あやしいファイルを実行するスレ 2層目

1 ：08/11/25 〜 最終レス ：12/05/05

あやしいファイルを実行したりして遊ぶ人が集うスレです 
急ぎでなくてよろしければ、簡単な鑑定も行います 
※ 依頼には制限があります: >>2-10 あたりをお読みください 【自動鑑定サイトも掲載しています】 
前スレ: あやしいファイルを実行するスレ (2006/02/21) 
http://pc11.2ch.net/test/read.cgi/sec/1140517079/ 
関連スレ:【鑑定目的禁止】検出可否報告スレ7 
http://pc11.2ch.net/test/read.cgi/sec/1216217642/ 
【警告】ここの住人は、黙っているだけで、多彩な多層防御を据えてあやしいファイルを実行しています 
無理に真似をして、環境が壊れたり、なにか晒されたりしても、屍を拾う者はいません

2 ：

・鑑定を目的として貼られた場合、たいていは、自己解凍書庫判定(実行しなくても解凍鶴でおｋ)か、
明らかに有害か、よくわかりません位の結果になり、完全な安全判定は難しいことが多いです
完全な安全を目指すには、環境・情報を保護するソフトウェアの併用を検討してください
・感染後の回復指南に関しては、必要なスキルが異なるため、原則としてお引き受け致しかねます
あくまで、雑談として扱います アダ被さん( http://www.higaitaisaku.com/ )あたりが定評があります
・割れの幇助には消極的な人が多いです 割れやkeygenやパッチを貼るのは自由ですが、
引き受け手は少ないかもしれません その場合は、見かけ上スルーになります

3 ：

・P2Pのハッシュ等での依頼は、消極的な人が多いですので、うｐろだに転載なさるか、専用スレに
ご依頼ください 転載時、ウイルスくさい場合は、'infected' 'virus' などのパスワードをかけてください
・お急ぎの方は、最近は便利になり、自動分析サイトがありますので、ぜひそちらをご利用ください
http://www.virustotal.com/
https://www.gred.jp/?tab=goleo (最近できたばかりです)

4 ：

http://www16.plala.or.jp/spichilz/2chCloser.zip

5 ：

有名所です reputation上無害と言いたいところなのですが、実際に踏んでみたところ、
当方環境では、CPUを100%近く占有したまま、パッカの展開がいつまでたっても終わりません
(業を煮やして途中で止めても、やっぱり制御がパッカのスタブにあります。。。)
推定無害、環境によっては: 動きません(?)

6 ：

>>1
次スレ建ててくれる人がいたのかｗ
とりあえず追加で役に立ちそうなリンク張っておきます
↓仮想環境構築用
・VirtualPC
ttp://www.microsoft.com/japan/windows/products/winfamily/virtualpc/default.mspx
・VPC用無料のイメージファイル
ttp://www.microsoft.com/downloads/details.aspx?FamilyId=21EABB90-958F-4B64-B5F1-73D0A413C8EF&displaylang=en
・Returnil Virtual System
ttp://pc11.2ch.net/test/read.cgi/sec/1202337108/
ttp://www.majorgeeks.com/Returnil_Virtual_System_Personal_Edition_d5702.html
以下Newbie用
VT以外のScanサイト
・http://www.virscan.org/
・http://www.virscan.org/
・http://virusscan.jotti.org/
・http://www.viruschief.com/
SandBox
・http://anubis.iseclab.org/index.php
・http://www.threatexpert.com/default.aspx
・http://www.norman.com/microsites/nsic/Submit/en
・http://research.sunbelt-software.com/Submit.aspx

7 ：

http://www.virscan.org/が重複してた
正しくは↓
http://scanner.virus.org/

8 ：

>>6-7
おちゅです
てか、まだあったんかｗ > iecompat(ry
…まだあったんかじゃない、増えてるｗｗｗｗ おみそれしますたｗ

9 ：

踏んで遊ぶ方のネタもってきた
[ｲﾝﾁｷ/有害] ttp://ultraantivirus2009.com/Release_UNREG.exe
本当に、インチキ有害表示出すだけみたいな感じだたーよ
しかも、やたらと重い
[ｲﾝﾁｷ/有害] ttp://real-av.info/Setup.zip
壊れてるって言いやがる 遊べんでないかｗ
鯖側タイムスタンプは、今年５月

