1read 100read
2013年06月セキュリティ236: セキュリティソフトが反応したURLを報告するスレ (198) TOP カテ一覧 スレ一覧 2ch元 削除依頼
ノーガード VS ウイルスバスター (195)
GENOウイルススレ(Gumblar,Martuz,JSRedir-R) ★22 (127)
究極の改ざん対策!? (121)
☆完全に発信元隠す方法ってあるんだろ☆ (196)
【AOL】Active Virus Shield【AVS3】 (173)
【メール】S/MIME友の会【署名・暗号化】 (129)

セキュリティソフトが反応したURLを報告するスレ


1 :2012/03/27 〜 最終レス :2013/04/02
今日セキュリティソフトが検出したURLを報告しよう!

<<目的>>
マルウェアに感染する可能性のあるURLを晒すことによって、二次被害を防ぐ

<<報告用テンプレ>>
【ファイル名】
【検出名】
【使っているセキュリティソフト】
【マルウェアのあったサイトのURL】
【VirusTotalでの結果】

もしファイル単体でウイルスを落としてきた場合は、
パスを掛けて暗号化圧縮してください
●セキュリティ板専用アプロダ推奨↓
http://labs-uploader.sabaitiba.com/virus/
ダウンロードパスワード、解凍パスワードは、できれば、"infected"か "virus"を推奨します


2 :
なかなか面白そうなスレだがネタがないな

3 :
とりあえず保守

4 :
www.eicar.org

5 :
良いスレだと思うがこれはなかなかレスつかないだろ
今日はカスペがやたら反応してたが結局いつもの誤検出だった
本当の脅威じゃなくて残念w

6 :
>>5
支援サンクスです
まぁこのスレが延びるまでは
色々と、マルウェア感染源のサイト
漁っていくつもりです

7 :
http://backupurl.com/zxy3ft
一応知恵袋で質問されてたもののバックアップURL
ここのURL踏むと偽セキュリティソフト配布サイトに飛ばされて偽スキャン画面が表示される
サイト踏んだだけでは感染せずファイルをダウンロード&実行したら感染する(スキャン画面が出てもページを離れれば問題ない)
初期段階のVT結果ではマカフィーだけがヒューリスティックで反応できてた模様
Aviraとマイクロソフトの方には一応検体送った(AviraやMSあたりは検体提出方法楽なので送った)
Aviraは判定結果まだ来ていないがMSはすでにマル認定されたので定義に加えられてると思う
※ファイルは圧縮状態になってるが現在カスペでは手動でスキャンかけるとヒューリスティックの方で検出してくれる
※偽セキュリティ関係は亜種率高いのでファイルの中身が変化してたらまた検知できなくなる可能性あるので注意

8 :
web root使ってるけど反応したわw

9 :
>>7
今踏んでみたらIE、クローム、火狐ともに接続できない状態になってた。
もうそこ見ることできないかぁ。。。

10 :
>>9
今はセキュリティベンダの対応を避けるために、作った1日か半日でページ潰していくのが、最近のマルウェアの傾向のようです
今まで以上にヒューリスティック、ビヘイビア検知機能の性能が試される時代になったのかなぁとか
ちなみに
Malware Domain List (www.malwaredomainlist.com/update.php)で
最新のマルウェアの情報と感染ページのURLがわかるぞ

11 :
保守

12 :
>>10
確かにマルウェアサイトすぐに消えるよな
今のマルウェアの平均寿命驚くほど短い(24時間未満)と言われるだけあるな

13 :
あんまおおっぴらにやるとニュー速とかで悪用するやつがいるのがなあ
似たようなのだとこっちとかもある
【Gumblar/GENO】Web改竄ウイルス総合10【8080】
http://kohada.2ch.net/test/read.cgi/sec/1279692828/

14 :
せやな
ただ、そういうことを言えばここの方が悪用されやすいかな
【鑑定目的禁止】検出可否報告スレ14
http://kohada.2ch.net/test/read.cgi/sec/1295261877/

まぁ悪用防止には直接繋がらないかもしれないが
次の報告からはh抜き推奨で


15 :
ここの板の「Symantec Security Checkにバグ?」ってスレ
開けようとしたらアンチウイルスがマルウェア検知(Loveletter)示して
Webガードされるんだけどウイルスコードでも貼り付けられてるのかな?

