あやしいファイルを実行するスレ 2層目

1 ：名無しさん＠お腹いっぱい。：2008/11/25(火) 01:17:54 .net

あやしいファイルを実行したりして遊ぶ人が集うスレです 
急ぎでなくてよろしければ、簡単な鑑定も行います 

※ 依頼には制限があります: >>2-10 あたりをお読みください 【自動鑑定サイトも掲載しています】 

前スレ: あやしいファイルを実行するスレ (2006/02/21) 
http://pc11.2ch.net/test/read.cgi/sec/1140517079/ 

関連スレ:【鑑定目的禁止】検出可否報告スレ7 
http://pc11.2ch.net/test/read.cgi/sec/1216217642/ 

【警告】ここの住人は、黙っているだけで、多彩な多層防御を据えてあやしいファイルを実行しています 
無理に真似をして、環境が壊れたり、なにか晒されたりしても、屍を拾う者はいません

858 ：◆UbbfYyFljyJ7：2014/06/05(木) 12:54:42.28 ID:9qqFVBrb2

>>856
ExtractNow なる展開ツールがインスコされましたが、
Hao123をオファーし、PCSpeedMaximizer_new を入れるぽい動きをしたあと、
www.novaly.info からも何か落とそうとするのですが、404のままです

>>857
これは実質404です。貼られた当日と昨日みてみましたが、やはり404です

859 ： ◆QGBGBaVEntpN ：2014/06/05(木) 12:55:03.10 .net

>>857
.sc にレス。

860 ：名無しさん＠お腹いっぱい。：2014/06/06(金) 09:55:37.42 .net

5.149.248.85/flashsec.exe


http://u1.getuploader.com/oklsslv2ym/download/77/defaultpack.zip
12345

よろしくお願いします

861 ： ◆QGBGBaVEntpN ：2014/06/06(金) 13:25:10.75 .net

>>860
上: 5.149.248.85 につながりません、保留
下: 下見、一見、MSの署名がされています。問題はインストール後？あとでみます

862 ：名無しさん＠お腹いっぱい。：2014/06/07(土) 02:09:49.26 ?PLT(29292).net

>>860
上、DLできたのでVTに投げてみた

https://www.virustotal.com/en/url/13cc8275863071d39df2d6424f0fcc4cab7d60a1d48aa805adaaf5191ed74ed9/analysis/1399810931/
https://www.virustotal.com/en/url/13cc8275863071d39df2d6424f0fcc4cab7d60a1d48aa805adaaf5191ed74ed9/analysis/1402074491/

https://www.virustotal.com/en/file/f2fa1aa872eb196aaee48d5cbcd412aa99fc042e65679eb7d6fbee552239fa6e/analysis/1395275562/
https://www.virustotal.com/en/file/f2fa1aa872eb196aaee48d5cbcd412aa99fc042e65679eb7d6fbee552239fa6e/analysis/1402057719/
https://www.virustotal.com/en/file/f2fa1aa872eb196aaee48d5cbcd412aa99fc042e65679eb7d6fbee552239fa6e/analysis/1402074444/

863 ：名無しさん＠お腹いっぱい。：2014/06/07(土) 04:53:42.81 .net

AntiVir TR/Katusha.odf
Kaspersky Packed.Win32.Katusha.o
http://www.youtube.com/watch?v=sA5IFJqjXiQ

こりか
http://www.kaspersky.co.jp/about/news/virus/2010/207581626
> 19 位の Packed.Win32.Katusha.n は悪意あるパッカーで、アンチウイルスプログラムからマルウェアを保護する目的で使用されています。Katusha というパッカーで圧縮された偽のアンチウイルスプログラムも、この名前で検知されます。


http://about-threats.trendmicro.com/Search.aspx?language=jp&p=KATUSHA
http://www.mcafee.com/japan/security/virD.asp?v=Downloader-CEW.o
http://blog.0day.jp/2012/09/ocjp-061-pnrmjp-210224177201.html
http://www.sophos.com/ja-jp/threat-center/threat-analyses/viruses-and-spyware/Troj~Katusha-D/detailed-analysis.aspx