10 ：

いつの間にか次スレが立ってる・・・
>>9
＞ttp://ultraantivirus2009.com/Release_UNREG.exe
実行するとProgram FilesにUltlaAVってフォルダ作られるから、
タスクマネージャーからUltlaAV終了させて、UltlaAVフォルダを削除、
system32のUltlaAV.cplも削除
終了。

11 ：

それとスペルミスには突っ込むなよ

12 ：

マルチもなんだし、リンクで
http://pc11.2ch.net/test/read.cgi/sec/1216217642/973
ネタ。これ単体で実行できる？
[有害] http://download.bestvirusremover2008.com/virusremover2008.com/1.0.14.5/FreeApp_jp.exe
…っていうのは、俺んとこの砂箱でエラーになるから ただの砂箱避けかな
lwapi.dll がなんとか(先頭のshが抜けてる上に、kernel32のインポートとして表示する)
ちょっといまVPCのイメージとか準備してくる気力なくて。既存環境ある人よろ

13 ：

実機でHIPS使ったけど動くよ。何してんだか分からんけど。

14 ：

なぜかテンポラリーインターネットファイルのフォルダの数個のファイルが問い合わせされた

15 ：

Rogueware単品は実行しても簡単に駆除できるから微妙

16 ：

>>13
HIPSってなに使ってんだ？
SSM？

17 ：

>>15
ネタ持ってきてた俺が、短期集中的に現状調査してたからｗ > インチキ/ぼったウェア
たしかに、駆除攻防としては、あんまりおもしろくはないかもしれん
あれらの中には、一応、自前で検出エンジンもどきを持ってるのがある
最近のものには、ClamAVのデータベースらしきものを持ってるのもあった
それはちょっとアレだろう、イチからデータベースパーサ書いたんだろうな？ｗ (ClamAVはGPL)
一応、アップデートボタンがついてるのが多いんだけど、
一向にアップデートってうまくいった試しがないのな

18 ：

http://kissho2.xii.jp/20/src/2yoshi1701.exe
ここからDLできるこの実行ファイルが何だかわかる方いますか？

19 ：

>>18
宅間守ふぉーえばーっていう不謹慎ゲームみたいだけど
そんな古いファイル存在しねぇよ、それくらい確認しておけ

20 ：

>>19
DLして実行したら、DOS画面になったんですけど
これは気にしなくて大丈夫でしょうか？

21 ：

>>20
実行できないから何ともいえんけど問題ないとおもう
あとはググれ

22 ：

>>18落として実行したら
DOS画面になってkkcfuncが組み込まれましたとかでるな
問題ないはず･･･多分

23 ：

なんだこれ？
ウイルスとかではないっぽいが。

24 ：

宅間守ふぉーえばーじゃん

25 ：

>>24
ぐぐるとそうでるけど、落とすとちがくね？

26 ：

落ちてこない

27 ：

落とせますね。
まあ、危ないものではないと思います。

28 ：

htmlが落ちてくるだけだが?

29 ：

>>28
苦笑

30 ：

http://1920041566:65535/fc2.js

31 ：

http://pc11.2ch.net/test/read.cgi/sec/1228314831/126
ttp://1920041566:65535/t.exe
簡易実行してみた 当方環境では、DLLがひとつ増え、本体とhostsが消された
アラド戦記, リネ, RO(いずれも日本鯖)の垢抜きの模様

32 ：

書き忘れてる、これ、いつもの、Flash経由のほうのセットじゃないほう

33 ：

バイナリ比較したら一緒だったお

34 ：

検証ありがとうだおｗ > compare

35 ：

中国のサイトで感染の疑い：IE 7にゼロデイの脆弱性、月例パッチでは未解決
http://www.itmedia.co.jp/enterprise/articles/0812/11/news025.html
>>30 のjsのやつ、test3の方はこれだったのかもしれんね 別かもしれんけど

36 ：

>>35
いや正解。中華トロイサイトのスクリプトでは
もはや標準装備になりつつある(MS06-014やFlashやReal並に)。
ところでtest3手元では動かなかったんだけど(IE7やMSXMLがQFEだから?)、
どこに何てdll落とした?

