1read 100read
2013年17セキュリティ100: あやしいファイルを実行するスレ 2層目 (765) TOP カテ一覧スレ一覧 2ch元削除依頼 ▼
【本ｽﾚ】ｳｲﾙｽﾊﾞｽﾀｰｸﾗｳﾄﾞ(2013)Part.1【被害者の会】 (817)
1ch.tvのセキュリティってどうよ？ (124)
Online Armor Personal Firewall Free Part4 (547)
トレンドマイクロ社製品不買運動しないか？ (777)
Android powered by McAfee (798)
ト　レ　ン　ド　マ　イ　ク　ロ（笑） (753)

あやしいファイルを実行するスレ 2層目

1 ：2008/11/25 ～最終レス：2013/09/23: あやしいファイルを実行したりして遊ぶ人が集うスレです
急ぎでなくてよろしければ、簡単な鑑定も行います
※ 依頼には制限があります: >>2-10 あたりをお読みください【自動鑑定サイトも掲載しています】
前スレ: あやしいファイルを実行するスレ (2006/02/21)
http://pc11.2ch.net/test/read.cgi/sec/1140517079/
関連スレ:【鑑定目的禁止】検出可否報告スレ7
http://pc11.2ch.net/test/read.cgi/sec/1216217642/
【警告】ここの住人は、黙っているだけで、多彩な多層防御を据えてあやしいファイルを実行しています
無理に真似をして、環境が壊れたり、なにか晒されたりしても、屍を拾う者はいません

2 ：: ・鑑定を目的として貼られた場合、たいていは、自己解凍書庫判定(実行しなくても解凍鶴でおｋ)か、
明らかに有害か、よくわかりません位の結果になり、完全な安全判定は難しいことが多いです
完全な安全を目指すには、環境・情報を保護するソフトウェアの併用を検討してください
・感染後の回復指南に関しては、必要なスキルが異なるため、原則としてお引き受け致しかねます
あくまで、雑談として扱いますアダ被さん( http://www.higaitaisaku.com/ )あたりが定評があります
・割れの幇助には消極的な人が多いです割れやkeygenやパッチを貼るのは自由ですが、
引き受け手は少ないかもしれませんその場合は、見かけ上スルーになります
3 ：: ・P2Pのハッシュ等での依頼は、消極的な人が多いですので、うｐろだに転載なさるか、専用スレに
ご依頼ください転載時、ウイルスくさい場合は、'infected' 'virus' などのパスワードをかけてください
・お急ぎの方は、最近は便利になり、自動分析サイトがありますので、ぜひそちらをご利用ください
http://www.virustotal.com/
https://www.gred.jp/?tab=goleo (最近できたばかりです)
4 ：: http://www16.plala.or.jp/spichilz/2chCloser.zip
5 ：: 有名所です reputation上無害と言いたいところなのですが、実際に踏んでみたところ、
当方環境では、CPUを100%近く占有したまま、パッカの展開がいつまでたっても終わりません
(業を煮やして途中で止めても、やっぱり制御がパッカのスタブにあります。。。)
推定無害、環境によっては: 動きません(?)
