セキュリティソフトが反応したURLを報告するスレ
<<目的>>
マルウェアに感染する可能性のあるURLを晒すことによって、二次被害を防ぐ
<<報告用テンプレ>>
【ファイル名】
【検出名】
【使っているセキュリティソフト】
【マルウェアのあったサイトのURL】
【VirusTotalでの結果】
もしファイル単体でウイルスを落としてきた場合は、
パスを掛けて暗号化圧縮してください
●セキュリティ板専用アプロダ推奨↓
http://labs-uploader.sabaitiba.com/virus/
ダウンロードパスワード、解凍パスワードは、できれば、"infected"か "virus"を推奨します
今日はカスペがやたら反応してたが結局いつもの誤検出だった
本当の脅威じゃなくて残念w
支援サンクスです
まぁこのスレが延びるまでは
色々と、マルウェア感染源のサイト
漁っていくつもりです
一応知恵袋で質問されてたもののバックアップURL
ここのURL踏むと偽セキュリティソフト配布サイトに飛ばされて偽スキャン画面が表示される
サイト踏んだだけでは感染せずファイルをダウンロード&実行したら感染する(スキャン画面が出てもページを離れれば問題ない)
初期段階のVT結果ではマカフィーだけがヒューリスティックで反応できてた模様
Aviraとマイクロソフトの方には一応検体送った(AviraやMSあたりは検体提出方法楽なので送った)
Aviraは判定結果まだ来ていないがMSはすでにマル認定されたので定義に加えられてると思う
※ファイルは圧縮状態になってるが現在カスペでは手動でスキャンかけるとヒューリスティックの方で検出してくれる
※偽セキュリティ関係は亜種率高いのでファイルの中身が変化してたらまた検知できなくなる可能性あるので注意
今踏んでみたらIE、クローム、火狐ともに接続できない状態になってた。
もうそこ見ることできないかぁ。。。
今はセキュリティベンダの対応を避けるために、作った1日か半日でページ潰していくのが、最近のマルウェアの傾向のようです
今まで以上にヒューリスティック、ビヘイビア検知機能の性能が試される時代になったのかなぁとか
ちなみに
Malware Domain List (www.malwaredomainlist.com/update.php)で
最新のマルウェアの情報と感染ページのURLがわかるぞ
確かにマルウェアサイトすぐに消えるよな
今のマルウェアの平均寿命驚くほど短い(24時間未満)と言われるだけあるな
似たようなのだとこっちとかもある
【Gumblar/GENO】Web改竄ウイルス総合10【8080】
http://kohada.2ch.sc/test/read.cgi/sec/1279692828/
ただ、そういうことを言えばここの方が悪用されやすいかな
【鑑定目的禁止】検出可否報告スレ14
http://kohada.2ch.sc/test/read.cgi/sec/1295261877/
まぁ悪用防止には直接繋がらないかもしれないが
次の報告からはh抜き推奨で
開けようとしたらアンチウイルスがマルウェア検知(Loveletter)示して
Webガードされるんだけどウイルスコードでも貼り付けられてるのかな?
そうだね
ただ結局テキスト形式な訳だから実害はないよ
専ブラなら除外設定すればいいよ
それも入れておいた方が良いかも
●検体提出先まとめWiki (参考)
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
参考までに
某鑑定スレでの依頼(迷惑メールに付いてたらしい)
VTにかけるとBit系エンジンと一部ソフトの振る舞い機能で検出する模様
参考にソフォスによる分析結果
ttp://www.sophos.com/ja-jp/threat-center/threat-analyses/viruses-and-spyware/Troj~FakeAV-FIW/detailed-analysis.aspx
一応Aviraには検体提出済み
http://kohada.2ch.sc/test/read.cgi/sec/1331092341/
鑑定スレというと「勇気がなくて〜」のスレですかね
今外出中ですが暇があれば仮想PC上でネットワーク切り離して実行テストしてみます
ttp://premieremotorsportsgroup.com/css/ajk65/
(カスペは反応するらしい)
只今、G DATAでも確認いたしました
おそらくBitDefenderエンジンでも対応している様子です
あのさ、上のブラクラかもしれなくて踏めない人たちと言うスレの>55
ハックチートのページのやつ
VBでは無反応と鑑定レスされてるけどカスペで踏むとトロイ検出でブロックかかる
実際はどうなんだろ?
