【鑑定目的禁止】検出可否報告スレ11

[表示 : 全て最新50 1-99 101- 201- 301- 401- 501- 601- 701- 2chのread.cgiへ]
Update time : 02/19 10:05 / Filesize : 499 KB / Number-of Response : 785
[このスレッドの書き込みを削除する]
[＋板最近立ったスレ＆熱いスレ一覧 : ＋板最近立ったスレ／記者別一覧] [類似スレッド一覧]


↑キャッシュ検索、類似スレ動作を修正しました、ご迷惑をお掛けしました

【鑑定目的禁止】検出可否報告スレ11

1 名前：名無しさん＠お腹いっぱい。 [2009/05/18(月) 09:26:30 ]: ①はじめに

各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うｐろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

前スレ
【鑑定目的禁止】検出可否報告スレ10
pc11.2ch.net/test/read.cgi/sec/1235459712/

●セキュリティ板専用アプロダ推奨↓
tane.sakuratan.com/

●検体提出先まとめWiki （参考）
rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先（Webフォーム、メールアドレス）、検体提出方法、
推奨される文例、検体提出時の注意事項が掲載されています。
2 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 09:27:46 ]: ②議論や意見のまとめ

・圧縮ファイルと検出数
　exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。

・DOSウイルス禁止
　大昔のウイルスを集めてきても無意味なことがあります。

・パスなしZIPをパス有りLZH(またはRAR)で
　安全性と利便性のため、上記の手法を推奨します。

・淡々とやれ淡々と！
　淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。

・ブラクラ禁止
　ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
　怪しいサイトの安全性を鑑定するサイトではありません!

・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
　んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。　という意見もあり。

・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、
　提出していない旨記載。（ベンダーに多重送付を避けるため）

・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。

・スレ違いでもめる(2スレ目以降)

・あらしはスルー。ソフトの優劣の議論は別スレで！!（下記スレなど）

一番いいセキュリティソフトはなんだ!!Part64
ttp://pc11.2ch.net/test/read.cgi/sec/1241351040/
3 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 09:29:15 ]: 【重要】
●ここは鑑定スレではありません！！！！！malwareのみお願いします。（割れ、キージェネ、クラッカー厳禁）
　割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。

※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら
　貢献することを目的としているスレです。検体の悪用・不正利用は厳禁願います。

●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。

●検体確認は自己責任でお願いします。感染しても責任は一切持ちません！
（鑑定スレではないので、無害と判定されたファイルを実行して感染しても責任は一切持ちません！）

※◆W32/Vael.oは信頼できるコテさんです。

★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。

・VIRUSTOTAL (略称：VT)
www.virustotal.com/jp/

・VirScan
www.virscan.org/

・Jotti
virusscan.jotti.org/

※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。（例：VT上のカスペ7.0.0.125、最新版2009など）
4 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 09:30:31 ]: ★各ベンダーへの提出先（順不同）
・ベンダーにより、Webフォームでの提出と、eメールでの提出などがある。
・ eメールアドレスは、☆→@に読み替えてください。パスワードは"infected"(推奨、特にMcAfee, Bit, ESET)で圧縮して添付

●シマンテック（ノートン）
・Symantec Security Response 〔Upload a suspected infected file：疑わしいファイルの提出〕：新しい提出先。こちらを推奨。
ttps://submit.symantec.com/websubmit/retail.cgi
*ファイルやtxtメモや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕が提出条件
*裏技：シマへは圧縮フォルダ×2回（*7zip-PPMd圧縮）で実はツメホーダイだが、対応が確実に遅くなるので非推奨

●ウイルスバスター（トレンドマイクロ）
ttp://inet.trendmicro.co.jp/esolution/supform.asp
バスターユーザー以外は
ttp://www.trendmicro.com/jp/security/virushunter.htm（該当ページ消滅/次スレでは削除？）
ttp://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7

●マカフィー　（英語の方が対応が早いかも）
ttp://www.nai.com/japan/security/contactavert.asp (日本語）
ttp://vil.nai.com/vil/submit-sample.aspx （英語）
ttps://www.webimmune.net/　（要登録・英語）
メール：virus_research☆avertlabs.com

●ESET　NOD32アンチウイルス
ttp://training.eset.com/kb/index.php?option=com_kb&Itemid=29&page=articles&articleid=141
e-mail：samples☆eset.com

●Kaspersky（カスペルスキー）
ttp://www.kaspersky.co.jp/
一番下の「新しいウイルスをお知らせ下さい」
e-mail: newvirus☆kaspersky.com
5 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 09:31:14 ]: ●Avira AntiVir
ttp://www.avira.com/en/support/submit_suspicious_files.html
e-mail：virus_malware☆avira.com

●Rising（ウイルスキラー）
ttp://up.rising.com.cn/webmail/uploadnew.htm
ttp://sample.rising-global.com/webmail/upload_en.htm （英語版）

●Microsoft（マイクロソフト）
ttp://www.microsoft.com/security/portal/submit.aspx
onecare☆submit.microsoft.com
submit_virus☆research.sybari.com

●Dr.WEB
ttp://drweb.jp/support/virus_sample.html
vms☆drweb.com または vms☆drweb.jp
パスワードはvirus固定

●F-Secure (エフセキュア)
ttp://www.f-secure.co.jp/support/samples/
samples☆f-secure.co.jp

●AVG
ttp://www.grisoft.com/jp.faq.num-771#faq_771
virus☆avg.com

●Ewido (AVG;Anti ;Spyware)
ttp://www.ewido.net/en/malware/（→AVGに変更。次スレでは削除）

●avast!
ttp://www.avast.com/jpn/technical_support.html
virus☆avast.com
6 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 09:31:55 ]: ●ソフォス（Sophos)
ttp://www.sophos.co.jp/support/queries/#sample
ttps://secure.sophos.co.jp/support/samples
ttp://www.sophos.com/support/samples/

●キングソフト・アンチウィルス
ttp://www.kingsoft.jp/is/kentai.html
kentai2☆kingsoft.jp

●バイロボット(hauri、ViRobot)
ttp://www.hauri.net/support/support/virus_reg.html?menu=QTAy

●ウイルスドクター　(メールの場合、本国(e-mail 2)の方が速いかも）
ttp://www.virusdoctor.jp/virus/
e-mail 1：labo☆virusdoctor.jp
e-mail 2：virus☆jiangmin.com

●eTrust
ttp://www.caj.co.jp/support/csp/free_policy/virus.htm
virus☆caj.co.jp

●F-PROT; (フォームよりe-mail推奨）
ttp://www.f-prot.com/virusinfo/submission_form.html
e-mail：viruslab☆f-prot.com
F-port宛メールはエンコード後サイズで10,240,000Byte迄

●a2 (a-squared)
ttp://www.emsisoft.jp/EN/support/submit/
e-mail:submit☆emsisoft.com
7 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 09:32:49 ]: ●ウイルスセキュリティZERO (K7Computing)
ttp://k7computing.com/Support/newvirus.html
k7viruslab☆k7computing.com

●Panda
ベンダーに問い合わせた結果、下記のアドレスを指示されました
virussamples☆pandasecurity.com

●ArcaBit
ttp://www.arcabit.com/send.html
virus☆arcabit.com

●Proland Software
ttp://www.pspl.com/support/samplesubmit.htm
virsample☆pspl.com?subject=Virus Sample
（メールは、固定タイトルでないと弾かれる模様）

●ClamAV
ttp://cgi.clamav.net/sendvirus.cgi
パスワードはvirus固定。3145728 bytes未満のファイルで。

●Sunbelt
ttp://research.sunbelt-software.com/software_submission.aspx
malware-cruncher☆sunbelt-software.com

●Malwarebytes
ttp://uploads.malwarebytes.org/

●Lavasoft
ttp://upload.lavasoft.com/upload/submit_file.php
8 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 09:33:34 ]: ●NictaTech Software
ttp://www.nictasoft.com/new-virus/
newvirus☆nictasoft.com

●VirusBuster
ttp://www.virusbuster.hu/en/support/contact/redirect_virus
virus☆vbuster.hu

●ウイルスチェイサー（※ Dr.Webエンジンのため、>>5のDr.Webの窓口に直接送ったほうが良い。）
ttp://www.viruschaser.jp/support_aft.html#q2

●Norman
ttp://www.norman.com/microsites/nsic/Submit/
未圧縮のファイルを、１つづつサンドボックスへ

●eSafe
ttp://www.aladdin.com/home/csrt/vsubmit.asp（→該当ページ削除/誰か補足を）
virus☆aladdin.co.jp

●BitDefender
送付先１：
e-mail：support☆bitdefender.com
ttp://beta.bitdefender.com/site/KnowledgeBase/consumer/
Fight against malware → Improving Detection →What to do when BitDefender does not detect malware

送付先２：
e-mail：virus_submission☆bitdefender.com（2MBまで？)
ttp://forum.bitdefender.com/index.php?showtopic=3066

●アンラボ(AhnLab V3)
・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答（詳細は>>1のWiki参照）
　Ahnlab Customer(AhnLab-V3) メール：ahnlabcustomer☆ahnlab.co.jp
9 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 09:34:43 ]: 以上テンプレここまで
-----------------------------------------

検体提出先を一部変更、追記。

テンプレ（>>1->>7)、検体提出先(>>4->>7)の変更・追加あれば、>>8にレスする形で指摘よろ。
10 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 09:38:31 ]: AV-Test.org - Update Frequency of Anti-Virus Software （1週間の定義更新頻度）
ttp://www.av-test.org/index.php?menue=7&lang=0
11 名前：前スレ>>966 mailto:sage [2009/05/18(月) 18:34:46 ]: 前スレ>>966です。

前スレ>>954
martuz_cn_id2_20090517.pdf
martuz_cn_id10_20090517.exe の件について回答が来ました。

>Hello,
>
>Thank you for your e-mail.
>
>The file you sent was found to be malicious.
>An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!
12 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/18(月) 18:52:58 ]: >>8
eSafeは、AlladinとeSafeの合併の都合上かもしれん。
メールはリジェクトされてないから届いてるんだと思うけど。
13 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 12:41:54 ]: >>1-9
スレ立て乙
14 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 18:47:44 ]: 699さんの代理で投稿します

前スレ>>991
>ここは、ちょっとAVIRAに期待しておこう。

tane.sakuratan.com/upload/upload.cgi?mode=dl&file=330
　DL avira／解凍 avira

ちょっと朗報です。avira データベース 7.01.03.222で、感染後のファイルを検出するようになりました。
上記はその画像です。（ロダをお借りしました。）

上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
再度感染させて検査しています。　この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。

www.virustotal.com/jp/analisis/087f8f027f3651120c879d867164626b -1

2個ファイルを検出しているのは、バックアップした方の mwgpedu.tya も検出したためです。
ちなみに、>963の muvl.nug も、同じく TR/Drop.Agent.qna.2 で検出するようになっています。（実機確認済み）

www.virustotal.com/jp/analisis/92a0cea2519ff2c901f9ac82f9453928 -2

VTの上記 1と2のMD5を見ればわかるように、ファイル自体は中身が微妙に変わっている（MD5が違う）のですが、
見事に同じ検出名で発見します。

完璧に発見できるかどうかは今後の検証が必要だと思いますが、流石aviraと言うところですか．．．
上手くmartuz.cn汎用検出のシグネチャを作ることができたのかもしれません。

追記）全鯖巻き添え規制を喰ったので、しばらく書き込みできません。
15 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 18:54:06 ]: 日替わりscrと、Troj/JSRedir-R なhtml

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=332
infected

ttp://www.virustotal.com/analisis/ec7655376e77a30ce5fbe19780f67835　1199.exe(24/40)
ttp://www.virustotal.com/analisis/723cdf7f941eeeb5a46cd15a7340857b　play.scr(24/41)

おまけのhtmlの方は、ベンダーのポリシーで検出しない方が多いとは思いますが、(俗称)GENOウイルスの
ダウンロードもブロックするようになってくれるに越したことはないので入れておきました。
前スレの最後のほうで、htmlのシグネチャ出し始めていたBitDefenderにもちょっと期待。
16 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 19:04:21 ]: >>14-15

乙
それにしてもSymantec頑張るな
17 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 19:07:06 ]: >>15
html関連は、Microsoftも検出するようになったようです。
正式名称は２番目に使われた鯖のGamburのようですね。

Troj/JSRedir-R(Sophos) ,
Trojan:JS/Gamburl.gen!A(Microsoft) ,
JS:Redirector-H4(Avast) ,
JS:Redirector-H7(Avast)
18 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 19:51:02 ]: >>15乙
Symantecとa-squaredとMalwarebytesに提出済みです

>>1さん
>>4
*裏技：シマへは圧縮フォルダ×2回（*7zip-PPMd圧縮）で実はツメホーダイだが、対応が確実に遅くなるので非推奨

だいたい30分以内には更新が届くので、圧縮形式自体は実はたいした問題ではないのです。
僕はこの方法で数万回提出していますｗ
19 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 19:56:39 ]: >>15
McAfeeに提出させて頂きました。
20 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 20:00:16 ]: Rising 2009 21.39.12 (21.30.12.00)
>>15
play\1199.exe: Backdoor.Win32.PcClient.tvj
play\play.scr>>1199.exe: Backdoor.Win32.PcClient.tvj
RisingにHTML提出完了
21 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 20:26:16 ]: >>18
（えー

わたしが送ったときは、自動返答のCLOSEが１ヶ月後だったのに…
22 名前：18 mailto:sage [2009/05/19(火) 20:58:08 ]: >>21
ウチの郵便受けです。さながら地獄ですねｗ
ttp://f.imagehost.org/0978/m.jpg
23 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 21:46:46 ]: GENOのサイト踏んだときにダウンロードしたexeってここに出せばいいの？
誘導されてきたんだが
24 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 22:00:14 ]: >>23
おかあちゃんに渡しといてくれ
25 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 22:10:00 ]: >>23
ここのUploaderにお願いします。

パス付きZIPで上げて、アドレスとダウンロードパス(解凍パスが異なるならそれも）を書いてくれれば、
誰かが提出してくれると思います。
26 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 22:26:17 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=334
infected

ここに今まで提出されていたGENO関係のまとめ（ここには上げていないスクリプト付きHTMLも入っています）を
UPしてみました。全て、各種ベンダーに提出済みのものですので再提出の必要はありません。きっと。

感染スクリプトを含んだHTMLが多く、無駄に容量食っていたので（ZIP１発だと3MB/7zだと1.1MB）、
7zで圧縮し、それをもう１回ZIPで圧縮しています。ZIPも7zも同じパスワードとなっています。

現時点で、どの程度のセキュリティソフトが対応しているのか、各自ご愛用のセキュリティソフトでの
対応状況を確認してみてください。
27 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 22:30:01 ]: >>26
ごめん、20090505分の所に、その日に一緒に提出した、別件のZIPが混ざってました。そいつは無視してください。orz

BitDefenderの検出名
　4/5版　本体exe：Trojan.Agent.AMNN　本体PDF：Exploit.PDF-JS.Gen　本体SWF：Exploit.SWF.Gen
　　　　（4/5版関連ファイル：Trojan.Downloader.JS.Agent.PM,Trojan.Downloader.JS.Agent.PM,Trojan.Delf.Agent.L,Trojan.Agent.AMNM)
　4/11版　本体exe：Trojan.Generic.1618916　本体PDF：Trojan.Script.11972
　5/2版　本体exe：Trojan.Agent.AMTB　本体PDF：Trojan.Downloader.JS.SetSlice.K　本体swf：Exploit.SWF.Gen
　5/4版　本体exe：Trojan.Generic.1813945　本体swf：Exploit.SWF.Gen
　5/5版　本体exe：Trojan.Dropper.TAX　本体PDF：Exploit.PDF-JS.Gen
　5/8版　本体exe：Trojan.Seekwel.C　本体PDF：Exploit.PDF-JS.Gen　本体swf：Exploit.SWF.Gen
　5/10版　本体exe：Trojan.Agent.AMVH　本体PDF：Exploit.PDF-JS.Gen　本体swf：スルー
　5/11版　本体exe：Trojan.Agent.AMVF　本体PDF：Trojan.Script.47321
　5/14版　本体exe：Trojan.Dropper.TBI　本体PDF：Trojan.JS.PZJ
　5/17版　本体exe：スルー　本体PDF：Suspect: Exploit.PDF-JS.Gen（正式ではない疑惑ファイル）
28 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 22:41:33 ]: >>26乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

ITmedia News
PDFなどの脆弱性を悪用：Webに感染するマルウェア「JSRedir-R」が猛威　2009/05/19
JSRedir-RはWebサイトに仕掛けられ、
PDFとFlash Playerの脆弱性修正パッチを当てていないユーザーがそのサイトを閲覧すると、マルウェアに感染
ttp://www.itmedia.co.jp/news/articles/0905/19/news022.html
Computerworld.jp
猛威を振るう「JSRedir-R」マルウェア、ソフォスが注意を呼びかけ　2009/05/19
ttp://www.computerworld.jp/topics/vs/146109.html
29 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 22:49:03 ]: Rising 2009 21.39.14 (21.30.14.00)
前スレ>881 (tane0320)
5\bot.exe: Trojan.DL.Win32.Undef.elt
3+1=4/12
>>26
20090505\3522938.zip>>3522938.exe: Trojan.PSW.Win32.GameOL.zla
20090508\id10_20090508.exe: Worm.Win32.Undef.gk
20090511\id10_20090511.exe: Trojan.Win32.Nodef.jak
20090516\martuz1upx.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090517\martuz_cn_id10_20090517.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090518_Execution result\muvl.exe: Trojan.Spy.Win32.Delf.dpt
30 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 22:49:21 ]: >>26
AntiVir １つを除いて全て検出

20090405/dropper.bin : (harmful) BDS/Agent.afid back-door program
20090405/monitor.bin : TR/Agent.caaj.B Trojan
20090405/dropper.pdf : EXP/Pidief.vtb exploit
20090405/dropper.swf : EXP/SWF.ED exploit
20090405/u.bat :
20090405_Execution result/bxatg.mnn : TR/Agent.AMPE Trojan
20090411/u2.exe : TR/Drop.Gadjo.1 Trojan
20090411/virus.pdf : EXP/PDF.10762 exploit
20090502/gumblar.swf : SWF/Agent.AI SWF virus
20090502/gumblar_fws.swf : SWF/Agent.AI SWF virus
20090502/gumblar.pdf : EXP/Pidief.JV exploit
20090502/gumblar.exe : TR/Agent2.ixj Trojan
20090502/gumblar_upx.exe : TR/Agent2.ixc Trojan
20090505/id2_20090505.pdf : EXP/Pidief.PB.1 exploit
20090505/id10_20090505.exe : TR/Agent.imh Trojan
20090508/id2_20090508.pdf : EXP/Pidief.rsn exploit
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : WORM/Autorun.aiai worm
20090510/id2_20090510.pdf : EXP/Pidief.gts exploit
20090510/id3_20090510.swf : SWF/Drop.Small.LC SWF virus
20090510/id10_20090510.exe : TR/Agent.cfuc Trojan
20090511/id2_20090511.pdf : EXP/Pidief.xah exploit
20090511/id10_20090511.exe : TR/Agent.cgch Trojan
20090516/martuz1.pdf : EXP/Pidief.aup exploit
20090516/martuz1cws.swf : SWF/Drop.Small.LJ SWF virus
20090516/martuz1upx.exe : TR/Agent.chbm Trojan
20090517/martuz_cn_id2_20090517.pdf : EXP/Pidief.aia exploit
20090517/martuz_cn_id10_20090517.exe : TR/Drop.Agent.qna.1 Trojan
20090518_Execution result/muvl.exe : TR/Drop.Agent.qna.2 Trojan
31 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 22:56:26 ]: >>26 乙カスペ2009 18:20
25/30 + HTML 4/555

Backdoor.Win32.Agent.afid 　　\0405\dropper.bin
Exploit.Win32.Pidief.aog 　　\0405\dropper.pdf
Exploit.SWF.Agent.ae 　　\0405\dropper.swf
Trojan-PSW.Win32.Kates.c 　　\0405\monitor.bin
Trojan-PSW.Win32.Kates.c 　　\0405_Execution result\bxatg.mnn
Exploit.Win32.Pidief.apg 　　\0411\virus.pdf
Trojan-PSW.Win32.Kates.e 　　\0502\gumblar.exe
Exploit.JS.Pdfka.ix 　　\0502\gumblar.pdf
Exploit.SWF.Agent.ai 　　\0502\gumblar.swf
Exploit.SWF.Agent.ai 　　\0502\gumblar_fws.swf
Trojan-PSW.Win32.Kates.e 　　\0502\gumblar_upx.exe
Trojan.Win32.Inject.xvb 　　\0505\3522938.zip/3522938.exe
Trojan.Win32.Agent.ceyr 　　\0505\id10_20090505.exe
Exploit.Win32.Pidief.atm 　　\0505\id2_20090505.pdf
Exploit.Win32.Pidief.atr 　　\0508\id2_20090508.pdf
virus Worm.Win32.AutoRun.aiai 　　\0508\id10_20090508.exe
Trojan.Win32.Agent.cfuc 　　\0510_1\id10_20090510.exe
Exploit.Win32.Pidief.atx 　　\0510_1\id2_20090510.pdf
Trojan.Win32.Agent.cgch 　　\0511\id10_20090511.exe
Trojan.JS.Agent.act 　　\0511\id2_20090511.pdf
Exploit.Win32.Pidief.aup 　　\0516\martuz1.pdf
Trojan.Win32.Agent.chbm 　　\0516\martuz1upx.exe
Trojan-Dropper.Win32.Agent.apfn 　　\0517\martuz_cn_id10_20090517.exe
Exploit.Win32.Pidief.auw 　　\0517\martuz_cn_id2_20090517.pdf
Trojan-PSW.Win32.Kates.c 　　\0518_Execution result\muvl.exe
Trojan-Downloader.JS.Agent.dwe 　　\HTML\0405\dropper.html
virus HEUR:Exploit.Script.Generic 　　\HTML\0411\index.php
Trojan.JS.Agent.adw 　　\HTML\0514\index.html
Trojan.JS.Agent.adx 　　\HTML\0514\kiso_syougou.html
32 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 22:57:28 ]: === a-squared4.5 ===
IKなので、全部イカロスエンジンの方ですね。５つスルー。HTMLのスクリプトも検出方向の模様。
20090405/dropper.bin : Gen:Trojan!IK
20090405/monitor.bin : Trojan-PWS.Delf!IK
20090405/dropper.pdf : Exploit.PDF-JS!IK
20090405/dropper.swf : Exploit.SWF.Agent!IK
20090405/u.bat : Trojan-Dropper.Agent!IK
20090405_Execution result/bxatg.mnn : Trojan-PWS.Delf!IK
20090411/u2.exe : Trojan-PWS.Delf!IK
20090411/virus.pdf : Exploit.PDF-JS!IK
20090502/gumblar.swf : Exploit.SWF.Agent!IK
20090502/gumblar_fws.swf : Exploit.SWF.Agent!IK
20090502/gumblar.pdf : Exploit.JS.Pdfka!IK
20090502/gumblar.exe : Trojan.Win32.Small!IK
20090502/gumblar_upx.exe : Trojan.Win32.Small!IK
20090505/id2_20090505.pdf : Exploit.Win32.Pidief!IK
20090505/id10_20090505.exe : Trojan.Win32.Small!IK
20090508/id2_20090508.pdf : Exploit.Win32.Pidief!IK
20090508/id3_20090508.swf : Exploit.SWF!IK
20090508/id10_20090508.exe : Trojan-PWS.Delf!IK
20090510/id2_20090510.pdf : JS.Obfuscated!IK
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Daonol!IK
20090511/id2_20090511.pdf : Trojan.JS.Agent!IK
20090511/id10_20090511.exe : Trojan.Daonol!IK
20090516/martuz1.pdf : Exploit.PDF-JS!IK
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : rojan-PWS.Win32.Kates!IK
20090517/martuz_cn_id2_20090517.pdf : -
20090517/martuz_cn_id10_20090517.exe : -
20090518_Execution result/muvl.exe : -
HTML : Virus.JS.Redirector!IK , Trojan.JS.Agent!IK
33 名前：23 mailto:sage [2009/05/19(火) 23:12:54 ]: さっきのファイルを>>3で解析したらこういう結果になったんだが、うｐの必要性ある？
ちなみに元ファイルは785.exeって名前なんだが。

ttp://www.virustotal.com/jp/analisis/66bd8d7273679a7804371176d0396968
34 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 23:28:19 ]: >>33
UP頼む。
35 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 23:33:04 ]: 今帰宅
F-Secure Internet Security 2009
・DeepGuard Update 2009-05-18_03
・Hydra Update 2009-05-19_06
・Universal System Scanner Update 2009-05-19_03
・Anti-Virus AVP Extended Update 2009-05-19_05

>>15 のチェック結果
play\1199.exe → Backdoor.Win32.PcClient.amgj
play\play.scr → Backdoor:W32/PcClient.AMC

htmlを本家F-Secure SASに登録したところ、
全てSUSPICIOUS(嫌疑)という結果となりました。
36 名前：23 mailto:sage [2009/05/19(火) 23:35:59 ]: おまたせ
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=335
infected

です。
37 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 23:38:25 ]: Rising 2009
>>36
785.exe: Trojan.DL.Win32.Mnless.dmi
38 名前：23 mailto:sage [2009/05/19(火) 23:41:02 ]: すまんh抜くのわすれた。。。
39 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/19(火) 23:43:50 ]: F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-19_05
* F-Secure Hydra: 3.08.9080, 2009-05-19_06
>>36
785.exe:未検出
F-Secure SAS に登録します。
40 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 00:00:46 ]: >>39
カスペスルー
検体提出しました。

レピュテーションっぽく、Suspicious Site（危険サイト）として、WebAVでブロックしてもらうよう一応はお願いした。
41 名前：35 mailto:sage [2009/05/20(水) 00:02:23 ]: >>35の回答

>Hello,
>Thank you for the samples. We will add them detection as soon as possible.
>Cheers,
42 名前：23 mailto:sage [2009/05/20(水) 00:19:12 ]: ちなみにAVGは検出したわ
43 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 00:32:34 ]: >>36
捕獲乙でした。

AntiVir : TR/Crypt.ZPACK.Gen Trojan
BitDefender : スルー
a-squared : スルー

各社に提出しときます。
44 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 00:58:59 ]: >>36乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
45 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 01:23:43 ]: >>36
これ本当にgeno? まるっきり別物に見えるんだが…。
46 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 01:27:41 ]: （　´,_ゝ`）ﾌﾟｯ
47 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 01:43:45 ]: >>328
ニコンだからこんなに高いの？
48 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 01:43:52 ]: genoとは違うな。
Anubisの結果。
ttp://anubis.iseclab.org/?action=result&task_id=1e7817e544ad22014218ac38ccb6c9727&format=html
動作としてはダウンローダで、
basesrv3■net/info/bin/explorer.exe
を拾って実行。このドメインはそれほど新しくはなく、
既にあちこちのブラックリストに突っ込まれている。
VTにも既に誰かが投げている。
ttp://www.virustotal.com/analisis/0bd73ed39f8879c5caf8ac63fef473b9
直接拾うのが嫌な人はどうぞ(ファイル名はキモいので変更済み)。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=336
virus
49 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 02:04:57 ]: Rising 2009
>>48
unknown1.exe>>pecompact2x: Suspicious:Unknown Virus
提出完了
50 名前：39 mailto:sage [2009/05/20(水) 02:13:42 ]: >>39
F-Secure Labsからの回答
>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. Detection as
>Trojan-Downloader:W32/Agent.KNX will be added in one of the next database updates.

別にGENOに限らなくてもいいと思うけど。
12/40ってあまりヒット率よくないし…。

本日提出分の回答来たので、今日はここまで。
お先に失礼します。m(_ _)m
51 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 02:16:47 ]: 限ってるわけじゃないよ。
52 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 06:00:44 ]: >>36,48
McAfeeに提出させて頂きました。
53 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 08:52:17 ]: >>48
今朝の時点で落ちてきたのは同じバイナリでした。

取り敢えず、VT未検出の各社＋αに提出完了。多少被ってるけど気にしない。
54 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 09:33:33 ]: >>26 === Avast VPS: 090519-0, 2009/05/19 === スルー個数：本体＋α(5/30)　HTML(11/555)
20090405/dropper.bin : Win32:Trojan-gen {Other}
20090405/monitor.bin : Win32:Delf-MBA [Trj]
20090405/dropper.pdf : JS:Pdfka-FQ [Expl]
20090405/dropper.swf : Other:Malware-gen
20090405/u.bat : -（これは自己抹消のためのbatなので検出しなくても問題無い奴）
20090405_Execution result/bxatg.mnn : Win32:Delf-MBA [Trj]
20090411/u2.exe : Win32:Daonol-N [Drp]
20090411/virus.pdf : JS:Pdfka-FQ [Expl]
20090502/gumblar.swf : －
20090502/gumblar_fws.swf : －
20090502/gumblar.pdf : JS:Pdfka-GD [Expl]
20090502/gumblar.exe : Win32:Trojan-gen {Other}
20090502/gumblar_upx.exe : Win32:Trojan-gen {Other}
20090505/id2_20090505.pdf : JS:Pdfka-GB [Expl]
20090505/id10_20090505.exe : Win32:Trojan-gen {Other}
20090508/id2_20090508.pdf : －
20090508/id3_20090508.swf : Other:Malware-gen
20090508/id10_20090508.exe : Win32:Trojan-gen {Other}
20090510/id2_20090510.pdf : JS:Pdfka-GP [Expl]
20090510/id3_20090510.swf : Other:Malware-gen
20090510/id10_20090510.exe : Win32:Trojan-gen {Other}
20090511/id2_20090511.pdf : JS:Pdfka-GP [Expl]
20090511/id10_20090511.exe : Win32:Trojan-gen {Other}
20090516/martuz1.pdf : JS:Pdfka-HF [Expl]
20090516/martuz1cws.swf : －
20090516/martuz1upx.exe : Win32:Trojan-gen {Other}
20090517/martuz_cn_id2_20090517.pdf : JS:Pdfka-HF [Expl]
20090517/martuz_cn_id10_20090517.exe : Win32:Trojan-gen {Other}
20090518_Execution result/muvl.exe : Win32:Daonol-P [Trj]
20090519/785.exe : Win32:Trojan-gen {Other}
HTML : JS:Downloader-AC [Trj]／JS:Redirector-H2,H4,H5,H7,H9 [Trj]／JS:Redirector-J1,J3,J4 [Trj]
55 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 10:33:14 ]: >>26 === PCプロテクションプラス(F-Secure系) ===　本体 25/30　HTML　3/555　を検知
20090405/dropper.bin : Backdoor.Win32.Agent.afid
20090405/monitor.bin : Trojan-PSW.Win32.Kates.c(5/18の活動中ファイルと同じ名前)
20090405/dropper.pdf : Exploit.Win32.Pidief.aog
20090405/dropper.swf : Exploit.SWF.Agent.ae
20090405/u.bat : -
20090405_Execution result/bxatg.mnn : -
20090411/u2.exe : Trojan:W32/Agent.KAO
20090411/virus.pdf : Exploit.Win32.Pidief.apg
20090502/gumblar.swf : Exploit.SWF.Agent.ai
20090502/gumblar_fws.swf : Exploit.SWF.Agent.ai
20090502/gumblar.pdf : Exploit:W32/AdobeReader.RG
20090502/gumblar.exe : Trojan-PSW.Win32.Kates.e
20090502/gumblar_upx.exe : Trojan-PSW.Win32.Kates.e
20090505/id2_20090505.pdf : Exploit.Win32.Pidief.atm
20090505/id10_20090505.exe : Trojan.Win32.Agent.ceyr
20090508/id2_20090508.pdf : Exploit.Win32.Pidief.atr
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : Worm.Win32.AutoRun.aiai
20090510/id2_20090510.pdf : Exploit.Win32.Pidief.atx
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Win32.Agent.cfuc
20090511/id2_20090511.pdf : Trojan.JS.Agent.act
20090511/id10_20090511.exe : Trojan.Win32.Agent.cgch
20090516/martuz1.pdf : Exploit.Win32.Pidief.aup
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : Trojan.Win32.Agent.chbm
20090517/martuz_cn_id2_20090517.pdf : Exploit:W32/Pidief.DX
20090517/martuz_cn_id10_20090517.exe : Trojan:W32/Agent.KMH
20090518_Execution result/muvl.exe : Trojan-PSW.Win32.Kates.c
20090519/785.exe : Trojan-Downloader:W32/Agent.KNX
HTML : Trojan.JS.Agent.adw , Trojan.JS.Agent.adx , Trojan-Downloader.JS.Agent.dwe
56 名前：31 mailto:sage [2009/05/20(水) 15:04:10 ]: >>26 カスペからの返事
25+1=26/30

\0508\id3_20090508.swf - Exploit.SWF.Agent.ao

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
57 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 18:14:04 ]: >>48乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
58 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 19:10:55 ]: >>36
www.virustotal.com/analisis/6dd5cbc588380ee0199cca5252d41d8b

Norton、McAfee、Panda、avast!、Kaspersky、Sophos、Ikarusが対応
59 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 22:16:05 ]: 今帰宅。残件をぼちぼちとやっていきます…
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20
>>48
unknown1.exe → Trojan-Spy.Win32.Agent.argz
60 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 22:28:25 ]: F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20

>>15 (サイト未検出分 → [検出数 22/22] 100%)
Trojan-Downloader.JS.Agent.dzw
* \call martuz.cn\yuuno.sakura\bouei-coment01.html
* \call martuz.cn\yuuno.sakura\bouei-opsong.html
* \call martuz.cn\yuuno.sakura\bouei-pvc.html
* \call martuz.cn\yuuno.sakura\bouei.html
* \call martuz.cn\yuuno.sakura\c75-2.html
* \call martuz.cn\yuuno.sakura\c75.html
* \call martuz.cn\yuuno.sakura\gallery.html
* \call martuz.cn\yuuno.sakura\girl.html
* \call martuz.cn\yuuno.sakura\news.html
* \call martuz.cn\yuuno.sakura\profile.html
* \call martuz.cn\yuuno.sakura\rireki.html
* \call martuz.cn\yuuno.sakura\wf.html
* \call martuz.cn\yuuno.sakura\works.html
* \call martuz.cn\yuuno.sakura\yuuno.sakura.ne.jp.htm
Trojan-Downloader.JS.Agent.dzv
* \call martuz.cn\mikesquarter\about-2.htm
* \call martuz.cn\mikesquarter\advertise.htm
* \call martuz.cn\mikesquarter\contact.htm
* \call martuz.cn\mikesquarter\disclaimer.htm
* \call martuz.cn\mikesquarter\newsletter.htm
* \call martuz.cn\mikesquarter\sitemap.htm
* \call martuz.cn\mikesquarter\www.mikesquarter.com.htm
Trojan-Downloader.JS.Agent.dzx
* \call martuz.cn\loca.zombie\loca.zombie.jp.htm
>>39 >>50
785.exe → Trojan-Downloader:W32/Agent.KNX
61 名前：前スレ699 mailto:sage [2009/05/20(水) 22:33:43 ]: >>14
転載ありがとうございます。　規制は解除されました。ﾔﾚﾔﾚ
これ、お礼です．．．ちょっと賞味期限切れかかりかも。(苦笑
　ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=337
　　DL virus／解凍 virus

【中身】
cry.exe
　www.virustotal.com/jp/analisis/365ab9f15f2d7b700212e1f05b0cfdf6 (17/39)
　AVIRA - TR/Dropper.Gen，Kapersky - Trojan-Proxy.Win32.Small.aal
dia.exe
　www.virustotal.com/jp/analisis/225940329824b6209c25b68be568bf84 (17/40)
　AVIRA - TR/Dropper.Gen，Kapersky - Worm.Win32.AutoRun.aist
file.exe
　www.virustotal.com/jp/analisis/b920816614130f901a10d7eb719921c5 (8/40)
　AVIRA - MALWARE (added next update)，Kapersky - HEUR:Trojan.Win32.Generic
softwarefortubeview.40000.exe
　www.virustotal.com/jp/analisis/faa61f4375e918cfc561f72d62808396 (9/40)
　AVIRA - MALWARE (added next update)，Kapersky - Trojan-Downloader.Win32.Agent.byla

AVIRAは全部対応済みとのことなので、未送付。KasperskyはHEURのfile.exeだけ送付。

martuz.cnは、色々書かれているように閉鎖されたようです。
また、一足違いですが、Google Sage Browsingでブロック設定入っています。（5/19に確認）
　safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ja&site=http://martuz.cn/
　→ 12507 個のドメインを感染させています。

短期間に、良くこれだけ荒らしたものです。
あと、Kasperskyは私に白判定のメール送った割には本体を黒で検出するようになっていました。（苦笑

おまけ）　gdata.co.jp/press/archives/2009/05/geno.htm　・・・　結局genoウイルスが日本国内の通称になりそうですねぇ。
62 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 23:05:43 ]: >>61乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

G DATA
「GENOウイルス」対策について　2009/05/20
ttp://gdata.co.jp/press/archives/2009/05/geno.htm
ITmedia News
いたちごっこ状態に：ますます巧妙化するJSRedir-Rの攻撃手法　2009/05/20
「JSRedir-R」（別名Gumblar）が攻撃に使うドメインを切り替え、JavaScript難読化の手口もさらに巧妙に
攻撃に使われるドメインやJavaScriptは、今後も変わり続けるだろうとSymantecは予想
ttp://www.itmedia.co.jp/news/articles/0905/20/news021.html
63 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 23:14:21 ]: >>62
GENOもあんな対応しなければこんなメジャーになることもなかったろうにｗ
64 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 23:14:34 ]: >>26[検出:27/30]
定義パターン:>>60
*Backdoor.Win32.Agent.afid → \0405\dropper.bin
*Exploit.Win32.Pidief.aog → \0405\dropper.pdf
*Exploit.SWF.Agent.ae → \0405\dropper.swf
*Trojan-PSW.Win32.Kates.c → \0405\monitor.bin
*Trojan-PSW.Win32.Kates.c → \0405_Execution result\bxatg.mnn
*Trojan:W32/Agent.KAO → \0411\u2.exe
*Exploit.Win32.Pidief.apg → \0411\virus.pdf
*Exploit.SWF.Agent.ai → \0502\gumblar.swf
*Exploit.SWF.Agent.ai → \0502\gumblar_fws.swf
*Exploit:W32/AdobeReader.RG → \0502\gumblar.pdf
*Trojan-PSW.Win32.Kates.e → \0502\gumblar.exe
*Trojan-PSW.Win32.Kates.e → \0502\gumblar_upx.exe
*Exploit.Win32.Pidief.atm → \0505\id2_20090505.pdf
*Trojan.Win32.Agent.ceyr → \0505\id10_20090505.exe
*Trojan-PSW:W32/Magania.gen!B → \0505\3522938.zip\3522938.exe
*Exploit.Win32.Pidief.atr → \0508\id2_20090508.pdf
*Exploit.SWF.Agent.ao → \0508\id3_20090508.swf
*Worm.Win32.AutoRun.aiai → \0508\id10_20090508.exe
*Exploit.Win32.Pidief.atx → \0510_1\id2_20090510.pdf
*Trojan.Win32.Agent.cfuc → \0510_1\id10_20090510.exe
*Trojan.JS.Agent.act → \0511\id2_20090511.pdf
*Trojan.Win32.Agent.cgch → \0511\id10_20090511.exe
*Exploit.Win32.Pidief.aup → \0516\martuz1.pdf
*Trojan.Win32.Agent.chbm → \0516\martuz1upx.exe
*Exploit:W32/Pidief.DX → \0517\martuz_cn_id2_20090517.pdf
*Trojan:W32/Agent.KMH → \0517\martuz_cn_id10_20090517.exe
*Trojan-PSW.Win32.Kates.c → \0518_Execution result\muvl.exe
-未検出 → \0405\u.bat
-未検出 → \0510_1\id3_20090510.swf
-未検出 → \0516\martuz1cws.swf
65 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 23:24:27 ]: >>64の続き
HTML検出： 33/555
* Trojan.JS.Agent.adw → \HTML\20090514\index.html
* Trojan.JS.Agent.adx → \HTML\20090514\kiso_syougou.html
* Trojan-Downloader.JS.Agent.dwe → \HTML\20090405\dropper.html
* Trojan-Downloader.JS.Agent.dzw → \HTML\20090519\yuuno.sakura\ ※配下すべて
* Trojan-Downloader.JS.Agent.dzx → \HTML\20090519\loca.zombie\loca.zombie.jp.htm
* Trojan-Downloader.JS.Agent.dzv → \HTML\20090519\mikesquarter\ ※配下すべて

上記以外未検出：検体提供は何方かにお任せします。

残件：>>61
66 名前：61 mailto:sage [2009/05/20(水) 23:26:10 ]: >>14
> 上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
> 再度感染させて検査しています。　この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。
>
> www.virustotal.com/jp/analisis/087f8f027f3651120c879d867164626b -1

mwgpedu.tya 現状
　www.virustotal.com/jp/analisis/6bb6809d4bf01f50712a6597d8d8e198　(20/40)

4/40 → 20/40と、一気に増えましたね。やっと終息期かな。　後はドメイン名変えて再活動開始するかどうか、ですか。

>62
G DATAですが、リンク先の通り、酷いことに？ドイツ本国のプレスリリースがgenoって言ってるんですよ。(苦笑
www.gdata.de/ueber-g-data/pressecenter/pressemeldungen/news-details/article/1212-g-data-security-warnung-neuer.html
>Exemplare des Schadlings tauchten unter dem Aliasnamen "Geno" unter anderem in Japan auf und infizierten dort reihenweise populare Domains.

国外でも、予想以上にgenoの名前が知れ渡っているのかもしれません。
67 名前：62 mailto:sage [2009/05/20(水) 23:38:12 ]: >>66
ドイツ勢は時差的にも
日本のセキュリティ関連ニュースをチェックしているのかもね
Confickerですら最終的に業界統一名にならなかった（これは意図的なのかもしれないけど）
68 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/20(水) 23:39:21 ]: >>66-67
情報元からあの日本法人からだからだよw
通称や別名として書くならわかるけどそのまま載せちゃうのは日本の会社とは思えない
69 名前：68 mailto:sage [2009/05/20(水) 23:41:13 ]: 訂正

情報元から→情報元が
70 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 00:07:46 ]: >>61
復帰おめでとう。

BitDefender
dia.exe : Trojan.CryptRedol.Gen.1
（他スルー）

a-squared : 全部スルーかと思ったら、パターン更新したら２つ検知。
cry.exe : Trojan-Proxy.Win32.Small!IK
dia.exe : Worm.Win32.AutoRun!IK
（他２つスルー）

Avira
cry.exe : TR/Dropper.Gen Trojan
dia.exe : TR/Dropper.Gen Trojan
（他２つスルー）

AviraとAntiy LabsにはFTP経由で提出しときました。他各社はこれから一通り送付しときます。
71 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 00:10:13 ]: お疲れさまです。
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20_05
* F-Secure Hydra: 3.08.9080, 2009-05-20_05

>>61
* \tane0337\cry.exe → Trojan-Proxy.Win32.Small.aal
* \tane0337\softwarefortubeview.40000.exe → Trojan-Downloader.Win32.Agent.byla
* \tane0337\dia.exe → Worm.Win32.AutoRun.ais
* \tane0337\file.exe → NOT DETECTED

file.exe を本家 F-Secure SAS に登録しました。
72 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 00:12:00 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=338
infected

いつもの中華業者の、ネトゲアカウントハック用日替わりscrです。
いつものようにリリース(?)当日は、20～26前後/40の検出率。

各社には先程提出済みですので、重複提出する必要はないと思います。

ttp://www.virustotal.com/analisis/cdb75a98fff2ba93f13ae9a8c96f2015 ftp25.exe(24/40)
ttp://www.virustotal.com/analisis/5ab5743cccfe24dea3fdbb2e9f632a29 online.scr(25/40)
ttp://www.virustotal.com/analisis/1b72cba30573fb81f11a748235cae7d5 online.zip(24/40)
ttp://www.virustotal.com/analisis/cbf1f994b6880ccedd4e1116b72f01d7 1199.exe(22/40)
ttp://www.virustotal.com/analisis/939a996323fbbeb858faf48af74901eb mpg.scr(23/40)
73 名前：61 mailto:sage [2009/05/21(木) 00:23:07 ]: >>70
どうもです。今、感染した仮想PC（Win2K）でいくつか試しました。

1. シマンテックオンラインスキャン
　2009/5/21 0時頃の時点で、オンラインスキャンでは感染ファイルの本体を検出しません。
　VTの結果から考えて、NISやNAVがインストールされているマシンはgumblarやmartuz感染を検出できると思いますが、
　オンラインスキャンの対応はもう少し先になりそうな感じです。

2.AVIRAシステムスキャン　（※ データベースが7.01.04.01と、3番目の世代番号が03→04にアップしています。）
martuz.cnの5/16版，5/17版
　gumblar.cnの5/5版，5/8版

　この４つを全部試してみたのですが、4つとも感染後にシステムスキャンをすると感染していることを検出できます。
　gumblar時代のものまで検出できるようになっているのは、地味ですが大きいですね。

　ただ、感染検出と、感染ファイル本体の削除はしてくれるのですが、感染状態のレジストリは放置されます。

これだけ大騒ぎになったので、gumblarやmartuzについては、どこかのベンダーが完全駆除ソフトを作ることに期待しましょう。
74 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 00:28:37 ]: Rising 2009 21.39.20 (21.30.20.00)
>>61
スルー
>>72
ftp25.exe: Backdoor.Win32.PcClient.tvj
online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
online.zip>>online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
3/5
75 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 00:37:27 ]: >>61
まとめWiki記載先一通りと、Malwarebytes、NictaTech Software に提出完了。

McAfee自動返答、全部[inconclusive]

カスペ返答（HEURのとこ名前確定した模様）
file.exe - Backdoor.Win32.Agent.agqv
New malicious software was found in this file.

Symantec

filename: dia.exe
filename: file.exe
result: <手動解析へ>

filename: cry.exe
result: This file is detected as Trojan Horse. www.symantec.com/avcenter/venc/data/trojan.horse.html

filename: softwarefortubeview.40000.exe
result: This file is detected as Downloader. www.symantec.com/avcenter/venc/data/downloader.html

Rising（あれ？ファイル１つしか回答が…）
1. Filename:cry.exe
No malware.
76 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 00:55:08 ]: GENOを落とすスクリプトをTXTで置いといたら、今日になって、Avira AntiVirが反応したとの報告があったので、
>>26のHTMLを再チェックしてみた。

45/555 と反応したファイルが増えていた。>>30にはHTMLの反応数書いてないけど４ファイル位だった気が。
徐々に対応進めてる模様。

検出名
JS/Dldr.Agent.dwe Java script virus
JS/Dldr.Zonke.A Java script virus
JS/Redirector.R Java script virus
JS/Redirector.V Java script virus
77 名前：61 mailto:sage [2009/05/21(木) 00:59:11 ]: >>73
追加です。Kasperskyは流石にメインマシンなので感染させるわけにはいかないのですが、
仮想PCから同じくmartuz.cnの5/16版，5/17版，gumblar.cnの5/5版，5/8版の４つの感染後の
本体ファイルを持ってきて検出可否を調べました。

Kasperskyもgumblar時代の分も含めて全部感染後ファイルを検出します。検出ファイル名　Trojan-PSW.Win32.Kates.c　(全部一緒)
てことは、VTで検出する方のリストに載ったSymantec他も同じでしょうね。

あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
使い慣れてる人なら、この時点で異変に気がつきそう。

※ 『 xxxxは他のプロセスWindows NT Command Processor（パラメータ(...)）を使おうとしています。』
　　という、未登録ファイルの実行時に出てくるいつものダイアログ。（マルウェア検出ではない。）

　　xxxxに見覚えのないファイル名が入って表示される。多分、PC toolsと同等の能力があるメジャー所のFWなら、
　　同じようにメッセージ出してくるはず。
　　（ここでメッセージを読まずに許可を出すような人は、感染してもしょうがない気がしなくもない。）

gumblar，martuz関係は大体終息したっぽいので、これの新しいドメインが出てくるまでは、しばらくデフコン下げられそう。　では今日はこれでﾉｼ
78 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 01:08:58 ]: >>77　報告乙です。
>あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
>使い慣れてる人なら、この時点で異変に気がつきそう。

はっはっは…4/5版を入手した時にやっちまった記憶が。PC Tools のFWが反応して通信は遮断しましたよ。

でも、発動して出来上がった本体と、u.bat（正常に動作していれば削除されたもの）がC:のルートにしっかりと。
そして、通信はブロックしたものの動作はしっかりしていたようで、再起動後にCMDとかレジストリエディタとかが
動作不良を…PC Tools の通信許可で気付いても手遅れなんですねぇ。

雑談混ぜてすいません。これで引っ込みます。
79 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 01:16:09 ]: >>72乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
80 名前：61 mailto:sage [2009/05/21(木) 01:26:39 ]: >>78
あ～．．．確認しました。私も気がつきませんでした。

遮断すれば感染しないかと思ったのですが、PC toolsでメッセージ→遮断でも結局感染しますね。
確かに、その後AntiVirでシステムスキャンしたら、感染検出しました。

そこで一度実行を完全に止めてくれないと、全然意味無いですよ？＞PC tools

結局、メッセージが出るだけでしたか．．．出るだけマシかもしれませんが、誤報書いてスミマセン。
81 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 01:32:31 BE:265068724-2BP(0)]: cmd.exe が起動するのは、エンベロープの自己消去やらなんやら後始末のためで、
基本的に感染はすんだ後かもしれん。前読んだときは、そんな感じだった
82 名前：40 mailto:sage [2009/05/21(木) 01:58:32 ]: カスペからの返事

>>36 0+追加検出1=1/1

785.exe_ - Trojan-Downloader.Win32.Agent.byjj
This file is already detected. Please update your bases.

※>>50のF-Secureとは別名称

以下、乙
一応まとめ。

>>48 1/1

>>61
>>61,75さんの通り、5/5
※シグネチャ確定済み

>>72
VT通り、5/5
83 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 03:13:02 ]: お疲れさまです。

>>71の回答が来ましたので掲載します。
次回の更新にて対応されます。

>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. An appropriate detection will be added
>in one of the next database updates.
>Our latest database updates are available here:
>
>www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!

さすがに眠いので今夜はこれにて退散します。
また夜にでも...
84 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 05:39:51 ]: ＞前スレの奴(GENO 5/17分)

McAfee最終返答。

Analysis Id: 5312461
--------------------

File Name Findings Detection Type
========= ======== ========= ====
martuz_cn_id10_20090517.e detected generic dropper.p trojan
martuz_cn_id2_20090517.pd detected exploit-pdf.d trojan
85 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 05:48:08 ]: >>61
トレンドマイクロ回答

TROJ_PROXY.AHY
WORM_AUTORUN.ETD

どれと対応してるかは不明。
86 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 10:41:05 ]: >>64ではないが午前1時にF-secureで検出しないものを、まとめてF-Secure SASに提出した。

F-Secure Security Labs
2009/05/21 5:57
>Hello,
>
>Thank you for your e-mail.
>>
>The file you sent was found to be malicious. An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!