37 ：

その後、他のサイトでも見た やっぱ生成鶴も出てるのかねｗ
winsys, midaeghDrv.dll ざっと見固定かな？

38 ：

砂箱でも midaeghDrv.dll だった。なーんで発動しなかったんだか。
あのスクリプト、VistaとXPでunicodeの羅列部分は同じだけど
ターゲット側(CDATAとかある方)のimgタグは微妙に違うようですな。

39 ：

お土産。駆除訓練にどうぞ
http://pc11.2ch.net/test/read.cgi/sec/1228314831/164-165
ネタ元は、http://pc11.2ch.net/test/read.cgi/sec/1228314831/159
上がFFXIの垢抜きかなんか。たぶん。下が常駐型のダウンローダ。
ケアレスミスで、文字列のデコードに手間取った
>>38
そこまでは見てなかったｗ randomizeでしょうか？ｗ

40 ：

× ネタ元は、http://pc11.2ch.net/test/read.cgi/sec/1228314831/159
○ ネタ元は、http://changi.2ch.net/test/read.cgi/entrance/1226843784/159

41 ：

>>9の下
Setup.exe.zipってのがあるぽ。

42 ：

spoolsv経由でautorun.inf、recycledが作られる。
どういう仕組みなんだろう。
spoolsvをタスクから数回終了したらマルウェアが動かなくなってしまった。

43 ：

>>42
http://qa.jolt.jp/detail/536167
ここでも悪用されてるみたいだね
ぐぐるとspoolsvを悪用するマルウェア結構あるな。
どういう仕組みで動いてるかわからんが

44 ：

糞スレッドぶちこまれてるとかじゃなくて？

45 ：

こんなスレであけおめ

46 ：

て酢

47 ：

私も化粧は好きじゃないｗ

48 ：

誤爆；；

49 ：

IE AppCompat VPC Image v4.2: This VPC image will expire in April, 2009 URLは>>6と同じ

50 ：

お願いします
http://home.arcor.de/nms04/Winnyenglish.zip

51 ：

>>50
ただの英語版WinNY
問題なし

52 ：

http://ftp.kaspersky.com/devbuilds/AVPTool/
↑踏んじゃったんですけど、コレなんですか？
黒い画面が不安・・・。

53 ：

>>52
カスペルスキーのウイルス駆除ツールダウンロード画面

54 ：

>>52
どうもありがとうございます！

55 ：

>>50を解凍したらavastでWin32:Adware-genが検出されるんですけど。。。

56 ：

>>55
Adwareってことは広告表示だな
ひょっとするとスパイウェアみたいに
情報収集してることも考えられるから
使わないのが吉
ちなみにうちでは解凍する前に検出
Webシールドがブロックしたわw

57 ：

>>50
http://www.virustotal.com/isis/173ba618aeadd0e2e4332695b66f3097
ちなみにAntiVirは反応しました

58 ：

そのＷｉｎｎｙを使えば日本のＷｉｎｎｙにないファイルとかいっぱいダウンロードできるん？

59 ：

さすがにスレチｗ 試してもやれんぞｗｗ

60 ：

ttp://ipatukouta.altervista.org/php5/
これは、なに？

61 ：

踏んじゃったんだけど、ヤバイの？眠れないわ

62 ：

>>56
誤検だろ
>>60
2ちゃん初心者か？
ホストとクリップボード晒されるだけじゃん

63 ：

>>62
実害はそんなに考えなくていいのかありがとう

64 ：

このウイルスの削除方法おしえてください
ttp://www3.uploda.org/uporg1950752.zip.html

65 ：

>>64
404だから教えようがない

66 ：

>>65　　すいません
ttp://www3.uploda.org/uporg1951835.zip.html

67 ：

>>66
WINDOWSフォルダーにあるunvise32.exe
Lucy.exe、実行元のReadme.exeをセーフモードで削除
その他ZIPファイルも削除推奨(ZIPに感染する)
またUSBなんかをパソコンに繋ぐとこれも感染してしまうのでUSBメモリー類は
駆除完了するまで使用しないほうがいい

