] >>352のzlob、カスペから返事が来ない・・・ 1時間ぐらいたったのだが 383 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:32:45 ] calmのような機能つけてほしいな 384 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:33:33 ] 名前検出ｗ 世も末じゃのうｗ 385 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:33:58 ] clamでした・・・ 386 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:35:28 ] JaneのNGワード編集する要領でさ 387 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:36:06 ] clamならそんなかんじでできるんだよな〜 388 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:37:23 ] 寝ようと思ったところにclam情報が・・・orz 389 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:38:54 ] 今後のカスペが不安だな。 8.0がどうなるか・・・ 390 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:40:36 ] シグネイチャ現行のままで行くような・・・エンジン刷新だけ？ 391 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:41:35 ] エンジンは大幅に変えるという記事は見たことある＞カスペ8.0 392 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:43:15 ] 基本的にはヒューリスティックの強化だと思う 393 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:45:14 ] 気持ち良く寝れそうなレスが出たんで寝る　ノシ 394 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:48:00 ] 俺も落ちますわ（わざわざ報告せんでいい 395 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 02:49:04 ] カスペをNG登録しますた 396 名前：名無しさん＠お腹いっぱい。 [2008/01/27(日) 03:07:37 ] >>291 掘るといっぱい出てくるな virustotalに送り注 397 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 03:25:02 ] 最新をvirus.orgに送った scanner.virus.org/scan/daGV1uq6z/73de7f5518a0133dda5949e620e129daf7a60fc9 バスターがgeneric対応してる 398 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 03:27:19 ] Detected Packer: None … 399 名前：名無しさん＠お腹いっぱい。 [2008/01/27(日) 03:36:54 ] 無限だなｗ 400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 03:40:54 ] WORM_NUCRP.GEN www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=WORM%5FNUCRP%2EGEN&VSect=T トレンドマイクロ製品では、特定の形式で暗号化およびUPX圧縮されているファイルをこの検出名で検出します。 なんらかのpackerは使われてるっぽいな　それとも暗号化？ 401 名前：名無しさん＠お腹いっぱい。 [2008/01/27(日) 04:07:41 ] >>400 暗号化って実行時には検出できるのかね それならそれでいいんだが 402 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 04:13:14 ] どうだろ わからんがむりぽじゃね？ 実験環境ないしｗ 403 名前：名無しさん＠お腹いっぱい。 [2008/01/27(日) 04:15:56 ] おれも環境ないから怖くて実験できないんだよｗ 404 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 04:22:47 ] sandboxieじゃちと不安だしなｗ VMあるけどwindowsがないし　買うかな… しかしVMdetect使われてたら反応しないはずだから 実機で実験しないと本当のところはわかんないんだよな どなたか　猛者はいらっしゃいませんでしょうかｗ 405 名前：名無しさん＠お腹いっぱい。 [2008/01/27(日) 04:41:45 ] 今夜はこれで寝るぉ 10個くらいvirustotalした 406 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 05:18:01 ] ttp://www.dotup.org/uploda/www.dotup.org3008.zip.html ttp://www.dotup.org/uploda/www.dotup.org3014.zip.html 407 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 05:37:32 ] パス付けろっての 408 名前：405 [2008/01/27(日) 05:44:26 ] 復活ｗ 409 名前：405 [2008/01/27(日) 05:46:03 ] >>406 AVGはどっちも検出 410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 08:55:23 ] sandboxie評価中。 あれは実行中のコンテキストがsandboxedであることが随所にわかりまくるから、 回避しようと思ったら、一発で回避される 回避されて動作しなくなるんなら、封じ込めるという意味ではなんの問題もないんだが 挙動をｦﾁしようっていう目的だと、知名度があがるほどダメダメになってしまう んで、今取り上げられているVide(ry)のパッカは、たぶんsandoboxieｽﾙｰ。 