以下については検出確認
Exploit:W32/SWFdloader.B \20090510_1\id3_20090510.swf
Exploit:W32/SWFdloader.C \20090516\martuz1cws.swf

F-Secure Internet Security 2009
パターンファイルのバージョン:
　ウィルス: 2009-05-20_08
　スパイウェア: 2009-05-20_05
スキャンエンジン:
　F-Secure AVP: 7.00.171, 2009-05-20
　F-Secure Hydra: 3.08.9080, 2009-05-20
87 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 12:24:40 ]: いまさら感はありますが、依然として、GENOのスクリプトが入っているサイトがあるようで、スクリプトの検体として。
検体提出は、他のなにかのついでにでも…

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=339
infected
88 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 15:54:21 ]: >>87
カスペ2009 15：20

51/206

Trojan-Downloader.HTML.Agent.pe 　　tane0339\JS_Gamburl.gen!A\kuruma-kounyuu\*.htm
(frogmode.jp.htm, tsuridon.com.htm以外のkuruma-kounyuuフォルダのhtmファイルすべて）
89 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 18:11:29 ]: Rising 2009 21.39.30 (21.30.30.00)
前スレ>954 (tane0328)
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
1+1=2/2
>>26
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
>>72
mpg\1199.exe: Backdoor.Win32.PcClient.txa
mpg.scr>>1199.exe: Backdoor.Win32.PcClient.txa
3+2=5/5
>>87
スルー
提出は保留
90 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 18:43:55 ]: NortonInternetSecurity2009
今回も検出数だけの報告
>>48
全検出確認

>>61
4/3
スルー：file.exe

>>72
全検出確認
91 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 20:12:04 ]: >>87乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
92 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 21:08:35 ]: Rising 2009 21.39.33 (21.30.33.00)
前スレ>843 (tane0315)
codec.exe: AdWare.Win32.FakeAV.bm
1/1
前スレ>907 (tane0325)
load.exe: Trojan.Win32.Nodef.jij
3+1=4/10
93 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/21(木) 23:40:25 ]: お疲れさまです。
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-21
Definition version
* Virus: 2009-05-21_01
* SpyWare: 2009-05-20_05
>>87
検出結果：0/206
SASへの登録は保留します。

＃規制中なので今日は落ちます？
　残件がありましたら何方かお願いします？
94 名前：61 mailto:sage [2009/05/22(金) 02:14:13 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=341
　DL virus／解凍 virus

ちょっと大きいので、1個だけでパックしてあります。

【中身】
　antivirus.exe
　MD5 : ea56809b50ccc90bb74e6bf65c023f0a
　www.virustotal.com/jp/analisis/fff7ec80cb3b374e921e175da2bbd051 (12/40)
　AVIRA9 7.01.04.03 -スルー，提出時の判断 -UNDER ANALYSIS
　Kapersky - not-a-virus:AdWare.Win32.AdAgent.aq

AVIRA提出済みです。Kasperskyは既に検出できるので何も無し。
95 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 02:52:51 ]: >>94
Risingに提出完了
96 名前：61 mailto:sage [2009/05/22(金) 03:03:53 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=343
　DL virus／解凍 virus

【中身】８個入っています。
ak1.exe
　www.virustotal.com/jp/analisis/b7966af70734e298e53a556cd0969ac2 (15/40)
bot.exe
　www.virustotal.com/jp/analisis/7e82209ca262761aa12adbfd8f63b729 (16/40)
install.exe
　www.virustotal.com/jp/analisis/cbf2b741baece3f2159d89a722a0fba7 (5/40)
install2.exe
　www.virustotal.com/jp/analisis/412f1686044fd2a6930fe9c87a79dd79 (5/40)
ldr.exe
　www.virustotal.com/jp/analisis/bd5e308d5837cf4b43d889554b062f84 (13/39)
media_player_update.exe
　www.virustotal.com/jp/analisis/1b7d62969078b9cb548cd6cdc4c231b5 (10/40)
softwarefortubeview.45013.exe
　www.virustotal.com/jp/analisis/919fb960e877a532d3c5b0ae4f0d87c8 (2/40)
xp.exe
　www.virustotal.com/jp/analisis/21745f319e84098232ee14d0100907d8 (19/40)

AVIRAとKasperskyは必要分送付済み。提出頑張れば、週末前に処理してくれるハズ...（；´д｀）
97 名前：61 mailto:sage [2009/05/22(金) 03:14:08 ]: >>96
一応、AVIRA9 7.01.04.03，Kaspersky 2009/05/22 2:31:00の結果

ak1.exe
　AVIRA - スルー（黒，次のアップデートで追加）
　Kapersky - Trojan-Downloader.Win32.Boltolog.efx
bot.exe
　AVIRA - スルー（黒，次のアップデートで追加）
　Kapersky - Trojan-Spy.Win32.Zbot.uje
install.exe
　AVIRA - TR/Dropper.Gen
　Kapersky - スルー
install2.exe
　AVIRA - TR/Dropper.Gen
　Kapersky - スルー
ldr.exe
　AVIRA - スルー（黒，次のアップデートで追加）
　Kapersky - Trojan-Spy.Win32.Zbot.uji
media_player_update.exe
　AVIRA - TR/Dropper.Gen
　Kapersky - Trojan-Dropper.Win32.Agent.apig
softwarefortubeview.45013.exe
　AVIRA - スルー（分析中）
　Kapersky - スルー
xp.exe
　AVIRA - TR/Drop.Geral.NA.1
　Kapersky - Trojan-Downloader.Win32.Geral.rn

週末前なので、ちょっと頑張ってみた。（苦笑
98 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 03:30:07 ]: >>94,96
McAfeeに提出させて頂きました。
99 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 04:17:29 ]: Rising 2009
>>96
ak1.exe: Trojan.DL.Win32.Undef.emo
media_player_update.exe: Trojan.Win32.Nodef.jcx
xp.exe>>upx_c: Trojan.Win32.TSK.e
3/8
提出完了
100 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 11:54:00 ]: ＞5/9提出分のGENO呼び出しスクリプト
トレンドマイクロ返答…えーと、名前付けすぎじゃありませんか？

JS_AGENT.ASWE　　　JS_AGENT.ASXB　　　JS_AGENT.ASYC
JS_AGENT.ASWF　　　JS_AGENT.ASXC　　　JS_AGENT.ASYD
JS_AGENT.ASWG　　　JS_AGENT.ASXD　　　JS_AGENT.ASYE
JS_AGENT.ASWH　　　JS_AGENT.ASXE　　　JS_AGENT.ASYG
JS_AGENT.ASWI　　　JS_AGENT.ASXF　　　JS_AGENT.ASYH
JS_AGENT.ASWO　　　JS_AGENT.ASXG　　　JS_AGENT.ASYL
JS_AGENT.ASWP　　　JS_AGENT.ASXI　　　JS_AGENT.ASYM
JS_AGENT.ASWQ　　　JS_AGENT.ASXK　　　JS_AGENT.ASYN
JS_AGENT.ASWR　　　JS_AGENT.ASXL　　　JS_AGENT.ASYO
JS_AGENT.ASWS　　　JS_AGENT.ASXN　　　JS_AGENT.ASYP
JS_AGENT.ASWT　　　JS_AGENT.ASXR　　　JS_AGENT.ASYQ
JS_AGENT.ASWV　　　JS_AGENT.ASXS　　　JS_AGENT.ASYR
JS_AGENT.ASWX　　　JS_AGENT.ASXT　　　JS_AGENT.ASYS
JS_AGENT.ASWY　　　JS_AGENT.ASXU
JS_AGENT.ASXA　　　JS_AGENT.ASXX
101 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 18:59:15 ]: >>94
Nortonで検出確認
102 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 18:59:34 ]: >>96
F-Secure Internet Security 2009
パターンファイルのバージョン:
　ウィルス: 2009-05-22_03
　スパイウェア: 2009-05-22_03
スキャンエンジン:
　F-Secure AVP: 7.00.171, 2009-05-22

Trojan-Downloader.Win32.Boltolog.efx　　　　ak1.exe
Trojan-Spy.Win32.Zbot.uje　　　　　　　　　　　bot.exe
Trojan-Downloader.Win32.FraudLoad.eky 　　install.exe
Trojan-Downloader.Win32.FraudLoad.vvqz　　install2.exe
Trojan-Spy.Win32.Zbot.uji　　　　　　　　　　　　ldr.exe
Trojan-Dropper.Win32.Agent.apig　　　　　　　media_player_update.exe
Trojan-Downloader.Win32.Agent.byqu　　　　　softwarefortubeview.45013.exe
Trojan-Downloader.Win32.Geral.rn　　　　　　　xp.exe
103 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 19:00:23 ]: Rising 2009 21.39.42 (21.30.42.00)
前スレ>866 (tane0317)
install2.exe: Trojan.Win32.FakeAV.nz
install4.exe: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
3/5
前スレ>896 (tane0323)
install.exe: Trojan.Win32.FakeAV.nz
1+1=2/4
前スレ>916 (tane0326)
download.php: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
2/2
>>96
install.exe: Trojan.Win32.FakeAV.nz
3+1=4/8
104 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 19:02:26 ]: F-Secureを使ってる方に質問ですがF-Secureが採用してるアンチウイルスエンジンってKasperskyだけですか？
F-SecureのHPみても詳細が出てないからいまいちわからないんですよね
105 名前：名無しさん＠お腹いっぱい。 [2009/05/22(金) 20:13:05 ]: F-Secureのスレで聞けよ
106 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 20:17:45 ]: ちがう。
107 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 20:44:23 ]: >>96 乙
>>97 ㌧

カスペ2009 18：26
>>96
5+事後検出3=8/8でクローズ
既検出
Detected Trojan program Trojan-Downloader.Win32.Boltolog.efx 　　　　/ak1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uje 　　　　/bot.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uji 　　　　/ldr.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.apig 　　　　/media_player_update.exe
Detected Trojan program Trojan-Downloader.Win32.Geral.rn 　　　　/xp.exe

以下事後検出3
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eky 　　　　/install.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vvqz 　　　　/install2.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.byqu 　　　　/softwarefortubeview.45013.exe
108 名前：61 mailto:sage [2009/05/22(金) 21:30:33 ]: >>97
AVIRA9 7.01.04.05　未検出確定分

ak1.exe - TR/Drop.BOL.efx
bot.exe - TR/Spy.ZBot.dag
ldr.exe - TR/Spy.ZBot.uji
softwarefortubeview.45013.exe - TR/Dldr.Agent.byqu

以上で、８個全部が黒確定でcloseしました。
109 名前：61 mailto:sage [2009/05/22(金) 21:33:48 ]: >>94 書き忘れた．．．

AVIRA9 7.01.04.05
　antivirus.exe - TR/PrivacyCenter.A.58

こちらも検出可でclose。
110 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 22:47:29 ]: VIRUSTOTAL繋がらん・・・
111 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 23:12:37 ]: お疲れ様です。規制中につき代理スレからの書き込みです。
>>102
FIS-2009では結果が出ているようなのでちょっと趣向を変えてみました。
F-Secure Internet Security Technology Preview 9.40
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
Pattern File Version
* Virus: 2009-05-22_06
* SpyWare: 2009-05-22_06
[結果] 検出 1/8
・\Malware_20090521\xp.exe ? Gen:Trojan.Heur.2015746F6F
・残りは NOT DETECTED
これはどうしたらいいのかな。SASへ登録は必要かな...?
112 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 23:16:39 ]: >>111
Technology Preview 9.40 ってこれかな？
blog.f-secure.jp/archives/50241218.html
＞検出に関連したLabへのフィードバックには、Sample Analysis Systemを使用して欲しい。
だそうです。
113 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 23:20:49 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=344
パス virus

インチキアンチスパイ詰め合わせ
114 名前：111 mailto:sage [2009/05/22(金) 23:40:53 ]: >>112
一応確認したところ、FIS-2009はKasperskyでFIS-TPはBitDefenderですね。
となると、ここ1週間分くらいは最低限再チェックしてSASへ登録したほうがいいかな...?
それとも本件登録時に、以前登録分についても確認してもらうようなコメントを追記すればいいかな...?

>>113
>>111のパターンでのチェック結果
[検出：2/10]
\01\Work.exe → Gen:Trojan.Heur.90D02FAAAA (検疫可)
\01\SetupRelease.exe → Gen:Trojan.Heur.Hype.0A5AA5A5A5 (検疫不可)
残りは NOT DETECTED
やっぱりFIS-2009 に戻そうかしら...orz
115 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 23:48:47 ]: >>113乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
116 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/22(金) 23:48:49 ]: Rising 2009 21.39.44 (21.30.44.00)
>>113
スルー
PrestoTuneUp.exeとActivatedReleaseXP.exeはハッシュ同じだよ
117 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 01:07:30 ]: >>113
McAfeeに提出させて頂きました。
118 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 06:07:54 ]: このスレの皆さん、ホンと凄いですね。いつも参照させてもらってます。
どんなメディアの情報よりも参考になります。
（いつか勉強して参加したいと思います）
119 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 07:11:03 ]: >>48 >>72 >>61
McAfee回答

File Name Findings Detection Type
========= ======== ========= ====
explorer.exe detected generic pws.y!s trojan

File Name Findings Detection Type
========= ======== ========= ====
mpg.scr detected generic backdoor trojan
1199.exe detected generic backdoor!y trojan
ftp25.exe detected generic backdoor!y trojan

File Name Findings Detection Type
========= ======== ========= ====
cry.exe detected generic.dx!cx trojan
dia.exe detected w32/autorun.worm!n virus
file.exe detected generic.d!a trojan
softwarefortubeview.40000 detected generic downloader.x trojan
120 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 07:53:26 ]: >>113
AntiVirとAntiyLabsにFTP経由で提出。

ActivatedReleaseXP.exe : Suspicious File(eSafe)
ActivatedSetup.exe : Trojan.Fakeav!IK(a-squared)
ActivatedSetupReleaseXP.exe : - Not Detected -
PrestoTuneUp.exe : Suspicious File(eSafe)
ReleaseXP.exe : SHeur2.AHGZ(AVG) , Suspicious File(eSafe)
SetupRelease.exe : Gen:Trojan.Heur.Hype.0A5AA5A5A5(BitDefender) , VirTool:Win32/Obfuscator.ER(Microsoft)
SetupReleaseXP.exe : - Not Detected -
uninstall.exe : Trojan.Fakeav!IK(a-squared)
update.exe : Trojan.Fakeav!IK(a-squared)
Work.exe : TR/Crypt.CFI.Gen Trojan(AntiVir) , Gen:Trojan.Heur.90D02FAAAA(BitDefender)
121 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 07:54:32 ]: >>116
ほんとだ…提出前に気付けば良かった。他には、片方消してから提出しよう。
122 名前：61 mailto:sage [2009/05/23(土) 08:22:58 ]: >>113 乙です。
Kaspersky 2009/05/23 7:12:00
　ActivatedReleaseXP.exe -
　ActivatedSetup.exe -
　ActivatedSetupReleaseXP.exe -
　ReleaseXP.exe -
　SetupRelease.exe -
　SetupReleaseXP.exe -
　uninstall.exe -
　update.exe -
　Work.exe -

てなわけで全部スルーしたので、全部提出しました。（>116があったので、PrestoTuneUp.exeは省略）
123 名前：61 mailto:sage [2009/05/23(土) 08:58:48 ]: >>113,120 乙です。
AVIRA9 7.01.04.06　現状です。
　ActivatedReleaseXP.exe -
　ActivatedSetup.exe -
　ActivatedSetupReleaseXP.exe -
　ReleaseXP.exe -
　SetupRelease.exe -
　SetupReleaseXP.exe -
　uninstall.exe -
　update.exe -
　Work.exe - TR/Crypt.CFI.Gen

スルーしたものはこちらでも提出。全部UNDER ANALYSIS（分析中）表示でした。　う～ん、回線が細いから時間がかかる...
124 名前：61 mailto:sage [2009/05/23(土) 09:01:45 ]: >>113
最後にVirustotal現状です。
　ActivatedReleaseXP.exe - www.virustotal.com/jp/analisis/ffbae36bf5d8448f36a84dbd472aea5f160e079061e92302f3c2d8b3d3968716-1243032949 (1/40)
　ActivatedSetup.exe - www.virustotal.com/jp/analisis/ccbc0dfc558c31ac80285512a917e95f5ebaf9dbabe2403fa2c53ee4de2cb16a-1243033143 (6/40)
　ActivatedSetupReleaseXP.exe - www.virustotal.com/jp/analisis/ffbae36bf5d8448f36a84dbd472aea5f160e079061e92302f3c2d8b3d3968716-1243032949 (1/40)
　ReleaseXP.exe - www.virustotal.com/jp/analisis/c325942eb0d9b6166779e4fd6e5769349080c3c03ee0e2ca30825b0eb58bd6ac-1243034801 (3/40)
　SetupRelease.exe - www.virustotal.com/jp/analisis/8ebfdf65601e633abc4080b53375d93063c2244272f6360486d147529e55ae13-1243035232 (4/40)
　SetupReleaseXP.exe - www.virustotal.com/jp/analisis/357252d379d827c8eae095998ff5010c4cb89f1d4a6b8dab394ca0fbb115d965-1243035644 (1/39)
　uninstall.exe - www.virustotal.com/jp/analisis/e4feaebeee005cd3ec57975c1170cdeedf0a9ad081f7dcc8c49a6a6224b5299e-1243035767 (7/40)
　update.exe - www.virustotal.com/jp/analisis/2245c496c0ab0a4619b017da0ce8fbc85c6d7554d1887b34cc3918f534b886ba-1243036042 (6/40)
　Work.exe - www.virustotal.com/jp/analisis/e55604be26823c6941678a8c35d9df1749bd9b85d4c52429746004069a637804-1243036207 (7/40)

VT、解析結果のアドレスの付け方が変わりましたね。
125 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 12:20:03 ]: 偽セキュリティソフト提出してたらきりがねーぞ
126 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 15:34:55 ]: 偽セキュリティソフトは提出していいんじゃないかな。

それ相応の悪さする訳だし。収集も提出も各自の自己責任だけど、キージェネの鑑定とかと違うし
ここに持ち込むことは構わないと思う。
127 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 19:58:31 ]: >>124

ActivatedReleaseXP.ex
ActivatedSetup.exe
ActivatedSetupReleaseXP.exe
ReleaseXP.exe
SetupRelease.exe
SetupReleaseXP.exe

Windows XPの公開版をアクチ（Activate）したり、WGA（Windows Genuine Advantage)非経由でパッチ当てる（Update)ためのソフトに見える。

【新板】WGA回避大作戦　part２だよ（Windows板）
pc12.2ch.net/test/read.cgi/win/1219980040/
128 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 20:43:09 ]: Rising 2009 21.39.52 (21.30.52.00)
前スレ>881 (tane0320)
7\load.exe: Trojan.DL.Win32.Undef.ent
b\Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
b\Mediacodec_v3.7.exe>>agent.exe: Trojan.Win32.FakeVir.it
4+2=6/12
前スレ>895 (tane0322)
Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1
>>26
dropper.bin>>upx_c: Trojan.DL.Win32.Delf.zrg
>>94
antivirus.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1
129 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 21:59:07 ]: >>113
カスペ

update.exe→not-a-virus:FraudTool.Win32.VirusDoctor.f
uninstall.exe→not-a-virus:FraudTool.Win32.VirusDoctor.g
ActivatedSetup.exe→not-a-virus:FraudTool.Win32.VirusDoctor.h
130 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/23(土) 23:26:29 ]: >>124
＞VT、解析結果のアドレスの付け方が変わりましたね。

再解析するファイルが多すぎて、ハイフン以下で日付と時間入れてみたのかね。２ｃｈのスレタイみたい。
131 名前：61 mailto:sage [2009/05/23(土) 23:28:37 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=345
　DL virus／解凍 virus

【中身】８個入っています。
1.exe
　www.virustotal.com/jp/analisis/749f6a11c09f3aed11acefedf2d77a0ba9d979e8ebb970f0184f72685726546b-1243084719 (11/38)
6244.exe
　www.virustotal.com/jp/analisis/8cb21f42c04e0c1e1e8cc298080ceab4a5ae06cef56fb20235fc51111e3a98f3-1243081168 (21/40)
bb021908.exe
　www.virustotal.com/jp/analisis/452063d1081cf913a146babd3d4a0a6aff502ba950e0327d26f4fcf23a4b9c53-1243081856 (8/38)
softwarefortubeview.45027.exe
　www.virustotal.com/jp/analisis/4a06b457f3475c9b2a4e9865e43a13b77c347a19022717d2b2aa8d2bdef69e6c-1243083462 (1/40)
SudoPlanet_setup.exe
　www.virustotal.com/jp/analisis/b17c6089c42999d9d04efe8632c120e33c83b25ce93aa9a34f0089e65b6c769e-1243088012 (7/39)
ya.exe
　www.virustotal.com/jp/analisis/a8df1476db4c39d4ce371ce4bf894553a8d5ea158b0fdc1b5959791cdf1bfe1c-1243086640 (19/39)
readme.pdf
　www.virustotal.com/jp/analisis/5040a7616314c4df6feba1697761b404b182703a022eedca471829f29ab4fe8d-1243087778 (12/40)
load.php
　www.virustotal.com/jp/analisis/025347a897ef2aeb8b45d1bb667e1bd36861c6e89452b6c13985be9ff33f2ab4-1243087440 (7/40)

softwarefortubeview.XXXXX.exeは改変が早いので、ちょっと注意が必要ですね。
132 名前：61 mailto:sage [2009/05/23(土) 23:41:54 ]: >>131
AVIRA9 7.01.04.07　未検出分３個は提出済み。
　1.exe - TR/Spy.Ambler.D.27
　6244.exe - TR/BHO.Gen
　bb021908.exe -
　softwarefortubeview.45027.exe -
　SudoPlanet_setup.exe - ADSPY/AdSpy.Gen
　ya.exe - TR/Crypt.ZPACK.Gen
　readme.pdf - HTML/Crypted.Gen
　load.php -

>>130
SHA256のハッシュ - タイムスタンプ　になっているみたい。

今度からMD5を貼らなくても、アドレスからSHA256を抜き出せるので、VTでハッシュ検索がしやすくなってます。
が、その分アドレスが異常に長い...orz
133 名前：61 mailto:sage [2009/05/23(土) 23:53:25 ]: >>131
Kaspersky 2009/05/23 23:02:00　未検出分４個は提出済み。
　1.exe - Trojan.Win32.Agent.cimn
　6244.exe - Trojan-Dropper.Win32.BHO.bt
　bb021908.exe -
　softwarefortubeview.45027.exe - Trojan-Downloader.Win32.FraudLoad.elf
　SudoPlanet_setup.exe -
　ya.exe - Trojan-Spy.Win32.Zbot.gen
　readme.pdf -
　load.php -

>>125-126
　う～ん、今時のマルウェアは、主流が偽Antivirusと偽codecなので、偽Antivirusが増えるのはしょうがないと思う。

　偽Antivirus - 偽の検索画面を見せて、マルウェア発見→Antivirusインストールして！
　偽codec - 偽動画サイトを見せて、codecが入ってないから再生できない→codecインストールよろ。

なんで、今のマルウェアは裏から来ないで、表から堂々と来ます。その手の案内がメールで来ることも予想すると
偽Antivirusも出しておいた方が良いと思ったり。

あと、偽codecはポルノサイトが多い。　男って悲しいネ...orz
134 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 00:03:00 ]: >>131
Risingに送りました
135 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 00:04:01 ]: >>131
McAfeeに提出させて頂きました。
136 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 00:19:55 ]: >>131乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
137 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/24(日) 02:14:46 ]: お疲れ様です。
規制解除されたので報告。
F-Secure Internet Security Technology Preview 9.40
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01
>>94
BitDefenderで検出済みにつき確認/報告していません。
>>111
検出結果変わらず。SASへは金曜日の夜中に報告済みですが、回答未だ無し。
>>114
状況変わらず。
>>131
[検出結果：2/12]
　\tane0345\1.exe → Trojan.Crypt.DF：処理失敗
　\tane0345\ya.exe → Gen:Trojan.Heur.Hype.40708F8F8F ：検疫可
　残りはNOT DETECT

FIS-TPでの未検出分報告(>>114 >>131)については、>>111の回答を待ってから考えます。
あと、何方か FIS-2009で確認してる方いらっしゃいませんか？
F-Secureとしてはそちらがメインだと思いますので、確認して頂けると助かります。
138 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/24(日) 03:37:40 ]: お疲れ様です。
一応念のため>>26をFIS-TPにて再確認。
チェック環境は>>137のと一緒。

[検出：本体 30/30　HTML 117/555]
本体は全て検出。HTMLは以下のとおりで、行末の数字は検出数。
\20090405\ [3/3] *
\20090411\ [1/1] *
\20090509\ [47/47] *
\20090514\ [2/2] *
\20090516\joyjoynet\ [5/17]
\20090516\livmail\ [8/43]
\20090516\nifty-hair\ [3/36]
\20090516\revue1999\ [6/18]
20090516\skyhighpremium\ [2/11]
\20090518\laqoo\ [1/137]
\20090518\pmpk\ [7/14]
\20090518\replica08\ [18/52]
\20090518\seibidoshuppan\ [5/10]
\20090518\themusasi\ [4/27]
\20090519\loca.zombie\ [1/1] *
\20090519\yuuno.sakura\ [4/14]
(上記以外は未検出)

とりあえず FIS-TP でも検出精度はそこそこ問題なさそう？
日数経ってるから当たり前といえば当たり前なのだろうけど…
139 名前：61 mailto:sage [2009/05/24(日) 10:56:29 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=346
　DL virus／解凍 virus

【中身】８個入っています。

install.exe
　www.virustotal.com/jp/analisis/6ac8d318f66e736445d047d964054195209ff7531a0bad0b4570a31219605bc8-1243124267 (9/40)
Install_2019.exe
　www.virustotal.com/jp/analisis/c03ac99c56ce7e0d7531cc486afbafb3162b887d6b471c03ebea537822880b83-1243124634 (3/40)
install2.exe
　www.virustotal.com/jp/analisis/60f6d79183e94f1b2c1517239b2a40cd2cc18fc06ae3793258d896f85b55d34f-1243128751 (13/40)
softwarefortubeview.45027-2.exe
　www.virustotal.com/jp/analisis/4020867e53a0239391254d3f385972fbcbaa33a05ca84688f95c5b581f4e54aa-1243098022 (1/40)
ws.exe
　www.virustotal.com/jp/analisis/30ad1851de946508713a71fe6c91f7ac7ddd2b0ae40327f50320b2305080a7c9-1243128997 (3/40)
pdf.pdf
　www.virustotal.com/jp/analisis/97251a720969976891679af2115a7cc4548d696d5697410d735c8904cfb259b3-1243128431 (15/40)
two.pdf
　www.virustotal.com/jp/analisis/070acb8229cac529ffd500e4508f4947537c6cc76ec07c2bd26dfcbc91b2e223-1243128137 (10/40)
flash.swf
　www.virustotal.com/jp/analisis/1feb0cc84665dfab4ebf8bf123ea106cbefc0967e7d0446a003c4411a5d4b42f-1243095732 (10/40)

※ softwarefortubeview.45027-2.exeは、>131と別のもの。（新種に改変された）
140 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 11:01:21 ]: >>131,133 乙

カスペ2009 9:37:00
対象検体>>131

4+事後検出2(下2行）=6/8

Detected Trojan program Trojan.Win32.Agent.cimn 　　/1.exe
Detected Trojan program Trojan-Dropper.Win32.BHO.bt 　　/6244.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.elf 　　/softwarefortubeview.45027.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen 　　/ya.exe

Detected Trojan program Trojan.Win32.VB.psi, Trojan.Win32.Delf.mso　　/bb021908.exe
Detected Trojan program Trojan.JS.Agent.age 　　/readme.pdf
141 名前：61 mailto:sage [2009/05/24(日) 11:09:58 ]: >>139
AVIRA9 7.01.04.07　未検出分３個＋HEUR １個＝４個は提出済み。
　install.exe - TR/Crypt.XPACK.Gen
　Install_2019.exe -
　install2.exe - TR/Crypt.ZPACK.Gen
　softwarefortubeview.45027-2.exe -
　ws.exe - TR/Dropper.Gen
　pdf.pdf - HEUR/HTML.Malware
　two.pdf - EXP/CVE-2009-0837
　flash.swf -

Kaspersky 2009/05/24 9:37:00　未検出分５個は提出済み。
　install.exe -
　Install_2019.exe -
　install2.exe - Trojan-Dropper.Win32.FrauDrop.bi
　softwarefortubeview.45027-2.exe - Trojan-Downloader.Win32.FraudLoad.elf
　ws.exe -
　pdf.pdf -
　two.pdf - Exploit.Win32.Pidief.alc
　flash.swf -

む、AVIRAのHEUR、実物初めて出た。
142 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 11:38:15 ]: >>139
McAfeeに提出させて頂きました。
143 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 11:44:38 ]: >>139
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----

6244.exe |new detection |puper!f |Trojan |yes
ya.exe |new detection |generic pws.y!t |Trojan |yes

あとは全部 inconclusive
144 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 11:46:34 ]: >>139
Norton自動返答

filename: sopidkc.exe
result: This file is detected as Downloader. www.symantec.com/avcenter/venc/data/downloader.html

filename: 6244.exe
result: This file is detected as Downloader. www.symantec.com/avcenter/venc/data/downloader.html

あとは全部手動解析行き
145 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 12:10:18 ]: >>139
カスペ返答

1.exe_ - Trojan.Win32.Agent.cirp,
load.php - Trojan.Win32.Inject.aazv
New malicious software was found in these files.

45027.exe_ - Trojan-Downloader.Win32.FraudLoad.elf,
6244.exe_ - Trojan-Dropper.Win32.BHO.bt,
bb021908.exe_, dpcxool64.sys - Trojan.Win32.VB.psi,
readme.pdf_ - Trojan.JS.Agent.age,
sopidkc.exe_, tpsaxyd.exe_ - Trojan.Win32.Delf.mso,
ya.exe_ - Trojan-Spy.Win32.Zbot.gen
These files are already detected.

comsa32.sys, SudoPlanet_setup.exe_
No malicious code were found in these files.

※ bb021908.exe_は解凍したファイルも一緒に送っていますので、そのファイル名も報告に含まれています。
146 名前：61 mailto:sage [2009/05/24(日) 12:27:17 ]: >>141
Kaspersky未検出分返答
　install.exe - Trojan-Downloader.Win32.FraudLoad.eln
　Install_2019.exe_ - Trojan-Downloader.Win32.FraudLoad.elo
　ws.exe_ - Trojan-Downloader.Win32.FraudLoad.vxmg
　pdf.pdf - Exploit.Win32.Pidief.avw
　flash.swf - Exploit.SWF.Agent.aq

ということで、全黒でclose.

どうも、分析を担当したアナリストによって返答したりしなかったり、という感じ。
早い人だと、送ってからあっという間に解析結果のメールが来る。逆に、メール来ないのに対応終わってることもあるし、ちょっと面白い。
147 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 14:43:12 ]: Rising 2009 21.39.60 (21.30.60.00)
前スレ>636 (tane0293)
playenline\1.exe: Trojan.PSW.Win32.GameOL.zyj
17+1=18/33
>>139
Risingに送りました
148 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 16:05:59 ]: >>139乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
149 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/24(日) 16:34:11 ]: お疲れ様です。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01

[検出結果：4/8]
flash.swf → Exploit.SWF.Gen [検疫]
install.exe → GenPack:Trojan.Generic.1552053 [検疫]
pdf.pdf → Exploit.PDF-JS.Gen [検疫]
two.pdf → Exploit.PDF-URI2.Gen [検疫]

[以下未検出]
Install_2019.exe
install2.exe
softwarefortubeview.45027-2.exe
ws.exe

>>111の回答がもらえていませんので、対応する気があるのか不明との判断に付き報告は保留しています。
150 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/24(日) 16:36:37 ]: ぬあ…抜けてた。
>>149は>>139の結果です。
失礼しました。
151 名前：61 mailto:sage [2009/05/24(日) 23:13:13 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=347
　DL virus／解凍 virus

【中身】２７個入っています。多いです。スミマセン

インフォメーションは後程。AVIRAとKasperskyは提出済み。いつも通りVirustotalにも全部投げてあります。
152 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 23:30:46 ]: >>151乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
NIS2009で、解凍後のAutoProtect検出で13/27 （でもファイル数は16ヶ残った）
手動スキャンを続けて試みたが追加検出は無しでした
153 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/24(日) 23:33:53 ]: Rising 2009 21.39.62 (21.30.62.00)
>>151
1.exe>>mian007: Packer.Win32.Mian007.a
file.exe: Backdoor.Win32.Undef.did
install3.exe: Trojan.Win32.Nodef.jka
3/27
提出完了
154 名前：61 mailto:sage [2009/05/25(月) 00:04:26 ]: >>151　いんふぉめ～しょん（１／３）
1.exe
　www.virustotal.com/jp/analisis/a42eb1120c86c7c6a9ce19ff9475ec359f8ad8454f8c24516cdbbc008e6a644d-1243162474 (16/40)
access.exe
　www.virustotal.com/jp/analisis/22327a0a8b064be7fb1c472818531a558a52a4aac3d8ad9f362db863beca17bf-1243156317 (0/40)
e98m.pdf
　www.virustotal.com/jp/analisis/280b3d5826f9cc6bef69185f754a093de32b4f7d73329ef46b1090ba2f513e9e-1243156084 (6/40)
EXP_pdf.pdf
　www.virustotal.com/jp/analisis/633f5bf8ef0a03fe1e8e00a3350aa1acd3174d7f0dbc16fc9c9bac747a59f7a5-1243165950 (16/39)
file.exe
　www.virustotal.com/jp/analisis/a96c9edb2896f678be99cf75607ec95a893536184885b6849e79f2a203924934-1243152957 (18/40)
file2.exe
　www.virustotal.com/jp/analisis/508a1d294064188dae66217ca73c6b88d2b0a89b2f4539b380b95187ae42a70d-1243168552 (5/40)
install.exe
　www.virustotal.com/jp/analisis/1d81ce4201964b9e5bc6c47e32a68cdb4c01b745830c2df612daeff9c954d601-1243141294 (4/40)
Install_11-1.exe
　www.virustotal.com/jp/analisis/676e3866436af1c434d1cbcbe1e4662bf375cf3741ebbd3e2e109d1381bcc59a-1243167967 (0/40)
install2.exe
　www.virustotal.com/jp/analisis/d0d88fe72840a3b28a460cb24d8e55ea681ea59e4ef90ee4b44fb57aae677d2d-1243149701 (5/40)
install3.exe
　www.virustotal.com/jp/analisis/a2adbb593a3e2acc285a009563f33fd7bc4638ef91218f887541b15b0608951d-1243155386 (15/40)
155 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/25(月) 00:04:29 ]: >>151
McAfeeに提出させて頂きました。
156 名前：61 mailto:sage [2009/05/25(月) 00:15:18 ]: >>151　いんふぉめ～しょん（２／３）
ldr.exe
　www.virustotal.com/jp/analisis/786d4f87733bd0eee8ae5e48dcd341460695ae16517c566500be28f2e23b2237-1243149018 (9/39)
load.exe
　www.virustotal.com/jp/analisis/94f3d2aa917f12675a0346d983eb5298b3d3fe8860dc990f6781ff7a253201cf-1243160273 (0/40)
load.php
　www.virustotal.com/jp/analisis/1dbbfbcf8241a038041036fb2f8a2a1fa5b10955af07cb47f66fb05dc1e86a2d-1243141917 (14/40)
load2.exe
　www.virustotal.com/jp/analisis/a57dde784c7f4d198f896e1dfa6a85ec0870ce8dc0281ba279287a5768aa3206-1243166783 (6/39)
load2.php
　www.virustotal.com/jp/analisis/38b1d4bfe85ac8d75c9d4c71d7b71b9441be940383b713a26dd3a8201fef7284-1243152060 (6/39)
load3.php
　www.virustotal.com/jp/analisis/108081ba86a1b3171b9d0b32a0c589c10f9f893ba36186fd722dee601a97e23a-1243155771 (1/40)
load4.php
　www.virustotal.com/jp/analisis/689ab94db38ac18f30a99e51f6fa2d178f62ef39f449e0e3eab0c4e7d2557341-1243160866 (7/40)
loadhlp.exe
　www.virustotal.com/jp/analisis/67913781f0a25285e739fdf3776f9ce13687efc93bc5f51f4ce104908fbf31d1-1243163703 (10/39)
m.dll
　www.virustotal.com/jp/analisis/b28125bad6709a13e2836ced6d07ee5fd389dc0cb283123b34c5b7dfc821c6fa-1243170766 (11/38)
pdf.php
　www.virustotal.com/jp/analisis/98137e7b8aed76d82961a2306a210b3286b19db6761602c02d2d222850fc7d74-1243141579 (6/40)
157 名前：61 mailto:sage [2009/05/25(月) 00:22:11 ]: >>151　いんふぉめ～しょん（３／３）
readme.pdf
　www.virustotal.com/jp/analisis/bdd1fb75dc83411fe04e330de97d7cf678822f18605503503280e66904ebd289-1243152334 (13/40)
setup.exe
　www.virustotal.com/jp/analisis/07a23759206b16439868bec3874183194ad14628ab8c82e1001ef19d2cebe908-1243151056 (5/40)
softwarefortubeview.45013.exe
　www.virustotal.com/jp/analisis/f49bfc731fda767a3116d83788333fa8a5f33b78781d1982dbb88548f54e18ab-1243159424 (3/40)
spl.php
　www.virustotal.com/jp/analisis/833d7bc90881273198e6c7165291c137e94f3aaa0d88ca60b05765212f986ba5-1243153872 (12/40)
spl2.php
　www.virustotal.com/jp/analisis/d9d48f0fff9f6c70cff7158224476f6048b9aceb3db18ece9c8bf5b72d3e6242-1243161141 (12/40)
sta.exe
　www.virustotal.com/jp/analisis/ac10cea27bd67b6087127f3eec69b0ab02484de65aa4d3fef750ef36fae7c6d7-1243171150 (17/39)
z.exe
　www.virustotal.com/jp/analisis/5648941dc818661595e51ffccd8a60dfa2b812063f430fc1f277575ea7d7baab-1243165550 (9/40)

全部で２７個でした。あと、>156訂正
load.exe
　www.virustotal.com/jp/analisis/94f3d2aa917f12675a0346d983eb5298b3d3fe8860dc990f6781ff7a253201cf-1243160273 (0/40)　→ (10/40)
158 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/25(月) 00:30:17 ]: >>151 乙＆代理提出㌧

（参考）
カスペ 2009 23:11:00 13/27
カスペ 2010 ベータ 23:11:00 14/27 (setup.exeを追加検出）

Detected Trojan program Trojan.Win32.Pakes.nkq /1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uty /file2.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vxsv /install.exe
Detected Trojan program Trojan.Win32.Tdss.aeii /install3.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic /load.exe
Detected Trojan program Backdoor.Win32.Agent.agua /load.php
Detected virus Email-Worm.Win32.Joleee.bot /load2.exe
Detected Trojan program Trojan.Win32.Small.byt /load2.php
Detected Trojan program Trojan-Dropper.Win32.Agent.apvd /loadhelp.exe
Detected virus not-a-virus:FraudTool.Win32.SpywareGuard2008.ccl /m.dll
Detected Trojan program Trojan.JS.Pakes.bf /readme.pdf
Detected virus HEUR:Trojan.Win32.Generic /setup.exe
Detected Trojan program Trojan.Win32.Obfuscated.afvj /sta.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.urw /z.exe
159 名前：61 mailto:sage [2009/05/25(月) 00:32:58 ]: >>151
最後にAVIRA9とKasperskyの結果。今回は数が多いので検出数だけ。

AVIRA9 7.01.04.07 - 検出１１，未検出１６
Kaspersky 2009/05/24 23:11:00 - 検出１３，未検出１４
160 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/25(月) 00:56:11 ]: お疲れ
161 名前：61 mailto:sage [2009/05/25(月) 00:56:32 ]: >>122　メール来てないけど事後報告。

Kasperskyで検出するようになったの下記の3個のみ。
　ActivatedSetup.exe - not-a-virus:FraudTool.Win32.VirusDoctor.h
　uninstall.exe - not-a-virus:FraudTool.Win32.VirusDoctor.g
　update.exe - not-a-virus:FraudTool.Win32.VirusDoctor.f

あとは白判定だったような感じです。ではﾉｼ
162 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/25(月) 02:14:36 ]: お疲れ様です。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-23_01
* SpyWare: 2009-05-23_01

>>151
[検出結果：11/27]
\e98m.pdf -> Exploit.PDF-JS.Gen [検疫可]
\EXP_pdf.pdf -> Exploit.PDF-JS.Gen [検疫可]
\pdf.php -> Exploit.PDF-JS.Gen [検疫可]
\spl.php -> Exploit.PDF-JS.Gen [検疫可]
\spl2.php -> Exploit.PDF-JS.Gen [検疫可]
\file.exe -> Gen:Trojan.Heur.GM.0000C14108 [検疫可]
\file2.exe ->Gen:Trojan.Heur.Hype.40708F8F8F [検疫可]
\loadhelp.exe -> Trojan-Spy:W32/Ambler.gen!B [検疫可]
\setup.exe -> Net-Worm:W32/Koobface.gen!A [検疫可]
\load2.exe -> Gen:Trojan.Heur.Hype.2014EBEBEB [検疫可]
\sta.exe -> Gen:Trojan.Heur.P3001FEEEEE [検疫可]
[残り未検出：16/27]

SASへの報告については>>111の回答待ち。
未報告案件：>>111 >>114 >>137 >>149 + 今回分

明日…というか今晩帰宅した際に回答があった場合は、未報告分をチェックの上、残件を報告します。
163 名前：名無しさん＠お腹いっぱい。 mailto:age [2009/05/25(月) 12:51:46 ]: GENO5/8分 Symantec返答

filename: id3_20090508.swf
result: This file is detected as Trojan Horse. www.symantec.com/avcenter/venc/data/trojan.horse.html

filename: id10_20090508.exe
result: This file is detected as Infostealer.Daonol.

filename: id2_20090508.pdf
result: This file is detected as Bloodhound.PDF.7.

最新のRapidRelease定義を作成したので使ってくれ（以下、原文）

>Symantec Security Response has determined that the sample(s) that you provided
>are infected with a virus, worm, or Trojan. We have created RapidRelease defini
>tions that will detect this threat. Please follow the instruction at the end of
> this email message to download and install the latest RapidRelease definitions.
>Downloading and Installing RapidRelease Definition Instructions:
>1. Open your Web browser. If you are using a dial-up connection, connect to any
> Web site, such as: securityresponse.symantec.com/
>2. Click this link to the ftp site: ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe
> If it does not go to the site (this could take a minute or so if you have
> a slow connection), copy and paste the address into the address bar of your Web
> browser and then press Enter.
>3. When a download dialog box appears, save the file to the Windows desktop.
>4. Double-click the downloaded file and follow the prompts.
>
>Virus definition detail:
>
>Sequence Number Greater Than: 95887
>Defs Version: 110524u
>Extended Version: 05/24/2009 rev.21
164 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/25(月) 12:53:28 ]: 私はSymantec使ってないけど、最新定義使いたい人の目に止まるように上げておきました。
165 名前：158 mailto:sage [2009/05/25(月) 15:54:09 ]: >>151
カスペ14:22:00 検出ベース＆返答
13+事後検出12=25/27, 白1,破損1でクローズ

e98m.pdf - Exploit.Win32.Pidief.awp
EXP_pdf.pdf - Exploit.Win32.Pidief.awf
load2.exe - Email-Worm.Win32.Joleee.bot
file.exe - Worm.Win32.AutoRun.ajoi
Install_11-1.exe - Trojan program Trojan.Win32.FraudPack.oiu
ldr.exe - Trojan-Spy.Win32.Zbot.uwl
load.exe - Trojan-Downloader.Win32.Small.akvu （HEUR:Trojan-Downloader.Win32.Generic）
load3.php - Trojan.Win32.Inject.abau
load4.php - Trojan-Dropper.Win32.Agent.aqph
softwarefortubeview.45013.exe - Trojan-Downloader.Win32.Agent.bzxx
setup.exe - Net-Worm.Win32.Koobface.kk （←HEUR:Trojan.Win32.Generic）
spl.php - Exploit.Win32.Pidief.awo
spl2.php - Exploit.Win32.Pidief.awn

access.exe - No malicious code was found in this file.

install2.exe - This file is corrupted.
166 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/25(月) 18:07:00 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=348
Infected

無駄にでかいです。orz

どこぞの鑑定スレに古いマルウェアアドレスが出る→何の気なしに、ドメイン名の一部とexeをキーワードに検索
→文字化けしてたが、どこかの報告リストを目撃→うかつにも全部落としてみる→404とかもあったけどファイル多数

無害なものも幾つか入っちゃってるかもしれませんので、自分の使用中のベンダーで検知・削除されないものに
限定して（VTに投げて0/40なものは外すとかして）提出してください。

古いものも混じっているので、全部提出する必要はないと思います。

AntiVirとAntiyLabs宛にはFTP経由で提出済み（AntiVirはすり抜け分のみ8.7MB程度）
167 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/25(月) 18:08:13 ]: あ、パスは infected の間違い。頭大文字じゃないです。
168 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/25(月) 18:43:37 ]: >>166-167乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
169 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/25(月) 19:51:47 ]: >>166
未検出分をMcAfeeに提出させて頂きました。
170 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/25(月) 21:02:01 ]: Rising 2009 21.40.02 (21.31.02.00)
>>96
bot.exe: Backdoor.Win32.Ntos.cc
4+1=5/8
>>131
6244.exe>>upx_c>>3e9>>upx_c: AdWare.Win32.Undef.evr
1/8
>>166
172(+1)/197
171 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/25(月) 21:56:37 ]: >>166-167
乙

カスペ2009 21:02(KIS2010も同じ）
180/197 (うちヒューリスティック4）
検出結果詳細略

順次提出。
172 名前：61 mailto:sage [2009/05/25(月) 22:00:50 ]: >>165 乙です。
Kaspersky データベース 2009/05/25 21:02:00で>165の通り検出できました。

>>161
同上のデータベースで、1個追加。

　Work.exe - Trojan.Win32.Qhost.loa

後は未検出のままです。>161の分は返事が来ないから、白黒がはっきりしない．．．
173 名前：61 mailto:sage [2009/05/25(月) 22:14:02 ]: >>123　AVIRA未検出分返答

　ActivatedReleaseXP.exe - 黒（名称未定）
　ActivatedSetup.exe - TR/FakeVimes.A.23
　ActivatedSetupReleaseXP.exe -　白
　ReleaseXP.exe - TR/Fakealert.ZB
　SetupRelease.exe - 白
　SetupReleaseXP.exe - DR/FakeAlert.RW
　uninstall.exe -　TR/FakeVimes.A.21
　update.exe - TR/FakeVimes.A.22

以上、黒＝事前１＋事後６＝７，白＝２でclose.
174 名前：61 mailto:sage [2009/05/25(月) 22:34:46 ]: >>159
AVIRA未検出分１６個のうち返答があったもの

　file2.exe - TR/Spy.ZBot.uty
　Install_11-1.exe - TR/FraudPack.oiu
　install2.exe - SPR/Tool.Obfuscator.EW.2
　install3.exe - TR/TDss.aeii
　load2.exe - Worm/Joleee.bot
　load2.php - TR/Small.byt
　load3.php - TR/Inject.abau
　loadhlp.exe - TR/Drop.Agent.apvd
　m.dll - 黒（名称未定）
　setup.exe - 白
　softwarefortubeview.45013.exe - TR/Dldr.Agent.bzxx
　z.exe - TR/Spy.ZBot.urw

１２個判断終わり。黒＝１１，白＝１。　４個まだ解析中・・・めずらしくAVIRAが判断に迷ってる。（後から出した方が先に返答来ている）

しかも更にめずらしく、setup.exeがKaspersky黒でAVIRA白。逆は多いけど、これは初めての気がする。（ﾟдﾟ）
175 名前：61 mailto:sage [2009/05/25(月) 23:08:13 ]: >>141 また書き忘れた...

　Install_2019.exe - TR/Dldr.FraudLoad.elo
　softwarefortubeview.45027-2.exe - TR/Dldr.FraudLoad.Elf.7
　flash.swf -EXP/SWF.16723

HEURは隔離フォルダから送ったけど、これだとWeb提出と違って結果がみれないから状況不明。
どっちにしても、HEUR込みにすれば>139,141はAVIRAも全黒。

ただいま>166にAVIRA トライ中。
176 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/25(月) 23:18:20 ]: お疲れ様です。
>>111で登録したときに書いた文句についての回答がありました。

>Hello,
>
>The ISTP product is a beta product and therefore may not be on the same level as our
>released products, as a result there may still be gaps in the on-demand scanning
>detection coverage. As the beta process continues we will take steps to ensure our
>detection coverage is as complete or exceeds coverage in our released products.
>Feedback such as yours is vital to this effort.
>
>We will add detection for these samples to ISTP databases as soon as possible.
>
>Thanks for your help!
>
超意訳：
>ISTPはベータ段階だから製品のより劣ってるかもしれないし、検出結果にギャップがあるのも否定はしない。
>このベータ段階を経て、既存の製品よりいいものにしようと私たちは手を打ってます。
>この努力に君らからのフィードバックを必要としています。
>今回提供してくれた検体の定義については、近々ISTPのデータベースに追加します。

ということなので、今日からまたちまちまとSASへの報告作業をはじめます。
177 名前：61 mailto:sage [2009/05/25(月) 23:20:48 ]: >>166　乙です。Kasperskyは>171さんがやってくれていますので、AVIRAの方です。

AVIRA9 7.01.04.13　検出１８３，未検出１４でした。(HEUR検出は無し）

ちなみに、未検出は
　32.exe
　a8.exe
　c.js
　go.exe
　maya4.0.exe
　qvodsetupplus.exe
　read.php
　setup(1).exe
　show_ads.js
　u89(1).exe
　u89.exe
　xx(1).htm
　xx(2).htm
　xxxdizhi.exe　です。

順次AVIRAに提出しますがu89(1).exeとu89.exeは同じものなので、提出は１３個になります。
178 名前：61 mailto:sage [2009/05/26(火) 00:24:53 ]: >>177
Web提出時に既出で判定済み
　黒　a8.exe - SPR/Hacktool.28501
　白　maya4.0.exe，u89.exe，xxxdizhi.exe　の３個

解析中
　32.exe，c.js，go.exe，qvodsetupplus.exe，read.php，setup(1).exe，show_ads.js　の７個

中身を見て、VTに投げた後、提出しなかったもの
　xx(1).htm，xx(2).htm　の２個　（VTでも 0/40）

AVIRA先生は終業時間過ぎてますので、報告は明日でしょう。ではﾉｼ
179 名前：61 mailto:sage [2009/05/26(火) 00:38:31 ]: >>174　訂正

× setup.exe - 白　→　黒判定。

同じ日に出した他のファイルと間違えた。orz　>151,159,174のsetup.exeは、AVIRAも黒判定。

※ 白だったのは、VTに投げてはっきりしなかった分を、AVIRAに試しに出してみた分。
180 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 00:44:22 ]: Rising 2009 21.40.04 (21.31.04.00)
前スレ>822
8\antivirus.exe>>pc.exe: AdWare.Win32.FakeAV.cp
5(+1)+1=6(+1)/12
>>131
bb021908.exe>>sopidkc.exe: Backdoor.Win32.Undef.dlw
bb021908.exe>>tpsaxyd.exe: Backdoor.Win32.Delf.ebq
1+1=2/8
>>166
追加検出1
172(+1)+1=173(+1)/197
181 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/26(火) 00:46:58 ]: お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-25_11
* SpyWare: 2009-05-25_11

>>113 (0344)
[検出結果：10/10]
\ActivatedSetup.exe -> Trojan-Downloader:W32/FraudLoad.EJ [検疫可]
\uninstall.exe -> Trojan-Downloader:W32/FraudLoad.EK [検疫可]
\update.exe -> Trojan-Downloader:W32/FraudLoad.EL [検疫可]
\Work.exe -> Gen:Trojan.Heur.90D02FAAAA [検疫可]
\SetupRelease.exe -> Gen:Trojan.Heur.Hype.0A5AA5A5A5 [検疫不可]
[RiskWare]
\ActivatedReleaseXP.exe -> Riskware:W32/Prestune.A
\PrestoTuneUp.exe -> Riskware:W32/Prestune.A
\ReleaseXP.exe -> Rogue:W32/PrestoTuneUp.D
\ActivatedSetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.C
\SetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.B

>>131 (0345)
>>137から変化なし。未検出分をSASへ登録しました。

>>139 (0346)
>>149から変化なし。未検出分をSASへ登録しました。

>>151 (0347)
>>162から変化なし。未検出分をSASへ登録しました。
182 名前：171 mailto:sage [2009/05/26(火) 01:07:56 ]: >>166
カスペからの返事
180+事後検出6=186/197 、白5, 回答待ち6

白：maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち：32.exe, qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm

寝る
183 名前： ◆W32/Vael.o mailto:sage [2009/05/26(火) 18:25:53 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=349
Malware-Pack78

例によってMcAfeeには提出済み
184 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 18:48:06 ]: >>183
AntiVirとAntinyLabsにFTP経由で提出しました。他のマイナー所は後で～
185 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 19:10:40 ]: おっと、肝心の報告を忘れてました。

AntiVir 8/12検出
186 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 19:13:55 ]: >>183乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

0　ttp://www.virustotal.com/jp/analisis/152ae7a6ad52c5ae89daa68639af8c317dee5f5e02e72663b260316f38456e50-1243332318
1　ttp://www.virustotal.com/jp/analisis/23107ee1e816782322116904a052bd3720e6edbb0a84bd61b4e69d93e51a0a9b-1243332325
2　ttp://www.virustotal.com/jp/analisis/84bc296b1cb58d74599cf871585cf986551632d6b11e0aa5aea46d301904b486-1243332350
3　ttp://www.virustotal.com/jp/analisis/108081ba86a1b3171b9d0b32a0c589c10f9f893ba36186fd722dee601a97e23a-1243332342
4　ttp://www.virustotal.com/jp/analisis/284877bb95e50d17d5e48d387fd8bda629ccebfe62cc7a40aa329e4d306ec01c-1243332353
5　ttp://www.virustotal.com/jp/analisis/906d701130b04d32036240692fc34446087503c15849915ec3fc281fd6ffb997-1243332365
6　ttp://www.virustotal.com/jp/analisis/7dece7c341d5164d8038cad5bb1677591a117ea70be8c329fe9e56a000574881-1243332398
7　ttp://www.virustotal.com/jp/analisis/508a1d294064188dae66217ca73c6b88d2b0a89b2f4539b380b95187ae42a70d-1243332408
8　ttp://www.virustotal.com/jp/analisis/52d981837dc8a415826eec8326cc2eb0ff18a9a8cac99bb8b2432963dc59d479-1243332418
9　ttp://www.virustotal.com/jp/analisis/2e6fe7941812a6574dbd1da1d8952389ede8b2ba89ac93603a58f32152d7d64d-1243332426
a　ttp://www.virustotal.com/jp/analisis/883b074403f6ff2f695d0adb867c2c252cb8f1b65bc1c03238fc29e9df58ceba-1243332438
b　ttp://www.virustotal.com/jp/analisis/f7c1a7033860feb93c0b9abd047c381236b1d724f9500fe9e3dfa175ee010cbf-1243332452
187 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 19:23:37 ]: >>183
乙
カスペ2009 17:25:00
9/12
検体提出します。

Detected Trojan program Trojan.Win32.Agent2.jma /0/cool.jpg
Detected Trojan program Trojan.Win32.Agent2.jmq /2/plugin.exe
Detected Trojan program Trojan.Win32.Inject.abau /3/file.exe.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.cajp /4/dfff.prod.exe
Detected Trojan program Trojan.Win32.Agent.chrn /6/setup.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uty /7/file.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uyu /8/bot.exe
Detected virus Email-Worm.Win32.Joleee.bpc /9/load.exe
Detected Trojan program Trojan.Win32.BHO.tbl /b/malay.exe

>>166

180+事後検出7=187/197 、白5, 回答待ち5

白：maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち：qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm
188 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 19:27:07 ]: Norman サイト再編か、提出先がページなくなっている。
189 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 19:35:02 ]: Rising 2009 21.40.12 (21.31.12.00)
>>61
cry.exe: Trojan.Spy.Win32.VB.alv
dia.exe: Worm.Win32.DownLoad.qh
2/4
>>139
install2.exe: Trojan.Win32.FakeAV.nz
1/8
>>151
setup.exe>>upx_c: Worm.Win32.Koobface.w
3+1=4/27
>>166
追加検出1
173(+1)+1=174(+1)/197
>>183
スルー
検体提出完了
190 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 19:40:31 ]: >>183
>>186-187さんと一部被ってますが、テンプレのWikiにまとめてある提出先に一通り提出完了。

BitDefender 2/12
a-Squeare 5/12
191 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 20:51:20 ]: >>188
変更後のアドレス…Wiki直すか。

Norman(未圧縮１ファイルづつしか投稿できない）
　www.norman.com/security_center/security_tools/submit_file/en
　（↓誤検知報告：まとめて報告可能）
　www.norman.com/support/fp/en
192 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/26(火) 20:54:05 ]: お疲れ様です。
>>181で登録した分の回答がありました。

>>131
回答：2009.05.26 07:54
補足：2009.05.26 11:34
・The file Sudoplayer.exe need not be detected.
>>139
回答：2009.05.26 16:26
>>151
回答：2009.05.26 19:28

補足回答を除く全ての未検出分について次回更新にて対応とのことでした。
193 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 21:00:48 ]: >>192

＞補足回答を除く全ての未検出分について次回更新にて対応とのことでした。

これってBitDefenderでも対応＆検出できるようになるってことですよね？
194 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/26(火) 21:05:10 ]: >>193
必ずしもそうとは言い切れませんが…恐らく検出できるようになると思います。
…としか回答できません。OTL
あとは定義データの配信時間差とか…？
195 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/26(火) 21:06:40 ]: >>194
わかりました、ありがとう
196 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/26(火) 21:35:09 ]: >>192の検出結果報告
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-26_07
* SpyWare:2009-05-26_07

[検出結果：4/6 + 白判定：1 = 5/6]
0345\softwarefortubeview.45027.exe -> Trojan-Downloader:W32/FraudLoad.EM [検疫可]
0345\6244.exe -> Trojan-Dropper:W32/BHO.exe -> [検疫可]
0345\load.php Trojan:W32/Inject.EY [検疫可]
0345\bb021908.exe -> Trojan:W32/VB.LUX [検疫可]
0345\SudoPlanet_setup.exe -> 白判定

[検出結果：4/4]
0346\install2.exe -> Trojan:W32/Winwebsec.J [検疫可]
0346\softwarefortubeview.45027-2.exe -> Trojan-Downloader:W32/FraudLoad.EM [検疫可]
0346\Install_2019.exe -> Rogue:W32/XPAntivirus.GPZ [検疫可]
0346\ws.exe -> Trojan:W32/Winwebsec. [検疫可]

[検出結果：5/16]
0347\install.exe -> Trojan:W32/Winwebsec. [検疫可]
0347\load.exe -> Trojan-Downloader:W32/Agent.KOV [検疫可]
0347\load4.php -> Trojan-Dropper:W32/Delf.DRO [検疫可]
0347\readme.pdf -> Exploit:JS/Pidief.EN [検疫可]
0347\z.exe -> Trojan:W32/Zbot.OTU [検疫可]
197 名前：187 mailto:sage [2009/05/26(火) 22:01:15 ]: カスペからの返事

>>183
9/12, 白2 (1, 5), 回答待ち (a)

1\rensuz.exe
5\Setup.exe

No malicious code was found in this file.