864 ：名無しさん＠お腹いっぱい。：2014/06/14(土) 23:09:30.90 .net

http://u1.getuploader.com/oklsslv2ym/download/78/%C3%83%C2%95%C3%82%C2%AC%C3%83%C2%84%C3%83%C2%90%C3%83%C2%93%C3%82%C2%B0%C3%83%C2%92%C3%83%C2%B4_24_1014_.zip

12345

865 ：名無しさん＠お腹いっぱい。：2014/08/05(火) 12:06:12.98 .net

http://u1.getuploader.com/oklsslv2ym/download/79/java.zip


12345

866 ：名無しさん＠お腹いっぱい。：2014/09/21(日) 22:09:14.13 .net

こえーよｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗｗ

867 ：名無しさん＠お腹いっぱい。：2014/09/25(木) 14:05:28.82 .net

そうでもない

868 ：名無しさん＠お腹いっぱい。：2014/10/18(土) 15:45:22.45 .net

http://ybssoft.com/?dist_id=269&channel=acmnj&cid=25798852441412906350&pubid=271585&v=ico&c=20a4febe59cb94a853d80a5d31ff8739&v_id=f14e3ce1d541dea2c8dea5b13a75956e

869 ：名無しさん＠お腹いっぱい。：2014/12/27(土) 09:51:43.53 .net

↓これは大丈夫でしょうか？　恐くて開けられません<m(__)m>お願いします

http://www1.axfc.net/u/3380663

870 ：名無しさん＠お腹いっぱい。：2014/12/27(土) 10:49:31.04 .net

o2pke3et@cgbawpudr.com

こちらもゲスト様にお届けさせて頂くアタッシュケースと同様、一切の負担なくお受/け,取/りになって頂けるポイン トにな,ります。
依頼主様/によると、こちら,のポイン トは、現/金に換金する事も出来るようですので、,アタッシュケースと併せてお受.け/取,り下さい。

依頼主様も、少しでも早い配送完了を望んでらっ,しゃいます。
場所も問いません。自宅でも職場でもゲスト様が最も受.け 取,りやすい場所に、私が時間厳/守にてお伺いさせて頂きます。本日中に。
依頼主様からもそう言われております。本日何時でも結構です。今からすぐでも、明日日中でも夕方でも夜でも、確実に貴方の望む通りに配 達/させ.て頂きます。
それでは本日の最も都合のいい時間帯と、最も受.け 取.りやすい/場所を明記の上、ご返答くださ,い。

既に準備は整い即出発も可 能です。お待ちしております。

※こちらのメ.ー,ルは直接、返信が可/能となっております※

871 ：名無しさん＠お腹いっぱい。：2014/12/27(土) 13:46:09.31 .net

867
すみません。
解決しました<m(__)m>。
誰かのPVでしたｗ

872 ： ◆QGBGBaVEntpN ：2014/12/31(水) 18:46:19.73 .net

新年前に、こそっと営業再開ですよ（ ･∀･）

本年は、上にもあるとおり、別言語アプリ(中国EXE)の処理でどうしようか迷ってる間に忙しくなってしまいましたが
また少し時間ができつつあるので、少しずつ再開していきます 鶴の更新からしていかないと。

泥については、.apkをちょっとばらして覗くくらいからしてみようかと。
iOS/Macについては、まだ未対応です。


兼カキコテス

873 ：名無しさん＠お腹いっぱい。：2015/04/17(金) 01:00:13.70 .net

---

板復帰(OK!:Gather .dat file OK:NOT moving DAT 709 -> 709:Get subject.txt OK:Check subject.txt 707 -> 707:Overwrite OK)load averages: 0.85, 0.98, 0.99
sage subject:707 dat:709 rebuild OK!