現在外出中で携帯端末しか持ち合わせておりません
一応Dr.WEB リンクチェッカーでの検査結果では陽性ということでした
以下検査ログ
>http://www.fps1.net/archives/1193/JSEval_6[5a1] infected with Exploit.BlackHole.12
恐らくJavaScript攻撃型のウイルスだと思われます
上記に貼られたURLにはウイルスが含まれております
閲覧には十分ご注意を
Pandaクラウドアンチウイルス1.91βユーザーなんだけど
今そこ踏んでみても無反応(IEやchromeとも)
ブロックもされず普通にサイトに入れてしまう
思わずPandaちゃん大丈夫かよという気持ちになってしもた
>>27の掲示板の中の「>275番の一番上」
判定では危険サイトらしいけどPandaちゃんここも普通にスルーする(無反応)orz
サイトではゲイの行為中の動画流れてるし(藁
Pandaちゃんこれもスルー
普通にサイトに入れちゃうorz 本当にやばいサイトなのか?
当方の環境でも試してみます
もしかしたらどちらも誤検出の可能性も否めません
また反応するJavaScriptの構成ファイルを
VTでスキャンしたら結果あげてみます
他のセキュリティベンダにはそういう検体送信専用ページないの?
各ベンダごとに検体提出専用ページがあるかどうか、わかる人いたら教えてちょんまげ。
avastブロック
当方GDATA環境でも試してみました
ウイルス: HTML:Script-inf (エンジン B)
Web コンテンツのダウンロード中にウイルスを発見しました。
アドレス: premieremotorsportsgroup.com
ステータス: アクセスが拒否されました。
うーんこれだと概出の結果かも(エンジンB
一応セキュアなDNS2つ(シマンテック提供のやつとCOMODO提供のやつ)使って
それぞれ踏んでみたけど特にブロックはされなかったなぁ
シマンテックのDNSは2chオカルト板とかはブロックするのにw
アンチウイルスはMSE使ってるけど特に反応なし
の>371のサイトからダウンロードしたSetup.exe
MSEは未反応だけどAviraの方は反応した。
あとBitDefenderのコマンドラインの方でも反応した。
このレスした時点におけるVTでのDetection ratioは[9/39]
ごめん、訂正。
↓
>>27
のサイトの>371から〜
BitdefenderエンジンのF-SecureにはSample Analysis Systemってページがある。
カスペルスキーもアカウント作ればWEBページから検体送れる。
mfmediaonline.com *カスペルスキー反応、カテゴリは悪意のあるソフトウェア
検体提出先については、ここにまとめてあるようです
●検体提出先まとめWiki (参考)
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先(Webフォーム、メールアドレス)、検体提出方法、
推奨される文例、検体提出時の注意事項が掲載されています。
ttp://ameblo.jp/39morley115108/entry-10353106629.html
記事は2009年に書かれたものなので、カスペに関しては現行バージョン評価と異なる部分もあるが、
検体分析やアナリストに対するコメントはなかなか的を得ていると思う。
(当時のカスペは性能が下降していたのは事実なので、カスペの性能に関するコメントも間違ってはいない。
現在のバージョンでは性能の良さが復活、どこのテスト機関の調査でも高い評価受けてるけど)
分かりやすい例としては、最近よくバナーとかGoogleの広告で見掛けるレジストリ最適化系のインチキソフトとかかな
あれはベンダーによってマルウェアとして
認めるか認めないかが分かれるみたいで
グレーツールとして検知するものはするが
しないものもあるな
ただあれはWindows クリーンインストール直後の状態でもエラーを見つけた、とかいうところを見ると
あれは偽物セキュリティツール(FakeAV系として扱っていいと思う)
他のベンダーでこれマルウェア認定してますとコメント加えて送ってもスルー。
