1read 100read
2012年4月セキュリティ104: セキュリティソフトが反応したURLを報告するスレ (128) TOP カテ一覧 スレ一覧 2ch元 削除依頼
COMODO Internet Security 51 (405)
COMODO Internet Security 51 (405)
「500」「バスター厨」「相模原」粘着荒らし総合スレ (680)
【PFW】フリーファイアウォールスレPart21 (197)
【オープンソース】ClamWin Antivirus part2【フリー/クラウド】 (196)
【無料】Privatefirewallってどうよ!その2 (144)

セキュリティソフトが反応したURLを報告するスレ


1 :12/03/27 〜 最終レス :12/05/05
今日セキュリティソフトが検出したURLを報告しよう!
<<目的>>
マルウェアに感染する可能性のあるURLを晒すことによって、二次被害を防ぐ
<<報告用テンプレ>>
【ファイル名】
【検出名】
【使っているセキュリティソフト】
【マルウェアのあったサイトのURL】
【VirusTotalでの結果】
もしファイル単体でウイルスを落としてきた場合は、
パスを掛けて暗号化圧縮してください
●セキュリティ板専用アプロダ推奨↓
http://labs-uploader.sabaitiba.com/virus/
ダウンロードパスワード、解凍パスワードは、できれば、"infected"か "virus"を推奨します


2 :
なかなか面白そうなスレだがネタがないな

3 :
とりあえず保守

4 :
www.eicar.org

5 :
良いスレだと思うがこれはなかなかレスつかないだろ
今日はカスペがやたら反応してたが結局いつもの誤検出だった
本当の脅威じゃなくて残念w

6 :
>>5
支援サンクスです
まぁこのスレが延びるまでは
色々と、マルウェア感染源のサイト
漁っていくつもりです

7 :
http://backupurl.com/zxy3ft
一応知恵袋で質問されてたもののバックアップURL
ここのURL踏むと偽セキュリティソフト配布サイトに飛ばされて偽スキャン画面が表示される
サイト踏んだだけでは感染せずファイルをダウンロード&実行したら感染する(スキャン画面が出てもページを離れれば問題ない)
初期段階のVT結果ではマカフィーだけがヒューリスティックで反応できてた模様
Aviraとマイクロソフトの方には一応検体送った(AviraやMSあたりは検体提出方法楽なので送った)
Aviraは判定結果まだ来ていないがMSはすでにマル認定されたので定義に加えられてると思う
※ファイルは圧縮状態になってるが現在カスペでは手動でスキャンかけるとヒューリスティックの方で検出してくれる
※偽セキュリティ関係は亜種率高いのでファイルの中身が変化してたらまた検知できなくなる可能性あるので注意

8 :
web root使ってるけど反応したわw

9 :
>>7
今踏んでみたらIE、クローム、火狐ともに接続できない状態になってた。
もうそこ見ることできないかぁ。。。

10 :
>>9
今はセキュリティベンダの対応を避けるために、作った1日か半日でページ潰していくのが、最近のマルウェアの傾向のようです
今まで以上にヒューリスティック、ビヘイビア検知機能の性能が試される時代になったのかなぁとか
ちなみに
Malware Domain List (www.malwaredomainlist.com/update.php)で
最新のマルウェアの情報と感染ページのURLがわかるぞ

11 :
保守

12 :
>>10
確かにマルウェアサイトすぐに消えるよな
今のマルウェアの平均寿命驚くほど短い(24時間未満)と言われるだけあるな

13 :
あんまおおっぴらにやるとニュー速とかで悪用するやつがいるのがなあ
似たようなのだとこっちとかもある
【Gumblar/GENO】Web改竄ウイルス総合10【8080】
http://kohada.2ch.net/test/read.cgi/sec/1279692828/

14 :
せやな
ただ、そういうことを言えばここの方が悪用されやすいかな
【鑑定目的禁止】検出可否報告スレ14
http://kohada.2ch.net/test/read.cgi/sec/1295261877/
まぁ悪用防止には直接繋がらないかもしれないが
次の報告からはh抜き推奨で

15 :
ここの板の「Symantec Security Checkにバグ?」ってスレ
開けようとしたらアンチウイルスがマルウェア検知(Loveletter)示して
Webガードされるんだけどウイルスコードでも貼り付けられてるのかな?

