あやしいファイルを実行するスレ 2層目

1 ：名無しさん＠お腹いっぱい。：2008/11/25(火) 01:17:54 .net

あやしいファイルを実行したりして遊ぶ人が集うスレです 
急ぎでなくてよろしければ、簡単な鑑定も行います 

※ 依頼には制限があります: >>2-10 あたりをお読みください 【自動鑑定サイトも掲載しています】 

前スレ: あやしいファイルを実行するスレ (2006/02/21) 
http://pc11.2ch.net/test/read.cgi/sec/1140517079/ 

関連スレ:【鑑定目的禁止】検出可否報告スレ7 
http://pc11.2ch.net/test/read.cgi/sec/1216217642/ 

【警告】ここの住人は、黙っているだけで、多彩な多層防御を据えてあやしいファイルを実行しています 
無理に真似をして、環境が壊れたり、なにか晒されたりしても、屍を拾う者はいません

2 ：名無しさん＠お腹いっぱい。：2008/11/25(火) 01:23:58 .net

・鑑定を目的として貼られた場合、たいていは、自己解凍書庫判定(実行しなくても解凍鶴でおｋ)か、
明らかに有害か、よくわかりません位の結果になり、完全な安全判定は難しいことが多いです
完全な安全を目指すには、環境・情報を保護するソフトウェアの併用を検討してください

・感染後の回復指南に関しては、必要なスキルが異なるため、原則としてお引き受け致しかねます
あくまで、雑談として扱います アダ被さん( http://www.higaitaisaku.com/ )あたりが定評があります

・割れの幇助には消極的な人が多いです 割れやkeygenやパッチを貼るのは自由ですが、
引き受け手は少ないかもしれません その場合は、見かけ上スルーになります

3 ：名無しさん＠お腹いっぱい。：2008/11/25(火) 01:24:34 .net

・P2Pのハッシュ等での依頼は、消極的な人が多いですので、うｐろだに転載なさるか、専用スレに
ご依頼ください 転載時、ウイルスくさい場合は、'infected' 'virus' などのパスワードをかけてください

・お急ぎの方は、最近は便利になり、自動分析サイトがありますので、ぜひそちらをご利用ください

http://www.virustotal.com/
https://www.gred.jp/?tab=goleo (最近できたばかりです)

4 ：名無しさん＠お腹いっぱい。：2008/11/25(火) 02:02:04 .net

http://www16.plala.or.jp/spichilz/2chCloser.zip

5 ：名無しさん＠お腹いっぱい。：2008/11/25(火) 02:32:05 .net

有名所です reputation上無害と言いたいところなのですが、実際に踏んでみたところ、
当方環境では、CPUを100%近く占有したまま、パッカの展開がいつまでたっても終わりません
(業を煮やして途中で止めても、やっぱり制御がパッカのスタブにあります。。。)

推定無害、環境によっては: 動きません(?)

6 ：名無しさん＠お腹いっぱい。：2008/11/25(火) 19:19:38 .net

>>1
次スレ建ててくれる人がいたのかｗ
とりあえず追加で役に立ちそうなリンク張っておきます

↓仮想環境構築用
・VirtualPC
ttp://www.microsoft.com/japan/windows/products/winfamily/virtualpc/default.mspx
・VPC用無料のイメージファイル
ttp://www.microsoft.com/downloads/details.aspx?FamilyId=21EABB90-958F-4B64-B5F1-73D0A413C8EF&displaylang=en
・Returnil Virtual System
ttp://pc11.2ch.net/test/read.cgi/sec/1202337108/
ttp://www.majorgeeks.com/Returnil_Virtual_System_Personal_Edition_d5702.html

以下Newbie用
VT以外のScanサイト
・http://www.virscan.org/
・http://www.virscan.org/
・http://virusscan.jotti.org/
・http://www.viruschief.com/

SandBox
・http://anubis.iseclab.org/index.php
・http://www.threatexpert.com/default.aspx
・http://www.norman.com/microsites/nsic/Submit/en
・http://research.sunbelt-software.com/Submit.aspx

7 ：6：2008/11/25(火) 19:49:45 .net

http://www.virscan.org/が重複してた
正しくは↓
http://scanner.virus.org/

8 ：名無しさん＠お腹いっぱい。：2008/11/25(火) 21:39:53 .net

>>6-7
おちゅです

てか、まだあったんかｗ > iecompat(ry

…まだあったんかじゃない、増えてるｗｗｗｗ おみそれしますたｗ

9 ：名無しさん＠お腹いっぱい。：2008/11/28(金) 12:44:47 .net

踏んで遊ぶ方のネタもってきた

[ｲﾝﾁｷ/有害] ttp://ultraantivirus2009.com/Release_UNREG.exe

本当に、インチキ有害表示出すだけみたいな感じだたーよ
しかも、やたらと重い

[ｲﾝﾁｷ/有害] ttp://real-av.info/Setup.zip

壊れてるって言いやがる 遊べんでないかｗ
鯖側タイムスタンプは、今年５月

10 ：名無しさん＠お腹いっぱい。：2008/11/28(金) 18:04:53 .net

いつの間にか次スレが立ってる・・・

>>9
＞ttp://ultraantivirus2009.com/Release_UNREG.exe
実行するとProgram FilesにUltlaAVってフォルダ作られるから、
タスクマネージャーからUltlaAV終了させて、UltlaAVフォルダを削除、
system32のUltlaAV.cplも削除
終了。

11 ：名無しさん＠お腹いっぱい。：2008/11/28(金) 18:06:56 .net

それとスペルミスには突っ込むなよ

12 ：名無しさん＠お腹いっぱい。：2008/12/03(水) 10:22:30 .net

マルチもなんだし、リンクで
http://pc11.2ch.net/test/read.cgi/sec/1216217642/973

ネタ。これ単体で実行できる？

[有害] http://download.bestvirusremover2008.com/virusremover2008.com/1.0.14.5/FreeApp_jp.exe

…っていうのは、俺んとこの砂箱でエラーになるから ただの砂箱避けかな
lwapi.dll がなんとか(先頭のshが抜けてる上に、kernel32のインポートとして表示する)
ちょっといまVPCのイメージとか準備してくる気力なくて。既存環境ある人よろ

13 ：名無しさん＠お腹いっぱい。：2008/12/03(水) 15:00:08 .net

実機でHIPS使ったけど動くよ。何してんだか分からんけど。

14 ：名無しさん＠お腹いっぱい。：2008/12/03(水) 22:42:53 .net

なぜかテンポラリーインターネットファイルのフォルダの数個のファイルが問い合わせされた

15 ：名無しさん＠お腹いっぱい。：2008/12/04(木) 08:16:15 .net

Rogueware単品は実行しても簡単に駆除できるから微妙

16 ：名無しさん＠お腹いっぱい。：2008/12/05(金) 08:09:45 .net

>>13
HIPSってなに使ってんだ？
SSM？

17 ：名無しさん＠お腹いっぱい。：2008/12/05(金) 10:23:23 .net

>>15
ネタ持ってきてた俺が、短期集中的に現状調査してたからｗ > インチキ/ぼったウェア
たしかに、駆除攻防としては、あんまりおもしろくはないかもしれん

あれらの中には、一応、自前で検出エンジンもどきを持ってるのがある
最近のものには、ClamAVのデータベースらしきものを持ってるのもあった
それはちょっとアレだろう、イチからデータベースパーサ書いたんだろうな？ｗ (ClamAVはGPL)

一応、アップデートボタンがついてるのが多いんだけど、
一向にアップデートってうまくいった試しがないのな

18 ：名無しさん＠お腹いっぱい。：2008/12/08(月) 10:56:34 .net

http://kissho2.xii.jp/20/src/2yoshi1701.exe

ここからDLできるこの実行ファイルが何だかわかる方いますか？

19 ：名無しさん＠お腹いっぱい。：2008/12/08(月) 18:08:54 .net

>>18
宅間守ふぉーえばーっていう不謹慎ゲームみたいだけど
そんな古いファイル存在しねぇよ、それくらい確認しておけ

20 ：名無しさん＠お腹いっぱい。：2008/12/08(月) 19:42:00 .net

>>19
DLして実行したら、DOS画面になったんですけど
これは気にしなくて大丈夫でしょうか？

21 ：名無しさん＠お腹いっぱい。：2008/12/08(月) 19:45:12 .net

>>20
実行できないから何ともいえんけど問題ないとおもう
あとはググれ

22 ：名無しさん＠お腹いっぱい。：2008/12/08(月) 20:50:51 .net

>>18落として実行したら
DOS画面になってkkcfuncが組み込まれましたとかでるな
問題ないはず･･･多分

23 ：名無しさん＠お腹いっぱい。：2008/12/08(月) 22:18:49 .net

なんだこれ？
ウイルスとかではないっぽいが。

24 ：名無しさん＠お腹いっぱい。：2008/12/08(月) 22:45:30 .net

宅間守ふぉーえばーじゃん

25 ：名無しさん＠お腹いっぱい。：2008/12/09(火) 08:41:48 .net

>>24
ぐぐるとそうでるけど、落とすとちがくね？

26 ：名無しさん＠お腹いっぱい。：2008/12/09(火) 09:34:08 .net

落ちてこない

27 ：名無しさん＠お腹いっぱい。：2008/12/09(火) 09:39:59 .net

落とせますね。
まあ、危ないものではないと思います。

28 ：名無しさん＠お腹いっぱい。：2008/12/09(火) 15:42:05 .net

htmlが落ちてくるだけだが?

29 ：名無しさん＠お腹いっぱい。：2008/12/09(火) 16:18:37 .net

>>28
苦笑

30 ：名無しさん＠お腹いっぱい。：2008/12/10(水) 09:59:28 .net

http://1920041566:65535/fc2.js

31 ：名無しさん＠お腹いっぱい。：2008/12/10(水) 11:47:37 .net

http://pc11.2ch.net/test/read.cgi/sec/1228314831/126
ttp://1920041566:65535/t.exe

簡易実行してみた 当方環境では、DLLがひとつ増え、本体とhostsが消された
アラド戦記, リネ, RO(いずれも日本鯖)の垢抜きの模様

32 ：名無しさん＠お腹いっぱい。：2008/12/10(水) 14:40:53 .net

書き忘れてる、これ、いつもの、Flash経由のほうのセットじゃないほう

33 ：名無しさん＠お腹いっぱい。：2008/12/10(水) 15:08:51 .net

バイナリ比較したら一緒だったお

34 ：名無しさん＠お腹いっぱい。：2008/12/10(水) 15:41:08 .net

検証ありがとうだおｗ > compare

35 ：名無しさん＠お腹いっぱい。：2008/12/11(木) 10:27:27 .net

中国のサイトで感染の疑い：IE 7にゼロデイの脆弱性、月例パッチでは未解決
http://www.itmedia.co.jp/enterprise/articles/0812/11/news025.html

>>30 のjsのやつ、test3の方はこれだったのかもしれんね 別かもしれんけど

36 ：名無しさん＠お腹いっぱい。：2008/12/11(木) 14:10:50 .net

>>35
いや正解。中華トロイサイトのスクリプトでは
もはや標準装備になりつつある(MS06-014やFlashやReal並に)。
ところでtest3手元では動かなかったんだけど(IE7やMSXMLがQFEだから?)、
どこに何てdll落とした?

37 ：名無しさん＠お腹いっぱい。：2008/12/11(木) 14:37:27 .net

その後、他のサイトでも見た やっぱ生成鶴も出てるのかねｗ
winsys, midaeghDrv.dll ざっと見固定かな？

38 ：名無しさん＠お腹いっぱい。：2008/12/11(木) 14:56:57 .net

砂箱でも midaeghDrv.dll だった。なーんで発動しなかったんだか。
あのスクリプト、VistaとXPでunicodeの羅列部分は同じだけど
ターゲット側(CDATAとかある方)のimgタグは微妙に違うようですな。

39 ：名無しさん＠お腹いっぱい。：2008/12/11(木) 16:05:10 .net

お土産。駆除訓練にどうぞ
http://pc11.2ch.net/test/read.cgi/sec/1228314831/164-165

ネタ元は、http://pc11.2ch.net/test/read.cgi/sec/1228314831/159
上がFFXIの垢抜きかなんか。たぶん。下が常駐型のダウンローダ。
ケアレスミスで、文字列のデコードに手間取った

>>38
そこまでは見てなかったｗ randomizeでしょうか？ｗ

40 ：名無しさん＠お腹いっぱい。：2008/12/11(木) 16:06:09 .net

× ネタ元は、http://pc11.2ch.net/test/read.cgi/sec/1228314831/159
○ ネタ元は、http://changi.2ch.net/test/read.cgi/entrance/1226843784/159

41 ：名無しさん＠お腹いっぱい。：2008/12/12(金) 23:54:00 .net

>>9の下
Setup.exe.zipってのがあるぽ。

42 ：名無しさん＠お腹いっぱい。：2008/12/15(月) 22:39:04 .net

spoolsv経由でautorun.inf、recycledが作られる。
どういう仕組みなんだろう。
spoolsvをタスクから数回終了したらマルウェアが動かなくなってしまった。

43 ：名無しさん＠お腹いっぱい。：2008/12/15(月) 23:18:35 .net

>>42
http://qa.jolt.jp/detail/536167
ここでも悪用されてるみたいだね
ぐぐるとspoolsvを悪用するマルウェア結構あるな。
どういう仕組みで動いてるかわからんが

44 ：名無しさん＠お腹いっぱい。：2008/12/16(火) 22:45:58 .net

糞スレッドぶちこまれてるとかじゃなくて？

45 ： 【大吉】 【1125円】 ：2009/01/01(木) 00:48:09 .net

こんなスレであけおめ

46 ：「 【豚】 」：2009/01/01(木) 00:55:06 .net

て酢

47 ：名無しさん＠お腹いっぱい。：2009/01/01(木) 20:06:05 .net

私も化粧は好きじゃないｗ

48 ：47：2009/01/01(木) 20:07:05 .net

誤爆；；

49 ：名無しさん＠お腹いっぱい。：2009/01/04(日) 10:19:43 .net

IE AppCompat VPC Image v4.2: This VPC image will expire in April, 2009 URLは>>6と同じ

50 ：名無しさん＠お腹いっぱい。：2009/01/16(金) 19:23:26 .net

お願いします
http://home.arcor.de/nms04/Winnyenglish.zip

51 ：名無しさん＠お腹いっぱい。：2009/01/16(金) 21:39:13 .net

>>50
ただの英語版WinNY
問題なし

52 ：名無しさん＠お腹いっぱい。：2009/01/16(金) 21:55:55 .net

http://ftp.kaspersky.com/devbuilds/AVPTool/

↑踏んじゃったんですけど、コレなんですか？
黒い画面が不安・・・。

53 ：名無しさん＠お腹いっぱい。：2009/01/16(金) 22:20:06 .net

>>52
カスペルスキーのウイルス駆除ツールダウンロード画面

54 ：名無しさん＠お腹いっぱい。：2009/01/16(金) 22:29:17 .net

>>52
どうもありがとうございます！

55 ：名無しさん＠お腹いっぱい。：2009/01/17(土) 21:35:37 .net

>>50を解凍したらavastでWin32:Adware-genが検出されるんですけど。。。

56 ：名無しさん＠お腹いっぱい。：2009/01/17(土) 23:07:29 .net

>>55
Adwareってことは広告表示だな
ひょっとするとスパイウェアみたいに
情報収集してることも考えられるから
使わないのが吉

ちなみにうちでは解凍する前に検出
Webシールドがブロックしたわw

57 ：名無しさん＠お腹いっぱい。：2009/01/17(土) 23:17:49 .net

>>50
http://www.virustotal.com/analisis/173ba618aeadd0e2e4332695b66f3097
ちなみにAntiVirは反応しました

58 ：名無しさん＠お腹いっぱい。：2009/01/18(日) 22:39:20 .net

そのＷｉｎｎｙを使えば日本のＷｉｎｎｙにないファイルとかいっぱいダウンロードできるん？

59 ：名無しさん＠お腹いっぱい。：2009/01/18(日) 23:41:49 .net

さすがにスレチｗ 試してもやれんぞｗｗ

60 ：名無しさん＠お腹いっぱい。：2009/01/19(月) 00:27:41 .net

ttp://ipatukouta.altervista.org/php5/
これは、なに？

61 ：60：2009/01/19(月) 00:47:47 .net

踏んじゃったんだけど、ヤバイの？眠れないわ

62 ：名無しさん＠お腹いっぱい。：2009/01/19(月) 08:21:05 .net

>>56
誤検だろ

>>60
2ちゃん初心者か？
ホストとクリップボード晒されるだけじゃん

63 ：名無しさん＠お腹いっぱい。：2009/01/19(月) 08:56:02 .net

>>62
実害はそんなに考えなくていいのかありがとう

64 ：名無しさん＠お腹いっぱい。：2009/01/21(水) 16:18:41 .net

このウイルスの削除方法おしえてください
ttp://www3.uploda.org/uporg1950752.zip.html

65 ：名無しさん＠お腹いっぱい。：2009/01/21(水) 17:06:42 .net

>>64
404だから教えようがない

66 ：名無しさん＠お腹いっぱい。：2009/01/21(水) 18:03:08 .net

>>65　　すいません
ttp://www3.uploda.org/uporg1951835.zip.html

67 ：名無しさん＠お腹いっぱい。：2009/01/21(水) 19:24:34 .net

>>66
WINDOWSフォルダーにあるunvise32.exe
Lucy.exe、実行元のReadme.exeをセーフモードで削除
その他ZIPファイルも削除推奨(ZIPに感染する)
またUSBなんかをパソコンに繋ぐとこれも感染してしまうのでUSBメモリー類は
駆除完了するまで使用しないほうがいい

68 ：67：2009/01/21(水) 19:26:53 .net

ちゃんと解析してないからあてにしないように。
update.exeってやつがあったような・・・

69 ：名無しさん＠お腹いっぱい。：2009/01/21(水) 21:26:59 .net

>>67 ありがとうございます
　　　結構、やばいですかこのウイルス？

70 ：名無しさん＠お腹いっぱい。：2009/01/21(水) 23:57:12 .net

>>69
やばいかはわからないけど、いいことはない
正直リカバリー推奨しておく。
USBメモリぶっさして、Autorun.infとreadme.exeが作られなきゃ問題なしかも
(隠しファイルとシステムファイル表示する設定にして)

71 ：名無しさん＠お腹いっぱい。：2009/01/23(金) 03:22:46 .net

ttp://japan.sarashi.com/15.html

踏んでしまい、すぐ閉じちゃったんですが
これは何でしょうか？

72 ：名無しさん＠お腹いっぱい。：2009/01/23(金) 04:49:17 .net

>>71
ttp://www.aguse.jp/?m=w&url=http%3A%2F%2Fjapan.sarashi.com%2F15.html&retry.x=54&retry.y=8
情報商材屋の怪しいページ
ttp://gw.aguse.jp/ で確認すると全文見れるよ

73 ：名無しさん＠お腹いっぱい。：2009/01/23(金) 08:47:46 .net

>>72
ウイルスとかではないみたいですね。
ありがとうございました！

74 ：名無しさん＠お腹いっぱい。：2009/01/23(金) 23:40:50 .net

>>70 今からやってみます。
　　　ありがとうございます

75 ：名無しさん＠お腹いっぱい。：2009/01/31(土) 04:39:26 .net

http://sig.azarea.jp/asuka/download/AsukaWS.zip

風来のシレン女剣士アスカというゲームの非公式パッチなのですが
virustoralで調べると６０％程の確率でウイルスと表示されます。
このパッチを使用している人は多いようなのですが
私としてはウイルスの可能性も捨てきれないため
本当に安全なものか調べて欲しいですorz

76 ：名無しさん＠お腹いっぱい。：2009/01/31(土) 08:42:11 .net

マイナーなpackerだからということか、各社一斉に警告が出ています
http://www.virustotal.com/analisis/026a44b33eea5ec0859e874d82b3c6ab
本体が、よくわからない保護がかかっているので、(アンチウイルスエンジンが)鑑定いたしかねます、
イマドキ、疑わしき物はクロ。という判定がなされているということです

で、保護を解除して、再度virustotalに投げます (409634/416000)
http://www.virustotal.com/analisis/d99ef889d6a5b7048b2b4078ff494d32
ゲーム本体を検索して、パッチする部分が、ウイルスとさして変わらん。と判定されているのかもですね

ぱっと見に、ネットにアクセスするコードというのは見つかりませんでしたが、
こんなものはいくらでも隠蔽ができますので、完全な安全判定というのはいたしかねます >>2

少なくとも、これだけ広範にクロ判定にならないパッカに、替えてもらったほうがいいかと

77 ：名無しさん＠お腹いっぱい。：2009/01/31(土) 19:13:56 .net

ですよねえ･･･。
非常に便利なツールらしいのですが
気になってプレイはしたくないので入れないことにします
調べてくださってどうもでした！

78 ：名無しさん＠お腹いっぱい。：2009/02/08(日) 11:20:49 .net

>>75
やべえ俺これ使ってるわ・・・。
クリーンインスコし直しとくか・・・。

79 ：名無しさん＠お腹いっぱい。：2009/02/08(日) 12:31:01 .net

無害とは言い切ってないのですが、有害とも言い切ってないのです
exe鑑定のひとつの姿勢は、｢完全に安全なexeの保証などありえない。｣というものです >>2

しかし、使いたい。
そんなときのために、VMとか、砂箱とか、そんなものを併用するわけです

80 ：名無しさん＠お腹いっぱい。：2009/02/08(日) 14:09:05 .net

ゲームのパッチにVMとかうまく使えなくない？
色々制限されるっつーか。

81 ：名無しさん＠お腹いっぱい。：2009/02/09(月) 00:26:09 .net

併用するソフトによる もちろん、パッチ対象のソフトによっては、どうにもしようがないこともあるかも

82 ：名無しさん＠お腹いっぱい。：2009/02/09(月) 02:35:50 .net

>>75のパッチってこのゲームやってる人ならほとんどの人が当ててるようだな。
（スレやプレイ動画より）
誤検出ってことで片付けてるけど･･･ちょっと怖いよね。

83 ：名無しさん＠お腹いっぱい。：2009/02/09(月) 10:17:08 .net

どうして誰も検体提出しないんだろうねえ

84 ：名無しさん＠お腹いっぱい。：2009/02/09(月) 12:21:56 .net

ネトゲチート厨なんかどうでもいいからさ

85 ：名無しさん＠お腹いっぱい。：2009/02/09(月) 17:54:47 .net

検体提出が相当ぽいときは、検出可否スレに(レスへのリンク形式で)送ってるからｗ

86 ：名無しさん＠お腹いっぱい。：2009/02/10(火) 00:09:03 .net

どこがネトゲやねんｗ

87 ：名無しさん＠お腹いっぱい。：2009/02/21(土) 20:07:00 .net

http://online.w84.okwit.com/RM.exe
最近ネトゲのしたらばによく貼られているんですが、踏んだらヤバイですか？

88 ：名無しさん＠お腹いっぱい。：2009/02/21(土) 20:16:17 .net

連スレすいません。
http://www.skywebsv.com/flash05846/GTDR.exe
こいつも貼ってありました。スレ読んでるとキーロガみたいなんですが。

89 ：名無しさん＠お腹いっぱい。：2009/02/21(土) 22:28:09 .net

>>87 着手、有害確定 もうすこし詳しい情報を、後に追加します

90 ：名無しさん＠お腹いっぱい。：2009/02/21(土) 22:47:14 .net

>>88 着手、有害確定 もうすこし詳しい情報を、後に追加します 少なくともパス抜きですね

91 ：名無しさん＠お腹いっぱい。：2009/02/22(日) 00:06:53 ?2BP(0).net

>>87
なにか釣り動画がはいってます それに気を取られているうちに、ウイルスに感染します
踏んでみたところ、さらに、外部鯖に指示を取りに行っているようです 追加感染のおそれがあります
内容的には昔からあるものなのですが、新作の亜種であり、検出できないセキュリティソフトも結構あるようです
※汎用のルートキットが使用されているようです 一部の無料点検サイトでは、検知できない恐れがあります
※ServiceDllとして動作しているため、有害プロセスは、純正exeであるsvchostのどれかに紛れ込みます

>>88
RedStoneのバナーとともに、ウイルスが含まれています
主に韓国ネトゲ鯖の垢抜きのようですが、一部日本鯖も対象になっています
内容的には昔からあるものなのですが、新作の亜種であり、検出できないセキュリティソフトも結構あるようです

>>1 の検出可否スレには通報済みです

92 ：名無しさん＠お腹いっぱい。：2009/02/22(日) 22:05:28 .net

>>91
どうもありがとうございました。
知り合いで踏んでしまった者がいるので、再インストールすすめておきます。

93 ：工学部：2009/02/26(木) 06:41:40 .net

卒論でウィルスについて研究したいのですが、テーマが決まらなくて困ってます
何か、こんなことやってみてほしい（試してほしい）ってことないでしょうか？
卒論ですので、多少時間のかかることでもいいんですが・・・
ヒントお願いします

94 ：名無しさん＠お腹いっぱい。：2009/02/26(木) 10:56:37 .net

>93
そんなことも自分で決められないようなら留年しとけ。

95 ：工学部：2009/02/26(木) 14:31:16 .net

正論

96 ：名無しさん＠お腹いっぱい。：2009/02/27(金) 09:29:23 .net

>>93 最近のウイルス感染PCからの、効率的な除去方法

97 ：名無しさん＠お腹いっぱい。：2009/02/27(金) 13:15:06 .net

http://you0idiot.web.fc2.com/idiot.html

98 ：名無しさん＠お腹いっぱい。：2009/02/27(金) 13:26:57 .net

ふつうにブラクラ いやというほどメモリ食って重くなりそうって意味では、破壊力ある

99 ：名無しさん＠お腹いっぱい。：2009/02/27(金) 20:08:55 .net

ttp://www1.axfc.net/uploader/He/so/200264
これなに？

100 ：名無しさん＠お腹いっぱい。：2009/02/28(土) 08:15:05 .net

今北 もうない

101 ：名無しさん＠お腹いっぱい。：2009/02/28(土) 22:53:30 .net

http://www1.axfc.net/uploader/He/so/200380
pass　rfat
よければ鑑定も

102 ：名無しさん＠お腹いっぱい。：2009/03/01(日) 00:20:58 .net

これは、踏んだところで、アトランティカの垢持ってないわけですが。
よくよく考えたら、まして、鯖管に見抜かれる危険までわかるわけないし
安全判定不可

まあ一応踏んだことだけ知らせておきます エントリポイント 4a7b2c
パッカの砂箱検出うざい 本体も、DelphiかBCかなんかで書かれているようです
踏んだ途端に読みに行っているのは、
ttp://www.hl777.com/RFAT/update.txt
ttp://www.hl777.com/serverip.txt
みたいです 内容は、あくまでテキスト。

103 ：名無しさん＠お腹いっぱい。：2009/03/01(日) 00:21:34 .net

しまった誤クリしてたみたいでageてしもた

104 ：名無しさん＠お腹いっぱい。：2009/03/01(日) 01:15:38 .net

>>101
BOTの類に罠仕込まれてない訳ないだろ。鑑定するまでもない。

>>1
>※ 依頼には制限があります: >>2-10 あたりをお読みください 【自動鑑定サイトも掲載しています】

>>2
>・割れの幇助には消極的な人が多いです 割れやkeygenやパッチを貼るのは自由ですが、
>引き受け手は少ないかもしれません その場合は、見かけ上スルーになります

ゲームの不正ツールだし、放置推奨。

105 ：名無しさん＠お腹いっぱい。：2009/03/01(日) 09:34:59 .net

ttp://www.ultimet-virus/HDD/crash/deadharddisc-zip.exe

この見るからに怪しげなやつを踏んだのですが大丈夫でしょうか？

106 ：名無しさん＠お腹いっぱい。：2009/03/01(日) 10:21:24 .net

>>104
升ツールに見せかけたマルウェアだったら、それはそれでそう書くし
でも、普通に升ツールみたいっすね

server.exeが何してるんかなーとは思ったわけだが
BOTを発生させながら、トロイにもなる構成を想像してみた
まあわからんけどな いかんせん日本語じゃないし

>>105
unable to resolve host address `www.ultimet-virus'
よくあるびっくりURLか、誤転記 落とせませんてこと

107 ：名無しさん＠お腹いっぱい。：2009/03/01(日) 10:43:49 .net

>>106
無害と言うことですね？
お手数おかけしました、ありがとうございます

108 ：名無しさん＠お腹いっぱい。：2009/03/26(木) 18:47:41 .net

ttp://yaplogjp.com/blog/
最近やたらと貼られてるんですが鑑定お願いできないでしょうか

109 ：名無しさん＠お腹いっぱい。：2009/03/26(木) 19:31:11 .net

>>108
http://pc11.2ch.net/test/read.cgi/pcqa/1237001172/68,69

McAfeeの削除ログ
トロイの木馬 が自動的にブロックされ、削除されました。
この トロイの木馬 について
検出済み: ObfuscatedHtml (トロイの木馬)

110 ：名無しさん＠お腹いっぱい。：2009/03/26(木) 23:20:38 .net

www.girl-box.net/lib/contents_act.php/video8739932900
ワンクリウェアです。
インスコマーン！

参考情報
http://www.virustotal.com/jp/analisis/79cf0d0ca30055c858ebf70d4dc73843
http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=2f3ef47c5cb74bdf6cab4b556c6fc669

111 ：名無しさん＠お腹いっぱい。：2009/03/27(金) 00:34:49 .net

>>109
ありがとうございました

112 ：名無しさん＠お腹いっぱい。：2009/03/27(金) 23:24:38 .net

砂箱で実行してもスルー(なにもしないで終わる)だな…。バレてるか、相性が悪いようだ
ひまんなったらつついてみよう

インスコマーン！

113 ：名無しさん＠お腹いっぱい。：2009/03/29(日) 00:58:26 .net

いまどき砂箱検知・デバッガ検知はあたりまえだしな

114 ：名無しさん＠お腹いっぱい。：2009/03/30(月) 13:17:48 ?2BP(0).net

んで、みてみた
8739932900 の部分に対応したクッキを受け取っていないと、スルーになるもより
ちなみに、対応するIDは、X0H0000 (数字は潰し)

クッキは、wininetを通さずに、SHGetSpecialFolderLocation(CSIDL_COOKIES)で直接見に行っているらしい
IE以外だったら、これだと、実行がすすまなかったりするんかね

115 ：名無しさん＠お腹いっぱい。：2009/04/04(土) 23:16:55 .net

http://tsushima.2ch.net/test/read.cgi/news/1238844402/
踏んでくれる有志がいたら頼む

116 ：名無しさん＠お腹いっぱい。：2009/04/04(土) 23:37:23 .net

よくわからないけど、こちらへどうぞ。

勇気がなくて踏めない人のための鑑定ｽﾚPart19
http://pc11.2ch.net/test/read.cgi/hack/1230787611/

117 ：名無しさん＠お腹いっぱい。：2009/04/05(日) 02:39:12 .net

通報しといた
http://pc11.2ch.net/test/read.cgi/sec/1235459712/369

子EXEを吐くのかな ちょっと調べてみる

118 ：名無しさん＠お腹いっぱい。：2009/04/05(日) 03:49:45 ?2BP(0).net

途中まで読んだ
とりあえず、感染を試みると、%windir%\system32\sqlsodbc.chm ができるようだ

119 ：名無しさん＠お腹いっぱい。：2009/04/05(日) 09:51:06 .net

あと、感染したら、regedit.exe が起動できなくなる。かもしれん。
ポリシいじられるんじゃなくて、名前で拒否されてるから、
regedit.exe をx.exe とかにコピーして実行すればいけるかと

120 ：名無しさん＠お腹いっぱい。：2009/04/05(日) 22:02:19 .net

>>118
元々ある。PC2台のファイル比較したら同じだった。

121 ：名無しさん＠お腹いっぱい。：2009/04/05(日) 22:35:50 ?2BP(0).net

MDAC2.6とかに もとからあるファイル名みたいですね、紛らわしい名前つけやがってと思ったら、
正規ファイルをこっそり上書きしちゃう(かもしれない)のか…。了解です

122 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 00:38:55 .net

(1)感染したWebページをひらく
(2)感染したjsが、94.247.2.195の改変jquery.jsを実行
(3)IP/UAで振り分け処理(Vistaは大丈夫そう？)
(4)PDF/Flash起動。各種ウィルス本体をInternetTempに展開
(5)bufferOverrunでウィルス本体の起動を試行

以下が問題のURL、
"id=2"はpdfの脆弱性を利用し、
buffer overflowを引き起こさせ感染を試みる。(Adobe Collab overflow)
"id=3"はswf(Flash)の脆弱性を利用しoverflowを引き起こさせ、感染を試みる。
いずれも最新のFlash Playerの導入とPDF Readerを入れていれば問題なし（？）
hxxp://94.247.2.195/jquery.js
hxxp://94.247.2.195/news/?id=100
hxxp://94.247.2.195/news/?id=2
hxxp://94.247.2.195/news/?id=3

リンクは切れており現在無害（当環境では）


以下のリンクは生きており感染実験希望の方はﾄﾞｿﾞ
★危険ですので注意
hxxp://94.247.2.195/news/index.php

少しわかってること：
WINDOWSの正規ファイルを上書き（？）する可能性大

Anubisレポート
http://anubis.iseclab.org/?action=result&task_id=1890669b0bd937574e5be45e24c63ea80&format=html

123 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 00:40:14 .net

↑これでGENOウイルススレ立てて

124 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 01:16:04 .net

p://でも専用ブラウザだと勝手にリンク貼るから、スペース挟むなりしろよボケ

125 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 01:25:45 .net

いまとなっては対処済みですが、
感染後は、あらゆるプロセスを乗っ取って、垢を抜こうとするのは確認済みです

まあ、叩いてなんぼの２ちゃんなので、
geno-webも素人じゃあるまいし、だめだろ。ってことで

>>124 これごく最近までしらんかったんよな

126 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 01:50:37 .net

>>124
うちの専用ブラウザだとttp:はリンクになるけど、p:まではやらないな。一部のソフトのみのことを一般論にすんなよ。
マルウェア情報系のとこでもhxxp:への置き換えはよくみかけるし、>122はそのままでいいんじゃね。

127 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 01:53:44 .net

jane doe styleだとリンクらない

128 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 04:14:24 .net

ギコだとリンク扱いになる
えっちだめだめピーコロンすらすらアドレス
のピー以降がアンカーになる

129 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 04:15:33 .net

あや
×　アンカー
○　リンク

130 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 07:16:17 .net

どっかのローカルルールを継承してるんだと思うんだが、このスレきて半年やそこらの新人にはわからん罠

これならどうだ？(まじで) ttｐ://www.google.com

131 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 07:43:02 .net

>>130
ギコなら、すらすら以降もリンクになる。
大体、セキュ扱うなら、ピリオドは●とか。に替えて貼り付けたほうが良い。

132 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 08:01:56 .net

>>130
doeリンクってない

133 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 08:05:37 .net

でも他のスレのｈ抜きはリンク扱いになってるな
それ小文字ｐが全角だからか

134 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 08:36:42 .net

積極的に踏む人とか、通報に書き添える奴は、s/●/./g を手動でせにゃいかんわけだ
それくらいやれよと言ってもいいんだが、なんかこう、受け側の手間のかからん方法でいきたいんだな
ああそれと、あとから来て検索するヤツに、ひっかけてもらいやすいかなあとか

んで、すらすらだけでダメなんかｗ すらすらに代わる、見た目もナイスな、なんかいい記号ないかなーｗ

135 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 09:16:40 .net

http:〃www.2ch.net
http:∬www.2ch.net

こんなとこか

136 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 09:31:53 .net

h抜きの表記は、リンク先に2ch鯖から該当リンクに問い合わせが行くから、
負荷・トラフィック・コストの面で推奨されいてない。

>>135
それも、ギコだとリンクになる。

137 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 09:51:33 .net

リンク先をプリフェッチするブラウザもあるからなぁ。

138 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 11:46:03 .net

ええい、ぎこは過敏じゃｗｗｗ

…こんどソース覗きにいくかｗ ネタ的に意地になってきたｗ

139 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 14:38:43 .net

ギコナビでは以下の文字列を含むとリンクと見なします

http:// , ttp:// , tp:// , p:// , www.