まあ、PCに実害を及ぼさないファイルは脅威パターンが含まれてても認めないという姿勢は
それはそれで良いけど・・・。
VirusTotal→ 0 / 19
ほとんどのURLフィルター・・・安全表示
例外判定フィルター
マカフィー・・・不審な振る舞いが確認(注意レベル)
Pandaクラウド入れてる環境で行くも無反応だった
Pandaに続き、MSEを入れてる環境で行ってみた
ブラウザをグーグルクロームにして突入→特に反応なし
ブラウザをIE9にして突入→トロイおよびアドウェア検出
カスペでの反応(カスペ危険サイト診断では安全表示)。
・chrome→ページダウンロードがなかなか終わらないので途中であきらめ(一応反応なし)。
・Firefox→chromeと同じ状況
・ie9→トロイ反応(ただしヒューリスティック)
他ソフトでの反応も考慮すると、ieで行けば多くのアンチウイルスでも脅威反応示すと思う。
スクリプト系の脅威だからか?
G DATAも反応
BitDefenderエンジン
いつからこうなっちまったんだ?
元祖だよな・・・
管理人にメール送ったら画像が感染してたから全部入れ替えたとか言ってたけど変わらないって事は誤検出かな?
http://1000mg.jp/archives/51380735.html
Trojan-Clicker.HTML.IFrame.v
このトロイの木馬ってサンシャイン牧場の時と同じやつっぽいね。
カスペエンジンベースのaguseが反応してるのは別として
それ以外のURLチェッカーの多くはクリーン判定出してるな
COMODOに解析してもらってもクリーン判定
一方SCUMWAREはマルウェアサイト判定
う〜ん カスペの誤検出の可能性も有り得るかも?
Anubisに解析してもらったけど
レポート結果は特に問題ありそうになかったが。。。
>サンシャイン牧場
あの時は結局カスペによる誤検出だったんだよな?
カスペユーザーがトロイ検出したと言って大騒ぎしだしたのが
事の起こりだったと記憶しているが
Google Chromeとパンダクラウド1.91betaの組み合わせで踏んでみたけどさ
特になにも反応ないわ
やっぱカスペルスキーの過剰反応&誤検出だと思うわ
GDATAでも反応なしです
Sorry, it was a false detection. It will be fixed in the next update.
Thank you for your help.
Regards, Valentin Pashkov
Virus Analyst
エキサイトだと
すみません、それは誤りの検知でした。
それは次の最新版に固定されるでしょう。
支援をありがとう。
よろしく、バレンティンPashkov
ウィルス・アナリスト
わろたwwwwwwwwwwwwww
おまいら、今回はよくやったw
なんだろ
これ中学生レベルの英語でも読める程度にしてあんのかな
やはり誤検出に関してはすぐに返答くれるのかな
正確な訳
(うるせーなまたコレかよ 分かってんだよとっくによーコピペ返信するのも面倒だわ)
あーわりーわりーありがとな坊やチョコやるから帰れ な(^_^;)
となるだろ?
定型文だろうし
未知だったらあんなに早くレスポンス出来ない
またする必要もない
なかなか危険なURLに出会う機会ないなあ
マルウェアドメインリストから持ってきても意味ないしなあ
外人の比較的新しいウイルステスト動画から読み取る、という方法も
後はkeygen系マルウェアとかから出てくる
Fake AV系とかか
なるほど、これは便利
ttp://www.youtube.com/watch?v=tCwcg6AXV84
試に上の動画からファイル落としてみてVTにかけてみたら1/42だった
(SUPERAntiSpywareがTrojan.Agent/Gen-MSFakeで反応)
俺の使ってるアンチウイルスはVTの結果どおり反応しなかったorz
一般のアンチウイルスはまだ検知できないかもしれないが
VTでの結果からSASは反応してるようなので
同じくFake系には強いMBAMも反応するかと思ってスキャンかけたらこちらはまだダメだった
このファイルはfakeavをブロックするツールでfakeav自体じゃないんじゃね?