16 :
>>15
そうだね
ただ結局テキスト形式な訳だから実害はないよ

17 :
>>15
専ブラなら除外設定すればいいよ

18 :
VirusTotalの他にも鑑定できるサイトがあったら
それも入れておいた方が良いかも

19 :
>>18
●検体提出先まとめWiki (参考)
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
参考までに

20 :
ttp://dl.dropbox.com/u/69432480/NPSWF32.z
某鑑定スレでの依頼(迷惑メールに付いてたらしい)
VTにかけるとBit系エンジンと一部ソフトの振る舞い機能で検出する模様
参考にソフォスによる分析結果
ttp://www.sophos.com/ja-jp/threat-center/threat-yses/viruses-and-spyware/Troj~FakeAV-FIW/detailed-ysis.aspx
一応Aviraには検体提出済み

21 :
Symantec Endpoint Protection Part2
http://kohada.2ch.net/test/read.cgi/sec/1331092341/

22 :
>>20さん乙です
鑑定スレというと「勇気がなくて〜」のスレですかね
今外出中ですが暇があれば仮想PC上でネットワーク切り離して実行テストしてみます

23 :
保守

24 :
保守

25 :
ネタ元は鑑定スレ
ttp://premieremotorsportsgroup.com/css/ajk65/
(カスペは反応するらしい)

26 :
>>25さん乙です
只今、G DATAでも確認いたしました
おそらくBitDefenderエンジンでも対応している様子です

27 :
ttp://kohada.2ch.net/test/read.cgi/pcqa/1330823210/
あのさ、上のブラクラかもしれなくて踏めない人たちと言うスレの>55
ハックチートのページのやつ
VBでは無反応と鑑定レスされてるけどカスペで踏むとトロイ検出でブロックかかる
実際はどうなんだろ?

28 :
>>27さん乙です
現在外出中で携帯端末しか持ち合わせておりません
一応Dr.WEB リンクチェッカーでの検査結果では陽性ということでした
以下検査ログ
>http://www.fps1.net/archives/1193/JSEval_6[5a1] infected with Exploit.BlackHole.12
恐らくJavaScript攻撃型のウイルスだと思われます

29 :
補足
上記に貼られたURLにはウイルスが含まれております
閲覧には十分ご注意を

30 :
>>27
Pandaクラウドアンチウイルス1.91βユーザーなんだけど
今そこ踏んでみても無反応(IEやchromeとも)
ブロックもされず普通にサイトに入れてしまう
思わずPandaちゃん大丈夫かよという気持ちになってしもた

31 :
>30だけど
>>27の掲示板の中の「>275番の一番上」
判定では危険サイトらしいけどPandaちゃんここも普通にスルーする(無反応)orz
サイトではゲイの行為中の動画流れてるし(藁

32 :
>>25
Pandaちゃんこれもスルー
普通にサイトに入れちゃうorz 本当にやばいサイトなのか?

33 :
>>32さん乙です
当方の環境でも試してみます
もしかしたらどちらも誤検出の可能性も否めません
また反応するJavaScriptの構成ファイルを
VTでスキャンしたら結果あげてみます

34 :
アビラやマイクロソフトは簡単に検体送れる専用ページ用意されてたと思うが、
他のセキュリティベンダにはそういう検体送信専用ページないの?
各ベンダごとに検体提出専用ページがあるかどうか、わかる人いたら教えてちょんまげ。

35 :
>>25
avastブロック

36 :
>>25
当方GDATA環境でも試してみました
ウイルス: HTML:Script-inf (エンジン B)
Web コンテンツのダウンロード中にウイルスを発見しました。
アドレス: premieremotorsportsgroup.com
ステータス: アクセスが拒否されました。
うーんこれだと概出の結果かも(エンジンB

37 :
>>25のものと>>27のサイトの中の2つ(>55と>275)
一応セキュアなDNS2つ(シマンテック提供のやつとCOMODO提供のやつ)使って
それぞれ踏んでみたけど特にブロックはされなかったなぁ
シマンテックのDNSは2chオカルト板とかはブロックするのにw
アンチウイルスはMSE使ってるけど特に反応なし

38 :
>>27
の>371のサイトからダウンロードしたSetup.exe
MSEは未反応だけどAviraの方は反応した。
あとBitDefenderのコマンドラインの方でも反応した。
このレスした時点におけるVTでのDetection ratioは[9/39]