1ユーザーの意見としては、この辺りの動作は覚悟してギコナビ使っているので
危険なアドレスを貼る時は各個人が用いているブラウザの仕様に従って
文字列を改変してくれればいいと思ってます。他を気にしてたらきりが無いのでは

個人的には//か www.の後にスペース挟むか
wwwをｗｗｗに置き換える等の方法を採っています

140 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 14:43:02 .net

www. も対象か、これは盲点 まじおつ 頭にいれておこうっと

141 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 15:31:07 .net

これはどうだろう

http:/­/ww­w.google.com/

…逆に不便かもしれない

142 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 16:53:58 .net

ぶっちゃけぎこを無視するのが無難な解決策かと。

143 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 21:54:01 .net

(見た目で) ww-w.google.com っていうドメインなのかなとおもっちゃうなそれｗ

144 ：名無しさん＠お腹いっぱい。：2009/04/08(水) 22:44:55 .net

●は無視してね←みたいな但し書きを冒頭につけて

ww●w.xxxxx

みたいな書き方はどうだろう

145 ：名無しさん＠お腹いっぱい。：2009/04/09(木) 11:45:20 ?2BP(0).net

www. とついてなければ、ttｐ:// を使って、www. とついてれば、TLDに｡ を入れてみることにしよ
www. を検地するんだぜ！ってのは収穫だった

146 ：名無しさん＠お腹いっぱい。：2009/04/25(土) 17:41:52 ?2BP(50).net

晒しａｇｅ

147 ：名無しさん＠お腹いっぱい。：2009/04/26(日) 04:43:59 .net

Googleで「サポート ロシア語」で検索して最初に出てくるこのサイト、おかしいんだが…

http://hanaseru-online.com/1miryoku/3counceling/

148 ：名無しさん＠お腹いっぱい。：2009/04/26(日) 07:16:37 .net

>>147
おかしいと言われてもな。
攻撃スクリプトが有るくらいだ。ドメインが死んでるみたいで実行ファイルも落ちてこねーし。

149 ：名無しさん＠お腹いっぱい。：2009/04/26(日) 07:31:37 .net

肝心のブツがおいてある鯖がつながらん、というか、nslookupでひっかかるな、同感

150 ：名無しさん＠お腹いっぱい。：2009/04/28(火) 08:08:40 .net

http://kickback.cc/upload/stored/up10577.jpg
何これ怖い、、、
よろしくお願いします

151 ：名無しさん＠お腹いっぱい。：2009/04/28(火) 08:13:37 .net

ただのブラクラ

152 ：名無しさん＠お腹いっぱい。：2009/04/28(火) 08:15:39 .net

>>151
ありがとう

153 ：名無しさん＠お腹いっぱい。：2009/05/05(火) 23:06:28 ?2BP(0).net

直ﾘﾝｽﾚより 出先につき内容確認はしてない

Windows XP Mode Beta
http://www.microsoft.com/downloads/details.aspx?FamilyID=0e8fa9b3-c236-4b77-be26-173f032f5159&DisplayLang=ja
http://download.microsoft.com/download/4/8/0/48007A1F-35D4-4BC9-8A02-FE1E6DFDC0BE/32%20bit/VirtualWindowsXP.msi
http://download.microsoft.com/download/4/8/0/48007A1F-35D4-4BC9-8A02-FE1E6DFDC0BE/64%20bit/VirtualWindowsXP.msi

※IEの互換テストvhdが、4/30過ぎても次出てないぽいことからして、これ関係してるかもしれんと思って貼る

154 ：名無しさん＠お腹いっぱい。：2009/05/06(水) 19:52:20 .net

更新でた

http://www.microsoft.com/downloads/details.aspx?displaylang=en&FamilyID=21eabb90-958f-4b64-b5f1-73d0a413c8ef

URLはおなじ。

155 ：名無しさん＠お腹いっぱい。：2009/05/20(水) 23:01:07 ?2BP(0).net

とりあえずGENO系ウイルスの簡易検出ツールを関係スレひとつに投げてきたが…
…そいつが落としてくるバックドア(別モジュールだそうな)も検出しないといかんかな

踏みたいんだがどれなんだろう

156 ：名無しさん＠お腹いっぱい。：2009/05/21(木) 00:45:06 .net

>>155
既に配布サイトが閉鎖したので、現時点では落ちてこないですよ。次の攻撃をお待ちください？

157 ：名無しさん＠お腹いっぱい。：2009/05/21(木) 00:56:08 .net

すこし前のやつとか、taneにあがってないかな…。id=10 のEXE は手持ちがある

158 ：名無しさん＠お腹いっぱい。：2009/05/21(木) 01:00:43 .net

>>157
検出可否スレに上がってたのをまとめて整理した奴を昨晩辺りUPしといた気がする。infectedな。
0505だかどっかに別件のzipが混入してるのは無視してくれ。

そこに入ってないexeあったら、taneに上げといて。提出しとくから。

159 ：名無しさん＠お腹いっぱい。：2009/05/23(土) 08:30:31 .net

ttp://ynct-denken.hp.infoseek.co.jp/other/uvdt.html
で紹介されているuvdt5ps.exeというウイルス駆除ツールが
バスターコーポで怪しいファイルと警告が出るようになった。
誰か調べてくれ。
daunload↓
ttp://ynct-denken.hp.infoseek.co.jp/cgi-bin/dlcount/dlcount.cgi?f=1_4

160 ：名無しさん＠お腹いっぱい。：2009/05/23(土) 09:20:16 .net

>>159
そういう時は、まずVTを利用する
http://www.virustotal.com/jp/analisis/bca874866936cdff9d32a761e44fb42c5a882c64e035443f08708a0b0b6f7621-1243037362 (1/40)

で、トレンドマイクロの説明
http://www.trendmicro.co.jp/vinfo/virusencyclo/default5.asp?VName=POSSIBLE_OTORUN8

正直、バスターのヒューリスティックで誤検出してる臭い。

バスター使ってないから対処する気無いけど、気になるなら　対応方法→問い合わせフォーム　からトレンドマイクロに
ファイルを送っておくと、誤検出しないように対処してくれるかもしれない。

161 ：名無しさん＠お腹いっぱい。：2009/05/23(土) 10:56:55 ?2BP(0).net

たまに、明らかに悪意があるとか、｢こりゃーわからんけど、こういうこと(検出されちゃう)ってあるよ｣とか
なんかわかるかもしれん みてみる

162 ：名無しさん＠お腹いっぱい。：2009/05/23(土) 11:11:04 ?2BP(0).net

ちょくりん ./list/UVDT5PS.zip

ざっと見、明らかな悪意はなさげだったけど(確度90%)、
同じ、autorun.inf を操作する者として、どっちもどっちということか、ヒューリスティック検出されちゃうのかもね

起動直後画面まで踏みました
…文字化けした^^; ← これは多分当方環境の削りすぎ

163 ：名無しさん＠お腹いっぱい。：2009/05/23(土) 20:38:22 .net

>>160,>>162
どうもありがとう。参考になりました。
結局対象のファイルを削除したけど、システム復元のせいで
\System Volume Infomation\_restore以下に入ってしまい
バスターは延々警告を出すけど削除が手動でできない状況に
陥ってしまったorz
何とか権限をつけて削除したけど、もっと簡単な方法があったのかな？

164 ：名無しさん＠お腹いっぱい。：2009/05/23(土) 21:50:51 .net

雑談。その件運用面的に詳しくないけど、思うに、
自分で権限つけて削除できるなら、実はそれが一番なのかも
他の復元項目(バイナリ、レジストリ、システムDB)は生かしておけるわけだし
普通、権限操作なんて頼めないものなので、リポジトリごとあぼんしてくださいとしか
言えないものです 特に、XPHomeとかだったりすると厄介です

機会があれば、作者さんに連絡できるといいですね
ヒューリスティックでグレー判定食らってますよと。
何か作者側の対策で回避できることもありますので

165 ：名無しさん＠お腹いっぱい。：2009/05/27(水) 17:26:05 .net

むぅ

166 ：名無しさん＠お腹いっぱい。：2009/06/27(土) 08:14:15 ?2BP(0).net

普通にmpg.scrですた 同梱の釣り動画も相変わらずのアレ。
なんていうか、速度スクリューとか全然関係ﾅｽｗｗ

167 ：名無しさん＠お腹いっぱい。：2009/06/27(土) 08:15:30 ?2BP(0).net

誤爆

168 ：名無しさん＠お腹いっぱい。：2009/07/07(火) 11:46:33 ?2BP(0).net

踏んでみる？ 元ネタ: http://pc11.2ch.net/test/read.cgi/hosting/1246828727/31-32

空白消しで: ttp://18 56 31 77 99:888/f.gif

169 ：名無しさん＠お腹いっぱい。：2009/07/07(火) 15:04:23 .net

>>168
ふつ〜にウイルスが検知されてブロックされますた。いじょ。

170 ：名無しさん＠お腹いっぱい。：2009/07/08(水) 10:31:27 ?2BP(0).net

それじゃあ検出可否じゃねーかｗ

zxshell とかいうものらしい 挙動のランダム化があるかもしれんから参考程度だが、当方環境では、
system32 にUPX がかかったDLL がひとつでき、6to4 とかいう名前のサービスとして登録されようとした
それがうまくいかないと、netsvc_******** という名前のサービスを作ろうとしていた

171 ：名無しさん＠お腹いっぱい。：2009/07/08(水) 18:36:14 ?2BP(0).net

起動して、いくらか確認をしたあと、
jpyy.meibu.com:53, www.jpyy.meibu.com:53 に【TCPで】接続しようとする
hosts に書いておいて、IPをつなぎかえれば、被害を低減できるかも

172 ：名無しさん＠お腹いっぱい。：2009/07/09(木) 07:11:16 ?2BP(0).net

DLL名は、mnpse.dll これは、exe内で決め打ってるみたいだ(エンベロープのexeが変われば変わる)
ランダムだと思ったら、そうじゃないみたい
接続先は、DLLの末尾にほぼそのまんま書いてあることもわかった

173 ：名無しさん＠お腹いっぱい。：2009/07/11(土) 08:17:33 .net

exeの更新があったもより

174 ：名無しさん＠お腹いっぱい。：2009/07/11(土) 13:57:30 .net

どのexe？

175 ：名無しさん＠お腹いっぱい。：2009/07/11(土) 22:19:12 .net

>>168-172の

176 ：名無しさん＠お腹いっぱい。：2009/08/08(土) 01:54:31 .net

これ最近垢ハック横行してるMMOのスレに貼ってあるやつだけどあぶないですか？
よろしくお願いします。
ttp://www.youtube.com/watch?v=LyAdo0VSRBI

177 ：名無しさん＠お腹いっぱい。：2009/08/08(土) 16:06:58 .net

踏んで広告からなんか出てきたら、SSでも貼ってくれ それだけではわからん FLVは観てない

178 ：名無しさん＠お腹いっぱい。：2009/08/09(日) 02:59:57 .net

某MMOのスレ立てしたやつが貼っていたものです。
どうやら、こいつはそこら辺にウィルス貼りまくってるようですが、
これもそれに該当するんでしょうか？
ttp://www.muswou.com/Start.scr

179 ：名無しさん＠お腹いっぱい。：2009/08/09(日) 10:43:41 .net

おなじみ1199.exe てか、耐えられないくらい重かったぞ、ダウソがｗ

180 ：名無しさん＠お腹いっぱい。：2009/08/09(日) 11:37:15 .net

重いどころか、まともに繋がらん(´･ω･`)諦め

181 ：179：2009/08/09(日) 23:58:45 ?2BP(0).net

ガチ収集してるなら、1199.exe だけうｐするけど

182 ：名無しさん＠お腹いっぱい。：2009/08/10(月) 12:58:34 .net

このスレ開けたらアンチウイルスソフト反応したんだけど・・・。

Trojan

183 ：名無しさん＠お腹いっぱい。：2009/08/10(月) 14:23:42 .net

ウイルスの直リン貼ったりもするから、そんなもんだろ ここはそういうスレ。(煽りとかじゃなく

184 ：名無しさん＠お腹いっぱい。：2009/08/10(月) 18:28:15 .net

http://jp.registrywinner.com/
これって…

185 ：名無しさん＠お腹いっぱい。：2009/08/10(月) 21:05:07 ?2BP(0).net

どうでもいいものか、消さない方が無難なものまで、レジストリのあれやこれやを
大量に検出するものらしい おおかた、修復には購入が必要、とでもいうんだろうが、
当方環境では、途中から1.5GBくらいメモリ確保しはじめて、
検出画面が終わらなかった 強制終了したよ

ま、そんなようなもんだ、きっと

踏んだ記念 ttp://www.registrywinner.com/download/update.ini

The laws of the Province of Beijing, China will govern this agreement and
the software license and the usage of the software. ... you agree to submit to
the personal and exclusive jurisdiction of the courts located within
the District of Haidian, Beijing.

186 ：名無しさん＠お腹いっぱい。：2009/08/13(木) 22:48:19 .net

ゲームのスレに貼ってありました
ttp://aimeblog.com/eabox/blog_281/
やはりウィルス？

187 ：名無しさん＠お腹いっぱい。：2009/08/14(金) 17:13:34 .net

>>186
反応した

Expoloit と　Trojyan

188 ：名無しさん＠お腹いっぱい。：2009/08/14(金) 17:32:11 .net

>>186

NortonSafeWeb
http://safeweb.norton.com/report/show?url=http%3A%2F%2Faimeblog.com%2Feabox%2Fblog_281%2F&x=0&y=0

McAfeeサイトアドバイザ
http://www.mywot.com/en/scorecard/aimeblog.com

PandaWOT
http://www.mywot.com/en/scorecard/aimeblog.com

189 ：名無しさん＠お腹いっぱい。：2009/08/19(水) 23:43:45 .net

ここで直接聞くことではないんだが質問。
あ、スレチでしたらスルーで。
最近AIONというMMOが正式に始まったのですが、垢ハックが横行しています。
あやしいリンク踏んでないとか、このゲームのためにPC新調してこのサイトしか行かないとか。
それなのに被害は一向に止まらないと。
ｶｷｺﾐを見ていると、公式にセキュリティーソフトが反応したものもあるそうです。
ここにいる方は、ウィルスにかなり長けている方とお見受けしています。
公式リンク貼り付けて起きますので、よろしかったら調べてください。
ttp://aion.plaync.jp/

190 ：名無しさん＠お腹いっぱい。：2009/08/20(木) 08:49:59 .net

雑談として。
とりあえずnProなのね
nProはThemidaで保護されてたから、ちょくちょくヒューリスティックにひっかかるのはみかけた

蔵のプロトコルに、総当たりに弱い仕様があるんじゃないかな
どういうログイン手順かわからんが、パスワードが推測可能なものはやめとけ。
ログインIDが、悪意を持った仲間に筒抜けってケースを考えてみたらいい

巨大な蔵を解析しようという気にはなれないが、まあDLだけしてみるか

191 ：名無しさん＠お腹いっぱい。：2009/08/20(木) 08:51:02 .net

あれっなぜsageになってない？？ 手が当たったか すまそ

192 ：名無しさん＠お腹いっぱい。：2009/08/20(木) 09:37:25 .net

> セキュリティーソフトが反応した

なんと反応したのかｋｗｓｋ

193 ：名無しさん＠お腹いっぱい。：2009/08/20(木) 11:53:40 .net

nProが引っかかっただけだろ
チョンゲやるような奴なんざ放っとけ

194 ：名無しさん＠お腹いっぱい。：2009/08/20(木) 20:53:20 .net

>>193
クライアントを立ち上げたところで反応でなくて、
公式にあるパワーwikiってところを閲覧しただけで反応したってｶｷｺﾐだったかな。

195 ：名無しさん＠お腹いっぱい。：2009/08/20(木) 23:41:03 ?2BP(0).net

パワーwikiとやらにウイルスがいたとして、そいつを捕獲してもってくれば、
exeをばらしてみるなりなんなりする奴もいるだろうね

しっかし、公式サイトのトップにつなぐだけでcab２個
こいつが、なぜか%windir%直下にunicowsを入れる
ダウンローダはさらに別個とな

住民は、蔵のちょくりんとか知ってるのかな 普通にhttpだったけど

NCの垢のスクリーンネームとIDがおんなじだったら、スクリーンネームは平文で奪取し放題だよねこれ

196 ：名無しさん＠お腹いっぱい。：2009/08/21(金) 00:15:26 .net

>>189
感染してるの？
このサイト
ソフト反応したけど

197 ：名無しさん＠お腹いっぱい。：2009/08/21(金) 00:44:46 .net

>>196
感染してない。公式は安全。

198 ：名無しさん＠お腹いっぱい。：2009/08/21(金) 07:24:00 .net

AION垢ハックについて質問した者です。
みなさん、スレチにもかかわらず色々な検証していただいてありがとうございました。
ここの住人の方の検証で公式が安全ということがわかりました。
今後、セキュリティーソフト（ノートン2009）が反応しましたら、
ここで伺いますのでよろしくお願いします。

199 ：名無しさん＠お腹いっぱい。：2009/08/21(金) 07:42:43 .net

ニュアンスとか、過去のことまで含めると、意見は分かれるね
あれだけごちゃごちゃとしていたら、どこに何が埋まっててもわからんし
仕様の段階で、垢ハクに強そうなイメージがわかないな

だめと断定してるというより、堅牢というイメージがないというか
こんなもんなのか？

200 ：名無しさん＠お腹いっぱい。：2009/08/23(日) 22:20:15 .net

ttp://icanhaz.com/net8931

これはなんでしょうか？
開いたら鬼のように、タスクバーが埋まってやばかったです。

201 ：名無しさん＠お腹いっぱい。：2009/08/24(月) 08:20:07 .net

ふつうにブラクラ ただし、ウイルス(スクリプト)のカスが埋め込まれているので、
まれにウイルスとして検出されるかも (vt 2 of 36)

202 ：名無しさん＠お腹いっぱい。：2009/08/25(火) 23:39:03 ?2BP(0).net

Internet Explorer Application Compatibility VPC Image の更新 URLは変わらず

203 ：名無しさん＠そうだ選挙に行こう：2009/08/30(日) 15:22:59 .net

http://loda.jp/vipjojogames/?id=89
ウイルスが入っているらしいんですが…

204 ：名無しさん＠そうだ選挙に行こう：2009/08/30(日) 18:28:19 .net

>>203
まさかこのスレでそのゲームを見る日が来るとは…
偶然にも俺そのゲームの愛用者つーか廃人ですｗ

肝心のvipjojogames.zipですが
diavolo_ver0_13.lzhオリジナルに比べかなりファイルは増えていますが
実行ファイル及び関連DLLはver0.13と同一
99%安全です
残り1%の危険性はプレイヤーへの肉体依存及び精神依存という事でｗ

205 ：名無しさん＠そうだ選挙に行こう：2009/08/30(日) 18:31:15 .net

おっと追記

同一とレスしましたがファイルサイズでは無く、MD5及びSHA1でチェックしました
つまり、より確実に安全と言う事です

206 ：名無しさん＠お腹いっぱい。：2009/08/30(日) 22:27:00 ?2BP(0).net

diabolo.zip は、HSP3.0ランタイムに反応している様子
HSP3.0 SDKライブラリをDLL化したものには反応しない どの部分に反応してるのか気になるｗ
onionsoft 側の告知: http://www.onionsoft.net/hsp/hsp3alert.html

HSPで書かれたイタズラプログラムがけっこうたくさん報告されるので、
もういっそ、ランタイムでペケにしちゃえ。ってことなのかな、と

いずれにしても、これだけ巨大なプログラムだと、完全な安全判定は難しいです
ネットワークプレイに対応してるとなると、サブコンポーネントの脆弱性の可能性とかも気になる
砂箱とか、そういうもんを使うのがよろしいかと。

// 自レス http://anchorage.2ch.net/test/read.cgi/occult/1243697652/725 のコピ

207 ：名無しさん＠お腹いっぱい。：2009/09/26(土) 18:14:46 .net

ttp://www.nextgamer.nl/nieuws/3281
ここをIEで踏むと、場合によってはパソコンをスキャンするようなフラッシュが出てくるのですが、
他の方はどうでしょうか？

208 ：名無しさん＠お腹いっぱい。：2009/09/27(日) 04:34:28 .net

http://www.dotup.org/uploda/www.dotup.org189508.exe
これの詳細わかりませんか？クリックしたんですがAviraも無反応で不安です。
ファイル名はcrack.45155.exeです。

209 ：名無しさん＠お腹いっぱい。：2009/09/27(日) 11:38:00 .net

>>208
残念ながら新種のウイルス（トロイ）です。
http://www.virustotal.com/jp/analisis/109fb84b50808da2057b0a967501861200e5ecfc6ba0145248ce8c6fcde0fe6b-1254016557

AVIRAには提出しておきましたが、今週末で休みなので、多分日本時間で月曜日の夜（ドイツが昼）まで
対応されません。

今の所、メジャー所で検出できるのはマカフィーとカスペなので、カスペのオンラインスキャンをやってみるのが
良いのかな？　マカフィーってオンラインスキャンあったっけ...？

210 ：名無しさん＠お腹いっぱい。：2009/09/27(日) 13:39:17 .net

>>207
当方では、FireFfoxでもIEでも、特にそういう画面は出てこないです。
毎回キャッシュをクリアして3回程アクセスしてみましたが、毎回同じ表示でした。

そのページのソース（検出 0）
http://www.virustotal.com/analisis/ecd4b6577a78ec8838c079f908485c8fc5f50ca42a5de70fdecfdcfd5c3cfbca-1254026011
表示されるフラッシュ（検出 0）
http://www.virustotal.com/analisis/f66fbcdd9ed939c1848077ce28f631df6a5e6d60d940455b1448eacc011f9f61-1254026170

何も感染していないか、もしくは閲覧者の環境をみて表示が変わるかだと思いますが、とりあえず
こちらでは怪しい所は確認できませんでした。

211 ：名無しさん＠お腹いっぱい。：2009/09/27(日) 23:19:59 .net

>>209
＞メジャー所で検出できるのはマカフィーとカスペなので
Pandaのことも時々でいいから思い出してあげてください（日本で知名度なくても欧米では御三家に次ぐメジャー）駆除できるオンラインスキャンもあります

＞マカフィーってオンラインスキャンあったっけ...？
確かあったはず
「マカフィー　オンラインスキャン」でググればすぐに出てくるはず

212 ：名無しさん＠お腹いっぱい。：2009/10/03(土) 03:28:27 .net

>>210
お礼の返事が遅くなってすみません。
ありがとうございます。

213 ：名無しさん＠お腹いっぱい。：2009/11/04(水) 10:31:09 .net

VLC Media Player Portable
http://downloads.sourceforge.net/project/portableapps/VLC%20Media%20Player%20Portable/VLC%20Media%20Player%20Portable%201.0.3/VLCPortable_1.0.3.paf.exe?use_mirror=jaist

解凍するとMcafeeが大ハッスルします。
有名なソフトらしいので、結構ヤバイと思うのですが・・・・

214 ：名無しさん＠お腹いっぱい。：2009/11/05(木) 09:42:58 .net

すんげー大量にファイルはいってるやつだろこれ…どの内部ファイルがひっかかるんだ？

どうせ誤検出だろ…とか８割思ってるが、そうかと思うと、ウイルス混入とかいうこともたまにある
なんでも見てみるもの

215 ：名無しさん＠お腹いっぱい。：2009/11/09(月) 14:48:07 .net

ネットゲーム板に貼られていました。
AguseもGredもURL上のZIPファイルには反応しないため
ウイルスかどうか判定することが出来なくて困っています。
こういうファイルをウイルスかどうか判定するには
やはりいったんダウンロードしないといけないのでしょうか？
下記サイトに火狐だと攻撃サイトとして自動的にブロックするため
ファイルも多分ウイルスだと思うのですが・・
確定できません。

ttp://infosueek.w53.okwit.com/MS-JP.ZIP
ttp://www.gamepaslog.com/MS-JP.ZIP

216 ：名無しさん＠お腹いっぱい。：2009/11/09(月) 21:18:17 .net

>>215
zipの中身。ちなみに、2つとも同じだった。
ttp://www.virustotal.com/jp/analisis/9da72ee0067e6c25c50082193d0b5892379e1be0b5b97921371299cc5828f386-1257768336 (32/40)

検出率高いんで、結構古いウイルスじゃないかと。

> こういうファイルをウイルスかどうか判定するには
> やはりいったんダウンロードしないといけないのでしょうか？

基本は、そうです。ダウンロード → 必要なら解凍 → VirusTotalに投げる、というのが常套手段ですね。

217 ：215：2009/11/09(月) 21:44:50 .net

>>216
お忙しい中、調べていただき
ありがとうございます

218 ：名無しさん＠お腹いっぱい。：2009/11/12(木) 17:08:26 .net

>>215
それって前のスレに出てきたんじゃねえの
かなり前にダウンロードしたことあったけど

219 ：名無しさん＠お腹いっぱい。：2009/11/21(土) 10:50:28 .net

ttp://maniax.dlsite.com/announce/=/product_id/RJ055814.html
ttp://maniax.dlsite.com/work/=/product_id/RJ037477.html

昨日この体験版をダウンロードした直後、PCの動作が異常になったのですが
これが原因なのか、そうでないのかが判りません
avastでチェックをしてもウイルスは検出はされませんでした
よろしくお願いします

220 ：名無しさん＠お腹いっぱい。：2009/11/21(土) 17:12:05 .net

>>219
視聴問題なし。
っつーか元のスレで聞けばいいのに。

221 ：名無しさん＠お腹いっぱい。：2009/11/21(土) 17:21:22 .net

>>220
専用スレ以外で疑いのあるファイルを貼るのはまずいと思ったので、ここで鑑定依頼をさせていただきました
回答ありがとうございました

222 ：名無しさん＠お腹いっぱい。：2009/12/01(火) 04:04:07 .net

どのスレに依頼したらいいのか困ったのですが
スレ違いでしたらごめんなさい

http://www.qopix.com/albums/pix/High%20Quality%20Desktop%20Wallpapers/Quiet_in_the_city_1920_x_1200_widescreen.jpg
この画像をPCに保存しようとするとトロイ検出されるんですが

ブラウザで見るのは普通に見れるんですが
反応したソフトはMicrosoft Security Essentialsです

223 ：名無しさん＠お腹いっぱい。：2009/12/01(火) 14:17:36 .net

>>222
Virus Totalの結果は？
ttp://www.virustotal.com/jp/

224 ：名無しさん＠お腹いっぱい。：2009/12/01(火) 17:58:53 ?2BP(0).net

末尾になんか、トップページみたいなデータ(HTML)がくっついてくるね、ここ
iframeタグみたいなのが埋め込まれた画像は、安全とは言えない。として、
一様に検出するのかもしれん

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?name=Trojan:Win32/Jpgiframe.A

だれか詳しい人に、末尾の、画像に関係無い部分をカットしてもらってください

225 ：名無しさん＠お腹いっぱい。：2009/12/01(火) 23:59:12 .net

>>222
http://www.virustotal.com/jp/analisis/2380c5bf171413a61687c6328fc0895ed1ee336c4474ae82694245bbbeae4407-1259679336
結果: 0/40 (0.00%)

226 ：222：2009/12/02(水) 11:18:28 .net

>>223
有難うございます、ファイル保存する前に消されてたので、保存方法変えながら試してみました
結果: 3/41 (7.32%)でした。
http://www.virustotal.com/jp/analisis/67254a944f13555fdedb44ac04756f801ae576b75ad965201e67a70749b824c5-1259717935

>>224
解説有難うございます。やはり怪しい部分は有るんですね

>>225
ファイル自体が違う物のようですね・・・・・

227 ：名無しさん＠お腹いっぱい。：2009/12/02(水) 11:40:44 ?2BP(0).net

有害とはかぎらないけど、あれじゃ多少有害と判定されても仕方ないｗみたいな。
そんな感じです

228 ：地雷確認：2009/12/17(木) 13:57:46 .net

>>すてＰＣで地雷を確かめることができます
ＰＣ交換してバックアップも終わったので地雷のレポートします。

リカバリも終わりＸＰのＳＰ３まっさらで地雷にアタックできます。
D:\にダミーデータも置けます。
お勧めの地雷を教えてください。有料サイトの試撃ちはだめ、アプリに関するもだめ
ｐ２ｐもソフトインストやっかいなのでだめ、ＵＲＬ直行が楽でいいです。
二回目以降は暇な時にリカバリ後となるため時間がかかります。ＳＰ１のつもり

229 ：名無しさん＠お腹いっぱい。：2009/12/17(木) 15:01:04 .net

煽り的に、これでも踏んでみろやｺﾞﾙｧ！ってネタはあんまないな
検出可否スレで適当に検体拾ってみる。報告・実況はこちらに。

230 ：名無しさん＠お腹いっぱい。：2009/12/17(木) 15:07:37 .net

あっぴん偉そうに言ってるけど
相沢と何も変らんなｗ

231 ：名無しさん＠お腹いっぱい。：2010/01/03(日) 16:55:28 ?2BP(0).net

昨年末に、>>6 の IE AppCompat VHD 更新。

ことよろです。

232 ：名無しさん＠お腹いっぱい。：2010/01/19(火) 15:00:51 .net

http://www1.axfc.net/uploader/Sc/so/74613.zip
先日、誤ってこのexeファイルを実行してしまいました。
この時、複数のウイルス・スパイウェア対策ソフトで調べた結果
PCからいくつかのトロイが検出され、これは駆除したのですが、
その後はカスペルスキーでのスキャン時に、C:\:kospre1.exe//exerb
を検出し、ここで毎回スキャンが進まなくなります。
また実際にこのパスを開いても該当ファイルが見当たりません。
これはどういったものでしょうか？よろしければ教えて頂きたいと思います。
上記はこの実行してしまったファイルをzip圧縮したものです。
DLパス・解凍パスともにvirusです。よろしくお願いします。

233 ：名無しさん＠お腹いっぱい。：2010/01/19(火) 15:20:42 .net

>>232
こっちのスレで聞いたほうがいいんじゃね？

【鑑定目的禁止】検出可否報告スレ13
http://pc11.2ch.net/test/read.cgi/sec/1258817697/

234 ：名無しさん＠お腹いっぱい。：2010/01/19(火) 15:41:00 .net

>233
そんなスレあったんですね、ありがとう
同じ内容でそっちに書いちゃっていいのかなあ

235 ：名無しさん＠お腹いっぱい。：2010/01/19(火) 16:07:08 .net

>>232
http://www.virustotal.com/analisis/e517889f4495ddf92b06aa1c85eb50fc97e933725a15f6f4114688dd97239e00-1263884591

ウイルスバスター、カスペルスキー、NOD32使っててこの実行ファイルを踏んだ人はご愁傷様
ってかカスペルスキーはプロアクティブディフェンスでも引っかからなかったの？

236 ：名無しさん＠お腹いっぱい。：2010/01/19(火) 16:30:31 .net

>235
普通に実行してしまいました
後からスキャンしてみると途中で止まりますね…
ログを見ると「潜在的に望ましくないソフトウェア」として
検出はしているようですが削除等は機能しなくて困っています。
winny等のp2pソフトは入っていないんですが
それでも安心はできないですよね

237 ：名無しさん＠お腹いっぱい。：2010/01/27(水) 09:50:26 ?2BP(0).net

antidojinてやつなのか。強制解凍にて確認。よくわからんが、常駐するんかこれ

カスペのエンジンにDoSを発生させてるんなら、それはそれで問題かと

238 ：名無しさん＠お腹いっぱい。：2010/01/27(水) 10:59:33 .net

>>235
ウィルスバスター2010は「不正コードが含まれている疑い」で
リアルタイム検索で正常にロックしますんで
バスター使いは大丈夫
一応検体提出完了

239 ：名無しさん＠お腹いっぱい。：2010/02/08(月) 09:31:11 .net

ttp://www.yahoo.co.jp/index.html

これＭＭＯ晒しスレに貼り付けてあったんですがウィルスでしょうか？
怖くて踏めませんのでよろしくおねがいします。

240 ：名無しさん＠お腹いっぱい。：2010/02/08(月) 13:37:34 .net

yahoo!のトップなんて、画像・広告まできちんと表示させることがないもんな
そういう意味では、マジレスのしようがない

241 ：名無しさん＠お腹いっぱい。：2010/02/08(月) 16:02:46 .net

>>240
すいません間違えです

ttp://gamepaslog.com/alone/6fENOPk/

これですが、踏んでしまいましたがノートンがブロックしました
だいじょぶでしょうか

242 ：名無しさん＠お腹いっぱい。：2010/02/08(月) 16:11:30 .net

一般サイトと、昔からある有害URLの抱き合わせです
参考に、一般サイトのほうのRSSを貼っておきます http://cccdiary.blog55.fc2.com/?xml
有害かどうかといったら、有害URLを抱き合わせてるんですから、有害です。

ブロックしたんだったら、なんとかなるんじゃね？という気もするし、
部分的にブロックが漏れて、貫通してるかも？という気もするし。

せっかくなので、帰ったらEXE踏んでみますけど、お急ぎでしたら、
アダ被あたり伺ってみてください >>2 (当スレと直接の連携はありません)

243 ：名無しさん＠お腹いっぱい。：2010/02/08(月) 16:16:41 .net

>>242
すいませんよろしくおねがいします。

244 ：名無しさん＠お腹いっぱい。：2010/02/08(月) 17:58:05 ?2BP(0).net

見た感じ、h.exe, x.exe があり、x.exe を落とせました
動作の一例ですが、簡単に確認できる範囲では、俺の環境では、IEのアドオンに、
Thunder Browser Helper ってのが増えてるのが確認できます

感染していないことを証明することは出来ませんが、
Thunder Browser Helper ってのが増えてれば、何か居ることは判ります

これは、system32 にあり、XunLeiBHO のような名前の65KB のPEファイルです
Thunder Browser Helper は、今回ウイルス固有とは限らないようです ソースはぐぐる。
adware と判定しているセキュリティソフトもあるようです

ほかに、drivers に6KB, system32 に94KB, 52KB, 52KB のPEファイルが発生しました

245 ：名無しさん＠お腹いっぱい。：2010/02/11(木) 01:04:37 .net

>>244
お礼おくれました
ありがとうございました

246 ：名無しさん＠お腹いっぱい。：2010/02/15(月) 21:21:42 .net

http://labs-uploader.sabaitiba.com/virus/download/1266236334.zip

pass infected

たぶん偽セキュリティーソフト

247 ：名無しさん＠お腹いっぱい。：2010/02/16(火) 11:07:50 .net

>>246

ttp://www.virustotal.com/analisis/6cfa7e398e924c7f2f555085df3a7c12111630584006c2ce7a616503c75b110f-1266285974

検出名からして偽セキュリティソフトで間違いない

248 ：名無しさん＠お腹いっぱい。：2010/02/17(水) 12:35:52 ?2BP(0).net

実行してみました 偽セキュリティソフトで間違いないようです

・2.5MBの本体を取りに行きました
・ときどき、インチキ感染表示とともに、カスペでおなじみ、豚の悲鳴みたいな音がしました
・少なくとも、ダウンローダは、RunOnce, 本体は、Run にキーをつくりました
・感染に必要な？(未解析)一時サービスが作成され、残骸が残りました
・一定時間おきに、動作をどこかに通報していました
・hostsを書き換えてしまいました 以下のホストを含みます
google, yahoo, bing, www.google-analytics.com,
safebrowsing-cache.google.com, urs.microsoft.com
・IEの検索サイト一覧に、findgala.com が増えました
ひとつ騙されてみたところ、*.zedo.com に飛ばされました(一例)

249 ：名無しさん＠お腹いっぱい。：2010/02/17(水) 16:21:32 .net

>>246-247
http://www.virustotal.com/jp/analisis/6cfa7e398e924c7f2f555085df3a7c12111630584006c2ce7a616503c75b110f-1266332986

検出数がかなり増えたな
17/41 (41.46%) -> 22/40 (55.00%)