16 :
>>15
そうだね
ただ結局テキスト形式な訳だから実害はないよ

17 :
>>15
専ブラなら除外設定すればいいよ

18 :
VirusTotalの他にも鑑定できるサイトがあったら
それも入れておいた方が良いかも

19 :
>>18
●検体提出先まとめWiki (参考)
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
参考までに

20 :
ttp://dl.dropbox.com/u/69432480/NPSWF32.z
某鑑定スレでの依頼(迷惑メールに付いてたらしい)
VTにかけるとBit系エンジンと一部ソフトの振る舞い機能で検出する模様
参考にソフォスによる分析結果
ttp://www.sophos.com/ja-jp/threat-center/threat-Ryses/viruses-and-spyware/Troj~FakeAV-FIW/detailed-Rysis.aspx
一応Aviraには検体提出済み

21 :
Symantec Endpoint Protection Part2
http://kohada.2ch.net/test/read.cgi/sec/1331092341/

22 :
>>20さん乙です
鑑定スレというと「勇気がなくて〜」のスレですかね
今外出中ですが暇があれば仮想PC上でネットワーク切り離して実行テストしてみます

23 :
保守

24 :
保守

25 :
ネタ元は鑑定スレ
ttp://premieremotorsportsgroup.com/css/ajk65/
(カスペは反応するらしい)

26 :
>>25さん乙です
只今、G DATAでも確認いたしました
おそらくBitDefenderエンジンでも対応している様子です

27 :
ttp://kohada.2ch.net/test/read.cgi/pcqa/1330823210/
あのさ、上のブラクラかもしれなくて踏めない人たちと言うスレの>55
ハックチートのページのやつ
VBでは無反応と鑑定レスされてるけどカスペで踏むとトロイ検出でブロックかかる
実際はどうなんだろ?

28 :
>>27さん乙です
現在外出中で携帯端末しか持ち合わせておりません
一応Dr.WEB リンクチェッカーでの検査結果では陽性ということでした
以下検査ログ
>http://www.fps1.net/archives/1193/JSEval_6[5a1] infected with Exploit.BlackHole.12
恐らくJavaScript攻撃型のウイルスだと思われます



29 :
補足
上記に貼られたURLにはウイルスが含まれております
閲覧には十分ご注意を

30 :
>>27
Pandaクラウドアンチウイルス1.91βユーザーなんだけど
今そこ踏んでみても無反応(IEやchromeとも)
ブロックもされず普通にサイトに入れてしまう
思わずPandaちゃん大丈夫かよという気持ちになってしもた

31 :
>30だけど
>>27の掲示板の中の「>275番の一番上」
判定では危険サイトらしいけどPandaちゃんここも普通にスルーする(無反応)orz
サイトではゲイの行為中の動画流れてるし(藁

32 :
>>25
Pandaちゃんこれもスルー
普通にサイトに入れちゃうorz 本当にやばいサイトなのか?

33 :
>>32さん乙です
当方の環境でも試してみます
もしかしたらどちらも誤検出の可能性も否めません
また反応するJavaScriptの構成ファイルを
VTでスキャンしたら結果あげてみます

34 :
アビラやマイクロソフトは簡単に検体送れる専用ページ用意されてたと思うが、
他のセキュリティベンダにはそういう検体送信専用ページないの?
各ベンダごとに検体提出専用ページがあるかどうか、わかる人いたら教えてちょんまげ。

35 :
>>25
avastブロック

36 :
>>25
当方GDATA環境でも試してみました
ウイルス: HTML:Script-inf (エンジン B)
Web コンテンツのダウンロード中にウイルスを発見しました。
アドレス: premieremotorsportsgroup.com
ステータス: アクセスが拒否されました。
うーんこれだと概出の結果かも(エンジンB

37 :
>>25のものと>>27のサイトの中の2つ(>55と>275)
一応セキュアなDNS2つ(シマンテック提供のやつとCOMODO提供のやつ)使って
それぞれ踏んでみたけど特にブロックはされなかったなぁ
シマンテックのDNSは2chオカルト板とかはブロックするのにw
アンチウイルスはMSE使ってるけど特に反応なし

38 :
>>27
の>371のサイトからダウンロードしたSetup.exe
MSEは未反応だけどAviraの方は反応した。
あとBitDefenderのコマンドラインの方でも反応した。
このレスした時点におけるVTでのDetection ratioは[9/39]

