1read 100read
2011年10月1期セキュリティあやしいファイルを実行するスレ 2層目 TOP カテ一覧 スレ一覧 削除依頼
・ 次のスレ
【TBS土8】ブラッディ・マンデイ【ハッカー目線】
Sunbelt Personal Firewall - Part 31
AVG + ZoneAlarm > 市販ソフト
一番良いルータとPFWとAVとASの組み合わせは?


あやしいファイルを実行するスレ 2層目


1 :08/11/25 〜 最終レス :12/01/06

あやしいファイルを実行したりして遊ぶ人が集うスレです 
急ぎでなくてよろしければ、簡単な鑑定も行います 
※ 依頼には制限があります: >>2-10 あたりをお読みください 【自動鑑定サイトも掲載しています】 
前スレ: あやしいファイルを実行するスレ (2006/02/21) 
http://pc11.2ch.net/test/read.cgi/sec/1140517079/ 
関連スレ:【鑑定目的禁止】検出可否報告スレ7 
http://pc11.2ch.net/test/read.cgi/sec/1216217642/ 
【警告】ここの住人は、黙っているだけで、多彩な多層防御を据えてあやしいファイルを実行しています 
無理に真似をして、環境が壊れたり、なにか晒されたりしても、屍を拾う者はいません

2 :
・鑑定を目的として貼られた場合、たいていは、自己解凍書庫判定(実行しなくても解凍鶴でおk)か、
明らかに有害か、よくわかりません位の結果になり、完全な安全判定は難しいことが多いです
完全な安全を目指すには、環境・情報を保護するソフトウェアの併用を検討してください
・感染後の回復指南に関しては、必要なスキルが異なるため、原則としてお引き受け致しかねます
あくまで、雑談として扱います アダ被さん( http://www.higaitaisaku.com/ )あたりが定評があります
・割れの幇助には消極的な人が多いです 割れやkeygenやパッチを貼るのは自由ですが、
引き受け手は少ないかもしれません その場合は、見かけ上スルーになります

3 :
・P2Pのハッシュ等での依頼は、消極的な人が多いですので、うpろだに転載なさるか、専用スレに
ご依頼ください 転載時、ウイルスくさい場合は、'infected' 'virus' などのパスワードをかけてください
・お急ぎの方は、最近は便利になり、自動分析サイトがありますので、ぜひそちらをご利用ください
http://www.virustotal.com/
https://www.gred.jp/?tab=goleo (最近できたばかりです)

4 :

http://www16.plala.or.jp/spichilz/2chCloser.zip

5 :
有名所です reputation上無害と言いたいところなのですが、実際に踏んでみたところ、
当方環境では、CPUを100%近く占有したまま、パッカの展開がいつまでたっても終わりません
(業を煮やして途中で止めても、やっぱり制御がパッカのスタブにあります。。。)
推定無害、環境によっては: 動きません(?)

6 :
>>1
次スレ建ててくれる人がいたのかw
とりあえず追加で役に立ちそうなリンク張っておきます
↓仮想環境構築用
・VirtualPC
ttp://www.microsoft.com/japan/windows/products/winfamily/virtualpc/default.mspx
・VPC用無料のイメージファイル
ttp://www.microsoft.com/downloads/details.aspx?FamilyId=21EABB90-958F-4B64-B5F1-73D0A413C8EF&displaylang=en
・Returnil Virtual System
ttp://pc11.2ch.net/test/read.cgi/sec/1202337108/
ttp://www.majorgeeks.com/Returnil_Virtual_System_Personal_Edition_d5702.html
以下Newbie用
VT以外のScanサイト
http://www.virscan.org/
http://www.virscan.org/
http://virusscan.jotti.org/
http://www.viruschief.com/
SandBox
http://anubis.iseclab.org/index.php
http://www.threatexpert.com/default.aspx
http://www.norman.com/microsites/nsic/Submit/en
http://research.sunbelt-software.com/Submit.aspx

7 :
http://www.virscan.org/が重複してた
正しくは↓
http://scanner.virus.org/

8 :
>>6-7
おちゅです
てか、まだあったんかw > iecompat(ry
…まだあったんかじゃない、増えてるwwww おみそれしますたw

9 :
踏んで遊ぶ方のネタもってきた
[インチキ/有害] ttp://ultraantivirus2009.com/Release_UNREG.exe
本当に、インチキ有害表示出すだけみたいな感じだたーよ
しかも、やたらと重い
[インチキ/有害] ttp://real-av.info/Setup.zip
壊れてるって言いやがる 遊べんでないかw
鯖側タイムスタンプは、今年5月