39 :
>>38
ごめん、訂正。
   ↓
>>27
のサイトの>371から〜

40 :
>>34
BitdefenderエンジンのF-SecureにはSample Analysis Systemってページがある。
カスペルスキーもアカウント作ればWEBページから検体送れる。
mfmediaonline.com *カスペルスキー反応、カテゴリは悪意のあるソフトウェア

41 :
皆さん乙です
検体提出先については、ここにまとめてあるようです
●検体提出先まとめWiki (参考)
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先(Webフォーム、メールアドレス)、検体提出方法、
推奨される文例、検体提出時の注意事項が掲載されています。

42 :
当然といえば当然だけど、検体の判定はベンダーによって異なる場合も有るそうだ。
ttp://ameblo.jp/39morley115108/entry-10353106629.html
記事は2009年に書かれたものなので、カスペに関しては現行バージョン評価と異なる部分もあるが、
検体分析やアナリストに対するコメントはなかなか的を得ていると思う。
(当時のカスペは性能が下降していたのは事実なので、カスペの性能に関するコメントも間違ってはいない。
現在のバージョンでは性能の良さが復活、どこのテスト機関の調査でも高い評価受けてるけど)

43 :
>>42
分かりやすい例としては、最近よくバナーとかGoogleの広告で見掛けるレジストリ最適化系のインチキソフトとかかな
あれはベンダーによってマルウェアとして
認めるか認めないかが分かれるみたいで
グレーツールとして検知するものはするが
しないものもあるな
ただあれはWindows クリーンインストール直後の状態でもエラーを見つけた、とかいうところを見ると
あれは偽物セキュリティツール(FakeAV系として扱っていいと思う)

44 :
マイクロソフトの野郎、実行できないファイルに関しては検体送っても完全無視しやがる。
他のベンダーでこれマルウェア認定してますとコメント加えて送ってもスルー。
まあ、PCに実害を及ぼさないファイルは脅威パターンが含まれてても認めないという姿勢は
それはそれで良いけど・・・。

45 :
ttp://www.yourfilehost.com/

46 :
>>45
VirusTotal→ 0 / 19
ほとんどのURLフィルター・・・安全表示
例外判定フィルター
マカフィー・・・不審な振る舞いが確認(注意レベル)
Pandaクラウド入れてる環境で行くも無反応だった

47 :
>>45
Pandaに続き、MSEを入れてる環境で行ってみた
ブラウザをグーグルクロームにして突入→特に反応なし
ブラウザをIE9にして突入→トロイおよびアドウェア検出

48 :
>>45
カスペでの反応(カスペ危険サイト診断では安全表示)。
・chrome→ページダウンロードがなかなか終わらないので途中であきらめ(一応反応なし)。
・Firefox→chromeと同じ状況
・ie9→トロイ反応(ただしヒューリスティック)
他ソフトでの反応も考慮すると、ieで行けば多くのアンチウイルスでも脅威反応示すと思う。
スクリプト系の脅威だからか?

49 :
>>45
G DATAも反応
BitDefenderエンジン

50 :
yourfilehostはエロ動画サイトとして非常に有名だったが
いつからこうなっちまったんだ?

51 :
>>50
元祖だよな・・・

52 :
何故かこのページだけKasperskyが反応するんだよな・・・
管理人にメール送ったら画像が感染してたから全部入れ替えたとか言ってたけど変わらないって事は誤検出かな?
http://1000mg.jp/archives/51380735.html

53 :
aguse.jpで確認したが、やっぱカスペルスキーが反応してる。
Trojan-Clicker.HTML.IFrame.v
このトロイの木馬ってサンシャイン牧場の時と同じやつっぽいね。

54 :
>>52
カスペエンジンベースのaguseが反応してるのは別として
それ以外のURLチェッカーの多くはクリーン判定出してるな
COMODOに解析してもらってもクリーン判定
一方SCUMWAREはマルウェアサイト判定
う〜ん カスペの誤検出の可能性も有り得るかも?