本体にまで制御移るよ 411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 09:34:28 ] >>410 乙であります 挙動だけならnormanあたりにやってもらったほうがいいんでしょうね しかし実行時に各アンチウイルスが反応するかまではわからないしな そこらへんの実験はサブマシンでやるしかないんでしょうね 412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 10:46:49 ] 俺がｦﾁしてる(俺のIPで落ちてくる)Vide(ry)がパッカを段数増やしたか、変更してきたぽい 日本時間でちょうど日付が変わる頃から 118272bytes系のやつ 413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 11:12:50 ] >>406 www.virustotal.com/analisis/42f6a862427b54505d566ef8f888886c www.virustotal.com/analisis/42f6a862427b54505d566ef8f888886c 414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 11:39:44 ] WoWのチートツールくさいのでスルー 415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 19:18:39 ] www.dotup.org/uploda/www.dotup.org3951.zip.html 10 416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 19:35:36 ] >>415 �d カスペ7 11/11 detected: virus Worm.Win32.Feebs.my File: 　setup.exe detected: Trojan program Trojan.Win32.DNSChanger.aum File: 　21book/1011.exe detected: Trojan program Trojan-Spy.Win32.Banker.hta File: 　21book/d.exe detected: Trojan program Trojan-Downloader.JS.Agent.yd File: 　21book/e1.html detected: Trojan program Trojan.Win32.DNSChanger.arn File: 　21book/hqcodecvip1176.exe//data0001 detected: Trojan program Trojan.Win32.Agent.dvh File: 　21book/new.exe detected: virus Worm.Win32.Feebs.my File: 　21book/setup.exe detected: Trojan program Trojan-Downloader.Win32.Tibs.ul File: 　21book/severa.exe detected: Trojan program Trojan-Spy.Win32.Graball.i File: 　21book/sol.exe detected: Trojan program Trojan-Proxy.Win32.Saturn.af File: 　21book/u_f1_v34_72_u.exe detected: Trojan program Trojan-Downloader.Win32.Tibs.uk File: 　21book/win32.exe 417 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 19:40:30 ] >>415 圧縮ファイルをそのままうｐ www.virustotal.com/analisis/2f4338d2446931b5fdce4ac56c3884b5 418 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 19:54:30 ] パス付zipでも結構検出するんだな 419 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 20:04:58 ] AntiVirが圧縮ファイルに即反応したからこれはVirustotalに投げてもいいなと思ったからね。 420 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/27(日) 23:27:55 ] >>415 ウイルスバスター2008 TROJ_ZLOB.HM　hqcodecvip1176.exe TROJ_NUWAR.KE　severa.exe Possible_Nucrp-6　win32.exe Possible_JShel　e1.html スルーしたものとヒューリスティック検出のものは提出しました 421 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/28(月) 15:31:57 ] ちょっと古いアドウェアのDLL 配布されているインストーラには含まれてなくて、実行すると初めて落ちてくる本体らしい .phpで出力されてきたのでLastModified不明だが、PEヘッダによると、昨年秋のものらしい www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00017.xxx.html pass: gdiemloc 422 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/28(月) 15:49:25 ] >>421 ウイルスバスター2008 スルー、検体提供済み。 ZIP以外で圧縮するときにはせめて拡張子書いておいたほうがいいんじゃね？ 423 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/28(月) 16:11:07 ] >>421 AntiVir：スルー AVGAM：アドウェアとして検出（なので無料版では検出できない） 現在Virustotalに投下中 424 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/28(月) 16:19:34 ] …あ。古いといっても、落としたのは今日のさっき >>422 あのうｐろだ、あの拡張子受け付けてくれなかったんだわ xxxってのは拡張子ごまかし用の拡張子 雑ｽﾏ 425 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/28(月) 16:31:38 ] Virustotalがなぜか受け付けてくれなかったのでjottiでスキャン virusscan.jotti.org/ ここではなぜかAntiVirが検出、アドウェアだからPremium版なのかな？ 426 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/28(月) 16:33:43 ] File: oklsslv2ym_uljp00017.xxx AntiVir Found ADSPY/Bho.KJ AVG Antivirus Found Generic2.VJU ClamAV Found Adware.BHO-208 Dr.Web Found Adware.BitAcc F-Secure Anti-Virus Found not-a-virus:AdWare.Win32.BHO.kj (4, 1, 400) Ikarus Found not-a-virus:AdWare.Win32.BHO.kj Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.BHO.kj 427 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/28(月) 23:46:03 ] >>421 VirusBuster（トレンドマイクロに非ず）に送ってみた。 > Thank you for the sample, it will be detected by our next database as a variant of Adware.BHO. > > -- > Nagy Ferenc Laszlo > VirusBuster VirusLab 428 名前： ◆W32/Vael.o mailto:sage [2008/01/29(火) 11:04:01 ] ttp://www5.uploader.jp/dl/tane/tane_uljp00238.zip.html Malware-Pack23 429 名前：名無しさん＠お腹いっぱい。 [2008/01/29(火) 11:59:39 ] >>428 きたー 430 名前：名無しさん＠お腹いっぱい。 [2008/01/29(火) 12:20:48 ] >>428 asc_setup_light.exe hotel.htm kill.exe SecureCleanerSetup.exe sites.exe svchost.exe videosaccess.exe AVG&virustotal送っときました。 他は検出。 431 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 12:32:38 ] >>428 ウイルスバスター2008 asc_setup_light.exe: TROJ_RKPROC.AD svchost.exe: Possible_Virus スルーしたのとPossibleで検出したファイルは送信済み 432 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 13:57:26 ] >>428 5\hotel.htmはデコードすると <HTML> <HEAD> <TITLE>Not Found</TITLE> </HEAD> The requested URL was not found on this server. <br><br><HR noshade="noshade"> Apache/1.3.31 Server at Port 80 </BODY> </HTML> になるな 433 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 13:59:42 ] >>428 KAV 7.0 削除しました: トロイの木馬 Trojan-Downloader.Win32.Banload.gni ファイル: C:\Temp\Malware\1\vet.exe//ASPack 削除しました: トロイの木馬 Trojan-Downloader.NSIS.Agent.as ファイル: C:\Temp\Malware\3\asc_setup_light.exe//data0001 削除しました: トロイの木馬 Trojan.Win32.Vaklik.gq ファイル: C:\Temp\Malware\4\10.exe//UPack//PE_Patch 削除しました: トロイの木馬 Trojan.Win32.Fowin.ap ファイル: C:\Temp\Malware\6\videosaccess.exe 隔離しました: ウイルス Heur.Downloader (亜種) ファイル: C:\Temp\Malware\8\msg_l0868568.scr 隔離しました: ウイルス Heur.Trojan.Generic (亜種) ファイル: C:\Temp\Malware\9\jk.exe//Cexe//IDAppProt 隔離しました: ウイルス Heur.Trojan.Generic (亜種) ファイル: C:\Temp\Malware\9\jk.exe//data0000.bin//IDAppProt 隔離しました: ウイルス Heur.Downloader (亜種) ファイル: C:\Temp\Malware\a\www.ittecell2008.com.br.cmd//PKLite32 削除しました: トロイの木馬 Trojan-Downloader.Win32.Delf.egi ファイル: C:\Temp\Malware\b\svchost.exe 検体送りまっす 434 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 17:27:14 ] >>428乙 Norton Internet Security 2008 0 をDownloader.MisleadApp として検出 4 をInfostealer.Gampass として検出 8 をDownloader として検出 b をBackdoor.Trojan として検出 反応の無かったのは贈りました 435 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 18:00:13 ] >>432 ほんとだ。これとそっくりなスクリプトが ttp://www.castlecops.com/t214039-rimvoyeur_ru.html なんだけど、今見てみたらこっちもだなぁ。 最初に見た時はexeを落とすスクリプトだったんだけど もしかしてサーバ側で(IPなどを見て)2回目以降はダミーを返すのかな? 436 名前：435 mailto:sage [2008/01/29(火) 18:08:32 ] >>435 のCastleCopsを見て拾ったのがまだディスクに残ってた。 スクリプトのケツに >>432 と同じダミーが入ってるけど 前半は明らかに有害コードで別物。 ttp://www5.uploader.jp/dl/tane/tane_uljp00239.zip.html hotel 同梱のexeはスクリプトが落として実行するもの (サイズが小さすぎるのでダウンローダかと)。 437 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 18:26:41 ] >>428 ウイルスキラー19.60.11 4\10.exe>>upack0.32 Trojan.PSW.Win32.GameOL.lqd 8\msg_l0868568.scr>>Aspack212r Trojan.DL.Win32.Banload.due a\www.ittecell2008.com.br.cmd>>pklite32v1.1 Trojan.DL.Agent.bsw 438 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 19:03:48 ] >>435 特攻して、お土産もらってきた 俺用には、ShellServiceObjectDelayLoadに入ってきた www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00020.rar.html pass: dpvpeh9s 環境が不安定なのか、cvesw.dllが%temp%に残ってた 感染時に一瞬使われるDLLなので、検出できなくても正解 検出できれば感染失敗させられるのでなお良い と予想 439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 19:18:50 ] KAV7.0 >>436 削除しました: トロイの木馬 Trojan-Downloader.JS.Agent.bbq ファイル: C:\Temp\hotel.htm 削除しました: トロイの木馬 Trojan-Downloader.Win32.Small.hza ファイル: C:\Temp\dbaw.exe//FSG >>438 削除しました: トロイの木馬 Trojan-Spy.Win32.Goldun.vd ファイル: C:\Temp\cvesw.dll//# 削除しました: トロイの木馬 Trojan-Spy.Win32.Goldun.vd ファイル: C:\Temp\msindeo.dll 削除しました: トロイの木馬 Trojan-Downloader.Win32.Agent.iax ファイル: C:\Temp\msstub.dll 440 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 19:41:15 ] ウイルスバスター2008 >>436 スルー >>438 スルー 検体提供済み。 