250 ：名無しさん＠お腹いっぱい。：2010/02/23(火) 04:48:02 .net

ウイルスらしいです。検証よろしくお願いします
ttp://www1.axfc.net/uploader/Sc/so/85742

251 ：名無しさん＠お腹いっぱい。：2010/02/23(火) 07:12:32 .net

どとねとだ。。

無理しないで、本家のやつでよくないか、こんなの
http://www.stealthnet.de/download.php

svnとか行ってきてはどうか

252 ：名無しさん＠お腹いっぱい。：2010/03/03(水) 10:23:55 ?2BP(0).net

touch

253 ：名無しさん＠お腹いっぱい。：2010/03/10(水) 08:50:16 .net

http://labs-uploader.sabaitiba.com/virus/download/1268178348.exe

virus

http://www.virustotal.com/jp/analisis/c5fc2729a2cbb151d1c02acaeb55e8d02c7e7370ba7012e0924ed8b43e1fdb56-1268178079

254 ：名無しさん＠お腹いっぱい。：2010/03/25(木) 12:34:57 .net

http://gamepaslog.com/rosolo/index-php/
というURLを間違えて踏んだのですが、
ウィルスバスターのフィッシング詐欺対策ツールがページを弾いて表示されませんでした。

不安だったのでバスターとBitDefenderでスキャンをかけてみましたが何も検出されませんでした。

この場合はセーフでしょうか？

255 ：名無しさん＠お腹いっぱい。：2010/03/25(木) 15:37:26 .net

>>254
マルウェアですな。バスターでは検出できないようですので
オンラインスキャンを受けることを推奨します。
食え悪しくは質問スレで。

256 ：名無しさん＠お腹いっぱい。：2010/03/25(木) 16:51:38 .net

>>255
質問スレってどこにあるのでしょうか…orz
とりあえずBitDefenderのオンラインスキャンとカスペルスキーをインストールしてスキャンかけましたが、何も検出されなかったです

257 ：名無しさん＠お腹いっぱい。：2010/03/26(金) 20:23:32 .net

>>256
じゃあバスターが防いでくれたんでしょう、フィッシングの方で。
心配する必要はありません。

258 ：名無しさん＠お腹いっぱい。：2010/03/31(水) 03:33:00 ?2BP(0).net

IE App Compat VHD 更新。URLはおなじ。

259 ：名無しさん＠お腹いっぱい。：2010/04/10(土) 18:48:31 .net

http://labs-uploader.sabaitiba.com/virus/download/1270892417.zip

動画を再生しようとしたらコーデックをインストールしろの表示がでた

パス　infected

260 ：名無しさん＠お腹いっぱい。：2010/04/11(日) 11:25:08 ?2BP(0).net

インチキセキュリティソフト(単体)のようでした
インチキコーデックをインスコしている様子はありませんので、無害でも無益です
HKLMのrunに加えて、HKLM/Software に数字の名前のゴミキーができました

砂箱よけらしきコードが入っていました
砂箱のバグ(エミュレーションレイヤが適切なエラーコードを返さない)を突いているようです
バグはバグなので、砂箱ベンダに報告の見込み。

261 ：名無しさん＠お腹いっぱい。：2010/04/11(日) 14:08:18 .net

>>259-260 乙です。
ttp://www.virustotal.com/analisis/ffe3b27c1067c085a535f2ab43e4b22232321044ac281aa43b1af0d51388d457-1270961881
検出 9/38

最近のはサンドボックスや仮想ＰＣ避け（解析妨害）が入っていて、実機のみ感染というタイプもあるので、
無害ってことは無い気がします。（仮想PCとかだと、感染しないで終了して、無害に見せかける）

262 ：名無しさん＠お腹いっぱい。：2010/04/11(日) 18:47:58 .net

どっちにしても訳分からんexeを実機で実行するような勇気も趣味もないなwww

263 ：名無しさん＠お腹いっぱい。：2010/04/11(日) 19:38:08 ?2BP(0).net

無害でも、というのは、このスレらしいところで、
タスクマネージャから落とせる程度の、びっくりさせるだけなマルウェアなら、
有害のうちに入らない。って人が結構いるためです

ま、常識的に考えて、有害ですよね

264 ：名無しさん＠お腹いっぱい。：2010/04/11(日) 20:28:19 .net

じゃあもしかしてNew AntiVirusは無害になっちゃうのですか？
http://labs-uploader.sabaitiba.com/virus/download/1270985252.zip

パスinfected

265 ：名無しさん＠お腹いっぱい。：2010/04/11(日) 20:43:20 .net

こいつも何か怪しいな
http://download.cnet.com/Adware-Removal-Software/3000-8022_4-10908666.html?tag=mncol

ファイル自体もこんな感じで
http://www.virustotal.com/jp/analisis/25c2e8e2659a1008e3af230e01f707743ec89cece705848940f8f0d716b3f817-1270985960

実行すると明らかにインチキくさいスキャン画面がでてこれ
http://www.virustotal.com/analisis/bf5ee73834203dee5f32d7968c36f21eea3b403b503aaa494d3d6a6e71007303-1270985826

をダウンロードさせようとする。しかももっと調べるとこれとよく似たUIのソフトがおいてある。
ただの誤検知、偶然でいいのか、もしくはdownload.comがまともに審査してないのか、、、

266 ：261：2010/04/11(日) 20:58:44 .net

>>264 乙です。
ttp://www.virustotal.com/jp/analisis/f283506694e644c0173c5a750eddb037f62e7ef9a7087a6d584e18957a38ea94-1270985986
検出 19/39

ん〜、それは流石に無い気がする。つか、現時点でベンダーの半分は黒判定してますね。

ところで、ちょっと面白いと思ったのが、>259,261も>264もBitDefenderは検出しないのに、Bitエンジン＋αのF-Secはきっちり検出するのね。
>261ではAvastもBitもスルーするから当然G DATAもスルー。F-Secもスルーしても良さそうなのに...


あと、>264はKasperskyがスルーぶっこきやがったんで、提出させていただきました。検体提供どーもです。

267 ：261：2010/04/11(日) 21:33:42 .net

>>265 乙です。
それ、胡散臭すぎ...(苦笑

とりあえず、Kasperskyの他に、AntiVir，Avast，AVG，BitDefender，MicrosoftのFree組5社に送ってみた。
（Adware-Setup.exe , setupxv.exeの両方)

判定結果くれない所多いから、1週間位したら、再度VTにかけてみますか。

268 ：261：2010/04/11(日) 22:05:08 .net

>>267 補足
理由はわからんけど、Microsoftのサーバーが検体受け取りを拒否して setupxv.exeが提出できなかったんで
Microsoftへの提出はAdware-Setup.exeのみです。（他のAvastとかは2個とも提出）

269 ：261：2010/04/11(日) 22:35:47 .net

>>265,267-268 の件
まいど。

ちょっと調べてからコメント書けば良かったんだけど、それ、MalwareRemovalBot と言って海外じゃ結構有名らしい。
（検索すると結構出てくる）

→ ttp://forums.malwarebytes.org/index.php?showtopic=34126&mode=threaded&pid=173227　（Malwarebytesの解説）

有名なわりに検出率低いので、多分、最近の亜種か改変版じゃないかと...

270 ：名無しさん＠お腹いっぱい。：2010/04/12(月) 09:18:41 ?2BP(0).net

AutoPlay Media Studio てののランタイムと、フォント。
autorun.cdd にかかってる保護はどってことなくて、
独自部分は、たぶん4KBくらいしかないです(圧縮時)

特に肝心なのは、この部分かと。

> File.OpenURL("http://www.registry-fix-softwares.com/rf/sh/s.html",SW_SHOWNORMAL);

cnet もほっとくなよ、こんなもん(ｗ
無害と強弁したとして、ただのスパムアプリじゃんｗ

271 ：名無しさん＠お腹いっぱい。：2010/04/12(月) 09:38:06 .net

>>264
常識的に考えて、IEのアップデートがどとねととか、おかしい罠ｗ (普通はわからんにしても)

> C:\Users\Sergiu\Documents\Visual Studio 2008\Projects\Antivirus2010\Antivirus2010\obj\Release\Antivirus2010.pdb

Sergiu って誰よｗ

NT6- で開発か。インチキ集団も金持ちだなあｗ

272 ：名無しさん＠お腹いっぱい。：2010/04/12(月) 21:37:18 .net

コード読んで解析できるってみんなすごいなぁ...

273 ：名無しさん＠お腹いっぱい。：2010/04/12(月) 22:47:46 .net

>>264
こいつ、元ネタはUser AntiVirusっていうらしい。www
もともとUserって書いてたところを消してNEWに書き換えただけみたいだ。
比べていたら分かるが、それ以外何一つ変わってないぞこれwww

274 ：名無しさん＠お腹いっぱい。：2010/04/12(月) 23:20:56 ?2BP(0).net

setupxv も実行してみた
download.2squared.com から検出DBらしきものを拾ってくるのはいいんだが…

> Server: Apache
> Last-Modified: Fri, 12 Mar 2010 17:23:43 GMT

どんだけ更新してないんだよｗ

まさか、鯖が1ヶ月ズレてるとかないよな

> Date: Mon, 12 Apr 2010 12:XX:XX GMT

それはなかった

275 ：名無しさん＠お腹いっぱい。：2010/04/14(水) 19:40:10 .net

Welcome back!
各ファイルの調査結果は以下のとおりです。

ファイル ID ファイル名 サイズ (バイト): 結果
25647073 Adware-Setup.exe 2.79 MB MALWARE


各サンプルに関する詳細レポートは以下のとおりです。

ファイル名 結果
Adware-Setup.exe MALWARE

ファイル 'Adware-Setup.exe' は、'MALWARE' と判定されました。 この脅威は、弊社アナリストにより TR/Agent.2930168 と命名されています。
"TR/" という用語は、データの内容を密かに探ったり、プライバシーを侵害したり、システムに無用の変更を加えたりする機能を備えた、トロイの木馬を指します。バージョン 7.10.06.71 以降、ウイルス定義ファイル (VDF) に検出用のデータが追加されます。

276 ：名無しさん＠お腹いっぱい。：2010/04/15(木) 05:24:47 .net

http://upup.s10.x-beat.com/src/oni15223.zip.html

infected

http://www.virustotal.com/jp/analisis/209c71596b6088086aaa211a5e3042eebd72551a252279c1266f5a268bd31ede-1271276310

中身は同じインチキソフトなのに検出数が違うのはなぜですか？

277 ：276：2010/04/15(木) 05:41:26 .net

書き忘れました。２５９と中身は同じインチキソフトです。

278 ：名無しさん＠お腹いっぱい。：2010/04/15(木) 14:05:56 ?2BP(0).net

本質的には同じもののようですが、解析よけ(パッカ)の先頭部分が異なるようです

パタン型検出エンジンとの攻防の結果でしょうかね

279 ：名無しさん＠お腹いっぱい。：2010/04/24(土) 18:38:24 .net

http://www.uploda.biz/ti2009j.rar
このアプリが反応するんだけど他の人はどうですか？

280 ：名無しさん＠お腹いっぱい。：2010/04/26(月) 00:08:06 .net

誘導された先からたどり着きました
ttp://www.sexuploader.com/?d=L8HFR1A1
ｅｘｅなのですが、実行しても大丈夫でしょうか
中身はエロ動画だと思います

281 ：名無しさん＠お腹いっぱい。：2010/04/26(月) 10:01:01 .net

先頭1MBのみ確認、ぱっと見、dgcaの自己解凍書庫ではないでしょうか
自己解凍機能を使用する必要はありません、信頼できるexeで解凍しても同じこと

で、解凍した中身については不関知
数は少ないが、腐った動画ファイルってのもないではないわけだし

山野のファイルを拾って楽しむなら、爆弾踏んでも壊れない環境を構築すること

282 ：名無しさん＠お腹いっぱい。：2010/04/26(月) 11:06:32 .net

>>279
実質404 転載よろ

283 ：名無しさん＠お腹いっぱい。：2010/04/26(月) 17:58:13 .net

>>281
ありがとうございます
開いて安全か分からないって事ですよね、とりあえず放置する事にします

284 ：名無しさん＠お腹いっぱい。：2010/04/27(火) 09:14:35 .net

やべぇ、踏んじまった。
http://www.dotup.org/uploda/www.dotup.org842754.swf.html
kiken
広告が大量に開いたが、これって？
virustotalでも剣質0なんて・・・
ttp://www.virustotal.com/jp/analisis/83774aef936633c1c49e2300b2ce378b5ab9faa0c57c982548bb893a580342d1-1272323930

285 ：名無しさん＠お腹いっぱい。：2010/04/27(火) 21:29:47 ?2BP(0).net

17個ものアフィURLを開いた上で、ゲームキャプ動画かなんかが少し流れる
Flashのバージョンによっては、px.a8.net につないでいいですかと聞いてきます
無害でも非絵炉 どっちかっていうと、ブラクラかも(ｗ

参考: 設定変更URLはこちら
http://www.macromedia.com/go/settmgr_locsecy_ja_user

286 ：名無しさん＠お腹いっぱい。：2010/05/03(月) 10:12:44 .net

http://upup.s10.x-beat.com/src/oni15279.zip.html

12345

287 ：名無しさん＠お腹いっぱい。：2010/05/03(月) 13:53:21 .net

これと同じ ttp://sarbash.com/VIDEOSCREEN.EXE

ちょっと起動しただけでは、何の変哲もないようですが…。
>>2 のとおり、完全な安全判定というのは、ありえないという考え方なので、
判定: 不明

288 ：名無しさん＠お腹いっぱい。：2010/05/04(火) 18:13:28 .net

http://www.dotup.org/uploda/www.dotup.org860214.zip.html

infected

ノートンのダウンロード検査では要確認

http://www.virustotal.com/jp/analisis/21363aa589ce2c7db28b40c1ca4025fb51c6532daf308e1a29a4ff1d0097a23e-1272963573

289 ：名無しさん＠お腹いっぱい。：2010/05/04(火) 21:04:50 .net

これと同じ http://www.streamingstar.com/download/HiDownloadPlatinum.exe

winpcapを同梱してるので、警戒表示が出ているのかもですね
ネットワークを監視して、ストリーミングキャプチャのきっかけにしたいのだと思いますが、
セキュリティソフトとしては、たしかに、あらゆる通信が傍受されかねないと、言えなくはない

安全確保には、仮想PCをお使いください(※危険とは限らない)

なお、起動直後に、ttp://www.streamingstar.org/news.ini を見に行きました

290 ：名無しさん＠お腹いっぱい。：2010/05/09(日) 16:10:17 .net

ttp://ux.getuploader.com/rasukaru4623/download/38/GhostReplay.exe


お願いします。

291 ：名無しさん＠お腹いっぱい。：2010/05/09(日) 17:30:22 .net

>>290
http://www.virustotal.com/jp/analisis/56b346346634e3614bd4b219b953216c3c618fd78b22cad9b00035cba1e2defc-1273393742

292 ：名無しさん＠お腹いっぱい。：2010/05/09(日) 22:00:02 ?2BP(100).net

単体では動作確認が難しいです(xfi.dllへのスタティックリンクあり)
warezのようですので、簡単な確認のみ: 実行時ダンプしたものを投げると、
ヒューリスティックでW32/Downloader.K.gen!Eldorado などの判定が一部に出ます
http://www.virscan.org/report/859aefb2f2f2f4909c1183c0bfdfa147.html
よく出る誤判定のようなのですけど、そのへんはなんのこっちゃわからんです

いずれにしても、これは提供元にご相談ください

----
※vtが人気ですけど、vtがなんか重くてつながらなかっただけ。

293 ：名無しさん＠お腹いっぱい。：2010/05/10(月) 23:42:00 .net

http://www.dotup.org/uploda/www.dotup.org876365.zip.html

このスクリーンセーバは信用できますか？

294 ：293 ：2010/05/10(月) 23:44:40 .net

追記　パス　infected

295 ：名無しさん＠お腹いっぱい。：2010/05/11(火) 08:26:41 ?2BP(100).net

MyWebSearch系. コテコテのadwareです
２ちゃん的には、回避推奨になるんじゃ。

インストールしたバイナリをうｐしたもの:
http://www.virustotal.com/analisis/b18b996f535ebc8850ffb03c5488f66cedddef4b1189b4a064fc85d84502c243-1273533530

で、肝心のスクリーンセーバーについては、
暗号化された(推定)動画ファイルを使用したもののようです

例) http://ak.scr.imgfarm.com/3dan/lg/af_fun_brain.wmv

296 ：名無しさん＠お腹いっぱい。：2010/05/11(火) 08:33:21 ?2BP(100).net

SWFのも、あった
例) http://ak.scr.imgfarm.com/3dan/lg/anim9.swf 【安全未確認】

297 ：名無しさん＠お腹いっぱい。：2010/05/17(月) 20:57:32 .net

http://toku-strawberry.net/Sn3/zzx/op6596.rar.html

念のためにDLkey、解凍共にvirusでパスかけてあります。

タイトルと無関係に変な動画を再生する偽装exeですが、
そのほかに常駐等、裏で悪さをしてないかちょっと気になったもので･･･

ちなみにノートンは無反応でした。

298 ：名無しさん＠お腹いっぱい。：2010/05/17(月) 23:30:53 ?2BP(100).net

yaojing.exe がラップされています
島は指名回避されているようです

http://www.virustotal.com/analisis/75821aef5c885b966c8090f1578b6cadd2193ed5108d982264e721cb960c0c11-1274106155

これは、検出可否スレに送っておきます

299 ：名無しさん＠お腹いっぱい。：2010/05/18(火) 00:36:31 .net

>>298
どれの話？

300 ：名無しさん＠お腹いっぱい。：2010/05/26(水) 11:29:28 .net

ttp://loda.jp/script/?id=465.zip

最近ネトゲのスレッドに貼り付けられています
迷惑中華でしょうか？

301 ：名無しさん＠お腹いっぱい。：2010/05/26(水) 14:02:04 .net

ttp://aspstone-co.com/blog/

ついでにこれもです

302 ：名無しさん＠お腹いっぱい。：2010/05/28(金) 00:28:37 ?2BP(100).net

>>300
ウイルスらしきものがまざってます
http://www.virustotal.com/analisis/9031633182ac6fedf5b2af5bab340593a2dd63b2f46aac768058211399d23d33-1274651952

>>301
ちゃんとみてませんが、ウイルスらしきURLがまさってます
数日前に、vtに出されてました
http://www.virustotal.com/analisis/9e3f92975970907ac420bc6152f58e462319439431472620fb283a77ca2fb29e-1274497315

ちゃんと最後まで踏んでませんけど、PC有害でいいと思います

303 ：名無しさん＠お腹いっぱい。：2010/05/28(金) 00:42:38 .net

>>300
http://www.virustotal.com/jp/analisis/b17eef411be97149ca10ec0475bededae0a4f23046840ae67e56c36120898bc7-1274973917
トロイですね。　検出 34/41で、日本でよく使われているソフトだとフリーも含めて全部検出するから、特に問題ない気もするけど。

つーか、逆に、こんな検出率高いものに感染するような人は、正直何をやってもダメでしょ。

>>301
なんか変なスクリプトが仕込まれてる。カスペのサンドボックス経由で踏んだらトロイが3個検出されて全部遮断。

google safe browsingも真っ赤。
　http://safebrowsing.clients.google.com/safebrowsing/diagnostic?client=Firefox&hl=ja&site=http://aspstone-co.com/blog/
NortonSafeWebも真っ赤。
　http://safeweb.norton.com/report/show?url=http%3A%2F%2Faspstone-co.com%2Fblog%2F&x=8&y=11

ま、近寄らない方が良いですね。専ブラ使っているなら、両方ともブラクラ登録その他しておきましょう。

304 ：303：2010/05/28(金) 00:46:39 .net

おおっと、>302さんとかぶった。　質問出てから時間たってるから、今更かぶらないと思ったら意外。
まあ、世の中こんなもんかも。（苦笑

305 ：名無しさん＠お腹いっぱい。：2010/05/28(金) 00:52:21 ?2BP(100).net

Zｗ

306 ：名無しさん＠お腹いっぱい。：2010/05/28(金) 18:31:28 .net

ttp://aimeblog.com/aion/id=4652.jpg

偽装っぽいのですが

307 ：名無しさん＠お腹いっぱい。：2010/05/28(金) 18:34:36 .net

ttp://aimeblog.com/down/uproda016258.jpg

これも偽装っぽいです

308 ：名無しさん＠お腹いっぱい。：2010/05/28(金) 19:31:47 .net

>>306
ttp://www.virustotal.com/jp/analisis/735b8789512dbca4e4d2714e70029be9c9473cc38d6a939d346a82b91cac98ce-1275041842

309 ：名無しさん＠お腹いっぱい。：2010/05/28(金) 23:42:38 .net

>>307
IE6/7の脆弱性攻撃へのリンクがあります。（画像が表示されている裏で攻撃を受ける）
　http://www.virustotal.com/jp/analisis/4fc1b9e8b08cc8993adcb518c8213e03a300b30311faf987b1e97e568f6e7f26-1275056864

対応していないベンダーは危険かも...というか、Nortonとバスターが未対応とか、結構危険かな。

ただし、IE8（SmartScreen）もFirefox，Chrome（Google Safe Blowsing）も、どちらもブラウザがブロックしてくれます。
IE6/7の使用者で、未対応ベンダーのソフトを使ってる人はヤバイと思います。

ちなみに、CVE-2010-0806の解説（毎度おなじみso-netさん）
　http://www.so-net.ne.jp/security/news/view.cgi?type=2&no=2192

310 ：名無しさん＠お腹いっぱい。：2010/05/30(日) 20:53:11 .net

踏んだ奴がテンパってるらしくて鑑定スレでよく見かける
ttp://blog-imgs-33.fc2.com/u/u/1/uu1166/z003.htm
ttp://www.russianbare.com/images/watermark.php?img=en/nudist_gallery/download/IMG_0388.jpg
悪乗りしたバカが他スレにも転載してやがる

311 ：名無しさん＠お腹いっぱい。：2010/05/31(月) 00:51:14 .net

>>310
私は、そのURL鑑定を依頼した本人です。
私がパニックになって複数の鑑定スレで該当URLの鑑定依頼をしてしまったため、
そのレスが愉快犯に目をつけられてしまったらしく、該当URLの直リンを鑑定スレとは関係のない
他スレに転載されてしまいました。罠のように貼られていました。
私の軽率な行動が起こしてしまった事態です、申し訳ありません。
私は当初セキュリティ板の存在を知らず、画像鑑定スレで依頼をしてしまったため、リンク先の
画像の鑑定はしていただけたのですが、ページ自体に何か仕込まれていないかの答えが得られなかったのです。

312 ：311：2010/06/02(水) 07:51:49 .net

>>310の上のほうのURLは中国の最低なアダルトサイトなので開かないほうがいいです。
私が他鑑定スレで鑑定依頼したところ、一応このページ自体には仕掛けはないとのことでした。
下のほうのURLは海外のヌーディストサイトの直リンよけページみたいです。
私がそのURLを踏んだのはttp://changi.2ch.net/test/read.cgi/x3/1272453796/の45レス目と46レス目で
クリックした後不安になり、該当URLをグーグル検索したのですがヒットしたのは元サイトと上記のスレだけでした。
（現在は私が鑑定スレにURLを貼ったのでそちらもヒットしますが）
不思議なのは、２ちゃんでよくある嫌がらせの騙しリンクであれば過去にも貼られているはずなのにその形跡がなかったことです。
なぜ突然このURLが上記のスレに貼られたのか宣伝のために貼ったのか意図が読めなくて気持ち悪いですね。
どうせ直リン先に仕掛けはなくてもページを進んだ先に詐欺リンクがありそうなサイトですが。

313 ：311：2010/06/03(木) 22:05:11 .net

問題解決しました。すでにiframeが消滅しているため、このページに限っては大丈夫みたいです。
しかし、こんな不快な騙しリンクを貼るなんて何者だろうと思い、類似URLを検索したら結構ヒットしますね。
貼ってる連中のほとんどが単発IDで微妙な日本語で書き込んでるので外人でしょうね。
初心者質問スレではお騒がせして申し訳ありませんでした。

314 ：311：2010/06/04(金) 15:48:45 .net

スレのみなさん申し訳ありません。
>>310に書かれているURLはウイルスではなく、ただの倫理的に問題のあるアダルトサイトだとわかったため
スレ違いだと思い削除依頼したのですが、依頼方法に誤りがあったため、受理されませんでした。
申し訳ありませんでした。今後はマルチポストにならないように気をつけます。

315 ：名無しさん＠お腹いっぱい。：2010/06/04(金) 23:10:10 .net

はっきり言っておいてやろう



もちつけｗｗｗｗ

316 ：311：2010/06/04(金) 23:57:30 .net

>>315さんレスをいただき、ありがとうございます。
今は、URL鑑定の結果が分かり、落ち着いているのですが、罠リンクを踏んだ当時は
冷静さを欠いてしまい、早く答えがほしくて（別板で質問すればマルチにはならないだろう）と、
複数の板で同様の質問をしてしまいました。ごめんなさい。
ただ、冷静になって考えたら、多くの板にこの危険なリンクを貼ってしまって、
貼り方だってもっと安全なやり方があったのにただ単純にURLを書いてしまって
後悔ばかりが出てきて言い訳がましい書き込みを連投してしまいました。
本当にすいませんでした。

317 ：名無しさん＠お腹いっぱい。：2010/06/12(土) 12:03:40 .net

http://upp.sakura.ne.jp/src/upp37240.zip.html

infected

怪しいと思います。どうでしょうか？

318 ：名無しさん＠お腹いっぱい。：2010/06/12(土) 16:26:59 .net

実行すると一応書いてありますが、http://for-ever.us/ のラッパのようです
直接 for-ever.us に行けばいいのではないかと。

for-ever.us が信用出来るかどうかは不明です
一応、送信できました。というwebページもわずかにありますが、
評価は定まっていないと見るべき

319 ：名無しさん＠お腹いっぱい。：2010/06/17(木) 02:57:06 .net

http://firestorage.jp/download/8b720392fddd6b1de2293cc22072ef5f635b2bdb

フリーゲーム

320 ：名無しさん＠お腹いっぱい。：2010/06/17(木) 09:42:09 ?2BP(100).net

とりあえず、これと同じ
http://d3.spintop-media.com/files/JewelMatch2Setup.exe

展開すると、バカでかいEXEと残りに分けられる
EXE【以外】をとりあえずvtに投げておく
http://www.virustotal.com/analisis/c0d68afd5aacdd322cce29c0c5bc7ae2808c0265f329b7f6472db5176a2926a8-1276735118


今はここまで。働いてくる
clamav のPUA.Packed.MinGWGCCDLL.2xx がどのくらいのものかは、たった今はわからない

321 ：名無しさん＠お腹いっぱい。：2010/06/17(木) 10:55:05 .net

>>320
多忙のなかありがとうございます。
配布元HPにはNOスパイ　NOアドと書いてあったので
ゲームを実行しようと思ったのですが少し心配になったので
ここに貼らさせていただきました。

322 ：名無しさん＠お腹いっぱい。：2010/06/18(金) 09:05:09 ?2BP(100).net

結局、ちょっとプレイしてみた感じでは、異常はなさげでしたが…

…そんなことより、これ60分の評価版ですよ

323 ：名無しさん＠お腹いっぱい。：2010/06/22(火) 10:55:45 .net

http://www.dotup.org/uploda/www.dotup.org980586.zip.html

2010 fifaワールドカップのサイトで落とした怪しいファイル

infected　

324 ：名無しさん＠お腹いっぱい。：2010/06/22(火) 13:45:26 .net

アウトの気がする、正規品が、こんだけややこしいローダを組む理由がわからない

が当方環境でうまく実行できないのでいまんとこ保留扱い

325 ：名無しさん＠お腹いっぱい。：2010/06/22(火) 19:50:35 .net

>>323
AviraでもカスペでもDropper扱いされるね。

326 ：名無しさん＠お腹いっぱい。：2010/06/30(水) 10:11:07 .net

http://www.dotup.org/uploda/www.dotup.org996457.zip.html


akb48

http://www.virustotal.com/jp/analisis/750b1e05aef11a792d46444547df3763962eb31a1fcb88941b21252d391c232c-1277859777

327 ：名無しさん＠お腹いっぱい。：2010/06/30(水) 15:23:32 ?2BP(100).net

ペイロードが3つ入っていました 検出可否スレに送ります

http://pc11.2ch.net/test/read.cgi/sec/1258817697/541

328 ：名無しさん＠お腹いっぱい。：2010/07/07(水) 11:25:07 .net

このファイルの鑑定をお願いします。

http://www.dotup.org/uploda/www.dotup.org1012566.rar

329 ：名無しさん＠お腹いっぱい。：2010/07/07(水) 14:45:50 .net

keygenとメガデモらしきEXE

330 ：名無しさん＠お腹いっぱい。：2010/07/12(月) 16:06:18 .net

http://www.dotup.org/uploda/www.dotup.org1023059.zip.html

infected

331 ：名無しさん＠お腹いっぱい。：2010/07/12(月) 21:33:11 ?2BP(100).net

>>330

>>326 の亜種です。ウイルスということでいいと思います

ペイロードが3つ入っていました 検出可否スレに送ります
http://pc11.2ch.net/test/read.cgi/sec/1258817697/545

書き忘れてましたが、>>326 とも、実行が最後まで行かなかったため、
「で、結局これ何」というのは、うまく答えられません
何かのパッチのような説明書が付いてましたけど。。

勘で言えば、ウイルス100% 例によって、釣りバイナリではないかと。

332 ：名無しさん＠お腹いっぱい。：2010/07/16(金) 08:28:24 .net

よろしくお願いします。
http://www1.axfc.net/uploader/P/so/73931.zip
http://www1.axfc.net/uploader/O/so/129507.zip
パスワードは12345です。
ウイルスかもしれないというレスがあり、怖くて解凍できません。

333 ：名無しさん＠お腹いっぱい。：2010/07/16(金) 09:00:24 .net

150MBか。でかいな。

とりあえず落としておけば？腐ってたら、開封しなきゃいいのさ
っていうのも、600名近くDLがあり、DL自体は無難げと推定できる

DLしかけて、仕事してくる

334 ：名無しさん＠お腹いっぱい。：2010/07/16(金) 11:49:34 .net

とりあえずexeらしきものは見つからず。。

335 ：332：2010/07/16(金) 22:47:53 .net

ありがとう御座います。
ウイルスは無し、ということで宜しいでしょうか？
あまりPCに詳しくないのですが、ウイルスは基本的にexeの拡張子が
付いている、ということでしょうか？

336 ：名無しさん＠お腹いっぱい。：2010/07/16(金) 23:42:13 .net

名前にexeとついてなくても、exeだったりすることは多々あります
exeでなくても、exe同等の効果を発揮する書類もあります
ただ、最近の傾向としては、うｐろだにおかしなものが混ざってるときは、
exeであることが多いと思います

337 ：332：2010/07/16(金) 23:47:32 .net

ありがとう御座います。
うーん、なかなか難しいんですね＾＾；
解凍するのはやめようかな。
なんか気になって精神的に悪そうなので。

338 ：名無しさん＠お腹いっぱい。：2010/07/17(土) 16:26:42 .net

http://www.dotup.org/uploda/www.dotup.org1032434.zip.html


virus

339 ：名無しさん＠お腹いっぱい。：2010/07/18(日) 19:49:06 ?2BP(100).net

exe以外は釣りバイナリらしいです 破損アーカイブ。今回は追求してません
exeは、何かのインストーラに見せかけたダウンローダの模様
簡易実行でファイルリストが落ちてきたので、検出可否スレに送りました

http://pc11.2ch.net/test/read.cgi/sec/1258817697/552

340 ：名無しさん＠お腹いっぱい。：2010/08/07(土) 12:18:54 .net

http://www.dotup.org/uploda/www.dotup.org1077033.zip.html

infected

ワンクリ詐欺サイトから落としたファイルだけどGDATAは無反応でした。

341 ：名無しさん＠お腹いっぱい。：2010/08/08(日) 09:02:32 .net

(ワンクリ) ttp://adult-smsexadult.com/pc/page/set_reg.php に飛ばされるだけの.htaファイル
どっちかといえばURLで規制されるべきもので、
ファイルが有害に検出されなくてもあまり文句は言えなさげです

342 ：名無しさん＠お腹いっぱい。：2010/08/11(水) 01:46:50 .net

>>340
aviraからの返答


Thank you for your email to Avira's virus lab.
Tracking number: INC00577344.

A listing of files alongside their results can be found below:
File ID Filename Size (Byte) Result
25841829 movies_adult.hta 1005 Byte MALWARE
25843111 set_reg[1] 1.91 KB MALWARE


Please find a detailed report concerning each individual sample below:
Filename Result
movies_adult.hta MALWARE

The file 'movies_adult.hta' has been determined to be 'MALWARE'. Our analysts named the threat HTML/RedirecＥ

The term "HTML/" denotes a script-virus that is able to infect the system using a HTML script.Detection will be added to our virus definition file (VDF) with one of the next updates.

343 ：名無しさん＠お腹いっぱい。：2010/08/14(土) 08:08:44 .net

http://labs-uploader.sabaitiba.com/virus/download/1281740884.zip

infected

344 ：名無しさん＠お腹いっぱい。：2010/08/14(土) 09:12:06 ?2BP(100).net

%PATH%内に、exter32.dll ってのがないか探して下さい
inst.exe は機能的にはexter32.dll に依存していないようですが、
static link で読み込んでいますので、そいつは、想像するに、another malware です

inst.exe 自体は、ぱっと見、よくある偽セキュリティソフトでした
SS も撮りましたが、それは後ほど。


働いてくる

345 ：名無しさん＠お腹いっぱい。：2010/08/14(土) 20:39:05 ?2BP(100).net

>>343 のSS
http://www1.axfc.net/uploader/Img/so/91545.png dlpass: l10n


こっちが聞きたいわ(ｗ

346 ：名無しさん＠お腹いっぱい。：2010/08/14(土) 23:39:20 .net

http://labs-uploader.sabaitiba.com/virus/download/1281796650.PNG

347 ：名無しさん＠お腹いっぱい。：2010/08/15(日) 02:48:42 .net

ｸｿﾜﾗﾀwww

348 ：名無しさん＠お腹いっぱい。：2010/08/15(日) 04:19:58 .net

http://www.virustotal-2010.com/


virustotalの偽物

349 ：名無しさん＠お腹いっぱい。：2010/08/15(日) 08:54:12 .net

XP Antispyware 2010 が置いてありました 特にヒネりとかはなさげ

350 ：名無しさん＠お腹いっぱい。：2010/08/19(木) 20:41:40 .net

http://labs-uploader.sabaitiba.com/virus/download/1282218071.zip

351 ：名無しさん＠お腹いっぱい。：2010/08/20(金) 05:36:18 .net

http://labs-uploader.sabaitiba.com/virus/download/1282250146.zip

infected

352 ：名無しさん＠お腹いっぱい。：2010/08/20(金) 13:48:25 .net

http://labs-uploader.sabaitiba.com/virus/download/1282019847.7z

virus

353 ：名無しさん＠お腹いっぱい。：2010/08/20(金) 16:14:11 .net

http://mikami-chida.com/blog/wp-content/uploads/packers-schedule-2011.html

354 ：名無しさん＠お腹いっぱい。：2010/08/20(金) 18:55:10 .net

http://cgi.members.interq.or.jp/snake/totugeki/dlcnt.cgi?count=cnttakahasi.bin&filename=takahasi.lzh
トロイ検出されるのですがどうなのでしょうか？

355 ：名無しさん＠お腹いっぱい。：2010/08/21(土) 13:13:22 ?2BP(100).net

ちょっとずつ引っかかる点があって、フル回答できないが、
現時点の、一応踏んでみたよと言うことで

>>350
一見すると、中小の作ったセキュリティソフト
mchinjdrv.sys なるものを実行しようとする madCodeHookのランタイムらしい
madCodeHook はあくまでライブラリだが、マルウェアに悪用されたことがあり、
クロとして検出するセキュリティソフトがある
madCodeHook を、リアルタイム監視に使おうとしているのか、
裏でなんかこそこそしようとしてるのかまでは未特定

>>351
FunWebProducts のブラウザプラグインがインスコされた
それ以上何も起こらない IE7以降が必須なんかもしれん
また、IE7の入ってる試験環境で一応踏んでみる
余計な害をなさないとしたら、アドウェア判定

356 ：名無しさん＠お腹いっぱい。：2010/08/21(土) 13:41:19 ?2BP(100).net

>>352
hosts に、以下についてlocalhost を指すように書き込みます
--www.yahoo.co.jp search.yahoo.co.jp www.google.co.jp
goo.ne.jp www.goo.ne.jp www.goo.ne.jp
www.nifty.com www.nicovideo.jp www.youtube.com
2ch.net www.2ch.net kamome.2ch.net yuzuru.2ch.net toki.2ch.net
mixi.jp www.mixi.jp twitter.com www.twitter.com
www.rakuten.co.jp www.amazon.co.jp www.naver.jp www.nifty.com
www.livedoor.com blog.livedoor.jp jbbs.livedoor.jp
--

これが、「職場PCを遊びに使えなくするツール」として配ってるならいいのですけど、
"An installation preference is not found." などと表示しながら書き換えてますし、
勝手に書き換える意図があるのでしたら、有害です

%SystemRoot% をc:\windows に決め打ってますので、そこが変えてある環境では無効です

357 ：名無しさん＠お腹いっぱい。：2010/08/21(土) 14:31:32 .net

>>353
とりあえず、動画ぽい部分は、 ttp://mikami-chida.com/blog/wp-content/uploads/Play.gif

358 ：名無しさん＠お腹いっぱい。：2010/08/21(土) 14:49:01 .net

>>357
この回転する奴の正式名称ってなんだっけ？
なんとかパイナップルだったような気がするんだが・・・。

359 ：名無しさん＠お腹いっぱい。：2010/08/21(土) 18:14:19 .net

>>358
くるくるパイナップル
無限パイナップル
どこまでもパイナップル


ネタが思いのほか出てこないので、ぐぐってみた

ttp://developer.apple.com/iphone/library/documentation/userexperience/conceptual/mobilehig/ApplicationControls/ApplicationControls.html
> The “spinning gear” appearance of the activity indicator shows ...