39 :
>>38
ごめん、訂正。
   ↓
>>27
のサイトの>371から〜

40 :
>>34
BitdefenderエンジンのF-SecureにはSample Analysis Systemってページがある。
カスペルスキーもアカウント作ればWEBページから検体送れる。

mfmediaonline.com *カスペルスキー反応、カテゴリは悪意のあるソフトウェア

41 :
皆さん乙です
検体提出先については、ここにまとめてあるようです

●検体提出先まとめWiki (参考)
http://rosafe.rowiki.jp/index.php?%B8%A1%C2%CE%C4%F3%BD%D0%C0%E8
各ベンダーの検体提出先(Webフォーム、メールアドレス)、検体提出方法、
推奨される文例、検体提出時の注意事項が掲載されています。

42 :
当然といえば当然だけど、検体の判定はベンダーによって異なる場合も有るそうだ。
ttp://ameblo.jp/39morley115108/entry-10353106629.html
記事は2009年に書かれたものなので、カスペに関しては現行バージョン評価と異なる部分もあるが、
検体分析やアナリストに対するコメントはなかなか的を得ていると思う。
(当時のカスペは性能が下降していたのは事実なので、カスペの性能に関するコメントも間違ってはいない。
現在のバージョンでは性能の良さが復活、どこのテスト機関の調査でも高い評価受けてるけど)

43 :
>>42
分かりやすい例としては、最近よくバナーとかGoogleの広告で見掛けるレジストリ最適化系のインチキソフトとかかな
あれはベンダーによってマルウェアとして
認めるか認めないかが分かれるみたいで
グレーツールとして検知するものはするが
しないものもあるな

ただあれはWindows クリーンインストール直後の状態でもエラーを見つけた、とかいうところを見ると
あれは偽物セキュリティツール(FakeAV系として扱っていいと思う)

44 :
マイクロソフトの野郎、実行できないファイルに関しては検体送っても完全無視しやがる。
他のベンダーでこれマルウェア認定してますとコメント加えて送ってもスルー。
まあ、PCに実害を及ぼさないファイルは脅威パターンが含まれてても認めないという姿勢は
それはそれで良いけど・・・。

45 :
ttp://www.yourfilehost.com/

46 :
>>45
VirusTotal→ 0 / 19
ほとんどのURLフィルター・・・安全表示
例外判定フィルター
マカフィー・・・不審な振る舞いが確認(注意レベル)
Pandaクラウド入れてる環境で行くも無反応だった


47 :
>>45
Pandaに続き、MSEを入れてる環境で行ってみた
ブラウザをグーグルクロームにして突入→特に反応なし
ブラウザをIE9にして突入→トロイおよびアドウェア検出

48 :
>>45
カスペでの反応(カスペ危険サイト診断では安全表示)。
・chrome→ページダウンロードがなかなか終わらないので途中であきらめ(一応反応なし)。
・Firefox→chromeと同じ状況
・ie9→トロイ反応(ただしヒューリスティック)
他ソフトでの反応も考慮すると、ieで行けば多くのアンチウイルスでも脅威反応示すと思う。
スクリプト系の脅威だからか?


49 :
>>45
G DATAも反応
BitDefenderエンジン

50 :
yourfilehostはエロ動画サイトとして非常に有名だったが
いつからこうなっちまったんだ?

51 :
>>50
元祖だよな・・・

52 :
何故かこのページだけKasperskyが反応するんだよな・・・
管理人にメール送ったら画像が感染してたから全部入れ替えたとか言ってたけど変わらないって事は誤検出かな?
http://1000mg.jp/archives/51380735.html

53 :
aguse.jpで確認したが、やっぱカスペルスキーが反応してる。
Trojan-Clicker.HTML.IFrame.v
このトロイの木馬ってサンシャイン牧場の時と同じやつっぽいね。

54 :
>>52
カスペエンジンベースのaguseが反応してるのは別として
それ以外のURLチェッカーの多くはクリーン判定出してるな
COMODOに解析してもらってもクリーン判定
一方SCUMWAREはマルウェアサイト判定
う〜ん カスペの誤検出の可能性も有り得るかも?