441 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 21:35:23 ] >>371 >>376 AntiVirとAVGは亜種検出かなり強いと思う。 ここで検出したそれぞれの隔離フォルダ見たらシグネチャで検出するよりも亜種検出の方が多かった、AntiVirはヒューリスティック検出も多い。 AVGはトロイに対して異常に強い印象を受ける、あとはアドウェア（これは有料版だけど）に対しても強い。 avast!やBitDefenderはどう？ 442 名前：VideoAccessCodecInstall.exe mailto:sage [2008/01/29(火) 21:44:37 ] websoft-d.com/download/504/0/0/ >>291と同じﾌﾞﾂ AVG　Risingがシグネチャで検出　 www.virustotal.com/analisis/650bfb6e03082caa103dd169eb4c02af CastleCopsに報告しようとしたが　アカウント作成で挫折したｗ 443 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 22:07:26 ] >>438 NOD全部シカト しょぼ 444 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 22:37:16 ] >>443 配布時にどんどん変異するやつかもしれんからなあ これ、配布イメージが平文じゃないんだわ 445 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 22:54:17 ] >>441 亜種に強いのはAVGの有料版・フリー両方？ 有料だけ？ 446 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 23:05:07 ] >>445 AVGで亜種に強いのは有料版無料版両方でしょう。 有料版で有利なのは「不審なプログラム」としてスパイウェアやアドウェアを検出するんだけどどうもトロイとして検出できそうな検体もこの「不審なプログラム」扱いされてるものもある（そういうのは少数だけど気になる） これが有料版と無料版の検出率の差なんじゃないかなと思う。 447 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/29(火) 23:24:09 ] >>446 レス感謝です AVGはヒューリスティックが弱いらしいがver.8で改善されているとおもしろいことになりそう 448 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/30(水) 01:55:20 ] AntiVirとAVG組み合わせるとかなり良さそうだ ちょっとやってみよう 449 名前：名無しさん＠お腹いっぱい。 [2008/01/30(水) 04:19:33 ] >>436>>438>>442 AVGスルー 送付済み 450 名前：名無しさん＠お腹いっぱい。 [2008/01/30(水) 09:39:43 ] マイナー・Ｂ級・田舎ウィルスのとあるテスト結果 ttp://winnow.oitc.com/MalwarePerformanceGraphic.php?chart=detectionrate&size=20 ttp://virusinfo.info/images/vttesting/december_sum.PNG 一つの具体例：HDDをフォーマットするブラクラ ttp://www13.atwiki.jp/burakura_hdd/pages/12.html 451 名前：名無しさん＠お腹いっぱい。 [2008/01/30(水) 20:31:37 ] www5.uploader.jp/dl/tane/tane_uljp00241.zip.html 2029 452 名前：名無しさん＠お腹いっぱい。 [2008/01/30(水) 20:33:06 ] www5.uploader.jp/dl/tane/tane_uljp00242.zip.html 2030 453 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/30(水) 20:36:23 ] >>451 なんだこりゃ？ www.virustotal.com/analisis/999c216d36721be862acb2217e940adf 454 名前：名無しさん＠お腹いっぱい。 [2008/01/30(水) 20:40:02 ] >>453 castlecopでみつけたんですけど よくわかりませんｗ 455 名前：名無しさん＠お腹いっぱい。 [2008/01/30(水) 21:00:11 ] www5.uploader.jp/dl/tane/tane_uljp00243.zip.html 2057 456 名前：名無しさん＠お腹いっぱい。 [2008/01/30(水) 23:49:18 ] カスペルスキーのデータベースアップデートしたばっかだってのに数分後に原田ウイルス亜種っぽいのに引っ掛かったよ。 スキャンしても反応無かった。 このスレ見たのがHDDフォーマットした後だから記録とかも残って無いけどやっぱりウイルスの定義が新しすぎたりすればこういうことってあるの？ 振る舞い検知はやっぱり必要なのかな？ 457 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/30(水) 23:53:27 ] このスレ知っていれば対処わかりそうだね はい、ウイルス検体の送り方 ttp://kaspe.2chv.net/wiki/index.php?FAQ#i3f6e297 pc11.2ch.net/test/read.cgi/sec/1200155734/768-772 ttp://www.just-kaspersky.jp/support/contact.html#l2 458 名前：名無しさん＠お腹いっぱい。 [2008/01/31(木) 00:01:13 ] >>457 ぐぅ検体ごと消し去ってしまった。 申し訳ない。 感染したファイルならbmpファイルとして少し残ってるけど。 それ送ってもいいかな？ 拡張子ちゃんと確認しなかったのがいたかった。 ウイルスに感染したの数年ぶりだよ。 慢心してたところもあるけどきっついなこれは・・・ 原田ウイルスがあるようなネットワークを用いてる人は気を付けてくれとしかいいようがない。 