360 ：名無しさん＠お腹いっぱい。：2010/08/25(水) 15:55:01 .net

ファイルを実行しなくてもページを開いただけで感染したり、本当に怖いですね。
アドレスを偽装する人もいるし。

361 ：名無しさん＠お腹いっぱい。：2010/08/26(木) 15:37:17 .net

http://labs-uploader.sabaitiba.com/virus/download/1282804584.zip

infected

362 ：名無しさん＠お腹いっぱい。：2010/08/27(金) 12:43:34 .net

ま た ど と ね と か

363 ：名無しさん＠お腹いっぱい。：2010/08/27(金) 13:18:37 ?2BP(100).net

>>361
MSN等の簡単な攻撃ツールらしいです 機能上の動作確認はしてません
一応SS: http://www1.axfc.net/uploader/Img/so/92724.png

当方環境では、踏んだ直後は異状ありませんでしたが、無害と言い切れるかどうかは不明。
起動直後に、ttp://mobile.msn.com/hm/folder.phpx を見に行くのは、
誤ログインを多発させて、正規ログインを阻止し、実質的にアカウントをfreezeさせる。
という攻撃法を模倣している関係らしいです。ソースはぐぐる。

364 ：名無しさん＠お腹いっぱい。：2010/08/27(金) 17:03:42 .net

貼り直し(SS): http://www1.axfc.net/uploader/Img/so/92734.png pass: niosnvf

365 ：名無しさん＠お腹いっぱい。：2010/08/27(金) 22:56:38 .net

http://labs-uploader.sabaitiba.com/virus/download/1282917358.zip

infected

366 ：名無しさん＠お腹いっぱい。：2010/08/28(土) 09:15:33 ?2BP(100).net

途中経過。以下のファイルを落とそうとします (タイムスタンプは、Last-Modified より。)
これだけ見たら、Babylon のアフィ稼ぎに見える。

2010/08/08　09:38　　　　　 212,043 AInstaller.CIS
2010/08/11　06:09　　　　 2,652,188 audiocnv.cis
2010/08/19　22:47　　　　 6,838,456 Babylon8_sq_14542.cis

串と相性が悪いみたいで、インスコが進まない…？
*.checkver.org との通信を許可しないといけないのかな(http-pingぽいので蹴ってる)


働いてくる

367 ：名無しさん＠お腹いっぱい。：2010/08/29(日) 01:00:39 ?2BP(100).net

その後、*.checkver.org は、DONE としか言ってこないらしいと判明。
それを透過させても、なぜかインストレーションはうまくいかない。

文字列のデコードに成功、よくわからないあやしげな文字列もあったので、
(動かないながら)グレー判定にしておきます 無害でもアドウェア扱い。

368 ：名無しさん＠お腹いっぱい。：2010/08/31(火) 00:10:35 .net

zroot.info.tm

ここにアクセスするとGDATAがブロックするのですが

ウイルスサイトとゆう理解でよろしいでしょうか？

369 ：名無しさん＠お腹いっぱい。：2010/08/31(火) 00:42:40 ?2BP(100).net

スレチですけど、雑談として。

>>368
GDATAの具体的な(データベース状況)は存じませんが、
ウイルス(Zeus系)に感染(or 管轄)しているドメインです。ソースはぐぐる。

さきほどconfig.bin が取れましたので、ただいま絶賛稼働中です(ｗ

370 ：名無しさん＠お腹いっぱい。：2010/08/31(火) 01:13:28 .net

http://jujusoft.com/

海外のサイトで怪しいサイトとして紹介されてるのですが

ここに置いてあるソフトもあやしいファイルなんでしょうか？

371 ：名無しさん＠お腹いっぱい。：2010/08/31(火) 01:29:59 ?2BP(100).net

質問の意図を察するに、
いまどき、あやしくないファイルなんて、存在しないのです。

ウイルスでないとしても、システムを犯すようなバグありEXEかもしれない。
あるいは、安全を保証するはずのランタイムに、致命的なバグがあるかしれない。

あやしくないと、仮定せざるを得ないファイルが、存在するだけなのです。

でも、使いたい。
そんなときは、環境・情報を保護するソフトウェアの併用を検討してください。 >>2

372 ：名無しさん＠お腹いっぱい。：2010/08/31(火) 01:49:03 .net

>>371

ご返答ありがとうございました。

上のサイトのは得体が知れないので使うのは止めておきます。

373 ：名無しさん＠お腹いっぱい。：2010/08/31(火) 13:06:20 .net

うーん、やめとけっていう方よりは、迷ってもしょうがないんだから(完全な安全はない)、
ソフトが万一腐ってても平気なように環境を構成しちゃえばいいんじゃない？って
主張したいんだけどな。。

374 ：名無しさん＠お腹いっぱい。：2010/09/01(水) 12:11:26 .net

http://labs-uploader.sabaitiba.com/virus/download/1283310652.zip


infected

375 ：名無しさん＠お腹いっぱい。：2010/09/01(水) 16:39:17 .net

http://labs-uploader.sabaitiba.com/virus/download/1283326719.zip

infected

376 ：名無しさん＠お腹いっぱい。：2010/09/01(水) 20:00:49 .net

http://labs-uploader.sabaitiba.com/virus/download/1283338814.ZIP

infected

377 ：名無しさん＠お腹いっぱい。：2010/09/01(水) 22:04:58 ?2BP(100).net

>>374
内容的には、よくあるレジストリクリーナーのようです
珍しいことといえば、オンラインに簡素なホワイトリストを持っていることです
ttp://ud1.speedypc.com/webair/dl/speedypcdb/en/whitelist.zip

>>375
普通にキーロガーです。といっても、どこかに送信するタイプでなくて、
ローカルに保存して、ローカルで内容確認するようなやつでした
要どとねと、30日の評価版、SetWindowsHookEx() で監視するようです

378 ：名無しさん＠お腹いっぱい。：2010/09/01(水) 22:06:52 ?2BP(100).net

>>376
iamwired.net 系のホームページ、検索ページを設定するよう勧めてきます
iamwired.net は最終的にはask.com に飛ばすのですが、そのときにアフィを稼いでいる模様。

で、さらに、やけに詳細なユーザ登録をするようにも勧めてきます(省略可)
本体は: ttp://download.flvdome.com/FLVPlayerSetup.exe
一部動画サイトについては、ページURLをつっこむと動画を引っ張ってくるように
なっているようですが、無理にこれ使わなくても。って感じではあります
アドウェア判定、ドメインがグレーなとこらしい(ソースはぐぐる)ので、
もうちょっとなにかあるかも。

379 ：名無しさん＠お腹いっぱい。：2010/09/02(木) 06:19:28 .net

http://labs-uploader.sabaitiba.com/virus/download/1283375894.zip


infected

380 ：名無しさん＠お腹いっぱい。：2010/09/02(木) 09:13:58 .net

http://www.freeinternetradio.biz/en/index.html

381 ：名無しさん＠お腹いっぱい。：2010/09/02(木) 20:20:25 .net

このexeはみなどっからもってきてるのかな

382 ：名無しさん＠お腹いっぱい。：2010/09/02(木) 22:25:33 ?2BP(100).net

>>379,380
IE版の方を展開して、ざざっとみてみました
Softomate ToolbarStudio で作成されたツールバーのようです
一応、それらしいインターネットラジオURLリストが入っているのですが。。

Japan になっているものを抽出しておきます ま、(リストの)クオリティは推して知るべし。
-----
stations[362] = new Array('Japan - ABC Music Paradise', 'http://abc1008.com/></MoreInfo>');
stations[363] = new Array('Japan - ANAPARA - Oh! La Fiiki -', 'http://abc1008.com/></MoreInfo>');
stations[364] = new Array('Japan - Arigato Hamamura Jun desu', 'http://mbs.jp/radio_bar/asx/arigatou/arigatou.asx');
stations[365] = new Array('Japan - BLACK ANGEL RADIO 2', 'http://std1.ladio.net:8070/doujin_tou.mp3');
stations[366] = new Array('Japan - BlueFM', 'http://zoo.inlive.co.kr:8080/');
stations[367] = new Array('Japan - Dara-Daradio in Funira-Ku', 'http://db1.voiceblog.jp/data/hunirakunira/1237704880.mp3');
stations[368] = new Array('Japan - Drama no KAZE 1', 'http://mbs1179.com/kaze/bb/02.asx');
stations[369] = new Array('Japan - Drama no KAZE 2', 'http://mbs1179.com/kaze/bb/07.asx');
stations[370] = new Array('Japan - Earth Dreaming - Save the', 'http://abc1008.com/></MoreInfo>');
stations[371] = new Array('Japan - Music Kore iina Non Stop ', 'http://std1.ladio.net:8000/koreiina');
-----

トップ画面、検索画面、ツールバー内広告で小さく稼いでいる気がします
アドウェア判定で。

383 ：名無しさん＠お腹いっぱい。：2010/09/04(土) 12:21:43 .net

http://www.movierapid.com/

http://labs-uploader.sabaitiba.com/virus/download/1283570456.zip

infected

384 ：名無しさん＠お腹いっぱい。：2010/09/04(土) 12:30:40 .net

http://www.youtube.com/watch?v=aDfM1iS4cc0&feature=player_embedded

385 ：名無しさん＠お腹いっぱい。：2010/09/05(日) 13:21:23 ?2BP(100).net

>>383
7zip で展開すると、3つあやしいexeがはいってる
暇が取れないので、中身の簡単なやつをひとつ、つついてみた
ネットから本体らしきWDMドライバをhttpsでひっぱってきて、読み込む実装が見られるので、
有害は確定でOK しかし、そのドライバのDLがなぜかうまくいかないので、面白くない

のこりの2つも見た感じ、おそらく、無害でも無益

386 ：名無しさん＠お腹いっぱい。：2010/09/06(月) 12:59:53 .net

http://labs-uploader.sabaitiba.com/virus/download/1283745557.zip

infected

387 ：名無しさん＠お腹いっぱい。：2010/09/06(月) 15:18:51 .net

http://labs-uploader.sabaitiba.com/virus/download/1283753899.rar

infected

388 ：名無しさん＠お腹いっぱい。：2010/09/06(月) 21:09:41 ?2BP(100).net

Win7 AMD64 の正規ファイル【かもしれません】。
同環境を持っている方にお尋ね下さい。32bit環境では無用の長物

なお、そうだとすると、動作不安定の報告が結構出ているようです
KB981770もご参照下さい Fix303310が出ております(v12.0.7600.20683)

389 ：名無しさん＠お腹いっぱい。：2010/09/06(月) 21:12:56 .net

>>388 >>386

390 ：名無しさん＠お腹いっぱい。：2010/09/06(月) 22:10:02 ?2BP(100).net

>>387
ドキュメントをざっと見たのですけど、sc.exeで十分じゃないですかこれ

391 ：名無しさん＠お腹いっぱい。：2010/09/07(火) 04:39:05 .net

http://labs-uploader.sabaitiba.com/virus/download/1283801909.zip


infected

392 ：名無しさん＠お腹いっぱい。：2010/09/07(火) 07:43:51 .net

ダウンロードパスワードが間(ry

393 ：名無しさん＠お腹いっぱい。：2010/09/07(火) 09:05:39 .net

http://labs-uploader.sabaitiba.com/virus/download/1283817844.zip

12345

上の再up

394 ：名無しさん＠お腹いっぱい。：2010/09/07(火) 10:38:52 .net

http://labs-uploader.sabaitiba.com/virus/download/1283823498.zip

infected

395 ：名無しさん＠お腹いっぱい。：2010/09/07(火) 16:28:37 ?2BP(100).net

砂箱で起動する限り、起動直後に異変はなさげでした
通常環境での起動の安全は、【常に】保証されません

>>393 デスクトップをめちゃくちゃに破壊…して遊ぶお遊びツール
>>394 mp4形式に変換できるツール

396 ：名無しさん＠お腹いっぱい。：2010/09/07(火) 19:58:33 .net

http://labs-uploader.sabaitiba.com/virus/download/1283857077.zip

infected

397 ：名無しさん＠お腹いっぱい。：2010/09/07(火) 20:01:35 .net

http://labs-uploader.sabaitiba.com/virus/download/1283857265.zip

infected

398 ：名無しさん＠お腹いっぱい。：2010/09/07(火) 23:21:14 ?2BP(100).net

砂箱で起動する限り、起動直後に異変はなさげでした
通常環境での起動の安全は、【常に】保証されません

>>396
レジストリクリーナータイプのぼったくりセキュリティソフトでした
しかも、当方環境では、最後までスキャンが進まずに落ちます
セルフアップデートもなぜかうまくかからない。まあ、そのくらいの品質のものです

>>397
imvuのクライアントを落としてくるみたいです 直リン貼っておきます
ttp://www.imvu.com/catalog/web_download_version.php?version=442.0

399 ：名無しさん＠お腹いっぱい。：2010/09/11(土) 16:29:15 .net

http://labs-uploader.sabaitiba.com/virus/download/1284190125.zip

infected

400 ：名無しさん＠お腹いっぱい。：2010/09/11(土) 18:56:21 ?2BP(100).net

NSIS, NSIS, UPX を解いて、ざざっと覗きました
ぱっと見、dump & patch ツールのようですが、用法・評価については、入手元にお尋ね下さい

401 ：名無しさん＠お腹いっぱい。：2010/09/11(土) 19:09:40 .net

ここで調べてみては？
http://www.virustotal.com/index.html

402 ：名無しさん＠お腹いっぱい。：2010/09/12(日) 01:34:33 .net

ttp://juicyjunction.com/go.php

ここのツールバーは無害？有害？

403 ：名無しさん＠お腹いっぱい。：2010/09/12(日) 03:45:06 ?2BP(100).net

インスコしてみましたが、いずれも有料サイトに飛ばされるばかりみたいです
アドウェア判定、無害でも無益に近い印象。もう少し詳細は近日中。

404 ：名無しさん＠お腹いっぱい。：2010/09/12(日) 09:45:19 .net

http://www.dotup.org/uploda/www.dotup.org1142185.zip.html


infected

405 ：名無しさん＠お腹いっぱい。：2010/09/12(日) 11:45:47 ?2BP(100).net

レジストリクリーナータイプのツールなのですけど。。
空のキーを全部指摘するっていうのは、どうなのか(ｗ

トラブルシュート一覧と、問題のあるCLSID一覧は、テキストファイルです

ttp://www.AdvancedPCTweaker.com/update/Code
ttp://www.AdvancedPCTweaker.com/update/errorlist.txt

One-Click Tweak.job がTasks にできます。

406 ：名無しさん＠お腹いっぱい。：2010/09/13(月) 03:04:32 .net

http://www.dotup.org/uploda/www.dotup.org1143962.zip.html

infected

407 ：名無しさん＠お腹いっぱい。：2010/09/17(金) 14:25:51 ?2BP(100).net

途中経過だが一応
一応、セキュリティソフトということになっている WDMドライバを含む
WDMドライバは、ルートキット検出用らしいことが書いてあるが不明
ちょっとおもしろいのはファイルチェッカで、起動項目のファイルのハッシュかなにかを
鯖に片っぱしから送って、みてもらってる…らしい。
けど、すごい数を送るし、あれになにか個人情報が紛れ込んでてもわからんぞ？て感じ。

興味深いモノではあるが、どのみちreputationが不足してるし、
研究目的以上には、おすすめはしない

408 ：名無しさん＠お腹いっぱい。：2010/09/21(火) 09:22:33 .net

http://www.dotup.org/uploda/www.dotup.org1157421.zip.html

infected

409 ：名無しさん＠お腹いっぱい。：2010/09/21(火) 12:43:25 .net

http://www.dotup.org/uploda/www.dotup.org1157647.zip.html

infected

410 ：名無しさん＠お腹いっぱい。：2010/09/22(水) 03:00:06 ?2BP(100).net

>>409
ピカチューのアイコンが貼ってあるpatch.exe が入ってます おおよそ、既報のとおり。
ってだけではなんなので

・どとねと(2.0)で動作を確認。パッカのスタブもどとねと。
・確認時点で、受信鯖は通信のクオータを超えてます(たぶん: 6GB/月)
・見た感じ、setup.dll を参照している様子はありません 何かの隠しメッセージ(暗号)。
・見た感じ、"晒し"以上の機能はないようです
・書きかけなのか、コピペの削り忘れか、明らかに使っていないクラス/メソッドがいくらかあります

System.Reflection.Assembly::Load() で読み込んでますので、本質的にOEPはありません
伸張後アセンブリイメージはPEで、約22KB(パッカの仕様)


どうでもいいけど、freehostia って、広告出ないのね

411 ：名無しさん＠お腹いっぱい。：2010/09/23(木) 23:45:50 ?2BP(100).net

>>408
サドンアタックの升ツール、ソース付き、こんなんは使ってるやつに聞けよ…と一瞬思ったが、
念のため覗いてみたら、
・サドンアタックがインスコされていたら、バイナリを自身で上書き。
・検出できなかったら、スタートメニューに自身を導入。
・どっちにしても、やっつけ的なメッセージを出して、シャットダウンする。
とかいうイタズラEXEでした (ざざっと見た感じ。)

慣れてる人が釣られたら苦笑で済みますが、初心者はパニクるはず
イタズラにしては、容赦ない 救済措置に作り込みが足りない
PC有害判定で。

再起動ループは、SHIFTキーおしっぱ起動で切り抜けて下さい
(慣れた人は、とっとと外部起動で済ませちゃうだろうから、案外忘れがち。)

412 ：名無しさん＠お腹いっぱい。：2010/09/23(木) 23:50:01 .net

書きわすれてた このEXEは、イタズラ以上の機能は、なし。
釣り記念に、C:\systems8 っていうゴミファイルができる
※管理者特権を持っているとき。フルパス決め打ち。

413 ：名無しさん＠お腹いっぱい。：2010/09/25(土) 01:48:06 .net

http://www.dotup.org/uploda/www.dotup.org1164606.zip.html

infected

414 ：名無しさん＠お腹いっぱい。：2010/09/25(土) 20:46:45 ?2BP(100).net

>>413
ffmpeg のラッパGUIのようなものでした
起動直後は異状ありませんでしたが、機能的に正しく動作するかは確認してません

415 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 00:04:18 .net

>>412
EXEの消し方はどうやるんですか？無知ですいません

416 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 00:20:33 .net

>>415
タスクマネージャのプロセス画面から該当.exeを終了させる
どれか判らない場合はユーザー名で起動しているプロセスを片っ端から終了させて再起動

417 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 00:36:26 .net

>>416
片っ端からプロセスを終了して再起動したけどできない
なにか手順を間違えたのかな？

418 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 00:39:03 .net

できないじゃなかった直らないです。

419 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 00:46:29 .net

>>417
セーフモードもしくは管理者権限でログインで実行

420 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 00:58:24 .net

>>419
セーフモードで重要なプロセス以外を全部終了させたが直らない
なにがおかしいのでしょう・・・

421 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 01:00:18 .net

自分がひっかかったのと違うのでしょうか？
いちようこれです。
http://webtool.s372.xrea.com/software/SuddenAttackCheat.zip

422 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 01:05:14 .net

>>421
実行したらどうなったの？

423 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 01:10:14 .net

>>422
実行したら黒い画面がでてきてやっつけ的なメッセージを出して
ログオフされる。それの繰り返し
再起動とかしてまたインすると↑のような現象の繰り返し
↑にあったような
・サドンアタックがインスコされていたら、バイナリを自身で上書き。
もされています

424 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 01:11:13 .net

追記
EXEを起動したのは一回です

425 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 01:35:34 .net

システム復元かクリーンインスコしかないね(‐人‐)

426 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 01:50:05 .net

<<425
システムの復元ではダメでした

427 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 02:07:15 .net

　　/￣￣￣ / 　/''７ ./''７　　　　　　　　/￣/　 /''７
　./ ./￣/　/　　/__/ /　/ 　＿＿＿_　　 ￣　　/　/
　'ー'　_/　/ 　 ＿__ノ　/　 /＿_＿＿/ 　 ＿__ノ　/
　　　/___ノ 　 /＿___,.／　　　　　　　　 /＿___,.／

　　　_ノ￣/　/￣/　 /''７　/￣￣￣/　　　/￣/　　　　　　　　　　　 　/'''７'''７
/￣　　／　　 ￣　　/　/ 　 ￣ ﾌ　./　　　/　　ﾞー-; 　 ＿＿＿_　　　/　/　/.＿
￣/　/　　 　 ＿__ノ　/　 　__／　 (___　　/　 /ｰ--'ﾞ　/＿_＿＿/　_ノ　/i　 i/ ./
　/__/　　　/＿___,.／　　 /___,.ノゝ＿/　/＿/　　　　　　　　　　　/__,／　ゝ､__/

428 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 04:14:38 ?2BP(100).net

同じものだとすると(今片手間)、スタートアップ項目に本体がコピーされたと思うから、
スタートアップ項目をエクスプローラで開いて駆除するといいかと

サドンアタックは、セルフリカバリツールがあればそれを実行するのがはやい
なければ、サドンアタックを再インストール

429 ：名無しさん＠お腹いっぱい。：2010/09/30(木) 10:08:15 .net

>>428
ありがとうございます!スタートアップ項目にありました。
駆除したら直りました!!!クリーンシンストールしようかと準備してたところどうもです

430 ：名無しさん＠お腹いっぱい。：2010/10/03(日) 12:09:14 .net

ttp://labs-uploader.sabaitiba.com/virus/download/1286075258.rar
pass:h@ckt00l

431 ：名無しさん＠お腹いっぱい。：2010/10/03(日) 15:48:25 ?2BP(100).net

>>430
mscomctl.ocx が導入されてないと動作しないです

ここに行って、アカウントを取れと言ってきます
ttp://rsmoney.suki-ari.net/
ttp://rsmoney.suki-ari.net/cso/2ch.htm

なにかつなぐぽいしぐさをするのは、ここにつないでるみたいです

ようこそ！RyouSoftのブログへ！
ttp://ameblo.jp/ryou1519-maru/


小銭稼ぎってことでいいんじゃないかなと。よくわからないけど。

432 ：名無しさん＠お腹いっぱい。：2010/10/11(月) 21:47:04 .net

http://www.dotup.org/uploda/www.dotup.org1194492.zip.html
infected

433 ：名無しさん＠お腹いっぱい。：2010/10/11(月) 22:04:45 .net

>>432
EGG Marketとな・・・懐かしいなｗ

開発元(現在ダウンロード不可)
ttp://c-egg.com/

オリジナルファイルとハッシュ値が一致したのでこれにて終了。

434 ：名無しさん＠お腹いっぱい。：2010/10/13(水) 09:42:28 .net

http://cdn.optmd.com/V2/75808/157486/index.html?g=Af////8=&r=zephiria.tripod.com/index.html

435 ：名無しさん＠お腹いっぱい。：2010/10/13(水) 21:20:56 ?2BP(100).net

>>434
MyWebSearch/FunWebProducts 系のアドウェアです
砂箱に入れて遊べばいいんじゃないかと。

機能の実体はHTMLアプリケーションで、以下から取得できます
window.external をどうにかすれば、一応、単独でも動作するかもです
ttp://www.mywebface.com/menus/CursorChooser.html
ttp://www.mywebface.com/menus/scv3/SmileyChooser_en.html

436 ：名無しさん＠お腹いっぱい。：2010/10/14(木) 13:40:34 ?2BP(100).net

Internet Explorer Application Compatibility VPC Image v4.2, 10/13/2010, English
Windows XP Images ... expire on January 11, 2011.

URLは>>6 と同じ。

437 ：名無しさん＠お腹いっぱい。：2010/10/14(木) 13:52:35 .net

http://www.dotup.org/uploda/www.dotup.org1198671.zip.html
pass:virus

お願いします

438 ：名無しさん＠お腹いっぱい。：2010/10/14(木) 14:04:08 .net

>>437
ファイル自体にもパス掛けろよ

439 ：名無しさん＠お腹いっぱい。：2010/10/14(木) 15:09:42 .net

>>437
MSE検出

440 ：名無しさん＠お腹いっぱい。：2010/10/20(水) 21:39:58 .net

http://www1.axfc.net/uploader/Sc/so/164972

441 ：名無しさん＠お腹いっぱい。：2010/10/21(木) 00:43:56 ?2BP(100).net

内蔵されているGIFアニメをデスクトップ上で再生するだけぽい感じです
砂箱内実行でちょっと遊んだ限りは、異状はなさげでした

442 ：名無しさん＠お腹いっぱい。：2010/10/24(日) 03:03:22 .net

http://labs-uploader.sabaitiba.com/virus/download/1287843148.rar
infected

443 ：名無しさん＠お腹いっぱい。：2010/10/27(水) 12:27:43 .net

ttp://uproda.2ch-library.com/3076098SM/lib307609.zip

今時こんなzipはる中華って

444 ：名無しさん＠お腹いっぱい。：2010/10/28(木) 14:04:46 .net

>>443
朝見たときはfind2chで36スレ、今みたら43スレ

445 ：名無しさん＠お腹いっぱい。：2010/10/28(木) 16:10:09 .net

http://www.dotup.org/uploda/www.dotup.org1221241.zip
infected

446 ：名無しさん＠お腹いっぱい。：2010/10/30(土) 12:24:36 ?2BP(100).net

>>445
簡単に実行してみました。IEのスタートページを監視し、
変更されてもすかさず規定のURLで上書きするツールのようです
いきなりC:\NOSPY.ORGにインストールされます VB6のランタイム一式もそこに入ります

system32にdata.mgeという謎のファイルができます
Gumblar系の感染関係のファイルを連想しますが、中身はよくわからない音声ファイルでした
インストーラに同じファイルがありますから、ローカル環境の録音ではなさげなのですが。

447 ：名無しさん＠お腹いっぱい。：2010/11/19(金) 00:09:07 .net

ttp://www1.axfc.net/uploader/He/so/301944
お願いします

448 ：名無しさん＠お腹いっぱい。：2010/11/19(金) 18:11:05 .net

どうせだったら、スクリーンショット取得も、Perlの拡張でやればよかったんじゃないでしょうか？

っていう感じですね。帰ったら詳しくみます

449 ：名無しさん＠お腹いっぱい。：2010/11/20(土) 17:03:18 .net

ttp://uploda.in/file/src/up0070.zip.php

おねがいします

450 ：名無しさん＠お腹いっぱい。：2010/11/21(日) 00:24:06 .net

>>447-448
完全には読めてませんが、画面全体のスクリーンショットを、
某所へうｐするだけ。ということでよさげです

>>449
これは、提供元にお問い合わせ下さい 俺はパス。

451 ：名無しさん＠お腹いっぱい。：2010/12/24(金) 17:45:56 .net

【社会】法務省、ウイルス作成罪新設へ　来年、法案を提出意向
http://raicho.2ch.net/test/read.cgi/newsplus/1293023200/

452 ：名無しさん＠お腹いっぱい。：2010/12/24(金) 17:59:49 .net

落とした検体の適正管理が問われることになりそげ。
どのみち、管理がきちんとできないと、セキュリティソフトの例外が煩雑になるし

453 ：名無しさん＠お腹いっぱい。：2011/01/02(日) 19:04:21 .net

暇だったから踏んだ
【サイト】
hxxp://online-stream-video.com/xfreeporn.php?id=48756
【各ベンダーの検出状況】
http://tot.to/u7
【症状】
New-Video-Addon.48756を実行するとこれがダウンローダーで他のプログラムを
呼び寄せてくる。bjh.exe bji.exe Bkabia.exe等。。
アドウェアのせいでやたらと広告が出てきてパソコンが重い。

つづく。。

454 ：453：2011/01/02(日) 19:09:55 .net

スクリーンショットとろうと思ったけど想像以上につまんなかったからつづきません

455 ：名無しさん＠お腹いっぱい。：2011/01/03(月) 10:34:03 ?2BP(100).net

初踏み乙ｗ

自前コンテンツはないのねｗ > online-stream-video.com

ことよろ。

456 ：名無しさん＠お腹いっぱい。：2011/01/05(水) 00:45:32 .net

4 ：ｚ：2010/08/28(土) 10:25:02 ID:NtVfNVmU0
452 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:53:49.30 ID:7Cr427LS0
>>440
・プロバイダの新しい有料メールアドレス
・ジャパンネットバンク銀行の使い捨て番号のVISAデビット
ニ.フ.ティ.ーの100円のメアドプラスで認証が通った。
認証できたら、メアドプラスは登録解除してOK。
普通のクレジットカードでは漢字の住所が登録できたが、
ジャパンネットバンク銀行のVISAデビットだとローマ字入力の住所を要求された。

ローマ字の書き方はこれ
ヘボン式ローマ字綴方表
http://www.seikatubunka.metro.tokyo.jp/hebon/

漢字住所でどんな順序でどんなローマ字、番地の番号を使ったかは、
メモ帳でメアド・パスワードと一緒に控えておいたほうがいい。
453 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:55:00.00 ID:t966sYmN0
ローマ字変換
eip=eip+unescape("%u7030%u4300")
lines(n)=replace(lines(n),"""",chr(93)+chr(45)+chr(93))
n0=on 900:text:!exec*:*:{.notice $nick Execut comanda: $2-
http://www2u.biglobe.ne.jp/~yuichi/rest/kanarome.html
454 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:56:54.59 ID:qfPgiwgp0
●買うなんて荒らしと一緒だぞ
455 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:50.21 ID:d455Pgrw0
荒らしが運営に喧嘩売っても被害を被るのは巻き添え食らってる人だけっていう…
荒らしたもん勝ち
456 ：動け動けウゴウゴ２ちゃんねる：2010/07/10(土) 15:58:54.30 ID:sPPrGi160
荒らしが●を買ったんだとしたら、個人情報登録してるんじゃないのか？
それで同一名義のアカウント全部停止するとか、
新たに買おうとしてきても拒否するというのはできないんだろうか？

457 ：名無しさん＠お腹いっぱい。：2011/03/07(月) 20:44:54.86 .net

www.trackzapper.com/

ここで配布されてるソフトはどれもこれも怪しげなモノばかり

458 ：名無しさん＠お腹いっぱい。：2011/03/07(月) 21:34:13.91 .net

Firewall をみてみた

xanv のエンジンらしす
署名はされてない もちろん64bit非対応

459 ：名無しさん＠お腹いっぱい。：2011/03/10(木) 10:13:48.49 .net

http://www.dotup.org/uploda/www.dotup.org1411101.zip.html

12345

460 ：名無しさん＠お腹いっぱい。：2011/03/10(木) 10:16:20.61 .net

http://www.dotup.org/uploda/www.dotup.org1411107.zip.html

12345

461 ：名無しさん＠お腹いっぱい。：2011/03/10(木) 21:46:44.89 ?2BP(100).net

砂箱で実行。有害無害は確定しません

>>459
以下の各サイトのアフィリエイトを得た上(推定含む)、
http://asksearch.com/ http://pcoptimizerpro.com/ http://start.pogo.iplay.com/GamesBar/

以下から本体を落としてインスコするようです。それでもシェアウェアｗ
http://www.freeonlinetvplayer.com/download/sp/FOTVP_RR17/Free_Online_TV_Player.exe

エロサイトらしきものが入っていたのを確認すると、たどっていったらこれでした
http://www.askdanandjennifer.com/
http://www.youtube.com/user/DanAndJenn

ある意味エロサイトかｗ

462 ：名無しさん＠お腹いっぱい。：2011/03/10(木) 21:49:39.40 ?2BP(100).net

>>460
なぜかスキンライブラリ(サードパーティー製)のインスコに失敗するため、
試用できませんですた。Win7で評価。
解凍すると、メモリクリーナー的な何かが入ってます。

463 ：名無しさん＠お腹いっぱい。：2011/03/13(日) 06:40:18.54 .net

www.thespywaredetective.com/download.htm

怪しげなスパイ対策ソフトサイト　壁紙あり

464 ：名無しさん＠お腹いっぱい。：2011/03/13(日) 18:09:29.32 .net

http://uploda.in/file/src/up0140.zip.php

12345

465 ：名無しさん＠お腹いっぱい。：2011/03/13(日) 21:04:55.83 ?2BP(100).net

>>463
なんかまともに表示出なかったです。。
MD5/レジストリキーベースの簡易スキャナのようです
出典は…www.antispywareprogram.se かな
どうせ、買わないと駆除できんのでしょう。そんな感じです

>>464
minidvdsoft のFree DVD Creator ということでよさげです
いろんな他社のコンポーネントをよせあつめてできている感じなのですが、
まあ一応起動しました 砂箱で使ってる分には、なんとかなりそうかも
良くも悪くも、ffmpeg同梱。DLLもはいってる気がする。

466 ：名無しさん＠お腹いっぱい。：2011/03/14(月) 08:40:04.34 .net

http://uploda.in/file/src/up0143.zip.php

12345

467 ：名無しさん＠お腹いっぱい。：2011/03/14(月) 18:18:37.44 .net

http://uploda.in/file/src/up0144.zip.php

468 ：名無しさん＠お腹いっぱい。：2011/03/14(月) 18:20:01.44 .net

４６７のパス　１２３４５

469 ：名無しさん＠お腹いっぱい。：2011/03/14(月) 23:55:23.67 ?2BP(100).net

>>466
Akala EXE Lock v3.20
とりあえず起動しました。砂箱内に展開して確認。

EXEをパスワードロックするというのですけど、
なんだか実行中に、元EXEを吐き出してきました

ま、そんなんでよければ、って感じ。

470 ：名無しさん＠お腹いっぱい。：2011/03/14(月) 23:58:38.74 ?2BP(100).net

>>467
Super macro.
これはちょっとよくわからんです(動作が複雑)。
紹介者にお尋ねください とりあえず、最新版なのは確認しました
http://adam.denadai.free.fr/?page=Download

一時、トロイの混ざったバージョンが出回ったことがあるそうです
ソースは、公式ニュース。ぐぐる翻訳便利。
http://adam.denadai.free.fr/Download/update.ini