6 ：: >>1
次スレ建ててくれる人がいたのかｗ
とりあえず追加で役に立ちそうなリンク張っておきます
↓仮想環境構築用
・VirtualPC
ttp://www.microsoft.com/japan/windows/products/winfamily/virtualpc/default.mspx
・VPC用無料のイメージファイル
ttp://www.microsoft.com/downloads/details.aspx?FamilyId=21EABB90-958F-4B64-B5F1-73D0A413C8EF&displaylang=en
・Returnil Virtual System
ttp://pc11.2ch.net/test/read.cgi/sec/1202337108/
ttp://www.majorgeeks.com/Returnil_Virtual_System_Personal_Edition_d5702.html
以下Newbie用
VT以外のScanサイト
・http://www.virscan.org/
・http://www.virscan.org/
・http://virusscan.jotti.org/
・http://www.viruschief.com/
SandBox
・http://anubis.iseclab.org/index.php
・http://www.threatexpert.com/default.aspx
・http://www.norman.com/microsites/nsic/Submit/en
・http://research.sunbelt-software.com/Submit.aspx
7 ：: http://www.virscan.org/が重複してた
正しくは↓
http://scanner.virus.org/
8 ：: >>6-7
おちゅです
てか、まだあったんかｗ > iecompat(ry
…まだあったんかじゃない、増えてるｗｗｗｗおみそれしますたｗ
9 ：: 踏んで遊ぶ方のネタもってきた
[ｲﾝﾁｷ/有害] ttp://ultraantivirus2009.com/Release_UNREG.exe
本当に、インチキ有害表示出すだけみたいな感じだたーよ
しかも、やたらと重い
[ｲﾝﾁｷ/有害] ttp://real-av.info/Setup.zip
壊れてるって言いやがる遊べんでないかｗ
鯖側タイムスタンプは、今年５月
10 ：: いつの間にか次スレが立ってる・・・
>>9
＞ttp://ultraantivirus2009.com/Release_UNREG.exe
実行するとProgram FilesにUltlaAVってフォルダ作られるから、
タスクマネージャーからUltlaAV終了させて、UltlaAVフォルダを削除、
system32のUltlaAV.cplも削除
終了。
11 ：: それとスペルミスには突っ込むなよ
12 ：: マルチもなんだし、リンクで
http://pc11.2ch.net/test/read.cgi/sec/1216217642/973
ネタ。これ単体で実行できる？
[有害] http://download.bestvirusremover2008.com/virusremover2008.com/1.0.14.5/FreeApp_jp.exe
…っていうのは、俺んとこの砂箱でエラーになるからただの砂箱避けかな
lwapi.dll がなんとか(先頭のshが抜けてる上に、kernel32のインポートとして表示する)
ちょっといまVPCのイメージとか準備してくる気力なくて。既存環境ある人よろ
13 ：: 実機でHIPS使ったけど動くよ。何してんだか分からんけど。
14 ：: なぜかテンポラリーインターネットファイルのフォルダの数個のファイルが問い合わせされた
15 ：: Rogueware単品は実行しても簡単に駆除できるから微妙
16 ：: >>13
HIPSってなに使ってんだ？
SSM？
17 ：: >>15
ネタ持ってきてた俺が、短期集中的に現状調査してたからｗ > インチキ/ぼったウェア
たしかに、駆除攻防としては、あんまりおもしろくはないかもしれん
あれらの中には、一応、自前で検出エンジンもどきを持ってるのがある
最近のものには、ClamAVのデータベースらしきものを持ってるのもあった
それはちょっとアレだろう、イチからデータベースパーサ書いたんだろうな？ｗ (ClamAVはGPL)
一応、アップデートボタンがついてるのが多いんだけど、
一向にアップデートってうまくいった試しがないのな
18 ：: http://kissho2.xii.jp/20/src/2yoshi1701.exe
ここからDLできるこの実行ファイルが何だかわかる方いますか？
19 ：: >>18
宅間守ふぉーえばーっていう不謹慎ゲームみたいだけど
そんな古いファイル存在しねぇよ、それくらい確認しておけ
20 ：: >>19
DLして実行したら、DOS画面になったんですけど
これは気にしなくて大丈夫でしょうか？
21 ：: >>20
実行できないから何ともいえんけど問題ないとおもう
あとはググれ
22 ：: >>18落として実行したら
DOS画面になってkkcfuncが組み込まれましたとかでるな
問題ないはず･･･多分
23 ：: なんだこれ？
ウイルスとかではないっぽいが。
24 ：: 宅間守ふぉーえばーじゃん
25 ：: >>24
ぐぐるとそうでるけど、落とすとちがくね？
26 ：: 落ちてこない
27 ：: 落とせますね。
まあ、危ないものではないと思います。
28 ：: htmlが落ちてくるだけだが?