459 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/31(木) 00:11:10 ] 慢心は禁物だよ 提出はまた今度でいいから"winny　アクセス許可のエントリ"でグーグルすると…おやすみ 460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/31(木) 00:13:37 ] 乙だす 461 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/31(木) 00:31:42 ] AVS使ってた、つまり現行ユーザでなくても、受け付けてはくれるよ AVSには本当にお世話になったので、通報はそのささやかなお礼のつもりで ｽﾚﾁだが、あっち空気わかんないからこっちに そう、ユーザでなくても、どんどん通報しちゃえってことさ 462 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/31(木) 00:42:13 ] アンチウイルス入れて完全スルーされたの初めてだから、 これからは慌てず検体って分かったらとりあえず進行とめて、 ある程度安全と判断したら通報するようにするよ。 さてCドラの完全フォーマット始まった。 寝るよ。ｔｈｘ 463 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/31(木) 05:52:11 ] exe踏むようなレベルひとはこのスレこなくていいから 464 名前：名無しさん＠お腹いっぱい。 [2008/01/31(木) 08:19:54 ] >>452-453 >>455 AVG送付済み 465 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/31(木) 11:32:02 ] >>463 いつも拡張子には注意してたんだけどねぇ。 うっかりだよホント。 自分で言うのもなんだけどちゃんと更新してただけに運が悪いとしか。 466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/31(木) 13:43:20 ] …そういや、その感染したbmpファイルってのが関心あるな今更 467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/31(木) 13:52:23 ] 俺だったらキャッシュ変換して検体をひり出すけどな キャッシュ変換って何だかよくわからないけど 468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/31(木) 14:48:03 ] >>466 そんなもんはないよ ウイルスにその辺のファイルをbmpにされただけ 469 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/01/31(木) 19:58:22 ] >>463 470 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/01(金) 19:17:36 ] www.mediafire.com/?ddftyw0m9gy 471 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/01(金) 19:22:55 ] ttp://www.lineagecojp.com/movie/mov0022.zip 472 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/01(金) 19:26:39 ] toolsunderground.tripod.com/nmalert.zip 473 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/01(金) 19:44:00 ] >>470 それさっき鑑定したばっか 勇気スレではないので、解説はﾅｼ ただ、スクリプトに何が指定してあるかわからんから、 有害かどうかはわからんと書いておいた 当スレ的には、それプロプライエタリの自己解凍書庫だった 特に関心があると思われる、実行ファイルと、自己解凍書庫のスタブだけパックしたのをうｐ www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00025.rar.html pass: gwexg6 >>472 かたっぽが.NETアプリだのう 474 名前：storm情報 mailto:sage [2008/02/01(金) 20:06:48 ] with_love.exe www.virustotal.com/analisis/d5ef751b2d8f7e77e4fd361e02616ddb 475 名前：名無しさん＠お腹いっぱい。 [2008/02/01(金) 20:31:07 ] >>471-472 AVGfree検出 476 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/01(金) 23:21:32 ] ttp://headlines.yahoo.co.jp/hl?a=20080201-00000004-inet-sci 『Storm』ワームの作成者、ついに特定 477 名前：名無しさん＠お腹いっぱい。 [2008/02/02(土) 01:41:44 ] ）ｾﾝﾃﾞﾝマンコ blog.livedoor.jp/alasatana/ blog.livedoor.jp/alasatana/ blog.livedoor.jp/alasatana/ blog.livedoor.jp/alasatana/ blog.livedoor.jp/alasatana/ blog.livedoor.jp/alasatana/ blog.livedoor.jp/alasatana/ blog.livedoor.jp/alasatana/ blog.livedoor.jp/alasatana/ blog.livedoor.jp/alasatana/ blog.livedoor.jp/alasatana/ 478 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/02(土) 21:26:58 ] virustotal.com�d�j？ 479 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/02(土) 22:05:34 ] >>478 tondemasuna 480 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/03(日) 05:24:45 ] rapidshare.com/files/87492825/2008_Preteen_Pixs.zip 481 名前：名無しさん＠お腹いっぱい。 [2008/02/03(日) 14:57:04 ] >>480 AVG検出 482 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/03(日) 16:12:12 ] >>480 乙なんだけどファイルサイズが大きすぎる。 