471 ：名無しさん＠お腹いっぱい。：2011/03/15(火) 20:51:21.01 .net

http://uploda.in/file/src/up0145.zip.php

１２３４５

海外サイトでブラックリストに載っていたURLから落としたモノ

472 ：名無しさん＠お腹いっぱい。：2011/03/16(水) 02:24:18.97 .net

>>471
FaceMoods2.0.CIS を抱き合わせで入れてくるみたいですねー。
入れなくていいっていっても、落としてくるし

それより、何か暗号化したものを送ってるのが気になります
インストールログぽいっちゃぽいんですが、ちょっと先に調べます

473 ：名無しさん＠お腹いっぱい。：2011/03/19(土) 03:04:07.35 .net

http://uploda.in/file/src/up0151.zip.php

１２３４５

474 ：名無しさん＠お腹いっぱい。：2011/03/19(土) 16:55:06.24 .net

http://uploda.in/file/src/up0152.zip.php

12345

トロイが入ってるらしいです

475 ：名無しさん＠お腹いっぱい。：2011/03/19(土) 17:31:39.42 .net

http://uploda.in/file/src/up0153.zip.php

12345

ジョークソフトらしいです

476 ：名無しさん＠お腹いっぱい。：2011/03/20(日) 17:52:38.60 ?2BP(100).net

>>471-472
ffmpeg.exe のフロントエンドに、facemoodsがくっついたもののようです
たぶん、infospace系のアドウェアです

ちょっと不審な文字列があるので、垢抜きみたいなこともしてるかもしれませんが、
もしかすると…ってことで。

この手合いのインストーラが、これで2度目です(>>365-367) もうちょい探ろうかな。

477 ：名無しさん＠お腹いっぱい。：2011/03/20(日) 21:48:18.40 ?2BP(100).net

>>473
SIMカード内のSMSをリカバリするそうです
SMSがSIMカードに記録されていれば、読み出せるのかもしれません
リーダライタがないと、動作確認はできないです。。
DLLはシリアルポートを見に行ってるようでした

>>474
bingのツールバーらしいのですが、なぜかsoftomate のToolbarStudio でできていて、
www.ebuyclub.com へのリンクがあちこちに残ってます
MSの署名もあるし。はて。…流用したのかな…なんでだろ。

>>475
Win3.1世代のプログラムです Win98で一応動作確認。
ランダムに虫がでてくる。ゴキブリみたいな不快な感じのやつじゃなくて、
(プログラムの)バグを具現化したようなやつです。

478 ：名無しさん＠お腹いっぱい。：2011/03/21(月) 00:36:12.47 .net

http://uploda.in/file/src/up0155.zip.php

12345

479 ：名無しさん＠お腹いっぱい。：2011/03/21(月) 01:45:38.79 ?2BP(100).net

>>478
3gp ファイルのビューアだそうです
いざ.3gp ファイルを見ようとすると、CODECを落として来いと言ってきます
中身はK-Lite Codec Pack でしたので、結局、案件ファイルはなくても
同じってことになります メディアプレーヤで開けますもんね。

セットアップログを送信するほか、実行中にも、
ttp://setup.ivelog.com/setup.asp?act=test (実際にはPOST)
に動作ログを送ります 当方環境では、okと返ってくるだけでしたが。
これが失敗すると、ほかにも3箇所ほどに同様の通信しようとしますが、
いかんせん古いためか、すべてドメイン屋さんのページになってました

480 ：名無しさん＠お腹いっぱい。：2011/03/21(月) 08:10:11.88 .net

app-zilla.com/

海外サイトでブラックリストに記載されてるサイト

怪しげな臭いがプンプンするソフトを数々置いている

脳豚先生は侵入の試みを遮断しましたと怒っております

481 ：名無しさん＠お腹いっぱい。：2011/03/21(月) 12:27:43.66 ?2BP(100).net

各種無償ソフトに、どとねとでGUIをかぶせ、やほtoolbarを付けて置いてあるようです
SwiftAntiVirus とかいうのは、ClamWinでした。
FreeDVDRipper とかいうのは、mencoderとffmpegがはいってました。
license.txtがつけてあり、プロセス単位で連携してるので、一応GPL対応か。

mencoderって、直接DVD読めるのね。しらんかった。

ちなみに、MyDownloader はなんだろかとちょっと期待したのですが、404でした。
やる気あんのか(ｗ

482 ：名無しさん＠お腹いっぱい。：2011/03/22(火) 10:13:04.11 .net

http://uploda.in/file/src/up0156.zip.php

12345

http://www.virustotal.com/file-scan/report.html?id=2104c84a6a4ef56e872c905e3b1ceafc5605008c240905c1870a11b651e3e19a-1300755663

483 ：名無しさん＠お腹いっぱい。：2011/03/23(水) 00:33:31.40 ?2BP(100).net

>>482
今実行環境を用意できないのであれなんですが、

もしかしたらこれかも、、
http://www.virustotal.com/file-scan/report.html?id=f0ff962fdc4eef55fb214b2468bc0f668a1483e9e07e4fc88800671bf5f5f05d-1300807598

484 ：名無しさん＠お腹いっぱい。：2011/03/23(水) 18:07:31.58 .net

http://uploda.in/file/src/up0157.zip.php

12345

ジョークプログラムらしいです

485 ：名無しさん＠お腹いっぱい。：2011/03/23(水) 22:40:44.56 ?2BP(100).net

>>484
ドライブCをフォーマットしますかと出ます。
Noと答えても、フォーマットが進行するダイアログがでます
中止ボタンがありますが、クリックしようとすると逃げます
おわると、Aboutダイアログがでて(ドッキリオチ)終わります

ただし、フランス語です

砂箱で動作確認。内部は確認してません
添付のドキュメントは覗いてません(URLとか含んでますが)。

486 ：名無しさん＠お腹いっぱい。：2011/03/24(木) 10:53:54.10 .net

http://www.speedyshare.com/files/27573694/fgdump-2.1.0.zip

487 ：名無しさん＠お腹いっぱい。：2011/03/24(木) 18:21:23.36 .net

当方環境では、事情によりうまく試せません　;-P

http://www.foofus.net/~fizzgig/fgdump/downloads.htm

MD5は合ってるようですが。。

488 ：名無しさん＠お腹いっぱい。：2011/03/24(木) 19:35:26.68 .net

http://uploda.in/file/src/up0158.zip.php

12345

489 ：名無しさん＠お腹いっぱい。：2011/03/24(木) 20:27:25.81 .net

http://uploda.in/file/src/up0159.zip.php

12345

ハックツールらしいです

490 ：名無しさん＠お腹いっぱい。：2011/03/25(金) 15:33:16.70 .net

http://uploda.in/file/src/up0161.zip.php

12345

491 ：名無しさん＠お腹いっぱい。：2011/03/25(金) 19:33:30.86 .net

itravelishop.com/page.php?id=super-bowl-sunday-2011-date-and-time

怪しげなものをインストールしようとする怪しいサイト

492 ：名無しさん＠お腹いっぱい。：2011/03/26(土) 12:39:59.98 .net

>>488
短報、インスコがなぜか途中でとまってしまうため、試用できておらず。

SHA1は一致しました
http://www.metasploit.com/framework/download/

>>489
特定UDPポートに、特定データを送り続けることができるようです
汎用ツール。実行したとたんに不幸が起こることはなさげです

493 ：名無しさん＠お腹いっぱい。：2011/03/26(土) 15:54:33.00 ?2BP(100).net

>>490
本体は以下の通りでした
ttp://vz.iminent.com/vz/8b3e4c20-3e13-44ee-9647-f88e0a9e0c1e/1/IMinentToolbar.msi
ttp://vz.iminent.com/vz/2057c8c8-10b9-49bf-a3ec-2cb50aaafd26/1/IMBooster.msi
ttp://vz.iminent.com/vz/db52b357-b528-4daf-a613-d6cc3b3a711c/1/SearchTheWeb.msi
ttp://vz.iminent.com/vz/79e9db19-ead8-4587-9491-3a8220cafb0e/1/FlashPlayer.exe

コンフィグ
http://toolbar.iminent.com/Config.xml http://apix.iminent.com/webbooster/config.xml

IMBooster は、WLのフックのため、アプリケーションディレクトリのmsacm32.dllを置き換えるかもしれません
SearchTheWeb に入っているIminent.BHO.NavigationError.dll は、
ナビゲーションエラー時の画面を置き換える効果があるようですが、
置き換えに失敗すると、新しいウインドウを作ってまた失敗して…になるので、
結局、エラーウインドウが沸きまくりのゆるいブラクラになります

494 ：名無しさん＠お腹いっぱい。：2011/03/26(土) 17:14:12.18 .net

>>491
いかにもあやしげな鯖 rutraffic.biz に飛ばされますが、つながりません
503扱い

495 ：名無しさん＠お腹いっぱい。：2011/03/28(月) 01:27:47.84 .net

xpnetdiag

496 ：名無しさん＠お腹いっぱい。：2011/03/29(火) 10:17:16.47 .net

http://uploda.in/file/src/up0162.zip.php

12345

497 ：名無しさん＠お腹いっぱい。：2011/03/30(水) 12:15:41.74 .net

>>491
繋がったり繋がらなかったりするようで
繋がったらexploit攻撃うけました

498 ：名無しさん＠お腹いっぱい。：2011/04/02(土) 07:21:32.04 ?2BP(100).net

>>496
MDIからPDFに落とし込めるらしいです
当方環境では、起動したとたんに不幸が発動する様子はなかったです
読み込みに必要なファイルは一応入っているようです

MSの純正エンジンで、TIFFは吐けるらしいので、それ使ったらよくね？というか。
http://msdn.microsoft.com/library/aa167607

動作確認はしてません MDIファイルってのがないので

499 ：12345：2011/04/06(水) 01:52:48.67 .net

http://uploda.in/file/src/up0173.zip.php

12345

500 ：12345：2011/04/06(水) 17:52:34.71 .net

http://uploda.in/file/src/up0176.zip.php

12345

501 ：名無しさん＠お腹いっぱい。：2011/04/07(木) 00:25:26.24 ?2BP(100).net

>>499
Babylon のツールバー他一式を入れないか、と言ってきます(アフィリエイト)
本体は、bittorrent で落としてきます このために、aria2c を同梱しています(プロセス単位)
http://www.mininova.org/tor/2997757

本体は45KB(展開後)で、vtによると、vt初出は2009/09だそうです
一応、ファイル名・ディレクトリ名決め打ちで簡単に指定フォルダを掃除してくれるみたいです
http://www.virustotal.com/file-scan/report.html?id=da8cbca1399b7345d6617d90ede793cb6b5366ba64c730a058dad59412da5f3d-1302100791


>>500
MS Removal Tool なるものが起動しました 真っ青地の壁紙に置き換えようとします
当方環境では、c:\programdata, HKCU\...\RunOnce に入りました

502 ：名無しさん＠お腹いっぱい。：2011/04/08(金) 21:23:29.59 .net

http://zipdkr.net/loda/src/zipdkr_29931.zip.html

12345

怪しいダウンロードサイトからの落し物

503 ：名無しさん＠お腹いっぱい。：2011/04/09(土) 00:01:57.92 .net

ぜんぜんおとせないお

504 ：名無しさん＠お腹いっぱい。：2011/04/09(土) 20:52:56.00 .net

真ん中までスクロールした？

505 ：名無しさん＠お腹いっぱい。：2011/04/10(日) 08:55:06.96 ?2BP(100).net

てゆーか403が返ってきてた
なんか嫌われてたらしい

で、外殻は、>>499,501 と同じ

本体は、これだそうな .torrent は、torrents.thepiratebay.org から持ってきます
> Tokyo.Collection.Special.3.[English].XXX.DVDRiP.XviD-WwW.TorrentesX.CoM.avi 700MB

本体は落としてないです
珍しいもの(EXEとかそっち系)が入ってたらもってきてちょ

506 ：名無しさん＠お腹いっぱい。：2011/04/11(月) 03:20:55.63 .net

http://www.speedyshare.com/files/27891029/7625.zip

12345

507 ：名無しさん＠お腹いっぱい。：2011/04/11(月) 03:32:44.53 .net

http://www.speedyshare.com/files/27891292/barre_menu.exe

１２３４５

508 ：507：2011/04/11(月) 03:52:22.72 .net

半分眠ってたのでそのままアップしてしまった
危険だからスルーして！！！！！！！！！！
脳豚は危険判定だそうです

509 ：名無しさん＠お腹いっぱい。：2011/04/11(月) 12:25:43.80 .net

>>506-507
共に何故かダウソできないよ＞＜

次からは流れの早い以下のうｐろだで頼む
ttp://www.dotup.org/

510 ：名無しさん＠お腹いっぱい。：2011/04/11(月) 13:03:38.55 .net

http://www.dotup.org/uploda/www.dotup.org1519204.zip.html

506と同じです

511 ：名無しさん＠お腹いっぱい。：2011/04/11(月) 13:15:31.79 .net

http://www.dotup.org/uploda/www.dotup.org1519213.7z.html

５０７と同じです

512 ：名無しさん＠お腹いっぱい。：2011/04/11(月) 13:23:29.03 .net

>>510
ttp://virusscan.jotti.org/en/scanresult/4d6b0d4e18e165e1c3c9440ad791e3bc06711166
>>511
ttp://virusscan.jotti.org/en/scanresult/eff24f6e8850c525a42b6c7da18dcfaf3aeb79c8

次からはブツ自体にもpass掛けてね

513 ：名無しさん＠お腹いっぱい。：2011/04/12(火) 05:42:48.15 .net

http://www.dotup.org/uploda/www.dotup.org1521654.7z.html

12345

514 ：名無しさん＠お腹いっぱい。：2011/04/12(火) 10:21:53.43 .net

pass?

515 ：名無しさん＠お腹いっぱい。：2011/04/12(火) 21:03:15.40 .net

http://www.dotup.org/uploda/www.dotup.org1523278.7z.html

12345


>>514
失礼数字が１つ多かったです　１２３４５６

516 ：名無しさん＠お腹いっぱい。：2011/04/12(火) 21:19:46.73 .net

>>515
http://virusscan.jotti.org/en/scanresult/c569879f4de1e278f496637f3a2dcfc9f2f61a0f

次からは以下で調べてもらったらどうだろう？

【鑑定目的禁止】検出可否報告スレ14
http://hibari.2ch.net/test/read.cgi/sec/1295261877/

517 ：名無しさん＠お腹いっぱい。：2011/04/16(土) 02:18:57.37 ?2BP(100).net

>>513
RARの自己解凍書庫のアイコンを貼った、ばかでかいEXEです
しばらくいじってたのですが、内部オブジェクトの移動の前後あたりでエラーになり落ちます
起動できてないですが、アイコンを偽装したEXEにろくなもんはない…という気が。
mailtoのハンドラの有無を見に行ってますが、それはQかなんかtの挙動かもしれない

>>515
MediaGet2 なるものを落として、それでpeepvoyeur を検索しようとします
http://download2.media-get.com/download.php
MediaGet2 はインスコ中に、Babylon 一式のインスコを薦めてきます
torrent のクライアントで、どこぞのまとめサイトからひっぱってきた人気ファイルを
簡単に落とせる？ように、それらしいUI上に出してきます
しばらくほうっておくと、SSLで利用者番号らしきものを取ってくるのですが、
やけに詳細にハードウェア情報を送ろうとするので、キモチワルイです
もしかしたら、背後でBOTクライアント動いてたりして…。解析はできてませんが。

518 ：名無しさん＠お腹いっぱい。：2011/04/17(日) 14:09:57.72 .net

http://www.dotup.org/uploda/www.dotup.org1538231.7z.html

http://www.dotup.org/uploda/www.dotup.org1538234.7z.html


12345

519 ：名無しさん＠お腹いっぱい。：2011/04/18(月) 00:02:14.44 ?2BP(100).net

>>506,510
BlackBox for Windows のプラグインの一部です 単体実行不可
ソースも出ているプラグインなので、自分でビルドすれば無問題

…っていう台詞がひるむくらい、ばりばり検出されてますね

参考に、メッセージフックを置く関数を2バイトだけ(FFD6→9090)潰してみました
http://www.virustotal.com/file-scan/report.html?id=c0a248ed415b4263cc2a7addce64a3842d87379266f017df4c776138799ce1a9-1302911312

520 ：名無しさん＠お腹いっぱい。：2011/04/18(月) 02:09:06.65 ?2BP(100).net

>>507,511
フランス語かなにかで書かれており、実行するといってもよくわからないです
実行はしてませんが、少し覗いてみました

シャットダウンを実行するアプレットのシャットダウン部分を1バイト潰して、
びふぉーあふたーでvtに送りつけてみました
http://www.virustotal.com/file-scan/report.html?id=deba67cd9b8ebddefe369e9e7e86f0c317d1165abb51602cf47fd70a87fe1f00-1303058790
http://www.virustotal.com/file-scan/report.html?id=0a92a45498daf7ef02c6697b8276c03fd7fb9c3fc3f646d583c14dba3ddf21eb-1303058149

同じく、電源操作のアプレットの本体部分について。
http://www.virustotal.com/file-scan/report.html?id=ffd87f54ff77d8ea7a3591e19b172bdddae8925412f0f294be4e8c3b79bd3575-1303059081
http://www.virustotal.com/file-scan/report.html?id=a41e0e69f91089b6208a80d2f17fb81b542c8caab8d7ba380051afe3f50d5871-1303059415

これらに限って言えば、誤検出ってことでいいんじゃないかなという気がする。

521 ：名無しさん＠お腹いっぱい。：2011/04/18(月) 10:20:14.04 ?2BP(100).net

>>518 の上 = >>464,465 (インストーラが一致)

522 ：名無しさん＠お腹いっぱい。：2011/04/18(月) 11:27:03.12 .net

ttp://rjlpranks.com/pranks/

脳豚が悪質サイトとして遮断したんですが怪しいファイルが
置いてあるのでしょうか？

523 ：名無しさん＠お腹いっぱい。：2011/04/18(月) 13:29:09.37 .net

>>522
Ｆ-ｓｅｃｕｒｅでも警告が出たね
何だろう？

Web サイト ://rjlpranks.com/pranks/

サイトの評価: 危険
Web サイトにアクセスしないことを推奨します
Web サイトから危険な動作やアイテムが検出されました。Web サイトは危険である可能性が高いです。

524 ：名無しさん＠お腹いっぱい。：2011/04/19(火) 12:42:33.38 ?2BP(100).net

>>518 下
ちょっとだけ実行してみました YouTubeDownloader なるものが入ってます
keepvid.com に丸投げするだけの簡単なお仕事です。のような気がする。

Enigmaでパックされてます。アンパック後は、700KB弱. ただし、CRT/MFC含む。

525 ：名無しさん＠お腹いっぱい。：2011/04/29(金) 18:11:35.11 .net

http://www.dotup.org/uploda/www.dotup.org1581773.zip.html

infected

526 ：名無しさん＠お腹いっぱい。：2011/04/30(土) 11:03:01.35 ?2BP(100).net

>>525
Director10 のプレーヤです 全画面にひろがり、終了方法がわかりにくい。
クリックすると、座標らしきものが表示され、なんかしゃべります(ｗ

細かい解析はしてません
砂箱でしばらくつついた感じでは、外部への通信はなかったです
HKCUにShockwave のキーが増えますが、ランタイムの仕様でしょう、たぶん。

527 ：名無しさん＠お腹いっぱい。：2011/05/02(月) 16:35:30.56 .net

http://www.dotup.org/uploda/www.dotup.org1593863.zip.html

12345

528 ：名無しさん＠お腹いっぱい。：2011/05/02(月) 17:58:52.36 .net

http://www.dotup.org/uploda/www.dotup.org1594113.zip.html

12345

529 ：名無しさん＠お腹いっぱい。：2011/05/02(月) 20:41:17.81 ?2BP(100).net

>>528

>>499,501 とかとおなじ。内臓のAria2 でこれを落としてくるのですが…。
http://thepiratebay.org/torrent/4655976/

全然落ちてこない。なんなのｺﾚｗ

落ちてこないなあ、やっぱBabylon 入れないといけないのかなあ。
とかって思わせるのかな。

503扱いで。

530 ：名無しさん＠お腹いっぱい。：2011/05/02(月) 21:20:59.97 ?2BP(100).net

>>527
AppData\Roaming に本体が移動し、以下のコントロールサーバ(推定)と通信します
内容は暗号化されてるので、見ても判りません
http://vip.glavinassociates｡com/galvin/gav.(bin|php)

有害でいいでしょ。

unpackしたものを投げてみます。参考に。
http://www.virustotal.com/file-scan/report.html?id=b0519ea9f881ada6704dd99b62d745b92787673ef91fb234b1e61f15572f8e41-1304337796

531 ：名無しさん＠お腹いっぱい。：2011/05/03(火) 20:38:57.02 .net

http://www.dotup.org/uploda/www.dotup.org1599330.zip.html

12345

532 ：名無しさん＠お腹いっぱい。：2011/05/03(火) 20:56:00.11 .net

404

533 ：名無しさん＠お腹いっぱい。：2011/05/04(水) 07:20:41.12 .net

何言ってるんだ…と思ったら、認証後の本体URLが404だったでござる

こんなこともあるのねー

534 ：名無しさん＠お腹いっぱい。：2011/05/04(水) 09:36:57.95 .net

http://u1.getuploader.com/oklsslv2ym/download/8/www.dotup.org1599330.zip

12345

535 ：名無しさん＠お腹いっぱい。：2011/05/06(金) 12:33:54.07 .net

ぱっと見、>>471 と似たようなやつの気がする まだ実行はしてない

536 ：名無しさん＠お腹いっぱい。：2011/05/08(日) 17:08:36.09 .net

ttp://cheetu.malremoval.hop.clickbank.net/?aid=3217&tid=spy&mode=download&pp=3

537 ：名無しさん＠お腹いっぱい。：2011/05/08(日) 17:13:15.65 .net

>>536
3217 は省かせてもらいました
ちょくりん → http://www.malwareremovebot｡com/malwareremovalbot/setupxv.exe

538 ：名無しさん＠お腹いっぱい。：2011/05/15(日) 07:39:42.53 .net

http://hibari.2ch.net/test/read.cgi/software/1085456540/957-

539 ：名無しさん＠お腹いっぱい。：2011/06/09(木) 12:04:57.24 .net

558

540 ：名無しさん＠お腹いっぱい。：2011/06/10(金) 10:57:19.01 .net

http://foconde.net/scan.php

迷惑メールのURL

541 ： 忍法帖【Lv=10,xxxPT】 ：2011/06/10(金) 18:02:46.24 .net

http://hibari.2ch.net/test/read.cgi/software/1085456540/977

---

()

542 ：名無しさん＠お腹いっぱい。：2011/06/10(金) 18:42:32.40 .net

>>540
さんざんあっちこっちに飛ばされて、 ttp://mreux｡com/nTorent.exe になった
一応落としたが、なんか壊れてる気がする 4KBほど何か足りない

>>541
http://www.btfree｡info/file.php?job=action&action=get&downfile=d480e518d8400f2
砂箱避けが効いているとみえ、当方環境ではなにも起きなさすぎる
ｖｔによれば、fakealertかなにかだそうだ
http://www.virustotal.com/file-scan/report.html?id=168d4f695cccb455473a024f4f677251b94b9d8fcd84fa8684af9b900d7cb04c-1307698408

543 ：名無しさん＠お腹いっぱい。：2011/06/10(金) 22:29:46.40 ?2BP(100).net

>>541,542
砂箱避けを避けると、インチキセキュリティソフトのダウンロード画面が出たので、
インチキセキュリティソフト確定でいいかと。

544 ：名無しさん＠お腹いっぱい。：2011/06/11(土) 16:02:00.97 .net

http://www.dotup.org/uploda/www.dotup.org1692137.zip

545 ：名無しさん＠お腹いっぱい。：2011/06/11(土) 19:43:07.36 .net

http://hibari.2ch.net/test/read.cgi/software/1239497121/879

546 ：名無しさん＠お腹いっぱい。：2011/06/11(土) 22:28:47.87 .net

>>545
>>541 と同じパッカ アウトだとおもわれ

547 ：名無しさん＠お腹いっぱい。：2011/06/11(土) 22:36:25.87 .net

>>544
なでしこのランタイム。スクリプトが平文で書いてあるので、覗いてみては。
実行はしてません。

548 ：名無しさん＠お腹いっぱい。：2011/06/13(月) 20:06:48.34 ?2BP(100).net

>>545,546
結局、>>541 と同じ画面でました。

549 ：名無しさん＠お腹いっぱい。：2011/06/17(金) 15:52:54.88 ?2BP(100).net

関係者各位、適宜法対応されたし。


「ウイルス」作成を処罰＝サイバー犯罪に対応、７月から−改正刑法が成立
http://www.jiji.com/jc/c?k=2011061700056

/.J より引用: 人に実行させる目的でウイルスの取得や保管も
2年以下の懲役または30万円以下の罰金となる。

550 ：名無しさん＠お腹いっぱい。：2011/06/27(月) 21:54:10.04 .net

http://songivu.in/Minecraft.1.0.17.45096.exe

お願いします

551 ：名無しさん＠お腹いっぱい。：2011/06/27(月) 21:56:53.15 .net

>>550ですけどマイクラダウソしようとしたら・・・('A`)

実行したらIEが挙動不審しております

対策と後処理のやり方もお願いします

552 ：名無しさん＠お腹いっぱい。：2011/06/27(月) 22:36:58.14 .net

>>550
File name: Minecraft.1.0.17.45096.exe Submission date: 2011-06-27 13:07:27 (UTC) Result: 8/ 42 (19.0%)
http://www.virustotal.com/file-scan/report.html?id=3a89dc5c89a9cf0c34f6153c650a233cd8993a49dc000dfe6082f29be40a90fa-1309180047

553 ：名無しさん＠お腹いっぱい。：2011/06/27(月) 22:57:39.94 .net

>>552
つまり・・・どゆこと？

554 ：名無しさん＠お腹いっぱい。：2011/06/27(月) 23:02:27.25 .net

>>553
気になるなら再インスコ
気にならないなら放置

555 ：名無しさん＠お腹いっぱい。：2011/06/27(月) 23:09:33.94 .net

>>554
IEをですか？OSをですか？

556 ：名無しさん＠お腹いっぱい。：2011/06/27(月) 23:17:03.94 .net

>>555
http://www.google.co.jp/search?q=Mal%2FFakeAV-IZ&rls=com.microsoft:ja:IE-ContextMenu&ie=UTF-8&oe=UTF-8&sourceid=ie7&rlz=1I7ADBR_ja&redir_esc=&ei=4I8ITsr8Fom4vwOio5TcDg

557 ：名無しさん＠お腹いっぱい。：2011/06/27(月) 23:33:07.97 .net

>>555
ttp://about-threats.trendmicro.com/malware.aspx?language=jp&name=TROJ_RENOS.SM10

ﾏﾝﾄﾞｸｾ━━━━━━('A`)━━━━━━!!

558 ：名無しさん＠お腹いっぱい。：2011/06/27(月) 23:42:32.97 ?2BP(100).net

踏んでみました
%temp%に3個、%windir%直下に1個、system32(syswow64)に1個EXEが発生しました

thepiratebay.org, mininova.org, suprbay.org へのアクセスを阻止するhosts改ざんがありました

タスク
HKLM\software\microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\software\ 直下
HKLM\software\ 直下 (環境によっては Wow6432Node下)
に自動起動のエントリができました

途中で、サーバが302を返したのをうまく処理できなかったのか、感染が最後まで完了しなかったようです
参考までに。

559 ：名無しさん＠お腹いっぱい。：2011/06/27(月) 23:55:58.77 .net

CCleanerみたいなソフトでも出来ますか？

560 ：名無しさん＠お腹いっぱい。：2011/07/15(金) 04:17:11.97 .net

キャプチャソフトでこれをインストールすればいい
とネットの友人に言われて下記のようなexeファイル
ttp://serialwarezxx.servehttp.com/getfile/Keygen.Bandicam.v1.7.0.126.exe
を落としてダブルクリックしたら、その落とした
exeファイル自体が消えてしまいました
これはもしかしたらウィルスかスパイウェア？
なのかと心配になりここに来た次第です

こういったクリックしたら消えるexe
と言うのは一体何なのでしょうか？
ソフトもインストールされた気配も無いですし

561 ：名無しさん＠お腹いっぱい。：2011/07/15(金) 08:51:35.83 .net

ドメイン屋に飛ばされる 実質404

ま、だめぽでしょう
まじもんのkeygenが、自己消去しなきゃならん理由がないからね

そのネットの友人に頼ることですね


居るのなら。

562 ：名無しさん＠お腹いっぱい。：2011/07/15(金) 11:42:13.56 .net

560です
>>561さん
本体じゃ無くてkeygenって奴だったんですね
てっきりそれ入れたらソフト自体が入るのかと思っていました
症状調べると勝手に変なサイトに飛ぶようになってたしマルウェア
って奴だったみたいです

ちょっとその友人に聞いてみます
ありがとうございました

563 ：名無しさん＠お腹いっぱい。：2011/07/15(金) 12:34:31.16 .net

そんなあやしいものを、自ら踏むこともせずに薦める
リアル友人がいるとは思いたくなかったんだが…。
とりあえず何かがんばれ

564 ：名無しさん＠お腹いっぱい。：2011/07/15(金) 12:46:24.90 .net

>>563
ありがとうございます

さっきメールで聞いてみたら当の本人もよく分かって
いなかったらしく、Bandicamと言うキャプチャソフトを
無料で使える程度にしか思ってなかったそうです

ひたすら謝られました・・・けど自分でもよく
調べてなかったので自己責任です
いい勉強になりました

ここで聞き終わった後、別スレで聞いてみましたが、
マルチやら違法だから駄目？的な事を言われて拒否されました・・・
クリーンインストールしかなさそうですね

重ね重ねありがとうございました

565 ：名無しさん＠お腹いっぱい。：2011/08/08(月) 17:30:03.62 .net

http://checksystem.cz.cc/

よろしくお願いいたします。

566 ：名無しさん＠お腹いっぱい。：2011/08/08(月) 18:37:01.24 .net

All Users の中にコピーができ、http://www.avplus2011pro.com/ から
本体を落とそうとしますが、当方環境ではうまく落ちてきません 保留扱い
動作の過程で、HKCUのRunとhostsがいじられる…かも

567 ：名無しさん＠お腹いっぱい。：2011/08/09(火) 02:49:29.62 .net

http://2chnull.info/jump/http://u1.getuploader.com/yosiryuu/download/109/SF%E6%96%B0WH2010_1_22.zip

568 ：名無しさん＠お腹いっぱい。：2011/08/09(火) 12:41:59.66 .net

Vista(32bit)の、↓と比較してみてください 俺もってない。
C:\Program Files\Microsoft Games\Minesweeper\MineSweeper.exe

いっしょだとしたら、配布元さんには、
「なにか足りなくね？あとMSにライセンス料払ってくれてありがとう、ご馳走様」
って言っておいて

569 ：名無しさん＠お腹いっぱい。：2011/08/20(土) 11:54:16.67 .net

http://meta-search.net/search/?id=78&q=Super+bowl+sunday+2011+date+and+time

570 ：名無しさん＠お腹いっぱい。：2011/08/21(日) 14:39:13.03 ?2BP(100).net

実行が最後まで行かなかったので、参考程度で

実行すると、torrentのクライアントと、Babylonと他何かのツールバーが
抱き合わせになった本体を落としに行きます

共通本体 ttp://setup.downvision.com/DownVisionSetup.exe
データ例 ttp://stat.downvision.com/up.php?id=20110819117184

idは、ダウンローダのDelphiのバイナリフォームに直接書かれています

571 ：名無しさん＠お腹いっぱい。：2011/08/25(木) 05:11:33.61 .net

http://skype-downloads.ru/

572 ：名無しさん＠お腹いっぱい。：2011/08/25(木) 12:45:10.92 .net

いまいったら403です

573 ：名無しさん＠お腹いっぱい。：2011/08/25(木) 19:45:37.22 .net

http://malwareremovalbot.com/

574 ：名無しさん＠お腹いっぱい。：2011/08/27(土) 01:32:46.27 .net

しょうもないぼったくりセキュリティソフトのようです
新しいものはさっぱり検出しなかったし、アホな誤検出もありました

x64環境にはインストールできませんでした
強制的にばらして起動した感じでは、特に動かない感じでもなかったですが。

575 ：名無しさん＠お腹いっぱい。：2011/08/27(土) 03:11:24.85 .net

http://www.iis.net/download

576 ：名無しさん＠お腹いっぱい。：2011/08/27(土) 09:51:18.38 .net

どれをみるんだｗ 汚染されたのかな

577 ：名無しさん＠お腹いっぱい。：2011/08/27(土) 10:22:24.50 .net

http://img-video-xxx.com/2009/08/20/omany-08-16-minako-ooyama-2009.html

動画の再生をクリックするとカスペが「悪意あるURL」と反応します
なんでしょうか？誤認？

578 ：名無しさん＠お腹いっぱい。：2011/08/27(土) 16:12:56.71 .net

>>577
リンク先切れてるから不明

579 ：名無しさん＠お腹いっぱい。：2011/08/28(日) 02:46:03.18 .net

>>577
seefilmfeature.com に置いてある何かにリンクあり
seefilmfeature.com が今実質404のため、それ以上のことは不明

580 ：名無しさん＠お腹いっぱい。：2011/08/28(日) 11:25:38.61 .net

http://www.trackzapper.com/

ここで配布されてるソフト信用できますか？

581 ：名無しさん＠お腹いっぱい。：2011/08/28(日) 23:20:58.60 .net

仮に無害だとしても、品質には疑問あり

system32 にメンテナンス非対象のFlash8.ocxを放り込むようなベンダに、
まともなソフトの維持がつとまるはずがないです

582 ：名無しさん＠お腹いっぱい。：2011/09/06(火) 09:40:11.61 .net

http://u1.getuploader.com/oklsslv2ym/download/10/888casino+%282%29.zip

12345

583 ：名無しさん＠お腹いっぱい。：2011/09/11(日) 02:39:02.84 ?2BP(100).net

一段だけ実行しました なんかそれらしい本体(12MBくらい)を落としてきます
*.casino-on-net.com をゲームサーバに指定しているらしいので、
そこのゲームがいけてるかどうかってことになりそうです

584 ：名無しさん＠お腹いっぱい。：2011/09/12(月) 12:28:11.44 .net

http://www.divxdownloads.org/

585 ：名無しさん＠お腹いっぱい。：2011/09/12(月) 18:34:29.98 ?2BP(100).net

踏もうとすると、ZCと名にあるとおりですね
まずはvt
http://www.virustotal.com/file-scan/report.html?id=8b23fd79ab1bd01fe9c1fddc57c50eae3aa8e6e76db824d4d15b6026d20d2f8e-1315819692

踏むのはのちほど

586 ：名無しさん＠お腹いっぱい。：2011/09/14(水) 18:32:11.34 .net

Emsisoftで完全スキャンしていた所アイコンファイルからTrojan-Downloader.Remote!IKなるモノを検出しました
ググっても全然情報がないのでVirusTotalでそのアイコンファイルをスキャンしてみたら4 /44という結果でした
アイコンファイルはセットで落としたもので念のために他のアイコンもVirusTotalでスキャンしても何も出ませんでした
よろしくお願いします

http://www1.axfc.net/uploader/Sc/so/274616
123

587 ：名無しさん＠お腹いっぱい。：2011/09/15(木) 13:43:06.75 ?2BP(100).net

>>586
誤検出でいいと思います
ラスト6KBあたりに、既存のマイクロウイルス(exploit)によく似た部分があるようで、
そこを目視確認しましたが、プログラムらしげなものはなかったです

電子すかしでも入ってるのかな


はたらいてくる

588 ：名無しさん＠お腹いっぱい。：2011/09/15(木) 17:23:54.29 .net

>>587
ありがとうございます

589 ：名無しさん＠お腹いっぱい。：2011/09/15(木) 22:47:34.82 .net

http://www1.axfc.net/uploader/Sc/so/275000.7z&key=FakeDR

×マークのアイコンのファイルの挙動がよく分かりません

590 ：名無しさん＠お腹いっぱい。：2011/09/18(日) 03:41:28.87 ?2BP(100).net

>>584-585
少し日が経ったので、リンク先のファイルを再取得して踏んでみました
最終的には MD5:8e4adf256fca604f1143443acbb359c6 のxvid.exe が落ちてきましたが、
その間に、babylonSK100632.exe, questscan-setup.exe, ShprRprt.exe,
ClickPotatoLiteInstaller.exe (順不同)を順次落として実行しようとしました
いずれもアドウェア、アフィ付DLということでよさげです

conclusion: 本家から落とそうｗ

591 ：名無しさん＠お腹いっぱい。：2011/09/18(日) 06:09:23.29 ?2BP(100).net

>>589
ちょっと時間があったのと、読みやすかったので、ある程度調べました
実行すると、速攻でDefenderを落としにいきます 一部ロシア語圏だと感染が免除されるようです
ブラウザが起動しておれば落とし、C:\Users\All Users に自身をコピーして、
CheckExeSignatures, SaveZoneInformation などの設定を緩め、制御をそっちに移します

壁紙をリセットするか(初回のみ)、explorer を落とし、
HDDアクセスをムダに発生させつつHDD随所にhidden設定等を行い(attrib)、
あとタスクマネージャを起動できなくするなどの自己防御設定を行います
並行て、内臓されているインチキシステムチェッカを産み落とし、起動します

デスクトップにlicense.txtというファイルを置いて再起動すれば(あるいは、%CSIDL_COMMON_APPDATA%\*.lic)、
一定範囲で異常を元に戻してくれるようですが、いろいろと不完全で、あんまりあてにはならないです

あと、感染数の統計を取っているのか、ログ鯖にhttp通信をします
URLを埋め込んでおけば、そこから次のウイルスを取ってくる実装が見られますが、未指定です

592 ：名無しさん＠お腹いっぱい。：2011/09/18(日) 17:12:51.22 .net

toolbarqueries-google.com

見るからにあやしいサイト　よろしくお願いいたします。

593 ：名無しさん＠お腹いっぱい。：2011/09/18(日) 21:21:16.89 .net

空ページがかえってくるだけ

toolbarqueries.google.com ←これがホンモノ

594 ：名無しさん＠お腹いっぱい。：2011/09/19(月) 00:11:04.23 .net

http://www.doctor-alex.com/download.htm

595 ：名無しさん＠お腹いっぱい。：2011/09/19(月) 10:47:38.33 ?2BP(100).net

かれこれ4年以上、このバージョンは開発が止まっています
パス/MD5で、有名なマルウェアを検出するようです

データベースを解凍すると、以下の文字列があったので…

> ... is Ported to VB5 and compiled to NATIVE CODE, uses custom control ...