29 ：: >>28
苦笑

30 ：: http://1920041566:65535/fc2.js
31 ：: http://pc11.2ch.net/test/read.cgi/sec/1228314831/126
ttp://1920041566:65535/t.exe
簡易実行してみた当方環境では、DLLがひとつ増え、本体とhostsが消された
アラド戦記, リネ, RO(いずれも日本鯖)の垢抜きの模様
32 ：: 書き忘れてる、これ、いつもの、Flash経由のほうのセットじゃないほう
33 ：: バイナリ比較したら一緒だったお
34 ：: 検証ありがとうだおｗ > compare
35 ：: 中国のサイトで感染の疑い：IE 7にゼロデイの脆弱性、月例パッチでは未解決
http://www.itmedia.co.jp/enterprise/articles/0812/11/news025.html
>>30 のjsのやつ、test3の方はこれだったのかもしれんね別かもしれんけど
36 ：: >>35
いや正解。中華トロイサイトのスクリプトでは
もはや標準装備になりつつある(MS06-014やFlashやReal並に)。
ところでtest3手元では動かなかったんだけど(IE7やMSXMLがQFEだから?)、
どこに何てdll落とした?
37 ：: その後、他のサイトでも見たやっぱ生成鶴も出てるのかねｗ
winsys, midaeghDrv.dll ざっと見固定かな？
38 ：: 砂箱でも midaeghDrv.dll だった。なーんで発動しなかったんだか。
あのスクリプト、VistaとXPでunicodeの羅列部分は同じだけど
ターゲット側(CDATAとかある方)のimgタグは微妙に違うようですな。
39 ：: お土産。駆除訓練にどうぞ
http://pc11.2ch.net/test/read.cgi/sec/1228314831/164-165
ネタ元は、http://pc11.2ch.net/test/read.cgi/sec/1228314831/159
上がFFXIの垢抜きかなんか。たぶん。下が常駐型のダウンローダ。
ケアレスミスで、文字列のデコードに手間取った
>>38
そこまでは見てなかったｗ randomizeでしょうか？ｗ
40 ：: × ネタ元は、http://pc11.2ch.net/test/read.cgi/sec/1228314831/159
○ ネタ元は、http://changi.2ch.net/test/read.cgi/entrance/1226843784/159
41 ：: >>9の下
Setup.exe.zipってのがあるぽ。
42 ：: spoolsv経由でautorun.inf、recycledが作られる。
どういう仕組みなんだろう。
spoolsvをタスクから数回終了したらマルウェアが動かなくなってしまった。
43 ：: >>42
http://qa.jolt.jp/detail/536167
ここでも悪用されてるみたいだね
ぐぐるとspoolsvを悪用するマルウェア結構あるな。
どういう仕組みで動いてるかわからんが
44 ：: 糞スレッドぶちこまれてるとかじゃなくて？
45 ：: こんなスレであけおめ
46 ：: て酢
47 ：: 私も化粧は好きじゃないｗ
48 ：: 誤爆；；
49 ：: IE AppCompat VPC Image v4.2: This VPC image will expire in April, 2009 URLは>>6と同じ
50 ：: お願いします
http://home.arcor.de/nms04/Winnyenglish.zip
51 ：: >>50
ただの英語版WinNY
問題なし
52 ：: http://ftp.kaspersky.com/devbuilds/AVPTool/
↑踏んじゃったんですけど、コレなんですか？
黒い画面が不安・・・。
53 ：: >>52
カスペルスキーのウイルス駆除ツールダウンロード画面
54 ：: >>52
どうもありがとうございます！
55 ：: >>50を解凍したらavastでWin32:Adware-genが検出されるんですけど。。。
56 ：: >>55
Adwareってことは広告表示だな
ひょっとするとスパイウェアみたいに
情報収集してることも考えられるから
使わないのが吉
ちなみにうちでは解凍する前に検出
Webシールドがブロックしたわw
57 ：: >>50
http://www.virustotal.com/analisis/173ba618aeadd0e2e4332695b66f3097
ちなみにAntiVirは反応しました
58 ：: そのＷｉｎｎｙを使えば日本のＷｉｎｎｙにないファイルとかいっぱいダウンロードできるん？