つまりアンチfakeavツールの方じゃね?
俺も英語わからんから間違ってたらすまん。
→ソフトの名前みたら「anti」付いてた^^;
(一体なんのソフトかは英語理解できないのでわからないけど)
とにかく誤爆してすみませんでした
解説動画みたいになってるけどこれて偽ソフトに似せたジョークソフト???
おれんとこのソフトもスキャンしても反応なかった。
>>81
ダウンロード先は動画すぐ下のLink for AVPと書かれたURL踏めば飛べるよ。
サンクス!!
韓国の新聞、中央日報のサイトは、
マルウェアを発信していそうだよ。
http://ginzasen.blogspot.jp/2012/04/malware.html
とりあえずAviraかカスペにあげて分析してもらおうず
俺今携帯なんで・・・・
Aviraには一応出しといた
今分析中で結果待ちの状態
カスペルスキーの回答はクリーン判定でした。
bitが反応 踏んだ先は有料ダウンロードサイト 誤検知?
乙です
Dropbox → Error (404)
>>89
どうなんかな?
PandaCloud1.91βではサイトに入る段階では無反応
gredやaguseその他多くのチェッカーは安全判定
NortonセーフwebはFakeAVリダイレクトを促すとして注意判定(危険判定ではない)
でも踏んでも別にFakeAV系に飛ばされなかったが・・・
とりあえずKasperskyでは全部検出された
結構古めのウイルスなのかな?
この手のウイルス置いてるサイト他にも複数あるけどここは知らんかったわ
他のところは置かれてるウイルスが古すぎて検証する価値すらなかった
いつごろのウイルスか知らないが、ここはWindows7用ウイルスというページもあるし
ページの更新履歴みたら最近も行われてるみたいだから他の同種サイトより新しいんじゃね
置かれてるウイルス数手ごろだから自分の使用機の動作検証するにはもってこいだと思う
(一応俺の手持ちのソフトもすべて検知できた)
余談だが、Windows8はスパイウェアだと叫んでるページにはワロタ
ブラウザIE付属のSmart Screen機能はなかなか優秀だね。
そこにあがってたファイルダウンロードしようとしたら、
安全でないファイルですとのポップが出て全てブロックされる。
Chromeの方では普通にすべてのファイルをダウンロードできてしまうのに。
COMODOが提供しているWebpageスキャナで
中央日報のサイトをスキャンしたら安全と判定されたぞ(笑)
ショック!
試にウイルス配布倉庫7にあった圧縮ファイル1つを落としてMSEでスキャンかけたら
中に含まれる.exeのうち1つは検知できたものの後は検知できずorz
その後BitDefenderのCL版でスキャンしたら残りもちゃんと検出してくれた
やっぱMSEでは(ry
ちょっとヤバくないか?
仮想化させてやったのだがその後仮想化解除の上MSEからカスペに戻して完全スキャン
でスキャン終了後シャットダウンさせとく→今朝起きてみるとカスぺが真赤状態(笑
ログ見ると検知したものの削除不可能との警告表示(笑
Cドラ全体を仮想化してたしファイル解凍したが実行はしていない
また解説に書かれていた感染時の症状も特にない
以上よりカスペの過剰反応とも考えられるが危険と言い張り真赤状態が直らないためリカバリすることにした
Vista時代のPCだから7までのアップ行為含めるとそこそこ時間かかるけど
久しぶりにPCリフレッシュできる機会だからまあいいかと思っている
俺も、それ出ているよ。 googleのニュースから
その記事元へ飛ぶと、それが出て来る。
ひょっとして84さんは、comodoのDNS経由かな、
私はそうなのですが。
100〜のスレッドの続きを読む