10 :
いつの間にか次スレが立ってる・・・
>>9
ttp://ultraantivirus2009.com/Release_UNREG.exe
実行するとProgram FilesにUltlaAVってフォルダ作られるから、
タスクマネージャーからUltlaAV終了させて、UltlaAVフォルダを削除、
system32のUltlaAV.cplも削除
終了。

11 :
それとスペルミスには突っ込むなよ

12 :
マルチもなんだし、リンクで
http://pc11.2ch.net/test/read.cgi/sec/1216217642/973
ネタ。これ単体で実行できる?
[有害] http://download.bestvirusremover2008.com/virusremover2008.com/1.0.14.5/FreeApp_jp.exe
…っていうのは、俺んとこの砂箱でエラーになるから ただの砂箱避けかな
lwapi.dll がなんとか(先頭のshが抜けてる上に、kernel32のインポートとして表示する)
ちょっといまVPCのイメージとか準備してくる気力なくて。既存環境ある人よろ

13 :
実機でHIPS使ったけど動くよ。何してんだか分からんけど。

14 :
なぜかテンポラリーインターネットファイルのフォルダの数個のファイルが問い合わせされた

15 :
Rogueware単品は実行しても簡単に駆除できるから微妙

16 :
>>13
HIPSってなに使ってんだ?
SSM?

17 :
>>15
ネタ持ってきてた俺が、短期集中的に現状調査してたからw > インチキ/ぼったウェア
たしかに、駆除攻防としては、あんまりおもしろくはないかもしれん
あれらの中には、一応、自前で検出エンジンもどきを持ってるのがある
最近のものには、ClamAVのデータベースらしきものを持ってるのもあった
それはちょっとアレだろう、イチからデータベースパーサ書いたんだろうな?w (ClamAVはGPL)
一応、アップデートボタンがついてるのが多いんだけど、
一向にアップデートってうまくいった試しがないのな

18 :
http://kissho2.xii.jp/20/src/2yoshi1701.exe
ここからDLできるこの実行ファイルが何だかわかる方いますか?

19 :
>>18
宅間守ふぉーえばーっていう不謹慎ゲームみたいだけど
そんな古いファイル存在しねぇよ、それくらい確認しておけ

20 :
>>19
DLして実行したら、DOS画面になったんですけど
これは気にしなくて大丈夫でしょうか?

21 :
>>20
実行できないから何ともいえんけど問題ないとおもう
あとはググれ

22 :
>>18落として実行したら
DOS画面になってkkcfuncが組み込まれましたとかでるな
問題ないはず・・・多分

23 :
なんだこれ?
ウイルスとかではないっぽいが。

24 :
宅間守ふぉーえばーじゃん

25 :
>>24
ぐぐるとそうでるけど、落とすとちがくね?

26 :
落ちてこない

27 :
落とせますね。
まあ、危ないものではないと思います。

28 :
htmlが落ちてくるだけだが?

29 :
>>28
苦笑

30 :
http://1920041566:65535/fc2.js

31 :
http://pc11.2ch.net/test/read.cgi/sec/1228314831/126
ttp://1920041566:65535/t.exe
簡易実行してみた 当方環境では、DLLがひとつ増え、本体とhostsが消された
アラド戦記, リネ, RO(いずれも日本鯖)の垢抜きの模様

32 :
書き忘れてる、これ、いつもの、Flash経由のほうのセットじゃないほう

33 :
バイナリ比較したら一緒だったお

34 :
検証ありがとうだおw > compare

35 :
中国のサイトで感染の疑い:IE 7にゼロデイの脆弱性、月例パッチでは未解決
http://www.itmedia.co.jp/enterprise/articles/0812/11/news025.html
>>30 のjsのやつ、test3の方はこれだったのかもしれんね 別かもしれんけど

36 :
>>35
いや正解。中華トロイサイトのスクリプトでは
もはや標準装備になりつつある(MS06-014やFlashやReal並に)。
ところでtest3手元では動かなかったんだけど(IE7やMSXMLがQFEだから?)、
どこに何てdll落とした?

37 :
その後、他のサイトでも見た やっぱ生成鶴も出てるのかねw
winsys, midaeghDrv.dll ざっと見固定かな?