55 :
>>52
Anubisに解析してもらったけど
レポート結果は特に問題ありそうになかったが。。。

56 :
>>53
>サンシャイン牧場
あの時は結局カスペによる誤検出だったんだよな?
カスペユーザーがトロイ検出したと言って大騒ぎしだしたのが
事の起こりだったと記憶しているが

57 :
って事はKaspersky側の誤検出っぽなー

58 :
>52に関してだけどさ
Google Chromeとパンダクラウド1.91betaの組み合わせで踏んでみたけどさ
特になにも反応ないわ
やっぱカスペルスキーの過剰反応&誤検出だと思うわ

59 :
>>52
GDATAでも反応なしです

60 :
だれかカスペルスキーに誤検出の報告出しとけ。

61 :
とりあえずKaspersky Labに誤検出報告してみた

62 :
>>61

63 :
Kasperskyからメールきたー
Sorry, it was a false detection. It will be fixed in the next update.
Thank you for your help.
Regards, Valentin Pashkov
Virus Analyst
エキサイトだと
すみません、それは誤りの検知でした。
それは次の最新版に固定されるでしょう。
支援をありがとう。
よろしく、バレンティンPashkov
ウィルス・アナリスト

64 :
>>63
わろたwwwwwwwwwwwwww
おまいら、今回はよくやったw

65 :
>>63
なんだろ
これ中学生レベルの英語でも読める程度にしてあんのかな

66 :
ヒマだったから相手してくれたんだろw

67 :
カスペ返答早かったやん
やはり誤検出に関してはすぐに返答くれるのかな

68 :
とりあえず国を日本にしたから簡単な英語にしてくれたと思う

69 :
今確認してみたら>>52のURLはアクセス出来るようになったみたいだな

70 :


71 :
保守

72 :
>>63
正確な訳
(うるせーなまたコレかよ 分かってんだよとっくによーコピペ返信するのも面倒だわ)
あーわりーわりーありがとな坊やチョコやるから帰れ な(^_^;)

73 :
とっくにわかってたんならこちらに言われる前にさっさと定義修正出しとけや
となるだろ?

74 :
とっくにの使い方の違いじゃないか?
定型文だろうし
未知だったらあんなに早くレスポンス出来ない
またする必要もない

75 :
う〜ん
なかなか危険なURLに出会う機会ないなあ
マルウェアドメインリストから持ってきても意味ないしなあ

76 :
>>75
外人の比較的新しいウイルステスト動画から読み取る、という方法も
後はkeygen系マルウェアとかから出てくる
Fake AV系とかか

77 :
>>76
なるほど、これは便利
ttp://www.youtube.com/watch?v=tCwcg6AXV84
試に上の動画からファイル落としてみてVTにかけてみたら1/42だった
(SUPERAntiSpywareがTrojan.Agent/Gen-MSFakeで反応)
俺の使ってるアンチウイルスはVTの結果どおり反応しなかったorz

78 :
上のファイルの補足
一般のアンチウイルスはまだ検知できないかもしれないが
VTでの結果からSASは反応してるようなので
同じくFake系には強いMBAMも反応するかと思ってスキャンかけたらこちらはまだダメだった

79 :
>>77
このファイルはfakeavをブロックするツールでfakeav自体じゃないんじゃね?
つまりアンチfakeavツールの方じゃね?
俺も英語わからんから間違ってたらすまん。

80 :
>>77だけど、指摘があったように、これは○じゃなくて何かのソフトだったみたい^^;
→ソフトの名前みたら「anti」付いてた^^;
(一体なんのソフトかは英語理解できないのでわからないけど)
とにかく誤爆してすみませんでした

81 :
>>77が落としたURL一応h抜きで張ってみたら如何?

82 :
>>77
解説動画みたいになってるけどこれて偽ソフトに似せたジョークソフト???
おれんとこのソフトもスキャンしても反応なかった。
>>81
ダウンロード先は動画すぐ下のLink for AVPと書かれたURL踏めば飛べるよ。

83 :
>>82
サンクス!!

84 :

韓国の新聞、中央日報のサイトは、
マルウェアを発信していそうだよ。
http://ginzasen.blogspot.jp/2012/04/malware.html

85 :
>>77
とりあえずAviraかカスペにあげて分析してもらおうず
俺今携帯なんで・・・・

86 :
>>85
Aviraには一応出しといた
今分析中で結果待ちの状態

87 :
>>77
カスペルスキーの回答はクリーン判定でした。

88 :
http://dl.dropbox.com/u/69432480/NPSWF32.z

89 :
http://www.curtainrising.com/page.php?id=super-bowl-time-date-2011
bitが反応 踏んだ先は有料ダウンロードサイト 誤検知?