874 ：名無しさん＠お腹いっぱい。：2015/04/21(火) 20:28:21.57 .net

gooogledownloadfree.co/sc/Bnd_200_373_2015410_1510.exe

875 ：◆UbbfYyFljyJ7：2015/04/25(土) 10:56:16.86 ID:gCDxhLWDn

> Bnd*.exe

windowsディレクトリに特定ファイルが【ない】となにもしません
collect.mdata.cool, collect.trtromg.com に何か送信します
なにかGoogleのものを(偽ってでも)落としてくる素振りもありません

876 ：名無しさん＠お腹いっぱい。：2015/04/25(土) 10:57:49.78 .net

踏んでみた。 .sc にレス。

877 ：名無しさん＠お腹いっぱい。：2015/04/27(月) 11:07:48.53 .net

bitcoinsmsxpress.com/Ad0veSettings.exe


dl.get1993desk.com/n/38671313/DOA8.exe

878 ：名無しさん＠お腹いっぱい。：2015/04/29(水) 11:45:02.28 ID:77ijCE125

http://u1.getuploader.com/oklsslv2ym/download/80/pingguo_22091713294.rar

abcde

879 ：◆UbbfYyFljyJ7：2015/05/02(土) 22:58:04.81 ID:xZ7bjjqBb

> pingguo
ちょっと踏んでみました
チャットツールらしきものを落としてくるらしいのですが、当方環境ではうまくいきませんでした
guagua_dance_setup.exe なるものも書き込まれているのですが404でした

880 ：◆UbbfYyFljyJ7：2015/05/03(日) 00:59:08.00 ID:xa135NMBe

> Ad0veSettings
ちょっと踏んでみました
0fficekeyserial15 とかいうファイルやら、dropbox からKProcessHacker を落とそうとしたり、
ろくなもんじゃないようです ただ、dropbox が直リンの帯域上限みたいなこと言ってましたが。。

881 ：名無しさん＠お腹いっぱい。：2015/05/17(日) 14:53:11.51 .net

乱入すまそ
↓が怖くてできないんです・・・。だれかやって見れる人いませんか？

http://japanese.trailsframework.org/lv/group/view/kl228723/Portal_2.htm

882 ：名無しさん＠お腹いっぱい。：2015/06/20(土) 22:20:10.05 .net

やってくれる人がいるかどうか判らないけど
Chromium 派生まとめwiki に載っているMustang BrowserとCentbrowser、更にFastiumを試して使用感を報告してほしいです

883 ：名無しさん＠お腹いっぱい。：2015/07/21(火) 19:08:24.86 ID:RcLYgalT2

zennetbuilder.com/554/33.exe

884 ：名無しさん＠お腹いっぱい。：2015/08/11(火) 12:15:34.69 ID:chCPS96wZ

viewpasswordの広告が表示されるようにになった。削除方法をネットで調べたところコントロールパネルからのプログラム削除、エクスプローラによるフォルダ削除、専用ソフトによる削除の３つの方法があるようだった。
だが、３つとも試したがまだ表示される。それで次にブラウザのキャッシュを削除したらやっと表示されなくなった。この間約２時間かかった。

885 ：福山雅治と海蛇指揮田中才子でした。：2015/08/15(土) 18:04:21.32

河野餓鬼は女性を飼ってま〜す　買ってるかも？　男も勝手ま〜す！　そして私は逆球ねらいで〜す。　それはFと福山の長女かも〜　女だお！　
両党で〜す。　そしておれはね、これで行けなかったのと泣いてます。

松坂、私の男にも女にも手を出すな＝　ばろー　でした。
海蛇の指揮田中才子でした。　霊界通信で今聞こえたこと　以上！
　
２ちゃんねる　スピリチュアル板　亞羅さま+けて。。。F　のFです。
この世の天国をただただひたすら願い霊聴で得た、全てを書き込んでます。
そこには世界をガンダーラにすべき、全てがありました！