38 :
砂箱でも midaeghDrv.dll だった。なーんで発動しなかったんだか。
あのスクリプト、VistaとXPでunicodeの羅列部分は同じだけど
ターゲット側(CDATAとかある方)のimgタグは微妙に違うようですな。

39 :
お土産。駆除訓練にどうぞ
http://pc11.2ch.net/test/read.cgi/sec/1228314831/164-165
ネタ元は、http://pc11.2ch.net/test/read.cgi/sec/1228314831/159
上がFFXIの垢抜きかなんか。たぶん。下が常駐型のダウンローダ。
ケアレスミスで、文字列のデコードに手間取った
>>38
そこまでは見てなかったw randomizeでしょうか?w

40 :
× ネタ元は、http://pc11.2ch.net/test/read.cgi/sec/1228314831/159
○ ネタ元は、http://changi.2ch.net/test/read.cgi/entrance/1226843784/159

41 :
>>9の下
Setup.exe.zipってのがあるぽ。

42 :
spoolsv経由でautorun.inf、recycledが作られる。
どういう仕組みなんだろう。
spoolsvをタスクから数回終了したらマルウェアが動かなくなってしまった。

43 :
>>42
http://qa.jolt.jp/detail/536167
ここでも悪用されてるみたいだね
ぐぐるとspoolsvを悪用するマルウェア結構あるな。
どういう仕組みで動いてるかわからんが

44 :
糞スレッドぶちこまれてるとかじゃなくて?

45 :
こんなスレであけおめ

46 :
て酢

47 :
私も化粧は好きじゃないw

48 :
誤爆;;

49 :
IE AppCompat VPC Image v4.2: This VPC image will expire in April, 2009 URLは>>6と同じ

50 :
お願いします
http://home.arcor.de/nms04/Winnyenglish.zip

51 :
>>50
ただの英語版WinNY
問題なし

52 :
http://ftp.kaspersky.com/devbuilds/AVPTool/
↑踏んじゃったんですけど、コレなんですか?
黒い画面が不安・・・。

53 :
>>52
カスペルスキーのウイルス駆除ツールダウンロード画面

54 :
>>52
どうもありがとうございます!

55 :
>>50を解凍したらavastでWin32:Adware-genが検出されるんですけど。。。

56 :
>>55
Adwareってことは広告表示だな
ひょっとするとスパイウェアみたいに
情報収集してることも考えられるから
使わないのが吉
ちなみにうちでは解凍する前に検出
Webシールドがブロックしたわw

57 :
>>50
http://www.virustotal.com/isis/173ba618aeadd0e2e4332695b66f3097
ちなみにAntiVirは反応しました

58 :
そのWinnyを使えば日本のWinnyにないファイルとかいっぱいダウンロードできるん?

59 :
さすがにスレチw 試してもやれんぞww

60 :
ttp://ipatukouta.altervista.org/php5/
これは、なに?

61 :
踏んじゃったんだけど、ヤバイの?眠れないわ

62 :
>>56
誤検だろ
>>60
2ちゃん初心者か?
ホストとクリップボード晒されるだけじゃん

63 :
>>62
実害はそんなに考えなくていいのかありがとう

64 :
このウイルスの削除方法おしえてください
ttp://www3.uploda.org/uporg1950752.zip.html

65 :
>>64
404だから教えようがない

66 :
>>65  すいません
ttp://www3.uploda.org/uporg1951835.zip.html

67 :
>>66
WINDOWSフォルダーにあるunvise32.exe
Lucy.exe、実行元のReadme.exeをセーフモードで削除
その他ZIPファイルも削除推奨(ZIPに感染する)
またUSBなんかをパソコンに繋ぐとこれも感染してしまうのでUSBメモリー類は
駆除完了するまで使用しないほうがいい

68 :
ちゃんと解析してないからあてにしないように。
update.exeってやつがあったような・・・

69 :
>>67 ありがとうございます
   結構、やばいですかこのウイルス?

70 :
>>69
やばいかはわからないけど、いいことはない
正直リカバリー推奨しておく。
USBメモリぶっさして、Autorun.infとreadme.exeが作られなきゃ問題なしかも
(隠しファイルとシステムファイル表示する設定にして)

71 :
ttp://japan.sarashi.com/15.html
踏んでしまい、すぐ閉じちゃったんですが
これは何でしょうか?

72 :
>>71
ttp://www.aguse.jp/?m=w&url=http%3A%2F%2Fjapan.sarashi.com%2F15.html&retry.x=54&retry.y=8
情報商材屋の怪しいページ
ttp://gw.aguse.jp/ で確認すると全文見れるよ

73 :
>>72
ウイルスとかではないみたいですね。
ありがとうございました!