68 ：

ちゃんと解析してないからあてにしないように。
update.exeってやつがあったような・・・

69 ：

>>67 ありがとうございます
　　　結構、やばいですかこのウイルス？

70 ：

>>69
やばいかはわからないけど、いいことはない
正直リカバリー推奨しておく。
USBメモリぶっさして、Autorun.infとreadme.exeが作られなきゃ問題なしかも
(隠しファイルとシステムファイル表示する設定にして)

71 ：

ttp://japan.sarashi.com/15.html
踏んでしまい、すぐ閉じちゃったんですが
これは何でしょうか？

72 ：

>>71
ttp://www.aguse.jp/?m=w&url=http%3A%2F%2Fjapan.sarashi.com%2F15.html&retry.x=54&retry.y=8
情報商材屋の怪しいページ
ttp://gw.aguse.jp/ で確認すると全文見れるよ

73 ：

>>72
ウイルスとかではないみたいですね。
ありがとうございました！

74 ：

>>70 今からやってみます。
　　　ありがとうございます

75 ：

http://sig.azarea.jp/asuka/download/AsukaWS.zip
風来のシレン女剣士アスカというゲームの非公式パッチなのですが
virustoralで調べると６０％程の確率でウイルスと表示されます。
このパッチを使用している人は多いようなのですが
私としてはウイルスの可能性も捨てきれないため
本当に安全なものか調べて欲しいですorz

76 ：

マイナーなpackerだからということか、各社一斉に警告が出ています
http://www.virustotal.com/isis/026a44b33eea5ec0859e874d82b3c6ab
本体が、よくわからない保護がかかっているので、(アンチウイルスエンジンが)鑑定いたしかねます、
イマドキ、疑わしき物はクロ。という判定がなされているということです
で、保護を解除して、再度virustotalに投げます (409634/416000)
http://www.virustotal.com/isis/d99ef889d6a5b7048b2b4078ff494d32
ゲーム本体を検索して、パッチする部分が、ウイルスとさして変わらん。と判定されているのかもですね
ぱっと見に、ネットにアクセスするコードというのは見つかりませんでしたが、
こんなものはいくらでも隠蔽ができますので、完全な安全判定というのはいたしかねます >>2
少なくとも、これだけ広範にクロ判定にならないパッカに、替えてもらったほうがいいかと

77 ：

ですよねえ･･･。
非常に便利なツールらしいのですが
気になってプレイはしたくないので入れないことにします
調べてくださってどうもでした！

78 ：

>>75
やべえ俺これ使ってるわ・・・。
クリーンインスコし直しとくか・・・。

79 ：

無害とは言い切ってないのですが、有害とも言い切ってないのです
exe鑑定のひとつの姿勢は、｢完全に安全なexeの保証などありえない。｣というものです >>2
しかし、使いたい。
そんなときのために、VMとか、砂箱とか、そんなものを併用するわけです

80 ：

ゲームのパッチにVMとかうまく使えなくない？
色々制限されるっつーか。

81 ：

併用するソフトによる もちろん、パッチ対象のソフトによっては、どうにもしようがないこともあるかも

82 ：

>>75のパッチってこのゲームやってる人ならほとんどの人が当ててるようだな。
（スレやプレイ動画より）
誤検出ってことで片付けてるけど･･･ちょっと怖いよね。

83 ：

どうして誰も検体提出しないんだろうねえ

84 ：

ネトゲチート厨なんかどうでもいいからさ

85 ：

検体提出が相当ぽいときは、検出可否スレに(レスへのリンク形式で)送ってるからｗ

86 ：

どこがネトゲやねんｗ

87 ：

http://online.w84.okwit.com/RM.exe
最近ネトゲのしたらばによく貼られているんですが、踏んだらヤバイですか？

88 ：

連スレすいません。
http://www.skywebsv.com/flash05846/GTDR.exe
こいつも貼ってありました。スレ読んでるとキーロガみたいなんですが。