886 ：名無しさん＠お腹いっぱい。：2015/11/06(金) 21:57:23.20 .net

ｗ

887 ：名無しさん＠お腹いっぱい。：2015/12/06(日) 19:39:54.47 .net

http://u1.getuploader.com/oklsslv2ym/download/81/Chrysanthemum.jpg.lzh

12345

よろしくお願いします

888 ：153：2015/12/22(火) 19:09:50.22 .net

人は居るのだろうか…

889 ： ◆UbbfYyFljyJ7 ：2015/12/31(木) 22:59:10.67 .net

嗚呼、リアルが、リアルが、、

リアルと、そしてWindows10(InsiderPreview)に追われているのです、、

.scからみてたりしますので、静的解析初心者の方がおられたら、今後もなんか答えますよ
もともとの、もともとということで、勇気スレの雑スレもみてたりします

890 ： 【ﾆﾀﾞｰ】 【1679円】 ◆QGBGBaVEntpN ：2016/01/01(金) 00:14:36.55 .net

よし、あけおめ

891 ：名無しさん＠お腹いっぱい。：2016/01/01(金) 00:23:21.68 .net

あけおめっ！

892 ：名無しさん＠お腹いっぱい。：2016/03/01(火) 23:16:34.76 ID:e69qrAkbf

>>887
拡張子がvvvのファイル初めて見たよ...

893 ：名無しさん＠お腹いっぱい。：2016/04/28(木) 23:53:06.06 ID:HDAeqVKJS

http://u1.getuploader.com/oklsslv2ym/download/82/DonaSurvey.zip

12345

よろしくお願いします

894 ：◆UbbfYyFljyJ7：2016/05/07(土) 08:34:29.51 ID:xSZQWN378

あ。とどいてた

隠しコマンドがあってもわかりませんので、これは踏まずに読みました
(これで難読化でもあったら悪質扱いですｗ)

C:\Program Files\ShrkSoft Program Trigger にファイルをドロップしたり、
explorer を落としたり、タスクマネージャをdisableにしたりといったところでしょうか
ぱっと見仮想マシンを突破してくる様子はありません

あと、マクドはおやつ
過度の期待をするからいけないんですｗ

895 ：◆UbbfYyFljyJ7：2016/07/01(金) 02:47:47.72 ID:mRoQruA9b

最近、当方のガラケーにも、ウイルスメールが来るようになりますた
ひさしぶりにひとつ踏んでみようかと…




…あっ…。




300KBを超えてて「課金」されそうになりますた
でかい、でかいよ。。

> doc.*_xls.xls.exe

まあ、ご注意を。今回実行はしてません。

896 ：名無しさん＠お腹いっぱい。：2017/05/14(日) 14:25:52.08 ID:C8Dntgo17

久しぶりに来ました　鑑定士さん生きてたら鑑定よろしくお願いします

http://u1.getuploader.com/oklsslv2ym/download/83/inst1.7z

12345

897 ：◆UbbfYyFljyJ7：2017/05/27(土) 07:00:05.37 ID:u2OwdZYrr

今気づいた。。

898 ：◆UbbfYyFljyJ7：2017/06/04(日) 21:18:21.68 ID:ReLdc7gMp

中の人は生きてましたが、解析環境が氏んでました。。
いろいろと更新(デバグ)。

ばらせるだけばらしてみました OEP 401633. そっからは誰でも読めます
https://www.virustotal.com/file/6a6787944ea5f21397d281e33792f96f9fa7ed2a6d124f936c0da78ce7f2a65e/analysis/

その中にx86,x64(たぶん) のペイロードがおり、砂箱よけなどされましたが、ぱっと見トロイのようでした
vtに投げましたが、まあその通り。
https://www.virustotal.com/file/64496c09a910eec14359e07eda5344e0d5a178651518a959a14c14a6b984deb7/analysis/
https://www.virustotal.com/file/76d59f4fc26616d2dff91cf6931a07ab400033a91bb7f8979026d9f12c3439f4/analysis/

メモリ内展開されて実行されるため、早い段階で検出するセキュリティソフトも
あろうかと思います 後学のため。

899 ：名無しさん＠お腹いっぱい。：2017/07/04(火) 12:20:07.59 ID:wp1PNCuI7

http://u1.getuploader.com/oklsslv2ym/download/84/winscr.7z

12345

またお願いします

900 ：◆UbbfYyFljyJ7：2017/07/10(月) 01:09:47.90 ID:sbFBMtolv

>>899
OEP 5DBE60 そっからさらにUPXか何かがかかっていて、OEP 5298D4.
何箇所かランダムでSSLでつなぎにいこうとしていたのが見えました
やけにでかいのは、tor らしきものを内蔵してしまっているようです