90 :
>>86>>87
乙です

91 :
>>88
Dropbox → Error (404)
>>89
どうなんかな?
PandaCloud1.91βではサイトに入る段階では無反応
gredやaguseその他多くのチェッカーは安全判定
NortonセーフwebはFakeAVリダイレクトを促すとして注意判定(危険判定ではない)
でも踏んでも別にFakeAV系に飛ばされなかったが・・・

92 :
http://luntu.web.fc2.com/
とりあえずKasperskyでは全部検出された
結構古めのウイルスなのかな?

93 :
>>92
この手のウイルス置いてるサイト他にも複数あるけどここは知らんかったわ
他のところは置かれてるウイルスが古すぎて検証する価値すらなかった
いつごろのウイルスか知らないが、ここはWindows7用ウイルスというページもあるし
ページの更新履歴みたら最近も行われてるみたいだから他の同種サイトより新しいんじゃね
置かれてるウイルス数手ごろだから自分の使用機の動作検証するにはもってこいだと思う
(一応俺の手持ちのソフトもすべて検知できた)
余談だが、Windows8はスパイウェアだと叫んでるページにはワロタ

94 :
>>92
ブラウザIE付属のSmart Screen機能はなかなか優秀だね。
そこにあがってたファイルダウンロードしようとしたら、
安全でないファイルですとのポップが出て全てブロックされる。
Chromeの方では普通にすべてのファイルをダウンロードできてしまうのに。

95 :
>>84
COMODOが提供しているWebpageスキャナで
中央日報のサイトをスキャンしたら安全と判定されたぞ(笑)

96 :
>>92
ショック!
試にウイルス配布倉庫7にあった圧縮ファイル1つを落としてMSEでスキャンかけたら
中に含まれる.exeのうち1つは検知できたものの後は検知できずorz
その後BitDefenderのCL版でスキャンしたら残りもちゃんと検出してくれた
やっぱMSEでは(ry

97 :
>>96
ちょっとヤバくないか?

98 :
>>97
仮想化させてやったのだがその後仮想化解除の上MSEからカスペに戻して完全スキャン
でスキャン終了後シャットダウンさせとく→今朝起きてみるとカスぺが真赤状態(笑
ログ見ると検知したものの削除不可能との警告表示(笑
Cドラ全体を仮想化してたしファイル解凍したが実行はしていない

99 :
(文字数制限ですべて書き込めないため上の続き)
また解説に書かれていた感染時の症状も特にない
以上よりカスペの過剰反応とも考えられるが危険と言い張り真赤状態が直らないためリカバリすることにした
Vista時代のPCだから7までのアップ行為含めるとそこそこ時間かかるけど
久しぶりにPCリフレッシュできる機会だからまあいいかと思っている

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
住基ネット祭 その2 (844)
■強制IP表示制にするかどうか議論するスレ (181)
【ノートン】Norton 360 Ver5. 001 【ALL-IN-ONE】 (957)
集団ストーカーのWeb盗聴から身を守る方法 (602)
「500」「バスター厨」「相模原」粘着荒らし総合スレ (680)
コンピュータウィルスの研究者集合 (103)
--log9.info------------------
Photoshop Elements-エレメンツ-Part.7 (518)
東京幻想はトレースだという話がでているが。 (904)
原稿を描く(書く)時の、あなたのルは? (508)
〜一人でやってる駆け出し絵描きさん〜 (102)
(´・∀・`)ダヨネ−ズムララ〜 (304)
もっといい同人サイトを目指すスレ6 (656)
【ウホッ】ドクターマーチン2瓶目【いいインク】 (550)
localhost6 (208)
サークル名のあれこれ (910)
☆装丁スレ☆5☆ (776)
[松嶋菜々子&反町隆史の噂] Part2 (572)
ノストラダムスの大予言は日本の陰謀だった。 (437)
藤原紀香と常盤貴子のゴリ押しウザイ (928)
坂本勇人の噂 (582)
DAIGO Part128 (112)
【婆ヲタが全て】吉井和哉の噂16【妄想で回すスレ】 (309)
--log55.com------------------
【希代の】DELL Inspiron 1520 Part 20【名機】
SONY VAIO F(3D) Part1
SONY VAIO P で Linux を使い倒すスレ【Ubuntu】
NEC VersaProスレ 23台目
卍 Razer 卍 【blade/stealth】 #2
SONY VAIO S[SA/SB] part14
IPS液晶なノートパソコンを紹介しあうスレ
【VGNZ】SONY VAIO 旧Z part89【VPCZ1】