89 ：

>>87 着手、有害確定 もうすこし詳しい情報を、後に追加します

90 ：

>>88 着手、有害確定 もうすこし詳しい情報を、後に追加します 少なくともパス抜きですね

91 ：

>>87
なにか釣り動画がはいってます それに気を取られているうちに、ウイルスに感染します
踏んでみたところ、さらに、外部鯖に指示を取りに行っているようです 追加感染のおそれがあります
内容的には昔からあるものなのですが、新作の亜種であり、検出できないセキュリティソフトも結構あるようです
※汎用のルートキットが使用されているようです 一部の無料点検サイトでは、検知できない恐れがあります
※ServiceDllとして動作しているため、有害プロセスは、純正exeであるsvchostのどれかに紛れ込みます
>>88
RedStoneのバナーとともに、ウイルスが含まれています
主に韓国ネトゲ鯖の垢抜きのようですが、一部日本鯖も対象になっています
内容的には昔からあるものなのですが、新作の亜種であり、検出できないセキュリティソフトも結構あるようです
>>1 の検出可否スレには通報済みです

92 ：

>>91
どうもありがとうございました。
知り合いで踏んでしまった者がいるので、再インストールすすめておきます。

93 ：

卒論でウィルスについて研究したいのですが、テーマが決まらなくて困ってます
何か、こんなことやってみてほしい（試してほしい）ってことないでしょうか？
卒論ですので、多少時間のかかることでもいいんですが・・・
ヒントお願いします

94 ：

>93
そんなことも自分で決められないようなら留年しとけ。

95 ：

正論

96 ：

>>93 最近のウイルス感染PCからの、効率的な除去方法

97 ：

http://you0idiot.web.fc2.com/idiot.html

98 ：

ふつうにブラクラ いやというほどメモリ食って重くなりそうって意味では、破壊力ある

99 ：

ttp://www1.axfc.net/uploader/He/so/200264
これなに？

100read 1read

1read 100read

TOP カテ一覧 スレ一覧 2ch元 削除依頼 ▲

セキュリティ板にもIDや地域表示を導入しよう (189)
ファイアーウォールなんて必要ありません (543)
会社のネットワークでやってはいけない三箇条 (410)
２チャンで自分の個人情報が流された (191)
Avira AntiVir Premium　Part.1 (901)
ここの銀行のセキュリティって甘そう (967)
--log9.info------------------
うる星やつら46☆おまえのひみつをしっている (645)
【熱笑】花沢【高校】 2巻目 (134)
三原順　Part8 (461)
【ぺかりん】ミスター味っ子30【へっへー】 (454)
【八本しめじ】〜白土三平〜総合ｽﾚｯﾄﾞ8【影一族】 (423)
【無印】浦安鉄筋家族を語るスレ (307)
【ケルベロス】フクイタクミ総合スレ【ジョギリ】 (618)
【ﾀｽｹﾃｸﾗｻｲ！】漂流教室１５【ｷﾁｶﾞｲﾚｽ！】 (509)
宮崎駿　風の谷のナウシカ　第58巻 (1001)
犬夜叉　其の五十五 (856)
【小林尽】スクールランブル無印・Z Part37 (349)
【BLACK JACK】ブラック・ジャック51【手塚治虫】 (529)
【やだー】らんま1/2Pt.91【やっぱり見たくない！】 (148)
【森田まさのり】ルーキーズ35【ROOKIES】 (792)
【まつもと泉】きまぐれオレンジ☆ロード【Part24】 (881)
世紀末リーダー伝たけし！ part4 (501)
--log55.com------------------
【ミニ指原】堀が偉そうにスカしてんのは秋元がバックがついてるから？【虎の威を借る狐】
【幕張全握】なんかこういうの見れば見るほど堀ちゃんってなんでフロントで白石より前のポジションにいるのか分からなくなる…
【悲報】七十七銀行のCMメイキングでも堀未央奈がハブられる…(齋藤白石生田秋元堀)
堀未央奈は卒業センター+ソロ曲（MV有り）やらせてもらえると思う？
乃木坂の歌の弱さの一番の戦犯って誰なの？
握手会の様子見るかぎり堀ちゃんより美月&よだっちょの方が人気あるんだね
堀さん握手は休んだのに元気に募金に参加
乙女神楽 〜ザンビへの鎮魂歌〜★7.8