483 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/03(日) 20:40:23 ] それ、当方環境ではバグってうまく作動しないんだよな 何も表示されないならまだしも(たぶん、黙って感染するだけだから)、 ワトソン先生(ER)が召喚されてくる 検出できた環境では、ダウンローダって出るみたいだから、 環境変えて、やってみて、お土産もらえたら、ここに持って帰ってくる所存 exeと釣りreadme あとファイルリストだけうｐ www.uploader.jp/dl/oklsslv2ym/oklsslv2ym_uljp00030.rar.html pass: tsrgqhww サンプルjpgは同梱しなかったけど、肝心なとこ塗りつぶしてあって、実質非絵炉 484 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/03(日) 21:08:20 ] alkn.net/mini/upload.php?up=15389 パスnews 485 名前：名無しさん＠お腹いっぱい。 [2008/02/03(日) 21:21:00 ] >>484 AVG検出 486 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/03(日) 21:22:04 ] >>484 ここに貼んなハゲ Worm.Win32.Antinny.au 487 名前：名無しさん＠お腹いっぱい。 [2008/02/03(日) 21:30:28 ] www.castlecops.com/t214699-No_insurance.html こんなのめっけ。 virustotalに投げてます 488 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/03(日) 21:42:01 ] >>484 外側のexeはともかく、内蔵されてるexeも検出？ 489 名前：名無しさん＠お腹いっぱい。 [2008/02/03(日) 21:47:41 ] >>487 zipにしてvirustotalにおくったらなんでもなかった。 こんどは素のままvirustotalとjottiに送りたいが混んでる。 490 名前：名無しさん＠お腹いっぱい。 [2008/02/03(日) 21:52:33 ] >>487 jottiでもなんでもなかった あれ？ｗ 491 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/03(日) 23:29:15 ] ここのサンプルちょこちょこEsetにも送ってるけど対応遅いね 492 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/04(月) 07:03:04 ] ESETの対応はNorton並みに遅い 493 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/04(月) 14:57:45 ] というかカスペやAVG、AntiVirの対応速度が異常なだけ。 カスペは最近少し遅くなってるけど。 494 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/04(月) 15:19:05 ] 対応が早いほうが異常とな なんともはや・・・ 495 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/04(月) 16:58:01 ] >>493 カスペは定義ファイル更新の頻度が減っただけで対応速度は異常なままだぜ そこらは検出スレみたら理解出来る。 496 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/04(月) 22:57:53 ] カスペの数時間で返事が来るのは俺も異常だと思う ノートンは忘れかけた頃に返事が来ることが多い Esetは返事がないまま放置されるのが常 497 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/04(月) 23:18:00 ] >>496 確かにEsetは返答してこないね 3週間ぐらい前に送った物が未だに対応されてないし・・・ 498 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 00:09:40 ] >>497 Eset社の戦略としてシグネチャは出来るだけ少なく最小の発行数に留める方針。 これは近年亜種の急増により発行シグネチャが爆発的に増加している状況への対応策。 このままだと何れ発行シグネチャが増え過ぎで立ち行かぬとの判断が優先された結果であり、 亜種は発行済みシグネチャとアンパッカー技術により検出する方向で改良を続けており、 そこに拡張ヒューリスティックエンジンを組み合わせることで類似ウィルスまで捕捉しようとの試みを含んでいる。 499 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 00:14:48 ] どっかで見たコピペだな 500 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 00:17:31 ] 意図は不明だが基地外が必死にコピペし続けている。 多分嫌がらせのつもりだろう。 501 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 00:58:11 ] それで検出出来てるならいいと思うんだが、出来ていないから問題なんだよな 502 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 00:59:02 ] その後、goustapo.no-ip.biz:3460につなぎに行くけど、何も落ちてこない 一応報告 お土産(検出可否ﾈﾀ)ナシ >>483 503 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 08:18:09 ] >>501 > それで検出出来てるならいいと思うんだが、出来ていないから問題なんだよな 十分出来てるから心配するな =================== av-comparatives =================== > ttp://www.av-comparatives.org ---------------------------------------------------- 2年連続でOverAll Winer NOD32 ---------------------------------------------------- 2006年OverAll Winer ttp://www.av-comparatives.org/seiten/ergebnisse/summary2006.pdf 2007年 2007/02 ADVANCE 　ttp://www.av-comparatives.org/seiten/ergebnisse/report13.pdf 2007年 2007/05 ADVANCE+　ttp://www.av-comparatives.org/seiten/ergebnisse/report14.pdf 2007年 2007/08 ADVANCE+　ttp://www.av-comparatives.org/seiten/ergebnisse/report15.pdf 2007年OverAll Winer ttp://www.av-comparatives.org/seiten/ergebnisse/summary2007.pdf ---------------------------------------------------- www.av-comparatives.org/index.html?http://www.av-comparatives.org/seiten/overview.html 504 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 08:33:02 ] このスレの存在意義をないがしろにするコピペだの きっぱりいおう。