…ぐぐると、www.spynomore.com に当たります
配ってるデータベース形式も似てますし、後継製品かなと

596 ：名無しさん＠お腹いっぱい。：2011/09/20(火) 06:07:09.35 .net

http://www.systweak.com/adu/adl/?gclid=CJ2_vPeaqqsCFWNNpgod_3fmzQ

597 ：名無しさん＠お腹いっぱい。：2011/09/24(土) 18:35:34.14 .net

http://u1.getuploader.com/oklsslv2ym/download/11/Lode_Runner_Episode_I_jp.7z

１２３４５

598 ：名無しさん＠お腹いっぱい。：2011/09/24(土) 22:15:44.69 .net

>>569
最新のドライバを提案してくるユーティリティですが、
DB持ってないじゃん？と思ったら、SOAPで鯖に聞きに行ってました。
レジすると落とせるのかもしれませんが、そこまではわかりません

ところで、レジストリがなんとかいう文字列がリソースにあるのは、なんだろう。。

conclusion: 無理にこれ使わなくても…ｗ

599 ：名無しさん＠お腹いっぱい。：2011/09/25(日) 06:09:35.05 .net

http://u1.getuploader.com/oklsslv2ym/download/12/vclean.7z

１２３４５

600 ：名無しさん＠お腹いっぱい。：2011/09/27(火) 22:32:17.25 .net

https://sms.kelyan.net:41443/brightmail

あやしいファイルならぬあやしい迷惑メールなんですが
詐欺でしょうか？

601 ：名無しさん＠お腹いっぱい。：2011/09/29(木) 00:41:58.18 .net

>>600
そもそも、SSLの証明書に、Webメールのデモ版に入ってるのを
そのまま使ってる(推定)らしいので、普通に見たのではエラーになります
ttps://sms.kelyan.net:41443/brightmail/quarantine/viewMsgDetails.do?id= ...
みたいなやつをぐぐるで拾ってみると、
ttp://www.best.teacherdragged.com/ に飛べと言われます
エロサイトx2, バイアグラサイトx1 の広告でした

602 ：名無しさん＠お腹いっぱい。：2011/09/29(木) 00:50:24.63 .net

△みたいなやつをぐぐるで拾ってみると、... に飛べと言われます
○みたいなやつを試しにひとつぐぐるで拾ってみると、... に飛べと言われました

603 ：名無しさん＠お腹いっぱい。：2011/10/06(木) 00:11:03.96 ?2BP(100).net

>>599
インチキセキュリティソフトです
起動するプロセスを監視して、なんでもかんでも有害扱いにして、次々落とされます
購入状態になると、なにも検出しなくなるようです(きれいになった！…ってちがーう！)
購入状態になると、アップデートができるようになった…って、google.com に見に行くだけで、
実際は何もしないみたいです

OEP 10544CC.

604 ：名無しさん＠お腹いっぱい。：2011/10/06(木) 00:28:03.98 ?2BP(100).net

>>597
砂箱内で1面だけ試用しましたが、普通に動作しているように見えます
環境・情報を保護するソフトウェアの併用を検討してください(>>2)

一応こちらと一致しました
ttp://download.zxgames.com/lode-runner-episode-1/Lode_Runner_Episode_I_jp.exe

>>599
おまけ: 購入画面こちら ttps://secandpay.net/payform/

605 ：名無しさん＠お腹いっぱい。：2011/10/07(金) 04:58:34.42 .net

http://u1.getuploader.com/oklsslv2ym/download/13/Babylon9_setup.7z

qwert

606 ：名無しさん＠お腹いっぱい。：2011/10/07(金) 12:21:11.75 .net

http://kujira.digi2.jp/WPE.zip

あやしいサイトです　よろしく

607 ：名無しさん＠お腹いっぱい。：2011/10/07(金) 13:05:13.72 ?2BP(100).net

>>606
もしかして: 升ですか？

WPE Pro は、なんでしたら、本家のをお使いください http://wpepro.net/
スクリプトについては、試しようがないですので、わかりかねます

.oO(ピグって、あんまりサーバサイドチェックしてないのかもしらんね)

608 ：６０６：2011/10/07(金) 19:23:25.61 .net

>>607

違いますニートです。回答ありがとう

609 ：名無しさん＠お腹いっぱい。：2011/10/07(金) 19:30:58.67 .net

http://u1.getuploader.com/oklsslv2ym/download/14/Retrogamer.7z

１２３４５

610 ：名無しさん＠お腹いっぱい。：2011/10/08(土) 20:26:16.92 ?2BP(100).net

>>605
次のファイルに一致しました
http://dl.babylon.com/site/files/Babylon9/Babylon9_setup.exe
セットアップされたファイル(除くツールバー)をかためて、一応vtに投げてみます
http://www.virustotal.com/file-scan/report.html?id=985d257b7f200643f2f1543b09dd9ed8b9771e6a369e3aecf03ba1997b07d38a-1318069268

ちなみに、ツールバーにあるゲームボタンは、
http://www.babylon.com/redirects/redir.cgi?type=mtb_games
に飛ばされました

611 ：名無しさん＠お腹いっぱい。：2011/10/08(土) 23:18:39.75 ?2BP(100).net

>>609
一見インチキに見えますが、funwebproducts のツールバーを入れると、
Mindspark社の契約した組み込みアカウントで、
http://www.gametap.com/ のゲームができます。ということのようです

一応起動しました
ごちゃごちゃとツールバー側のファイルが入るため、安全のほどは不明です
環境・情報を保護するソフトウェアの併用を検討してください(>>2)

612 ：名無しさん＠お腹いっぱい。：2011/11/12(土) 12:23:18.42 .net

http://soft.foxtab.com/media-player/gc/sf/?adnm=14561229952&lg=EN&cc=JP&c=1&d=1&cid=_25114099&kw=&mn=www.dipity.com&Network=D&expr=&agid=_2530673983

あやしいソフト

613 ：名無しさん＠お腹いっぱい。：2011/11/12(土) 22:08:43.54 ?2BP(100).net

一応、簡単なFLVプレーヤが入りましたが、
BabylonToolbar, dealply のアフィ稼ぎのようです

PEヘッダのチェックサムを毎度変更してきます
発行IDかなんかですかね

614 ：名無しさん＠お腹いっぱい。：2011/11/17(木) 05:01:16.29 .net

http://u1.getuploader.com/oklsslv2ym/download/15/setup-vgirl-us_QjsYEmcdVcL.7z

１２３４５

615 ：名無しさん＠お腹いっぱい。：2011/11/17(木) 15:34:20.79 .net

VGもQtベースになったんですねえ
…無用にでかいぞ

あとで走らせてみます

616 ：名無しさん＠お腹いっぱい。：2011/11/25(金) 21:43:06.83 .net

お疲れ様です
手動復帰ノ

617 ：名無しさん＠お腹いっぱい。：2011/11/29(火) 12:35:21.98 ?2BP(100).net

>>614
VirtualGirl のクライアントです。本場のストリッパーがデスクトップで踊ります。
「カード」(デモ無料、フルセットはそれぞれ1-2ドル)を集めてインストールし、鑑賞します。

初回起動時に、アカウントの取得を求められます。作成する…と操作すると、
メアドの入力すらいらず、仮アカウントが即座に発行されます。

モデルの表示は、タスクアイコンをクリックすると、フェードアウト(停止)します。

配信コストの関係があるとみえ、P2Pでの取得を許可すると、20スロット。
許可しなければ(元鯖からhttpで取得)、5スロットが与えられ、無料カード(デモ)が入ります。
デモは微絵炉が多いみたいですが、たまにﾃｨｸﾋﾞ透けてるモデルさんもいます。

取得した無料カードの一覧は、ローカルに保持され、アカウントに紐付けられる
わけではないようです(後日再インストールで無料分の権利消滅)。

618 ：名無しさん＠お腹いっぱい。：2011/11/29(火) 12:35:52.28 ?2BP(100).net

落としてきた動画(独自形式)は、保持しておくと再ダウンロードを抑制できるようです。

複雑なソフトウェアなので、安全性は不明です(悪意はなくても、脆弱性があるかもしれません)
完全な安全を目指すには、環境・情報を保護するソフトウェアの併用を検討してください。(>>2)

>>616 ﾉｼｼ

619 ：名無しさん＠お腹いっぱい。：2011/12/03(土) 00:56:44.51 ?2BP(100).net

英外務省の下部組織、政府通信本部（GCHQ）が採用活動の一環として、
ネット上に暗号解読クイズページ「_Can you crack it?」を立ち上げた。
http://www.itmedia.co.jp/news/articles/1112/02/news085.html

http://www.canyoucrackit.co.uk/


# 結構良問かと。

620 ：名無しさん＠お腹いっぱい。：2011/12/06(火) 10:03:06.35 .net

http://u1.getuploader.com/oklsslv2ym/download/16/WeatherDesktopSetup.7z

１２３４５

621 ：名無しさん＠お腹いっぱい。：2011/12/06(火) 13:07:47.26 ?2BP(100).net

>>620
www.google.com/ig/api?hl=en&weather= からお天気を照会してくるだけの
簡単なお仕事です。のような気がします。

Babylon のアフィを稼ごうとします。いつものとおりです。

622 ：名無しさん＠お腹いっぱい。：2011/12/09(金) 06:41:52.29 .net

wpe proって有害なんですか？
ウィルス・バスターにブロックされます・・・

623 ：名無しさん＠お腹いっぱい。：2011/12/09(金) 06:46:45.40 .net

追記
しかもダウンロードしたんですがきどうできません！

624 ：名無しさん＠お腹いっぱい。：2011/12/09(金) 09:33:03.56 ?2BP(100).net

WPE Pro は、原理的には、不正に利用すれば、セキュリティの問題を起こすことができます。
原始的な刃物は、便利だが危険なのと似ています。

WPE Pro に似せたウイルス、とかだったら当スレのよく扱う範囲ですが、
WPE Pro の使い方については、紹介元にお尋ねください。

625 ：名無しさん＠お腹いっぱい。：2011/12/11(日) 05:55:32.87 .net

http://www.vlcplayerdownload.com/

まともに動作するか鑑定お願いします

626 ：名無しさん＠お腹いっぱい。：2011/12/11(日) 06:00:59.06 .net

http://www.vlcplayerdownload.com/download/drd-jp/setup.exe

すみません　こちらが正しいURlです

627 ：名無しさん＠お腹いっぱい。：2011/12/11(日) 11:47:03.80 ?2BP(100).net

Babylon のツールバーのアフィを稼ぎつつ、VLCをインストールします
ttp://us.bndle.com/vlc.7z
このVLCは、ブラウザプラグインがなく、SDKが付いてきます
っていうか、中身はインストールイメージで、インストーラではありません
(GPLのものなので、どう配ろうとかまいませんが、
複雑なソフトを初心者に配信するのに、これで大丈夫か？とは思いますが。)

ツールバーのURLをvtに投げた結果です。中身はともかく、サイトはグレー、と。
http://www.virustotal.com/url-scan/report.html?id=4f3db49c359884c4dc92dcc7f8ec8c2f-1323567328


conclusion: 本家のやつでいいんじゃないでしょうか。

628 ：名無しさん＠お腹いっぱい。：2011/12/11(日) 12:21:07.32 .net

鑑定ありがとうございます。本家から落とします

629 ：名無しさん＠お腹いっぱい。：2011/12/25(日) 04:44:28.01 .net

http://www.etype.com/Landing/eTypeWelcome2.php?kind=d&SourceId=355&CreativeId=10959110&LineItemId=3506146&PublisherId=3278236&SectionId=8642223&context=0000769ebb34d9a0b4aff91da13d0d5f2e186

630 ：名無しさん＠お腹いっぱい。：2011/12/26(月) 13:38:34.98 ?2BP(100).net

途中経過報告。
SweetIM なるものと、eTypeのインストーラ(これまたwebsetup)を落としてくるようになっています。

SweetIM は未チェックです DrWeb はadwareだと言ってます。
http://www.virustotal.com/file-scan/report.html?id=c3ec4d7ed3baad8aae23df81105e2ae469165fde4d29b684b2a7bdb6ca0688f8-1324873372

eTypeの本体はこちら。http://newversion.etype｡com/SilentInstall/eTypeSetup.exe
eTypeは、オートコンプリート機能が主で、簡単な英和機能、シソーラスが付くそうです。
英和の訳語を入力すると、SNS類のAPIと連動して、ポイントやバッジが付与されるんだそうです。
簡単な辞書らしきものがセットアップされますが、基本的にはオンラインで使ってくれとか。

SNS機能はともかく、すこし使ってみます。

631 ：名無しさん＠お腹いっぱい。：2012/01/03(火) 23:16:22.00 ?2BP(100).net

三が日中に、あけおめ。ことよろ。

>>630 は、pendingになってます。御免。

632 ：名無しさん＠お腹いっぱい。：2012/01/06(金) 02:01:46.74 .net

鑑定おねがいします
http://ux.getuploader.com/ryousoft/download/18/MUSUKARS_ZIP.zip

633 ：名無しさん＠お腹いっぱい。：2012/01/16(月) 13:24:21.61 .net

>>632
解析が間に合わないので、パスにします
イタズラする側でしたら、発行元にソースらしきものがおいてあるので、
ご自分でコンパイルされるといいかと思います

634 ：名無しさん＠お腹いっぱい。：2012/01/25(水) 21:39:48.25 .net

あ

635 ：名無しさん＠お腹いっぱい。：2012/01/31(火) 06:30:51.23 .net

http://www.iqonn.com/downloads/

636 ：名無しさん＠お腹いっぱい。：2012/01/31(火) 16:28:37.75 .net

http://u1.getuploader.com/oklsslv2ym/download/17/ADLSoft_UnCompressor.7z
１２３４５

637 ：名無しさん＠お腹いっぱい。：2012/01/31(火) 17:01:24.25 .net

>>635
見るからに著しい異常がないかだけみます

>>636
またばびろんか
帰ったら見ますが、本家のでよくないか？みたいな希がす

638 ：名無しさん＠お腹いっぱい。：2012/02/01(水) 02:23:24.56 .net

>>637
EULA に、

> The Software uses Common Archiver Kit Experiment 3 under GPL ...

などと書いてありましたが、実際には、7za.dll がバイナリリソースとして入っていて、
これのフロントエンドになっているようです。

だったら、7zfmでよくないか？っていう。

標準では、babylon toolbar を入れませんか、と言ってきます。拒否れました。

639 ：名無しさん＠お腹いっぱい。：2012/02/01(水) 05:23:52.75 .net

http://u1.getuploader.com/oklsslv2ym/download/18/SONOMoSucker+3.0b.zip

１２３４５

640 ：名無しさん＠お腹いっぱい。：2012/02/01(水) 11:52:25.82 .net

要PASS…？

641 ：名無しさん＠お腹いっぱい。：2012/02/02(木) 11:10:01.93 .net

>>639
ＲＡＲＳＦＸ０

ウイルス検査したらパス求められて上の記号入れたら
検査できたけど　これがパスワードなのかな????????
ちなみに結果は不検出　Bitdefenderです

642 ：名無しさん＠お腹いっぱい。：2012/02/02(木) 11:21:17.92 .net

>>639
実行するとパスを求められる事もなく
インストール画面がでてきたけどwww
どうもハッカツールみたいです

643 ：名無しさん＠お腹いっぱい。：2012/02/02(木) 12:35:10.98 .net

>>642
最後まで進んだ？

644 ：名無しさん＠お腹いっぱい。：2012/02/03(金) 11:04:56.15 .net

>>643
６４１の記号をいれると展開するけど途中で
このファイルは破損してる旨の英文エラー
がでる

645 ：名無しさん＠お腹いっぱい。：2012/02/06(月) 18:41:42.33 .net

http://lp.imesh.com/?sysid=1&amid=9003&subid=00bipFv8uYOd4381xy1I1ikPG9000000&ce_cid=00bipFv8uYOd4381xy1I1ikPG9000000

646 ：名無しさん＠お腹いっぱい。：2012/02/06(月) 19:00:48.45 .net

http://www.vlcplayerdownload.com/download/ww/EN/cn_download.htm?campaign=ww&t202kw=443146296

647 ：名無しさん＠お腹いっぱい。：2012/02/06(月) 20:45:39.45 .net

# 或る事情により、速攻(簡易鑑定水準)を1週間程度お休みいたしまする。。

648 ：名無しさん＠お腹いっぱい。：2012/02/06(月) 23:20:40.61 .net

Deus Exというシングルゲームでチートを使うツールを鑑定してもらいたいです。
Avastやカスペルだと有害と出るのですが…
お時間がある方よろしくお願いします。

ttp://www1.axfc.net/uploader/He/so/353116.rar
virus

649 ：名無しさん＠お腹いっぱい。：2012/02/07(火) 20:30:44.19 .net

>>645
まずは: http://en.wikipedia.org/wiki/IMesh

>>646
もしかして: >>625

650 ：名無しさん＠お腹いっぱい。：2012/03/01(木) 23:55:05.37 .net

http://u1.getuploader.com/oklsslv2ym/download/19/iLividSetupV1.7z

１２３４５

651 ：名無しさん＠お腹いっぱい。：2012/03/03(土) 13:56:29.93 ?2BP(100).net

ダウンロードマネージャと、vlc(v1.1)のセットです。
ttp://download.cdn.ilivid.com/cdn/1/[ilivid|dlls|vlc].7z

rapidshare などの垢を設定しておくと、そこにあがっている動画を指定すると、
勝手に落としてきて、vlc で開いてくれるみたいです。
youtube のものは、flvpro を使えと言ってくるようです。

searchqu というツールバーを入れませんかと言ってきます
ask.com の流れを汲むもののようです。

652 ：名無しさん＠お腹いっぱい。：2012/03/03(土) 17:02:20.25 ?2BP(100).net

ああそうそう。
使用時にGoogle Analytics を呼んでたのが、いまひとつ２ちゃん向きではないです。

653 ：名無しさん＠お腹いっぱい。：2012/03/03(土) 23:09:28.98 .net

http://www.mobile-download.net/tools/Miscellaneous/mirkov4-1.1.zip

654 ：名無しさん＠お腹いっぱい。：2012/03/06(火) 18:38:12.06 .net

http://adlesse.com/download

655 ：名無しさん＠お腹いっぱい。：2012/03/08(木) 20:41:46.84 ?2BP(100).net

>>653
これは、紹介者にお尋ねください、でいいと思います
ソースによれば、やっていることはそうややこしくないようですが。
実行はしてません。あと、おまけでついてきてるライブラリは、内容未確認です。

>>654
IE,x86版だけ踏みました。IEに対してぐりもんします。
本体はこちら。product_id は、BHOのCLSIDと同じ。
ttp://lite.adlesse.com/addon/helper.php?product_id={DB2EAFFA-7833-4715-BA50-12EA94FEEBF0}&product_version=1.0.0

SNSにも影響のあるぽいことがちらっと見えますが、詳しいことは見ていません。

ブロックリストは、これみたいです。ちょっと旧い？
ttp://dyn.lite.adlesse.com/easylist/easylist.txt

stat.adlesse.com のほか、.../report.php にも何か送ろうとしてましたが、
とっとと止めちゃったので、よくわかりません。

656 ：名無しさん＠お腹いっぱい。：2012/03/30(金) 07:31:06.07 .net

http://u1.getuploader.com/oklsslv2ym/download/20/setup.zip

１２３４５

657 ：名無しさん＠お腹いっぱい。：2012/03/30(金) 21:12:51.21 .net

http://u1.getuploader.com/oklsslv2ym/download/21/setup.zip

１２３４５

658 ：名無しさん＠お腹いっぱい。：2012/03/31(土) 10:06:36.37 ?2BP(100).net

多階層の自己解凍書庫で、インチキセキュリティソフトが入ってます
UI要素にFlashを使っているらしく、Flashが導入されていない環境では、
なんと、Flashの本体をどこかから拾ってきます
http://dl.dropbox.com/u/69432480/NPSWF32.z (自己解凍書庫)

興味深いのは、購入ボタンを押すと、IEっぽいフレームに、
https://onlineregister.com/
と書かれているのですが、実際には、
http://*.online-secure-pay4｡info/service/
につながることです

659 ：名無しさん＠お腹いっぱい。：2012/05/03(木) 12:26:08.50 .net

http://www.videoconvertertool.net/d/sc/?sr=dsnr&SourceId=355&CreativeId=13594674&LineItemId=4474943&PublisherId=650137&SectionId=198254445&ymid=0000864557127509848c59089a26eca3653d6

660 ：名無しさん＠お腹いっぱい。：2012/05/03(木) 12:31:44.04 .net

http://www.rinsemymusic.com/download

661 ：名無しさん＠お腹いっぱい。：2012/05/03(木) 20:49:02.62 ?2BP(100).net

>>659
Babylon のツールバーをインストールしませんかと言ってきます わりといつも通り。
内容は、ffmpeg のフロントエンドのようです。
インストール後は、 http://www.videoconvertertool.net/d/welcome/dsnr/?sr=dsnr に飛ばされます

662 ：名無しさん＠お腹いっぱい。：2012/05/03(木) 22:37:53.46 ?2BP(100).net

>>660
iTunesもってないのでわかりませんが、ばらして覗いてみました
だいたい評判どおりのアプリっぽいです

ほんとにrealの製品の品質か？とは思いますが。。

バイナリは3MB近くありますが、そのうちの30%が
Gracenoteのクライアントランタイムで占められています

663 ：名無しさん＠お腹いっぱい。：2012/05/04(金) 10:02:22.26 .net

http://u1.getuploader.com/oklsslv2ym/download/22/sweetimsetup.7z
１２３４５

664 ：名無しさん＠お腹いっぱい。：2012/05/04(金) 17:58:19.72 ?2BP(100).net

ツールバー http://cdn.download.sweetim.com/download/sweetpacks/sim/SweetIESetup.7z
IM拡張? http://cdn.download.sweetim.com/download/sweetpacks/sim/SweetIMSetup.7z

その他。
ttp://cdn.download.sweetim.com/download/sweetpacks/sim/updatemanagersetup.exe
ttp://cdn.download.sweetim.com/download/sweetpacks/sim/mgsqlite3.7z
ttp://cdn.content.sweetim.com/install/v1/installer_finish_flash_18fps.swf

広告として、ここから検索してくださいと言ってきます
http://search.sweetim.com/

IMしないので、ツールバーのみ評価しました
これというものを選んで、クリックすると、埋め込みコードがでてきます
emoticons はSWFでプレビュー、貼り付けはアニメGIF
icons はJPGでプレビュー、貼り付けはSWFです 総1300個ほどあります

665 ：名無しさん＠お腹いっぱい。：2012/05/04(金) 18:09:33.32 ?2BP(100).net

お遊びとして、サイズの大きかったトップ３を参考に貼っておきます
コンパクトなものも、ベクターアニメで描かれていて、ちゃんと楽しめます
これを素材として、SNSなりIMなりで遊んでくれということみたいです

ttp://cdn.content.sweetim.com/sim/cp/Emoticons/000200A4.swf
ttp://cdn.content.sweetim.com/sim/cp/Emoticons/000200A4.swf
ttp://cdn.content.sweetim.com/sim/cp/Emoticons/000200A4.swf

ttp://cdn.content.sweetim.com/sim/cp/icons/00020190.swf
ttp://cdn.content.sweetim.com/sim/cp/icons/0002028F.swf
ttp://cdn.content.sweetim.com/sim/cp/icons/0002046C.swf

666 ：名無しさん＠お腹いっぱい。：2012/05/04(金) 18:14:31.93 ?2BP(100).net

貼り直し

ttp://cdn.content.sweetim.com/sim/cp/icons/00010978.swf
ttp://cdn.content.sweetim.com/sim/cp/icons/00010998.swf
ttp://cdn.content.sweetim.com/sim/cp/icons/0001099C.swf

ttp://cdn.content.sweetim.com/sim/cp/Emoticons/00020190.swf
ttp://cdn.content.sweetim.com/sim/cp/Emoticons/0002028F.swf
ttp://cdn.content.sweetim.com/sim/cp/Emoticons/0002046C.swf

667 ：名無しさん＠お腹いっぱい。：2012/05/05(土) 02:44:02.96 .net

ttp://t.co/fJKy163P

嘘セキュリティサイト

668 ：名無しさん＠お腹いっぱい。：2012/05/05(土) 14:33:05.12 .net

http://u1.getuploader.com/oklsslv2ym/download/23/setup.zip

１２３４５

669 ：名無しさん＠お腹いっぱい。：2012/05/05(土) 17:26:11.93 ?2BP(100).net

>>668
ばらしてみました
のべ20個近いツールバー・アドウェアのURLが書き込まれています
本体は ttp://software.cdnredirect01.info/video_codec.exe のようです
960KB MD5: 39cd000dcd97cf5d355d112922797e3e
> Xvid 1.3.2 32-bit (built on 24.06.2011)
とありますが、真贋のほどは未確認です

670 ：668：2012/05/05(土) 19:02:31.62 .net

>>669
ありがとう。厳しく評価して有害甘く評価して無害でも無益で一件落着ですね

671 ：名無しさん＠お腹いっぱい。：2012/05/05(土) 19:46:05.88 ?2BP(100).net

無益というか、本家のでよくね？ってやつですね
２ちゃん的には、アドウェア入りは有害判定に偏らせますので、有害ですね。

672 ：名無しさん＠お腹いっぱい。：2012/05/05(土) 19:48:38.85 ?2BP(100).net

>>667 は、仰るとおりなのですが、のんびり解析のほうに入れました。
十分な薀蓄が得られればレスします 見かけ上スルー？になってて御免。

673 ：名無しさん＠お腹いっぱい。：2012/09/09(日) 02:57:41.76 ?2BP(100).net

> ... So we’re delighted that Google, a long-time partner, has acquired VirusTotal.
> http://blog.virustotal.com/2012/09/an-update-from-virustotal.html

674 ：名無しさん＠お腹いっぱい。：2012/09/19(水) 12:53:50.04 .net

http://www.utorrent.lv/?page_id=5&lang=en
↑
ここのuTorrent 2.2.0 free download languages pack
落として、EXEだったんだけどクリックしたら変なのがインスコされて
IEのトップページが変わりました。
普通にアンインスコできたっぽいけど、これなんでしょうか？おねがいします。

675 ：名無しさん＠お腹いっぱい。：2012/09/19(水) 12:56:17.20 .net

あれ　セキュ板にこんなスレがあったなんて
住人歴長い俺でも知らんかったわ

676 ：名無しさん＠お腹いっぱい。：2012/09/19(水) 13:24:25.28 .net

>>674
VirusTotalにかけてみると微妙
23 / 43という結果で一見やばいファイル確定かと思うけど
PCシステムには影響は及ぼさない程度のものか？
まぁP2Pアプリケーションだから変なの入ってても文句言えないけどｗ

677 ：674：2012/09/19(水) 14:50:30.17 .net

>>676
ありがとうございます。
VirusTotal知らなかったんですが、自分でもやってみて結果画面を見ました。
ちょっと気持ち悪いんでOSのクリーンインスコしてきますｗ
落とした物のファイル名は偽装だったみたいです。

678 ：名無しさん＠お腹いっぱい。：2012/09/19(水) 19:14:00.92 ?2BP(100).net

mail.ru のアプリ？を落としてくるみたい
babylonが抱き合わせでついてくるのと同じ
中身は帰ったらvtにかけてみる

で、それを落としたら、btの署名のついた、
ttp://www.utorrent.lv/download/utorrent.exe
を取ってくるけど、こんどはconduitのツールバーを引っ張ってくる(たぶん拒否可能)

たぶん、本命のランゲージファイルは、
ttp://utorrent.com/download/langpacks/dl.php?build=27886
で落とせると思う

なお、ボーナスコンテンツは、
ttp://featuredcontent.utorrent.com/torrents/BonesBrigade-BitTorrent.torrent
らしいので、インストール時はいったん拒否でおｋ

679 ：名無しさん＠お腹いっぱい。：2012/09/19(水) 21:23:14.48 ?2BP(100).net

で、落とされてくるexeのURL/ファイル解析
https://www.virustotal.com/url/ad03325c51366015aec71731bb5330702dfc340411d5a80160a4569507285a6d/analysis/
https://www.virustotal.com/url/4cf7eda2e13559f55b0053b93d5527e4681dbe9e0f3e1597f07c9a79e6829058/analysis/

GuardMailRu.exe(内臓) ってのは、砂箱と相性が悪いらしくて大量起動する よくわからない
mailrusputnik.exe ってのは、ツールバーのコンフィグ画面がでてきた ロシア語ｗ
internet.exe ってのは、カスタム版のChromiumがでてきた

害があったかはわからないが、本家で落とせばよかったも、くらいの結果に。

680 ：674：2012/09/20(木) 09:44:18.13 .net

>>678-679
感謝感激です。
ググって出てきたヤフー知恵袋のベストアンサーにあったリンクだったので、
EXEファイルながらなんも考えずに実行したのでしたｗ

PCもおかしなことになっていないっぽいんで、ちょっとこのまま使ってみます

681 ：名無しさん＠お腹いっぱい。：2012/09/20(木) 09:56:26.70 ?2BP(100).net

mail.ru はロシアでは大手のサイトなので、
あまり腐ったものを配っていると思いたくはないのですが、
それでも、それなりにシステムに干渉するソフトでしょうから、
ぼつぼつ再インストール。を検討したほうがいいかもしれませんｗ

働いてくる

682 ：名無しさん＠お腹いっぱい。：2012/09/28(金) 13:47:54.38 .net

ロシアというだけで・・・と思うのは俺だけ？

683 ：名無しさん＠お腹いっぱい。：2012/09/29(土) 00:30:34.03 .net

パッカも、アンチウイルスも、解析ソフトも、結構ロシアは先進国
そしてたぶん、ウイルスも。

684 ：名無しさん＠お腹いっぱい。：2012/10/09(火) 20:36:24.89 .net

http://u1.getuploader.com/oklsslv2ym/download/24/VideoPerformer.zip

１２３４５

685 ：名無しさん＠お腹いっぱい。：2012/10/10(水) 01:13:48.77 ?2BP(100).net

>>684
本体は、ffmpegの単なるGUIラッパで、見た感じ、特に珍しい点はありません

指摘のexeは、Babylon, PriceGong, Savings-Sidekick を落としてくるようです
問題は、bprotector なるモジュールで、ツールバー・検索設定などが
変更されないようにするらしいのですが、ディレクトリ名・EXE名を
Video Performer Manager に変更して(偽装して)All Users に紛れ込むようです
このモジュールの電子署名は、ForwardTech Inc になっています

686 ：名無しさん＠お腹いっぱい。：2012/10/10(水) 15:47:29.04 .net

そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね
そ・う・か
氏・ね　

687 ：名無しさん＠お腹いっぱい。：2012/10/13(土) 04:57:36.91 .net

http://u1.getuploader.com/oklsslv2ym/download/25/gaki.zip

１２３４５

688 ：名無しさん＠お腹いっぱい。：2012/10/13(土) 11:09:39.32 ?2BP(100).net

ちょっと動かしてみましたが、同梱のヘルプファイルのとおりのようです
2つ起動して、localhostに接続させて、動作試験できました

これで、どこかに自IPを通知する機能でもあれば、立派な筒抜けソフトです
しばらく外部接続ぽい動きがないか、つけておいてみます

689 ：名無しさん＠お腹いっぱい。：2012/10/29(月) 10:16:38.68 .net

http://u1.getuploader.com/oklsslv2ym/download/26/packetpolice-v1.01-8373-rtm-2012.10.22-ja-win32_msi-x86-32bit.zip

１２３４５

690 ：名無しさん＠お腹いっぱい。：2012/10/29(月) 10:28:44.15 .net

産業用コントロールシステムを専門とするセキュリティ企業Digital Bondが10月25日に明らかにした。
http://www.itmedia.co.jp/enterprise/articles/1210/29/news017.html

691 ：名無しさん＠お腹いっぱい。：2012/10/29(月) 13:20:55.98 .net

>>689
SoftEther を信用するほかないとは思うのですが、、
インストールしてみましたが、ポータブル化を意識してなのか、
傍受用のドライバは実行時に入るみたいです
そこらへんを警告してくるセキュリティソフトは、あると思います

692 ：名無しさん＠お腹いっぱい。：2013/01/01(火) 16:49:20.71 .net

http://u1.getuploader.com/oklsslv2ym/download/27/scandsk.zip

１２３４５

あけましておめでとうございます。

693 ：名無しさん＠お腹いっぱい。：2013/01/03(木) 14:41:55.41 ?2BP(100).net

ことよろです。（･∀･）

帰省していた関係で、今気づきました
無圧縮EXEに偽装されている段階で、まあろくなんもんではないでしょうｗ
仕事から帰ったら踏んでみます

694 ：名無しさん＠お腹いっぱい。：2013/01/10(木) 00:30:20.62 ?2BP(100).net

>>692
インチキセキュリティソフトとおもいきや、なにかのマルウェア本体のようです
発行IDらしきものがEXEのオフセット0x25から書いてあります
これとシステムID(16バイト)をサーバに送り、本体であるドライバの解読鍵を得るようになってます

695 ：名無しさん＠お腹いっぱい。：2013/01/12(土) 17:03:10.27 .net

http://u1.getuploader.com/oklsslv2ym/download/28/InternetTurboSetup__377.7z

１２３４５

よろしくお願いします

696 ：名無しさん＠お腹いっぱい。：2013/01/12(土) 23:58:06.57 ?2BP(100).net

>>695
...\CurrentControlSet\Services\Tcpip\Parameters\Interfaces のパラメータを
調整してくれるソフトらしいです。インストール時にMACアドレスかなにかを収集・送信するほか、
条件によって、conduit ツールバーが入るようです

無理にこれ使わなくても。といったところでしょうか。

697 ：名無しさん＠お腹いっぱい。：2013/02/07(木) 08:02:23.43 .net

http://u1.getuploader.com/oklsslv2ym/download/30/setupxv.7z

１２３４５

698 ：名無しさん＠お腹いっぱい。：2013/02/07(木) 22:45:51.63 .net

>>274 と同じものっぽいです
DataBase.ref をばらしてみることにします

699 ：名無しさん＠お腹いっぱい。：2013/02/08(金) 00:48:48.56 ?2BP(100).net

>>697,698
軽微なレジストリエラーを検出、修復できるとうたっています
DataBase.ref はgzipで圧縮され、mcryptで暗号化されたホワイトリスト(TCL)でした
買わないと掃除できませんが、あんまり掃除しすぎなくていいエントリも入ってる気も。

700 ：名無しさん＠お腹いっぱい。：2013/02/18(月) 18:14:06.47 .net

http://u1.getuploader.com/oklsslv2ym/download/31/installer-SB.7z

１２３４５

701 ：名無しさん＠お腹いっぱい。：2013/02/18(月) 19:02:48.42 ?2BP(100).net

>>700
本体が404なので、実行が進みません。
> http://awbeta.net-nucleus.com/download.cgi?BUILDNAME=875516&ID=&ERROR=0

ぐぐるによると、古いアドウェアのようでした。

702 ：名無しさん＠お腹いっぱい。：2013/02/24(日) 05:17:10.53 .net

http://u1.getuploader.com/oklsslv2ym/download/32/nekXv.7z

１２３４５

703 ：名無しさん＠お腹いっぱい。：2013/02/24(日) 09:07:03.84 ?2BP(100).net

>>702
トロイの木馬の本体のようです。起動すると、なにやらメーラを起動しようとしてました。
OEP 40B171.