リンク
>>1 テンプレ変更（Norman)
>>191
198 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 02:11:02 ]: F-Secure Internet Security 2009
パターンファイルのバージョン:
・ウィルス: 2009-05-26_07
・スパイウェア: 2009-05-26_03
スキャンエンジン:
・F-Secure AVP: 7.00.171, 2009-05-22
・F-Secure Hydra: 3.08.9080, 2009-05-26
>>94
antivirus.exe　:　FraudTool.Win32.PrivacyCenter

>>113
2009-05-23の時点で全て検出せず。

10/10
ActivatedReleaseXP.exe　:　Riskware:W32/Prestune.A
ActivatedSetup.exe　:　Trojan-Downloader:W32/FraudLoad.EJ
ActivatedSetupReleaseXP.exe　:　Rogue:W32/PrestoTuneUp.C
PrestoTuneUp.exe　:　Riskware:W32/Prestune.A
ReleaseXP.exe　:　Rogue:W32/PrestoTuneUp.D
SetupRelease.exe　:　Rogue:W32/PrestoTuneUp.D
SetupReleaseXP.exe　:　Rogue:W32/PrestoTuneUp.B
uninstall.exe　:　Trojan-Downloader:W32/FraudLoad.EK
update.exe　:　Trojan-Downloader:W32/FraudLoad.EL
Work.exe　:　Trojan:W32/Qhost.VK
199 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 02:28:54 ]: >>131
FIS-2009 定義>>198

6/8
Trojan-Spy:W32/Ambler.gen!B　:　1.exe
Trojan-Dropper:W32/BHO.EXE　:　6244.exe
Trojan:W32/VB.LUX　:　bb021908.exe
Trojan:W32/Inject.EY　:　load.php
Trojan-Downloader:W32/FraudLoad.EM　:　softwarefortubeview.45027.exe
Trojan-Spy.Win32.Zbot.gen　:　ya.exe
200 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 02:37:42 ]: >>139
FIS-2009 定義>>198

6/8
flash.swf　:　Trojan-Downloader:W32/Swif.D
install2.exe　:　Trojan:W32/Winwebsec.J
Install_2019.exe　:　Rogue:W32/XPAntivirus.GPZ
softwarefortubeview.45027-2.exe　:　Trojan-Downloader:W32/FraudLoad.EM
two.pdf　:　Exploit.Win32.Pidief.alc
ws.pdf　:　Trojan:W32/Winwebsec.I

未検出
install.exe
pdf.pdf
201 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 02:48:43 ]: >>151
FIS-2009 定義>>198

7/27
install.exe　:　Trojan:W32/Winwebsec.I
load.exe　:　Trojan-Downloader:W32/Agent.KOV
load4.php　:　Trojan-Dropper:W32/Delf.DRO
loadhlp.exe　:　Trojan-Spy:W32/Ambler.gen!B
readme.pdf　:　Exploit:JS/Pidief.EN
setup.exe　:　Net-Worm:W32/Koobface.gen!A
z.exe　:　Trojan:W32/Zbot.OTU

その他未検出
202 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 03:06:01 ]: >>166
FIS-2009 定義>>198
検出　:　155/336
203 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 03:25:28 ]: >>202追記。49のファイルが未検出

>>189
FIS-2009 定義>>198ｚ
3/12
\0\coo.jpg　:　Trojan.Win32.Agent2.jma
\2\plugin.exe　:　Trojan.Win32.Agent2.jmq
\6\setup.exe　:　Trojan.Win32.Agent.chrn

未検出
\1\rensuz.exe
\3\file.exe.exe
\4\dfff.prod.exe
\7\file.exe
\8\bot.exe
\9\load.exe
\a\install1.exe
\b\malay.exe

>>198-203未検出分、F-Secure SAS に提出済み
204 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 12:04:58 BE:927738274-2BP(0)]: anchorage.2ch.net/test/read.cgi/occult/1241974505/774 【鑑定済み】
MD5: 6D93B0DF6A4B8E1763D1E542BC91B81F 102400bytes
HDD をもりもり消していくやつの模様踏んでみたが、だいたいそういう結果になった
これ既出？
205 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 12:26:56 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=350
infected

検体入手元
mixiのネトゲコミュに貼られていたらしいです。
p://www■uploda■tv/v/uptv0023074■rar

uptv0023074.rar(16/40)
ttp://www.virustotal.com/analisis/b22c4196cdd5854c7fd5fd666dca5f244fd0a7c0c5ce382c37eaefb3a0a509f7-1243390198
faisnqiq.exe(16/40)
ttp://www.virustotal.com/analisis/b1412ed3acf29f8f2a3b33261691f83ddbc04b0497d01d05bd82f675cc141415-1243390245

uptv0023074.rar : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
faisnqiq.exe : TR/Crypt.ZPACK.Gen Trojan(AntiVir)

AntiyLabsにはftp経由で提出済み。他はこれから提出します。
206 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 12:39:03 ]: >>205
VTでスルー、ヒューリスティックのベンダーと、VTには出てこないまとめWikiの宛て先に提出完了しました。
207 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 13:43:31 ]: なんとなく負荷削減になるかと思ってメール経由でVTに投げてるんですが、負荷削減になりますかね?
リンク踏まなくて済むしいいことが多い気がします。
208 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 13:52:02 ]: >>207
VT経由は、対応が明らかに遅いです。そんだけ。

>>205
カスペ
faisnqiq.exe - Trojan.Win32.Inject.abja
New malicious software was found

Norman
* Filename: C:\analyzer\scan\faisnqiq.exe.
* Sandbox name: W32/Malware.
* Signature name: NO_VIRUS.

Norton
手動解析行きでCLOSE
209 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 13:55:39 ]: >>208
提出の意味じゃなくて検査の段階での話で。
210 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 14:16:08 ]: >>209
VTの内部的な仕組みなんぞわからん…というわたしは、VirusTotalUploaderを使って右クリックから送ってます。
VTが不調な時だけですね、メールで投げるのは。
211 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 14:42:35 ]: >>210okです
あんまり気にしないどきます><
212 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 16:03:08 ]: >>205
F-Secure Internet Security 2009
パターンファイルのバージョン:
　・ウィルス: 2009-05-27_02
　・スパイウェア: 2009-05-27_01
スキャンエンジン:
　・F-Secure AVP: 7.00.171, 2009-05-26
　・F-Secure Hydra: 3.08.9080, 2009-05-27

faisnqiq.exe　:　Trojan-PSW:W32/Magania.gen!B
\uptv0023074.rar\faisnqiq.exe　:　Trojan-PSW:W32/Magania.gen!B
213 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 16:43:26 ]: >>205

NortonInternetSecurity2009

Trojan Horse：faisnqiq.exe

>>208
提出乙です
しかし、Symantecは手動解析でも対応が速くなってきたな
ただ今でも検体によっては極端に対応が遅いときがあるのでまだまだ不安定なウイルス対応ではある
どちらにしても今後も更なる対応速度の改善してくれるならいうことはない
214 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 17:36:53 ]: skywavsv(中国のアカウントクラック系サイト)の中身が変わってました
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=351
infected

検体入手元
www■skywebsv■com/play/
( www■everydaygame■net/flash05849/経由)

Ms08011,Ms08053に関しては中身が同一で未完成のようだったので
MsAccess.htmとJoewm.htmの2ファイルのみです

Joewm.htm (25/40)
https://www.virustotal.com/analisis/0de5f96e1dca67dea53e49cbd65ea8981e01a90eff177b0441bb24405743bb3d-1241555915

MsAccess.htm (18/40)
https://www.virustotal.com/jp/analisis/366314daf60df9762b80f5e7a819b3f5bd675d4e6236aa2997e74bae186fffaa-1243408584

HEURだったMsAccessのほうのみAvira送付済みです。
215 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 18:12:49 ]: >>205
McAfeeに提出させて頂きました
216 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 20:44:21 ]: Rising 2009 21.40.22 (21.31.22.00)
>>139
pdf.pdf: Hack.Exploit.Win32.PDF.jsz
two.pdf: Hack.Exploit.Win32.PDF.jta
1+2=3/8
>>151
EXP_pdf.pdf: Hack.Exploit.Win32.PDF.jsy
load3.php: Trojan.Win32.Nodef.jmp
load4.php: Trojan.Win32.Nodef.jnc
4+3=7/27
>>166
175/197
>>183
3\file.exe.exe: Trojan.Win32.Nodef.jmp
1/12
>>205
Suspicious:Packer.Win32.UnkPacker.b
0(+2)/2
>>214
joewn.htm: Hack.Exploit.Script.JS.Bucode.m
MsAccess.htm: Hack.Exploit.Script.JS.OESnap.a
2/2
217 名前：88 mailto:sage [2009/05/27(水) 21:32:43 ]: 対象検体>>87

カスペ2009　18:48:00
今更感はあるけれど、代表的なファイルを提出した結果

5points.htm_, abh_category2_1.php, akitachuo-top.index.html_, bloomsbury.htm_, business.html_ - Trojan-Downloader.JS.Gumblar.a

These files are already detected. Please update your antivirus bases.

205/206
一応報告。
218 名前：61 mailto:sage [2009/05/27(水) 21:32:46 ]: >>151,159,174,179
AVIRA最終報告。ちなみに、数が多すぎて、自分でもどれがどれだか不明になったんで、結果を全部載せます。orz

AVIRA9 7.01.04.26 - 27個、下記の通り全黒でclose
　1.exe - TR/PSW.Prefsap.A
　access.exe - ADSPY/MediaPass.21
　e98m.pdf - EXP/Pidief.awp
　EXP_pdf.pdf - HTML/Crypted.Gen
　file.exe - WORM/Autorun.ajoi
　file2.exe - TR/Spy.ZBot.uty
　install.exe - TR/Dropper.Gen
　Install_11-1.exe - TR/FraudPack.oiu
　install2.exe - SPR/Tool.Obfuscator.EW.2
　install3.exe TR/TDss.aeii
　ldr.exe - TR/Crypt.ZPACK.Gen
　load.exe - TR/ATRAPS.Gen
　load.php - TR/Crypt.CFI.Gen
　load2.exe - WORM/Joleee.bot
　load2.php - TR/Small.byt
　load3.php - TR/Inject.abau
　load4.php - DR/Delphi.Gen
　loadhlp.exe - TR/Drop.Agent.apvd
　m.dll - TR/Fakealert.astfe
　pdf.php - EXP/Pidief.awe
　readme.pdf - EXP/Pidief.bf
　setup.exe - TR/Downloader.Gen
　softwarefortubeview.45013.exe - TR/Dldr.Agent.bzxx
　spl.php - HTML/Crypted.Gen
　spl2.php - HTML/Crypted.Gen
　sta.exe - TR/Crypt.XPACK.Gen
　z.exe - TR/Spy.ZBot.urw
また、最近のものについて、皆様提出ご苦労様です。　AVIRAとKaspersky複数居るので、他のベンダー試してみようかなぁ...
219 名前：61 mailto:sage [2009/05/27(水) 21:45:56 ]: >>166,177-178
AVIRA9 7.01.04.26 - 未検出14個の結果。
　32.exe - TR/VB.pzh
　a8.exe - SPR/Hacktool.28501
　c.js - TR/Dldr.IFrame.bab
　go.exe - 白
　maya4.0.exe - 白
　qvodsetupplus.exe - TR/Spy.5232840
　ead.php - 白
　setup(1).exe - 解析中
　show_ads.js - TR/Dldr.IFrame.baa
　u89.exe - 白
　xxxdizhi.exe - 白

重複＝１（ u89(1).exe ），黒＝５，白＝５，解析中＝１，未提出＝２（ xx(1).htm，xx(2).htm ）
220 名前：61 mailto:sage [2009/05/27(水) 21:59:12 ]: >>131-132
AVIRA9 7.01.04.26 - 未検出3個の結果。
　bb021908.exe - DR/VB.psi
　softwarefortubeview.45027.exe - TR/Dldr.FraudLoad.Elf.6
　load.php - TR/Inject.aazv

ということで、>131も全黒でclose.　多分、これで未報告分終わりのはず。
221 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 22:03:46 ]: >>214乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
222 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 22:48:25 ]: >>205
NortonInternetSecurity2009

Trojan Horse：uptv0023074.rar

Nortonはこれで>>205の検体は検出完了
223 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/27(水) 23:00:10 ]: お疲れ様です。
生キャラメル作ってたら出遅れました…

F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
* Virus: 2009-05-26_10
* SpyWare:2009-05-26_10

>>196に追加
0347\Install_11-1.exe -> Trojan.FakeAV.NA [検疫可]
[残件] 0345:1件 / 0347:10件

>>205 [検出：2/2]
0350\uptv0023074.rar\faisnqiq.exe -> Gen:Trojan.Heur.Hype.2010EFEFEF
0350\faisnqiq.exe -> Gen:Trojan.Heur.Hype.2010EFEFEF
ヒューリスティックでもSAS登録必要でしょうか？

>>214 [検出：2/2]
0351\090527\joewn.htm -> Exploit.HTML.Agent.AO
0351\090527\MsAccess.htm -> Trojan.VBS.Downloader.B

以上です。
224 名前：61 mailto:sage [2009/05/27(水) 23:37:38 ]: >>131,133
Kaspersky最終，未検出分４個は下記判定。
　bb021908.exe - Trojan.Win32.VB.psi
　SudoPlanet_setup.exe - 白
　readme.pdf - Trojan.JS.Agent.age
　load.php - Trojan.Win32.Inject.aazv

>131は、黒＝事前４＋事後３＝７，白＝１でclose.

>>223
ヒューリスティック検出は、ソフトが『怪しいの見つけた』と言っている段階なので、確証（シグネチャ）持ってないから
どのベンダーであっても積極的に出した方が良いです。（大体の場合、シグネチャができると、検出名が正式名称に置き換わります。）

私もヒューリスティック検出は優先して提出してます。（AVIRAもKasperskyも両方とも）
225 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/27(水) 23:44:30 ]: >>224
NortonもSudoPlanet_setup.exeだけは未だに検出せず
SymantecもSudoPlanet_setup.exeは白判定なのかな？
Nortonは事前１＋事後6で現時点では7個検出できます

＞私もヒューリスティック検出は優先して提出してます。（AVIRAもKasperskyも両方とも）

ベンダーによってはなかなかシグネチャに変わってくれないのもありますね・・・
SymantecとNOD32がそう
226 名前：61 mailto:sage [2009/05/28(木) 00:28:08 ]: >>225
マルウエァの判定はベンダーのポリシーに左右されるので何とも言えませんが、私としては黒とは言い切れない灰色、という感じです。
今ＶＴ死んでるので、VirScanで現状で下記。
　www.virscan.org/report/229798c034ab742bb4e5b0bf368769c5.html (8/38)

私の方でのダウンロード元の記録からすると、コイツは
　www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-042213-4659-99&tabid=2
の改変版だと思う（なんせ、そのページにあるそのサイトからダウンロードした）ので、評価項目の中にある

> このプログラムは Trojan.Skintrim のコピーをコンピュータに投下する可能性があります。

が気になります。　まあ、現状では“悪意のないAdware”という判断で黒にしていないのかもしれません。
227 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/28(木) 06:19:46 ]: >>8
｜●BitDefender
｜送付先１：
｜e-mail：support☆bitdefender.com
｜ttp://beta.bitdefender.com/site/KnowledgeBase/consumer/
｜Fight against malware → Improving Detection →What to do when BitDefender does not detect malware
｜
｜送付先２：
｜e-mail：virus_submission☆bitdefender.com（2MBまで？)
｜ttp://forum.bitdefender.com/index.php?showtopic=3066

5/27付のメールで、検体提出は、virus_submission☆bitdefender.com の方にしてくれというメールが届いたので
送付先１は抹消の方向でお願いします。＞次スレ立てる人
228 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/28(木) 10:18:27 ]: >>214
入手元から拾ってみました。

=== AntiVir Detection Name ===
flash05849.htm : HTML/IFrame.800 HTML script virus
Joewm.htm : JS/Dldr.Small.CR.2 Java script virus
Ms06014.htm : HTML/Rce.Gen HTML script virus
Ms08011.htm : - Not Detected -
Ms08053.htm : - Not Detected -
MsAccess.htm : HEUR/HTML.Malware suspicious code
play.htm : HTML/IFrame.800 HTML script virus
Real.htm : HTML/Shellcode.Gen HTML script virus
server.exe : TR/Crypt.ZPACK.Gen Trojan
229 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/28(木) 21:52:00 ]: >>214で提出したMsAccess.htmについてAvira回答

MsAccess.htm: JS/Dldr.Agent.ldy

提出1件なのでこれで終了です
230 名前：61 mailto:sage [2009/05/28(木) 22:01:18 ]: >>219
AVIRA　1個だけ解析の終わってなかった分が終了。
　setup(1).exe - DR/Agent.bab

これでclose.
231 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/28(木) 23:10:09 ]: カスペ2009　20:38

(1) 対象検体：>>183 (>>187.197)
9+事後検出1=10/12, 白2(1,5)でFA
Detected: Trojan.Win32.Obfuscated.afyc tane0349\Malware\a\install1.exe

(2) 対象検体：>>182(>>187)
追加検出１。やや遅れ気味。orz
32.exe - Trojan.Win32.VB.pzh
180+事後検出6+1=187/197 、白5, 回答待ち５

白：maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち：qvodsetupplus.exe, 　go.exe, 　read.php, 　xx(1).htm 　xx(2).htm

(3)> >205　2/2(>>208さんの報告の通り、Heur.Invader→シグネチャ)

(4) >>214 2/2 (VT通り）
232 名前：61 mailto:sage [2009/05/28(木) 23:38:38 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=352
　DL virus／解凍 virus

【中身】６個入っています。
1.exe
　www.virustotal.com/jp/analisis/a6cefd33ce872138d9194abf093d36043db1ec9b7d60430919fbe827d07b900d-1243518649 (17/40)
antivirus-pro.exe
　www.virustotal.com/jp/analisis/a5e6c22fa5c25a94ffd0a4a9ed09d6914f20f4f064c357a1ba96dd4748cfcc87-1243520543 (3/39)
file.exe
　www.virustotal.com/jp/analisis/ba005dfabbb2079a4577a68e89c70cd9c1facf30836b226f2c64e959301b040c-1243519483 (9/39)
fxtoolbar.exe
　www.virustotal.com/jp/analisis/9bfb5f16d0c50c38b618a9d85d52f4510111811e0883c088c38ecb366d72bc82-1243518387 (15/39)
softwarefortubeview.45044.exe
　www.virustotal.com/jp/analisis/1ece2ab0b32431b88416804c48fd0ae717d56288a9019b18a6edc2987badd8cf-1243517690 (4/40)
softwarefortubeview.45044-2.exe
　www.virustotal.com/jp/analisis/3794798f5eeb53dd71001e4454f006c871eb7c9085e1bf5336efa07b70d7b38d-1243519000 (4/36)
233 名前：61 mailto:sage [2009/05/28(木) 23:45:23 ]: >>232
AVIRA9 7.01.04.32
　1.exe - TR/Crypt.FKM.Gen
　antivirus-pro.exe - (UNDER ANALYSIS)
　file.exe - BDS/Small.UK
　fxtoolbar.exe - （黒，次回アップデートで対応）
　softwarefortubeview.45044.exe - TR/Crypt.ZPACK.Gen
　softwarefortubeview.45044-2.exe - TR/Crypt.ZPACK.Gen

Kaspersky 2009/05/28 22:33:00
　1.exe -
　antivirus-pro.exe -
　file.exe - Backdoor.Win32.Small.uk
　fxtoolbar.exe - not-a-virus:AdWare.Win32.Mostofate.j
　softwarefortubeview.45044.exe -
　softwarefortubeview.45044-2.exe -

AVIRAとKasperskyの未検出分は提出済み。
234 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/29(金) 00:07:46 ]: >>232乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
235 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/29(金) 00:41:32 ]: >>232
乙
Panda、avast!、BitDefender、ESETに提出完了
236 名前：61 mailto:sage [2009/05/29(金) 07:23:42 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=353
　DL virus／解凍 virus

【中身】７個入っています。
0.pdf
　www.virustotal.com/jp/analisis/400022caa022ab94ee215079411973157421444ccf05c117d3d2593e320265c0-1243523972 (14/39)
0.swf
　www.virustotal.com/jp/analisis/67ec13a5cd1c66e369782ee160435953ddade9b65de972d254f387b32f72f7a3-1243524204 (9/40)
install.exe
　www.virustotal.com/jp/analisis/419866ff2f2a9608a36db0fb8eaac61a8554548b33baaee327b35c1c74f51bd1-1243523186 (7/40)
install-2.exe
　www.virustotal.com/jp/analisis/d5659b06b9d943985dc40fe1464e8d1e2ef62c074ea32354dc4444ed4f9970f7-1243523726 (7/40)
install-3.exe
　www.virustotal.com/jp/analisis/ef13dc5af51776c1c74dce36a7fe71e86e308e984de84c5f82c4f000fa1bd746-1243525556 (6/40)
softwarefortubeview.40028.exe
　www.virustotal.com/jp/analisis/c4834bb3bbd252c063a077b9e849d0752db91aefc517c1ecb3f676aa1161aa3a-1243526161 (4/40)
softwarefortubeview.40028-2.exe
　www.virustotal.com/jp/analisis/64bc384bef2111aebcdcb81191a066f13368f2b716ed825960a14c1230713af5-1243526616(4/40)
237 名前：61 mailto:sage [2009/05/29(金) 07:28:27 ]: >>236
AVIRA9　7.01.04.32
　0.pdf - HEUR/HTML.Malware (EXP/Pidief.KK)
　0.swf - (SWF/Drop.Agent.E)
　install.exe - TR/Dropper.Gen
　install-2.exe - TR/Dropper.Gen
　install-3.exe - TR/Dropper.Gen
　softwarefortubeview.40028.exe - TR/Crypt.ZPACK.Gen
　softwarefortubeview.40028-2.exe - TR/Crypt.ZPACK.Gen

Kaspersky 2009/05/29 6:12:00
　0.pdf - Exploit.JS.Pdfka.kj
　0.swf - Exploit.SWF.Agent.ar
　install.exe -
　install-2.exe -
　install-3.exe -
　softwarefortubeview.40028.exe - Trojan-Downloader.Win32.FraudLoad.emq
　softwarefortubeview.40028-2.exe - Trojan-Downloader.Win32.FraudLoad.emq

AVIRAとKasperskyの未検出分は提出済み。
238 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/29(金) 07:36:39 ]: >>236

乙
SymantecとPandaへ提出完了
239 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/29(金) 07:39:40 ]: ちなみにNortonの検出数は7/8でした
240 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/29(金) 07:40:11 ]: ｽﾏｿ、6/7だったorz
241 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/29(金) 13:14:05 ]: >>232,>>236
各社に提出完了。

とうとうキングソフトからも出しすぎだこいつ…と目を付けられたらしく、新種でなかったら回答なしねってメールきたｗ
242 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/29(金) 13:35:55 ]: カスペ2009 12:34:00 事後対応状況

>>232 (tane0352) ㌧
2+3=5/6、回答待ち1 (antivirus-pro.exe)
Detected　　Trojan program Trojan.Win32.Agent.cjoh　　　1.exe
Detected　　Trojan program Trojan-Downloader.Win32.FraudLoad.emq　　　　softwarefortubeview.40028.exe　　　, softwarefortubeview.40028-2.exe　　　

>>237 (tane0353) ㌧
4+3=7/7でFA
Detected　　Trojan program Trojan-Dropper.Win32.FrauDrop.bm　　　install-2.exe, 　　nstall-3.exe,　　 install.exe
243 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/29(金) 19:59:00 ]: 対象検体：>>166(>182,187,231)

180+事後検出8=188/197 、白6, 回答待ち3

qvodsetupplus.exe - Trojan-Dropper.Win32.Agent.arvb

白：maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm, go.exe,
回答待ち：read.php, 　xx(1).htm 　xx(2).htm
244 名前：243 mailto:sage [2009/05/29(金) 19:59:48 ]: >>243
カスペからの返事だった。
245 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/29(金) 22:43:22 ]: Rising 2009 21.40.40 (21.31.40.00)
>>232 >>236
スルー
検体は今朝提出済み
246 名前：61 mailto:sage [2009/05/29(金) 23:23:31 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=354
　DL virus／解凍 virus

【中身】９個入っています。
file.exe
　www.virustotal.com/jp/analisis/408be6d7b34f3abf3d66ea9cd00fc04110985a15a0eb9b92bdcbbaa2f2831a07-1243604054 (12/40)
file1.exe
　www.virustotal.com/jp/analisis/a997c0f537a79555511a147bc8aed565456ae47bf27740a659fe892e06036d5a-1243602162 (16/40)
install.exe
　www.virustotal.com/jp/analisis/2a72656142e364e2271abcd03ddafc8d3706d367775f65587504247557f0a939-1243600666 (14/40)
Install_2009-1.exe
　www.virustotal.com/jp/analisis/9cf8f101ad4fe8be9d944151290771287a839420eb426333a8ef528db4dd745e-1243603528 (2/40)
install-1384.exe
　www.virustotal.com/jp/analisis/942456c2dc090238c8ebf246ea360c506636d914d0eaa3820d1c64a39a8fe029-1243605299 (9/40)
install2.exe
　www.virustotal.com/jp/analisis/4edfd8099b4d48848bc9aed5130ead886ae8cbf2d44dd5c7b8db4b43805ff601-1243605639 (6/39)
installer_70100.exe
　www.virustotal.com/jp/analisis/274aa8c847a1d6878051176bc00d4bf9be077d7df17aef1fb18e6ab4e6c064b1-1243606162 (17/40)
kkb.exe
　www.virustotal.com/jp/analisis/408b1f5bc398ed87b5646657312b651100300b6ddaa0515e2ecd71522c5759b4-1243603071 (10/39)
setup.exe
　www.virustotal.com/jp/analisis/aec2c0dd81d36680c722b4b35488e6dd2e491b3cbcb99195df92f76731d65598-1243601099 (17/39)
247 名前：61 mailto:sage [2009/05/29(金) 23:30:45 ]: >>246
AVIRA9　7.01.04.37
　file.exe - (TR/Agent.fxa)
　file1.exe - TR/Crypt.ZPACK.Gen
　install.exe - (UNDER ANALYSIS)
　Install_2009-1.exe - (UNDER ANALYSIS)
　install-1384.exe - SPR/Fraud.PrivC.2
　install2.exe - TR/Dropper.Gen
　installer_70100.exe - TR/Dldr.Renos.bao.1
　kkb.exe - TR/Crypt.CFI.Gen
　setup.exe - TR/Dldr.FraudLoad.emr

検出＝６，データベース更新待ち＝１，解析中＝２

AVIRA 未検出分は提出済み。
248 名前：61 mailto:sage [2009/05/29(金) 23:36:21 ]: >>246
Kaspersky 2009/05/29 22:03:00
　file.exe -
　file1.exe - Trojan-Spy.Win32.Zbot.gen
　install.exe -
　Install_2009-1.exe - Packed.Win32.PolyCrypt.d
　install-1384.exe -
　install2.exe -
　installer_70100.exe - not-a-virus:FraudTool.Win32.AntivirusPlus.hh
　kkb.exe -
　setup.exe - Trojan-Downloader.Win32.FraudLoad.emr

検出＝４，未検出＝５，未検出分は提出済み
249 名前：61 mailto:sage [2009/05/29(金) 23:48:41 ]: >>233
AVIRA未検出分解答
　antivirus-pro.exe - 白
　fxtoolbar.exe - DR/Eztracks.vjf

Kaspersky未検出分（解答無いけど検出状況），>242さんの通り。
　1.exe - Trojan.Win32.Agent.cjoh
　antivirus-pro.exe - 白？検出しない
　softwarefortubeview.45044.exe - Trojan-Downloader.Win32.FraudLoad.emq
　softwarefortubeview.45044-2.exe - Trojan-Downloader.Win32.FraudLoad.emq

む、antivirus-pro.exeは FakeAVと思ったのですが白でしたか．．．

>>236
AVIRAは検出できるようになってます。

Kasperskyは >242さんの通り。乙です。　ではﾉｼ
250 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/29(金) 23:57:37 ]: >>246
Rising 2009
file1.exe: Backdoor.Win32.Ntos.bv
1/9
検体提出中
251 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/30(土) 00:41:13 ]: >>246
McAfee (Active Protection 無効)6/9
未検出分（install2,Install_2009-1,kkb）をMcAfeeに提出させて頂きました。
252 名前：61 mailto:sage [2009/05/30(土) 09:47:29 ]: >>248
Kaspersky 2009/05/30 7:53:00 未検出５個分確認 - 黒４追加
　file.exe - Packed.Win32.Tdss.m
　install.exe - Packed.Win32.Tdss.m
　install-1384.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.cz
　install2.exe - Trojan-Downloader.Win32.FraudLoad.emu
　kkb.exe -

kkb.exe VT現状
www.virustotal.com/jp/analisis/408b1f5bc398ed87b5646657312b651100300b6ddaa0515e2ecd71522c5759b4-1243643864 (13/40) +3

数日前からVTが過負荷でおかしくなってきてます。ファイル連投によるDoS攻撃？　統計情報見ても未感染ファイル率が高いし．．．
www.virustotal.com/jp/estadisticas.html

>246に記載したVTの解析結果は全部ロストされたので、検体が全ベンダーに渡っていない可能性がありますからご注意下さい。
253 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/30(土) 13:54:23 ]: >>236乙
>>246乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
254 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/30(土) 16:55:17 ]: >>246
kingsoft 2009.5.29.18
全スルー
提出済みです
255 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/30(土) 17:04:40 ]: お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-28
* F-Secure Hydra: 3.08.9080, 2009-05-28
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09

>>196の続報
[検出結果：9/10]
[追加]
0347\1.exe -> Trojan.Generic.CJ.K [検疫可]
0347\install2.exe -> Gen:Trojan.Heur.TDSS.20708FCFCF [検疫可]
0347\install3.exe -> Gen:Trojan.Heur.TDSS.20708FCFCF [検疫可]
0347\ldr.exe -> Trojan.Generic.CJ.BJ [検疫可]
0347\load.php Trojan.Generic.CJ.AA-> [検疫可]
0347\load3.php -> Trojan.Generic.CJ.X [検疫可]
0347\m.dll -> Trojan.Generic.CJ.DH [検疫可]
0347\load2.php -> Trojan.Generic.CJ.CA [検疫可]
0347\softwarefortubeview.45013.exe -> Trojan.Downloader.FakeAV.BZ [検疫可]
[白判定]
0347\load2.exe (Gen:Trojan.Heur.Hype.2014EBEBEB)

[残件]
0345:1件(readme.pdf)
0347:1件(access.exe)
256 名前：242 mailto:sage [2009/05/30(土) 17:07:46 ]: カスペからの返事
対象検体：>>232 (>>233,242,249)(tane0352)

2+3=5/6、白1 (antivirus-pro.exe) でFA

Hello,

antivirus-pro.exe_

No malicious software was found in the attached file.

白確定
257 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/30(土) 18:00:30 ]: お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-28
* F-Secure Hydra: 3.08.9080, 2009-05-28
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09

>>232
[検出結果:2/6]
0352\1.exe -> Gen:Trojan.Heur.3065153434 [検疫可]
0352\file.exe -> Trojan.Generic.CJ.HM [検疫可]

>>236
[検出結果:2/7]
0353\0.pdf -> Exploit.PDF-JS.Gen [検疫可]
0353\0.swf -> Exploit.SWF.Gen [検疫可]

>>246
[検出結果:6/9]
0354\file.exe -> Gen:Trojan.Heur.Hype.1040BFBFB [検疫可]
0354\install.exe -> Gen:Trojan.Heur.Hype.20708F8F8 [検疫可]
0354\file1.exe -> Trojan.Spy.Zbot.SO [検疫可]
0354\installer_70100.exe -> Gen:Trojan.Heur.8202FDA8D9 [検疫可]
0354\setup.exe -> Gen:Trojan.Heur.8202FDA8D9 [検疫可]
0354\kkb.exe -> Gen:Trojan.Heur.B000FFEA6B [検疫可]

それぞれ、未検出分をSASへ登録しました。
258 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/30(土) 18:04:45 ]: FISTPのクラウド機能で検体集めたものがそのままBitDefenderに流れてくれるのか？というのが興味深いけど試す環境がないので止めときます・・・
あとBitDefender自体にもクラウドベースをやるみたいだから上記のF-Secureのクラウド機能との相乗効果に期待したい
259 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/30(土) 18:29:14 ]: >>246
Pandaへ検体提出完了
260 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/30(土) 22:42:33 ]: 対象検体：>>246

>>248,252 ㌧

kkb.exe_

No malicious code was found in this file.

4+事後検出4=8/9, 白1(kkb.exe)でFA
261 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 01:37:47 ]: >>247
AVIRAさんへ

"Tr/Crypt.***.Gen" … パッカー検知（トレンドマイクロのPacker.Generic.***などに相当）なども余力があるなら、ベンダーへ提出希望。
確かに、「Crypt」は、亜種の可能性が高いが、パッカー形式だけで判定してコードを全く解析していないので、白黒の判断基準としてあまりにも弱い。

※encrypted…パッカーによって暗号化された、難読化された
262 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 04:16:01 ]: F-Secure SASからの返信のうち6通くらいが↓だった。
(前略)
>Unfortunately we were unable to locate your email address from our list of registered customer addresses.
>
>If you are customer of ours, please reply back to this address and provide a detailed description of the problem.
>
>If you're not our customer, thank you again for your sample submission.
>In the future, you can also submit samples to us using the "vsamples@f-secure.com" e-mail address.
>Samples that are sent to this address will be added to our sample collection automatically.
>Please note that e-mails that are sent to this address will not get a reply.

体験版を使っている。購入者じゃないとSAS使えないの？vsamples@f-secure.comに出すと返事来ないのは何故？
といった感じの質問を送ったところ、以下の返事がきた。

>Hello,
>SAS is usable but we prefer it to be used when there is an active malware
>on the system and the client needs urgent help. For larger and frequent submissions
>we'd prefer the vsamples@f-secure.com since it won't raise the priority of the
>samples automatically, thus helping us serve the clients that have an acute need better.
>
>Please submit the files to vsamples@f-secure.com. We will receive them and we
>will generate detections for them in due time.

基本的に vsamples@f-secure.com に送り、情報が必要な時だけSASを使うようにしたほうがいいのかしら
263 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 04:42:48 ]: パターンファイルのバージョン:
　・ウィルス: 2009-05-30_01
　・スパイウェア: 2009-05-29_11
スキャンエンジン:
　・F-Secure AVP: 7.00.171, 2009-05-29
　・F-Secure Hydra: 3.08.9080, 2009-05-30

>>131,>>199
[7/8:白(1)]　追加+4
\bb021908.exe\dpcxool64.sys　:　Trojan.Win32.VB.psi
\bb021908.exe\spopdkc.exe　:　Trojan.Win32.Delf.mso
\bb021908.exe\tpsaxyd.exe　:　Trojan.Win32.Delf.mso
readme.pdf　:　Trojan.JS.Agent.age

白判定　:　SudoPlanet_setup.exe

>>139,>>200
[8/8]　追加+2
install.exe　:　Trojan-Downloader.Win32.FraudLoad.eln
pdf.pdf　:　Exploit.Win32.Pidief.avw

>>151,>>201
[26/27]　追加+19
1.exe　:　Trojan:W32/Agent.KPJ
e98m.pdf　:　Exploit.Win32.Pidief.awp
EXP_pdf.pdf　:　Exploit.Win32.Pidief.awf
file.exe　:　Worm.Win32.AutoRun.ajoi
file2.exe　:　Trojan-Spy.Win32.Zbot.uty
install2.exe　:　Trojan:W32/InternetAntivirus.AV
install3.exe　:　Trojan:W32/InternetAntivirus.AW
（続く）
264 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 04:44:25 ]: F-Secure Internet Security 2009
>>263続き
Install_11-1.exe　:　Rogue:W32/XPAntivirus.GQA
ldr.exe　:　Trojan:W32/Zbot.OTV
load.php　:　Trojan:W32/Agent.KPI
load2.exe　:　Email-Worm.Win32.Joleee.bot
load2.php　:　Trojan-Downloader:W32/Bredolab.G
load3.php　:　Trojan-Downloader:W32/Bredolab.F
m.dll　:　Trojan:W32/FakeAlert.FJ
pdf.php　:　Exploit.Win32.Pidief.awe
softwarefortubeview.45013.exe　:　Trojan:W32/Agent.KPK
spl.php　:　Exploit.Win32.Pidief.awo
spl2.php　:　Exploit.Win32.Pidief.awn
sta.exe　:　Trojan.Win32.Obfuscated.afvj

未回答　:　access.exe

>>166,>>202
[187/336]　追加+32
白判定　:　go.exe, maya4.0.exe
未検出、未回答　:　read.php, u89(1).exe, u89.exe, xx(1).htm, xx(2).htm, xx(3).htm
265 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 04:52:26 ]: F-Secure Internet Security 2009 定義>>263
>>183,>>203
[11/12]　追加+7
\1\rensuz.exe　:　Trojan:W32/BHO.EXG
\3\file.exe.exe　:　Trojan-Downloader:W32/Bredolab.F
\4\dfff.prod.exe　:　Trojan-Downloader.Win32.Agent.cajp
\7\file.exe　:　Trojan-Spy.Win32.Zbot.uty
\8\bot.exe　:　Trojan-Spy.Win32.Zbot.uyu
\9\load.exe　:　ail-Worm.Win32.Joleee.bpc
\a\install1.exe　:　Trojan:W32/Agent.KQC
\b\malay.exe　:　Trojan.Win32.BHO.tbl

未検出、未回答　:　\5\setup.exe
266 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 05:21:25 ]: F-Secure Internet Security 2009 定義>>263
>>214
[2/2]
\090527\joewn.htm　:　Exploit.JS.Agent.aev
\090527\MsAccess.htm　:　Trojan-Downloader.JS.Agent.dwa

>>232
[5/6]
1.exe　:　Trojan.Win32.Agent.cjoh
file.exe　:　Backdoor.Win32.Small.uk
fxtoolbar.exe　:　AdWare.Win32.Mostofate
softwarefortubeview.45044-2.exe　:　Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.45044.exe　:　Trojan-Downloader.Win32.FraudLoad.emq

未検出　:　antivirus-pro.exe

>>236
[7/7]
0.pdf　:　Exploit:JS/Pidief.ET
0.swf　:　Trojan-Downloader:W32/Swif.F
install.exe　:　Trojan-Dropper.Win32.FrauDrop.bm
install-2.exe　:　Trojan-Dropper.Win32.FrauDrop.bm
install-3.exe　:　Trojan-Dropper.Win32.FrauDrop.bm
softwarefortubeview.40028.exe　:　Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.40028-2.exe　:　Trojan-Downloader.Win32.FraudLoad.emq
267 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 05:40:21 ]: F-Secure Internet Security 2009 定義>>263

>>246
[4/9]
file1.exe　:　Trojan-Spy.Win32.Zbot.gen
Install_2009-1.exe　:　Packed.Win32.PolyCrypt.d
installer_70100.exe　:　Trojan-Downloader:W32/Renos.gen!J
setup.exe　:　Trojan-Downloader:W32/Renos.gen!J

未検出　:　file.exe, install.exe, install-1384.exe, install2.exe, kkb.exe

>>252
VirusTotal検出するのに検出しないとは、と思ったら。
www.f-secure.co.jp/v-descs/v-descs3/Suspicious_W32_MalwareGemini.htm
www.f-secure.com/v-descs/suspicious_w32_malware!gemini.shtml
DeepGuardが有効なら、システムアクセスが拒否され、起動がブロックされる。
268 名前：61 mailto:sage [2009/05/31(日) 12:09:30 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=355
　DL virus／解凍 virus

【中身】３個入っています。
FakeText_Filekiller.exe
　www.virustotal.com/jp/analisis/74ac63f8be7d9eece4c6d46c4c14d5db99be1abb4a6d205a990f17c7f41572d5-1243669540 (8/40)
load.php
　www.virustotal.com/jp/analisis/e51515a30bb1c6ad7b344c0096afca73a949d3f0e3ecbf9f03ab0479780bb0a5-1243670266 (10/40) - VT側ロスト
registr.exe
　www.virustotal.com/jp/analisis/b0494be1eb6fab21a112794b2a457a28f7a4d7774e27d3620e5af12502e89035-1243670459 (18/40)

AVIRAとKasperskyに未検出分を提出済み

なお、ただ今またも全鯖規制巻き込まれ中に付き、しばらく書き込めません。
>261さんの件は後日返事いたします。
269 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 14:19:48 ]: >>268
各社一通り提出完了。
270 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 14:44:38 ]: >>268
カスペ
FakeText_Filekiller.exe_ - Trojan.Win32.KillFiles.arp
New malicious software

load.php - Trojan-Downloader.Win32.Small.akzq,
registr.exe_ - Trojan.Win32.Rabbit.bz
These files are already detected.
271 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 14:49:09 ]: >>268
McAfee
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
faketext_filekiller.|inconclusive | | |no
load.php |new detection |generic.dx!dt |Trojan |yes
registr.exe |new detection |generic downloader.x!ch |Trojan |yes

Symantec
filename: FakeText_Filekiller.exe
result: See the developer notes -> 手動解析へ

filename: registr.exe
result: This file is detected as Trojan Horse. www.symantec.com/avcenter/venc/data/trojan.horse.html

filename: load.php
result: This file is detected as Downloader. www.symantec.com/avcenter/venc/data/downloader.html
272 名前：こなた ◆KONATAzZoM mailto:sage [2009/05/31(日) 17:35:58 ]: お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-29
* F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09

>>268
[検出結果：0/3]
SASへ登録しました。
SASでの検出は以下のとおりです。
------------------------------------------------------------
0355\FakeText_Filekiller.exe：W32/Malware
0355\load.php：[SUSPICIOUS] NO DETECTION
0355\registr.exe：Trojan.Win32.Rabbit.bz
------------------------------------------------------------
VTと同じですね…。load.phpだけアヤシイですが。
273 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 19:26:41 ]: >>246　Symantec返答。
install-1384.exeをばらした、agent.exeとpc.exeも入れたのでファイルの個数が２個増えてます。
中身は検知するけど、外側の方は手動解析なんですねぇ。

filename: install.exe
result: This file is detected as Packed.Generic.200.

filename: agent.exe
filename: pc.exe
result: This file is detected as PrivacyCenter.

filename: setup.exe
result: This file is detected as AntiVirus2008.

filename: installer_70100.exe
result: This file is detected as XPAntivirus.

filename: Install_2009-1.exe
result: This file is detected as Downloader.Misleadapp.

filename: file.exe
result: This file is detected as Packed.Generic.200.

filename: install2.exe
filename: kkb.exe
filename: file1.exe
filename: install-1384.exe
result: See the developer notes

filename: JS_Gamburl.gen!A.7z（おまけで送ったGENOの呼び出しhtmlセット）
result: See the developer notes
274 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 19:45:33 ]: >>268
トレンドマイクロ返答

We are glad to inform you that the detection for TSPY_AGENT.ASH is now available for
downloading using CPR 6.158.33.

１つしか名前来てないので、他のが既知なのか、これから対応なのかは不明ですが…。
275 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 19:59:22 ]: >>273
file1.exe
install-1384.exe
は既に検知済みになってます
276 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/05/31(日) 21:17:32 ]: Rising 2009 21.40.63 (21.31.63.00)
>>61
softwarefortubeview.40000.exe: Trojan.DL.Win32.Undef.epl
2+1=3/4
>>96
install2.exe: Trojan.Win32.FakeAV.oh
5+1=6/8
>>151
install.exe: Trojan.Win32.FakeAV.oh
7+1=8/27
>>232
1.exe>>Aspack212r: Trojan.PSW.Win32.QQPass.ejf
softwarefortubeview.45044-2.exe: AdWare.Win32.Undef.ewm
softwarefortubeview.45044.exe: AdWare.Win32.Undef.ewm
3/6
>>236
install-2.exe: Trojan.Win32.FakeAV.oh
install-3.exe: Trojan.Win32.FakeAV.oh
install.exe: Trojan.Win32.FakeAV.oh
softwarefortubeview.40028-2.exe: AdWare.Win32.Undef.ewm
softwarefortubeview.40028.exe: AdWare.Win32.Undef.ewm
5/7
>>246
install2.exe: Trojan.Win32.FakeAV.oh
1+1=2/9
>>268
スルー
277 名前：61 mailto:sage [2009/06/01(月) 00:59:06 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=356
　DL virus／解凍 virus

【中身】　１５個入っています。
AVIRAとKasperskyに未検出分を提出済み。偽codecの未検出ベンダーが多いので全部入れたため、ファイルが大きいです。

書き込み代行を依頼しているので、詳細省略します。スミマセン。
（行数制限に引っかかると、転載しれくれる人の迷惑になってしまうので）
278 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 02:17:35 ]: Rising 2009 21.40.64 (21.31.64.00)
>>277
install.exe: Trojan.Win32.FakeAV.oh
install2.exe: Trojan.Win32.FakeAV.oh
検体提出完了(大きいのはバイナリがほぼ同じだったので2つだけ提出)
279 名前：こなた ◆KONATAzZoM mailto:sage [2009/06/01(月) 04:36:02 ]: お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-29
* F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09

>>277
[検出結果：3/16]
tane0356\193.pdf -> Exploit.PDF-JS.Gen [検疫可]
tane0356\212.pdf -> Exploit.PDF-JS.Gen [検疫可]
tane0356\softwarefortubeview.45052.exe -> Gen:Trojan.Heur.Dropper.50629D9D9D [検疫可]

未検出分を2回に分けてSASへ登録しました。
280 名前：こなた ◆KONATAzZoM mailto:sage [2009/06/01(月) 04:40:23 ]: (>>279の続き)
以下、SASにてSUSPICIOUS判定となったものです。
下記以外は全部 NO DETECTION でした。
/dating.exe
/Fake_mpeg.mpg
/Fake_mpeg.mpg/agent.exe
/Fake_mpeg.mpg/pc.exe
/flash_player_v11.exe/agent.exe
/free_stream_video.exe
/install.exe
/install2.exe
/softwarefortubeview_45019.exe
/softwarefortubeview.45052-2.exe
/star.exe
/flash_player_plugin.exe
/flash_player.exe
/flash_player.exe/agent.exe
そして今からおやすみなさいです…
絶対に寝坊する…絶対に…
281 名前：こなた ◆KONATAzZoM mailto:sage [2009/06/01(月) 04:47:52 ]: >>277
どうせなら、検体と一緒に詳細情報を同梱してくれればよかったのでは？
チェックしてる人が気づいて書き込んでくれたりとか、ベンダーへの提出時の参考資料にもなるし…
…と今更ながら思ってみたり……

では、おやすみなさい…です。
282 名前：278 mailto:sage [2009/06/01(月) 05:20:52 ]: ああ、exeを解凍した中身が同じだったんすね
283 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 06:19:06 ]: >>277
McAfee (Active Protection 無効)10/15
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
212.pdf |inconclusive | | |no
dating.exe |inconclusive | | |no
setup.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no
star.exe |new detection |backdoor-cep.svr |Trojan |yes
284 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 08:30:48 ]: king 2009.05.31.21
未検出分は提出しました

>>268
0355\registr.exe - Win32.Troj.Rabbit.bz.20991
>>277
0356\softwarefortubeview_45019.exe - Win32.TrojDownloader.CodecPack.115766
0356\softwarefortubeview.45052-2.exe -Win32.TrojDownloader.CodecPack.115766
285 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 11:34:00 ]: FISTPのSASって何？
どういうシステム？
286 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 11:38:14 ]: >>277
（NormanとZonerは面倒くさいので後回しですが）、他は一通り各社に提出完了。
287 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 14:46:06 ]: >>277 提出含め㌧

カスペ2009 13:54
（検体提出より時間がたっているため参考）
14/15、未検出1 (dating.exe)

Detected Trojan program Exploit.Win32.Pidief.axb 　　/193.pdf
Detected Trojan program Exploit.Win32.Pidief.axp 　　/212.pdf
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.cz 　　/Fake_mpeg.mpg
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dc 　　/flash_player.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dd 　　/flash_player_plugin.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dd 　　/flash_player_v11.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.da 　　/free_stream_video.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bo 　　/install.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bo 　　/install2.exe
Detected Trojan program Trojan.RAR.Qhost.e 　　/setup.exe
Detected Trojan program Trojan-GameThief.Win32.Magania.beur 　　/softwarefortubeview.45052.exe
Detected Trojan program Trojan-Downloader.Win32.CodecPack.hyi 　　/softwarefortubeview.45052-2.exe
Detected Trojan program Trojan-Downloader.Win32.CodecPack.hyi 　　/softwarefortubeview_45019.exe
Detected Trojan program Backdoor.Win32.Bifrose.fpc 　　/star.exe
288 名前：287 mailto:sage [2009/06/01(月) 16:03:16 ]: >>277
カスペからの返事

dating.exe

No malicious code was found in this file.

14/15でclose
289 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 21:07:56 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=357
infected

検体入手元
www■redro-stonean■com/mpg.rar
(www■redro-stonean■com/mpg.rar//mpg.scr//data0002//にも
　アクセスしてましたがこちらは不明・・・)

mpg.rar (28/39)
www.virustotal.com/jp/analisis/89df9122c2f0803a78943ef3c9046d78fcb3dce04228af71beb2517010e647b6-1243856119

>>214と同一系統ですがスクリプトではなくrarファイルです。
検出数はヒューリスティックによるものが多そうでした。
avira提出済み。
290 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 21:16:36 BE:463870027-2BP(0)]: pc11.2ch.net/test/read.cgi/sec/1243346768/560,575

tane.sakuratan.com/upload/upload.cgi?mode=dl&file=358 dlkey: zSAdcfsd
291 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 22:03:07 ]: >>289
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
mpg.scr |inconclusive | | |no

>>290
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
banner.gif.bin |inconclusive | | |no
loader.html |inconclusive | | |no
winqwl32.dll |inconclusive | | |no
292 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 22:18:48 ]: Rising Antivirus Free Edition 2009 21.41.03 (21.32.03.00)
前スレ>713 (tane0302)
id3_20090504.swf: Hack.Exploit.Win32.Swf.b
id10_200905004.exe: Trojan.Spy.Win32.Undef.ik
2/2
前スレ>775 (tane0310)
89238632.zip>>mm.exe: Suspicious: Packer.Win32.UnkPacker.b → Trojan.PSW.Win32.Undef.bex
mm.exe: Suspicious: Packer.Win32.UnkPacker.b → Trojan.PSW.Win32.Undef.bex
3(+2)→3+2=5/6
>>139
install.exe: Trojan.Spy.Win32.Undef.it
Install_2019.exe: AdWare.Win32.FakeAV.cu
3+2=5/8
>>151
e98m.pdf: Hack.Exploit.Win32.PDF.jtd
file2.exe: Trojan.Spy.Win32.Undef.im
Install_11-1.exe: AdWare.Win32.FakeAV.ct
load2.exe: Trojan.Spy.Win32.Undef.io
load2.php: Trojan.Spy.Win32.Undef.iq
load.php: Trojan.Spy.Win32.FakeMS.k
loadhelp.exe: Trojan.Spy.Win32.Undef.ir
readme.pdf: Hack.Exploit.Win32.PDF.jte
spl2.php: Hack.Exploit.Win32.PDF.jtc
spl.php: Hack.Exploit.Win32.PDF.jtb
sta.exe: Trojan.Spy.Win32.Undef.ip
z.exe: Trojan.Spy.Win32.Undef.is
8+12=20/27
293 名前：292 mailto:sage [2009/06/01(月) 22:20:27 ]: Rising 2009
>>183
7\file.exe: Trojan.Spy.Win32.Undef.im
1+1=2/12
>>246
install.exe: Trojan.Win32.Nodef.jrb
2+1=3/9
>>268
load.php: Trojan.Spy.Win32.Agent.etg
1/3
>>277
dating.exe: Trojan.Win32.Nodef.jre
2+1=3/15
>>289
mpg.zip>>mpg.rar>>mpg.scr>>ftp18.exe: Backdoor.Win32.PcClient.ueb
1/1
(RIS試用版からRAVフリー版に乗り換えました)
294 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 22:20:55 ]: カスペ2009 21:58:00
>>290
㌧
Detected Trojan program Backdoor.Win32.PcClient.aodb 　　tane0357.zip/mpg.zip/mpg.rar/mpg.scr

>>291 （※解凍P/W "infected")
㌧
1/3
Detected virus HEUR:Exploit.Script.Generic tane0358.rar/loader.html

検体提出します。
295 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 22:31:50 ]: Rising 2009 21.41.04 (21.32.04.00)
>>290
スルー
提出完了
296 名前：こなた ◆KONATAzZoM mailto:sage [2009/06/01(月) 22:57:24 ]: お疲れ様です。
F-Secureより回答がありましたので報告します。

>>232 回答：06/01 07:10 (JST)
>>236 回答：06/01 05:58 (JST)
>>246 回答：06/01 06:17 (JST)
>>277 回答：06/01 05:35 (JST) & 05:59 (JST)

すべて同回答です。
> Hello,
> Thank you for your e-mail.
> The files you sent was found to be malicious. An appropriate detection will be added
> in one of the next database updates.

現在のところDBが更新されていないため、再確認は保留しています。

>>285
SAS:Sample Analysis System
ISTPでもIS2009でも一緒です。詳しいことはF-Secureスレでお願いします。
297 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/01(月) 23:18:07 BE:331335825-2BP(0)]: >>290 の続き司令ファイルが取れたので、目視で落としてみた
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=359
pr, prx は古い。らしい。たぶんgt が本命。発動条件とかは不明。
298 名前：こなた ◆KONATAzZoM mailto:sage [2009/06/02(火) 00:14:48 ]: お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
* F-Secure Aquarius: 11.00.00, 2009-05-29
* F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
* Virus: 2009-05-29_09
* SpyWare: 2009-05-29_09

>>290
[検出結果：0/3]
>>293
[検出結果：2/3]
0359\pr.bin -> Trojan.Generic.468831 [検疫可]
0359\prx.bin -> BehavesLike:Trojan.FirewallBypass [検疫可]
本命(?)のgtは検出されず…
怪しいので丸ごとすべてSASへ登録しました。

SASでの自動判定では、下記以外はNOT DETECTED
0358.rar/banner.gif.bin -> SUSPICIOUS
0358.rar/winqwl32.dll -> SUSPICIOUS
0359.rar/pr.bin -> Trojan-PSW.Win32.LdPinch.aawc : F-Secure Engine
0359.rar/prx.bin -> Trojan-PSW.Win32.LdPinch.abip : F-Secure Engine

以上です。
お休みなさいませ…
299 名前：294 mailto:sage [2009/06/02(火) 00:28:25 ]: カスペからの返事
>>291
1+1=2/3、回答待ち1

loader.html_ - Trojan-Downloader.JS.Psyme.aoc (←HEUR:Exploit.Script.Generic）
banner.gif.bin - Trojan.Win32.Agent.ckio

New malicious software was found in this file.