ｽﾚﾁだ 505 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 08:35:28 ] >>498 ブロードバンド推進協議会（BBA）セキュリティ専門部会長 「中には、ヒューリステックに頼りすぎて、ウイルスの検体を集めず、 　ちゃんとシグネチャを作らないところもある」 ttp://internet.watch.impress.co.jp/cda/event/2007/02/26/14890.html ttp://internet.watch.impress.co.jp/cda/parts/image_for_link/31201-14890-6-1.html 506 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 08:47:44 ] 誤検知でもいいから、検知してくれればそれでもいいんだけどな >>505 507 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 09:00:51 ] ブロードバンド推進協議会（BBA）セキュリティ専門部会長よりav-comparativesの管理人のほうがずっと上。 =================== av-comparatives =================== > ttp://www.av-comparatives.org ---------------------------------------------------- 2年連続でOverAll Winer NOD32 ---------------------------------------------------- 2006年OverAll Winer ttp://www.av-comparatives.org/seiten/ergebnisse/summary2006.pdf 2007年 2007/02 ADVANCE 　ttp://www.av-comparatives.org/seiten/ergebnisse/report13.pdf 2007年 2007/05 ADVANCE+　ttp://www.av-comparatives.org/seiten/ergebnisse/report14.pdf 2007年 2007/08 ADVANCE+　ttp://www.av-comparatives.org/seiten/ergebnisse/report15.pdf 2007年OverAll Winer ttp://www.av-comparatives.org/seiten/ergebnisse/summary2007.pdf ---------------------------------------------------- www.av-comparatives.org/index.html?http://www.av-comparatives.org/seiten/overview.html 508 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 09:14:35 ] この流れ秋田 一応、つけっぱなにしてVideoCodecInstallerみてるんだが、 最近なぜかつながりにくいのう、通信がエラーでとまったりする罠 509 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 09:59:44 ] ユーザーの生の声を見れました。 一番いいセキュリティソフトはなんだ!!Part43 pc11.2ch.net/test/read.cgi/sec/1201308630/ 357：名無しさん＠お腹いっぱい。：2008/02/01(金) 23:16:17 ゲームPCにNOD32を勧めてるのがいるけど、ゲーマーの間だとNOD32は評価低いよ。 オンライン前提だと、NOD32でよくあるネットワーク絡みの相性問題が出たりするし 誤検出でオンラインアップートをぶっ飛ばしてくれたりもする。 なのにNOD32のサポートは動かないし、ユーザーの少ないマイナーなアンチウイルスソフトだからか ゲームのサポートもNOD32の機能を切るように勧めるぐらいしか対応してくれない…… ゲーマーにはオススメしかねる。 510 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 10:02:26 ] >>498 pc11.2ch.net/test/read.cgi/sec/1194665582/20 >>507 pc11.2ch.net/test/read.cgi/sec/1194665582/22 511 名前：509 mailto:sage [2008/02/05(火) 10:07:01 ] 訂正 基地外の生の声を見れました。 一番いいセキュリティソフトはなんだ!!Part43 pc11.2ch.net/test/read.cgi/sec/1201308630/ 357：名無しさん＠お腹いっぱい。：2008/02/01(金) 23:16:17 ゲームPCにNOD32を勧めてるのがいるけど、ゲーマーの間だとNOD32は評価低いよ。 オンライン前提だと、NOD32でよくあるネットワーク絡みの相性問題が出たりするし 誤検出でオンラインアップートをぶっ飛ばしてくれたりもする。 なのにNOD32のサポートは動かないし、ユーザーの少ないマイナーなアンチウイルスソフトだからか ゲームのサポートもNOD32の機能を切るように勧めるぐらいしか対応してくれない…… ゲーマーにはオススメしかねる。 512 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 10:13:51 ] それいうなら、オンゲについてくるできの悪い保護ドライバを叩くべき 改竄検出されて垢消されてもいやなので、嫌々置いてるけど、 あれこそ、普通なら、てこでも削って取り外すようなもん てか、検出エンジンに的絞ってくれていいし、だいたい釣られんでいいｗ 513 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 11:43:39 ] NOD32はプロファイルに検査方法や検査対象を登録しておき、 そのプロファイルを指定してスケジュールを組むことが出来る。 プロファイルも自由に複数作成出来るから目的に応じた運用が可能だ。 例えば、書庫類等は検査済みフォルダと検査前フォルダを作成しておき、 検査前フォルダ内の書庫だけを定期的に高速検査するというような運用も行える。 他のAVだと書庫を対象とするか否かの2択しかないものが多く、ムダに時間が掛かる検査となり効率が悪い。 一度検査し安全が確かめられれば検査済みフォルダに移し、 検査済みフォルダの再検査は数か月に一度程度に減らすことで処理効率を上げるというような運用が他のAVでは難しい。 細かな設定をすることでNOD32は処理効率の良い運用が可能になっている。 NOD32は機関や企業や有名人等　狙われやすい人ほど役立つAV 一般人でもそのウイルス全体の70%を占める未知ウイルスから狙われることもある。 そこがESSのセールスポイント 未知ウイルスへの対応度　＝　ハッキングに対する対応度 ここにNOD32が研究機関や公的機関で主に採用されている理由がある。 