704 ：名無しさん＠お腹いっぱい。：2013/03/01(金) 12:20:51.60 .net

http://u1.getuploader.com/oklsslv2ym/download/33/Postal-Receipt.zip

１２３４５

705 ：名無しさん＠お腹いっぱい。：2013/03/01(金) 19:34:20.44 ?2BP(100).net

>>704
Wordのアイコンがついていますが、起動すると、レシートぽいテキストファイルを表示します
それに気を取られているうちに、svchost.exeを起動して乗っ取り、猛烈な勢いで外部と通信します
基本的にトロイの１段目本体です

OEP 408960. ローダが冗長コードタイプのため、最後にUPXがかかってます

706 ：名無しさん＠お腹いっぱい。：2013/03/02(土) 04:31:25.37 .net

http://u1.getuploader.com/oklsslv2ym/download/34/DriverPerformerSetup.zip

１２３４５

707 ：名無しさん＠お腹いっぱい。：2013/03/02(土) 19:22:54.00 .net

http://u1.getuploader.com/oklsslv2ym/download/35/FLVPlayer_v3.zip

１２３４５

708 ：名無しさん＠お腹いっぱい。：2013/03/04(月) 00:28:45.76 .net

>>706
アドウェア付きの何かのような印象ですが不明
砂箱との相性なのか、インストーラのダウンロードが安定せず、インストールができません

709 ：名無しさん＠お腹いっぱい。：2013/03/04(月) 00:56:04.07 ?2BP(100).net

>>707
簡単なFLVプレーヤです Flash ランタイムを使用して動作するようです
searchya ツールバーをいれませんかと言ってきます

710 ：名無しさん＠お腹いっぱい。：2013/03/07(木) 11:43:09.95 .net

http://u1.getuploader.com/oklsslv2ym/download/36/Update.zip

１２３４５

711 ：名無しさん＠お腹いっぱい。：2013/03/10(日) 12:14:03.55 ?2BP(100).net

>>710
Flash Player Pro なるものを落としてこようとします
http://cdn.adlrma.com/downloads/software/flashplayerpro/FPPSetup.exe
内容は、本家のものと同一です
http://www.flashplayerpro.com/FPPSetup.exe

conduit のツールバーも落としてました。推定、アフィ付きダウンローダ。

712 ：名無しさん＠お腹いっぱい。：2013/03/12(火) 21:56:43.01 .net

パソコンのセキュリティに興味があり、現在独学で勉強しています。
家にある使ってないパソコン(ウィンドウズ)にウイルスを感染させて
どんな症状になるか？や、消えたファイルなどを復元できるか
試してみたいのですが、ウイルスファイルはどこで手に入りますか？

713 ：名無しさん＠お腹いっぱい。：2013/03/13(水) 09:00:25.14 .net

ご本人ですか？
http://detail.chiebukuro.yahoo.co.jp/qa/question_detail/q10103617915

714 ：名無しさん＠お腹いっぱい。：2013/03/13(水) 17:21:38.14 .net

http://u1.getuploader.com/oklsslv2ym/download/37/eXeem0.20.rar

12345

715 ：名無しさん＠お腹いっぱい。：2013/03/13(水) 19:10:07.70 .net

>>714
いまでも動くんですかねえ。

http://en.wikipedia.org/wiki/EXeem
> ... and eXeem's network was shut down by the end of 2005.

クライアントを覗くと、たしかにcydoorのライブラリを積んでいるようです

716 ：名無しさん＠お腹いっぱい。：2013/03/13(水) 21:02:21.26 .net

http://u1.getuploader.com/oklsslv2ym/download/38/dsk.rar

12345

717 ：名無しさん＠お腹いっぱい。：2013/03/13(水) 22:46:17.15 ?2BP(100).net

>>716
起動すると%temp%にコピーができ、そこに制御が移ります
unpackすると、>>694 とほぼ同じみたいです 作動条件等は未だ不明。

718 ：名無しさん＠お腹いっぱい。：2013/03/19(火) 12:22:02.42 .net

http://u1.getuploader.com/oklsslv2ym/download/39/VideoDownloadConvert.rar

12345

719 ：名無しさん＠お腹いっぱい。：2013/03/19(火) 19:59:24.52 .net

http://u1.getuploader.com/oklsslv2ym/download/40/SCAR+BMS++pdf.zip

12345

720 ：名無しさん＠お腹いっぱい。：2013/03/20(水) 13:54:25.76 ?2BP(100).net

>>719
PDFではなく、NcDownloader が落ちてきます
ニコ動じゃないほうな。http://www.ncdownloader.com/index.html
環境によってはdotnet4を落として入れるので、とてつもなく時間がかかります

で、その上に、search_defender, optimizerpro がセットアップされます
素性の良くないアドウェアのようです

721 ：名無しさん＠お腹いっぱい。：2013/03/20(水) 20:38:03.80 ?2BP(100).net

>>718
それだけでは何も起りませんが、
配布元のページを開いておくと、インストールが続行されます
最終的に、たしかにVideo Download Converter がセットアップされます
http://ak.imgfarm.com/images/nocache/vicinio/205320000/206582528/1341334506646/VDC_Silent.exe
基本的にはffmpegのフロントエンドです

>>719,720
忘れてましたが本体
http://i1.installbox1.info/addons/ncdownloader.exe

722 ：名無しさん＠お腹いっぱい。：2013/03/20(水) 20:46:11.89 ?2BP(100).net

>>718,720
それと、MyWebSearch ツールバーが入ります

723 ：名無しさん＠お腹いっぱい。：2013/03/31(日) 16:05:07.86 .net

http://u1.getuploader.com/oklsslv2ym/download/41/ZXing.Net.0.11.0.0.zip

１２３４５

724 ：名無しさん＠お腹いっぱい。：2013/05/04(土) 15:28:25.95 .net

http://www.neverend.co.jp/mari_data/images/swsoft.png

中身はexe

725 ：名無しさん＠お腹いっぱい。：2013/05/05(日) 09:02:37.28 ?2BP(100).net

>>724
数回のダウンローダを経て、本体に到達します
普通に実行しただけではエラーになりました
本体までは、AutoIt とかいうスクリプトのexe化されたものです

本体
アンパック前 https://www.virustotal.com/en/file/65230e63484e2b92c1c39fd811ce7287c1cd885ecabbf647794a7f114621cbc2/analysis/1367683116/
アンパック後 https://www.virustotal.com/en/file/beb355b5913176edeb2e1f2d4621ba98873e8e4b19b16705be543581557e9d1b/analysis/1367682971/

726 ：名無しさん＠お腹いっぱい。：2013/05/17(金) 12:24:43.14 .net

http://u1.getuploader.com/oklsslv2ym/download/42/flashplayer_11.zip

12345

727 ：名無しさん＠お腹いっぱい。：2013/05/18(土) 10:37:35.95 .net

>>726
うまく起動しなかったでござる
何かの中間ファイル？

728 ：名無しさん＠お腹いっぱい。：2013/06/18(火) 23:43:46.09 .net

日本気象協会tenki.jpが改ざんされている。まだ対策されていない。

729 ：名無しさん＠お腹いっぱい。：2013/06/21(金) 00:20:23.34 .net

>>728
ん？
Kaspersky反応しなかったけど改ざんされてるんか？

730 ：名無しさん＠お腹いっぱい。：2013/07/11(木) NY:AN:NY.AN .net

genjokaifukukoji.com/nekXv.exe

よろしくお願いします。

731 ：名無しさん＠お腹いっぱい。：2013/07/12(金) NY:AN:NY.AN .net

>>730 404?

732 ：名無しさん＠お腹いっぱい。：2013/07/16(火) NY:AN:NY.AN .net

http://www.googlechrome2013.com/

よろしくお願いいたします。

733 ：名無しさん＠お腹いっぱい。：2013/07/16(火) NY:AN:NY.AN ?2BP(100).net

>>732
わざわざ どとねとを落としてきて、それでダウンローダを起動します

セットアップ設定ファイルはこちら いろいろツールバーらしきものがみえます
ttp://api.v2.secdls.com/index.php/api/109/google-chrome/204/446/Japanese.xml
これがDLが不安定で、当方環境ではいつまでたっても終わりませんでした

本体はこちららしい vtによるMD5: 0E3D0FBD6F442308D7DC24DEC9D55CA6
ttp://staticrr.newdownloadls.com/sdb/Google-Chrome-26.0.1386.0.exe

734 ：名無しさん＠お腹いっぱい。：2013/08/15(木) NY:AN:NY.AN .net

http://u1.getuploader.com/oklsslv2ym/download/43/HomeTab.zip

１２３４５

735 ：名無しさん＠お腹いっぱい。：2013/08/15(木) NY:AN:NY.AN .net

http://u1.getuploader.com/oklsslv2ym/download/44/%26%2320037%3B%26%2320445%3B%26%2330000%3B%26%2321033%3B%26%2320280%3B+-+La+La+La+Love+Song+-+%5BMP3Juices.com%5D.rar

１２３４５

736 ：名無しさん＠お腹いっぱい。：2013/08/16(金) NY:AN:NY.AN .net

http://u1.getuploader.com/oklsslv2ym/download/45/SystemInfoLOG.rar

１２３４５

737 ：名無しさん＠お腹いっぱい。：2013/08/18(日) NY:AN:NY.AN ?2BP(100).net

>>734
本質的な本体は ttp://hometab.widdit.com/js/hometab.min.js?v=4.4
Android端末とブラウザタブのURLを同期する物なんだそうです
本体インストーラだけでも、ProtectedSearch なるものが作動する上
さらに追加でspeedupmypc/OptimizerProなどをオファーします
スケジューラを操作しようとしたりしてました
うまく動作しなかったので、信頼できるものかは、ちょっとわかりかねます

>>735
MP3Juices.com 上にある.mp3ファイルを落とそうとするのですが、
いまや404なので、抱き合わせでsearch_defender, search_defender_alternate が
インストールされるだけです。

738 ：名無しさん＠お腹いっぱい。：2013/08/18(日) NY:AN:NY.AN ?2BP(100).net

>>736
どとねと。スタートアップ項目を列挙して、.htmlファイルを作成するみたいです
ちょっと見には、余計なファイルができたりといったことはなかったです

診断アプリものは、スクリプト版もあったほうがいいなと個人的には思います

739 ：名無しさん＠お腹いっぱい。：2013/08/27(火) NY:AN:NY.AN ?2BP(100).net

Beのクレデンシャル関係が漏れているらしいので、
しばらく、誰でも名乗れる程度のトークンとして扱います
安全と偽って踏ませる行為に注意

740 ：名無しさん＠お腹いっぱい。：2013/09/02(月) 12:32:39.11 .net

http://u1.getuploader.com/oklsslv2ym/download/47/FreeMediaPlayerSetup-1EWiXeK.rar

１２３４５

741 ：名無しさん＠お腹いっぱい。：2013/09/02(月) 16:12:53.69 ?2BP(100).net

>>740
実行した途端に、OptimizerProほか４本の余計なおまけと、本体を落とそうとしました
本体は、vlc2.0.7 らしいですが、それなら本家から落とせば十分でしょう
いったんここまで。

742 ：名無しさん＠お腹いっぱい。：2013/09/03(火) 09:59:36.55 .net

初心者質問板で誘導していただいたのでこちらで教えて頂きたいです。
www.supervideoconverterfun.com
先日このソフトを誤ってインストールしてしまい、ウイルスバスターが反応しマズイと思いすぐにやめたものの広告やらブラウザの設定やらが変わってしまったのですぐにPCはリカバリしたのですが
翌日appleから「ご利用のApple IDが無断で使用された可能性があります。」とメールが届きました。
ただのアドウェアならよかったものの他に害があると非常に不安なのですが鑑定お願いできないでしょうか？

743 ：名無しさん＠お腹いっぱい。：2013/09/03(火) 13:46:11.68 .net

> >>2　感染後の回復指南に関しては、必要なスキルが異なるため、原則としてお引き受け致しかねます
> あくまで、雑談として扱います アダ被さん( http://www.higaitaisaku.com/ )あたりが定評があります

ということで、十分にお力になれるかわかりませんが、まずは踏んでみます。
ヒントになれば。

雑談として扱うので、もう一か所、他所に相談するのはマルチになりません
こちらにとどまりつつ、他に相談先を、並行してお探しください

744 ：名無しさん＠お腹いっぱい。：2013/09/04(水) 08:23:55.38 ?2BP(100).net

>>659,661 に近い内容 本体はffmpegのラッパ
オフラインならDeltaTB
オンラインなら、いまならNSS MetaCrawler SuperLyrics がセットアップされる
(一応拒否権あり。すべておっけーおっけーで操作した場合。)

MetaCrawler は正常にセットアップが終了しない
さらにアップデートサーバが404(DNSの段階で)

SuperLyrics はぐりもんタイプのブラウザアドオン
見てるページをスクリプト要求時のRefererで通知して、内容を動的に変更してる
そこでもしかしたら…と一瞬思ったが、そもそもインスコ直後に使用中止したはずだし

今回は実行しただけじゃだめかのう

745 ：名無しさん＠お腹いっぱい。：2013/09/08(日) 07:32:10.82 .net

http://u1.getuploader.com/oklsslv2ym/download/48/2013.rar

１２３４５

746 ：名無しさん＠お腹いっぱい。：2013/09/08(日) 18:38:14.49 ?2BP(100).net

その後初質みたら、けっこう多人数が踏んでましたね

>>745
当方環境では、Baidu/BaiduIME, LyricsFan が落ちてきました
本体は、bt検索&クライアント。ただし、3個落としたら金払えみたいな。

747 ：名無しさん＠お腹いっぱい。：2013/09/08(日) 18:42:06.35 .net

http://u1.getuploader.com/oklsslv2ym/download/49/key_pro1.7.0.rar

１２３４５

748 ：名無しさん＠お腹いっぱい。：2013/09/09(月) 02:06:28.70 ?2BP(100).net

>>747
一応踏んでみると、たしかに、c:\ にスクショなどができました。
キーは固定みたいです。中を覗くと書いてあります。
あとは、自己責任で。暴発するとえらいことになると思います。ｗ

749 ：名無しさん＠お腹いっぱい。：2013/09/09(月) 05:58:39.10 .net

http://u1.getuploader.com/oklsslv2ym/download/50/Extrato_1564-2013.zip

１２３４５

750 ：名無しさん＠お腹いっぱい。：2013/09/09(月) 09:24:15.56 .net

tivardo.odessa.ua/images/phocagallery/NEW3/thumbs/phoca_thumb_m_12%2038.jpg

何か仕掛けられているか鑑定お願いします。

751 ：名無しさん＠お腹いっぱい。：2013/09/09(月) 09:40:15.23 ?2BP(100).net

>>749
power.exe という あやしいEXEが産み落とされますた
とりあえずvtに投げて、はたらいてきます。。
https://www.virustotal.com/ja/file/d1b1efd542f21fd7414f0e0e9716aa92d8e4751e00bcdb891973747e74e117ce/analysis/1378687056/

752 ：名無しさん＠お腹いっぱい。：2013/09/09(月) 09:49:57.44 ?2BP(100).net

>>750
画像: 洋モデルさんが写っています。非エロ。

で、なにか不思議なものがEXIFに紛れ込んでいます これみたいですね
http://blog.sucuri.net/2013/07/malware-hidden-inside-jpg-exif-headers.html

簡単にいえば、攻撃用の部品です
ウイルスの部品が組み込まれているとも言います

753 ：７５０：2013/09/09(月) 10:08:52.43 .net

>>752
ありがとうございました。

754 ：名無しさん＠お腹いっぱい。：2013/09/14(土) 17:30:31.88 .net

http://u1.getuploader.com/oklsslv2ym/download/51/controlpcsetup_fastrealm.zip

１２３４５

755 ：名無しさん＠お腹いっぱい。：2013/09/14(土) 23:37:33.43 .net

もしかして: http://www.controlpc.co.kr/

こりあんよめない。。

756 ：名無しさん＠お腹いっぱい。：2013/09/15(日) 00:19:00.52 ?2BP(100).net

>>754-755
インチキセキュリティソフトのようですが、ほんとにハングルでほとんど読めないです

購入画面
http://controlpc.co.kr/bill_gate/bill_home/ph/step1.php?strPC=00:00:00:00:00:00

757 ：名無しさん＠お腹いっぱい。：2013/09/16(月) 23:26:25.38 .net

http://download.televisionfanatic.com/index.jhtml?spu=true&partner=XPxdm018&gclid=CODRhIOP0LkCFUjGpAodT1YA2Q

よろしくお願いします。

758 ：名無しさん＠お腹いっぱい。：2013/09/18(水) 09:20:01.45 ?2BP(100).net

サブプロセスが入れ替わり立ち替わり沸きまくり、うまく最後まで起動しません
砂箱との非互換なのでしょう

本体はこれみたいです
https://ak.ssl.imgfarm.com/images/nocache/vicinio/installers/100000415.YYA.1/148205-130912170148-YYA.1/64ffxtbr@TelevisionFanatic.com.xpi

中堅ツールバー屋の製品みたいですが、
お目当てのオンラインビデオを特定出来れば、とか考えますね

759 ：７５７：2013/09/18(水) 22:12:11.28 .net

>>758

鑑定士様ご苦労様でした。インスコするのは見送ります。

760 ：名無しさん＠お腹いっぱい。：2013/09/20(金) 01:57:07.82 .net

http://u1.getuploader.com/oklsslv2ym/download/52/cdwriter15.EXE

１２３４５

761 ：名無しさん＠お腹いっぱい。：2013/09/20(金) 12:04:06.70 ?2BP(100).net

ここのツールの一環みたいです
http://www.oneclicktools.com/
起動しただけでは異変はわかりませんでしたが、
この機能で5000えんはすごいとおもうのです。。

面倒なこと一切なし、quietモード万歳！ってニーズはあるということでしょうか

762 ：名無しさん＠お腹いっぱい。：2013/09/21(土) 07:50:52.77 .net

http://u1.getuploader.com/oklsslv2ym/download/53/JetBrowserSetup.rar

１２３４５

763 ：名無しさん＠お腹いっぱい。：2013/09/21(土) 14:02:31.83 ?2BP(100).net

ダウンローダが安定しません。本体らしきEXEをキャッチできたので調べました。
ttp://www.softologicse.com/files/products/jetsetup.exe

babylon ツールバーが初めから同梱されたカスタム版Chromeです
簡単な動画ダウンローダ、btクライアント、スピードダイヤルが付いてます
オリジナル部分がどとねとで書かれているので、要どとねとです
無料音楽みたいのが含まれており、grooveshark.com でした

764 ：名無しさん＠お腹いっぱい。：2013/09/23(月) 10:13:39.62 .net

http://u1.getuploader.com/oklsslv2ym/download/54/QuaiXeTocDoPS.zip

１２３４５

765 ：名無しさん＠お腹いっぱい。：2013/09/23(月) 13:05:20.95 .net

ちょっと覗いてみると、次のURLがみつかりました
http://sieuhay.vn/show-download/168

766 ：名無しさん＠お腹いっぱい。：2013/09/27(金) 11:41:15.76 .net

http://u1.getuploader.com/oklsslv2ym/download/55/Suffer_To_Please_%289_Nov_2011%29_SocietySM_484.rar

１２３４５

767 ：名無しさん＠お腹いっぱい。：2013/09/27(金) 15:14:47.16 .net

http://u1.getuploader.com/oklsslv2ym/download/56/568h.EXE

１２３４５

768 ：名無しさん＠お腹いっぱい。：2013/09/27(金) 15:43:21.46 .net

http://u1.getuploader.com/oklsslv2ym/download/57/Setup.zip

１２３４５

769 ：名無しさん＠お腹いっぱい。：2013/09/29(日) 00:57:49.96 ?2BP(100).net

>>766
ダウンロードツールのダウンローダです 本命のURLは404です
本命のURLは、もとのEXEの末尾に書かれています
当方環境では、ダウンロードツールとして、FTDownloader4.exe
アドウェア(ツールバー)として、Bab904y.exe. flt5extsetup10.exe, qtksetup.exe が落ちてきました
(すべて、おっけーおっけーとした場合です)

ダウンロードツールは、UIが多少スタイリッシュですが、それ以上のものではないです
串にも対応してなさげでしたし。

770 ：名無しさん＠お腹いっぱい。：2013/09/29(日) 01:46:23.21 ?2BP(100).net

>>767
当方環境では、...\AppData\Roaming に、ランダムな英数字名フォルダができ、
さらにランダムな英数字名のEXEが産み落とされました
それ以上は正常動作しませんでしたが、アンパックしたものをvtに投げてみます
https://www.virustotal.com/file/cc426cdcd93262fe917ea04eb24d7fad00c31a926771cb9d7760cd7af4496902/analysis/
BOT & fakeAV ということのようですね

771 ：名無しさん＠お腹いっぱい。：2013/09/29(日) 03:15:39.88 ?2BP(100).net

>>768
ダウンローダが完了しませんでした
数え切れないほどのアドウェアが書かれてますが、どれが選ばれるかは未確認です

設定ファイルに書かれているのは、
https://hotfile.com/dl/177512166/7985806/Bat_To_Exe_Converter.exe.html
で、落としてきたプログラムによると、本体はこれらしいです
http://www.f2ko.de/programs.php?pid=b2e
MD5が違うのは、最新じゃないからでしょう purebasic で書かれているようです

772 ：名無しさん＠お腹いっぱい。：2013/09/30(月) 21:31:04.59 .net

http://u1.getuploader.com/oklsslv2ym/download/58/windows+installer+cleanup+utility+setup.rar

１２３４５

773 ：名無しさん＠お腹いっぱい。：2013/10/01(火) 08:14:30.43 ?2BP(100).net

>>772
DealPly, PCSpeedMaximizer, wedownload がセットで落ちてきました。
(すべて、おっけーおっけーした場合。)

本体は、MsiZap とGUIラッパです。
http://files.soft32.com.s3.amazonaws.com/37/361671/466013/msicuu2.exe
システムをどうにか修復しようとして、
品質不明なアドウェア追加で入れてたんではシャレにならないですし、
こういう修復関係は一人で悩まずに、誰かに直してもらうのがいいのでは。

774 ：名無しさん＠お腹いっぱい。：2013/10/24(木) 22:06:26.03 .net

テ

775 ：名無しさん＠お腹いっぱい。：2013/10/26(土) 05:40:29.94 .net

i1.stylezip.info/addons/wpc_ar_2013923192617_qvo6.exe

216.176.190.180/files/xl-5.exe

dx3.52z.com/cdsdxmzsie.exe


よろしくお願いします。

776 ：名無しさん＠お腹いっぱい。：2013/10/26(土) 22:20:55.68 ?2BP(100).net

>>775
上: 検索サイト www.qvo6.com へのショートカットを作成します。それはあっという間に終わりますが、
終了後に、以下のファイルを落とそうとしました vtのURL評価は芳しくありません
http://www.twonext.com/download/256f569179d786680cd216c0240a42d3/eGdpSvc.exe
http://www.twonext.com/download/67cd4575597480529776360ac0f41a2a/eXQ.exe

中: 正しく起動しないためパス扱い。svchost を引っ張ってくるあたり、あまり良い物ではないでしょう

下: たしかに26個のgifが入った自己解凍書庫なのですが、以下の設定ファイルに従って、
追加ファイルを入れます。みたいな画面が出ます。中文UIなので、たぶん、ですが。
http://www.qq5.com/new/rar.xml
当方環境では、kuai8_rjaz に加えて、bdbrowser_setup_mini が落ちてきました

777 ：名無しさん＠お腹いっぱい。：2013/11/01(金) 20:39:17.04 .net

www.coolestmovie.info/ds-exe/vlc/322/VLCPlus_Setup.exe

よろしく

778 ：名無しさん＠お腹いっぱい。：2013/11/02(土) 12:26:57.33 .net

http://u1.getuploader.com/oklsslv2ym/download/61/LAN_SpeedTest.rar

１２３４５

779 ：名無しさん＠お腹いっぱい。：2013/11/05(火) 21:38:46.06 .net

>>777
当方環境では正しく起動しませんでした。

>>778
なにやら、ファイル共有先を指定すると、速度測定ができるソフトらしいです
当方環境では、起動しただけでは異変はわかりませんでした

780 ：名無しさん＠お腹いっぱい。：2013/11/19(火) 11:06:51.70 .net

goodfilez.org/installs/165/af3043a6.exe

よろしくお願いします

781 ：名無しさん＠お腹いっぱい。：2013/11/20(水) 01:22:27.76 ?2BP(100).net

>>780
↓の設定に基づいて、ホームページを書き換えようとします
http://46.4.123.106/config0808.php
APPDATA にコピーを作成し、HKCU/.../Run に設定します
ただし、環境により、File not found などといって、実際には書き換わらないかもしれません
(そのエラーは、exception のようです)

782 ：名無しさん＠お腹いっぱい。：2013/11/20(水) 09:56:41.16 .net

80.241.223.183/~ivan/download.exe
188.227.171.146/64

app.platformjava.org/apps/dist/find-a-deal_2030-1060.exe

cdn.file2desktop.com/components/PricePeep.exe

cfile209.uf.daum.net/attach/1759CB3B5124F217143044

よろしくお願いします

783 ：名無しさん＠お腹いっぱい。：2013/11/20(水) 17:53:29.37 ?2BP(100).net

>>782
下見の結果:
1, どとねと。未実行だが、ホームページを書き換えるぽい感じ
2. amd64 のため現在試験困難 /32 でi386 向けのが落ちてきた
3. なにかコマンドラインオプションが必要
4. FireFox向けの本体のRDFは、http://ext.myshopres.com/update/firefox/pricepeepupdates.rdf
5. mswsock.ocx (MSのライブラリ)の模様、少なくとも単体実行不可

784 ：名無しさん＠お腹いっぱい。：2013/11/22(金) 11:44:50.25 .net

162.210.193.208/index.html?e=74055d&publisher=724&country=hu
&ind=2582749871&exid=0&ssd=3937783464&hid=3831239757&osid=60
1&channel=0&


よろしくお願いします

785 ：名無しさん＠お腹いっぱい。：2013/12/02(月) 11:23:10.75 .net

80.241.223.183/~ivan/estebel.exe

よろしくお願いします

786 ：名無しさん＠お腹いっぱい。：2013/12/02(月) 13:50:55.81 .net

http://www.noyapps.com/lp/codecperformer/v18/?v=18&cid=3975&clickid=0026224766117561572&a=1

毎度御世話になっております。鑑定のほどよろしくお願い申し上げます。

787 ：名無しさん＠お腹いっぱい。：2013/12/02(月) 17:30:49.17 .net

http://u1.getuploader.com/oklsslv2ym/download/62/llkup.rar

１２３４５

788 ：名無しさん＠お腹いっぱい。：2013/12/02(月) 23:01:43.35 ?2BP(100).net

>>784
下見: 22日の段階でDLしたものについて、自己解凍書庫を解凍すると、
なにやらブラウザ拡張がでてきました ざっと見る限り、
facebookや広告、検索の表示に干渉するようです
糞ソフトの広告に関係するコードもみえます

>>785
実行すると、子EXEを産み落とし、かなり高頻度に 80.241.223｡183/~ivan/url.html に
アクセスします そこに書いてある命令を実行するということなのかも。

789 ：名無しさん＠お腹いっぱい。：2013/12/03(火) 01:55:01.94 ?2BP(100).net

>>786
本体は、ffdshow, MatroskaSplitter でしたが、他にTikaTB,
PCPerformerSetup_genericv3_W, MyBabylonTB3, conduit,
yandex_downloader_v3, LizardLink_rhW, SpeedanAlysisSetupW,
Cloud_Backup_Setup, ZulaGamesSetupW, seesimilarSetupv2W を
ダウンロードしようとしました。ダウンローダが不安定で、
これらがすべてセットアップされるかはわかりません。

>>787
起動すると、MyTubrTray.ocx がないといって怒られます
本体内に、2006, 2008年のフラッシュゲー6個のURLがみえます
それで遊んでくれということのようですが、本当にそれだけなのかはわかりません

790 ：名無しさん＠お腹いっぱい。：2013/12/03(火) 01:55:51.62 ?2BP(100).net

>>786
本体は、ffdshow, MatroskaSplitter でしたが、他にTikaTB,
PCPerformerSetup_genericv3_W, MyBabylonTB3, conduit,
yandex_downloader_v3, LizardLink_rhW, SpeedanAlysisSetupW,
Cloud_Backup_Setup, ZulaGamesSetupW, seesimilarSetupv2W を
ダウンロードしようとしました。ダウンローダが不安定で、
これらがすべてセットアップされるかはわかりません。

>>787
起動すると、MyTubrTray.ocx がないといって怒られます
本体内に、2006, 2008年のフラッシュゲー6個のURLがみえます
それで遊んでくれということのようですが、本当にそれだけなのかはわかりません

791 ：７８６：2013/12/03(火) 05:57:51.93 .net

深夜に回答ありがとうございます。アドが沢山あって楽しそう　o(^-^)o

792 ：名無しさん＠お腹いっぱい。：2013/12/04(水) 10:46:00.99 .net

http://u1.getuploader.com/oklsslv2ym/download/64/Setup.rar
１２３４５
http://u1.getuploader.com/oklsslv2ym/download/63/FlashPlayerPlugin_11_9_900_152.rar
１２３４５

793 ：名無しさん＠お腹いっぱい。：2013/12/07(土) 09:43:47.67 ?2BP(100).net

>>792
上: google-chrome-26.0.x.x-en.exe が本命ですが、他にいろいろ余計な？おまけがつきます
おなじみの光景。

何度か踏むと、微妙におまけが変わるのですが、その中に、freesofttoday なるものが
紛れ込んでおりました。もしかして、日替わりで余計なソフトを紹介してくれるかと
思ったのですが、泥のゲームみたいなのも入っているようです URLを晒しておきます
widget: ttp://www.freesofttoday.com/cgi-bin/main.cgi
オファーリストは簡単なjsonになってたので、一応巡回に入れました

下: 下見、ちょっと実行すると、svchost.exe という名前のプロセスをつくって、
ユーザプロファイルを漁りはじめました。なにかいけないものみたいです

794 ：名無しさん＠お腹いっぱい。：2013/12/12(木) 23:36:10.81 .net

dl.secdown.com/n/3.0.25/4787628/iPhonePCSuite.exe

よろしくお願いします

795 ：名無しさん＠お腹いっぱい。：2013/12/15(日) 13:04:24.90 ?2BP(100).net

>>794
本質的には>>792の上とおなじなのですが、本命が微妙に凝っててコメント難しいです
これでした ttp://dl.sj.91.com/pcsuite/91assistant.exe 40MB超.