>>297 ㌧
カスペ2009 22:57
2/3

Detected Trojan program Trojan-PSW.Win32.LdPinch.aawc 　　pr.bin
Detected Trojan program Trojan-PSW.Win32.LdPinch.abip 　　prx.bin

検体提出します。

dlkey: zSAdcfsd
DLパスワードは"virus"とか"infected"とかわかりやすいのにしてほしい。お願い。
300 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/02(火) 05:20:31 ]: >>297
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gt.bin |inconclusive | | |no
pr.bin |current detection |pws-ldpinch |Trojan |no
prx.bin |inconclusive | | |no
301 名前：61 mailto:sage [2009/06/02(火) 21:17:45 ]: >>261
さて、規制解除されたのでレス返し。

AVIRAですが、過去にはGenもチョコチョコ提出していたのですが、Genで検出できるものは、その後名前が変わることは
ほとんど無いようです。（つまり、GenはずっとGenのままらしい。というか、名前が変わった例が記憶にない。）

AVIRAは、Genで検出できるものはGen任せにしておいて、未検出の新種対応を優先している感じがしますね。
AVIRAにとってはGenで検出＝Genシグネチャの優秀性の実証、というレベルではないかと。
多分、Genの場合、普通とは逆に誤検出をホワイトリストに入れていく方式を取っているのではないかと予想しています。

# そういう意味では、XPACKやZPACKのGenが一番非道い気もする。（w

なんで、AVIRAの場合、Genであることを気にするとキリが無いので流した方が良いです。経験上、提出しても名前変わりませんし。

あと、私が提出しているものは、AVIRAで検出＝マルウェアという扱いではなく、マルウェア候補のリストから検体確保
→ VirustotalとAVIRAとKasperskyでチェック → スレ提出なので、AVIRAの判断で白黒決めているわけではないです。
　　（AVIRAもKasperskyもスルーでも、VTの結果をもとに提出していることも多いです。）

【おまけ】
ROMの人で、ここで検出されているのに手元のAVIRAが検出しないことがある場合、メニューのConfigrationを開いて、
Expert ModeのチェックボックスをOnにした後、
　ScannerのScanで
　　　FilesをALL filesに変更
　　Additional settingsでSearch for Rootkits before scanをチェック
　Generalで出てくる検出カテゴリーのボックスで、検出して欲しいものにチェック
　　　特にSPR（セキュリティプライバシーリスク）は必ずチェックを入れる。
　　　（SPRで検出する偽Antivirusや偽codec等がたまにあるので、チェックしておかないと見落とし出ます。）
302 名前：61 mailto:sage [2009/06/02(火) 21:43:57 ]: >>278
>277に同じようなものが全部入っている理由は、それぞれ違う方法で改変されているらしく、Kasperskyでも検出したりしなかったり、
検出名が変わっていたりしたためです。　なんで、全部出しておいて、できれば各ベンダーに判断してもらった方が良いかな、と。

>>281
最初は詳細情報のテキストを同梱しようかと思ったのですが、それをやると>268のような偽テキストのマルウェアが入った場合に
開く人が出る可能性があったので、止めました。

ということで、私のプロパイダ、全鯖規制は数日で解除されることが多いので、今回はシベリア郵便局経由で書き込み代行してもらいました。
# 配達員の方ありがとう。

>>288
dating.exeですが、Kasperskyの判断、白→黒にひっくり返りました。現在はTrojan.Win32.Rabbit.czとして検出します。　一応報告。
303 名前：61 mailto:sage [2009/06/02(火) 23:59:44 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=360
　DL virus／解凍 virus

【中身】　１６個入っています。
304 名前：61 mailto:sage [2009/06/03(水) 00:07:03 ]: >>303
インフォメーション（１／２）

find26.exe
　www.virustotal.com/jp/analisis/5ef1a85565154678edccb138025dd01176b41703d372bd727629e354814d3cd1-1243954219 (21/39)
free_trial_version.exe
　www.virustotal.com/jp/analisis/cb60bd34ff9685a06c5034883d747da4aa60a83b26f1bc49315b90a83c7d5be3-1243953979 (16/40)
ii.pdf
　www.virustotal.com/jp/analisis/ff1278c37a2e8c84ee5e778514a5c7de77d23b07959442f16c14d857cac2031e-1243953476 (16/39)
index.php
　www.virustotal.com/jp/analisis/9521d4e3385239b08afa6365958f6ebc99afbaea1eb2dd1afaa46b5a95f4dafd-1243953671 (6/39)
install.exe
　www.virustotal.com/jp/analisis/326056e80892e429f1f40d7afcea60c87516c490530c7b62555c50377a9e8899-1243948471 (6/39)
install2.exe
　www.virustotal.com/jp/analisis/8f1a3c56d40dbbc4e5071495b55dbf131ad0ea7cc466f81d03f1546b7a87bd86-1243948819 (6/40)
install3.exe
　www.virustotal.com/jp/analisis/bcd892933598546faab8e1398e57efb0821830a16e63820b3dc10b9016bc5e58-1243949714 (6/40)
ldr.exe
　www.virustotal.com/jp/analisis/8781bf4a84ad4c6a6a4680878f19d54e7b91c5bc654f01815c3051976ce739a3-1243952794 (19/35)
305 名前：61 mailto:sage [2009/06/03(水) 00:08:23 ]: >>303
インフォメーション（２／２）

news.php
　www.virustotal.com/jp/analisis/2903b291949d233f661f55e8d242bd772a9760b1a76a7424030cfc1a3fd10c29-1243952616 (21/40)
Official-eMule_setup.exe
　www.virustotal.com/jp/analisis/349711cef7150ee1380b51a97119dfeb0a33e9fb87fb187063354b9d4fe892ea-1243947376 (8/40)
ret26.exe
　www.virustotal.com/jp/analisis/462fdc59e2b02635f709bf606e2cdf6bbb44b9206c24a3cd7b4738405fc2c4ab-1243954375 (21/40)
setup.exe
　www.virustotal.com/jp/analisis/f86a5e0960c2bc58bf1edd170b09dfcb1414992e05b8863aef7a7001466b8a3e-1243951941 (17/40)
softwarefortubeview.40064.exe
　www.virustotal.com/jp/analisis/492e450e2f272cb5365a3cdb4676564f09cc0f34916efb0c1e4f8e89233b70b1-1243951101 (2/40)
softwarefortubeview.40064-2.exe
　www.virustotal.com/jp/analisis/655278e93dd3c4399def8e74177abe80d905850bef6a92b8ba6a72647bc144f0-1243952339 (2/40)
softwarefortubeview.45059.exe
　www.virustotal.com/jp/analisis/26adc48376dd61dd71113feb18eae7ca49abf7187db0bc705882eccc48f2b986-1243950050 (2/40)
softwarefortubeview.45059-2.exe
　www.virustotal.com/jp/analisis/1e0735441232e9bfab1c7074fb2aa19cbebbd2cf195ad52ba26656de2636bdc3-1243951483 (16/40)
306 名前：61 mailto:sage [2009/06/03(水) 00:14:46 ]: >>303
AVIRA9 7.01.04.47
　find26.exe - TR/Inject.acaz.1
　free_trial_version.exe - SPR/Fraud.PrivC.2
　ii.pdf - HEUR/HTML.Malware (MALWARE)
　index.php - (UNDER ANALYSIS)
　install.exe - TR/Dropper.Gen
　install2.exe - TR/Dropper.Gen
　install3.exe- TR/Dropper.Gen
　ldr.exe - TR/Spy.ZBot.vyo
　news.php - TR/Agent.cjze
　Official-eMule_setup.exe - (UNDER ANALYSIS)
　ret26.exe - TR/Inject.acaz
　setup.exe - TR/Downloader.Gen
　softwarefortubeview.40064.exe - (UNDER ANALYSIS)
　softwarefortubeview.40064-2.exe - (UNDER ANALYSIS)
　softwarefortubeview.45059.exe - (UNDER ANALYSIS)
　softwarefortubeview.45059-2.exe - TR/PSW.Magania.beur.3

黒１１，解析中５
307 名前：61 mailto:sage [2009/06/03(水) 00:21:30 ]: >>303
Kaspersky 2009/06/02 23:30:00
　find26.exe - Trojan.Win32.Inject.acaz
　free_trial_version.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.di
　ii.pdf - Exploit.Win32.Pidief.axr
　index.php - Trojan-Downloader.JS.Psyme.aod
　install.exe -
　install2.exe -
　install3.exe-
　ldr.exe - Trojan-Spy.Win32.Zbot.vyo
　news.php - Trojan.Win32.Agent.cjze
　Official-eMule_setup.exe -
　ret26.exe - Trojan.Win32.Inject.acaz
　setup.exe -
　softwarefortubeview.40064.exe -
　softwarefortubeview.40064-2.exe -
　softwarefortubeview.45059.exe -
　softwarefortubeview.45059-2.exe - Trojan-GameThief.Win32.Magania.beur

黒８，未検出分８個提出。
308 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/03(水) 00:43:11 ]: Rising 2009 21.41.14 (21.32.14.00)
>>139
softwarefortubeview.45027-2.exe: Trojan.Spy.Win32.Undef.iw
ws.exe: AdWare.Win32.FakeAV.cv
5+2=7/8
>>151
ldr.exe: Trojan.Spy.Win32.Undef.iu
pdf.php: Hack.Exploit.Win32.PDF.jtf
softwarefortubeview.45013.exe: Trojan.Spy.Win32.Undef.iv
20+3=23/27(残り4体は不是病毒との返答あり)
>>166
175+1=176/197
>>236
0.swf: Hack.Exploit.Swf.b
5+1=6/7
>>277
softwarefortubeview.45052-2.exe: Trojan.Spy.Win32.Undef.iy
softwarefortubeview_45019.exe: Trojan.DL.Win32.Nodef.ra
193.pdf: Hack.Exploit.Win32.PDF.jtg
3+3=6/15
>>290
winqwl32.dll: Trojan.DL.Win32.Undef.erw
1/3
>>303
install.exe, install2.exe, install3.exe: Trojan.Win32.FakeAV.oh
find26.exe, ldr.exe, ret26.exe: Suspicious:Packer.Win32.UnkPacker.a
6/16
検体提出完了
>>302
了解です
309 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/03(水) 05:21:15 ]: >>303
McAfee (Active Protection 無効)7/16
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
find26.exe |inconclusive | | |no
index.php |inconclusive | | |no
install.exe |new detection |fakealert-dk |Trojan |yes
install2.exe |inconclusive | | |no
install3.exe |new detection |fakealert-dk |Trojan |yes
ldr.exe |inconclusive | | |no
ret26.exe |inconclusive | | |no
setup.exe |new detection |w32/koobface.worm |Virus |yes
softwarefortubeview.|new detection |downloader-bqj |Trojan |yes
310 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/03(水) 07:30:10 ]: >>303
NortonInternetSecurity2009
まだちょっと忙しいので検出数だけでご勘弁ください

11/16

>>304-305のVTの結果とはかなり違いますね
311 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/03(水) 09:38:37 ]: >>303
king 2009.6.2.21

tane0360\find26.exe -Win32.Troj.Inject.38400
tane0360\news.php -Win32.Troj.Agent.27648
tane0360\softwarefortubeview.45059-2.exe -Win32.PSWTroj.Magania.94375 成功（操作：削除）
3/16
未検出分を提出させて頂きました
312 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/03(水) 15:56:48 ]: カスペ2010 15:19:00 検知状況

>>303 ㌧
>>307 代理提出㌧
8+4=12/16

Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bu 　　tane0360.zip/install.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bv 　　tane0360.zip/install2.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bw 　　tane0360.zip/install3.exe
Detected virus Net-Worm.Win32.Koobface.np 　　tane0360.zip/setup.exe

ヒューリスティックでの検知ないことから、KIS2009でも同結果、および、提出による事後検知と思われ。
313 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/03(水) 22:04:44 ]: >>303
COMODO InternetSecurity 1245

TrojWare.Win32.Trojan.Agent.::tane0360\find26.exe
TrojWare.JS.TrojanDownloader.::tane0360\index.php
TrojWare.Win32.Trojan.Agent.Gen@21432597::tane0360\news.php
TrojWare.Win32.TrojanSpy.Zbot.Gen@21432658::tane0360\ldr.exe
Heur.Suspicious@21423216::tane0360\ret26.exe
5/16

未検出分を提出しました。
314 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/03(水) 22:31:11 ]: Rising 2009 21.41.24 (21.32.24.00)
>>246
install-1384.exe>>pc.exe: AdWare.Win32.FakeAV.cw
3+1=4/9
>>277
flash_player_v11.exe>>pc.exe: AdWare.Win32.FakeAV.cw
flash_player_plugin.exe>>pc.exe: AdWare.Win32.FakeAV.cw
flash_player.exe>>pc.exe: AdWare.Win32.FakeAV.cw
free_stream_video.exe>>pc.exe: AdWare.Win32.FakeAV.cw
Fake_mpeg.mpg>>pc.exe: AdWare.Win32.FakeAV.cw
star.exe: Backdoor.Win32.Bifrost.l
softwarefortubeview.45052.exe: Trojan.DL.Win32.Mnless.dsu
212.pdf: Hack.Exploit.Win32.PDF.jth
6+8=14/15(setup.exeは不是病毒との返答あり)
>>303
free_trial_version.exe>>pc.exe: AdWare.Win32.FakeAV.cw
ldr.exe: Suspicious:Packer.Win32.UnkPacker.a → Trojan.Spy.Win32.Undef.jg
setup.exe>>upx_c: Worm.Win32.Koobface.aa
softwarefortubeview.40064-2.exe: Trojan.Spy.Win32.Undef.jd
softwarefortubeview.40064.exe: Trojan.Spy.Win32.Undef.je
softwarefortubeview.45059-2.exe: Trojan.DL.Win32.Mnless.dsu
softwarefortubeview.45059.exe: Trojan.Spy.Win32.Undef.jf
3(+3)+7(-1)=10(+2)/16
315 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/03(水) 23:18:35 ]: 後れ馳せながら、AntiVir9 Free の検出結果。やっとおいついた。

>>290 tane0358
(3/3)
>>297 tane0359
(3/3)
>>303 tane0360
(14/16)

残２ファイルっすね。

ここまで、Avira他、マイナー各社にも一通り提出済み。
316 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 01:02:08 ]: nyumon.sakura.ne.jp/kanzenkouryaku.zip
317 名前：312 mailto:sage [2009/06/04(木) 01:22:54 ]: カスペ2009 0:11:00 検出状況
>>303 （>>307,312)
8+7=15/16

Detected Trojan program Trojan.Win32.FraudPack.onj 　tane0360.zip/softwarefortubeview.40064-2.exe
Detected Trojan program Trojan.Win32.FraudPack.onj 　tane0360.zip/softwarefortubeview.40064.exe
Detected Trojan program Trojan.Win32.FraudPack.onj 　 tane0360.zip/softwarefortubeview.45059.exe

未検出分、ひとまず追送してみるかな。
318 名前：61 mailto:sage [2009/06/04(木) 01:50:36 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=361
　DL virus／解凍 virus

【中身】　１５個入っています。
319 名前：61 mailto:sage [2009/06/04(木) 02:05:19 ]: >>318
インフォメーション（１／２）

0.pdf
　www.virustotal.com/jp/analisis/ab14b7ea87ba271215cf00a78fc9f4d6c56f4e2fcbbed6e8a38449f5f51f8ce6-1244038469 (14/40)
0.swf
　www.virustotal.com/jp/analisis/89283c1c3eea158376311e44353fff05d1c863f7d621c85b4584569e5199dfba-1244038472 (8/40)
3.exe
　www.virustotal.com/jp/analisis/ddcd76fe688f168808c68e60688c0e43edefc01961987ce0339844781b04388a-1244040010 (19/40)
av.exe
　www.virustotal.com/jp/analisis/969c0f517f279dd68898eea50bb9ce51092acc3eca79fe963500b82f5c0d222a-1244042513 (21/40)
codec2009.exe
　www.virustotal.com/jp/analisis/e68fa4b285f586475208458d3665871ba902a37787ccdbfd7a4e1ac7dbf725fe-1244038769 (24/39)
installer_70100.exe
　www.virustotal.com/jp/analisis/af1db3d369de954640ac6b094f13621453624e4a64cb895c51fb71ff91079d6d-1244040739 (19/40)
load.exe
　www.virustotal.com/jp/analisis/0e1527e28ecc2f45c9790a081d5d840eb22354852841ca34e156a82fa979063c-1244044994 (2/40)
nonus.pdf
　www.virustotal.com/jp/analisis/4f308ff6cabf6cabef4c5de5815c1e67b501dd26487e47f6a9c197210f1c28a4-1244048308 (22/40)
pdf.pdf
　www.virustotal.com/jp/analisis/4edfdf85eeecaa5937eb7c9bc64d39cb79fcb6e1b44db7eda480382cd652d728-1244037583 (15/38)

codec2009.exeとnonus.pdfは、圧縮する前に消し忘れたものなので、ほとんどのベンダーで提出不要だと思います。
320 名前：61 mailto:sage [2009/06/04(木) 02:06:06 ]: >>318
インフォメーション（２／２）

setup.exe
　www.virustotal.com/jp/analisis/7753fee35552a72037f5b8143bd2eb80af62bb1ee6d25acd580b49125d2b76a5-1244040060 (19/40)
setup2.exe
　www.virustotal.com/jp/analisis/481dd0bba1ecd2a2ced2bf8684d591bbd622583de5d38e9041b155b402be2854-1244041301 (7/39)
setup3.exe
　www.virustotal.com/jp/analisis/55790235fb5df587bfc69001107c9f73bc834669793d4f57d8983253865a2034-1244045359 (16/39)
setup4.exe
　www.virustotal.com/jp/analisis/fa7bcca65a1c661f93a0a2d1031162e12a4c27d86f49686e65a02d40762f74f8-1244041652 (12/40)
Setup5.exe
　www.virustotal.com/jp/analisis/26ff35f15e34987fc1fa0a013c698f89236d26d5408cb0546fced41ed12db917-1244046140 (8/40)
softwarefortubeview.42002.exe
　www.virustotal.com/jp/analisis/9c74514174a0f4c15f774cc27ba28ede680051f8af78c80a6a18c5b9578c37af-1244046896 (10/40)
321 名前：61 mailto:sage [2009/06/04(木) 02:16:23 ]: >>318
AVIRA9 7.01.04.54
　0.pdf - HEUR/HTML.Malware - (UNDER ANALYSIS)
　0.swf - (UNDER ANALYSIS)
　3.exe - TR/Agent.ckiz
　av.exe - TR/PSW.Wow.ozu
　codec2009.exe - TR/Dldr.FraudLoad.wbmh
　installer_70100.exe - TR/Dldr.Renos.bao.2
　load.exe - (UNDER ANALYSIS)
　nonus.pdf - HTML/Shellcode.Gen
　pdf.pdf - HTML/Crypted.Gen
　setup.exe - TR/Dldr.Renos.bao.3
　setup2.exe - TR/Crypt.ZPACK.Gen
　setup3.exe - TR/Downloader.Gen
　setup4.exe - DR/MonaGray.AA
　Setup5.exe - (TR/Fakealert.SM)
　softwarefortubeview.42002.exe - (UNDER ANALYSIS)

黒１０＋１（次のアップデート待ち），HEUR１，解析中３。HEURも提出済み。
322 名前：61 mailto:sage [2009/06/04(木) 02:29:17 ]: >>318
Kaspersky 2009/06/04 1:07:00
　0.pdf - Exploit.Win32.Pidief.axs
　0.swf - Exploit.SWF.Agent.at
　3.exe - Trojan.Win32.Agent.ckiz
　av.exe - Trojan-GameThief.Win32.WOW.ozu
　codec2009.exe - Trojan-Downloader.Win32.FraudLoad.wbmh
　installer_70100.exe - Trojan-Downloader.Win32.Agent.cdts
　load.exe -
　nonus.pdf - Exploit.Win32.Pidief.gx
　pdf.pdf - Exploit.Win32.Pidief.axz
　setup.exe - Trojan-Downloader.Win32.FraudLoad.enu
　setup2.exe -
　setup3.exe -
　setup4.exe - Trojan.Win32.MonaGray.aa
　Setup5.exe -
　softwarefortubeview.42002.exe - Trojan-Downloader.Win32.CodecPack.hyp

黒１１，未検出４。未検出分は提出済み。　流石に眠い．．．寝ます。ﾉｼ
323 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 02:33:10 ]: >>318
McAfee (Active Protection 無効)9/15
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0.swf |inconclusive | | |no
av.exe |heuristic detection |new malware.al!enc |Trojan |no
setup5.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0.pdf |inconclusive | | |no
3.exe |new detection |generic.dx!ef |Trojan |yes
load.exe |inconclusive | | |no
setup3.exe |inconclusive | | |no

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup4.exe |inconclusive | | |no
324 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 10:04:37 BE:530135982-2BP(0)]: >>299 >>297 パス書き添え忘れは、凡ミス。ｺﾞﾒｿ
325 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 10:52:14 ]: >>318
NortonInternetSecurity2009

Bloodhound.PDF.12：0.pdf
Bloodhound.Exploit.196：pdf.pdf、nonus.pdf
Trojan Horse：3.exe、codec2009.exe
Downloader：0.swf
AntiVirus2008：installer_70100.exe、setup.exe
Infostealer.Gampass：av.exe
Downloader.MisleadApp：softwarefortubeview.42002.exe

10/15

これからPandaとあわせて検体提出します
それにしてもSymantecはこの手の検体に強い？
326 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 11:04:54 ]: >>313
Symantecから

filename: Setup5.exe
machine: Machine
result: See the developer notes

filename: setup2.exe
machine: Machine
result: See the developer notes

filename: Setup4.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes

filename: Setup3.exe
machine: Machine
result: This file is detected as W32.Koobface.A.

恐らく既に対応済みのものと混ざってたためかSee the developer notes のファイルは自動処理で終わるのか手動解析にまわされるのか不明な状態
327 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 12:16:57 ]: >>318
Rising 2009
av.exe>>68: Trojan.PSW.Win32.OnlineGame.yvc
setup2.exe: Trojan.Win32.FakeAV.nz
2/15
検体提出済み
328 名前：317 mailto:sage [2009/06/04(木) 15:54:17 ]: カスペからの返事（代理提出分）

対象検体：>>297 (tane0359) >>299
2+事後検出1=3/3でクローズ

gt.bin - Trojan-Spy.Win32.Iespy.chm

New malicious software was found in this file.

対象検体：>>303(tane0360) （>>307,312,317)

15/16、白1でクローズ

Official-eMule_setup.exe_ - No malicious code was found in this file.

VTで黒判定高いだけにどうなんだろうね。

対象検体:>>290 (tane0358)
2/3

winqwl32.dll - 回答待ち。渋滞か多重提出？誰か返事来た？
329 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 17:10:04 ]: >>318 ㌧ (tane0361)
>>322 代理提出㌧

カスペ2010 16:09:00

Detected Trojan program Trojan-Dropper.Win32.Small.dke tane0361.zip/load.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.wbqr tane0361.zip/setup2.exe
Detected virus Net-Worm.Win32.Koobface.ou tane0361.zip/Setup3.exe

11+事後検出3=14/15、回答待ち1 (setup5.exe)
330 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 17:11:32 ]: >>328
Nortonも同じくOfficial-eMule_setup.exeだけはスルーになりました
このままいけばSymantecも白判定かも・・・
331 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 17:29:28 ]: >>318

NortonInternetSecurity2009

事後対応+1（>>326で既に対応したものは除く）

Trojan.Dropper：load.exe

>>326で対応したものを含めて現在の検出数12/15
332 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 17:38:09 ]: >>330

評価が二分するプログラムは、ポリシーの違いで灰色でいいんじゃない？

Windowsシステムファイルや、火狐などの有名なフリーウェアなら話は違うが、

訳のわからないどうでもいいマイナーなファイルを黒判定したベンダーに、False Alarmだと言って判定を覆させるのものも面倒だし、
ベンダーはいやがる。（プライオリティーが低いから、だいたい、調べないで黒です。で即答で帰ってくるのがオチ）
333 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 19:47:05 ]: >>268 >>277 >>289 >>303 >>318 乙
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
334 名前：329 mailto:sage [2009/06/04(木) 23:02:40 ]: 対象検体：>>318 (tane0361)

>>322
14/15、白1でクローズ

Setup5.exe,

No malicious software was found in the attached file.

・KIS2010のSandboxで実行→Registry Cleaner Pro 2009のインストーラ起動→一応"Trusted"に分類。レジストリークリーナー？
怪しいから使わない。ｗ
335 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/04(木) 23:30:00 ]: マルウェアとは限らないが、ぼったくり商法だったりすることはある模様ｗ
336 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/05(金) 02:42:43 ]: Rising 2009 21.41.34 (21.32.34.00)
>>246
kkb.exe: Backdoor.Win32.PcClient.ujw
4+1=5/9
>>303
news.php: Trojan.Spy.Win32.Agent.ets
10(+2)+1=11(+2)/16
>>318
load.exe: Trojan.Spy.Win32.Agent.etu
Setup3.exe>>upx_c: Worm.Win32.Koobface.ac
2+2=4/15
337 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/05(金) 14:35:43 ]: >>318
king 2009.6.5.7

tane0361\setup.exe -Win32.Troj.FakeAvT.ex.1298432
tane0361\installer_70100.exe -Win32.Troj.FakeAvT.ex.1298432
tane0361\codec2009.exe -Win32.TrojDownloader.FraudLoad.109571
3/15
未検出分を提出させて頂きました。
338 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/05(金) 18:35:01 ]: >>318
king 2009.6.5.14

tane0361\softwarefortubeview.42002.exe -Win32.TrojDownloader.CodecPack.107948
tane0361\Setup3.exe -Worm.Koobface.ou.49152
tane0361\load.exe -Win32.Troj.Small.19456
tane0361\3.exe -Win32.Troj.Agent.96256
3+4=7/15
何か今回は早い対応だな･･･でも問題はココからです（汗
339 名前：61 mailto:sage [2009/06/05(金) 20:29:31 ]: AVIRA未検出分結果報告
>>247
　file.exe - TR/PCK.Tdss.M.90
　install.exe - TR/PCK.Tdss.M.89
　Install_2009-1.exe - TR/PCK.PolyCrypt.D.224
で>246は黒＝事前６＋事後３の全黒でclose.

>>268
　FakeText_Filekiller.exe - TR/PSW.Agent.wpd
　load.php - TR/Dldr.Small.akzq
　registr.exe - TR/Rabbit.BZ Trojan
全黒でclose.

>>277
　193.pdf - EXP/Pidief.YG.2
　212.pdf - EXP/Pidief.aim
　dating.exe - TR/Rabbit.CZ
　Fake_mpeg.mpg - DR/Fraud.PrivacyCenter.CZ
　flash_player.exe - SPR/Fraud.PrivC.1
　flash_player_plugin.exe - DR/Fraud.PrivacyCenter.DC.1
　flash_player_v11.exe - SPR/Fraud.PrivC.1
　free_stream_video.exe - SPR/Fraud.PrivC.1
　install.exe - TR/Dropper.Gen
　install2.exe - TR/Dropper.Gen
　setup.exe - DR/Qhost.E
　softwarefortubeview.45052.exe - TR/PSW.Magania.beur.3
　softwarefortubeview.45052-2.exe - TR/Dldr.CodecPack.hyi.20
　softwarefortubeview_45019.exe - TR/Dldr.CodecPack.hyi.2
　star.exe - BDS/Bifrose.azr
全黒でclose.
340 名前：61 mailto:sage [2009/06/05(金) 20:49:20 ]: >>289
AVIRA9 7.01.04.63で、TR/Dropper.Genです。（検出名変更なし）

>>289 >315さん補足
AVIRA9 7.01.04.63
　banner.gif.bin - TR/Agent.ckio
　loader.html - JS/Dldr.Agent.10271
　winqwl32.dll - TR/Agent.40960
全黒です。

>>397 >315さん補足
　gt.bin - TR/Agent.58368
　pr.bin - TR/Spy.Gen
　prx.bin - TR/Spy.Gen
全黒です。

>>306
AVIRA9 7.01.04.47
　ii.pdf - EXP/Pidief.jap (HEUR/HTML.Malwareから検出名確定）
　index.php - JS/Dldr.Psyme.tkn
　Official-eMule_setup.exe - TR/Dldr.Wintrim.BX.13
　softwarefortubeview.40064.exe - TR/FraudPack.onj.1
　softwarefortubeview.40064-2.exe - TR/FraudPack.onj
　softwarefortubeview.45059.exe - TR/FraudPack.onj
HEURと解析中の６個全黒。で、>303も全黒でclose.
341 名前：61 mailto:sage [2009/06/05(金) 21:07:55 ]: >>321
　0.pdf - EXP/Pidief.bba (HEUR/HTML.Malwareから検出名確定）
　0.swf - EXP/Flash.16487
　load.exe - TR/Drop.Small.dke
　softwarefortubeview.42002.exe - TR/Dldr.CodecPack.hyp.2
で、後からの分も黒確定で、>318は全黒でclose.

>>328,330,332
思うに、どうもDownloader系で判定が分かれやすい気がします。
それ自体は単にファイルを落として実行するだけで、それ以外の感染や書き換え等の動作をしない場合ですね。

提出して結果を見ていると、AVIRAはDownloaderもバシバシ黒判定出します。この辺、本当、ベンダーのポリシーだと思う．．．
342 名前：61 mailto:sage [2009/06/05(金) 23:26:53 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=363
　DL virus／解凍 virus

【中身】　１４個入っています。　ちょっとテスト用に、たまには普段と違うものとしてRFIのコードを多めに集めてみました。
987.pdf
　www.virustotal.com/jp/analisis/cd750f0627a5f0597d74b41a0c75b744ec451c9d72733c56d51533e9a5dfe805-1244210249 (14/40)
Install_2018.exe
　www.virustotal.com/jp/analisis/fdcdf6c78ec33f14a421551a62e773b5d5c62335ff21a36608820f39276d3bf7-1244203905 (6/39)
ldr.exe
　www.virustotal.com/jp/analisis/153eaac452a040ab230e3a23d6c97c2bc5280e2bc6cc043e8f618eedfa195865-1244211038 (18/40)
load.php
　www.virustotal.com/jp/analisis/05e9c38100c6d59e834be1b848ab824eefe741d358e969d5e11cf6853d6ab7f5-1244210494 (17/40)
343 名前：61 mailto:sage [2009/06/05(金) 23:28:05 ]: >>342 続き
malicious_PHP_01.txt
　www.virustotal.com/jp/analisis/d14777bdb0a49c557c2d933e9a38c80d978ecd631efb1710591332a73f2d99ba-1244205751 (10/39)
malicious_PHP_02.txt
　www.virustotal.com/jp/analisis/52b84832b4e272084bc1776d97abd6c05afe70eff99ea8538901d4e635b4df9e-1244206386 (16/40)
malicious_PHP_03.txt
　www.virustotal.com/jp/analisis/7d4c4d5da4c3bbdd02c200cc86d04dd19a7b9063233741b002ebc9d21806437c-1244206748 (11/39)
malicious_PHP_04.txt
　www.virustotal.com/jp/analisis/7a2d8152c1ff09a50921e5ccfdfcb5722f639d47e0c31db2b14ca06b37ba47b4-1244206985 (9/40)
malicious_PHP_05.txt
　www.virustotal.com/jp/analisis/691be07829e7cee32e0c84677030b7dd405ce1918f75d3dea3a59c1439d7c50c-1244207285 (3/40)
malicious_PHP_06.txt
　www.virustotal.com/jp/analisis/83129197f97e40a7f8451e78efdea4bc9b1d9bac77b0fee2b471daa1f648d21f-1244208045 (1/39)
malicious_PHP_07.txt
　www.virustotal.com/jp/analisis/372fde4d23c90bc04e12da07e17cbf98a922124a7e8946fe72371817033c89e1-1244208564 (16/39)
malicious_PHP_08.txt
　www.virustotal.com/jp/analisis/66945b139bd86c3cd44fa3d41d6491e41d52b7fe28ad984fda6a1f40985831ae-1244208998 (15/40)
malicious_PHP_09.txt
　www.virustotal.com/jp/analisis/4247020616a348f3d988435acb008c56c0f132b2516641e95b890128faad221d-1244209193 (16/40)
malicious_PHP_10.txt
　www.virustotal.com/jp/analisis/a94c7d30fc14a6f99f04359bd282d5158daa78fdaf2411ead0341fb591f8c07c-1244209833 (11/40)
344 名前：61 mailto:sage [2009/06/05(金) 23:34:17 ]: >>342
AVIRA9 7.01.04.63
　987.pdf - EXP/PDF.16462
　ldr.exe - TR/Dropper.Gen
　load.php - TR/Crypt.ZPACK.Gen
　Install_2018.exe - TR/FakeXPA.A.265
　malicious_PHP_01.txt - (UNDER ANALYSIS)
　malicious_PHP_02.txt - PHP/Small.C
　malicious_PHP_03.txt - (UNDER ANALYSIS)
　malicious_PHP_04.txt - (UNDER ANALYSIS)
　malicious_PHP_05.txt - (UNDER ANALYSIS)
　malicious_PHP_06.txt - (UNDER ANALYSIS)
　malicious_PHP_07.txt - SPR/PHP.ID
　malicious_PHP_08.txt - SPR/PHP.ID
　malicious_PHP_09.txt - (UNDER ANALYSIS)
　malicious_PHP_10.txt - (UNDER ANALYSIS)

黒７，解析中７。未検出分提出済み
345 名前：61 mailto:sage [2009/06/05(金) 23:37:33 ]: >>342
Kaspersky 2009/06/05 21:23:00
　987.pdf - Exploit.Win32.Pidief.ayf
　ldr.exe - Backdoor.Win32.Turkojan.dsl
　load.php -
　Install_2018.exe -
　malicious_PHP_01.txt -
　malicious_PHP_02.txt -
　malicious_PHP_03.txt -
　malicious_PHP_04.txt -
　malicious_PHP_05.txt -
　malicious_PHP_06.txt -
　malicious_PHP_07.txt - Trojan.PHP.PHPInfo.g
　malicious_PHP_08.txt -
　malicious_PHP_09.txt - Backdoor.PHP.Small.t
　malicious_PHP_10.txt -

黒４，未検出１０。未検出分提出済み
346 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/06(土) 00:52:43 ]: >>342
McAfee (Active Protection 無効)1/14
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install_2018.exe |inconclusive | | |no
ldr.exe |new detection |generic backdoor!bl |Trojan |yes
load.php |inconclusive | | |no
malicious_php_01.txt|inconclusive | | |no
malicious_php_02.txt|inconclusive | | |no
malicious_php_03.txt|inconclusive | | |no
malicious_php_04.txt|inconclusive | | |no
malicious_php_05.txt|inconclusive | | |no
malicious_php_06.txt|inconclusive | | |no
malicious_php_07.txt|inconclusive | | |no
malicious_php_08.txt|inconclusive | | |no
malicious_php_09.txt|inconclusive | | |no
malicious_php_10.txt|inconclusive | | |no
347 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/06(土) 07:10:46 ]: >>342
SymantecとPandaに提出
348 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/06(土) 11:09:48 ]: >>342
king 2009.6.6.1
tane0363\malicious_PHP_09.txt -JS.Downloader.gw.1229
tane0363\malicious_PHP_08.txt -JS.Agent.tv.847
tane0363\malicious_PHP_07.txt -JS.Downloader.gq.1356
tane0363\malicious_PHP_05.txt -VBS.BackDoor.yj
tane0363\ldr.exe - Win32.Hack.Turkojan.24576
5/14
未検出分は提出させて頂きました
349 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/06(土) 16:28:48 ]: >>342 ㌧
>>345 代理提出㌧

カスペ2010 14:51:00
4+事後提出1=5/14

Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eoi 　　\tane0363.zip/Install_2018.exe

一応、未検出分提出します。
350 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/06(土) 20:30:01 ]: Rising 2009 21.41.52 (21.32.52.00)
>>318
installer_70100.exe: Trojan.Win32.FakeVir.iv
setup.exe: Trojan.Win32.FakeVir.iv
4+2=6/15
>>342
load.php: Trojan.Win32.Nodef.jtm
1/12
提出完了
351 名前：61 mailto:sage [2009/06/07(日) 00:50:59 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=364
　DL virus／解凍 virus

【中身】　１０個入っています。
300.exe
　ttp://www.virustotal.com/jp/analisis/10c9ae048b2faef39ee0eab0bbebd47254a070edeb8860d87453c424c2a449eb-1244302485 (25/40)
33t.js
　ttp://www.virustotal.com/jp/analisis/14d8faf367b59db41543ca955c967750c2f2b9e4f49b3af56cc45bce6b3720b2-1244299687 (5/40)
bot.exe
　ttp://www.virustotal.com/jp/analisis/4484b5834cb18c80e2be65375cfc51bdd2eba02f27e0a42561cf06332ac1f793-1244301685 (7/40)
codec.exe
　ttp://www.virustotal.com/jp/analisis/9a3cf4dde3ca47e6740ba497461ee2f5952281ef4501d24eb4d1449ca5a0b099-1244300182 (14/39)
f0.pdf
　ttp://www.virustotal.com/jp/analisis/5f913fdffa2e97b25217e25cfb72669fd55601730095fbb2994e20927b30c311-1244293344 (18/40)
fgrab.exe
　ttp://www.virustotal.com/jp/analisis/77e32d4a888950033e0d7a8e890abcc81aba2bdea0aa787a55d90a4b1a1b16bd-1244302274 (21/40)
flash_player_plugin.exe
　ttp://www.virustotal.com/jp/analisis/1fb50a9a18cf68e4b821c00d414bdf60d5f78f91c0162aee7eac7f21899af116-1244244497 (12/39)
index.htm
　ttp://www.virustotal.com/jp/analisis/d606fd7e19682aded2aa6ecdbdc149883ae0d2306e1b91b01361b469a5a2eb8c-1244301923 (7/40)
nonus.pdf
　ttp://www.virustotal.com/jp/analisis/4ef9e25e7af2d19b3e7f3294ce8f44c9a8c56e3fe98abb177d1605185f974138-1244293838 (20/40)
TubeViewer.ver.6.40000.exe
　ttp://www.virustotal.com/jp/analisis/8acd7f7be4765fb5fa51356cb5057708d50c879f36e1c64842c8fbb6ea7903df-1244298454 (8/40)

今までVTは利便性を考えて直リンしていたのですが、このスレのログの容量がヤバくなってきたので、今後はh抜きにします。
楽したい人は専ブラなどをご使用下さい。
352 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 01:01:55 ]: >>342 >>351 乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
353 名前：61 mailto:sage [2009/06/07(日) 01:05:18 ]: >>351
AVIRA9 7.01.04.64
　300.exe - TR/Crypt.XPACK.Gen
　33t.js - (UNDER ANALYSIS)
　bot.exe - (UNDER ANALYSIS)
　codec.exe - (UNDER ANALYSIS)
　f0.pdf - HTML/Shellcode.Gen
　fgrab.exe - Worm/Autorun.anpb
　flash_player_plugin.exe - (UNDER ANALYSIS)
　index.htm - (UNDER ANALYSIS)
　nonus.pdf - HTML/Shellcode.Gen
　TubeViewer.ver.6.40000.exe - (MALWARE)
黒４，黒判断済み１（次回アップデート），解析中５。　未検出分提出済み。

Kaspersky 2009/06/06 23:04:00
　300.exe - Email-Worm.Win32.Joleee.bwt
　33t.js - Trojan-Downloader.JS.Agent.ebn
　bot.exe -
　codec.exe - Trojan-Downloader.Win32.CodecPack.hyw
　f0.pdf - Exploit.Win32.Pidief.avs
　fgrab.exe - Worm.Win32.AutoRun.anpb
　flash_player_plugin.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.dr
　index.htm - Trojan-Downloader.JS.Agent.dty
　nonus.pdf - Exploit.Win32.Pidief.gx
　TubeViewer.ver.6.40000.exe - Trojan-Downloader.Win32.Agent.cesv
黒９，未検出１。　未検出分提出済み。
354 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 01:35:34 ]: >>351
McAfee (Active Protection 無効)4/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
300.exe |inconclusive | | |no
33t.js |inconclusive | | |no
bot.exe |inconclusive | | |no
f0.pdf |inconclusive | | |no
fgrab.exe |new detection |generic pws.y!bb |Trojan |yes
index.htm |inconclusive | | |no
355 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 06:16:50 ]: Rising 2009
>>351
fgrab.exe: Trojan.Spy.Win32.Agent.etk
1/10
提出完了
356 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 09:35:14 ]: king 2009.6.6.21
>>351
\tane0364\fgrab.exe -Worm.AutoRun.75264
1/10
未検出分を提出させて頂きました。
357 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 10:36:26 ]: COMODO Internet Security　1274
>>318
全て検出

>>342
TrojWare.Win32.Exploit.Pidief.ayf@22292169 \tane0363\987.pdf
TrojWare.PHP.PHPInfo.g@19701243 \tane0363\malicious_PHP_07.txt
Unclassified Malware@9709070 \tane0363\malicious_PHP_04.txt
Unclassified Malware@17003753 \tane0363\malicious_PHP_02.txt
UnclassifiedMalware@22054418 \tane0363\malicious_PHP_01.txt
Heur.Suspicious@22090367 \tane0363\load.php
6/14

>>351
TrojWare.Win32.Trojan.Agent.Gen@22090678 \tane0364\300.exe
TrojWare.Win32.TrojanSpy.Zbot.Gen@22345451 \tane0364\bot.exe
TrojWare.Win32.Exploit.Pidief.avs@20976103 \tane0364\f0.pdf
Worm.Win32.AutoRun.anpb@22101067 \tane0364\fgrab.exe
4/10

未検出分を提出しました。
358 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 13:42:46 ]: Rising 2009 21.41.60 (21.32.60.00)
>>342
987.pdf: Hack.Exploit.Win32.PDF.jti
分析メールより
1、文件名：malicious_PHP_04.txt
病毒名：Backdoor.Win32.PHP.c
2、文件名：Install_2018.exe
病毒名：AdWare.Win32.FakeAV.cy
3、文件名：malicious_PHP_03.txt
病毒名：Backdoor.Win32.PHP.b
4、文件名：malicious_PHP_02.txt
病毒名：Backdoor.Win32.PHP.a
瑞星2009的21.32.61版本(瑞星2008的20.99.61版本)で対応予定
残り8体不是病毒との返答
総計: 1+5=6/14
359 名前：61 mailto:sage [2009/06/07(日) 14:00:16 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=365
　DL virus／解凍 virus

【中身】　４個入っています。 87.106.103.122 関連です。
flash.swf
　ttp://www.virustotal.com/jp/analisis/8fa7088e7dae6ff5f9c4f5eaff14de22e2198b28946472486a5045e44d0d5b5d-1244345945 (8/39)
index.htm
　ttp://www.virustotal.com/jp/analisis/08a7c5e61ee496dee698109ace71f3c8172b1881b9b1ffd475a801e548481f19-1244346149 (0/39)
load.exe
　ttp://www.virustotal.com/jp/analisis/c32198ffeffcb8514d0f8d812a88ab72941ffd5e2139818027a1e58cdc613df5-1244341466 (2/39)
readme.pdf
　ttp://www.virustotal.com/jp/analisis/fc4b0883f1f94b5e9d9038c92c647ef8210abbcb13566a3ff62e46b34c8063ab-1244347244 (13/39)

index.htmは多分呼び出し用のスクリプトだと思いますが、暗号解読すんの面倒だったので、そのまま入れました。（；´д｀）

AVIRA 7.01.04.65
　flash.swf - (UNDER ANALYSIS)
　index.htm - (UNDER ANALYSIS)
　load.exe - (UNDER ANALYSIS)
　readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
HEUR １，解析中３。　全部提出済み。

Kaspersky 2009/06/07 7.01.04.65
　flash.swf - Exploit.SWF.Agent.az
　index.htm -
　load.exe -
　readme.pdf - Exploit.JS.Pdfka.ld
黒２，未検出２。　未検出分提出済み。
360 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 14:06:27 ]: >>359
Rising スルー、提出完了
361 名前：61 mailto:sage [2009/06/07(日) 14:10:15 ]: >>359 Kaspersky訂正
Kaspersky 2009/06/07 12:49
　flash.swf - Exploit.SWF.Agent.az
　index.htm -
　load.exe - Trojan.Win32.Pakes.nma
　readme.pdf - Exploit.JS.Pdfka.ld
黒３，未検出１。　一歩違いで検出可が＋１
362 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 14:44:49 ]: >>359
McAfee (Active Protection 無効)1/4
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
index.htm |inconclusive | | |no
load.exe |inconclusive | | |no
363 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 15:10:08 ]: >>359

SymantecとPandaへ提出完了

Symantecから自動返答

filename: readme.pdf
machine: Machine
result: See the developer notes

filename: index.htm
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: This file is detected as Downloader. www.symantec.com/avcenter/venc/data/downloader.html
364 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 15:31:11 ]: ネトゲ関係のトロイの筈。
２つめは、そのまま圧縮しちゃうと34MB位あったので、7zを使って二重に圧縮しています。

全部撃墜か、まるっとスルーか明暗がはっきり出そうです。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=366
（こちらは普通の１段階圧縮。解凍パスも同じ。34ファイル）
infected

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=367
（２段階圧縮。解凍後出てくる、114anhui.7z はパスワードなし7z形式のアーカイブ。中に、202個入ってます）
infected

AntiVirは全部撃墜です。
365 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 15:33:20 ]: ごめん、367 の方は、連投規制でUP失敗してました。もうちょっと待ってから上げなおします。
366 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 15:44:37 ]: UPできましたので>364の通りで。
367 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 16:12:45 ]: >>359 >>364 乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
368 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 16:14:25 ]: >>364
367はNortonとPandaは全検出確認
369 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 16:34:04 ]: king 2009.6.7.14
>>359
0/4
>>364
29/34
202/202
未検出分を提出させて頂きました。
370 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 16:45:32 ]: カスペ2010　15:00:00　検出状況

検体：>>342 (>>345)(tane0363)
4+事後提出2=6/14, 回答待ち8
Detected Trojan program Backdoor.PHP.Agent.de tane0363.zip/malicious_PHP_03.txt

検体：>>>351　㌧(tane0364)
>>353　代理提出　㌧
9/10のまま, 回答待ち1(bot.exe)

検体：>>>359　㌧ (tane0365)
>>361　代理提出　㌧
3/4のまま, 回答待ち1(index.htm)

うーん、あまりヒューリスティックは差がないな。

>>364㌧
全検知(34/34, 202/202)
371 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 16:51:54 ]: Rising
>>364
>366
EtcフォルダはQvodSetup5.exeがSuspicious:Packer.Win32.UnkPacker.b、他対応済み
ff88567フォルダはすべて対応済み
tmhcarフォルダはスルー
jpgフォルダはすべてUnknown Win32 Virus
28+3(+1)/34
>367
すべて対応済み
372 名前：61 mailto:sage [2009/06/07(日) 16:55:59 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=368
　DL virus／解凍 virus

【中身】　１０個入っています。
install.exe
　ttp://www.virustotal.com/jp/analisis/934cbc0201f15191c2c12ea60c23354fdf1493eb878eeea510eaf4a7416be13d-1244355700 (2/39)
install2.exe
　ttp://www.virustotal.com/jp/analisis/9f180754d63b419228a77d4700edaddfe95d2337d4fcfe499a7758c0fc7188e4-1244358787 (18/38)
popingred.exe
　ttp://www.virustotal.com/jp/analisis/64e5eaa31484d51e527625262faa0a02783196fdce7fa5eb5ef463ea2481ab0b-1244354952 (10/38)
popingred.pdf
　ttp://www.virustotal.com/jp/analisis/e8bb27a858927e243c5dd673bdbef744b2fd0294285960ad12bc7751519ec6cf-1244354685 (16/38)
popingred.swf
　ttp://www.virustotal.com/jp/analisis/139af5e5b0583ef1549841b4775f6bf833df7bfb171df1a927a41ea1e7697a67-1244354425 (9/39)
scriptvirus01.htm
　ttp://www.virustotal.com/jp/analisis/16bdb623c5c274a978883297d07b84ce4b607e057f10b4b102a39829d195dd8d-1244356971 (15/38)
scriptvirus02.htm
　ttp://www.virustotal.com/jp/analisis/9df9b804049a3bf1826bd326b65a322969ffbf365967b5b7c7cd8cd3c24877f4-1244357254 (17/38)
scriptvirus03.htm
　ttp://www.virustotal.com/jp/analisis/4c8163bfd5abbea1b7691ff9dc63a94ba981879c2a4b87495ec5ed5d9fea228f-1244357495 (4/39)
scriptvirus04.htm
　ttp://www.virustotal.com/jp/analisis/30866ec7f40cbf802cca211fa5173e5f2ed9c03b9195c781d9a0c63d2855628f-1244359889 (12/8)
TubeViewer.ver.6.40000.exe
　ttp://www.virustotal.com/jp/analisis/de4d23d3fe1e98bada1bc07ec35cb38f3d524183673bd3b8d70da811c7da3ea1-1244358148 (5/38)

※ 現在ＶＴパンク気味らしく、VT→各ベンダーに検体が出るのに、多分最低でも3日以上のタイムラグがあると思われます。
　　先日、>342のInstall_2018.exeを6/2にVTにだけ出して、そのまま放置して確認。　ＶＴ提出後、丸3日経過しても>342の通りでVTでの検出率にほとんど変化が無い。

最終的にはベンダーに渡ると思いますが、一応ご注意下さい。（急ぐ人は、個別にベンダーへ提出した方が良いと思われます。）
373 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 17:07:31 ]: Rising 2009 21.41.61 (21.32.61.00)
>>358
対応確認
>>359
flash.swf: Hack.Exploit.Win32.Swf.f
1/4
>>372
install2.exe: Trojan.Win32.FakeAV.oh
1/10
検体提出完了
374 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 17:09:02 ]: COMODO Internet Security　1275
>>359
全てスルー。提出しました。

>>364
16/34
202/202

未検出分を提出しました。
375 名前：名無しさん＠お腹いっぱい。 mailto:372 [2009/06/07(日) 17:11:17 ]: >>372 乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

VT→各ベンダーに検体提供は、あり得ないような気がします
せいぜい統計資料くらいでは？
376 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 17:15:41 ]: king 2009.6.7.15
>>372
\tane0368\install2.exe -Win32.Troj.FakeAV.oh.478243
1/10
未検出分を提出しました。
377 名前：61 mailto:sage [2009/06/07(日) 17:29:21 ]: >>372
AVIRA9 7.01.04.65
　install.exe - (UNDER ANALYSIS)
　install2.exe - TR/Winwebsec.A.18
　popingred.exe - (UNDER ANALYSIS)
　popingred.pdf - EXP/PDF.16462
　popingred.swf - (UNDER ANALYSIS)
　scriptvirus01.htm - JS/Dldr.IFrame.BM
　scriptvirus02.htm - JS/Dldr.IFrame.BM
　scriptvirus03.htm - (UNDER ANALYSIS)
　scriptvirus04.htm - (UNDER ANALYSIS)
　TubeViewer.ver.6.40000.exe - (UNDER ANALYSIS)
黒４，解析中６。　未検出分提出済み

Kaspersky 2009/06/07 15:00:00
　install.exe -
　install2.exe -
　popingred.exe - Trojan-Dropper.Win32.Microjoin.gqu
　popingred.pdf - Exploit.JS.Pdfka.jr
　popingred.swf - Exploit.SWF.Agent.au
　scriptvirus01.htm - HEUR:Trojan.Script.Iframer
　scriptvirus02.htm - Trojan-Clicker.HTML.IFrame.rt
　scriptvirus03.htm - HEUR:Trojan.Script.Iframer
　scriptvirus04.htm - Trojan-Clicker.HTML.IFrame.ey
　TubeViewer.ver.6.40000.exe - Trojan-Downloader.Win32.CodecPack.hza
黒６，HEUR ２，未検出２。　HEURと未検出は提出済み。
378 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 17:38:27 ]: >>375
>VT→各ベンダーに検体提供は、あり得ないような気がします
>せいぜい統計資料くらいでは？

Prevx に検体提出先を問い合わせた際に、2007/10/04にはメールアドレスを指定され、
届かなくなったので、改めて問い合わせたところ、2008/03/18の返答では、VirusTotalに
Uploadするように指示されています。

少なくとも、特定のベンダーには、VTにUPされたファイルが回っていると思われます。
379 名前：61 mailto:sage [2009/06/07(日) 17:41:49 ]: >>364,370
おっと、KIS2009と差があります。　KIS2009は、tane0366の方で
　tmhcer\360.htm
　tmhcer\js.js
の2個だけ未検出です。（32/34）　tane0367は、(202/202)で全部検出。

一応、他のとまとめて上記も送ります。

>353のbot.exeは、つい先程 bot.exe_ - Trojan-Downloader.Win32.Agent.cewa　New malicious software was found in this file.
と新種判定のメール来ましたので、その内検出するようになるかと。

>>375
以前、VTから各ベンダーに検体が提供されているという話がありました。　ただし、VTのどこにも明記されていないのですが．．．
PrevxがVT経由で検体を受け取るという話があったらしい（まとめWikiに書いてある）ので、そこから話が出たのかもしれません。
また、マルウェア制作者のチェックに使われるのを防止するため、VT→ベンダーに検体が渡るという話もありました。

が、どっちにしても、今のVTは150,000検体/日の提出量なので、仕分けが自動であっても、全く当てにできないとは思います。
ただ、以前の話を覚えていて、“VTに出てるから放置”という人が出る可能性もあるので、念のため書いておきました。（汗
380 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 17:42:49 ]: >>364
tane0366
McAfee (Active Protection 無効)28/34
未検出分をMcAfeeに提出させて頂きました。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
360.htm |inconclusive | | |no
jpg.scr |inconclusive | | |no
js.js |inconclusive | | |no
jxsj9m.exe |inconclusive | | |no
sernn.exe |inconclusive | | |no
server.exe |inconclusive | | |no

>>364
tane0367
McAfee (Active Protection 無効)202/202
381 名前：375 mailto:sage [2009/06/07(日) 17:58:50 ]: >>378
VTで再確認するような指示だったのではないでしょうか？
各セキュリティベンダにはセキュリティポリシー（脅威判断）や技術水準で対応するかしないかの状況もあります

もしVTが各ベンダに検体提供しているのであれば・・・
対応が速い遅いを計算しても
今みたいな検出状況は、もっと平均化しているはずです

以前、VTが各セキュリティベンダに渡しているのではないか？という推測のニュースが流れたことがありましたが
実際には、別ルートからの技術的な努力対応だったようです
ですから淡い期待は抱かないことが賢明であります
382 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 17:59:00 ]: >>372
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install.exe |inconclusive | | |no
popingred.exe |inconclusive | | |no
popingred.swf |inconclusive | | |no
scriptvirus03.htm |inconclusive | | |no
scriptvirus04.htm |inconclusive | | |no
383 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 18:14:01 ]: COMODO Internet Security　1276
>>372

1/10
未検出分を提出しました。
384 名前：61 mailto:sage [2009/06/07(日) 20:49:04 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=369
　DL virus／解凍 virus

【中身】　１０個入っています。
demos.exe
　ttp://www.virustotal.com/jp/analisis/3ff990d75a39fb0fa896f2fb319b40c00ecad1f99d35da9b5d8455dfa06dc970-1244372639 (22/39)
frfr5.exe
　ttp://www.virustotal.com/jp/analisis/e8165bde7ebbcd65464ee27f7121128885e91b373ce83a3adb53e1e1975ec5d8-1244370572 (21/39)
KB908117.exe
　ttp://www.virustotal.com/jp/analisis/0b0404d01611b40fe5c6a3cd494cf8e6326f62f898070f1449d4031b7765f097-1244373615 (12/38)
Keygen&Crack.45000.exe
　ttp://www.virustotal.com/jp/analisis/2703d1215f1e1b82cfdb1edc19081e21e7bac96bea0e8da4b60234025994ee29-1244368005 (3/38)
pore.htm
　ttp://www.virustotal.com/jp/analisis/c96f9198dad4759f4740a3933c11fea0a846a2eb6a49c9f664a325cf8cee2773-1244374235 (5/39)
scan_now.exe
　ttp://www.virustotal.com/jp/analisis/0fa79c5bd999fec233d34d02b79f5575c15cedf3346a731033920f8f9abc934d-1244370883 (7/39)
scriptvirus05.htm
　ttp://www.virustotal.com/jp/analisis/7fedf3cecf1dcaed2983b833229bb4fc5c15d3a74390d833d575410169b92552-1244371462 (16/38)
scriptvirus06.htm
　ttp://www.virustotal.com/jp/analisis/4a7cec9ba2a259d33194f730d3aeb483b6a881fb995af685eb52ed20bba5a10d-1244372210 (6/38)
svcshostes.exe
　ttp://www.virustotal.com/jp/analisis/576b39465fa48da2736003e91842a0baa3094e708f233718b518abffb8471ec7-1244372480 (13/39)
vv.exe
　ttp://www.virustotal.com/jp/analisis/1db0daee62d2103eab7c84383e05505b6d6612aaef14da7641f1ceabd6d2f65a-1244370371 (24/38)

次の10個。今週末、新種発生率高すぎ．．．orz
385 名前：61 mailto:sage [2009/06/07(日) 20:58:13 ]: >>384
AVIRA9 7.01.04.65
　demos.exe - TR/Spy.ZBot.6502.11
　frfr5.exe - TR/Drop.BHO.176640
　KB908117.exe - (UNDER ANALYSIS)
　Keygen&Crack.45000.exe - (UNDER ANALYSIS)
　pore.htm - (UNDER ANALYSIS)
　scan_now.exe - (UNDER ANALYSIS)
　scriptvirus05.htm - JS/Dldr.IFrame.BM
　scriptvirus06.htm - HEUR/HTML.Malware
　svcshostes.exe - (UNDER ANALYSIS)
　vv.exe - TR/PSW.FtpSteal.C
黒４，HEUR １，解析中５。　未検出分提出済み。

Kaspersky 2009/06/07 17:47:00
　demos.exe - Trojan-Spy.Win32.Zbot.gen
　frfr5.exe - Trojan.Win32.BHO.ufd
　KB908117.exe - Trojan.Win32.Rabbit.en
　Keygen&Crack.45000.exe - Trojan-Downloader.Win32.CodecPack.hza
　pore.htm - Trojan-Downloader.JS.LuckySploit.q
　scan_now.exe - Trojan-Downloader.Win32.FraudLoad.eoj
　scriptvirus05.htm - Trojan-Clicker.HTML.IFrame.rw
　scriptvirus06.htm - Trojan-Downloader.JS.LuckySploit.m
　svcshostes.exe
　vv.exe - Trojan-Downloader.Win32.FraudLoad.enw
黒９，未検出１。　未検出分提出済み。

う～、マルウェアがKB908117とか、嫌がらせかよぅ...
386 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 20:58:15 ]: >>381
その回答は１年前のものですので、本日改めて、検体投稿先について問い合わせを行ないました。
結果に変化があれば、まとめWikiの方を更新しておきます。該当ベンダーの返答があるまで静観願います。
387 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 21:13:00 ]: >>385
＞う～、マルウェアがKB908117とか、嫌がらせかよぅ.

定番の install.exe, setup.exe と同じく、確かに引っかかりやすそうだ。..

本来なら、WindowsXP-KBXXXXXX-x86-JPN.exeみたいな形だが、こういうファイル名を使われるのも時間の問題だなぁ。
388 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 21:18:55 ]: >>384
McAfee (Active Protection 無効)6/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
demos.exe |new detection |generic pws.y!bb |Trojan |yes
pore.htm |inconclusive | | |no
scan_now.exe |inconclusive | | |no
scriptvirus06.htm |inconclusive | | |no
389 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 21:31:17 ]: >>372
Pandaへ提出完了

>>384

SymantecとPandaへ提出完了

Symantecから自動返答（全部手動解析行き）

filename: scriptvirus06.htm
machine: Machine
result: See the developer notes

filename: KB908117.exe
machine: Machine
result: See the developer notes

filename: scriptvirus05.htm
machine: Machine
result: See the developer notes

filename: pore.htm
machine: Machine
result: See the developer notes

filename: Keygen-Crack.45000.exe
machine: Machine
result: See the developer notes
390 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 21:34:20 ]: >>384乙
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
391 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 22:29:16 ]: >>384
Risingに提出完了
392 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 22:55:56 ]: カスペからの返事

検体：>>290 (>>294,299,328) (tane0358)

1+事後検出2=3/3でようやくFA

winqwl32.dll - Backdoor.Win32.WinUOJ.ap

This file is already detected. Please update your antivirus bases.

検体：>>>351 (>>370)　㌧ (tane0364)
>>379さんの言うとおり、17:47で
Detected Trojan program Trojan-Downloader.Win32.Agent.cewa 　　tane0364.zip/bot.exe
9+事後検出1=10/10でFA

あとは変わりなし。
393 名前：61 mailto:sage [2009/06/07(日) 23:28:31 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=370
　DL virus／解凍 virus

【中身】　１０個入っています。
188.pdf
　ttp://www.virustotal.com/jp/analisis/717d9a4051a0129949f4916a8d29a6fb557f16c3636bbec5258ff1631e7a8eb6-1244381832 (12/38)
cn.pdf
　ttp://www.virustotal.com/jp/analisis/decd5daa6c14426bd0a7a64d1ea3a569b5a425f3586827011480c74e0f4650d4-1244380608 (4/39)
flash_player_plugin.exe
　ttp://www.virustotal.com/jp/analisis/c18f5119dbae7962b236dd6235620e0331adcf27a9c2161c90f8d1d0a9452adf-1244381068 (8/39)
infect.php
　ttp://www.virustotal.com/jp/analisis/227f17fc312900ab70f7664f0ee835c141302388168a44022b57d79d775945e0-1244380288 (17/39)
load.exe
　ttp://www.virustotal.com/jp/analisis/0cc079854eb9d57694108cd8e7df0bac88255508f869fa27123e85ca02489031-1244382606 (12/38)
scriptvirus07.htm
　ttp://www.virustotal.com/jp/analisis/4b2fa5372c5c6f1eddaa8ea8aa45961d07ba528939fce89771b5151b6276c1e7-1244382208 (1/39)
scriptvirus08.htm
　ttp://www.virustotal.com/jp/analisis/da4701c5da82fd0c893db6027b4d22157e245e614d37529c3081b135eb55cde9-1244383112 (4/38)
scriptvirus09.htm
　ttp://www.virustotal.com/jp/analisis/1a59d24a2fca2da5018b1c1d4333b487f72dd1dedf305ad5e09892e0e247b128-1244384168 (4/39)
SetupPack.exe
　ttp://www.virustotal.com/jp/analisis/40a69c207ad341a1a22bcfd3c95ae6bb541b9e308cbb1a52c68d41734e21f4f3-1244379933 (3/38)
troj.exe
　ttp://www.virustotal.com/jp/analisis/7bae8ae128446cf7a0663359d3719355b3aaf14407f7bccf8ab08a41c5680f03-1244383354 (16/39)

scriptvirus08.htmとscriptvirus09.htmは、改変方法が違うだけで多分呼び出し先一緒。一応、ベンダーが両方合った方がわかりやすそうなので同梱。
394 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 23:36:10 ]: >>393
Risingスルー、提出中
395 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 23:38:08 ]: ＞Prevx の件
本日の回答：今後は、パスワード "infected" で固めたZIPを次のアドレスに投げてくれ。mik☆prevx.com.

今後は、同報メールでの提出時に、Prevx にも投げるようにしたいと思います。

>>381
いや、真面目に、今までの検体受付アドレスに届かなくなったがどこに送付したらよいかという問い合わせへの
返答でしたので、VTで再確認しろという趣旨ではありませんでした。
396 名前：61 mailto:sage [2009/06/07(日) 23:38:12 ]: >>393
AVIRA9 7.01.04.65
　188.pdf - EXP/Pidief.aim
　cn.pdf - (UNDER ANALYSIS)
　flash_player_plugin.exe - (UNDER ANALYSIS)
　infect.php - TR/Dldr.Murlo.bdg
　load.exe - (UNDER ANALYSIS)
　scriptvirus07.htm - (UNDER ANALYSIS)
　scriptvirus08.htm - JS/Dldr.Agent.csr
　scriptvirus09.htm - JS/Dldr.Agent.csr
　SetupPack.exe - (UNDER ANALYSIS)
　troj.exe - TR/Spy.ZBot.8345.1
黒５，解析中５。　未検出分提出済み。

Kaspersky 2009/06/07 17:47:00
　188.pdf - Exploit.Win32.Pidief.axy
　cn.pdf -
　flash_player_plugin.exe -
　infect.php - Trojan-Downloader.Win32.Murlo.bdg
　load.exe - Email-Worm.Win32.Joleee.bzx
　scriptvirus07.htm - HEUR:Exploit.Script.Generic
　scriptvirus08.htm - HEUR:Trojan.Script.Iframer
　scriptvirus09.htm - HEUR:Trojan.Script.Iframer
　SetupPack.exe - not-a-virus:FraudTool.Win32.FastAntivirus2009.f
　troj.exe - Trojan-Spy.Win32.Zbot.gen
黒５，HEUR ３，未検出２。　HEURと未検出分提出済み。

やっと終わりが見えてきた。
397 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 23:42:32 ]: >>393

Symantec、Panda、GDATA（＝avast!、BitDefender）へ提出完了

Symantecから自動返答（今回も解析中との報告）

filename: cn.pdf
machine: Machine
result: See the developer notes

filename: SetupPack.exe
machine: Machine
result: See the developer notes

filename: scriptvirus08.htm
machine: Machine
result: See the developer notes

filename: flash_player_plugin.exe
machine: Machine
result: See the developer notes

filename: scriptvirus09.htm
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes
398 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/07(日) 23:58:41 ]: >>393乙
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
>>395
EUのフォーラムで
「VTにマルウェアをアップロードすれば、後日参加ベンダに行き渡りますよね～」って聞いてごらん

けっこうウケると思うよ
399 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 00:04:25 ]: カスペからの返事

検体：>>359㌧
>>361 代理提出㌧
2+事後検出1+1=4/4でFA

index.htm - Exploit.JS.Agent.aim

検体：>>372
>>377 代理提出㌧
8+追加検出2=10/10でFA
install.exe - Trojan-Downloader.Win32.FraudLoad.eoz
install2.exe - Trojan-Downloader.Win32.FraudLoad.eoy

最近のもの（>>384,393)）は>>61さんの回答待ちにします。
400 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 00:08:16 ]: KasperskyとAviraは相変わらず対応速度が速いし安定してるな
他のベンダーも頑張れ
401 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 00:08:53 ]: >>393
McAfee (Active Protection 無効)1/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
188.pdf |new detection |exploit-pdf.d |Trojan |yes
cn.pdf |inconclusive | | |no
infect.php |new detection |generic downloader.x!dy |Trojan |yes
load.exe |new detection |generic.dx!gn |Trojan |yes
scriptvirus07.htm |inconclusive | | |no
scriptvirus08.htm |inconclusive | | |no
scriptvirus09.htm |inconclusive | | |no
setuppack.exe |inconclusive | | |no
troj.exe |new detection |generic pws.y!bb |Trojan |yes
402 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 00:18:34 ]: >>398
prevxの検体提出アドレスが使用できなくなった際の問い合わせで、今後はVTにUploadしてくれという回答を
貰った時期があった(2008/03/18)という以上の情報を私からは出していません。

＞けっこうウケると思うよ
その情報に基づいて憶測を広げるかどうかは個人の自由ですので止めは致しませんが、ここは一応
真面目なスレだと解釈していますので、煽るような発言は程々にして頂けないでしょうか。

ちなみに、VTのようなサイトの１つである Jotti の説明文には、このような一文があります。
　＞Files uploaded here are shared with anti-virus companies so detection accuracy of their
　＞anti-virus products can be improved. Read more about this in our privacy policy.
　＞If you do not want your files to be distributed, please do not send them at all.
翻訳エンジン経由の訳によると
　＞ここにアップロードされたファイルは、それらのアンチウイルス製品の検出精度を改良できるように
　＞ウイルス対策会社と共有されます。これに関して私たちのプライバシーに関する方針でもう少し読んでください。
　＞あなたのファイルを分配して欲しくないなら、それらを全く送らないでください。

VirusTotal：アップされた検体の共有が行われているかは不明。Prevxが過去に提出はVTへと指示した時期がある。
VirSCAN.org：アップされた検体の共有が行われているかは不明。
Jotti's malware scan：指定しなければ、各ベンダーと共有されます

Jotti's のセキュリティポリシーと、VTにUpせよとの指定が混在して、VirusTotalへのUPでそのファイルは各ベンダーにも
提出されているのではないかという想定に繋がった可能性があります。以上。
403 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 00:22:29 ]: 訂正
VirSCAN.org：アップされた検体の共有が行われている。

＞疑わしいものとして、アップロードしたファイルが検知されれば、VirSCANはファイルを送り、
＞分析されるVirSCANサービスに参加する抗ウイルスのベンダーに離れて報告するでしょう。
＞実際のマルウェアが見つかれば、アンチウイルスの会社は署名ウィルス・データベースを更新するでしょう。

いかにも機械語翻訳な解説の中にこのような文面がありましたので、VirSCAN.org も疑惑ファイルを
各ベンダーで共有しているようです。はっきりした説明がないのがVirusTotalだけということになりますね。
404 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 00:48:35 ]: …度々すまん。VirusTotalも、各種ベンダーとファイルの共有をしているようです。
セキュリティポリシー（英文）のに段落目に下記のメッセージがありました。

ttp://www.virustotal.com/privacy.html
＞When you submit a sample file to VirusTotal for scanning, we may store it and share these with
＞anti-malware and security companies (normally the companies participants in VirusTotal receives
＞the samples cataloged as malware that theirs engines do not detect). The samples can be analysed
＞by automatic tools and security analysts to detect malicious code and to improve anti-virus engines.

機械翻訳後
＞あなたがスキャンのためにサンプルファイルをVirusTotalに提出するとき、私たちは、反マルウェアと
＞警備会社とそれを保存して、これらを共有するかもしれません(通常、VirusTotalの会社の関係者は
＞彼等のものが蒸気機関を備えているマルウェアが、検出されないので、カタログに載せられたサンプルを
＞受け取ります)。自動ツールと証券アナリストは、悪質なコードを検出して、アンチウイルスエンジンを
＞改良するためにサンプルを分析できます。

VirusTotal／VirSCAN.org／Jotti's malware scan のいずれも、提出されたファイルを、なんらかの方法で
セキュリティベンダーと共有するようです。ただし、ベンダーの窓口に直接送付した方が、対応は圧倒的に
早いようです。
405 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 00:59:46 BE:596402892-2BP(0)]: 煽るというか、ネタ振りでしょｗ

vt は、privacy.html に一筆入ってました
> When you submit a sample file ...

ってリロしたら気づかれてたｗ

意図的に一部破壊したり、アンパックしたマルウェアを分析させたりすることもあるので、
ベンダに送付されるのは引き止められないが、せめてコメントを書き添えたりできないか。
って頼んだりしたことがあるのですけど、いまんとこ｢あーそういうのもいいかもね、考えときます｣
くらいで放置されてますｗ
406 名前：61 mailto:sage [2009/06/08(月) 01:36:30 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=372
　DL virus／解凍 virus

【中身】　８個入っています。
5.htm
　ttp://www.virustotal.com/jp/analisis/841212f2675b97bbf75d2ed4e4e58e4d9bee21e3b779f814f03962a899fcedfd-1244387297 (4/39)
Adobe-Flash-Player-Update-pack-2009-06-07.exe
　ttp://www.virustotal.com/jp/analisis/0649075b2f7a91c5491e2ee0034bbb7b0d3266d834886bd816e3ff5e4ef5ee76-1244390184 (11/39)
deisvop.htm
　ttp://www.virustotal.com/jp/analisis/476518440fa7e83bb5ba35ef32fc9a234659f577f270d0cd76d330fd2aa65b23-1244387955 (12/38)
install.exe
　ttp://www.virustotal.com/jp/analisis/ceb2a550b87210d6c16cabff6f6f07f8209133cc0e614ad4352ba5fc0cc20606-1244389759 (20/38)
load.exe
　ttp://www.virustotal.com/jp/analisis/104a0100ec20a129a4b4d64c5ba2f961d96125362c91acb1eed6eae3868c6e3f-1244388996 (16/38)
load2.exe
　ttp://www.virustotal.com/jp/analisis/03642e3e2ceab9b3de6c92e03893ad477509e0106e0c6ace1466fde19707e39c-1244390444 (21/38)
perce.exe
　ttp://www.virustotal.com/jp/analisis/cb23be0a06eda4898452f89df529b19485899d81c477284c9194f5e5c3457774-1244390913 (9/38)
Setup_build6_27.exe
　ttp://www.virustotal.com/jp/analisis/96ef88149ff92023f6dc8393c547ed3ad5f2938a3018c08a7105c63677ea6391-1244391167 (7/39)

今日はこれで終わりです。
407 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 01:37:31 ]: ちょっとVTでテストしてみました。

このマルウェアは、
VTが最初に受け付けたのは2008.12.31 でした
VTが最後に受け付けたのは2009.03.04 でした（6/38） ttp://g.imagehost.org/0209/a_3.jpg
　　　　　　　　　　　　　　　　　　　　↓ 3ヶ月経過　　　↓ 4社対応が増えた
再びVTで新規解析してみた2009.06.08結果が（10/39）でした　ttp://g.imagehost.org/0915/a3.jpg

この結果からは、
VTが参加ベンダとマルウェア検体の共有をしているというのはあり得ないのではないのでしょうか？
408 名前：407 mailto:sage [2009/06/08(月) 01:46:34 ]: >>406乙
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです

＞VirusTotal／VirSCAN.org／Jotti's malware scan のいずれも、提出されたファイルを、なんらかの方法でセキュリティベンダーと共有
この件は、答えが見つかりそうも無いですね・・・
409 名前：61 mailto:sage [2009/06/08(月) 01:48:09 ]: >>406
AVIRA9 7.01.04.65
　5.htm - (UNDER ANALYSIS)
　Adobe-Flash-Player-Update-pack-2009-06-07.exe - SPR/Fraud.PrivC.2
　deisvop.htm - JS/Agent.AB
　install.exe - HEUR/Malware (UNDER ANALYSIS)
　load.exe - (UNDER ANALYSIS)
　load2.exe - TR/Crypt.XPACK.Gen
　perce.exe - (UNDER ANALYSIS)
　Setup_build6_27.exe - TR/Crypt.ZPACK.Gen
黒４，HEUR １（解析中），解析中３。　未検出分提出済み。

Kaspersky 2009/06/08 1:14:00
　5.htm - HEUR:Trojan.Script.Iframer
　Adobe-Flash-Player-Update-pack-2009-06-07.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.dt
　deisvop.htm - Packed.JS.Agent.ab
　install.exe -
　load.exe - Trojan-Spy.Win32.Zbot.wig
　load2.exe - Trojan-Dropper.Win32.Agent.asui
　perce.exe -
　Setup_build6_27.exe -
黒４，HEUR １，未検出３。　HEURと未検出提出済み。

>>399
最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w
410 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 01:55:50 ]: >>406
Panda、GDATA（＝avast!、BitDefender）へ提出完了
411 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 02:23:33 ]: >>406
McAfee (Active Protection 無効)4/8
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
5.htm |inconclusive | | |no
load.exe |new detection |generic pws.y!be |Trojan |yes
load2.exe |new detection |generic dropper!bp |Trojan |yes
setup_build6_27.exe |inconclusive | | |no
412 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 08:33:40 ]: king 2009.6.7.19
>>384
tane0369\vv.exe /Win32.TrojDownloader.FraudLoad.44544
tane0369\scan_now.exe /Win32.TrojDownloader.FraudLoad.262672
tane0369\KB908117.exe /Win32.Troj.Rabbit.en.20703
3/10
>>393
tane0370\scriptvirus09.htm /JS.Agent.za.11918
tane0370\scriptvirus08.htm /JS.Agent.za.11918
2/10
>>406
tane0372\perce.exe /Win32.Troj.Undef.125956
tane0372\load.exe /Win32.Troj.Zbot.64512
2/8
未検出分を提出しました。
413 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 10:11:12 ]: カスペ2009 9:23

検体：>>384 ㌧　　（代理提出 >>385 ㌧)
9+事後検出1=10/10でFA
Trojan program Trojan.Win32.Rabbit.eq 　　tane0369\svcshostes.exe

検体：>>393 ㌧　　（代理提出 >>396 ㌧)
8+事後検出1=9/10(HEUR2含み）、未検知1 (cn.pdf)
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dt　　tane0370.zip/flash_player_plugin.exe
Detected Trojan program Trojan-Downloader.HTML.IFrame.aad　　　tane0370.zip/scriptvirus08.htm （←HEUR:Trojan.Script.Iframer）

検体：>>406 ㌧　　（代理提出 >>409 ㌧)
5+事後検出2=7/8, 未検知1( install.exe )

Detected Trojan program Trojan-Downloader.JS.Iframe.bdc 　　tane0372.zip/5.htm （←HEUR:Trojan.Script.Iframer）
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epa 　　tane0372.zip/Setup_build6_27.exe
Detected Trojan program Trojan.Win32.Agent.cljd 　　tane0372.zip/perce.exe

>>409
＞最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w

了解。
未検出分、頃合いみて再送。
未だ、クローズしていない案件：>>342
414 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 10:30:14 ]: >>406
Rising 2009
install.exe: Suspicious:Trojan.DL.Win32.Downloader.GEN
load.exe: Suspicious:Packer.Win32.UnkPacker.a
0(+2)/8
提出済み
415 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 11:01:42 ]: COMODO Internet Security　1281

>>384
5/10

>>393
3/10

>>406
5/10

未検出分は提出しました
416 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 14:24:51 ]: >>407
> VTが参加ベンダとマルウェア検体の共有をしているというのはあり得ないのではないのでしょうか？

検体を共有してることと、共有してる検体を積極的に解析することは別の問題
VTみたいに味噌も糞も一緒に放り込まれるようなものは優先順位が低いと思うよ
417 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 20:25:30 ]: >>407
どのライン（一定の検出率を越えたら誤検出じゃない可能性が高いと見てベンダーに提出）で
チェックしてるかはわかんないですからねー。新種なんかの、検出率悪いのは誤検出の可能性と
判断して、ベンダーに回さないかもしれませんし。

>>395
Prevxの提出先ミス。届かないので問い合わせたら、１文字抜けてた模様。

Prevx(Prevx3) <mike☆prevx.com>　これが正しい検体提出先だそうです。
418 名前：407 mailto:sage [2009/06/08(月) 21:12:57 ]: >>416-417
ちなみに407は正真正銘のRootKitです。
419 名前：413 mailto:sage [2009/06/08(月) 21:26:29 ]: 検体：>>393　　（>>396,>>413)

cn.pdf - Exploit.Win32.Pidief.azl

8+事後検出(1+1) = 10/10でクローズ

検体：>>406 (>>409,413)

install.exe - No malicious code was found in this file.
5+2=7/8、白1でクローズ

VTみていると、Trojan-Downloader.Renos.*** かなと思っていたけれど、カスペ判定では白だった。検出時には、VTでの他社検出状況は教えているが…。

※Trojan-Downloader.Renos attempts to download certain rogue anti-spyware application. （attempt to; ～しようと試みる。rogue=無法者（の）、ごろつき）、リスク：中
420 名前：419 mailto:sage [2009/06/08(月) 21:27:36 ]: >>419
カスペからの返事です。すまぬ。
421 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 21:40:58 ]: >>418
対応して欲しければ窓口に直接送るのが一番良い
各社のWEBページに送り先が書いてあるでしょ >>4-8みたいなのが
普通に考えれば自社で収集してる企業は
ほとんどがVTの検体はチェックしてないと思うよ
収集能力の低い企業ほどVTの検体に頼ると思う
422 名前：418 mailto:sage [2009/06/08(月) 21:44:53 ]: >>421
昨夜Symantecに送っています。
423 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/08(月) 21:45:20 ]: >>421
最近Ikarus元気なくね
424 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/09(火) 11:21:00 ]: Rising 2009 21.42.04 (21.33.04.00)
>>351
codec.exe: Trojan.Win32.FakeAV.pc
1+1=2/10
>>384
KB908117.exe: Worm.Win32.Undef.hi
1/10
425 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/09(火) 14:01:18 ]: king 2009.6.9.7
>>372
tane0368\TubeViewer.ver.6.40000.exe /Win32.TrojDownloader.CodecPack.70180
tane0368\popingred.exe /Win32.Troj.Microjoin.1590272
1+2/10
>>384
tane0369\svcshostes.exe /Win32.Troj.Rabbit.eq.20705
tane0369\Keygen&Crack.45000.exe /Win32.TrojDownloader.CodecPack.70180
tane0369\frfr5.exe /Win32.Troj.BHO.176640
3+3/10
>>393
tane0370\troj.exe /Win32.Troj.Zbot.83456
2+1/10
>>406
tane0372\load2.exe /Win32.Troj.Agent.34496
2+1/8
426 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/09(火) 15:20:13 ]: >>15,72,289あたりと同類ですが一部スルーでした

tane.sakuratan.com/upload/upload.cgi?mode=dl&file=373
infected

検出元
www●muswou●com/AVI.scr

AVI.scr 28/39 (71.79%)
www.virustotal.com/jp/analisis/e67d3f23cc0435deedb1ae29f0d05339098652f78aa257a043198574a9229ead-1244525051
427 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/09(火) 18:48:31 ]: >>426
ファイル名は違うものの、同じ検体(6/6提出済み）
ttp://www.virustotal.com/analisis/e67d3f23cc0435deedb1ae29f0d05339098652f78aa257a043198574a9229ead-1244283936

ちらっと比較してみたところ、変な箇所が。

Antiy-AVL、ViRobot なんかは、提出後に対応してるのがわかりますが、
a-squaredは、検知してたのに、>426の結果だと、スルーに変化してる。再提出必要かな。
428 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/09(火) 19:01:36 ]: >>426-427
a-squared4.5Freeで検査してみました。中身の本体である1199.exeを検知して、削除は可能でした。
検出名も、6/6の通り、Trojan.Crypt!IKのままです。

VTのパターンが、4.0→4.5になってるせいかもしれませんが、手元で検査したのも4.5.0.1なんですよね。
VTでスルーになってるのが解せませんが、実際は対応しているということで安心しておきましょう。

他の未検出のベンダーには、提出済みですが、Comodoユーザーの人は、再提出しといてもいいかも。
CAT-QuickHeal、Comodo、eTrust-Vet、Ikarus、K7AntiVirus、nProtect、Rising、Sunbelt、TheHacker 済み。
429 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/09(火) 19:11:02 ]: Rising 2009 21.42.12 (21.33.12.00)
>>166
176+1=177/197
>>351
300.exe: Backdoor.Win32.Undef.drz
2+1=3/10
>>384
vv.exe: Trojan.PSW.Win32.Agent.etg
1+1=2/10
>>406
perce.exe: Trojan.Win32.Nodef.jwm
0(+2)+1=1(+2)/8
>>426
AVI.zip>>AVI.scr>>1199.exe: Trojan.Win32.Nodef.jwh
430 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/09(火) 20:43:17 ]: >>427
tane0373/mpg.scr再提出完了（McAfee）
431 名前：349 mailto:sage [2009/06/09(火) 21:56:57 ]: >>342 (>>345,>>349)
カスペからの返事：

4+事後提出(1+3)=8/14、白6でクローズ。

load.php - Worm.Win32.AutoRun.aptw,
malicious_PHP_02.txt - Backdoor.PHP.Agent.df

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

malicious_PHP_01.txt, malicious_PHP_04.txt, malicious_PHP_05.txt, malicious_PHP_06.txt, malicious_PHP_08.txt, malicious_PHP_10.txt

No malicious code were found in these files.

malicious_PHP_03.txt - Backdoor.PHP.Agent.de

This file is already detected. Please update your antivirus bases.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

一応、これで未決分なし。
432 名前：61 mailto:sage [2009/06/10(水) 01:18:51 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=374
　DL virus／解凍 virus

【中身】　１個入っています。話題の216.154.213.166 関連です。
load.exe
　ttp://www.virustotal.com/jp/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244562650 (1/40)

AVIRA 7.01.04.77 - (UNDER ANALYSIS)
Kaspersky 2009/06/10 0:09:00 -

AVIRAもKasperskyもスルーしたので提出済み。　VT 1/40とか、なかなか壮観ですなぁ．．．

補足
・リストアップされていた35個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは６箇所。ただし、全部同じファイル。（IPアドレス同じなので、まあ予想通りだけど）
・flash.swfとindex.htmも落ちてきたが、これは>359と全く同じファイル。（MD5，SHA256 どっちも一緒）
・pdfは落ちてこなかった。（この感じだと、落ちてきたとしても多分>359と同じだったかも）

index.htmとflash.swfが同じなので、gnomeさん他の通り、87.106.103.122 → 216.154.213.166は同一犯確定でしょう。
exeファイルだけ入れ替えてるのかもしれません。
433 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 01:23:19 ]: COMODO Internet Security　1286
>>426
tane0373\AVI\AVI.scr Heur.Suspicious@22520887 成功
434 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 01:25:51 ]: COMODO Internet Security　1286
>>432
スルー　提出しました。
435 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 02:05:07 ]: >>432
Symantec、Panda、GDATA2009（＝avast!＆BitDefender）に提出完了
436 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 02:20:56 ]: >>432
Risingスルー、提出完了
437 名前：61 mailto:sage [2009/06/10(水) 02:31:41 ]: >>432
続いて213.165.80.179．．．なんだけど、落ちてくるファイルが全部>359,432と同じ。ヽ(`Д´)ﾉｳﾜｰﾝ

・リストアップされていた65個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは１８箇所。ただし、全部>432と同じファイル。（ある程度予想はしてたが．．．）
・flash.swfとreadme.pdfは、>359と全く同じファイル。（ハッシュ値同じ）

む～、３５＋６５＝１００個サイト踏んで、新種1個だけか。

つか、どこにアクセスしても落ちてくるファイルが同じだと、逆に尻尾をつかまえやすい気がしなくもなし．．．誰かが１個捕まえて
検体提出したら全部のサイトが対策されてしまうんで、gumblarよりマヌケだな。　pdfとswfは入れ替えしないし。

gumblarみたいな、１サイトで24時間以内の再アクセス制限＋１～２日での新種入れ替えに比べると、緻密さが無い。　模倣犯かなぁ。
438 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 02:55:51 ]: >>437
この辺の奴？

ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=cn%A5%C9%A5%E1%A5%A4%A5%F3%A4%F2%CD%F8%CD%D1%A4%B7%A4%BF+cocacola+%2C+income+%2Cpepsi+%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF%A5%B7%A5%E7%A5%F3

GENOみたいにアクセス制御で検体拾いにくくしてる奴が稼動してるらしいです。
このサイトの解説は判りやすくていいね…っつーか、どうやったら安全に拾えるかだな。
439 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 05:39:18 ]: >>432
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
440 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 06:47:58 ]: >>416
>>417
>>421
まぁ常識的に考えれば、VTなどの解析サイトが企業に検体を再配布することは無い
渡す渡さないで国際的な企業摩擦になるのは予想できるから予め取り決めがあるのでしょう
441 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 07:16:17 ]: king 2009.6.9.21
>>432（tane0374）
スルー
提出させて頂きました。
442 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 07:25:09 ]: >>432
大手ベンダーではAVG、Kaspersky、McAfee、NOD32、Symantecが対応
www.virustotal.com/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244586248
443 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 10:05:02 ]: >>440
また嘘かよ
無知なら黙ってろ
444 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 16:39:42 ]: VTについて、議論が多い（VT→ベンダーへの検体の提出）ので、分離するため、試験的にスレを立てた。

総合ｵﾝﾗｲﾝｽｷｬﾝｻｰﾋﾞｽ VirusTotal, Jotti, VirScan
pc11.2ch.net/test/read.cgi/sec/1244619173/

まあ、dat落ちするなら、それまでということで。
445 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 17:42:34 ]: www.virustotal.com/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244623168
BitDefenderとAviraが対応

最近BitDefenderの対応速度が速くなった感じがするが中の人変わったのか？

あと最近Pandaに検体提出しても全く対応してくれない・・・
今までだったら1日でだいぶ対応してくれたのに・・・
Pandaに一体何があったんだが？

ってか検体提出アドレス合ってる？
もしかしてPandaの提出先変わった？
↓で合ってる？

virussamples@pandasecurity.com
446 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/10(水) 17:51:21 ]: 自分はpandasoftware.comに送ってるけど、
まぁ同じメールボックスだろうね。
返信来たことないから対応してくれてるのかは知らない
(VT等での追試はしない、というか送ったら削除しちゃってる)。
447 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/11(木) 13:38:16 ]: COMODO Internet Security　1310

>>432はVSには反映されてないが対応済みです。
tane0374\load.exe　TrojWare.Win32.Trojan.Agent.Gen@22657916
448 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/11(木) 16:03:12 ]: Rising 2009 21.42.30 (21.33.30.00)
>>432
load.exe: Trojan.DL.Win32.Mnless.dvq
449 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/11(木) 16:23:29 ]: >>432
VT最新の結果
www.virustotal.com/jp/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244705008
450 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/11(木) 16:29:00 ]: >>449
一日でだいぶ対応されたな
451 名前：61 mailto:sage [2009/06/12(金) 03:11:00 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=378
　DL virus／解凍 virus

【中身】　１１個入っています。
bot.exe
　ttp://www.virustotal.com/jp/analisis/c7d948dc31d8c1edf5db7c17fb0171cab67a801e82be55d9dab4e04e2184b91b-1244739014 (20/40)
codec.exe
　ttp://www.virustotal.com/jp/analisis/da4537ad12455845fc4c94f93d8eafec1aa339b665cb96765162b5888a8089b6-1244739667 (13/39)
download.exe
　ttp://www.virustotal.com/jp/analisis/8cfac97637983f0b229c10ccbe2ffdc0bae6d094f098313febab538a5f3fe485-1244740386 (12/39)
ldr26.exe
　ttp://www.virustotal.com/jp/analisis/fab6f010a513e88f7397c1fb60333e076a1b264ff91aca0f08e4d83700599fca-1244742913 (12/39)
load.exe
　ttp://www.virustotal.com/jp/analisis/c7d948dc31d8c1edf5db7c17fb0171cab67a801e82be55d9dab4e04e2184b91b-1244731593 (20/40)
load2.exe
　ttp://www.virustotal.com/jp/analisis/01f8a46219acc32a149b4707bca32dfcca1d88fd794a27266a8f071a2845aea2-1244734853 (8/40)
load3.exe
　ttp://www.virustotal.com/jp/analisis/612022bd60334f8b1b79d5887d5515fda41cda55340bfd9f516ae041f89a519a-1244738316 (18/40)
pdf.pdf
　ttp://www.virustotal.com/jp/analisis/bf3acdeab9b8a35fad98fedac9cffd12e0e7733747d51b6660bfaa5b3a44a53a-1244738085 (14/40)
pdf2.pdf
　ttp://www.virustotal.com/jp/analisis/bc8d6b6d4254dd2472f90ba37550530449c59466523d6aa4494d68ea3f47759f-1244738519 (16/40)
readme.pdf
　ttp://www.virustotal.com/jp/analisis/cdd850eefa7ecdcf02da94a50acf335535c6763e58f3132c4a0a095232fc6ce9-1244738694 (8/40)
softwarefortubeview.40009.exe
　ttp://www.virustotal.com/jp/analisis/cd9c4d79db251775cd33d16028832a4f31c95896bd253864e8b0d0a541636d8f-1244741062 (5/39)
452 名前：61 mailto:sage [2009/06/12(金) 03:21:26 ]: >>451
AVIRA9 7.01.04.84
　bot.exe - TR/Spy.ZBot.8294.2
　codec.exe - (UNDER ANALYSIS)
　download.exe - TR/Dropper.Gen
　ldr26.exe - TR/Crypt.XPACK.Gen
　load.exe - TR/Spy.ZBot.8294.2
　load2.exe - (UNDER ANALYSIS)
　load3.exe - TR/Dldr.Small.jvn
　pdf.pdf - HTML/Malicious.PDF.Gen
　pdf2.pdf - HTML/Malicious.PDF.Gen
　readme.pdf - HEUR/HTML.Malware
　softwarefortubeview.40009.exe - (UNDER ANALYSIS)
黒７，HEUR １，解析中３。HEURと未検出分提出済み。

Kaspersky 2009/06/12 2:24:00
　bot.exe - Trojan-Spy.Win32.Zbot.gen
　codec.exe - Trojan-Downloader.Win32.CodecPack.hzh
　download.exe -
　ldr26.exe -
　load.exe - Trojan-Spy.Win32.Zbot.gen
　load2.exe - Trojan.Win32.Inject.adng
　load3.exe - Trojan-Downloader.Win32.Small.jvn
　pdf.pdf -
　pdf2.pdf -
　readme.pdf -
　softwarefortubeview.40009.exe
黒５，未検出７。未検出分提出済み。
453 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/12(金) 03:23:20 ]: >>451
乙

SymantecとPandaとGDATA2009（＝avast!＆BitDefender）に提出完了
454 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/12(金) 03:26:01 ]: >>451
Symantecから自動返答（全部解析中）

filename: readme.pdf
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes

filename: bot.exe
machine: Machine
result: See the developer notes

filename: ldr26.exe
machine: Machine
result: See the developer notes

それにしてもちょっと前までは全部未検出検体の場合は返事が来るのが遅くて一個でも検出できる検体が混ざってると今回みたいに1分足らずで返事が来るシステムだった記憶だったんだが・・・
返答システム変わったのか？
455 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/12(金) 03:41:59 ]: Rising 2009 21.42.34 (21.33.34.00)
>>372
install.exe: Trojan.DL.Win32.Undef.eve
1+1=2/10
>>393
flash_player_plugin.exe>>pc.exe: Trojan.Win32.FakeAV.pv
flash_player_plugin.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/10
>>406
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>pc.exe: Trojan.Win32.FakeAV.pv
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/8
>>451
download.exe: Trojan.Win32.FakeAV.oh
softwarefortubeview.40009.exe: Trojan.DL.Win32.Xpav.a
ldr26.exe: Suspicious:Packer.Win32.UnkPacker.a
2(+1)/11
検体提出完了
456 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/12(金) 04:27:18 ]: あぷろだの375、376は報告ないが、誰だよ。DLパスワードもわからんので、検出対象かすらわからん。
virus infected は違いました。orz
457 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/12(金) 05:17:54 ]: >>451乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
458 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/12(金) 06:18:23 ]: >>451
McAfee (Active Protection 無効)3/11
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bot.exe |new detection |generic pws.y!bp |Trojan |yes
codec.exe |heuristic detection |new malware.jj |Trojan |no
ldr26.exe |inconclusive | | |no
load.exe |new detection |generic pws.y!bp |Trojan |yes
load2.exe |inconclusive | | |no
load3.exe |inconclusive | | |no
pdf.pdf |heuristic detection |exploit-pdf.q.gen!stream |Trojan |no
readme.pdf |inconclusive | | |no
459 名前：名無しさん＠お腹いっぱい。 mailto:sage;324 [2009/06/12(金) 07:21:03 ]: >>456
あーごめん、こないだのパス忘れ…

…じゃない俺のじゃなかった

サイズが詰め合わせっぽいが、なんだろね
460 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/12(金) 08:33:36 ]: COMODO Internet Security　1316
>>451
TrojWare.Win32.Trojan.Agent.Gen@22908802 \tane0378\load2.exe
Heur.Suspicious@22908471 \tane0378\ldr26.exe
Heur.Suspicious@22636214 \tane0378\load3.exe
3/11
未検出を提出しました。
461 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/12(金) 09:04:46 ]: king 2009.6.11.18
>>451
tane0378\load3.exe /Win32.TrojDownloader.Small.19456
1/11
未検出分を提出しました。
462 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/12(金) 12:28:24 ]: カスペ2009 12:00
>>451 ㌧
>>452 代理提出㌧
5+事後検出1=6/12

Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epl tane0378.zip/softwarefortubeview.40009.exe

検出状況を注視
463 名前：462 mailto:sage [2009/06/12(金) 23:42:22 ]: >>451 (>>452,>>462)

数時間前検体提出、カスペからの返事
5+事後検出(1+3)=9/11, 回答待ち2 (pdf.pdf, pdf2.pdf)

readme.pdf - Exploit.Win32.Pidief.azr
download.exe_ - Trojan-Downloader.Win32.FraudLoad.wbxz
ldr26.exe_ - Trojan-Downloader.Win32.Agent.cfma

New malicious software was found in this file.
It's detection will be included in the next update. Thank you for your help.
464 名前：463 mailto:sage [2009/06/13(土) 01:45:29 ]: >>451 (>>452,>>462,>>463)

カスペからの返事
5+事後検出6=11/11でクローズ

pdf.pdf - Exploit.Win32.Pidief.azt
pdf2.pdf - Exploit.Win32.Pidief.azs

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.
465 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/13(土) 08:02:35 ]: Rising 2009 21.42.44 (21.33.44.00)
>>364
>366
Etc\QvodSetup5.exe: Suspicious:Packer.Win32.UnkPacker.b → Dropper.Win32.Undef.abe
29+3/34
>>451
bot.exe: Trojan.Win32.Nodef.jyl
load.exe: Trojan.Win32.Nodef.jyl
2(+1)+2=4(+1)/11
466 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/13(土) 13:25:04 ]: >>451
Norton全検出確認
Panda検出数：7
GDATA2009検出数：8
467 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/13(土) 14:17:48 ]: king 2009.6.12.21
>>451
tane0378\softwarefortubeview.40009.exe /Win32.TrojDownloader.Xpav.a.78967
tane0378\download.exe /Win32.Troj.FakeAV.oh.491318
tane0378\codec.exe /Win32.TrojDownloader.CodecPack.42991
1+3=4/11
468 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/13(土) 17:00:02 ]: NOD32 v3.0 定義4152
>>451　8/11
softwarefortubeview.40009.exe Win32/TrojanDownloader.FakeAlert.ACE トロイの木馬
tane0378\pdf2.pdf PDF/Exploit.Pidief.OJS.Gen トロイの木馬
tane0378\pdf.pdf PDF/Exploit.Pidief.OOW トロイの木馬
load3.exe Win32/TrojanDownloader.Agent.PEH トロイの木馬
load2.exe Win32/TrojanDownloader.Bredolab.AA トロイの木馬
load.exe Win32/Spy.Zbot.JF トロイの木馬
ldr26.exe Win32/TrojanDownloader.Agent.PEA トロイの木馬
bot.exe Win32/Spy.Zbot.JF トロイの木馬

未検出ぶんをEsetへ提出しました
469 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/13(土) 17:41:16 ]: >>451
McAfee
バージョン：13.3
ビルド：13.3.127
DATのバージョン：5644.0000
エンジンのバージョン：5301.4018

なんかタイミングによって検出できたりできなかったり．．．

(1)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
　場所: bot.exe
(2)検出済み: FakeAlert-WinwebSecurity.a (トロイの木馬), FakeAlert-WinwebSecurity.a (トロイの木馬)
　場所: download.exe
(3)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
　場所: load.exe
(4)検出済み: Artemis!2303006FA299 (トロイの木馬)
　場所: load3.exe
(5)検出済み: Exploit-PDF.q.gen!stream (トロイの木馬)
　場所: pdf.pdf
(6)検出済み: Exploit-PDF.f (トロイの木馬)
　場所: pdf2.pdf
(7)検出済み: Downloader-BQI (トロイの木馬), Downloader-BQI (トロイの木馬)
　場所: softwarefortubeview.40009.exe
(8)検出済み: Artemis!19EEF1B8B7A9 (トロイの木馬)
　場所: codec.exe
(9)検出済み: Artemis!1C14CAC07BD2 (トロイの木馬)
　場所: ldr26.exe
(10)未検出
　 pdf2.pdf
(11)未検出:
　 readme.pdf
470 名前：469 mailto:sage [2009/06/13(土) 17:45:30 ]: 検出タイミングは以下の３つ

a)Vistaの標準ツールで解凍すると全て検出
b)7zipで解凍すると>>469の(1)-(7)まで検出
c)b)のあとで解凍後のフォルダの名前を変更すると(8)-(9)を検出
d)(10)-(11)はa)以外では検出されない、手動スキャンでも．．．
471 名前：469 mailto:sage [2009/06/13(土) 17:50:14 ]: 念のため補足
×　a)Vistaの標準ツールで解凍すると全て検出
○　a)Vistaの標準ツールで解凍すると(1)-(11)まで全て検出
472 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/13(土) 19:00:36 ]: 7zipの問題だろ
あるいは圧縮したソフトと言うこともあり得るけど
スレ違い気味
473 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/13(土) 19:02:34 ]: ごめん違うか
マカフィーがバカフィーって可能性もあるな
474 名前：61 mailto:sage [2009/06/14(日) 12:46:02 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=379
　DL virus／解凍 virus

【中身】　１０個入っています。
codec2.exe
　ttp://www.virustotal.com/jp/analisis/cb356ad30e0904a4c519326efe8ad8b5c999c535084018ee29f2629d7cc327af-1244944568 (12/39)
flash.swf
　ttp://www.virustotal.com/jp/analisis/a49e6af1e8ce1314d5950ec4085271f230dcaf6e6250bef3cab48cb5fa760faa-1244946090 (8/39)
install.exe
　ttp://www.virustotal.com/jp/analisis/ed9d7cde5205999b17e97a83e2466a5b74fe28277630c8fd5753470ce80487ea-1244947322 (12/39)
load.exe
　ttp://www.virustotal.com/jp/analisis/2de855939085500e72da3771edf480f06b062cbd265721f4d19437d0c8cf4d0c-1244946405 (5/40)
load2.exe
　ttp://www.virustotal.com/jp/analisis/023097a369eac7d4346895266011957be63ab5ce32463774d2830e72339b7463-1244948439 (13/40)
me.exe
　ttp://www.virustotal.com/jp/analisis/f20a5ab7c51bb92c3e5281b5e91746393d6c1131d06a764b4b64c728855b738a-1244944150　(30/40)
pcdef.exe
　ttp://www.virustotal.com/jp/analisis/1a1723a2185fa50b779cd73ed76f11c8f5ef570d9481e5fc15edda7c6c233e2c-1244944961 (17/39)
readme.pdf
　ttp://www.virustotal.com/jp/analisis/8199f57b7fdb051aa5adb285177bf688c87409a70b0f63442938fb1710bcb546-1244946892 (15/39)
readme2.pdf
　ttp://www.virustotal.com/jp/analisis/7c7293de0dc0e63e6d6b5bd85a9aa766563bdd3152ceeca08b36fba2c09960d9-1244948094 (10/40)
ws.exe
　ttp://www.virustotal.com/jp/analisis/e7ea88dbed011f4907a854539491f55a09239861aa33bbf37117ebce64a9f268-1244949856 (11/39)

me.exeは、実質TrendMicro専用です。最近zbot系への対応悪い（VTに投げていると、TrendMicroだけ未検出ってのが増えてる）気がするので、
サンプルとして入れてあります。　バスター使いの人がいたら、提出してみて下さい。
※ TrendMicroが、zbot系の不検出が多いのが、故意なのか偶然なのかわからないので。
475 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 12:57:36 ]: >>474 乙
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
476 名前：61 mailto:sage [2009/06/14(日) 13:00:34 ]: >>474
AVIRA9 7.01.04.88
　codec2.exe - (UNDER ANALYSIS)
　flash.swf - (UNDER ANALYSIS)
　install.exe - (UNDER ANALYSIS)
　load.exe - (UNDER ANALYSIS)
　load2.exe - TR/Crypt.ZPACK.Gen
　me.exe - TR/Crypt.ZPACK.Gen
　pcdef.exe - (UNDER ANALYSIS)
　readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
　readme2.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
　ws.exe - TR/Dropper.Gen
黒３，HEUR ２，解析中５。未検出とHEUR 提出済み。

Kaspersky 2009/06/14 12:06:00
　codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
　flash.swf -
　install.exe -
　load.exe -
　load2.exe - Trojan-Spy.Win32.Zbot.gen
　me.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
　pcdef.exe -
　readme.pdf -
　readme2.pdf - Exploit.JS.Pdfka.lf
　ws.exe -
黒４，未検出６。未検出分提出済み。

最近AVIRAもKasperskyもパンク気味で、以前に比べて対応に遅れが出始めてますね．．．遅れてるといっても、1～2日で対応してますが。
MDL見てても思うけど、6月に入ってからMalwareの量が非常に増えているので、各ベンダーとも大変そうです。
477 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 13:02:26 ]: Rising 2009 21.42.60 (21.33.60.00)
>>474
me.exe: Trojan.Spy.Win32.Agent.epp
提出完了
478 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 13:03:40 ]: >>474
Symantec、Panda、GDATA2009（＝avast!＆BitDefender）へ提出完了
479 名前：61 mailto:sage [2009/06/14(日) 13:40:28 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=380
　DL virus／解凍 virus

【中身】　２個入っています。ここ数日、私の所に大量に送られてきているウイルスメールの付属物
ecard.exe
　ttp://www.virustotal.com/jp/analisis/4bba4356e1e77d93d335551bbe9442718c79f85d3c43e891c227fbc811d1de15-1244953024 (32/39)
sms_reader_trial.exe
　ttp://www.virustotal.com/jp/analisis/9c8bb72ac4843d472314f3ee9b657e9918e8007f76d140258ffebc80901e4708-1244953128 (32/40)

ちょっと改変されているだけで、多分同じもの。　なんだけど、これもTrendMicroがスルーするので、気になるから上げてみた。

メジャーなウイルスで、しかも大量にメールで飛び交っている（私の方は会社にも同じ物が来ている）のに、日本で使われている製品で
バスターとAhnLabがスルーするのは、とってもマズイ気がする。（特にバスターがスルーしちゃうのは、コーポレート版もあるし．．．）
480 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 14:36:03 ]: >>474
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
install.exe |new detection |generic fakealert.k |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
readme2.pdf |inconclusive | | |no
481 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 16:22:07 ]: king 2009.6.14.15
>>474（tane0379）
0/10 未検出分を提出しました。
>>479
tane0380\sms_reader_trial.exe /Win32.TrojDownloader.FraudLoad.38144
tane0380\ecard.exe /Win32.TrojDownloader.FraudLoad.38144
2/2
482 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 17:30:19 ]: >>474 ㌧ tane0379
>>476 代理提出㌧

カスペ2010(ベータ) 15:44:00
4+事後検出3=7/10

Detected Trojan program Exploit.Win32.Pidief.baf 　　tane0379.zip/readme.pdf
Detected virus not-a-virus:FraudTool.Win32.InternetAntivirus.cg 　　tane0379.zip/install.exe
Detected Trojan program Trojan.Win32.Inject.adnm 　　tane0379.zip/load.exe
483 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 18:28:27 ]: COMODO Internet Security　1327

>>474
全てスルー

>>479
tane0380\ecard.exe　Heur.Packed.Unknown
tane0380\sms_reader_trial.exe　Heur.Packed.Unknown
2/2

未検出分を提出しました
484 名前：61 mailto:sage [2009/06/14(日) 20:01:43 ]: >>476
超久しぶりにKasperskyから返答がｷﾀ━(ﾟ∀ﾟ)━!

flash.swf - 白
ws.exe - 白

install.exe - not-a-virus:FraudTool.Win32.InternetAntivirus.cg
load.exe - Trojan.Win32.Inject.adnm,
readme.pdf - Exploit.Win32.Pidief.baf
pcdef.exe - not-a-virus:FraudTool.Win32.WinPCDefender.aw

黒８，白２でclose.
485 名前：61 mailto:sage [2009/06/14(日) 21:42:06 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=381
　DL virus／解凍 virus

【中身】　１０個入っています。
1.exe
　ttp://www.virustotal.com/jp/analisis/73d3f4e6a11952ded19b8b0a5968df6e3addc99fbc321c0c74c27762a17e7ee3-1244978349 (17/39)
bin.exe
　ttp://www.virustotal.com/jp/analisis/263cbd749957ff07bbbb11fb5d7e2ed539ab976dcd1cc278eee4438fe8de362f-1244981632 (16/39)
bot.exe
　ttp://www.virustotal.com/jp/analisis/5a58c5b7ddc3c41dd0e213f62052be6ad750649e5e62fcad2af0dad09952cd6e-1244979358 (23/37)
codec.exe
　ttp://www.virustotal.com/jp/analisis/8ae199449c748ee8d01c63f76c08fe59046a102fa52fcb5d5aaaa24068908dbc-1244980067 (16/40)
codec2.exe
　ttp://www.virustotal.com/jp/analisis/8cd6752a8c7439762a88a5da5cbe92b0ee625fabc9ab46d8a2201b93b89891df-1244980359 (13/39)
codec3.exe
　ttp://www.virustotal.com/jp/analisis/a453149140b1e7dc6b02fe27cbea62c0803e83af161c6b19cd6371104957b975-1244980590 (13/40)
ldr.exe
　ttp://www.virustotal.com/jp/analisis/32874c0aaf4c9ffecf43c43ab10c2a44fe9cda8161aa85816240c19b9155506a-1244982192 (26/39)
nero_key.exe
　ttp://www.virustotal.com/jp/analisis/51cdbb78e600f07772796882030e3ff9c493e34d3b243e45fdfe6e29aafa5826-1244982565 (11/39)
xpsp2patch.exe
　ttp://www.virustotal.com/jp/analisis/17a94ab631354f034a794c7d00ab5f233e691ab9114a5d616c173f4bed576385-1244981253 (12/39)
id.htm
　ttp://www.virustotal.com/jp/analisis/09dad00e14caf2699fc1b8aa8e45ce137e33fb08539a8f039ebbac667ebe51d4-1244981822 (2/40)

codecとcodec2とcodec3は、多分ちょっと改変されているだけで同種のマルウェアだと思いますが、微妙にVTの結果などが違うので同梱。
にしても、今度はxpsp2patchとか．．．KBxxxxxxもそうだけど、セキュリティソフトが検出できないと簡単に引っかかりそうだ。
486 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 21:48:33 ]: >>485
乙
SymantecとPandaとGDATA2009（avast!＆BitDefender）へ提出完了

Symantecから自動返答

filename: id.htm
machine: Machine
result: See the developer notes

filename: nero_key.exe
machine: Machine
result: See the developer notes

filename: xpsp2patch.exe
machine: Machine
result: See the developer notes

filename: 1.exe
machine: Machine
result: This file is detected as Trojan Horse. www.symantec.com/avcenter/venc/data/trojan.horse.html
487 名前：61 mailto:sage [2009/06/14(日) 21:51:20 ]: >>485
AVIRA9 7.01.04.88
　1.exe - TR/Crypt.ZPACK.Gen
　bin.exe - TR/Crypt.ZPACK.Gen
　bot.exe - TR/Spy.ZBot.7680.1
　codec.exe - (UNDER ANALYSIS)
　codec2.exe - (UNDER ANALYSIS)
　codec3.exe - (UNDER ANALYSIS)
　ldr.exe - TR/Crypt.ZPACK.Gen
　nero_key.exe - (UNDER ANALYSIS)
　xpsp2patch.exe - TR/Dropper.Gen
　id.htm - (UNDER ANALYSIS)
黒５，解析中５。未検出分提出済み。

Kaspersky 2009/06/14 20:38:00
　1.exe - Trojan-Spy.Win32.Zbot.wpr
　bin.exe - Trojan-Spy.Win32.Zbot.gen
　bot.exe - Trojan-Spy.Win32.Zbot.gen
　codec.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
　codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
　codec3.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
　ldr.exe - Trojan-Spy.Win32.Zbot.gen
　nero_key.exe - Trojan.Win32.FraudPack.out
　xpsp2patch.exe - Trojan-Dropper.Win32.Small.dlh
　id.htm -
黒９，未検出１。 id.htmは、後程別の物とまとめて提出しますが、先に出したい方は、提出お願いします。
488 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 21:56:19 ]: COMODO Internet Security　1327
>>485
全てスルー　提出しました。
489 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 22:01:11 ]: >>474 (>>476,482)

カスペ2010 20:38:00
7+追加検出3=10/10でクローズ

Quarantined Trojan program Exploit.SWF.Agent.bb 　　tane0379\flash.swf
Quarantined virus not-a-virus:FraudTool.Win32.WinPCDefender.aw 　　tane0379\pcdef.exe
Quarantined Trojan program Trojan-Downloader.Win32.FraudLoad.eqd 　　tane0379\ws.exe

>>484と違うのは、アナリスト偏差かな。
まれに、同じ検体でも、カスペ内で判定分かれるね。
困った。orz

>>487の id.htm は先に提出しておきます。
490 名前：61 mailto:sage [2009/06/14(日) 22:02:48 ]: >>484
判定ひっくり返しｷﾀ━(ﾟ∀ﾟ)━!
　flash.swf - Exploit.SWF.Agent.bb
　ws.exe - Trojan-Downloader.Win32.FraudLoad.eqd

何か最近このパターン増えてきた気が．．．
491 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 22:14:06 ]: >>485
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
bin.exe |inconclusive | | |no
id.htm |inconclusive | | |no
nero_key.exe |inconclusive | | |no
xpsp2patch.exe |inconclusive | | |no
492 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 22:52:38 ]: Rising 2009 21.42.62 (21.33.62.00)
>>479
ecard.exe: Trojan.DL.Win32.Small.zuv
sms_reader_trial.exe: Trojan.DL.Win32.Small.zuv
2/2
>>485
1.exe: Suspicious:Packer.Win32.UnkPacker.a
(+1)/10
提出完了
493 名前：61 mailto:sage [2009/06/14(日) 23:33:18 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=382
　DL virus／解凍 virus

【中身】　４２個入っています。
・www.2a8k.cn/d/1.exe～99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.104.15
・数が多すぎて全部VTに投げていません。適当に５個投げた結果はこんな感じです。
　1.exe - ttp://www.virustotal.com/jp/analisis/dd81cdc31b4d82be6ebb4ac45b457bbe3e48b737219cfd72c7b573828bdb243c-1244988916 (14/40)
　6.exe - ttp://www.virustotal.com/jp/analisis/e3bce0340defe9baec3e63159bdc6fbba38ce395bd7939949299f40e4d2b5312-1244989405 (12/39)
　11.exe - ttp://www.virustotal.com/jp/analisis/d5bc363dfabb37a318ffcc66c31f5a583a5d65ae25ad91da51f451f38fe310d3-1244989208 (34/40)
　16.exe - ttp://www.virustotal.com/jp/analisis/b6a69a025cc55d48b5a5e0725691240fd1ef5e7f3a9628d927724598d833f990-1244989579 (38/40)
　50.exe - ttp://www.virustotal.com/jp/analisis/195a81ec0a36a285776297700bc5dd81b0899fc7dfab97d5cf91de92ce82ca47-1244987895 (20/39)
新旧ごちゃ混ぜって感じです。　マルウェアのコレクターか何かですかね...？

AVIRA 42/42　全検出
Kaspersky 41/42検出，未検出１（6.exe）　6.exeと>487と一緒に提出。

>>489
アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。
494 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/14(日) 23:53:21 ]: >>493
McAfee (Active Protection 無効)35/42
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
22.exe |inconclusive | | |no
28.exe |new detection |pws-mmorpg!t |Trojan |yes
34.exe |new detection |generic pws.y!bt |Trojan |yes
37.exe |inconclusive | | |no
6.exe |inconclusive | | |no
9.exe |inconclusive | | |no
495 名前：61 mailto:sage [2009/06/15(月) 00:24:15 ]: >>493 本日最終分
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=383
　DL virus／解凍 virus

【中身】　３４個入っています。
・5yttrre.cn/xx1.exe～xx99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.105.11
・>493の42個と重複が無いことを確認済み。
・数が多すぎて全部VTに投げていません。適当に５個投げた結果はこんな感じです。
　xx1.exe - ttp://www.virustotal.com/jp/analisis/f507f02e2a1b76cf497f662bb6f5ffafe89c350b3d35a3748dc91f28dede03da-1244991739 (19/40)
　xx6.exe - ttp://www.virustotal.com/jp/analisis/c76abf0050c235f9daf1119225fc15038be4a48083b9f08e95bdf9f48131aa7b-1244992312 (35/40)
　xx11.exe - ttp://www.virustotal.com/jp/analisis/3acf573e214e02ad31b3b603d0c630debbd0da37ce8004af23340de8a47aa684-1244992435 (36/40)
　xx16.exe - ttp://www.virustotal.com/jp/analisis/ef2be479b4cca64720a3e3d7b36c7e4ed14937a8fe58f8608996fb8c9e37c07f-1244992532 (31/40)
　xx39.exe - ttp://www.virustotal.com/jp/analisis/62aa1a471f792f64848febcc937900b3af2bc6236a9b23ecaf932b169c606f84-1244992692 (27/39)
マルウェアコレクターその２？　こちらの方が古い物（検出可能）が多いかも。

AVIRA 34/34　全検出
Kaspersky 34/34　全検出　なんで、AVIRAもKasperskyも何もせず。
496 名前：489 mailto:sage [2009/06/15(月) 00:24:50 ]: カスペからの返事

>>485 ㌧

id.htm -No malicious software was found in the attached file.

9/10,で白1でクローズ

>>493

＞アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
＞白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。

だな。

ただ、返事の末尾に

The answer is relevant to the latest bases from update sources （この判定結果はアップデート・ソースの最新の結果に基づく（関連性がある））

の一文が付いていると、重複回避のため、白・黒判定済みとして一度判定した検査結果をそのまま報告されると思う。

.
497 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/15(月) 00:55:35 ]: >>495
McAfee (Active Protection 無効)33/34
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xx8.exe |inconclusive | | |no
498 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/15(月) 01:17:32 ]: >>485 >>493 >>495 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
499 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/15(月) 01:33:29 ]: Rising 2009
>>493
31.exe: Suspicious:Dropper.Win32.Mnless.GEN
6,37,50.exe: スルー
38(+1)/42
検体提出完了
>>495
すべて検出
34/34
500 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/15(月) 06:44:44 ]: king 2009.6.14.21

>>485
tane0381\xpsp2patch.exe /Win32.Troj.OnLineG.13824
1/10

>>493（tane0382）
6.exe、31.exe、37exeのみスルー
39/42

>>495（tane0383）
34/34

未検出分を提出しました。
501 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/15(月) 10:53:04 ]: COMODO Internet Security　1329
>>493
26/42

>>495
25/34

未検出分を提出しました。
502 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/15(月) 15:29:38 ]: >>493 tane0382
>>495代理提出㌧

カスペ2010（ベータ） 13:11
41+事後検出1=42/42でFA

Detected Trojan program Trojan-GameThief.Win32.OnLineGames.vdja 　　6.exe
503 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/15(月) 21:53:10 ]: おまえらってkeygen単体だと大騒ぎして批判するくせに
まとまった中に同じような目的のばかり入っててもなんにも言わないんだな
不思議な奴らだよ
504 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/15(月) 22:11:50 ]: >>3
505 名前：61 mailto:sage [2009/06/15(月) 22:26:17 ]: >>503
ありゃりゃ、どっかにｋｅｙｇｅｎ入ってた？

ざっくり見て偽keygenのトロイばっかりだと思ってたけど、ちとチェック甘かったかなー．．．指摘してくれれば削除しておくけど。
506 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/15(月) 22:30:02 ]: >>485で、

nero_key.exe
xpsp2patch.exe

などは、個人的には送りません。

外国の著作権関係の刑法は知らないので。
507 名前：61 mailto:sage [2009/06/16(火) 00:01:55 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=384
　DL virus／解凍 virus

【中身】　７個入っています。
load.exe
　ttp://www.virustotal.com/jp/analisis/e85beb2ea40aac707863221ce5189863288583550453b5ad3c19aa31aa2c6f9a-1245075969 (1/39)
normalLeap.swf
　ttp://www.virustotal.com/jp/analisis/bed431903c2b1d553fb376c0f05b5828bda51bcf71cb29b8d83ec39ab28110fc-1245075551 (5/41)
notTheoryCites.pdf
　ttp://www.virustotal.com/jp/analisis/c64f7b8b2d9370a278edb8c02e43d34c341cd843833774c819f2f55b8701fe34-1245075313 (8/40)
readme.pdf
　ttp://www.virustotal.com/jp/analisis/4a78880275e3b2227ba12ef20d871811a15275e79be460ddf6f7ec2297c15e1a-1245073095 (12/39)
readme2.pdf
　ttp://www.virustotal.com/jp/analisis/d82d80c274f4ffde59e45062e34044d5bb1b197a9221299d92dfbff7927bf0b2-1245073312 (13/41)
rferfref5.exe
　ttp://www.virustotal.com/jp/analisis/5859892e44a0ab804ea7ec37b6313f089e2f47d87ee83c3528e84ccdea35e4a8-1245077067 (3/40)
update.exe
　ttp://www.virustotal.com/jp/analisis/3b21cb087180f5d3cc067d9fd8198b745635130038aa5587d7e3b1f4e9ee37c8-1245075809 (15/41)
508 名前：61 mailto:sage [2009/06/16(火) 00:07:25 ]: >>506
その辺は個人の判断にお任せしますが、どっちも偽keygenですよ？（keygenではない）
※ keygenを探している人にトロイを仕込むための、偽keygen。要は釣り餌

つか、その辺の判断をしやすいようにVirustotalを添付してるので、怪しいと思ったら、ファイル名だけではなく
VTの結果も見て欲しいところなのですが．．．
509 名前：61 mailto:sage [2009/06/16(火) 00:15:18 ]: >>507
AVIRA9 7.01.04.94
　load.exe - (MALWARE) next update
　normalLeap.swf - (UNDER ANALYSIS)
　notTheoryCites.pdf - HTML/Shellcode.Gen
　readme.pdf - (UNDER ANALYSIS)
　readme2.pdf - (UNDER ANALYSIS)
　rferfref5.exe - (TR/Drop.BHO.BT) next update
　update.exe - TR/Agent.clzx
黒２，未検出５。　未検出の内、黒判定２（次回update対応），解析中３。

Kaspersky 2009/06/15 19:59:00
　load.exe -
　normalLeap.swf -
　notTheoryCites.pdf -
　readme.pdf -
　readme2.pdf -
　rferfref5.exe -
　update.exe - Trojan.Win32.Agent.clzx
黒１，未検出６。　未検出分提出済み。
510 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 00:26:09 ]: >>507 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
511 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 00:39:17 ]: 最近送付には参加してないが、ざっと眺めて、真性のkeygenってわかればスルーするかな
512 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 01:07:06 ]: Rising 2009 21.43.04 (21.34.04.00)
>>113
ActivatedSetup.exe: Trojan.Win32.FakeAV.qk
1/10
>>384
frfr5.exe: Trojan.Win32.Nodef.kaa
2+1=3/10
>>406
Setup_build6_27.exe: Trojan.DL.Win32.Nodef.tq
1+1=2/8
>>451
load2.exe: Trojan.Win32.Nodef.kad
4(+1)+1=5(+1)/11
>>485
ldr.exe: Backdoor.Win32.Ntos.dk
nero_key.exe: Trojan.DL.Win32.Undef.ewa
xpsp2patch.exe: Trojan.DL.Win32.Undef.evx
(+1)+3=3(+1)/10
>>493
31.exe>>66: Suspicious:Dropper.Win32.Mnless.GEN → Trojan.PSW.Win32.OnlineGame.zbl
37.exe: Trojan.Spy.Win32.Undef.lx
50.exe>>Aspack212r: Trojan.PSW.Win32.QQPass.ekk
6.exe>>upx_c>>6d: Trojan.PSW.Win32.OnlineGame.zbq
38(+1)+4(-1)=42/42
>>507
スルー
提出完了
513 名前：61 mailto:sage [2009/06/16(火) 01:14:59 ]: >>509
今回は返事が早かった．．．寝る前にKasperskyから返事来ました。
　load.exe_ - Trojan.Win32.Inject.adov,
　normalLeap.swf - Exploit.SWF.Downloader.nm,
　notTheoryCites.pdf_ - Exploit.Win32.Pidief.ban,
　readme.pdf_ - Exploit.Win32.Pidief.bar,
　readme2.pdf_ - Exploit.Win32.Pidief.bap,
　rferfref5.exe_ - Trojan.Win32.FraudPack.ovc

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

ということで、Kasperskyは>507 全黒でclose.

>>511
ん～、結構気をつけているけど、もしやっちゃったら指摘して欲しいのです。（汗　そこまで自分が完璧だと思わんし。
514 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 01:23:09 ]: >>506,508

自己責任

シマンテックにノートンのキージェネやクラックツールを送ってヤバいことになったバカがいたようなｗ
515 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 06:27:31 ]: >>507
McAfee (Active Protection 無効)1/7
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
normalleap.swf |inconclusive | | |no
nottheorycites.pdf |new detection |exploit-pdf.b |Trojan |yes
readme.pdf |heuristic detection |exploit-pdf.q.gen |Trojan |no
rferfref5.exe |new detection |generic dropper.p |Trojan |yes
update.exe |new detection |generic downloader.x!fi |Trojan |yes
516 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 13:54:10 ]: COMODO Internet Security　1339

>>507
tane0384\rferfref5.exe Heur.Packed.Unknown
tane0384\update.exe TrojWare.Win32.Trojan.Agent.Gen@23283614
2/7
未検出分を提出しました。

>>595はアップデートにて全て検出確認しました。
517 名前：516 mailto:sage [2009/06/16(火) 13:56:57 ]: 訂正。595じゃなく>>495でした。すんません。
>>493もアップデートにて全て検出確認しました。
518 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 19:56:42 ]: king 2009.6.16.18

>>507（tane0384）
0/7　スルー
未検出分を提出しました。
519 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 22:31:28 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=385
infected

検体入手元
GENO（いまだに生き残ってるサイトあるんだねぇ）
p://www■mennoyamaichi■co■jp/soumen/

偽FlashPlayer(5/26版)　前に提出したのは5/14頃。ファイル入れ代わってたようで。netの方は繋がりませんでした。
p://addobeflashplayer■com/flashplayer/thankyou/?installer=Flash_player_10_for_windows
p://addobeflashplayer■com/get/flashplayer/current/install_flash_player■exe

VirusTotal
install_flash_player■exe(15/40)
ttp://www.virustotal.com/analisis/6c187e1351d559e8ed1deac4daa61b73e67fb865565a0b5bcc13ec1d5a943bba-1245158717
520 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 23:13:32 ]: >>519,>>507
Norman,Zoner,nProtectを除く各社に提出完了。

最近、検出率の報告すらしてなくてすまん。送付だけで手一杯になるとは。orz
521 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 23:16:14 ]: >>507

>>509の後、対応が進んでますね。やっぱ早いなぁ。

AntiVir9
（５＋１／７）　残１＋HEUR１

load.exe : TR/Drop.Agent.20480 Trojan
normalLeap.swf : SWF/Drop.Small.MD SWF virus
notTheoryCites.pdf : HTML/Shellcode.Gen HTML script virus
readme.pdf : スルー
readme2.pdf : HEUR/HTML.Malware suspicious code
rferfref5.exe : TR/Drop.BHO.BT Trojan
update.exe : TR/Agent.clzx Trojan
522 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 23:28:08 ]: Rising 2009 21.43.14 (21.34.14.00)
>>474
install.exe: Packer.Win32.Agent.ar
readme.pdf: Hack.Exploit.Win32.PDF.jvp
1+2=3/10
>>507
load.exe: Trojan.Win32.Nodef.kaq
1/7
>>519
スルー
523 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/16(火) 23:41:57 ]: >>519 ㌧
カスペ2010 21:55:00

addobeflashplayer.com フォルダ
スルー 0/2

Gamburl.Aフォルダ
32/32
Detected Trojan program Trojan-Downloader.JS.Gumblar.a　　 tane0385\Gamburl.A\mennoyamaichi\*.html

検体提出
524 名前：61 mailto:sage [2009/06/17(水) 02:10:09 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=386
　DL virus／解凍 virus

【中身】　８個入っています。
flash.swf
　ttp://www.virustotal.com/jp/analisis/c2d4f2074b71d02546d73e235dbd965fab784b168d66b8273d38b9aca642ec42-1245169084 (8/39)
ins.exe
　ttp://www.virustotal.com/jp/analisis/33c3518f7555aa7b407570e8174133563621629ff2ff8e3c468ffca8da703f3b-1245165082 (22/41)
installer_1.exe
　ttp://www.virustotal.com/jp/analisis/a65c0988cd1ed59d8d9cc668b930630e28dd8e110677ed79a95b95dfc48b0421-1245170132 (13/40)
load.exe
　ttp://www.virustotal.com/jp/analisis/e091b873ccdeed0e167f5cc85fc94d6759da00739e14f927cde8b59af9d32f69-1245167990 (3/40)
readme.pdf
　ttp://www.virustotal.com/jp/analisis/623595b5bc58b2c405feda4a57d36d5754cf326d5194d75d8f4b59f85f7706c9-1245168611 (12/40)
sdfsdf.exe
　ttp://www.virustotal.com/jp/analisis/3e9314888ad11497839781d9a4c9325e36caf86d59bc1ac7ece987e9c56a777b-1245169752 (6/41)
se.exe
　ttp://www.virustotal.com/jp/analisis/cdd0c6792ee7d2b36a122fe304999059985614ebc942a9eaa3d50d2ea1fc96a0-1245171050 (12/41)
setup.exe
　ttp://www.virustotal.com/jp/analisis/63668611fe62e28849ee30f605519b0d19c4686ad7eccc58e9483f5e70faa168-1245170869 (16/40)
525 名前：61 mailto:sage [2009/06/17(水) 02:19:25 ]: >>524
AVIRA9 7.01.04.100
　flash.swf - (SWF/Dldr.Agent.16752) next update
　ins.exe - TR/Spy.Agent.amif.4
　installer_1.exe - HEUR/Crypted , (UNDER ANALYSIS)
　load.exe - (25375700 MALWARE) next update
　readme.pdf - (UNDER ANALYSIS)
　sdfsdf.exe - TR/ATRAPS.Gen
　se.exe - TR/Crypt.ZPACK.Gen
　setup.exe - (UNDER ANALYSIS)
黒３，HEUR １，未検出４。　未検出の内、黒判定２（次回update対応），解析中２。

Kaspersky 2009/06/17 0:20:00
　flash.swf -
　ins.exe - Trojan-Spy.Win32.Agent.amif
　installer_1.exe -
　load.exe -
　readme.pdf - Exploit.JS.Pdfka.lr
　sdfsdf.exe - Trojan.Win32.Buzus.bgwj
　se.exe -
　setup.exe -
黒３，未検出５。　未検出分提出済み。
526 名前：523 mailto:sage [2009/06/17(水) 03:30:01 ]: >>519 (>>523)
カスペからの返事
32+事後検出1=33/34、回答待ち1(addobeflashplayer.com.htm)

install_flash_player.exe_ - Trojan-Dropper.Win32.Joiner.iz

New malicious software was found in this file.
527 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/17(水) 03:32:13 ]: >>524
McAfee (Active Protection 無効)5/8
未検出分＋ins.exeをMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
ins.exe |current detection |generic dropper.gh |Trojan |no
load.exe |inconclusive | | |no
sdfsdf.exe |inconclusive | | |no
se.exe |inconclusive | | |no
528 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/17(水) 11:03:30 ]: king 2009.6.17.7

>>519（tane0385）
スルー
>>524（tane0386）
スルー
全部提出させてもらいました(^_^;)
529 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/17(水) 11:14:49 ]: >>523 ㌧
>>525 代理提出㌧

カスペ2010 8:23
3+事後検出3=6/8

Trojan program Exploit.SWF.Agent.bc 　　tane0386\flash.swf
Trojan program Trojan-Downloader.Win32.Delf.uji 　　tane0386\se.exe
Trojan program Trojan-Downloader.Win32.FraudLoad.erd 　　tane0386\setup.exe

未検出分、提出
530 名前：529 mailto:sage [2009/06/17(水) 14:47:21 ]: >>523 (>>525,529)

カスペからの返事
3+事後検出5=8/8でクローズ

installer_1.exe_ - Trojan-Downloader.Win32.FraudLoad.ere
load.exe_ - Trojan-Downloader.Win32.FraudLoad.ere

This file is already detected. Please update your antivirus bases.
531 名前：529 mailto:sage [2009/06/17(水) 14:49:49 ]: >>529-530

検体は、
×>>523 → >>524に訂正。(tane0386)
スマヌ。
532 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/17(水) 15:32:22 ]: >>524
Norman Zoner nProtect を除くマイナー所を含む各社に提出完了。
533 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/17(水) 19:05:46 ]: >>519 >>524 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
534 名前：533 mailto:sage [2009/06/17(水) 19:13:28 ]: >>1
確認して、次回からテンプレを修正しておいて下さい

>>5の●Microsoft（マイクロソフト）
「１fileづつ」で「１０megabytes」までの制限だが、パスワード圧縮してやることで「1fileづつ」の方は制限をクリアできます

>>6の●ソフォス（Sophos)
ユーザープロダクトキーを持っていないと、一切「検体提供の受付」をしてもらえません
535 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/17(水) 19:50:27 ]: なんか偉そうだなおい。
MicrosoftもSophosも(少なくともフォームから送れば)届く。
536 名前：533 mailto:sage [2009/06/17(水) 19:59:02 ]: 試せばわかる
馬鹿はすっこんでてくれ
537 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/17(水) 20:10:10 ]: いつも送ってるが。
馬鹿はすっこんでてくれ。
538 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/17(水) 21:13:20 ]: Only one file can be submitted
at one time and the size of that file is limited to 10 megabytes.
If possible, please compress the file
and password protect the file with the password "infected" (without quotes).

If you want to submit more than one file for analysis,
please compress the files into a single archive
and password protect the files with the password "infected" (without quotes).
539 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 01:57:21 ]: Rising 2009 21.43.24 (21.34.24.00)
>>524
ins.exe>>DATA4: Trojan.PSW.Win32.GameOL.oyz
ins.exe>>DATA2: Trojan.Win32.Nodef.jwu
ins.exe: <Unknown virus>
installer_1.exe: Trojan.DL.Win32.Delf.zsu
load.exe: Trojan.Spy.Win32.Agent.eul
se.exe: Trojan.DL.Win32.Delf.zsw
setup.exe: Trojan.DL.Win32.Delf.zsv
1+4=5/8
540 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 07:55:58 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=387
virus
いかにもな作りなので撃墜率は高いと思われ。
541 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 08:36:56 ]: >>540 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
542 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 09:18:31 ]: >>534
｜>>6の●ソフォス（Sophos)
｜ユーザープロダクトキーを持っていないと、一切「検体提供の受付」をしてもらえません
受け付けはしてくれてますよ。昨日も送ったし。
プロダクトIDが必要なのは、検出結果や対応状況の返答を貰うこと。
543 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 11:20:48 ]: >>540 ㌧

カスペ2010 10:04
42/43

virus HEUR:Trojan.Win32.Generic 　　03.exe　　07.exe　　08.exe　　24.exe
virus HEUR:Trojan.Win32.Invader、unknown threat UDS:DangerousObject.Multi.Generic 　　39.exe
Trojan-GameThief.Win32.Magania.bfwc 　　0.exe
Trojan-Clicker.Win32.VB.cyu 　　02.exe
Trojan-Dropper.Win32.Agent.atmg 　　06.exe
Trojan-GameThief.Win32.Magania.bfdq 　　1.exe　　12.exe,　　20.exe　　32.exe　34.exe
Trojan-GameThief.Win32.Magania.bgtx 　　2.exe
Trojan-GameThief.Win32.Magania.bful 　　3.exe　　6.exe,　　9.exe 　　11.exe　　18.exe　　27.exe
Trojan-PSW.Win32.LdPinch.agqc 　　4.exe
Trojan-GameThief.Win32.Magania.bfru 　　7.exe,　　8.exe　　10.exe　　　　13.exe 　　15.exe　　 17.exe.　　19.exe　　33.exe
Trojan-GameThief.Win32.Magania.bfrp 　　14.exe
Trojan-Dropper.Win32.Agent.asul 　　16.exe
Trojan-GameThief.Win32.Magania.awce 　　21.exe
Trojan-PSW.Win32.LdPinch.afvp 　　25.exe
Trojan-Dropper.Win32.VB.kff 　　26.exe
Trojan-GameThief.Win32.Magania.bfsy 　　28.exe
Trojan-GameThief.Win32.Magania.beaa 　　29.exe
Trojan-GameThief.Win32.Magania.bfgu 　　30.exe
Trojan-PSW.Win32.Agent.ner 　　31.exe
Trojan-GameThief.Win32.Magania.bffe 　　35.exe
Trojan-GameThief.Win32.Magania.bfws 　　36.exe,　　37.exe
Trojan-Downloader.Win32.Banload.aeyp 　　nspk1.exe

ヒューリスティック含め検体提出します。
544 名前：543 mailto:sage [2009/06/18(木) 11:22:04 ]: >>543
カスペ 42/46に訂正。
545 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 12:56:39 ]: Rising 2009 21.43.30 (21.34.30.00)
>>474
codec2.exe: Trojan.DL.Win32.Undef.exe
3+1=4/10
>>485
1.exe: Trojan.Spy.Win32.Undef.mp
codec2.exe: Trojan.DL.Win32.Undef.exe
codec3.exe: Trojan.DL.Win32.Undef.exe
codec.exe: Trojan.DL.Win32.Undef.exe
3(+1)+1=4(+1)/10
>>540
08.exe, 22.exe, 38.exe, nspk1.exe: スルー
42/46
提出完了
546 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 15:28:28 ]: >>540 (>>543,544)

カスペからの返事

42+追加検出2=44/46, 白2で一応クローズ

03.exe_ - Trojan.Win32.Agent.cmoh (←HEUR:Trojan.Win32.Generic)
08.exe_ - Trojan.Win32.Agent.cmon (←HEUR:Trojan.Win32.Generic)
22.exe_ - Trojan.Win32.Agent.cmoi
38.exe_ - Trojan-Clicker.Win32.VB.cyw

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

24.exe_ - Trojan-GameThief.Win32.Magania.bhlq (←HEUR:Trojan.Win32.Generic)

This file is already detected. Please update your antivirus bases.

5.exe, 23.exe
No malicious software was found in the attached file.
547 名前：546 mailto:sage [2009/06/18(木) 15:54:00 ]: >>540 (>>543,544,546)
カスペ2010 14:41 (39.exeのみHeur.Invaderのまま）

Detected Trojan program Trojan-GameThief.Win32.Magania.bfru tane0387\7.exe　　(←HEUR:Trojan.Win32.Generic)
548 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 17:30:20 ]: >>540
McAfee (Active Protection 無効)37/46
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
02.exe |new detection |generic.dx!mz |Trojan |yes
07.exe |inconclusive | | |no
08.exe |inconclusive | | |no
16.exe |new detection |generic pws.y!ch |Trojan |yes
22.exe |inconclusive | | |no
23.exe |new detection |generic.dx!mz |Trojan |yes
38.exe |inconclusive | | |no
5.exe |inconclusive | | |no
nspk1.exe |new detection |pws-banker!cw |Trojan |yes
549 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 18:01:27 ]: >>540 乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

>>542
＞プロダクトIDが必要なのは、検出結果や対応状況の返答を貰うこと。
なるほど了解
せっかく提出してるのに受け付けてもらえないのかと思ってしまった。。。
Sophosが本国ですら支持されていない理由の一端を垣間見たような気がします
550 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 18:15:47 ]: じゃあ謝っとけ
551 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 18:17:05 ]: Sophosは企業向けだけだろ
支持されないとかどこで分かったんだ？
552 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 18:36:14 ]: また嘘だろ
知らなきゃ書かなきゃ良いのに
553 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 19:49:47 ]: Sophos Anti-Virus 7.3.0
Protect your network,
desktop and even remote laptop computers from the latest viruses
554 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 22:20:15 ]: >>549は平気で重複提出する馬鹿だから仕方ない
いや、重複提出自体は悪じゃないんだが先に提出した人に「乙」すら書かない礼儀知らず
555 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 22:26:15 ]: それはガン無視されてんだろｗ
556 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/18(木) 22:41:25 ]: いや、スレの流れを読めないんだろｗ
557 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/19(金) 01:21:12 ]: Rising 2009 21.43.34 (21.34.34.00)
>>359
readme.pdf: Hack.Exploit.Win32.PDF.jvr
1+1=2/4
>>364
jpg\jpg.scr>>server.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.ms
jpg\jpg.scr>>sernn.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.mr
jpg\sernn.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.mr
jpg\server.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.ms
tmhcar\360.htm: Trojan.DL.Script.JS.Agent.pg
29+3+1=33/34
>>372
popingred.pdf: Hack.Exploit.Script.PDF.j
popingred.swf: Hack.Exploit.Win32.SWF.q
scriptvirus01.htm: Trojan.DL.Script.HTML.Agent.am
scriptvirus02.htm: Trojan.DL.Script.HTML.Agent.an
scriptvirus04.htm: Trojan.DL.Script.JS.Agent.pf
TubeViewer.ver.6.40000.exe: Trojan.DL.Win32.Undef.exz
2+6=8/10
>>384
demos.exe: Trojan.Spy.Win32.Undef.mw
Keygen&Crack.45000.exe: Trojan.DL.Win32.Undef.exi
scriptvirus05.htm: Trojan.DL.Script.HTML.Agent.ao
3+3=6/10
558 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/19(金) 01:22:32 ]: Rising 2009 >>557の続き
>>393
188.pdf: Hack.Exploit.Win32.PDF.jvt
infect.php: Trojan.Spy.Win32.Undef.my
load.exe: Trojan.Spy.Win32.Undef.mz
scriptvirus08.htm, scriptvirus09.htm: Trojan.Script.HTML.Agent.p
1+5=6/10
>>406
deisvop.htm: Trojan.Script.JS.Agent.ci
2+1=3/8
>>485 ( >>545集計間違えてました: 3(+1)+4(-1)=7/10 )
bin.exe: Trojan.Spy.Win32.Undef.mt
bot.exe: Trojan.Spy.Win32.Undef.mv
7+2=9/10
id.htmは不是病毒との返答あり
>>540
08.exe: Trojan.DL.Win32.VB.zyy
22.exe: Trojan.PSW.Win32.OnlineGame.zcp
38.exe: Trojan.DL.Win32.Small.zuz
42+3=45/46
559 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/19(金) 11:27:31 ]: COMODO Internet Security　1339

>>519
33/34

>>524
8/8

>>540
46/46

未検出分を提出しました。
560 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/19(金) 11:54:06 ]: >>540
カスペ返答
This file is already detected. Please update your bases.

23.exe_ clean
5.exe_ clean
561 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/19(金) 12:07:26 ]: king 2009.6.19.7

>>540
02.exe、06.exe、07.exe、08.exeスルー
42/46
未検出分を提出しました。
562 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/19(金) 22:52:51 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=389
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=390
infected

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=391
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=392
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=393
infected

tane389.zip：ZIP圧縮のみ
tane390.zip：ZIP圧縮のみ
tane391.zip：7z→ZIPの二重圧縮（7zも解凍パス infected ）
tane392.zip：7z→ZIPの二重圧縮（7zも解凍パス infected ）
tane393.zip：7z→ZIPの二重圧縮（7zも解凍パス infected ）

検体入手元
　マルウェアドメインリストにあったものからここ１週間位に登録された
　ものから適当に拾ってみました。まさかここまで容量があるとは。（199MBってなに!?）
　ファイル名に見覚えのあるのがかなりあったので、61さんが上げておられる
　検体と被っているものが多いかもしれません。
　p://www■malwaredomainlist■com/mdl■php
　でかい方（7zも使って二重圧縮）は、ファイル名からすると、提出すべきか悩むところ。
　各自の判断でお願いします。自分の使ってるセキュリティソフト分位なら、
　分割して送ればなんとかなるでしょう。

・AntiVirには、未検出分＋ヒューリスティック１（ZIP圧縮で3MB程度）をftp経由で提出しています。
・FTPアカウントを貰っているAntiyLabsにも提出済み。
・BitDefenderは、一番容量でかいところをまるまるスルーしてたので、120MBとか提出無理で諦めました。
・a-Squearedは、Bitよりましでしたが、58MBとか…（でかいとこ抜けば2MB程度）

各自、未検出分だけでも提出がんばれ。わたしは集めただけで力尽きました。(o_ _)o ぱたり
563 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/19(金) 23:46:24 ]: >>562 乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出します
564 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/19(金) 23:50:07 ]: >>562 乙

カスペ2010 21:21

tane0389
151/190

tane0390
7/7でFA.

tane0391
8/14

tane0392
28/41

tane0393
6/9

忙しいので、タイミングを見て提出。
余裕がある方は、先に提出していただいて結構です。
しかし、多いね。ｗ
565 名前：61 mailto:sage [2009/06/20(土) 00:26:47 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=394
　DL virus／解凍 virus

【中身】　１０個入っています。
getexe.exe
　ttp://www.virustotal.com/jp/analisis/4cba121dcc44d48b0fc9ea72ebc4105fdbe60162cbcd6db2373992993887cb0e-1245421635 (16/41)
index.htm
　ttp://www.virustotal.com/jp/analisis/1fad64ba6baeb4680bb9ae65fa4ba5e03becf8b2e102a6d0ae8f014c690daf8f-1245422649 (3/41)
load.exe
　ttp://www.virustotal.com/jp/analisis/c9782267ebacb929b69f2d561f8f5a1606a01cd3e57608af8e2c95586dd719ce-1245419951 (18/41)
load2.exe
　ttp://www.virustotal.com/jp/analisis/ae2757112862927067d1d4c05a2c114587342a1993171f286c66d54613ed3208-1245420999 (1/41)
load3.exe
　ttp://www.virustotal.com/jp/analisis/7939cea52c61651831a0fbc786b2429e6f0dc0e73e219992f3186d1eeb9c7262-1245422076 (5/41)
loader.exe
　ttp://www.virustotal.com/jp/analisis/d173830c46bf17aba70145731718a18d5de01991de5ed6bdcf1c90b475f5c1f7-1245423525 (22/41)
readme.pdf
　ttp://www.virustotal.com/jp/analisis/d32991834101c31f16e00f5f2bcd77980e60c2b29aa2a1f38a63b0cfe5fa1a1b-1245419577 (14/41)
Setup.exe
　ttp://www.virustotal.com/jp/analisis/768ace3dee14aa958af2c3e425c0791e1466ce5773a81e97b9cc6d587ef13b73-1245423987 (23/41)
sitesS.swf
　ttp://www.virustotal.com/jp/analisis/1025991a260093eaf00e03e4b243bdb00ce10799331511d1b4cf53b948aeadb3-1245422313 (3/40)
winres.exe
　ttp://www.virustotal.com/jp/analisis/4cd2a370666c3e3e51eb336065912f154c43ed4a541d7a4a654348bb44ffa6c3-1245422938 (7/41)

こちらもMDLから持ってきているので、今回は>562さんと重複しているかも。

MDLは黒確率非常に高いけど、逆に古いもの（検出ベンダー35以上とか）も結構入っているので、何も考えずに全部出すと
ベンダーの迷惑になるため、出す人は自分のソフトで検出しない物を出した方が吉です。
566 名前：61 mailto:sage [2009/06/20(土) 00:44:40 ]: >>565
AVIRA9 7.01.04.116
　getexe.exe - (UNDER ANALYSIS)
　index.htm - (UNDER ANALYSIS)
　load.exe - TR/Crypt.ZPACK.Gen
　load2.exe - (UNDER ANALYSIS)
　load3.exe - (UNDER ANALYSIS)
　loader.exe - TR/Crypt.ZPACK.Gen
　readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
　Setup.exe - TR/Downloader.Gen
　sitesS.swf - (UNDER ANALYSIS)
　winres.exe - TR/Drop.VB.mgh
黒４，HEUR １，未検出５。HEURと未検出提出済。

Kaspersky 2009/06/19 21:21:00
　getexe.exe - Trojan-Spy.Win32.Agent.avxf
　index.htm -
　load.exe - Trojan-Spy.Win32.Zbot.gen
　load2.exe -
　load3.exe -
　loader.exe - Trojan-Spy.Win32.Zbot.gen
　readme.pdf - Exploit.JS.Pdfka.lf
　Setup.exe - Net-Worm.Win32.Koobface.d
　sitesS.swf -
　winres.exe -
黒５，未検出５。未検出分提出済。

あと、ここの人なら言わなくても大丈夫な気もしますが、MDLは、ほとんどのベンダーをすり抜けるような新種も結構あります。
なので、MDLのリストから検体確保する人は、最低限VirtualPCか検出専用機などの環境は準備をした方が良いです。
（VirtualPC＋Win2Kがお手軽です。OSが軽いのでVirtualPCでもストレス感じませんし、イメージファイルも小さくてすむので
ミスって感染した時に使う復旧用クリーンイメージの保管も場所を取りません。）
567 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 00:50:11 ]: >>565 乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出します
568 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 01:20:50 ]: Rising 2009 21.43.34 (21.34.34.00)
>>113
Work.exe: Worm.Win32.Agent.auk
1+1=2/10
>>372
popingred.exe: Dropper.Win32.Undef.acm
8+1=9/10
>>451
load3.exe: Dropper.Win32.Nodef.gc
5(+1)+1=6(+1)/11
>>562
>tane0389
118(+4)/190 (二重検出が3つほどあったので正確には115(+4))
>tane0390
5/7
>tane0391
0/14
>tane0392
25/41
>tane0393
0/9
すべて提出保留
>>565
スルー、提出完了
569 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 06:29:23 ]: PFWなしでのんびりWUしてたら感染しちゃったｗのを駆除にいってきた。っていうのをもらってきた
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=396 dl:hszscf rar:dhbvzs

0001 がたぶん本体。0001B はProgramFiles にできる。
Ｃ以外のexeに感染しようとする感染したexeと0001B の実行部分が同じなので、0001B は感染メインか、感染スタブかと
0002 も同じPC から拾ったやつで、関連は不明だが、常駐形態が0001 とおんなじなので、同出所のサブファイルかなと
570 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 06:34:09 ]: あーすまん、解パスまでランダム化する必要なかったんだ寝ぼけてるわ
571 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 06:48:35 ]: うｐしなおし
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=398 dl:hszscf
572 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 06:48:57 ]: ここまで、McAfee
提出困難なもの(tane0390 サイズ制限)を除き提出完了。
詳細はうｐしました。
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=397
infected
573 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 07:04:33 ]: >>571
解パスおながい
574 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 07:42:55 ]: ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
575 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 08:27:04 ]: >>571
ファイル名（0001） 30049752008e569748c301a43c2de700cc619eb8.EXE
ttp://www.virustotal.com/jp/analisis/3b896a906d8cee49e3783da5e7278f492740b56bef914fde37527af9efa782a5-1245440682
ファイル名 (0001B) VC0G8AJTF5NN.exe.vir
ttp://www.virustotal.com/jp/analisis/2d163ba0c40ea36af279e7786289c096f500a4f8f08cfe8b06a092be1e9e6f50-1245034690
ファイル名 (0002) ae4c3ea9006679f9e0c900d08f2beb00c7a032b5.EXE
ttp://www.virustotal.com/jp/analisis/07e1870dee724b97220fd60c77310fc56e1fbdebc45c001c6a03423501a3e795-1245401829
576 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 08:31:12 ]: >>571
McAfee (Active Protection 無効)0/3
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0001.bin |inconclusive | | |no
0001b.bin |inconclusive | | |no
0002.bin |inconclusive | | |no
577 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 08:52:09 ]: >>569-571
AntiVir (3/3) 全部撃墜
578 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 08:55:24 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=399
infected

日替わりのネトゲアカハックトロイと、SPAMメールに直接exeのアドレスが書いてあったのを拾ったもの。

検体入手元
p://www■cavle-online■com/play■exe
p://220■194■44■67/~nbfe47/bestvideo■avi■exe
579 名前：61 mailto:sage [2009/06/20(土) 09:36:33 ]: >>562　乙です。　今日は時間が無いのでtane389の分だけ先に
Kaspersky 2009/06/20 07:07:00

１９０個の内、HEUR検出５，未検出３３個。なので、計算では確定検出１５２個

【提出済】　６個
HEUR ５個
　moviesdesert.org\0nonus.jpg - HEUR:Trojan.Win32.Generic
　f97q.cn\index.php - HEUR:Trojan-Downloader.Script.Generic
　anti-payed-porn\index.php - HEUR:Exploit.Script.Generic
　almasto.net\lnk.php - HEUR:Exploit.Script.Generic
　5yttrre.cn\xx20.exe - HEUR:Trojan.Win32.Generic

>565と重複　1個
　xz.ub9.net\winres.exe
580 名前：61 mailto:sage [2009/06/20(土) 09:39:14 ]: >>562　>579 続き

【提出しないもの】　１７個

zbotのconfig fileで、マルウェアではないことが確定済み。(14個） - 環境ごとに中身が違うが、単なる設定ファイルでしかないのでベンダーに無視される。
　7171.freehostia.com\cfg.bin
　djellow.com\djwl.bin
　ecounterstats.ws\cfg.bin
　forserv.net\config.bin
　klikvs.cn\EXP_01.bin
　mywebsite\config.bin
　noproblemz.net\cf.bin
　noproblemz.net\cm.bin
　omizerto.com\tttt.bin
　porevovsem.ru\config.bin
　shock-world.mobi\cfg.bin
　tinrussia.cn\a.b
　w00tl33t.h1x.com\cfg1tor.bin
　x-systems.name\cfg.bin

中身がマルウェアではない。（３個）
　mias.tw\index.php - 404エラーメッセージで無意味
　viva-delpinata2.com\index.php - 0 byte
　www.realinnovation.com\menu.js - マルウェアではないメッセージに変更後のもの。

後は提出。
581 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 09:45:02 ]: >>578
McAfee (Active Protection 無効)1/3
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bestvideo.avi.exe |heuristic detection |new malware.jj |Trojan |no
play.exe |current detection |backdoor-ckb.dr |Trojan |no
582 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 10:25:43 ]: >>578さん乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです
583 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 10:37:24 ]: king 2009.6.19.21

>>562
tane0389
110/190

tane0390
4/7

tane0391
4/14

tane0392
7/41

tane0393
5/9

時間掛かりましたが・・・未検出分提出させて頂きました。
584 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 11:17:28 ]: king 2009.6.19.21

>>565
tane0394\Setup.exe /Worm.Koobface.d.53248
1/10

>>578（tane0399）
スルー
0/3

未検出分を提出させて頂きました。
585 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 13:29:25 ]: Rising 2009 21.43.50 (21.34.50.00)
>>571
0001B.bin: Worm.Win32.Agent.auf
0002.bin: Harm.Win32.Agent.kn
2/3
>>578
スルー

検体提出完了

>>568 定義番号修正
Rising 2009 21.43.44 (21.34.44.00)
586 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 19:04:09 ]: >>578
VTこんでたのでvirscan
play.ext(23/38)
www.virscan.org/report/461d32621b5212b908e89cec7163e75f.html

他もやろうと思ったんだけどタイムオーバーだすまん
587 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 20:11:05 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=400
infected

検体入手元
p://www■hotgome■net/
p://www■okireng■com/
p://www■livedoorm■com/Test■exe
p://www■shaimokale■com/livedoor■scr

呼び出しのhtml類も入ってます。
588 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 20:53:14 ]: >>587さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
589 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 21:01:00 ]: >>587
McAfee (Active Protection 無効)3/29
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
cx.js |inconclusive | | |no
dd115.swf |inconclusive | | |no
dd16.swf |inconclusive | | |no
dd28.swf |inconclusive | | |no
dd45.swf |inconclusive | | |no
dd47.swf |inconclusive | | |no
dd64.swf |inconclusive | | |no
dk11.html |inconclusive | | |no
dk122121.htm |heuristic detection |exploit-realplay.h |Trojan |no
dk14.htm |inconclusive | | |no
590 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 21:01:33 ]: dk22.html |inconclusive | | |no
dkbf.htm |inconclusive | | |no
dkcx.htm |inconclusive | | |no
dkff.htm |inconclusive | | |no
dkfl.htm |inconclusive | | |no
dkgg.htm |inconclusive | | |no
dkxxz.htm |inconclusive | | |no
kk115.swf |inconclusive | | |no
kk16.swf |inconclusive | | |no
kk28.swf |inconclusive | | |no
kk45.swf |inconclusive | | |no
kk47.swf |inconclusive | | |no
kk64.swf |inconclusive | | |no
livedoor.scr |current detection |backdoor-ckb.dr |Trojan |no
ruixing.js |heuristic detection |beav-shellcode |Application |no
swfobject.js |no malware | | |no
www.hotgome.net.htm |heuristic detection |with fishy extension |Application |no
591 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/20(土) 22:53:53 ]: >>578 >>587
各社一式提出完了（但し、norman、zonerを除く）
592 名前：61 mailto:sage [2009/06/20(土) 23:02:10 ]: >>571
AVIRA 7.01.04.117
　0001.bin - TR/Crypt.XPACK.Gen
　0001B.bin - TR/Drop.Agen.102912
　0002.bin - TR/Downloader.Gen
黒３（3/3）

Kaspersky 2009/06/20 20:34:00
　0001.bin -
　0001B.bin - Trojan-Downloader.Win32.Agent.cfsn
　0002.bin -
黒１，未検出２。未検出分提出済。
593 名前：61 mailto:sage [2009/06/20(土) 23:45:15 ]: >>578 乙です。
AVIRA 7.01.04.117
　1199.exe - DR/PcClient.Gen
　bestvideo.avi.exe - TR/Crypt.ZPACK.Gen
　play.exe - TR/Dropper.Gen
黒３（3/3）

Kaspersky 2009/06/20 22:26:00
　1199.exe - Backdoor.Win32.PcClient.aqzb
　bestvideo.avi.exe - Trojan-Downloader.Win32.Small.jwl
　play.exe - Backdoor.Win32.PcClient.aqzb
黒３（3/3）
594 名前：61 mailto:sage [2009/06/20(土) 23:55:12 ]: >>592
Kaspersky返答
　0001.bin - Trojan-Dropper.Win32.Agent.auhl
　0002.bin - Trojan-Dropper.Win32.Agent.auhm
黒１＋事後２＝黒３ (3/3)でclose.
595 名前：61 mailto:sage [2009/06/21(日) 03:08:28 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=401
　DL virus／解凍 virus

【中身】　８個入っています。
65.js
　ttp://www.virustotal.com/jp/analisis/1aca72ba9d9e771964f3160ebbba96fe9a107e4636fdd63ce8089a0143149709-1245515267 (8/41)
codec.exe
　ttp://www.virustotal.com/jp/analisis/11be143604080462beba2a9b9f6abfdbacb5260d2968176f107fe8543b9676eb-1245513402 (17/41)
install.exe
　ttp://www.virustotal.com/jp/analisis/2ac8e8dff70ba00b221ec1986ffc4f08df89c1fae4744192f3e1eacffd420e2d-1245518262 (12/41)
install2.exe
　ttp://www.virustotal.com/jp/analisis/4cc98fdcd6cfe24cb3e86dac213e3eb3ea45bf2e9b1f026f29a40151a387c3cf-1245518793 （13/41）
install3.exe
　ttp://www.virustotal.com/jp/analisis/5773804d0a77c89c30e655bae57bfa687dd321c3ab1010bc68f3ea404ab05dd9-1245504445 (12/41)
install4.exe
　ttp://www.virustotal.com/jp/analisis/6d14a007ed289d9c66ae3059c60236fee75153f2d51da5094ec0b88d7e23305d-1245519526 (13/40)
o.js
　ttp://www.virustotal.com/jp/analisis/71aeff6800993c39cdcbfeeee14705d41c2ddc868f60c4eaa6469ded2337b450-1245510762 (0/41)
thehouseoforange_com.htm
　ttp://www.virustotal.com/jp/analisis/f6e884568eafbbc4fb0725496d6e688553bd8941fea73019a3fb532e3c6c3244-1245517053 (13/41)

o.jsがMDLに大量に載せられているTHEPLANET.COMの呼び出しスクリプトです。
VTでは0/41ですが、次に書く通り、既にKasperskyで黒判定が出ています。

あと、こちらで確認した結果では、o.jsが呼び出すマルウェアがinstall3.exeでした。
（install.exe～install4.exeは、多分同種のマルウェア。元のファイル名は全てinstall.exe）
596 名前：61 mailto:sage [2009/06/21(日) 03:16:49 ]: >>595
AVIRA9 7.01.04.117
　65.js - (UNDER ANALYSIS)
　codec.exe - (UNDER ANALYSIS)
　install.exe - TR/Dropper.Gen
　install2.exe - TR/Dropper.Gen
　install3.exe - TR/Dropper.Gen
　install4.exe - TR/Dropper.Gen
　o.js - (UNDER ANALYSIS)
　thehouseoforange_com.htm - (UNDER ANALYSIS)
黒４，未検出４。未検出分提出済。

Kaspersky 2009/06/21 2:42:00
　65.js - Exploit.JS.Pdfka.gx
　codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
　install.exe -
　install2.exe -
　install3.exe -
　install4.exe -
　o.js - (Trojan-Downloader.JS.Small.oa) 次回アップデート
　thehouseoforange_com.htm - Trojan-Downloader.JS.Iframe.zi
黒３，未検出５。未検出分提出済。（内、黒判定１）

※ thehouseoforange_com.htmは、不正なコードが挿入されたサイトのhtml
597 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 03:32:55 ]: >>595
NormanとZoner以外の各社に提出完了。
598 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 03:54:30 ]: Rising 2009 21.43.52 (21.34.52.00)
>>565
Setup.exe>>upx_c: Worm.Win32.Koobface.ay
1/10
>>587
www.hotgome.net\js\cx.js: Hack.Exploit.Script.JS.Agent.is
www.hotgome.net\swf\*.swf: Hack.Exploit.Swf.a
www.hotgome.net\www.hotgome.net.htm: Trojan.DL.Script.JS.Agent.os
14/29
>>595
install.exe: Trojan.Win32.FakeAV.oh
install2.exe: Trojan.Win32.FakeAV.oh
install3.exe: Trojan.Win32.FakeAV.oh
install4.exe: Trojan.Win32.FakeAV.oh
4/8
599 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 09:20:32 ]: >>595さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
600 名前：61 mailto:sage [2009/06/21(日) 11:14:21 ]: >>596
Kaspersky 2009/06/21 9:42:00
　install.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
　install2.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
　install3.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
　install4.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
　o.js - Trojan-Downloader.JS.Small.oa （検出可能になっている）

installの方、返答無いけど検出可。黒３＋事後黒５＝黒８ (8/8)でclose.
601 名前：61 mailto:sage [2009/06/21(日) 11:40:36 ]: >>562,579
Kasperskyから返答あったHEURの分。Kaspersky 2009/06/21 9:42:00で検出可確認済み。
　moviesdesert.org\0nonus.jpg - Trojan-Downloader.Win32.VB.ome
　f97q.cn\index.php - Trojan.JS.Agent.aia
　anti-payed-porn\index.php - Trojan-Downloader.JS.Iframe.bgx
　almasto.net\lnk.php - Trojan-Downloader.JS.Agent.eev
　5yttrre.cn\xx20.exe - Trojan-GameThief.Win32.Magania.bhw

提出分で返事があったもの
　www.tudouwg.com\tdzy3.82.exe - 白
tdzy3.82.exe VT現状
　ttp://www.virustotal.com/jp/analisis/af6b23f0d1323d44894f80fe525752e8d45c443f0208c235bc2b8aa0765496f4-1245551597 (20/41）

また、後でひっくり返し来るかな？

それ以外は返事が無くて、対処？もまだ。（ちなみに>565-566も放置されてる。）　とうとうKasperskyもパンクした？
602 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 13:59:52 ]: カスペ2010 12:12
>>565 (tane0394) (>>566)
5+事後検出1=6/10
Trojan program Trojan.Win32.Pakes.nmw 　　tane0394.zip/load2.exe

>>571 (tane0398)
1+事後検出2=3/3でクローズ
Trojan program Trojan-Downloader.Win32.Agent.cfsn 　tane0398.rar/0001B.bin
Trojan program Trojan-Dropper.Win32.Agent.auhm 　　tane0398.rar/0002.bin

>>578 (tane0399)
>>593通り、3/3でクローズ

>>587 (tane0400)
21/29
●tane0400.zip/www.hotgome.net/ (6)
Trojan program Trojan-Downloader.JS.SWFlash.aw 　　DK11.html
Trojan program Trojan-Downloader.JS.Agent.dwx 　　DK14.htm
virus HEUR:Exploit.Script.Generic 　　DKbf.htm
Trojan program Trojan-Downloader.JS.Agent.dsk 　　DKff.htm
Trojan program Trojan-Downloader.JS.Iframe.avv 　　www.hotgome.net.htm
Trojan program Exploit.JS.Agent.aip 　　DKgg.htm
●tane0400.zip/www.hotgome.net/www.livedoorm.com (1)
Trojan program Backdoor.Win32.PcClient.aqzj 　　Test.exe
●tane0400.zip/www.hotgome.net/swf (12)
Trojan program Exploit.SWF.Downloader.mu 　　/swf/*.swf (12 files)
●tane0400\www.shaimokale.com/ (2)
Trojan program Backdoor.Win32.PcClient.arbi 　livedoor.scr
Trojan program Backdoor.Win32.PcClient.arbi 　\張佑赫.exe

>>595（tane0401）
>>596,600通り、8/8でクローズ
603 名前：602 mailto:sage [2009/06/21(日) 14:03:25 ]: 未検出検体、カスペに提出。

>>562（tane0389-tane0393）も逐次提出。
604 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 15:04:23 ]: COMODO Internet Security　1382

>>562
tane389 73/190
tane390 7/7
tane391 4/14
tane392 25/41
tane393 5/9

>>565
tane394 4/10

>>571
解凍出来ない為に未検査

>>578
tane399 1/3

>>587
tane400 9/29

>>595
tane401 スルー

未検出分を提出しました。
605 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 16:14:13 ]: >>587関連htmlで無さそうだったもの1つ
見落としてたらごめんなさい

tane.sakuratan.com/upload/upload.cgi?mode=dl&file=403
infected

検体入手元
livedoorm■com/Test■html

virscan (9/38)
www.virscan.org/report/d919bd13fba716e104da91588c5c8a8c.html
606 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 16:41:40 ]: >>605
あー、404だと思ったら、wwwつけたら落ちてきたわ

AntiVir 撃墜。
607 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 16:46:47 ]: >605
6/14時点 (15/41)
www.virustotal.com/analisis/3133c6024300df639aeac0279ce85bc5768d0135a1566a3640c732f9e416a1a5-1245163040

6/21時点 (17/41)
www.virustotal.com/analisis/3133c6024300df639aeac0279ce85bc5768d0135a1566a3640c732f9e416a1a5-1245570481
608 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 17:09:15 ]: Rising 2009 21.43.61 (21.34.61.00)
>>359
load.exe: Trojan.Spy.Win32.Undef.nh
2+1=3/4 (index.htmは不是病毒)
>>384
svcshostes.exe: Trojan.Spy.Win32.Undef.ni
6+1=7/10
>>393
cn.pdf: Hack.Exploit.Win32.PDF.jvu
troj.exe: Trojan.Spy.Win32.Undef.nn
6+2=8/10
>>605
Test.html: Trojan.DL.VBS.Small.ep
1/1
609 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 18:16:35 ]: カスペからの返事 tane0387
>>540 (>>543,544,546)
42+追加検出2-白変更1=43/46で再クローズ

39.exe - No malicious code was found in this file. (←HEUR:Trojan.Win32.Invaderから白への変更）

>>565(>>566,602) tane0394
5+事後検出(1+2)=8/10、回答待ち1
index.htm_ - Trojan-Downloader.JS.Iframe.bhe
load3.exe_ - Trojan.Win32.Pakes.nmx

New malicious software was found in this file.

>>562のtane0389提出完了,これからtane0390-0393提出予定

で、VT検出の14ファイル提出
たぶん161ファイルくらいが黒。（1ファイルで複数シグネチャ入り、1シグネチャで複数ファイルなどあり、現状、正確に計算できず。）

34.exe_ - Trojan-GameThief.Win32.OnLineGames.bmgn
setup.exe_ - Trojan.Win32.FraudPack.owu
pornotube912.htm_ - Trojan-Downloader.JS.Agent.eez
ManieZ.jpg_ - Trojan-Spy.PHP.Agent.a

New malicious software was found in this file.

svchost.jpg, load.exe, 　dd.jpg, angry.gif,　 SmartDownload.exe , tdzy3.82.exe - No malicious code was found in this file.
610 名前：61 mailto:sage [2009/06/21(日) 22:53:11 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=404
　DL virus／解凍 virus

【中身】　８個入っています。
7a1ae8bc2868407b0b957ba37148b1ec5520317.js
　ttp://www.virustotal.com/jp/analisis/338e1eb9903dd686189c3a84e89a8530ac7b467f282fdb2ba8d1d331a3c71148-1245589062 (1/41)
codec.exe
　ttp://www.virustotal.com/jp/analisis/1be2df1db2285035092ab989b30782a2b0084d979962798ada49886d5c0e461e-1245591093 (15/41)
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe
　ttp://www.virustotal.com/jp/analisis/2c022bad43237bdd14cb7d8c15c7f096f0b90a131b787271ccba67c7425c9419-1245589897 (5/41)
installer_1.exe
　ttp://www.virustotal.com/jp/analisis/f51f9459d97b51506f1b78250ee04e6ef5e83ccdc8580729e990ff370906234b-1245590775 (12/41)
pp.10.exe
　ttp://www.virustotal.com/jp/analisis/11ea03d0096249da907320e98bbad26fd666388767b9395c5d0f8474d381b719-1245587866 (7/41)
setup.exe
　ttp://www.virustotal.com/jp/analisis/691da8f007115bdd75b203a0332455a3092072c8c930db78d2f08c693a0a3f85-1245590460 (13/41)
Setup_build7_102.exe
　ttp://www.virustotal.com/jp/analisis/2b8082a7a5ad9bae9e7f4f4dafeba13aae8331d1964065e2a9b22d9f35c67c62-1245588691 (13/41)
streamviewer.40009.exe
　ttp://www.virustotal.com/jp/analisis/559923223dbf27f218de5e5fc7c255c0eae745026001253785de189d6dffe186-1245590193 (5/41)

最初の長いjsは、マルウェアの呼び出しスクリプトです。　codec.exeは、>595の改変版。

あと、一応断っておきますが、crack.～は偽keygenです。VTの結果を見るか、それも信じられないなら自分でVTに投げるなり、
ハッシュをとってVTのハッシュと比較するなりご自由にどうぞです。　また、提出の判断も個人でお願いします。
611 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 23:00:41 ]: >>610
乙
Symantec、Panda、GDATA2009（＝avast!＆BitDefender）へ提出
612 名前：61 mailto:sage [2009/06/21(日) 23:03:57 ]: >>610
AVIRA9 7.01.04.119
　7a1ae8bc2868407b0b957ba37148b1ec5520317.js - (UNDER ANALYSIS)
　codec.exe - (UNDER ANALYSIS)
　crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe - (UNDER ANALYSIS)
　installer_1.exe - (UNDER ANALYSIS)
　pp.10.exe - TR/Downloader.Gen
　setup.exe - TR/Dropper.Gen
　Setup_build7_102.exe - TR/Crypt.XPACK.Gen
　streamviewer.40009.exe - (UNDER ANALYSIS)
黒３，未検出５（全部解析中）

Kaspersky 2009/06/21 21:19:00
　7a1ae8bc2868407b0b957ba37148b1ec5520317.js -
　codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
　crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe - Trojan.Win32.FraudPack.owo
　installer_1.exe -
　pp.10.exe - HEUR:Trojan.Win32.Generic (Trojan.Win32.Agent2.ksd)
　setup.exe - Trojan-Dropper.Win32.Agent.auid
　Setup_build7_102.exe -
　streamviewer.40009.exe - Trojan.Win32.FraudPack.owo
黒４，HEUR １，未検出３。未検出提出済み。なお、HEURは検出名の解答来てます。（カッコ内）
613 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 23:16:49 ]: Rising 2009 21.43.62 (21.34.62.00)
>>565
load3.exe: Backdoor.Win32.Undef.dwq
load.exe: Backdoor.Win32.Ntos.dp
1+2-3/10
>>610
スルー、提出完了
614 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/21(日) 23:30:37 ]: COMODO Internet Security　1385

>>610

crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe Heur.Packed.Unknown
streamviewer.40009.exe Heur.Packed.Unknown
2/8

未検出分を提出しました。
615 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/22(月) 00:23:58 ]: >>610さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
616 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/22(月) 00:28:50 ]: >>562(>>564)
カスペ2010 23:39

tane 0391
8+事後検出6=14/14でクローズ
virus not-a-virus:FraudTool.Win32.VirusSweeper.a 　　　　\ReleaseXP\ReleaseXP.exe
virus not-a-virus:FraudTool.Win32.VirusShield.j 　　　　\ReleaseXP\ReleaseXP(1).exe
Trojan program Packed.Win32.Krap.i 　　　　\ReleaseXP\ReleaseXP(2).exe,　　 ReleaseXP(3).exe
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.b 　　　　\ReleaseXP\ReleaseXP(4).exe
virus not-a-virus:FraudTool.Win32.PrestoTuneUp.b 　　ReleaseXP\ReleaseXP(5).exe
irus not-a-virus:FraudTool.Win32.MalwareCatcher2009.q 　　　　\ReleaseXP\ReleaseXP(6).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ag 　　\ReleaseXP\ReleaseXP(7).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.i 　　　　\ReleaseXP\ReleaseXP(8).exe
virus not-a-virus:FraudTool.Win32.VirusSweeper.a 　　　　\SetupPack\SetupPack.exe,　　 SetupPack(4).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ad 　　　　\SetupPack\SetupPack(1).exe,　　 \SetupPack(2).exe,　　 \SetupPack(3).exe

tane0393\SetupReleaseXP
6+事後検出3=9/14でクローズ
virus not-a-virus:FraudTool.Win32.VirusSweeper.a 　　SetupReleaseXP.exe ,　　SetupReleaseXP(1).exe,　　　SetupReleaseXP(3).exe,　　SetupReleaseXP(4).exe,　　SetupReleaseXP(8).exe
virus not-a-virus:FraudTool.Win32.VirusShield.j 　　SetupReleaseXP(2).exe
virus not-a-virus:FraudTool.Win32.MalwareCatcher2009.q 　　SetupReleaseXP(5).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ag 　　SetupReleaseXP(6).exe
virus not-a-virus:FraudTool.Win32.PrestoTuneUp.b 　　SetupReleaseXP(7).exe
617 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/22(月) 00:46:28 ]: カスペ2010 23:39
>>602, (>>604)
tane0393 >>616を9/9でクローズに誤記訂正

tane0382 28/41のまま検体提出します。
●tane0382\Setup
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.c 　　setup\setup(1).exe
virus not-a-virus:FraudTool.Win32.ExtraAntivir.h 　　setup\setup(2).exe
Trojan program Packed.Win32.Krap.i 　　setup\setup.exe,　　setup1.exe,　　uninstall(2).exe,　　\uninstall(3).exe,　　 update(2).exe,　　 \update(3).exe
Trojan program Packed.Win32.Krap.i 　　setup\Work(2).exe,　　 Work(3).exe,　　 Rpdm.exe
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.d 　　setup\uninstall(4).exe
virus not-a-virus:FraudTool.Win32.VirusDoctor.k 　　setup\uninstall(5).exe,　　update(5).exe
virus not-a-virus:FraudTool.Win32.ExtraAntivir.i 　　setup\uninstall(8).exe
Trojan program Trojan-Downloader.Win32.FraudLoad.eir 　　setup\update(4).exe
Trojan program Trojan-Downloader.Win32.FraudLoad.epy 　　setup\update(8).exe
virus not-a-virus:FraudTool.Win32.VirusSweeper.b 　　setup\update.exe
virus not-a-virus:FraudTool.Win32.Agent.rb 　　setup\Work(4).exe
virus not-a-virus:FraudTool.Win32.Agent.oh 　　setup\Work(5).exe
Trojan program Trojan.Win32.Qhost.lpu 　　setup\Work(8).exe
virus not-a-virus:FraudTool.Win32.Agent.oe 　　setup\Work.exe
●tane0382\SetupRelease
virus not-a-virus:FraudTool.Win32.VirusSweeper.a 　　SetupRelease\SetupRelease(1,　　2,　　3,　　4,　　8).exe (5files)
virus not-a-virus:FraudTool.Win32.PrestoTuneUp 　　SetupRelease\SetupRelease(5).exe

>>610㌧
>>612代理提出㌧。>>612さんの通り 5/10

カスペからの返事
>>562(tane0389) 白1追加
zy.jpg - No malicious code was found in this file.
618 名前：61 mailto:sage [2009/06/22(月) 01:17:10 ]: >>612
Kaspersky返答
　7a1ae8bc2868407b0b957ba37148b1ec5520317.js -　Trojan.JS.Agent.aik
　installer_1.exe -　not-a-virus:FraudTool.Win32.AntivirusPlus.iu
　Setup_build7_102.exe -　not-a-virus:FraudTool.Win32.FastAntivirus2009.ao

黒４，HEUR→黒１，事後黒３の全黒（8/8）でclose.
619 名前：617 mailto:sage [2009/06/22(月) 01:58:30 ]: カスペ2010 0:50:00
>>562(>>564,617)
tane0392
28+事後検出7=35/41,回答待ち6

virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ak 　　setup\uninstall(7).exe
virus not-a-virus:FraudTool.Win32.MalwareCatcher2009.t 　　setup\uninstall(6).exe
virus not-a-virus:FraudTool.Win32.VirusShield.n 　　setup\uninstall(1).exe
virus not-a-virus:FraudTool.Win32.Agent.rm 　　setup\update(7).exe
virus not-a-virus:FraudTool.Win32.Agent.rl 　　setup\update(6).exe
virus not-a-virus:FraudTool.Win32.Agent.rn 　　setup\update(1).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.al SetupRelease\SetupRelease(7).exe
620 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/22(月) 08:56:33 ]: ■ おすすめ２ちゃんねる開発中。。。 by FOX ★
このスレを見ている人はこんなスレも見ています。(ver 0.20)
【報告専用】同人サイト向け・GENOウィルス注意11 [同人]
鹿児島のテレビを語ろう　part7 [テレビサロン]
621 名前：617 mailto:sage [2009/06/22(月) 16:36:37 ]: カスペからの返事&追加検出 15:12
>>562(>>564,617,619)

tane0392
28+事後検出(7+5)=40/41, 回答待ち1(work(7).exe)

Work(1).exe_ - not-a-virus:FraudTool.Win32.Agent.rs
Work(6).exe_ - not-a-virus:FraudTool.Win32.Agent.rr
SetupRelease(6).exe_ - not-a-virus:FraudTool.Win32.MalwareCatcher2009.x

New potentially risk software was found in this file.

追加検出
Deleted virus not-a-virus:FraudTool.Win32.VirusSweeper.c tane0392\setup\uninstall.exe
Deleted virus not-a-virus:FraudTool.Win32.VirusShield.o tane0392\SetupRelease\SetupRelease.exe
622 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/22(月) 17:04:52 ]: >>610
McAfee (Active Protection 無効)3/8
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
--------------------|------------------------------|----------------------------|------------|-----
7a1ae8bc2868407b0b95|inconclusive | | |no
crack.amond.dvd.to.i|inconclusive | | |no
setup.exe |inconclusive | | |no
setup_build7_102.exe|inconclusive | | |no
streamviewer.40009.e|inconclusive | | |no
623 名前：617 mailto:sage [2009/06/23(火) 01:11:52 ]: カスペからの返事
>>562(>>564,617,619,621)

tane0392
28+事後検出(7+5+1)=41/41で終了

Work(7).exe_ - Trojan.Win32.Qhost.lql

New malicious software was found in this file.
624 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 03:45:28 ]: Rising 2009 21.44.04 (21.35.04.00)
>>565
load2.exe: Backdoor.Win32.Undef.dxj
3+1=4/10
>>610
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe: Backdoor.Win32.Undef.dxm
streamviewer.40009.exe: Backdoor.Win32.Undef.dxm
2/8
625 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 09:47:39 ]: >>571,>>578
McAfee最終返答。ペンディングで終了が１件か…

File Name Findings Detection Type
========= ======== ========= ====
1199.exe detected backdoor-ckb.dr trojan
bestvideo.avi.exe detected generic.dx trojan
play.exe detected unknown pending
0001.bin detected generic.dx trojan
0001b.bin detected generic downloader.x trojan
0002.bin detected generic.dx trojan
626 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 16:07:09 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=405
infected

日替わり品とMarwareListから拾ったもの。過去の検体と重複が混ざってたらごめん。
627 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 16:25:34 ]: >>626
SymantecとPandaとGDATA2009（＝avast!＆BitDefender）へ提出完了
628 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 16:33:11 ]: >>626
AntiVir未検出分をftp経由で提出完了。
AntinyLabsにも提出完了。
629 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 16:35:26 ]: COMODO Internet Security　1396
>>626
30/48
未検出分を提出しました
630 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 16:44:31 ]: >>626
filename: vop.htm
machine: Machine
result: See the developer notes

filename: rp10.htm
machine: Machine
result: This file is detected as JS.Downloader.

filename: flink.html
machine: Machine
result: See the developer notes

filename: 1051.htm
machine: Machine
result: See the developer notes

filename: live.htm
machine: Machine
result: This file is detected as Downloader. www.symantec.com/avcenter/venc/data/downloader.html

filename: bfyy.htm
machine: Machine
result: This file is detected as Downloader. www.symantec.com/avcenter/venc/data/downloader.html

filename: vip.htm
machine: Machine
result: See the developer notes

filename: sina.htm
machine: Machine
result: This file is detected as Downloader. www.symantec.com/avcenter/venc/data/downloader.html
631 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 17:03:36 ]: virus_submission@bitdefender.comに送れない件について
virus_submission@bitdefender.comに検体送るとエラーメールが返ってくる

アドレス変わったのか・・・
632 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 18:26:35 ]: >>631
少なくとも、今朝送った分は、エラー出てなかった。容量大き過ぎエラーじゃないか？
633 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 18:36:09 ]: >>626さん乙
a-squaredとMalwarebytesに提出しました
Microsoftは何通りかの圧縮を試して検体送信を試みましたが
失敗画面（成功画面と2種類あって紛らわしいので気づきにくい）にリダイレクトされてしまい受け付けてもらえませんでした
パスワードzip×パスワードzip
7zip×パスワードzip　でもダメでした・・・
Microsoftへの検体提出は今回から切りますので悪しからずご了承下さい
634 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 18:48:19 ]: >>633
MSは最大10MB。
（うちの回線速度の問題かサーバーの速度の問題か）2MB程度なら成功するが、3MB程度はリトライになることが多い。

分割して送るといいよ。
635 名前：633 mailto:sage [2009/06/23(火) 19:22:38 ]: >>634
ファイル容量が大きかった為、3分割して送信を試みた結果失敗でした・・・
以前、Confickerに関する情報提供を日本のMicrosoft Securityに申し出たところ
ほとんど1日待たされた挙句、日本では受付をしていないという返答だったのを思い出します
636 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 19:55:58 ]: >>633-635
Microsoftへの提出完了。
圧縮しても3.27MBある１ファイルだけリトライが必要でしたが、７分割したらスムーズに提出できました。
637 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 19:57:54 ]: >>626
トレンドマイクロも提出完了。
メールで提出するところは送信中。残りのベンダーは、夕飯の後で提出しときます。
638 名前：633 mailto:sage [2009/06/23(火) 20:03:17 ]: >>636
お疲れ様
誰もそのことについて進言しないから
そういった状況なんでしょうかね？
Symantecも10MB上限ですが光回線なので9MB位でもなんとか届きます
639 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 20:50:55 ]: >>638
ちなみに、失敗画面になっても送信成功していることがあって、受付完了メールが返ってきたこともあります＞MS

>>631
>626を４分割で送りましたが、エラーは返ってきていない様子。その宛て先死んでないぽいです。

>>626
各社一通り提出完了。（提出報告のあったベンダーには送付していません）

未提出のベンダー
Symantec >630さんが送信してくれてるようですし、9ファイルごとに分割するの面倒なのでパス
Safer Networking(Spybot) > 純粋にめんどうくさ…(セキュリティソフトベンダーともちょっと違うし）
Norman,Zoner > １ファイルづつサンドボックス送りは時間かかるのでやってらんないです

一部だけ提出のベンダー
ClamAV > 圧縮しても単独で3MBを越えるファイルは提出できないので、一部除外して送付
Rising > 2MBファイル制限があるので、単独ファイルで圧縮しても送信できないものを除いて送付
　　51dlq69.exe,51dlqwt69.exe関係だが、ばらした中身のファイルは提出したので問題ないかと
640 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 20:53:38 ]: >>626
カスペ返答

09wm.js_ - Exploit.JS.Agent.ajd,
1051.htm_ - Trojan-Downloader.JS.Iframe.bhk,
223.bat_ - Trojan.BAT.Qhost.em,
index.php - Trojan.JS.Agent.aio,
video-codec.exe_ - Trojan-Downloader.Win32.FraudLoad.eua
　New malicious software

cl.exe_, dlq.exe_, uc.htm_
　No malicious code were found

後は既知のものだそうです。
641 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 20:59:03 ]: >>640
…しまった。それ４分割のうちの１つ分でした。orz

online.scr_ - Backdoor.Win32.PcClient.argy
This file is already detected.

返答待ち、51dlq69.exe,51dlqwt69.exe の２ファイル。

内部のHook.dllは検知してるので、黒判定じゃないかなー。黒じゃなかった時だけ報告するってことで、
報告待ち状態ですが、回答をコピペせずにここへの報告をCLOSE(笑)
642 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 21:21:54 ]: >>626 ㌧今北産業カスペ2010 20:28　　39/48 未検出分提出

(1)12cssf.comフォルダ 0/1 (残dlq.exe)

(2)51.pcikcq.cn 6/9 (残223.bat2つ、51破天登・器.exe1 計3つ） - それ以外検体名すべて：Trojan.Win32.FlyStudio.uで検出

(3)51momo.zx3k.cnフォルダ 23/26
①51momo.zx3k.cn\swfフォルダ 11/11 - swfファイルの検体名すべて:Exploit.SWF.Downloader.eh
②51momo.zx3k.cnフォルダ直下 12/15 (残09wm.js, 1051.htm, uc.htm 3つ)
Trojan-Downloader.VBS.Agent系　　　　11.htm
Exploit.JS.Agent系　　bfyy.htm,　　　　live.htm
Trojan-Downloader.JS.Agent系　　　　flink.html,　　sina.htm
Trojan-Downloader.JS.Iframe系　　　　Ilink.html,　　vip.htm,　　vop.htm,　　fx.htm
Exploit.JS.RealPlr系　　　　Real11.htm, 　　rp10.htm
Trojan-Dropper.Win32.Agent.apsz 　　　　top.css

(4)adultfec.comフォルダ 3/4 (残index.php)
Exploit.Win32.Pidief.bbh 　　adultfex.com\humourAlwaysHumour.pdf
Trojan-Downloader.Win32.Agent.cgiy 　　adultfex.com\load.exe
Exploit.SWF.Agent.bg 　　adultfex.com\usesHumour.swf

(5)adwwareindependence.comフォルダ 2/2
Trojan-Dropper.Win32.Agent.asuo 　　494.exe
not-a-virus:FraudTool.Win32.MalwareDoctor.aw 　　mlw.exe

(6)www.shaimokale.comフォルダ 3/3
Backdoor.Win32.PcClient.argy 　　online.scr,　　張佑赫.exe、 online.zip/online.scr

(7)その他 3/4 (残fastdor.rui\video-codec.exe)
Trojan.BAT.Agent.qe 　　an66.com\an66.exe
Trojan-Dropper.Win32.Agent.atxi 　　eurorem2009.ru\HQAVI.exe
Trojan-Downloader.Win32.FraudLoad.wbyk 　　fassare.ru\setup.exe
643 名前：642 mailto:sage [2009/06/23(火) 21:32:28 ]: カスペ
>>640-641
㌧
かぶった。orzすまぬ。

>dlq69.exe,51dlqwt69.exe の２ファイル。
Trojan.Win32.FlyStudio.uでいいんじゃね？
検出して、ファイルは削除される。

総合すると、44/48、白3、回答待ち1で51.pcikcq.cn\51dlq69の51破天登?器.exeだけが、回答なしか。再度提出してみる。
644 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 22:09:41 ]: Rising 2009 21.44.14 (21.35.14.00)
>>626
51.pcikcq.cn\51dlq69\Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlq69.exe>>Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlqwt69\Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlqwt69.exe>>Hook.dll: Trojan.Small.hxl
51momo.zx3k.cn\09wm.js: Trojan.DL.Script.JS.Agent.nx
51momo.zx3k.cn\11.htm: Trojan.DL.Script.VBS.Agent.fo
51momo.zx3k.cn\bfyy.htm: Trojan.DL.Script.JS.Agent.ng
51momo.zx3k.cn\Ilink.html: Trojan.DL.Script.VBS.Agent.fx
51momo.zx3k.cn\live.htm: Trojan.DL.Script.JS.Agent.ob
51momo.zx3k.cn\Real11.htm: Trojan.DL.Script.JS.Agent.kv
51momo.zx3k.cn\rp10.htm: Trojan.DL.Script.JS.Agent.nd
51momo.zx3k.cn\swf\f(115|16|28|45|47),f(115|16|28|45|47|64).swf: Hack.Exploit.Swf.a
51momo.zx3k.cn\top.css: Dropper.Win32.Undef.wc
51momo.zx3k.cn\vip.htm: Trojan.DL.Script.JS.Agent.od
eurorem2009.ru\HQAVI.exe: Trojan.Win32.FakeAV.nz
fassare.ru\setup.exe: Trojan.DL.Win32.Undef.exe
fastdor.ru\video-codec.exe: Trojan.Win32.FakeAV.nz
www.shaimokale.com\online.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
\www.shaimokale.com\online.zip>>online.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\張佑赫.exe: Backdoor.Win32.PcClient.uwp
30/48

>>639さん
2MBの制限はないですよ。
>>5のリンクからなら5MB
↓なら10MBまで可能です。（電話番号が必要なので送れませんが・・・）
ttp://mailcenter.rising.com.cn/uploadnew.aspx
ただ、他社と同じくエラーが多いので4MB程度が限界です。不調な時は1MB超えても失敗します。
645 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 22:29:26 ]: Rising 2009 >>644の続き
>>318
codec2009.exe: Trojan.DL.Win32.Undef.ezg
6+1=7/15
>>393
SetupPack.exe>>{app}\VShield.exe: AdWare.Win32.FakeAV.do
SetupPack.exe: <Unknown virus>
8+1=9/10(scriptvirus07.htmは不是病毒との回答)
>>565
getexe.exe: Trojan.PSW.Win32.Banker.dno
loader.exe: Dropper.Win32.Undef.adc
winres.exe: Dropper.Win32.VB.faa
4+3=7/10
>>578
1199.exe: Backdoor.Win32.PcClient.uwp
play.exe>>1199.exe: Backdoor.Win32.PcClient.uwp
2/3
>>587
www.hotgome.net\www.livedoorm.com\Test.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\livedoor.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\張佑赫.exe: www.shaimokale.com\張佑赫.exe
14+3=17/29
>>595
codec.exe: Trojan.Spy.Win32.Undef.nx
4+1=5/8
>>610
codec.exe: Trojan.Spy.Win32.Undef.nx
Trojan.Spy.Win32.Undef.nx: AdWare.Win32.FakeAV.dn
pp.10.exe>>upx_c: Trojan.Spy.Win32.Undef.ny
2+3=5/8
646 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 22:55:18 ]: >>644
Risingにそのフォームから送ってるけど、5MBと書いてあるけど、実質2MB。2.3MB程度が限界ぽい。
わたしが2MBと言ってる根拠は、Risingからの返答メールの文面。2MBがLimitと書いてある。

＞You can simply send this file to our anti-malware team for investigation by uploading it here.
＞We have a limit of 2MB per uploaded file.
647 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 23:01:39 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=406
infected

MarwareListから拾ったもの。

Wikiにある各社＋α(５社程度)に(NormanとZonerを除いて）一通り提出済みです。
再提出の必要はないですが、同じようにMarwareListから拾ってる人がいるようなので、重複防止のためにUP。

うち２ファイル（18.htmとjtcqqe.php）は、VTで検出ベンダー数0なので白判定で返ってくるかも。
他は、なんかしら引っ掛かってます。
648 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 23:05:52 ]: >>646
それは制限が2MBだった頃から英語回答のテンプレートが更新されてないだけかとw

51dlq69.exe、51dlqwt69.exeをRisingに提出しておきました。
649 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/23(火) 23:12:45 ]: Rising 2009
>>647
abkzfdilko.com\nkklpcghhv.txt: Trojan.DL.Win32.Mnless.dpz
www.shhdyb.cn\1.exe: Backdoor.Win32.Delf.ecy
www.shhdyb.cn\22.htm: Trojan.DL.Script.JS.Agent.lg
3/43
650 名前：643 mailto:sage [2009/06/24(水) 00:14:16 ]: カスペからの返事
>>626(>>640-643)
44/48（事後検出含む）,白4(cl.exe_, dlq.exe_, uc.htm, 51破天登?器.exe_)で閉鎖

51破天登?器.exe - 　No malicious code were found
651 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/24(水) 00:53:04 ]: >>647 ㌧ (tane0406)
カスペ2010 22:59
33/43

(1) abkzfdilko.comフォルダ 4/7 (スルー3…jtcqqe.php, nkklpcghhv.txt, voclzzjkg.php )
unknown threat UDS:DangerousObject.Multi.Generic　 -　jyiifgkxhy.php、syvvw.php、udeee.php、iobpgg.php
※Kaspersky Security Network(KSN)により有害なコードと検知（シグネチャ配信前なので検体名なし）

(2)bbatzkvfha.netフォルダ 2/4 （スルー2…cuper1.php, ccsuper2.php)
Backdoor.Win32.NewRest.ao 　　ccsuper0.php
Trojan.Win32.Buzus.bhnb ccsuper3.php

(3)sexyslutschicks.comフォルダ 0/1 (scanmyfolders.com.htmスルー）

(4)www.shhdyb.cnフォルダ 27/31 (スルー4…18.html, 21.html, gvcx.html, gxfl.html)
virus HEUR:Exploit.Script.Generic [2-9, 10, 11, 13, 14, 15, 22].htm,　 index.html (16)
virus HEUR:Trojan-Downloader.Script.Generic 　　23.htm
Backdoor.Win32.Hupigon.gweo　　1.exe
Trojan program Exploit.JS.RealPlr.qk　　12.htm
Trojan-Downloader.JS.Agent.dnf　　16.htm
Trojan-Downloader.JS.Agent.doa　　17.htm
Trojan-Downloader.JS.Agent.dnz　　19.htm
Trojan program Trojan-Downloader.JS.Agent.dnf　　20.htm
Trojan program Trojan-Downloader.JS.Agent.dsk　　gvff.htm
Trojan program Exploit.JS.Agent.afq　　gvbf.htm
Trojan program Trojan-Downloader.JS.Agent.dwx　　gv14.htm
Trojan program Trojan-Downloader.JS.Agent.dxc　　gv122121.htm
Trojan program Exploit.JS.Agent.aip　　gvgg.htm
652 名前：61 mailto:sage [2009/06/24(水) 00:53:20 ]: >>610
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=407
　DL virus／解凍 virus

【中身】　２個入っています。
v80k.pdf
　www.virustotal.com/jp/analisis/577cdb7b75c198e802e50bc1371fb47b4403c1e8d450319033ae84c6c2d1d2de-1245770802 (10/39)
Worldpay_NR9772.exe
　ttp://www.virustotal.com/jp/analisis/7768dc857edad2150f903b670c5af9dfae99dbf969871382676df07c08d40878-1245771940 (20/41)

MDLは取ってきてくれた人がいるので、cNoteさんの所に書いてあったヤツと、私宛にメールできたマルウェアです。

v80k.pdfは、ttp://laed■ru/exp/include/spl■php?stat=Windows%20XP|Internet%20Explorer%207.0|US|Internet%20Explorer
から落ちてきたもので、アクセスする度に少しずつ中身が変わりますが、基本、同じものです。

Worldpay_NR9772.exeはメールで来たものですが、まだ半分くらいしか検出しないので、一応。

v80k.pdfはAVIRAとKasperskyは検出しないので、提出済みです。　Worldpay_NR9772.exeはVTの通りです。
653 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/24(水) 00:57:14 ]: >>652
乙
PandaとGDATA2009（avast!＆BitDefender）へ提出
654 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/24(水) 01:13:20 ]: >>652さん乙
a-squaredとMalwarebytesに提出しました
655 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/24(水) 01:16:08 ]: >>5
Risingの提出先（単体ファイルのチェックページ）追加です
ttp://mailcenter.rising.com.cn/filecheck/Default.aspx
可疑文件上？＝怪しいファイルの報告
？？文件上？＝誤検知ファイルの報告
圧縮せずに提出、容量制限不明

>>652
↑からRisingに提出完了(Worldpay_NR9772.exeは既に提出済みだった)

検出可否は後で確認
656 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/24(水) 02:06:53 ]: >>652
Rising 2009スルー

>>655
中国語が化けてましたね・・・
補足で
ブラウザにクッキーを保存しない設定にしていると提出に失敗します。
657 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/24(水) 11:36:42 ]: >>647(>>651) (tane0406)
カスペ2010 10:44
33+3=36/44

Quarantined Trojan program Trojan-Downloader.Win32.VB.ooq 　　tane0406\bbatzkvfha.net\ccsuper1.php
Quarantined Trojan program Trojan.Win32.Rabbit.iq 　　tane0406\abkzfdilko.com\voclzzjkg.php
Quarantined Trojan program Trojan-Downloader.Win32.Small.jwz 　　tane0406\abkzfdilko.com\nkklpcghhv.txt

ほか追加検出なし。
提出してみようかな。
658 名前：657 mailto:sage [2009/06/24(水) 15:20:56 ]: カスペからの返事 (途中報告）
>>647(>>651,657)(tane0406)

33+(3-4)/32/43、白6、回答待ち5

2.htm_ - Exploit.JS.Agent.aje
3.htm_ - Exploit.JS.Agent.ajf
5.htm_, 11.htm, 10.htm_, 9.htm__ - Exploit.JS.Agent.ajg
22.htm_ - Exploit.JS.Agent.ajh
6.htm_- Exploit.JS.RealPlr.ql
7.htm_ - Exploit.JS.RealPlr.qm

New malicious software was found in this file. (全てヒューリスティックからの変換）

gvcx.htm , gvfl.htm, jyiifgkxhy.php, syvvw.php, udeee.php, iobpgg.php

No malicious code was found in this file. （KSN検知も白判定）

>>652㌧(tane0407)
1+事後検出1=2/2でFA

v80k.pdf - Exploit.Win32.Pidief.bbuPidief.bbu
New malicious software was found in this file.
659 名前：657 mailto:sage [2009/06/24(水) 20:55:20 ]: カスペからの返事 (途中報告）
>>647(>>651,657,658)(tane0406)

33+(3-4)=32/43、白7、回答待ち4

tane0406\abkzfdilko.com\jtcqqe.php

No malicious code was found in this file.
660 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/24(水) 21:31:30 ]: Rising 2009 21.44.23 (21.35.23.00)
>>26
20090411\u2.exe>>upx_c: Trojan.DL.Win32.Delf.ztg
>>183
b\malay.exe: Trojan.Win32.BHO.fpu
2+1=3/12
>>246
file.exe: Packer.Win32.Agent.au
5+1=6/9
>>626
adwareindependence.com\f494.exe: Trojan.DL.Win32.Mnless.dyy
30+1=31/48
>>647
abkzfdilko.com\voclzzjkg.php: Trojan.DL.Win32.Undef.fao
3+1=4/43
>>652
v80k.pdf: Hack.Exploit.Win32.PDFCode.a
1/2
661 名前：645 mailto:sage [2009/06/24(水) 21:36:08 ]: >>565
Risingより
文件名：sitesS.swf
不是病毒
文件名：readme.pdf
不是病毒
文件名：index.htm
不是病毒
との回答メール
7/10
662 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/24(水) 22:25:21 ]: 提出者としては、検体がコンスタントに少量ずつ来るといいな。
多いとイヤになる。
663 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/24(水) 23:11:53 ]: COMODO Internet Security　1404

>>647
11/43

>>652
スルー

未検出分を提出しました。
664 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/25(木) 00:55:03 ]: カスペからの返事
>>647(>>651,657,658,659)(tane0406)

8.htm_ - Trojan-Downloader.JS.Agent.efd （←HEUR:Exploit.Script.Generic)

>>565(>>566,602,609) tane0394
5+事後検出4=9/10、回答待ち1(winres.exe)

sitesS.swf - Exploit.SWF.Agent.bh

New malicious software was found in this file
665 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/25(木) 13:21:38 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=409
infected

408は今月初めに提出済みのものを混ぜちゃってたので、削除しました。これが再UP分。

＝　検体入手元　＝
ほぼ日替わりのscr（www■miwcmac■com／www■shaimokale■com)
tt■ff88567■cn/down/[exe多数]
tj■114anhui■com/down/qqma■exe
tj■114anhui■com/down/qqmo■exe
>652の基本同じ物なpdf一杯。(全検出するか一部すり抜けるかのチェックにどうぞ）
666 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/25(木) 13:26:43 ]: qqma■exe が２箇所に入ってますが、同じバイナリでした。チェック甘くてすいません。orz
667 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/25(木) 13:40:12 ]: >>665さん乙
Symantecとa-squaredとMalwarebytesに提出しました
668 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/25(木) 18:25:10 ]: >>665
PandaとGDATA2009（＝avast!＆BitDefender）へ提出完了
669 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/25(木) 19:33:25 ]: >>665 ㌧　(tane0409)
カスペ2010 18:34:00
30/101 (pdfファイルは全スルーorz。それ以外は全検出。)　検体提出します。

(1) pdfフォルダ 0/71

(2)　tj.114anhui.com フォルダ　2/2
Trojan-GameThief.Win32.OnLineGames.bkzf 　　qqma.exe
Trojan.Win32.Pakes.nkm 　　qqmo.exe

(3)　tt.ff88567.cnフォルダ 23/23
Trojan.Win32.KillAV.dfg 　　130.exe
Trojan-GameThief.Win32.Magania.biht 　　　cp9m.exe　　cqwd9m.exe　　　　jxsj9m.exe　　dj9m.exe　　　mu9m.exe
Trojan-GameThief.Win32.Magania.biht 　　　qq3g9m1.exe　　　tl9m.exe　　wd9m.exe　　　zzh9m.exe　　　zt9m.exe　　　zx9m.exe
Trojan-GameThief.Win32.Magania.bfdq 　　cqsj9m.exe　　wl9m.exe
Trojan-GameThief.Win32.Magania.biop 　　dnf9m.exe
Trojan-GameThief.Win32.Magania.biiu 　　mhxu9m.exe
Trojan-GameThief.Win32.Magania.biis 　　qq3g9m.exe
Trojan-PSW.Win32.LdPinch.agqe 　　qqhx9m.exe
Trojan-GameThief.Win32.OnLineGames.bkzf 　　qqma.exe
Trojan.Win32.Agent.cnac 　　qqxx.exe
Trojan-Dropper.Win32.Agent.aqpn 　　server.exe
Trojan-GameThief.Win32.OnLineGames.bmgl 　　sg9m.exe
Trojan-GameThief.Win32.Magania.batm 　　tx29m.exe

(4)　www.miwcmac.comフォルダ　2/2
Backdoor.Win32.PcClient.arjg 1199.exe　　　mpg.scr/1199.exe

(5)　www.shaimokale.comフォルダ　3/3
Backdoor.Win32.PcClient.arit online.scr/処ﾓﾓｺﾕ.exe,　　張佑赫.exe　　online.zip\online.scr
670 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/25(木) 20:39:07 ]: カスペ2010 検出ベース　18:34
>>647(>>651,657,658,659,664)(tane0406)

Exploit.JS.Agent.ajg 11.htm　　13.htm　　14.htm　　15.htm　（←HEUR:Exploit.Script.Generic）

回答待ち4 : 18.htm, 　　21.htm, 　　ccsuper2.php, 　　scanmyfolders.com.htm
671 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/25(木) 21:01:54 ]: >>665
94/101
McAfee (Active Protection 無効)94/101
online.zip(online.rar)は提出見送り。
張佑赫はpassword-protectedの様？なので提出見送り。
未検出分をMcAfeeに提出させて頂きました（4file提出）

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
online.scr |new detection |generic backdoor!d |Trojan |yes
qqma.exe |inconclusive | | |no
1199.exe |new detection |backdoor-ckb.gen.v |Trojan |yes
mpg.scr |new detection |generic backdoor!d |Trojan |yes
672 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/25(木) 22:10:33 ]: 張佑赫
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xxxcxq.exe |new detection |backdoor-ckb.gen.v |Trojan |yes
673 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/25(木) 23:51:21 ]: 日本語でおｋ
674 名前：61 mailto:sage [2009/06/26(金) 00:10:58 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=410
　DL virus／解凍 virus

【中身】　１個だけです。
mscorewr.dll
　ttp://www.virustotal.com/jp/analisis/361c2f902fb85cd709328289d5dda530f529bff7213666e1c8d5e6088f3b148d-1245941124 (13/41)

>565に入っているgetexe.exeを実行した時に、system32フォルダ内に生成されるファイルです。
getexeexeは何かというと、mias.twから落ちてきたファイルです。

つまり、今話題？（本当に話題なのかどうかはわかりませんが...）のnine ballの感染ファイル本体です。
ただし、nine ballの感染ファイル本体がこれ１種類かどうかはわかりません。
あくまで、getexe.exeが実行された場合に生成されるのがこれ、というだけです。

また、mias.twが消滅している現在、これがどの程度重要かはわかりません。
ま、検出できる＝感染しているかどうかの判断はできそうだ、程度に考えておけば良いという気がします。

AVIRAは検出します。　Kasperskyは検出しないので提出しました。
675 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/26(金) 00:26:00 ]: >>674
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
mscorewr.dll |inconclusive | | |no
676 名前：645 mailto:sage [2009/06/26(金) 00:43:18 ]: Rising 2009 21.44.34 (21.35.34.00)
>>26
20090516\martuz1.pdf: Hack.Exploit.Win32.Agent.bm
>>318
softwarefortubeview.42002.exe: Trojan.DL.Win32.Undef.fby
3.exe: Trojan.DL.Win32.Undef.fbx
7+2=9/15
>>647
bbatzkvfha.net\ccsuper3.php: Trojan.Spy.Win32.Delf.dpx
4+1=5/43
>>674
mscorewr.dll: Trojan.PSW.Win32.Banker.dnn
677 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/26(金) 00:51:33 ]: >>665さん乙
SymantecとMalwarebytesに提出しました
678 名前：61 mailto:sage [2009/06/26(金) 01:07:01 ]: >>674
Kaspersky返答。
　mscorewr.dll - Trojan-Banker.Win32.Banker.ajyv
　New malicious software was found in the attached file.
679 名前：61 mailto:sage [2009/06/26(金) 01:46:31 ]: >>665
ａｖｉｒａ9 7.01.04.138

PDF - 0/71 （１個も検出しない）
tj.114anhui.com - 1/2 ，未検出 qqma.exe
tt.ff88567.cn - 22/23，未検出 qqma.exe
www.miwcmac.com - 2/2
www.shaimokale.com - 3/3

qqma.exeは、Webで提出すると MALWARE判定済み（TR/Drop.RQU.84）で、 VDF 7.01.02.104で対応済みと出るが、
実際には検出しない。VTでは
　ttp://www.virustotal.com/jp/analisis/778ee79901fd61d50a49517b5eca7fe4b2691f015a4283dd4c04c257032aaa52-1245947476 (12/40)
と対応済みなので、とりあえず様子見。（こういう場合、時間をおかずにVDFのアップデートで検出できるようになることが多いため）

PDFは中身がほとんど同じなので、今日は1個だけ出して様子見。Genファイル作れれば良し、作れなければ明日全部送付。
680 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/26(金) 14:04:31 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=411
infected

検体入手元（spamメールに含まれていたもの）
p://83■212■16■22/icons/doc-47473-4378914-34-JPG■exe
p://istitutomicoterapico■it/ecard■exe

ecard■exe(14/41)
www.virustotal.com/analisis/2b27e47c7f8d2195d5473d400a1e4ccec79049c6d84203e27003e5e2daaa95b7-1245985969

doc-47473-4378914-34-JPG■exe(19/41)
www.virustotal.com/analisis/43ed0f319ff0b8bd29f5592a7e218e97e2bf1b75c7e0c44ab7dd8bb4d977de2b-1245988758

AviraとAntinyLabsにはftp経由で提出済み。後はまだ送ってません。
681 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/26(金) 14:21:51 ]: おっと、検知数書くの忘れてた。

AntiVir9Free(1/2)
　　ecard■exeをスルー

bitDefender10Free(1/2)
　　ecard■exeをスルー

A-Squared(2/2)
682 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/26(金) 14:35:49 ]: >>674 , >>680
いずれも、Wikiのまとめにある各社＋αまで全部提出完了。
今回は少なかったので、1個づつ提出するNormanなどにも提出。

A-Squaredは手元のFreeで全検出確認できたので提出せず。
他も全検出するベンダーあるだろうけどチェックしてられないので、そのまま提出しました。
683 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/26(金) 19:00:55 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=412
infected

先日の、qqmo■exeを落としてくるスクリプト類＋１個

＝＝＝検体入手元＝＝＝
p://52cps■com/goto/(なんたら)
p://txt■114central■com/goto/qqmo■exe

p://avpro-labs■com/vir-remover-pro■exe

nProtectだけが検知するとか、珍しいものも入ってます…殆どのとこは白判定になりそうなファイルですが(苦笑)

AviraとAntinyLabsにはftp経由で提出済み。
684 名前：61 mailto:sage [2009/06/26(金) 20:15:49 ]: >>680
AVIRA9 7.01.04.141
　ecard.exe - TR/Spy.ZBot.xgh
　doc-47473-4378914-34-JPG.exe - TR/Dldr.Delphi.Gen
黒２，検出可。

Kaspersky 2009/06/26 19:38:00
　ecard.exe - Trojan-Spy.Win32.Zbot.xgh
　doc-47473-4378914-34-JPG.exe -
黒１，未検出１。　未検出分提出済。

>679は、予想通り 7.01.04.141でqqma.exeを検出可になってました。
685 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/26(金) 20:18:43 ]: カスペ2010 18:21
>>680　㌧　tane0411 　　1/2
>>684 代理提出㌧
Deleted Trojan program Trojan-Spy.Win32.Zbot.xgh　　tane0411\ecard.exe

>>683 　　㌧　　tane0412　　3/23 検体提出します。（様子見ながら）
Deleted virus not-a-virus:FraudTool.Win32.VirusRemover.cg 　　tane0412\avpro-labs.com\vir-remover-pro.exe
Deleted Trojan program Trojan-GameThief.Win32.OnLineGames.bkzf 　　tane0412\txt.114central.com\qqmo.exe
Deleted Trojan program Trojan-Downloader.JS.Agent.ebt 　　tane0412\52cps.com\yt14.htm

カスペからの返事
>>647(>>651,657,658,659,664,670)　　(tane0406)
tane0406\bbatzkvfha.net\ccsuper2.php - Trojan.Win32.Agent2.cgbi

提出数多いせいか、回答が滞り気味だ。優先順位が下げられているかな
>>665のPDFファイルが未だ0/71なのが気になる。
686 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/26(金) 20:23:06 ]: >>684
Wikiにまとめられている提出先に一通り提出完了。（NormanとZonerを除く）
687 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/26(金) 20:39:10 ]: >>674,>>683
McAfee自動返答（mscorewr.dll は>675と変化無し）

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
doc-47473-4378914-34|new detection |pws-banker!do |Trojan |yes
ecard.exe |new detection |generic pws.y!cy |Trojan |yes
mscorewr.dll |inconclusive | | |no
688 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/26(金) 20:47:23 ]: >>683
Symantec自動返答

■ 既知分 ■
filename: js.js
result: This file is detected as IFrame.Exploit. www.symantec.com/avcenter/venc/data/iframe.exploit.html
filename: vir-remover-pro.exe
result: This file is detected as VirusRemover2008.
filename: qqmo.exe
result: This file is detected as Trojan.KillAV. www.symantec.com/avcenter/venc/data/trojan.killav.html
filename: ytvod.htm
result: This file is detected as Trojan Horse. www.symantec.com/avcenter/venc/data/trojan.horse.html

■ 手動解析行き ■
filename: 092.js , 1111111111.swf , 15.js , 091.js , bff1.js , 2222222222.swf ,
　　　　　16.js , yt122121.htm , Turl.js , real1.js , ytff.htm , real.js , mm.htm ,
　　　　　ytbb.htm , yt14.htm , ytfl.htm, ytxxz.htm
result: See the developer notes

■ 白判定 ■
filename: 14.js
filename: bff.js
filename: msg-4040-3.txt
filename: msg-3828-1.txt
result: This file is clean

txtなんて入れた記憶無いけど、９ファイルのアーカイブがエラーで弾かれてきたので
jsだかhtmだかの内部から抽出したのかもしれない。

>>686
アンカー間違い。提出完了したのは>683です。
689 名前：685 mailto:sage [2009/06/26(金) 21:19:40 ]: >>665 (>>685) tane0409
カスペからの返事

71個のPDFファイルについて一括送信したものについて返事

Hello,

its Exploit.Win32.Pidief
detection will be added soon
ths

Exploit.Win32.Pidief。シグネチャは後で追加する予定。thsはthanks.
690 名前：61 mailto:sage [2009/06/26(金) 22:24:21 ]: >>684
Kaspersky返答。
　doc-47473-4378914-34-JPG.exe_ - Trojan-Downloader.Win32.Banload.afwt
　New malicious software was found in this file.

黒１＋事後黒１＝黒２／２
691 名前：61 mailto:sage [2009/06/26(金) 22:33:45 ]: ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=413
　DL virus／解凍 virus

【中身】　１０個入っています。
6.pdf
　ttp://www.virustotal.com/jp/analisis/0ce86e1f37aa5fd6651a2d40bf9b3c3d9dce6859a4fabf0e72fdff2de42a1f1d-1246018178 (15/41)
adware_crypt.exe
　ttp://www.virustotal.com/jp/analisis/0a08059aeaa955de3f5d08546f28c83db855d761082c4205811819195e185b04-1245636154 (8/41)
ecard.exe
　ttp://www.virustotal.com/jp/analisis/7d168c70d66f83b9876c31227af4e595b5d40ea03df6a624f8669c2cddb9661f-1246022244 (18/41)
Exp_flash.swf
　ttp://www.virustotal.com/jp/analisis/c6adc0ae79fcb58b71a49b3af07864b4f615cb47e815a3fea7cb2104f32df210-1246018423 (9/40)
FlashCodec.4.10.exe
　ttp://www.virustotal.com/jp/analisis/d486d9fad45fd133a9469c1f0a6a85b9072678beb1541794788a1b7a6238bd7c-1246017515 (13/41)
load.exe
　ttp://www.virustotal.com/jp/analisis/935ea345bad633f93502761f3a6075bbaad27c77d0dcb167d7932c271da0eaf1-1246017722 (17/41)
load2.exe
　ttp://www.virustotal.com/jp/analisis/2cc7714f5b1d89fd90aa73df48f1770f1e7222553fe1955542ca82194f114d18-1246017951 (15/41)
load3.exe
　ttp://www.virustotal.com/jp/analisis/49ff4a1c36f655b6fea8a5314a6c42dd30077ec2cda72b682bf03be7c1357b9e-1246019205 (26/41)
load4.exe
　ttp://www.virustotal.com/jp/analisis/bc2edc343953bab795260afb34b971f3ad96c1603128067bac556e96d4332b91-1246019432 (9/41)
streamviewer.45030.exe
　ttp://www.virustotal.com/jp/analisis/947ea618d3e598202b3638bb505383ede14be000e777ac9ece26cc40dc21b295-1246021768 (14/41)

ecard.exeは、>680さんと別のものです。　色々な種類がSPAMで出回っているみたいですね...
692 名前：61 mailto:sage [2009/06/26(金) 22:43:11 ]: >>691
AVIRA9 7.01.04.141
　6.pdf - (EXP.Pidief.xgh) next update
　adware_crypt.exe - TR/Agent.cmyl
　File name - TR/Spy.ZBot.xgj
　Exp_flash.swf - (UNDER ANALYSIS)
　FlashCodec.4.10.exe - TR/Dldr.LoadAdv.Ace.8
　load.exe - WORM/Autorun.aqmk
　load2.exe - TR/Crypt.XPACK.Gen
　load3.exe - TR/Spy.ZBot.xak
　load4.exe - TR/Crypt.XPACK.Gen
　streamviewer.45030.exe - TR/FraudPack.oyx.4
黒８，未検出２。未検出は、黒確定１＋解析中１

Kaspersky 2009/06/26 19:38:00
　6.pdf - Exploit.Win32.Pidief.bca
　adware_crypt.exe - Trojan.Win32.Agent.cmyl
　ecard.exe - Trojan-Spy.Win32.Zbot.xgj
　Exp_flash.swf - Exploit.SWF.Agent.au
　FlashCodec.4.10.exe - HEUR:Trojan-Downloader.Win32.Generic
　load.exe - Worm.Win32.AutoRun.aqmk
　load2.exe - Trojan-Dropper.Win32.Agent.auqf
　load3.exe - Trojan-Spy.Win32.Zbot.xak
　load4.exe -
　streamviewer.45030.exe - Trojan.Win32.FraudPack.oyx
黒８，HEUR １，未検出１。HEURと未検出は提出済
693 名前：685 mailto:sage [2009/06/26(金) 22:49:01 ]: >>683 (>>685) tane0412
カスペからの返事（途中報告）

3/23, 白5, 回答待ち7

real.js,　　 real1.js　　 yt122121.htm　　ytff.htm　　ytfl.htm - No malicious code was found in this file.

※提出を見送っているもの 8　(2222222222.swf　 14.js　 15.js　 091.js 　 bff1.js 　 mm.htm 　 Turl.js 　ytxxz.html)

>>690-692 ㌧
694 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/27(土) 02:28:58 ]: >>691
SymantecとPandaとGDATA2009（＝avast!＆BitDefender）へ提出完了

Symantecから自動返答（解析中）

filename: load4.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes
695 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/27(土) 02:59:11 ]: Rising 2009 21.44.44 (21.35.44.00)
>>680
スルー
>>683
52cps.com\real.js: Hack.Exploit.Script.JS.Agent.iy
52cps.com\real1.js: Hack.Exploit.Script.JS.Agent.iz
52cps.com\ytff.htm: Trojan.DL.Script.JS.Agnet.d
52cps.com\ytvod.htm: Trojan.DL.Script.JS.Agent.pe
txt.114central.com\qqmo.exe>>nspack: Trojan.DL.Win32.Undef.dyf
5/23
>>691
FlashCodec.4.10.exe>>Aspack212r: Trojan.DL.Win32.Mnless.dpz
load2.exe>>upx_c: Win32.Virut.cg
load3.exe: Backdoor.Win32.Ntos.dy
load.exe: Suspicious:Packer.Win32.UnkPacker.a
3(+1)/10
提出完了
696 名前：2-1 mailto:sage [2009/06/27(土) 05:01:57 ]: >>683
McAfee (Active Protection 無効)1/23
未検出分をAVERTに提出させて頂きました。

Response
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
091.js |heuristic detection |beav-shellcode |Application |no
092.js |inconclusive | | |no
1111111111.swf |inconclusive | | |no
14.js |inconclusive | | |no
15.js |inconclusive | | |no
16.js |inconclusive | | |no
2222222222.swf |inconclusive | | |no
bff.js |inconclusive | | |no
bff1.js |inconclusive | | |no
js.js |inconclusive | | |no
mm.htm |inconclusive | | |no
real.js |inconclusive | | |no
real1.js |inconclusive | | |no
turl.js |inconclusive | | |no
vir-remover-pro.exe |inconclusive | | |no
yt122121.htm |inconclusive | | |no
697 名前：2-2 mailto:sage [2009/06/27(土) 05:03:55 ]: >>683
yt14.htm |inconclusive | | |no
ytbb.htm |inconclusive | | |no
ytff.htm |inconclusive | | |no
ytfl.htm |inconclusive | | |no
ytvod.htm |inconclusive | | |no
ytxxz.htm |inconclusive | | |no

heuristic detection [091.js]

The file received may contain a potentially unwanted program or joke program. This
potential threat was identified with our most powerful set of heuristic DAT drivers.
Heuristic drivers can cause false-positive identifications, as such, this issue is
being escalated to Avert Labs for a thorough review. You will be contacted through
e-mail with the results of our analysis.

inconclusive [092.js 1111111111.swf 14.js 15.js 16.js 2222222222.swf bff.js bff1.js js.js mm.htm
real.js real1.js turl.js vir-remover-pro.exe yt122121.htm yt14.htm ytbb.htm ytff.htm
ytfl.htm ytvod.htm ytxxz.htm]
698 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/27(土) 05:27:50 ]: >>691
McAfee (Active Protection 無効)1/10
未検出分をAVERTに提出させて頂きました。

自動返信、オートメーションシステムはメンテナンス中
699 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/27(土) 06:13:19 ]: pc11.2ch.net/test/read.cgi/sec/1245640557/60
tane.sakuratan.com/upload/upload.cgi?mode=dl&file=414
infected

ttp://www.virustotal.com/jp/analisis/247f523d4adf0eea2170ef14daaa38e5e3d6dc93acbc4d4e622c609be579b598-1246049298
McAfee提出済
700 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/27(土) 06:55:57 ]: むぅ、なんか１ファイルで出すのがためらわれるが、検出率悪いので。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=415
infected

＝＝＝検体入手元＝＝＝
spamメールでアドレスが届いたもの。なんか、exeのアドレスが届くspamは久しぶりだ。
届いてから数日たって拾おうとすると、404になってたりするので、使い捨てのドメインで
やってるのかもしれませんね。

p://javiercubel■com/statement_45365352■exe

＝＝＝ VirusTotal ＝＝＝
15/41
ttp://www.virustotal.com/analisis/046d3796c3dc4620f2c54c6439f11a5f4dd3faf4d513ed0dcb9f640780009022-1246051108
701 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/27(土) 07:35:58 ]: >>700
McAfeeに提出させて頂きました。
702 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/27(土) 07:41:13 ]: COMODO Internet Security　1443

>>665
101/101

>>674
スルー

>>680
2/2

>>683
11/23

>>691
5/10

>>700
スルー

未検出分を提出しました
703 名前：61 mailto:sage [2009/06/27(土) 09:45:04 ]: >>699
AVIRA9 7.01.04.144
　fk.pdf - HTML/Shellcode.Gen
Kaspersky 2009/06/27 8:38:00
　fk.pdf -

Kaspersky提出済み。

>700
AVIRA9 7.01.04.144
　statement_45365352.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/06/27 8:38:00
　statement_45365352.exe - Trojan-Dropper.Win32.Zbot.i

私の方も、一時期 exeファイル添付のSPAMとかほとんど無かったのに、最近また来るようになってきました。
新手がSPAM業界？に参入してきたのかもしれません。
704 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/27(土) 10:29:32 ]: >>691
>>699
>>700

NormanとZoner以外は一通り提出完了。
705 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/27(土) 10:32:46 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=416
infected

MarwareListから拾って無かったものを幾つか。殆どがダウンロード用のスクリプトの為、白判定多いかも？

NormanとZoner以外は一通り提出完了。
706 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/27(土) 23:03:06 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=417
infected

FakeAV

各社一通り提出済み
未提出のベンダー：トレンドマイクロ、Norman、Zoner、nProtect

何故かトレンドマイクロの提出ページに繋がらないので、提出可能な方、お願いします。
707 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/27(土) 23:03:46 ]: >>706
一応、検出名称（ベンダーごちゃまぜですが…）

[Detection possible other software]
drugstore.eu.com/test.htm : JS:Packed-BC(Avast) , Obfuscated Script.h(McAfee) , Trojan-Downloader.JS.Iframe.bhe(VBA32)
mypersonalhttp.com/weather.pl : Trojan-Clicker.JS.Agent.cj(Kaspersky)
mysecurepcshields.com/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
mysecurepcshields.com/install.exe : TR/Dropper.Gen Trojan(AntiVir)
onlyfind.net/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
scan4plan.info/install.exe : TR/Crypt.XPACK.Gen2 Trojan(AntiVir)
scan4plan.info/scan4plan.info(1).htm : JS:FakeAV-X(Avast) , JS/FakeAVOnline.A!tr.dld(Fortinet)
scan4plan.info/scan4plan.info.htm : Trojan.Script.99300(BitDefender)
sexbases.cn/bonus.php : HEUR/HTML.Malware suspicious code(AntiVir) , Trojan.JS.PYF(BitDefender)
sexbases.cn/in.cgi : HEUR/HTML.Malware suspicious code(AntiVir) , HTML:Framer-inf(Avast)
struckyorluck.cn/fastfolderscanner.com.htm : JS/FakeAV.G(F-Prot) , Mal/FakeAvJs-A(Sophos)
struckyorluck.cn/Setup-1ab1432_02021.exe : - Not Detected -
struckyorluck.cn/Setup-fc9e079_02021.exe : Win32.Malware.dam (suspicious) (McAfee-GW-Edition)
tangoing.info/counter.htm : - Not Detected -
708 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/28(日) 00:28:31 ]: >>698
AVERTからのResponseがなかったので再度提出

自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
adware_crypt.exe |inconclusive | | |no
ecard.exe |current detection |generic pws.y!cy |Trojan |no
exp_flash.swf |inconclusive | | |no
flashcodec.4.10.exe |new detection |generic downloader.x!gs |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
load3.exe |current detection |pws-zbot |Trojan |no
load4.exe |inconclusive | | |no
streamviewer.45030.e|current detection |fakealert-eo |Trojan |no

エンジン：5301、dat:5658環境でecard.exe ,load3.exe ,streamviewer.45030.exe検出
virustotalで確認
ecard.exe
ttp://www.virustotal.com/jp/analisis/7d168c70d66f83b9876c31227af4e595b5d40ea03df6a624f8669c2cddb9661f-1246078842
load3.exe
ttp://www.virustotal.com/jp/analisis/49ff4a1c36f655b6fea8a5314a6c42dd30077ec2cda72b682bf03be7c1357b9e-1246079007
streamviewer.45030.exe
ttp://www.virustotal.com/jp/analisis/947ea618d3e598202b3638bb505383ede14be000e777ac9ece26cc40dc21b295-1246079189

AVERTからのメールを確認
Current Scan Engine Version:5300.2777
Current DAT Version:5658.0000
709 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/28(日) 00:52:27 ]: >>706
トレンドマイクロに提出完了
710 名前：61 mailto:sage [2009/06/28(日) 10:54:59 ]: >>692
Kaspersky 2009/06/28 9:20:00
　FlashCodec.4.10.exe - Trojan-Downloader.Win32.Agent.cgwd
　load4.exe - Backdoor.Win32.Agent.aiau

返答無いけど検出可になってます。黒８＋事後黒２＝黒１０／１０でclose.
711 名前：61 mailto:sage [2009/06/28(日) 11:19:57 ]: >>705 乙です。
Kaspersky 2009/06/28 9:20:00で、黒5/57，検出したのは下記の5個
　cutaiamortgagegroup.cn\load.exe - Trojan.Win32.Inject.aekt
　free-tube-orgasm.biz\setup.exe - Trojan-Downloader.Win32.FraudLoad.euz
　porntvforu.com\pornotube915.com\codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
　www.daftarwarisan.gov.my\ec.txt - Backdoor.PHP.Small.o&referer
　www.fotosdepeinados.net\www.fotosdepeinados.net.htm - Exploit.PHP.Deftool.a

残りはPHPとjsのため、提出して頂いているようなので様子見します。

AVIRA9 7.01.04.144 49/57で、，黒5/57，HEUR 44/57。
　cutaiamortgagegroup.cn\load.exe - DR/Delphi.Gen
　porntvforu.com\pornotube915.com\codec.exe - TR/Dldr.FraudLoad.wcby
　scanallviruses.com\scanallviruses.com.htm - HTML/BurnInHell.A
　www.daftarwarisan.gov.my\ec.txt - BDS/PHP.Small.O.12
　www.fotosdepeinados.net\www.fotosdepeinados.net.htm - EXP/PHP.Deftool.B

　porntvforu.comの中の、index22(1).php ～ index22(44).phpの44個 - 全部 HEUR/HTML.Malware
　index22.phpは未検出。

　free-tube-orgasm.biz\setup.exeをスルーしたので、一応こちらでも提出しました。後は様子見します。
712 名前：61 mailto:sage [2009/06/28(日) 11:47:31 ]: >>706 乙です。
Kaspersky 2009/06/28 9:20:00で、黒6/14
　mypersonalhttp.com\weather.pl - Trojan-Clicker.JS.Agent.cj
　mysecurepcshields.com\index.php - Trojan-Downloader.HTML.FraudLoad.a
　onlyfind.net\index.php - Trojan-Downloader.HTML.FraudLoad.a
　scan4plan.info\install.exe - Trojan.Win32.Tdss.aidq
　struckyorluck.cn\setup-1ab1432_02021.exe - Trojan.Win32.FraudPack.pap
　struckyorluck.cn\setup-fc9e079_02021.exe - Trojan.Win32.FraudPack.pap

mysecurepcshields.com\install.exe はこちらでも提出。後は提出して頂いているので、スクリプトだけだから様子見。

AVIRA9 7.01.04.144 49/57で、黒4/14，HEUR 2/14
　mysecurepcshields.com\index.php - HTML/Dldr.FraudLo.A
　mysecurepcshields.com\install.exe - TR/Dropper.Gen Trojan
　onlyfind.net\index.php - HTML/Dldr.FraudLo.A
　scan4plan.info\install.exe - TR/Crypt.XPACK.Gen2

　sexbases.cn\bonus.php - HEUR/HTML.Malware
　sexbases.cn\in.cgi - HEUR/HTML.Malware

下記の3個はこちらでも提出。後は様子見。
　mypersonalhttp.com\weather.pl
　struckyorluck.cn\Setup-1ab1432_02021.exe
　struckyorluck.cn\Setup-fc9e079_02021.exe
713 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/28(日) 15:50:43 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=418
infected

検体入手元
p://hearsedriver■com/chat/chat/localization/czech/img/646808■js
p://www■livedoorm■com/Test■exe
p://roons■cn/ded/Project2■exe
p://reddii■ru/traffic/sploit1/?57035YbttbaaYbb
p://satanic■easycoding■org/file■exe
p://update■microsoft■com■hillij■com/microsoftofficeupdate/isapdl/default■aspx/officexp-KB910721-FullFile-ENU■exe
p://woons■cn/pinch_no_cript■exe
p://ztb■cztv■tv/360/1■exe
p://ztb■cztv■tv/360/2■exe
p://ztb■cztv■tv/360/7■exe
p://ztb■cztv■tv/360/88■exe
p://ztb■cztv■tv/360/9■exe
p://www■hzcpwl■cn/djellow■exe
p://gold-smerch■cn/flash■exe
p://slil■ru/27769294/2fcdca20■4a3e7138/adware_crypt■exe
p://72■9■108■26/install_10■exe
714 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/28(日) 15:52:21 ]: >>713
NormanとZoner以外は一通り提出完了

検出名称：Aviraスルーのものに関して、他のベンダーの検出名で補完したもの

72.9.108.26/install_10.exe : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
gold-smerch.cn/flash.exe : TR/Agent.15360.108 Trojan(AntiVir)
hearsedriver.com/646808.js : JS/Wonka(McAfee) , Trojan-Clicker.HTML.IFrame.gen (v)(Sunbelt)
reddii.ru/reddii.ru.htm : HEUR/HTML.Malware suspicious code(AntiVir) , JS:Packed-BE(Avast) , Packed.JS.Agent.ad(Kaspersky)
roons.cn/Project2.exe : Trojan-Downloader.Win32.Agent.cguk(Kaspersky) , TrojanDownloader:Win32/Delf.HF(microsoft)
satanic.easycoding.org/file.exe : TR/Dropper.Gen Trojan(AntiVir)
slil.ru/adware_crypt.exe : - Not Detected -
update.microsoft.com.hillij.com/officexp-KB910721-FullFile-ENU.exe : TR/Crypt.ZPACK.Gen Trojan
woons.cn/pinch_no_cript.exe : TR/PSW.LdPinch.ahdf Trojan(AntiVir)
www.hzcpwl.cn/djellow.exe : TR/Spy.ZBot.xgh Trojan(AntiVir)
www.livedoorm.com/Test.exe : DR/PcClient.Gen dropper(AntiVir)
ztb.cztv.tv/1.exe : Trojan:Win32/Malex.gen!E(Microsoft) , PSW.OnlineGames_r.DP(AVG)
ztb.cztv.tv/2.exe : ADSPY/Agent.160989(AntiVir)
ztb.cztv.tv/2/235.exe : DR/Cinmus.fow dropper(AntiVir)
ztb.cztv.tv/2/NSIS.Library.RegTool.v2.$[36].exe : Win32.Banker(eSafe)
ztb.cztv.tv/2/$R0 : ADSPY/Cinmus.auxo.3(AntiVir)
ztb.cztv.tv/7.exe : DR/BHO.hmc dropper(AntiVir)
ztb.cztv.tv/7/cpush.dll : ADSPY/Cinmus.ucc.6 adware or spyware(AntiVir)
ztb.cztv.tv/88.exe : TR/PSW.OnlineGames.vcqj.3 Trojan(AntiVir)
ztb.cztv.tv/9.exe : DR/Zhongsou.170576 dropper(AntiVir)
ztb.cztv.tv/9/IETimber.dll : ADSPY/Timber.BHO adware or spyware(AntiVir)
715 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/28(日) 16:25:29 ]: COMODO Internet Security　1465

>>704
7/58

>>705
スルー

>>713
13/21

未検出分を提出しました。
716 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/28(日) 16:47:48 ]: カスペからの返事
>>683 (>>685,693) tane0412
3+3=6
js.js_ - Exploit.JS.Agent.ajo
ytbb.htm_ - Exploit.JS.Agent.ajn
ytvod.htm_ - Exploit.JS.Agent.ajm

>>647(>>651,657,658,659,664,670)　　(tane0406)
index.html_ - Trojan-Downloader.JS.Agent.egp (← "HEUR:Exploit.Script.Generic"）

個人的に忙しいので、カスペは代理の方にお願いしたい。すまん。
717 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/28(日) 16:48:39 ]: >>713さん乙
>>714さん乙
メールの受信トレイがタイヘンなんじゃないのｗ
個別回答が丁寧なベンダってどこですか？
718 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/28(日) 17:27:38 ]: >>717
送受信はどうってことない。一番面倒なのは、提出前の整理。
ほんとは、ベンダーごとにスルーしてるものだけ抽出して送った方がいいんだけど、その辺省略してるから。

個別回答が丁寧なのは、Avira、カスペ、Fortinet辺りかな。でも、多量に送ると迷惑になるので注意。
AviraとFortinetは、返答なしって約束になったし、カスペも返答がこなかったり遅れたりしてる（対応自体は早い）。

マカフィー、トレンドマイクロ、シマンテック、Rising辺りは機械的だけど、返事がくるね。
受理メールが文字化けするところはご愛敬（ソフォスと、アンラボと、VirusDoctor辺り）

返事が不定期に来たり来なかったりはMicrosoftとか。Dr.Webも返事が来る方かな。
F-Secureはメールで送ると返事来ないかな。SASだっけ、フォームからだと返事が来ます。
AVGとか、最近は返事こないベンダーも多いですよ。
というか、返事が来る方が少数かも。受理メールすらこない所の方が多いです。
719 名前：61 mailto:sage [2009/06/28(日) 23:49:16 ]: >>713 乙です。
AVIRA9 7.01.04.144 で、黒15/21，HEUR 1/14

黒は数が多いので、HEURと未検出の方を書きます。
　reddii.ru\reddii.ru.htm - (HEUR/HTML.Malware) - (UNDER ANALYSIS)

　hearsedriver.com\646808.js - (UNDER ANALYSIS)
　roons.cn\Project2.exe - (UNDER ANALYSIS)
　ztb.cztv.tv\1.exe　- (UNDER ANALYSIS)
　ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe - (KNOWN CLEAN)

Web提出で、既に白確定が１個ありました。（既に誰かが出していて、判断が終わっているもの）

あと、slil.ru\adware_crypt.exe は中身がhtmlなので未提出。(様子見)　アドレスからすると、>691のものが本来の実行ファイルだと思います。
720 名前：61 mailto:sage [2009/06/29(月) 00:21:42 ]: >>718 乙です。
AVIRAですが、本来はWebからの提出を基本としているようなので、メールで大量に送ると冷たくされる
（返答無しになる）のは仕方ないかと。

今まで結構出してきましたが、AVIRAの作業パターンが読めてきました。AVIRAはWeb提出されたファイルを、
サーバーが下記の5種類に自動分別しているようです。

1) 現時点のパターンファイルで既に確定検出できるもの　（HEURではない）
2) 確定検出できないもの　（HEUR含む）
　　2-1) 既に誰かが提出していて、黒判定済み
　　2-2) 既に誰かが提出していて、白判定済み
　　2-3) 既に誰かが提出していて、解析中
　　2-4) 新しい提出

1)，2-1)，2-2)の3種については、サーバーが自動で解答を返してきます。　この3種は、アナリストに届かないようです。
　　　例えば、>719の KNOWN CLEANのファイルなどです。
2-3)のファイルは、最初に提出されたファイルにタグ付けされて、一つにまとめられるようです。
　　　この場合、最初の提出者のファイルに付けられた File ID と UNDER ANALYSISという解答が出ます。
　　　多分、アナリストが最初の1個だけ解析すれば、サーバーが自動で全部解答する様になっています。
2-4)のファイルは、新しいFile IDが取得され、そのFile ID と UNDER ANALYSISという解答が出ます。

こうすることで、アナリストに無駄な負荷がかからないようになっているようです。
（この辺が、AVIRAが効率良く、早い判定をしている理由っぽい。）

※ 2-3)のファイルは、解析が最初に出された人が基準になるので、連投しても2-4)よりFile IDが若い番号になるのと
　　解答の順番が速い。　あと、どの場合でもサーバーが判定結果まで含めて自動返答でメールをくれます。

なので、AVIRAでは、メールで検体を受け取るのは、多分あまり想定されていないと思います。

それに、Webで出した方が、どうもメールより判定が早いっぽい（Gumblarの時にメールとWebと両方出したら、Webの方が解答が断然速かった)ので、
AVIRA使いの人は、Web提出を基本にした方が良いです。　サーバーにアップロードするだけだから、英文書かなくて良いし。(w
721 名前：61 mailto:sage [2009/06/29(月) 00:52:07 ]: >>713　乙です。
Kaspersky 2009/06/28 23:50:00
　72.9.108.26\install_10.exe - Trojan-Downloader.Win32.Boltolog.ewo
　gold-smerch.cn\flash.exe - Trojan-Downloader.Win32.Small.jxb
　reddii.ru\reddii.ru.htm - Packed.JS.Agent.ad
　roons.cn\Project2.exe - Trojan-Downloader.Win32.Agent.cguk
　satanic.easycoding.org\file.exe - Trojan.Win32.Inject.aesn
　update.microsoft.com.hillij.com\officexp-KB910721-FullFile-ENU.exe - Trojan-Dropper.Win32.Zbot.h
　woons.cn\pinch_no_cript.exe - Trojan-PSW.Win32.LdPinch.ahdf
　www.livedoorm.com\Test.exe - Backdoor.Win32.PcClient.arsm
　www.hzcpwl.cn\djellow.exe - Trojan-Spy.Win32.Zbot.xgh
　ztb.cztv.tv\1.exe - Backdoor.Win32.Wuca.by
　ztb.cztv.tv\2.exe - not-a-virus:AdWare.Win32.AdMedia.ed
　ztb.cztv.tv\2\$r0 - not-a-virus:AdWare.Win32.Cinmus.auxo
　ztb.cztv.tv\2\235.exe - not-a-virus:AdWare.Win32.Cinmus.auxo
　ztb.cztv.tv\7.exe - not-a-virus:AdWare.Win32.BHO.hmc
　ztb.cztv.tv\7\cpush.dll - not-a-virus:AdWare.Win32.BHO.hmc
　ztb.cztv.tv\88.exe - Trojan-GameThief.Win32.OnLineGames.vcqj
　ztb.cztv.tv\9.exe - not-a-virus:AdWare.Win32.Iebar.w
　ztb.cztv.tv\9\ietimber.dll - not-a-virus:AdWare.Win32.Iebar.w
黒18，未検出3（下記）
　hearsedriver.com\646808.js
　slil.ru\adware_crypt.exe
　ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe
下2つの実行ファイルは、>719の結果により様子見。　646808.jsもスクリプトなので、>713提出に付き様子見。
722 名前：61 mailto:sage [2009/06/29(月) 00:54:20 ]: >>719
今気がついたけど、

×　AVIRA9 7.01.04.144 で、黒15/21，HEUR 1/14
○　AVIRA9 7.01.04.144 で、黒15/21，HEUR 1/21　未検出 5/21 です。
723 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/29(月) 22:52:53 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=419
infected

MarwareListから拾ったもの。（今日のspamにあったアドレスecard.exeも含んでました）
724 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 00:06:35 ]: >>723さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました
725 名前：724 mailto:sage [2009/06/30(火) 00:07:26 ]: 一部訂正
Symantecとa-squaredとMalwarebytesに提出しました
726 名前：61 mailto:sage [2009/06/30(火) 00:42:25 ]: >>723 乙です。
AVIRA9 7.01.04.152　検出47／56

残9個の内、下記7個提出。　全部UNDER ANALYSIS
　84.244.138.55\84.244.138.55.htm → zip圧縮ファイルだったので、解凍したファイルをAVIRAに提出
　hostvids.net\streamviewer.45129.exe
　softportal-files.com\streamviewer.40000.exe
　turkey-h.org\r57.txt
　www.amd20094.xpg.com.br\xroot.txt
　www.free-celeb-videos.net\softwarefortubeview.40056.exe
　www.scoringsessions.com\test.gif

下記2個は、中身を見て、VTに投げた後、未提出としました。
　www.amd20093.xpg.com.br\xroot(1).txt
　www.free-celeb-videos.net\www.free-celeb-videos.net.htm

Kasperskyはこれからチェックします。
727 名前：61 mailto:sage [2009/06/30(火) 01:43:56 ]: >>723 乙です。
Kaspersky 2009/06/29 23:05:00　検出42，HEUR 1，未検出13

HEUR
　mm.cj-vv.cn\lm\new9.exe - HEUR:Trojan.Win32.Generic → Trojan-GameThief.Win32.Magania.bjfq （既に返答来た）

未検出13個の内、下記11個提出。>726と同じ2個は未提出。
　bingb.5webs.net\login.js
　eshymkent.cn\setup_tube.exe
　hostvids.net\streamviewer.45129.exe
　invomedia.net\yes.txt
　online-casino-lpt.biz\SmartDownload.exe
　softportal-files.com\streamviewer.40000.exe
　www.amd20094.xpg.com.br\xroot.txt
　www.brun-sylvain.fr\idv6.txt
　www.free-celeb-videos.net\softwarefortubeview.40056.exe
　www.scoringsessions.com\test.gif

ヒューリスティック→隔離フォルダから送った分は相変わらず速攻で返事来るけど、怪しいぞってメール送った分は全然返事来ない。
AVIRAも解析遅れが結構出てきてるし、AVIRAもKasperskyもパンク中なんだろうねぇ．．．さて、寝ますか。ﾉｼ
728 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 02:43:35 ]: >>723
Wikiにまとめてある提出先一通り（提出報告のあったベンダーと、Norman、Zonerを除く）に提出完了。

www.free-celeb-videos.net\www.free-celeb-videos.net.htm は、VTでは、eSafeしか検知してないようですが
同じフォルダに入っている softwarefortubeview.40056.exe を落させようとするフィッシングサイト（の分類？）です。
FakeAVではなく、FakeCodecと言うべきですかね。

アクセスしただけで落ちては来ないですが、動画に見えるものをクリックすると、コーデックを落とすよう
指示を出してファイルを落とさせようとします。確かに、アクセスしただけでは感染しませんし、クリックするまで
ファイルも落ちて来ませんので、白判定になっちゃうのかも。

htmlの冒頭の辺りに、堂々とexe名乗っけてる位なので、わたしは、提出対象に含めました。

検体入手元
p://www■free-celeb-videos■net
p://exe-profile■com/softwarefortubeview■40056■exe
729 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 02:48:22 ]: >>726
マカフィーは、そのhtmlをフィッシングサイト扱いで（ヒューリスティックだけど）検知する模様。(自動返答より抜粋)

www.free-celeb-video|heuristic detection |with fishy extension |Application |no
730 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 05:04:18 ]: 検体提出先変更

Cybersoft(VFind) info☆cyber.com → virus☆cyber.com

届かずに戻ってくるから、送信先変えてたんだけど、メールで言ってきたってことは
今度はちゃんと届くんだろうな、多分。次の送付から、こっちのアドレスに直すか。
731 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 10:34:35 ]: カスペからの返事（比較的古いもの）

scanmyfolders.com.htm_ (>>647) - Trojan-Downloader.JS.Iframe.bhz

winres.exe_(>>565) - Trojan-Spy.Win32.VB.btm

This file is already detected. Please update your antivirus bases.（検知済み）

>>647
18.htm

No malicious software was found in the attached file.

>>565(>>566,602,609,664) tane0394は、5+5=10/10でようやくクローズ。
732 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 13:31:27 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=420
infected

昨日、一昨日に拾ったドメインのもので、更新されてたファイルが結構あったので。
但し、殆どのベンダーが全部検知するんじゃないかなぁ。

検体入手元
p://up■cj-vv■cn:889/
p://tt■ff88567■cn/bbs/exe/

Aviraは全検出したので、提出せず。
マカフィーは、自動返答によると、既知とヒューリスティックで全検出。

Wikiにまとめられている他のベンダーは、検出状況確認せずにまとめて送付。（NormanとZoner以外は一通り提出完了）
トレンドマイクロは５分割したうちの３つが500エラーで送れないので、時間を置いてから残件処理予定。

=== AntiVir Detection Name ===
tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper
up.cj-vv.cn/mm/jm/new1.exe : TR/Dropper.Gen Trojan
up.cj-vv.cn/mm/jx/new[1-13].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/la/new1.exe : TR/Spy.Gen Trojan
up.cj-vv.cn/mm/lm/new[1-27].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/qt/new1.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new2.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new3.exe : TR/Small.aawp Trojan
up.cj-vv.cn/mm/qt/new4.exe : TR/Dldr.Small.aleg.4 Trojan
up.cj-vv.cn/mm/qt/new6.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/mm/qt/new7.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/up1/up.exe : TR/Hijacker.Gen Trojan / RKIT/Agent.AIWN.20 root kit
733 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 17:21:27 ]: >>732さん乙
Symantecとa-squaredとMalwarebytesに提出しました
ゲーム系とオートラン多数だね
734 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 17:42:31 ]: >>732
トレンドマイクロのsubwizフォームから送っていて
(500かは忘れたけど)aspでエラー吐くのは
検出できる物が混じっている場合。バラしてみ。
735 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 20:15:40 ]: COMODO Internet Security　1504

>>706
13/14
未検出分提出

>>723
40/56
未提出

>>732
141/149
未検出分を提出しました。
736 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/06/30(火) 21:32:59 ]: >>735
ああ、そういや、そんな話もあったっけね。

容量がでかくてタイムアウトする時は500エラー出て、２分割したらすんなり通ったことあったので
鯖が重くてタイムアウトしてるだけかと思ってたわ。

引っ掛かったのは、tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper で、幾つかVTに投げてみたら
トレンドマイクロでは検出する奴だった。（検出名：WORM_AUTORUN.FHU）

検出可能なものしか入ってないのでエラーになってたということで、提出の必要なさそうだと判断しとくわ。
737 名前：61 mailto:sage [2009/06/30(火) 22:55:50 ]: >>726
AVIRA返答
　84.244.138.55\84.244.138.55.htm - JS/LuckySploit.L.1
　hostvids.net\streamviewer.45129.exe - MALWARE(名称未定）
　softportal-files.com\streamviewer.40000.exe - MALWARE(名称未定）
　turkey-h.org\r57.txt - DAMAGED FILE (UNKNOWN)
　www.amd20094.xpg.com.br\xroot.txt - CLEAN
　www.free-celeb-videos.net\softwarefortubeview.40056.exe - MALWARE(名称未定）
　www.scoringsessions.com\test.gif - PHP/Small.NAC
７個について、黒５，白１，ファイル破損で判定不能１

>>728-729
踏んだら自動でファイルを落としてくるようなものは提出しますが、流石に単なるリンクまで出してると
キリが無いかと思いました故。

出さなかった分は今後も明記しますので、気になる人は出して下さい。m(_ _)m

>>732
AVIRAは問題無さそうなので、これからKasperskyのチェックはじめます。
738 名前：61 mailto:sage [2009/06/30(火) 23:16:45 ]: >>732
Kaspersky 2009/06/30 22:12:00　黒147/149，HEUR無し。
下記2個を取りこぼしたので、提出しました。

up.cj-vv.cn\mm\la\new1.exe
up.cj-vv.cn\mm\qt\new2.exe
739 名前：61 mailto:sage [2009/07/01(水) 00:01:52 ]: >>727
提出分11個の現状，Kaspersky 2009/06/30 22:12:00
●bingb.5webs.net\login.js - Trojan-Downloader.JS.Iframe.bik
●eshymkent.cn\setup_tube.exe - not-a-virus:FraudTool.Win32.SystemSecurity.oa
●hostvids.net\streamviewer.45129.exe - Trojan.Win32.FraudPack.pby
　invomedia.net\yes.txt
　online-casino-lpt.biz\SmartDownload.exe
●softportal-files.com\streamviewer.40000.exe - Trojan.Win32.FraudPack.pby
　turkey-h.org\r57.txt
　www.amd20094.xpg.com.br\xroot.txt
　www.brun-sylvain.fr\idv6.txt
●www.free-celeb-videos.net\softwarefortubeview.40056.exe - Trojan.Win32.FraudPack.pby
　www.scoringsessions.com\test.gif

返答無いけど検出可 5個，判断待ち 6個。

ただ、経験上KasperskyはGAME系をスルーするので、online-casino-lpt.biz\SmartDownload.exeは白判定の可能性大。
　ttp://www.virustotal.com/jp/analisis/0e111d47123b68a88e21705c74a72e4562b7b0fcb15f3296b8cac24f165eeedf-1246373598 (11/40)
　（カジノゲームで、ウイルスではない）
740 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/01(水) 00:47:36 ]: カスペ2010　0:08
直近検出状況まとめ
提出者の方、代理提出者の方㌧。

>>652 tane0407 (>>658) 2/2で閉鎖

>>674 tane0410 (>>678) 1/1で閉鎖

>>680 tane0411 (>>684,685)　1+下記1=2/2で閉鎖
Detected Trojan program Trojan-Downloader.Win32.Banload.afwt 　　doc-47473-4378914-34-JPG.exe

>>683 tane0412 (>>683,693,716) 3+3=6/23(>>683,716)のままで一部未決

>>691 tane0413 (>>692,710) 9+1=10/10で閉鎖

>>699 tane0414 (>>703) 0/1 (fk.pdfスルー）で未決

>>700 tane0415 (VT通り,>>703) 1/1で閉鎖

>>705 tane0416 (>>711) >>711さん通り、5/59のまま。変化なしで未決

>>706 tane0417 (>>712) 6+追加検出1=7/14で未決
Deleted Trojan program Trojan.Win32.FraudPack.pbo 　　tane0417\mysecurepcshields.com\install.exe

>>713 tane0418 (>>721) 18/21のままで未決
741 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/01(水) 00:48:44 ]: カスペ2010　0:08
直近検出状況まとめ

>>723 tane 0419(>>727)
43+事後検知5=48/56で未決
Detected Trojan program Trojan-Downloader.JS.Iframe.bik 　　\bingb.5webs.net\login.js
Detected virus not-a-virus:FraudTool.Win32.SystemSecurity.oa 　　\eshymkent.cn\setup_tube.exe
Detected Trojan program Trojan.Win32.FraudPack.pby 　　\hostvids.net\streamviewer.45129.exe
Detected Trojan program Trojan.Win32.FraudPack.pby 　　\streamviewer.40000.exe
Detected Trojan program Trojan.Win32.FraudPack.pby 　　\www.free-celeb-videos.net\softwarefortubeview.40056.exe

>>732 tane 0420 148/149で未決
スルー1　　tane0420\up.cj-vv.cn\mm\la\new1.exe
検体名は略

>>738 0:08では、new2.exeは既検出－　Trojan.win32.agent.kud

スクリプト系は、VT他社検出状況みながら明日以降順次提出。
寝る。ｗ
742 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/01(水) 01:41:37 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=421
infected

眠いので、提出は起きてから…(o_ _)o ぱたり
743 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/01(水) 01:42:30 ]: あ、>>742は、AviraとAntiyLabsにはftp経由で提出済みです。
744 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/01(水) 06:14:13 ]: >>742
McAfee (Active Protection 無効)55/96
未検出分をMcAfeeに提出させて頂きました。
745 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/01(水) 07:32:45 ]: >>742さん乙
Symantecとa-squaredとMalwarebytesに提出しました
でもあまり無理をしないようにね
746 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/01(水) 11:33:19 ]: >>742 乙です。
カスペ2010 11:10
80/96

(1) havvha.com 51/52 (aa35.exeスルー）
Trojan.VBS.IEstart.e 　　1.exe、　　3-5..exe 7-20.exe (18files)
Trojan-GameThief.Win32.Magania.* 　　/havvha.com/aa[1, 3-28, 30-33].exe (31files)
virus HEUR:Trojan.Win32.Generic 　　aa2.exe
Trojan.Win32.Agent.cnll 　　aa34.exe

(2)liesbethmian.be 10/11 (fb48.exeスルー）
Trojan-Dropper.Win32.BHO.bo 　　　　/6244.exe
virus Net-Worm.Win32.Koobface.ahx 　　　　/be.15.exe
Trojan-Downloader.Win32.Tiny.byt 　　　　/captcha6.exe
virus Net-Worm.Win32.Koobface.aie 　　　　/hi.12.exe
Trojan.Win32.Agent.cntq 　　　　/ms.19.exe
Trojan.Win32.Agent2.jyw 　　　　/nfr.exe
Trojan-Dropper.Win32.Agent.auoy 　　　　/pdrv.exe
Trojan.Win32.Agent2.ktz 　　　　/pp.10.exe
virus Net-Worm.Win32.Koobface.aif 　　　　/tg.12.exe
Trojan-Proxy.Win32.Agent.bpd 　　　　/websrvx2.exe

(3)その他 19/22
Trojan-Downloader.JS.Iframe.bik 　　/74.114.116.101/ads.js (1/1)
Trojan-Downloader.JS.Iframe.bgx 　　/95.209.81.156/92.236.141.125.htm (2/2)
virus HEUR:Trojan.Win32.Generic 　　/95.209.81.156/setup.exe
Trojan.Win32.Rabbit.fr 　　/109438129432.cn/load.exe　　(1/1)
Exploit.Win32.Pidief.bcp 　　/antivirusxp09.com/9426.pdf 　　(2/2)
virus HEUR:Trojan.Win32.Generic 　　/antivirusxp09.com/load.exe
Trojan-Downloader.Win32.FraudLoad.euw 　　/atuyfe.cn/installer_70126.exe　　(1/1)
Trojan-Downloader.Win32.FraudLoad.evq 　　/bobo-tube.com/streamviewer.45031.exe　　(1/2)
Trojan-Spy.Win32.Zbot.xrt 　　/chaseonline.chase.com/officexp-KB910721-FullFile-ENU.exe 　　 (1/1)
747 名前：746 mailto:sage [2009/07/01(水) 11:34:10 ]: >>742,>>746の続き
Trojan-Downloader.Win32.FraudLoad.evq 　　/hot-tube-work.com/TubeViewer.ver.6.48268.exe (1/2)
Trojan-Downloader.HTML.FraudLoad.a 　　/lianadumitrescu.ro/atiguko.cn.htm (3/4)
Trojan-Downloader.Win32.FraudLoad.euw 　　/lianadumitrescu.ro/installer_70141.exe
Trojan.JS.Agent.ahr 　　/lianadumitrescu.ro/lianadumitrescu.ro.htm
Trojan-Downloader.Win32.FraudLoad.evq 　　/load-exe-soft.com/TubeViewer.ver.6.40000.exe 　　(1/1)
Trojan-Downloader.Win32.FraudLoad.wcva 　　/pornotube915.com/codec.exe (1/1)
Trojan-GameThief.Win32.Magania.bipt 　　/sesese.y145c.cn/1.exe (1/1)
adware not-a-virus:AdWare.Win32.Simbar.e 　　/simpletoolbar.com/toolbar.exe (1/1)
Trojan.Win32.Tdss.aiij 　　/toptubehunt.info/video_player.exe （1/1）
Trojan-Downloader.Win32.Agent.bqtn 　　/zief.pl/wr.exe (1/1)

(4)スルー 11files
88.198.234.133 0/3,
FakeAV*.ru 0/4
kepko.net 0/3
update1.fastantivirus09.com. 0/1

検体提出します。
748 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/01(水) 12:28:26 ]: COMODO Internet Security　1521

>>742
tane421
63/96

未検出分を提出しました
749 名前：748 mailto:sage [2009/07/01(水) 13:06:03 ]: 追記
bo-bo-tube.comフォルダに入っているxplays.phpは
通常のHTMLタグしか書かれてないので提出しませんでした
750 名前：名無しさん＠お腹いっぱい。 [2009/07/01(水) 13:34:51 ]: >>2

・淡々とやれ淡々と！

・ソフトの優劣の議論は別スレで！!

長文で主観がこもった叙述調の長文イラネ。(　ﾟдﾟ)､ﾍﾟｯ
751 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/01(水) 15:35:50 ]: 1000いく前にこのスレもうすぐ落ちるな。現在、476KB

512KBでdat落ち仕様

そろそろテンプレメンテして、次スレ必要かと。
752 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/01(水) 17:59:50 ]: >>751 了解

提出先（テンプレ）変更
>>1
>>18,534,542,549,655,730,12,227,188,191
だけ？
確認よろしく。

現行種は、現行スレで報告、新種は新スレで報告がいいのかな。
まだ、30KB ほど余裕があるから、新種のうｐは、１～２日は大丈夫と思うが。
立てれれば、新スレたてます。

現行レス推移だと、>>800超で落ちるのかな。
753 名前：740 mailto:sage [2009/07/01(水) 20:41:29 ]: カスペ2010 19:08&返答
>>705 tane0416 (>>711)
5+1=6
22ac7bebd...1d520317.js - - Trojan.JS.Agent.ajc

>>706 tane0417 (>>712,740)
6+(1+2)=9/14、白2、待ち2(scan4plan.html2つ)、見送り1(coutner.htm)
Trojan.HTML.Agent.by - struck...\fastfolderscanner.com.htm
Trojan-Downloader.HTML.FraudLoad.a -　\onlyfind...\index.php
Trojan-Downloader.JS.Iframe.bio - drugstore...\test.html
sexbases.cn\bonus.php, in.cgi (2files) - 白

>>713 tane0418 (>>721,740)
18+1＝19/21、白2でクローズ
Trojan-Clicker.JS.Agent.gq - hearsedriver.com\646808.js
adware_crypt.exe,　　NSIS.Library.RegTool.v2.$[36].exe. - 白

>>723 tane 0419(>>727,739,741)
43+5=48/56, 白2,回答待ち3 (yes.txt, idv6.txt, www.free-celem....),.,見合せ3(r57.txt, xroot.txt、xroot(1).txt)
SmartDownload.exe, test.gif - 白

>>742 tane0421 (>>746)
80+1=81/96、白1
Trojan-GameThief.Win32.Magania.bjsy - aa2.exe (←HEUR:Trojan.Win32.Generic）
Trojan.Win32.Inject.afgm - 95.209.81.156\setup.exe (←同上）
Trojan-Downloader.Win32.Agent.chgu - antivirus09.com\load.exe(←同上）
Trojan-GameThief.Win32.OnLineGames.bmiy - \havvha.com\aa35.exe
kepko.net\.exe - 白
754 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/01(水) 23:10:30 ]: カスペ2010
>>699(>>703) tane0414 1/1で閉鎖
Trojan program Exploit.Win32.Pidief.bcx 　　tane0414\fk.pdf

>>742(>>746,753) tane0421
80+1+1＝82/96
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.be 　　update1.fastantivirus09.com\ReleaseXP.exe

今日はここまで
755 名前：61 mailto:sage [2009/07/01(水) 23:19:27 ]: >>703,740
　fk.pdf - Exploit.Win32.Pidief.bcx
返答無いけど検出可になりました。

>>750
それを言うたら、検体提出でも報告でもない、お前さんのただの感想文もこのスレでは何の役にもたっとらんがな。(w
756 名前：61 mailto:sage [2009/07/01(水) 23:44:32 ]: >>742　乙です。
Kaspersky2009 2009/07/01 22:12:00　　検出81/96（HEUR無し），未検出は下記15個。

88.198.234.133
　index-go.html
　new.exe
　search.php
95.209.81.156
　setup.exe
bobo-tube.com
　xplays.php
FakeAV videoxporno.ru
　ddanchev-suck-my-dick.php
　Setup-27ab1cc_02022.exe
　Setup-30a959_02022.exe
　Setup-9139d_02022.exe
hot-tube-work.com
　xindex.php
kepko.net
　.exe
　7klik.com.htm
　n1.htm
lianadumitrescu.ro
　bidch.js
liesbethmilan.be
　fb.48.exe

>746さんの2010に比べて、HEURで捕まえられないものがありますねぇ。（95.209.81.156\setup.exeとか）
>746さんと提出が重複しないようにチェックしてから、こちらも検体を提出します。
757 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/02(木) 01:47:57 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=422
infected

リネージュ資料室の更新リスト＋α
見覚えのあるファイルもありますが、更新日が新しかったので再提出してみるテスト。

＝＝＝検体入手元＝＝＝
p://codecpack■nl/divx680vfw■exe
p://www■xlsf013■cn/zr/sct■exe
p://www■xlsf013■cn/Lz■htm
p://www■xlsf013■cn/server■exe
p://www■xlsf013■cn/Pps■htm
p://www■xlsf013■cn/Bfyy■htm
p://www■xlsf013■cn/Ms06014■htm
p://www■686ip■cn/shen/ma■exe
p://www■mvoe■cn/all/aa■js

p://tt■ff88567■cn/bbs/exe/[1-100]■exe
p://tt■ff88567■cn/bbs/exe1/[1-100]■exe
p://tt■ff88567■cn/down/dnf9m■exe
p://tt■ff88567■cn/down/jxsj9m■exe
p://tt■ff88567■cn/down/mhxu9m■exe
p://tt■ff88567■cn/down/mu9m■exe
p://tt■ff88567■cn/down/qq3g9m■exe
p://tt■ff88567■cn/down/qq3g9m1■exe
p://tt■ff88567■cn/down/qqhx9m■exe
p://tt■ff88567■cn/down/qqxx■exe
p://tt■ff88567■cn/down/wl9m■exe
p://tt■ff88567■cn/down/zt9m■exe
p://tt■ff88567■cn/down/zzh9m■exe
758 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/02(木) 01:48:49 ]: >>757（続き）

＝＝＝備考＝＝＝
１．tt.ff88567.cn は、容量が大き過ぎるので、パスワードなしの7zアーカイブで固めたものを、
　zipの中に放り込んであります。提出時にはご注意ください。

２．divx680vfw■exe は誤検知かも？このファイルを提出するかどうかは各自の判断で。

　divx680vfw■exe(2/41) AntiVir検出名：TR/StartPage.dpb
　ttp://www.virustotal.com/analisis/60c023437712fffbfded71e52a5aab8c9f2db2e44154467675d23397b9cb77c2-1246466086
759 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/02(木) 02:08:16 ]: ごめんなさい、>>757の「www.686ip.cn」「www.mvoe.cn」「www.xlsf013.cn」内は無害なファイルでした。
ドメイン消失でhtml落ちてきてただけのようで、一旦消して、上げ直します。
760 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/02(木) 08:37:34 ]: 連投規制の時間待ちしてたらそのまま寝てた…コタツトップ（そのまま後ろにバタンＱ）の悪いとこだな。

>>758のUPしなおし。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=423
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=424
infected

下は、ZIPの中身は7zのパスなしアーカイブに圧縮してあります。
多分、殆どのベンダーがdivx680vfw■exe以外は、全部検知するんじゃないかと。

AntiVirは全検知してました。
761 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/02(木) 13:35:25 ]: >>757-760㌧
カスペ2010 12:36

>>760 （tane0423)
11/12(うちHEUR2)、スルー1（divx680vfw.exe）。検体提出します。
Trojan-GameThief.Win32.Magania.bjoz 　　dnf9m.exe
Trojan-GameThief.Win32.Magania.biht 　　jxsj9m.exe、　　mhxu9m.exe、　　wl9m.exe、　　zt9m.exe、　　zzh9m.exe (5files)
Trojan-GameThief.Win32.Magania.bjnj 　　mu9m.exe
Trojan-GameThief.Win32.Magania.bfrp 　　qqhx9m.exe
Trojan.Win32.Agent.cnwy 　　qqxx.exe
virus HEUR:Trojan.Win32.Generic 　　qq3g9m.exe、　　qq3g9m1.exe (2files)

>>760 (tane0424)
200/200でクローズ
(1)exeフォルダ 100/100
Detected virus Worm.Win32.AutoRun.afcb 　　/exe/*.exe
(2)exe1フォルダ 100/100
Detected Trojan.Win32.Agent.bsmyなど /exe1/*.exe
762 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/02(木) 15:31:26 ]: >>752
多分、テンプレに入れる必要はないけど、マイナー所の提出先を幾つか…まだWikiの方には反映させてない気がする。

メール
BullGuard Internet Security <support☆bullguard.com>
Central Command(Vexira Antivirus) <virus☆centralcommand.com>
Intego(VirusBarrier) <sample☆virusbarrier.com>
Mischel Internet Security(TrojanHunter) <support☆trojanhunter.com>
Moosoft(The Cleaner) <trojans☆moosoft.com>
NictaTech Software(Digital Patrol) <newvirus☆nictasoft.com>
Simply Super Software(Trojan Remover) <submit☆simplysup.com>
SRN Micro(Solo Antivirus) <support☆srnmicro.com>

Webフォーム
ATShield Ltd.(Anti-Trojan Shield)
　ttp://www.atshield.com/?r=support&pr=submit
　3MBまで

－－－
そういや、昨日出した分から、nProtect GameGuardから、受理のメールが届くようになってた。
始めてメール来たので、ちょっとびっくり。

ファイル添付可能にしてくれればなぁ…アドレス連絡しても、日替わりで、対応してない奴とかあるし。
763 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/02(木) 15:45:49 ]: メモ書き
>>1
>>762
764 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/02(木) 17:16:59 ]: カスペ2010 返答＆検出状況 15:46

>>723 tane 0419 (>>727,739,741,753)
43+5=48/56, 白6,回答待ち2 (yes.txt, , www.free-celem.....htm),
www.brun-sylvain.fr\idv6.txt - 白（返事）
見合わせ3ファイルは、各ベンダーに提出後も現在VT再解析0%であるから、白に加算.

>>732 (>>741) tane0420
148+1=149/149で閉鎖
Trojan-Dropper.Win32.Agent.auzd 　　up.cj-vv.cn\mm\la\new1.exe

>>742（>>746-747,753,756)
80+1+1=82/96,白1、残13
Net-Worm.Win32.Koobface.akh - liesbethmilan.be\fb.48.exe （返事）

>>760,(>>761) tane0423
11/12(うちHEUR1)、白1で仮閉鎖
Trojan-GameThief.Win32.Magania.bjyb 　　qq3g9m1.exe （←HEUR:Trojan.Win32.Generic）
divx680vfw.exe - 白（返事）
765 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/02(木) 19:26:23 ]: >>760さん乙
Symantecとa-squaredとMalwarebytesに提出しました

セキュ板はたしか連投4回までです。秒規制は40秒間隔かな（2ch専用ブラウザで確認回避可能）
760さんの7zipの圧縮形式（LZMA・PPMd・ZIP）と圧縮率はいくつですか？

>>1さん
このスレは、いわば危険物が集まる場所なワケで、
セキュリティに疎い人が来てワクチンすら間に合っていない危険に晒されてしまう可能性も考えられるので、
最低限、オートラン無効設定の案内を予めことわり書きしておく必要があると思います。

IPA 情報処理推進機構
「外部記憶メディアのセキュリティ対策を再確認しよう！」 ― USB メモリ、便利のウラに落とし穴 ―
ttp://www.ipa.go.jp/security/txt/2008/12outline.html
「 USB メモリのセキュリティ対策を意識していますか？」 ― USB メモリの安全な使い方を知ろう ―
ttp://www.ipa.go.jp/security/txt/2009/05outline.html
766 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/02(木) 20:09:57 ]: >>760
>>760
McAfee (Active Protection 無効)
tane0423
11/12
tane0434
200/200

未検出分(divx680vfw)をMcAfeeに提出させて頂きました。
767 名前：61 mailto:sage [2009/07/02(木) 23:20:34 ]: >>758,760
divx680vfw■exe は ttp://codecpack■nl/divx680vfw.exe　と同じものですが、流石にこれは誤検出だと
思われますので、AVIRAにSuspected False Positiveで提出しておきました。

返答来たら書き込みます。
768 名前：764 mailto:sage [2009/07/02(木) 23:31:28 ]: カスペ返答
>>742（>>746-747,753,756,764)
80+2+2=84/96,白1、残11

kepko.net\.exe_
No malicious code was found in this file.(>>753通り）

kepko.net\7klik.com.htm_ - Trojan-Downloader.HTML.Agent.pk,
kepko.net\n1.htm_ - Trojan-Clicker.HTML.Agent.an

New malicious software was found in these files.

ほかは進展なし。今日はここまで。
769 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 10:52:23 ]: そろそろ次スレですかね。容量的に。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=425
infected

MarwareListから拾ったもの。Norman、Zoner以外は一通り提出完了しています。

AntiVir(48/53)
770 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 10:57:35 ]: >>769
カスペ返答
*** already detected ***
<省略>

*** New ***
aa8.exe_ - Trojan-GameThief.Win32.OnLineGames.bmkd,
installer_70321.exe_ - Trojan-Downloader.Win32.FraudLoad.evw,
socks.exe_ - Trojan-Spy.Win32.Agent.awnv,
winres.exe_ - Trojan-Dropper.Win32.VB.mtc

*** CLEAN ***
EvID4226Patch.exe_, flist.js_

まかふぃー返答
aa10.exe , aa8.exe , flist.js , t.exe が inconclusive 。他は、current detection 、new detection 、heuristic detection のいずれか。

－－－
flist.jsは、Avast（+G DATA)のみが検知。内容的にも、普通は白判定になると思う。
771 名前：764 mailto:sage [2009/07/03(金) 11:11:44 ]: >>742（>>746-747,753,756,764,768)
カスペからの返事
80+(4+3)=87/96, 白2, 残7

FakeAV videoxporno.ruフォルダ

ddanchev-suck-my-dick.php

No malicious code was found in this file.

Setup-27ab1cc_02022.exe, Setup-30a959_02022.exe, Setup-9139d_02022.exe - Trojan.Win32.FraudPack.pev

New malicious software was found in these files.
772 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 16:39:15 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=426
infected

いつも（？）のように、Norman、Zoner以外は一通り提出完了。
MarwareListの7/2分から拾ったものと、リネージュ資料室の更新リストにあった日替わり(?)scrです。

AntiVir(41/48)

※　設定ファイルのstatic.stdも入ってますが、これは白判定が普通だと思います。
　　 Avastはなんで検知するんだか…
　　そういや、PC.exeとAgent.exeの入った奴の中のリストを、A-Squaredが検知してたこともあったっけ。
773 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 16:54:33 ]: >>772

NortonInternetSecurity2009
40/48

PandaGlobalProtection2010
38/48

GDATAInternetSecurity2010
39/48
774 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 18:59:44 ]: >>772
McAfee (Active Protection 無効)39/48
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gbtext.dll |inconclusive | | |no
ld.php |inconclusive | | |no
musictupac.-.all.eye|inconclusive | | |no
scan.php |inconclusive | | |no
static.exe |new detection |generic pws.y!dp |Trojan |yes
static.std |inconclusive | | |no
tupac-all-eyez-on-me|inconclusive | | |no
w.exe |inconclusive | | |no
wingb.dll |inconclusive | | |no

ここまで、McAfee残件なし。
775 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 19:20:39 ]: 取り急ぎ次スレたてました。

【鑑定目的禁止】検出可否報告スレ12
pc11.2ch.net/test/read.cgi/sec/1246615426/

取り急ぎ、提出先など確認お願いします。
（ベンダーが含まれているか？提出先が誤っていないか？死んでいるリンク、アドレスはないか？余分なものはないか？など）
776 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 19:36:14 ]: >>772さん乙
Symantecとa-squaredとMalwarebytesに提出しました
>>775さん乙
777 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 19:57:13 ]: >>775
乙

>>655のRising提出先
RARまたはZIPで圧縮、パスワード付き圧縮・分割圧縮は不可、5MBまで

旧アップロードページと同じ仕様に変更されていました
778 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 20:05:01 ]: ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=427
virus

swfはcws(zlib圧縮)形式だけど、(FFmpegのcws2fwsで)fws形式に解凍すると
超巨大サイズになるのでそのままで。

ネタ元 SANS ISC
Cold Fusion web sites getting compromised
ttp://isc.sans.org/diary.html?storyid=6715

exeは2つ。
www■vii3■cn/svcst.exe (今日製造)
www■qiqijs■com/gm/gm.exe (先月28日製造、賞味期限切れ)
779 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 20:11:25 ]: >>775乙
>>772㌧ tane0426

カスペ2010 41/48
(1)iframe 1/3 (id.php, static.stdスルー）
Trojan-Spy.Win32.Zbot.gen 　　static.exe

(2)lawd 34/34
Trojan-GameThief.Win32.Magania.biht 　　CJSH9M.exe、　　WZSJ9M.exe、　　cp9m.exe、　　cqwd9m.exe、　　dh29m.exe、　　dh39m.exe、　　dhwd9m.exe、　　dj9m.exe、　　jxsj9m.exe、jr9m.exe
同上　　kx9m.exe、　　mhxu9m.exe、　　rxjh9m.exe、　　tl9m.exe、　　wd9m.exe、　　wl9m.exe、　　wmgj9m.exe、　　xc9m.exe、　　zt9m.exe、　　zu9m.exe、　　zx9m.exe、　　zzh9m.exe
Magania.*系　　aion9m.exe、　　　　cqsj9m.exe　　dnf9m.exe　　hx29m.exe 　　mhxu9m1.exe　　mu9m.exe　　qq3g9m1.exe　　qqhx9m.exe　　tx29m.exe
Trojan-GameThief.Win32.OnLineGames.bkzf　　 qqma1.exe
Trojan.Win32.Pakes.nkm 　　qqmo.exe
unknown threat UDS:DangerousObject.Multi.Generic qq3g9m.exe

(3)music 1/2 (tupac-*..htm;スルー）
Trojan.Win32.FraudPack.pet 　　　MusicTupac-*.exe

(4)www.mlwc 2/2
Backdoor.Win32.PcClient.asff 1199.exe、　　mpg.scr

(5)その他 3/3
Trojan-GameThief.Win32.OnLineGames.bmiy 　　\w9.7777ee.com\a9.exe
Trojan-PSW.Win32.Delf.dud 　　\www.area03601.com\w.exe
Trojan-Downloader.Win32.VB.ovh 　　www.vduz.cn\r8.exe

6)スルー iarc 0/2, total sec 0/2
780 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 20:35:41 ]: >>778 ㌧ tane0427
カスペ2010
7/7でクローズ

Trojan-GameThief.Win32.Magania.bkfy 　　bome1.exe
Exploit.SWF.Downloader.nn 　　i115cws.swf、　　i64cws.swf、　　n115cws.swf、　　n64cws.swf
Trojan program Exploit.Win32.Pidief.bcm 　　shellcode1.pdf
Trojan.Win32.Agent2.kum 　　trj1.exe

>>769 tane0425
>>770さん㌧
51/53、白2でクローズ(?)
781 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 20:35:59 ]: >>778
McAfee (Active Protection 無効)5/7
未検出分(bome1,shellcode1)

>>778
McAfeeに提出させて頂きました。
782 名前：名無しさん＠お腹いっぱい。 mailto:sage [2009/07/03(金) 20:36:11 ]: >>778
Symantec、Panda、GDATA2010（＝avast!＆BitDefender）提出完了

Symantecから自動返答

filename: shellcode1.pdf
machine: Machine
result: See the developer notes

Aviraにも提出したけど全検出とのこと

25388375 bome1.exe 124.82 KB MALWARE
25388376 i115cws.swf 18.47 KB MALWARE
25388377 i64cws.swf 18.41 KB MALWARE
25388378 n115cws.swf 18.41 KB MALWARE
25388379 n64cws.swf 18.41 KB MALWARE
25387310 shellcode1.pdf 22.62 KB DAMAGED FILE (MALWARE)
25387183 trj1.exe 12 KB MALWARE
783 名前：61 mailto:sage [2009/07/03(金) 21:37:27 ]: >>758,767
AVIRA返答。
　divx680vfw.exe - FALSE POSITIVE
　Detection will be removed from our virus definition file (VDF) with one of the next updates.

と言うことで、誤検出でした。
784 名前：779 mailto:sage [2009/07/03(金) 22:19:43 ]: カスペからの返事
>>760(>>761,764) tane0423
11/12、白1で閉鎖
qq3g9m.exe - Trojan-GameThief.Win32.Magania.bkii (←HEUR:Trojan.Win32.Generic）

>>772 (>>779) tane0426
カスペ2010 41/48、白2
iarc.er-robotics.orgフォルダ
gbtext.dll,wingb.dll - No malicious code were found in these files.

[ 新着レスの取得/表示 (agate) ] / [ 携帯版 ]

read.cgi ver5.27 [feat.BBS2 +1.6] / e.0.2 (02/09/03) / eucaly.net products.
担当:undef