74 :
>>70 今からやってみます。
   ありがとうございます

75 :
http://sig.azarea.jp/asuka/download/AsukaWS.zip
風来のシレン女剣士アスカというゲームの非公式パッチなのですが
virustoralで調べると60%程の確率でウイルスと表示されます。
このパッチを使用している人は多いようなのですが
私としてはウイルスの可能性も捨てきれないため
本当に安全なものか調べて欲しいですorz

76 :
マイナーなpackerだからということか、各社一斉に警告が出ています
http://www.virustotal.com/isis/026a44b33eea5ec0859e874d82b3c6ab
本体が、よくわからない保護がかかっているので、(アンチウイルスエンジンが)鑑定いたしかねます、
イマドキ、疑わしき物はクロ。という判定がなされているということです
で、保護を解除して、再度virustotalに投げます (409634/416000)
http://www.virustotal.com/isis/d99ef889d6a5b7048b2b4078ff494d32
ゲーム本体を検索して、パッチする部分が、ウイルスとさして変わらん。と判定されているのかもですね
ぱっと見に、ネットにアクセスするコードというのは見つかりませんでしたが、
こんなものはいくらでも隠蔽ができますので、完全な安全判定というのはいたしかねます >>2
少なくとも、これだけ広範にクロ判定にならないパッカに、替えてもらったほうがいいかと

77 :
ですよねえ・・・。
非常に便利なツールらしいのですが
気になってプレイはしたくないので入れないことにします
調べてくださってどうもでした!

78 :
>>75
やべえ俺これ使ってるわ・・・。
クリーンインスコし直しとくか・・・。

79 :
無害とは言い切ってないのですが、有害とも言い切ってないのです
exe鑑定のひとつの姿勢は、「完全に安全なexeの保証などありえない。」というものです >>2
しかし、使いたい。
そんなときのために、VMとか、砂箱とか、そんなものを併用するわけです

80 :
ゲームのパッチにVMとかうまく使えなくない?
色々制限されるっつーか。

81 :
併用するソフトによる もちろん、パッチ対象のソフトによっては、どうにもしようがないこともあるかも

82 :
>>75のパッチってこのゲームやってる人ならほとんどの人が当ててるようだな。
(スレやプレイ動画より)
誤検出ってことで片付けてるけど・・・ちょっと怖いよね。

83 :
どうして誰も検体提出しないんだろうねえ

84 :
ネトゲチート厨なんかどうでもいいからさ

85 :
検体提出が相当ぽいときは、検出可否スレに(レスへのリンク形式で)送ってるからw

86 :
どこがネトゲやねんw

87 :
http://online.w84.okwit.com/RM.exe
最近ネトゲのしたらばによく貼られているんですが、踏んだらヤバイですか?

88 :
連スレすいません。
http://www.skywebsv.com/flash05846/GTDR.exe
こいつも貼ってありました。スレ読んでるとキーロガみたいなんですが。

89 :
>>87 着手、有害確定 もうすこし詳しい情報を、後に追加します

90 :
>>88 着手、有害確定 もうすこし詳しい情報を、後に追加します 少なくともパス抜きですね

91 :
>>87
なにか釣り動画がはいってます それに気を取られているうちに、ウイルスに感染します
踏んでみたところ、さらに、外部鯖に指示を取りに行っているようです 追加感染のおそれがあります
内容的には昔からあるものなのですが、新作の亜種であり、検出できないセキュリティソフトも結構あるようです
※汎用のルートキットが使用されているようです 一部の無料点検サイトでは、検知できない恐れがあります
※ServiceDllとして動作しているため、有害プロセスは、純正exeであるsvchostのどれかに紛れ込みます
>>88
RedStoneのバナーとともに、ウイルスが含まれています
主に韓国ネトゲ鯖の垢抜きのようですが、一部日本鯖も対象になっています
内容的には昔からあるものなのですが、新作の亜種であり、検出できないセキュリティソフトも結構あるようです
>>1 の検出可否スレには通報済みです

92 :
>>91
どうもありがとうございました。
知り合いで踏んでしまった者がいるので、再インストールすすめておきます。

93 :
卒論でウィルスについて研究したいのですが、テーマが決まらなくて困ってます
何か、こんなことやってみてほしい(試してほしい)ってことないでしょうか?
卒論ですので、多少時間のかかることでもいいんですが・・・
ヒントお願いします

94 :
>93
そんなことも自分で決められないようなら留年しとけ。

95 :
正論

96 :
>>93 最近のウイルス感染PCからの、効率的な除去方法

97 :
http://you0idiot.web.fc2.com/idiot.html

98 :
ふつうにブラクラ いやというほどメモリ食って重くなりそうって意味では、破壊力ある

99 :
ttp://www1.axfc.net/uploader/He/so/200264
これなに?

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 削除依頼
・ 次のスレ
【TBS土8】ブラッディ・マンデイ【ハッカー目線】
Sunbelt Personal Firewall - Part 31
AVG + ZoneAlarm > 市販ソフト
一番良いルータとPFWとAVとASの組み合わせは?