55 :
>>52
Anubisに解析してもらったけど
レポート結果は特に問題ありそうになかったが。。。

56 :
>>53
>サンシャイン牧場
あの時は結局カスペによる誤検出だったんだよな?
カスペユーザーがトロイ検出したと言って大騒ぎしだしたのが
事の起こりだったと記憶しているが

57 :
って事はKaspersky側の誤検出っぽなー

58 :
>52に関してだけどさ
Google Chromeとパンダクラウド1.91betaの組み合わせで踏んでみたけどさ
特になにも反応ないわ
やっぱカスペルスキーの過剰反応&誤検出だと思うわ

59 :
>>52
GDATAでも反応なしです

60 :
だれかカスペルスキーに誤検出の報告出しとけ。

61 :
とりあえずKaspersky Labに誤検出報告してみた

62 :
>>61

63 :
Kasperskyからメールきたー
Sorry, it was a false detection. It will be fixed in the next update.
Thank you for your help.
Regards, Valentin Pashkov
Virus Analyst
エキサイトだと
すみません、それは誤りの検知でした。
それは次の最新版に固定されるでしょう。
支援をありがとう。
よろしく、バレンティンPashkov
ウィルス・アナリスト

64 :
>>63
わろたwwwwwwwwwwwwww
おまいら、今回はよくやったw

65 :
>>63
なんだろ
これ中学生レベルの英語でも読める程度にしてあんのかな

66 :
ヒマだったから相手してくれたんだろw

67 :
カスペ返答早かったやん
やはり誤検出に関してはすぐに返答くれるのかな

68 :
とりあえず国を日本にしたから簡単な英語にしてくれたと思う

69 :
今確認してみたら>>52のURLはアクセス出来るようになったみたいだな

70 :


71 :
保守

72 :
>>63
正確な訳
(うるせーなまたコレかよ 分かってんだよとっくによーコピペ返信するのも面倒だわ)
あーわりーわりーありがとな坊やチョコやるから帰れ な(^_^;)

73 :
とっくにわかってたんならこちらに言われる前にさっさと定義修正出しとけや
となるだろ?

74 :
とっくにの使い方の違いじゃないか?
定型文だろうし
未知だったらあんなに早くレスポンス出来ない
またする必要もない

75 :
う〜ん
なかなか危険なURLに出会う機会ないなあ
マルウェアドメインリストから持ってきても意味ないしなあ

76 :
>>75
外人の比較的新しいウイルステスト動画から読み取る、という方法も
後はkeygen系マルウェアとかから出てくる
Fake AV系とかか

77 :
>>76
なるほど、これは便利
ttp://www.youtube.com/watch?v=tCwcg6AXV84
試に上の動画からファイル落としてみてVTにかけてみたら1/42だった
(SUPERAntiSpywareがTrojan.Agent/Gen-MSFakeで反応)
俺の使ってるアンチウイルスはVTの結果どおり反応しなかったorz

78 :
上のファイルの補足
一般のアンチウイルスはまだ検知できないかもしれないが
VTでの結果からSASは反応してるようなので
同じくFake系には強いMBAMも反応するかと思ってスキャンかけたらこちらはまだダメだった

79 :
>>77
このファイルはfakeavをブロックするツールでfakeav自体じゃないんじゃね?
つまりアンチfakeavツールの方じゃね?
俺も英語わからんから間違ってたらすまん。

80 :
>>77だけど、指摘があったように、これは○じゃなくて何かのソフトだったみたい^^;
→ソフトの名前みたら「anti」付いてた^^;
(一体なんのソフトかは英語理解できないのでわからないけど)
とにかく誤爆してすみませんでした

81 :
>>77が落としたURL一応h抜きで張ってみたら如何?

82 :
>>77
解説動画みたいになってるけどこれて偽ソフトに似せたジョークソフト???
おれんとこのソフトもスキャンしても反応なかった。
>>81
ダウンロード先は動画すぐ下のLink for AVPと書かれたURL踏めば飛べるよ。

83 :
>>82
サンクス!!

84 :

韓国の新聞、中央日報のサイトは、
マルウェアを発信していそうだよ。
http://ginzasen.blogspot.jp/2012/04/malware.html


85 :
>>77
とりあえずAviraかカスペにあげて分析してもらおうず

俺今携帯なんで・・・・

86 :
>>85
Aviraには一応出しといた
今分析中で結果待ちの状態

87 :
>>77
カスペルスキーの回答はクリーン判定でした。

88 :
http://dl.dropbox.com/u/69432480/NPSWF32.z

89 :
http://www.curtainrising.com/page.php?id=super-bowl-time-date-2011
bitが反応 踏んだ先は有料ダウンロードサイト 誤検知?