796 ：名無しさん＠お腹いっぱい。：2013/12/18(水) 01:43:59.78 ?2BP(100).net

新しいfreesofttoday がこれでした

> https://play.google.com/store/apps/details?id=com.domobile.aut.bdawn

…もともと無料？

797 ：名無しさん＠お腹いっぱい。：2013/12/20(金) 18:45:48.63 .net

MD5 79ACF893D7181D475EC559FF37E66325
SHA1 B5FCFF0BD21108DBB376C857CCDF60F5B7081AC8


http://www.pdf-archive.com/2013/12/19/kx/kx.pdf

798 ：名無しさん＠お腹いっぱい。：2013/12/31(火) 00:54:07.31 ?2BP(100).net

来年に持ち越すわけにもいかないので

>>797
下見、普通にEXEです あきらかにヤバそう
しかし、Out of range エラーで止まります
そもそも、文字列のデコードでうまくいってなさげか

799 ：名無しさん＠お腹いっぱい。：2013/12/31(火) 20:03:01.07 .net

http://u1.getuploader.com/oklsslv2ym/download/65/FLVPlayerSetup-5EHe0jO.zip

12345

デジタル署名見ると悪名高いsomoto.ltdの名前が見えます

800 ：名無しさん＠お腹いっぱい。：2014/01/01(水) 03:49:05.92 .net

http://u1.getuploader.com/oklsslv2ym/download/66/im100del.zip
12345

BiduIMEの通信モジュールだけを削除するツールなんですが
使っても無問題ですか？

801 ：名無しさん＠お腹いっぱい。：2014/01/01(水) 16:56:36.12 ?2BP(100).net

あけおめことよろです

>>799
本体は ttp://download.filesfrog.com/software_files/flvplayer/1_0/FLVPlayerSetup.exe ですが、
UIの大方はオンラインに頼っているため、随時改悪？できるかも。
当方環境では、UpdateCheckerSetup, hao123inst-japan-smt01,
Show-Password_1030, setup_somoto_fst_jp が抱き合わせで付いてきました

>>800
パッと見、明らかな悪意はなさげですが、これで十分かというのは不関知です
このくらいなら、ソースが付いてもいいでしょう、と思います

802 ：名無しさん＠お腹いっぱい。：2014/01/18(土) 08:46:36.70 .net

lmpjapan.co.jp/billing/case.163656.zip

お願いします

803 ：名無しさん＠お腹いっぱい。：2014/01/18(土) 18:07:28.33 .net

>>802
403です、転載してください

804 ：名無しさん＠お腹いっぱい。：2014/01/24(金) 11:23:16.69 .net

http://u1.getuploader.com/oklsslv2ym/download/68/browserprotect.rar

１２３４５

よろしくお願いします。

805 ：名無しさん＠お腹いっぱい。：2014/01/24(金) 16:44:10.98 .net

http://u1.getuploader.com/oklsslv2ym/download/69/FLVSetup-3uQ77W6.exe

12345

宜しくお願いします。

上のレスで　悪名高いsomoto　って出てますが
多分これもsomoto製？かなと思うのですがインスコしない方が無難でしょうか？

806 ：名無しさん＠お腹いっぱい。：2014/01/24(金) 19:03:48.66 .net

http://u1.getuploader.com/oklsslv2ym/download/70/welcome2mfn.EXE


１２３４５


よろしくお願いします。

807 ：名無しさん＠お腹いっぱい。：2014/01/25(土) 20:36:19.47 ?2BP(100).net

簡単なやつから

>>805
本体は>>799,801 とおおよそ同じです 当方環境では、
UpdateCheckerSetup hao123inst-japan-smt01 Show-Password OptimizerPro
が落ちて来ましたが、これに加えて今回は、bitcoinかなにかを稼ごう！という
Math Problem Solver GPU なるツールがついてきました
鯖はp2pltc.coinsmine.org とありましたが、、 そいつは実行はしてません

808 ：名無しさん＠お腹いっぱい。：2014/01/25(土) 21:56:34.90 ?2BP(100).net

>>806
messagemates のデスクトップアクセサリらしいです
実行すると、ちょっとした手描きアニメがみられます
最後に(既定の)メッセージが出て、あなたもこれを誰かに送ろう！と出て終わります
自由にメッセージを書き込んだファイルを生成する機能もあるようです
当方環境では異変なさげ。

http://web.archive.org/web/*/http://www.messagemates.com/download/*
※悪意はなくとも、バグがあるかもしれません。砂箱のご用意を。

809 ：名無しさん＠お腹いっぱい。：2014/01/27(月) 00:45:33.81 ?2BP(100).net

>>804
下見: 砂箱との相性か、インストーラ(NSIS)が例外を放って落ちます
ローカルプロキシを設定して、検索をeazel.com に誘導したいみたいです

こんな感じ？
http://en.eazel.com/results.php?q=2ch

ネイティブ側のコードが不自然だなと思ったら、改造元があるようです
http://www.codeproject.com/Articles/21862/

810 ：名無しさん＠お腹いっぱい。：2014/01/30(木) 12:11:30.50 .net

http://u1.getuploader.com/oklsslv2ym/download/71/Ccleaner.rar

１２３４５

811 ：名無しさん＠お腹いっぱい。：2014/01/30(木) 14:58:03.19 .net

http://www.freewarefiles.com/files/download.php?programid=24184

よろしくお願いいたします。

812 ：名無しさん＠お腹いっぱい。：2014/01/31(金) 13:22:39.45 .net

176.119.2.94/firefox/FirefoxUpdate.exe

よろしくお願いします。

813 ：名無しさん＠お腹いっぱい。：2014/01/31(金) 19:13:56.75 .net

dlp.cloudsvr33.com/tv1/151/AllMyVideos/599/731/hKcvtwcF?file
Name=DownloadVideoPlayer&


よろしくお願いします。

814 ：名無しさん＠お腹いっぱい。：2014/02/01(土) 00:43:24.91 ?2BP(100).net

>>810
レジストリ・クッキクリーナみたいなもののようでした http://www.piriform.com/ccleaner
hao123などの余計ソフトを勧めつつ、 ttp://download.piriform.com/ccsetup400.exe を
落とそうとしますが、既にそれは最新版ではありません

>>811
IZArcInstall を落としに行きます。ダウンロードすると、RegClean Pro への広告が表示されました
このソフトは、本家の配布パッケージに余計ソフトが多段に積まれており、
最後の最後に、OpenCandy が実行されます。…7zで十分なのではなかろうか。

815 ：名無しさん＠お腹いっぱい。：2014/02/01(土) 00:48:52.49 ?2BP(100).net

>>812
下見、これはアカンやつですきっと パッカ解析避けが書いてあります
しかし砂箱との相性か、たぶんパッカの途中で落ちてます。なので下見扱い。

>>813
>>733 とほぼおなじ仕組みです
ttp://api.v2.secdls.com/index.php/api/151/AllMyVideos/599/731/Japanese.xml
ttp://staticrr.newdownloadls.com/sdb/14/NewVideoPlayerSetup.exe

816 ：名無しさん＠お腹いっぱい。：2014/02/01(土) 01:41:18.95 ?2BP(100).net

>>812,815
unpackして、埋めこまれていたDLLをvtに投げてみました full backdoor らしいです
https://www.virustotal.com/ja/file/3ada284b89bbcf2394834bfc503ef8de859d798ca6299e662f7924182ac61281/analysis/

817 ：名無しさん＠お腹いっぱい。：2014/02/02(日) 18:30:24.57 .net

みなさんどのような防御してるんですか

818 ：名無しさん＠お腹いっぱい。：2014/02/04(火) 22:01:34.77 .net

・出来合いのセキュリティソフトと自作の監視層の組み合わせ
・大事なモノは置かない
・IPアドレスは借り物

819 ：名無しさん＠お腹いっぱい。：2014/02/05(水) 09:55:54.69 .net

http://www.windows7-themes.org/downloads/1/PirateShips.exe

よろしくお願いします。

820 ：名無しさん＠お腹いっぱい。：2014/02/05(水) 10:21:22.17 .net

dl.downloadnuchaikainug.com/n/3.0.30.1/10232421/aviraantivir
personal-freeantivirus.exe

よろしくお願いいたします。

821 ：名無しさん＠お腹いっぱい。：2014/02/05(水) 15:22:16.35 ?2BP(100).net

>>819
searchprotect, systweak, mobogenie, systemspeedup などの余計ソフトを勧めつつ、
ttp://dl.revenyou.com/Files/Setup_product_391.exe
を落としてきました。これは自己解凍書庫です(実行はしてません)
ばらすと*.themepack がでてきますが、さらにばらせば、壁紙がでてきます

>>820
hao123, PasswordView, pcspeedmaximizer, systemspeedup, mobogenie, freesofttoday
などの余計ソフトを勧めつつ、
ttp://personal.avira-update.com/package/wks_avira/win32/es/pecl/avira_free_antivirus_es.exe
に飛ばされました。…イタリア語版？
最後は本家から落とすのと変わりませんから、直接本家にどうぞ。

822 ：名無しさん＠お腹いっぱい。：2014/02/06(木) 11:55:18.26 .net

anonymousdelivers.us/uploads/cddfe077cb270eefe6bf722f91205c9
e.exe/svchost.exe


よろしくお願いします

823 ：名無しさん＠お腹いっぱい。：2014/02/06(木) 21:04:59.57 ?2BP(100).net

>>822
system32にフォルダを掘って自分をコピーし、
さらにいったんnotepad.exeを起動して、そこに本体をアンパックします
そこで、見かけ上動きが止まりました

なんか(メモリ上に)でてきたファイルをvtに投げます
https://www.virustotal.com/ja/file/a71e713762730d5c7abeab5010cd56adf165d3c1c5109a45ca69b8fed238100b/analysis/
やっぱりあかんやつだったことがわかります

824 ：名無しさん＠お腹いっぱい。：2014/02/08(土) 02:16:43.11 .net

http://www.brothersoft.com/fetchimi-download-291289-s2.html
これは何ですか？お願いします

825 ：名無しさん＠お腹いっぱい。：2014/02/08(土) 13:12:23.25 ?2BP(100).net

>>824
searchprotector, conduit, optimizerpro などを勧めつつ、
ttp://usfiles.brothersoft.com/internet/browser_plug-ins/fetchimi.zip
を落としてきました。45KB. ダウンローダよりちっさｗ

フェッチ意味、と読むそうです ぐぐると結構ファンがいるらしい。
ばらすと .xpi ファイルがでてきます ホンモノかどうかはわかりかねます
ただ、本体はGPLv2だと書いてあるので、誰か保守してあげるといいのではないでしょうか
https://www.virustotal.com/ja/file/62675b9191d5cbd5a176f38e1351e61b8eae200f710d1b318626f41e88590f0f/analysis/

826 ：名無しさん＠お腹いっぱい。：2014/02/08(土) 17:39:00.77 .net

>>825
ありがとうございます。

827 ：名無しさん＠お腹いっぱい。：2014/02/10(月) 12:08:44.30 .net

217.12.219.181/test/w.exe


よろしくお願いします

828 ：名無しさん＠お腹いっぱい。：2014/02/10(月) 13:31:46.77 .net

とりあえず取得 e5855ed7b278e0bcf877d89c84b909ac
217.12.219.181 をぐぐると、それはRDPフラッドがなんとかだとか
書いてあるページがありました

仕事終わったらばらしてみる

829 ：名無しさん＠お腹いっぱい。：2014/02/12(水) 22:55:14.86 ?2BP(100).net

>>827
http://78.154.54｡42/www/cmd.php から一覧を取得し、侵入できそうなPCを探すようです
参考に、アンパックしたものをvtに出してみます
https://www.virustotal.com/ja/file/021f041f676a99eb64f21ef4f5c5f2cff04046518f0719e7c02367fed72d45af/analysis/

cmd.phpに、「次のやつ」が出てましたので、これもアンパックしたものをvtに出してみます
https://www.virustotal.com/ja/file/aa2ba2bae58cdc6ea5731bfa24613d6d4db78345cf1623683bab91f5deb1c3e8/analysis/

※ガワのほうで検出できれば、十分に阻止されます。

830 ：名無しさん＠お腹いっぱい。：2014/02/14(金) 23:01:55.85 .net

safe.to.download.downloadastro.com/google_talk_es.exe

よろしくお願いいたします。

831 ：名無しさん＠お腹いっぱい。：2014/02/15(土) 09:52:07.46 ?2BP(100).net

>>830
hao123, RegCleaner ともうひとつなにかを勧めつつ、
http://www.google.co.il/talk/install.html を開きます
って、本体ダウンロードすらしてないｗ

ぐぐるとーくはHangoutsに引き継がれましたので、Hangoutsのページが開くはずです
http://ja.wikipedia.org/wiki/Google_Talk

832 ：名無しさん＠お腹いっぱい。：2014/02/17(月) 02:23:49.96 .net

wargame.tv/trampo/Chrom.exe

よろしくお願いします。

833 ：名無しさん＠お腹いっぱい。：2014/02/17(月) 07:31:29.04 .net

fast.findmysoft.com/dl/0f97837d1695bf8e73d4574dc55fbafb/wint
oflash_0.7.0057-Beta_setup.exe

よろしくお願いします。

834 ：名無しさん＠お腹いっぱい。：2014/02/17(月) 19:47:07.97 .net

http://u1.getuploader.com/oklsslv2ym/download/72/shiva..EXE

１２３４５

835 ：名無しさん＠お腹いっぱい。：2014/02/17(月) 22:08:57.78 .net

>>832 下見、実行がとまって一見なにも起きない
>>833 下見、余計ソフト数本を落とすが、本体のDLが始まらない

>>834
なにかお供え物ができるフラ ↓が出てくる お試しは砂箱で。
http://www.eprarthana.com/images/gallery/shiva/aruna.jpg

836 ：名無しさん＠お腹いっぱい。：2014/02/23(日) 14:36:14.94 .net

www.weebly.com/uploads/2/5/9/4/25948620/captainphillips.exe

よろしくお願いいたします。

837 ：名無しさん＠お腹いっぱい。：2014/02/24(月) 19:03:51.99 .net

hxxp://bank-security.in/001/files/soft.exe

よろしくお願いいたします。

838 ：名無しさん＠お腹いっぱい。：2014/02/25(火) 08:17:18.40 ?2BP(100).net

>>836
起動すると、なにやら採掘？をはじめました。
> "C:\Users\Owner\AppData\Roaming\Captain- Phillips- (2013)- [1080p]\CaptainPhillips(2013)[1080p].exe" -a scrypt -o http://lolotmo.1:123456@mining-foreman.org:10341 -T 97 -l yes -t 3

>>837
起動すると、子を産み落とし、なにやらメールを送ろうとしていました
いけないものには違いないようです

839 ：名無しさん＠お腹いっぱい。：2014/02/25(火) 08:18:20.66 ?2BP(100).net

>>836
起動すると、なにやら採掘？をはじめました。
> "C:\Users\Owner\AppData\Roaming\Captain- Phillips- (2013)- [1080p]\CaptainPhillips(2013)[1080p].exe" -a scrypt -o http://lolotmo.1:123456@mining-foreman.org:10341 -T 97 -l yes -t 3

>>837
起動すると、子を産み落とし、なにやらメールを送ろうとしていました
いけないものには違いないようです

840 ：名無しさん＠お腹いっぱい。：2014/03/07(金) 14:34:58.13 .net

xiazai.fuzhicheng.com/new/pczh_62.exe

よろしくお願いします

841 ：名無しさん＠お腹いっぱい。：2014/03/07(金) 20:59:20.88 .net

http://u1.getuploader.com/oklsslv2ym/download/73/dnfquantumiaosha.zip

１２３４５

842 ：名無しさん＠お腹いっぱい。：2014/03/07(金) 23:57:29.36 .net

>>840
https://www.virustotal.com/ja/file/ac7e8bf12877e0a698947696356c2c9f8814fff1198060dc8865a2d4af30224b/analysis/1394204158/

843 ：名無しさん＠お腹いっぱい。：2014/03/08(土) 23:55:06.21 .net

【速報】atwikiのサーバにヤバイ物置かれてる件
http://maguro.2ch.net/test/read.cgi/poverty/1394289475/

844 ：名無しさん＠お腹いっぱい。：2014/03/09(日) 01:18:00.49 .net

危なくてリンクを踏む気になれない

845 ：名無しさん＠お腹いっぱい。：2014/03/10(月) 00:40:41.16 ?2BP(100).net

少しずつ
>>840
４枚のタブで動画とか音楽みて暇が潰せる、みたいなものぽいです
TAB1: 広告？
TAB2: ttp://hzf.v.baofeng.com/
TAB3: ttp://mini.fengyunzhibo.com/mini/fymini.htm?f=aiqingzhihui
TAB4: ttp://y.qq.com/player
その他の通信もありますし、直接ブラウザでみてくださいということにしておきます

846 ：名無しさん＠お腹いっぱい。：2014/03/10(月) 02:01:18.30 .net

>>840

Kingsoft Win32.Troj.Generic.z.(kcloud)
ViRobot Adware.Agent.276884

847 ：名無しさん＠お腹いっぱい。：2014/03/12(水) 01:03:14.04 ?2BP(100).net

>>841 下見で
アクティブなオンラインチャットの人を表示してくれるぽいアプリですが、
おすすめ。みたいのは、同じリンクにばかり飛ぶので、広告アプリみたいな感じでもある

> ttp://web.meinvhui.cc/json/all/1.js

なにかアドウェアを落とすように書かれたJSONを読みに行ってます
いまは２つ書いてあり、ひとつは三国志のアイコン、ひとつはvtでGen:Variant.Kazy*と言われます
どういうタイミングでそれが発動するかは不詳

それと、そもそもbaiduのなにかがアドウェアとしてインストーラに入ってます
そこは、うまく作動しませんでした
3/7の時点では、HouseCallがTROJ_GEN*と言っているだけで、メジャーじゃないかも

848 ：名無しさん＠お腹いっぱい。：2014/03/13(木) 10:04:54.02 .net

http://u1.getuploader.com/oklsslv2ym/download/74/PCKeeper+Installer1.EXE

１２３４５

849 ：名無しさん＠お腹いっぱい。：2014/03/13(木) 14:33:58.63 .net

>>848

Antiy-AVL Trojan[Packed]/Win32.PePatch

https://www.virustotal.com/ja/file/b308f7aeea32fdf847c6d5aabc25015a36a66b9d89fa6ff50778f6c031ce8dc7/analysis/1394686961/

850 ：名無しさん＠お腹いっぱい。：2014/03/15(土) 21:17:31.98 ?2BP(100).net

>>848
結局ちゃんと起動するとこまでいってないので下見で

本体はこれ。AmazonBrowserBar とmypcbackup を入れないかと言ってきました
ttp://cdn.kromtech.net/pckeeper/builds/2.1.102.12555/setup32.msi
ttp://cdn.kromtech.net/pckeeper/builds/2.1.102.12555/setup64.msi
ttp://cdn.kromtech.net/pckeeper/media/2.1.99/videoactivation96.zip
ttp://cdn.kromtech.net/pckeeper/media/2.1.99/videosignup96.zip
video*.zip はちょっと手が込んでて、ちょっと見てみる価値くらいはあるかも
エントリポイントがなんとかといって起動しませんでしたが、
Aviraの組み込みアンチウイルスらしきものもみえたので、伊達ではないのかもしれません

851 ：名無しさん＠お腹いっぱい。：2014/03/17(月) 03:31:30.25 .net

プログレ板とかわけのわからん謎のスレが大量にある
米国や日本政府の監視下に協力して入ったのか
妙なプログラムが仕掛けてあるのだろうか

852 ：名無しさん＠お腹いっぱい。：2014/04/25(金) 16:04:10.05 .net

www2.makefur.co.jp/11


よろしくお願いします

853 ： ◆QGBGBaVEntpN ：2014/05/05(月) 12:48:31.26 .net

やっと時間とれた

.sc/.net は、一体であるべきものが一時的に分割されたものとみなします
.net側は、いったん寄稿すると俺が内容を再利用するのが難しくなるらしいので、
俺が手を動かして得た内容は、転載に寛容な .sc側に寄稿していきます
他愛のない雑談やURLのみは、.netでも問題ないでしょう

open は、forkとみなします。スレがあれば遊びに行きますが、
投稿者情報保護の実績を積んでる段階だと思うので、消極的に参加します

Be(1)で簡易署名できなくなったので、酉を暫く使用します
>>850 の?2BP(100) をクリックするか、
http://be.2ch｡sc/test/p.php?i=397602162 を参照してください

854 ：◆UbbfYyFljyJ7：2014/05/05(月) 13:10:20.35 ID:JSLxL+6sF

.net の》852
下見: 発見時点でDLしていました。NSISで書かれています
とにかく大量のソフトをダウンロードします
おすすめツールを自動セットアップする、みたいなのにも似てます
ただ、スクリプトを読む限り、何か暗号化したものもやりとりしているので、
いくないもののようでした 日本語じゃなかったので、正直よくわからなかったです

>>852
速攻でメール機能にアクセスしようとしていたので、いくないモノ本体のようです。
%temp% にコピーができてました。OEP 4408D4

855 ： ◆QGBGBaVEntpN ：2014/05/05(月) 13:12:09.58 .net

>>852-853
.sc にレス。

# URLには創作性がないので、URL貼るのは、こっちでいいのです

856 ：名無しさん＠お腹いっぱい。：2014/05/13(火) 10:38:36.18 ID:YsmU8CKC1

esd.nzs.com.br/programas/35473/922-extractnow.exe

よろしくお願いします

857 ：名無しさん＠お腹いっぱい。：2014/05/27(火) 17:01:25.20 .net

http://u1.getuploader.com/oklsslv2ym/download/76/mid_yumiko02_UAzCPVMNbG8t-QK1tR8Mhg%25E2%2580%25AEvmw.noisreV_EI_.zip


12345

858 ：◆UbbfYyFljyJ7：2014/06/05(木) 12:54:42.28 ID:9qqFVBrb2

>>856
ExtractNow なる展開ツールがインスコされましたが、
Hao123をオファーし、PCSpeedMaximizer_new を入れるぽい動きをしたあと、
www.novaly.info からも何か落とそうとするのですが、404のままです

>>857
これは実質404です。貼られた当日と昨日みてみましたが、やはり404です

859 ： ◆QGBGBaVEntpN ：2014/06/05(木) 12:55:03.10 .net

>>857
.sc にレス。

860 ：名無しさん＠お腹いっぱい。：2014/06/06(金) 09:55:37.42 .net

5.149.248.85/flashsec.exe


http://u1.getuploader.com/oklsslv2ym/download/77/defaultpack.zip
12345

よろしくお願いします

861 ： ◆QGBGBaVEntpN ：2014/06/06(金) 13:25:10.75 .net

>>860
上: 5.149.248.85 につながりません、保留
下: 下見、一見、MSの署名がされています。問題はインストール後？あとでみます

862 ：名無しさん＠お腹いっぱい。：2014/06/07(土) 02:09:49.26 ?PLT(29292).net

>>860
上、DLできたのでVTに投げてみた

https://www.virustotal.com/en/url/13cc8275863071d39df2d6424f0fcc4cab7d60a1d48aa805adaaf5191ed74ed9/analysis/1399810931/
https://www.virustotal.com/en/url/13cc8275863071d39df2d6424f0fcc4cab7d60a1d48aa805adaaf5191ed74ed9/analysis/1402074491/

https://www.virustotal.com/en/file/f2fa1aa872eb196aaee48d5cbcd412aa99fc042e65679eb7d6fbee552239fa6e/analysis/1395275562/
https://www.virustotal.com/en/file/f2fa1aa872eb196aaee48d5cbcd412aa99fc042e65679eb7d6fbee552239fa6e/analysis/1402057719/
https://www.virustotal.com/en/file/f2fa1aa872eb196aaee48d5cbcd412aa99fc042e65679eb7d6fbee552239fa6e/analysis/1402074444/

863 ：名無しさん＠お腹いっぱい。：2014/06/07(土) 04:53:42.81 .net

AntiVir TR/Katusha.odf
Kaspersky Packed.Win32.Katusha.o
http://www.youtube.com/watch?v=sA5IFJqjXiQ

こりか
http://www.kaspersky.co.jp/about/news/virus/2010/207581626
> 19 位の Packed.Win32.Katusha.n は悪意あるパッカーで、アンチウイルスプログラムからマルウェアを保護する目的で使用されています。Katusha というパッカーで圧縮された偽のアンチウイルスプログラムも、この名前で検知されます。


http://about-threats.trendmicro.com/Search.aspx?language=jp&p=KATUSHA
http://www.mcafee.com/japan/security/virD.asp?v=Downloader-CEW.o
http://blog.0day.jp/2012/09/ocjp-061-pnrmjp-210224177201.html
http://www.sophos.com/ja-jp/threat-center/threat-analyses/viruses-and-spyware/Troj~Katusha-D/detailed-analysis.aspx

864 ：名無しさん＠お腹いっぱい。：2014/06/14(土) 23:09:30.90 .net

http://u1.getuploader.com/oklsslv2ym/download/78/%C3%83%C2%95%C3%82%C2%AC%C3%83%C2%84%C3%83%C2%90%C3%83%C2%93%C3%82%C2%B0%C3%83%C2%92%C3%83%C2%B4_24_1014_.zip

12345

865 ：名無しさん＠お腹いっぱい。：2014/08/05(火) 12:06:12.98 .net

http://u1.getuploader.com/oklsslv2ym/download/79/java.zip


12345

866 ：名無しさん＠お腹いっぱい。：2014/09/21(日) 22:09:14.13 .net

こえーよｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

867 ：名無しさん＠お腹いっぱい。：2014/09/25(木) 14:05:28.82 .net

そうでもない

868 ：名無しさん＠お腹いっぱい。：2014/10/18(土) 15:45:22.45 .net

http://ybssoft.com/?dist_id=269&channel=acmnj&cid=25798852441412906350&pubid=271585&v=ico&c=20a4febe59cb94a853d80a5d31ff8739&v_id=f14e3ce1d541dea2c8dea5b13a75956e

869 ：名無しさん＠お腹いっぱい。：2014/12/27(土) 09:51:43.53 .net

↓これは大丈夫でしょうか？　恐くて開けられません<m(__)m>お願いします

http://www1.axfc.net/u/3380663

870 ：名無しさん＠お腹いっぱい。：2014/12/27(土) 10:49:31.04 .net

o2pke3et@cgbawpudr.com

こちらもゲスト様にお届けさせて頂くアタッシュケースと同様、一切の負担なくお受/け,取/りになって頂けるポイン トにな,ります。
依頼主様/によると、こちら,のポイン トは、現/金に換金する事も出来るようですので、,アタッシュケースと併せてお受.け/取,り下さい。

依頼主様も、少しでも早い配送完了を望んでらっ,しゃいます。
場所も問いません。自宅でも職場でもゲスト様が最も受.け 取,りやすい場所に、私が時間厳/守にてお伺いさせて頂きます。本日中に。
依頼主様からもそう言われております。本日何時でも結構です。今からすぐでも、明日日中でも夕方でも夜でも、確実に貴方の望む通りに配 達/させ.て頂きます。
それでは本日の最も都合のいい時間帯と、最も受.け 取.りやすい/場所を明記の上、ご返答くださ,い。

既に準備は整い即出発も可 能です。お待ちしております。

※こちらのメ.ー,ルは直接、返信が可/能となっております※

871 ：名無しさん＠お腹いっぱい。：2014/12/27(土) 13:46:09.31 .net

867
すみません。
解決しました<m(__)m>。
誰かのPVでしたｗ

872 ： ◆QGBGBaVEntpN ：2014/12/31(水) 18:46:19.73 .net

新年前に、こそっと営業再開ですよ（ ･∀･）

本年は、上にもあるとおり、別言語アプリ(中国EXE)の処理でどうしようか迷ってる間に忙しくなってしまいましたが
また少し時間ができつつあるので、少しずつ再開していきます 鶴の更新からしていかないと。

泥については、.apkをちょっとばらして覗くくらいからしてみようかと。
iOS/Macについては、まだ未対応です。


兼カキコテス

873 ：名無しさん＠お腹いっぱい。：2015/04/17(金) 01:00:13.70 .net

---

板復帰(OK!:Gather .dat file OK:NOT moving DAT 709 -> 709:Get subject.txt OK:Check subject.txt 707 -> 707:Overwrite OK)load averages: 0.85, 0.98, 0.99
sage subject:707 dat:709 rebuild OK!

874 ：名無しさん＠お腹いっぱい。：2015/04/21(火) 20:28:21.57 .net

gooogledownloadfree.co/sc/Bnd_200_373_2015410_1510.exe

875 ：◆UbbfYyFljyJ7：2015/04/25(土) 10:56:16.86 ID:gCDxhLWDn

> Bnd*.exe

windowsディレクトリに特定ファイルが【ない】となにもしません
collect.mdata.cool, collect.trtromg.com に何か送信します
なにかGoogleのものを(偽ってでも)落としてくる素振りもありません

876 ：名無しさん＠お腹いっぱい。：2015/04/25(土) 10:57:49.78 .net

踏んでみた。 .sc にレス。

877 ：名無しさん＠お腹いっぱい。：2015/04/27(月) 11:07:48.53 .net

bitcoinsmsxpress.com/Ad0veSettings.exe


dl.get1993desk.com/n/38671313/DOA8.exe

878 ：名無しさん＠お腹いっぱい。：2015/04/29(水) 11:45:02.28 ID:77ijCE125

http://u1.getuploader.com/oklsslv2ym/download/80/pingguo_22091713294.rar

abcde

879 ：◆UbbfYyFljyJ7：2015/05/02(土) 22:58:04.81 ID:xZ7bjjqBb

> pingguo
ちょっと踏んでみました
チャットツールらしきものを落としてくるらしいのですが、当方環境ではうまくいきませんでした
guagua_dance_setup.exe なるものも書き込まれているのですが404でした

880 ：◆UbbfYyFljyJ7：2015/05/03(日) 00:59:08.00 ID:xa135NMBe

> Ad0veSettings
ちょっと踏んでみました
0fficekeyserial15 とかいうファイルやら、dropbox からKProcessHacker を落とそうとしたり、
ろくなもんじゃないようです ただ、dropbox が直リンの帯域上限みたいなこと言ってましたが。。

881 ：名無しさん＠お腹いっぱい。：2015/05/17(日) 14:53:11.51 .net

乱入すまそ
↓が怖くてできないんです・・・。だれかやって見れる人いませんか？

http://japanese.trailsframework.org/lv/group/view/kl228723/Portal_2.htm

882 ：名無しさん＠お腹いっぱい。：2015/06/20(土) 22:20:10.05 .net

やってくれる人がいるかどうか判らないけど
Chromium 派生まとめwiki に載っているMustang BrowserとCentbrowser、更にFastiumを試して使用感を報告してほしいです

883 ：名無しさん＠お腹いっぱい。：2015/07/21(火) 19:08:24.86 ID:RcLYgalT2

zennetbuilder.com/554/33.exe

884 ：名無しさん＠お腹いっぱい。：2015/08/11(火) 12:15:34.69 ID:chCPS96wZ

viewpasswordの広告が表示されるようにになった。削除方法をネットで調べたところコントロールパネルからのプログラム削除、エクスプローラによるフォルダ削除、専用ソフトによる削除の３つの方法があるようだった。
だが、３つとも試したがまだ表示される。それで次にブラウザのキャッシュを削除したらやっと表示されなくなった。この間約２時間かかった。

885 ：福山雅治と海蛇指揮田中才子でした。：2015/08/15(土) 18:04:21.32

河野餓鬼は女性を飼ってま〜す　買ってるかも？　男も勝手ま〜す！　そして私は逆球ねらいで〜す。　それはFと福山の長女かも〜　女だお！　
両党で〜す。　そしておれはね、これで行けなかったのと泣いてます。

松坂、私の男にも女にも手を出すな＝　ばろー　でした。
海蛇の指揮田中才子でした。　霊界通信で今聞こえたこと　以上！
　
２ちゃんねる　スピリチュアル板　亞羅さま+けて。。。F　のFです。
この世の天国をただただひたすら願い霊聴で得た、全てを書き込んでます。
そこには世界をガンダーラにすべき、全てがありました！

886 ：名無しさん＠お腹いっぱい。：2015/11/06(金) 21:57:23.20 .net

ｗ

887 ：名無しさん＠お腹いっぱい。：2015/12/06(日) 19:39:54.47 .net

http://u1.getuploader.com/oklsslv2ym/download/81/Chrysanthemum.jpg.lzh

12345

よろしくお願いします

888 ：153：2015/12/22(火) 19:09:50.22 .net

人は居るのだろうか…

889 ： ◆UbbfYyFljyJ7 ：2015/12/31(木) 22:59:10.67 .net

嗚呼、リアルが、リアルが、、

リアルと、そしてWindows10(InsiderPreview)に追われているのです、、

.scからみてたりしますので、静的解析初心者の方がおられたら、今後もなんか答えますよ
もともとの、もともとということで、勇気スレの雑スレもみてたりします

890 ： 【ﾆﾀﾞｰ】 【1679円】 ◆QGBGBaVEntpN ：2016/01/01(金) 00:14:36.55 .net

よし、あけおめ

891 ：名無しさん＠お腹いっぱい。：2016/01/01(金) 00:23:21.68 .net

あけおめっ！

892 ：名無しさん＠お腹いっぱい。：2016/03/01(火) 23:16:34.76 ID:e69qrAkbf

>>887
拡張子がvvvのファイル初めて見たよ...

893 ：名無しさん＠お腹いっぱい。：2016/04/28(木) 23:53:06.06 ID:HDAeqVKJS

http://u1.getuploader.com/oklsslv2ym/download/82/DonaSurvey.zip

12345

よろしくお願いします

894 ：◆UbbfYyFljyJ7：2016/05/07(土) 08:34:29.51 ID:xSZQWN378

あ。とどいてた

隠しコマンドがあってもわかりませんので、これは踏まずに読みました
(これで難読化でもあったら悪質扱いですｗ)

C:\Program Files\ShrkSoft Program Trigger にファイルをドロップしたり、
explorer を落としたり、タスクマネージャをdisableにしたりといったところでしょうか
ぱっと見仮想マシンを突破してくる様子はありません

あと、マクドはおやつ
過度の期待をするからいけないんですｗ

895 ：◆UbbfYyFljyJ7：2016/07/01(金) 02:47:47.72 ID:mRoQruA9b

最近、当方のガラケーにも、ウイルスメールが来るようになりますた
ひさしぶりにひとつ踏んでみようかと…




…あっ…。




300KBを超えてて「課金」されそうになりますた
でかい、でかいよ。。

> doc.*_xls.xls.exe

まあ、ご注意を。今回実行はしてません。

896 ：名無しさん＠お腹いっぱい。：2017/05/14(日) 14:25:52.08 ID:C8Dntgo17

久しぶりに来ました　鑑定士さん生きてたら鑑定よろしくお願いします

http://u1.getuploader.com/oklsslv2ym/download/83/inst1.7z

12345

897 ：◆UbbfYyFljyJ7：2017/05/27(土) 07:00:05.37 ID:u2OwdZYrr

今気づいた。。

898 ：◆UbbfYyFljyJ7：2017/06/04(日) 21:18:21.68 ID:ReLdc7gMp

中の人は生きてましたが、解析環境が氏んでました。。
いろいろと更新(デバグ)。

ばらせるだけばらしてみました OEP 401633. そっからは誰でも読めます
https://www.virustotal.com/file/6a6787944ea5f21397d281e33792f96f9fa7ed2a6d124f936c0da78ce7f2a65e/analysis/

その中にx86,x64(たぶん) のペイロードがおり、砂箱よけなどされましたが、ぱっと見トロイのようでした
vtに投げましたが、まあその通り。
https://www.virustotal.com/file/64496c09a910eec14359e07eda5344e0d5a178651518a959a14c14a6b984deb7/analysis/
https://www.virustotal.com/file/76d59f4fc26616d2dff91cf6931a07ab400033a91bb7f8979026d9f12c3439f4/analysis/

メモリ内展開されて実行されるため、早い段階で検出するセキュリティソフトも
あろうかと思います 後学のため。

899 ：名無しさん＠お腹いっぱい。：2017/07/04(火) 12:20:07.59 ID:wp1PNCuI7

http://u1.getuploader.com/oklsslv2ym/download/84/winscr.7z

12345

またお願いします

900 ：◆UbbfYyFljyJ7：2017/07/10(月) 01:09:47.90 ID:sbFBMtolv

>>899
OEP 5DBE60 そっからさらにUPXか何かがかかっていて、OEP 5298D4.
何箇所かランダムでSSLでつなぎにいこうとしていたのが見えました
やけにでかいのは、tor らしきものを内蔵してしまっているようです

ダンプしたものをvtに投げてみます トロイか、ランサムウェアのようですね
https://www.virustotal.com/file/4c509b87ea3feb02a062e917225fc73460f134b1ddfaad269420a13324464690/analysis/

901 ：名無しさん＠お腹いっぱい。：2017/10/11(水) 07:09:41.94 ID:DlgAEM33M

https://u1.getuploader.com/oklsslv2ym/download/85

12345

圧縮してないんだけど可能なら鑑定お願いします

902 ：名無しさん＠お腹いっぱい。：2017/10/12(木) 16:36:00.96 ID:38nIQotAs

まえのぱすたが　いすわってるよまだ　胃に

903 ：名無しさん＠お腹いっぱい。：2017/10/12(木) 16:38:54.99 ID:38nIQotAs

しえんぶたいとかもいるんでしょ　だから　じっさいじかんとばしょがおなじじゃなくても

もっとだから　んで　がいこくもでしょ　いちおくはいないんじゃないの

いちひがいしゃに　すとーかーのかず

904 ：名無しさん＠お腹いっぱい。：2018/05/10(木) 00:53:37.13 ID:jPqeMvm8v

https://u1.getuploader.com/oklsslv2ym/download/86

12345

お願いします

905 ：名無しさん＠お腹いっぱい。：2018/05/12(土) 03:39:20.89 ID:TSsWEzezh

>>904
＞ システムが大変混雑しています。
＞
＞数時間後にアクセスしてもこの画面が表示される場合は、大変お手数ですがお問い合わせよりご連絡ください。

↑ずっとこの表示でDL出来ない

906 ：名無しさん＠お腹いっぱい。：2019/07/16(火) 13:54:16.46 ID:835btjYcL

>>904
NANO-AntivirusにてTrojan

907 ：名無しさん＠お腹いっぱい。：2023/07/29(土) 09:09:36.34 ID:Fd35RzGVn

海外の環境団体はあらゆる妨害活動から破壞活動まて゛やってて人としての最低限の道徳を知ってて素晴らしいが曰本にはクズしかいないのかよ
せめて広島の平和公園もとい地球破壞公園の殺人の灯て゛вΒＱくらいやってみせろや，何しろ肉を焼くわけて゛もなく、月に８０〇立方メ━ト儿
ものプ□パンガスをたた゛ひたすら燃やし続けていやがるんだからな、せめて肉でも焼いてみせて気侯変動に抗議する象徴的行動するのが人の道
莫大な温室効果ガスまき散らして世界―周旅行して．サミットた゛のと國民から強奪した莫大な税金無駄にしながら飲み食い観光、警備た゛のと
クソシナ顔負けの私権侵害やって世界中にハ゛力晒し続けてる岸田異次元増税憲法ガン無視地球破壊軍國主義売國奴文雄みたいなクズた゛の、
持続可能な開發目標に壊滅的なタ゛メ‐シ゛を及ほ゛すために國連本部にノコ丿コ出かけて莫大な温室効果カ゛スまき散らす広島県知事湯崎英彦だのを
当選させてる広島県民は恥を知れよ．広島原爆で１４萬人殺されたそうた゛か゛．ＷＭ○か゛確認しただけて゛１９７○年以降に気侯変動によって，
土砂崩れに洪水．暴風，猛暑．大雪やら災害て゛殺された人数は２Ο○万人以上，経済損失は６０○兆圓以上という現実を理解しろタ゛ブス夕県民

創価学會員は，何百萬人も殺傷して損害を与えて私腹を肥やし続けて逮捕者まて゛出てる世界最悪の殺人腐敗組織公明党を
池田センセ―が□をきけて容認するとか本気て゛思ってるとしたら侮辱にもほどがあるぞ！
ｈтТＰｓ：／／ｉ．ｉｍｇｕｒ，сｏｍ／hnli1ga.jpeg