ダンプしたものをvtに投げてみます トロイか、ランサムウェアのようですね
https://www.virustotal.com/file/4c509b87ea3feb02a062e917225fc73460f134b1ddfaad269420a13324464690/analysis/

901 ：名無しさん＠お腹いっぱい。：2017/10/11(水) 07:09:41.94 ID:DlgAEM33M

https://u1.getuploader.com/oklsslv2ym/download/85

12345

圧縮してないんだけど可能なら鑑定お願いします

902 ：名無しさん＠お腹いっぱい。：2017/10/12(木) 16:36:00.96 ID:38nIQotAs

まえのぱすたが　いすわってるよまだ　胃に

903 ：名無しさん＠お腹いっぱい。：2017/10/12(木) 16:38:54.99 ID:38nIQotAs

しえんぶたいとかもいるんでしょ　だから　じっさいじかんとばしょがおなじじゃなくても

もっとだから　んで　がいこくもでしょ　いちおくはいないんじゃないの

いちひがいしゃに　すとーかーのかず

904 ：名無しさん＠お腹いっぱい。：2018/05/10(木) 00:53:37.13 ID:jPqeMvm8v

https://u1.getuploader.com/oklsslv2ym/download/86

12345

お願いします

905 ：名無しさん＠お腹いっぱい。：2018/05/12(土) 03:39:20.89 ID:TSsWEzezh

>>904
＞ システムが大変混雑しています。
＞
＞数時間後にアクセスしてもこの画面が表示される場合は、大変お手数ですがお問い合わせよりご連絡ください。

↑ずっとこの表示でDL出来ない

906 ：名無しさん＠お腹いっぱい。：2019/07/16(火) 13:54:16.46 ID:835btjYcL

>>904
NANO-AntivirusにてTrojan

907 ：名無しさん＠お腹いっぱい。：2023/07/29(土) 09:09:36.34 ID:Fd35RzGVn

海外の環境団体はあらゆる妨害活動から破壞活動まて゛やってて人としての最低限の道徳を知ってて素晴らしいが曰本にはクズしかいないのかよ
せめて広島の平和公園もとい地球破壞公園の殺人の灯て゛вΒＱくらいやってみせろや，何しろ肉を焼くわけて゛もなく、月に８０〇立方メ━ト儿
ものプ□パンガスをたた゛ひたすら燃やし続けていやがるんだからな、せめて肉でも焼いてみせて気侯変動に抗議する象徴的行動するのが人の道
莫大な温室効果ガスまき散らして世界―周旅行して．サミットた゛のと國民から強奪した莫大な税金無駄にしながら飲み食い観光、警備た゛のと
クソシナ顔負けの私権侵害やって世界中にハ゛力晒し続けてる岸田異次元増税憲法ガン無視地球破壊軍國主義売國奴文雄みたいなクズた゛の、
持続可能な開發目標に壊滅的なタ゛メ‐シ゛を及ほ゛すために國連本部にノコ丿コ出かけて莫大な温室効果カ゛スまき散らす広島県知事湯崎英彦だのを
当選させてる広島県民は恥を知れよ．広島原爆で１４萬人殺されたそうた゛か゛．ＷＭ○か゛確認しただけて゛１９７○年以降に気侯変動によって，
土砂崩れに洪水．暴風，猛暑．大雪やら災害て゛殺された人数は２Ο○万人以上，経済損失は６０○兆圓以上という現実を理解しろタ゛ブス夕県民

創価学會員は，何百萬人も殺傷して損害を与えて私腹を肥やし続けて逮捕者まて゛出てる世界最悪の殺人腐敗組織公明党を
池田センセ―が□をきけて容認するとか本気て゛思ってるとしたら侮辱にもほどがあるぞ！
ｈтТＰｓ：／／ｉ．ｉｍｇｕｒ，сｏｍ／hnli1ga.jpeg