514 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 11:43:43 ] NOD32にファイアウォールを組み合わせたESS(「ス」)をリリースしたばかりの ESET社のサイトが速攻で中華にクラックされiframeを仕込まれた。 McAfee ttp://www.avertlabs.com/research/blog/index.php/2007/10/11/nod-to-more-arp-mayhem/ 515 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 11:44:24 ] Webサイト4万ページに不正スクリプト　トルコのMSNBCも感染 ttp://www.itmedia.co.jp/news/articles/0711/09/news019.html ttp://isc.sans.org/diary.html?storyid=3621 スルー avast McAfee NOD32等 「YouTube」の偽サイト出現、ウイルスをFlash Playerに見せかける ttp://itpro.nikkeibp.co.jp/article/NEWS/20071113/287050/ ttp://www.castlecops.com/p1021499-MD5_29a8b08786a6a5bd253df5b2a42e7979_install_flash_player.html スルー AntiVir avast BitDefender McAfee NOD32等 駆除テスト ttp://www.anti-malware-test.com/?q=node/28 Poor Eset NOD32 Antivirus 2.7 (18%) ↑McAfeeやバスターにすら及ばず 516 名前：名無しさん＠お腹いっぱい。 [2008/02/05(火) 12:01:02 ] ★Virus Bulletin ttp://www.virusbtn.com/index Windows Server 2003 - February 2008　（27社参加） ※　wildlist misses（見逃し）　false positives（誤検出） AEC.　　　　　　　　　　Status: FAIL　Failure reason: 3 false positives Agnitum　　　　　　　　Status: FAIL　Failure reason: 3 wildlist misses AhnLab　　　　　　　　 Status: PASS Alwil　　　　　　　　　　 Status: PASS Avira　　　　　　　　　　Status: PASS BitDefender　　　　　　Status: PASS CA eTrust.　　　　　　 Status: PASS Doctor Web　　　　　　Status: FAIL　Failure reason: 4 wildlist misses Eset　　　　　　　　　　 Status: PASS Fortinet.　　　　　　　　Status: PASS FRISK.　　　　　　　　　Status: PASS F-Secure.　　　　　　　Status: PASS Grisoft　　　　　　　　　Status: PASS Ikarus　　　　　　　　　 Status: FAIL　Failure reason: 37 wildlist misses, 8 false positives Kaspersky.　　　　　　 Status: PASS Kingsoft.　　　　　　　　Status: FAIL　Failure reason: 19 wildlist misses McAfee　　　　　　　　 Status: PASS Microsoft Forefront　Status: PASS MicroWorld　　　　　　 Status: PASS Norman　　　　　　　　 Status: FAIL　Failure reason: 8 wildlist misses, 1 false positive PC Tools AntiVirus　 Status: FAIL　Failure reason: 3 wildlist misses CAT QuickHeal　　　　Status: FAIL　Failure reason: 5 false positives Redstone　　　　　　　 Status: PASS Sophos.　　　　　　　　 Status: PASS Symantec　　　　　　　Status: PASS VirusBuster　　　　　　Status: FAIL　Failure reason: 1 wildlist miss Webroot　　　　　　　　Status: PASS 517 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 12:23:20 ] どんな既存のリサーチも、ここではたいした意味ないだろ 参考になるだけ 検出できないと叩かれても堪えないし、強いといわれてもあてにならない 実際に自分が接触するマルウェアが、現行のエンジンでどれだけ検知されるか 518 名前：名無しさん＠お腹いっぱい。 mailto:sage [2008/02/05(火) 13:01:17 ] 逮捕されたコンピューターウイルスの作成者が、 「２ちゃんねるで被害者の書き込みを見れば、改良点が分かる。」と言っていた件を巡るネタ。 ttp://sankei.jp.msn.com/affairs/crime/080204/crm0802042312032-n1.htm フリーのアンチウイルスソフト Part14 428：名無しさん＠お腹いっぱい。：2008/02/05(火) 10:34:16 ダウンロード板でも濃度32の宣伝工作を必死にやっていたバカが、 情報収集のいいカモだったんだな（ｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ そのバカのせいで、濃度32が真っ先にウイルス作者に無効化されていたと（ｗｗｗｗｗｗｗｗｗｗｗ 429：ﾀﾞｳｿ板人＠ﾉｯﾄﾞ32儲にｳﾝｻﾞﾘしている：2008/02/05(火) 11:11:37 ﾀﾞｳｿ板のﾉｯﾄﾞ32儲　「AVGをｲﾝｽｺしていたのに、突然こんな症状が（泣）。 　　　　　　　　　　　　　「やっぱり感染ですか。もっと良いAVがないかな・・・・」 ｳｲﾙｽ作者　「なるほど。AVGでは、そんな状態になると。ﾒﾓﾒﾓ」 ﾀﾞｳｿ板のﾉｯﾄﾞ32儲　「ﾉｯﾄﾞ32をｲﾝｽｺしていたのに、突然こんな症状が（泣）。だれか助けて。」→本音の相談 　　　　　　　　　　　　「こんなんじゃ他のAVでも駄目ですな。」 　　　　　　　　　　　　「Nortonでも駄目だったお！」 ｳｲﾙｽ作者　「なるほど。ﾉｯﾄﾞ32とNortonにはｳｲﾙｽ有効と。ﾒﾓﾒﾓ」 ﾀﾞｳｿ板のﾉｯﾄﾞ32儲　「ｱﾊﾞｽﾄをｲﾝｽｺしていたのに、突然こんな症状が（泣）。」 　　　　　　　　　　　　「ﾉｯﾄﾞ32の体験版をｲﾝｽｺしたら駆除できまつた。」 ｳｲﾙｽ作者　「なるほど。ﾉｯﾄﾞ32は、まだ無効だと。ﾒﾓﾒﾓ」 432：名無しさん＠お腹いっぱい。：2008/02/05(火) 12:34:17 ほとんど共犯みたいなもんだな。(　；∀；)

---

---

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef