5ちゃんねる ★スマホ版★ ■掲示板に戻る■ 全部 1- 最新50  

■ このスレッドは過去ログ倉庫に格納されています

【鑑定目的禁止】検出可否報告スレ11

1 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:26:30
@はじめに

各ウイルス対策ソフトの検出可否を独自に調査し報告するスレです。
うpろだはなるべく流れにくいところにしましょう。
特定のウイルス対策ソフトを擁護、非難する書き込みはやめましょう

前スレ
【鑑定目的禁止】検出可否報告スレ10
http://pc11.2ch.net/test/read.cgi/sec/1235459712/


●セキュリティ板専用アプロダ推奨↓
http://tane.sakuratan.com/

●検体提出先まとめWiki (参考)
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先(Webフォーム、メールアドレス)、検体提出方法、
推奨される文例、検体提出時の注意事項が掲載されています。

2 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:27:46
A議論や意見のまとめ

・圧縮ファイルと検出数
 exeの中身を検査数に入れるソフト、入れないソフトがあります。ご注意を。

・DOSウイルス禁止
 大昔のウイルスを集めてきても無意味なことがあります。

・パスなしZIPをパス有りLZH(またはRAR)で
 安全性と利便性のため、上記の手法を推奨します。

・淡々とやれ淡々と!
 淡々と貼り、淡々といきましょう。煽りなどなしでお願いします。

・ブラクラ禁止
 ブラクラ等、感染サイトなど、想定しないものを無言で貼らないこと。
 怪しいサイトの安全性を鑑定するサイトではありません!

・ここは検出力調査スレなんだから時間の経った報告は、同時点での検出結果比較の対象にならない
 んなこたーない。時間が経過したときにどれだけ対応数が増えているかも重要。 という意見もあり。

・提出した際は必ずその旨記載してね。提出していないときは検出結果を載せてもいいが、
 提出していない旨記載。(ベンダーに多重送付を避けるため)

・ベンダーにより、多少セキュリティ・ポリシーの違いにより、白黒判定で相違がある場合がある。

・スレ違いでもめる(2スレ目以降)

・あらしはスルー。ソフトの優劣の議論は別スレで!!(下記スレなど)

一番いいセキュリティソフトはなんだ!!Part64
ttp://pc11.2ch.net/test/read.cgi/sec/1241351040/

3 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:29:15
【重要】
●ここは鑑定スレではありません!!!!!malwareのみお願いします。(割れ、キージェネ、クラッカー厳禁)
 割れ厨やネトゲチート厨がここで鑑定させようとすることがありますが、スルーしてください。

※鑑定したい人は勝手に下のVirusTotalなどを使用してください。

●また、このスレは、検出の結果報告およびベンダーへの連絡を通じて、セキュリティの向上に微力ながら
 貢献することを目的としているスレです。検体の悪用・不正利用は厳禁願います。

●検体は、セキュリティ上の観点からなるべく >>1の専用アップローダを使用してください。

●検体確認は自己責任でお願いします。感染しても責任は一切持ちません!
(鑑定スレではないので、無害と判定されたファイルを実行して感染しても責任は一切持ちません!)


※◆W32/Vael.oは信頼できるコテさんです。


★ブラウザから検体をアップロードして複数のAVエンジンでスキャンして検出結果を表示するWebサービス。

・VIRUSTOTAL (略称:VT)
http://www.virustotal.com/jp/

・VirScan
http://www.virscan.org/

・Jotti
http://virusscan.jotti.org/

※エンジンなどの相違により、いくつかのベンダーでは、VTと実際の検出結果が異なるようだ。(例:VT上のカスペ7.0.0.125、最新版2009など)

4 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:30:31
★各ベンダーへの提出先 (順不同)
・ベンダーにより、Webフォームでの提出と、eメールでの提出などがある。
・ eメールアドレスは、☆→@に読み替えてください。パスワードは"infected"(推奨、特にMcAfee, Bit, ESET)で圧縮して添付

●シマンテック (ノートン)
・Symantec Security Response 〔Upload a suspected infected file:疑わしいファイルの提出〕:新しい提出先。こちらを推奨。
ttps://submit.symantec.com/websubmit/retail.cgi
*ファイルやtxtメモや圧縮ファイル〔Password無し、File数9個未満、10MB未満〕 が提出条件
*裏技:シマへは圧縮フォルダ×2回(*7zip-PPMd圧縮)で実はツメホーダイだが、対応が確実に遅くなるので非推奨

●ウイルスバスター(トレンドマイクロ)
ttp://inet.trendmicro.co.jp/esolution/supform.asp
バスターユーザー以外は
ttp://www.trendmicro.com/jp/security/virushunter.htm(該当ページ消滅/次スレでは削除?)
ttp://subwiz.trendmicro.com/SubWiz/Wizard.asp?opgWizard=7

●マカフィー (英語の方が対応が早いかも)
ttp://www.nai.com/japan/security/contactavert.asp (日本語)
ttp://vil.nai.com/vil/submit-sample.aspx (英語)
ttps://www.webimmune.net/ (要登録・英語)
メール:virus_research☆avertlabs.com

●ESET NOD32アンチウイルス
ttp://training.eset.com/kb/index.php?option=com_kb&Itemid=29&page=articles&articleid=141
e-mail:samples☆eset.com

●Kaspersky(カスペルスキー)
ttp://www.kaspersky.co.jp/
一番下の「新しいウイルスをお知らせ下さい」
e-mail: newvirus☆kaspersky.com

5 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:31:14
●Avira AntiVir
ttp://www.avira.com/en/support/submit_suspicious_files.html
e-mail:virus_malware☆avira.com

●Rising(ウイルスキラー)
ttp://up.rising.com.cn/webmail/uploadnew.htm
ttp://sample.rising-global.com/webmail/upload_en.htm (英語版)

●Microsoft(マイクロソフト)
ttp://www.microsoft.com/security/portal/submit.aspx
onecare☆submit.microsoft.com
submit_virus☆research.sybari.com

●Dr.WEB
ttp://drweb.jp/support/virus_sample.html
vms☆drweb.com または vms☆drweb.jp
パスワードはvirus固定

●F-Secure (エフセキュア)
ttp://www.f-secure.co.jp/support/samples/
samples☆f-secure.co.jp

●AVG
ttp://www.grisoft.com/jp.faq.num-771#faq_771
virus☆avg.com

●Ewido (AVG;Anti ;Spyware)
ttp://www.ewido.net/en/malware/(→AVGに変更。次スレでは削除)

●avast!
ttp://www.avast.com/jpn/technical_support.html
virus☆avast.com

6 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:31:55
●ソフォス(Sophos)
ttp://www.sophos.co.jp/support/queries/#sample
ttps://secure.sophos.co.jp/support/samples
ttp://www.sophos.com/support/samples/

●キングソフト・アンチウィルス
ttp://www.kingsoft.jp/is/kentai.html
kentai2☆kingsoft.jp

●バイロボット(hauri、ViRobot)
ttp://www.hauri.net/support/support/virus_reg.html?menu=QTAy

●ウイルスドクター (メールの場合、本国(e-mail 2)の方が速いかも)
ttp://www.virusdoctor.jp/virus/
e-mail 1:labo☆virusdoctor.jp
e-mail 2:virus☆jiangmin.com

●eTrust
ttp://www.caj.co.jp/support/csp/free_policy/virus.htm
virus☆caj.co.jp

●F-PROT; (フォームよりe-mail推奨)
ttp://www.f-prot.com/virusinfo/submission_form.html
e-mail:viruslab☆f-prot.com
F-port宛メールはエンコード後サイズで10,240,000Byte迄

●a2 (a-squared)
ttp://www.emsisoft.jp/EN/support/submit/
e-mail:submit☆emsisoft.com

7 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:32:49
●ウイルスセキュリティZERO (K7Computing)
ttp://k7computing.com/Support/newvirus.html
k7viruslab☆k7computing.com

●Panda
ベンダーに問い合わせた結果、下記のアドレスを指示されました
virussamples☆pandasecurity.com

●ArcaBit
ttp://www.arcabit.com/send.html
virus☆arcabit.com

●Proland Software
ttp://www.pspl.com/support/samplesubmit.htm
virsample☆pspl.com?subject=Virus Sample
(メールは、固定タイトルでないと弾かれる模様)

●ClamAV
ttp://cgi.clamav.net/sendvirus.cgi
パスワードはvirus固定。3145728 bytes未満のファイルで。

●Sunbelt
ttp://research.sunbelt-software.com/software_submission.aspx
malware-cruncher☆sunbelt-software.com

●Malwarebytes
ttp://uploads.malwarebytes.org/

●Lavasoft
ttp://upload.lavasoft.com/upload/submit_file.php

8 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:33:34
●NictaTech Software
ttp://www.nictasoft.com/new-virus/
newvirus☆nictasoft.com

●VirusBuster
ttp://www.virusbuster.hu/en/support/contact/redirect_virus
virus☆vbuster.hu

●ウイルスチェイサー (※ Dr.Webエンジンのため、>>5のDr.Webの窓口に直接送ったほうが良い。)
ttp://www.viruschaser.jp/support_aft.html#q2

●Norman
ttp://www.norman.com/microsites/nsic/Submit/
未圧縮のファイルを、1つづつサンドボックスへ

●eSafe
ttp://www.aladdin.com/home/csrt/vsubmit.asp(→該当ページ削除/誰か補足を)
virus☆aladdin.co.jp

●BitDefender
送付先1:
e-mail:support☆bitdefender.com
ttp://beta.bitdefender.com/site/KnowledgeBase/consumer/
Fight against malware → Improving Detection →What to do when BitDefender does not detect malware

送付先2:
e-mail:virus_submission☆bitdefender.com(2MBまで?)
ttp://forum.bitdefender.com/index.php?showtopic=3066

●アンラボ(AhnLab V3)
・アンラボ(日本)メールで問い合わせたところ、窓口無し、サポート宛のメールで送って欲しいとの返答(詳細は>>1のWiki参照)
 Ahnlab Customer(AhnLab-V3) メール:ahnlabcustomer☆ahnlab.co.jp

9 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:34:43
以上 テンプレここまで
-----------------------------------------

検体提出先を一部変更、追記。

テンプレ(>>1->>7)、検体提出先(>>4->>7)の変更・追加あれば、>>8にレスする形で指摘よろ。

10 :名無しさん@お腹いっぱい。:2009/05/18(月) 09:38:31
AV-Test.org - Update Frequency of Anti-Virus Software (1週間の定義更新頻度)
ttp://www.av-test.org/index.php?menue=7&lang=0

11 :前スレ>>966:2009/05/18(月) 18:34:46
前スレ>>966です。

前スレ>>954
martuz_cn_id2_20090517.pdf
martuz_cn_id10_20090517.exe の件について回答が来ました。

>Hello,
>
>Thank you for your e-mail.
>
>The file you sent was found to be malicious.
>An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!


12 :名無しさん@お腹いっぱい。:2009/05/18(月) 18:52:58
>>8
eSafeは、AlladinとeSafeの合併の都合上かもしれん。
メールはリジェクトされてないから届いてるんだと思うけど。

13 :名無しさん@お腹いっぱい。:2009/05/19(火) 12:41:54
>>1-9
スレ立て乙

14 :名無しさん@お腹いっぱい。:2009/05/19(火) 18:47:44
699さんの代理で投稿します

前スレ>>991
>ここは、ちょっとAVIRAに期待しておこう。

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=330
 DL avira/解凍 avira

ちょっと朗報です。avira データベース 7.01.03.222で、感染後のファイルを検出するようになりました。
上記はその画像です。(ロダをお借りしました。)

上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
再度感染させて検査しています。 この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。

http://www.virustotal.com/jp/analisis/087f8f027f3651120c879d867164626b -1

2個ファイルを検出しているのは、バックアップした方の mwgpedu.tya も検出したためです。
ちなみに、>963の muvl.nug も、同じく TR/Drop.Agent.qna.2 で検出するようになっています。(実機確認済み)

http://www.virustotal.com/jp/analisis/92a0cea2519ff2c901f9ac82f9453928 -2

VTの上記 1と2のMD5を見ればわかるように、ファイル自体は中身が微妙に変わっている(MD5が違う)のですが、
見事に同じ検出名で発見します。

完璧に発見できるかどうかは今後の検証が必要だと思いますが、流石aviraと言うところですか...
上手くmartuz.cn汎用検出のシグネチャを作ることができたのかもしれません。

追記)全鯖巻き添え規制を喰ったので、しばらく書き込みできません。


15 :名無しさん@お腹いっぱい。:2009/05/19(火) 18:54:06
日替わりscrと、Troj/JSRedir-R なhtml

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=332
infected

ttp://www.virustotal.com/analisis/ec7655376e77a30ce5fbe19780f67835 1199.exe(24/40)
ttp://www.virustotal.com/analisis/723cdf7f941eeeb5a46cd15a7340857b play.scr(24/41)

おまけのhtmlの方は、ベンダーのポリシーで検出しない方が多いとは思いますが、(俗称)GENOウイルスの
ダウンロードもブロックするようになってくれるに越したことはないので入れておきました。
前スレの最後のほうで、htmlのシグネチャ出し始めていたBitDefenderにもちょっと期待。

16 :名無しさん@お腹いっぱい。:2009/05/19(火) 19:04:21
>>14-15


それにしてもSymantec頑張るな

17 :名無しさん@お腹いっぱい。:2009/05/19(火) 19:07:06
>>15
html関連は、Microsoftも検出するようになったようです。
正式名称は2番目に使われた鯖のGamburのようですね。

Troj/JSRedir-R(Sophos) ,
Trojan:JS/Gamburl.gen!A(Microsoft) ,
JS:Redirector-H4(Avast) ,
JS:Redirector-H7(Avast)

18 :名無しさん@お腹いっぱい。:2009/05/19(火) 19:51:02
>>15
Symantecとa-squaredとMalwarebytesに提出済みです

>>1さん
>>4
*裏技:シマへは圧縮フォルダ×2回(*7zip-PPMd圧縮)で実はツメホーダイだが、対応が確実に遅くなるので非推奨

だいたい30分以内には更新が届くので、圧縮形式自体は実はたいした問題ではないのです。
僕はこの方法で数万回提出していますw

19 :名無しさん@お腹いっぱい。:2009/05/19(火) 19:56:39
>>15
McAfeeに提出させて頂きました。

20 :名無しさん@お腹いっぱい。:2009/05/19(火) 20:00:16
Rising 2009 21.39.12 (21.30.12.00)
>>15
play\1199.exe: Backdoor.Win32.PcClient.tvj
play\play.scr>>1199.exe: Backdoor.Win32.PcClient.tvj
RisingにHTML提出完了

21 :名無しさん@お腹いっぱい。:2009/05/19(火) 20:26:16
>>18
(えー

わたしが送ったときは、自動返答のCLOSEが1ヶ月後だったのに…

22 :18:2009/05/19(火) 20:58:08
>>21
ウチの郵便受けです。さながら地獄ですねw
ttp://f.imagehost.org/0978/m.jpg

23 :名無しさん@お腹いっぱい。:2009/05/19(火) 21:46:46
GENOのサイト踏んだときにダウンロードしたexeってここに出せばいいの?
誘導されてきたんだが

24 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:00:14
>>23
おかあちゃんに渡しといてくれ

25 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:10:00
>>23
ここのUploaderにお願いします。

パス付きZIPで上げて、アドレスとダウンロードパス(解凍パスが異なるならそれも)を書いてくれれば、
誰かが提出してくれると思います。

26 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:26:17
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=334
infected

ここに今まで提出されていたGENO関係のまとめ(ここには上げていないスクリプト付きHTMLも入っています)を
UPしてみました。全て、各種ベンダーに提出済みのものですので再提出の必要はありません。きっと。

感染スクリプトを含んだHTMLが多く、無駄に容量食っていたので(ZIP1発だと3MB/7zだと1.1MB)、
7zで圧縮し、それをもう1回ZIPで圧縮しています。ZIPも7zも同じパスワードとなっています。

現時点で、どの程度のセキュリティソフトが対応しているのか、各自ご愛用のセキュリティソフトでの
対応状況を確認してみてください。

27 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:30:01
>>26
ごめん、20090505分の所に、その日に一緒に提出した、別件のZIPが混ざってました。そいつは無視してください。orz

BitDefenderの検出名
 4/5版 本体exe:Trojan.Agent.AMNN 本体PDF:Exploit.PDF-JS.Gen 本体SWF:Exploit.SWF.Gen
    (4/5版関連ファイル:Trojan.Downloader.JS.Agent.PM,Trojan.Downloader.JS.Agent.PM,Trojan.Delf.Agent.L,Trojan.Agent.AMNM)
 4/11版 本体exe:Trojan.Generic.1618916 本体PDF:Trojan.Script.11972
 5/2版 本体exe:Trojan.Agent.AMTB 本体PDF:Trojan.Downloader.JS.SetSlice.K 本体swf:Exploit.SWF.Gen
 5/4版 本体exe:Trojan.Generic.1813945 本体swf:Exploit.SWF.Gen
 5/5版 本体exe:Trojan.Dropper.TAX 本体PDF:Exploit.PDF-JS.Gen
 5/8版 本体exe:Trojan.Seekwel.C 本体PDF:Exploit.PDF-JS.Gen 本体swf:Exploit.SWF.Gen
 5/10版 本体exe:Trojan.Agent.AMVH 本体PDF:Exploit.PDF-JS.Gen 本体swf:スルー
 5/11版 本体exe:Trojan.Agent.AMVF 本体PDF:Trojan.Script.47321
 5/14版 本体exe:Trojan.Dropper.TBI 本体PDF:Trojan.JS.PZJ
 5/17版 本体exe:スルー 本体PDF:Suspect: Exploit.PDF-JS.Gen(正式ではない疑惑ファイル)

28 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:41:33
>>26
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

ITmedia News
PDFなどの脆弱性を悪用:Webに感染するマルウェア「JSRedir-R」が猛威 2009/05/19
JSRedir-RはWebサイトに仕掛けられ、
PDFとFlash Playerの脆弱性修正パッチを当てていないユーザーがそのサイトを閲覧すると、マルウェアに感染
ttp://www.itmedia.co.jp/news/articles/0905/19/news022.html
Computerworld.jp
猛威を振るう「JSRedir-R」マルウェア、ソフォスが注意を呼びかけ 2009/05/19
ttp://www.computerworld.jp/topics/vs/146109.html

29 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:49:03
Rising 2009 21.39.14 (21.30.14.00)
前スレ>881 (tane0320)
5\bot.exe: Trojan.DL.Win32.Undef.elt
3+1=4/12
>>26
20090505\3522938.zip>>3522938.exe: Trojan.PSW.Win32.GameOL.zla
20090508\id10_20090508.exe: Worm.Win32.Undef.gk
20090511\id10_20090511.exe: Trojan.Win32.Nodef.jak
20090516\martuz1upx.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090517\martuz_cn_id10_20090517.exe>>upx_c: Trojan.Spy.Win32.Delf.dpt
20090518_Execution result\muvl.exe: Trojan.Spy.Win32.Delf.dpt

30 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:49:21
>>26
AntiVir 1つを除いて全て検出

20090405/dropper.bin : (harmful) BDS/Agent.afid back-door program
20090405/monitor.bin : TR/Agent.caaj.B Trojan
20090405/dropper.pdf : EXP/Pidief.vtb exploit
20090405/dropper.swf : EXP/SWF.ED exploit
20090405/u.bat :
20090405_Execution result/bxatg.mnn : TR/Agent.AMPE Trojan
20090411/u2.exe : TR/Drop.Gadjo.1 Trojan
20090411/virus.pdf : EXP/PDF.10762 exploit
20090502/gumblar.swf : SWF/Agent.AI SWF virus
20090502/gumblar_fws.swf : SWF/Agent.AI SWF virus
20090502/gumblar.pdf : EXP/Pidief.JV exploit
20090502/gumblar.exe : TR/Agent2.ixj Trojan
20090502/gumblar_upx.exe : TR/Agent2.ixc Trojan
20090505/id2_20090505.pdf : EXP/Pidief.PB.1 exploit
20090505/id10_20090505.exe : TR/Agent.imh Trojan
20090508/id2_20090508.pdf : EXP/Pidief.rsn exploit
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : WORM/Autorun.aiai worm
20090510/id2_20090510.pdf : EXP/Pidief.gts exploit
20090510/id3_20090510.swf : SWF/Drop.Small.LC SWF virus
20090510/id10_20090510.exe : TR/Agent.cfuc Trojan
20090511/id2_20090511.pdf : EXP/Pidief.xah exploit
20090511/id10_20090511.exe : TR/Agent.cgch Trojan
20090516/martuz1.pdf : EXP/Pidief.aup exploit
20090516/martuz1cws.swf : SWF/Drop.Small.LJ SWF virus
20090516/martuz1upx.exe : TR/Agent.chbm Trojan
20090517/martuz_cn_id2_20090517.pdf : EXP/Pidief.aia exploit
20090517/martuz_cn_id10_20090517.exe : TR/Drop.Agent.qna.1 Trojan
20090518_Execution result/muvl.exe : TR/Drop.Agent.qna.2 Trojan

31 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:56:26
>>26 乙 カスペ2009 18:20
25/30 + HTML 4/555

Backdoor.Win32.Agent.afid   \0405\dropper.bin
Exploit.Win32.Pidief.aog   \0405\dropper.pdf
Exploit.SWF.Agent.ae   \0405\dropper.swf
Trojan-PSW.Win32.Kates.c   \0405\monitor.bin
Trojan-PSW.Win32.Kates.c   \0405_Execution result\bxatg.mnn
Exploit.Win32.Pidief.apg   \0411\virus.pdf
Trojan-PSW.Win32.Kates.e   \0502\gumblar.exe
Exploit.JS.Pdfka.ix   \0502\gumblar.pdf
Exploit.SWF.Agent.ai   \0502\gumblar.swf
Exploit.SWF.Agent.ai   \0502\gumblar_fws.swf
Trojan-PSW.Win32.Kates.e   \0502\gumblar_upx.exe
Trojan.Win32.Inject.xvb   \0505\3522938.zip/3522938.exe
Trojan.Win32.Agent.ceyr   \0505\id10_20090505.exe
Exploit.Win32.Pidief.atm   \0505\id2_20090505.pdf
Exploit.Win32.Pidief.atr   \0508\id2_20090508.pdf
virus Worm.Win32.AutoRun.aiai   \0508\id10_20090508.exe
Trojan.Win32.Agent.cfuc   \0510_1\id10_20090510.exe
Exploit.Win32.Pidief.atx   \0510_1\id2_20090510.pdf
Trojan.Win32.Agent.cgch   \0511\id10_20090511.exe
Trojan.JS.Agent.act   \0511\id2_20090511.pdf
Exploit.Win32.Pidief.aup   \0516\martuz1.pdf
Trojan.Win32.Agent.chbm   \0516\martuz1upx.exe
Trojan-Dropper.Win32.Agent.apfn   \0517\martuz_cn_id10_20090517.exe
Exploit.Win32.Pidief.auw   \0517\martuz_cn_id2_20090517.pdf
Trojan-PSW.Win32.Kates.c   \0518_Execution result\muvl.exe
Trojan-Downloader.JS.Agent.dwe   \HTML\0405\dropper.html
virus HEUR:Exploit.Script.Generic   \HTML\0411\index.php
Trojan.JS.Agent.adw   \HTML\0514\index.html
Trojan.JS.Agent.adx   \HTML\0514\kiso_syougou.html

32 :名無しさん@お腹いっぱい。:2009/05/19(火) 22:57:28
=== a-squared4.5 ===
IKなので、全部イカロスエンジンの方ですね。5つスルー。HTMLのスクリプトも検出方向の模様。
20090405/dropper.bin : Gen:Trojan!IK
20090405/monitor.bin : Trojan-PWS.Delf!IK
20090405/dropper.pdf : Exploit.PDF-JS!IK
20090405/dropper.swf : Exploit.SWF.Agent!IK
20090405/u.bat : Trojan-Dropper.Agent!IK
20090405_Execution result/bxatg.mnn : Trojan-PWS.Delf!IK
20090411/u2.exe : Trojan-PWS.Delf!IK
20090411/virus.pdf : Exploit.PDF-JS!IK
20090502/gumblar.swf : Exploit.SWF.Agent!IK
20090502/gumblar_fws.swf : Exploit.SWF.Agent!IK
20090502/gumblar.pdf : Exploit.JS.Pdfka!IK
20090502/gumblar.exe : Trojan.Win32.Small!IK
20090502/gumblar_upx.exe : Trojan.Win32.Small!IK
20090505/id2_20090505.pdf : Exploit.Win32.Pidief!IK
20090505/id10_20090505.exe : Trojan.Win32.Small!IK
20090508/id2_20090508.pdf : Exploit.Win32.Pidief!IK
20090508/id3_20090508.swf : Exploit.SWF!IK
20090508/id10_20090508.exe : Trojan-PWS.Delf!IK
20090510/id2_20090510.pdf : JS.Obfuscated!IK
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Daonol!IK
20090511/id2_20090511.pdf : Trojan.JS.Agent!IK
20090511/id10_20090511.exe : Trojan.Daonol!IK
20090516/martuz1.pdf : Exploit.PDF-JS!IK
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : rojan-PWS.Win32.Kates!IK
20090517/martuz_cn_id2_20090517.pdf : -
20090517/martuz_cn_id10_20090517.exe : -
20090518_Execution result/muvl.exe : -
HTML : Virus.JS.Redirector!IK , Trojan.JS.Agent!IK

33 :23:2009/05/19(火) 23:12:54
さっきのファイルを>>3で解析したらこういう結果になったんだが、うpの必要性ある?
ちなみに元ファイルは785.exeって名前なんだが。

ttp://www.virustotal.com/jp/analisis/66bd8d7273679a7804371176d0396968

34 :名無しさん@お腹いっぱい。:2009/05/19(火) 23:28:19
>>33
UP頼む。

35 :名無しさん@お腹いっぱい。:2009/05/19(火) 23:33:04
今帰宅
F-Secure Internet Security 2009
・DeepGuard Update 2009-05-18_03
・Hydra Update 2009-05-19_06
・Universal System Scanner Update 2009-05-19_03
・Anti-Virus AVP Extended Update 2009-05-19_05

>>15 のチェック結果
play\1199.exe → Backdoor.Win32.PcClient.amgj
play\play.scr → Backdoor:W32/PcClient.AMC

htmlを本家F-Secure SASに登録したところ、
全てSUSPICIOUS(嫌疑)という結果となりました。

36 :23:2009/05/19(火) 23:35:59
おまたせ
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=335
infected

です。

37 :名無しさん@お腹いっぱい。:2009/05/19(火) 23:38:25
Rising 2009
>>36
785.exe: Trojan.DL.Win32.Mnless.dmi

38 :23:2009/05/19(火) 23:41:02
すまんh抜くのわすれた。。。

39 :名無しさん@お腹いっぱい。:2009/05/19(火) 23:43:50
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-19_05
* F-Secure Hydra: 3.08.9080, 2009-05-19_06
>>36
785.exe:未検出
F-Secure SAS に登録します。

 

40 :名無しさん@お腹いっぱい。:2009/05/20(水) 00:00:46
>>39
カスペスルー
検体提出しました。

レピュテーションっぽく、Suspicious Site(危険サイト)として、WebAVでブロックしてもらうよう一応はお願いした。

41 :35:2009/05/20(水) 00:02:23
>>35の回答

>Hello,
>Thank you for the samples. We will add them detection as soon as possible.
>Cheers,

42 :23:2009/05/20(水) 00:19:12
ちなみにAVGは検出したわ

43 :名無しさん@お腹いっぱい。:2009/05/20(水) 00:32:34
>>36
捕獲乙でした。

AntiVir : TR/Crypt.ZPACK.Gen Trojan
BitDefender : スルー
a-squared : スルー

各社に提出しときます。


44 :名無しさん@お腹いっぱい。:2009/05/20(水) 00:58:59
>>36
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

45 :名無しさん@お腹いっぱい。:2009/05/20(水) 01:23:43
>>36
これ本当にgeno? まるっきり別物に見えるんだが…。

46 :名無しさん@お腹いっぱい。:2009/05/20(水) 01:27:41
( ´,_ゝ`)プッ

47 :名無しさん@お腹いっぱい。:2009/05/20(水) 01:43:45
>>328
ニコンだからこんなに高いの?

48 :名無しさん@お腹いっぱい。:2009/05/20(水) 01:43:52
genoとは違うな。
Anubisの結果。
ttp://anubis.iseclab.org/?action=result&task_id=1e7817e544ad22014218ac38ccb6c9727&format=html
動作としてはダウンローダで、
basesrv3■net/info/bin/explorer.exe
を拾って実行。このドメインはそれほど新しくはなく、
既にあちこちのブラックリストに突っ込まれている。
VTにも既に誰かが投げている。
ttp://www.virustotal.com/analisis/0bd73ed39f8879c5caf8ac63fef473b9
直接拾うのが嫌な人はどうぞ(ファイル名はキモいので変更済み)。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=336
virus

49 :名無しさん@お腹いっぱい。:2009/05/20(水) 02:04:57
Rising 2009
>>48
unknown1.exe>>pecompact2x: Suspicious:Unknown Virus
提出完了

50 :39:2009/05/20(水) 02:13:42
>>39
F-Secure Labsからの回答
>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. Detection as
>Trojan-Downloader:W32/Agent.KNX will be added in one of the next database updates.

別にGENOに限らなくてもいいと思うけど。
12/40ってあまりヒット率よくないし…。

本日提出分の回答来たので、今日はここまで。
お先に失礼します。m(_ _)m

51 :名無しさん@お腹いっぱい。:2009/05/20(水) 02:16:47
限ってるわけじゃないよ。

52 :名無しさん@お腹いっぱい。:2009/05/20(水) 06:00:44
>>36,48
McAfeeに提出させて頂きました。

53 :名無しさん@お腹いっぱい。:2009/05/20(水) 08:52:17
>>48
今朝の時点で落ちてきたのは同じバイナリでした。

取り敢えず、VT未検出の各社+αに提出完了。多少被ってるけど気にしない。

54 :名無しさん@お腹いっぱい。:2009/05/20(水) 09:33:33
>>26 === Avast VPS: 090519-0, 2009/05/19 === スルー個数:本体+α(5/30) HTML(11/555)
20090405/dropper.bin : Win32:Trojan-gen {Other}
20090405/monitor.bin : Win32:Delf-MBA [Trj]
20090405/dropper.pdf : JS:Pdfka-FQ [Expl]
20090405/dropper.swf : Other:Malware-gen
20090405/u.bat : -(これは自己抹消のためのbatなので検出しなくても問題無い奴)
20090405_Execution result/bxatg.mnn : Win32:Delf-MBA [Trj]
20090411/u2.exe : Win32:Daonol-N [Drp]
20090411/virus.pdf : JS:Pdfka-FQ [Expl]
20090502/gumblar.swf : −
20090502/gumblar_fws.swf : −
20090502/gumblar.pdf : JS:Pdfka-GD [Expl]
20090502/gumblar.exe : Win32:Trojan-gen {Other}
20090502/gumblar_upx.exe : Win32:Trojan-gen {Other}
20090505/id2_20090505.pdf : JS:Pdfka-GB [Expl]
20090505/id10_20090505.exe : Win32:Trojan-gen {Other}
20090508/id2_20090508.pdf : −
20090508/id3_20090508.swf : Other:Malware-gen
20090508/id10_20090508.exe : Win32:Trojan-gen {Other}
20090510/id2_20090510.pdf : JS:Pdfka-GP [Expl]
20090510/id3_20090510.swf : Other:Malware-gen
20090510/id10_20090510.exe : Win32:Trojan-gen {Other}
20090511/id2_20090511.pdf : JS:Pdfka-GP [Expl]
20090511/id10_20090511.exe : Win32:Trojan-gen {Other}
20090516/martuz1.pdf : JS:Pdfka-HF [Expl]
20090516/martuz1cws.swf : −
20090516/martuz1upx.exe : Win32:Trojan-gen {Other}
20090517/martuz_cn_id2_20090517.pdf : JS:Pdfka-HF [Expl]
20090517/martuz_cn_id10_20090517.exe : Win32:Trojan-gen {Other}
20090518_Execution result/muvl.exe : Win32:Daonol-P [Trj]
20090519/785.exe : Win32:Trojan-gen {Other}
HTML : JS:Downloader-AC [Trj]/JS:Redirector-H2,H4,H5,H7,H9 [Trj]/JS:Redirector-J1,J3,J4 [Trj]

55 :名無しさん@お腹いっぱい。:2009/05/20(水) 10:33:14
>>26 === PCプロテクションプラス(F-Secure系) === 本体 25/30 HTML 3/555 を検知
20090405/dropper.bin : Backdoor.Win32.Agent.afid
20090405/monitor.bin : Trojan-PSW.Win32.Kates.c(5/18の活動中ファイルと同じ名前)
20090405/dropper.pdf : Exploit.Win32.Pidief.aog
20090405/dropper.swf : Exploit.SWF.Agent.ae
20090405/u.bat : -
20090405_Execution result/bxatg.mnn : -
20090411/u2.exe : Trojan:W32/Agent.KAO
20090411/virus.pdf : Exploit.Win32.Pidief.apg
20090502/gumblar.swf : Exploit.SWF.Agent.ai
20090502/gumblar_fws.swf : Exploit.SWF.Agent.ai
20090502/gumblar.pdf : Exploit:W32/AdobeReader.RG
20090502/gumblar.exe : Trojan-PSW.Win32.Kates.e
20090502/gumblar_upx.exe : Trojan-PSW.Win32.Kates.e
20090505/id2_20090505.pdf : Exploit.Win32.Pidief.atm
20090505/id10_20090505.exe : Trojan.Win32.Agent.ceyr
20090508/id2_20090508.pdf : Exploit.Win32.Pidief.atr
20090508/id3_20090508.swf : -
20090508/id10_20090508.exe : Worm.Win32.AutoRun.aiai
20090510/id2_20090510.pdf : Exploit.Win32.Pidief.atx
20090510/id3_20090510.swf : -
20090510/id10_20090510.exe : Trojan.Win32.Agent.cfuc
20090511/id2_20090511.pdf : Trojan.JS.Agent.act
20090511/id10_20090511.exe : Trojan.Win32.Agent.cgch
20090516/martuz1.pdf : Exploit.Win32.Pidief.aup
20090516/martuz1cws.swf : -
20090516/martuz1upx.exe : Trojan.Win32.Agent.chbm
20090517/martuz_cn_id2_20090517.pdf : Exploit:W32/Pidief.DX
20090517/martuz_cn_id10_20090517.exe : Trojan:W32/Agent.KMH
20090518_Execution result/muvl.exe : Trojan-PSW.Win32.Kates.c
20090519/785.exe : Trojan-Downloader:W32/Agent.KNX
HTML : Trojan.JS.Agent.adw , Trojan.JS.Agent.adx , Trojan-Downloader.JS.Agent.dwe

56 :31:2009/05/20(水) 15:04:10
>>26 カスペからの返事
25+1=26/30

\0508\id3_20090508.swf - Exploit.SWF.Agent.ao

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.


57 :名無しさん@お腹いっぱい。:2009/05/20(水) 18:14:04
>>48
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

58 :名無しさん@お腹いっぱい。:2009/05/20(水) 19:10:55
>>36
http://www.virustotal.com/analisis/6dd5cbc588380ee0199cca5252d41d8b

Norton、McAfee、Panda、avast!、Kaspersky、Sophos、Ikarusが対応

59 :名無しさん@お腹いっぱい。:2009/05/20(水) 22:16:05
今帰宅。残件をぼちぼちとやっていきます…
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20
>>48
unknown1.exe  → Trojan-Spy.Win32.Agent.argz

60 :名無しさん@お腹いっぱい。:2009/05/20(水) 22:28:25
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-20

>>15 (サイト未検出分 → [検出数 22/22] 100%)
Trojan-Downloader.JS.Agent.dzw
  * \call martuz.cn\yuuno.sakura\bouei-coment01.html
  * \call martuz.cn\yuuno.sakura\bouei-opsong.html
  * \call martuz.cn\yuuno.sakura\bouei-pvc.html
  * \call martuz.cn\yuuno.sakura\bouei.html
  * \call martuz.cn\yuuno.sakura\c75-2.html
  * \call martuz.cn\yuuno.sakura\c75.html
  * \call martuz.cn\yuuno.sakura\gallery.html
  * \call martuz.cn\yuuno.sakura\girl.html
  * \call martuz.cn\yuuno.sakura\news.html
  * \call martuz.cn\yuuno.sakura\profile.html
  * \call martuz.cn\yuuno.sakura\rireki.html
  * \call martuz.cn\yuuno.sakura\wf.html
  * \call martuz.cn\yuuno.sakura\works.html
  * \call martuz.cn\yuuno.sakura\yuuno.sakura.ne.jp.htm
Trojan-Downloader.JS.Agent.dzv
  * \call martuz.cn\mikesquarter\about-2.htm
  * \call martuz.cn\mikesquarter\advertise.htm
  * \call martuz.cn\mikesquarter\contact.htm
  * \call martuz.cn\mikesquarter\disclaimer.htm
  * \call martuz.cn\mikesquarter\newsletter.htm
  * \call martuz.cn\mikesquarter\sitemap.htm
  * \call martuz.cn\mikesquarter\www.mikesquarter.com.htm
Trojan-Downloader.JS.Agent.dzx
  * \call martuz.cn\loca.zombie\loca.zombie.jp.htm
>>39 >>50
785.exe → Trojan-Downloader:W32/Agent.KNX

61 :前スレ699:2009/05/20(水) 22:33:43
>>14
転載ありがとうございます。 規制は解除されました。ヤレヤレ
これ、お礼です...ちょっと賞味期限切れかかりかも。(苦笑
 ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=337
  DL virus/解凍 virus

【中身】
cry.exe
 http://www.virustotal.com/jp/analisis/365ab9f15f2d7b700212e1f05b0cfdf6 (17/39)
 AVIRA - TR/Dropper.Gen,Kapersky - Trojan-Proxy.Win32.Small.aal
dia.exe
 http://www.virustotal.com/jp/analisis/225940329824b6209c25b68be568bf84 (17/40)
 AVIRA - TR/Dropper.Gen,Kapersky - Worm.Win32.AutoRun.aist
file.exe
 http://www.virustotal.com/jp/analisis/b920816614130f901a10d7eb719921c5 (8/40)
 AVIRA - MALWARE (added next update),Kapersky - HEUR:Trojan.Win32.Generic
softwarefortubeview.40000.exe
 http://www.virustotal.com/jp/analisis/faa61f4375e918cfc561f72d62808396 (9/40)
 AVIRA - MALWARE (added next update),Kapersky - Trojan-Downloader.Win32.Agent.byla

AVIRAは全部対応済みとのことなので、未送付。KasperskyはHEURのfile.exeだけ送付。

martuz.cnは、色々書かれているように閉鎖されたようです。
また、一足違いですが、Google Sage Browsingでブロック設定入っています。(5/19に確認)
 http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ja&site=http://martuz.cn/
 → 12507 個のドメインを感染させています。

短期間に、良くこれだけ荒らしたものです。
あと、Kasperskyは私に白判定のメール送った割には本体を黒で検出するようになっていました。(苦笑

おまけ) http://gdata.co.jp/press/archives/2009/05/geno.htm ・・・ 結局genoウイルスが日本国内の通称になりそうですねぇ。

62 :名無しさん@お腹いっぱい。:2009/05/20(水) 23:05:43
>>61
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

G DATA
「GENOウイルス」対策について 2009/05/20
ttp://gdata.co.jp/press/archives/2009/05/geno.htm
ITmedia News
いたちごっこ状態に:ますます巧妙化するJSRedir-Rの攻撃手法 2009/05/20
「JSRedir-R」(別名Gumblar)が攻撃に使うドメインを切り替え、JavaScript難読化の手口もさらに巧妙に
攻撃に使われるドメインやJavaScriptは、今後も変わり続けるだろうとSymantecは予想
ttp://www.itmedia.co.jp/news/articles/0905/20/news021.html

63 :名無しさん@お腹いっぱい。:2009/05/20(水) 23:14:21
>>62
GENOもあんな対応しなければこんなメジャーになることもなかったろうにw

64 :名無しさん@お腹いっぱい。:2009/05/20(水) 23:14:34
>>26[検出:27/30]
定義パターン:>>60
*Backdoor.Win32.Agent.afid → \0405\dropper.bin
*Exploit.Win32.Pidief.aog  → \0405\dropper.pdf
*Exploit.SWF.Agent.ae      → \0405\dropper.swf
*Trojan-PSW.Win32.Kates.c  → \0405\monitor.bin
*Trojan-PSW.Win32.Kates.c  → \0405_Execution result\bxatg.mnn
*Trojan:W32/Agent.KAO      → \0411\u2.exe
*Exploit.Win32.Pidief.apg  → \0411\virus.pdf
*Exploit.SWF.Agent.ai      → \0502\gumblar.swf
*Exploit.SWF.Agent.ai      → \0502\gumblar_fws.swf
*Exploit:W32/AdobeReader.RG → \0502\gumblar.pdf
*Trojan-PSW.Win32.Kates.e → \0502\gumblar.exe
*Trojan-PSW.Win32.Kates.e → \0502\gumblar_upx.exe
*Exploit.Win32.Pidief.atm → \0505\id2_20090505.pdf
*Trojan.Win32.Agent.ceyr  → \0505\id10_20090505.exe
*Trojan-PSW:W32/Magania.gen!B → \0505\3522938.zip\3522938.exe
*Exploit.Win32.Pidief.atr → \0508\id2_20090508.pdf
*Exploit.SWF.Agent.ao     → \0508\id3_20090508.swf
*Worm.Win32.AutoRun.aiai  → \0508\id10_20090508.exe
*Exploit.Win32.Pidief.atx → \0510_1\id2_20090510.pdf
*Trojan.Win32.Agent.cfuc  → \0510_1\id10_20090510.exe
*Trojan.JS.Agent.act      → \0511\id2_20090511.pdf
*Trojan.Win32.Agent.cgch  → \0511\id10_20090511.exe
*Exploit.Win32.Pidief.aup → \0516\martuz1.pdf
*Trojan.Win32.Agent.chbm  → \0516\martuz1upx.exe
*Exploit:W32/Pidief.DX    → \0517\martuz_cn_id2_20090517.pdf
*Trojan:W32/Agent.KMH     → \0517\martuz_cn_id10_20090517.exe
*Trojan-PSW.Win32.Kates.c → \0518_Execution result\muvl.exe
-未検出 → \0405\u.bat
-未検出 → \0510_1\id3_20090510.swf
-未検出 → \0516\martuz1cws.swf

65 :名無しさん@お腹いっぱい。:2009/05/20(水) 23:24:27
>>64の続き
HTML検出: 33/555
* Trojan.JS.Agent.adw → \HTML\20090514\index.html
* Trojan.JS.Agent.adx → \HTML\20090514\kiso_syougou.html
* Trojan-Downloader.JS.Agent.dwe → \HTML\20090405\dropper.html
* Trojan-Downloader.JS.Agent.dzw → \HTML\20090519\yuuno.sakura\ ※配下すべて
* Trojan-Downloader.JS.Agent.dzx → \HTML\20090519\loca.zombie\loca.zombie.jp.htm
* Trojan-Downloader.JS.Agent.dzv → \HTML\20090519\mikesquarter\ ※配下すべて

上記以外未検出:検体提供は何方かにお任せします。

残件:>>61

66 :61:2009/05/20(水) 23:26:10
>>14
> 上記は感染後の仮想PCで、aviraでsystem scanを行った結果です。>963の仮想イメージは捨ててしまったので、
> 再度感染させて検査しています。 この時作製された感染ファイルは mwgpedu.tya で、Virustotalの結果は下記。
>
> http://www.virustotal.com/jp/analisis/087f8f027f3651120c879d867164626b -1

mwgpedu.tya 現状
 http://www.virustotal.com/jp/analisis/6bb6809d4bf01f50712a6597d8d8e198 (20/40)

4/40 → 20/40と、一気に増えましたね。やっと終息期かな。 後はドメイン名変えて再活動開始するかどうか、ですか。

>62
G DATAですが、リンク先の通り、酷いことに?ドイツ本国のプレスリリースがgenoって言ってるんですよ。(苦笑
http://www.gdata.de/ueber-g-data/pressecenter/pressemeldungen/news-details/article/1212-g-data-security-warnung-neuer.html
>Exemplare des Schadlings tauchten unter dem Aliasnamen "Geno" unter anderem in Japan auf und infizierten dort reihenweise populare Domains.

国外でも、予想以上にgenoの名前が知れ渡っているのかもしれません。

67 :62:2009/05/20(水) 23:38:12
>>66
ドイツ勢は時差的にも
日本のセキュリティ関連ニュースをチェックしているのかもね
Confickerですら最終的に業界統一名にならなかった(これは意図的なのかもしれないけど)

68 :名無しさん@お腹いっぱい。:2009/05/20(水) 23:39:21
>>66-67
情報元からあの日本法人からだからだよw
通称や別名として書くならわかるけどそのまま載せちゃうのは日本の会社とは思えない

69 :68:2009/05/20(水) 23:41:13
訂正

情報元から→情報元が

70 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:07:46

>>61
復帰おめでとう。

BitDefender
dia.exe : Trojan.CryptRedol.Gen.1
(他スルー)

a-squared : 全部スルーかと思ったら、パターン更新したら2つ検知。
cry.exe : Trojan-Proxy.Win32.Small!IK
dia.exe : Worm.Win32.AutoRun!IK
(他2つスルー)

Avira
cry.exe : TR/Dropper.Gen Trojan
dia.exe : TR/Dropper.Gen Trojan
(他2つスルー)

AviraとAntiy LabsにはFTP経由で提出しときました。他各社はこれから一通り送付しときます。

71 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:10:13
お疲れさまです。
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20_05
* F-Secure Hydra: 3.08.9080, 2009-05-20_05

>>61
* \tane0337\cry.exe → Trojan-Proxy.Win32.Small.aal
* \tane0337\softwarefortubeview.40000.exe → Trojan-Downloader.Win32.Agent.byla
* \tane0337\dia.exe → Worm.Win32.AutoRun.ais
* \tane0337\file.exe → NOT DETECTED

file.exe を 本家 F-Secure SAS に登録しました。

72 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:12:00
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=338
infected

いつもの中華業者の、ネトゲアカウントハック用日替わりscrです。
いつものようにリリース(?)当日は、20〜26前後/40の検出率。

各社には先程提出済みですので、重複提出する必要はないと思います。

ttp://www.virustotal.com/analisis/cdb75a98fff2ba93f13ae9a8c96f2015 ftp25.exe(24/40)
ttp://www.virustotal.com/analisis/5ab5743cccfe24dea3fdbb2e9f632a29 online.scr(25/40)
ttp://www.virustotal.com/analisis/1b72cba30573fb81f11a748235cae7d5 online.zip(24/40)
ttp://www.virustotal.com/analisis/cbf1f994b6880ccedd4e1116b72f01d7 1199.exe(22/40)
ttp://www.virustotal.com/analisis/939a996323fbbeb858faf48af74901eb mpg.scr(23/40)

73 :61:2009/05/21(木) 00:23:07
>>70
どうもです。今、感染した仮想PC(Win2K)でいくつか試しました。

1. シマンテック オンラインスキャン
 2009/5/21 0時頃の時点で、オンラインスキャンでは感染ファイルの本体を検出しません。
 VTの結果から考えて、NISやNAVがインストールされているマシンはgumblarやmartuz感染を検出できると思いますが、
 オンラインスキャンの対応はもう少し先になりそうな感じです。

2.AVIRAシステムスキャン (※ データベースが7.01.04.01と、3番目の世代番号が03→04にアップしています。)
martuz.cnの5/16版,5/17版
 gumblar.cnの5/5版,5/8版

 この4つを全部試してみたのですが、4つとも感染後にシステムスキャンをすると感染していることを検出できます。
 gumblar時代のものまで検出できるようになっているのは、地味ですが大きいですね。

 ただ、感染検出と、感染ファイル本体の削除はしてくれるのですが、感染状態のレジストリは放置されます。

これだけ大騒ぎになったので、gumblarやmartuzについては、どこかのベンダーが完全駆除ソフトを作ることに期待しましょう。

74 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:28:37
Rising 2009 21.39.20 (21.30.20.00)
>>61
スルー
>>72
ftp25.exe: Backdoor.Win32.PcClient.tvj
online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
online.zip>>online.scr>>ftp25.exe: Backdoor.Win32.PcClient.tvj
3/5

75 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:37:27
>>61
まとめWiki記載先一通りと、Malwarebytes、NictaTech Software に提出完了。

McAfee自動返答、全部[inconclusive]

カスペ返答(HEURのとこ名前確定した模様)
file.exe - Backdoor.Win32.Agent.agqv
New malicious software was found in this file.

Symantec

filename: dia.exe
filename: file.exe
result: <手動解析へ>

filename: cry.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html

filename: softwarefortubeview.40000.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html

Rising(あれ?ファイル1つしか回答が…)
1. Filename:cry.exe
No malware.

76 :名無しさん@お腹いっぱい。:2009/05/21(木) 00:55:08
GENOを落とすスクリプトをTXTで置いといたら、今日になって、Avira AntiVirが反応したとの報告があったので、
>>26のHTMLを再チェックしてみた。

45/555 と反応したファイルが増えていた。>>30にはHTMLの反応数書いてないけど4ファイル位だった気が。
徐々に対応進めてる模様。

検出名
JS/Dldr.Agent.dwe Java script virus
JS/Dldr.Zonke.A Java script virus
JS/Redirector.R Java script virus
JS/Redirector.V Java script virus

77 :61:2009/05/21(木) 00:59:11
>>73
追加です。Kasperskyは流石にメインマシンなので感染させるわけにはいかないのですが、
仮想PCから同じくmartuz.cnの5/16版,5/17版,gumblar.cnの5/5版,5/8版の4つの感染後の
本体ファイルを持ってきて検出可否を調べました。

Kasperskyもgumblar時代の分も含めて全部感染後ファイルを検出します。検出ファイル名 Trojan-PSW.Win32.Kates.c (全部一緒)
てことは、VTで検出する方のリストに載ったSymantec他も同じでしょうね。


あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
使い慣れてる人なら、この時点で異変に気がつきそう。

※ 『 xxxxは他のプロセスWindows NT Command Processor(パラメータ(...))を使おうとしています。 』
  という、未登録ファイルの実行時に出てくるいつものダイアログ。(マルウェア検出ではない。)

  xxxxに見覚えのないファイル名が入って表示される。多分、PC toolsと同等の能力があるメジャー所のFWなら、
  同じようにメッセージ出してくるはず。
  (ここでメッセージを読まずに許可を出すような人は、感染してもしょうがない気がしなくもない。)


gumblar,martuz関係は大体終息したっぽいので、これの新しいドメインが出てくるまでは、しばらくデフコン下げられそう。 では今日はこれで ノシ

78 :名無しさん@お腹いっぱい。:2009/05/21(木) 01:08:58
>>77 報告乙です。
>あと、PC toolsが入っていると、martuz等の各exeファイルを実行する時点で許可を求めるダイアログが出てくるので
>使い慣れてる人なら、この時点で異変に気がつきそう。

はっはっは…4/5版を入手した時にやっちまった記憶が。PC Tools のFWが反応して通信は遮断しましたよ。

でも、発動して出来上がった本体と、u.bat(正常に動作していれば削除されたもの)がC:のルートにしっかりと。
そして、通信はブロックしたものの動作はしっかりしていたようで、再起動後にCMDとかレジストリエディタとかが
動作不良を…PC Tools の通信許可で気付いても手遅れなんですねぇ。

雑談混ぜてすいません。これで引っ込みます。

79 :名無しさん@お腹いっぱい。:2009/05/21(木) 01:16:09
>>72
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

80 :61:2009/05/21(木) 01:26:39
>>78
あ〜...確認しました。私も気がつきませんでした。

遮断すれば感染しないかと思ったのですが、PC toolsでメッセージ→遮断でも結局感染しますね。
確かに、その後AntiVirでシステムスキャンしたら、感染検出しました。

そこで一度実行を完全に止めてくれないと、全然意味無いですよ?>PC tools

結局、メッセージが出るだけでしたか...出るだけマシかもしれませんが、誤報書いてスミマセン。

81 :名無しさん@お腹いっぱい。:2009/05/21(木) 01:32:31 ?2BP(0)
cmd.exe が起動するのは、エンベロープの自己消去やらなんやら後始末のためで、
基本的に感染はすんだ後かもしれん。前読んだときは、そんな感じだった

82 :40:2009/05/21(木) 01:58:32
カスペからの返事

>>36 0+追加検出1=1/1

785.exe_ - Trojan-Downloader.Win32.Agent.byjj
This file is already detected. Please update your bases.

>>50のF-Secureとは別名称

以下、乙
一応まとめ。

>>48 1/1

>>61
>>61,75さんの通り、5/5
※シグネチャ確定済み

>>72
VT通り、5/5

83 :名無しさん@お腹いっぱい。:2009/05/21(木) 03:13:02
お疲れさまです。

>>71の回答が来ましたので掲載します。
次回の更新にて対応されます。

>Hello,
>Thank you for your e-mail.
>The file you sent was found to be malicious. An appropriate detection will be added
>in one of the next database updates.
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!

さすがに眠いので今夜はこれにて退散します。
また夜にでも...

84 :名無しさん@お腹いっぱい。:2009/05/21(木) 05:39:51
>前スレの奴(GENO 5/17分)

McAfee最終返答。

Analysis Id: 5312461
--------------------

File Name Findings Detection Type
========= ======== ========= ====
martuz_cn_id10_20090517.e detected generic dropper.p trojan
martuz_cn_id2_20090517.pd detected exploit-pdf.d trojan

85 :名無しさん@お腹いっぱい。:2009/05/21(木) 05:48:08
>>61
トレンドマイクロ回答

TROJ_PROXY.AHY
WORM_AUTORUN.ETD

どれと対応してるかは不明。

86 :名無しさん@お腹いっぱい。:2009/05/21(木) 10:41:05
>>64ではないが午前1時にF-secureで検出しないものを、まとめてF-Secure SASに提出した。

F-Secure Security Labs
2009/05/21 5:57
>Hello,
>
>Thank you for your e-mail.
>>
>The file you sent was found to be malicious. An appropriate detection will be added in one of the next database updates.
>
>Our latest database updates are available here:
>
>http://www.f-secure.com/download-purchase/updates.shtml
>
>Have a nice day!


以下については検出確認
Exploit:W32/SWFdloader.B \20090510_1\id3_20090510.swf
Exploit:W32/SWFdloader.C \20090516\martuz1cws.swf

F-Secure Internet Security 2009
パターン ファイルのバージョン:
 ウィルス: 2009-05-20_08
 スパイウェア: 2009-05-20_05
スキャン エンジン:
 F-Secure AVP: 7.00.171, 2009-05-20
 F-Secure Hydra: 3.08.9080, 2009-05-20

87 :名無しさん@お腹いっぱい。:2009/05/21(木) 12:24:40
いまさら感はありますが、依然として、GENOのスクリプトが入っているサイトがあるようで、スクリプトの検体として。
検体提出は、他のなにかのついでにでも…

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=339
infected

88 :名無しさん@お腹いっぱい。:2009/05/21(木) 15:54:21
>>87
カスペ2009 15:20

51/206

Trojan-Downloader.HTML.Agent.pe   tane0339\JS_Gamburl.gen!A\kuruma-kounyuu\*.htm
(frogmode.jp.htm, tsuridon.com.htm以外のkuruma-kounyuuフォルダのhtmファイルすべて)

89 :名無しさん@お腹いっぱい。:2009/05/21(木) 18:11:29
Rising 2009 21.39.30 (21.30.30.00)
前スレ>954 (tane0328)
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
1+1=2/2
>>26
martuz_cn_id2_20090517.pdf: Hack.Exploit.Win32.PDF.jsm
>>72
mpg\1199.exe: Backdoor.Win32.PcClient.txa
mpg.scr>>1199.exe: Backdoor.Win32.PcClient.txa
3+2=5/5
>>87
スルー
提出は保留

90 :名無しさん@お腹いっぱい。:2009/05/21(木) 18:43:55
NortonInternetSecurity2009
今回も検出数だけの報告
>>48
全検出確認

>>61
4/3
スルー:file.exe

>>72
全検出確認



91 :名無しさん@お腹いっぱい。:2009/05/21(木) 20:12:04
>>87
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

92 :名無しさん@お腹いっぱい。:2009/05/21(木) 21:08:35
Rising 2009 21.39.33 (21.30.33.00)
前スレ>843 (tane0315)
codec.exe: AdWare.Win32.FakeAV.bm
1/1
前スレ>907 (tane0325)
load.exe: Trojan.Win32.Nodef.jij
3+1=4/10

93 :名無しさん@お腹いっぱい。:2009/05/21(木) 23:40:25
お疲れさまです。
F-Secure Internet Security 2009
* F-Secure AVP: 7.00.171, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-21
Definition version
* Virus: 2009-05-21_01
* SpyWare: 2009-05-20_05
>>87
検出結果:0/206
SASへの登録は保留します。

#規制中なので今日は落ちます?
 残件がありましたら何方かお願いします?

94 :61:2009/05/22(金) 02:14:13
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=341
 DL virus/解凍 virus

ちょっと大きいので、1個だけでパックしてあります。

【中身】
 antivirus.exe
 MD5 : ea56809b50ccc90bb74e6bf65c023f0a
 http://www.virustotal.com/jp/analisis/fff7ec80cb3b374e921e175da2bbd051 (12/40)
 AVIRA9 7.01.04.03 -スルー,提出時の判断 -UNDER ANALYSIS
 Kapersky - not-a-virus:AdWare.Win32.AdAgent.aq

AVIRA提出済みです。Kasperskyは既に検出できるので何も無し。

95 :名無しさん@お腹いっぱい。:2009/05/22(金) 02:52:51
>>94
Risingに提出完了

96 :61:2009/05/22(金) 03:03:53
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=343
 DL virus/解凍 virus

【中身】8個入っています。
ak1.exe
 http://www.virustotal.com/jp/analisis/b7966af70734e298e53a556cd0969ac2 (15/40)
bot.exe
 http://www.virustotal.com/jp/analisis/7e82209ca262761aa12adbfd8f63b729 (16/40)
install.exe
 http://www.virustotal.com/jp/analisis/cbf2b741baece3f2159d89a722a0fba7 (5/40)
install2.exe
 http://www.virustotal.com/jp/analisis/412f1686044fd2a6930fe9c87a79dd79 (5/40)
ldr.exe
 http://www.virustotal.com/jp/analisis/bd5e308d5837cf4b43d889554b062f84 (13/39)
media_player_update.exe
 http://www.virustotal.com/jp/analisis/1b7d62969078b9cb548cd6cdc4c231b5 (10/40)
softwarefortubeview.45013.exe
 http://www.virustotal.com/jp/analisis/919fb960e877a532d3c5b0ae4f0d87c8 (2/40)
xp.exe
 http://www.virustotal.com/jp/analisis/21745f319e84098232ee14d0100907d8 (19/40)

AVIRAとKasperskyは必要分送付済み。提出頑張れば、週末前に処理してくれるハズ...(;´д`)

97 :61:2009/05/22(金) 03:14:08
>>96
一応、AVIRA9 7.01.04.03,Kaspersky 2009/05/22 2:31:00の結果

ak1.exe
 AVIRA - スルー(黒,次のアップデートで追加)
 Kapersky - Trojan-Downloader.Win32.Boltolog.efx
bot.exe
 AVIRA - スルー(黒,次のアップデートで追加)
 Kapersky - Trojan-Spy.Win32.Zbot.uje
install.exe
 AVIRA - TR/Dropper.Gen
 Kapersky - スルー
install2.exe
 AVIRA - TR/Dropper.Gen
 Kapersky - スルー
ldr.exe
 AVIRA - スルー(黒,次のアップデートで追加)
 Kapersky - Trojan-Spy.Win32.Zbot.uji
media_player_update.exe
 AVIRA - TR/Dropper.Gen
 Kapersky - Trojan-Dropper.Win32.Agent.apig
softwarefortubeview.45013.exe
 AVIRA - スルー(分析中)
 Kapersky - スルー
xp.exe
 AVIRA - TR/Drop.Geral.NA.1
 Kapersky - Trojan-Downloader.Win32.Geral.rn

週末前なので、ちょっと頑張ってみた。(苦笑

98 :名無しさん@お腹いっぱい。:2009/05/22(金) 03:30:07
>>94,96
McAfeeに提出させて頂きました。


99 :名無しさん@お腹いっぱい。:2009/05/22(金) 04:17:29
Rising 2009
>>96
ak1.exe: Trojan.DL.Win32.Undef.emo
media_player_update.exe: Trojan.Win32.Nodef.jcx
xp.exe>>upx_c: Trojan.Win32.TSK.e
3/8
提出完了

100 :名無しさん@お腹いっぱい。:2009/05/22(金) 11:54:00
>5/9提出分のGENO呼び出しスクリプト
トレンドマイクロ返答…えーと、名前付けすぎじゃありませんか?

JS_AGENT.ASWE   JS_AGENT.ASXB   JS_AGENT.ASYC
JS_AGENT.ASWF   JS_AGENT.ASXC   JS_AGENT.ASYD
JS_AGENT.ASWG   JS_AGENT.ASXD   JS_AGENT.ASYE
JS_AGENT.ASWH   JS_AGENT.ASXE   JS_AGENT.ASYG
JS_AGENT.ASWI   JS_AGENT.ASXF   JS_AGENT.ASYH
JS_AGENT.ASWO   JS_AGENT.ASXG   JS_AGENT.ASYL
JS_AGENT.ASWP   JS_AGENT.ASXI   JS_AGENT.ASYM
JS_AGENT.ASWQ   JS_AGENT.ASXK   JS_AGENT.ASYN
JS_AGENT.ASWR   JS_AGENT.ASXL   JS_AGENT.ASYO
JS_AGENT.ASWS   JS_AGENT.ASXN   JS_AGENT.ASYP
JS_AGENT.ASWT   JS_AGENT.ASXR   JS_AGENT.ASYQ
JS_AGENT.ASWV   JS_AGENT.ASXS   JS_AGENT.ASYR
JS_AGENT.ASWX   JS_AGENT.ASXT   JS_AGENT.ASYS
JS_AGENT.ASWY   JS_AGENT.ASXU
JS_AGENT.ASXA   JS_AGENT.ASXX

101 :名無しさん@お腹いっぱい。:2009/05/22(金) 18:59:15
>>94
Nortonで検出確認

102 :名無しさん@お腹いっぱい。:2009/05/22(金) 18:59:34
>>96
F-Secure Internet Security 2009
パターン ファイルのバージョン:
 ウィルス: 2009-05-22_03
 スパイウェア: 2009-05-22_03
スキャン エンジン:
 F-Secure AVP: 7.00.171, 2009-05-22


Trojan-Downloader.Win32.Boltolog.efx     ak1.exe
Trojan-Spy.Win32.Zbot.uje           bot.exe
Trojan-Downloader.Win32.FraudLoad.eky   install.exe
Trojan-Downloader.Win32.FraudLoad.vvqz  install2.exe
Trojan-Spy.Win32.Zbot.uji            ldr.exe
Trojan-Dropper.Win32.Agent.apig        media_player_update.exe
Trojan-Downloader.Win32.Agent.byqu     softwarefortubeview.45013.exe
Trojan-Downloader.Win32.Geral.rn       xp.exe

103 :名無しさん@お腹いっぱい。:2009/05/22(金) 19:00:23
Rising 2009 21.39.42 (21.30.42.00)
前スレ>866 (tane0317)
install2.exe: Trojan.Win32.FakeAV.nz
install4.exe: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
3/5
前スレ>896 (tane0323)
install.exe: Trojan.Win32.FakeAV.nz
1+1=2/4
前スレ>916 (tane0326)
download.php: Trojan.Win32.FakeAV.nz
install.exe: Trojan.Win32.FakeAV.nz
2/2
>>96
install.exe: Trojan.Win32.FakeAV.nz
3+1=4/8

104 :名無しさん@お腹いっぱい。:2009/05/22(金) 19:02:26
F-Secureを使ってる方に質問ですがF-Secureが採用してるアンチウイルスエンジンってKasperskyだけですか?
F-SecureのHPみても詳細が出てないからいまいちわからないんですよね

105 :名無しさん@お腹いっぱい。:2009/05/22(金) 20:13:05
F-Secureのスレで聞けよ

106 :名無しさん@お腹いっぱい。:2009/05/22(金) 20:17:45
ちがう。

107 :名無しさん@お腹いっぱい。:2009/05/22(金) 20:44:23
>>96
>>97 d

カスペ2009 18:26
>>96
5+事後検出3=8/8でクローズ
既検出
Detected Trojan program Trojan-Downloader.Win32.Boltolog.efx     /ak1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uje     /bot.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uji     /ldr.exe
Detected Trojan program Trojan-Dropper.Win32.Agent.apig     /media_player_update.exe
Detected Trojan program Trojan-Downloader.Win32.Geral.rn     /xp.exe

以下事後検出3
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eky     /install.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vvqz     /install2.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.byqu     /softwarefortubeview.45013.exe


108 :61:2009/05/22(金) 21:30:33
>>97
AVIRA9 7.01.04.05 未検出確定分

ak1.exe - TR/Drop.BOL.efx
bot.exe - TR/Spy.ZBot.dag
ldr.exe - TR/Spy.ZBot.uji
softwarefortubeview.45013.exe - TR/Dldr.Agent.byqu

以上で、8個全部が黒確定でcloseしました。

109 :61:2009/05/22(金) 21:33:48
>>94 書き忘れた...

AVIRA9 7.01.04.05
 antivirus.exe - TR/PrivacyCenter.A.58

こちらも検出可でclose。

110 :名無しさん@お腹いっぱい。:2009/05/22(金) 22:47:29
VIRUSTOTAL繋がらん・・・

111 :名無しさん@お腹いっぱい。:2009/05/22(金) 23:12:37
お疲れ様です。規制中につき代理スレからの書き込みです。
>>102
FIS-2009では結果が出ているようなのでちょっと趣向を変えてみました。
F-Secure Internet Security Technology Preview 9.40
* F-Secure Aquarius: 11.00.00, 2009-05-20
* F-Secure Hydra: 3.08.9080, 2009-05-22
Pattern File Version
* Virus: 2009-05-22_06
* SpyWare: 2009-05-22_06
[結果] 検出 1/8
・\Malware_20090521\xp.exe ? Gen:Trojan.Heur.2015746F6F
・残りは NOT DETECTED
これはどうしたらいいのかな。SASへ登録は必要かな...?

112 :名無しさん@お腹いっぱい。:2009/05/22(金) 23:16:39
>>111
Technology Preview 9.40 ってこれかな?
http://blog.f-secure.jp/archives/50241218.html
>検出に関連したLabへのフィードバックには、Sample Analysis Systemを使用して欲しい。
だそうです。

113 :名無しさん@お腹いっぱい。:2009/05/22(金) 23:20:49
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=344
パス virus

インチキアンチスパイ詰め合わせ

114 :111:2009/05/22(金) 23:40:53
>>112
一応確認したところ、FIS-2009はKasperskyでFIS-TPはBitDefenderですね。
となると、ここ1週間分くらいは最低限再チェックしてSASへ登録したほうがいいかな...?
それとも本件登録時に、以前登録分についても確認してもらうようなコメントを追記すればいいかな...?

>>113
>>111のパターンでのチェック結果
[検出:2/10]
\01\Work.exe → Gen:Trojan.Heur.90D02FAAAA (検疫可)
\01\SetupRelease.exe → Gen:Trojan.Heur.Hype.0A5AA5A5A5 (検疫不可)
残りは NOT DETECTED
やっぱりFIS-2009 に戻そうかしら...orz

115 :名無しさん@お腹いっぱい。:2009/05/22(金) 23:48:47
>>113
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

116 :名無しさん@お腹いっぱい。:2009/05/22(金) 23:48:49
Rising 2009 21.39.44 (21.30.44.00)
>>113
スルー
PrestoTuneUp.exeとActivatedReleaseXP.exeはハッシュ同じだよ

117 :名無しさん@お腹いっぱい。:2009/05/23(土) 01:07:30
>>113
McAfeeに提出させて頂きました。

118 :名無しさん@お腹いっぱい。:2009/05/23(土) 06:07:54
このスレの皆さん、ホンと凄いですね。いつも参照させてもらってます。
どんなメディアの情報よりも参考になります。
(いつか勉強して参加したいと思います)

119 :名無しさん@お腹いっぱい。:2009/05/23(土) 07:11:03
>>48 >>72 >>61
McAfee回答

File Name Findings Detection Type
========= ======== ========= ====
explorer.exe detected generic pws.y!s trojan

File Name Findings Detection Type
========= ======== ========= ====
mpg.scr detected generic backdoor trojan
1199.exe detected generic backdoor!y trojan
ftp25.exe detected generic backdoor!y trojan

File Name Findings Detection Type
========= ======== ========= ====
cry.exe detected generic.dx!cx trojan
dia.exe detected w32/autorun.worm!n virus
file.exe detected generic.d!a trojan
softwarefortubeview.40000 detected generic downloader.x trojan

120 :名無しさん@お腹いっぱい。:2009/05/23(土) 07:53:26
>>113
AntiVirとAntiyLabsにFTP経由で提出。

ActivatedReleaseXP.exe : Suspicious File(eSafe)
ActivatedSetup.exe : Trojan.Fakeav!IK(a-squared)
ActivatedSetupReleaseXP.exe : - Not Detected -
PrestoTuneUp.exe : Suspicious File(eSafe)
ReleaseXP.exe : SHeur2.AHGZ(AVG) , Suspicious File(eSafe)
SetupRelease.exe : Gen:Trojan.Heur.Hype.0A5AA5A5A5(BitDefender) , VirTool:Win32/Obfuscator.ER(Microsoft)
SetupReleaseXP.exe : - Not Detected -
uninstall.exe : Trojan.Fakeav!IK(a-squared)
update.exe : Trojan.Fakeav!IK(a-squared)
Work.exe : TR/Crypt.CFI.Gen Trojan(AntiVir) , Gen:Trojan.Heur.90D02FAAAA(BitDefender)

121 :名無しさん@お腹いっぱい。:2009/05/23(土) 07:54:32
>>116
ほんとだ…提出前に気付けば良かった。他には、片方消してから提出しよう。

122 :61:2009/05/23(土) 08:22:58
>>113 乙です。
Kaspersky 2009/05/23 7:12:00
 ActivatedReleaseXP.exe -
 ActivatedSetup.exe -
 ActivatedSetupReleaseXP.exe -
 ReleaseXP.exe -
 SetupRelease.exe -
 SetupReleaseXP.exe -
 uninstall.exe -
 update.exe -
 Work.exe -

てなわけで全部スルーしたので、全部提出しました。(>116があったので、PrestoTuneUp.exeは省略)


123 :61:2009/05/23(土) 08:58:48
>>113,120 乙です。
AVIRA9 7.01.04.06 現状です。
 ActivatedReleaseXP.exe -
 ActivatedSetup.exe -
 ActivatedSetupReleaseXP.exe -
 ReleaseXP.exe -
 SetupRelease.exe -
 SetupReleaseXP.exe -
 uninstall.exe -
 update.exe -
 Work.exe - TR/Crypt.CFI.Gen

スルーしたものはこちらでも提出。全部UNDER ANALYSIS(分析中)表示でした。 う〜ん、回線が細いから時間がかかる...

124 :61:2009/05/23(土) 09:01:45
>>113
最後にVirustotal現状です。
 ActivatedReleaseXP.exe - http://www.virustotal.com/jp/analisis/ffbae36bf5d8448f36a84dbd472aea5f160e079061e92302f3c2d8b3d3968716-1243032949 (1/40)
 ActivatedSetup.exe - http://www.virustotal.com/jp/analisis/ccbc0dfc558c31ac80285512a917e95f5ebaf9dbabe2403fa2c53ee4de2cb16a-1243033143 (6/40)
 ActivatedSetupReleaseXP.exe - http://www.virustotal.com/jp/analisis/ffbae36bf5d8448f36a84dbd472aea5f160e079061e92302f3c2d8b3d3968716-1243032949 (1/40)
 ReleaseXP.exe - http://www.virustotal.com/jp/analisis/c325942eb0d9b6166779e4fd6e5769349080c3c03ee0e2ca30825b0eb58bd6ac-1243034801 (3/40)
 SetupRelease.exe - http://www.virustotal.com/jp/analisis/8ebfdf65601e633abc4080b53375d93063c2244272f6360486d147529e55ae13-1243035232 (4/40)
 SetupReleaseXP.exe - http://www.virustotal.com/jp/analisis/357252d379d827c8eae095998ff5010c4cb89f1d4a6b8dab394ca0fbb115d965-1243035644 (1/39)
 uninstall.exe - http://www.virustotal.com/jp/analisis/e4feaebeee005cd3ec57975c1170cdeedf0a9ad081f7dcc8c49a6a6224b5299e-1243035767 (7/40)
 update.exe - http://www.virustotal.com/jp/analisis/2245c496c0ab0a4619b017da0ce8fbc85c6d7554d1887b34cc3918f534b886ba-1243036042 (6/40)
 Work.exe - http://www.virustotal.com/jp/analisis/e55604be26823c6941678a8c35d9df1749bd9b85d4c52429746004069a637804-1243036207 (7/40)

VT、解析結果のアドレスの付け方が変わりましたね。

125 :名無しさん@お腹いっぱい。:2009/05/23(土) 12:20:03
偽セキュリティソフト提出してたらきりがねーぞ

126 :名無しさん@お腹いっぱい。:2009/05/23(土) 15:34:55
偽セキュリティソフトは提出していいんじゃないかな。

それ相応の悪さする訳だし。収集も提出も各自の自己責任だけど、キージェネの鑑定とかと違うし
ここに持ち込むことは構わないと思う。

127 :名無しさん@お腹いっぱい。:2009/05/23(土) 19:58:31
>>124

ActivatedReleaseXP.ex
ActivatedSetup.exe
ActivatedSetupReleaseXP.exe
ReleaseXP.exe
SetupRelease.exe
SetupReleaseXP.exe


Windows XPの公開版をアクチ(Activate)したり、WGA(Windows Genuine Advantage)非経由でパッチ当てる(Update)ためのソフトに見える。

【新板】WGA回避大作戦 part2だよ (Windows板)
http://pc12.2ch.net/test/read.cgi/win/1219980040/

128 :名無しさん@お腹いっぱい。:2009/05/23(土) 20:43:09
Rising 2009 21.39.52 (21.30.52.00)
前スレ>881 (tane0320)
7\load.exe: Trojan.DL.Win32.Undef.ent
b\Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
b\Mediacodec_v3.7.exe>>agent.exe: Trojan.Win32.FakeVir.it
4+2=6/12
前スレ>895 (tane0322)
Mediacodec_v3.7.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1
>>26
dropper.bin>>upx_c: Trojan.DL.Win32.Delf.zrg
>>94
antivirus.exe>>pc.exe: Trojan.Win32.FakeVir.is
1/1

129 :名無しさん@お腹いっぱい。:2009/05/23(土) 21:59:07
>>113
カスペ

update.exe→not-a-virus:FraudTool.Win32.VirusDoctor.f
uninstall.exe→not-a-virus:FraudTool.Win32.VirusDoctor.g
ActivatedSetup.exe→not-a-virus:FraudTool.Win32.VirusDoctor.h

130 :名無しさん@お腹いっぱい。:2009/05/23(土) 23:26:29
>>124
>VT、解析結果のアドレスの付け方が変わりましたね。

再解析するファイルが多すぎて、ハイフン以下で日付と時間入れてみたのかね。2chのスレタイみたい。

131 :61:2009/05/23(土) 23:28:37
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=345
 DL virus/解凍 virus

【中身】8個入っています。
1.exe
 http://www.virustotal.com/jp/analisis/749f6a11c09f3aed11acefedf2d77a0ba9d979e8ebb970f0184f72685726546b-1243084719 (11/38)
6244.exe
 http://www.virustotal.com/jp/analisis/8cb21f42c04e0c1e1e8cc298080ceab4a5ae06cef56fb20235fc51111e3a98f3-1243081168 (21/40)
bb021908.exe
 http://www.virustotal.com/jp/analisis/452063d1081cf913a146babd3d4a0a6aff502ba950e0327d26f4fcf23a4b9c53-1243081856 (8/38)
softwarefortubeview.45027.exe
 http://www.virustotal.com/jp/analisis/4a06b457f3475c9b2a4e9865e43a13b77c347a19022717d2b2aa8d2bdef69e6c-1243083462 (1/40)
SudoPlanet_setup.exe
 http://www.virustotal.com/jp/analisis/b17c6089c42999d9d04efe8632c120e33c83b25ce93aa9a34f0089e65b6c769e-1243088012 (7/39)
ya.exe
 http://www.virustotal.com/jp/analisis/a8df1476db4c39d4ce371ce4bf894553a8d5ea158b0fdc1b5959791cdf1bfe1c-1243086640 (19/39)
readme.pdf
 http://www.virustotal.com/jp/analisis/5040a7616314c4df6feba1697761b404b182703a022eedca471829f29ab4fe8d-1243087778 (12/40)
load.php
 http://www.virustotal.com/jp/analisis/025347a897ef2aeb8b45d1bb667e1bd36861c6e89452b6c13985be9ff33f2ab4-1243087440 (7/40)

softwarefortubeview.XXXXX.exeは改変が早いので、ちょっと注意が必要ですね。

132 :61:2009/05/23(土) 23:41:54
>>131
AVIRA9 7.01.04.07 未検出分3個は提出済み。
 1.exe - TR/Spy.Ambler.D.27
 6244.exe - TR/BHO.Gen
 bb021908.exe -
 softwarefortubeview.45027.exe -
 SudoPlanet_setup.exe - ADSPY/AdSpy.Gen
 ya.exe - TR/Crypt.ZPACK.Gen
 readme.pdf - HTML/Crypted.Gen
 load.php -

>>130
SHA256のハッシュ - タイムスタンプ になっているみたい。

今度からMD5を貼らなくても、アドレスからSHA256を抜き出せるので、VTでハッシュ検索がしやすくなってます。
が、その分アドレスが異常に長い...orz

133 :61:2009/05/23(土) 23:53:25
>>131
Kaspersky 2009/05/23 23:02:00 未検出分4個は提出済み。
 1.exe - Trojan.Win32.Agent.cimn
 6244.exe - Trojan-Dropper.Win32.BHO.bt
 bb021908.exe -
 softwarefortubeview.45027.exe - Trojan-Downloader.Win32.FraudLoad.elf
 SudoPlanet_setup.exe -
 ya.exe - Trojan-Spy.Win32.Zbot.gen
 readme.pdf -
 load.php -

>>125-126
 う〜ん、今時のマルウェアは、主流が偽Antivirusと偽codecなので、偽Antivirusが増えるのはしょうがないと思う。

 偽Antivirus - 偽の検索画面を見せて、マルウェア発見→Antivirusインストールして!
 偽codec - 偽動画サイトを見せて、codecが入ってないから再生できない→codecインストールよろ。

なんで、今のマルウェアは裏から来ないで、表から堂々と来ます。その手の案内がメールで来ることも予想すると
偽Antivirusも出しておいた方が良いと思ったり。

あと、偽codecはポルノサイトが多い。 男って悲しいネ...orz

134 :名無しさん@お腹いっぱい。:2009/05/24(日) 00:03:00
>>131
Risingに送りました

135 :名無しさん@お腹いっぱい。:2009/05/24(日) 00:04:01
>>131
McAfeeに提出させて頂きました。

136 :名無しさん@お腹いっぱい。:2009/05/24(日) 00:19:55
>>131
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

137 :こなた ◆KONATAzZoM :2009/05/24(日) 02:14:46
お疲れ様です。
規制解除されたので報告。
F-Secure Internet Security Technology Preview 9.40
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-20
    * F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
    * Virus: 2009-05-23_01
    * SpyWare: 2009-05-23_01
>>94
BitDefenderで検出済みにつき確認/報告していません。
>>111
検出結果変わらず。SASへは金曜日の夜中に報告済みですが、回答未だ無し。
>>114
状況変わらず。
>>131
[検出結果:2/12]
 \tane0345\1.exe → Trojan.Crypt.DF: 処理 失敗
 \tane0345\ya.exe → Gen:Trojan.Heur.Hype.40708F8F8F :検疫可
 残りはNOT DETECT

FIS-TPでの未検出分報告(>>114 >>131)については、>>111の回答を待ってから考えます。
あと、何方か FIS-2009で確認してる方いらっしゃいませんか?
F-Secureとしてはそちらがメインだと思いますので、確認して頂けると助かります。

138 :こなた ◆KONATAzZoM :2009/05/24(日) 03:37:40
お疲れ様です。
一応念のため>>26をFIS-TPにて再確認。
チェック環境は>>137のと一緒。

[検出:本体 30/30 HTML 117/555]
本体は全て検出。HTMLは以下のとおりで、行末の数字は検出数。
\20090405\ [3/3] *
\20090411\ [1/1] *
\20090509\ [47/47] *
\20090514\ [2/2] *
\20090516\joyjoynet\ [5/17]
\20090516\livmail\ [8/43]
\20090516\nifty-hair\ [3/36]
\20090516\revue1999\ [6/18]
20090516\skyhighpremium\ [2/11]
\20090518\laqoo\ [1/137]
\20090518\pmpk\ [7/14]
\20090518\replica08\ [18/52]
\20090518\seibidoshuppan\ [5/10]
\20090518\themusasi\ [4/27]
\20090519\loca.zombie\ [1/1] *
\20090519\yuuno.sakura\ [4/14]
(上記以外は未検出)

とりあえず FIS-TP でも検出精度はそこそこ問題なさそう?
日数経ってるから当たり前といえば当たり前なのだろうけど…

139 :61:2009/05/24(日) 10:56:29
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=346
 DL virus/解凍 virus

【中身】8個入っています。

install.exe
 http://www.virustotal.com/jp/analisis/6ac8d318f66e736445d047d964054195209ff7531a0bad0b4570a31219605bc8-1243124267 (9/40)
Install_2019.exe
 http://www.virustotal.com/jp/analisis/c03ac99c56ce7e0d7531cc486afbafb3162b887d6b471c03ebea537822880b83-1243124634 (3/40)
install2.exe
 http://www.virustotal.com/jp/analisis/60f6d79183e94f1b2c1517239b2a40cd2cc18fc06ae3793258d896f85b55d34f-1243128751 (13/40)
softwarefortubeview.45027-2.exe
 http://www.virustotal.com/jp/analisis/4020867e53a0239391254d3f385972fbcbaa33a05ca84688f95c5b581f4e54aa-1243098022 (1/40)
ws.exe
 http://www.virustotal.com/jp/analisis/30ad1851de946508713a71fe6c91f7ac7ddd2b0ae40327f50320b2305080a7c9-1243128997 (3/40)
pdf.pdf
 http://www.virustotal.com/jp/analisis/97251a720969976891679af2115a7cc4548d696d5697410d735c8904cfb259b3-1243128431 (15/40)
two.pdf
 http://www.virustotal.com/jp/analisis/070acb8229cac529ffd500e4508f4947537c6cc76ec07c2bd26dfcbc91b2e223-1243128137 (10/40)
flash.swf
 http://www.virustotal.com/jp/analisis/1feb0cc84665dfab4ebf8bf123ea106cbefc0967e7d0446a003c4411a5d4b42f-1243095732 (10/40)

※ softwarefortubeview.45027-2.exeは、>131と別のもの。(新種に改変された)

140 :名無しさん@お腹いっぱい。:2009/05/24(日) 11:01:21
>>131,133 乙

カスペ2009 9:37:00
対象検体>>131

4+事後検出2(下2行)=6/8

Detected Trojan program Trojan.Win32.Agent.cimn   /1.exe
Detected Trojan program Trojan-Dropper.Win32.BHO.bt   /6244.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.elf   /softwarefortubeview.45027.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.gen   /ya.exe

Detected Trojan program Trojan.Win32.VB.psi, Trojan.Win32.Delf.mso  /bb021908.exe
Detected Trojan program Trojan.JS.Agent.age   /readme.pdf


141 :61:2009/05/24(日) 11:09:58
>>139
AVIRA9 7.01.04.07 未検出分3個+HEUR 1個=4個は提出済み。
 install.exe - TR/Crypt.XPACK.Gen
 Install_2019.exe -
 install2.exe - TR/Crypt.ZPACK.Gen
 softwarefortubeview.45027-2.exe -
 ws.exe - TR/Dropper.Gen
 pdf.pdf - HEUR/HTML.Malware
 two.pdf - EXP/CVE-2009-0837
 flash.swf -

Kaspersky 2009/05/24 9:37:00 未検出分5個は提出済み。
 install.exe -
 Install_2019.exe -
 install2.exe - Trojan-Dropper.Win32.FrauDrop.bi
 softwarefortubeview.45027-2.exe - Trojan-Downloader.Win32.FraudLoad.elf
 ws.exe -
 pdf.pdf -
 two.pdf - Exploit.Win32.Pidief.alc
 flash.swf -

む、AVIRAのHEUR、実物初めて出た。

142 :名無しさん@お腹いっぱい。:2009/05/24(日) 11:38:15
>>139
McAfeeに提出させて頂きました。

143 :名無しさん@お腹いっぱい。:2009/05/24(日) 11:44:38
>>139
McAfee自動返答
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----

6244.exe |new detection |puper!f |Trojan |yes
ya.exe |new detection |generic pws.y!t |Trojan |yes

あとは全部 inconclusive

144 :名無しさん@お腹いっぱい。:2009/05/24(日) 11:46:34
>>139
Norton自動返答

filename: sopidkc.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html

filename: 6244.exe
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html

あとは全部手動解析行き

145 :名無しさん@お腹いっぱい。:2009/05/24(日) 12:10:18
>>139
カスペ返答

1.exe_ - Trojan.Win32.Agent.cirp,
load.php - Trojan.Win32.Inject.aazv
New malicious software was found in these files.

45027.exe_ - Trojan-Downloader.Win32.FraudLoad.elf,
6244.exe_ - Trojan-Dropper.Win32.BHO.bt,
bb021908.exe_, dpcxool64.sys - Trojan.Win32.VB.psi,
readme.pdf_ - Trojan.JS.Agent.age,
sopidkc.exe_, tpsaxyd.exe_ - Trojan.Win32.Delf.mso,
ya.exe_ - Trojan-Spy.Win32.Zbot.gen
These files are already detected.

comsa32.sys, SudoPlanet_setup.exe_
No malicious code were found in these files.

※ bb021908.exe_は解凍したファイルも一緒に送っていますので、そのファイル名も報告に含まれています。

146 :61:2009/05/24(日) 12:27:17
>>141
Kaspersky未検出分返答
 install.exe - Trojan-Downloader.Win32.FraudLoad.eln
 Install_2019.exe_ - Trojan-Downloader.Win32.FraudLoad.elo
 ws.exe_ - Trojan-Downloader.Win32.FraudLoad.vxmg
 pdf.pdf - Exploit.Win32.Pidief.avw
 flash.swf - Exploit.SWF.Agent.aq

ということで、全黒でclose.

どうも、分析を担当したアナリストによって返答したりしなかったり、という感じ。
早い人だと、送ってからあっという間に解析結果のメールが来る。逆に、メール来ないのに対応終わってることもあるし、ちょっと面白い。

147 :名無しさん@お腹いっぱい。:2009/05/24(日) 14:43:12
Rising 2009 21.39.60 (21.30.60.00)
前スレ>636 (tane0293)
playenline\1.exe: Trojan.PSW.Win32.GameOL.zyj
17+1=18/33
>>139
Risingに送りました

148 :名無しさん@お腹いっぱい。:2009/05/24(日) 16:05:59
>>139
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

149 :こなた ◆KONATAzZoM :2009/05/24(日) 16:34:11
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-20
    * F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
    * Virus: 2009-05-23_01
    * SpyWare: 2009-05-23_01

[検出結果:4/8]
flash.swf → Exploit.SWF.Gen [検疫]
install.exe → GenPack:Trojan.Generic.1552053 [検疫]
pdf.pdf → Exploit.PDF-JS.Gen [検疫]
two.pdf → Exploit.PDF-URI2.Gen [検疫]

[以下未検出]
Install_2019.exe
install2.exe
softwarefortubeview.45027-2.exe
ws.exe

>>111の回答がもらえていませんので、対応する気があるのか不明との判断に付き報告は保留しています。

150 :こなた ◆KONATAzZoM :2009/05/24(日) 16:36:37
ぬあ…抜けてた。
>>149>>139の結果です。
失礼しました。

151 :61:2009/05/24(日) 23:13:13
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=347
 DL virus/解凍 virus

【中身】 27個入っています。多いです。スミマセン

インフォメーションは後程。AVIRAとKasperskyは提出済み。いつも通りVirustotalにも全部投げてあります。

152 :名無しさん@お腹いっぱい。:2009/05/24(日) 23:30:46
>>151
ここまでSymantecとa-squaredとMalwarebytesに提出済みです
NIS2009で、解凍後のAutoProtect検出で13/27 (でもファイル数は16ヶ残った)
手動スキャンを続けて試みたが追加検出は無しでした

153 :名無しさん@お腹いっぱい。:2009/05/24(日) 23:33:53
Rising 2009 21.39.62 (21.30.62.00)
>>151
1.exe>>mian007: Packer.Win32.Mian007.a
file.exe: Backdoor.Win32.Undef.did
install3.exe: Trojan.Win32.Nodef.jka
3/27
提出完了

154 :61:2009/05/25(月) 00:04:26
>>151 いんふぉめ〜しょん(1/3)
1.exe
 http://www.virustotal.com/jp/analisis/a42eb1120c86c7c6a9ce19ff9475ec359f8ad8454f8c24516cdbbc008e6a644d-1243162474 (16/40)
access.exe
 http://www.virustotal.com/jp/analisis/22327a0a8b064be7fb1c472818531a558a52a4aac3d8ad9f362db863beca17bf-1243156317 (0/40)
e98m.pdf
 http://www.virustotal.com/jp/analisis/280b3d5826f9cc6bef69185f754a093de32b4f7d73329ef46b1090ba2f513e9e-1243156084 (6/40)
EXP_pdf.pdf
 http://www.virustotal.com/jp/analisis/633f5bf8ef0a03fe1e8e00a3350aa1acd3174d7f0dbc16fc9c9bac747a59f7a5-1243165950 (16/39)
file.exe
 http://www.virustotal.com/jp/analisis/a96c9edb2896f678be99cf75607ec95a893536184885b6849e79f2a203924934-1243152957 (18/40)
file2.exe
 http://www.virustotal.com/jp/analisis/508a1d294064188dae66217ca73c6b88d2b0a89b2f4539b380b95187ae42a70d-1243168552 (5/40)
install.exe
 http://www.virustotal.com/jp/analisis/1d81ce4201964b9e5bc6c47e32a68cdb4c01b745830c2df612daeff9c954d601-1243141294 (4/40)
Install_11-1.exe
 http://www.virustotal.com/jp/analisis/676e3866436af1c434d1cbcbe1e4662bf375cf3741ebbd3e2e109d1381bcc59a-1243167967 (0/40)
install2.exe
 http://www.virustotal.com/jp/analisis/d0d88fe72840a3b28a460cb24d8e55ea681ea59e4ef90ee4b44fb57aae677d2d-1243149701 (5/40)
install3.exe
 http://www.virustotal.com/jp/analisis/a2adbb593a3e2acc285a009563f33fd7bc4638ef91218f887541b15b0608951d-1243155386 (15/40)

155 :名無しさん@お腹いっぱい。:2009/05/25(月) 00:04:29
>>151
McAfeeに提出させて頂きました。

156 :61:2009/05/25(月) 00:15:18
>>151 いんふぉめ〜しょん(2/3)
ldr.exe
 http://www.virustotal.com/jp/analisis/786d4f87733bd0eee8ae5e48dcd341460695ae16517c566500be28f2e23b2237-1243149018 (9/39)
load.exe
 http://www.virustotal.com/jp/analisis/94f3d2aa917f12675a0346d983eb5298b3d3fe8860dc990f6781ff7a253201cf-1243160273 (0/40)
load.php
 http://www.virustotal.com/jp/analisis/1dbbfbcf8241a038041036fb2f8a2a1fa5b10955af07cb47f66fb05dc1e86a2d-1243141917 (14/40)
load2.exe
 http://www.virustotal.com/jp/analisis/a57dde784c7f4d198f896e1dfa6a85ec0870ce8dc0281ba279287a5768aa3206-1243166783 (6/39)
load2.php
 http://www.virustotal.com/jp/analisis/38b1d4bfe85ac8d75c9d4c71d7b71b9441be940383b713a26dd3a8201fef7284-1243152060 (6/39)
load3.php
 http://www.virustotal.com/jp/analisis/108081ba86a1b3171b9d0b32a0c589c10f9f893ba36186fd722dee601a97e23a-1243155771 (1/40)
load4.php
 http://www.virustotal.com/jp/analisis/689ab94db38ac18f30a99e51f6fa2d178f62ef39f449e0e3eab0c4e7d2557341-1243160866 (7/40)
loadhlp.exe
 http://www.virustotal.com/jp/analisis/67913781f0a25285e739fdf3776f9ce13687efc93bc5f51f4ce104908fbf31d1-1243163703 (10/39)
m.dll
 http://www.virustotal.com/jp/analisis/b28125bad6709a13e2836ced6d07ee5fd389dc0cb283123b34c5b7dfc821c6fa-1243170766 (11/38)
pdf.php
 http://www.virustotal.com/jp/analisis/98137e7b8aed76d82961a2306a210b3286b19db6761602c02d2d222850fc7d74-1243141579 (6/40)

157 :61:2009/05/25(月) 00:22:11
>>151 いんふぉめ〜しょん(3/3)
readme.pdf
 http://www.virustotal.com/jp/analisis/bdd1fb75dc83411fe04e330de97d7cf678822f18605503503280e66904ebd289-1243152334 (13/40)
setup.exe
 http://www.virustotal.com/jp/analisis/07a23759206b16439868bec3874183194ad14628ab8c82e1001ef19d2cebe908-1243151056 (5/40)
softwarefortubeview.45013.exe
 http://www.virustotal.com/jp/analisis/f49bfc731fda767a3116d83788333fa8a5f33b78781d1982dbb88548f54e18ab-1243159424 (3/40)
spl.php
 http://www.virustotal.com/jp/analisis/833d7bc90881273198e6c7165291c137e94f3aaa0d88ca60b05765212f986ba5-1243153872 (12/40)
spl2.php
 http://www.virustotal.com/jp/analisis/d9d48f0fff9f6c70cff7158224476f6048b9aceb3db18ece9c8bf5b72d3e6242-1243161141 (12/40)
sta.exe
 http://www.virustotal.com/jp/analisis/ac10cea27bd67b6087127f3eec69b0ab02484de65aa4d3fef750ef36fae7c6d7-1243171150 (17/39)
z.exe
 http://www.virustotal.com/jp/analisis/5648941dc818661595e51ffccd8a60dfa2b812063f430fc1f277575ea7d7baab-1243165550 (9/40)

全部で27個でした。あと、>156訂正
load.exe
 http://www.virustotal.com/jp/analisis/94f3d2aa917f12675a0346d983eb5298b3d3fe8860dc990f6781ff7a253201cf-1243160273 (0/40) → (10/40)



158 :名無しさん@お腹いっぱい。:2009/05/25(月) 00:30:17
>>151 乙&代理提出d

(参考)
カスペ 2009 23:11:00 13/27
カスペ 2010 ベータ 23:11:00 14/27 (setup.exeを追加検出)

Detected Trojan program Trojan.Win32.Pakes.nkq /1.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uty /file2.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.vxsv /install.exe
Detected Trojan program Trojan.Win32.Tdss.aeii /install3.exe
Detected virus HEUR:Trojan-Downloader.Win32.Generic /load.exe
Detected Trojan program Backdoor.Win32.Agent.agua /load.php
Detected virus Email-Worm.Win32.Joleee.bot /load2.exe
Detected Trojan program Trojan.Win32.Small.byt /load2.php
Detected Trojan program Trojan-Dropper.Win32.Agent.apvd /loadhelp.exe
Detected virus not-a-virus:FraudTool.Win32.SpywareGuard2008.ccl /m.dll
Detected Trojan program Trojan.JS.Pakes.bf /readme.pdf
Detected virus HEUR:Trojan.Win32.Generic /setup.exe
Detected Trojan program Trojan.Win32.Obfuscated.afvj /sta.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.urw /z.exe

159 :61:2009/05/25(月) 00:32:58
>>151
最後にAVIRA9とKasperskyの結果。今回は数が多いので検出数だけ。

AVIRA9 7.01.04.07 - 検出11,未検出16
Kaspersky 2009/05/24 23:11:00 - 検出13,未検出14

160 :名無しさん@お腹いっぱい。:2009/05/25(月) 00:56:11

お疲れ

161 :61:2009/05/25(月) 00:56:32
>>122 メール来てないけど事後報告。

Kasperskyで検出するようになったの下記の3個のみ。
 ActivatedSetup.exe - not-a-virus:FraudTool.Win32.VirusDoctor.h
 uninstall.exe - not-a-virus:FraudTool.Win32.VirusDoctor.g
 update.exe - not-a-virus:FraudTool.Win32.VirusDoctor.f

あとは白判定だったような感じです。では ノシ

162 :こなた ◆KONATAzZoM :2009/05/25(月) 02:14:36
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40
(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-20
    * F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
    * Virus: 2009-05-23_01
    * SpyWare: 2009-05-23_01

>>151
[検出結果:11/27]
\e98m.pdf -> Exploit.PDF-JS.Gen [検疫可]
\EXP_pdf.pdf -> Exploit.PDF-JS.Gen [検疫可]
\pdf.php -> Exploit.PDF-JS.Gen [検疫可]
\spl.php -> Exploit.PDF-JS.Gen [検疫可]
\spl2.php -> Exploit.PDF-JS.Gen [検疫可]
\file.exe -> Gen:Trojan.Heur.GM.0000C14108 [検疫可]
\file2.exe ->Gen:Trojan.Heur.Hype.40708F8F8F  [検疫可]
\loadhelp.exe -> Trojan-Spy:W32/Ambler.gen!B [検疫可]
\setup.exe -> Net-Worm:W32/Koobface.gen!A [検疫可]
\load2.exe -> Gen:Trojan.Heur.Hype.2014EBEBEB [検疫可]
\sta.exe -> Gen:Trojan.Heur.P3001FEEEEE [検疫可]
[残り未検出:16/27]

SASへの報告については>>111の回答待ち。
未報告案件:>>111 >>114 >>137 >>149 + 今回分

明日…というか今晩帰宅した際に回答があった場合は、未報告分をチェックの上、残件を報告します。

163 :名無しさん@お腹いっぱい。:2009/05/25(月) 12:51:46
GENO5/8分 Symantec返答

filename: id3_20090508.swf
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html

filename: id10_20090508.exe
result: This file is detected as Infostealer.Daonol.

filename: id2_20090508.pdf
result: This file is detected as Bloodhound.PDF.7.

最新のRapidRelease定義を作成したので使ってくれ(以下、原文)

>Symantec Security Response has determined that the sample(s) that you provided
>are infected with a virus, worm, or Trojan. We have created RapidRelease defini
>tions that will detect this threat. Please follow the instruction at the end of
> this email message to download and install the latest RapidRelease definitions.
>Downloading and Installing RapidRelease Definition Instructions:
>1. Open your Web browser. If you are using a dial-up connection, connect to any
> Web site, such as: http://securityresponse.symantec.com/
>2. Click this link to the ftp site: ftp://ftp.symantec.com/public/english_us_canada/antivirus_definitions/norton_antivirus/rapidrelease/symrapidreleasedefsi32.exe
> If it does not go to the site (this could take a minute or so if you have
> a slow connection), copy and paste the address into the address bar of your Web
> browser and then press Enter.
>3. When a download dialog box appears, save the file to the Windows desktop.
>4. Double-click the downloaded file and follow the prompts.
>
>Virus definition detail:
>
>Sequence Number Greater Than: 95887
>Defs Version: 110524u
>Extended Version: 05/24/2009 rev.21

164 :名無しさん@お腹いっぱい。:2009/05/25(月) 12:53:28
私はSymantec使ってないけど、最新定義使いたい人の目に止まるように上げておきました。

165 :158:2009/05/25(月) 15:54:09
>>151
カスペ14:22:00 検出ベース&返答
13+事後検出12=25/27, 白1,破損1でクローズ


e98m.pdf - Exploit.Win32.Pidief.awp
EXP_pdf.pdf - Exploit.Win32.Pidief.awf
load2.exe - Email-Worm.Win32.Joleee.bot
file.exe - Worm.Win32.AutoRun.ajoi
Install_11-1.exe - Trojan program Trojan.Win32.FraudPack.oiu
ldr.exe - Trojan-Spy.Win32.Zbot.uwl
load.exe - Trojan-Downloader.Win32.Small.akvu (HEUR:Trojan-Downloader.Win32.Generic)
load3.php - Trojan.Win32.Inject.abau
load4.php - Trojan-Dropper.Win32.Agent.aqph
softwarefortubeview.45013.exe - Trojan-Downloader.Win32.Agent.bzxx
setup.exe - Net-Worm.Win32.Koobface.kk (←HEUR:Trojan.Win32.Generic)
spl.php - Exploit.Win32.Pidief.awo
spl2.php - Exploit.Win32.Pidief.awn

access.exe - No malicious code was found in this file.

install2.exe - This file is corrupted.

166 :名無しさん@お腹いっぱい。:2009/05/25(月) 18:07:00
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=348
Infected

無駄にでかいです。orz

どこぞの鑑定スレに古いマルウェアアドレスが出る→何の気なしに、ドメイン名の一部とexeをキーワードに検索
→文字化けしてたが、どこかの報告リストを目撃→うかつにも全部落としてみる→404とかもあったけどファイル多数

無害なものも幾つか入っちゃってるかもしれませんので、自分の使用中のベンダーで検知・削除されないものに
限定して(VTに投げて0/40なものは外すとかして)提出してください。

古いものも混じっているので、全部提出する必要はないと思います。

AntiVirとAntiyLabs宛にはFTP経由で提出済み(AntiVirはすり抜け分のみ8.7MB程度)

167 :名無しさん@お腹いっぱい。:2009/05/25(月) 18:08:13
あ、パスは infected の間違い。頭大文字じゃないです。

168 :名無しさん@お腹いっぱい。:2009/05/25(月) 18:43:37
>>166-167
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

169 :名無しさん@お腹いっぱい。:2009/05/25(月) 19:51:47
>>166
未検出分をMcAfeeに提出させて頂きました。

170 :名無しさん@お腹いっぱい。:2009/05/25(月) 21:02:01
Rising 2009 21.40.02 (21.31.02.00)
>>96
bot.exe: Backdoor.Win32.Ntos.cc
4+1=5/8
>>131
6244.exe>>upx_c>>3e9>>upx_c: AdWare.Win32.Undef.evr
1/8
>>166
172(+1)/197

171 :名無しさん@お腹いっぱい。:2009/05/25(月) 21:56:37
>>166-167


カスペ2009 21:02(KIS2010も同じ)
180/197 (うちヒューリスティック4)
検出結果詳細 略

順次提出。

172 :61:2009/05/25(月) 22:00:50
>>165 乙です。
Kaspersky データベース 2009/05/25 21:02:00で>165の通り検出できました。

>>161
同上のデータベースで、1個追加。

 Work.exe - Trojan.Win32.Qhost.loa

後は未検出のままです。>161の分は返事が来ないから、白黒がはっきりしない...

173 :61:2009/05/25(月) 22:14:02
>>123 AVIRA未検出分返答

 ActivatedReleaseXP.exe - 黒(名称未定)
 ActivatedSetup.exe - TR/FakeVimes.A.23
 ActivatedSetupReleaseXP.exe - 白
 ReleaseXP.exe - TR/Fakealert.ZB
 SetupRelease.exe - 白
 SetupReleaseXP.exe - DR/FakeAlert.RW
 uninstall.exe - TR/FakeVimes.A.21
 update.exe - TR/FakeVimes.A.22

以上、黒=事前1+事後6=7,白=2でclose.

174 :61:2009/05/25(月) 22:34:46
>>159
AVIRA未検出分16個のうち返答があったもの

 file2.exe - TR/Spy.ZBot.uty
 Install_11-1.exe - TR/FraudPack.oiu
 install2.exe - SPR/Tool.Obfuscator.EW.2
 install3.exe - TR/TDss.aeii
 load2.exe - Worm/Joleee.bot
 load2.php - TR/Small.byt
 load3.php - TR/Inject.abau
 loadhlp.exe - TR/Drop.Agent.apvd
 m.dll - 黒(名称未定)
 setup.exe - 白
 softwarefortubeview.45013.exe - TR/Dldr.Agent.bzxx
 z.exe - TR/Spy.ZBot.urw

12個判断終わり。黒=11,白=1。 4個まだ解析中・・・めずらしくAVIRAが判断に迷ってる。(後から出した方が先に返答来ている)

しかも更にめずらしく、setup.exeがKaspersky黒でAVIRA白。逆は多いけど、これは初めての気がする。( ゚д゚)

175 :61:2009/05/25(月) 23:08:13
>>141 また書き忘れた...

 Install_2019.exe - TR/Dldr.FraudLoad.elo
 softwarefortubeview.45027-2.exe - TR/Dldr.FraudLoad.Elf.7
 flash.swf -EXP/SWF.16723

HEURは隔離フォルダから送ったけど、これだとWeb提出と違って結果がみれないから状況不明。
どっちにしても、HEUR込みにすれば>139,141はAVIRAも全黒。

ただいま>166にAVIRA トライ中。


176 :こなた ◆KONATAzZoM :2009/05/25(月) 23:18:20
お疲れ様です。
>>111で登録したときに書いた文句についての回答がありました。

>Hello,
>
>The ISTP product is a beta product and therefore may not be on the same level as our
>released products, as a result there may still be gaps in the on-demand scanning
>detection coverage. As the beta process continues we will take steps to ensure our
>detection coverage is as complete or exceeds coverage in our released products.
>Feedback such as yours is vital to this effort.
>
>We will add detection for these samples to ISTP databases as soon as possible.
>
>Thanks for your help!
>
超意訳:
>ISTPはベータ段階だから製品のより劣ってるかもしれないし、検出結果にギャップがあるのも否定はしない。
>このベータ段階を経て、既存の製品よりいいものにしようと私たちは手を打ってます。
>この努力に君らからのフィードバックを必要としています。
>今回提供してくれた検体の定義については、近々ISTPのデータベースに追加します。

ということなので、今日からまたちまちまとSASへの報告作業をはじめます。

177 :61:2009/05/25(月) 23:20:48
>>166 乙です。Kasperskyは>171さんがやってくれていますので、AVIRAの方です。

AVIRA9 7.01.04.13 検出183,未検出14でした。(HEUR検出は無し)

ちなみに、未検出は
 32.exe
 a8.exe
 c.js
 go.exe
 maya4.0.exe
 qvodsetupplus.exe
 read.php
 setup(1).exe
 show_ads.js
 u89(1).exe
 u89.exe
 xx(1).htm
 xx(2).htm
 xxxdizhi.exe です。

順次AVIRAに提出しますがu89(1).exeとu89.exeは同じものなので、提出は13個になります。

178 :61:2009/05/26(火) 00:24:53
>>177
Web提出時に既出で判定済み
 黒 a8.exe - SPR/Hacktool.28501
 白 maya4.0.exe,u89.exe,xxxdizhi.exe の3個

解析中
 32.exe,c.js,go.exe,qvodsetupplus.exe,read.php,setup(1).exe,show_ads.js の7個

中身を見て、VTに投げた後、提出しなかったもの
 xx(1).htm,xx(2).htm の2個 (VTでも 0/40)

AVIRA先生は終業時間過ぎてますので、報告は明日でしょう。では ノシ

179 :61:2009/05/26(火) 00:38:31
>>174 訂正

× setup.exe - 白 → 黒判定。

同じ日に出した他のファイルと間違えた。orz >151,159,174のsetup.exeは、AVIRAも黒判定。

※ 白だったのは、VTに投げてはっきりしなかった分を、AVIRAに試しに出してみた分。

180 :名無しさん@お腹いっぱい。:2009/05/26(火) 00:44:22
Rising 2009 21.40.04 (21.31.04.00)
前スレ>822
8\antivirus.exe>>pc.exe: AdWare.Win32.FakeAV.cp
5(+1)+1=6(+1)/12
>>131
bb021908.exe>>sopidkc.exe: Backdoor.Win32.Undef.dlw
bb021908.exe>>tpsaxyd.exe: Backdoor.Win32.Delf.ebq
1+1=2/8
>>166
追加検出1
172(+1)+1=173(+1)/197

181 :こなた ◆KONATAzZoM :2009/05/26(火) 00:46:58
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-20
    * F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
    * Virus: 2009-05-25_11
    * SpyWare: 2009-05-25_11

>>113 (0344)
[検出結果:10/10]
\ActivatedSetup.exe -> Trojan-Downloader:W32/FraudLoad.EJ [検疫可]
\uninstall.exe -> Trojan-Downloader:W32/FraudLoad.EK [検疫可]
\update.exe -> Trojan-Downloader:W32/FraudLoad.EL [検疫可]
\Work.exe -> Gen:Trojan.Heur.90D02FAAAA [検疫可]
\SetupRelease.exe -> Gen:Trojan.Heur.Hype.0A5AA5A5A5 [検疫不可]
[RiskWare]
\ActivatedReleaseXP.exe -> Riskware:W32/Prestune.A
\PrestoTuneUp.exe -> Riskware:W32/Prestune.A
\ReleaseXP.exe -> Rogue:W32/PrestoTuneUp.D
\ActivatedSetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.C
\SetupReleaseXP.exe -> Rogue:W32/PrestoTuneUp.B

>>131 (0345)
>>137から変化なし。未検出分をSASへ登録しました。

>>139 (0346)
>>149から変化なし。未検出分をSASへ登録しました。

>>151 (0347)
>>162から変化なし。未検出分をSASへ登録しました。

182 :171:2009/05/26(火) 01:07:56
>>166
カスペからの返事
180+事後検出6=186/197 、白5, 回答待ち6

白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち:32.exe, qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm

寝る

183 : ◆W32/Vael.o :2009/05/26(火) 18:25:53
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=349
Malware-Pack78

例によってMcAfeeには提出済み

184 :名無しさん@お腹いっぱい。:2009/05/26(火) 18:48:06
>>183
AntiVirとAntinyLabsにFTP経由で提出しました。他のマイナー所は後で〜

185 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:10:40
おっと、肝心の報告を忘れてました。

AntiVir 8/12検出

186 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:13:55
>>183
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

0 ttp://www.virustotal.com/jp/analisis/152ae7a6ad52c5ae89daa68639af8c317dee5f5e02e72663b260316f38456e50-1243332318
1 ttp://www.virustotal.com/jp/analisis/23107ee1e816782322116904a052bd3720e6edbb0a84bd61b4e69d93e51a0a9b-1243332325
2 ttp://www.virustotal.com/jp/analisis/84bc296b1cb58d74599cf871585cf986551632d6b11e0aa5aea46d301904b486-1243332350
3 ttp://www.virustotal.com/jp/analisis/108081ba86a1b3171b9d0b32a0c589c10f9f893ba36186fd722dee601a97e23a-1243332342
4 ttp://www.virustotal.com/jp/analisis/284877bb95e50d17d5e48d387fd8bda629ccebfe62cc7a40aa329e4d306ec01c-1243332353
5 ttp://www.virustotal.com/jp/analisis/906d701130b04d32036240692fc34446087503c15849915ec3fc281fd6ffb997-1243332365
6 ttp://www.virustotal.com/jp/analisis/7dece7c341d5164d8038cad5bb1677591a117ea70be8c329fe9e56a000574881-1243332398
7 ttp://www.virustotal.com/jp/analisis/508a1d294064188dae66217ca73c6b88d2b0a89b2f4539b380b95187ae42a70d-1243332408
8 ttp://www.virustotal.com/jp/analisis/52d981837dc8a415826eec8326cc2eb0ff18a9a8cac99bb8b2432963dc59d479-1243332418
9 ttp://www.virustotal.com/jp/analisis/2e6fe7941812a6574dbd1da1d8952389ede8b2ba89ac93603a58f32152d7d64d-1243332426
a ttp://www.virustotal.com/jp/analisis/883b074403f6ff2f695d0adb867c2c252cb8f1b65bc1c03238fc29e9df58ceba-1243332438
b ttp://www.virustotal.com/jp/analisis/f7c1a7033860feb93c0b9abd047c381236b1d724f9500fe9e3dfa175ee010cbf-1243332452

187 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:23:37
>>183

カスペ2009 17:25:00
9/12
検体提出します。

Detected Trojan program Trojan.Win32.Agent2.jma /0/cool.jpg
Detected Trojan program Trojan.Win32.Agent2.jmq /2/plugin.exe
Detected Trojan program Trojan.Win32.Inject.abau /3/file.exe.exe
Detected Trojan program Trojan-Downloader.Win32.Agent.cajp /4/dfff.prod.exe
Detected Trojan program Trojan.Win32.Agent.chrn /6/setup.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uty /7/file.exe
Detected Trojan program Trojan-Spy.Win32.Zbot.uyu /8/bot.exe
Detected virus Email-Worm.Win32.Joleee.bpc /9/load.exe
Detected Trojan program Trojan.Win32.BHO.tbl /b/malay.exe

>>166

180+事後検出7=187/197 、白5, 回答待ち5

白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち:qvodsetupplus.exe, go.exe, read.php, xx(1).htm xx(2).htm


188 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:27:07
Norman サイト再編か、提出先がページなくなっている。

189 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:35:02
Rising 2009 21.40.12 (21.31.12.00)
>>61
cry.exe: Trojan.Spy.Win32.VB.alv
dia.exe: Worm.Win32.DownLoad.qh
2/4
>>139
install2.exe: Trojan.Win32.FakeAV.nz
1/8
>>151
setup.exe>>upx_c: Worm.Win32.Koobface.w
3+1=4/27
>>166
追加検出1
173(+1)+1=174(+1)/197
>>183
スルー
検体提出完了

190 :名無しさん@お腹いっぱい。:2009/05/26(火) 19:40:31
>>183
>>186-187さんと一部被ってますが、テンプレのWikiにまとめてある提出先に一通り提出完了。

BitDefender 2/12
a-Squeare 5/12

191 :名無しさん@お腹いっぱい。:2009/05/26(火) 20:51:20
>>188
変更後のアドレス…Wiki直すか。

Norman(未圧縮1ファイルづつしか投稿できない)
 http://www.norman.com/security_center/security_tools/submit_file/en
 (↓誤検知報告:まとめて報告可能)
 http://www.norman.com/support/fp/en

192 :こなた ◆KONATAzZoM :2009/05/26(火) 20:54:05
お疲れ様です。
>>181で登録した分の回答がありました。

>>131
回答:2009.05.26 07:54
補足:2009.05.26 11:34
・The file Sudoplayer.exe need not be detected.
>>139
回答:2009.05.26 16:26
>>151
回答:2009.05.26 19:28

補足回答を除く全ての未検出分について次回更新にて対応とのことでした。

193 :名無しさん@お腹いっぱい。:2009/05/26(火) 21:00:48
>>192

>補足回答を除く全ての未検出分について次回更新にて対応とのことでした。

これってBitDefenderでも対応&検出できるようになるってことですよね?

194 :こなた ◆KONATAzZoM :2009/05/26(火) 21:05:10
>>193
必ずしもそうとは言い切れませんが…恐らく検出できるようになると思います。
…としか回答できません 。OTL
あとは定義データの配信時間差とか…?

195 :名無しさん@お腹いっぱい。:2009/05/26(火) 21:06:40
>>194
わかりました、ありがとう

196 :こなた ◆KONATAzZoM :2009/05/26(火) 21:35:09
>>192の検出結果報告
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-20
    * F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
    * Virus: 2009-05-26_07
    * SpyWare:2009-05-26_07

[検出結果:4/6 + 白判定:1 = 5/6]
0345\softwarefortubeview.45027.exe -> Trojan-Downloader:W32/FraudLoad.EM [検疫可]
0345\6244.exe -> Trojan-Dropper:W32/BHO.exe -> [検疫可]
0345\load.php Trojan:W32/Inject.EY [検疫可]
0345\bb021908.exe -> Trojan:W32/VB.LUX [検疫可]
0345\SudoPlanet_setup.exe -> 白判定

[検出結果:4/4]
0346\install2.exe -> Trojan:W32/Winwebsec.J [検疫可]
0346\softwarefortubeview.45027-2.exe -> Trojan-Downloader:W32/FraudLoad.EM [検疫可]
0346\Install_2019.exe -> Rogue:W32/XPAntivirus.GPZ [検疫可]
0346\ws.exe -> Trojan:W32/Winwebsec. [検疫可]

[検出結果:5/16]
0347\install.exe -> Trojan:W32/Winwebsec. [検疫可]
0347\load.exe -> Trojan-Downloader:W32/Agent.KOV [検疫可]
0347\load4.php -> Trojan-Dropper:W32/Delf.DRO [検疫可]
0347\readme.pdf -> Exploit:JS/Pidief.EN [検疫可]
0347\z.exe -> Trojan:W32/Zbot.OTU [検疫可]

197 :187:2009/05/26(火) 22:01:15
カスペからの返事

>>183
9/12, 白2 (1, 5), 回答待ち (a)

1\rensuz.exe
5\Setup.exe

No malicious code was found in this file.



リンク
>>1 テンプレ変更(Norman)
>>191

198 :名無しさん@お腹いっぱい。:2009/05/27(水) 02:11:02
F-Secure Internet Security 2009
パターン ファイルのバージョン:
・ウィルス: 2009-05-26_07
・スパイウェア: 2009-05-26_03
スキャン エンジン:
・F-Secure AVP: 7.00.171, 2009-05-22
・F-Secure Hydra: 3.08.9080, 2009-05-26
>>94
antivirus.exe : FraudTool.Win32.PrivacyCenter

>>113
2009-05-23の時点で全て検出せず。

10/10
ActivatedReleaseXP.exe : Riskware:W32/Prestune.A
ActivatedSetup.exe : Trojan-Downloader:W32/FraudLoad.EJ
ActivatedSetupReleaseXP.exe : Rogue:W32/PrestoTuneUp.C
PrestoTuneUp.exe : Riskware:W32/Prestune.A
ReleaseXP.exe : Rogue:W32/PrestoTuneUp.D
SetupRelease.exe : Rogue:W32/PrestoTuneUp.D
SetupReleaseXP.exe : Rogue:W32/PrestoTuneUp.B
uninstall.exe : Trojan-Downloader:W32/FraudLoad.EK
update.exe : Trojan-Downloader:W32/FraudLoad.EL
Work.exe : Trojan:W32/Qhost.VK

199 :名無しさん@お腹いっぱい。:2009/05/27(水) 02:28:54
>>131
FIS-2009 定義>>198

6/8
Trojan-Spy:W32/Ambler.gen!B : 1.exe
Trojan-Dropper:W32/BHO.EXE : 6244.exe
Trojan:W32/VB.LUX : bb021908.exe
Trojan:W32/Inject.EY : load.php
Trojan-Downloader:W32/FraudLoad.EM : softwarefortubeview.45027.exe
Trojan-Spy.Win32.Zbot.gen : ya.exe

200 :名無しさん@お腹いっぱい。:2009/05/27(水) 02:37:42
>>139
FIS-2009 定義>>198

6/8
flash.swf : Trojan-Downloader:W32/Swif.D
install2.exe : Trojan:W32/Winwebsec.J
Install_2019.exe : Rogue:W32/XPAntivirus.GPZ
softwarefortubeview.45027-2.exe : Trojan-Downloader:W32/FraudLoad.EM
two.pdf : Exploit.Win32.Pidief.alc
ws.pdf : Trojan:W32/Winwebsec.I

未検出
install.exe
pdf.pdf

201 :名無しさん@お腹いっぱい。:2009/05/27(水) 02:48:43
>>151
FIS-2009 定義>>198

7/27
install.exe : Trojan:W32/Winwebsec.I
load.exe : Trojan-Downloader:W32/Agent.KOV
load4.php : Trojan-Dropper:W32/Delf.DRO
loadhlp.exe : Trojan-Spy:W32/Ambler.gen!B
readme.pdf : Exploit:JS/Pidief.EN
setup.exe : Net-Worm:W32/Koobface.gen!A
z.exe : Trojan:W32/Zbot.OTU

その他未検出

202 :名無しさん@お腹いっぱい。:2009/05/27(水) 03:06:01
>>166
FIS-2009 定義>>198
検出 : 155/336

203 :名無しさん@お腹いっぱい。:2009/05/27(水) 03:25:28
>>202追記。49のファイルが未検出

>>189
FIS-2009 定義>>198
3/12
\0\coo.jpg : Trojan.Win32.Agent2.jma
\2\plugin.exe : Trojan.Win32.Agent2.jmq
\6\setup.exe : Trojan.Win32.Agent.chrn

未検出
\1\rensuz.exe
\3\file.exe.exe
\4\dfff.prod.exe
\7\file.exe
\8\bot.exe
\9\load.exe
\a\install1.exe
\b\malay.exe

>>198-203未検出分、F-Secure SAS に提出済み

204 :名無しさん@お腹いっぱい。:2009/05/27(水) 12:04:58 ?2BP(0)
http://anchorage.2ch.net/test/read.cgi/occult/1241974505/774 【鑑定済み】
MD5: 6D93B0DF6A4B8E1763D1E542BC91B81F 102400bytes
HDD をもりもり消していくやつの模様 踏んでみたが、だいたいそういう結果になった
これ既出?

205 :名無しさん@お腹いっぱい。:2009/05/27(水) 12:26:56
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=350
infected

検体入手元
mixiのネトゲコミュに貼られていたらしいです。
p://www■uploda■tv/v/uptv0023074■rar

uptv0023074.rar(16/40)
ttp://www.virustotal.com/analisis/b22c4196cdd5854c7fd5fd666dca5f244fd0a7c0c5ce382c37eaefb3a0a509f7-1243390198
faisnqiq.exe(16/40)
ttp://www.virustotal.com/analisis/b1412ed3acf29f8f2a3b33261691f83ddbc04b0497d01d05bd82f675cc141415-1243390245

uptv0023074.rar : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
faisnqiq.exe : TR/Crypt.ZPACK.Gen Trojan(AntiVir)

AntiyLabsにはftp経由で提出済み。他はこれから提出します。

206 :名無しさん@お腹いっぱい。:2009/05/27(水) 12:39:03
>>205
VTでスルー、ヒューリスティックのベンダーと、VTには出てこないまとめWikiの宛て先に提出完了しました。

207 :名無しさん@お腹いっぱい。:2009/05/27(水) 13:43:31
なんとなく負荷削減になるかと思ってメール経由でVTに投げてるんですが、負荷削減になりますかね?
リンク踏まなくて済むしいいことが多い気がします。

208 :名無しさん@お腹いっぱい。:2009/05/27(水) 13:52:02
>>207
VT経由は、対応が明らかに遅いです。そんだけ。

>>205
カスペ
faisnqiq.exe - Trojan.Win32.Inject.abja
New malicious software was found

Norman
* Filename: C:\analyzer\scan\faisnqiq.exe.
* Sandbox name: W32/Malware.
* Signature name: NO_VIRUS.

Norton
手動解析行きでCLOSE

209 :名無しさん@お腹いっぱい。:2009/05/27(水) 13:55:39
>>208
提出の意味じゃなくて検査の段階での話で。

210 :名無しさん@お腹いっぱい。:2009/05/27(水) 14:16:08
>>209
VTの内部的な仕組みなんぞわからん…というわたしは、VirusTotalUploaderを使って右クリックから送ってます。
VTが不調な時だけですね、メールで投げるのは。

211 :名無しさん@お腹いっぱい。:2009/05/27(水) 14:42:35
>>210okです
あんまり気にしないどきます><

212 :名無しさん@お腹いっぱい。:2009/05/27(水) 16:03:08
>>205
F-Secure Internet Security 2009
パターン ファイルのバージョン:
 ・ウィルス: 2009-05-27_02
 ・スパイウェア: 2009-05-27_01
スキャン エンジン:
 ・F-Secure AVP: 7.00.171, 2009-05-26
 ・F-Secure Hydra: 3.08.9080, 2009-05-27

faisnqiq.exe : Trojan-PSW:W32/Magania.gen!B
\uptv0023074.rar\faisnqiq.exe : Trojan-PSW:W32/Magania.gen!B

213 :名無しさん@お腹いっぱい。:2009/05/27(水) 16:43:26
>>205

NortonInternetSecurity2009

Trojan Horse:faisnqiq.exe

>>208
提出乙です
しかし、Symantecは手動解析でも対応が速くなってきたな
ただ今でも検体によっては極端に対応が遅いときがあるのでまだまだ不安定なウイルス対応ではある
どちらにしても今後も更なる対応速度の改善してくれるならいうことはない

214 :名無しさん@お腹いっぱい。:2009/05/27(水) 17:36:53
skywavsv(中国のアカウントクラック系サイト)の中身が変わってました
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=351
infected

検体入手元
www■skywebsv■com/play/
( www■everydaygame■net/flash05849/経由)

Ms08011,Ms08053に関しては中身が同一で未完成のようだったので
MsAccess.htmとJoewm.htmの2ファイルのみです

Joewm.htm (25/40)
https://www.virustotal.com/analisis/0de5f96e1dca67dea53e49cbd65ea8981e01a90eff177b0441bb24405743bb3d-1241555915

MsAccess.htm (18/40)
https://www.virustotal.com/jp/analisis/366314daf60df9762b80f5e7a819b3f5bd675d4e6236aa2997e74bae186fffaa-1243408584

HEURだったMsAccessのほうのみAvira送付済みです。

215 :名無しさん@お腹いっぱい。:2009/05/27(水) 18:12:49
>>205
McAfeeに提出させて頂きました

216 :名無しさん@お腹いっぱい。:2009/05/27(水) 20:44:21
Rising 2009 21.40.22 (21.31.22.00)
>>139
pdf.pdf: Hack.Exploit.Win32.PDF.jsz
two.pdf: Hack.Exploit.Win32.PDF.jta
1+2=3/8
>>151
EXP_pdf.pdf: Hack.Exploit.Win32.PDF.jsy
load3.php: Trojan.Win32.Nodef.jmp
load4.php: Trojan.Win32.Nodef.jnc
4+3=7/27
>>166
175/197
>>183
3\file.exe.exe: Trojan.Win32.Nodef.jmp
1/12
>>205
Suspicious:Packer.Win32.UnkPacker.b
0(+2)/2
>>214
joewn.htm: Hack.Exploit.Script.JS.Bucode.m
MsAccess.htm: Hack.Exploit.Script.JS.OESnap.a
2/2

217 :88:2009/05/27(水) 21:32:43
対象検体>>87

カスペ2009 18:48:00
今更感はあるけれど、代表的なファイルを提出した結果

5points.htm_, abh_category2_1.php, akitachuo-top.index.html_, bloomsbury.htm_, business.html_ - Trojan-Downloader.JS.Gumblar.a

These files are already detected. Please update your antivirus bases.

205/206
一応報告。


218 :61:2009/05/27(水) 21:32:46
>>151,159,174,179
AVIRA最終報告。ちなみに、数が多すぎて、自分でもどれがどれだか不明になったんで、結果を全部載せます。orz

AVIRA9 7.01.04.26 - 27個、下記の通り全黒でclose
 1.exe - TR/PSW.Prefsap.A
 access.exe - ADSPY/MediaPass.21
 e98m.pdf - EXP/Pidief.awp
 EXP_pdf.pdf - HTML/Crypted.Gen
 file.exe - WORM/Autorun.ajoi
 file2.exe - TR/Spy.ZBot.uty
 install.exe - TR/Dropper.Gen
 Install_11-1.exe - TR/FraudPack.oiu
 install2.exe - SPR/Tool.Obfuscator.EW.2
 install3.exe TR/TDss.aeii
 ldr.exe - TR/Crypt.ZPACK.Gen
 load.exe - TR/ATRAPS.Gen
 load.php - TR/Crypt.CFI.Gen
 load2.exe - WORM/Joleee.bot
 load2.php - TR/Small.byt
 load3.php - TR/Inject.abau
 load4.php - DR/Delphi.Gen
 loadhlp.exe - TR/Drop.Agent.apvd
 m.dll - TR/Fakealert.astfe
 pdf.php - EXP/Pidief.awe
 readme.pdf - EXP/Pidief.bf
 setup.exe - TR/Downloader.Gen
 softwarefortubeview.45013.exe - TR/Dldr.Agent.bzxx
 spl.php - HTML/Crypted.Gen
 spl2.php - HTML/Crypted.Gen
 sta.exe - TR/Crypt.XPACK.Gen
 z.exe - TR/Spy.ZBot.urw
また、最近のものについて、皆様提出ご苦労様です。 AVIRAとKaspersky複数居るので、他のベンダー試してみようかなぁ...

219 :61:2009/05/27(水) 21:45:56
>>166,177-178
AVIRA9 7.01.04.26 - 未検出14個の結果。
 32.exe - TR/VB.pzh
 a8.exe - SPR/Hacktool.28501
 c.js - TR/Dldr.IFrame.bab
 go.exe - 白
 maya4.0.exe - 白
 qvodsetupplus.exe - TR/Spy.5232840
 ead.php - 白
 setup(1).exe - 解析中
 show_ads.js - TR/Dldr.IFrame.baa
 u89.exe - 白
 xxxdizhi.exe - 白

重複=1( u89(1).exe ),黒=5,白=5,解析中=1,未提出=2( xx(1).htm,xx(2).htm )

220 :61:2009/05/27(水) 21:59:12
>>131-132
AVIRA9 7.01.04.26 - 未検出3個の結果。
 bb021908.exe - DR/VB.psi
 softwarefortubeview.45027.exe - TR/Dldr.FraudLoad.Elf.6
 load.php - TR/Inject.aazv

ということで、>131も全黒でclose. 多分、これで未報告分終わりのはず。

221 :名無しさん@お腹いっぱい。:2009/05/27(水) 22:03:46
>>214
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

222 :名無しさん@お腹いっぱい。:2009/05/27(水) 22:48:25
>>205
NortonInternetSecurity2009

Trojan Horse:uptv0023074.rar

Nortonはこれで>>205の検体は検出完了

223 :こなた ◆KONATAzZoM :2009/05/27(水) 23:00:10
お疲れ様です。
生キャラメル作ってたら出遅れました…

F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-20
    * F-Secure Hydra: 3.08.9080, 2009-05-22
:Detection Pattern
    * Virus: 2009-05-26_10
    * SpyWare:2009-05-26_10

>>196に追加
0347\Install_11-1.exe -> Trojan.FakeAV.NA [検疫可]
[残件] 0345:1件 / 0347:10件

>>205 [検出:2/2]
0350\uptv0023074.rar\faisnqiq.exe ->  Gen:Trojan.Heur.Hype.2010EFEFEF
0350\faisnqiq.exe -> Gen:Trojan.Heur.Hype.2010EFEFEF
ヒューリスティックでもSAS登録必要でしょうか?

>>214 [検出:2/2]
0351\090527\joewn.htm -> Exploit.HTML.Agent.AO
0351\090527\MsAccess.htm -> Trojan.VBS.Downloader.B

以上です。

224 :61:2009/05/27(水) 23:37:38
>>131,133
Kaspersky最終,未検出分4個は下記判定。
 bb021908.exe - Trojan.Win32.VB.psi
 SudoPlanet_setup.exe - 白
 readme.pdf - Trojan.JS.Agent.age
 load.php - Trojan.Win32.Inject.aazv

>131は、黒=事前4+事後3=7,白=1でclose.

>>223
ヒューリスティック検出は、ソフトが『 怪しいの見つけた 』と言っている段階なので、確証(シグネチャ)持ってないから
どのベンダーであっても積極的に出した方が良いです。(大体の場合、シグネチャができると、検出名が正式名称に置き換わります。)

私もヒューリスティック検出は優先して提出してます。(AVIRAもKasperskyも両方とも)

225 :名無しさん@お腹いっぱい。:2009/05/27(水) 23:44:30
>>224
NortonもSudoPlanet_setup.exeだけは未だに検出せず
SymantecもSudoPlanet_setup.exeは白判定なのかな?
Nortonは事前1+事後6で現時点では7個検出できます


>私もヒューリスティック検出は優先して提出してます。(AVIRAもKasperskyも両方とも)

ベンダーによってはなかなかシグネチャに変わってくれないのもありますね・・・
SymantecとNOD32がそう

226 :61:2009/05/28(木) 00:28:08
>>225
マルウエァの判定はベンダーのポリシーに左右されるので何とも言えませんが、私としては黒とは言い切れない灰色、という感じです。
今VT死んでるので、VirScanで現状で下記。
 http://www.virscan.org/report/229798c034ab742bb4e5b0bf368769c5.html (8/38)

私の方でのダウンロード元の記録からすると、コイツは
 http://www.symantec.com/ja/jp/security_response/writeup.jsp?docid=2008-042213-4659-99&tabid=2
の改変版だと思う(なんせ、そのページにあるそのサイトからダウンロードした)ので、評価項目の中にある

> このプログラムは Trojan.Skintrim のコピーをコンピュータに投下する可能性があります。

が気になります。 まあ、現状では“悪意のないAdware”という判断で黒にしていないのかもしれません。

227 :名無しさん@お腹いっぱい。:2009/05/28(木) 06:19:46
>>8
|●BitDefender
|送付先1:
|e-mail:support☆bitdefender.com
|ttp://beta.bitdefender.com/site/KnowledgeBase/consumer/
|Fight against malware → Improving Detection →What to do when BitDefender does not detect malware

|送付先2:
|e-mail:virus_submission☆bitdefender.com(2MBまで?)
|ttp://forum.bitdefender.com/index.php?showtopic=3066

5/27付のメールで、検体提出は、virus_submission☆bitdefender.com の方にしてくれというメールが届いたので
送付先1は抹消の方向でお願いします。 > 次スレ立てる人

228 :名無しさん@お腹いっぱい。:2009/05/28(木) 10:18:27
>>214
入手元から拾ってみました。

=== AntiVir Detection Name ===
flash05849.htm : HTML/IFrame.800 HTML script virus
Joewm.htm : JS/Dldr.Small.CR.2 Java script virus
Ms06014.htm : HTML/Rce.Gen HTML script virus
Ms08011.htm : - Not Detected -
Ms08053.htm : - Not Detected -
MsAccess.htm : HEUR/HTML.Malware suspicious code
play.htm : HTML/IFrame.800 HTML script virus
Real.htm : HTML/Shellcode.Gen HTML script virus
server.exe : TR/Crypt.ZPACK.Gen Trojan

229 :名無しさん@お腹いっぱい。:2009/05/28(木) 21:52:00
>>214で提出したMsAccess.htmについてAvira回答

MsAccess.htm: JS/Dldr.Agent.ldy

提出1件なのでこれで終了です

230 :61:2009/05/28(木) 22:01:18
>>219
AVIRA 1個だけ解析の終わってなかった分が終了。
 setup(1).exe - DR/Agent.bab

これでclose.

231 :名無しさん@お腹いっぱい。:2009/05/28(木) 23:10:09
カスペ2009 20:38

(1) 対象検体:>>183 (>>187.197)
9+事後検出1=10/12, 白2(1,5)でFA
Detected: Trojan.Win32.Obfuscated.afyc tane0349\Malware\a\install1.exe

(2) 対象検体:>>182(>>187)
追加検出1。やや遅れ気味。orz
32.exe - Trojan.Win32.VB.pzh
180+事後検出6+1=187/197 、白5, 回答待ち5

白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm
回答待ち:qvodsetupplus.exe,  go.exe,  read.php,  xx(1).htm  xx(2).htm


(3)> >205 2/2(>>208さんの報告の通り、Heur.Invader→シグネチャ)

(4) >>214 2/2 (VT通り)


232 :61:2009/05/28(木) 23:38:38
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=352
 DL virus/解凍 virus

【中身】6個入っています。
1.exe
 http://www.virustotal.com/jp/analisis/a6cefd33ce872138d9194abf093d36043db1ec9b7d60430919fbe827d07b900d-1243518649 (17/40)
antivirus-pro.exe
 http://www.virustotal.com/jp/analisis/a5e6c22fa5c25a94ffd0a4a9ed09d6914f20f4f064c357a1ba96dd4748cfcc87-1243520543 (3/39)
file.exe
 http://www.virustotal.com/jp/analisis/ba005dfabbb2079a4577a68e89c70cd9c1facf30836b226f2c64e959301b040c-1243519483 (9/39)
fxtoolbar.exe
 http://www.virustotal.com/jp/analisis/9bfb5f16d0c50c38b618a9d85d52f4510111811e0883c088c38ecb366d72bc82-1243518387 (15/39)
softwarefortubeview.45044.exe
 http://www.virustotal.com/jp/analisis/1ece2ab0b32431b88416804c48fd0ae717d56288a9019b18a6edc2987badd8cf-1243517690 (4/40)
softwarefortubeview.45044-2.exe
 http://www.virustotal.com/jp/analisis/3794798f5eeb53dd71001e4454f006c871eb7c9085e1bf5336efa07b70d7b38d-1243519000 (4/36)

233 :61:2009/05/28(木) 23:45:23
>>232
AVIRA9 7.01.04.32
 1.exe - TR/Crypt.FKM.Gen
 antivirus-pro.exe - (UNDER ANALYSIS)
 file.exe - BDS/Small.UK
 fxtoolbar.exe - (黒,次回アップデートで対応)
 softwarefortubeview.45044.exe - TR/Crypt.ZPACK.Gen
 softwarefortubeview.45044-2.exe - TR/Crypt.ZPACK.Gen

Kaspersky 2009/05/28 22:33:00
 1.exe -
 antivirus-pro.exe -
 file.exe - Backdoor.Win32.Small.uk
 fxtoolbar.exe - not-a-virus:AdWare.Win32.Mostofate.j
 softwarefortubeview.45044.exe -
 softwarefortubeview.45044-2.exe -

AVIRAとKasperskyの未検出分は提出済み。

234 :名無しさん@お腹いっぱい。:2009/05/29(金) 00:07:46
>>232
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

235 :名無しさん@お腹いっぱい。:2009/05/29(金) 00:41:32
>>232

Panda、avast!、BitDefender、ESETに提出完了

236 :61:2009/05/29(金) 07:23:42
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=353
 DL virus/解凍 virus

【中身】7個入っています。
0.pdf
 http://www.virustotal.com/jp/analisis/400022caa022ab94ee215079411973157421444ccf05c117d3d2593e320265c0-1243523972 (14/39)
0.swf
 http://www.virustotal.com/jp/analisis/67ec13a5cd1c66e369782ee160435953ddade9b65de972d254f387b32f72f7a3-1243524204 (9/40)
install.exe
 http://www.virustotal.com/jp/analisis/419866ff2f2a9608a36db0fb8eaac61a8554548b33baaee327b35c1c74f51bd1-1243523186 (7/40)
install-2.exe
 http://www.virustotal.com/jp/analisis/d5659b06b9d943985dc40fe1464e8d1e2ef62c074ea32354dc4444ed4f9970f7-1243523726 (7/40)
install-3.exe
 http://www.virustotal.com/jp/analisis/ef13dc5af51776c1c74dce36a7fe71e86e308e984de84c5f82c4f000fa1bd746-1243525556 (6/40)
softwarefortubeview.40028.exe
 http://www.virustotal.com/jp/analisis/c4834bb3bbd252c063a077b9e849d0752db91aefc517c1ecb3f676aa1161aa3a-1243526161 (4/40)
softwarefortubeview.40028-2.exe
 http://www.virustotal.com/jp/analisis/64bc384bef2111aebcdcb81191a066f13368f2b716ed825960a14c1230713af5-1243526616(4/40)

237 :61:2009/05/29(金) 07:28:27
>>236
AVIRA9 7.01.04.32
 0.pdf - HEUR/HTML.Malware (EXP/Pidief.KK)
 0.swf - (SWF/Drop.Agent.E)
 install.exe - TR/Dropper.Gen
 install-2.exe - TR/Dropper.Gen
 install-3.exe - TR/Dropper.Gen
 softwarefortubeview.40028.exe - TR/Crypt.ZPACK.Gen
 softwarefortubeview.40028-2.exe - TR/Crypt.ZPACK.Gen

Kaspersky 2009/05/29 6:12:00
 0.pdf - Exploit.JS.Pdfka.kj
 0.swf - Exploit.SWF.Agent.ar
 install.exe -
 install-2.exe -
 install-3.exe -
 softwarefortubeview.40028.exe - Trojan-Downloader.Win32.FraudLoad.emq
 softwarefortubeview.40028-2.exe - Trojan-Downloader.Win32.FraudLoad.emq

AVIRAとKasperskyの未検出分は提出済み。

238 :名無しさん@お腹いっぱい。:2009/05/29(金) 07:36:39
>>236


SymantecとPandaへ提出完了

239 :名無しさん@お腹いっぱい。:2009/05/29(金) 07:39:40
ちなみにNortonの検出数は7/8でした

240 :名無しさん@お腹いっぱい。:2009/05/29(金) 07:40:11
スマソ、6/7だったorz

241 :名無しさん@お腹いっぱい。:2009/05/29(金) 13:14:05
>>232,>>236
各社に提出完了。

とうとうキングソフトからも出しすぎだこいつ…と目を付けられたらしく、新種でなかったら回答なしねってメールきたw

242 :名無しさん@お腹いっぱい。:2009/05/29(金) 13:35:55
カスペ2009 12:34:00 事後対応状況

>>232 (tane0352) d
2+3=5/6、回答待ち1 (antivirus-pro.exe)
Detected  Trojan program Trojan.Win32.Agent.cjoh   1.exe
Detected  Trojan program Trojan-Downloader.Win32.FraudLoad.emq    softwarefortubeview.40028.exe    , softwarefortubeview.40028-2.exe   



>>237 (tane0353) d
4+3=7/7でFA
Detected  Trojan program Trojan-Dropper.Win32.FrauDrop.bm   install-2.exe,   nstall-3.exe,   install.exe

243 :名無しさん@お腹いっぱい。:2009/05/29(金) 19:59:00
対象検体:>>166(>182,187,231)

180+事後検出8=188/197 、白6, 回答待ち3

qvodsetupplus.exe - Trojan-Dropper.Win32.Agent.arvb

白:maya4.0.exe, u89.exe, av1.0.exe, u89(1).exe, xx(3).htm, go.exe,
回答待ち:read.php,  xx(1).htm  xx(2).htm

244 :243:2009/05/29(金) 19:59:48
>>243
カスペからの返事だった。

245 :名無しさん@お腹いっぱい。:2009/05/29(金) 22:43:22
Rising 2009 21.40.40 (21.31.40.00)
>>232>>236
スルー
検体は今朝提出済み

246 :61:2009/05/29(金) 23:23:31
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=354
 DL virus/解凍 virus

【中身】9個入っています。
file.exe
 http://www.virustotal.com/jp/analisis/408be6d7b34f3abf3d66ea9cd00fc04110985a15a0eb9b92bdcbbaa2f2831a07-1243604054 (12/40)
file1.exe
 http://www.virustotal.com/jp/analisis/a997c0f537a79555511a147bc8aed565456ae47bf27740a659fe892e06036d5a-1243602162 (16/40)
install.exe
 http://www.virustotal.com/jp/analisis/2a72656142e364e2271abcd03ddafc8d3706d367775f65587504247557f0a939-1243600666 (14/40)
Install_2009-1.exe
 http://www.virustotal.com/jp/analisis/9cf8f101ad4fe8be9d944151290771287a839420eb426333a8ef528db4dd745e-1243603528 (2/40)
install-1384.exe
 http://www.virustotal.com/jp/analisis/942456c2dc090238c8ebf246ea360c506636d914d0eaa3820d1c64a39a8fe029-1243605299 (9/40)
install2.exe
 http://www.virustotal.com/jp/analisis/4edfd8099b4d48848bc9aed5130ead886ae8cbf2d44dd5c7b8db4b43805ff601-1243605639 (6/39)
installer_70100.exe
 http://www.virustotal.com/jp/analisis/274aa8c847a1d6878051176bc00d4bf9be077d7df17aef1fb18e6ab4e6c064b1-1243606162 (17/40)
kkb.exe
 http://www.virustotal.com/jp/analisis/408b1f5bc398ed87b5646657312b651100300b6ddaa0515e2ecd71522c5759b4-1243603071 (10/39)
setup.exe
 http://www.virustotal.com/jp/analisis/aec2c0dd81d36680c722b4b35488e6dd2e491b3cbcb99195df92f76731d65598-1243601099 (17/39)

247 :61:2009/05/29(金) 23:30:45
>>246
AVIRA9 7.01.04.37
 file.exe - (TR/Agent.fxa)
 file1.exe - TR/Crypt.ZPACK.Gen
 install.exe - (UNDER ANALYSIS)
 Install_2009-1.exe - (UNDER ANALYSIS)
 install-1384.exe - SPR/Fraud.PrivC.2
 install2.exe - TR/Dropper.Gen
 installer_70100.exe - TR/Dldr.Renos.bao.1
 kkb.exe - TR/Crypt.CFI.Gen
 setup.exe - TR/Dldr.FraudLoad.emr

検出=6,データベース更新待ち=1,解析中=2

AVIRA 未検出分は提出済み。

248 :61:2009/05/29(金) 23:36:21
>>246
Kaspersky 2009/05/29 22:03:00
 file.exe -
 file1.exe - Trojan-Spy.Win32.Zbot.gen
 install.exe -
 Install_2009-1.exe - Packed.Win32.PolyCrypt.d
 install-1384.exe -
 install2.exe -
 installer_70100.exe - not-a-virus:FraudTool.Win32.AntivirusPlus.hh
 kkb.exe -
 setup.exe - Trojan-Downloader.Win32.FraudLoad.emr

検出=4,未検出=5,未検出分は提出済み

249 :61:2009/05/29(金) 23:48:41
>>233
AVIRA未検出分解答
 antivirus-pro.exe - 白
 fxtoolbar.exe - DR/Eztracks.vjf

Kaspersky未検出分(解答無いけど検出状況),>242さんの通り。
 1.exe - Trojan.Win32.Agent.cjoh
 antivirus-pro.exe - 白?検出しない
 softwarefortubeview.45044.exe - Trojan-Downloader.Win32.FraudLoad.emq
 softwarefortubeview.45044-2.exe - Trojan-Downloader.Win32.FraudLoad.emq

む、antivirus-pro.exeは FakeAVと思ったのですが白でしたか...

>>236
AVIRAは検出できるようになってます。

Kasperskyは >242さんの通り。乙です。 では ノシ

250 :名無しさん@お腹いっぱい。:2009/05/29(金) 23:57:37
>>246
Rising 2009
file1.exe: Backdoor.Win32.Ntos.bv
1/9
検体提出中

251 :名無しさん@お腹いっぱい。:2009/05/30(土) 00:41:13
>>246
McAfee (Active Protection 無効)6/9
未検出分(install2,Install_2009-1,kkb)をMcAfeeに提出させて頂きました。

252 :61:2009/05/30(土) 09:47:29
>>248
Kaspersky 2009/05/30 7:53:00 未検出5個分 確認 - 黒4追加
 file.exe - Packed.Win32.Tdss.m
 install.exe - Packed.Win32.Tdss.m
 install-1384.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.cz
 install2.exe - Trojan-Downloader.Win32.FraudLoad.emu
 kkb.exe -

kkb.exe VT現状
http://www.virustotal.com/jp/analisis/408b1f5bc398ed87b5646657312b651100300b6ddaa0515e2ecd71522c5759b4-1243643864 (13/40) +3

数日前からVTが過負荷でおかしくなってきてます。ファイル連投によるDoS攻撃? 統計情報見ても未感染ファイル率が高いし...
http://www.virustotal.com/jp/estadisticas.html

>246に記載したVTの解析結果は全部ロストされたので、検体が全ベンダーに渡っていない可能性がありますからご注意下さい。

253 :名無しさん@お腹いっぱい。:2009/05/30(土) 13:54:23
>>236
>>246
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

254 :名無しさん@お腹いっぱい。:2009/05/30(土) 16:55:17
>>246
kingsoft 2009.5.29.18
全スルー
提出済みです

255 :こなた ◆KONATAzZoM :2009/05/30(土) 17:04:40
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-28
    * F-Secure Hydra: 3.08.9080, 2009-05-28
:Detection Pattern
    * Virus: 2009-05-29_09
    * SpyWare: 2009-05-29_09

>>196の続報
[検出結果:9/10]
[追加]
0347\1.exe -> Trojan.Generic.CJ.K [検疫可]
0347\install2.exe -> Gen:Trojan.Heur.TDSS.20708FCFCF [検疫可]
0347\install3.exe -> Gen:Trojan.Heur.TDSS.20708FCFCF [検疫可]
0347\ldr.exe -> Trojan.Generic.CJ.BJ [検疫可]
0347\load.php Trojan.Generic.CJ.AA-> [検疫可]
0347\load3.php -> Trojan.Generic.CJ.X [検疫可]
0347\m.dll -> Trojan.Generic.CJ.DH [検疫可]
0347\load2.php -> Trojan.Generic.CJ.CA [検疫可]
0347\softwarefortubeview.45013.exe -> Trojan.Downloader.FakeAV.BZ [検疫可]
[白判定]
0347\load2.exe (Gen:Trojan.Heur.Hype.2014EBEBEB)

[残件]
0345:1件(readme.pdf)
0347:1件(access.exe)

256 :242:2009/05/30(土) 17:07:46
カスペからの返事
対象検体:>>232 (>>233,242,249)(tane0352)

2+3=5/6、白1 (antivirus-pro.exe) でFA

Hello,

antivirus-pro.exe_

No malicious software was found in the attached file.

白確定

257 :こなた ◆KONATAzZoM :2009/05/30(土) 18:00:30
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-28
    * F-Secure Hydra: 3.08.9080, 2009-05-28
:Detection Pattern
    * Virus: 2009-05-29_09
    * SpyWare: 2009-05-29_09

>>232
[検出結果:2/6]
0352\1.exe -> Gen:Trojan.Heur.3065153434 [検疫可]
0352\file.exe -> Trojan.Generic.CJ.HM [検疫可]

>>236
[検出結果:2/7]
0353\0.pdf -> Exploit.PDF-JS.Gen [検疫可]
0353\0.swf -> Exploit.SWF.Gen [検疫可]

>>246
[検出結果:6/9]
0354\file.exe -> Gen:Trojan.Heur.Hype.1040BFBFB [検疫可]
0354\install.exe -> Gen:Trojan.Heur.Hype.20708F8F8 [検疫可]
0354\file1.exe -> Trojan.Spy.Zbot.SO [検疫可]
0354\installer_70100.exe -> Gen:Trojan.Heur.8202FDA8D9 [検疫可]
0354\setup.exe -> Gen:Trojan.Heur.8202FDA8D9 [検疫可]
0354\kkb.exe -> Gen:Trojan.Heur.B000FFEA6B [検疫可]

それぞれ、未検出分をSASへ登録しました。

258 :名無しさん@お腹いっぱい。:2009/05/30(土) 18:04:45
FISTPのクラウド機能で検体集めたものがそのままBitDefenderに流れてくれるのか?というのが興味深いけど試す環境がないので止めときます・・・
あとBitDefender自体にもクラウドベースをやるみたいだから上記のF-Secureのクラウド機能との相乗効果に期待したい

259 :名無しさん@お腹いっぱい。:2009/05/30(土) 18:29:14
>>246
Pandaへ検体提出完了

260 :名無しさん@お腹いっぱい。:2009/05/30(土) 22:42:33
対象検体:>>246

>>248,252 d

kkb.exe_

No malicious code was found in this file.

4+事後検出4=8/9, 白1(kkb.exe)でFA




261 :名無しさん@お腹いっぱい。:2009/05/31(日) 01:37:47
>>247
AVIRAさんへ

"Tr/Crypt.***.Gen" … パッカー検知(トレンドマイクロのPacker.Generic.***などに相当)なども余力があるなら、ベンダーへ提出希望。
確かに、「Crypt」は、亜種の可能性が高いが、パッカー形式だけで判定してコードを全く解析していないので、白黒の判断基準としてあまりにも弱い。

※encrypted…パッカーによって暗号化された、難読化された

262 :名無しさん@お腹いっぱい。:2009/05/31(日) 04:16:01
F-Secure SASからの返信のうち6通くらいが↓だった。
(前略)
>Unfortunately we were unable to locate your email address from our list of registered customer addresses.
>
>If you are customer of ours, please reply back to this address and provide a detailed description of the problem.
>
>If you're not our customer, thank you again for your sample submission.
>In the future, you can also submit samples to us using the "vsamples@f-secure.com" e-mail address.
>Samples that are sent to this address will be added to our sample collection automatically.
>Please note that e-mails that are sent to this address will not get a reply.

体験版を使っている。購入者じゃないとSAS使えないの?vsamples@f-secure.comに出すと返事来ないのは何故?
といった感じの質問を送ったところ、以下の返事がきた。

>Hello,
>SAS is usable but we prefer it to be used when there is an active malware
>on the system and the client needs urgent help. For larger and frequent submissions
>we'd prefer the vsamples@f-secure.com since it won't raise the priority of the
>samples automatically, thus helping us serve the clients that have an acute need better.
>
>Please submit the files to vsamples@f-secure.com. We will receive them and we
>will generate detections for them in due time.


基本的に vsamples@f-secure.com に送り、情報が必要な時だけSASを使うようにしたほうがいいのかしら

263 :名無しさん@お腹いっぱい。:2009/05/31(日) 04:42:48
パターン ファイルのバージョン:
 ・ウィルス: 2009-05-30_01
 ・スパイウェア: 2009-05-29_11
スキャン エンジン:
 ・F-Secure AVP: 7.00.171, 2009-05-29
 ・F-Secure Hydra: 3.08.9080, 2009-05-30

>>131,>>199
[7/8:白(1)] 追加+4
\bb021908.exe\dpcxool64.sys : Trojan.Win32.VB.psi
\bb021908.exe\spopdkc.exe : Trojan.Win32.Delf.mso
\bb021908.exe\tpsaxyd.exe : Trojan.Win32.Delf.mso
readme.pdf : Trojan.JS.Agent.age

白判定 : SudoPlanet_setup.exe

>>139,>>200
[8/8] 追加+2
install.exe : Trojan-Downloader.Win32.FraudLoad.eln
pdf.pdf : Exploit.Win32.Pidief.avw

>>151,>>201
[26/27] 追加+19
1.exe : Trojan:W32/Agent.KPJ
e98m.pdf : Exploit.Win32.Pidief.awp
EXP_pdf.pdf : Exploit.Win32.Pidief.awf
file.exe : Worm.Win32.AutoRun.ajoi
file2.exe : Trojan-Spy.Win32.Zbot.uty
install2.exe : Trojan:W32/InternetAntivirus.AV
install3.exe : Trojan:W32/InternetAntivirus.AW
(続く)

264 :名無しさん@お腹いっぱい。:2009/05/31(日) 04:44:25
F-Secure Internet Security 2009
>>263続き
Install_11-1.exe : Rogue:W32/XPAntivirus.GQA
ldr.exe : Trojan:W32/Zbot.OTV
load.php : Trojan:W32/Agent.KPI
load2.exe : Email-Worm.Win32.Joleee.bot
load2.php : Trojan-Downloader:W32/Bredolab.G
load3.php : Trojan-Downloader:W32/Bredolab.F
m.dll : Trojan:W32/FakeAlert.FJ
pdf.php : Exploit.Win32.Pidief.awe
softwarefortubeview.45013.exe : Trojan:W32/Agent.KPK
spl.php : Exploit.Win32.Pidief.awo
spl2.php : Exploit.Win32.Pidief.awn
sta.exe : Trojan.Win32.Obfuscated.afvj

未回答 : access.exe


>>166,>>202
[187/336] 追加+32
白判定 : go.exe, maya4.0.exe
未検出、未回答 : read.php, u89(1).exe, u89.exe, xx(1).htm, xx(2).htm, xx(3).htm

265 :名無しさん@お腹いっぱい。:2009/05/31(日) 04:52:26
F-Secure Internet Security 2009 定義>>263
>>183,>>203
[11/12] 追加+7
\1\rensuz.exe : Trojan:W32/BHO.EXG
\3\file.exe.exe : Trojan-Downloader:W32/Bredolab.F
\4\dfff.prod.exe : Trojan-Downloader.Win32.Agent.cajp
\7\file.exe : Trojan-Spy.Win32.Zbot.uty
\8\bot.exe : Trojan-Spy.Win32.Zbot.uyu
\9\load.exe : ail-Worm.Win32.Joleee.bpc
\a\install1.exe : Trojan:W32/Agent.KQC
\b\malay.exe : Trojan.Win32.BHO.tbl

未検出、未回答 : \5\setup.exe

266 :名無しさん@お腹いっぱい。:2009/05/31(日) 05:21:25
F-Secure Internet Security 2009 定義>>263
>>214
[2/2]
\090527\joewn.htm : Exploit.JS.Agent.aev
\090527\MsAccess.htm : Trojan-Downloader.JS.Agent.dwa


>>232
[5/6]
1.exe : Trojan.Win32.Agent.cjoh
file.exe : Backdoor.Win32.Small.uk
fxtoolbar.exe : AdWare.Win32.Mostofate
softwarefortubeview.45044-2.exe : Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.45044.exe : Trojan-Downloader.Win32.FraudLoad.emq

未検出 : antivirus-pro.exe


>>236
[7/7]
0.pdf : Exploit:JS/Pidief.ET
0.swf : Trojan-Downloader:W32/Swif.F
install.exe : Trojan-Dropper.Win32.FrauDrop.bm
install-2.exe : Trojan-Dropper.Win32.FrauDrop.bm
install-3.exe : Trojan-Dropper.Win32.FrauDrop.bm
softwarefortubeview.40028.exe : Trojan-Downloader.Win32.FraudLoad.emq
softwarefortubeview.40028-2.exe : Trojan-Downloader.Win32.FraudLoad.emq

267 :名無しさん@お腹いっぱい。:2009/05/31(日) 05:40:21
F-Secure Internet Security 2009 定義>>263

>>246
[4/9]
file1.exe : Trojan-Spy.Win32.Zbot.gen
Install_2009-1.exe : Packed.Win32.PolyCrypt.d
installer_70100.exe : Trojan-Downloader:W32/Renos.gen!J
setup.exe : Trojan-Downloader:W32/Renos.gen!J

未検出 : file.exe, install.exe, install-1384.exe, install2.exe, kkb.exe

>>252
VirusTotal検出するのに検出しないとは、と思ったら。
http://www.f-secure.co.jp/v-descs/v-descs3/Suspicious_W32_MalwareGemini.htm
http://www.f-secure.com/v-descs/suspicious_w32_malware!gemini.shtml
DeepGuardが有効なら、システムアクセスが拒否され、起動がブロックされる。

268 :61:2009/05/31(日) 12:09:30
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=355
 DL virus/解凍 virus

【中身】3個入っています。
FakeText_Filekiller.exe
 http://www.virustotal.com/jp/analisis/74ac63f8be7d9eece4c6d46c4c14d5db99be1abb4a6d205a990f17c7f41572d5-1243669540 (8/40)
load.php
 http://www.virustotal.com/jp/analisis/e51515a30bb1c6ad7b344c0096afca73a949d3f0e3ecbf9f03ab0479780bb0a5-1243670266 (10/40) - VT側ロスト
registr.exe
 http://www.virustotal.com/jp/analisis/b0494be1eb6fab21a112794b2a457a28f7a4d7774e27d3620e5af12502e89035-1243670459 (18/40)

AVIRAとKasperskyに未検出分を提出済み

なお、ただ今またも全鯖規制巻き込まれ中に付き、しばらく書き込めません。
>261さんの件は後日返事いたします。

269 :名無しさん@お腹いっぱい。:2009/05/31(日) 14:19:48
>>268
各社一通り提出完了。

270 :名無しさん@お腹いっぱい。:2009/05/31(日) 14:44:38
>>268
カスペ
FakeText_Filekiller.exe_ - Trojan.Win32.KillFiles.arp
New malicious software

load.php - Trojan-Downloader.Win32.Small.akzq,
registr.exe_ - Trojan.Win32.Rabbit.bz
These files are already detected.

271 :名無しさん@お腹いっぱい。:2009/05/31(日) 14:49:09
>>268
McAfee
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
faketext_filekiller.|inconclusive | | |no
load.php |new detection |generic.dx!dt |Trojan |yes
registr.exe |new detection |generic downloader.x!ch |Trojan |yes

Symantec
filename: FakeText_Filekiller.exe
result: See the developer notes -> 手動解析へ

filename: registr.exe
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html

filename: load.php
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html


272 :こなた ◆KONATAzZoM :2009/05/31(日) 17:35:58
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-29
    * F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
    * Virus: 2009-05-29_09
    * SpyWare: 2009-05-29_09

>>268
[検出結果:0/3]
SASへ登録しました。
SASでの検出は以下のとおりです。
------------------------------------------------------------
0355\FakeText_Filekiller.exe:W32/Malware
0355\load.php:[SUSPICIOUS] NO DETECTION
0355\registr.exe:Trojan.Win32.Rabbit.bz
------------------------------------------------------------
VTと同じですね…。load.phpだけアヤシイですが。

273 :名無しさん@お腹いっぱい。:2009/05/31(日) 19:26:41
>>246 Symantec返答。
install-1384.exeをばらした、agent.exeとpc.exeも入れたのでファイルの個数が2個増えてます。
中身は検知するけど、外側の方は手動解析なんですねぇ。

filename: install.exe
result: This file is detected as Packed.Generic.200.

filename: agent.exe
filename: pc.exe
result: This file is detected as PrivacyCenter.

filename: setup.exe
result: This file is detected as AntiVirus2008.

filename: installer_70100.exe
result: This file is detected as XPAntivirus.

filename: Install_2009-1.exe
result: This file is detected as Downloader.Misleadapp.


filename: file.exe
result: This file is detected as Packed.Generic.200.

filename: install2.exe
filename: kkb.exe
filename: file1.exe
filename: install-1384.exe
result: See the developer notes

filename: JS_Gamburl.gen!A.7z(おまけで送ったGENOの呼び出しhtmlセット)
result: See the developer notes

274 :名無しさん@お腹いっぱい。:2009/05/31(日) 19:45:33
>>268
トレンドマイクロ返答

We are glad to inform you that the detection for TSPY_AGENT.ASH is now available for
downloading using CPR 6.158.33.

1つしか名前来てないので、他のが既知なのか、これから対応なのかは不明ですが…。

275 :名無しさん@お腹いっぱい。:2009/05/31(日) 19:59:22
>>273
file1.exe
install-1384.exe
は既に検知済みになってます

276 :名無しさん@お腹いっぱい。:2009/05/31(日) 21:17:32
Rising 2009 21.40.63 (21.31.63.00)
>>61
softwarefortubeview.40000.exe: Trojan.DL.Win32.Undef.epl
2+1=3/4
>>96
install2.exe: Trojan.Win32.FakeAV.oh
5+1=6/8
>>151
install.exe: Trojan.Win32.FakeAV.oh
7+1=8/27
>>232
1.exe>>Aspack212r: Trojan.PSW.Win32.QQPass.ejf
softwarefortubeview.45044-2.exe: AdWare.Win32.Undef.ewm
softwarefortubeview.45044.exe: AdWare.Win32.Undef.ewm
3/6
>>236
install-2.exe: Trojan.Win32.FakeAV.oh
install-3.exe: Trojan.Win32.FakeAV.oh
install.exe: Trojan.Win32.FakeAV.oh
softwarefortubeview.40028-2.exe: AdWare.Win32.Undef.ewm
softwarefortubeview.40028.exe: AdWare.Win32.Undef.ewm
5/7
>>246
install2.exe: Trojan.Win32.FakeAV.oh
1+1=2/9
>>268
スルー

277 :61:2009/06/01(月) 00:59:06
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=356
 DL virus/解凍 virus

【中身】 15個入っています。
AVIRAとKasperskyに未検出分を提出済み。偽codecの未検出ベンダーが多いので全部入れたため、ファイルが大きいです。

書き込み代行を依頼しているので、詳細省略します。スミマセン。
(行数制限に引っかかると、転載しれくれる人の迷惑になってしまうので)

278 :名無しさん@お腹いっぱい。:2009/06/01(月) 02:17:35
Rising 2009 21.40.64 (21.31.64.00)
>>277
install.exe: Trojan.Win32.FakeAV.oh
install2.exe: Trojan.Win32.FakeAV.oh
検体提出完了(大きいのはバイナリがほぼ同じだったので2つだけ提出)

279 :こなた ◆KONATAzZoM :2009/06/01(月) 04:36:02
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-29
    * F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
    * Virus: 2009-05-29_09
    * SpyWare: 2009-05-29_09

>>277
[検出結果:3/16]
tane0356\193.pdf -> Exploit.PDF-JS.Gen [検疫可]
tane0356\212.pdf -> Exploit.PDF-JS.Gen [検疫可]
tane0356\softwarefortubeview.45052.exe -> Gen:Trojan.Heur.Dropper.50629D9D9D [検疫可]

未検出分を2回に分けてSASへ登録しました。

280 :こなた ◆KONATAzZoM :2009/06/01(月) 04:40:23
(>>279の続き)
以下、SASにてSUSPICIOUS判定となったものです。
下記以外は全部 NO DETECTION でした。
/dating.exe
/Fake_mpeg.mpg
/Fake_mpeg.mpg/agent.exe
/Fake_mpeg.mpg/pc.exe
/flash_player_v11.exe/agent.exe
/free_stream_video.exe
/install.exe
/install2.exe
/softwarefortubeview_45019.exe
/softwarefortubeview.45052-2.exe
/star.exe
/flash_player_plugin.exe
/flash_player.exe
/flash_player.exe/agent.exe
そして今からおやすみなさいです…
絶対に寝坊する…絶対に…

281 :こなた ◆KONATAzZoM :2009/06/01(月) 04:47:52
>>277
どうせなら、検体と一緒に詳細情報を同梱してくれればよかったのでは?
チェックしてる人が気づいて書き込んでくれたりとか、ベンダーへの提出時の参考資料にもなるし…
…と今更ながら思ってみたり……

では、おやすみなさい…です。

282 :278:2009/06/01(月) 05:20:52
ああ、exeを解凍した中身が同じだったんすね

283 :名無しさん@お腹いっぱい。:2009/06/01(月) 06:19:06
>>277
McAfee (Active Protection 無効)10/15
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
212.pdf |inconclusive | | |no
dating.exe |inconclusive | | |no
setup.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no
star.exe |new detection |backdoor-cep.svr |Trojan |yes

284 :名無しさん@お腹いっぱい。:2009/06/01(月) 08:30:48
king 2009.05.31.21
未検出分は提出しました

>>268
0355\registr.exe - Win32.Troj.Rabbit.bz.20991
>>277
0356\softwarefortubeview_45019.exe - Win32.TrojDownloader.CodecPack.115766
0356\softwarefortubeview.45052-2.exe -Win32.TrojDownloader.CodecPack.115766


285 :名無しさん@お腹いっぱい。:2009/06/01(月) 11:34:00
FISTPのSASって何?
どういうシステム?

286 :名無しさん@お腹いっぱい。:2009/06/01(月) 11:38:14
>>277
(NormanとZonerは面倒くさいので後回しですが)、他は一通り各社に提出完了。

287 :名無しさん@お腹いっぱい。:2009/06/01(月) 14:46:06
>>277 提出含めd

カスペ2009 13:54
(検体提出より時間がたっているため参考)
14/15、未検出1 (dating.exe)

Detected Trojan program Exploit.Win32.Pidief.axb   /193.pdf
Detected Trojan program Exploit.Win32.Pidief.axp   /212.pdf
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.cz   /Fake_mpeg.mpg
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dc   /flash_player.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dd   /flash_player_plugin.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dd   /flash_player_v11.exe
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.da   /free_stream_video.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bo   /install.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bo   /install2.exe
Detected Trojan program Trojan.RAR.Qhost.e   /setup.exe
Detected Trojan program Trojan-GameThief.Win32.Magania.beur   /softwarefortubeview.45052.exe
Detected Trojan program Trojan-Downloader.Win32.CodecPack.hyi   /softwarefortubeview.45052-2.exe
Detected Trojan program Trojan-Downloader.Win32.CodecPack.hyi   /softwarefortubeview_45019.exe
Detected Trojan program Backdoor.Win32.Bifrose.fpc   /star.exe

288 :287:2009/06/01(月) 16:03:16
>>277
カスペからの返事

dating.exe

No malicious code was found in this file.

14/15でclose


289 :名無しさん@お腹いっぱい。:2009/06/01(月) 21:07:56
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=357
infected

検体入手元
www■redro-stonean■com/mpg.rar
(www■redro-stonean■com/mpg.rar//mpg.scr//data0002//にも
 アクセスしてましたがこちらは不明・・・)

mpg.rar (28/39)
http://www.virustotal.com/jp/analisis/89df9122c2f0803a78943ef3c9046d78fcb3dce04228af71beb2517010e647b6-1243856119

>>214と同一系統ですがスクリプトではなくrarファイルです。
検出数はヒューリスティックによるものが多そうでした。
avira提出済み。

290 :名無しさん@お腹いっぱい。:2009/06/01(月) 21:16:36 ?2BP(0)
http://pc11.2ch.net/test/read.cgi/sec/1243346768/560,575

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=358 dlkey: zSAdcfsd

291 :名無しさん@お腹いっぱい。:2009/06/01(月) 22:03:07
>>289
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
mpg.scr |inconclusive | | |no

>>290
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
banner.gif.bin |inconclusive | | |no
loader.html |inconclusive | | |no
winqwl32.dll |inconclusive | | |no

292 :名無しさん@お腹いっぱい。:2009/06/01(月) 22:18:48
Rising Antivirus Free Edition 2009 21.41.03 (21.32.03.00)
前スレ>713 (tane0302)
id3_20090504.swf: Hack.Exploit.Win32.Swf.b
id10_200905004.exe: Trojan.Spy.Win32.Undef.ik
2/2
前スレ>775 (tane0310)
89238632.zip>>mm.exe: Suspicious: Packer.Win32.UnkPacker.b → Trojan.PSW.Win32.Undef.bex
mm.exe: Suspicious: Packer.Win32.UnkPacker.b → Trojan.PSW.Win32.Undef.bex
3(+2)→3+2=5/6
>>139
install.exe: Trojan.Spy.Win32.Undef.it
Install_2019.exe: AdWare.Win32.FakeAV.cu
3+2=5/8
>>151
e98m.pdf: Hack.Exploit.Win32.PDF.jtd
file2.exe: Trojan.Spy.Win32.Undef.im
Install_11-1.exe: AdWare.Win32.FakeAV.ct
load2.exe: Trojan.Spy.Win32.Undef.io
load2.php: Trojan.Spy.Win32.Undef.iq
load.php: Trojan.Spy.Win32.FakeMS.k
loadhelp.exe: Trojan.Spy.Win32.Undef.ir
readme.pdf: Hack.Exploit.Win32.PDF.jte
spl2.php: Hack.Exploit.Win32.PDF.jtc
spl.php: Hack.Exploit.Win32.PDF.jtb
sta.exe: Trojan.Spy.Win32.Undef.ip
z.exe: Trojan.Spy.Win32.Undef.is
8+12=20/27

293 :292:2009/06/01(月) 22:20:27
Rising 2009
>>183
7\file.exe: Trojan.Spy.Win32.Undef.im
1+1=2/12
>>246
install.exe: Trojan.Win32.Nodef.jrb
2+1=3/9
>>268
load.php: Trojan.Spy.Win32.Agent.etg
1/3
>>277
dating.exe: Trojan.Win32.Nodef.jre
2+1=3/15
>>289
mpg.zip>>mpg.rar>>mpg.scr>>ftp18.exe: Backdoor.Win32.PcClient.ueb
1/1
(RIS試用版からRAVフリー版に乗り換えました)

294 :名無しさん@お腹いっぱい。:2009/06/01(月) 22:20:55
カスペ2009 21:58:00
>>290
d
Detected Trojan program Backdoor.Win32.PcClient.aodb   tane0357.zip/mpg.zip/mpg.rar/mpg.scr


>>291 (※解凍P/W "infected")
d
1/3
Detected virus HEUR:Exploit.Script.Generic tane0358.rar/loader.html

検体提出します。



295 :名無しさん@お腹いっぱい。:2009/06/01(月) 22:31:50
Rising 2009 21.41.04 (21.32.04.00)
>>290
スルー
提出完了

296 :こなた ◆KONATAzZoM :2009/06/01(月) 22:57:24
お疲れ様です。
F-Secureより回答がありましたので報告します。

>>232  回答:06/01 07:10 (JST)
>>236  回答:06/01 05:58 (JST)
>>246  回答:06/01 06:17 (JST)
>>277  回答:06/01 05:35 (JST) & 05:59 (JST)

すべて同回答です。
> Hello,
> Thank you for your e-mail.
> The files you sent was found to be malicious. An appropriate detection will be added
> in one of the next database updates.

現在のところDBが更新されていないため、再確認は保留しています。

>>285
SAS:Sample Analysis System
ISTPでもIS2009でも一緒です。詳しいことはF-Secureスレでお願いします。


297 :名無しさん@お腹いっぱい。:2009/06/01(月) 23:18:07 ?2BP(0)
>>290 の続き 司令ファイルが取れたので、目視で落としてみた
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=359
pr, prx は古い。らしい。たぶんgt が本命。発動条件とかは不明。

298 :こなた ◆KONATAzZoM :2009/06/02(火) 00:14:48
お疲れ様です。
F-Secure Internet Security Technology Preview 9.40(※ FIS-2009ではありません)
:Scan Engine
    * F-Secure Aquarius: 11.00.00, 2009-05-29
    * F-Secure Hydra: 3.08.9080, 2009-05-30
:Detection Pattern
    * Virus: 2009-05-29_09
    * SpyWare: 2009-05-29_09

>>290
[検出結果:0/3]
>>293
[検出結果:2/3]
0359\pr.bin -> Trojan.Generic.468831 [検疫可]
0359\prx.bin -> BehavesLike:Trojan.FirewallBypass [検疫可]
本命(?)のgtは検出されず…
怪しいので丸ごとすべてSASへ登録しました。

SASでの自動判定では、下記以外はNOT DETECTED
0358.rar/banner.gif.bin -> SUSPICIOUS
0358.rar/winqwl32.dll -> SUSPICIOUS
0359.rar/pr.bin -> Trojan-PSW.Win32.LdPinch.aawc : F-Secure Engine
0359.rar/prx.bin -> Trojan-PSW.Win32.LdPinch.abip : F-Secure Engine

以上です。
お休みなさいませ…

299 :294:2009/06/02(火) 00:28:25
カスペからの返事
>>291
1+1=2/3、回答待ち1

loader.html_ - Trojan-Downloader.JS.Psyme.aoc (←HEUR:Exploit.Script.Generic)
banner.gif.bin - Trojan.Win32.Agent.ckio

New malicious software was found in this file.

>>297 d
カスペ2009 22:57
2/3

Detected Trojan program Trojan-PSW.Win32.LdPinch.aawc   pr.bin
Detected Trojan program Trojan-PSW.Win32.LdPinch.abip   prx.bin

検体提出します。

dlkey: zSAdcfsd
DLパスワードは"virus"とか"infected"とかわかりやすいのにしてほしい。お願い。

300 :名無しさん@お腹いっぱい。:2009/06/02(火) 05:20:31
>>297
McAfeeに提出させて頂きました。
AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gt.bin |inconclusive | | |no
pr.bin |current detection |pws-ldpinch |Trojan |no
prx.bin |inconclusive | | |no

301 :61:2009/06/02(火) 21:17:45
>>261
さて、規制解除されたのでレス返し。

AVIRAですが、過去にはGenもチョコチョコ提出していたのですが、Genで検出できるものは、その後名前が変わることは
ほとんど無いようです。(つまり、GenはずっとGenのままらしい。というか、名前が変わった例が記憶にない。)

AVIRAは、Genで検出できるものはGen任せにしておいて、未検出の新種対応を優先している感じがしますね。
AVIRAにとってはGenで検出=Genシグネチャの優秀性の実証、というレベルではないかと。
多分、Genの場合、普通とは逆に誤検出をホワイトリストに入れていく方式を取っているのではないかと予想しています。

# そういう意味では、XPACKやZPACKのGenが一番非道い気もする。(w

なんで、AVIRAの場合、Genであることを気にするとキリが無いので流した方が良いです。経験上、提出しても名前変わりませんし。


あと、私が提出しているものは、AVIRAで検出=マルウェアという扱いではなく、マルウェア候補のリストから検体確保
→ VirustotalとAVIRAとKasperskyでチェック → スレ提出なので、AVIRAの判断で白黒決めているわけではないです。
  (AVIRAもKasperskyもスルーでも、VTの結果をもとに提出していることも多いです。)

【おまけ】
ROMの人で、ここで検出されているのに手元のAVIRAが検出しないことがある場合、メニューのConfigrationを開いて、
Expert ModeのチェックボックスをOnにした後、
 ScannerのScanで
   FilesをALL filesに変更
  Additional settingsでSearch for Rootkits before scanをチェック
 Generalで出てくる検出カテゴリーのボックスで、検出して欲しいものにチェック
   特にSPR(セキュリティ プライバシー リスク)は必ずチェックを入れる。
   (SPRで検出する偽Antivirusや偽codec等がたまにあるので、チェックしておかないと見落とし出ます。)

302 :61:2009/06/02(火) 21:43:57
>>278
>277に同じようなものが全部入っている理由は、それぞれ違う方法で改変されているらしく、Kasperskyでも検出したりしなかったり、
検出名が変わっていたりしたためです。 なんで、全部出しておいて、できれば各ベンダーに判断してもらった方が良いかな、と。

>>281
最初は詳細情報のテキストを同梱しようかと思ったのですが、それをやると>268のような偽テキストのマルウェアが入った場合に
開く人が出る可能性があったので、止めました。

ということで、私のプロパイダ、全鯖規制は数日で解除されることが多いので、今回はシベリア郵便局経由で書き込み代行してもらいました。
# 配達員の方ありがとう。

>>288
dating.exeですが、Kasperskyの判断、白→黒にひっくり返りました。現在はTrojan.Win32.Rabbit.czとして検出します。 一応報告。

303 :61:2009/06/02(火) 23:59:44
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=360
 DL virus/解凍 virus

【中身】 16個入っています。

304 :61:2009/06/03(水) 00:07:03
>>303
インフォメーション(1/2)

find26.exe
 http://www.virustotal.com/jp/analisis/5ef1a85565154678edccb138025dd01176b41703d372bd727629e354814d3cd1-1243954219 (21/39)
free_trial_version.exe
 http://www.virustotal.com/jp/analisis/cb60bd34ff9685a06c5034883d747da4aa60a83b26f1bc49315b90a83c7d5be3-1243953979 (16/40)
ii.pdf
 http://www.virustotal.com/jp/analisis/ff1278c37a2e8c84ee5e778514a5c7de77d23b07959442f16c14d857cac2031e-1243953476 (16/39)
index.php
 http://www.virustotal.com/jp/analisis/9521d4e3385239b08afa6365958f6ebc99afbaea1eb2dd1afaa46b5a95f4dafd-1243953671 (6/39)
install.exe
 http://www.virustotal.com/jp/analisis/326056e80892e429f1f40d7afcea60c87516c490530c7b62555c50377a9e8899-1243948471 (6/39)
install2.exe
 http://www.virustotal.com/jp/analisis/8f1a3c56d40dbbc4e5071495b55dbf131ad0ea7cc466f81d03f1546b7a87bd86-1243948819 (6/40)
install3.exe
 http://www.virustotal.com/jp/analisis/bcd892933598546faab8e1398e57efb0821830a16e63820b3dc10b9016bc5e58-1243949714 (6/40)
ldr.exe
 http://www.virustotal.com/jp/analisis/8781bf4a84ad4c6a6a4680878f19d54e7b91c5bc654f01815c3051976ce739a3-1243952794 (19/35)

305 :61:2009/06/03(水) 00:08:23
>>303
インフォメーション(2/2)

news.php
 http://www.virustotal.com/jp/analisis/2903b291949d233f661f55e8d242bd772a9760b1a76a7424030cfc1a3fd10c29-1243952616 (21/40)
Official-eMule_setup.exe
 http://www.virustotal.com/jp/analisis/349711cef7150ee1380b51a97119dfeb0a33e9fb87fb187063354b9d4fe892ea-1243947376 (8/40)
ret26.exe
 http://www.virustotal.com/jp/analisis/462fdc59e2b02635f709bf606e2cdf6bbb44b9206c24a3cd7b4738405fc2c4ab-1243954375 (21/40)
setup.exe
 http://www.virustotal.com/jp/analisis/f86a5e0960c2bc58bf1edd170b09dfcb1414992e05b8863aef7a7001466b8a3e-1243951941 (17/40)
softwarefortubeview.40064.exe
 http://www.virustotal.com/jp/analisis/492e450e2f272cb5365a3cdb4676564f09cc0f34916efb0c1e4f8e89233b70b1-1243951101 (2/40)
softwarefortubeview.40064-2.exe
 http://www.virustotal.com/jp/analisis/655278e93dd3c4399def8e74177abe80d905850bef6a92b8ba6a72647bc144f0-1243952339 (2/40)
softwarefortubeview.45059.exe
 http://www.virustotal.com/jp/analisis/26adc48376dd61dd71113feb18eae7ca49abf7187db0bc705882eccc48f2b986-1243950050 (2/40)
softwarefortubeview.45059-2.exe
 http://www.virustotal.com/jp/analisis/1e0735441232e9bfab1c7074fb2aa19cbebbd2cf195ad52ba26656de2636bdc3-1243951483 (16/40)

306 :61:2009/06/03(水) 00:14:46
>>303
AVIRA9 7.01.04.47
 find26.exe - TR/Inject.acaz.1
 free_trial_version.exe - SPR/Fraud.PrivC.2
 ii.pdf - HEUR/HTML.Malware (MALWARE)
 index.php - (UNDER ANALYSIS)
 install.exe - TR/Dropper.Gen
 install2.exe - TR/Dropper.Gen
 install3.exe- TR/Dropper.Gen
 ldr.exe - TR/Spy.ZBot.vyo
 news.php - TR/Agent.cjze
 Official-eMule_setup.exe - (UNDER ANALYSIS)
 ret26.exe - TR/Inject.acaz
 setup.exe - TR/Downloader.Gen
 softwarefortubeview.40064.exe - (UNDER ANALYSIS)
 softwarefortubeview.40064-2.exe - (UNDER ANALYSIS)
 softwarefortubeview.45059.exe - (UNDER ANALYSIS)
 softwarefortubeview.45059-2.exe - TR/PSW.Magania.beur.3

黒11,解析中5

307 :61:2009/06/03(水) 00:21:30
>>303
Kaspersky 2009/06/02 23:30:00
 find26.exe - Trojan.Win32.Inject.acaz
 free_trial_version.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.di
 ii.pdf - Exploit.Win32.Pidief.axr
 index.php - Trojan-Downloader.JS.Psyme.aod
 install.exe -
 install2.exe -
 install3.exe-
 ldr.exe - Trojan-Spy.Win32.Zbot.vyo
 news.php - Trojan.Win32.Agent.cjze
 Official-eMule_setup.exe -
 ret26.exe - Trojan.Win32.Inject.acaz
 setup.exe -
 softwarefortubeview.40064.exe -
 softwarefortubeview.40064-2.exe -
 softwarefortubeview.45059.exe -
 softwarefortubeview.45059-2.exe - Trojan-GameThief.Win32.Magania.beur

黒8,未検出分8個提出。

308 :名無しさん@お腹いっぱい。:2009/06/03(水) 00:43:11
Rising 2009 21.41.14 (21.32.14.00)
>>139
softwarefortubeview.45027-2.exe: Trojan.Spy.Win32.Undef.iw
ws.exe: AdWare.Win32.FakeAV.cv
5+2=7/8
>>151
ldr.exe: Trojan.Spy.Win32.Undef.iu
pdf.php: Hack.Exploit.Win32.PDF.jtf
softwarefortubeview.45013.exe: Trojan.Spy.Win32.Undef.iv
20+3=23/27(残り4体は不是病毒との返答あり)
>>166
175+1=176/197
>>236
0.swf: Hack.Exploit.Swf.b
5+1=6/7
>>277
softwarefortubeview.45052-2.exe: Trojan.Spy.Win32.Undef.iy
softwarefortubeview_45019.exe: Trojan.DL.Win32.Nodef.ra
193.pdf: Hack.Exploit.Win32.PDF.jtg
3+3=6/15
>>290
winqwl32.dll: Trojan.DL.Win32.Undef.erw
1/3
>>303
install.exe, install2.exe, install3.exe: Trojan.Win32.FakeAV.oh
find26.exe, ldr.exe, ret26.exe: Suspicious:Packer.Win32.UnkPacker.a
6/16
検体提出完了
>>302
了解です

309 :名無しさん@お腹いっぱい。:2009/06/03(水) 05:21:15
>>303
McAfee (Active Protection 無効)7/16
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
find26.exe |inconclusive | | |no
index.php |inconclusive | | |no
install.exe |new detection |fakealert-dk |Trojan |yes
install2.exe |inconclusive | | |no
install3.exe |new detection |fakealert-dk |Trojan |yes
ldr.exe |inconclusive | | |no
ret26.exe |inconclusive | | |no
setup.exe |new detection |w32/koobface.worm |Virus |yes
softwarefortubeview.|new detection |downloader-bqj |Trojan |yes

310 :名無しさん@お腹いっぱい。:2009/06/03(水) 07:30:10
>>303
NortonInternetSecurity2009
まだちょっと忙しいので検出数だけでご勘弁ください

11/16

>>304-305のVTの結果とはかなり違いますね

311 :名無しさん@お腹いっぱい。:2009/06/03(水) 09:38:37
>>303
king 2009.6.2.21

tane0360\find26.exe -Win32.Troj.Inject.38400
tane0360\news.php -Win32.Troj.Agent.27648
tane0360\softwarefortubeview.45059-2.exe -Win32.PSWTroj.Magania.94375 成功(操作:削除)
3/16
未検出分を提出させて頂きました



312 :名無しさん@お腹いっぱい。:2009/06/03(水) 15:56:48
カスペ2010 15:19:00 検知状況

>>303 d
>>307 代理提出d
8+4=12/16


Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bu   tane0360.zip/install.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bv   tane0360.zip/install2.exe
Detected Trojan program Trojan-Dropper.Win32.FrauDrop.bw   tane0360.zip/install3.exe
Detected virus Net-Worm.Win32.Koobface.np   tane0360.zip/setup.exe

ヒューリスティックでの検知ないことから、KIS2009でも同結果、および、提出による事後検知と思われ。


313 :名無しさん@お腹いっぱい。:2009/06/03(水) 22:04:44
>>303
COMODO InternetSecurity 1245

TrojWare.Win32.Trojan.Agent.::tane0360\find26.exe
TrojWare.JS.TrojanDownloader.::tane0360\index.php
TrojWare.Win32.Trojan.Agent.Gen@21432597::tane0360\news.php
TrojWare.Win32.TrojanSpy.Zbot.Gen@21432658::tane0360\ldr.exe
Heur.Suspicious@21423216::tane0360\ret26.exe
5/16

未検出分を提出しました。

314 :名無しさん@お腹いっぱい。:2009/06/03(水) 22:31:11
Rising 2009 21.41.24 (21.32.24.00)
>>246
install-1384.exe>>pc.exe: AdWare.Win32.FakeAV.cw
3+1=4/9
>>277
flash_player_v11.exe>>pc.exe: AdWare.Win32.FakeAV.cw
flash_player_plugin.exe>>pc.exe: AdWare.Win32.FakeAV.cw
flash_player.exe>>pc.exe: AdWare.Win32.FakeAV.cw
free_stream_video.exe>>pc.exe: AdWare.Win32.FakeAV.cw
Fake_mpeg.mpg>>pc.exe: AdWare.Win32.FakeAV.cw
star.exe: Backdoor.Win32.Bifrost.l
softwarefortubeview.45052.exe: Trojan.DL.Win32.Mnless.dsu
212.pdf: Hack.Exploit.Win32.PDF.jth
6+8=14/15(setup.exeは不是病毒との返答あり)
>>303
free_trial_version.exe>>pc.exe: AdWare.Win32.FakeAV.cw
ldr.exe: Suspicious:Packer.Win32.UnkPacker.a → Trojan.Spy.Win32.Undef.jg
setup.exe>>upx_c: Worm.Win32.Koobface.aa
softwarefortubeview.40064-2.exe: Trojan.Spy.Win32.Undef.jd
softwarefortubeview.40064.exe: Trojan.Spy.Win32.Undef.je
softwarefortubeview.45059-2.exe: Trojan.DL.Win32.Mnless.dsu
softwarefortubeview.45059.exe: Trojan.Spy.Win32.Undef.jf
3(+3)+7(-1)=10(+2)/16

315 :名無しさん@お腹いっぱい。:2009/06/03(水) 23:18:35
後れ馳せながら、AntiVir9 Free の検出結果。やっとおいついた。

>>290 tane0358
(3/3)
>>297 tane0359
(3/3)
>>303 tane0360
(14/16)

残2ファイルっすね。

ここまで、Avira他、マイナー各社にも一通り提出済み。

316 :名無しさん@お腹いっぱい。:2009/06/04(木) 01:02:08
http://nyumon.sakura.ne.jp/kanzenkouryaku.zip

317 :312:2009/06/04(木) 01:22:54
カスペ2009 0:11:00 検出状況
>>303>>307,312)
8+7=15/16

Detected Trojan program Trojan.Win32.FraudPack.onj  tane0360.zip/softwarefortubeview.40064-2.exe
Detected Trojan program Trojan.Win32.FraudPack.onj  tane0360.zip/softwarefortubeview.40064.exe
Detected Trojan program Trojan.Win32.FraudPack.onj   tane0360.zip/softwarefortubeview.45059.exe

未検出分、ひとまず追送してみるかな。



318 :61:2009/06/04(木) 01:50:36
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=361
 DL virus/解凍 virus

【中身】 15個入っています。

319 :61:2009/06/04(木) 02:05:19
>>318
インフォメーション(1/2)

0.pdf
 http://www.virustotal.com/jp/analisis/ab14b7ea87ba271215cf00a78fc9f4d6c56f4e2fcbbed6e8a38449f5f51f8ce6-1244038469 (14/40)
0.swf
 http://www.virustotal.com/jp/analisis/89283c1c3eea158376311e44353fff05d1c863f7d621c85b4584569e5199dfba-1244038472 (8/40)
3.exe
 http://www.virustotal.com/jp/analisis/ddcd76fe688f168808c68e60688c0e43edefc01961987ce0339844781b04388a-1244040010 (19/40)
av.exe
 http://www.virustotal.com/jp/analisis/969c0f517f279dd68898eea50bb9ce51092acc3eca79fe963500b82f5c0d222a-1244042513 (21/40)
codec2009.exe
 http://www.virustotal.com/jp/analisis/e68fa4b285f586475208458d3665871ba902a37787ccdbfd7a4e1ac7dbf725fe-1244038769 (24/39)
installer_70100.exe
 http://www.virustotal.com/jp/analisis/af1db3d369de954640ac6b094f13621453624e4a64cb895c51fb71ff91079d6d-1244040739 (19/40)
load.exe
 http://www.virustotal.com/jp/analisis/0e1527e28ecc2f45c9790a081d5d840eb22354852841ca34e156a82fa979063c-1244044994 (2/40)
nonus.pdf
 http://www.virustotal.com/jp/analisis/4f308ff6cabf6cabef4c5de5815c1e67b501dd26487e47f6a9c197210f1c28a4-1244048308 (22/40)
pdf.pdf
 http://www.virustotal.com/jp/analisis/4edfdf85eeecaa5937eb7c9bc64d39cb79fcb6e1b44db7eda480382cd652d728-1244037583 (15/38)

codec2009.exeとnonus.pdfは、圧縮する前に消し忘れたものなので、ほとんどのベンダーで提出不要だと思います。

320 :61:2009/06/04(木) 02:06:06
>>318
インフォメーション(2/2)

setup.exe
 http://www.virustotal.com/jp/analisis/7753fee35552a72037f5b8143bd2eb80af62bb1ee6d25acd580b49125d2b76a5-1244040060 (19/40)
setup2.exe
 http://www.virustotal.com/jp/analisis/481dd0bba1ecd2a2ced2bf8684d591bbd622583de5d38e9041b155b402be2854-1244041301 (7/39)
setup3.exe
 http://www.virustotal.com/jp/analisis/55790235fb5df587bfc69001107c9f73bc834669793d4f57d8983253865a2034-1244045359 (16/39)
setup4.exe
 http://www.virustotal.com/jp/analisis/fa7bcca65a1c661f93a0a2d1031162e12a4c27d86f49686e65a02d40762f74f8-1244041652 (12/40)
Setup5.exe
 http://www.virustotal.com/jp/analisis/26ff35f15e34987fc1fa0a013c698f89236d26d5408cb0546fced41ed12db917-1244046140 (8/40)
softwarefortubeview.42002.exe
 http://www.virustotal.com/jp/analisis/9c74514174a0f4c15f774cc27ba28ede680051f8af78c80a6a18c5b9578c37af-1244046896 (10/40)

321 :61:2009/06/04(木) 02:16:23
>>318
AVIRA9 7.01.04.54
 0.pdf - HEUR/HTML.Malware - (UNDER ANALYSIS)
 0.swf - (UNDER ANALYSIS)
 3.exe - TR/Agent.ckiz
 av.exe - TR/PSW.Wow.ozu
 codec2009.exe - TR/Dldr.FraudLoad.wbmh
 installer_70100.exe - TR/Dldr.Renos.bao.2
 load.exe - (UNDER ANALYSIS)
 nonus.pdf - HTML/Shellcode.Gen
 pdf.pdf - HTML/Crypted.Gen
 setup.exe - TR/Dldr.Renos.bao.3
 setup2.exe - TR/Crypt.ZPACK.Gen
 setup3.exe - TR/Downloader.Gen
 setup4.exe - DR/MonaGray.AA
 Setup5.exe - (TR/Fakealert.SM)
 softwarefortubeview.42002.exe - (UNDER ANALYSIS)

黒10+1(次のアップデート待ち),HEUR1,解析中3。HEURも提出済み。

322 :61:2009/06/04(木) 02:29:17
>>318
Kaspersky 2009/06/04 1:07:00
 0.pdf - Exploit.Win32.Pidief.axs
 0.swf - Exploit.SWF.Agent.at
 3.exe - Trojan.Win32.Agent.ckiz
 av.exe - Trojan-GameThief.Win32.WOW.ozu
 codec2009.exe - Trojan-Downloader.Win32.FraudLoad.wbmh
 installer_70100.exe - Trojan-Downloader.Win32.Agent.cdts
 load.exe -
 nonus.pdf - Exploit.Win32.Pidief.gx
 pdf.pdf - Exploit.Win32.Pidief.axz
 setup.exe - Trojan-Downloader.Win32.FraudLoad.enu
 setup2.exe -
 setup3.exe -
 setup4.exe - Trojan.Win32.MonaGray.aa
 Setup5.exe -
 softwarefortubeview.42002.exe - Trojan-Downloader.Win32.CodecPack.hyp

黒11,未検出4。未検出分は提出済み。 流石に眠い...寝ます。 ノシ

323 :名無しさん@お腹いっぱい。:2009/06/04(木) 02:33:10
>>318
McAfee (Active Protection 無効)9/15
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0.swf |inconclusive | | |no
av.exe |heuristic detection |new malware.al!enc |Trojan |no
setup5.exe |inconclusive | | |no
softwarefortubeview.|inconclusive | | |no

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0.pdf |inconclusive | | |no
3.exe |new detection |generic.dx!ef |Trojan |yes
load.exe |inconclusive | | |no
setup3.exe |inconclusive | | |no

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
setup4.exe |inconclusive | | |no

324 :名無しさん@お腹いっぱい。:2009/06/04(木) 10:04:37 ?2BP(0)
>>299 >>297 パス書き添え忘れは、凡ミス。ゴメソ

325 :名無しさん@お腹いっぱい。:2009/06/04(木) 10:52:14
>>318
NortonInternetSecurity2009

Bloodhound.PDF.12:0.pdf
Bloodhound.Exploit.196:pdf.pdf、nonus.pdf
Trojan Horse:3.exe、codec2009.exe
Downloader:0.swf
AntiVirus2008:installer_70100.exe、setup.exe
Infostealer.Gampass:av.exe
Downloader.MisleadApp:softwarefortubeview.42002.exe

10/15

これからPandaとあわせて検体提出します
それにしてもSymantecはこの手の検体に強い?

326 :名無しさん@お腹いっぱい。:2009/06/04(木) 11:04:54
>>313
Symantecから

filename: Setup5.exe
machine: Machine
result: See the developer notes

filename: setup2.exe
machine: Machine
result: See the developer notes

filename: Setup4.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes

filename: Setup3.exe
machine: Machine
result: This file is detected as W32.Koobface.A.

恐らく既に対応済みのものと混ざってたためかSee the developer notes のファイルは自動処理で終わるのか手動解析にまわされるのか不明な状態

327 :名無しさん@お腹いっぱい。:2009/06/04(木) 12:16:57
>>318
Rising 2009
av.exe>>68: Trojan.PSW.Win32.OnlineGame.yvc
setup2.exe: Trojan.Win32.FakeAV.nz
2/15
検体提出済み

328 :317:2009/06/04(木) 15:54:17
カスペからの返事(代理提出分)

対象検体:>>297 (tane0359) >>299
2+事後検出1=3/3でクローズ

gt.bin - Trojan-Spy.Win32.Iespy.chm

New malicious software was found in this file.

対象検体:>>303(tane0360) (>>307,312,317)

15/16、白1でクローズ

Official-eMule_setup.exe_ - No malicious code was found in this file.


VTで黒判定高いだけにどうなんだろうね。

対象検体:>>290 (tane0358)
2/3

winqwl32.dll - 回答待ち。渋滞か多重提出?誰か返事来た?

329 :名無しさん@お腹いっぱい。:2009/06/04(木) 17:10:04
>>318 d (tane0361)
>>322 代理提出d

カスペ2010 16:09:00

Detected Trojan program Trojan-Dropper.Win32.Small.dke tane0361.zip/load.exe
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.wbqr tane0361.zip/setup2.exe
Detected virus Net-Worm.Win32.Koobface.ou tane0361.zip/Setup3.exe

11+事後検出3=14/15、回答待ち1 (setup5.exe)



330 :名無しさん@お腹いっぱい。:2009/06/04(木) 17:11:32
>>328
Nortonも同じくOfficial-eMule_setup.exeだけはスルーになりました
このままいけばSymantecも白判定かも・・・

331 :名無しさん@お腹いっぱい。:2009/06/04(木) 17:29:28
>>318

NortonInternetSecurity2009

事後対応+1(>>326で既に対応したものは除く)

Trojan.Dropper:load.exe

>>326で対応したものを含めて現在の検出数12/15

332 :名無しさん@お腹いっぱい。:2009/06/04(木) 17:38:09
>>330

評価が二分するプログラムは、ポリシーの違いで灰色でいいんじゃない?

Windowsシステムファイルや、火狐などの有名なフリーウェアなら話は違うが、

訳のわからないどうでもいいマイナーなファイルを黒判定したベンダーに、False Alarmだと言って判定を覆させるのものも面倒だし、
ベンダーはいやがる。(プライオリティーが低いから、だいたい、調べないで黒です。で即答で帰ってくるのがオチ)






333 :名無しさん@お腹いっぱい。:2009/06/04(木) 19:47:05
>>268 >>277 >>289 >>303 >>318
ここまでSymantecとa-squaredとMalwarebytesに提出済みです

334 :329:2009/06/04(木) 23:02:40
対象検体:>>318 (tane0361)

>>322
14/15、白1でクローズ

Setup5.exe,

No malicious software was found in the attached file.

・KIS2010のSandboxで実行→Registry Cleaner Pro 2009のインストーラ起動→一応"Trusted"に分類。レジストリークリーナー?
怪しいから使わない。w

335 :名無しさん@お腹いっぱい。:2009/06/04(木) 23:30:00
マルウェアとは限らないが、ぼったくり商法だったりすることはある模様w

336 :名無しさん@お腹いっぱい。:2009/06/05(金) 02:42:43
Rising 2009 21.41.34 (21.32.34.00)
>>246
kkb.exe: Backdoor.Win32.PcClient.ujw
4+1=5/9
>>303
news.php: Trojan.Spy.Win32.Agent.ets
10(+2)+1=11(+2)/16
>>318
load.exe: Trojan.Spy.Win32.Agent.etu
Setup3.exe>>upx_c: Worm.Win32.Koobface.ac
2+2=4/15

337 :名無しさん@お腹いっぱい。:2009/06/05(金) 14:35:43
>>318
king 2009.6.5.7

tane0361\setup.exe -Win32.Troj.FakeAvT.ex.1298432
tane0361\installer_70100.exe -Win32.Troj.FakeAvT.ex.1298432
tane0361\codec2009.exe -Win32.TrojDownloader.FraudLoad.109571
3/15
未検出分を提出させて頂きました。

338 :名無しさん@お腹いっぱい。:2009/06/05(金) 18:35:01
>>318
king 2009.6.5.14

tane0361\softwarefortubeview.42002.exe -Win32.TrojDownloader.CodecPack.107948
tane0361\Setup3.exe -Worm.Koobface.ou.49152
tane0361\load.exe -Win32.Troj.Small.19456
tane0361\3.exe -Win32.Troj.Agent.96256
3+4=7/15
何か今回は早い対応だな・・・でも問題はココからです(汗


339 :61:2009/06/05(金) 20:29:31
AVIRA未検出分 結果報告
>>247
 file.exe - TR/PCK.Tdss.M.90
 install.exe - TR/PCK.Tdss.M.89
 Install_2009-1.exe - TR/PCK.PolyCrypt.D.224
で>246は黒=事前6+事後3の全黒でclose.

>>268
 FakeText_Filekiller.exe - TR/PSW.Agent.wpd
 load.php - TR/Dldr.Small.akzq
 registr.exe - TR/Rabbit.BZ Trojan
全黒でclose.

>>277
 193.pdf - EXP/Pidief.YG.2
 212.pdf - EXP/Pidief.aim
 dating.exe - TR/Rabbit.CZ
 Fake_mpeg.mpg - DR/Fraud.PrivacyCenter.CZ
 flash_player.exe - SPR/Fraud.PrivC.1
 flash_player_plugin.exe - DR/Fraud.PrivacyCenter.DC.1
 flash_player_v11.exe - SPR/Fraud.PrivC.1
 free_stream_video.exe - SPR/Fraud.PrivC.1
 install.exe - TR/Dropper.Gen
 install2.exe - TR/Dropper.Gen
 setup.exe - DR/Qhost.E
 softwarefortubeview.45052.exe - TR/PSW.Magania.beur.3
 softwarefortubeview.45052-2.exe - TR/Dldr.CodecPack.hyi.20
 softwarefortubeview_45019.exe - TR/Dldr.CodecPack.hyi.2
 star.exe - BDS/Bifrose.azr
全黒でclose.

340 :61:2009/06/05(金) 20:49:20
>>289
AVIRA9 7.01.04.63で、TR/Dropper.Genです。(検出名変更なし)

>>289 >315さん補足
AVIRA9 7.01.04.63
 banner.gif.bin - TR/Agent.ckio
 loader.html - JS/Dldr.Agent.10271
 winqwl32.dll - TR/Agent.40960
全黒です。

>>397 >315さん補足
 gt.bin - TR/Agent.58368
 pr.bin - TR/Spy.Gen
 prx.bin - TR/Spy.Gen
全黒です。

>>306
AVIRA9 7.01.04.47
 ii.pdf - EXP/Pidief.jap (HEUR/HTML.Malwareから検出名確定)
 index.php - JS/Dldr.Psyme.tkn
 Official-eMule_setup.exe - TR/Dldr.Wintrim.BX.13
 softwarefortubeview.40064.exe - TR/FraudPack.onj.1
 softwarefortubeview.40064-2.exe - TR/FraudPack.onj
 softwarefortubeview.45059.exe - TR/FraudPack.onj
HEURと解析中の6個全黒。で、>303も全黒でclose.

341 :61:2009/06/05(金) 21:07:55
>>321
 0.pdf - EXP/Pidief.bba (HEUR/HTML.Malwareから検出名確定)
 0.swf - EXP/Flash.16487
 load.exe - TR/Drop.Small.dke
 softwarefortubeview.42002.exe - TR/Dldr.CodecPack.hyp.2
で、後からの分も黒確定で、>318は全黒でclose.

>>328,330,332
思うに、どうもDownloader系で判定が分かれやすい気がします。
それ自体は単にファイルを落として実行するだけで、それ以外の感染や書き換え等の動作をしない場合ですね。

提出して結果を見ていると、AVIRAはDownloaderもバシバシ黒判定出します。この辺、本当、ベンダーのポリシーだと思う...

342 :61:2009/06/05(金) 23:26:53
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=363
 DL virus/解凍 virus

【中身】 14個入っています。 ちょっとテスト用に、たまには普段と違うものとしてRFIのコードを多めに集めてみました。
987.pdf
 http://www.virustotal.com/jp/analisis/cd750f0627a5f0597d74b41a0c75b744ec451c9d72733c56d51533e9a5dfe805-1244210249 (14/40)
Install_2018.exe
 http://www.virustotal.com/jp/analisis/fdcdf6c78ec33f14a421551a62e773b5d5c62335ff21a36608820f39276d3bf7-1244203905 (6/39)
ldr.exe
 http://www.virustotal.com/jp/analisis/153eaac452a040ab230e3a23d6c97c2bc5280e2bc6cc043e8f618eedfa195865-1244211038 (18/40)
load.php
 http://www.virustotal.com/jp/analisis/05e9c38100c6d59e834be1b848ab824eefe741d358e969d5e11cf6853d6ab7f5-1244210494 (17/40)

343 :61:2009/06/05(金) 23:28:05
>>342 続き
malicious_PHP_01.txt
 http://www.virustotal.com/jp/analisis/d14777bdb0a49c557c2d933e9a38c80d978ecd631efb1710591332a73f2d99ba-1244205751 (10/39)
malicious_PHP_02.txt
 http://www.virustotal.com/jp/analisis/52b84832b4e272084bc1776d97abd6c05afe70eff99ea8538901d4e635b4df9e-1244206386 (16/40)
malicious_PHP_03.txt
 http://www.virustotal.com/jp/analisis/7d4c4d5da4c3bbdd02c200cc86d04dd19a7b9063233741b002ebc9d21806437c-1244206748 (11/39)
malicious_PHP_04.txt
 http://www.virustotal.com/jp/analisis/7a2d8152c1ff09a50921e5ccfdfcb5722f639d47e0c31db2b14ca06b37ba47b4-1244206985 (9/40)
malicious_PHP_05.txt
 http://www.virustotal.com/jp/analisis/691be07829e7cee32e0c84677030b7dd405ce1918f75d3dea3a59c1439d7c50c-1244207285 (3/40)
malicious_PHP_06.txt
 http://www.virustotal.com/jp/analisis/83129197f97e40a7f8451e78efdea4bc9b1d9bac77b0fee2b471daa1f648d21f-1244208045 (1/39)
malicious_PHP_07.txt
 http://www.virustotal.com/jp/analisis/372fde4d23c90bc04e12da07e17cbf98a922124a7e8946fe72371817033c89e1-1244208564 (16/39)
malicious_PHP_08.txt
 http://www.virustotal.com/jp/analisis/66945b139bd86c3cd44fa3d41d6491e41d52b7fe28ad984fda6a1f40985831ae-1244208998 (15/40)
malicious_PHP_09.txt
 http://www.virustotal.com/jp/analisis/4247020616a348f3d988435acb008c56c0f132b2516641e95b890128faad221d-1244209193 (16/40)
malicious_PHP_10.txt
 http://www.virustotal.com/jp/analisis/a94c7d30fc14a6f99f04359bd282d5158daa78fdaf2411ead0341fb591f8c07c-1244209833 (11/40)

344 :61:2009/06/05(金) 23:34:17
>>342
AVIRA9 7.01.04.63
 987.pdf - EXP/PDF.16462
 ldr.exe - TR/Dropper.Gen
 load.php - TR/Crypt.ZPACK.Gen
 Install_2018.exe - TR/FakeXPA.A.265
 malicious_PHP_01.txt - (UNDER ANALYSIS)
 malicious_PHP_02.txt - PHP/Small.C
 malicious_PHP_03.txt - (UNDER ANALYSIS)
 malicious_PHP_04.txt - (UNDER ANALYSIS)
 malicious_PHP_05.txt - (UNDER ANALYSIS)
 malicious_PHP_06.txt - (UNDER ANALYSIS)
 malicious_PHP_07.txt - SPR/PHP.ID
 malicious_PHP_08.txt - SPR/PHP.ID
 malicious_PHP_09.txt - (UNDER ANALYSIS)
 malicious_PHP_10.txt - (UNDER ANALYSIS)

黒7,解析中7。未検出分 提出済み

345 :61:2009/06/05(金) 23:37:33
>>342
Kaspersky 2009/06/05 21:23:00
 987.pdf - Exploit.Win32.Pidief.ayf
 ldr.exe - Backdoor.Win32.Turkojan.dsl
 load.php -
 Install_2018.exe -
 malicious_PHP_01.txt -
 malicious_PHP_02.txt -
 malicious_PHP_03.txt -
 malicious_PHP_04.txt -
 malicious_PHP_05.txt -
 malicious_PHP_06.txt -
 malicious_PHP_07.txt - Trojan.PHP.PHPInfo.g
 malicious_PHP_08.txt -
 malicious_PHP_09.txt - Backdoor.PHP.Small.t
 malicious_PHP_10.txt -

黒4,未検出10。未検出分 提出済み

346 :名無しさん@お腹いっぱい。:2009/06/06(土) 00:52:43
>>342
McAfee (Active Protection 無効)1/14
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install_2018.exe |inconclusive | | |no
ldr.exe |new detection |generic backdoor!bl |Trojan |yes
load.php |inconclusive | | |no
malicious_php_01.txt|inconclusive | | |no
malicious_php_02.txt|inconclusive | | |no
malicious_php_03.txt|inconclusive | | |no
malicious_php_04.txt|inconclusive | | |no
malicious_php_05.txt|inconclusive | | |no
malicious_php_06.txt|inconclusive | | |no
malicious_php_07.txt|inconclusive | | |no
malicious_php_08.txt|inconclusive | | |no
malicious_php_09.txt|inconclusive | | |no
malicious_php_10.txt|inconclusive | | |no

347 :名無しさん@お腹いっぱい。:2009/06/06(土) 07:10:46
>>342
SymantecとPandaに提出

348 :名無しさん@お腹いっぱい。:2009/06/06(土) 11:09:48
>>342
king 2009.6.6.1
tane0363\malicious_PHP_09.txt -JS.Downloader.gw.1229
tane0363\malicious_PHP_08.txt -JS.Agent.tv.847
tane0363\malicious_PHP_07.txt -JS.Downloader.gq.1356
tane0363\malicious_PHP_05.txt -VBS.BackDoor.yj
tane0363\ldr.exe - Win32.Hack.Turkojan.24576
5/14
未検出分は提出させて頂きました

349 :名無しさん@お腹いっぱい。:2009/06/06(土) 16:28:48
>>342 d
>>345 代理提出d

カスペ2010 14:51:00
4+事後提出1=5/14

Detected Trojan program Trojan-Downloader.Win32.FraudLoad.eoi   \tane0363.zip/Install_2018.exe

一応、未検出分提出します。

350 :名無しさん@お腹いっぱい。:2009/06/06(土) 20:30:01
Rising 2009 21.41.52 (21.32.52.00)
>>318
installer_70100.exe: Trojan.Win32.FakeVir.iv
setup.exe: Trojan.Win32.FakeVir.iv
4+2=6/15
>>342
load.php: Trojan.Win32.Nodef.jtm
1/12
提出完了

351 :61:2009/06/07(日) 00:50:59
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=364
 DL virus/解凍 virus

【中身】 10個入っています。
300.exe
 ttp://www.virustotal.com/jp/analisis/10c9ae048b2faef39ee0eab0bbebd47254a070edeb8860d87453c424c2a449eb-1244302485 (25/40)
33t.js
 ttp://www.virustotal.com/jp/analisis/14d8faf367b59db41543ca955c967750c2f2b9e4f49b3af56cc45bce6b3720b2-1244299687 (5/40)
bot.exe
 ttp://www.virustotal.com/jp/analisis/4484b5834cb18c80e2be65375cfc51bdd2eba02f27e0a42561cf06332ac1f793-1244301685 (7/40)
codec.exe
 ttp://www.virustotal.com/jp/analisis/9a3cf4dde3ca47e6740ba497461ee2f5952281ef4501d24eb4d1449ca5a0b099-1244300182 (14/39)
f0.pdf
 ttp://www.virustotal.com/jp/analisis/5f913fdffa2e97b25217e25cfb72669fd55601730095fbb2994e20927b30c311-1244293344 (18/40)
fgrab.exe
 ttp://www.virustotal.com/jp/analisis/77e32d4a888950033e0d7a8e890abcc81aba2bdea0aa787a55d90a4b1a1b16bd-1244302274 (21/40)
flash_player_plugin.exe
 ttp://www.virustotal.com/jp/analisis/1fb50a9a18cf68e4b821c00d414bdf60d5f78f91c0162aee7eac7f21899af116-1244244497 (12/39)
index.htm
 ttp://www.virustotal.com/jp/analisis/d606fd7e19682aded2aa6ecdbdc149883ae0d2306e1b91b01361b469a5a2eb8c-1244301923 (7/40)
nonus.pdf
 ttp://www.virustotal.com/jp/analisis/4ef9e25e7af2d19b3e7f3294ce8f44c9a8c56e3fe98abb177d1605185f974138-1244293838 (20/40)
TubeViewer.ver.6.40000.exe
 ttp://www.virustotal.com/jp/analisis/8acd7f7be4765fb5fa51356cb5057708d50c879f36e1c64842c8fbb6ea7903df-1244298454 (8/40)

今までVTは利便性を考えて直リンしていたのですが、このスレのログの容量がヤバくなってきたので、今後はh抜きにします。
楽したい人は専ブラなどをご使用下さい。

352 :名無しさん@お腹いっぱい。:2009/06/07(日) 01:01:55
>>342 >>351
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

353 :61:2009/06/07(日) 01:05:18
>>351
AVIRA9 7.01.04.64
 300.exe - TR/Crypt.XPACK.Gen
 33t.js - (UNDER ANALYSIS)
 bot.exe - (UNDER ANALYSIS)
 codec.exe - (UNDER ANALYSIS)
 f0.pdf - HTML/Shellcode.Gen
 fgrab.exe - Worm/Autorun.anpb
 flash_player_plugin.exe - (UNDER ANALYSIS)
 index.htm - (UNDER ANALYSIS)
 nonus.pdf - HTML/Shellcode.Gen
 TubeViewer.ver.6.40000.exe - (MALWARE)
黒4,黒判断済み1(次回アップデート),解析中5。 未検出分 提出済み。

Kaspersky 2009/06/06 23:04:00
 300.exe - Email-Worm.Win32.Joleee.bwt
 33t.js - Trojan-Downloader.JS.Agent.ebn
 bot.exe -
 codec.exe - Trojan-Downloader.Win32.CodecPack.hyw
 f0.pdf - Exploit.Win32.Pidief.avs
 fgrab.exe - Worm.Win32.AutoRun.anpb
 flash_player_plugin.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.dr
 index.htm - Trojan-Downloader.JS.Agent.dty
 nonus.pdf - Exploit.Win32.Pidief.gx
 TubeViewer.ver.6.40000.exe - Trojan-Downloader.Win32.Agent.cesv
黒9,未検出1。 未検出分 提出済み。

354 :名無しさん@お腹いっぱい。:2009/06/07(日) 01:35:34
>>351
McAfee (Active Protection 無効)4/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
300.exe |inconclusive | | |no
33t.js |inconclusive | | |no
bot.exe |inconclusive | | |no
f0.pdf |inconclusive | | |no
fgrab.exe |new detection |generic pws.y!bb |Trojan |yes
index.htm |inconclusive | | |no

355 :名無しさん@お腹いっぱい。:2009/06/07(日) 06:16:50
Rising 2009
>>351
fgrab.exe: Trojan.Spy.Win32.Agent.etk
1/10
提出完了

356 :名無しさん@お腹いっぱい。:2009/06/07(日) 09:35:14
king 2009.6.6.21
>>351
\tane0364\fgrab.exe -Worm.AutoRun.75264
1/10
未検出分を提出させて頂きました。


357 :名無しさん@お腹いっぱい。:2009/06/07(日) 10:36:26
COMODO Internet Security 1274
>>318
全て検出

>>342
TrojWare.Win32.Exploit.Pidief.ayf@22292169 \tane0363\987.pdf
TrojWare.PHP.PHPInfo.g@19701243 \tane0363\malicious_PHP_07.txt
Unclassified Malware@9709070 \tane0363\malicious_PHP_04.txt
Unclassified Malware@17003753 \tane0363\malicious_PHP_02.txt
UnclassifiedMalware@22054418 \tane0363\malicious_PHP_01.txt
Heur.Suspicious@22090367 \tane0363\load.php
6/14

>>351
TrojWare.Win32.Trojan.Agent.Gen@22090678 \tane0364\300.exe
TrojWare.Win32.TrojanSpy.Zbot.Gen@22345451 \tane0364\bot.exe
TrojWare.Win32.Exploit.Pidief.avs@20976103 \tane0364\f0.pdf
Worm.Win32.AutoRun.anpb@22101067 \tane0364\fgrab.exe
4/10

未検出分を提出しました。




358 :名無しさん@お腹いっぱい。:2009/06/07(日) 13:42:46
Rising 2009 21.41.60 (21.32.60.00)
>>342
987.pdf: Hack.Exploit.Win32.PDF.jti
分析メールより
1、文件名:malicious_PHP_04.txt
病毒名:Backdoor.Win32.PHP.c
2、文件名:Install_2018.exe
病毒名:AdWare.Win32.FakeAV.cy
3、文件名:malicious_PHP_03.txt
病毒名:Backdoor.Win32.PHP.b
4、文件名:malicious_PHP_02.txt
病毒名:Backdoor.Win32.PHP.a
瑞星2009的21.32.61版本(瑞星2008的20.99.61版本)で対応予定
残り8体不是病毒との返答
総計: 1+5=6/14

359 :61:2009/06/07(日) 14:00:16
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=365
 DL virus/解凍 virus

【中身】 4個入っています。 87.106.103.122 関連です。
flash.swf
 ttp://www.virustotal.com/jp/analisis/8fa7088e7dae6ff5f9c4f5eaff14de22e2198b28946472486a5045e44d0d5b5d-1244345945 (8/39)
index.htm
 ttp://www.virustotal.com/jp/analisis/08a7c5e61ee496dee698109ace71f3c8172b1881b9b1ffd475a801e548481f19-1244346149 (0/39)
load.exe
 ttp://www.virustotal.com/jp/analisis/c32198ffeffcb8514d0f8d812a88ab72941ffd5e2139818027a1e58cdc613df5-1244341466 (2/39)
readme.pdf
 ttp://www.virustotal.com/jp/analisis/fc4b0883f1f94b5e9d9038c92c647ef8210abbcb13566a3ff62e46b34c8063ab-1244347244 (13/39)

index.htmは多分呼び出し用のスクリプトだと思いますが、暗号解読すんの面倒だったので、そのまま入れました。(;´д`)

AVIRA 7.01.04.65
 flash.swf - (UNDER ANALYSIS)
 index.htm - (UNDER ANALYSIS)
 load.exe - (UNDER ANALYSIS)
 readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
HEUR 1,解析中3。 全部提出済み。

Kaspersky 2009/06/07 7.01.04.65
 flash.swf - Exploit.SWF.Agent.az
 index.htm -
 load.exe -
 readme.pdf - Exploit.JS.Pdfka.ld
黒2,未検出2。 未検出分提出済み。

360 :名無しさん@お腹いっぱい。:2009/06/07(日) 14:06:27
>>359
Rising スルー、提出完了

361 :61:2009/06/07(日) 14:10:15
>>359 Kaspersky訂正
Kaspersky 2009/06/07 12:49
 flash.swf - Exploit.SWF.Agent.az
 index.htm -
 load.exe - Trojan.Win32.Pakes.nma
 readme.pdf - Exploit.JS.Pdfka.ld
黒3,未検出1。 一歩違いで検出可が+1

362 :名無しさん@お腹いっぱい。:2009/06/07(日) 14:44:49
>>359
McAfee (Active Protection 無効)1/4
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
index.htm |inconclusive | | |no
load.exe |inconclusive | | |no

363 :名無しさん@お腹いっぱい。:2009/06/07(日) 15:10:08
>>359

SymantecとPandaへ提出完了

Symantecから自動返答

filename: readme.pdf
machine: Machine
result: See the developer notes

filename: index.htm
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html


364 :名無しさん@お腹いっぱい。:2009/06/07(日) 15:31:11
ネトゲ関係のトロイの筈。
2つめは、そのまま圧縮しちゃうと34MB位あったので、7zを使って二重に圧縮しています。

全部撃墜か、まるっとスルーか明暗がはっきり出そうです。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=366
(こちらは普通の1段階圧縮。解凍パスも同じ。34ファイル)
infected

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=367
(2段階圧縮。解凍後出てくる、114anhui.7z はパスワードなし7z形式のアーカイブ。中に、202個入ってます)
infected

AntiVirは全部撃墜です。

365 :名無しさん@お腹いっぱい。:2009/06/07(日) 15:33:20
ごめん、367 の方は、連投規制でUP失敗してました。もうちょっと待ってから上げなおします。

366 :名無しさん@お腹いっぱい。:2009/06/07(日) 15:44:37
UPできましたので>364の通りで。

367 :名無しさん@お腹いっぱい。:2009/06/07(日) 16:12:45
>>359 >>364
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

368 :名無しさん@お腹いっぱい。:2009/06/07(日) 16:14:25
>>364
367はNortonとPandaは全検出確認

369 :名無しさん@お腹いっぱい。:2009/06/07(日) 16:34:04
king 2009.6.7.14
>>359
0/4
>>364
29/34
202/202
未検出分を提出させて頂きました。

370 :名無しさん@お腹いっぱい。:2009/06/07(日) 16:45:32
カスペ2010 15:00:00 検出状況

検体:>>342 (>>345)(tane0363)
4+事後提出2=6/14, 回答待ち8
Detected Trojan program Backdoor.PHP.Agent.de tane0363.zip/malicious_PHP_03.txt

検体:>>>351 d(tane0364)
>>353 代理提出 d
9/10のまま, 回答待ち1(bot.exe)

検体:>>>359 d (tane0365)
>>361 代理提出 d
3/4のまま, 回答待ち1(index.htm)

うーん、あまりヒューリスティックは差がないな。

>>364d
全検知(34/34, 202/202)

371 :名無しさん@お腹いっぱい。:2009/06/07(日) 16:51:54
Rising
>>364
>366
EtcフォルダはQvodSetup5.exeがSuspicious:Packer.Win32.UnkPacker.b、他対応済み
ff88567フォルダはすべて対応済み
tmhcarフォルダはスルー
jpgフォルダはすべてUnknown Win32 Virus
28+3(+1)/34
>367
すべて対応済み

372 :61:2009/06/07(日) 16:55:59
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=368
 DL virus/解凍 virus

【中身】 10個入っています。
install.exe
 ttp://www.virustotal.com/jp/analisis/934cbc0201f15191c2c12ea60c23354fdf1493eb878eeea510eaf4a7416be13d-1244355700 (2/39)
install2.exe
 ttp://www.virustotal.com/jp/analisis/9f180754d63b419228a77d4700edaddfe95d2337d4fcfe499a7758c0fc7188e4-1244358787 (18/38)
popingred.exe
 ttp://www.virustotal.com/jp/analisis/64e5eaa31484d51e527625262faa0a02783196fdce7fa5eb5ef463ea2481ab0b-1244354952 (10/38)
popingred.pdf
 ttp://www.virustotal.com/jp/analisis/e8bb27a858927e243c5dd673bdbef744b2fd0294285960ad12bc7751519ec6cf-1244354685 (16/38)
popingred.swf
 ttp://www.virustotal.com/jp/analisis/139af5e5b0583ef1549841b4775f6bf833df7bfb171df1a927a41ea1e7697a67-1244354425 (9/39)
scriptvirus01.htm
 ttp://www.virustotal.com/jp/analisis/16bdb623c5c274a978883297d07b84ce4b607e057f10b4b102a39829d195dd8d-1244356971 (15/38)
scriptvirus02.htm
 ttp://www.virustotal.com/jp/analisis/9df9b804049a3bf1826bd326b65a322969ffbf365967b5b7c7cd8cd3c24877f4-1244357254 (17/38)
scriptvirus03.htm
 ttp://www.virustotal.com/jp/analisis/4c8163bfd5abbea1b7691ff9dc63a94ba981879c2a4b87495ec5ed5d9fea228f-1244357495 (4/39)
scriptvirus04.htm
 ttp://www.virustotal.com/jp/analisis/30866ec7f40cbf802cca211fa5173e5f2ed9c03b9195c781d9a0c63d2855628f-1244359889 (12/8)
TubeViewer.ver.6.40000.exe
 ttp://www.virustotal.com/jp/analisis/de4d23d3fe1e98bada1bc07ec35cb38f3d524183673bd3b8d70da811c7da3ea1-1244358148 (5/38)

※ 現在VTパンク気味らしく、VT→各ベンダーに検体が出るのに、多分最低でも3日以上のタイムラグがあると思われます。
  先日、>342のInstall_2018.exeを6/2にVTにだけ出して、そのまま放置して確認。 VT提出後、丸3日経過しても>342の通りでVTでの検出率にほとんど変化が無い。

最終的にはベンダーに渡ると思いますが、一応ご注意下さい。(急ぐ人は、個別にベンダーへ提出した方が良いと思われます。)

373 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:07:31
Rising 2009 21.41.61 (21.32.61.00)
>>358
対応確認
>>359
flash.swf: Hack.Exploit.Win32.Swf.f
1/4
>>372
install2.exe: Trojan.Win32.FakeAV.oh
1/10
検体提出完了

374 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:09:02
COMODO Internet Security 1275
>>359
全てスルー。提出しました。

>>364
16/34
202/202

未検出分を提出しました。


375 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:11:17
>>372
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

VT→各ベンダーに検体提供は、あり得ないような気がします
せいぜい統計資料くらいでは?


376 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:15:41
king 2009.6.7.15
>>372
\tane0368\install2.exe -Win32.Troj.FakeAV.oh.478243
1/10
未検出分を提出しました。

377 :61:2009/06/07(日) 17:29:21
>>372
AVIRA9 7.01.04.65
 install.exe - (UNDER ANALYSIS)
 install2.exe - TR/Winwebsec.A.18
 popingred.exe - (UNDER ANALYSIS)
 popingred.pdf - EXP/PDF.16462
 popingred.swf - (UNDER ANALYSIS)
 scriptvirus01.htm - JS/Dldr.IFrame.BM
 scriptvirus02.htm - JS/Dldr.IFrame.BM
 scriptvirus03.htm - (UNDER ANALYSIS)
 scriptvirus04.htm - (UNDER ANALYSIS)
 TubeViewer.ver.6.40000.exe - (UNDER ANALYSIS)
黒4,解析中6。 未検出分 提出済み

Kaspersky 2009/06/07 15:00:00
 install.exe -
 install2.exe -
 popingred.exe - Trojan-Dropper.Win32.Microjoin.gqu
 popingred.pdf - Exploit.JS.Pdfka.jr
 popingred.swf - Exploit.SWF.Agent.au
 scriptvirus01.htm - HEUR:Trojan.Script.Iframer
 scriptvirus02.htm - Trojan-Clicker.HTML.IFrame.rt
 scriptvirus03.htm - HEUR:Trojan.Script.Iframer
 scriptvirus04.htm - Trojan-Clicker.HTML.IFrame.ey
 TubeViewer.ver.6.40000.exe - Trojan-Downloader.Win32.CodecPack.hza
黒6,HEUR 2,未検出2。 HEURと未検出は提出済み。

378 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:38:27
>>375
>VT→各ベンダーに検体提供は、あり得ないような気がします
>せいぜい統計資料くらいでは?

Prevx に検体提出先を問い合わせた際に、2007/10/04にはメールアドレスを指定され、
届かなくなったので、改めて問い合わせたところ、2008/03/18の返答では、VirusTotalに
Uploadするように指示されています。

少なくとも、特定のベンダーには、VTにUPされたファイルが回っていると思われます。

379 :61:2009/06/07(日) 17:41:49
>>364,370
おっと、KIS2009と差があります。 KIS2009は、tane0366の方で
 tmhcer\360.htm
 tmhcer\js.js
の2個だけ未検出です。(32/34) tane0367は、(202/202)で全部検出。

一応、他のとまとめて上記も送ります。

>353のbot.exeは、つい先程 bot.exe_ - Trojan-Downloader.Win32.Agent.cewa New malicious software was found in this file.
と新種判定のメール来ましたので、その内検出するようになるかと。


>>375
以前、VTから各ベンダーに検体が提供されているという話がありました。 ただし、VTのどこにも明記されていないのですが...
PrevxがVT経由で検体を受け取るという話があったらしい(まとめWikiに書いてある)ので、そこから話が出たのかもしれません。
また、マルウェア制作者のチェックに使われるのを防止するため、VT→ベンダーに検体が渡るという話もありました。

が、どっちにしても、今のVTは150,000検体/日の提出量なので、仕分けが自動であっても、全く当てにできないとは思います。
ただ、以前の話を覚えていて、“VTに出てるから放置”という人が出る可能性もあるので、念のため書いておきました。(汗

380 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:42:49
>>364
tane0366
McAfee (Active Protection 無効)28/34
未検出分をMcAfeeに提出させて頂きました。
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
360.htm |inconclusive | | |no
jpg.scr |inconclusive | | |no
js.js |inconclusive | | |no
jxsj9m.exe |inconclusive | | |no
sernn.exe |inconclusive | | |no
server.exe |inconclusive | | |no

>>364
tane0367
McAfee (Active Protection 無効)202/202

381 :375:2009/06/07(日) 17:58:50
>>378
VTで再確認するような指示だったのではないでしょうか?
各セキュリティベンダにはセキュリティポリシー(脅威判断)や技術水準で対応するかしないかの状況もあります

もしVTが各ベンダに検体提供しているのであれば・・・
対応が速い遅いを計算しても
今みたいな検出状況は、もっと平均化しているはずです

以前、VTが各セキュリティベンダに渡しているのではないか?という推測のニュースが流れたことがありましたが
実際には、別ルートからの技術的な努力対応だったようです
ですから淡い期待は抱かないことが賢明であります

382 :名無しさん@お腹いっぱい。:2009/06/07(日) 17:59:00
>>372
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
install.exe |inconclusive | | |no
popingred.exe |inconclusive | | |no
popingred.swf |inconclusive | | |no
scriptvirus03.htm |inconclusive | | |no
scriptvirus04.htm |inconclusive | | |no

383 :名無しさん@お腹いっぱい。:2009/06/07(日) 18:14:01
COMODO Internet Security 1276
>>372

1/10
未検出分を提出しました。

384 :61:2009/06/07(日) 20:49:04
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=369
 DL virus/解凍 virus

【中身】 10個入っています。
demos.exe
 ttp://www.virustotal.com/jp/analisis/3ff990d75a39fb0fa896f2fb319b40c00ecad1f99d35da9b5d8455dfa06dc970-1244372639 (22/39)
frfr5.exe
 ttp://www.virustotal.com/jp/analisis/e8165bde7ebbcd65464ee27f7121128885e91b373ce83a3adb53e1e1975ec5d8-1244370572 (21/39)
KB908117.exe
 ttp://www.virustotal.com/jp/analisis/0b0404d01611b40fe5c6a3cd494cf8e6326f62f898070f1449d4031b7765f097-1244373615 (12/38)
Keygen&Crack.45000.exe
 ttp://www.virustotal.com/jp/analisis/2703d1215f1e1b82cfdb1edc19081e21e7bac96bea0e8da4b60234025994ee29-1244368005 (3/38)
pore.htm
 ttp://www.virustotal.com/jp/analisis/c96f9198dad4759f4740a3933c11fea0a846a2eb6a49c9f664a325cf8cee2773-1244374235 (5/39)
scan_now.exe
 ttp://www.virustotal.com/jp/analisis/0fa79c5bd999fec233d34d02b79f5575c15cedf3346a731033920f8f9abc934d-1244370883 (7/39)
scriptvirus05.htm
 ttp://www.virustotal.com/jp/analisis/7fedf3cecf1dcaed2983b833229bb4fc5c15d3a74390d833d575410169b92552-1244371462 (16/38)
scriptvirus06.htm
 ttp://www.virustotal.com/jp/analisis/4a7cec9ba2a259d33194f730d3aeb483b6a881fb995af685eb52ed20bba5a10d-1244372210 (6/38)
svcshostes.exe
 ttp://www.virustotal.com/jp/analisis/576b39465fa48da2736003e91842a0baa3094e708f233718b518abffb8471ec7-1244372480 (13/39)
vv.exe
 ttp://www.virustotal.com/jp/analisis/1db0daee62d2103eab7c84383e05505b6d6612aaef14da7641f1ceabd6d2f65a-1244370371 (24/38)

次の10個。今週末、新種発生率高すぎ...orz

385 :61:2009/06/07(日) 20:58:13
>>384
AVIRA9 7.01.04.65
 demos.exe - TR/Spy.ZBot.6502.11
 frfr5.exe - TR/Drop.BHO.176640
 KB908117.exe - (UNDER ANALYSIS)
 Keygen&Crack.45000.exe - (UNDER ANALYSIS)
 pore.htm - (UNDER ANALYSIS)
 scan_now.exe - (UNDER ANALYSIS)
 scriptvirus05.htm - JS/Dldr.IFrame.BM
 scriptvirus06.htm - HEUR/HTML.Malware
 svcshostes.exe - (UNDER ANALYSIS)
 vv.exe - TR/PSW.FtpSteal.C
黒4,HEUR 1,解析中5。 未検出分 提出済み。

Kaspersky 2009/06/07 17:47:00
 demos.exe - Trojan-Spy.Win32.Zbot.gen
 frfr5.exe - Trojan.Win32.BHO.ufd
 KB908117.exe - Trojan.Win32.Rabbit.en
 Keygen&Crack.45000.exe - Trojan-Downloader.Win32.CodecPack.hza
 pore.htm - Trojan-Downloader.JS.LuckySploit.q
 scan_now.exe - Trojan-Downloader.Win32.FraudLoad.eoj
 scriptvirus05.htm - Trojan-Clicker.HTML.IFrame.rw
 scriptvirus06.htm - Trojan-Downloader.JS.LuckySploit.m
 svcshostes.exe
 vv.exe - Trojan-Downloader.Win32.FraudLoad.enw
黒9,未検出1。 未検出分 提出済み。

う〜、マルウェアがKB908117とか、嫌がらせかよぅ...

386 :名無しさん@お腹いっぱい。:2009/06/07(日) 20:58:15
>>381
その回答は1年前のものですので、本日改めて、検体投稿先について問い合わせを行ないました。
結果に変化があれば、まとめWikiの方を更新しておきます。該当ベンダーの返答があるまで静観願います。

387 :名無しさん@お腹いっぱい。:2009/06/07(日) 21:13:00
>>385
>う〜、マルウェアがKB908117とか、嫌がらせかよぅ.

定番の install.exe, setup.exe と同じく、確かに引っかかりやすそうだ。..

本来なら、WindowsXP-KBXXXXXX-x86-JPN.exeみたいな形だが、こういうファイル名を使われるのも時間の問題だなぁ。



388 :名無しさん@お腹いっぱい。:2009/06/07(日) 21:18:55
>>384
McAfee (Active Protection 無効)6/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
demos.exe |new detection |generic pws.y!bb |Trojan |yes
pore.htm |inconclusive | | |no
scan_now.exe |inconclusive | | |no
scriptvirus06.htm |inconclusive | | |no

389 :名無しさん@お腹いっぱい。:2009/06/07(日) 21:31:17
>>372
Pandaへ提出完了

>>384

SymantecとPandaへ提出完了

Symantecから自動返答(全部手動解析行き)

filename: scriptvirus06.htm
machine: Machine
result: See the developer notes

filename: KB908117.exe
machine: Machine
result: See the developer notes

filename: scriptvirus05.htm
machine: Machine
result: See the developer notes

filename: pore.htm
machine: Machine
result: See the developer notes

filename: Keygen-Crack.45000.exe
machine: Machine
result: See the developer notes


390 :名無しさん@お腹いっぱい。:2009/06/07(日) 21:34:20
>>384
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです

391 :名無しさん@お腹いっぱい。:2009/06/07(日) 22:29:16
>>384
Risingに提出完了

392 :名無しさん@お腹いっぱい。:2009/06/07(日) 22:55:56
カスペからの返事

検体:>>290 (>>294,299,328) (tane0358)

1+事後検出2=3/3でようやくFA

winqwl32.dll - Backdoor.Win32.WinUOJ.ap

This file is already detected. Please update your antivirus bases.



検体:>>>351 (>>370) d (tane0364)
>>379さんの言うとおり、17:47で
Detected Trojan program Trojan-Downloader.Win32.Agent.cewa   tane0364.zip/bot.exe
9+事後検出1=10/10でFA


あとは変わりなし。

393 :61:2009/06/07(日) 23:28:31
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=370
 DL virus/解凍 virus

【中身】 10個入っています。
188.pdf
 ttp://www.virustotal.com/jp/analisis/717d9a4051a0129949f4916a8d29a6fb557f16c3636bbec5258ff1631e7a8eb6-1244381832 (12/38)
cn.pdf
 ttp://www.virustotal.com/jp/analisis/decd5daa6c14426bd0a7a64d1ea3a569b5a425f3586827011480c74e0f4650d4-1244380608 (4/39)
flash_player_plugin.exe
 ttp://www.virustotal.com/jp/analisis/c18f5119dbae7962b236dd6235620e0331adcf27a9c2161c90f8d1d0a9452adf-1244381068 (8/39)
infect.php
 ttp://www.virustotal.com/jp/analisis/227f17fc312900ab70f7664f0ee835c141302388168a44022b57d79d775945e0-1244380288 (17/39)
load.exe
 ttp://www.virustotal.com/jp/analisis/0cc079854eb9d57694108cd8e7df0bac88255508f869fa27123e85ca02489031-1244382606 (12/38)
scriptvirus07.htm
 ttp://www.virustotal.com/jp/analisis/4b2fa5372c5c6f1eddaa8ea8aa45961d07ba528939fce89771b5151b6276c1e7-1244382208 (1/39)
scriptvirus08.htm
 ttp://www.virustotal.com/jp/analisis/da4701c5da82fd0c893db6027b4d22157e245e614d37529c3081b135eb55cde9-1244383112 (4/38)
scriptvirus09.htm
 ttp://www.virustotal.com/jp/analisis/1a59d24a2fca2da5018b1c1d4333b487f72dd1dedf305ad5e09892e0e247b128-1244384168 (4/39)
SetupPack.exe
 ttp://www.virustotal.com/jp/analisis/40a69c207ad341a1a22bcfd3c95ae6bb541b9e308cbb1a52c68d41734e21f4f3-1244379933 (3/38)
troj.exe
 ttp://www.virustotal.com/jp/analisis/7bae8ae128446cf7a0663359d3719355b3aaf14407f7bccf8ab08a41c5680f03-1244383354 (16/39)

scriptvirus08.htmとscriptvirus09.htmは、改変方法が違うだけで多分呼び出し先一緒。一応、ベンダーが両方合った方がわかりやすそうなので同梱。

394 :名無しさん@お腹いっぱい。:2009/06/07(日) 23:36:10
>>393
Risingスルー、提出中

395 :名無しさん@お腹いっぱい。:2009/06/07(日) 23:38:08
>Prevx の件
本日の回答:今後は、パスワード "infected" で固めたZIPを次のアドレスに投げてくれ。mik☆prevx.com.


今後は、同報メールでの提出時に、Prevx にも投げるようにしたいと思います。

>>381
いや、真面目に、今までの検体受付アドレスに届かなくなったがどこに送付したらよいかという問い合わせへの
返答でしたので、VTで再確認しろという趣旨ではありませんでした。

396 :61:2009/06/07(日) 23:38:12
>>393
AVIRA9 7.01.04.65
 188.pdf - EXP/Pidief.aim
 cn.pdf - (UNDER ANALYSIS)
 flash_player_plugin.exe - (UNDER ANALYSIS)
 infect.php - TR/Dldr.Murlo.bdg
 load.exe - (UNDER ANALYSIS)
 scriptvirus07.htm - (UNDER ANALYSIS)
 scriptvirus08.htm - JS/Dldr.Agent.csr
 scriptvirus09.htm - JS/Dldr.Agent.csr
 SetupPack.exe - (UNDER ANALYSIS)
 troj.exe - TR/Spy.ZBot.8345.1
黒5,解析中5。 未検出分 提出済み。

Kaspersky 2009/06/07 17:47:00
 188.pdf - Exploit.Win32.Pidief.axy
 cn.pdf -
 flash_player_plugin.exe -
 infect.php - Trojan-Downloader.Win32.Murlo.bdg
 load.exe - Email-Worm.Win32.Joleee.bzx
 scriptvirus07.htm - HEUR:Exploit.Script.Generic
 scriptvirus08.htm - HEUR:Trojan.Script.Iframer
 scriptvirus09.htm - HEUR:Trojan.Script.Iframer
 SetupPack.exe - not-a-virus:FraudTool.Win32.FastAntivirus2009.f
 troj.exe - Trojan-Spy.Win32.Zbot.gen
黒5,HEUR 3,未検出2。 HEURと未検出分 提出済み。

やっと終わりが見えてきた。

397 :名無しさん@お腹いっぱい。:2009/06/07(日) 23:42:32
>>393

Symantec、Panda、GDATA(=avast!、BitDefender)へ提出完了

Symantecから自動返答(今回も解析中との報告)

filename: cn.pdf
machine: Machine
result: See the developer notes

filename: SetupPack.exe
machine: Machine
result: See the developer notes

filename: scriptvirus08.htm
machine: Machine
result: See the developer notes

filename: flash_player_plugin.exe
machine: Machine
result: See the developer notes

filename: scriptvirus09.htm
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes


398 :名無しさん@お腹いっぱい。:2009/06/07(日) 23:58:41
>>393
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです
>>395
EUのフォーラムで
「VTにマルウェアをアップロードすれば、後日参加ベンダに行き渡りますよね〜」って聞いてごらん

けっこうウケると思うよ

399 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:04:25
カスペからの返事

検体:>>359d
>>361 代理提出d
2+事後検出1+1=4/4でFA

index.htm - Exploit.JS.Agent.aim


検体:>>372
>>377 代理提出d
8+追加検出2=10/10でFA
install.exe - Trojan-Downloader.Win32.FraudLoad.eoz
install2.exe - Trojan-Downloader.Win32.FraudLoad.eoy

最近のもの(>>384,393))は>>61さんの回答待ちにします。

400 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:08:16
KasperskyとAviraは相変わらず対応速度が速いし安定してるな
他のベンダーも頑張れ

401 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:08:53
>>393
McAfee (Active Protection 無効)1/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
188.pdf |new detection |exploit-pdf.d |Trojan |yes
cn.pdf |inconclusive | | |no
infect.php |new detection |generic downloader.x!dy |Trojan |yes
load.exe |new detection |generic.dx!gn |Trojan |yes
scriptvirus07.htm |inconclusive | | |no
scriptvirus08.htm |inconclusive | | |no
scriptvirus09.htm |inconclusive | | |no
setuppack.exe |inconclusive | | |no
troj.exe |new detection |generic pws.y!bb |Trojan |yes

402 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:18:34
>>398
prevxの検体提出アドレスが使用できなくなった際の問い合わせで、今後はVTにUploadしてくれという回答を
貰った時期があった(2008/03/18)という以上の情報を私からは出していません。

>けっこうウケると思うよ
その情報に基づいて憶測を広げるかどうかは個人の自由ですので止めは致しませんが、ここは一応
真面目なスレだと解釈していますので、煽るような発言は程々にして頂けないでしょうか。


ちなみに、VTのようなサイトの1つである Jotti の説明文には、このような一文があります。
 >Files uploaded here are shared with anti-virus companies so detection accuracy of their
 >anti-virus products can be improved. Read more about this in our privacy policy.
 >If you do not want your files to be distributed, please do not send them at all.
翻訳エンジン経由の訳によると
 >ここにアップロードされたファイルは、それらのアンチウイルス製品の検出精度を改良できるように
 >ウイルス対策会社と共有されます。 これに関して私たちのプライバシーに関する方針でもう少し読んでください。
 > あなたのファイルを分配して欲しくないなら、それらを全く送らないでください。

VirusTotal:アップされた検体の共有が行われているかは不明。Prevxが過去に提出はVTへと指示した時期がある。
VirSCAN.org:アップされた検体の共有が行われているかは不明。
Jotti's malware scan:指定しなければ、各ベンダーと共有されます

Jotti's のセキュリティポリシーと、VTにUpせよとの指定が混在して、VirusTotalへのUPでそのファイルは各ベンダーにも
提出されているのではないかという想定に繋がった可能性があります。以上。

403 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:22:29
訂正
VirSCAN.org:アップされた検体の共有が行われている。

>疑わしいものとして、アップロードしたファイルが検知されれば、VirSCANはファイルを送り、
>分析されるVirSCANサービスに参加する抗ウイルスのベンダーに離れて報告するでしょう。
>実際のマルウェアが見つかれば、アンチウイルスの会社は署名ウィルス・データベースを更新するでしょう。

いかにも機械語翻訳な解説の中にこのような文面がありましたので、VirSCAN.org も疑惑ファイルを
各ベンダーで共有しているようです。はっきりした説明がないのがVirusTotalだけということになりますね。

404 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:48:35
…度々すまん。VirusTotalも、各種ベンダーとファイルの共有をしているようです。
セキュリティポリシー(英文)のに段落目に下記のメッセージがありました。

ttp://www.virustotal.com/privacy.html
>When you submit a sample file to VirusTotal for scanning, we may store it and share these with
>anti-malware and security companies (normally the companies participants in VirusTotal receives
>the samples cataloged as malware that theirs engines do not detect). The samples can be analysed
>by automatic tools and security analysts to detect malicious code and to improve anti-virus engines.

機械翻訳後
>あなたがスキャンのためにサンプルファイルをVirusTotalに提出するとき、私たちは、反マルウェアと
>警備会社とそれを保存して、これらを共有するかもしれません(通常、VirusTotalの会社の関係者は
>彼等のものが蒸気機関を備えているマルウェアが、検出されないので、カタログに載せられたサンプルを
>受け取ります)。 自動ツールと証券アナリストは、悪質なコードを検出して、アンチウイルスエンジンを
>改良するためにサンプルを分析できます。

VirusTotal/VirSCAN.org/Jotti's malware scan のいずれも、提出されたファイルを、なんらかの方法で
セキュリティベンダーと共有するようです。ただし、ベンダーの窓口に直接送付した方が、対応は圧倒的に
早いようです。

405 :名無しさん@お腹いっぱい。:2009/06/08(月) 00:59:46 ?2BP(0)
煽るというか、ネタ振りでしょw

vt は、privacy.html に一筆入ってました
> When you submit a sample file ...

ってリロしたら気づかれてたw

意図的に一部破壊したり、アンパックしたマルウェアを分析させたりすることもあるので、
ベンダに送付されるのは引き止められないが、せめてコメントを書き添えたりできないか。
って頼んだりしたことがあるのですけど、いまんとこ「あーそういうのもいいかもね、考えときます」
くらいで放置されてますw

406 :61:2009/06/08(月) 01:36:30
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=372
 DL virus/解凍 virus

【中身】 8個入っています。
5.htm
 ttp://www.virustotal.com/jp/analisis/841212f2675b97bbf75d2ed4e4e58e4d9bee21e3b779f814f03962a899fcedfd-1244387297 (4/39)
Adobe-Flash-Player-Update-pack-2009-06-07.exe
 ttp://www.virustotal.com/jp/analisis/0649075b2f7a91c5491e2ee0034bbb7b0d3266d834886bd816e3ff5e4ef5ee76-1244390184 (11/39)
deisvop.htm
 ttp://www.virustotal.com/jp/analisis/476518440fa7e83bb5ba35ef32fc9a234659f577f270d0cd76d330fd2aa65b23-1244387955 (12/38)
install.exe
 ttp://www.virustotal.com/jp/analisis/ceb2a550b87210d6c16cabff6f6f07f8209133cc0e614ad4352ba5fc0cc20606-1244389759 (20/38)
load.exe
 ttp://www.virustotal.com/jp/analisis/104a0100ec20a129a4b4d64c5ba2f961d96125362c91acb1eed6eae3868c6e3f-1244388996 (16/38)
load2.exe
 ttp://www.virustotal.com/jp/analisis/03642e3e2ceab9b3de6c92e03893ad477509e0106e0c6ace1466fde19707e39c-1244390444 (21/38)
perce.exe
 ttp://www.virustotal.com/jp/analisis/cb23be0a06eda4898452f89df529b19485899d81c477284c9194f5e5c3457774-1244390913 (9/38)
Setup_build6_27.exe
 ttp://www.virustotal.com/jp/analisis/96ef88149ff92023f6dc8393c547ed3ad5f2938a3018c08a7105c63677ea6391-1244391167 (7/39)

今日はこれで終わりです。

407 :名無しさん@お腹いっぱい。:2009/06/08(月) 01:37:31
ちょっとVTでテストしてみました。

このマルウェアは、
VTが最初に受け付けたのは2008.12.31 でした
VTが最後に受け付けたのは2009.03.04 でした(6/38) ttp://g.imagehost.org/0209/a_3.jpg
                    ↓ 3ヶ月経過   ↓ 4社対応が増えた
再びVTで新規解析してみた2009.06.08結果が(10/39)でした ttp://g.imagehost.org/0915/a3.jpg

この結果からは、
VTが参加ベンダとマルウェア検体の共有をしているというのはあり得ないのではないのでしょうか?


408 :407:2009/06/08(月) 01:46:34
>>406
ここまでSymantecとMicrosoftとa-squaredとMalwarebytesに提出済みです

>VirusTotal/VirSCAN.org/Jotti's malware scan のいずれも、提出されたファイルを、なんらかの方法でセキュリティベンダーと共有
この件は、答えが見つかりそうも無いですね・・・

409 :61:2009/06/08(月) 01:48:09
>>406
AVIRA9 7.01.04.65
 5.htm - (UNDER ANALYSIS)
 Adobe-Flash-Player-Update-pack-2009-06-07.exe - SPR/Fraud.PrivC.2
 deisvop.htm - JS/Agent.AB
 install.exe - HEUR/Malware (UNDER ANALYSIS)
 load.exe - (UNDER ANALYSIS)
 load2.exe - TR/Crypt.XPACK.Gen
 perce.exe - (UNDER ANALYSIS)
 Setup_build6_27.exe - TR/Crypt.ZPACK.Gen
黒4,HEUR 1(解析中),解析中3。 未検出分 提出済み。

Kaspersky 2009/06/08 1:14:00
 5.htm - HEUR:Trojan.Script.Iframer
 Adobe-Flash-Player-Update-pack-2009-06-07.exe - not-a-virus:FraudTool.Win32.PrivacyCenter.dt
 deisvop.htm - Packed.JS.Agent.ab
 install.exe -
 load.exe - Trojan-Spy.Win32.Zbot.wig
 load2.exe - Trojan-Dropper.Win32.Agent.asui
 perce.exe -
 Setup_build6_27.exe -
黒4,HEUR 1,未検出3。 HEURと未検出提出済み。

>>399
最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w

410 :名無しさん@お腹いっぱい。:2009/06/08(月) 01:55:50
>>406
Panda、GDATA(=avast!、BitDefender)へ提出完了

411 :名無しさん@お腹いっぱい。:2009/06/08(月) 02:23:33
>>406
McAfee (Active Protection 無効)4/8
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
5.htm |inconclusive | | |no
load.exe |new detection |generic pws.y!be |Trojan |yes
load2.exe |new detection |generic dropper!bp |Trojan |yes
setup_build6_27.exe |inconclusive | | |no

412 :名無しさん@お腹いっぱい。:2009/06/08(月) 08:33:40
king 2009.6.7.19
>>384
tane0369\vv.exe /Win32.TrojDownloader.FraudLoad.44544
tane0369\scan_now.exe /Win32.TrojDownloader.FraudLoad.262672
tane0369\KB908117.exe /Win32.Troj.Rabbit.en.20703
3/10
>>393
tane0370\scriptvirus09.htm /JS.Agent.za.11918
tane0370\scriptvirus08.htm /JS.Agent.za.11918
2/10
>>406
tane0372\perce.exe /Win32.Troj.Undef.125956
tane0372\load.exe /Win32.Troj.Zbot.64512
2/8
未検出分を提出しました。

413 :名無しさん@お腹いっぱい。:2009/06/08(月) 10:11:12
カスペ2009 9:23

検体:>>384 d   (代理提出 >>385 d)
9+事後検出1=10/10でFA
Trojan program Trojan.Win32.Rabbit.eq   tane0369\svcshostes.exe

検体:>>393 d   (代理提出 >>396 d)
8+事後検出1=9/10(HEUR2含み)、未検知1 (cn.pdf)
Detected virus not-a-virus:FraudTool.Win32.PrivacyCenter.dt  tane0370.zip/flash_player_plugin.exe
Detected Trojan program Trojan-Downloader.HTML.IFrame.aad   tane0370.zip/scriptvirus08.htm (←HEUR:Trojan.Script.Iframer)



検体:>>406 d   (代理提出 >>409 d)
5+事後検出2=7/8, 未検知1( install.exe )

Detected Trojan program Trojan-Downloader.JS.Iframe.bdc   tane0372.zip/5.htm (←HEUR:Trojan.Script.Iframer)
Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epa   tane0372.zip/Setup_build6_27.exe
Detected Trojan program Trojan.Win32.Agent.cljd   tane0372.zip/perce.exe

>>409
>最近提出しすぎて返事あまり来ないので、適当に事後確認で。(w

了解。
未検出分、頃合いみて再送。
未だ、クローズしていない案件:>>342

414 :名無しさん@お腹いっぱい。:2009/06/08(月) 10:30:14
>>406
Rising 2009
install.exe: Suspicious:Trojan.DL.Win32.Downloader.GEN
load.exe: Suspicious:Packer.Win32.UnkPacker.a
0(+2)/8
提出済み

415 :名無しさん@お腹いっぱい。:2009/06/08(月) 11:01:42
COMODO Internet Security 1281

>>384
5/10

>>393
3/10

>>406
5/10

未検出分は提出しました

416 :名無しさん@お腹いっぱい。:2009/06/08(月) 14:24:51
>>407
> VTが参加ベンダとマルウェア検体の共有をしているというのはあり得ないのではないのでしょうか?

検体を共有してることと、共有してる検体を積極的に解析することは別の問題
VTみたいに味噌も糞も一緒に放り込まれるようなものは優先順位が低いと思うよ

417 :名無しさん@お腹いっぱい。:2009/06/08(月) 20:25:30
>>407
どのライン(一定の検出率を越えたら誤検出じゃない可能性が高いと見てベンダーに提出)で
チェックしてるかはわかんないですからねー。新種なんかの、検出率悪いのは誤検出の可能性と
判断して、ベンダーに回さないかもしれませんし。

>>395
Prevxの提出先ミス。届かないので問い合わせたら、1文字抜けてた模様。

Prevx(Prevx3) <mike☆prevx.com> これが正しい検体提出先だそうです。

418 :407:2009/06/08(月) 21:12:57
>>416-417
ちなみに407は正真正銘のRootKitです。

419 :413:2009/06/08(月) 21:26:29
検体:>>393   (>>396,>>413)

cn.pdf - Exploit.Win32.Pidief.azl

8+事後検出(1+1) = 10/10でクローズ

検体:>>406 (>>409,413)

install.exe - No malicious code was found in this file.
5+2=7/8、白1でクローズ

VTみていると、Trojan-Downloader.Renos.*** かなと思っていたけれど、カスペ判定では白だった。検出時には、VTでの他社検出状況は教えているが…。

※Trojan-Downloader.Renos attempts to download certain rogue anti-spyware application. (attempt to; 〜しようと試みる。rogue=無法者(の)、ごろつき)、リスク:中



420 :419:2009/06/08(月) 21:27:36
>>419
カスペからの返事です。すまぬ。

421 :名無しさん@お腹いっぱい。:2009/06/08(月) 21:40:58
>>418
対応して欲しければ窓口に直接送るのが一番良い
各社のWEBページに送り先が書いてあるでしょ >>4-8みたいなのが
普通に考えれば自社で収集してる企業は
ほとんどがVTの検体はチェックしてないと思うよ
収集能力の低い企業ほどVTの検体に頼ると思う

422 :418:2009/06/08(月) 21:44:53
>>421
昨夜Symantecに送っています。

423 :名無しさん@お腹いっぱい。:2009/06/08(月) 21:45:20
>>421
最近Ikarus元気なくね

424 :名無しさん@お腹いっぱい。:2009/06/09(火) 11:21:00
Rising 2009 21.42.04 (21.33.04.00)
>>351
codec.exe: Trojan.Win32.FakeAV.pc
1+1=2/10
>>384
KB908117.exe: Worm.Win32.Undef.hi
1/10

425 :名無しさん@お腹いっぱい。:2009/06/09(火) 14:01:18
king 2009.6.9.7
>>372
tane0368\TubeViewer.ver.6.40000.exe /Win32.TrojDownloader.CodecPack.70180
tane0368\popingred.exe /Win32.Troj.Microjoin.1590272
1+2/10
>>384
tane0369\svcshostes.exe /Win32.Troj.Rabbit.eq.20705
tane0369\Keygen&Crack.45000.exe /Win32.TrojDownloader.CodecPack.70180
tane0369\frfr5.exe /Win32.Troj.BHO.176640
3+3/10
>>393
tane0370\troj.exe /Win32.Troj.Zbot.83456
2+1/10
>>406
tane0372\load2.exe /Win32.Troj.Agent.34496
2+1/8


426 :名無しさん@お腹いっぱい。:2009/06/09(火) 15:20:13
>>15,72,289あたりと同類ですが一部スルーでした

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=373
infected

検出元
www●muswou●com/AVI.scr

AVI.scr 28/39 (71.79%)
http://www.virustotal.com/jp/analisis/e67d3f23cc0435deedb1ae29f0d05339098652f78aa257a043198574a9229ead-1244525051

427 :名無しさん@お腹いっぱい。:2009/06/09(火) 18:48:31
>>426
ファイル名は違うものの、同じ検体(6/6提出済み)
ttp://www.virustotal.com/analisis/e67d3f23cc0435deedb1ae29f0d05339098652f78aa257a043198574a9229ead-1244283936

ちらっと比較してみたところ、変な箇所が。

Antiy-AVL、ViRobot なんかは、提出後に対応してるのがわかりますが、
a-squaredは、検知してたのに、>426の結果だと、スルーに変化してる。再提出必要かな。

428 :名無しさん@お腹いっぱい。:2009/06/09(火) 19:01:36
>>426-427
a-squared4.5Freeで検査してみました。中身の本体である1199.exeを検知して、削除は可能でした。
検出名も、6/6の通り、Trojan.Crypt!IKのままです。

VTのパターンが、4.0→4.5になってるせいかもしれませんが、手元で検査したのも4.5.0.1なんですよね。
VTでスルーになってるのが解せませんが、実際は対応しているということで安心しておきましょう。

他の未検出のベンダーには、提出済みですが、Comodoユーザーの人は、再提出しといてもいいかも。
CAT-QuickHeal、Comodo、eTrust-Vet、Ikarus、K7AntiVirus、nProtect、Rising、Sunbelt、TheHacker 済み。

429 :名無しさん@お腹いっぱい。:2009/06/09(火) 19:11:02
Rising 2009 21.42.12 (21.33.12.00)
>>166
176+1=177/197
>>351
300.exe: Backdoor.Win32.Undef.drz
2+1=3/10
>>384
vv.exe: Trojan.PSW.Win32.Agent.etg
1+1=2/10
>>406
perce.exe: Trojan.Win32.Nodef.jwm
0(+2)+1=1(+2)/8
>>426
AVI.zip>>AVI.scr>>1199.exe: Trojan.Win32.Nodef.jwh

430 :名無しさん@お腹いっぱい。:2009/06/09(火) 20:43:17
>>427
tane0373/mpg.scr再提出完了(McAfee)

431 :349:2009/06/09(火) 21:56:57
>>342 (>>345,>>349)
カスペからの返事:

4+事後提出(1+3)=8/14、白6でクローズ。

load.php - Worm.Win32.AutoRun.aptw,
malicious_PHP_02.txt - Backdoor.PHP.Agent.df

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

malicious_PHP_01.txt, malicious_PHP_04.txt, malicious_PHP_05.txt, malicious_PHP_06.txt, malicious_PHP_08.txt, malicious_PHP_10.txt

No malicious code were found in these files.

malicious_PHP_03.txt - Backdoor.PHP.Agent.de

This file is already detected. Please update your antivirus bases.

Please quote all when answering.
The answer is relevant to the latest bases from update sources.

一応、これで未決分なし。

432 :61:2009/06/10(水) 01:18:51
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=374
 DL virus/解凍 virus

【中身】 1個入っています。 話題の216.154.213.166 関連です。
load.exe
 ttp://www.virustotal.com/jp/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244562650 (1/40)

AVIRA 7.01.04.77 - (UNDER ANALYSIS)
Kaspersky 2009/06/10 0:09:00 -

AVIRAもKasperskyもスルーしたので提出済み。 VT 1/40とか、なかなか壮観ですなぁ...

補足
・リストアップされていた35個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは6箇所。ただし、全部同じファイル。(IPアドレス同じなので、まあ予想通りだけど)
・flash.swfとindex.htmも落ちてきたが、これは>359と全く同じファイル。(MD5,SHA256 どっちも一緒)
・pdfは落ちてこなかった。(この感じだと、落ちてきたとしても多分>359と同じだったかも)

index.htmとflash.swfが同じなので、gnomeさん他の通り、87.106.103.122 → 216.154.213.166は同一犯確定でしょう。
exeファイルだけ入れ替えてるのかもしれません。

433 :名無しさん@お腹いっぱい。:2009/06/10(水) 01:23:19
COMODO Internet Security 1286
>>426
tane0373\AVI\AVI.scr Heur.Suspicious@22520887 成功

434 :名無しさん@お腹いっぱい。:2009/06/10(水) 01:25:51
COMODO Internet Security 1286
>>432
スルー 提出しました。

435 :名無しさん@お腹いっぱい。:2009/06/10(水) 02:05:07
>>432
Symantec、Panda、GDATA2009(=avast!&BitDefender)に提出完了

436 :名無しさん@お腹いっぱい。:2009/06/10(水) 02:20:56
>>432
Risingスルー、提出完了

437 :61:2009/06/10(水) 02:31:41
>>432
続いて213.165.80.179...なんだけど、落ちてくるファイルが全部>359,432と同じ。ヽ(`Д´)ノウワーン

・リストアップされていた65個のサイトを全部踏んでみた。
・load.exeが落ちて来たのは18箇所。ただし、全部>432と同じファイル。(ある程度予想はしてたが...)
・flash.swfとreadme.pdfは、>359と全く同じファイル。(ハッシュ値同じ)

む〜、35+65=100個サイト踏んで、新種1個だけか。

つか、どこにアクセスしても落ちてくるファイルが同じだと、逆に尻尾をつかまえやすい気がしなくもなし...誰かが1個捕まえて
検体提出したら全部のサイトが対策されてしまうんで、gumblarよりマヌケだな。 pdfとswfは入れ替えしないし。

gumblarみたいな、1サイトで24時間以内の再アクセス制限+1〜2日での新種入れ替えに比べると、緻密さが無い。 模倣犯かなぁ。

438 :名無しさん@お腹いっぱい。:2009/06/10(水) 02:55:51
>>437
この辺の奴?

ttp://jvnrss.ise.chuo-u.ac.jp/csn/index.cgi?p=cn%A5%C9%A5%E1%A5%A4%A5%F3%A4%F2%CD%F8%CD%D1%A4%B7%A4%BF+cocacola+%2C+income+%2Cpepsi+%A5%A4%A5%F3%A5%B8%A5%A7%A5%AF%A5%B7%A5%E7%A5%F3

GENOみたいにアクセス制御で検体拾いにくくしてる奴が稼動してるらしいです。
このサイトの解説は判りやすくていいね…っつーか、どうやったら安全に拾えるかだな。

439 :名無しさん@お腹いっぱい。:2009/06/10(水) 05:39:18
>>432
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no

440 :名無しさん@お腹いっぱい。:2009/06/10(水) 06:47:58
>>416
>>417
>>421
まぁ常識的に考えれば、VTなどの解析サイトが企業に検体を再配布することは無い
渡す渡さないで国際的な企業摩擦になるのは予想できるから予め取り決めがあるのでしょう

441 :名無しさん@お腹いっぱい。:2009/06/10(水) 07:16:17
king 2009.6.9.21
>>432(tane0374)
スルー
提出させて頂きました。

442 :名無しさん@お腹いっぱい。:2009/06/10(水) 07:25:09
>>432
大手ベンダーではAVG、Kaspersky、McAfee、NOD32、Symantecが対応
http://www.virustotal.com/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244586248

443 :名無しさん@お腹いっぱい。:2009/06/10(水) 10:05:02
>>440
また嘘かよ
無知なら黙ってろ

444 :名無しさん@お腹いっぱい。:2009/06/10(水) 16:39:42
VTについて、議論が多い(VT→ベンダーへの検体の提出)ので、分離するため、試験的にスレを立てた。

総合オンラインスキャンサービス VirusTotal, Jotti, VirScan
http://pc11.2ch.net/test/read.cgi/sec/1244619173/


まあ、dat落ちするなら、それまでということで。

445 :名無しさん@お腹いっぱい。:2009/06/10(水) 17:42:34
http://www.virustotal.com/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244623168
BitDefenderとAviraが対応

最近BitDefenderの対応速度が速くなった感じがするが中の人変わったのか?

あと最近Pandaに検体提出しても全く対応してくれない・・・
今までだったら1日でだいぶ対応してくれたのに・・・
Pandaに一体何があったんだが?

ってか検体提出アドレス合ってる?
もしかしてPandaの提出先変わった?
↓で合ってる?

virussamples@pandasecurity.com

446 :名無しさん@お腹いっぱい。:2009/06/10(水) 17:51:21
自分はpandasoftware.comに送ってるけど、
まぁ同じメールボックスだろうね。
返信来たことないから対応してくれてるのかは知らない
(VT等での追試はしない、というか送ったら削除しちゃってる)。

447 :名無しさん@お腹いっぱい。:2009/06/11(木) 13:38:16
COMODO Internet Security 1310

>>432はVSには反映されてないが対応済みです。
tane0374\load.exe TrojWare.Win32.Trojan.Agent.Gen@22657916

448 :名無しさん@お腹いっぱい。:2009/06/11(木) 16:03:12
Rising 2009 21.42.30 (21.33.30.00)
>>432
load.exe: Trojan.DL.Win32.Mnless.dvq

449 :名無しさん@お腹いっぱい。:2009/06/11(木) 16:23:29
>>432
VT最新の結果
http://www.virustotal.com/jp/analisis/282241277005d60f88749585f606ffdc2ea1be6ed6693b9dd73357522f95900a-1244705008

450 :名無しさん@お腹いっぱい。:2009/06/11(木) 16:29:00
>>449
一日でだいぶ対応されたな

451 :61:2009/06/12(金) 03:11:00
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=378
 DL virus/解凍 virus

【中身】 11個入っています。
bot.exe
 ttp://www.virustotal.com/jp/analisis/c7d948dc31d8c1edf5db7c17fb0171cab67a801e82be55d9dab4e04e2184b91b-1244739014 (20/40)
codec.exe
 ttp://www.virustotal.com/jp/analisis/da4537ad12455845fc4c94f93d8eafec1aa339b665cb96765162b5888a8089b6-1244739667 (13/39)
download.exe
 ttp://www.virustotal.com/jp/analisis/8cfac97637983f0b229c10ccbe2ffdc0bae6d094f098313febab538a5f3fe485-1244740386 (12/39)
ldr26.exe
 ttp://www.virustotal.com/jp/analisis/fab6f010a513e88f7397c1fb60333e076a1b264ff91aca0f08e4d83700599fca-1244742913 (12/39)
load.exe
 ttp://www.virustotal.com/jp/analisis/c7d948dc31d8c1edf5db7c17fb0171cab67a801e82be55d9dab4e04e2184b91b-1244731593 (20/40)
load2.exe
 ttp://www.virustotal.com/jp/analisis/01f8a46219acc32a149b4707bca32dfcca1d88fd794a27266a8f071a2845aea2-1244734853 (8/40)
load3.exe
 ttp://www.virustotal.com/jp/analisis/612022bd60334f8b1b79d5887d5515fda41cda55340bfd9f516ae041f89a519a-1244738316 (18/40)
pdf.pdf
 ttp://www.virustotal.com/jp/analisis/bf3acdeab9b8a35fad98fedac9cffd12e0e7733747d51b6660bfaa5b3a44a53a-1244738085 (14/40)
pdf2.pdf
 ttp://www.virustotal.com/jp/analisis/bc8d6b6d4254dd2472f90ba37550530449c59466523d6aa4494d68ea3f47759f-1244738519 (16/40)
readme.pdf
 ttp://www.virustotal.com/jp/analisis/cdd850eefa7ecdcf02da94a50acf335535c6763e58f3132c4a0a095232fc6ce9-1244738694 (8/40)
softwarefortubeview.40009.exe
 ttp://www.virustotal.com/jp/analisis/cd9c4d79db251775cd33d16028832a4f31c95896bd253864e8b0d0a541636d8f-1244741062 (5/39)

452 :61:2009/06/12(金) 03:21:26
>>451
AVIRA9 7.01.04.84
 bot.exe - TR/Spy.ZBot.8294.2
 codec.exe - (UNDER ANALYSIS)
 download.exe - TR/Dropper.Gen
 ldr26.exe - TR/Crypt.XPACK.Gen
 load.exe - TR/Spy.ZBot.8294.2
 load2.exe - (UNDER ANALYSIS)
 load3.exe - TR/Dldr.Small.jvn
 pdf.pdf - HTML/Malicious.PDF.Gen
 pdf2.pdf - HTML/Malicious.PDF.Gen
 readme.pdf - HEUR/HTML.Malware
 softwarefortubeview.40009.exe - (UNDER ANALYSIS)
黒7,HEUR 1,解析中3。HEURと未検出分 提出済み。

Kaspersky 2009/06/12 2:24:00
 bot.exe - Trojan-Spy.Win32.Zbot.gen
 codec.exe - Trojan-Downloader.Win32.CodecPack.hzh
 download.exe -
 ldr26.exe -
 load.exe - Trojan-Spy.Win32.Zbot.gen
 load2.exe - Trojan.Win32.Inject.adng
 load3.exe - Trojan-Downloader.Win32.Small.jvn
 pdf.pdf -
 pdf2.pdf -
 readme.pdf -
 softwarefortubeview.40009.exe
黒5,未検出7。未検出分 提出済み。

453 :名無しさん@お腹いっぱい。:2009/06/12(金) 03:23:20
>>451


SymantecとPandaとGDATA2009(=avast!&BitDefender)に提出完了

454 :名無しさん@お腹いっぱい。:2009/06/12(金) 03:26:01
>>451
Symantecから自動返答(全部解析中)

filename: readme.pdf
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes

filename: bot.exe
machine: Machine
result: See the developer notes

filename: ldr26.exe
machine: Machine
result: See the developer notes


それにしてもちょっと前までは全部未検出検体の場合は返事が来るのが遅くて一個でも検出できる検体が混ざってると今回みたいに1分足らずで返事が来るシステムだった記憶だったんだが・・・
返答システム変わったのか?

455 :名無しさん@お腹いっぱい。:2009/06/12(金) 03:41:59
Rising 2009 21.42.34 (21.33.34.00)
>>372
install.exe: Trojan.DL.Win32.Undef.eve
1+1=2/10
>>393
flash_player_plugin.exe>>pc.exe: Trojan.Win32.FakeAV.pv
flash_player_plugin.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/10
>>406
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>pc.exe: Trojan.Win32.FakeAV.pv
Adobe-Flash-Player-Update-pack-2009-06-07.exe>>agent.exe: Trojan.Win32.FakeAV.pu
1/8
>>451
download.exe: Trojan.Win32.FakeAV.oh
softwarefortubeview.40009.exe: Trojan.DL.Win32.Xpav.a
ldr26.exe: Suspicious:Packer.Win32.UnkPacker.a
2(+1)/11
検体提出完了

456 :名無しさん@お腹いっぱい。:2009/06/12(金) 04:27:18
あぷろだの375、376は報告ないが、誰だよ。DLパスワードもわからんので、検出対象かすらわからん。
virus infected は違いました。orz

457 :名無しさん@お腹いっぱい。:2009/06/12(金) 05:17:54
>>451
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

458 :名無しさん@お腹いっぱい。:2009/06/12(金) 06:18:23
>>451
McAfee (Active Protection 無効)3/11
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bot.exe |new detection |generic pws.y!bp |Trojan |yes
codec.exe |heuristic detection |new malware.jj |Trojan |no
ldr26.exe |inconclusive | | |no
load.exe |new detection |generic pws.y!bp |Trojan |yes
load2.exe |inconclusive | | |no
load3.exe |inconclusive | | |no
pdf.pdf |heuristic detection |exploit-pdf.q.gen!stream |Trojan |no
readme.pdf |inconclusive | | |no

459 :名無しさん@お腹いっぱい。:2009/06/12(金) 07:21:03
>>456
あーごめん、こないだのパス忘れ…

…じゃない 俺のじゃなかった

サイズが詰め合わせっぽいが、なんだろね

460 :名無しさん@お腹いっぱい。:2009/06/12(金) 08:33:36
COMODO Internet Security 1316
>>451
TrojWare.Win32.Trojan.Agent.Gen@22908802 \tane0378\load2.exe
Heur.Suspicious@22908471 \tane0378\ldr26.exe
Heur.Suspicious@22636214 \tane0378\load3.exe
3/11
未検出を提出しました。

461 :名無しさん@お腹いっぱい。:2009/06/12(金) 09:04:46
king 2009.6.11.18
>>451
tane0378\load3.exe /Win32.TrojDownloader.Small.19456
1/11
未検出分を提出しました。


462 :名無しさん@お腹いっぱい。:2009/06/12(金) 12:28:24
カスペ2009 12:00
>>451 d
>>452 代理提出d
5+事後検出1=6/12

Detected Trojan program Trojan-Downloader.Win32.FraudLoad.epl tane0378.zip/softwarefortubeview.40009.exe

検出状況を注視

463 :462:2009/06/12(金) 23:42:22
>>451 (>>452,>>462)

数時間前検体提出、カスペからの返事
5+事後検出(1+3)=9/11, 回答待ち2 (pdf.pdf, pdf2.pdf)

readme.pdf - Exploit.Win32.Pidief.azr
download.exe_ - Trojan-Downloader.Win32.FraudLoad.wbxz
ldr26.exe_ - Trojan-Downloader.Win32.Agent.cfma

New malicious software was found in this file.
It's detection will be included in the next update. Thank you for your help.

464 :463:2009/06/13(土) 01:45:29
>>451 (>>452,>>462,>>463)

カスペからの返事
5+事後検出6=11/11でクローズ


pdf.pdf - Exploit.Win32.Pidief.azt
pdf2.pdf - Exploit.Win32.Pidief.azs

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.



465 :名無しさん@お腹いっぱい。:2009/06/13(土) 08:02:35
Rising 2009 21.42.44 (21.33.44.00)
>>364
>366
Etc\QvodSetup5.exe: Suspicious:Packer.Win32.UnkPacker.b → Dropper.Win32.Undef.abe
29+3/34
>>451
bot.exe: Trojan.Win32.Nodef.jyl
load.exe: Trojan.Win32.Nodef.jyl
2(+1)+2=4(+1)/11

466 :名無しさん@お腹いっぱい。:2009/06/13(土) 13:25:04
>>451
Norton全検出確認
Panda検出数:7
GDATA2009検出数:8

467 :名無しさん@お腹いっぱい。:2009/06/13(土) 14:17:48
king 2009.6.12.21
>>451
tane0378\softwarefortubeview.40009.exe /Win32.TrojDownloader.Xpav.a.78967
tane0378\download.exe /Win32.Troj.FakeAV.oh.491318
tane0378\codec.exe /Win32.TrojDownloader.CodecPack.42991
1+3=4/11

468 :名無しさん@お腹いっぱい。:2009/06/13(土) 17:00:02
NOD32 v3.0 定義4152
>>451 8/11
softwarefortubeview.40009.exe Win32/TrojanDownloader.FakeAlert.ACE トロイの木馬
tane0378\pdf2.pdf PDF/Exploit.Pidief.OJS.Gen トロイの木馬
tane0378\pdf.pdf PDF/Exploit.Pidief.OOW トロイの木馬
load3.exe Win32/TrojanDownloader.Agent.PEH トロイの木馬
load2.exe Win32/TrojanDownloader.Bredolab.AA トロイの木馬
load.exe Win32/Spy.Zbot.JF トロイの木馬
ldr26.exe Win32/TrojanDownloader.Agent.PEA トロイの木馬
bot.exe Win32/Spy.Zbot.JF トロイの木馬

未検出ぶんをEsetへ提出しました


469 :名無しさん@お腹いっぱい。:2009/06/13(土) 17:41:16
>>451
McAfee
バージョン:13.3
ビルド:13.3.127
DATのバージョン:5644.0000
エンジンのバージョン:5301.4018

なんかタイミングによって検出できたりできなかったり...

(1)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
  場所: bot.exe
(2)検出済み: FakeAlert-WinwebSecurity.a (トロイの木馬), FakeAlert-WinwebSecurity.a (トロイの木馬)
  場所: download.exe
(3)検出済み: Generic PWS.y!bp (トロイの木馬), Generic PWS.y!bp (トロイの木馬)
  場所: load.exe
(4)検出済み: Artemis!2303006FA299 (トロイの木馬)
  場所: load3.exe
(5)検出済み: Exploit-PDF.q.gen!stream (トロイの木馬)
  場所: pdf.pdf
(6)検出済み: Exploit-PDF.f (トロイの木馬)
  場所: pdf2.pdf
(7)検出済み: Downloader-BQI (トロイの木馬), Downloader-BQI (トロイの木馬)
  場所: softwarefortubeview.40009.exe
(8)検出済み: Artemis!19EEF1B8B7A9 (トロイの木馬)
  場所: codec.exe
(9)検出済み: Artemis!1C14CAC07BD2 (トロイの木馬)
  場所: ldr26.exe
(10)未検出
  pdf2.pdf
(11)未検出:
  readme.pdf

470 :469:2009/06/13(土) 17:45:30
検出タイミングは以下の3つ

a)Vistaの標準ツールで解凍すると全て検出
b)7zipで解凍すると>>469の(1)-(7)まで検出
c)b)のあとで解凍後のフォルダの名前を変更すると(8)-(9)を検出
d)(10)-(11)はa)以外では検出されない、手動スキャンでも...

471 :469:2009/06/13(土) 17:50:14
念のため補足
× a)Vistaの標準ツールで解凍すると全て検出
○ a)Vistaの標準ツールで解凍すると(1)-(11)まで全て検出

472 :名無しさん@お腹いっぱい。:2009/06/13(土) 19:00:36
7zipの問題だろ
あるいは圧縮したソフトと言うこともあり得るけど
スレ違い気味

473 :名無しさん@お腹いっぱい。:2009/06/13(土) 19:02:34
ごめん違うか
マカフィーがバカフィーって可能性もあるな

474 :61:2009/06/14(日) 12:46:02
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=379
 DL virus/解凍 virus

【中身】 10個入っています。
codec2.exe
 ttp://www.virustotal.com/jp/analisis/cb356ad30e0904a4c519326efe8ad8b5c999c535084018ee29f2629d7cc327af-1244944568 (12/39)
flash.swf
 ttp://www.virustotal.com/jp/analisis/a49e6af1e8ce1314d5950ec4085271f230dcaf6e6250bef3cab48cb5fa760faa-1244946090 (8/39)
install.exe
 ttp://www.virustotal.com/jp/analisis/ed9d7cde5205999b17e97a83e2466a5b74fe28277630c8fd5753470ce80487ea-1244947322 (12/39)
load.exe
 ttp://www.virustotal.com/jp/analisis/2de855939085500e72da3771edf480f06b062cbd265721f4d19437d0c8cf4d0c-1244946405 (5/40)
load2.exe
 ttp://www.virustotal.com/jp/analisis/023097a369eac7d4346895266011957be63ab5ce32463774d2830e72339b7463-1244948439 (13/40)
me.exe
 ttp://www.virustotal.com/jp/analisis/f20a5ab7c51bb92c3e5281b5e91746393d6c1131d06a764b4b64c728855b738a-1244944150 (30/40)
pcdef.exe
 ttp://www.virustotal.com/jp/analisis/1a1723a2185fa50b779cd73ed76f11c8f5ef570d9481e5fc15edda7c6c233e2c-1244944961 (17/39)
readme.pdf
 ttp://www.virustotal.com/jp/analisis/8199f57b7fdb051aa5adb285177bf688c87409a70b0f63442938fb1710bcb546-1244946892 (15/39)
readme2.pdf
 ttp://www.virustotal.com/jp/analisis/7c7293de0dc0e63e6d6b5bd85a9aa766563bdd3152ceeca08b36fba2c09960d9-1244948094 (10/40)
ws.exe
 ttp://www.virustotal.com/jp/analisis/e7ea88dbed011f4907a854539491f55a09239861aa33bbf37117ebce64a9f268-1244949856 (11/39)

me.exeは、実質TrendMicro専用です。最近zbot系への対応悪い(VTに投げていると、TrendMicroだけ未検出ってのが増えてる)気がするので、
サンプルとして入れてあります。 バスター使いの人がいたら、提出してみて下さい。
※ TrendMicroが、zbot系の不検出が多いのが、故意なのか偶然なのかわからないので。

475 :名無しさん@お腹いっぱい。:2009/06/14(日) 12:57:36
>>474
ここまでSymantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

476 :61:2009/06/14(日) 13:00:34
>>474
AVIRA9 7.01.04.88
 codec2.exe - (UNDER ANALYSIS)
 flash.swf - (UNDER ANALYSIS)
 install.exe - (UNDER ANALYSIS)
 load.exe - (UNDER ANALYSIS)
 load2.exe - TR/Crypt.ZPACK.Gen
 me.exe - TR/Crypt.ZPACK.Gen
 pcdef.exe - (UNDER ANALYSIS)
 readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
 readme2.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
 ws.exe - TR/Dropper.Gen
黒3,HEUR 2,解析中5。未検出とHEUR 提出済み。

Kaspersky 2009/06/14 12:06:00
 codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
 flash.swf -
 install.exe -
 load.exe -
 load2.exe - Trojan-Spy.Win32.Zbot.gen
 me.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
 pcdef.exe -
 readme.pdf -
 readme2.pdf - Exploit.JS.Pdfka.lf
 ws.exe -
黒4,未検出6。未検出分 提出済み。

最近AVIRAもKasperskyもパンク気味で、以前に比べて対応に遅れが出始めてますね...遅れてるといっても、1〜2日で対応してますが。
MDL見てても思うけど、6月に入ってからMalwareの量が非常に増えているので、各ベンダーとも大変そうです。

477 :名無しさん@お腹いっぱい。:2009/06/14(日) 13:02:26
Rising 2009 21.42.60 (21.33.60.00)
>>474
me.exe: Trojan.Spy.Win32.Agent.epp
提出完了

478 :名無しさん@お腹いっぱい。:2009/06/14(日) 13:03:40
>>474
Symantec、Panda、GDATA2009(=avast!&BitDefender)へ提出完了

479 :61:2009/06/14(日) 13:40:28
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=380
 DL virus/解凍 virus

【中身】 2個入っています。ここ数日、私の所に大量に送られてきているウイルスメールの付属物
ecard.exe
 ttp://www.virustotal.com/jp/analisis/4bba4356e1e77d93d335551bbe9442718c79f85d3c43e891c227fbc811d1de15-1244953024 (32/39)
sms_reader_trial.exe
 ttp://www.virustotal.com/jp/analisis/9c8bb72ac4843d472314f3ee9b657e9918e8007f76d140258ffebc80901e4708-1244953128 (32/40)

ちょっと改変されているだけで、多分同じもの。 なんだけど、これもTrendMicroがスルーするので、気になるから上げてみた。

メジャーなウイルスで、しかも大量にメールで飛び交っている(私の方は会社にも同じ物が来ている)のに、日本で使われている製品で
バスターとAhnLabがスルーするのは、とってもマズイ気がする。(特にバスターがスルーしちゃうのは、コーポレート版もあるし...)

480 :名無しさん@お腹いっぱい。:2009/06/14(日) 14:36:03
>>474
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
install.exe |new detection |generic fakealert.k |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
readme2.pdf |inconclusive | | |no

481 :名無しさん@お腹いっぱい。:2009/06/14(日) 16:22:07
king 2009.6.14.15
>>474(tane0379)
0/10 未検出分を提出しました。
>>479
tane0380\sms_reader_trial.exe /Win32.TrojDownloader.FraudLoad.38144
tane0380\ecard.exe /Win32.TrojDownloader.FraudLoad.38144
2/2

482 :名無しさん@お腹いっぱい。:2009/06/14(日) 17:30:19
>>474 d tane0379
>>476 代理提出d

カスペ2010(ベータ) 15:44:00
4+事後検出3=7/10

Detected Trojan program Exploit.Win32.Pidief.baf   tane0379.zip/readme.pdf
Detected virus not-a-virus:FraudTool.Win32.InternetAntivirus.cg   tane0379.zip/install.exe
Detected Trojan program Trojan.Win32.Inject.adnm   tane0379.zip/load.exe

483 :名無しさん@お腹いっぱい。:2009/06/14(日) 18:28:27
COMODO Internet Security 1327

>>474
全てスルー

>>479
tane0380\ecard.exe Heur.Packed.Unknown
tane0380\sms_reader_trial.exe Heur.Packed.Unknown
2/2

未検出分を提出しました

484 :61:2009/06/14(日) 20:01:43
>>476
超久しぶりにKasperskyから返答がキタ━(゚∀゚)━!

flash.swf - 白
ws.exe - 白

install.exe - not-a-virus:FraudTool.Win32.InternetAntivirus.cg
load.exe - Trojan.Win32.Inject.adnm,
readme.pdf - Exploit.Win32.Pidief.baf
pcdef.exe - not-a-virus:FraudTool.Win32.WinPCDefender.aw

黒8,白2でclose.

485 :61:2009/06/14(日) 21:42:06
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=381
 DL virus/解凍 virus

【中身】 10個入っています。
1.exe
 ttp://www.virustotal.com/jp/analisis/73d3f4e6a11952ded19b8b0a5968df6e3addc99fbc321c0c74c27762a17e7ee3-1244978349 (17/39)
bin.exe
 ttp://www.virustotal.com/jp/analisis/263cbd749957ff07bbbb11fb5d7e2ed539ab976dcd1cc278eee4438fe8de362f-1244981632 (16/39)
bot.exe
 ttp://www.virustotal.com/jp/analisis/5a58c5b7ddc3c41dd0e213f62052be6ad750649e5e62fcad2af0dad09952cd6e-1244979358 (23/37)
codec.exe
 ttp://www.virustotal.com/jp/analisis/8ae199449c748ee8d01c63f76c08fe59046a102fa52fcb5d5aaaa24068908dbc-1244980067 (16/40)
codec2.exe
 ttp://www.virustotal.com/jp/analisis/8cd6752a8c7439762a88a5da5cbe92b0ee625fabc9ab46d8a2201b93b89891df-1244980359 (13/39)
codec3.exe
 ttp://www.virustotal.com/jp/analisis/a453149140b1e7dc6b02fe27cbea62c0803e83af161c6b19cd6371104957b975-1244980590 (13/40)
ldr.exe
 ttp://www.virustotal.com/jp/analisis/32874c0aaf4c9ffecf43c43ab10c2a44fe9cda8161aa85816240c19b9155506a-1244982192 (26/39)
nero_key.exe
 ttp://www.virustotal.com/jp/analisis/51cdbb78e600f07772796882030e3ff9c493e34d3b243e45fdfe6e29aafa5826-1244982565 (11/39)
xpsp2patch.exe
 ttp://www.virustotal.com/jp/analisis/17a94ab631354f034a794c7d00ab5f233e691ab9114a5d616c173f4bed576385-1244981253 (12/39)
id.htm
 ttp://www.virustotal.com/jp/analisis/09dad00e14caf2699fc1b8aa8e45ce137e33fb08539a8f039ebbac667ebe51d4-1244981822 (2/40)

codecとcodec2とcodec3は、多分ちょっと改変されているだけで同種のマルウェアだと思いますが、微妙にVTの結果などが違うので同梱。
にしても、今度はxpsp2patchとか...KBxxxxxxもそうだけど、セキュリティソフトが検出できないと簡単に引っかかりそうだ。

486 :名無しさん@お腹いっぱい。:2009/06/14(日) 21:48:33
>>485

SymantecとPandaとGDATA2009(avast!&BitDefender)へ提出完了

Symantecから自動返答

filename: id.htm
machine: Machine
result: See the developer notes

filename: nero_key.exe
machine: Machine
result: See the developer notes

filename: xpsp2patch.exe
machine: Machine
result: See the developer notes

filename: 1.exe
machine: Machine
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html


487 :61:2009/06/14(日) 21:51:20
>>485
AVIRA9 7.01.04.88
 1.exe - TR/Crypt.ZPACK.Gen
 bin.exe - TR/Crypt.ZPACK.Gen
 bot.exe - TR/Spy.ZBot.7680.1
 codec.exe - (UNDER ANALYSIS)
 codec2.exe - (UNDER ANALYSIS)
 codec3.exe - (UNDER ANALYSIS)
 ldr.exe - TR/Crypt.ZPACK.Gen
 nero_key.exe - (UNDER ANALYSIS)
 xpsp2patch.exe - TR/Dropper.Gen
 id.htm - (UNDER ANALYSIS)
黒5,解析中5。 未検出分 提出済み。

Kaspersky 2009/06/14 20:38:00
 1.exe - Trojan-Spy.Win32.Zbot.wpr
 bin.exe - Trojan-Spy.Win32.Zbot.gen
 bot.exe - Trojan-Spy.Win32.Zbot.gen
 codec.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
 codec2.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
 codec3.exe - Trojan-Downloader.Win32.FraudLoad.wbyk
 ldr.exe - Trojan-Spy.Win32.Zbot.gen
 nero_key.exe - Trojan.Win32.FraudPack.out
 xpsp2patch.exe - Trojan-Dropper.Win32.Small.dlh
 id.htm -
黒9,未検出1。 id.htmは、後程別の物とまとめて提出しますが、先に出したい方は、提出お願いします。

488 :名無しさん@お腹いっぱい。:2009/06/14(日) 21:56:19
COMODO Internet Security 1327
>>485
全てスルー 提出しました。

489 :名無しさん@お腹いっぱい。:2009/06/14(日) 22:01:11
>>474 (>>476,482)

カスペ2010 20:38:00
7+追加検出3=10/10でクローズ

Quarantined Trojan program Exploit.SWF.Agent.bb   tane0379\flash.swf
Quarantined virus not-a-virus:FraudTool.Win32.WinPCDefender.aw   tane0379\pcdef.exe
Quarantined Trojan program Trojan-Downloader.Win32.FraudLoad.eqd   tane0379\ws.exe

>>484と違うのは、アナリスト偏差かな。
まれに、同じ検体でも、カスペ内で判定分かれるね。
困った。orz

>>487の id.htm は先に提出しておきます。

490 :61:2009/06/14(日) 22:02:48
>>484
判定ひっくり返しキタ━(゚∀゚)━!
 flash.swf - Exploit.SWF.Agent.bb
 ws.exe - Trojan-Downloader.Win32.FraudLoad.eqd

何か最近このパターン増えてきた気が...

491 :名無しさん@お腹いっぱい。:2009/06/14(日) 22:14:06
>>485
McAfee (Active Protection 無効)5/10
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
bin.exe |inconclusive | | |no
id.htm |inconclusive | | |no
nero_key.exe |inconclusive | | |no
xpsp2patch.exe |inconclusive | | |no

492 :名無しさん@お腹いっぱい。:2009/06/14(日) 22:52:38
Rising 2009 21.42.62 (21.33.62.00)
>>479
ecard.exe: Trojan.DL.Win32.Small.zuv
sms_reader_trial.exe: Trojan.DL.Win32.Small.zuv
2/2
>>485
1.exe: Suspicious:Packer.Win32.UnkPacker.a
(+1)/10
提出完了

493 :61:2009/06/14(日) 23:33:18
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=382
 DL virus/解凍 virus

【中身】 42個入っています。
・www.2a8k.cn/d/1.exe〜99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.104.15
・数が多すぎて全部VTに投げていません。適当に5個投げた結果はこんな感じです。
 1.exe - ttp://www.virustotal.com/jp/analisis/dd81cdc31b4d82be6ebb4ac45b457bbe3e48b737219cfd72c7b573828bdb243c-1244988916 (14/40)
 6.exe - ttp://www.virustotal.com/jp/analisis/e3bce0340defe9baec3e63159bdc6fbba38ce395bd7939949299f40e4d2b5312-1244989405 (12/39)
 11.exe - ttp://www.virustotal.com/jp/analisis/d5bc363dfabb37a318ffcc66c31f5a583a5d65ae25ad91da51f451f38fe310d3-1244989208 (34/40)
 16.exe - ttp://www.virustotal.com/jp/analisis/b6a69a025cc55d48b5a5e0725691240fd1ef5e7f3a9628d927724598d833f990-1244989579 (38/40)
 50.exe - ttp://www.virustotal.com/jp/analisis/195a81ec0a36a285776297700bc5dd81b0899fc7dfab97d5cf91de92ce82ca47-1244987895 (20/39)
新旧ごちゃ混ぜって感じです。 マルウェアのコレクターか何かですかね...?

AVIRA 42/42 全検出
Kaspersky 41/42検出,未検出1(6.exe) 6.exeと>487と一緒に提出。

>>489
アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。

494 :名無しさん@お腹いっぱい。:2009/06/14(日) 23:53:21
>>493
McAfee (Active Protection 無効)35/42
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
1.exe |inconclusive | | |no
22.exe |inconclusive | | |no
28.exe |new detection |pws-mmorpg!t |Trojan |yes
34.exe |new detection |generic pws.y!bt |Trojan |yes
37.exe |inconclusive | | |no
6.exe |inconclusive | | |no
9.exe |inconclusive | | |no

495 :61:2009/06/15(月) 00:24:15
>>493 本日最終分
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=383
 DL virus/解凍 virus

【中身】 34個入っています。
・5yttrre.cn/xx1.exe〜xx99.exeの内、ファイルが落ちてきた分。
・ドメインのIPアドレス 121.10.105.11
・>493の42個と重複が無いことを確認済み。
・数が多すぎて全部VTに投げていません。適当に5個投げた結果はこんな感じです。
 xx1.exe - ttp://www.virustotal.com/jp/analisis/f507f02e2a1b76cf497f662bb6f5ffafe89c350b3d35a3748dc91f28dede03da-1244991739 (19/40)
 xx6.exe - ttp://www.virustotal.com/jp/analisis/c76abf0050c235f9daf1119225fc15038be4a48083b9f08e95bdf9f48131aa7b-1244992312 (35/40)
 xx11.exe - ttp://www.virustotal.com/jp/analisis/3acf573e214e02ad31b3b603d0c630debbd0da37ce8004af23340de8a47aa684-1244992435 (36/40)
 xx16.exe - ttp://www.virustotal.com/jp/analisis/ef2be479b4cca64720a3e3d7b36c7e4ed14937a8fe58f8608996fb8c9e37c07f-1244992532 (31/40)
 xx39.exe - ttp://www.virustotal.com/jp/analisis/62aa1a471f792f64848febcc937900b3af2bc6236a9b23ecaf932b169c606f84-1244992692 (27/39)
マルウェア コレクターその2? こちらの方が古い物(検出可能)が多いかも。

AVIRA 34/34 全検出
Kaspersky 34/34 全検出 なんで、AVIRAもKasperskyも何もせず。

496 :489:2009/06/15(月) 00:24:50
カスペからの返事

>>485 d

id.htm -No malicious software was found in the attached file.

9/10,で白1でクローズ

>>493

>アナリストの差があるとすると、間違って白になってしまう可能性を低くするためには、VTで検出ベンダーが多いのに
>白扱いされた場合、複数の人で様子を見ながら再提出していった方が良いかもしれませんね。

だな。

ただ、返事の末尾に

The answer is relevant to the latest bases from update sources (この判定結果はアップデート・ソースの最新の結果に基づく(関連性がある))

の一文が付いていると、重複回避のため、白・黒判定済みとして一度判定した検査結果をそのまま報告されると思う。

.


497 :名無しさん@お腹いっぱい。:2009/06/15(月) 00:55:35
>>495
McAfee (Active Protection 無効)33/34
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xx8.exe |inconclusive | | |no

498 :名無しさん@お腹いっぱい。:2009/06/15(月) 01:17:32
>>485 >>493 >>495
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

499 :名無しさん@お腹いっぱい。:2009/06/15(月) 01:33:29
Rising 2009
>>493
31.exe: Suspicious:Dropper.Win32.Mnless.GEN
6,37,50.exe: スルー
38(+1)/42
検体提出完了
>>495
すべて検出
34/34

500 :名無しさん@お腹いっぱい。:2009/06/15(月) 06:44:44
king 2009.6.14.21

>>485
tane0381\xpsp2patch.exe /Win32.Troj.OnLineG.13824
1/10

>>493(tane0382)
6.exe、31.exe、37exeのみスルー
39/42

>>495(tane0383)
34/34

未検出分を提出しました。

501 :名無しさん@お腹いっぱい。:2009/06/15(月) 10:53:04
COMODO Internet Security 1329
>>493
26/42

>>495
25/34

未検出分を提出しました。

502 :名無しさん@お腹いっぱい。:2009/06/15(月) 15:29:38
>>493 tane0382
>>495代理提出d

カスペ2010(ベータ) 13:11
41+事後検出1=42/42でFA

Detected Trojan program Trojan-GameThief.Win32.OnLineGames.vdja   6.exe

503 :名無しさん@お腹いっぱい。:2009/06/15(月) 21:53:10
おまえらってkeygen単体だと大騒ぎして批判するくせに
まとまった中に同じような目的のばかり入っててもなんにも言わないんだな
不思議な奴らだよ

504 :名無しさん@お腹いっぱい。:2009/06/15(月) 22:11:50
>>3

505 :61:2009/06/15(月) 22:26:17
>>503
ありゃりゃ、どっかにkeygen入ってた?

ざっくり見て偽keygenのトロイばっかりだと思ってたけど、ちとチェック甘かったかなー...指摘してくれれば削除しておくけど。

506 :名無しさん@お腹いっぱい。:2009/06/15(月) 22:30:02
>>485で、

nero_key.exe
xpsp2patch.exe

などは、個人的には送りません。

外国の著作権関係の刑法は知らないので。

507 :61:2009/06/16(火) 00:01:55
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=384
 DL virus/解凍 virus

【中身】 7個入っています。
load.exe
 ttp://www.virustotal.com/jp/analisis/e85beb2ea40aac707863221ce5189863288583550453b5ad3c19aa31aa2c6f9a-1245075969 (1/39)
normalLeap.swf
 ttp://www.virustotal.com/jp/analisis/bed431903c2b1d553fb376c0f05b5828bda51bcf71cb29b8d83ec39ab28110fc-1245075551 (5/41)
notTheoryCites.pdf
 ttp://www.virustotal.com/jp/analisis/c64f7b8b2d9370a278edb8c02e43d34c341cd843833774c819f2f55b8701fe34-1245075313 (8/40)
readme.pdf
 ttp://www.virustotal.com/jp/analisis/4a78880275e3b2227ba12ef20d871811a15275e79be460ddf6f7ec2297c15e1a-1245073095 (12/39)
readme2.pdf
 ttp://www.virustotal.com/jp/analisis/d82d80c274f4ffde59e45062e34044d5bb1b197a9221299d92dfbff7927bf0b2-1245073312 (13/41)
rferfref5.exe
 ttp://www.virustotal.com/jp/analisis/5859892e44a0ab804ea7ec37b6313f089e2f47d87ee83c3528e84ccdea35e4a8-1245077067 (3/40)
update.exe
 ttp://www.virustotal.com/jp/analisis/3b21cb087180f5d3cc067d9fd8198b745635130038aa5587d7e3b1f4e9ee37c8-1245075809 (15/41)

508 :61:2009/06/16(火) 00:07:25
>>506
その辺は個人の判断にお任せしますが、どっちも偽keygenですよ?(keygenではない)
※ keygenを探している人にトロイを仕込むための、偽keygen。要は釣り餌

つか、その辺の判断をしやすいようにVirustotalを添付してるので、怪しいと思ったら、ファイル名だけではなく
VTの結果も見て欲しいところなのですが...

509 :61:2009/06/16(火) 00:15:18
>>507
AVIRA9 7.01.04.94
 load.exe - (MALWARE) next update
 normalLeap.swf - (UNDER ANALYSIS)
 notTheoryCites.pdf - HTML/Shellcode.Gen
 readme.pdf - (UNDER ANALYSIS)
 readme2.pdf - (UNDER ANALYSIS)
 rferfref5.exe - (TR/Drop.BHO.BT) next update
 update.exe - TR/Agent.clzx
黒2,未検出5。 未検出の内、黒判定2(次回update対応),解析中3。

Kaspersky 2009/06/15 19:59:00
 load.exe -
 normalLeap.swf -
 notTheoryCites.pdf -
 readme.pdf -
 readme2.pdf -
 rferfref5.exe -
 update.exe - Trojan.Win32.Agent.clzx
黒1,未検出6。 未検出分 提出済み。

510 :名無しさん@お腹いっぱい。:2009/06/16(火) 00:26:09
>>507
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

511 :名無しさん@お腹いっぱい。:2009/06/16(火) 00:39:17
最近送付には参加してないが、ざっと眺めて、真性のkeygenってわかればスルーするかな

512 :名無しさん@お腹いっぱい。:2009/06/16(火) 01:07:06
Rising 2009 21.43.04 (21.34.04.00)
>>113
ActivatedSetup.exe: Trojan.Win32.FakeAV.qk
1/10
>>384
frfr5.exe: Trojan.Win32.Nodef.kaa
2+1=3/10
>>406
Setup_build6_27.exe: Trojan.DL.Win32.Nodef.tq
1+1=2/8
>>451
load2.exe: Trojan.Win32.Nodef.kad
4(+1)+1=5(+1)/11
>>485
ldr.exe: Backdoor.Win32.Ntos.dk
nero_key.exe: Trojan.DL.Win32.Undef.ewa
xpsp2patch.exe: Trojan.DL.Win32.Undef.evx
(+1)+3=3(+1)/10
>>493
31.exe>>66: Suspicious:Dropper.Win32.Mnless.GEN → Trojan.PSW.Win32.OnlineGame.zbl
37.exe: Trojan.Spy.Win32.Undef.lx
50.exe>>Aspack212r: Trojan.PSW.Win32.QQPass.ekk
6.exe>>upx_c>>6d: Trojan.PSW.Win32.OnlineGame.zbq
38(+1)+4(-1)=42/42
>>507
スルー
提出完了

513 :61:2009/06/16(火) 01:14:59
>>509
今回は返事が早かった...寝る前にKasperskyから返事来ました。
 load.exe_ - Trojan.Win32.Inject.adov,
 normalLeap.swf - Exploit.SWF.Downloader.nm,
 notTheoryCites.pdf_ - Exploit.Win32.Pidief.ban,
 readme.pdf_ - Exploit.Win32.Pidief.bar,
 readme2.pdf_ - Exploit.Win32.Pidief.bap,
 rferfref5.exe_ - Trojan.Win32.FraudPack.ovc

New malicious software was found in these files. Detection will be included in the next update. Thank you for your help.

ということで、Kasperskyは>507 全黒でclose.

>>511
ん〜、結構気をつけているけど、もしやっちゃったら指摘して欲しいのです。(汗 そこまで自分が完璧だと思わんし。

514 :名無しさん@お腹いっぱい。:2009/06/16(火) 01:23:09
>>506,508

自己責任

シマンテックにノートンのキージェネやクラックツールを送ってヤバいことになったバカがいたようなw

515 :名無しさん@お腹いっぱい。:2009/06/16(火) 06:27:31
>>507
McAfee (Active Protection 無効)1/7
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
load.exe |inconclusive | | |no
normalleap.swf |inconclusive | | |no
nottheorycites.pdf |new detection |exploit-pdf.b |Trojan |yes
readme.pdf |heuristic detection |exploit-pdf.q.gen |Trojan |no
rferfref5.exe |new detection |generic dropper.p |Trojan |yes
update.exe |new detection |generic downloader.x!fi |Trojan |yes

516 :名無しさん@お腹いっぱい。:2009/06/16(火) 13:54:10
COMODO Internet Security 1339

>>507
tane0384\rferfref5.exe Heur.Packed.Unknown
tane0384\update.exe TrojWare.Win32.Trojan.Agent.Gen@23283614
2/7
未検出分を提出しました。

>>595はアップデートにて全て検出確認しました。

517 :516:2009/06/16(火) 13:56:57
訂正。595じゃなく>>495でした。すんません。
>>493もアップデートにて全て検出確認しました。

518 :名無しさん@お腹いっぱい。:2009/06/16(火) 19:56:42
king 2009.6.16.18

>>507(tane0384)
0/7 スルー
未検出分を提出しました。

519 :名無しさん@お腹いっぱい。:2009/06/16(火) 22:31:28
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=385
infected


検体入手元
GENO(いまだに生き残ってるサイトあるんだねぇ)
p://www■mennoyamaichi■co■jp/soumen/

偽FlashPlayer(5/26版) 前に提出したのは5/14頃。ファイル入れ代わってたようで。netの方は繋がりませんでした。
p://addobeflashplayer■com/flashplayer/thankyou/?installer=Flash_player_10_for_windows
p://addobeflashplayer■com/get/flashplayer/current/install_flash_player■exe

VirusTotal
install_flash_player■exe(15/40)
ttp://www.virustotal.com/analisis/6c187e1351d559e8ed1deac4daa61b73e67fb865565a0b5bcc13ec1d5a943bba-1245158717

520 :名無しさん@お腹いっぱい。:2009/06/16(火) 23:13:32
>>519,>>507
Norman,Zoner,nProtectを除く各社に提出完了。

最近、検出率の報告すらしてなくてすまん。送付だけで手一杯になるとは。orz

521 :名無しさん@お腹いっぱい。:2009/06/16(火) 23:16:14
>>507

>>509の後、対応が進んでますね。やっぱ早いなぁ。

AntiVir9
(5+1/7) 残1+HEUR1

load.exe : TR/Drop.Agent.20480 Trojan
normalLeap.swf : SWF/Drop.Small.MD SWF virus
notTheoryCites.pdf : HTML/Shellcode.Gen HTML script virus
readme.pdf : スルー
readme2.pdf : HEUR/HTML.Malware suspicious code
rferfref5.exe : TR/Drop.BHO.BT Trojan
update.exe : TR/Agent.clzx Trojan

522 :名無しさん@お腹いっぱい。:2009/06/16(火) 23:28:08
Rising 2009 21.43.14 (21.34.14.00)
>>474
install.exe: Packer.Win32.Agent.ar
readme.pdf: Hack.Exploit.Win32.PDF.jvp
1+2=3/10
>>507
load.exe: Trojan.Win32.Nodef.kaq
1/7
>>519
スルー

523 :名無しさん@お腹いっぱい。:2009/06/16(火) 23:41:57
>>519 d
カスペ2010 21:55:00

addobeflashplayer.com フォルダ
スルー 0/2

Gamburl.Aフォルダ
32/32
Detected Trojan program Trojan-Downloader.JS.Gumblar.a   tane0385\Gamburl.A\mennoyamaichi\*.html


検体提出

524 :61:2009/06/17(水) 02:10:09
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=386
 DL virus/解凍 virus

【中身】 8個入っています。
flash.swf
 ttp://www.virustotal.com/jp/analisis/c2d4f2074b71d02546d73e235dbd965fab784b168d66b8273d38b9aca642ec42-1245169084 (8/39)
ins.exe
 ttp://www.virustotal.com/jp/analisis/33c3518f7555aa7b407570e8174133563621629ff2ff8e3c468ffca8da703f3b-1245165082 (22/41)
installer_1.exe
 ttp://www.virustotal.com/jp/analisis/a65c0988cd1ed59d8d9cc668b930630e28dd8e110677ed79a95b95dfc48b0421-1245170132 (13/40)
load.exe
 ttp://www.virustotal.com/jp/analisis/e091b873ccdeed0e167f5cc85fc94d6759da00739e14f927cde8b59af9d32f69-1245167990 (3/40)
readme.pdf
 ttp://www.virustotal.com/jp/analisis/623595b5bc58b2c405feda4a57d36d5754cf326d5194d75d8f4b59f85f7706c9-1245168611 (12/40)
sdfsdf.exe
 ttp://www.virustotal.com/jp/analisis/3e9314888ad11497839781d9a4c9325e36caf86d59bc1ac7ece987e9c56a777b-1245169752 (6/41)
se.exe
 ttp://www.virustotal.com/jp/analisis/cdd0c6792ee7d2b36a122fe304999059985614ebc942a9eaa3d50d2ea1fc96a0-1245171050 (12/41)
setup.exe
 ttp://www.virustotal.com/jp/analisis/63668611fe62e28849ee30f605519b0d19c4686ad7eccc58e9483f5e70faa168-1245170869 (16/40)

525 :61:2009/06/17(水) 02:19:25
>>524
AVIRA9 7.01.04.100
 flash.swf - (SWF/Dldr.Agent.16752) next update
 ins.exe - TR/Spy.Agent.amif.4
 installer_1.exe - HEUR/Crypted , (UNDER ANALYSIS)
 load.exe - (25375700 MALWARE) next update
 readme.pdf - (UNDER ANALYSIS)
 sdfsdf.exe - TR/ATRAPS.Gen
 se.exe - TR/Crypt.ZPACK.Gen
 setup.exe - (UNDER ANALYSIS)
黒3,HEUR 1,未検出4。 未検出の内、黒判定2(次回update対応),解析中2。

Kaspersky 2009/06/17 0:20:00
 flash.swf -
 ins.exe - Trojan-Spy.Win32.Agent.amif
 installer_1.exe -
 load.exe -
 readme.pdf - Exploit.JS.Pdfka.lr
 sdfsdf.exe - Trojan.Win32.Buzus.bgwj
 se.exe -
 setup.exe -
黒3,未検出5。 未検出分 提出済み。

526 :523:2009/06/17(水) 03:30:01
>>519 (>>523)
カスペからの返事
32+事後検出1=33/34、回答待ち1(addobeflashplayer.com.htm)


install_flash_player.exe_ - Trojan-Dropper.Win32.Joiner.iz

New malicious software was found in this file.




527 :名無しさん@お腹いっぱい。:2009/06/17(水) 03:32:13
>>524
McAfee (Active Protection 無効)5/8
未検出分+ins.exeをMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
flash.swf |inconclusive | | |no
ins.exe |current detection |generic dropper.gh |Trojan |no
load.exe |inconclusive | | |no
sdfsdf.exe |inconclusive | | |no
se.exe |inconclusive | | |no

528 :名無しさん@お腹いっぱい。:2009/06/17(水) 11:03:30
king 2009.6.17.7

>>519(tane0385)
スルー
>>524(tane0386)
スルー
全部提出させてもらいました(^_^;)




529 :名無しさん@お腹いっぱい。:2009/06/17(水) 11:14:49
>>523 d
>>525 代理提出d

カスペ2010 8:23
3+事後検出3=6/8

Trojan program Exploit.SWF.Agent.bc   tane0386\flash.swf
Trojan program Trojan-Downloader.Win32.Delf.uji   tane0386\se.exe
Trojan program Trojan-Downloader.Win32.FraudLoad.erd   tane0386\setup.exe

未検出分、提出

530 :529:2009/06/17(水) 14:47:21
>>523 (>>525,529)

カスペからの返事
3+事後検出5=8/8でクローズ

installer_1.exe_ - Trojan-Downloader.Win32.FraudLoad.ere
load.exe_ - Trojan-Downloader.Win32.FraudLoad.ere

This file is already detected. Please update your antivirus bases.


531 :529:2009/06/17(水) 14:49:49
>>529-530

検体は、
×>>523>>524に訂正。(tane0386)
スマヌ。

532 :名無しさん@お腹いっぱい。:2009/06/17(水) 15:32:22
>>524
Norman Zoner nProtect を除くマイナー所を含む各社に提出完了。

533 :名無しさん@お腹いっぱい。:2009/06/17(水) 19:05:46
>>519 >>524
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

534 :533:2009/06/17(水) 19:13:28
>>1
確認して、次回からテンプレを修正しておいて下さい

>>5の●Microsoft(マイクロソフト)
「1fileづつ」で「10megabytes」までの制限だが、パスワード圧縮してやることで「1fileづつ」の方は制限をクリアできます

>>6の●ソフォス(Sophos)
ユーザープロダクトキーを持っていないと、一切「検体提供の受付」をしてもらえません

535 :名無しさん@お腹いっぱい。:2009/06/17(水) 19:50:27
なんか偉そうだなおい。
MicrosoftもSophosも(少なくともフォームから送れば)届く。

536 :533:2009/06/17(水) 19:59:02
試せばわかる
馬鹿はすっこんでてくれ

537 :名無しさん@お腹いっぱい。:2009/06/17(水) 20:10:10
いつも送ってるが。
馬鹿はすっこんでてくれ。

538 :名無しさん@お腹いっぱい。:2009/06/17(水) 21:13:20
Only one file can be submitted
at one time and the size of that file is limited to 10 megabytes.
If possible, please compress the file
and password protect the file with the password "infected" (without quotes).

If you want to submit more than one file for analysis,
please compress the files into a single archive
and password protect the files with the password "infected" (without quotes).

539 :名無しさん@お腹いっぱい。:2009/06/18(木) 01:57:21
Rising 2009 21.43.24 (21.34.24.00)
>>524
ins.exe>>DATA4: Trojan.PSW.Win32.GameOL.oyz
ins.exe>>DATA2: Trojan.Win32.Nodef.jwu
ins.exe: <Unknown virus>
installer_1.exe: Trojan.DL.Win32.Delf.zsu
load.exe: Trojan.Spy.Win32.Agent.eul
se.exe: Trojan.DL.Win32.Delf.zsw
setup.exe: Trojan.DL.Win32.Delf.zsv
1+4=5/8

540 :名無しさん@お腹いっぱい。:2009/06/18(木) 07:55:58
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=387
virus
いかにもな作りなので撃墜率は高いと思われ。

541 :名無しさん@お腹いっぱい。:2009/06/18(木) 08:36:56
>>540
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

542 :名無しさん@お腹いっぱい。:2009/06/18(木) 09:18:31
>>534
>>6の●ソフォス(Sophos)
|ユーザープロダクトキーを持っていないと、一切「検体提供の受付」をしてもらえません
受け付けはしてくれてますよ。昨日も送ったし。
プロダクトIDが必要なのは、検出結果や対応状況の返答を貰うこと。

543 :名無しさん@お腹いっぱい。:2009/06/18(木) 11:20:48
>>540 d

カスペ2010 10:04
42/43

virus HEUR:Trojan.Win32.Generic   03.exe  07.exe  08.exe  24.exe
virus HEUR:Trojan.Win32.Invader、unknown threat UDS:DangerousObject.Multi.Generic   39.exe
Trojan-GameThief.Win32.Magania.bfwc   0.exe
Trojan-Clicker.Win32.VB.cyu   02.exe
Trojan-Dropper.Win32.Agent.atmg   06.exe
Trojan-GameThief.Win32.Magania.bfdq   1.exe  12.exe,  20.exe  32.exe 34.exe
Trojan-GameThief.Win32.Magania.bgtx   2.exe
Trojan-GameThief.Win32.Magania.bful   3.exe  6.exe,  9.exe   11.exe  18.exe  27.exe
Trojan-PSW.Win32.LdPinch.agqc   4.exe
Trojan-GameThief.Win32.Magania.bfru   7.exe,  8.exe  10.exe    13.exe   15.exe   17.exe.  19.exe  33.exe
Trojan-GameThief.Win32.Magania.bfrp   14.exe
Trojan-Dropper.Win32.Agent.asul   16.exe
Trojan-GameThief.Win32.Magania.awce   21.exe
Trojan-PSW.Win32.LdPinch.afvp   25.exe
Trojan-Dropper.Win32.VB.kff   26.exe
Trojan-GameThief.Win32.Magania.bfsy   28.exe
Trojan-GameThief.Win32.Magania.beaa   29.exe
Trojan-GameThief.Win32.Magania.bfgu   30.exe
Trojan-PSW.Win32.Agent.ner   31.exe
Trojan-GameThief.Win32.Magania.bffe   35.exe
Trojan-GameThief.Win32.Magania.bfws   36.exe,  37.exe
Trojan-Downloader.Win32.Banload.aeyp   nspk1.exe

ヒューリスティック含め検体提出します。

544 :543:2009/06/18(木) 11:22:04
>>543
カスペ 42/46に訂正。

545 :名無しさん@お腹いっぱい。:2009/06/18(木) 12:56:39
Rising 2009 21.43.30 (21.34.30.00)
>>474
codec2.exe: Trojan.DL.Win32.Undef.exe
3+1=4/10
>>485
1.exe: Trojan.Spy.Win32.Undef.mp
codec2.exe: Trojan.DL.Win32.Undef.exe
codec3.exe: Trojan.DL.Win32.Undef.exe
codec.exe: Trojan.DL.Win32.Undef.exe
3(+1)+1=4(+1)/10
>>540
08.exe, 22.exe, 38.exe, nspk1.exe: スルー
42/46
提出完了

546 :名無しさん@お腹いっぱい。:2009/06/18(木) 15:28:28
>>540 (>>543,544)

カスペからの返事

42+追加検出2=44/46, 白2で一応クローズ


03.exe_ - Trojan.Win32.Agent.cmoh (←HEUR:Trojan.Win32.Generic)
08.exe_ - Trojan.Win32.Agent.cmon (←HEUR:Trojan.Win32.Generic)
22.exe_ - Trojan.Win32.Agent.cmoi
38.exe_ - Trojan-Clicker.Win32.VB.cyw

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

24.exe_ - Trojan-GameThief.Win32.Magania.bhlq (←HEUR:Trojan.Win32.Generic)

This file is already detected. Please update your antivirus bases.


5.exe, 23.exe
No malicious software was found in the attached file.

547 :546:2009/06/18(木) 15:54:00
>>540 (>>543,544,546)
カスペ2010 14:41 (39.exeのみHeur.Invaderのまま)

Detected Trojan program Trojan-GameThief.Win32.Magania.bfru tane0387\7.exe  (←HEUR:Trojan.Win32.Generic)


548 :名無しさん@お腹いっぱい。:2009/06/18(木) 17:30:20
>>540
McAfee (Active Protection 無効)37/46
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
02.exe |new detection |generic.dx!mz |Trojan |yes
07.exe |inconclusive | | |no
08.exe |inconclusive | | |no
16.exe |new detection |generic pws.y!ch |Trojan |yes
22.exe |inconclusive | | |no
23.exe |new detection |generic.dx!mz |Trojan |yes
38.exe |inconclusive | | |no
5.exe |inconclusive | | |no
nspk1.exe |new detection |pws-banker!cw |Trojan |yes

549 :名無しさん@お腹いっぱい。:2009/06/18(木) 18:01:27
>>540
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

>>542
>プロダクトIDが必要なのは、検出結果や対応状況の返答を貰うこと。
なるほど了解
せっかく提出してるのに受け付けてもらえないのかと思ってしまった。。。
Sophosが本国ですら支持されていない理由の一端を垣間見たような気がします

550 :名無しさん@お腹いっぱい。:2009/06/18(木) 18:15:47
じゃあ謝っとけ

551 :名無しさん@お腹いっぱい。:2009/06/18(木) 18:17:05
Sophosは企業向けだけだろ
支持されないとかどこで分かったんだ?

552 :名無しさん@お腹いっぱい。:2009/06/18(木) 18:36:14
また嘘だろ
知らなきゃ書かなきゃ良いのに

553 :名無しさん@お腹いっぱい。:2009/06/18(木) 19:49:47
Sophos Anti-Virus 7.3.0
Protect your network,
desktop and even remote laptop computers from the latest viruses

554 :名無しさん@お腹いっぱい。:2009/06/18(木) 22:20:15
>>549は平気で重複提出する馬鹿だから仕方ない
いや、重複提出自体は悪じゃないんだが先に提出した人に「乙」すら書かない礼儀知らず

555 :名無しさん@お腹いっぱい。:2009/06/18(木) 22:26:15
それはガン無視されてんだろw

556 :名無しさん@お腹いっぱい。:2009/06/18(木) 22:41:25
いや、スレの流れを読めないんだろw

557 :名無しさん@お腹いっぱい。:2009/06/19(金) 01:21:12
Rising 2009 21.43.34 (21.34.34.00)
>>359
readme.pdf: Hack.Exploit.Win32.PDF.jvr
1+1=2/4
>>364
jpg\jpg.scr>>server.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.ms
jpg\jpg.scr>>sernn.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.mr
jpg\sernn.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.mr
jpg\server.exe: Unknown Win32 Virus → Trojan.Spy.Win32.Undef.ms
tmhcar\360.htm: Trojan.DL.Script.JS.Agent.pg
29+3+1=33/34
>>372
popingred.pdf: Hack.Exploit.Script.PDF.j
popingred.swf: Hack.Exploit.Win32.SWF.q
scriptvirus01.htm: Trojan.DL.Script.HTML.Agent.am
scriptvirus02.htm: Trojan.DL.Script.HTML.Agent.an
scriptvirus04.htm: Trojan.DL.Script.JS.Agent.pf
TubeViewer.ver.6.40000.exe: Trojan.DL.Win32.Undef.exz
2+6=8/10
>>384
demos.exe: Trojan.Spy.Win32.Undef.mw
Keygen&Crack.45000.exe: Trojan.DL.Win32.Undef.exi
scriptvirus05.htm: Trojan.DL.Script.HTML.Agent.ao
3+3=6/10

558 :名無しさん@お腹いっぱい。:2009/06/19(金) 01:22:32
Rising 2009 >>557の続き
>>393
188.pdf: Hack.Exploit.Win32.PDF.jvt
infect.php: Trojan.Spy.Win32.Undef.my
load.exe: Trojan.Spy.Win32.Undef.mz
scriptvirus08.htm, scriptvirus09.htm: Trojan.Script.HTML.Agent.p
1+5=6/10
>>406
deisvop.htm: Trojan.Script.JS.Agent.ci
2+1=3/8
>>485 ( >>545集計間違えてました: 3(+1)+4(-1)=7/10 )
bin.exe: Trojan.Spy.Win32.Undef.mt
bot.exe: Trojan.Spy.Win32.Undef.mv
7+2=9/10
id.htmは不是病毒との返答あり
>>540
08.exe: Trojan.DL.Win32.VB.zyy
22.exe: Trojan.PSW.Win32.OnlineGame.zcp
38.exe: Trojan.DL.Win32.Small.zuz
42+3=45/46

559 :名無しさん@お腹いっぱい。:2009/06/19(金) 11:27:31
COMODO Internet Security 1339

>>519
33/34

>>524
8/8

>>540
46/46

未検出分を提出しました。

560 :名無しさん@お腹いっぱい。:2009/06/19(金) 11:54:06
>>540
カスペ返答
This file is already detected. Please update your bases.

23.exe_ clean
5.exe_ clean

561 :名無しさん@お腹いっぱい。:2009/06/19(金) 12:07:26
king 2009.6.19.7

>>540
02.exe、06.exe、07.exe、08.exeスルー
42/46
未検出分を提出しました。


562 :名無しさん@お腹いっぱい。:2009/06/19(金) 22:52:51
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=389
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=390
infected

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=391
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=392
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=393
infected

tane389.zip:ZIP圧縮のみ
tane390.zip:ZIP圧縮のみ
tane391.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )
tane392.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )
tane393.zip:7z→ZIPの二重圧縮(7zも解凍パス infected )

検体入手元
 マルウェアドメインリストにあったものからここ1週間位に登録された
 ものから適当に拾ってみました。まさかここまで容量があるとは。(199MBってなに!?)
 ファイル名に見覚えのあるのがかなりあったので、61さんが上げておられる
 検体と被っているものが多いかもしれません。
 p://www■malwaredomainlist■com/mdl■php
 でかい方(7zも使って二重圧縮)は、ファイル名からすると、提出すべきか悩むところ。
 各自の判断でお願いします。自分の使ってるセキュリティソフト分位なら、
 分割して送ればなんとかなるでしょう。

・AntiVirには、未検出分+ヒューリスティック1(ZIP圧縮で3MB程度)をftp経由で提出しています。
・FTPアカウントを貰っているAntiyLabsにも提出済み。
・BitDefenderは、一番容量でかいところをまるまるスルーしてたので、120MBとか提出無理で諦めました。
・a-Squearedは、Bitよりましでしたが、58MBとか…(でかいとこ抜けば2MB程度)

各自、未検出分だけでも提出がんばれ。わたしは集めただけで力尽きました。(o_ _)o ぱたり

563 :名無しさん@お腹いっぱい。:2009/06/19(金) 23:46:24
>>562
Symantecとa-squaredとMalwarebytesとMicrosoftに提出します

564 :名無しさん@お腹いっぱい。:2009/06/19(金) 23:50:07
>>562

カスペ2010 21:21

tane0389
151/190

tane0390
7/7でFA.

tane0391
8/14

tane0392
28/41

tane0393
6/9

忙しいので、タイミングを見て提出。
余裕がある方は、先に提出していただいて結構です。
しかし、多いね。w


565 :61:2009/06/20(土) 00:26:47
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=394
 DL virus/解凍 virus

【中身】 10個入っています。
getexe.exe
 ttp://www.virustotal.com/jp/analisis/4cba121dcc44d48b0fc9ea72ebc4105fdbe60162cbcd6db2373992993887cb0e-1245421635 (16/41)
index.htm
 ttp://www.virustotal.com/jp/analisis/1fad64ba6baeb4680bb9ae65fa4ba5e03becf8b2e102a6d0ae8f014c690daf8f-1245422649 (3/41)
load.exe
 ttp://www.virustotal.com/jp/analisis/c9782267ebacb929b69f2d561f8f5a1606a01cd3e57608af8e2c95586dd719ce-1245419951 (18/41)
load2.exe
 ttp://www.virustotal.com/jp/analisis/ae2757112862927067d1d4c05a2c114587342a1993171f286c66d54613ed3208-1245420999 (1/41)
load3.exe
 ttp://www.virustotal.com/jp/analisis/7939cea52c61651831a0fbc786b2429e6f0dc0e73e219992f3186d1eeb9c7262-1245422076 (5/41)
loader.exe
 ttp://www.virustotal.com/jp/analisis/d173830c46bf17aba70145731718a18d5de01991de5ed6bdcf1c90b475f5c1f7-1245423525 (22/41)
readme.pdf
 ttp://www.virustotal.com/jp/analisis/d32991834101c31f16e00f5f2bcd77980e60c2b29aa2a1f38a63b0cfe5fa1a1b-1245419577 (14/41)
Setup.exe
 ttp://www.virustotal.com/jp/analisis/768ace3dee14aa958af2c3e425c0791e1466ce5773a81e97b9cc6d587ef13b73-1245423987 (23/41)
sitesS.swf
 ttp://www.virustotal.com/jp/analisis/1025991a260093eaf00e03e4b243bdb00ce10799331511d1b4cf53b948aeadb3-1245422313 (3/40)
winres.exe
 ttp://www.virustotal.com/jp/analisis/4cd2a370666c3e3e51eb336065912f154c43ed4a541d7a4a654348bb44ffa6c3-1245422938 (7/41)

こちらもMDLから持ってきているので、今回は>562さんと重複しているかも。

MDLは黒確率非常に高いけど、逆に古いもの(検出ベンダー35以上とか)も結構入っているので、何も考えずに全部出すと
ベンダーの迷惑になるため、出す人は自分のソフトで検出しない物を出した方が吉です。

566 :61:2009/06/20(土) 00:44:40
>>565
AVIRA9 7.01.04.116
 getexe.exe - (UNDER ANALYSIS)
 index.htm - (UNDER ANALYSIS)
 load.exe - TR/Crypt.ZPACK.Gen
 load2.exe - (UNDER ANALYSIS)
 load3.exe - (UNDER ANALYSIS)
 loader.exe - TR/Crypt.ZPACK.Gen
 readme.pdf - HEUR/HTML.Malware (UNDER ANALYSIS)
 Setup.exe - TR/Downloader.Gen
 sitesS.swf - (UNDER ANALYSIS)
 winres.exe - TR/Drop.VB.mgh
黒4,HEUR 1,未検出5。HEURと未検出 提出済。

Kaspersky 2009/06/19 21:21:00
 getexe.exe - Trojan-Spy.Win32.Agent.avxf
 index.htm -
 load.exe - Trojan-Spy.Win32.Zbot.gen
 load2.exe -
 load3.exe -
 loader.exe - Trojan-Spy.Win32.Zbot.gen
 readme.pdf - Exploit.JS.Pdfka.lf
 Setup.exe - Net-Worm.Win32.Koobface.d
 sitesS.swf -
 winres.exe -
黒5,未検出5。 未検出分 提出済。

あと、ここの人なら言わなくても大丈夫な気もしますが、MDLは、ほとんどのベンダーをすり抜けるような新種も結構あります。
なので、MDLのリストから検体確保する人は、最低限VirtualPCか検出専用機などの環境は準備をした方が良いです。
(VirtualPC+Win2Kがお手軽です。OSが軽いのでVirtualPCでもストレス感じませんし、イメージファイルも小さくてすむので
ミスって感染した時に使う復旧用クリーンイメージの保管も場所を取りません。)

567 :名無しさん@お腹いっぱい。:2009/06/20(土) 00:50:11
>>565
Symantecとa-squaredとMalwarebytesとMicrosoftに提出します

568 :名無しさん@お腹いっぱい。:2009/06/20(土) 01:20:50
Rising 2009 21.43.34 (21.34.34.00)
>>113
Work.exe: Worm.Win32.Agent.auk
1+1=2/10
>>372
popingred.exe: Dropper.Win32.Undef.acm
8+1=9/10
>>451
load3.exe: Dropper.Win32.Nodef.gc
5(+1)+1=6(+1)/11
>>562
>tane0389
118(+4)/190 (二重検出が3つほどあったので正確には115(+4))
>tane0390
5/7
>tane0391
0/14
>tane0392
25/41
>tane0393
0/9
すべて提出保留
>>565
スルー、提出完了

569 :名無しさん@お腹いっぱい。:2009/06/20(土) 06:29:23
PFWなしでのんびりWUしてたら感染しちゃったw のを駆除にいってきた。っていうのをもらってきた
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=396 dl:hszscf rar:dhbvzs

0001 がたぶん本体。0001B はProgramFiles にできる。
C以外のexeに感染しようとする 感染したexeと0001B の実行部分が同じなので、0001B は感染メインか、感染スタブかと
0002 も同じPC から拾ったやつで、関連は不明だが、常駐形態が0001 とおんなじなので、同出所のサブファイルかなと

570 :名無しさん@お腹いっぱい。:2009/06/20(土) 06:34:09
あーすまん、解パスまでランダム化する必要なかったんだ 寝ぼけてるわ

571 :名無しさん@お腹いっぱい。:2009/06/20(土) 06:48:35
うpしなおし
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=398 dl:hszscf

572 :名無しさん@お腹いっぱい。:2009/06/20(土) 06:48:57
ここまで、McAfee
提出困難なもの(tane0390 サイズ制限)を除き提出完了。
詳細はうpしました。
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=397
infected

573 :名無しさん@お腹いっぱい。:2009/06/20(土) 07:04:33
>>571
解パスおながい

574 :名無しさん@お腹いっぱい。:2009/06/20(土) 07:42:55
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

575 :名無しさん@お腹いっぱい。:2009/06/20(土) 08:27:04
>>571
ファイル名 (0001) 30049752008e569748c301a43c2de700cc619eb8.EXE
ttp://www.virustotal.com/jp/analisis/3b896a906d8cee49e3783da5e7278f492740b56bef914fde37527af9efa782a5-1245440682
ファイル名 (0001B) VC0G8AJTF5NN.exe.vir
ttp://www.virustotal.com/jp/analisis/2d163ba0c40ea36af279e7786289c096f500a4f8f08cfe8b06a092be1e9e6f50-1245034690
ファイル名 (0002) ae4c3ea9006679f9e0c900d08f2beb00c7a032b5.EXE
ttp://www.virustotal.com/jp/analisis/07e1870dee724b97220fd60c77310fc56e1fbdebc45c001c6a03423501a3e795-1245401829

576 :名無しさん@お腹いっぱい。:2009/06/20(土) 08:31:12
>>571
McAfee (Active Protection 無効)0/3
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
0001.bin |inconclusive | | |no
0001b.bin |inconclusive | | |no
0002.bin |inconclusive | | |no

577 :名無しさん@お腹いっぱい。:2009/06/20(土) 08:52:09
>>569-571
AntiVir (3/3) 全部撃墜

578 :名無しさん@お腹いっぱい。:2009/06/20(土) 08:55:24
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=399
infected

日替わりのネトゲアカハックトロイと、SPAMメールに直接exeのアドレスが書いてあったのを拾ったもの。

検体入手元
p://www■cavle-online■com/play■exe
p://220■194■44■67/~nbfe47/bestvideo■avi■exe

579 :61:2009/06/20(土) 09:36:33
>>562 乙です。 今日は時間が無いのでtane389の分だけ先に
Kaspersky 2009/06/20 07:07:00

190個の内、HEUR検出5,未検出33個。なので、計算では確定検出152個

【提出済】 6個
HEUR 5個
 moviesdesert.org\0nonus.jpg - HEUR:Trojan.Win32.Generic
 f97q.cn\index.php - HEUR:Trojan-Downloader.Script.Generic
 anti-payed-porn\index.php - HEUR:Exploit.Script.Generic
 almasto.net\lnk.php - HEUR:Exploit.Script.Generic
 5yttrre.cn\xx20.exe - HEUR:Trojan.Win32.Generic

>565と重複 1個
 xz.ub9.net\winres.exe

580 :61:2009/06/20(土) 09:39:14
>>562 >579 続き

【提出しないもの】 17個

zbotのconfig fileで、マルウェアではないことが確定済み。(14個) - 環境ごとに中身が違うが、単なる設定ファイルでしかないのでベンダーに無視される。
 7171.freehostia.com\cfg.bin
 djellow.com\djwl.bin
 ecounterstats.ws\cfg.bin
 forserv.net\config.bin
 klikvs.cn\EXP_01.bin
 mywebsite\config.bin
 noproblemz.net\cf.bin
 noproblemz.net\cm.bin
 omizerto.com\tttt.bin
 porevovsem.ru\config.bin
 shock-world.mobi\cfg.bin
 tinrussia.cn\a.b
 w00tl33t.h1x.com\cfg1tor.bin
 x-systems.name\cfg.bin

中身がマルウェアではない。(3個)
 mias.tw\index.php - 404エラーメッセージで無意味
 viva-delpinata2.com\index.php - 0 byte
 www.realinnovation.com\menu.js - マルウェアではないメッセージに変更後のもの。

後は提出。

581 :名無しさん@お腹いっぱい。:2009/06/20(土) 09:45:02
>>578
McAfee (Active Protection 無効)1/3
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
bestvideo.avi.exe |heuristic detection |new malware.jj |Trojan |no
play.exe |current detection |backdoor-ckb.dr |Trojan |no

582 :名無しさん@お腹いっぱい。:2009/06/20(土) 10:25:43
>>578さん乙
ここまで
Symantecとa-squaredとMalwarebytesとMicrosoftに提出済みです

583 :名無しさん@お腹いっぱい。:2009/06/20(土) 10:37:24
king 2009.6.19.21

>>562
tane0389
110/190

tane0390
4/7

tane0391
4/14

tane0392
7/41

tane0393
5/9

時間掛かりましたが・・・未検出分提出させて頂きました。

584 :名無しさん@お腹いっぱい。:2009/06/20(土) 11:17:28
king 2009.6.19.21

>>565
tane0394\Setup.exe /Worm.Koobface.d.53248
1/10

>>578(tane0399)
スルー
0/3

未検出分を提出させて頂きました。

585 :名無しさん@お腹いっぱい。:2009/06/20(土) 13:29:25
Rising 2009 21.43.50 (21.34.50.00)
>>571
0001B.bin: Worm.Win32.Agent.auf
0002.bin: Harm.Win32.Agent.kn
2/3
>>578
スルー

検体提出完了

>>568 定義番号修正
Rising 2009 21.43.44 (21.34.44.00)

586 :名無しさん@お腹いっぱい。:2009/06/20(土) 19:04:09
>>578
VTこんでたのでvirscan
play.ext(23/38)
http://www.virscan.org/report/461d32621b5212b908e89cec7163e75f.html

他もやろうと思ったんだけどタイムオーバーだすまん

587 :名無しさん@お腹いっぱい。:2009/06/20(土) 20:11:05
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=400
infected

検体入手元
p://www■hotgome■net/
p://www■okireng■com/
p://www■livedoorm■com/Test■exe
p://www■shaimokale■com/livedoor■scr

呼び出しのhtml類も入ってます。

588 :名無しさん@お腹いっぱい。:2009/06/20(土) 20:53:14
>>587さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました

589 :名無しさん@お腹いっぱい。:2009/06/20(土) 21:01:00
>>587
McAfee (Active Protection 無効)3/29
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
cx.js |inconclusive | | |no
dd115.swf |inconclusive | | |no
dd16.swf |inconclusive | | |no
dd28.swf |inconclusive | | |no
dd45.swf |inconclusive | | |no
dd47.swf |inconclusive | | |no
dd64.swf |inconclusive | | |no
dk11.html |inconclusive | | |no
dk122121.htm |heuristic detection |exploit-realplay.h |Trojan |no
dk14.htm |inconclusive | | |no


590 :名無しさん@お腹いっぱい。:2009/06/20(土) 21:01:33
dk22.html |inconclusive | | |no
dkbf.htm |inconclusive | | |no
dkcx.htm |inconclusive | | |no
dkff.htm |inconclusive | | |no
dkfl.htm |inconclusive | | |no
dkgg.htm |inconclusive | | |no
dkxxz.htm |inconclusive | | |no
kk115.swf |inconclusive | | |no
kk16.swf |inconclusive | | |no
kk28.swf |inconclusive | | |no
kk45.swf |inconclusive | | |no
kk47.swf |inconclusive | | |no
kk64.swf |inconclusive | | |no
livedoor.scr |current detection |backdoor-ckb.dr |Trojan |no
ruixing.js |heuristic detection |beav-shellcode |Application |no
swfobject.js |no malware | | |no
www.hotgome.net.htm |heuristic detection |with fishy extension |Application |no

591 :名無しさん@お腹いっぱい。:2009/06/20(土) 22:53:53
>>578 >>587
各社一式提出完了(但し、norman、zonerを除く)

592 :61:2009/06/20(土) 23:02:10
>>571
AVIRA 7.01.04.117
 0001.bin - TR/Crypt.XPACK.Gen
 0001B.bin - TR/Drop.Agen.102912
 0002.bin - TR/Downloader.Gen
黒3(3/3)

Kaspersky 2009/06/20 20:34:00
 0001.bin -
 0001B.bin - Trojan-Downloader.Win32.Agent.cfsn
 0002.bin -
黒1,未検出2。未検出分 提出済。

593 :61:2009/06/20(土) 23:45:15
>>578 乙です。
AVIRA 7.01.04.117
 1199.exe - DR/PcClient.Gen
 bestvideo.avi.exe - TR/Crypt.ZPACK.Gen
 play.exe - TR/Dropper.Gen
黒3(3/3)

Kaspersky 2009/06/20 22:26:00
 1199.exe - Backdoor.Win32.PcClient.aqzb
 bestvideo.avi.exe - Trojan-Downloader.Win32.Small.jwl
 play.exe - Backdoor.Win32.PcClient.aqzb
黒3(3/3)

594 :61:2009/06/20(土) 23:55:12
>>592
Kaspersky返答
 0001.bin - Trojan-Dropper.Win32.Agent.auhl
 0002.bin - Trojan-Dropper.Win32.Agent.auhm
黒1+事後2=黒3 (3/3)でclose.

595 :61:2009/06/21(日) 03:08:28
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=401
 DL virus/解凍 virus

【中身】 8個入っています。
65.js
 ttp://www.virustotal.com/jp/analisis/1aca72ba9d9e771964f3160ebbba96fe9a107e4636fdd63ce8089a0143149709-1245515267 (8/41)
codec.exe
 ttp://www.virustotal.com/jp/analisis/11be143604080462beba2a9b9f6abfdbacb5260d2968176f107fe8543b9676eb-1245513402 (17/41)
install.exe
 ttp://www.virustotal.com/jp/analisis/2ac8e8dff70ba00b221ec1986ffc4f08df89c1fae4744192f3e1eacffd420e2d-1245518262 (12/41)
install2.exe
 ttp://www.virustotal.com/jp/analisis/4cc98fdcd6cfe24cb3e86dac213e3eb3ea45bf2e9b1f026f29a40151a387c3cf-1245518793 (13/41)
install3.exe
 ttp://www.virustotal.com/jp/analisis/5773804d0a77c89c30e655bae57bfa687dd321c3ab1010bc68f3ea404ab05dd9-1245504445 (12/41)
install4.exe
 ttp://www.virustotal.com/jp/analisis/6d14a007ed289d9c66ae3059c60236fee75153f2d51da5094ec0b88d7e23305d-1245519526 (13/40)
o.js
 ttp://www.virustotal.com/jp/analisis/71aeff6800993c39cdcbfeeee14705d41c2ddc868f60c4eaa6469ded2337b450-1245510762 (0/41)
thehouseoforange_com.htm
 ttp://www.virustotal.com/jp/analisis/f6e884568eafbbc4fb0725496d6e688553bd8941fea73019a3fb532e3c6c3244-1245517053 (13/41)

o.jsがMDLに大量に載せられているTHEPLANET.COMの呼び出しスクリプトです。
VTでは0/41ですが、次に書く通り、既にKasperskyで黒判定が出ています。

あと、こちらで確認した結果では、o.jsが呼び出すマルウェアがinstall3.exeでした。
(install.exe〜install4.exeは、多分同種のマルウェア。元のファイル名は全てinstall.exe)

596 :61:2009/06/21(日) 03:16:49
>>595
AVIRA9 7.01.04.117
 65.js - (UNDER ANALYSIS)
 codec.exe - (UNDER ANALYSIS)
 install.exe - TR/Dropper.Gen
 install2.exe - TR/Dropper.Gen
 install3.exe - TR/Dropper.Gen
 install4.exe - TR/Dropper.Gen
 o.js - (UNDER ANALYSIS)
 thehouseoforange_com.htm - (UNDER ANALYSIS)
黒4,未検出4。未検出分 提出済。

Kaspersky 2009/06/21 2:42:00
 65.js - Exploit.JS.Pdfka.gx
 codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
 install.exe -
 install2.exe -
 install3.exe -
 install4.exe -
 o.js - (Trojan-Downloader.JS.Small.oa) 次回アップデート
 thehouseoforange_com.htm - Trojan-Downloader.JS.Iframe.zi
黒3,未検出5。未検出分 提出済。(内、黒判定1)

※ thehouseoforange_com.htmは、不正なコードが挿入されたサイトのhtml

597 :名無しさん@お腹いっぱい。:2009/06/21(日) 03:32:55
>>595
NormanとZoner以外の各社に提出完了。

598 :名無しさん@お腹いっぱい。:2009/06/21(日) 03:54:30
Rising 2009 21.43.52 (21.34.52.00)
>>565
Setup.exe>>upx_c: Worm.Win32.Koobface.ay
1/10
>>587
www.hotgome.net\js\cx.js: Hack.Exploit.Script.JS.Agent.is
www.hotgome.net\swf\*.swf: Hack.Exploit.Swf.a
www.hotgome.net\www.hotgome.net.htm: Trojan.DL.Script.JS.Agent.os
14/29
>>595
install.exe: Trojan.Win32.FakeAV.oh
install2.exe: Trojan.Win32.FakeAV.oh
install3.exe: Trojan.Win32.FakeAV.oh
install4.exe: Trojan.Win32.FakeAV.oh
4/8

599 :名無しさん@お腹いっぱい。:2009/06/21(日) 09:20:32
>>595さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました

600 :61:2009/06/21(日) 11:14:21
>>596
Kaspersky 2009/06/21 9:42:00
 install.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
 install2.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
 install3.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
 install4.exe - not-a-virus:FraudTool.Win32.SystemSecurity.nm
 o.js - Trojan-Downloader.JS.Small.oa (検出可能になっている)

installの方、返答無いけど検出可。黒3+事後黒5=黒8 (8/8)でclose.

601 :61:2009/06/21(日) 11:40:36
>>562,579
Kasperskyから返答あったHEURの分。Kaspersky 2009/06/21 9:42:00で検出可 確認済み。
 moviesdesert.org\0nonus.jpg - Trojan-Downloader.Win32.VB.ome
 f97q.cn\index.php - Trojan.JS.Agent.aia
 anti-payed-porn\index.php - Trojan-Downloader.JS.Iframe.bgx
 almasto.net\lnk.php - Trojan-Downloader.JS.Agent.eev
 5yttrre.cn\xx20.exe - Trojan-GameThief.Win32.Magania.bhw

提出分で返事があったもの
 www.tudouwg.com\tdzy3.82.exe - 白
tdzy3.82.exe VT現状
 ttp://www.virustotal.com/jp/analisis/af6b23f0d1323d44894f80fe525752e8d45c443f0208c235bc2b8aa0765496f4-1245551597 (20/41)

また、後でひっくり返し来るかな?

それ以外は返事が無くて、対処?もまだ。(ちなみに>565-566も放置されてる。) とうとうKasperskyもパンクした?

602 :名無しさん@お腹いっぱい。:2009/06/21(日) 13:59:52
カスペ2010 12:12
>>565 (tane0394) (>>566)
5+事後検出1=6/10
Trojan program Trojan.Win32.Pakes.nmw   tane0394.zip/load2.exe

>>571 (tane0398)
1+事後検出2=3/3でクローズ
Trojan program Trojan-Downloader.Win32.Agent.cfsn  tane0398.rar/0001B.bin
Trojan program Trojan-Dropper.Win32.Agent.auhm   tane0398.rar/0002.bin

>>578 (tane0399)
>>593通り、3/3でクローズ

>>587 (tane0400)
21/29
●tane0400.zip/www.hotgome.net/ (6)
Trojan program Trojan-Downloader.JS.SWFlash.aw   DK11.html
Trojan program Trojan-Downloader.JS.Agent.dwx   DK14.htm
virus HEUR:Exploit.Script.Generic   DKbf.htm
Trojan program Trojan-Downloader.JS.Agent.dsk   DKff.htm
Trojan program Trojan-Downloader.JS.Iframe.avv   www.hotgome.net.htm
Trojan program Exploit.JS.Agent.aip   DKgg.htm
●tane0400.zip/www.hotgome.net/www.livedoorm.com (1)
Trojan program Backdoor.Win32.PcClient.aqzj   Test.exe
●tane0400.zip/www.hotgome.net/swf (12)
Trojan program Exploit.SWF.Downloader.mu   /swf/*.swf (12 files)
●tane0400\www.shaimokale.com/ (2)
Trojan program Backdoor.Win32.PcClient.arbi  livedoor.scr
Trojan program Backdoor.Win32.PcClient.arbi  \張佑赫.exe

>>595(tane0401)
>>596,600通り、8/8でクローズ

603 :602:2009/06/21(日) 14:03:25
未検出検体、カスペに提出。

>>562(tane0389-tane0393)も逐次提出。

604 :名無しさん@お腹いっぱい。:2009/06/21(日) 15:04:23
COMODO Internet Security 1382

>>562
tane389 73/190
tane390 7/7
tane391 4/14
tane392 25/41
tane393 5/9

>>565
tane394 4/10

>>571
解凍出来ない為に未検査

>>578
tane399 1/3

>>587
tane400 9/29

>>595
tane401 スルー

未検出分を提出しました。


605 :名無しさん@お腹いっぱい。:2009/06/21(日) 16:14:13
>>587関連htmlで無さそうだったもの1つ
見落としてたらごめんなさい

http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=403
infected

検体入手元
livedoorm■com/Test■html

virscan (9/38)
http://www.virscan.org/report/d919bd13fba716e104da91588c5c8a8c.html

606 :名無しさん@お腹いっぱい。:2009/06/21(日) 16:41:40
>>605
あー、404だと思ったら、wwwつけたら落ちてきたわ

AntiVir 撃墜。

607 :名無しさん@お腹いっぱい。:2009/06/21(日) 16:46:47
>605
6/14時点 (15/41)
http://www.virustotal.com/analisis/3133c6024300df639aeac0279ce85bc5768d0135a1566a3640c732f9e416a1a5-1245163040

6/21時点 (17/41)
http://www.virustotal.com/analisis/3133c6024300df639aeac0279ce85bc5768d0135a1566a3640c732f9e416a1a5-1245570481

608 :名無しさん@お腹いっぱい。:2009/06/21(日) 17:09:15
Rising 2009 21.43.61 (21.34.61.00)
>>359
load.exe: Trojan.Spy.Win32.Undef.nh
2+1=3/4 (index.htmは不是病毒)
>>384
svcshostes.exe: Trojan.Spy.Win32.Undef.ni
6+1=7/10
>>393
cn.pdf: Hack.Exploit.Win32.PDF.jvu
troj.exe: Trojan.Spy.Win32.Undef.nn
6+2=8/10
>>605
Test.html: Trojan.DL.VBS.Small.ep
1/1

609 :名無しさん@お腹いっぱい。:2009/06/21(日) 18:16:35
カスペからの返事 tane0387
>>540 (>>543,544,546)
42+追加検出2-白変更1=43/46で再クローズ

39.exe - No malicious code was found in this file. (←HEUR:Trojan.Win32.Invaderから白への変更)


>>565(>>566,602) tane0394
5+事後検出(1+2)=8/10、回答待ち1
index.htm_ - Trojan-Downloader.JS.Iframe.bhe
load3.exe_ - Trojan.Win32.Pakes.nmx

New malicious software was found in this file.


>>562のtane0389提出完了,これからtane0390-0393提出予定

で、VT検出の14ファイル提出
たぶん161ファイルくらいが黒。(1ファイルで複数シグネチャ入り、1シグネチャで複数ファイルなどあり、現状、正確に計算できず。)

34.exe_ - Trojan-GameThief.Win32.OnLineGames.bmgn
setup.exe_ - Trojan.Win32.FraudPack.owu
pornotube912.htm_ - Trojan-Downloader.JS.Agent.eez
ManieZ.jpg_ - Trojan-Spy.PHP.Agent.a

New malicious software was found in this file.

svchost.jpg, load.exe,  dd.jpg, angry.gif,  SmartDownload.exe , tdzy3.82.exe - No malicious code was found in this file.

610 :61:2009/06/21(日) 22:53:11
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=404
 DL virus/解凍 virus

【中身】 8個入っています。
7a1ae8bc2868407b0b957ba37148b1ec5520317.js
 ttp://www.virustotal.com/jp/analisis/338e1eb9903dd686189c3a84e89a8530ac7b467f282fdb2ba8d1d331a3c71148-1245589062 (1/41)
codec.exe
 ttp://www.virustotal.com/jp/analisis/1be2df1db2285035092ab989b30782a2b0084d979962798ada49886d5c0e461e-1245591093 (15/41)
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe
 ttp://www.virustotal.com/jp/analisis/2c022bad43237bdd14cb7d8c15c7f096f0b90a131b787271ccba67c7425c9419-1245589897 (5/41)
installer_1.exe
 ttp://www.virustotal.com/jp/analisis/f51f9459d97b51506f1b78250ee04e6ef5e83ccdc8580729e990ff370906234b-1245590775 (12/41)
pp.10.exe
 ttp://www.virustotal.com/jp/analisis/11ea03d0096249da907320e98bbad26fd666388767b9395c5d0f8474d381b719-1245587866 (7/41)
setup.exe
 ttp://www.virustotal.com/jp/analisis/691da8f007115bdd75b203a0332455a3092072c8c930db78d2f08c693a0a3f85-1245590460 (13/41)
Setup_build7_102.exe
 ttp://www.virustotal.com/jp/analisis/2b8082a7a5ad9bae9e7f4f4dafeba13aae8331d1964065e2a9b22d9f35c67c62-1245588691 (13/41)
streamviewer.40009.exe
 ttp://www.virustotal.com/jp/analisis/559923223dbf27f218de5e5fc7c255c0eae745026001253785de189d6dffe186-1245590193 (5/41)

最初の長いjsは、マルウェアの呼び出しスクリプトです。 codec.exeは、>595の改変版。

あと、一応断っておきますが、crack.〜は偽keygenです。VTの結果を見るか、それも信じられないなら自分でVTに投げるなり、
ハッシュをとってVTのハッシュと比較するなりご自由にどうぞです。 また、提出の判断も個人でお願いします。

611 :名無しさん@お腹いっぱい。:2009/06/21(日) 23:00:41
>>610

Symantec、Panda、GDATA2009(=avast!&BitDefender)へ提出

612 :61:2009/06/21(日) 23:03:57
>>610
AVIRA9 7.01.04.119
 7a1ae8bc2868407b0b957ba37148b1ec5520317.js - (UNDER ANALYSIS)
 codec.exe - (UNDER ANALYSIS)
 crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe - (UNDER ANALYSIS)
 installer_1.exe - (UNDER ANALYSIS)
 pp.10.exe - TR/Downloader.Gen
 setup.exe - TR/Dropper.Gen
 Setup_build7_102.exe - TR/Crypt.XPACK.Gen
 streamviewer.40009.exe - (UNDER ANALYSIS)
黒3,未検出5(全部解析中)

Kaspersky 2009/06/21 21:19:00
 7a1ae8bc2868407b0b957ba37148b1ec5520317.js -
 codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
 crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe - Trojan.Win32.FraudPack.owo
 installer_1.exe -
 pp.10.exe - HEUR:Trojan.Win32.Generic (Trojan.Win32.Agent2.ksd)
 setup.exe - Trojan-Dropper.Win32.Agent.auid
 Setup_build7_102.exe -
 streamviewer.40009.exe - Trojan.Win32.FraudPack.owo
黒4,HEUR 1,未検出3。未検出 提出済み。なお、HEURは検出名の解答来てます。(カッコ内)

613 :名無しさん@お腹いっぱい。:2009/06/21(日) 23:16:49
Rising 2009 21.43.62 (21.34.62.00)
>>565
load3.exe: Backdoor.Win32.Undef.dwq
load.exe: Backdoor.Win32.Ntos.dp
1+2-3/10
>>610
スルー、提出完了

614 :名無しさん@お腹いっぱい。:2009/06/21(日) 23:30:37
COMODO Internet Security 1385

>>610

crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe Heur.Packed.Unknown
streamviewer.40009.exe Heur.Packed.Unknown
2/8

未検出分を提出しました。

615 :名無しさん@お腹いっぱい。:2009/06/22(月) 00:23:58
>>610さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました

616 :名無しさん@お腹いっぱい。:2009/06/22(月) 00:28:50
>>562(>>564)
カスペ2010 23:39

tane 0391
8+事後検出6=14/14でクローズ
virus not-a-virus:FraudTool.Win32.VirusSweeper.a     \ReleaseXP\ReleaseXP.exe
virus not-a-virus:FraudTool.Win32.VirusShield.j     \ReleaseXP\ReleaseXP(1).exe
Trojan program Packed.Win32.Krap.i     \ReleaseXP\ReleaseXP(2).exe,   ReleaseXP(3).exe
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.b     \ReleaseXP\ReleaseXP(4).exe
virus not-a-virus:FraudTool.Win32.PrestoTuneUp.b   ReleaseXP\ReleaseXP(5).exe
irus not-a-virus:FraudTool.Win32.MalwareCatcher2009.q     \ReleaseXP\ReleaseXP(6).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ag   \ReleaseXP\ReleaseXP(7).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.i     \ReleaseXP\ReleaseXP(8).exe
virus not-a-virus:FraudTool.Win32.VirusSweeper.a     \SetupPack\SetupPack.exe,   SetupPack(4).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ad     \SetupPack\SetupPack(1).exe,   \SetupPack(2).exe,   \SetupPack(3).exe


tane0393\SetupReleaseXP
6+事後検出3=9/14でクローズ
virus not-a-virus:FraudTool.Win32.VirusSweeper.a   SetupReleaseXP.exe ,  SetupReleaseXP(1).exe,   SetupReleaseXP(3).exe,  SetupReleaseXP(4).exe,  SetupReleaseXP(8).exe
virus not-a-virus:FraudTool.Win32.VirusShield.j   SetupReleaseXP(2).exe
virus not-a-virus:FraudTool.Win32.MalwareCatcher2009.q   SetupReleaseXP(5).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ag   SetupReleaseXP(6).exe
virus not-a-virus:FraudTool.Win32.PrestoTuneUp.b   SetupReleaseXP(7).exe

617 :名無しさん@お腹いっぱい。:2009/06/22(月) 00:46:28
カスペ2010 23:39
>>602, (>>604)
tane0393 >>616を9/9でクローズに誤記訂正

tane0382 28/41のまま 検体提出します。
●tane0382\Setup
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.c   setup\setup(1).exe
virus not-a-virus:FraudTool.Win32.ExtraAntivir.h   setup\setup(2).exe
Trojan program Packed.Win32.Krap.i   setup\setup.exe,  setup1.exe,  uninstall(2).exe,  \uninstall(3).exe,   update(2).exe,   \update(3).exe
Trojan program Packed.Win32.Krap.i   setup\Work(2).exe,   Work(3).exe,   Rpdm.exe
virus not-a-virus:FraudTool.Win32.UltraAntivir2009.d   setup\uninstall(4).exe
virus not-a-virus:FraudTool.Win32.VirusDoctor.k   setup\uninstall(5).exe,  update(5).exe
virus not-a-virus:FraudTool.Win32.ExtraAntivir.i   setup\uninstall(8).exe
Trojan program Trojan-Downloader.Win32.FraudLoad.eir   setup\update(4).exe
Trojan program Trojan-Downloader.Win32.FraudLoad.epy   setup\update(8).exe
virus not-a-virus:FraudTool.Win32.VirusSweeper.b   setup\update.exe
virus not-a-virus:FraudTool.Win32.Agent.rb   setup\Work(4).exe
virus not-a-virus:FraudTool.Win32.Agent.oh   setup\Work(5).exe
Trojan program Trojan.Win32.Qhost.lpu   setup\Work(8).exe
virus not-a-virus:FraudTool.Win32.Agent.oe   setup\Work.exe
●tane0382\SetupRelease
virus not-a-virus:FraudTool.Win32.VirusSweeper.a   SetupRelease\SetupRelease(1,  2,  3,  4,  8).exe (5files)
virus not-a-virus:FraudTool.Win32.PrestoTuneUp   SetupRelease\SetupRelease(5).exe

>>610d
>>612代理提出d。>>612さんの通り 5/10

カスペからの返事
>>562(tane0389) 白1追加
zy.jpg - No malicious code was found in this file.

618 :61:2009/06/22(月) 01:17:10
>>612
Kaspersky返答
 7a1ae8bc2868407b0b957ba37148b1ec5520317.js - Trojan.JS.Agent.aik
 installer_1.exe - not-a-virus:FraudTool.Win32.AntivirusPlus.iu
 Setup_build7_102.exe - not-a-virus:FraudTool.Win32.FastAntivirus2009.ao

黒4,HEUR→黒 1,事後 黒3の全黒(8/8)でclose.

619 :617:2009/06/22(月) 01:58:30
カスペ2010 0:50:00
>>562(>>564,617)
tane0392
28+事後検出7=35/41,回答待ち6

virus not-a-virus:FraudTool.Win32.FastAntivirus2009.ak   setup\uninstall(7).exe
virus not-a-virus:FraudTool.Win32.MalwareCatcher2009.t   setup\uninstall(6).exe
virus not-a-virus:FraudTool.Win32.VirusShield.n   setup\uninstall(1).exe
virus not-a-virus:FraudTool.Win32.Agent.rm   setup\update(7).exe
virus not-a-virus:FraudTool.Win32.Agent.rl   setup\update(6).exe
virus not-a-virus:FraudTool.Win32.Agent.rn   setup\update(1).exe
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.al SetupRelease\SetupRelease(7).exe

620 :名無しさん@お腹いっぱい。:2009/06/22(月) 08:56:33
■ おすすめ2ちゃんねる 開発中。。。 by FOX ★
このスレを見ている人はこんなスレも見ています。(ver 0.20)
【報告専用】同人サイト向け・GENOウィルス注意11 [同人]
鹿児島のテレビを語ろう part7 [テレビサロン]

621 :617:2009/06/22(月) 16:36:37
カスペからの返事&追加検出 15:12
>>562(>>564,617,619)

tane0392
28+事後検出(7+5)=40/41, 回答待ち1(work(7).exe)

Work(1).exe_ - not-a-virus:FraudTool.Win32.Agent.rs
Work(6).exe_ - not-a-virus:FraudTool.Win32.Agent.rr
SetupRelease(6).exe_ - not-a-virus:FraudTool.Win32.MalwareCatcher2009.x

New potentially risk software was found in this file.

追加検出
Deleted virus not-a-virus:FraudTool.Win32.VirusSweeper.c tane0392\setup\uninstall.exe
Deleted virus not-a-virus:FraudTool.Win32.VirusShield.o tane0392\SetupRelease\SetupRelease.exe

622 :名無しさん@お腹いっぱい。:2009/06/22(月) 17:04:52
>>610
McAfee (Active Protection 無効)3/8
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
--------------------|------------------------------|----------------------------|------------|-----
7a1ae8bc2868407b0b95|inconclusive | | |no
crack.amond.dvd.to.i|inconclusive | | |no
setup.exe |inconclusive | | |no
setup_build7_102.exe|inconclusive | | |no
streamviewer.40009.e|inconclusive | | |no

623 :617:2009/06/23(火) 01:11:52
カスペからの返事
>>562(>>564,617,619,621)

tane0392
28+事後検出(7+5+1)=41/41で終了

Work(7).exe_ - Trojan.Win32.Qhost.lql

New malicious software was found in this file.

624 :名無しさん@お腹いっぱい。:2009/06/23(火) 03:45:28
Rising 2009 21.44.04 (21.35.04.00)
>>565
load2.exe: Backdoor.Win32.Undef.dxj
3+1=4/10
>>610
crack.Amond.DVD.to.iPod.Converter.2.10.45088.exe: Backdoor.Win32.Undef.dxm
streamviewer.40009.exe: Backdoor.Win32.Undef.dxm
2/8

625 :名無しさん@お腹いっぱい。:2009/06/23(火) 09:47:39
>>571,>>578
McAfee最終返答。ペンディングで終了が1件か…

File Name Findings Detection Type
========= ======== ========= ====
1199.exe detected backdoor-ckb.dr trojan
bestvideo.avi.exe detected generic.dx trojan
play.exe detected unknown pending
0001.bin detected generic.dx trojan
0001b.bin detected generic downloader.x trojan
0002.bin detected generic.dx trojan

626 :名無しさん@お腹いっぱい。:2009/06/23(火) 16:07:09
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=405
infected

日替わり品とMarwareListから拾ったもの。過去の検体と重複が混ざってたらごめん。

627 :名無しさん@お腹いっぱい。:2009/06/23(火) 16:25:34
>>626
SymantecとPandaとGDATA2009(=avast!&BitDefender)へ提出完了

628 :名無しさん@お腹いっぱい。:2009/06/23(火) 16:33:11
>>626
AntiVir未検出分をftp経由で提出完了。
AntinyLabsにも提出完了。

629 :名無しさん@お腹いっぱい。:2009/06/23(火) 16:35:26
COMODO Internet Security 1396
>>626
30/48
未検出分を提出しました


630 :名無しさん@お腹いっぱい。:2009/06/23(火) 16:44:31
>>626
filename: vop.htm
machine: Machine
result: See the developer notes

filename: rp10.htm
machine: Machine
result: This file is detected as JS.Downloader.

filename: flink.html
machine: Machine
result: See the developer notes

filename: 1051.htm
machine: Machine
result: See the developer notes

filename: live.htm
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html

filename: bfyy.htm
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html

filename: vip.htm
machine: Machine
result: See the developer notes

filename: sina.htm
machine: Machine
result: This file is detected as Downloader. http://www.symantec.com/avcenter/venc/data/downloader.html

631 :名無しさん@お腹いっぱい。:2009/06/23(火) 17:03:36
virus_submission@bitdefender.comに送れない件について
virus_submission@bitdefender.comに検体送るとエラーメールが返ってくる

アドレス変わったのか・・・

632 :名無しさん@お腹いっぱい。:2009/06/23(火) 18:26:35
>>631
少なくとも、今朝送った分は、エラー出てなかった。容量大き過ぎエラーじゃないか?



633 :名無しさん@お腹いっぱい。:2009/06/23(火) 18:36:09
>>626さん乙
a-squaredとMalwarebytesに提出しました
Microsoftは何通りかの圧縮を試して検体送信を試みましたが
失敗画面(成功画面と2種類あって紛らわしいので気づきにくい)にリダイレクトされてしまい受け付けてもらえませんでした
パスワードzip×パスワードzip
7zip×パスワードzip でもダメでした・・・
Microsoftへの検体提出は今回から切りますので悪しからずご了承下さい

634 :名無しさん@お腹いっぱい。:2009/06/23(火) 18:48:19
>>633
MSは最大10MB。
(うちの回線速度の問題かサーバーの速度の問題か)2MB程度なら成功するが、3MB程度はリトライになることが多い。

分割して送るといいよ。

635 :633:2009/06/23(火) 19:22:38
>>634
ファイル容量が大きかった為、3分割して送信を試みた結果失敗でした・・・
以前、Confickerに関する情報提供を日本のMicrosoft Securityに申し出たところ
ほとんど1日待たされた挙句、日本では受付をしていないという返答だったのを思い出します

636 :名無しさん@お腹いっぱい。:2009/06/23(火) 19:55:58
>>633-635
Microsoftへの提出完了。
圧縮しても3.27MBある1ファイルだけリトライが必要でしたが、7分割したらスムーズに提出できました。

637 :名無しさん@お腹いっぱい。:2009/06/23(火) 19:57:54
>>626
トレンドマイクロも提出完了。
メールで提出するところは送信中。残りのベンダーは、夕飯の後で提出しときます。

638 :633:2009/06/23(火) 20:03:17
>>636
お疲れ様
誰もそのことについて進言しないから
そういった状況なんでしょうかね?
Symantecも10MB上限ですが光回線なので9MB位でもなんとか届きます

639 :名無しさん@お腹いっぱい。:2009/06/23(火) 20:50:55
>>638
ちなみに、失敗画面になっても送信成功していることがあって、受付完了メールが返ってきたこともあります>MS

>>631
>626を4分割で送りましたが、エラーは返ってきていない様子。その宛て先死んでないぽいです。

>>626
各社一通り提出完了。(提出報告のあったベンダーには送付していません)

未提出のベンダー
Symantec >630さんが送信してくれてるようですし、9ファイルごとに分割するの面倒なのでパス
Safer Networking(Spybot) > 純粋にめんどうくさ…(セキュリティソフトベンダーともちょっと違うし)
Norman,Zoner > 1ファイルづつサンドボックス送りは時間かかるのでやってらんないです

一部だけ提出のベンダー
ClamAV > 圧縮しても単独で3MBを越えるファイルは提出できないので、一部除外して送付
Rising > 2MBファイル制限があるので、単独ファイルで圧縮しても送信できないものを除いて送付
  51dlq69.exe,51dlqwt69.exe関係だが、ばらした中身のファイルは提出したので問題ないかと

640 :名無しさん@お腹いっぱい。:2009/06/23(火) 20:53:38
>>626
カスペ返答

09wm.js_ - Exploit.JS.Agent.ajd,
1051.htm_ - Trojan-Downloader.JS.Iframe.bhk,
223.bat_ - Trojan.BAT.Qhost.em,
index.php - Trojan.JS.Agent.aio,
video-codec.exe_ - Trojan-Downloader.Win32.FraudLoad.eua
 New malicious software

cl.exe_, dlq.exe_, uc.htm_
 No malicious code were found

後は既知のものだそうです。

641 :名無しさん@お腹いっぱい。:2009/06/23(火) 20:59:03
>>640
…しまった。それ4分割のうちの1つ分でした。orz

online.scr_ - Backdoor.Win32.PcClient.argy
This file is already detected.

返答待ち、51dlq69.exe,51dlqwt69.exe の2ファイル。

内部のHook.dllは検知してるので、黒判定じゃないかなー。黒じゃなかった時だけ報告するってことで、
報告待ち状態ですが、回答をコピペせずにここへの報告をCLOSE(笑)

642 :名無しさん@お腹いっぱい。:2009/06/23(火) 21:21:54
>>626 d 今北産業 カスペ2010 20:28  39/48 未検出分提出

(1)12cssf.comフォルダ 0/1 (残dlq.exe)

(2)51.pcikcq.cn 6/9 (残223.bat2つ、51破天登・器.exe1 計3つ) - それ以外検体名すべて:Trojan.Win32.FlyStudio.uで検出

(3)51momo.zx3k.cnフォルダ 23/26
@51momo.zx3k.cn\swfフォルダ 11/11 - swfファイルの検体名すべて:Exploit.SWF.Downloader.eh
A51momo.zx3k.cnフォルダ直下 12/15 (残09wm.js, 1051.htm, uc.htm 3つ)
Trojan-Downloader.VBS.Agent系     11.htm
Exploit.JS.Agent系   bfyy.htm,    live.htm
Trojan-Downloader.JS.Agent系     flink.html,  sina.htm
Trojan-Downloader.JS.Iframe系     Ilink.html,  vip.htm,  vop.htm,  fx.htm
Exploit.JS.RealPlr系     Real11.htm,   rp10.htm
Trojan-Dropper.Win32.Agent.apsz     top.css

(4)adultfec.comフォルダ 3/4 (残index.php)
Exploit.Win32.Pidief.bbh   adultfex.com\humourAlwaysHumour.pdf
Trojan-Downloader.Win32.Agent.cgiy   adultfex.com\load.exe
Exploit.SWF.Agent.bg   adultfex.com\usesHumour.swf

(5)adwwareindependence.comフォルダ 2/2
Trojan-Dropper.Win32.Agent.asuo   494.exe
not-a-virus:FraudTool.Win32.MalwareDoctor.aw   mlw.exe

(6)www.shaimokale.comフォルダ 3/3
Backdoor.Win32.PcClient.argy   online.scr,  張佑赫.exe、 online.zip/online.scr

(7)その他 3/4 (残fastdor.rui\video-codec.exe)
Trojan.BAT.Agent.qe   an66.com\an66.exe
Trojan-Dropper.Win32.Agent.atxi   eurorem2009.ru\HQAVI.exe
Trojan-Downloader.Win32.FraudLoad.wbyk   fassare.ru\setup.exe

643 :642:2009/06/23(火) 21:32:28
カスペ
>>640-641
d
かぶった。orzすまぬ。

>dlq69.exe,51dlqwt69.exe の2ファイル。
Trojan.Win32.FlyStudio.uでいいんじゃね?
検出して、ファイルは削除される。

総合すると、44/48、白3、回答待ち1で51.pcikcq.cn\51dlq69の51破天登?器.exeだけが、回答なしか。再度提出してみる。



644 :名無しさん@お腹いっぱい。:2009/06/23(火) 22:09:41
Rising 2009 21.44.14 (21.35.14.00)
>>626
51.pcikcq.cn\51dlq69\Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlq69.exe>>Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlqwt69\Hook.dll: Trojan.Small.hxl
51.pcikcq.cn\51dlqwt69.exe>>Hook.dll: Trojan.Small.hxl
51momo.zx3k.cn\09wm.js: Trojan.DL.Script.JS.Agent.nx
51momo.zx3k.cn\11.htm: Trojan.DL.Script.VBS.Agent.fo
51momo.zx3k.cn\bfyy.htm: Trojan.DL.Script.JS.Agent.ng
51momo.zx3k.cn\Ilink.html: Trojan.DL.Script.VBS.Agent.fx
51momo.zx3k.cn\live.htm: Trojan.DL.Script.JS.Agent.ob
51momo.zx3k.cn\Real11.htm: Trojan.DL.Script.JS.Agent.kv
51momo.zx3k.cn\rp10.htm: Trojan.DL.Script.JS.Agent.nd
51momo.zx3k.cn\swf\f(115|16|28|45|47),f(115|16|28|45|47|64).swf: Hack.Exploit.Swf.a
51momo.zx3k.cn\top.css: Dropper.Win32.Undef.wc
51momo.zx3k.cn\vip.htm: Trojan.DL.Script.JS.Agent.od
eurorem2009.ru\HQAVI.exe: Trojan.Win32.FakeAV.nz
fassare.ru\setup.exe: Trojan.DL.Win32.Undef.exe
fastdor.ru\video-codec.exe: Trojan.Win32.FakeAV.nz
www.shaimokale.com\online.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
\www.shaimokale.com\online.zip>>online.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\張佑赫.exe: Backdoor.Win32.PcClient.uwp
30/48

>>639さん
2MBの制限はないですよ。
>>5のリンクからなら5MB
↓なら10MBまで可能です。(電話番号が必要なので送れませんが・・・)
ttp://mailcenter.rising.com.cn/uploadnew.aspx
ただ、他社と同じくエラーが多いので4MB程度が限界です。不調な時は1MB超えても失敗します。

645 :名無しさん@お腹いっぱい。:2009/06/23(火) 22:29:26
Rising 2009 >>644の続き
>>318
codec2009.exe: Trojan.DL.Win32.Undef.ezg
6+1=7/15
>>393
SetupPack.exe>>{app}\VShield.exe: AdWare.Win32.FakeAV.do
SetupPack.exe: <Unknown virus>
8+1=9/10(scriptvirus07.htmは不是病毒との回答)
>>565
getexe.exe: Trojan.PSW.Win32.Banker.dno
loader.exe: Dropper.Win32.Undef.adc
winres.exe: Dropper.Win32.VB.faa
4+3=7/10
>>578
1199.exe: Backdoor.Win32.PcClient.uwp
play.exe>>1199.exe: Backdoor.Win32.PcClient.uwp
2/3
>>587
www.hotgome.net\www.livedoorm.com\Test.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\livedoor.scr>>張佑赫.exe: Backdoor.Win32.PcClient.uwp
www.shaimokale.com\張佑赫.exe: www.shaimokale.com\張佑赫.exe
14+3=17/29
>>595
codec.exe: Trojan.Spy.Win32.Undef.nx
4+1=5/8
>>610
codec.exe: Trojan.Spy.Win32.Undef.nx
Trojan.Spy.Win32.Undef.nx: AdWare.Win32.FakeAV.dn
pp.10.exe>>upx_c: Trojan.Spy.Win32.Undef.ny
2+3=5/8

646 :名無しさん@お腹いっぱい。:2009/06/23(火) 22:55:18
>>644
Risingにそのフォームから送ってるけど、5MBと書いてあるけど、実質2MB。2.3MB程度が限界ぽい。
わたしが2MBと言ってる根拠は、Risingからの返答メールの文面。2MBがLimitと書いてある。

>You can simply send this file to our anti-malware team for investigation by uploading it here.
>We have a limit of 2MB per uploaded file.

647 :名無しさん@お腹いっぱい。:2009/06/23(火) 23:01:39
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=406
infected

MarwareListから拾ったもの。

Wikiにある各社+α(5社程度)に(NormanとZonerを除いて)一通り提出済みです。
再提出の必要はないですが、同じようにMarwareListから拾ってる人がいるようなので、重複防止のためにUP。

うち2ファイル(18.htmとjtcqqe.php)は、VTで検出ベンダー数0なので白判定で返ってくるかも。
他は、なんかしら引っ掛かってます。

648 :名無しさん@お腹いっぱい。:2009/06/23(火) 23:05:52
>>646
それは制限が2MBだった頃から英語回答のテンプレートが更新されてないだけかとw

51dlq69.exe、51dlqwt69.exeをRisingに提出しておきました。

649 :名無しさん@お腹いっぱい。:2009/06/23(火) 23:12:45
Rising 2009
>>647
abkzfdilko.com\nkklpcghhv.txt: Trojan.DL.Win32.Mnless.dpz
www.shhdyb.cn\1.exe: Backdoor.Win32.Delf.ecy
www.shhdyb.cn\22.htm: Trojan.DL.Script.JS.Agent.lg
3/43

650 :643:2009/06/24(水) 00:14:16
カスペからの返事
>>626(>>640-643)
44/48(事後検出含む),白4(cl.exe_, dlq.exe_, uc.htm, 51破天登?器.exe_)で閉鎖

51破天登?器.exe -  No malicious code were found

651 :名無しさん@お腹いっぱい。:2009/06/24(水) 00:53:04
>>647 d (tane0406)
カスペ2010 22:59
33/43

(1) abkzfdilko.comフォルダ 4/7 (スルー3…jtcqqe.php, nkklpcghhv.txt, voclzzjkg.php )
unknown threat UDS:DangerousObject.Multi.Generic  - jyiifgkxhy.php、syvvw.php、udeee.php、iobpgg.php
※Kaspersky Security Network(KSN)により有害なコードと検知(シグネチャ配信前なので検体名なし)

(2)bbatzkvfha.netフォルダ 2/4 (スルー2…cuper1.php, ccsuper2.php)
Backdoor.Win32.NewRest.ao   ccsuper0.php
Trojan.Win32.Buzus.bhnb ccsuper3.php

(3)sexyslutschicks.comフォルダ 0/1 (scanmyfolders.com.htmスルー)

(4)www.shhdyb.cnフォルダ 27/31 (スルー4…18.html, 21.html, gvcx.html, gxfl.html)
virus HEUR:Exploit.Script.Generic [2-9, 10, 11, 13, 14, 15, 22].htm,  index.html (16)
virus HEUR:Trojan-Downloader.Script.Generic   23.htm
Backdoor.Win32.Hupigon.gweo  1.exe
Trojan program Exploit.JS.RealPlr.qk  12.htm
Trojan-Downloader.JS.Agent.dnf  16.htm
Trojan-Downloader.JS.Agent.doa  17.htm
Trojan-Downloader.JS.Agent.dnz  19.htm
Trojan program Trojan-Downloader.JS.Agent.dnf  20.htm
Trojan program Trojan-Downloader.JS.Agent.dsk  gvff.htm
Trojan program Exploit.JS.Agent.afq  gvbf.htm
Trojan program Trojan-Downloader.JS.Agent.dwx  gv14.htm
Trojan program Trojan-Downloader.JS.Agent.dxc  gv122121.htm
Trojan program Exploit.JS.Agent.aip  gvgg.htm

652 :61:2009/06/24(水) 00:53:20
>>610
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=407
 DL virus/解凍 virus

【中身】 2個入っています。
v80k.pdf
 http://www.virustotal.com/jp/analisis/577cdb7b75c198e802e50bc1371fb47b4403c1e8d450319033ae84c6c2d1d2de-1245770802 (10/39)
Worldpay_NR9772.exe
 ttp://www.virustotal.com/jp/analisis/7768dc857edad2150f903b670c5af9dfae99dbf969871382676df07c08d40878-1245771940 (20/41)

MDLは取ってきてくれた人がいるので、cNoteさんの所に書いてあったヤツと、私宛にメールできたマルウェアです。

v80k.pdfは、ttp://laed■ru/exp/include/spl■php?stat=Windows%20XP|Internet%20Explorer%207.0|US|Internet%20Explorer
から落ちてきたもので、アクセスする度に少しずつ中身が変わりますが、基本、同じものです。

Worldpay_NR9772.exeはメールで来たものですが、まだ半分くらいしか検出しないので、一応。

v80k.pdfはAVIRAとKasperskyは検出しないので、提出済みです。 Worldpay_NR9772.exeはVTの通りです。

653 :名無しさん@お腹いっぱい。:2009/06/24(水) 00:57:14
>>652

PandaとGDATA2009(avast!&BitDefender)へ提出

654 :名無しさん@お腹いっぱい。:2009/06/24(水) 01:13:20
>>652さん乙
a-squaredとMalwarebytesに提出しました

655 :名無しさん@お腹いっぱい。:2009/06/24(水) 01:16:08
>>5
Risingの提出先(単体ファイルのチェックページ)追加です
ttp://mailcenter.rising.com.cn/filecheck/Default.aspx
可疑文件上?=怪しいファイルの報告
??文件上?=誤検知ファイルの報告
圧縮せずに提出、容量制限不明

>>652
↑からRisingに提出完了(Worldpay_NR9772.exeは既に提出済みだった)

検出可否は後で確認



656 :名無しさん@お腹いっぱい。:2009/06/24(水) 02:06:53
>>652
Rising 2009スルー

>>655
中国語が化けてましたね・・・
補足で
ブラウザにクッキーを保存しない設定にしていると提出に失敗します。

657 :名無しさん@お腹いっぱい。:2009/06/24(水) 11:36:42
>>647(>>651) (tane0406)
カスペ2010 10:44
33+3=36/44

Quarantined Trojan program Trojan-Downloader.Win32.VB.ooq   tane0406\bbatzkvfha.net\ccsuper1.php
Quarantined Trojan program Trojan.Win32.Rabbit.iq   tane0406\abkzfdilko.com\voclzzjkg.php
Quarantined Trojan program Trojan-Downloader.Win32.Small.jwz   tane0406\abkzfdilko.com\nkklpcghhv.txt

ほか追加検出なし。
提出してみようかな。

658 :657:2009/06/24(水) 15:20:56
カスペからの返事 (途中報告)
>>647(>>651,657)(tane0406)

33+(3-4)/32/43、白6、回答待ち5

2.htm_ - Exploit.JS.Agent.aje
3.htm_ - Exploit.JS.Agent.ajf
5.htm_, 11.htm, 10.htm_, 9.htm__ - Exploit.JS.Agent.ajg
22.htm_ - Exploit.JS.Agent.ajh
6.htm_- Exploit.JS.RealPlr.ql
7.htm_ - Exploit.JS.RealPlr.qm

New malicious software was found in this file. (全てヒューリスティックからの変換)

gvcx.htm , gvfl.htm, jyiifgkxhy.php, syvvw.php, udeee.php, iobpgg.php

No malicious code was found in this file. (KSN検知も白判定)



>>652d(tane0407)
1+事後検出1=2/2でFA

v80k.pdf - Exploit.Win32.Pidief.bbuPidief.bbu
New malicious software was found in this file.

659 :657:2009/06/24(水) 20:55:20
カスペからの返事 (途中報告)
>>647(>>651,657,658)(tane0406)

33+(3-4)=32/43、白7、回答待ち4

tane0406\abkzfdilko.com\jtcqqe.php

No malicious code was found in this file.



660 :名無しさん@お腹いっぱい。:2009/06/24(水) 21:31:30
Rising 2009 21.44.23 (21.35.23.00)
>>26
20090411\u2.exe>>upx_c: Trojan.DL.Win32.Delf.ztg
>>183
b\malay.exe: Trojan.Win32.BHO.fpu
2+1=3/12
>>246
file.exe: Packer.Win32.Agent.au
5+1=6/9
>>626
adwareindependence.com\f494.exe: Trojan.DL.Win32.Mnless.dyy
30+1=31/48
>>647
abkzfdilko.com\voclzzjkg.php: Trojan.DL.Win32.Undef.fao
3+1=4/43
>>652
v80k.pdf: Hack.Exploit.Win32.PDFCode.a
1/2

661 :645:2009/06/24(水) 21:36:08
>>565
Risingより
文件名:sitesS.swf
不是病毒
文件名:readme.pdf
不是病毒
文件名:index.htm
不是病毒
との回答メール
7/10

662 :名無しさん@お腹いっぱい。:2009/06/24(水) 22:25:21
提出者としては、検体がコンスタントに少量ずつ来るといいな。
多いとイヤになる。

663 :名無しさん@お腹いっぱい。:2009/06/24(水) 23:11:53
COMODO Internet Security 1404

>>647
11/43

>>652
スルー

未検出分を提出しました。


664 :名無しさん@お腹いっぱい。:2009/06/25(木) 00:55:03
カスペからの返事
>>647(>>651,657,658,659)(tane0406)

8.htm_ - Trojan-Downloader.JS.Agent.efd (←HEUR:Exploit.Script.Generic)


>>565(>>566,602,609) tane0394
5+事後検出4=9/10、回答待ち1(winres.exe)

sitesS.swf - Exploit.SWF.Agent.bh

New malicious software was found in this file

665 :名無しさん@お腹いっぱい。:2009/06/25(木) 13:21:38
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=409
infected

408は今月初めに提出済みのものを混ぜちゃってたので、削除しました。これが再UP分。

= 検体入手元 =
ほぼ日替わりのscr(www■miwcmac■com/www■shaimokale■com)
tt■ff88567■cn/down/[exe多数]
tj■114anhui■com/down/qqma■exe
tj■114anhui■com/down/qqmo■exe
>652の基本同じ物なpdf一杯。(全検出するか一部すり抜けるかのチェックにどうぞ)

666 :名無しさん@お腹いっぱい。:2009/06/25(木) 13:26:43
qqma■exe が2箇所に入ってますが、同じバイナリでした。チェック甘くてすいません。orz

667 :名無しさん@お腹いっぱい。:2009/06/25(木) 13:40:12
>>665さん乙
Symantecとa-squaredとMalwarebytesに提出しました

668 :名無しさん@お腹いっぱい。:2009/06/25(木) 18:25:10
>>665
PandaとGDATA2009(=avast!&BitDefender)へ提出完了

669 :名無しさん@お腹いっぱい。:2009/06/25(木) 19:33:25
>>665 d  (tane0409)
カスペ2010 18:34:00
30/101 (pdfファイルは全スルーorz。それ以外は全検出。) 検体提出します。

(1) pdfフォルダ 0/71

(2) tj.114anhui.com フォルダ 2/2
Trojan-GameThief.Win32.OnLineGames.bkzf   qqma.exe
Trojan.Win32.Pakes.nkm   qqmo.exe

(3) tt.ff88567.cnフォルダ 23/23
Trojan.Win32.KillAV.dfg   130.exe
Trojan-GameThief.Win32.Magania.biht    cp9m.exe  cqwd9m.exe    jxsj9m.exe  dj9m.exe   mu9m.exe
Trojan-GameThief.Win32.Magania.biht    qq3g9m1.exe   tl9m.exe  wd9m.exe   zzh9m.exe   zt9m.exe   zx9m.exe
Trojan-GameThief.Win32.Magania.bfdq   cqsj9m.exe  wl9m.exe
Trojan-GameThief.Win32.Magania.biop   dnf9m.exe
Trojan-GameThief.Win32.Magania.biiu   mhxu9m.exe
Trojan-GameThief.Win32.Magania.biis   qq3g9m.exe
Trojan-PSW.Win32.LdPinch.agqe   qqhx9m.exe
Trojan-GameThief.Win32.OnLineGames.bkzf   qqma.exe
Trojan.Win32.Agent.cnac   qqxx.exe
Trojan-Dropper.Win32.Agent.aqpn   server.exe
Trojan-GameThief.Win32.OnLineGames.bmgl   sg9m.exe
Trojan-GameThief.Win32.Magania.batm   tx29m.exe

(4) www.miwcmac.comフォルダ 2/2
Backdoor.Win32.PcClient.arjg 1199.exe   mpg.scr/1199.exe

(5) www.shaimokale.comフォルダ 3/3
Backdoor.Win32.PcClient.arit online.scr/処モモコユ.exe,  張佑赫.exe  online.zip\online.scr

670 :名無しさん@お腹いっぱい。:2009/06/25(木) 20:39:07
カスペ2010 検出ベース 18:34
>>647(>>651,657,658,659,664)(tane0406)

Exploit.JS.Agent.ajg 11.htm  13.htm  14.htm  15.htm (←HEUR:Exploit.Script.Generic)

回答待ち4 : 18.htm,   21.htm,   ccsuper2.php,   scanmyfolders.com.htm

671 :名無しさん@お腹いっぱい。:2009/06/25(木) 21:01:54
>>665
94/101
McAfee (Active Protection 無効)94/101
online.zip(online.rar)は提出見送り。
張佑赫はpassword-protectedの様?なので提出見送り。
未検出分をMcAfeeに提出させて頂きました(4file提出)

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
online.scr |new detection |generic backdoor!d |Trojan |yes
qqma.exe |inconclusive | | |no
1199.exe |new detection |backdoor-ckb.gen.v |Trojan |yes
mpg.scr |new detection |generic backdoor!d |Trojan |yes

672 :名無しさん@お腹いっぱい。:2009/06/25(木) 22:10:33
張佑赫
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
xxxcxq.exe |new detection |backdoor-ckb.gen.v |Trojan |yes

673 :名無しさん@お腹いっぱい。:2009/06/25(木) 23:51:21
日本語でおk

674 :61:2009/06/26(金) 00:10:58
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=410
 DL virus/解凍 virus

【中身】 1個だけです。
mscorewr.dll
 ttp://www.virustotal.com/jp/analisis/361c2f902fb85cd709328289d5dda530f529bff7213666e1c8d5e6088f3b148d-1245941124 (13/41)


>565に入っているgetexe.exeを実行した時に、system32フォルダ内に生成されるファイルです。
getexeexeは何かというと、mias.twから落ちてきたファイルです。

つまり、今話題?(本当に話題なのかどうかはわかりませんが...)のnine ballの感染ファイル本体です。
ただし、nine ballの感染ファイル本体がこれ1種類かどうかはわかりません。
あくまで、getexe.exeが実行された場合に生成されるのがこれ、というだけです。

また、mias.twが消滅している現在、これがどの程度重要かはわかりません。
ま、検出できる=感染しているかどうかの判断はできそうだ、程度に考えておけば良いという気がします。

AVIRAは検出します。 Kasperskyは検出しないので提出しました。

675 :名無しさん@お腹いっぱい。:2009/06/26(金) 00:26:00
>>674
McAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
mscorewr.dll |inconclusive | | |no

676 :645:2009/06/26(金) 00:43:18
Rising 2009 21.44.34 (21.35.34.00)
>>26
20090516\martuz1.pdf: Hack.Exploit.Win32.Agent.bm
>>318
softwarefortubeview.42002.exe: Trojan.DL.Win32.Undef.fby
3.exe: Trojan.DL.Win32.Undef.fbx
7+2=9/15
>>647
bbatzkvfha.net\ccsuper3.php: Trojan.Spy.Win32.Delf.dpx
4+1=5/43
>>674
mscorewr.dll: Trojan.PSW.Win32.Banker.dnn

677 :名無しさん@お腹いっぱい。:2009/06/26(金) 00:51:33
>>665さん乙
SymantecとMalwarebytesに提出しました

678 :61:2009/06/26(金) 01:07:01
>>674
Kaspersky返答。
 mscorewr.dll - Trojan-Banker.Win32.Banker.ajyv
 New malicious software was found in the attached file.

679 :61:2009/06/26(金) 01:46:31
>>665
avira9 7.01.04.138

PDF - 0/71 (1個も検出しない)
tj.114anhui.com - 1/2 ,未検出 qqma.exe
tt.ff88567.cn - 22/23,未検出 qqma.exe
www.miwcmac.com - 2/2
www.shaimokale.com - 3/3

qqma.exeは、Webで提出すると MALWARE判定済み(TR/Drop.RQU.84)で、 VDF 7.01.02.104で対応済みと出るが、
実際には検出しない。VTでは
 ttp://www.virustotal.com/jp/analisis/778ee79901fd61d50a49517b5eca7fe4b2691f015a4283dd4c04c257032aaa52-1245947476 (12/40)
と対応済みなので、とりあえず様子見。(こういう場合、時間をおかずにVDFのアップデートで検出できるようになることが多いため)

PDFは中身がほとんど同じなので、今日は1個だけ出して様子見。Genファイル作れれば良し、作れなければ明日全部送付。

680 :名無しさん@お腹いっぱい。:2009/06/26(金) 14:04:31
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=411
infected

検体入手元(spamメールに含まれていたもの)
p://83■212■16■22/icons/doc-47473-4378914-34-JPG■exe
p://istitutomicoterapico■it/ecard■exe

ecard■exe(14/41)
http://www.virustotal.com/analisis/2b27e47c7f8d2195d5473d400a1e4ccec79049c6d84203e27003e5e2daaa95b7-1245985969

doc-47473-4378914-34-JPG■exe(19/41)
http://www.virustotal.com/analisis/43ed0f319ff0b8bd29f5592a7e218e97e2bf1b75c7e0c44ab7dd8bb4d977de2b-1245988758

AviraとAntinyLabsにはftp経由で提出済み。後はまだ送ってません。

681 :名無しさん@お腹いっぱい。:2009/06/26(金) 14:21:51
おっと、検知数書くの忘れてた。

AntiVir9Free(1/2)
  ecard■exeをスルー

bitDefender10Free(1/2)
  ecard■exeをスルー

A-Squared(2/2)

682 :名無しさん@お腹いっぱい。:2009/06/26(金) 14:35:49
>>674 , >>680
いずれも、Wikiのまとめにある各社+αまで全部提出完了。
今回は少なかったので、1個づつ提出するNormanなどにも提出。

A-Squaredは手元のFreeで全検出確認できたので提出せず。
他も全検出するベンダーあるだろうけどチェックしてられないので、そのまま提出しました。

683 :名無しさん@お腹いっぱい。:2009/06/26(金) 19:00:55
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=412
infected

先日の、qqmo■exeを落としてくるスクリプト類+1個

=== 検体入手元 ===
p://52cps■com/goto/(なんたら)
p://txt■114central■com/goto/qqmo■exe

p://avpro-labs■com/vir-remover-pro■exe

nProtectだけが検知するとか、珍しいものも入ってます…殆どのとこは白判定になりそうなファイルですが(苦笑)


AviraとAntinyLabsにはftp経由で提出済み。

684 :61:2009/06/26(金) 20:15:49
>>680
AVIRA9 7.01.04.141
 ecard.exe - TR/Spy.ZBot.xgh
 doc-47473-4378914-34-JPG.exe - TR/Dldr.Delphi.Gen
黒2,検出可。

Kaspersky 2009/06/26 19:38:00
 ecard.exe - Trojan-Spy.Win32.Zbot.xgh
 doc-47473-4378914-34-JPG.exe -
黒1,未検出1。 未検出分 提出済。

>679は、予想通り 7.01.04.141でqqma.exeを検出可になってました。

685 :名無しさん@お腹いっぱい。:2009/06/26(金) 20:18:43
カスペ2010 18:21
>>680 d tane0411   1/2
>>684 代理提出 d
Deleted Trojan program Trojan-Spy.Win32.Zbot.xgh  tane0411\ecard.exe

>>683    d  tane0412  3/23 検体提出します。(様子見ながら)
Deleted virus not-a-virus:FraudTool.Win32.VirusRemover.cg   tane0412\avpro-labs.com\vir-remover-pro.exe
Deleted Trojan program Trojan-GameThief.Win32.OnLineGames.bkzf   tane0412\txt.114central.com\qqmo.exe
Deleted Trojan program Trojan-Downloader.JS.Agent.ebt   tane0412\52cps.com\yt14.htm

カスペからの返事
>>647(>>651,657,658,659,664,670)  (tane0406)
tane0406\bbatzkvfha.net\ccsuper2.php - Trojan.Win32.Agent2.cgbi

提出数多いせいか、回答が滞り気味だ。優先順位が下げられているかな
>>665のPDFファイルが未だ0/71なのが気になる。

686 :名無しさん@お腹いっぱい。:2009/06/26(金) 20:23:06
>>684
Wikiにまとめられている提出先に一通り提出完了。(NormanとZonerを除く)

687 :名無しさん@お腹いっぱい。:2009/06/26(金) 20:39:10
>>674,>>683
McAfee自動返答(mscorewr.dll は>675と変化無し)

File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
doc-47473-4378914-34|new detection |pws-banker!do |Trojan |yes
ecard.exe |new detection |generic pws.y!cy |Trojan |yes
mscorewr.dll |inconclusive | | |no

688 :名無しさん@お腹いっぱい。:2009/06/26(金) 20:47:23
>>683
Symantec自動返答

■ 既知分 ■
filename: js.js
result: This file is detected as IFrame.Exploit. http://www.symantec.com/avcenter/venc/data/iframe.exploit.html
filename: vir-remover-pro.exe
result: This file is detected as VirusRemover2008.
filename: qqmo.exe
result: This file is detected as Trojan.KillAV. http://www.symantec.com/avcenter/venc/data/trojan.killav.html
filename: ytvod.htm
result: This file is detected as Trojan Horse. http://www.symantec.com/avcenter/venc/data/trojan.horse.html

■ 手動解析行き ■
filename: 092.js , 1111111111.swf , 15.js , 091.js , bff1.js , 2222222222.swf ,
     16.js , yt122121.htm , Turl.js , real1.js , ytff.htm , real.js , mm.htm ,
     ytbb.htm , yt14.htm , ytfl.htm, ytxxz.htm
result: See the developer notes

■ 白判定 ■
filename: 14.js
filename: bff.js
filename: msg-4040-3.txt
filename: msg-3828-1.txt
result: This file is clean

txtなんて入れた記憶無いけど、9ファイルのアーカイブがエラーで弾かれてきたので
jsだかhtmだかの内部から抽出したのかもしれない。

>>686
アンカー間違い。提出完了したのは>683です。

689 :685:2009/06/26(金) 21:19:40
>>665 (>>685) tane0409
カスペからの返事

71個のPDFファイルについて一括送信したものについて返事

Hello,

its Exploit.Win32.Pidief
detection will be added soon
ths

Exploit.Win32.Pidief。シグネチャは後で追加する予定。thsはthanks.





690 :61:2009/06/26(金) 22:24:21
>>684
Kaspersky返答。
 doc-47473-4378914-34-JPG.exe_ - Trojan-Downloader.Win32.Banload.afwt
 New malicious software was found in this file.

黒1+事後 黒1=黒2/2

691 :61:2009/06/26(金) 22:33:45
ttp://www.tane.sakuratan.com/upload/upload.cgi?mode=dl&file=413
 DL virus/解凍 virus

【中身】 10個入っています。
6.pdf
 ttp://www.virustotal.com/jp/analisis/0ce86e1f37aa5fd6651a2d40bf9b3c3d9dce6859a4fabf0e72fdff2de42a1f1d-1246018178 (15/41)
adware_crypt.exe
 ttp://www.virustotal.com/jp/analisis/0a08059aeaa955de3f5d08546f28c83db855d761082c4205811819195e185b04-1245636154 (8/41)
ecard.exe
 ttp://www.virustotal.com/jp/analisis/7d168c70d66f83b9876c31227af4e595b5d40ea03df6a624f8669c2cddb9661f-1246022244 (18/41)
Exp_flash.swf
 ttp://www.virustotal.com/jp/analisis/c6adc0ae79fcb58b71a49b3af07864b4f615cb47e815a3fea7cb2104f32df210-1246018423 (9/40)
FlashCodec.4.10.exe
 ttp://www.virustotal.com/jp/analisis/d486d9fad45fd133a9469c1f0a6a85b9072678beb1541794788a1b7a6238bd7c-1246017515 (13/41)
load.exe
 ttp://www.virustotal.com/jp/analisis/935ea345bad633f93502761f3a6075bbaad27c77d0dcb167d7932c271da0eaf1-1246017722 (17/41)
load2.exe
 ttp://www.virustotal.com/jp/analisis/2cc7714f5b1d89fd90aa73df48f1770f1e7222553fe1955542ca82194f114d18-1246017951 (15/41)
load3.exe
 ttp://www.virustotal.com/jp/analisis/49ff4a1c36f655b6fea8a5314a6c42dd30077ec2cda72b682bf03be7c1357b9e-1246019205 (26/41)
load4.exe
 ttp://www.virustotal.com/jp/analisis/bc2edc343953bab795260afb34b971f3ad96c1603128067bac556e96d4332b91-1246019432 (9/41)
streamviewer.45030.exe
 ttp://www.virustotal.com/jp/analisis/947ea618d3e598202b3638bb505383ede14be000e777ac9ece26cc40dc21b295-1246021768 (14/41)

ecard.exeは、>680さんと別のものです。 色々な種類がSPAMで出回っているみたいですね...

692 :61:2009/06/26(金) 22:43:11
>>691
AVIRA9 7.01.04.141
 6.pdf - (EXP.Pidief.xgh) next update
 adware_crypt.exe - TR/Agent.cmyl
 File name - TR/Spy.ZBot.xgj
 Exp_flash.swf - (UNDER ANALYSIS)
 FlashCodec.4.10.exe - TR/Dldr.LoadAdv.Ace.8
 load.exe - WORM/Autorun.aqmk
 load2.exe - TR/Crypt.XPACK.Gen
 load3.exe - TR/Spy.ZBot.xak
 load4.exe - TR/Crypt.XPACK.Gen
 streamviewer.45030.exe - TR/FraudPack.oyx.4
黒8,未検出2。未検出は、黒確定1+解析中1

Kaspersky 2009/06/26 19:38:00
 6.pdf - Exploit.Win32.Pidief.bca
 adware_crypt.exe - Trojan.Win32.Agent.cmyl
 ecard.exe - Trojan-Spy.Win32.Zbot.xgj
 Exp_flash.swf - Exploit.SWF.Agent.au
 FlashCodec.4.10.exe - HEUR:Trojan-Downloader.Win32.Generic
 load.exe - Worm.Win32.AutoRun.aqmk
 load2.exe - Trojan-Dropper.Win32.Agent.auqf
 load3.exe - Trojan-Spy.Win32.Zbot.xak
 load4.exe -
 streamviewer.45030.exe - Trojan.Win32.FraudPack.oyx
黒8,HEUR 1,未検出1。HEURと未検出は提出済

693 :685:2009/06/26(金) 22:49:01
>>683 (>>685) tane0412
カスペからの返事(途中報告)

3/23, 白5, 回答待ち7

real.js,   real1.js   yt122121.htm  ytff.htm  ytfl.htm - No malicious code was found in this file.

※提出を見送っているもの 8 (2222222222.swf  14.js  15.js  091.js   bff1.js   mm.htm   Turl.js  ytxxz.html)


>>690-692 d

694 :名無しさん@お腹いっぱい。:2009/06/27(土) 02:28:58
>>691
SymantecとPandaとGDATA2009(=avast!&BitDefender)へ提出完了

Symantecから自動返答(解析中)

filename: load4.exe
machine: Machine
result: See the developer notes

filename: load.exe
machine: Machine
result: See the developer notes


695 :名無しさん@お腹いっぱい。:2009/06/27(土) 02:59:11
Rising 2009 21.44.44 (21.35.44.00)
>>680
スルー
>>683
52cps.com\real.js: Hack.Exploit.Script.JS.Agent.iy
52cps.com\real1.js: Hack.Exploit.Script.JS.Agent.iz
52cps.com\ytff.htm: Trojan.DL.Script.JS.Agnet.d
52cps.com\ytvod.htm: Trojan.DL.Script.JS.Agent.pe
txt.114central.com\qqmo.exe>>nspack: Trojan.DL.Win32.Undef.dyf
5/23
>>691
FlashCodec.4.10.exe>>Aspack212r: Trojan.DL.Win32.Mnless.dpz
load2.exe>>upx_c: Win32.Virut.cg
load3.exe: Backdoor.Win32.Ntos.dy
load.exe: Suspicious:Packer.Win32.UnkPacker.a
3(+1)/10
提出完了

696 :2-1:2009/06/27(土) 05:01:57
>>683
McAfee (Active Protection 無効)1/23
未検出分をAVERTに提出させて頂きました。

Response
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
091.js |heuristic detection |beav-shellcode |Application |no
092.js |inconclusive | | |no
1111111111.swf |inconclusive | | |no
14.js |inconclusive | | |no
15.js |inconclusive | | |no
16.js |inconclusive | | |no
2222222222.swf |inconclusive | | |no
bff.js |inconclusive | | |no
bff1.js |inconclusive | | |no
js.js |inconclusive | | |no
mm.htm |inconclusive | | |no
real.js |inconclusive | | |no
real1.js |inconclusive | | |no
turl.js |inconclusive | | |no
vir-remover-pro.exe |inconclusive | | |no
yt122121.htm |inconclusive | | |no

697 :2-2:2009/06/27(土) 05:03:55
>>683
yt14.htm |inconclusive | | |no
ytbb.htm |inconclusive | | |no
ytff.htm |inconclusive | | |no
ytfl.htm |inconclusive | | |no
ytvod.htm |inconclusive | | |no
ytxxz.htm |inconclusive | | |no

heuristic detection [091.js]

The file received may contain a potentially unwanted program or joke program. This
potential threat was identified with our most powerful set of heuristic DAT drivers.
Heuristic drivers can cause false-positive identifications, as such, this issue is
being escalated to Avert Labs for a thorough review. You will be contacted through
e-mail with the results of our analysis.

inconclusive [092.js 1111111111.swf 14.js 15.js 16.js 2222222222.swf bff.js bff1.js js.js mm.htm
real.js real1.js turl.js vir-remover-pro.exe yt122121.htm yt14.htm ytbb.htm ytff.htm
ytfl.htm ytvod.htm ytxxz.htm]


698 :名無しさん@お腹いっぱい。:2009/06/27(土) 05:27:50
>>691
McAfee (Active Protection 無効)1/10
未検出分をAVERTに提出させて頂きました。

自動返信、オートメーションシステムはメンテナンス中

699 :名無しさん@お腹いっぱい。:2009/06/27(土) 06:13:19
http://pc11.2ch.net/test/read.cgi/sec/1245640557/60
http://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=414
infected

ttp://www.virustotal.com/jp/analisis/247f523d4adf0eea2170ef14daaa38e5e3d6dc93acbc4d4e622c609be579b598-1246049298
McAfee提出済

700 :名無しさん@お腹いっぱい。:2009/06/27(土) 06:55:57
むぅ、なんか1ファイルで出すのがためらわれるが、検出率悪いので。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=415
infected

=== 検体入手元 ===
spamメールでアドレスが届いたもの。なんか、exeのアドレスが届くspamは久しぶりだ。
届いてから数日たって拾おうとすると、404になってたりするので、使い捨てのドメインで
やってるのかもしれませんね。

p://javiercubel■com/statement_45365352■exe

=== VirusTotal ===
15/41
ttp://www.virustotal.com/analisis/046d3796c3dc4620f2c54c6439f11a5f4dd3faf4d513ed0dcb9f640780009022-1246051108

701 :名無しさん@お腹いっぱい。:2009/06/27(土) 07:35:58
>>700
McAfeeに提出させて頂きました。

702 :名無しさん@お腹いっぱい。:2009/06/27(土) 07:41:13
COMODO Internet Security 1443

>>665
101/101

>>674
スルー

>>680
2/2

>>683
11/23

>>691
5/10

>>700
スルー

未検出分を提出しました

703 :61:2009/06/27(土) 09:45:04
>>699
AVIRA9 7.01.04.144
 fk.pdf - HTML/Shellcode.Gen
Kaspersky 2009/06/27 8:38:00
 fk.pdf -

Kaspersky提出済み。

>700
AVIRA9 7.01.04.144
 statement_45365352.exe - TR/Crypt.ZPACK.Gen
Kaspersky 2009/06/27 8:38:00
 statement_45365352.exe - Trojan-Dropper.Win32.Zbot.i

私の方も、一時期 exeファイル添付のSPAMとかほとんど無かったのに、最近また来るようになってきました。
新手がSPAM業界?に参入してきたのかもしれません。

704 :名無しさん@お腹いっぱい。:2009/06/27(土) 10:29:32
>>691
>>699
>>700

NormanとZoner以外は一通り提出完了。

705 :名無しさん@お腹いっぱい。:2009/06/27(土) 10:32:46
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=416
infected

MarwareListから拾って無かったものを幾つか。殆どがダウンロード用のスクリプトの為、白判定多いかも?

NormanとZoner以外は一通り提出完了。

706 :名無しさん@お腹いっぱい。:2009/06/27(土) 23:03:06
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=417
infected

FakeAV

各社一通り提出済み
未提出のベンダー:トレンドマイクロ、Norman、Zoner、nProtect

何故かトレンドマイクロの提出ページに繋がらないので、提出可能な方、お願いします。

707 :名無しさん@お腹いっぱい。:2009/06/27(土) 23:03:46
>>706
一応、検出名称(ベンダーごちゃまぜですが…)

[Detection possible other software]
drugstore.eu.com/test.htm : JS:Packed-BC(Avast) , Obfuscated Script.h(McAfee) , Trojan-Downloader.JS.Iframe.bhe(VBA32)
mypersonalhttp.com/weather.pl : Trojan-Clicker.JS.Agent.cj(Kaspersky)
mysecurepcshields.com/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
mysecurepcshields.com/install.exe : TR/Dropper.Gen Trojan(AntiVir)
onlyfind.net/index.php : HTML/Dldr.FraudLo.A HTML script virus(AntiVir)
scan4plan.info/install.exe : TR/Crypt.XPACK.Gen2 Trojan(AntiVir)
scan4plan.info/scan4plan.info(1).htm : JS:FakeAV-X(Avast) , JS/FakeAVOnline.A!tr.dld(Fortinet)
scan4plan.info/scan4plan.info.htm : Trojan.Script.99300(BitDefender)
sexbases.cn/bonus.php : HEUR/HTML.Malware suspicious code(AntiVir) , Trojan.JS.PYF(BitDefender)
sexbases.cn/in.cgi : HEUR/HTML.Malware suspicious code(AntiVir) , HTML:Framer-inf(Avast)
struckyorluck.cn/fastfolderscanner.com.htm : JS/FakeAV.G(F-Prot) , Mal/FakeAvJs-A(Sophos)
struckyorluck.cn/Setup-1ab1432_02021.exe : - Not Detected -
struckyorluck.cn/Setup-fc9e079_02021.exe : Win32.Malware.dam (suspicious) (McAfee-GW-Edition)
tangoing.info/counter.htm : - Not Detected -

708 :名無しさん@お腹いっぱい。:2009/06/28(日) 00:28:31
>>698
AVERTからのResponseがなかったので再度提出

自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
adware_crypt.exe |inconclusive | | |no
ecard.exe |current detection |generic pws.y!cy |Trojan |no
exp_flash.swf |inconclusive | | |no
flashcodec.4.10.exe |new detection |generic downloader.x!gs |Trojan |yes
load.exe |inconclusive | | |no
load2.exe |inconclusive | | |no
load3.exe |current detection |pws-zbot |Trojan |no
load4.exe |inconclusive | | |no
streamviewer.45030.e|current detection |fakealert-eo |Trojan |no

エンジン:5301、dat:5658環境でecard.exe ,load3.exe ,streamviewer.45030.exe検出
virustotalで確認
ecard.exe
ttp://www.virustotal.com/jp/analisis/7d168c70d66f83b9876c31227af4e595b5d40ea03df6a624f8669c2cddb9661f-1246078842
load3.exe
ttp://www.virustotal.com/jp/analisis/49ff4a1c36f655b6fea8a5314a6c42dd30077ec2cda72b682bf03be7c1357b9e-1246079007
streamviewer.45030.exe
ttp://www.virustotal.com/jp/analisis/947ea618d3e598202b3638bb505383ede14be000e777ac9ece26cc40dc21b295-1246079189

AVERTからのメールを確認
Current Scan Engine Version:5300.2777
Current DAT Version:5658.0000

709 :名無しさん@お腹いっぱい。:2009/06/28(日) 00:52:27
>>706
トレンドマイクロに提出完了

710 :61:2009/06/28(日) 10:54:59
>>692
Kaspersky 2009/06/28 9:20:00
 FlashCodec.4.10.exe - Trojan-Downloader.Win32.Agent.cgwd
 load4.exe - Backdoor.Win32.Agent.aiau

返答無いけど検出可になってます。黒8+事後 黒2=黒10/10でclose.

711 :61:2009/06/28(日) 11:19:57
>>705 乙です。
Kaspersky 2009/06/28 9:20:00で、黒5/57,検出したのは下記の5個
 cutaiamortgagegroup.cn\load.exe - Trojan.Win32.Inject.aekt
 free-tube-orgasm.biz\setup.exe - Trojan-Downloader.Win32.FraudLoad.euz
 porntvforu.com\pornotube915.com\codec.exe - Trojan-Downloader.Win32.FraudLoad.wcby
 www.daftarwarisan.gov.my\ec.txt - Backdoor.PHP.Small.o&referer
 www.fotosdepeinados.net\www.fotosdepeinados.net.htm - Exploit.PHP.Deftool.a

残りはPHPとjsのため、提出して頂いているようなので様子見します。

AVIRA9 7.01.04.144 49/57で、,黒5/57,HEUR 44/57。
 cutaiamortgagegroup.cn\load.exe - DR/Delphi.Gen
 porntvforu.com\pornotube915.com\codec.exe - TR/Dldr.FraudLoad.wcby
 scanallviruses.com\scanallviruses.com.htm - HTML/BurnInHell.A
 www.daftarwarisan.gov.my\ec.txt - BDS/PHP.Small.O.12
 www.fotosdepeinados.net\www.fotosdepeinados.net.htm - EXP/PHP.Deftool.B

 porntvforu.comの中の、index22(1).php 〜 index22(44).phpの44個 - 全部 HEUR/HTML.Malware
 index22.phpは未検出。

 free-tube-orgasm.biz\setup.exeをスルーしたので、一応こちらでも提出しました。後は様子見します。

712 :61:2009/06/28(日) 11:47:31
>>706 乙です。
Kaspersky 2009/06/28 9:20:00で、黒6/14
 mypersonalhttp.com\weather.pl - Trojan-Clicker.JS.Agent.cj
 mysecurepcshields.com\index.php - Trojan-Downloader.HTML.FraudLoad.a
 onlyfind.net\index.php - Trojan-Downloader.HTML.FraudLoad.a
 scan4plan.info\install.exe - Trojan.Win32.Tdss.aidq
 struckyorluck.cn\setup-1ab1432_02021.exe - Trojan.Win32.FraudPack.pap
 struckyorluck.cn\setup-fc9e079_02021.exe - Trojan.Win32.FraudPack.pap

mysecurepcshields.com\install.exe はこちらでも提出。後は提出して頂いているので、スクリプトだけだから様子見。

AVIRA9 7.01.04.144 49/57で、黒4/14,HEUR 2/14
 mysecurepcshields.com\index.php - HTML/Dldr.FraudLo.A
 mysecurepcshields.com\install.exe - TR/Dropper.Gen Trojan
 onlyfind.net\index.php - HTML/Dldr.FraudLo.A
 scan4plan.info\install.exe - TR/Crypt.XPACK.Gen2

 sexbases.cn\bonus.php - HEUR/HTML.Malware
 sexbases.cn\in.cgi - HEUR/HTML.Malware

下記の3個はこちらでも提出。後は様子見。
 mypersonalhttp.com\weather.pl
 struckyorluck.cn\Setup-1ab1432_02021.exe
 struckyorluck.cn\Setup-fc9e079_02021.exe

713 :名無しさん@お腹いっぱい。:2009/06/28(日) 15:50:43
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=418
infected

検体入手元
p://hearsedriver■com/chat/chat/localization/czech/img/646808■js
p://www■livedoorm■com/Test■exe
p://roons■cn/ded/Project2■exe
p://reddii■ru/traffic/sploit1/?57035YbttbaaYbb
p://satanic■easycoding■org/file■exe
p://update■microsoft■com■hillij■com/microsoftofficeupdate/isapdl/default■aspx/officexp-KB910721-FullFile-ENU■exe
p://woons■cn/pinch_no_cript■exe
p://ztb■cztv■tv/360/1■exe
p://ztb■cztv■tv/360/2■exe
p://ztb■cztv■tv/360/7■exe
p://ztb■cztv■tv/360/88■exe
p://ztb■cztv■tv/360/9■exe
p://www■hzcpwl■cn/djellow■exe
p://gold-smerch■cn/flash■exe
p://slil■ru/27769294/2fcdca20■4a3e7138/adware_crypt■exe
p://72■9■108■26/install_10■exe

714 :名無しさん@お腹いっぱい。:2009/06/28(日) 15:52:21
>>713
NormanとZoner以外は一通り提出完了

検出名称:Aviraスルーのものに関して、他のベンダーの検出名で補完したもの

72.9.108.26/install_10.exe : TR/Crypt.ZPACK.Gen Trojan(AntiVir)
gold-smerch.cn/flash.exe : TR/Agent.15360.108 Trojan(AntiVir)
hearsedriver.com/646808.js : JS/Wonka(McAfee) , Trojan-Clicker.HTML.IFrame.gen (v)(Sunbelt)
reddii.ru/reddii.ru.htm : HEUR/HTML.Malware suspicious code(AntiVir) , JS:Packed-BE(Avast) , Packed.JS.Agent.ad(Kaspersky)
roons.cn/Project2.exe : Trojan-Downloader.Win32.Agent.cguk(Kaspersky) , TrojanDownloader:Win32/Delf.HF(microsoft)
satanic.easycoding.org/file.exe : TR/Dropper.Gen Trojan(AntiVir)
slil.ru/adware_crypt.exe : - Not Detected -
update.microsoft.com.hillij.com/officexp-KB910721-FullFile-ENU.exe : TR/Crypt.ZPACK.Gen Trojan
woons.cn/pinch_no_cript.exe : TR/PSW.LdPinch.ahdf Trojan(AntiVir)
www.hzcpwl.cn/djellow.exe : TR/Spy.ZBot.xgh Trojan(AntiVir)
www.livedoorm.com/Test.exe : DR/PcClient.Gen dropper(AntiVir)
ztb.cztv.tv/1.exe : Trojan:Win32/Malex.gen!E(Microsoft) , PSW.OnlineGames_r.DP(AVG)
ztb.cztv.tv/2.exe : ADSPY/Agent.160989(AntiVir)
ztb.cztv.tv/2/235.exe : DR/Cinmus.fow dropper(AntiVir)
ztb.cztv.tv/2/NSIS.Library.RegTool.v2.$[36].exe : Win32.Banker(eSafe)
ztb.cztv.tv/2/$R0 : ADSPY/Cinmus.auxo.3(AntiVir)
ztb.cztv.tv/7.exe : DR/BHO.hmc dropper(AntiVir)
ztb.cztv.tv/7/cpush.dll : ADSPY/Cinmus.ucc.6 adware or spyware(AntiVir)
ztb.cztv.tv/88.exe : TR/PSW.OnlineGames.vcqj.3 Trojan(AntiVir)
ztb.cztv.tv/9.exe : DR/Zhongsou.170576 dropper(AntiVir)
ztb.cztv.tv/9/IETimber.dll : ADSPY/Timber.BHO adware or spyware(AntiVir)

715 :名無しさん@お腹いっぱい。:2009/06/28(日) 16:25:29
COMODO Internet Security 1465

>>704
7/58

>>705
スルー

>>713
13/21

未検出分を提出しました。

716 :名無しさん@お腹いっぱい。:2009/06/28(日) 16:47:48
カスペからの返事
>>683 (>>685,693) tane0412
3+3=6
js.js_ - Exploit.JS.Agent.ajo
ytbb.htm_ - Exploit.JS.Agent.ajn
ytvod.htm_ - Exploit.JS.Agent.ajm

>>647(>>651,657,658,659,664,670)  (tane0406)
index.html_ - Trojan-Downloader.JS.Agent.egp (← "HEUR:Exploit.Script.Generic")

個人的に忙しいので、カスペは代理の方にお願いしたい。すまん。

717 :名無しさん@お腹いっぱい。:2009/06/28(日) 16:48:39
>>713さん乙
>>714さん乙
メールの受信トレイがタイヘンなんじゃないのw
個別回答が丁寧なベンダってどこですか?

718 :名無しさん@お腹いっぱい。:2009/06/28(日) 17:27:38
>>717
送受信はどうってことない。一番面倒なのは、提出前の整理。
ほんとは、ベンダーごとにスルーしてるものだけ抽出して送った方がいいんだけど、その辺省略してるから。


個別回答が丁寧なのは、Avira、カスペ、Fortinet辺りかな。でも、多量に送ると迷惑になるので注意。
AviraとFortinetは、返答なしって約束になったし、カスペも返答がこなかったり遅れたりしてる(対応自体は早い)。

マカフィー、トレンドマイクロ、シマンテック、Rising辺りは機械的だけど、返事がくるね。
受理メールが文字化けするところはご愛敬(ソフォスと、アンラボと、VirusDoctor辺り)

返事が不定期に来たり来なかったりはMicrosoftとか。Dr.Webも返事が来る方かな。
F-Secureはメールで送ると返事来ないかな。SASだっけ、フォームからだと返事が来ます。
AVGとか、最近は返事こないベンダーも多いですよ。
というか、返事が来る方が少数かも。受理メールすらこない所の方が多いです。

719 :61:2009/06/28(日) 23:49:16
>>713 乙です。
AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/14

黒は数が多いので、HEURと未検出の方を書きます。
 reddii.ru\reddii.ru.htm - (HEUR/HTML.Malware) - (UNDER ANALYSIS)

 hearsedriver.com\646808.js - (UNDER ANALYSIS)
 roons.cn\Project2.exe - (UNDER ANALYSIS)
 ztb.cztv.tv\1.exe - (UNDER ANALYSIS)
 ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe - (KNOWN CLEAN)

Web提出で、既に白確定が1個ありました。(既に誰かが出していて、判断が終わっているもの)

あと、slil.ru\adware_crypt.exe は中身がhtmlなので未提出。(様子見) アドレスからすると、>691のものが本来の実行ファイルだと思います。

720 :61:2009/06/29(月) 00:21:42
>>718 乙です。
AVIRAですが、本来はWebからの提出を基本としているようなので、メールで大量に送ると冷たくされる
(返答無しになる)のは仕方ないかと。

今まで結構出してきましたが、AVIRAの作業パターンが読めてきました。AVIRAはWeb提出されたファイルを、
サーバーが下記の5種類に自動分別しているようです。

1) 現時点のパターンファイルで既に確定検出できるもの (HEURではない)
2) 確定検出できないもの (HEUR含む)
  2-1) 既に誰かが提出していて、黒判定済み
  2-2) 既に誰かが提出していて、白判定済み
  2-3) 既に誰かが提出していて、解析中
  2-4) 新しい提出

1),2-1),2-2)の3種については、サーバーが自動で解答を返してきます。 この3種は、アナリストに届かないようです。
   例えば、>719の KNOWN CLEANのファイルなどです。
2-3)のファイルは、最初に提出されたファイルにタグ付けされて、一つにまとめられるようです。
   この場合、最初の提出者のファイルに付けられた File ID と UNDER ANALYSISという解答が出ます。
   多分、アナリストが最初の1個だけ解析すれば、サーバーが自動で全部解答する様になっています。
2-4)のファイルは、新しいFile IDが取得され、そのFile ID と UNDER ANALYSISという解答が出ます。

こうすることで、アナリストに無駄な負荷がかからないようになっているようです。
(この辺が、AVIRAが効率良く、早い判定をしている理由っぽい。)

※ 2-3)のファイルは、解析が最初に出された人が基準になるので、連投しても2-4)よりFile IDが若い番号になるのと
  解答の順番が速い。 あと、どの場合でもサーバーが判定結果まで含めて自動返答でメールをくれます。

なので、AVIRAでは、メールで検体を受け取るのは、多分あまり想定されていないと思います。

それに、Webで出した方が、どうもメールより判定が早いっぽい(Gumblarの時にメールとWebと両方出したら、Webの方が解答が断然速かった)ので、
AVIRA使いの人は、Web提出を基本にした方が良いです。 サーバーにアップロードするだけだから、英文書かなくて良いし。(w

721 :61:2009/06/29(月) 00:52:07
>>713 乙です。
Kaspersky 2009/06/28 23:50:00
 72.9.108.26\install_10.exe - Trojan-Downloader.Win32.Boltolog.ewo
 gold-smerch.cn\flash.exe - Trojan-Downloader.Win32.Small.jxb
 reddii.ru\reddii.ru.htm - Packed.JS.Agent.ad
 roons.cn\Project2.exe - Trojan-Downloader.Win32.Agent.cguk
 satanic.easycoding.org\file.exe - Trojan.Win32.Inject.aesn
 update.microsoft.com.hillij.com\officexp-KB910721-FullFile-ENU.exe - Trojan-Dropper.Win32.Zbot.h
 woons.cn\pinch_no_cript.exe - Trojan-PSW.Win32.LdPinch.ahdf
 www.livedoorm.com\Test.exe - Backdoor.Win32.PcClient.arsm
 www.hzcpwl.cn\djellow.exe - Trojan-Spy.Win32.Zbot.xgh
 ztb.cztv.tv\1.exe - Backdoor.Win32.Wuca.by
 ztb.cztv.tv\2.exe - not-a-virus:AdWare.Win32.AdMedia.ed
 ztb.cztv.tv\2\$r0 - not-a-virus:AdWare.Win32.Cinmus.auxo
 ztb.cztv.tv\2\235.exe - not-a-virus:AdWare.Win32.Cinmus.auxo
 ztb.cztv.tv\7.exe - not-a-virus:AdWare.Win32.BHO.hmc
 ztb.cztv.tv\7\cpush.dll - not-a-virus:AdWare.Win32.BHO.hmc
 ztb.cztv.tv\88.exe - Trojan-GameThief.Win32.OnLineGames.vcqj
 ztb.cztv.tv\9.exe - not-a-virus:AdWare.Win32.Iebar.w
 ztb.cztv.tv\9\ietimber.dll - not-a-virus:AdWare.Win32.Iebar.w
黒18,未検出3(下記)
 hearsedriver.com\646808.js
 slil.ru\adware_crypt.exe
 ztb.cztv.tv\2\NSIS.Library.RegTool.v2.$[36].exe
下2つの実行ファイルは、>719の結果により様子見。 646808.jsもスクリプトなので、>713提出に付き様子見。

722 :61:2009/06/29(月) 00:54:20
>>719
今気がついたけど、

× AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/14
○ AVIRA9 7.01.04.144 で、黒15/21,HEUR 1/21 未検出 5/21 です。

723 :名無しさん@お腹いっぱい。:2009/06/29(月) 22:52:53
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=419
infected

MarwareListから拾ったもの。(今日のspamにあったアドレスecard.exeも含んでました)

724 :名無しさん@お腹いっぱい。:2009/06/30(火) 00:06:35
>>723さん乙
Symantecとa-squaredとMalwarebytesとMicrosoftに提出しました

725 :724:2009/06/30(火) 00:07:26
一部訂正
Symantecとa-squaredとMalwarebytesに提出しました

726 :61:2009/06/30(火) 00:42:25
>>723 乙です。
AVIRA9 7.01.04.152 検出47/56

残9個の内、下記7個提出。 全部UNDER ANALYSIS
 84.244.138.55\84.244.138.55.htm → zip圧縮ファイルだったので、解凍したファイルをAVIRAに提出
 hostvids.net\streamviewer.45129.exe
 softportal-files.com\streamviewer.40000.exe
 turkey-h.org\r57.txt
 www.amd20094.xpg.com.br\xroot.txt
 www.free-celeb-videos.net\softwarefortubeview.40056.exe
 www.scoringsessions.com\test.gif

下記2個は、中身を見て、VTに投げた後、未提出としました。
 www.amd20093.xpg.com.br\xroot(1).txt
 www.free-celeb-videos.net\www.free-celeb-videos.net.htm

Kasperskyはこれからチェックします。

727 :61:2009/06/30(火) 01:43:56
>>723 乙です。
Kaspersky 2009/06/29 23:05:00 検出42,HEUR 1,未検出13

HEUR
 mm.cj-vv.cn\lm\new9.exe - HEUR:Trojan.Win32.Generic → Trojan-GameThief.Win32.Magania.bjfq (既に返答来た)

未検出13個の内、下記11個提出。>726と同じ2個は未提出。
 bingb.5webs.net\login.js
 eshymkent.cn\setup_tube.exe
 hostvids.net\streamviewer.45129.exe
 invomedia.net\yes.txt
 online-casino-lpt.biz\SmartDownload.exe
 softportal-files.com\streamviewer.40000.exe
 www.amd20094.xpg.com.br\xroot.txt
 www.brun-sylvain.fr\idv6.txt
 www.free-celeb-videos.net\softwarefortubeview.40056.exe
 www.scoringsessions.com\test.gif

ヒューリスティック→隔離フォルダから送った分は相変わらず速攻で返事来るけど、怪しいぞってメール送った分は全然返事来ない。
AVIRAも解析遅れが結構出てきてるし、AVIRAもKasperskyもパンク中なんだろうねぇ...さて、寝ますか。ノシ

728 :名無しさん@お腹いっぱい。:2009/06/30(火) 02:43:35
>>723
Wikiにまとめてある提出先一通り(提出報告のあったベンダーと、Norman、Zonerを除く)に提出完了。

www.free-celeb-videos.net\www.free-celeb-videos.net.htm は、VTでは、eSafeしか検知してないようですが
同じフォルダに入っている softwarefortubeview.40056.exe を落させようとするフィッシングサイト(の分類?)です。
FakeAVではなく、FakeCodecと言うべきですかね。

アクセスしただけで落ちては来ないですが、動画に見えるものをクリックすると、コーデックを落とすよう
指示を出してファイルを落とさせようとします。確かに、アクセスしただけでは感染しませんし、クリックするまで
ファイルも落ちて来ませんので、白判定になっちゃうのかも。

htmlの冒頭の辺りに、堂々とexe名乗っけてる位なので、わたしは、提出対象に含めました。

検体入手元
p://www■free-celeb-videos■net
p://exe-profile■com/softwarefortubeview■40056■exe

729 :名無しさん@お腹いっぱい。:2009/06/30(火) 02:48:22
>>726
マカフィーは、そのhtmlをフィッシングサイト扱いで(ヒューリスティックだけど)検知する模様。(自動返答より抜粋)

www.free-celeb-video|heuristic detection |with fishy extension |Application |no


730 :名無しさん@お腹いっぱい。:2009/06/30(火) 05:04:18
検体提出先変更

Cybersoft(VFind) info☆cyber.com → virus☆cyber.com

届かずに戻ってくるから、送信先変えてたんだけど、メールで言ってきたってことは
今度はちゃんと届くんだろうな、多分。次の送付から、こっちのアドレスに直すか。

731 :名無しさん@お腹いっぱい。:2009/06/30(火) 10:34:35
カスペからの返事(比較的古いもの)

scanmyfolders.com.htm_ (>>647) - Trojan-Downloader.JS.Iframe.bhz

winres.exe_(>>565) - Trojan-Spy.Win32.VB.btm

This file is already detected. Please update your antivirus bases.(検知済み)

>>647
18.htm

No malicious software was found in the attached file.

>>565(>>566,602,609,664) tane0394は、5+5=10/10でようやくクローズ。

732 :名無しさん@お腹いっぱい。:2009/06/30(火) 13:31:27
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=420
infected

昨日、一昨日に拾ったドメインのもので、更新されてたファイルが結構あったので。
但し、殆どのベンダーが全部検知するんじゃないかなぁ。

検体入手元
p://up■cj-vv■cn:889/
p://tt■ff88567■cn/bbs/exe/

Aviraは全検出したので、提出せず。
マカフィーは、自動返答によると、既知とヒューリスティックで全検出。

Wikiにまとめられている他のベンダーは、検出状況確認せずにまとめて送付。(NormanとZoner以外は一通り提出完了)
トレンドマイクロは5分割したうちの3つが500エラーで送れないので、時間を置いてから残件処理予定。

=== AntiVir Detection Name ===
tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper
up.cj-vv.cn/mm/jm/new1.exe : TR/Dropper.Gen Trojan
up.cj-vv.cn/mm/jx/new[1-13].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/la/new1.exe : TR/Spy.Gen Trojan
up.cj-vv.cn/mm/lm/new[1-27].exe : TR/Crypt.XDR.Gen Trojan
up.cj-vv.cn/mm/qt/new1.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new2.exe : TR/Crypt.UPKM.Gen Trojan
up.cj-vv.cn/mm/qt/new3.exe : TR/Small.aawp Trojan
up.cj-vv.cn/mm/qt/new4.exe : TR/Dldr.Small.aleg.4 Trojan
up.cj-vv.cn/mm/qt/new6.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/mm/qt/new7.exe : TR/Hijacker.Gen Trojan
up.cj-vv.cn/up1/up.exe : TR/Hijacker.Gen Trojan / RKIT/Agent.AIWN.20 root kit

733 :名無しさん@お腹いっぱい。:2009/06/30(火) 17:21:27
>>732さん乙
Symantecとa-squaredとMalwarebytesに提出しました
ゲーム系とオートラン多数だね

734 :名無しさん@お腹いっぱい。:2009/06/30(火) 17:42:31
>>732
トレンドマイクロのsubwizフォームから送っていて
(500かは忘れたけど)aspでエラー吐くのは
検出できる物が混じっている場合。バラしてみ。

735 :名無しさん@お腹いっぱい。:2009/06/30(火) 20:15:40
COMODO Internet Security 1504

>>706
13/14
未検出分提出

>>723
40/56
未提出

>>732
141/149
未検出分を提出しました。

736 :名無しさん@お腹いっぱい。:2009/06/30(火) 21:32:59
>>735
ああ、そういや、そんな話もあったっけね。

容量がでかくてタイムアウトする時は500エラー出て、2分割したらすんなり通ったことあったので
鯖が重くてタイムアウトしてるだけかと思ってたわ。

引っ掛かったのは、tt.ff88567.cn/[1-100].exe : DR/Delphi.Gen dropper で、幾つかVTに投げてみたら
トレンドマイクロでは検出する奴だった。(検出名:WORM_AUTORUN.FHU)

検出可能なものしか入ってないのでエラーになってたということで、提出の必要なさそうだと判断しとくわ。

737 :61:2009/06/30(火) 22:55:50
>>726
AVIRA返答
 84.244.138.55\84.244.138.55.htm - JS/LuckySploit.L.1
 hostvids.net\streamviewer.45129.exe - MALWARE(名称未定)
 softportal-files.com\streamviewer.40000.exe - MALWARE(名称未定)
 turkey-h.org\r57.txt - DAMAGED FILE (UNKNOWN)
 www.amd20094.xpg.com.br\xroot.txt - CLEAN
 www.free-celeb-videos.net\softwarefortubeview.40056.exe - MALWARE(名称未定)
 www.scoringsessions.com\test.gif - PHP/Small.NAC
7個について、黒5,白1,ファイル破損で判定不能1

>>728-729
踏んだら自動でファイルを落としてくるようなものは提出しますが、流石に単なるリンクまで出してると
キリが無いかと思いました故。

出さなかった分は今後も明記しますので、気になる人は出して下さい。m(_ _)m

>>732
AVIRAは問題無さそうなので、これからKasperskyのチェックはじめます。

738 :61:2009/06/30(火) 23:16:45
>>732
Kaspersky 2009/06/30 22:12:00 黒147/149,HEUR無し。
下記2個を取りこぼしたので、提出しました。

up.cj-vv.cn\mm\la\new1.exe
up.cj-vv.cn\mm\qt\new2.exe

739 :61:2009/07/01(水) 00:01:52
>>727
提出分11個の現状,Kaspersky 2009/06/30 22:12:00
●bingb.5webs.net\login.js - Trojan-Downloader.JS.Iframe.bik
●eshymkent.cn\setup_tube.exe - not-a-virus:FraudTool.Win32.SystemSecurity.oa
●hostvids.net\streamviewer.45129.exe - Trojan.Win32.FraudPack.pby
 invomedia.net\yes.txt
 online-casino-lpt.biz\SmartDownload.exe
●softportal-files.com\streamviewer.40000.exe - Trojan.Win32.FraudPack.pby
 turkey-h.org\r57.txt
 www.amd20094.xpg.com.br\xroot.txt
 www.brun-sylvain.fr\idv6.txt
●www.free-celeb-videos.net\softwarefortubeview.40056.exe - Trojan.Win32.FraudPack.pby
 www.scoringsessions.com\test.gif

返答無いけど検出可 5個,判断待ち 6個。

ただ、経験上KasperskyはGAME系をスルーするので、online-casino-lpt.biz\SmartDownload.exeは白判定の可能性大。
 ttp://www.virustotal.com/jp/analisis/0e111d47123b68a88e21705c74a72e4562b7b0fcb15f3296b8cac24f165eeedf-1246373598 (11/40)
 (カジノゲームで、ウイルスではない)

740 :名無しさん@お腹いっぱい。:2009/07/01(水) 00:47:36
カスペ2010 0:08
直近検出状況まとめ
提出者の方、代理提出者の方d。

>>652 tane0407 (>>658) 2/2で閉鎖

>>674 tane0410 (>>678) 1/1で閉鎖

>>680 tane0411 (>>684,685) 1+下記1=2/2で閉鎖
Detected Trojan program Trojan-Downloader.Win32.Banload.afwt   doc-47473-4378914-34-JPG.exe

>>683 tane0412 (>>683,693,716) 3+3=6/23(>>683,716)のままで一部未決

>>691 tane0413 (>>692,710) 9+1=10/10で閉鎖

>>699 tane0414 (>>703) 0/1 (fk.pdfスルー)で未決

>>700 tane0415 (VT通り,>>703) 1/1で閉鎖

>>705 tane0416 (>>711) >>711さん通り、5/59のまま。変化なしで未決

>>706 tane0417 (>>712) 6+追加検出1=7/14で未決
Deleted Trojan program Trojan.Win32.FraudPack.pbo   tane0417\mysecurepcshields.com\install.exe

>>713 tane0418 (>>721) 18/21のままで未決


741 :名無しさん@お腹いっぱい。:2009/07/01(水) 00:48:44
カスペ2010 0:08
直近検出状況まとめ

>>723 tane 0419(>>727)
43+事後検知5=48/56で未決
Detected Trojan program Trojan-Downloader.JS.Iframe.bik   \bingb.5webs.net\login.js
Detected virus not-a-virus:FraudTool.Win32.SystemSecurity.oa   \eshymkent.cn\setup_tube.exe
Detected Trojan program Trojan.Win32.FraudPack.pby   \hostvids.net\streamviewer.45129.exe
Detected Trojan program Trojan.Win32.FraudPack.pby   \streamviewer.40000.exe
Detected Trojan program Trojan.Win32.FraudPack.pby   \www.free-celeb-videos.net\softwarefortubeview.40056.exe

>>732 tane 0420 148/149で未決
スルー1  tane0420\up.cj-vv.cn\mm\la\new1.exe
検体名は略

>>738 0:08では、new2.exeは既検出− Trojan.win32.agent.kud


スクリプト系は、VT他社検出状況みながら明日以降順次提出。
寝る。w


742 :名無しさん@お腹いっぱい。:2009/07/01(水) 01:41:37
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=421
infected

眠いので、提出は起きてから…(o_ _)o ぱたり

743 :名無しさん@お腹いっぱい。:2009/07/01(水) 01:42:30
あ、>>742は、AviraとAntiyLabsにはftp経由で提出済みです。

744 :名無しさん@お腹いっぱい。:2009/07/01(水) 06:14:13
>>742
McAfee (Active Protection 無効)55/96
未検出分をMcAfeeに提出させて頂きました。

745 :名無しさん@お腹いっぱい。:2009/07/01(水) 07:32:45
>>742さん乙
Symantecとa-squaredとMalwarebytesに提出しました
でもあまり無理をしないようにね

746 :名無しさん@お腹いっぱい。:2009/07/01(水) 11:33:19
>>742 乙です。
カスペ2010 11:10
80/96

(1) havvha.com 51/52 (aa35.exeスルー)
Trojan.VBS.IEstart.e   1.exe、  3-5..exe 7-20.exe (18files)
Trojan-GameThief.Win32.Magania.*   /havvha.com/aa[1, 3-28, 30-33].exe (31files)
virus HEUR:Trojan.Win32.Generic   aa2.exe
Trojan.Win32.Agent.cnll   aa34.exe

(2)liesbethmian.be 10/11 (fb48.exeスルー)
Trojan-Dropper.Win32.BHO.bo     /6244.exe
virus Net-Worm.Win32.Koobface.ahx     /be.15.exe
Trojan-Downloader.Win32.Tiny.byt     /captcha6.exe
virus Net-Worm.Win32.Koobface.aie     /hi.12.exe
Trojan.Win32.Agent.cntq     /ms.19.exe
Trojan.Win32.Agent2.jyw     /nfr.exe
Trojan-Dropper.Win32.Agent.auoy     /pdrv.exe
Trojan.Win32.Agent2.ktz     /pp.10.exe
virus Net-Worm.Win32.Koobface.aif     /tg.12.exe
Trojan-Proxy.Win32.Agent.bpd     /websrvx2.exe

(3)その他 19/22
Trojan-Downloader.JS.Iframe.bik   /74.114.116.101/ads.js (1/1)
Trojan-Downloader.JS.Iframe.bgx   /95.209.81.156/92.236.141.125.htm (2/2)
virus HEUR:Trojan.Win32.Generic   /95.209.81.156/setup.exe
Trojan.Win32.Rabbit.fr   /109438129432.cn/load.exe  (1/1)
Exploit.Win32.Pidief.bcp   /antivirusxp09.com/9426.pdf   (2/2)
virus HEUR:Trojan.Win32.Generic   /antivirusxp09.com/load.exe
Trojan-Downloader.Win32.FraudLoad.euw   /atuyfe.cn/installer_70126.exe  (1/1)
Trojan-Downloader.Win32.FraudLoad.evq   /bobo-tube.com/streamviewer.45031.exe  (1/2)
Trojan-Spy.Win32.Zbot.xrt   /chaseonline.chase.com/officexp-KB910721-FullFile-ENU.exe    (1/1)

747 :746:2009/07/01(水) 11:34:10
>>742,>>746の続き
Trojan-Downloader.Win32.FraudLoad.evq   /hot-tube-work.com/TubeViewer.ver.6.48268.exe (1/2)
Trojan-Downloader.HTML.FraudLoad.a   /lianadumitrescu.ro/atiguko.cn.htm (3/4)
Trojan-Downloader.Win32.FraudLoad.euw   /lianadumitrescu.ro/installer_70141.exe
Trojan.JS.Agent.ahr   /lianadumitrescu.ro/lianadumitrescu.ro.htm
Trojan-Downloader.Win32.FraudLoad.evq   /load-exe-soft.com/TubeViewer.ver.6.40000.exe   (1/1)
Trojan-Downloader.Win32.FraudLoad.wcva   /pornotube915.com/codec.exe (1/1)
Trojan-GameThief.Win32.Magania.bipt   /sesese.y145c.cn/1.exe (1/1)
adware not-a-virus:AdWare.Win32.Simbar.e   /simpletoolbar.com/toolbar.exe (1/1)
Trojan.Win32.Tdss.aiij   /toptubehunt.info/video_player.exe (1/1)
Trojan-Downloader.Win32.Agent.bqtn   /zief.pl/wr.exe (1/1)

(4)スルー 11files
88.198.234.133 0/3,
FakeAV*.ru 0/4
kepko.net 0/3
update1.fastantivirus09.com. 0/1

検体提出します。

748 :名無しさん@お腹いっぱい。:2009/07/01(水) 12:28:26
COMODO Internet Security 1521

>>742
tane421
63/96

未検出分を提出しました

749 :748:2009/07/01(水) 13:06:03
追記
bo-bo-tube.comフォルダに入っているxplays.phpは
通常のHTMLタグしか書かれてないので提出しませんでした

750 :名無しさん@お腹いっぱい。:2009/07/01(水) 13:34:51
>>2

・淡々とやれ淡々と!

・ソフトの優劣の議論は別スレで!!

長文で主観がこもった叙述調の長文イラネ。( ゚д゚)、ペッ

751 :名無しさん@お腹いっぱい。:2009/07/01(水) 15:35:50
1000いく前にこのスレもうすぐ落ちるな。現在、476KB

512KBでdat落ち仕様

そろそろテンプレメンテして、次スレ必要かと。

752 :名無しさん@お腹いっぱい。:2009/07/01(水) 17:59:50
>>751 了解

提出先(テンプレ)変更
>>1
>>18,534,542,549,655,730,12,227,188,191
だけ?
確認よろしく。

現行種は、現行スレで報告、新種は新スレで報告がいいのかな。
まだ、30KB ほど余裕があるから、新種のうpは、1〜2日は大丈夫と思うが。
立てれれば、新スレたてます。

現行レス推移だと、>>800超で落ちるのかな。

753 :740:2009/07/01(水) 20:41:29
カスペ2010 19:08&返答
>>705 tane0416 (>>711)
5+1=6
22ac7bebd...1d520317.js - - Trojan.JS.Agent.ajc


>>706 tane0417 (>>712,740)
6+(1+2)=9/14、白2、待ち2(scan4plan.html2つ)、見送り1(coutner.htm)
Trojan.HTML.Agent.by - struck...\fastfolderscanner.com.htm
Trojan-Downloader.HTML.FraudLoad.a - \onlyfind...\index.php
Trojan-Downloader.JS.Iframe.bio - drugstore...\test.html
sexbases.cn\bonus.php, in.cgi (2files) - 白

>>713 tane0418 (>>721,740)
18+1=19/21、白2でクローズ
Trojan-Clicker.JS.Agent.gq - hearsedriver.com\646808.js
adware_crypt.exe,  NSIS.Library.RegTool.v2.$[36].exe. - 白

>>723 tane 0419(>>727,739,741)
43+5=48/56, 白2,回答待ち3 (yes.txt, idv6.txt, www.free-celem....),.,見合せ3(r57.txt, xroot.txt、xroot(1).txt)
SmartDownload.exe, test.gif - 白


>>742 tane0421 (>>746)
80+1=81/96、白1
Trojan-GameThief.Win32.Magania.bjsy - aa2.exe (←HEUR:Trojan.Win32.Generic)
Trojan.Win32.Inject.afgm - 95.209.81.156\setup.exe (←同上)
Trojan-Downloader.Win32.Agent.chgu - antivirus09.com\load.exe(←同上)
Trojan-GameThief.Win32.OnLineGames.bmiy - \havvha.com\aa35.exe
kepko.net\.exe - 白

754 :名無しさん@お腹いっぱい。:2009/07/01(水) 23:10:30
カスペ2010
>>699(>>703) tane0414 1/1で閉鎖
Trojan program Exploit.Win32.Pidief.bcx   tane0414\fk.pdf

>>742(>>746,753) tane0421
80+1+1=82/96
virus not-a-virus:FraudTool.Win32.FastAntivirus2009.be   update1.fastantivirus09.com\ReleaseXP.exe

今日はここまで

755 :61:2009/07/01(水) 23:19:27
>>703,740
 fk.pdf - Exploit.Win32.Pidief.bcx
返答無いけど検出可になりました。

>>750
それを言うたら、検体提出でも報告でもない、お前さんのただの感想文もこのスレでは何の役にもたっとらんがな。(w

756 :61:2009/07/01(水) 23:44:32
>>742 乙です。
Kaspersky2009 2009/07/01 22:12:00  検出81/96(HEUR無し),未検出は下記15個。

88.198.234.133
 index-go.html
 new.exe
 search.php
95.209.81.156
 setup.exe
bobo-tube.com
 xplays.php
FakeAV videoxporno.ru
 ddanchev-suck-my-dick.php
 Setup-27ab1cc_02022.exe
 Setup-30a959_02022.exe
 Setup-9139d_02022.exe
hot-tube-work.com
 xindex.php
kepko.net
 .exe
 7klik.com.htm
 n1.htm
lianadumitrescu.ro
 bidch.js
liesbethmilan.be
 fb.48.exe

>746さんの2010に比べて、HEURで捕まえられないものがありますねぇ。(95.209.81.156\setup.exeとか)
>746さんと提出が重複しないようにチェックしてから、こちらも検体を提出します。

757 :名無しさん@お腹いっぱい。:2009/07/02(木) 01:47:57
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=422
infected

リネージュ資料室の更新リスト+α
見覚えのあるファイルもありますが、更新日が新しかったので再提出してみるテスト。

===検体入手元===
p://codecpack■nl/divx680vfw■exe
p://www■xlsf013■cn/zr/sct■exe
p://www■xlsf013■cn/Lz■htm
p://www■xlsf013■cn/server■exe
p://www■xlsf013■cn/Pps■htm
p://www■xlsf013■cn/Bfyy■htm
p://www■xlsf013■cn/Ms06014■htm
p://www■686ip■cn/shen/ma■exe
p://www■mvoe■cn/all/aa■js

p://tt■ff88567■cn/bbs/exe/[1-100]■exe
p://tt■ff88567■cn/bbs/exe1/[1-100]■exe
p://tt■ff88567■cn/down/dnf9m■exe
p://tt■ff88567■cn/down/jxsj9m■exe
p://tt■ff88567■cn/down/mhxu9m■exe
p://tt■ff88567■cn/down/mu9m■exe
p://tt■ff88567■cn/down/qq3g9m■exe
p://tt■ff88567■cn/down/qq3g9m1■exe
p://tt■ff88567■cn/down/qqhx9m■exe
p://tt■ff88567■cn/down/qqxx■exe
p://tt■ff88567■cn/down/wl9m■exe
p://tt■ff88567■cn/down/zt9m■exe
p://tt■ff88567■cn/down/zzh9m■exe

758 :名無しさん@お腹いっぱい。:2009/07/02(木) 01:48:49
>>757(続き)

===備考===
1.tt.ff88567.cn は、容量が大き過ぎるので、パスワードなしの7zアーカイブで固めたものを、
 zipの中に放り込んであります。提出時にはご注意ください。

2.divx680vfw■exe は誤検知かも?このファイルを提出するかどうかは各自の判断で。

 divx680vfw■exe(2/41) AntiVir検出名:TR/StartPage.dpb
 ttp://www.virustotal.com/analisis/60c023437712fffbfded71e52a5aab8c9f2db2e44154467675d23397b9cb77c2-1246466086

759 :名無しさん@お腹いっぱい。:2009/07/02(木) 02:08:16
ごめんなさい、>>757の「www.686ip.cn」「www.mvoe.cn」「www.xlsf013.cn」内は無害なファイルでした。
ドメイン消失でhtml落ちてきてただけのようで、一旦消して、上げ直します。

760 :名無しさん@お腹いっぱい。:2009/07/02(木) 08:37:34
連投規制の時間待ちしてたらそのまま寝てた…コタツトップ(そのまま後ろにバタンQ)の悪いとこだな。

>>758のUPしなおし。
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=423
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=424
infected

下は、ZIPの中身は7zのパスなしアーカイブに圧縮してあります。
多分、殆どのベンダーがdivx680vfw■exe以外は、全部検知するんじゃないかと。

AntiVirは全検知してました。

761 :名無しさん@お腹いっぱい。:2009/07/02(木) 13:35:25
>>757-760d
カスペ2010 12:36

>>760 (tane0423)
11/12(うちHEUR2)、スルー1(divx680vfw.exe)。検体提出します。
Trojan-GameThief.Win32.Magania.bjoz   dnf9m.exe
Trojan-GameThief.Win32.Magania.biht   jxsj9m.exe、  mhxu9m.exe、  wl9m.exe、  zt9m.exe、  zzh9m.exe (5files)
Trojan-GameThief.Win32.Magania.bjnj   mu9m.exe
Trojan-GameThief.Win32.Magania.bfrp   qqhx9m.exe
Trojan.Win32.Agent.cnwy   qqxx.exe
virus HEUR:Trojan.Win32.Generic   qq3g9m.exe、  qq3g9m1.exe (2files)

>>760 (tane0424)
200/200でクローズ
(1)exeフォルダ 100/100
Detected virus Worm.Win32.AutoRun.afcb   /exe/*.exe
(2)exe1フォルダ 100/100
Detected Trojan.Win32.Agent.bsmyなど /exe1/*.exe


762 :名無しさん@お腹いっぱい。:2009/07/02(木) 15:31:26
>>752
多分、テンプレに入れる必要はないけど、マイナー所の提出先を幾つか…まだWikiの方には反映させてない気がする。

メール
BullGuard Internet Security <support☆bullguard.com>
Central Command(Vexira Antivirus) <virus☆centralcommand.com>
Intego(VirusBarrier) <sample☆virusbarrier.com>
Mischel Internet Security(TrojanHunter) <support☆trojanhunter.com>
Moosoft(The Cleaner) <trojans☆moosoft.com>
NictaTech Software(Digital Patrol) <newvirus☆nictasoft.com>
Simply Super Software(Trojan Remover) <submit☆simplysup.com>
SRN Micro(Solo Antivirus) <support☆srnmicro.com>

Webフォーム
ATShield Ltd.(Anti-Trojan Shield)
 ttp://www.atshield.com/?r=support&pr=submit
 3MBまで

−−−
そういや、昨日出した分から、nProtect GameGuardから、受理のメールが届くようになってた。
始めてメール来たので、ちょっとびっくり。

ファイル添付可能にしてくれればなぁ…アドレス連絡しても、日替わりで、対応してない奴とかあるし。

763 :名無しさん@お腹いっぱい。:2009/07/02(木) 15:45:49
メモ書き
>>1
>>762

764 :名無しさん@お腹いっぱい。:2009/07/02(木) 17:16:59
カスペ2010 返答&検出状況 15:46

>>723 tane 0419 (>>727,739,741,753)
43+5=48/56, 白6,回答待ち2 (yes.txt, , www.free-celem.....htm),
www.brun-sylvain.fr\idv6.txt - 白 (返事)
見合わせ3ファイルは、各ベンダーに提出後も現在VT再解析0%であるから、白に加算.


>>732 (>>741) tane0420
148+1=149/149で閉鎖
Trojan-Dropper.Win32.Agent.auzd   up.cj-vv.cn\mm\la\new1.exe

>>742>>746-747,753,756)
80+1+1=82/96,白1、残13
Net-Worm.Win32.Koobface.akh - liesbethmilan.be\fb.48.exe (返事)

>>760,(>>761) tane0423
11/12(うちHEUR1)、白1で仮閉鎖
Trojan-GameThief.Win32.Magania.bjyb   qq3g9m1.exe (←HEUR:Trojan.Win32.Generic)
divx680vfw.exe - 白 (返事)

765 :名無しさん@お腹いっぱい。:2009/07/02(木) 19:26:23
>>760さん乙
Symantecとa-squaredとMalwarebytesに提出しました

セキュ板はたしか連投4回までです。秒規制は40秒間隔かな(2ch専用ブラウザで確認回避可能)
760さんの7zipの圧縮形式(LZMA・PPMd・ZIP)と圧縮率はいくつですか?


>>1さん
このスレは、いわば危険物が集まる場所なワケで、
セキュリティに疎い人が来てワクチンすら間に合っていない危険に晒されてしまう可能性も考えられるので、
最低限、オートラン無効設定の案内を予めことわり書きしておく必要があると思います。

IPA 情報処理推進機構
「外部記憶メディアのセキュリティ対策を再確認しよう!」 ― USB メモリ、便利のウラに落とし穴 ―
ttp://www.ipa.go.jp/security/txt/2008/12outline.html
「 USB メモリのセキュリティ対策を意識していますか? 」 ― USB メモリの安全な使い方を知ろう ―
ttp://www.ipa.go.jp/security/txt/2009/05outline.html

766 :名無しさん@お腹いっぱい。:2009/07/02(木) 20:09:57
>>760
>>760
McAfee (Active Protection 無効)
tane0423
11/12
tane0434
200/200

未検出分(divx680vfw)をMcAfeeに提出させて頂きました。

767 :61:2009/07/02(木) 23:20:34
>>758,760
divx680vfw■exe は ttp://codecpack■nl/divx680vfw.exe と同じものですが、流石にこれは誤検出だと
思われますので、AVIRAにSuspected False Positiveで提出しておきました。

返答来たら書き込みます。

768 :764:2009/07/02(木) 23:31:28
カスペ 返答
>>742>>746-747,753,756,764)
80+2+2=84/96,白1、残11

kepko.net\.exe_
No malicious code was found in this file.(>>753通り)

kepko.net\7klik.com.htm_ - Trojan-Downloader.HTML.Agent.pk,
kepko.net\n1.htm_ - Trojan-Clicker.HTML.Agent.an

New malicious software was found in these files.

ほかは進展なし。今日はここまで。

769 :名無しさん@お腹いっぱい。:2009/07/03(金) 10:52:23
そろそろ次スレですかね。容量的に。

ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=425
infected

MarwareListから拾ったもの。Norman、Zoner以外は一通り提出完了しています。

AntiVir(48/53)

770 :名無しさん@お腹いっぱい。:2009/07/03(金) 10:57:35
>>769
カスペ返答
*** already detected ***
<省略>

*** New ***
aa8.exe_ - Trojan-GameThief.Win32.OnLineGames.bmkd,
installer_70321.exe_ - Trojan-Downloader.Win32.FraudLoad.evw,
socks.exe_ - Trojan-Spy.Win32.Agent.awnv,
winres.exe_ - Trojan-Dropper.Win32.VB.mtc

*** CLEAN ***
EvID4226Patch.exe_, flist.js_

まかふぃー返答
aa10.exe , aa8.exe , flist.js , t.exe が inconclusive 。他は、current detection 、new detection 、heuristic detection のいずれか。

−−−
flist.jsは、Avast(+G DATA)のみが検知。内容的にも、普通は白判定になると思う。

771 :764:2009/07/03(金) 11:11:44
>>742>>746-747,753,756,764,768)
カスペからの返事
80+(4+3)=87/96, 白2, 残7



FakeAV videoxporno.ruフォルダ

ddanchev-suck-my-dick.php

No malicious code was found in this file.

Setup-27ab1cc_02022.exe, Setup-30a959_02022.exe, Setup-9139d_02022.exe - Trojan.Win32.FraudPack.pev

New malicious software was found in these files.

772 :名無しさん@お腹いっぱい。:2009/07/03(金) 16:39:15
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=426
infected

いつも(?)のように、Norman、Zoner以外は一通り提出完了。
MarwareListの7/2分から拾ったものと、リネージュ資料室の更新リストにあった日替わり(?)scrです。

AntiVir(41/48)

※ 設定ファイルのstatic.stdも入ってますが、これは白判定が普通だと思います。
   Avastはなんで検知するんだか…
   そういや、PC.exeとAgent.exeの入った奴の中のリストを、A-Squaredが検知してたこともあったっけ。

773 :名無しさん@お腹いっぱい。:2009/07/03(金) 16:54:33
>>772

NortonInternetSecurity2009
40/48

PandaGlobalProtection2010
38/48

GDATAInternetSecurity2010
39/48

774 :名無しさん@お腹いっぱい。:2009/07/03(金) 18:59:44
>>772
McAfee (Active Protection 無効)39/48
未検出分をMcAfeeに提出させて頂きました。

AVERT自動返信
File Name Findings Detection Type Extra
--------------------|------------------------------|----------------------------|------------|-----
gbtext.dll |inconclusive | | |no
ld.php |inconclusive | | |no
musictupac.-.all.eye|inconclusive | | |no
scan.php |inconclusive | | |no
static.exe |new detection |generic pws.y!dp |Trojan |yes
static.std |inconclusive | | |no
tupac-all-eyez-on-me|inconclusive | | |no
w.exe |inconclusive | | |no
wingb.dll |inconclusive | | |no

ここまで、McAfee残件なし。

775 :名無しさん@お腹いっぱい。:2009/07/03(金) 19:20:39
取り急ぎ次スレたてました。

【鑑定目的禁止】検出可否報告スレ12
http://pc11.2ch.net/test/read.cgi/sec/1246615426/

取り急ぎ、提出先など確認お願いします。
(ベンダーが含まれているか?提出先が誤っていないか?死んでいるリンク、アドレスはないか?余分なものはないか?など)

776 :名無しさん@お腹いっぱい。:2009/07/03(金) 19:36:14
>>772さん乙
Symantecとa-squaredとMalwarebytesに提出しました
>>775さん乙

777 :名無しさん@お腹いっぱい。:2009/07/03(金) 19:57:13
>>775


>>655のRising提出先
RARまたはZIPで圧縮、パスワード付き圧縮・分割圧縮は不可、5MBまで

旧アップロードページと同じ仕様に変更されていました

778 :名無しさん@お腹いっぱい。:2009/07/03(金) 20:05:01
ttp://tane.sakuratan.com/upload/upload.cgi?mode=dl&file=427
virus

swfはcws(zlib圧縮)形式だけど、(FFmpegのcws2fwsで)fws形式に解凍すると
超巨大サイズになるのでそのままで。

ネタ元 SANS ISC
Cold Fusion web sites getting compromised
ttp://isc.sans.org/diary.html?storyid=6715

exeは2つ。
www■vii3■cn/svcst.exe (今日製造)
www■qiqijs■com/gm/gm.exe (先月28日製造、賞味期限切れ)

779 :名無しさん@お腹いっぱい。:2009/07/03(金) 20:11:25
>>775
>>772d tane0426

カスペ2010 41/48
(1)iframe 1/3 (id.php, static.stdスルー)
Trojan-Spy.Win32.Zbot.gen   static.exe

(2)lawd 34/34
Trojan-GameThief.Win32.Magania.biht   CJSH9M.exe、  WZSJ9M.exe、   cp9m.exe、  cqwd9m.exe、  dh29m.exe、  dh39m.exe、  dhwd9m.exe、  dj9m.exe、  jxsj9m.exe、jr9m.exe
同上   kx9m.exe、  mhxu9m.exe、  rxjh9m.exe、  tl9m.exe、  wd9m.exe、  wl9m.exe、  wmgj9m.exe、  xc9m.exe、  zt9m.exe、  zu9m.exe、  zx9m.exe、  zzh9m.exe
Magania.*系   aion9m.exe、    cqsj9m.exe  dnf9m.exe  hx29m.exe   mhxu9m1.exe  mu9m.exe  qq3g9m1.exe  qqhx9m.exe  tx29m.exe
Trojan-GameThief.Win32.OnLineGames.bkzf   qqma1.exe
Trojan.Win32.Pakes.nkm   qqmo.exe
unknown threat UDS:DangerousObject.Multi.Generic qq3g9m.exe

(3)music 1/2 (tupac-*..htm;スルー)
Trojan.Win32.FraudPack.pet    MusicTupac-*.exe

(4)www.mlwc 2/2
Backdoor.Win32.PcClient.asff 1199.exe、  mpg.scr

(5)その他 3/3
Trojan-GameThief.Win32.OnLineGames.bmiy   \w9.7777ee.com\a9.exe
Trojan-PSW.Win32.Delf.dud   \www.area03601.com\w.exe
Trojan-Downloader.Win32.VB.ovh   www.vduz.cn\r8.exe

6)スルー iarc 0/2, total sec 0/2

780 :名無しさん@お腹いっぱい。:2009/07/03(金) 20:35:41
>>778 d tane0427
カスペ2010
7/7でクローズ

Trojan-GameThief.Win32.Magania.bkfy   bome1.exe
Exploit.SWF.Downloader.nn   i115cws.swf、  i64cws.swf、  n115cws.swf、  n64cws.swf
Trojan program Exploit.Win32.Pidief.bcm   shellcode1.pdf
Trojan.Win32.Agent2.kum   trj1.exe


>>769 tane0425
>>770さんd
51/53、白2でクローズ(?)

781 :名無しさん@お腹いっぱい。:2009/07/03(金) 20:35:59
>>778
McAfee (Active Protection 無効)5/7
未検出分(bome1,shellcode1)

>>778
McAfeeに提出させて頂きました。

782 :名無しさん@お腹いっぱい。:2009/07/03(金) 20:36:11
>>778
Symantec、Panda、GDATA2010(=avast!&BitDefender)提出完了

Symantecから自動返答

filename: shellcode1.pdf
machine: Machine
result: See the developer notes


Aviraにも提出したけど全検出とのこと

25388375 bome1.exe 124.82 KB MALWARE
25388376 i115cws.swf 18.47 KB MALWARE
25388377 i64cws.swf 18.41 KB MALWARE
25388378 n115cws.swf 18.41 KB MALWARE
25388379 n64cws.swf 18.41 KB MALWARE
25387310 shellcode1.pdf 22.62 KB DAMAGED FILE (MALWARE)
25387183 trj1.exe 12 KB MALWARE

783 :61:2009/07/03(金) 21:37:27
>>758,767
AVIRA返答。
 divx680vfw.exe - FALSE POSITIVE
 Detection will be removed from our virus definition file (VDF) with one of the next updates.

と言うことで、誤検出でした。

784 :779:2009/07/03(金) 22:19:43
カスペからの返事
>>760(>>761,764) tane0423
11/12、白1で閉鎖
qq3g9m.exe - Trojan-GameThief.Win32.Magania.bkii (←HEUR:Trojan.Win32.Generic)

>>772 (>>779) tane0426
カスペ2010 41/48、白2
iarc.er-robotics.orgフォルダ
gbtext.dll,wingb.dll - No malicious code were found in these files.

785 :名無しさん@お腹いっぱい。:2009/07/04(土) 10:21:18
>>778
繋がらなかった、AntiyLabsとLavasoftと、面倒なんでパスしたNormanとZoner以外は一通り提出完了。



786 :名無しさん@お腹いっぱい。:2009/07/04(土) 10:24:31
【鑑定目的禁止】検出可否報告スレ12
ttp://pc11.2ch.net/test/read.cgi/sec/1246615426/

787 :名無しさん@お腹いっぱい。:2009/07/04(土) 11:47:23
カスペ2010 11:01
41/48、白2、残5

>>772 (>>779,784) tane0426

qq3g9m.exe Trojan-GameThief.Win32.Magania.bkii ← unknown threat UDS:DangerousObject.Multi.Generic




501 KB
■ このスレッドは過去ログ倉庫に格納されています

★スマホ版★ 掲示板に戻る 全部 前100 次100 最新50

read.cgi ver 05.04.02 2018/11/22 Walang Kapalit ★
FOX ★ DSO(Dynamic Shared Object)