59 ：: さすがにスレチｗ試してもやれんぞｗｗ

60 ：: ttp://ipatukouta.altervista.org/php5/
これは、なに？
61 ：: 踏んじゃったんだけど、ヤバイの？眠れないわ
62 ：: >>56
誤検だろ
>>60
2ちゃん初心者か？
ホストとクリップボード晒されるだけじゃん
63 ：: >>62
実害はそんなに考えなくていいのかありがとう
64 ：: このウイルスの削除方法おしえてください
ttp://www3.uploda.org/uporg1950752.zip.html
65 ：: >>64
404だから教えようがない
66 ：: >>65　　すいません
ttp://www3.uploda.org/uporg1951835.zip.html
67 ：: >>66
WINDOWSフォルダーにあるunvise32.exe
Lucy.exe、実行元のReadme.exeをセーフモードで削除
その他ZIPファイルも削除推奨(ZIPに感染する)
またUSBなんかをパソコンに繋ぐとこれも感染してしまうのでUSBメモリー類は
駆除完了するまで使用しないほうがいい
68 ：: ちゃんと解析してないからあてにしないように。
update.exeってやつがあったような・・・
69 ：: >>67 ありがとうございます
　　　結構、やばいですかこのウイルス？
70 ：: >>69
やばいかはわからないけど、いいことはない
正直リカバリー推奨しておく。
USBメモリぶっさして、Autorun.infとreadme.exeが作られなきゃ問題なしかも
(隠しファイルとシステムファイル表示する設定にして)
71 ：: ttp://japan.sarashi.com/15.html
踏んでしまい、すぐ閉じちゃったんですが
これは何でしょうか？
72 ：: >>71
ttp://www.aguse.jp/?m=w&url=http%3A%2F%2Fjapan.sarashi.com%2F15.html&retry.x=54&retry.y=8
情報商材屋の怪しいページ
ttp://gw.aguse.jp/ で確認すると全文見れるよ
73 ：: >>72
ウイルスとかではないみたいですね。
ありがとうございました！
74 ：: >>70 今からやってみます。
　　　ありがとうございます
75 ：: http://sig.azarea.jp/asuka/download/AsukaWS.zip
風来のシレン女剣士アスカというゲームの非公式パッチなのですが
virustoralで調べると６０％程の確率でウイルスと表示されます。
このパッチを使用している人は多いようなのですが
私としてはウイルスの可能性も捨てきれないため
本当に安全なものか調べて欲しいですorz
76 ：: マイナーなpackerだからということか、各社一斉に警告が出ています
http://www.virustotal.com/analisis/026a44b33eea5ec0859e874d82b3c6ab
本体が、よくわからない保護がかかっているので、(アンチウイルスエンジンが)鑑定いたしかねます、
イマドキ、疑わしき物はクロ。という判定がなされているということです
で、保護を解除して、再度virustotalに投げます (409634/416000)
http://www.virustotal.com/analisis/d99ef889d6a5b7048b2b4078ff494d32
ゲーム本体を検索して、パッチする部分が、ウイルスとさして変わらん。と判定されているのかもですね
ぱっと見に、ネットにアクセスするコードというのは見つかりませんでしたが、
こんなものはいくらでも隠蔽ができますので、完全な安全判定というのはいたしかねます >>2
少なくとも、これだけ広範にクロ判定にならないパッカに、替えてもらったほうがいいかと
77 ：: ですよねえ･･･。
非常に便利なツールらしいのですが
気になってプレイはしたくないので入れないことにします
調べてくださってどうもでした！
78 ：: >>75
やべえ俺これ使ってるわ・・・。
クリーンインスコし直しとくか・・・。
79 ：: 無害とは言い切ってないのですが、有害とも言い切ってないのです
exe鑑定のひとつの姿勢は、｢完全に安全なexeの保証などありえない。｣というものです >>2
しかし、使いたい。
そんなときのために、VMとか、砂箱とか、そんなものを併用するわけです
80 ：: ゲームのパッチにVMとかうまく使えなくない？
色々制限されるっつーか。
81 ：: 併用するソフトによるもちろん、パッチ対象のソフトによっては、どうにもしようがないこともあるかも
82 ：: >>75のパッチってこのゲームやってる人ならほとんどの人が当ててるようだな。
（スレやプレイ動画より）