90 :
>>86>>87
乙です

91 :
>>88
Dropbox → Error (404)
>>89
どうなんかな?
PandaCloud1.91βではサイトに入る段階では無反応
gredやaguseその他多くのチェッカーは安全判定
NortonセーフwebはFakeAVリダイレクトを促すとして注意判定(危険判定ではない)
でも踏んでも別にFakeAV系に飛ばされなかったが・・・


92 :
http://luntu.web.fc2.com/
とりあえずKasperskyでは全部検出された
結構古めのウイルスなのかな?

93 :
>>92
この手のウイルス置いてるサイト他にも複数あるけどここは知らんかったわ
他のところは置かれてるウイルスが古すぎて検証する価値すらなかった
いつごろのウイルスか知らないが、ここはWindows7用ウイルスというページもあるし
ページの更新履歴みたら最近も行われてるみたいだから他の同種サイトより新しいんじゃね
置かれてるウイルス数手ごろだから自分の使用機の動作検証するにはもってこいだと思う
(一応俺の手持ちのソフトもすべて検知できた)
余談だが、Windows8はスパイウェアだと叫んでるページにはワロタ

94 :
>>92
ブラウザIE付属のSmart Screen機能はなかなか優秀だね。
そこにあがってたファイルダウンロードしようとしたら、
安全でないファイルですとのポップが出て全てブロックされる。
Chromeの方では普通にすべてのファイルをダウンロードできてしまうのに。

95 :
>>84
COMODOが提供しているWebpageスキャナで
中央日報のサイトをスキャンしたら安全と判定されたぞ(笑)

96 :
>>92
ショック!
試にウイルス配布倉庫7にあった圧縮ファイル1つを落としてMSEでスキャンかけたら
中に含まれる.exeのうち1つは検知できたものの後は検知できずorz
その後BitDefenderのCL版でスキャンしたら残りもちゃんと検出してくれた
やっぱMSEでは(ry

97 :
>>96
ちょっとヤバくないか?

98 :
>>97
仮想化させてやったのだがその後仮想化解除の上MSEからカスペに戻して完全スキャン
でスキャン終了後シャットダウンさせとく→今朝起きてみるとカスぺが真赤状態(笑
ログ見ると検知したものの削除不可能との警告表示(笑
Cドラ全体を仮想化してたしファイル解凍したが実行はしていない

99 :
(文字数制限ですべて書き込めないため上の続き)
また解説に書かれていた感染時の症状も特にない
以上よりカスペの過剰反応とも考えられるが危険と言い張り真赤状態が直らないためリカバリすることにした
Vista時代のPCだから7までのアップ行為含めるとそこそこ時間かかるけど
久しぶりにPCリフレッシュできる機会だからまあいいかと思っている

100read 1read
1read 100read
TOP カテ一覧 スレ一覧 2ch元 削除依頼
【ソースネクスト】セキュリティアドバイザー発売 (122)
ネットでクレジットカード使う危険性 (179)
PC Tools Internet Security2008 (177)
フレッツ・セイフティ(FLET'S SAFETY)ってどうよ (191)
会社のセキュリティ対策の相談 (119)
【鉄壁】iptablesの使い方 5【ファイアウォール】 (103)
--log9.info------------------
桜庭、ミルコ、近藤・・・ (100)
【大晦日】水野VSハリトーノフ考察スレ (144)
【世界唯一の】全日本プロレス【セメントプロレス】 (155)
地上最強の格闘一族は? (105)
メンタル最強の格闘家は? (163)
ファイナルファンタジーについて語ろうぜ (163)
軟弱ひ弱ネット弁慶の格ヲタの性根を叩き直すには? (100)
【DOMINION】新日総合1243【内藤復帰戦】 (462)
WWEリアルタイムスレ254 (302)
ノアだけはガラガラPart433 (768)
アントニオ猪木、維新から参議院選出馬 (106)
全日総合スレ259 (781)
◆◆◆スターダム 総合スレッド Part30◆◆◆ (626)
ブロディが90年代まで生きていたらPART11 (591)
【果てはノアか】武藤一派スレ【キングスロードか】 (124)
【自称】ターザン山本!202【一応、有名人だ】 (165)
--log55.com------------------
【桜交通】さくら観光Part7【さくら高速バス】
仙台市営・宮交バスの経営改善案を語るスレ
仙台市営・愛子観光・タケヤ観光13
京阪バススレッド29
ボケナス】馬鹿は黙ってろ【アホ
青森県のバス事情4
東名ハイウェイバス19
馬鹿山バス菜蛾 season11