誤検出ってことで片付けてるけど･･･ちょっと怖いよね。
83 ：: どうして誰も検体提出しないんだろうねえ
84 ：: ネトゲチート厨なんかどうでもいいからさ
85 ：: 検体提出が相当ぽいときは、検出可否スレに(レスへのリンク形式で)送ってるからｗ
86 ：: どこがネトゲやねんｗ
87 ：: http://online.w84.okwit.com/RM.exe
最近ネトゲのしたらばによく貼られているんですが、踏んだらヤバイですか？
88 ：: 連スレすいません。
http://www.skywebsv.com/flash05846/GTDR.exe
こいつも貼ってありました。スレ読んでるとキーロガみたいなんですが。
89 ：: >>87 着手、有害確定もうすこし詳しい情報を、後に追加します
90 ：: >>88 着手、有害確定もうすこし詳しい情報を、後に追加します少なくともパス抜きですね
91 ：: >>87
なにか釣り動画がはいってますそれに気を取られているうちに、ウイルスに感染します
踏んでみたところ、さらに、外部鯖に指示を取りに行っているようです追加感染のおそれがあります
内容的には昔からあるものなのですが、新作の亜種であり、検出できないセキュリティソフトも結構あるようです
※汎用のルートキットが使用されているようです一部の無料点検サイトでは、検知できない恐れがあります
※ServiceDllとして動作しているため、有害プロセスは、純正exeであるsvchostのどれかに紛れ込みます
>>88
RedStoneのバナーとともに、ウイルスが含まれています
主に韓国ネトゲ鯖の垢抜きのようですが、一部日本鯖も対象になっています
内容的には昔からあるものなのですが、新作の亜種であり、検出できないセキュリティソフトも結構あるようです
>>1 の検出可否スレには通報済みです
92 ：: >>91
どうもありがとうございました。
知り合いで踏んでしまった者がいるので、再インストールすすめておきます。
93 ：: 卒論でウィルスについて研究したいのですが、テーマが決まらなくて困ってます
何か、こんなことやってみてほしい（試してほしい）ってことないでしょうか？
卒論ですので、多少時間のかかることでもいいんですが・・・
ヒントお願いします
94 ：: >93
そんなことも自分で決められないようなら留年しとけ。
95 ：: 正論
96 ：: >>93 最近のウイルス感染PCからの、効率的な除去方法
97 ：: http://you0idiot.web.fc2.com/idiot.html
98 ：: ふつうにブラクラいやというほどメモリ食って重くなりそうって意味では、破壊力ある
99 ：: ttp://www1.axfc.net/uploader/He/so/200264
これなに？
100read 1read
1read 100read TOP カテ一覧スレ一覧 2ch元削除依頼 ▲ 【Grisoft】AVG Internet Security5【有償版】 (116) VISTA標準ファイアウォールを語る (422) Kaspersky/カスペルスキー総合140 (905) ニムダ被害報告スレ (271) クラックしかけてくる奴の国名ランキング(日本除く) (851) なんかCドライブどんどん減ってってるんですが… (153) --log9.info------------------ Star Domainについて☆★討論 (820) ■月300円以下の激安サーバー統一スレ5■ (735) 【チカッパ】ロリポップ (lolipop)41【プラン追加】 (215) 【GMO】ロケットネットについて語ろう (273) 2ch閉鎖の危機なんだって (295) 【無料・cgi可】ロリピンク【アダルトもOK】 (408) クロサワネットのNUドメイン名登録所２ (435) 海外無料鯖の話はここで Part5 (881) 【GMO】お名前.comはここで語れ　その7 (404) さくらインターネット VPSスレ Part19 (495) さくらｲﾝﾀｰﾈｯﾄ　質問にﾏｼﾞﾚｽするｽﾚ Part23 (799) 【兄】西院ネットワークス　part11【妹】 (313) 使えないぞ！！「使えるねっと」　part3 (568) 【CGI】 land.to 10鯖目【SQL】 (553) 結局、ドメイン取るならどこがいいだよ！ (501) aslia.net　サービス終了 (109) --log55.com------------------ ゲームでキノコ系最強の敵キャラといえば？ 今日も会社でキノコ 【USD/JPY】ドル円専用スレ Part19190721【$\】 【胞子で増えるよ】きのこマスコット2【奉仕です】 きのこ板の1001を考えるｽﾚ ジャッジメントのんびり常駐スレ 【味の素】ピュアセレクト・マヨネーズ【SMAP香取】